Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5398579B2 - Address aggregation system and message source authentication method - Google Patents
[go: Go Back, main page]

JP5398579B2 - Address aggregation system and message source authentication method - Google Patents

Address aggregation system and message source authentication method Download PDF

Info

Publication number
JP5398579B2
JP5398579B2 JP2010037927A JP2010037927A JP5398579B2 JP 5398579 B2 JP5398579 B2 JP 5398579B2 JP 2010037927 A JP2010037927 A JP 2010037927A JP 2010037927 A JP2010037927 A JP 2010037927A JP 5398579 B2 JP5398579 B2 JP 5398579B2
Authority
JP
Japan
Prior art keywords
address
client
message
line number
aggregation system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010037927A
Other languages
Japanese (ja)
Other versions
JP2011175383A (en
Inventor
悠希 中原
耕一 高杉
一郎 井上
章 黒川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010037927A priority Critical patent/JP5398579B2/en
Publication of JP2011175383A publication Critical patent/JP2011175383A/en
Application granted granted Critical
Publication of JP5398579B2 publication Critical patent/JP5398579B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、クライアントが送信したメッセージの正当性を確認するための認証を行う技術に関するものであり、特に、ロードバランサ等のアドレス集約装置が備えられた通信ネットワークにおいて、メッセージ送信元の認証を行う技術に関するものである。   The present invention relates to a technique for performing authentication for confirming the validity of a message transmitted by a client, and in particular, in a communication network equipped with an address aggregation device such as a load balancer, authenticates a message transmission source. It is about technology.

クライアントとサーバからなるクライアントサーバシステムにおいて、サーバの負荷低減のために、複数のサーバを備え、ロードバランサによりクライアントからの要求を各サーバに振り分ける技術がある。一般に、このようなロードバランサは、どのクライアントがどのサーバに割り当てられているかを示すテーブル情報であるコネクションテーブルを保持している。   In a client server system including a client and a server, there is a technology that includes a plurality of servers and distributes requests from clients to each server by a load balancer in order to reduce the load on the server. In general, such a load balancer holds a connection table that is table information indicating which client is assigned to which server.

また、多数のTCPコネクションが設定されるサーバの負荷低減のために、TCPコネクション集約を行うロードバランサもある(例えば、非特許文献1に開示された装置)。TCPコネクション集約機能を持つロードバランサでは、クライアントからのTCPコネクションをロードバランサが受け付け、サーバとロードバランサ間では少数のTCPコネクションが設定され、ロードバランサがクライアントから受け付けたメッセージを、このTCPコネクションを用いてサーバへ転送する。クライアントからのコネクションと、集約されたコネクションとの対応情報は前述のコネクションテーブルに保持される。   There is also a load balancer that performs TCP connection aggregation in order to reduce the load on a server in which a large number of TCP connections are set (for example, an apparatus disclosed in Non-Patent Document 1). In a load balancer that has a TCP connection aggregation function, a TCP connection from a client is accepted by the load balancer, a small number of TCP connections are set up between the server and the load balancer, and messages received by the load balancer from the client are used by this TCP connection. To the server. Correspondence information between the connection from the client and the aggregated connection is held in the connection table.

さて、クライアントからメッセージを受信し、種々のサービスを提供するサーバにおいては、一般に、メッセージ送信元の認証が行われる。   A server that receives a message from a client and provides various services generally authenticates the message source.

メッセージ送信元の認証では、例えば、サーバ側で、クライアントのアドレスと、名前等のクライアント識別子とを予め取得、保持しておき、クライアントから受信するメッセージに含まれる送信元アドレス及びクライアント識別子が、予め保持しておいたものと一致するか否かを判定する処理が行われる。   In the authentication of the message transmission source, for example, on the server side, the client address and the client identifier such as a name are acquired and held in advance, and the transmission source address and the client identifier included in the message received from the client are A process of determining whether or not it matches the stored one is performed.

ITmedia 井上猛雄, もう1つのWAN高速化、「AFE」って何だ? (2/3), http://www.itmedia.co.jp/enterprise/articles/0706/25/news007_2.html (2010年1月12日検索)ITmedia Takeo Inoue, another WAN acceleration, what is “AFE”? (2/3), http://www.itmedia.co.jp/enterprise/articles/0706/25/news007_2.html (searched on January 12, 2010)

前述したロードバランサでは、クライアントから送信されるメッセージの送信元アドレス及びポートが、複数のクライアントに共通のアドレス及びポートに変換(集約)される。以降、このような機能をアドレス集約機能と呼び、アドレス集約機能を備えたロードバランサのような装置を、アドレス集約装置と呼ぶことにする。   In the load balancer described above, the source address and port of a message transmitted from a client are converted (aggregated) into an address and port common to a plurality of clients. Hereinafter, such a function is referred to as an address aggregation function, and a device such as a load balancer having an address aggregation function is referred to as an address aggregation device.

ロードバランサからアドレス集約後のメッセージを受信するサーバは、メッセージに含まれる送信元アドレスを用いて送信元認証を行うことができない。そのため、サーバは偽のクライアント識別子を用いて他のクライアントに偽装したクライアントからのメッセージを受理してしまうことを防止できないという問題がある。   A server that receives a message after address aggregation from a load balancer cannot perform source authentication using a source address included in the message. Therefore, there is a problem that the server cannot prevent a message from a client impersonating another client using a fake client identifier.

本発明は上記の点に鑑みてなされたものであり、アドレス集約機能が備えられた通信ネットワークにおいて、メッセージに含まれる送信元アドレスを用いたメッセージ送信元認証を行うことを可能とするための技術を提供することを目的とする。   The present invention has been made in view of the above points, and a technique for enabling message source authentication using a source address included in a message in a communication network having an address aggregation function. The purpose is to provide.

上記の課題を解決するために、本発明は、通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段と、クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段とを備えることを特徴とするアドレス集約システムとして構成される In order to solve the above problems , the present invention provides an address aggregation system having a function of aggregating source addresses of messages received from a plurality of clients connected to a communication network into an address common to the plurality of clients. Then, for each client, the authentication information storage means that stores the line number and the client identifier in association with each other, and the line number of the client is acquired based on the address allocation request received from the client, and the line number is added. Address request transfer means for transferring an address allocation request to an address allocation device, and the line number and the allocated client address are received from the address allocation device, and the client address is associated with the line number and the line number Authentication information storage means A message including a source address and a client identifier is received from the address information setting means for storing and the client, and a client address corresponding to the client identifier is obtained from the authentication information storing means, and the client address and the client by matching the source address is configured as an address aggregation system characterized in that it comprises a source authentication means for authenticating a message sender.

また、本発明は、通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、認証情報格納手段に格納するアドレス情報設定手段と、クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段とを備えることを特徴とするアドレス集約システムとして構成することもできる。   The present invention also provides an address aggregation system having a function of aggregating source addresses of messages received from a plurality of clients connected to a communication network into a common address for the plurality of clients, the address aggregation system Is connected to an address assignment device comprising storage means for storing a line number and a client identifier in association with each client, based on an address assignment request received from the client, obtaining the line number of the client, Address request transfer means for transferring an address allocation request to which the line number is added to an address allocation device; an client address allocated from the address allocation device; and a client of a client corresponding to the client address Receiving an identifier, receiving an address information setting means for storing the client address and the client identifier in an authentication information storage means, and a message including a transmission source address and a client identifier from the client, and receiving the authentication information. A source authentication unit that obtains a client address corresponding to the client identifier from a storage unit and compares the client address with the source address to authenticate the message source; It can also be configured as an address aggregation system.

前記アドレス集約システムは、メッセージ通過制御手段を更に備えてもよく、当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う。   The address aggregation system may further include a message passing control unit, and the message passing control unit passes a message from a client to which the client address is assigned from an admission control device connected to the address aggregation system. Control information for performing control to be received is received, and setting for passing the message is performed based on the control information.

また、前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、前記送信元認証手段は、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行うようにしてもよい。   In addition, the address aggregation system notifies the client address after conversion from the address allocation device that has received the notification of the converted client address by the reception control device connected to the address aggregation system or from the reception control device. The converted client address is stored in the authentication information storage unit in association with the client address, and the transmission source authentication unit includes the client address stored in the authentication information storage unit and the converted client address. May be used to authenticate the message sender.

本発明によれば、アドレス集約システムは、受信するメッセージに含まれる送信元アドレスを用いたメッセージ送信元認証を行うことが可能となり、サーバが偽のクライアント識別子を用いて他のクライアントに偽装したクライアントからのメッセージを受理してしまうことを防止できるようになる。   According to the present invention, the address aggregation system can perform message transmission source authentication using a transmission source address included in a received message, and the server impersonates another client using a fake client identifier. It will be possible to prevent messages from being accepted.

第1の実施の形態におけるシステム構成図である。It is a system configuration figure in a 1st embodiment. アドレス集約装置2の機能構成図である。3 is a functional configuration diagram of an address aggregation device 2. FIG. 認証情報格納部11に格納される情報の例を示す図である。It is a figure which shows the example of the information stored in the authentication information storage part. 本発明の実施の形態に係る基本的な処理の流れを示すシーケンスチャートである。It is a sequence chart which shows the flow of the basic process which concerns on embodiment of this invention. 実施形態1−1におけるシーケンスチャートである。It is a sequence chart in Embodiment 1-1. 実施形態1−2におけるシーケンスチャートである。It is a sequence chart in Embodiment 1-2. 第2の実施の形態におけるシステム構成図である。It is a system configuration figure in a 2nd embodiment. エッジ装置101の機能構成図である。2 is a functional configuration diagram of an edge device 101. FIG. アドレス集約装置102の機能構成図である。3 is a functional configuration diagram of an address aggregation device 102. FIG. 認証情報格納部131に格納される情報の例を示す図である。It is a figure which shows the example of the information stored in the authentication information storage part. 実施形態2−1におけるシーケンスチャートである。It is a sequence chart in Embodiment 2-1. 実施形態2−2におけるシーケンスチャートである。It is a sequence chart in Embodiment 2-2.

