專利名稱:通信裝置、邊界路由器裝置���、服務(wù)器裝置����、通信系統(tǒng)和通信方法
技術(shù)領(lǐng)域:
本發(fā)明涉及防止在使用IPv6的任播地址的環(huán)境中的應(yīng)答假冒的技術(shù)��,涉及通信裝置���、邊界路由器裝置、通信系統(tǒng)����、通信方法和路由選擇方法。
背景技術(shù):
近年�,世界最大的計(jì)算機(jī)網(wǎng)絡(luò)(因特網(wǎng))被普及利用,通過與因特網(wǎng)連接��,利用公開的信息和服務(wù),相反通過因特網(wǎng)向前來訪問的外部用戶提供信息和服務(wù)�����,而開拓了新的計(jì)算機(jī)業(yè)務(wù)�����。
另外���,在因特網(wǎng)中���,正在對(duì)所利用的新技術(shù)進(jìn)行開發(fā)。在因特網(wǎng)中�,連接的各計(jì)算機(jī)(節(jié)點(diǎn)、服務(wù)器等)各自具有IP地址那樣的標(biāo)識(shí)符����,根據(jù)該IP地址通過分組交換進(jìn)行通信。
IP地址的形式使用被稱為IPv4的32比特長的地址體系����,但近年來,正在轉(zhuǎn)向新的被稱為IPv6的128比特長的地址體系�。
作為該IPv6的特征之一����,可以列舉任播地址的導(dǎo)入�。任播地址與單播一樣被用于路徑控制上,但與單播地址不同�,被分配到多個(gè)節(jié)點(diǎn)上的多個(gè)接口。
所以�,從某節(jié)點(diǎn)向任播地址發(fā)送的分組被發(fā)送到路徑上最近的節(jié)點(diǎn)。即使假設(shè)分配了任播地址的節(jié)點(diǎn)發(fā)生了故障����,在接收到路徑信息后,也能夠自動(dòng)切換到具有相同地址的下一個(gè)合適的路由器�����。
通過利用任播地址所具有的這樣的特性��,將已知的任播地址分配給提供某服務(wù)的多個(gè)服務(wù)器���,不對(duì)最終主機(jī)進(jìn)行特別的設(shè)置和并更,就能夠?qū)崿F(xiàn)冗余性高的服務(wù)���。
但是���,IPv6的任播地址受到必須作為發(fā)送者地址來使用的限制��。所以����,接收發(fā)送到任播地址的分組的服務(wù)器有必要在返回應(yīng)答時(shí)��,將自身的單播地址作為發(fā)送者地址使用�����。
在此���,在一般使用任播地址的情況下���,容易受到基于“假冒”的從惡意的第3者發(fā)起的攻擊。由于向任播地址發(fā)送分組的客戶終端不能事先知道返回應(yīng)答的單播地址�,所以無論具有什么樣的發(fā)送者地址的應(yīng)答分組,都必須接收����。
因此,有即使是從實(shí)際上不具有提供服務(wù)的權(quán)限的節(jié)點(diǎn)發(fā)出的非法的“假冒”應(yīng)答,客戶終端也有可能接收的問題�����。
另外���,在使用單播地址的服務(wù)中��,有例如對(duì)查詢分組的發(fā)送目的地和應(yīng)答分組的發(fā)送者進(jìn)行比較那樣的簡(jiǎn)單的驗(yàn)證方法���,并被實(shí)際使用著。
由于容易偽造發(fā)送者地址�����,所以它是不能進(jìn)行完全的驗(yàn)證的���。但是�,例如通過聯(lián)合使用在網(wǎng)絡(luò)邊界的路由器對(duì)發(fā)送者地址進(jìn)行正當(dāng)性驗(yàn)證的過濾����,能夠?qū)⑹艿焦舻姆秶s小到某一程度。
但是�,在任播地址的情況下�����,由于不偽造發(fā)送者地址也能夠返回非法的應(yīng)答,所以受到從惡意的第3者發(fā)起的通過假冒的攻擊的可能性�����,比使用單播的情況高�。
專利文獻(xiàn)1IETF RFC2460 Internet Protocol,Version 6(IPv6)SpecificationDecember 1998如上所述�,在IPv6中使用任播地址的服務(wù)中,由于有不能使用任播地址作為具有該任播地址的發(fā)送者的發(fā)送者地址�����,所以有難以驗(yàn)證發(fā)送者的正當(dāng)性的問題���。
在這種情況下����,由于惡意的第3者對(duì)發(fā)送者地址的篡改而受到假冒攻擊的可能性�����,比使用單播的情況高,具有危險(xiǎn)性�����。
發(fā)明內(nèi)容
本發(fā)明就是為了解決上述問題點(diǎn)而提出的�,涉及在使用任播地址的服務(wù)中,通過驗(yàn)證發(fā)送者的正當(dāng)性�,來防止基于假冒的攻擊的通信裝置、邊界路由器裝置����、服務(wù)器裝置、通信系統(tǒng)���、通信方法�、路由選擇方法��、通信程序和路由選擇程序����。
本發(fā)明的第1個(gè)特征在于是一種通信裝置,具備向規(guī)定的發(fā)送目的地址發(fā)送分組的發(fā)送裝置���;作為分組的應(yīng)答接收應(yīng)答分組的接收裝置�;檢測(cè)包含在接收到的應(yīng)答分組中的發(fā)送者地址的第1檢測(cè)裝置;在檢測(cè)出的發(fā)送者地址與發(fā)送目的地址不同的情況下����,檢測(cè)出包含在應(yīng)答分組中的����,表示具有目的地址的其他通信裝置被付與了任播地址的標(biāo)識(shí)符的第2檢測(cè)裝置;根據(jù)檢測(cè)出的標(biāo)識(shí)符����,進(jìn)行應(yīng)答分組的驗(yàn)證的驗(yàn)證裝置。
