ネットワーク通信方法及びアクセス管理方法とパケット中継装置
【課題】サブネットを越えて、ホストを識別できるネットワーク通信方法であり、かつ汎用性に優れ、導入が容易であり、しかも高いスループットが確保できるネットワーク通信方法を提供する。
【解決手段】NATルータ1を介してホストα1、ホストα2及びホストβがネットワーク通信するに際し、NATルータ1において、ホストβに向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットをホストα1又はホストα2から受信した際のヘッダ情報に含まれる送信元MACアドレスにするネットワーク通信方法である。
【解決手段】NATルータ1を介してホストα1、ホストα2及びホストβがネットワーク通信するに際し、NATルータ1において、ホストβに向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットをホストα1又はホストα2から受信した際のヘッダ情報に含まれる送信元MACアドレスにするネットワーク通信方法である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、異なるネットワークに属するホスト相互のネットワーク通信方法及びアクセス管理方法と、ネットワーク間に介在するパケット中継装置に関する。
【背景技術】
【0002】
異なるネットワークに属するホスト相互の通信は、例えばEthernet(登録商標)で接続され、TCP/IPプロトコル(TCPプロトコル、UDPプロトコル、IPプロトコル、ICMPプロトコル等)を利用したネットワーク通信が利用される(以下では、便宜上、TCPプロトコルを用いる場合を中心に説明する)。このとき、異なるネットワークは、パケット中継装置を介して接続される。パケット中継装置は、NAT(Network Address Translation)機能又はNAPT(Network Address Port Translation)機能の一方又は双方を備えたルータ(以下、NATルータの語で代表)のほか、通常のルータやL3スイッチがある。NAT機能はIPパケットで送受信されるIPアドレスを変換する機能、NAPT機能は前記IPアドレスに加えてポート番号を変換する機能である。NATルータは、近年問題視されるIPアドレス(IPv4準拠)の枯渇を解決する一手段として用いられる。
【0003】
NAT機能を備えたNATルータは、アドレス変換前後の対応情報(変換するIPアドレスの対応情報)をアドレス変換テーブルとして作成し、前記アドレス変換テーブルを参照してIPアドレスを変換することにより、一方のネットワークで利用されるIPアドレスを他方のネットワークで利用されるIPアドレスにアドレス変換し、多数のホスト(クライアント)で前記他方のネットワークで利用されるIPアドレスを共有する。NATルータがNAPT機能まで備えていると、IPアドレスだけでなく、変換するポート番号の対応情報も加えたアドレス変換テーブルを作成し、IPアドレスと共にポート番号まで変換する。
【0004】
NATルータ3(話を簡単にするため、NAT機能のみを有する構成とする)を介してネットワークα及びネットワークβが接続し、ネットワークαに属するホストα1(例えばクライアント)からネットワークβに属するホストβ(例えばサーバ)に向けて通信パケットを送信し、ネットワーク通信する場合を考える。ここで、通信パケットは、ネットワーク通信で送受信される情報単位を意味し、OSI参照モデルの各層に定義されるパケット又はフレームから構成される。例えば、上述したEthernet(登録商標)で接続され、TCPプロトコルを利用したネットワーク通信における通信パケットは、TCPパケット、IPパケット及びEthernet(登録商標)フレームから構成される。また、ネットワーク通信の始端であるホストα1を送信始端、ネットワーク通信の終端であるホストβを送信終端とし、直近のホストとネットワーク中継装置やネットワーク中継装置相互、例えばホストα1及びNATルータ3ではホストα1を送信元、NATルータ3を送信先と呼び、NATルータ3及びホストβではNATルータ3を送信元、ホストβを送信先と呼ぶ。
【0005】
まず、図6a及び図6bに見られるように、ホストα1(送信始端かつ送信元)はNATルータ3(送信先)に向けて、
送信元IPアドレスがホストα1のIPアドレスα1、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがホストα1のMACアドレスα1、
送信先MACアドレスがNATルータ3のMACアドレスNATin
を含むヘッダ情報の通信パケットを送信する(「NATin」は、NATルータ3のネットワークαに向いた側=ホストα1から見て内側を意味する)。MACアドレスは、ホストα1やNATルータ(正確にはそれぞれのネットワークインタフェース)それぞれに設定される識別情報である。
【0006】
上記通信パケットを受信したNATルータ3は、アドレス変換テーブル(図6c)を作成又は参照し、図7a及び図7bに見られるように、
送信元IPアドレスをNATルータ3のIPアドレスNATout
にアドレス変換すると共に、
送信元MACアドレスをNATルータ3のMACアドレスNATout、そして
送信先MACアドレスをホストβのMACアドレスβ
を含むヘッダ情報の通信パケットを、ホストβ(送信終端かつ送信先)に向けて送信する(「NATout」は、NATルータ3のネットワークβに向いた側=ホストα1から見て外側を意味する)。アドレス変換により書き換えられるヘッダ情報はIPパケットのIPアドレスで、Ethernet(登録商標)フレームのMACアドレスは、NATルータ3自身が改めて送信元及び送信先を設定する。
【0007】
これから理解されるように、ホストβがIPアドレスで送信始端を識別しようとすると、受信する通信パケットにホストα1を識別するIPアドレスが含まれておらず、ホストβはNATルータ3しか識別できない。これは、ホストβの前段にアクセス管理装置4(アクセスを許可/遮断又は記録の一方又は双方をする装置)を介在させた場合に次の問題を招く。まず、図8aに見られるように、ホストα1(送信始端)がホストβ(送信終端)にアクセスすると、上述の説明から、アクセス管理装置4は、
送信元IPアドレスがNATルータ3のIPアドレスNATout、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがNATルータ3のMACアドレスNATout、
送信先MACアドレスがホストβのMACアドレスβ
を含むヘッダ情報(図7b参照)の通信パケットを受信する。アクセス管理装置4は、アクセス制御テーブル(図8b)を参照し、ホストα1のアクセスを許可(認証)してホストβに接続させると共に、前記通信パケットのヘッダ情報から、送信元IPアドレス、すなわちNATルータ3のIPアドレスNAToutを識別情報として登録し、以後前記IPアドレスNAToutをヘッダ情報に含む通信パケットによるホストβに対するアクセスのみを許可する。
【0008】
ところが、図9a〜図9cに見られるように、ホストα2(別のクライアント)がホストβにアクセスしようとすると、アクセス管理装置4は、
送信元IPアドレスがNATルータ3のIPアドレスNATout、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがNATルータ3のMACアドレスNATout、
送信先MACアドレスがホストβのMACアドレスβ
を含む通信パケット(図9b参照)を受信するため、ホストα2からの通信パケットであるにも拘わらず、登録された識別情報のIPアドレスNAToutに一致し、ホストα2もホストβに対するアクセスが許可される。これは、アクセス管理装置4が、ホストα1及びホストα2を個別に識別できないことに起因するセキュリティの低下である。
【0009】
ここで、ホストα1及びホストα2の各ポート番号が異なると、それぞれのポート番号がそのまま送信され、前記ポート番号からホストα1及びホストα2を識別できるように見える(図7b及び図9bを比較対照)。しかし、ポート番号による識別はネットワーク通信における送信始端の特定でしかなく、具体的にホストα1及びホストα2を識別するわけではない。例えばホストα1に代えて同じIPアドレス及びポート番号を利用するホストα2によりネットワーク通信させると、もはやホストα1とホストα2とを区別することができない。仮に同一IPアドレス及び同一ポート番号のホスト代替が問題にならなくても、NAPT機能を有するNATルータはポート番号まで変換するため、ポート番号によりホストα1及びホストα2を区別することは難しいと言わざるを得ない。
【0010】
そこで、アドレス変換に新たな機能を追加したネットワーク通信方法(非特許文献1)が提案されたり、WWWアクセスに限ってだが、ユーザID及びパスワードやクッキーを利用したアクセス認証(非特許文献2、非特許文献3)が利用されたりしている。非特許文献1が開示する「NATS」は、例えばホストβ(サーバ)に向けた通信パケットのヘッダ情報を拡張し、ネットワークα内で使用されるIPアドレスα1及びIPアドレスα2を前記拡張されたヘッダ情報に追加して、ホストβがホストα1及びホストα2を識別する。非特許文献2が開示する「HTTP認証」は、HTTPメッセージの認証ヘッダ(Authorization Header)にユーザ名(userid)とパスワード(password)を付加し、正当なWWWアクセスであるか否かを識別する。これは、HTTPメッセージ毎にWWWアクセスの正当性が判別できる利点がある。非特許文献3が開示する「HTTPクッキー」は、HTTPメッセージに含まれるクッキー(Cookie)に状態情報を付加するもので、例えばホストα1がホストβ(サーバ)から返信されたクッキーを保存し、次にホストβ(サーバ)へ送信するHTTPメッセージに前記クッキーを含ませておくことにより、ホストα1の正当性を判別する。
【先行技術文献】
【特許文献】
【0011】
【非特許文献1】Kuniaki KONDO - Intec NetCore, Inc.ほか,「NATS Project TOP(japanese)」,平成21年07月01日検索,URL:http://www.nats-project.org/index-j.html
【非特許文献2】J.Franksほか,「HTTP Authentication: Basic and Digest Access Authentication」,1999年7月,平成21年07月01日検索,URL:http://www.ietf.org/rfc/rfc2617.txt
【非特許文献3】D.Kristolほか,「HTTP State Management Mechanism」,2000年10月,平成21年07月01日検索,URL:http://www.ietf.org/rfc/rfc2965.txt
【発明の概要】
【発明が解決しようとする課題】
【0012】
このように、現在のところ、NATルータを介したアクセス管理装置によるホストのアクセス許可(認証)は、アクセス管理装置によるセキュリティを大幅に低下させる虞がある。この場合、ネットワークα、ネットワークβ及びNATルータが全て同一管理下にあれば、アクセス管理機能を有するNATルータを用いることにより、同一管理者が全ホストのアクセスを管理(アクセスを許可/遮断又は記録の一方又は双方をすること)も容易である。しかし、現実には、ネットワークα、ネットワークβ及びNATルータが同一管理下にないことが多く、例えばサブネット毎に異なる管理者がそれぞれのサブネットに属するホストのアクセスを管理するに留まっていた。そこで、管理者の異なるサブネットを越えて全ホストを統一的又は集中的に管理するには、ホストα1及びホストα2を識別するネットワーク通信が検討されることになる。
【0013】
非特許文献1が開示する「NATS」は、通信パケットのヘッダ情報を拡張してサブアドレスを追加するため、現状の通信パケットの構成を変更させる問題がある。そして、処理すべき通信パケットのヘッダ情報が大きくなり、ネットワーク通信のスループットを低下させる虞がある。近年のネットワーク通信では、取り扱うデータの増大から、スループットの向上も重要視されているので、スループットの低下は好ましくない。また、非特許文献2が開示する「HTTP認証」や非特許文献3が開示する「HTTPクッキー」は、あくまでHTTPアクセスに限ったものであり、その具体的方法はHTTPに依存するものであるから、通常のネットワーク通信に利用できない。そこで、サブネットを越えて、ホストを識別できるネットワーク通信方法であり、かつ汎用性に優れ、導入が容易であり、しかも高いスループットが確保できるネットワーク通信方法を開発するため、検討した。
【課題を解決するための手段】
【0014】
検討の結果開発したものが、パケット中継装置を介してホスト相互がネットワーク通信するに際し、パケット中継装置において、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにするネットワーク通信方法である。ここで、「パケット中継装置」は、NATルータ、L3スイッチ、NAT機能又はNAPT機能を有さない単なるルータのほか、送信元又は送信始端から通信パケットを受信し、ヘッダ情報を適宜変換又はそのまま通過させ、送信先又は送信終端へ前記通信パケットを送信する装置全般を含む。ここで、「送信元」はパケット中継装置の上流にある送信始端のホスト又は前段のパケット中継装置を、また「送信先」はパケット中継装置の下流にある送信終端のホスト又は後段のパケット中継装置を意味する。
【0015】
本発明のネットワーク通信方法は、パケット中継装置が、送信始端かつ送信元であるホストや送信元である前段のパケット中継装置から受信した通信パケットの送信元MACアドレスを、送信終端かつ送信先であるホストや送信先である次段のパケット中継装置に向けて送信する通信パケットの送信元MACアドレスにすることにより、パケット中継装置を越えて、ネットワーク通信における送信始端MACアドレスを送信終端にまで送信する、すなわち通信パケットのヘッダ情報に含まれる送信元MACアドレスを、送信始端のホスト、ネットワーク中継装置から送信終端のホストに至るまで、すべて送信始端MACアドレスにする。これにより、送信終端のホストやアクセス管理装置は、送信始端MACアドレスに基づいて送信始端を具体的に識別できるようになる。ここで、「送信始端MACアドレスに基づいて送信始端を具体的に識別できる」とは、例えばホストα1に代えて同じIPアドレス及びポート番号を利用するホストα2によりネットワーク通信させても、なおホストα1とホストα2とを区別できること、すなわちハードウェアとして個体識別できることを意味する。
【0016】
本発明における好適なネットワーク通信方法は、パケット中継装置において、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするネットワーク通信方法である。例えば、パケット中継装置が受信する通信パケット毎に送信元MACアドレスを取得し、送信先に向けて送信する通信パケットのヘッダ情報に前記取得された送信元MACアドレスを設定すれば、通信パケット毎に送信始端を識別できるようになる。これから、送信元MACアドレスを取得する通信パケットは、パケット中継装置が受信する全てを対象にすることが好ましい。しかし、スループットを考慮した場合、内容又は種類に応じて選別される特定される通信パケットや、パケット中継装置が受信するタイミングに応じて間引きされる特定の通信パケットを対象にしてもよい。
【0017】
ここで、送信先に向けて送信する通信パケットのヘッダ情報に前記取得された送信元MACアドレスを設定する場合、送信元IPアドレスと前記送信元MACアドレスとを対応づけるアドレス対応テーブルを作成し、利用するとよい。すなわち、パケット中継装置において、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするとよい。
【0018】
「同一性判別情報」は、通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別するに足りる情報をまとめたもので、あくまでネットワーク通信における送信始端としての同一性を判別するだけで、送信始端のホストそのもの同一性を個別に判別するものではない。例えばTCPプロトコル又はUDPプロトコルの場合、フロー情報から一部又は全部を抽出して同一性判別情報が構成される。フロー情報は、各ネットワーク中継装置においてネットワーク通信の同一性を判別する情報で、基本としてトランスポートプロトコル、送信始端IPアドレス又は送信元IPアドレス、送信始端ポート番号又は送信元ポート番号、送信終端IPアドレス又は送信先IPアドレス、そして送信終端ポート番号又は送信先ポート番号を含み、場合によってその他の情報が付加される。フロー情報から全部を抽出して同一性判別情報が構成される場合、同一性判別情報とフロー情報とが一致する。また、ICMPプロトコルの場合、識別子(16ビットの整数値)を有する通信パケットでは前記識別子を同一性判別情報として、また識別子を有さない通信パケットではヘッダ情報に含まれるトランスポートプロトコル、送信始端IPアドレス又は送信元IPアドレス、送信始端ポート番号又は送信元ポート番号等を同一性判別情報として抽出する。
【0019】
アドレス対応テーブルは、通信パケットのヘッダ情報を同一性判別情報と突き合わせて前記通信パケットに対応する送信元MACアドレスを特定するための対応表で、パケット中継装置が作成するアドレス変換テーブルと別に作成されることを基本とする。しかし、アドレス変換テーブルに含まれる情報が同一性判別情報として利用できる場合(アドレス変換テーブルに含まれる情報が同一性判別情報を含む又は一致する場合)、前記アドレス変換テーブルに送信元MACアドレスを追加してアドレス変換テーブルと兼用して利用するようにしてもよい。
【0020】
アドレス対応テーブルを利用する上記ネットワーク通信方法は、TCPプロトコルによる通信パケットを用いたネットワーク通信にはもちろん、例えばUDPプロトコル又はICMPプロトコル等による通信パケットを用いたネットワーク通信にも利用できる。この場合、パケット中継装置は、通信パケット毎に毎回送信元MACアドレスを取得し、前記送信元MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際して、前記アドレス対応テーブルを参照することにより、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする。このため、通信パケット毎に送信始端を識別することができる利点を有する。
【0021】
アドレス対応テーブルを利用する上記ネットワーク通信方法は、通信パケット毎に送信元MACアドレスを取得するため、送信元MACアドレスを取得する処理時間が余分に掛かってしまう。そこで、パケット中継装置において、送信元から最初に受信する通信パケットについて、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、送信元から2回目以降に受信する通信パケットについて、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするとよい。
【0022】
「送信元から最初に受信する通信パケット」とは、コネクション指向のトランスポートプロトコルに用いられる状態を表すフラグが付されたパケット、例えばTCPプロトコルにおける接続確立のためにSYNフラグが付されたTCPパケットを含む通信パケットを意味する。上記ネットワーク通信方法は、SYNフラグが付されたTCPパケットを含む通信パケットから取得した送信元MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを一度作成すれば、以後は前記アドレス対応テーブルを参照するだけで、改めて作り直すことがない。これにより、本発明を利用したネットワーク通信方法におけるスループットの低下を抑制又は防止できる。
【0023】
本発明のネットワーク通信方法を利用すれば、アクセス管理装置によるアクセスの許可/遮断又は記録の一方又は双方をすること、すなわちアクセス管理が容易となる。本発明のネットワーク通信方法を利用したアクセス管理方法は、パケット中継装置を介してホスト相互がネットワーク通信するに際し、パケット中継装置において、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにし、アクセス管理装置は、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスからホストを識別し、アクセスを許可/遮断又は記録の一方又は双方をするアクセス管理方法となる。
【0024】
本発明のアクセス管理方法におけるパケット中継装置の働きは、上述までのネットワーク通信方法と異ならない。すなわち、本発明のアクセス管理方法でも、パケット中継装置において、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにすると、通信パケット毎にアクセスを許可又は遮断できるようになり、よりセキュリティを高めることができる。また、アクセス管理装置において、アクセスを記録すれば、前記通信パケットのヘッダ情報に含まれる送信元MACアドレス、すなわち送信始端MACアドレスにより識別できる各ホストの通信ログを記録できる。
【0025】
また、パケット中継装置において、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにすることもできる。
【0026】
そして、パケット中継装置において、送信元から最初に受信する通信パケットについて、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、送信元から2回目以降に受信する通信パケットについて、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにすれば、スループットが低下することを抑制又は防止できる。
【0027】
本発明に用いるパケット中継装置は、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにするMACアドレス設定部を有する構成となる。このパケット中継装置は、送信元のMACアドレスを通信パケットのヘッダ情報と別に前記通信パケットに付与するのではなく、パケット中継装置のMACアドレスに代えて通信パケットのヘッダ情報に含ませることで、通信パケットの構成、そしてヘッダ情報の構成を変更しない。そのため、MACアドレス設定部は、送信元ホストのMACアドレスを取得する部分(アドレス取得部)と、取得された前記MACアドレスを通信パケットのヘッダ情報に書き込む部分(アドレス書込部)とを備えることになる。
【0028】
具体的なMACアドレス設定部は、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得するアドレス取得部と、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記取得された送信元MACアドレスにするアドレス書込部とから構成される。こうしたアドレス設定部は、ソフトウェア又はハードウェアにより構成されるが、本発明のパケット中継装置を介在させることによるネットワーク通信のスループットを考慮した場合、できればハードウェアで構成されることが望ましい。
【0029】
また、MACアドレス設定部は、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得するアドレス取得部と、通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成するテーブル作成部と、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするアドレス書込部とから構成する。
【0030】
アドレス対応テーブルを作成する上記アドレス設定部を備えるパケット中継装置は、例えば通信パケットがUDPプロトコル又はICMPプロトコルによるものであれば、通信パケットを受信する度に、アドレス取得部により、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、テーブル作成部により、通信パケットのヘッダ情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、そしてアドレス書込部により、通信パケットのヘッダ情報とアドレス対応テーブルとを突き合わせて前記通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする。
【0031】
また、アドレス対応テーブルを作成する上記アドレス設定部を備えるパケット中継装置は、例えば通信パケットがTCPプロトコルによるものであれば、まず送信元から最初に通信パケットを受信すると、アドレス取得部により、前記通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、テーブル作成部により、フロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、そしてアドレス書込部により、通信パケットのヘッダ情報とアドレス対応テーブルとを突き合わせて前記通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、送信元から2回目以降に通信パケットを受信すると、アドレス書込部により、通信パケットのヘッダ情報とアドレス対応テーブルとを突き合わせて前記通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする。
【発明の効果】
【0032】
本発明のネットワーク通信方法は、パケット中継装置を越えて送信される送信始端MACアドレスにより、ネットワーク通信における送信始端のホストを識別できる、すなわち送信始端のホストをハードウェアレベルで個体識別できるようにする。このため、例えば全通信パケットについて送信始端MACアドレスを取得すれば、ネットワーク通信の途中で送信始端のホストが属するネットワークを変更しても、前記ホストを識別し続けることができる。また、本発明のアクセス管理方法は、ネットワーク管理装置が送信始端のホストを個別にアクセス管理できるようになり、セキュリティの向上を図ることができる。これにより、パケット中継装置を越えて送信される送信始端MACアドレスに基づいてアクセスを許可/遮断又は記録の一方又は双方をするので、ネットワーク通信の開始段階だけでなく、ネットワーク通信の途中でも送信始端のホストを監視し続けることもできる。しかも、例えば同じIPアドレスを有する別のホストが送信始端として接続を試みても、不正なアクセスとして遮断できる。
【0033】
また、本発明は、送信始端のホスト又は送信終端のホストに別途アプリケーションをインストールする必要がなく、送信始端のホスト及び送信終端のホストは従来と同じネットワーク通信をすればよく、本発明が適用されるパケット中継装置だけを用意すれば利用できる簡便さがある。しかも、本発明のパケット中継装置は、既存の装置構成をそのままに、ソフトウェア又はハードウェアにより構成されるMACアドレス設定部(アドレス取得部、テーブル作成部及びアドレス書込部)を追加するだけなので、既存の機能を損なわず、かつ廉価に製造できる。これは、本発明を利用するためのコストが低廉であるというだけでなく、既存のネットワークに対して本発明を容易に適用できる利点となる。すなわち、本発明は汎用性に優れ、一般的なネットワーク通信での利用が極めて容易である。
【0034】
更に、本発明を適用するネットワーク通信又はアクセス管理において、ネットワーク通信のスループットを低下させない利点がある。これは、パケット中継装置のMACアドレス設定部をハードウェアにより構成した場合に顕著な効果である。また、仮にMACアドレス設定部をソフトウェアにより構成した場合でも、ネットワーク通信の大半を占めるTCPプロトコルは最初に接続確立を終えれば、改めて送信元MACアドレスを取得する必要がないし、UDPプロトコル又はICMPプロトコルによる通信パケットは数が少ないため、実際上、スループットの低下を招くことがない。こうして、本発明は、送信始端のホストを識別でき、汎用性に優れ、導入が容易であり、しかも高いスループットが確保できるネットワーク通信方法及びアクセス管理方法を提供できる。
【0035】
そして、本発明によれば、MACアドレスに基づく集中的かつ絶対的なアクセス管理ができるようになる。従来のアクセス管理はIPアドレスに基づくため、アドレス変換をしないL3スイッチやNAT機能又はNAPT機能を有さない単なるルータだけで構成されたネットワークでしか利用できず、サブネット毎に分散していた。また、各ホストに割り当てるIPアドレスは比較的容易に変更できるので、前記IPアドレスが勝手に変更されると、IPアドレスに基づくアクセス管理は正確にできなくなる。これに対し、本発明のアクセス管理はMACアドレスに基づくため、前記L3スイッチやNAT機能又はNAPT機能を有さない単なるルータとNATルータとを併用したネットワークでも利用でき、アクセス管理に関係する装置を集約化して、装置の設置、運用及び管理のコストを低減させる。また、MACアドレスはホスト毎に原則変更不可として割り当てられるため、MACアドレスに基づくアクセス管理は各ホストを正確に把握しやすい。このように、本発明は、ネットワークにおける低廉かつ正確なアクセス管理を提供する。
【図面の簡単な説明】
【0036】
【図1a】本発明を適用したNATルータがホストα1からの通信パケットを受信する段階を表したネットワーク構成図である。
【図1b】本発明を適用したNATルータがホストα1から受信する通信パケットのヘッダ情報である。
【図1c】本発明を適用したNATルータが作成するホストα1のアドレス変換テーブル(=アドレス対応テーブル)である。
【図2a】本発明を適用したNATルータがホストβへ通信パケットを送信する段階を表したネットワーク構成図である。
【図2b】本発明を適用したNATルータがホストβへ送信する通信パケットのヘッダ情報である。
【図3a】本発明を適用したNATルータを介してホストα1からホストβへ送信した通信パケットをアクセス制御しているネットワーク構成図である。
【図3b】本発明を適用したアクセス管理装置が設定したアクセス制御テーブルである。
【図4a】本発明を適用したNATルータを介してホストα2からホストβへ送信した通信パケットをアクセス制御しているネットワーク構成図である。
【図4b】本発明を適用したNATルータが本発明を適用したアクセス管理装置へ送信する通信パケットのヘッダ情報である。
【図4c】本発明を適用したNATルータが作成するホストα2のアドレス変換テーブル(=アドレス対応テーブル)である。
【図5】本発明を適用したNATルータの構成の一例を示すブロック図である。
【図6a】従来のNATルータがホストα1からの通信パケットを受信する段階を表したネットワーク構成図である。
【図6b】従来のNATルータがホストα1から受信する通信パケットのヘッダ情報である。
【図6c】従来のNATルータが作成するホストα1のアドレス変換テーブル(=アドレス対応テーブル)である。
【図7a】従来のNATルータがホストβへ通信パケットを送信する段階を表したネットワーク構成図である。
【図7b】従来のNATルータがホストβへ送信する通信パケットのヘッダ情報である。
【図8a】従来のNATルータを介してホストα1からホストβへ送信した通信パケットをアクセス制御しているネットワーク構成図である。
【図8b】従来のアクセス管理装置が設定したアクセス制御テーブルである。
【図9a】従来のNATルータを介してホストα2からホストβへ送信した通信パケットをアクセス制御しているネットワーク構成図である。
【図9b】従来のNATルータが従来のアクセス管理装置へ送信する通信パケットのヘッダ情報である。
【図9c】従来のNATルータが作成するホストα2のアドレス変換テーブル(=アドレス対応テーブル)である。
【発明を実施するための形態】
【0037】
以下、本発明を実施するための形態について図を参照しながら説明する。本発明は、例えば図1aに見られるように、NATルータ1(話を簡単にするため、NAT機能のみを有する構成とする)を介してネットワークα及びネットワークβがEthernet(登録商標)により接続され、ネットワークαに属するホストα1(例えばクライアント)からネットワークβに属するホストβ(例えばサーバ)に向けてTCPプロトコルにより通信パケットを送信するネットワーク通信に利用される。物理的な全体構成は、従来(図6a参照)と何ら変わりがない。これは、ネットワークα及びネットワークβに介在する従来のNATルータ3を、本発明を適用したNATルータ1に置き換えるだけで本発明の効果を享受できること、すなわち本発明が利用容易なことを意味する。
【0038】
まず、図1a及び図1bに見られるように、ホストα1(送信始端かつ送信元)はNATルータ1(送信先)に向けて、
送信元IPアドレスがホストα1のIPアドレスα1、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがホストα1のMACアドレスα1、
送信先MACアドレスがNATルータ1のMACアドレスNATin
を含むヘッダ情報の通信パケットを送信する。このように、ホストα1は従来同様に通信パケットを送信すればよく(ヘッダ情報は従来と変わりない、図1b及び図6b比較対照)、ホストα1に別途アプリケーションをインストールする必要もない。これは、本発明が利用容易なことを意味する。
【0039】
上記通信パケットを受信したNATルータ1は、アドレス変換テーブル(図1c)を作成し、図2a及び図2bに見られるように、
送信元IPアドレスをNATルータ1のIPアドレスNATout
にアドレス変換すると共に、
送信元MACアドレスをホストα1のMACアドレスα1、そして
送信先MACアドレスをホストβのMACアドレスβ
を含むヘッダ情報の通信パケットを、ホストβ(送信終端かつ送信先)に向けて送信する。すなわち、従来の通信パケットにおけるヘッダ情報は、送信元MACアドレスがNATルータ3のMACアドレスNATout(図7b参照)であったのに対し、本発明の通信パケットにおけるヘッダ情報は、送信元MACアドレスがホストα1のMACアドレスα1(図2b参照)になっている。
【0040】
本例のNATルータ1は、次のようにして送信元MACアドレスをMACアドレスα1にする。まず、ホストα1から最初に通信パケットを受信すると、前記通信パケットのヘッダ情報に含まれるMACアドレスα1を取得すると共に、前記通信パケットのフロー情報からTCPプロトコル(トランスポートプロトコル)、IPアドレスα1(送信始端IPアドレス)、ポート番号α1(送信始端ポート番号)、IPアドレスβ(送信終端IPアドレス)、そしてポート番号β(送信終端ポート番号)からなる同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルをアドレス変換テーブル(図1c)と兼用で作成する。これにより、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスをMACアドレスα1と特定し、ホストα2に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にする。
【0041】
図示は省略するが、送信元から2回目以降に受信する通信パケットについて、アドレス変換に際し、アドレス変換テーブル(図1c)を参照して通信パケットの送信元MACアドレスをMACアドレスα1と特定し、ホストα2に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にする。このように、2回目以降に受信する通信パケットについて、先に作成したアドレス対応テーブルを参照することにより、改めてフロー情報を参照してアドレス対応テーブルを作成する手間が省略できるため、スループットが低下することを抑制又は防止できる利点がある。既に作成したアドレス対応テーブルに一致する通信パケットがなければ、それは別のホスト(例えば後述するホストα2)であるので、上述同様、1回目に受信する通信パケットとして、新たにアドレス対応テーブルを作成する。
【0042】
こうして、ホストβは、通信パケットにおけるヘッダ情報に含まれる送信元MACアドレスによりホストα1を識別できるようになる。これは、図3aに見られるように、ホストβの前段にアクセス管理装置2(アクセスを許可/遮断又は記録の一方又は双方をする装置)を介在させた場合、ホストα1及びホストα2が識別され、個々にアクセス管理できることを意味する。まず、ホストα1(送信始端)がホストβ(送信終端)にアクセスすると、上述の説明から、アクセス管理装置4は、
送信元IPアドレスがNATルータのIPアドレスNATout、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがホストα1のMACアドレスα1、
送信先MACアドレスがホストβのMACアドレスβ
を含むヘッダ情報(図2b参照)の通信パケットを受信する。アクセス管理装置4は、アクセス制御テーブル(図3b)を参照し、ホストα1のアクセスを許可(認証)してホストβに接続させると共に、前記通信パケットのヘッダ情報から、送信元MACアドレスとしてMACアドレスα1を識別情報として登録し、以後前記MACアドレスα1をヘッダ情報に含む通信パケットの通過を許可する。アクセス制御テーブルは、本例においてMACアドレスα1の通過を許可し、MACアドレスα2を遮断する(正確には、MACアドレスα1以外を遮断する)ように定義されている。
【0043】
次に、図4a〜図4cに見られるように、ホストα2(別のクライアント)がホストβにアクセスする場合を考える。この場合、NATルータ1は、上述同様、ホストα2から最初に受信する通信パケットのヘッダ情報に含まれるMACアドレスα2を取得すると共に、前記通信パケットのフロー情報からTCPプロトコル(トランスポートプロトコル)、IPアドレスα2(送信始端IPアドレス)、ポート番号α2(送信始端ポート番号)、IPアドレスβ(送信終端IPアドレス)、そしてポート番号β(送信終端ポート番号)からなる同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルをアドレス変換テーブル(図4c)と兼用で作成し、前記アドレス対応テーブルを参照して、ホストα2に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα2にする。
【0044】
これにより、アクセス管理装置4は、
送信元IPアドレスがNATルータのIPアドレスNATout、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがホストα2のMACアドレスα2、
送信先MACアドレスがホストβのMACアドレスβ
を含む通信パケット(図4b参照)を受信する。ホストα2からの通信パケットにおけるヘッダ情報は、送信元IPアドレス、送信先IPアドレス及び送信先MACアドレスがホストα1からの通信パケットにおけるヘッダ情報(図2b参照)と変わりないが、送信元MACアドレスが異なるため、前記送信元MACアドレスに基づいてアクセス管理するアクセス管理装置4は、ホストα2によるホストβへのアクセスを遮断する。
【0045】
本例のNATルータ1は、例えば図5に見られるように構成される(本発明に係る機能を中心に図示)。本発明に係る機能(例えばアクセス管理装置2又はホストβに向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、ホストα1から受信した際のヘッダ情報に含まれるMACアドレスαにする機能)は、MACアドレス設定部11により実現する。本例のMACアドレス設定部11は、大きくアドレス取得部12、テーブル作成部13及びアドレス書込部14から構成される。
【0046】
アドレス取得部12は、ホストα1から入力側NIC111が受信した通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得する。OSとしてFreeBSDがインストールされたパソコンでNATルータ1を構成した場合、アドレス取得部12は、例えばpcapを利用して通信パケットから送信元MACアドレス、本例の場合MACアドレスα1を取得する。取得されたMACアドレスは、テーブル作成部13に送られ、通信パケットのフロー情報から抽出された同一性判別情報と対応づけて、アドレス対応テーブルを構成する。
【0047】
通信パケットがTCPプロトコルによるものであれば、最初の通信パケットからMACアドレスα1を取得すればアドレス対応テーブルが作成され、以後前記アドレス対応テーブルが参照されるので、アドレス取得部12は最初の通信パケットにしか働かない。これに対し、通信パケットがUDPプロトコル又はICMPプロトコルによるものであれば、後述するように、MACアドレスα1を直接通信パケットのヘッダ情報に書き込まない限り、通信パケットを受信する度にアドレス取得部12を働かせて、MACアドレスα1を取得することになる。
【0048】
テーブル作成部13は、アドレス変換部15に取り込まれた通信パケットのフロー情報からホストα1の同一性を判別する同一性判別情報(本例は、TCPプロトコル、IPアドレスα2、ポート番号α2、IPアドレスβ、そしてポート番号β)を抽出し、MACアドレスα1と前記同一性判別情報とを対応づけるアドレス対応テーブルを作成する。全通信パケットから毎回MACアドレスα1を取得し、出力側NIC112に受け渡す通信パケットのヘッダ情報に含まれる送信元MACアドレスを毎回かつ直接MACアドレスα1にする場合、後述するアドレス変換テーブルの作成を除いて、テーブル作成部13は省略できる。
【0049】
本例のテーブル作成部13は、NATルータ1本来の働きであるアドレス変換のためのアドレス変換テーブル(IPアドレスα1とIPアドレスNAToutとの対応、ポート番号の対応は図示略)を作成し、MACアドレスα1と前記同一性判別情報との対応を前記アドレス変換テーブルに追加する形でアドレス対応テーブルを構成する。このため、テーブル作成部13は、アドレス変換部に対してIPアドレスNAToutを、MACアドレス書込部に対してMACアドレスα1を提供する。
【0050】
アドレス書込部14は、ホストα1から入力側NIC111が受信した通信パケットを取り込み、アドレス変換する際、テーブル作成部13が作成したアドレス対応テーブルを参照してMACアドレスα1を特定し、出力側NIC112から送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にする。具体的には、前段としてアドレス変換するアドレス変換部15があり、後段のアドレス書込部14により、アドレス変換を終えた通信パケットに対してMACアドレスα1を書き込む。
【0051】
アドレス変換部15は、NATルータ1本来の働きであるアドレス変換を担う。具体的には、ホストα1から入力側NIC111が受信した通信パケットを取り込み、テーブル作成部13が作成したアドレス変換テーブルを参照してアドレス変換する。テーブル作成部13が作成するアドレス変換テーブルに必要な通信パケットのヘッダ情報や、同じくテーブル作成部13が作成するアドレス対応テーブルに必要なフロー情報も、アドレス変換部15からテーブル作成部13に受け渡される。OSとしてFreeBSDがインストールされたパソコンでNATルータ1を構成した場合、アドレス変換部15は、例えば入力側NIC111からdivertを利用して通信パケットを取り込み、natdを利用してアドレス変換する。
【0052】
こうしてアドレス変換を終え、送信元MACアドレスがMACアドレスα1とされた通信パケットは、OSとしてFreeBSDがインストールされたパソコンでNATルータ1を構成した場合、pcapを利用して出力側NIC112に受け渡され、アクセス管理装置2又はホストβに向けて送信される。こうして、本発明のNATルータ1は、アドレス変換部15においてアドレス変換された通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にすることで、送信始端がホストα1であることをアクセス管理装置2又は送信終端のホストβに伝達する。
【実施例】
【0053】
簡単な通信モデルを構成し、本発明のネットワーク通信と従来のネットワーク通信とのスループットを比較する試験を実施した。試験に用いた通信モデルは、アクセス管理装置2の代用としてNAT機能を持たない通常のルータを用いた図3aに準拠する構成で、実施例(本発明)はNATルータ1(NAPT機能を有するパケット中継装置)にMACアドレス設定部を構成し、比較例(従来)はNAPT機能のみを有する構成とした。
【0054】
具体的には、ホストα1、ホストβ、NATルータ1及び前記通常のルータは、下記表1に見られる仕様のパソコンで構成し、100BaseのEthernet(登録商標)で相互に接続し、TCPプロトコルによりネットワーク通信させた。この場合、実施例のNATルータ1は、ホストα1より最初に受信する通信パケットからMACアドレスα1と、TCPプロトコル、IPアドレスα1、ポート番号α1、IPアドレスβ、そしてポート番号βからなる同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際して通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にする。
【0055】
【表1】
【0056】
具体的な試験は、ホストα1から100MBのデータをホストβへネットワーク通信することを100回繰り返し、各回のスループットを測定し、平均値をそれぞれの結果とした。この結果、比較例は93.92Mbpsのスループットであったのに対し、実施例は93.86Mbpsのスループットが得られた。両者の測定値の差は、誤差の範囲と言える程度のものであり、本発明のネットワーク通信方法を利用しても、実用上、スループットの低下が見られないとの結果を得た。また、実施例において、アクセス管理装置2に相当する通常のルータで、通信パケットの送信元MACアドレスが正しくMacアドレスα1にされていることを確認し、本発明に基づくNATルータ1の働きを実証した。
【符号の説明】
【0057】
1 NATルータ
11 MACアドレス設定部
111 入力側NIC
112 出力側NIC
12 アドレス取得部
13 テーブル作成部
14 アドレス書込部
15 アドレス変換部
2 アクセス管理装置
α1 ホスト(クライアント)
α2 ホスト(クライアント)
β ホスト(サーバ)
【技術分野】
【0001】
本発明は、異なるネットワークに属するホスト相互のネットワーク通信方法及びアクセス管理方法と、ネットワーク間に介在するパケット中継装置に関する。
【背景技術】
【0002】
異なるネットワークに属するホスト相互の通信は、例えばEthernet(登録商標)で接続され、TCP/IPプロトコル(TCPプロトコル、UDPプロトコル、IPプロトコル、ICMPプロトコル等)を利用したネットワーク通信が利用される(以下では、便宜上、TCPプロトコルを用いる場合を中心に説明する)。このとき、異なるネットワークは、パケット中継装置を介して接続される。パケット中継装置は、NAT(Network Address Translation)機能又はNAPT(Network Address Port Translation)機能の一方又は双方を備えたルータ(以下、NATルータの語で代表)のほか、通常のルータやL3スイッチがある。NAT機能はIPパケットで送受信されるIPアドレスを変換する機能、NAPT機能は前記IPアドレスに加えてポート番号を変換する機能である。NATルータは、近年問題視されるIPアドレス(IPv4準拠)の枯渇を解決する一手段として用いられる。
【0003】
NAT機能を備えたNATルータは、アドレス変換前後の対応情報(変換するIPアドレスの対応情報)をアドレス変換テーブルとして作成し、前記アドレス変換テーブルを参照してIPアドレスを変換することにより、一方のネットワークで利用されるIPアドレスを他方のネットワークで利用されるIPアドレスにアドレス変換し、多数のホスト(クライアント)で前記他方のネットワークで利用されるIPアドレスを共有する。NATルータがNAPT機能まで備えていると、IPアドレスだけでなく、変換するポート番号の対応情報も加えたアドレス変換テーブルを作成し、IPアドレスと共にポート番号まで変換する。
【0004】
NATルータ3(話を簡単にするため、NAT機能のみを有する構成とする)を介してネットワークα及びネットワークβが接続し、ネットワークαに属するホストα1(例えばクライアント)からネットワークβに属するホストβ(例えばサーバ)に向けて通信パケットを送信し、ネットワーク通信する場合を考える。ここで、通信パケットは、ネットワーク通信で送受信される情報単位を意味し、OSI参照モデルの各層に定義されるパケット又はフレームから構成される。例えば、上述したEthernet(登録商標)で接続され、TCPプロトコルを利用したネットワーク通信における通信パケットは、TCPパケット、IPパケット及びEthernet(登録商標)フレームから構成される。また、ネットワーク通信の始端であるホストα1を送信始端、ネットワーク通信の終端であるホストβを送信終端とし、直近のホストとネットワーク中継装置やネットワーク中継装置相互、例えばホストα1及びNATルータ3ではホストα1を送信元、NATルータ3を送信先と呼び、NATルータ3及びホストβではNATルータ3を送信元、ホストβを送信先と呼ぶ。
【0005】
まず、図6a及び図6bに見られるように、ホストα1(送信始端かつ送信元)はNATルータ3(送信先)に向けて、
送信元IPアドレスがホストα1のIPアドレスα1、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがホストα1のMACアドレスα1、
送信先MACアドレスがNATルータ3のMACアドレスNATin
を含むヘッダ情報の通信パケットを送信する(「NATin」は、NATルータ3のネットワークαに向いた側=ホストα1から見て内側を意味する)。MACアドレスは、ホストα1やNATルータ(正確にはそれぞれのネットワークインタフェース)それぞれに設定される識別情報である。
【0006】
上記通信パケットを受信したNATルータ3は、アドレス変換テーブル(図6c)を作成又は参照し、図7a及び図7bに見られるように、
送信元IPアドレスをNATルータ3のIPアドレスNATout
にアドレス変換すると共に、
送信元MACアドレスをNATルータ3のMACアドレスNATout、そして
送信先MACアドレスをホストβのMACアドレスβ
を含むヘッダ情報の通信パケットを、ホストβ(送信終端かつ送信先)に向けて送信する(「NATout」は、NATルータ3のネットワークβに向いた側=ホストα1から見て外側を意味する)。アドレス変換により書き換えられるヘッダ情報はIPパケットのIPアドレスで、Ethernet(登録商標)フレームのMACアドレスは、NATルータ3自身が改めて送信元及び送信先を設定する。
【0007】
これから理解されるように、ホストβがIPアドレスで送信始端を識別しようとすると、受信する通信パケットにホストα1を識別するIPアドレスが含まれておらず、ホストβはNATルータ3しか識別できない。これは、ホストβの前段にアクセス管理装置4(アクセスを許可/遮断又は記録の一方又は双方をする装置)を介在させた場合に次の問題を招く。まず、図8aに見られるように、ホストα1(送信始端)がホストβ(送信終端)にアクセスすると、上述の説明から、アクセス管理装置4は、
送信元IPアドレスがNATルータ3のIPアドレスNATout、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがNATルータ3のMACアドレスNATout、
送信先MACアドレスがホストβのMACアドレスβ
を含むヘッダ情報(図7b参照)の通信パケットを受信する。アクセス管理装置4は、アクセス制御テーブル(図8b)を参照し、ホストα1のアクセスを許可(認証)してホストβに接続させると共に、前記通信パケットのヘッダ情報から、送信元IPアドレス、すなわちNATルータ3のIPアドレスNAToutを識別情報として登録し、以後前記IPアドレスNAToutをヘッダ情報に含む通信パケットによるホストβに対するアクセスのみを許可する。
【0008】
ところが、図9a〜図9cに見られるように、ホストα2(別のクライアント)がホストβにアクセスしようとすると、アクセス管理装置4は、
送信元IPアドレスがNATルータ3のIPアドレスNATout、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがNATルータ3のMACアドレスNATout、
送信先MACアドレスがホストβのMACアドレスβ
を含む通信パケット(図9b参照)を受信するため、ホストα2からの通信パケットであるにも拘わらず、登録された識別情報のIPアドレスNAToutに一致し、ホストα2もホストβに対するアクセスが許可される。これは、アクセス管理装置4が、ホストα1及びホストα2を個別に識別できないことに起因するセキュリティの低下である。
【0009】
ここで、ホストα1及びホストα2の各ポート番号が異なると、それぞれのポート番号がそのまま送信され、前記ポート番号からホストα1及びホストα2を識別できるように見える(図7b及び図9bを比較対照)。しかし、ポート番号による識別はネットワーク通信における送信始端の特定でしかなく、具体的にホストα1及びホストα2を識別するわけではない。例えばホストα1に代えて同じIPアドレス及びポート番号を利用するホストα2によりネットワーク通信させると、もはやホストα1とホストα2とを区別することができない。仮に同一IPアドレス及び同一ポート番号のホスト代替が問題にならなくても、NAPT機能を有するNATルータはポート番号まで変換するため、ポート番号によりホストα1及びホストα2を区別することは難しいと言わざるを得ない。
【0010】
そこで、アドレス変換に新たな機能を追加したネットワーク通信方法(非特許文献1)が提案されたり、WWWアクセスに限ってだが、ユーザID及びパスワードやクッキーを利用したアクセス認証(非特許文献2、非特許文献3)が利用されたりしている。非特許文献1が開示する「NATS」は、例えばホストβ(サーバ)に向けた通信パケットのヘッダ情報を拡張し、ネットワークα内で使用されるIPアドレスα1及びIPアドレスα2を前記拡張されたヘッダ情報に追加して、ホストβがホストα1及びホストα2を識別する。非特許文献2が開示する「HTTP認証」は、HTTPメッセージの認証ヘッダ(Authorization Header)にユーザ名(userid)とパスワード(password)を付加し、正当なWWWアクセスであるか否かを識別する。これは、HTTPメッセージ毎にWWWアクセスの正当性が判別できる利点がある。非特許文献3が開示する「HTTPクッキー」は、HTTPメッセージに含まれるクッキー(Cookie)に状態情報を付加するもので、例えばホストα1がホストβ(サーバ)から返信されたクッキーを保存し、次にホストβ(サーバ)へ送信するHTTPメッセージに前記クッキーを含ませておくことにより、ホストα1の正当性を判別する。
【先行技術文献】
【特許文献】
【0011】
【非特許文献1】Kuniaki KONDO - Intec NetCore, Inc.ほか,「NATS Project TOP(japanese)」,平成21年07月01日検索,URL:http://www.nats-project.org/index-j.html
【非特許文献2】J.Franksほか,「HTTP Authentication: Basic and Digest Access Authentication」,1999年7月,平成21年07月01日検索,URL:http://www.ietf.org/rfc/rfc2617.txt
【非特許文献3】D.Kristolほか,「HTTP State Management Mechanism」,2000年10月,平成21年07月01日検索,URL:http://www.ietf.org/rfc/rfc2965.txt
【発明の概要】
【発明が解決しようとする課題】
【0012】
このように、現在のところ、NATルータを介したアクセス管理装置によるホストのアクセス許可(認証)は、アクセス管理装置によるセキュリティを大幅に低下させる虞がある。この場合、ネットワークα、ネットワークβ及びNATルータが全て同一管理下にあれば、アクセス管理機能を有するNATルータを用いることにより、同一管理者が全ホストのアクセスを管理(アクセスを許可/遮断又は記録の一方又は双方をすること)も容易である。しかし、現実には、ネットワークα、ネットワークβ及びNATルータが同一管理下にないことが多く、例えばサブネット毎に異なる管理者がそれぞれのサブネットに属するホストのアクセスを管理するに留まっていた。そこで、管理者の異なるサブネットを越えて全ホストを統一的又は集中的に管理するには、ホストα1及びホストα2を識別するネットワーク通信が検討されることになる。
【0013】
非特許文献1が開示する「NATS」は、通信パケットのヘッダ情報を拡張してサブアドレスを追加するため、現状の通信パケットの構成を変更させる問題がある。そして、処理すべき通信パケットのヘッダ情報が大きくなり、ネットワーク通信のスループットを低下させる虞がある。近年のネットワーク通信では、取り扱うデータの増大から、スループットの向上も重要視されているので、スループットの低下は好ましくない。また、非特許文献2が開示する「HTTP認証」や非特許文献3が開示する「HTTPクッキー」は、あくまでHTTPアクセスに限ったものであり、その具体的方法はHTTPに依存するものであるから、通常のネットワーク通信に利用できない。そこで、サブネットを越えて、ホストを識別できるネットワーク通信方法であり、かつ汎用性に優れ、導入が容易であり、しかも高いスループットが確保できるネットワーク通信方法を開発するため、検討した。
【課題を解決するための手段】
【0014】
検討の結果開発したものが、パケット中継装置を介してホスト相互がネットワーク通信するに際し、パケット中継装置において、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにするネットワーク通信方法である。ここで、「パケット中継装置」は、NATルータ、L3スイッチ、NAT機能又はNAPT機能を有さない単なるルータのほか、送信元又は送信始端から通信パケットを受信し、ヘッダ情報を適宜変換又はそのまま通過させ、送信先又は送信終端へ前記通信パケットを送信する装置全般を含む。ここで、「送信元」はパケット中継装置の上流にある送信始端のホスト又は前段のパケット中継装置を、また「送信先」はパケット中継装置の下流にある送信終端のホスト又は後段のパケット中継装置を意味する。
【0015】
本発明のネットワーク通信方法は、パケット中継装置が、送信始端かつ送信元であるホストや送信元である前段のパケット中継装置から受信した通信パケットの送信元MACアドレスを、送信終端かつ送信先であるホストや送信先である次段のパケット中継装置に向けて送信する通信パケットの送信元MACアドレスにすることにより、パケット中継装置を越えて、ネットワーク通信における送信始端MACアドレスを送信終端にまで送信する、すなわち通信パケットのヘッダ情報に含まれる送信元MACアドレスを、送信始端のホスト、ネットワーク中継装置から送信終端のホストに至るまで、すべて送信始端MACアドレスにする。これにより、送信終端のホストやアクセス管理装置は、送信始端MACアドレスに基づいて送信始端を具体的に識別できるようになる。ここで、「送信始端MACアドレスに基づいて送信始端を具体的に識別できる」とは、例えばホストα1に代えて同じIPアドレス及びポート番号を利用するホストα2によりネットワーク通信させても、なおホストα1とホストα2とを区別できること、すなわちハードウェアとして個体識別できることを意味する。
【0016】
本発明における好適なネットワーク通信方法は、パケット中継装置において、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするネットワーク通信方法である。例えば、パケット中継装置が受信する通信パケット毎に送信元MACアドレスを取得し、送信先に向けて送信する通信パケットのヘッダ情報に前記取得された送信元MACアドレスを設定すれば、通信パケット毎に送信始端を識別できるようになる。これから、送信元MACアドレスを取得する通信パケットは、パケット中継装置が受信する全てを対象にすることが好ましい。しかし、スループットを考慮した場合、内容又は種類に応じて選別される特定される通信パケットや、パケット中継装置が受信するタイミングに応じて間引きされる特定の通信パケットを対象にしてもよい。
【0017】
ここで、送信先に向けて送信する通信パケットのヘッダ情報に前記取得された送信元MACアドレスを設定する場合、送信元IPアドレスと前記送信元MACアドレスとを対応づけるアドレス対応テーブルを作成し、利用するとよい。すなわち、パケット中継装置において、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするとよい。
【0018】
「同一性判別情報」は、通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別するに足りる情報をまとめたもので、あくまでネットワーク通信における送信始端としての同一性を判別するだけで、送信始端のホストそのもの同一性を個別に判別するものではない。例えばTCPプロトコル又はUDPプロトコルの場合、フロー情報から一部又は全部を抽出して同一性判別情報が構成される。フロー情報は、各ネットワーク中継装置においてネットワーク通信の同一性を判別する情報で、基本としてトランスポートプロトコル、送信始端IPアドレス又は送信元IPアドレス、送信始端ポート番号又は送信元ポート番号、送信終端IPアドレス又は送信先IPアドレス、そして送信終端ポート番号又は送信先ポート番号を含み、場合によってその他の情報が付加される。フロー情報から全部を抽出して同一性判別情報が構成される場合、同一性判別情報とフロー情報とが一致する。また、ICMPプロトコルの場合、識別子(16ビットの整数値)を有する通信パケットでは前記識別子を同一性判別情報として、また識別子を有さない通信パケットではヘッダ情報に含まれるトランスポートプロトコル、送信始端IPアドレス又は送信元IPアドレス、送信始端ポート番号又は送信元ポート番号等を同一性判別情報として抽出する。
【0019】
アドレス対応テーブルは、通信パケットのヘッダ情報を同一性判別情報と突き合わせて前記通信パケットに対応する送信元MACアドレスを特定するための対応表で、パケット中継装置が作成するアドレス変換テーブルと別に作成されることを基本とする。しかし、アドレス変換テーブルに含まれる情報が同一性判別情報として利用できる場合(アドレス変換テーブルに含まれる情報が同一性判別情報を含む又は一致する場合)、前記アドレス変換テーブルに送信元MACアドレスを追加してアドレス変換テーブルと兼用して利用するようにしてもよい。
【0020】
アドレス対応テーブルを利用する上記ネットワーク通信方法は、TCPプロトコルによる通信パケットを用いたネットワーク通信にはもちろん、例えばUDPプロトコル又はICMPプロトコル等による通信パケットを用いたネットワーク通信にも利用できる。この場合、パケット中継装置は、通信パケット毎に毎回送信元MACアドレスを取得し、前記送信元MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際して、前記アドレス対応テーブルを参照することにより、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする。このため、通信パケット毎に送信始端を識別することができる利点を有する。
【0021】
アドレス対応テーブルを利用する上記ネットワーク通信方法は、通信パケット毎に送信元MACアドレスを取得するため、送信元MACアドレスを取得する処理時間が余分に掛かってしまう。そこで、パケット中継装置において、送信元から最初に受信する通信パケットについて、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、送信元から2回目以降に受信する通信パケットについて、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするとよい。
【0022】
「送信元から最初に受信する通信パケット」とは、コネクション指向のトランスポートプロトコルに用いられる状態を表すフラグが付されたパケット、例えばTCPプロトコルにおける接続確立のためにSYNフラグが付されたTCPパケットを含む通信パケットを意味する。上記ネットワーク通信方法は、SYNフラグが付されたTCPパケットを含む通信パケットから取得した送信元MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを一度作成すれば、以後は前記アドレス対応テーブルを参照するだけで、改めて作り直すことがない。これにより、本発明を利用したネットワーク通信方法におけるスループットの低下を抑制又は防止できる。
【0023】
本発明のネットワーク通信方法を利用すれば、アクセス管理装置によるアクセスの許可/遮断又は記録の一方又は双方をすること、すなわちアクセス管理が容易となる。本発明のネットワーク通信方法を利用したアクセス管理方法は、パケット中継装置を介してホスト相互がネットワーク通信するに際し、パケット中継装置において、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにし、アクセス管理装置は、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスからホストを識別し、アクセスを許可/遮断又は記録の一方又は双方をするアクセス管理方法となる。
【0024】
本発明のアクセス管理方法におけるパケット中継装置の働きは、上述までのネットワーク通信方法と異ならない。すなわち、本発明のアクセス管理方法でも、パケット中継装置において、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにすると、通信パケット毎にアクセスを許可又は遮断できるようになり、よりセキュリティを高めることができる。また、アクセス管理装置において、アクセスを記録すれば、前記通信パケットのヘッダ情報に含まれる送信元MACアドレス、すなわち送信始端MACアドレスにより識別できる各ホストの通信ログを記録できる。
【0025】
また、パケット中継装置において、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにすることもできる。
【0026】
そして、パケット中継装置において、送信元から最初に受信する通信パケットについて、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、送信元から2回目以降に受信する通信パケットについて、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにすれば、スループットが低下することを抑制又は防止できる。
【0027】
本発明に用いるパケット中継装置は、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにするMACアドレス設定部を有する構成となる。このパケット中継装置は、送信元のMACアドレスを通信パケットのヘッダ情報と別に前記通信パケットに付与するのではなく、パケット中継装置のMACアドレスに代えて通信パケットのヘッダ情報に含ませることで、通信パケットの構成、そしてヘッダ情報の構成を変更しない。そのため、MACアドレス設定部は、送信元ホストのMACアドレスを取得する部分(アドレス取得部)と、取得された前記MACアドレスを通信パケットのヘッダ情報に書き込む部分(アドレス書込部)とを備えることになる。
【0028】
具体的なMACアドレス設定部は、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得するアドレス取得部と、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記取得された送信元MACアドレスにするアドレス書込部とから構成される。こうしたアドレス設定部は、ソフトウェア又はハードウェアにより構成されるが、本発明のパケット中継装置を介在させることによるネットワーク通信のスループットを考慮した場合、できればハードウェアで構成されることが望ましい。
【0029】
また、MACアドレス設定部は、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得するアドレス取得部と、通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成するテーブル作成部と、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするアドレス書込部とから構成する。
【0030】
アドレス対応テーブルを作成する上記アドレス設定部を備えるパケット中継装置は、例えば通信パケットがUDPプロトコル又はICMPプロトコルによるものであれば、通信パケットを受信する度に、アドレス取得部により、送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、テーブル作成部により、通信パケットのヘッダ情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、そしてアドレス書込部により、通信パケットのヘッダ情報とアドレス対応テーブルとを突き合わせて前記通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする。
【0031】
また、アドレス対応テーブルを作成する上記アドレス設定部を備えるパケット中継装置は、例えば通信パケットがTCPプロトコルによるものであれば、まず送信元から最初に通信パケットを受信すると、アドレス取得部により、前記通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、テーブル作成部により、フロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、そしてアドレス書込部により、通信パケットのヘッダ情報とアドレス対応テーブルとを突き合わせて前記通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、送信元から2回目以降に通信パケットを受信すると、アドレス書込部により、通信パケットのヘッダ情報とアドレス対応テーブルとを突き合わせて前記通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする。
【発明の効果】
【0032】
本発明のネットワーク通信方法は、パケット中継装置を越えて送信される送信始端MACアドレスにより、ネットワーク通信における送信始端のホストを識別できる、すなわち送信始端のホストをハードウェアレベルで個体識別できるようにする。このため、例えば全通信パケットについて送信始端MACアドレスを取得すれば、ネットワーク通信の途中で送信始端のホストが属するネットワークを変更しても、前記ホストを識別し続けることができる。また、本発明のアクセス管理方法は、ネットワーク管理装置が送信始端のホストを個別にアクセス管理できるようになり、セキュリティの向上を図ることができる。これにより、パケット中継装置を越えて送信される送信始端MACアドレスに基づいてアクセスを許可/遮断又は記録の一方又は双方をするので、ネットワーク通信の開始段階だけでなく、ネットワーク通信の途中でも送信始端のホストを監視し続けることもできる。しかも、例えば同じIPアドレスを有する別のホストが送信始端として接続を試みても、不正なアクセスとして遮断できる。
【0033】
また、本発明は、送信始端のホスト又は送信終端のホストに別途アプリケーションをインストールする必要がなく、送信始端のホスト及び送信終端のホストは従来と同じネットワーク通信をすればよく、本発明が適用されるパケット中継装置だけを用意すれば利用できる簡便さがある。しかも、本発明のパケット中継装置は、既存の装置構成をそのままに、ソフトウェア又はハードウェアにより構成されるMACアドレス設定部(アドレス取得部、テーブル作成部及びアドレス書込部)を追加するだけなので、既存の機能を損なわず、かつ廉価に製造できる。これは、本発明を利用するためのコストが低廉であるというだけでなく、既存のネットワークに対して本発明を容易に適用できる利点となる。すなわち、本発明は汎用性に優れ、一般的なネットワーク通信での利用が極めて容易である。
【0034】
更に、本発明を適用するネットワーク通信又はアクセス管理において、ネットワーク通信のスループットを低下させない利点がある。これは、パケット中継装置のMACアドレス設定部をハードウェアにより構成した場合に顕著な効果である。また、仮にMACアドレス設定部をソフトウェアにより構成した場合でも、ネットワーク通信の大半を占めるTCPプロトコルは最初に接続確立を終えれば、改めて送信元MACアドレスを取得する必要がないし、UDPプロトコル又はICMPプロトコルによる通信パケットは数が少ないため、実際上、スループットの低下を招くことがない。こうして、本発明は、送信始端のホストを識別でき、汎用性に優れ、導入が容易であり、しかも高いスループットが確保できるネットワーク通信方法及びアクセス管理方法を提供できる。
【0035】
そして、本発明によれば、MACアドレスに基づく集中的かつ絶対的なアクセス管理ができるようになる。従来のアクセス管理はIPアドレスに基づくため、アドレス変換をしないL3スイッチやNAT機能又はNAPT機能を有さない単なるルータだけで構成されたネットワークでしか利用できず、サブネット毎に分散していた。また、各ホストに割り当てるIPアドレスは比較的容易に変更できるので、前記IPアドレスが勝手に変更されると、IPアドレスに基づくアクセス管理は正確にできなくなる。これに対し、本発明のアクセス管理はMACアドレスに基づくため、前記L3スイッチやNAT機能又はNAPT機能を有さない単なるルータとNATルータとを併用したネットワークでも利用でき、アクセス管理に関係する装置を集約化して、装置の設置、運用及び管理のコストを低減させる。また、MACアドレスはホスト毎に原則変更不可として割り当てられるため、MACアドレスに基づくアクセス管理は各ホストを正確に把握しやすい。このように、本発明は、ネットワークにおける低廉かつ正確なアクセス管理を提供する。
【図面の簡単な説明】
【0036】
【図1a】本発明を適用したNATルータがホストα1からの通信パケットを受信する段階を表したネットワーク構成図である。
【図1b】本発明を適用したNATルータがホストα1から受信する通信パケットのヘッダ情報である。
【図1c】本発明を適用したNATルータが作成するホストα1のアドレス変換テーブル(=アドレス対応テーブル)である。
【図2a】本発明を適用したNATルータがホストβへ通信パケットを送信する段階を表したネットワーク構成図である。
【図2b】本発明を適用したNATルータがホストβへ送信する通信パケットのヘッダ情報である。
【図3a】本発明を適用したNATルータを介してホストα1からホストβへ送信した通信パケットをアクセス制御しているネットワーク構成図である。
【図3b】本発明を適用したアクセス管理装置が設定したアクセス制御テーブルである。
【図4a】本発明を適用したNATルータを介してホストα2からホストβへ送信した通信パケットをアクセス制御しているネットワーク構成図である。
【図4b】本発明を適用したNATルータが本発明を適用したアクセス管理装置へ送信する通信パケットのヘッダ情報である。
【図4c】本発明を適用したNATルータが作成するホストα2のアドレス変換テーブル(=アドレス対応テーブル)である。
【図5】本発明を適用したNATルータの構成の一例を示すブロック図である。
【図6a】従来のNATルータがホストα1からの通信パケットを受信する段階を表したネットワーク構成図である。
【図6b】従来のNATルータがホストα1から受信する通信パケットのヘッダ情報である。
【図6c】従来のNATルータが作成するホストα1のアドレス変換テーブル(=アドレス対応テーブル)である。
【図7a】従来のNATルータがホストβへ通信パケットを送信する段階を表したネットワーク構成図である。
【図7b】従来のNATルータがホストβへ送信する通信パケットのヘッダ情報である。
【図8a】従来のNATルータを介してホストα1からホストβへ送信した通信パケットをアクセス制御しているネットワーク構成図である。
【図8b】従来のアクセス管理装置が設定したアクセス制御テーブルである。
【図9a】従来のNATルータを介してホストα2からホストβへ送信した通信パケットをアクセス制御しているネットワーク構成図である。
【図9b】従来のNATルータが従来のアクセス管理装置へ送信する通信パケットのヘッダ情報である。
【図9c】従来のNATルータが作成するホストα2のアドレス変換テーブル(=アドレス対応テーブル)である。
【発明を実施するための形態】
【0037】
以下、本発明を実施するための形態について図を参照しながら説明する。本発明は、例えば図1aに見られるように、NATルータ1(話を簡単にするため、NAT機能のみを有する構成とする)を介してネットワークα及びネットワークβがEthernet(登録商標)により接続され、ネットワークαに属するホストα1(例えばクライアント)からネットワークβに属するホストβ(例えばサーバ)に向けてTCPプロトコルにより通信パケットを送信するネットワーク通信に利用される。物理的な全体構成は、従来(図6a参照)と何ら変わりがない。これは、ネットワークα及びネットワークβに介在する従来のNATルータ3を、本発明を適用したNATルータ1に置き換えるだけで本発明の効果を享受できること、すなわち本発明が利用容易なことを意味する。
【0038】
まず、図1a及び図1bに見られるように、ホストα1(送信始端かつ送信元)はNATルータ1(送信先)に向けて、
送信元IPアドレスがホストα1のIPアドレスα1、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがホストα1のMACアドレスα1、
送信先MACアドレスがNATルータ1のMACアドレスNATin
を含むヘッダ情報の通信パケットを送信する。このように、ホストα1は従来同様に通信パケットを送信すればよく(ヘッダ情報は従来と変わりない、図1b及び図6b比較対照)、ホストα1に別途アプリケーションをインストールする必要もない。これは、本発明が利用容易なことを意味する。
【0039】
上記通信パケットを受信したNATルータ1は、アドレス変換テーブル(図1c)を作成し、図2a及び図2bに見られるように、
送信元IPアドレスをNATルータ1のIPアドレスNATout
にアドレス変換すると共に、
送信元MACアドレスをホストα1のMACアドレスα1、そして
送信先MACアドレスをホストβのMACアドレスβ
を含むヘッダ情報の通信パケットを、ホストβ(送信終端かつ送信先)に向けて送信する。すなわち、従来の通信パケットにおけるヘッダ情報は、送信元MACアドレスがNATルータ3のMACアドレスNATout(図7b参照)であったのに対し、本発明の通信パケットにおけるヘッダ情報は、送信元MACアドレスがホストα1のMACアドレスα1(図2b参照)になっている。
【0040】
本例のNATルータ1は、次のようにして送信元MACアドレスをMACアドレスα1にする。まず、ホストα1から最初に通信パケットを受信すると、前記通信パケットのヘッダ情報に含まれるMACアドレスα1を取得すると共に、前記通信パケットのフロー情報からTCPプロトコル(トランスポートプロトコル)、IPアドレスα1(送信始端IPアドレス)、ポート番号α1(送信始端ポート番号)、IPアドレスβ(送信終端IPアドレス)、そしてポート番号β(送信終端ポート番号)からなる同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルをアドレス変換テーブル(図1c)と兼用で作成する。これにより、アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスをMACアドレスα1と特定し、ホストα2に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にする。
【0041】
図示は省略するが、送信元から2回目以降に受信する通信パケットについて、アドレス変換に際し、アドレス変換テーブル(図1c)を参照して通信パケットの送信元MACアドレスをMACアドレスα1と特定し、ホストα2に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にする。このように、2回目以降に受信する通信パケットについて、先に作成したアドレス対応テーブルを参照することにより、改めてフロー情報を参照してアドレス対応テーブルを作成する手間が省略できるため、スループットが低下することを抑制又は防止できる利点がある。既に作成したアドレス対応テーブルに一致する通信パケットがなければ、それは別のホスト(例えば後述するホストα2)であるので、上述同様、1回目に受信する通信パケットとして、新たにアドレス対応テーブルを作成する。
【0042】
こうして、ホストβは、通信パケットにおけるヘッダ情報に含まれる送信元MACアドレスによりホストα1を識別できるようになる。これは、図3aに見られるように、ホストβの前段にアクセス管理装置2(アクセスを許可/遮断又は記録の一方又は双方をする装置)を介在させた場合、ホストα1及びホストα2が識別され、個々にアクセス管理できることを意味する。まず、ホストα1(送信始端)がホストβ(送信終端)にアクセスすると、上述の説明から、アクセス管理装置4は、
送信元IPアドレスがNATルータのIPアドレスNATout、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがホストα1のMACアドレスα1、
送信先MACアドレスがホストβのMACアドレスβ
を含むヘッダ情報(図2b参照)の通信パケットを受信する。アクセス管理装置4は、アクセス制御テーブル(図3b)を参照し、ホストα1のアクセスを許可(認証)してホストβに接続させると共に、前記通信パケットのヘッダ情報から、送信元MACアドレスとしてMACアドレスα1を識別情報として登録し、以後前記MACアドレスα1をヘッダ情報に含む通信パケットの通過を許可する。アクセス制御テーブルは、本例においてMACアドレスα1の通過を許可し、MACアドレスα2を遮断する(正確には、MACアドレスα1以外を遮断する)ように定義されている。
【0043】
次に、図4a〜図4cに見られるように、ホストα2(別のクライアント)がホストβにアクセスする場合を考える。この場合、NATルータ1は、上述同様、ホストα2から最初に受信する通信パケットのヘッダ情報に含まれるMACアドレスα2を取得すると共に、前記通信パケットのフロー情報からTCPプロトコル(トランスポートプロトコル)、IPアドレスα2(送信始端IPアドレス)、ポート番号α2(送信始端ポート番号)、IPアドレスβ(送信終端IPアドレス)、そしてポート番号β(送信終端ポート番号)からなる同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルをアドレス変換テーブル(図4c)と兼用で作成し、前記アドレス対応テーブルを参照して、ホストα2に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα2にする。
【0044】
これにより、アクセス管理装置4は、
送信元IPアドレスがNATルータのIPアドレスNATout、
送信先IPアドレスがホストβのIPアドレスβ、
送信元MACアドレスがホストα2のMACアドレスα2、
送信先MACアドレスがホストβのMACアドレスβ
を含む通信パケット(図4b参照)を受信する。ホストα2からの通信パケットにおけるヘッダ情報は、送信元IPアドレス、送信先IPアドレス及び送信先MACアドレスがホストα1からの通信パケットにおけるヘッダ情報(図2b参照)と変わりないが、送信元MACアドレスが異なるため、前記送信元MACアドレスに基づいてアクセス管理するアクセス管理装置4は、ホストα2によるホストβへのアクセスを遮断する。
【0045】
本例のNATルータ1は、例えば図5に見られるように構成される(本発明に係る機能を中心に図示)。本発明に係る機能(例えばアクセス管理装置2又はホストβに向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、ホストα1から受信した際のヘッダ情報に含まれるMACアドレスαにする機能)は、MACアドレス設定部11により実現する。本例のMACアドレス設定部11は、大きくアドレス取得部12、テーブル作成部13及びアドレス書込部14から構成される。
【0046】
アドレス取得部12は、ホストα1から入力側NIC111が受信した通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得する。OSとしてFreeBSDがインストールされたパソコンでNATルータ1を構成した場合、アドレス取得部12は、例えばpcapを利用して通信パケットから送信元MACアドレス、本例の場合MACアドレスα1を取得する。取得されたMACアドレスは、テーブル作成部13に送られ、通信パケットのフロー情報から抽出された同一性判別情報と対応づけて、アドレス対応テーブルを構成する。
【0047】
通信パケットがTCPプロトコルによるものであれば、最初の通信パケットからMACアドレスα1を取得すればアドレス対応テーブルが作成され、以後前記アドレス対応テーブルが参照されるので、アドレス取得部12は最初の通信パケットにしか働かない。これに対し、通信パケットがUDPプロトコル又はICMPプロトコルによるものであれば、後述するように、MACアドレスα1を直接通信パケットのヘッダ情報に書き込まない限り、通信パケットを受信する度にアドレス取得部12を働かせて、MACアドレスα1を取得することになる。
【0048】
テーブル作成部13は、アドレス変換部15に取り込まれた通信パケットのフロー情報からホストα1の同一性を判別する同一性判別情報(本例は、TCPプロトコル、IPアドレスα2、ポート番号α2、IPアドレスβ、そしてポート番号β)を抽出し、MACアドレスα1と前記同一性判別情報とを対応づけるアドレス対応テーブルを作成する。全通信パケットから毎回MACアドレスα1を取得し、出力側NIC112に受け渡す通信パケットのヘッダ情報に含まれる送信元MACアドレスを毎回かつ直接MACアドレスα1にする場合、後述するアドレス変換テーブルの作成を除いて、テーブル作成部13は省略できる。
【0049】
本例のテーブル作成部13は、NATルータ1本来の働きであるアドレス変換のためのアドレス変換テーブル(IPアドレスα1とIPアドレスNAToutとの対応、ポート番号の対応は図示略)を作成し、MACアドレスα1と前記同一性判別情報との対応を前記アドレス変換テーブルに追加する形でアドレス対応テーブルを構成する。このため、テーブル作成部13は、アドレス変換部に対してIPアドレスNAToutを、MACアドレス書込部に対してMACアドレスα1を提供する。
【0050】
アドレス書込部14は、ホストα1から入力側NIC111が受信した通信パケットを取り込み、アドレス変換する際、テーブル作成部13が作成したアドレス対応テーブルを参照してMACアドレスα1を特定し、出力側NIC112から送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にする。具体的には、前段としてアドレス変換するアドレス変換部15があり、後段のアドレス書込部14により、アドレス変換を終えた通信パケットに対してMACアドレスα1を書き込む。
【0051】
アドレス変換部15は、NATルータ1本来の働きであるアドレス変換を担う。具体的には、ホストα1から入力側NIC111が受信した通信パケットを取り込み、テーブル作成部13が作成したアドレス変換テーブルを参照してアドレス変換する。テーブル作成部13が作成するアドレス変換テーブルに必要な通信パケットのヘッダ情報や、同じくテーブル作成部13が作成するアドレス対応テーブルに必要なフロー情報も、アドレス変換部15からテーブル作成部13に受け渡される。OSとしてFreeBSDがインストールされたパソコンでNATルータ1を構成した場合、アドレス変換部15は、例えば入力側NIC111からdivertを利用して通信パケットを取り込み、natdを利用してアドレス変換する。