以下、図面を参照して本発明の実施の形態を説明する。   Embodiments of the present invention will be described below with reference to the drawings.

(第1の実施の形態)
まず、本発明の第1の実施の形態を説明する。第1の実施の形態は、ライン番号とクライアント識別子を、予め保持しておく場所に応じて2つの例に分けられ、これらを実施形態1−1、実施形態1−2として説明する。
(First embodiment)
First, a first embodiment of the present invention will be described. The first embodiment is divided into two examples according to the location where the line number and the client identifier are stored in advance, and these will be described as Embodiment 1-1 and Embodiment 1-2.

<実施形態1−1>
図1に、実施形態1−1における通信システムの構成図を示す。図1に示すように、実施形態1−1における通信システムは、アドレス集約装置1、アドレス割り当て装置2、サーバ3、及び各クライアント4を有する。また、図1には、複数のクライアント4を配下に持つゲートウェイ5も示されている。
<Embodiment 1-1>
In FIG. 1, the block diagram of the communication system in Embodiment 1-1 is shown. As illustrated in FIG. 1, the communication system according to Embodiment 1-1 includes an address aggregation device 1, an address assignment device 2, a server 3, and each client 4. FIG. 1 also shows a gateway 5 having a plurality of clients 4 under its control.

アドレス集約装置1は、例えば前述したロードバランサのようなアドレス集約機能を有する装置である。アドレス割り当て装置2は、例えばNASS(network attachment subsystem)、DHCP(dynamic host configuration protocol)のようなアドレス割り当て機能を備えた装置であり、払い出したアドレス等の情報を格納するアドレス払い出し情報格納部21を有する。   The address aggregating apparatus 1 is an apparatus having an address aggregating function such as the load balancer described above. The address assignment device 2 is a device having an address assignment function such as NASS (network attachment subsystem) and DHCP (dynamic host configuration protocol), for example, and has an address assignment information storage unit 21 for storing information such as an issued address. Have.

サーバ3は、例えばSIPのセッション制御を行うSIPサーバ(例えばP-CSCFなど)や、その他のアプリケーションサーバである。クライアント4は、通信ネットワークを介して通信可能なPC、電話端末、携帯端末等(例えばUE、SIP UAなど)である。ゲートウェイ5は、例えば、複数のクライアント4を収容して、外部と通信を行う装置である。   The server 3 is, for example, a SIP server (for example, P-CSCF) that performs SIP session control and other application servers. The client 4 is a PC, a telephone terminal, a portable terminal, etc. (for example, UE, SIP UA, etc.) that can communicate via a communication network. The gateway 5 is a device that accommodates a plurality of clients 4 and communicates with the outside, for example.

図1における各装置は、通信ネットワーク(本実施形態ではIPネットワーク)に接続されており、図中、各装置を結ぶ線は、当該装置間で、通信ネットワークを介して通信を行うことを示している。第2の実施の形態でも同様である。   Each device in FIG. 1 is connected to a communication network (in this embodiment, an IP network). In the figure, a line connecting the devices indicates that communication is performed between the devices via the communication network. Yes. The same applies to the second embodiment.

図2に、アドレス集約装置1の機能構成図を示す。図2に示すように、アドレス集約装置1は、認証情報格納部11、アドレス要求転送部12、アドレス情報設定部13、送信元認証部14、アドレス集約機能部15を備えている。   FIG. 2 shows a functional configuration diagram of the address aggregation device 1. As shown in FIG. 2, the address aggregation device 1 includes an authentication information storage unit 11, an address request transfer unit 12, an address information setting unit 13, a transmission source authentication unit 14, and an address aggregation function unit 15.

認証情報格納部11は、本発明に係る送信元認証を行うための認証情報を格納する格納部である。図3に、認証情報格納部11に格納されるテーブル情報の例を示す。図3に示すように、認証情報格納部11には、ライン番号、クライアント識別子、クライアントアドレスが対応付けて格納される。ここで、ライン番号とは、クライアントが接続される物理的あるいは論理的なラインの番号(VLAN_ID、MACアドレス、物理的な直収ポート等、物理的な接続先に一意に紐付いている識別情報)である。クライアント識別子は、SIP URI等のクライアントを識別する識別子である。クライアントアドレスは、クライアントに割り当てられるIPアドレスである。   The authentication information storage unit 11 is a storage unit that stores authentication information for performing transmission source authentication according to the present invention. FIG. 3 shows an example of table information stored in the authentication information storage unit 11. As shown in FIG. 3, the authentication information storage unit 11 stores a line number, a client identifier, and a client address in association with each other. Here, the line number is the number of the physical or logical line to which the client is connected (identification information uniquely associated with the physical connection destination such as VLAN_ID, MAC address, physical direct port, etc.) It is. The client identifier is an identifier for identifying a client such as a SIP URI. The client address is an IP address assigned to the client.

実施形態1−1では、ライン番号とクライアント識別子が、システム管理者等により、予め認証情報格納部11に格納されている。   In Embodiment 1-1, the line number and the client identifier are stored in the authentication information storage unit 11 in advance by a system administrator or the like.

図2に戻り、アドレス要求転送部12は、クライアント4から送信されるアドレス割り当て要求をアドレス割り当て装置2に転送したり、アドレス割り当て装置2からのアドレス割り当て応答をクライアント4に転送したりする機能部である。アドレス情報設定部13は、認証情報格納部11にアドレス情報等を格納するための機能部である。送信元認証部14は、認証情報格納部11を参照することにより、メッセージの送信元クライアントの認証を行う機能部である。これらの機能部の動作詳細については、後の動作説明において説明する。   Returning to FIG. 2, the address request transfer unit 12 transfers an address assignment request transmitted from the client 4 to the address assignment device 2, and forwards an address assignment response from the address assignment device 2 to the client 4. It is. The address information setting unit 13 is a functional unit for storing address information and the like in the authentication information storage unit 11. The transmission source authentication unit 14 is a functional unit that authenticates a message transmission source client by referring to the authentication information storage unit 11. Details of the operation of these functional units will be described later in the description of the operation.

アドレス集約機能部15は、アドレス集約を行うロードバランサ機能等のアドレス集約装置本体の機能を有する機能部である。   The address aggregation function unit 15 is a functional unit having functions of the address aggregation device main body such as a load balancer function for performing address aggregation.

アドレス集約装置1は、CPU、及びメモリ等を有する一般的なコンピュータ(もしくはルータ等の通信装置)に、各機能部の機能を奏するプログラムを搭載することにより実現できる。また、アドレス集約装置1は、1つの装置で実現する必要はなく、複数の装置をネットワーク接続して構成してもよい。例えば、アドレス要求転送部12を別装置としてもよい。更に、サーバ3とアドレス割り当て装置2を1つの装置で構成してもよい。なお、アドレス集約装置は、1つの装置で構成される場合も、複数の装置で構成される場合も、アドレス集約システムと呼ぶことができる。   The address aggregating apparatus 1 can be realized by mounting a program having the functions of each functional unit on a general computer (or a communication apparatus such as a router) having a CPU and a memory. The address aggregation device 1 does not have to be realized by a single device, and may be configured by connecting a plurality of devices to a network. For example, the address request transfer unit 12 may be a separate device. Furthermore, the server 3 and the address assignment device 2 may be configured as a single device. Note that the address aggregation device can be called an address aggregation system regardless of whether it is composed of one device or a plurality of devices.

次に、システムの動作について説明する。ここでは、実施形態1−1におけるシステムの動作を説明する前に、まず、第1、第2の実施の形態を包含する本発明に係る基本的な処理動作について、図4のシーケンスチャートを参照して説明する。図4に示すシーケンスの前提として、アドレス集約装置2における認証情報格納部11には、クライアント毎に、クライアントアドレスとクライアント識別子とが対応付けて格納されているものとする。クライアントアドレスとクライアント識別子とが対応付けて認証情報格納部11に格納されるまでの処理方法の例については、実施形態1−1〜実施形態2−2において説明されるが、これらの実施形態で説明する処理方法に限定されるわけではない。   Next, the operation of the system will be described. Here, before explaining the operation of the system in the embodiment 1-1, first, refer to the sequence chart of FIG. 4 for the basic processing operation according to the present invention including the first and second embodiments. To explain. As a premise of the sequence shown in FIG. 4, it is assumed that the authentication information storage unit 11 in the address aggregation device 2 stores a client address and a client identifier in association with each client. An example of the processing method until the client address and the client identifier are stored in the authentication information storage unit 11 in association with each other will be described in Embodiment 1-1 to Embodiment 2-2. The processing method to be described is not limited.

図4に示すように、まず、アドレス集約装置2は、クライアント4から、送信元アドレスとクライアント識別子とを含むメッセージを受信する(ステップ1000)。   As shown in FIG. 4, first, the address aggregating apparatus 2 receives a message including a transmission source address and a client identifier from the client 4 (step 1000).

続いて、アドレス集約装置2は、認証情報格納部11から、上記メッセージに含まれているクライアント識別子を用いて認証情報格納部11を検索し、当該クライアント識別子に対応するクライアントアドレスを認証情報格納部11から取得する(ステップ1100)。   Subsequently, the address aggregating apparatus 2 searches the authentication information storage unit 11 from the authentication information storage unit 11 using the client identifier included in the message, and sets the client address corresponding to the client identifier to the authentication information storage unit. 11 (step 1100).

そして、アドレス集約装置2は、認証情報格納部11から取得したクライアントアドレスと、メッセージに含まれている送信元アドレスとを照合することにより、メッセージ送信元の認証を行う(ステップ1200)。ここで、照合の結果、両者が一致する場合(認証に成功した場合)に、メッセージはサーバ3に送信される(ステップ1300)。   Then, the address aggregating apparatus 2 authenticates the message transmission source by collating the client address acquired from the authentication information storage unit 11 with the transmission source address included in the message (step 1200). Here, when the two match as a result of the collation (when the authentication is successful), the message is transmitted to the server 3 (step 1300).

次に、図5を参照して、実施形態1−1におけるシステムの動作について説明する。本例では、特定のクライアント4が、アドレス集約装置1に対して直接メッセージを送信する場合を示している。クライアントがゲートウェイ5を介して通信する場合は、アドレス集約装置1は、ゲートウェイ5に対して認証を行うことになる。   Next, the operation of the system in Embodiment 1-1 will be described with reference to FIG. In this example, a specific client 4 transmits a message directly to the address aggregation device 1. When the client communicates via the gateway 5, the address aggregating apparatus 1 authenticates the gateway 5.

図5において、まず、クライアント4は、クライアントアドレスを取得するために、アドレス割り当て装置2に対してアドレス割り当て要求を送信する(ステップ1)。アドレス割り当て要求は、アドレス集約装置1を経由する。   In FIG. 5, first, the client 4 transmits an address assignment request to the address assignment device 2 in order to obtain a client address (step 1). The address assignment request passes through the address aggregation device 1.

アドレス割り当て要求を受信したアドレス集約装置1におけるアドレス要求転送部12は、当該アドレス割り当て要求に対応するライン番号を取得し、アドレス割り当て要求にライン番号を付加する(ステップ2)。そして、アドレス要求転送部12は、ライン番号が付加されたアドレス割り当て要求をアドレス割り当て装置2に送信する(ステップ3)。
アドレス割り当て要求を受信したアドレス割り当て装置2は、アドレス割り当て要求に付加されているライン番号を取得するとともに、クライアントに割り振るためのクライアントアドレスを未使用のものから一つ選ぶ(ステップ4)。
そして、アドレス割り当て装置2は、選んだクライアントアドレスと、取得したライン番号とを対応付けてアドレス払い出し情報格納部21に格納する(ステップ5)。
その後、アドレス割り当て装置2は、クライアント4に対し、このクライアントアドレスとライン番号とを含むアドレス割り当て応答を送信する(ステップ6)。
アドレス割り当て応答は、アドレス集約装置1により受信される。アドレス割り当て応答を受信したアドレス集約装置1のアドレス情報設定部13は、アドレス割り当て応答に含まれるライン番号に基づき認証情報格納部11を検索し、当該ライン番号に対応付けて、クライアントアドレスを認証情報格納部11に格納する(ステップ7)。これにより、認証情報格納部11には、クライアントアドレスと、予め格納されていたクライアント識別子とが対応付けられることになる。そして、アドレス集約装置1は、アドレス割り当て応答をクライアント4に転送する(ステップ8)。
The address request transfer unit 12 in the address aggregation device 1 that has received the address assignment request acquires a line number corresponding to the address assignment request, and adds the line number to the address assignment request (step 2). Then, the address request transfer unit 12 transmits the address assignment request with the line number added to the address assignment device 2 (step 3).
Upon receiving the address assignment request, the address assignment device 2 acquires the line number added to the address assignment request and selects one of the unused client addresses to be assigned to the client (step 4).
Then, the address allocation device 2 associates the selected client address with the acquired line number and stores them in the address payout information storage unit 21 (step 5).
Thereafter, the address assignment device 2 transmits an address assignment response including the client address and the line number to the client 4 (step 6).
The address assignment response is received by the address aggregation device 1. The address information setting unit 13 of the address aggregation device 1 that has received the address assignment response searches the authentication information storage unit 11 based on the line number included in the address assignment response, and associates the client address with the authentication information in association with the line number. Store in the storage unit 11 (step 7). As a result, the authentication information storage unit 11 associates the client address with the client identifier stored in advance. Then, the address aggregation device 1 transfers an address assignment response to the client 4 (step 8).

その後、クライアント4は、サーバ3に対してサービスを要求するメッセージ(すなわち、メッセージを含むIPパケット)を送信する(ステップ9)。このメッセージは、例えば、SIPの接続要求メッセージである。このメッセージには、アドレス割り当て応答により通知されたクライアントアドレスが、送信元アドレスとして、ヘッダ部分(IPパケットのヘッダの意味も含む)に含まれている。また、メッセージのヘッダ部分には、クライアント識別子が含まれている。   Thereafter, the client 4 transmits a message requesting a service to the server 3 (that is, an IP packet including the message) (step 9). This message is, for example, a SIP connection request message. In this message, the client address notified by the address assignment response is included in the header part (including the meaning of the header of the IP packet) as the source address. The header part of the message includes a client identifier.

上記メッセージは、まず、アドレス集約装置1により受信される。メッセージを受信したアドレス集約装置1の送信元認証部14は、クライアント4の認証を行う。ここでは、メッセージから送信元アドレスとクライアント識別子を取得し、このクライアント識別子をキーに認証情報格納部11を検索して、当該クライアント識別子に対応付けて格納されているクライアントアドレスを取得する(ステップ10)。
そして、送信元認証部14は、メッセージから取得した送信元アドレスと、認証情報格納部11から取得したクライアントアドレスとを照合し、同一のものであれば、当該メッセージが正しい送信元から送信されたと判断し、認証成功と認識し、同一のものでなければ当該メッセージのクライアント識別子が偽装されていると判断する(ステップ11)。
認証に成功した場合、メッセージはサーバ3に送信される(ステップ12)。なお、ローカルルーチングテーブルやENUM等の情報に基づいて、もしくはサーバの負荷状況に応じて適切なサーバを選択し、選択したサーバにメッセージを送信してもよい。認証に失敗した場合には、例えば、アドレス集約装置1からクライアント4に対してエラーメッセージが送信される。
The message is first received by the address aggregating apparatus 1. The source authentication unit 14 of the address aggregation device 1 that has received the message authenticates the client 4. Here, the transmission source address and the client identifier are acquired from the message, and the authentication information storage unit 11 is searched using the client identifier as a key, and the client address stored in association with the client identifier is acquired (step 10). ).
Then, the transmission source authentication unit 14 collates the transmission source address acquired from the message with the client address acquired from the authentication information storage unit 11, and if it is the same, the message is transmitted from the correct transmission source. It is determined that the authentication is successful, and if it is not the same, it is determined that the client identifier of the message is forged (step 11).
If the authentication is successful, the message is transmitted to the server 3 (step 12). Note that an appropriate server may be selected based on information such as a local routing table and ENUM, or according to the load status of the server, and a message may be transmitted to the selected server. If the authentication fails, for example, an error message is transmitted from the address aggregation device 1 to the client 4.

<実施形態1−2>
次に、実施形態1−2について説明する。実施形態1−1では、ライン番号とクライアント識別子とを、予めアドレス集約装置1の認証情報格納部11に格納しておいたが、実施形態1−2では、ライン番号とクライアント識別子とを、予めアドレス割り当て装置2のアドレス払い出し情報格納部21に格納しておく。
実施形態1−2におけるシステム構成は、図1、図2に示した実施形態1−1におけるシステム構成と同様である。ただし、各格納部に格納される情報の内容等は実施形態1−1と異なる。図6に、実施形態1−2におけるシーケンスチャートを示す。図6を参照して、実施形態1−2のシステムの動作を、実施形態1−1と異なる点を中心に説明する。
<Embodiment 1-2>
Next, Embodiment 1-2 will be described. In Embodiment 1-1, the line number and the client identifier are stored in advance in the authentication information storage unit 11 of the address aggregating apparatus 1, but in Embodiment 1-2, the line number and the client identifier are stored in advance. It is stored in the address payout information storage unit 21 of the address assignment device 2.
The system configuration in the embodiment 1-2 is the same as the system configuration in the embodiment 1-1 shown in FIGS. However, the content of the information stored in each storage unit is different from that in Embodiment 1-1. FIG. 6 shows a sequence chart in the embodiment 1-2. With reference to FIG. 6, the operation of the system according to the embodiment 1-2 will be described focusing on differences from the embodiment 1-1.

図6のステップ1〜4は、実施形態1−1のステップ1〜4と同じである。   Steps 1 to 4 in FIG. 6 are the same as steps 1 to 4 in the embodiment 1-1.

ステップ25において、アドレス割り当て装置1は、アドレス割り当て要求に付加されていたライン番号に基づきアドレス払い出し情報格納部21を検索し、予め格納されているライン番号に対応付けて、ステップ4で選んだクライアントアドレスをアドレス払い出し情報格納部21に格納する。これにより、アドレス払い出し情報格納部21において、クライアントアドレスとクライアント識別子とが対応付けられたことになる。
その後、アドレス割り当て装置2は、アドレス払い出し情報格納部21から、ステップ4で選んだクライアントアドレスと、当該クライアントアドレスに対応付けて格納されているクライアント識別子とを取得し、これらを含むアドレス割り当て応答を送信する(ステップ26)。
アドレス割り当て応答は、アドレス集約装置1により受信される。アドレス割り当て応答を受信したアドレス集約装置1におけるアドレス情報設定部13は、アドレス割り当て応答に含まれるクライアントアドレスとクライアント識別子とを認証情報格納部11に格納する(ステップ27)。そして、アドレス集約装置1は、クライアントアドレスを含むアドレス割り当て応答をクライアント4に転送する(ステップ8)。これ以降の処理は、実施形態1−1と同じである。
In step 25, the address allocation device 1 searches the address delivery information storage unit 21 based on the line number added to the address allocation request, associates it with the previously stored line number, and selects the client selected in step 4 The address is stored in the address payout information storage unit 21. As a result, in the address payout information storage unit 21, the client address and the client identifier are associated with each other.
Thereafter, the address allocation device 2 acquires the client address selected in step 4 and the client identifier stored in association with the client address from the address delivery information storage unit 21, and sends an address allocation response including these. Transmit (step 26).
The address assignment response is received by the address aggregation device 1. The address information setting unit 13 in the address aggregating apparatus 1 that has received the address assignment response stores the client address and client identifier included in the address assignment response in the authentication information storage unit 11 (step 27). Then, the address aggregation device 1 transfers an address assignment response including the client address to the client 4 (step 8). The subsequent processing is the same as in Embodiment 1-1.

なお、上記の処理では、アドレス集約装置1においてライン番号を格納していないが、これを格納してもよい。その場合、ステップ2で、ライン番号を認証情報格納部11に格納しておき、ステップ26にて、ライン番号、クライアント識別子、及びクライアントアドレスがアドレス割り当て装置2からアドレス集約装置1に送信され、アドレス集約装置1のアドレス情報設定部13は、ステップ2で格納したライン番号と、アドレス割り当て装置2から受信したライン番号とが一致することを確認して、当該ライン番号に対応付けて、クライアント識別子とクライアントアドレスとを認証情報格納部11に格納する。   In the above processing, the line number is not stored in the address aggregating apparatus 1, but it may be stored. In that case, in step 2, the line number is stored in the authentication information storage unit 11, and in step 26, the line number, the client identifier, and the client address are transmitted from the address assignment device 2 to the address aggregation device 1, and the address The address information setting unit 13 of the aggregation device 1 confirms that the line number stored in Step 2 matches the line number received from the address assignment device 2, and associates the client identifier with the line number. The client address is stored in the authentication information storage unit 11.

(第2の実施の形態)
次に、本発明の第2の実施の形態について説明する。第2の実施の形態でも、ライン番号とクライアント識別子とを予め保持しておく場所に応じて2つの例に分けられ、これらを実施形態2−1、実施形態2−2として説明する。
(Second Embodiment)
Next, a second embodiment of the present invention will be described. The second embodiment is also divided into two examples depending on the location where the line number and the client identifier are stored in advance, and these will be described as Embodiment 2-1 and Embodiment 2-2.

<実施形態2−1>
図7に、実施形態2−1における通信システムの構成図を示す。図7に示すように、実施形態2−1における通信システムは、エッジ装置101、アドレス集約装置102、アドレス割り当て装置103、サーバ104、受付制御装置105 及び各クライアント106を有する。また、図7には、複数のクライアントを配下に持つゲートウェイ107も示されている。
<Embodiment 2-1>
In FIG. 7, the block diagram of the communication system in Embodiment 2-1 is shown. As illustrated in FIG. 7, the communication system according to the embodiment 2-1 includes an edge device 101, an address aggregation device 102, an address assignment device 103, a server 104, an acceptance control device 105, and each client 106. FIG. 7 also shows a gateway 107 having a plurality of clients under its control.

実施形態2−1におけるアドレス割り当て装置103、サーバ104、クライアント106、ゲートウェイ107は、第1の実施の形態における各装置と同様の機能を有する。ただし、アドレス割り当て装置103は、後述するピンホール制御要求送信等、受付制御装置105との間で制御通信を行う機能を有している。   The address assignment device 103, the server 104, the client 106, and the gateway 107 in the embodiment 2-1 have the same functions as the devices in the first embodiment. However, the address assignment device 103 has a function of performing control communication with the reception control device 105 such as a pinhole control request transmission described later.

本実施の形態における受付制御装置105は、エッジ装置101に対して通過制御(アクセス制御)のための設定制御を行う機能を持った装置である。また、受付制御装置105は、例えばRACS(resource and admission control subsystem)やRACF(resource and admission control function)等の帯域管理制御機能を備えてもよい。   The reception control device 105 according to the present embodiment is a device having a function of performing setting control for passage control (access control) with respect to the edge device 101. Further, the reception control device 105 may include a bandwidth management control function such as RACS (resource and admission control subsystem) and RACF (resource and admission control function).

エッジ装置101は、例えばエッジルータ等の通信装置であり、アクセス網とコア網とを接続し、通過制御、帯域制御、優先制御等を行う装置である。   The edge device 101 is a communication device such as an edge router, for example, and is a device that connects an access network and a core network and performs pass control, bandwidth control, priority control, and the like.

図8に、エッジ装置101の機能構成図を示す。図8に示すように、エッジ装置101は、アドレス要求転送部121、通過制御設定部122、通過制御部123、及び、通過制御設定情報格納部124を備える。   FIG. 8 shows a functional configuration diagram of the edge device 101. As illustrated in FIG. 8, the edge device 101 includes an address request transfer unit 121, a passage control setting unit 122, a passage control unit 123, and a passage control setting information storage unit 124.

アドレス要求転送部121は、第1の実施の形態におけるアドレス要求転送部12と同様の機能を有する機能部であり、クライアント106から送信されるアドレス割り当て要求をアドレス割り当て装置103に転送したり、アドレス割り当て装置103からのアドレス割り当て応答をクライアント106に転送したりする。   The address request transfer unit 121 is a functional unit having the same function as the address request transfer unit 12 in the first embodiment, and transfers an address allocation request transmitted from the client 106 to the address allocation device 103, An address assignment response from the assignment device 103 is transferred to the client 106.

通過制御設定部122は、受付制御装置105から制御情報を受けて、特定のアドレスを持ったIPパケットのみ通過させたり、送信元アドレスやポート番号を変換するための設定をしたりといった通過制御のための設定を行い、設定情報を通過制御設定情報格納部124に格納する。通過制御部123は、通過制御設定情報格納部124に格納された情報を参照することにより、パケットの通過制御(NAPT等のアドレス/ポート変換含む)を実行する機能部である。   The passage control setting unit 122 receives control information from the admission control device 105 and allows passage control such as passing only IP packets having a specific address or setting for converting a transmission source address and a port number. The setting information is stored in the passage control setting information storage unit 124. The passage control unit 123 is a functional unit that performs packet passage control (including address / port conversion such as NAPT) by referring to information stored in the passage control setting information storage unit 124.

アドレス集約装置102は、前述したロードバランサのようなアドレス集約機能を有する装置である。   The address aggregation device 102 is a device having an address aggregation function, such as the load balancer described above.

図9に、アドレス集約装置102の機能構成図を示す。図9に示すように、アドレス集約装置102は、認証情報格納部131、アドレス情報設定部132、送信元認証部133、アドレス要求転送部134、アドレス集約機能部135を備える。これらの機能部は、第1の実施の形態における対応する機能部と基本的に同様の機能を有するものである。ただし、アドレス要求転送部134は、ライン番号付加を行わず、ライン番号が付加されたアドレス割り当て要求の転送を行う。詳細については後の動作説明のところで説明する。   FIG. 9 shows a functional configuration diagram of the address aggregation device 102. As illustrated in FIG. 9, the address aggregation device 102 includes an authentication information storage unit 131, an address information setting unit 132, a transmission source authentication unit 133, an address request transfer unit 134, and an address aggregation function unit 135. These functional units have basically the same functions as the corresponding functional units in the first embodiment. However, the address request transfer unit 134 does not add a line number, but transfers an address assignment request to which a line number is added. Details will be described later in the explanation of the operation.

図10に、本実施形態における認証情報格納部131が格納するテーブル情報の例を示す。図10に示すように、認証情報格納部131には、ライン番号、クライアント識別子、クライアントアドレス1、クライアントアドレス2が対応付けて格納される。クライアントアドレス1は、アドレス割り当て装置103によりクライアント4に割り当てられるアドレスであり、クライアントアドレス2は、受付制御機能により、クライアントアドレス1から変換されることになるアドレスである。   FIG. 10 shows an example of table information stored in the authentication information storage unit 131 in the present embodiment. As shown in FIG. 10, the authentication information storage unit 131 stores a line number, a client identifier, a client address 1, and a client address 2 in association with each other. The client address 1 is an address assigned to the client 4 by the address assignment device 103, and the client address 2 is an address to be converted from the client address 1 by the reception control function.

実施形態2−1では、ライン番号とクライアント識別子が、システム管理者等により、予め認証情報格納部131に格納されている。   In the embodiment 2-1, the line number and the client identifier are stored in the authentication information storage unit 131 in advance by the system administrator or the like.

本実施の形態においても、アドレス集約装置102は、CPU、及びメモリ等を有する一般的なコンピュータ(もしくはルータ等の通信装置)に、各機能部の機能を奏するプログラムを搭載することにより実現できる。また、アドレス集約装置102は、1つの装置で実現する必要はなく、複数の装置をネットワーク接続して構成してもよい。また、アドレス割り当て装置103と受付制御装置105を1つの装置で構成したり、アドレス割り当て装置103と受付制御装置105とサーバ104を1つの装置で構成することも可能である。   Also in the present embodiment, the address aggregating apparatus 102 can be realized by mounting a program that performs the function of each functional unit on a general computer (or a communication apparatus such as a router) having a CPU and a memory. The address aggregation device 102 does not need to be realized by a single device, and may be configured by connecting a plurality of devices to a network. Further, the address assignment device 103 and the reception control device 105 can be configured as one device, and the address assignment device 103, the reception control device 105, and the server 104 can be configured as one device.

次に、図11を参照して、実施形態2−1におけるシステムの動作について説明する。本例でも、特定のクライアント106が、アドレス集約装置102に対して直接メッセージを送信する場合を示している。クライアント106がゲートウェイ107を介して通信する場合は、アドレス集約装置102は、ゲートウェイ107に対して認証を行うことになる。   Next, the operation of the system in the embodiment 2-1 will be described with reference to FIG. Also in this example, the case where the specific client 106 directly transmits a message to the address aggregation device 102 is shown. When the client 106 communicates via the gateway 107, the address aggregation device 102 authenticates the gateway 107.

図11において、まず、クライアント106は、クライアントアドレスを取得するために、アドレス割り当て装置103に対してアドレス割り当て要求を送信する(ステップ101)。   In FIG. 11, first, the client 106 transmits an address assignment request to the address assignment device 103 in order to obtain a client address (step 101).

クライアント106から送信されたアドレス割り当て要求は、エッジ装置101により受信される。アドレス割り当て要求を受信したエッジ装置101のアドレス要求転送部121は、当該アドレス割り当て要求に対応するライン番号を取得し、アドレス割り当て要求にライン番号を付加する(ステップ102)。そして、エッジ装置101のアドレス要求転送部121は、ライン番号が付加されたアドレス割り当て要求をアドレス割り当て装置103に向けて送信する(ステップ103)。アドレス割り当て要求は、アドレス集約装置102が受信し、アドレス集約装置102のアドレス要求転送部134により中継され、アドレス割り当て装置103に送信される(ステップ104)。
アドレス割り当て要求を受信したアドレス割り当て装置103は、アドレス割り当て要求に付加されているライン番号を取得するとともに、クライアント106に割り振るためのクライアントアドレスを未使用のものから一つ選ぶ(ステップ105)。
そして、アドレス割り当て装置103は、選んだクライアントアドレスと、取得したライン番号とを対応付けてアドレス払い出し情報格納部111に格納する(ステップ106)。
その後、アドレス割り当て装置103は、クライアント106に対し、選択したクライアントアドレスとライン番号とを含むアドレス割り当て応答を送信する(ステップ107)。
アドレス割り当て応答は、まず、アドレス集約装置102により受信される。アドレス割り当て応答を受信したアドレス集約装置102におけるアドレス情報設定部132は、アドレス割り当て応答に含まれるライン番号に基づき認証情報格納部131を検索し、当該ライン番号に対応付けて、クライアントアドレスを認証情報格納部131に格納する(ステップ108)。これにより、認証情報格納部131には、クライアントアドレスと、クライアント識別子とが対応付けられることになる。そして、アドレス集約装置103は、アドレス割り当て応答をクライアント106に転送する(ステップ109)。アドレス割り当て応答は、エッジ装置101を経由して、クライアント106に送信される。
The address assignment request transmitted from the client 106 is received by the edge device 101. The address request transfer unit 121 of the edge device 101 that has received the address assignment request acquires a line number corresponding to the address assignment request, and adds the line number to the address assignment request (step 102). Then, the address request transfer unit 121 of the edge device 101 transmits the address assignment request with the line number added to the address assignment device 103 (step 103). The address allocation request is received by the address aggregation device 102, relayed by the address request transfer unit 134 of the address aggregation device 102, and transmitted to the address allocation device 103 (step 104).
The address allocation device 103 that has received the address allocation request acquires the line number added to the address allocation request and selects one of the unused client addresses to be allocated to the client 106 (step 105).
Then, the address allocation device 103 associates the selected client address with the acquired line number and stores them in the address payout information storage unit 111 (step 106).
Thereafter, the address assignment device 103 transmits an address assignment response including the selected client address and line number to the client 106 (step 107).
The address assignment response is first received by the address aggregation device 102. The address information setting unit 132 in the address aggregating apparatus 102 that has received the address allocation response searches the authentication information storage unit 131 based on the line number included in the address allocation response, and associates the client address with the authentication information in association with the line number. The data is stored in the storage unit 131 (step 108). As a result, the client information and the client identifier are associated with the authentication information storage unit 131. Then, the address aggregation device 103 transfers an address assignment response to the client 106 (step 109). The address assignment response is transmitted to the client 106 via the edge device 101.

一方、ステップ104においてアドレス割り当て要求を受信し、クライアントアドレスを抽出したアドレス割り当て装置103は、受付制御装置105に対し、クライアントアドレスを記載したピンホール制御要求を送信する(ステップ110)。なお、本実施の形態において、ピンホール制御は、特定のアドレス及びポート番号を送信元とするIPパケットを通過させるようエッジ装置101を設定制御することである。また、本実施形態のピンホール制御では、NAPTもしくはNATとしてアドレス/ポート番号変換制御も行う。もちろん、このような制御は一例に過ぎず、ピンホール制御として他の様々な制御を行うことが可能である。例えば、アドレス/ポートだけではなく、Mediaの種類や帯域幅も通過制御の条件に含めてもよい。また、送信元のアドレス/ポートだけではなく、送信先のアドレス/ポートも通過制御の条件に含めてもよい。   On the other hand, the address assignment device 103 that has received the address assignment request in step 104 and extracted the client address transmits a pinhole control request describing the client address to the reception control device 105 (step 110). In the present embodiment, the pinhole control is setting control of the edge device 101 so as to pass an IP packet having a specific address and port number as a transmission source. In the pinhole control of this embodiment, address / port number conversion control is also performed as NAPT or NAT. Of course, such control is merely an example, and various other controls can be performed as pinhole control. For example, not only the address / port but also the media type and bandwidth may be included in the pass control conditions. Further, not only the transmission source address / port but also the transmission destination address / port may be included in the conditions for the passage control.

受付制御装置105は、帯域に余裕がある場合、またはサービスポリシーに基づき、ピンホール制御要求を受け付け(CAC(Call Admission Control)など)、アドレス割り当て装置103にて割り当てられたクライアントアドレス(以降、これをクライアントアドレス1とする)と、クライアントポート番号(クライアントポート番号1とする)とを記載したピンホール制御要求をエッジ装置101に向けて送信する(ステップ111)。このクライアントポート番号1は、例えば、クライアント106の通信用に予め定めておいたポート番号である。   The admission control device 105 accepts a pinhole control request (CAC (Call Admission Control), etc.) when there is a sufficient bandwidth or based on the service policy, and the client address assigned by the address assignment device 103 (hereinafter referred to as this). And the client port number (referred to as client port number 1) are transmitted to the edge device 101 (step 111). The client port number 1 is, for example, a port number determined in advance for communication of the client 106.

ピンホール制御要求を受信したエッジ装置101の通過制御設定部122は、クライアントアドレス1とクライアントポート番号1を送信元とするメッセージ(IPパケット)を通過させる設定を行うとともに、クライアント106から受信したメッセージ(IPパケット)を外側(コア網側)に送出する際に、メッセージ(IPパケット)の送信元アドレス及びポート番号を、クライアントアドレス1とクライアントポート番号1から、クライアントアドレス2とクライアントポート番号2に変換するための設定を行う(ステップ112)。更に、エッジ装置101において、コア網から受信するクライアントアドレス2とクライアントポート番号2を送信元とするメッセージについては、クライアントアドレス2とクライアントポート番号2をクライアントアドレス1とクライアントポート番号1に変換してクライアント106に送信するための設定も行ってよい。   Upon receipt of the pinhole control request, the passage control setting unit 122 of the edge device 101 performs a setting for passing a message (IP packet) having the client address 1 and the client port number 1 as a transmission source, and the message received from the client 106. When sending (IP packet) to the outside (core network side), the source address and port number of the message (IP packet) are changed from client address 1 and client port number 1 to client address 2 and client port number 2. Settings for conversion are performed (step 112). Further, in the edge device 101, for the message having the client address 2 and the client port number 2 received from the core network as the transmission source, the client address 2 and the client port number 2 are converted into the client address 1 and the client port number 1. Settings for transmission to the client 106 may also be made.

エッジ装置101は、クライアントアドレス1と、変換後のアドレスになるクライアントアドレス2とを含むピンホール制御応答を受付制御装置105に返す(ステップ113)。   The edge device 101 returns a pinhole control response including the client address 1 and the client address 2 that becomes the converted address to the reception control device 105 (step 113).

受付制御装置105は、また、クライアントアドレス1とクライアントアドレス2とを含むピンホール制御応答をアドレス割り当て装置103に送信する(ステップ114)。   The reception control device 105 also transmits a pinhole control response including the client address 1 and the client address 2 to the address assignment device 103 (step 114).

クライアントアドレス1とクライアントアドレス2とを含む情報を受信したアドレス割り当て装置103は、既に格納されているクライアントアドレス1に対応付けて、クライアントアドレス2をアドレス払い出し情報格納部111に格納する(ステップ115)。これにより、アドレス払い出し情報格納部111において、ライン番号と、クライアントアドレス1と、クライアントアドレス2とが対応付けられることになる。   The address assignment device 103 that has received the information including the client address 1 and the client address 2 stores the client address 2 in the address delivery information storage unit 111 in association with the already stored client address 1 (step 115). . Thereby, in the address payout information storage unit 111, the line number, the client address 1, and the client address 2 are associated with each other.

次に、アドレス割り当て装置103は、アドレス集約装置102に対してライン番号とクライアントアドレス2とを含む情報(もしくは、クライアントアドレス1とクライアントアドレス2とを含む情報でもよい)を通知する(ステップ116)。アアドレス集約装置102のアドレス情報設定部132は、受信したライン番号(もしくはクライアントアドレス1)に基づき認証情報格納部131を検索し、当該ライン番号(もしくはクライアントアドレス1)に対応付けて、クライアントアドレス2を認証情報格納部131に格納する(ステップ117)。これにより、アドレス集約装置102の認証情報格納部131において、ライン番号と、クライアント識別子と、クライアントアドレス1と、クライアントアドレス2とが対応付けられることになる。   Next, the address assignment device 103 notifies the address aggregation device 102 of information including the line number and the client address 2 (or information including the client address 1 and the client address 2) (step 116). . The address information setting unit 132 of the address aggregating apparatus 102 searches the authentication information storage unit 131 based on the received line number (or client address 1) and associates the client address with the line number (or client address 1). 2 is stored in the authentication information storage unit 131 (step 117). Thereby, in the authentication information storage unit 131 of the address aggregation device 102, the line number, the client identifier, the client address 1, and the client address 2 are associated with each other.

なお、ステップ116のように、アドレス割り当て装置103が、クライアントアドレス2を含む情報をアドレス集約装置102に通知することに代えて、ステップ113にてクライアントアドレス1とクライアントアドレス2を含むピンホール制御応答を受信した受付制御装置105が、クライアントアドレス1とクライアントアドレス2とを含む情報をアドレス集約装置102に送信することとしてもよい。この場合も、当該情報を受信したアドレス集約装置102において、クライアントアドレス2は、ライン番号、クライアント識別子、及びクライアントアドレス1と対応付けて認証情報格納部131に格納される。   Note that, instead of notifying the address aggregation device 102 of the information including the client address 2 as in step 116, the pinhole control response including the client address 1 and the client address 2 in step 113. The reception control device 105 that has received the message may transmit information including the client address 1 and the client address 2 to the address aggregation device 102. Also in this case, in the address aggregating apparatus 102 that has received the information, the client address 2 is stored in the authentication information storage unit 131 in association with the line number, the client identifier, and the client address 1.

その後、クライアント106は、サーバ104に向けてサービスを要求するメッセージを送信する(ステップ118)。このメッセージは、例えばSIPのINVITEメッセージである。このメッセージを含むIPパケットのヘッダには、送信元アドレス(IPパケットのヘッダの送信元アドレスを送信元アドレスAとする)として、アドレス割り当て応答により通知されたクライアントアドレス1が含まれる。また、メッセージのヘッダ部にも、送信元アドレス(メッセージのヘッダ部の送信元アドレスを送信元アドレスBとする)としてクライアントアドレス1が含まれる。また、メッセージのヘッダ部分には、クライアント識別子も含まれている。   Thereafter, the client 106 transmits a message requesting a service to the server 104 (step 118). This message is, for example, a SIP INVITE message. The header of the IP packet containing this message includes the client address 1 notified by the address assignment response as the source address (the source address of the IP packet header is the source address A). Also, the client address 1 is included in the header portion of the message as the source address (the source address in the header portion of the message is the source address B). The header part of the message also includes a client identifier.

クライアント106から送信されたメッセージを含むIPパケットを受信したエッジ装置101における通過制御部123は、パケットの送信元アドレス/ポート番号が、通過可能なアドレス/ポートとして通過制御設定情報格納部124に登録されていることを確認して、パケットの通過を許可する。また、通過制御部123は、アドレス変換を行い、送信元アドレスAは、クライアントアドレス1からクライアントアドレス2に変換され(ステップ119)、変換を受けたメッセージ(IPパケット)がアドレス集約装置102に送信される(ステップ120)。   Upon receipt of the IP packet including the message transmitted from the client 106, the passage control unit 123 in the edge device 101 registers the transmission source address / port number of the packet in the passage control setting information storage unit 124 as a passable address / port. And allow the packet to pass. Further, the passage control unit 123 performs address conversion, the source address A is converted from the client address 1 to the client address 2 (step 119), and the converted message (IP packet) is transmitted to the address aggregation device 102. (Step 120).

メッセージを含むIPパケットを受信したアドレス集約装置102の送信元認証部133は、メッセージを送信したクライアント106の認証を行う。ここでは、まず、送信元認証部133は、受信したメッセージを含むIPパケットから送信元アドレスAを取得するとともに、メッセージのヘッダ部に含まれる送信元アドレスBと送信元クライアント識別子を取得する(ステップ121)。また、送信元認証部133は、クライアント識別子をキーにして、認証情報格納部131を検索して、クライアントアドレス1及びクライアントアドレス2を取得する。   The source authentication unit 133 of the address aggregation device 102 that has received the IP packet including the message authenticates the client 106 that has transmitted the message. Here, first, the transmission source authenticating unit 133 acquires the transmission source address A from the IP packet including the received message, and also acquires the transmission source address B and the transmission source client identifier included in the header portion of the message (step S1). 121). Further, the transmission source authentication unit 133 searches the authentication information storage unit 131 using the client identifier as a key, and acquires the client address 1 and the client address 2.

そして、送信元アドレスAとクライアントアドレス1を照合するとともに、送信元アドレスAとクライアントアドレス2とを照合し、いずれかで一致するか否かを判定する(ステップ122)。本例では、送信元アドレスAはアドレス変換を受けているため、送信元アドレスAは、クライアントアドレス2に一致すると判定される。   Then, the source address A and the client address 1 are collated, and the source address A and the client address 2 are collated, and it is determined whether or not they match (step 122). In this example, since the source address A has undergone address translation, it is determined that the source address A matches the client address 2.

更に、送信元認証部133は、送信元アドレスBと、クライアントアドレス1とを照合し、一致するか否かを判定する(ステップ123)。本例では、一致すると判定される。   Furthermore, the transmission source authentication unit 133 compares the transmission source address B with the client address 1 and determines whether or not they match (step 123). In this example, it is determined that they match.

送信元アドレスAの判定(ステップ122)と送信元アドレスBの判定(ステップ123)の両方の判定で一致するとの判定結果が得られた場合、受信したメッセージは正しい送信元から送信されたと認証され、メッセージはサーバ104に転送される(ステップ124)。本実施形態でも、ローカルルーチングテーブルやENUM等の情報に基づいて、もしくはサーバの負荷状況に応じて適切なサーバを選択し、選択したサーバにメッセージを送信してもよい。   When the determination result that both the determination of the transmission source address A (step 122) and the determination of the transmission source address B (step 123) match is obtained, the received message is authenticated as being transmitted from the correct transmission source. The message is forwarded to the server 104 (step 124). Also in this embodiment, an appropriate server may be selected based on information such as a local routing table or ENUM, or according to the load status of the server, and a message may be transmitted to the selected server.

もし、送信元アドレスAの判定(ステップ122)と送信元アドレスBの判定(ステップ123)のいずれか又は両方で一致しないと判定された場合は、認証に失敗したことになり、当該メッセージのクライアント識別子が偽装されていると認識し、例えばクライアント106にエラーメッセージが送信される。   If it is determined that either or both of the determination of the transmission source address A (step 122) and the determination of the transmission source address B (step 123) do not match, authentication has failed, and the client of the message Recognizing that the identifier is forged, an error message is transmitted to the client 106, for example.

<実施形態2−2>
次に、実施形態2−2について説明する。実施形態2−1では、ライン番号とクライアント識別子とを、予めアドレス集約装置102の認証情報格納部131に格納しておいたが、実施形態2−2では、ライン番号とクライアント識別子とを、予めアドレス割り当て装置103のアドレス払い出し情報格納部111に格納しておく。
実施形態2−2におけるシステム構成は、図7〜図9に示した実施形態2−1におけるシステム構成と同様である。ただし、各格納部に格納される情報の内容等は実施形態2−1と異なる。
<Embodiment 2-2>
Next, Embodiment 2-2 will be described. In the embodiment 2-1, the line number and the client identifier are stored in the authentication information storage unit 131 of the address aggregating apparatus 102 in advance, but in the embodiment 2-2, the line number and the client identifier are stored in advance. It is stored in the address payout information storage unit 111 of the address assignment device 103.
The system configuration in the embodiment 2-2 is the same as the system configuration in the embodiment 2-1 shown in FIGS. However, the contents of information stored in each storage unit are different from those in the embodiment 2-1.

図12に、実施形態2−2における動作のシーケンスチャートを示す。図12を参照して、実施形態2−2のシステムの動作を、実施形態2−1と異なる点を中心に説明する。   FIG. 12 shows a sequence chart of operations in the embodiment 2-2. With reference to FIG. 12, the operation of the system of the embodiment 2-2 will be described focusing on differences from the embodiment 2-1.

図12のステップ101〜105は、実施形態2−1のステップ101〜105と同じである。   Steps 101 to 105 in FIG. 12 are the same as steps 101 to 105 in the embodiment 2-1.

ステップ206において、アドレス割り当て装置103は、アドレス割り当て要求に付加されていたライン番号に基づきアドレス払い出し情報格納部111を検索し、予め格納されているライン番号に対応付けて、ステップ105で選んだクライアントアドレスをアドレス払い出し情報格納部111に格納する。これにより、クライアントアドレスとクライアント識別子とが対応付けられてアドレス払い出し情報格納部111に格納されたことになる。   In step 206, the address allocation device 103 searches the address payout information storage unit 111 based on the line number added to the address allocation request, associates it with the previously stored line number, and selects the client selected in step 105 The address is stored in the address payout information storage unit 111. As a result, the client address and the client identifier are stored in the address payout information storage unit 111 in association with each other.

アドレス割り当て装置103は、アドレス払い出し情報格納部111から、ステップ105で選んだクライアントアドレスと、当該クライアントアドレスに対応付けて格納されているクライアント識別子とを取得し、これらを含むアドレス割り当て応答をアドレス集約装置102に送信する(ステップ207)。   The address allocation device 103 acquires the client address selected in step 105 and the client identifier stored in association with the client address from the address issue information storage unit 111, and collects the address allocation response including these addresses as address aggregation. It transmits to the apparatus 102 (step 207).

アドレス割り当て応答を受信したアドレス集約装置102のアドレス情報設定部132は、アドレス割り当て応答に含まれるクライアントアドレスとクライアント識別子とを認証情報格納部131に格納する(ステップ208)。これにより、認証情報格納部131には、クライアントアドレスと、クライアント識別子とが対応付けられることになる。そして、アドレス集約装置102は、クライアントアドレスを含むアドレス割り当て応答をクライアント106に転送する(ステップ109)。アドレス割り当て応答は、エッジ装置101を経由して、クライアント106に送信される。以降の処理は、基本的に実施形態2−1と同じである。   The address information setting unit 132 of the address aggregation device 102 that has received the address assignment response stores the client address and client identifier included in the address assignment response in the authentication information storage unit 131 (step 208). As a result, the client information and the client identifier are associated with the authentication information storage unit 131. Then, the address aggregation device 102 transfers an address assignment response including the client address to the client 106 (step 109). The address assignment response is transmitted to the client 106 via the edge device 101. Subsequent processing is basically the same as that of the embodiment 2-1.

なお、上記の処理では、アドレス集約装置102においてライン番号を格納していないが、これを格納してもよい。その場合、ステップ103で、ライン番号を認証情報格納部131に格納しておき、ステップ207にて、ライン番号、クライアント識別子、及びクライアントアドレスがアドレス割り当て装置103からアドレス集約装置102に送信され、アドレス集約装置102では、ステップ103で格納したライン番号と、アドレス割り当て装置103から受信したライン番号とが一致することを確認して、当該ライン番号に対応付けて、クライアント識別子とクライアントアドレスとを認証情報格納部131に格納する。   In the above processing, the line number is not stored in the address aggregation device 102, but it may be stored. In this case, the line number is stored in the authentication information storage unit 131 in step 103, and in step 207, the line number, client identifier, and client address are transmitted from the address assignment device 103 to the address aggregation device 102, and the address The aggregation device 102 confirms that the line number stored in step 103 matches the line number received from the address assignment device 103, and associates the client identifier and the client address with the authentication information in association with the line number. Store in the storage unit 131.

なお、第1の実施の形態では、受付制御装置を示していないが、第1の実施の形態においても、第2の実施の形態にように受付制御装置を備え、アドレス集約装置1に、通過制御機能を備えてもよい。その場合、例えば、アドレス割り当て装置2は、受付制御装置に対して、クライアントからのメッセージの受付(通過)を許可するよう、クライアントアドレスを提示して要求する。それを受けた受付制御装置は、アドレス集約装置1の通過制御機能に対して、クライアントアドレスを通知して、クライアントからのメッセージを受け付ける(通過させる)よう制御を行う。   In the first embodiment, the admission control device is not shown, but the first embodiment also includes the admission control device as in the second embodiment, and the address aggregation device 1 passes through the admission control device. A control function may be provided. In that case, for example, the address assignment device 2 requests the reception control device by presenting the client address so as to permit the reception (passage) of the message from the client. The reception control device that has received it controls the pass control function of the address aggregation device 1 to notify the client address and receive (pass) the message from the client.

上記のように、本発明の実施の形態で説明した技術によれば、ライアント-サーバ間に阿アドレス変換機能が存在し、サーバが受信するメッセージの送信元アドレスが変化してしまう場合においても、サーバに代わってアドレス変換装置の認証機能部分がメッセージの送信元認証を行うので、メッセージの正当性を認証することが可能になる。   As described above, according to the technology described in the embodiment of the present invention, there is an address conversion function between the client and the server, and even when the source address of the message received by the server changes, Since the authentication function part of the address translation device performs message source authentication on behalf of the server, it is possible to authenticate the validity of the message.

また、クライアントから送信されるメッセージは、通過制御機能による特定送信元アドレスからのメッセージを受け付けるか否かの判断、及び、アドレス集約装置による、送信元アドレスと、クライアント識別子の確認による送信元の認証、の二段階の検査を受けてサーバに転送されるため、高度なセキュリティを確保することが可能となる。   In addition, the message sent from the client is judged whether or not the message from the specific source address is accepted by the passage control function, and the sender is authenticated by the address aggregator by confirming the source address and the client identifier. Since it is transferred to the server after receiving the two-stage inspection, it is possible to ensure a high level of security.

本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.

1 アドレス集約装置
2 アドレス割り当て装置
3 サーバ
4 クライアント
5 ゲートウェイ
11 認証情報格納部
12 アドレス要求転送部
13 アドレス情報設定部
14 送信元認証部
15 アドレス集約機能部
21 アドレス払い出し情報格納部
101 エッジ装置
102 アドレス集約装置
103 アドレス割り当て装置
104 サーバ
105 受付制御装置
106 クライアント
107 ゲートウェイ
111 アドレス払い出し情報格納部
121 アドレス要求転送部
122 通過制御設定部
123 通過制御部
124 通過制御設定情報格納部
131 認証情報格納部
132 アドレス情報設定部
133 送信元認証部
134 アドレス要求転送部
135 アドレス集約機能部
DESCRIPTION OF SYMBOLS 1 Address aggregation apparatus 2 Address allocation apparatus 3 Server 4 Client 5 Gateway 11 Authentication information storage part 12 Address request transfer part 13 Address information setting part 14 Source authentication part 15 Address aggregation function part 21 Address discharge information storage part 101 Edge apparatus 102 Address Aggregation device 103 Address assignment device 104 Server 105 Reception control device 106 Client 107 Gateway 111 Address delivery information storage unit 121 Address request transfer unit 122 Pass control setting unit 123 Pass control unit 124 Pass control setting information storage unit 131 Authentication information storage unit 132 Address Information setting unit 133 Transmission source authentication unit 134 Address request transfer unit 135 Address aggregation function unit

Claims (8)

通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、
クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段と、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、
前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定手段と、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段と
を備えることを特徴とするアドレス集約システム。
An address aggregation system having a function of aggregating source addresses of messages received from a plurality of clients connected to a communication network into an address common to the plurality of clients,
For each client, an authentication information storage means that stores a line number and a client identifier in association with each other;
Based on the address allocation request received from the client, an address request transfer means for obtaining the line number of the client and transferring the address allocation request with the line number added to the address allocation device;
Address information setting means for receiving the line number and the assigned client address from the address assignment device, and storing the client address in the authentication information storage means in association with the line number;
Receiving a message including a source address and a client identifier from a client, obtaining a client address corresponding to the client identifier from the authentication information storage means, and collating the client address with the source address; An address aggregation system comprising: a sender authentication unit that authenticates a message sender.
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムであって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送手段と、
前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、認証情報格納手段に格納するアドレス情報設定手段と、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証手段と
を備えることを特徴とするアドレス集約システム。
An address aggregation system having a function of aggregating source addresses of messages received from a plurality of clients connected to a communication network into an address common to the plurality of clients,
The address aggregation system is connected to an address allocation device including a storage unit that stores a line number and a client identifier in association with each other for each client.
Based on the address allocation request received from the client, an address request transfer means for obtaining the line number of the client and transferring the address allocation request with the line number added to the address allocation device;
Address information setting means for receiving an assigned client address and a client identifier of a client corresponding to the client address from the address assignment device, and storing the client address and the client identifier in an authentication information storage means; ,
Receiving a message including a source address and a client identifier from a client, obtaining a client address corresponding to the client identifier from the authentication information storage means, and collating the client address with the source address; An address aggregation system comprising: a sender authentication unit that authenticates a message sender.
前記アドレス集約システムは、メッセージ通過制御手段を更に備え、
当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う
ことを特徴とする請求項1又は2に記載のアドレス集約システム。
The address aggregation system further comprises message passing control means,
The message passing control means receives control information for performing control to pass a message from a client to which the client address is assigned from an admission control device connected to the address aggregation system, and based on the control information , address aggregation system as claimed in claim 1 or 2, characterized in that the setting for passing the message.
前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、
前記送信元認証手段は、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行う
ことを特徴とする請求項1又は2に記載のアドレス集約システム。
The address aggregation system receives the notification of the converted client address from the address allocation device that has received notification of the converted client address by the reception control device connected to the address aggregation system, or from the reception control device, The converted client address is stored in the authentication information storage unit in association with the client address,
3. The address according to claim 1, wherein the transmission source authentication unit authenticates the message transmission source using the client address stored in the authentication information storage unit and the converted client address. 4. Aggregation system.
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムが実行するメッセージ送信元認証方法であって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した認証情報格納手段を備えており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送ステップと、
前記アドレス割り当て装置から、前記ライン番号と、割り当てられたクライアントアドレスとを受信し、当該クライアントアドレスを、前記ライン番号に対応付けて前記認証情報格納手段に格納するアドレス情報設定ステップと、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証ステップと
を備えることを特徴とするメッセージ送信元認証方法。
A message source authentication method executed by an address aggregation system having a function of aggregating source addresses of messages received from a plurality of clients connected to a communication network into an address common to the plurality of clients,
The address aggregation system includes an authentication information storage unit that stores a line number and a client identifier in association with each client,
Based on the address allocation request received from the client, an address request transfer step of acquiring the line number of the client and transferring the address allocation request with the line number added to the address allocation device;
An address information setting step of receiving the line number and the assigned client address from the address assigning device, and storing the client address in the authentication information storing means in association with the line number;
Receiving a message including a source address and a client identifier from a client, obtaining a client address corresponding to the client identifier from the authentication information storage means, and collating the client address with the source address; A message sender authentication method comprising: a sender authentication step for authenticating a message sender.
通信ネットワークに接続される複数のクライアントから受信するメッセージの送信元アドレスを、当該複数のクライアントに共通のアドレスに集約する機能を有するアドレス集約システムが実行するメッセージ送信元認証方法であって、
前記アドレス集約システムは、クライアント毎に、ライン番号とクライアント識別子とを対応付けて格納した格納手段を備えるアドレス割り当て装置に接続されており、
クライアントから受信するアドレス割り当て要求に基づき、当該クライアントのライン番号を取得し、当該ライン番号を付加したアドレス割り当て要求をアドレス割り当て装置に転送するアドレス要求転送ステップと、
前記アドレス割り当て装置から、割り当てられたクライアントアドレスと、当該クライアントアドレスに対応するクライアントのクライアント識別子とを受信し、当該クライアントアドレスと当該クライアント識別子とを、前記アドレス集約システムにおける認証情報格納手段に格納するアドレス情報設定ステップと、
クライアントから、送信元アドレスとクライアント識別子とを含むメッセージを受信し、前記認証情報格納手段から、当該クライアント識別子に対応するクライアントアドレスを取得し、当該クライアントアドレスと、前記送信元アドレスとを照合することにより、メッセージ送信元の認証を行う送信元認証ステップと
を備えることを特徴とするメッセージ送信元認証方法。
A message source authentication method executed by an address aggregation system having a function of aggregating source addresses of messages received from a plurality of clients connected to a communication network into an address common to the plurality of clients,
The address aggregation system is connected to an address allocation device including a storage unit that stores a line number and a client identifier in association with each other for each client.
Based on the address allocation request received from the client, an address request transfer step of acquiring the line number of the client and transferring the address allocation request with the line number added to the address allocation device;
The assigned client address and the client identifier of the client corresponding to the client address are received from the address assigning device, and the client address and the client identifier are stored in the authentication information storage means in the address aggregation system. An address information setting step;
Receiving a message including a source address and a client identifier from a client, obtaining a client address corresponding to the client identifier from the authentication information storage means, and collating the client address with the source address; A message sender authentication method comprising: a sender authentication step for authenticating a message sender.
前記アドレス集約システムは、メッセージ通過制御手段を更に備え、
当該メッセージ通過制御手段は、前記アドレス集約システムに接続された受付制御装置から、前記クライアントアドレスが割り当てられたクライアントからのメッセージを通過させる制御を行うための制御情報を受信し、当該制御情報に基づき、当該メッセージを通過させるための設定を行う
ことを特徴とする請求項5又は6に記載のメッセージ送信元認証方法。
The address aggregation system further comprises message passing control means,
The message passing control means receives control information for performing control to pass a message from a client to which the client address is assigned from an admission control device connected to the address aggregation system, and based on the control information The message source authentication method according to claim 5 or 6 , wherein a setting for passing the message is performed.
前記アドレス集約システムは、当該アドレス集約システムに接続された受付制御装置により変換後クライアントアドレスの通知を受けたアドレス割り当て装置から、又は、前記受付制御装置から、前記変換後クライアントアドレスの通知を受け、当該変換後クライアントアドレスを、前記クライアントアドレスに対応付けて前記認証情報格納手段に格納し、
前記送信元認証ステップにおいて、前記アドレス集約システムは、前記認証情報格納手段に格納されたクライアントアドレスと、前記変換後クライアントアドレスとを用いてメッセージ送信元の認証を行う
ことを特徴とする請求項5又は6に記載のメッセージ送信元認証方法。
The address aggregation system receives the notification of the converted client address from the address allocation device that has received notification of the converted client address by the reception control device connected to the address aggregation system, or from the reception control device, The converted client address is stored in the authentication information storage unit in association with the client address,
In the sender authentication step, said address aggregation system, according to claim 5, wherein the client address stored in the authentication information storage unit, that performs authentication of the message source by using said converted client address Or the message source authentication method according to 6;
JP2010037927A 2010-02-23 2010-02-23 Address aggregation system and message source authentication method Expired - Fee Related JP5398579B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010037927A JP5398579B2 (en) 2010-02-23 2010-02-23 Address aggregation system and message source authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010037927A JP5398579B2 (en) 2010-02-23 2010-02-23 Address aggregation system and message source authentication method

Publications (2)

Publication Number Publication Date
JP2011175383A JP2011175383A (en) 2011-09-08
JP5398579B2 true JP5398579B2 (en) 2014-01-29

Family

ID=44688191

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010037927A Expired - Fee Related JP5398579B2 (en) 2010-02-23 2010-02-23 Address aggregation system and message source authentication method

Country Status (1)

Country Link
JP (1) JP5398579B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6622672B2 (en) * 2016-09-06 2019-12-18 日本電信電話株式会社 ENUM call processing system, ENUM call processing method, and ENUM call processing program

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004320226A (en) * 2003-04-14 2004-11-11 Toshiba Corp Network telephone system and its switching device, network telephone terminal, and authentication method
JP4247109B2 (en) * 2003-12-25 2009-04-02 株式会社東芝 Network telephone system, main device of the network telephone system, and connection authentication method
JP2006013732A (en) * 2004-06-24 2006-01-12 Hitachi Ltd Routing apparatus and information processing apparatus authentication method
JP2006148296A (en) * 2004-11-17 2006-06-08 Matsushita Electric Ind Co Ltd Information processing system, information processing apparatus, server apparatus, and information processing method
JP2007018081A (en) * 2005-07-05 2007-01-25 Ttt Kk User authentication system, user authentication method, program for realizing user authentication method, and storage medium storing program
JP5464794B2 (en) * 2006-07-24 2014-04-09 コニカミノルタ株式会社 Network management method and network management system
WO2008114424A1 (en) * 2007-03-20 2008-09-25 Fujitsu Limited Relay device and vlan number setting method
JP4906581B2 (en) * 2007-05-09 2012-03-28 日本電信電話株式会社 Authentication system

Also Published As

Publication number Publication date
JP2011175383A (en) 2011-09-08

Similar Documents

Publication Publication Date Title
US9131026B2 (en) Method and system for establishing media channel based on relay
EP2499787B1 (en) Smart client routing
CN1954576B (en) Technique device and system for handling initiation requests
CN110800331A (en) Network verification method, related equipment and system
CN102640449B (en) For the system and method for web application communication
US20090089431A1 (en) System and method for managing resources in access network
WO2002071720A1 (en) Addressing method and system for using an anycast address
CN103067337B (en) Identity federation method, identity federation intrusion detection &amp; prevention system (IdP), identity federation service provider (SP) and identity federation system
US10742751B2 (en) User based mDNS service discovery
US8082580B1 (en) Session layer pinhole management within a network security device
US20110035413A1 (en) Diameter bus communications between processing nodes of a network element
CN105592180B (en) A kind of method and apparatus of Portal certification
CN106572132B (en) Distributed chain building method, device and system
US20220278980A1 (en) Load balancing across certificates and certificate authorities
CN104065688B (en) A kind of method and device for calling underlying services
EP2239883B1 (en) Method, device, system, client node, peer node and convergent point for preventing node from forging identity
CN101873330B (en) Access control method and server for supporting IPv6/IPv4 dual stack access
CN107547621B (en) Message forwarding method and device
JP6101644B2 (en) COMMUNICATION SYSTEM, IDENTIFIER APPARATUS AND COMMUNICATION METHOD
JP5398579B2 (en) Address aggregation system and message source authentication method
RU2706866C1 (en) Methods, devices, computer-readable media and systems for establishing certified connections with terminals in a local network
CN103200147B (en) The requesting method and device of third party&#39;s business
CN116647538A (en) Connecting device capable of accessing different intranet services
WO2022135132A1 (en) Service processing method and apparatus, electronic device, and storage medium
CN104518937B (en) The method and device of the more communication between devices of virtual LAN VLAN

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120126

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130321

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130402

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20131001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131015

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131022

R150 Certificate of patent or registration of utility model

Ref document number: 5398579

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees