KR20080021677A - 데이터 프로세싱 시스템 - Google Patents

데이터 프로세싱 시스템 Download PDF

Info

Publication number
KR20080021677A
KR20080021677A KR1020077029633A KR20077029633A KR20080021677A KR 20080021677 A KR20080021677 A KR 20080021677A KR 1020077029633 A KR1020077029633 A KR 1020077029633A KR 20077029633 A KR20077029633 A KR 20077029633A KR 20080021677 A KR20080021677 A KR 20080021677A
Authority
KR
South Korea
Prior art keywords
data
communication control
database
packet
control device
Prior art date
Application number
KR1020077029633A
Other languages
English (en)
Inventor
미츠구 나고야
Original Assignee
듀아키시즈 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 듀아키시즈 가부시키가이샤 filed Critical 듀아키시즈 가부시키가이샤
Publication of KR20080021677A publication Critical patent/KR20080021677A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9538Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Abstract

복수 개의 데이터베이스를 적절하게 운용하는 기술을 제공한다.
통신 제어 시스템(100)은, 패킷을 프로세싱하기 위한 복수 개의 통신 제어 장치(10a, 10b, 10c,...)와 복수 개의 통신 제어 장치(10)의 운용 상황을 관리하는 운용 감시 서버(100)를 포함한다. 복수 개의 통신 제어 장치(10)는 패킷의 프로세싱에 사용된 데이터베이스를 분할하고 지지한다. 통신 제어 장치(10)는 데이터베이스를 분할하고 지지하는데 필요한 수보다도 적어도 1대 많이 설치된다. 운용 감시 서버(110)는 데이터베이스를 분할하고 지지하는데 필요한 수의 통신 제어 장치(10)를 운용시킴과 동시에 적어도 1대의 통신 제어 장치(10)를 대기시킨다. 운용 감시 서버(110)는 데이터베이스를 업데이트 할때 대기중의 통신 제어 장치(10)에 운용중의 통신 제어 장치(10) 중 어떠한 통신 제어 장치(10)가 지지하고 있는 데이터베이스의 업데이트 데이터를 저장한 후에, 업데이트 전의 데이터베이스를 지지하는 통신 제어 장치(10)로부터 업데이트 후의 데이터베이스를 지지하는 통신 제어 장치(10)에 운용을 전환한다.
Figure P1020077029633
통신 제어, 데이터베이스, 블랙 리스트, 화이트 리스트, 피싱,

Description

데이터 프로세싱 시스템{DATA PROCESSING SYSTEM}
본 발명은 데이터 프로세싱 기술에 관한 것이며, 특히 복수 개의 데이터베이스를 운용하는 기술에 관한 것이다.
인터넷의 인프라가 정비되고 휴대 전화 단말, 퍼스널 컴퓨터, VoIP(Voice over Internet Protocol) 전화 단말 등의 통신 단말이 폭넓게 보급됨으로 인해 현재 인터넷의 이용자는 폭발적으로 증가하고 있다. 이와 같은 상황 아래에서, 컴퓨터 바이러스, 해킹, 스팸 메일과 같은 보안 문제가 표면화되고 있고, 통신을 적절하게 제어하는 기술이 요청되고 있다.
인터넷을 이용하여 방대한 정보에 용이하게 접근할 수 있게 되었다. 반면에, 유해한 정보가 급격하게 증가하여 유해한 정보의 발신원에 대한 규제가 그 증가량을 따라잡지 못하는 상황이다. 누구나 안심하면서 효과적으로 인터넷을 이용하는 환경을 갖추기 위해서, 유해한 컨텐츠에 대한 접근을 적절하게 제어하는 기술이 요청된다.
예를 들면, 접근 허가 사이트의 리스트,접근 금지 사이트의 리스트, 금지어 키워드, 유용어 키워드 등의 데이터베이스를 준비하고, 인터넷을 이용하여 외부 정보에 접근할 때에 상기 데이터베이스를 참조하여 접근을 제어하는 기술이 제안되고 있다(예를 들면, 특허 문헌1 참조). [특허 문헌 1] 일본특허 공개번호 제2001-282797호 공보.
특허 문헌 1에 기재되는 것 같은 접근 제어를 실현하는 시스템에 있어서 사용자 수가 증가하는 경우 데이터베이스가 방대하게 되어 저장 가능한 용량을 초과할 가능성이 있다. 이 경우에 전체 시스템을 교체하는 것은 불필요한 비용을 필요로 하기 때문에 비효율적이다. 또한, 데이터베이스를 업데이트하는 등 운용을 정지해야만 하는 때를 대비하여 운용하기 위한 다른 시스템을 준비하는 것은, 시스템의 규모가 크면 클수록 낭비가 많고 비효율적이다.
본 발명은 이러한 상황을 감안하고 이루어진 것이고, 그 목적은 복수 개의 데이터베이스를 적절하게 운용하는 기술을 제공하는 것이다.
본 발명의 일 양상은 데이터 프로세싱 장치에 관한 것이다. 상기 데이터 프로세싱 시스템은 취득한 데이터를 프로세싱하는 데이터 프로세싱부와, 상기 데이터의 프로세싱에 사용되는 데이터베이스를 저장하기 위한 복수 개의 데이터 지지부를 구비하는 데이터 프로세싱 시스템에 있어, 상기 복수 개의 데이터 지지부는 제1 데이터베이스를 공통으로 유지함과 동시에 제2 데이터베이스를 분할하여 각각 지지하고, 상기 데이터 프로세싱 시스템은 상기 제1 데이터베이스 및 분할된 상기 제2 데이터베이스를 지지할 수 있는 상기 데이터 지지부를 적어도 1개 구비한 것을 특징으로 한다.
복수 개의 데이터 지지부에 데이터베이스를 분할하고 지지시켜 그것들을 협동시키고 운용함으로써, 개별적인 데이터 지지부의 규모를 억제할 수 있기 때문에 데이터량의 증대에 수반하여 시스템의 규모를 증대시킬 때의 비용이나 인시(man-hours)를 절감할 수 있다.또한, 데이터베이스의 업데이트 등을 위해 대규모 데이터 프로세싱 장치 전체를 이중화하여 대기시킬 필요가 없고, 비교적 소규모의 데이터 지지부를 적어도 1대 여분으로 설치하고 대기시키면 되기 때문에, 시스템의 구성이 간소화되어 초기 투자나 운용 비용을 억제할 수 있다.
상기 제1 데이터베이스는, 상기 제2 데이터베이스의 어느 부분이 데이터를 프로세싱하는데 사용될 것인지를 결정하는 데이터를 저장할 수 있다. 예를 들면, 제1 데이터베이스는 사용자를 인증하기 위한 데이터를 저장하고, 제2 데이터베이스는 각 사용자를 위한 데이터 프로세싱의 정보가 저장할 수 있다.
데이터 프로세싱 시스템은 상기 복수 개의 데이터 지지부의 운용 상황을 관리하는 운용 관리부를 더 포함할 수 있다. 상기 운용 관리부는 상기 제2 데이터베이스를 분할하고 지지하는데 필요한 수의 데이터 지지부를 운용시킴과 동시에, 그 밖의 데이터 지지부를 대기시킨다. 상기 운용 관리부는 상기 데이터 지지부로 유지되는 데이터베이스를 업데이트할 때에 대기중의 데이터 지지부에 운용 중의 데이터 지지부 중 한쪽의 데이터 지지부가 지지하고 있는 데이터베이스의 업데이트 데이터를 저장한 후, 업데이트 전의 데이터베이스를 지지하는 상기 데이터 지지부로부터 업데이트 후의 데이터베이스를 지지하는 상기 데이터 지지부에 운용을 전환할 수 있다. 따라서, 운용을 정지함이 없이 데이터베이스는 업데이트 될 수 있다.
상기 운용 관리부는, 운용중의 데이터 지지부가 운용 불가능한 상태에 있음을 감지할 때에, 상기 데이터 지지부가 지지하고 있던 데이터베이스를 대기중의 데이터 지지부에 유지시켜, 대기중의 데이터 지지부에 운용을 전환할 수 있다. 따라서, 어떠한 데이터 지지부가 고장 등에 의하여 정지한 경우라도 적절하게 운용을 계속할 수 있다.
상기 대기중의 데이터 지지부는 상기 제1 데이터베이스가 미리 저장할 수 있다. 공통으로 사용되고, 데이터를 프로세싱하는데 사용되는 제2 데이터베이스의 부분을 결정하는 데이터를 포함하는 제1 데이터베이스를 상기 데이터 지지부에 저장하면, 어떠한 데이터 지지부가 운용 불가능한 상태에 있을 때, 즉시 대기중의 데이터 지지부에 운용을 전환할 수 있다.
상기 데이터 프로세싱부는 상기 복수 개의 데이터 지지부의 각각에 대응하도록 설치될 수 있다. 상기 데이터 프로세싱 시스템은, 취득한 데이터를 상기 복수 개의 데이터 프로세싱부에 동시에 공급하는 데이터 공급부를 더 포함할 수 있다. 이것에 의해, 데이터 지지부를 추가하여도 또는 데이터베이스의 업데이트에 의하여 각각의 데이터 지지부가 지지하는 데이터베이스의 내용이 변하여도, 적절하게 데이터 프로세싱부에 의하여 데이터를 프로세싱할 수 있다.
상기 데이터 공급부는, 취득한 데이터를 프로세싱하지 않고 본래의 형태로 상기 복수 개의 데이터 프로세싱부에 동시에 공급할 수 있다. 결과적으로, 데이터 공급부는 데이터를 프로세싱할 필요가 없고, 따라서 데이터 프로세싱 속도를 향상시킬 수 있다.
상기 데이터 공급부로부터 데이터를 취득할 때, 상기 복수 개의 데이터 프로세싱부는 대응하는 상기 데이터 지지부가 지지하는 데이터베이스를 참조하고, 자신이 프로세싱해야 할 데이터인지 아닌지를 판정할 수 있다. 따라서, 프로세싱해야 할 데이터 프로세싱부에 적절하게 데이터를 프로세싱할 수 있다.
상기 데이터 프로세싱부는, 패킷을 취득하고 통신을 제어하는 통신 제어 장치이고, 상기 데이터 공급부로부터 패킷을 취득할 때 데이터 프로세싱부 자체로 보내지는 패킷인지를 판정하지 않고 패킷을 취득하며, 대응하는 상기 데이터 지지부가 지지하는 데이터베이스를 참조하고 자신이 프로세싱해야 할 패킷인지를 판정할 수 있다. 결과적으로, 데이터 프로세싱부는 MAC 어드레스 또는 IP 어드레스를 체크할 필요가 없고, 따라서 패킷의 프로세싱 속도를 향상시킬 수 있다.
상기 통신 제어 장치는, 상기 패킷의 헤더 부에 저장된 정보가 아니라 데이터 부에 저장된 정보를 이용하여 자신이 프로세싱해야 할 패킷인지를 판정할 수 있다. 상기 통신 제어 장치는, 대응하는 상기 데이터 지지부가 지지하는 제1 데이터베이스를 참조하여 자신이 프로세싱해야 할 패킷인지를 판정할 수 있다.
자신이 프로세싱해야 할 패킷이라고 판정한 데이터 프로세싱부는 그 패킷을 프로세싱하고, 자신이 프로세싱해야 할 패킷이 아니라고 판정한 데이터 프로세싱부는 그 패킷을 파기할 수 있다.
상기 제1 데이터베이스는 상기 복수 개의 데이터 프로세싱 유닛 중 임의의 하나에 의해서 프로세스 되어야할 데이터를 식별하는 ID의 리스트가 저장될 수 있다. 상기 데이터 프로세싱 유닛은 상기 제1 데이터베이스에 저장된 ID의 리스트 중 자신이 프로세싱해야 할 ID의 범위를 통지되어, 상기 프로세싱해야 할 ID의 범위에 해당하는 ID를 포함한 패킷을 취득할 때에 그 패킷을 프로세싱할 수 있다. 또한, 상기 복수 개의 데이터 프로세싱 유닛 중 적어도 1개는 상기 제1 데이터베이스에 저장된 ID의 리스트 중 어느 ID도 포함하지 않는 패킷을 취득할 때에, 그 패킷을 프로세싱하지 않고 그대로 패킷을 생성할 수 있다.
상기 데이터 공급부는, 브로드캐스트 패킷으로 변환하지 않고, 유니캐스트로서 취득한 패킷을 복수 개의 통신 제어 장치에 동시에 공급할 수 있다. 결과적으로, 데이터 공급부가 패킷을 브로드캐스트에 변환하기 위해 헤더를 가공하는 등의 프로세싱을 줄이고, 따라서 패킷의 프로세싱 속도를 향상시킬 수 있다.
또한, 이상의 구성 요소를 임의로 조합하여, 본 발명의 표현을 방법, 장치, 시스템, 기록 매체, 컴퓨터 프로그램 등으로 변환하는 것도, 본 발명의 양상으로서 유효하다.
도 1은 전제 기술에 관계된 통신 제어 시스템의 구성을 나타내는 도면이다.
도 2는 종래의 통신 제어 장치의 구성을 나타내는 도면이다.
도 3은 전제 기술에 관계된 통신 제어 장치의 구성을 나타내는 도면이다.
도 4는 패킷 프로세싱 회로의 내부 구성을 나타내는 도면이다.
도 5는 위치 검출 회로의 내부 구성을 나타내는 도면이다.
도 6은 제1 데이터베이스의 내부 데이터의 예를 나타내는 도면이다.
도 7은 제1 데이터베이스의 내부 데이터의 다른 예를 나타내는 도면이다.
도 8은 제1 데이터베이스의 내부 데이터의 또 다른 예를 나타내는 도면이다.
도 9는 이진 탐색 회로에 포함된 비교 회로의 구성을 나타내는 도면이다.
도 10은 제2 데이터베이스의 내부 데이터의 예를 나타내는 도면이다.
도 11은 제2 데이터베이스의 내부 데이터의 다른 예를 나타내는 도면이다.
도 12는 전제 기술에 관계된 통신 제어 장치의 다른 구성예를 나타내는 도면이다.
도 13은 URL 필터링을 위한 패킷 프로세싱 회로의 내부 구성을 나타내는 도면이다.
도 14(a)는 바이러스/피싱 사이트 리스트의 내부 데이터의 예를 나타내는 e도면이고, 도 14(b)는 화이트 리스트의 내부 데이터의 예를 나타내는 도면이고, 도 14(c)는 블랙 리스트의 내부 데이터의 예를 나타내는 도면이다.
도 15는 공통 카테고리 리스트의 내부 데이터의 예를 나타내는 도면이다.
도 16(a)(b)(c)(d) 제2 데이터베이스의 내부 데이터의 예를 나타내는 도면이다.
도 17은 바이러스/피싱 사이트 리스트, 화이트 리스트, 블랙 리스트, 및 공통 카테고리 리스트의 우선도를 나타내는 도면이다.
도 18은 실시의 형태에 관계된 통신 제어 시스템의 구성을 나타내는 도면이다.
도 19는 실시의 형태에 관계된 통신 제어 장치의 구성을 나타내는 도면이다.
도 20은 운용 감시 서버에 설치된 관리 테이블의 내부 데이터의 예를 나타내는 도면이다.
도 21은 통신 제어 장치가 고장 났을 때의 운용 방법을 설명하기 위한 도면이다.
도 22(a)(b)(c)는 통신 제어 장치의 데이터베이스를 업데이트하는 방법을 설명하기 위한 도면이다.
도 23은 복수 개의 통신 제어 장치에 의하여 패킷을 프로세싱하기 위해 설치된 통신 경로 제어 장치의 구성을 나타내는 도면이다.
도 24는 복수 개의 통신 제어 장치 중 하나를 이용하여 패킷을 프로세싱하는 과정을 도시하는 블록도이다.
도 25는 복수 개의 통신 제어 장치 중 하나를 통과하는 패킷을 생성하는 과정을 도시하는 블록도이다.
※ 도면의 주요 부분에 대한 설명 ※
10 : 통신 제어 장치 12 : 통신 제어부
14 : 전환 제어부 20 : 패킷 프로세싱 회로
40 : 탐색 회로 32 : 위치 검출 회로
33 : 비교 회로 34 : 인덱스 회로
35 : 비교 회로 36 : 이진 탐색 회로
40 : 프로세싱 수행 회로 50 : 제1 데이터베이스
57 : 사용자 데이터베이스 60 : 제2 데이터베이스
100 : 통신 제어 시스템 110 : 운용 감시 서버
111 : 관리 테이블 120 : 접속 관리 서버
130 : 메시지 출력 서버 140 : 로그 관리 서버
150 : 데이터베이스 서버 160 : URL 데이터베이스
161 : 바이러스/피싱 사이트 리스트 162 : 화이트 리스트
163 : 블랙 리스트 164 : 공통 카테고리 리스트
200 : 통신 경로 제어 장치 210 : 스위치
220 : 광 스플리터 230 : 스위치
(전제 기술)
먼저, 전제(前提) 기술로서 통신 제어 장치와 그 주변 장치의 구성 및 동작의 개요에 관하여 설명하여, 또한 통신 제어 장치를 이용한 URL 필터링 기술에 관하여 설명한 후, 일 실시예로서 접근 요청의 발신원으로 메시지를 출력하는 기술에 관하여 설명한다.
도 1은 전제 기술에 따른 통신 제어 시스템의 구성을 나타낸다. 통신 제어 시스템(100)은 통신 제어 장치(10)와, 통신 제어 장치(10)의 동작을 지원하기 위해 설치된 각종 주변 장치들을 포함한다. 전제 기술의 통신 제어 장치(10)는 인터넷 서비스 제공자 등에 의하여 제공된 URL 필터링 기능을 실현한다. 네트워크의 경로에 설치된 통신 제어 장치(10)는 콘텐츠에 대한 접근 요청를 취득하고, 그 콘텐츠를 해석하여 콘텐츠에 대한 접근의 허부를 판단한다. 콘텐츠에 대한 접근이 허가된 경우는 통신 제어 장치(10)는 그 접근 요청을 콘텐츠를 저장하는 서버로 전송한다. 콘텐츠에 대한 접근이 금지된 경우에 통신 제어 장치(10)는 그 접근 요청을 파기하고 요청원에 대한 경고 메시지 등을 회신한다. 전제 기술에서 통신 제어 장치(10)는 HTTP(HyperText Transfer Protocol)의 요청 메시지 등의 접근 요청을 수신하고, 접근 목적지의 콘텐츠의 URL이 접근의 허부를 판단하기 위한 기준 데이터의 리스트와 일치하는지 아닌지를 탐색하여, 콘텐츠에 대한 접근의 허부를 판단한다.
주변 장치는 운용 감시 서버(110), 접속 관리 서버(120), 메시지 출력 서버(130), 로그 관리 서버(140), 및 데이터베이스 서버(150)를 포함한다. 접속관리 서버(120)는 통신 제어 장치(10)로의 접속을 관리한다. 접속 관리 서버(120)는 예를 들면, 휴대 전화 단말로부터 전송된 패킷을 통신 제어 장치(10)로 프로세싱할 때에 패킷에 포함된 휴대 전화 단말을 고유한 정보를 이용하여, 통신 제어 장치(10)의 사용자임을 인증한다. 일단 인증되면 그 휴대 전화 단말에 일시적으로 제공된 IP 어드레스로부터 전송된 패킷은 일정 기간 동안 접속 관리 서버(120)에 의해 인증되지 않고 통신 제어 장치(10)로 전송되어 프로세싱될 것이다. 메시지 출력 서버(130)는 통신 제어 장치(10)에 의하여 판정된 접근의 허부의 결과에 따라, 접근의 요청 목적지 또는 요청원으로 메시지를 출력한다. 로그 관리 서버(140)는 통신 제어 장치(10)의 운용 이력을 관리한다. 데이터베이스 서버(150)는 URL 데이터베이스(160)로부터 최신의 데이터베이스를 취득하고 통신 제어 장치(10)에 입력한다. 통신 제어 장치(10)의 운용을 정지시키지 않고 데이터베이스를 갱신하기 위해 통신 제어 장치(10)는 백업 데이터베이스를 가질 수 있다. 운용 감시 서버(110)는 통신 제어 장치(10)와 접속관리 서버(120), 메시지 출력 서버(130), 로그 관리 서 버(140), 데이터베이스 서버(150)등의 주변 장치의 운용 상황을 감시한다. 운용 감시 서버(110)는 통신 제어 시스템(100) 중에서 가장 우선도가 높고 통신 제어 장치(10) 및 모든 주변 장치의 감시 제어를 수행한다. 통신 제어 장치(10)는 후술하는 바와 같이 전용의 하드웨어 회로에 의하여 구성되지만 운용 감시 서버(110)는 본 출원인에 의한 특허 제3041340호 등의 기술을 이용하여, 경계 스캔 회로를 이용하여 감시를 위한 데이터를 통신 제어 장치(10) 등과의 사이에서 입출력함으로써, 통신 제어 장치(10)의 운용중에도 운용 상황을 감시할 수 있다.
전제 기술의 통신 제어 시스템(100)은 이하에 설명될 바와 같이, 고속화를 위해 전용의 하드웨어 회로에 의하여 구성된 통신 제어 장치(10)를 주변에 접속된 각종의 기능을 갖는 서버 군에 의하여 제어하는 구성에 의하여 서버군의 소프트웨어를 적당하게 교체함으로써 동일한 구성에 의하여 각종의 기능을 실현할 수 있다. 전제 기술에 의하면, 이와 같은 유연성이 높은 통신 제어 시스템을 제공할 수 있다.
도 2는 종래의 통신 제어 장치(1)의 구성을 나타낸다. 종래의 통신 제어 장치(1)는 수신측의 통신 제어부(2)와, 패킷 프로세싱부(3)와, 전송측의 통신 제어부(4)를 구비한다. 통신 제어부(2 및 4)는 각각 패킷의 물리 계층의 프로세싱을 수행하는 PHY 프로세싱부(5a 및 5b)와, 패킷의 MAC 계층의 프로세싱을 수행하는 MAC 프로세싱부(6a 및 6b)를 구비한다. 패킷 프로세싱부(3)는 IP(Internet Protocol)의 프로토콜 프로세싱을 수행하는 IP 프로세싱부(7), TCP(Transport Control Protocol)의 프로토콜 프로세싱을 수행하는 TCP 프로세싱부(8), 프로토콜에 따른 프로세싱을 수행하는 프로토콜 프로세싱부와 어플리케이션 계층의 프로세싱을 수행하는 AP 프로세싱부(9)를 구비한다. AP 프로세싱부(9)는 패킷에 포함된 데이터에 따라 필터링 등의 프로세싱을 수행한다.
종래의 통신 제어 장치(1)의 패킷 프로세싱부(3)는 범용 프로세서인 CPU와 CPU 상에서 동작하는 OS를 이용하여 소프트웨어에 의하여 구현된다. 그러나, 이와 같은 구성에서 통신 제어 장치(1)의 성능은 CPU의 성능에 의존하게 되어 고속으로 대용량의 패킷을 프로세싱할 수 있는 통신 제어 장치를 생성하는데 자연히 한계가 있다. 예를 들면, 64 비트의 CPU라면 한번에 동시에 프로세싱 가능한 데이터량은 최대 64 비트이고, 그 이상의 성능을 갖는 통신 제어 장치는 존재하지 않는다. 또한, 다기능을 갖는 OS의 존재를 전제로 하고 있기 때문에, 보안 홀 등이 존재할 가능성이 완전히 제거될 수 없고, OS의 버젼업 등의 유지 보수 작업을 필요로 한다.
도 3은 전제 기술의 통신 제어 장치의 구성을 나타낸다. 통신 제어 장치(10)는 도 2에 도시된 종래의 통신 제어 장치(1)에서 CPU 및 OS를 포함한 소프트웨어에 의하여 구현된 패킷 프로세싱부(3) 대신에 연결 로직 회로에 의한 전용의 하드웨어에 의하여 구성된 패킷 프로세싱 회로(20)를 구비한다. CPU와 같은 범용 프로세싱 회로 상에서 동작하는 OS와 소프트웨어 통신 데이터를 프로세싱하기보다, 통신 데이터를 프로세싱하기 위한 전용의 하드웨어 회로를 제공함으로써 CPU나 OS등에 기인한 성능의 한계를 극복하고, 프로세싱 능력이 높은 통신 제어 장치를 구현할 수 있다.
예를 들면, 패킷 필터링 등을 수행하기 위해, 패킷에 포함된 데이터에 필터 링의 판단 기준으로 된 기준 데이터가 포함되었는지 아닌지를 탐색하는 경우에 CPU를 이용하여 통신 데이터와 기준 데이터를 비교하면 한번에 64 비트밖에 비교를 할 수 없고, 그 CPU 성능 이상으로 프로세싱 속도를 향상시킬 수 없다는 문제가 발생한다. CPU는 64 비트의 통신 데이터를 메모리에 로딩하고, 그것을 기준 데이터와 비교하는 과정을 반복해야 하기 때문에 메모리 로드 시간은 프로세싱 속도를 제한하는 걸림돌이 된다.
반면에 전제 기술에서는 통신 데이터와 기준 데이터를 비교하기 위해, 연결 로직 회로로 구성된 전용의 하드웨어 회로가 제공된다. 이 회로는 64 비트보다도 긴 데이터 길이, 예를 들면, 1024 비트의 데이터 길이의 비교를 가능케 하기 위해 병렬로 설치된 여러 개의 비교기를 포함한다. 이와 같이, 전용의 하드웨어를 제공함으로써, 동시에 병렬로 다수의 비트 매칭을 수행할 수 있다. 종래의 CPU를 이용한 통신 제어 장치(1)에서는 한번에 64 비트밖에 프로세싱할 수 없었던 점을 한번에 1024 비트의 프로세싱을 가능하게 함으로써 비약적으로 프로세싱 속도를 향상시킬 수 있다. 비교기의 수를 많이 하면 프로세싱 능력도 향상되지만 비용이나 사이즈도 증대하기 때문에, 원하는 프로세싱 성능과 비용, 사이즈 등을 고려하여 최적의 하드웨어 회로를 설계하는 것이 바람직하다. 전용의 하드웨어 회로는 FPGA(Field Programmable Gate Array)등을 이용하여 구현할 수도 있다.
또한 전제 기술의 통신 제어 장치(10)는 연결 로직 회로에 의한 전용의 하드웨어에 의하여 구성되기 때문에, OS(Operating System)를 필요로 하지 않는다. 이 때문에, OS의 설치, 버그 대응, 버젼업 등의 작업이 필요 없고, 관리나 유지 보수 를 위한 비용이나 노동을 절감시킬 수 있다. 또는 범용적인 기능이 요청되는 CPU와는 달리 불필요한 기능을 포함하고 있지 않기 때문에 쓸데없는 리소스를 이용할 필요가 없고, 저비용화, 회로 면적의 절감, 프로세싱 속도의 향상 등을 기대할 수 있다. 또한, OS를 이용하고 있던 종래의 통신 제어 장치와는 달리 추가 기능을 갖지 않기 때문에, 보안 홀 등이 발생할 가능성이 낮고, 네트워크를 이용하는 악의 있는 제삼자로부터의 공격에 대한 내성이 뛰어나다.
종래의 통신 제어 장치(1)는 CPU와 OS를 전제로 한 소프트웨어에 의하여 패킷을 프로세싱한다. 따라서, 모든 패킷 데이터는 프로토콜 프로세싱이 수행되기 전에 수신되어야 하고, 그리고 나서, 데이터가 어플리케이션으로 전달된다. 반면에, 본 전제 기술의 통신 제어 장치(10)에서는 전용의 하드웨어 회로에 의하여 프로세싱을 수행하기 때문에, 모든 패킷 데이터를 수신하고 나서 프로세싱을 시작할 필요가 없고, 프로세싱에 필요한 데이터를 수신하면, 후속의 데이터의 수신을 기다리지 않고, 임의의 시점에서 프로세싱을 시작할 수 있다. 예를 들면, 후술하는 위치 검출 회로에 있어서 위치 검출 프로세싱은 비교 대상 데이터의 위치를 특정하기 위한 위치 특정 데이터를 수신하는 시점에서 시작할 수 있다. 이와 같이, 모든 데이터의 수신을 기다리지 않고 다양한 프로세싱을 수행할 수 있기 때문에 패킷 데이터를 프로세싱하는데 필요한 시간을 단축할 수 있다.
도 4는 패킷 프로세싱 회로의 내부 구성을 나타낸다. 패킷 프로세싱 회로(20)는 통신 데이터에 대하여 수행할 프로세싱의 콘텐츠를 결정할 때 참조되는 기준 데이터를 저장하는 제1 데이터베이스(50)와 수신된 통신 데이터 중에 기준 데 이터가 포함되어 있는지 아닌지를 통신 데이터와 기준 데이터를 비교함으로써 탐색하는 탐색 회로(30)와 탐색 회로(30)에 의한 탐색 결과와 통신 데이터에 대하여 수행될 프로세싱의 콘텐츠을 대응시켜 저장하는 제2 데이터베이스(60)와, 탐색 회로(30)에 의한 탐색 결과와 제2 데이터베이스(60)에 저장된 조건에 근거하여 통신 데이터를 프로세싱하는 프로세싱 수행 회로(40)를 포함한다.
탐색 회로(30)는 통신 데이터의 중에서 기준 데이터와 비교해야 할 비교 대상 데이터의 위치를 검출하는 위치 검출 회로(32)와 제1 데이터베이스(50)에 저장된 기준 데이터를 3개 이상의 범위로 분할하는 경우에, 비교 대상 데이터가 그러한 범위 중 어느 곳에 속하는지를 판정하는 판정 회로의 일례인 인덱스 회로(34)와, 판정된 범위 가운데에서 비교 대상 데이터와 맞는 기준 데이터를 탐색하는 이진 탐색 회로(36)를 포함한다. 비교 대상 데이터를 기준 데이터의 중에서 탐색한 방법으로서는, 임의의 탐색 기술을 이용 가능하지만, 전제 기술에서는 이진 탐색법을 이용한다.
도 5는 위치 검출 회로의 내부 구성을 나타낸다. 위치 검출 회로(32)는 비교 대상 데이터의 위치를 특정하기 위한 위치 특정 데이터와 통신 데이터를 비교하기 위한 복수 개의 비교 회로(33a ~ 33f)를 포함한다.여기에서는 6개의 비교 회로(33a ~ 33f)가 마련되어 있지만 후술하는 바와 같이 비교 회로의 개수는 임의의 수가 될 수 있다. 각각의 비교 회로(33a ~ 33f)에는 통신 데이터가 소정의 데이터 길이, 예를 들면, 1 바이트씩 쉬프트되어 입력된다. 그리고 이들 복수 개의 비교 회로(33a ~ 33f)는 통신 데이터와 검출될 위치 특정 데이터와 통신 데이터를 병렬로 동시에 비교한다.
전제 기술에 있어서는, 통신 제어 장치(10)의 동작을 설명하기 위한 예로서, 통신 데이터(data)중에 포함된「###」라는 문자열이 검출되고, 그 문자열 중에 포함된 숫자「###」를 기준 데이터와 비교하여, 기준 데이터와 일치하는 경우는 패킷의 통과를 허가하고 일치하지 않는 경우는 패킷을 파기하는 프로세싱를 행하는 경우에 관하여 설명한다.
도 5의 예에서, 통신 데이터의 중에서 숫자「###」의 위치를 특정하기 위한 위치 특정 데이터를 검출하기 위해 통신 데이터「01No. 361...」를 1 문자씩 쉬프트 시켜서 비교 회로(33a ~ 33f)에 입력한다. 즉, 비교 회로(33a)에는 「01N」이, 비교 회로(33b)에는 「1No」이, 비교 회로(33c)에는 「No. 」이, 비교 회로(33d)에는 「o. 」이, 비교 회로(33e)에는 「 .3」이, 비교 회로(33f)에는 「 36」이 각각 입력된다. 여기에서, 비교 회로(33a ~ 33f)가 동시에 위치 특정 데이터와 비교를 수행한다. 이것에 의해, 비교 회로(33c)가 매칭되고, 통신 데이터의 선두로부터 3번째에 라는 한 문자열이 존재한다는 것이 검출된다. 이렇게, 위치 검출 회로(32)에 의하여 검출된 위치 특정 데이터의 다음에, 비교 대상 데이터인 숫자 데이터가 존재한다는 것이 검출된다.
CPU에 의하여 동일한 프로세싱를 행한다면 먼저, 문자열「01N」을 「No.」와 비교하고, 계속해서 문자열「1No」을 「No.」와 비교하는 등 선두로부터 순서대로 1개씩 비교 프로세싱를 수행할 필요가 있기 때문에 검출 속도의 향상은 바랄 수 없다. 이에 반해, 전제 기술의 통신 제어 장치(10)에서는 복수 개의 비교 회로(33a ~ 33f)를 병렬로 설치함으로써, CPU에 의해 수행되지 않았던 동시 병렬적인 비교 프로세싱가 가능해지고, 프로세싱 속도를 현격하게 향상시킬 수 있다. 비교 회로는 많으면 많을수록 동시에 비교 가능한 위치가 많아지기 때문에 검출 속도도 향상되지만, 비용,사이즈 등을 고려하여 원하는 검출 속도를 얻는데 충분한 수의 비교 회로를 설치하는 것이 바람직하다.
위치 검출 회로(32)는 위치 특정 데이터를 검출하는 것뿐만 아니라, 범용적으로 문자열을 검출하는 회로로 이용될 수도 있다. 또한, 문자열이 아니고 비트 단위로 위치 특정 데이터를 검출하도록 구성할 수도 있다.
도 6은 제1 데이터베이스의 내부 데이터의 예를 나타낸다. 제1 데이터베이스(50)에는 패킷의 필터링, 라우팅, 스위칭, 치환 등의 프로세싱의 콘텐츠를 결정하기 위한 기준인 기준 데이터가 소정 분류 조건에 따라 분류되어 저장되어 있다. 도 6의 예에서는 1000개의 기준 데이터가 저장되어 있다.
 제1 데이터베이스(50)의 선두의 레코드에는 통신 데이터 중 비교 대상 데이터의 위치를 나타내는 오프셋(51)이 저장되어 있다. 예를 들면, TCP 패킷에 있어서는 패킷 안의 데이터 구성이 비트 단위로 정해져 있기 때문에 패킷의 프로세싱 콘텐츠를 결정하기 위한 플래그 정보 등의 위치를 오프셋(51)으로 설정해 두면, 필요한 비트만을 비교하고 프로세싱 콘텐츠를 결정할 수 있기 때문에, 프로세싱 효율을 향상시킬 수 있다. 또한, 패킷의 데이터 구성이 변경된 경우라도, 오프셋(51)을 변경함으로써 그에 따라 프로세싱될 수 있다. 제1 데이터베이스(50)에는 비교 대상 데이터의 데이터 길이를 저장할 수도 있다. 이것에 의해, 필요한 비교기만을 동작 시켜서 비교를 할 수가 있기 때문에 탐색 효율을 향상시킬 수 있다.
인덱스 회로(34)는 제1 데이터베이스(50)에 저장되어 있는 기준 데이터를 3개 이상의 범위(52a ~ 52d)로 분할하여 비교 대상 데이터가 그러한 범위 중 어느 쪽에 속하는지를 판정한다. 도 6의 예에서는 1000개의 기준 데이터가 250개씩 4개의 범위(52a ~ 52d)로 분할되어 있다. 인덱스 회로(34)는 범위의 경계의 기준 데이터와 비교 대상 데이터를 비교하는 여러 개의 비교 회로(35a ~ 35c)를 포함한다. 비교 회로(35a ~ 35c)에 의하여 비교 대상 데이터와 경계의 기준 데이터를 동시에 병렬로 비교함으로써 비교 대상 데이터가 어느 범위에 속하는지를 한 번의 비교 프로세싱으로 판정할 수 있다.
인덱스 회로(34)의 비교 회로(35a ~ 35c)에 입력된 경계의 기준 데이터는 통신 제어 장치(10)의 외부에 설치된 장치에 의하여 설정될 수도 있고, 미리 제1 데이터베이스(50)의 소정 위치의 기준 데이터가 자동적으로 입력되도록 할 수도 있다. 후자의 경우, 제1 데이터베이스(50)를 업데이트하여도 자동적으로 제1 데이터베이스(50)의 소정 위치의 기준 데이터가 비교 회로(35a ~ 35c)에 입력되기 때문에, 초기 설정 등을 필요로 하지 않고 곧바로 통신 제어 프로세싱을 수행시킬 수 있다.
전술한 바와 같이, CPU에 의하여 이진 탐색을 수행하는 경우는 동시에 오러번의 비교를 수행할 수 없지만, 전제 기술의 통신 제어 장치(10)에서는 복수 개의 비교 회로(35a ~ 35c)를 병렬로 설치함으로써, 동시에 병렬적인 비교 프로세싱이 가능하고, 탐색 속도를 현격하게 향상시킬 수 있다.
인덱스 회로(34)에 의하여 범위가 판정되면, 이진 탐색 회로(36)가 이진 탐색법에 의하여 탐색을 수행한다. 이진 탐색 회로(36)는 인덱스 회로(34)에 의하여 판정된 범위를 추가로 2분할하고 그 경계 위치에 있는 기준 데이터와 비교 대상 데이터를 비교함으로써 어느 범위에 속하는지를 판정한다. 이진 탐색 회로(36)는 기준 데이터와 비교 대상 데이터를 비트 단위로 비교하는 비교 회로를 복수개, 예를 들면 전제 기술에서는 1024개를 포함하고 있고, 1024 비트의 비트 매칭을 동시에 수행한다. 2 분할된 범위 중 어느 쪽에 속하는지가 판정되면, 다시 그 범위를 2 분할하고 경계 위치에 있는 기준 데이터를 해독하고, 비교 대상 데이터와 비교한다.이후, 이 프로세싱을 반복함으로써 범위를 더욱 한정하여, 최종적으로 비교 대상 데이터와 맞는 기준 데이터를 탐색한다.
전술한 예를 참조하여 동작을 상세히 설명한다. 도 5에 도시된 통신 데이터에 있어서, 위치 특정 데이터「No.1」다음의 비교 대상 데이터는 「361」이라는 숫자이다. 위치 특정 데이터와 비교 대상 데이터의 사이에는 1 문자 분의 스페이스가 존재하고 있기 때문에, 이 스페이스를 비교 대상 데이터로부터 제외하기 위해, 오프셋 51이 「8」비트에 설정되어 있다. 이진 탐색 회로(36)는 위치 특정 데이터 다음의 통신 데이터로부터 「8」비트, 즉 1 바이트 부분을 스킵하고 계속되는 「361」을 비교 대상 데이터로서 읽는다.
인덱스 회로(34)의 비교 회로(35a ~ 35c)에는 비교 대상 데이터로서 「361」이 입력되고, 기준 데이터로서 비교 회로(35a)에는 범위(52a)와 (52b)의 경계에 있는 기준 데이터「378」이, 비교 회로(35b)에는 범위(52b)와 (52c)의 경계에 있는 기준 데이터「704」가, 비교 회로(35c)에는 범위(52c)와 (52d)의 경계에 있는 기준 데이터「937」이 각각 입력된다. 비교 회로(35a~35c)에 의하여 동시에 비교가 행해지고, 비교 대상 데이터「361」이 범위(52a)에 속하는 여부가 판정된다. 이후, 이진 탐색 회로(36)가 기준 데이터의 중에 비교 대상 데이터「361」이 존재하는지 아닌지를 탐색한다.
도 7은 제1 데이터베이스의 내부 데이터의 다른 예를 나타낸다. 도 7에 나타낸 예에서, 기준 데이터의 데이터 수가, 제1 데이터베이스(50)에 저장가능한 데이터 수, 여기에서는 1000개 이하이다. 이때, 제1 데이터베이스(50)에는 최종 데이터 위치에서 내림순으로 기준 데이터가 저장된다. 그리고, 나머지 데이터에는 0이 저장된다. 데이터베이스의 로딩 방법으로서, 선두로부터 데이터를 배치하지 않고 로딩 지역의 뒤로부터 배치하여 로딩 지역 선두에 빈 곳이 생긴 경우는 모든 빈 곳은 0이 저장된다. 데이터베이스는 항상 풀의 상태가 되어, 이진 탐색하는 경우의 최대 시간을 일정하게 할 수 있다. 또한, 이진 탐색 회로(36)는, 탐색중에 기준 데이터로서 「0」을 읽은 때에는, 비교 결과가 자명하기 때문에 비교를 행하지 않고 범위를 특정하여, 다음 비교로 넘어가도록 할 수 있다. 이것에 의해 탐색 속도를 향상시킬 수 있다.
CPU에 의한 소프트웨어 프로세싱에 있어서는, 제1 데이터베이스(50)에 기준 데이터를 저장할 때, 처음의 데이터 위치에서 오름순으로 기준 데이터가 저장된다. 나머지 데이터에는 예를 들면 최대치가 저장되게 되지만, 이 경우 이진 탐색에 있어 상술한 바와 같은 비교 프로세싱의 생략은 가능하지 않다. 상술한 비교 기술은 전용의 하드웨어 회로에 의하여 탐색 회로(30)를 구성하는 것에 의하여 실현된다.
도 8은 제1 데이터베이스의 내부 데이터의 또 다른 예를 나타낸다. 도 8에 나타낸 예에서, 기준 데이터를 균등하게 3개 이상의 범위로 분할한 것은 아니고, 범위(52a)는 500개, 범위(52b)는 100개와 같이, 범위에 속한 기준 데이터의 수가 불균일하게 되어 있다. 이러한 범위는 통신 데이터 중에서 기준 데이터의 출현 빈도의 분포에 따라 설정될 수 있다. 즉, 각각의 범위에 속한 기준 데이터의 출현 빈도의 합이 거의 동일해지도록 범위가 설정될 수 있다. 이것에 의해, 탐색 효율을 향상시킬 수 있다. 인덱스 회로(34)의 비교 회로(35a ~ 35c)에 입력된 기준 데이터는 외부에서 변경 가능하도록 할 수 있다. 이것에 의해 범위를 동적으로 설정할 수 있고, 탐색 효율을 최적화할 수 있다.
도 9는 이진 탐색 회로에 포함된 비교 회로의 구성을 나타낸다. 전술한 바와 같이, 이진 탐색 회로(36)는 1024개의 비교 회로(36a,36b,...)를 포함한다. 각각의 비교 회로(36a,36b,...)에는 기준 데이터(54)와 비교 대상 데이터(56)가 1 비트씩 입력되어 그 대소가 비교된다. 인덱스 회로(34)의 각 비교 회로(35a ~ 35c)의 내부 구성도 마찬가지이다. 이와 같이, 전용의 하드웨어 회로에서 비교 프로세싱을 수행함으로써, 다수의 비교 회로를 병렬로 동작시켜 다수의 비트를 동시에 비교할 수 있기 때문에, 비교 프로세싱를 고속화할 수 있다.
도 10은 제2 데이터베이스의 내부 데이터의 예를 나타낸다. 제2 데이터베이스(60)는 탐색 회로(30)에 의한 탐색 결과를 저장하는 탐색 결과 영역(62)과, 통신 데이터에 대하여 수행한 프로세싱의 콘텐츠를 저장하는 프로세싱 콘텐츠 영역(64) 을 포함하고, 탐색 결과와 프로세싱 콘텐츠를 대응시켜 저장한다. 도 10의 예에서, 통신 데이터에 기준 데이터가 포함되어 있는 경우는, 그 패킷의 통과를 허가하고, 포함되어 있지 않은 경우는 그 패킷을 파기하도록 조건이 설정되어 있다. 프로세싱 수행 회로(40)는 탐색 결과에 근거하여 제2 데이터베이스(60)로부터 프로세싱 콘텐츠을 탐색하고, 통신 데이터에 대하여 프로세싱를 수행한다. 프로세싱 수행 회로(40)도 연결 로직 회로에 의하여 구현될 수 있다.
도 11은 제2 데이터베이스의 내부 데이터의 다른 예를 나타낸다. 도 11의 예에서는, 기준 데이터별로 프로세싱 콘텐츠가 설정되어 있다. 패킷의 치환을 수행하는 경우 치환선의 데이터를 제2 데이터베이스(60)에 저장할 수 있다. 패킷의 라우팅이나 스위칭을 행한 경우 경로에 관한 정보를 제2 데이터베이스(60)에 저장할 수 있다. 프로세싱 수행 회로(40)는 탐색 회로(30)에 의한 탐색 결과에 따라 제2 데이터베이스(60)에 저장된 필터링, 라우팅, 스위칭, 치환 등의 프로세싱을 수행한다. 도 11과 같이, 기준 데이터별로 프로세싱 콘텐츠를 설정한 경우 제1 데이터베이스(50)와 제2 데이터베이스(60)를 통합할 수도 있다.
제1의 데이터베이스 및 제2의 데이터베이스는 외부에서 재기록 가능하도록 구성된다. 이러한 데이터베이스를 대체함으로써, 동일 통신 제어 장치(10)를 이용하여, 다양한 데이터 프로세싱이나 통신 제어를 실현할 수 있다. 또한, 탐색 대상으로 되어 있는 기준 데이터를 저장하는 데이터베이스를 2개 이상 설치하고, 다단계의 탐색 프로세싱을 수행할 수도 있다. 이때, 탐색 결과와 프로세싱 콘텐츠를 대응시켜 저장한 데이터베이스를 2개 이상 설치하고 보다 복잡한 조건 분기를 구현할 수도 있다. 이와 같이, 데이터베이스를 여러 개 설치하고 다단계의 탐색을 수행하는 경우에는, 위치 검출 회로(32), 이진 탐색 회로(36) 등을 복수 개 설치할 수 있다.
상술한 비교에 사용된 데이터는 동일한 압축 로직에 의하여 압축될 수 있다. 비교할 때 원래 데이터와 타겟 데이터가 동일한 방식으로 압축되어 있으면 통상의 경우와 동일한 비교가 가능하다. 이것에 의해, 비교할 때 로딩하는 데이터량을 절감할 수 있다. 로딩하는 데이터량이 적어지면 메모리로부터 데이터를 판독하는데 필요로 하는 시간이 단축되기 때문에 전체의 프로세싱시간도 단축할 수 있다. 또한, 비교기의 양을 삭감할 수 있기 때문에, 장치의 소형화, 경량화, 저비용화에 기여할 수 있다. 비교에 사용되는 데이터는 압축된 형식으로 저장될 수 있고, 메모리로부터 판독 후 비교 전에 압축될 수도 있다.
도 12는 전제 기술의 통신 제어 장치의 다른 구성예를 나타낸다. 본 도면에 나타낸 통신 제어 장치(10)는 도 3에 도시된 통신 제어 장치(10)와 동일한 구성을 구비한 통신 제어부(12)를 2개 갖고 있다. 또한, 각각의 통신 제어부(12)의 동작을 제어하는 스위치 제어부(14)가 마련되어 있다. 각각의 통신 제어부(12)는 2개의 입출력 인터페이스(16)를 갖고 있고, 각각의 입출력 인터페이스(16)를 이용하여, 상류측, 하류측의 2개의 네트워크에 접속되어 있다. 통신 제어부(12)는 어느 한쪽의 네트워크로부터 통신 데이터를 입력받아 프로세싱한 데이터를 다른 편의 네트워크에 출력한다. 스위치 제어부(14)는 각각의 통신 제어부(12)에 설치된 입출력 인터페이스(16)의 입출력을 스위칭함으로써 통신 제어부(12)에 있어서 통신 데이터의 흐름의 방향을 전환한다. 이것에 의해 일방향만이 아니고 쌍방향의 통신 제어가 가능해진다.
스위치 제어부(14)는 통신 제어부(12)의 한편이 인 바운드, 다른 편이 아웃 바운드의 패킷을 프로세싱하도록 제어할 수 있고, 쌍방이 인 바운드의 패킷을 프로세싱하도록 제어할 수도 있고, 쌍방이 아웃 바운드의 패킷을 프로세싱하도록 제어할 수도 있다. 이것에 의해 예를 들면 교통의 상황이나 목적인 정도에 따라, 제어하는 통신의 방향을 가변으로 할 수 있다.
스위치 제어부(14)는 각 통신 제어부(12)의 동작 상황을 취득하고, 그 동작 상황에 따라 통신 제어의 방향을 전환할 수 있다. 예를 들면, 한편의 통신 제어부(12)를 대기 상태로 하고, 다른 편의 통신 제어부(12)를 동작시키고 있는 경우에, 그 통신 제어부(12)가 고장 등에 의하여 정지된 것을 감지하면, 대체로서 대기중의 통신 제어부(12)를 동작시킬 수 있다. 이것에 의해, 통신 제어 장치(10)의 오류 허용 오차(fault tolerance)를 향상시킬 수 있다. 또한, 한편의 통신 제어부(12)에 대하여 데이터베이스의 업데이트 등의 유지 보수를 행할 때에, 다른 편의 통신 제어부(12)를 대신 동작시킬 수 있다. 이것에 의해 통신 제어 장치(10)의 운용을 정지시키지 않고 적절하게 유지보수를 할 수가 있다.
통신 제어 장치(10)에 3개 이상의 통신 제어부(12)가 설치될 수 있다. 스위치 제어부(14)는 예를 들면 교통의 상황을 취득하고 통신량이 많은 방향의 통신 제어 프로세싱에 보다 많은 통신 제어부(12)를 할당하도록 각 통신 제어부(12)의 통신의 방향을 제어할 수 있다. 이것에 의해 있는 한 방향의 통신량이 증가하여도 통 신 속도의 저하를 최소한으로 억제할 수 있다.
또한, 여러 개의 통신 제어부(12)의 사이에서 통신 제어부(2 또는 4)의 일부가 공용될 수 있다. 또한, 패킷 프로세싱 회로(20)의 일부가 공용될 수도 있다.
상술한 데이터 프로세싱 장치로서, 이하와 같은 실시예가 제공될 수 있다.
[실시예 1]
취득한 데이터에 대하여 수행한 프로세싱의 콘텐츠를 결정하기 위한 기준으로 된 기준 데이터를 저장하는 제1 저장부와,
상기 데이터의 중에 상기 기준 데이터가 포함되어 있는지 아닌지를, 상기 데이터와 상기 기준 데이터를 비교함으로써 탐색하는 탐색부와,
상기 탐색부에 의한 탐색 결과와 상기 프로세싱의 콘텐츠를 대응시켜 저장하는 제2 저장부와,
상기 탐색 결과에 근거하여, 상기 탐색 결과에 대응되는 프로세싱를 상기 데이터에 대하여 수행하는 프로세싱부를 포함하고,
상기 탐색부는 연결 로직 회로에 의하여 구성되는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 2]
상기 실시예1의 데이터 프로세싱 장치에 있어, 상기 연결 로직 회로는 상기 데이터와 상기 기준 데이터를 비트 단위로 비교하는 제1 비교 회로를 다수 개 포함하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 3]
상기 실시예 1의 데이터 프로세싱 장치에 있어서, 상기 탐색부는 상기 데이터 중에서 상기 기준 데이터와 비교할 비교 대상 데이터의 위치를 검출하는 위치 검출 회로를 포함하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 4]
상기 실시예 3의 데이터 프로세싱 장치에 있어서, 상기 위치 검출 회로는 상기 비교 대상 데이터의 위치를 특정하기 위한 위치 특정 데이터와 상기 데이터를 비교하는 다수개의 제2 비교 회로를 포함하고, 상기 다수개의 제2 비교 회로에 상기 데이터를 소정의 데이터 길이씩 위치를 쉬프트시켜 입력하고, 상기 위치 특정 데이터와 동시에 병렬로 비교하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 5]
상기 실시예 1 내지 실시예 2 중 어느 하나의 데이터 프로세싱 장치에 있어서, 상기 탐색부는 이진 탐색에 의하여 상기 데이터의 중에 상기 기준 데이터가 포함되어 있는지 아닌지를 탐색하는 이진 탐색 회로를 포함하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 6]
상기 실시예 5의 데이터 프로세싱 장치에 있어서, 상기 제1 저장부에 저장 가능한 데이터 수보다 상기 기준 데이터의 데이터 수가 적은 경우, 상기 제1 저장부의 최종 데이터 위치에서 내림순으로 상기 기준 데이터를 저장하고, 나머지 데이터에 0을 저장하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 7]
상기 실시예1 내지 실시예 6 중 어느 하나의 데이터 프로세싱 장치에 있어서, 상기 탐색부는 상기 제1 저장부에 저장된 다수개의 기준 데이터를 3개 이상의 범위로 분할할 때, 상기 기준 데이터와 비교할 비교 대상 데이터가 그러한 범위 중 어느 곳에 속하는지를 판정하는 판정 회로를 포함하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 8]
상기 실시예 7의 데이터 프로세싱 장치에 있어서, 상기 판정 회로는 상기 범위의 경계의 기준 데이터와 상기 비교 대상 데이터를 비교하는 다수개의 제3 비교 회로를 포함하고, 상기 다수개의 제3 비교 회로에 의하여 상기 비교 대상 데이터가 상기 3개 이상의 범위 중 어느 곳에 속하는지를 동시에 병렬로 판정하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 9]
상기 실시예 8의 데이터 프로세싱 장치에 있어서, 상기 제1 저장부의 소정 위치에 저장된 상기 기준 데이터가 상기 경계의 기준 데이터로서 상기 제3 비교 회로에 입력되는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 10]
상기 실시예 7 또는 실시예 8의 데이터 프로세싱 장치에 있어서, 상기 범위는 상기 데이터 중에서 상기 기준 데이터의 출현 빈도의 분포에 따라 설정되는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 11]
상기 실시예 1 내지 실시예 10 중 어느 하나의 데이터 프로세싱 장치에 있어서, 상기 제1 저장부는 상기 데이터 중 비교 대상 데이터의 위치를 나타내는 정보를 더 포함하고, 상기 탐색부는 상기 위치를 나타내는 정보에 근거하여 상기 비교 대상 데이터를 추출하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 12]
상기 실시예 1 내지 실시예 11 중 어느 하나의 데이터 프로세싱 장치에 있어서,상기 제1 저장부 또는 상기 제2 저장부는 외부에서 재기록 가능하게 구성되는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 13]
상기 실시예 1 내지 실시예 12 중 어느 하나의 데이터 프로세싱 장치에 있어서,상기 탐색부는 통신 패킷의 모든 데이터의 취득을 기다리지 않고, 상기 기준 데이터와 비교할 데이터를 취득한 시점에서 그 데이터와 상기 기준 데이터의 비교를 시작하는 것을 특징으로 하는 데이터 프로세싱 장치.
[실시예 14]
상기 실시예 1 내지 실시예 13 중 어느 하나의 데이터 프로세싱 장치를 다수개 구비하고, 각각의 상기 데이터 프로세싱 장치는 통신 회선과의 사이에서 데이터를 입출력하는 인터페이스를 2개 구비하고 있고, 각각의 상기 인터페이스의 입력과 출력을 전환함으로써 상기 데이터를 프로세싱하는 방향을 가변하도록 제어되는 것을 특징으로 하는 데이터 프로세싱 장치.
다음으로, 상술한 통신 제어 장치(10)를 이용한 URL 필터링 기술에 관하여 설명한다.
도 13은 URL 필터링을 위한 패킷 프로세싱 회로(20)의 내부 구성을 나타낸다. 패킷 프로세싱 회로(20)는 제1 데이터베이스(50)로서 사용자 데이터베이스(57), 바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 블랙 리스트(163), 및 공통 카테고리 리스트(164)를 구비한다. 사용자 데이터베이스(57)는 통신 제어 장치(10)를 이용하는 사용자의 정보를 저장한다. 통신 제어 장치(10)는 사용자로부터 사용자를 특정하는 정보를 수신하고, 탐색 회로(30)에 의하여 접수한 정보를 사용자 데이터베이스(57)와 매칭하여 사용자를 인증한다. 사용자를 특정하는 정보로서 TCP/IP 패킷의 IP 헤더에 저장된 소스 어드레스를 이용할 수 있고, 사용자로부터 사용자 ID와 패스워드 등을 수신할 수 있다. 전자의 경우 패킷 중의 소스 어드레스의 저장 위치는 정해져 있기 때문에 탐색 회로(30)에서 사용자 데이터베이스(57)와 매칭할 때, 위치 검출 회로(32)에 의하여 위치를 검출할 필요는 없고, 오프셋(51)으로서 소스 어드레스의 저장 위치만 지정하면 된다. 사용자 데이터베이스(57)에 등록된 사용자인 것이 인증되면, 다음으로 콘텐츠에 대한 접근의 허부를 판단하기 위해 콘텐츠의 URL이 바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 블랙 리스트(163), 및 공통 카테고리 리스트(164)에 체크된다. 화이트 리스트(162) 및 블랙 리스트(163)는 사용자별로 마련되어 있기 때문에 사용자가 인증되고 사용자 ID가 특정되면 그 사용자의 화이트 리스트(162) 및 블랙 리스트(163)가 탐색 회로(30)에 제공된다.
바이러스/피싱 사이트 리스트(161)는 컴퓨터 바이러스를 포함하는 콘텐츠의 URL의 리스트와 피싱에 사용되는 "트랩" 사이트의 URL의 리스트를 저장한다. 바이러스/피싱 사이트 리스트(161)에 저장된 URL의 콘텐츠에 대한 접근 요청은 거부된다. 이것에 의해 사용자가 모르거나 또는 속아서 바이러스 사이트나 피싱 사이트에 접근하려고 한 경우라도 적절하게 접근을 금지하여 바이러스나 피싱 사기의 피해로부터 사용자를 보호한 할 수 있다. 또한, 사용자의 단말에 바이러스 사이트나 피싱 사이트의 리스트를 저장하고 단말측으로 접근 제한을 수행하는 것이 아니고, 통신 경로에 설치된 통신 제어 장치(10)에 일원적으로 접근을 제한을 행하기 때문에 보다 확실하고 또한 효율적으로 접근 제한을 할 수가 있다. 통신 제어 장치(10)는 바이러스 사이트나 피싱 사이트가 아닌 정당한 사이트인 것이 인증 기관에 의하여 인증된 후에, 사이트의 리스트를 취득하여 저장하고, 그 리스트에 저장된 URL에 대한 접근을 허가하도록 한다. 또한, 정당한 사이트가 해킹되거나, 바이러스가 임베드(embed) 되는 경우나, 피싱에 이용되는 경우, 정당한 사이트의 운영자 등이 바이러스/피싱 사이트 리스트(161)에 빼앗긴 사이트의 URL을 등록하고, 사이트가 정상적인 상태로 회복할 때까지, 일시적으로 접근을 금지할 수 있도록 하여 한다. 또한, URL의 리스트 외에, IP 번호, TCP 번호, MAC 어드레스 등의 정보를 조합하여 체크할 수도 있다. 이것에 의해, 더욱 정밀도가 높은 금지 조건을 설정할 수 있기 때문에 보다 확실하게 바이러스 사이트나 피싱 사이트를 필터링할 수 있다.
화이트 리스트(162)는 사용자별로 제공되어 접근을 허가한 콘텐츠의 URL의 리스트를 저장한다. 블랙 리스트(163)는 사용자별로 제공되어 접근을 금지한 콘텐츠의 URL의 리스트를 저장한다. 도 14a는 바이러스/피싱 사이트 리스트(161)의 내부 데이터의 예를 나타내고, 도 14b는 화이트 리스트(162)의 내부 데이터의 예를 나타내며, 도 14c는 블랙 리스트(163)의 내부 데이터의 예를 나타낸다. 바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 및 블랙 리스트(163)에는 각각 카테고리 번호 영역(165), URL 영역(166), 및 타이틀 영역(167)이 마련되어 있다. URL 영역(166)에는 접근이 허가되거나 또는 금지된 콘텐츠의 URL이 저장된다. 카테고리 번호 영역(165)에는 콘텐츠의 카테고리 번호가 저장된다. 타이틀 영역(167)에 는 콘텐츠의 타이틀이 저장된다.
공통 카테고리 리스트(164)는 URL로 표시되는 콘텐츠를 여러 개의 카테고리로 분류하기 위한 리스트를 저장한다. 도 15는 공통 카테고리 리스트(164)의 내부 데이터의 예를 나타낸다. 공통 카테고리 리스트(164)에도 카테고리 번호 영역(165), URL 영역(166), 및 타이틀 영역(167)이 마련되어 있다.
통신 제어 장치(10)는 「GET」리퀘스트 메시지 등에 포함된 URL을 추출하고, 그 URL이 바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 블랙 리스트(163), 또는 공통 카테고리 리스트(164)에 포함되었는지 아닌지를 탐색 회로(30)에 의하여 탐색한다. 이때, 예를 들면, 위치 검출 회로 32에 의하여 「http://」라는 한 문자열을 검출하고, 그 문자열에 계속된 데이터 열을 대상 데이터로서 추출할 수 있다. 추출된 URL은 인덱스 회로(34) 및 이진 탐색 회로(36)에 의하여 바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 블랙 리스트(163), 및 공통 카테고리 리스트(164)의 기준 데이터와 매칭된다.
도 16a,b,c, 및 d는 URL 필터링을 위한 제2 데이터베이스(60)의 내부 데이터의 예를 나타낸다. 도 16a는 바이러스/피싱 사이트 리스트(161)에 대한 탐색 결과와 프로세싱 콘텐츠을 나타낸다. GET 리퀘스트 등에 포함된 URL이 바이러스/피싱 사이트 리스트(161)에 포함된 URL와 일치하는 경우, 그 URL에 대한 접근이 금지된다. 도 16b는 화이트 리스트(162)에 대한 탐색 결과와 프로세싱 콘텐츠를 나타낸다. GET 리퀘스트 등에 포함된 URL이 화이트 리스트(162)에 포함된 URL과 일치하는 경우, 그 URL에 대한 접근이 허가된다. 도 16c는 블랙 리스트(163)에 대한 탐색 결 과와 프로세싱 콘텐츠를 나타낸다. GET 리퀘스트 등에 포함된 URL이 블랙 리스트(163)에 포함된 URL과 일치하는 경우 그 URL에 대한 접근은 금지된다.
도 16d는 공통 카테고리 리스트(164)에 대한 탐색 결과와 프로세싱 콘텐츠을 나타낸다. 도 16d에 도시된 바와 같이, 공통 카테고리 리스트(164)에 대한 탐색 결과에 대하여, 사용자는 카테고리별로 그 카테고리에 속한 콘텐츠에 대한 접근을 허가하는가 금지하는지를 개별적으로 설정할 수 있다. 공통 카테고리 리스트(164)에 대한 제2 데이터베이스(60)에는 사용자 ID 영역(168) 및 카테고리 영역(169)이 마련되어 있다. 사용자 ID 영역(168)에는 사용자를 특정하기 위한 ID가 저장된다. 카테고리 영역(169)에는 57 종으로 분류되었던 카테고리의 각각에 대해 카테고리에 속한 콘텐츠에 대한 접근을 사용자가 허가하는지 아닌지를 나타내는 정보가 저장된다. GET 리퀘스트에 포함된 URL이 공통 카테고리 리스트(164)에 포함된 URL과 일치하는 경우, 그 URL의 카테고리와 사용자 ID에 근거하여 그 URL에 대한 접근의 허부가 판정된다. 또한, 도 16d에서는 공통 카테고리의 수가 57이지만 그 외의 다른 수일 수도 있다.
도 17은 바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 블랙 리스트(163), 및 공통 카테고리 리스트(164)의 우선도를 나타낸다. 전제 기술에서는 바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 블랙 리스트(163), 공통 카테고리 리스트(164)의 순서로 우선도가 높다. 예를 들면, 화이트 리스트(162)에 저장된 접근이 허가된 콘텐츠의 URL이더라도, 그 URL이 바이러스/피싱 사이트 리스트(161)에 저장되어 있으면 컴퓨터 바이러스를 포함한 콘텐츠이거나, 또는 피싱 트 랩에 사용된 콘텐츠라고 하여 접근이 금지된다.
종래에 소프트웨어를 이용하여 이와 같은 우선도를 고려한 매칭을 행할 때는, 예를 들면 우선도가 높은 리스트로부터 순서로 매칭을 행하고 처음에 매칭된 것을 채용하거나, 우선도가 낮은 리스트로부터 순서로 매칭을 행하고 나중에 매칭된 것을 덮어쓰는 등의 방법이 취해지고 있다. 그렇지만, 전제 기술에서는 전용의 하드웨어 회로에 의하여 구성된 통신 제어 장치(10)를 사용함으로써, 바이러스/피싱 사이트 리스트(161)의 매칭을 행하는 탐색 회로(30a)와 화이트 리스트(162)의 매칭을 수행하는 탐색 회로(30b)와 블랙 리스트(163)의 매칭을 수행하는 탐색 회로(30c)와 공통 카테고리 리스트(164)의 매칭을 수행하는 탐색 회로(30d)를 설치하고, 각각의 탐색 회로(30)에서 동시에 병렬려 매칭을 수행한다. 그리고, 다수개의 리스트에서 매칭된 경우는 우선도가 높은 것을 채용한다. 이것에 의해, 다수개의 데이터베이스가 제공되고 그것들에 우선도가 설정되고 있는 경우라도 탐색 시간을 대폭적으로 단축할 수 있다.
바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 블랙 리스트(163), 및 공통 카테고리 리스트(164)의 어느 쪽을 우선으로 접근의 허부를 판단하는가는, 예를 들면 제2 데이터베이스(60)에 설정되어 있을 수도 있다. 어느 리스트를 우선하는가에 따라 제2 데이터베이스(60)의 조건을 재기록할 수 있다.
이와 같이, 다수의 데이터베이스를 이용해 URL에 근거한 필터링을 행할 때,데이터베이스에 우선도를 설정하고 우선도에 따른 필터링 프로세싱를 할 수가 있도록 구성하고, 또한 바이러스/피싱 사이트 리스트(161)에 의한 필터링을 최우선 함 으로써, 사용자에 의한 화이트 리스트(162) 등의 설정 상황에 관계없이 바이러스 사이트나 피싱 사이트에의 접근을 확실하게 금지할 수 있다. 이것에 의해 바이러스나 피싱 사기의 피해로부터 사용자를 적절하게 보호할 수 있다.
콘텐츠에 대한 접근이 허가된 경우에 프로세싱 수행 회로(40)는 메시지 출력 서버(130)에 그 취지를 통지하기 위한 신호를 출력한다. 메시지 출력 서버(130)는 콘텐츠를 저장하는 서버를 향해 「GET」리퀘스트 메시지를 전송한다. 콘텐츠에 대한 접근이 금지된 경우는 프로세싱 수행 회로(40)가 메시지 출력 서버(130)에 그 취지를 통지하기 위한 신호를 출력하면 메시지 출력 서버(130)는 접근 목적지 서버에 「GET」리퀘스트 메시지를 송신하지 않고 파기한다. 이때, 접근이 금지된다는 취지의 응답 메시지를 요청원에 송신할 수 있다. 또한, 강제적으로 다른 웹 페이지에 전송시킬 수도 있다. 이 경우, 프로세싱 수행 회로(40)는 목적지 어드레스와 URL를 변경된 목적지 것으로 변경하여 전송한다. 응답 메시지나 변경된 웹페이지의 URL등의 정보는 제2 데이터베이스(60)나 메시지 출력 서버(130) 등에 저장될 수 있다.
메시지 출력 서버(130)는 핑(ping) 커맨드 등을 이용하여 요청원이 실제로 존재하는지를 확인하고, 존재하는 경우는 그 상태를 확인하고 나서 요청원에 대하여 메시지를 출력할 수 있다. 메시지 출력 서버(130)로부터 요청원으로 송신된 메시지는 사용자별로 설정할 수도 있고, 접근 목적지의 콘텐츠별로, 카테고리별로, 또는 화이트 리스트(162)나 블랙 리스트(163) 등의 데이터베이스별로 설정 가능하게 할 수 있다. 예를 들면, 접근이 금지될 때 표시된 화면을 사용자가 커스터마이 즈하여 메시지 출력 서버(130)에 등록하도록 할 수 있다. 또한, 상술한 바와 같이, 정당한 사이트가 해킹되어 접근을 일시적으로 제한하고 있을 때에, 정당한 사이트의 미러 사이트에 유도한 메시지를 출력하도록 할 수 있다.
메시지 출력 서버(130)는 메시지의 전송 이력을 관리하고 그 메시지 전송 이력 정보를 각종 제어에 이용할 수 있다. 예를 들면, 동일한 요청원으로부터 단시간에 다수의 접근 요청이 발신되고 있는 경우, 서비스 방해 공격(Denial of Service attack:DoS 공격) 등일 가능성이 있기 때문에, 그 요청원을 접근 거부 리스트에 등록하고, 그 요청원으로부터의 패킷을 요청 목적지에 보내지 않고 차단할 수 있다. 또한, 메시지의 전송 이력을 통계 프로세싱하고, 웹 사이트의 관리자 등에 제공할 수 있다. 이것에 의해, 사용자의 접근 이력을 마케팅에 이용하거나 통신 상황의 제어 등에 활용할 수 있다. 또한, 상황에 따라 메시지의 전송 회수를 적게 하거나 역으로 늘리거나 하는 것도 가능하다. 예를 들면, 특정한 IP 번호로부터 접근 요청이 발신된 경우에 그 하나의 리퀘스트 메시지에 대하여 몇 배의 메시지를 보내는 것도 가능하다.
이상의 구성 및 동작에 의하여 부적절한 콘텐츠에 대한 접근를 금지할 수 있다. 또한, 탐색 회로(30)가 FPGA등에 의하여 구성된 전용의 하드웨어 회로이기 때문에, 상술한 것처럼 고속의 탐색 프로세싱이 실현되어 트래픽에 주는 영향을 최소한으로 억제하면서 필터링 프로세싱를 수행할 수 있다. 인터넷 서비스 제공자 등은 이와 같은 필터링의 서비스를 제공함으로써 부가 가치가 높아지고 더 많은 사용자를 모을 수 있다.
 화이트 리스트(162) 또는 블랙 리스트(163)는 모든 사용자에 대하여 공통으로 설치될 수도 있다.
(실시의 형태)
계속해서, 통신 제어 시스템(100)에 있어서, 복수 개의 통신 제어 장치(10)를 설치할 때의 운용 기술에 관하여 설명한다. 예를 들면, 상술한 URL에 의한 필터링 제어를 수행하는 통신 제어 장치(10)에 있어, 데이터베이스를 저장하기 위한 RAM (Random Access Memory) 등의 저장 장치가 10만명의 사용자에 대응하는 데이터를 저장할 수 있는 용량을 갖는 것으로 가정한다. 이때, 통신 제어 시스템(10)의 사용자가 10만명을 초과하면, 종래에는 10만명 이상의 사용자 데이터가 저장 가능한 저장 장치를 설치한 통신 제어 장치(10)로 대체해야 했다. 하지만, 본 발명 실시 형태의 기술에 따르면, 복수 개의 통신 제어 장치를 설치하고 그러한 통신 제어 장치의 저장 장치에 화이트 리스트(162)나 블랙 리스트(163) 등의 데이터베이스를 분할하고 지지시켜 그것들을 협동시키고 운용함으로써, 1대의 대규모 통신 제어 장치(10)로서 기능 하는 것이 가능해진다. 따라서, 사용자 수가 통신 제어 장치(10)의 용량을 초과한 경우라도, 새롭게 통신 제어 장치를 추가함으로써 사용자의 증가에 대응할 수 있다. 이와 같이, 본 발명의 실시 형태에서는, 범용성 및 유연성이 높은 통신 제어 장치(10)의 운용 기술을 제안한다. 이 기술에 따르면, 이용자의 증대에 수반하는 시스템의 개변에 필요한 인시 및 비용을 절감할 수 있음과 동시에, 당초부터 이용자의 증대를 기대하고 대규모 시스템을 구축할 필요가 없으며, 이용 자 수에 따라 적절한 수의 통신 제어 장치를 설치할 수 있기 때문에, 초기 투자도 감소시킬 수 있다.
도 18은 본 발명의 실시예에 따른 통신 제어 시스템(100)의 구성을 나타낸다. 본 발명의 실시예에 따른 통신 제어 시스템(100)은, 복수 개의 통신 제어 장치(10a, 10b, 10c, ...)가 설치되고, 그것들을 협동시켜 전제 기술로 설명한 통신 제어 장치(10)로서 기능 하도록 한다. 그 밖의 구성 및 동작은 도 1에 도시된 전제 기술에 따른 통신 제어 시스템(100)과 동일하다.
본 발명의 실시예에 따른 통신 제어 시스템(100)에서, 통신 제어 장치는 패킷의 프로세싱에 필요한 데이터베이스의 적어도 일부를 분할하고 지지하는데 필요한 수보다 적어도 1대 이상 여분으로 설치된다. 예를 들면, 상술한 예에서, 사용자 수가 30만명 이상 40만명 미만인 경우에, 운용에 필요한 통신 제어 장치의 수는 4 대이지만, 어떠한 통신 제어 장치가 고장 났을 때를 대신하여 운용시키기 위한 대기용으로서, 또는 통신 제어 장치에 포함된 데이터베이스를 업데이트할 때의 대기용으로서 1대 이상의 통신 제어 장치를 추가적으로 설치할 수 있고, 따라서 적어도 총 5대의 통신 제어 장치가 설치된다. 종래에는 내고장성을 고려하여 시스템 전체를 이중화시킬 필요가 있지만, 본 발명의 실시예에 따르면, 분할된 단위의 통신 제어 장치(10)를 여분으로 마련해 둘 수 있고, 따라서 비용을 절감할 수 있다. 상기 복수 개의 통신 제어 장치(10a, 10b, 10c, ...)의 운용 상황은 운용 감시 서버(110)에 의하여 관리된다. 본 발명의 실시예에 따른 운용 감시 서버(110)는 통신 제어 장치의 운용 상황을 관리하기 위한 관리 테이블을 갖는다.
도 19는 본 발명의 실시예에 따른 통신 제어 장치(10)의 구성을 나타낸다. 도 19에 도시된 구성에 있어서, 탐색 회로(30) 및 프로세싱 수행 회로(40)는 본 발명에 있어서 데이터 프로세싱부에 대응하고, 제1 데이터베이스(50) 및 제2 데이터베이스(60)를 지지하는 구성은 데이터 지지부에 대응한다. 도 18에 도시된 예에서, 각각의 통신 제어 장치(10a, 10b, 10c)는 데이터 지지부 및 그것에 대응하는 데이터 프로세싱부를 포함하지만, 상기 통신 제어 장치는 일체적으로 1개의 장치 내에 설치될 수 있다. 또한, 1개의 데이터 프로세싱부가 복수 개의 데이터 지지부로 유지되는 데이터베이스를 참조하고 데이터를 프로세싱할 수 있다. 또한, 데이터 지지부는 RAM 등의 저장 장치일 수 있고, 또는 저장 장치의 내부의 일부 영역일 수 있다. 또한, 복수 개의 저장 장치가 1개의 데이터 지지부로 간주될 수 있다.
통신 제어 장치(10)에 있어서, 패킷 프로세싱에 사용되는 데이터베이스 중 제1 데이터베이스(50)의 화이트 리스트(162, 도 14b) 및 블랙 리스트(163, 도 14c) 및 제2 데이터베이스(60)의 각 사용자의 공통 카테고리 리스트의 접근 허부를 저장하는 것(도 16d)은, 사용자 수에 비례하여 큰 용량을 필요로 한다. 따라서, 이러한 데이터베이스를 분할하고 통신 제어 장치(10a, 10b, 10c,...)의 데이터 지지부에 유지시킨다.즉, 화이트 리스트(162)나 블랙 리스트(163)는, 본 발명에 있어서 제2의 데이터베이스에 대응한다. 바이러스 리스트(161, 도 14a) 및 공통 카테고리 리스트(164, 도 15)는 모든 사용자에 의해 공통으로 사용되고 그다지 용량이 크지 않기 때문에, 모든 통신 제어 장치(10a, 10b, 10c,...)의 데이터 지지부에 공통으로 유지시킨다.
후술할 바와 같이, 본 발명의 실시예에 따른 통신 제어 시스템(100)은, 프로세싱해야 할 통신 패킷을 운용중의 모든 통신 제어 장치(10a, 10b, 10c,...)로 공급하고, 각각의 통신 제어 장치가 공급되는 패킷을 프로세싱하는지를 판단한다. 그 패킷의 프로세싱을 담당하는 통신 제어 장치, 즉 그 패킷을 송신하는 사용자의 데이터를 지지하는 통신 제어 장치만이 패킷을 프로세싱하고 그 밖의 통신 제어 장치는 패킷을 파기한다. 이 때문에 어느 통신 제어 장치가 패킷을 프로세싱하는데 사용되어야 하는지를 판정하기 위한 데이터를 저장하는 사용자 데이터베이스(57)는 필수적이고, 이것이 없이는 패킷을 프로세싱할 수 없다. 따라서, 사용자 데이터베이스(57)는 모든 통신 제어 장치에 공통으로 유지된다. 따라서,사용자 데이터베이스(57)는 본 발명에 있어서 제1 데이터베이스에 대응한다.
본 발명의 실시예에서, 모든 통신 제어 장치(10a, 10b, 10c,...)로 모든 사용자의 데이터를 저장하는 사용자 데이터베이스(57)가 지지된다. 통신 제어 장치는 운용 감시 서버(110)로부터 자신이 담당해야 할 사용자의 사용자 ID의 범위를 통지받고, 사용자 데이터베이스(57) 중 통지된 범위의 사용자 ID의 데이터를 이용하여 사용자 인증을 수행하며, 수신한 패킷을 프로세싱할지를 판단한다.
도 20은 운용 감시 서버(110)에 설치된 관리 테이블(111)의 내부 데이터의 예를 나타낸다. 관리 테이블(111)은 장치 ID 영역(112), 운용 상황 영역(113), 사용자 ID 영역(114)을 포함한다. 장치 ID 영역(112)은 통신 제어 장치(10a, 10b...) 의 장치 ID가 저장되고, 운용 상황 영역(113)은 상기 통신 제어 장치의 운용 상황이 저장되며, 사용자 ID 영역(114)은 상기 통신 제어 장치가 담당해야 하는 사용자 ID의 범위가 저장된다. 운용 상황에는 예컨대, 「운용중」,「대기중」,「고장중」,「데이터 업데이트중」등이 있다.운용 상황 영역(113)은 통신 제어 장치(10a, 10b,....)의 운용 상황이 변경될 때마다 운용 감시 서버(110)에 의하여 업데이트된다. 도 20에 도시된 예에서는, 「465183」명의 사용자가 통신 제어 시스템(100)을 이용하고 있기 때문에, 장치 ID「1」∼「5」의 5 대의 통신 제어 장치(10)가 운용되고 있고, 장치 ID「6」의 통신 제어 장치(10)는 대기중 상태로 되어 있다.
운용 감시 서버(110)는 복수 개의 통신 제어 장치(10)의 운용 상황을 감시하고, 어떠한 통신 제어 장치(10)에 문제가 발생하여 운용이 불가능한 상태가 되는 것을 감지할 때에, 대기중 상태로 되어 있는 통신 제어 장치(10)에 운용이 정지된 통신 제어 장치(10)와 동일한 데이터를 저장하고, 그 통신 제어 장치(10)에 운용을 전환한다. 예를 들면,도 21에 도시된 바와 같이, 장치 ID「2」의 통신 제어 장치(10)가 고장으로 운용을 정지한 경우에, 대기중 상태였던 장치 ID「6」의 통신 제어 장치(10)에 사용자 ID「100001∼200000」의 데이터를 저장하고 운용을 시작하도록 한다. 따라서, 어떠한 문제로 인해 통신 제어 장치(10)가 정지되는 상황에도,적절하게 운용을 계속할 수 있다. 대기중의 통신 제어 장치(10)에는 미리 임의의 데이터를 저장해 줄 수 있고, 자동 대기 상태 또는 수동 대기 상태로 할 수 있다.
본 발명의 실시예에서, 대기중의 통신 제어 장치(10)의 데이터 지지부에 미리 사용자 데이터베이스(57)를 저장한다. 따라서, 만약 통신 제어 장치(10)가 운용 불가능한 상태가 되어도, 즉시 대기중의 통신 제어 장치(10)에 운용을 전환할 수 있다. 전술한 바와 같이, 각각의 통신 제어 장치(10)는 사용자 ID를 이용하고 패킷 을 프로세싱하는지를 판단하기 때문에, 만약 통신 제어 장치(10)가 운용 불가능한 상태가 되면 그 통신 제어 장치(10)가 담당하고 있던 사용자의 패킷을 수신할 때에 그 패킷을 프로세싱하는 통신 제어 장치(10)가 존재하지 않는 상태로 되어 패킷이 프로세싱되지 않는 상황이 발생한다. 이와 같은 상황을 신속하게 복구하기 위해서,대기중인 통신 제어 장치(10)의 데이터 지지부도 사용자 데이터베이스(57)를 미리 저장해 두고, 운용 감시 서버(110)는 운용 불가능으로 된 통신 제어 장치(10)가 담당하고 있던 사용자를 대기중의 통신 제어 장치(10)에 담당시키도록 사용자 ID의 범위를 통지한다. 결과적으로, 대기중의 통신 제어 장치(10)를 즉시 운용시킬 수 있고, 패킷이 프로세싱되지 않는 상황을 최소한으로 방지할 수 있다.
화이트 리스트(162) 또는 블랙 리스트(163) 등의 데이터베이스를 전부 대기중의 통신 제어 장치(10)에 나서 운용을 전환하면, 데이터베이스의 저장에 시간을 필요로 하고 패킷이 프로세싱되지 않는 상태가 장기간 계속될 가능성이 있기 때문에, 사용자 데이터베이스(57)만이 저장된 상태에서 대기중의 통신 제어 장치(10)에 운용을 전환할 수 있다. 따라서, 완전한 URL 필터링 서비스를 제공할 수는 없지만,패킷이 프로세싱되지 않는 상황은 피할 수 있다. 저장되지 않은 데이터베이스는 유지 작업시 또는 데이터베이스의 업데이트시에 저장할 수 있다. 바이러스 리스트(161) 또는 공통 카테고리 리스트(164) 등의 공통으로 사용되는 데이터베이스도,미리 대기중의 통신 제어 장치(10)에 저장될 수 있다. 따라서, 운용을 전환할 때에, 바이러스 리스트(161)에 저장된 URL에의 접근을 거부한 등의 일부의 서비스를 제공할 수 있다.
다음으로, 통신 제어 장치(10)에 포함된 데이터베이스를 업데이트하는 순서에 대해서 설명한다.데이터베이스 서버(150)는 소정의 시간에 URL 데이터베이스(160)로부터 최신의 데이터베이스를 취득하고 지지한다. 또한, 사용자의 신규 등록이나 탈퇴에 대응하여 사용자 데이터베이스를 업데이트하고 지지한다. 운용 감시 서버(110)는 소정의 시간에 데이터베이스 서버(150)로 유지되는 최신의 데이터베이스를 통신 제어 장치(10)에 반영시키기 위해서, 데이터베이스 서버(150)로부터 통신 제어 장치(10)에 데이터를 전송하고 저장시킨다.
도 22a,b, 및 c는 데이터베이스를 업데이트하는 과정을 설명하기 위한 도면이다. 도 22a는 도 19와 마찬가지로, 장치 ID「1」∼「5」의 통신 제어 장치(10)가 운용중이고, 장치 ID「6」의 통신 제어 장치(10)가 대기중인 상황을 나타낸다.운용 감시 서버(110)는 데이터베이스를 업데이트하는 시간이 도래하면, 현재 대기중 상태인 통신 제어 장치(10)를 특정하고, 그 통신 제어 장치(10)에 대하여 데이터를 저장하도록 데이터베이스 서버(150)에 지시한다. 도 22a의 예에서, 장치 ID「6」의 통신 제어 장치(10)가 대기중이기 때문에, 이 통신 제어 장치(10)에 데이터베이스 서버(150)로부터 데이터가 저장된다. 이때,운용 감시 서버(110)는 장치 ID「6」의 운용 상황 영역(113)을 「데이터 업데이트 중」으로 변경한다.
도 22b는 통신 제어 장치(10)의 데이터베이스가 업데이트 중인 상황을 나타낸다. 데이터베이스 서버(150)는 운용중의 통신 제어 장치(10)의 어느 한쪽이 담당하는 사용자 데이터를 대기중이었던 장치 ID「6」의 통신 제어 장치(10)의 사용자 데이터베이스(57)에 저장한다. 또한, 바이러스/피싱 사이트 리스트(161), 화이트 리스트(162), 블랙 리스트(163), 공통 카테고리 리스트(164), 제2 데이터베이스(60)의 데이터도 저장한다. 도 22b의 예에서, 장치 ID「1」의 통신 제어 장치(10)가 담당하고 있는 사용자 ID「000001∼100000」의 사용자의 데이터를, 장치 ID「6」의 통신 제어 장치(10)에 저장한다.
도 22c는 장치 ID「6」의 통신 제어 장치(10)의 데이터베이스가 업데이트되어 운용이 시작되고,대신 장치 ID「1」의 통신 제어 장치(10)가 대기중인 상태인 상황을 나타낸다. 운용 감시 서버(110)는, 장치 ID「6」의 통신 제어 장치(10)에 대한 데이터의 저장이 종료되면, 업데이트 후의 데이터베이스를 지지하는 장치 ID「6」의 통신 제어 장치(10)의 운용을 시작하는 동시에, 업데이트 전의 데이터베이스를 지지하는 장치 ID「1」의 통신 제어 장치(10)의 운용을 정지하고 대기중 상태에 있도록 한다. 따라서, 데이터베이스가 업데이트되는 통신 제어 장치(10)에 운용이 교체된다. 계속하여, 장치 ID「1」의 통신 제어 장치(10)에 사용자 ID「100001∼200000」의 사용자의 데이터를 저장한 후, 장치 ID「1」의 통신 제어 장치(10)의 운용을 시작하고, 장치 ID「2」의 통신 제어 장치(10)의 운용을 정지한다. 이후에,마찬가지로 순차적으로 데이터베이스를 업데이트 함으로써, 통신 제어 시스템(100)의 운용을 정지하지 않고, 모든 통신 제어 장치(10)의 데이터베이스를 배후에서 업데이트할 수 있다.
이와 같이, 본 발명의 실시예에 따른 통신 제어 장치(10)에서는 각각의 통신 제어 장치(10)에 저장되는 데이터가 고정적이 아니고, 따라서 통신 제어 장치(10)는 시간에 따라 변화하는 특정 사용자의 데이터를 저장한다. 각 통신 제어 장 치(10) 패킷을 보내기 전에, 어느 통신 제어 장치(10)에 그 사용자의 데이터가 존재하는지를 판정하는 프로세싱을 수행하면, 그 프로세싱에 필요로 하는 시간을 추가적으로 필요로 한다. 따라서, 본 발명의 실시예에서는, 수신한 패킷을 모든 통신 제어 장치(10)에 공급하고, 각 통신 제어 장치(10)는 그 패킷을 보낸 사용자의 데이터를 지지하고 있는지를 판정하여 지지하고 있던 통신 제어 장치(10)만이 패킷을 프로세싱하고 지지하고 있지 않던 통신 제어 장치(10)는 패킷을 무시한다. 이하, 이와 같은 구조를 실현하기 위한 기술에 관하여 설명한다.
도 23은 복수 개의 통신 제어 장치(10)에 의하여 패킷을 프로세싱하기 위해 설치된 통신 경로 제어 장치의 구성을 나타낸다. 통신 경로 제어 장치(200)는, 스위치(210), 데이터 공급부의 일례인 광 스플리터(220), 및 스위치(230)를 구비한다. 스위치(210)는 수신한 패킷을 통신 제어 장치(10)에 송신한다. 여기서, 스위치(210)와 통신 제어 장치(10)의 사이에는 복수 개의 통신 제어 장치(10a, 10b, 10c)에 패킷을 동시에 공급하기 위한 광 스플리터(220)가 마련되어 있고, 스위치(210)는 실제로 광 스플리터(220)에 패킷을 송신하고, 광 스플리터(220)는 각 통신 제어 장치에 패킷을 동시에 송신한다.
복수 개의 통신 제어 장치(10a, 10b, 10c)에 패킷을 송신하기 위해서 패킷을 브로드캐스트로 변환하면, 예컨대 헤더에 타임 스탬프를 추가하는 등의 추가적인 프로세싱이 발생하고, 그 결과 프로세싱 속도가 저하된다. 그 때문에, 패킷에 변경을 가하지 않고 광 스플리터(220)에 의해 분할시키고, 유니캐스트인 채로 복수 개의 통신 제어 장치(10a, 10b, 10c)에 패킷을 송신한다. 이러한 방식을 본 명세서에 서는 「패러렐 캐스트(parallelcast)」라고 부른다.
각 통신 제어 장치는, 장치의 MAC 어드레스로 향하는 패킷만을 수신하는 모드가 아니라, 수신인의 MAC 어드레스에 관계없이 모든 패킷을 수신하는 모드로 설정된다.각각의 통신 제어 장치는 광 스플리터(220)로부터 패러렐 캐스트된 패킷을 수신하면, MAC 어드레스의 매칭 프로세싱을 줄이고 모든 패킷을 일단 취득하고, 데이터 지지부로 유지되는 사용자 데이터베이스(57)를 참조하여 전제 기술로 설명한 사용자 ID의 매칭 프로세싱을 수행하고, 자신이 프로세싱해야 할 패킷인가를 판정한다. 도 22에 도시된 예에서, 패킷을 발신한 사용자의 데이터가 통신 제어 장치(10c)에 존재하고 있었기 때문에, 통신 제어 장치(10a 및 10b)는 그 패킷을 파기하고, 통신 제어 장치(10c)는 상술한 URL 필터링 프로세싱을 수행한다.
통신 제어 장치(10c)는 접근이 금지되는 경우 등 사용자 앞에 패킷을 회신하는 경우에는 광 스플리터(220)를 이용하지 않고 스위치(210)에 응답 패킷을 송신한다. 통신 제어 장치(10c)가 패킷을 프로세싱한 결과 접근이 허가되는 경우에는, 그 패킷을 내용의 요청선에 송신한다. 여기서 통신 제어 장치(10)와 상류의 통신 회선의 사이에는, 복수 개의 통신 제어 장치(10a, 10b, 10c)로부터 송출된 패킷을 집약하기 위한 스위치(230)가 마련되어 있고, 통신 제어 장치(10c)는 실제로 스위치(230)에 패킷을 송신하고 스위치(230)가 상류의 통신 회선에 패킷을 송출한다.
컨텐츠의 요청선으로부터 회신된 패킷을 스위치(230)가 수신하면, 이 패킷은 통신 제어 장치(10)에 의한 프로세싱을 필요로 하지 않기 때문에, 스위치(230)의 포트(232)로부터 스위치(210)의 포트(212)에 전송된다. 그러므로, 패킷은 스위 치(210)로부터 사용자로 전송된다. 일반적으로, 인터넷에서는 패킷에 대한 응답 패킷이 확실하게 송신원에 회신되도록 회신 경로를 확보하기 위해서, 송신시의 경로가 패킷에 기록된다. 그러나,본 발명의 실시예에서는, 통신 제어 경로 장치(200) 안에 회신 경로가 미리 준비되어 있기 때문에, 경로를 기록하지 않고 즉, 패킷을 가공하지 않고 장치 사이의 통신을 수행한다. 결과적으로, 불필요한 프로세싱을 줄이고, 프로세싱 속도를 향상시킬 수 있다.
도 23의 예에서, 컨텐츠를 지지하는 서버에 사용자로부터 발신된 컨텐츠의 취득 요청을 포함하는 패킷을 송출하는 경우에만 패킷을 프로세싱하고, 컨텐츠를 지지하는 서버로부터 사용자에게 송출되는 패킷은 프로세싱하지 않고 통과시키는 경우의 구성을 나타내고 있지만, 통신 제어 장치(10)가 양방향의 패킷을 프로세싱하도록 구성될 수 있다. 이 경우에, 통신 제어 장치(10)의 양측에 광 스플리터(220)를 설치할 수 있다. 또한, 스위치(230)로부터 스위치(210)에의 바이패스 경로는 설치하지 않을 수 있다.
이와 같이, 복수 개의 통신 제어 장치 중 패킷을 프로세싱해야 할 통신 제어 장치를 미리 특정하지 않아도 모든 통신 제어 장치에 동일한 패킷을 패럴렐 캐스트 하는 것에 의해서, 프로세싱해야 할 통신 제어 장치에 적절하게 패킷을 프로세싱시킬 수 있다.
복수 개의 통신 제어 장치중 적어도 1개의 통신 제어 장치는 사용자 데이터베이스(57)에 저장된 사용자 ID의 리스트의 어느 사용자 ID도 포함하지 않는 패킷을 수신할 때에, 패킷을 그대로 네트워크에 송출할 수 있다. 이것에 의해 어느 통 신 제어 장치도 프로세싱할 필요가 없는 패킷을 수신할 때에 그 패킷을 적절하게 통과시킬 수 있다. 복수 개의 통신 제어 장치가 패킷을 통과시키면 동일한 패킷이 여러번 송출하는 것이 되기 때문에, 어느 1개의 통신 제어 장치만이 패킷을 통과시키는 것이 바람직하다. 이 기능을 갖는 통신 제어 장치를 「제1 장치」라고 부르고. 그 밖의 통신 제어 장치를 「제2 장치」라고 부른다.
운용 감시 서버(110)는 어느 1개의 통신 제어 장치를 제1 장치로 지정하여, 상술한 기능을 수행시키고,그 밖의 통신 제어 장치를 제2 장치로 지정하여,자신이 담당한 패킷만을 프로세싱시키도록 제어할 수 있다. 이 경우, 제1 장치는 사용자 데이터베이스(57)에 저장된 ID의 리스트 중 자신이 프로세싱해야 할 사용자 ID의 범위에 해당하는 패킷을 프로세싱하고 사용자 데이터베이스(57)에 저장된 사용자 ID에는 일치하지만 자신이 담당하는 범위의 사용자 ID가 아닌 패킷은 파기한다.사용자 데이터베이스(57)에 저장되는 사용자 ID가 모두 일치하지 않는 경우는 그 패킷을 프로세싱하지 않고 통과시킨다.제2 장치는 사용자 데이터베이스(57)에 저장된 ID의 리스트 중 자신이 프로세싱해야 하는 사용자 ID의 범위에 해당하는 패킷만을 프로세싱하고 그 밖의 패킷은 파기한다.
도 24는 복수 개의 통신 제어 장치중 어느 1개를 이용하여 패킷을 프로세싱하는 과정을 나타낸다. 도 24에서, 통신 제어 장치(10)는 3대의 통신 제어 장치(10a, 10b, 10c)를 포함하고 있고, 사용자 데이터베이스(57)는「000001-300000」의 사용자 ID의 리스트가 저장된다. 통신 제어 장치(10a)는 사용자 ID「000001-100000」의 사용자의 패킷을 프로세싱하고, 통신 제어 장치(10b)는 사용자 ID「 100001-200000」의 사용자의 패킷을 프로세싱하고, 통신 제어 장치(10c)는 사용자 ID「200001-300000」의 사용자의 패킷을 프로세싱한다.또한, 통신 제어 장치(10a)가 제1 장치로 지정되고, 통신 제어 장치(10b 및 10c) 제2 장치이다.
예컨대, 사용자 ID「148890」의 사용자의 패킷을 수신하였다고 가정한다. 이 사용자 ID는 사용자 데이터베이스(57)에 저장된 리스트에 포함되기 때문에 이 패킷은 어떠한 통신 제어 장치에 의하여 프로세싱되지 않으면 안 된다. 여기에서는,사용자 ID「100001-200000」의 패킷을 프로세싱하는 통신 제어 장치(10b)가 이 패킷을 프로세싱하고 통신 제어 장치(10a 및 10c)는 이 패킷을 파기한다.
도 25는 복수 개의 통신 제어 장치중 어느 1개를 이용하여 패킷을 통과시키는 과정을 나타내는 도면이다. 도 24와 동일한 예에 있어서, 사용자 ID「513482」의 사용자 패킷을 수신하였다고 한다. 이 사용자 ID는 사용자 데이터베이스(57)에 저장된 리스트에 포함되지 않기 때문에 어느 통신 제어 장치도 프로세싱할 필요가 없다. 그러면, 이 패킷을 프로세싱하지 않고 통과시키지 위해서 제1 장치로 지정된 통신 제어 장치(10a) 만이 이 패킷을 투과시키고 그 밖의 통신 제어 장치(10b 및 10c)는 이 패킷을 파기한다. 이와 같은 기술에 의하여, 프로세싱해야 할 패킷을 어떠한 통신 제어 장치에 의하여 적절하게 프로세싱함과 동시에 프로세싱해서는 안되는 패킷을 그대로 통과시킬 수 있다.
이러한 통신 제어 장치는, 상술한 바와 같이, 통신 경로 제어 장치(200)로부터 패러렐 캐스트된 모든 패킷을 수신하고 프로세싱 또는 파기하기 때문에 인터넷상에서 장치를 하나의 의미에 식별하기 위한 IP 어드레스를 부여해 둘 필요가 없 다. 서버 장치 등에 의하여 상술하는 것 같은 패킷 프로세싱을 수행하는 경우는 서버 장치에 대한 공격을 고려할 필요가 있지만, 본 실시의 형태의 통신 제어 장치는 인터넷을 이용하고 악의 있는 제삼자로부터 직접 공격을 받는 것이 없기 때문에 안전하게 통신 제어를 할 수가 있다.
이상은 본 발명을 실시의 형태를 기초로 설명하였다. 이 실시의 형태는 예시적인 것이고, 그러한 각 구성 요소나 각 프로세싱 프로세스의 조합에 다양한 변형d예들이 가능한 것, 또한 그러한 변형예들도 본 발명의 범위에 속하는 것은 당업자에게 자명한 것이다.
실시의 형태로는 복수 개의 통신 제어 장치의 각각에 데이터 프로세싱부와 데이터 지지부가 설치되는 통신 제어 시스템에 관하여 기술하였지만, 본 발명의 기술은 1대의 데이터 프로세싱 장치의 내부에 복수 개의 데이터 지지부를 구비한 경우에도 마찬가지로 적용 가능하다.또한, 1개의 데이터 프로세싱부가 복수 개의 데이터 지지부로 유지되는 데이터베이스를 참조하고 데이터를 프로세싱한 경우에도 마찬가지로 적용 가능하다. 또한, 대기용의 데이터 지지부는 2개 이상 설치될 수 있다.
본 발명에 의하면 복수 개의 데이터베이스를 적절하게 운용하는 기술을 제공할 수 있다.
본 발명은 복수 개의 데이터베이스를 포함하는 데이터 프로세싱 시스템에 적용할 수 있다.

Claims (15)

  1. 취득한 데이터를 프로세싱하는 데이터 프로세싱부;
    상기 데이터를 프로세싱하는데 사용되는 데이터베이스를 저장하는 복수 개의 데이터 지지부를 포함하는 데이터 프로세싱 시스템에 있어서,
    상기 복수 개의 데이터 지지부는 제1 데이터베이스를 공통으로 저장하고 제2 데이터베이스를 분할하여 각각 저장하며,
    상기 데이터 프로세싱 시스템은 상기 제1의 데이터베이스 및 분할된 상기 제2 데이터베이스를 저장할 수 있는 적어도 하나 이상의 데이터 지지부를 더 포함하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  2. 제1항에 있어서,
    상기 제1 데이터베이스는, 분할된 상기 제2 데이터베이스의 어느 부분이 상기 데이터를 프로세싱하는데 사용될 것인지를 판정하는 데이터를 저장하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  3. 제1항 또는 제2항에 있어서,
    상기 복수 개의 데이터 지지부의 운용 상황을 관리하는 운용 관리부를 더 포함하고,
    상기 운용 관리부는, 상기 제2 데이터베이스를 분할하고 지지하는데 필요한 수의 데이터 지지부를 운용시키고 그 밖의 데이터 지지부를 대기시키며,
    상기 운용 관리부는, 상기 데이터 지지부에 지지된 데이터베이스가 업데이트될때 운용중인 상기 데이터 지지부들 중 임의의 데이터 지지부에 지지되는 데이터베이스의 데이터를 업데이트하여 대기중인 데이터 지지부에 저장하고, 업데이트 전의 데이터 지지부가 지지하는 데이터 지지부로부터 업데이트 후의 데이터베이스를 지지하는 데이터 지지부에 운용을 전환하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  4. 제3항에 있어서,
    상기 운용 관리부는, 운용중의 데이터 지지부가 운용 불가능한 상태임을 감지할 때, 상기 데이터 지지부가 지지하고 있던 데이터베이스를 대기중인 데이터 지지부에 저장시키고, 상기 대기중의 데이터 지지부에 운용을 전환하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  5. 제3항 또는 제4항에 있어서,
    상기 대기중인 데이터 지지부는 미리 상기 제1 데이터베이스를 저장하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  6. 제3항 내지 제5항 중 어느 한 항에서,
    복수 개의 상기 데이터 프로세싱부는 상기 복수 개의 데이터 지지부에 각각 대응하도록 제공되고,
    상기 데이터 프로세싱 시스템은, 취득한 데이터를 상기 복수 개의 데이터 프로세싱부에 동시에 공급하는 데이터 공급부를 더 포함하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  7. 제6항에 있어서,
    상기 데이터 공급부는, 취득한 데이터를 가공하지 않고 본래의 형태로 상기 복수 개의 데이터 프로세싱부에 동시에 공급하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  8. 제6항 또는 제7항에 있어서,
    상기 복수 개의 데이터 프로세싱부는, 상기 데이터 공급부로부터 데이터를 취득할 때 대응하는 상기 데이터 지지부가 지지하는 상기 제1 데이터베이스를 참조하여 프로세싱할 데이터인지를 판정하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  9. 제8항에 있어서,
    상기 데이터 프로세싱부는 패킷을 취득하고 통신을 제어하는 통신 제어 장치이고, 상기 데이터 공급부로부터 패킷을 취득할 때 데이터 프로세싱부 자체로 향하는 패킷인지를 판정하지 않고 패킷을 취득하며, 대응하는 상기 데이터 지지부가 지 지하는 데이터베이스를 참조하여 프로세싱해야 할 패킷인지를 판정하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  10. 제9항에 있어서,
    상기 통신 제어 장치는, 상기 패킷의 헤더부에 저장된 정보가 아닌 데이터부에 저장된 정보를 이용하여, 프로세싱해야 할 패킷인지를 판정하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  11. 제9항 또는 제10항에 있어서,
    상기 통신 제어 장치는, 대응하는 상기 데이터 지지부가 지지하는 제1 데이터베이스를 참조하여 프로세싱해야 할 패킷인지를 판정하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  12. 제9항 내지 제11항 중 어느 한 항에 있어서,
    프로세싱해야 할 패킷이라고 판정한 데이터 프로세싱부는 상기 패킷을 프로세싱하고, 프로세싱해야 할 패킷이 아니라고 판정한 데이터 프로세싱부는 상기 패킷을 파기하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  13. 제9항 내지 제12항 중 어느 한 항에 있어서,
    상기 제1 데이터베이스는 상기 복수 개의 데이터 프로세싱부 중 어느 하나에 의해서 프로세싱될 데이터를 식별하는 ID의 리스트를 저장하고,
    상기 데이터 프로세싱 유닛은 상기 제1 데이터베이스에 저장된 ID의 리스트 중 자신이 프로세싱해야 할 ID의 범위가 통지되어, 상기 프로세싱해야 할 ID의 범위에 해당하는 ID를 포함한 패킷을 취득할 때에 그 패킷을 프로세싱하는 것을 특징으로 하는 데이터 프로세싱 시스템.
  14. 제13항에 있어서,
    상기 복수 개의 데이터 프로세싱 유닛 중 적어도 1개는 상기 제1 데이터베이스에 저장된 ID의 리스트 중 어느 ID도 포함하지 않는 패킷을 취득할 때에 상기 패킷을 프로세싱하지 않고 그대로 통과시키는 것을 특징으로 하는 데이터 프로세싱 시스템.
  15. 제9항 내지 제14항 중 어느 한 항에 있어서,
    상기 데이터 공급부는, 취득한 패킷을 브로드캐스트로 변환하지 않고 유니캐스트인채로 상기 복수 개의 통신 제어 장치에 동시에 공급하는 것을 특징으로 하는 데이터 프로세싱 시스템.
KR1020077029633A 2005-05-20 2005-07-27 데이터 프로세싱 시스템 KR20080021677A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
PCT/JP2005/009246 WO2006123420A1 (ja) 2005-05-20 2005-05-20 データ処理システム
WOPCT/JP2005/009246 2005-05-20

Publications (1)

Publication Number Publication Date
KR20080021677A true KR20080021677A (ko) 2008-03-07

Family

ID=37431004

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077029633A KR20080021677A (ko) 2005-05-20 2005-07-27 데이터 프로세싱 시스템

Country Status (7)

Country Link
US (2) US20090132554A1 (ko)
EP (2) EP1901172A1 (ko)
JP (2) JP4087427B2 (ko)
KR (1) KR20080021677A (ko)
CN (2) CN101213528B (ko)
CA (2) CA2608156A1 (ko)
WO (2) WO2006123420A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2608156A1 (en) * 2005-05-20 2006-11-23 Duaxes Corporation Data processing system
US20080060062A1 (en) * 2006-08-31 2008-03-06 Robert B Lord Methods and systems for preventing information theft
WO2008075426A1 (ja) * 2006-12-20 2008-06-26 Duaxes Corporation 通信制御装置及び通信制御方法
US7470320B1 (en) 2007-06-07 2008-12-30 Xerox Corporation Nanosized particles of monoazo laked pigment with tunable properties
US8126860B2 (en) * 2007-07-17 2012-02-28 Ricoh Company, Limited Method and apparatus for processing data
JP5156892B2 (ja) * 2007-11-19 2013-03-06 デュアキシズ株式会社 ログ出力制御装置及びログ出力制御方法
WO2009066338A1 (ja) * 2007-11-19 2009-05-28 Duaxes Corporation 通信制御装置
US8286219B2 (en) * 2008-02-16 2012-10-09 Xencare Software Inc. Safe and secure program execution framework
JP4894826B2 (ja) 2008-07-14 2012-03-14 ソニー株式会社 通信装置、通信システム、報知方法、及びプログラム
US8381292B1 (en) * 2008-12-30 2013-02-19 The Uab Research Foundation System and method for branding a phishing website using advanced pattern matching
US8386429B2 (en) * 2009-03-31 2013-02-26 Microsoft Corporation Generic editor for databases
CN102231199A (zh) * 2011-06-27 2011-11-02 中国建设银行股份有限公司 一种交易信息异步处理的方法及装置
US9659175B2 (en) 2012-05-09 2017-05-23 SunStone Information Defense Inc. Methods and apparatus for identifying and removing malicious applications
US20170193041A1 (en) * 2016-01-05 2017-07-06 Sqrrl Data, Inc. Document-partitioned secondary indexes in a sorted, distributed key/value data store
US10419410B2 (en) * 2016-12-15 2019-09-17 Seagate Technology Llc Automatic generation of unique identifiers for distributed directory management users

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6343446A (ja) * 1986-08-11 1988-02-24 Mitsubishi Electric Corp パケツト交換装置
JPH03131141A (ja) * 1989-10-16 1991-06-04 Nippon Telegr & Teleph Corp <Ntt> 光論理バス通信方式
JPH04180425A (ja) 1990-11-15 1992-06-26 Toshiba Corp 通信システム
JPH0675840A (ja) * 1992-08-26 1994-03-18 Hitachi Ltd データベースメンテナンス方式
JP4000223B2 (ja) * 1997-09-24 2007-10-31 富士通株式会社 情報検索方法,情報検索システムおよび同システム用検索管理装置
JPH11232279A (ja) 1998-02-12 1999-08-27 Kawasaki Steel Corp 分割探索方法及び装置
JP2001051890A (ja) * 1999-08-10 2001-02-23 Toshiba Corp 仮想分散ファイルサーバシステム
JP2001168911A (ja) 1999-12-09 2001-06-22 Hitachi Cable Ltd パケットフィルタ装置
JP3776278B2 (ja) * 2000-02-07 2006-05-17 日本電信電話株式会社 データベース処理システム
JP3605343B2 (ja) 2000-03-31 2004-12-22 デジタルア−ツ株式会社 インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置
WO2002082750A1 (fr) 2001-04-02 2002-10-17 Dcl Inc. Dispositif de recherche de chaines binaires et procede associe
JP3829702B2 (ja) 2001-11-29 2006-10-04 横河電機株式会社 フレーム同期装置及び方法
JP2003258997A (ja) * 2002-02-27 2003-09-12 Nippon Telegr & Teleph Corp <Ntt> サービス制御ノードシステムの予備方式
US6978396B2 (en) * 2002-05-30 2005-12-20 Solid Information Technology Oy Method and system for processing replicated transactions parallel in secondary server
JP2004140618A (ja) 2002-10-18 2004-05-13 Yokogawa Electric Corp パケットフィルタ装置および不正アクセス検知装置
JP2004164435A (ja) 2002-11-14 2004-06-10 Nec Software Kyushu Ltd 接続要求中継装置、フィルタリングシステム、方法、及びプログラム
GB0227048D0 (en) * 2002-11-20 2002-12-24 3Com Corp Network units for use in and organisation of cascade systems
JP2004172917A (ja) 2002-11-20 2004-06-17 Nec Corp パケット検索装置及びそれに用いるパケット処理検索方法並びにそのプログラム
JP2004187201A (ja) 2002-12-06 2004-07-02 Nippon Telegr & Teleph Corp <Ntt> データ列検索用ノード,これを用いるデータ列検索方法並びにデータ列検索処理装置
JP4346975B2 (ja) 2003-06-27 2009-10-21 株式会社ルネサステクノロジ 連想メモリ機能付き集積回路及び侵入検知装置
JP2005084841A (ja) * 2003-09-05 2005-03-31 Patolis Corp データベース検索システム、データベース検索プログラム、データベース検索方法
CN100448238C (zh) * 2004-09-06 2008-12-31 恒生电子股份有限公司 离散数据集中处理系统
CA2608156A1 (en) * 2005-05-20 2006-11-23 Duaxes Corporation Data processing system

Also Published As

Publication number Publication date
CN101213528A (zh) 2008-07-02
WO2006123443A1 (ja) 2006-11-23
US20090216802A1 (en) 2009-08-27
WO2006123443A8 (ja) 2007-07-05
JPWO2006123443A1 (ja) 2008-12-25
WO2006123420A1 (ja) 2006-11-23
JPWO2006123420A1 (ja) 2008-12-25
CN100590615C (zh) 2010-02-17
JP4087427B2 (ja) 2008-05-21
CN101213529A (zh) 2008-07-02
CA2608156A1 (en) 2006-11-23
US7865474B2 (en) 2011-01-04
US20090132554A1 (en) 2009-05-21
EP1901173A1 (en) 2008-03-19
CN101213528B (zh) 2010-04-07
EP1901172A1 (en) 2008-03-19
CA2609130A1 (en) 2006-11-23
JP4087428B2 (ja) 2008-05-21

Similar Documents

Publication Publication Date Title
KR20080021677A (ko) 데이터 프로세싱 시스템
JP4554671B2 (ja) 通信制御装置
JP4554675B2 (ja) 通信制御装置及び通信制御システム
KR20070103774A (ko) 통신 제어 장치 및 통신 제어 시스템
JPWO2006087837A1 (ja) 通信制御システム
WO2008023423A1 (fr) Système de gestion de communication et procédé de gestion de communication associé
WO2008062542A1 (fr) Appareil de commande de communication
JP4319246B2 (ja) 通信制御装置及び通信制御方法
WO2006087837A1 (ja) 通信制御装置及び通信制御システム
KR20080017046A (ko) 데이터 프로세싱 시스템
JP4638513B2 (ja) 通信制御装置及び通信制御方法
JP5156892B2 (ja) ログ出力制御装置及びログ出力制御方法
JPWO2009066347A1 (ja) 負荷分散装置
WO2008075426A1 (ja) 通信制御装置及び通信制御方法
JPWO2009066344A1 (ja) 通信制御装置、通信制御システム及び通信制御方法
JPWO2009069178A1 (ja) 通信制御装置及び通信制御方法
KR20070121806A (ko) 통신 제어 장치 및 통신 제어 시스템
JPWO2009066349A1 (ja) 通信制御装置及び通信制御方法
KR20080057284A (ko) 통신 관리 시스템, 통신 관리 방법, 및 통신 제어 장치
JPWO2009066348A1 (ja) 通信制御装置及び通信制御方法

Legal Events

Date Code Title Description
A201 Request for examination
WITB Written withdrawal of application