根據(jù)上述發(fā)明���,通信裝置根據(jù)應(yīng)答分組及其發(fā)送者地址����,能夠知道應(yīng)答分組是否是從適當(dāng)?shù)姆?wù)器等發(fā)送的���。
本發(fā)明的第2個(gè)特征在于是一種邊界路由器裝置��,是位于具有任播地址的服務(wù)器裝置所屬的第1網(wǎng)絡(luò)和第2網(wǎng)絡(luò)的邊界的邊界路由器裝置����,具備從第2網(wǎng)絡(luò)側(cè)的通信裝置接收發(fā)送到具有規(guī)定的任播地址的服務(wù)器裝置的分組的第1接收裝置;將分組轉(zhuǎn)送到服務(wù)器裝置的第1轉(zhuǎn)送裝置���;從服務(wù)器裝置接收對(duì)分組的應(yīng)答分組的第2接收裝置��;檢測(cè)包含在應(yīng)答分組中的�����,表示被付與了與任播地址不同的發(fā)送者地址的標(biāo)識(shí)符的檢測(cè)裝置�;在檢測(cè)裝置檢測(cè)出了標(biāo)識(shí)符的情況下���,根據(jù)與具有預(yù)先保存的第2網(wǎng)絡(luò)內(nèi)的任播地址的服務(wù)器裝置有關(guān)的信息���,驗(yàn)證應(yīng)答分組是從服務(wù)器裝置發(fā)送的應(yīng)答分組的驗(yàn)證裝置;根據(jù)該驗(yàn)證裝置的結(jié)果�����,控制是否將應(yīng)答分組轉(zhuǎn)送到通信裝置的轉(zhuǎn)送控制裝置����;在通過控制裝置判斷出轉(zhuǎn)送分組的情況下,將應(yīng)答分組轉(zhuǎn)送到通信裝置的第2轉(zhuǎn)送裝置���。
通過上述發(fā)明�,邊界路由器裝置根據(jù)應(yīng)答分組及其發(fā)送者地址,能夠知道應(yīng)答分組是否是從適當(dāng)?shù)姆?wù)器等發(fā)送的����。
本發(fā)明的第3個(gè)特征在于是一種服務(wù)器裝置,具備在與第1網(wǎng)絡(luò)連接�,具有規(guī)定的任播地址的服務(wù)器裝置中���,接收從與第2網(wǎng)絡(luò)連接的通信裝置向任播地址發(fā)送的分組的接收裝置����;向?qū)Ψ纸M應(yīng)答的應(yīng)答分組付與表示該應(yīng)答分組的發(fā)送者具有任播地址的標(biāo)識(shí)符的標(biāo)識(shí)符付與裝置�;向通信裝置發(fā)送應(yīng)答分組的發(fā)送裝置。
通過上述發(fā)明�����,服務(wù)器裝置能夠付與表示任播通信的標(biāo)識(shí)符���。另外�,發(fā)送接收應(yīng)答分組的其他裝置能夠判斷是否是從適當(dāng)?shù)姆?wù)器等發(fā)送的應(yīng)答分組����。
本發(fā)明的第4個(gè)特征在于是一種通信系統(tǒng)��,是由具有規(guī)定的任播地址并且與第1網(wǎng)絡(luò)連接的服務(wù)器裝置����、與第2網(wǎng)絡(luò)連接的通信裝置����、位于第1網(wǎng)絡(luò)和第2網(wǎng)絡(luò)的邊界的邊界路由器裝置構(gòu)成的通信系統(tǒng),通信裝置具備向任播地址發(fā)送分組的第1發(fā)送裝置����;作為分組的應(yīng)答從服務(wù)器接收應(yīng)答分組的第1接收裝置,服務(wù)器裝置具備接收從通信裝置向任播地址發(fā)送的分組的第2接收裝置��;向?qū)Ψ纸M進(jìn)行應(yīng)答的應(yīng)答分組��,付與表示服務(wù)器裝置具有任播地址的的標(biāo)識(shí)符付與裝置��;向通信裝置發(fā)送應(yīng)答分組的第2發(fā)送裝置�,邊界路由器裝置具備接收從通信裝置向具有規(guī)定的任播地址的服務(wù)器裝置發(fā)送的分組的第3接收裝置;向服務(wù)器裝置轉(zhuǎn)送分組的第1轉(zhuǎn)送裝置���;接收從服務(wù)器裝置對(duì)分組的應(yīng)答分組的第4接收裝置����;檢測(cè)出包含在應(yīng)答分組中的,表示付與了與任播地址不同的發(fā)送者地址的標(biāo)識(shí)符的檢測(cè)裝置�;在檢測(cè)裝置檢測(cè)出標(biāo)識(shí)符的情況下,根據(jù)與具有預(yù)先保存的第1網(wǎng)絡(luò)內(nèi)的任播地址的服務(wù)器裝置有關(guān)的信息���,驗(yàn)證應(yīng)答分組是從服務(wù)器發(fā)送的應(yīng)答分組的驗(yàn)證裝置�����;根據(jù)驗(yàn)證裝置的結(jié)果�,控制是否將應(yīng)答分組轉(zhuǎn)送到通信裝置的轉(zhuǎn)送控制裝置�����;在通過控制裝置判斷出轉(zhuǎn)送分組的情況下�����,將應(yīng)答分組轉(zhuǎn)送到通信裝置的第2轉(zhuǎn)送裝置���。
根據(jù)上述發(fā)明,通過通信裝置和邊界路由器裝置檢測(cè)、判斷服務(wù)器裝置付與的表示任播通信的標(biāo)識(shí)符��,能夠在使用了任播地址的通信系統(tǒng)中確保與使用了單播地址的通信系統(tǒng)一樣的安全性�����。
本發(fā)明的第5個(gè)特征在于是一種通信方法��,向規(guī)定的發(fā)送目的地址發(fā)送分組���,作為分組的應(yīng)答接收應(yīng)答分組�,檢測(cè)包含在接收到的應(yīng)答分組中的應(yīng)答分組的發(fā)送者地址���,在檢測(cè)出的發(fā)送者地址與發(fā)送目的地址不同的情況下�����,檢測(cè)包含在應(yīng)答分組中的��,表示發(fā)送了該應(yīng)答分組的其他通信裝置具有任播地址的標(biāo)識(shí)符����,根據(jù)標(biāo)識(shí)符���,進(jìn)行應(yīng)答分組的驗(yàn)證�����。
本發(fā)明的第6個(gè)特征在于是一種路由選擇方法�,是位于具有任播地址的服務(wù)器裝置所屬的第1網(wǎng)絡(luò)和第2網(wǎng)絡(luò)的邊界的邊界路由器裝置的路由選擇方法,從第2網(wǎng)絡(luò)側(cè)的通信裝置接收發(fā)送到具有規(guī)定的任播地址的服務(wù)器裝置的分組�����,將分組轉(zhuǎn)送到服務(wù)器裝置���,從服務(wù)器裝置接收對(duì)分組的應(yīng)答分組�����,檢測(cè)出包含在應(yīng)答分組中的��,表示付與了與任播地址不同的發(fā)送者地址的標(biāo)識(shí)符,在檢測(cè)出標(biāo)識(shí)符的情況下����,根據(jù)與具有預(yù)先保存的第2網(wǎng)絡(luò)內(nèi)的任播地址的服務(wù)器裝置有關(guān)的信息,驗(yàn)證應(yīng)答分組是從服務(wù)器裝置發(fā)送的應(yīng)答分組���,根據(jù)該驗(yàn)證的結(jié)果�����,控制是否將應(yīng)答分組轉(zhuǎn)送到通信裝置�����。
本發(fā)明的第7個(gè)特征在于一種通信方法�,是與第1網(wǎng)絡(luò)連接,具有規(guī)定的任播地址的服務(wù)器裝置的通信方法����,接收從與第2網(wǎng)絡(luò)側(cè)連接的通信裝置發(fā)送到任播地址的分組,向?qū)Ψ纸M進(jìn)行應(yīng)答的應(yīng)答分組付與表示服務(wù)器裝置具有任播地址的標(biāo)識(shí)符����,向通信裝置發(fā)送應(yīng)答分組。
本發(fā)明的第8個(gè)特征在于是一種在計(jì)算機(jī)中執(zhí)行的通信程序���,向規(guī)定的目的地址發(fā)送分組�����,作為分組的應(yīng)答接收應(yīng)答分組�,檢測(cè)出包含在接收到的應(yīng)答分組中的應(yīng)答分組的發(fā)送者地址,在檢測(cè)出的發(fā)送者地址與目的地址不同的情況下�,檢測(cè)出包含在應(yīng)答分組的,表示發(fā)送該應(yīng)答分組的其他通信裝置具有任播地址的標(biāo)識(shí)符��,根據(jù)標(biāo)識(shí)符���,進(jìn)行應(yīng)答分組的驗(yàn)證����。
本發(fā)明的第9個(gè)特征在于是一種在計(jì)算機(jī)中執(zhí)行的通信程序�,在位于具有任播地址的服務(wù)器裝置所屬的第1網(wǎng)絡(luò)和第2網(wǎng)絡(luò)的邊界的邊界路由器裝置中,在進(jìn)行路由選擇的計(jì)算機(jī)中�,從第2側(cè)的通信裝置接收發(fā)送到具有規(guī)定的任播地址的服務(wù)器裝置的分組,將分組轉(zhuǎn)送到服務(wù)器裝置���,從服務(wù)器裝置對(duì)分組的應(yīng)答分組���,檢測(cè)包含在應(yīng)答分組中的,表示付與了與任播地址不同的發(fā)送者地址的標(biāo)識(shí)符���,在檢測(cè)出標(biāo)識(shí)符的情況下,根據(jù)與具有預(yù)先保存的第2網(wǎng)絡(luò)內(nèi)的任播地址的服務(wù)器裝置有關(guān)的信息���,驗(yàn)證應(yīng)答分組是從服務(wù)器裝置發(fā)送的應(yīng)答分組�����,根據(jù)該驗(yàn)證的結(jié)果���,控制是否將應(yīng)答分組轉(zhuǎn)送到通信裝置���。
本發(fā)明的第10個(gè)特征在于是一種在計(jì)算機(jī)中執(zhí)行的通信程序,在與第1網(wǎng)絡(luò)連接���,具有規(guī)定的任播地址的服務(wù)器裝置中�����,在進(jìn)行通信的計(jì)算機(jī)中��,從與第2網(wǎng)絡(luò)側(cè)連接的通信裝置接收發(fā)送到任播地址的分組���,向?qū)Ψ纸M進(jìn)行應(yīng)答的應(yīng)答分組,付與表示服務(wù)器裝置具有任播地址的標(biāo)識(shí)符����,向通信裝置發(fā)送應(yīng)答分組����。
圖1是本發(fā)明的實(shí)施例1的通信系統(tǒng)的概要圖�。
圖2是本發(fā)明的實(shí)施例1的任播地址通信的結(jié)構(gòu)圖。
圖3是本發(fā)明的實(shí)施例1的通信裝置的結(jié)構(gòu)圖�。
圖4是本發(fā)明的實(shí)施例1的路由器裝置的結(jié)構(gòu)圖。
圖5是本發(fā)明的實(shí)施例1的服務(wù)器裝置的結(jié)構(gòu)圖�。
圖6是本發(fā)明的實(shí)施例1的通信裝置的通信方法的流程圖。
圖7是本發(fā)明的實(shí)施例1的路由器裝置的路由選擇方法的流程圖��。
圖8是本發(fā)明的實(shí)施例1的服務(wù)器裝置的通信方法的流程圖����。
圖9是本發(fā)明的實(shí)施例1的通信系統(tǒng)的通信方法的流程圖。
具體實(shí)施例方式
(通信系統(tǒng))首先�,說明使用了任播地址的網(wǎng)絡(luò)和通信系統(tǒng)的概要。通信系統(tǒng)100如圖1所示����,具備位于第2網(wǎng)絡(luò)9內(nèi)的通信裝置10a、10b���、10c…�、因特網(wǎng)1�����、邊界路由器20����、A路由器3、B路由器4�、屬于作為內(nèi)部網(wǎng)絡(luò)的第1網(wǎng)絡(luò)7的A服務(wù)器30a和終端5a…5n、屬于第1網(wǎng)絡(luò)7的B服務(wù)器30b和終端6a…6n�。
因特網(wǎng)1是用來連接第1網(wǎng)絡(luò)7和第2網(wǎng)絡(luò)9的通信回路。它可以是用電纜等連接的專用回路���、衛(wèi)星通信等遠(yuǎn)距離無線通信�����、藍(lán)牙等近距離無線通信等�。
A路由器3和B路由器4是在網(wǎng)絡(luò)層對(duì)分組進(jìn)行路由選擇的裝置���,擔(dān)當(dāng)了第1網(wǎng)絡(luò)7上的所有節(jié)點(diǎn)間的數(shù)據(jù)轉(zhuǎn)送����。A服務(wù)器30a是以A路由器3為管理的節(jié)點(diǎn)中心進(jìn)行處理的計(jì)算機(jī)�����。B服務(wù)器30b是以B路由器4為管理的節(jié)點(diǎn)中心進(jìn)行處理的計(jì)算機(jī)。作為A路由器3的下位節(jié)點(diǎn)�,如圖2所示,存在A服務(wù)器30a�、終端5a、5b�、5c。作為B路由器4的下位節(jié)點(diǎn)����,如圖2所示,存在B服務(wù)器30b����、終端6a、6b�����、6c�����。第1網(wǎng)絡(luò)的所有裝置都通過LAN電纜8連接。
另外�,通過向一般的計(jì)算機(jī)安裝實(shí)現(xiàn)規(guī)定功能的軟件程序,來實(shí)現(xiàn)通信裝置10a�����、10b�����、10c…�、邊界路由器20�、A服務(wù)器30a、B服務(wù)器30b等裝置�����。
另外����,所有裝置的各自的接口如圖2所示,被付與了接口地址(在此是IPv6地址)�����。在此,LAN電纜8的物理層是以太網(wǎng)(TM)���,假設(shè)付與了IPv6地址���。各自的IPv6地址使用預(yù)先付與本接口的MAC地址,生成64比特的接口標(biāo)識(shí)符��。將接口標(biāo)識(shí)符作為低位64比特��,另外將從路由器接收到的前綴作為高位64比特��,自動(dòng)生成合計(jì)128比特的地址�。
IPv6地址的形式分類為連接局域地址、全局地址�,但為了說明而假設(shè)是全局地址。
屬于邊界路由器20的下位的管理的網(wǎng)絡(luò)的管理者向A服務(wù)器30a的接口和B服務(wù)器的接口付與相同的任播地址S���。發(fā)送到任播地址的分組在路徑上被發(fā)送到最近的具有任播地址的接口�。
在此�����,假設(shè)在從邊界路由器20看的情況下�,在路徑上最近的具有任播地址S的服務(wù)器是A服務(wù)器30a�。
在此��,A路由器3和B路由器4知道是否向?qū)儆诟髯缘母髀酚善鞯南挛坏墓?jié)點(diǎn)分配了任播地址�。例如,A路由器3存儲(chǔ)表示A服務(wù)器30a具有任播地址S的表���。同樣����,B服務(wù)器4存儲(chǔ)表示B服務(wù)器30b具有任播地址S的表�����。
這些表也可以由該上述的管理者手動(dòng)設(shè)置���,也可以在路由器和服務(wù)器間使用任意的協(xié)議進(jìn)行自動(dòng)設(shè)置。
(通信裝置)圖1所示的通信裝置10a��、10b����、10c…各自如圖3所示,由輸入裝置11���、輸出裝置12�����、通信控制裝置13��、主存儲(chǔ)裝置14����、處理控制裝置(CPU)16等構(gòu)成。CPU16由發(fā)送裝置16a�����、接收裝置16b����、第1檢測(cè)裝置16c、第2檢測(cè)裝置16d�����、驗(yàn)證裝置16e等�����。
發(fā)送裝置16a是檢查分組頭中的發(fā)送目的地址,將分組發(fā)送到該發(fā)送目的地址的模塊��。接收裝置16b是作為分組的應(yīng)答����,接收從發(fā)送對(duì)方的服務(wù)器等發(fā)送來的應(yīng)答分組的模塊。
第1檢測(cè)裝置16c是檢測(cè)包含在接收到的應(yīng)答分組中的發(fā)送者地址的模塊�����。第2檢測(cè)裝置16d是在檢測(cè)出的發(fā)送者地址與發(fā)送目的地址不同的情況下�����,檢測(cè)出表示包含在發(fā)送者地址中的任播地址的標(biāo)識(shí)符的模塊�����。驗(yàn)證裝置16e是根據(jù)標(biāo)識(shí)符���,進(jìn)行應(yīng)答分組的驗(yàn)證的模塊。
輸入裝置11由鍵盤�����、鼠標(biāo)等構(gòu)成。另外����,也可以經(jīng)由通信控制裝置13從外部裝置進(jìn)行輸入。在此�,外部裝置是指CD-ROM、MO���、ZIP等存儲(chǔ)介質(zhì)及其驅(qū)動(dòng)裝置����。輸出裝置由液晶顯示器��、CRT顯示器等顯示裝置����、噴墨打印機(jī)、激光打印機(jī)等印刷裝置等構(gòu)成��。
通信控制裝置13是生成用來經(jīng)由通信回路���,與其他通用機(jī)器����、服務(wù)器等發(fā)送接收數(shù)據(jù)的控制信號(hào)的模塊。主存儲(chǔ)裝置14暫時(shí)存儲(chǔ)記述了處理步驟的程序和應(yīng)該處理的數(shù)據(jù)���,并依據(jù)CPU16的指令�,傳送程序的機(jī)械指令和數(shù)據(jù)�����。在CPU16處理的數(shù)據(jù)被寫入主存儲(chǔ)裝置�。主存儲(chǔ)裝置14和CPU16與地址總線、數(shù)據(jù)總線����、控制信號(hào)等連接。
(通信裝置的通信方法)下面��,使用圖6的流程圖��,參照?qǐng)D1和圖3�,說明使用了通信裝置10a����、10b、10c…的通信方法�����。
(a)在步驟S101,圖3所示的發(fā)送裝置16a檢查分組頭中的發(fā)送目的地址��,將分組發(fā)送到該發(fā)送目的地址���。分組經(jīng)由圖1所示的因特網(wǎng)1等����,被發(fā)送到發(fā)送目的地址���。
接收到分組的服務(wù)器等對(duì)方裝置再次向通信裝置10a��、10b����、10c…發(fā)送對(duì)該分組的應(yīng)答分組���。另外����,在該發(fā)送的時(shí)候����,服務(wù)器等對(duì)方裝置向應(yīng)答分組付與證明自己所屬的任播地址的標(biāo)識(shí)符�。
(b)在步驟S102���,接收裝置16b作為分組的應(yīng)答����,接收從服務(wù)器等對(duì)方裝置發(fā)送來的應(yīng)答分組���。
(c)在步驟S103����,第1檢測(cè)裝置16c檢測(cè)包含在接收裝置16b接收到的應(yīng)答分組中的發(fā)送者地址�����。由此�����,能夠確定發(fā)送者的通信對(duì)方�。
(d)在步驟S104�,在檢測(cè)出的發(fā)送者地址與發(fā)送目的地址不同的情況下�,第2檢測(cè)裝置16d檢測(cè)表示包含在發(fā)送者地址中的任播地址的標(biāo)識(shí)符����。
(e)在步驟S105,驗(yàn)證裝置16e根據(jù)檢測(cè)出的標(biāo)識(shí)符��,驗(yàn)證發(fā)送者服務(wù)器等對(duì)方裝置沒有被假冒�����。
這樣�,通過由通信裝置10a、10b��、10c…檢測(cè)表示任播地址通信的標(biāo)識(shí)符�����,能夠在任播地址中確保與單播地址同等的安全性�。
(邊界路由器裝置)邊界路由器裝置20如圖1所示,位于具有多個(gè)任播地址的服務(wù)器裝置所屬的第1網(wǎng)絡(luò)7���、作為外部網(wǎng)絡(luò)的第2網(wǎng)絡(luò)9的邊界���。邊界路由器20如圖4所示���,由輸入裝置21、輸出裝置22��、通信控制裝置23�����、主存儲(chǔ)裝置24��、處理控制裝置(CPU)26���、輔助存儲(chǔ)裝置27等構(gòu)成�����。
輔助存儲(chǔ)裝置27存儲(chǔ)第1網(wǎng)絡(luò)7內(nèi)的接口的地址���。CPU26具備第1接收裝置26a、第1轉(zhuǎn)送裝置26b����、第2接收裝置26c��、檢測(cè)裝置26d���、驗(yàn)證裝置26e�����、轉(zhuǎn)送控制裝置26f����、第2轉(zhuǎn)送裝置26g。第1接收裝置26a是從第2網(wǎng)絡(luò)9側(cè)的通信裝置10a����、10b、10c…接收發(fā)送到多個(gè)具有任播地址的服務(wù)器裝置的分組的模塊�。
第1轉(zhuǎn)送裝置26b是將分組轉(zhuǎn)送到多個(gè)具有任播地址的服務(wù)器裝置內(nèi)的位于路徑上最近距離的服務(wù)器裝置的模塊。第2接收裝置26c是從位于路徑上最近距離的服務(wù)器裝置接收對(duì)分組的應(yīng)答分組的模塊�。
檢測(cè)裝置26d是檢測(cè)包含在應(yīng)答分組中的,表示付與了與任播地址不同的發(fā)送者地址的標(biāo)識(shí)符的模塊�����。驗(yàn)證裝置26e是在檢測(cè)裝置26d檢測(cè)出標(biāo)識(shí)符的情況下����,驗(yàn)證應(yīng)答分組是從具有任播地址的服務(wù)器內(nèi)的一個(gè)服務(wù)器發(fā)送的應(yīng)答分組���。
轉(zhuǎn)送控制裝置26f是控制是否將應(yīng)答分組轉(zhuǎn)送到通信裝置10a、10b��、10c…的模塊��。第2轉(zhuǎn)送裝置26g是根據(jù)轉(zhuǎn)送控制裝置的控制��,將應(yīng)答分組轉(zhuǎn)送到通信裝置10a�����、10b�、10c…的模塊。
輸入裝置21����、輸出裝置22、通信控制裝置23和主存儲(chǔ)裝置24與通信裝置10a���、10b�����、10c…一樣�,所以省略說明。
(路由選擇方法)下面�,根據(jù)圖7的流程圖說明使用了邊界路由器20的路由選擇方法。
(a)在步驟S201���,第1接收裝置26a從圖1的客戶側(cè)的通信裝置10a、10b���、10c…接收發(fā)送到具有任播地址的服務(wù)器的分組���。
(b)在步驟S202,第1轉(zhuǎn)送裝置26b將接收到的分組轉(zhuǎn)送到具有任播地址的服務(wù)器裝置內(nèi)的��,位于路徑上最近距離的服務(wù)器裝置����。在圖1的情況下,轉(zhuǎn)送到A服務(wù)器30a����。
(c)在步驟S203,第2接收裝置26c接收作為對(duì)分組的回答的從A服務(wù)器30a發(fā)來的應(yīng)答分組�����。
(d)在步驟S204,檢測(cè)裝置26d檢測(cè)包含在應(yīng)答分組中的����,表示付與了與任播地址不同的發(fā)送者地址的標(biāo)識(shí)符。
(e)在步驟S205�����,檢測(cè)裝置26e在檢測(cè)裝置26d檢測(cè)出標(biāo)識(shí)符的情況下����,驗(yàn)證應(yīng)答分組是從具有任播地址的服務(wù)器內(nèi)的1個(gè)服務(wù)器發(fā)送的應(yīng)答分組。
(f)在步驟S207����,轉(zhuǎn)送控制裝置26f控制是否將應(yīng)答分組轉(zhuǎn)送到通信裝置10a、10b���、10c…���。
如果判斷為轉(zhuǎn)送,則在步驟S208中���,第2轉(zhuǎn)送裝置26g根據(jù)轉(zhuǎn)送控制裝置的控制��,將應(yīng)答分組轉(zhuǎn)送到通信裝置10a�、10b、10c…����。另外,在判斷為不轉(zhuǎn)送的情況下�����,廢棄分組���。
根據(jù)上述處理,通過由邊界路由器20進(jìn)行表示任播地址通信的標(biāo)識(shí)符的過濾�����,而能夠在任播地址中確保與單播地址同等的安全性���。
(具有任播地址的服務(wù)器裝置)作為具有任播地址的服務(wù)器裝置的A服務(wù)器30a和B服務(wù)器30b如圖5所示�����,由輸入裝置31�、輸出裝置32、通信控制裝置33��、主存儲(chǔ)裝置34�����、處理控制裝置(CPU)36���、標(biāo)識(shí)符存儲(chǔ)裝置37等構(gòu)成�。
標(biāo)識(shí)符存儲(chǔ)裝置37存儲(chǔ)表示具有任播地址的標(biāo)識(shí)符���。
CPU36具備接收裝置36a��、標(biāo)識(shí)符付與裝置36b和發(fā)送裝置36c��。接收裝置36a是從與第2網(wǎng)絡(luò)9連接的通信裝置10a����、10b�、10c…接收發(fā)送到任播地址的分組的模塊。
標(biāo)識(shí)符付與裝置36b是向?qū)Ψ纸M進(jìn)行應(yīng)答的應(yīng)答分組的發(fā)送者地址付與表示具有任播地址的標(biāo)識(shí)符的模塊。發(fā)送裝置36c是向通信裝置10a����、10b、10c…發(fā)送應(yīng)答分組的模塊�。
輸入裝置31、輸出裝置32�、通信控制裝置33和主存儲(chǔ)裝置34與通信裝置10a、10b����、10c…相同,所以省略說明���。
(具有任播地址的服務(wù)器裝置的通信方法)下面��,說明A服務(wù)器30a和B服務(wù)器30b的通信方法�。
(a)在步驟S301�����,接收裝置36a經(jīng)由因特網(wǎng)1�,從通信裝置10a��、10b�����、10c…接收發(fā)送到任播地址的分組。
(b)在步驟S302�,標(biāo)識(shí)符付與裝置36b向?qū)Ψ纸M的應(yīng)答分組的發(fā)送者地址,付與表示具有任播地址的標(biāo)識(shí)符�。該標(biāo)識(shí)符使用被存儲(chǔ)在標(biāo)識(shí)符存儲(chǔ)裝置37中的標(biāo)識(shí)符。
(c)在步驟S303��。發(fā)送裝置36c向通信裝置10a�����、10b����、10c…發(fā)送付與了標(biāo)識(shí)符的應(yīng)答分組。
根據(jù)上述處理�����,通過A服務(wù)器30a付與表示任播地址通信的標(biāo)識(shí)符����,其他裝置能夠進(jìn)行過濾,并且能夠通過任播地址確保與單播地址同等的安全性。
(使用通信裝置�、邊界路由器裝置和服務(wù)器裝置的通信方法)以下,利用圖9說明使用圖1所示的通信裝置10a���、10b�、10c…進(jìn)行向A服務(wù)器30a發(fā)送接收分組的過程�。
(a)在步驟S401,如果經(jīng)由通信裝置10a���、10b���、10c…的輸入裝置11等輸入了分組發(fā)送要求,則發(fā)送裝置16a檢查分組頭中的A服務(wù)器30a的發(fā)送目的地址���,將分組發(fā)送到該發(fā)送目的地址����。分組通過因特網(wǎng)1被發(fā)送到發(fā)送目的地址�����。通過A服務(wù)器所屬的第1網(wǎng)絡(luò)7接收到的分組如步驟S402那樣�����,被轉(zhuǎn)送到邊界路由器20和A路由器3��,最終被發(fā)送到發(fā)送目的地址的A服務(wù)器30a�。
(b)在步驟S403,A服務(wù)器30a的接收裝置36a接收分組�。然后在步驟S404,標(biāo)識(shí)符付與裝置36b向回信的分組付與標(biāo)識(shí)符�。該標(biāo)識(shí)符使用存儲(chǔ)在標(biāo)識(shí)符存儲(chǔ)裝置37中的標(biāo)識(shí)符。
付與標(biāo)識(shí)符后���,在步驟S405�,發(fā)送裝置36c向通信裝置10a�����、10b�、10c…發(fā)送應(yīng)答分組。應(yīng)答分組在A路由器3被路由選擇����,發(fā)送到邊界路由器20。
(c)在步驟S406��,如果邊界路由器20的第2接收裝置26c接收到應(yīng)答分組,則在步驟S407�,檢測(cè)裝置26d從應(yīng)答分組檢測(cè)表示任播地址的標(biāo)識(shí)符。
(d)在步驟S408�,驗(yàn)證裝置26e驗(yàn)證檢測(cè)出的標(biāo)識(shí)符是否適當(dāng)。在驗(yàn)證結(jié)果是分組是適當(dāng)?shù)那闆r下���,在步驟S410����,第2轉(zhuǎn)送裝置26g經(jīng)由因特網(wǎng)1向通信裝置10a����、10b、10c…發(fā)送應(yīng)答分組��。在分組不適當(dāng)?shù)那闆r下��,在步驟S411廢棄該分組����。
(e)在步驟S412,通信裝置10a���、10b����、10c…的接收裝置16b接收應(yīng)答分組�����。第1檢測(cè)裝置16c檢測(cè)接收到的應(yīng)答分組的發(fā)送者地址�,第2檢測(cè)裝置16d從應(yīng)答分組中檢測(cè)表示任播地址的標(biāo)識(shí)符。
(f)在步驟S413����,根據(jù)是否具有表示任播地址的標(biāo)識(shí)符,驗(yàn)證該應(yīng)答分組是否是從適當(dāng)?shù)姆?wù)器���、即A服務(wù)器30a發(fā)送的���。在具有適當(dāng)?shù)臉?biāo)識(shí)符的情況下,在步驟S414讀入該應(yīng)答分組�,在不具有適當(dāng)?shù)臉?biāo)識(shí)符的情況下,在步驟S415廢棄該應(yīng)答分組�。
根據(jù)上述處理,通過A服務(wù)器30a付與表示任播地址通信的標(biāo)識(shí)符�����,在通信裝置10a、10b�、10c…和邊界路由器20中實(shí)施該標(biāo)識(shí)符的過濾,能夠通過任播地址確保與單播地址同等的安全性����。
根據(jù)本發(fā)明,具有以下優(yōu)點(diǎn)針對(duì)任播地址利用時(shí)的假冒攻擊����,能夠得到與單播地址同等的承受性,能夠在與單播地址同等的安全性下�����,進(jìn)行任播地址通信��,能夠提供一種使用了即插即得功能的��,能夠與不特定多個(gè)通信裝置�、通信終端進(jìn)行通信的通信裝置、邊界路由器裝置�����、服務(wù)器裝置����、通信系統(tǒng)�����、通信方法和路由選擇方法。
權(quán)利要求
1.一種通信裝置�,其特征在于包括向規(guī)定的發(fā)送目的地址發(fā)送分組的發(fā)送裝置;作為分組的應(yīng)答接收應(yīng)答分組的接收裝置�����;檢測(cè)包含在接收到的上述應(yīng)答分組中的發(fā)送者地址的第1檢測(cè)裝置�;在檢測(cè)出的上述發(fā)送者地址與上述發(fā)送目的地址不同的情況下,檢測(cè)出包含在上述應(yīng)答分組中的����,表示具有上述目的地址的其他通信裝置被付與了任播地址的情況的標(biāo)識(shí)符的第2檢測(cè)裝置;根據(jù)檢測(cè)出的上述標(biāo)識(shí)符���,進(jìn)行上述應(yīng)答分組的驗(yàn)證的驗(yàn)證裝置�。
2.一種邊界路由器裝置��,是位于具有任播地址的服務(wù)器裝置所屬的第1網(wǎng)絡(luò)和第2網(wǎng)絡(luò)的邊界的邊界路由器裝置����,其特征在于包括從上述第2網(wǎng)絡(luò)側(cè)的通信裝置接收發(fā)送到具有規(guī)定的任播地址的上述服務(wù)器裝置的分組的第1接收裝置�����;將上述分組轉(zhuǎn)送到上述服務(wù)器裝置的第1轉(zhuǎn)送裝置����;從上述服務(wù)器裝置接收對(duì)上述分組的應(yīng)答分組的第2接收裝置���;檢測(cè)包含在上述應(yīng)答分組中的�����,表示被付與了與上述任播地址不同的發(fā)送者地址的情況的標(biāo)識(shí)符的檢測(cè)裝置�����;在上述檢測(cè)裝置中檢測(cè)出了標(biāo)識(shí)符的情況下���,根據(jù)與具有預(yù)先保存的上述第2網(wǎng)絡(luò)內(nèi)的上述任播地址的服務(wù)器裝置有關(guān)的信息,驗(yàn)證上述應(yīng)答分組是從上述服務(wù)器裝置發(fā)送的應(yīng)答分組的驗(yàn)證裝置�����;根據(jù)該驗(yàn)證裝置的結(jié)果,控制是否將上述應(yīng)答分組轉(zhuǎn)送到上述通信裝置的轉(zhuǎn)送控制裝置���;在通過上述控制裝置判斷出轉(zhuǎn)送上述分組的情況下�,將上述應(yīng)答分組轉(zhuǎn)送到上述通信裝置的第2轉(zhuǎn)送裝置��。
3.一種服務(wù)器裝置���,是與第1網(wǎng)絡(luò)連接,具有規(guī)定的任播地址的服務(wù)器裝置�,其特征在于包括從與第2網(wǎng)絡(luò)連接的通信裝置接收發(fā)送到上述任播地址的分組的接收裝置;向?qū)ι鲜龇纸M進(jìn)行應(yīng)答的應(yīng)答分組��,付與表示該應(yīng)答分組的發(fā)送者具有任播地址的情況的標(biāo)識(shí)符的標(biāo)識(shí)符付與裝置�;向上述通信裝置發(fā)送上述應(yīng)答分組的發(fā)送裝置。
4.一種通信系統(tǒng)�,是由具有規(guī)定的任播地址,并且與第1網(wǎng)絡(luò)連接的服務(wù)器裝置��、與第2網(wǎng)絡(luò)連接的通信裝置�����、位于上述第1網(wǎng)絡(luò)和上述第2網(wǎng)絡(luò)的邊界的邊界路由器裝置構(gòu)成的通信系統(tǒng),其特征在于上述通信裝置具備向上述任播地址發(fā)送分組的第1發(fā)送裝置���;作為上述分組的應(yīng)答�,從上述服務(wù)器裝置接收應(yīng)答分組的第1接收裝置�,上述服務(wù)器裝置具備從上述通信裝置接收發(fā)送到上述任播地址的上述分組的第2接收裝置;向?qū)ι鲜龇纸M進(jìn)行應(yīng)答的上述應(yīng)答分組����,付與表示上述服務(wù)器裝置具有任播地址的情況的標(biāo)識(shí)符的標(biāo)識(shí)符付與裝置;向上述通信裝置發(fā)送上述應(yīng)答分組的第2發(fā)送裝置�����,上述邊界路由器裝置具備從上述通信裝置接收發(fā)送到具有規(guī)定的任播地址的上述服務(wù)器裝置的分組的第3接收裝置�����;向上述服務(wù)器裝置轉(zhuǎn)送上述分組的第1轉(zhuǎn)送裝置�;從上述服務(wù)器裝置接收對(duì)上述分組的應(yīng)答分組的第4接收裝置;檢測(cè)出包含在上述應(yīng)答分組中的����,表示付與了與上述任播地址不同的發(fā)送者地址的情況的標(biāo)識(shí)符的檢測(cè)裝置;在上述檢測(cè)裝置中檢測(cè)出上述標(biāo)識(shí)符的情況下�,根據(jù)與具有預(yù)先保存的第1網(wǎng)絡(luò)內(nèi)的上述任播地址的服務(wù)器裝置有關(guān)的信息,驗(yàn)證上述應(yīng)答分組是從上述服務(wù)器裝置發(fā)送的應(yīng)答分組的驗(yàn)證裝置;根據(jù)上述驗(yàn)證裝置的結(jié)果���,控制是否將上述應(yīng)答分組轉(zhuǎn)送到上述通信裝置的轉(zhuǎn)送控制裝置����;在通過上述控制裝置判斷出轉(zhuǎn)送上述分組的情況下�,將上述應(yīng)答分組轉(zhuǎn)送到上述通信裝置的第2轉(zhuǎn)送裝置。
5.一種通信方法���,其特征在于包括向規(guī)定的發(fā)送目的地址發(fā)送分組�����,作為上述分組的應(yīng)答,接收應(yīng)答分組��,檢測(cè)包含在接收到的該應(yīng)答分組中的該應(yīng)答分組的發(fā)送者地址���,在檢測(cè)出的上述發(fā)送者地址與上述發(fā)送目的地址不同的情況下����,檢測(cè)包含在上述應(yīng)答分組中的����,表示發(fā)送了該應(yīng)答分組的其他通信裝置具有任播地址的情況的標(biāo)識(shí)符���,根據(jù)上述標(biāo)識(shí)符,進(jìn)行上述應(yīng)答分組的驗(yàn)證����。
6.一種路由選擇方法,是位于具有任播地址的服務(wù)器裝置所屬的第1網(wǎng)絡(luò)和第2網(wǎng)絡(luò)的邊界的邊界路由器裝置的路由選擇方法�����,其特征在于包括從上述第2網(wǎng)絡(luò)側(cè)的通信裝置接收發(fā)送到具有規(guī)定的任播地址的上述服務(wù)器裝置的分組�����,將上述分組轉(zhuǎn)送到上述服務(wù)器裝置�,從上述服務(wù)器裝置接收對(duì)上述分組的應(yīng)答分組,檢測(cè)包含在上述應(yīng)答分組中的����,表示付與了與上述任播地址不同的發(fā)送者地址的情況的標(biāo)識(shí)符,在檢測(cè)出上述標(biāo)識(shí)符的情況下���,根據(jù)與具有預(yù)先保存的上述第2網(wǎng)絡(luò)內(nèi)的上述任播地址的服務(wù)器裝置有關(guān)的信息�,驗(yàn)證上述應(yīng)答分組是從上述服務(wù)器裝置發(fā)送的應(yīng)答分組,根據(jù)該驗(yàn)證的結(jié)果��,控制是否將上述應(yīng)答分組轉(zhuǎn)送到上述通信裝置���。
7.一種通信方法�,是與第1網(wǎng)絡(luò)連接���,具有規(guī)定的任播地址的服務(wù)器裝置的通信方法����,其特征在于包括從與第2網(wǎng)絡(luò)側(cè)連接的通信裝置接收發(fā)送到上述任播地址的分組����,向?qū)ι鲜龇纸M進(jìn)行應(yīng)答的應(yīng)答分組,付與表示上述服務(wù)器裝置具有任播地址的情況的標(biāo)識(shí)符�,向上述通信裝置發(fā)送上述應(yīng)答分組。
全文摘要
本發(fā)明提供一種在使用了任播地址的服務(wù)中�,驗(yàn)證發(fā)送者的正當(dāng)性����,防止因假冒造成的損害的通信裝置、邊界路由器裝置���、服務(wù)器裝置����、通信系統(tǒng)、通信方法和路由選擇方法��。通過檢測(cè)應(yīng)答分組的發(fā)送者地址��,在發(fā)送者地址與發(fā)送目的地址不同的情況下����,檢測(cè)表示應(yīng)答分組的任播地址的標(biāo)識(shí)符,進(jìn)行應(yīng)答分組的驗(yàn)證的通信裝置(10a�����、10b�����、10c…)��、檢測(cè)應(yīng)答分組內(nèi)的標(biāo)識(shí)符���,根據(jù)預(yù)先存儲(chǔ)的與服務(wù)器裝置有關(guān)的信息�,驗(yàn)證應(yīng)答分組是從服務(wù)器發(fā)送的應(yīng)答分組的邊界路由器(20)、具有向應(yīng)答分組的發(fā)送者地址付與表示任播地址的標(biāo)識(shí)符的裝置的A服務(wù)器(30a)等����,在發(fā)送接收時(shí)進(jìn)行過濾。
文檔編號(hào)H04L12/66GK1501659SQ20031011491
公開日2004年6月2日 申請(qǐng)日期2003年11月13日 優(yōu)先權(quán)日2002年11月13日
發(fā)明者神明達(dá)哉, 石山政浩, 玉田雄三, 三, 浩 申請(qǐng)人:株式會(huì)社東芝