專利名稱:分組轉送裝置���、分組轉送方法及程序的制作方法
技術領域:
本發(fā)明涉及將通過通信網(wǎng)絡接收到的分組轉送給其他裝置的分組轉 送裝置�。
背景技術:
利用分散于網(wǎng)絡中的多個計算機同時向特定的服務器發(fā)送分組�,來 使通信路徑溢出并使其停止發(fā)揮功能的攻擊等干擾訪問正在不斷增加, 作為防止這樣的干擾訪問的技術之一��,存在有害分組去除裝置��。該有害 分組去除裝置例如具有這樣的功能��,即接收將特定的服務器作為發(fā)送 目的地的分組�,判定該分組是否是攻擊用的有害分組,從而只發(fā)送非有 害分組的分組��。例如,服務提供者利用圖1所示的網(wǎng)絡結構���,向ISP (互聯(lián)網(wǎng)服務提供商��,Internet Service Provider)等用戶提供網(wǎng)絡訪問服務���,在通過服務 提供者的網(wǎng)絡,向用戶的網(wǎng)絡內的服務器等網(wǎng)絡裝置發(fā)布有害業(yè)務的情 況下��,由于在服務提供者側具有上述有害分組去除裝置�,從而可以在服 務提供者側去除有害分組。另外����,作為與去除有害分組相關聯(lián)的現(xiàn)有技術的例子,存在專利文 件1中所記載的如下這樣的技術�����,即針對與特定的比特模式一致的攻 擊流����,進行該攻擊流的確定和控制。專利文獻1:日本特開2006—067078號公報在圖1所示的現(xiàn)有技術中,作為利用有害分組去除裝置的方法�,存 在以下兩種方法。第一種方法是如圖2所示的����,在通向用戶的連接線上插入有害分組 去除裝置的方法。但是���,在該方法中,需要按照每個用戶來導入有害分 組去除裝置��,存在服務昂貴的問題����。第二種方法是如圖3所示的方法。如圖3所示�����,服務提供者的網(wǎng)絡 內由多個路由器構成�,可以在其中的任意位置設置有害分組去除裝置。 在該第二方法中���,改寫服務提供者的網(wǎng)絡內的路徑信息��,以將面向成為 攻擊對象的用戶的網(wǎng)絡裝置的分組引導到有害分組去除裝置中�����。在此�����, 如果使通過有害分組去除裝置后的分組直接返回到網(wǎng)絡內�,則路徑上的 路由器會將該分組送回有害分組去除裝置而無法到達原來的目的地,因 此��,構成從有害分組去除裝置通向用戶網(wǎng)絡的通道����,僅將完成有害分組 去除的分組發(fā)送至該通道。該第二方法與第一方法相比����,具有可以在多個用戶之間共享有害分 組去除裝置的優(yōu)點。但是�����,由于需要導入通向用戶網(wǎng)絡的通道���,因此存在用戶網(wǎng)絡側需 要具有使通道終止的功能的問題�。在不追加硬件來使通道終止時,已有 的路由器會進行軟件處理��,但是�,這有時會顯著地降低路由器的性能。 因此���,為了在不引起路由器的性能的下降的情況下使通道終止�,需要導 入追加的硬件�。并且�,無論是利用軟件來終止通道的情況,還是利用追加的硬件來 終止通道的情況�����,服務提供者要想進行該操作�����,都會產生在距離較遠的 地方進行設置的成本以及進行后續(xù)操作的成本���。而且����,由于還伴隨著路 徑信息的變更,因此����,會產生由于該作業(yè)所引起的成本(操作成本、由 作業(yè)/設定錯誤引起事故的可能性的增大���、路徑信息擴大化以及可見性的 下降等)��。發(fā)明內容本發(fā)明正是鑒于上述情況而完成的���,其目的在于提供一種無需變更 路徑信息,即可將符合預定條件的分組發(fā)送給特定的裝置����,并使從該特 定裝置接收到的分組返回到網(wǎng)絡的分組轉送技術。上述問題是通過如下這樣的分組轉送裝置來解決的���,該分組轉送裝 置對通過通信網(wǎng)絡接收到的分組進行轉送��,其特征在于�,該分組轉送裝 置具有多個網(wǎng)絡接口���;存儲單元��,其至少存儲預定的檢索模式和識別預定的裝置的地址��;判定單元�����,其判定從一個網(wǎng)絡接口接收到的分組內 的預定數(shù)據(jù)是否與所述檢索模式一致���;輸出接口決定單元��,其利用所述 判定單元的判定結果���,來決定用于輸出所述分組的網(wǎng)絡接口�����;地址置換 單元���,其在從與所述預定裝置連接的網(wǎng)絡接口輸出所述分組的情況下�, 將識別該分組的發(fā)送目的地的裝置的地址置換為識別所述預定裝置的地 址��;以及分組發(fā)送單元,其向所述輸出接口決定單元所決定的網(wǎng)絡接口 發(fā)送所述分組�����。在上述分組轉送裝置中�,可以將所述輸出接口決定單元構成為,根 據(jù)所述判定單元的判定結果和接收到所述分組的網(wǎng)絡接口���,來決定輸出 所述分組的網(wǎng)絡接口����。并且�����,可以將所述輸出接口決定單元構成為�,在所述判定單元判定 為所述分組內的預定數(shù)據(jù)與所述檢索模式一致的情況下,決定從與所述 預定裝置連接的網(wǎng)絡接口輸出所述分組���。并且����,可以為以下情況�����,g卩在從所述預定裝置接收到分組的情況 下,所述判定單元不進行判定�,從與該分組中記載的發(fā)送目的地對應的 網(wǎng)絡接口輸出該分組。并且����,可以為以下情況,即在所述判定單元判定為所述分組內的 預定數(shù)據(jù)與所述檢索模式不一致的情況下�����,所述輸出接口決定單元決定 從與接收到所述分組的網(wǎng)絡對應的����、預定網(wǎng)絡接口輸出該分組。另外�,作為識別所述預定裝置的地址,可以使用該裝置的以太網(wǎng)地址����。并且�,本發(fā)明還可以構成為與上述分組轉送裝置的動作對應的分組 轉送方法,以及使計算機等執(zhí)行上述分組轉送裝置的處理的程序��。根據(jù)本發(fā)明,可以提供一種無需變更路徑信息��,即可將符合預定條 件的分組發(fā)送給特定的裝置���,并使從該特定裝置接收到的分組返回到網(wǎng) 絡的分組轉送技術����。
