JP2017121026A - Multicast communication device and multicast communication method - Google Patents

Multicast communication device and multicast communication method Download PDF

Info

Publication number
JP2017121026A
JP2017121026A JP2015257574A JP2015257574A JP2017121026A JP 2017121026 A JP2017121026 A JP 2017121026A JP 2015257574 A JP2015257574 A JP 2015257574A JP 2015257574 A JP2015257574 A JP 2015257574A JP 2017121026 A JP2017121026 A JP 2017121026A
Authority
JP
Japan
Prior art keywords
multicast
communication
predetermined
multicast data
communication terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015257574A
Other languages
Japanese (ja)
Inventor
佐藤 浩司
Koji Sato
浩司 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2015257574A priority Critical patent/JP2017121026A/en
Publication of JP2017121026A publication Critical patent/JP2017121026A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a multicast communication device that does not transmit multicast data to a communication terminal not permitted to receive multicast data in IP multicast communication, and a multicast communication method performed by the multicast communication device.SOLUTION: A multicast communication device determines whether transmission of prescribed multicast data is permitted or prohibited at a dedicated port for transmitting the prescribed multicast data to a communication terminal connected via a dedicated line on the basis of terminal identification information included in a first prescribed signal received from the communication terminal, and does not transmit the prescribed multicast data at the dedicated port where the transmission is prohibited.SELECTED DRAWING: Figure 1

Description

本発明は、マルチキャストデータを送信するマルチキャスト通信装置及びマルチキャスト通信装置で実行されるマルチキャスト通信方法に関する。 The present invention relates to a multicast communication device that transmits multicast data and a multicast communication method that is executed in the multicast communication device.

従来のIPマルチキャスト通信は、例えば、映像や音声等の一連のデータを他の通信端末に送信する通信端末であるデータ配信端末と、当該データを受信し出力等を行う通信端末であるデータ受信端末とからなるデータ配信システムにおいて、当該データの送受信を行う通信手段として利用される。 Conventional IP multicast communication includes, for example, a data distribution terminal that is a communication terminal that transmits a series of data such as video and audio to other communication terminals, and a data reception terminal that is a communication terminal that receives the data and outputs the data. Is used as a communication means for transmitting and receiving the data.

このようなデータ配信システムでは、IPマルチキャスト通信に対応したネットワーク機器を用いる。ここでのネットワーク機器とは、スイッチやルーター等のネットワークを構成する通信機器を指す。尚、ネットワーク機器には、IPマルチキャスト通信に対応するものと対応しないものとがあり、IPマルチキャスト通信に対応しないネットワーク機器は、マルチキャストデータを受信するとブロードキャストデータとして扱い、当該マルチキャストデータを受信したポートを除く他のポートにブロードキャスト送信を行う。本発明では、IPマルチキャスト通信への対応の有無を記載しない場合は、IPマルチキャスト通信に対応したネットワーク機器を指すものとする。 In such a data distribution system, a network device compatible with IP multicast communication is used. The network device here refers to a communication device constituting a network such as a switch or a router. There are network devices that do not support IP multicast communication and network devices that do not support IP multicast communication. When network device receives multicast data, it treats it as broadcast data, and determines the port that received the multicast data. Broadcast transmission to other ports. In the present invention, when the presence / absence of support for IP multicast communication is not described, it refers to a network device compatible with IP multicast communication.

配信データを送信するデータ配信端末は、自装置が繋がるネットワーク機器に対し、ユニキャストによって配信データを送信する。配信データを受信した当該ネットワーク機器は、当該配信データを受信するデータ受信端末や当該配信データを受信する他のネットワーク機器が繋がるポートに対してのみ、当該配信データのパケットを複製して送信する。 A data distribution terminal that transmits distribution data transmits distribution data by unicast to a network device to which the device itself is connected. The network device that has received the distribution data duplicates and transmits the packet of the distribution data only to a port connected to a data receiving terminal that receives the distribution data or another network device that receives the distribution data.

つまり、IPマルチキャスト通信では、必要な分だけネットワーク上にパケットを複製して送信するため、パケットを送信するデータ配信端末やネットワーク機器等における処理負荷、またパケットがネットワークの通信帯域を占有する割合を最小限に抑えることが可能となる。 In other words, in IP multicast communication, packets are duplicated and transmitted over the network as much as necessary, so the processing load on the data distribution terminal or network device that transmits the packet, and the ratio of the packet occupying the communication bandwidth of the network It can be minimized.

ところで、マルチキャストデータの送信元のデータ配信端末は、マルチキャストするパケットの送信先アドレスに所定のマルチキャストアドレスを付与することで、当該マルチキャストデータを扱うマルチキャストグループを区別する。そして、データ配信端末は、ネットワーク上のネットワーク機器に対して、当該マルチキャストグループを登録するための登録要求メッセージを送信する。 By the way, a data distribution terminal that is a transmission source of multicast data distinguishes a multicast group that handles the multicast data by giving a predetermined multicast address to a transmission destination address of a packet to be multicast. Then, the data distribution terminal transmits a registration request message for registering the multicast group to the network device on the network.

登録要求メッセージを受信したネットワーク機器は、当該マルチキャストグループの対象となるマルチキャストデータの送信元アドレスと当該所定のマルチキャストアドレスとを記憶して当該マルチキャストグループを登録するとともに、接続する他のネットワーク機器に対して当該登録要求メッセージを転送する。 The network device that has received the registration request message stores the multicast data transmission source address and the predetermined multicast address to be the target of the multicast group, registers the multicast group, and transmits to other network devices to be connected. The registration request message is transferred.

また、当該マルチキャストデータを受信するデータ受信端末は、受信を所望するマルチキャストデータを扱うマルチキャストグループに参加することにより、ネットワーク上のネットワーク機器から所望のマルチキャストデータを送信してもらう。このために、データ受信端末は、自装置が繋がるネットワーク機器に対して、マルチキャストグループへの参加と同時にマルチキャストデータの受信を要求する、受信要求メッセージを送信する。 In addition, a data receiving terminal that receives the multicast data participates in a multicast group that handles the multicast data that is desired to be received, so that the network device on the network transmits the desired multicast data. For this purpose, the data receiving terminal transmits a reception request message for requesting reception of multicast data simultaneously with participation in the multicast group to the network device to which the data receiving terminal is connected.

受信要求メッセージを受信したネットワーク機器は、対象となるマルチキャストデータを送信するよう、受信要求メッセージを受信したポートを設定するとともに、接続する他のネットワーク機器に対して当該受信要求メッセージを転送する。 The network device that has received the reception request message sets a port that has received the reception request message so as to transmit the target multicast data, and forwards the reception request message to another network device to be connected.

このように、ネットワーク機器の間でマルチキャストグループの登録要求メッセージと受信要求メッセージの転送を繰り返すことで、最終的に、データ配信端末からデータ受信端末までマルチキャストデータを送信するようネットワーク機器のポートが設定され、データ受信端末は、データ配信端末が送信する所望のマルチキャストデータを受信することができるようになる。 In this way, by repeating the transfer of the multicast group registration request message and reception request message between the network devices, the network device port is finally set to transmit multicast data from the data distribution terminal to the data reception terminal. Thus, the data receiving terminal can receive desired multicast data transmitted by the data distribution terminal.

一般に、IPマルチキャスト通信において、上述のようなデータ配信端末、データ受信端末、及びネットワーク機器の間で、マルチキャストに関わるメッセージを送受信したり、マルチキャストデータを転送したりするためのプロトコルには、IPv4(Internet Protocol version 4)向けのIGMP(Internet Group Management Protocol)や、IPv6(Internet Protocol Version 6)向けのMLD(Multicast Listener Discovery)が用いられる。 In general, in IP multicast communication, a protocol for transmitting / receiving a message related to multicast and transferring multicast data between the data distribution terminal, the data reception terminal, and the network device as described above is IPv4 ( IGMP (Internet Group Management Protocol) for Internet Protocol version 4) and MLD (Multicast Listener Discovery) for IPv6 (Internet Protocol Version 6) are used.

ここで、IGMPやMLDは、OSI参照モデルにおけるレイヤ3(以降、L3)に相当するプロトコルであるため、レイヤ2(以降、L2)に相当するネットワーク機器が上述のIGMPやMLDに準拠してIPマルチキャスト通信のメッセージを送受信したり、マルチキャストデータの転送を行ったりするために、例えば、IGMPsnooping機能やMLDsnooping機能を実装することで、IGMPやMLDに対応したL3パケットを扱うことが可能となる。 Here, since IGMP and MLD are protocols corresponding to layer 3 (hereinafter referred to as L3) in the OSI reference model, a network device corresponding to layer 2 (hereinafter referred to as L2) conforms to the above-described IGMP and MLD to IP. For example, an IGMP snooping function or an MLD snooping function can be implemented to handle L3 packets corresponding to IGMP or MLD in order to transmit / receive multicast communication messages or transfer multicast data.

ところで、上述のようなIPマルチキャスト通信を行う従来技術として、例えば、特許文献1がある。特許文献1では、コンテンツデータを配信する配信サーバが、クライアント端末からのコンテンツデータの配信要求に応じて、クライアント端末に対してコンテンツを配信する手法を開示している。 By the way, as a conventional technique for performing the IP multicast communication as described above, there is, for example, Patent Document 1. Patent Document 1 discloses a technique in which a distribution server that distributes content data distributes content to a client terminal in response to a content data distribution request from the client terminal.

しかしながら、特許文献1の手法では、例えば、配信サーバとクライアント端末との間にIGMPやMLDに準拠していないネットワーク機器が介在しており、マルチキャストデータを送信するポートの管理や制御が適切に行われないとすると、当該ネットワーク機器の配下に接続するクライアント端末が、所望のマルチキャストデータの受信を要求することで、任意に当該マルチキャストデータの受信を行えてしまう。このことは、例えば、TV電話を用いた会議システムや、監視カメラの撮像映像を配信する配信システムにおいて、映像データや音声データをマルチキャストによって配信すると、当該データの受信を許可したくないクライアント端末においても当該データを受信できてしまうセキュリティ上の問題がある。 However, in the method of Patent Document 1, for example, a network device that does not comply with IGMP or MLD is interposed between the distribution server and the client terminal, so that management and control of a port that transmits multicast data are appropriately performed. Otherwise, a client terminal connected to the network device can arbitrarily receive the multicast data by requesting reception of the desired multicast data. For example, in a conference system using a TV phone or a distribution system that distributes captured video of a surveillance camera, when video data and audio data are distributed by multicast, a client terminal that does not want to permit reception of the data. However, there is a security problem that the data can be received.

上述の問題に対し、例えばIPマルチキャスト通信と認証技術を組合せたIGMPの拡張プロトコルであるIGMP+(Internet Group Management Protocol Plus)がある。このような認証プロトコルを実装したネットワーク機器を用いることで、任意の通信端末から受信要求メッセージを受信したときに、当該通信端末に対して認証を行い、マルチキャストグループへの参加の許可又は禁止を判断することが可能となる。そして、このときの認証に成功すると、ネットワーク上のネットワーク機器は、認証に成功した通信端末に対して当該マルチキャストグループへの参加を許可するとともに、当該マルチキャストグループの対象となるマルチキャストデータの送信を行うようになる。また、このときの認証に失敗すると、ネットワーク上のネットワーク機器は、認証に失敗した通信端末に対して当該マルチキャストグループへの参加を禁止し、当該マルチキャストグループの対象となるマルチキャストデータの送信を行わない。このような手段を用いることで、ネットワーク上の通信端末に対して、任意にマルチキャストデータを受信させることを抑止することができる。 For example, there is IGMP + (Internet Group Management Protocol Plus), which is an IGMP extension protocol that combines IP multicast communication and authentication technology. By using a network device that implements such an authentication protocol, when a reception request message is received from an arbitrary communication terminal, the communication terminal is authenticated, and permission or prohibition of participation in the multicast group is determined. It becomes possible to do. When the authentication at this time is successful, the network device on the network permits the communication terminal that has succeeded in authentication to participate in the multicast group and transmits multicast data that is a target of the multicast group. It becomes like this. Also, if the authentication at this time fails, the network device on the network prohibits the communication terminal that has failed authentication from participating in the multicast group, and does not transmit multicast data that is the target of the multicast group. . By using such means, it is possible to prevent a communication terminal on the network from receiving multicast data arbitrarily.

特開2010−245654JP2010-245654

このように、所定マルチキャストデータの受信を要求する通信端末に対して認証を行うネットワーク機器を用いることによって、認証に成功した通信端末に対してのみ当該マルチキャストデータの受信を許可することは可能であるが、当該ネットワーク機器の配下にIGMPやMLD等に準拠していないネットワーク機器が接続し、更にその配下に複数の通信端末が接続している場合には、当該複数の通信端末のうち1つでも所定マルチキャストデータを受信するための認証に成功すると、認証に成功した通信端末に対して送信されたマルチキャストデータが、IGMPやMLDに準拠していないネットワーク機器においてブロードキャストされるので、当該ネットワーク機器の配下に接続する、他の認証に成功していない通信端末に対しても、当該マルチキャストデータが送信されてしまうという問題がある。 In this way, by using a network device that authenticates a communication terminal that requests reception of predetermined multicast data, it is possible to permit only the communication terminal that has succeeded in authentication to receive the multicast data. However, when a network device that does not comply with IGMP or MLD is connected under the network device and a plurality of communication terminals are connected under the network device, one of the plurality of communication terminals is connected. If the authentication for receiving the predetermined multicast data is successful, the multicast data transmitted to the communication terminal that has succeeded in the authentication is broadcast in a network device that does not comply with IGMP or MLD. For other communication terminals that are not successfully authenticated , There is a problem that the multicast data has been transmitted.

本発明は、上述のような問題を解決するためのものであり、IPマルチキャスト通信において、マルチキャストデータの受信を許可していない通信端末に対してマルチキャストデータを送信しない、マルチキャスト通信装置及びそのマルチキャスト通信装置で実行されるマルチキャスト通信方法に関する。 The present invention is intended to solve the above-described problems, and a multicast communication device that does not transmit multicast data to a communication terminal that is not permitted to receive multicast data in IP multicast communication and the multicast communication thereof The present invention relates to a multicast communication method executed by an apparatus.

本発明は、通信端末と専用回線を介して接続し、前記通信端末に対し所定マルチキャストデータを送信する専用ポートと、前記通信端末から送信され前記専用ポートで受信した第1の所定信号に含まれる当該通信端末を識別する端末識別情報に基づき、当該通信端末と接続する前記専用ポートに対して前記所定マルチキャストデータの送信を許可又は禁止する通信管理部と、前記通信管理部により送信を許可された前記専用ポートに対し前記所定マルチキャストデータの送信を行い、送信を禁止された前記専用ポートに対し前記所定マルチキャストデータの送信を行わない通信連絡部と、を備えたことを特徴とするマルチキャスト通信装置である。 The present invention is included in a dedicated port that is connected to a communication terminal via a dedicated line and transmits predetermined multicast data to the communication terminal, and a first predetermined signal transmitted from the communication terminal and received by the dedicated port. Based on terminal identification information for identifying the communication terminal, a communication management unit that permits or prohibits transmission of the predetermined multicast data to the dedicated port connected to the communication terminal, and transmission is permitted by the communication management unit A multicast communication apparatus comprising: a communication communication unit that transmits the predetermined multicast data to the dedicated port and does not transmit the predetermined multicast data to the dedicated port prohibited from transmitting. is there.

また、本発明は、少なくとも1つの通信端末が属する通信端末群と専用回線を介して接続し、前記通信端末群に対し所定マルチキャストデータを送信する専用ポートと、前記通信端末から送信され前記専用ポートで受信した第1の所定信号に含まれる当該通信端末を識別する端末識別情報に基づき、当該通信端末に対して前記所定マルチキャストデータの受信を許可又は禁止し、受信を禁止された前記通信端末が属する前記通信端末群と接続する前記専用ポートに対し、前記所定マルチキャストデータの送信を禁止し、受信を禁止された前記通信端末が属さず、受信を許可された前記通信端末が属する前記通信端末群と接続する前記専用ポートに対し前記所定マルチキャストデータの送信を許可する通信管理部と、前記通信管理部により送信を許可された前記専用ポートに対し前記所定マルチキャストデータの送信を行い、送信を禁止された前記専用ポートに対し前記所定マルチキャストデータの送信を行わない通信連絡部と、を備えたことを特徴とするマルチキャスト通信装置である。 In addition, the present invention provides a dedicated port for connecting to a communication terminal group to which at least one communication terminal belongs via a dedicated line and transmitting predetermined multicast data to the communication terminal group, and the dedicated port transmitted from the communication terminal. Based on the terminal identification information for identifying the communication terminal included in the first predetermined signal received in step (b), the communication terminal that permits or prohibits the communication terminal from receiving the predetermined multicast data, The communication terminal group that prohibits transmission of the predetermined multicast data to the dedicated port connected to the communication terminal group to which the communication terminal belongs, and does not belong to the communication terminal that is prohibited from receiving, and to which the communication terminal that is permitted to receive belongs. A communication management unit that permits transmission of the predetermined multicast data to the dedicated port connected to the network, and transmission by the communication management unit A multicast communication unit that transmits the predetermined multicast data to the permitted dedicated port and does not transmit the predetermined multicast data to the dedicated port prohibited from transmitting. It is a communication device.

また、本発明は、通信端末と、前記通信端末に対し所定マルチキャストデータを送信する専用ポートとを専用回線を介して接続する専用接続工程と、前記専用接続工程で接続した前記通信端末から送信され前記専用ポートで受信した第1の所定信号に含まれる当該通信端末を識別する端末識別情報に基づき、当該通信端末と接続する前記専用ポートに対して前記所定マルチキャストデータの送信を許可又は禁止する送信可否決定工程と、前記送信可否決定工程で、送信を許可された前記専用ポートに対し前記所定マルチキャストデータの送信を行い、送信を禁止された前記専用ポートに対し前記所定マルチキャストデータの送信を行わない通信連絡工程と、を有したことを特徴とするマルチキャスト通信方法ある。 In addition, the present invention is transmitted from the communication terminal connected in the dedicated connection step, the dedicated connection step of connecting a communication terminal and a dedicated port for transmitting predetermined multicast data to the communication terminal via a dedicated line. Transmission that permits or prohibits transmission of the predetermined multicast data to the dedicated port connected to the communication terminal based on terminal identification information that identifies the communication terminal included in the first predetermined signal received at the dedicated port The predetermined multicast data is transmitted to the dedicated port permitted to transmit in the permission determination step and the transmission permission determination step, and the predetermined multicast data is not transmitted to the dedicated port prohibited from transmission. There is a multicast communication method characterized by comprising a communication communication step.

また、本発明は、少なくとも1つの通信端末が属する通信端末群と、前記通信端末群に対し所定マルチキャストデータを送信する専用ポートとを専用回線を介して接続する専用接続工程と、前記専用接続工程で接続した前記通信端末群の前記通信端末から送信され前記専用ポートで受信した第1の所定信号に含まれる当該通信端末を識別する端末識別情報に基づき、当該通信端末に対して前記所定マルチキャストデータの受信を許可又は禁止する受信可否決定工程と、前記受信可否決定工程で、受信を禁止された前記通信端末が属する前記通信端末群と接続する前記専用ポートに対し前記所定マルチキャストデータの送信を禁止し、受信を禁止された前記通信端末が属さず、受信を許可された前記通信端末が属する前記通信端末群と接続する前記専用ポートに対し前記所定マルチキャストデータの送信を許可する送信可否決定工程と、前記送信可否決定工程で、送信を許可された前記専用ポートに対し前記所定マルチキャストデータの送信を行い、送信を禁止された前記専用ポートに対し前記所定マルチキャストデータの送信を行わない通信連絡工程と、を有したことを特徴とするマルチキャスト通信方法である。 Further, the present invention provides a dedicated connection step for connecting a communication terminal group to which at least one communication terminal belongs and a dedicated port for transmitting predetermined multicast data to the communication terminal group via a dedicated line, and the dedicated connection step. The predetermined multicast data is transmitted to the communication terminal based on terminal identification information for identifying the communication terminal included in the first predetermined signal transmitted from the communication terminal of the communication terminal group connected by the terminal and received at the dedicated port. A reception permission / prohibition determining step for permitting or prohibiting reception, and transmission of the predetermined multicast data to the dedicated port connected to the communication terminal group to which the communication terminals prohibited from reception belong in the reception permission determination step The communication terminal that is prohibited from receiving does not belong, and is connected to the communication terminal group to which the communication terminal that is permitted to receive belongs. In the transmission permission / inhibition determining step for permitting transmission of the predetermined multicast data to the dedicated port, and in the transmission permission / inhibition determining step, the predetermined multicast data is transmitted to the dedicated port permitted to transmit, and transmission is prohibited. And a communication step of not transmitting the predetermined multicast data to the dedicated port.

本発明によれば、マルチキャスト通信装置の専用ポートと通信端末とを直接に専用回線を介して接続し、当該専用ポートで受信した第1の所定信号に含まれる当該通信装置の端末識別情報に基づき、当該通信端末と接続する専用ポートに対して当該所定マルチキャストデータの送信を許可又は禁止することが可能となる。その結果として、マルチキャスト通信装置と通信端末との間の通信経路に依らず、所定マルチキャストデータの受信を許可していない通信端末に対して、当該所定マルチキャストデータの送信を抑止できる効果が得られる。 According to the present invention, the dedicated port of the multicast communication device and the communication terminal are directly connected via the dedicated line, and based on the terminal identification information of the communication device included in the first predetermined signal received by the dedicated port. Thus, it is possible to permit or prohibit transmission of the predetermined multicast data to a dedicated port connected to the communication terminal. As a result, there is an effect that transmission of the predetermined multicast data can be suppressed to a communication terminal that is not permitted to receive the predetermined multicast data regardless of the communication path between the multicast communication device and the communication terminal.

また、本発明によれば、マルチキャスト通信装置の専用ポートに、少なくとも1つの通信端末が属する通信端末群と接続するネットワーク機器を、専用回線を介して接続し、当該専用ポートで受信した第1の所定信号に含まれる当該通信装置の端末識別情報に基づき、当該通信端末群と接続する専用ポートに対して当該所定マルチキャストデータの送信を許可又は禁止することが可能となる。その結果として、マルチキャスト通信装置の専用ポートに接続する通信端末群に、所定マルチキャストデータの受信を許可していない通信端末が属する場合に、当該専用ポートからの当該所定マルチキャストデータの送信を抑止できる効果が得られる。 Further, according to the present invention, the network device connected to the communication terminal group to which at least one communication terminal belongs is connected to the dedicated port of the multicast communication device via the dedicated line, and the first port received by the dedicated port is received. Based on the terminal identification information of the communication device included in the predetermined signal, it is possible to permit or prohibit transmission of the predetermined multicast data to a dedicated port connected to the communication terminal group. As a result, when communication terminals that are not permitted to receive predetermined multicast data belong to a group of communication terminals connected to the dedicated port of the multicast communication device, it is possible to suppress transmission of the predetermined multicast data from the dedicated port Is obtained.

実施の形態1における、IPマルチキャスト通信システムを示すシステム構成図である。1 is a system configuration diagram showing an IP multicast communication system in a first embodiment. マルチキャスト通信装置のハードウェア構成とソフトウェア構成とを示すブロック図である。It is a block diagram which shows the hardware constitutions and software constitution of a multicast communication apparatus. マルチキャスト通信装置において所定マルチキャストデータの送信を許可又は禁止する処理を示すフローチャート図である。It is a flowchart figure which shows the process which permits or prohibits transmission of predetermined multicast data in a multicast communication apparatus. 実施の形態2における、マルチキャスト通信装置のハードウェア構成とソフトウェア構成とを示すブロック図である。6 is a block diagram showing a hardware configuration and a software configuration of a multicast communication apparatus in Embodiment 2. FIG. マルチキャスト通信装置において所定マルチキャストデータの送信を禁止する処理を示すフローチャート図である。It is a flowchart figure which shows the process which prohibits transmission of predetermined multicast data in a multicast communication apparatus. 実施の形態3における、マルチキャスト通信装置のハードウェア構成とソフトウェア構成とを示すブロック図である。FIG. 10 is a block diagram illustrating a hardware configuration and a software configuration of a multicast communication apparatus in a third embodiment. マルチキャスト通信装置において所定マルチキャストデータの送信を禁止する処理を示すフローチャート図である。It is a flowchart figure which shows the process which prohibits transmission of predetermined multicast data in a multicast communication apparatus.

以下で説明する実施の形態において、特にIPv4とIPv6とを区別する必要がなければ、双方のプロトコルで扱うアドレスをIPアドレスと記載する。 In the embodiment described below, unless it is particularly necessary to distinguish between IPv4 and IPv6, addresses handled by both protocols are described as IP addresses.

実施の形態1.
図1は、実施の形態1における、IPマルチキャスト通信システムを示すシステム構成図である。IPマルチキャスト通信システムは、マルチキャスト通信装置101、マルチキャスト配信端末102、内部通信端末103、外部通信端末104、内部ネットワーク105、外部ネットワーク106、並びにネットワーク機器107及び108で構成される。 Embodiment 1 FIG.
FIG. 1 is a system configuration diagram showing an IP multicast communication system in the first embodiment. The IP multicast communication system includes a multicast communication device 101, a multicast distribution terminal 102, an internal communication terminal 103, an external communication terminal 104, an internal network 105, an external network 106, and network devices 107 and 108.

図1のマルチキャスト通信装置101と、マルチキャスト配信端末102、内部通信端末103及び外部通信端末104とは、それぞれVPNで直接に接続している。 The multicast communication device 101 of FIG. 1 and the multicast distribution terminal 102, the internal communication terminal 103, and the external communication terminal 104 are directly connected by VPN.

ネットワーク機器107は、スイッチやルーター等のネットワークを構成する通信機器のうち、IPマルチキャスト通信に対応したネットワーク機器であり、特にマルチキャストデータの転送制御を行う機能を備える装置である。 The network device 107 is a network device that supports IP multicast communication among communication devices that constitute a network such as a switch and a router, and is a device that has a function of performing multicast data transfer control in particular.

マルチキャストデータの転送制御とは、所定マルチキャストデータを受信する通信端末に対して、当該マルチキャストデータの転送を行う制御を指す。ネットワーク機器107は、マルチキャストデータの送信元となる、例えばマルチキャスト配信端末102などの通信端末のIPアドレスと、当該マルチキャストデータの送信先の所定マルチキャストアドレスとを記憶する。そして、マルチキャストデータの送信元の通信端末からのメッセージに応じて、当該マルチキャストアドレスによって識別されるマルチキャストグループを登録する。マルチキャストグループを登録したネットワーク機器107は、当該マルチキャストグループの対象となるマルチキャストデータの受信を要求する受信要求メッセージを受信すると、当該受信要求メッセージを送信した通信端末が配下に繋がるポートを選択し、当該マルチキャストデータの送信先として設定する。 Multicast data transfer control refers to control for transferring multicast data to a communication terminal that receives predetermined multicast data. The network device 107 stores an IP address of a communication terminal such as the multicast distribution terminal 102 that is a transmission source of multicast data and a predetermined multicast address of a transmission destination of the multicast data. Then, the multicast group identified by the multicast address is registered according to the message from the communication terminal that is the multicast data transmission source. When the network device 107 that has registered the multicast group receives a reception request message requesting reception of multicast data that is a target of the multicast group, the network device 107 selects a port connected to the communication terminal that has transmitted the reception request message, and Set as the destination of multicast data.

ネットワーク機器108は、ネットワーク機器107とは異なり、IPマルチキャスト通信に対応しないネットワーク機器である。そのため、マルチキャストデータを受信すると転送を行わずに、受信したポートを除く他のポートにブロードキャスト送信する。 Unlike the network device 107, the network device 108 is a network device that does not support IP multicast communication. For this reason, when multicast data is received, it is broadcast without being transferred to other ports except the received port.

マルチキャスト通信装置101は、直接又はネットワークを介して、マルチキャスト配信端末102、内部通信端末103又は外部通信端末104と接続し、マルチキャスト配信端末102から受信するマルチキャストデータを内部通信端末103や外部通信端末104に対し送信する通信装置である。ここでのネットワークとは、内部ネットワーク105や外部ネットワーク106を指す。例えば監視カメラの撮像映像の配信システムにおいて、マルチキャスト通信装置101は、ネットワーク機器107に相当する。 The multicast communication apparatus 101 connects to the multicast distribution terminal 102, the internal communication terminal 103, or the external communication terminal 104 directly or via a network, and receives multicast data received from the multicast distribution terminal 102 as the internal communication terminal 103 or the external communication terminal 104. It is a communication apparatus which transmits with respect to. The network here refers to the internal network 105 or the external network 106. For example, in the distribution system for the captured video of the surveillance camera, the multicast communication apparatus 101 corresponds to the network device 107.

マルチキャスト配信端末102は、例えば上述のデータ配信端末のように、配信データ等のマルチキャストデータを上述のデータ受信端末である内部通信端末103や外部通信端末104に対し配信する通信端末である。マルチキャスト配信端末102は、上述のとおりマルチキャストグループを構成し、IGMPやMLD等のプロトコルに準拠したメッセージを用いて、マルチキャスト通信装置101等のネットワーク上のネットワーク機器107にマルチキャストグループを登録する。例えば、監視カメラの撮像映像の配信システムにおいて、マルチキャスト配信端末102は、撮像した映像データや収集した音声データを遠隔地に伝送する、通信機能を備えた監視カメラ等に相当する。 The multicast distribution terminal 102 is a communication terminal that distributes multicast data such as distribution data to the internal communication terminal 103 and the external communication terminal 104 that are the above-described data receiving terminals, such as the above-described data distribution terminal. The multicast distribution terminal 102 forms a multicast group as described above, and registers the multicast group in the network device 107 on the network such as the multicast communication apparatus 101 using a message conforming to a protocol such as IGMP or MLD. For example, in a distribution system for captured video of a surveillance camera, the multicast distribution terminal 102 corresponds to a surveillance camera having a communication function that transmits captured video data and collected audio data to a remote location.

内部通信端末103は、LAN(Local Area Network)としての内部ネットワーク105に接続し、マルチキャスト配信端末102が配信するマルチキャストデータを受信する通信端末である。また、外部通信端末104は、WAN(Wide Area Network)としての外部ネットワーク106に接続し、マルチキャスト配信端末102が配信するマルチキャストデータを受信する通信端末である。 The internal communication terminal 103 is a communication terminal that is connected to an internal network 105 as a LAN (Local Area Network) and receives multicast data distributed by the multicast distribution terminal 102. The external communication terminal 104 is a communication terminal that is connected to an external network 106 as a WAN (Wide Area Network) and receives multicast data distributed by the multicast distribution terminal 102.

内部通信端末103は、マルチキャスト通信装置101に直接に接続しても良いし、図1のように、マルチキャスト通信装置101に接続するネットワーク機器107やネットワーク機器108の配下に接続しても良い。外部通信端末104についても同様である。 The internal communication terminal 103 may be directly connected to the multicast communication device 101, or may be connected under the network device 107 or the network device 108 connected to the multicast communication device 101 as shown in FIG. The same applies to the external communication terminal 104.

内部通信端末103や外部通信端末104は、接続するネットワーク機器に対し、例えばIGMP又はMLD等のプロトコルに準拠した、所定マルチキャストデータの受信を要求する受信要求メッセージを送信し、当該マルチキャストデータのマルチキャストグループを登録したネットワーク機器107からマルチキャストデータを受信する。例えば、監視カメラの撮像映像の配信システムにおいて、内部通信端末103や外部通信端末104は、監視カメラが撮像した映像データや収集した音声データを受信し、表示デバイスやスピーカー等によって受信データを出力する監視モニタ等に相当する。 The internal communication terminal 103 or the external communication terminal 104 transmits a reception request message for requesting reception of predetermined multicast data to a connected network device in accordance with a protocol such as IGMP or MLD, and the multicast group of the multicast data Multicast data is received from the network device 107 that has registered. For example, in the distribution system for the captured video of the surveillance camera, the internal communication terminal 103 and the external communication terminal 104 receive the video data captured by the surveillance camera and the collected audio data, and output the received data using a display device, a speaker, or the like. It corresponds to a monitoring monitor.

ここで、説明の簡易のため、マルチキャスト配信端末102、内部通信端末103及び外部通信端末104をまとめてマルチキャスト通信端末109と記載し、内部通信端末103及び外部通信端末104をまとめてマルチキャスト受信端末110と記載する。 Here, for simplicity of explanation, the multicast distribution terminal 102, the internal communication terminal 103, and the external communication terminal 104 are collectively referred to as a multicast communication terminal 109, and the internal communication terminal 103 and the external communication terminal 104 are collectively referred to as a multicast receiving terminal 110. It describes.

マルチキャスト通信装置101は、複数のマルチキャスト配信端末102と接続する場合であっても、複数のマルチキャストグループを登録し、それぞれのマルチキャストグループと対応したマルチキャストアドレスによって複数のマルチキャストデータを区別して、マルチキャスト受信端末110に送信することが可能である。一方で、マルチキャスト受信端末110は、マルチキャスト通信装置101が複数のマルチキャストグループを扱う場合であっても、受信要求メッセージで所定マルチキャストグループを指定することによって、当該マルチキャストデータを受信することが可能である。 Even when the multicast communication device 101 is connected to a plurality of multicast distribution terminals 102, a plurality of multicast groups are registered, and a plurality of multicast data are distinguished by a multicast address corresponding to each multicast group, and a multicast receiving terminal 110 can be transmitted. On the other hand, even when the multicast communication apparatus 101 handles a plurality of multicast groups, the multicast receiving terminal 110 can receive the multicast data by specifying a predetermined multicast group in the reception request message. .

尚、マルチキャスト通信装置101は、ネットワーク機器107のような通信機器でなくとも良く、例えば、配信サーバのように自装置に図示しない記憶媒体を備えることで配信データを保持し、当該配信データを送信する装置であっても良い。 The multicast communication device 101 does not have to be a communication device such as the network device 107. For example, the multicast communication device 101 includes a storage medium (not shown) such as a distribution server to hold distribution data and transmit the distribution data. It may be a device that performs.

ところで、マルチキャスト受信端末110がマルチキャスト通信装置101に対して受信要求メッセージを送信すると、マルチキャスト通信装置101と当該マルチキャスト受信端末110との間で所定の認証が行われる。このとき、マルチキャスト通信装置101は、当該マルチキャスト受信端末110から受信する所定の認証の認証パケットに含まれる、当該マルチキャスト受信端末110の識別が可能な端末識別情報に基づき、認証の成功又は失敗を判断して、当該マルチキャスト受信端末110に対し受信要求メッセージの対象となる所定マルチキャストデータの受信の許可又は禁止を決定する。尚、ここでの所定の認証は、マルチキャスト通信装置101の側から開始しても良いし、マルチキャスト受信端末110の側から開始しても良い。 By the way, when the multicast receiving terminal 110 transmits a reception request message to the multicast communication apparatus 101, predetermined authentication is performed between the multicast communication apparatus 101 and the multicast receiving terminal 110. At this time, the multicast communication apparatus 101 determines the success or failure of authentication based on the terminal identification information included in the authentication packet for predetermined authentication received from the multicast receiving terminal 110 and capable of identifying the multicast receiving terminal 110. Then, permission or prohibition of reception of predetermined multicast data that is a target of the reception request message is determined for the multicast receiving terminal 110. The predetermined authentication here may be started from the multicast communication apparatus 101 side or from the multicast receiving terminal 110 side.

このときの所定の認証には、例えば上述のIGMP+や、その他にもSIP(Session Initiation Protocol)又はRadius(Remote Authentication Dial In User Service)等のプロトコルなど、マルチキャスト受信端末110を識別することができる手段を用いる。 For the predetermined authentication at this time, the means capable of identifying the multicast receiving terminal 110 such as the above-described IGMP +, or other protocols such as SIP (Session Initiation Protocol) or Radius (Remote Authentication Dial In User Service), for example. Is used.

また、所定の認証におけるマルチキャスト受信端末110を認証する処理は、マルチキャスト通信装置101が備える機能部で行っても良いし、例えば図示しないネットワーク上の認証サーバと通信してマルチキャスト受信端末110に関する情報を送受信し、当該認証サーバでの認証の結果をマルチキャスト通信装置101で利用しても良い。 Further, the process of authenticating the multicast receiving terminal 110 in the predetermined authentication may be performed by a functional unit included in the multicast communication apparatus 101. For example, information regarding the multicast receiving terminal 110 is obtained by communicating with an authentication server on a network (not shown). The multicast communication apparatus 101 may use the result of authentication performed by the authentication server.

また、上述のように、マルチキャスト通信装置101が複数のマルチキャストグループを扱う場合には、所定の認証として、マルチキャストグループごとに異なる認証を行っても良い。このように、マルチキャストグループと対応して異なる認証を行うことで、マルチキャストデータごとに受信を許可するマルチキャスト受信端末110を判定することが可能となる。 As described above, when the multicast communication apparatus 101 handles a plurality of multicast groups, different authentications may be performed for each multicast group as the predetermined authentication. Thus, by performing different authentication corresponding to the multicast group, it is possible to determine the multicast receiving terminal 110 that permits reception for each multicast data.

図2は、マルチキャスト通信装置101のハードウェア構成とソフトウェア構成とを示すブロック図である。マルチキャスト通信装置101は、ハードウェア構成として、LAN物理ポート201及びWAN物理ポート202を備え、ソフトウェア構成としてLAN論理ポート203、パケット転送部204、VPN論理ポート生成部205、VPN終端部206、ブリッジ接続部207、通信管理部208を備える。 FIG. 2 is a block diagram illustrating a hardware configuration and a software configuration of the multicast communication apparatus 101. The multicast communication apparatus 101 includes a LAN physical port 201 and a WAN physical port 202 as a hardware configuration, and a LAN logical port 203, a packet transfer unit 204, a VPN logical port generation unit 205, a VPN termination unit 206, and a bridge connection as software configurations. Unit 207 and communication management unit 208.

LAN物理ポート201は、内部ネットワーク105を介してマルチキャスト配信端末102や内部通信端末103と接続するための物理的なポートである。また、WAN物理ポート202は、外部ネットワーク106を介して外部通信端末104と接続するための物理的なポートである。また、LAN論理ポート203は、LAN物理ポート201の側の通信を集約する論理的なポートであり、マルチキャスト通信装置101の起動とともに、例えば図示しないメモリ上に生成される。 The LAN physical port 201 is a physical port for connecting to the multicast distribution terminal 102 and the internal communication terminal 103 via the internal network 105. The WAN physical port 202 is a physical port for connecting to the external communication terminal 104 via the external network 106. The LAN logical port 203 is a logical port that aggregates communications on the LAN physical port 201 side, and is generated on a memory (not shown), for example, when the multicast communication apparatus 101 is activated.

パケット転送部204は、WAN物理ポート202とLAN論理ポート203との間で、OSI参照モデルのレイヤ3に相当するパケット転送を行う機能部である。パケット転送部204での転送処理によって、WAN物理ポート202の側とLAN論理ポート203の側にそれぞれ接続するマルチキャスト通信端末109の間で通信が可能となる。 The packet transfer unit 204 is a functional unit that performs packet transfer corresponding to layer 3 of the OSI reference model between the WAN physical port 202 and the LAN logical port 203. By the transfer processing in the packet transfer unit 204, communication is possible between the multicast communication terminals 109 connected to the WAN physical port 202 side and the LAN logical port 203 side, respectively.

VPN論理ポート生成部205は、LAN物理ポート201又はWAN物理ポート202の側から、マルチキャスト通信端末109がマルチキャスト通信装置101に接続する都度に、論理的なポートであるVPN論理ポート209を、例えば図示しないメモリ上に生成する機能部である。 The VPN logical port generation unit 205 displays a VPN logical port 209 that is a logical port each time the multicast communication terminal 109 connects to the multicast communication apparatus 101 from the LAN physical port 201 or WAN physical port 202 side, for example, It is a functional part generated on the memory that does not.

実施の形態1では、VPN論理ポート209は、接続するマルチキャスト通信端末109と1対1で対応してマルチキャスト通信装置101が備える専用ポートであり、接続するマルチキャスト通信端末109との間でVPNによって接続する。ここでのVPNとはL2VPNを指すが、L2VPN以外のVPNであっても良い。 In the first embodiment, the VPN logical port 209 is a dedicated port provided in the multicast communication apparatus 101 in one-to-one correspondence with the connected multicast communication terminal 109 and is connected to the connected multicast communication terminal 109 by VPN. To do. VPN here refers to L2VPN, but may be VPN other than L2VPN.

VPN終端部206は、マルチキャスト通信端末109とVPN論理ポート209との間でVPNによる接続を確立するとともに、VPNでの通信を終端する機能部である。このとき、VPN終端部206は、VPN論理ポート生成部205を制御して、マルチキャスト通信端末109と対応したVPN論理ポート209を生成する。このときのVPNには、例えばL2TP(Layer 2 Tunneling Protocol)のように、通信経路に依存せず直接に双方向通信が可能なプロトコルを用いる。 The VPN termination unit 206 is a functional unit that establishes a VPN connection between the multicast communication terminal 109 and the VPN logical port 209 and terminates the VPN communication. At this time, the VPN termination unit 206 controls the VPN logical port generation unit 205 to generate the VPN logical port 209 corresponding to the multicast communication terminal 109. The VPN at this time uses a protocol such as L2TP (Layer 2 Tunneling Protocol) that allows direct two-way communication without depending on the communication path.

ブリッジ接続部207は、通信連絡部であり、LAN物理ポート201、LAN論理ポート203及び生成したVPN論理ポート209の間の通信を連絡する機能部である。このときの通信を連絡する手段としては、例えば、L2ソフトウェアブリッジ等のソフトウェアブリッジやハードウェアブリッジによる接続がある。ブリッジ接続部207は、後述する通信管理部208の制御に従い、ブリッジ接続した各ポートに対して、通信管理部208が指定したパケットの送受信の可否を設定することができる。 The bridge connection unit 207 is a communication communication unit, and is a functional unit that communicates communication among the LAN physical port 201, the LAN logical port 203, and the generated VPN logical port 209. As means for communicating the communication at this time, for example, there is a connection by a software bridge such as an L2 software bridge or a hardware bridge. The bridge connection unit 207 can set whether or not to transmit / receive a packet designated by the communication management unit 208 to each bridge-connected port according to the control of the communication management unit 208 described later.

特に、マルチキャスト配信端末102及びマルチキャスト受信端末110とVPN論理ポート209とをL2VPNで接続し、ブリッジ接続部207がL2ソフトウェアブリッジを用いてVPN論理ポート209間の通信を連絡することで、マルチキャスト通信装置101、マルチキャスト配信端末102及びマルチキャスト受信端末110が遠隔地など異なるネットワークセグメントに属する場合であっても、ネットワークセグメントの違いを意識することなく、セキュアなネットワークによりIPマルチキャスト通信を行うことが可能となる。 In particular, the multicast distribution terminal 102 and the multicast reception terminal 110 and the VPN logical port 209 are connected by L2VPN, and the bridge connection unit 207 communicates communication between the VPN logical ports 209 using the L2 software bridge, so that the multicast communication apparatus 101, even when the multicast distribution terminal 102 and the multicast receiving terminal 110 belong to different network segments such as remote locations, it is possible to perform IP multicast communication over a secure network without being aware of the difference in network segments. .

通信管理部208は、マルチキャスト通信装置101に生成されたVPN論理ポート209とマルチキャスト通信端末109との接続及び通信を管理し制御する機能部である。 The communication management unit 208 is a functional unit that manages and controls connection and communication between the VPN logical port 209 generated in the multicast communication apparatus 101 and the multicast communication terminal 109.

マルチキャスト通信装置101のVPN論理ポート209とマルチキャスト通信端末109とがVPNで接続する過程は次の通りである。先ず、通信管理部208は、LAN物理ポート201又はWAN物理ポート202にブリッジ接続部207を介して接続したマルチキャスト通信端末109との間で通信を確立する。次に、VPN終端部206は、通信管理部208から当該マルチキャスト通信端末109の情報を取得し、当該マルチキャスト通信端末109と対応した専用ポートである、VPN論理ポート209を生成する。次に、VPN終端部206は、通信管理部208が確立した通信を利用して、生成したVPN論理ポート209と当該マルチキャスト通信端末109とのVPN接続を確立させる。VPN接続が確立すると、当該マルチキャスト通信端末109とVPN論理ポート209との間で、VPNを介して直接に通信を行うことが可能となる。 The process of connecting the VPN logical port 209 of the multicast communication apparatus 101 and the multicast communication terminal 109 via VPN is as follows. First, the communication management unit 208 establishes communication with the multicast communication terminal 109 connected to the LAN physical port 201 or the WAN physical port 202 via the bridge connection unit 207. Next, the VPN termination unit 206 acquires information of the multicast communication terminal 109 from the communication management unit 208 and generates a VPN logical port 209 that is a dedicated port corresponding to the multicast communication terminal 109. Next, the VPN termination unit 206 uses the communication established by the communication management unit 208 to establish a VPN connection between the generated VPN logical port 209 and the multicast communication terminal 109. When the VPN connection is established, communication can be performed directly between the multicast communication terminal 109 and the VPN logical port 209 via the VPN.

VPN論理ポート209にVPN接続した各マルチキャスト通信端末109は、ブリッジ接続部207においてブリッジ接続の設定を適宜行うことで、ブリッジ接続した任意のVPN論理ポート209間の通信が可能となり、それに伴って各マルチキャスト通信端末109間での通信も可能となる。 Each multicast communication terminal 109 that is VPN-connected to the VPN logical port 209 can perform communication between any VPN logical ports 209 that are bridge-connected by appropriately setting the bridge connection in the bridge connection unit 207. Communication between the multicast communication terminals 109 is also possible.

また、通信管理部208は、VPN終端部206を介して、マルチキャスト受信端末110が送信した受信要求メッセージの受信や、その後の所定の認証における認証パケットの送受信を行う。 Further, the communication management unit 208 receives the reception request message transmitted from the multicast receiving terminal 110 and transmits / receives an authentication packet in the predetermined authentication after that via the VPN termination unit 206.

このようにして、通信管理部208は、当該マルチキャスト受信端末110から受信した所定の認証の認証パケットに含まれる端末識別情報に基づき、認証の成功又は失敗を判断して、マルチキャスト受信端末110に対して所定マルチキャストデータの受信の許可又は禁止を決定することが出来る。 In this way, the communication management unit 208 determines the success or failure of authentication based on the terminal identification information included in the authentication packet for predetermined authentication received from the multicast receiving terminal 110, and Thus, permission or prohibition of reception of predetermined multicast data can be determined.

本発明では、上述の所定の認証の認証パケットやSIPメッセージ等の、通信端末を識別する端末識別情報を含む信号を第1の所定信号とする。つまり、通信端末が所定の認証に成功することは、当該通信端末が送信した第1の所定信号に含まれる端末識別情報に基づき、適正に接続するものと判定されることを示し、通信端末が所定の認証に失敗することは、当該通信端末が送信した第1の所定信号に含まれる端末識別情報に基づき、当該通信端末が不正に接続するものと判定されることを示す。 In the present invention, a signal including terminal identification information for identifying a communication terminal, such as an authentication packet or a SIP message for the predetermined authentication described above, is set as a first predetermined signal. That is, the success of the predetermined authentication by the communication terminal indicates that the communication terminal is determined to be properly connected based on the terminal identification information included in the first predetermined signal transmitted by the communication terminal. Failure of the predetermined authentication indicates that the communication terminal is determined to be illegally connected based on the terminal identification information included in the first predetermined signal transmitted by the communication terminal.

そして、通信管理部208は、マルチキャスト受信端末110が所定の認証に成功した場合は、当該マルチキャスト受信端末110に対し所定マルチキャストデータの受信を許可するとともに、当該マルチキャスト受信端末110がVPN接続するVPN論理ポート209に対し当該所定マルチキャストデータの送信を許可し、所定の認証に失敗した場合は、当該マルチキャスト受信端末110に対し所定マルチキャストデータの受信を禁止するとともに、当該マルチキャスト受信端末110がVPN接続するVPN論理ポート209に対し当該所定マルチキャストデータの送信を禁止する。 Then, when the multicast receiving terminal 110 succeeds in the predetermined authentication, the communication management unit 208 permits the multicast receiving terminal 110 to receive the predetermined multicast data, and the VPN logic in which the multicast receiving terminal 110 is VPN-connected. When the transmission of the predetermined multicast data is permitted to the port 209 and the predetermined authentication fails, the multicast receiving terminal 110 is prohibited from receiving the predetermined multicast data and the VPN to which the multicast receiving terminal 110 is connected to the VPN The transmission of the predetermined multicast data is prohibited to the logical port 209.

さらに、通信管理部208は、VPN論理ポート209における所定マルチキャストデータの送信の許可又は禁止の状態を参照し、一度でもVPN論理ポート209に対して所定マルチキャストデータの送信を禁止したならば、その後に、当該VPN論理ポート209とVPN接続したマルチキャスト受信端末110に対して当該所定マルチキャストデータの受信を許可しても、当該VPN論理ポート209に対して当該所定マルチキャストデータの送信を許可しないとしても良いし、所定マルチキャストデータの送信を禁止したVPN論理ポート209とVPN接続したマルチキャスト受信端末110に対しては所定マルチキャストデータの受信を許可しないとしても良い。 Further, the communication management unit 208 refers to the permission or prohibition state of transmission of the predetermined multicast data in the VPN logical port 209, and once prohibits transmission of the predetermined multicast data to the VPN logical port 209, Even if the multicast receiving terminal 110 that is VPN-connected to the VPN logical port 209 is permitted to receive the predetermined multicast data, the VPN logical port 209 may not be permitted to transmit the predetermined multicast data. The reception of the predetermined multicast data may not be permitted to the multicast receiving terminal 110 that is VPN-connected to the VPN logical port 209 that is prohibited from transmitting the predetermined multicast data.

このようにすることで、VPN論理ポート209とVPN接続したマルチキャスト受信端末110が、一度でも所定の認証に失敗したならば、セキュリティの観点から当該マルチキャスト受信端末110に対して所定マルチキャストデータを送信しないように、当該マルチキャスト受信端末110とVPN接続したVPN論理ポート209に対して当該所定マルチキャストデータの送信を禁止の状態のまま維持できる効果が得られる。 In this way, if the multicast receiving terminal 110 that is VPN-connected to the VPN logical port 209 fails even once, the predetermined multicast data is not transmitted to the multicast receiving terminal 110 from the viewpoint of security. As described above, it is possible to obtain an effect of maintaining the transmission of the predetermined multicast data in a prohibited state with respect to the VPN logical port 209 that is VPN-connected to the multicast receiving terminal 110.

また、通信管理部208は、マルチキャスト通信端末109との通信の確立や、VPN論理ポート209とマルチキャスト通信端末109との間のVPN接続の確立の際に、当該マルチキャスト通信端末109が適正であるかどうかを判断するために所定の認証やその他の認証を行っても良く、また、このときの認証の結果を所定マルチキャストデータの受信の可否に利用しても良い。 Also, the communication management unit 208 determines whether the multicast communication terminal 109 is appropriate when establishing communication with the multicast communication terminal 109 or establishing a VPN connection between the VPN logical port 209 and the multicast communication terminal 109. In order to determine whether or not, predetermined authentication or other authentication may be performed, and the result of the authentication at this time may be used to determine whether or not predetermined multicast data can be received.

また、VPN論理ポート209とマルチキャスト通信端末109との接続は有線接続でなくとも良く、マルチキャスト通信装置101及びマルチキャスト通信端末109が図示しない無線通信のハードウェアを備え、VPN論理ポート209とマルチキャスト通信端末109との間で、ブリッジ接続部207のブリッジを介して無線接続を行っても良い。 The connection between the VPN logical port 209 and the multicast communication terminal 109 may not be a wired connection, and the multicast communication device 101 and the multicast communication terminal 109 include wireless communication hardware (not shown), and the VPN logical port 209 and the multicast communication terminal 109 109 may be wirelessly connected to the network via the bridge of the bridge connection unit 207.

図3は、マルチキャスト通信装置101において所定マルチキャストデータの送信を許可又は禁止する処理を示すフローチャート図である。ここでのマルチキャスト通信装置101とマルチキャスト受信端末110とはVPN論理ポート209においてVPNで接続している。 FIG. 3 is a flowchart showing processing for permitting or prohibiting transmission of predetermined multicast data in the multicast communication apparatus 101. Here, the multicast communication apparatus 101 and the multicast receiving terminal 110 are connected by VPN at the VPN logical port 209.

処理S301では、通信管理部208は、マルチキャスト受信端末110から所定マルチキャストデータの受信を要求する受信要求メッセージを受信したかどうかを判定する。受信要求メッセージを受信した場合は処理S302に進む。受信要求メッセージを受信していなければ処理S301に戻る。 In process S301, the communication management unit 208 determines whether or not a reception request message requesting reception of predetermined multicast data has been received from the multicast receiving terminal 110. If a reception request message has been received, the process proceeds to step S302. If no reception request message has been received, the process returns to step S301.

処理S302では、通信管理部208は、受信要求メッセージを送信したマルチキャスト受信端末110との間で所定の認証を行う。その後、処理S303に進む。 In step S302, the communication management unit 208 performs predetermined authentication with the multicast receiving terminal 110 that has transmitted the reception request message. Then, it progresses to process S303.

処理S303では、通信管理部208は、マルチキャスト受信端末110が所定の認証に成功したかどうかを判定する。上述のとおり、このときの認証の成功又は失敗を判定する処理は、通信管理部208で認証を行って判定をしても良いし、ネットワーク上に設置された他の認証サーバで認証を行い、認証結果を取得することで判定を行っても良い。認証に成功したならば処理S304に進む。認証に失敗したならば処理S306に進む。 In step S303, the communication management unit 208 determines whether the multicast receiving terminal 110 has succeeded in predetermined authentication. As described above, the process for determining success or failure of authentication at this time may be performed by performing authentication with the communication management unit 208, or performing authentication with another authentication server installed on the network, The determination may be made by acquiring the authentication result. If the authentication is successful, the process proceeds to step S304. If the authentication fails, the process proceeds to step S306.

処理S304では、通信管理部208は、認証に成功したマルチキャスト受信端末110に対し所定マルチキャストデータの受信を許可するとともに、当該マルチキャスト受信端末110が接続するVPN論理ポート209に対し当該所定マルチキャストデータの送信を許可し、その旨をブリッジ接続部207に通知する。その後、処理S305に進む。 In step S304, the communication management unit 208 permits the multicast receiving terminal 110 that has been successfully authenticated to receive predetermined multicast data, and transmits the predetermined multicast data to the VPN logical port 209 to which the multicast receiving terminal 110 is connected. Is notified and the bridge connection unit 207 is notified of this. Then, it progresses to process S305.

処理S305では、ブリッジ接続部207は、処理S304での通信管理部208からの通知を受けると、認証に成功したマルチキャスト受信端末110が接続するVPN論理ポート209に対し、所定マルチキャストデータを送信する設定を行う。その後、処理を終了する。 In process S305, when the bridge connection unit 207 receives the notification from the communication management unit 208 in process S304, the bridge connection unit 207 is configured to transmit predetermined multicast data to the VPN logical port 209 connected to the multicast receiving terminal 110 that has been successfully authenticated. I do. Thereafter, the process ends.

処理S305の結果、マルチキャスト通信装置101は、所定マルチキャストデータの受信を許可されたマルチキャスト受信端末110が接続するVPN論理ポート209に対してのみ、当該所定マルチキャストデータを送信するので、当該VPN論理ポート209とVPNで直接に接続するマルチキャスト受信端末110のみが当該所定マルチキャストデータを受信することができる。 As a result of the processing S305, the multicast communication apparatus 101 transmits the predetermined multicast data only to the VPN logical port 209 connected to the multicast receiving terminal 110 that is permitted to receive the predetermined multicast data. Only the multicast receiving terminal 110 that is directly connected with the VPN can receive the predetermined multicast data.

処理S306では、通信管理部208は、認証に失敗したマルチキャスト受信端末110に対し所定マルチキャストデータの受信を禁止するとともに、当該マルチキャスト受信端末110が接続するVPN論理ポート209に対し当該所定マルチキャストデータの送信を禁止し、その旨をブリッジ接続部207に対して通知する。その後、処理S307に進む。 In step S306, the communication management unit 208 prohibits the multicast receiving terminal 110 that has failed in authentication from receiving predetermined multicast data, and transmits the predetermined multicast data to the VPN logical port 209 to which the multicast receiving terminal 110 is connected. Is prohibited and the fact is notified to the bridge connection unit 207. Then, it progresses to process S307.

処理S307では、ブリッジ接続部207は、処理S306での通信管理部208からの通知を受けると、認証に失敗したマルチキャスト受信端末110が接続するVPN論理ポート209に対し、所定マルチキャストデータを送信しない設定を行う。その後、処理を終了する。 In process S307, when the bridge connection unit 207 receives the notification from the communication management unit 208 in process S306, the bridge connection unit 207 is configured not to transmit predetermined multicast data to the VPN logical port 209 connected to the multicast reception terminal 110 that has failed in authentication. I do. Thereafter, the process ends.

処理S307の結果、マルチキャスト通信装置101は、所定マルチキャストデータの受信を禁止されたマルチキャスト受信端末110が接続するVPN論理ポート209に対しては、当該所定マルチキャストデータを送信しないので、当該VPN論理ポート209とVPNで直接に接続するマルチキャスト受信端末110は当該所定マルチキャストデータを受信することができない。 As a result of step S307, the multicast communication apparatus 101 does not transmit the predetermined multicast data to the VPN logical port 209 connected to the multicast receiving terminal 110 that is prohibited from receiving the predetermined multicast data. Multicast receiving terminal 110 directly connected with VPN cannot receive the predetermined multicast data.

ここで、マルチキャスト通信装置101が、マルチキャスト受信端末110から受信要求メッセージを受信してから、又はマルチキャスト受信端末110に対して所定の認証の認証パケットを送信してから、所定時間内にマルチキャスト受信端末110から認証パケットを受信しなかった場合に、当該マルチキャスト受信端末110に対して所定マルチキャストデータの受信を禁止しても良い。このようにすることで、不正に接続したマルチキャスト受信端末110は、所定の認証を行わない、又は所定の認証に成功しないため、不正に接続したマルチキャスト受信端末110の検出をより確実に行った上で、所定マルチキャストデータの受信を禁止することが可能となる。ここで、マルチキャスト通信装置101がマルチキャスト受信端末110に対して送信する、上述の第1の所定信号と対応した信号を第2の所定信号とする。 Here, after the multicast communication apparatus 101 receives a reception request message from the multicast receiving terminal 110 or transmits an authentication packet for predetermined authentication to the multicast receiving terminal 110, the multicast receiving terminal within a predetermined time. When an authentication packet is not received from 110, the multicast receiving terminal 110 may be prohibited from receiving predetermined multicast data. By doing so, the illegally connected multicast receiving terminal 110 does not perform the predetermined authentication or does not succeed in the predetermined authentication, so that the illegally connected multicast receiving terminal 110 is more reliably detected. Thus, reception of predetermined multicast data can be prohibited. Here, a signal corresponding to the first predetermined signal described above, which is transmitted from the multicast communication apparatus 101 to the multicast receiving terminal 110, is defined as a second predetermined signal.

このように、マルチキャスト通信装置101のVPN論理ポート209とマルチキャスト受信端末110とを直接にVPN接続し、当該VPN論理ポート209で受信した所定の認証の認証パケットに含まれる当該マルチキャスト受信端末110の端末識別情報に基づき、当該マルチキャスト受信端末110と接続するVPN論理ポート209に対して当該所定マルチキャストデータの送信を許可又は禁止することが可能となる。その結果として、マルチキャスト通信装置101とマルチキャスト受信端末110との間の通信経路に依らず、所定マルチキャストデータの受信を許可していないマルチキャスト受信端末110に対して、当該所定マルチキャストデータの送信を抑止できる効果が得られる。 In this way, the VPN logical port 209 of the multicast communication apparatus 101 and the multicast receiving terminal 110 are directly VPN-connected, and the terminal of the multicast receiving terminal 110 included in the authentication packet of the predetermined authentication received at the VPN logical port 209. Based on the identification information, it becomes possible to permit or prohibit transmission of the predetermined multicast data to the VPN logical port 209 connected to the multicast receiving terminal 110. As a result, regardless of the communication path between the multicast communication device 101 and the multicast receiving terminal 110, transmission of the predetermined multicast data can be suppressed to the multicast receiving terminal 110 that is not permitted to receive the predetermined multicast data. An effect is obtained.

実施の形態1によれば、マルチキャスト通信装置101のVPN論理ポート209とマルチキャスト受信端末110とを直接にVPN接続し、当該VPN論理ポート209で受信した第1の所定信号に含まれる当該マルチキャスト受信端末110を識別する端末識別情報に基づき、当該マルチキャスト受信端末110と接続するVPN論理ポート209に対して当該所定マルチキャストデータの送信を許可又は禁止することが可能となる。その結果として、マルチキャスト通信装置101とマルチキャスト受信端末110との間の通信経路に依らず、所定マルチキャストデータの受信を許可していないマルチキャスト受信端末110に対して、当該所定マルチキャストデータの送信を抑止できる効果が得られる。 According to the first embodiment, the VPN logical port 209 of the multicast communication apparatus 101 and the multicast receiving terminal 110 are directly VPN-connected, and the multicast receiving terminal included in the first predetermined signal received by the VPN logical port 209 Based on the terminal identification information for identifying 110, transmission of the predetermined multicast data can be permitted or prohibited for the VPN logical port 209 connected to the multicast receiving terminal 110. As a result, regardless of the communication path between the multicast communication device 101 and the multicast receiving terminal 110, transmission of the predetermined multicast data can be suppressed to the multicast receiving terminal 110 that is not permitted to receive the predetermined multicast data. An effect is obtained.

また、実施の形態1によれば、マルチキャスト受信端末110から受信要求メッセージを受信してから、又はマルチキャスト受信端末110に対して第2の所定信号を送信してから、所定時間内にマルチキャスト受信端末110から第1の所定信号を受信しなかった場合に、当該マルチキャスト受信端末110に対して所定マルチキャストデータの受信を禁止するとともに、当該受信要求メッセージを受信したVPN論理ポート209に対し、当該受信要求メッセージの対象となる所定マルチキャストデータの送信を禁止することが可能となる。その結果として、不正に接続したマルチキャスト受信端末110は、第1の所定信号を送信しない、又は第1の所定信号に基づき、適正であると判定されないため、不正に接続したマルチキャスト受信端末110の検出をより確実に行った上で、所定マルチキャストデータの送信を抑止できる効果が得られる。 Further, according to the first embodiment, after receiving the reception request message from the multicast receiving terminal 110 or transmitting the second predetermined signal to the multicast receiving terminal 110, the multicast receiving terminal within a predetermined time. When the first predetermined signal is not received from 110, the multicast receiving terminal 110 is prohibited from receiving predetermined multicast data, and the reception request is sent to the VPN logical port 209 that has received the reception request message. It is possible to prohibit transmission of predetermined multicast data to be a message target. As a result, since the illegally connected multicast receiving terminal 110 does not transmit the first predetermined signal or is not determined to be appropriate based on the first predetermined signal, the illegally connected multicast receiving terminal 110 is detected. Thus, an effect of suppressing transmission of predetermined multicast data can be obtained.

また、実施の形態1によれば、マルチキャスト配信端末102及びマルチキャスト受信端末110とVPN論理ポート209とをL2VPNで接続し、L2ソフトウェアブリッジを用いてVPN論理ポート209間の通信を連絡することが可能となる。その結果として、マルチキャスト通信装置101、マルチキャスト配信端末102及びマルチキャスト受信端末110が遠隔地など異なるネットワークセグメントに属する場合であっても、ネットワークセグメントの違いを意識することなく、セキュアなネットワークによりIPマルチキャスト通信を行える効果が得られる。 Further, according to the first embodiment, it is possible to connect the multicast distribution terminal 102 and the multicast reception terminal 110 and the VPN logical port 209 with L2VPN, and to communicate the communication between the VPN logical ports 209 using the L2 software bridge. It becomes. As a result, even when the multicast communication device 101, the multicast distribution terminal 102, and the multicast reception terminal 110 belong to different network segments such as remote locations, IP multicast communication is performed by a secure network without being aware of the difference in network segments. The effect that can be performed is obtained.

実施の形態2.
実施の形態1では、マルチキャスト通信装置101において、マルチキャスト受信端末110と、当該マルチキャスト受信端末110と対応したVPN論理ポート209とを直接にVPN接続し、マルチキャスト受信端末110との間で所定の認証を行った結果に応じて、当該VPN論理ポート209に対してマルチキャストデータの送信を許可又は禁止することで、所定マルチキャストデータの受信を許可していないマルチキャスト受信端末110に対して当該所定マルチキャストデータを送信してしまうことを抑止した。実施の形態2では、マルチキャスト受信端末110との間で所定の認証を行った結果に基づいて所定マルチキャストデータの送信を許可したVPN論理ポート209の配下に、当該所定マルチキャストデータの受信を許可していない他のマルチキャスト受信端末110が接続していることを検出して、当該他のマルチキャスト受信端末110に対してマルチキャストデータを送信してしまうことを抑止する。 Embodiment 2. FIG.
In the first embodiment, in the multicast communication apparatus 101, the multicast receiving terminal 110 and the VPN logical port 209 corresponding to the multicast receiving terminal 110 are directly connected by VPN, and predetermined authentication is performed between the multicast receiving terminal 110 and the multicast receiving terminal 110. The predetermined multicast data is transmitted to the multicast receiving terminal 110 that is not permitted to receive the predetermined multicast data by permitting or prohibiting the transmission of the multicast data to the VPN logical port 209 according to the result. Suppressed that. In the second embodiment, reception of the predetermined multicast data is permitted under the VPN logical port 209 that is permitted to transmit predetermined multicast data based on the result of performing predetermined authentication with the multicast receiving terminal 110. It is detected that another multicast receiving terminal 110 that is not connected is connected, and multicast data is prevented from being transmitted to the other multicast receiving terminal 110.

図1のように、マルチキャスト通信装置101のVPN論理ポート209が、マルチキャスト受信端末110だけではなく、ネットワーク機器107又は108等の通信機器との間でVPN接続し、当該通信機器の配下に複数のマルチキャスト受信端末110を接続するネットワーク構成とすると、マルチキャスト受信端末110とVPN論理ポート209とは1対1で対応せず、VPN論理ポート209に複数のマルチキャスト受信端末110が対応することとなる。 As shown in FIG. 1, the VPN logical port 209 of the multicast communication apparatus 101 is connected not only to the multicast receiving terminal 110 but also to a communication device such as the network device 107 or 108, and a plurality of subordinates under the communication device. If the network configuration connects the multicast receiving terminal 110, the multicast receiving terminal 110 and the VPN logical port 209 do not correspond one-to-one, and a plurality of multicast receiving terminals 110 correspond to the VPN logical port 209.

このようなネットワーク構成では、例えば、VPN論理ポート209からのVPNが終端した先にあるネットワーク機器108の配下に接続したマルチキャスト受信端末110のうち、所定の認証に成功するものが1つでも存在すると、通信管理部208は当該VPN論理ポート209に対して、受信要求メッセージの対象となる所定マルチキャストデータの送信を許可する。 In such a network configuration, for example, at least one multicast receiving terminal 110 connected under the network device 108 to which the VPN from the VPN logical port 209 has terminated succeeds in predetermined authentication. The communication management unit 208 permits the VPN logical port 209 to transmit predetermined multicast data that is the target of the reception request message.

そうすると、当該ネットワーク機器108の配下に接続した、当該所定マルチキャストデータの受信を許可していない他のマルチキャスト受信端末110に対しても、当該所定マルチキャストデータが送信されてしまう畏れがあり、このことはセキュリティ上の問題となる。実施の形態2では、このような問題を解決する手段について説明する。 Then, the predetermined multicast data may be transmitted to other multicast receiving terminals 110 that are connected under the network device 108 and are not permitted to receive the predetermined multicast data. This is a security issue. In the second embodiment, means for solving such a problem will be described.

図4は、実施の形態2における、マルチキャスト通信装置101のハードウェア構成とソフトウェア構成とを示すブロック図である。マルチキャスト通信装置101は、メッセージ詮索部401及び記憶部402をさらに備える。その他の構成については図2と同様である。 FIG. 4 is a block diagram showing a hardware configuration and a software configuration of multicast communication apparatus 101 in the second embodiment. The multicast communication apparatus 101 further includes a message search unit 401 and a storage unit 402. Other configurations are the same as those in FIG.

メッセージ詮索部401は、ブリッジ接続部207において、LAN物理ポート201、LAN論理ポート203又はVPN論理ポート209のいずれかのポートで受信した受信要求メッセージを詮索して当該受信要求メッセージに関する情報を通知する機能部である。メッセージ詮索部401は、通信管理部208に対し、当該受信要求メッセージを受信したポートの情報、当該受信要求メッセージを送信したマルチキャスト受信端末110の識別情報、及び受信した受信要求メッセージの対象となるマルチキャストデータの識別情報を通知する。 The message search unit 401 searches the reception request message received by any one of the LAN physical port 201, the LAN logical port 203, or the VPN logical port 209 in the bridge connection unit 207, and notifies information related to the reception request message. It is a functional part. The message snooping unit 401 sends to the communication management unit 208 information on the port that has received the reception request message, identification information of the multicast receiving terminal 110 that has transmitted the reception request message, and multicast that is the target of the received reception request message. Notify the data identification information.

マルチキャスト受信端末110の識別情報とは、例えばIPアドレスやMACアドレス等の、ネットワーク上でマルチキャスト受信端末110を識別する情報である。また、マルチキャストデータの識別情報とは、例えば送信先アドレスに付与されるマルチキャストアドレスや送信元アドレス等の、マルチキャストグループを識別する情報である。本発明では、マルチキャスト受信端末110の識別情報としてIPアドレスを用い、マルチキャストデータの識別情報としてマルチキャストアドレスを用いて説明する。 The identification information of the multicast receiving terminal 110 is information for identifying the multicast receiving terminal 110 on the network, such as an IP address or a MAC address. Further, the multicast data identification information is information for identifying a multicast group, such as a multicast address or a source address assigned to a destination address. The present invention will be described using an IP address as identification information of the multicast receiving terminal 110 and a multicast address as identification information of multicast data.

記憶部402は、VPN論理ポート209、マルチキャスト受信端末110のIPアドレス、及び所定マルチキャストデータのマルチキャストアドレスを関連付けて記憶する記憶媒体である。 The storage unit 402 is a storage medium that stores the VPN logical port 209, the IP address of the multicast receiving terminal 110, and the multicast address of predetermined multicast data in association with each other.

通信管理部208は、受信要求メッセージを送信して所定の認証に成功したマルチキャスト受信端末110のIPアドレスと、当該マルチキャスト受信端末110に対して受信を許可した所定マルチキャストデータのマルチキャストアドレスを、当該マルチキャスト受信端末110に対応したVPN論理ポート209と関連付けて記憶部402に記憶する。 The communication management unit 208 sends the IP address of the multicast receiving terminal 110 that has transmitted the reception request message and succeeded in the predetermined authentication, and the multicast address of the predetermined multicast data permitted to be received by the multicast receiving terminal 110 to the multicast The information is stored in the storage unit 402 in association with the VPN logical port 209 corresponding to the receiving terminal 110.

ここで、VPN論理ポート209がネットワーク機器107又は108等の通信機器とVPN接続しており、1つのVPN論理ポート209に対して複数のマルチキャスト受信端末110が、所定マルチキャストデータの受信を許可された状態で対応している場合には、当該複数のマルチキャスト受信端末110及び所定マルチキャストデータのマルチキャストアドレスを、当該VPN論理ポート209と関連付けて記憶部402に記憶しても良い。 Here, the VPN logical port 209 is VPN-connected to a communication device such as the network device 107 or 108, and a plurality of multicast receiving terminals 110 are permitted to receive predetermined multicast data for one VPN logical port 209. When the status corresponds, the multicast addresses of the plurality of multicast receiving terminals 110 and predetermined multicast data may be stored in the storage unit 402 in association with the VPN logical port 209.

そして、通信管理部208は、メッセージ詮索部401からの通知に応じて、通知されたポートがVPN論理ポート209であれば、記憶部402を参照して、通知されたマルチキャスト受信端末110に対して、通知されたマルチキャストデータの受信を既に許可しているかどうか判定し、未だ受信を許可していないと判定したときに、当該受信要求メッセージを送信したマルチキャスト受信端末110に対して当該所定マルチキャストデータの受信を禁止するとともに、当該受信要求メッセージを受信したVPN論理ポート209に対し、当該受信要求メッセージの対象となる所定マルチキャストデータの送信を禁止する。 If the notified port is the VPN logical port 209 in response to the notification from the message search unit 401, the communication management unit 208 refers to the storage unit 402 and notifies the notified multicast receiving terminal 110. When it is determined whether reception of the notified multicast data has already been permitted and it is determined that reception has not yet been permitted, the multicast reception terminal 110 that has transmitted the reception request message is notified of the predetermined multicast data. In addition to prohibiting reception, the VPN logical port 209 that has received the reception request message is prohibited from transmitting predetermined multicast data that is the target of the reception request message.

さらに、通信管理部208は、VPN論理ポート209における所定マルチキャストデータの送信の許可又は禁止の状態を参照し、一度でもVPN論理ポート209に対して所定マルチキャストデータの送信を禁止したならば、その後に、当該所定マルチキャストデータの送信を禁止したVPN論理ポート209の先に接続したマルチキャスト受信端末110に対しては当該所定マルチキャストデータの受信を許可しない。 Further, the communication management unit 208 refers to the permission or prohibition state of transmission of the predetermined multicast data in the VPN logical port 209, and once prohibits transmission of the predetermined multicast data to the VPN logical port 209, The multicast receiving terminal 110 connected to the end of the VPN logical port 209 that is prohibited from transmitting the predetermined multicast data is not permitted to receive the predetermined multicast data.

このようにすることで、VPN論理ポート209の先に接続したマルチキャスト受信端末110が、一度でも所定の認証に失敗したならば、セキュリティの観点から当該マルチキャスト受信端末110に対して所定マルチキャストデータを送信しないように、当該マルチキャスト受信端末110が接続するVPN論理ポート209に対して当該所定マルチキャストデータの送信を禁止の状態のまま維持できる効果が得られる。 In this way, if the multicast receiving terminal 110 connected to the end of the VPN logical port 209 fails even once, the predetermined multicast data is transmitted to the multicast receiving terminal 110 from the viewpoint of security. As a result, the transmission of the predetermined multicast data to the VPN logical port 209 to which the multicast receiving terminal 110 is connected can be maintained in a prohibited state.

図5は、マルチキャスト通信装置101において所定マルチキャストデータの送信を禁止する処理を示すフローチャート図である。ここで、図5のフローチャートは、マルチキャスト通信装置101とマルチキャスト受信端末110との間で所定の認証を行い、所定マルチキャストデータの受信を許可した時点から開始している。 FIG. 5 is a flowchart showing processing for prohibiting transmission of predetermined multicast data in the multicast communication apparatus 101. Here, the flowchart of FIG. 5 starts when predetermined authentication is performed between the multicast communication apparatus 101 and the multicast receiving terminal 110 and reception of predetermined multicast data is permitted.

処理S501では、通信管理部208は、直接又はネットワークを介してVPN論理ポート209に接続したマルチキャスト受信端末110に対し、所定マルチキャストデータの受信を許可したときに、当該VPN論理ポート209の情報、当該マルチキャスト受信端末110のIPアドレス、及び当該マルチキャストデータのマルチキャストアドレスを関連付けて記憶部402に記憶する。その後、処理S502に進む。 In the process S501, when the communication management unit 208 permits the multicast receiving terminal 110 connected to the VPN logical port 209 directly or via the network to receive predetermined multicast data, the information on the VPN logical port 209, The IP address of the multicast receiving terminal 110 and the multicast address of the multicast data are associated and stored in the storage unit 402. Then, it progresses to process S502.

処理S502では、メッセージ詮索部401は、LAN物理ポート201、LAN論理ポート203又はVPN論理ポート209のいずれかのポートで受信要求メッセージを受信したかどうかを判定する。受信していれば処理S503に進む。受信していなければ処理S502を再び行う。 In process S502, the message search unit 401 determines whether a reception request message has been received at any of the LAN physical port 201, the LAN logical port 203, or the VPN logical port 209. If received, the process proceeds to step S503. If not received, the process S502 is performed again.

処理S503では、メッセージ詮索部401は、通信管理部208に対し、処理S502で受信要求メッセージを受信したポート、受信要求メッセージを送信したマルチキャスト受信端末のIPアドレス、及び受信要求メッセージの対象となるマルチキャストデータのマルチキャストアドレスを通知する。その後、処理S504に進む。 In step S503, the message search unit 401 sends to the communication management unit 208 the port that received the reception request message in step S502, the IP address of the multicast receiving terminal that transmitted the reception request message, and the multicast that is the target of the reception request message. Notify the data multicast address. Then, it progresses to process S504.

処理S504では、通信管理部208は、処理S503でメッセージ詮索部401から通知された情報に基づいて、受信要求メッセージを受信したポートがVPN論理ポート209であるかどうかを判定する。VPN論理ポート209であれば処理S505に進む。VPN論理ポート209でなければ処理S502を再び行う。 In step S504, the communication management unit 208 determines whether the port that received the reception request message is the VPN logical port 209 based on the information notified from the message snooping unit 401 in step S503. If it is the VPN logical port 209, the processing proceeds to step S505. If it is not the VPN logical port 209, the process S502 is performed again.

処理S505では、通信管理部208は、記憶部402に記憶した情報、及びメッセージ詮索部401から通知された情報に基づいて、受信要求メッセージを送信したマルチキャスト受信端末110に対し、受信要求メッセージの対象となるマルチキャストデータの受信を既に許可しているかどうかを判定する。許可していれば処理S502を再び行う。許可していなければ処理S506に進む。 In process S505, the communication management unit 208 applies the target of the reception request message to the multicast receiving terminal 110 that has transmitted the reception request message based on the information stored in the storage unit 402 and the information notified from the message snooping unit 401. It is determined whether or not reception of multicast data is already permitted. If permitted, the process S502 is performed again. If not permitted, the process proceeds to step S506.

処理S506では、通信管理部208は、受信要求メッセージを送信したマルチキャスト受信端末110に対して、所定の認証を行うよう促す。ここで、マルチキャスト受信端末110の側から所定の認証が開始され認証パケットを受信する場合には、通信管理部208は開始された認証処理を行い、マルチキャスト受信端末110の側から所定の認証が開始されない場合には、通信管理部208の側から所定の認証を開始して認証パケットを送信しても良いし、所定時間内にマルチキャスト受信端末110から認証パケットを受信するのを待っても良い。その後、処理S507に進む。 In step S506, the communication management unit 208 prompts the multicast receiving terminal 110 that has transmitted the reception request message to perform predetermined authentication. Here, when predetermined authentication is started from the multicast receiving terminal 110 side and an authentication packet is received, the communication management unit 208 performs the started authentication processing, and predetermined authentication starts from the multicast receiving terminal 110 side. If not, a predetermined authentication may be started from the communication management unit 208 side and an authentication packet may be transmitted, or the authentication packet may be received from the multicast receiving terminal 110 within a predetermined time. Then, it progresses to process S507.

処理S507では、通信管理部208は、受信要求メッセージを送信したマルチキャスト受信端末110が所定の認証に成功したかどうかを判定する。ここでの所定の認証の判定については実施の形態1と同様であり、認証パケットを送受信した結果を以って判定しても良いし、所定時間内に認証パケットを受信したかどうかによって判定しても良い。所定の認証に成功した場合は処理S501を行う。所定の認証に成功しない場合は処理S508に進む。 In step S507, the communication management unit 208 determines whether or not the multicast receiving terminal 110 that has transmitted the reception request message has succeeded in the predetermined authentication. The determination of the predetermined authentication here is the same as in the first embodiment, and may be determined based on the result of transmitting / receiving the authentication packet, or may be determined depending on whether the authentication packet is received within a predetermined time. May be. If the predetermined authentication is successful, step S501 is performed. If the predetermined authentication is not successful, the process proceeds to step S508.

処理S508では、ブリッジ接続部207は、処理S505での通信管理部208の判定に基づいて、処理S502で受信要求メッセージを受信したVPN論理ポート209に対し、当該受信要求メッセージの対象となるマルチキャストデータの送信を禁止する。その後、処理を終了する。 In process S508, the bridge connection unit 207 determines the multicast data that is the target of the reception request message for the VPN logical port 209 that has received the reception request message in process S502 based on the determination of the communication management unit 208 in process S505. Prohibit sending. Thereafter, the process ends.

ところで、図5のフローチャートでは、所定の認証に成功して所定マルチキャストデータの受信を許可されたマルチキャスト受信端末110が、登録された他のマルチキャストグループの対象となる他のマルチキャストデータを受信するのに受信要求メッセージを送信すると、記憶部402には他のマルチキャストデータのマルチキャストアドレスが関連付けられていないために、他のマルチキャストデータの受信を許可されないだけでなく、既に受信を許可された所定マルチキャストデータまでも受信できなくなってしまう虞がある。 By the way, in the flowchart of FIG. 5, the multicast receiving terminal 110 that has succeeded in the predetermined authentication and is permitted to receive the predetermined multicast data receives the other multicast data that is the target of another registered multicast group. When the reception request message is transmitted, since the multicast address of the other multicast data is not associated with the storage unit 402, not only the reception of other multicast data is not permitted, but also the predetermined multicast data that has already been permitted to be received. May not be able to be received.

このため、図5のフローチャートの処理S505において、記憶部402に記憶した情報と、受信した受信要求メッセージの情報とを比較して、マルチキャストアドレスのみ異なる場合には、処理S506で所定の認証に失敗しても、既に許可したマルチキャストデータの受信は禁止しないとしても良い。このようにすることで、例えば、適正に接続したマルチキャスト受信端末110が、受信するマルチキャストデータを追加又は変更したい場合に、既に許可したマルチキャストデータの受信を禁止しなくて済むようになり、マルチキャストデータの受信の利便性を向上させることが可能となる。 For this reason, in step S505 of the flowchart of FIG. 5, when the information stored in the storage unit 402 and the information of the received reception request message are compared and only the multicast address is different, the predetermined authentication fails in step S506. However, reception of already permitted multicast data may not be prohibited. In this way, for example, when a properly connected multicast receiving terminal 110 wishes to add or change the received multicast data, it is not necessary to prohibit the reception of already permitted multicast data. It is possible to improve the convenience of reception.

また、処理S508において、通信管理部208は、既にマルチキャストデータの受信を許可しているマルチキャスト受信端末110に対し、当該マルチキャストデータの送信を許可から禁止に変更する旨を通知しても良い。 In step S508, the communication management unit 208 may notify the multicast receiving terminal 110 that has already permitted the reception of multicast data that the transmission of the multicast data is changed from permitted to prohibited.

このように、マルチキャスト通信装置101のVPN論理ポート209からのVPNが終端した先にあるネットワーク機器108に少なくとも1つのマルチキャスト受信端末110が接続する場合に、当該VPN論理ポート209で受信した所定の認証の認証パケットに含まれる当該マルチキャスト受信端末110の端末識別情報に基づき、当該ネットワーク機器108と接続するVPN論理ポート209に対して当該所定マルチキャストデータの送信を許可又は禁止することが可能となる。その結果として、マルチキャスト通信装置101のVPN論理ポート209に接続するネットワーク機器108に、所定マルチキャストデータの受信を許可していないマルチキャスト受信端末110が接続している場合に、当該VPN論理ポート209からの当該所定マルチキャストデータの送信を抑止できる効果が得られる。 In this way, when at least one multicast receiving terminal 110 is connected to the network device 108 to which the VPN from the VPN logical port 209 of the multicast communication apparatus 101 is terminated, the predetermined authentication received at the VPN logical port 209 is received. Based on the terminal identification information of the multicast receiving terminal 110 included in the authentication packet, the VPN logical port 209 connected to the network device 108 can be permitted or prohibited from transmitting the predetermined multicast data. As a result, when a multicast receiving terminal 110 that is not permitted to receive predetermined multicast data is connected to the network device 108 that is connected to the VPN logical port 209 of the multicast communication apparatus 101, An effect of suppressing transmission of the predetermined multicast data can be obtained.

また、マルチキャスト通信装置101が、所定の認証に成功したマルチキャスト受信端末110に関する情報を記憶しておくことで、マルチキャスト受信端末110から送信された受信要求メッセージを受信したときに、既に当該マルチキャスト受信端末110に対して所定マルチキャストデータの受信を許可しているかどうかを判定し、受信を許可していないと判定したときに、当該受信要求メッセージを受信したVPN論理ポート209に対し、当該受信要求メッセージの対象となる所定マルチキャストデータの送信を禁止することが可能となる。その結果として、VPN論理ポート209に接続したマルチキャスト受信端末110が、所定マルチキャストデータを受信するために受信要求メッセージを送信したときに、不正に接続したマルチキャスト受信端末110を検出することができ、当該不正に接続したマルチキャスト受信端末110に対して当該所定マルチキャストデータの送信を抑止できる効果が得られる。 Further, the multicast communication device 101 stores information related to the multicast receiving terminal 110 that has succeeded in the predetermined authentication, so that when the reception request message transmitted from the multicast receiving terminal 110 is received, the multicast receiving terminal already has 110 determines whether or not the reception of the predetermined multicast data is permitted. When it is determined that the reception is not permitted, the VPN logical port 209 that has received the reception request message is notified of the reception request message. It becomes possible to prohibit transmission of predetermined multicast data as a target. As a result, when the multicast receiving terminal 110 connected to the VPN logical port 209 transmits a reception request message to receive predetermined multicast data, it is possible to detect the illegally connected multicast receiving terminal 110, There is an effect that transmission of the predetermined multicast data can be suppressed to the illegally connected multicast receiving terminal 110.

実施の形態2によれば、マルチキャスト通信装置101のVPN論理ポート209からのVPNが終端した先にあるネットワーク機器108に少なくとも1つのマルチキャスト受信端末110が接続する場合に、当該VPN論理ポート209で受信した第1の所定信号に含まれる当該マルチキャスト受信端末110の端末識別情報に基づき、当該ネットワーク機器108と接続するVPN論理ポート209に対して当該所定マルチキャストデータの送信を許可又は禁止することが可能となる。その結果として、マルチキャスト通信装置101のVPN論理ポート209に接続するネットワーク機器108に、所定マルチキャストデータの受信を許可していないマルチキャスト受信端末110が接続している場合に、当該VPN論理ポート209からの当該所定マルチキャストデータの送信を抑止できる効果が得られる。 According to the second embodiment, when at least one multicast receiving terminal 110 is connected to the network device 108 to which the VPN from the VPN logical port 209 of the multicast communication apparatus 101 is terminated, reception is performed at the VPN logical port 209. Based on the terminal identification information of the multicast receiving terminal 110 included in the first predetermined signal, the VPN logical port 209 connected to the network device 108 can be permitted or prohibited from transmitting the predetermined multicast data. Become. As a result, when a multicast receiving terminal 110 that is not permitted to receive predetermined multicast data is connected to the network device 108 that is connected to the VPN logical port 209 of the multicast communication apparatus 101, An effect of suppressing transmission of the predetermined multicast data can be obtained.

また、実施の形態2によれば、マルチキャスト通信装置101が、第1の所定信号に含まれる情報に基づき適正と判定したマルチキャスト受信端末110に関する情報を記憶しておくことで、マルチキャスト受信端末110から送信された受信要求メッセージを受信したときに、既に当該マルチキャスト受信端末110に対して所定マルチキャストデータの受信を許可しているかどうかを判定し、受信を許可していないと判定したときに、当該受信要求メッセージを受信したVPN論理ポート209に対し、当該受信要求メッセージの対象となる所定マルチキャストデータの送信を禁止することが可能となる。その結果として、VPN論理ポート209に接続したマルチキャスト受信端末110が、所定マルチキャストデータを受信するために受信要求メッセージを送信したときに、不正に接続したマルチキャスト受信端末110を検出することができ、当該不正に接続したマルチキャスト受信端末110に対して当該所定マルチキャストデータの送信を抑止できる効果が得られる。 Further, according to the second embodiment, the multicast communication apparatus 101 stores information related to the multicast reception terminal 110 that is determined to be appropriate based on the information included in the first predetermined signal. When the received reception request message is received, it is determined whether or not the multicast receiving terminal 110 is already permitted to receive the predetermined multicast data, and when it is determined that the reception is not permitted, the reception is performed. The VPN logical port 209 that has received the request message can be prohibited from transmitting predetermined multicast data that is the target of the reception request message. As a result, when the multicast receiving terminal 110 connected to the VPN logical port 209 transmits a reception request message to receive predetermined multicast data, it is possible to detect the illegally connected multicast receiving terminal 110, There is an effect that transmission of the predetermined multicast data can be suppressed to the illegally connected multicast receiving terminal 110.

また、実施の形態2によれば、マルチキャスト受信端末110から受信要求メッセージを受信してから、又はマルチキャスト受信端末110に対して第2の所定信号を送信してから、所定時間内にマルチキャスト受信端末110から第1の所定信号を受信しなかった場合に、当該マルチキャスト受信端末110に対して所定マルチキャストデータの受信を禁止するとともに、当該受信要求メッセージを受信したVPN論理ポート209に対し、当該受信要求メッセージの対象となる所定マルチキャストデータの送信を禁止することが可能となる。その結果として、不正に接続したマルチキャスト受信端末110は、第1の所定信号を送信しない、又は第1の所定信号に基づき、適正であると判定されないため、不正に接続したマルチキャスト受信端末110の検出をより確実に行った上で、所定マルチキャストデータの送信を抑止できる効果が得られる。 Further, according to the second embodiment, after receiving the reception request message from the multicast receiving terminal 110 or transmitting the second predetermined signal to the multicast receiving terminal 110, the multicast receiving terminal within a predetermined time. When the first predetermined signal is not received from 110, the multicast receiving terminal 110 is prohibited from receiving predetermined multicast data, and the reception request is sent to the VPN logical port 209 that has received the reception request message. It is possible to prohibit transmission of predetermined multicast data to be a message target. As a result, since the illegally connected multicast receiving terminal 110 does not transmit the first predetermined signal or is not determined to be appropriate based on the first predetermined signal, the illegally connected multicast receiving terminal 110 is detected. Thus, an effect of suppressing transmission of predetermined multicast data can be obtained.

実施の形態3.
実施の形態2では、マルチキャスト通信装置101のVPN論理ポート209に、複数のマルチキャスト受信端末110が接続する場合であっても、所定の認証に成功したマルチキャスト受信端末110に関する情報を記憶しておき、受信した受信要求メッセージに含まれる情報と記憶した情報とを比較することで、VPN論理ポート209に不正に接続したマルチキャスト受信端末110を検出し、当該VPN論理ポート209に対して所定マルチキャストデータの送信を禁止して、不正に接続したマルチキャスト受信端末110に対して当該所定マルチキャストデータを送信してしまうことを抑止した。実施の形態3では、VPN論理ポート209で受信した任意のパケットを対象に、VPN論理ポート209に対してマルチキャストデータの送信を禁止することで、さらにセキュリティの向上を図る。 Embodiment 3 FIG.
In the second embodiment, even when a plurality of multicast receiving terminals 110 are connected to the VPN logical port 209 of the multicast communication apparatus 101, information regarding the multicast receiving terminal 110 that has succeeded in the predetermined authentication is stored. By comparing the information contained in the received reception request message with the stored information, the multicast receiving terminal 110 illegally connected to the VPN logical port 209 is detected, and transmission of predetermined multicast data to the VPN logical port 209 is detected. And the transmission of the predetermined multicast data to the illegally connected multicast receiving terminal 110 is suppressed. In the third embodiment, the transmission of multicast data to the VPN logical port 209 is prohibited for any packet received at the VPN logical port 209, thereby further improving the security.

図6は、実施の形態3における、マルチキャスト通信装置101のハードウェア構成とソフトウェア構成とを示すブロック図である。マルチキャスト通信装置101は、パケット詮索部601をさらに備える。その他の構成については図4と同様である。 FIG. 6 is a block diagram showing a hardware configuration and a software configuration of multicast communication apparatus 101 in the third embodiment. The multicast communication apparatus 101 further includes a packet snooping unit 601. Other configurations are the same as those in FIG.

パケット詮索部601は、ブリッジ接続部207において、VPN論理ポート209で受信したパケットを詮索して当該パケットに関する情報を通知する機能部である。パケット詮索部601は、通信管理部208に対し、当該パケットを受信したVPN論理ポート209の情報及び当該パケット送信したマルチキャスト受信端末110の識別情報を通知する。マルチキャスト受信端末110の識別情報とは、例えばIPアドレスやMACアドレス等の、ネットワーク上でマルチキャスト受信端末110を識別する情報である。本発明では、マルチキャスト受信端末110の識別情報としてIPアドレスを用いて説明する。 The packet search unit 601 is a functional unit that searches for a packet received by the VPN logical port 209 in the bridge connection unit 207 and notifies information about the packet. The packet searching unit 601 notifies the communication management unit 208 of information on the VPN logical port 209 that has received the packet and identification information on the multicast receiving terminal 110 that has transmitted the packet. The identification information of the multicast receiving terminal 110 is information for identifying the multicast receiving terminal 110 on the network, such as an IP address or a MAC address. In the present invention, description will be made using an IP address as identification information of the multicast receiving terminal 110.

尚、パケット詮索部601が詮索するパケットには、例えば、ネットワーク機器107及び108等の通信機器など、マルチキャスト受信端末110以外の装置が送信したものも含まれることが考えられるため、詮索及び通知の対象外とするパケットの情報を予め設定しておく。 Note that packets sought by the packet snooping unit 601 may include those transmitted by devices other than the multicast receiving terminal 110 such as communication devices such as the network devices 107 and 108. Information on packets to be excluded is set in advance.

図7は、マルチキャスト通信装置101において所定マルチキャストデータの送信を禁止する処理を示すフローチャート図である。ここで、図7のフローチャートは、マルチキャスト通信装置101とマルチキャスト受信端末110との間で所定の認証を行い、所定マルチキャストデータの受信を許可した時点から開始している。 FIG. 7 is a flowchart showing processing for prohibiting transmission of predetermined multicast data in the multicast communication apparatus 101. Here, the flowchart of FIG. 7 starts from a point in time when predetermined authentication is performed between the multicast communication apparatus 101 and the multicast receiving terminal 110 and reception of predetermined multicast data is permitted.

処理S701は、図5の処理S501と同様である。その後、処理S702に進む。 The process S701 is the same as the process S501 in FIG. Then, it progresses to process S702.

処理S702では、パケット詮索部601は、VPN論理ポート209でパケットを受信したかどうかを判定する。受信していれば処理S703に進む。受信していなければ処理S702を再び行う。 In step S702, the packet snooping unit 601 determines whether a packet has been received by the VPN logical port 209. If received, the process proceeds to step S703. If not received, the process S702 is performed again.

処理S703では、パケット詮索部601は、通信管理部208に対し、処理S702でパケットを受信したポート、及びパケットを送信したマルチキャスト受信端末のIPアドレスを通知する。その後、処理S704に進む。 In step S703, the packet search unit 601 notifies the communication management unit 208 of the port that received the packet in step S702 and the IP address of the multicast receiving terminal that transmitted the packet. Then, it progresses to process S704.

処理S704では、通信管理部208は、記憶部402に記憶した情報、及びパケット詮索部601から通知された情報に基づいて、パケットを送信したマルチキャスト受信端末110が既に所定の認証に成功しているかどうかを判定する。所定の認証に成功していれば処理S702を再び行う。所定の認証に成功していなければ処理S705に進む。 In step S704, the communication management unit 208 determines whether the multicast receiving terminal 110 that has transmitted the packet has already succeeded in the predetermined authentication based on the information stored in the storage unit 402 and the information notified from the packet snooping unit 601. Determine if. If the predetermined authentication is successful, the process S702 is performed again. If the predetermined authentication is not successful, the process proceeds to step S705.

処理S705では、通信管理部208は、パケットを送信したマルチキャスト受信端末110に対して、所定の認証を行うよう促す。ここで、マルチキャスト受信端末110の側から所定の認証が開始され認証パケットを受信する場合には、通信管理部208は開始された認証処理を行い、マルチキャスト受信端末110の側から所定の認証が開始されない場合には、通信管理部208の側から所定の認証を開始して認証パケットを送信しても良いし、所定時間内にマルチキャスト受信端末110から認証パケットを受信するのを待っても良い。その後、処理S706に進む。 In step S705, the communication management unit 208 prompts the multicast receiving terminal 110 that has transmitted the packet to perform predetermined authentication. Here, when predetermined authentication is started from the multicast receiving terminal 110 side and an authentication packet is received, the communication management unit 208 performs the started authentication processing, and predetermined authentication starts from the multicast receiving terminal 110 side. If not, a predetermined authentication may be started from the communication management unit 208 side and an authentication packet may be transmitted, or the authentication packet may be received from the multicast receiving terminal 110 within a predetermined time. Then, it progresses to process S706.

処理S706では、通信管理部208は、受信要求メッセージを送信したマルチキャスト受信端末110が所定の認証に成功したかどうかを判定する。ここでの所定の認証の判定については実施の形態1と同様であり、認証パケットを送受信した結果を以って判定しても良いし、所定時間内に認証パケットを受信したかどうかによって判定しても良い。所定の認証に成功した場合は処理S701を行う。所定の認証に成功しない場合は処理S707に進む。 In step S706, the communication management unit 208 determines whether or not the multicast receiving terminal 110 that has transmitted the reception request message has succeeded in predetermined authentication. The determination of the predetermined authentication here is the same as in the first embodiment, and may be determined based on the result of transmitting / receiving the authentication packet, or may be determined depending on whether the authentication packet is received within a predetermined time. May be. If the predetermined authentication is successful, the process S701 is performed. If the predetermined authentication is not successful, the process proceeds to step S707.

処理S707では、ブリッジ接続部207は、処理S704での通信管理部208の判定に基づいて、処理S702でパケットを受信したVPN論理ポート209に対し、許可したマルチキャストデータの送信を全て禁止する。その後、処理を終了する。 In step S707, the bridge connection unit 207 prohibits transmission of all permitted multicast data to the VPN logical port 209 that has received the packet in step S702, based on the determination of the communication management unit 208 in step S704. Thereafter, the process ends.

尚、処理S707において、通信管理部208は、既にマルチキャストデータの受信を許可しているマルチキャスト受信端末110に対し、全てのマルチキャストデータの送信を許可から禁止に変更する旨を通知しても良い。 In step S707, the communication management unit 208 may notify the multicast receiving terminal 110 that has already permitted the reception of multicast data that the transmission of all multicast data is changed from permitted to prohibited.

このように、マルチキャスト受信端末110から送信された任意のパケットに含まれる情報に基づき、既に当該マルチキャスト受信端末110に対して所定マルチキャストデータの受信を許可しているかどうか判定することが可能となる。その結果として、例えば、適正に接続したマルチキャスト受信端末110の動作によって、VPN論理ポート209に対し所定マルチキャストデータの送信が許可されており、当該VPN論理ポート209の配下のネットワーク機器108に不正に接続したマルチキャスト受信端末110に対して既に所定マルチキャストデータを送信しているために、不正に接続したマルチキャスト受信端末110が当該所定マルチキャストデータの受信を要求する動作を行わない場合においても、当該VPN論理ポート209でARPパケット等の任意のパケットを受信することで、不正に接続したマルチキャスト受信端末110の存在を検出できる効果が得られる。 Thus, based on information included in an arbitrary packet transmitted from the multicast receiving terminal 110, it is possible to determine whether or not the multicast receiving terminal 110 has already been permitted to receive predetermined multicast data. As a result, for example, transmission of predetermined multicast data is permitted to the VPN logical port 209 by the operation of the properly connected multicast receiving terminal 110, and the network device 108 under the VPN logical port 209 is illegally connected. Even if the multicast receiving terminal 110 that has been illegally connected does not perform an operation for requesting reception of the predetermined multicast data because the predetermined multicast data has already been transmitted to the multicast receiving terminal 110 that has received the VPN logical port. By receiving an arbitrary packet such as an ARP packet in 209, an effect of detecting the presence of an illegally connected multicast receiving terminal 110 can be obtained.

実施の形態3によれば、マルチキャスト受信端末110から送信された任意のパケットに含まれる情報に基づき、既に当該マルチキャスト受信端末110に対して所定マルチキャストデータの受信を許可しているかどうか判定することが可能となる。その結果として、例えば、適正に接続したマルチキャスト受信端末110の動作によって、VPN論理ポート209に対し所定マルチキャストデータの送信が許可されており、当該VPN論理ポート209の配下のネットワーク機器108に不正に接続したマルチキャスト受信端末110に対して既に所定マルチキャストデータを送信しているために、不正に接続したマルチキャスト受信端末110が当該所定マルチキャストデータの受信を要求する動作を行わない場合においても、当該VPN論理ポート209でARPパケット等の任意のパケットを受信することで、不正に接続したマルチキャスト受信端末110の存在を検出できる効果が得られる。 According to Embodiment 3, based on information included in an arbitrary packet transmitted from multicast receiving terminal 110, it is determined whether multicast receiving terminal 110 has already been permitted to receive predetermined multicast data. It becomes possible. As a result, for example, transmission of predetermined multicast data is permitted to the VPN logical port 209 by the operation of the properly connected multicast receiving terminal 110, and the network device 108 under the VPN logical port 209 is illegally connected. Even if the multicast receiving terminal 110 that has been illegally connected does not perform an operation for requesting reception of the predetermined multicast data because the predetermined multicast data has already been transmitted to the multicast receiving terminal 110 that has received the VPN logical port. By receiving an arbitrary packet such as an ARP packet in 209, an effect of detecting the presence of an illegally connected multicast receiving terminal 110 can be obtained.

実施の形態4.
実施の形態2及び3では、マルチキャスト通信装置101のVPN論理ポート209において受信した受信要求メッセージやパケットの情報を用いて、既に所定マルチキャストデータの受信を許可したマルチキャスト受信端末110かどうかを判定し、当該VPN論理ポート209に不正に接続したマルチキャスト受信端末110の存在を検出して当該VPN論理ポート209に対して所定マルチキャストデータの送信を禁止した。実施の形態4では、実施の形態2及び3によって所定マルチキャストデータの送信を許可から禁止に変更したVPN論理ポート209に対し、再び送信の許可を行う。 Embodiment 4 FIG.
In Embodiments 2 and 3, using the reception request message and packet information received at the VPN logical port 209 of the multicast communication apparatus 101, it is determined whether the multicast reception terminal 110 has already permitted reception of predetermined multicast data, The presence of the multicast receiving terminal 110 illegally connected to the VPN logical port 209 is detected, and transmission of predetermined multicast data to the VPN logical port 209 is prohibited. In the fourth embodiment, transmission is permitted again to the VPN logical port 209 that has been changed from permitted to prohibited transmission of predetermined multicast data in the second and third embodiments.

マルチキャスト通信装置101は、所定マルチキャストデータの送信を許可から禁止に変更したVPN論理ポート209を、再び許可に設定し直すための送信復旧手段をさらに備える。送信復旧手段には、マルチキャストデータ通信装置101から行うものと、適正に接続したマルチキャスト受信端末110から行うものがある。 The multicast communication apparatus 101 further includes transmission recovery means for resetting the VPN logical port 209 that has been changed from permission to prohibition for transmission of predetermined multicast data. The transmission restoration means includes those performed from the multicast data communication apparatus 101 and those performed from the multicast receiving terminal 110 properly connected.

先ず、マルチキャストデータ通信装置101から行う手段について説明する。 First, means performed from the multicast data communication apparatus 101 will be described.

マルチキャストデータ通信装置101は、所定時間が経過したことを通知する図示しないタイマ管理部をさらに備える。タイマ管理部では、複数のタイマを設定することが可能であり、設定したタイマを区別するためのタイマ情報を出力する。 The multicast data communication apparatus 101 further includes a timer management unit (not shown) that notifies that a predetermined time has elapsed. The timer management unit can set a plurality of timers and outputs timer information for distinguishing the set timers.

通信管理部208は、VPN論理ポート209に対して、所定マルチキャストデータの送信を許可から禁止とするときに、タイマ管理部に対して所定時間の経過を通知する設定を行う。このとき、通信管理部208は、当該所定マルチキャストデータのマルチキャストアドレス、当該VPN論理ポート209、及び設定したタイマのタイマ情報を関連付けて、記憶部402に記憶する。 The communication management unit 208 performs setting to notify the timer management unit of the elapse of a predetermined time when the transmission of predetermined multicast data is prohibited from being permitted to the VPN logical port 209. At this time, the communication management unit 208 associates the multicast address of the predetermined multicast data, the VPN logical port 209, and timer information of the set timer, and stores them in the storage unit 402.

そして、通信管理部208は、タイマ管理部からの通知があると、記憶部402に記憶した情報を参照して、通知のあったタイマのタイマ情報と関連付けられたVPN論理ポート209に対して、同様に関連付けられた所定マルチキャストデータの送信を再び許可とする。 Then, when there is a notification from the timer management unit, the communication management unit 208 refers to the information stored in the storage unit 402, and for the VPN logical port 209 associated with the timer information of the notified timer, Similarly, the transmission of the predetermined multicast data associated therewith is permitted again.

次に、マルチキャスト受信端末110から行う手段について説明する。 Next, means performed from the multicast receiving terminal 110 will be described.

通信管理部208が所定マルチキャストデータの送信を許可から禁止としたVPN論理ポート209に適正に接続した、当該所定マルチキャストデータの受信を許可されたマルチキャスト受信端末110から、例えば、SIP等のプロトコルを用いて、当該VPN論理ポート209での当該所定マルチキャストデータの送信を再び許可とする操作を行う。通信管理部208は、このときの操作に従い、当該VPN論理ポート209に対して当該所定マルチキャストデータの送信を再び許可とする。 The communication management unit 208 uses a protocol such as SIP from the multicast receiving terminal 110 that is properly connected to the VPN logical port 209 that is permitted to prohibit transmission of the predetermined multicast data and is permitted to receive the predetermined multicast data. Then, an operation of permitting again transmission of the predetermined multicast data on the VPN logical port 209 is performed. The communication management unit 208 again permits the transmission of the predetermined multicast data to the VPN logical port 209 according to the operation at this time.

尚、上述の送信復旧手段を行う前に、対象となるVPN論理ポート209において、所定マルチキャストデータの送信を許可から禁止に変更する要因となった、不正に接続したマルチキャスト受信端末110が存在していないことを確認することが望ましい。 Before performing the above-described transmission recovery means, there is an illegally connected multicast receiving terminal 110 that causes the change of transmission of predetermined multicast data from permitted to prohibited at the target VPN logical port 209. It is desirable to confirm that there is not.

そのためには、通信管理部208は、当該VPN論理ポート209に対して当該所定マルチキャストデータの送信を許可から禁止とするときに、その要因となったマルチキャスト受信端末110の識別情報を記憶部402に記憶することで、要因となったマルチキャスト受信端末110の存在の確認を容易とすることが可能となる。 For this purpose, the communication management unit 208 stores the identification information of the multicast receiving terminal 110 that causes the transmission into the storage unit 402 when the transmission of the predetermined multicast data to the VPN logical port 209 is prohibited from being permitted. By storing the information, it is possible to easily confirm the presence of the multicast receiving terminal 110 that is a factor.

実施の形態4によれば、マルチキャスト通信装置101のVPN論理ポート209に対して、所定マルチキャストデータの送信を許可から禁止とした変更を、再び許可に変更することが可能となる。その結果として、当該所定マルチキャストデータの受信を許可されたマルチキャスト受信端末110に対して、当該所定マルチキャストデータの送信を再開できる効果が得られる。 According to the fourth embodiment, it is possible to change again the change in which the transmission of predetermined multicast data is prohibited from being permitted to the VPN logical port 209 of the multicast communication apparatus 101 to permission again. As a result, an effect is obtained in which transmission of the predetermined multicast data can be resumed with respect to the multicast receiving terminal 110 that is permitted to receive the predetermined multicast data.

実施の形態5.
実施の形態1〜3では、マルチキャスト通信装置101のVPN論理ポート209で受信する認証パケット等に含まれる情報に基づき、当該VPN論理ポート209に対して所定マルチキャストデータの送信を許可又は禁止した。実施の形態5では、マルチキャスト通信装置101において、特定のVPN論理ポート209を指定して、当該VPN論理ポート209に対してはマルチキャストデータの送信を禁止しない。 Embodiment 5. FIG.
In the first to third embodiments, transmission of predetermined multicast data to the VPN logical port 209 is permitted or prohibited based on information included in an authentication packet received by the VPN logical port 209 of the multicast communication apparatus 101. In the fifth embodiment, the multicast communication apparatus 101 designates a specific VPN logical port 209 and does not prohibit transmission of multicast data to the VPN logical port 209.

マルチキャスト通信装置101は、特定のVPN論理ポート209を指定するポート指定手段をさらに備える。ポート指定手段は、例えば、マルチキャスト通信装置101に設けた図示しない外部インタフェース部を介して操作を行っても良いし、マルチキャスト通信装置101のいずれかのポートに接続する保守用の通信端末を予め設けて、当該保守用の通信端末から操作を行っても良い。 The multicast communication apparatus 101 further includes port designation means for designating a specific VPN logical port 209. The port designation means may be operated, for example, via an external interface unit (not shown) provided in the multicast communication apparatus 101, or a maintenance communication terminal connected to any port of the multicast communication apparatus 101 is provided in advance. Then, the operation may be performed from the maintenance communication terminal.

特定のVPN論理ポート209を指定するための情報としては、VPN論理ポート209を生成する都度に、当該VPN論理ポート209を区別する識別情報を付与して用いても良いし、VPN論理ポート209に接続したマルチキャスト受信端末110の識別情報を用いても良い。 As information for designating a specific VPN logical port 209, each time a VPN logical port 209 is generated, identification information for distinguishing the VPN logical port 209 may be assigned and used. The identification information of the connected multicast receiving terminal 110 may be used.

通信管理部208は、ポート指定手段によって指定したVPN論理ポート209に接続するマルチキャスト受信端末110に対してマルチキャストデータの受信を禁止することなく、従って、当該VPN論理ポート209に対してマルチキャストデータの送信の禁止も行わない。 The communication management unit 208 does not prohibit the multicast receiving terminal 110 connected to the VPN logical port 209 designated by the port designating means from receiving multicast data, and therefore transmits multicast data to the VPN logical port 209. Is not prohibited.

このように、特定のVPN論理ポート209がセキュアなネットワークに接続しており、当該ネットワークに接続するマルチキャスト受信端末110にはセキュリティ上の脅威がないことが分かっている場合に、ポート指定手段を用いることで、他のVPN論理ポート209に対してはセキュリティを確保しながら、当該特定のVPN論理ポート209に対しては、接続するマルチキャスト受信端末110の要求に応じて所定マルチキャストデータの送信を行える効果が得られる。 As described above, when a specific VPN logical port 209 is connected to a secure network and the multicast receiving terminal 110 connected to the network is known to have no security threat, the port designation unit is used. As a result, it is possible to transmit predetermined multicast data to the specific VPN logical port 209 in response to a request from the connected multicast receiving terminal 110 while ensuring security for the other VPN logical port 209. Is obtained.

実施の形態5によれば、ポート指定手段を用いて特定のVPN論理ポート209を指定することにより、当該特定のVPN論理ポート209に接続した、いずれのマルチキャスト受信端末110に対しても所定マルチキャストデータの受信を禁止しないことが可能となる。その結果として、特定のVPN論理ポート209がセキュアなネットワークに接続しており、当該ネットワークに接続するマルチキャスト受信端末110にはセキュリティ上の脅威がないことが分かっている場合に、他のVPN論理ポート209に対してはセキュリティを確保しながら、当該特定のVPN論理ポート209に対しては、接続するマルチキャスト受信端末110の要求に応じて効率的に所定マルチキャストデータの送信を行える効果が得られる。 According to the fifth embodiment, by designating a specific VPN logical port 209 using the port designating means, the predetermined multicast data is sent to any multicast receiving terminal 110 connected to the specific VPN logical port 209. Can be prohibited. As a result, when a specific VPN logical port 209 is connected to a secure network and the multicast receiving terminal 110 connected to the network is known to have no security threat, other VPN logical ports As a result, it is possible to efficiently transmit predetermined multicast data to the specific VPN logical port 209 in accordance with a request from the multicast receiving terminal 110 to be connected, while ensuring security for the H.209.

101 マルチキャスト通信装置
102 マルチキャスト配信端末
103 内部通信端末
104 外部通信端末
105 内部ネットワーク
106 外部ネットワーク
107、108 ネットワーク機器
109 マルチキャスト通信端末
110 マルチキャスト受信端末
201 LAN物理ポート
202 WAN物理ポート
203 LAN論理ポート
204 パケット転送部
205 VPN論理ポート生成部
206 VPN終端部
207 ブリッジ接続部
208 通信管理部
209 VPN論理ポート
401 メッセージ詮索部
402 記憶部
601 パケット詮索部 DESCRIPTION OF SYMBOLS 101 Multicast communication apparatus 102 Multicast delivery terminal 103 Internal communication terminal 104 External communication terminal 105 Internal network 106 External network 107,108 Network equipment 109 Multicast communication terminal 110 Multicast receiving terminal 201 LAN physical port 202 WAN physical port 203 LAN logical port 204 Packet transfer Unit 205 VPN logical port generation unit 206 VPN termination unit 207 bridge connection unit 208 communication management unit 209 VPN logical port 401 message search unit 402 storage unit 601 packet search unit

Claims (9)

通信端末と専用回線を介して接続し、前記通信端末に対し所定マルチキャストデータを送信する専用ポートと、
前記通信端末から送信され前記専用ポートで受信した第1の所定信号に含まれる当該通信端末を識別する端末識別情報に基づき、当該通信端末と接続する前記専用ポートに対して前記所定マルチキャストデータの送信を許可又は禁止する通信管理部と、
前記通信管理部により送信を許可された前記専用ポートに対し前記所定マルチキャストデータの送信を行い、送信を禁止された前記専用ポートに対し前記所定マルチキャストデータの送信を行わない通信連絡部と、
を備えたことを特徴とするマルチキャスト通信装置。 A dedicated port for connecting to a communication terminal via a dedicated line and transmitting predetermined multicast data to the communication terminal;
Transmission of the predetermined multicast data to the dedicated port connected to the communication terminal based on terminal identification information for identifying the communication terminal included in the first predetermined signal transmitted from the communication terminal and received at the dedicated port A communication management section that permits or prohibits
A communication communication unit that transmits the predetermined multicast data to the dedicated port permitted to transmit by the communication management unit, and does not transmit the predetermined multicast data to the dedicated port prohibited from transmission;
A multicast communication apparatus comprising: 前記通信管理部は、
前記所定マルチキャストデータの受信を要求する受信要求メッセージを送信した前記通信端末と接続する前記専用ポートに対する前記所定マルチキャストデータの送信を許可又は禁止することを特徴とする請求項1に記載のマルチキャスト通信装置。 The communication management unit
2. The multicast communication apparatus according to claim 1, wherein transmission of the predetermined multicast data to the dedicated port connected to the communication terminal that has transmitted a reception request message requesting reception of the predetermined multicast data is permitted or prohibited. . 前記通信管理部は、
前記通信端末から送信された前記受信要求メッセージを受信してから、又は第2の所定信号を送信してから、所定時間内に当該通信端末から前記第1の所定信号を受信しなかった場合、当該通信端末と接続する前記専用ポートに対する前記所定マルチキャストデータの送信を禁止することを特徴とする請求項2に記載のマルチキャスト通信装置。 The communication management unit
If the first predetermined signal is not received from the communication terminal within a predetermined time after receiving the reception request message transmitted from the communication terminal or after transmitting the second predetermined signal, The multicast communication apparatus according to claim 2, wherein transmission of the predetermined multicast data to the dedicated port connected to the communication terminal is prohibited. 少なくとも1つの通信端末が属する通信端末群と専用回線を介して接続し、前記通信端末群に対し所定マルチキャストデータを送信する専用ポートと、
前記通信端末から送信され前記専用ポートで受信した第1の所定信号に含まれる当該通信端末を識別する端末識別情報に基づき、当該通信端末に対して前記所定マルチキャストデータの受信を許可又は禁止し、
前記所定マルチキャストデータの受信を許可又は禁止された前記通信端末が属する前記通信端末群と接続する前記専用ポートに対して前記所定マルチキャストデータの送信を許可又は禁止する通信管理部と、
前記通信管理部により送信を許可された前記専用ポートに対し前記所定マルチキャストデータの送信を行い、送信を禁止された前記専用ポートに対し前記所定マルチキャストデータの送信を行わない通信連絡部と、
を備え、
前記通信管理部は、
前記所定マルチキャストデータの送信を禁止されていない前記専用ポートにおいて、
接続する前記通信端末群に属する前記通信端末に対し前記所定マルチキャストデータの受信を許可すると、前記専用ポートに対し前記所定マルチキャストデータの送信を許可し、
接続する前記通信端末群に属する前記通信端末に対し前記所定マルチキャストデータの受信を禁止すると、前記専用ポートに対し前記所定マルチキャストデータの送信を禁止し、
前記所定マルチキャストデータの送信を禁止された前記専用ポートにおいて、
接続する前記通信端末群に属する前記通信端末に対し前記所定マルチキャストデータの受信を許可又は禁止しても、前記専用ポートに対し前記所定マルチキャストデータの送信を許可しない、
ことを特徴とするマルチキャスト通信装置。 A dedicated port for connecting to a communication terminal group to which at least one communication terminal belongs via a dedicated line, and transmitting predetermined multicast data to the communication terminal group;
Based on terminal identification information for identifying the communication terminal included in the first predetermined signal transmitted from the communication terminal and received at the dedicated port, the communication terminal is permitted or prohibited from receiving the predetermined multicast data;
A communication management unit that permits or prohibits transmission of the predetermined multicast data to the dedicated port connected to the communication terminal group to which the communication terminal to which reception of the predetermined multicast data is permitted or prohibited belongs;
A communication communication unit that transmits the predetermined multicast data to the dedicated port permitted to transmit by the communication management unit, and does not transmit the predetermined multicast data to the dedicated port prohibited from transmission;
With
The communication management unit
In the dedicated port where transmission of the predetermined multicast data is not prohibited,
When the communication terminals belonging to the connected communication terminal group are permitted to receive the predetermined multicast data, the dedicated port is permitted to transmit the predetermined multicast data,
When the communication terminal belonging to the connected communication terminal group is prohibited from receiving the predetermined multicast data, the dedicated port is prohibited from transmitting the predetermined multicast data,
In the dedicated port where transmission of the predetermined multicast data is prohibited,
Even if the communication terminal belonging to the connected communication terminal group is permitted or prohibited to receive the predetermined multicast data, the dedicated port is not permitted to transmit the predetermined multicast data.
A multicast communication apparatus characterized by the above. 前記通信管理部は、
前記所定マルチキャストデータの受信を要求する受信要求メッセージを送信した前記通信端末に対する前記所定マルチキャストデータの受信を許可又は禁止することを特徴とする請求項4に記載のマルチキャスト通信装置。 The communication management unit
5. The multicast communication apparatus according to claim 4, wherein reception of the predetermined multicast data is permitted or prohibited for the communication terminal that has transmitted a reception request message requesting reception of the predetermined multicast data. 前記通信管理部は、
前記通信端末から送信された前記受信要求メッセージを受信してから、又は第2の所定信号を送信してから、所定時間内に当該通信端末から前記第1の所定信号を受信しなかった場合、当該通信端末に対する前記所定マルチキャストデータの受信を禁止する、
ことを特徴とする請求項5に記載のマルチキャスト通信装置。 The communication management unit
If the first predetermined signal is not received from the communication terminal within a predetermined time after receiving the reception request message transmitted from the communication terminal or after transmitting the second predetermined signal, Prohibiting the communication terminal from receiving the predetermined multicast data;
The multicast communication apparatus according to claim 5. 前記専用回線がL2VPN、前記専用ポートがL2VPNポート、及び前記通信連絡部が前記L2VPNポート間の通信を連絡するL2ソフトウェアブリッジである、
ことを特徴とする請求項1〜6のいずれか1項に記載のマルチキャスト通信装置。 The dedicated line is an L2VPN, the dedicated port is an L2VPN port, and the communication communication unit is an L2 software bridge for communicating communication between the L2VPN ports.
The multicast communication apparatus according to claim 1, wherein 通信端末と、前記通信端末に対し所定マルチキャストデータを送信する専用ポートとを専用回線を介して接続する専用接続工程と、
前記専用接続工程で接続した前記通信端末から送信され前記専用ポートで受信した第1の所定信号に含まれる当該通信端末を識別する端末識別情報に基づき、当該通信端末と接続する前記専用ポートに対して前記所定マルチキャストデータの送信を許可又は禁止する送信可否決定工程と、
前記送信可否決定工程で、送信を許可された前記専用ポートに対し前記所定マルチキャストデータの送信を行い、送信を禁止された前記専用ポートに対し前記所定マルチキャストデータの送信を行わない通信連絡工程と、
を有したことを特徴とするマルチキャスト通信方法。 A dedicated connection step of connecting a communication terminal and a dedicated port for transmitting predetermined multicast data to the communication terminal via a dedicated line;
Based on terminal identification information for identifying the communication terminal included in the first predetermined signal transmitted from the communication terminal connected in the dedicated connection step and received at the dedicated port, the dedicated port connected to the communication terminal A transmission permission / inhibition determining step for permitting or prohibiting transmission of the predetermined multicast data;
A communication communication step of transmitting the predetermined multicast data to the dedicated port permitted to transmit in the transmission permission / inhibition determining step and not transmitting the predetermined multicast data to the dedicated port prohibited from transmitting;
A multicast communication method characterized by comprising: 少なくとも1つの通信端末が属する通信端末群と、前記通信端末群に対し所定マルチキャストデータを送信する専用ポートとを専用回線を介して接続する専用接続工程と、
前記専用接続工程で接続した前記通信端末群の前記通信端末から送信され前記専用ポートで受信した第1の所定信号に含まれる当該通信端末を識別する端末識別情報に基づき、当該通信端末に対して前記所定マルチキャストデータの受信を許可又は禁止する受信可否決定工程と、
前記受信可否決定工程で、前記所定マルチキャストデータの受信を許可又は禁止された前記通信端末が属する前記通信端末群と接続する前記専用ポートに対して前記所定マルチキャストデータの送信を許可又は禁止する送信可否決定工程と、
前記送信可否決定工程で、送信を許可された前記専用ポートに対し前記所定マルチキャストデータの送信を行い、送信を禁止された前記専用ポートに対し前記所定マルチキャストデータの送信を行わない通信連絡工程と、
を有し、
前記送信可否決定工程では、
前記所定マルチキャストデータの送信を禁止されていない前記専用ポートにおいて、
接続する前記通信端末群に属する前記通信端末に対し前記所定マルチキャストデータの受信を許可すると、前記専用ポートに対し前記所定マルチキャストデータの送信を許可し、
接続する前記通信端末群に属する前記通信端末に対し前記所定マルチキャストデータの受信を禁止すると、前記専用ポートに対し前記所定マルチキャストデータの送信を禁止し、
前記所定マルチキャストデータの送信を禁止された前記専用ポートにおいて、
接続する前記通信端末群に属する前記通信端末に対し前記所定マルチキャストデータの受信を許可又は禁止しても、前記専用ポートに対し前記所定マルチキャストデータの送信を許可しない、
ことを特徴とするマルチキャスト通信方法。 A dedicated connection step of connecting, via a dedicated line, a communication terminal group to which at least one communication terminal belongs, and a dedicated port for transmitting predetermined multicast data to the communication terminal group;
Based on terminal identification information for identifying the communication terminal included in the first predetermined signal transmitted from the communication terminal of the communication terminal group connected in the dedicated connection step and received by the dedicated port, the communication terminal A reception availability determination step for permitting or prohibiting reception of the predetermined multicast data;
Transmission permission / prohibition permitting or prohibiting transmission of the predetermined multicast data to the dedicated port connected to the communication terminal group to which the communication terminal to which the reception of the predetermined multicast data is permitted or prohibited is received in the reception permission / prohibition determining step. A decision process;
A communication communication step of transmitting the predetermined multicast data to the dedicated port permitted to transmit in the transmission permission / inhibition determining step and not transmitting the predetermined multicast data to the dedicated port prohibited from transmitting;
Have
In the transmission permission / inhibition determining step,
In the dedicated port where transmission of the predetermined multicast data is not prohibited,
When the communication terminals belonging to the connected communication terminal group are permitted to receive the predetermined multicast data, the dedicated port is permitted to transmit the predetermined multicast data,
When the communication terminal belonging to the connected communication terminal group is prohibited from receiving the predetermined multicast data, the dedicated port is prohibited from transmitting the predetermined multicast data,
In the dedicated port where transmission of the predetermined multicast data is prohibited,
Even if the communication terminal belonging to the connected communication terminal group is permitted or prohibited to receive the predetermined multicast data, the dedicated port is not permitted to transmit the predetermined multicast data.
A multicast communication method characterized by the above.
JP2015257574A 2015-12-29 2015-12-29 Multicast communication device and multicast communication method Pending JP2017121026A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015257574A JP2017121026A (en) 2015-12-29 2015-12-29 Multicast communication device and multicast communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015257574A JP2017121026A (en) 2015-12-29 2015-12-29 Multicast communication device and multicast communication method

Publications (1)

Publication Number Publication Date
JP2017121026A true JP2017121026A (en) 2017-07-06

Family

ID=59272464

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015257574A Pending JP2017121026A (en) 2015-12-29 2015-12-29 Multicast communication device and multicast communication method

Country Status (1)

Country Link
JP (1) JP2017121026A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019201370A (en) * 2018-05-18 2019-11-21 Necプラットフォームズ株式会社 Communication device, communication device control method, and program
JP2021111359A (en) * 2020-01-07 2021-08-02 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド Audio wakeup method and apparatus

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019201370A (en) * 2018-05-18 2019-11-21 Necプラットフォームズ株式会社 Communication device, communication device control method, and program
JP2021111359A (en) * 2020-01-07 2021-08-02 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド Audio wakeup method and apparatus
JP7239544B2 (en) 2020-01-07 2023-03-14 バイドゥ オンライン ネットワーク テクノロジー(ペキン) カンパニー リミテッド Voice wake-up method and apparatus

Similar Documents

Publication Publication Date Title
US10764943B2 (en) Peer to peer networking and sharing systems and methods
US20050080901A1 (en) Method and apparatus for controlling access to multicast data streams
CN101588253B (en) Conference cascading method, system and apparatus
US11962685B2 (en) High availability secure network including dual mode authentication
US8230498B2 (en) System and method for defending against denial of service attacks on virtual talk groups
US9866522B2 (en) Method to control dynamic host configuration protocol pool exhaustion in dynamic network environments
JP2010183604A (en) Dynamic host configuration and network access authentication
JP2008547245A (en) Authentication method for wireless distributed system
US10382955B2 (en) Security method and system for supporting prose group communication or public safety in mobile communication
KR20160131066A (en) Method and system for establishing a connection between a seeker device and a target device
JP2008066907A (en) Packet communication device
US10630479B2 (en) Network communication method having function of recovering terminal session
JP2008060631A (en) Communication equipment and multicast user authentication method
JP2017121026A (en) Multicast communication device and multicast communication method
JP2016072793A (en) Remote conference system, program, security server and application server
WO2014135102A1 (en) Wlan user management method, device and system
WO2015157947A1 (en) Software defined network based networking method and device
JP4750750B2 (en) Packet transfer system and packet transfer method
JP2010212749A (en) Information processing system and packet transfer method
US10742512B2 (en) System and method for multicast mapping
JP4554420B2 (en) Gateway device and program thereof
JP2019009637A (en) Network monitoring device
CN102316006B (en) Method and device for sending data message
CN107579955B (en) Dynamic host configuration protocol monitoring and protecting method and system
JP2004056584A (en) Routing device and method for multicast communication system, and program