アドレス集約システム、及びメッセージ送信元認証方法
【課題】アドレス集約機能が備えられた通信ネットワークにおいて、メッセージに含まれる送信元アドレスを用いたメッセージ送信元認証を行う。
【解決手段】アドレス集約システムにおいて、ライン番号とクライアント識別子とを対応付けて格納した格納手段と、ライン番号を付加したクライアントからのアドレス割り当て要求をアドレス割り当て装置に転送する手段と、前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記格納手段に格納する手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う手段とを備える。
【解決手段】アドレス集約システムにおいて、ライン番号とクライアント識別子とを対応付けて格納した格納手段と、ライン番号を付加したクライアントからのアドレス割り当て要求をアドレス割り当て装置に転送する手段と、前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記格納手段に格納する手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クライアントが送信したメッセージの正当性を確認するための認証を行う技術に関するものであり、特に、ロードバランサ等のアドレス集約装置が備えられた通信ネットワークにおいて、メッセージ送信元の認証を行う技術に関するものである。
【背景技術】
【0002】
クライアントとサーバからなるクライアントサーバシステムにおいて、サーバの負荷低減のために、複数のサーバを備え、ロードバランサによりクライアントからの要求を各サーバに振り分ける技術がある。一般に、このようなロードバランサは、どのクライアントがどのサーバに割り当てられているかを示すテーブル情報であるコネクションテーブルを保持している。
【0003】
また、多数のTCPコネクションが設定されるサーバの負荷低減のために、TCPコネクション集約を行うロードバランサもある(例えば、非特許文献1に開示された装置)。TCPコネクション集約機能を持つロードバランサでは、クライアントからのTCPコネクションをロードバランサが受け付け、サーバとロードバランサ間では少数のTCPコネクションが設定され、ロードバランサがクライアントから受け付けたメッセージを、このTCPコネクションを用いてサーバへ転送する。クライアントからのコネクションと、集約されたコネクションとの対応情報は前述のコネクションテーブルに保持される。
【0004】
さて、クライアントからメッセージを受信し、種々のサービスを提供するサーバにおいては、一般に、メッセージ送信元の認証が行われる。
【0005】
メッセージ送信元の認証では、例えば、サーバ側で、クライアントのアドレスと、名前等のクライアント識別子とを予め取得、保持しておき、クライアントから受信するメッセージに含まれる送信元アドレス及びクライアント識別子が、予め保持しておいたものと一致するか否かを判定する処理が行われる。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】ITmedia 井上猛雄, もう1つのWAN高速化、「AFE」って何だ? (2/3), http://www.itmedia.co.jp/enterprise/articles/0706/25/news007_2.html (2010年1月12日検索)
【発明の概要】
【発明が解決しようとする課題】
【0007】
前述したロードバランサでは、クライアントから送信されるメッセージの送信元アドレス及びポートが、複数のクライアントに共通のアドレス及びポートに変換(集約)される。以降、このような機能をアドレス集約機能と呼び、アドレス集約機能を備えたロードバランサのような装置を、アドレス集約装置と呼ぶことにする。
【0008】
ロードバランサからアドレス集約後のメッセージを受信するサーバは、メッセージに含まれる送信元アドレスを用いて送信元認証を行うことができない。そのため、サーバは偽のクライアント識別子を用いて他のクライアントに偽装したクライアントからのメッセージを受理してしまうことを防止できないという問題がある。
【0009】
本発明は上記の点に鑑みてなされたものであり、アドレス集約機能が備えられた通信ネットワークにおいて、メッセージに含まれる送信元アドレスを用いたメッセージ送信元認証を行うことを可能とするための技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明は、通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、クライアント毎に、クライアントアドレスとクライアント識別子とを対応付けて格納した認証情報格納手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段とを備えることを特徴とするアドレス集約システムとして構成される。
【0011】
また、本発明は、通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段と、クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段とを備えることを特徴とするアドレス集約システムとして構成してもよい。
【0012】
また、本発明は、通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、認証情報格納手段に格納するアドレス情報設定手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段とを備えることを特徴とするアドレス集約システムとして構成することもできる。
【0013】
前記アドレス集約システムは、メッセージ通過制御手段を更に備えてもよく、当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う。
【0014】
また、前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、前記送信元認証手段は、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行うようにしてもよい。
【発明の効果】
【0015】
本発明によれば、アドレス集約システムは、受信するメッセージに含まれる送信元アドレスを用いたメッセージ送信元認証を行うことが可能となり、サーバが偽のクライアント識別子を用いて他のクライアントに偽装したクライアントからのメッセージを受理してしまうことを防止できるようになる。
【図面の簡単な説明】
【0016】
【図1】第1の実施の形態におけるシステム構成図である。
【図2】アドレス集約装置2の機能構成図である。
【図3】認証情報格納部11に格納される情報の例を示す図である。
【図4】本発明の実施の形態に係る基本的な処理の流れを示すシーケンスチャートである。
【図5】実施形態1−1におけるシーケンスチャートである。
【図6】実施形態1−2におけるシーケンスチャートである。
【図7】第2の実施の形態におけるシステム構成図である。
【図8】エッジ装置101の機能構成図である。
【図9】アドレス集約装置102の機能構成図である。
【図10】認証情報格納部131に格納される情報の例を示す図である。
【図11】実施形態2−1におけるシーケンスチャートである。
【図12】実施形態2−2におけるシーケンスチャートである。
【発明を実施するための形態】
【0017】
以下、図面を参照して本発明の実施の形態を説明する。
【0018】
(第1の実施の形態)
まず、本発明の第1の実施の形態を説明する。第1の実施の形態は、ライン番号とクライアント識別子を、予め保持しておく場所に応じて2つの例に分けられ、これらを実施形態1−1、実施形態1−2として説明する。
【0019】
<実施形態1−1>
図1に、実施形態1−1における通信システムの構成図を示す。図1に示すように、実施形態1−1における通信システムは、アドレス集約装置1、アドレス割り当て装置2、サーバ3、及び各クライアント4を有する。また、図1には、複数のクライアント4を配下に持つゲートウェイ5も示されている。
【0020】
アドレス集約装置1は、例えば前述したロードバランサのようなアドレス集約機能を有する装置である。アドレス割り当て装置2は、例えばNASS(network attachment subsystem)、DHCP(dynamic host configuration protocol)のようなアドレス割り当て機能を備えた装置であり、払い出したアドレス等の情報を格納するアドレス払い出し情報格納部21を有する。
【0021】
サーバ3は、例えばSIPのセッション制御を行うSIPサーバ(例えばP-CSCFなど)や、その他のアプリケーションサーバである。クライアント4は、通信ネットワークを介して通信可能なPC、電話端末、携帯端末等(例えばUE、SIP UAなど)である。ゲートウェイ5は、例えば、複数のクライアント4を収容して、外部と通信を行う装置である。
【0022】
図1における各装置は、通信ネットワーク(本実施形態ではIPネットワーク)に接続されており、図中、各装置を結ぶ線は、当該装置間で、通信ネットワークを介して通信を行うことを示している。第2の実施の形態でも同様である。
【0023】
図2に、アドレス集約装置1の機能構成図を示す。図2に示すように、アドレス集約装置1は、認証情報格納部11、アドレス要求転送部12、アドレス情報設定部13、送信元認証部14、アドレス集約機能部15を備えている。
【0024】
認証情報格納部11は、本発明に係る送信元認証を行うための認証情報を格納する格納部である。図3に、認証情報格納部11に格納されるテーブル情報の例を示す。図3に示すように、認証情報格納部11には、ライン番号、クライアント識別子、クライアントアドレスが対応付けて格納される。ここで、ライン番号とは、クライアントが接続される物理的あるいは論理的なラインの番号(VLAN_ID、MACアドレス、物理的な直収ポート等、物理的な接続先に一意に紐付いている識別情報)である。クライアント識別子は、SIP URI等のクライアントを識別する識別子である。クライアントアドレスは、クライアントに割り当てられるIPアドレスである。
【0025】
実施形態1−1では、ライン番号とクライアント識別子が、システム管理者等により、予め認証情報格納部11に格納されている。
【0026】
図2に戻り、アドレス要求転送部12は、クライアント4から送信されるアドレス割り当て要求をアドレス割り当て装置2に転送したり、アドレス割り当て装置2からのアドレス割り当て応答をクライアント4に転送したりする機能部である。アドレス情報設定部13は、認証情報格納部11にアドレス情報等を格納するための機能部である。送信元認証部14は、認証情報格納部11を参照することにより、メッセージの送信元クライアントの認証を行う機能部である。これらの機能部の動作詳細については、後の動作説明において説明する。
【0027】
アドレス集約機能部15は、アドレス集約を行うロードバランサ機能等のアドレス集約装置本体の機能を有する機能部である。
【0028】
