JP3663627B2 - 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム - Google Patents

通信処理装置、および通信処理方法、並びにコンピュータ・プログラム Download PDF

Info

Publication number
JP3663627B2
JP3663627B2 JP2001320112A JP2001320112A JP3663627B2 JP 3663627 B2 JP3663627 B2 JP 3663627B2 JP 2001320112 A JP2001320112 A JP 2001320112A JP 2001320112 A JP2001320112 A JP 2001320112A JP 3663627 B2 JP3663627 B2 JP 3663627B2
Authority
JP
Japan
Prior art keywords
resource
user
communication processing
connection
connection request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001320112A
Other languages
English (en)
Other versions
JP2003125022A (ja
Inventor
元彦 長野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2001320112A priority Critical patent/JP3663627B2/ja
Priority to US10/267,571 priority patent/US7735084B2/en
Publication of JP2003125022A publication Critical patent/JP2003125022A/ja
Application granted granted Critical
Publication of JP3663627B2 publication Critical patent/JP3663627B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/326Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、通信処理装置、および通信処理方法、並びにコンピュータ・プログラムに関する。詳細には、ネットワークに接続されたサーバ等における例えばTCPを用いた通信コネクション処理において、サーバで使用可能なコネクション処理用のリソース量を通信相手に応じて制限することにより、優先度の高い通信相手との通信を優先度の低い通信相手との通信によって妨げられることを防止した通信処理装置、および通信処理方法、並びにコンピュータ・プログラムに関する。
【0002】
【従来の技術】
インターネット回線の高速化及び常時接続の普及により、個人が自宅でPCをインターネットに常時接続しサーバとして使用することが可能となりつつある。例えばこのような自宅のPCをサーバとして使用する場合のサーバの利用者を想定すると、家庭内のサーバ利用者は、主に次の3種類の対象が存在する。
サーバ所有者
サーバ所有者の家族、友人
上記以外の不特定な対象
【0003】
特に、現在は、日記やWebページ、デジタル写真画像、自分の作成した映像、音声データをインターネットで一般に公開したいという要望は高まってきており、個人のサーバにおいても不特定な利用者からのアクセスは十分想定される。ここで個人のサーバにおける要求として、サービス使用に対して優先度を設定したいという要求が存在する。基本的に所有者の利用が第一に優先され、不特定な利用者のサービス使用により所有者のサービス使用が妨害を受けることは避けられることが要求される。
【0004】
しかしながら、従来のサーバではサービスに使われるTCPコネクション確立の際に、利用者に応じて優先度を設定するような機能は存在していない。TCPトラフィック処理用のリソース(メモリ領域、ディスク領域)は一定量確保されており、TCPコネクション及びコネクション要求の処理時に利用者は考慮されず、同じリソースが制限なく使用されている。
【0005】
このため、個人のサーバのように利用者に対して優先度を設定することが望まれる環境では、TCPトラフィック処理用のリソースが優先度の低い利用者により使い切られてしまうと、優先度の高い利用者がサーバを使用できなくなるという問題がある。優先度の低い利用者によりTCPトラフィック処理用のリソースが使い切られるのは次の2つの場合である。
【0006】
(ケース1)
優先度の低い複数の利用者により、多量のTCPコネクションが確立された場合。
(ケース2)
優先度の低い利用者から、TCPトラフィック処理用のリソースに対するDoS(denial of services)攻撃が行われた場合。DoS攻撃は正当な使用者が使用するはずのリソースを、不正な使用者が使い切る、もしくはリソースを使えない状態にすることで、正当な使用者によるリソース使用を妨げるハッキング行為である。例えば大量のデータや不正パケットを送り付けたり、OSやアプリケーションのバグを利用して不正なコマンドを送ることによってシステムをダウンさせる攻撃である。
【0007】
TCPトラフィック処理用のリソースに対するDoS攻撃としては、主に次の2つが挙げられる。
・SYN Flood攻撃
・TCPコネクションを大量に確立するDoS攻撃
【0008】
SYN Flood攻撃は、TCP/IPでコネクションを確立するために行われる3ウェイハンドシェークプロトコルにおいて確立途中の状態を管理するキューのデータサイズが有限であることを利用した攻撃である。ターゲットサーバにTCPコネクションの確立を要求するSYNパケットを大量に送り、3ウェイハンドシュークプロトコルを終了しないことで確立途中の状態を大量に作る。この攻撃によりターゲットサーバの確立途中の状態を管理するキューが溢れ、新たなTCPコネクションを確立することを一時的に不可能にする。
【0009】
TCPコネクションを大量に作るというDoS攻撃の概要を以下説明する。TCPコネクションが確立される度にメモリ、CPUなどのリソースが使用されるため、一度に処理可能なTCPコネクション数には上限が存在する。そこでターゲットサーバに対し複数のマシンを用いて大量のTCPコネクションを確立し、上限までリソースを使い切ってしまうと、ターゲットサーバは新たなTCPコネクションを確立不能になる。ターゲットサーバの能力によっては処理速度の低下やシステムの停止といった現象が起こる。
【0010】
従来のDoS攻撃に対する防御策として、ファイアウォール(Firewall)やルータ(Router)を用いてフィルタリングを行う方法がある。これらのフィルタリング方法ではTCPコネクションの確立の際に送信元IPアドレス、使用ポートに関し制限を行うことが可能であり、条件を満たさないTCPコネクション要求は廃棄される。
【0011】
フィルタリングを使用することによりサーバの利用者に対して使用するサービスを限定することができ、利用の許可されていない不正な利用者からのDoS攻撃を防ぐことができる。しかしながら、サービスの使用が許可されている利用者間では、サーバのTCPコネクションリソースの使用権限に差がないため、上記した(ケース1),(ケース2)の場合をどちらも防ぐことができない。
【0012】
また、SYN Flood攻撃に対する防御策に関しては、“SYN cookies”という方法が存在する。これはLinuxOSのkernel version 2.0.30以降でオプションとしてつけられた機能である。従来のTCPコネクション要求処理では、要求であるSYNパケット受信時に、コネクションに対するリソースが確保されるが、SYN cookiesでは、リソースを確保せずにSYNパケットへの応答であるSYN−ACKパケットを返し、ACKパケットを受けとりコネクションが確立された時点で初めてリソースを確保する。この方法によりSYN Flood攻撃を防ぐ。
【0013】
この手法では、上記の(ケース2)におけるSYN Flood攻撃を防ぐことができるが、従来のTCPトラフィック処理と同様に利用者の優先度を区別する仕組みがないため、(ケース1)及び(ケース2)におけるTCPコネクションを多量に確立することによるDoS攻撃の場合には、優先度の低い利用者のTCPコネクションによりリソースが使い切られてしまう。
【0014】
また、SYN Flood攻撃に対する別の防御手段としてMicrosoft社が WindowsNT4.0SP2 以降に導入した方法が存在する。これは、SYN Flood攻撃により確立途中のTCPコネクションの状態を管理するキューが溢れた際に、キューのサイズの増加、タイムアウト時間設定値の減少などの防衛手段を行う。この方法もSYN Flood攻撃を効きにくくする効果はあるが、“SYN cookies”と同様に(ケース1)及び(ケース2)におけるTCPコネクションを多量に確立することによるDoS攻撃の場合には、優先度の低い利用者のTCPコネクションによりリソースが使い切られてしまうという問題が発生する。
【0015】
【発明が解決しようとする課題】
個人のサーバのように利用者に対して優先度を設定することが望まれる環境では、TCPトラフィック処理用のリソースが優先度の低い利用者により使い切られてしまうと、優先度の高い利用者がサーバを使用できなくなるという問題がある。問題が生じるのは、上述した次の2つの場合である。
(ケース1) 複数の優先度の低い利用者により、多量のTCPコネクションが確立された場合。
(ケース2) 優先度の低い利用者から、TCPトラフィック処理用のリソースに対するDoS攻撃が行われた場合。
【0016】
この2つの場合にも優先度の高い利用者がTCPコネクションを確立し、サーバを使用できるようにすることが必要である。
【0017】
本発明は、上述の問題点を解決することを目的とするものであり、上述の(ケース1)、 (ケース2)のような場合にも、優先度の高い利用者がTCPコネクションを確立し、サーバを使用できるようにすることを可能とする通信処理装置、および通信処理方法、並びにコンピュータ・プログラムを提供することを目的とする。
【0018】
【課題を解決するための手段】
本発明の第1の側面は、
通信コネクション要求を受信し、コネクション確立処理を実行する通信処理装置において、
コネクション要求に対するコネクション確立可否の決定処理を実行する制御手段と、
コネクション要求元に対応し優先度毎に区分された利用者識別子と、優先度毎に区分された利用者毎の使用可能な通信処理用リソース領域情報を含むリソース使用条件とを対応付けたテーブルであり、高優先度の利用者に対応する配分リソースとして、低優先度の利用者に対応する配分リソースに含まれない占有リソース領域をリソース使用条件として設定したリソース使用条件テーブルとを有し、
前記制御手段は、
コネクション要求データに基づいて、コネクション要求元に対応する利用者の識別処理を実行し、該利用者識別処理において識別された利用者識別子に基づいて、前記リソース使用条件テーブルの検索を実行し、利用者識別子の属する優先度に対応して設定された通信処理用リソースの空きの確認を条件として、リソース使用条件テーブルに基づいて決定されるリソースを適用したコネクション確立処理を実行する構成を有することを特徴とする通信処理装置にある。
【0019】
さらに、本発明の通信処理装置の一実施態様において、前記通信処理用リソースは、複数の領域に分割されたメモリまたは記憶装置の記憶領域を含み、前記リソース使用条件テーブルは、コネクション要求元に対応する利用者識別子と、前記記憶領域の各々とを対応付け、利用者毎の使用可能な記憶領域を設定した構成を有し、前記制御手段は、前記利用者識別処理に基づいて識別された利用者に基づいて、リソース使用条件テーブルの検索を実行して、利用可能なリソースとしての記憶領域の判別を実行する構成であることを特徴とする。
【0020】
さらに、本発明の通信処理装置の一実施態様において、前記通信処理用リソースは、設定可能なコネクション数を含み、前記リソース使用条件テーブルは、コネクション要求元に対応する利用者識別子と、コネクション数とを対応付け、利用者毎の使用可能なコネクションを設定した構成を有し、前記制御手段は、前記利用者識別処理に基づいて識別された利用者に基づいて、リソース使用条件テーブルの検索を実行して、利用可能なコネクションの有無の判別を実行する構成であることを特徴とする。
【0021】
さらに、本発明の通信処理装置の一実施態様において、前記制御手段は、前記利用者識別処理において、コネクション要求の送信元IPアドレスまたは送信元MACアドレスの少なくともいずれかを利用者情報として取得する処理を実行する構成であることを特徴とする。
【0022】
さらに、本発明の通信処理装置の一実施態様において、前記制御手段は、前記利用者識別処理において、コネクション要求の送信先ポート番号を利用者情報として取得し、取得した送信先ポート番号に対応して設定された通信処理用リソースの空きの確認を条件としてコネクション確立処理を実行する構成を有することを特徴とする。
【0023】
さらに、本発明の通信処理装置の一実施態様において、前記制御手段は、アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理と、前記リソース使用条件テーブルに基づいて利用者に対応するリソース使用条件を決定するリソース使用条件決定処理と、リソース領域情報と、リソース空き情報とを対応付けたリソース管理情報テーブルに基づいてコネクション要求利用者に対するコネクション適用リソース領域を設定するリソース領域決定処理と、を順次実行してコネクション確立処理を実行する構成を有することを特徴とする。
【0024】
さらに、本発明の通信処理装置の一実施態様において、前記制御手段は、アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理と、前記リソース使用条件テーブルに基づいて利用者に対応するリソース使用条件を決定するリソース使用条件決定処理と、リソース領域情報と、リソース空き情報とを対応付けたリソース管理情報テーブルに基づいてコネクション要求利用者に対するコネクション適用リソース領域を設定するリソース領域決定処理と、を順次実行してコネクション確立処理を実行する構成を有し、前記リソース使用条件テーブルは、優先度の高い利用者の利用者識別子に対するリソース使用条件としてのリソース領域の配分比率を高く設定した構成であることを特徴とする。
【0025】
さらに、本発明の通信処理装置の一実施態様において、前記制御手段は、アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理と、利用者識別子とグループ識別子と、最大コネクション数、および現在のコネクション数とを対応付けたリソース使用条件テーブルに基づいて、前記利用者識別処理によって取得した利用者識別データに基づく該リソース使用条件テーブルのエントリ検索により、利用可能なコネクションの有無を判定してリソース使用可否を判定するリソース使用条件決定処理と、を順次実行してコネクション確立処理を実行する構成を有することを特徴とする。
【0026】
さらに、本発明の通信処理装置の一実施態様において、前記制御手段は、アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理と、利用者識別子とグループ識別子と、最大コネクション数、および現在のコネクション数とを対応付けたリソース使用条件テーブルに基づいて、前記利用者識別処理によって取得した利用者識別データに基づく該リソース使用条件テーブルのエントリ検索により、利用可能なコネクションの有無を判定してリソース使用可否を判定するリソース使用条件決定処理とを順次実行してコネクション確立処理を実行する構成を有し、前記リソース使用条件テーブルは、優先度の高い利用者の利用者識別子を複数の異なるグループ識別子に対応付けて格納した構成であることを特徴とする。
【0027】
さらに、本発明の通信処理装置の一実施態様において、前記制御手段は、コネクション要求としてTCPコネクション要求に含まれるSYNパケットの受信に応じて、コネクション確立可否の決定処理を実行する構成であり、SYNパケットに含まれる送信元識別データに基づいて利用者の識別を実行する構成であることを特徴とする。
【0028】
さらに、本発明の第2の側面は、
通信コネクション要求を受信し、コネクション確立処理を実行する通信処理方法において、
コネクション要求データに基づいて、コネクション要求元に対応する利用者の識別処理を実行する利用者識別処理ステップと、
前記利用者識別処理において識別された利用者識別子に基づいて、コネクション要求元に対応し優先度毎に区分された利用者識別子と、優先度毎に区分された利用者毎の使用可能な通信処理用リソース領域情報を含むリソース使用条件とを対応付けたテーブルであり、高優先度の利用者に対応する配分リソースとして、低優先度の利用者に対応する配分リソースに含まれない占有リソース領域をリソース使用条件として設定したリソース使用条件テーブルの検索を実行し、利用者識別子の属する優先度に対応して設定された通信処理用リソースの空きの確認を条件として、リソース使用条件テーブルに基づいて決定されるリソースを適用したコネクション確立処理を実行するリソース決定処理ステップと、
を有することを特徴とする通信処理方法にある。
【0029】
さらに、本発明の通信処理方法の一実施態様において、前記通信処理方法において、前記通信処理用リソースは、複数の領域に分割されたメモリまたは記憶装置の記憶領域を含み、前記リソース使用条件テーブルは、コネクション要求元に対応する利用者識別子と、前記記憶領域の各々とを対応付け、利用者毎の使用可能な記憶領域を設定したテーブルであり、前記リソース決定処理ステップは、前記利用者識別処理に基づいて識別された利用者に基づいて、前記リソース使用条件テーブルの検索を実行して、利用可能なリソースとしての記憶領域の判別を実行するステップを含むことを特徴とする。
【0030】
さらに、本発明の通信処理方法の一実施態様において、前記通信処理方法において、前記通信処理用リソースは、設定可能なコネクション数を含み、前記リソース使用条件テーブルは、コネクション要求元に対応する利用者識別子と、コネクション数とを対応付け、利用者毎の使用可能なコネクションを設定したテーブルであり、前記リソース決定処理ステップは、前記利用者識別処理に基づいて識別された利用者に基づいて、前記リソース使用条件テーブルの検索を実行して、利用可能なコネクションの有無の判別を実行するステップを含むことを特徴とする。
【0031】
さらに、本発明の通信処理方法の一実施態様において、前記利用者識別処理ステップは、コネクション要求の送信元IPアドレスまたは送信元MACアドレスの少なくともいずれかを利用者情報として取得する処理を実行することを特徴とする。
【0032】
さらに、本発明の通信処理方法の一実施態様において、前記利用者識別処理ステップは、コネクション要求の送信先ポート番号を利用者情報として取得し、前記リソース決定処理ステップは、取得した送信先ポート番号に対応して設定された通信処理用リソースの空きの確認を条件としてコネクション確立処理を実行することを特徴とする。
【0033】
さらに、本発明の通信処理方法の一実施態様において、前記通信処理方法は、アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理ステップと、利用者識別子とリソース領域情報を含むリソース使用条件とを対応付けたリソース使用条件テーブルに基づいて利用者に対応するリソース使用条件を決定するリソース使用条件決定処理ステップと、リソース領域情報と、リソース空き情報とを対応付けたリソース管理情報テーブルに基づいてコネクション要求利用者に対するコネクション適用リソース領域を設定するリソース領域決定処理ステップと、を順次実行してコネクション確立処理を実行することを特徴とする。
【0034】
さらに、本発明の通信処理方法の一実施態様において、前記通信処理方法は、アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理ステップと、利用者識別子とグループ識別子と、最大コネクション数、および現在のコネクション数とを対応付けたリソース使用条件テーブルに基づいて、前記利用者識別処理によって取得した利用者識別データに基づく該リソース使用条件テーブルのエントリ検索により、利用可能なコネクションの有無を判定してリソース使用可否を判定するリソース使用条件決定処理ステップと、を順次実行してコネクション確立処理を実行することを特徴とする。
【0035】
さらに、本発明の通信処理方法の一実施態様において、前記利用者識別処理ステップは、コネクション要求としてTCPコネクション要求に含まれるSYNパケットの受信に応じて、SYNパケットに含まれる送信元識別データに基づいて利用者の識別を実行するステップを含むことを特徴とする。
【0036】
さらに、本発明の第3の側面は、
通信コネクション要求を受信し、コネクション確立処理を実行する通信処理をコンピュータ・システム上で実行せしめるコンピュータ・プログラムであって、
コネクション要求データに基づいて、コネクション要求元に対応する利用者の識別処理を実行する利用者識別処理ステップと、
前記利用者識別処理において識別された利用者識別子に基づいて、コネクション要求元に対応し優先度毎に区分された利用者識別子と、優先度毎に区分された利用者毎の使用可能な通信処理用リソース領域情報を含むリソース使用条件とを対応付けたテーブルであり、高優先度の利用者に対応する配分リソースとして、低優先度の利用者に対応する配分リソースに含まれない占有リソース領域をリソース使用条件として設定したリソース使用条件テーブルの検索を実行し、利用者識別子の属する優先度に対応して設定された通信処理用リソースの空きの確認を条件として、リソース使用条件テーブルに基づいて決定されるリソースを適用したコネクション確立処理を実行するリソース決定処理ステップと、
を有することを特徴とするコンピュータ・プログラムにある。
【0037】
なお、本発明のコンピュータ・プログラムは、例えば、様々なプログラム・コードを実行可能な汎用コンピュータ・システムに対して、コンピュータ可読な形式で提供する記憶媒体、通信媒体、例えば、CDやFD、MOなどの記憶媒体、あるいは、ネットワークなどの通信媒体によって提供可能なコンピュータ・プログラムである。このようなプログラムをコンピュータ可読な形式で提供することにより、コンピュータ・システム上でプログラムに応じた処理が実現される。
【0038】
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
【0039】
【発明の実施の形態】
以下、図面を参照しながら、本発明の実施態様の詳細について説明する。
【0040】
ネットワーク端末におけるTCPコネクションに関する処理の概略について、図1を参照して説明する。
【0041】
物理ネットワークは、OSI参照モデルの第1層に相当し、電気信号や光信号によるデータ送受信の確立、コネクタ、ケーブル等のデータ伝送路における処理を行なう。ネットワークインタフェース層処理は、OSI参照モデル第2層に相当し、通信機器間でのパケットの認識、送受信処理を行なう。インターネット層は、OSI参照モデル第3層に相当し、アドレス管理および伝送経路の選択処理を行なう。トランスポート層処理は、OSI参照モデル第4層に相当し、通信機器間のデータ転送制御と、データ転送の信頼性確率処理を行なう。アプリケーション層処理は、OSI参照モデル第7層に相当し、アプリケーションが送受信を行なうための通信処理制御や、アプリケーションの固有処理の対応を行なう。
【0042】
本発明は図1におけるトランスポート層処理内に存在するTCPコネクション処理手法の改善に関するものであり、従来のTCPコネクション処理手法に加え、次の手段を具備する。
【0043】
・TCPコネクション要求トラフィックデータから利用者を識別する手段
・各利用者のリソース使用条件を取得する手段
・各利用者に対しリソース使用条件を考慮し使用可能なリソースの有無を確認する手段
・現在のリソースの使用状況を管理する手段
・各利用者のリソース使用条件を設定する手段
【0044】
なお、上記記載において、利用者とは、通信処理装置に対して接続要求を行なってきた通信要求者、あるいは通信要求端末であり、リソースとは、TCPトラフィック処理用のリソース(メモリ領域、ディスク領域)のことである。
【0045】
本発明の通信処理装置は、予め利用者、すなわち通信要求者、あるいは通信要求端末毎のリソース使用条件の設定情報を通信処理装置内に有し、通信要求を受信した場合に、リソース使用条件設定情報に従って、設定された条件の下でのリソースを使用した通信が可能か否かを判定して、可能な場合にのみ設定条件の下でのリソース処理を行なって通信を実行する。
【0046】
図2に通信装置間で送受信される通信パケットの構成例として、IPパケットのTCP(Transmission Control protocol)フォーマットを示す。TCPヘッダには、送信元ポート番号、宛先ポート番号、データパケットの先頭がそのデータの送信初めから何バイトにあたるかをバイト数で示したデータ順序を示すシーケンス番号、相手から次に送られるデータの送信シーケンス番号を示す受信確認番号、ヘッダ長、TCPセグメントの処理方法などのコードビットからなるヘッダ情報、データの残り受信可能バイト数を示すウィンドウサイズ、TCPパケットの信頼性保証値としてのチェックサム、緊急処理を要するデータ一を示す緊急ポインタを有する。
【0047】
次に、図3にIPパケット構成のIPヘッダの詳細を示す。IPv4、IPv6等のバージョンを示すバージョン、ヘッダ長、さらに、優先度情報を格納したTOS(Type of Service)フィールド、パケットの長さ、パケットの識別子、IP層でのデータ分割(フラグメント)に関する制御情報としてのフラグ、分割(フラグメント)されたデータの場所を示す断片オフセット、データの破棄までの時間情報を示すTTL(Time to Live)、上位層で利用されるプロトコル(4:IP,TCP:7,UDP:17…)ヘッダのチェックサム、送信元IPアドレス、宛て先IPアドレスを有する。
【0048】
本発明の通信処理装置によるTCPコネクション要求受信時の処理の流れを図4のフローチャートを参照して説明する。
【0049】
通信処理装置は、ステップS01において、TCPコネクション要求のトラフィックデータを受信する。TCPでは、コネクション確立時にSYNパケット、SYNACK、ACKの送受信を3ウェイハンドシェーク制御メッセージ交換処理として実行する。この際のトラフィックデータはSYNパケットの内容、SYNパケットの含まれていたフレーム(パケット)のフレームヘッダ、データグラムヘッダである。
【0050】
通信処理装置は、ステップS02において、受信したトラフィックデータとしてのフレーム(パケット)を解析して利用者を識別する。利用者識別処理としては、例えば送信元MACアドレス、送信元IPアドレス、送信元ポート番号、送信先ポート番号の各値に関する条件の組み合わせを取得する処理として実行される。
【0051】
次にステップS03において、利用者に対するリソース使用条件を取得する。利用者に対するリソース使用条件は、通信処理装置において、利用者に対応付けて予め設定された条件であり、この具体例については後述する。ステップS04において、取得したリソース使用条件とリソースの使用状況を元に現在使用可能なリソースが存在するか確認する。現在使用可能なリソースが存在する場合(S05においてYes)には、リソースの使用状況を変更し(ステップS06)、通常のTCPコネクション要求処理を行う(ステップS07)。使用可能なリソースが存在しない場合(S05においてNo)は、このTCPコネクション要求を棄却する。(ステップS08)
【0052】
また、3ウェイハンドシューク途中のタイムアウト及び、コネクションの終了時などTCPコネクション要求処理以外のTCPコネクション処理においてリソースが開放される場合には、リソース開放後にリソースの使用状況の変更処理を行う。
【0053】
本構成により、利用者に応じてリソースの使用条件の設定を行うことが可能となり、優先度の低い利用者の使用可能なリソース量を制限することが可能となる。
【0054】
優先度の低い利用者の使用可能なリソースを制限することで、優先度の低い利用者がTCPコネクション処理に関わる全リソースを使い切ることが防止されるとともに、優先度の高い利用者専用のリソースを確保することが可能となるため、優先度の低い利用者によりサーバが混んでいる際にも、優先度の高い利用者は優先的に効率的にサーバを利用することができる。
【0055】
優先度の低い利用者は、TCPコネクションに関するDoS攻撃により優先度の低い利用者に対してサービス利用を妨害することは可能であるが、攻撃が行われている間でも優先度の高い利用者は、優先度の低い利用者が使用できないリソースを使用してサービスを利用することが可能であり(前述したケース2)の問題を解決することが可能である。
【0056】
また、同様に優先度の低い利用者による多量のアクセスが発生していサービス使用の効率が落ちている場合であっても、優先度の高い利用者は専用のリソースを使用することでサービスを優先的に使用することが可能であり(前述したケース1)の問題を解決することが可能である。
【0057】
優先度に応じて利用者毎にリソースを割り当てる具体的構成例について以下、リソース決定処理例1およびリソース決定処理例2として説明する。リソース決定処理例1はリソースを複数の領域に分けて管理し利用者ごとに使用可能なリソース領域を制限して、制限領域の使用状況に応じて優先度に応じた利用者毎のコネクションの設定可否を判定する方法である。リソース決定処理例2は、利用者ごとにコネクション数を制限して、優先度に応じた利用者毎のコネクションの設定可否を判定する方法である。
【0058】
[リソース決定処理例1]
従来のTCPコネクション処理では、使用するリソース、すなわち、TCPトラフィック処理用のリソース(メモリ領域、ディスク領域)は利用者、すなわち通信相手となる通信要求者、あるいは通信要求端末によらず、一定の領域内で使用される。以下に説明する本発明の通信処理装置におけるリソース決定処理例1は、これを改良し、リソースを複数の領域に分けて管理し、利用者に対しリソース領域ごとに使用制限を与える。
【0059】
本発明の通信処理装置は、従来のTCPコネクション処理に加えて、次の処理を実行する。すなわち以下の処理を実行する機能拡張された構成を持つ。
・TCPコネクション処理に用いるリソースの複数の領域への分割
・TCPコネクション処理においてコネクションごとの使用リソース領域の指定
・TCPコネクション要求処理の直前へのリソース決定処理の追加
【0060】
この機能拡張により、コネクションごとに利用者を識別して、利用者に応じたリソース領域を指定したTCPコネクションが可能となる。本発明の通信処理装置は、TCPコネクション処理に用いるリソースを複数の領域へ分割した構成を持ち、図1に示したTCPコネクション処理中のトランスポート層処理内の処理として、コネクション要求に応じて、コネクションごとの利用者を判別して使用リソース領域の決定処理を行なう。
【0061】
リソース決定処理は、3つのフェーズによって構成される。
第1フェーズは、TCPコネクション要求のトラフィックデータの情報から利用者を識別、または利用者及び利用するサービスの双方を識別する利用者識別処理、
第2フェーズは、識別された利用者に応じて、リソースの使用条件を与えるリソース使用条件決定処理、
第3フェーズは、リソース使用条件から使用するリソース領域を決定するリソース領域決定処理、
である。この3フェーズからなるリソース決定処理により、利用者に応じてリソース領域の使用を制限することが可能となる。
【0062】
図5に、本発明の通信処理装置に対するTCPコネクション要求に対して、通信処理装置において通信処理制御を実行する制御手段の実行するリソース決定処理の詳細を説明する図を示す。
【0063】
TCPコネクション処理用リソース150は、TCPトラフィック処理用のリソース(メモリ領域、ディスク領域)をまとめて示している。リソース150は、図に示すように複数の領域1〜Nに分割されている。
【0064】
図6に本発明の通信処理装置におけるTCPコネクション要求に対して実行されるリソース決定処理の概略を説明するフローを示す。TCPコネクション要求、すなわち3ウェイハンドシェークプロトコルに従ったSYNパケットを受信すると、リソース決定処理部130において、上述した3つのフェーズの処理が実行される。
【0065】
図6のステップS11において、TCPコネクション要求のトラフィックデータの情報から利用者を識別、または利用者及び利用するサービスの双方を識別する利用者識別処理が実行され、次にステップS12において、識別された利用者に応じて、リソースの使用条件を与えるリソース使用条件決定処理が実行され、次に、ステップS13において、リソース使用条件から使用するリソース領域を決定するリソース領域決定処理が実行され、リソースの使用の可否判定に基づいてTCPコネクション要求に対する応答を行なう。すなわちリソース使用可能であり通信コネクションを設定可能な状態(S14でYes)であれば、SYNACKパケットの送信を実行し、リソース使用不可の場合(S14でNo)には、受信SYNパケットの破棄(S15)を実行する。
【0066】
図5に示すように、3つのフェーズの処理、すなわち、利用者識別処理、リソース使用条件決定処理、リソース領域決定処理において、記憶装置140に記憶された各テーブル、すなわち利用者テーブル111、リソース使用条件テーブル112、リソース管理情報テーブル113を参照した処理が実行される。これらの各テーブルに対する情報格納、更新処理は、それぞれ利用者設定処理部121、リソース使用条件設定処理部122、リソース管理情報設定処理部123が行なう。
【0067】
以下、各テーブル構成例を図面に示し、図を参照しながらリソース決定処理部130におけるリソース決定処理の各フェーズにおける処理の詳細について説明する。
【0068】
(フェーズ1:利用者識別処理)
利用者識別処理は、通信処理装置が受信したSYNパケットから利用者、すなわち通信処理装置に対して接続要求を行なってきた通信要求者、あるいは通信要求端末を識別する処理である。この利用者識別処理は、利用者テーブル111を参照した処理として実行される。
【0069】
利用者テーブルの構成例を図7に示し、利用者テーブルを参照した利用者識別処理の処理フローを図8に示す。利用者テーブルは、図7に示すように、利用者ID、送信元MACアドレス、送信元IPアドレス、送信先ポート番号の各フィールドを有する。
【0070】
図7に示す利用者テーブルでは、空欄は任意の値が可能であることを表している。各利用者IDに対して1つまたは複数の識別条件を設定できる。例えば図7の例では、SYNパケットの送信元MACアドレスが35.42.1.56.1375または送信元IPアドレスが45.87.123.245であれば利用者IDは所有ユーザであると識別する。
【0071】
また、送信元IPアドレスが42.134.78.95であれば利用者IDは友人Aであると識別する。その他の送信元MACアドレス、送信元IPアドレスが受信SYNパケットから得られた場合は、一般、すなわち所有ユーザおよび友人A以外からのコネクション要求であると判定することができる。
【0072】
利用者テーブルを参照した利用者識別処理の詳細を図8のフローチャートを参照して説明する。
【0073】
通信処理装置は、まず、TCPコネクション要求として受け取ったSYNパケットから送信元IPアドレス、送信先ポート番号を抽出する。(ステップS21)。これらの情報は、SYNパケットのIPヘッダ(図3参照)、TCPヘッダ(図2参照)から取得可能である。次にこのSYNパケットのフレームヘッダを得ることができれば送信元MACアドレスを抽出する。(ステップS22)。これらの抽出した情報を用いて利用者テーブルを検索し(ステップS23)、利用者IDを取得し、次のリソース使用条件決定処理に渡す(ステップS24、S25)。利用者テーブルから利用者IDが取得できなかった場合は、ステップS26で「null」を結果として、次のリソース使用条件決定処理に渡す。
【0074】
(フェーズ2:リソース使用条件決定処理)
リソース使用条件決定処理は、上述した利用者識別処理において識別された利用者に応じて、リソース使用条件を決定する処理である。このリソース使用条件決定処理は、リソース使用条件決定テーブル112を参照した処理として実行される。
【0075】
リソース使用条件決定テーブルの構成例を図9に示し、リソース使用条件決定テーブルを参照したリソース使用条件決定処理の処理フローを図10に示す。リソース使用条件決定テーブルは、図9に示すように、利用者IDに対して、リソース使用条件としての使用可能なリソース領域番号を対応付けたテーブルとして構成される。テーブルのリソース使用条件フィールドには、各利用者IDに対応して利用可能なリソース領域番号が格納され、後述するフェーズ3のリソース領域決定処理において、空き領域を探索する順番に領域番号がシーケンシャルに並べられて格納される。例えばユーザID=Aの利用可能なリソース領域番号が、1,2,3,4,7であり、領域探索の指定順序も1,2,3,4,7の順である場合、テーブルのリソース使用条件フィールドには、1,2−4,7のようにデータが格納される。
【0076】
図9に示すテーブル例では、上述の利用者識別処理において取得された利用者IDが、例えば所有ユーザ1であった場合は、使用可能なリソース領域は1〜9の領域であることを示し、友人Aである場合は、使用可能なリソース領域は3〜9の領域、一般である場合は、8〜9の領域、その他、すなわち[null]である場合は、9のリソース領域のみが使用可能であることを示している。すなわち、上述の利用者識別処理において取得された利用者IDに基づいて、リソース使用条件決定テーブルから使用可能なリソース領域番号を取得する処理が、リソース使用条件決定処理として実行される。
【0077】
図10を参照して、リソース使用条件決定処理の処理について説明する。リソース使用条件決定処理は、前述のフェーズ1の利用者識別処理の結果を取得して実行される。利用者識別処理の結果として、利用者IDを受け取り、その値でリソース使用条件テーブルを検索する。(ステップS31)。この検索処理において、利用者IDに対応するエントリがあれば(S32でYes)エントリのリソース使用条件を次のリソース領域決定処理に渡す(ステップS33)。対応するエントリがない場合(S32でNo)には「null」を結果として渡す(ステップS34)。
【0078】
(フェーズ3:リソース領域決定処理)
リソース領域決定処理は、上述したリソース使用条件決定処理において決定されたリソース使用条件に応じて、空き領域があるリソース領域を探し、使用するリソースを決定する処理である。このリソース領域決定処理は、リソース管理情報テーブル113を参照した処理として実行される。
【0079】
リソース管理情報テーブルの構成例を図11に示し、リソース管理情報テーブルを参照したリソース領域決定処理の処理フローを図12に示す。リソース管理情報テーブルは、図11に示すように、リソース領域番号、最大コネクション数、受信キューサイズ、空き領域の有無、リソース領域開始アドレスの各データを対応付けたテーブルである。
【0080】
リソース管理情報テーブルでは、リソース領域はリソース領域番号により識別される。最大コネクション数はリソース領域で管理可能なTCPコネクション数である。受信キューサイズは、3ウェイハンドシェークプロトコルが終了していないコネクション確立途中の状態の保持可能な個数である。この図11に示す例は、この2つの数値、すなわち、リソース領域で管理可能なTCPコネクション数と、3ウェイハンドシェークプロトコルが終了していないコネクション確立途中のコネクション待機数とにより各リソース領域を区分し、リソース領域のサイズを決定する構成としたテーブル例であるが、これらの構成に限らず、例えばコネクション数、キューサイズに関して、バイト数または全リソース中に占める割合を設定値として、これらの設定値に基づいて、領域の区分を行なう構成としてもよい。
【0081】
空き領域の有無はリソース領域にコネクション要求を処理できる空き領域が存在するか否かを表す。この値はTCPコネクション処理において、コネクション数または確立途中のコネクション用のキューが一杯になった時に「無」に変更され、空きができた際に「有」に変更され、コネクション状態に応じて、逐次、更新される。リソース領域開始アドレスはTCPコネクション処理がリソース領域を使うために使用するアドレスであり、メモリ領域、ディスク領域のポインタに対応する。
【0082】
リソース領域決定処理は、図11に示すようなリソース管理情報テーブルを使用して、利用者識別処理、およびリソース使用条件決定処理において決定されたリソース選択条件の順番で、空き領域があるリソース領域を探し、使用するリソースを決定する。
【0083】
リソース領域決定処理の流れを図12に示すフローチャートを参照して説明する。リソース領域決定処理は、前述のフェーズ2のリソース使用条件決定処理の結果を取得して実行される。まず、ステップS41において、リソース使用条件決定処理の結果であるリソース使用条件として、前述のリソース使用条件テーブルから選択されたリソース領域番号を取得する。ステップS42では、取得したリソース領域番号にしたがって、順番に使用可能なリソース領域に空き領域があるかをリソース管理情報テーブルを用いて探索する。
【0084】
例えばリソース使用条件決定処理の結果であるリソース使用条件として、前述のリソース使用条件テーブルから選択されたリソース領域番号が1であれば、図11のテーブルの領域番号1のエントリを参照し、空き領域の有無を確認する。図11に示す例では、「有」であり、空きがあることを示している。
【0085】
空き領域のある使用可能なリソース領域が見つかった場合(ステップS43でYes)にはそれを結果として返す(ステップS45)。リソース領域が見つからない場合(ステップS43でNo)は、リソース領域がないことを結果(例えば0を使用する)で返す(ステップS46)。
【0086】
(コネクション管理)
上述した3つのフェーズによるコネクション決定により、利用者に応じたリソースが割り当てられてコネクションが確立することになる。本発明の通信処理装置は、リソース領域毎のコネクショの管理をリソース領域対応テーブル(図5,101)を用いて実行する。なお、図5においてリソース領域対応テーブル101は、TCPコネクション処理用リソース150内に示され、リソースとして適用されるメモリ内にテーブルを格納する構成として示されているが、リソース領域対応テーブル101は、外部の記憶装置140に格納する構成としてもよい。
【0087】
図13にリソース領域対応テーブルのデータ構成例を示す。リソース領域対応テーブルは図13に示すように、送信元のIPアドレスまたはポート番号、または両者の組合わせデータからなるエンドポイントと、コネクションに使用されているリソース領域番号とを対応付けたテーブルとして構成される。
【0088】
このテーブルにおいて、通信端末装置が実行中のコネクション数、使用リソース領域番号が取得され、例えばリソース領域対応テーブルのあるリソース領域に対応して設定されたコネクション数が前述のリソース管理情報テーブル(図11参照)の最大コネクション数に等しくなった場合は、リソース管理情報テーブルの「空き領域の有無」のデータフィールドが「有」から「無」に更新されることになる。
【0089】
以上、説明したように、リソース決定処理例1は、
第1フェーズ:TCPコネクション要求のトラフィックデータの情報から利用者を識別、または利用者及び利用するサービスの双方を識別する利用者識別処理、
第2フェーズ:識別された利用者に応じて、リソースの使用条件を与えるリソース使用条件決定処理、
第3フェーズ:リソース使用条件から使用するリソース領域を決定するリソース領域決定処理、
これらの3フェーズからなるリソース決定処理により、利用者に応じてリソース領域の使用を制限することを可能としている。従って、優先度の低いユーザは一部のリソース領域しか使用できないが、優先度の高いユーザは全リソースを使用できるといった条件付けが実現できる。
【0090】
なお、上述の説明では、利用者としてコネクション要求元、すなわち送信元IPアドレス、送信元MACアドレスに基づいて利用者識別を行なう処理例について説明したが、さらに、SYNパケットのヘッダ情報から送信先ポート番号を取得して、送信先ポート番号に応じたリソースの割り当てを実行する構成としてもよい。本構成とすることにより、送信先ポート番号、すなわちプロトコルに応じてリソースの使用率を設定することが可能となる。
【0091】
[リソース決定処理例2]
次に、利用者ごとにコネクション数を制限して、優先度に応じた利用者毎のコネクションの設定可否を判定する構成について、リソース決定処理例2として説明する。
【0092】
図14に、通信処理装置に対するTCPコネクション要求に対して、通信処理装置において通信処理制御を実行する制御手段の実行するリソース決定処理の詳細を説明する図を示す。
【0093】
TCPコネクション処理用リソース250は、TCPトラフィック処理用のリソース(メモリ領域、ディスク領域)をまとめて示している。リソース250は、先に説明したリソース決定処理例1とは異なり、複数の領域に分割されたものとはなっていない。
【0094】
図14に示すリソース使用可能判定処理部230は、2つの処理フェーズa,bを実行する。
処理フェーズaは、前述のリソース決定処理例1における第1フェーズと同様、TCPコネクション要求のトラフィックデータの情報から利用者を識別、または利用者及び利用するサービスの双方を識別する利用者識別処理である。
処理フェーズbは、リソース決定処理例2に固有の処理であり、ユーザID毎に対応付けられた設定可能なコネクション数と現コネクション数を比較し、ユーザID毎に対応付けられた設定可能なコネクション数を超えない場合は、コネクションを確立させ、超える場合は、他のユーザIDに対応して設定されたコネクション数に空きがあるかを判定し、空きがある場合にコネクションを確立させる処理を実行する。
【0095】
図14に示すように、2つのフェーズの処理、すなわち、利用者識別処理、リソース使用条件決定処理において、記憶装置240に記憶された各テーブル、すなわち利用者テーブル211、リソース使用条件テーブル212を参照した処理が実行される。これらの各テーブルに対する情報格納、更新処理は、それぞれ利用者設定処理部221、リソース使用条件設定処理部222が行なう。また、リソースの使用状況を管理するためにリソース使用状況テーブル201が使用される。
【0096】
以下、各テーブル構成例を図面に示し、図を参照しながらリソース使用可能判定処理部230におけるリソース使用可能判定処理の各フェーズにおける処理の詳細について説明する。
【0097】
(フェーズa:利用者識別処理)
利用者識別処理は、通信処理装置が受信したSYNパケットから利用者、すなわち通信処理装置に対して接続要求を行なってきた通信要求者、あるいは通信要求端末を識別する処理である。この利用者識別処理は、前述のリソース決定処理例1における第1フェーズと同様の処理であるので詳細な説明は省略する。
【0098】
すなわち、TCPコネクション要求のトラフィックデータの情報から利用者を識別、または利用者及び利用するサービスの双方を識別する利用者識別処理であり、利用者テーブル(図7参照)を参照した処理として実行され、利用者テーブルから利用者IDを取得する処理として実行される。
【0099】
(フェーズb:リソース使用条件決定処理)
リソース使用条件決定処理は、上述の利用者識別処理において識別された利用者に応じて、リソース使用条件を決定する処理である。このリソース使用条件決定処理は、リソース使用条件決定テーブル212を参照した処理として実行される。
【0100】
リソース使用条件決定テーブルの構成例を図15に示し、リソース使用条件決定テーブルを参照したリソース使用条件決定処理の処理フローを図16に示す。リソース使用条件決定テーブルは、図15に示すように、グループID、利用者IDに対して、リソース使用条件としての使用可能な最大コネクション数、および現在のコネクション数を対応付けたテーブルとして構成される。
【0101】
グループIDはリソース使用条件を識別するための識別子(ID)である。利用者IDはこのグループIDに所属する利用者IDのリストである。同じ利用者IDが複数のグループIDに含まれることが可能である。最大コネクション数は各グループID内の利用者に接続を許す最大のコネクション数である。現在のコネクション数は、そのグループIDに属する利用者によって使用され接続している現在のコネクション数を表す。
【0102】
あるコネクション要求に対して、コネクション確立の可否を判定する場合は、フェーズaにおいて取得した利用者IDに基づくリソース使用条件決定テーブルの検索が実行される。テーブルの下のグループIDから順に、フェーズaにおいて取得した利用者IDが含まれているかを確認し、利用者IDが含まれているグループIDで最大コネクション数より現在のコネクション数が小さければコネクション確立が可能でありそのグループIDのコネクションとして接続する。
【0103】
図16を参照して、リソース使用条件決定処理の処理について説明する。リソース使用条件決定処理は、前述のフェーズaの利用者識別処理の結果を取得して実行される。利用者識別処理の結果として、利用者IDを受け取り、その値に基づいて、リソース使用条件テーブル(図15)を一番下のグループIDのエントリから検索し、利用者識別処理で識別された利用者IDが各エントリに含まれるか否かを確認する(ステップS51)。
【0104】
利用者識別処理の結果として取得した利用者IDが含まれたエントリが検索されると(S52でYes)、リソース使用条件決定テーブルの当該エントリの現在のコネクション数と最大コネクション数との比較処理を実行する(ステップS53)。
【0105】
[現在のコネクション数]<[最大コネクション数]の場合(ステップS54でNo)は、使用可能なリソースが存在すると判断し、リソース使用条件決定テーブルの当該エントリに対応付けられたグループIDを返す(ステップS55)。
【0106】
利用者識別処理の結果として取得した利用者IDが含まれていないエントリである場合(S52でNo)、もしくは利用者識別処理の結果として取得した利用者IDが含まれているエントリにおいて、現在のコネクション数=最大コネクション数の場合(ステップS54でYes)には、リソース使用条件決定テーブルの一つ上のグループIDのエントリを調べる(ステップS56)。このループを繰り返し、リソース使用条件決定テーブルの全てのグループIDに対応するデータエントリを調べても利用者識別処理の結果として取得した利用者IDが含まれたエントリが見つからなかった場合、あるいは利用者IDが含まれたエントリであっても現在のコネクション数=最大コネクション数のエントリしか存在しなかった場合には使用可能なリソースが見つからなかったことを示すnullを返す(ステップS58)。
【0107】
リソース使用条件決定処理の後、結果がnullであれば、使用可能なリソースがないため、このTCPコネクション要求のSYNパケットは棄却される。リソース使用条件決定処理結果としてグループIDが取得されれば、通常どおりのTCPコネクション要求処理が行われる。
【0108】
(コネクション管理)
上述した2つのフェーズによるコネクション決定により、利用者に応じたリソースが割り当てられてコネクションが確立することになる。本実施例の通信処理装置は、リソース領域毎のコネクショの管理をリソース使用状況テーブル(図14,201)を用いて実行する。
【0109】
図17にリソース使用状況テーブルのデータ構成例を示す。リソース使用状況テーブルは図17に示すように、送信元のIPアドレスまたはポート番号、または両者の組合わせデータからなるエンドポイントと、コネクションに使用されているグループIDとを対応付けたテーブルとして構成される。
【0110】
TCPコネクション処理用のリソース確保時に、TCPコネクション処理はリソース使用状況テーブルに、コネクションのエンドポイントとリソース使用条件決定処理の結果のグループIDを書き込み、リソース使用条件テーブルにおけるそのグループIDに対応する現在のコネクション数を1増加させる。
【0111】
また、コネクションの終了時には、リソースを開放する際に、図17に示すようなリソース使用状況テーブルを閲覧してこのコネクションのエンドポイントに対応するグループIDを得て、リソース使用条件テーブルのそのグループIDに対応する現在のコネクション数を1減少させる。その後にリソース使用状況テーブル中のこのコネクションに関するエントリを消去する。
【0112】
以上、説明したように、リソース決定処理例2は、
フェーズa:TCPコネクション要求のトラフィックデータの情報から利用者を識別、または利用者及び利用するサービスの双方を識別する利用者識別処理、フェーズb:ユーザID毎に対応付けられた設定可能なコネクション数と現コネクション数を比較し、ユーザID毎に対応付けられた設定可能なコネクション数を超えない場合は、コネクションを確立させ、超える場合は、他のユーザIDに対応して設定されたコネクション数に空きがあるかを判定し、空きがある場合にコネクションを確立させる処理、
これらの2フェーズからなるリソース決定処理により、利用者に応じて確立コネクション数を制限することを可能としている。従って、優先度の低いユーザは少ないコネクション数しか使用できないが、優先度の高いユーザは多くのコネクションを使用できるといった条件付けが実現できる。このように、利用者ごとにコネクション数を制限することができ、利用者を複数のグループIDに所属させることにより、柔軟なコネクション数制限が可能となる。
【0113】
なお、上述の説明では、利用者としてコネクション要求元、すなわち送信元IPアドレス、送信元MACアドレスに基づいて利用者識別を行なう処理例について説明したが、さらに、SYNパケットのヘッダ情報から送信先ポート番号を取得して、送信先ポート番号に応じたリソースの割り当てを実行する構成としてもよい。本構成とすることにより、送信先ポート番号、すなわちプロトコルに応じて確立コネクション数を設定することが可能となる。
【0114】
[通信処理装置構成例]
次に通信処理装置の構成例について図18を用いて説明する。図18には、通信処理装置の構成例を示す。CPU(Central processing Unit)501は、各種アプリケーションプログラムや、OS(Operating System)を実行する演算ユニットである。ROM(Read-Only-Memory)502は、CPU501が実行するプログラム、あるいは演算パラメータとしての固定データを格納する。RAM(Random Access Memory)503は、CPU501の処理において実行されるプログラム、およびプログラム処理において適宜変化するパラメータの格納エリア、ワーク領域として使用される。
【0115】
ホストバス504はブリッジ505を介してPCI(Peripheral Component Internet/Interface)バスなどの外部バス506に接続されている。
【0116】
キーボード508はCPU501に各種の指令を入力するためにユーザにより操作され、ポインティングデバイス509はディスプレイ510の画面上の位置指定、コマンド指定などの際にユーザによって操作される。ディスプレイ510は例えばCRT、液晶ディスプレイ等であり、各種情報をテキストまたはイメージ等により表示する。HDD(Hard Disk Drive)511は、情報記憶媒体としてのハードディスクを駆動し、ハードディスクからのプログラム、データの読み取りまたはハードディスクに対するプログラム、データの書き込みを実行する。
【0117】
ドライブ512は、フロッピーディスク、CD−ROM(Compact Disc Read Only Memory),MO(Magneto optical)ディスク,DVD(Digital Versatile Disc)、磁気ディスク、半導体メモリなどのリムーバブル記録媒体513の記録再生を実行するドライブであり、各リムーバブル記録媒体513からのプログラムまたはデータ再生、リムーバブル記録媒体513に対するプログラムまたはデータ格納を実行する。
【0118】
各記憶媒体に記録されたプログラムまたはデータを読み出してCPU501において実行または処理を行なう場合は、読み出したプログラム、データはインタフェース507、外部バス506、ブリッジ505、ホストバス504を介して例えば接続されているRAM503に供給する。
【0119】
キーボード508乃至ドライブ512はインタフェース507に接続されており、インタフェース507は外部バス506、ブリッジ505、およびホストバス504を介してCPU501に接続されている。
【0120】
通信部514は通信処理装置の接続された例えばルータ等を介して他の端末またはサーバと通信し、CPU501、HDD511等から供給されたデータをパケット化して送信したり、ルータを介してパケットを受信する処理を実行する。通信部503は外部バス506、ブリッジ505、およびホストバス504を介してCPU501に接続されている。
【0121】
以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。
【0122】
なお、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。
【0123】
例えば、プログラムは記録媒体としてのハードディスクやROM(Read Only Memory)に予め記録しておくことができる。あるいは、プログラムはフロッピーディスク、CD−ROM(Compact Disc Read Only Memory),MO(Magneto optical)ディスク,DVD(Digital Versatile Disc)、磁気ディスク、半導体メモリなどのリムーバブル記録媒体に、一時的あるいは永続的に格納(記録)しておくことができる。このようなリムーバブル記録媒体は、いわゆるパッケージソフトウエアとして提供することができる。
【0124】
なお、プログラムは、上述したようなリムーバブル記録媒体からコンピュータにインストールする他、ダウンロードサイトから、コンピュータに無線転送したり、LAN(Local Area Network)、インターネットといったネットワークを介して、コンピュータに有線で転送し、コンピュータでは、そのようにして転送されてくるプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。
【0125】
なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
【0126】
【発明の効果】
以上、説明したように、本発明の通信処理装置、および通信処理方法によれば、コネクション要求の利用者を識別し、識別された利用者に応じて設定されたリソースの使用条件に従って使用するリソース領域を決定する構成としたので、優先度の高い利用者に使用可能なリソースを多く設定するなどの処理により、不特定多数の利用者からのコネクション要求がある通信処理装置において、特定のユーザに対して優先的にコネクションを確立することが可能となる。
【0127】
また、本発明の通信処理装置、および通信処理方法によれば、利用者に応じて利用可能なコネクション数を設定し、識別された利用者に応じて設定されたコネクション設定数に従ってコネクションの可否を判定する構成としたので、優先度の高い利用者に使用可能なコネクションを多く設定する処理により、不特定多数の利用者からのコネクション要求がある通信処理装置において、特定のユーザに対して優先的にコネクションを確立することが可能となる。
【0128】
また、本発明の通信処理装置、および通信処理方法において、利用者情報としてコネクション要求元のIPアドレス、MACアドレス、さらに送信先ポート番号を取得して、送信先ポート番号に応じたリソースの割り当てを実行する構成によれば、送信先ポート番号、すなわちプロトコルに応じたリソースの使用率を設定し、利用に応じた優先使用の設定をすることが可能となる。
【0129】
また、本発明の通信処理装置、および通信処理方法によれば、複数の優先度の低い利用者により、多量のTCPコネクションが確立されたり、優先度の低い利用者から、TCPトラフィック処理用のリソースに対するDoS攻撃が行われて、コネクションの確立が困難になるなどの状況の発生を効果的に防止することが可能となる。
【図面の簡単な説明】
【図1】TCPコネクションの処理の概要を説明する図である。
【図2】IPパケットにおけるTCPヘッダの構成を説明する図である。
【図3】IPパケットにおけるIPヘッダの構成を説明する図である。
【図4】本発明の通信処理装置におけるTCPコネクション要求処理の処理概要を説明するフロー図である。
【図5】本発明の通信処理装置におけるTCPコネクション要求処理の処理概要を説明する図である。
【図6】本発明の通信処理装置におけるリソース領域選択処理の処理概要を説明するフロー図である。
【図7】本発明の通信処理装置における利用者識別処理において適用される利用者テーブルの構成例を示す図である。
【図8】本発明の通信処理装置における利用者識別処理を説明するフロー図である。
【図9】本発明の通信処理装置におけるリソース使用条件決定処理において適用されるリソース使用条件テーブルの構成例を示す図である。
【図10】本発明の通信処理装置におけるリソース使用条件決定処理を説明するフロー図である。
【図11】本発明の通信処理装置におけるリソース領域決定処理において適用されるリソース管理情報テーブルの構成例を示す図である。
【図12】本発明の通信処理装置におけるリソース領域決定処理を説明するフロー図である。
【図13】本発明の通信処理装置におけるコネクション管理処理において適用されるリソース領域対応テーブルの構成例を示す図である。
【図14】本発明の通信処理装置におけるTCPコネクション要求処理の処理概要(例2)を説明する図である。
【図15】本発明の通信処理装置におけるリソース使用条件決定処理(例2)を説明するフロー図である。
【図16】本発明の通信処理装置におけるリソース領域決定処理(例2)において適用されるリソース管理情報テーブルの構成例を示す図である。
【図17】本発明の通信処理装置におけるコネクション管理処理(例2)において適用されるリソース使用状況テーブルの構成例を示す図である。
【図18】本発明の通信処理装置の構成例を示す図である。
【符号の説明】
101 リソース領域対応テーブル
111 利用者テーブル
112 リソース使用条件テーブル
113 リソース管理情報テーブル
121 利用者設定処理部
122 リソース使用条件決定処理部
123 リソース設定処理部
130 リソース決定処理部
140 記憶装置
150 TCPコネクション処理用リソース
201 リソース使用状況テーブル
211 利用者テーブル
212 リソース使用条件テーブル
221 利用者設定処理部
222 リソース使用条件決定処理部
230 リソース使用可能判定処理部
240 記憶装置
250 TCPコネクション処理用リソース
501 CPU(Central processing Unit)
502 ROM(Read-Only-Memory)
503 RAM(Random Access Memory)
505 ブリッジ
508 キーボード
509 ポインティングデバイス
510 ディスプレイ
511 HDD
512 ドライブ
513 リムーバブル記憶媒体
514 通信部

Claims (19)

  1. 通信コネクション要求を受信し、コネクション確立処理を実行する通信処理装置において、
    コネクション要求に対するコネクション確立可否の決定処理を実行する制御手段と、
    コネクション要求元に対応し優先度毎に区分された利用者識別子と、優先度毎に区分された利用者毎の使用可能な通信処理用リソース領域情報を含むリソース使用条件とを対応付けたテーブルであり、高優先度の利用者に対応する配分リソースとして、低優先度の利用者に対応する配分リソースに含まれない占有リソース領域をリソース使用条件として設定したリソース使用条件テーブルとを有し、
    前記制御手段は、
    コネクション要求データに基づいて、コネクション要求元に対応する利用者の識別処理を実行し、該利用者識別処理において識別された利用者識別子に基づいて、前記リソース使用条件テーブルの検索を実行し、利用者識別子の属する優先度に対応して設定された通信処理用リソースの空きの確認を条件として、リソース使用条件テーブルに基づいて決定されるリソースを適用したコネクション確立処理を実行する構成を有することを特徴とする通信処理装置。
  2. 前記通信処理用リソースは、複数の領域に分割されたメモリまたは記憶装置の記憶領域を含み、
    前記リソース使用条件テーブルは、
    コネクション要求元に対応する利用者識別子と、前記記憶領域の各々とを対応付け、利用者毎の使用可能な記憶領域を設定した構成を有し、
    前記制御手段は、
    前記利用者識別処理に基づいて識別された利用者に基づいて、リソース使用条件テーブルの検索を実行して、利用可能なリソースとしての記憶領域の判別を実行する構成であることを特徴とする請求項1に記載の通信処理装置。
  3. 前記通信処理用リソースは、設定可能なコネクション数を含み、
    前記リソース使用条件テーブルは、
    コネクション要求元に対応する利用者識別子と、コネクション数とを対応付け、利用者毎の使用可能なコネクションを設定した構成を有し、
    前記制御手段は、
    前記利用者識別処理に基づいて識別された利用者に基づいて、リソース使用条件テーブルの検索を実行して、利用可能なコネクションの有無の判別を実行する構成であることを特徴とする請求項1に記載の通信処理装置。
  4. 前記制御手段は、
    前記利用者識別処理において、コネクション要求の送信元IPアドレスまたは送信元MACアドレスの少なくともいずれかを利用者情報として取得する処理を実行する構成であることを特徴とする請求項1に記載の通信処理装置。
  5. 前記制御手段は、
    前記利用者識別処理において、コネクション要求の送信先ポート番号を利用者情報として取得し、
    取得した送信先ポート番号に対応して設定された通信処理用リソースの空きの確認を条件としてコネクション確立処理を実行する構成を有することを特徴とする請求項1に記載の通信処理装置。
  6. 前記制御手段は、
    アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理と、
    前記リソース使用条件テーブルに基づいて利用者に対応するリソース使用条件を決定するリソース使用条件決定処理と、
    リソース領域情報と、リソース空き情報とを対応付けたリソース管理情報テーブルに基づいてコネクション要求利用者に対するコネクション適用リソース領域を設定するリソース領域決定処理と、
    を順次実行してコネクション確立処理を実行する構成を有することを特徴とする請求項1に記載の通信処理装置。
  7. 前記制御手段は、
    アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理と、
    前記リソース使用条件テーブルに基づいて利用者に対応するリソース使用条件を決定するリソース使用条件決定処理と、
    リソース領域情報と、リソース空き情報とを対応付けたリソース管理情報テーブルに基づいてコネクション要求利用者に対するコネクション適用リソース領域を設定するリソース領域決定処理と、を順次実行してコネクション確立処理を実行する構成を有し、
    前記リソース使用条件テーブルは、優先度の高い利用者の利用者識別子に対するリソース使用条件としてのリソース領域の配分比率を高く設定した構成であることを特徴とする請求項1に記載の通信処理装置。
  8. 前記制御手段は、
    アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理と、
    利用者識別子とグループ識別子と、最大コネクション数、および現在のコネクション数とを対応付けたリソース使用条件テーブルに基づいて、前記利用者識別処理によって取得した利用者識別データに基づく該リソース使用条件テーブルのエントリ検索により、利用可能なコネクションの有無を判定してリソース使用可否を判定するリソース使用条件決定処理と、
    を順次実行してコネクション確立処理を実行する構成を有することを特徴とする請求項1に記載の通信処理装置。
  9. 前記制御手段は、
    アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理と、
    利用者識別子とグループ識別子と、最大コネクション数、および現在のコネクション数とを対応付けたリソース使用条件テーブルに基づいて、前記利用者識別処理によって取得した利用者識別データに基づく該リソース使用条件テーブルのエントリ検索により、利用可能なコネクションの有無を判定してリソース使用可否を判定するリソース使用条件決定処理とを順次実行してコネクション確立処理を実行する構成を有し、
    前記リソース使用条件テーブルは、優先度の高い利用者の利用者識別子を複数の異なるグループ識別子に対応付けて格納した構成であることを特徴とする請求項1に記載の通信処理装置。
  10. 前記制御手段は、
    コネクション要求としてTCPコネクション要求に含まれるSYNパケットの受信に応じて、コネクション確立可否の決定処理を実行する構成であり、
    SYNパケットに含まれる送信元識別データに基づいて利用者の識別を実行する構成であることを特徴とする請求項1に記載の通信処理装置。
  11. 通信コネクション要求を受信し、コネクション確立処理を実行する通信処理方法において、
    コネクション要求データに基づいて、コネクション要求元に対応する利用者の識別処理を実行する利用者識別処理ステップと、
    前記利用者識別処理において識別された利用者識別子に基づいて、コネクション要求元に対応し優先度毎に区分された利用者識別子と、優先度毎に区分された利用者毎の使用可能な通信処理用リソース領域情報を含むリソース使用条件とを対応付けたテーブルであり、高優先度の利用者に対応する配分リソースとして、低優先度の利用者に対応する配分リソースに含まれない占有リソース領域をリソース使用条件として設定したリソース使用条件テーブルの検索を実行し、利用者識別子の属する優先度に対応して設定された通信処理用リソースの空きの確認を条件として、リソース使用条件テーブルに基づいて決定されるリソースを適用したコネクション確立処理を実行するリソース決定処理ステップと、
    を有することを特徴とする通信処理方法。
  12. 前記通信処理方法において、
    前記通信処理用リソースは、複数の領域に分割されたメモリまたは記憶装置の記憶領域を含み、前記リソース使用条件テーブルは、コネクション要求元に対応する利用者識別子と、前記記憶領域の各々とを対応付け、利用者毎の使用可能な記憶領域を設定したテーブルであり、
    前記リソース決定処理ステップは、
    前記利用者識別処理に基づいて識別された利用者に基づいて、
    前記リソース使用条件テーブルの検索を実行して、利用可能なリソースとしての記憶領域の判別を実行するステップを含むことを特徴とする請求項11に記載の通信処理方法。
  13. 前記通信処理方法において、
    前記通信処理用リソースは、設定可能なコネクション数を含み、前記リソース使用条件テーブルは、コネクション要求元に対応する利用者識別子と、コネクション数とを対応付け、利用者毎の使用可能なコネクションを設定したテーブルであり、
    前記リソース決定処理ステップは、
    前記利用者識別処理に基づいて識別された利用者に基づいて、
    前記リソース使用条件テーブルの検索を実行して、利用可能なコネクションの有無の判別を実行するステップを含むことを特徴とする請求項11に記載の通信処理方法。
  14. 前記利用者識別処理ステップは、
    コネクション要求の送信元IPアドレスまたは送信元MACアドレスの少なくともいずれかを利用者情報として取得する処理を実行することを特徴とする請求項11に記載の通信処理方法。
  15. 前記利用者識別処理ステップは、
    コネクション要求の送信先ポート番号を利用者情報として取得し、
    前記リソース決定処理ステップは、
    取得した送信先ポート番号に対応して設定された通信処理用リソースの空きの確認を条件としてコネクション確立処理を実行することを特徴とする請求項11に記載の通信処理方法。
  16. 前記通信処理方法は、
    アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理ステップと、
    利用者識別子とリソース領域情報を含むリソース使用条件とを対応付けたリソース使用条件テーブルに基づいて利用者に対応するリソース使用条件を決定するリソース使用条件決定処理ステップと、
    リソース領域情報と、リソース空き情報とを対応付けたリソース管理情報テーブルに基づいてコネクション要求利用者に対するコネクション適用リソース領域を設定するリソース領域決定処理ステップと、
    を順次実行してコネクション確立処理を実行することを特徴とする請求項11に記載の通信処理方法。
  17. 前記通信処理方法は、
    アドレス情報と利用者識別子とを対応付けた利用者テーブルに基づいてコネクション要求元に対応する利用者を識別する利用者識別処理ステップと、
    利用者識別子とグループ識別子と、最大コネクション数、および現在のコネクション数とを対応付けたリソース使用条件テーブルに基づいて、前記利用者識別処理によって取得した利用者識別データに基づく該リソース使用条件テーブルのエントリ検索により、利用可能なコネクションの有無を判定してリソース使用可否を判定するリソース使用条件決定処理ステップと、
    を順次実行してコネクション確立処理を実行することを特徴とする請求項11に記載の通信処理方法。
  18. 前記利用者識別処理ステップは、
    コネクション要求としてTCPコネクション要求に含まれるSYNパケットの受信に応じて、SYNパケットに含まれる送信元識別データに基づいて利用者の識別を実行するステップを含むことを特徴とする請求項11に記載の通信処理方法。
  19. 通信コネクション要求を受信し、コネクション確立処理を実行する通信処理をコンピュータ・システム上で実行せしめるコンピュータ・プログラムであって、
    コネクション要求データに基づいて、コネクション要求元に対応する利用者の識別処理を実行する利用者識別処理ステップと、
    前記利用者識別処理において識別された利用者識別子に基づいて、コネクション要求元に対応し優先度毎に区分された利用者識別子と、優先度毎に区分された利用者毎の使用可能な通信処理用リソース領域情報を含むリソース使用条件とを対応付けたテーブルであり、高優先度の利用者に対応する配分リソースとして、低優先度の利用者に対応する配分リソースに含まれない占有リソース領域をリソース使用条件として設定したリソース使用条件テーブルの検索を実行し、利用者識別子の属する優先度に対応して設定された通信処理用リソースの空きの確認を条件として、リソース使用条件テーブルに基づいて決定されるリソースを適用したコネクション確立処理を実行するリソース決定処理ステップと、
    を有することを特徴とするコンピュータ・プログラム。
JP2001320112A 2001-10-18 2001-10-18 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム Expired - Fee Related JP3663627B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001320112A JP3663627B2 (ja) 2001-10-18 2001-10-18 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム
US10/267,571 US7735084B2 (en) 2001-10-18 2002-10-09 Communication processing apparatus, communication processing method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001320112A JP3663627B2 (ja) 2001-10-18 2001-10-18 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム

Publications (2)

Publication Number Publication Date
JP2003125022A JP2003125022A (ja) 2003-04-25
JP3663627B2 true JP3663627B2 (ja) 2005-06-22

Family

ID=19137551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001320112A Expired - Fee Related JP3663627B2 (ja) 2001-10-18 2001-10-18 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム

Country Status (2)

Country Link
US (1) US7735084B2 (ja)
JP (1) JP3663627B2 (ja)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8019870B1 (en) * 1999-08-23 2011-09-13 Oracle America, Inc. Approach for allocating resources to an apparatus based on alternative resource requirements
US8234650B1 (en) 1999-08-23 2012-07-31 Oracle America, Inc. Approach for allocating resources to an apparatus
US8032634B1 (en) 1999-08-23 2011-10-04 Oracle America, Inc. Approach for allocating resources to an apparatus based on resource requirements
US7703102B1 (en) 1999-08-23 2010-04-20 Oracle America, Inc. Approach for allocating resources to an apparatus based on preemptable resource requirements
US8179809B1 (en) 1999-08-23 2012-05-15 Oracle America, Inc. Approach for allocating resources to an apparatus based on suspendable resource requirements
US7644436B2 (en) * 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
JP4433202B2 (ja) 2003-07-11 2010-03-17 日本電気株式会社 トランスポート層中継方法及びトランスポート層中継装置並びにプログラム
US7366170B2 (en) 2003-09-25 2008-04-29 Kabushiki Kaisha Toshiba Communication connection method, authentication method, server computer, client computer and program
US7606916B1 (en) * 2003-11-10 2009-10-20 Cisco Technology, Inc. Method and apparatus for load balancing within a computer system
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
JP2005184792A (ja) 2003-11-27 2005-07-07 Nec Corp 帯域制御装置、帯域制御方法及び帯域制御プログラム
JP2005276122A (ja) * 2004-03-26 2005-10-06 Fujitsu Ltd アクセス元認証方法及びシステム
JP4028853B2 (ja) * 2004-03-30 2007-12-26 株式会社日立製作所 情報サービス通信ネットワークシステムおよびセッション管理サーバ
GB2412754B (en) * 2004-03-30 2007-07-11 Hewlett Packard Development Co Provision of resource allocation information
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
EP2264956B1 (en) 2004-07-23 2017-06-14 Citrix Systems, Inc. Method for securing remote access to private networks
US9219579B2 (en) 2004-07-23 2015-12-22 Citrix Systems, Inc. Systems and methods for client-side application-aware prioritization of network communications
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8549149B2 (en) * 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US8332526B2 (en) 2005-05-25 2012-12-11 Microsoft Corporation Data communication protocol including negotiation and command compounding
JP4377369B2 (ja) * 2005-11-09 2009-12-02 株式会社日立製作所 リソース割当調停装置およびリソース割当調停方法
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8074275B2 (en) * 2006-02-01 2011-12-06 Cisco Technology, Inc. Preventing network denial of service attacks by early discard of out-of-order segments
US20080134300A1 (en) 2006-07-08 2008-06-05 David Izatt Method for Improving Security of Computer Networks
JP4535075B2 (ja) * 2007-03-12 2010-09-01 ブラザー工業株式会社 ネットワーク装置、およびネットワーク装置用のプログラム
US20100042734A1 (en) * 2007-08-31 2010-02-18 Atli Olafsson Proxy server access restriction apparatus, systems, and methods
CN101822092B (zh) * 2007-10-09 2015-05-27 爱立信电话股份有限公司 管理蜂窝无线系统中的无线资源的方法
US8850029B2 (en) * 2008-02-14 2014-09-30 Mcafee, Inc. System, method, and computer program product for managing at least one aspect of a connection based on application behavior
JP5630070B2 (ja) * 2010-05-14 2014-11-26 富士通株式会社 中継装置、プログラム及び方法
US8631277B2 (en) 2010-12-10 2014-01-14 Microsoft Corporation Providing transparent failover in a file system
JP5763943B2 (ja) 2011-03-24 2015-08-12 株式会社東芝 情報処理装置及びプログラム
US9331955B2 (en) 2011-06-29 2016-05-03 Microsoft Technology Licensing, Llc Transporting operations of arbitrary size over remote direct memory access
US8856582B2 (en) 2011-06-30 2014-10-07 Microsoft Corporation Transparent failover
US8788579B2 (en) 2011-09-09 2014-07-22 Microsoft Corporation Clustered client failover
US20130067095A1 (en) 2011-09-09 2013-03-14 Microsoft Corporation Smb2 scaleout
US9100366B2 (en) * 2012-09-13 2015-08-04 Cisco Technology, Inc. Early policy evaluation of multiphase attributes in high-performance firewalls
JP6146088B2 (ja) * 2012-09-28 2017-06-14 沖電気工業株式会社 ゲートウェイ装置、通信装置、及び通信コネクション管理方法
US9565590B2 (en) 2014-01-10 2017-02-07 Qualcomm Incorporated Systems and methods for modem control based on feedback
CN105939366A (zh) * 2015-07-03 2016-09-14 杭州迪普科技有限公司 用户信息同步的方法、装置及接入设备
WO2017117216A1 (en) * 2015-12-29 2017-07-06 Tao Tao Systems and methods for caching task execution
JP6758858B2 (ja) * 2016-02-29 2020-09-23 キヤノン株式会社 通信装置、通信方法及びプログラム
US10291469B2 (en) * 2016-10-05 2019-05-14 Cisco Technology, Inc. Method and system for managing control connections with a distributed control plane
US11128525B2 (en) * 2017-09-29 2021-09-21 Comcast Cable Communications, Llc Adaptive capacity management of connections associated with a service

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2469751A1 (fr) * 1979-11-07 1981-05-22 Philips Data Syst Processeur d'intercommunication du systeme utilise dans un systeme de traitement de donnees reparti
JPH0793645B2 (ja) 1993-01-11 1995-10-09 日本電気株式会社 信号接続制御部
US5692129B1 (en) * 1995-07-07 1999-08-17 Novell Inc Managing application programs in a computer network by using a database of application objects
JP3217002B2 (ja) * 1996-11-19 2001-10-09 株式会社日立製作所 デジタルスタジオ装置およびその制御方法
US6335922B1 (en) * 1997-02-11 2002-01-01 Qualcomm Incorporated Method and apparatus for forward link rate scheduling
US6968379B2 (en) * 1997-05-30 2005-11-22 Sun Microsystems, Inc. Latency-reducing bandwidth-prioritization for network servers and clients
US6563793B1 (en) * 1998-11-25 2003-05-13 Enron Warpspeed Services, Inc. Method and apparatus for providing guaranteed quality/class of service within and across networks using existing reservation protocols and frame formats
US6763371B1 (en) * 1999-05-10 2004-07-13 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for collaborative communication in a communication network
JP3324585B2 (ja) 1999-12-01 2002-09-17 日本電気株式会社 端末接続制御方法および端末接続制御装置
JP2001285353A (ja) 2000-03-31 2001-10-12 Matsushita Electric Ind Co Ltd インターネットアクセス管理方式及びインターネットアクセス管理システム
US7366533B2 (en) * 2001-05-16 2008-04-29 Motorola, Inc. Methods for providing access to wireless resources in a trunked radio communication system

Also Published As

Publication number Publication date
US7735084B2 (en) 2010-06-08
US20030079031A1 (en) 2003-04-24
JP2003125022A (ja) 2003-04-25

Similar Documents

Publication Publication Date Title
JP3663627B2 (ja) 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム
US12021835B2 (en) Methods and systems for efficient packet filtering
US6577628B1 (en) Providing quality of service (QoS) in a network environment in which client connections are maintained for limited periods of time
US10237352B2 (en) Optimal source interface selection
US7519067B2 (en) Method, system, and computer product for controlling input message priority
EP3720100A1 (en) Service request processing method and device
US10178033B2 (en) System and method for efficient traffic shaping and quota enforcement in a cluster environment
JP2004364306A (ja) クライアント−サーバ接続要求を制御するシステム
US8095675B2 (en) Priority and bandwidth specification at mount time of NAS device volume
US7529820B2 (en) Method and apparatus to perform automated task handling
US12004076B2 (en) Evaluating a hosting device for installation of a virtualized function within a network infrastructure
US7519598B2 (en) Prioritizing network management traffic
US8036127B2 (en) Notifying network applications of receive overflow conditions
JP2005295457A (ja) P2pトラフィック対応ルータ及びそれを用いたp2pトラフィック情報共有システム
JP3876687B2 (ja) 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム
EP1560382A1 (en) System for setting a communications transfer policy
US20120144036A1 (en) Network location based processing of data communication connection requests
US8054831B2 (en) Method and apparatus for transmitting and receiving information regarding UPnP event
JP3960321B2 (ja) 電子機器
US20110235641A1 (en) Communication apparatus, method of controlling the communication apparatus,and program
JP2006309416A (ja) コンピュータウイルス対策ソフトウェア更新方法
CN109067621A (zh) 设备监控方法、装置及系统
US20090106387A1 (en) Cidr based caching at application layer
US8625626B2 (en) Sharing a transmission control protocol port by a plurality of applications
US20220030011A1 (en) Demand management of sender of network traffic flow

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040809

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040816

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050307

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050320

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080408

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090408

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090408

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100408

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100408

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110408

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120408

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120408

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130408

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees