WO2006103743A1

WO2006103743A1 - 通信制御装置及び通信制御システム

Info

Publication number: WO2006103743A1
Application number: PCT/JP2005/005789
Authority: WO
Inventors: Mitsugu Nagoya
Original assignee: Duaxes Corporation
Priority date: 2005-03-28
Filing date: 2005-03-28
Publication date: 2006-10-05
Also published as: JPWO2006103743A1; EP1868103A1; US8073855B2; CN100580644C; CN101167063A; US20090132509A1; CA2603106A1; JP4554675B2

Abstract

　高速な通信制御装置を実現する技術を提供する。　通信制御装置のパケット処理回路２０は、ユーザデータベース５７、ウイルスリスト１６１、ホワイトリスト１６２、ブラックリスト１６３、及び共通カテゴリリスト１６４を備える。コンテンツに対するアクセス要求を取得すると、そのアクセス要求を発信したユーザの情報を検索回路３０によりユーザデータベース５７とマッチングし、ユーザを認証する。認証されると、検索回路３０は、アクセス先のコンテンツのＵＲＬを、ウイルスリスト１６１、ホワイトリスト１６２、ブラックリスト１６３、及び共通カテゴリリスト１６４とマッチングする。処理実行回路４０は、検索回路３０の検索結果と、第２データベース６０に格納された判定条件に基づいて、アクセスの許否を制御する。パケット処理回路２０は、ワイヤードロジック回路により構成される。

Description

明細書

通信制御装置及び通信制御システム

技術分野

[0001] 本発明は、通信制御技術に関し、特に、ネットワークを介してアクセス可能な位置に保持されたコンテンツに対するアクセスの許否を制御する通信制御装置及び通信制御システムに関する。

背景技術

[0002] インターネットのインフラが整備され、携帯電話端末、パーソナルコンピュータ、 Vol P (Voice over Internet Protocol)電話端末などの通信端末が広く普及した現在、インターネットの利用者は爆発的に増加している。このような状況下、コンピュータウィルス、ノ、ッキング、スパムメールなど、セキュリティに関する問題が顕在化しており、通信を適切に制御する技術が求められている。

[0003] インターネットを利用して、膨大な情報に容易にアクセスすることができるようになつたが、有害な情報が氾濫してきているのも事実であり、有害な情報の発信元に対する規制が追いつかない状況にある。誰もが安心して効果的にインターネットを利用する環境を整えるために、有害なコンテンツに対するアクセスを適切に制御する技術が求められる。

[0004] 例えば、アクセス許可サイトのリスト、アクセス禁止サイトのリスト、禁止語キーワード、有益語キーワードなどのデータベースを用意し、インターネットを介して外部情報へアクセスする際に、これらのデータベースを参照して、アクセスを制御する技術が提案されている (例えば、特許文献 1参照)。

特許文献 1：特開 2001— 282797号公報

発明の開示

発明が解決しょうとする課題

[0005] 特許文献 1に開示されたような通信制御を実現する場合、近年では通信環境の向上に伴って通信量が膨大になっているため、アクセスの許否を判定するためのデータベースとのマッチング処理が律速となって、アクセスに要する時間が増大する恐れがある。このような事態を回避するためには、大容量のデータを高速に処理することが可能な通信制御装置が必要となる。

[0006] 本発明はこうした状況に鑑みてなされたものであり、その目的は、高速な通信制御装置を実現する技術の提供にある。

課題を解決するための手段

[0007] 本発明のある態様は、通信制御装置に関する。この通信制御装置は、ネットワークを介してアクセス可能な位置に保持されたコンテンッに対するアクセスの許否を決定するための基準となる基準データを記憶する記憶部と、前記コンテンツに対するァクセスを要求するための通信データを取得し、前記通信データの中に前記基準データが含まれているか否かを検索する検索部と、前記検索結果に基づいて、前記コンテンッに対するアクセスを制御する処理部と、を含み、前記検索部は、ワイヤードロジック回路により構成されることを特徴とする。

[0008] アクセスの許否を判定するための処理を行う検索部を、ワイヤードロジック回路により構成された専用のハードウェア回路として設けることにより、処理速度を向上させることができる。したがって、トラフィックに与える影響を最小限に抑えつつ、適切にァクセスの制御を行うことができる。

[0009] 前記検索部は、前記通信データに含まれるアクセス先のコンテンツの位置を示す情報の中に前記基準データが含まれるか否かを検索してもよヽ。コンテンツの位置を示す情報は、例えば、 URL (Uniform Resource Locator)であってもよい。

[0010] 前記記憶部は、前記基準データを格納したデータベースを複数含んでもよぐ前記検索部は、複数の前記データベースのそれぞれに対して、前記通信データの中に、そのデータベースに格納された前記基準データが含まれている力否かを検索する検索回路を含んでもよぐ複数の前記検索回路が並列して、複数の前記データベースの検索を実行してもよい。これにより、検索速度を向上させることができる。

[0011] 前記複数のデータベースに対して優先度が設定されてもよぐ複数の前記検索回路が並列して複数の前記データベースの検索を実行した結果、複数のデータベースの基準データと合致した場合は、優先度の高い検索結果が採用されてもよい。優先度が設定されている場合であっても、同時に並列して検索を実行することができるので、検索速度を向上させることができる。

[0012] 前記データベースは、アクセスを許可するコンテンツの位置を示すデータを格納してもよい。前記データベースは、アクセスを禁止するコンテンツの位置を示すデータを格納してもよい。前記データベースは、コンピュータウィルスを含み、アクセスが禁止されるコンテンツの位置を示すデータを格納してもよい。前記データベースは、力テゴリごとに、そのカテゴリに属するコンテンツに対するアクセスを許可する力禁止する力をユーザが個別に設定したデータを格納してもよい。

[0013] 本発明の別の態様は、通信制御システムに関する。この通信制御システムは、上記のいずれかの通信制御装置と、前記通信制御装置に接続され、前記通信制御装置の動作を制御するサーバ装置と、を含むことを特徴とする。ワイヤードロジック回路により構成された通信制御装置を、周辺のサーバ装置により制御することで、通信制御装置に各種の機能を実現させることができ、柔軟性の高いシステムを提供することができる。

[0014] なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。

発明の効果

[0015] 本発明によれば、高速な処理が可能な通信制御装置を実現する技術を提供することがでさる。

図面の簡単な説明

[0016] [図 1]実施の形態に係る通信制御システムの構成を示す図である。

[図 2]従来の通信制御装置の構成を示す図である。

[図 3]実施の形態に係る通信制御装置の構成を示す図である。

[図 4]パケット処理回路の内部構成を示す図である。

[図 5]位置検出回路の内部構成を示す図である。

[図 6]第 1データベースの内部データの例を示す図である。

[図 7]第 1データベースの内部データの別の例を示す図である。

[図 8]第 1データベースの内部データのさらに別の例を示す図である。 [図 9]ノイナリサーチ回路に含まれる比較回路の構成を示す図である。

[図 10]第 2データベースの内部データの例を示す図である。

[図 11]第 2データベースの内部データの別の例を示す図である。

[図 12]実施の形態に係るパケット処理回路の内部構成を示す図である。

[図 13]図 13 (a)は、ウィルスリストの内部データの例を示す図であり、図 13 (b)は、ホワイトリストの内部データの例を示す図であり、図 13 (c)は、ブラックリストの内部データの例を示す図である。

[図 14]共通カテゴリリストの内部データの例を示す図である。

[図 15]図 15 (a)、（b)、（c)、及び (d)は、第 2データベースの内部データの例を示す図である。

[図 16]ウィルスリスト、ホワイトリスト、ブラックリスト、及び共通カテゴリリストの優先度を示す図である。

符号の説明

[0017] 10 通信制御装置、 20 パケット処理回路、 30 検索回路、 32 位置検出回路、 3 3 比較回路、 34 インデックス回路、 35 比較回路、 36 バイナリサーチ回路、 40 処理実行回路、 50 第 1データベース、 57 ユーザデータベース、 60 第 2データべース、 100 通信制御システム、 110 運用監視サーバ、 120 接続管理サーバ、 13 0 メッセージ出力サーバ、 140 ログ管理サーバ、 150 データベースサーバ、 160 URLデータベース、 161 ウィルスリスト、 162 ホワイトリスト、 163 ブラックリスト、 164 共通カテゴリリスト。

発明を実施するための最良の形態

[0018] 図 1は、実施の形態に係る通信制御システムの構成を示す。通信制御システム 100 は、通信制御装置 10と、通信制御装置 10の動作を支援するために設けられた各種の周辺装置を含む。本実施の形態の通信制御装置 10は、インターネットサービスプロバイダなどにより提供される URLフィルタリング機能を実現する。ネットワークの経路に設けられた通信制御装置 10は、コンテンツに対するアクセス要求を取得して、その内容を解析し、コンテンツに対するアクセスの許否を判断する。コンテンツに対するアクセスが許可される場合は、通信制御装置 10は、そのアクセス要求を、コンテンツを保持するサーバへ送出する。コンテンツに対するアクセスが禁止される場合は、通信制御装置 10は、そのアクセス要求を破棄し、要求元に対して警告メッセージなどを返信する。本実施の形態では、通信制御装置 10は、 HTTP (HyperText Transfer Protocol)の「GET」リクエストメッセージを受信し、アクセス先のコンテンツの URLが、アクセスの許否を判断するための基準データのリストに合致する力否かを検索して、コンテンツに対するアクセスの許否を判断する。

周辺装置は、運用監視サーバ 110、接続管理サーバ 120、メッセージ出力サーバ 130、ログ管理サーバ 140、及びデータベースサーバ 150を含む。接続管理サーバ 120は、通信制御装置 10に対する接続を管理する。接続管理サーバ 120は、例えば、携帯電話端末力も送出されたパケットを通信制御装置 10で処理する際に、パケットに含まれる携帯電話端末を一意に識別する情報を用いて、通信制御装置 10のユーザであることを認証する。いったん認証されると、その携帯電話端末に一時的に付された IPアドレス力も送出されたパケットは、一定の期間は接続管理サーバ 120で認証せずに通信制御装置 10へ送られて処理される。メッセージ出力サーバ 130は、通信制御装置 10により判定されたアクセスの許否の結果に応じて、アクセスの要求先又は要求元に対するメッセージを出力する。ログ管理サーバ 140は、通信制御装置 10の運用履歴を管理する。データベースサーバ 150は、 URLデータベース 160 力最新のデータベースを取得し、通信制御装置 10に入力する。通信制御装置 10 の運用を止めずにデータベースを更新するために、通信制御装置 10はバックアップ用のデータベースを有してもよい。運用監視サーバ 110は、通信制御装置 10と、接続管理サーバ 120、メッセージ出力サーバ 130、ログ管理サーバ 140、データベースサーバ 150などの周辺装置の運用状況を監視する。運用監視サーバ 110は、通信制御システム 100の中で最も優先度が高ぐ通信制御装置 10及び全ての周辺装置の監視制御を行う。通信制御装置 10は、後述するように、専用のハードウア回路により構成されるが、運用監視サーバ 110は、本出願人による特許第 3041340号などの技術を利用して、バウンダリスキャン回路を利用して監視のためのデータを通信制御装置 10などとの間で入出力することにより、通信制御装置 10の運用中にも運用状況を監視することができる。 [0020] 本実施の形態の通信制御システム 100は、以下に説明するように、高速ィ匕のために専用のハードウェア回路により構成された通信制御装置 10を、周辺に接続された各種の機能を有するサーバ群により制御する構成とすることにより、サーバ群のソフトウェアを適当に入れ替えることで、同様の構成により各種の機能を実現することができる。本実施の形態によれば、このような柔軟性の高い通信制御システムを提供することができる。

[0021] 以下、まず通信制御装置 10の概要について説明した後、本実施の形態に特徴的な URLフィルタリング技術にっ、て説明する。

[0022] 図 2は、従来の通信制御装置 1の構成を示す。従来の通信制御装置 1は、受信側の通信制御部 2と、パケット処理部 3と、送出側の通信制御部 4とを備える。通信制御部 2及び 4は、それぞれ、パケットの物理層の処理を行う PHY処理部 5a及び 5bと、パケットの MAC層の処理を行う MAC処理部 6a及び 6bとを備える。パケット処理部 3は、 IP (Internet Protocol)のプロトコル処理を行う IP処理部 7、 TCP (Transport Control Protocol)のプロトコル処理を行う TCP処理部 8など、プロトコルに応じた処理を行うプロトコル処理部と、アプリケーション層の処理を行う AP処理部 9とを備える。 AP処理部 9は、パケットに含まれるデータに応じて、フィルタリングなどの処理を実行する。

[0023] 従来の通信制御装置 1では、パケット処理部 3は、汎用プロセッサである CPUと、 C PU上で動作する OSとを利用して、ソフトウェアにより実現されていた。し力しながら、このような構成では、通信制御装置 1の性能は CPUの性能に依存することになり、高速に大容量のパケットを処理可能な通信制御装置を実現しょうとしても、自ずと限界がある。例えば、 64ビットの CPUであれば、一度に同時に処理可能なデータ量は最大で 64ビットであり、それ以上の性能を有する通信制御装置は存在しなかった。また、汎用的な機能を有する OSの存在を前提としていたので、セキュリティホールなどが存在する可能性が絶無ではなぐ OSのバージョンアップなどのメンテナンス作業を必要としていた。

[0024] 図 3は、本実施の形態の通信制御装置の構成を示す。通信制御装置 10は、図 2に示した従来の通信制御装置 1においては CPU及び OSを含むソフトウェアにより実現されていたパケット処理部 3に代えて、ワイヤードロジック回路による専用のハードゥエァにより構成されたパケット処理回路 20を備える。汎用処理回路である CPUにおいて動作する OSとソフトウェアにより通信データを処理するのではなぐ通信データを処理するための専用のハードウェア回路を設けることにより、 CPUや OSなどに起因する性能の限界を克服し、処理能力の高い通信制御装置を実現することが可能となる。

[0025] 例えば、パケットフィルタリングなどを実行するために、パケットに含まれるデータに、フィルタリングの判断基準となる基準データが含まれるか否かを検索する場合に、 C PUを用いて通信データと基準データを比較すると、一度に高々 64ビットしか比較することができず、処理速度を向上させようとしても CPUの性能で頭打ちになるという問題があった。 CPUでは、通信データから 64ビットをメモリへ読み上げ、基準データとの比較を行い、つづいて、次の 64ビットをメモリへ読み上げる、という処理を何度も繰り返し行う必要があるので、メモリへの読み上げ時間が律速となり、処理速度に限界がある。

[0026] それに対し、本実施の形態では、通信データと基準データとを比較するために、ヮィヤードロジック回路により構成された専用のハードウェア回路を設ける。この回路は

、 64ビットよりも長いデータ長、例えば、 1024ビットのデータ長の比較を可能とするために、並列に設けられた複数の比較器を含む。このように、専用のハードウェアを設けることにより、同時に並列して多数のビットマッチングを実行することができる。従来の CPUを用いた通信制御装置 1では一度に 64ビットしか処理できなかったところを、一度に 1024ビットの処理を可能にすることで、飛躍的に処理速度を向上させることができる。比較器の数を多くすれば処理能力も向上するが、コストやサイズも増大するので、所望の処理性能と、コスト、サイズ、などを考慮して、最適なハードウェア回路を設計すればよい。専用のハードウェア回路は、 FPGA (Field Programmable Gate Array)などを用いて実現されてもよ!、。

[0027] また、本実施の形態の通信制御装置 10は、ワイヤードロジック回路による専用のハ一ドウエアにより構成されるので、 OS (Operating System)を必要としない。このため、 OSのインストール、バグ対応、バージョンアップなどの作業が必要なぐ管理やメンテナンスのためのコストや工数を低減させることができる。また、汎用的な機能が求められる CPUとは異なり、不必要な機能を包含していないので、余計なリソースを用いることがなぐ低コスト化、回路面積の低減、処理速度の向上などが望める。さらに、 OS を利用していた従来の通信制御装置とは異なり、余分な機能を有しないので、セキュリティホールなどが発生する可能性が低く、ネットワークを介した悪意ある第三者からの攻撃に対する耐性に優れている。

[0028] 図 4は、パケット処理回路の内部構成を示す。パケット処理回路 20は、通信データに対して実行する処理の内容を決定するための基準となる基準データを記憶する第 1データベース 50と、受信された通信データの中に基準データが含まれて!/、るか否かを、通信データと基準データとを比較することにより検索する検索回路 30と、検索回路 30による検索結果と通信データに対して実行する処理の内容とを対応づけて記憶する第 2データベース 60と、検索回路 30による検索結果と第 2データベース 60 に記憶された条件とに基づいて通信データを処理する処理実行回路 40とを含む。

[0029] 検索回路 30は、通信データの中から基準データと比較すべき比較対象データの位置を検出する位置検出回路 32と、第 1データベース 50に記憶された基準データを 3以上の範囲に分割したとき、比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路の一例であるインデックス回路 34と、判定された範囲の中で比較対象データと合致する基準データを検索するバイナリサーチ回路 36とを含む。比較対象データを基準データの中から検索する方法としては、任意の検索技術を利用可能であるが、本実施の形態ではバイナリサーチ法を用いる。

[0030] 図 5は、位置検出回路の内部構成を示す。位置検出回路 32は、比較対象データの位置を特定するための位置特定データと通信データとを比較するための複数の比較回路 33a〜33fを含む。ここでは、 6個の比較回路 33a〜33fが設けられているが、後述するように、比較回路の個数は任意でよい。それぞれの比較回路 33a〜33fには、通信データが、所定のデータ長、例えば、 1バイトずつずらして入力される。そして、これら複数の比較回路 33a〜33fにおいて、同時に並列して、検出すべき位置特定データと通信データとの比較がなされる。

[0031] 本実施の形態においては、通信制御装置 10の動作を説明するための例として、通信データ中に含まれる「No. # # #」という文字列を検出し、その文字列中に含まれる数字「# # #」を基準データと比較して、基準データに合致した場合はパケットの通過を許可し、合致しなカゝつた場合はパケットを破棄する処理を行う場合にっヽて説明する。

[0032] 図 5の例では、通信データの中から、数字「# # #」の位置を特定するための位置特定データ「No.」を検出するために、通信データ「01No. 361 · · ·」を、 1文字ずつずらして比較回路 33a〜33fに入力している。すなわち、比較回路 33aには「01N 」力比較回路 33bには「1Νο」力比較回路 33cには「No.」が、比較回路 33dには「o. 」が、比較回路 33eには「. 3」が、比較回路 33fには「 36」力それぞれ入力される。ここで、比較回路 33a〜33fが同時に位置特定データ「No.」との比較を実行する。これにより、比較回路 33cがマッチし、通信データの先頭から 3文字目に「No .」という文字列が存在することが検出される。こうして、位置検出回路 32により検出された位置特定データ「No.」の次に、比較対象データである数字のデータが存在することが検出される。

[0033] CPUにより同様の処理を行うならば、まず、文字列「0 ^」を「?^0.」と比較し、続いて、文字列「1Νο」を「No.」と比較する、というように、先頭力順に 1つずつ比較処理を実行する必要があるため、検出速度の向上は望めない。これに対し、本実施の形態の通信制御装置 10では、複数の比較回路 33a〜33fを並列に設けることにより、 CPUではなしえな力つた同時並列的な比較処理が可能となり、処理速度を格段に向上させることができる。比較回路は多ければ多いほど同時に比較可能な位置が多くなるので、検出速度も向上するが、コスト、サイズ、などを考慮の上、所望の検出速度を得られるのに十分な数の比較回路を設ければよい。

[0034] 位置検出回路 32は、位置特定データを検出するためだけでなぐ汎用的に文字列を検出する回路として利用されてもよい。また、文字列だけでなぐビット単位で位置特定データを検出するように構成されてもょヽ。

[0035] 図 6は、第 1データベースの内部データの例を示す。第 1データベース 50には、ノケットのフィルタリング、ルーティング、スイッチング、置換などの処理の内容を決定するための基準となる基準データ力何らかのソート条件にしたがってソートされて格納されている。図 6の例では、 1000個の基準データが記憶されている。 [0036] 第 1データベース 50の先頭のレコードには、通信データ中の比較対象データの位置を示すオフセット 51が格納されている。例えば、 TCPパケットにおいては、ノケット内のデータ構成がビット単位で定められているため、パケットの処理内容を決定するためのフラグ情報などの位置をオフセット 51として設定しておけば、必要なビットのみを比較して処理内容を決定することができるので、処理効率を向上させることができる。また、パケットのデータ構成が変更された場合であっても、オフセット 51を変更することで対応することができる。第 1データベース 50には、比較対象データのデータ長を格納しておいてもよい。これにより、必要な比較器のみを動作させて比較を行うことができるので、検索効率を向上させることができる。

[0037] インデックス回路 34は、第 1データベース 50に格納されている基準データを 3以上の範囲 52a〜52dに分割したとき、比較対象データがそれらの範囲のうちいずれに属するかを判定する。図 6の例では、 1000個の基準データは、 250個ずつ 4つの範囲 52a〜52dに分割されている。インデックス回路 34は、範囲の境界の基準データと比較対象データとを比較する複数の比較回路 35a〜35cを含む。比較回路 35a〜3 5cにより比較対象データと境界の基準データとを同時に並列して比較することにより、比較対象データがいずれの範囲に属するかを 1度の比較処理で判定することができる。

[0038] 前述したように、 CPUによりバイナリサーチを実行する場合は、同時に複数の比較を実行することができないが、本実施の形態の通信制御装置 10では、複数の比較回路 35a〜35cを並列に設けることにより、同時並列的な比較処理を可能とし、検索速度を格段に向上させることができる。

[0039] インデックス回路 34により範囲が判定されると、バイナリサーチ回路 36がバイナリサーチ法により検索を実行する。バイナリサーチ回路 36は、インデックス回路 34により判定された範囲をさらに 2分割し、その境界位置にある基準データと比較対象データとを比較することにより、いずれの範囲に属するかを判定する。バイナリサーチ回路 3 6は、基準データと比較対象データとをビット単位で比較する比較回路を複数個、例えば本実施の形態では 1024個含んでおり、 1024ビットのビットマッチングを同時に実行する。 2分割された範囲のいずれに属するかが判定されると、さらに、その範囲を 2分割して境界位置にある基準データを読み出し、比較対象データと比較する。以降、この処理を繰り返すことにより範囲をさらに限定し、最終的に比較対象データと合致する基準データを検索する。

[0040] 前述した例を用いてさらに詳細に動作を説明する。図 5に示した通信データにおいて、位置特定データ「No.」につづく比較対象データは「361」という数字である。位置特定データ「No.」と比較対象データ「361」との間には 1文字分のスペースが存在しているので、このスペースを比較対象データから除くために、オフセット 51が「8」ビットに設定されている。ノイナリサーチ回路 36は、位置特定データ「No.」につづく通信データから、「8」ビット、すなわち 1バイト分をスキップし、さらにつづく「361」を比較対象データとして読み込む。

[0041] インデックス回路 34の比較回路 35a〜35cには、比較対象データとして「361」が入力され、基準データとして、比較回路 35aには、範囲 52aと 52bの境界にある基準データ「378」が、比較回路 35bには、範囲 52bと 52cの境界にある基準データ「704」力比較回路 35cには、範囲 52cと 52dの境界にある基準データ「937」が、それぞれ入力される。比較回路 35a〜35cにより同時に比較が行われ、比較対象データ「361 」が範囲 52aに属することが判定される。以降、バイナリサーチ回路 36が基準データの中に比較対象データ「361」が存在するか否かを検索する。

[0042] 図 7は、第 1データベースの内部データの別の例を示す。図 7に示した例では、基準データのデータ数が、第 1データベース 50に保持可能なデータ数、ここでは 1000 個よりも少ない。このとき、第 1データベース 50には、最終データ位置から降順に基準データが格納される。そして、残りのデータには 0が格納される。データベースの口ーデイング方法として、先頭力データを配置せずにローデイングエリアの後方から配置し、ローデイングエリア先頭に空きが生じた場合は全ての空きをゼロサプレスすることで、データーベースは常にフルの状態になり、バイナリー検索する場合の最大時間を一定にすることができる。また、バイナリサーチ回路 36は、検索中に基準データとして「0」を読み込んだときには、比較結果が自明であるから、比較を行わずに範囲を特定して、次の比較にうつることができる。これにより、検索速度を向上させることができる。 [0043] CPUによるソフトウェア処理においては、第 1データベース 50に基準データを格納する際に、最初のデータ位置力昇順に基準データが格納される。残りのデータには、例えば最大値が格納されることになる力この場合、バイナリサーチにおいて、上述したような比較処理の省略はできない。上述した比較技術は、専用のハードウェア回路により検索回路 30を構成したことにより実現される。

[0044] 図 8は、第 1データベースの内部データのさらに別の例を示す。図 8に示した例では、基準データを均等に 3以上の範囲に分割するのではなぐ範囲 52aは 500個、範囲 52bは 100個というように、範囲に属する基準データの数が不均一になっている。これらの範囲は、通信データ中における基準データの出現頻度の分布に応じて設定されてもよい。すなわち、それぞれの範囲に属する基準データの出現頻度の和がほぼ同じになるように範囲が設定されてもよい。これにより、検索効率を向上させることができる。インデックス回路 34の比較回路 35a〜35cに入力される基準データは、外部力も変更可能になっていてもよい。これにより、範囲を動的に設定することができ、検索効率を最適化することができる。

[0045] 図 9は、バイナリサーチ回路に含まれる比較回路の構成を示す。前述したように、バイナリサーチ回路 36は、 1024個の比較回路 36a、 36b、 · · ·、を含む。それぞれの比較回路 36a、 36b、 · · ·、には、基準データ 54と比較対象データ 56が 1ビットずつ入力され、それらの大小が比較される。インデックス回路 34の各比較回路 35a〜35c の内部構成も同様である。このように、専用のハードウェア回路で比較処理を実行することにより、多数の比較回路を並列して動作させ、多数のビットを同時に比較することができるので、比較処理を高速ィ匕することができる。

[0046] 図 10は、第 2データベースの内部データの例を示す。第 2データベース 60は、検索回路 30による検索結果を格納する検索結果欄 62と、通信データに対して実行する処理の内容を格納する処理内容欄 64とを含み、検索結果と処理内容とを対応づけて保持する。図 10の例では、通信データに基準データが含まれている場合は、そのパケットの通過を許可し、含まれていない場合は、そのパケットを破棄するといぅ条件が設定されている。処理実行回路 40は、検索結果に基づいて第 2データベース 6 0から処理内容を検索し、通信データに対して処理を実行する。処理実行回路 40も、ワイヤードロジック回路により実現されてもよい。

[0047] 図 11は、第 2データベースの内部データの別の例を示す。図 11の例では、基準データごとに、処理内容が設定されている。パケットの置換を行う場合、置換先のデータを第 2データベース 60に格納してお!、てもよ!/、。パケットのルーティングやスィッチングを行う場合、経路に関する情報を第 2データベース 60に格納しておいてもよい。処理実行回路 40は、検索回路 30による検索結果に応じて、第 2データベース 60に格納された、フィルタリング、ルーティング、スイッチング、置換などの処理を実行する。図 11のように、基準データごとに処理内容を設定する場合、第 1データベース 50と第 2データベース 60とを統合してもよ、。

[0048] 第 1のデータベース及び第 2のデータベースは、外部力書き換え可能に設けられる。これらのデータベースを入れ替えることにより、同じ通信制御装置 10を用いて、さまざまなデータ処理や通信制御を実現することができる。また、検索対象となる基準データを格納したデータベースを 2以上設けて、多段階の検索処理を行ってもよ!、。このとき、検索結果と処理内容とを対応づけて格納したデータベースを 2以上設けて、より複雑な条件分岐を実現してもよい。このように、データベースを複数設けて多段階の検索を行う場合に、位置検出回路 32、インデックス回路 34、バイナリサーチ回路 36などを複数設けてもょ、。

[0049] 上述した比較に用いられるデータは、同じ圧縮ロジックにより圧縮されてもよい。比較に際して、比較元のデータと比較先のデータが同じ方式で圧縮されていれば、通常と同様の比較が可能である。これにより、比較の際にローデイングするデータ量を低減することができる。ローデイングするデータ量が少なくなれば、メモリからデータを読み出すのに要する時間が短縮されるので、全体の処理時間も短縮することができる。また、比較器の量を削減することができるので、装置の小型化、軽量化、低コスト化に寄与することができる。比較に用いられるデータは、圧縮された形式で格納されていてもよいし、メモリから読み出した後、比較の前に圧縮されてもよい。

[0050] 上述のデータ処理装置として、以下のような態様が考えられる。

[態様 1]

取得したデータに対して実行する処理の内容を決定するための基準となる基準データを記憶する第 1記憶部と、

前記データの中に前記基準データが含まれて!/、るか否かを、前記データと前記基準データとを比較することにより検索する検索部と、

前記検索部による検索結果と前記処理の内容とを対応づけて記憶する第 2記憶部と、

前記検索結果に基づ、て、前記検索結果に対応づけられた処理を前記データに対して実行する処理部と、を含み、

前記検索部は、ワイヤードロジック回路により構成される

ことを特徴とするデータ処理装置。

[0051] [態様 2]

上記態様 1のデータ処理装置において、前記ワイヤードロジック回路は、前記データと前記基準データとをビット単位で比較する第 1比較回路を複数含むことを特徴とするデータ処理装置。

[0052] [態様 3]

上記態様 1のデータ処理装置において、前記検索部は、前記データの中から前記基準データと比較すべき比較対象データの位置を検出する位置検出回路を含むことを特徴とするデータ処理装置。

[0053] [態様 4]

上記態様 3のデータ処理装置において、前記位置検出回路は、前記比較対象データの位置を特定するための位置特定データと前記データとを比較する第 2比較回路を複数含み、前記複数の第 2比較回路に前記データを所定のデータ長ずつ位置をずらして入力し、前記位置特定データと同時に並列して比較することを特徴とするデータ処理装置。

[0054] [態様 5]

上記態様 1から態様 2のいずれかのデータ処理装置において、前記検索部は、バイナリサーチにより前記データの中に前記基準データが含まれて!/、るか否かを検索するバイナリサーチ回路を含むことを特徴とするデータ処理装置。

[0055] [態様 6] 上記態様 5のデータ処理装置において、前記第 1記憶部に保持可能なデータ数よりも前記基準データのデータ数の方が少ない場合、前記第 1記憶部の最終データ位置から降順に前記基準データを格納し、残りのデータに 0を格納することを特徴とするデータ処理装置。

[0056] [態様 7]

上記態様 1から態様 6のいずれかのデータ処理装置において、前記検索部は、前記第 1記憶部に記憶された複数の基準データを 3以上の範囲に分割したとき、前記基準データと比較すべき比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路を含むことを特徴とするデータ処理装置。

[0057] [態様 8]

上記態様 7のデータ処理装置において、前記判定回路は、前記範囲の境界の基準データと前記比較対象データとを比較する第 3比較回路を複数含み、前記複数の第 3比較回路により前記比較対象データが前記 3以上の範囲のいずれに属するかを同時に並列して判定することを特徴とするデータ処理装置。

[0058] [態様 9]

上記態様 7又は態様 8のデータ処理装置において、前記範囲は、前記データ中における前記基準データの出現頻度の分布に応じて設定されることを特徴とするデータ処理装置。

[0059] [態様 10]

上記態様 1から態様 9のいずれかのデータ処理装置において、前記第 1記憶部は、前記データ中の比較対象データの位置を示す情報を更に記憶し、前記検索部は、前記位置を示す情報に基づいて前記比較対象データを抽出することを特徴とするデータ処理装置。

[0060] [態様 11]

上記態様 1から態様 10のいずれかのデータ処理装置において、前記第 1記憶部又は前記第 2記憶部は、外部から書き換え可能に設けられることを特徴とするデータ処理装置。

[0061] つづいて、上述した通信制御装置 10を利用した URLフィルタリング技術について説明する。

[0062] 図 12は、本実施の形態のパケット処理回路 20の内部構成を示す。本実施の形態のパケット処理回路 20は、第 1データベース 50として、ユーザデータベース 57、ウイルスリスト 161、ホワイトリスト 162、ブラックリスト 163、及び共通カテゴリリスト 164を備える。ユーザデータベース 57は、通信制御装置 10を利用するユーザの情報を格納する。通信制御装置 10は、ユーザ力もユーザを識別する情報を受け付け、検索回路 30により受け付けた情報をユーザデータベース 57とマッチングして、ユーザを認証する。ユーザを識別する情報として、 TCP/IPパケットの IPヘッダに格納されたソースアドレスを利用してもよ!/、し、ユーザ力もユーザ IDとパスワードなどを受け付けてもよい。前者の場合、パケット中のソースアドレスの格納位置は決まっているので、検索回路 30においてユーザデータベース 57とマッチングするときに、位置検出回路 32により位置を検出する必要はなぐオフセット 51として、ソースアドレスの格納位置を指定すればよい。ユーザデータベース 57に登録されたユーザであることが認証されると、続いて、コンテンツに対するアクセスの許否を判断するために、コンテンツの URL 1S ウィルスリスト 161、ホワイトリスト 162、ブラックリスト 163、及び共通カテゴリリスト 1 64に照合される。ホワイトリスト 162及びブラックリスト 163はユーザごとに設けられているので、ユーザが認証されてユーザ IDがー意に決まると、そのユーザのホワイトリスト 162及びブラックリスト 163が検索回路 30に与えられる。

[0063] ウィルスリスト 161は、コンピュータウィルスを含むコンテンツの URLのリストを格納する。ウィルスリスト 161に格納された URLのコンテンツに対するアクセス要求は拒否される。ホワイトリスト 162は、ユーザごとに設けられ、アクセスを許可するコンテンツの URLのリストを格納する。ブラックリスト 163は、ユーザごとに設けられ、アクセスを禁止するコンテンツの URLのリストを格納する。図 13 (a)は、ウィルスリスト 161の内部データの例を示し、図 13 (b)は、ホワイトリスト 162の内部データの例を示し、図 13 (c )は、ブラックリスト 163の内部データの例を示す。ウィルスリスト 161、ホワイトリスト 16 2、及びブラックリスト 163には、それぞれ、カテゴリ番号欄 165、 URL欄 166、及びタイトル欄 167が設けられている。 URL欄 166には、アクセスが許可される、又は禁止されるコンテンツの URLが格納される。カテゴリ番号欄 165には、コンテンツのカテゴリの番号が格納される。タイトル欄 167には、コンテンツのタイトルが格納される。

[0064] 共通カテゴリリスト 164は、 URLで示されるコンテンツを複数のカテゴリに分類するためのリストを格納する。図 14は、共通カテゴリリスト 164の内部データの例を示す。共通カテゴリリスト 164にも、カテゴリ番号欄 165、 URL欄 166、及びタイトル欄 167 が設けられている。

[0065] 通信制御装置 10は、「GET」リクエストメッセージの中に含まれる URLを抽出し、その URLが、ウイノレスリスト 161、ホワイトリスト 162、ブラックリスト 163、又は共通カテゴリリスト 164に含まれる力否かを検索回路 30により検索する。このとき、例えば、位置検出回路 32により「http：〃」という文字列を検出し、その文字列に続くデータ列を対象データとして抽出してもよい。抽出された URLは、インデックス回路 34及びバイナリサーチ回路 36により、ウィルスリス卜 161、ホワイトリス卜 162、ブラックリス卜 163、及び共通カテゴリリスト 164の基準データとマッチングされる。

[0066] 図 15 (a)、 (b)、 (c)、及び (d)は、本実施の形態の第 2データベース 60の内部デ一タの例を示す。図 15 (a)は、ウィルスリスト 161に対する検索結果と処理内容を示す。 GETリクエストに含まれる URL力ウィルスリスト 161に含まれる URLに合致した場合、その URLに対するアクセスは禁止される。図 15 (b)は、ホワイトリスト 162に対する検索結果と処理内容を示す。 GETリクエストに含まれる URL力ホワイトリスト 16 2に含まれる URLに合致した場合、その URLに対するアクセスは許可される。図 15 ( c)は、ブラックリスト 163に対する検索結果と処理内容を示す。 GETリクエストに含まれる URLが、ブラックリスト 163に含まれる URLに合致した場合、その URLに対するアクセスは禁止される。

[0067] 図 15 (d)は、共通カテゴリリスト 164に対する検索結果と処理内容を示す。図 15 (d )に示すように、共通カテゴリリスト 164に対する検索結果に対して、ユーザは、カテゴリごとに、そのカテゴリに属するコンテンツに対するアクセスを許可する力禁止するかを、個別に設定することができる。共通カテゴリリスト 164に関する第 2データベース 6 0には、ユーザ ID欄 168及びカテゴリ欄 169が設けられている。ユーザ ID欄 168には、ユーザを識別するための IDが格納される。カテゴリ欄 169には、 57種に分類されたカテゴリのそれぞれにつ、て、カテゴリに属するコンテンツに対するアクセスをユーザが許可するか否かを示す情報が格納される。 GETリクエストに含まれる URL力共通カテゴリリスト 164に含まれる URLに合致した場合、その URLのカテゴリと、ユーザ IDに基づいて、その URLに対するアクセスの許否が判定される。なお、図 15 (d)では、共通カテゴリの数が 57であるが、それ以外であってもよい。

[0068] 図 16は、ウィルスリスト 161、ホワイトリスト 162、ブラックリスト 163、及び共通カテゴリリスト 164の優先度を示す。本実施の形態では、ウィルスリスト 161、ホワイトリスト 16 2、ブラックリスト 163、共通カテゴリリスト 164の順に優先度が高ぐ例えば、ホワイトリスト 162に格納されたアクセスが許可されるコンテンッの URLであつたとしても、その URLがウィルスリスト 161に格納されていれば、コンピュータウィルスを含むコンテンッであるとしてアクセスが禁止される。

[0069] 従来、ソフトウェアを用いて、このような優先度を考慮したマッチングを行うときは、例えば、優先度の高いリストから順にマッチングを行って最初にヒットしたものを採用する力、優先度の低、リストから順にマッチングを行って後からヒットしたものを上書きする力、いずれかの方法がとられていた。しかしながら、本実施の形態では、専用のハ一ドウエア回路により構成された通信制御装置 10を利用することにより、ウィルスリスト 161のマッチングを行う検索回路 30aと、ホワイトリスト 162のマッチングを行う検索回路 30bと、ブラックリスト 163のマッチングを行う検索回路 30cと、共通カテゴリリスト 164のマッチングを行う検索回路 30dとを設けて、それぞれの検索回路 30において同時に並列してマッチングを行う。そして、複数のリストでヒットした場合は、優先度の高いものを採用する。これにより、複数のデータベースが設けられ、それらに優先度が設定されている場合であっても、検索時間を大幅に短縮することができる。

[0070] ウィルスリスト 161、ホワイトリスト 162、ブラックリスト 163、及び共通カテゴリリスト 16 4のいずれを優先してアクセスの許否を判断するかは、例えば、第 2データベース 60 に設定されて、てもよ、。 V、ずれのリストを優先するかに応じて第 2データベース 60 の条件を書き換えてもよ、。

[0071] コンテンツに対するアクセスが許可された場合は、処理実行回路 40は、メッセージ出力サーバ 130にその旨を通知するための信号を出力する。メッセージ出力サーバ 130は、コンテンッを保持するサーバに向けて「GET」リクエストメッセージを送出する。コンテンツに対するアクセスが禁止された場合は、処理実行回路 40が、メッセージ出力サーバ 130にその旨を通知するための信号を出力すると、メッセージ出力サーノ 130は、アクセス先のサーバに「GET」リクエストメッセージを送信せずに破棄する。このとき、アクセスが禁止された旨の応答メッセージを要求元に送信してもよい。また、強制的に別のウェブページに転送させてもよい。この場合、処理実行回路 40は、デスティネーションアドレスと URLを転送先のものに書き換えて送出する。応答メッセージゃ転送先の URLなどの情報は、第 2データベース 60などに格納されて、てもよい。

[0072] 以上の構成及び動作により、不適切なコンテンツに対するアクセスを禁止することができる。また、検索回路 30が FPGAなどにより構成された専用のハードウェア回路であるから、上述したように高速な検索処理が実現され、トラフィックに与える影響を最小限に抑えつつ、フィルタリング処理を実行することができる。インターネットサービスプロバイダなど力このようなフィルタリングのサービスを提供することにより、付加価値が高まり、より多くのユーザを集めることができる。

[0073] ホワイトリスト 162又はブラックリスト 163は、全てのユーザに対して共通に設けられてもよい。

[0074] 以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せに、ろ、ろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。

産業上の利用可能性

[0075] 本発明は、コンテンツに対するアクセスを制御する通信制御装置に適用することができる。

Claims

請求の範囲

[1] ネットワークを介してアクセス可能な位置に保持されたコンテンツに対するアクセスの許否を決定するための基準となる基準データを記憶する記憶部と、

前記コンテンツに対するアクセスを要求するための通信データを取得し、前記通信データの中に前記基準データが含まれて 1、るか否かを検索する検索部と、

前記検索結果に基づいて、前記コンテンツに対するアクセスを制御する処理部と、を含み、

前記検索部は、ワイヤードロジック回路により構成される

ことを特徴とする通信制御装置。

[2] 前記検索部は、前記通信データに含まれるアクセス先のコンテンツの位置を示す情報の中に前記基準データが含まれるか否かを検索することを特徴とする請求項 1 に記載の通信制御装置。

[3] 前記記憶部は、前記基準データを格納したデータベースを複数含み、

前記検索部は、複数の前記データベースのそれぞれに対して、前記通信データの中に、そのデータベースに格納された前記基準データが含まれて、るか否かを検索する検索回路を含み、

複数の前記検索回路が並列して、複数の前記データベースの検索を実行することを特徴とする請求項 1又は 2に記載の通信制御装置。

[4] 前記複数のデータベースに対して優先度が設定され、

複数の前記検索回路が並列して複数の前記データベースの検索を実行した結果、複数のデータベースの基準データと合致した場合は、優先度の高!、検索結果が採用されることを特徴とする請求項 3に記載の通信制御装置。

[5] 前記データベースは、アクセスを許可するコンテンツの位置を示すデータを格納することを特徴とする請求項 3又は 4に記載の通信制御装置。

[6] 前記データベースは、アクセスを禁止するコンテンツの位置を示すデータを格納することを特徴とする請求項 3又は 4に記載の通信制御装置。

[7] 前記データベースは、コンピュータウィルスを含み、アクセスが禁止されるコンテンッの位置を示すデータを格納することを特徴とする請求項 3又は 4に記載の通信制御装置。

[8] 前記データベースは、カテゴリごとに、そのカテゴリに属するコンテンツに対するァクセスを許可するか禁止するかをユーザが個別に設定したデータを格納することを特徴とする請求項 3又は 4に記載の通信制御装置。

[9] 請求項 1から 8の、ずれかに記載の通信制御装置と、

前記通信制御装置に接続され、前記通信制御装置の動作を制御するサーバ装置と、

を含むことを特徴とする通信制御システム。