アドレス集約装置1は、CPU、及びメモリ等を有する一般的なコンピュータ(もしくはルータ等の通信装置)に、各機能部の機能を奏するプログラムを搭載することにより実現できる。また、アドレス集約装置1は、1つの装置で実現する必要はなく、複数の装置をネットワーク接続して構成してもよい。例えば、アドレス要求転送部12を別装置としてもよい。更に、サーバ3とアドレス割り当て装置2を1つの装置で構成してもよい。なお、アドレス集約装置は、1つの装置で構成される場合も、複数の装置で構成される場合も、アドレス集約システムと呼ぶことができる。
【0029】
次に、システムの動作について説明する。ここでは、実施形態1−1におけるシステムの動作を説明する前に、まず、第1、第2の実施の形態を包含する本発明に係る基本的な処理動作について、図4のシーケンスチャートを参照して説明する。図4に示すシーケンスの前提として、アドレス集約装置2における認証情報格納部11には、クライアント毎に、クライアントアドレスとクライアント識別子とが対応付けて格納されているものとする。クライアントアドレスとクライアント識別子とが対応付けて認証情報格納部11に格納されるまでの処理方法の例については、実施形態1−1〜実施形態2−2において説明されるが、これらの実施形態で説明する処理方法に限定されるわけではない。
【0030】
図4に示すように、まず、アドレス集約装置2は、クライアント4から、送信元アドレスとクライアント識別子とを含むメッセージを受信する(ステップ1000)。
【0031】
続いて、アドレス集約装置2は、認証情報格納部11から、上記メッセージに含まれているクライアント識別子を用いて認証情報格納部11を検索し、当該クライアント識別子に対応するクライアントアドレスを認証情報格納部11から取得する(ステップ1100)。
【0032】
そして、アドレス集約装置2は、認証情報格納部11から取得したクライアントアドレスと、メッセージに含まれている送信元アドレスとを照合することにより、メッセージ送信元の認証を行う(ステップ1200)。ここで、照合の結果、両者が一致する場合(認証に成功した場合)に、メッセージはサーバ3に送信される(ステップ1300)。
【0033】
次に、図5を参照して、実施形態1−1におけるシステムの動作について説明する。本例では、特定のクライアント4が、アドレス集約装置1に対して直接メッセージを送信する場合を示している。クライアントがゲートウェイ5を介して通信する場合は、アドレス集約装置1は、ゲートウェイ5に対して認証を行うことになる。
【0034】
図5において、まず、クライアント4は、クライアントアドレスを取得するために、アドレス割り当て装置2に対してアドレス割り当て要求を送信する(ステップ1)。アドレス割り当て要求は、アドレス集約装置1を経由する。
【0035】
アドレス割り当て要求を受信したアドレス集約装置1におけるアドレス要求転送部12は、当該アドレス割り当て要求に対応するライン番号を取得し、アドレス割り当て要求にライン番号を付加する(ステップ2)。そして、アドレス要求転送部12は、ライン番号が付加されたアドレス割り当て要求をアドレス割り当て装置2に送信する(ステップ3)。
アドレス割り当て要求を受信したアドレス割り当て装置2は、アドレス割り当て要求に付加されているライン番号を取得するとともに、クライアントに割り振るためのクライアントアドレスを未使用のものから一つ選ぶ(ステップ4)。
そして、アドレス割り当て装置2は、選んだクライアントアドレスと、取得したライン番号とを対応付けてアドレス払い出し情報格納部21に格納する(ステップ5)。
その後、アドレス割り当て装置2は、クライアント4に対し、このクライアントアドレスとライン番号とを含むアドレス割り当て応答を送信する(ステップ6)。
アドレス割り当て応答は、アドレス集約装置1により受信される。アドレス割り当て応答を受信したアドレス集約装置1のアドレス情報設定部13は、アドレス割り当て応答に含まれるライン番号に基づき認証情報格納部11を検索し、当該ライン番号に対応付けて、クライアントアドレスを認証情報格納部11に格納する(ステップ7)。これにより、認証情報格納部11には、クライアントアドレスと、予め格納されていたクライアント識別子とが対応付けられることになる。そして、アドレス集約装置1は、アドレス割り当て応答をクライアント4に転送する(ステップ8)。
【0036】
その後、クライアント4は、サーバ3に対してサービスを要求するメッセージ(すなわち、メッセージを含むIPパケット)を送信する(ステップ9)。このメッセージは、例えば、SIPの接続要求メッセージである。このメッセージには、アドレス割り当て応答により通知されたクライアントアドレスが、送信元アドレスとして、ヘッダ部分(IPパケットのヘッダの意味も含む)に含まれている。また、メッセージのヘッダ部分には、クライアント識別子が含まれている。
【0037】
上記メッセージは、まず、アドレス集約装置1により受信される。メッセージを受信したアドレス集約装置1の送信元認証部14は、クライアント4の認証を行う。ここでは、メッセージから送信元アドレスとクライアント識別子を取得し、このクライアント識別子をキーに認証情報格納部11を検索して、当該クライアント識別子に対応付けて格納されているクライアントアドレスを取得する(ステップ10)。
そして、送信元認証部14は、メッセージから取得した送信元アドレスと、認証情報格納部11から取得したクライアントアドレスとを照合し、同一のものであれば、当該メッセージが正しい送信元から送信されたと判断し、認証成功と認識し、同一のものでなければ当該メッセージのクライアント識別子が偽装されていると判断する(ステップ11)。
認証に成功した場合、メッセージはサーバ3に送信される(ステップ12)。なお、ローカルルーチングテーブルやENUM等の情報に基づいて、もしくはサーバの負荷状況に応じて適切なサーバを選択し、選択したサーバにメッセージを送信してもよい。認証に失敗した場合には、例えば、アドレス集約装置1からクライアント4に対してエラーメッセージが送信される。
【0038】
<実施形態1−2>
次に、実施形態1−2について説明する。実施形態1−1では、ライン番号とクライアント識別子とを、予めアドレス集約装置1の認証情報格納部11に格納しておいたが、実施形態1−2では、ライン番号とクライアント識別子とを、予めアドレス割り当て装置2のアドレス払い出し情報格納部21に格納しておく。
実施形態1−2におけるシステム構成は、図1、図2に示した実施形態1−1におけるシステム構成と同様である。ただし、各格納部に格納される情報の内容等は実施形態1−1と異なる。図6に、実施形態1−2におけるシーケンスチャートを示す。図6を参照して、実施形態1−2のシステムの動作を、実施形態1−1と異なる点を中心に説明する。
【0039】
図6のステップ1〜4は、実施形態1−1のステップ1〜4と同じである。
【0040】
ステップ25において、アドレス割り当て装置1は、アドレス割り当て要求に付加されていたライン番号に基づきアドレス払い出し情報格納部21を検索し、予め格納されているライン番号に対応付けて、ステップ4で選んだクライアントアドレスをアドレス払い出し情報格納部21に格納する。これにより、アドレス払い出し情報格納部21において、クライアントアドレスとクライアント識別子とが対応付けられたことになる。
その後、アドレス割り当て装置2は、アドレス払い出し情報格納部21から、ステップ4で選んだクライアントアドレスと、当該クライアントアドレスに対応付けて格納されているクライアント識別子とを取得し、これらを含むアドレス割り当て応答を送信する(ステップ26)。
アドレス割り当て応答は、アドレス集約装置1により受信される。アドレス割り当て応答を受信したアドレス集約装置1におけるアドレス情報設定部13は、アドレス割り当て応答に含まれるクライアントアドレスとクライアント識別子とを認証情報格納部11に格納する(ステップ27)。そして、アドレス集約装置1は、クライアントアドレスを含むアドレス割り当て応答をクライアント4に転送する(ステップ8)。これ以降の処理は、実施形態1−1と同じである。
【0041】
なお、上記の処理では、アドレス集約装置1においてライン番号を格納していないが、これを格納してもよい。その場合、ステップ2で、ライン番号を認証情報格納部11に格納しておき、ステップ26にて、ライン番号、クライアント識別子、及びクライアントアドレスがアドレス割り当て装置2からアドレス集約装置1に送信され、アドレス集約装置1のアドレス情報設定部13は、ステップ2で格納したライン番号と、アドレス割り当て装置2から受信したライン番号とが一致することを確認して、当該ライン番号に対応付けて、クライアント識別子とクライアントアドレスとを認証情報格納部11に格納する。
【0042】
(第2の実施の形態)
次に、本発明の第2の実施の形態について説明する。第2の実施の形態でも、ライン番号とクライアント識別子とを予め保持しておく場所に応じて2つの例に分けられ、これらを実施形態2−1、実施形態2−2として説明する。
【0043】
<実施形態2−1>
図7に、実施形態2−1における通信システムの構成図を示す。図7に示すように、実施形態2−1における通信システムは、エッジ装置101、アドレス集約装置102、アドレス割り当て装置103、サーバ104、受付制御装置105 及び各クライアント106を有する。また、図7には、複数のクライアントを配下に持つゲートウェイ107も示されている。
【0044】
実施形態2−1におけるアドレス割り当て装置103、サーバ104、クライアント106、ゲートウェイ107は、第1の実施の形態における各装置と同様の機能を有する。ただし、アドレス割り当て装置103は、後述するピンホール制御要求送信等、受付制御装置105との間で制御通信を行う機能を有している。
【0045】
本実施の形態における受付制御装置105は、エッジ装置101に対して通過制御(アクセス制御)のための設定制御を行う機能を持った装置である。また、受付制御装置105は、例えばRACS(resource and admission control subsystem)やRACF(resource and admission control function)等の帯域管理制御機能を備えてもよい。
【0046】
エッジ装置101は、例えばエッジルータ等の通信装置であり、アクセス網とコア網とを接続し、通過制御、帯域制御、優先制御等を行う装置である。
【0047】
図8に、エッジ装置101の機能構成図を示す。図8に示すように、エッジ装置101は、アドレス要求転送部121、通過制御設定部122、通過制御部123、及び、通過制御設定情報格納部124を備える。
【0048】
アドレス要求転送部121は、第1の実施の形態におけるアドレス要求転送部12と同様の機能を有する機能部であり、クライアント106から送信されるアドレス割り当て要求をアドレス割り当て装置103に転送したり、アドレス割り当て装置103からのアドレス割り当て応答をクライアント106に転送したりする。
【0049】
通過制御設定部122は、受付制御装置105から制御情報を受けて、特定のアドレスを持ったIPパケットのみ通過させたり、送信元アドレスやポート番号を変換するための設定をしたりといった通過制御のための設定を行い、設定情報を通過制御設定情報格納部124に格納する。通過制御部123は、通過制御設定情報格納部124に格納された情報を参照することにより、パケットの通過制御(NAPT等のアドレス/ポート変換含む)を実行する機能部である。
【0050】
アドレス集約装置102は、前述したロードバランサのようなアドレス集約機能を有する装置である。
【0051】
図9に、アドレス集約装置102の機能構成図を示す。図9に示すように、アドレス集約装置102は、認証情報格納部131、アドレス情報設定部132、送信元認証部133、アドレス要求転送部134、アドレス集約機能部135を備える。これらの機能部は、第1の実施の形態における対応する機能部と基本的に同様の機能を有するものである。ただし、アドレス要求転送部134は、ライン番号付加を行わず、ライン番号が付加されたアドレス割り当て要求の転送を行う。詳細については後の動作説明のところで説明する。
【0052】
図10に、本実施形態における認証情報格納部131が格納するテーブル情報の例を示す。図10に示すように、認証情報格納部131には、ライン番号、クライアント識別子、クライアントアドレス1、クライアントアドレス2が対応付けて格納される。クライアントアドレス1は、アドレス割り当て装置103によりクライアント4に割り当てられるアドレスであり、クライアントアドレス2は、受付制御機能により、クライアントアドレス1から変換されることになるアドレスである。
【0053】
実施形態2−1では、ライン番号とクライアント識別子が、システム管理者等により、予め認証情報格納部131に格納されている。
【0054】
本実施の形態においても、アドレス集約装置102は、CPU、及びメモリ等を有する一般的なコンピュータ(もしくはルータ等の通信装置)に、各機能部の機能を奏するプログラムを搭載することにより実現できる。また、アドレス集約装置102は、1つの装置で実現する必要はなく、複数の装置をネットワーク接続して構成してもよい。また、アドレス割り当て装置103と受付制御装置105を1つの装置で構成したり、アドレス割り当て装置103と受付制御装置105とサーバ104を1つの装置で構成することも可能である。
【0055】
次に、図11を参照して、実施形態2−1におけるシステムの動作について説明する。本例でも、特定のクライアント106が、アドレス集約装置102に対して直接メッセージを送信する場合を示している。クライアント106がゲートウェイ107を介して通信する場合は、アドレス集約装置102は、ゲートウェイ107に対して認証を行うことになる。
【0056】
図11において、まず、クライアント106は、クライアントアドレスを取得するために、アドレス割り当て装置103に対してアドレス割り当て要求を送信する(ステップ101)。
【0057】
クライアント106から送信されたアドレス割り当て要求は、エッジ装置101により受信される。アドレス割り当て要求を受信したエッジ装置101のアドレス要求転送部121は、当該アドレス割り当て要求に対応するライン番号を取得し、アドレス割り当て要求にライン番号を付加する(ステップ102)。そして、エッジ装置101のアドレス要求転送部121は、ライン番号が付加されたアドレス割り当て要求をアドレス割り当て装置103に向けて送信する(ステップ103)。アドレス割り当て要求は、アドレス集約装置102が受信し、アドレス集約装置102のアドレス要求転送部134により中継され、アドレス割り当て装置103に送信される(ステップ104)。
アドレス割り当て要求を受信したアドレス割り当て装置103は、アドレス割り当て要求に付加されているライン番号を取得するとともに、クライアント106に割り振るためのクライアントアドレスを未使用のものから一つ選ぶ(ステップ105)。
そして、アドレス割り当て装置103は、選んだクライアントアドレスと、取得したライン番号とを対応付けてアドレス払い出し情報格納部111に格納する(ステップ106)。
その後、アドレス割り当て装置103は、クライアント106に対し、選択したクライアントアドレスとライン番号とを含むアドレス割り当て応答を送信する(ステップ107)。
アドレス割り当て応答は、まず、アドレス集約装置102により受信される。アドレス割り当て応答を受信したアドレス集約装置102におけるアドレス情報設定部132は、アドレス割り当て応答に含まれるライン番号に基づき認証情報格納部131を検索し、当該ライン番号に対応付けて、クライアントアドレスを認証情報格納部131に格納する(ステップ108)。これにより、認証情報格納部131には、クライアントアドレスと、クライアント識別子とが対応付けられることになる。そして、アドレス集約装置103は、アドレス割り当て応答をクライアント106に転送する(ステップ109)。アドレス割り当て応答は、エッジ装置101を経由して、クライアント106に送信される。
【0058】
一方、ステップ104においてアドレス割り当て要求を受信し、クライアントアドレスを抽出したアドレス割り当て装置103は、受付制御装置105に対し、クライアントアドレスを記載したピンホール制御要求を送信する(ステップ110)。なお、本実施の形態において、ピンホール制御は、特定のアドレス及びポート番号を送信元とするIPパケットを通過させるようエッジ装置101を設定制御することである。また、本実施形態のピンホール制御では、NAPTもしくはNATとしてアドレス/ポート番号変換制御も行う。もちろん、このような制御は一例に過ぎず、ピンホール制御として他の様々な制御を行うことが可能である。例えば、アドレス/ポートだけではなく、Mediaの種類や帯域幅も通過制御の条件に含めてもよい。また、送信元のアドレス/ポートだけではなく、送信先のアドレス/ポートも通過制御の条件に含めてもよい。
【0059】
受付制御装置105は、帯域に余裕がある場合、またはサービスポリシーに基づき、ピンホール制御要求を受け付け(CAC(Call Admission Control)など)、アドレス割り当て装置103にて割り当てられたクライアントアドレス(以降、これをクライアントアドレス1とする)と、クライアントポート番号(クライアントポート番号1とする)とを記載したピンホール制御要求をエッジ装置101に向けて送信する(ステップ111)。このクライアントポート番号1は、例えば、クライアント106の通信用に予め定めておいたポート番号である。
【0060】
ピンホール制御要求を受信したエッジ装置101の通過制御設定部122は、クライアントアドレス1とクライアントポート番号1を送信元とするメッセージ(IPパケット)を通過させる設定を行うとともに、クライアント106から受信したメッセージ(IPパケット)を外側(コア網側)に送出する際に、メッセージ(IPパケット)の送信元アドレス及びポート番号を、クライアントアドレス1とクライアントポート番号1から、クライアントアドレス2とクライアントポート番号2に変換するための設定を行う(ステップ112)。更に、エッジ装置101において、コア網から受信するクライアントアドレス2とクライアントポート番号2を送信元とするメッセージについては、クライアントアドレス2とクライアントポート番号2をクライアントアドレス1とクライアントポート番号1に変換してクライアント106に送信するための設定も行ってよい。
【0061】
エッジ装置101は、クライアントアドレス1と、変換後のアドレスになるクライアントアドレス2とを含むピンホール制御応答を受付制御装置105に返す(ステップ113)。
【0062】
受付制御装置105は、また、クライアントアドレス1とクライアントアドレス2とを含むピンホール制御応答をアドレス割り当て装置103に送信する(ステップ114)。
【0063】
クライアントアドレス1とクライアントアドレス2とを含む情報を受信したアドレス割り当て装置103は、既に格納されているクライアントアドレス1に対応付けて、クライアントアドレス2をアドレス払い出し情報格納部111に格納する(ステップ115)。これにより、アドレス払い出し情報格納部111において、ライン番号と、クライアントアドレス1と、クライアントアドレス2とが対応付けられることになる。
【0064】
次に、アドレス割り当て装置103は、アドレス集約装置102に対してライン番号とクライアントアドレス2とを含む情報(もしくは、クライアントアドレス1とクライアントアドレス2とを含む情報でもよい)を通知する(ステップ116)。アアドレス集約装置102のアドレス情報設定部132は、受信したライン番号(もしくはクライアントアドレス1)に基づき認証情報格納部131を検索し、当該ライン番号(もしくはクライアントアドレス1)に対応付けて、クライアントアドレス2を認証情報格納部131に格納する(ステップ117)。これにより、アドレス集約装置102の認証情報格納部131において、ライン番号と、クライアント識別子と、クライアントアドレス1と、クライアントアドレス2とが対応付けられることになる。
【0065】
なお、ステップ116のように、アドレス割り当て装置103が、クライアントアドレス2を含む情報をアドレス集約装置102に通知することに代えて、ステップ113にてクライアントアドレス1とクライアントアドレス2を含むピンホール制御応答を受信した受付制御装置105が、クライアントアドレス1とクライアントアドレス2とを含む情報をアドレス集約装置102に送信することとしてもよい。この場合も、当該情報を受信したアドレス集約装置102において、クライアントアドレス2は、ライン番号、クライアント識別子、及びクライアントアドレス1と対応付けて認証情報格納部131に格納される。
【0066】
その後、クライアント106は、サーバ104に向けてサービスを要求するメッセージを送信する(ステップ118)。このメッセージは、例えばSIPのINVITEメッセージである。このメッセージを含むIPパケットのヘッダには、送信元アドレス(IPパケットのヘッダの送信元アドレスを送信元アドレスAとする)として、アドレス割り当て応答により通知されたクライアントアドレス1が含まれる。また、メッセージのヘッダ部にも、送信元アドレス(メッセージのヘッダ部の送信元アドレスを送信元アドレスBとする)としてクライアントアドレス1が含まれる。また、メッセージのヘッダ部分には、クライアント識別子も含まれている。
【0067】
クライアント106から送信されたメッセージを含むIPパケットを受信したエッジ装置101における通過制御部123は、パケットの送信元アドレス/ポート番号が、通過可能なアドレス/ポートとして通過制御設定情報格納部124に登録されていることを確認して、パケットの通過を許可する。また、通過制御部123は、アドレス変換を行い、送信元アドレスAは、クライアントアドレス1からクライアントアドレス2に変換され(ステップ119)、変換を受けたメッセージ(IPパケット)がアドレス集約装置102に送信される(ステップ120)。
【0068】
メッセージを含むIPパケットを受信したアドレス集約装置102の送信元認証部133は、メッセージを送信したクライアント106の認証を行う。ここでは、まず、送信元認証部133は、受信したメッセージを含むIPパケットから送信元アドレスAを取得するとともに、メッセージのヘッダ部に含まれる送信元アドレスBと送信元クライアント識別子を取得する(ステップ121)。また、送信元認証部133は、クライアント識別子をキーにして、認証情報格納部131を検索して、クライアントアドレス1及びクライアントアドレス2を取得する。
【0069】
そして、送信元アドレスAとクライアントアドレス1を照合するとともに、送信元アドレスAとクライアントアドレス2とを照合し、いずれかで一致するか否かを判定する(ステップ122)。本例では、送信元アドレスAはアドレス変換を受けているため、送信元アドレスAは、クライアントアドレス2に一致すると判定される。
【0070】
更に、送信元認証部133は、送信元アドレスBと、クライアントアドレス1とを照合し、一致するか否かを判定する(ステップ123)。本例では、一致すると判定される。
【0071】
送信元アドレスAの判定(ステップ122)と送信元アドレスBの判定(ステップ123)の両方の判定で一致するとの判定結果が得られた場合、受信したメッセージは正しい送信元から送信されたと認証され、メッセージはサーバ104に転送される(ステップ124)。本実施形態でも、ローカルルーチングテーブルやENUM等の情報に基づいて、もしくはサーバの負荷状況に応じて適切なサーバを選択し、選択したサーバにメッセージを送信してもよい。
【0072】
もし、送信元アドレスAの判定(ステップ122)と送信元アドレスBの判定(ステップ123)のいずれか又は両方で一致しないと判定された場合は、認証に失敗したことになり、当該メッセージのクライアント識別子が偽装されていると認識し、例えばクライアント106にエラーメッセージが送信される。
【0073】
<実施形態2−2>
次に、実施形態2−2について説明する。実施形態2−1では、ライン番号とクライアント識別子とを、予めアドレス集約装置102の認証情報格納部131に格納しておいたが、実施形態2−2では、ライン番号とクライアント識別子とを、予めアドレス割り当て装置103のアドレス払い出し情報格納部111に格納しておく。
実施形態2−2におけるシステム構成は、図7〜図9に示した実施形態2−1におけるシステム構成と同様である。ただし、各格納部に格納される情報の内容等は実施形態2−1と異なる。
【0074】
図12に、実施形態2−2における動作のシーケンスチャートを示す。図12を参照して、実施形態2−2のシステムの動作を、実施形態2−1と異なる点を中心に説明する。
【0075】
図12のステップ101〜105は、実施形態2−1のステップ101〜105と同じである。
【0076】
ステップ206において、アドレス割り当て装置103は、アドレス割り当て要求に付加されていたライン番号に基づきアドレス払い出し情報格納部111を検索し、予め格納されているライン番号に対応付けて、ステップ105で選んだクライアントアドレスをアドレス払い出し情報格納部111に格納する。これにより、クライアントアドレスとクライアント識別子とが対応付けられてアドレス払い出し情報格納部111に格納されたことになる。
【0077】
アドレス割り当て装置103は、アドレス払い出し情報格納部111から、ステップ105で選んだクライアントアドレスと、当該クライアントアドレスに対応付けて格納されているクライアント識別子とを取得し、これらを含むアドレス割り当て応答をアドレス集約装置102に送信する(ステップ207)。
【0078】
アドレス割り当て応答を受信したアドレス集約装置102のアドレス情報設定部132は、アドレス割り当て応答に含まれるクライアントアドレスとクライアント識別子とを認証情報格納部131に格納する(ステップ208)。これにより、認証情報格納部131には、クライアントアドレスと、クライアント識別子とが対応付けられることになる。そして、アドレス集約装置102は、クライアントアドレスを含むアドレス割り当て応答をクライアント106に転送する(ステップ109)。アドレス割り当て応答は、エッジ装置101を経由して、クライアント106に送信される。以降の処理は、基本的に実施形態2−1と同じである。
【0079】
なお、上記の処理では、アドレス集約装置102においてライン番号を格納していないが、これを格納してもよい。その場合、ステップ103で、ライン番号を認証情報格納部131に格納しておき、ステップ207にて、ライン番号、クライアント識別子、及びクライアントアドレスがアドレス割り当て装置103からアドレス集約装置102に送信され、アドレス集約装置102では、ステップ103で格納したライン番号と、アドレス割り当て装置103から受信したライン番号とが一致することを確認して、当該ライン番号に対応付けて、クライアント識別子とクライアントアドレスとを認証情報格納部131に格納する。
【0080】
なお、第1の実施の形態では、受付制御装置を示していないが、第1の実施の形態においても、第2の実施の形態にように受付制御装置を備え、アドレス集約装置1に、通過制御機能を備えてもよい。その場合、例えば、アドレス割り当て装置2は、受付制御装置に対して、クライアントからのメッセージの受付(通過)を許可するよう、クライアントアドレスを提示して要求する。それを受けた受付制御装置は、アドレス集約装置1の通過制御機能に対して、クライアントアドレスを通知して、クライアントからのメッセージを受け付ける(通過させる)よう制御を行う。
【0081】
上記のように、本発明の実施の形態で説明した技術によれば、ライアント-サーバ間に阿アドレス変換機能が存在し、サーバが受信するメッセージの送信元アドレスが変化してしまう場合においても、サーバに代わってアドレス変換装置の認証機能部分がメッセージの送信元認証を行うので、メッセージの正当性を認証することが可能になる。
【0082】
また、クライアントから送信されるメッセージは、通過制御機能による特定送信元アドレスからのメッセージを受け付けるか否かの判断、及び、アドレス集約装置による、送信元アドレスと、クライアント識別子の確認による送信元の認証、の二段階の検査を受けてサーバに転送されるため、高度なセキュリティを確保することが可能となる。
【0083】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0084】
1 アドレス集約装置
2 アドレス割り当て装置
3 サーバ
4 クライアント
5 ゲートウェイ
11 認証情報格納部
12 アドレス要求転送部
13 アドレス情報設定部
14 送信元認証部
15 アドレス集約機能部
21 アドレス払い出し情報格納部
101 エッジ装置
102 アドレス集約装置
103 アドレス割り当て装置
104 サーバ
105 受付制御装置
106 クライアント
107 ゲートウェイ
111 アドレス払い出し情報格納部
121 アドレス要求転送部
122 通過制御設定部
123 通過制御部
124 通過制御設定情報格納部
131 認証情報格納部
132 アドレス情報設定部
133 送信元認証部
134 アドレス要求転送部
135 アドレス集約機能部
【技術分野】
【0001】
本発明は、クライアントが送信したメッセージの正当性を確認するための認証を行う技術に関するものであり、特に、ロードバランサ等のアドレス集約装置が備えられた通信ネットワークにおいて、メッセージ送信元の認証を行う技術に関するものである。
【背景技術】
【0002】
クライアントとサーバからなるクライアントサーバシステムにおいて、サーバの負荷低減のために、複数のサーバを備え、ロードバランサによりクライアントからの要求を各サーバに振り分ける技術がある。一般に、このようなロードバランサは、どのクライアントがどのサーバに割り当てられているかを示すテーブル情報であるコネクションテーブルを保持している。
【0003】
また、多数のTCPコネクションが設定されるサーバの負荷低減のために、TCPコネクション集約を行うロードバランサもある(例えば、非特許文献1に開示された装置)。TCPコネクション集約機能を持つロードバランサでは、クライアントからのTCPコネクションをロードバランサが受け付け、サーバとロードバランサ間では少数のTCPコネクションが設定され、ロードバランサがクライアントから受け付けたメッセージを、このTCPコネクションを用いてサーバへ転送する。クライアントからのコネクションと、集約されたコネクションとの対応情報は前述のコネクションテーブルに保持される。
【0004】
さて、クライアントからメッセージを受信し、種々のサービスを提供するサーバにおいては、一般に、メッセージ送信元の認証が行われる。
【0005】
メッセージ送信元の認証では、例えば、サーバ側で、クライアントのアドレスと、名前等のクライアント識別子とを予め取得、保持しておき、クライアントから受信するメッセージに含まれる送信元アドレス及びクライアント識別子が、予め保持しておいたものと一致するか否かを判定する処理が行われる。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】ITmedia 井上猛雄, もう1つのWAN高速化、「AFE」って何だ? (2/3), http://www.itmedia.co.jp/enterprise/articles/0706/25/news007_2.html (2010年1月12日検索)
【発明の概要】
【発明が解決しようとする課題】
【0007】
前述したロードバランサでは、クライアントから送信されるメッセージの送信元アドレス及びポートが、複数のクライアントに共通のアドレス及びポートに変換(集約)される。以降、このような機能をアドレス集約機能と呼び、アドレス集約機能を備えたロードバランサのような装置を、アドレス集約装置と呼ぶことにする。
【0008】
ロードバランサからアドレス集約後のメッセージを受信するサーバは、メッセージに含まれる送信元アドレスを用いて送信元認証を行うことができない。そのため、サーバは偽のクライアント識別子を用いて他のクライアントに偽装したクライアントからのメッセージを受理してしまうことを防止できないという問題がある。
【0009】
本発明は上記の点に鑑みてなされたものであり、アドレス集約機能が備えられた通信ネットワークにおいて、メッセージに含まれる送信元アドレスを用いたメッセージ送信元認証を行うことを可能とするための技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明は、通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、クライアント毎に、クライアントアドレスとクライアント識別子とを対応付けて格納した認証情報格納手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段とを備えることを特徴とするアドレス集約システムとして構成される。
【0011】
また、本発明は、通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段と、クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段とを備えることを特徴とするアドレス集約システムとして構成してもよい。
【0012】
また、本発明は、通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、認証情報格納手段に格納するアドレス情報設定手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段とを備えることを特徴とするアドレス集約システムとして構成することもできる。
【0013】
前記アドレス集約システムは、メッセージ通過制御手段を更に備えてもよく、当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う。
【0014】
また、前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、前記送信元認証手段は、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行うようにしてもよい。
【発明の効果】
【0015】
本発明によれば、アドレス集約システムは、受信するメッセージに含まれる送信元アドレスを用いたメッセージ送信元認証を行うことが可能となり、サーバが偽のクライアント識別子を用いて他のクライアントに偽装したクライアントからのメッセージを受理してしまうことを防止できるようになる。
【図面の簡単な説明】
【0016】
【図1】第1の実施の形態におけるシステム構成図である。
【図2】アドレス集約装置2の機能構成図である。
【図3】認証情報格納部11に格納される情報の例を示す図である。
【図4】本発明の実施の形態に係る基本的な処理の流れを示すシーケンスチャートである。
【図5】実施形態1−1におけるシーケンスチャートである。
【図6】実施形態1−2におけるシーケンスチャートである。
【図7】第2の実施の形態におけるシステム構成図である。
【図8】エッジ装置101の機能構成図である。
【図9】アドレス集約装置102の機能構成図である。
【図10】認証情報格納部131に格納される情報の例を示す図である。
【図11】実施形態2−1におけるシーケンスチャートである。
【図12】実施形態2−2におけるシーケンスチャートである。
【発明を実施するための形態】
【0017】
以下、図面を参照して本発明の実施の形態を説明する。
【0018】
(第1の実施の形態)
まず、本発明の第1の実施の形態を説明する。第1の実施の形態は、ライン番号とクライアント識別子を、予め保持しておく場所に応じて2つの例に分けられ、これらを実施形態1−1、実施形態1−2として説明する。
【0019】
<実施形態1−1>
図1に、実施形態1−1における通信システムの構成図を示す。図1に示すように、実施形態1−1における通信システムは、アドレス集約装置1、アドレス割り当て装置2、サーバ3、及び各クライアント4を有する。また、図1には、複数のクライアント4を配下に持つゲートウェイ5も示されている。
【0020】
アドレス集約装置1は、例えば前述したロードバランサのようなアドレス集約機能を有する装置である。アドレス割り当て装置2は、例えばNASS(network attachment subsystem)、DHCP(dynamic host configuration protocol)のようなアドレス割り当て機能を備えた装置であり、払い出したアドレス等の情報を格納するアドレス払い出し情報格納部21を有する。
【0021】
サーバ3は、例えばSIPのセッション制御を行うSIPサーバ(例えばP-CSCFなど)や、その他のアプリケーションサーバである。クライアント4は、通信ネットワークを介して通信可能なPC、電話端末、携帯端末等(例えばUE、SIP UAなど)である。ゲートウェイ5は、例えば、複数のクライアント4を収容して、外部と通信を行う装置である。
【0022】
図1における各装置は、通信ネットワーク(本実施形態ではIPネットワーク)に接続されており、図中、各装置を結ぶ線は、当該装置間で、通信ネットワークを介して通信を行うことを示している。第2の実施の形態でも同様である。
【0023】
図2に、アドレス集約装置1の機能構成図を示す。図2に示すように、アドレス集約装置1は、認証情報格納部11、アドレス要求転送部12、アドレス情報設定部13、送信元認証部14、アドレス集約機能部15を備えている。
【0024】
認証情報格納部11は、本発明に係る送信元認証を行うための認証情報を格納する格納部である。図3に、認証情報格納部11に格納されるテーブル情報の例を示す。図3に示すように、認証情報格納部11には、ライン番号、クライアント識別子、クライアントアドレスが対応付けて格納される。ここで、ライン番号とは、クライアントが接続される物理的あるいは論理的なラインの番号(VLAN_ID、MACアドレス、物理的な直収ポート等、物理的な接続先に一意に紐付いている識別情報)である。クライアント識別子は、SIP URI等のクライアントを識別する識別子である。クライアントアドレスは、クライアントに割り当てられるIPアドレスである。
【0025】
実施形態1−1では、ライン番号とクライアント識別子が、システム管理者等により、予め認証情報格納部11に格納されている。
【0026】
図2に戻り、アドレス要求転送部12は、クライアント4から送信されるアドレス割り当て要求をアドレス割り当て装置2に転送したり、アドレス割り当て装置2からのアドレス割り当て応答をクライアント4に転送したりする機能部である。アドレス情報設定部13は、認証情報格納部11にアドレス情報等を格納するための機能部である。送信元認証部14は、認証情報格納部11を参照することにより、メッセージの送信元クライアントの認証を行う機能部である。これらの機能部の動作詳細については、後の動作説明において説明する。
【0027】
アドレス集約機能部15は、アドレス集約を行うロードバランサ機能等のアドレス集約装置本体の機能を有する機能部である。
【0028】
アドレス集約装置1は、CPU、及びメモリ等を有する一般的なコンピュータ(もしくはルータ等の通信装置)に、各機能部の機能を奏するプログラムを搭載することにより実現できる。また、アドレス集約装置1は、1つの装置で実現する必要はなく、複数の装置をネットワーク接続して構成してもよい。例えば、アドレス要求転送部12を別装置としてもよい。更に、サーバ3とアドレス割り当て装置2を1つの装置で構成してもよい。なお、アドレス集約装置は、1つの装置で構成される場合も、複数の装置で構成される場合も、アドレス集約システムと呼ぶことができる。
【0029】
次に、システムの動作について説明する。ここでは、実施形態1−1におけるシステムの動作を説明する前に、まず、第1、第2の実施の形態を包含する本発明に係る基本的な処理動作について、図4のシーケンスチャートを参照して説明する。図4に示すシーケンスの前提として、アドレス集約装置2における認証情報格納部11には、クライアント毎に、クライアントアドレスとクライアント識別子とが対応付けて格納されているものとする。クライアントアドレスとクライアント識別子とが対応付けて認証情報格納部11に格納されるまでの処理方法の例については、実施形態1−1〜実施形態2−2において説明されるが、これらの実施形態で説明する処理方法に限定されるわけではない。
【0030】
図4に示すように、まず、アドレス集約装置2は、クライアント4から、送信元アドレスとクライアント識別子とを含むメッセージを受信する(ステップ1000)。
【0031】
続いて、アドレス集約装置2は、認証情報格納部11から、上記メッセージに含まれているクライアント識別子を用いて認証情報格納部11を検索し、当該クライアント識別子に対応するクライアントアドレスを認証情報格納部11から取得する(ステップ1100)。
【0032】
そして、アドレス集約装置2は、認証情報格納部11から取得したクライアントアドレスと、メッセージに含まれている送信元アドレスとを照合することにより、メッセージ送信元の認証を行う(ステップ1200)。ここで、照合の結果、両者が一致する場合(認証に成功した場合)に、メッセージはサーバ3に送信される(ステップ1300)。
【0033】
次に、図5を参照して、実施形態1−1におけるシステムの動作について説明する。本例では、特定のクライアント4が、アドレス集約装置1に対して直接メッセージを送信する場合を示している。クライアントがゲートウェイ5を介して通信する場合は、アドレス集約装置1は、ゲートウェイ5に対して認証を行うことになる。
【0034】
図5において、まず、クライアント4は、クライアントアドレスを取得するために、アドレス割り当て装置2に対してアドレス割り当て要求を送信する(ステップ1)。アドレス割り当て要求は、アドレス集約装置1を経由する。
【0035】
アドレス割り当て要求を受信したアドレス集約装置1におけるアドレス要求転送部12は、当該アドレス割り当て要求に対応するライン番号を取得し、アドレス割り当て要求にライン番号を付加する(ステップ2)。そして、アドレス要求転送部12は、ライン番号が付加されたアドレス割り当て要求をアドレス割り当て装置2に送信する(ステップ3)。
アドレス割り当て要求を受信したアドレス割り当て装置2は、アドレス割り当て要求に付加されているライン番号を取得するとともに、クライアントに割り振るためのクライアントアドレスを未使用のものから一つ選ぶ(ステップ4)。
そして、アドレス割り当て装置2は、選んだクライアントアドレスと、取得したライン番号とを対応付けてアドレス払い出し情報格納部21に格納する(ステップ5)。
その後、アドレス割り当て装置2は、クライアント4に対し、このクライアントアドレスとライン番号とを含むアドレス割り当て応答を送信する(ステップ6)。
アドレス割り当て応答は、アドレス集約装置1により受信される。アドレス割り当て応答を受信したアドレス集約装置1のアドレス情報設定部13は、アドレス割り当て応答に含まれるライン番号に基づき認証情報格納部11を検索し、当該ライン番号に対応付けて、クライアントアドレスを認証情報格納部11に格納する(ステップ7)。これにより、認証情報格納部11には、クライアントアドレスと、予め格納されていたクライアント識別子とが対応付けられることになる。そして、アドレス集約装置1は、アドレス割り当て応答をクライアント4に転送する(ステップ8)。
【0036】
その後、クライアント4は、サーバ3に対してサービスを要求するメッセージ(すなわち、メッセージを含むIPパケット)を送信する(ステップ9)。このメッセージは、例えば、SIPの接続要求メッセージである。このメッセージには、アドレス割り当て応答により通知されたクライアントアドレスが、送信元アドレスとして、ヘッダ部分(IPパケットのヘッダの意味も含む)に含まれている。また、メッセージのヘッダ部分には、クライアント識別子が含まれている。
【0037】
上記メッセージは、まず、アドレス集約装置1により受信される。メッセージを受信したアドレス集約装置1の送信元認証部14は、クライアント4の認証を行う。ここでは、メッセージから送信元アドレスとクライアント識別子を取得し、このクライアント識別子をキーに認証情報格納部11を検索して、当該クライアント識別子に対応付けて格納されているクライアントアドレスを取得する(ステップ10)。
そして、送信元認証部14は、メッセージから取得した送信元アドレスと、認証情報格納部11から取得したクライアントアドレスとを照合し、同一のものであれば、当該メッセージが正しい送信元から送信されたと判断し、認証成功と認識し、同一のものでなければ当該メッセージのクライアント識別子が偽装されていると判断する(ステップ11)。
認証に成功した場合、メッセージはサーバ3に送信される(ステップ12)。なお、ローカルルーチングテーブルやENUM等の情報に基づいて、もしくはサーバの負荷状況に応じて適切なサーバを選択し、選択したサーバにメッセージを送信してもよい。認証に失敗した場合には、例えば、アドレス集約装置1からクライアント4に対してエラーメッセージが送信される。
【0038】
<実施形態1−2>
次に、実施形態1−2について説明する。実施形態1−1では、ライン番号とクライアント識別子とを、予めアドレス集約装置1の認証情報格納部11に格納しておいたが、実施形態1−2では、ライン番号とクライアント識別子とを、予めアドレス割り当て装置2のアドレス払い出し情報格納部21に格納しておく。
実施形態1−2におけるシステム構成は、図1、図2に示した実施形態1−1におけるシステム構成と同様である。ただし、各格納部に格納される情報の内容等は実施形態1−1と異なる。図6に、実施形態1−2におけるシーケンスチャートを示す。図6を参照して、実施形態1−2のシステムの動作を、実施形態1−1と異なる点を中心に説明する。
【0039】
図6のステップ1〜4は、実施形態1−1のステップ1〜4と同じである。
【0040】
ステップ25において、アドレス割り当て装置1は、アドレス割り当て要求に付加されていたライン番号に基づきアドレス払い出し情報格納部21を検索し、予め格納されているライン番号に対応付けて、ステップ4で選んだクライアントアドレスをアドレス払い出し情報格納部21に格納する。これにより、アドレス払い出し情報格納部21において、クライアントアドレスとクライアント識別子とが対応付けられたことになる。
その後、アドレス割り当て装置2は、アドレス払い出し情報格納部21から、ステップ4で選んだクライアントアドレスと、当該クライアントアドレスに対応付けて格納されているクライアント識別子とを取得し、これらを含むアドレス割り当て応答を送信する(ステップ26)。
アドレス割り当て応答は、アドレス集約装置1により受信される。アドレス割り当て応答を受信したアドレス集約装置1におけるアドレス情報設定部13は、アドレス割り当て応答に含まれるクライアントアドレスとクライアント識別子とを認証情報格納部11に格納する(ステップ27)。そして、アドレス集約装置1は、クライアントアドレスを含むアドレス割り当て応答をクライアント4に転送する(ステップ8)。これ以降の処理は、実施形態1−1と同じである。
【0041】
なお、上記の処理では、アドレス集約装置1においてライン番号を格納していないが、これを格納してもよい。その場合、ステップ2で、ライン番号を認証情報格納部11に格納しておき、ステップ26にて、ライン番号、クライアント識別子、及びクライアントアドレスがアドレス割り当て装置2からアドレス集約装置1に送信され、アドレス集約装置1のアドレス情報設定部13は、ステップ2で格納したライン番号と、アドレス割り当て装置2から受信したライン番号とが一致することを確認して、当該ライン番号に対応付けて、クライアント識別子とクライアントアドレスとを認証情報格納部11に格納する。
【0042】
(第2の実施の形態)
次に、本発明の第2の実施の形態について説明する。第2の実施の形態でも、ライン番号とクライアント識別子とを予め保持しておく場所に応じて2つの例に分けられ、これらを実施形態2−1、実施形態2−2として説明する。
【0043】
<実施形態2−1>
図7に、実施形態2−1における通信システムの構成図を示す。図7に示すように、実施形態2−1における通信システムは、エッジ装置101、アドレス集約装置102、アドレス割り当て装置103、サーバ104、受付制御装置105 及び各クライアント106を有する。また、図7には、複数のクライアントを配下に持つゲートウェイ107も示されている。
【0044】
実施形態2−1におけるアドレス割り当て装置103、サーバ104、クライアント106、ゲートウェイ107は、第1の実施の形態における各装置と同様の機能を有する。ただし、アドレス割り当て装置103は、後述するピンホール制御要求送信等、受付制御装置105との間で制御通信を行う機能を有している。
【0045】
本実施の形態における受付制御装置105は、エッジ装置101に対して通過制御(アクセス制御)のための設定制御を行う機能を持った装置である。また、受付制御装置105は、例えばRACS(resource and admission control subsystem)やRACF(resource and admission control function)等の帯域管理制御機能を備えてもよい。
【0046】
エッジ装置101は、例えばエッジルータ等の通信装置であり、アクセス網とコア網とを接続し、通過制御、帯域制御、優先制御等を行う装置である。
【0047】
図8に、エッジ装置101の機能構成図を示す。図8に示すように、エッジ装置101は、アドレス要求転送部121、通過制御設定部122、通過制御部123、及び、通過制御設定情報格納部124を備える。
【0048】
アドレス要求転送部121は、第1の実施の形態におけるアドレス要求転送部12と同様の機能を有する機能部であり、クライアント106から送信されるアドレス割り当て要求をアドレス割り当て装置103に転送したり、アドレス割り当て装置103からのアドレス割り当て応答をクライアント106に転送したりする。
【0049】
通過制御設定部122は、受付制御装置105から制御情報を受けて、特定のアドレスを持ったIPパケットのみ通過させたり、送信元アドレスやポート番号を変換するための設定をしたりといった通過制御のための設定を行い、設定情報を通過制御設定情報格納部124に格納する。通過制御部123は、通過制御設定情報格納部124に格納された情報を参照することにより、パケットの通過制御(NAPT等のアドレス/ポート変換含む)を実行する機能部である。
【0050】
アドレス集約装置102は、前述したロードバランサのようなアドレス集約機能を有する装置である。
【0051】
図9に、アドレス集約装置102の機能構成図を示す。図9に示すように、アドレス集約装置102は、認証情報格納部131、アドレス情報設定部132、送信元認証部133、アドレス要求転送部134、アドレス集約機能部135を備える。これらの機能部は、第1の実施の形態における対応する機能部と基本的に同様の機能を有するものである。ただし、アドレス要求転送部134は、ライン番号付加を行わず、ライン番号が付加されたアドレス割り当て要求の転送を行う。詳細については後の動作説明のところで説明する。
【0052】
図10に、本実施形態における認証情報格納部131が格納するテーブル情報の例を示す。図10に示すように、認証情報格納部131には、ライン番号、クライアント識別子、クライアントアドレス1、クライアントアドレス2が対応付けて格納される。クライアントアドレス1は、アドレス割り当て装置103によりクライアント4に割り当てられるアドレスであり、クライアントアドレス2は、受付制御機能により、クライアントアドレス1から変換されることになるアドレスである。
【0053】
実施形態2−1では、ライン番号とクライアント識別子が、システム管理者等により、予め認証情報格納部131に格納されている。
【0054】
本実施の形態においても、アドレス集約装置102は、CPU、及びメモリ等を有する一般的なコンピュータ(もしくはルータ等の通信装置)に、各機能部の機能を奏するプログラムを搭載することにより実現できる。また、アドレス集約装置102は、1つの装置で実現する必要はなく、複数の装置をネットワーク接続して構成してもよい。また、アドレス割り当て装置103と受付制御装置105を1つの装置で構成したり、アドレス割り当て装置103と受付制御装置105とサーバ104を1つの装置で構成することも可能である。
【0055】
次に、図11を参照して、実施形態2−1におけるシステムの動作について説明する。本例でも、特定のクライアント106が、アドレス集約装置102に対して直接メッセージを送信する場合を示している。クライアント106がゲートウェイ107を介して通信する場合は、アドレス集約装置102は、ゲートウェイ107に対して認証を行うことになる。
【0056】
図11において、まず、クライアント106は、クライアントアドレスを取得するために、アドレス割り当て装置103に対してアドレス割り当て要求を送信する(ステップ101)。
【0057】
クライアント106から送信されたアドレス割り当て要求は、エッジ装置101により受信される。アドレス割り当て要求を受信したエッジ装置101のアドレス要求転送部121は、当該アドレス割り当て要求に対応するライン番号を取得し、アドレス割り当て要求にライン番号を付加する(ステップ102)。そして、エッジ装置101のアドレス要求転送部121は、ライン番号が付加されたアドレス割り当て要求をアドレス割り当て装置103に向けて送信する(ステップ103)。アドレス割り当て要求は、アドレス集約装置102が受信し、アドレス集約装置102のアドレス要求転送部134により中継され、アドレス割り当て装置103に送信される(ステップ104)。
アドレス割り当て要求を受信したアドレス割り当て装置103は、アドレス割り当て要求に付加されているライン番号を取得するとともに、クライアント106に割り振るためのクライアントアドレスを未使用のものから一つ選ぶ(ステップ105)。
そして、アドレス割り当て装置103は、選んだクライアントアドレスと、取得したライン番号とを対応付けてアドレス払い出し情報格納部111に格納する(ステップ106)。
その後、アドレス割り当て装置103は、クライアント106に対し、選択したクライアントアドレスとライン番号とを含むアドレス割り当て応答を送信する(ステップ107)。
アドレス割り当て応答は、まず、アドレス集約装置102により受信される。アドレス割り当て応答を受信したアドレス集約装置102におけるアドレス情報設定部132は、アドレス割り当て応答に含まれるライン番号に基づき認証情報格納部131を検索し、当該ライン番号に対応付けて、クライアントアドレスを認証情報格納部131に格納する(ステップ108)。これにより、認証情報格納部131には、クライアントアドレスと、クライアント識別子とが対応付けられることになる。そして、アドレス集約装置103は、アドレス割り当て応答をクライアント106に転送する(ステップ109)。アドレス割り当て応答は、エッジ装置101を経由して、クライアント106に送信される。
【0058】
一方、ステップ104においてアドレス割り当て要求を受信し、クライアントアドレスを抽出したアドレス割り当て装置103は、受付制御装置105に対し、クライアントアドレスを記載したピンホール制御要求を送信する(ステップ110)。なお、本実施の形態において、ピンホール制御は、特定のアドレス及びポート番号を送信元とするIPパケットを通過させるようエッジ装置101を設定制御することである。また、本実施形態のピンホール制御では、NAPTもしくはNATとしてアドレス/ポート番号変換制御も行う。もちろん、このような制御は一例に過ぎず、ピンホール制御として他の様々な制御を行うことが可能である。例えば、アドレス/ポートだけではなく、Mediaの種類や帯域幅も通過制御の条件に含めてもよい。また、送信元のアドレス/ポートだけではなく、送信先のアドレス/ポートも通過制御の条件に含めてもよい。
【0059】
受付制御装置105は、帯域に余裕がある場合、またはサービスポリシーに基づき、ピンホール制御要求を受け付け(CAC(Call Admission Control)など)、アドレス割り当て装置103にて割り当てられたクライアントアドレス(以降、これをクライアントアドレス1とする)と、クライアントポート番号(クライアントポート番号1とする)とを記載したピンホール制御要求をエッジ装置101に向けて送信する(ステップ111)。このクライアントポート番号1は、例えば、クライアント106の通信用に予め定めておいたポート番号である。
【0060】
ピンホール制御要求を受信したエッジ装置101の通過制御設定部122は、クライアントアドレス1とクライアントポート番号1を送信元とするメッセージ(IPパケット)を通過させる設定を行うとともに、クライアント106から受信したメッセージ(IPパケット)を外側(コア網側)に送出する際に、メッセージ(IPパケット)の送信元アドレス及びポート番号を、クライアントアドレス1とクライアントポート番号1から、クライアントアドレス2とクライアントポート番号2に変換するための設定を行う(ステップ112)。更に、エッジ装置101において、コア網から受信するクライアントアドレス2とクライアントポート番号2を送信元とするメッセージについては、クライアントアドレス2とクライアントポート番号2をクライアントアドレス1とクライアントポート番号1に変換してクライアント106に送信するための設定も行ってよい。
【0061】
エッジ装置101は、クライアントアドレス1と、変換後のアドレスになるクライアントアドレス2とを含むピンホール制御応答を受付制御装置105に返す(ステップ113)。
【0062】
受付制御装置105は、また、クライアントアドレス1とクライアントアドレス2とを含むピンホール制御応答をアドレス割り当て装置103に送信する(ステップ114)。
【0063】
クライアントアドレス1とクライアントアドレス2とを含む情報を受信したアドレス割り当て装置103は、既に格納されているクライアントアドレス1に対応付けて、クライアントアドレス2をアドレス払い出し情報格納部111に格納する(ステップ115)。これにより、アドレス払い出し情報格納部111において、ライン番号と、クライアントアドレス1と、クライアントアドレス2とが対応付けられることになる。
【0064】
次に、アドレス割り当て装置103は、アドレス集約装置102に対してライン番号とクライアントアドレス2とを含む情報(もしくは、クライアントアドレス1とクライアントアドレス2とを含む情報でもよい)を通知する(ステップ116)。アアドレス集約装置102のアドレス情報設定部132は、受信したライン番号(もしくはクライアントアドレス1)に基づき認証情報格納部131を検索し、当該ライン番号(もしくはクライアントアドレス1)に対応付けて、クライアントアドレス2を認証情報格納部131に格納する(ステップ117)。これにより、アドレス集約装置102の認証情報格納部131において、ライン番号と、クライアント識別子と、クライアントアドレス1と、クライアントアドレス2とが対応付けられることになる。
【0065】
なお、ステップ116のように、アドレス割り当て装置103が、クライアントアドレス2を含む情報をアドレス集約装置102に通知することに代えて、ステップ113にてクライアントアドレス1とクライアントアドレス2を含むピンホール制御応答を受信した受付制御装置105が、クライアントアドレス1とクライアントアドレス2とを含む情報をアドレス集約装置102に送信することとしてもよい。この場合も、当該情報を受信したアドレス集約装置102において、クライアントアドレス2は、ライン番号、クライアント識別子、及びクライアントアドレス1と対応付けて認証情報格納部131に格納される。
【0066】
その後、クライアント106は、サーバ104に向けてサービスを要求するメッセージを送信する(ステップ118)。このメッセージは、例えばSIPのINVITEメッセージである。このメッセージを含むIPパケットのヘッダには、送信元アドレス(IPパケットのヘッダの送信元アドレスを送信元アドレスAとする)として、アドレス割り当て応答により通知されたクライアントアドレス1が含まれる。また、メッセージのヘッダ部にも、送信元アドレス(メッセージのヘッダ部の送信元アドレスを送信元アドレスBとする)としてクライアントアドレス1が含まれる。また、メッセージのヘッダ部分には、クライアント識別子も含まれている。
【0067】
クライアント106から送信されたメッセージを含むIPパケットを受信したエッジ装置101における通過制御部123は、パケットの送信元アドレス/ポート番号が、通過可能なアドレス/ポートとして通過制御設定情報格納部124に登録されていることを確認して、パケットの通過を許可する。また、通過制御部123は、アドレス変換を行い、送信元アドレスAは、クライアントアドレス1からクライアントアドレス2に変換され(ステップ119)、変換を受けたメッセージ(IPパケット)がアドレス集約装置102に送信される(ステップ120)。
【0068】
メッセージを含むIPパケットを受信したアドレス集約装置102の送信元認証部133は、メッセージを送信したクライアント106の認証を行う。ここでは、まず、送信元認証部133は、受信したメッセージを含むIPパケットから送信元アドレスAを取得するとともに、メッセージのヘッダ部に含まれる送信元アドレスBと送信元クライアント識別子を取得する(ステップ121)。また、送信元認証部133は、クライアント識別子をキーにして、認証情報格納部131を検索して、クライアントアドレス1及びクライアントアドレス2を取得する。
【0069】
そして、送信元アドレスAとクライアントアドレス1を照合するとともに、送信元アドレスAとクライアントアドレス2とを照合し、いずれかで一致するか否かを判定する(ステップ122)。本例では、送信元アドレスAはアドレス変換を受けているため、送信元アドレスAは、クライアントアドレス2に一致すると判定される。
【0070】
更に、送信元認証部133は、送信元アドレスBと、クライアントアドレス1とを照合し、一致するか否かを判定する(ステップ123)。本例では、一致すると判定される。
【0071】
送信元アドレスAの判定(ステップ122)と送信元アドレスBの判定(ステップ123)の両方の判定で一致するとの判定結果が得られた場合、受信したメッセージは正しい送信元から送信されたと認証され、メッセージはサーバ104に転送される(ステップ124)。本実施形態でも、ローカルルーチングテーブルやENUM等の情報に基づいて、もしくはサーバの負荷状況に応じて適切なサーバを選択し、選択したサーバにメッセージを送信してもよい。
【0072】
もし、送信元アドレスAの判定(ステップ122)と送信元アドレスBの判定(ステップ123)のいずれか又は両方で一致しないと判定された場合は、認証に失敗したことになり、当該メッセージのクライアント識別子が偽装されていると認識し、例えばクライアント106にエラーメッセージが送信される。
【0073】
<実施形態2−2>
次に、実施形態2−2について説明する。実施形態2−1では、ライン番号とクライアント識別子とを、予めアドレス集約装置102の認証情報格納部131に格納しておいたが、実施形態2−2では、ライン番号とクライアント識別子とを、予めアドレス割り当て装置103のアドレス払い出し情報格納部111に格納しておく。
実施形態2−2におけるシステム構成は、図7〜図9に示した実施形態2−1におけるシステム構成と同様である。ただし、各格納部に格納される情報の内容等は実施形態2−1と異なる。
【0074】
図12に、実施形態2−2における動作のシーケンスチャートを示す。図12を参照して、実施形態2−2のシステムの動作を、実施形態2−1と異なる点を中心に説明する。
【0075】
図12のステップ101〜105は、実施形態2−1のステップ101〜105と同じである。
【0076】
ステップ206において、アドレス割り当て装置103は、アドレス割り当て要求に付加されていたライン番号に基づきアドレス払い出し情報格納部111を検索し、予め格納されているライン番号に対応付けて、ステップ105で選んだクライアントアドレスをアドレス払い出し情報格納部111に格納する。これにより、クライアントアドレスとクライアント識別子とが対応付けられてアドレス払い出し情報格納部111に格納されたことになる。
【0077】
アドレス割り当て装置103は、アドレス払い出し情報格納部111から、ステップ105で選んだクライアントアドレスと、当該クライアントアドレスに対応付けて格納されているクライアント識別子とを取得し、これらを含むアドレス割り当て応答をアドレス集約装置102に送信する(ステップ207)。
【0078】
アドレス割り当て応答を受信したアドレス集約装置102のアドレス情報設定部132は、アドレス割り当て応答に含まれるクライアントアドレスとクライアント識別子とを認証情報格納部131に格納する(ステップ208)。これにより、認証情報格納部131には、クライアントアドレスと、クライアント識別子とが対応付けられることになる。そして、アドレス集約装置102は、クライアントアドレスを含むアドレス割り当て応答をクライアント106に転送する(ステップ109)。アドレス割り当て応答は、エッジ装置101を経由して、クライアント106に送信される。以降の処理は、基本的に実施形態2−1と同じである。
【0079】
なお、上記の処理では、アドレス集約装置102においてライン番号を格納していないが、これを格納してもよい。その場合、ステップ103で、ライン番号を認証情報格納部131に格納しておき、ステップ207にて、ライン番号、クライアント識別子、及びクライアントアドレスがアドレス割り当て装置103からアドレス集約装置102に送信され、アドレス集約装置102では、ステップ103で格納したライン番号と、アドレス割り当て装置103から受信したライン番号とが一致することを確認して、当該ライン番号に対応付けて、クライアント識別子とクライアントアドレスとを認証情報格納部131に格納する。
【0080】
なお、第1の実施の形態では、受付制御装置を示していないが、第1の実施の形態においても、第2の実施の形態にように受付制御装置を備え、アドレス集約装置1に、通過制御機能を備えてもよい。その場合、例えば、アドレス割り当て装置2は、受付制御装置に対して、クライアントからのメッセージの受付(通過)を許可するよう、クライアントアドレスを提示して要求する。それを受けた受付制御装置は、アドレス集約装置1の通過制御機能に対して、クライアントアドレスを通知して、クライアントからのメッセージを受け付ける(通過させる)よう制御を行う。
【0081】
上記のように、本発明の実施の形態で説明した技術によれば、ライアント-サーバ間に阿アドレス変換機能が存在し、サーバが受信するメッセージの送信元アドレスが変化してしまう場合においても、サーバに代わってアドレス変換装置の認証機能部分がメッセージの送信元認証を行うので、メッセージの正当性を認証することが可能になる。
【0082】
また、クライアントから送信されるメッセージは、通過制御機能による特定送信元アドレスからのメッセージを受け付けるか否かの判断、及び、アドレス集約装置による、送信元アドレスと、クライアント識別子の確認による送信元の認証、の二段階の検査を受けてサーバに転送されるため、高度なセキュリティを確保することが可能となる。
【0083】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0084】
1 アドレス集約装置
2 アドレス割り当て装置
3 サーバ
4 クライアント
5 ゲートウェイ
11 認証情報格納部
12 アドレス要求転送部
13 アドレス情報設定部
14 送信元認証部
15 アドレス集約機能部
21 アドレス払い出し情報格納部
101 エッジ装置
102 アドレス集約装置
103 アドレス割り当て装置
104 サーバ
105 受付制御装置
106 クライアント
107 ゲートウェイ
111 アドレス払い出し情報格納部
121 アドレス要求転送部
122 通過制御設定部
123 通過制御部
124 通過制御設定情報格納部
131 認証情報格納部
132 アドレス情報設定部
133 送信元認証部
134 アドレス要求転送部
135 アドレス集約機能部
【特許請求の範囲】
【請求項1】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、
クライアント毎に、クライアントアドレスとクライアント識別子とを対応付けて格納した認証情報格納手段と、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段と
を備えることを特徴とするアドレス集約システム。
【請求項2】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、
クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段と、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、
前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定手段と、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段と
を備えることを特徴とするアドレス集約システム。
【請求項3】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、
前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、認証情報格納手段に格納するアドレス情報設定手段と、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段と
を備えることを特徴とするアドレス集約システム。
【請求項4】
前記アドレス集約システムは、メッセージ通過制御手段を更に備え、
当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う
ことを特徴とする請求項1ないし3のうちいずれか1項に記載のアドレス集約システム。
【請求項5】
前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、
前記送信元認証手段は、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行う
ことを特徴とする請求項1ないし3のうちいずれか1項に記載のアドレス集約システム。
【請求項6】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムが実行するメッセージ送信元認証方法であって、
前記アドレス集約システムは、クライアント毎に、クライアントアドレスとクライアント識別子とを対応付けて格納した認証情報格納手段を備えており、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証ステップ
を備えることを特徴とするメッセージ送信元認証方法。
【請求項7】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムが実行するメッセージ送信元認証方法であって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段を備えており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送ステップと、
前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定ステップと、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証ステップと
を備えることを特徴とするメッセージ送信元認証方法。
【請求項8】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムが実行するメッセージ送信元認証方法であって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送ステップと、
前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、前記アドレス集約システムにおける認証情報格納手段に格納するアドレス情報設定ステップと、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証ステップと
を備えることを特徴とするメッセージ送信元認証方法。
【請求項9】
前記アドレス集約システムは、メッセージ通過制御手段を更に備え、
当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う
ことを特徴とする請求項6ないし8のうちいずれか1項に記載のメッセージ送信元認証方法。
【請求項10】
前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、
前記送信元認証ステップにおいて、前記アドレス集約システムは、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行う
ことを特徴とする請求項6ないし8のうちいずれか1項に記載のメッセージ送信元認証方法。
【請求項1】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、
クライアント毎に、クライアントアドレスとクライアント識別子とを対応付けて格納した認証情報格納手段と、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段と
を備えることを特徴とするアドレス集約システム。
【請求項2】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、
クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段と、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、
前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定手段と、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段と
を備えることを特徴とするアドレス集約システム。
【請求項3】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、
前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、認証情報格納手段に格納するアドレス情報設定手段と、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段と
を備えることを特徴とするアドレス集約システム。
【請求項4】
前記アドレス集約システムは、メッセージ通過制御手段を更に備え、
当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う
ことを特徴とする請求項1ないし3のうちいずれか1項に記載のアドレス集約システム。
【請求項5】
前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、
前記送信元認証手段は、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行う
ことを特徴とする請求項1ないし3のうちいずれか1項に記載のアドレス集約システム。
【請求項6】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムが実行するメッセージ送信元認証方法であって、
前記アドレス集約システムは、クライアント毎に、クライアントアドレスとクライアント識別子とを対応付けて格納した認証情報格納手段を備えており、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証ステップ
を備えることを特徴とするメッセージ送信元認証方法。
【請求項7】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムが実行するメッセージ送信元認証方法であって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段を備えており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送ステップと、
前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定ステップと、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証ステップと
を備えることを特徴とするメッセージ送信元認証方法。
【請求項8】
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムが実行するメッセージ送信元認証方法であって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送ステップと、
前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、前記アドレス集約システムにおける認証情報格納手段に格納するアドレス情報設定ステップと、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証ステップと
を備えることを特徴とするメッセージ送信元認証方法。
【請求項9】
前記アドレス集約システムは、メッセージ通過制御手段を更に備え、
当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う
ことを特徴とする請求項6ないし8のうちいずれか1項に記載のメッセージ送信元認証方法。
【請求項10】
前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、
前記送信元認証ステップにおいて、前記アドレス集約システムは、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行う
ことを特徴とする請求項6ないし8のうちいずれか1項に記載のメッセージ送信元認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2011−175383(P2011−175383A)
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願番号】特願2010−37927(P2010−37927)
【出願日】平成22年2月23日(2010.2.23)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願日】平成22年2月23日(2010.2.23)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]