專利名稱:通信系統(tǒng)���、控制裝置以及控制程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種處理負(fù)荷低的通信系統(tǒng)���、控制裝置以及控制程序。
背景技術(shù):
包過濾裝置的主要功能是利用IP報(bào)頭中包含的“發(fā)送源地址”�、“發(fā)送目的地地址”、“協(xié)議號(hào)”�、TCP/UDP報(bào)頭中包含的“發(fā)送源端口號(hào)”、“發(fā)送目的地端口號(hào)”等�����,來判斷是否允許包通過��,進(jìn)行包傳輸和攔截處理����。在IPv6中按標(biāo)準(zhǔn)安裝有IPsec (因特網(wǎng)協(xié)議安全性)�,因此在IPv6網(wǎng)絡(luò)普及之際,以終端為單位進(jìn)行加密通信的情況增加��。在使用IPsec進(jìn)行加密的情況下�����,IP包有效載荷部分被加密,因此無法以現(xiàn)有的包過濾裝置進(jìn)行應(yīng)對(duì)�。于是,提出了以下方式的方案對(duì)加 密通信解密后進(jìn)行過濾(專利文獻(xiàn)I);利用明文交換協(xié)定(negotiation)��,以該信息為基礎(chǔ)來進(jìn)行過濾(專利文獻(xiàn)2)�。專利文獻(xiàn)1:日本特開2006-33707號(hào)公報(bào)專利文獻(xiàn)2:日本特開2005-175825號(hào)公報(bào)
發(fā)明內(nèi)容
然而,在利用過濾裝置解密的情況下����,會(huì)導(dǎo)致處理負(fù)荷增加。關(guān)于事先交換協(xié)定信息的方式�����,由于要按每個(gè)加密通信會(huì)話追加協(xié)定處理�,因此處理負(fù)荷增加。本發(fā)明的目的在于提供一種即使要過濾的信息被加密也能夠以低處理負(fù)荷執(zhí)行過濾的通信系統(tǒng)�、控制裝置以及控制程序。為了達(dá)成上述目的����,本發(fā)明的第一方式是一種通信系統(tǒng),在該通信系統(tǒng)中��,連接于內(nèi)部網(wǎng)絡(luò)的終端經(jīng)由控制通信的控制裝置與外部網(wǎng)絡(luò)進(jìn)行通信,該通信系統(tǒng)的要旨在于���,控制裝置具備地址登記部���,其登記終端的地址和ID的組;存儲(chǔ)部���,其存儲(chǔ)過濾規(guī)則�,該過濾規(guī)則決定了是否允許終端進(jìn)行通信的條件��;以及過濾器部��,其在從終端發(fā)送的包的地址保存區(qū)域中包含已登記的ID的情況下��,基于將該地址保存區(qū)域中保存的信息與過濾規(guī)則進(jìn)行比較所得到的結(jié)果��,來判斷是否允許包的通信��,控制包的通信����。另外��,在本發(fā)明的第一方式所涉及的通信系統(tǒng)中,在過濾器部判斷為允許具有包含已登記的ID的地址保存區(qū)域的包的通信的情況下�����,控制裝置將該地址保存區(qū)域中保存的信息轉(zhuǎn)換為與地址保存區(qū)域中包含的該ID成為一組的地址�。另外,在本發(fā)明的第一方式所涉及的通信系統(tǒng)中��,過濾規(guī)則具有包所具有的發(fā)送目的地地址作為是否允許終端進(jìn)行通信的條件����,過濾器部基于將從終端發(fā)送的信息所具有的發(fā)送目的地地址與過濾規(guī)則所具有的發(fā)送目的地地址進(jìn)行比較所得到的結(jié)果,來判斷是否允許包的通信����,控制包的通信。另外��,在本發(fā)明的第一方式所涉及的通信系統(tǒng)中����,還具備外部終端,該外部終端與外部網(wǎng)絡(luò)相連接��,其中����,過濾規(guī)則具有從外部終端發(fā)送的包所具有的發(fā)送源地址作為是否允許終端進(jìn)行通信的條件�,過濾器部基于將從外部終端發(fā)送的包所具有的發(fā)送源地址與過濾規(guī)則所具有的發(fā)送源地址進(jìn)行比較所得到的結(jié)果�����,來判斷是否允許從外部終端發(fā)送的包的通信�,控制從外部終端發(fā)送的包的通信。另外�����,在本發(fā)明的第一方式所涉及的通信系統(tǒng)中�����,過濾規(guī)則具有從外部終端發(fā)送的包所具有的域名作為是否允許終端進(jìn)行通信的條件��,過濾器部基于將從外部終端發(fā)送的包所具有的域名與過濾規(guī)則所具有的域名進(jìn)行比較所得到的結(jié)果�����,來判斷是否允許從外部終端發(fā)送的包的通信�,控制從外部終端發(fā)送的包的通信����。本發(fā)明的第二方式是一種控制裝置����,在連接于內(nèi)部網(wǎng)絡(luò)的終端與外部網(wǎng)絡(luò)進(jìn)行通信的通信系統(tǒng)中控制通信�����,該控制裝置的要旨在于���,具備地址登記部����,其登記上述終端的地址和ID的組����;存儲(chǔ)部,其存儲(chǔ)過濾規(guī)則�����,該過濾規(guī)則決定了是否允許上述終端進(jìn)行通信的條件���;以及過濾器部�����,其在從上述終端發(fā)送的包的地址保存區(qū)域中包含已登記的上述ID的情況下�,基于將該地址保存區(qū)域中保存的信息與上述過濾規(guī)則進(jìn)行比較所得到的結(jié)果,來判斷是否允許上述包的通信����,控制上述包的通信。
本發(fā)明的第三方式是一種控制程序�,在連接于內(nèi)部網(wǎng)絡(luò)的終端與外部網(wǎng)絡(luò)進(jìn)行通信的通信系統(tǒng)中控制通信,該控制程序的要旨在于�����,使控制裝置執(zhí)行包括以下步驟的處理登記上述終端的地址和ID的組�����;存儲(chǔ)過濾規(guī)則�����,該過濾規(guī)則決定了是否允許上述終端進(jìn)行通信的條件���;以及在從上述終端發(fā)送的包的地址保存區(qū)域中包含已登記的上述ID的情況下�����,基于將該地址保存區(qū)域中保存的信息與上述過濾規(guī)則進(jìn)行比較所得到的結(jié)果��,來判斷是否允許上述包的通信��,控制上述包的通信�。
圖1是說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)的基本結(jié)構(gòu)的示意性框圖����。圖2是說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)所具備的過濾裝置的基本邏輯結(jié)構(gòu)的示意性框圖。圖3是說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)所具備的客戶終端的基本邏輯結(jié)構(gòu)的示意性框圖�。圖4是本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)中使用的過濾規(guī)則的一例。圖5是本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)中使用的地址信息的一例����。圖6是本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)中使用的過濾信息的一例。圖7是本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)中使用的過濾規(guī)則的一例���。圖8是本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)中使用的過濾信息的一例��。圖9是本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)中使用的過濾信息的一例�����。圖10是說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)的通信控制方法的一例的時(shí)序圖���。圖11是說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)所具備的客戶終端的動(dòng)作的流程圖���。圖12是說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)所具備的過濾裝置的動(dòng)作的流程圖。圖13是說明本發(fā)明的第二實(shí)施方式所涉及的通信系統(tǒng)的基本結(jié)構(gòu)的示意性框圖�。
圖14是說明本發(fā)明的第二實(shí)施方式所涉及的通信系統(tǒng)所具備的控制器裝置和過濾裝置的基本邏輯結(jié)構(gòu)的示意性框圖。圖15是說明本發(fā)明的其它實(shí)施方式所涉及的通信系統(tǒng)的基本結(jié)構(gòu)的示意性框圖����。圖16是說明本發(fā)明的其它實(shí)施方式所涉及的通信系統(tǒng)的通信控制方法的一例的時(shí)序圖。
具體實(shí)施例方式接著�,參照附圖來說明本發(fā)明的第一實(shí)施方式和第二實(shí)施方式。在下面的附圖的記載中�����,對(duì)相同或者類似的部分附加相同或者類似的標(biāo)記����。其中,下面所示的實(shí)施方式對(duì)用于將本發(fā)明的技術(shù)思想具體化的裝置�����、方法以及使用這些裝置的系統(tǒng)進(jìn)行了例示,本發(fā)明的技術(shù)思想并不特定于下述實(shí)施方式所例示的裝置��、方法以及使用這些裝置的系統(tǒng)�。能夠 在權(quán)利要求所記載的技術(shù)范圍內(nèi)對(duì)本發(fā)明的技術(shù)思想施加各種變更����。(第一實(shí)施方式)如圖1所示,本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)具備客戶終端1��,其連接于局域網(wǎng)5 ;服務(wù)器終端4���,其連接于外部網(wǎng)絡(luò)9 ;以及過濾裝置2�����,其對(duì)客戶終端I與服務(wù)器終端4之間的通信進(jìn)行控制���。過濾裝置2是一種通信控制裝置,位于作為內(nèi)部網(wǎng)絡(luò)的局域網(wǎng)5與外部網(wǎng)絡(luò)9之間�����,對(duì)相互間的通信進(jìn)行控制、中繼�。客戶終端I是以能夠與外部網(wǎng)絡(luò)9進(jìn)行通信的方式進(jìn)行連接的通信終端�����,其經(jīng)由過濾裝置2與作為連接于外部網(wǎng)絡(luò)9的通信終端的服務(wù)器終端4進(jìn)行通信����。如圖2所示,過濾裝置2具備過濾器制作部31��、哈希(Hash)計(jì)算部32�����、地址登記部33���、存儲(chǔ)部21����、過濾器部22���、IP輸入部23��、包轉(zhuǎn)換部24��、傳輸處理部25����、IP輸出部26、數(shù)據(jù)鏈路輸出部35�、數(shù)據(jù)鏈路輸入部36、IF輸出部37以及IF輸入部38�。當(dāng)過濾裝置2接收到作為通信數(shù)據(jù)的包時(shí)�����,包順次通過相當(dāng)于物理層的IF輸入部38�、進(jìn)行數(shù)據(jù)鏈路層的處理的數(shù)據(jù)鏈路輸入部36,被輸入到進(jìn)行IP層的處理的IP輸入部23���。輸入到IP輸入部23的包被分別輸出到過濾器部22和地址登記部33�����。地址登記部33響應(yīng)于從客戶終端I發(fā)送的作為登記請(qǐng)求的包�,根據(jù)包對(duì)每個(gè)客戶終端I的IPv6地址生成ID�����。ID只要是能夠按每個(gè)地址來進(jìn)行識(shí)別的標(biāo)識(shí)符即可,只要通過隨機(jī)數(shù)生成等根據(jù)包中包含的地址等來生成即可�����。地址登記部33將所生成的ID與每個(gè)客戶終端的IPv6地址(發(fā)送源地址)彼此相關(guān)聯(lián)地登記為地址信息�����。地址登記部33也能夠生成并登記作為連接于外部網(wǎng)絡(luò)9的通信終端的服務(wù)器終端4的地址和ID���,地址信息例如如圖5所示那樣具有多組通信終端的發(fā)送源地址與所生成的ID的組��。過濾器制作部31利用來自省略了圖示的輸入裝置��、介質(zhì)讀取裝置等的輸入等來制作用于對(duì)包進(jìn)行過濾的過濾規(guī)則�。如圖4所示���,過濾規(guī)則例如包括“發(fā)送源地址”���、“發(fā)送目的地地址”、“協(xié)議”�、“發(fā)送源端口 ”以及“發(fā)送目的地端口 ”�����,除此以外還包括“域名”等項(xiàng)目�����,按每個(gè)規(guī)則設(shè)定允許或者不允許包通過��。項(xiàng)目“No”的編號(hào)表示規(guī)則的優(yōu)先級(jí)����,優(yōu)先應(yīng)用編號(hào)大的規(guī)則��。規(guī)則的優(yōu)先級(jí)能夠在過濾器制作部31中任意地決定����。關(guān)于各個(gè)過濾規(guī)則的項(xiàng)目��,能夠按每個(gè)項(xiàng)目任意地設(shè)定����。過濾器制作部31生成如圖6所示那樣保存于IPv6報(bào)頭的作為地址保存區(qū)域的發(fā)送源地址的接ロ ID字段中的過濾信息,并制作如圖7所示那樣基于過濾信息的過濾規(guī)則�。當(dāng)將IPv6報(bào)頭的前綴設(shè)為n位時(shí),過濾信息的大小為128-n位����。過濾信息例如包含從客戶終端I發(fā)送的IPv6包的有效載荷數(shù)據(jù)中所包含的IPv4報(bào)頭的協(xié)議號(hào)�、發(fā)送源端口號(hào)以及發(fā)送目的地端口號(hào),除此以外還包含地址登記部33所生成的ID����。在制作包含過濾信息的針對(duì)包的過濾規(guī)則的情況下,在n=64位時(shí)�����,例如�,如圖7所示,作為IPv6報(bào)頭的發(fā)送源地址���,為“ 2001: db8:1: : 1111:1106: ffff : 0050 ”����。其中�,從左起,“ 2001:db8:l:與前綴對(duì)應(yīng)��,“111111”與ID(24位=88-n位)對(duì)應(yīng),“06”與協(xié)議號(hào)(I字節(jié)=8位)對(duì)應(yīng)����,“ffff”與發(fā)送源端口號(hào)(2字節(jié)=16位)對(duì)應(yīng),“0050”與發(fā)送目的地端口號(hào)(2字節(jié)=16位)對(duì)應(yīng)����。除此以外,過濾信息能夠還包含客戶終端I的發(fā)送目的地地址��、域名等�。如圖8所 示,在使過濾信息包含發(fā)送目的地地址的情況下���,例如�,在哈希計(jì)算部32中使用哈希函數(shù)將發(fā)送目的地地址哈?���;癁?字節(jié)的哈希值。能夠求過濾信息中的除去ID后的5字節(jié)的信息與將發(fā)送目的地地址哈?�;玫降墓V档漠惢?�,進(jìn)ー步加上ID����,將所得到的信息設(shè)為過濾信息。如圖9所示����,在過濾信息中包含域名的情況下,例如�����,在哈希計(jì)算部32中使用哈希函數(shù)將域名哈?�;癁?字節(jié)的哈希值�。能夠求過濾信息中的除去ID后的5字節(jié)的信息與將域名哈希化后得到的哈希值的異或�,進(jìn)ー步加上ID,將所得到的信息設(shè)為過濾信
O存儲(chǔ)部21保存在地址登記部33中制作出的地址信息����、在過濾器制作部31中制作出的過濾規(guī)則,除此以外還保存從外部接收到的包等���。過濾器部22當(dāng)從IP輸入部23接收到包吋�,從存儲(chǔ)部21讀出過濾規(guī)則�����,基于將包的地址保存區(qū)域中保存的信息與過濾規(guī)則進(jìn)行比較所得到的結(jié)果,來判斷允許���、不允許接收到的包通過�。當(dāng)在過濾器部22中判斷為不允許接收到的包通過的情況下��,廢棄接收到的包�。當(dāng)在過濾器部22中判斷為允許接收到的包通過的情況下,將接收到的包發(fā)送到包轉(zhuǎn)換部24����。另外,在作為過濾規(guī)則而設(shè)定有包的“發(fā)送目的地地址”的情況下����,過濾器部22能夠基于將從客戶終端I發(fā)送的包所具有的發(fā)送目的地地址與過濾規(guī)則進(jìn)行比較所得到的結(jié)果,來判斷是否允許包通過����。另ー方面,在作為過濾規(guī)則而設(shè)定有包中包含的“域名”的情況下�����,過濾器部22能夠基于將從客戶終端I發(fā)送的包所具有的域名與過濾規(guī)則進(jìn)行比較所得到的結(jié)果���,來判斷是否允許包通過�����。在接收到的包包含過濾信息的情況下��,包轉(zhuǎn)換部24讀出包的過濾信息中包含的ID�����,參照從存儲(chǔ)部21讀出的地址信息�,將其轉(zhuǎn)換為與該ID成為ー組的發(fā)送源地址�。從包轉(zhuǎn)換部24發(fā)送的包順次經(jīng)由進(jìn)行傳輸處理的傳輸處理部25、進(jìn)行IP層的處理的IP輸出部26��、進(jìn)行數(shù)據(jù)鏈路層的處理的數(shù)據(jù)鏈路輸出部35以及相當(dāng)于物理層的IF輸出部37��,輸出到外部�。如圖3所示,客戶終端I具備ID獲取部11��、哈希計(jì)算部12�����、過濾信息制作部13、存儲(chǔ)部14��、包轉(zhuǎn)換部15��、傳輸處理部16�、IP輸出部17、IP輸入部18�����、數(shù)據(jù)鏈路輸出部101、數(shù)據(jù)鏈路輸入部102、IF輸出部103以及IF輸入部104��。當(dāng)客戶終端I接收到作為通信數(shù)據(jù)的包時(shí),包順次通過相當(dāng)于物理層的IF輸入部104���、進(jìn)行數(shù)據(jù)鏈路層的處理的數(shù)據(jù)鏈路輸入部102�����,輸入到進(jìn)行IP層的處理的IP輸入部18��。輸入到IP輸入部18的包被分別輸出到ID獲取部11�、存儲(chǔ)部14。響應(yīng)于過濾裝置2從客戶終端I接收到的登記請(qǐng)求����,ID獲取部11從IP輸入部18獲取已返送給客戶終端I的ID�。ID獲取部11當(dāng)從IP輸入部18獲取到ID時(shí),將其傳輸?shù)竭^濾信息生成部13�、存儲(chǔ)部14。在包轉(zhuǎn)換部15中將從客戶終端I發(fā)送的IPv6包的發(fā)送源地址的接ロ ID字段轉(zhuǎn)換為過濾信息��。過濾信息制作部13與過濾器制作部31同樣地�,制作如圖6所示那樣保存于IPv6報(bào)頭的發(fā)送源地址的接ロ ID字段中的過濾信息,并使存儲(chǔ)部14存儲(chǔ)該過濾信息����。過濾信·息例如包含客戶終端I要發(fā)送的IPv6包的有效載荷數(shù)據(jù)中所包含的IPv4報(bào)頭的協(xié)議號(hào)、發(fā)送源端口號(hào)���、發(fā)送目的地端口號(hào)等��,除此以外還包含ID獲取部11所獲取到的ID���。關(guān)于過濾信息制作部13所制作的過濾信息的其它說明與關(guān)于過濾裝置2的過濾器制作部31所制作的過濾信息的其它說明在實(shí)質(zhì)上相同,因此省略重復(fù)的說明����。包轉(zhuǎn)換部15從存儲(chǔ)部14讀出客戶終端I所發(fā)送的包和過濾信息�,將IPv6報(bào)頭的作為地址保存區(qū)域的發(fā)送源地址的接ロ ID字段轉(zhuǎn)換為過濾信息�,并傳輸?shù)絺鬏斕幚聿?6。從包轉(zhuǎn)換部15發(fā)送的包順次經(jīng)由進(jìn)行傳輸處理的傳輸處理部16����、進(jìn)行IP層的處理的IP輸出部17、進(jìn)行數(shù)據(jù)鏈路層的處理的數(shù)據(jù)鏈路輸出部101以及相當(dāng)于物理層的IF輸出部103����,輸出到外部。<通信控制方法>使用圖10所示的時(shí)序圖來說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)的動(dòng)作的一例�。⑷首先,在步驟Sll中��,客戶終端I向過濾裝置2發(fā)送作為登記請(qǐng)求的包�。過濾裝置2當(dāng)從客戶終端I接收到包時(shí),在步驟S12中針對(duì)客戶終端I的IPv6地址生成ID��,將客戶終端I的IPv6地址與ID的組登記為地址信息�。在步驟S13中,過濾裝置2將與客戶終端I的IPv6地址成為ー組的ID發(fā)送給客戶終端I���。(B)在步驟S14中����,客戶終端I將IPv6包的發(fā)送源地址的接ロ ID字段轉(zhuǎn)換為過濾信息,向服務(wù)器終端4發(fā)送���。(C)在步驟S15中����,過濾裝置2當(dāng)接收到從客戶終端I發(fā)送的包含過濾信息的包時(shí)����,讀出過濾信息中包含的ID,參照地址信息,將包中包含的過濾信息轉(zhuǎn)換為與過濾信息中包含的ID成為ー組的IPv6地址����,在步驟S16中,傳輸?shù)椒?wù)器終端4���。在第一實(shí)施方式所涉及的通信系統(tǒng)的動(dòng)作中���,步驟Slf步驟S13的動(dòng)作i為首次動(dòng)作,在首次進(jìn)彳丁完之后可以省略���?�!纯蛻艚K端的動(dòng)作〉使用圖11所示的流程圖來說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)所具備的客戶終端I的動(dòng)作的一例�。(A)客戶終端I預(yù)先通過基于路由器通告(RA)的自動(dòng)生成或者通過手動(dòng)設(shè)定來獲取發(fā)送源地址。
(B)在步驟S21中��,客戶終端I的ID獲取部11參照存儲(chǔ)部14���,判斷是否已從過濾裝置2獲取到了 ID�����。在已獲取到ID的情況下���,進(jìn)入步驟S24。在未獲取到ID的情況下����,進(jìn)入步驟S22。(C)在步驟S22中��,作為登記請(qǐng)求而將包發(fā)送給過濾裝置2��,將客戶終端I的IPv6地址登記到過濾裝置2的地址信息中���。在步驟S23中�,獲取從過濾裝置2發(fā)送的ID。(D)在步驟S24中�,以包含所獲取到的ID的方式將發(fā)送源地址轉(zhuǎn)換為過濾信息,開始向服務(wù)器終端4的通信�����。<過濾裝置的動(dòng)作>利用圖12所示的流程圖來說明本發(fā)明的第一實(shí)施方式所涉及的通信系統(tǒng)所具備的過濾裝置2的動(dòng)作的一例���。 (A)首先���,在步驟S31中�����,當(dāng)過濾裝置2接收到包吋�,地址登記部33參照存儲(chǔ)部21,判斷包的發(fā)送源地址是否已登記為地址信息����。在已登記為地址信息的情況下,進(jìn)入步驟S34�����,在未登記的情況下,進(jìn)入步驟S32�����。(B)在步驟S32中�,地址登記部33基于包的發(fā)送源地址生成ID,將發(fā)送源地址和ID新登記為地址信息���,在步驟S33中�����,將所生成的ID發(fā)送給客戶終端I�。(C)在步驟S31中判斷為客戶終端I的地址已登記為地址信息的情況下�,進(jìn)入步驟S34,制作過濾規(guī)則�。能夠按每個(gè)地址信息的ID生成過濾規(guī)則。(D)當(dāng)在步驟S35中檢測(cè)到來自客戶終端I的通信時(shí)�����,在步驟S36中�,過濾器部22將包中包含的過濾信息與過濾規(guī)則進(jìn)行比較,判斷是否允許包通過。在判斷為允許包通過的情況下�,進(jìn)入步驟S37,將過濾信息轉(zhuǎn)換為發(fā)送源地址����,進(jìn)行傳輸處理。在判斷為不允許包通過的情況下����,進(jìn)入步驟S38,廢棄包,結(jié)束。根據(jù)第一實(shí)施方式所涉及的通信系統(tǒng)����,通過使IPv6的地址保存區(qū)域包含IPv6包的有效載荷中所包含的信息,來基于IPv6報(bào)頭進(jìn)行過濾��,因此能夠以少量的處理來執(zhí)行過濾���,在加密通信的情況下,不需要解密處理���,因此能夠大幅降低處理負(fù)荷�����。另外����,在過濾裝置中,在對(duì)外部網(wǎng)絡(luò)發(fā)送包時(shí)將過濾信息轉(zhuǎn)換為發(fā)送源地址����,因此防止了內(nèi)部網(wǎng)絡(luò)信息的泄漏,能夠提高安全性��。(第二實(shí)施方式)如圖13所示����,本發(fā)明的第二實(shí)施方式所涉及的通信系統(tǒng)與第一實(shí)施方式的不同點(diǎn)在于,具備控制器裝置6����,該控制器裝置6與客戶終端I和過濾裝置3分別連接。如圖14所示��,控制器裝置6具備地址登記部63�����、過濾器制作部61��、哈希計(jì)算部62以及存儲(chǔ)部65,其實(shí)質(zhì)與圖2所示的第一實(shí)施方式所涉及的通信系統(tǒng)所具備的過濾裝置2的地址登記部33��、過濾器制作部31���、哈希計(jì)算部32以及存儲(chǔ)部21分別相同����,因此省略重復(fù)的說明�。過濾裝置3具備存儲(chǔ)部21、過濾器部22�����、IP輸入部23�、包轉(zhuǎn)換部24、傳輸處理部25����、IP輸出部26、數(shù)據(jù)鏈路輸出部35�、數(shù)據(jù)鏈路輸入部36��、IF輸出部37以及IF輸入部38���。過濾裝置3的各部實(shí)質(zhì)上與圖2所示的第一實(shí)施方式中說明的過濾裝置2的各部分別相同���,因此省略重復(fù)的說明��。在第二實(shí)施方式所涉及的通信系統(tǒng)中��,控制器裝置6的地址登記部63基于從客戶終端發(fā)送的包來生成ID�,登記地址信息并發(fā)送到存儲(chǔ)部21����。另外,由過濾器制作部61制作過濾規(guī)則��,并將其發(fā)送到過濾裝置的存儲(chǔ)部21����。過濾器部22讀出存儲(chǔ)部21中保存的過濾規(guī)則來進(jìn)行過濾,包轉(zhuǎn)換部24參照存儲(chǔ)部21中保存的地址信息����,將包中包含的過濾信息轉(zhuǎn)換為客戶終端I的發(fā)送源地址。在第二實(shí)施方式中未進(jìn)行說明的其它結(jié)構(gòu)實(shí)質(zhì)上與第一實(shí)施方式所涉及的通信系統(tǒng)相同����,因此省略重復(fù)的說明�。根據(jù)第二實(shí)施方式所涉及的通信系統(tǒng)�����,通過使IPv6的地址保存區(qū)域包含IPv6包的有效載荷中包含的信息��,來基于IPv6報(bào)頭進(jìn)行過濾�,因此能夠以少量的處理來執(zhí)行過濾,在加密通信的情況下��,不需要解密處理����,因此能夠大幅降低處理負(fù)荷。另外����,在過濾裝置中,在對(duì)外部網(wǎng)絡(luò)發(fā)送包時(shí)將過濾信息轉(zhuǎn)換為發(fā)送源地址����,因此防止了內(nèi)部網(wǎng)絡(luò)信息的泄漏,能夠提高安全性�����。 (其它實(shí)施方式)如上所述��,通過第一實(shí)施方式和第二實(shí)施方式記載了本發(fā)明���,但是不應(yīng)理解為構(gòu)成本公開的一部分的論述和附圖是用于限定本發(fā)明的����?��;诒竟_��,本領(lǐng)域技術(shù)人員明確可知各種替代實(shí)施方式��、實(shí)施例以及活用技木�。在已經(jīng)敘述過的第一實(shí)施方式中�����,服務(wù)器終端4也可以經(jīng)由與過濾裝置2相同的過濾裝置7與外部網(wǎng)絡(luò)9相連接����。如圖15所示,本發(fā)明的其它實(shí)施方式所涉及的通信系統(tǒng)與第一實(shí)施方式的不同點(diǎn)在于�����,服務(wù)器終端4連接于作為內(nèi)部網(wǎng)絡(luò)的局域網(wǎng)8,經(jīng)由過濾裝置7與外部網(wǎng)絡(luò)9相連接����。在本發(fā)明的其它實(shí)施方式所涉及的通信系統(tǒng)中,如圖16所示����,在步驟S41中,服務(wù)器終端4將包發(fā)送到過濾裝置7�����。接著�����,在步驟S42中�,過濾裝置7基于接收到的包的發(fā)送源地址生成ID,登記該發(fā)送源地址和ID的組作為地址信息�。在步驟S43中,過濾裝置7將ID發(fā)送給服務(wù)器終端4����,在步驟S44中�����,過濾裝置7將該ID和服務(wù)器終端4的發(fā)送源地址發(fā)送給過濾裝置2。過濾裝置2能夠以包含接收到的ID和發(fā)送源地址的方式制作過濾信息�、過濾規(guī)則。在步驟S45中��,服務(wù)器終端4將包的發(fā)送源地址轉(zhuǎn)換為包含ID的過濾信息���,向客戶終端I發(fā)送���。在步驟S46中,過濾裝置2按照制作出的過濾規(guī)則來判斷是否允許包通過�����。在允許通過的情況下���,將包中包含的過濾信息轉(zhuǎn)換為原始的服務(wù)器終端4的發(fā)送源地址�,在步驟S47中��,發(fā)送給客戶終端I。步驟SlfS16的動(dòng)作實(shí)質(zhì)上與第一實(shí)施方式相同�����,因此省略重復(fù)的說明��。當(dāng)然�����,除了上述記載以外�,本發(fā)明當(dāng)然還包括應(yīng)用了第一實(shí)施方式和第二實(shí)施方式的結(jié)構(gòu)等在此沒有記載的各種實(shí)施方式等。因而�����,基于上述的說明����,本發(fā)明的技術(shù)范圍僅由適當(dāng)?shù)臋?quán)利要求所涉及的發(fā)明特定事項(xiàng)來決定。產(chǎn)業(yè)上的可利用件根據(jù)本發(fā)明�����,能夠提供一種由于讀出包的地址保存區(qū)域中保存的信息來進(jìn)行過濾�����、因此即使要過濾信息被加密也能夠以低處理負(fù)荷執(zhí)行過濾的通信系統(tǒng)、控制裝置以及控制程序��。附圖標(biāo)記說明1:客戶終端;2���、3�����、7 :過濾裝置;4 :服務(wù)器終端;5�����、8 :局域網(wǎng)��;6 :控制器裝置����;9 外部網(wǎng)絡(luò);11 :1D獲取部��;12�����、32、62 :哈希計(jì)算部�����;13 :過濾信息制作部����;14、21��、65 :存儲(chǔ)部�;15,24 :包轉(zhuǎn)換部;16、25 :傳輸處理部;17��、26 IP輸出部;18�����、23 IP輸入部��;22 :過濾器部���;31�����、61 :過濾器制作部;33��、63 :地址登記部;35����、101 :數(shù)據(jù)鏈路輸出部;36、102 :數(shù)據(jù)鏈路輸入部;37����、103 :1F輸出部;38、104 :1F輸入部��。 ·
權(quán)利要求
1.一種通信系統(tǒng)����,在該通信系統(tǒng)中���,連接于內(nèi)部網(wǎng)絡(luò)的終端經(jīng)由控制通信的控制裝置與外部網(wǎng)絡(luò)進(jìn)行通信���,該通信系統(tǒng)的特征在于, 上述控制裝置具備 地址登記部�����,其登記上述終端的地址和ID的組; 存儲(chǔ)部��,其存儲(chǔ)過濾規(guī)則����,該過濾規(guī)則決定了是否允許上述終端進(jìn)行通信的條件;以及 過濾器部�,其在從上述終端發(fā)送的包的地址保存區(qū)域中包含已登記的上述ID的情況下,基于將該地址保存區(qū)域中保存的信息與上述過濾規(guī)則進(jìn)行比較所得到的結(jié)果���,來判斷是否允許上述包的通信����,控制上述包的通信��。
2.根據(jù)權(quán)利要求1所述的通信系統(tǒng)��,其特征在于�, 在上述過濾器部判斷為允許具有包含已登記的上述ID的地址保存區(qū)域的包的通信的情況下,上述控制裝置將該地址保存區(qū)域中保存的信息轉(zhuǎn)換為與上述地址保存區(qū)域中包含的該ID成為一組的地址��。
3.根據(jù)權(quán)利要求2所述的通信系統(tǒng)����,其特征在于�����, 上述過濾規(guī)則具有上述包所具有的發(fā)送目的地地址作為是否允許上述終端進(jìn)行通信的條件���, 上述過濾器部基于將從上述終端發(fā)送的信息所具有的發(fā)送目的地地址與上述過濾規(guī)則所具有的發(fā)送目的地地址進(jìn)行比較所得到的結(jié)果,來判斷是否允許上述包的通信����,控制上述包的通信。
4.根據(jù)權(quán)利要求3所述的通信系統(tǒng)�����,其特征在于�����, 還具備外部終端�,該外部終端與上述外部網(wǎng)絡(luò)相連接��, 其中��,上述過濾規(guī)則具有從上述外部終端發(fā)送的包所具有的發(fā)送源地址作為是否允許上述終端進(jìn)行通信的條件, 上述過濾器部基于將從上述外部終端發(fā)送的包所具有的發(fā)送源地址與上述過濾規(guī)則所具有的發(fā)送源地址進(jìn)行比較所得到的結(jié)果����,來判斷是否允許從上述外部終端發(fā)送的包的通信,控制從上述外部終端發(fā)送的包的通信����。
5.根據(jù)權(quán)利要求4所述的通信系統(tǒng),其特征在于�, 上述過濾規(guī)則具有從上述外部終端發(fā)送的包所具有的域名作為是否允許上述終端進(jìn)行通信的條件, 上述過濾器部基于將從上述外部終端發(fā)送的包所具有的域名與上述過濾規(guī)則所具有的域名進(jìn)行比較所得到的結(jié)果����,來判斷是否允許從上述外部終端發(fā)送的包的通信,控制從上述外部終端發(fā)送的包的通信����。
6.一種控制裝置,在連接于內(nèi)部網(wǎng)絡(luò)的終端與外部網(wǎng)絡(luò)進(jìn)行通信的通信系統(tǒng)中控制通信��,該控制裝置的特征在于��,具備 地址登記部�����,其登記上述終端的地址和ID的組; 存儲(chǔ)部���,其存儲(chǔ)過濾規(guī)則��,該過濾規(guī)則決定了是否允許上述終端進(jìn)行通信的條件�;以及 過濾器部����,其在從上述終端發(fā)送的包的地址保存區(qū)域中包含已登記的上述ID的情況下,基于將該地址保存區(qū)域中保存的信息與上述過濾規(guī)則進(jìn)行比較所得到的結(jié)果��,來判斷是否允許上述包的通信�����,控制上述包的通信����。
7.—種控制裝置的控制程序,在連接于內(nèi)部網(wǎng)絡(luò)的終端與外部網(wǎng)絡(luò)進(jìn)行通信的通信系統(tǒng)中控制通信��,該控制程序的特征在于�����,使控制裝置執(zhí)行包括以下步驟的處理 登記上述終端的地址和ID的組����; 存儲(chǔ)過濾 規(guī)則,該過濾規(guī)則決定了是否允許上述終端進(jìn)行通信的條件�����;以及在從上述終端發(fā)送的包的地址保存區(qū)域中包含已登記的上述ID的情況下����,基于將該地址保存區(qū)域中保存的信息與上述過濾規(guī)則進(jìn)行比較所得到的結(jié)果,來判斷是否允許上述包的通信��,控制上述包的通信��。
全文摘要
在連接于內(nèi)部網(wǎng)絡(luò)(5)的終端(1)經(jīng)由控制通信的控制裝置(2)與外部網(wǎng)絡(luò)(9)進(jìn)行通信的通信系統(tǒng)中�,控制裝置(2)具備地址登記部(33),其登記終端(1)的地址和ID的組�;存儲(chǔ)部(21),其存儲(chǔ)過濾規(guī)則�����,該過濾規(guī)則決定了是否允許終端(1)進(jìn)行通信的條件;以及過濾器部(22)�,其在從終端(1)發(fā)送的包的地址保存區(qū)域中包含已登記的ID的情況下,基于將該地址保存區(qū)域中保存的信息與過濾規(guī)則進(jìn)行比較所得到的結(jié)果��,來判斷是否允許包的通信��,控制包的通信�。
文檔編號(hào)H04L12/46GK103026665SQ20118003684
公開日2013年4月3日 申請(qǐng)日期2011年7月27日 優(yōu)先權(quán)日2010年7月27日
發(fā)明者橋口輝 申請(qǐng)人:松下電器產(chǎn)業(yè)株式會(huì)社