圖1是用于說明利用了有害分組去除裝置的服務的圖�����。圖2是用于說明現(xiàn)有技術中利用有害分組去除裝置的第一方法的圖�。圖3是用于說明現(xiàn)有技術中利用有害分組去除裝置的第二方法的圖。圖4是用于說明本發(fā)明第一實施方式的概要的圖��。圖5是分組轉送裝置的連接結構圖�。圖6是分組轉送裝置的詳細功能結構圖。圖7是用于說明第一實施方式的分組轉送裝置的基本動作的圖���。 圖8是用于說明利用第一實施方式的分組轉送裝置的應用動作所處 理的服務的圖���。圖9是用于說明第一實施方式的分組轉送裝置的應用動作的圖。 圖IO是用于說明第一實施方式的分組轉送裝置的應用動作的圖�����。 圖11是示出在分組轉送裝置中連接有兩個有害分組去除裝置時的結 構的圖。圖12是第二實施方式的分組轉送裝置的詳細功能結構圖���。 圖13是用于說明第二實施方式的分組轉送裝置的基本動作的圖��。 圖14是示出在第二實施方式的分組轉送裝置中連接有多個有害分組 去除裝置時的分組轉送裝置的結構的圖����。符號說明10�����、分組轉送裝置30�����、有害分組去除裝置40�、上游路由器50、下游路由器11���、接口12、分組接收部13����、模式匹配執(zhí)行部14���、輸出接口決定部15、以太網(wǎng)地址置換部16�����、分組發(fā)送部17����、模式設定部18、分組緩沖19�、 檢索模式表20、 以太網(wǎng)地址表21����、 設定輸入用接口具體實施方式
以下,參照
本發(fā)明的實施方式����。 [第一實施方式] (概要)首先,說明第一實施方式的概要�����。圖4示出了本實施方式的分組轉 送裝置10的一個使用例。如圖4所示����,將本實施方式的分組轉送裝置10 插入到面向攻擊對象的分組所通過的場所。并且�,有害分組去除裝置30 與本實施方式的分組轉送裝置10連接。該分組轉送裝置10具有這樣的 功能�����,即僅選擇欲通過自身的分組中面向攻擊對象的分組�,并將其發(fā) 送至有害分組去除裝置30,使通過有害分組去除裝置30 (認定為無害) 的分組返回到朝向攻擊對象的業(yè)務中�����。在本實施方式中�����,無需變更路徑 信息�����,也無需使用通道,即可實現(xiàn)上述功能����。另外�����,如圖4所示�����,通常�,服務提供者的網(wǎng)絡構成為使路由器多級 連接,分組轉送裝置10被插入到容納用戶的路由器前���,但是����,并不一定 必須直接與用戶容納路由器連接����。圖5示出分組轉送裝置10的連接結構。另外���,在以下的說明中��,將 用戶容納路由器���、或在從本分組轉送裝置10的插入點觀察時更靠近用戶 容納路由器側的路由器稱為下游路由器�����;將朝向下游路由器流過以用戶 為目的地的分組的一側的路由器稱為上游路由器��。如圖5所示���,本實施方式的分組轉送裝置10具有至少三個網(wǎng)絡接口 (0 2)。在圖5的例子中����,接口 0與上游路由器40連接,接口 1與下 游路由器50連接���,接口2與有害分組去除裝置30連接��。分組轉送裝置10具有以下功能在接收到的分組內的任意位置�����,進 行任意長度的模式匹配的功能���;根據(jù)接收到上述分組的輸入接口和模式 匹配結果來決定輸出接口的功能����;以及為了取得與交換機和路由器等現(xiàn)有網(wǎng)絡裝置之間的匹配,將分組的報頭內的以太網(wǎng)地址置換為分組的發(fā) 送目的地的以太網(wǎng)地址的置換功能�����。另外���,在此����,雖然由于裝置之間通 過以太網(wǎng)來連接��,所以使用以太網(wǎng)地址作為識別發(fā)送目的地的裝置的地 址��,但是只要使用與進行第2層的分組轉送的網(wǎng)絡種類對應的地址即可��。 另外���,所謂以太網(wǎng)�����,是指在路由器等IP網(wǎng)絡裝置之間交換分組所使 用的標準�,分組的內部保持有發(fā)送目的地和發(fā)送源的以太網(wǎng)地址。該發(fā) 送目的地/發(fā)送源以太網(wǎng)地址與該分組內的IP分組內的發(fā)送目的地IP地 址不同��。在本說明書中����,單純地記載為發(fā)送目的地址的情況是指發(fā)送目 的地IP地址。(裝置詳細結構)圖6示出分組轉送裝置IO的詳細功能結構圖�����。如圖6所示�,分組轉送裝置10具有接口ll;分組接收部12;模式匹配執(zhí)行部13;輸出接 口決定部14;以太網(wǎng)地址置換部15;分組發(fā)送部16;模式設定部17; 以及分組緩沖器18。并且�����,分組轉送裝置10具有存儲器等存儲裝置�,在該存儲裝置中存儲有檢索模式表19以及以太網(wǎng)地址表20等。而且����,還 具有設定輸入用接口21�����。接口 11是用于與外部裝置連接的功能部���,在圖6中,為了便于圖示�����, 位于左端和右端�����,但是�,輸入和輸出的一對在物理上安裝在同一位置��。分組接收部12具有通過接口 11接收分組��,并將分組主體和用于接 收的輸入接口記錄到分組緩沖器18中的功能�����。模式設定部17具有根據(jù) 使用者通過設定輸入用接口 21的輸入,來設定檢索模式和與其對應的輸 入輸出接口組的列表����、以及與各接口連接的設備的以太網(wǎng)地址的表的功 能。例如����,在圖6的例子中,在檢索模式表19中��,記錄有在發(fā)送目的地 IP地址是192.168.24.3的分組從輸入接口 0輸入的情況下�,將該分組輸 出到輸出接口2的內容等。并且�,在以太網(wǎng)地址表20中,記錄有與接口 O連接的裝置的以太網(wǎng)地址為OO: ab: 00: 11: 11: ll的內容等�����。模式匹配執(zhí)行部13具有這樣的功能檢查使用模式設定部17存儲 的檢索模式所接收到的分組是否與該檢索模式一致��,并在一致時記錄該 模式編號����。輸出接口決定部14具有這樣的功能利用模式匹配執(zhí)行部13的檢 査結果和接收時所使用的輸入接口 ,根據(jù)與檢索模式表中的該檢索模式 對應的輸入輸出接口組����,決定輸出接口���。以太網(wǎng)地址置換部15為了使與輸出接口連接的裝置正確地接收分組,利用該裝置的以太網(wǎng)地址來置換分組的發(fā)送目的地以太網(wǎng)地址部分��。即�,在輸出接口決定部14向與原來的發(fā)送目的地不同的發(fā)送目的地發(fā)送 分組的情況下,根據(jù)連接設備的不同����,存在由于該分組的發(fā)送目的地以 太網(wǎng)地址與自身不一致,從而無法接收分組的情況���,因此,將分組的發(fā) 送目的地以太網(wǎng)地址置換成與輸出接口連接的裝置的以太網(wǎng)地址��。分組發(fā)送部16具有向輸出接口決定部14所決定的輸出接口發(fā)送分 組的功能�。圖6所示的分組轉送裝置10可以利用硬件來安裝。并且�,分組轉送 裝置10還可以通過在具有網(wǎng)絡接口的計算機中安裝執(zhí)行各功能部的處理 的程序來實現(xiàn)。該程序可以存儲在存儲器或CD—ROM等記錄介質中�, 并可以從該記錄介質安裝到計算機中。另外����,上述計算機具有CPU和存 儲器��,指可以執(zhí)行程序的裝置����,例如路由器也包含在上述計算機中����。 (分組轉送裝置的基本動作)接著,說明本實施方式的分組轉送裝置10的基本動作�。為了使該分 組轉送裝置10執(zhí)行目的動作,首先要進行設定作業(yè)��。在設定作業(yè)中����,服務管理者使用設定輸入用接口 21來輸入要向有害 分組去除裝置30發(fā)送的分組檢索模式、以及與檢索模式一致的情況下的 輸入輸出接口組����。在本實施方式中,將成為攻擊對象的服務器的IP地址設為檢索模式����,將輸入輸出接口組設為(上游路由器����、有害分組去除裝置)����、(下游路由 器、上游路由器)�����、(有害分組去除裝置�����、下游路由器)��。即���,進行接收到 的分組的發(fā)送目的地IP地址部分與檢索模式之間的模式匹配��,在兩者一致的情況下,將從上游路由器40接收到的分組發(fā)送至有害分組去除裝置 30����,將從下游路由器50接收到的分組發(fā)送至上游路由器40���,將從有害分 組去除裝置30接收到的分組發(fā)送至下游路由器50。另外���,檢索模式不限于IP地址���。例如,可以將IP地址�、端口編號、TCP標志中的任意一個�����, 或者它們任意兩個以上的組合���,作為檢索模式�。模式設定部17接收該信息���,并作為模式匹配執(zhí)行部13參照的檢索 模式進行存儲�����。另外�����,如圖6所示,可以記載多個檢索模式和輸入輸出, 組。由此�����,可以同時處理多個攻擊對象。并且�����,為了指定與檢索模式不一致的情況下的分組的輸出接口��,預 先指定默認的輸入輸出接口組��。在本實施方式中��,預先將默認的輸入輸出接口組設為(上游路由器�����、下游路由器)�����、(下游路由器�����、上游路由器)�����、(有害分組去除裝置���、上游路由器)���。然后,將上游路由器�、下游路由器、有害分組去除裝置的以太網(wǎng)地 址輸入到以太網(wǎng)地址表中�����。以下�����,說明進行上述設定后的分組轉送裝置10的動作。由于存在三個輸入接口 �,并且針對各輸入接口存在是否與檢索模式一致的兩種情況,因此不論實際是否發(fā)生�����,作為動作包括六種情況�����。以下����,參照圖7對各 種情況進行說明。(動作1)分組從上游路由器進入并與檢索模式不一致的情況分組接收部12從與上游路由器40連接的輸入接口接收分組�����,并將 分組與輸入接口信息一起存儲到分組緩沖器18中���。接著����,模式匹配執(zhí)行 部13檢查該分組是否與檢索模式一致����,并記錄其結果(該情況為不一致)����。輸出接口決定部14根據(jù)模式匹配結果和輸入接口信息來決定輸出接 口�。由于該情況為與檢索模式不一致�����,因此�,決定按照默認的輸入輸出 接口組(上游路由器、下游路由器)��,向下游路由器50輸出分組���。以太網(wǎng)地址置換部15按照輸出接口來置換分組內的發(fā)送目的地以太 網(wǎng)地址��,但是�,由于該情況為上游路由器40向下游路由器50發(fā)送分組�, 與分組轉送裝置10的輸出目的地相同,因此分組沒有變化��。然后�,分組 發(fā)送部16向與下游路由器50連接的輸出接口發(fā)送分組��。(動作2)分組從上游路由器進入并與檢索模式一致的情況分組接收部12從與上游路由器40連接的網(wǎng)絡接口接收分組�����,并將 分組與輸入接口信息一起存儲到分組緩沖器18中�。然后��,模式匹配執(zhí)行部13檢査分組是否與檢索模式一致��,并記錄其結果(該情況為一致)��。輸出接口決定部M根據(jù)模式匹配結果和輸入接口信息來決定輸出接 口��。由于該情況為與檢索模式一致�����,因此�����,決定向有害分組去除裝置30 進行輸出����。然后��,以太網(wǎng)地址置換部15按照輸出接口來置換分組內的發(fā) 送目的地以太網(wǎng)地址���。在該情況下,改寫為有害分組去除裝置30的以太 網(wǎng)地址�。分組發(fā)送部16向與有害分組去除裝置30連接的輸出接口發(fā)送 分組。(動作3)分組從有害分組去除裝置進入并與檢索模式不一致的情況 有害分組去除裝置30接收與檢索模式一致的分組��,并且僅發(fā)送所接 收到的分組中的無害分組�,因此雖然通常沒有在從有害分組去除裝置30 接收的分組中與檢索模式不一致的情況����,但是,為了包括全部情況�����,對 該情況進行說明�。分組接收部12從輸入接口接收分組,并將分組與輸入接口信息一起 存儲到分組緩沖器18中�,模式匹配執(zhí)行部13檢査分組是否與檢索模式 一致,并記錄其結果(該情況為不一致)�。然后,輸出接口決定部14根據(jù)模式匹配結果和輸入接口信息來決定 輸出接口����。由于該情況為與檢索模式不一致�����,并且是從有害分組去除裝 置30所輸入���,因此決定向上游路由器40進行輸出。以太網(wǎng)地址置換部 15按照輸出接口將分組內的發(fā)送目的地以太網(wǎng)地址改寫為上游路由器40 的以太網(wǎng)地址���,分組發(fā)送部16向與上游路由器40連接的輸出接口發(fā)送 分組�。(動作4)分組從有害分組去除裝置進入并與檢索模式一致的情況 該分組相當于在上述(動作2)中發(fā)送給有害分組去除裝置30的分組中的���、被認定為不是攻擊分組的分組�����。即�,存在分組的內容與(動作2)處理后的分組相同的情況�����。分組接收部12從輸入接口接收分組,并將分組與輸入接口信息一起存儲到分組緩沖器18中����,模式匹配執(zhí)行部13檢查分組是否與檢索模式一致,并記錄其結果(該情況為一致)��。輸出接口決定部14根據(jù)模式匹配結果和輸入接口信息來決定輸出接口���。由于該情況為與檢索模式一致����,并且是從有害分組去除裝置30所輸入�,因此�,決定向下游路由器50進行輸出。以太網(wǎng)地址置換部15按照輸出接口來置換分組內的發(fā)送目的地以太 網(wǎng)地址��。在該情況下���,將發(fā)送目的地以太網(wǎng)地址改寫為下游路由器50的 以太網(wǎng)地址�����。分組發(fā)送部16向輸出接口發(fā)送分組����。(動作5)分組從下游路由器進入并與檢索模式不一致的情況分組接收部12從輸入接口接收分組,并將分組與輸入接口信息一起 存儲到分組緩沖器18中����。模式匹配執(zhí)行部13檢查分組是否與檢索模式 一致,并記錄其結果(該情況為不一致)�����。輸出接口決定部14根據(jù)模式 匹配結果和輸入接口信息來決定輸出接口�。由于該情況為與檢索模式不 一致,因此��,決定向上游路由器40進行輸出��。以太網(wǎng)地址置換部15按 照輸出接口來置換分組內的發(fā)送目的地以太網(wǎng)地址��,但是��,由于該情況 為下游路由器50向上游路由器40發(fā)送分組��,因此分組沒有變化�����。然后, 分組發(fā)送部30向與上游路由器40連接的輸出接口發(fā)送分組����。(動作6)分組從下游路由器進入并與檢索模式一致的情況由于下游路由器50知曉自己下屬的范圍內存在攻擊對象,因此通常 該動作不會發(fā)生��,但是��,為了包括全部情況��,對該情況進行說明����。分組接收部12從輸入接口接收分組,并將分組與輸入接口信息一起 存儲到分組緩沖器18中�,模式匹配執(zhí)行部13檢査分組是否與檢索模式 一致,并記錄其結果(該情況為一致)����。然后�,輸出接口決定部14根據(jù) 模式匹配結果和輸入接口信息來決定輸出接口。由于該情況為與檢索模 式一致�����,但由于是從下游路由器50所輸入,因此決定向上游路由器40 進行輸出�。然后,以太網(wǎng)地址置換部15按照輸出接口來置換分組內的發(fā) 送目的地以太網(wǎng)地址�。在該情況下,改寫為上游服務器40的以太網(wǎng)地址�����。 分組發(fā)送部16向輸出接口發(fā)送分組�。 (應用動作)在有害分組去除裝置30中,除了像上述例子那樣的作為單純的濾波 器的動作���,還具有進行作為服務的中繼裝置的動作的功能�����。進行作為這 樣的中繼裝置的動作的有害分組去除裝置30用于對應如下的攻擊��,艮卩在http協(xié)議這樣的客戶機/服務器模型服務中�,客戶機向服務器發(fā)出連接 請求����,而不進行之后的處理,由此來浪費服務器的資源��。在此,進行這樣的動作的有害分組去除裝置30也展示出本實施方式 的分組轉送裝置10可以正確進行對應的情況�����。在以下的說明中���,將有害 分組去除裝置30所要保護的攻擊對象稱為服務器����,將要對服務器進行訪 問的分組的發(fā)送源稱為客戶機��,將有害分組去除裝置30內的服務中繼功 能稱為中繼裝置35�����。利用該應用動作所處理的服務按照圖8示出的順序所示那樣的協(xié)議 來進行��。即��,從客戶機向服務器發(fā)送連接請求(步驟1)�,從服務器向客 戶機發(fā)送連接允許(步驟2)。之后�,從客戶機向服務器發(fā)送數(shù)據(jù)請求(步 驟3)����,從服務器向客戶機發(fā)送數(shù)據(jù)(步驟4)����。為了進行本應用動作�����,對分組轉送裝置10追加檢索模式�����。在此�����,將 在有害分組去除裝置30中設定的中繼裝置35所使用的IP地址(以下��, 將其稱為中繼裝置的地址)存在于發(fā)送目的地IP地址中的情況設為分組 的檢索條件�,并追加檢索模式,該檢索模式將滿足該檢索條件時的輸入 輸出接口組設為(上游路由器�����、下游路由器)���、(下游路由器��、有害分組 去除裝置)��、(有害分組去除裝置�����、上游路由器)��。參照圖9所示的順序圖���、以及圖IO所示的分組的流程圖�,來說明本 應用動作�����。兩圖中括號內的數(shù)字表示分組�,對應于以下說明中的附在分 組后面的數(shù)字。首先����,說明針對從客戶機朝向服務器發(fā)送的連接請求分組(1)的動 作。該分組(1)從上游路由器40輸入到分組轉送裝置10。由于該分組 (1)相當于上述基本動作的動作(2)的情況���,因此將該分組(1)發(fā)送 給有害分組去除裝置30。有害分組去除裝置30內的中繼裝置35����,(取代服務器)向客戶機回 復回答分組(2)。該分組的發(fā)送源是服務器���,發(fā)送目的地是客戶機�。該 分組(2)相當于上述基本動作的動作3的情況��,因此其被發(fā)送給上游路 由器40��,到達用戶�����。接著��,說明針對從允許連接后的客戶機向服務器發(fā)送數(shù)據(jù)請求分組(3)的動作����。該分組(3)從上游路由器40輸入到分組轉送裝置10。與分組(1) 的情況相同,由于相當于基本動作的動作(2)����,因此將該分組(3)發(fā)送 給有害分組去除裝置30。中繼裝置35向服務器發(fā)送連接請求分組(4)��。 該分組(4)具有在上述檢索模式的追加中所使用的中繼功能用的地址來 作為發(fā)送源��;以及具有服務器地址來作為發(fā)送目的地���。該分組(4)相當于上述基本動作的動作(4)��,因此本分組轉送裝置 IO將分組(4)輸出到下游路由器50�����,從而分組(4)到達服務器����。接著�, 服務器針對連接請求(4)而輸出連接允許分組(5)。連接允許分組(5) 的發(fā)送目的地是中繼裝置的地址�,該分組(5)從下游路由器50輸入到 分組轉送裝置10。該分組(5)相當于所追加的檢索模式���,因此被輸出到有害分組去除 裝置30���。中繼裝置35由于接收到連接允許(5)����,因此向服務器發(fā)送數(shù)據(jù) 請求分組(6)���。數(shù)據(jù)請求分組(6)相當于上述基本動作的動作4,因此 分組(6)輸出到下游路由器50��,從而到達服務器���。服務器針對數(shù)據(jù)請求(6)輸出數(shù)據(jù)分組(7)���。數(shù)據(jù)分組(7)的發(fā) 送目的地是數(shù)據(jù)請求的發(fā)送源即中繼裝置35的地址。該分組(7)從下 游路由器輸入到分組轉送裝置10�。該分組(7)相當于所追加的檢索模式, 因此被輸出到有害分組去除裝置30����。中繼裝置35接收數(shù)據(jù)(7),并再次 向客戶機進行發(fā)送。該分組(8)的發(fā)送源是服務器���,發(fā)送目的地是客戶 機地址����。該分組(8)相當于基本動作的動作3,因此被輸出到上游路由 器40����,從而到達客戶機。(關于連接兩個以上的有害分組去除裝置的情況)可以通過增加分組轉送裝置10的接口數(shù)量�,來將多個有害分組去除 裝置與分組轉送裝置10連接?���?梢酝ㄟ^連接多個有害分組去除裝置,來 進行負荷分散�。圖11示出連接著兩個有害分組去除裝置的情況的結構。 在本實施方式的分組轉送裝置10中����,在連接多個有害分組去除裝置的情 況下,除了要追加輸入輸出接口的組的記述之外�,不需要對裝置進行特 別的變更。(以太網(wǎng)地址置換部的高速化) 對于以太網(wǎng)地址的大小為6個字節(jié)���,構成本實施方式的分組轉送裝 置10的硬件的存儲器讀寫單位是8個字節(jié)的情況����,可以按照以下步驟來進行由該存儲器構成分組緩沖器18上的分組的發(fā)送目的地以太網(wǎng)地址的改寫。首先��,從分組緩沖器18讀入包含分組緩沖器18所記錄的分組的發(fā) 送目的地以太網(wǎng)地址在內的8個字節(jié)(開頭的2個字節(jié)是發(fā)送源以太網(wǎng) 地址的最后2個字節(jié))����。然后,獲取所讀入的數(shù)據(jù)中的發(fā)送目的地以太網(wǎng) 地址以外的2個字節(jié)部分���,將要寫入的8個字節(jié)加載到寄存器上,將寄 存器的數(shù)據(jù)寫入到分組緩沖器18中�����。在此�,對于本實施方式的分組轉送裝置10的情況,所連接的設備的 以太網(wǎng)地址為已知���,并且還記錄了從某個接口接收的分組的發(fā)送源以太 網(wǎng)地址�����,因此通過對它們進行利用�,可以通過如下方式使發(fā)送目的地的 以太網(wǎng)地址的改寫高速化。使用分組的發(fā)送源以太網(wǎng)地址低位的2個字節(jié)以及發(fā)送目的地以太 網(wǎng)地址的6個字節(jié)��,來將要寫入的8個字節(jié)加載到寄存器中��,將該寄存 器的數(shù)據(jù)寫入分組緩沖器�。雖然為了實現(xiàn)該高速化,需要預先設定上游 路由器/下游路由器的以太網(wǎng)地址��,但是在本實施方式中����,由于將它們記 錄在以太網(wǎng)地址表中,因此可以對其進行利用���。另外�����,該高速化對于讀 入比較花費時間的裝置效果尤其效果明顯�����。[第二實施方式]接著��,說明本發(fā)明的第二實施方式�����。在第一實施方式中�����,分組轉送 裝置IO根據(jù)分組的檢索模式和輸入接口來決定輸出接口��,而在第二實施 方式中��,在分組與檢索模式一致的情況下�,僅根據(jù)檢索模式來決定輸出 接口。第二實施方式的分組轉送裝置10的基本連接方式與第一實施方式相 同�����,如圖4所示��。圖12示出第二實施方式的分組轉送裝置10的詳細結構���。雖然基本 結構與第一實施方式的分組轉送裝置的結構相同,但是在第二實施方式中�,由于在檢索模式一致時,僅根據(jù)檢索模式來決定輸出接口����,因此記錄在檢索模式表19和以太網(wǎng)地址表20中的信息等不同��。以下��,以與第 一實施方式不同的地方為中心來說明第二實施方式的分組轉送裝置10的 結構�。分組接收部12與第一實施方式相同�����,具有通過接口接收分組���,并將 分組主體和用于接收的輸入接口記錄到分組緩沖器18中的功能�。模式設 定部17僅記錄檢索模式�,作為檢索模式表19。并且����,在以太網(wǎng)地址表 20中,記錄有有害分組去除裝置30的以太網(wǎng)地址����。模式匹配執(zhí)行部13具有這樣的功能檢查使用模式設定部17存儲 的檢索模式所接收到的分組是否與該檢索模式一致,并記錄是否一致的 結果����。輸出接口決定部14具有根據(jù)模式匹配執(zhí)行部13的檢査結果決定輸 出接口的功能����。以太網(wǎng)地址置換部15具有這樣的功能在向有害分組去除裝置30 輸出分組的情況下����,將分組的發(fā)送目的地以太網(wǎng)地址部分置換成記錄在 以太網(wǎng)地址表20中的有害分組去除裝置30的以太網(wǎng)地址。 (基本動作)接著����,說明本實施方式的分組轉送裝置10的基本動作。為了使該分 組轉送裝置10執(zhí)行目的動作��,首先要進行設定作業(yè)�����。在本實施方式中����,也將成為攻擊對象的服務器的IP地址存在于發(fā)送 目的地地址部分中的情況作為分組的檢索模式���,并存儲該模式�����。并且��, 將與該檢索模式一致的分組發(fā)送給有害分組去除裝置30��?��?梢杂涊d多個 檢索模式�����,由此���,可以同時處理多個攻擊對象。并且����,將有害分組去除 裝置30的以太網(wǎng)地址輸入到以太網(wǎng)地址表20中。在本實施方式中�,僅針對從上游路由器40和下游路由器50輸入的 分組進行檢索模式的對照,而不對來自有害分組去除裝置30的分組進行 檢索模式的對照��。預先決定了與檢索模式不一致時的分組的輸出接口,在本實施方式 中�,設為上游路由器—下游路由器、下游路由器—上游路由器�、有害分組去除裝置—上游路由器或下游路由器(根據(jù)有害分組去除裝置所指定的發(fā)送目的地)。即����,在與檢索模式不一致的情況下,將從上游路由器40 接收到的分組發(fā)送給下游路由器50��,將從下游路由器50接收到的分組發(fā) 送給上游路由器40��。根據(jù)有害分組去除裝置所指定的發(fā)送目的地(發(fā)送目的地以太網(wǎng)地 址)����,將從有害分組去除裝置30接收到的分組發(fā)送到上游路由器40或下 游路由器50。 gp�,分組轉送裝置保持有上游路由器40和下游路由器50 的發(fā)送目的地以太網(wǎng)地址和與其對應的網(wǎng)絡接口的信息,并根據(jù)該信息��, 來向有害分組去除裝置所指定的發(fā)送目的地發(fā)送分組��。以下�,說明進行上述設定后的分組轉送裝置10的動作。由于可以進 行檢索模式對照的接口為兩個����,而針對各自的情況是否與檢索模式一致 存在四種情況,這四種情況以及來自有害分組去除裝置30的輸入總共五 種情況包含了所有的可能性����,因此參照圖13對各種情況進行說明。 (動作1)分組從上游路由器進入并與檢索模式不一致的情況分組接收部12從輸入接口接收分組�����,并將分組與輸入接口信息一起 存儲到分組緩沖器18中�。模式匹配執(zhí)行部13進行模式匹配,并記錄分 組與檢索模式不一致的結果���。由于分組與檢索模式不一致����,因此輸出接 口決定部14決定向下游路由器50輸出分組����,分組發(fā)送部16向與下游路 由器50連接的輸出接口發(fā)送分組。(動作2)分組從上游路由器進入并與檢索模式一致的情況分組接收部12從輸入接口接收分組����,并將分組與輸入接口信息一起 存儲到分組緩沖器18中。模式匹配執(zhí)行部13記錄分組與檢索模式一致 的這一結果。由于分組與檢索模式一致���,因此輸出接口決定部14決定向 有害分組去除裝置30輸出分組�。然后����,以太網(wǎng)地址置換部15將分組的 發(fā)送目的地以太網(wǎng)地址置換為有害分組去除裝置30的以太網(wǎng)地址,分組 發(fā)送部16向與有害分組去除裝置30連接的輸出接口發(fā)送分組���。(動作3)分組從下游路由器進入并與檢索模式不一致的情況分組接收部12從輸入接口接收分組���,并將分組與輸入接口信息一起 存儲到分組緩沖器18中。模式匹配執(zhí)行部13檢查分組是否與檢索模式一致��,并記錄不一致這一結果����。由于與檢索模式不一致,因此輸出接口決定部14決定向上游路由器40輸出分組�,分組發(fā)送部16向與上游路由 器40連接的輸出接口發(fā)送分組。(動作4)分組從下游路由器進入并與檢索模式一致的情況由于下游路由器40知曉自己下屬的范圍內存在攻擊對象�,因此通常 該動作4不會發(fā)生,但是��,為了包括全部情況,對該情況進行說明���。分組接收部12從輸入接口接收分組,并將分組與輸入接口信息一起 存儲到分組緩沖器中���。模式匹配執(zhí)行部13進行模式匹配�����,并記錄分組與 檢索模式一致的這一結果�。由于分組與檢索模式一致����,因此輸出接口決 定部14決定向有害分組去除裝置30輸出分組,以太網(wǎng)地址置換部15將 分組的發(fā)送目的地以太網(wǎng)地址置換為有害分組去除裝置30的以太網(wǎng)地 址����,分組發(fā)送部16向與有害分組去除裝置30連接的輸出接口發(fā)送分組。 (動作5)分組從有害分組去除裝置進入的情況動作5中的分組相當于在上述動作2中發(fā)送給有害分組去除裝置的 分組中的��、被認定為不是攻擊分組的分組�����。即,存在分組的內容與動作2 處理后的分組相同的情況�。分組接收部12從輸入接口接收分組,并將分組與輸入接口信息一起 存儲到分組緩沖器中��。在動作5中�,輸出接口決定部14服從有害分組去 除裝置30的輸出目的地指定(利用分組的發(fā)送目的地以太網(wǎng)地址來指 定),而由于通常情況下會指定下游路由器50�����,因此��,在此也設為指定下 游路由器50��。分組發(fā)送部16向與下游路由器50連接的輸出接口發(fā)送分 組�����。(應用動作)第二實施方式與在第一實施方式中所說明的情況相同�����,也可以將分 組轉送裝置10應用于進行作為中繼裝置35的動作的有害分組裝置30����。 本實施方式所應用的服務也如圖8所示��。在本實施方式中��,中繼裝置35具有獨自的路徑信息表�����,并具有對面 向服務器的分組賦予下游路由器50的發(fā)送目的地以太網(wǎng)地址,對除此之 外的分組賦予上游路由器40的發(fā)送目的地以太網(wǎng)地址���,來輸出分組的功能���。并且,在本實施方式中����,追加檢索模式,該檢索模式將在有害分組去除裝置30中設定的中繼裝置35所使用的IP地址(以下�,稱為中繼裝 置的地址)存在于發(fā)送目的地地址中的情況設為分組的檢索條件。艮口��, 分組轉送裝置10除了在基本動作中所說明的情況下����,還在分組的發(fā)送目 的地地址與中繼裝置的地址一致的情況下�,向有害分組去除裝置30發(fā)送該分組���。以下��,再次參照在第一實施方式中所參照的圖9���、圖10來說明第二 實施方式的應用動作。圖中括號內的數(shù)字表示分組��,對應于以下說明中 的附在分組后面的數(shù)字�。首先,說明針對從客戶機朝向服務器發(fā)送的連接請求分組(1)的動作����。該分組(1)從上游路由器40輸入到分組轉送裝置10。由于該分組 (1)相當于上述基本動作的動作(2)�,因此被發(fā)送給有害分組去除裝置 30。有害分組去除裝置30內的中繼裝置35�,(取代服務器)向客戶機回 復回答分組(2)。該分組的發(fā)送源是服務器����,發(fā)送目的地是客戶機。該 分組(2)相當于上述基本動作的動作5����,由于從有害分組去除裝置30發(fā) 送的分組的發(fā)送目的地以太網(wǎng)地址是上游路由器40的以太網(wǎng)地址���,因此 分組轉送裝置10向上游路由器40發(fā)送該分組(2),從而該分組(2)到 達客戶機��。接著���,說明針對從允許連接后的客戶機朝向服務器發(fā)送的數(shù)據(jù)請求 分組(3)的動作��。該分組(3)從上游路由器40輸入到分組轉送裝置10。與分組(1) 的情況相同�����,由于相當于上述基本動作的動作(2)�,因此將該分組(3) 發(fā)送給有害分組去除裝置30。中繼裝置35向服務器發(fā)送連接請求分組 (4)��。該分組(4)具有在上述檢索模式的追加中所使用的中繼功能用的 地址來作為發(fā)送源�����;以及具有服務器的地址來作為發(fā)送目的地�����。該分組(4)根據(jù)上述基本動作的動作5被輸出到下游路由器50,從 而到達服務器�。接著,服務器針對連接請求(4)而輸出連接允許分組(5)��。連接允許分組(5)的發(fā)送目的地是中繼裝置的地址���,該分組(5)從下 游路由器50輸入到分組轉送裝置10���。該分組(5)相當于所追加的檢索模式,因此該分組(5)被輸出到 有害分組去除裝置30����。中繼裝置35由于接收到連接允許(5),因此向服 務器發(fā)送數(shù)據(jù)請求分組(6)�。該數(shù)據(jù)請求分組(6)根據(jù)上述基本動作的動作5被輸出到下游路由 器50,從而到達服務器����。然后,服務器針對數(shù)據(jù)請求(6)輸出數(shù)據(jù)分組 (7)���。數(shù)據(jù)分組(7)的發(fā)送目的地是數(shù)據(jù)請求的發(fā)送源即中繼裝置的地 址�。該分組(7)從下游路由器50輸入到分組轉送裝置10。該分組(7)相當于所追加的檢索模式���,因此該分組(7)被輸出到 有害分組去除裝置30�。中繼裝置35接收數(shù)據(jù)(7)��,并再次向客戶機進行 發(fā)送��。該分組(8)的發(fā)送源是服務器地址�,發(fā)送目的地是客戶機地址。 從有害分組去除裝置30接收到該分組(8)的分組轉送裝置根據(jù)上述基 本動作的動作5�����,將該分組(8)輸出到上游路由器40���。然后,該分組(8) 到達客戶機�����。(關于連接兩個以上的有害分組去除裝置的情況)與第一實施方式中圖ll所示的情況相同���,在第二實施方式中也可以 連接兩個以上的有害分組去除裝置�。但是,在該情況下���,分組轉送裝置 IO的內部結構為圖14所示的結構���。圖14所示的結構與連接一個有害分 組去除裝置30的情況相比,以下點不同�。首先,在檢索模式表19中��,按照每個檢索模式�,指定了在一致的情 況下要進行輸出的接口。并且���,將有害分組去除裝置的以太網(wǎng)地址記錄 到每個有害分組去除裝置中���。并且,在基本動作的動作2��、 4中�,模式匹 配執(zhí)行部13在判定為與檢索模式一致的情況下,不僅記錄表示該內容的 結果���,還記錄哪個檢索模式一致����,并且輸出接口決定部14向一致的檢索 模式所指定輸出接口輸出分組。進而����,以太網(wǎng)地址置換部15將分組的發(fā) 送目的地以太網(wǎng)地址置換為與有害分組去除裝置對應的以太網(wǎng)地址,該 有害分組去除裝置與被指定為輸出接口的接口連接���。以太網(wǎng)地址置換部15的高速化也可以與第一實施方式相同地進行�。但是����,需要預先設定上游/下游路由器的以太網(wǎng)地址。(本發(fā)明實施方式的分組轉送裝置與路由器之間的區(qū)別) 本發(fā)明實施方式的分組轉送裝置在以下點上與構成現(xiàn)有網(wǎng)絡的路由 器不同�����。路由器使用網(wǎng)絡內所共享的����、或獨自的路徑信息來決定輸出接口��, 而本分組轉送裝置則不使用路徑信息,而使用分組內的特定的模式來決 定輸出分組��。并且�,尤其第一實施方式的分組轉送裝置將輸入接口信息 用于決定輸出接口 ,因此可以在具有相同的發(fā)送目的地地址的分組從不 同的接口進入的情況下�����,指定不同的輸出接口�����,而路由器則不管分組是 從哪個接口所輸入��,將具有相同發(fā)送目的地地址的分組都輸出到相同的 輸出接口����。并且,路由器在決定輸出接口時無法使用發(fā)送目的地地址以外的其 他信息�����,而本分組轉送裝置可以在決定輸出接口時使用分組上的發(fā)送目 的地地址以外的任意信息�����。(關于本發(fā)明實施方式的分組轉送裝置的效果)與圖2所說明的現(xiàn)有方式1相比,通過利用本發(fā)明實施方式的分組 轉送裝置��,能夠獲得可以在多個用戶之間共享有害分組去除裝置的效果���。并且���,與圖3所說明的現(xiàn)有方式2相比,能夠獲得以下效果�。在本分組轉送裝置中,不需要變更路由器的路徑信息���,不需要導入 通道�,因此不需要在用戶網(wǎng)絡側追加通道終端裝置����,并且,可以在不對 路由器進行新的設定以及不引起負荷的增大的情況下實現(xiàn)服務�����。并且����,由于服務的結構要素僅存在于服務提供者的網(wǎng)絡內,因此不 需要進行遠程操作����。并且,由于不需要對路徑信息進行動態(tài)操作���,因此 不會發(fā)生與之相伴的成本的增大(操作成本���、由作業(yè)/設定錯誤引起事故 的可能性的增大、路徑信息的變更頻度的增大���、擴大化以及可見性的下 降等)��。而且�����,在選擇發(fā)送給有害分組去除裝置的分組時��,除了發(fā)送目的地 地址之外��,作為條件��,還可以附加分組的服務類別和發(fā)送源的地址等配 置在分組上的任意位置的信息�,因此如果已知希望去除的攻擊的這些信息,則可以對發(fā)送給有害分組去除裝置的分組進行限制�����。這具有減輕有 害分組去除裝置的負荷的效果��。本發(fā)明不限于上述實施方式���,在要求保護的范圍內可以進行各種變 更/應用����。例如���,在本實施方式中����,將有害分組去除裝置與分組轉送裝置 連接���,但是����,任何裝置都可以與分組轉送裝置連接,而不限于有害分組 去除裝置�����。本國際申請基于2006年3月23日申請的日本專利申請第2006— 081588號主張優(yōu)先權�,并將其全部內容引用到本國際申請中����。
權利要求
1.一種分組轉送裝置,其對通過通信網(wǎng)絡接收到的分組進行轉送�,其特征在于,該分組轉送裝置具有多個網(wǎng)絡接口�;存儲單元,其至少存儲預定的檢索模式和識別預定的裝置的地址��;判定單元�����,其判定從一個網(wǎng)絡接口接收到的分組內的預定數(shù)據(jù)是否與所述檢索模式一致�����;輸出接口決定單元���,其利用所述判定單元的判定結果����,來決定用于輸出所述分組的網(wǎng)絡接口;地址置換單元�����,其在從與所述預定裝置連接的網(wǎng)絡接口輸出所述分組的情況下���,將識別該分組的發(fā)送目的地的裝置的地址置換為識別所述預定裝置的地址���;以及分組發(fā)送單元,其向所述輸出接口決定單元所決定的網(wǎng)絡接口發(fā)送所述分組�����。
2. 根據(jù)權利要求1所述的分組轉送裝置�,其特征在于,所述輸出接 口決定單元根據(jù)所述判定單元的判定結果和接收到所述分組的網(wǎng)絡接 口�,來決定輸出所述分組的網(wǎng)絡接口。
3. 根據(jù)權利要求1所述的分組轉送裝置�����,其特征在于,在所述判定 單元判定為所述分組內的預定數(shù)據(jù)與所述檢索模式一致的情況下���,所述 輸出接口決定單元決定從與所述預定裝置連接的網(wǎng)絡接口輸出所述分 組��。
4. 根據(jù)權利要求3所述的分組轉送裝置��,其特征在于����,在從所述預 定裝置接收到分組的情況下�����,所述判定單元不進行判定�,從與該分組中 記載的發(fā)送目的地對應的網(wǎng)絡接口輸出該分組�����。
5. 根據(jù)權利要求1至4中的任一項所述的分組轉送裝置�,其特征在于,在所述判定單元判定為所述分組內的預定數(shù)據(jù)與所述檢索模式不一 致的情況下�����,所述輸出接口決定單元決定從與接收到所述分組的網(wǎng)絡接口對應的、預定網(wǎng)絡接口輸出該分組���。
6. 根據(jù)權利要求1至5中的任一項所述的分組轉送裝置�����,其特征在于�,識別所述預定裝置的地址是該裝置的以太網(wǎng)地址���。
7. —種分組轉送方法����,該分組轉送方法用于分組轉送裝置對通過通 信網(wǎng)絡接收到的分組進行轉送���,該分組轉送裝置具有多個網(wǎng)絡接口和至 少存儲預定的檢索模式和識別預定的裝置的地址的存儲單元���,其特征在于,該分組轉送方法具有以下步驟判定步驟���,在該步驟中�,判定從一個網(wǎng)絡接口接收到的分組內的預定數(shù)據(jù)是否與所述檢索模式一致��;輸出接口決定步驟,在該步驟中��,利用所述判定步驟的判定結果����, 來決定用于輸出所述分組的網(wǎng)絡接口 ;地址置換步驟�,在該步驟中,在從與所述預定裝置連接的網(wǎng)絡接口 輸出所述分組的情況下����,將識別該分組的發(fā)送目的地的裝置的地址置換 為識別所述預定裝置的地址;以及分組發(fā)送步驟���,在該步驟中,向所述輸出接口決定步驟所決定的網(wǎng) 絡接口發(fā)送所述分組���。
8. —種程序���,其用于使分組轉送裝置執(zhí)行對通過通信網(wǎng)絡接收到的 分組進行轉送的處理,該分組轉送裝置具有多個網(wǎng)絡接口和至少存儲預 定的檢索模式和識別預定的裝置的地址的存儲單元�����,其特征在于,該程 序使所述分組轉送裝置作為以下單元來發(fā)揮功能-判定單元�,其判定從一個網(wǎng)絡接口接收到的分組內的預定數(shù)據(jù)是否 與所述檢索模式一致;輸出接口決定單元����,其利用所述判定單元的判定結果,來決定用于 輸出所述分組的網(wǎng)絡接口�;地址置換單元,其在從與所述預定裝置連接的網(wǎng)絡接口輸出所述分 組的情況下���,將識別該分組的發(fā)送目的地的裝置的地址置換為識別所述 預定裝置的地址����;以及分組發(fā)送單元��,其向所述輸出接口決定單元所決定的網(wǎng)絡接口發(fā)送 所述分組���。
全文摘要
分組轉送裝置具有存儲單元�,其存儲預定的檢索模式和識別預定的裝置的地址��;判定單元�,其判定從某個網(wǎng)絡接口接收到的分組內的預定數(shù)據(jù)是否與所述檢索模式一致;決定單元���,其利用判定結果�����,來決定用于輸出所述分組的網(wǎng)絡接口�;地址置換單元,其在從與所述預定裝置連接的網(wǎng)絡接口輸出所述分組的情況下�����,將識別該分組的發(fā)送目的地的裝置的地址置換為識別所述預定裝置的地址��;以及分組發(fā)送單元�,其向所決定的網(wǎng)絡接口發(fā)送所述分組。
文檔編號H04L12/66GK101406011SQ20078001036
公開日2009年4月8日 申請日期2007年3月22日 優(yōu)先權日2006年3月23日
發(fā)明者坂野壽和, 水口孝則, 西田晴彥 申請人:Ntt通信公司