专利名称:用户线容纳设备和包过滤方法
技术领域:
本发明涉及一种具有DHCP服务器的用户线容纳设备,以及使用具有这种电路配置的设备的包过滤方法,尤其是涉及一种分别具有防止非法访问功能的用户线容纳设备和包过滤方法。
背景技术:
用户线容纳设备用于允许多个用户终端经由诸如电话线、同轴电缆或者光缆这样的传输线访问诸如因特网这样的通信网络。如果固定IP(网际协议)地址被分配给在这种用户线容纳设备中的多个用户终端,则会出现下面的问题。特别是,如果第三方成功推测到分配给一个确定用户终端的IP地址,则该第三方就可以伪装为拥有这样一个确定用户终端的另一个人。
DHCP(动态主机配置协议)服务器是具有这样一种功能的服务器,即该服务器响应于来自作为通信终端的用户终端的访问通信网络的请求而临时分配预先准备的IP地址。当使用这样一种DHCP服务器时,由于IP地址在用户终端侧不是固定的,所以很容易防止第三方假定IP地址。还存在一个优点,即当诸如计算机或者网络电视这样的用户终端临时访问因特网时,可以通过使用DHCP服务器来简化在用户侧上的连接操作。考虑到这些优点,DHCP服务器通常在用户线容纳设备侧使用。网桥具有基于MAC(媒体访问控制)地址对包进行分类的功能,因此网桥用来阻止与用户线容纳设备无关的来自网络的那些包的进入。
另一方面,分别为诸如计算机和通信卡这样的用户终端分配了MAC地址作为它们唯一的标识数据。响应于来自各自的用户终端的访问,使用DHCP服务器的用户线容纳设备使那些终端的MAC地址与由DHCP服务器分配的IP地址相关,并且存储MAC地址与IP地址之间的相互关系。
考虑到这一点,已经提出了一种技术,在该技术中,连接到在用户线容纳设备中被容纳的线路的所有用户终端的MAC地址都被登记,并且当不同于已登记的MAC地址中任何一个的通信终端试图访问网络时,这种访问被拒绝,从而改善了网络的安全性(例如,参见JP-A-2002-204246)。
根据该建议,当除了从属于用户线容纳设备的用户终端以外的一个用户终端访问用户线容纳设备以请求获取一个IP地址时,在给该用户终端分配IP地址之前,该DHCP服务器检查该用户终端的MAC地址是否为登记在该用户线容纳设备中的任何一个MAC地址。由于MAC地址是由6个八比特组(48比特)位串形成的数据,所以推测MAC地址比推测IP地址更加困难。因此,可以更有效地阻止第三方的非法访问。
然而,在该建议中,已经非法获得诸如笔记本个人电脑或者从属于用户线容纳设备的通信卡这样的用户终端的第三方可以通过将已获得的用户终端连接到一条存取线而使DHCP服务器分配一个IP地址,在用户线容纳设备中容纳该存取线。例如,在CATV(有线电视)网络中,CATV调制解调器经由同轴电缆被连接到各自用户的家庭的用户终端。在这样一种CATV网络中,当另一个人的非法获得的用户终端被连接到位于中间位置的同轴电缆时,通过使DHCP服务器分配一个IP地址来启动非法访问。这也应用于这样一种情况,即第三方通过诸如借用另一个人的用户终端这样的方法来学习一个MAC地址,并且非法使用它。
发明内容
因此,本发明的一个目的是提供一种用户线容纳设备及包过滤方法,响应于由非法学习了另一个人的通信终端的MAC地址的第三方访问通信网络的请求,本发明的设备和方法能够拒绝这样一种访问请求。
根据本发明的第一个方面,提供了一种用户线容纳设备。第一方面的用户线容纳设备包括用户线端接部分,其单独端接多条用户线;以及地址信息分配部分,当由用户线端接部分端接的该多条用户线中任何一条的通信终端已请求获取在执行分组通信时给予包的本站(own-station)地址信息时,该地址信息分配部分通过限制可用时间而将本站地址信息分配给该通信终端。该用户线容纳设备进一步包括滤波器条件登记部分,其登记一对由地址信息分配部分分配的本站地址信息和已请求获取本站地址信息的用户线标识号;以及分组通信允许部分,其仅允许分组通信用于这样的包,其中一对本站地址信息和标识号与滤波器条件登记部分中登记的一对本站地址信息和标识号相一致。
根据本发明的第二个方面,提供了一种用户线容纳设备。第二方面的用户线容纳设备包括用户线端接部分,其单独端接多条用户线;以及IP地址分配部分,当由用户线端接部分端接的该多条用户线中任何一条的通信终端已请求获取在执行分组通信时给予包的IP地址时,该IP地址分配部分通过限制可用时间而将IP地址分配给通信终端。该用户线容纳设备还包括滤波器条件登记部分,其登记一组由IP地址分配部分分配的IP地址、已请求获取IP地址的用户线标识号、以及作为已请求获取IP地址的通信终端的唯一信息的MAC地址。该用户线容纳设备进一步包括分组通信允许部分,其仅允许分组通信用于这样的包,其中一组IP地址、标识号和MAC地址与滤波器条件登记部分中登记的一组IP地址、标识号和MAC地址相一致。
根据本发明的第三个方面,提供了一种包过滤方法。第三方面的包过滤方法包括地址信息分配步骤,当多条用户线中任何一条的通信终端已请求获取在执行分组通信时给予包的本站地址信息时,通过限制可用时间将本站地址信息分配给通信终端。该包过滤方法还包括滤波器条件登记步骤,当地址信息分配步骤已经分配了本站地址信息时,登记一对本站地址信息和已请求获取本站地址信息的用户线的标识号、连同所述可用时间。该包过滤方法还包括分组通信允许步骤,当包到达时,仅允许分组通信用于这样的包,该包与一对在可用时间内的本站地址信息和已请求获取本站地址信息的用户线的标识号相一致。
根据本发明的第四个方面,提供了一种包过滤方法。第四方面的包过滤方法包括IP地址分配步骤,当多条用户线中任何一条的通信终端已请求获取在执行分组通信时给予包的IP地址时,通过限制可用时间而将IP地址分配给通信终端。该包过滤方法还包括滤波器条件登记步骤,当IP地址分配步骤已分配了IP地址时,登记一组IP地址、已请求获取IP地址的用户线标识号、以及作为请求获取IP地址的通信终端的唯一信息的MAC地址、连同可用时间。该包过滤方法还包括分组通信允许步骤,当包已到达时,仅允许分组通信用于这样的包,该包与在可用时间内的一组IP地址、标识号和MAC地址一致。
图1是示出了本发明所适用的用于收看电视图像和收听电视声音的组播信息传送系统的概要的系统配置图;图2是示出了根据本发明优选实施例的用户线容纳设备及其外围电路配置的概要的框图;图3是示出了根据本发明实施例的用户线容纳设备的主要部分的系统配置的框图;图4是示出了根据本发明实施例的集成网关单元的硬件配置的概要的框图;图5是示出了根据本发明实施例的集成网关单元的软件配置的概要的框图;图6是示出了在根据本发明实施例的DHCP服务器中提供的DHCP管理表部分的说明性图;图7是示出了根据本发明实施例的检测部分的处理流程的图;图8是示出了根据本发明实施例的输入滤波器部分的处理流程的图;以及图9是示出了根据本发明实施例的DHCP服务器的处理流程的图。
具体实施例方式
<系统概要>
图1示出了根据本发明优选实施例的使用用户线容纳设备102的组播信息传送系统100的概要。该组播信息传送系统100使用ADSL(不对称数字用户线)。在该组播信息传送系统100中,分别放置在用户家里和用户线容纳设备102的用户分路器101-1到101-M经由DSL用户线103-1到103-M被连接到一起。电话104-1到104-M和ADSL调制解调器105-1到105-M分别被连接到用户分路器101-1到101-M。执行诸如主页浏览这样的各种数据处理的个人计算机106-1到106-M分别被连接到ADSL调制解调器105-1到105-M。此外,用于收看电视节目的网络电视108-1到108-M经由机顶盒107-1到107-M分别被连接到ADSL调制解调器105-1到105-M。
用户线容纳设备102被连接到语音交换机112,从而适合于被连接到PSTN(公共交换电话网络)113。此外,用户线容纳设备102经由路由器114被连接到诸如用于执行分组通信的因特网这样的分组通信网115。用于相对网络电视108-1到108-M分配各种电视节目的节目分配服务器116被连接到该分组通信网115。
图2示出了用户线容纳设备102的配置及其外围配置。根据该实施例的用户线容纳设备102具有每个系统最大1920条线的容量。
用户线容纳设备102包括经由DSL用户线103-1到103-1920分别被连接到ADSL调制解调器105-1到105-1920的分路器单元122-1到122-1920。其中,将代表性地描述分路器单元122-1。分路器单元122-1将经由DSL用户线103-1接收到的信号123-1分为语音频带的电话信号124-1和高于语音频带的预定频带的ADSL信号125-1。电话信号124-1被发送到用作线路交换的语音交换机112。
另一方面,通过分路器单元122-1分路的ADSL信号125-1在LTU127-1到127-J中对应的DSL用户线端接单元(下文中称为“LTU”)127-1的初始阶段(未示出)被调制/解调,以致ATM信元被提取。所提取的ATM信元经由背板总线128输入到集成网关单元(IGU)131。稍后将描述集成网关单元131的细节。类似于分路器单元122-1,分路器单元122-2到122-1290分别将经由DSL用户线103-2到103-1920接收到的信号123-2到123-1920分为语音频带的电话信号124-2到124-L和ADSL信号125-2到125-L。
LTU127-1到127-J中的每一个包括对应于预定数量的线路(例如,最大32条线)的DSL收发机模块。该DSL收发机模块是通过稍后所述的DSP(数字信号处理器)形成的。LTU127-1到127-J中的每一个在上行链路方向经由起到用于连接到因特网的接口作用的上行链路线130、通过使用在DSL用户线103-1到103-1920中相应的线路来执行高速数据通信,同时接收和调制下行链路数据并且将已调制的下行链路数据发送到在DSL用户线103-1到103-1920中的相应线路。应当注意,上行链路方向是朝着图1中的分组通信网115的方向,而下行链路方向是与上行链路相反的方向。
图3示出了用户线容纳设备102的主要部分的系统配置。用户线容纳设备102包括参考图2描述的LTU127-1到127-J,该LTU127-1到127-J经由背板总线128被连接到集成网关单元131的一端。该集成网关单元131具有用于连接到因特网的接口功能,并且在其另一端被连接到上行链路线130。
集成网关单元131包括执行整个控制并且监控用户线容纳设备102的设备控制部分132,以及起到针对背板的接口作用的背板总线IF(接口)电路133。集成网关单元131还包插执行ATM信元的分段和重装的ATM SAR(异步传送模式分段和重装)134,以及执行第2层帧输送并且基于MAC地址对包进行分类的网桥输送器(bridge forwarder)135。ATM信元在ATMSAR134和LTU127-1到127-J之间发送,同时在上行链路线130的输入和输出端口处发送以太网(注册商标)帧。
图4示出了集成网关单元131的电路配置的概要。集成网关单元131包括两个处理器,即设备控制CPU(中央处理单元)14和网络处理器142,以及具有闪存ROM(只读存储器)143、SDRAM(同步动态随机存取存储器)144、和非易失性RAM(随机存取存储器)145的存储器组。该集成网关单元131还包括由作为专用集成电路的ASIC(专用集成电路)形成的背板总线IF电路133、以及由LSI(大规模集成)芯片(未示出)形成的GbE(千兆位以太网(注册商标))IF(接口)电路147。
