JP4750750B2 - パケット転送システムおよびパケット転送方法 - Google Patents

パケット転送システムおよびパケット転送方法 Download PDF

Info

Publication number
JP4750750B2
JP4750750B2 JP2007126092A JP2007126092A JP4750750B2 JP 4750750 B2 JP4750750 B2 JP 4750750B2 JP 2007126092 A JP2007126092 A JP 2007126092A JP 2007126092 A JP2007126092 A JP 2007126092A JP 4750750 B2 JP4750750 B2 JP 4750750B2
Authority
JP
Japan
Prior art keywords
terminal
communication path
address
frame
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007126092A
Other languages
English (en)
Other versions
JP2008283495A (ja
Inventor
淳也 加藤
正久 川島
嘉人 大嶋
広和 北見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007126092A priority Critical patent/JP4750750B2/ja
Publication of JP2008283495A publication Critical patent/JP2008283495A/ja
Application granted granted Critical
Publication of JP4750750B2 publication Critical patent/JP4750750B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送するパケット転送システムおよびパケット転送方法に関する。
従来より、インターネットなどのネットワークが一般的に普及するにつれて、企業などの情報処理システムでは、正常なIP(Internet Protocol)アドレスを詐称する詐称パケットの増加により処理遅延などの様々な問題が発生している。そこで、企業などの情報処理システムがこのような悪質な詐称パケットを受信しないようにするために、パケットの転送可否を判断して転送制御(フィルタリング)する様々な転送制御装置が開示されている。
一般的に、レイヤ2におけるイーサネット(登録商標)フレームの転送可否を判断する転送制御装置としてレイヤ2スイッチが利用されている。通常、レイヤ2スイッチは、MAC(Media Access Control)アドレスを含むイーサネット(登録商標)ヘッダ情報のみを参照して転送可否を判断している。
また、最近では、イーサネット(登録商標)フレームに含まれる上位層のパケット情報(例えば、IPヘッダ、TCP/UDP(Transmission Control Protocol/User Datagram Protocol)ヘッダなど)を参照してフレームの転送可否、方路を判断する手法が実施されており、この手法を用いて詐称パケットのフィルタリングを行うレイヤ2スイッチが利用されている(非特許文献1〜3参照)。具体的には、このレイヤ2スイッチは、MACアドレスとIPアドレスとの対応関係を記憶する記憶テーブルを保持し、受信したパケットのMACアドレスとIPアドレスの組み合わせが保持する記憶テーブルに記憶されている場合に、当該パケットを宛先に転送し、記憶されていない場合に、当該パケットを破棄する。
また、マルチキャスト送信においては、MLD(Multicast Listener Discovery)機構が多く用いられている。このMLDは、受信したフレームに含まれるIPパケットのさらに内部に含まれるマルチキャスト経路情報を読み取り、リスナ要求を送信していない端末が接続されるポートへ、この受信したフレームを転送することを抑止する(非特許文献4)。
ところが、上記したいずれの手法を用いたとしても、IPアドレスを動的に割り当てるDHCPサーバを用いたネットワークにおいて、IPアドレスが詐称された通信を転送制御できないという問題が発生する。具体的には、IPアドレスを動的に割り当てるアドレス割当て装置(DHCPサーバ)は、IPアドレス取得要求を受信すると、要求送信元端末のMACアドレスがあらかじめ記憶されるMACアドレスであることを条件に、IPアドレスを割り当てる。そのため、MACアドレスを不正に設定した端末からIPアドレス取得要求が送信されると、アドレス割当て装置は、その端末に対してIPアドレスを割り当てる。その結果、当該ネットワークにおいて、転送制御装置は、IPアドレスを不正に入手した端末からのパケットを受信すると、つまり、IPアドレスを詐称した端末からのパケットを受信すると、当該パケットを宛先に転送してしまうこととなる。
このような問題を解決するための手法として一般的には、端末が割当てを受けたIPアドレス以外を用いて、IPアドレスを詐称した通信を行った場合に、パケットの転送を制限する転送制御装置が利用されている。具体的には、アドレス割当て装置によってIPアドレスが割り当てられると、転送制御装置は、割り当てられた「IPアドレス」に対応付けて、割り当てられた端末の「MACアドレス」と、割り与えられた端末が接続される「物理インターフェース番号(例えば、論理ポート番号や回線番号など)」とを記憶する。
そして、転送制御装置は、パケットを受信すると、当該パケットを受信した「物理インターフェース番号」を取得するとともに、当該パケットのIPヘッダから送信元の「IPアドレス」、「MACアドレス」を取得する。続いて、転送制御装置は、取得した「物理インターフェース番号」、「IPアドレス」、「MACアドレス」の組み合わせを記憶しているか否かを判定し、これらの組み合わせを記憶している場合には、受信したパケットを宛先に転送し、これらの組み合わせを記憶している場合には、受信したパケットを宛先に破棄することで、IPアドレスを詐称したパケットの転送を制限する。
"FreeBSD Hypertext Man Pages"、[online]、[平成19年4月20日検索]、インターネット<http://www.freebsd.org/cgi/man.cgi?query=bridge&apropos=0$sektion=0&manpath=FreeBSD+6.2-RELEASE&format-html> "FreeBSD Hypertext Man Pages"、[online]、[平成19年4月20日検索]、インターネット<http://www.freebsd.org/cgi/man.cgi?query=bridge&apropos=0$sektion=0&manpath=FreeBSD+6.2-RELEASE> "IPTABLES"、[online]、[平成19年4月20日検索]、インターネット<http://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html> "Considerations for Internet Group Management Protocol(IGMP) and Multicast Listener Discovery(MLD)Snooping Switches,RFC4541"、[online]、[平成19年4月20日検索]、インターネット<http://www.ietf.org/rfc/rfc4541.txt>
しかしながら、上記した従来の技術は、無線LANなどの単一の物理ネットワークを共有するシェアードメディア型のネットワークにおいて、詐称したIPアドレスを用いたパケットを正確にフィルタリングすることができないという課題があった。
具体的には、単一の物理ネットワークを用いる場合、「IPアドレス」が割り当てられた端末全ての「物理インターフェース番号」が同じ値となるため、転送制御装置は、「MACアドレス」を詐称して「IPアドレス」を取得した端末を特定することができない。その結果、転送制御装置は、「MACアドレス」を詐称して「IPアドレス」を不正に入手した端末からのパケットを受信すると、つまり、「IPアドレス」を詐称した端末からのパケットを受信すると、当該パケットを破棄する必要があるにも関わらず、「IPアドレス」に対応付けて「MACアドレス」と「物理インターフェース番号」とが記憶されているために、当該パケットを宛先に転送させてしまうこととなる。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、シェアードメディア型のネットワークにおいても、詐称したIPアドレスを用いたパケットを正確にフィルタリングすることが可能であるパケット転送システムおよびパケット転送方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送するパケット転送システムであって、前記端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶する通信路記憶手段と、前記端末に割当てられたIPアドレスと、前記IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶するアドレス情報記憶手段と、前記端末から接続要求を受信した場合に、当該端末が正当な利用者であることを条件に、当該端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて前記通信路記憶手段に格納する通信路接続制御手段と、前記通信路接続制御手段により仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信すると、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される前記通信路記憶手段に記憶されるMACアドレスとが一致する場合に、当該フレームの転送を許可し、一致しない場合に、当該フレームの転送を拒否するフレーム転送制御手段と、前記フレーム転送制御手段により転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定される前記アドレス情報記憶手段に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄する転送制御手段と、を備えたことを特徴とする。
また、本発明は、上記の発明において、前記端末のMACアドレスに対応付けて、前記端末と共有する暗号鍵を記憶する暗号鍵記憶手段をさらに備え、前記通信路接続制御手段は、前記端末から接続要求を受信した場合に、当該端末のMACアドレスに対応付けて前記暗号鍵記憶手段に記憶される暗号鍵を取得し、取得された暗号鍵を用いて当該端末との間を当該仮想的な通信路で接続することを特徴とする。
また、本発明は、上記の発明において、前記端末との間に接続された仮想的な通信路が無効状態であることを検出する無効化状態検出手段をさらに備え、前記通信路接続制御手段は、前記無効化状態検出手段によって前記仮想的な通信路が無効状態であると検出された場合に、前記仮想的な通信路に割り与えられている仮想通信路識別子に対応付けて前記通信路記憶手段に記憶される情報と、当該端末のMACアドレスに対応付けて前記アドレス情報記憶手段に記憶される情報とを削除することを特徴とする。
また、本発明は、上記の発明において、前記通信路接続制御手段によって前記端末との間に仮想的な通信路が確立されると、当該端末のMACアドレスに対応する暗号鍵を前記暗号鍵記憶手段から取得し、取得した暗号鍵と、当該端末のMACアドレスと、当該仮想的な通信路の仮想通信路識別子とをセッション情報として所定のセッション情報記憶手段に格納するセッション情報格納手段をさらに備え、前記通信路接続制御手段は、仮想的な通信路による接続を一時的に解消した端末から接続要求を受信した場合に、当該端末のMACアドレスに対応するセッション情報が前記所定のセッション情報記憶手段に記憶されていると、前記所定のセッション情報記憶手段からセッション情報を取得し、取得されたセッション情報を用いて、新たな仮想通信路識別子の仮想的な通信路ではなく、以前に接続されていた仮想通信路識別子の仮想的な通信路を当該端末との間に再構築することを特徴とする。
また、本発明は、上記の発明において、前記端末から接続要求を受信した場合に、当該端末が正当な利用者であるか否かを所定の認証手法で判定するユーザ認証手段をさらに備えたことを特徴とする。
また、本発明は、上記の発明において、前記端末には、当該端末を利用する利用者を一意に識別するユーザIDが割り与えられているものであって、前記ユーザ認証手段によって接続要求を送信した端末が正当な利用者であると判定された場合に、当該端末に割り当たられているユーザIDと、当該端末のMACアドレスとを対応付けて格納されるユーザ情報記憶手段と、前記ユーザ情報記憶手段に記憶されるユーザIDからMACアドレスを特定し、特定されたMACアドレスから前記アドレス情報記憶手段に記憶されるIPアドレスを特定するIPアドレス特定手段および/または前記アドレス情報記憶手段に記憶されるIPアドレスからMACアドレスを特定し、特定されたIPアドレスから前記ユーザ情報記憶手段に記憶されるユーザIDを特定するユーザ特定手段と、をさらに備えたことを特徴とする。
また、本発明は、上記の発明において、利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送することに適するパケット転送方法であって、前記端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶する通信路記憶手段と、前記端末に割当てられたIPアドレスと、前記IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶するアドレス情報記憶手段と、前記端末から接続要求を受信した場合に、当該端末が正当な利用者であることを条件に、当該端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて前記通信路記憶手段に格納する通信路接続制御工程と、前記通信路接続制御工程により仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信すると、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される前記通信路記憶手段に記憶されるMACアドレスとが一致する場合に、当該フレームの転送を許可し、一致しない場合に、当該フレームの転送を拒否するフレーム転送制御工程と、前記フレーム転送制御工程により転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定される前記アドレス情報記憶手段に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄する転送制御工程と、を含んだことを特徴とする。
本発明によれば、端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶し、端末に割当てられたIPアドレスと、IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶し、端末から接続要求を受信した場合に、当該端末が正当な利用者であることを条件に、当該端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて格納し、仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信すると、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定されるMACアドレスとが一致する場合に、当該フレームの転送を許可し、一致しない場合に、当該フレームの転送を拒否し、転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄するので、仮想的な通信路を識別する仮想通信路識別子によって正規に接続された端末を特定することができる結果、シェアードメディア型のネットワークにおいても、詐称したIPアドレスを用いたパケットを正確にフィルタリングすることが可能である。
例えば、仮想的な通信路で接続された端末からMACアドレスを詐称したフレームを受信した場合でも、仮想通信路識別子とMACアドレスとを対応付けて記憶している結果、当該フレームが不正な端末から送信されたフレームであると検出して破棄することができ、また、仮想的な通信路で接続された端末からIPアドレスを詐称したフレームを受信した場合でも、割当てられたIPアドレスとMACアドレスとを対応付けて記憶している結果、当該フレームが不正な端末から送信されたフレームであると検出して破棄することができる。また、端末が接続される仮想的な通信路(L2アクセスセッション)は一意に特定され、かつ、同一のMACアドレスを詐称する悪意のある端末は、当該L2アクセスセッションに接続することができないため、割当てたIPアドレスを用いてのみ通信可能となる。
また、本発明によれば、端末のMACアドレスに対応付けて、前記端末と共有する暗号鍵をさらに記憶し、端末から接続要求を受信した場合に、当該接続要求の送信先である端末に対応する暗号鍵が記憶されている場合に、当該端末が正当な利用者であると判定して、暗号鍵を取得し、取得された暗号鍵を用いて当該端末との間を当該仮想的な通信路で接続するので、セキュリティが高い仮想的な通信路を作成することができる結果、第三者の介入を強固に防止することが可能である。
例えば、暗号鍵を用いたVPN(Virtual Private Network)などを接続することができる結果、接続された仮想的な通信路に対して、第三者が不正に侵入することを強固に防止することが可能である。また、接続を希望する端末とパケット転送システムとの間で暗号鍵を共有しているので、当該暗号鍵を保持しているか否かにより、接続要求を送信する端末を認証することが可能である。さらに、MACアドレスから生成された暗号鍵を用いることで、暗号鍵の詐称やIPアドレスを詐称する端末の介入をより強固に防止することが可能である。
また、本発明によれば、端末との間に接続された仮想的な通信路が無効状態であることを検出した場合に、仮想的な通信路に割り与えられている仮想通信路識別子に対応付けて記憶される情報と、当該端末のMACアドレスに対応付けて記憶される情報とを削除するので、当該MACアドレスを保持する端末との仮想的な通信路を無効にすることができる結果、MACアドレスやIPアドレスを詐称する悪意のある端末がネットワークに接続することを強固に防止することが可能である。
例えば、仮想的な通信路が無効状態であることを検出する手法としては、L2ネットワークアクセスポイントからの切断信号をリンク(アソシエーション)により検出した場合、新規の仮想的な通信路が確立されたときに、当該仮想的な通信路で接続された端末のMACアドレスに関する他の仮想的な通信路を無効と判断した場合、仮想的な通信路が確立された端末から周期的に接続更新信号を受信することとして、有効期限が過ぎても周期的な接続更新信号を受信しなかった場合などがあり、これらの手法によって無効状態であることが検出される。
その結果、悪意のある端末がパケット転送システムに接続しようとしたとしても、パケット転送システムは、正当端末との間で共有される暗号鍵Aを保持していないため、正当な端末が接続されていた仮想的な通信路(L2アクセスセッション)を再現することはできない。また、悪意のある端末が異なる暗号鍵を用いてL2アクセスセッションを生成したとしても、正当な端末が接続されていたL2アクセスセッションとは異なるセッションであるため、端末から送信されるIPパケットを破棄することが可能である。
また、仮想的な通信路で接続された端末が周期的に接続を更新する更新信号をパケット転送システムに送信している場合、更新手続きの有効期限が切れても、更新信号を受信しなかったとすると、当該端末との接続を切断してもよいものとみなして接続が無効状態であると検出することができる結果、MACアドレスやIPアドレスを詐称する悪意のある端末がネットワークに接続することを強固に防止することが可能である。
また、本発明によれば、端末との間に仮想的な通信路が確立されると、当該端末のMACアドレスに対応する暗号鍵を取得し、取得した暗号鍵と、当該端末のMACアドレスと、当該仮想的な通信路の仮想通信路識別子とをセッション情報としてさらに記憶し、仮想的な通信路による接続を一時的に解消した端末から接続要求を受信した場合に、当該端末のMACアドレス対応するセッション情報が記憶されていると、セッション情報を取得し、取得されたセッション情報を用いて、新たな仮想通信路識別子の仮想的な通信路ではなく、以前に接続されていた仮想通信路識別子の仮想的な通信路を当該端末との間に再構築するので、IPアドレスの再払出によるレイヤ3通信の再接続を抑止することが可能である。
例えば、レイヤ2においてセッションを復元することができ、レイヤ3以上の上位の接続を再構築する必要がないため、IPアドレスの再割当てを抑止することが可能であり、さらに、端末のSIP登録(Session Initiation Protocol registration)やMobile IPを用いた際の位置登録、IPアドレスとそれに対応する名前を動的に登録するDDNS(Dynamic Domain Names Server)などの方式において、更新信号(例えば、再接続やIPアドレスの再割当てなど)の発生を抑止することが可能である。
また、本発明によれば、端末から接続要求を受信した場合に、当該端末が正当な利用者であるか否かを所定の認証手法で判定するので、L2レイヤレベルで端末を認証した上で仮想的な通信路を接続する結果、セキュリティを高く保つことが可能である。
例えば、IEEE802.xやEAP(Extensible Authentication Protocol)−TLS(Transport Layer Security)「RFC2716」などを用いて接続要求とともに第三者機関が発行する電子証明書などを受信することができ、この電子証明書に基づいて端末を認証することができる結果、セキュリティを高く保つことが可能である。
また、本発明によれば、端末には、当該端末を利用する利用者を一意に識別するユーザIDが割り与えられており、接続要求を送信した端末が正当な利用者であると判定された場合に、当該端末に割り当たられているユーザIDと、当該端末のMACアドレスとを対応付けて格納し、記憶されるユーザIDからMACアドレスを特定し、特定されたMACアドレスから記憶されるIPアドレスを特定したり、記憶されるIPアドレスからMACアドレスを特定し、特定されたIPアドレスから記憶されるユーザIDを特定したりすることができるので、IPアドレスから端末に割り与えられているユーザID、また、ユーザIDから当該ユーザIDが割り与えられている端末のIPアドレスを容易に特定することが可能である。
例えば、ユーザIDとMACアドレスとの対応関係からMACアドレスを検索し、さらに、MACアドレスとIPアドレスとの対応関係からMACアドレスをキーとして検索することで、ユーザIDとIPアドレスとの対応関係を得ることができる。また、MACアドレスとIPアドレスとの対応関係からIPアドレスをキーとしてMACアドレスを得て、さらに、ユーザIDとMACアドレスとの対応関係から得られたMACアドレスをキーとしてユーザIDを検索することも可能である。
以下に添付図面を参照して、この発明に係るパケット転送システムおよびパケット転送方法の実施例を詳細に説明する。なお、以下では、本実施例で用いる主要な用語、本実施例に係るパケット転送システムの概要および特徴、パケット転送システムの構成および処理の流れを順に説明し、最後に本実施例に対する種々の変形例を説明する。
[用語の説明]
まず最初に、本実施例で用いる主要な用語を説明する。本実施例で用いる「通信システム」とは、「パケット転送システム(特許請求の範囲に記載の「パケット転送システム」に対応する。)」とは、端末からのアクセス要求を受け付けて、この端末が正規の端末である場合に接続を許可してIPアドレスを割当て、端末とインターネットなどの外部ネットワークの相互通信を可能とするシステムのことである。具体的には、このパケット転送システムは、L2ネットワークアクセスポイントと、フレーム転送装置と、IPアドレス割当て装置と、ルール反映器と、L3ルーティング機構とから構成される。そして、L2ネットワークアクセスポイントとフレーム転送装置とが相互に通信可能に接続され、また、フレーム転送装置と、IPアドレス割当て装置と、ルール反映器とがL3ルーティング機構を介して相互に通信可能に接続されている。
また、L2ネットワークアクセスポイントとは、無線通信により端末と接続される無線アクセスポイントなどの装置のことであり、フレーム転送装置とは、レイヤ2においてフレームを透過させる装置のことであり、フレーム内部に含まれる上位プロトコルの構造を解釈して当該フレームの転送可否を判断する装置のことである。
また、IPアドレス割当て装置は、L2ネットワークアクセスポイントに接続された端末に対して、IPアドレスを動的に発行して割り当て、割り当てた端末の「MACアドレス」と「IPアドレス」とを対応付けて記憶する装置のことであり、具体的には、DHCP(Dynamic Host Configuration Protocol)サーバなどがこれに該当する。また、L3ルーティング機構とは、ルーティング情報を記憶しており、フレーム転送装置から受信したパケットをこのルーティング情報に基づいて宛先に送信する装置のことであり、具体的には、ルータやL3スイッチなどがこれに該当する。また、ルール反映器とは、IPアドレス割当て装置によって端末にIPアドレスが割り当てられて、割り当てられた端末の「MACアドレス」と「IPアドレス」とが記憶されると、記憶される情報に基づいて、フレーム転送装置が解釈可能な転送ルールを作成して、作成した転送ルールをフレーム転送装置に格納する装置である。
一般的に、端末とL2ネットワークアクセスポイントとが無線LANなどのシェアードメディア型のネットワーク(共有型ネットワーク)で接続されている場合に、IP電話などのアプリケーションを安全に利用することが求められている。IP電話などのアプリケーションでは、ネットワーク内のサーバ装置がIPアドレスと通信者のIDとの対応関係を記憶している。そして、サーバ装置は、通信者宛ての呼を受信すると、当該通信者に対応するIPアドレスに対して着呼通知を送信する。そして、このIPアドレスが動的に割り当てられるIPアドレスである場合、複数の通信者間でIPアドレスが再利用される可能性があるので、ある通信者に割り当てたIPアドレスを別の通信者へ割り当てるまでに、一定の休止期間を設け、その休止期間の間に一度割り当てられたIPアドレスが無効となるようにシステムを運用しなければならない。このようなネットワークにおいて、ユーザが故意の設定により休止期間中のIPアドレスを設定すれば、別の通信者を詐称することができてしまう。このため、無線LANなどのシェアードメディア型のネットワークにおいて、動的にIPアドレスを割り当てながら運用する状況では、「IPアドレスの詐称」、つまり、「詐称されたIPアドレスを転送しないように制御する」ことが重要である。
[パケット転送システムの概要および特徴]
次に、図1を用いて、実施例1に係るパケット転送システムの概要および特徴を説明する。図1は、実施例1に係るパケット転送システムの全体構成を示すシステム構成図である。
図1に示すように、このパケット転送システムは、L2ネットワークアクセスポイントと、フレーム転送装置と、IPアドレス割当て装置と、ルール反映器と、L3ルーティング機構とから構成され、L2ネットワークアクセスポイントとフレーム転送装置とが相互に通信可能に接続され、また、フレーム転送装置と、IPアドレス割当て装置と、ルール反映器とがL3ルーティング機構を介して相互に通信可能に接続されている。また、利用者端末AとL2ネットワークアクセスポイントとは無線通信により接続されている。また、利用者端末Aには、MACアドレスとして「MACアドレス1」が記憶されており、このMACアドレスを元に生成された暗号鍵Aを記憶している。
このような構成において、このパケット転送システムは、上記したように、利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送することを概要とするものであり、特に、シェアードメディア型のネットワークにおいても、詐称したIPアドレスを用いたパケットを正確にフィルタリングすることが可能である点に主たる特徴がある。
この主たる特徴を具体的に説明すると、L2ネットワークアクセスポイントは、利用者端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて通信路DBに記憶する。具体的には、L2ネットワークアクセスポイントの通信路DBは、『接続された仮想的な通信路を一意に識別する「仮想通信路識別子」、端末の「MACアドレス」』を対応付けて記憶する。
IPアドレス割当て装置は、L2ネットワークアクセスポイントに接続された端末に対して、IPアドレスを動的に発行して割り当て、割り当てた端末の「MACアドレス」と「IPアドレス」とを対応付けてアドレス情報DBに記憶する。アドレス情報DBと通信路DBは、利用者端末Aとの間に接続された仮想的な通信路が接続されてから情報が記憶されるので、ここでは記憶される情報について省略する。
また、L2ネットワークアクセスポイントは、利用者端末のMACアドレスに対応付けて、利用者端末AのMACアドレスを元に生成した暗号鍵を暗号鍵DBに記憶する。具体的に例を挙げると、L2ネットワークアクセスポイントの暗号鍵DBは、『利用者端末のMACアドレスを示す「MACアドレス」、利用者端末AのMACアドレスを元に生成した暗号鍵を示す「暗号鍵」』として「MACアドレス1、暗号鍵A」などと記憶する。ここで、暗号鍵を共有する手法としては、あらかじめ管理者などによって格納されていてもよく、WPA(Wi−Fi Protected Access)などの既存の手法を用いて格納されていてもよい。
また、フレーム転送装置は、解釈可能な転送ルールを転送ルールDBに記憶する。具体的には、フレーム転送装置は、ルール反映器によって生成されて格納された転送ルールを転送ルールDBに記憶する。また、転送ルールDBは、『ルールを識別する「ルール番号」、転送可否を判断する「条件」、条件に一致した場合に実施する「アクション」』として「ルール0、フレームの内部に含まれるデータタイプがIPパケットである、フレームの通過を許可する」や「ルール1、端末とIPアドレス割り当て装置との通信である、フレームの通過を許可する」を予め記憶している。
このような条件において、パケット転送システムは、利用者端末から接続要求を受信した場合に、当該接続要求の送信先である利用者端末に対応する暗号鍵が暗号鍵DBに記憶されている場合に、当該利用者端末が正当な利用者であると判定して、暗号鍵DBから暗号鍵を取得して、取得された暗号鍵を用いて当該利用者端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて通信路DBに格納する(図1の(1)と(2)参照)。
上記した例で具体的に説明すると、パケット転送システムのL2ネットワークアクセスポイントは、利用者端末Aから接続要求を示すフレームを無線通信により受信した場合に、当該フレームの送信先である利用者端末AのMACアドレスである「MACアドレス1」を当該フレームから取得する。続いて、L2ネットワークアクセスポイントは、取得した「MACアドレス1」に対応する暗号鍵Aが暗号鍵DBに記憶されていることより、当該利用者端末Aが正当な利用者であると判定して、暗号鍵DBから暗号鍵Aを取得し、取得した暗号鍵Aを用いて利用者端末Aとの間を仮想的な通信路(L2アクセスセッション)で接続する。そして、L2ネットワークアクセスポイントは、接続した仮想的な通信路に割り与えられている識別子「仮想通信路A」と、フレームから取得した接続された利用者端末AのMACアドレス「MACアドレス1」とを通信路DBに格納する。
利用者端末AとL2ネットワークアクセスポイントとの間でL2アクセスセッションが確立されると、利用者端末Aは、このL2アクセスセッションを介してIPアドレス取得要求を示すIPパケットをパケット転送システムに送信する。このIPアドレス取得要求をL2ネットワークアクセスポイントを介して受信したフレーム転送装置は、転送ルールDBのルール番号を順に参照し、転送ルールDBに「ルール0、フレームの内部に含まれるデータタイプがIPパケットである、フレームの通過を許可する」と「ルール1、端末とIPアドレス割り当て装置との通信である、フレームの通過を許可する」とが記憶されているので、当該IPアドレス取得要求をL3ルーティング機構に転送する。なお、ここで確立される仮想的な通信路とは、VPN(Virtual Private Network)、VC(Virtual Circuit、Virtual Call、Virtual Connection)などの通信路である。
そして、パケット転送システムは、L2ネットワークアクセスポイントと端末とが仮想的な通信路で接続されると、IPアドレスを割当てるとともに、転送ルールを生成して格納する(図1の(3)と(4)参照)。上記した例で具体的に説明すると、IPアドレス取得要求を受信したパケット転送システムのL3ルーティング機構は、自装置に記憶されるルーティング情報に基づいて、当該要求をIPアドレス割当て装置に転送する。そして、IPアドレス割当て装置は、要求を送信した利用者端末Aに対してIPアドレスとして「IPアドレス1」を割り当てる。そして、IPアドレス割当て装置は、割り当てた端末の「MACアドレス1」と「IPアドレス1」とを対応付けてアドレス情報DBに記憶する。すると、ルール反映器は、アドレス情報DBによって記憶される「MACアドレス1」と「IPアドレス1」とを、フレーム転送装置が解釈可能な転送ルールに書き換えて、フレーム転送装置の転送ルールDBに格納する。
つまり、この時点で、L2ネットワークアクセスポイントの通信路DBには、「仮想通信路識別子、MACアドレス」として「仮想通信路A、MACアドレス1」とが記憶されており、IPアドレス割当て装置のアドレス情報DBには、「MACアドレス、IPアドレス」として「MACアドレス1、IPアドレス1」とが記憶されている。また、フレーム転送装置の転送ルールDBには、「ルール0、フレームの内部に含まれるデータタイプがIPパケットである、フレームの通過を許可する」、「ルール1、端末とIPアドレス割り当て装置との通信である、フレームの通過を許可する」、「ルール2、レイヤ2フレームの送信元アドレスがMACアドレス1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である、フレームの通過を許可する」が記憶されている。
その後、パケット転送システムは、L2ネットワークアクセスポイントにより仮想的な通信路で接続されて、IPアドレス割当て装置によってIPアドレスが割り当てられた利用者端末からフレームを受信して、当該フレームからMACアドレスを取得し、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される通信路DBに記憶されるMACアドレスと、当該取得されたMACアドレスとが一致する場合に、当該フレームをフレーム転送装置に転送し、一致しない場合に、当該フレームを破棄する(図1の(5)と(6)参照)。
上記した例で具体的に説明すると、L2ネットワークアクセスポイントと接続され、IPアドレスが割り当てられた利用者端末Aは、接続されたL2アクセスセッションを介して無線通信により外部ネットワークに向けてフレーム(IPパケット)を送信する。こうして送信されたフレームは、パケット転送システムのL2ネットワークアクセスポイントにより受信される。フレームを受信したL2ネットワークアクセスポイントは、当該フレームから「MACアドレス1」を取得する。また、L2ネットワークアクセスポイントは、当該フレームが送信されたL2アクセスセッションの「仮想通信路識別子A」に対応して通信路DBに記憶される「MACアドレス1」を取得する。そして、L2ネットワークアクセスセッションは、送信されたフレームから取得された「MACアドレス1」と通信路DBから取得された「MACアドレス1」とが一致していることより、フレームを送信した利用者端末Aを正規の利用者であると判定し、当該フレームをフレーム転送装置に転送する。
そして、パケット転送システムは、アクセスポイントにより転送されたフレームを受信した場合に、当該フレームからIPアドレスを取得し、取得されたIPアドレスと、取得されたMACアドレスによって特定されるアドレス情報DBに記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとしてルーティング機構に転送し、一致しない場合に、当該フレームを破棄する(図1の(7)と(8)参照)。
上記した例で具体的に説明すると、L2ネットワークアクセスポイントにより転送されたフレームを受信したフレーム転送装置は、フレーム送信元の利用者端末AのMACアドレスとIPアドレスとして「MACアドレス1」と「IPアドレス1」とを当該フレームから取得する。続いて、フレーム転送装置は、取得された「MACアドレス1」に対応付けてIPアドレス割当て装置のアドレス情報DBに記憶される「IPアドレス1」を取得する。そして、フレーム転送装置は、当該フレームから取得された「IPアドレス1」とIPアドレス割当て装置の記憶部から取得した「IPアドレス1」とが一致する、つまり、転送ルールDBに「ルール2、レイヤ2フレームの送信元アドレスがMACアドレス1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である、フレームの通過を許可する」が記憶されていることより、当該フレームをIPパケットとしてルーティング機構に転送する。当該IPパケットを受信したルーティング機構は、自装置に記憶されるルーティングテーブルに基づいて、当該IPパケットを外部ネットワークに送信する。
ここで、IPアドレスまたはMACアドレスを詐称したフレームの転送制御について説明する。例えば、上記したようにL2アクセスセッションで接続された利用者端末A(IPアドレス1、MACアドレス1)がMACアドレスを「MACアドレス2」と詐称してフレームを送信したとする。この場合、送信されたフレームを受信したL2ネットワークアクセスポイントは、当該フレームから「MACアドレス2」を取得する。また、L2ネットワークアクセスセッションは、当該フレームが送信されたL2アクセスセッションの「仮想通信路識別子A」に対応して通信路DBに記憶される「MACアドレス1」を取得する。そして、L2ネットワークアクセスセッションは、送信されたフレームから取得された「MACアドレス2」と通信路DBから取得された「MACアドレス1」とが一致していないことより、フレームを送信した利用者端末Aを正規の利用者でないと判定し、当該フレームを破棄する。
また、例えば、上記したようにL2アクセスセッションで接続された利用者端末A(IPアドレス1、MACアドレス1)がIPアドレスを「IPアドレス2」と詐称してフレームを送信したとする。送信されたフレームを受信したL2ネットワークアクセスポイントは、当該フレームから「MACアドレス1」を取得する。また、L2ネットワークアクセスポイントは、当該フレームが送信されたL2アクセスセッションの「仮想通信路識別子A」に対応して通信路DBに記憶される「MACアドレス1」を取得する。そしてL2ネットワークアクセスポイントは、送信されたフレームから取得された「MACアドレス1」と通信路DBから取得された「MACアドレス1」とが一致していることより、フレームを送信した利用者端末Aを正規の利用者であると判定し、当該フレームをフレーム転送装置に転送する。
続いて、L2ネットワークアクセスポイントにより転送されたフレームを受信したフレーム転送装置は、フレーム送信元の利用者端末AのMACアドレスとIPアドレスとして「MACアドレス1」と「IPアドレス2」とを当該フレームから取得する。続いて、フレーム転送装置は、転送ルールDBを順に参照し、取得した「MACアドレス1」と「IPアドレス2」とに転送するか否かを判定する。ここでは、フレーム転送装置は、「ルール2、レイヤ2フレームの送信元アドレスがMAC1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である、フレームの通過を許可する」が転送ルールDBに記憶されていることより、つまり、フレームから取得されたIPアドレスが「IPアドレス2」であるため、当該フレームを破棄する。
このように、実施例1に係るパケット転送システムは、仮想的な通信路を識別する仮想通信路識別子によって正規に接続された端末を特定することができる結果、上記した主たる特徴のごとく、シェアードメディア型のネットワークにおいても、詐称したIPアドレスを用いたパケットを正確にフィルタリングすることが可能である。
[パケット転送システムの構成]
次に、図2を用いて、図1に示したパケット転送システムの構成を説明する。図2は、実施例1に係るパケット転送システムの構成を示すブロック図である。図2に示すように、実施例1に係るパケット転送システムは、ルール反映器10と、L3ルーティング機構20と、IPアドレス割当て装置30と、L2ネットワークアクセスポイント40と、フレーム転送装置50とから構成されるものであり、ここでは、それぞれについて説明する。
(ルール反映器10)
ルール反映器10は、フレーム転送装置50が解釈可能な転送ルールを生成して、フレーム転送装置50に格納する。具体的には、ルール反映器10は、IPアドレス割当て装置30によって利用者端末AにIPアドレス(IPアドレス1)が割り当てられて、割り当てられた端末の「MACアドレス1」と「IPアドレス1」とがアドレス情報DB33に記憶されると、記憶される情報に基づいて、フレーム転送装置50が解釈可能な転送ルールを作成して、作成した転送ルールをフレーム転送装置50の転送ルールDB54に格納する。例えば、ルール反映器10は、IPアドレス割当て装置10のアドレス情報DB33に「MACアドレス1」と「IPアドレス1」とが記憶されると、この記憶される情報から、「レイヤ2フレームの送信元アドレスがMAC1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である場合に、フレームの通過を許可する」という転送ルールを生成して、フレーム転送装置50の転送ルールDB54に格納する。
(L3ルーティング機構20)
L3ルーティング機構20は、記憶するルーティング情報(経路情報)に基づいて、受信したパケットを宛先に送信する。このルーティング機構20は、一般的にネットワークセグメントの異なる複数のLANインターフェースを有するとともに、宛先ネットワーク/マスク、隣接ルータのIPアドレス、送出インターフェーステーブルを管理し、受信したIPパケットの宛先IPアドレスを基にフレームを転送する。具体的には、L3ルーティング機構20は、利用者端末Aから送信されたIPアドレス割当て装置30の宛てのブロードキャストであるIPアドレス取得要求をユニキャスト通信に書き換えて、IPアドレス割当て装置30に転送したり、IPアドレスが割り当てられた利用者端末Aから外部ネットワークに向けて送信されたIPパケットを外部ネットワークに転送したりする。
(IPアドレス割当て装置30の構成)
図2に示すように、IPアドレス割当て装置30は、通信制御I/F部31と、記憶部32と、制御部34とから構成される。通信制御I/F部31は、利用者端末Aとの間でL3ルーティング機構20を介してやり取りする各種情報に関する通信を制御する。上記した例で具体的に説明すると、通信制御I/F部31は、利用者端末Aから送信されたIPアドレス取得要求をL3ルーティング機構20を介して受信したり、受信したIPアドレス取得要求に対する応答をL3ルーティング機構20を介して利用者端末Aに送信したりする。
記憶部32は、制御部34による各種処理に必要なデータおよびプログラムを格納するとともに、特に本発明に密接に関連するものとしては、アドレス情報DB33を備える。
アドレス情報DB33は、端末に割当てられたIPアドレスと、IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶する。具体的には、アドレス情報DB33は、後述するIPアドレス割当て部35によってIPアドレスが割り当てられると、割り当てられたIPアドレスと、当該IPアドレスが割り当てられた端末のMACアドレスとを対応付けて記憶する。例えば、アドレス情報DB33は、図3に示すように、「MACアドレス、IPアドレス」として「MACアドレス1、IPアドレス1」や「MACアドレス2、IPアドレス2」などと記憶する。また、ここで示す各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。なお、図3は、IPアドレス割当て装置のアドレス情報DBに記憶される情報の例を示す図である。
制御部34は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、IPアドレス割当て部35を備え、これらによって種々の処理を実行する。
IPアドレス割当て部35は、利用者端末に対してIPアドレスを動的に割り当てる。上記した例で具体的に説明すると、IPアドレス割当て部35は、利用者端末Aから送信されたIPアドレス取得要求をL3ルーティング機構を介して受信すると、当該利用者端末AのMACアドレスである「MACアドレス1」をIPアドレス取得要求から取得して、当該利用者端末Aに対して「IPアドレス1」を割当てる。そして、IPアドレス割当て部35は、割当てたIPアドレスである「IPアドレス1」と、当該利用者端末のMACアドレスである「MACアドレス1」とを対応付けてアドレス情報DB33に格納する。
(L2ネットワークアクセスポイント40の構成)
図2に示すように、L2ネットワークアクセスポイント40は、無線通信部41と、通信制御I/F部42と、記憶部43と、制御部46とから構成される。
無線通信部41は、無線ネットワークによる通信を制御するものであり、具体的には、利用者端末Aから接続要求(L2ネットワークアクセス要求)を受信したり、利用者端末AからIPアドレス取得要求を受信したり、後述する通信制御I/F部42によって受信されたIPアドレス取得要求に対する応答を送信したりする。
通信制御I/F部42は、接続されるフレーム転送装置50との通信を制御するものであり、具体的には、無線通信部41によって受信された接続要求をフレーム転送装置50に転送したり、IPアドレス割当て装置30によって送信されたIPアドレス取得要求に対する応答を受信したりする。
記憶部43は、制御部46による各種処理に必要なデータおよびプログラムを格納するとともに、特に本発明に密接に関連するものとしては、暗号鍵DB44と、通信路DB45とを備える。
暗号鍵DB44は、利用者端末のMACアドレスに対応付けて、利用者端末AのMACアドレスを元に生成した暗号鍵を記憶する。上記した例で具体的に説明すると、暗号鍵DB44は、図4に示すように、『利用者端末のMACアドレスを示す「MACアドレス」、利用者端末AのMACアドレスを元に生成した暗号鍵を示す「暗号鍵」』として「MACアドレス1、暗号鍵A」や「MACアドレス2、暗号鍵B」などと記憶する。ここで、暗号鍵を共有する手法としては、あらかじめ管理者などによって格納されていてもよく、WPAなどの既存の手法を用いて格納されていてもよい。また、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。なお、図4は、暗号鍵DBに記憶される情報の例を示す図である。また、暗号鍵DB44は、特許請求の範囲に記載の「暗号鍵記憶手段」に対応する。
通信路DB45は、利用者端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶する。上記した例で具体的に説明すると、通信路DB45は、図5に示すように、『接続された仮想的な通信路を一意に識別する「仮想通信路識別子」、端末の「MACアドレス」』を対応付けて「MACアドレス1、仮想通信路識別子A」や「MACアドレス2、仮想通信路識別子B」などと記憶する。ここで示す各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。また、図5は、通信路DBに記憶される情報の例を示す図である。なお、通信路DB45は、特許請求の範囲に記載の「通信路記憶手段」に対応する。
制御部46は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、通信路接続部47と、フレーム転送制御部48とを備え、これらによって種々の処理を実行する。
通信路接続部47は、利用者端末から接続要求を受信した場合に、当該接続要求の送信先である利用者端末に対応する暗号鍵が暗号鍵DB44に記憶されている場合に、当該利用者端末が正当な利用者であると判定して、暗号鍵DB44から暗号鍵を取得して、取得された暗号鍵を用いて当該利用者端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて通信路DB45に格納する。
上記した例で具体的に説明すると、通信路接続部47は、利用者端末Aから接続要求を示すフレームが無線通信部41によって受信された場合に、当該フレームの送信先である利用者端末AのMACアドレスである「MACアドレス1」を当該フレームから取得する。続いて、通信路接続部47は、取得した「MACアドレス1」に対応する暗号鍵Aが暗号鍵DBに記憶されていることより、当該利用者端末Aが正当な利用者であると判定して、暗号鍵DBから暗号鍵Aを取得し、取得した暗号鍵Aを用いて利用者端末Aとの間を仮想的な通信路で接続する。そして、通信路接続部47は、接続した仮想的な通信路に割り与えられている識別子「仮想通信路A」と、フレームから取得した接続された利用者端末AのMACアドレス「MACアドレス1」とを通信路DB45に格納する。なお、通信路接続部47は、特許請求の範囲に記載の「通信路接続制御手段」に対応する。
フレーム転送制御部48は、通信路接続部47により仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信した場合に、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される通信路DB45に記憶されるMACアドレスとが一致すると、当該フレームの転送を許可し、一致しないと、当該フレームの転送を拒否する。
具体的に説明すると、フレーム転送制御部48は、通信路接続部47により利用者端末と仮想的な通信路で接続されて、IPアドレスが割り当てられた利用者端末からフレームを受信した場合に、当該フレームからMACアドレスを取得する。そして、フレーム転送制御部48は、当該フレームから送信された仮想的な通信路の仮想通信路識別子に対応して通信路DB45に記憶されるMACアドレスを特定し、フレームから取得されたMACアドレスと、通信路DBから特定されたMACアドレスとが一致する場合に、当該フレームをフレーム転送装置50に転送し、一致しない場合に、当該フレームを破棄する。
上記した例で説明すると、フレーム転送制御部48は、通信路接続部47により利用者端末Aと仮想的な通信路で接続されて、IPアドレス「IPアドレス1」が割り当てられた利用者端末Aからフレームを受信した場合に、当該フレームからMACアドレスである「MACアドレス1」を取得する。そして、フレーム転送制御部48は、当該フレームから送信された仮想的な通信路の仮想通信路識別子Aに対応して通信路DB45に記憶されるMACアドレスとして「MACアドレス1」を特定し、フレームから取得された「MACアドレス1」と、通信路DBから特定された「MACアドレス1」とが一致するため、当該フレームをフレーム転送装置50に転送する。なお、フレーム転送制御部48は、特許請求の範囲に記載の「フレーム転送制御手段」に対応する。
(フレーム転送装置50の構成)
図2に示すように、フレーム転送装置50は、内部通信制御I/F部51と、外部通信制御I/F部52と、記憶部53と、制御部55とから構成される。
内部通信制御I/F部51は、接続されるL2ネットワークアクセスポイント40との間でやり取りする各種情報に関する通信を制御する。上記した例で具体的に説明すると、内部通信制御I/F部51は、接続されるL2ネットワークアクセスポイント40から転送された利用者端末Aから接続要求やIPアドレス取得要求を受信したり、後述する外部通信制御I/F部52によって受信されたIPアドレス取得要求に対する応答をL2ネットワークアクセスポイント40に送信したりする。
外部通信制御I/F部52は、接続されるL3ルーティング機構20との間でやり取りする各種情報に関する通信を制御する。上記した例で具体的に説明すると、外部通信制御I/F部52は、内部通信制御I/F部51によって受信された利用者端末AのIPアドレス取得要求をIPアドレス割当て装置30に送信するために、当該要求をL3ルーティング機構20に転送したり、当該要求に対する応答をL3ルーティング機構20から受信したりする。
記憶部53は、制御部55による各種処理に必要なデータおよびプログラムを格納するとともに、特に本発明に密接に関連するものとしては、転送ルールDB54とを備える。転送ルールDB54は、ルール反映器10によって生成されて格納された解釈可能な転送ルールを記憶する。上記した例で具体的に説明すると、転送ルールDB54は、図6に示すように、『ルールを識別する「ルール番号」、転送可否を判断する「条件」、条件に一致した場合に実施する「アクション」』として「ルール0、フレームの内部に含まれるデータタイプがIPパケットである、フレームの通過を許可する」、「ルール1、端末とIPアドレス割り当て装置との通信である、フレームの通過を許可する」や「ルール2、レイヤ2フレームの送信元アドレスがMACアドレス1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である、フレームの通過を許可する」などと記憶する。また、ここで示す各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。なお、図6は、転送ルールDBに記憶される情報の例を示す図である。
制御部55は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、転送制御部56を備え、これらによって種々の処理を実行する。
転送制御部56は、L2ネットワークアクセスポイント40のフレーム転送制御部48によりにより転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定されるアドレス情報DB33に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄する。具体的には、転送制御部56は、L2ネットワークアクセスポイント40のフレーム転送制御部48により転送されたフレームのIPヘッダからフレーム送信元の利用者端末AのMACアドレスとIPアドレスとして「MACアドレス1」と「IPアドレス1」とを当該フレーム取得する。続いて、転送制御部56は、転送ルールDB54に記憶される転送ルールに基づき、当該フレームの転送可否を判断する。
上記した例で説明すると、転送制御部56は、L2ネットワークアクセスポイント40のフレーム転送制御部48により転送されたフレームのIPヘッダからフレーム送信元の利用者端末AのMACアドレスとIPアドレスとして「MACアドレス1」と「IPアドレス1」とを当該フレーム取得する。そして、転送制御部56は、転送ルールDB54に「ルール2、レイヤ2フレームの送信元アドレスがMACアドレス1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である、フレームの通過を許可する」が記憶されていることより、当該フレームをIPパケットとしてルーティング機構20に転送する。
一方、転送ルールDB54に、「ルール2、レイヤ2フレームの送信元アドレスがMACアドレス1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である、フレームの通過を拒否する」や、「ルール3、レイヤ2フレームの送信元アドレスがMACアドレス1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス2である、フレームの通過を許可する」などが記憶されている場合、転送制御部56は、当該フレームの転送を拒否し、当該フレームを破棄する。なお、転送制御部56は、特許請求の範囲に記載の「転送制御手段」に対応する。
[パケット転送システムによる処理]
次に、図7と図8とを用いて、パケット転送システムによる処理を説明する。図7は、実施例1に係るパケット転送システムにおける仮想通信路接続処理の流れを示すフローチャートであり、図8は、実施例1に係るパケット転送システムにおけるフレーム転送処理の流れを示すフローチャートである。
(仮想通信路接続処理の流れ)
図7に示すように、利用者端末から接続要求を受信すると(ステップS701肯定)、パケット転送システムは、当該接続要求からMACアドレスを取得する(ステップS702)。上記した例で具体的に説明すると、利用者端末Aから無線通信により送信された接続要求(L2ネットワークアクセス要求)を受信したL2ネットワークアクセスポイント40は、当該接続要求からMACアドレスとして「MACアドレス1」を取得する。
続いて、パケット転送システムは、取得したMACアドレスに対応する暗号鍵が記憶されているか否かを判定する(ステップS703)。上記した例で具体的に説明すると、L2ネットワークアクセスポイント40は、取得した「MACアドレス1」に対応する暗号鍵が暗号鍵DB44に記憶されているか否かを判定する。
そして、取得したMACアドレスに対応する暗号鍵が記憶されている場合(ステップS703肯定)、パケット転送システムは、暗号鍵を取得して、利用者端末との間に取得した暗号鍵を用いて仮想的な通信路を確立し(ステップS704)、確立した仮想的な通信路に割り与えられている仮想通信路識別子と取得したMACアドレスとを対応付けて格納する(ステップS705)。
上記した例で具体的に説明すると、取得した「MACアドレス1」に対応する「暗号鍵A」が暗号鍵DB44に記憶されている場合、L2ネットワークアクセスポイント40は、「暗号鍵A」を取得して、利用者端末との間に取得した「暗号鍵A」を用いて仮想的な通信路「仮想通信路識別子A」を確立し、確立した仮想的な通信路に割り与えられている仮想通信路識別子「仮想通信路識別子A」と取得したMACアドレス「MACアドレス1」とを対応付けて通信路DB45に格納する。
一方、取得したMACアドレスに対応する暗号鍵が記憶されていない場合(ステップS703否定)、パケット転送システムは、接続を拒否する(ステップS706)。上記した例で具体的に説明すると、取得した「MACアドレス1」に対応する暗号鍵が暗号鍵DB44に記憶されていない場合、L2ネットワークアクセスポイント40は、接続を拒否する旨の応答を利用者端末Aに送信する。
(フレーム転送処理の流れ)
図8に示すように、利用者端末からフレームを受信すると(ステップS801肯定)、パケット転送システムは、当該フレームからMACアドレスを取得する(ステップS802)。上記した例で具体的に説明すると、仮想的な通信路で接続された利用者端末Aから無線通信により送信されたフレームを受信したL2ネットワークアクセスポイント40は、当該フレームからMACアドレスとして「MACアドレス1」を取得する。
続いて、パケット転送システムは、当該フレームが送信された仮想的な通信路の仮想通信路識別子によって通信路DBに記憶されるMACアドレスを特定して(ステップS803)、取得されたMACアドレスと特定されたMACアドレスとが一致するか否かを判定する(ステップS804)。上記した例で具体的に説明すると、L2ネットワークアクセスポイント40は、当該フレームが送信された仮想的な通信路の仮想通信路識別子「仮想通信路識別子A」に対応付けられているMACアドレスを、通信路DBを参照して「MACアドレス1」と特定し、取得された「MACアドレス1」と特定された「MACアドレス1」とが一致するか否かを判定する。
そして、取得されたMACアドレスと特定されたMACアドレスとが一致する場合(ステップS804肯定)、パケット転送システムは、当該フレームの転送を許可する(ステップS805)。上記した例で具体的に説明すると、取得された「MACアドレス1」と特定された「MACアドレス1」とが一致する場合、L2ネットワークアクセスポイント40は、当該フレームをフレーム転送装置50に転送する。
すると、パケット転送システムは、当該フレームからIPアドレスを取得し(ステップS806)、取得されたIPアドレスとIPアドレス割当て装置30のアドレス情報DB33に記憶されるIPアドレスとが一致するか否かを判定する(ステップS807)。
上記した例で具体的に説明すると、フレーム転送装置50は、L2ネットワークアクセスポイント40から転送されたIPヘッダから利用者端末AのMACアドレスとIPアドレスとして「MACアドレス1」と「IPアドレス1」とを取得する。続いて、フレーム転送装置50は、取得された「MACアドレス1」に対応付けてIPアドレス割当て装置30のアドレス情報DB33に記憶される「IPアドレス1」を取得する。そして、当該フレームから取得された「IPアドレス1」とIPアドレス割当て装置30のアドレス情報DB33から取得した「IPアドレス1」とが一致する、つまり、転送ルールDBに当該フレームの転送を許可するルールが記憶されているか否かを判定する。
そして、取得されたIPアドレスとIPアドレス割当て装置30のアドレス情報DB33に記憶されるIPアドレスとが一致する場合(ステップS807肯定)、パケット転送システムは、当該フレームをパケットとして転送する(ステップS808)。
上記した例で具体的に説明すると、フレーム転送装置50は、当該フレームから取得された「IPアドレス1」とIPアドレス割当て装置30のアドレス情報DB33に記憶される「IPアドレス1」とが一致する、つまり、転送ルールDB54に「ルール2、レイヤ2フレームの送信元アドレスがMACアドレス1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である、フレームの通過を許可する」が記憶されていることより、当該フレームをIPパケットとしてL3ルーティング機構20を介して外部ネットワークに転送する。
一方、取得されたMACアドレスと特定されたMACアドレスとが一致しない場合(ステップS804否定)や取得されたIPアドレスとIPアドレス割当て装置30のアドレス情報DB33に記憶されるIPアドレスとが一致しない場合(ステップS807否定)、パケット転送システムは、当該フレームを破棄する(ステップS809)。
[実施例1による効果]
このように、実施例1によれば、利用者端末Aとの間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該利用者端末AのMACアドレスとを対応付けて記憶し、利用者端末Aから接続要求を受信した場合に、当該利用者端末Aが正当な利用者であることを条件に、当該利用者端末Aとの間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該利用者端末AのMACアドレスとを対応付けて格納し、仮想的な通信路で接続されて、IPアドレスが割り当てられた利用者端末Aからフレームを受信した場合に、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定されるMACアドレスとが一致すると、当該フレームの転送を許可し、一致しないと、当該フレームの転送を拒否し、転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定されるアドレス情報DB33に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄するので、仮想的な通信路を識別する仮想通信路識別子によって正規に接続された端末を特定することができる結果、シェアードメディア型のネットワークにおいても、詐称したIPアドレスを用いたパケットを正確にフィルタリングすることが可能である。
例えば、仮想的な通信路で接続された端末からMACアドレスを詐称したフレームを受信した場合でも、仮想通信路識別子とMACアドレスとを対応付けて記憶している結果、当該フレームが不正な端末から送信されたフレームであると検出して破棄することができ、また、仮想的な通信路で接続された端末からIPアドレスを詐称したフレームを受信した場合でも、割当てられたIPアドレスとMACアドレスとを対応付けて記憶している結果、当該フレームが不正な端末から送信されたフレームであると検出して破棄することができる。
また、端末が接続される仮想的な通信路(L2アクセスセッション)は一意に特定され、かつ、同一のMACアドレスを詐称する悪意のある端末は、当該L2アクセスセッションに接続することができないため、割当てたIPアドレスを用いてのみ通信可能となる。
また、実施例1によれば、利用者端末AのMACアドレスに対応付けて、利用者端末Aと共有する暗号鍵を記憶し、利用者端末Aから接続要求を受信した場合に、当該接続要求の送信先である端末に対応する暗号鍵が記憶されている場合に、当該利用者端末Aが正当な利用者であると判定して、暗号鍵を取得し、取得された暗号鍵を用いて当該利用者端末Aとの間を当該仮想的な通信路で接続するので、セキュリティが高い仮想的な通信路を作成することができる結果、第三者の介入を強固に防止することが可能である。
例えば、暗号鍵を用いたVPNなどを接続することができる結果、接続された仮想的な通信路に対して、第三者が不正に侵入することを強固に防止することが可能である。また、接続を希望する端末とパケット転送システムとの間で暗号鍵を共有しているので、当該暗号鍵を保持しているか否かにより、接続要求を送信する端末を認証することが可能である。さらに、MACアドレスから生成された暗号鍵を用いることで、暗号鍵の詐称やIPアドレスを詐称する端末の介入をより強固に防止することが可能である。
ところで、本発明におけるパケット転送システムでは、レイヤ2ネットワークへの認証機能を追加することもできる。そこで、実施例2では、図9を用いて、レイヤ2ネットワークへの認証機能を追加したパケット転送システムについて説明する。図9は、実施例2に係るパケット転送システムの全体構成を示す図である。
図9に示すように、このパケット転送システムは、実施例1で説明したパケット転送システムに、認証部62(特許請求の範囲に記載の「ユーザ認証手段」に対応する)とユーザ情報DB61(特許請求の範囲に記載の「ユーザ情報記憶手段」に対応する)とから構成されるL2アクセス認証装置60とマッチング機構70(特許請求の範囲に記載の「IPアドレス特定手段」と「ユーザ特定手段」とに対応する)とがさらに追加されている。また、図9に示したL2ネットワークアクセスポイント40は、IEEE802.xやEAP−TLS(RFC2716)に対応した装置である。
このL2アクセス認証装置60のユーザ情報DB61は、利用者端末Aを一意に識別するユーザIDと、当該端末のMACアドレスとを対応付けて記憶する。具体的に例を挙げると、ユーザ情報DB61は、図10に示すように、『端末を一意に識別する「ユーザID」と、当該端末の「MACアドレス」』として「ユーザA、MACアドレス1」や「ユーザB、MACアドレス2」などと記憶する。また、ここで示す各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。なお、図10は、ユーザ情報DBに記憶される情報の例を示す図である。
そして、L2アクセス認証装置60の認証部62は、利用者端末Aから接続要求を受信した場合に、当該端末が正当な利用者であるか否かを所定の認証手法で判定し、接続要求を送信した端末が正当な利用者であると判定した場合に、当該端末のMACアドレスとIPアドレスとをユーザ情報DB61に格納する。
また、マッチング機構70とは、ユーザIDに対応してユーザ情報DB61に記憶されるMACアドレスからアドレス情報DB33に記憶されるIPアドレスを特定し、また、IPアドレスに対応してアドレス情報DB33に記憶されるMACアドレスからユーザ情報DB61に記憶されるユーザIDを特定する。
ここで示す所定の認証について具体的に説明すると、IEEE802.xやEAP−TLS(RFC2716)などを用いて、利用者端末Aから接続要求とともに電子証明書を受信したL2ネットワークアクセスポイント40は、当該接続要求をL3ルーティング機構20を介して、L2アクセス認証装置60に転送する(図9の(1)参照)。
すると、L2アクセス認証装置60の認証部62は、受信した電子証明書から接続要求を送信した端末が正当な利用者であるか否かを判定する(図9の(2)参照)。そして、正当な利用者であると判定すると、L2アクセス認証装置60の認証部62は、当該利用者端末AのユーザIDとMACアドレスとして「ユーザA、MACアドレス1」とをユーザ情報DB61に格納する(図9の(3)参照)。
その後、実施例1で説明した同様の手法で、利用者端末Aに対してIPアドレスが割り当てられて、利用者端末AのIPアドレスとMACアドレスとがIPアドレス割当て装置30のアドレス情報DB33に格納されると、マッチング機構70は、ユーザIDに対応してユーザ情報DB61に記憶されるMACアドレスからアドレス情報DB33に記憶されるIPアドレスを特定し、また、IPアドレスに対応してアドレス情報DB33に記憶されるMACアドレスからユーザ情報DB61に記憶されるユーザIDを特定する(図9の(5)参照)。つまり、マッチング機構70は、ユーザIDとMACアドレスとの対応関係からMACアドレスを検索し、さらに、MACアドレスとIPアドレスとの対応関係からMACアドレスをキーとして検索することで、ユーザIDとIPアドレスとの対応関係を得ることができる。また、MACアドレスとIPアドレスとの対応関係からIPアドレスをキーとしてMACアドレスを得て、さらに、ユーザIDとMACアドレスとの対応関係から得られたMACアドレスをキーとしてユーザIDを検索することも可能である。
また、実施例2によれば、端末から接続要求を受信した場合に、当該接続要求から端末のMACアドレスとIPアドレスとを取得し、取得したMACアドレスとIPアドレスとに基づいて、当該端末が正当な利用者であるか否かを所定の認証手法で判定するので、L2レイヤレベルで端末を認証した上で仮想的な通信路を接続する結果、セキュリティを高く保つことが可能である。
例えば、IEEE802.xやEAP(Extensible Authentication Protocol)−TLS(Transport Layer Security)「RFC2716」などを用いて接続要求とともに第三者機関が発行する電子証明書などを受信することができ、この電子証明書に基づいて端末を認証することができる結果、セキュリティを高く保つことが可能である。
また、実施例2によれば、利用者端末Aには、当該端末を利用する利用者を一意に識別するユーザIDが割り与えられており、接続要求を送信した端末が正当な利用者であると判定された場合に、当該端末に割り当たられているユーザIDと、当該端末のMACアドレスとを対応付けて格納されるユーザ情報DB61と、ユーザ情報DB61に記憶されるユーザIDからMACアドレスを特定し、特定されたMACアドレスからアドレス情報DB33に記憶されるIPアドレスを特定し、アドレス情報DB33に記憶されるIPアドレスからMACアドレスを特定し、特定されたIPアドレスからユーザ情報DB61に記憶されるユーザIDを特定するので、IPアドレスから端末に割り与えられているユーザID、また、ユーザIDから当該ユーザIDが割り与えられている端末のIPアドレスを容易に特定することが可能である。
例えば、ユーザIDとMACアドレスとの対応関係からMACアドレスを検索し、さらに、MACアドレスとIPアドレスとの対応関係からMACアドレスをキーとして検索することで、ユーザIDとIPアドレスとの対応関係を得ることができる。また、MACアドレスとIPアドレスとの対応関係からIPアドレスをキーとしてMACアドレスを得て、さらに、ユーザIDとMACアドレスとの対応関係から得られたMACアドレスをキーとしてユーザIDを検索することも可能である。
ところで、本発明におけるパケット転送システムでは、接続された仮想的な通信路が無効状態であると検出されると、接続されていた利用者端末に関する情報を削除するようにすることもできる。そこで、実施例3では、図11を用いて、接続された仮想的な通信路が無効状態であると検出された場合に、接続されていた利用者端末に関する情報を削除するパケット転送システムについて説明する。図11は、実施例3に係るパケット転送システムの全体構成を示す図である。
実施例1または実施例2と異なる点としては、図11に示すように、L2アクセス認証装置には、利用者端末との間に仮想的な通信路が確立されると、当該端末のMACアドレスに対応する暗号鍵を暗号鍵DB44から取得し、取得した暗号鍵と、当該端末のMACアドレスと、当該仮想的な通信路の仮想通信路識別子とをセッション情報として記憶するセッション情報DB80が接続されている。また、L3ルーティング機構20には、接続された仮想的な通信路が切断された場合に、接続されていた利用者端末に関する情報を削除する指示を各装置に送信するセッション情報通知器90が接続されている。
このような構成において、実施例1または実施例2と同様に、利用者端末Aから接続要求が送信されると、L2アクセス認証装置60によってユーザ認証が実行されて、正当な利用者であると判定されると、L2ネットワークアクセスポイント40は、当該利用者端末AのMACアドレスに対応した暗号鍵Aを暗号鍵DB44から取得し、取得した暗号鍵Aを用いて、利用者端末Aとの間に仮想的な通信路を確立する(図11の(1)〜(4)参照)。すると、L2アクセス認証装置60は、図12に示すように、確立された仮想的な通信路のセッション情報(暗号鍵A、MACアドレス1、仮想通信路識別子A)をセッション情報DB80に格納する(図11の(5)参照)。ここで、L2ネットワークアクセスポイント40と仮想的な通信路で接続された利用者端末は、接続状態を継続するために周期的に接続更新信号をL2ネットワークアクセスポイント40に送信している。なお、図12は、セッション情報DBに格納される情報の例を示す図である。
その後、L2ネットワークアクセスポイント40は、接続された仮想的な通信路が無効状態であることを検出すると、(図11の(6)参照)、通信路DB45にそれぞれ記憶される無効状態であると検出された利用者端末AのMACアドレスに対応する情報である「仮想通信路識別子A、MACアドレス1」を削除するとともに、(図11の(7)参照)、当該セッションが無効状態であると検出されたことをL2アクセス認証装置60に通知する(図11の(8)参照)。
ここで、仮想的な通信路が無効化状態であることを検出する手法としては、L2ネットワークアクセスポイント40からの切断信号をリンク(アソシエーション)により検出した場合、新規の仮想的な通信路が確立されたときに、当該仮想的な通信路で接続された端末のMACアドレスに関する他の仮想的な通信路を無効と判断した場合、仮想的な通信路が確立された端末から周期的に接続更新信号を受信することとして、有効期限が過ぎても周期的な接続更新信号を受信しなかった場合などがあり、また、これ以外にも様々な手法で無効状態を検出することができる。
そして、当該セッションが無効化状態であると検出された通知を受信したL2アクセス認証装置60は、セッション情報DB80に記憶される「暗号鍵A、MACアドレス1、仮想通信路識別子A」と、ユーザ情報DB61に記憶されるユーザ情報「ユーザA、MACアドレス1」とを削除するとともに(図11の(9)参照)、転送ルールDB54に記憶される無効化状態であると検出された利用者端末AのMACアドレスに対応する情報である転送ルールを削除する指示をルール反映器10に送信し、当該セッションが無効化状態であると検出された通知をセッション情報通知器90に対して送信する(図11の(10)参照)。
削除指示を受けたルール反映器10は、フレーム転送装置50の転送ルールDB54に記憶される「ルール2、レイヤ2フレームの送信元アドレスがMACアドレス1である、かつ、フレーム内に含まれるIPヘッダの送信元IPアドレスがIPアドレス1である、フレームの通過を許可する」転送ルールを削除する(図11の(11)参照)。
また、当該セッションが無効化状態であると検出された通知を受信したセッション情報通知器90は、IPアドレス割当て装置30に対して、アドレス情報DB33に記憶される無効状態であると検出された利用者端末AのMACアドレス「MACアドレス1」に対応する情報「MACアドレス1、IPアドレス1」を削除する指示を送信し、当該指示を受信したIPアドレス割当て装置30は、アドレス情報DB33に記憶される「MACアドレス1、IPアドレス1」を削除することで、利用者端末AのIPアドレス割当てを終了する(図11の(12)参照)。
このように、実施例3によれば、利用者端末Aとの間に接続された仮想的な通信路が無効化状態であると検出された場合に、仮想的な通信路に割り与えられている仮想通信路識別子Aに対応付けて通信路DB45に記憶される情報「仮想通信路氏識別子A、MACアドレス1」と、利用者端末AのMACアドレスに対応付けてアドレス情報DB33に記憶される情報「MACアドレス1、IPアドレス1」とを削除するので、当該MACアドレスを保持する端末との仮想的な通信路を無効にすることができる結果、MACアドレスやIPアドレスを詐称する悪意のある端末がネットワークに接続することを強固に防止することが可能である。
例えば、悪意のある端末がL2ネットワークアクセスポイント40に接続しようとしたとしても、パケット転送システムのL2ネットワークアクセスポイント40は、正当端末との間で共有される暗号鍵Aを保持していないため、正当な端末が接続されていたL2アクセスセッションを再現することはできない。また、悪意のある端末が異なる暗号鍵を用いてL2アクセスセッションを生成したとしても、正当な端末が接続されていたL2アクセスセッションとは異なるセッションであるため、端末から送信されるIPパケットをフレーム転送装置50で破棄することが可能である。
また、仮想的な通信路で接続された端末が周期的に接続を更新する更新信号をパケット転送システムに送信している場合、更新手続きの有効期限が切れても、更新信号を受信しなかったとすると、当該端末との接続を切断してもよいものとみなして接続を無効にすることができる結果、MACアドレスやIPアドレスを詐称する悪意のある端末がネットワークに接続することを強固に防止することが可能である。
ところで、本発明におけるパケット転送システムでは、L2ネットワークアクセスポイントが複数あり、あるL2ネットワークアクセスポイントから異なるL2ネットワークアクセスポイントに端末が再接続する際に、仮想的な通信路を迅速に再構築することができる。そこで、実施例4では、図13を用いて、仮想的な通信路を迅速に再構築するパケット転送システムについて説明する。図13は、実施例4に係るパケット転送システムの全体構成を示す図である。
実施例1〜3と異なる点としては、図13に示すように、フレーム転送装置50に複数のL2ネットワークアクセスポイントA〜Cが接続されている点である。このような構成において、IPアドレス「IPアドレス1」が割り当てられた利用者端末AとL2ネットワークアクセスポイントCとが仮想的な通信路で接続されていたとする。その場合、セッション情報DB80は、確立された仮想的な通信路のセッション情報(暗号鍵A、MACアドレス1、仮想通信路識別子A)を記憶していることとなる。
このような状態から利用者端末AがL2ネットワークアクセスポイントCとの仮想的な通信路を解消して、新たにL2ネットワークアクセスポイントBと再接続を要求する接続要求をL2ネットワークアクセスポイントBに送信したとする(図13の(1)参照)。すると、L2ネットワークアクセスポイントBは、セッション情報DB80を参照して、当該接続要求を送信した利用者端末AのMACアドレスである「MACアドレス1」に対応するセッション情報(暗号鍵A、MACアドレス1、仮想通信路識別子A)が記憶されていることより、このセッション情報(暗号鍵A、MACアドレス1、仮想通信路識別子A)を取得し(図13の(2)参照)、取得したセッション情報(暗号鍵A、MACアドレス1、仮想通信路識別子A)に基づいて、利用者端末AとL2ネットワークアクセスポイントCとの間に接続された仮想的な通信路を再構築する(図13の(3))参照)。これ以降のフレーム転送制御については、実施例1と同様の処理であるので、ここでは省略する。
このように、実施例4によれば、利用者端末Aとの間に仮想的な通信路が確立されると、当該端末のMACアドレス1に対応する暗号鍵Aを暗号鍵DB44から取得し、取得した暗号鍵Aと、当該利用者端末AのMACアドレス1と、当該仮想的な通信路の仮想通信路識別子Aとをセッション情報として記憶し、仮想的な通信路による接続を一時的に解消した利用者端末Aから接続要求を受信した場合に、当該利用者端末AのMACアドレス1に対応するセッション情報がセッション情報DB80に記憶されていると、セッション情報DB80からセッション情報を取得し、取得されたセッション情報を用いて、新たな仮想通信路識別子の仮想的な通信路ではなく、以前に接続されていた仮想通信路識別子Aの仮想的な通信路を当該利用者端末Aとの間に再構築するので、IPアドレスの再払出によるレイヤ3通信の再接続を抑止することが可能である。
例えば、レイヤ2においてセッションを復元することができ、レイヤ3以上の上位の接続を再構築する必要がないため、IPアドレスの再割当てを抑止することが可能であり、さらに、端末のSIP登録(registration)やMobile IPを用いた際の位置登録、IPアドレスとそれに対応する名前を動的に登録するDDNSなどの方式において、更新信号(例えば、再接続やIPアドレスの再割当てなど)の発生を抑止することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)システム構成等、(2)プログラムにそれぞれ区分けして異なる実施例を説明する。
(1)システム構成等
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、接続要求からMACアドレスやユーザIDを取得する処理など)の全部または一部を手動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3〜図6、図10、図12など)については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、L2ネットワークアクセスポイントとフレーム転送装置とを統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。例えば、フレーム転送装置とL2ネットワークアクセスポイントとを統合したり、また、フレーム転送装置とルール反映器を統合したり、L2ネットワークアクセスポイントの通信路接続部をフレーム装置が備えるように構成したりするなど、様々な装置構成を実現することができる。
(2)プログラム
なお、本実施例で説明したパケット転送システムは、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係るパケット転送システムおよびパケット転送方法は、利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送することに有用であり、特に、シェアードメディア型のネットワークにおいても、詐称したIPアドレスを用いたパケットを正確にフィルタリングすることに適する。
実施例1に係るパケット転送システムの全体構成を示すシステム構成図である。 実施例1に係るパケット転送システムの構成を示すブロック図である。 アドレス情報DBに記憶される情報の例を示す図である。 暗号鍵DBに記憶される情報の例を示す図である。 通信路DBに記憶される情報の例を示す図である。 転送ルールDBに記憶される情報の例を示す図である。 実施例1に係るパケット転送システムにおける仮想通信路接続処理の流れを示すフローチャートである。 実施例1に係るパケット転送システムにおけるフレーム転送処理の流れを示すフローチャートである。 実施例2に係るパケット転送システムの全体構成を示す図である。 ユーザ情報DBに記憶される情報の例を示す図である。 実施例3に係るパケット転送システムの全体構成を示す図である。 セッション情報DBに格納される情報の例を示す図である。 実施例4に係るパケット転送システムの全体構成を示す図である。
符号の説明
10 ルール反映器
20 L3ルーティング機構
30 IPアドレス割当て装置
31 通信制御I/F部
32 記憶部
33 アドレス情報DB
34 制御部
35 IPアドレス割当て部
40 L2ネットワークアクセスポイント
41 無線通信部
42 通信制御I/F部
43 記憶部
44 暗号鍵DB
45 通信路DB
46 制御部
47 通信路接続部
48 フレーム転送制御部
50 フレーム転送装置
51 内部通信制御I/F部
52 外部通信制御I/F部
53 記憶部
54 転送ルールDB
55 制御部
56 転送制御部
60 L2アクセス認証装置
61 ユーザ情報DB
62 認証部
70 マッチング機構
80 セッション情報DB
90 セッション情報通知器

Claims (6)

  1. 利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送するパケット転送システムであって、
    前記端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶する通信路記憶手段と、
    前記端末に割当てられたIPアドレスと、前記IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶するアドレス情報記憶手段と、
    前記端末から接続要求を受信した場合に、当該端末が正当な利用者であることを条件に、当該端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて前記通信路記憶手段に格納する通信路接続制御手段と、
    前記通信路接続制御手段により仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信すると、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される前記通信路記憶手段に記憶されるMACアドレスとが一致する場合に、当該フレームの転送を許可し、一致しない場合に、当該フレームの転送を拒否するフレーム転送制御手段と、
    前記フレーム転送制御手段により転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定される前記アドレス情報記憶手段に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄する転送制御手段と、
    前記端末のMACアドレスに対応付けて、前記端末と共有する暗号鍵を記憶する暗号鍵記憶手段とを備え、
    前記通信路接続制御手段は、前記端末から接続要求を受信した場合に、当該端末のMACアドレスに対応付けて前記暗号鍵記憶手段に記憶される暗号鍵を取得し、取得された暗号鍵を用いて当該端末との間を当該仮想的な通信路で接続することを特徴とするパケット転送システム。
  2. 利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送するパケット転送システムであって、
    前記端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶する通信路記憶手段と、
    前記端末に割当てられたIPアドレスと、前記IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶するアドレス情報記憶手段と、
    前記端末から接続要求を受信した場合に、当該端末が正当な利用者であることを条件に、当該端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて前記通信路記憶手段に格納する通信路接続制御手段と、
    前記通信路接続制御手段により仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信すると、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される前記通信路記憶手段に記憶されるMACアドレスとが一致する場合に、当該フレームの転送を許可し、一致しない場合に、当該フレームの転送を拒否するフレーム転送制御手段と、
    前記フレーム転送制御手段により転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定される前記アドレス情報記憶手段に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄する転送制御手段と、
    前記端末との間に接続された仮想的な通信路が無効状態であることを検出する無効化状態検出手段とを備え、
    前記通信路接続制御手段は、前記無効化状態検出手段によって前記仮想的な通信路が無効状態であると検出された場合に、前記仮想的な通信路に割り与えられている仮想通信路識別子に対応付けて前記通信路記憶手段に記憶される情報と、当該端末のMACアドレスに対応付けて前記アドレス情報記憶手段に記憶される情報とを削除することを特徴とするパケット転送システム。
  3. 利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送するパケット転送システムであって、
    前記端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶する通信路記憶手段と、
    前記端末に割当てられたIPアドレスと、前記IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶するアドレス情報記憶手段と、
    前記端末から接続要求を受信した場合に、当該端末が正当な利用者であることを条件に、当該端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて前記通信路記憶手段に格納する通信路接続制御手段と、
    前記通信路接続制御手段により仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信すると、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される前記通信路記憶手段に記憶されるMACアドレスとが一致する場合に、当該フレームの転送を許可し、一致しない場合に、当該フレームの転送を拒否するフレーム転送制御手段と、
    前記フレーム転送制御手段により転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定される前記アドレス情報記憶手段に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄する転送制御手段と、
    前記端末のMACアドレスに対応付けて、前記端末と共有する暗号鍵を記憶する暗号鍵記憶手段と、
    前記通信路接続制御手段によって前記端末との間に仮想的な通信路が確立されると、当該端末のMACアドレスに対応する暗号鍵を前記暗号鍵記憶手段から取得し、取得した暗号鍵と、当該端末のMACアドレスと、当該仮想的な通信路の仮想通信路識別子とをセッション情報として所定のセッション情報記憶手段に格納するセッション情報格納手段とを備え、
    前記通信路接続制御手段は、前記端末から接続要求を受信した場合に、当該端末のMACアドレスに対応付けて前記暗号鍵記憶手段に記憶される暗号鍵を取得し、取得された暗号鍵を用いて当該端末との間を当該仮想的な通信路で接続するものであり、仮想的な通信路による接続を一時的に解消した端末から接続要求を受信した場合に、当該端末のMACアドレスに対応するセッション情報が前記所定のセッション情報記憶手段に記憶されていると、前記所定のセッション情報記憶手段からセッション情報を取得し、取得されたセッション情報を用いて、新たな仮想通信路識別子の仮想的な通信路ではなく、以前に接続されていた仮想通信路識別子の仮想的な通信路を当該端末との間に再構築することを特徴とするパケット転送システム。
  4. 利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送するパケット転送システムであって、
    前記端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶する通信路記憶手段と、
    前記端末に割当てられたIPアドレスと、前記IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶するアドレス情報記憶手段と、
    前記端末から接続要求を受信した場合に、当該端末が正当な利用者であることを条件に、当該端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて前記通信路記憶手段に格納する通信路接続制御手段と、
    前記通信路接続制御手段により仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信すると、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される前記通信路記憶手段に記憶されるMACアドレスとが一致する場合に、当該フレームの転送を許可し、一致しない場合に、当該フレームの転送を拒否するフレーム転送制御手段と、
    前記フレーム転送制御手段により転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定される前記アドレス情報記憶手段に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄する転送制御手段と、
    前記端末から接続要求を受信した場合に、当該端末が正当な利用者であるか否かを所定の認証手法で判定するユーザ認証手段と、
    を備えたことを特徴とするパケット転送システム。
  5. 前記端末には、当該端末を利用する利用者を一意に識別するユーザIDが割り与えられているものであって、
    前記ユーザ認証手段によって接続要求を送信した端末が正当な利用者であると判定された場合に、当該端末に割り当たられているユーザIDと、当該端末のMACアドレスとを対応付けて格納されるユーザ情報記憶手段と、
    前記ユーザ情報記憶手段に記憶されるユーザIDからMACアドレスを特定し、特定されたMACアドレスから前記アドレス情報記憶手段に記憶されるIPアドレスを特定するIPアドレス特定手段および/または前記アドレス情報記憶手段に記憶されるIPアドレスからMACアドレスを特定し、特定されたIPアドレスから前記ユーザ情報記憶手段に記憶されるユーザIDを特定するユーザ特定手段と、をさらに備えたことを特徴とする請求項に記載のパケット転送システム。
  6. 利用者が利用する端末から送信されるフレームが正当な利用者から送信されたフレームであることを判別して、外部ネットワークに転送することに適するパケット転送方法であって、
    前記端末との間に接続された仮想的な通信路を一意に識別する仮想通信路識別子と、当該端末のMACアドレスとを対応付けて記憶する通信路記憶手段と、
    前記端末に割当てられたIPアドレスと、前記IPアドレスが割当てられた端末のMACアドレスとを対応付けて記憶するアドレス情報記憶手段と、
    前記端末のMACアドレスに対応付けて、前記端末と共有する暗号鍵を記憶する暗号鍵記憶手段とを備え、
    前記端末から接続要求を受信した場合に、当該端末が正当な利用者であることを条件に、当該端末との間を仮想的な通信路で接続して、接続した仮想的な通信路に割り与えられている仮想通信路識別子と当該端末のMACアドレスとを対応付けて前記通信路記憶手段に格納する通信路接続制御工程と、
    前記通信路接続制御工程により仮想的な通信路で接続されて、IPアドレスが割り当てられた端末からフレームを受信すると、当該フレームからMACアドレスを取得し、当該取得されたMACアドレスと、当該フレームが送信された仮想的な通信路の仮想通信路識別子から特定される前記通信路記憶手段に記憶されるMACアドレスとが一致する場合に、当該フレームの転送を許可し、一致しない場合に、当該フレームの転送を拒否するフレーム転送制御工程と、
    前記フレーム転送制御工程により転送が許可されたフレームからIPアドレスとMACアドレスを取得し、当該取得されたIPアドレスと、取得されたMACアドレスによって特定される前記アドレス情報記憶手段に記憶されるIPアドレスとが一致する場合に、当該フレームをパケットとして外部ネットワークに転送し、一致しない場合に、当該フレームを破棄する転送制御工程とを含み、
    前記通信路接続制御工程は、前記端末から接続要求を受信した場合に、当該端末のMACアドレスに対応付けて前記暗号鍵記憶手段に記憶される暗号鍵を取得し、取得された暗号鍵を用いて当該端末との間を当該仮想的な通信路で接続することを特徴とするパケット転送方法。
JP2007126092A 2007-05-10 2007-05-10 パケット転送システムおよびパケット転送方法 Expired - Fee Related JP4750750B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007126092A JP4750750B2 (ja) 2007-05-10 2007-05-10 パケット転送システムおよびパケット転送方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007126092A JP4750750B2 (ja) 2007-05-10 2007-05-10 パケット転送システムおよびパケット転送方法

Publications (2)

Publication Number Publication Date
JP2008283495A JP2008283495A (ja) 2008-11-20
JP4750750B2 true JP4750750B2 (ja) 2011-08-17

Family

ID=40143934

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007126092A Expired - Fee Related JP4750750B2 (ja) 2007-05-10 2007-05-10 パケット転送システムおよびパケット転送方法

Country Status (1)

Country Link
JP (1) JP4750750B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11431706B2 (en) 2017-09-08 2022-08-30 Kabushiki Kaisha Toshiba Communication control system and communication control device
US11736219B2 (en) 2018-12-28 2023-08-22 Kabushiki Kaisha Toshiba Communication control device and communication control system

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4987820B2 (ja) * 2008-08-11 2012-07-25 日本電信電話株式会社 認証システム、接続制御装置、認証装置および転送装置
JP6478649B2 (ja) * 2015-01-16 2019-03-06 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信システム、接続制御装置、仮想通信路設定方法、及びプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003162505A (ja) * 2001-11-26 2003-06-06 Kenwood Corp アクセス制御装置、ネットワークシステム、アクセス制御方法およびプログラム
JP4245486B2 (ja) * 2004-01-08 2009-03-25 富士通株式会社 ネットワーク不正接続防止方法及び装置
JP4320603B2 (ja) * 2004-02-26 2009-08-26 日本電気株式会社 加入者回線収容装置およびパケットフィルタリング方法
JP4923283B2 (ja) * 2004-08-20 2012-04-25 富士ゼロックス株式会社 無線通信システムおよび通信装置および通信制御プログラム
JP2006094417A (ja) * 2004-09-27 2006-04-06 Nec Corp 加入者回線収容装置およびパケットフィルタリング方法
JP2006279601A (ja) * 2005-03-29 2006-10-12 Toyota Industries Corp 無線装置の暗号鍵の管理方法及び無線装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11431706B2 (en) 2017-09-08 2022-08-30 Kabushiki Kaisha Toshiba Communication control system and communication control device
US11736219B2 (en) 2018-12-28 2023-08-22 Kabushiki Kaisha Toshiba Communication control device and communication control system

Also Published As

Publication number Publication date
JP2008283495A (ja) 2008-11-20

Similar Documents

Publication Publication Date Title
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
JP5497901B2 (ja) 匿名通信の方法、登録方法、メッセージ受発信方法及びシステム
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US20180270189A1 (en) Equipment for offering domain-name resolution services
WO2005036831A1 (ja) フレーム中継装置
AU2001288394A1 (en) Location-independent packet routing and secure access in a short-range wireless networking environment
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
WO2017107871A1 (zh) 访问控制方法和网络设备
WO2014206152A1 (zh) 一种网络安全监控方法和***
JP2006033206A (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP2008066907A (ja) パケット通信装置
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
CN102752266B (zh) 访问控制方法及其设备
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
JP4253520B2 (ja) ネットワーク認証装置及びネットワーク認証システム
JP4895793B2 (ja) ネットワーク監視装置及びネットワーク監視方法
JP2009218926A (ja) ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
JP2003324457A (ja) アクセス制御装置、方法、プログラムおよび記録媒体
CA2419865C (en) Providing secure network access for short-range wireless computing devices
JP2002199003A (ja) 移動端末位置登録方法及びその実施装置
JP2006295340A (ja) 認証ゲートウェイ装置及びそのプログラム
Lu Novel method for transferring access control list rules to synchronize security protection in a locator/identifier separation protocol environment with cross‐segment host mobility
Kanematsu et al. A Proposal and Implementation of Communication Control Function for NTMobile
JP2004260243A (ja) 移動端末の認証方法、移動位置管理装置及び認証情報管理装置
CN113992583A (zh) 一种表项维护方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090722

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110301

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110315

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110517

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110519

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140527

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees