JP3887325B2 - データ通信網システムおよびデータ通信網接続制御方法 - Google Patents

データ通信網システムおよびデータ通信網接続制御方法 Download PDF

Info

Publication number
JP3887325B2
JP3887325B2 JP2003030930A JP2003030930A JP3887325B2 JP 3887325 B2 JP3887325 B2 JP 3887325B2 JP 2003030930 A JP2003030930 A JP 2003030930A JP 2003030930 A JP2003030930 A JP 2003030930A JP 3887325 B2 JP3887325 B2 JP 3887325B2
Authority
JP
Japan
Prior art keywords
communication network
provider
connection
service processing
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003030930A
Other languages
English (en)
Other versions
JP2004242161A (ja
Inventor
佳武 田島
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003030930A priority Critical patent/JP3887325B2/ja
Publication of JP2004242161A publication Critical patent/JP2004242161A/ja
Application granted granted Critical
Publication of JP3887325B2 publication Critical patent/JP3887325B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、データ通信サービスを提供するプロバイダ通信網およびユーザ通信網の間の接続を制御する技術に関し、複数のプロバイダ通信網と通信を行うユーザが、プロバイダごとに提供される適切な付加価値サービスを容易に利用し、プロバイダはユーザに提供するサービスを適切に管理するために適用されるべき技術であり、特に外部のネットワークと隔絶して構成される仮想閉域網(VPN)サービスを提供するプロバイダ通信網において、複数プロバイダ通信網と通信するサービスを提供する技術として好適である。
【0002】
【従来の技術】
従来、プロバイダ通信網が、ユーザ通信網と外部のプロバイダ通信網との間を仲介してユーザ通信網と外部のプロバイダ通信網との通信を提供する場合、外部のプロバイダ通信網と合意の上で、この外部のプロバイダ通信網との間に接続装置を設置することにより、ユーザ通信網と外部のプロバイダ通信網との間のデータ転送を実現していた。また、プロバイダ通信網は、外部のプロバイダ通信網とデータ転送経路情報を交換することにより、外部のプロバイダ通信網と接続される別のプロバイダ通信網とデータ転送を行っていた(例えば、非特許文献1参照)。
【0003】
接続する複数のプロバイダ通信網がVPN(Virtual Private Network )を提供する場合は、それぞれのプロバイダ通信網が合意の上で互いに接続し、それぞれのプロバイダ通信網のユーザが合意の上でVPN間を接続していた。また、ユーザ間の通信を制限する場合は、接続装置においてアドレス変換、パケットフィルタリングなどの処理を行っていた(例えば、特許文献1参照)。
【0004】
また、ユーザ通信網がプロバイダ通信網に対する通信路を設定する際は、ユーザが接続認証情報等をプロバイダ通信網に送信した上で接続を行っており、ユーザが複数のプロバイダ通信網に接続する場合には、ユーザが各プロバイダ通信網ヘの接続をそれぞれ独立に行っていた(例えば、非特許文献2参照)。
【0005】
ユーザが複数のVPNの中から1つのVPNを選択して接続する際には、ユーザ通信網の装置からプロバイダ通信網情報や認証情報等を送信し、サーバと認証を行い、ユーザ収容ノードとの間に通信路を設定してVPNに接続し、ユーザ通信網の装置があらかじめ保持するパケット処理プログラムによってそれぞれのVPNに独立に接続していた(例えば、特許文献2参照)。なお、出願人は、本明細書に記載した先行技術文献情報で特定される先行技術文献以外には、本発明に関連する先行技術文献を出願時までに発見するには至らなかった。
【0006】
【特許文献1】
特開2002−94508号公報
【特許文献2】
特開2001−268125号公報
【非特許文献1】
中川他,「次世代インターネットエクスチェンジ技術動向」,情報処理,社団法人情報処理学会発行学会,2001年7月15日,第42巻,第7号,p.702〜708
【非特許文献2】
「スケーラブルサポートフォアマルチホームドマルチプロバイダコネクティビティ(Scalable Support for Multi-homed Multi-provider Connectivity)」,リクエストフォアコメント(Request For Comment:RFC)2260,インターネットエンジニアリングタスクフォース(Internet Engineering Task Force:IETF),1998年
【0007】
【発明が解決しようとする課題】
従来のデータ通信サービスでは、通信元ユーザ端末装置が単一のVPNプロバイダ通信網に接続して通信先ユーザ端末装置と通信を行う場合、通信可能な通信先ユーザ端末装置が限られるという問題点があった。その理由は、通信元ユーザ端末装置が接続するVPNプロバイダ通信網は、相互接続する他のVPNプロバイダ通信網との通信のみを提供するため、当該VPNプロバイダ通信網に接続性をもたないユーザ端末装置とは通信できないためである。
【0008】
また、従来のデータ通信サービスでは、プロバイダ通信網が相互接続する他のプロバイダ通信網と通信する場合、(A)通信経路が冗長になる、(B)通信品質が劣化する、(C)サービスコストが増大するという問題点があった。その理由は、通信元ユーザ端末装置が接続するプロバイダ通信網、このプロバイダ通信網と他のプロバイダ通信網とを相互接続する接続装置、および通信先ユーザ端末装置が接続する他のプロバイダ通信網を経由して、通信元ユーザ端末装置と通信先ユーザ端末装置の通信が行われるためであり、接続装置に対してトラフィックが集中するからである。
【0009】
他の理由として、インターネットなどの公衆網においては、通信元ユーザ端末装置が接続するプロバイダ通信網と通信先ユーザ端末装置が接続するプロバイダ通信網との間にさらに複数のプロバイダ通信網が介在する場合があり、通信経路が冗長となるからである。さらに別の理由として、VPNプロバイダ通信網が相互接続する他のVPNプロバイダ通信網のユーザ端末装置と通信する場合、接続装置において全てのユーザ端末装置に対応した処理をあらかじめ設定するため、パケットフィルタリングテーブルやアドレス変換テーブルなどが必要以上に肥大化し、処理コストが増大し、通信品質の劣化またはサービスコストの増大を招くからである。
【0010】
また、従来のデータ通信サービスでは、ユーザ端末装置が複数のプロバイダ通信網に接続し、通信先となるユーザ端末装置ごとに経由するプロバイダを選択する場合、ユーザの管理コストが増大するという問題点があった。その理由は、接続先のプロバイダをユーザが管理し、パケットのルーチング等を設定する必要があるからである。
【0011】
また、従来のデータ通信サービスでは、ユーザ端末装置が複数のVPNプロバイダ通信網と接続する場合、ユーザのセキュリティ管理コストが増大するという問題点があった。その理由は、VPNプロバイダ通信網は、ユーザが接続する他のプロバイダ通信網のVPNを識別することができないため、ユーザに適切なセキュリティの制御設定の管理を提供することができず、ユーザがセキュリティ管理を行う必要があるからである。
【0012】
また、従来のデータ通信サービスでは、ユーザ端末装置が接続先のプロバイダ通信網およびVPNを申告して、プロバイダ通信網で接続を制御・管理する場合、ユーザの利便性が低下するとともに、プロバイダが信頼性のあるサービスとしてプロバイダ接続の制御を提供できないという問題があった。その理由は、ユーザが接続先のプロバイダ通信網およびVPNを申告したとしても、申告する情報を誤った場合、外部のプロバイダ通信網との間で正当性を確認することができないからである。
【0013】
本発明の目的は、以上の問題点を解決し、ユーザの複数プロバイダ通信網への接続を許容して接続性の向上と通信経路の短縮化、通信品質劣化の回避およびコストの低減を図れるように複数プロバイダ通信網との接続を制御するサービスを提供することにある。また、複数のプロバイダがそれぞれ提供するVPN−インターネット通信サービスなどの種々の付加価値サービスをユーザごとに安全に容易に提供することにある。
【0014】
【課題を解決するための手段】
本発明は、ユーザ端末装置に対してサービスを提供するサービス処理装置を備えたユーザ通信網と、前記サービス処理装置を介して前記ユーザ端末装置と接続するユーザ収容ノード、および情報管理を行うプロバイダサーバを備えたプロバイダ通信網と、前記サービス処理装置と前記ユーザ収容ノードとを接続するアクセス網とを有するデータ通信網システムにおいて、前記サービス処理装置は、前記ユーザ通信網あるいは前記プロバイダ通信網から受信したパケットをルーチング情報に基づいて送信先の通信網に転送するパケット転送手段(図2の111)と、前記プロバイダ通信網のユーザ収容ノードとの間に通信路が設定されたとき、このプロバイダ通信網に設けられたプロバイダサーバとの間に論理コネクションを設定する第1の論理接続手段(図2の1166,1176)と、前記論理コネクションが設定されたプロバイダ通信網との接続を求めるユーザ要求を前記ユーザ通信網に収容されたユーザ端末装置から受信したとき、前記論理コネクションが設定された複数のプロバイダ通信網の各プロバイダサーバに、前記ユーザ要求で接続先として指定された他のプロバイダ通信網との外部接続要求を前記論理コネクションを介して送信する外部接続要求手段(図2の1167,1177)と、前記外部接続要求を受信したプロバイダサーバから送信される認証情報を前記他のプロバイダ通信網のプロバイダサーバに転送するサーバ転送手段(図2の115)と、前記プロバイダサーバによる制御に応じて、自装置を介した前記複数のプロバイダ通信網間あるいは自装置を介した前記ユーザ通信網と前記プロバイダ通信網間のデータ転送のための前記ルーチング情報を前記パケット転送手段に設定するプロバイダ通信網接続手段(図2の114)とを備え、前記プロバイダサーバは、前記サービス処理装置との間に前記論理コネクションを設定する第2の論理接続手段(図3、図4の652,752)と、前記外部接続要求に応じて前記他のプロバイダ通信網のプロバイダサーバとの間で前記サービス処理装置を介して認証情報を送受信する認証処理手段(図3、図4の654,754)と、前記複数のプロバイダ通信網間で認証が成立した後に、前記ルーチング情報の設定を遠隔制御するプロバイダ通信網接続制御手段(図3、図4の655,755)と、前記サービス処理装置を介して接続された前記他のプロバイダ通信網との接続情報を管理するプロバイダ通信網接続管理手段(図3、図4の657,757)とを備えるものである。
【0015】
また、本発明は、ユーザ端末装置に対してサービスを提供するサービス処理装置を備えたユーザ通信網と、前記サービス処理装置を介して前記ユーザ端末装置と接続するユーザ収容ノードおよび情報管理を行うプロバイダサーバを備えたプロバイダ通信網と、前記サービス処理装置と前記ユーザ収容ノードとを接続するアクセス網とを有するデータ通信網システムにおいて、各ユーザ通信網の間あるいはユーザ通信網とプロバイダ通信網との間でデータを転送するデータ通信網接続制御方法において、前記ユーザ通信網のサービス処理装置と前記プロバイダ通信網のユーザ収容ノードとの間に通信路が設定されたとき、このプロバイダ通信網に設けられたプロバイダサーバと前記サービス処理装置との間に論理コネクションを設定する論理コネクション設定手順(図7のS109)と、前記ユーザ通信網のサービス処理装置において前記論理コネクションが設定されたプロバイダ通信網との接続を求めるユーザ要求をこのユーザ通信網に収容されたユーザ端末装置から受信したとき、前記論理コネクションが設定された複数のプロバイダ通信網の各プロバイダサーバに、前記ユーザ要求で接続先として指定された他のプロバイダ通信網との外部接続要求を前記サービス処理装置から前記論理コネクションを介して送信する外部接続要求手順(図7のS110,S112)と、前記外部接続要求に応じて前記複数のプロバイダ通信網の各プロバイダサーバ間で前記サービス処理装置を介して相互に認証を行う認証手順(図7のS111,図8のS113)と、前記認証の成立後に前記複数のプロバイダ通信網の各プロバイダサーバから前記論理コネクションを介して前記サービス処理装置のルーチング情報設定を制御する遠隔制御手順(図8のS114,S115)と、前記サービス処理装置を介して接続された前記複数のプロバイダ通信網の各プロバイダサーバにおいて前記複数のプロバイダ通信網に含まれる他のプロバイダ通信網との接続情報を管理するプロバイダ通信網接続管理手順とを実行し、前記ルーチング情報の設定により前記サービス処理装置を介した前記複数のプロバイダ通信網間あるいは前記サービス処理装置を介した前記ユーザ通信網と前記複数のプロバイダ通信網間のデータ転送を制御し、前記ユーザ通信網のプロバイダ通信網接続を制御するようにしたものである。
【0016】
また、本発明のデータ通信網接続制御方法の1構成例において、前記外部接続要求手順は、前記他のプロバイダ通信網のユーザ収容ノード間に論理的に隔絶された複数の仮想閉域網が構築されている場合、前記ユーザ要求で接続先として指定された仮想閉域網を識別する仮想網識別子を用いて、この指定された仮想閉域網との外部接続を要求し、前記認証手順は、前記外部接続要求を受信したプロバイダサーバにおいて、この外部接続要求で接続先として指定された他のプロバイダ通信網を前記仮想網識別子に基づいて特定するようにしてもよい。
また、本発明のデータ通信網接続制御方法の1構成例は、前記論理コネクション設定手順を行う前に、前記ユーザ要求で接続先として指定されたプロバイダ通信網のプロバイダサーバにおいて、前記ユーザ要求を受信したサービス処理装置が予め規定された通信手順に従うか否かを判定する通信判定手順(図7のS107)を実行し、前記サービス処理装置が前記通信手順に従わないと判定された場合、前記論理コネクション設定手順を実行せずに、前記判定を行ったプロバイダサーバから同じプロバイダ通信網内のユーザ収容ノードに切断要求を送信して、このユーザ収容ノードと前記ユーザ要求を受信したサービス処理装置との間の通信路を切断させるようにしてもよい。
また、本発明のデータ通信網接続制御方法の1構成例は、前記サービス処理装置を介した他のプロバイダ通信網との外部接続の可否をサービス処理装置ごとに示すサービス処理装置情報を、前記複数のプロバイダ通信網の各プロバイダサーバで管理し、前記認証手順を行う前に、前記外部接続要求を受信したプロバイダサーバにおいて、前記外部接続要求を送信したサービス処理装置とこの外部接続要求で接続先として指定された他のプロバイダ通信網との外部接続が可能か否かを前記サービス処理装置情報に基づいて判定する接続可否判定手順を実行し、この接続可否判定手順で前記サービス処理装置と前記プロバイダ通信網との外部接続が可能と判定された場合のみ、前記認証手順および前記遠隔制御手順を行うようにしてもよい。
【0017】
また、本発明のデータ通信網接続制御方法の1構成例は、前記論理コネクション設定手順を行う前に、前記ユーザ要求で接続先として指定されたプロバイダ通信網のユーザ収容ノードと前記ユーザ要求を受信したサービス処理装置との間で通信路設定用の接続認証情報を送受信する接続認証手順(図7のS103)と、前記接続先として指定されたプロバイダ通信網のユーザ収容ノードにおいて、前記ユーザ要求を受信したサービス処理装置が認証された場合のみ、このユーザ収容ノードと前記認証されたサービス処理装置との間のアクセス網に通信路を設定する通信路設定手順(図7のS104)と、前記接続認証を行ったユーザ収容ノードから同じプロバイダ通信網のプロバイダサーバに対して前記認証されたサービス処理装置の接続認証情報を通知する通知手順と、前記通知を受けたプロバイダサーバにおいて前記接続認証情報に基づき、前記ユーザ要求を発したユーザの情報と前記認証されたサービス処理装置の情報とを管理する管理手順(図7のS105)とを実行するようにしてもよい。
また、本発明のデータ通信網接続制御方法の1構成例は、前記サービス処理装置を介して前記ユーザ通信網と前記複数のプロバイダ通信網間で転送されるパケットに対して付加価値サービス処理を行うためのサービス処理プログラムを、前記複数のプロバイダ通信網の各プロバイダサーバから前記論理コネクションを介して前記サービス処理装置に設定するサービス処理プログラム設定手順(図8のS116〜S118)と、前記設定されたサービス処理プログラムに従って、各プロバイダ通信網ごとにあらかじめ規定された前記付加価値サービス処理を前記サービス処理装置で行うサービス処理手順(図8のS119)とを実行するようにしてもよい。
【0018】
また、本発明のデータ通信網接続制御方法の1構成例において、前記サービス処理は、ルーチング処理、パケットフィルタリング処理、アドレス変換処理、暗号化通信処理または通信品質識別処理のうちの少なくとも1つである。
また、本発明のデータ通信網接続制御方法の1構成例において、前記サービス処理は、ポートスキャンパケットの検出処理、サービス妨害パケットの検出処理、ウィルスデータの検出処理またはHTTPにおける通信禁止URLの検出処理のうちの少なくとも1つであり、検出された有害なパケットを廃棄するようにしたものである。
また、本発明のデータ通信網接続制御方法の1構成例において、前記サービス処理は、ウェブサーバ処理、メールサーバ処理、DNSサーバ処理またはDHCPサーバ処理のうちの少なくとも1つである。
【0019】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して詳細に説明する。図1は、本発明の実施の形態となるデータ通信網の1構成例を示すブロック図である。ユーザ通信網10,20,30,40には、それぞれサービス処理装置11,21,31,41が設置されており、またそれぞれIP通信を行うユーザ端末装置12,22,32,42が接続されている。サービス処理装置11,21,31,41は、それぞれユーザ端末装置12,22,32,42に対してサービスを提供する。
【0020】
プロバイダ通信網60には、サービス処理装置を介してユーザ端末装置と接続するユーザ収容ノード61,63と情報管理を行うプロバイダサーバ65とが設置され、またプロバイダ通信網60により仮想閉域網(VPN)66,67が構築されている。プロバイダ通信網70には、ユーザ収容ノード71,73とプロバイダサーバ75とが設置されている。プロバイダ通信網80には、ユーザ収容ノード82,84とプロバイダサーバ85とが設置され、またプロバイダ通信網80により仮想閉域網86,87が構築されている。
【0021】
図2は、サービス処理装置11の1構成例を示すブロック図である。通信手段110は、ユーザ通信網10を介してユーザ端末装置12と通信する通信インターフェイス機能を有する。通信手段1165,1175は、アクセス網51を介してそれぞれユーザ収容ノード61,71と通信する通信インターフェイス機能を有する。
【0022】
接続認証手段1164,1174は、それぞれ通信手段1165,1175を通じて通信路設定用の接続認証を行う機能を有する。論理接続手段1166,1176は、それぞれ通信手段1165,1175を通じて各プロバイダサーバ毎に論理コネクションを設定する機能を有する。
【0023】
外部接続要求手段1167,1177は、それぞれ論理接続手段1166,1176が設定した論理コネクションを利用して、プロバイダサーバに対してサービス処理装置11を介した他のプロバイダ通信網との外部接続を要求する機能を有する。プログラム制御手段1163,1173は、それぞれ論理接続手段1166,1176が設定した論理コネクションを利用して、後述するサービス処理プログラムに対するプロバイダからの遠隔制御を受け付ける機能を有する。
【0024】
サービス処理手段1161,1171は、通信手段110を介してユーザ通信網10とパケットを送受信し、それぞれ通信手段1165,1175を介してプロバイダ通信網とパケットを送受信し、後述するパケット転送手段111とパケットを送受信する機能を有する。また、サービス処理手段1161,1171は、それぞれプログラム制御手段1163,1173によって設定されるサービス処理プログラム1162,1172を記憶しており、このサービス処理プログラム1162,1172にしたがって送受信パケットに付加的なサービス処理を施す。
【0025】
パケット転送手段111は、ルーチング情報112を記憶しており、このルーチング情報112を参照して受信パケットの送信先アドレスから転送方路を決定し、受信パケットを当該方路のサービス処理手段1161または1171に転送する機能を有する。プロバイダ通信網接続管理手段113は、ユーザ端末装置12からの外部接続要求を受信して、接続認証手段1164または1174に接続認証処理を要求する機能と、外部接続要求手段1167または1177に外部接続を要求する機能と、プロバイダサーバからの遠隔制御を受けて、後述するプロバイダ通信網接続手段114に接続設定を要求する機能とを有する。