设备控制CPU 141执行相对设备配置的管理、通信及设置的控制。网络处理器142是包括内置CPU151和ATM SAR134的高速通信处理器。图3中示出的网桥输送器135以软件的方式通过使用网络处理器142来创建,并且执行诸如帧接收、目的地鉴别和输送到目的地这样的处理。背板总线IF电路133通过硬件来创建,并且执行有关线路的各种控制、诸如相对用于执行以吉比特(Gigabit)速率发送的帧的高速处理的线路的总线控制。背板总线IF电路133通过轮询来单独处理LTU 127-1到127-J。
图5示出了集成网关单元131的主功能块。集成网关单元131包括由图4中的设备控制CPU141及其相关的硬件创建的基本功能部分161、和信号处理部分162。该信号处理部分162以软件的方式通过使用图4中的网络处理器142及其相关硬件和控制程序来创建。自然地,信号处理部分162也可以仅通过硬件来创建。
在该实施例中,基本功能部分161包括执行诸如与主机(未示出)通信以操作一个控制台(未示出)这样的处理的功能软件部分171、作为用于执行与功能软件部分171进行分组通信的协议的TCP/IP(传输控制协议/网际协议)部分172、以及管理MAC(媒体访问控制)的MAC部分173。
在该实施例中,功能软件部分171包括探听(snoop)组播通信的IGMP(因特网组管理协议)探听部分171A、自动执行在IP网络和各种设置中可重复使用的IP(网际协议)地址的动态分配的DHCP(动态主机配置协议)服务器171B。功能软件部分171还包括tftp(单纯文件传输协议)客户机171C、用于设备监控的SNMP(简单网络管理协议)代理171D、以及系统控制应用程序(APL)171E。功能软件部分171还包括CLI(命令线接口)部分171F、虚拟终端协议(TELNET)服务器171G、和串行驱动器171H。DHCP服务器171B被配备有管理IP地址的DHCP管理表201。稍后将给出在这些部件中对描述本发明特别必要的部件的详细描述。
信号处理部分162包括以太发送/接收控制部分182,其在自身和GbE IF电路147之间的以太网(注册商标)上执行帧的发送和接收。从例如节目分配服务器116(图1)中经由图3中示出的上行链路线130和以太发送/接收控制部分182接收到的包、以及从LTU127-1到127-J中经由背板总线IF电路133和图4中的ATMSAR134接收到的包被发送到检测部分183,在该检测部分183中各个包的输送目的地被分为MAC部分173或者输入滤波器部分184。承载IGMP控制消息的包、承载DHCP协议消息的IP包、以及指向基本功能部分161的IP地址的IP包被输送到MAC部分173。
输入滤波器部分184用来堵塞例如被非法访问的第二层的帧或者第三层的包。该输入滤波器部分184比较被输送的包和预先登记的条件,并且丢弃一致的包或者仅传送一致的包。已经通过输入滤波器部分184的包被传送给MAC学习部分185。该MAC学习部分185学习发送方的各自接收到的包的MAC地址和已接收到这些包的逻辑端口号,并且在MAC表186中登记这些结果。然后,该包被传送给网桥输送器135。该网桥输送器135从该包中提取一个目的地MAC地址,并且搜索MAC表186以检索哪个逻辑端口被连接到已提取的目的地MAC地址。尽管在开始时不能找到要被传递(relay)的包的传输目的地,以从而将该包发送到除了已接收到该包的逻辑端口以外的所有的逻辑端口,但是通过区分逻辑端口、通过这样学习发送方MAC地址和逻辑端口组合来将接收到的包传输给该逻辑端口是可能的,该逻辑端口利用帧中的目的地地址信息作为密钥被连接到要被传输的目的地。
MAC老化(aging)部分188被连接到MAC表186。甚至在MAC表186中存储的MAC地址作为学习结果的情况下,除非相同的地址在预置的时间内被重新学习,否则该MAC老化部分188在确定有效时间结束时,会将其从MAC表186中删除。
作为第二层输送器而形成的网桥输送器135被连接到MAC学习部分185、MAC表186、输出滤波器部分191和MAC部分173。输出滤波器部分191对应于输入滤波器部分184。在识别了对应于目的地的输出逻辑端口之后,该输出滤波器部分191将丢弃不适当的包,而不会在对帧的丢弃或者传送的控制过程中将其发送,该帧与针对已标识的输出逻辑端口的滤波条件组相匹配。用于这种滤波的由输出滤波器部分191使用的条件根据协议、IP地址、MAC地址、输入/输出逻辑端口等由网络管理器来预先设置。
在输出滤波器部分191的输出侧放置了优先控制部分192,该优先控制部分192包括第一优先控制部分192A和第二优先控制部分192B。该优先控制部分192执行优先将携带有要求实时发送的语音等的特定包输送到其它包的控制。对于这种控制来说,存在一种对协议给出优先级的优先控制和对特定目的地的地址给出优先级的优先控制。经由第一优先控制部分192A朝向LTU127-1到127-J(图2)的帧被输送到ATM SAR134。ATM SAR134将以太网(注册商标)上的帧转换为ATM信元,并且经由背板总线IF电路133将它们发送到LTU127-1到127-J。另一方面,经由第二优先控制部分192B朝向上行链路线130(图2)的帧被输送到以太发送/接收控制部分182。输入到以太发送/接收控制部分182的帧实际上、即以帧的形式被输入到GbE IF电路147中。
在图5中,DHCP服务器171B用作IP地址分配部分和滤波器条件登记部分,这两个部分均在权利要求2中被要求保护。输入滤波器部分184用作如在权利要求2中所要求保护的分组通信允许部分。
<滤波过程>
图6示出了在DHCP服务器171B中提供的、且被用于管理IP地址信息分配的DHCP管理表201的一部分。在图6中示出的DHCP管理表201中,已经描述了一种由DHCP服务器171B分配的IP地址、请求者用户终端的MAC地址、线路号、状态和租用剩余时间。在线路号“X/Y”中,“X”代表一种标识图1所示的DSL用户线103-1到103-M中的相应的一条的号码,而“Y”则表示其逻辑端口。当物理端口和逻辑端口是彼此一一对应时,由于各个物理端口都具有单独的逻辑端口,所以就没有必要来描述这样被配置的通信系统中的逻辑端口号。在使用ATM虚通道(VC)的情况下,使用逻辑端口号。
在示出状态的列中,描述了“OFFER”、“ALLOCATE”和“Expier”其中之一。“OFFER”表示其中DHCP服务器171B拥有的一个IP地址已经被给予请求者用户终端的状态。“ALLOCATE”表示一种状态,其中响应于IP地址的给予,通过接受请求者用户终端使用IP地址来固定该IP地址的分配。在这种状态中,用户终端可以使用已分配的IP地址。“Expier”表示其中已分配的IP地址的可用时间已经用完的状态。基于在租用剩余时间这一列中所描述的时间信息来执行这种管理。在租用剩余时间例如被设置为24小时的情况下,除非在租用开始的时间到期之前存在延长时间的请求,否则“Expier”表示时间逝去的那一刻。此后,相对于由“Expier”表示的IP地址及其相关的信息来说,一旦完成了禁止包通过的处理,相关描述的信息就会从DHCP管理表201中被删除。
图7示出了在反映DHCP管理表201的滤波过程中的检测部分183的处理。当在图5中示出的集成网关单元131中的检测部分183已从以太发送/接收控制部分182中接收到包时(步骤S301Y),检查所接收到的包是否应当被传输到基本功能部分161(步骤S302)。然后,当该包是诸如请求分配IP地址的包的一个指定包时(步骤S302Y),该包被传输到基本功能部分161(步骤S303)。在包请求分配IP地址的情况下,被传输到基本功能部分161的包被发送到DHCP服务器171B。当该包被判断为不是在步骤S302中要被传输到基本功能部分161的包时(步骤S302N),该包被发送到输入滤波器部分184(步骤S304)。
图8示出了在滤波过程中输入滤波器部分184的处理流程。响应于包的到达(步骤S321Y),输入滤波器部分184判断该包是否满足稍后将要描述的滤波器入口的所有条件(步骤S322)。当滤波器入口的所有条件被满足时(步骤S322Y),输入滤波器部分184实际上就传递包并且将其发送到网桥输送器135,在网桥输送器135中执行前述的处理(步骤S323)。
另一方面,当包不满足至少一个滤波器入口的条件时(步骤S322N),输入滤波器部分184就丢弃该包(步骤S324)。
图9示出了DHCP服务器171B的处理流程。响应于请求分配IP地址的包的到达,该DHCP服务器171B使用包在其自身和发送方用户终端之间执行一段预定的程序,并且将IP地址从预先准备的IP地址中分配给用户终端(步骤S341)。然后,DHCP服务器171B登记已分配的IP地址、已分配的用户终端的MAC地址、以及在DHCP管理表201中的这个用户终端的线路号(步骤S342)。然后,DHCP服务器171B将这些信息反馈给输入滤波器部分184,该输入滤波器部分184具有从这条线路发送的包上的权限,从而使得输入滤波器部分184准备一个滤波器入口,该滤波器入口仅允许这样一种包通过,其中包发送方IP地址、包发送方MAC地址、以及包接收线路号全都与已注册的发送方IP地址、包发送方MAC地址、以及包接收线路号一致(步骤S343)。因此,当随后发送的包的IP地址、MAC地址和线路号全都与滤波器入口中给出的条件一致时,输入滤波器部分184传递该包并且将其向如图8中描述的网桥输送器135发送。
另一方面,DHCP服务器171B通过设置租用时间分别将IP地址分配给用户终端。因此,直到租用时间期满为止的租用剩余时间T继续按照每个IP地址监控(步骤S344)。当存在在步骤S344中变为“0”的租用剩余时间T(步骤S344Y)时,DHCP服务器171B执行在DHCP管理表201中相应的登记过程,然后将所涉及的滤波器入口无效这一事实通知输入滤波器部分184(步骤S345)。相应地,通过输入滤波器部分184来丢弃租用时间期满后发送的包。
如上所述,在该实施例中,输入滤波器部分184执行不仅登记IP地址和MAC地址的滤波过程,还执行登记LTU 127-1到127-J(图2)中的相应的一个的物理接口号的滤波过程,并且仅传递这样一种包,其中所有这三种数据都与已登记的数据一致。因此,即使第三方试图通过使用不同的线路和相同的MAC地址来获取IP地址,由于物理接口号不一致,所以所涉及的包也不会通过输入滤波器部分184并且被丢弃。另外,由于这种滤波器条件是一种动态滤波器,所以会进一步增强防止非法访问的安全性,该动态滤波器仅允许在DCHP服务器171B租用IP地址期间使得包通过。
在如上所述的实施例中,滤波的条件被如此设置,以致IP地址、MAC地址和被发送的包的线路号全都与已登记的信息一致。然而,即使一对IP地址和线路号或者逻辑端口作为滤波条件被设置,也可能阻止不同线路或者不同逻辑端口的非法访问。
特别是,在传输线诸如是电话线或者容纳多条线路的光纤电缆的情况下,对于第三方来说,实践上很难识别在用户线容纳设备102和用户终端之间的传输线中间所涉及的用户终端线路,以及很难使用已识别的线路来访问通信网络。此外,诸如图2中示出的LTU 127-1到127-J和分路器单元122-1到122-1920这样的通信部件被放置在用户线容纳设备102中,即在物理安全性高的位置、诸如可以相对容易地拒绝局外人的电话交换机。因此,可能有效地阻止使用特定线路的第三方的非法访问。
根据本发明实施例的上述用户线容纳设备可以进行如下概括。即,该用户线容纳设备包括用户线端接部分,其单独端接多条用户线;IP地址分配部分,当由用户线端接部分端接的该多条用户线中任何一条的通信终端已请求获取在执行分组通信时给予包的IP地址时,该IP地址分配部分通过限制可用时间而将IP地址分配给通信终端;滤波器条件登记部分,其登记一组由IP地址分配部分分配的IP地址、已请求获取IP地址的用户线标识号,以及作为已请求获取IP地址的通信终端的唯一信息的MAC地址;以及分组通信允许部分,其仅允许分组通信用于这样的包,其中一组IP地址、标识号和MAC地址与滤波器条件登记部分中登记的一组IP地址、标识号和MAC地址相一致。
根据本发明的另一个实施例,通常的地址信息可以代替IP地址被使用。在这种情况下,根据另一个实施例的用户线容纳设备按如下进行配置。该用户线容纳设备包括用户线端接部分,其单独端接多条用户线;地址信息分配部分;滤波器条件登记部分;以及分组通信允许部分。当由用户线端接部分端接的该多条用户线中的任何一条的通信终端已请求获取在执行分组通信时给予包的本站地址信息时,该地址信息分配部分通过限制可用时间而将本站地址信息分配给通信终端。滤波器条件登记部分登记一对由地址信息分配部分分配的本站地址信息和已请求获取本站地址信息的用户线标识号。分组通信允许部分仅允许分组通信用于这样的包,其中一对本站地址信息和标识号与滤波器条件登记部分中登记的一对本站地址信息和标识号相一致。
提供了下面的方法作为应用于前述另一个实施例的包过滤方法。该包过滤方法执行地址信息分配步骤,当多条用户线中的任何一条的通信终端已请求获取在执行分组通信时给予包的本站地址信息时,通过限制可用时间将本站地址信息分配给通信终端;滤波器条件登记步骤,当地址信息分配步骤已经分配了本站地址信息时,登记一对本站地址信息和请求获取本站地址信息的用户线的标识号、连同所述可用时间;以及分组通信允许步骤,当包到达时,仅允许分组通信用于这样的包,该包与一对在可用时间内的本站地址信息和已请求获取本站地址信息的用户线标识号相一致。
在每个前述实施例中,用户线的标识号是物理线号或者是在物理线上设置的虚拟逻辑通信信道号。此外,用户线可以是使用光纤电缆的线路。
如上所述,根据本发明,当IP地址(或者本站地址信息)被分配给请求获取包的IP地址(或者本站地址信息)的通信终端时,作出这种请求的用户线标识号也被登记。因此,即使试图从不同于上述用户线的用户线非法访问,这种访问也可以被安全地拒绝。此外,由于可用时间被设置给一个已分配的IP地址(或者本站地址信息),所以IP地址(或者本站地址信息)甚至不会针对同一个通信终端被固定,因此可以更加有效地防止非法访问。
权利要求
1.一种用户线容纳设备,其包括用户线端接部分,其单独端接多条用户线;地址信息分配部分,当由所述用户线端接部分端接的该多条用户线中的任何一条的通信终端已请求获取在执行分组通信时给予包的本站地址信息时,该地址信息分配部分通过限制可用时间而将本站地址信息分配给所述通信终端;滤波器条件登记部分,其登记一对由所述地址信息分配部分分配的本站地址信息和所述请求获取本站地址信息的用户线标识号;以及分组通信允许部分,其仅允许分组通信用于这样的包,其中一对本站地址信息和标识号与所述滤波器条件登记部分中登记的一对本站地址信息和标识号相一致。
2.一种用户线容纳设备,其包括用户线端接部分,其单独端接多条用户线;IP地址分配部分,当由所述用户线端接部分端接的该多条用户线中的任何一条的通信终端已请求获取在执行分组通信时给予包的IP地址时,该IP地址分配部分通过限制可用时间而将IP地址分配给所述通信终端;滤波器条件登记部分,登记一组由所述IP地址分配部分分配的IP地址、所述请求获取IP地址的用户线的标识号、以及作为所述请求获取IP地址的通信终端唯一信息的MAC地址;以及分组通信允许部分,其仅允许分组通信用于这样的包,其中一组IP地址、标识号和MAC地址与所述滤波器条件登记部分中登记的一组IP地址、标识号和MAC地址相一致。
3.根据权利要求1的用户线容纳设备,其中除了当请求获取本站地址信息时,所述分组通信允许部分将丢弃与所述滤波器条件登记部分中登记的所述对不一致的包。
4.根据权利要求2的用户线容纳设备,其中除了当请求获取IP地址时,所述分组通信允许部分将丢弃与所述滤波器条件登记部分中登记的所述组不一致的包。
5.根据权利要求1的用户线容纳设备,其中除了当请求获取本站地址信息时,所述分组通信允许部分将丢弃所述可用时间已经期满的包。
6.根据权利要求2的用户线容纳设备,其中除了当请求获取IP地址时,所述分组通信允许部分将丢弃所述可用时间已经期满的包。
7.根据权利要求1或者2的用户线容纳设备,其中用户线的标识号是物理线号或者是在物理线上设置的虚拟逻辑通信信道号。
8.根据权利要求1或者2的用户线容纳设备,其中所述用户线是DSL线。
9.根据权利要求1或者2的用户线容纳设备,其中所述用户线是使用光纤电缆的线路。
10.根据权利要求1的用户线容纳设备,其中所述地址信息分配部分是DHCP服务器。
11.根据权利要求2的用户线容纳设备,其中所述IP地址分配部分是DHCP服务器。
12.一种包过滤方法,其包括地址信息分配步骤,当多条用户线中的任何一条的通信终端已请求获取在执行分组通信时给予包的本站地址信息时,通过限制可用时间将本站地址信息分配给所述通信终端;滤波器条件登记步骤,当所述地址信息分配步骤已经分配了本站地址信息时,登记一对所述本站地址信息和请求获取本站地址信息的用户线的标识号、连同所述可用时间;以及分组通信允许步骤,当包到达时,仅允许分组通信用于这样的包,该包与一对在所述可用时间内的本站地址信息和所述请求获取本站地址信息的用户线标识号相一致。
13.一种包过滤方法,其包括IP地址分配步骤,当多条用户线中的任何一条的通信终端已请求获取在执行分组通信时给予包的IP地址时,通过限制可用时间而将IP地址分配给所述通信终端;滤波器条件登记步骤,当所述IP地址分配步骤分配了IP地址时,登记一组IP地址,所述请求获取IP地址的用户线标识号、以及所述作为请求获取IP地址的通信终端唯一信息的MAC地址、连同所述可用时间;以及分组通信允许步骤,当包到达时,仅允许分组通信用于这样的包,该包与在所述可用时间内的一组IP地址、标识号和MAC地址一致。
全文摘要
响应于来自用户终端的获取IP地址的请求,在用户线容纳设备(102)中的DHCP服务器(171B)分配一个IP地址,登记一组已分配的IP地址、用户终端的MAC地址、以及DHCP管理表(201)中的该用户终端的线路号,并且在输入滤波器部分(184)中将其设置为包传递条件。在从用户终端发送的包中,输入滤波器部分(184)仅仅将满足所登记的条件的那些包向网桥输送器(135)发送,同时丢弃不满足这些条件的那些包。即使在通过非法使用IP地址来试图访问时,所涉及的包也会被丢弃,除非线路号或MAC地址一致。
文档编号H04L12/66GK1661991SQ200510065518
公开日2005年8月31日 申请日期2005年2月25日 优先权日2004年2月26日
发明者关根实, 佐藤壮 申请人:日本电气株式会社