【0052】
こうしてアドレス変換を終え、送信元MACアドレスがMACアドレスα1とされた通信パケットは、OSとしてFreeBSDがインストールされたパソコンでNATルータ1を構成した場合、pcapを利用して出力側NIC112に受け渡され、アクセス管理装置2又はホストβに向けて送信される。こうして、本発明のNATルータ1は、アドレス変換部15においてアドレス変換された通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にすることで、送信始端がホストα1であることをアクセス管理装置2又は送信終端のホストβに伝達する。
【実施例】
【0053】
簡単な通信モデルを構成し、本発明のネットワーク通信と従来のネットワーク通信とのスループットを比較する試験を実施した。試験に用いた通信モデルは、アクセス管理装置2の代用としてNAT機能を持たない通常のルータを用いた図3aに準拠する構成で、実施例(本発明)はNATルータ1(NAPT機能を有するパケット中継装置)にMACアドレス設定部を構成し、比較例(従来)はNAPT機能のみを有する構成とした。
【0054】
具体的には、ホストα1、ホストβ、NATルータ1及び前記通常のルータは、下記表1に見られる仕様のパソコンで構成し、100BaseのEthernet(登録商標)で相互に接続し、TCPプロトコルによりネットワーク通信させた。この場合、実施例のNATルータ1は、ホストα1より最初に受信する通信パケットからMACアドレスα1と、TCPプロトコル、IPアドレスα1、ポート番号α1、IPアドレスβ、そしてポート番号βからなる同一性判別情報とを対応づけるアドレス対応テーブルを作成し、アドレス変換に際して通信パケットのヘッダ情報に含まれる送信元MACアドレスをMACアドレスα1にする。
【0055】
【表1】
【0056】
具体的な試験は、ホストα1から100MBのデータをホストβへネットワーク通信することを100回繰り返し、各回のスループットを測定し、平均値をそれぞれの結果とした。この結果、比較例は93.92Mbpsのスループットであったのに対し、実施例は93.86Mbpsのスループットが得られた。両者の測定値の差は、誤差の範囲と言える程度のものであり、本発明のネットワーク通信方法を利用しても、実用上、スループットの低下が見られないとの結果を得た。また、実施例において、アクセス管理装置2に相当する通常のルータで、通信パケットの送信元MACアドレスが正しくMacアドレスα1にされていることを確認し、本発明に基づくNATルータ1の働きを実証した。
【符号の説明】
【0057】
1 NATルータ
11 MACアドレス設定部
111 入力側NIC
112 出力側NIC
12 アドレス取得部
13 テーブル作成部
14 アドレス書込部
15 アドレス変換部
2 アクセス管理装置
α1 ホスト(クライアント)
α2 ホスト(クライアント)
β ホスト(サーバ)
【特許請求の範囲】
【請求項1】
パケット中継装置を介してホスト相互がネットワーク通信するに際し、
パケット中継装置において、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにすることを特徴とするネットワーク通信方法。
【請求項2】
パケット中継装置において、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項1記載のネットワーク通信方法。
【請求項3】
パケット中継装置において、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項1記載のネットワーク通信方法。
【請求項4】
パケット中継装置において、
送信元から最初に受信する通信パケットについて、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、
送信元から2回目以降に受信する通信パケットについて、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項1記載のネットワーク通信方法。
【請求項5】
パケット中継装置及びアクセス管理装置を介してホスト相互がネットワーク通信するに際し、
パケット中継装置において、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにし、
アクセス管理装置は、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスからホストを識別し、ホスト毎にアクセスを許可/遮断又は記録の一方又は双方をすることを特徴とするアクセス管理方法。
【請求項6】
パケット中継装置において、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項5記載のアクセス管理方法。
【請求項7】
パケット中継装置において、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項5記載のアクセス管理方法。
【請求項8】
パケット中継装置において、
送信元から最初に受信する通信パケットについて、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、
送信元から2回目以降に受信する通信パケットについて、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項5記載のアクセス管理方法。
【請求項9】
ネットワーク通信するホスト相互がそれぞれ属する異なるネットワーク間に介在するパケット中継装置において、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにするMACアドレス設定部を有することを特徴とするパケット中継装置。
【請求項10】
MACアドレス設定部は、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得するアドレス取得部と、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記取得された送信元MACアドレスにするアドレス書込部とから構成される請求項9記載のパケット中継装置。
【請求項11】
MACアドレス設定部は、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得するアドレス取得部と、
通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成するテーブル作成部と、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするアドレス書込部とから構成される請求項9記載のパケット中継装置。
【請求項1】
パケット中継装置を介してホスト相互がネットワーク通信するに際し、
パケット中継装置において、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにすることを特徴とするネットワーク通信方法。
【請求項2】
パケット中継装置において、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項1記載のネットワーク通信方法。
【請求項3】
パケット中継装置において、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項1記載のネットワーク通信方法。
【請求項4】
パケット中継装置において、
送信元から最初に受信する通信パケットについて、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、
送信元から2回目以降に受信する通信パケットについて、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項1記載のネットワーク通信方法。
【請求項5】
パケット中継装置及びアクセス管理装置を介してホスト相互がネットワーク通信するに際し、
パケット中継装置において、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにし、
アクセス管理装置は、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスからホストを識別し、ホスト毎にアクセスを許可/遮断又は記録の一方又は双方をすることを特徴とするアクセス管理方法。
【請求項6】
パケット中継装置において、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得し、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項5記載のアクセス管理方法。
【請求項7】
パケット中継装置において、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項5記載のアクセス管理方法。
【請求項8】
パケット中継装置において、
送信元から最初に受信する通信パケットについて、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得すると共に、前記通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成し、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにし、
送信元から2回目以降に受信する通信パケットについて、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにする請求項5記載のアクセス管理方法。
【請求項9】
ネットワーク通信するホスト相互がそれぞれ属する異なるネットワーク間に介在するパケット中継装置において、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを、前記通信パケットを送信元から受信した際のヘッダ情報に含まれる送信元MACアドレスにするMACアドレス設定部を有することを特徴とするパケット中継装置。
【請求項10】
MACアドレス設定部は、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得するアドレス取得部と、
送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記取得された送信元MACアドレスにするアドレス書込部とから構成される請求項9記載のパケット中継装置。
【請求項11】
MACアドレス設定部は、
送信元から受信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを取得するアドレス取得部と、
通信パケットのヘッダ情報又はフロー情報から送信始端の同一性を判別する同一性判別情報を抽出し、MACアドレスと同一性判別情報とを対応づけるアドレス対応テーブルを作成するテーブル作成部と、
アドレス変換に際し、アドレス対応テーブルを参照して通信パケットの送信元MACアドレスを特定し、送信先に向けて送信する通信パケットのヘッダ情報に含まれる送信元MACアドレスを前記特定された送信元MACアドレスにするアドレス書込部とから構成される請求項9記載のパケット中継装置。
【図1a】
【図1b】
【図1c】
【図2a】
【図2b】
【図3a】
【図3b】
【図4a】
【図4b】
【図4c】
【図5】
【図6a】
【図6b】
【図6c】
【図7a】
【図7b】
【図8a】
【図8b】
【図9a】
【図9b】
【図9c】
【図1b】
【図1c】
【図2a】
【図2b】
【図3a】
【図3b】
【図4a】
【図4b】
【図4c】
【図5】
【図6a】
【図6b】
【図6c】
【図7a】
【図7b】
【図8a】
【図8b】
【図9a】
【図9b】
【図9c】
【公開番号】特開2011−109186(P2011−109186A)
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願番号】特願2009−259265(P2009−259265)
【出願日】平成21年11月12日(2009.11.12)
【出願人】(504147243)国立大学法人 岡山大学 (444)
【Fターム(参考)】
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願日】平成21年11月12日(2009.11.12)
【出願人】(504147243)国立大学法人 岡山大学 (444)
【Fターム(参考)】
[ Back to top ]