JPH06291776A - Access controller for atm communication - Google Patents
Access controller for atm communicationInfo
- Publication number
- JPH06291776A JPH06291776A JP5050228A JP5022893A JPH06291776A JP H06291776 A JPH06291776 A JP H06291776A JP 5050228 A JP5050228 A JP 5050228A JP 5022893 A JP5022893 A JP 5022893A JP H06291776 A JPH06291776 A JP H06291776A
- Authority
- JP
- Japan
- Prior art keywords
- address information
- cell
- unit
- reception
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims description 21
- 230000005540 biological transmission Effects 0.000 claims abstract description 46
- 239000000284 extract Substances 0.000 claims abstract description 4
- 238000012546 transfer Methods 0.000 claims description 25
- 238000010586 diagram Methods 0.000 description 10
- 230000003287 optical effect Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【産業上の利用分野】本発明は広帯域ISDN(B−I
SDN)による情報伝送のセキュリティ向上に関し、特
に非同期転送モード(ATM)で使用されるセルのアク
セス制御装置に関する。BACKGROUND OF THE INVENTION The present invention relates to a wide band ISDN (BI).
More particularly, it relates to an access control device for a cell used in an asynchronous transfer mode (ATM).
【0002】[0002]
【従来の技術】現在、マルチメディア信号を伝送する広
帯域ISDNを実現する手段として、非同期転送モード
(ATM)の研究が進められている。非同期転送モード
(ATM)ではユーザ情報をセルと呼ばれる固定長パケ
ットに組立て、セル単位で通信を行うことにより155.52
Mbps という高速のビットレートで大容量の情報を伝送
すると共に、受信側では受信したセルを分解し情報を生
成するものであるため、映像・音声信号の転送及び高速
データ通信等に好適である。非同期転送モードによる通
信網はパーソナルコンピューター等の端末装置、ターミ
ナルアダプタ(TA)、多重化装置、交換機、クロスコ
ネクタ等から構成されており、前述したセルの分解・組
立ては情報を送受信する端末装置もしくはネットワーク
の周縁部にて実行される。第4図はセルの構成を示すモ
デル図であって、ユーザ情報25はヘッダ部26と情報
フィールド部27から成るセル28に組立てされ、ヘッ
ダ部26にはセルが属するコネクションの識別子の値が
格納される。コネクション識別子としては仮想チャネル
識別子(VCI)と仮想パス識別子(VPI)とがあ
り、各識別子の値に基づいて予め定められた経路でセル
が転送される。またネットワークリソースの有効利用の
ためにネットワーク内のVP容量に応じて仮想パスが設
定されることがある。2. Description of the Related Art Currently, research on an asynchronous transfer mode (ATM) is under way as a means for realizing a wideband ISDN for transmitting multimedia signals. In the asynchronous transfer mode (ATM), user information is assembled into fixed length packets called cells, and communication is performed in cell units.
Since a large amount of information is transmitted at a high bit rate of Mbps and the receiving side decomposes received cells to generate information, it is suitable for video / audio signal transfer and high-speed data communication. The communication network in the asynchronous transfer mode is composed of a terminal device such as a personal computer, a terminal adapter (TA), a multiplexing device, an exchange, and a cross connector. The above-mentioned cell disassembly / assembly is a terminal device that transmits / receives information or It runs at the edge of the network. FIG. 4 is a model diagram showing the structure of a cell. User information 25 is assembled into a cell 28 consisting of a header section 26 and an information field section 27, and the header section 26 stores the value of the identifier of the connection to which the cell belongs. To be done. There are a virtual channel identifier (VCI) and a virtual path identifier (VPI) as connection identifiers, and cells are transferred by a predetermined route based on the value of each identifier. In addition, a virtual path may be set according to the VP capacity in the network for effective use of network resources.
【0003】第5図はセキュリティを考慮した非同期転
送モード通信装置の送受信部を示すブロック図であっ
て、ユーザ情報であるアプリケーションファイル(デー
タ及びプログラム)はCPUボード部30内のアプリケ
ーション実行部32からアプリケーション・アクセス制
御部34に入力し、アプリケーション・アクセステーブ
ル部36に記載された送信許可・受信許可アドレスリス
トを参照して、該テーブル部36に記載されたアドレス
のファイルのみがセル組立・ヘッダ挿入部38に供給さ
れ、ヘッダ部22に受信側のアドレスが書き込まれたセ
ルに組立てられる。組立てられたセルは次段のセル送信
部40に出力され、電気/光変換が行われ光ファイバー
等により構成されたネットワークに光伝送される。一
方、受信側では送信されたセルをセル受信部42によっ
て受信し、光/電気変換を行いヘッダデコーダ部44に
供給する。ヘッダデコーダ部44では受信したセルのヘ
ッダ部22に記載されている宛て先アドレスを解読し、
受信アドレス比較部46に出力する。受信アドレス比較
部46にはCPUボード部30から自己のアドレスが供
給されており、受信したセルのヘッダ部22に書き込ま
れている宛先アドレスと自己のアドレスとを比較し、両
アドレスが一致する場合にはアクセスゲート部48に信
号を出力する。受信アドレス比較部46からの信号をア
クセスゲート部48が入力し、ゲートを開くことによ
り、セル受信部42から受信セルを取り込み、次段のセ
ル分解部50に出力し、セル分解部50ではセル単位の
情報を分解してアプリケーション形式のデータに変換
し、CPUボード部30内のアプリケーションアクセス
制御部34に出力する。アプリケーションアクセス制御
部34では受信した信号に含まれるアドレス信号が、ア
プリケーションアクセステーブル部36に記載されたア
プリケーションファイルを次段のアプリケーション実行
部へ出力し、受信信号を取り込む。このように非同期転
送モードによる広帯域ISDNは、ユーザ情報をセル単
位に組立・分解し、高速に転送することができるため、
今後の通信サービスには欠かすことのできないものであ
り、またその期待が高まっている。尚、このような構成
の非同期転送モード通信装置においてアプリケーション
・アクセス制御部34、アプリケーション・アクセステ
ーブル36部及びアプリケーション実行部32はワーク
ステーション内のオペレーティングシステム等であっ
て、非同期転送モード通信網とは独立した構成のもので
ある。FIG. 5 is a block diagram showing a transmission / reception unit of an asynchronous transfer mode communication device in consideration of security. Application files (data and programs) as user information are transmitted from the application execution unit 32 in the CPU board unit 30. The file is input to the application access control unit 34, the transmission permission / reception permission address list described in the application access table unit 36 is referred to, and only the file of the address described in the table unit 36 is assembled / inserted into the header. It is supplied to the section 38 and assembled into a cell in which the address of the receiving side is written in the header section 22. The assembled cell is output to the cell transmitting unit 40 in the next stage, is subjected to electrical / optical conversion, and is optically transmitted to a network composed of optical fibers or the like. On the other hand, on the receiving side, the transmitted cell is received by the cell receiving section 42, and is subjected to optical / electrical conversion and supplied to the header decoder section 44. The header decoder unit 44 decodes the destination address written in the header unit 22 of the received cell,
It is output to the reception address comparison unit 46. When the own address is supplied from the CPU board section 30 to the reception address comparison section 46, the destination address written in the header section 22 of the received cell is compared with the own address, and both addresses match. Signal is output to the access gate unit 48. The access gate unit 48 inputs the signal from the reception address comparison unit 46, and by opening the gate, the reception cell is fetched from the cell reception unit 42 and output to the cell decomposition unit 50 at the next stage. The unit information is decomposed, converted into application format data, and output to the application access control unit 34 in the CPU board unit 30. In the application access control unit 34, the address signal included in the received signal outputs the application file described in the application access table unit 36 to the application executing unit in the next stage, and captures the received signal. In this way, the broadband ISDN in the asynchronous transfer mode can assemble and disassemble user information in cell units and transfer at high speed.
It is indispensable for communication services in the future, and its expectations are increasing. In the asynchronous transfer mode communication device having such a configuration, the application access control unit 34, the application access table 36 unit, and the application execution unit 32 are operating systems and the like in the workstation. It has an independent structure.
【0004】一方、情報化社会では情報のセキュリティ
を維持することが重要な課題であり、上述したような非
同期転送モードによる広帯域ISDNではアプリケーシ
ョンレベルでアクセス制御を行うことによりセキュリテ
ィを向上させていた。しかしながら、アプリケーション
レベルでのアクセス制御は非同期転送モード通信網とは
独立したところで行われているため、ユーザにとって操
作し易く、アプリケーション・アクセス制御部、アプリ
ケーション・アクセステーブル部をユーザから機密にす
る技術に限界があり、一方、セルレベルでは、転送され
たセルのヘッダ部に書き込まれた宛先アドレスと自己の
アドレスとを比較することにより呼の受付判断を行うた
め、データを所望のアドレスに送信することが可能であ
り、その結果、受信側では容易にデータの改ざん等が行
われてしまう可能性があり、また、送信側では錯誤もし
くは故意によりデータを転送したくない、即ち、好まざ
る相手先が指定され、データが転送されようとしても、
何ら保護対策がないため機密漏洩を防ぐことができない
と云う問題点があった。On the other hand, maintaining the security of information is an important issue in the information-oriented society, and security has been improved by performing access control at the application level in the above-mentioned wideband ISDN in the asynchronous transfer mode. However, since access control at the application level is performed independently of the asynchronous transfer mode communication network, it is easy for the user to operate, and there is a technology to keep the application access control unit and the application access table unit secret from the user. On the other hand, at the cell level, on the other hand, the call admission judgment is made by comparing the destination address written in the header part of the transferred cell with the own address, so that the data is transmitted to the desired address. As a result, the receiving side may easily tamper with the data, and the transmitting side does not want to transfer the data by mistake or intentionally, that is, the undesired destination is Even if it is specified and data is about to be transferred,
There is a problem that confidential information leakage cannot be prevented because there is no protection measure.
【0005】[0005]
【発明の目的】本発明は上述したような非同期転送モー
ドによる通信サービスの問題点に鑑みなされたものであ
って、アプリケーションレベルにおけるアクセス制御に
加え、簡単な構成且つ高速処理可能なセルレベルのアク
セス制御機能をセルの送受信部に持たせることにより、
情報の安全性を満たし、機密性の高い広帯域ISDNを
提供することを目的とする。SUMMARY OF THE INVENTION The present invention has been made in view of the problems of the communication service in the asynchronous transfer mode as described above. In addition to access control at the application level, cell level access that has a simple structure and can be processed at high speed is provided. By giving the control function to the cell transceiver,
The purpose of the present invention is to provide a broadband ISDN that satisfies the security of information and is highly confidential.
【0006】[0006]
【発明の概要】この目的を達成するために本発明に係る
ATM通信装置のアクセス制御装置は、アプリケーショ
ンレベルにおいてアクセス制御を行うアプリケーション
レベルアクセス制御部と、セルレベルにてアクセス制御
を行うセルレベルアクセス制御部とを備え、さらに送信
側における前記セルレベルアクセス制御部はセルのヘッ
ダ部に書き込まれた宛先アドレス情報と送信許可リスト
部から供給されるアドレス情報とを比較する送信アドレ
ス比較部と、セルに組み立てられた信号を入力すると共
に、前記送信アドレス比較部からの制御信号によって作
動するアクセスゲート部とを備え、セルのヘッダ部に書
き込まれた宛先アドレス情報が送信許可リストのアドレ
ス情報と一致する場合にのみ前記アクセスゲート部を開
きセルを転送する。一方、受信側における前記セルレベ
ルアクセス制御部はセルのヘッダ部に書き込まれた宛先
アドレス情報と送信元アドレス情報とを抽出し、前記宛
先アドレス情報と自己のアドレス情報とを比較すると共
に、前記送信元アドレス情報と受信許可リスト部から供
給されるアドレス情報とを比較する受信アドレス比較部
と、受信したセルを入力すると共に、前記受信アドレス
比較部からの出力によって作動するアクセスゲート部と
を備え、セルのヘッダ部に書き込まれた宛先アドレスが
自己のアドレスと一致し、且つ送信元アドレス情報が受
信許可リストのアドレス情報と一致する場合にのみ前記
アクセスゲート部を開き、転送されたセルを取り入れた
ことを特徴とする。SUMMARY OF THE INVENTION To achieve this object, an access control device for an ATM communication device according to the present invention comprises an application level access control section for performing access control at an application level and a cell level access for performing access control at a cell level. A cell address access control unit on the transmission side, wherein the cell level access control unit on the transmission side compares the destination address information written in the header of the cell with the address information supplied from the transmission permission list unit; And the access gate section which operates by the control signal from the transmission address comparison section, and the destination address information written in the header section of the cell matches the address information of the transmission permission list. Open the access gate part only when transferring cells On the other hand, the cell level access control unit on the receiving side extracts the destination address information and the source address information written in the header portion of the cell, compares the destination address information with its own address information, and transmits the transmission. A reception address comparison unit that compares the original address information and the address information supplied from the reception permission list unit; and an access gate unit that operates by the output from the reception address comparison unit while inputting the received cell, Only when the destination address written in the header part of the cell matches its own address and the source address information matches the address information in the reception permission list, the access gate part is opened and the transferred cell is taken in. It is characterized by
【0007】[0007]
【実施例】以下、本発明を図面に示した実施例に基づい
て詳細に説明する。第1図は本発明に係る非同期転送モ
ード通信装置におけるアプリケーションレベル及びセル
レベルにおけるアクセス制御機能を示すブロック図であ
って、同図においてAはアプリケーションレベルアクセ
ス制御部、Bはセルレベルアクセス制御部である。ユー
ザ情報であるアプリケーション・ファイルはCPUボー
ド部1内のアプリケーション実行部2よりアクセス制御
部3に供給され、アクセステーブル部4に書き込まれた
送信許可アドレスとアクセス制御部3に入力したファイ
ルの送信アドレスとが一致した場合にセル組立・ヘッダ
挿入部5に供給される。セルレベルアクセス制御部Bの
セル組立・ヘッダ挿入部5ではデータを固定長の情報フ
ィールドに区切り、通信宛先のアドレスをヘッダ部に記
載したセルに組み立てた後アクセスゲート部6に出力す
る。またセル組立・ヘッダ挿入部5はセルに付加したヘ
ッダ部をヘッダデコーダ部7に出力する。ヘッダデコー
ダ部7では入力したヘッダ部に書き込まれた宛先アドレ
スを解読し、その結果を送信アドレス比較部8に出力す
る。一方、送信許可リスト部9にはCPUボード1から
データを送信してもよい宛先のアドレスが供給されてお
り、送信アドレス比較部8ではヘッダデコーダ部7及び
送信許可リスト部9から入力した両アドレス情報を比較
し、両アドレス情報が一致した場合のみアクセスゲート
部6のゲートを開くよう制御信号を出力する。送信アド
レス比較部8からの制御信号を入力したアクセスゲート
部6はセル化されたデータを次段のセル送信部10に出
力し、セル送信部10にてセルの電気/光変換が行われ
ネットワークに光伝送する。即ち、アプリケーションレ
ベルにてアクセス制御を行うと共にセルのヘッダ部に書
き込まれた宛先アドレス情報と、送信許可リストに記載
された宛先アドレス情報とを送信アドレス比較部8にて
照合することにより、データの誤送を防止することがで
き、情報のセキュリティを高度に維持することができ
る。DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described below in detail based on the embodiments shown in the drawings. FIG. 1 is a block diagram showing an access control function at an application level and a cell level in an asynchronous transfer mode communication apparatus according to the present invention, in which A is an application level access control unit and B is a cell level access control unit. is there. The application file, which is user information, is supplied from the application execution unit 2 in the CPU board unit 1 to the access control unit 3, and the transmission permission address written in the access table unit 4 and the transmission address of the file input to the access control unit 3 When is matched, the data is supplied to the cell assembly / header insertion unit 5. The cell assembling / header inserting section 5 of the cell level access control section B divides the data into fixed-length information fields, assembles the addresses of communication destinations into cells described in the header section, and then outputs them to the access gate section 6. The cell assembling / header inserting section 5 outputs the header section added to the cell to the header decoder section 7. The header decoder unit 7 decodes the destination address written in the input header unit and outputs the result to the transmission address comparison unit 8. On the other hand, the transmission permission list unit 9 is supplied with an address of a destination to which data may be transmitted from the CPU board 1. In the transmission address comparison unit 8, both addresses inputted from the header decoder unit 7 and the transmission permission list unit 9 are supplied. Information is compared, and a control signal is output to open the gate of the access gate unit 6 only when both address information match. The access gate unit 6 that receives the control signal from the transmission address comparison unit 8 outputs the cellized data to the cell transmission unit 10 in the next stage, and the cell transmission unit 10 performs the electrical / optical conversion of the cell and the network. Optical transmission to. That is, by performing access control at the application level and by collating the destination address information written in the header of the cell with the destination address information listed in the transmission permission list in the transmission address comparison unit 8, Misdelivery can be prevented, and information security can be maintained at a high level.
【0008】一方、受信の際には、ネットワークから伝
送されたセルはセル受信部11にて光/電気変換されヘ
ッダデコーダ部12及びアクセスゲート部13に供給さ
れる。ヘッダデコーダ部12では受信したセルのヘッダ
部に書き込まれた宛先アドレス情報及び送信元アドレス
情報を抽出・解読し受信アドレス比較部14に出力す
る。CPUボード部1は、受信アドレス比較部14に受
信アドレス情報と、受信許可リスト部15を介して転送
されたデータを受信してもよい送信元のアドレス情報と
を供給している。受信アドレス比較部14では転送され
たセルのヘッダ部に書き込まれた宛先アドレス情報が受
信側のアドレス情報と同一であるか否か及びセルのヘッ
ダ部に書き込まれた送信元アドレス情報が受信を許可す
るものか否かを判定し、アクセスゲート13に制御信号
を出力する。したがって、転送されたセルのヘッダ部に
書き込まれた宛先アドレスが自己のアドレスと同一であ
り、且つ、送信元のアドレスが受信を許可するリスト中
に存在するものについてのみアクセスゲートを開き、セ
ルをセル分解部16に取り込む。セル分解部16では受
信セルの情報フィールド部を結合し、アプリケーション
・ファイル形式のデータに変換し、CPUボード部1内
のアクセス制御部3に出力する。アクセス制御部3では
受信したデータのアドレスがアクセステーブル部4に記
載されたアドレスと一致した場合にのみ受信信号をアプ
リケーション実行部2に取り込み、データの転送を完了
する。このようにセルレベルでは転送されたセルの宛先
アドレスおよび送信元のアドレスを二重にチェックし、
呼の受付制御を行うと共に、アプリケーションレベルで
もアクセス制御を行っているため、好まざる相手、即
ち、受信許可リストに記載しない相手からデータを転送
されることがなく、データの改ざんを防止し、情報の安
全性を高めることができる。On the other hand, at the time of reception, the cell transmitted from the network is optically / electrically converted by the cell receiving section 11 and supplied to the header decoder section 12 and the access gate section 13. The header decoder section 12 extracts and decodes the destination address information and the source address information written in the header section of the received cell, and outputs them to the received address comparison section 14. The CPU board unit 1 supplies the reception address comparison unit 14 with the reception address information and the address information of the transmission source that may receive the data transferred via the reception permission list unit 15. In the reception address comparison unit 14, whether or not the destination address information written in the header part of the transferred cell is the same as the address information on the reception side, and the source address information written in the header part of the cell permits reception. Then, the control signal is output to the access gate 13. Therefore, only when the destination address written in the header part of the transferred cell is the same as its own address and the source address is in the list permitting reception, the access gate is opened and the cell is opened. It is taken into the cell disassembly unit 16. The cell disassembling unit 16 combines the information field units of the received cells, converts the data into application file format data, and outputs the data to the access control unit 3 in the CPU board unit 1. The access control unit 3 fetches the received signal into the application execution unit 2 only when the address of the received data matches the address described in the access table unit 4, and completes the data transfer. Thus, at the cell level, the destination and source addresses of the transferred cells are double checked,
Since the call admission control is performed and the access control is also performed at the application level, data is not transferred from an undesired party, that is, a party not listed in the reception permission list, and data tampering is prevented, and information is prevented. Can increase the safety of.
【0009】第2図は上述した非同期モード通信装置に
おけるセルレベルアクセス制御部Bのアクセスゲート部
6、送信アドレス比較部8及び送信許可リスト部9の一
実施例を示す図である。尚、この実施例ではアドレスが
4ビットの場合について説明する。送信許可リスト部9
はラッチ回路17の集合体からなり、各ラッチ回路17
a、17b・・・17zにはCPUボード部1から送信
許可先のアドレスが供給され書き込まれている。即ち、
データを送信してもよい1または複数の相手先アドレス
が各ラッチ回路に収納されている。一方、送信アドレス
比較部8は複数のANDゲート18a、18A、18
b、18B・・・18z、18Zからなりヘッダデコー
ダ部7から出力される4ビットの宛先アドレス情報はA
NDゲート18a、18b・・・18zに供給される。
また各ANDゲート18a、18b・・・18zには送
信許可リスト部9のラッチ17a・・・17zから信号
が供給されており、転送データの宛て先アドレスが送信
許可先のアドレスと一致するか否かを照合している。し
たがって、転送データの宛て先アドレスがラッチ回路1
7a・・・17zに書き込まれた何れかのアドレスと一
致した場合には、いずれかのANDゲート18A・・・
18Z出力が1となり、ORゲート19を介してアクセ
スゲート部6のANDゲート20に信号を出力し、セル
組立・ヘッダ挿入部5より供給されたセル化された情報
データは図示しない次段のセル送信部に出力される。FIG. 2 is a diagram showing an embodiment of the access gate unit 6, the transmission address comparison unit 8 and the transmission permission list unit 9 of the cell level access control unit B in the above-mentioned asynchronous mode communication device. In this embodiment, the case where the address is 4 bits will be described. Transmission permission list section 9
Is composed of an assembly of latch circuits 17, and each latch circuit 17
Addresses to which transmission is permitted are supplied from the CPU board unit 1 to a, 17b, ... That is,
One or more destination addresses to which data may be transmitted are stored in each latch circuit. On the other hand, the transmission address comparison unit 8 includes a plurality of AND gates 18a, 18A, 18
b, 18B ... 18z, 18Z, the 4-bit destination address information output from the header decoder unit 7 is A
It is supplied to the ND gates 18a, 18b ... 18z.
Further, signals are supplied to the AND gates 18a, 18b, ..., 18z from the latches 17a, ..., 17z of the transmission permission list unit 9, and whether or not the destination address of the transfer data matches the address of the transmission permission destination Is collating. Therefore, the destination address of the transfer data is the latch circuit 1
If any of the addresses written in 7a ... 17z matches, then any AND gate 18A ...
18Z output becomes 1 and outputs a signal to the AND gate 20 of the access gate unit 6 via the OR gate 19, and the cellized information data supplied from the cell assembling / header inserting unit 5 is the cell of the next stage not shown. It is output to the transmitter.
【0010】第3図は受信側のアクセスゲート部13、
受信アドレス比較部14及び受信許可リスト部15の一
実施例を示す図である。前述した第3図と異なる点は受
信アドレス比較部14内に転送されたデータの宛て先ア
ドレス情報が自己のアドレスと一致するか否かを判定す
るためのANDゲート21a、21A及び受信許可リス
ト部15内にラッチ回路22を新たに設けると共に、前
記ANDゲート21A出力とORゲート19出力とを入
力するANDゲート23を新たに設けた点である。また
ヘッダデコーダ部12からはANDゲート21aに対し
ては転送されたセルのヘッダ部に記載された宛て先アド
レス情報が供給され、一方ANDゲート18a、18b
・・・18zに対しては転送されたセルのヘッダ部に記
載された送信元アドレス情報が供給される。ラッチ回路
22にはCPUボード部1より自己のアドレス情報が書
き込まれ、転送されたデータの宛て先アドレス情報とラ
ッチ回路22に書き込まれたアドレス情報とを比較する
と共に、ラッチ回路17a・・・17zに書き込まれた
受信許可リスト情報と転送されたデータの送信元アドレ
ス情報とを比較することにより、転送データが自己のア
ドレスに対して送信されたものであって、その送信元が
受信を許可する相手である場合のみアクセスゲートを開
とし、情報を取り込むよう構成している。FIG. 3 shows an access gate unit 13 on the receiving side.
FIG. 3 is a diagram showing an embodiment of a reception address comparison unit 14 and a reception permission list unit 15. The difference from FIG. 3 described above is that AND gates 21a and 21A and a reception permission list unit for determining whether or not the destination address information of the data transferred in the reception address comparison unit 14 matches its own address. The point is that a latch circuit 22 is newly provided in 15 and an AND gate 23 for receiving the output of the AND gate 21A and the output of the OR gate 19 is newly provided. Further, the destination address information described in the header part of the transferred cell is supplied from the header decoder part 12 to the AND gate 21a, while the AND gates 18a and 18b are supplied.
The source address information described in the header of the transferred cell is supplied to 18z. The CPU board unit 1 writes its own address information in the latch circuit 22, compares the destination address information of the transferred data with the address information written in the latch circuit 22, and latch circuits 17a ... 17z. By comparing the reception allowance list information written in to the transmission source address information of the transferred data, the transfer data is transmitted to its own address, and the transmission source permits reception. The access gate is opened only when the other party, and the information is taken in.
【0011】このようにセルのアクセス制御機能を単純
な論理ゲートによって構成することにより高速処理が可
能となり、非同期転送モードを用いた広帯域ISDNの
ような高速な転送レートのデータ通信に対しても対応す
ることが可能であり、さらに、CPU内にてアプリケー
ションレベルでのアクセス制御を行っているため、情報
のセキュリティを高度に維持することができる。尚、上
記実施例では許可リスト部はアクセス可能なアドレスを
格納するように説明したが、逆にアクセス不可能なアド
レスを用い、受信許可リスト部を受信不許可リスト部に
変更すると共にORゲート19とANDゲート23との
インターフェースに否定回路を接続することによりアク
セス不許可のセルがアクセスゲート部で阻止されるよう
に構成してもよい。By thus configuring the cell access control function with a simple logic gate, high-speed processing becomes possible, and data communication with a high transfer rate such as wideband ISDN using an asynchronous transfer mode is also supported. Furthermore, since the access control is performed at the application level in the CPU, it is possible to maintain a high level of information security. In the above-described embodiment, the permit list section stores the accessible address. However, conversely, an inaccessible address is used, the reception permit list section is changed to the reception disapproval list section, and the OR gate 19 is used. It is also possible to connect a negative circuit to the interface between the AND gate 23 and the AND gate 23 so that the access-prohibited cells are blocked in the access gate section.
【0012】[0012]
【発明の効果】本発明は上述したように構成し且つ機能
するものであるから、簡単な論理ゲートを用いることに
よってセルのアクセス制御を行うことができ、またセル
と云う物理レイヤーに近い通信階層でアクセス制御を行
うため通信セキュリティが強力となり情報の安全性を向
上する上で著しい効果を発揮する。Since the present invention is constructed and functions as described above, access control of a cell can be performed by using a simple logic gate, and a communication layer close to a physical layer called a cell. Since access control is performed with, communication security becomes strong, and it exerts a remarkable effect in improving the safety of information.
【0013】[0013]
【図面の簡単な説明】[Brief description of drawings]
【図1】は本発明に係る非同期モード通信装置のアクセ
ス制御機能を示すブロック図。FIG. 1 is a block diagram showing an access control function of an asynchronous mode communication device according to the present invention.
【図2】はアクセスゲート部、送信アドレス比較部及び
送信許可リスト部の一実施例を示す図。FIG. 2 is a diagram showing an embodiment of an access gate unit, a transmission address comparison unit, and a transmission permission list unit.
【図3】はアクセスゲート部、受信アドレス比較部及び
受信許可リスト部の一実施例を示す図。FIG. 3 is a diagram showing an embodiment of an access gate unit, a reception address comparison unit, and a reception permission list unit.
【図4】セルの構成を示すモデル図。FIG. 4 is a model diagram showing a configuration of a cell.
【図5】セキュリティを考慮した非同期モード通信装置
の送受信部を示すブロック図。FIG. 5 is a block diagram showing a transmission / reception unit of an asynchronous mode communication device in consideration of security.
1・・・CPUボード部 2・・・アプリケーション実行部 3・・・アクセス制御部 4・・・アクセステーブル部 5・・・セル組立・ヘッダ挿入部 6、13・・・アクセスゲート部 7、12・・・ヘッダデコーダ部 8・・・送信アドレス比較部 9・・・送信許可リスト部 10・・・セル送信部 11・・・セル受信部 14・・・受信アドレス比較部 15・・・受信許可リスト部 16・・・セル分解部 17・・・ラッチ回路 18、20、23・・・ANDゲート 19・・・ORゲート A・・・アプリケーションレベルアクセス制御部 B・・・セルレベルアクセス制御部 1 ... CPU board part 2 ... Application execution part 3 ... Access control part 4 ... Access table part 5 ... Cell assembly / header insertion part 6, 13 ... Access gate part 7, 12・ ・ ・ Header decoder unit 8 ・ ・ ・ Transmission address comparison unit 9 ・ ・ ・ Transmission permission list unit 10 ・ ・ ・ Cell transmission unit 11 ・ ・ ・ Cell reception unit 14 ・ ・ ・ Reception address comparison unit 15 ・ ・ ・ Reception permission List section 16 ... Cell disassembly section 17 ... Latch circuit 18, 20, 23 ... AND gate 19 ... OR gate A ... Application level access control section B ... Cell level access control section
Claims (5)
において、 アプリケーションレベルでファイルのアクセス制御を行
うアプリケーションレベルアクセス制御部と、セルレベ
ルでアクセス制御を行うセルレベルアクセス制御部とを
備えたスとを特徴とするATM通信のアクセス制御装
置。1. Broadband ISDN using asynchronous transfer mode.
2. An access control device for ATM communication, comprising: an application level access control unit that controls access to a file at an application level; and a cell level access control unit that performs access control at a cell level.
許可リスト部から供給されるアドレス情報とを比較する
送信アドレス比較部と、 セルに組み立てられた信号を入力すると共に、前記送信
アドレス比較部からの制御信号によって作動するアクセ
スゲート部とからなり、セルのヘッダ部に書き込まれた
宛先アドレス情報が送信許可リストのアドレス情報と一
致する場合にのみ前記アクセスゲート部を開き、セルを
転送したことを特徴とする請求項1記載のATM通信の
アクセス制御装置。2. The cell-level access control unit includes a transmission address comparison unit that compares the destination address information written in the header portion of the cell with the address information supplied from the transmission permission list unit, and is assembled in the cell. It is composed of an access gate unit which is operated by a control signal from the transmission address comparison unit while inputting a signal, and only when the destination address information written in the header portion of the cell matches the address information of the transmission permission list. The access control device for ATM communication according to claim 1, wherein the access gate unit is opened and the cell is transferred.
元アドレス情報とを抽出する手段と、 前記宛先アドレス情報と自己のアドレス情報とを比較す
ると共に、前記送信元アドレス情報と受信許可リスト部
から供給されるアドレス情報とを比較する受信アドレス
比較部と、 受信したセルを入力すると共に、前記受信アドレス比較
部からの出力によって作動するアクセスゲート部とから
なり、 セルのヘッダ部に書き込まれた宛先アドレスが自己のア
ドレスと一致し、且つ送信元アドレス情報が受信許可リ
ストのアドレス情報と一致する場合にのみ前記アクセス
ゲート部を開き、転送されたセルを取り入れたことを特
徴とする請求項1記載のATM通信のアクセス制御装
置。3. The cell level access control unit extracts the destination address information and the source address information written in the header of the cell, and compares the destination address information with its own address information. A reception address comparison unit that compares the source address information with the address information supplied from the reception permission list unit; and an access gate unit that inputs the received cell and operates by the output from the reception address comparison unit. The transfer gate is opened by opening the access gate part only when the destination address written in the header part of the cell matches its own address and the source address information matches the address information in the reception permit list. The access control device for ATM communication according to claim 1, wherein:
において、 セルのヘッダ部に書き込まれた宛先アドレス情報と送信
許可リスト部から供給されるアドレス情報とを比較する
送信アドレス比較部と、 セルに組み立てられた信号を入力すると共に、前記送信
アドレス比較部からの制御信号によって作動するアクセ
スゲート部とを備え、 セルのヘッダ部に書き込まれた宛先アドレス情報が送信
許可リストのアドレス情報と一致する場合にのみ前記ア
クセスゲート部を開きセルを転送したことを特徴とする
セルのアクセス制御装置。4. A wideband ISDN using an asynchronous transfer mode.
In, the transmission address comparison unit for comparing the destination address information written in the header portion of the cell with the address information supplied from the transmission permission list unit, and the transmission address comparison unit for inputting the signal assembled in the cell Access gate section operated by a control signal from the cell, and the access gate section is opened to transfer the cell only when the destination address information written in the header section of the cell matches the address information of the transmission permission list. Characterized cell access control device.
において、 セルのヘッダ部に書き込まれた宛先アドレス情報と送信
元アドレス情報とを抽出する手段と、 前記宛先アドレス情報と自己のアドレス情報とを比較す
ると共に、前記送信元アドレス情報と受信許可リスト部
から供給されるアドレス情報とを比較する受信アドレス
比較部と、 受信したセルを入力すると共に、前記受信アドレス比較
部からの出力によって作動するアクセスゲート部とを備
え、 セルのヘッダ部に書き込まれた宛先アドレスが自己のア
ドレスと一致し、且つ送信元アドレス情報が受信許可リ
ストのアドレス情報と一致する場合にのみ前記アクセス
ゲート部を開き、転送されたセルを取り入れたことを特
徴とするセルのアクセス制御装置。5. Wideband ISDN using asynchronous transfer mode.
In the means, means for extracting the destination address information and the source address information written in the header part of the cell, and comparing the destination address information with the own address information, and the source address information and the reception permission list part It is provided with a reception address comparison unit that compares the address information supplied from the device and an access gate unit that inputs the received cell and that is operated by the output from the reception address comparison unit. Access to a cell characterized by opening the access gate unit and incorporating the transferred cell only when the destination address matches its own address and the source address information matches the address information of the reception permission list Control device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5050228A JPH06291776A (en) | 1993-02-05 | 1993-02-16 | Access controller for atm communication |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5-42186 | 1993-02-05 | ||
| JP4218693 | 1993-02-05 | ||
| JP5050228A JPH06291776A (en) | 1993-02-05 | 1993-02-16 | Access controller for atm communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH06291776A true JPH06291776A (en) | 1994-10-18 |
Family
ID=26381835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5050228A Pending JPH06291776A (en) | 1993-02-05 | 1993-02-16 | Access controller for atm communication |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06291776A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9900305B2 (en) | 1998-01-12 | 2018-02-20 | Soverain Ip, Llc | Internet server access control and monitoring systems |
-
1993
- 1993-02-16 JP JP5050228A patent/JPH06291776A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9900305B2 (en) | 1998-01-12 | 2018-02-20 | Soverain Ip, Llc | Internet server access control and monitoring systems |
| US9917827B2 (en) | 1998-01-12 | 2018-03-13 | Soverain Ip, Llc | Internet server access control and monitoring systems |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2155768C (en) | Methods and systems for interprocess communication and inter-network data transfer | |
| US5956337A (en) | ATM switch interface | |
| US5724348A (en) | Efficient hardware/software interface for a data switch | |
| US5271004A (en) | Asynchronous transfer mode switching arrangement providing broadcast transmission | |
| JP3077659B2 (en) | ATM cell transmission method over passive optical network, ATM communication device, optical subscriber device, and optical network device | |
| US6370138B1 (en) | ATM switch interface apparatus for frame relay network interworking | |
| JPH06291776A (en) | Access controller for atm communication | |
| US7289488B2 (en) | Method for automatically configuring a DSLAM to recognize customer premises equipment | |
| Pierson et al. | Context-agile encryption for high speed communication networks | |
| US5987007A (en) | Manipulation of header field in ATM cell | |
| US6480608B2 (en) | Method for exchanging cryptographic keys in an ATM network using multiple virtual paths or circuits | |
| US6308217B1 (en) | Signalling device and signalling method | |
| JPH10262084A (en) | Multi-address packet transfer method in lan emulation and lsi device therefor | |
| US6389020B1 (en) | Customer premise network equipment and data communication method based on single ring configuration | |
| KR100284043B1 (en) | How to perform interconnect function between frame relay and asynchronous transmission mode | |
| KR100216367B1 (en) | Message transmission control apparatus of wide-band terminal adaptor and control method therof | |
| JP3494264B2 (en) | Satellite line connection interface device | |
| JP2974492B2 (en) | Source check device | |
| US6757295B1 (en) | Method for regenerating a point-to-multipoint interface on a point-to-point interface | |
| Adam et al. | INSTITUTE OF ELECTRICAL AND ELECTRONICS ENGINEERS DRAFT TECHNOLOGY SUBMISSION WORKING DOCUMENT IEEE/WG P1520 PROGRAMMING INTERFACES FOR NETWORKS | |
| Tsai et al. | A multicasting solution for ATM video applications | |
| JP3004121B2 (en) | Multiple speed limiter | |
| JPH1093580A (en) | Data processing device control method and data processing device | |
| KR100250975B1 (en) | Broadband integrated network matching device for multiprotocol stack supporting external bus and control method | |
| KR100726313B1 (en) | Mobile communication system equipped with emergency fibish control function and control method thereof |