【0026】
プロバイダ通信網接続手段114は、プロバイダ通信網接続管理手段113からの接続設定要求を受けて、パケット転送手段111に接続設定を行う機能を有する。サーバ転送手段115は、論理接続手段1166,1176を介してプロバイダサーバと送受信するプロバイダサーバ間のパケット(認証情報)を転送する機能を有する。なお、図2の例では、サービス処理装置11の構成のみについて説明したが、サービス処理装置21,31,41についても同様の構成となっている。
【0027】
図3は、プロバイダサーバ65の1構成例を示すブロック図である。ユーザ管理手段650は、ユーザ情報やユーザへのサービス提供状況を管理して、ユーザへの課金などに使用される情報をプロバイダサーバ65の他の構成に提供する機能を有する。通信手段651は、プロバイダ通信網60とパケットを送受信するインターフェース機能を有する。論理接続手段652は、あらかじめ規定された通信手順で、サービス処理装置の論理接続手段1166または1176と論理コネクションを設定する機能を有する。
【0028】
遠隔制御手段653は、論理接続手段652が設定した論理コネクションを介してサービス処理装置を遠隔制御する機能を有する。認証処理手段654は、他のプロバイダ通信網に設置されたプロバイダサーバと認証を行う機能を有する。プロバイダ通信網接続制御手段655は、後述するプロバイダ通信網接続管理手段657のプロバイダ通信網接続情報に基づいて、後述するサービス処理装置管理手段656からサービス処理装置情報を取得し、サービス処理装置に対してプロバイダ通信網接続の遠隔制御を行う機能を有する。
【0029】
サービス処理装置管理手段656は、サービス処理装置の情報を管理し、ユーザ管理手段650からユーザ情報を取得して、ユーザ端末装置と接続されるサービス処理装置を特定すると共に、ユーザに対するサービス提供の状況をユーザ管理手段650に通知する機能を有する。
【0030】
プロバイダ通信網接続管理手段657は、全てのプロバイダ通信網60,70,80の情報を管理しており、プロバイダ通信網を一意に識別する識別子からプロバイダ通信網を特定し、仮想閉域網については仮想閉域網を一意に識別する仮想網識別子と仮想網管理手段659で管理されている仮想閉域網の情報とにより仮想閉域網を特定し、またユーザ管理手段650からユーザごとのプロバイダ接続情報を取得して、プロバイダ通信網接続制御手段655の遠隔制御を要求する機能を有する。
【0031】
接続制御手段658は、通信手段651を介してユーザ収容ノードから接続認証情報を取得し、プロバイダ通信網60に接続されたサービス処理装置の情報をサービス処理装置管理手段656に通知するとともに、遠隔制御不可能なサービス処理装置をプロバイダ通信網60から切断する要求をユーザ収容ノードに送信する機能を有する。仮想閉域網659は、全てのプロバイダ通信網60,70,80で構築される仮想閉域網66,67,86,87の情報を管理する機能を有する。
【0032】
プログラム管理手段6511は、プロバイダ通信網60であらかじめ規定された付加価値サービス処理をサービス処理装置で実行させるためのサービス処理プログラムを管理する機能を有する。プログラム制御手段6510は、プログラム管理手段6511で管理されるサービス処理プログラムを設定先のサービス処理装置に送信して、このサービス処理装置をサービス処理プログラムに従って作動させる遠隔制御を行う機能を有する。
【0033】
なお、プロバイダサーバ75,85についてもプロバイダサーバ65と同様の構成となっており、図4にプロバイダサーバ75の1構成例を示す。プロバイダサーバ75は、ユーザ管理手段750、通信手段751、論理接続手段752、遠隔制御手段753、認証処理手段754、プロバイダ通信網接続制御手段755、サービス処理装置管理手段756、プロバイダ通信網接続管理手段757、接続制御手段758、仮想網管理手段759、プログラム制御手段7510およびプログラム管理手段7511を有している。
【0034】
図5は、ユーザ収容ノード61の1構成例を示すブロック図である。通信手段610は、プロバイダ通信網60と通信するインターフェイス機能を有する。通信手段611,612は、アクセス網51を介してそれぞれサービス処理装置11,21と通信するインターフェイス機能を有する。
【0035】
接続認証手段613は、サービス処理装置11,21からの接続認証要求を受信して、ユーザの認証を実施し、通信手段611,612に対して通信路の設定または切断の制御を行うとともに、後述するユーザパケット転送手段616,617の転送設定を行う機能を有する。また、接続認証手段613は、後述する制御管理手段614に接続認証情報を送信し、制御管理手段614から通信路切断要求を取得する。
【0036】
制御管理手段614は、接続認証手段613の接続認証情報をプロバイダサーバ65に送信し、プロバイダサーバ65から受信した通信路切断要求を接続認証手段613に送信するとともに、通信手段610,611,612の制御を行う機能を有する。
【0037】
ユーザパケット転送手段616,617は、ユーザ通信網から通信手段611,612を介して受信したユーザパケットに対し、ユーザパケットの送信先アドレスを基に転送先ユーザ収容ノードのユーザパケット転送手段に対応する仮想網アドレスと仮想網番号とを記述したラベルを付与し、ラベルを付与したユーザパケット(仮想閉域網パケット)を仮想閉域網パケット転送手段615に送信する機能を有する。
【0038】
また、ユーザパケット転送手段616,617は、通信手段610および仮想閉域網パケット転送手段615を介して受信した仮想閉域網パケットのラベルを除去して、このラベルを除去した後のユーザパケットの送信先アドレスに基づいて、ユーザパケットを通信手段611,612および通信路を介してユーザ通信網に転送する機能を有する。
【0039】
仮想閉域網パケット転送手段615は、ユーザパケット転送手段616,617から受信した仮想閉域網パケットの仮想網アドレスに基づいて、この仮想閉域網パケットを通信手段610を介して仮想閉域網に転送し、通信手段610を介して仮想閉域網から受信した仮想閉域網パケットをユーザパケット転送手段616,617に転送する機能を有する。
【0040】
以上の構成により、ユーザ収容ノード61は、通信手段611,612が設定した通信路と仮想閉域網とを対応させ、この通信路が接続するサービス処理装置と仮想閉域網との間でパケットを転送することを可能にする。なお、図5の例では、ユーザ収容ノード61の構成のみについて説明したが、ユーザ収容ノード63,82,84についても同様の構成となっている。
【0041】
図6は、ユーザ収容ノード71の1構成例を示すブロック図である。ユーザ収容ノード71は、通信手段610,611,612、接続認証手段613、制御管理手段614と同様の通信手段710,711,712、接続認証手段713、制御管理手段714を有するとともに、パケット転送手段715を有する。ユーザ収容ノード61と異なるのは、パケット転送手段715が通信手段710,711,712から受信したユーザパケットの送信先アドレスに基づいて、このユーザパケットを転送する点である。図6の例では、ユーザ収容ノード71の構成のみについて説明したが、ユーザ収容ノード73についても同様の構成となっている。
【0042】
アクセス網51には、サービス処理装置11とユーザ収容ノード61との間に通信路516が設定され、サービス処理装置21とユーザ収容ノード61との間に通信路526が設定され、サービス処理装置21とユーザ収容ノード71との間に通信路527が設定され、アクセス網52には、サービス処理装置21とユーザ収容ノード82との間に通信路528が設定されている。
【0043】
また、アクセス網53には、サービス処理装置31とユーザ収容ノード63との間に通信路536が設定され、サービス処理装置31とユーザ収容ノード73との間に通信路537が設定され、サービス処理装置41とユーザ収容ノード73との間に通信路547が設定され、アクセス網54には、サービス処理装置41とユーザ収容ノード84との間に通信路548が設定されている。すなわち、サービス処理装置11,21,31,41の通信手段110とプロバイダサーバ65,75,85の通信手段651,751(プロバイダサーバ85の通信手段は不図示)との間に通信路が設定されている。
【0044】
これらの通信路としては、例えば専用線、ATM(Asynchronous Transfer Mode)のVC(Virtual Channel )、PPPoE(Point to Point Protocol over Ethernet(登録商標) )、802.1Qなどを用いることができる。ユーザ収容ノード61においては、通信路516と仮想閉域網66とが対応している。ここで、ユーザ端末装置12,22,32,42には、それぞれIPアドレスP−1,P−2,P−3,G−4が割り当てられているものとする。
【0045】
以上のデータ通信網において、本実施の形態のデータ通信網接続制御方法を説明する。図7、図8は本実施の形態のデータ通信網の動作を示すフローチャートである。まず、サービス処理装置11とプロバイダ通信網60との間には、通信路516が既に設定され、サービス処理装置11とプロバイダ通信網70との間には通信路は設定されていない。プロバイダサーバ65の論理接続手段652は、サービス処理装置管理子設656で管理されるサービス処理装置11の情報に基づきサービス処理装置11の論理接続手段1166との間で、通信手段651,プロバイダ通信網60、ユーザ収容ノード61および通信路516を介して論理コネクション916を設定する(図7ステップS101)。
【0046】
この論理コネクション916の設定は、あらかじめ規定された通信手順に従って行われる。例えば、通信手順IKE(Internet Key Exchange )を用いて、論理コネクションのIPsec(IPSecurity)を設定することができる。図9は論理コネクション916が設定されたネットワーク構成を示す図である。
【0047】
次に、ユーザは、ユーザ端末装置12からHTTP(HyperText Transfer Protocol )等を用いてサービス処理装置11のプロバイダ通信網接続管理手段113に対しプロバイダ通信網70との接続を要求する(ステップS102)。ユーザ端末装置12からの接続要求を受信したプロバイダ通信網接続管理手段113は、サービス処理装置11の接続認証手段1174にプロバイダ通信網70との接続認証処理を要求する。
【0048】
プロバイダ通信網接続管理手段113からの接続認証処理要求を受信した接続認証手段1174は、プロバイダ通信網70のユーザ収容ノード71とサービス処理装置11との間に通信路が未設定のため、ユーザ収容ノード71の接続認証手段713との間でサービス処理装置11の通信手段1175およびユーザ収容ノード71の通信手段711を介して認証情報を交換する(ステップS103)。
【0049】
ユーザ収容ノード71の接続認証手段713によってサービス処理装置11が認証された場合、サービス処理装置11の通信手段1175とユーザ収容ノード71の通信手段711とは、双方の間に通信路517を設定する(ステップS104)。認証および通信路の設定の手順は、PPP(Point to Point Protocol )などの手順を用いることができる。図10は通信路517が設定されたネットワーク構成を示す図である。
【0050】
通信路517が設定された場合、ユーザ収容ノード71の制御管理手段614は、プロバイダサーバ75に対して、サービス処理装置11の接続認証情報を通知する。プロバイダサーバ75は、接続認証情報を接続制御手段758で受信した後、サービス処理装置11の情報をサービス処理装置管理手段756で管理し、サービス処理装置11を用いるユーザ端末装置12のユーザ情報をユーザ管理手段750で管理する(ステップS105)。サービス処理装置情報とユーザ情報とは、受信した接続認証情報から得ることができる。
【0051】
こうして、プロバイダサーバ75は、プロバイダ通信網70に対して動的に接続するユーザ通信網10についても、その接続認証情報からユーザとサービス処理装置11とを特定することが可能となり、ユーザごとにサービスを提供可能になる。
【0052】
次に、プロバイダサーバ75の論理接続手段752は、サービス処理装置管理手段756によって管理されるサービス処理装置11の情報がステップS105で更新された後、このサービス処理装置11の情報に基づきサービス処理装置11の論理接続手段1176に、通信手段751、プロバイダ通信網70、ユーザ収容ノード71および通信路517を介して論理コネクション917の設定を要求する(ステップS106)。この論理コネクション917の設定は、あらかじめ規定された通信手順に従って行われる。
【0053】
サービス処理装置11の論理接続手段1176がこの通信手順に従わない場合(ステップS107においてNO)、プロバイダサーバ75の接続制御手段758は、ユーザ収容ノード71の制御管理手段714に対してサービス処理装置11の切断要求を送信する。ユーザ収容ノード71の制御管理手段714は、この切断要求で指定されたサービス処理装置11を収容する通信手段の情報を接続認証手段713から取得して、サービス処理装置11を収容する通信手段が711であることを認識すると、この通信手段711の通信路517を切断する(ステップS108)。
【0054】
こうして、プロバイダサーバ75は、あらかじめ規定された通信手順にサービス処理装置11が従わない場合、接続制御サービスを提供することができない、すなわち論理コネクションを設定することができないサービス処理装置11をプロバイダ通信網70から切断し、不正な接続を防止して、サービスの信頼性を確保することが可能となる。
【0055】
一方、サービス処理装置11の論理接続手段1176が通信手順に従う場合(ステップS107においてYES)、プロバイダサーバ75の論理接続手段752とサービス処理装置11の論理接続手段1176との間に論理コネクション917が設定される(ステップS109)。図11は、論理コネクション917を含め、全ての通信路に対して論理コネクション916,917,927,928,936,937,947,948が設定されたネットワーク構成を示す図である。
【0056】
続いて、サービス処理装置11の外部接続要求手段1167は、論理コネクション916を利用して、プロバイダサーバ65においてあらかじめ規定されたHTTPなどの通信手順に従って、プロバイダサーバ65に対しプロバイダ通信網70との外部接続要求を送信する(ステップS110)。プロバイダ通信網70を指定する識別子には、例えば、AS番号(IETF RFC1930)またはプロパイダのドメインネームなどを用いることができる。
【0057】
プロバイダサーバ65のプロバイダ通信網接続制御手段655は、サービス処理装置11からの外部接続要求を受信すると、この外部接続要求に含まれる識別子をプロバイダ通信網接続管理手段657に渡す。プロバイダ通信網接続管理手段657は、この識別子によりプロバイダ通信網70を特定する。
【0058】
続いて、プロバイダサーバ65のプロバイダ通信網接続制御手段655は、サービス処理装置管理手段656のサービス処理装置情報を参照して、外部接続要求を発したサービス処理装置11が接続可能なプロバイダ通信網を調査する。プロバイダ通信網接続管理手段657によって特定されたプロバイダ通信網70が、サービス処理装置11が接続可能なプロバイダ通信網としてサービス処理装置管理手段656に登録されていれば、サービス処理装置11は、プロバイダ通信網70との接続が許可される。
【0059】
サービス処理装置11とプロバイダ通信網70との接続が許可された場合、プロバイダサーバ65のプロバイダ通信網接続管理手段657は、プロバイダ通信網70のプロバイダサーバ75の情報を参照する。このプロバイダサーバ75の情報に基づいて、プロバイダサーバ65の認証処理手段654は、認証要求とプロバイダサーバ65の認証情報とを、プロバイダサーバ75を送信先に指定してサービス処理装置11に送出する。
【0060】
サービス処理装置11は、プロバイダサーバ65からの認証要求と認証情報とを論理接続手段1166を介してサーバ転送手段115で受信した後、この認証要求と認証情報とを論理接続手段1176を介して送信先のプロバイダサーバ75に転送する。論理接続手段752を介して認証要求と認証情報とを受信したプロバイダサーバ75の認証処理手段754は、受信した認証情報に応じて返信すべきプロバイダサーバ75の認証情報を、プロバイダサーバ65を送信先に指定してサービス処理装置11に送出する。
【0061】
サービス処理装置11は、プロバイダサーバ75からの認証情報を論理接続手段1176を介してサーバ転送手段115で受信した後、この認証情報を論理接続手段1166を介して送信先のプロバイダサーバ65に転送する。プロバイダサーバ65の認証処理手段654は、論理接続手段652を介して認証情報を受信する。こうして、プロバイダサーバ65とプロバイダサーバ75との間で認証情報が送受信され、プロパイダサーバ75の認証処理手段754がプロバイダサーバ65を認証する(ステップS111)。この認証には、一般的な公開鍵暗号のデジタル認証を用いることができる。
【0062】
次に、サービス処理装置11の外部接続要求手段1177は、論理コネクション917を利用して、プロバイダサーバ75に対しプロバイダ通信網60の仮想閉域網66との外部接続要求を送信する(ステップS112)。この接続要求には、仮想閉域網66を一意に識別する仮想網識別子を用いる。仮想網識別子には、例えば仮想閉域網66を利用するユーザによって予め登録されたドメインネームなどを用いることができる。
【0063】
プロバイダサーバ75のプロバイダ通信網接続制御手段755は、サービス処理装置11からの外部接続要求を受信すると、この外部接続要求に含まれる仮想網識別子をプロバイダ通信網接続管理手段757に渡す。プロバイダ通信網接続管理手段757は、この仮想網識別子と仮想網管理手段759で管理されている仮想閉域網の情報とにより、仮想閉域網66が構成されているプロパイダ網60を特定する。
【0064】
続いて、プロバイダサーバ75のプロバイダ通信網接続制御手段755は、サービス処理装置管理手段756のサービス処理装置情報を参照して、外部接続要求を発したサービス処理装置11が接続可能なプロバイダ通信網を調査する。プロバイダ通信網接続管理手段757によって特定されたプロバイダ通信網60が、サービス処理装置11が接続可能なプロバイダ通信網としてサービス処理装置管理手段756に登録されていれば、サービス処理装置11は、プロバイダ通信網60との接続が許可される。
【0065】
サービス処理装置11とプロバイダ通信網60との接続が許可された場合、プロバイダサーバ75のプロバイダ通信網接続管理手段757は、プロバイダ通信網60のプロバイダサーバ65の情報を参照する。このプロバイダサーバ65の情報に基づいて、プロバイダサーバ75の認証処理手段754は、認証要求とプロバイダサーバ75の認証情報とを、プロバイダサーバ65を送信先に指定してサービス処理装置11に送出する。
【0066】
サービス処理装置11は、プロバイダサーバ75からの認証要求と認証情報とを論理接続手段1176を介してサーバ転送手段115で受信した後、この認証要求と認証情報とを論理接続手段1166を介して送信先のプロバイダサーバ65に転送する。論理接続手段652を介して認証要求と認証情報とを受信したプロバイダサーバ65の認証処理手段654は、受信した認証情報に応じて返信すべきプロバイダサーバ65の認証情報を、プロバイダサーバ75を送信先に指定してサービス処理装置11に送出する。
【0067】
サービス処理装置11は、プロバイダサーバ65からの認証情報を論理接続手段1166を介してサーバ転送手段115で受信した後、この認証情報を論理接続手段1176を介して送信先のプロバイダサーバ75に転送する。プロバイダサーバ75の認証処理手段754は、論理接続手段752を介して認証情報を受信する。こうして、プロバイダサーバ75とプロバイダサーバ65との間で認証情報が送受信され、プロパイダサーバ65の認証処理手段654がプロバイダサーバ75を認証する(ステップS113)。
【0068】
プロバイダサーバ65とプロバイダサーバ75との間において相互に認証が成立した後、プロバイダサーバ65のプロバイダ通信網接続制御手段655は、サービス処理装置11のプロバイダ通信網接続管理手段113に接続要求を送信し、同様にプロバイダサーバ75のプロバイダ通信網接続制御手段755は、サービス処理装置11のプロバイダ通信網接続管理手段113に接続要求を送信する(ステップS114)。
【0069】
サービス処理装置11のプロバイダ通信網接続管理手段113は、プロバイダサーバ65,75からの遠隔制御を受けて、プロバイダ通信網接続手段114に接続設定を要求する。プロバイダ通信網接続手段114は、プロバイダ通信網接続管理手段113からの接続設定要求を受けて、パケット転送手段111のルーチング情報112を設定する(ステップS115)。
【0070】
こうして、プロバイダサーバ65およびプロバイダサーバ75から遠隔制御することにより、サービス処理手段1161とサービス処理手段1171とを接続するルーチング情報が設定され、プロバイダ通信網60とプロバイダ通信網70との接続およびユーザ通信網10とプロバイダ通信網70との接続が制御される。また、サービス処理装置11は、プロバイダ通信網接続情報をプロバイダ通信網接続管理手段113で管理する。
【0071】
以上の動作により、本実施の形態では、プロバイダサーバ65およびプロバイダサーバ75がサービス処理装置11と接続するプロバイダ通信網70および60を特定し、ユーザ通信網10とプロバイダ通信網60およびプロバイダ通信網70との接続関係を制御し、管理するサービスをユーザに提供することが可能となる。そのため、ユーザのプロバイダ接続管理コストを増大させることなく、ユーザと複数のプロバイダ通信網との接続性を提供し、かつ通信経路の短縮化を図ることが可能となる。
【0072】
また、プロバイダ通信網間で認証が成立しない場合は、サービス処理装置におけるプロバイダ通信網接続の遠隔制御が行われないため、不正に接続しようとするプロバイダ通信網を排除することが可能となる。また、プロバイダ通信網が仮想閉域網を構成している場合においても、ユーザは接続先の仮想閉域網の識別子を指定して、この仮想閉域網との接続を要求すればよい。プロバイダサーバが、サービス処理装置ごとに接続先のプロバイダ通信網との接続の許可、拒絶を管理するため、プロバイダは、サービス処理装置が接続するユーザ通信網ごとにサービスの提供・管理が可能になる。
【0073】
次に、サービス処理装置11とプロバイダサーバ65,75との間に論理コネクション916,917が設定されている状態において、ユーザは、ユーザ端末装置12からHTTP等を用いてサービス処理装置11のサービス処理管理手段116に、転送データに対する付加価値サービスを要求する(ステップS116)。
【0074】
ユーザ端末装置12からの要求を受信したサービス処理装置11のサービス処理管理手段116は、プログラム制御手段1163,1173に付加価値サービスの設定を要求する。プログラム制御手段1163,1173は、それぞれ論理接続手段1166,1176(論理コネクション916,917)を介してプロバイダサーバ65,75に付加価値サービス設定要求を送信する(ステップS117)。それぞれの付加価値サービス設定要求の通信は、送信先のプロバイダサーバ65,75ごとにあらかじめ規定された手順を用いる。この手順としては、例えばCOPS(Common Open Policy Service)を用いることができる。
【0075】
プロバイダサーバ65は、サービス処理装置11からの付加価値サービス設定要求をプログラム制御手段6510で受信する。プログラム制御手段6510は、サービス処理装置管理手段656で管理されるサービス処理装置11の情報を参照して、この情報を基にサービス処理装置11の付加価値サービスに必要なサービス処理プログラム1162をプログラム管理手段6511から取得する。そして、プログラム制御手段6510は、取得したサービス処理プログラム1162とその設定とをサービス処理装置11のプログラム制御手段1163に送信し、サービス処理手段1161をサービス処理プログラム1162に従って作動させる遠隔制御を行う(ステップS118)。
【0076】
また、プロバイダサーバ65は、サービス処理装置管理手段656のサービス処理装置情報を更新するとともに、サービスプログラム遠隔制御情報をユーザ管理手段650で管理する。サービス処理装置11のプログラム制御手段1163は、受信したサービス処理プログラム1162をサービス処理手段1161に設定し、サービス処理手段1161は、設定されたサービス処理プログラム1162に従って転送データに対する付加価値サービスを提供する(ステップS119)。
【0077】
同様に、サービス処理装置11からの付加価値サービス設定要求を受信したプロバイダサーバ75のプログラム制御手段7510は、サービス処理装置11の付加価値サービスに必要なサービス処理プログラム1172をプログラム管理手段7511から取得し、このサービス処理プログラム1172をサービス処理装置11に送信する(ステップS118)。サービス処理装置11のプログラム制御手段1173は、受信したサービス処理プログラム1172をサービス処理手段1171に設定し、サービス処理手段1171は、サービス処理プログラム1172に従って転送データに対する付加価値サービスを提供する(ステップS119)。
【0078】
以上の動作により、サービス処理装置11と接続するプロバイダサーバ65,75からそれぞれ独立にサービス処理プログラムを設定し、ユーザに対する付加価値サービス提供情報を管理することが可能である。
ここで、サービス処理装置11が提供する付加価値サービスとしては、例えば、VPN−インターネット通信サービス、ファイアウォールサービス、IP通信サーバサービスがある。以下では、それぞれのサービスについて説明する。
【0079】
VPN−インターネット通信サービスとは、ルーチング処理、パケットフィルタリング処理、アドレス変換処理、暗号化通信処理および通信品質識別処理によって、仮想閉域網とインターネットとの間の通信を実現するサービスである。ユーザがVPN−インターネット通信サービスを要求した場合に、プロバイダサーバ65からサービス処理装置11のサービス処理手段1161に送信され、サービス処理プログラム1162として設定される遠隔制御情報の概要を図12に示す。
【0080】
図12に示すルーチング処理11621は、IPパケットの送信先アドレスを参照して、IPパケットを適切な方路に送信する処理を実現するプログラムであり、ルーチングテーブルはその方路を決定するためのルーチング情報が設定されたテーブルである。
【0081】
フィルタリング処理11622は、IPパケットのヘッダおよびペイロードを参照して、IPパケットを転送または廃棄する処理を実現するプログラムであり、フィルタリングテーブルはその動作を決定するフィルタリング情報が設定されたテーブルである。
【0082】
アドレス変換処理11623は、IPパケットの送信先アドレス、送信元アドレスおよびペイロードに含まれる上位プロトコルのプロトコル番号の変換を行う処理を実現するプログラムであり、アドレス変換テーブルはその変換規則を記述したアドレス変換情報が設定されたテーブルである。
【0083】
図12のルーチング情報によれば、送信先IPアドレスが「P−x」(xは任意の値)のパケットは出力リンク「1165」、すなわち通信手段1165に出力され、送信先IPアドレスが「P−1」のパケットは出力リンク「110」、すなわち通信手段110に出力される。一方、フィルタリング情報によれば、送信先IPアドレスが「P−x」、送信元IPアドレスが「P−1」のパケット、および送信先IPアドレスが「P−1」、送信元IPアドレスが「P−x」のパケットについては、プロトコル、送信先ポートおよび送信元ポートが「*」(*は任意の値)に設定されているので、プロトコル、送信先ポートおよび送信元ポートの如何に拘わらず全て転送が許可される。したがって、ユーザ通信網10とプロバイダ通信網60との間では、双方向に全てのパケットが転送される。
【0084】
一方、送信先IPアドレスが「G−x」、送信元IPアドレスが「P−x」のパケットについては、フィルタリング情報で送信先ポートが「80」に設定されているので、ユーザ通信網10からプロバイダ通信網70に対してTCPプロトコルを用いた送信先ポート80番のパケットのみが転送される。
【0085】
また、送信先IPアドレスが「P−x」、送信元IPアドレスが「G−x」のパケットについては、フィルタリング情報で送信元ポートが「80」に設定されているので、プロバイダ通信網70からユーザ通信網10に対してTCPプロトコルを用いた送信元ポート80番のパケットのみが転送される。そして、フィルタリング情報により「転送」が許可されているパケット以外は全て廃棄されるので、プロバイダ通信網60とプロバイダ通信網70との間では、双方向の全てのパケットが廃棄される。
【0086】
その結果、ユーザ端末装置12から送信先IPアドレスを「P−3」として送信されたパケットは、ユーザ通信網10、サービス処理装置11、通信路516、ユーザ収容ノード61、仮想閉域網66、ユーザ収容ノード63、通信路536、サービス処理装置31およびユーザ通信網30を経由してユーザ端末装置32によって受信される。一方、ユーザ端末装置32から送信先IPアドレスを「P−1」として送信されたパケットは、その逆の経路をたどってユーザ端末装置12によって受信される。
【0087】
また、ユーザ端末装置12から送信先IPアドレスを「G−3」とし、TCPプロトコルを用いて送信先ポート80番として送信されたパケットは、ユーザ通信網10を経由しサービス処理装置11のサービス処理手段1161で受信され、アドレス変換情報により送信元IPアドレスが「P−1」から「G−5」に変換され、パケット転送手段111、パケット処理手段1171を経由して、通信経路517、ユーザ収容ノード71、プロバイダ通信網70、ユーザ収容ノード73、通信路547およびサービス処理装置41を経由してユーザ端末装置42によって受信される。一方、ユーザ端末装置42から送信先IPアドレスを「G−5」とし、TCPプロトコルを用いて送信元ポート80番として送信されたパケットは、逆の経路をたどってサービス処理手段1161で送信先IPアドレスが「P−1」に変換され、ユーザ端末装置12によって受信される。
【0088】
しかし、ユーザ端末装置42から送信先IPアドレスを「G−5」とし、TCPプロトコルを用いて送信先ポート21番として送信されたパケットは、ユーザ通信網10を経由しサービス処理装置11のサービス処理手段1161で受信されるが、フィルタリング情報で転送が許可されたパケットでないために廃棄される。
【0089】
これらの動作により、ユーザ通信網10を仮想閉域網66の一部として接続し、ユーザ通信網10に対して特定の通信のみプロバイダ通信網70と通信を可能とするVPN−インターネット通信サービスを提供可能となる。
【0090】
また、ファイアウォールサービスとは、ポートスキャンパケットの検出処理、サービス妨害パケットの検出処理、ウィルスデータの検出処理およびHTTPにおける通信禁止URL(Uniform Resource Locators )の検出処理によって許可されたIP通信に対し、さらに通信内容と通信状態の検出を行い、有害な通信を排除するサービスである。
【0091】
ポートスキャンパケットの検出処理は、通信可能な状態のポートを探すために網羅的に各ポートに送信される不正なパケットであるポートスキャンパケットを、常にポートを監視することで検出する処理である。サービス妨害パケットの検出処理は、特定のポートに不正な大量のパケットを送信することにより通信機器や端末の処理負荷を増大させるサービス妨害パケットを、常にポートを監視することで検出する処理である。
【0092】
ウィルスデータの検出処理は、転送する電子メールのパケットにウィルスデータが付加されていないかどうかを検出するために、電子メールのパケットかどうかを識別し、電子メールのパケットである場合は、当該電子メールを構成する全てのパケットの通信データを検査する処理である。
【0093】
HTTPにおける通信禁止URLの検出処理は、ユーザによる有害なウェブサイトの閲覧を防止するために、転送するHTTPのGET要求を検査するものであり、パケットがHTTP通信のパケットかどうかを識別し、HTTPパケットである場合は、HTTPパケットから要求URLを抽出して、この要求URLが通信禁止URLテーブルに登録された通信禁止URLかどうかを検査する処理である。
【0094】
また、IP通信サーバサービスは、プロバイダ通信網で用意されたIP通信サーバで提供する、ウェブサーバ処理、メールサーバ処理、DNS(Domain Name System)サーバ処理およびDHCP(Dynamic Host Configuration Protocol )サーバ処理の各処理を、このプロバイダ通信網に接続されるサービス処理装置で行うサービスである。
【0095】
サービス処理装置11がプロバイダ通信網60,70に接続された場合、IP通信サーバサービスをサービス処理装置11で行うことで、ユーザ端末装置12がプロバイダ通信網60,70においてそれぞれ用意された各種IP通信サーバと通信することなく、サービス処理装置11とのみ通信するため、ユーザの利便性を向上させることが可能となる。
【0096】
【発明の効果】
本発明によれば、データ通信網システムにおいて、論理コネクション設定手順、外部接続要求手順、認証手順、遠隔制御手順およびプロバイダ通信網接続管理手順を実行するようにしたことにより、相互接続していない複数のプロバイダ通信網が、相互に接続情報のみを管理し、ユーザが複数のプロバイダ通信網に接続した場合もユーザの接続するプロバイダ通信網を認証して特定し、プロバイダがサービスとして管理可能なデータ通信網構成となる。また、サービス処理装置を介してプロバイダサーバ間で認証を行い、プロバイダ間で信頼性を確保したプロバイダの特定を行うことが可能となり、プロバイダサーバが、ユーザの接続するプロバイダ通信網を管理した上で、サービス処理装置における複数プロバイダヘの接続制御を実施することが可能となる。その結果、本発明によれば、ユーザに対して、接続性の向上、通信経路の短縮化、通信品質の向上を提供できるようになる。その理由は、論理閉域網を構成するプロバイダ通信網、インターネット接続サービスプロバイダ通信網など、複数のプロバイダ通信網に設置された、それぞれのプロバイダサーバ間で、認証してプロバイダ通信網を特定し、ユーザ情報に応じてユーザ通信網に設置されたサービス処理装置に対して複数のプロバイダ通信網への接続の制御を行うことで、相互接続されていないプロバイダ通信網との通信を提供することができ、相互接続されているプロバイダ通信網の相互接続装置を経由することによる経路の冗長化とトラフィックの集中を回避できるからである。また、認証情報を用いた接続制御とプロバイダサーバの連携により、プロバイダ通信網へのオンデマンドな接続においても複数プロバイダ通信網への接続が制御できるからである。また、本発明によれば、ユーザ通信網の複数プロバイダ接続時の操作性、管理の容易性を向上させることができる。その理由は、ユーザがサービス処理装置に要求を行うだけで、サービス処理装置と複数のプロバイダサーバ間、および複数のプロバイダサーバ間において、プロバイダサーバごとに規定された論理コネクションを介して連携し、ユーザごとにプロバイダサーバでサービス制御を管理できるからである。
【0097】
また、外部接続要求手順では、他のプロバイダ通信網のユーザ収容ノード間に論理的に隔絶された複数の仮想閉域網が構築されている場合、ユーザ要求で接続先として指定された仮想閉域網を識別する仮想網識別子を用いて、この指定された仮想閉域網との外部接続を要求し、認証手順では、外部接続要求を受信したプロバイダサーバにおいて、この外部接続要求で接続先として指定された他のプロバイダ通信網を仮想網識別子に基づいて特定するようにしたことにより、VPNを提供するプロバイダにおいて、ユーザは仮想網識別子だけを指定して接続することで、接続先のプロバイダは、自らがサービスを提供しない外部のVPNを識別して接続制御を実施することが可能となる。
【0098】
また、論理コネクション設定手順を行う前に、ユーザ要求で接続先として指定されたプロバイダ通信網のプロバイダサーバにおいて、ユーザ要求を受信したサービス処理装置が予め規定された通信手順に従うか否かを判定する通信判定手順を実行し、サービス処理装置が通信手順に従わないと判定された場合、論理コネクション設定手順を実行せずに、判定を行ったプロバイダサーバから同じプロバイダ通信網内のユーザ収容ノードに切断要求を送信して、このユーザ収容ノードとユーザ要求を受信したサービス処理装置との間の通信路を切断させるようにしたことにより、プロバイダサーバが遠隔制御・管理するための通信手順に従わず、サービスの制御・管理が不可能なサービス処理装置が存在した場合、ユーザ収容ノードが当該サービス処理装置との接続を切断し、サービスの提供を中止することが可能となる。その結果、本発明によれば、複数のプロバイダがそれぞれ提供するVPN−インターネット通信サービスなどの種々の付加価値サービスをユーザごとに安全に提供することができる。その理由は、プロバイダサーバは、ユーザ収容ノードの接続制御と連携し、サービス制御に対応していないサービス処理装置を排除し、全ユーザのサービス処理装置に対するサービス提供情報を管理しながら、ユーザ個別の各種付加価値サービスのためのサービス処理プログラムを遠隔制御できるからである。
【0099】
また、サービス処理装置情報を複数のプロバイダ通信網の各プロバイダサーバで管理し、認証手順を行う前に、外部接続要求を受信したプロバイダサーバにおいて、外部接続要求を送信したサービス処理装置とこの外部接続要求で接続先として指定された他のプロバイダ通信網との外部接続が可能か否かをサービス処理装置情報に基づいて判定する接続可否判定手順を実行し、この接続可否判定手順でサービス処理装置とプロバイダ通信網との外部接続が可能と判定された場合のみ、認証手順および遠隔制御手順を行うようにしたことにより、サービス処理装置が接続するユーザ通信網ごとに他のプロバイダ通信網との外部接続の許可あるいは拒絶を制御・管理することが可能となる。
【0100】
また、論理コネクション設定手順を行う前に、ユーザ要求で接続先として指定されたプロバイダ通信網のユーザ収容ノードとユーザ要求を受信したサービス処理装置との間で通信路設定用の接続認証情報を送受信する接続認証手順と、接続先として指定されたプロバイダ通信網のユーザ収容ノードにおいて、ユーザ要求を受信したサービス処理装置が認証された場合のみ、このユーザ収容ノードと認証されたサービス処理装置との間のアクセス網に通信路を設定する通信路設定手順と、接続認証を行ったユーザ収容ノードから同じプロバイダ通信網のプロバイダサーバに対して認証されたサービス処理装置の接続認証情報を通知する通知手順と、通知を受けたプロバイダサーバにおいて接続認証情報に基づき、ユーザ要求を発したユーザの情報と認証されたサービス処理装置の情報とを管理する管理手順とを実行するようにしたことにより、認証によるプロバイダ通信網接続を可能とし、認証時のユーザ情報をもとにユーザごとに接続制御・管理を実施可能となる。
【0101】
また、サービス処理装置を介してユーザ通信網と複数のプロバイダ通信網間で転送されるパケットに対して付加価値サービス処理を行うためのサービス処理プログラムを、複数のプロバイダ通信網の各プロバイダサーバから論理コネクションを介してサービス処理装置に設定するサービス処理プログラム設定手順と、設定されたサービス処理プログラムに従って、各プロバイダ通信網ごとにあらかじめ規定された付加価値サービス処理をサービス処理装置で行うサービス処理手順とを実行するようにしたことにより、ユーザに対して提供する付加価値サービスの処理をユーザ通信網のサービス処理装置で実施し、ユーザが接続する他のプロバイダ通信網を識別した上で、他のプロバイダ通信網との間の通信に対して付加価値サービスを提供することが可能となる。
【0102】
また、サービス処理を、ルーチング処理、パケットフィルタリング処理、アドレス変換処理、暗号化通信処理または通信品質識別処理のうちの少なくとも1つとすることにより、VPNプロバイダ通信網との接続において他のVPNプロバイダ通信網のVPN間通信に対するIPパケットレベルの転送制御を行い、制限を設けてVPN間の通信を行うエクストラネットサービスのセキュリティ制御をプロバイダが管理しサービスとして提供することが可能となる。
【0103】
また、サービス処理を、ポートスキャンパケットの検出処理、サービス妨害パケットの検出処理、ウィルスデータの検出処理またはHTTPにおける通信禁止URLの検出処理のうちの少なくとも1つとすることにより、不正なあるいは禁止された通信を防止することが可能となる。特に、VPN間通信やインターネットとの通信などにおいて、このサービス処理は有効である。
【0104】
また、サービス処理を、ウェブサーバ処理、メールサーバ処理、DNSサーバ処理またはDHCPサーバ処理のうちの少なくとも1つとすることにより、ユーザ用の各種サーバ機能をユーザ通信網内のサービス処理装置に統一化することができる。
【図面の簡単な説明】
【図1】 本発明の実施の形態となるデータ通信網の1構成例を示すブロック図である。
【図2】 本発明の実施の形態におけるサービス処理装置の1構成例を示すブロック図である。
【図3】 本発明の実施の形態におけるプロバイダサーバの1構成例を示すブロック図である。
【図4】 本発明の実施の形態における他のプロバイダサーバの1構成例を示すブロック図である。
【図5】 本発明の実施の形態におけるユーザ収容ノードの1構成例を示すブロック図である。
【図6】 本発明の実施の形態における他のユーザ収容ノードの1構成例を示すブロック図である。
【図7】 本発明の実施の形態のデータ通信網の動作を示すフローチャートである。
【図8】 本発明の実施の形態のデータ通信網の動作を示すフローチャートである。
【図9】 本発明の実施の形態において論理コネクションが設定されたネットワーク構成を示す図である。
【図10】 本発明の実施の形態において通信路が設定されたネットワーク構成を示す図である。
【図11】 本発明の実施の形態において論理コネクションが設定されたネットワーク構成を示す図である。
【図12】 本発明の実施の形態におけるサービス処理プログラムの概要を示す図である。
【符号の説明】
10,20,30,40…ユーザ通信網、11,21,31,41…サービス処理装置、12,22,32,42…ユーザ端末装置、51,52,53,54…アクセス網、61,63,71,73,82,84…ユーザ収容ノード、60,70,80…プロバイダ通信網、65,75,85…プロバイダサーバ、66,67,86,87…仮想閉域網、516,517,527,528,536,537,547,548…通信路,916,917,926,928,936,937,947,948…論理コネクション。

Claims (10)

  1. ユーザ端末装置に対してサービスを提供するサービス処理装置を備えたユーザ通信網と、前記サービス処理装置を介して前記ユーザ端末装置と接続するユーザ収容ノード、および情報管理を行うプロバイダサーバを備えたプロバイダ通信網と、前記サービス処理装置と前記ユーザ収容ノードとを接続するアクセス網とを有するデータ通信網システムにおいて、
    前記サービス処理装置は、
    前記ユーザ通信網あるいは前記プロバイダ通信網から受信したパケットをルーチング情報に基づいて送信先の通信網に転送するパケット転送手段と、
    前記プロバイダ通信網のユーザ収容ノードとの間に通信路が設定されたとき、このプロバイダ通信網に設けられたプロバイダサーバとの間に論理コネクションを設定する第1の論理接続手段と、
    前記論理コネクションが設定されたプロバイダ通信網との接続を求めるユーザ要求を前記ユーザ通信網に収容されたユーザ端末装置から受信したとき、前記論理コネクションが設定された複数のプロバイダ通信網の各プロバイダサーバに、前記ユーザ要求で接続先として指定された他のプロバイダ通信網との外部接続要求を前記論理コネクションを介して送信する外部接続要求手段と、
    前記外部接続要求を受信したプロバイダサーバから送信される認証情報を前記他のプロバイダ通信網のプロバイダサーバに転送するサーバ転送手段と、
    前記プロバイダサーバによる制御に応じて、自装置を介した前記複数のプロバイダ通信網間あるいは自装置を介した前記ユーザ通信網と前記プロバイダ通信網間のデータ転送のための前記ルーチング情報を前記パケット転送手段に設定するプロバイダ通信網接続手段とを備え、
    前記プロバイダサーバは、
    前記サービス処理装置との間に前記論理コネクションを設定する第2の論理接続手段と、
    前記外部接続要求に応じて前記他のプロバイダ通信網のプロバイダサーバとの間で前記サービス処理装置を介して認証情報を送受信する認証処理手段と、
    前記複数のプロバイダ通信網間で認証が成立した後に、前記ルーチング情報の設定を遠隔制御するプロバイダ通信網接続制御手段と、
    前記サービス処理装置を介して接続された前記他のプロバイダ通信網との接続情報を管理するプロバイダ通信網接続管理手段とを備えることを特徴とするデータ通信網システム。
  2. ユーザ端末装置に対してサービスを提供するサービス処理装置を備えたユーザ通信網と、前記サービス処理装置を介して前記ユーザ端末装置と接続するユーザ収容ノードおよび情報管理を行うプロバイダサーバを備えたプロバイダ通信網と、前記サービス処理装置と前記ユーザ収容ノードとを接続するアクセス網とを有するデータ通信網システムにおいて、各ユーザ通信網の間あるいはユーザ通信網とプロバイダ通信網との間でデータを転送するデータ通信網接続制御方法において、
    前記ユーザ通信網のサービス処理装置と前記プロバイダ通信網のユーザ収容ノードとの間に通信路が設定されたとき、このプロバイダ通信網に設けられたプロバイダサーバと前記サービス処理装置との間に論理コネクションを設定する論理コネクション設定手順と、
    前記ユーザ通信網のサービス処理装置において前記論理コネクションが設定されたプロバイダ通信網との接続を求めるユーザ要求をこのユーザ通信網に収容されたユーザ端末装置から受信したとき、前記論理コネクションが設定された複数のプロバイダ通信網の各プロバイダサーバに、前記ユーザ要求で接続先として指定された他のプロバイダ通信網との外部接続要求を前記サービス処理装置から前記論理コネクションを介して送信する外部接続要求手順と、
    前記外部接続要求に応じて前記複数のプロバイダ通信網の各プロバイダサーバ間で前記サービス処理装置を介して相互に認証を行う認証手順と、
    前記認証の成立後に前記複数のプロバイダ通信網の各プロバイダサーバから前記論理コネクションを介して前記サービス処理装置のルーチング情報設定を制御する遠隔制御手順と、
    前記サービス処理装置を介して接続された前記複数のプロバイダ通信網の各プロバイダサーバにおいて前記複数のプロバイダ通信網に含まれる他のプロバイダ通信網との接続情報を管理するプロバイダ通信網接続管理手順とを実行し、
    前記ルーチング情報の設定により前記サービス処理装置を介した前記複数のプロバイダ通信網間あるいは前記サービス処理装置を介した前記ユーザ通信網と前記複数のプロバイダ通信網間のデータ転送を制御し、前記ユーザ通信網のプロバイダ通信網接続を制御することを特徴とするデータ通信網接続制御方法。
  3. 請求項2記載のデータ通信網接続制御方法において、
    前記外部接続要求手順は、前記他のプロバイダ通信網のユーザ収容ノード間に論理的に隔絶された複数の仮想閉域網が構築されている場合、前記ユーザ要求で接続先として指定された仮想閉域網を識別する仮想網識別子を用いて、この指定された仮想閉域網との外部接続を要求し、
    前記認証手順は、前記外部接続要求を受信したプロバイダサーバにおいて、この外部接続要求で接続先として指定された他のプロバイダ通信網を前記仮想網識別子に基づいて特定することを特徴とするデータ通信網接続制御方法。
  4. 請求項2または3に記載のデータ通信網接続制御方法において、
    前記論理コネクション設定手順を行う前に、前記ユーザ要求で接続先として指定されたプロバイダ通信網のプロバイダサーバにおいて、前記ユーザ要求を受信したサービス処理装置が予め規定された通信手順に従うか否かを判定する通信判定手順を実行し、
    前記サービス処理装置が前記通信手順に従わないと判定された場合、前記論理コネクション設定手順を実行せずに、前記判定を行ったプロバイダサーバから同じプロバイダ通信網内のユーザ収容ノードに切断要求を送信して、このユーザ収容ノードと前記ユーザ要求を受信したサービス処理装置との間の通信路を切断させることを特徴とするデータ通信網接続制御方法。
  5. 請求項2乃至4のいずれかに記載のデータ通信網接続制御方法において、
    前記サービス処理装置を介した他のプロバイダ通信網との外部接続の可否をサービス処理装置ごとに示すサービス処理装置情報を、前記複数のプロバイダ通信網の各プロバイダサーバで管理し、
    前記認証手順を行う前に、前記外部接続要求を受信したプロバイダサーバにおいて、前記外部接続要求を送信したサービス処理装置とこの外部接続要求で接続先として指定された他のプロバイダ通信網との外部接続が可能か否かを前記サービス処理装置情報に基づいて判定する接続可否判定手順を実行し、
    この接続可否判定手順で前記サービス処理装置と前記プロバイダ通信網との外部接続が可能と判定された場合のみ、前記認証手順および前記遠隔制御手順を行うことを特徴とするデータ通信網接続制御方法。
  6. 請求項2乃至5のいずれかに記載のデータ通信網接続制御方法において、
    前記論理コネクション設定手順を行う前に、前記ユーザ要求で接続先として指定されたプロバイダ通信網のユーザ収容ノードと前記ユーザ要求を受信したサービス処理装置との間で通信路設定用の接続認証情報を送受信する接続認証手順と、
    前記接続先として指定されたプロバイダ通信網のユーザ収容ノードにおいて、前記ユーザ要求を受信したサービス処理装置が認証された場合のみ、このユーザ収容ノードと前記認証されたサービス処理装置との間のアクセス網に通信路を設定する通信路設定手順と、
    前記接続認証を行ったユーザ収容ノードから同じプロバイダ通信網のプロバイダサーバに対して前記認証されたサービス処理装置の接続認証情報を通知する通知手順と、
    前記通知を受けたプロバイダサーバにおいて前記接続認証情報に基づき、前記ユーザ要求を発したユーザの情報と前記認証されたサービス処理装置の情報とを管理する管理手順とを実行することを特徴とするデータ通信網接続制御方法。
  7. 請求項2乃至6のいずれかに記載のデータ通信網接続制御方法において、
    前記サービス処理装置を介して前記ユーザ通信網と前記複数のプロバイダ通信網間で転送されるパケットに対して付加価値サービス処理を行うためのサービス処理プログラムを、前記複数のプロバイダ通信網の各プロバイダサーバから前記論理コネクションを介して前記サービス処理装置に設定するサービス処理プログラム設定手順と、
    前記設定されたサービス処理プログラムに従って、各プロバイダ通信網ごとにあらかじめ規定された前記付加価値サービス処理を前記サービス処理装置で行うサービス処理手順とを実行することを特徴とするデータ通信網接続制御方法。
  8. 請求項7に記載のデータ通信網接続制御方法において、
    前記サービス処理は、ルーチング処理、パケットフィルタリング処理、アドレス変換処理、暗号化通信処理または通信品質識別処理のうちの少なくとも1つであることを特徴とするデータ通信網接続制御方法。
  9. 請求項7乃至8のいずれかに記載のデータ通信網接続制御方法において、
    前記サービス処理は、ポートスキャンパケットの検出処理、サービス妨害パケットの検出処理、ウィルスデータの検出処理またはHTTPにおける通信禁止URLの検出処理のうちの少なくとも1つであり、検出された有害なパケットを廃棄することをことを特徴とするデータ通信網接続制御方法。
  10. 請求項7乃至9のいずれかに記載のデータ通信網接続制御方法において、
    前記サービス処理は、ウェブサーバ処理、メールサーバ処理、DNSサーバ処理またはDHCPサーバ処理のうちの少なくとも1つであることを特徴とするデータ通信網接続制御方法。
JP2003030930A 2003-02-07 2003-02-07 データ通信網システムおよびデータ通信網接続制御方法 Expired - Fee Related JP3887325B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003030930A JP3887325B2 (ja) 2003-02-07 2003-02-07 データ通信網システムおよびデータ通信網接続制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003030930A JP3887325B2 (ja) 2003-02-07 2003-02-07 データ通信網システムおよびデータ通信網接続制御方法

Publications (2)

Publication Number Publication Date
JP2004242161A JP2004242161A (ja) 2004-08-26
JP3887325B2 true JP3887325B2 (ja) 2007-02-28

Family

ID=32957677

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003030930A Expired - Fee Related JP3887325B2 (ja) 2003-02-07 2003-02-07 データ通信網システムおよびデータ通信網接続制御方法

Country Status (1)

Country Link
JP (1) JP3887325B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005107186A1 (ja) * 2004-04-30 2005-11-10 Nec Corporation 通信装置
JP4648148B2 (ja) 2005-09-30 2011-03-09 富士通株式会社 接続支援装置
US8347378B2 (en) 2006-12-12 2013-01-01 International Business Machines Corporation Authentication for computer system management
JP4946692B2 (ja) * 2007-07-24 2012-06-06 日本電信電話株式会社 Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム
JP2014154966A (ja) * 2013-02-06 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> 通信サービス提供システム及びその方法
JP6763605B2 (ja) * 2016-10-28 2020-09-30 学校法人東京電機大学 データ通信システム、キャッシュdns装置及び通信攻撃防止方法

Also Published As

Publication number Publication date
JP2004242161A (ja) 2004-08-26

Similar Documents

Publication Publication Date Title
EP1313290B1 (en) A personal firewall with location dependent functionality
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
EP1379046B1 (en) A personal firewall with location detection
EP1624644B1 (en) Privileged network routing
JP4708376B2 (ja) プライベートネットワークへのアクセスを安全にする方法およびシステム
US8458786B1 (en) Automated dynamic tunnel management
US8484695B2 (en) System and method for providing access control
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
US7792990B2 (en) Remote client remediation
EP2731313B1 (en) Distributed cluster processing system and message processing method thereof
TWI395435B (zh) 開放網路連接
US20140075505A1 (en) System and method for routing selected network traffic to a remote network security device in a network environment
JP2018514956A (ja) データをルーティングするために証明書データを使用する装置と方法
JP5679343B2 (ja) クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム
US20040030765A1 (en) Local network natification
JP3887325B2 (ja) データ通信網システムおよびデータ通信網接続制御方法
JP2013134711A (ja) 医療クラウドシステム
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JP3935823B2 (ja) Httpセッション・トンネリング・システム、その方法、及びそのプログラム
Cisco Easy VPN Server
Cisco Web Cache Communication Protocol Version 2
JP3802464B2 (ja) 通信ネットワークシステム、サービス処理制御方法、プロバイダサーバおよびサービス処理装置
JP6664232B2 (ja) 無線lanアクセスシステム、ルータ装置およびアクセス制御方法
Huawei Technologies Co., Ltd. WAN Fundamentals

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061124

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101201

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101201

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111201

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111201

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121201

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121201

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131201

Year of fee payment: 7

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees