WO2007123228A1 - Multicast packet transmitting apparatus, multicast packet transferring apparatus and multicast packet receiving apparatus - Google Patents

Multicast packet transmitting apparatus, multicast packet transferring apparatus and multicast packet receiving apparatus Download PDF

Info

Publication number
WO2007123228A1
WO2007123228A1 PCT/JP2007/058734 JP2007058734W WO2007123228A1 WO 2007123228 A1 WO2007123228 A1 WO 2007123228A1 JP 2007058734 W JP2007058734 W JP 2007058734W WO 2007123228 A1 WO2007123228 A1 WO 2007123228A1
Authority
WO
WIPO (PCT)
Prior art keywords
packet
multicast
data
verification
multicast packet
Prior art date
Application number
PCT/JP2007/058734
Other languages
French (fr)
Japanese (ja)
Inventor
Makis Kasapidis
Original Assignee
Panasonic Corporation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corporation filed Critical Panasonic Corporation
Publication of WO2007123228A1 publication Critical patent/WO2007123228A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/16Multipoint routing

Definitions

  • Multicast packet transmitter Multicast packet transfer device, and multicast packet receiver
  • the present invention relates to a multicast packet transmission device, a multicast packet transfer device, and a multicast packet reception device for realizing multicast, and in particular, a multicast packet transmission device for overcoming vulnerability to attacks in multicast. And a multicast packet transfer apparatus and a multicast packet reception apparatus.
  • packets sent by the sender are basically duplicated into multiple packets by a router on the way (multicast router). Transmission allows multiple end nodes (listeners) to receive packets containing the same content.
  • Non-Patent Documents 1 and 2 describe a technique of MLD (Multicast Listener Discovery).
  • MLD Multicast Listener Discovery
  • a multicast router periodically broadcasts a Multicast Listener Query message (subtype: general query) on the link, and end nodes (users) connected to the access network.
  • a multicast listener report message Multicast Listener Report message
  • a multicast router adds an end node that has announced participation in a multicast group to its list of multicast groups.
  • the multicast router expresses the departure from the multicast group If a node that announces this detachment is received from a multicast group list (such as when a Multicast Listener Done message) is received (or periodically), a multicast listener query message (subtype: multicast -It is also possible to check whether there is a receiver of this multicast group (specific multicast address) by sending an address-specific query.
  • a multicast listener query message subtype: multicast -It is also possible to check whether there is a receiver of this multicast group (specific multicast address) by sending an address-specific query.
  • Non-Patent Literature 1 S. Deenng, W. Fenner and B. Haoerman, 'Multicast Listener Discovery (MLD) for IPv6 ", IETF RFC 2710, October 1999
  • Non-Patent Document 2 R. Vida, Ed., “Multicast Listener Discovery Version 2 (MLDv2) for IP v6", IETF RFC 3810, June 2004
  • any user can participate in multicast. That is, an attacker can request a multicast stream (hereinafter referred to as a meaningless multicast stream) that the attacker does not intend to read or process using his / her actual IP address. It is. Therefore, in multicast, an attacker can request a large amount of meaningless multicast streams without spoofing addresses. An attacker can also request a large number of multicast streams using a number of spoofed addresses (address spoofing, not actual addresses of confidence).
  • the multicast router transmits the multicast listener query message ( subtype: multicast-address-specific query) [Thus, it is also possible to confirm the presence of mano-recast casts and ket listeners. However, if an attacker who requested a meaningless multicast stream receives a message to confirm the presence of a listener for a multicast packet, the attacker simply responds to this message using a multicast listener report message. It is possible to continue a meaningless multicast stream simply by making a response. Therefore, according to the conventional technique, it is impossible for a multicast router to correctly determine whether or not a multicast stream is meaningless. Disclosure of the invention
  • an object of the present invention is to provide a multicast packet transmission device, a multicast packet transfer device, and a multicast packet reception device for preventing transmission of a meaningless multicast stream in multicast. .
  • a multicast packet transmitting apparatus of the present invention is a multicast packet transmitting apparatus that operates as a source of a multicast packet, and includes a multicast packet transmitting unit that transmits the multicast packet, and an arbitrary Verification data generation means for generating verification data by processing a part of the data inserted into the multicast packet at the timing of
  • Control packet transmitting means for transmitting the control packet generated by the control packet generating means
  • the multicast packet transmission device also generates verification data with a part of the data included in the multicast packet, and sends information for identifying a part of this data and the verification data to the multicast packet. It can be passed to the forwarding device (multicast router), and the multicast packet forwarding device can use this information to check whether or not a meaningless multicast stream is transmitted. It becomes possible.
  • the multicast packet transmitting apparatus of the present invention has algorithm determining means for determining an algorithm used for processing on a part of the data in the verification data generating means,
  • the control packet generation means is configured to generate the control packet further including information for specifying the algorithm used for processing the part of the data.
  • the multicast packet transmission device generates verification data using a specific algorithm from a part of data included in the multicast packet, and information for specifying a part of this data, verification data, Information for specifying the algorithm can be passed to the multicast packet transfer device, and the multicast packet transfer device uses this information to transmit a meaningless multicast stream.
  • a multicast packet transfer apparatus is a multicast packet transfer apparatus that transfers multicast packets, and a multicast packet receiving unit that receives the multicast packets;
  • a multicast packet forwarding destination management means for managing a forwarding destination of the multicast packet and determining a forwarding destination of the multicast packet based on a multicast address set as a destination address of the multicast packet;
  • Multicast packet transmitting means for transmitting the multicast packet toward the forwarding destination determined by the multicast packet forwarding destination managing means
  • Control packet receiving means for receiving the set control packet
  • Control packet processing means for extracting the verification data and information for specifying a part of the data from the control packet received by the control packet receiving means, and the verification data extracted by the control packet processing means and Part of the data Data storage means for storing information for identification;
  • the multicast packet transfer apparatus can receive and store information for specifying a part of the data and verification data by the multicast packet transmission apparatus, and the multicast packet transfer apparatus It is possible to confirm whether or not a meaningless multicast stream is transmitted using information. Furthermore, in addition to the above configuration, the multicast packet transfer apparatus of the present invention, when confirming whether or not there is a receiver of the multicast packet transmitted by the multicast packet transmission means, the data A verification packet generating unit that reads information for specifying a part of the data stored in a storage unit and generates a verification packet including information for specifying the part of the data;
  • Verification packet transmitting means for transmitting the verification packet generated by the verification packet generating means
  • Response packet receiving means for receiving a response packet for the verification packet transmitted by the verification packet transmitting means
  • Response data extraction means for extracting response data included in the response packet, the response data extracted by the response data extraction means, and the verification data stored in the data storage means match.
  • a data comparison means for comparing whether or not, and if the response data and the verification data match as a result of the comparison in the data comparison means, a process for continuing the forwarding of the multicast packet is performed.
  • a multicast control means for performing a process for stopping forwarding of the multicast packet when the response data does not match the verification data or when the response packet is not received;
  • the multicast packet transfer apparatus transmits the information for specifying a part of data among the information for specifying a part of data to which the multicast packet transmitting apparatus power is passed and the verification data to the multicast packet receiving apparatus. (Listener) and the result processed by the multicast packet receiver based on this information is compared with the verification data. By comparing, it is possible to confirm whether or not a meaningless multicast stream is transmitted.
  • the multicast packet forwarding apparatus of the present invention controls the control packet processing means S and information for specifying an algorithm used for processing for a part of the data. Further extracted from the packet, the data storage means stores information for specifying the algorithm extracted by the control packet processing means, and the verification packet generation means further stores information for specifying the algorithm. And configured to generate the verification packet including.
  • the multicast packet transfer apparatus specifies a part of the data among the information for specifying a part of the data passed from the multicast packet transmission apparatus, the verification data, and the information for specifying the algorithm.
  • Information for specifying the algorithm and the information for specifying the algorithm is sent to the multicast packet receiver, and the result processed by the multicast packet receiver based on the information is compared with the verification data. It is possible to check whether or not a meaningless multicast stream is being transmitted.
  • the verification packet transmission unit transmits the verification packet a plurality of times
  • the data comparison unit includes a plurality of the verification packets. It is configured to compare whether or not the response data included in one of the plurality of response packets received corresponding to transmission matches the verification data.
  • the multicast packet forwarding device checks the presence / absence of the multicast packet receiving device multiple times and confirms that the multicast packet receiving device does not exist, and then stops forwarding the multicast packet. Can be processed.
  • a multicast packet receiving apparatus of the present invention is a multicast packet receiving apparatus that operates as a listener for multicast packets.
  • Multicast packet receiving means for receiving the multicast packet;
  • a verification packet receiving means for receiving a verification packet to be transmitted by the multicast packet transfer apparatus for transferring the multicast packet to check whether or not there is a receiver of the multicast packet;
  • Verification packet processing means for extracting, from the verification packet received by the verification packet receiving means, information for specifying a part of data included in the multicast packet received by the multicast packet receiving means;
  • Response packet generating means for generating a response packet including the response data generated by the response data generating means
  • Response packet transmitting means for transmitting the response packet generated by the response packet generating means to a multicast packet forwarding device
  • the multicast packet receiving apparatus receives information for specifying a part of data received in the multicast packet from the multicast packet transfer apparatus, and generates response data from the specified data part. By responding to the multicast packet transfer device, it is possible to indicate that the multicast stream is actually received.
  • the multicast packet receiving apparatus of the present invention further includes, from the verification packet, information for specifying the verification packet processing means S and an algorithm used for processing a part of the data.
  • the response data generating means is configured to perform processing on a part of the data using an algorithm specified by information for specifying the algorithm.
  • the multicast packet receiving device receives the information for specifying a part of the data received in the multicast packet and the information for specifying the algorithm, and receives the specified algorithm. Specified using By generating response data and responding to the multicast packet transfer device, it is possible to indicate that the multicast stream is actually received.
  • the present invention has the above-described configuration, and the multicast router can correctly determine whether or not the multicast stream is meaningless.
  • the meaningless multicast stream By stopping the transmission, it is possible to prevent an increase in traffic due to the transmission of meaningless multicast streams. This makes it possible to prevent traffic congestion, DoS, and interruption of the multicast service, and provide a stable service (or enjoy a stable service).
  • FIG. 1 is a diagram showing an example of a network configuration according to an embodiment of the present invention.
  • FIG. 2 is a flowchart showing an example of the operation of the transmission source communication apparatus in the embodiment of the present invention.
  • FIG. 3 is a flowchart showing an example of the control packet reception operation of the multicast router in the embodiment of the present invention.
  • FIG. 4 is a flowchart showing an example of the operation of checking the existence of a multicast router listener in the embodiment of the present invention.
  • FIG. 5 is a flowchart showing an example of the operation of the receiving side communication apparatus in the embodiment of the present invention.
  • FIG. 1 is a diagram showing an example of a network configuration in the embodiment of the present invention.
  • FIG. 1 shows that a source communication device 11 that functions as a source of multicast packets, an access router that has an access network under its control, and a multicast function (multicast group management and multicast packet management).
  • Multicast router 12 having a function such as replication), and an access network under the multicast router 12
  • a plurality of receiving side communication devices 13 that are connected to the network and that can function as listeners for multicast packets transmitted from the source communication device 11 are illustrated.
  • the transmission source communication device 11 and the multicast router 12 are connected to the network 15, and both packets are transmitted / received via the network 15.
  • the multicast router 12 functions as an access router of the access network.
  • the multicast router 12 can be arbitrarily set from the transmission source communication device 11. As long as it is a network node that transfers multicast packets transmitted to the receiving side communication device 13, it is not necessarily an access network.
  • the transmission source communication device 11 has a function of transmitting a multicast packet. For example, the transmission source communication device 11 receives data by an unspecified number of listeners, and distributes data by multicast packets destined for a specific multicast address. Further, the source communication device 11 has a control packet generation and transmission function according to the present invention in addition to the implementation of the conventional multicast technology. Note that the processing in the transmission source communication device 11 will be described later with reference to FIG.
  • the multicast router 12 is implemented with conventional multicast technologies such as multicast group management, multicast packet duplication, and multicast routing construction, so that efficient multicast packet transfer in the network is possible. I do. Furthermore, in addition to the implementation of the conventional multicast technology, the multicast router 12 processes the control packet according to the present invention, stores the data included in the control packet, checks the presence of a listener based on the data included in the control packet, etc. It has a function to perform. The processing in the multicast router 12 will be described later with reference to FIGS. 3 and 4.
  • the receiving-side communication device 13 has a function of selectively receiving multicast packets. Specifically, for example, the receiving side communication device 13 implements a conventional multicast technology, and for a multicast packet desired to be received, a multicast listener report message indicating participation in the multicast group is sent to the multicast router. When sending to 12 and leaving the multicast group, Multicast packet reception control is performed by sending to the multicast router 12 a multicast listener message that announces the departure from the multicast group. Furthermore, in addition to the implementation of the conventional multicast technology, the receiving side communication device 13 has a response bucket generation and transmission function for confirming the presence of a listener that receives multicast router power according to the present invention. The processing in the receiving side communication device 13 will be described later with reference to FIG.
  • FIG. 2 is a flowchart showing an example of the operation of the transmission source communication apparatus according to the embodiment of the present invention.
  • the power transmission source communication device 11 (not shown in FIG. 2) is transmitting a multicast packet to a specific multicast address. That is, the transmission source communication device 11 transmits a multicast packet in parallel with the processing of the flowchart shown in FIG.
  • the source communication device 11 may, for example, receive a predetermined time (step S). 101), the process proceeds to the control packet generation and transmission process after step S102.
  • the control packet is transmitted from the transmission source communication device 11 every predetermined time by performing the processing after step S102 after waiting for a predetermined time.
  • the processing after step S102 can be performed every time, or the processing after step S102 can be performed in response to a request from the multicast router 12.
  • step S102 an algorithm for generating verification data is determined.
  • the algorithm for example, one of a plurality of algorithms prepared in advance is selected. If the algorithm used to generate verification data has been determined in advance and the algorithm used to generate verification data can be specified in any communication device, the algorithm determination in step S102 Such processing can be omitted.
  • the transmission source communication apparatus 11 uses the algorithm determined in step S102, the transmission source communication apparatus 11 also generates verification data for the data power delivered by the multicast packet (step S103). Then, the source communication device 11 specifies information used to specify the algorithm used in step S103, verification data generated in step S103, and data used to generate verification data in step S103.
  • a control packet including the information (for example, a packet including data) is generated (step S104).
  • the data used to generate the verification data is data that is delivered with a specific multicast address as the destination.
  • the multicast address of the multicast packet used when the data used for generating the verification data is distributed is set.
  • a flag is attached to the control packet so that the multicast packet including the multicast data (multicast data packet) and the control packet can be identified.
  • an arbitrary field for example, a flow label
  • different values are set for the multicast data packet and the control packet.
  • the transmission source communication device 11 transmits the control packet (step S105), and completes the control packet generation 'transmission process. Since a specific multicast address is set at the destination of the control packet, the control packet reaches the multicast router 12 via the multicast route.
  • step S1 03 when the algorithm used to generate the verification data is expressed as f (), the verification data actually generated is expressed as A, and the data used to generate the verification data is expressed as B, in step S1 03
  • the control packet includes information for identifying the algorithm f () used to generate the verification data (an identifier that can select one of a plurality of predetermined algorithms, or the algorithm itself), verification data A, It contains information for identifying the data B used to generate the verification data (the data B itself is delivered by the multicast data bucket).
  • the higher the layer that handles this algorithm (for example, the application layer), the more effectively it is possible to prevent transmission of a meaningless multicast stream, which is the object of the present invention.
  • the algorithm for example, when the data distributed by multicast is video data of MPEG4 (Moving Picture Experts Group phase 4) standard, the bit array values after decoding (the 10th and 100th bits) , The 1000th value) is output as a solution.
  • the algorithm described above is only an example, and any algorithm can be used.
  • Data B can be data in which several packets are integrated. Data B depends on the packet structure. It is not a thing.
  • the sum of the solutions output from each of the multiple algorithms may be used as verification data A.
  • FIG. 3 is a flowchart showing an example of the reception operation of the control packet of the multicast router in the embodiment of the present invention
  • FIG. 4 shows the operation of checking the presence of the listener of the multicast router in the embodiment of the present invention. It is a flowchart which shows an example.
  • the force multicast router 12 (not shown in FIGS. 3 and 4) is forwarding a multicast packet to a specific multicast address.
  • the multicast router 12 transfers multicast packets in parallel with the processing of the flowcharts shown in FIGS.
  • the multicast router 12 transmits the packet to the packet as illustrated in FIG.
  • the added flag it is checked whether or not the received packet from the transmission source communication device 11 includes a control packet (step S201).
  • the process proceeds to the control packet processing from step S202.
  • the transmission source communication device 11 sends the multicast router 12 to the multicast router 12 at predetermined intervals. For example, the power shown in the figure when the control packet is periodically transmitted.
  • the multicast router 12 responds to some trigger (for example, transition to a state in which the presence check of the listener is performed), and the source communication device 11 Make a control packet transmission request to.
  • the multicast router 12 that has received the control packet includes the contents included in the control packet (information for specifying the algorithm, verification data, and data used for generating the verification data). Is extracted (step S202).
  • the process of step S202 is a process of extracting the contents inserted in the control packet by the transmission source communication device 11 as it is. For example, information for specifying the algorithm is included in the control packet. There is a case that!
  • the source communication device 11 is connected to a state in which the content of the control packet extracted in step S202 is readable and writable by the source communication device 11, and is an information storage device (temporary memory, hard disk drive, etc.) (Step S203).
  • a multicast address is set as the destination address of the control packet, in normal multicast packet forwarding processing, packet forwarding is performed according to the multicast route. However, control packets are forwarded. Instead, the control packet is discarded (step S204), and the process related to the control packet is completed.
  • the multicast router 12 performs multicast management so that there is no listener! Yes. Specifically, for example, when receiving a multicast listener message that announces the departure from the multicast group from the receiving communication device 13 under its control, the multicast router 12 removes the receiving communication device 13 from the list of multicast groups. At the same time, the multicast packet of this multicast group is received, and it is checked whether or not the listener still exists.
  • step S251 when the multicast router 12 transitions to a state in which a listener existence check is performed due to some trigger (step S251), the multicast router 12 stores the processing in step S203 of the flowchart illustrated in FIG.
  • the information used to identify the specified algorithm, the verification data, and the information used to identify the data used to generate the verification data Information for specifying the algorithm and information for specifying the data used to generate the verification data are read (step S252).
  • the multicast router 12 generates a verification packet including information for specifying the algorithm and information for specifying the data used for generating the verification data (step S253).
  • the corresponding multicast address is set as the destination address and transmitted to the subordinate access network (step S254).
  • the multicast router 12 enters a reception standby state for a response packet that is a response to the verification packet (step S255).
  • a flag indicating that this packet is a verification packet is preferably added to the verification packet. It is also desirable to insert arbitrary identification information into the verification packet so that the response packet with the same identification information inserted can be recognized as a response packet to this verification packet. .
  • information for specifying the algorithm is not inserted into the verification packet. In this case, the verification packet simply has information for specifying the data used to generate the verification data.
  • the receiving-side communication device 13 performs processing related to the verification packet and responds with a response packet.
  • the processing related to the verification packet of the receiving side communication device 13 will be described later with reference to FIG.
  • the multicast router 12 that has received the response packet from the receiving-side communication device 13 performs processing related to the response packet in step S256 and subsequent steps, and determines whether or not the listener exists and is strong.
  • the multicast router 12 that has received the response packet from the receiving-side communication device 13 first extracts the response data included in the response packet (step S256). As will be described later, this response data is generated by the receiving side communication device 13 using the algorithm and data specified by the verification packet.
  • the multicast router 12 compares the verification data stored in step S203 of the flowchart shown in FIG. 3 with the response data extracted in step S256, and determines whether or not these data match. (Step S257). If the verification data and the response data match, the multicast router 12 It is determined that there is a listener for the group, and a predetermined listener existence process is performed (step S258). In the listener presence process that is performed when there is a listener for the multicast group, the multicast stream is held and continued as in the listener presence process in the prior art.
  • the multicast router 12 determines that the listener of this multicast group is absent, and performs a predetermined listener absence process (step S259). In the listener absence process that is performed when the listener of the multicast group is absent, the multicast stream transfer is stopped as in the listener absent process in the prior art. The multicast router 12 can also request the upper multicast router to stop transmission of this multicast stream.
  • step S255 for example, if the multicast router 12 is unable to receive a response packet within a predetermined time, the multicast router 12 will listen to the multicast group listener. May be determined to be absent, and predetermined listener absence processing may be performed.
  • step S254 again to transmit the same verification data. It is also possible to return to step S252 again to generate and transmit new verification data, and to repeatedly transmit the verification packet within a predetermined number of times or within a predetermined time.
  • the receiving communication device 13 it is possible to increase the chance that the device 13 responds with a response packet including legitimate response data so that the multicast stream in which the listener exists is not accidentally stopped.
  • FIG. 5 is a flowchart showing an example of the operation of the receiving-side communication device in the embodiment of the present invention. It is assumed that the force receiving side communication device 13 (not shown in FIG. 5) receives a multicast packet directed to a specific multicast address. That is, the receiving side communication device 13 receives multicast packets in parallel with the processing of the flowchart shown in FIG.
  • the reception-side communication device 13 performs, for example, a packet, as illustrated in FIG. By referring to the flag added to, it is checked whether or not the verification packet is included in the packet received from the multicast router 12 (step S301). When the verification packet transmitted from the multicast router 12 is received, the process proceeds to the verification packet processing from step S302.
  • Receiving side communication apparatus 13 that has received the verification packet extracts the contents (information for specifying the algorithm, information for specifying the data) included in the verification packet (step S302).
  • the process of step S302 is a process of extracting the content inserted in the verification packet by the multicast router 12 as it is. For example, information for specifying an algorithm may not be included in the verification packet. possible.
  • the receiving side communication device 13 derives a solution based on the contents of the verification packet extracted in step S302 (step S303). At this time, the receiving side communication device 13 uses the algorithm specified by the information for specifying the algorithm extracted in step S302 or the information for specifying the data using a predetermined algorithm. The solution is derived by processing the specified data (or data contained in a specific packet to be processed).
  • step S303 the processing by the receiving communication device 13 in step S303 is based on the algorithm f () and data B used by the sending communication device 11 to derive the verification data A.
  • This solution C has the same value as the verification data A as long as an error occurs in the transmission or processing process.
  • the receiving-side communication device 13 uses the solution derived in step S303 as response data, generates a response packet including the response data (step S304), and transmits the response packet to the multicast route. Is transmitted to the data 12 (step S305), and the processing related to the verification packet is completed.
  • the response packet transmitted from the receiving communication device 13 in step S305 is a response packet received by the multicast router 12 in step S255 of the flowchart shown in FIG. Therefore, in step S255 of the flowchart shown in FIG. 4, the multicast router 12 compares the solution derived in step S303 in FIG. 5 with the verification data. As described above, the solution C and the verification data A have the same value. In other words, when the reception side communication device 13 normally processes the verification packet, the multicast router 12 It is determined that a multicast group listener exists. In addition, for example, the multicast router 12 grasps the number of valid listeners (listeners that require delivery of a multi-cast stream) by counting the number of listeners that have returned response data that matches the verification data. Is also possible.
  • the transmission source communication device 11 that distributes the multicast stream uses a specific algorithm for the data included in the multicast stream.
  • Validation data is derived, and the information used to identify the validation data and the data used to derive this validation data (and if necessary Information for specifying the algorithm) is inserted into the control packet and passed from the source communication device 11 to the multicast router 12.
  • the multicast router 12 stores the information passed from the transmission source communication device 11 and checks whether the verification data is derived when checking whether or not the listener of the multicast group exists.
  • the information for specifying the data (and the information for specifying the algorithm as necessary) is distributed to the receiving communication device 13 under the control.
  • the receiving side communication device 13 processes the data designated by the multicast router 12 using the algorithm designated by the multicast router 12 (or a predetermined algorithm) and obtains the derived solution. Reply to multicast router 12.
  • the multicast router 12 compares the derived solution returned from the receiving communication device 13 with the verification data passed from the transmission source communication device 11, and if these data match, the multicast group listener Make a determination that exists.
  • the operation of the present invention gives the problem and the answer from the source communication device 11 to the multicast router 12, and the multicast router 12 checks whether or not the multicast group listener exists. It can be said that if there is a receiving side communication device 13 that delivers only the problem while hiding the answer and can derive the correct answer to this problem, it is determined that there is a listener of the multicast group.
  • the receiving side communication device 13 in order for the receiving side communication device 13 to derive a correct answer and send it back to the multicast router 12, it is necessary to perform processing in an upper layer. Therefore, an attacker who attempts to perform DoS by streaming this multicast stream as a meaningless multicast stream is required to constantly monitor this multicast stream and perform processing in the upper layer. In order for an attacker to perform such processing, it is necessary to perform processing equivalent to that of a legitimate listener. Therefore, according to the present invention, it is possible to prevent a meaningless multicast stream by requesting a large processing load from an attacker who wants to play a meaningless multicast stream.
  • the verification packet processing is a heavy load for an attacker who wants to run a meaningless multicast stream, but for a legitimate listener who is actually processing data related to the multicast stream. It is desirable that it can be easily performed.
  • application The data output by the processing by Chillon may be used as response data as it is.
  • the present invention has an effect of preventing transmission of a meaningless multicast stream in multicast, and is applicable to multicast technology, and in particular, technology for overcoming vulnerability to attack in multicast. It is applicable to.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A technique is disclosed that can prevent any meaningless multicast stream transmission in a multicast. According to this technique, a transmitting source communication apparatus (source) (11) uses a particular algorithm to derive a test data for some of data included in a multicast stream being transmitted, and sends, to a multicast router (12), the test data, information for determining data related to the derivation of the test data and information for determining the algorithm. When checking whether there exist any listeners of multicast packet, the multicast router delivers the information for determining the data and algorithm to communication apparatuses (listeners) (13) at the receiving ends in charge of the multicast router. Each of the communication apparatuses at the receiving ends sends, back to the multicast router, a response data generated by using the designated algorithm for the designated data. If determining that the response data is coincident with the test data, then the multicast router determines that there exists a listener of the present multicast packet.

Description

明 細 書  Specification
マルチキャストパケット送信装置及びマルチキャストパケット転送装置並び にマルチキャストパケット受信装置  Multicast packet transmitter, multicast packet transfer device, and multicast packet receiver
技術分野  Technical field
[0001] 本発明は、マルチキャストを実現するためのマルチキャストパケット送信装置及びマ ルチキャストパケット転送装置並びにマルチキャストパケット受信装置に関し、特に、 マルチキャストにおける攻撃への脆弱性を克服するためのマルチキャストパケット送 信装置及びマルチキャストパケット転送装置並びにマルチキャストパケット受信装置 に関する。  TECHNICAL FIELD [0001] The present invention relates to a multicast packet transmission device, a multicast packet transfer device, and a multicast packet reception device for realizing multicast, and in particular, a multicast packet transmission device for overcoming vulnerability to attacks in multicast. And a multicast packet transfer apparatus and a multicast packet reception apparatus.
背景技術  Background art
[0002] 従来、同一コンテンツを含むパケットを多数のエンドノードに配信するための効率的 な方法として、パケットのマルチキャストに関する技術が存在する。マルチキャストで は、基本的に、送信者 (ソース)力も送信されたパケットは、途中の経路上のルータ( マルチキャストルータ)によって複数のパケットに複製されることによって、送信者によ る 1回のパケット送信によって、複数のエンドノード (リスナ)が同一コンテンツを含む パケットを受信することが可能となる。  Conventionally, as an efficient method for distributing a packet including the same content to a large number of end nodes, there is a technique related to packet multicast. In multicast, packets sent by the sender (source) are basically duplicated into multiple packets by a router on the way (multicast router). Transmission allows multiple end nodes (listeners) to receive packets containing the same content.
[0003] 例えば、下記の非特許文献 1、 2には、 MLD (Multicast Listener Discovery:マルチ キャストリスナ探索)の技術が記載されている。 MLDによれば、マルチキャストルータ は、定期的にマノレチキャストリスナクエリメッセージ(Multicast Listener Query messag e) (subtype: general query)をリンク上にブロードキャストし、アクセスネットワークに接 続されているエンドノード (ユーザ)は、マルチキャストパケットを受信しょうとする場合 には、マルチキャストリスナクエリメッセージに対して、マルチキャストグループへの参 加を表明するマルチキャストリスナレポートメッセージ(Multicast Listener Report mes sage)をマルチキャストルータに返信する。マルチキャストルータは、マルチキャストグ ループへの参加を表明したエンドノードを、そのマルチキャストグループのリストに追 加する。  [0003] For example, the following Non-Patent Documents 1 and 2 describe a technique of MLD (Multicast Listener Discovery). According to MLD, a multicast router periodically broadcasts a Multicast Listener Query message (subtype: general query) on the link, and end nodes (users) connected to the access network. When trying to receive a multicast packet, it returns a multicast listener report message (Multicast Listener Report message) to the multicast router in response to the multicast listener query message. A multicast router adds an end node that has announced participation in a multicast group to its list of multicast groups.
[0004] また、マルチキャストルータは、例えば、マルチキャストグループからの離脱を表明 するマノレチキャストリスナダンメッセージ(Multicast Listener Done message)を受信し た場合など (又は定期的)に、この離脱を表明したノードをマルチキャストグループの リストから削除するとともに、マルチキャストリスナクエリメッセージ(subtype: multicast- address-specific query)の送信によって、このマルチキャストグループ(特定のマルチ キャストアドレス)の受信者が存在する力否かをチェックすることも可能である。 [0004] In addition, the multicast router, for example, expresses the departure from the multicast group If a node that announces this detachment is received from a multicast group list (such as when a Multicast Listener Done message) is received (or periodically), a multicast listener query message (subtype: multicast -It is also possible to check whether there is a receiver of this multicast group (specific multicast address) by sending an address-specific query.
[0005] なお、マルチキャストグループへの参力!]、離脱などに関連してマルチキャストのルー ティングを確立するために利用される MLDシグナリングは、認証又は承認を必要とし ない。 [0005] Participation in the multicast group! ] MLD signaling used to establish multicast routing in connection with withdrawal, etc. does not require authentication or authorization.
非特干文献 1 : S. Deenng, W. Fenner and B. Haoerman, 'Multicast Listener Discov ery (MLD) for IPv6", IETF RFC 2710, 1999年 10月  Non-Patent Literature 1: S. Deenng, W. Fenner and B. Haoerman, 'Multicast Listener Discovery (MLD) for IPv6 ", IETF RFC 2710, October 1999
非特許文献 2 : R. Vida, Ed., "Multicast Listener Discovery Version 2 (MLDv2) for IP v6", IETF RFC 3810, 2004年 6月  Non-Patent Document 2: R. Vida, Ed., "Multicast Listener Discovery Version 2 (MLDv2) for IP v6", IETF RFC 3810, June 2004
[0006] し力しながら、マルチキャストのルーティングを確立する際には認証又は承認が要 求されないため、基本的に、任意のユーザがマルチキャストに参加することが可能で ある。すなわち、攻撃者 (attacker)が、 自身の実際の IPアドレスを用いて、攻撃者が 読み取りや処理を行う意図のないマルチキャストストリーム(以下、無意味なマルチキ ヤストストリームと呼ぶ)を要求することも可能である。したがって、マルチキャストにお いては、攻撃者は、アドレスを偽装することなぐ無意味なマルチキャストストリームを 大量に要求することが可能である。また、攻撃者は、偽装した多数のアドレス(自信の 実際のアドレスではない、アドレスのなりすまし)を用いて、大量のマルチキャストストリ ームを要求することも可能である。 However, since authentication or approval is not required when establishing multicast routing, basically any user can participate in multicast. That is, an attacker can request a multicast stream (hereinafter referred to as a meaningless multicast stream) that the attacker does not intend to read or process using his / her actual IP address. It is. Therefore, in multicast, an attacker can request a large amount of meaningless multicast streams without spoofing addresses. An attacker can also request a large number of multicast streams using a number of spoofed addresses (address spoofing, not actual addresses of confidence).
[0007] 上述のように、マルチキャストにおいて、攻撃者は大量の無意味なマルチキャストス トリームを容易に要求することが可能であり、大量の無意味なマルチキャストストリーム のトラフィックによって、トラフィックの幅輳ゃ DoS (Denial of Service)、ュ-キャストサ 一ビスの妨害などが生じてしまう可能性がある。特に、このような弊害は、エンドノード が帯域幅の限定された無線通信を通じて通信を行う無線通信端末の場合に顕著に 現れる可能性がある。 [0007] As described above, in multicast, an attacker can easily request a large amount of meaningless multicast streams, and the traffic of a large amount of meaningless multicast streams can cause traffic congestion. (Denial of Service), interference with the cast service may occur. In particular, such an adverse effect may be conspicuous when the end node is a wireless communication terminal that performs communication through wireless communication with a limited bandwidth.
[0008] また、上述のように、マルチキャストルータは、マルチキャストリスナクエリメッセージ( subtype: multicast-address-specific query)【こよってマノレチキャストノ、ケットのリスナの 存在を確認することも可能である。し力しながら、無意味なマルチキャストストリームを 要求した攻撃者は、マルチキャストパケットのリスナの存在を確認するためのメッセ一 ジを受信した場合に、このメッセージに対して、単にマルチキャストリスナレポートメッ セージによる応答を行うだけで、無意味なマルチキャストストリームを継続させることが 可能である。したがって、従来の技術によれば、マルチキャストルータは、マルチキヤ ストストリームが無意味なものである力否かを正しく判断することは不可能である。 発明の開示 [0008] Further, as described above, the multicast router transmits the multicast listener query message ( subtype: multicast-address-specific query) [Thus, it is also possible to confirm the presence of mano-recast casts and ket listeners. However, if an attacker who requested a meaningless multicast stream receives a message to confirm the presence of a listener for a multicast packet, the attacker simply responds to this message using a multicast listener report message. It is possible to continue a meaningless multicast stream simply by making a response. Therefore, according to the conventional technique, it is impossible for a multicast router to correctly determine whether or not a multicast stream is meaningless. Disclosure of the invention
[0009] 本発明は、上記の課題に鑑み、マルチキャストにおいて、無意味なマルチキャスト ストリームの伝送を防ぐためのマルチキャストパケット送信装置及びマルチキャストパ ケット転送装置並びにマルチキャストパケット受信装置を提供することを目的とする。  In view of the above problems, an object of the present invention is to provide a multicast packet transmission device, a multicast packet transfer device, and a multicast packet reception device for preventing transmission of a meaningless multicast stream in multicast. .
[0010] 上記の目的を達成するため、本発明のマルチキャストパケット送信装置は、マルチ キャストパケットのソースとして動作を行うマルチキャストパケット送信装置であって、 前記マルチキャストパケットを送信するマルチキャストパケット送信手段と、 任意のタイミングで、前記マルチキャストパケットに挿入されるデータの一部に対し て処理を行うことによって、検証データを生成する検証データ生成手段と、 In order to achieve the above object, a multicast packet transmitting apparatus of the present invention is a multicast packet transmitting apparatus that operates as a source of a multicast packet, and includes a multicast packet transmitting unit that transmits the multicast packet, and an arbitrary Verification data generation means for generating verification data by processing a part of the data inserted into the multicast packet at the timing of
前記検証データ生成手段で生成された前記検証データと、前記検証データの生成 の際に処理された前記データの一部を特定するための情報とを含み、前記マルチキ ャストパケットと同一のマルチキャストアドレスがあて先アドレスに設定された制御パケ ットを生成する制御パケット生成手段と、  Including the verification data generated by the verification data generation means and information for specifying a part of the data processed at the time of generation of the verification data, and a destination addressed to the same multicast address as the multicast packet Control packet generation means for generating a control packet set in an address;
前記制御パケット生成手段で生成された前記制御パケットを送信する制御パケット 送信手段とを、  Control packet transmitting means for transmitting the control packet generated by the control packet generating means;
有する。  Have.
上記の構成により、マルチキャストパケット送信装置(ソース)は、マルチキャストパケ ットに含まれるデータの一部力も検証データを生成し、このデータの一部を特定する ための情報と検証データとをマルチキャストパケット転送装置(マルチキャストルータ) に渡すことが可能となり、マルチキャストパケット転送装置は、これらの情報を使用し て、無意味なマルチキャストストリームが伝送されていないかどうかを確認することが 可能となる。 With the above configuration, the multicast packet transmission device (source) also generates verification data with a part of the data included in the multicast packet, and sends information for identifying a part of this data and the verification data to the multicast packet. It can be passed to the forwarding device (multicast router), and the multicast packet forwarding device can use this information to check whether or not a meaningless multicast stream is transmitted. It becomes possible.
[0011] さらに、本発明のマルチキャストパケット送信装置は、上記の構成に加えて、前記検 証データ生成手段における前記データの一部に対する処理に用いられるァルゴリズ ムを決定するアルゴリズム決定手段を有し、  [0011] Further, in addition to the above configuration, the multicast packet transmitting apparatus of the present invention has algorithm determining means for determining an algorithm used for processing on a part of the data in the verification data generating means,
前記制御パケット生成手段が、前記データの一部に対する処理に用いられた前記 アルゴリズムを特定するための情報を更に含む前記制御パケットを生成するように構 成されている。  The control packet generation means is configured to generate the control packet further including information for specifying the algorithm used for processing the part of the data.
上記の構成により、マルチキャストパケット送信装置は、マルチキャストパケットに含 まれるデータの一部から特定のアルゴリズムを用いて検証データを生成し、このデー タの一部を特定するための情報、検証データ、アルゴリズムを特定するための情報を マルチキャストパケット転送装置に渡すことが可能となり、マルチキャストパケット転送 装置は、これらの情報を使用して無意味なマルチキャストストリームが伝送されていな With the above configuration, the multicast packet transmission device generates verification data using a specific algorithm from a part of data included in the multicast packet, and information for specifying a part of this data, verification data, Information for specifying the algorithm can be passed to the multicast packet transfer device, and the multicast packet transfer device uses this information to transmit a meaningless multicast stream.
V、かどうかを確認することが可能となる。 It becomes possible to check whether V.
[0012] また、上記の目的を達成するため、本発明のマルチキャストパケット転送装置は、マ ルチキャストパケットの転送を行うマルチキャストパケット転送装置であって、 前記マルチキャストパケットを受信するマルチキャストパケット受信手段と、 前記マルチキャストパケットの転送先の管理を行 、、前記マルチキャストパケットの あて先アドレスに設定されて 、るマルチキャストアドレスに基づ 、て、前記マルチキヤ ストパケットの転送先を決定するマルチキャストパケット転送先管理手段と、 [0012] In order to achieve the above object, a multicast packet transfer apparatus according to the present invention is a multicast packet transfer apparatus that transfers multicast packets, and a multicast packet receiving unit that receives the multicast packets; A multicast packet forwarding destination management means for managing a forwarding destination of the multicast packet and determining a forwarding destination of the multicast packet based on a multicast address set as a destination address of the multicast packet;
前記マルチキャストパケット転送先管理手段で決定された転送先に向けて、前記マ ルチキャストパケットを送信するマルチキャストパケット送信手段と、  Multicast packet transmitting means for transmitting the multicast packet toward the forwarding destination determined by the multicast packet forwarding destination managing means;
検証データと、前記検証データの生成の際に処理された前記マルチキャストバケツ トに含まれるデータの一部を特定するための情報とを含み、前記マルチキャストパケ ットと同一のマルチキャストアドレスがあて先アドレスに設定された制御パケットを受信 する制御パケット受信手段と、  Including verification data and information for specifying a part of the data included in the multicast packet processed when the verification data is generated, and the same multicast address as the multicast packet is set as the destination address. Control packet receiving means for receiving the set control packet;
前記制御パケット受信手段で受信した前記制御パケットから、前記検証データ及び 前記データの一部を特定するための情報を抽出する制御パケット処理手段と、 前記制御パケット処理手段で抽出された前記検証データ及び前記データの一部を 特定するための情報を格納するデータ格納手段とを、 Control packet processing means for extracting the verification data and information for specifying a part of the data from the control packet received by the control packet receiving means, and the verification data extracted by the control packet processing means and Part of the data Data storage means for storing information for identification;
有する。  Have.
上記の構成により、マルチキャストパケット転送装置は、データの一部を特定するた めの情報と検証データとをマルチキャストパケット送信装置力 受信して格納すること が可能となり、マルチキャストパケット転送装置は、これらの情報を使用して無意味な マルチキャストストリームが伝送されて ヽな 、かどうかを確認することが可能となる。 さらに、本発明のマルチキャストパケット転送装置は、上記の構成に加えて、前記マ ルチキャストパケット送信手段で送信される前記マルチキャストパケットの受信者が存 在する力否かを確認する際に、前記データ格納手段に格納されている前記データの 一部を特定するための情報を読み出して、前記データの一部を特定するための情報 を含む検証パケットを生成する検証パケット生成手段と、  With the above configuration, the multicast packet transfer apparatus can receive and store information for specifying a part of the data and verification data by the multicast packet transmission apparatus, and the multicast packet transfer apparatus It is possible to confirm whether or not a meaningless multicast stream is transmitted using information. Furthermore, in addition to the above configuration, the multicast packet transfer apparatus of the present invention, when confirming whether or not there is a receiver of the multicast packet transmitted by the multicast packet transmission means, the data A verification packet generating unit that reads information for specifying a part of the data stored in a storage unit and generates a verification packet including information for specifying the part of the data;
前記検証パケット生成手段で生成された前記検証パケットを送信する検証パケット 送信手段と、  Verification packet transmitting means for transmitting the verification packet generated by the verification packet generating means;
前記検証パケット送信手段で送信された前記検証パケットに対する応答パケットを 受信する応答パケット受信手段と、  Response packet receiving means for receiving a response packet for the verification packet transmitted by the verification packet transmitting means;
前記応答パケットに含まれている応答データを抽出する応答データ抽出手段と、 前記応答データ抽出手段で抽出された前記応答データと、前記データ格納手段に 格納されている前記検証データとがー致するか否力を比較するデータ比較手段と、 前記データ比較手段における比較の結果、前記応答データと前記検証データとが 一致した場合には、前記マルチキャストパケットの転送を継続するための処理を行う 一方、前記応答データと前記検証データとがー致しなかった場合又は前記応答パケ ットを受信しな力つた場合には、前記マルチキャストパケットの転送を停止するための 処理を行うマルチキャスト制御手段とを、  Response data extraction means for extracting response data included in the response packet, the response data extracted by the response data extraction means, and the verification data stored in the data storage means match. A data comparison means for comparing whether or not, and if the response data and the verification data match as a result of the comparison in the data comparison means, a process for continuing the forwarding of the multicast packet is performed. A multicast control means for performing a process for stopping forwarding of the multicast packet when the response data does not match the verification data or when the response packet is not received;
有する。  Have.
上記の構成により、マルチキャストパケット転送装置は、マルチキャストパケット送信 装置力も渡されたデータの一部を特定するための情報と検証データのうち、データの 一部を特定するための情報をマルチキャストパケット受信装置 (リスナ)に渡し、この情 報に基づいてマルチキャストパケット受信装置で処理された結果と検証データとを比 較することによって、無意味なマルチキャストストリームが伝送されて 、な 、かどうかを 確認することが可能となる。 With the above configuration, the multicast packet transfer apparatus transmits the information for specifying a part of data among the information for specifying a part of data to which the multicast packet transmitting apparatus power is passed and the verification data to the multicast packet receiving apparatus. (Listener) and the result processed by the multicast packet receiver based on this information is compared with the verification data. By comparing, it is possible to confirm whether or not a meaningless multicast stream is transmitted.
[0014] さらに、本発明のマルチキャストパケット転送装置は、上記の構成に加えて、前記制 御パケット処理手段力 S、前記データの一部に対する処理に用いられるアルゴリズムを 特定するための情報を前記制御パケットから更に抽出し、前記データ格納手段が、 前記制御パケット処理手段により抽出された前記アルゴリズムを特定するための情報 を格納し、前記検証パケット生成手段が、前記アルゴリズムを特定するための情報を 更に含む前記検証パケットを生成するように構成されて 、る。  [0014] Further, the multicast packet forwarding apparatus of the present invention, in addition to the above configuration, controls the control packet processing means S and information for specifying an algorithm used for processing for a part of the data. Further extracted from the packet, the data storage means stores information for specifying the algorithm extracted by the control packet processing means, and the verification packet generation means further stores information for specifying the algorithm. And configured to generate the verification packet including.
上記の構成により、マルチキャストパケット転送装置は、マルチキャストパケット送信 装置から渡されたデータの一部を特定するための情報、検証データ、アルゴリズムを 特定するための情報のうち、データの一部を特定するための情報とアルゴリズムを特 定するための情報とをマルチキャストパケット受信装置に渡し、これらの情報に基づ V、てマルチキャストパケット受信装置で処理された結果と、検証データとを比較するこ とによって、無意味なマルチキャストストリームの伝送が流れていないかどうかを確認 することが可能となる。  With the above configuration, the multicast packet transfer apparatus specifies a part of the data among the information for specifying a part of the data passed from the multicast packet transmission apparatus, the verification data, and the information for specifying the algorithm. Information for specifying the algorithm and the information for specifying the algorithm is sent to the multicast packet receiver, and the result processed by the multicast packet receiver based on the information is compared with the verification data. It is possible to check whether or not a meaningless multicast stream is being transmitted.
[0015] さらに、本発明のマルチキャストパケット転送装置は、上記の構成に加えて、前記検 証パケット送信手段が、前記検証パケットを複数回送信し、前記データ比較手段が、 複数の前記検証パケットの送信に対応して受信した複数の前記応答パケットのいず れカ 1つに含まれている前記応答データと前記検証データとがー致する力否かを比 較するように構成されている。  [0015] Further, in the multicast packet transfer apparatus of the present invention, in addition to the above configuration, the verification packet transmission unit transmits the verification packet a plurality of times, and the data comparison unit includes a plurality of the verification packets. It is configured to compare whether or not the response data included in one of the plurality of response packets received corresponding to transmission matches the verification data.
上記の構成により、マルチキャストパケット転送装置は、マルチキャストパケット受信 装置の存在の有無のチヱックを複数回行って、マルチキャストパケット受信装置が存 在していないことが確認されてから、マルチキャストパケットの転送を停止するための 処理を行うことが可能となる。  With the above configuration, the multicast packet forwarding device checks the presence / absence of the multicast packet receiving device multiple times and confirms that the multicast packet receiving device does not exist, and then stops forwarding the multicast packet. Can be processed.
[0016] また、上記の目的を達成するため、本発明のマルチキャストパケット受信装置は、マ ルチキャストパケットのリスナとして動作を行うマルチキャストパケット受信装置であつ て、  In order to achieve the above object, a multicast packet receiving apparatus of the present invention is a multicast packet receiving apparatus that operates as a listener for multicast packets.
前記マルチキャストパケットを受信するマルチキャストパケット受信手段と、 前記マルチキャストパケットの転送を行うマルチキャストパケット転送装置が前記マ ルチキャストパケットの受信者が存在するか否かを確認するために送信する検証パケ ットを受信する検証パケット受信手段と、 Multicast packet receiving means for receiving the multicast packet; A verification packet receiving means for receiving a verification packet to be transmitted by the multicast packet transfer apparatus for transferring the multicast packet to check whether or not there is a receiver of the multicast packet;
前記検証パケット受信手段で受信した前記検証パケットから、前記マルチキャストパ ケット受信手段で受信する前記マルチキャストパケットに含まれるデータの一部を特 定するための情報を抽出する検証パケット処理手段と、  Verification packet processing means for extracting, from the verification packet received by the verification packet receiving means, information for specifying a part of data included in the multicast packet received by the multicast packet receiving means;
前記検証パケット処理手段で抽出された前記データの一部を特定するための情報 に基づ!/、て、前記マルチキャストパケット受信手段で受信した前記マルチキャストパ ケットに含まれるデータの中から特定された前記データの一部に対して処理を行うこ とによって、応答データを生成する応答データ生成手段と、  Based on the information for specifying a part of the data extracted by the verification packet processing means! /, Specified from the data included in the multicast packet received by the multicast packet receiving means Response data generating means for generating response data by processing a part of the data;
前記応答データ生成手段で生成された前記応答データを含む応答パケットを生成 する応答パケット生成手段と、  Response packet generating means for generating a response packet including the response data generated by the response data generating means;
前記応答パケット生成手段で生成された前記応答パケットをマルチキャストパケット 転送装置に送信する応答パケット送信手段とを、  Response packet transmitting means for transmitting the response packet generated by the response packet generating means to a multicast packet forwarding device;
有する。  Have.
上記の構成により、マルチキャストパケット受信装置は、マルチキャストパケットで受 信されるデータの一部を特定するための情報をマルチキャストパケット転送装置から 受信し、特定されたデータの一部から応答データを生成して、マルチキャストパケット 転送装置に応答することで、そのマルチキャストストリームを実際に受信して 、ること を示すことが可能となる。  With the above configuration, the multicast packet receiving apparatus receives information for specifying a part of data received in the multicast packet from the multicast packet transfer apparatus, and generates response data from the specified data part. By responding to the multicast packet transfer device, it is possible to indicate that the multicast stream is actually received.
さらに、本発明のマルチキャストパケット受信装置は、上記の構成に加えて、前記検 証パケット処理手段力 S、前記データの一部に対する処理に用いられるアルゴリズムを 特定するための情報を前記検証パケットから更に抽出し、前記応答データ生成手段 力 前記アルゴリズムを特定するための情報によって特定されるアルゴリズムを用い て、前記データの一部に対する処理を行うように構成されて 、る。  In addition to the above configuration, the multicast packet receiving apparatus of the present invention further includes, from the verification packet, information for specifying the verification packet processing means S and an algorithm used for processing a part of the data. The response data generating means is configured to perform processing on a part of the data using an algorithm specified by information for specifying the algorithm.
上記の構成により、マルチキャストパケット受信装置は、マルチキャストパケットで受 信されるデータの一部を特定するための情報とアルゴリズムを特定するための情報を マルチキャストパケット転送装置力 受信し、特定されたアルゴリズムを用いて特定さ れたデータの一部力 応答データを生成して、マルチキャストパケット転送装置に応 答することで、そのマルチキャストストリームを実際に受信して 、ることを示すことが可 能となる。 With the above configuration, the multicast packet receiving device receives the information for specifying a part of the data received in the multicast packet and the information for specifying the algorithm, and receives the specified algorithm. Specified using By generating response data and responding to the multicast packet transfer device, it is possible to indicate that the multicast stream is actually received.
[0018] 本発明は、上記の構成を有しており、マルチキャストルータは、マルチキャストストリ ームが無意味なものであるか否かを正しく判断することが可能となり、無意味なマル チキャストストリームに関しては、その伝送を中止することによって、無意味なマルチ キャストストリームの伝送によるトラフィックの増大を防ぐことが可能となる。これにより、 トラフィックの輻輳や DoS、ュ-キャストサービスの妨害を防ぐことが可能となり、安定 したサービスの提供 (あるいは、安定したサービスの享受)が実現される。  [0018] The present invention has the above-described configuration, and the multicast router can correctly determine whether or not the multicast stream is meaningless. Regarding the meaningless multicast stream, By stopping the transmission, it is possible to prevent an increase in traffic due to the transmission of meaningless multicast streams. This makes it possible to prevent traffic congestion, DoS, and interruption of the multicast service, and provide a stable service (or enjoy a stable service).
図面の簡単な説明  Brief Description of Drawings
[0019] [図 1]本発明の実施の形態におけるネットワーク構成の一例を示す図 FIG. 1 is a diagram showing an example of a network configuration according to an embodiment of the present invention.
[図 2]本発明の実施の形態における送信元通信装置の動作の一例を示すフローチヤ ート  FIG. 2 is a flowchart showing an example of the operation of the transmission source communication apparatus in the embodiment of the present invention.
[図 3]本発明の実施の形態におけるマルチキャストルータの制御パケットの受信動作 の一例を示すフローチャート  FIG. 3 is a flowchart showing an example of the control packet reception operation of the multicast router in the embodiment of the present invention.
[図 4]本発明の実施の形態におけるマルチキャストルータのリスナの存在チェックの動 作の一例を示すフローチャート  FIG. 4 is a flowchart showing an example of the operation of checking the existence of a multicast router listener in the embodiment of the present invention.
[図 5]本発明の実施の形態における受信側通信装置の動作の一例を示すフローチヤ ート  FIG. 5 is a flowchart showing an example of the operation of the receiving side communication apparatus in the embodiment of the present invention.
発明を実施するための最良の形態  BEST MODE FOR CARRYING OUT THE INVENTION
[0020] 以下、図面を参照しながら、本発明の実施の形態について説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0021] まず、図 1を参照しながら、本発明の実施の形態におけるネットワーク構成の一例に ついて説明する。図 1は、本発明の実施の形態におけるネットワーク構成の一例を示 す図である。 [0021] First, an example of a network configuration in the embodiment of the present invention will be described with reference to FIG. FIG. 1 is a diagram showing an example of a network configuration in the embodiment of the present invention.
[0022] 図 1には、マルチキャストパケットのソースとして機能する送信元通信装置 11、ァク セスネットワークを配下に有するアクセスルータとして機能するとともに、マルチキャス ト機能 (マルチキャストグループの管理や、マルチキャストパケットの複製などの機能) を有するマルチキャストルータ 12、マルチキャストルータ 12の配下のアクセスネットヮ ークに接続されており、送信元通信装置 11から送信されるマルチキャストパケットのリ スナとして機能し得る複数の受信側通信装置 13が図示されている。また、送信元通 信装置 11及びマルチキャストルータ 12は、ネットワーク 15に接続されており、ネットヮ ーク 15を介して双方のパケットが送受信される。 [0022] FIG. 1 shows that a source communication device 11 that functions as a source of multicast packets, an access router that has an access network under its control, and a multicast function (multicast group management and multicast packet management). Multicast router 12 having a function such as replication), and an access network under the multicast router 12 A plurality of receiving side communication devices 13 that are connected to the network and that can function as listeners for multicast packets transmitted from the source communication device 11 are illustrated. The transmission source communication device 11 and the multicast router 12 are connected to the network 15, and both packets are transmitted / received via the network 15.
[0023] なお、ここでは、説明を簡単にするため、マルチキャストルータ 12がアクセスネットヮ ークのアクセスルータとして機能する場合について説明を行うが、マルチキャストルー タ 12は、送信元通信装置 11から任意の受信側通信装置 13に送信されるマルチキヤ ストパケットの転送を行うネットワークノードであればよぐ必ずしもアクセスネットワーク である必要はない。 [0023] Here, for simplicity of explanation, the case where the multicast router 12 functions as an access router of the access network will be described. However, the multicast router 12 can be arbitrarily set from the transmission source communication device 11. As long as it is a network node that transfers multicast packets transmitted to the receiving side communication device 13, it is not necessarily an access network.
[0024] 送信元通信装置 11は、マルチキャストパケットを送信する機能を有している。送信 元通信装置 11は、例えば不特定多数のリスナに受信してもら 、た 、データに関して は、特定のマルチキャストアドレスをあて先とするマルチキャストパケットによって配信 を行う。さらに、送信元通信装置 11は、従来のマルチキャスト技術の実装に加えて、 本発明に係る制御パケットの生成及び送信機能を有している。なお、送信元通信装 置 11における処理に関しては、後で図 2を参照しながら説明を行う。  [0024] The transmission source communication device 11 has a function of transmitting a multicast packet. For example, the transmission source communication device 11 receives data by an unspecified number of listeners, and distributes data by multicast packets destined for a specific multicast address. Further, the source communication device 11 has a control packet generation and transmission function according to the present invention in addition to the implementation of the conventional multicast technology. Note that the processing in the transmission source communication device 11 will be described later with reference to FIG.
[0025] また、マルチキャストルータ 12は、マルチキャストグループの管理やマルチキャスト パケットの複製、マルチキャストルーティングの構築などを始めとする従来のマルチキ ャスト技術を実装しており、ネットワークにおける効率的なマルチキャストパケットの転 送を行う。さらに、マルチキャストルータ 12は、従来のマルチキャスト技術の実装に加 えて、本発明に係る制御パケットの処理、制御パケットに含まれるデータの格納、制 御パケットに含まれるデータに基づくリスナの存在のチェックなどを行う機能を有して いる。なお、マルチキャストルータ 12における処理に関しては、後で図 3及び図 4を参 照しながら説明を行う。  [0025] In addition, the multicast router 12 is implemented with conventional multicast technologies such as multicast group management, multicast packet duplication, and multicast routing construction, so that efficient multicast packet transfer in the network is possible. I do. Furthermore, in addition to the implementation of the conventional multicast technology, the multicast router 12 processes the control packet according to the present invention, stores the data included in the control packet, checks the presence of a listener based on the data included in the control packet, etc. It has a function to perform. The processing in the multicast router 12 will be described later with reference to FIGS. 3 and 4.
[0026] また、受信側通信装置 13は、マルチキャストパケットを選択的に受信する機能を有 している。具体的には、受信側通信装置 13は、例えば、従来のマルチキャスト技術を 実装しており、受信を希望するマルチキャストパケットに関しては、そのマルチキャスト グループへの参加を表明するマルチキャストリスナレポートメッセージをマルチキャス トルータ 12に送信し、マルチキャストグループからの離脱を行う場合には、そのマル チキャストグループからの離脱を表明するマルチキャストリスナダンメッセージをマル チキャストルータ 12に送信することによって、マルチキャストパケットの受信制御を行 う。さらに、受信側通信装置 13は、従来のマルチキャスト技術の実装に加えて、本発 明に係るマルチキャストルータ力 受信するリスナの存在の確認に対する応答バケツ トの生成及び送信機能を有している。なお、受信側通信装置 13における処理に関し ては、後で図 5を参照しながら説明を行う。 [0026] The receiving-side communication device 13 has a function of selectively receiving multicast packets. Specifically, for example, the receiving side communication device 13 implements a conventional multicast technology, and for a multicast packet desired to be received, a multicast listener report message indicating participation in the multicast group is sent to the multicast router. When sending to 12 and leaving the multicast group, Multicast packet reception control is performed by sending to the multicast router 12 a multicast listener message that announces the departure from the multicast group. Furthermore, in addition to the implementation of the conventional multicast technology, the receiving side communication device 13 has a response bucket generation and transmission function for confirming the presence of a listener that receives multicast router power according to the present invention. The processing in the receiving side communication device 13 will be described later with reference to FIG.
[0027] 次に、図 1に図示されているネットワーク構成に基づいて、本発明の実施の形態に おける動作の一例について説明する。まず、図 2を参照しながら、本発明の実施の形 態における送信元通信装置 11の動作の一例について説明する。図 2は、本発明の 実施の形態における送信元通信装置の動作の一例を示すフローチャートである。  Next, an example of the operation in the embodiment of the present invention will be described based on the network configuration shown in FIG. First, an example of the operation of the transmission source communication device 11 in the embodiment of the present invention will be described with reference to FIG. FIG. 2 is a flowchart showing an example of the operation of the transmission source communication apparatus according to the embodiment of the present invention.
[0028] 図 2には不図示である力 送信元通信装置 11は、特定のマルチキャストアドレスに 向けたマルチキャストパケットの送信を行っているものとする。すなわち、送信元通信 装置 11は、図 2に図示されているフローチャートの処理と並行して、マルチキャストパ ケットの送信を行って 、る。  [0028] It is assumed that the power transmission source communication device 11 (not shown in FIG. 2) is transmitting a multicast packet to a specific multicast address. That is, the transmission source communication device 11 transmits a multicast packet in parallel with the processing of the flowchart shown in FIG.
[0029] 特定のマルチキャストアドレスに向けたマルチキャストパケットの送信を行っている 状態において、図 2に図示されているように、送信元通信装置 11は、例えば、所定時 間が経過した場合 (ステップ S 101)に、ステップ S102以降の制御パケット生成 '送信 処理に移行する。なお、ここでは、所定時間だけ待機した後にステップ S102以降の 処理が行われるようにすることによって、送信元通信装置 11から所定時間おきに制 御パケットの送信が行われるが、例えば、ランダムな時間ごとにステップ S102以降の 処理が行われるようにしたり、マルチキャストルータ 12からの要求に応じて、ステップ S 102以降の処理が行われるようにしたりすることも可能である。  [0029] In a state where a multicast packet is being transmitted to a specific multicast address, as shown in FIG. 2, the source communication device 11 may, for example, receive a predetermined time (step S). 101), the process proceeds to the control packet generation and transmission process after step S102. In this case, the control packet is transmitted from the transmission source communication device 11 every predetermined time by performing the processing after step S102 after waiting for a predetermined time. The processing after step S102 can be performed every time, or the processing after step S102 can be performed in response to a request from the multicast router 12.
[0030] 所定時間おきに行われる動作では、まず、検証データを生成するためのアルゴリズ ムが決定される (ステップ S102)。アルゴリズムの決定では、例えば、あらかじめ準備 されている複数のアルゴリズムの中からいずれか 1つの選択が行われる。なお、検証 データを生成するためのアルゴリズムがあら力じめ定められており、任意の通信装置 において、検証データの生成に用いられるアルゴリズムが特定可能である場合には、 ステップ S102におけるアルゴリズムの決定に係る処理は省略可能である。 [0031] 次に、送信元通信装置 11は、ステップ S 102で決定されたアルゴリズムを用いて、 マルチキャストパケットによって配信されるデータ力も検証データを生成する (ステツ プ S103)。そして、送信元通信装置 11は、ステップ S 103で使用されたアルゴリズム を特定するための情報、ステップ S 103で生成された検証データ、ステップ S103で 検証データの生成に使用されたデータを特定するための情報 (例えば、データが含 まれているパケット)を含む制御パケットを生成する (ステップ S104)。なお、検証デ ータの生成に使用されたデータには、特定のマルチキャストアドレスをあて先として配 信されるデータが使用される。また、アルゴリズムがあら力じめ定められている場合に は、アルゴリズムを特定するための情報を制御パケットに挿入する必要はな 、。 [0030] In the operation performed every predetermined time, first, an algorithm for generating verification data is determined (step S102). In determining the algorithm, for example, one of a plurality of algorithms prepared in advance is selected. If the algorithm used to generate verification data has been determined in advance and the algorithm used to generate verification data can be specified in any communication device, the algorithm determination in step S102 Such processing can be omitted. [0031] Next, using the algorithm determined in step S102, the transmission source communication apparatus 11 also generates verification data for the data power delivered by the multicast packet (step S103). Then, the source communication device 11 specifies information used to specify the algorithm used in step S103, verification data generated in step S103, and data used to generate verification data in step S103. A control packet including the information (for example, a packet including data) is generated (step S104). Note that the data used to generate the verification data is data that is delivered with a specific multicast address as the destination. In addition, when an algorithm is determined in advance, it is not necessary to insert information for specifying the algorithm into the control packet.
[0032] ステップ S104で生成される制御パケットのあて先アドレスには、検証データの生成 に使用されたデータが配信される際のマルチキャストパケットのマルチキャストァドレ スが設定される。また、マルチキャストされているデータを含むマルチキャストパケット (マルチキャストデータパケット)と制御パケットとの識別が可能となるように、制御パケ ットには、フラグが付カ卩される。このフラグは、例えば、 IPヘッダの任意のフィールド( 例えば、フローラベル)を使用することが可能であり、マルチキャストデータパケットと 制御パケットでは、異なる値が設定される。  [0032] In the destination address of the control packet generated in step S104, the multicast address of the multicast packet used when the data used for generating the verification data is distributed is set. In addition, a flag is attached to the control packet so that the multicast packet including the multicast data (multicast data packet) and the control packet can be identified. For example, an arbitrary field (for example, a flow label) of the IP header can be used for this flag, and different values are set for the multicast data packet and the control packet.
[0033] 制御パケットの生成後、送信元通信装置 11は、制御パケットを送信して (ステップ S 105)、制御パケット生成'送信処理を完了する。制御パケットのあて先には特定のマ ルチキャストアドレスが設定されているため、制御パケットはマルチキャスト経路を経 由してマルチキャストルータ 12に到達する。  [0033] After the generation of the control packet, the transmission source communication device 11 transmits the control packet (step S105), and completes the control packet generation 'transmission process. Since a specific multicast address is set at the destination of the control packet, the control packet reaches the multicast router 12 via the multicast route.
[0034] ここで、検証データの生成に使用されたアルゴリズムを f ()、実際に生成された検証 データを A、検証データの生成に使用されたデータを Bと表記した場合、ステップ S1 03における検証データの生成では、 A=f (B)の計算(あるいは動作)によって検証 データ Aが生成される。制御パケットは、検証データの生成に使用されたァルゴリズ ム f ()を特定するための情報 (所定の複数のアルゴリズムの中から 1つを選択可能と する識別子、あるいはアルゴリズム自体)、検証データ A、検証データの生成に使用 されたデータ Bを特定するための情報(データ B自体は、マルチキャストデータバケツ トによって配信される)を含むものである。 [0035] なお、このアルゴリズムを取り扱うレイヤが上位レイヤ(例えば、アプリケーションレイ ャ)であるほど、本発明の目的である無意味なマルチキャストストリームの伝送を防ぐ ことが、効果的に実現される。アルゴリズムの一例としては、例えば、マルチキャストに よって配信されているデータが MPEG4 (Moving Picture Experts Group phase 4)規 格の映像データの場合に、デコード後のビット配列の値 (ビットの 10番目、 100番目、 1000番目の値)を解として出力するアルゴリズムなどが挙げられる。なお、上述のァ ルゴリズムは一例にすぎず、任意のアルゴリズムを用いることが可能である。また、上 述の例では、アルゴリズム f ()に入力されるデータ Bは 1つである力 データ Bはいくつ かのパケットが統合されたデータであってもよぐデータ Bはパケット構造に依存する ものではない。また、複数のアルゴリズムのそれぞれから出力される解の和を検証デ ータ Aとしてちよい。 [0034] Here, when the algorithm used to generate the verification data is expressed as f (), the verification data actually generated is expressed as A, and the data used to generate the verification data is expressed as B, in step S1 03 In the generation of verification data, verification data A is generated by the calculation (or operation) of A = f (B). The control packet includes information for identifying the algorithm f () used to generate the verification data (an identifier that can select one of a plurality of predetermined algorithms, or the algorithm itself), verification data A, It contains information for identifying the data B used to generate the verification data (the data B itself is delivered by the multicast data bucket). [0035] Note that the higher the layer that handles this algorithm (for example, the application layer), the more effectively it is possible to prevent transmission of a meaningless multicast stream, which is the object of the present invention. As an example of the algorithm, for example, when the data distributed by multicast is video data of MPEG4 (Moving Picture Experts Group phase 4) standard, the bit array values after decoding (the 10th and 100th bits) , The 1000th value) is output as a solution. The algorithm described above is only an example, and any algorithm can be used. Also, in the above example, there is only one data B input to the algorithm f (). Data B can be data in which several packets are integrated. Data B depends on the packet structure. It is not a thing. The sum of the solutions output from each of the multiple algorithms may be used as verification data A.
[0036] 次に、図 3及び図 4を参照しながら、本発明の実施の形態におけるマルチキャストル ータ 12の動作の一例について説明する。図 3は、本発明の実施の形態におけるマル チキャストルータの制御パケットの受信動作の一例を示すフローチャートであり、図 4 は、本発明の実施の形態におけるマルチキャストルータのリスナの存在チェックの動 作の一例を示すフローチャートである。  Next, an example of the operation of the multicast router 12 in the embodiment of the present invention will be described with reference to FIG. 3 and FIG. FIG. 3 is a flowchart showing an example of the reception operation of the control packet of the multicast router in the embodiment of the present invention, and FIG. 4 shows the operation of checking the presence of the listener of the multicast router in the embodiment of the present invention. It is a flowchart which shows an example.
[0037] 図 3及び図 4には不図示である力 マルチキャストルータ 12は、特定のマルチキヤ ストアドレスに向けたマルチキャストパケットの転送を行っているものとする。すなわち 、マルチキャストルータ 12は、図 3及び図 4に図示されているフローチャートの処理と 並行して、マルチキャストパケットの転送を行って 、る。  [0037] It is assumed that the force multicast router 12 (not shown in FIGS. 3 and 4) is forwarding a multicast packet to a specific multicast address. In other words, the multicast router 12 transfers multicast packets in parallel with the processing of the flowcharts shown in FIGS.
[0038] 送信元通信装置 11から特定のマルチキャストアドレスに向けて送信されたマルチキ ャストパケットの転送を行っている状態において、図 3に図示されているように、マル チキャストルータ 12は、例えば、パケットに付加されているフラグを参照することによつ て、送信元通信装置 11からの受信パケットに制御パケットが含まれている力否かの チェックを行っている (ステップ S201)。そして、送信元通信装置 11から送信された 制御パケットを受信した場合、ステップ S202以降の制御パケットの処理に移行する。  [0038] In the state in which the multicast packet transmitted from the transmission source communication device 11 to the specific multicast address is being transferred, the multicast router 12, for example, transmits the packet to the packet as illustrated in FIG. By referring to the added flag, it is checked whether or not the received packet from the transmission source communication device 11 includes a control packet (step S201). When the control packet transmitted from the transmission source communication device 11 is received, the process proceeds to the control packet processing from step S202.
[0039] なお、図 3では、図 2に図示されているフローチャートのステップ S101の処理に基 づいて、送信元通信装置 11からマルチキャストルータ 12に対して所定の時間ごとに 定期的に制御パケットが送信される場合について図示されている力 例えば、マルチ キャストルータ 12が、何らかのトリガ (例えば、リスナの存在チェックを行う状態への遷 移)に応じて、送信元通信装置 11に対して制御パケットの送信要求を行うようにして ちょい。 In FIG. 3, based on the processing of step S 101 in the flowchart shown in FIG. 2, the transmission source communication device 11 sends the multicast router 12 to the multicast router 12 at predetermined intervals. For example, the power shown in the figure when the control packet is periodically transmitted. For example, the multicast router 12 responds to some trigger (for example, transition to a state in which the presence check of the listener is performed), and the source communication device 11 Make a control packet transmission request to.
[0040] 制御パケットを受信したマルチキャストルータ 12は、制御パケットに含まれている内 容 (アルゴリズムを特定するための情報、検証データ、検証データの生成に使用され たデータを特定するための情報)を抽出する (ステップ S 202)。なお、このステップ S2 02の処理は、送信元通信装置 11によって制御パケット内に挿入された内容をそのま ま抽出する処理であり、例えば、アルゴリズムを特定するための情報が制御パケット 内に含まれて!/、な!/、場合もあり得る。  [0040] The multicast router 12 that has received the control packet includes the contents included in the control packet (information for specifying the algorithm, verification data, and data used for generating the verification data). Is extracted (step S202). Note that the process of step S202 is a process of extracting the contents inserted in the control packet by the transmission source communication device 11 as it is. For example, information for specifying the algorithm is included in the control packet. There is a case that!
[0041] そして、送信元通信装置 11は、ステップ S202で抽出された制御パケットの内容を 送信元通信装置 11によって読み書き可能な状態に接続されて 、る情報格納装置( 一時メモリやハードディスクドライブなど)に格納する (ステップ S203)。また、制御パ ケットのあて先アドレスにはマルチキャストアドレスが設定されているため、通常のマ ルチキャストパケット転送処理では、マルチキャスト経路に従ったパケット転送が行わ れることになるが、制御パケットに関しては転送を行わずに、制御パケットを破棄して( ステップ S204)、制御パケットに係る処理を完了する。  [0041] Then, the source communication device 11 is connected to a state in which the content of the control packet extracted in step S202 is readable and writable by the source communication device 11, and is an information storage device (temporary memory, hard disk drive, etc.) (Step S203). In addition, since a multicast address is set as the destination address of the control packet, in normal multicast packet forwarding processing, packet forwarding is performed according to the multicast route. However, control packets are forwarded. Instead, the control packet is discarded (step S204), and the process related to the control packet is completed.
[0042] 一方、図 3に図示されているフローチャートの処理と並行して、マルチキャストルー タ 12は、リスナの存在しな!、マルチキャストストリームを配下に流さな 、ようにマルチ キャストの管理を行っている。具体的には、例えばマルチキャストグループからの離脱 を表明するマルチキャストリスナダンメッセージを配下の受信側通信装置 13から受信 した場合に、マルチキャストルータ 12は、この受信側通信装置 13をマルチキャストグ ループのリストから削除するとともに、このマルチキャストグループのマルチキャストパ ケットを受信して 、るリスナがまだ存在して 、るか否かのチェックを行う。  On the other hand, in parallel with the processing of the flowchart shown in FIG. 3, the multicast router 12 performs multicast management so that there is no listener! Yes. Specifically, for example, when receiving a multicast listener message that announces the departure from the multicast group from the receiving communication device 13 under its control, the multicast router 12 removes the receiving communication device 13 from the list of multicast groups. At the same time, the multicast packet of this multicast group is received, and it is checked whether or not the listener still exists.
[0043] 図 4において、マルチキャストルータ 12は、何らかのトリガによってリスナの存在チェ ックを行う状態に遷移した場合 (ステップ S251)、図 3に図示されているフローチヤ一 トのステップ S203の処理で格納されたアルゴリズムを特定するための情報、検証デ ータ、検証データの生成に使用されたデータを特定するための情報の中から、アル ゴリズムを特定するための情報、検証データの生成に使用されたデータを特定する ための情報を読み出す (ステップ S252)。 [0043] In FIG. 4, when the multicast router 12 transitions to a state in which a listener existence check is performed due to some trigger (step S251), the multicast router 12 stores the processing in step S203 of the flowchart illustrated in FIG. The information used to identify the specified algorithm, the verification data, and the information used to identify the data used to generate the verification data Information for specifying the algorithm and information for specifying the data used to generate the verification data are read (step S252).
[0044] そして、マルチキャストルータ 12は、アルゴリズムを特定するための情報、検証デー タの生成に使用されたデータを特定するための情報を含む検証パケットを生成し (ス テツプ S253)、この検証パケットのあて先アドレスに、対応するマルチキャストアドレス を設定して、配下のアクセスネットワークに向けて送信する(ステップ S254)。また、検 証パケットの送信後、マルチキャストルータ 12は、この検証パケットに対する応答であ る応答パケットの受信待機状態となる (ステップ S255)。なお、検証パケットには、こ のパケットが検証パケットであることを示すフラグなどが付加されることが望まし 、。ま た、検証パケットには、任意の識別情報を挿入することによって、同一の識別情報が 挿入されている応答パケットが、この検証パケットに対する応答パケットであることを認 識できるようにすることが望ましい。また、アルゴリズムがあらかじめ定められている場 合には、検証パケットにアルゴリズムを特定するための情報は挿入されない。この場 合、検証パケットは、単に検証データの生成に使用されたデータを特定するための 情報のみを有することになる。 [0044] Then, the multicast router 12 generates a verification packet including information for specifying the algorithm and information for specifying the data used for generating the verification data (step S253). The corresponding multicast address is set as the destination address and transmitted to the subordinate access network (step S254). In addition, after transmitting the verification packet, the multicast router 12 enters a reception standby state for a response packet that is a response to the verification packet (step S255). It should be noted that a flag indicating that this packet is a verification packet is preferably added to the verification packet. It is also desirable to insert arbitrary identification information into the verification packet so that the response packet with the same identification information inserted can be recognized as a response packet to this verification packet. . In addition, when an algorithm is determined in advance, information for specifying the algorithm is not inserted into the verification packet. In this case, the verification packet simply has information for specifying the data used to generate the verification data.
[0045] 受信側通信装置 13は、検証パケットに係る処理を行って応答パケットによる応答を 行う。なお、受信側通信装置 13の検証パケットに係る処理に関しては、後で図 5を参 照しながら説明する。受信側通信装置 13からの応答パケットを受信したマルチキャス トルータ 12は、ステップ S256以降において、応答パケットに係る処理を行って、リス ナが存在して 、る力否かの判断を行う。  [0045] The receiving-side communication device 13 performs processing related to the verification packet and responds with a response packet. The processing related to the verification packet of the receiving side communication device 13 will be described later with reference to FIG. The multicast router 12 that has received the response packet from the receiving-side communication device 13 performs processing related to the response packet in step S256 and subsequent steps, and determines whether or not the listener exists and is strong.
[0046] 受信側通信装置 13からの応答パケットを受信したマルチキャストルータ 12は、まず 、応答パケットに含まれている応答データを抽出する (ステップ S256)。この応答デ ータは、後述のように、受信側通信装置 13において、検証パケットで指定されたアル ゴリズム及びデータを用いて生成されたものである。  The multicast router 12 that has received the response packet from the receiving-side communication device 13 first extracts the response data included in the response packet (step S256). As will be described later, this response data is generated by the receiving side communication device 13 using the algorithm and data specified by the verification packet.
[0047] そして、マルチキャストルータ 12は、図 3に図示されているフローチャートのステップ S203で格納された検証データと、ステップ S256で抽出された応答データとを比較し 、これらのデータが一致するか否かを確認する (ステップ S257)。そして、検証データ と応答データとがー致する場合には、マルチキャストルータ 12は、このマルチキャスト グループのリスナが存在していると判断し、所定のリスナ存在処理を行う(ステップ S2 58)。マルチキャストグループのリスナが存在する場合に行われるリスナ存在処理で は、従来の技術におけるリスナ存在処理と同様に、マルチキャストストリームの保持' 継続が行われる。 [0047] Then, the multicast router 12 compares the verification data stored in step S203 of the flowchart shown in FIG. 3 with the response data extracted in step S256, and determines whether or not these data match. (Step S257). If the verification data and the response data match, the multicast router 12 It is determined that there is a listener for the group, and a predetermined listener existence process is performed (step S258). In the listener presence process that is performed when there is a listener for the multicast group, the multicast stream is held and continued as in the listener presence process in the prior art.
[0048] 一方、検証データと応答データとがー致しない場合には、マルチキャストルータ 12 は、このマルチキャストグループのリスナが不在であると判断し、所定のリスナ不在処 理を行う(ステップ S259)。マルチキャストグループのリスナが不在の際に行われるリ スナ不在処理では、従来の技術におけるリスナ不在処理と同様に、マルチキャストス トリームの転送停止などが行われる。また、マルチキャストルータ 12は、上位のマルチ キャストルータに対して、このマルチキャストストリームの送信停止を要求することも可 能である。  On the other hand, if the verification data and the response data do not match, the multicast router 12 determines that the listener of this multicast group is absent, and performs a predetermined listener absence process (step S259). In the listener absence process that is performed when the listener of the multicast group is absent, the multicast stream transfer is stopped as in the listener absent process in the prior art. The multicast router 12 can also request the upper multicast router to stop transmission of this multicast stream.
[0049] なお、図 4では不図示だが、ステップ S255において、例えばマルチキャストルータ 12が所定の時間内に応答パケットを受信できな力つた場合には、マルチキャストル ータ 12は、このマルチキャストグループのリスナが不在であると判断し、所定のリスナ 不在処理を行ってもよい。  [0049] Although not shown in FIG. 4, in step S255, for example, if the multicast router 12 is unable to receive a response packet within a predetermined time, the multicast router 12 will listen to the multicast group listener. May be determined to be absent, and predetermined listener absence processing may be performed.
[0050] また、図 4では不図示だが、ステップ S257〖こおいて、検証データと応答データとが 一致しない場合には、マルチキャストルータ 12は、再度ステップ S254に戻って同一 の検証データの送信を行うか、ある 、は再度ステップ S252に戻って新たな検証デー タの生成及び送信を行い、所定の回数又は所定の時間内において検証パケットの 送信を繰り返し行うことも可能である。これにより、例えば、パケットロスやデータエラ 一などの何らかの障害が発生し、マルチキャストグループのリスナである受信側通信 装置 13が応答パケットによる応答を行うことができな力 た場合でも、受信側通信装 置 13が正当な応答データを含む応答パケットによる応答を行う機会を増やして、リス ナの存在するマルチキャストストリームが誤って停止されな 、ようにすることが可能と なる。  [0050] Although not shown in FIG. 4, if the verification data does not match the response data in step S257, the multicast router 12 returns to step S254 again to transmit the same verification data. It is also possible to return to step S252 again to generate and transmit new verification data, and to repeatedly transmit the verification packet within a predetermined number of times or within a predetermined time. As a result, for example, even if a failure such as packet loss or data error occurs and the receiving communication device 13 that is a listener of the multicast group cannot respond with a response packet, the receiving communication device It is possible to increase the chance that the device 13 responds with a response packet including legitimate response data so that the multicast stream in which the listener exists is not accidentally stopped.
[0051] 次に、図 5を参照しながら、本発明の実施の形態における受信側通信装置 13の動 作の一例について説明する。図 5は、本発明の実施の形態における受信側通信装 置の動作の一例を示すフローチャートである。 [0052] 図 5には不図示である力 受信側通信装置 13は、特定のマルチキャストアドレスに 向けたマルチキャストパケットの受信を行っているものとする。すなわち、受信側通信 装置 13は、図 5に図示されているフローチャートの処理と並行して、マルチキャストパ ケットの受信を行って 、る。 [0051] Next, an example of the operation of the receiving communication device 13 in the embodiment of the present invention will be described with reference to FIG. FIG. 5 is a flowchart showing an example of the operation of the receiving-side communication device in the embodiment of the present invention. It is assumed that the force receiving side communication device 13 (not shown in FIG. 5) receives a multicast packet directed to a specific multicast address. That is, the receiving side communication device 13 receives multicast packets in parallel with the processing of the flowchart shown in FIG.
[0053] 送信元通信装置 11から特定のマルチキャストアドレスに向けて送信されたマルチキ ャストパケットの受信を行っている状態において、図 5に図示されているように、受信 側通信装置 13は、例えば、パケットに付加されているフラグを参照することによって、 マルチキャストルータ 12からの受信パケットに検証パケットが含まれているか否かの チェックを行っている(ステップ S301)。そして、マルチキャストルータ 12から送信され た検証パケットを受信した場合、ステップ S302以降の検証パケットの処理に移行す る。  [0053] In a state in which a multicast packet transmitted from the transmission source communication device 11 toward a specific multicast address is being received, the reception-side communication device 13 performs, for example, a packet, as illustrated in FIG. By referring to the flag added to, it is checked whether or not the verification packet is included in the packet received from the multicast router 12 (step S301). When the verification packet transmitted from the multicast router 12 is received, the process proceeds to the verification packet processing from step S302.
[0054] 検証パケットを受信した受信側通信装置 13は、検証パケットに含まれている内容( アルゴリズムを特定するための情報、データを特定するための情報)を抽出する (ステ ップ S302)。なお、このステップ S302の処理は、マルチキャストルータ 12によって検 証パケット内に挿入された内容をそのまま抽出する処理であり、例えば、アルゴリズム を特定するための情報が検証パケット内に含まれていない場合もあり得る。  [0054] Receiving side communication apparatus 13 that has received the verification packet extracts the contents (information for specifying the algorithm, information for specifying the data) included in the verification packet (step S302). Note that the process of step S302 is a process of extracting the content inserted in the verification packet by the multicast router 12 as it is. For example, information for specifying an algorithm may not be included in the verification packet. possible.
[0055] そして、受信側通信装置 13は、ステップ S302で抽出された検証パケットの内容に 基づいて、解の導出を行う(ステップ S303)。このとき、受信側通信装置 13は、ステツ プ S302で抽出されたアルゴリズムを特定するための情報によって指定されるァルゴ リズム、又はあらかじめ定められているアルゴリズムを用いて、データを特定するため の情報によって指定されたデータ (あるいは、処理すべき特定のパケットに含まれる データ)に対して処理を行うことによって解を導出する。  [0055] Then, the receiving side communication device 13 derives a solution based on the contents of the verification packet extracted in step S302 (step S303). At this time, the receiving side communication device 13 uses the algorithm specified by the information for specifying the algorithm extracted in step S302 or the information for specifying the data using a predetermined algorithm. The solution is derived by processing the specified data (or data contained in a specific packet to be processed).
[0056] 上述の表記を引用すると、ステップ S303における受信側通信装置 13による処理で は、送信元通信装置 11が検証データ Aを導出する際に使用されたアルゴリズム f () 及びデータ Bから、解 C=f (B)を導出する計算が行われる。この解 Cは、伝送過程又 は処理過程にお 、てエラーが発生して 、な 、限り、検証データ Aと同一の値となる。  [0056] To quote the above notation, the processing by the receiving communication device 13 in step S303 is based on the algorithm f () and data B used by the sending communication device 11 to derive the verification data A. A calculation is performed to derive C = f (B). This solution C has the same value as the verification data A as long as an error occurs in the transmission or processing process.
[0057] 受信側通信装置 13は、ステップ S303で導出された解を応答データとし、応答デー タを含む応答パケットを生成し (ステップ S304)、この応答パケットをマルチキャストル ータ 12に送信して (ステップ S305)、検証パケットに係る処理を完了する。 [0057] The receiving-side communication device 13 uses the solution derived in step S303 as response data, generates a response packet including the response data (step S304), and transmits the response packet to the multicast route. Is transmitted to the data 12 (step S305), and the processing related to the verification packet is completed.
[0058] ステップ S305で受信側通信装置 13から送信される応答パケットは、図 4に図示さ れているフローチャートのステップ S255でマルチキャストルータ 12が受信する応答 パケットである。したがって、図 4に図示されているフローチャートのステップ S255に おいて、マルチキャストルータ 12は、図 5中のステップ S303で導出された解と、検証 データとの比較を行う。上述のように、解 Cと検証データ Aとは同一の値であり、すな わち、受信側通信装置 13で検証パケットに関して正常に処理が行われた場合には、 マルチキャストルータ 12において、このマルチキャストグループのリスナが存在すると 判断される。また、例えば、マルチキャストルータ 12は、検証データに一致する応答 データを返信してきたリスナの数をカウントすることによって、正当なリスナ(マルチキ ヤストストリームの配信を必要とするリスナ)の台数を把握することも可能である。 The response packet transmitted from the receiving communication device 13 in step S305 is a response packet received by the multicast router 12 in step S255 of the flowchart shown in FIG. Therefore, in step S255 of the flowchart shown in FIG. 4, the multicast router 12 compares the solution derived in step S303 in FIG. 5 with the verification data. As described above, the solution C and the verification data A have the same value. In other words, when the reception side communication device 13 normally processes the verification packet, the multicast router 12 It is determined that a multicast group listener exists. In addition, for example, the multicast router 12 grasps the number of valid listeners (listeners that require delivery of a multi-cast stream) by counting the number of listeners that have returned response data that matches the verification data. Is also possible.
[0059] なお、リスナの存在をチェックするために送受信される検証パケット及び応答バケツ トとして、例えば、従来のマルチキャスト技術におけるマルチキャストリスナクエリメッセ ~~ン subtype: multicast— address— specific query;及びマノレチ3 rヤストリスナレホ ~~トメ ッセージをそれぞれ拡張したものを用いることも可能である。すなわち、マルチキャス トリスナクエリメッセ ~~ン、 subtype: multicast— address— specific query;内に、検正ァ ~~ タが導出される際に使用されたデータを特定するための情報 (さらには、必要に応じ てアルゴリズムを特定するための情報)を挿入し、マルチキャストリスナレポートメッセ ージ内に応答データを挿入することも可能である。 [0059] Incidentally, as a verification packet and response bucket bets are transmitted and received in order to check the presence of the listener, for example, Multicast in traditional multicast art Listener Query message ~~ emissions subtype: multicast- address- specific query; and Manorechi 3 It is also possible to use an extended version of each message. That is, in the multicast listener query message ~~, subtype: multicast-address-specific query ;, information for identifying the data used when the verification data ~~ It is also possible to insert response data in the multicast listener report message by inserting information for specifying the algorithm) as necessary.
[0060] また、上述の本発明の実施の形態における動作(図 2〜図 5に図示されているフロ 一チャートに係る動作)は、 CPU (Central Processing Unit :中央演算処理装置)によ るソフトウェア(プログラム)の実行やハードウェア、又は、ソフトウェアとハードウェアの 組み合わせによって実現可能であり、さらに上述のように、既存のマルチキャスト技術 に関連したプロトコルを拡張することによって、実現されてもょ 、。  [0060] The operation in the above-described embodiment of the present invention (the operation according to the flowcharts shown in Figs. 2 to 5) is performed by software by a CPU (Central Processing Unit). It can be realized by executing (program), hardware, or a combination of software and hardware, and as described above, it can also be realized by extending protocols related to existing multicast technology.
[0061] 以上、説明したように、本発明によれば、マルチキャストストリームの配信を行ってい る送信元通信装置 11にお 、て、マルチキャストストリームに含まれるデータに対して 、特定のアルゴリズムを用いて検証データが導出され、検証データ、及びこの検証デ ータが導出される際に使用されたデータを特定するための情報 (さらには、必要に応 じてアルゴリズムを特定するための情報)が制御パケットに挿入されて、送信元通信 装置 11からマルチキャストルータ 12に渡される。一方、マルチキャストルータ 12は、 送信元通信装置 11から渡された情報を格納し、このマルチキャストグループのリスナ が存在するか否かをチェックする際に、検証データが導出される際に使用されたデ ータを特定するための情報(さらには、必要に応じてアルゴリズムを特定するための 情報)を、配下の受信側通信装置 13に配信する。受信側通信装置 13は、マルチキ ヤストルータ 12から指定されたデータに対して、マルチキャストルータ 12から指定さ れたアルゴリズム(あるいは、あらかじめ定められたアルゴリズム)を用いて処理を行!ヽ 、その導出解をマルチキャストルータ 12に返信する。マルチキャストルータ 12は、受 信側通信装置 13から戻ってきた導出解と、送信元通信装置 11から渡された検証デ 一タとを比較し、これらのデータが一致した場合に、マルチキャストグループのリスナ が存在するという判断を行う。 As described above, according to the present invention, the transmission source communication device 11 that distributes the multicast stream uses a specific algorithm for the data included in the multicast stream. Validation data is derived, and the information used to identify the validation data and the data used to derive this validation data (and if necessary Information for specifying the algorithm) is inserted into the control packet and passed from the source communication device 11 to the multicast router 12. On the other hand, the multicast router 12 stores the information passed from the transmission source communication device 11 and checks whether the verification data is derived when checking whether or not the listener of the multicast group exists. The information for specifying the data (and the information for specifying the algorithm as necessary) is distributed to the receiving communication device 13 under the control. The receiving side communication device 13 processes the data designated by the multicast router 12 using the algorithm designated by the multicast router 12 (or a predetermined algorithm) and obtains the derived solution. Reply to multicast router 12. The multicast router 12 compares the derived solution returned from the receiving communication device 13 with the verification data passed from the transmission source communication device 11, and if these data match, the multicast group listener Make a determination that exists.
[0062] 本発明の動作を言い換えると、送信元通信装置 11から問題とその答えがマルチキ ヤストルータ 12に渡され、マルチキャストルータ 12は、マルチキャストグループのリス ナが存在するか否かをチェックする際に、答えを隠したまま問題のみを配信し、この 問題に対する正しい答えを導出できた受信側通信装置 13が存在する場合に、マル チキャストグループのリスナが存在するという判断を行うと言える。  In other words, the operation of the present invention gives the problem and the answer from the source communication device 11 to the multicast router 12, and the multicast router 12 checks whether or not the multicast group listener exists. It can be said that if there is a receiving side communication device 13 that delivers only the problem while hiding the answer and can derive the correct answer to this problem, it is determined that there is a listener of the multicast group.
[0063] 本発明では、受信側通信装置 13が正しい答えを導出してマルチキャストルータ 12 に返信するために、上位レイヤにおける処理を行う必要がある。したがって、このマル チキャストストリームを無意味なマルチキャストストリームとして流し、 DoSを行おうとす る攻撃者は、このマルチキャストストリームを絶えず監視するとともに、上位レイヤにお ける処理を行う必要に迫られる。こうした処理を攻撃者が行うためには、正当なリスナ と同等の処理を行う必要がある。したがって、本発明によれば、無意味なマルチキヤ ストストリームを流そうとする攻撃者に対して、大きい処理負荷を要求することによって 、無意味なマルチキャストストリームを防ぐことが可能となる。なお、検証パケットの処 理は、無意味なマルチキャストストリームを流そうとする攻撃者にとっては負荷の大き い処理であっても、実際にマルチキャストストリームに係るデータの処理を行っている 正当なリスナにとっては容易に行えるものであることが望ましい。例えば、アプリケー シヨンによる処理によって出力されるデータを、そのまま応答データとして転用できる ようにしてもよい。 In the present invention, in order for the receiving side communication device 13 to derive a correct answer and send it back to the multicast router 12, it is necessary to perform processing in an upper layer. Therefore, an attacker who attempts to perform DoS by streaming this multicast stream as a meaningless multicast stream is required to constantly monitor this multicast stream and perform processing in the upper layer. In order for an attacker to perform such processing, it is necessary to perform processing equivalent to that of a legitimate listener. Therefore, according to the present invention, it is possible to prevent a meaningless multicast stream by requesting a large processing load from an attacker who wants to play a meaningless multicast stream. Note that the verification packet processing is a heavy load for an attacker who wants to run a meaningless multicast stream, but for a legitimate listener who is actually processing data related to the multicast stream. It is desirable that it can be easily performed. For example, application The data output by the processing by Chillon may be used as response data as it is.
産業上の利用可能性 Industrial applicability
本発明は、マルチキャストにおいて、無意味なマルチキャストストリームの伝送を防 ぐという効果を有しており、マルチキャスト技術に適用可能であり、特に、マルチキャス トにおける攻撃への脆弱性を克服するための技術に適用可能である。  The present invention has an effect of preventing transmission of a meaningless multicast stream in multicast, and is applicable to multicast technology, and in particular, technology for overcoming vulnerability to attack in multicast. It is applicable to.

Claims

請求の範囲 The scope of the claims
[1] マルチキャストパケットのソースとして動作を行うマルチキャストパケット送信装置で あって、  [1] A multicast packet transmitting apparatus that operates as a source of multicast packets,
前記マルチキャストパケットを送信するマルチキャストパケット送信手段と、 任意のタイミングで、前記マルチキャストパケットに挿入されるデータの一部に対し て処理を行うことによって、検証データを生成する検証データ生成手段と、  A multicast packet transmitting means for transmitting the multicast packet; a verification data generating means for generating verification data by performing processing on a part of the data inserted into the multicast packet at an arbitrary timing;
前記検証データ生成手段で生成された前記検証データと、前記検証データの生成 の際に処理された前記データの一部を特定するための情報とを含み、前記マルチキ ャストパケットと同一のマルチキャストアドレスがあて先アドレスに設定された制御パケ ットを生成する制御パケット生成手段と、  Including the verification data generated by the verification data generation means and information for specifying a part of the data processed at the time of generation of the verification data, and a destination addressed to the same multicast address as the multicast packet Control packet generation means for generating a control packet set in an address;
前記制御パケット生成手段で生成された前記制御パケットを送信する制御パケット 送信手段とを、  Control packet transmitting means for transmitting the control packet generated by the control packet generating means;
有するマルチキャストパケット送信装置。  Multicast packet transmission apparatus having
[2] 前記検証データ生成手段における前記データの一部に対する処理に用いられるァ ルゴリズムを決定するアルゴリズム決定手段を有し、  [2] having an algorithm determining means for determining an algorithm used for processing the part of the data in the verification data generating means;
前記制御パケット生成手段が、前記データの一部に対する処理に用いられた前記 アルゴリズムを特定するための情報を更に含む前記制御パケットを生成するように構 成されて!/ヽる請求項 1に記載のマルチキャストパケット送信装置。  2. The control packet generating means is configured to generate the control packet further including information for specifying the algorithm used for processing the part of the data! / Multicast packet transmitter.
[3] マルチキャストパケットの転送を行うマルチキャストパケット転送装置であって、 前記マルチキャストパケットを受信するマルチキャストパケット受信手段と、 前記マルチキャストパケットの転送先の管理を行 、、前記マルチキャストパケットの あて先アドレスに設定されて 、るマルチキャストアドレスに基づ 、て、前記マルチキヤ ストパケットの転送先を決定するマルチキャストパケット転送先管理手段と、 [3] A multicast packet transfer apparatus for transferring a multicast packet, wherein the multicast packet receiving means for receiving the multicast packet, managing the transfer destination of the multicast packet, and set to a destination address of the multicast packet Multicast packet transfer destination management means for determining a transfer destination of the multicast packet based on the multicast address.
前記マルチキャストパケット転送先管理手段で決定された転送先に向けて、前記マ ルチキャストパケットを送信するマルチキャストパケット送信手段と、  Multicast packet transmitting means for transmitting the multicast packet toward the forwarding destination determined by the multicast packet forwarding destination managing means;
検証データと、前記検証データの生成の際に処理された前記マルチキャストバケツ トに含まれるデータの一部を特定するための情報とを含み、前記マルチキャストパケ ットと同一のマルチキャストアドレスがあて先アドレスに設定された制御パケットを受信 する制御パケット受信手段と、 Including verification data and information for specifying a part of the data included in the multicast packet processed when the verification data is generated, and the same multicast address as the multicast packet is set as the destination address. Receive set control packet Control packet receiving means for
前記制御パケット受信手段で受信した前記制御パケットから、前記検証データ及び 前記データの一部を特定するための情報を抽出する制御パケット処理手段と、 前記制御パケット処理手段で抽出された前記検証データ及び前記データの一部を 特定するための情報を格納するデータ格納手段とを、  Control packet processing means for extracting the verification data and information for specifying a part of the data from the control packet received by the control packet receiving means, and the verification data extracted by the control packet processing means and Data storage means for storing information for specifying a part of the data;
有するマルチキャストパケット転送装置。  Multicast packet transfer apparatus having
[4] 前記マルチキャストパケット送信手段で送信される前記マルチキャストパケットの受 信者が存在するか否かを確認する際に、前記データ格納手段に格納されている前 記データの一部を特定するための情報を読み出して、前記データの一部を特定する ための情報を含む検証パケットを生成する検証パケット生成手段と、  [4] For confirming whether or not there is a receiver of the multicast packet transmitted by the multicast packet transmitting means, for specifying a part of the data stored in the data storage means A verification packet generating means for reading the information and generating a verification packet including information for specifying a part of the data;
前記検証パケット生成手段で生成された前記検証パケットを送信する検証パケット 送信手段と、  Verification packet transmitting means for transmitting the verification packet generated by the verification packet generating means;
前記検証パケット送信手段で送信された前記検証パケットに対する応答パケットを 受信する応答パケット受信手段と、  Response packet receiving means for receiving a response packet for the verification packet transmitted by the verification packet transmitting means;
前記応答パケットに含まれている応答データを抽出する応答データ抽出手段と、 前記応答データ抽出手段で抽出された前記応答データと、前記データ格納手段に 格納されている前記検証データとがー致するか否力を比較するデータ比較手段と、 前記データ比較手段における比較の結果、前記応答データと前記検証データとが 一致した場合には、前記マルチキャストパケットの転送を継続するための処理を行う 一方、前記応答データと前記検証データとがー致しなかった場合又は前記応答パケ ットを受信しな力つた場合には、前記マルチキャストパケットの転送を停止するための 処理を行うマルチキャスト制御手段とを、  Response data extraction means for extracting response data included in the response packet, the response data extracted by the response data extraction means, and the verification data stored in the data storage means match. A data comparison means for comparing whether or not, and if the response data and the verification data match as a result of the comparison in the data comparison means, a process for continuing the forwarding of the multicast packet is performed. A multicast control means for performing a process for stopping forwarding of the multicast packet when the response data does not match the verification data or when the response packet is not received;
有する請求項 3に記載のマルチキャストパケット転送装置。  The multicast packet transfer device according to claim 3.
[5] 前記制御パケット処理手段が、前記データの一部に対する処理に用いられるアル ゴリズムを特定するための情報を前記制御パケットから更に抽出し、前記データ格納 手段が、前記制御パケット処理手段により抽出された前記アルゴリズムを特定するた めの情報を格納し、前記検証パケット生成手段が、前記アルゴリズムを特定するため の情報を更に含む前記検証パケットを生成するように構成されている請求項 4に記載 のマルチキャストパケット転送装置。 [5] The control packet processing means further extracts information for specifying an algorithm used for processing a part of the data from the control packet, and the data storage means is extracted by the control packet processing means. 5. The information for specifying the specified algorithm is stored, and the verification packet generation means is configured to generate the verification packet further including information for specifying the algorithm. Multicast packet forwarding device.
[6] 前記検証パケット送信手段が、前記検証パケットを複数回送信し、前記データ比較 手段が、複数の前記検証パケットの送信に対応して受信した複数の前記応答バケツ トのいずれか 1つに含まれている前記応答データと前記検証データとがー致するか 否かを比較するように構成されて 、る請求項 4に記載のマルチキャストパケット転送 装置。  [6] The verification packet transmission unit transmits the verification packet a plurality of times, and the data comparison unit receives any one of the plurality of response buckets received corresponding to the transmission of the plurality of verification packets. 5. The multicast packet forwarding device according to claim 4, wherein the multicast packet forwarding device is configured to compare whether or not the response data contained therein matches the verification data.
[7] マルチキャストパケットのリスナとして動作を行うマルチキャストパケット受信装置で あって、  [7] A multicast packet receiver that acts as a listener for multicast packets,
前記マルチキャストパケットを受信するマルチキャストパケット受信手段と、 前記マルチキャストパケットの転送を行うマルチキャストパケット転送装置が前記マ ルチキャストパケットの受信者が存在するか否かを確認するために送信する検証パケ ットを受信する検証パケット受信手段と、  A multicast packet receiving means for receiving the multicast packet, and a verification packet transmitted by the multicast packet forwarding apparatus for forwarding the multicast packet to check whether or not a receiver of the multicast packet exists. A verification packet receiving means for receiving;
前記検証パケット受信手段で受信した前記検証パケットから、前記マルチキャストパ ケット受信手段で受信する前記マルチキャストパケットに含まれるデータの一部を特 定するための情報を抽出する検証パケット処理手段と、  Verification packet processing means for extracting, from the verification packet received by the verification packet receiving means, information for specifying a part of data included in the multicast packet received by the multicast packet receiving means;
前記検証パケット処理手段で抽出された前記データの一部を特定するための情報 に基づ!/、て、前記マルチキャストパケット受信手段で受信した前記マルチキャストパ ケットに含まれるデータの中から特定された前記データの一部に対して処理を行うこ とによって、応答データを生成する応答データ生成手段と、  Based on the information for specifying a part of the data extracted by the verification packet processing means! /, Specified from the data included in the multicast packet received by the multicast packet receiving means Response data generating means for generating response data by processing a part of the data;
前記応答データ生成手段で生成された前記応答データを含む応答パケットを生成 する応答パケット生成手段と、  Response packet generating means for generating a response packet including the response data generated by the response data generating means;
前記応答パケット生成手段で生成された前記応答パケットをマルチキャストパケット 転送装置に送信する応答パケット送信手段とを、  Response packet transmitting means for transmitting the response packet generated by the response packet generating means to a multicast packet forwarding device;
有するマルチキャストパケット受信装置。  Multicast packet receiving apparatus having
[8] 前記検証パケット処理手段が、前記データの一部に対する処理に用いられるアル ゴリズムを特定するための情報を前記検証パケットから更に抽出し、前記応答データ 生成手段力 前記アルゴリズムを特定するための情報によって特定されるァルゴリズ ムを用いて、前記データの一部に対する処理を行うように構成されて 、る請求項 7に 記載のマルチキャストパケット受信装置。 [8] The verification packet processing means further extracts information for specifying an algorithm used for processing on a part of the data from the verification packet, and the response data generation means power is used to specify the algorithm. The method according to claim 7, wherein the processing is performed on a part of the data using an algorithm specified by information. The multicast packet receiving device described.
PCT/JP2007/058734 2006-04-21 2007-04-23 Multicast packet transmitting apparatus, multicast packet transferring apparatus and multicast packet receiving apparatus WO2007123228A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2006117948 2006-04-21
JP2006-117948 2006-04-21

Publications (1)

Publication Number Publication Date
WO2007123228A1 true WO2007123228A1 (en) 2007-11-01

Family

ID=38625125

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2007/058734 WO2007123228A1 (en) 2006-04-21 2007-04-23 Multicast packet transmitting apparatus, multicast packet transferring apparatus and multicast packet receiving apparatus

Country Status (1)

Country Link
WO (1) WO2007123228A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005029746A2 (en) * 2003-09-12 2005-03-31 Rsa Security Inc. System and method providing disconnected authentication
JP2005149259A (en) * 2003-11-18 2005-06-09 Japan Telecom Co Ltd Information monitoring system, information processor, and management apparatus
JP2006173735A (en) * 2004-12-13 2006-06-29 Oki Electric Ind Co Ltd Message authentication method, message authentication device using the same, and message authentication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005029746A2 (en) * 2003-09-12 2005-03-31 Rsa Security Inc. System and method providing disconnected authentication
JP2005149259A (en) * 2003-11-18 2005-06-09 Japan Telecom Co Ltd Information monitoring system, information processor, and management apparatus
JP2006173735A (en) * 2004-12-13 2006-06-29 Oki Electric Ind Co Ltd Message authentication method, message authentication device using the same, and message authentication system

Similar Documents

Publication Publication Date Title
US8230498B2 (en) System and method for defending against denial of service attacks on virtual talk groups
Binkley et al. Authenticated ad hoc routing at the link layer for mobile systems
CN104023006B (en) Multi-path transmission system and method based on application layer relaying
US20060034281A1 (en) System, device, and method for receiver access control in a multicast communication system
US20050111474A1 (en) IP multicast communication system
CN102546666B (en) The method preventing IGMP from cheating and to attack and device
CN101834864B (en) Method and device for preventing attack in three-layer virtual private network
US20100303072A1 (en) Multicast Source Mobility
JP2006279636A (en) Consistency guarantee management system for inter-client communication log
JP2006074132A (en) Multicast communication method and gateway device
JP2003509970A (en) Packet authentication
JP2006279937A (en) Wireless base station, wireless terminal, and wireless access network
CN101304328A (en) Multicast authentication method, authentication equipment and multicast authentication server
US7237113B2 (en) Keyed authentication rollover for routers
JP2004297521A (en) Transmission method, receiving terminal, and l2 switch, l3 switch in multicast communication network
CN102368707A (en) Method, equipment and system for multicast control
JP4344336B2 (en) Multihoming authentication communication system, multihoming authentication communication method, and management server
KR101423751B1 (en) Switch route exploring method, system and device
CN102469063B (en) Routing protocol security alliance management method, Apparatus and system
CN102340511A (en) Safety control method and device
WO2007123228A1 (en) Multicast packet transmitting apparatus, multicast packet transferring apparatus and multicast packet receiving apparatus
WO2016095750A1 (en) Communication method and device in virtual switching cluster
JP2017121026A (en) Multicast communication device and multicast communication method
JP4554420B2 (en) Gateway device and program thereof
JP3841417B2 (en) Communication connection method, server computer, and program

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07742169

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07742169

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP