JP4176654B2 - ACCESS CONTROL METHOD, NETWORK SYSTEM USING THE SAME, APPARATUS AND COMPUTER COMPOSING THE SAME - Google Patents

ACCESS CONTROL METHOD, NETWORK SYSTEM USING THE SAME, APPARATUS AND COMPUTER COMPOSING THE SAME Download PDF

Info

Publication number
JP4176654B2
JP4176654B2 JP2004044178A JP2004044178A JP4176654B2 JP 4176654 B2 JP4176654 B2 JP 4176654B2 JP 2004044178 A JP2004044178 A JP 2004044178A JP 2004044178 A JP2004044178 A JP 2004044178A JP 4176654 B2 JP4176654 B2 JP 4176654B2
Authority
JP
Japan
Prior art keywords
access
user
server
switch
content distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004044178A
Other languages
Japanese (ja)
Other versions
JP2005236732A (en
Inventor
晋 山本
康行 松岡
淳 錦戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004044178A priority Critical patent/JP4176654B2/en
Publication of JP2005236732A publication Critical patent/JP2005236732A/en
Application granted granted Critical
Publication of JP4176654B2 publication Critical patent/JP4176654B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、ネットワークアクセス制御方法、特にパケットフィルタリング機能を有するエッジルータやレイヤ2スイッチのようなスイッチによるコンテンツ配信サーバへのアクセス制御方法及びそれを用いたネットワークシステム並びにそれを構成する装置及びプログラムに関するものである。   The present invention relates to a network access control method, and more particularly to a method for controlling access to a content distribution server by a switch such as an edge router or a layer 2 switch having a packet filtering function, a network system using the same, and an apparatus and program constituting the same. Is.

従来のアクセス制御方法として、コンテンツ配信サーバへのアクセスを特定のクライアントのみに許可する場合に、不特定多数のクライアントからのアクセスをネットワークにおいて拒否することができないため、当該サーバにおいてユーザIDやIPアドレス等の情報によるユーザ識別を行うことによって特定クライアントのみによるサーバへのアクセスを実現する方法がある。   As a conventional access control method, when access to a content distribution server is permitted only to a specific client, access from an unspecified number of clients cannot be denied in the network. There is a method for realizing access to a server only by a specific client by performing user identification based on information such as the above.

また、トラヒックが集中するコンテンツ配信サーバに対する負荷分散の観点から、複数の同一の内容をもったサーバ(ミラーサーバ)を配置し、サーバとミラーサーバの負荷状況を計測して、ミラーサーバから最も負荷の低いサーバにアクセスさせる方法も提案されている。   Also, from the viewpoint of load distribution to the content distribution server where traffic is concentrated, multiple servers (mirror servers) with the same contents are arranged, the load status of the server and mirror server is measured, and the load from the mirror server is maximized. A method of accessing a low-cost server has also been proposed.

さらに、負荷分散の観点では、コンテンツを配信するためのサービスサーバの受付として、ユーザからのアクセスを受付サーバで一元的に受け付け、アクセス制御サーバによりルータ等のネットワーク装置のパケットフィルタリング機能を制御することで、サービスサーバの処理負荷制御とネットワークのトラヒック負荷制御とを実現するモデルも提案されている(例えば、特許文献1参照)。   Furthermore, from the viewpoint of load distribution, as the reception of the service server for distributing content, access from the user is centrally received by the reception server, and the packet filtering function of a network device such as a router is controlled by the access control server. Therefore, a model that realizes processing load control of a service server and traffic load control of a network has also been proposed (see, for example, Patent Document 1).

特開2002−141936号公報JP 2002-141936 A

ユーザIDやIPアドレス等の情報に基づくユーザ識別による前記最初のアクセス制御方法では、不特定多数のユーザからのアクセスが多数あった場合に、サーバでの処理負荷が増大し、本来サービスをすべきクライアントとの通信が妨げられるという問題がある。   In the first access control method based on user identification based on information such as user IDs and IP addresses, when there are many accesses from a large number of unspecified users, the processing load on the server increases and services should be provided originally. There is a problem that communication with the client is hindered.

また、前述したサーバとミラーサーバの負荷状況を計測して、ミラーサーバから最も負荷の低いサーバにアクセスさせる前記第2の方法では、ユーザからのアクセスをサーバ側で完全にコントロールすることができないために、結局、予めトラヒックが集中するピーク時の使用量を想定したサーバ設備の設置を必要とするという問題がある。   In the second method of measuring the load status of the server and the mirror server and accessing the server with the lowest load from the mirror server, access from the user cannot be completely controlled on the server side. After all, there is a problem that it is necessary to install a server facility that assumes a peak usage amount in which traffic is concentrated in advance.

さらに、前述したサーバ処理負荷とネットワークのトラヒック負荷制御とを実現する前記第3の方法では、アクセス制御サーバがネットワーク装置のアクセスリストを最適化するために、当該アクセス制御サーバは制御対象となる全サービスサーバへのアクセスを一元的に管理する必要があり、サービスサーバの数が増えたときにアクセス制御サーバの処理負荷が非常に大きくなるという懸念がある。また、この方法では、アクセス制御サーバは制御対象となるサービスサーバのみを制御主体として考慮しているだけで、サービスサーバからのアクセス条件の変更要求を考慮しておらず、サービスサーバのサービスバリエーションにより、コンテンツの配信を終了したクライアントに他のサービスサーバへのアクセス権を渡す場合であっても、クライアントは再び受付サーバを介した通信手順を踏む必要があった。   Further, in the third method for realizing the server processing load and the network traffic load control described above, the access control server optimizes the access list of the network device. There is a concern that access to the service server needs to be managed in an integrated manner, and that the processing load on the access control server becomes very large when the number of service servers increases. In this method, the access control server only considers the service server to be controlled as the controlling entity, does not consider the access condition change request from the service server, and depends on the service variation of the service server. Even when the access right to another service server is handed over to the client that has finished distributing the content, the client needs to follow the communication procedure via the reception server again.

そこで、本発明の目的は、上述した点に鑑み、サーバの処理負荷を軽減し、一定の時間に大量のアクセスが予想される配信サービスに対しても有効に対処でき、クライアントにとって利便性の高いアクセス制御方法及びそれを用いたネットワークシステム並びにそれを構成する装置及びプログラムを提供することにある。   Therefore, in view of the above points, an object of the present invention is to reduce the processing load on the server, effectively deal with a distribution service that is expected to be accessed in a large amount of time, and is highly convenient for the client. It is an object to provide an access control method, a network system using the access control method, an apparatus and a program constituting the access control method.

上記目的を達成するために、請求項1に記載の発明は、各々がコアネットワークに配置されるパケットフィルタリング機能を有するエッジルータやレイヤ2スイッチのような複数のスイッチと、各々がアクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチにそれぞれ接続される複数のクライアント端末と、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、あるクライアント端末のユーザからのアクセスに対してコンテンツを配信するコンテンツ配信サーバ機能を有する少なくとも1個のコンテンツ配信サーバと、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、ユーザからのコンテンツ配信要求毎に、当該ユーザの要求するコンテンツへのアクセスの可否を判断し、当該ユーザがアクセスすべき適切なコンテンツ配信サーバを決定して、当該ユーザのクライアント端末に対し、当該コンテンツ配信サーバにアクセスするのに必要な情報を受け渡すアクセス管理サーバ機能を有する少なくとも1個のアクセス管理サーバと、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、特定のユーザを当該コンテンツ配信サービスを利用することのできるメンバとして登録するメンバ登録機能を有する少なくとも1個のメンバ登録サーバと、で構成されるコンテンツ配信ネットワークシステムのアクセス制御方法において、
(1) 前記アクセス管理サーバが、前記メンバ登録サーバにてメンバ登録されて、当該メンバ登録サーバへのアクセスが許可されているあるユーザのアクセス権を、当該ユーザのクライアント端末を前記コアネットワークに接続するスイッチ及び前記メンバ登録サーバを前記コアネットワークに接続するスイッチにおけるそれぞれの前記メンバ登録サーバのあて先サーバアドレス参照して動作するパケットフィルタリング制御よって設定して、予めアクセス許可されたユーザのクライアント端末と前記メンバ登録サーバとの間の通信のみを許容する手順と、
(2) 前記ユーザのクライアント端末が前記メンバ登録サーバから、前記アクセス管理サーバアクセスの許可を得る手順と、
(3) 前記アクセスを許可したメンバ登録サーバが、当該メンバ登録サーバ当該コアネットワークに接続するためのスイッチ(A)に対して、前記ユーザの前記アクセス管理サーバのアクセスを許容するアクセス権の変更を指示する手順と、
(4) 前記アクセスを許可したメンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が、前記ユーザのクライアント端末を当該コアネットワークに接続するためのスイッチ(D)及び前記アクセス管理サーバ当該コアネットワークに接続するためのスイッチ(B)に対して、前記ユーザから前記アクセス管理サーバのアクセスを許容するアクセス権の変更を指示する手順と、
(5) 前記ユーザのクライアント端末が、前記アクセス管理サーバにアクセスして、前記ユーザが目的とするコンテンツ配信サーバへのアクセス権を得る手順と、
を有することを特徴とするアクセス制御方法にある。 In order to achieve the above object, the invention described in claim 1 includes a plurality of switches such as edge routers and layer 2 switches each having a packet filtering function arranged in a core network, and each via an access network. A plurality of client terminals respectively connected to neighboring switches in the core network, and connected to neighboring switches in the core network via an access network, and content is accessed for access from a user of a certain client terminal. Connected to a neighboring switch in the core network via an access network and at least one content distribution server having a content distribution server function for distribution, and for each content distribution request from a user, Access that determines whether or not access to the content is possible, determines an appropriate content distribution server to be accessed by the user, and passes information necessary for accessing the content distribution server to the client terminal of the user At least one access management server having a management server function and a member that is connected to a neighboring switch in the core network via an access network and registers a specific user as a member who can use the content distribution service In an access control method for a content distribution network system comprising at least one member registration server having a registration function,
(1) The access management server is registered as a member by the member registration server, and the access right of a user who is permitted to access the member registration server is connected to the core network of the user's client terminal. the switch and the member registration server to be set by the packet filtering control that operates by referring to the destination server address of each of the member registration server in the switch that connects to the core network, the user of the client terminal in advance permissions And a procedure that allows only communication between the member registration server and
(2) the client terminal of the user, from the member registration server, and procedures to obtain permission for access to the access management server,
(3) the member registration server which permits the access, the member registration server to the switch (A) for connection to the core network, the access rights to allow access to the access management server of the user A procedure to direct the change,
(4) the switch that received the change instruction access from a member registration server which permits the access (A) is a switch (D) and said access management server for connecting a client terminal of the user to the core network a step of instructing a change of access rights allowed to the switch (B) for connection to the core network, the access from the user to the access management server,
(5) a procedure in which the client terminal of the user accesses the access management server to obtain an access right to the content distribution server intended by the user;
There is an access control method characterized by comprising:

また、請求項2に記載の発明は、請求項1において、前記(4)の手順において、前記メンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が、前記ユーザのクライアント端末を前記コアネットワークに接続するためのスイッチ(D)に対して前記ユーザからコンテンツ配信サーバへのアクセス権の変更を指示する際に、前記特定のスイッチ(B)及び(D)だけでなく、前記コアネットワークに属する全てのスイッチに対してアクセス権の変更を通知することを特徴とする。 Further, in the invention described in claim 2, the switch (A) having received an access right change instruction from the member registration server in the procedure of (4) in claim 1, the client terminal of the user is When instructing the switch (D) for connecting to the core network to change the access right from the user to the content distribution server , not only the specific switches (B) and (D) but also the core The change of access right is notified to all switches belonging to the network.

また、請求項3に記載の発明は、請求項2において、前記ユーザのクライアント端末及び前記アクセス管理サーバをアクセス配下に収容していないスイッチは、受信したアクセス権の変更を破棄し、特に動作をしなくすることを特徴とする。 The invention described in claim 3 is the switch according to claim 2, wherein the switch that does not accommodate the user's client terminal and the access management server under the access discards the received access right change, and particularly operates. It is characterized by not doing.

また、請求項4に記載の発明は、請求項1において、前記手順(1)〜(5)にて当該ユーザが目的とする前記コンテンツ配信サーバからコンテンツの配信を受領し終えた際に、
(6) 前記メンバ登録サーバが当該ユーザへのアクセスを不許可とする手順と、
(7) 該メンバ登録サーバが、当該メンバ登録サーバを前記コアネットワークに接続するためのスイッチ(A)に対し当該ユーザのアクセス権の変更を指示する手順と、
(8) 前記メンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が、当該ユーザのクライアント端末を前記コアネットワークに接続するための前記スイッチ(D)に対して、当該ユーザから前記コンテンツ配信サーバへのアクセス権の変更を指示する手順と、
を有することを特徴とする。 According to a fourth aspect of the present invention, in the first aspect, when the user finishes receiving content distribution from the target content distribution server in the steps (1) to (5),
(6) a procedure in which the member registration server disallows access to the user;
(7) The member registration server, the procedure to switch (A) for connecting the member registration server to the core network instructing a change of access rights of the user,
(8) The switch (A) that has received the access right change instruction from the member registration server, from the user to the switch (D) for connecting the client terminal of the user to the core network. A procedure for instructing to change the access right to the content distribution server ;
It is characterized by having.

また、請求項5に記載の発明は、請求項4において、前記(8)の手順において、前記メンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が、前記ユーザのクライアント端末を前記コアネットワークに接続するためのスイッチ(D)に対して前記ユーザから前記コンテンツ配信サーバへのアクセス権の変更を指示する際に、前記特定のスイッチ(B)及び(D)だけでなく、前記コアネットワークに属する全てのスイッチに対してアクセス権の変更を通知することを特徴とする。 According to a fifth aspect of the present invention, in the fourth aspect, the switch (A) having received the access right change instruction from the member registration server in the step (8), the client terminal of the user is When instructing the switch (D) for connecting to the core network to change the access right from the user to the content distribution server , not only the specific switches (B) and (D), The change of access right is notified to all switches belonging to the core network.

また、請求項6に記載の発明は、請求項5において、前記ユーザのクライアント端末及び前記アクセス管理サーバをアクセス配下に収容していないスイッチは、受信したアクセス権の変更を破棄し、特に動作をしなくすることを特徴とする。 The invention described in claim 6 is the switch according to claim 5, wherein the switch that does not accommodate the user's client terminal and the access management server under the access discards the received access right change, and operates in particular. It is characterized by not doing.

また、請求項7に記載の発明は、各々がコアネットワークに配置されるパケットフィルタリング機能を有するエッジルータやレイヤ2スイッチのような複数のスイッチと、各々がアクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチにそれぞれ接続される複数のクライアント端末と、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、あるクライアント端末のユーザからのアクセスに対してコンテンツを配信するコンテンツ配信サーバ機能を有する少なくとも1個のコンテンツ配信サーバと、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、ユーザからのコンテンツ配信要求毎に、当該ユーザの要求するコンテンツへのアクセスの可否を判断し、当該ユーザがアクセスすべき適切なコンテンツ配信サーバを決定して、当該ユーザのクライアント端末に対し、当該コンテンツ配信サーバにアクセスするのに必要な情報を受け渡すアクセス管理サーバ機能を有する少なくとも1個のアクセス管理サーバと、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、特定のユーザを当該コンテンツ配信サービスを利用することのできるメンバとして登録するメンバ登録機能を有する少なくとも1個のメンバ登録サーバと、で構成されるコンテンツ配信ネットワークシステムにおいて、
前記メンバ登録サーバ機能にてメンバ登録されて、当該メンバ登録サーバへのアクセスが許可されているあるユーザのクライアント端末を前記コアネットワークに接続するスイッチ(D)及び前記メンバ登録サーバを前記コアネットワークに接続するスイッチ(A)が、前記メンバ登録サーバへのアクセスが許可されている前記ユーザのアクセス権をそれぞれのあて先サーバアドレス参照して動作するパケットフィルタリング制御よって設定して、予めアクセス許可されたユーザのクライアント端末と前記メンバ登録サーバとの間の通信のみを許容し、
前記メンバ登録サーバが前記ユーザに対してアクセスを許可した場合に、前記メンバ登録サーバが、当該メンバ登録サーバを前記コアネットワークに接続するスイッチ(A)に対して、前記ユーザの前記アクセス管理サーバのアクセスを許容するアクセス権の変更を指示し、
前記メンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が前記ユーザのクライアント端末を前記コアネットワークに接続するためのスイッチ(D)及び前記アクセス管理サーバを前記コアネットワークに接続するためのスイッチ(B)に対して、前記ユーザから前記アクセス管理サーバへのアクセスを許容するアクセス権の変更を指示するようにして前記ユーザのクライアント端末が、前記アクセス管理サーバにアクセスできるようにし、前記ユーザのクライアント端末アクセス管理サーバにアクセスして、当該ユーザが目的とするコンテンツ配信サーバへのアクセス権を得ることにより、当該ユーザと当該コンテンツ配信サーバとの間の通信を可能にすることを特徴とするコンテンツ配信ネットワークシステムにある。 According to a seventh aspect of the present invention, there is provided a plurality of switches such as edge routers and layer 2 switches each having a packet filtering function arranged in the core network, and each of the core networks via the access network. A plurality of client terminals respectively connected to neighboring switches, and a content distribution server function that is connected to neighboring switches in the core network via an access network and distributes content for access from a user of a certain client terminal And at least one content distribution server connected to a neighboring switch in the core network via an access network, and for each content distribution request from a user, access to the content requested by the user It has an access management server function that determines whether it is possible, determines an appropriate content distribution server to be accessed by the user, and passes information necessary for accessing the content distribution server to the client terminal of the user At least one access management server and at least a member registration function connected to a neighboring switch in the core network via an access network and registering a specific user as a member who can use the content distribution service In a content distribution network system composed of one member registration server,
A switch (D) for connecting a client terminal of a user who has been registered by the member registration server function and permitted to access the member registration server to the core network, and the member registration server in the core network switch connecting (a) is, referring to a result set in the packet filtering control that operates the respective destination server address access of the user access to the member registration server is permitted, in advance permissions Only allow communication between the client terminal of the user and the member registration server ,
When the member registration server permits access to the user, the member registration server sends the member registration server to the access management server of the user for the switch (A) connecting the member registration server to the core network. Instructing to change the access rights to allow
Said switch having received the change instruction permissions from the member registration server (A) connects the switch (D) and said access management server for connecting a client terminal of the user to the core network to the core network To instruct the switch (B) to change the access right that allows the user to access the access management server , so that the client terminal of the user can access the access management server , Enabling communication between the user and the content distribution server by accessing the access management server by the client terminal of the user and obtaining an access right to the content distribution server intended by the user. In the content distribution network system That.

また、請求項8に記載の発明は、請求項7において、前記ユーザのクライアント端末及び前記コンテンツ配信サーバが前記コアネットワークにおけるどのスイッチに配下に接続されているかを特定するために、予め各ユーザ及びサーバのIPアドレスと各スイッチのIPアドレスをテーブル化して、各スイッチが保持することを特徴とする。   In addition, the invention according to claim 8 is characterized in that, in claim 7, in order to identify which switch in the core network the client terminal of the user and the content distribution server are connected to in advance, The server IP address and the IP address of each switch are tabulated and each switch holds.

また、請求項9に記載の発明は、請求項8において、前記ユーザと前記コンテンツ配信サーバとの通信を許容するアクセス権の変更指示を、前記コアネットワークにおける全てのスイッチに対して通知し、通知された各スイッチが自らの保持しているルーティングテーブル上で当該アクセス権変更の要求に含まれるIPアドレス情報に一致するあて先IPアドレス、つまりは当該ユーザ又は当該コンテンツ配信サーバのIPアドレスの有無を確認し、一致するIPアドレスがある場合には要求通りにスイッチの転送フィルタリング機能の変更を動的に変更し、一致するものがないときには特に何もリアクションを起こさないようにすることを特徴とする。   Further, the invention according to claim 9 is the notification according to claim 8, in which an instruction to change the access right that allows communication between the user and the content distribution server is notified to all the switches in the core network. Each switch that has been registered confirms the presence or absence of a destination IP address that matches the IP address information included in the access right change request, that is, the IP address of the user or the content distribution server, on the routing table held by the switch. When there is a matching IP address, the switch forwarding filtering function of the switch is dynamically changed as required, and no reaction is caused particularly when there is no matching IP address.

また、請求項10に記載の発明は、請求項7において、前記ユーザのクライアント端末及び前記コンテンツ配信サーバが前記コアネットワークにおけるどのスイッチに配下に接続されているかを特定するために、予め各ユーザ及びサーバのIPアドレスと各スイッチのIPアドレスをテーブル化した情報を管理するスイッチIPアドレス解決サーバを前記コアネットワークに設けたことを特徴とする。   Further, the invention described in claim 10 is that in claim 7, in order to identify which switch in the core network the client terminal of the user and the content distribution server are connected to in advance, A switch IP address resolution server that manages information in which the IP address of the server and the IP address of each switch are tabulated is provided in the core network.

また、請求項11に記載の発明は、請求項7に記載のコンテンツ配信ネットワークシステムにおけるスイッチであって、前記ユーザのクライアント端末及び前記コンテンツ配信サーバが前記コアネットワークにおけるどのスイッチに配下に接続されているかを特定するために、各スイッチが、予め各ユーザ及び各サーバのIPアドレスと各スイッチのIPアドレスをテーブル化して保持し、前記ユーザと前記コンテンツ配信サーバとの通信を許容するアクセス権の変更指示が前記コアネットワークにおける全てのスイッチに対して通知された際に、通知された各スイッチが自らの保持しているルーティングテーブル上で当該アクセス権変更の要求に含まれるIPアドレス情報に一致するあて先IPアドレス、つまりは当該ユーザ又は当該コンテンツ配信サーバのIPアドレスの有無を確認し、一致するIPアドレスがある場合には要求通りにスイッチの転送フィルタリング機能の変更を動的に変更し、一致するものがないときには特に何もリアクションを起こさないようにすることを特徴とするスイッチにある。   The invention described in claim 11 is a switch in the content distribution network system according to claim 7, wherein the user client terminal and the content distribution server are connected to which switch in the core network. In order to specify whether each user and each server and the IP address of each switch are tabulated in advance, each switch changes the access right to allow communication between the user and the content distribution server. When an instruction is notified to all the switches in the core network, a destination that matches the IP address information included in the access right change request on the routing table held by each notified switch IP address, that is, the user or the If there is a matching IP address, the switch's forwarding filtering function is dynamically changed as requested, and if there is no match, no action is taken. The switch is characterized by not having it.

また、請求項12に記載の発明は、請求項1に記載のコンテンツ配信ネットワークシステムのアクセス制御方法における、前記アクセス管理サーバとして構成するコンピュータに前記手順(1)を実行させるプログラムと、前記メンバ登録サーバとして構成するコンピュータに前記手順(3)を実行させるプログラムと、
を含むプログラムとして特徴付けられる。

The invention according to claim 12 is the access control method for the content distribution network system according to claim 1 , wherein the program that causes the computer that constitutes the access management server to execute the procedure (1), and the member registration A program for causing a computer configured as a server to execute the procedure (3);
Ru is characterized as a program that includes a.

また、請求項13に記載の発明は、請求項12に記載のプログラムを記録した記録媒体にある。   The invention according to claim 13 resides in a recording medium on which the program according to claim 12 is recorded.

本発明によるアクセス制御方法によれば、サーバの処理負荷が大幅に軽減され、またこのアクセス制御方法により実現するコンテンツ配信サービスは、特にインターネットコンサートのように、一定の時間に大量のアクセスが予想される配信サービスに対して有効で、事前にメンバ登録されたユーザが、コンサート会場への入場に相当する動作としてアクセス管理サーバへアクセスし、配信サーバへのアクセス許可をもらうことで、事前に登録していない不特定多数のユーザからの擾乱を受けることなくサービスを受けることができる。   According to the access control method of the present invention, the processing load on the server is greatly reduced, and the content distribution service realized by this access control method is expected to be accessed in a large amount of time at a certain time, particularly in an Internet concert. A user who is valid for the distribution service and registered as a member in advance accesses the access management server as an operation equivalent to admission to a concert venue, and registers in advance by obtaining access permission to the distribution server. The service can be received without being disturbed by a large number of unspecified users.

図1は、本発明に係るアクセス制御方法を用いるネットワークシステムの動作イメージを示した図であり、また、図2は図1のネットワークシステムでのサーバアクセスのイメージを示した図であり、このネットワークシステムは、インターネットサービスプロバイダ及びネットワークサービスプロバイダなどのIPネットワーク事業者がインターネットプロトコルを用いてリアルタイム動画やビデオオンデマンド、画像やテキスト情報、あるいは単なるWebアクセス技術を利用するインターネットショッピングやチケット販売等のような、コンテンツの配信を行うコンテンツ配信サービスを実現するシステムである。   FIG. 1 is a diagram showing an operation image of a network system using the access control method according to the present invention, and FIG. 2 is a diagram showing an image of server access in the network system of FIG. The system can be used by Internet service providers and network service providers such as Internet shopping and ticket sales using real-time video, video on demand, image and text information, or simple Web access technology using Internet protocols. This is a system for realizing a content distribution service for distributing content.

図3(i),(ii)〜図6(i),(ii)は、一般的なコンテンツ配信サービスで想定されるメンバ登録から本発明によるアクセス制御方法に基づくコンテンツの配信開始/終了、メンバ登録削除の一連の流れを示すサービスシーケンス例を示す図であり、これらの図の図番(i)及び(ii)についての説明は後述する本文中の(i)及び(ii)の説明に対応するものである。  3 (i), (ii) to FIG. 6 (i), (ii) are contents registration start / end based on the access control method according to the present invention from member registration assumed in a general content distribution service, members It is a figure which shows the example of a service sequence which shows a series of flows of registration deletion, and explanation about figure numbers (i) and (ii) of these figures corresponds to explanation of (i) and (ii) in the text mentioned later To do.

図1及び図2において、10はインターネットサービスプロバイダ事業者が提供するコアネットワーク(IPネットワーク)、20〜20はコアネットワーク10へアクセスするIPパケットの転送処理を行なうIPネットワーク事業者の有するエッジルータA〜E、30〜30はクライアント(ユーザ)端末A〜C、40は特定のクライアント(ユーザ)に対して特定のコンテンツ配信サービスを利用することができるメンバとして登録するためのメンバ登録サーバ機能を有するサーバA、40はユーザからのコンテンツ配信要求毎に、当該ユーザの当該コンテンツへのアクセスの可否を判断し、当該ユーザがアクセスすべき適当なコンテンツ配信サーバを決定して、当該ユーザのクライアント端末に対し、当該コンテンツ配信サーバにアクセスするのに必要な情報(IPアドレス情報、パスワードなどのセキュリティ情報など)を受け渡すアクセス管理サーバ機能を有するサーバB、40は当該ユーザからのアクセスに対してコンテンツを配信するコンテンツ配信サーバ機能を有するサーバC、50〜50はクライアント端末A〜C及び各サーバA〜Cをコアネットワーク10における近隣のエッジルータ20に接続するためのアクセスネットワークである。 1 and 2, reference numeral 10 denotes a core network (IP network) provided by an Internet service provider operator, and 20 1 to 20 5 denote edges of an IP network operator that performs transfer processing of an IP packet that accesses the core network 10. Routers A to E, 30 1 to 30 3 are client (user) terminals A to C and 40 1 are members for registering as members who can use a specific content distribution service for a specific client (user). server a, 40 2 having a registration server function for each content distribution request from the user, and determines whether access to the content of the user, to determine the appropriate content delivery server the user should access, The container terminal of the user Tsu information required to access the distribution server server B, 40 3 with access management server function to pass (IP address information, such as security information, such as passwords) to deliver content to the access from the user Servers C 50 1 to 50 5 having a content distribution server function are access networks for connecting the client terminals A to C and the servers A to C to neighboring edge routers 20 in the core network 10.

メンバ登録サーバ機能、アクセス管理サーバ機能及びコンテンツ配信サーバ機能をそれぞれ有するサーバA,B及びCはコアネットワーク10にそれぞれ複数設けることができ、また各サーバ機能とこれらのサーバ機能を有するサーバとの配置関係には制約はなく、どのような配置であってもネットワーク動作には問題はない。   A plurality of servers A, B, and C each having a member registration server function, an access management server function, and a content distribution server function can be provided in the core network 10, and an arrangement of each server function and a server having these server functions There are no restrictions on the relationship, and there is no problem in network operation in any arrangement.

本発明によれば、それぞれのサーバ機能を有するサーバA,B,C(40〜40)及びクライアント端末A〜C(30〜30)と、これらの各サーバ及びクライアント端末の近隣にあるエッジルータA〜E(20〜20)との間のアクセス制御インタフェースをユーザやコンテンツ配信事業者に対して提供することによりネットワークによるサーバアクセス制御を実現するのであって、各エッジルータA〜Eで使用されるパケットフィルタリング情報は、これらの各エッジルータ間をメッシュにやり取りされ、プロトコルとしては、例えば既存のiBGPの拡張プロトコルを使用することができる。また、本発明にはレイヤ2スイッチの如き、基本的なパケットフィルタリング機能を有しているスイッチをエッジルータの代わりに用いることができる。 According to the present invention, servers A, B, and C (40 1 to 40 3 ) and client terminals A to C (30 1 to 30 3 ) having respective server functions, and the vicinity of each of these servers and client terminals a than to implement a server access control by the network by providing access control interface between one edge router A~E (20 1 ~20 5) to a user or the content distribution service provider, each edge router a The packet filtering information used in .about.E is exchanged between these edge routers in a mesh. For example, an existing iBGP extended protocol can be used as the protocol. In the present invention, a switch having a basic packet filtering function such as a layer 2 switch can be used instead of the edge router.

次いで、コンテンツ配信サービスを実現するシステムが前述したようなコンテンツ配信サーバ機能と、アクセス管理サーバ機能と、メンバ登録サーバ機能の3つの機能からなる場合における本発明に係るアクセス制御方法の手順につき説明する。
(1) 本発明によれば、例えばサーバB(40)のアクセス管理サーバ機能が、メンバ登録サーバ機能を有するサーバA(40)にてメンバ登録されて当該サーバAへのアクセス権を持つ、例えばクライアント端末A(40)のユーザからのアクセス要求を許可するまでは、当該サービスメンバユーザからコンテンツ配信サーバ機能を有している全てのサーバ、例えばサーバC(40)へのアクセスが、当該サーバCの近隣にあり、当該サーバCヘアクセスするIPパケットの転送処理を行うエッジルータC(20)において、IPパケットの発着IPアドレス、使用プロトコル、発着ポート番号などの情報をもとに選択的にパケット廃棄を行うパケットフィルタリング機能によって拒否(パケット廃棄)されるようにする。この際、アクセス許可されているサーバA(40)へのアクセス権は、当該サーバAをコアネットワーク10に接続するエッジルータA(20)及びクライアント端末A(30)をコアネットワーク10に接続するエッジルータD(20)におけるあて先サーバアドレス等を参照して動作するパケットフィルタリング制御等によって設定する。これにより、クライアント端末A(30)とサーバA(40)間の通信のみが許容される。 Next, the procedure of the access control method according to the present invention when the system for realizing the content distribution service includes the three functions of the content distribution server function, the access management server function, and the member registration server function as described above will be described. .
(1) According to the present invention, for example, the access management server function of the server B (40 2 ) is registered as a member in the server A (40 1 ) having the member registration server function and has an access right to the server A. For example, until the access request from the user of the client terminal A (40 1 ) is permitted, the service member user can access all the servers having the content distribution server function, for example, the server C (40 3 ). In the edge router C (20 3 ) that is in the vicinity of the server C and performs transfer processing of the IP packet that accesses the server C, information such as the IP address of the IP packet, the protocol used, and the port number The packet filtering function that selectively discards packets is rejected (packet discard). . At this time, the access right to the server A (40 1 ) for which access is permitted is sent to the core network 10 from the edge router A (20 1 ) and the client terminal A (30 1 ) that connect the server A to the core network 10. set by the packet filtering control that operates by referring to the destination server address or the like in connection to the edge router D (20 4). As a result, only communication between the client terminal A (30 1 ) and the server A (40 1 ) is allowed.

(2) 前記(1)で前記サービスメンバユーザから前記コンテンツ配信サーバC(40)へのアクセスは、当該サービスメンバのクライアント端末Aの近隣にあり、当該クライアント端末Aからコアネットワーク10ヘアクセスするIPパケットの転送処理を行うエッジルータDにおいて、IPパケットの発着IPアドレス、使用プロトコル、発着ポート番号などの情報をもとに選択的にパケット廃棄を行うフィルタリング機能によって、拒否(パケット廃棄)されるようにする。 (2) Access to the content distribution server C (40 3 ) from the service member user in (1) is in the vicinity of the client terminal A of the service member, and accesses the core network 10 from the client terminal A. In the edge router D that performs IP packet transfer processing, the packet is rejected (packet discarded) by a filtering function that selectively discards the packet based on information such as the IP address of the IP packet, the protocol used, and the port number. Like that.

(3) サーバB(40)のアクセス管理サーバ機能へのサービスメンバユーザからのアクセスに対しては、当該サーバBの近隣にあり、当該サーバBヘアクセスするIPパケットの転送処理を行うエッジルータB(20)において、IPパケットの発着IPアドレス、使用プロトコル、発着ポート番号などの情報をもとに選択的にパケット廃棄を行うフィルタリング機能によって、予め許可されたサービスメンバユーザのパケットのみの転送が許可されるようにする。 (3) An edge router that is in the vicinity of the server B and performs transfer processing of an IP packet that accesses the server B for access from the service member user to the access management server function of the server B (40 2 ) In B (20 2 ), only packets of service member users permitted in advance are transferred by a filtering function that selectively discards packets based on information such as the IP address of the IP packet, the protocol used, and the port number of arrival and departure To be allowed.

(4) サーバBのアクセス管理サーバ機能が、特定のサービスメンバユーザに対して、特定のコンテンツ配信サーバ機能を有するサーバ、例えばコンテンツ配信サーバC(40)へのコンテンツ要求のアクセスを許可した場合には、当該サーバBのアクセス管理サーバ機能から当該サーバBの近隣にあり、当該サーバBヘアクセスするIPパケットの転送処理を行うエッジルータBに対して、当該サービスメンバユーザと当該コンテンツ配信サーバCとの間の通信を可能とするフィルタリング設定変更要求、即ちアクセス権の変更要求を通知することにより、当該エッジルータBが、以下の(i)及び(ii)のいずれかの動作により、当該サービスメンバユーザのクライアント端末Aと当該コンテンツ配信サーバCとの間の通信を可能にする。 (4) When the access management server function of the server B permits a specific service member user to access a content request to a server having a specific content distribution server function, for example, the content distribution server C (40 3 ) The access management server function of the server B is in the vicinity of the server B, and the service member user and the content distribution server C are transferred to the edge router B that performs a transfer process of the IP packet that accesses the server B. By notifying the filtering setting change request that enables communication with each other, that is, the access right change request, the edge router B performs the service by either of the following operations (i) and (ii): Enable communication between the member user's client terminal A and the content distribution server C .

(i) 前記(1)及び(2)で通信の不許可を設定した当該コンテンツ配信サーバC及び前記サービスメンバユーザのクライアント端末Aの近隣にあるエッジルータDに対して、直接、当該ユーザのクライアント端末Aと当該コンテンツ配信サーバCとの通信を許容するアクセス権の変更要求を通知することで、当該エッジルータDにおけるフィルタリング機能の設定を動的に変更し、当該ユーザと当該コンテンツ配信サーバCとの間の通信を可能にする。この際、当該ユーザ及び当該コンテンツ配信サーバがどのエッジルータの配下に接続されているかを解決する方法については、予めユーザ及びサーバのIPアドレスとエッジルータのIPアドレスをテーブル化し、各エッジルータで保持するか、または前記テーブル情報を管理する接続エッジルータIPアドレス解決サーバをコアネットワーク10に用意する方法等が考えられる。   (I) The user's client is directly connected to the content distribution server C for which communication is not permitted in (1) and (2) and an edge router D in the vicinity of the client terminal A of the service member user. By notifying a request for changing the access right that allows communication between the terminal A and the content distribution server C, the setting of the filtering function in the edge router D is dynamically changed, and the user and the content distribution server C Enables communication between. At this time, with respect to the method of solving which edge router the user and the content distribution server are connected to, the IP address of the user and server and the IP address of the edge router are tabulated in advance and stored in each edge router. Alternatively, a method of preparing a connection edge router IP address resolution server for managing the table information in the core network 10 can be considered.

(ii) 前記サービスメンバユーザと当該コンテンツ配信サーバCとの通信を許容するアクセス権の変更要求を、コアネットワーク10に属する全てのエッジルータに対し通知し、通知された各エッジルータが自らの保持しているルーティングテーブル上で当該アクセス権変更の要求に含まれるIPアドレス情報に一致するあて先IPアドレス、つまりは当該ユーザまたは当該コンテンツ配信サーバCのIPアドレスの有無を確認し、一致するIPアドレスがある場合には要求通りに転送フィルタリング機能の変更を動的に変更し、一致するものがないときには特に何もリアクションを起こさないことで、前記(1)及び(2)で通信を禁止していた当該ユーザと当該コンテンツ配信サーバCとの間の通信を可能にする。   (Ii) Notify all edge routers belonging to the core network 10 of an access right change request that allows communication between the service member user and the content distribution server C, and each notified edge router holds The destination IP address that matches the IP address information included in the access right change request on the routing table, that is, the presence or absence of the IP address of the user or the content distribution server C is confirmed. In some cases, the change of the forwarding filtering function was dynamically changed as required, and when there was no match, no reaction was caused, and communication was prohibited in (1) and (2) above. Communication between the user and the content distribution server C is enabled.

(5) 前記(4)で通信中となった特定のサービスメンバユーザと特定のコンテンツ配信サーバCとの通信を終了する場合には、サーバBのアクセス管理サーバ機能またはサーバCのコンテンツ配信サーバ機能から、当該アクセス管理サーバBまたは当該コンテンツ配信サーバCの近隣にあり、これらのサーバB及びCヘアクセスするIPパケットの転送処理を行うエッジルータB及びCに対して、当該ユーザと当該コンテンツ配信サーバCとの通信を終了するアクセス権の変更要求を通知することにより、これらのエッジルータB及びCが、以下の(i)及び(ii)のいずれかの動作により、当該ユーザと当該コンテンツ配信サーバCとの間の通信を不許可とする。   (5) When the communication between the specific service member user who is in communication in (4) and the specific content distribution server C is terminated, the access management server function of the server B or the content distribution server function of the server C To the edge routers B and C that are in the vicinity of the access management server B or the content distribution server C and perform IP packet transfer processing to access the servers B and C, and the user and the content distribution server By notifying the access right change request for ending communication with C, these edge routers B and C perform the following operations (i) and (ii) to enable the user and the content distribution server. Communication with C is not permitted.

(i) 前記(4)で通信を許可した当該コンテンツ配信サーバC及び当該ユーザの近隣にあるエッジルータC及びDに対して、直接、当該ユーザと当該コンテンツ配信サーバCとの通信を非許容とするアクセス権の変更要求を通知することで、これらのエッジルータC及びDにおけるフィルタリング機能の設定を動的に変更し、当該ユーザと当該コンテンツ配信サーバCとの間の通信を不許可とする。この際、当該ユーザ及び当該コンテンツ配信サーバCがどのエッジルータの配下に接続されているかを解決する方法については、予めユーザ及びサーバのIPアドレスとエッジルータ装置のIPアドレスをテーブル化し、各エッジルータで保持するか、または前記テーブル情報を管理する接続エッジルータIPアドレス解決サーバをコアネットワーク10に用意する方法等が考えられる。   (I) The communication between the user and the content distribution server C is not permitted directly to the content distribution server C and the edge routers C and D in the vicinity of the user permitted to communicate in (4). By notifying the access right change request, the setting of the filtering function in the edge routers C and D is dynamically changed, and communication between the user and the content distribution server C is not permitted. At this time, with respect to a method for resolving to which edge router the user and the content distribution server C are connected, the IP address of the user and the server and the IP address of the edge router device are tabulated in advance, and each edge router Or a connection edge router IP address resolution server that manages the table information is prepared in the core network 10.

(ii) 当該ユーザと当該コンテンツ配信サーバCとの通信を非許容とするアクセス権の変更要求を、コアネットワーク10における全てのエッジルータに対し通知し、通知された各エッジルータが自らの保持しているルーティングテーブル上で当該アクセス権変更の要求に含まれるIPアドレス情報に一致するあて先IPアドレス、つまりは当該ユーザまたは当該コンテンツ配信サーバ装置のIPアドレスの有無を確認し、一致するIPアドレスがある場合には要求通りに転送フィルタリング機能の変更を動的に変更し、一致するものがないときには特に何もリアクションを起こさないことで、前記(4)で通信を許可していた当該ユーザと当該コンテンツ配信サーバ装置との間の通信を不許可とする。   (Ii) Notifying all edge routers in the core network 10 of an access right change request for disallowing communication between the user and the content distribution server C, and each notified edge router holds it. The destination IP address that matches the IP address information included in the access right change request, that is, the presence or absence of the IP address of the user or the content distribution server device, and there is a matching IP address. In this case, the change of the transfer filtering function is dynamically changed as requested, and when there is no match, no reaction is caused, so that the user and the content permitted to communicate in the above (4) Communication with the distribution server device is not permitted.

(6) 例えばサーバAのメンバ登録サーバ機能において、ネットワーク事業者のコアネットワーク10に対してアクセスすることのできる例えばクライアント端末Aのユーザをサービスメンバユーザとして新規登録したときに、当該ユーザからサーバBのアクセス管理サーバ機能へのアクセスを可能とするために、当該メンバ登録サーバ機能を有するサーバAの近隣にあり、当該メンバ登録サーバ装置AヘアクセスするIPパケットの転送処理を行うエッジルータAに対して、当該ユーザと当該アクセス管理サーバBとの通信を許容するアクセス権の変更要求を通知することで、当該エッジルータAが、下記の(i)及び(ii)のいずれかの動作により、当該ユーザのクライアント端末Aと当該コンテンツ配信サーバCとの間の通信を可能にする。   (6) For example, in the member registration server function of the server A, when a user of the client terminal A who can access the core network 10 of the network operator is newly registered as a service member user, the user B In order to enable access to the access management server function, the edge router A that is in the vicinity of the server A having the member registration server function and performs the forwarding process of the IP packet that accesses the member registration server apparatus A Thus, by notifying an access right change request that allows communication between the user and the access management server B, the edge router A performs the operation according to any of the following (i) and (ii) Enables communication between the user's client terminal A and the content distribution server C That.

(i) 前記(1)及び(2)で通信の不許可を設定した当該コンテンツ配信サーバC及び当該ユーザの近隣にあるエッジルータDに対して、直接、当該ユーザと当該コンテンツ配信サーバCとの通信を許容するアクセス権の変更要求を通知することで、当該エッジルータDにおけるフィルタリング機能の設定を動的に変更し、当該ユーザと当該コンテンツ配信サーバCとの間の通信を可能にする。この際、当該ユーザ及び当該コンテンツ配信サーバがどのエッジルータの配下に接続されているかを解決する方法については、予めユーザ及びサーバのIPアドレスとエッジルータのIPアドレスをテーブル化し、各エッジルータで保持するか、または前記テーブル情報を管理した接続エッジルータIPアドレス解決サーバを用意する方法等が考えられる。 (I) The user and the content distribution server C are directly connected to the content distribution server C and the edge router D in the vicinity of the user for which communication is not permitted in (1) and (2). By notifying an access right change request that allows communication, the setting of the filtering function in the edge router D is dynamically changed, and communication between the user and the content distribution server C is enabled. At this time, with respect to the method of solving which edge router the user and the content distribution server are connected to, the IP address of the user and server and the IP address of the edge router are tabulated in advance and stored in each edge router. Or a method of preparing a connection edge router IP address resolution server that manages the table information is conceivable.

(ii) 当該ユーザと当該コンテンツ配信サーバCとの通信を許容するアクセス権の変更要求を、コアネットワーク10における全てのエッジルータに対し通知し、通知された各エッジルータが自らの保持しているルーティングテーブル上で当該アクセス権変更の要求に含まれるIPアドレス情報に一致するあて先IPアドレス、つまりは当該ユーザまたは当該コンテンツ配信サーバCのIPアドレスの有無を確認し、一致するIPアドレスがある場合には要求通りに転送フィルタリング機能の変更を動的に変更し、一致するものがないときには特に何もリアクションを起こさないことで、(1)及び(2)で通信を禁止していた当該ユーザと当該コンテンツ配信サーバ装置との問の通信を可能にする。 (Ii) Notifying all edge routers in the core network 10 of an access right change request that allows communication between the user and the content distribution server C, and each notified edge router holds When the destination IP address that matches the IP address information included in the access right change request on the routing table, that is, the presence or absence of the IP address of the user or the content distribution server C is confirmed, and there is a matching IP address Dynamically changes the forwarding filtering function as requested and does not cause any reaction when there is no match, so that the user who has been prohibited from communicating in (1) and (2) Enables question communication with the content distribution server device.

(7) 例えばサーバAのメンバ登録サーバ機能において、特定のサービスメンバユーザからサーバBのアクセス管理サーバ機能へのアクセスを拒否するときに、当該メンバ登録サーバ機能を有するサーバAの近隣にあり、このメンバ登録サーバAヘアクセスするIPパケットの転送処理を行うエッジルータAに対して、当該ユーザと当該アクセス管理サーバBとの通信を許容するアクセス権の変更要求を通知することで、当該エッジルータAが、以下の(i)及び(ii)のいずれかの動作により、当該ユーザと当該コンテンツ配信サーバCとの間の通信を不許可とする。   (7) For example, in the member registration server function of the server A, when a specific service member user denies access to the access management server function of the server B, it is in the vicinity of the server A having the member registration server function. By notifying the edge router A that performs the transfer processing of the IP packet to be accessed to the member registration server A, a request for changing the access right that allows communication between the user and the access management server B is given, so that the edge router A However, the communication between the user and the content distribution server C is not permitted by any of the following operations (i) and (ii).

(i) 前記(4)で通信を許可した当該コンテンツ配信サーバC及び当該ユーザの近隣にあるコアネットワーク上のエッジルータDに対して、直接、当該ユーザと当該コンテンツ配信サーバCとの間の通信を非許容とするアクセス権の変更要求を通知することで、当該エッジルータDにおけるフィルタリング機能の設定を動的に変更し、当該ユーザと当該コンテンツ配信サーバCとの間の通信を不許可とする。この際、当該ユーザ及び当該コンテンツ配信サーバがどのエッジルータの配下に接続されているかを解決する方法については、予めユーザ及びサーバのIPアドレスとエッジルータのIPアドレスをテーブル化し、各エッジルータで保持するか、または前記テーブル情報を管理する接続エッジルータIPアドレス解決サーバをコアネットワーク10に用意する方法等が考えられる。   (I) Communication between the user and the content distribution server C directly with respect to the content distribution server C permitted to communicate in (4) and the edge router D on the core network in the vicinity of the user. Is notified of a change request for an access right that does not permit access to the network, the setting of the filtering function in the edge router D is dynamically changed, and communication between the user and the content distribution server C is not permitted. . At this time, with respect to the method of solving which edge router the user and the content distribution server are connected to, the IP address of the user and server and the IP address of the edge router are tabulated in advance and stored in each edge router. Alternatively, a method of preparing a connection edge router IP address resolution server for managing the table information in the core network 10 can be considered.

(ii) 当該ユーザと当該コンテンツ配信サーバCとの通信を非許容とするアクセス権の変更要求を、コアネットワークにおける全てのエッジルータに対し通知し、通知された各エッジルータが自らの保持しているルーティングテーブル上で当該アクセス権変更の要求に含まれるIPアドレス情報に一致するあて先IPアドレス、つまりは当該ユーザまたは当該コンテンツ配信サーバCのIPアドレスの有無を確認し、一致するIPアドレスがある場合には要求通りに転送フィルタリング機能の変更を動的に変更し、一致するものがないときには特に何もリアクションを起こさないことで、前記(4)で通信を許可していた当該ユーザと当該コンテンツ配信サーバCとの問の通信を不許可とする。   (Ii) Notifying all edge routers in the core network of an access right change request for disabling communication between the user and the content distribution server C, and each notified edge router holds The destination IP address that matches the IP address information included in the access right change request on the existing routing table, that is, the presence or absence of the IP address of the user or the content distribution server C, and there is a matching IP address The change of the forwarding filtering function is dynamically changed as requested, and when there is no match, no reaction is caused, so that the user who has permitted communication in (4) and the content distribution The communication with the server C is not permitted.

(8) 前記(4)〜(7)の何れかで、IPネットワーク事業者の有する全てのエッジルータ間でフィルタリング機能設定情報をやり取りし、あるサーバ機能からの要求により、特定のユーザまたは特定のサーバの近隣にあり、当該ユーザまたは当該サーバヘアクセスするIPパケットの転送処理を行うIPネットワーク事業者の有するエッジルータに対して、適当なフィルタリング機能設定情報が通知、設定されるようにする。   (8) In any one of the above (4) to (7), the filtering function setting information is exchanged between all edge routers possessed by the IP network operator, and a specific user or a specific user is specified by a request from a certain server function. Appropriate filtering function setting information is notified to and set in the edge router of the IP network provider that is in the vicinity of the server and that performs the transfer process of the IP packet accessing the user or the server.

本発明の手法は、コンピュータに実行させることができるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリなどの記憶媒体に格納して頒布することもできる。   The method of the present invention is stored in a storage medium such as a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), optical disk (CD-ROM, DVD, etc.), semiconductor memory, etc. as a program that can be executed by a computer. It can also be distributed.

本発明に係るエッジルータによるアクセス制御方法を用いるネットワークの動作イメージを示す図である。It is a figure which shows the operation | movement image of the network using the access control method by the edge router which concerns on this invention. 本発明に係るエッジルータによるアクセス制御方法を用いるネットワークのアクセスイメージを示す図である。It is a figure which shows the access image of the network using the access control method by the edge router which concerns on this invention. サービスメンバ登録シーケンスの一例を示す図である。It is a figure which shows an example of a service member registration sequence. サービスメンバ登録シーケンスの他の例を示す図である。It is a figure which shows the other example of a service member registration sequence. コンテンツ配信開始時のサービスシーケンスの一例を示す図である。It is a figure which shows an example of the service sequence at the time of a content delivery start. コンテンツ配信開始時のサービスシーケンスの他の例を示す図である。It is a figure which shows the other example of the service sequence at the time of a content delivery start. コンテンツ配信終了時のサービスシーケンスの一例を示す図である。It is a figure which shows an example of the service sequence at the time of the end of content delivery. コンテンツ配信終了時のサービスシーケンスの他の例を示す図である。It is a figure which shows the other example of the service sequence at the time of the end of content delivery. サービスメンバ削除時のサービスシーケンスの一例を示す図である。It is a figure which shows an example of the service sequence at the time of service member deletion. サービスメンバ削除時のサービスシーケンスの他の例を示す図である。It is a figure which shows the other example of the service sequence at the time of a service member deletion.

符号の説明Explanation of symbols

10 コアネットワーク
20〜20 エッジルータ
30〜30 クライアント端末
40 メンバ登録サーバ機能を有するサーバ
40 アクセス管理サーバ機能を有するサーバ
40 コンテンツ配信サーバ機能を有するサーバ
50〜50 アクセスネットワーク 10 core network 20 1 to 20 5 edge router 30 1 to 30 3 client terminal 40 1 server having member registration server function 2 2 server having access management server function 3 3 server having content distribution server function 50 1 to 50 5 access network

Claims (13)

各々がコアネットワークに配置されるパケットフィルタリング機能を有するエッジルータやレイヤ2スイッチのような複数のスイッチと、各々がアクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチにそれぞれ接続される複数のクライアント端末と、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、あるクライアント端末のユーザからのアクセスに対してコンテンツを配信するコンテンツ配信サーバ機能を有する少なくとも1個のコンテンツ配信サーバと、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、ユーザからのコンテンツ配信要求毎に、当該ユーザの要求するコンテンツへのアクセスの可否を判断し、当該ユーザがアクセスすべき適切なコンテンツ配信サーバを決定して、当該ユーザのクライアント端末に対し、当該コンテンツ配信サーバにアクセスするのに必要な情報を受け渡すアクセス管理サーバ機能を有する少なくとも1個のアクセス管理サーバと、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、特定のユーザを当該コンテンツ配信サービスを利用することのできるメンバとして登録するメンバ登録機能を有する少なくとも1個のメンバ登録サーバと、で構成されるコンテンツ配信ネットワークシステムのアクセス制御方法において、
(1) 前記アクセス管理サーバが、前記メンバ登録サーバにてメンバ登録されて、当該メンバ登録サーバへのアクセスが許可されているあるユーザのアクセス権を、当該ユーザのクライアント端末を前記コアネットワークに接続するスイッチ及び前記メンバ登録サーバを前記コアネットワークに接続するスイッチにおけるそれぞれのあて先サーバアドレス参照して動作するパケットフィルタリング制御よって設定して、予めアクセス許可されたユーザのクライアント端末と前記メンバ登録サーバとの間の通信のみを許容する手順と、
(2) 前記ユーザのクライアント端末が前記メンバ登録サーバから、前記アクセス管理サーバアクセスの許可を得る手順と、
(3) 前記アクセスを許可したメンバ登録サーバが、当該メンバ登録サーバ当該コアネットワークに接続するためのスイッチ(A)に対して、前記ユーザの前記アクセス管理サーバのアクセスを許容するアクセス権の変更を指示する手順と、
(4) 前記アクセスを許可したメンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が、前記ユーザのクライアント端末を当該コアネットワークに接続するためのスイッチ(D)及び前記アクセス管理サーバ当該コアネットワークに接続するためのスイッチ(B)に対して、前記ユーザから前記アクセス管理サーバのアクセスを許容するアクセス権の変更を指示する手順と、
(5) 前記ユーザのクライアント端末が、前記アクセス管理サーバにアクセスして、前記ユーザが目的とするコンテンツ配信サーバへのアクセス権を得る手順と、
を有することを特徴とするアクセス制御方法。 A plurality of switches such as edge routers and layer 2 switches each having a packet filtering function arranged in the core network, and a plurality of clients each connected to neighboring switches in the core network via the access network A terminal and at least one content distribution server connected to a neighboring switch in the core network via an access network and having a content distribution server function for distributing content in response to access from a user of a client terminal; It is connected to a neighboring switch in the core network via an access network, and for each content distribution request from a user, it is determined whether or not the content requested by the user can be accessed. At least one access management server having an access management server function for determining an appropriate content distribution server to be accessed and transferring information necessary for accessing the content distribution server to the client terminal of the user; At least one member registration server connected to a neighboring switch in the core network via an access network and having a member registration function for registering a specific user as a member who can use the content distribution service; In an access control method for a content distribution network system comprising:
(1) The access management server is registered as a member by the member registration server, and the access right of a user who is permitted to access the member registration server is connected to the core network of the user's client terminal. switches and reference to a result set in the packet filtering control that operates the respective destination server address in the switch for connecting said member registration server to the core network, the member registration a client terminal of the user in advance permission servers Procedures that only allow communication with
(2) the client terminal of the user, from the member registration server, and procedures to obtain permission for access to the access management server,
(3) the member registration server which permits the access, the member registration server to the switch (A) for connection to the core network, the access rights to allow access to the access management server of the user A procedure to direct the change,
(4) the switch that received the change instruction access from a member registration server which permits the access (A) is a switch (D) and said access management server for connecting a client terminal of the user to the core network a step of instructing a change of access rights allowed to the switch (B) for connection to the core network, the access from the user to the access management server,
(5) a procedure in which the client terminal of the user accesses the access management server to obtain an access right to the content distribution server intended by the user;
An access control method comprising: 前記(4)の手順において、前記メンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が、前記ユーザのクライアント端末を前記コアネットワークに接続するためのスイッチ(D)に対して前記ユーザからコンテンツ配信サーバへのアクセス権の変更を指示する際に、前記特定のスイッチ(B)及び(D)だけでなく、前記コアネットワークに属する全てのスイッチに対してアクセス権の変更を通知することを特徴とする請求項1に記載のアクセス制御方法。 In the procedure of (4), the switch (A) having received an access right change instruction from the member registration server sends the user terminal of the user to the switch (D) for connecting to the core network. When instructing the user to change the access right to the content distribution server , not only the specific switches (B) and (D) but also all the switches belonging to the core network are notified of the change of the access right. The access control method according to claim 1. 前記ユーザのクライアント端末及び前記アクセス管理サーバをアクセス配下に収容していないスイッチは、受信したアクセス権の変更を破棄し、特に動作をしなくすることを特徴とする請求項2に記載のアクセス制御方法。 The access control according to claim 2, wherein the switch that does not accommodate the user's client terminal and the access management server under the access discards the received access right change and does not particularly operate. Method. 前記手順(1)〜(5)にて当該ユーザが目的とする前記コンテンツ配信サーバからコンテンツの配信を受領し終えた際に、
(6) 前記メンバ登録サーバが当該ユーザへのアクセスを不許可とする手順と、
(7) 該メンバ登録サーバが、当該メンバ登録サーバを前記コアネットワークに接続するためのスイッチ(A)に対し当該ユーザのアクセス権の変更を指示する手順と、
(8) 前記メンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が、当該ユーザのクライアント端末を前記コアネットワークに接続するための前記スイッチ(D)に対して、当該ユーザから前記コンテンツ配信サーバへのアクセス権の変更を指示する手順と、
を有することを特徴とする請求項1に記載のアクセス制御方法。 When the user has received distribution of the content from the content distribution server intended by the user in steps (1) to (5),
(6) a procedure in which the member registration server disallows access to the user;
(7) The member registration server, the procedure to switch (A) for connecting the member registration server to the core network instructing a change of access rights of the user,
(8) The switch (A) that has received the access right change instruction from the member registration server, from the user to the switch (D) for connecting the client terminal of the user to the core network. A procedure for instructing to change the access right to the content distribution server ;
The access control method according to claim 1, further comprising: 前記(8)の手順において、前記メンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が、前記ユーザのクライアント端末を前記コアネットワークに接続するためのスイッチ(D)に対して前記ユーザから前記コンテンツ配信サーバへのアクセス権の変更を指示する際に、前記特定のスイッチ(B)及び(D)だけでなく、前記コアネットワークに属する全てのスイッチに対してアクセス権の変更を通知することを特徴とする請求項4に記載のアクセス制御方法。 In the procedure of (8), the switch (A) having received an access right change instruction from the member registration server sends the user terminal of the user to the switch (D) for connecting to the core network. When instructing the user to change the access right to the content distribution server , not only the specific switches (B) and (D) but also all the switches belonging to the core network are notified of the change of the access right. The access control method according to claim 4, wherein: 前記ユーザのクライアント端末及び前記アクセス管理サーバをアクセス配下に収容していないスイッチは、受信したアクセス権の変更を破棄し、特に動作をしなくすることを特徴とする請求項5に記載のアクセス制御方法。 6. The access control according to claim 5, wherein the switch that does not accommodate the user's client terminal and the access management server under the access discards the received change of the access right and does not particularly operate. Method. 各々がコアネットワークに配置されるパケットフィルタリング機能を有するエッジルータやレイヤ2スイッチのような複数のスイッチと、各々がアクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチにそれぞれ接続される複数のクライアント端末と、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、あるクライアント端末のユーザからのアクセスに対してコンテンツを配信するコンテンツ配信サーバ機能を有する少なくとも1個のコンテンツ配信サーバと、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、ユーザからのコンテンツ配信要求毎に、当該ユーザの要求するコンテンツへのアクセスの可否を判断し、当該ユーザがアクセスすべき適切なコンテンツ配信サーバを決定して、当該ユーザのクライアント端末に対し、当該コンテンツ配信サーバにアクセスするのに必要な情報を受け渡すアクセス管理サーバ機能を有する少なくとも1個のアクセス管理サーバと、アクセスネットワークを経由して前記コアネットワークにおける近隣のスイッチに接続され、特定のユーザを当該コンテンツ配信サービスを利用することのできるメンバとして登録するメンバ登録機能を有する少なくとも1個のメンバ登録サーバと、で構成されるコンテンツ配信ネットワークシステムにおいて、
前記メンバ登録サーバ機能にてメンバ登録されて、当該メンバ登録サーバへのアクセスが許可されているあるユーザのクライアント端末を前記コアネットワークに接続するスイッチ(D)及び前記メンバ登録サーバを前記コアネットワークに接続するスイッチ(A)が、前記メンバ登録サーバへのアクセスが許可されている前記ユーザのアクセス権をそれぞれのあて先サーバアドレス参照して動作するパケットフィルタリング制御よって設定して、予めアクセス許可されたユーザのクライアント端末と前記メンバ登録サーバとの間の通信のみを許容し、
前記メンバ登録サーバが前記ユーザに対してアクセスを許可した場合に、前記メンバ登録サーバが、当該メンバ登録サーバを前記コアネットワークに接続するスイッチ(A)に対して、前記ユーザの前記アクセス管理サーバのアクセスを許容するアクセス権の変更を指示し、
前記メンバ登録サーバからアクセス権の変更指示を受けた前記スイッチ(A)が前記ユーザのクライアント端末を前記コアネットワークに接続するためのスイッチ(D)及び前記アクセス管理サーバを前記コアネットワークに接続するためのスイッチ(B)に対して、前記ユーザから前記アクセス管理サーバへのアクセスを許容するアクセス権の変更を指示するようにして前記ユーザのクライアント端末が、前記アクセス管理サーバにアクセスできるようにし、前記ユーザのクライアント端末アクセス管理サーバにアクセスして、当該ユーザが目的とするコンテンツ配信サーバへのアクセス権を得ることにより、当該ユーザと当該コンテンツ配信サーバとの間の通信を可能にすることを特徴とするコンテンツ配信ネットワークシステム。 A plurality of switches such as edge routers and layer 2 switches each having a packet filtering function arranged in the core network, and a plurality of clients each connected to neighboring switches in the core network via the access network A terminal and at least one content distribution server connected to a neighboring switch in the core network via an access network and having a content distribution server function for distributing content in response to access from a user of a client terminal; It is connected to a neighboring switch in the core network via an access network, and for each content distribution request from a user, it is determined whether or not the content requested by the user can be accessed. At least one access management server having an access management server function for determining an appropriate content distribution server to be accessed and transferring information necessary for accessing the content distribution server to the client terminal of the user; At least one member registration server connected to a neighboring switch in the core network via an access network and having a member registration function for registering a specific user as a member who can use the content distribution service; In a content distribution network system consisting of
A switch (D) for connecting a client terminal of a user who has been registered by the member registration server function and permitted to access the member registration server to the core network, and the member registration server in the core network switch connecting (a) is, referring to a result set in the packet filtering control that operates the respective destination server address access of the user access to the member registration server is permitted, in advance permissions It was allowed communication only between the user of the client terminal and the member registration server,
When the member registration server permits access to the user, the member registration server sends the member registration server to the access management server of the user for the switch (A) connecting the member registration server to the core network. Instructing to change the access rights to allow
Said switch having received the change instruction permissions from the member registration server (A) connects the switch (D) and said access management server for connecting a client terminal of the user to the core network to the core network To instruct the switch (B) to change the access right that allows the user to access the access management server , so that the client terminal of the user can access the access management server , Enabling communication between the user and the content distribution server by accessing the access management server by the client terminal of the user and obtaining an access right to the content distribution server intended by the user. A featured content distribution network system. 前記ユーザのクライアント端末及び前記コンテンツ配信サーバが前記コアネットワークにおけるどのスイッチに配下に接続されているかを特定するために、予め各ユーザ及びサーバのIPアドレスと各スイッチのIPアドレスをテーブル化して、各スイッチが保持することを特徴とする請求項7に記載のコンテンツ配信ネットワークシステム。   In order to specify which switch in the core network the client terminal of the user and the content distribution server are connected to, the IP address of each user and server and the IP address of each switch are tabulated in advance, The content distribution network system according to claim 7, wherein the switch holds the content distribution network system. 前記ユーザと前記コンテンツ配信サーバとの通信を許容するアクセス権の変更指示を、前記コアネットワークにおける全てのスイッチに対して通知し、通知された各スイッチが自らの保持しているルーティングテーブル上で当該アクセス権変更の要求に含まれるIPアドレス情報に一致するあて先IPアドレス、つまりは当該ユーザ又は当該コンテンツ配信サーバのIPアドレスの有無を確認し、一致するIPアドレスがある場合には要求通りにスイッチの転送フィルタリング機能の変更を動的に変更し、一致するものがないときには特に何もリアクションを起こさないようにすることを特徴とする請求項8に記載のコンテンツ配信ネットワークシステム。   An instruction to change the access right that allows communication between the user and the content distribution server is notified to all the switches in the core network, and the notified each switch on the routing table held by itself Check whether there is a destination IP address that matches the IP address information included in the access right change request, that is, the IP address of the user or the content distribution server, and if there is a matching IP address, 9. The content distribution network system according to claim 8, wherein a change of the transfer filtering function is dynamically changed so that no reaction is caused particularly when there is no match. 前記ユーザのクライアント端末及び前記コンテンツ配信サーバが前記コアネットワークにおけるどのスイッチに配下に接続されているかを特定するために、予め各ユーザ及びサーバのIPアドレスと各スイッチのIPアドレスをテーブル化した情報を管理するスイッチIPアドレス解決サーバを前記コアネットワークに設けたことを特徴とする請求項7に記載のコンテンツ配信ネットワークシステム。   In order to specify to which switch in the core network the client terminal of the user and the content distribution server are connected, information in which the IP address of each user and server and the IP address of each switch are tabulated in advance 8. The content distribution network system according to claim 7, wherein a switch IP address resolution server to be managed is provided in the core network. 請求項7に記載のコンテンツ配信ネットワークシステムにおけるスイッチであって、前記ユーザのクライアント端末及び前記コンテンツ配信サーバが前記コアネットワークにおけるどのスイッチに配下に接続されているかを特定するために、各スイッチが、予め各ユーザ及び各サーバのIPアドレスと各スイッチのIPアドレスをテーブル化して保持し、前記ユーザと前記コンテンツ配信サーバとの通信を許容するアクセス権の変更指示が前記コアネットワークにおける全てのスイッチに対して通知された際に、通知された各スイッチが自らの保持しているルーティングテーブル上で当該アクセス権変更の要求に含まれるIPアドレス情報に一致するあて先IPアドレス、つまりは当該ユーザ又は当該コンテンツ配信サーバのIPアドレスの有無を確認し、一致するIPアドレスがある場合には要求通りにスイッチの転送フィルタリング機能の変更を動的に変更し、一致するものがないときには特に何もリアクションを起こさないようにすることを特徴とするスイッチ。   The switch in the content distribution network system according to claim 7, wherein each switch is used to specify a switch in the core network to which the client terminal of the user and the content distribution server are connected. The IP address of each user and each server and the IP address of each switch are stored in a table in advance, and an access right change instruction that allows communication between the user and the content distribution server is sent to all switches in the core network. The destination IP address that matches the IP address information included in the access right change request on the routing table held by each of the notified switches, that is, the user or the content distribution Of the IP address of the server Checks for nothing, dynamically changes the forwarding filtering function of the switch as requested when there is a matching IP address, and does not cause any reaction especially when there is no matching Switch. 請求項1に記載のコンテンツ配信ネットワークシステムのアクセス制御方法における、前記アクセス管理サーバとして構成するコンピュータに前記手順(1)を実行させるプログラムと、前記メンバ登録サーバとして構成するコンピュータに前記手順(3)を実行させるプログラムと、
を含むプログラム。 The access control method for a content distribution network system according to claim 1 , wherein a program that causes a computer that constitutes the access management server to execute the procedure (1), and a computer that constitutes the member registration server include the procedure (3). A program that executes
Including programs. 請求項12に記載のプログラムを記録した記録媒体。   A recording medium on which the program according to claim 12 is recorded.
JP2004044178A 2004-01-22 2004-02-20 ACCESS CONTROL METHOD, NETWORK SYSTEM USING THE SAME, APPARATUS AND COMPUTER COMPOSING THE SAME Expired - Fee Related JP4176654B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004044178A JP4176654B2 (en) 2004-01-22 2004-02-20 ACCESS CONTROL METHOD, NETWORK SYSTEM USING THE SAME, APPARATUS AND COMPUTER COMPOSING THE SAME

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004014330 2004-01-22
JP2004044178A JP4176654B2 (en) 2004-01-22 2004-02-20 ACCESS CONTROL METHOD, NETWORK SYSTEM USING THE SAME, APPARATUS AND COMPUTER COMPOSING THE SAME

Publications (2)

Publication Number Publication Date
JP2005236732A JP2005236732A (en) 2005-09-02
JP4176654B2 true JP4176654B2 (en) 2008-11-05

Family

ID=35019223

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004044178A Expired - Fee Related JP4176654B2 (en) 2004-01-22 2004-02-20 ACCESS CONTROL METHOD, NETWORK SYSTEM USING THE SAME, APPARATUS AND COMPUTER COMPOSING THE SAME

Country Status (1)

Country Link
JP (1) JP4176654B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101485610B1 (en) * 2008-11-27 2015-01-22 주식회사 케이티 Distributed content delivery system based on network awareness and method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101485610B1 (en) * 2008-11-27 2015-01-22 주식회사 케이티 Distributed content delivery system based on network awareness and method thereof

Also Published As

Publication number Publication date
JP2005236732A (en) 2005-09-02

Similar Documents

Publication Publication Date Title
JP4754964B2 (en) Radio network control apparatus and radio network control system
EP1949644B1 (en) Remote access to resources
JP5811171B2 (en) COMMUNICATION SYSTEM, DATABASE, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
US7171453B2 (en) Virtual private volume method and system
JP5862577B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, POLICY MANAGEMENT DEVICE, COMMUNICATION METHOD, AND PROGRAM
TW201141126A (en) Apparatus and methods for managing network resources
CN103404103A (en) System and method for combining an access control system with a traffic management system
JP2004048234A (en) User authentication system and user authentication method
US10595320B2 (en) Delegating policy through manufacturer usage descriptions
WO2006095438A1 (en) Access control method, access control system, and packet communication apparatus
WO2013056585A1 (en) Virtual private cloud access authentication method and related apparatus
EP2512087B1 (en) Method and system for accessing network through public device
WO2009074082A1 (en) Access controlling method?system and device
US20180115552A1 (en) Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
EP1830520B1 (en) Method and system for redirecting of the client
JP4081041B2 (en) Network system
JP5204054B2 (en) Network management system and communication management server
WO2008062353A2 (en) Method for authenticating nomadic user domains and nodes therefor
JP2012070225A (en) Network relay device and transfer control system
JP4176654B2 (en) ACCESS CONTROL METHOD, NETWORK SYSTEM USING THE SAME, APPARATUS AND COMPUTER COMPOSING THE SAME
JP5261432B2 (en) Communication system, packet transfer method, network switching apparatus, access control apparatus, and program
KR20150067041A (en) Method and apparatus of controlling registration in M2M system for load balancing
EP2615780B1 (en) Content transmission device and network node
JP3953963B2 (en) Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060405

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070615

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070615

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080520

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080718

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080819

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080820

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110829

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120829

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130829

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees