JP2005175635A - ネットワーク間接続制御方法及びシステム装置 - Google Patents

ネットワーク間接続制御方法及びシステム装置 Download PDF

Info

Publication number
JP2005175635A
JP2005175635A JP2003409539A JP2003409539A JP2005175635A JP 2005175635 A JP2005175635 A JP 2005175635A JP 2003409539 A JP2003409539 A JP 2003409539A JP 2003409539 A JP2003409539 A JP 2003409539A JP 2005175635 A JP2005175635 A JP 2005175635A
Authority
JP
Japan
Prior art keywords
user
user terminal
address
connection control
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003409539A
Other languages
English (en)
Inventor
Hiroshi Watanabe
ひろし 渡邉
Noriyuki Onishi
教之 大西
Nobuhide Nishiyama
伸英 西山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003409539A priority Critical patent/JP2005175635A/ja
Publication of JP2005175635A publication Critical patent/JP2005175635A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】一のユーザネットワーク上のユーザ端末から所定通信アプリケーションの実行を要求されたときにのみ、他のユーザネットワーク上のユーザ端末との通信を許可するユーザネットワーク間接続制御方法及びシステム装置を提供する。
【解決手段】通信用アプリケーションサーバ1内に、通信アプリケーションによる接続制御のセッション確立を要求した発信元ユーザ端末(UTm)、及びその確立を要求された送信先ユーザ端末(UTn)を特定しうるノード情報を収集するノード情報収集処理部11を具備させ、接続制御サーバ2内に、当該ノード情報に基づき発信元ユーザ端末と送信先ユーザ端末との間の通信の可否を判定する通信可否判定処理部22と、発信元ユーザ端末と送信先ユーザ端末とを結ぶ複合ネットワーク上に存在する全経路上スイッチ(SW1〜SW3)を制御してフィルタリング設定を変更するフィルタリング設定変更処理部24とを具備させる。
【選択図】図2

Description

本発明は、ネットワーク間接続制御方法及びシステム装置に関し、詳しくは、マンションやアパートなどの集合住宅の各戸に敷設され、居住者など通信事業者以外の主体により管理される私的な複数のユーザネットワークと、これら複数のユーザネットワークから物理的に独立して構成され、上記集合住宅内において居住者の代表又は通信事業者により管理される共有ネットワークと、上記複数のユーザネットワークと共有ネットワークとを相互に接続する1以上のスイッチとを有して構成される複合ネットワークにおいて、通常では禁止されている上記複数のユーザネットワーク上におけるユーザ端末間の接続制御を行うためのネットワーク間接続制御方法、及びその実施に直接使用されるネットワーク間接続制御システム装置に係わる。
昨今の光通信技術の普及に伴い、各種集合住宅の内部にも高速ネットワーク回線が敷設されるようになり、いわゆるブロードバンドによるインターネット接続サービスが提供されている。
このようなネットワーク環境を実現する場合、集合住宅内において居住者の代表又は通信事業者により管理される、例えば光ファイバを利用した共有ネットワークと、集合住宅内の各戸毎のユーザネットワークとの境界にルータを設置し、これら2つのネットワークからなる複合ネットワークを分割して運用する。
また、各戸毎のユーザネットワークにおいても、所要により複数のユーザ端末を使用する場合、各戸内の上記ルータに、レイヤ2スイッチ(レイヤ2:OSI参照モデル第2層.OSI:Open System Interconnection)やリピータなどを接続し、これらスイッチやリピータの配下の個別ネットワークを、それぞれ独立したユーザネットワークとして運用することも可能である。
以上のような形態をなす複合ネットワークを運用する場合、通常、ある戸のユーザネットワークに接続されたユーザ端末から、隣戸のユーザネットワークに接続されたユーザ端末への直接通信を禁止するためのネットワーク設定が施され、これにより、各戸のユーザのプライバシー保護を重視した運用ポリシーが採られる。
このような運用ポリシーに即したネットワーク構成を得る技法としては、例えば、各戸毎のユーザネットワークに、VLAN(Virtual Local Area Network.仮想LAN)における個別のVLAN ID(Identifier.識別子)を付与することにより、複数のユーザネットワーク間の通信を論理的に制限する技法などが存在する。
なお、複数のユーザネットワークを分割して通信制限を行う他の技法は、以下に示す特許文献1に開示されている。また、実際のLANにおいてネットワークを複数のセグメントに分割し、各セグメント間でユーザ端末通信のアクセス制限に関する情報を管理する技法は、下記の特許文献2に開示されている。
特開2001−306421号公報 特開2002−232451号公報
上述したLANを適用したネットワーク環境下で、各ユーザネットワーク上のユーザ端末がインターネット接続を行う場合、当該ユーザ端末は、直接又はルータを介して、プロバイダとPPPoE(Point to Point Protocol over Ethernet(登録商標))による接続を行う。しかしながら、集合住宅内の複合ネットワークは、それ自体、企業や大学内のLANと同等な機能を有するため、異なるユーザネットワーク間の各ユーザ端末同士で、例えば、監視カメラやテレビ電話などの通信アプリケーションを実行して通信を行うことが可能である。
なお、企業や大学内などのプライベートネットワークをインターネットに接続する場合には、通常、双方のネットワークの境界にファイアウォールを設置し、これらネットワーク間で、例えば、メディアセッションを実現するRFC3261準拠(RFC:Request For Comments)のSIPプロトコル(SIP:Session Invitation Protocol)を利用して、上記ファイアウォールを越えた双方向通信を行う場合には、SIP ALG(SIP Application Level Gateway)や、或いは、ファイアウォールと連携して動作するファイアウォール制御プロキシを利用するのが一般的である。
上述のように、集合住宅内のユーザがインターネットから単に情報を享受する形態にとどまらず、今後は、各戸内のユーザネットワーク上におけるユーザ端末同士がピアツーピア通信を行ったり、或いは、情報を直接交換する形態が普及するものと予想される。このような通信形態が実現すれば、インターネットを経由させることなく、集合住宅内の複合ネットワークのみを経由した通信が可能となるため、より高速な通信が可能となる。
これを実現するには、まず、プライバシー保護の観点から、ユーザネットワーク間のユーザ端末同士の直接通信は原則的に禁止し、限定された通信アプリケーションのみによる通信を可能とする技法が不可欠となる。また、実際に通信を行うユーザ端末間又はユーザ間で、使用を許可する通信アプリケーションの種類を事前に限定する技法も必要になると予想される。
さらに、従来のように、SIP ALGやファイアウォール制御プロキシなどを利用したネットワークシステムの場合は、集合住宅内のユーザネットワークにおいて使用が想定される複数のスイッチを連携動作させることは困難であり、加えて、SIP以外のプロトコルを適用した他の通信アプリケーションを利用することは不可能である。
ここにおいて、本発明の解決すべき主要な目的は、次のとおりである。
即ち、本発明の第1の目的は、ユーザネットワーク間のユーザ端末同士の直接通信を定常時において禁止し、当該ユーザ端末又はそのユーザ自身から所定の通信アプリケーションの実行を要求されたときにのみネットワーク間通信を許可することの可能なネットワーク間接続制御方法及びシステム装置を提供せんとするものである。
本発明の第2の目的は、複数の通信アプリケーションによる通信を、ユーザの選択に応じ多様な形態で行うことの可能なネットワーク間接続制御方法及びシステム装置を提供せんとするものである。
本発明の第3の目的は、ファイアウォール及びこれを制御する機構を要しないネットワーク間接続制御方法及びシステム装置を提供せんとするものである。
本発明の他の目的は、明細書、図面、特に特許請求の範囲の各請求項の記載から、自ずと明らかとなろう。
本発明方法においては、共有ネットワークに設置した通信用アプリケーションサーバに、通信アプリケーションによる接続制御のセッションの確立を要求した発信元ユーザ端末、及び当該セッションの確立を要求された送信先ユーザ端末を特定するための情報を収集させて、これを共有ネットワークに別途設置した接続制御サーバに向け通知させ、この通知された情報に基づいて、当該接続制御サーバに、発信元ユーザ端末と送信先ユーザ端末との間のネットワーク間通信の可否を判定させ、当該ネットワーク間通信が可能と判定された場合に、発信元ユーザ端末と送信先ユーザ端末とを結ぶ複合ネットワーク上に存在する全ての経路上スイッチを制御させて、ネットワーク間通信に関するフィルタリング設定を定常時の禁止設定から許可設定へと変更させる、という特徴的構成手法を講じる。
本発明装置においては、上記通信用アプリケーションサーバ内に、通信アプリケーションによる接続制御のセッションの確立を要求した発信元ユーザ端末、及び当該セッションの確立を要求された送信先ユーザ端末を特定するためのノード情報を収集して、これを上記接続制御サーバに通知するノード情報収集処理手段を具備させ、当該接続制御サーバ内に、上記ノード情報に基づいて、発信元ユーザ端末と送信先ユーザ端末との間のネットワーク間通信の可否を判定する通信可否判定処理手段と、当該ネットワーク間通信が可能と判定された場合に、発信元ユーザ端末と送信先ユーザ端末とを結ぶ複合ネットワーク上に存在する全ての経路上スイッチを制御して、ネットワーク間通信に関するフィルタリング設定を定常時の禁止設定から許可設定へと変更するフィルタリング設定変更処理手段とを具備させる、という特徴的構成手段を講じる。
さらに、具体的詳細に述べると、当該課題の解決では、本発明が次に列挙する上位概念から下位概念に亙る新規な特徴的構成手法又は手段を採用することにより、前記目的を達成するよう為される。
即ち、本発明方法の第1の特徴は、それぞれにつき1以上のユーザ端末の設置を許容して構成される複数のユーザネットワークと、これら複数のユーザネットワークから物理的に独立して構成される共有ネットワークと、OSI参照モデルの第4層以上の処理が可能であり、前記複数のユーザネットワークと前記共有ネットワークとを相互に接続する1以上のスイッチとを有して構成され、当該1以上のスイッチが、その定常時において、前記複数のユーザネットワーク上に存在する全ての前記ユーザ端末と前記共有ネットワーク上に存在する任意のホスト端末との間の相互通信を許可し、かつ、前記複数のユーザネットワーク上に個々に存在する前記ユーザ端末間のネットワーク間通信を禁止するフィルタリング設定を施されてなる複合ネットワークにおいて、前記複数のユーザネットワーク上における前記ユーザ端末間の接続制御を行うためのネットワーク間接続制御方法であって、前記共有ネットワークが、前記任意のホスト端末として、前記ネットワーク間通信を許可するネットワークアーキテクチャ上に存在する任意のユーザ端末同士の接続制御を所定のプロトコルにより実施することの可能な通信アプリケーションを導入されてなる通信用アプリケーションサーバと、前記ネットワーク間通信を禁止された前記ユーザ端末間の前記接続制御を前記通信用アプリケーションサーバと協働して実施するための接続制御サーバとを具備し、当該接続制御サーバが、前記通信アプリケーションによる前記接続制御に先立ち、前記ネットワーク間通信を希望する前記ユーザ端末毎に、該当する一のユーザネットワーク上における一のユーザ端末のIPアドレス、及び当該一のユーザ端末が通信を許可する他のユーザネットワーク上における他のユーザ端末のIPアドレスを対応付けて自身に登録する処理を実施し、前記通信用アプリケーションサーバが、前記通信アプリケーションによる前記接続制御のセッションの開始に伴い、当該セッションの確立を要求した発信元ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号、並びに当該セッションの確立を要求された送信先ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号を収集して、これらを対応付けながら前記接続制御サーバに通知する処理を実施し、当該接続制御サーバが、前記通信用アプリケーションサーバから通知された前記送信先ユーザ端末の前記IPアドレスが、前記一のユーザ端末の前記IPアドレスとして登録され、かつ、当該通信用アプリケーションサーバから通知された前記発信元ユーザ端末の前記IPアドレスが、その登録に係る前記一のユーザ端末が通信を許可する前記他のユーザ端末の前記IPアドレスとして登録されているか否かを検証して、前記発信元ユーザ端末と前記送信先ユーザ端末との間の前記ネットワーク間通信の可否を判定する処理と、この判定の結果、当該ネットワーク間通信が可能とされた場合に、前記1以上のスイッチのうち前記発信元ユーザ端末と前記送信先ユーザ端末とを結ぶ前記複合ネットワーク上に存在する全ての経路上スイッチを制御して、前記ネットワーク間通信に関する前記フィルタリング設定を定常時の禁止設定から許可設定へと変更する処理とを順次実施してなる、ネットワーク間接続制御方法の構成採用にある。
本発明方法の第2の特徴は、上記本発明方法の第1の特徴における前記接続制御サーバが、前記一のユーザ端末の前記IPアドレス及び前記他のユーザ端末の前記IPアドレスを登録することに代え、前記通信アプリケーションによる前記接続制御に先立ち、前記ネットワーク間通信を希望するユーザ毎に、該当する一のユーザに付与されたユーザID、及び当該一のユーザが通信を許可する他のユーザに付与されたユーザIDを対応付けて自身に登録する処理を実施し、前記ユーザ端末が、前記通信アプリケーションによる前記接続制御のセッションの開始直前に、自身に付与されているIPアドレスと共に、当該セッションの確立を要求しようとする前記ユーザに予め付与されたユーザIDを取得して、これらを対応付けながら前記接続制御サーバに通知する処理を実施し、当該接続制御サーバが、前記ユーザ端末から通知された前記ユーザIDが適正なものである場合に、前記通信用アプリケーションサーバから通知された前記発信元ユーザ端末の前記IPアドレス及び前記送信先ユーザ端末の前記IPアドレスを、それぞれ、前記ユーザ端末から通知された対応する発信元ユーザID及び送信先ユーザIDに変換する処理と、前記送信先ユーザ端末の前記IPアドレス及び前記発信元ユーザ端末の前記IPアドレスに基づいて前記ネットワーク間通信の可否を判定することに代え、変換された前記送信先ユーザIDが、前記一のユーザの前記ユーザIDとして登録され、かつ、変換された前記発信元ユーザIDが、その登録に係る前記一のユーザが通信を許可する前記他のユーザの前記ユーザIDとして登録されているか否かを検証して、前記発信元ユーザ端末と前記送信先ユーザ端末との間の前記ネットワーク間通信の可否を判定する処理とを順次実施してなる、ネットワーク間接続制御方法の構成採用にある。
本発明方法の第3の特徴は、上記本発明方法の第1又は第2の特徴における前記接続制御サーバが、前記1以上のスイッチの前記フィルタリング設定を変更する処理を実施するに先立ち、前記通信用アプリケーションサーバから通知された前記発信元ユーザ端末の前記IPアドレス及び前記送信先ユーザ端末の前記IPアドレスと、自身に予め登録された前記複数のユーザネットワークの各IPアドレス、並びに前記1以上のスイッチのIPアドレス及び前記共有ネットワークとの接続に使用される物理ポート番号とに基づいて、前記ネットワーク間通信に関する前記フィルタリング設定を変更する際の制御対象をなす前記全ての経路上スイッチの当該IPアドレス、及び前記共有ネットワークとの接続に使用される当該物理ポート番号を識別する処理を実施してなる、ネットワーク間接続制御方法の構成採用にある。
本発明方法の第4の特徴は、上記本発明方法の第1の特徴における前記接続制御サーバが、前記1以上のスイッチの前記フィルタリング設定を変更する処理を実施するに際し、前記通信用アプリケーションサーバから通知された前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、識別された前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号とを対応付けて自身に保存する処理を併せて実施してなる、ネットワーク間接続制御方法の構成採用にある。
本発明方法の第5の特徴は、上記本発明方法の第4の特徴における前記接続制御サーバが、前記通信アプリケーションによる前記接続制御のセッションの終了直後に、自身に保存された前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号とに基づいて、前記ネットワーク間通信に関する前記フィルタリング設定を前記許可設定から定常時の前記禁止設定へと復旧させる処理をさらに実施してなる、ネットワーク間接続制御方法の構成採用にある。
本発明方法の第6の特徴は、上記本発明方法の第1、第2、第3、第4又は第5の特徴における前記共有ネットワークが、単一の前記通信用アプリケーションサーバに代え、所要の前記接続制御を種類の異なる前記プロトコルによりそれぞれ実施する2以上の通信アプリケーションの何れかを選択的に導入されてなる複数の通信用アプリケーションサーバを具備し、前記接続制御サーバが、当該複数の通信用アプリケーションサーバからそれぞれ通知される前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号に基づいて、前記2以上の通信アプリケーションによる該当する前記接続制御をそれぞれ実施してなる、ネットワーク間接続制御方法の構成採用にある。
一方、本発明装置の第1の特徴は、それぞれにつき1以上のユーザ端末の設置を許容して構成される複数のユーザネットワークと、これら複数のユーザネットワークから物理的に独立して構成される共有ネットワークと、OSI参照モデルの第4層以上の処理が可能であり、前記複数のユーザネットワークと前記共有ネットワークとを相互に接続する1以上のスイッチとを有して構成され、当該1以上のスイッチが、その定常時において、前記複数のユーザネットワーク上に存在する全ての前記ユーザ端末と前記共有ネットワーク上に存在する任意のホスト端末との間の相互通信を許可し、かつ、前記複数のユーザネットワーク上に個々に存在する前記ユーザ端末間のネットワーク間通信を禁止するフィルタリング設定を施されてなる複合ネットワークにおいて、前記複数のユーザネットワーク上における前記ユーザ端末間の接続制御を行うためのネットワーク間接続制御システム装置であって、前記共有ネットワークが、前記任意のホスト端末として、前記ネットワーク間通信を許可するネットワークアーキテクチャ上に存在する任意のユーザ端末同士の接続制御を所定のプロトコルにより実施することの可能な通信アプリケーションを導入されてなる通信用アプリケーションサーバと、前記ネットワーク間通信を禁止された前記ユーザ端末間の前記接続制御を前記通信用アプリケーションサーバと協働して実施するための接続制御サーバとを具備して構成され、前記通信用アプリケーションサーバが、前記通信アプリケーションによる前記接続制御のセッションの開始に伴い、当該セッションの確立を要求した発信元ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号、並びに当該セッションの確立を要求された送信先ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号を収集して、これらの対応付けを図って得たノード情報を前記接続制御サーバに通知するノード情報収集処理手段を具備し、当該接続制御サーバが、前記通信アプリケーションによる前記接続制御に先立ち、前記ネットワーク間通信を希望する前記ユーザ端末毎に、該当する一のユーザネットワーク上における一のユーザ端末のIPアドレス、及び当該一のユーザ端末が通信を許可する他のユーザネットワーク上における他のユーザ端末のIPアドレスを対応付け編成してなるユーザ端末情報を登録するユーザ情報登録処理手段と、前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記送信先ユーザ端末の前記IPアドレスが、前記ユーザ情報登録処理手段により登録された前記ユーザ端末情報中に前記一のユーザ端末の前記IPアドレスとして登録され、かつ、当該ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレスが、その登録に係る前記一のユーザ端末が通信を許可する前記他のユーザ端末の前記IPアドレスとして当該ユーザ端末情報中に登録されているか否かを検証して、前記発信元ユーザ端末と前記送信先ユーザ端末との間の前記ネットワーク間通信の可否を判定する通信可否判定処理手段と、この通信可否判定処理手段による判定の結果、当該ネットワーク間通信が可能とされた場合に、前記1以上のスイッチのうち前記発信元ユーザ端末と前記送信先ユーザ端末とを結ぶ前記複合ネットワーク上に存在する全ての経路上スイッチを制御して、前記ネットワーク間通信に関する前記フィルタリング設定を定常時の禁止設定から許可設定へと変更するフィルタリング設定変更処理手段とを具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第2の特徴は、上記本発明装置の第1の特徴における前記接続制御サーバが、前記ユーザ情報登録処理手段による前記ユーザ端末情報の書込み、及び前記通信可否判定処理手段による当該ユーザ端末情報の読出しが可能なユーザ情報管理テーブルを具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第3の特徴は、上記本発明装置の第1の特徴における前記ユーザ端末が、前記通信アプリケーションによる前記接続制御のセッションの開始直前に、自身に付与されているIPアドレスと共に、当該セッションの確立を要求しようとする前記ユーザに予め付与されたユーザID及びパスワードを取得し、これらを対応付け編成してなるロケーション情報を前記接続制御サーバに通知するロケーション情報通知処理手段を具備し、前記ユーザ情報登録処理手段が、前記一のユーザ端末の前記IPアドレス及び前記他のユーザ端末の前記IPアドレスを含んでなる前記ユーザ端末情報を登録することに代え、前記通信アプリケーションによる前記接続制御に先立ち、前記ネットワーク間通信を希望するユーザ毎に、該当する一のユーザに付与されたユーザID、及び当該一のユーザが通信を許可する他のユーザに付与されたユーザIDを対応付け編成してなるユーザID情報を登録する機能手段を具備し、前記接続制御サーバが、前記ロケーション情報通知処理手段から通知された前記ロケーション情報に含まれる前記ユーザIDが適正なものである場合に、前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレス及び前記送信先ユーザ端末の前記IPアドレスを、それぞれ、前記ロケーション情報通知処理手段から通知された前記ロケーション情報に含まれる前記IPアドレスに基づいて、対応する発信元ユーザID及び送信先ユーザIDに変換するアドレス−ID変換処理手段を具備し、前記通信可否判定処理手段が、前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記送信先ユーザ端末の前記IPアドレス、及び前記発信元ユーザ端末の前記IPアドレスに基づいて前記ネットワーク間通信の可否を判定することに代え、前記アドレス−ID変換処理手段で変換された前記送信先ユーザIDが、前記ユーザ情報登録処理手段により登録された前記ユーザID情報中に前記一のユーザの前記ユーザIDとして登録され、かつ、前記アドレス−ID変換処理手段で変換された前記発信元ユーザIDが、その登録に係る前記一のユーザが通信を許可する前記他のユーザの前記ユーザIDとして当該ユーザID情報中に登録されているか否かを検証して、前記発信元ユーザ端末と前記送信先ユーザ端末との間の前記ネットワーク間通信の可否を判定する機能手段を具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第4の特徴は、上記本発明装置の第3の特徴における前記接続制御サーバが、前記ユーザ情報登録処理手段による前記ユーザID情報の書込み、及び前記通信可否判定処理手段による当該ユーザID情報の読出しが可能なユーザ情報管理テーブルを具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第5の特徴は、上記本発明装置の第3又は第4の特徴における前記接続制御サーバが、前記ユーザに予め付与された前記ユーザID及び前記パスワードと、前記ロケーション情報通知処理手段から通知される前記IPアドレスとの関係を定義してなるユーザロケーションの対応情報を登録し、前記ユーザ情報登録処理手段による当該IPアドレスの書込み、及び前記アドレス−ID変換処理手段による当該ユーザIDの読出しが可能なロケーション情報管理テーブルを具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第6の特徴は、上記本発明装置の第1、第2、第3、第4又は第5の特徴における前記接続制御サーバが、前記フィルタリング設定変更処理手段において前記1以上のスイッチの前記フィルタリング設定を変更するに先立ち、前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレス及び前記送信先ユーザ端末の前記IPアドレスと、予め登録された前記複数のユーザネットワークの各IPアドレス、並びに前記1以上のスイッチのIPアドレス及び前記共有ネットワークとの接続に使用される物理ポート番号とに基づいて、前記ネットワーク間通信に関する前記フィルタリング設定を変更する際の制御対象をなす前記全ての経路上スイッチの当該IPアドレス、及び前記共有ネットワークとの接続に使用される当該物理ポート番号を識別する経路上スイッチ識別処理手段を具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第7の特徴は、上記本発明装置の第6の特徴における前記接続制御サーバが、前記複数のユーザネットワークの前記各IPアドレスと、前記1以上のスイッチの前記IPアドレスとの関係を定義してなる当該複数のユーザネットワークの設定情報を蓄積、管理し、前記経路上スイッチ識別処理手段による当該設定情報の読出しが可能なユーザネットワーク設定管理テーブルを具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第8の特徴は、上記本発明装置の第6又は第7の特徴における前記接続制御サーバが、前記1以上のスイッチの前記IPアドレスと、前記共有ネットワークとの接続に使用される前記物理ポート番号との関係を定義してなる当該1以上のスイッチの配線情報を蓄積、管理し、前記経路上スイッチ識別処理手段による当該配線情報の読出しが可能なスイッチ配線管理テーブルを具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第9の特徴は、上記本発明装置の第6、第7又は第8の特徴における前記フィルタリング設定変更処理手段が、前記1以上のスイッチの前記フィルタリング設定を変更するに際し、前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、前記経路上スイッチ識別処理手段で識別された前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号とを対応付けて保存する機能手段を併せて具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第10の特徴は、上記本発明装置の第9の特徴における前記フィルタリング設定変更処理手段が、前記通信アプリケーションによる前記接続制御のセッションの終了直後に、当該機能手段により保存された前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号とに基づいて、前記ネットワーク間通信に関する前記フィルタリング設定を前記許可設定から定常時の前記禁止設定へと復旧させる機能手段をさらに具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第11の特徴は、上記本発明装置の第9又は第10の特徴における前記接続制御サーバが、前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号との関係を定義してなる前記フィルタリング設定の変更情報を蓄積、管理し、前記フィルタリング設定変更処理手段による当該変更情報の書込み及び/又は読出しが可能なフィルタリング設定変更管理テーブルを具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第12の特徴は、上記本発明装置の第1、第2、第3、第4、第5、第6、第7、第8、第9、第10又は第11の特徴における前記共有ネットワークが、単一の前記通信用アプリケーションサーバに代え、所要の前記接続制御を種類の異なる前記プロトコルによりそれぞれ実施する2以上の通信アプリケーションの何れかを選択的に導入されてなる複数の通信用アプリケーションサーバを具備して構成され、前記接続制御サーバが、当該複数の通信用アプリケーションサーバの該当する前記ノード情報収集処理手段からそれぞれ通知される前記ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号に基づいて、前記2以上の通信アプリケーションによる該当する前記接続制御をそれぞれ実施する機能手段を具備してなる、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第13の特徴は、上記本発明装置の第1、第2、第3、第4、第5、第6、第7、第8、第9、第10、第11又は第12の特徴における前記通信アプリケーションに適用される前記プロトコルが、RFC3261準拠のSIPプロトコルである、ネットワーク間接続制御システム装置の構成採用にある。
本発明装置の第14の特徴は、上記本発明装置の第1、第2、第3、第4、第5、第6、第7、第8、第9、第10、第11又は第12の特徴における前記通信アプリケーションに適用される前記プロトコルが、ITU−T勧告のH.323プロトコルである、ネットワーク間接続制御システム装置の構成採用にある。
上記解決手段を採用することにより、本発明によれば、ユーザネットワーク間のユーザ端末同士の直接通信を基本的に禁止する複合ネットワークにおいて、当該ユーザ端末又はそのユーザ自身から所定の通信アプリケーションの実行を要求されたときにのみネットワーク間通信を許可することが可能となる。
また、本発明によれば、複数の通信アプリケーションによる通信を、ユーザの選択に応じ多様な形態で行うことが可能となると同時に、従来のようなファイアウォール及びこれを制御する機構が一切不要となる。
以下、本発明の実施の形態につき、添付図面を参照しながら、その第1〜第3装置例及びこれに対応する第1〜第3方法例を順に挙げて説明する。
(第1装置例)
図1は、本発明の第1装置例に係るネットワーク間接続制御システム装置のネットワーク構成図である。
同図に示すように、本第1装置例に係るネットワーク間接続制御システム装置αは、それぞれにつき1以上のユーザ端末UTa,UTm,UTn,UTx1,UTx2,UTy等の設置を集合住宅の各戸毎に許容して構成される複数のユーザネットワークNWa,NWm,NWn,NWx,NWy等と、これら複数のユーザネットワークNWa〜NWyから物理的に独立して構成される集合住宅内の共有ネットワークNWoと、OSI参照モデルの第4層(トランスポート層)以上の処理が可能であり、複数のユーザネットワークNWa〜NWyと共有ネットワークNWoとを相互に接続する1以上のスイッチSW1,SW2,SW3,SW4等とを有して構成され、以上の構成を以って複合ネットワーク(α)を得ている。
スイッチSW1〜SW4は、その定常時において、複数のユーザネットワークNWa〜NWy上に存在する全てのユーザ端末UTa〜UTyと、共有ネットワーク1上に存在する任意のホスト端末との間の相互通信を許可し、かつ、複数のユーザネットワークNWa〜NWy上に個々に存在するユーザ端末UTa〜UTy間のネットワーク間通信を、ユーザネットワークNWa〜NWyにそれぞれ付与されたネットワークアドレスのサブネット単位で禁止するフィルタリング設定を施されてなる。
ここで、複数のユーザネットワークNWa〜NWy上におけるユーザ端末UTa〜UTy間の接続制御を行うため、共有ネットワークNWoは、上記任意のホスト端末として、ネットワーク間通信を許可するネットワークアーキテクチャ上に存在する任意のユーザ端末UTa〜UTy同士の接続制御を所定のプロトコルにより実施することの可能な通信アプリケーションを導入されてなる通信用アプリケーションサーバ1と、ネットワーク間通信を禁止されたユーザ端末UTa〜UTy間の接続制御を通信用アプリケーションサーバと協働して実施するための接続制御サーバ2とを具備して構成される。
なお、通信用アプリケーションサーバ1に導入される通信アプリケーションのプロトコルとしては、従前のSIPプロトコルの他、ITU−T勧告(ITU−T:国際電気通信連合・電気通信標準化セクタ)のH.323プロトコルなどを適用することができる。また、各ユーザ端末UTa〜UTyで使用されるIPアドレス(IP:Internet Protocol)は、各戸毎のユーザネットワークNWa〜NWyにそれぞれ付与されたネットワークアドレスのサブネットの範囲で固定的に割り当てられた静的IPアドレスである。
図2は、図1に示した通信用アプリケーションサーバ1及び接続制御サーバ2の機能ブロック図である。
同図に示すように、通信用アプリケーションサーバ1は、ノード情報収集処理部11を具備して構成される。即ち、同ノード情報収集処理部11は、通信アプリケーションによる接続制御のセッションの開始に伴い、当該セッションの確立を要求した発信元ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号、並びに当該セッションの確立を要求された送信先ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号を収集して、これらの対応付けを図って得たノード情報を接続制御サーバ2に通知する機能手段である。
これに対し、接続制御サーバ2は、ユーザ情報登録処理部21、通信可否判定処理部22、経路上スイッチ識別処理部23、及びフィルタリング設定変更処理部24からなる機能手段と、ユーザ情報管理テーブル25、ユーザネットワーク設定管理テーブル26、スイッチ配線管理テーブル27、及びフィルタリング設定変更管理テーブル28からなるデータ保持手段とを具備して構成される。
即ち、ユーザ情報登録処理部21は、通信アプリケーションによる接続制御に先立ち、ネットワーク間通信を希望するユーザ端末UTa〜UTy毎に、該当する一のユーザネットワーク上における一のユーザ端末(例えば、ユーザネットワークNWm上のユーザ端末UTm)のIPアドレス、及び当該一のユーザ端末が通信を許可する他のユーザネットワーク上における他のユーザ端末(例えば、ユーザネットワークNWn上のユーザ端末UTn)のIPアドレスを対応付け編成してなるユーザ端末情報(詳細は後述)を、ユーザ情報管理テーブル25に書き込んで登録する機能手段である。
通信可否判定処理部22は、ノード情報収集処理部11から通知されたノード情報に含まれる送信先ユーザ端末のIPアドレスが、ユーザ情報登録処理部21によりユーザ情報管理テーブル25に登録されたユーザ端末情報中に一のユーザ端末のIPアドレスとして登録され、かつ、当該ノード情報に含まれる発信元ユーザ端末のIPアドレスが、その登録に係る一のユーザ端末が通信を許可する他のユーザ端末のIPアドレスとして当該ユーザ端末情報中に登録されているか否かを検証して、発信元ユーザ端末と送信先ユーザ端末との間のネットワーク間通信の可否を判定する機能手段である。
経路上スイッチ識別処理部23は、通信可否判定処理部22による判定の結果、ネットワーク間通信が可能とされた場合に、ノード情報収集処理部11から通知されたノード情報に含まれる発信元ユーザ端末のIPアドレス及び送信先ユーザ端末のIPアドレスと、ユーザネットワーク設定管理テーブル26及びスイッチ配線管理テーブル27に予め登録された複数のユーザネットワークUNa〜UNyの各IPアドレス、並びに各スイッチSW1〜SW4のIPアドレス及び共有ネットワークNWoとの接続に使用される物理ポート番号とに基づいて、ネットワーク間通信に関するフィルタリング設定を変更する際の制御対象をなす全ての経路上スイッチの当該IPアドレス、及び共有ネットワークNWoとの接続に使用される当該物理ポート番号を識別する機能手段である。
フィルタリング設定変更処理部24は、各スイッチSW1〜SW4のうち発信元ユーザ端末と送信先ユーザ端末とを結ぶ複合ネットワークα上に存在する識別された全ての経路上スイッチを対応する固有のコマンドにより制御して、ネットワーク間通信に関するフィルタリング設定を定常時の禁止設定から許可設定へと変更すると共に、その設定変更に際し、ノード情報収集処理部11から通知されたノード情報に含まれる発信元ユーザ端末のIPアドレス及び論理ポート番号、並びに送信先ユーザ端末のIPアドレス及び論理ポート番号と、経路上スイッチ識別処理部23で識別された全ての経路上スイッチのIPアドレス及び物理ポート番号とを対応付けて、これをフィルタリング設定変更管理テーブル28に保存し、さらに、通信アプリケーションによる接続制御のセッションの終了直後に、フィルタリング設定変更管理テーブル28に保存された発信元ユーザ端末のIPアドレス及び論理ポート番号、並びに送信先ユーザ端末のIPアドレス及び論理ポート番号と、全ての経路上スイッチのIPアドレス及び物理ポート番号とに基づいて、ネットワーク間通信に関するフィルタリング設定を許可設定から定常時の禁止設定へと復旧させる機能手段である。
図3は、図2に示したユーザ情報管理テーブル25に登録されるユーザ端末情報のテーブル構成図である。
同図に示すように、ユーザ情報管理テーブル25には、ネットワーク間通信を希望するユーザ端末UTa〜UTy毎に、通信を行う一のユーザネットワーク上における一のユーザ端末(例えば、ユーザネットワークNWm上のユーザ端末UTm)のIPアドレスと、通信用アプリケーションサーバ1のIPアドレスと、当該通信用アプリケーションサーバ1の通信アプリケーションが接続制御セッションで使用する論理ポート番号と、上記一のユーザ端末が通信を許可する他のユーザネットワーク上における他のユーザ端末(例えば、ユーザネットワークNWn上のユーザ端末UTn)のIPアドレスとを対応付け編成してなるユーザ端末情報が登録される。なお、当該ユーザ端末情報は、図2に示すように、ユーザ情報登録処理部21による書込み、及び通信可否判定処理部22による読出しが可能なようになっている。
図4は、図2に示したユーザネットワーク設定管理テーブル26に登録されるユーザネットワークNWa〜NWyの設定情報のテーブル構成図である。
同図に示すように、ユーザネットワーク設定管理テーブル26には、集合住宅の各戸の番号毎に、複数のユーザネットワークNWa〜NWyの各IPアドレスと、各スイッチSW1〜SW4の識別子(符号に同じ)と、当該各スイッチSW1〜SW4のIPアドレスと、当該各スイッチSW1〜SW4がユーザネットワークNWa〜NWyとの接続に使用される物理ポート番号との関係を定義してなる当該複数のユーザネットワークNWa〜NWyの設定情報が事前に蓄積、管理される。なお、当該設定情報は、図2に示すように、経路上スイッチ識別処理部23による読出しが可能なようになっている。
図5は、図2に示したスイッチ配線管理テーブル27に登録される各スイッチSW1〜SW4の配線情報のテーブル構成図である。
同図に示すように、スイッチ配線管理テーブル27には、各スイッチSW1〜SW4のIPアドレスと、当該各スイッチSW1〜SW4が共有ネットワークNWoとの接続に使用される物理ポート番号との関係を、任意の2つのスイッチの組み合せ(対応関係)により定義してなる当該各スイッチSW1〜SW4の配線情報が事前に蓄積、管理される。なお、当該配線情報は、図2に示すように、経路上スイッチ識別処理部24による読出しが可能なようになっている。
図6は、図2に示したフィルタリング設定変更管理テーブル28に随時登録されるフィルタリング設定の変更情報のテーブル構成図である。
同図に示すように、フィルタリング設定変更管理テーブル28には、設定変更に係る発信元ユーザ端末のIPアドレス及び論理ポート番号と、同送信先ユーザ端末のIPアドレス及び論理ポート番号と、同通信用アプリケーションサーバ1のIPアドレス及び論理ポート番号と、設定変更を行った全ての経路上スイッチのIPアドレス及び物理ポート番号との関係を定義してなるフィルタリング設定の変更情報が蓄積、管理される。なお、当該変更情報は、図2に示すように、フィルタリング設定変更処理部24による書込み及び/又は読出しが可能なようになっている。
(第1方法例)
続いて、以上のように構成された第1装置例に係るネットワーク間接続制御システム装置αに適用される第1方法例につき、通信用アプリケーションサーバ1として、SIPプロトコルを導入してなる「SIPプロキシサーバ」を設定し、かつ、ネットワーク間通信を希望している一のユーザ端末が、ユーザネットワークNWm上の「ユーザ端末UTm」であり、当該ネットワーク通信を許可している他のユーザ端末の一つが、ユーザネットワークNWn上の「ユーザ端末UTn」である場合を想定して説明する。
図7は、本発明の第1方法例に係るネットワーク間接続制御方法を説明するためのフローチャートである。
同図に示すように、本第1方法例では、まず、ネットワーク間通信を希望する全てのユーザ端末(ここではユーザ端末UTm)が、通信アプリケーションによる接続制御に先立ち、当該ユーザ端末UTmのIPアドレスと、通信用アプリケーションサーバ1のIPアドレスと、当該通信用アプリケーションサーバ1が接続制御セッションで使用する論理ポート番号と、そのユーザ端末UTmが通信を許可する他のユーザネットワーク上における他のユーザ端末(ユーザ端末UTnを含む)のIPアドレスとを対応付けて登録するための要求を、接続制御サーバ2に送信することにより(ST1)、その処理が開始される。
上記登録要求を受信した接続制御サーバ2のユーザ情報登録処理部21は、当該登録要求に含まれる通信を行うユーザ端末UTmのIPアドレス、通信用アプリケーションサーバ1のIPアドレス及び論理ポート番号、並びに通信を許可するユーザ端末UTnのIPアドレスを対応付けてこれをユーザ端末情報として編成し、当該ユーザ端末情報をユーザ情報管理テーブル25に書き込んで登録する(ST2)。そして、このユーザ端末情報の登録が完了すると、接続制御サーバ2は、その旨をユーザ端末UTmに通知する(ST3)。
次に、ユーザ端末UTmが、上記登録通知を受けた後の任意のタイミングにおいて、通信用アプリケーションサーバ1により管理されるSIPプロトコルの通信アプリケーションを起動し、当該通信アプリケーションによる接続制御のセッションを開始するために、ユーザ端末UTnに対する通信要求コマンド(INVITE)を通信用アプリケーションサーバ1に送信すると(ST11)、同通信用アプリケーションサーバ1は、その通信要求コマンドをユーザ端末UTnに転送する(ST12)。
これに対し、ユーザ端末UTnは、上記SIPプロトコルの通信アプリケーションを起動していた場合、接続メッセージ(180 Ringing)を通信用アプリケーションサーバ1に送信し(ST13)、同通信用アプリケーションサーバ1は、その接続メッセージをユーザ端末UTmに転送する(ST14)。
次に、ユーザ端末UTnが、映像や音声などのメディアセッションの開始を許可するための応答メッセージ(200 OK)を通信用アプリケーションサーバ1に送信すると(ST15)、同通信用アプリケーションサーバ1は、その応答メッセージのユーザ端末UTmへの転送を一旦保留し、ノード情報収集処理部11において、通信アプリケーションによる接続制御のセッションの開始に伴い、当該セッションの確立を要求した発信元ユーザ端末(即ちユーザ端末UTm)のIPアドレス及び当該セッションで使用する論理ポート番号、並びに当該セッションの確立を要求された送信先ユーザ端末(即ちユーザ端末UTn)のIPアドレス及び当該セッションで使用する論理ポート番号を収集して(ST16)、これらの対応付けを図って得たノード情報を接続制御サーバ2に通知する(ST17)。
上記ノード情報の通知を受けた接続制御サーバ2の通信可否判定処理部22は、当該ノード情報に含まれる送信先ユーザ端末(UTn)のIPアドレスが、ユーザ情報管理テーブル25に登録されたユーザ端末情報中にユーザ端末UTmのIPアドレス(図3における「通信を行うユーザ端末のIPアドレス」)として登録され、かつ、当該ノード情報に含まれる発信元ユーザ端末(UTm)のIPアドレスが、ユーザ端末UTnのIPアドレス(図3における「通信を許可するユーザ端末のIPアドレス」)として当該ユーザ端末情報中に登録されているか否かを検証して、発信元ユーザ端末と送信先ユーザ端末との間のネットワーク間通信の可否を判定する(ST18)。
ここで、送信先ユーザ端末(UTn)が発信元ユーザ端末(UTm)に対してネットワーク間通信を許可していない場合(ST18;否)、通信可否判定処理部22は、当該ネットワーク間通信を拒否する旨を通信用アプリケーションサーバ1に通知し(ST19)、同通信用アプリケーションサーバ1は、その拒否通知をユーザ端末UTmに転送する(ST20)。これに対し、送信先ユーザ端末が発信元ユーザ端末に対してネットワーク間通信を許可している場合(ST18;可)、通信可否判定処理部22は、その旨及びノード情報の内容を経路上スイッチ識別処理部23に通知する。
次に、経路上スイッチ識別処理部23は、ノード情報に含まれる発信元ユーザ端末(UTm)のIPアドレス及び送信先ユーザ端末(UTn)のIPアドレスと、ユーザネットワーク設定管理テーブル26に登録された複数のユーザネットワークNWa〜NWyの各IPアドレス、並びにスイッチ配線管理テーブル27に登録された各スイッチSW1〜SW4のIPアドレス及び共有ネットワークNWoとの接続に使用される物理ポート番号とに基づいて、ネットワーク間通信に関するフィルタリング設定を変更する際の制御対象をなす全ての経路上スイッチ(ここではスイッチSW1〜SW3)の当該IPアドレス、及び共有ネットワークNWoとの接続に使用される当該物理ポート番号を識別する(ST21)。そして、同経路上スイッチ識別処理部23は、識別した各データをフィルタリング設定変更処理部24へ通知する。
次に、フィルタリング設定変更処理部24は、経路上スイッチ識別処理部23で識別された各データに基づき、各スイッチSW1〜SW4のうち発信元ユーザ端末と送信先ユーザ端末とを結ぶ複合ネットワークα上に存在する全ての経路上スイッチ(SW1〜SW3)の該当する物理ポートをコマンド制御して(設定変更要求を行って)、ネットワーク間通信に関するフィルタリング設定を定常時の禁止設定から許可設定へと変更する(ST22,ST23)。そして、同フィルタリング設定変更処理部24は、今回のネットワーク間通信に関与する発信元ユーザ端末(UTm)、送信先ユーザ端末(UTn)、及び通信用アプリケーションサーバ1の各IPアドレス及び各論理ポート番号と、そのフィルタリング設定の変更に係る全ての経路上スイッチのIPアドレス及び物理ポート番号との対応付けを図って得たフィルタリング設定の変更情報を、フィルタリング設定変更管理テーブル28に保存した後に、所要の設定変更が完了した旨を通信用アプリケーションサーバ1に通知する(ST24)。
上記変更完了通知を受けた通信用アプリケーションサーバ1は、前述したST16のノード情報収集処理の実施のため一旦保留した応答メッセージ(200 OK)をユーザ端末UTmに転送し(ST25)、これにより、ユーザ端末UTm(発信元ユーザ端末)とユーザ端末UTn(送信先ユーザ端末)との間に、映像・音声通信に係るメディアセッションが確立される(ST26)。
次に、ユーザ端末UTmが、上記メディアセッションを終了させるために、ユーザ端末nに対する通信終了コマンド(BYE)を通信用アプリケーションサーバ1に送信すると(ST27)、同通信用アプリケーションサーバ1は、その通信終了コマンドをユーザ端末UTnに転送する(ST28)。
これに対し、ユーザ端末UTnは、今回のメディアセッションの終了を許可するための応答メッセージ(200 OK)を通信用アプリケーションサーバ1に送信し(ST29)、同通信用アプリケーションサーバ1は、その応答メッセージをユーザ端末UTmに転送すると共に(ST30)、今回のネットワーク間通信(接続制御セッション)が全て終了した旨を、先にST16の処理で取得したノード情報と共に接続制御サーバ2に通知する(ST31)。
そして、上記ノード情報の通知を再び受けた接続制御サーバ2のフィルタリング設定変更処理部24は、フィルタリング設定変更管理テーブル28を検索することにより、当該ノード情報と合致する発信元ユーザ端末(UTm)、送信先ユーザ端末(UTn)、及び通信用アプリケーションサーバ1の各IPアドレス及び論理ポート番号を含むフィルタリング設定の変更情報を読み出し、これにより特定される全ての経路上スイッチ(SW1〜SW3)の該当する物理ポートをコマンド制御して(設定復旧要求を行って)、ネットワーク間通信に関するフィルタリング設定を現在の許可設定から定常時の禁止設定へと復旧させ(ST32,ST33)、以上により全ての処理を終了する。
以上、本発明の第1装置例及びこれに対応する第1方法例につき、通信用アプリケーションサーバ1に導入される通信アプリケーションのプロトコルとして、SIPプロトコルを適用した場合を例に挙げて説明したが、これに代えて、例えば、H.323プロトコルを導入してなる通信用アプリケーションサーバ1(H.323ゲートキーパ)を適用することもできる。この場合、上述した処理ST11〜ST15及びST25〜ST30におけるSIPプロトコル用のコマンド及びメッセージが、当該H.323プロトコル用のものに単に置き換わるだけであり、他の処理については何ら変更を加えることなく、本発明を同様に実施することが可能である。
(第2装置例)
次に、図8は、本発明の第2装置例に係るネットワーク間接続制御システム装置に適用されるユーザ端末、通信アプリケーションサーバ、及び接続制御サーバの機能ブロック図である。なお、本第2装置例に適用されるネットワーク構成は、第1装置例におけるそれと実質的に同等であるため、その詳細な説明は省略し、該当する図1を本第2装置例の説明に流用する。また、本第2装置例における各構成要素の機能ブロック構成は、第1装置例におけるそれと大部分において共通するため、その該当部分に関する詳細な説明は省略し、相違するブロック構成のみを説明する(第1装置例のそれと同一の構成要素に対しては、本第2装置例においても同じ符号を用いる。但し、ユーザ端末については、第1装置例のそれと実際には構成が異なるが、便宜上、本第2装置例においても同じ符号「UTa〜UTy」を用いる)。
同図に示すように、本第2装置例に係るネットワーク間接続制御システム装置β(複合ネットワークβ)に適用される通信アプリケーションサーバ1は、第1装置例におけるそれと同等な機能手段を具備し、各ユーザ端末UTa〜UTyは、それぞれロケーション情報通知処理部UT11を具備して構成される。即ち、同ロケーション情報通知処理部UT11は、通信アプリケーションによる接続制御のセッションの開始直前に、該当するユーザ端末UTa〜UTyに付与されているIPアドレス(静的又は動的IPアドレス)と共に、当該セッションの確立を要求しようとするユーザ(即ち、上記IPアドレスを付与されたユーザ端末UTa〜UTyを現在使用しているユーザ。図示せず)に予め付与されたユーザID及びパスワードをユーザ入力に応じて取得し、これらを対応付け編成してなるロケーション情報を接続制御サーバ2aに通知する機能手段である。
ここで、通信用アプリケーションサーバ1に導入される通信アプリケーションのプロトコルとしては、第1装置例の場合と同様、SIPプロトコルやH.323プロトコルなどを適用することができる。また、各ユーザ端末UTa〜UTyのIPアドレスとしては、第1装置例の場合と同様に静的IPアドレスを使用できる他、各戸毎のユーザネットワークNWa〜NWyにそれぞれ付与されたネットワークアドレスのサブネットの範囲でDHCP(Dynamic Host Configuration Protocol)により割り当てられた動的IPアドレスの使用も許容される。
これに対し、接続制御サーバ2aは、第1装置例と同様な経路上スイッチ識別処理部23、フィルタリング設定変更処理部24、ユーザネットワーク設定管理テーブル26、スイッチ配線管理テーブル27、及びフィルタリング設定変更管理テーブル28の他、本第2装置例に特徴的な機能手段としてのユーザ情報登録処理部21a、通信可否判定処理部22a、及びアドレス−ID変換処理部29と、データ保持手段としてのユーザ情報管理テーブル25a、及びロケーション情報管理テーブル30とを具備して構成される。
即ち、ユーザ情報登録処理部21aは、通信アプリケーションによる接続制御に先立ち、ネットワーク間通信を希望するユーザ毎に、該当する一のユーザに付与されたユーザID、及び当該一のユーザが通信を許可する他のユーザに付与されたユーザIDを対応付け編成してなるユーザID情報(詳細は後述)を、ユーザ情報管理テーブル25aに書き込んで登録する機能手段である。
アドレス−ID変換処理部29は、ロケーション情報通知処理部UT11から通知されたロケーション情報に含まれるユーザIDが、ロケーション情報管理テーブル30の内容(詳細は後述)に照らして適正なものである場合に、ノード情報収集処理部11から通知されたノード情報に含まれる発信元ユーザ端末のIPアドレス及び送信先ユーザ端末のIPアドレスを、それぞれ、ロケーション情報通知処理部UT11から通知されたロケーション情報に含まれるIPアドレスに基づいて、対応する発信元ユーザID及び送信先ユーザIDに変換する機能手段である。
通信可否判定処理部22aは、アドレス−ID変換処理部29で変換された送信先ユーザIDが、ユーザ情報登録処理部21aによりユーザ情報管理テーブル25a登録されたユーザID情報中に一のユーザのユーザIDとして登録され、かつ、アドレス−ID変換処理部29で変換された発信元ユーザIDが、その登録に係る一のユーザが通信を許可する他のユーザのユーザIDとして当該ユーザID情報中に登録されているか否かを検証して、発信元ユーザ端末と送信先ユーザ端末との間のネットワーク間通信の可否を判定する機能手段である。
図9は、図8に示したユーザ情報管理テーブル25aに登録されるユーザID情報のテーブル構成図である。
同図に示すように、ユーザ情報管理テーブル25aには、ネットワーク間通信を希望するユーザ毎に、通信を行う一のユーザ(例えば、ユーザネットワークNWm上のユーザ端末UTmを現在使用しているユーザ)のユーザIDと、通信用アプリケーションサーバ1のIPアドレスと、当該通信用アプリケーションサーバ1の通信アプリケーションが接続制御セッションで使用する論理ポート番号と、上記一のユーザが通信を許可する他のユーザ(例えば、ユーザネットワークNWn上のユーザ端末UTn)のIPアドレスとを対応付け編成してなるユーザID情報が登録される。なお、当該ユーザID情報は、図8に示すように、ユーザ情報登録処理部21aによる書込み、及び通信可否判定処理部29による読出しが可能なようになっている。
図10は、第8図に示したロケーション情報管理テーブル30に登録されるユーザロケーションの対応情報のテーブル構成図である。
同図に示すように、ロケーション情報管理テーブル30には、ネットワーク間通信を希望するユーザ毎に、通信を行う一のユーザに予め付与されたユーザID及びパスワードが事前に蓄積、管理されると共に、当該ユーザID及びパスワードと、ロケーション情報通知処理部UT11から通知されるIPアドレスとの関係を定義してなるユーザロケーションの対応情報が登録される。なお、当該対応情報は、図8に示すように、アドレス−ID変換処理部29による読出しが可能なようになっている。
(第2方法例)
続いて、以上のように構成された第2装置例に係るネットワーク間接続制御システム装置βに適用される第2方法例につき、通信用アプリケーションサーバ1として、第1方法例と同様、SIPプロトコルを導入してなる「SIPプロキシサーバ」を設定し、かつ、ネットワーク間通信を希望している一のユーザが、ユーザネットワークNWm上の「ユーザ端末UTm」を使用し、当該ネットワーク通信を許可している他のユーザの一つが、ユーザネットワークNWn上の「ユーザ端末UTn」を使用している場合を想定して説明する。
図11は、本発明の第2方法例に係るネットワーク間接続制御方法を説明するためのフローチャートである。なお、本第2方法例における処理は、第1方法例におけるそれと大部分において共通するため、その該当部分に関する詳細な説明は省略し、相違する処理のみを説明する。
同図に示すように、本第2方法例では、まず、ネットワーク間通信を希望する全てのユーザ(ここではユーザ端末UTmを使用するユーザ)が、通信アプリケーションによる接続制御に先立ち、当該ユーザに付与されたユーザIDと、通信用アプリケーションサーバ1のIPアドレスと、当該通信用アプリケーションサーバ1が接続制御セッションで使用する論理ポート番号と、そのユーザが通信を許可する他のユーザ(ユーザ端末UTnを使用するユーザを含む)に付与されたユーザIDとを対応付けて登録するための要求を、接続制御サーバ2aに送信することにより(ST1a)、その処理が開始される。
上記登録要求を受信した接続制御サーバ2aのユーザ情報登録処理部21aは、当該登録要求に含まれる通信を行うユーザのユーザID、通信用アプリケーションサーバ1のIPアドレス及び論理ポート番号、並びに通信を許可するユーザのユーザIDを対応付けてこれをユーザID情報として編成し、当該ユーザID情報をユーザ情報管理テーブル25aに書き込んで登録する(ST2a)。そして、このユーザID情報の登録が完了すると、接続制御サーバ2aは、その旨をユーザ端末UTmに通知する(ST3a)。
次に、ユーザ端末UTmが、上記登録通知を受けた後の任意のタイミングにおいて、通信用アプリケーションサーバ1により管理されるSIPプロトコルの通信アプリケーションを起動し、当該通信アプリケーションによる接続制御のセッションを開始するために、当該ユーザ端末UTmを使用するユーザが自身のユーザID及びパスワードを入力すると、同ユーザ端末UTmにおけるロケーション情報通知処理部UT11は、当該ユーザ端末UTmに付与されているIPアドレス(静的又は動的IPアドレス)と共に、それら入力されたユーザID及びパスワードを取得し、これらを対応付け編成してなるロケーション情報を接続制御サーバ2aに通知する(ST4,ST5)。
このとき、接続制御サーバ2aのユーザ情報登録処理部21aは、通知されたロケーション情報に含まれるパスワードが、ロケーション情報管理テーブル30に事前に登録されている対応するユーザIDのパスワードに一致した場合、適正なユーザIDが入力されたとして、その事前登録に係るユーザID及びパスワードと、通知されたロケーション情報に含まれるIPアドレスとを関連付け、これらをユーザロケーションの対応情報として同ロケーション情報管理テーブル30に登録しなおす。
次に、ユーザ端末UTmが、前述した第1方法例の場合と同様、処理ST11〜ST15において、ユーザ端末UTnとの間でSIPプロトコルの通信アプリケーションに関するコマンド及びレスポンスを授受し、処理ST16〜ST17において、通信用アプリケーションサーバ1のノード情報収集処理部11が、所要のノード情報を収集して接続制御サーバ2aに通知すると、同接続制御サーバ2aのアドレス−ID変換処理部29は、ノード情報収集処理部11から通知されたノード情報に含まれる発信元ユーザ端末のIPアドレス及び送信先ユーザ端末のIPアドレスを、それぞれ、ユーザ情報登録処理部21aによりロケーション情報管理テーブル30に登録された対応情報に含まれるIPアドレスに基づいて、対応する発信元ユーザID及び送信先ユーザIDに変換する(ST18a)。そして、同アドレス−ID変換処理部29は、変換した発信元ユーザID及び送信先ユーザIDを通信可否判定処理部22aに通知する。
上記発信元ユーザID及び送信先ユーザIDの通知を受けた通信可否判定処理部22aは、通知された送信先ユーザIDが、ユーザ情報登録テーブル25aに登録されたユーザID情報中に、通信を行う一のユーザのユーザIDとして登録され、かつ、通知された発信元ユーザIDが、その登録に係る一のユーザが通信を許可する他のユーザのユーザIDとして当該ユーザID情報中に登録されているか否かを検証して、発信元ユーザ端末と送信先ユーザ端末との間のネットワーク間通信の可否を判定する(ST18b)。
そして以下、前述した第1方法例の場合と同様、所要の処理ST19〜ST33を経て全ての処理を終了する。
以上、本発明の第2装置例及びこれに対応する第2方法例につき、通信用アプリケーションサーバ1に導入される通信アプリケーションのプロトコルとして、SIPプロトコルを適用した場合を例に挙げて説明したが、無論、第1装置例及び方法例と同様、これに代わるH.323プロトコルを導入してなる通信用アプリケーションサーバ1を適用することもできる。
(第3装置例)
次に、図12は、本発明の第3装置例に係るネットワーク間接続制御システム装置のネットワーク構成図である。
同図に示すように、本第3装置例に係るネットワーク間接続制御システム装置γ(複合ネットワークγ)は、共有ネットワークNWo上に、第1装置例で説明した単一の接続制御サーバ2(又は第2装置例における接続制御サーバ2a)と、所要の接続制御を種類の異なるプロトコルによりそれぞれ実施する2以上の通信アプリケーションの何れかを選択的に導入されてなる、第1及び第2装置例で示した通信用アプリケーションサーバ1とそれぞれ同等の構成をなす複数の通信用アプリケーションサーバ1a,1b,…,1nとを具備して構成される。
ここで、接続制御サーバ2は、複数の通信用アプリケーションサーバ1a,1b,…,1nの該当するノード情報収集処理部(11)からそれぞれ通知されるノード情報に含まれる発信元ユーザ端末のIPアドレス及び論理ポート番号、並びに送信先ユーザ端末のIPアドレス及び論理ポート番号に基づいて、上記2以上の通信アプリケーションによる該当する接続制御をそれぞれ実施する機能手段を具備するものである。
(第3方法例)
続いて、以上のように構成された第3装置例に係るネットワーク間接続制御システム装置γに適用される第3方法例につき、通信用アプリケーションサーバ1として、H.323プロトコルを導入してなる「H.323ゲートキーパ」を設定し、かつ、第1方法例と同様、ネットワーク間通信を希望している一のユーザ端末が、ユーザネットワークNWm上の「ユーザ端末UTm」であり、当該ネットワーク通信を許可している他のユーザ端末の一つが、ユーザネットワークNWn上の「ユーザ端末UTn」である場合を想定して説明する。
図13は、本発明の第3方法例に係るネットワーク間接続制御方法を説明するためのフローチャートである。なお、本第3方法例における処理は、第1方法例におけるそれと大部分において共通するため、その該当部分に関する詳細な説明は省略し、相違する処理のみを説明する。
同図に示すように、本第3方法例では、通信アプリケーションに関するコマンド及びレスポンスの種類をH.323プロトコル用に対応させたのみで(ST11a,ST11b,STST12a,ST12b,ST13a,ST14a,ST15a,ST25a,ST27a,ST28a,ST29a,ST30a)、他の全ての処理については、第1方法例におけるそれと全て同様である。
ここで、接続制御サーバ2は、処理ST17において、複数の通信用アプリケーションサーバ1a,1b,…,1nの該当するノード情報収集処理部(11)からそれぞれ通知されるノード情報に含まれる発信元ユーザ端末のIPアドレス及び論理ポート番号、並びに送信先ユーザ端末のIPアドレス及び論理ポート番号に基づいて、上記2以上の通信アプリケーションによる該当する接続制御に関する処理をそれぞれ実施し、その過程の処理ST19及びST24における拒否通知及び変更完了通知を、該当する複数の通信用アプリケーションサーバ1a,1b,…,1nへそれぞれ個別に送出する。
即ち、接続制御サーバ2は、複数の通信用アプリケーションサーバ1a,1b,…,1nの存在数や適用プロトコルの種別に依存することなく、それらを共通のメッセージ(拒否通知や変更完了通知)を用いて一括制御することができ、これにより、複数の通信アプリケーションによる効率よい接続制御が可能となる。
以上、本発明の実施の形態につき、その第1〜第3装置例及びこれに対応する第1〜第3方法例を挙げて説明したが、本発明は、必ずしも上述した手段及び手法にのみ限定されるものではなく、前述した効果を有する範囲内において、適宜、変更実施することが可能なものである。
本発明の第1装置例(及び第2装置例)に係るネットワーク間接続制御システム装置のネットワーク構成図である。 図1に示した通信用アプリケーションサーバ及び接続制御サーバの機能ブロック図である。 図2に示したユーザ情報管理テーブルに登録されるユーザ端末情報のテーブル構成図である。 図2に示したユーザネットワーク設定管理テーブルに登録されるユーザネットワークの設定情報のテーブル構成図である。 図2に示したスイッチ配線管理テーブルに登録される各スイッチの配線情報のテーブル構成図である。 図2に示したフィルタリング設定変更管理テーブルに随時登録されるフィルタリング設定の変更情報のテーブル構成図である。 本発明の第1方法例に係るネットワーク間接続制御方法を説明するためのフローチャートである。 本発明の第2装置例に係るネットワーク間接続制御システム装置に適用されるユーザ端末、通信アプリケーションサーバ、及び接続制御サーバの機能ブロック図である。 図8に示したユーザ情報管理テーブルに登録されるユーザID情報のテーブル構成図である。 第8図に示したロケーション情報管理テーブルに登録されるユーザロケーションの対応情報のテーブル構成図である。 本発明の第2方法例に係るネットワーク間接続制御方法を説明するためのフローチャートである。 本発明の第3装置例に係るネットワーク間接続制御システム装置のネットワーク構成図である。 本発明の第3方法例に係るネットワーク間接続制御方法を説明するためのフローチャートである。
符号の説明
α,β,γ…ネットワーク間接続制御システム装置(複合ネットワーク)
NWo…共有ネットワーク
NWa,NWm,NWn,NWx1,NWx2,NWy…ユーザネットワーク
SW1,SW2,SW3,SW4…スイッチ(経路上スイッチ)
UTa,UTm,UTn,UTx,UTy…ユーザ端末
UT11…ロケーション情報通知処理部
1,1a,1b,1n…通信用アプリケーションサーバ
11…ノード情報収集処理部
2…接続制御サーバ
21,21a…ユーザ情報登録処理部
22,22a…通信可否判定処理部
23…経路上スイッチ識別処理部
24…フィルタリング設定変更処理部
25,25a…ユーザ情報管理テーブル
26…ユーザネットワーク設定管理テーブル
27…スイッチ配線管理テーブル
28…フィルタリング設定変更管理テーブル
29…アドレスーID変換処理部
30…ロケーション情報管理テーブル

Claims (20)

  1. それぞれにつき1以上のユーザ端末の設置を許容して構成される複数のユーザネットワークと、これら複数のユーザネットワークから物理的に独立して構成される共有ネットワークと、OSI参照モデルの第4層以上の処理が可能であり、前記複数のユーザネットワークと前記共有ネットワークとを相互に接続する1以上のスイッチとを有して構成され、当該1以上のスイッチが、その定常時において、前記複数のユーザネットワーク上に存在する全ての前記ユーザ端末と前記共有ネットワーク上に存在する任意のホスト端末との間の相互通信を許可し、かつ、前記複数のユーザネットワーク上に個々に存在する前記ユーザ端末間のネットワーク間通信を禁止するフィルタリング設定を施されてなる複合ネットワークにおいて、前記複数のユーザネットワーク上における前記ユーザ端末間の接続制御を行うためのネットワーク間接続制御方法であって、
    前記共有ネットワークは、
    前記任意のホスト端末として、
    前記ネットワーク間通信を許可するネットワークアーキテクチャ上に存在する任意のユーザ端末同士の接続制御を所定のプロトコルにより実施することの可能な通信アプリケーションを導入されてなる通信用アプリケーションサーバと、
    前記ネットワーク間通信を禁止された前記ユーザ端末間の前記接続制御を前記通信用アプリケーションサーバと協働して実施するための接続制御サーバと、を具備し、
    当該接続制御サーバは、
    前記通信アプリケーションによる前記接続制御に先立ち、前記ネットワーク間通信を希望する前記ユーザ端末毎に、該当する一のユーザネットワーク上における一のユーザ端末のIPアドレス、及び当該一のユーザ端末が通信を許可する他のユーザネットワーク上における他のユーザ端末のIPアドレスを対応付けて自身に登録する処理を実施し、
    前記通信用アプリケーションサーバは、
    前記通信アプリケーションによる前記接続制御のセッションの開始に伴い、当該セッションの確立を要求した発信元ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号、並びに当該セッションの確立を要求された送信先ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号を収集して、これらを対応付けながら前記接続制御サーバに通知する処理を実施し、
    当該接続制御サーバは、
    前記通信用アプリケーションサーバから通知された前記送信先ユーザ端末の前記IPアドレスが、前記一のユーザ端末の前記IPアドレスとして登録され、かつ、当該通信用アプリケーションサーバから通知された前記発信元ユーザ端末の前記IPアドレスが、その登録に係る前記一のユーザ端末が通信を許可する前記他のユーザ端末の前記IPアドレスとして登録されているか否かを検証して、前記発信元ユーザ端末と前記送信先ユーザ端末との間の前記ネットワーク間通信の可否を判定する処理と、
    この判定の結果、当該ネットワーク間通信が可能とされた場合に、前記1以上のスイッチのうち前記発信元ユーザ端末と前記送信先ユーザ端末とを結ぶ前記複合ネットワーク上に存在する全ての経路上スイッチを制御して、前記ネットワーク間通信に関する前記フィルタリング設定を定常時の禁止設定から許可設定へと変更する処理と、を順次実施する、
    ことを特徴とするネットワーク間接続制御方法。
  2. 前記接続制御サーバは、
    前記一のユーザ端末の前記IPアドレス及び前記他のユーザ端末の前記IPアドレスを登録することに代え、前記通信アプリケーションによる前記接続制御に先立ち、前記ネットワーク間通信を希望するユーザ毎に、該当する一のユーザに付与されたユーザID、及び当該一のユーザが通信を許可する他のユーザに付与されたユーザIDを対応付けて自身に登録する処理を実施し、
    前記ユーザ端末は、
    前記通信アプリケーションによる前記接続制御のセッションの開始直前に、自身に付与されているIPアドレスと共に、当該セッションの確立を要求しようとする前記ユーザに予め付与されたユーザIDを取得して、これらを対応付けながら前記接続制御サーバに通知する処理を実施し、
    当該接続制御サーバは、
    前記ユーザ端末から通知された前記ユーザIDが適正なものである場合に、前記通信用アプリケーションサーバから通知された前記発信元ユーザ端末の前記IPアドレス及び前記送信先ユーザ端末の前記IPアドレスを、それぞれ、前記ユーザ端末から通知された対応する発信元ユーザID及び送信先ユーザIDに変換する処理と、
    前記送信先ユーザ端末の前記IPアドレス及び前記発信元ユーザ端末の前記IPアドレスに基づいて前記ネットワーク間通信の可否を判定することに代え、変換された前記送信先ユーザIDが、前記一のユーザの前記ユーザIDとして登録され、かつ、変換された前記発信元ユーザIDが、その登録に係る前記一のユーザが通信を許可する前記他のユーザの前記ユーザIDとして登録されているか否かを検証して、前記発信元ユーザ端末と前記送信先ユーザ端末との間の前記ネットワーク間通信の可否を判定する処理と、を順次実施する、
    ことを特徴とする請求項1に記載のネットワーク間接続制御方法。
  3. 前記接続制御サーバは、
    前記1以上のスイッチの前記フィルタリング設定を変更する処理を実施するに先立ち、前記通信用アプリケーションサーバから通知された前記発信元ユーザ端末の前記IPアドレス及び前記送信先ユーザ端末の前記IPアドレスと、自身に予め登録された前記複数のユーザネットワークの各IPアドレス、並びに前記1以上のスイッチのIPアドレス及び前記共有ネットワークとの接続に使用される物理ポート番号とに基づいて、前記ネットワーク間通信に関する前記フィルタリング設定を変更する際の制御対象をなす前記全ての経路上スイッチの当該IPアドレス、及び前記共有ネットワークとの接続に使用される当該物理ポート番号を識別する処理を実施する、
    ことを特徴とする請求項1又は2に記載のネットワーク間接続制御方法。
  4. 前記接続制御サーバは、
    前記1以上のスイッチの前記フィルタリング設定を変更する処理を実施するに際し、前記通信用アプリケーションサーバから通知された前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、識別された前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号とを対応付けて自身に保存する処理を併せて実施する、
    ことを特徴とする請求項3に記載のネットワーク間接続制御方法。
  5. 前記接続制御サーバは、
    前記通信アプリケーションによる前記接続制御のセッションの終了直後に、自身に保存された前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号とに基づいて、前記ネットワーク間通信に関する前記フィルタリング設定を前記許可設定から定常時の前記禁止設定へと復旧させる処理をさらに実施する、
    ことを特徴とする請求項4に記載のネットワーク間接続制御方法。
  6. 前記共有ネットワークは、
    単一の前記通信用アプリケーションサーバに代え、所要の前記接続制御を種類の異なる前記プロトコルによりそれぞれ実施する2以上の通信アプリケーションの何れかを選択的に導入されてなる複数の通信用アプリケーションサーバを具備し、
    前記接続制御サーバは、
    当該複数の通信用アプリケーションサーバからそれぞれ通知される前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号に基づいて、前記2以上の通信アプリケーションによる該当する前記接続制御をそれぞれ実施する、
    ことを特徴とする請求項1、2、3、4又は5に記載のネットワーク間接続制御方法。
  7. それぞれにつき1以上のユーザ端末の設置を許容して構成される複数のユーザネットワークと、これら複数のユーザネットワークから物理的に独立して構成される共有ネットワークと、OSI参照モデルの第4層以上の処理が可能であり、前記複数のユーザネットワークと前記共有ネットワークとを相互に接続する1以上のスイッチとを有して構成され、当該1以上のスイッチが、その定常時において、前記複数のユーザネットワーク上に存在する全ての前記ユーザ端末と前記共有ネットワーク上に存在する任意のホスト端末との間の相互通信を許可し、かつ、前記複数のユーザネットワーク上に個々に存在する前記ユーザ端末間のネットワーク間通信を禁止するフィルタリング設定を施されてなる複合ネットワークにおいて、前記複数のユーザネットワーク上における前記ユーザ端末間の接続制御を行うためのネットワーク間接続制御システム装置であって、
    前記共有ネットワークは、
    前記任意のホスト端末として、
    前記ネットワーク間通信を許可するネットワークアーキテクチャ上に存在する任意のユーザ端末同士の接続制御を所定のプロトコルにより実施することの可能な通信アプリケーションを導入されてなる通信用アプリケーションサーバと、
    前記ネットワーク間通信を禁止された前記ユーザ端末間の前記接続制御を前記通信用アプリケーションサーバと協働して実施するための接続制御サーバと、を具備して構成され、
    前記通信用アプリケーションサーバは、
    前記通信アプリケーションによる前記接続制御のセッションの開始に伴い、当該セッションの確立を要求した発信元ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号、並びに当該セッションの確立を要求された送信先ユーザ端末のIPアドレス及び当該セッションで使用する論理ポート番号を収集して、これらの対応付けを図って得たノード情報を前記接続制御サーバに通知するノード情報収集処理手段を具備し、
    当該接続制御サーバは、
    前記通信アプリケーションによる前記接続制御に先立ち、前記ネットワーク間通信を希望する前記ユーザ端末毎に、該当する一のユーザネットワーク上における一のユーザ端末のIPアドレス、及び当該一のユーザ端末が通信を許可する他のユーザネットワーク上における他のユーザ端末のIPアドレスを対応付け編成してなるユーザ端末情報を登録するユーザ情報登録処理手段と、
    前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記送信先ユーザ端末の前記IPアドレスが、前記ユーザ情報登録処理手段により登録された前記ユーザ端末情報中に前記一のユーザ端末の前記IPアドレスとして登録され、かつ、当該ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレスが、その登録に係る前記一のユーザ端末が通信を許可する前記他のユーザ端末の前記IPアドレスとして当該ユーザ端末情報中に登録されているか否かを検証して、前記発信元ユーザ端末と前記送信先ユーザ端末との間の前記ネットワーク間通信の可否を判定する通信可否判定処理手段と、
    この通信可否判定処理手段による判定の結果、当該ネットワーク間通信が可能とされた場合に、前記1以上のスイッチのうち前記発信元ユーザ端末と前記送信先ユーザ端末とを結ぶ前記複合ネットワーク上に存在する全ての経路上スイッチを制御して、前記ネットワーク間通信に関する前記フィルタリング設定を定常時の禁止設定から許可設定へと変更するフィルタリング設定変更処理手段と、を具備する、
    ことを特徴とするネットワーク間接続制御システム装置。
  8. 前記接続制御サーバは、
    前記ユーザ情報登録処理手段による前記ユーザ端末情報の書込み、及び前記通信可否判定処理手段による当該ユーザ端末情報の読出しが可能なユーザ情報管理テーブルを具備する、
    ことを特徴とする請求項7に記載のネットワーク間接続制御システム装置。
  9. 前記ユーザ端末は、
    前記通信アプリケーションによる前記接続制御のセッションの開始直前に、自身に付与されているIPアドレスと共に、当該セッションの確立を要求しようとする前記ユーザに予め付与されたユーザID及びパスワードを取得し、これらを対応付け編成してなるロケーション情報を前記接続制御サーバに通知するロケーション情報通知処理手段を具備し、
    前記ユーザ情報登録処理手段は、
    前記一のユーザ端末の前記IPアドレス及び前記他のユーザ端末の前記IPアドレスを含んでなる前記ユーザ端末情報を登録することに代え、前記通信アプリケーションによる前記接続制御に先立ち、前記ネットワーク間通信を希望するユーザ毎に、該当する一のユーザに付与されたユーザID、及び当該一のユーザが通信を許可する他のユーザに付与されたユーザIDを対応付け編成してなるユーザID情報を登録する機能手段を具備し、
    前記接続制御サーバは、
    前記ロケーション情報通知処理手段から通知された前記ロケーション情報に含まれる前記ユーザIDが適正なものである場合に、前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレス及び前記送信先ユーザ端末の前記IPアドレスを、それぞれ、前記ロケーション情報通知処理手段から通知された前記ロケーション情報に含まれる前記IPアドレスに基づいて、対応する発信元ユーザID及び送信先ユーザIDに変換するアドレス−ID変換処理手段を具備し、
    前記通信可否判定処理手段は、
    前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記送信先ユーザ端末の前記IPアドレス、及び前記発信元ユーザ端末の前記IPアドレスに基づいて前記ネットワーク間通信の可否を判定することに代え、前記アドレス−ID変換処理手段で変換された前記送信先ユーザIDが、前記ユーザ情報登録処理手段により登録された前記ユーザID情報中に前記一のユーザの前記ユーザIDとして登録され、かつ、前記アドレス−ID変換処理手段で変換された前記発信元ユーザIDが、その登録に係る前記一のユーザが通信を許可する前記他のユーザの前記ユーザIDとして当該ユーザID情報中に登録されているか否かを検証して、前記発信元ユーザ端末と前記送信先ユーザ端末との間の前記ネットワーク間通信の可否を判定する機能手段を具備する、
    ことを特徴とする請求項7に記載のネットワーク間接続制御システム装置。
  10. 前記接続制御サーバは、
    前記ユーザ情報登録処理手段による前記ユーザID情報の書込み、及び前記通信可否判定処理手段による当該ユーザID情報の読出しが可能なユーザ情報管理テーブルを具備する、
    ことを特徴とする請求項9に記載のネットワーク間接続制御システム装置。
  11. 前記接続制御サーバは、
    前記ユーザに予め付与された前記ユーザID及び前記パスワードと、前記ロケーション情報通知処理手段から通知される前記IPアドレスとの関係を定義してなるユーザロケーションの対応情報を登録し、前記ユーザ情報登録処理手段による当該IPアドレスの書込み、前記アドレス−ID変換処理手段による当該ユーザIDの読出しが可能なロケーション情報管理テーブルを具備する、
    ことを特徴とする請求項9又は10に記載のネットワーク間接続制御システム装置。
  12. 前記接続制御サーバは、
    前記フィルタリング設定変更処理手段において前記1以上のスイッチの前記フィルタリング設定を変更するに先立ち、前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレス及び前記送信先ユーザ端末の前記IPアドレスと、予め登録された前記複数のユーザネットワークの各IPアドレス、並びに前記1以上のスイッチのIPアドレス及び前記共有ネットワークとの接続に使用される物理ポート番号とに基づいて、前記ネットワーク間通信に関する前記フィルタリング設定を変更する際の制御対象をなす前記全ての経路上スイッチの当該IPアドレス、及び前記共有ネットワークとの接続に使用される当該物理ポート番号を識別する経路上スイッチ識別処理手段を具備する、
    ことを特徴とする請求項7、8、9、10又は11に記載のネットワーク間接続制御システム装置。
  13. 前記接続制御サーバは、
    前記複数のユーザネットワークの前記各IPアドレスと、前記1以上のスイッチの前記IPアドレスとの関係を定義してなる当該複数のユーザネットワークの設定情報を蓄積、管理し、前記経路上スイッチ識別処理手段による当該設定情報の読出しが可能なユーザネットワーク設定管理テーブルを具備する、
    ことを特徴とする請求項12に記載のネットワーク間接続制御システム装置。
  14. 前記接続制御サーバは、
    前記1以上のスイッチの前記IPアドレスと、前記共有ネットワークとの接続に使用される前記物理ポート番号との関係を定義してなる当該1以上のスイッチの配線情報を蓄積、管理し、前記経路上スイッチ識別処理手段による当該配線情報の読出しが可能なスイッチ配線管理テーブルを具備する、
    ことを特徴とする請求項12又は13に記載のネットワーク間接続制御システム装置。
  15. 前記フィルタリング設定変更処理手段は、
    前記1以上のスイッチの前記フィルタリング設定を変更するに際し、前記ノード情報収集処理手段から通知された前記ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、前記経路上スイッチ識別処理手段で識別された前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号とを対応付けて保存する機能手段を併せて具備する、
    ことを特徴とする請求項12、13又は14に記載のネットワーク間接続制御システム装置。
  16. 前記フィルタリング設定変更処理手段は、
    前記通信アプリケーションによる前記接続制御のセッションの終了直後に、当該機能手段により保存された前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号とに基づいて、前記ネットワーク間通信に関する前記フィルタリング設定を前記許可設定から定常時の前記禁止設定へと復旧させる機能手段をさらに具備する、
    ことを特徴とする請求項15に記載のネットワーク間接続制御システム装置。
  17. 前記接続制御サーバは、
    前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号と、前記全ての経路上スイッチの前記IPアドレス及び前記物理ポート番号との関係を定義してなる前記フィルタリング設定の変更情報を蓄積、管理し、前記フィルタリング設定変更処理手段による当該変更情報の書込み及び/又は読出しが可能なフィルタリング設定変更管理テーブルを具備する、
    ことを特徴とする請求項15又は16に記載のネットワーク間接続制御システム装置。
  18. 前記共有ネットワークは、
    単一の前記通信用アプリケーションサーバに代え、所要の前記接続制御を種類の異なる前記プロトコルによりそれぞれ実施する2以上の通信アプリケーションの何れかを選択的に導入されてなる複数の通信用アプリケーションサーバを具備して構成され、
    前記接続制御サーバは、
    当該複数の通信用アプリケーションサーバの該当する前記ノード情報収集処理手段からそれぞれ通知される前記ノード情報に含まれる前記発信元ユーザ端末の前記IPアドレス及び前記論理ポート番号、並びに前記送信先ユーザ端末の前記IPアドレス及び前記論理ポート番号に基づいて、前記2以上の通信アプリケーションによる該当する前記接続制御をそれぞれ実施する機能手段を具備する、
    ことを特徴とする請求項7、8、9、10、11、12、13、14、15、16又は17に記載のネットワーク間接続制御システム装置。
  19. 前記通信アプリケーションに適用される前記プロトコルは、
    RFC3261準拠のSIPプロトコルである、
    ことを特徴とする請求項7、8、9、10、11、12、13、14、15、16、17又は18に記載のネットワーク間接続制御システム装置。
  20. 前記通信アプリケーションに適用される前記プロトコルは、
    ITU−T勧告のH.323プロトコルである、
    ことを特徴とする請求項7、8、9、10、11、12、13、14、15、16、17又は18に記載のネットワーク間接続制御システム装置。
JP2003409539A 2003-12-08 2003-12-08 ネットワーク間接続制御方法及びシステム装置 Pending JP2005175635A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003409539A JP2005175635A (ja) 2003-12-08 2003-12-08 ネットワーク間接続制御方法及びシステム装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003409539A JP2005175635A (ja) 2003-12-08 2003-12-08 ネットワーク間接続制御方法及びシステム装置

Publications (1)

Publication Number Publication Date
JP2005175635A true JP2005175635A (ja) 2005-06-30

Family

ID=34730888

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003409539A Pending JP2005175635A (ja) 2003-12-08 2003-12-08 ネットワーク間接続制御方法及びシステム装置

Country Status (1)

Country Link
JP (1) JP2005175635A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013132909A1 (ja) * 2012-03-07 2013-09-12 株式会社エヌ・ティ・ティ・ドコモ ホスト提供システム及び通信制御方法
JP2015029356A (ja) * 2009-09-10 2015-02-12 日本電気株式会社 制御装置、通信システム、制御方法及びプログラム
JP2016506109A (ja) * 2012-11-22 2016-02-25 テレフオンアクチーボラゲット エル エム エリクソン(パブル) デバイス固有のトラフィックフローステアリングのためのネットワークアドレス変換されたデバイスの特定

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015029356A (ja) * 2009-09-10 2015-02-12 日本電気株式会社 制御装置、通信システム、制御方法及びプログラム
US10075338B2 (en) 2009-09-10 2018-09-11 Nec Corporation Relay control unit, relay control system, relay control method, and relay control program
WO2013132909A1 (ja) * 2012-03-07 2013-09-12 株式会社エヌ・ティ・ティ・ドコモ ホスト提供システム及び通信制御方法
JP2013187707A (ja) * 2012-03-07 2013-09-19 Ntt Docomo Inc ホスト提供システム及び通信制御方法
JP2016506109A (ja) * 2012-11-22 2016-02-25 テレフオンアクチーボラゲット エル エム エリクソン(パブル) デバイス固有のトラフィックフローステアリングのためのネットワークアドレス変換されたデバイスの特定

Similar Documents

Publication Publication Date Title
JP3964872B2 (ja) マルチメディア通信のためのデータ構造、方法及びシステム
EP1017206B1 (en) Method and apparatus for connecting a home network to the internet
JP4023240B2 (ja) ユーザ認証システム
JP4909277B2 (ja) ネットワーク通信機器、ネットワーク通信方法、アドレス管理機器
US8555371B1 (en) Systems and methods for management of nodes across disparate networks
JP2004140605A (ja) 通信システム、転送装置、通信方法及びプログラム
JP3677153B2 (ja) 蓄積装置
JP2007166666A (ja) ネットワーク管理のための方法とシステム
CA2471283A1 (en) Initiating connections through firewalls and network address translators
JPH0281539A (ja) デジタル通信回路網およびその操作方法並びにデジタル通信回路網に用いるルータ
JP2008072203A (ja) 中継サーバ
JP3743507B2 (ja) 中継サーバ
CN100454860C (zh) 连接控制系统、连接控制装置及连接管理装置
JP2006245676A (ja) 通信装置、ルータ装置、通信方法および通信プログラム
JP3970857B2 (ja) 通信システム、ゲートウェイ装置
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2005175635A (ja) ネットワーク間接続制御方法及びシステム装置
JP2005151025A (ja) 拡張中継システム及び中継装置
JP2012044668A (ja) Udpブロードキャストのトンネリングのための様々な方法および装置
JP2005057693A (ja) ネットワーク仮想化システム
JP2008010934A (ja) ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体
JP3947141B2 (ja) ネットワーク間通信方法及び管理サーバ並びにユーザ網管理サーバ
JP3848338B2 (ja) ルータ装置及びラベルスイッチングパスの設定方法
JP2001326692A (ja) 相互接続装置及びこれを用いたネットワークシステム
JPH11145994A (ja) 通信方法および通信装置