JP3771523B2 - ゲートウェイ装置 - Google Patents
ゲートウェイ装置 Download PDFInfo
- Publication number
- JP3771523B2 JP3771523B2 JP2002215937A JP2002215937A JP3771523B2 JP 3771523 B2 JP3771523 B2 JP 3771523B2 JP 2002215937 A JP2002215937 A JP 2002215937A JP 2002215937 A JP2002215937 A JP 2002215937A JP 3771523 B2 JP3771523 B2 JP 3771523B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- content
- virtual network
- content distribution
- distribution server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、例えばコンテンツ毎あるいはコンテンツホルダ毎に、柔軟にセキュリティ制御を行うコンテンツ配信システムのためのゲートウェイ装置に関する。
【0002】
【従来の技術】
従来技術に基づくコンテンツ配信システムを図2に示す。コンテンツ配信サーバ141〜149は、コンテンツを蓄積し、ユーザ端末からのコンテンツ配信サーバ接続要求に応答して該コンテンツを送出する。ただしコンテンツ配信サーバ141、144および147は仮想網1に属するユーザ端末のみがアクセスを許容されたコンテンツ配信サーバ、コンテンツ配信サーバ142、145および148は仮想網2に属するユーザ端末のみがアクセスを許容されたコンテンツ配信サーバ、コンテンツ配信サーバ143、146および149は仮想網3に属するユーザ端末のみがアクセスを許容されたコンテンツ配信サーバである。
【0003】
データ転送装置21〜25は、ユーザ単位、複数ユーザ単位、コンテンツ単位、複数コンテンツ単位、コンテンツホルダ単位あるいは複数コンテンツホルダ単位に形成される仮想網毎に付与された仮想網IDを管理し、コンテンツ配信サーバ接続要求を宛先のコンテンツ配信サーバに向け、該仮想網上にて転送、また、コンテンツを載せたパケットを宛先のユーザ端末に向け、該仮想網上にて転送する。図2は、ユーザ端末51および52が仮想網1に属し、ユーザ端末53が仮想網2に属し、ユーザ端末54が仮想網3に属する例であり、仮想網1の仮想網IDを1、仮想網2の仮想網IDを2、仮想網3の仮想網IDを3とする。各データ転送装置21〜25は、仮想網ID=1、2および3を管理し、ユーザ端末51および52から送出されるパケットおよびコンテンツ配信サーバ141、144および147から送出されるパケットに対し、仮想網ID=1を付与し、仮想網ID=1に従い、コンテンツ配信網11内の仮想網1上にてパケット転送を行う。同様に、各データ転送装置21〜25は、ユーザ端末53から送出されるパケットおよびコンテンツ配信サーバ142、145および148から送出されるパケットに対し、仮想網ID=2を付与し、仮想網ID=2に従い、コンテンツ配信網11内の仮想網2上にてパケット転送を行い、また、ユーザ端末54から送出されるパケットおよびコンテンツ配信サーバ143、146および149から送出されるパケットに対し、仮想網ID=3を付与し、仮想網ID=3に従い、コンテンツ配信網11内の仮想網3上にてパケット転送を行う。
【0004】
なお、実際にデータ転送装置が、ユーザ端末もしくはコンテンツ配信サーバと仮想網との対応を管理する方法は以下の通りである。仮想網1の場合、データ転送装置24は、ライン61およびライン62から到着するパケットに対し、仮想網ID=1を付与するように管理する。また、データ転送装置21、データ転送装置22、データ転送装置23は、それぞれライン71、ライン74、ライン77から到着するパケットに対し、仮想網ID=1を付与するように管理する。同様に仮想網2の場合、データ転送装置25は、ライン63から到着するパケットに対し、仮想網ID=2を付与するように管理する。また、データ転送装置21、データ転送装置22、データ転送装置23は、それぞれライン72、ライン75、ライン78から到着するパケットに対し、仮想網ID=2を付与するように管理する。同様に仮想網3の場合、データ転送装置25は、ライン64から到着するパケットに対し、仮想網ID=3を付与するように管理する。また、データ転送装置21、データ転送装置22、データ転送装置23は、それぞれライン73、ライン76、ライン79から到着するパケットに対し、仮想網ID=3を付与するように管理する。
【0005】
以上の方法によって、データ転送装置がラインと仮想網IDとの対応を管理するだけで、同じ仮想網に属するユーザ端末とコンテンツ配信サーバ間での通信のみを許容し、異仮想網間の通信は不許可とする処理が可能となり、通信のセキュリティが提供される。
【0006】
なお、ラインの実現は、物理的な伝送路でもよいし、もしくは、ATM(Asynchronous Transfer Mode)のVPI(Virtiual Path Identifier)やVCI(Virtual Channel Identifier)などの論理チャネルを用いてもよいことを追記する。
【0007】
【発明が解決しようとする課題】
前述の従来技術は、仮想網毎のセキュアなコンテンツ配信を実現するものの、以下の課題がある。データ転送装置は、各ラインと仮想網を対応づけることにより通信のセキュリティを実現しており、これによりコンテンツ配信サーバは仮想網毎に個別に設置する必要がある。すなわち、サーバの台数を増やす原因となり、サーバコストの増大を招く。
【0008】
一方、仮想網間でコンテンツ配信サーバを共用化するために、1つのコンテンツ配信サーバが複数のラインと接続し、各ラインを各仮想網と対応付けさせることは可能である。しかしこれでは、各仮想網に属するユーザ端末が該コンテンツ配信サーバに自由に接続できてしまうため、ある仮想網のユーザ端末のみが取得を許可されているコンテンツが、他仮想網のユーザ端末からも取得される恐れがあり、本来の目的である仮想網毎のセキュアなコンテンツ配信が達成できない。
【0009】
【課題を解決するための手段】
前記課題を解決するために、図1に示すようにゲートウェイ装置をデータ転送装置とコンテンツ配信サーバ間に導入する。
【0010】
ゲートウェイ装置は、コンテンツ配信サーバが蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とするユーザIDあるいは仮想網IDの管理、の各管理を行う。そしてゲートウェイ装置は、ユーザ端末から送られるコンテンツ配信サーバ接続要求パケットに付与されているコンテンツIDおよびユーザID、仮想網IDを識別し前記管理情報と照合し、コンテンツ取得許可の場合のみ該コンテンツ配信サーバにパケットを転送する処理を行う。
【0011】
また、ゲートウェイ装置は、コンテンツ取得許可された後にコンテンツ配信サーバから送られるコンテンツを載せたパケットを、コンテンツ配信サーバ接続要求を行ったユーザ端末が属する仮想網に振分ける。
【0012】
以上の手段により、仮想網間でコンテンツ配信サーバを共用化しつつ、各仮想網のユーザ端末は、該仮想網が取得許可されているコンテンツのみ取得可能となるように動作できる。すなわち、コンテンツ配信サーバのコスト削減とコンテンツ取得のセキュリティの両立を可能とする。
【0013】
なお、本ゲートウェイ装置の導入は、従来のデータ転送装置およびコンテンツ配信サーバの処理動作の変更を伴わないため、導入も容易である。
【0014】
また本発明は、前記ゲートウェイ装置の内部処理の実現手段を発明したものである。以下に本発明の手段を、図13を用い説明する。
【0015】
パケット転送処理部1002は、データ転送装置やコンテンツ配信サーバ等の外部から受信するパケットのパケットヘッダの解析を行う。パケット転送処理部1002は、パケットの解析により、ユーザIDあるいは仮想網IDを読み取ると共に、コネクション情報を読み取る。読み取ったコネクション情報の中に予め定められた特定値を有する場合、パケット転送処理部1002は、該パケットおよび、解析によって得られたユーザIDあるいは仮想網IDをコンテンツID処理部1005に転送する。コンテンツID処理部1005は、転送された特定値を有するパケットに対し、パケットヘッダ内に記述されているコンテンツIDを読み取り、コンテンツIDおよび、ユーザIDあるいは仮想網IDをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。コンテンツID管理部1006は、各ユーザIDあるいは各仮想網IDに対する、取得許可あるいは取得不許可とするコンテンツIDを管理しており、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得許可あるいはコンテンツ取得不許可のいずれかの検索結果を応答する。応答結果がコンテンツ取得許可の場合は、コンテンツID処理部1005は、該パケットを再びパケット転送処理部1002に戻し、パケット転送処理部1002は宛先に従い、該パケットを外部に転送する。一方、応答結果がコンテンツ取得不許可の場合は、コンテンツID処理部1005は該パケットを廃棄する。
【0016】
また本発明は、図14に示すように、コネクション処理部およびコネクション管理部を有する形態によっても実現される。以下に本手段を説明する。
【0017】
パケット転送処理部1002は、データ転送装置やコンテンツ配信サーバ等の外部から受信するパケットのパケットヘッダの解析を行う。パケット転送処理部1002は、パケットの解析により、ユーザIDあるいは仮想網IDを読み取ると共に、コネクション情報を読み取る。パケット転送処理部1002は、読み取ったコネクション情報をコネクション検索要求によって、コネクション管理部1003に送り、該コネクションが通信中であるか否かを検索する。コネクション管理部1003は、通信中のコネクション情報を管理しており、コネクション検索要求に対し、コネクション検索要求に対する応答として、該コネクションが通信中であるか否か(登録されているか否か)をパケット転送処理部1002に送る。
【0018】
ゲートウェイ装置1001における以後の処理手順は、外部から受信するパケットの種別および、コネクション管理部1003におけるコネクション情報の登録状態により、以下に分類される。ここでパケットの種別とは、TCPコネクション確立パケット、HTTP要求および応答パケットをはじめとするアプリケーション通信が行われるパケット、TCPコネクション切断パケットの3種類である。
【0019】
(1)コネクション管理部1003において該コネクションが登録されていない場合あるいは受信したパケットがコネクション確立パケットの場合、
パケット転送処理部1002は、該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、パケットヘッダに記載されるコネクション情報をコネクション管理部1003に設定する。該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、外部に転送される。
【0020】
(2)コネクション管理部1003において該コネクションが登録されており、受信したパケットがコネクション切断パケットの場合、
パケット転送処理部1002は、(1)と同様に該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、コネクション管理部1003が管理している該コネクションのコネクション情報を削除する。該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、外部に転送される。
【0021】
(3)コネクション管理部1003において該コネクションが登録されているが、該コネクション情報の中に予め定められた特定値を有さない場合、
パケット転送処理部1002は、宛先に従い、該パケットを外部に転送する。
【0022】
(4)コネクション管理部1003において該コネクションが登録されており、該コネクション情報の中に予め定められた特定値を有する場合、
パケット転送処理部1002は、該パケットおよび、解析によって得られたユーザIDあるいは仮想網IDをコンテンツID処理部1005に転送する。コンテンツID処理部1005は、転送された特定値を有するパケットに対し、パケットヘッダ内に記述されているコンテンツIDを読み取り、コンテンツIDおよび、ユーザIDあるいは仮想網IDをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。コンテンツID管理部1006は、各ユーザIDあるいは各仮想網IDに対する、取得許可あるいは取得不許可とするコンテンツIDを管理しており、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得許可あるいはコンテンツ取得不許可のいずれかの検索結果を応答する。応答結果がコンテンツ取得許可の場合は、コンテンツID処理部1005は、該パケットを再びパケット転送処理部1002に戻し、パケット転送処理部1002は宛先に従い、該パケットを外部に転送する。一方、応答結果がコンテンツ取得不許可の場合は、コンテンツID処理部1005は該パケットを廃棄する。
【0023】
以上の手段は、前記ゲートウェイ装置の内部処理において、以下の利点がある。
本発明は、図13の処理あるいは図14における前記(4)の処理のように、コンテンツ配信サービスをはじめとする特定用途の処理は、コンテンツID処理部1005およびコンテンツID管理部1006で行い、多くの通信アプリケーションで共通となる処理は、パケット転送処理部1002、コネクション管理部1003およびコネクション処理部1004にて行う。このような機能ブロック配置を取ることにより、共通となる処理の高速化を可能とする。また、コンテンツ配信サービス以外の通信アプリケーションを追加する場合にも、パケット転送処理部1002、コネクション管理部1003およびコネクション処理部1004は共通化できるため、サービス拡張性にも優れる。
【0024】
また本発明の図13あるいは図14のパケット転送処理部1002は、コンテンツ配信サーバから送られるコンテンツを載せたHTTP応答パケットがユーザ端末に到着あるいは未到着であることを伝えるために、ユーザ端末からコンテンツ配信サーバに向け送出されるACK(Acknowledgement)フラグの値が1を有し、TCPヘッダ以外に情報を持たないTCPパケットを受信した場合に対し、該パケットをコンテンツID処理部には転送せず、コンテンツ配信サーバに転送する手段を有する。
以上の手段は、前記ゲートウェイ装置の内部処理において、以下の利点がある。
本発明は、図13の処理あるいは図14における前記(4)の処理のように、コンテンツ配信サービスをはじめとする特定用途の処理において、ユーザ端末から送出されるコンテンツIDを有するHTTP要求パケットと前記ACKフラグの値が1を有し、TCPヘッダ以外に情報を持たないTCPパケットとを区別し、コンテンツID処理が必要なHTTP要求パケットのみをコンテンツID処理部1005に転送する。前記ACKフラグの値が1を有し、TCPヘッダ以外に情報を持たないTCPパケットの数は一般に、HTTP応答パケットの数の約2分の1から同数もあるため、前記ACKフラグの値が1を有し、TCPヘッダ以外に情報を持たないTCPパケットをコンテンツID処理部1005に転送しないことは、コンテンツID処理部1005の処理の軽減に貢献する。
【0025】
【発明の実施の形態】
以下、実施例に基づき本発明の実施の形態を詳細に説明する。
【0026】
(実施例1)
本発明の実施形態に基づくコンテンツ配信システムは図1に示す。本実施例では、コンテンツ配信サーバ41、42、43および44の実サーバIDをそれぞれ、41、42、43および44とし、ユーザ端末51、52、53および54の実ユーザIDをそれぞれ51、52、53および54とする。また、コンテンツ配信サーバ41には、A、BおよびCの3つのコンテンツが蓄積されているものとする。コンテンツA、BおよびCのコンテンツIDは、各コンテンツのURLとして定義し、それぞれのURLをwww.server41.com/server41/contentA、www.server41.com/server41/contentB、およびwww.server41.com/server41/contentC、とする。コンテンツAは仮想網1に属するユーザの端末みが接続を許可されたコンテンツ、コンテンツBは仮想網1および2に属するユーザ端末が接続を許可されたコンテンツ、コンテンツCは仮想網1、2および3に属するユーザ端末が接続を許可されたコンテンツであるものとする。
【0027】
仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を、図3を用い、以下に説明する。
【0028】
まずユーザ端末51は、宛先ID=41、送信元ID=51を記載したコンテンツ配信サーバ接続要求パケット81を送出する。データ転送装置24は、ライン61から到着するパケットに対し、仮想網ID=1を付与するように管理されており、コンテンツ配信サーバ接続要求パケット81を受信すると、該パケットに仮想網ID=1を付与し、コンテンツ配信網11内の仮想網1に該パケットを転送する。仮想網ID=1が付与されたコンテンツ配信サーバ接続要求パケット82は、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置21に到着する。
【0029】
データ転送装置21は、仮想網ID=1が付与されたパケットをライン71に、仮想網ID=2が付与されたパケットをライン72に、仮想網ID=3が付与されたパケットをライン73に転送するように管理されており、コンテンツ配信サーバ接続要求パケット82を受信すると、仮想網ID=1が付与されていることから、該パケットをライン71に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。
【0030】
ゲートウェイ装置31は、コンテンツ配信サーバ41が蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とする仮想網IDの管理を行っている。ここでは、データ転送装置が収容するラインと仮想網は1対1で対応するため、データ転送装置21は仮想網IDではなく、ラインIDで管理するものとする。すなわち、www.server41.com/server41/contentAを取得許可とするラインID=71、www.server41.com/server41/contentBを取得許可とするラインID=71および72、www.server41.com/server41/contentCを取得許可とするラインID=71、72および73、の各情報を管理する。データ転送装置21からライン71を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合する。ラインID=71はコンテンツAを取得許可されているため、ゲートウェイ装置31はコンテンツ配信サーバ接続要求パケット83をコンテンツ配信サーバ41に転送する。
【0031】
ここで、ゲートウェイ装置31が行っているコンテンツIDと取得許可とするラインIDの管理に関する代替手法として2つの手法を追記しておく。第1の手法は、コンテンツIDにURLの一部を用いる方法である。例えば、コンテンツIDを「/server41/」、「/server41/contentB」、「/server41/contentC」と定義し、ゲートウェイ装置31は、/server41/を取得許可とするラインID=71、/server41/contentBを取得許可とするID=72、/server41/contentCを取得許可とするラインID=72および73、の各関係を管理することにより、同等のコンテンツ取得セキュリティレベルを確保できる。
【0032】
また第2の手法は、ラインIDの代わりに実ユーザIDを用いて方法である。この場合、ゲートウェイ装置31は、ラインID=71の代わりに実ユーザID=51および52、ラインID=72の代わりに実ユーザID=53、ラインID=73の代わりに実ユーザID=54を管理する。
【0033】
さて、コンテンツ配信サーバ41が、コンテンツ配信サーバ接続要求パケット83を受信すると、コンテンツAを載せたコンテンツ配信パケット84をゲートウェイ装置31に向け送信する。コンテンツ配信パケット84には、宛先ID=51、送信元ID=41が記載されている。ゲートウェイ装置31は、コンテンツ配信パケット84を受信すると、該パケットをライン71に振分ける。この際の振分方法は、コンテンツ配信パケット84の宛先ID=51を読み取り、仮想網1に振分ける方法がある。また別の方法としては、ゲートウェイ装置31がコンテンツ配信サーバ接続要求パケット83を受信したときに、宛先IDや送信元ID、宛先および送信元ポート番号等のコネクション情報と、ライン71の対応を管理しておき、この管理情報に基づき、コンテンツ配信パケット84をライン71に振分ける方法もある。
【0034】
データ転送装置21は、ライン71から到着するパケットに対し、仮想網ID=1を付与するように管理されており、コンテンツ配信パケット84を受信すると、該パケットに仮想網ID=1を付与し、仮想網1に該パケットを転送する。仮想網ID=1が付与されたコンテンツ配信パケット85は、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置24に到着する。
【0035】
データ転送装置24は、仮想網ID=1が付与されたパケットをライン61あるいはライン62に転送するように管理されており、さらにパケットの宛先IDを読み取り、ライン61かライン62への振分けを判断する。したがってコンテンツ配信パケット85を受信すると、仮想網ID=1が付与されていること、宛先ID=51であることから、該パケットをライン61に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置24は仮想網IDを削除せず、付与したままにしておいてもよい。以上により、ライン61を通じて転送されるコンテンツ配信パケット86をユーザ端末51が受信することにより、ユーザ端末51はコンテンツAを取得することができる。
【0036】
次に、仮想網3に属するユーザ端末54が、コンテンツ配信サーバ41に蓄積されるコンテンツAの取得要求を試みた場合のシーケンスを、図4を用い、以下に説明する。本例は本来、取得不許可となるため、ユーザ端末54はコンテンツを取得できない例となる。
【0037】
まずユーザ端末54は、宛先ID=41、送信元ID=54を記載したコンテンツ配信サーバ接続要求パケット81を送出する。データ転送装置25は、ライン64から到着するパケットに対し、仮想網ID=3を付与するように管理されており、コンテンツ配信サーバ接続要求パケット81を受信すると、該パケットに仮想網ID=3を付与し、コンテンツ配信網11内の仮想網3に該パケットを転送する。仮想網ID=3が付与されたコンテンツ配信サーバ接続要求パケット82は、仮想網ID=3に従い、仮想網3上を転送され、データ転送装置21に到着する。
【0038】
データ転送装置21は、コンテンツ配信サーバ接続要求パケット82を受信すると、仮想網ID=3が付与されていることから、該パケットをライン73に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。
【0039】
ゲートウェイ装置31は、データ転送装置21からライン73を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合する。ラインID=73はコンテンツAの取得を許可されていないため、ゲートウェイ装置31はコンテンツ配信サーバ接続要求パケット83をコンテンツ配信サーバ41に転送せず、廃棄する。
【0040】
以上により、コンテンツAの取得を許可されていないユーザ端末54は、コンテンツAを取得することができず、セキュリティが確保される。
【0041】
本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0042】
本実施例の別の形態として、図5および図6の形態も可能である。図5および図6のいずれの形態もコンテンツの取得動作シーケンスは図3および図4に示したものと同様である。
【0043】
図1の形態は、各コンテンツ配信サーバが、1つのゲートウェイ装置に繋がっているのに対し、図5の形態は、各ゲートウェイ装置と各コンテンツ配信サーバとの間に共通網12が存在する。共通網12の存在により、例えばコンテンツ配信サーバ41に接続する場合の経路がゲートウェイ装置31〜33の3通りとなり、トラヒックの分散に寄与できる。あるいは、図5の形態は、1つのデータ転送装置を通じて、各コンテンツ配信サーバに接続できるため、1つの仮想網が接続するデータ転送装置数を少なくさせることもできる。
【0044】
図6の形態は、各ゲートウェイ装置と各データ転送装置との間に共通網13が存在する。図6の形態も図5の形態と同様に、トラヒックの分散あるいは、1つの仮想網が接続するデータ転送装置数を少なくさせることに寄与する。ただし図6の形態の場合、ゲートウェイ装置31は仮想網毎のラインを持たず、共通網13と1つのラインで接続されるため、コンテンツの取得許可に関する管理は、コンテンツIDと実ユーザIDにより行う。
【0045】
なお、図1および図5の形態の場合、ゲートウェイ装置とデータ転送装置の各機能は1つの装置に集約することに実現できることは言うまでもない。
【0046】
(実施例2)
本実施例は、実施例1において各仮想網で運用されている実ユーザIDがプライベートアドレスで運用されている例である。すなわち、仮想網間で同一の実ユーザIDが使用されている場合に対処するため、各ゲートウェイ装置は、ユーザ端末から送出されるコンテンツ配信サーバ接続要求パケットに送信元として付与されている実ユーザIDを、共通体系ユーザIDに変換および付与し直すことにより、コンテンツ配信サーバとゲートウェイ装置との間のライン上においてユーザIDの重複を回避する。なお当然ながらゲートウェイ装置は、コンテンツ配信サーバから送られるコンテンツ配信パケットに宛元として付与されている共通体系ユーザIDを、該実ユーザIDに変換および付与し直す動作も行う。
【0047】
本実施例は、上記以外の動作は実施例1と同様であるため、システム形態は図1に従う。したがって本実施例も、コンテンツ配信サーバの実サーバID、コンテンツ配信サーバにおけるコンテンツの蓄積条件、各コンテンツのコンテンツID(URL)、各コンテンツに対する各仮想網の取得許可条件、は全て実施例1と同様であるとする。ただし、ユーザ端末の実ユーザIDが、仮想網間で重複する例を考え、本実施例では図7のように、ユーザ端末51、52、53および54の実ユーザIDをそれぞれ51、52、51および51とし、実ユーザID=51が3つの仮想網1〜3で存在する例を考える。
【0048】
仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を、図8を用い、以下に説明する。ただしユーザ端末51が、宛先ID=41、送信元ID=51を記載したコンテンツ配信サーバ接続要求パケット81を送出してから、ライン71を通じてコンテンツ配信サーバ接続要求パケット82をゲートウェイ装置31に転送するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0049】
ゲートウェイ装置31は、コンテンツ配信サーバ41が蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とする仮想網IDの管理を行っている。ここでは、データ転送装置が収容するラインと仮想網は1対1で対応するため、データ転送装置21は仮想網IDではなく、ラインIDで管理するものとする。すなわち、www.server41.com/server41/contentAを取得許可とするラインID=71、www.server41.com/server41/contentBを取得許可とするラインID=71および72、www.server41.com/server41/contentCを取得許可とするラインID=71、72および73、の各情報を管理する。データ転送装置21からライン71を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合し、ラインID=71はコンテンツAを取得許可されていることを確認する。次にゲートウェイ装置31は、ユーザ端末から送出されるコンテンツ配信サーバ接続要求のパケット83の送信元IDを実ユーザID=51から、共通体系ユーザIDに変換する。共通体系ユーザIDは、コンテンツ配信サーバとゲートウェイ装置との間のラインで一義に定まるユーザIDであり、これによって例えばコンテンツ配信サーバ41とゲートウェイ装置31との間のラインにおいて、ユーザ端末51、53および54からの各コンテンツ配信サーバ接続要求パケットの送信元IDをそれぞれ異なる値に変換させることにより、各コンテンツ配信サーバ接続要求パケットの送信元端末を正しく認識することができる。本実施例では、実ユーザIDから共通体系ユーザIDに変換する方法として、仮想網毎に共通体系ユーザIDの使用可能な範囲を定めることにし、仮想網1に対して共通体系ユーザIDは151〜160、仮想網2に対して共通体系ユーザIDは251〜260、仮想網3に対して共通体系ユーザIDは351〜360と定める。実ユーザIDと共通体系ユーザIDとの値の対応は、固定的に付与しても動的に付与してもどちらでもよい。本例では、コンテンツ配信サーバ接続要求のパケット83の送信元IDは51から151に変換されるものとする。そしてゲートウェイ装置31は、送信元IDを共通体系ユーザID=151に変換したコンテンツ配信サーバ接続要求パケット87をコンテンツ配信サーバ41に転送する。
【0050】
コンテンツ配信サーバ41が、コンテンツ配信サーバ接続要求パケット87を受信すると、コンテンツAを載せたコンテンツ配信パケット88をゲートウェイ装置31に向け送信する。コンテンツ配信パケット88には、宛先ID=151、送信元ID=41が記載されている。
【0051】
ゲートウェイ装置31は、コンテンツ配信パケット88を受信すると、その宛元として付与されている共通体系ユーザID=151を、実ユーザID=51に変換し、該パケットをライン71に振分ける。この際の振分方法は、実施例1と同様の方法があることを追記する。
【0052】
この後の処理、すなわち、データ転送装置21がコンテンツ配信パケット84を受信してから、ユーザ端末51にコンテンツ配信パケット86が到着するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0053】
なお、取得が許可されていない仮想網に属するユーザ端末からのコンテンツ配信サーバ接続要求パケットに対する処理動作は実施例1と同様である。また、実施例1で述べたことと同様に、図5および図6の形態に対しても、本実施例で示した動作が適用できる。
【0054】
また、本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0055】
(実施例3)
本実施例は、実施例1において各ゲートウェイ装置が各コンテンツ配信サーバに対応する仮想サーバIDを有し、各ユーザ端末はコンテンツ配信サーバ接続要求パケットの宛先アドレスとして仮想サーバIDを付与する例である。具体的な仮想サーバIDの付与法は、図9を用いながら以下に説明する。図9は、図1におけるゲートウェイ装置31〜33のみを取り上げた図である。図9において、ゲートウェイ装置31はコンテンツ配信サーバ41の仮想サーバIDとして、仮想網1に対し仮想サーバID=141、仮想網2に対し仮想サーバID=241、仮想網3に対し仮想サーバID=341を有する。同様にゲートウェイ装置33も、コンテンツ配信サーバ44の仮想サーバIDとして、仮想網1に対し仮想サーバID=144、仮想網2に対し仮想サーバID=244、仮想網3に対し仮想サーバID=344を有する。
【0056】
また、ゲートウェイ装置32についてはコンテンツ配信サーバ42および43の2台を収容するため、主に2つの仮想サーバIDの付与方法がある。第1の方法は図9に示すように、仮想網1に対し、コンテンツ配信サーバ42用仮想サーバID=142、コンテンツ配信サーバ43用仮想サーバID=143、仮想網2に対し、コンテンツ配信サーバ42用仮想サーバID=242、コンテンツ配信サーバ43用仮想サーバID=243、仮想網3に対し、コンテンツ配信サーバ42用仮想サーバID=342、コンテンツ配信サーバ43用仮想サーバID=343、を有する。第2の方法は図10に示すように、コンテンツ配信サーバ42および43に共通な仮想サーバIDを付与する、すなわち仮想網1に対し、コンテンツ配信サーバ42および43共通の仮想サーバID=91、仮想網2に対し、コンテンツ配信サーバ42および43共通の仮想サーバID=92、仮想網3に対し、コンテンツ配信サーバ42および43共通の仮想サーバID=93、を有する。第2の方法はサーバの負荷分散に利用でき、ゲートウェイ装置32は、コンテンツ配信サーバ42、43のうち情報トラヒック量あるいは処理負荷量の小さいコンテンツ配信サーバの実サーバIDと仮想サーバIDを変換する。この方法は、ゲートウェイ装置が収容するコンテンツ配信サーバ数にかかわらず、ユーザ端末に仮想サーバIDを1つだけ見せることにより、ユーザ端末が意識することなく、最も負荷の少ないコンテンツ配信サーバからコンテンツを送信することができる。
【0057】
以下、本実施例として、仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を図1および図11を用いて説明する。
【0058】
本実施例も、コンテンツ配信サーバの実サーバID、コンテンツ配信サーバにおけるコンテンツの蓄積条件、各コンテンツのコンテンツID(URL)、各コンテンツに対する各仮想網の取得許可条件、は全て実施例1と同様であるとする。
【0059】
ユーザ端末51が、宛先ID=141、送信元ID=51を記載したコンテンツ配信サーバ接続要求パケット81を送出する。以後、ライン71を通じてコンテンツ配信サーバ接続要求パケット83をゲートウェイ装置31に転送するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0060】
ゲートウェイ装置31は、コンテンツ配信サーバ41が蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とする仮想網IDの管理を行っている。ここでは、データ転送装置が収容するラインと仮想網は1対1で対応するため、データ転送装置21は仮想網IDではなく、ラインIDで管理するものとする。すなわち、www.server41.com/server41/contentAを取得許可とするラインID=71、www.server41.com/server41/contentBを取得許可とするラインID=71および72、www.server41.com/server41/contentCを取得許可とするラインID=71、72および73、の各情報を管理する。また、ゲートウェイ装置31は、コンテンツ配信サーバ41の実サーバIDと仮想網毎の仮想サーバIDとの対応を管理している。
【0061】
データ転送装置21からライン71を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合し、ラインID=71はコンテンツAを取得許可されていることを確認する。次にゲートウェイ装置31は、ユーザ端末から送出されるコンテンツ配信サーバ接続要求のパケット83の宛先IDを141から、実サーバID=41に変換し、該パケット87をコンテンツ配信サーバ41に転送する。
【0062】
コンテンツ配信サーバ41が、コンテンツ配信サーバ接続要求パケット87を受信すると、コンテンツAを載せたコンテンツ配信パケット88をゲートウェイ装置31に向け送信する。コンテンツ配信パケット88には、宛先ID=51、送信元ID=41が記載されている。
【0063】
ゲートウェイ装置31は、コンテンツ配信パケット88を受信すると、その送信元として付与されている実サーバID=41を、仮想サーバID=141に変換し、該パケットをライン71に振分ける。この際の振分方法は、実施例1と同様の方法があることを追記する。
【0064】
この後の処理、すなわち、データ転送装置21がコンテンツ配信パケット84を受信してから、ユーザ端末51はコンテンツ配信パケット86が到着するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0065】
なお、取得が許可されていない仮想網に属するユーザ端末からのコンテンツ配信サーバ接続要求パケットに対する処理動作は実施例1と同様である。また、実施例1で述べたことと同様に、図5および図6の形態に対しても、本実施例で示した動作が適用できる。
【0066】
また、本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0067】
さらに、実施例2で示した実ユーザIDと共通体系ユーザIDの変換処理と、本実施例である実サーバIDと仮想サーバIDの変換処理を組合せた形態にも応用できることを追記する。
【0068】
(実施例4)
本実施例は、実施例1から3で示された動作において、多数のコンテンツ配信サーバ接続要求が発生した際に備え、接続可能な最大数を設け、最大数を超過した場合にコンテンツ配信サーバ接続要求を拒否する動作例である。高負荷による品質劣化の回避や各論理網からのコンテンツ配信サーバ接続要求数の公平性を提供するために必要な機能である。
【0069】
本実施例も、コンテンツ配信サーバの実サーバID、ユーザ端末の実ユーザID、コンテンツ配信サーバにおけるコンテンツの蓄積条件、各コンテンツのコンテンツID(URL)、各コンテンツに対する各仮想網の取得許可条件、は全て実施例1と同様であるとする。
【0070】
ゲートウェイ装置31は、コンテンツ配信サーバ41に蓄積されるコンテンツCに対し、仮想網1からの最大許容接続数を5、仮想網2からの最大許容接続数を10、仮想網3からの最大許容接続数を15に設定されている。今、仮想網1からのコンテンツ配信サーバ接続要求数が5に達しているとき、ユーザ端末51がコンテンツCを取得する動作を行った場合の動作を、図12を用い、以下説明する。
【0071】
ただしユーザ端末51が、宛先ID=41、送信元ID=51を記載したコンテンツ配信サーバ接続要求パケット81を送出してから、ライン71を通じてコンテンツ配信サーバ接続要求パケット83をゲートウェイ装置31に転送するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0072】
ゲートウェイ装置31は、コンテンツ配信サーバ41が蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とする仮想網IDの管理を行っている。ここでは、データ転送装置が収容するラインと仮想網は1対1で対応するため、データ転送装置21は仮想網IDではなく、ラインIDで管理するものとする。すなわち、www.server41.com/server41/contentAを取得許可とするラインID=71、www.server41.com/server41/contentBを取得許可とするラインID=71および72、www.server41.com/server41/contentCを取得許可とするラインID=71、72および73、の各情報を管理する。データ転送装置21からライン71を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合し、ラインID=71はコンテンツCを取得許可されていることを確認する。次ぎにゲートウェイ装置31は、コンテンツCに対し、仮想網1からの現在のコンテンツ配信サーバ接続要求数と最大許容接続数を比較する。現在の仮想網1からのコンテンツ配信サーバ接続要求数が5に達しているため、ゲートウェイ装置31はユーザ端末51からのコンテンツ配信サーバ接続要求パケット83を廃棄する。
【0073】
(実施例5)
本実施例では図1において、コンテンツ配信サーバ41、42、43および44のサーバIDをそれぞれ、41、42、43および44とし、ユーザ端末51、52、53および54のユーザIDをそれぞれ51、52、53および54とする。また、コンテンツ配信サーバ41には、A、BおよびCの3つのコンテンツが蓄積されているものとする。コンテンツA、BおよびCのコンテンツIDは、各コンテンツのURLとして定義し、それぞれのURLをwww.server41.com/server41/contentA、www.server41.com/server41/contentB、およびwww.server41.com/server41/contentC、とする。コンテンツAは仮想網1に属するユーザの端末のみが接続を許可されたコンテンツ、コンテンツBは仮想網1および2に属するユーザ端末が接続を許可されたコンテンツ、コンテンツCは仮想網1、2および3に属するユーザ端末が接続を許可されたコンテンツであるものとする。本実施例では、仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を、図1、図13、図15および図16を用い、以下に説明する。
【0074】
コンテンツ配信を行う場合、IPの上位にTCP(TransmissionControl Protocol)、さらにその上位にHTTP(Hypertext Transfer Protocol)を用いる。図15は、IP(Internet Protocol)通信におけるコンテンツ配信の一般的な通信シーケンスを示しており、大別してTCPコネクション確立、HTTP要求および応答、TCPコネクション切断の3フェーズから成る。まず、TCPのコネクション確立パケットとして、ユーザ端末51からのSYNフラグを有するパケット、コンテンツ配信サーバ41からのSYNおよびACKフラグを有するパケット、ユーザ端末51からのACKフラグを有するパケットの計3パケットがやりとりされる。TCPコネクション確立後、ユーザ端末51はコンテンツ取得要求パケットとして、要求コンテンツのURLが記載されたHTTP要求パケットを送出し、一方、コンテンツ配信サーバ41はその応答であるコンテンツ配信パケットとして、HTTP応答パケットを送出する。なお、1つのTCPコネクション上において、複数組のHTTP要求パケットおよびHTTP応答パケットが転送されることも可能である。目的コンテンツの取得が終了すると、ユーザ端末51およびコンテンツ配信サーバ41はそれぞれ、FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットを送出し、TCPコネクションが切断される。
【0075】
このようなコンテンツ配信の通信シーケンスに対し、図1および図13のゲートウェイ装置31(1001)は、以下に示す処理を行うことにより、仮想網毎に取得許可されているコンテンツのみ、コンテンツ配信サーバから取得可能となるように動作できる。
【0076】
データ転送装置24は、ライン61から到着するパケットに対し、仮想網ID=1を付与するように管理されており、ユーザ端末51からのSYNフラグを有するパケットを受信すると、該パケットに仮想網ID=1を付与し、コンテンツ配信網11内の仮想網1に該パケットを転送する。仮想網ID=1が付与された前記SYNフラグを有するパケットは、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置21に到着する。
【0077】
データ転送装置21は、仮想網ID=1が付与されたパケットをライン71に、仮想網ID=2が付与されたパケットをライン72に、仮想網ID=3が付与されたパケットをライン73に転送するように管理されており、前記SYNフラグを有するパケットを受信すると、仮想網ID=1が付与されていることから、該パケットをライン71に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。ラインの実現は、物理的な伝送路でもよいし、もしくは、ATM(Asynchronous Transfer Mode)のVPI(Virtual Path Identifier)やVCI(Virtual Channel Identifier)などの論理チャネルを用いてもよい。本実施例では、ATMのVCIにより実現され、ライン71、72および73はそれぞれ、VCI=71、72および73により区別されるものとする。
【0078】
ゲートウェイ装置1001は、パケットがどのVCIからのものであるかを識別する。ゲートウェイ装置1001は、データ転送装置21から前記SYNフラグを有するパケットを受信すると、パケット転送処理部1002において、そのパケットヘッダの解析を行う。パケット転送処理部1002は、パケットの解析により、仮想網IDであるVCIを読み取ると共に、コネクション情報、パケット種別を読み取る。コネクション情報とは、パケットの送信元アドレスであるユーザID、宛先アドレスであるサーバID、送信元および宛先ポート番号である。また、パケット種別とは、TCPコネクション確立パケット、HTTP要求および応答パケットをはじめとするアプリケーション通信が行われるパケット、TCPコネクション切断パケットの3種類である。
【0079】
パケット転送処理部1002は、該パケットがTCPコネクション確立パケットであることから、該パケットをその宛先に従い、コンテンツ配信サーバ41に転送する。
【0080】
コンテンツ配信サーバ41は、パケットの送信元アドレスとしてサーバID=41、宛先アドレスとしてユーザID=51が付与されたSYNおよびACKフラグを有するパケットを送出する。セキュリティ保証型ゲートウェイ装置1001のパケット転送処理部1002は、SYNおよびACKフラグを有するパケットを受信すると、ヘッダ解析によりパケット種別がTCPコネクション確立パケットであることを知り、前記と同様に該パケットをその宛先に従い、VCI=71に振分ける。
【0081】
データ転送装置21は、VCI=71から到着するパケットに対し、仮想網ID=1を付与するように管理されており、前記SYNおよびACKフラグを有するパケットを受信すると、該パケットに仮想網ID=1を付与し、仮想網1に該パケットを転送する。仮想網ID=1が付与された前記SYNおよびACKフラグを有するパケットは、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置24に到着する。
【0082】
データ転送装置24は、仮想網ID=1が付与されたパケットをライン61あるいはライン62に転送するように管理されており、さらにパケットの宛先識別子を読み取り、ライン61かライン62への振分けを判断する。したがって前記SYNおよびACKフラグを有するパケットを受信すると、仮想網ID=1が付与されていること、宛先識別子=51であることから、該パケットをライン61に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置24は仮想網IDを削除せず、付与したままにしておいてもよい。以上により、前記SYNおよびACKフラグを有するパケットはユーザ端末51に転送される。
【0083】
次にユーザ端末51は、パケットの送信元アドレスとしてユーザID=51、宛先アドレスとしてサーバID=41が付与されたACKフラグを有するパケットを送出する。以後、該パケットがデータ転送装置24からゲートウェイ装置1001まで転送されるまでの動作は、前記SYNフラグを有するパケットを処理する動作と同様である。また、ゲートウェイ装置1001内におけるACKフラグを有するパケットの処理動作は、前記SYNおよびACKフラグを有するパケットを処理する動作と同様である。
【0084】
以上の手順により、ゲートウェイ装置1001におけるTCPコネクション確立の処理が終了する。
【0085】
次に、ユーザ端末51は、宛先識別子=41、送信元識別子=51を記載したコンテンツ取得要求パケット81を送出する。以後、ユーザ端末51がコンテンツ配信パケット86を受信するまでの処理は図16を用い、説明する。なお、コンテンツ取得要求パケット81がデータ転送装置24からゲートウェイ装置1001に転送されるまでの動作は、前記SYNフラグを有するパケットを処理する動作と同様である。
【0086】
ゲートウェイ装置1001のパケット転送処理部1002はコンテンツ取得要求パケット83を受信すると、パケットヘッダの解析を行う。パケットヘッダのコネクション情報の中に予め定められた特定値として、宛先ポート番号=80を有することを確認すると、パケット転送処理部1002は、該パケットおよび、解析によって得られたVCI=71をコンテンツID処理部1005に転送する。
【0087】
コンテンツID処理部1005は、コンテンツ取得要求パケット83に対し、パケットヘッダ内に記述されているURLを読み取り、URLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。
【0088】
コンテンツID管理部1006は、各VCIに対する、取得許可あるいは取得不許可とするURLを管理している。すなわち、VCI=71に対し、www.server41.com/server41/contentA、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、VCI=72に対し、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、VCI=73に対し、www.server41.com/server41/contentCを取得許可とする管理を行う。
【0089】
URL「www.server41.com/server41/contentA」はVCI=71に対し取得許可であるため、コンテンツID管理部1006は、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得許可であることを伝える。応答結果がコンテンツ取得許可であるため、コンテンツID処理部1005は、該パケットを再びパケット転送処理部1002に戻し、パケット転送処理部1002は宛先に従い、該パケットをコンテンツ配信サーバ41に転送する。
【0090】
ここで、コンテンツID処理部1005がURLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う手法の代替手法として、VCIの代わりにユーザIDを用いる方法がある。これに伴い、コンテンツID管理部1006は、ユーザID=51および52に対し、www.server41.com/server41/contentA、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、ユーザID=53に対し、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、ユーザID=54に対し、www.server41.com/server41/contentCを取得許可とする管理を行う。
【0091】
さて、コンテンツ配信サーバ41が、コンテンツ取得要求パケット83を受信すると、コンテンツAを載せたコンテンツ配信パケット84をゲートウェイ装置1001に向け送信する。コンテンツ配信パケット84には、送信元アドレスとしてサーバID=41、宛先アドレスとしてユーザID=51が記載されている。
【0092】
パケット転送処理部1002はコンテンツ配信パケット84を受信すると、ヘッダ解析を行う。コンテンツ配信パケットの送信元ポート番号および宛先ポート番号は、コンテンツ取得要求パケットの送信元ポート番号および宛先ポート番号と入れ替えたかたちになっており、コンテンツ配信パケットの送信元ポート番号が80になる。コンテンツ配信パケット84の宛先ポート番号は80でないため、パケット転送処理部1002は該パケットをコンテンツID処理部1005には転送せず、直接、その宛先に従い、VCI=71に振分ける。
【0093】
以後の動作、すなわち、データ転送装置21がVCI=71から到着するコンテンツ配信パケット84を受信してから、コンテンツ配信パケット86をユーザ端末51が受信するまでの動作は、前記SYNおよびACKフラグを有するパケットを処理する動作と同様である。
【0094】
以上の一連の処理により、ユーザ端末51はコンテンツAを取得することができる。なお、図15に示すように、同一のTCPコネクション上にて引き続きHTTP要求パケットおよびHTTP応答パケットのやりとりを行う場合も、前述の処理手順に従う。
【0095】
さて、目的コンテンツの取得が終了すると、図15に示すようにユーザ端末51およびコンテンツ配信サーバ41はそれぞれ、FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットを送出し、TCPコネクションが切断される。これらのパケットに対する処理動作は、TCPコネクション確立パケットの処理動作と同じである。
【0096】
次に、仮想網3に属するユーザ端末54が、コンテンツ配信サーバ41に蓄積されるコンテンツAの取得要求を試みた場合のシーケンスを、図17を用い、以下に説明する。本例は本来、取得不許可となるため、ユーザ端末54はコンテンツを取得できない例となる。なお、TCPコネクション確立パケットの処理は前述と同様であるため、ここでは説明を省略し、HTTP要求パケットに関する処理を説明する。
【0097】
まずユーザ端末54は、宛先識別子=41、送信元識別子=54を記載したコンテンツ取得要求パケット81を送出する。
【0098】
データ転送装置25は、ライン64から到着するパケットに対し、仮想網ID=3を付与するように管理されており、コンテンツ取得要求パケット81を受信すると、該パケットに仮想網ID=3を付与し、コンテンツ配信網11内の仮想網3に該パケットを転送する。仮想網ID=3が付与されたコンテンツ取得要求パケット82は、仮想網ID=3に従い、仮想網3上を転送され、データ転送装置21に到着する。
【0099】
データ転送装置21は、コンテンツ取得要求パケット82を受信すると、仮想網ID=3が付与されていることから、該パケットをVCI=73に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。
【0100】
データ転送装置21からVCI=73を通じて転送されたコンテンツ取得要求パケット83を受信すると、ゲートウェイ装置1001のパケット転送処理部1002は、パケットヘッダの解析を行う。パケットヘッダのコネクション情報の中に予め定められた特定値として、宛先ポート番号=80を有することを確認すると、パケット転送処理部1002は、該パケットおよび、解析によって得られたVCI=71をコンテンツID処理部1005に転送する。
【0101】
コンテンツID処理部1005は、コンテンツ取得要求パケット83に対し、パケットヘッダ内に記述されているURLを読み取り、URLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。
【0102】
URL「www.server41.com/server41/contentA」はVCI=73に対し取得不許可であるため、コンテンツID管理部1006は、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得不許可であることを伝える。応答結果がコンテンツ取得不許可であるため、コンテンツID処理部1005は、コンテンツ取得要求パケット83をコンテンツ配信サーバ41に転送せず、廃棄する。
【0103】
以上により、コンテンツAの取得を許可されていないユーザ端末54は、コンテンツAを取得することができず、セキュリティが確保される。
【0104】
本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0105】
本実施例の別の形態として、図5および図6の形態も可能である。図5および図6のいずれの形態もコンテンツの取得動作シーケンスは図16および図17に示したものと同様である。
【0106】
図1の形態は、各コンテンツ配信サーバが、1つのゲートウェイ装置に繋がっているのに対し、図5の形態は、各ゲートウェイ装置と各コンテンツ配信サーバとの間に共通網12が存在する。共通網12の存在により、例えばコンテンツ配信サーバ41に接続する場合の経路がゲートウェイ装置31〜33の3通りとなり、トラヒックの分散に寄与できる。あるいは、図5の形態は、1つのデータ転送装置を通じて、各コンテンツ配信サーバに接続できるため、1つの仮想網が接続するデータ転送装置数を少なくさせることもできる。
【0107】
図6の形態は、各ゲートウェイ装置と各データ転送装置との間に共通網13が存在する。図6の形態も図5の形態と同様に、トラヒックの分散あるいは、1つの仮想網が接続するデータ転送装置数を少なくさせることに寄与する。ただし図6の形態の場合、ゲートウェイ装置31は仮想網毎のラインを持たず、共通網13と1つのラインで接続されるため、コンテンツの取得許可に関する管理は、コンテンツIDとユーザIDにより行う。
【0108】
なお、図1および図5の形態の場合、ゲートウェイ装置とデータ転送装置の各機能は1つの装置に集約することに実現できることは言うまでもない。
【0109】
(実施例6)
本実施例では図1において、コンテンツ配信サーバ41、42、43および44のサーバIDをそれぞれ、41、42、43および44とし、ユーザ端末51、52、53および54のユーザIDをそれぞれ51、52、53および54とする。また、コンテンツ配信サーバ41には、A、BおよびCの3つのコンテンツが蓄積されているものとする。コンテンツA、BおよびCのコンテンツIDは、各コンテンツのURLとして定義し、それぞれのURLをwww.server41.com/server41/contentA、www.server41.com/server41/contentB、およびwww.server41.com/server41/contentC、とする。コンテンツAは仮想網1に属するユーザの端末のみが接続を許可されたコンテンツ、コンテンツBは仮想網1および2に属するユーザ端末が接続を許可されたコンテンツ、コンテンツCは仮想網1、2および3に属するユーザ端末が接続を許可されたコンテンツであるものとする。本実施例では、仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を、図1、図14、図15および図16を用い、以下に説明する。
【0110】
コンテンツ配信を行う場合、IPの上位にTCP(TransmissionControl Protocol)、さらにその上位にHTTP(Hypertext Transfer Protocol)を用いる。図15は、IP(Internet Protocol)通信におけるコンテンツ配信の一般的な通信シーケンスを示しており、大別してTCPコネクション確立、HTTP要求および応答、TCPコネクション切断の3フェーズから成る。まず、TCPのコネクション確立パケットとして、ユーザ端末51からのSYNフラグを有するパケット、コンテンツ配信サーバ41からのSYNおよびACKフラグを有するパケット、ユーザ端末51からのACKフラグを有するパケットの計3パケットがやりとりされる。TCPコネクション確立後、ユーザ端末51はコンテンツ取得要求パケットとして、要求コンテンツのURLが記載されたHTTP要求パケットを送出し、一方、コンテンツ配信サーバ41はその応答であるコンテンツ配信パケットとして、HTTP応答パケットを送出する。なお、1つのTCPコネクション上において、複数組のHTTP要求パケットおよびHTTP応答パケットが転送されることも可能である。目的コンテンツの取得が終了すると、ユーザ端末51およびコンテンツ配信サーバ41はそれぞれ、FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットを送出し、TCPコネクションが切断される。
【0111】
このようなコンテンツ配信の通信シーケンスに対し、図1および図14のゲートウェイ装置31(1001)は、以下に示す処理を行うことにより、仮想網毎に取得許可されているコンテンツのみ、コンテンツ配信サーバから取得可能となるように動作できる。
【0112】
データ転送装置24は、ライン61から到着するパケットに対し、仮想網ID=1を付与するように管理されており、ユーザ端末51からのSYNフラグを有するパケットを受信すると、該パケットに仮想網ID=1を付与し、コンテンツ配信網11内の仮想網1に該パケットを転送する。仮想網ID=1が付与された前記SYNフラグを有するパケットは、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置21に到着する。
【0113】
データ転送装置21は、仮想網ID=1が付与されたパケットをライン71に、仮想網ID=2が付与されたパケットをライン72に、仮想網ID=3が付与されたパケットをライン73に転送するように管理されており、前記SYNフラグを有するパケットを受信すると、仮想網ID=1が付与されていることから、該パケットをライン71に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。ラインの実現は、物理的な伝送路でもよいし、もしくは、ATM(Asynchronous Transfer Mode)のVPI(Virtual Path 識別子)やVCI(Virtual Channel 識別子)などの論理チャネルを用いてもよい。本実施例では、ATMのVCIにより実現され、ライン71、72および73はそれぞれ、VCI=71、72および73により区別されるものとする。
【0114】
ゲートウェイ装置1001は、パケットがどのVCIからのものであるかを識別する。ゲートウェイ装置1001は、データ転送装置21から前記SYNフラグを有するパケットを受信すると、パケット転送処理部1002において、そのパケットヘッダの解析を行う。パケット転送処理部1002は、パケットの解析により、仮想網IDであるVCIを読み取ると共に、コネクション情報、パケット種別を読み取る。コネクション情報は、パケットの送信元アドレスであるユーザID、宛先アドレスであるサーバID、送信元および宛先ポート番号である。また、パケット種別とは、TCPコネクション確立パケット、HTTP要求および応答パケットをはじめとするアプリケーション通信が行われるパケット、TCPコネクション切断パケットの3種類である。
【0115】
パケット転送処理部1002は、読み取ったコネクション情報をコネクション検索要求によって、コネクション管理部1003に送り、該コネクションが通信中であるか否かを検索する。コネクション管理部1003は、通信中のコネクション情報を管理しており、コネクション検索要求に対し、コネクション検索要求に対する応答として、該コネクションが通信中であるか否か(登録されているか否か)をパケット転送処理部1002に送る。前記SYNフラグを有するパケットを受信した段階では当然ながら、コネクション情報は登録されていないため、コネクション管理部1003は該コネクションが未登録であることをパケット転送処理部1002に通知する。
【0116】
前記通知を受けるとパケット転送処理部1002は、該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、パケットヘッダに記載されるコネクション情報をコネクション管理部1003に設定する。該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、コンテンツ配信サーバ41に転送される。
【0117】
コンテンツ配信サーバ41は、パケットの送信元アドレスとしてサーバID=41、宛先アドレスとしてユーザID=51が付与されたSYNおよびACKフラグを有するパケットを送出する。セキュリティ保証型コンテンツ配信装置1001のパケット転送処理部1002は、SYNおよびACKフラグを有するパケットを受信すると、前記ヘッダ解析によりパケット種別がTCPコネクション確立パケットであることを知り、該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、既にコネクション管理部1003に設定したコネクション情報と照合する。ここで既に設定したコネクション情報と照合する理由は、最初に受信したユーザ端末51からのSYNフラグを有するパケットの次ぎに、コンテンツ配信サーバ41からのSYNおよびACKフラグを有するパケット、さらにこの後にユーザ端末51から送出されるACKフラグを有するパケットがやりとりされているかを確認するために行う。上記3つのパケットのやりとりが確認されて、コネクション管理部1003に設定されたコネクション情報は本登録されたことになる。
【0118】
照合確認がとれると、該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、VCI=71に振分けられる。
【0119】
データ転送装置21は、VCI=71から到着するパケットに対し、仮想網ID=1を付与するように管理されており、前記SYNおよびACKフラグを有するパケットを受信すると、該パケットに仮想網ID=1を付与し、仮想網1に該パケットを転送する。仮想網ID=1が付与された前記SYNおよびACKフラグを有するパケットは、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置24に到着する。
【0120】
データ転送装置24は、仮想網ID=1が付与されたパケットをライン61あるいはライン62に転送するように管理されており、さらにパケットの宛先識別子を読み取り、ライン61かライン62への振分けを判断する。したがって前記SYNおよびACKフラグを有するパケットを受信すると、仮想網ID=1が付与されていること、宛先識別子=51であることから、該パケットをライン61に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置24は仮想網IDを削除せず、付与したままにしておいてもよい。以上により、前記SYNおよびACKフラグを有するパケットはユーザ端末51に転送される。
【0121】
次にユーザ端末51は、パケットの送信元アドレスとしてユーザID=51、宛先アドレスとしてサーバID=41が付与されたACKフラグを有するパケットを送出する。以後、該パケットがデータ転送装置24からゲートウェイ装置1001まで転送されるまでの動作は、前記SYNフラグを有するパケットを処理する動作と同様である。また、ゲートウェイ装置1001内におけるACKフラグを有するパケットの処理動作は、前記SYNおよびACKフラグを有するパケットを処理する動作と同様である。
【0122】
以上の手順により、ゲートウェイ装置1001におけるTCPコネクション確立の処理が終了する。ここで、TCPコネクション確立パケットがパケット転送処理部1002だけで処理せず、コネクション処理部1004に転送され、また、コネクション管理部1003にてコネクション情報を管理する方法が有効な利用として、アプリケーションに依存せず、サーバ単位で各仮想網のユーザ端末の接続条件を規定する方法があげられる。この場合、パケット転送処理部1002あるいはコネクション処理部1004は、今までに述べた処理に加え、各仮想網の接続可能サーバのサーバIDを管理することにより実現する。
【0123】
次に、ユーザ端末51は、宛先識別子=41、送信元識別子=51を記載したコンテンツ取得要求パケット81を送出する。以後、ユーザ端末51がコンテンツ配信パケット86を受信するまでの処理は図16を用い、説明する。なお、コンテンツ取得要求パケット81がデータ転送装置24からゲートウェイ装置1001に転送されるまでの動作は、前記SYNフラグを有するパケットを処理する動作と同様である。
【0124】
ゲートウェイ装置1001のパケット転送処理部1002はコンテンツ取得要求パケット83を受信すると、コネクション管理部1003に対しコネクション検索要求を行う。その応答を通じて該コネクションが登録されていること、さらに、パケットヘッダのコネクション情報の中に予め定められた特定値として、宛先ポート番号=80を有することを確認すると、パケット転送処理部1002は、該パケットおよび、解析によって得られたVCI=71をコンテンツID処理部1005に転送する。
【0125】
コンテンツID処理部1005は、コンテンツ取得要求パケット83に対し、パケットヘッダ内に記述されているURLを読み取り、URLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。
【0126】
コンテンツID管理部1006は、各VCIに対する、取得許可あるいは取得不許可とするURLを管理している。すなわち、VCI=71に対し、www.server41.com/server41/contentA、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、VCI=72に対し、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、VCI=73に対し、www.server41.com/server41/contentCを取得許可とする管理を行う。
【0127】
URL「www.server41.com/server41/contentA」はVCI=71に対し取得許可であるため、コンテンツID管理部1006は、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得許可であることを伝える。応答結果がコンテンツ取得許可であるため、コンテンツID処理部1005は、該パケットを再びパケット転送処理部1002に戻し、パケット転送処理部1002は宛先に従い、該パケットをコンテンツ配信サーバ41に転送する。
【0128】
ここで、コンテンツID処理部1005がURLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う手法の代替手法として、VCIの代わりにユーザIDを用いる方法がある。これに伴い、コンテンツID管理部1006は、ユーザID=51および52に対し、www.server41.com/server41/contentA、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、ユーザID=53に対し、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、ユーザID=54に対し、www.server41.com/server41/contentCを取得許可とする管理を行う。
【0129】
さて、コンテンツ配信サーバ41が、コンテンツ取得要求パケット83を受信すると、コンテンツAを載せたコンテンツ配信パケット84をゲートウェイ装置1001に向け送信する。コンテンツ配信パケット84には、送信元アドレスとしてサーバID=41、宛先アドレスとしてユーザID=51が記載されている。
【0130】
パケット転送処理部1002はコンテンツ配信パケット84を受信すると、ヘッダ解析を行い、読み取ったコネクション情報をコネクション検索要求によって、コネクション管理部1003に送り、該コネクションが通信中であるか否かを検索する。該コネクションは既に登録されているため、コネクション管理部1003は、コネクション検索要求に対する応答として、該コネクションが通信中であることをパケット転送処理部1002に伝える。
【0131】
該コネクションが通信中であることを確認すると、パケット転送処理部1002は該パケットをその宛先に従い、VCI=71に振分ける。
【0132】
以後の動作、すなわち、データ転送装置21がVCI=71から到着するコンテンツ配信パケット84を受信してから、コンテンツ配信パケット86をユーザ端末51が受信するまでの動作は、前記SYNおよびACKフラグを有するパケットを処理する動作と同様である。
【0133】
以上の一連の処理により、ユーザ端末51はコンテンツAを取得することができる。なお、図15に示すように、同一のTCPコネクション上にて引き続きHTTP要求パケットおよびHTTP応答パケットのやりとりを行う場合も、前述の処理手順に従う。
【0134】
さて、目的コンテンツの取得が終了すると、図15に示すようにユーザ端末51およびコンテンツ配信サーバ41はそれぞれ、FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットを送出し、TCPコネクションが切断される。
【0135】
FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットがユーザ端末51からゲートウェイ装置1001まで転送される動作、およびFINおよびACKフラグを有するパケット、およびACKフラグを有するパケットがコンテンツ配信サーバ41からゲートウェイ装置1001まで転送される動作は、今までに述べた動作と同じであるため、これらの説明は省略し、ゲートウェイ装置1001の内部処理のみを以下に説明する。
【0136】
パケット転送処理部1002は、FINおよびACKフラグを有するパケットを受信すると、ヘッダ解析を行い、パケット種別がTCPコネクション切断パケットであることを知り、該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、コネクション管理部1003が管理している該コネクションのコネクション情報を削除する。該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、コンテンツ配信サーバ41に転送される。
【0137】
以後、コンテンツ配信サーバ41から送られるACKフラグを有するパケット、FINおよびACKフラグを有するパケット、およびユーザ端末51から送られるACKフラグを有するパケットについても、パケット転送処理部1002からコネクション処理部1004に転送される。コネクション処理部1004は、最初に受信したユーザ端末51からのFINおよびACKフラグを有するパケットの次ぎに、コンテンツ配信サーバ41から送られるACKフラグを有するパケット、FINおよびACKフラグを有するパケット、およびユーザ端末51から送られるACKフラグを有するパケットがやりとりされているかを確認する。確認がとれると各パケットは、再びパケット転送処理部1002に戻され、パケットの宛先に従い、外部に転送される。
【0138】
次に、仮想網3に属するユーザ端末54が、コンテンツ配信サーバ41に蓄積されるコンテンツAの取得要求を試みた場合のシーケンスを、図17を用い、以下に説明する。本例は本来、取得不許可となるため、ユーザ端末54はコンテンツを取得できない例となる。なお、TCPコネクション確立パケットの処理は前述と同様であるため、ここでは説明を省略し、HTTP要求パケットに関する処理を説明する。
【0139】
まずユーザ端末54は、宛先識別子=41、送信元識別子=54を記載したコンテンツ取得要求パケット81を送出する。データ転送装置25は、ライン64から到着するパケットに対し、仮想網ID=3を付与するように管理されており、コンテンツ取得要求パケット81を受信すると、該パケットに仮想網ID=3を付与し、コンテンツ配信網11内の仮想網3に該パケットを転送する。仮想網ID=3が付与されたコンテンツ取得要求パケット82は、仮想網ID=3に従い、仮想網3上を転送され、データ転送装置21に到着する。
【0140】
データ転送装置21は、コンテンツ取得要求パケット82を受信すると、仮想網ID=3が付与されていることから、該パケットをVCI=73に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。
【0141】
データ転送装置21からVCI=73を通じて転送されたコンテンツ取得要求パケット83を受信すると、ゲートウェイ装置1001のパケット転送処理部1002は、コネクション管理部1003に対しコネクション検索要求を行う。その応答として該コネクションが登録されていること、さらに、パケットヘッダのコネクション情報の中に予め定められた特定値として、宛先ポート番号=80を有することを確認すると、パケット転送処理部1002は、該パケットおよび、解析によって得られたVCI=73をコンテンツID処理部1005に転送する。
【0142】
コンテンツID処理部1005は、コンテンツ取得要求パケット83に対し、パケットヘッダ内に記述されているURLを読み取り、URLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。
【0143】
URL「www.server41.com/server41/contentA」はVCI=73に対し取得不許可であるため、コンテンツID管理部1006は、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得不許可であることを伝える。応答結果がコンテンツ取得不許可であるため、コンテンツID処理部1005は、コンテンツ取得要求パケット83をコンテンツ配信サーバ41に転送せず、廃棄する。
【0144】
以上により、コンテンツAの取得を許可されていないユーザ端末54は、コンテンツAを取得することができず、セキュリティが確保される。
【0145】
本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0146】
本実施例の別の形態として、図5および図6の形態も可能である。図5および図6のいずれの形態もコンテンツの取得動作シーケンスは図16および図17に示したものと同様である。
【0147】
図1の形態は、各コンテンツ配信サーバが、1つのゲートウェイ装置に繋がっているのに対し、図5の形態は、各ゲートウェイ装置と各コンテンツ配信サーバとの間に共通網12が存在する。共通網12の存在により、例えばコンテンツ配信サーバ41に接続する場合の経路がゲートウェイ装置31〜33の3通りとなり、トラヒックの分散に寄与できる。あるいは、図5の形態は、1つのデータ転送装置を通じて、各コンテンツ配信サーバに接続できるため、1つの仮想網が接続するデータ転送装置数を少なくさせることもできる。
【0148】
図6の形態は、各ゲートウェイ装置と各データ転送装置との間に共通網13が存在する。図6の形態も図5の形態と同様に、トラヒックの分散あるいは、1つの仮想網が接続するデータ転送装置数を少なくさせることに寄与する。ただし図6の形態の場合、ゲートウェイ装置31は仮想網毎のラインを持たず、共通網13と1つのラインで接続されるため、コンテンツの取得許可に関する管理は、コンテンツIDとユーザIDにより行う。
なお、図1および図5の形態の場合、ゲートウェイ装置とデータ転送装置の各機能は1つの装置に集約することに実現できることは言うまでもない。
【0149】
(実施例7)
本実施例は実施例5において、パケット転送処理部1002が、ユーザ端末51からコンテンツ配信サーバ41に向け送られるACKフラグの値として1を持ち、TCPヘッダ以外に情報を持たないパケットの処理に関する実施例である。したがって本実施例の構成、条件は全て実施例5と同様である。
実施例5では述べなかったが、実際には図15の通信シーケンスにおいて、コンテンツ配信サーバ41から送られるHTTP応答パケットがユーザ端末51に到着すると、そのパケットが到着したことをコンテンツ配信サーバ41に伝えるために、ユーザ端末51は、コンテンツ配信サーバ41に向け、ACKフラグの値として1を持ち、TCPヘッダ以外に情報を持たないパケット(以後、本パケットをパケットAと呼ぶことにする)を送出する。同じくユーザ端末51から送出されるHTTP要求パケットは、基本的にユーザの操作に基づき生成されるのに対し、パケットAはHTTP応答パケットの到着に応じて自動的にユーザ端末内で生成される。パケットAの生成頻度は一般に、2個のHTTP応答パケットに対して1個の割合、もしくは1個のHTTP応答パケットに対して1個の割合である。
実際、コンテンツ配信パケット86を受信すると、ユーザ端末51はパケットAをコンテンツ配信サーバ41に向け送出する。途中経路にあるゲートウェイ1001はパケットAを受信すると、パケット転送処理部1002においてパケットヘッダの解析を行う。パケット転送処理部1002は、パケットAが、予め定められた特定値である宛先ポート番号=80を有すること、かつ、ACKフラグの値として1を持ち、TCPヘッダ以外に情報を持たないこと、を確認すると、HTTP要求パケットの場合の処理とは異なり、パケットAをコンテンツID処理部1005には転送せず、コンテンツ配信サーバに向け転送する。
なお、図15に示すように、同一TCPコネクション上にて引き続き転送されるHTTP応答パケットに対して生成されるパケットAについても、パケット転送処理部1002は同様の処理を行う。
【0150】
以上、本発明を、実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0151】
【発明の効果】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、以下のとおりである。
【0152】
本発明のゲートウェイ装置は、コンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とするユーザIDあるいは仮想網IDの管理、の各管理を行い、コンテンツ配信サーバ接続要求パケットに付与されているコンテンツIDおよびユーザID、仮想網IDを識別し、前記管理情報と照合することにより、コンテンツ取得許可の場合のみ該コンテンツ配信サーバにパケットを転送する処理を行う。このようなコンテンツ配信サーバ接続要求に対するセキュリティ処理をコンテンツ配信サーバより手前のゲートウェイ装置にて行うため、1つのコンテンツ配信サーバ内にコンテンツ取得条件の異なるコンテンツを共存させることができ、コンテンツ配信サーバの集約化が可能となる。すなわち本発明は、コンテンツ配信サーバのコスト削減とコンテンツ取得のセキュリティの両立を可能とする。
【0153】
また、ゲートウェイ装置の導入は、従来のデータ転送装置およびコンテンツ配信サーバの処理動作の変更を伴わないため、導入が容易であるという利点がある。
【0154】
本発明の動作は、コンテンツ配信サーバがゲートウェイ装置に直収される形態に限らず、ゲートウェイ装置とコンテンツ配信サーバとの間に共通網が存在する形態、ゲートウェイ装置とデータ転送装置との間に共通網が存在する形態にも適用可能であり、多様なネットワークに適用可能である。共通網の存在により、ある1つのコンテンツ配信サーバに接続する経路を複数とることができるため、トラヒックの分散に寄与できる。あるいは、共通網の存在により、1つのデータ転送装置を通じて、各コンテンツ配信サーバに接続できるため、1つの仮想網が接続するデータ転送装置数を少なくさせることもできる。
【0155】
また本発明は、仮想網間で同一の実ユーザIDが使用されている場合に対処するため、ゲートウェイ装置にて、コンテンツ配信サーバ接続要求パケットに送信元として付与されている実ユーザIDを、共通体系ユーザIDに変換および付与し直すことにより、コンテンツ配信サーバとゲートウェイ装置との間のライン上においてユーザIDの重複を回避する機能を有する。これにより、本発明によるコンテンツ配信は、各仮想網で運用されている実ユーザIDがプライベートアドレスで運用されている場合にも通用可能である。
【0156】
また、本発明におけるセキュリティ保証型コンテンツ配信システムの内部処理構造は、HTTP要求パケットのようにURLを検索する必要があるパケットのみ、コンテンツID処理部1005およびコンテンツID管理部1006にて処理を行い、コンテンツを搭載するHTTP応答パケットに関する処理は、パケット転送処理部1002等の汎用処理部のみで処理するため、コンテンツ配信処理の高速化を可能とする。また、コンテンツ配信サービス以外の通信アプリケーションを追加する場合にも、パケット転送処理部1002、コネクション管理部1003およびコネクション処理部1004は共通化できるため、サービス拡張性にも優れる。
また、本発明のゲートウェイ装置は、ユーザ端末から送出される生成頻度の高いパケットAをコンテンツID処理部1005には転送しない処理を有することにより、コンテンツID処理部1005の処理の軽減に貢献する。
【図面の簡単な説明】
【図1】本発明に基づくコンテンツ配信システムを示す図である。
【図2】従来技術に基づくコンテンツ配信システムを示す図である。
【図3】実施例1におけるユーザ端末51がコンテンツAを取得する動作シークエンスを示す図である。
【図4】実施例1におけるユーザ端末54がコンテンツAの取得動作を起こした場合のシークエンスを示す図である。
【図5】本発明に基づく第2のコンテンツ配信システムの形態を示す図である。
【図6】本発明に基づく第3のコンテンツ配信システムの形態を示す図である。
【図7】実施例2におけるコンテンツ配信システムを示す図である。
【図8】実施例2におけるユーザ端末51がコンテンツAを取得する動作シークエンスを示す図である。
【図9】実施例3における仮想サーバIDの付与方法(その1)を示す図である。
【図10】実施例3における仮想サーバIDの付与方法(その2)を示す図である。
【図11】実施例3におけるユーザ端末51がコンテンツAを取得する動作シークエンスを示す図である。
【図12】コンテンツ配信サーバ接続要求の最大数超過のため、ユーザ端末51が接続拒否された例のシークエンスを示す図である。
【図13】ゲートウェイ装置の内部処理の実現手段の例を示す図である。
【図14】コネクション処理部およびコネクション管理部を有するゲートウェイ装置の内部処理の実現手段の例を示す図である。
【図15】コンテンツ配信の一般的な通信シークエンスを示す図である。
【図16】実施例5、6においてユーザ端末51がコンテンツAを取得する動作シークエンスを示す図である。
【図17】実施例5、6においてユーザ端末54がコンテンツAの取得動作を起こした場合のシークエンスを示す図である。
【符号の説明】
1…仮想網1 2…仮想網2 3…仮想網3
11…コンテンツ配信網
12,13…共通網
21〜25…データ転送装置
31〜33…ゲートウェイ装置
41〜44…コンテンツ配信サーバ
51,52…仮想網1のユーザ端末
53…仮想網2のユーザ端末
54…仮想網3のユーザ端末
61〜64,71〜79,91〜93…ライン
81〜83,87…コンテンツ配信サーバ接続要求
84〜86,88…コンテンツ配信パケット
141,144,147…仮想網1用コンテンツ配信サーバ
142,145,148…仮想網2用コンテンツ配信サーバ
143,146,149…仮想網3用コンテンツ配信サーバ
1001…ゲートウェイ装置
1002…パケット転送処理部
1003…コネクション管理部
1004…コネクション処理部
1005…コンテンツID処理部
1006…コンテンツID管理部
【発明の属する技術分野】
この発明は、例えばコンテンツ毎あるいはコンテンツホルダ毎に、柔軟にセキュリティ制御を行うコンテンツ配信システムのためのゲートウェイ装置に関する。
【0002】
【従来の技術】
従来技術に基づくコンテンツ配信システムを図2に示す。コンテンツ配信サーバ141〜149は、コンテンツを蓄積し、ユーザ端末からのコンテンツ配信サーバ接続要求に応答して該コンテンツを送出する。ただしコンテンツ配信サーバ141、144および147は仮想網1に属するユーザ端末のみがアクセスを許容されたコンテンツ配信サーバ、コンテンツ配信サーバ142、145および148は仮想網2に属するユーザ端末のみがアクセスを許容されたコンテンツ配信サーバ、コンテンツ配信サーバ143、146および149は仮想網3に属するユーザ端末のみがアクセスを許容されたコンテンツ配信サーバである。
【0003】
データ転送装置21〜25は、ユーザ単位、複数ユーザ単位、コンテンツ単位、複数コンテンツ単位、コンテンツホルダ単位あるいは複数コンテンツホルダ単位に形成される仮想網毎に付与された仮想網IDを管理し、コンテンツ配信サーバ接続要求を宛先のコンテンツ配信サーバに向け、該仮想網上にて転送、また、コンテンツを載せたパケットを宛先のユーザ端末に向け、該仮想網上にて転送する。図2は、ユーザ端末51および52が仮想網1に属し、ユーザ端末53が仮想網2に属し、ユーザ端末54が仮想網3に属する例であり、仮想網1の仮想網IDを1、仮想網2の仮想網IDを2、仮想網3の仮想網IDを3とする。各データ転送装置21〜25は、仮想網ID=1、2および3を管理し、ユーザ端末51および52から送出されるパケットおよびコンテンツ配信サーバ141、144および147から送出されるパケットに対し、仮想網ID=1を付与し、仮想網ID=1に従い、コンテンツ配信網11内の仮想網1上にてパケット転送を行う。同様に、各データ転送装置21〜25は、ユーザ端末53から送出されるパケットおよびコンテンツ配信サーバ142、145および148から送出されるパケットに対し、仮想網ID=2を付与し、仮想網ID=2に従い、コンテンツ配信網11内の仮想網2上にてパケット転送を行い、また、ユーザ端末54から送出されるパケットおよびコンテンツ配信サーバ143、146および149から送出されるパケットに対し、仮想網ID=3を付与し、仮想網ID=3に従い、コンテンツ配信網11内の仮想網3上にてパケット転送を行う。
【0004】
なお、実際にデータ転送装置が、ユーザ端末もしくはコンテンツ配信サーバと仮想網との対応を管理する方法は以下の通りである。仮想網1の場合、データ転送装置24は、ライン61およびライン62から到着するパケットに対し、仮想網ID=1を付与するように管理する。また、データ転送装置21、データ転送装置22、データ転送装置23は、それぞれライン71、ライン74、ライン77から到着するパケットに対し、仮想網ID=1を付与するように管理する。同様に仮想網2の場合、データ転送装置25は、ライン63から到着するパケットに対し、仮想網ID=2を付与するように管理する。また、データ転送装置21、データ転送装置22、データ転送装置23は、それぞれライン72、ライン75、ライン78から到着するパケットに対し、仮想網ID=2を付与するように管理する。同様に仮想網3の場合、データ転送装置25は、ライン64から到着するパケットに対し、仮想網ID=3を付与するように管理する。また、データ転送装置21、データ転送装置22、データ転送装置23は、それぞれライン73、ライン76、ライン79から到着するパケットに対し、仮想網ID=3を付与するように管理する。
【0005】
以上の方法によって、データ転送装置がラインと仮想網IDとの対応を管理するだけで、同じ仮想網に属するユーザ端末とコンテンツ配信サーバ間での通信のみを許容し、異仮想網間の通信は不許可とする処理が可能となり、通信のセキュリティが提供される。
【0006】
なお、ラインの実現は、物理的な伝送路でもよいし、もしくは、ATM(Asynchronous Transfer Mode)のVPI(Virtiual Path Identifier)やVCI(Virtual Channel Identifier)などの論理チャネルを用いてもよいことを追記する。
【0007】
【発明が解決しようとする課題】
前述の従来技術は、仮想網毎のセキュアなコンテンツ配信を実現するものの、以下の課題がある。データ転送装置は、各ラインと仮想網を対応づけることにより通信のセキュリティを実現しており、これによりコンテンツ配信サーバは仮想網毎に個別に設置する必要がある。すなわち、サーバの台数を増やす原因となり、サーバコストの増大を招く。
【0008】
一方、仮想網間でコンテンツ配信サーバを共用化するために、1つのコンテンツ配信サーバが複数のラインと接続し、各ラインを各仮想網と対応付けさせることは可能である。しかしこれでは、各仮想網に属するユーザ端末が該コンテンツ配信サーバに自由に接続できてしまうため、ある仮想網のユーザ端末のみが取得を許可されているコンテンツが、他仮想網のユーザ端末からも取得される恐れがあり、本来の目的である仮想網毎のセキュアなコンテンツ配信が達成できない。
【0009】
【課題を解決するための手段】
前記課題を解決するために、図1に示すようにゲートウェイ装置をデータ転送装置とコンテンツ配信サーバ間に導入する。
【0010】
ゲートウェイ装置は、コンテンツ配信サーバが蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とするユーザIDあるいは仮想網IDの管理、の各管理を行う。そしてゲートウェイ装置は、ユーザ端末から送られるコンテンツ配信サーバ接続要求パケットに付与されているコンテンツIDおよびユーザID、仮想網IDを識別し前記管理情報と照合し、コンテンツ取得許可の場合のみ該コンテンツ配信サーバにパケットを転送する処理を行う。
【0011】
また、ゲートウェイ装置は、コンテンツ取得許可された後にコンテンツ配信サーバから送られるコンテンツを載せたパケットを、コンテンツ配信サーバ接続要求を行ったユーザ端末が属する仮想網に振分ける。
【0012】
以上の手段により、仮想網間でコンテンツ配信サーバを共用化しつつ、各仮想網のユーザ端末は、該仮想網が取得許可されているコンテンツのみ取得可能となるように動作できる。すなわち、コンテンツ配信サーバのコスト削減とコンテンツ取得のセキュリティの両立を可能とする。
【0013】
なお、本ゲートウェイ装置の導入は、従来のデータ転送装置およびコンテンツ配信サーバの処理動作の変更を伴わないため、導入も容易である。
【0014】
また本発明は、前記ゲートウェイ装置の内部処理の実現手段を発明したものである。以下に本発明の手段を、図13を用い説明する。
【0015】
パケット転送処理部1002は、データ転送装置やコンテンツ配信サーバ等の外部から受信するパケットのパケットヘッダの解析を行う。パケット転送処理部1002は、パケットの解析により、ユーザIDあるいは仮想網IDを読み取ると共に、コネクション情報を読み取る。読み取ったコネクション情報の中に予め定められた特定値を有する場合、パケット転送処理部1002は、該パケットおよび、解析によって得られたユーザIDあるいは仮想網IDをコンテンツID処理部1005に転送する。コンテンツID処理部1005は、転送された特定値を有するパケットに対し、パケットヘッダ内に記述されているコンテンツIDを読み取り、コンテンツIDおよび、ユーザIDあるいは仮想網IDをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。コンテンツID管理部1006は、各ユーザIDあるいは各仮想網IDに対する、取得許可あるいは取得不許可とするコンテンツIDを管理しており、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得許可あるいはコンテンツ取得不許可のいずれかの検索結果を応答する。応答結果がコンテンツ取得許可の場合は、コンテンツID処理部1005は、該パケットを再びパケット転送処理部1002に戻し、パケット転送処理部1002は宛先に従い、該パケットを外部に転送する。一方、応答結果がコンテンツ取得不許可の場合は、コンテンツID処理部1005は該パケットを廃棄する。
【0016】
また本発明は、図14に示すように、コネクション処理部およびコネクション管理部を有する形態によっても実現される。以下に本手段を説明する。
【0017】
パケット転送処理部1002は、データ転送装置やコンテンツ配信サーバ等の外部から受信するパケットのパケットヘッダの解析を行う。パケット転送処理部1002は、パケットの解析により、ユーザIDあるいは仮想網IDを読み取ると共に、コネクション情報を読み取る。パケット転送処理部1002は、読み取ったコネクション情報をコネクション検索要求によって、コネクション管理部1003に送り、該コネクションが通信中であるか否かを検索する。コネクション管理部1003は、通信中のコネクション情報を管理しており、コネクション検索要求に対し、コネクション検索要求に対する応答として、該コネクションが通信中であるか否か(登録されているか否か)をパケット転送処理部1002に送る。
【0018】
ゲートウェイ装置1001における以後の処理手順は、外部から受信するパケットの種別および、コネクション管理部1003におけるコネクション情報の登録状態により、以下に分類される。ここでパケットの種別とは、TCPコネクション確立パケット、HTTP要求および応答パケットをはじめとするアプリケーション通信が行われるパケット、TCPコネクション切断パケットの3種類である。
【0019】
(1)コネクション管理部1003において該コネクションが登録されていない場合あるいは受信したパケットがコネクション確立パケットの場合、
パケット転送処理部1002は、該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、パケットヘッダに記載されるコネクション情報をコネクション管理部1003に設定する。該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、外部に転送される。
【0020】
(2)コネクション管理部1003において該コネクションが登録されており、受信したパケットがコネクション切断パケットの場合、
パケット転送処理部1002は、(1)と同様に該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、コネクション管理部1003が管理している該コネクションのコネクション情報を削除する。該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、外部に転送される。
【0021】
(3)コネクション管理部1003において該コネクションが登録されているが、該コネクション情報の中に予め定められた特定値を有さない場合、
パケット転送処理部1002は、宛先に従い、該パケットを外部に転送する。
【0022】
(4)コネクション管理部1003において該コネクションが登録されており、該コネクション情報の中に予め定められた特定値を有する場合、
パケット転送処理部1002は、該パケットおよび、解析によって得られたユーザIDあるいは仮想網IDをコンテンツID処理部1005に転送する。コンテンツID処理部1005は、転送された特定値を有するパケットに対し、パケットヘッダ内に記述されているコンテンツIDを読み取り、コンテンツIDおよび、ユーザIDあるいは仮想網IDをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。コンテンツID管理部1006は、各ユーザIDあるいは各仮想網IDに対する、取得許可あるいは取得不許可とするコンテンツIDを管理しており、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得許可あるいはコンテンツ取得不許可のいずれかの検索結果を応答する。応答結果がコンテンツ取得許可の場合は、コンテンツID処理部1005は、該パケットを再びパケット転送処理部1002に戻し、パケット転送処理部1002は宛先に従い、該パケットを外部に転送する。一方、応答結果がコンテンツ取得不許可の場合は、コンテンツID処理部1005は該パケットを廃棄する。
【0023】
以上の手段は、前記ゲートウェイ装置の内部処理において、以下の利点がある。
本発明は、図13の処理あるいは図14における前記(4)の処理のように、コンテンツ配信サービスをはじめとする特定用途の処理は、コンテンツID処理部1005およびコンテンツID管理部1006で行い、多くの通信アプリケーションで共通となる処理は、パケット転送処理部1002、コネクション管理部1003およびコネクション処理部1004にて行う。このような機能ブロック配置を取ることにより、共通となる処理の高速化を可能とする。また、コンテンツ配信サービス以外の通信アプリケーションを追加する場合にも、パケット転送処理部1002、コネクション管理部1003およびコネクション処理部1004は共通化できるため、サービス拡張性にも優れる。
【0024】
また本発明の図13あるいは図14のパケット転送処理部1002は、コンテンツ配信サーバから送られるコンテンツを載せたHTTP応答パケットがユーザ端末に到着あるいは未到着であることを伝えるために、ユーザ端末からコンテンツ配信サーバに向け送出されるACK(Acknowledgement)フラグの値が1を有し、TCPヘッダ以外に情報を持たないTCPパケットを受信した場合に対し、該パケットをコンテンツID処理部には転送せず、コンテンツ配信サーバに転送する手段を有する。
以上の手段は、前記ゲートウェイ装置の内部処理において、以下の利点がある。
本発明は、図13の処理あるいは図14における前記(4)の処理のように、コンテンツ配信サービスをはじめとする特定用途の処理において、ユーザ端末から送出されるコンテンツIDを有するHTTP要求パケットと前記ACKフラグの値が1を有し、TCPヘッダ以外に情報を持たないTCPパケットとを区別し、コンテンツID処理が必要なHTTP要求パケットのみをコンテンツID処理部1005に転送する。前記ACKフラグの値が1を有し、TCPヘッダ以外に情報を持たないTCPパケットの数は一般に、HTTP応答パケットの数の約2分の1から同数もあるため、前記ACKフラグの値が1を有し、TCPヘッダ以外に情報を持たないTCPパケットをコンテンツID処理部1005に転送しないことは、コンテンツID処理部1005の処理の軽減に貢献する。
【0025】
【発明の実施の形態】
以下、実施例に基づき本発明の実施の形態を詳細に説明する。
【0026】
(実施例1)
本発明の実施形態に基づくコンテンツ配信システムは図1に示す。本実施例では、コンテンツ配信サーバ41、42、43および44の実サーバIDをそれぞれ、41、42、43および44とし、ユーザ端末51、52、53および54の実ユーザIDをそれぞれ51、52、53および54とする。また、コンテンツ配信サーバ41には、A、BおよびCの3つのコンテンツが蓄積されているものとする。コンテンツA、BおよびCのコンテンツIDは、各コンテンツのURLとして定義し、それぞれのURLをwww.server41.com/server41/contentA、www.server41.com/server41/contentB、およびwww.server41.com/server41/contentC、とする。コンテンツAは仮想網1に属するユーザの端末みが接続を許可されたコンテンツ、コンテンツBは仮想網1および2に属するユーザ端末が接続を許可されたコンテンツ、コンテンツCは仮想網1、2および3に属するユーザ端末が接続を許可されたコンテンツであるものとする。
【0027】
仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を、図3を用い、以下に説明する。
【0028】
まずユーザ端末51は、宛先ID=41、送信元ID=51を記載したコンテンツ配信サーバ接続要求パケット81を送出する。データ転送装置24は、ライン61から到着するパケットに対し、仮想網ID=1を付与するように管理されており、コンテンツ配信サーバ接続要求パケット81を受信すると、該パケットに仮想網ID=1を付与し、コンテンツ配信網11内の仮想網1に該パケットを転送する。仮想網ID=1が付与されたコンテンツ配信サーバ接続要求パケット82は、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置21に到着する。
【0029】
データ転送装置21は、仮想網ID=1が付与されたパケットをライン71に、仮想網ID=2が付与されたパケットをライン72に、仮想網ID=3が付与されたパケットをライン73に転送するように管理されており、コンテンツ配信サーバ接続要求パケット82を受信すると、仮想網ID=1が付与されていることから、該パケットをライン71に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。
【0030】
ゲートウェイ装置31は、コンテンツ配信サーバ41が蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とする仮想網IDの管理を行っている。ここでは、データ転送装置が収容するラインと仮想網は1対1で対応するため、データ転送装置21は仮想網IDではなく、ラインIDで管理するものとする。すなわち、www.server41.com/server41/contentAを取得許可とするラインID=71、www.server41.com/server41/contentBを取得許可とするラインID=71および72、www.server41.com/server41/contentCを取得許可とするラインID=71、72および73、の各情報を管理する。データ転送装置21からライン71を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合する。ラインID=71はコンテンツAを取得許可されているため、ゲートウェイ装置31はコンテンツ配信サーバ接続要求パケット83をコンテンツ配信サーバ41に転送する。
【0031】
ここで、ゲートウェイ装置31が行っているコンテンツIDと取得許可とするラインIDの管理に関する代替手法として2つの手法を追記しておく。第1の手法は、コンテンツIDにURLの一部を用いる方法である。例えば、コンテンツIDを「/server41/」、「/server41/contentB」、「/server41/contentC」と定義し、ゲートウェイ装置31は、/server41/を取得許可とするラインID=71、/server41/contentBを取得許可とするID=72、/server41/contentCを取得許可とするラインID=72および73、の各関係を管理することにより、同等のコンテンツ取得セキュリティレベルを確保できる。
【0032】
また第2の手法は、ラインIDの代わりに実ユーザIDを用いて方法である。この場合、ゲートウェイ装置31は、ラインID=71の代わりに実ユーザID=51および52、ラインID=72の代わりに実ユーザID=53、ラインID=73の代わりに実ユーザID=54を管理する。
【0033】
さて、コンテンツ配信サーバ41が、コンテンツ配信サーバ接続要求パケット83を受信すると、コンテンツAを載せたコンテンツ配信パケット84をゲートウェイ装置31に向け送信する。コンテンツ配信パケット84には、宛先ID=51、送信元ID=41が記載されている。ゲートウェイ装置31は、コンテンツ配信パケット84を受信すると、該パケットをライン71に振分ける。この際の振分方法は、コンテンツ配信パケット84の宛先ID=51を読み取り、仮想網1に振分ける方法がある。また別の方法としては、ゲートウェイ装置31がコンテンツ配信サーバ接続要求パケット83を受信したときに、宛先IDや送信元ID、宛先および送信元ポート番号等のコネクション情報と、ライン71の対応を管理しておき、この管理情報に基づき、コンテンツ配信パケット84をライン71に振分ける方法もある。
【0034】
データ転送装置21は、ライン71から到着するパケットに対し、仮想網ID=1を付与するように管理されており、コンテンツ配信パケット84を受信すると、該パケットに仮想網ID=1を付与し、仮想網1に該パケットを転送する。仮想網ID=1が付与されたコンテンツ配信パケット85は、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置24に到着する。
【0035】
データ転送装置24は、仮想網ID=1が付与されたパケットをライン61あるいはライン62に転送するように管理されており、さらにパケットの宛先IDを読み取り、ライン61かライン62への振分けを判断する。したがってコンテンツ配信パケット85を受信すると、仮想網ID=1が付与されていること、宛先ID=51であることから、該パケットをライン61に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置24は仮想網IDを削除せず、付与したままにしておいてもよい。以上により、ライン61を通じて転送されるコンテンツ配信パケット86をユーザ端末51が受信することにより、ユーザ端末51はコンテンツAを取得することができる。
【0036】
次に、仮想網3に属するユーザ端末54が、コンテンツ配信サーバ41に蓄積されるコンテンツAの取得要求を試みた場合のシーケンスを、図4を用い、以下に説明する。本例は本来、取得不許可となるため、ユーザ端末54はコンテンツを取得できない例となる。
【0037】
まずユーザ端末54は、宛先ID=41、送信元ID=54を記載したコンテンツ配信サーバ接続要求パケット81を送出する。データ転送装置25は、ライン64から到着するパケットに対し、仮想網ID=3を付与するように管理されており、コンテンツ配信サーバ接続要求パケット81を受信すると、該パケットに仮想網ID=3を付与し、コンテンツ配信網11内の仮想網3に該パケットを転送する。仮想網ID=3が付与されたコンテンツ配信サーバ接続要求パケット82は、仮想網ID=3に従い、仮想網3上を転送され、データ転送装置21に到着する。
【0038】
データ転送装置21は、コンテンツ配信サーバ接続要求パケット82を受信すると、仮想網ID=3が付与されていることから、該パケットをライン73に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。
【0039】
ゲートウェイ装置31は、データ転送装置21からライン73を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合する。ラインID=73はコンテンツAの取得を許可されていないため、ゲートウェイ装置31はコンテンツ配信サーバ接続要求パケット83をコンテンツ配信サーバ41に転送せず、廃棄する。
【0040】
以上により、コンテンツAの取得を許可されていないユーザ端末54は、コンテンツAを取得することができず、セキュリティが確保される。
【0041】
本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0042】
本実施例の別の形態として、図5および図6の形態も可能である。図5および図6のいずれの形態もコンテンツの取得動作シーケンスは図3および図4に示したものと同様である。
【0043】
図1の形態は、各コンテンツ配信サーバが、1つのゲートウェイ装置に繋がっているのに対し、図5の形態は、各ゲートウェイ装置と各コンテンツ配信サーバとの間に共通網12が存在する。共通網12の存在により、例えばコンテンツ配信サーバ41に接続する場合の経路がゲートウェイ装置31〜33の3通りとなり、トラヒックの分散に寄与できる。あるいは、図5の形態は、1つのデータ転送装置を通じて、各コンテンツ配信サーバに接続できるため、1つの仮想網が接続するデータ転送装置数を少なくさせることもできる。
【0044】
図6の形態は、各ゲートウェイ装置と各データ転送装置との間に共通網13が存在する。図6の形態も図5の形態と同様に、トラヒックの分散あるいは、1つの仮想網が接続するデータ転送装置数を少なくさせることに寄与する。ただし図6の形態の場合、ゲートウェイ装置31は仮想網毎のラインを持たず、共通網13と1つのラインで接続されるため、コンテンツの取得許可に関する管理は、コンテンツIDと実ユーザIDにより行う。
【0045】
なお、図1および図5の形態の場合、ゲートウェイ装置とデータ転送装置の各機能は1つの装置に集約することに実現できることは言うまでもない。
【0046】
(実施例2)
本実施例は、実施例1において各仮想網で運用されている実ユーザIDがプライベートアドレスで運用されている例である。すなわち、仮想網間で同一の実ユーザIDが使用されている場合に対処するため、各ゲートウェイ装置は、ユーザ端末から送出されるコンテンツ配信サーバ接続要求パケットに送信元として付与されている実ユーザIDを、共通体系ユーザIDに変換および付与し直すことにより、コンテンツ配信サーバとゲートウェイ装置との間のライン上においてユーザIDの重複を回避する。なお当然ながらゲートウェイ装置は、コンテンツ配信サーバから送られるコンテンツ配信パケットに宛元として付与されている共通体系ユーザIDを、該実ユーザIDに変換および付与し直す動作も行う。
【0047】
本実施例は、上記以外の動作は実施例1と同様であるため、システム形態は図1に従う。したがって本実施例も、コンテンツ配信サーバの実サーバID、コンテンツ配信サーバにおけるコンテンツの蓄積条件、各コンテンツのコンテンツID(URL)、各コンテンツに対する各仮想網の取得許可条件、は全て実施例1と同様であるとする。ただし、ユーザ端末の実ユーザIDが、仮想網間で重複する例を考え、本実施例では図7のように、ユーザ端末51、52、53および54の実ユーザIDをそれぞれ51、52、51および51とし、実ユーザID=51が3つの仮想網1〜3で存在する例を考える。
【0048】
仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を、図8を用い、以下に説明する。ただしユーザ端末51が、宛先ID=41、送信元ID=51を記載したコンテンツ配信サーバ接続要求パケット81を送出してから、ライン71を通じてコンテンツ配信サーバ接続要求パケット82をゲートウェイ装置31に転送するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0049】
ゲートウェイ装置31は、コンテンツ配信サーバ41が蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とする仮想網IDの管理を行っている。ここでは、データ転送装置が収容するラインと仮想網は1対1で対応するため、データ転送装置21は仮想網IDではなく、ラインIDで管理するものとする。すなわち、www.server41.com/server41/contentAを取得許可とするラインID=71、www.server41.com/server41/contentBを取得許可とするラインID=71および72、www.server41.com/server41/contentCを取得許可とするラインID=71、72および73、の各情報を管理する。データ転送装置21からライン71を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合し、ラインID=71はコンテンツAを取得許可されていることを確認する。次にゲートウェイ装置31は、ユーザ端末から送出されるコンテンツ配信サーバ接続要求のパケット83の送信元IDを実ユーザID=51から、共通体系ユーザIDに変換する。共通体系ユーザIDは、コンテンツ配信サーバとゲートウェイ装置との間のラインで一義に定まるユーザIDであり、これによって例えばコンテンツ配信サーバ41とゲートウェイ装置31との間のラインにおいて、ユーザ端末51、53および54からの各コンテンツ配信サーバ接続要求パケットの送信元IDをそれぞれ異なる値に変換させることにより、各コンテンツ配信サーバ接続要求パケットの送信元端末を正しく認識することができる。本実施例では、実ユーザIDから共通体系ユーザIDに変換する方法として、仮想網毎に共通体系ユーザIDの使用可能な範囲を定めることにし、仮想網1に対して共通体系ユーザIDは151〜160、仮想網2に対して共通体系ユーザIDは251〜260、仮想網3に対して共通体系ユーザIDは351〜360と定める。実ユーザIDと共通体系ユーザIDとの値の対応は、固定的に付与しても動的に付与してもどちらでもよい。本例では、コンテンツ配信サーバ接続要求のパケット83の送信元IDは51から151に変換されるものとする。そしてゲートウェイ装置31は、送信元IDを共通体系ユーザID=151に変換したコンテンツ配信サーバ接続要求パケット87をコンテンツ配信サーバ41に転送する。
【0050】
コンテンツ配信サーバ41が、コンテンツ配信サーバ接続要求パケット87を受信すると、コンテンツAを載せたコンテンツ配信パケット88をゲートウェイ装置31に向け送信する。コンテンツ配信パケット88には、宛先ID=151、送信元ID=41が記載されている。
【0051】
ゲートウェイ装置31は、コンテンツ配信パケット88を受信すると、その宛元として付与されている共通体系ユーザID=151を、実ユーザID=51に変換し、該パケットをライン71に振分ける。この際の振分方法は、実施例1と同様の方法があることを追記する。
【0052】
この後の処理、すなわち、データ転送装置21がコンテンツ配信パケット84を受信してから、ユーザ端末51にコンテンツ配信パケット86が到着するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0053】
なお、取得が許可されていない仮想網に属するユーザ端末からのコンテンツ配信サーバ接続要求パケットに対する処理動作は実施例1と同様である。また、実施例1で述べたことと同様に、図5および図6の形態に対しても、本実施例で示した動作が適用できる。
【0054】
また、本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0055】
(実施例3)
本実施例は、実施例1において各ゲートウェイ装置が各コンテンツ配信サーバに対応する仮想サーバIDを有し、各ユーザ端末はコンテンツ配信サーバ接続要求パケットの宛先アドレスとして仮想サーバIDを付与する例である。具体的な仮想サーバIDの付与法は、図9を用いながら以下に説明する。図9は、図1におけるゲートウェイ装置31〜33のみを取り上げた図である。図9において、ゲートウェイ装置31はコンテンツ配信サーバ41の仮想サーバIDとして、仮想網1に対し仮想サーバID=141、仮想網2に対し仮想サーバID=241、仮想網3に対し仮想サーバID=341を有する。同様にゲートウェイ装置33も、コンテンツ配信サーバ44の仮想サーバIDとして、仮想網1に対し仮想サーバID=144、仮想網2に対し仮想サーバID=244、仮想網3に対し仮想サーバID=344を有する。
【0056】
また、ゲートウェイ装置32についてはコンテンツ配信サーバ42および43の2台を収容するため、主に2つの仮想サーバIDの付与方法がある。第1の方法は図9に示すように、仮想網1に対し、コンテンツ配信サーバ42用仮想サーバID=142、コンテンツ配信サーバ43用仮想サーバID=143、仮想網2に対し、コンテンツ配信サーバ42用仮想サーバID=242、コンテンツ配信サーバ43用仮想サーバID=243、仮想網3に対し、コンテンツ配信サーバ42用仮想サーバID=342、コンテンツ配信サーバ43用仮想サーバID=343、を有する。第2の方法は図10に示すように、コンテンツ配信サーバ42および43に共通な仮想サーバIDを付与する、すなわち仮想網1に対し、コンテンツ配信サーバ42および43共通の仮想サーバID=91、仮想網2に対し、コンテンツ配信サーバ42および43共通の仮想サーバID=92、仮想網3に対し、コンテンツ配信サーバ42および43共通の仮想サーバID=93、を有する。第2の方法はサーバの負荷分散に利用でき、ゲートウェイ装置32は、コンテンツ配信サーバ42、43のうち情報トラヒック量あるいは処理負荷量の小さいコンテンツ配信サーバの実サーバIDと仮想サーバIDを変換する。この方法は、ゲートウェイ装置が収容するコンテンツ配信サーバ数にかかわらず、ユーザ端末に仮想サーバIDを1つだけ見せることにより、ユーザ端末が意識することなく、最も負荷の少ないコンテンツ配信サーバからコンテンツを送信することができる。
【0057】
以下、本実施例として、仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を図1および図11を用いて説明する。
【0058】
本実施例も、コンテンツ配信サーバの実サーバID、コンテンツ配信サーバにおけるコンテンツの蓄積条件、各コンテンツのコンテンツID(URL)、各コンテンツに対する各仮想網の取得許可条件、は全て実施例1と同様であるとする。
【0059】
ユーザ端末51が、宛先ID=141、送信元ID=51を記載したコンテンツ配信サーバ接続要求パケット81を送出する。以後、ライン71を通じてコンテンツ配信サーバ接続要求パケット83をゲートウェイ装置31に転送するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0060】
ゲートウェイ装置31は、コンテンツ配信サーバ41が蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とする仮想網IDの管理を行っている。ここでは、データ転送装置が収容するラインと仮想網は1対1で対応するため、データ転送装置21は仮想網IDではなく、ラインIDで管理するものとする。すなわち、www.server41.com/server41/contentAを取得許可とするラインID=71、www.server41.com/server41/contentBを取得許可とするラインID=71および72、www.server41.com/server41/contentCを取得許可とするラインID=71、72および73、の各情報を管理する。また、ゲートウェイ装置31は、コンテンツ配信サーバ41の実サーバIDと仮想網毎の仮想サーバIDとの対応を管理している。
【0061】
データ転送装置21からライン71を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合し、ラインID=71はコンテンツAを取得許可されていることを確認する。次にゲートウェイ装置31は、ユーザ端末から送出されるコンテンツ配信サーバ接続要求のパケット83の宛先IDを141から、実サーバID=41に変換し、該パケット87をコンテンツ配信サーバ41に転送する。
【0062】
コンテンツ配信サーバ41が、コンテンツ配信サーバ接続要求パケット87を受信すると、コンテンツAを載せたコンテンツ配信パケット88をゲートウェイ装置31に向け送信する。コンテンツ配信パケット88には、宛先ID=51、送信元ID=41が記載されている。
【0063】
ゲートウェイ装置31は、コンテンツ配信パケット88を受信すると、その送信元として付与されている実サーバID=41を、仮想サーバID=141に変換し、該パケットをライン71に振分ける。この際の振分方法は、実施例1と同様の方法があることを追記する。
【0064】
この後の処理、すなわち、データ転送装置21がコンテンツ配信パケット84を受信してから、ユーザ端末51はコンテンツ配信パケット86が到着するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0065】
なお、取得が許可されていない仮想網に属するユーザ端末からのコンテンツ配信サーバ接続要求パケットに対する処理動作は実施例1と同様である。また、実施例1で述べたことと同様に、図5および図6の形態に対しても、本実施例で示した動作が適用できる。
【0066】
また、本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0067】
さらに、実施例2で示した実ユーザIDと共通体系ユーザIDの変換処理と、本実施例である実サーバIDと仮想サーバIDの変換処理を組合せた形態にも応用できることを追記する。
【0068】
(実施例4)
本実施例は、実施例1から3で示された動作において、多数のコンテンツ配信サーバ接続要求が発生した際に備え、接続可能な最大数を設け、最大数を超過した場合にコンテンツ配信サーバ接続要求を拒否する動作例である。高負荷による品質劣化の回避や各論理網からのコンテンツ配信サーバ接続要求数の公平性を提供するために必要な機能である。
【0069】
本実施例も、コンテンツ配信サーバの実サーバID、ユーザ端末の実ユーザID、コンテンツ配信サーバにおけるコンテンツの蓄積条件、各コンテンツのコンテンツID(URL)、各コンテンツに対する各仮想網の取得許可条件、は全て実施例1と同様であるとする。
【0070】
ゲートウェイ装置31は、コンテンツ配信サーバ41に蓄積されるコンテンツCに対し、仮想網1からの最大許容接続数を5、仮想網2からの最大許容接続数を10、仮想網3からの最大許容接続数を15に設定されている。今、仮想網1からのコンテンツ配信サーバ接続要求数が5に達しているとき、ユーザ端末51がコンテンツCを取得する動作を行った場合の動作を、図12を用い、以下説明する。
【0071】
ただしユーザ端末51が、宛先ID=41、送信元ID=51を記載したコンテンツ配信サーバ接続要求パケット81を送出してから、ライン71を通じてコンテンツ配信サーバ接続要求パケット83をゲートウェイ装置31に転送するまでの動作は、実施例1と同様であるため、ここでは省略する。
【0072】
ゲートウェイ装置31は、コンテンツ配信サーバ41が蓄積している各コンテンツのコンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とする仮想網IDの管理を行っている。ここでは、データ転送装置が収容するラインと仮想網は1対1で対応するため、データ転送装置21は仮想網IDではなく、ラインIDで管理するものとする。すなわち、www.server41.com/server41/contentAを取得許可とするラインID=71、www.server41.com/server41/contentBを取得許可とするラインID=71および72、www.server41.com/server41/contentCを取得許可とするラインID=71、72および73、の各情報を管理する。データ転送装置21からライン71を通じて転送されたコンテンツ配信サーバ接続要求パケット83を受信すると、ゲートウェイ装置31は、コンテンツ配信サーバ接続要求パケット83に付与されているURLを読み取り、前記管理情報と照合し、ラインID=71はコンテンツCを取得許可されていることを確認する。次ぎにゲートウェイ装置31は、コンテンツCに対し、仮想網1からの現在のコンテンツ配信サーバ接続要求数と最大許容接続数を比較する。現在の仮想網1からのコンテンツ配信サーバ接続要求数が5に達しているため、ゲートウェイ装置31はユーザ端末51からのコンテンツ配信サーバ接続要求パケット83を廃棄する。
【0073】
(実施例5)
本実施例では図1において、コンテンツ配信サーバ41、42、43および44のサーバIDをそれぞれ、41、42、43および44とし、ユーザ端末51、52、53および54のユーザIDをそれぞれ51、52、53および54とする。また、コンテンツ配信サーバ41には、A、BおよびCの3つのコンテンツが蓄積されているものとする。コンテンツA、BおよびCのコンテンツIDは、各コンテンツのURLとして定義し、それぞれのURLをwww.server41.com/server41/contentA、www.server41.com/server41/contentB、およびwww.server41.com/server41/contentC、とする。コンテンツAは仮想網1に属するユーザの端末のみが接続を許可されたコンテンツ、コンテンツBは仮想網1および2に属するユーザ端末が接続を許可されたコンテンツ、コンテンツCは仮想網1、2および3に属するユーザ端末が接続を許可されたコンテンツであるものとする。本実施例では、仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を、図1、図13、図15および図16を用い、以下に説明する。
【0074】
コンテンツ配信を行う場合、IPの上位にTCP(TransmissionControl Protocol)、さらにその上位にHTTP(Hypertext Transfer Protocol)を用いる。図15は、IP(Internet Protocol)通信におけるコンテンツ配信の一般的な通信シーケンスを示しており、大別してTCPコネクション確立、HTTP要求および応答、TCPコネクション切断の3フェーズから成る。まず、TCPのコネクション確立パケットとして、ユーザ端末51からのSYNフラグを有するパケット、コンテンツ配信サーバ41からのSYNおよびACKフラグを有するパケット、ユーザ端末51からのACKフラグを有するパケットの計3パケットがやりとりされる。TCPコネクション確立後、ユーザ端末51はコンテンツ取得要求パケットとして、要求コンテンツのURLが記載されたHTTP要求パケットを送出し、一方、コンテンツ配信サーバ41はその応答であるコンテンツ配信パケットとして、HTTP応答パケットを送出する。なお、1つのTCPコネクション上において、複数組のHTTP要求パケットおよびHTTP応答パケットが転送されることも可能である。目的コンテンツの取得が終了すると、ユーザ端末51およびコンテンツ配信サーバ41はそれぞれ、FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットを送出し、TCPコネクションが切断される。
【0075】
このようなコンテンツ配信の通信シーケンスに対し、図1および図13のゲートウェイ装置31(1001)は、以下に示す処理を行うことにより、仮想網毎に取得許可されているコンテンツのみ、コンテンツ配信サーバから取得可能となるように動作できる。
【0076】
データ転送装置24は、ライン61から到着するパケットに対し、仮想網ID=1を付与するように管理されており、ユーザ端末51からのSYNフラグを有するパケットを受信すると、該パケットに仮想網ID=1を付与し、コンテンツ配信網11内の仮想網1に該パケットを転送する。仮想網ID=1が付与された前記SYNフラグを有するパケットは、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置21に到着する。
【0077】
データ転送装置21は、仮想網ID=1が付与されたパケットをライン71に、仮想網ID=2が付与されたパケットをライン72に、仮想網ID=3が付与されたパケットをライン73に転送するように管理されており、前記SYNフラグを有するパケットを受信すると、仮想網ID=1が付与されていることから、該パケットをライン71に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。ラインの実現は、物理的な伝送路でもよいし、もしくは、ATM(Asynchronous Transfer Mode)のVPI(Virtual Path Identifier)やVCI(Virtual Channel Identifier)などの論理チャネルを用いてもよい。本実施例では、ATMのVCIにより実現され、ライン71、72および73はそれぞれ、VCI=71、72および73により区別されるものとする。
【0078】
ゲートウェイ装置1001は、パケットがどのVCIからのものであるかを識別する。ゲートウェイ装置1001は、データ転送装置21から前記SYNフラグを有するパケットを受信すると、パケット転送処理部1002において、そのパケットヘッダの解析を行う。パケット転送処理部1002は、パケットの解析により、仮想網IDであるVCIを読み取ると共に、コネクション情報、パケット種別を読み取る。コネクション情報とは、パケットの送信元アドレスであるユーザID、宛先アドレスであるサーバID、送信元および宛先ポート番号である。また、パケット種別とは、TCPコネクション確立パケット、HTTP要求および応答パケットをはじめとするアプリケーション通信が行われるパケット、TCPコネクション切断パケットの3種類である。
【0079】
パケット転送処理部1002は、該パケットがTCPコネクション確立パケットであることから、該パケットをその宛先に従い、コンテンツ配信サーバ41に転送する。
【0080】
コンテンツ配信サーバ41は、パケットの送信元アドレスとしてサーバID=41、宛先アドレスとしてユーザID=51が付与されたSYNおよびACKフラグを有するパケットを送出する。セキュリティ保証型ゲートウェイ装置1001のパケット転送処理部1002は、SYNおよびACKフラグを有するパケットを受信すると、ヘッダ解析によりパケット種別がTCPコネクション確立パケットであることを知り、前記と同様に該パケットをその宛先に従い、VCI=71に振分ける。
【0081】
データ転送装置21は、VCI=71から到着するパケットに対し、仮想網ID=1を付与するように管理されており、前記SYNおよびACKフラグを有するパケットを受信すると、該パケットに仮想網ID=1を付与し、仮想網1に該パケットを転送する。仮想網ID=1が付与された前記SYNおよびACKフラグを有するパケットは、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置24に到着する。
【0082】
データ転送装置24は、仮想網ID=1が付与されたパケットをライン61あるいはライン62に転送するように管理されており、さらにパケットの宛先識別子を読み取り、ライン61かライン62への振分けを判断する。したがって前記SYNおよびACKフラグを有するパケットを受信すると、仮想網ID=1が付与されていること、宛先識別子=51であることから、該パケットをライン61に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置24は仮想網IDを削除せず、付与したままにしておいてもよい。以上により、前記SYNおよびACKフラグを有するパケットはユーザ端末51に転送される。
【0083】
次にユーザ端末51は、パケットの送信元アドレスとしてユーザID=51、宛先アドレスとしてサーバID=41が付与されたACKフラグを有するパケットを送出する。以後、該パケットがデータ転送装置24からゲートウェイ装置1001まで転送されるまでの動作は、前記SYNフラグを有するパケットを処理する動作と同様である。また、ゲートウェイ装置1001内におけるACKフラグを有するパケットの処理動作は、前記SYNおよびACKフラグを有するパケットを処理する動作と同様である。
【0084】
以上の手順により、ゲートウェイ装置1001におけるTCPコネクション確立の処理が終了する。
【0085】
次に、ユーザ端末51は、宛先識別子=41、送信元識別子=51を記載したコンテンツ取得要求パケット81を送出する。以後、ユーザ端末51がコンテンツ配信パケット86を受信するまでの処理は図16を用い、説明する。なお、コンテンツ取得要求パケット81がデータ転送装置24からゲートウェイ装置1001に転送されるまでの動作は、前記SYNフラグを有するパケットを処理する動作と同様である。
【0086】
ゲートウェイ装置1001のパケット転送処理部1002はコンテンツ取得要求パケット83を受信すると、パケットヘッダの解析を行う。パケットヘッダのコネクション情報の中に予め定められた特定値として、宛先ポート番号=80を有することを確認すると、パケット転送処理部1002は、該パケットおよび、解析によって得られたVCI=71をコンテンツID処理部1005に転送する。
【0087】
コンテンツID処理部1005は、コンテンツ取得要求パケット83に対し、パケットヘッダ内に記述されているURLを読み取り、URLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。
【0088】
コンテンツID管理部1006は、各VCIに対する、取得許可あるいは取得不許可とするURLを管理している。すなわち、VCI=71に対し、www.server41.com/server41/contentA、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、VCI=72に対し、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、VCI=73に対し、www.server41.com/server41/contentCを取得許可とする管理を行う。
【0089】
URL「www.server41.com/server41/contentA」はVCI=71に対し取得許可であるため、コンテンツID管理部1006は、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得許可であることを伝える。応答結果がコンテンツ取得許可であるため、コンテンツID処理部1005は、該パケットを再びパケット転送処理部1002に戻し、パケット転送処理部1002は宛先に従い、該パケットをコンテンツ配信サーバ41に転送する。
【0090】
ここで、コンテンツID処理部1005がURLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う手法の代替手法として、VCIの代わりにユーザIDを用いる方法がある。これに伴い、コンテンツID管理部1006は、ユーザID=51および52に対し、www.server41.com/server41/contentA、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、ユーザID=53に対し、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、ユーザID=54に対し、www.server41.com/server41/contentCを取得許可とする管理を行う。
【0091】
さて、コンテンツ配信サーバ41が、コンテンツ取得要求パケット83を受信すると、コンテンツAを載せたコンテンツ配信パケット84をゲートウェイ装置1001に向け送信する。コンテンツ配信パケット84には、送信元アドレスとしてサーバID=41、宛先アドレスとしてユーザID=51が記載されている。
【0092】
パケット転送処理部1002はコンテンツ配信パケット84を受信すると、ヘッダ解析を行う。コンテンツ配信パケットの送信元ポート番号および宛先ポート番号は、コンテンツ取得要求パケットの送信元ポート番号および宛先ポート番号と入れ替えたかたちになっており、コンテンツ配信パケットの送信元ポート番号が80になる。コンテンツ配信パケット84の宛先ポート番号は80でないため、パケット転送処理部1002は該パケットをコンテンツID処理部1005には転送せず、直接、その宛先に従い、VCI=71に振分ける。
【0093】
以後の動作、すなわち、データ転送装置21がVCI=71から到着するコンテンツ配信パケット84を受信してから、コンテンツ配信パケット86をユーザ端末51が受信するまでの動作は、前記SYNおよびACKフラグを有するパケットを処理する動作と同様である。
【0094】
以上の一連の処理により、ユーザ端末51はコンテンツAを取得することができる。なお、図15に示すように、同一のTCPコネクション上にて引き続きHTTP要求パケットおよびHTTP応答パケットのやりとりを行う場合も、前述の処理手順に従う。
【0095】
さて、目的コンテンツの取得が終了すると、図15に示すようにユーザ端末51およびコンテンツ配信サーバ41はそれぞれ、FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットを送出し、TCPコネクションが切断される。これらのパケットに対する処理動作は、TCPコネクション確立パケットの処理動作と同じである。
【0096】
次に、仮想網3に属するユーザ端末54が、コンテンツ配信サーバ41に蓄積されるコンテンツAの取得要求を試みた場合のシーケンスを、図17を用い、以下に説明する。本例は本来、取得不許可となるため、ユーザ端末54はコンテンツを取得できない例となる。なお、TCPコネクション確立パケットの処理は前述と同様であるため、ここでは説明を省略し、HTTP要求パケットに関する処理を説明する。
【0097】
まずユーザ端末54は、宛先識別子=41、送信元識別子=54を記載したコンテンツ取得要求パケット81を送出する。
【0098】
データ転送装置25は、ライン64から到着するパケットに対し、仮想網ID=3を付与するように管理されており、コンテンツ取得要求パケット81を受信すると、該パケットに仮想網ID=3を付与し、コンテンツ配信網11内の仮想網3に該パケットを転送する。仮想網ID=3が付与されたコンテンツ取得要求パケット82は、仮想網ID=3に従い、仮想網3上を転送され、データ転送装置21に到着する。
【0099】
データ転送装置21は、コンテンツ取得要求パケット82を受信すると、仮想網ID=3が付与されていることから、該パケットをVCI=73に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。
【0100】
データ転送装置21からVCI=73を通じて転送されたコンテンツ取得要求パケット83を受信すると、ゲートウェイ装置1001のパケット転送処理部1002は、パケットヘッダの解析を行う。パケットヘッダのコネクション情報の中に予め定められた特定値として、宛先ポート番号=80を有することを確認すると、パケット転送処理部1002は、該パケットおよび、解析によって得られたVCI=71をコンテンツID処理部1005に転送する。
【0101】
コンテンツID処理部1005は、コンテンツ取得要求パケット83に対し、パケットヘッダ内に記述されているURLを読み取り、URLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。
【0102】
URL「www.server41.com/server41/contentA」はVCI=73に対し取得不許可であるため、コンテンツID管理部1006は、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得不許可であることを伝える。応答結果がコンテンツ取得不許可であるため、コンテンツID処理部1005は、コンテンツ取得要求パケット83をコンテンツ配信サーバ41に転送せず、廃棄する。
【0103】
以上により、コンテンツAの取得を許可されていないユーザ端末54は、コンテンツAを取得することができず、セキュリティが確保される。
【0104】
本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0105】
本実施例の別の形態として、図5および図6の形態も可能である。図5および図6のいずれの形態もコンテンツの取得動作シーケンスは図16および図17に示したものと同様である。
【0106】
図1の形態は、各コンテンツ配信サーバが、1つのゲートウェイ装置に繋がっているのに対し、図5の形態は、各ゲートウェイ装置と各コンテンツ配信サーバとの間に共通網12が存在する。共通網12の存在により、例えばコンテンツ配信サーバ41に接続する場合の経路がゲートウェイ装置31〜33の3通りとなり、トラヒックの分散に寄与できる。あるいは、図5の形態は、1つのデータ転送装置を通じて、各コンテンツ配信サーバに接続できるため、1つの仮想網が接続するデータ転送装置数を少なくさせることもできる。
【0107】
図6の形態は、各ゲートウェイ装置と各データ転送装置との間に共通網13が存在する。図6の形態も図5の形態と同様に、トラヒックの分散あるいは、1つの仮想網が接続するデータ転送装置数を少なくさせることに寄与する。ただし図6の形態の場合、ゲートウェイ装置31は仮想網毎のラインを持たず、共通網13と1つのラインで接続されるため、コンテンツの取得許可に関する管理は、コンテンツIDとユーザIDにより行う。
【0108】
なお、図1および図5の形態の場合、ゲートウェイ装置とデータ転送装置の各機能は1つの装置に集約することに実現できることは言うまでもない。
【0109】
(実施例6)
本実施例では図1において、コンテンツ配信サーバ41、42、43および44のサーバIDをそれぞれ、41、42、43および44とし、ユーザ端末51、52、53および54のユーザIDをそれぞれ51、52、53および54とする。また、コンテンツ配信サーバ41には、A、BおよびCの3つのコンテンツが蓄積されているものとする。コンテンツA、BおよびCのコンテンツIDは、各コンテンツのURLとして定義し、それぞれのURLをwww.server41.com/server41/contentA、www.server41.com/server41/contentB、およびwww.server41.com/server41/contentC、とする。コンテンツAは仮想網1に属するユーザの端末のみが接続を許可されたコンテンツ、コンテンツBは仮想網1および2に属するユーザ端末が接続を許可されたコンテンツ、コンテンツCは仮想網1、2および3に属するユーザ端末が接続を許可されたコンテンツであるものとする。本実施例では、仮想網1に属するユーザ端末51が、コンテンツ配信サーバ41に蓄積されるコンテンツAを取得する動作を、図1、図14、図15および図16を用い、以下に説明する。
【0110】
コンテンツ配信を行う場合、IPの上位にTCP(TransmissionControl Protocol)、さらにその上位にHTTP(Hypertext Transfer Protocol)を用いる。図15は、IP(Internet Protocol)通信におけるコンテンツ配信の一般的な通信シーケンスを示しており、大別してTCPコネクション確立、HTTP要求および応答、TCPコネクション切断の3フェーズから成る。まず、TCPのコネクション確立パケットとして、ユーザ端末51からのSYNフラグを有するパケット、コンテンツ配信サーバ41からのSYNおよびACKフラグを有するパケット、ユーザ端末51からのACKフラグを有するパケットの計3パケットがやりとりされる。TCPコネクション確立後、ユーザ端末51はコンテンツ取得要求パケットとして、要求コンテンツのURLが記載されたHTTP要求パケットを送出し、一方、コンテンツ配信サーバ41はその応答であるコンテンツ配信パケットとして、HTTP応答パケットを送出する。なお、1つのTCPコネクション上において、複数組のHTTP要求パケットおよびHTTP応答パケットが転送されることも可能である。目的コンテンツの取得が終了すると、ユーザ端末51およびコンテンツ配信サーバ41はそれぞれ、FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットを送出し、TCPコネクションが切断される。
【0111】
このようなコンテンツ配信の通信シーケンスに対し、図1および図14のゲートウェイ装置31(1001)は、以下に示す処理を行うことにより、仮想網毎に取得許可されているコンテンツのみ、コンテンツ配信サーバから取得可能となるように動作できる。
【0112】
データ転送装置24は、ライン61から到着するパケットに対し、仮想網ID=1を付与するように管理されており、ユーザ端末51からのSYNフラグを有するパケットを受信すると、該パケットに仮想網ID=1を付与し、コンテンツ配信網11内の仮想網1に該パケットを転送する。仮想網ID=1が付与された前記SYNフラグを有するパケットは、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置21に到着する。
【0113】
データ転送装置21は、仮想網ID=1が付与されたパケットをライン71に、仮想網ID=2が付与されたパケットをライン72に、仮想網ID=3が付与されたパケットをライン73に転送するように管理されており、前記SYNフラグを有するパケットを受信すると、仮想網ID=1が付与されていることから、該パケットをライン71に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。ラインの実現は、物理的な伝送路でもよいし、もしくは、ATM(Asynchronous Transfer Mode)のVPI(Virtual Path 識別子)やVCI(Virtual Channel 識別子)などの論理チャネルを用いてもよい。本実施例では、ATMのVCIにより実現され、ライン71、72および73はそれぞれ、VCI=71、72および73により区別されるものとする。
【0114】
ゲートウェイ装置1001は、パケットがどのVCIからのものであるかを識別する。ゲートウェイ装置1001は、データ転送装置21から前記SYNフラグを有するパケットを受信すると、パケット転送処理部1002において、そのパケットヘッダの解析を行う。パケット転送処理部1002は、パケットの解析により、仮想網IDであるVCIを読み取ると共に、コネクション情報、パケット種別を読み取る。コネクション情報は、パケットの送信元アドレスであるユーザID、宛先アドレスであるサーバID、送信元および宛先ポート番号である。また、パケット種別とは、TCPコネクション確立パケット、HTTP要求および応答パケットをはじめとするアプリケーション通信が行われるパケット、TCPコネクション切断パケットの3種類である。
【0115】
パケット転送処理部1002は、読み取ったコネクション情報をコネクション検索要求によって、コネクション管理部1003に送り、該コネクションが通信中であるか否かを検索する。コネクション管理部1003は、通信中のコネクション情報を管理しており、コネクション検索要求に対し、コネクション検索要求に対する応答として、該コネクションが通信中であるか否か(登録されているか否か)をパケット転送処理部1002に送る。前記SYNフラグを有するパケットを受信した段階では当然ながら、コネクション情報は登録されていないため、コネクション管理部1003は該コネクションが未登録であることをパケット転送処理部1002に通知する。
【0116】
前記通知を受けるとパケット転送処理部1002は、該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、パケットヘッダに記載されるコネクション情報をコネクション管理部1003に設定する。該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、コンテンツ配信サーバ41に転送される。
【0117】
コンテンツ配信サーバ41は、パケットの送信元アドレスとしてサーバID=41、宛先アドレスとしてユーザID=51が付与されたSYNおよびACKフラグを有するパケットを送出する。セキュリティ保証型コンテンツ配信装置1001のパケット転送処理部1002は、SYNおよびACKフラグを有するパケットを受信すると、前記ヘッダ解析によりパケット種別がTCPコネクション確立パケットであることを知り、該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、既にコネクション管理部1003に設定したコネクション情報と照合する。ここで既に設定したコネクション情報と照合する理由は、最初に受信したユーザ端末51からのSYNフラグを有するパケットの次ぎに、コンテンツ配信サーバ41からのSYNおよびACKフラグを有するパケット、さらにこの後にユーザ端末51から送出されるACKフラグを有するパケットがやりとりされているかを確認するために行う。上記3つのパケットのやりとりが確認されて、コネクション管理部1003に設定されたコネクション情報は本登録されたことになる。
【0118】
照合確認がとれると、該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、VCI=71に振分けられる。
【0119】
データ転送装置21は、VCI=71から到着するパケットに対し、仮想網ID=1を付与するように管理されており、前記SYNおよびACKフラグを有するパケットを受信すると、該パケットに仮想網ID=1を付与し、仮想網1に該パケットを転送する。仮想網ID=1が付与された前記SYNおよびACKフラグを有するパケットは、仮想網ID=1に従い、仮想網1上を転送され、データ転送装置24に到着する。
【0120】
データ転送装置24は、仮想網ID=1が付与されたパケットをライン61あるいはライン62に転送するように管理されており、さらにパケットの宛先識別子を読み取り、ライン61かライン62への振分けを判断する。したがって前記SYNおよびACKフラグを有するパケットを受信すると、仮想網ID=1が付与されていること、宛先識別子=51であることから、該パケットをライン61に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置24は仮想網IDを削除せず、付与したままにしておいてもよい。以上により、前記SYNおよびACKフラグを有するパケットはユーザ端末51に転送される。
【0121】
次にユーザ端末51は、パケットの送信元アドレスとしてユーザID=51、宛先アドレスとしてサーバID=41が付与されたACKフラグを有するパケットを送出する。以後、該パケットがデータ転送装置24からゲートウェイ装置1001まで転送されるまでの動作は、前記SYNフラグを有するパケットを処理する動作と同様である。また、ゲートウェイ装置1001内におけるACKフラグを有するパケットの処理動作は、前記SYNおよびACKフラグを有するパケットを処理する動作と同様である。
【0122】
以上の手順により、ゲートウェイ装置1001におけるTCPコネクション確立の処理が終了する。ここで、TCPコネクション確立パケットがパケット転送処理部1002だけで処理せず、コネクション処理部1004に転送され、また、コネクション管理部1003にてコネクション情報を管理する方法が有効な利用として、アプリケーションに依存せず、サーバ単位で各仮想網のユーザ端末の接続条件を規定する方法があげられる。この場合、パケット転送処理部1002あるいはコネクション処理部1004は、今までに述べた処理に加え、各仮想網の接続可能サーバのサーバIDを管理することにより実現する。
【0123】
次に、ユーザ端末51は、宛先識別子=41、送信元識別子=51を記載したコンテンツ取得要求パケット81を送出する。以後、ユーザ端末51がコンテンツ配信パケット86を受信するまでの処理は図16を用い、説明する。なお、コンテンツ取得要求パケット81がデータ転送装置24からゲートウェイ装置1001に転送されるまでの動作は、前記SYNフラグを有するパケットを処理する動作と同様である。
【0124】
ゲートウェイ装置1001のパケット転送処理部1002はコンテンツ取得要求パケット83を受信すると、コネクション管理部1003に対しコネクション検索要求を行う。その応答を通じて該コネクションが登録されていること、さらに、パケットヘッダのコネクション情報の中に予め定められた特定値として、宛先ポート番号=80を有することを確認すると、パケット転送処理部1002は、該パケットおよび、解析によって得られたVCI=71をコンテンツID処理部1005に転送する。
【0125】
コンテンツID処理部1005は、コンテンツ取得要求パケット83に対し、パケットヘッダ内に記述されているURLを読み取り、URLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。
【0126】
コンテンツID管理部1006は、各VCIに対する、取得許可あるいは取得不許可とするURLを管理している。すなわち、VCI=71に対し、www.server41.com/server41/contentA、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、VCI=72に対し、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、VCI=73に対し、www.server41.com/server41/contentCを取得許可とする管理を行う。
【0127】
URL「www.server41.com/server41/contentA」はVCI=71に対し取得許可であるため、コンテンツID管理部1006は、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得許可であることを伝える。応答結果がコンテンツ取得許可であるため、コンテンツID処理部1005は、該パケットを再びパケット転送処理部1002に戻し、パケット転送処理部1002は宛先に従い、該パケットをコンテンツ配信サーバ41に転送する。
【0128】
ここで、コンテンツID処理部1005がURLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う手法の代替手法として、VCIの代わりにユーザIDを用いる方法がある。これに伴い、コンテンツID管理部1006は、ユーザID=51および52に対し、www.server41.com/server41/contentA、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、ユーザID=53に対し、www.server41.com/server41/contentBおよびwww.server41.com/server41/contentCを取得許可とし、ユーザID=54に対し、www.server41.com/server41/contentCを取得許可とする管理を行う。
【0129】
さて、コンテンツ配信サーバ41が、コンテンツ取得要求パケット83を受信すると、コンテンツAを載せたコンテンツ配信パケット84をゲートウェイ装置1001に向け送信する。コンテンツ配信パケット84には、送信元アドレスとしてサーバID=41、宛先アドレスとしてユーザID=51が記載されている。
【0130】
パケット転送処理部1002はコンテンツ配信パケット84を受信すると、ヘッダ解析を行い、読み取ったコネクション情報をコネクション検索要求によって、コネクション管理部1003に送り、該コネクションが通信中であるか否かを検索する。該コネクションは既に登録されているため、コネクション管理部1003は、コネクション検索要求に対する応答として、該コネクションが通信中であることをパケット転送処理部1002に伝える。
【0131】
該コネクションが通信中であることを確認すると、パケット転送処理部1002は該パケットをその宛先に従い、VCI=71に振分ける。
【0132】
以後の動作、すなわち、データ転送装置21がVCI=71から到着するコンテンツ配信パケット84を受信してから、コンテンツ配信パケット86をユーザ端末51が受信するまでの動作は、前記SYNおよびACKフラグを有するパケットを処理する動作と同様である。
【0133】
以上の一連の処理により、ユーザ端末51はコンテンツAを取得することができる。なお、図15に示すように、同一のTCPコネクション上にて引き続きHTTP要求パケットおよびHTTP応答パケットのやりとりを行う場合も、前述の処理手順に従う。
【0134】
さて、目的コンテンツの取得が終了すると、図15に示すようにユーザ端末51およびコンテンツ配信サーバ41はそれぞれ、FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットを送出し、TCPコネクションが切断される。
【0135】
FINおよびACKフラグを有するパケット、およびACKフラグを有するパケットがユーザ端末51からゲートウェイ装置1001まで転送される動作、およびFINおよびACKフラグを有するパケット、およびACKフラグを有するパケットがコンテンツ配信サーバ41からゲートウェイ装置1001まで転送される動作は、今までに述べた動作と同じであるため、これらの説明は省略し、ゲートウェイ装置1001の内部処理のみを以下に説明する。
【0136】
パケット転送処理部1002は、FINおよびACKフラグを有するパケットを受信すると、ヘッダ解析を行い、パケット種別がTCPコネクション切断パケットであることを知り、該パケットをコネクション処理部1004に転送する。コネクション処理部1004は、転送された該パケットのパケットヘッダの解析を行い、コネクション管理部1003が管理している該コネクションのコネクション情報を削除する。該パケットは再びパケット転送処理部1002に戻され、パケットの宛先に従い、コンテンツ配信サーバ41に転送される。
【0137】
以後、コンテンツ配信サーバ41から送られるACKフラグを有するパケット、FINおよびACKフラグを有するパケット、およびユーザ端末51から送られるACKフラグを有するパケットについても、パケット転送処理部1002からコネクション処理部1004に転送される。コネクション処理部1004は、最初に受信したユーザ端末51からのFINおよびACKフラグを有するパケットの次ぎに、コンテンツ配信サーバ41から送られるACKフラグを有するパケット、FINおよびACKフラグを有するパケット、およびユーザ端末51から送られるACKフラグを有するパケットがやりとりされているかを確認する。確認がとれると各パケットは、再びパケット転送処理部1002に戻され、パケットの宛先に従い、外部に転送される。
【0138】
次に、仮想網3に属するユーザ端末54が、コンテンツ配信サーバ41に蓄積されるコンテンツAの取得要求を試みた場合のシーケンスを、図17を用い、以下に説明する。本例は本来、取得不許可となるため、ユーザ端末54はコンテンツを取得できない例となる。なお、TCPコネクション確立パケットの処理は前述と同様であるため、ここでは説明を省略し、HTTP要求パケットに関する処理を説明する。
【0139】
まずユーザ端末54は、宛先識別子=41、送信元識別子=54を記載したコンテンツ取得要求パケット81を送出する。データ転送装置25は、ライン64から到着するパケットに対し、仮想網ID=3を付与するように管理されており、コンテンツ取得要求パケット81を受信すると、該パケットに仮想網ID=3を付与し、コンテンツ配信網11内の仮想網3に該パケットを転送する。仮想網ID=3が付与されたコンテンツ取得要求パケット82は、仮想網ID=3に従い、仮想網3上を転送され、データ転送装置21に到着する。
【0140】
データ転送装置21は、コンテンツ取得要求パケット82を受信すると、仮想網ID=3が付与されていることから、該パケットをVCI=73に転送する。このとき、仮想網IDを削除するのが一般的だが、データ転送装置21は仮想網IDを削除せず、付与したままにしておいてもよい。
【0141】
データ転送装置21からVCI=73を通じて転送されたコンテンツ取得要求パケット83を受信すると、ゲートウェイ装置1001のパケット転送処理部1002は、コネクション管理部1003に対しコネクション検索要求を行う。その応答として該コネクションが登録されていること、さらに、パケットヘッダのコネクション情報の中に予め定められた特定値として、宛先ポート番号=80を有することを確認すると、パケット転送処理部1002は、該パケットおよび、解析によって得られたVCI=73をコンテンツID処理部1005に転送する。
【0142】
コンテンツID処理部1005は、コンテンツ取得要求パケット83に対し、パケットヘッダ内に記述されているURLを読み取り、URLおよびVCIをコンテンツID管理部1006に送り、コンテンツID検索要求を行う。
【0143】
URL「www.server41.com/server41/contentA」はVCI=73に対し取得不許可であるため、コンテンツID管理部1006は、コンテンツID処理部1005からのコンテンツID検索要求に対し、コンテンツ取得不許可であることを伝える。応答結果がコンテンツ取得不許可であるため、コンテンツID処理部1005は、コンテンツ取得要求パケット83をコンテンツ配信サーバ41に転送せず、廃棄する。
【0144】
以上により、コンテンツAの取得を許可されていないユーザ端末54は、コンテンツAを取得することができず、セキュリティが確保される。
【0145】
本実施例では、コンテンツ配信サーバ41に蓄積されたコンテンツについて説明したが、コンテンツ配信サーバ42〜44に蓄積されたコンテンツの取得方法についても同様の処理内容となる。
【0146】
本実施例の別の形態として、図5および図6の形態も可能である。図5および図6のいずれの形態もコンテンツの取得動作シーケンスは図16および図17に示したものと同様である。
【0147】
図1の形態は、各コンテンツ配信サーバが、1つのゲートウェイ装置に繋がっているのに対し、図5の形態は、各ゲートウェイ装置と各コンテンツ配信サーバとの間に共通網12が存在する。共通網12の存在により、例えばコンテンツ配信サーバ41に接続する場合の経路がゲートウェイ装置31〜33の3通りとなり、トラヒックの分散に寄与できる。あるいは、図5の形態は、1つのデータ転送装置を通じて、各コンテンツ配信サーバに接続できるため、1つの仮想網が接続するデータ転送装置数を少なくさせることもできる。
【0148】
図6の形態は、各ゲートウェイ装置と各データ転送装置との間に共通網13が存在する。図6の形態も図5の形態と同様に、トラヒックの分散あるいは、1つの仮想網が接続するデータ転送装置数を少なくさせることに寄与する。ただし図6の形態の場合、ゲートウェイ装置31は仮想網毎のラインを持たず、共通網13と1つのラインで接続されるため、コンテンツの取得許可に関する管理は、コンテンツIDとユーザIDにより行う。
なお、図1および図5の形態の場合、ゲートウェイ装置とデータ転送装置の各機能は1つの装置に集約することに実現できることは言うまでもない。
【0149】
(実施例7)
本実施例は実施例5において、パケット転送処理部1002が、ユーザ端末51からコンテンツ配信サーバ41に向け送られるACKフラグの値として1を持ち、TCPヘッダ以外に情報を持たないパケットの処理に関する実施例である。したがって本実施例の構成、条件は全て実施例5と同様である。
実施例5では述べなかったが、実際には図15の通信シーケンスにおいて、コンテンツ配信サーバ41から送られるHTTP応答パケットがユーザ端末51に到着すると、そのパケットが到着したことをコンテンツ配信サーバ41に伝えるために、ユーザ端末51は、コンテンツ配信サーバ41に向け、ACKフラグの値として1を持ち、TCPヘッダ以外に情報を持たないパケット(以後、本パケットをパケットAと呼ぶことにする)を送出する。同じくユーザ端末51から送出されるHTTP要求パケットは、基本的にユーザの操作に基づき生成されるのに対し、パケットAはHTTP応答パケットの到着に応じて自動的にユーザ端末内で生成される。パケットAの生成頻度は一般に、2個のHTTP応答パケットに対して1個の割合、もしくは1個のHTTP応答パケットに対して1個の割合である。
実際、コンテンツ配信パケット86を受信すると、ユーザ端末51はパケットAをコンテンツ配信サーバ41に向け送出する。途中経路にあるゲートウェイ1001はパケットAを受信すると、パケット転送処理部1002においてパケットヘッダの解析を行う。パケット転送処理部1002は、パケットAが、予め定められた特定値である宛先ポート番号=80を有すること、かつ、ACKフラグの値として1を持ち、TCPヘッダ以外に情報を持たないこと、を確認すると、HTTP要求パケットの場合の処理とは異なり、パケットAをコンテンツID処理部1005には転送せず、コンテンツ配信サーバに向け転送する。
なお、図15に示すように、同一TCPコネクション上にて引き続き転送されるHTTP応答パケットに対して生成されるパケットAについても、パケット転送処理部1002は同様の処理を行う。
【0150】
以上、本発明を、実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0151】
【発明の効果】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、以下のとおりである。
【0152】
本発明のゲートウェイ装置は、コンテンツIDの管理、各コンテンツを取得許可あるいは取得不許可とするユーザIDあるいは仮想網IDの管理、の各管理を行い、コンテンツ配信サーバ接続要求パケットに付与されているコンテンツIDおよびユーザID、仮想網IDを識別し、前記管理情報と照合することにより、コンテンツ取得許可の場合のみ該コンテンツ配信サーバにパケットを転送する処理を行う。このようなコンテンツ配信サーバ接続要求に対するセキュリティ処理をコンテンツ配信サーバより手前のゲートウェイ装置にて行うため、1つのコンテンツ配信サーバ内にコンテンツ取得条件の異なるコンテンツを共存させることができ、コンテンツ配信サーバの集約化が可能となる。すなわち本発明は、コンテンツ配信サーバのコスト削減とコンテンツ取得のセキュリティの両立を可能とする。
【0153】
また、ゲートウェイ装置の導入は、従来のデータ転送装置およびコンテンツ配信サーバの処理動作の変更を伴わないため、導入が容易であるという利点がある。
【0154】
本発明の動作は、コンテンツ配信サーバがゲートウェイ装置に直収される形態に限らず、ゲートウェイ装置とコンテンツ配信サーバとの間に共通網が存在する形態、ゲートウェイ装置とデータ転送装置との間に共通網が存在する形態にも適用可能であり、多様なネットワークに適用可能である。共通網の存在により、ある1つのコンテンツ配信サーバに接続する経路を複数とることができるため、トラヒックの分散に寄与できる。あるいは、共通網の存在により、1つのデータ転送装置を通じて、各コンテンツ配信サーバに接続できるため、1つの仮想網が接続するデータ転送装置数を少なくさせることもできる。
【0155】
また本発明は、仮想網間で同一の実ユーザIDが使用されている場合に対処するため、ゲートウェイ装置にて、コンテンツ配信サーバ接続要求パケットに送信元として付与されている実ユーザIDを、共通体系ユーザIDに変換および付与し直すことにより、コンテンツ配信サーバとゲートウェイ装置との間のライン上においてユーザIDの重複を回避する機能を有する。これにより、本発明によるコンテンツ配信は、各仮想網で運用されている実ユーザIDがプライベートアドレスで運用されている場合にも通用可能である。
【0156】
また、本発明におけるセキュリティ保証型コンテンツ配信システムの内部処理構造は、HTTP要求パケットのようにURLを検索する必要があるパケットのみ、コンテンツID処理部1005およびコンテンツID管理部1006にて処理を行い、コンテンツを搭載するHTTP応答パケットに関する処理は、パケット転送処理部1002等の汎用処理部のみで処理するため、コンテンツ配信処理の高速化を可能とする。また、コンテンツ配信サービス以外の通信アプリケーションを追加する場合にも、パケット転送処理部1002、コネクション管理部1003およびコネクション処理部1004は共通化できるため、サービス拡張性にも優れる。
また、本発明のゲートウェイ装置は、ユーザ端末から送出される生成頻度の高いパケットAをコンテンツID処理部1005には転送しない処理を有することにより、コンテンツID処理部1005の処理の軽減に貢献する。
【図面の簡単な説明】
【図1】本発明に基づくコンテンツ配信システムを示す図である。
【図2】従来技術に基づくコンテンツ配信システムを示す図である。
【図3】実施例1におけるユーザ端末51がコンテンツAを取得する動作シークエンスを示す図である。
【図4】実施例1におけるユーザ端末54がコンテンツAの取得動作を起こした場合のシークエンスを示す図である。
【図5】本発明に基づく第2のコンテンツ配信システムの形態を示す図である。
【図6】本発明に基づく第3のコンテンツ配信システムの形態を示す図である。
【図7】実施例2におけるコンテンツ配信システムを示す図である。
【図8】実施例2におけるユーザ端末51がコンテンツAを取得する動作シークエンスを示す図である。
【図9】実施例3における仮想サーバIDの付与方法(その1)を示す図である。
【図10】実施例3における仮想サーバIDの付与方法(その2)を示す図である。
【図11】実施例3におけるユーザ端末51がコンテンツAを取得する動作シークエンスを示す図である。
【図12】コンテンツ配信サーバ接続要求の最大数超過のため、ユーザ端末51が接続拒否された例のシークエンスを示す図である。
【図13】ゲートウェイ装置の内部処理の実現手段の例を示す図である。
【図14】コネクション処理部およびコネクション管理部を有するゲートウェイ装置の内部処理の実現手段の例を示す図である。
【図15】コンテンツ配信の一般的な通信シークエンスを示す図である。
【図16】実施例5、6においてユーザ端末51がコンテンツAを取得する動作シークエンスを示す図である。
【図17】実施例5、6においてユーザ端末54がコンテンツAの取得動作を起こした場合のシークエンスを示す図である。
【符号の説明】
1…仮想網1 2…仮想網2 3…仮想網3
11…コンテンツ配信網
12,13…共通網
21〜25…データ転送装置
31〜33…ゲートウェイ装置
41〜44…コンテンツ配信サーバ
51,52…仮想網1のユーザ端末
53…仮想網2のユーザ端末
54…仮想網3のユーザ端末
61〜64,71〜79,91〜93…ライン
81〜83,87…コンテンツ配信サーバ接続要求
84〜86,88…コンテンツ配信パケット
141,144,147…仮想網1用コンテンツ配信サーバ
142,145,148…仮想網2用コンテンツ配信サーバ
143,146,149…仮想網3用コンテンツ配信サーバ
1001…ゲートウェイ装置
1002…パケット転送処理部
1003…コネクション管理部
1004…コネクション処理部
1005…コンテンツID処理部
1006…コンテンツID管理部
Claims (16)
- 通信網に接続され、
少なくとも1つ以上のコンテンツを蓄積する少なくとも1つ以上のコンテンツ配信サーバを収容し、
前記通信網内の任意の仮想網に収容されたユーザ端末からのコンテンツ配信サーバ接続要求を受信して、前記コンテンツ配信サーバから前記ユーザ端末に該当するコンテンツを転送するゲートウェイ装置であって、
前記ゲートウェイ装置は、
各コンテンツに付与されたコンテンツIDと、各コンテンツ対応に取得許可あるいは取得不許可とする仮想網IDとを管理する手段と、
前記コンテンツ配信サーバ接続要求のパケットに付与されたコンテンツID及び仮想網IDと、前記管理手段の管理情報とを照合する手段と、
前記照合の結果、コンテンツ取得許可の場合は、コンテンツ配信サーバに前記コンテンツ配信サーバ接続要求パケットを転送し、コンテンツ取得不許可の場合は、前記コンテンツ配信サーバ接続要求パケットの転送を行わない手段を有することを特徴とするゲートウェイ装置。 - 前記仮想網IDは、ユーザ単位、複数ユーザ単位、コンテンツ単位、複数コンテンツ単位、コンテンツホルダ単位あるいは複数コンテンツホルダ単位に形成される仮想網毎に付与された仮想網IDであることを特徴とする請求項1記載のゲートウェイ装置。
- 前記管理手段は、前記仮想網IDの代わりに各仮想網に収容されたユーザIDを管理し、
前記照合手段は、前記コンテンツ配信サーバ接続要求のパケットに付与されたユーザID及びコンテンツIDと、前記管理手段の管理情報とを照合することを特徴とする請求項2記載のゲートウェイ装置。 - 前記通信網と前記ゲートウェイ装置の間にデータ転送装置を備え、
前記データ転送装置は、前記ゲートウェイ装置との間に仮想網対応のラインを有し、
コンテンツ配信サーバ接続要求のパケットに付与された仮想網IDに対応する前記ラインに前記コンテンツ配信サーバ接続要求パケットを送出する手段を備え、
前記管理手段は、前記仮想網IDの代わりに前記ラインのラインIDを管理し、
前記照合手段は、前記コンテンツ配信サーバ接続要求パケットを受信したラインID及び前記パケットに付与されたコンテンツIDと、前記管理手段の管理情報とを照合することを特徴とする請求項2記載のゲートウェイ装置。 - 前記ゲートウェイ装置は、コンテンツ取得許可された後にコンテンツ配信サーバから送られるコンテンツを載せたパケットを、前記仮想網IDを有する仮想網に振分ける手段を有する請求項2ないし請求項4のうちいずれか1項に記載のゲートウェイ装置。
- 外部から受信するパケットのパケットヘッダの解析、あるいはパケットが入力された仮想網の識別のうち少なくともパケットヘッダの解析を行う手段と、解析によって得られたコネクション情報の中に予め定められた特定値を有する場合に、該パケットおよび、前記解析によって得られたユーザIDあるいは仮想網IDをコンテンツID処理部に転送する手段を有するパケット転送処理部と、
前記パケット転送処理部から転送された特定値を有するパケットに対し、パケットヘッダ内に記述されているコンテンツIDを読み取る手段と、読み取ったコンテンツIDおよび、パケット転送処理部から転送されたユーザIDあるいは仮想網IDをコンテンツID管理部に送り、コンテンツID検索要求を行う手段と、コンテンツID管理部からの該コンテンツID検索要求に対する応答結果が、コンテンツ取得許可の場合は該パケットをコンテンツ配信サーバヘ転送し、コンテンツ取得不許可の場合は前記コンテンツ配信サーバヘの転送を行わない手段を有する前記コンテンツID処理部と、
各ユーザIDあるいは各仮想網IDに対する、取得許可あるいは取得不許可とするコンテンツIDの管理を行う手段と、前記コンテンツID処理部からのコンテンツID検索要求に対し、前記管理情報との照合に基づき、コンテンツ取得許可あるいはコンテンツ取得不許可のいずれかの検索結果を応答する手段を有する前記コンテンツID管理部、
とから構成される請求項1ないし請求項5のうちいずれか1項に記載のゲートウェイ装置。 - 請求項6記載のゲートウェイ装置において、
前記パケット転送処理部は、外部から受信するパケットのパケットヘッダの解析、あるいはパケットが入力された仮想網の識別のうち少なくともパケットヘッダの解析を行う手段と、解析によって得られたコネクション情報のコネクション検索要求をコネクション管理部に行う手段と、コネクション管理部からのコネクション検索要求に対する応答結果が登録なしの場合、あるいは、受信したパケットがコネクション確立パケットあるいはコネクション切断パケットの場合に、該パケットをコネクション処理部に転送する手段と、該コネクション検索要求に対する応答結果が登録あり、かつ、該コネクション情報の中に予め定められた特定値を有する場合は、該パケットおよび、前記解析によって得られたユーザIDあるいは仮想網IDをコンテンツID処理部に転送する手段を有し、
前記パケット転送処理部から転送されたパケットのパケットヘッダの解析を行う手段と、パケットがコネクション確立パケットの場合、パケットヘッダに記載されるコネクション情報をコネクション管理部に設定する手段と、パケットがコネクション切断パケットの場合、コネクション管理部が管理している該コネクションのコネクション情報を削除する手段を有する前記コネクション処理部と、
前記コネクション情報を管理し、前記パケット転送処理部からのコネクション検索要求に対し、検索結果を応答する手段を有する前記コネクション管理部とを有することを特徴とするゲートウェイ装置。 - 前記ゲートウェイ装置は、コンテンツID、ユーザID、仮想網IDの少なくとも1つ以上のID毎に最大許容接続数を管理する手段を備え、いずれかの最大許容接続数を超過した場合に、コンテンツ配信サーバ接続要求パケットのコンテンツ配信サーバヘの転送を行わない手段を有することを特徴とする請求項2ないし請求項7のうちいずれか1項に記載のゲートウェイ装置。
- 前記ゲートウェイ装置は、コンテンツ配信サーバ接続要求パケットの送信元として付与されたユーザIDを共通体系ユーザIDに変換し付与する手段と、
コンテンツ取得許可された後にコンテンツ配信サーバから送られるコンテンツを載せたパケットに付与されている共通体系ユーザIDを前記ユーザIDに変換し付与する手段を有することを特徴とする請求項2ないし請求項7のうちいずれか1項に記載のゲートウェイ装置。 - 前記ゲートウェイ装置は、前記共通体系ユーザIDに付与すべき値として、仮想網ID毎に使用可能な範囲を定めることを特徴とする請求項9記載のゲートウェイ装置。
- 前記ゲートウェイ装置は、前記コンテンツ配信サーバの実サーバIDに対し、ユーザID毎あるいは仮想網ID毎に仮想サーバIDを有し、
コンテンツ配信サーバ接続要求パケットに宛先として付与された仮想サーバIDを、前記実サーバIDに変換し付与する手段と、
コンテンツ取得許可された後にコンテンツ配信サーバから送られるコンテンツを載せたパケットに付与されている実サーバIDを仮想サーバIDに変換し付与する手段を有することを特徴とする請求項2ないし請求項7のうちいずれか1項に記載のゲートウェイ装置。 - 前記ゲートウェイ装置は、仮想サーバIDを実サーバIDに変換し付与する際、実サーバIDは、コンテンツ配信サーバ接続要求パケットで要求されたコンテンツを格納するコンテンツ配信サーバが複数有る場合、情報トラヒック量あるいは処理負荷量の小さいコンテンツ配信サーバの実サーバIDを選択する手段を有することを特徴とする請求項11記載のゲートウェイ装置。
- 前記コンテンツIDは、URLあるいはURLの一部であって、
前記管理手段は、前記URLあるいは前記URLの一部対応に取得許可あるいは取得不許可とする仮想網IDを管理し、
前記照合手段は、前記コンテンツ配信サーバ接続要求のパケットに付与されたURL及び仮想網IDと、前記管理手段の管理情報とを照合することを特徴とする請求項1または請求項2記載のゲートウェイ装置。 - 請求項6または7記載のゲートウェイ装置において、
前記パケット転送処理部は、外部から受信するパケットがヘッダ情報しか有さないパケットである場合、該パケットをコンテンツID処理部に転送しない手段を有することを特徴とするゲートウェイ装置。 - 請求項7記載のゲートウェイ装置において、
前記パケット転送処理部は、外部から受信するパケットがヘッダ情報しか有さないパケットである場合、該コネクション検索要求に対する応答結果が登録あり、かつ、該コネクション情報の中に予め定められた特定値を有する場合においても、該パケットをコンテンツID処理部に転送しない手段を有することを特徴とするゲートウェイ装置。 - 請求項14または15記載のヘッダ情報しか有さないパケットは、
前記コンテンツ配信サーバから送られるコンテンツを載せたパケットが前記ユーザ端末に到着あるいは未到着であることを伝えるために、前記ユーザ端末から前記コンテンツ配信サーバに向け送出されるパケットであり、通信プロトコルとしてTCP(Transmission Control Protocol)を用いており、そのACK(Acknowledgement)フラグの値が1を有し、TCPヘッダ以外に情報を持たないパケットであることを特徴とするゲートウェイ装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002215937A JP3771523B2 (ja) | 2001-08-28 | 2002-07-25 | ゲートウェイ装置 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001257773 | 2001-08-28 | ||
| JP2001-257773 | 2001-08-28 | ||
| JP2001-306516 | 2001-10-02 | ||
| JP2001306516 | 2001-10-02 | ||
| JP2002215937A JP3771523B2 (ja) | 2001-08-28 | 2002-07-25 | ゲートウェイ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003218951A JP2003218951A (ja) | 2003-07-31 |
| JP3771523B2 true JP3771523B2 (ja) | 2006-04-26 |
Family
ID=27670215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002215937A Expired - Fee Related JP3771523B2 (ja) | 2001-08-28 | 2002-07-25 | ゲートウェイ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3771523B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4273973B2 (ja) | 2004-01-15 | 2009-06-03 | ソニー株式会社 | 情報通信システム、送信装置及び送信方法、並びにコンピュータ・プログラム |
| JP4930856B2 (ja) * | 2008-03-04 | 2012-05-16 | 九州日本電気ソフトウェア株式会社 | 通信システム、ゲートウェイ装置、クライアント装置、コンピュータ名変換方法およびプログラム |
| US8910270B2 (en) | 2009-01-20 | 2014-12-09 | Microsoft Corporation | Remote access to private network resources from outside the network |
| JP5389738B2 (ja) * | 2010-06-04 | 2014-01-15 | 日本電信電話株式会社 | 識別子管理システム、情報管理サーバ、相互接続先管理サーバ、識別子管理方法、情報管理プログラム、相互接続先管理プログラム |
-
2002
- 2002-07-25 JP JP2002215937A patent/JP3771523B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003218951A (ja) | 2003-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4053967B2 (ja) | Vlanサーバ | |
| US6665304B2 (en) | Method and apparatus for providing an integrated cluster alias address | |
| USRE43051E1 (en) | Enabling a service provider to provide intranet services | |
| CN102893556B (zh) | 用于源对等体基于容量的Diameter负载共享的方法、系统和设备 | |
| US7839857B2 (en) | Packet forwarding apparatus with function of limiting the number of user terminals to be connected to ISP | |
| JP3633321B2 (ja) | 広域負荷分散装置及び方法 | |
| CN1954576B (zh) | 处理启动请求的方法、装置和系统 | |
| EP0607681A2 (en) | Parallel computer system | |
| US20020184529A1 (en) | Communicating data through a network | |
| US20060143699A1 (en) | Firewall device | |
| CN101076978B (zh) | 一种用于在服务器间分配负载的方法 | |
| CN103460653A (zh) | 计算机系统和通信方法 | |
| JPH09149036A (ja) | アドレス解決方法 | |
| US7570647B2 (en) | LAN type internet access network and subscriber line accommodation method for use in the same network | |
| JP3771523B2 (ja) | ゲートウェイ装置 | |
| JP4374202B2 (ja) | ストリーム配信計算機、プログラム、nas装置 | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| JP3727561B2 (ja) | セキュリティ保証型コンテンツ配信サービス方法、コンテンツ配信システムおよびコンテンツ配信サーバ | |
| JP2006033106A (ja) | サービス提供プラットフォームシステム | |
| JP3779576B2 (ja) | ゲートウェイ装置 | |
| JP3908564B2 (ja) | 複数のフローから構成されるコンテンツ配信サービス向けゲートウェイ装置、コンテンツ配信サーバ装置、およびコンテンツ配信システム | |
| JP3776366B2 (ja) | 複数フローから構成されるコンテンツ配信サービス向けゲートウェイ装置 | |
| CN1996887A (zh) | 一种高服务质量资源分配方法、装置及系统 | |
| JP3898119B2 (ja) | ファイアウォール多重装置およびパケット振分け方法 | |
| KR100920327B1 (ko) | 서비스 처리 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040728 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051221 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060207 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060209 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090217 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100217 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110217 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110217 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120217 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130217 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |