JP4680068B2 - 通信制御方法、ネットワーク及びネットワーク機器 - Google Patents

通信制御方法、ネットワーク及びネットワーク機器 Download PDF

Info

Publication number
JP4680068B2
JP4680068B2 JP2006000767A JP2006000767A JP4680068B2 JP 4680068 B2 JP4680068 B2 JP 4680068B2 JP 2006000767 A JP2006000767 A JP 2006000767A JP 2006000767 A JP2006000767 A JP 2006000767A JP 4680068 B2 JP4680068 B2 JP 4680068B2
Authority
JP
Japan
Prior art keywords
content
function
security
route
communication control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006000767A
Other languages
English (en)
Other versions
JP2007184724A (ja
Inventor
正文 加藤
彰浩 猪俣
進之介 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006000767A priority Critical patent/JP4680068B2/ja
Priority to US11/501,350 priority patent/US20070157307A1/en
Publication of JP2007184724A publication Critical patent/JP2007184724A/ja
Application granted granted Critical
Publication of JP4680068B2 publication Critical patent/JP4680068B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、セキュリティを考慮したネットワーク及び通信技術に関する。
ウィルスだけでなく、スパムメールの洪水やフィッシング詐欺などネットワークを用いた犯罪が多発しており、情報セキュリティが益々重視されていてきている。これに対処すべく、情報セキュリティに関する様々な技術が登場している。例えば、ISP(Internet Service Provider)のメールサーバ等でメールのウィルスチェックを実施したり、企業内ネットワークに持ち込むパーソナル・コンピュータ(PC)のセキュリティ・レベルをネットワーク経由のセキュリティセンタでチェックし、セキュリティ・レベルが許容値に達していないの場合には企業内ネットワークに接続させないというような技術が存在している。
また、特開2003−174483号公報には、様々な企業の要求に応じてセキュリティを管理する際の管理負担を軽減するための技術が開示されている。具体的には、第一の経路選択サーバは、データ転送経路と、その転送経路に沿って転送すべきデータの条件と、発揮すべきセキュリティ機能との対応関係情報を保持する。第一の経路選択サーバ11は、最初にアクセスがあると、データ転送経路を定める。そして、その経路上の機器に、経路の情報と、その経路に沿って転送すべきデータの条件と、発揮すべきセキュリティ 機能とを通知する。ファイアウォールやウィルス検知サーバ等は、この通知を受け、条件を満たすデータに対して通過の可否判断や、ウィルスチェックを行う。セキュリティ上の問題が無ければ、通知された経路に従ってデータを転送する。しかしながら、経路上の機器の数には触れられておらず、経路設定にのみに注目しているのでネットワーク全体のセキュリティについては考察されていない。また、経路設定の際にセキュリティ機能だけが考慮されており、他の条件を含めた全体最適化が考察されていないし、具体的な経路選択アルゴリズムも示されていない。
特開2003−174483号公報
上で述べたようにネットワークにおけるセキュリティは様々な角度で検討されているが、特定のコンテンツをコンテンツ・サーバから配信する際における様々な問題に注目して解決するような文献は存在していない。更に、具体的な経路制御、アドミッション制御のようなパス制御のアルゴリズムを述べた文献も存在していない。
従って、本発明の目的は、ネットワークにおけるセキュリティを向上させるための新規の技術を提供することである。
また、本発明の目的は、コンテンツをコンテンツ・サーバから配信する際に、ユーザ要求やコンテンツや異常状態の有無など様々な条件を考慮しつつ、必要なセキュリティ機能を実現するための通信技術を提供することである。
本発明の第1の態様に係る、予め定められた1又は複数のセキュリティ機能を有する複数のセキュア・ネットワーク機器が配置されたネットワークにおける通信を制御する通信制御方法は、特定のコンテンツを要求するコンテンツ要求を当該コンテンツ要求の送信先に加えて受信するステップと、コンテンツ要求の送信先から送信元への当該特定のコンテンツの送信経路中に実施すべきセキュリティ機能と当該セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件(例えば機器数、機器数の割合など)とを経路選択条件として用いて経路決定を行う経路決定ステップとを含む。
このようにセキュリティ機能だけではなく当該セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件とを経路選択条件として用いるため、送信経路が長く多数のホップ数が必要となる場合においても適切な頻度にて上記セキュリティ機能に関する処理が実施されるようになり、適切なセキュリティが確保される。数量的な条件は、動的に変化させるようにしても良い。
また、コンテンツ要求の送信先から送信元までに複数のサブネットワークが含まれる場合には、実施すべきセキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件が、サブネットワークにおける数量的な条件(例えば、サブネットワークにおけるセキュア・ネットワーク機器の数又は割合など)を含むようにしてもよい。複数のサブネットワークを経由して特定のコンテンツが配信される場合には、これにより適切なセキュリティが確保される。
さらに、セキュア・ネットワーク機器が、呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、転送したコンテンツ又はパケットを保存する保存機能と、転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、転送したコンテンツの受信を送信元に通知する受信確認機能とのうち少なくとも1つをセキュリティ機能として有するようにしてもよい。セキュア・ネットワーク機器が、より多くのセキュリティ機能を有するようにすれば、経路選択の余地が広がる。
また、コンテンツ要求の送信元に関する情報(例えばユーザの要求や属性、ユーザプロファイル)、送信先に関する情報(例えばコンテンツ提供者の属性など)及び特定のコンテンツに関する情報(コンテンツプロファイルなど)のうち少なくともいずれかに基づき、特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを決定する決定ステップをさらに含むようにしてもよい。このように、実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルが決定され、それに応じた経路設定などが行われるようになる。
さらに、特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルに応じたヘッダを特定のコンテンツ・データ又はパケットに付与する付与ステップをさらに含むようにしてもよい。ヘッダを適切に設定することにより、設定された送信経路で適切にセキュリティ機能に関連する処理が実施されるようになる。
また、上記ヘッダが、セキュリティ・レベルを含むようにしてもよい。その場合には、送信経路中のセキュリティ機能を有するセキュア・ネットワーク機器により、当該ヘッダに含まれるセキュリティ・レベルに基づき実施すべきセキュリティ機能を特定し、保持するセキュリティ機能の実施の有無を判断するステップをさらに含むようにしてもよい。セキュリティ・レベル毎に別途実施すべきセキュリティ機能が規定されているような場合である。
一方、上記ヘッダが、実施すべきセキュリティ機能を指定するアクション・ラベルを含むようにしてもよい。その場合、送信経路中のセキュリティ機能を有するセキュア・ネットワーク機器により、ヘッダに含まれるアクション・ラベルに基づき実施すべきセキュリティ機能を特定し、保持するセキュリティ機能の実施の有無を判断するステップをさらに含むようにしてもよい。
本発明の第2の態様に係るネットワークにおいては、呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、転送したコンテンツ又はパケットを保存する保存機能と、転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、転送したコンテンツの受信を送信元に通知する受信確認機能とのうち少なくとも1つをセキュリティ機能として有するセキュア・ネットワーク機器が、トラフィック需要及びホップ数又は距離に基づき算出され且つ当該セキュア・ネットワーク機器を経由する際に消費するリソース消費量を最小化する位置に配置されている。このようにすることにより、コンテンツなどに対して必要なセキュリティ機能を必要なだけ実施しつつ効率的に配信することができるようになる。
本発明の第3の態様に係る、予め定められたセキュリティ機能を有するセキュア・ネットワーク機器が配置されたネットワークにおける通信を制御する通信制御方法は、特定のコンテンツを要求するコンテンツ要求を当該コンテンツ要求の送信先に加えて受信するステップと、受信したコンテンツ要求の送信元、送信先及び特定のコンテンツのうち少なくとも1つに基づき、特定のコンテンツの送信経路中のセキュア・ネットワーク機器に実施させるべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを決定する決定ステップとを含む。このようにすれば特定のコンテンツを配信する際に必要なセキュリティ機能が適切に特定されるようになる。
本発明の第4の態様に係るネットワーク機器は、特定のコンテンツを要求するコンテンツ要求に対して当該特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルのデータを通信制御装置から受信する手段と、特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルに応じたヘッダを特定のコンテンツ・データ又はパケットに付与する付与手段とを有する。このようなネットワーク機器が、コンテンツ・サーバ付近のエッジルータとして配置されれば、適切なルーティングがなされるようになる。なお、ネットワーク機器が、コンテンツ・サーバと一体化されるようにしてもよい。
本発明の第5の態様に係るネットワークにおいては、呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、転送したコンテンツ又はパケットを保存する保存機能と、転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、転送したコンテンツの受信を送信元に通知する受信確認機能とをセキュリティ機能として有するセキュア・ネットワーク機器が広域ネットワークにおけるサブネット間の境界に配置される。このようにすれば、広域ネットワークのサブネット間をまたいでコンテンツが送信される場合には、特別な経路設定を行わなくともセキュア・ネットワーク機器を経由するため必要なセキュリティが確保されるようになる。
本発明の第6の態様に係るセキュア・ネットワーク機器は、呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、転送したコンテンツ又はパケットを保存する保存機能と、転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、転送したコンテンツの受信を送信元に通知する受信確認機能とのうち少なくとも1つをセキュリティ機能として有する。そして、特定のコンテンツを要求するコンテンツ要求に対して特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルに応じたヘッダを有する特定のコンテンツのデータ又はパケットを受信する手段と、上記ヘッダがセキュリティ・レベルを含む場合には、当該ヘッダに含まれるセキュリティ・レベルに基づき実施すべきセキュリティ機能を特定し、保持するセキュリティ機能の実施の有無を判断する手段とをさらに有する。
また、上記ヘッダが、実施すべきセキュリティ機能を指定するアクション・ラベルを含む場合には、当該ヘッダに含まれるアクション・ラベルに基づき実施すべきセキュリティ機能を特定し、保持するセキュリティ機能の実施の有無を判断する手段を有する。
なお、本通信制御方法などは、コンピュータと当該コンピュータに実行されるプログラムとで実施され、このプログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。また、ネットワークなどを介してデジタル信号として配信される場合もある。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
本発明によれば、ネットワークにおけるセキュリティを向上させることができるようになる。
また、本発明の他の側面によれば、コンテンツをコンテンツ・サーバから配信する際において、ユーザ要求やコンテンツや異常状態の有無など様々な条件を考慮しつつ、必要なセキュリティ機能を実現することができるようになる。
本発明の実施の形態においては、道路に安全・不安全があるようにネットワークにも「安全・不安全な通信経路」という考え方を導入する。具体的には、いくつかのセキュリティ機能を有するノードを中継する経路を安全な経路と定義し、要求に応じて安全な経路を選択するようにする。
具体的には、経路を選択する際に、最小コスト経路を選択するという一般的な条件にセキュリティ機能の有無を条件として加味するアルゴリズムを提供しており、全体最適化を図ることができる。更に、経路が既に決定されているように、経路選択の自由度が無い場合においても、パス設定時のアドミッション制御でセキュリティ機能の有無を確認することで、セキュリティ機能を実施することが可能となる。
また、通常時と災害発生などの異常時における処理を変更することを考慮しており、高信頼インフラを構築するための基本技術を提供することが可能になる。
図1に本発明の一実施の形態におけるシステム概要図を示す。本実施の形態に係るシステムでは、ユーザプレイン100とネットワーク制御プレイン200とコンテンツ制御プレイン300との3つのプレインで構成される。ユーザプレイン100には、ネットワーク(LAN(Local Area Network)、HN(Home Network)、WAN(Wide Area Network)など)に接続されている様々な機器が含まれる。図1の例では、ユーザ端末側のエッジルータ105には、ユーザ端末101及び102が接続されており、また通常のルータ103にも接続されている。また、ネットワークには以下で説明するセキュリティ機能を有するセキュア・ノード(SN)104及び他の通常のルータ103も複数含まれている。なお、セキュア・ノード104は、ネットワーク中に散在しているものとする。また、サーバ側のエッジルータ106には、コンテンツサーバ108が接続されている。このコンテンツサーバ108は、配信されるコンテンツのデータを格納しているコンテンツDB109を管理している。ユーザプレイン100に属するサーバ、機器及びネットワークは図1には示されていなくとも多数存在している。また、ユーザプレイン100に属する機器は、以下で説明するようにネットワーク制御プレイン200及びコンテンツ制御プレイン300におけるサーバと連携可能となっている。
ネットワーク制御プレイン200は、端末とサーバ間の経路やコネクションを確立するなどのネットワークレイヤ機能を実行する層であり、経路制御サーバ201とアドミッション制御サーバ202などが含まれる。経路制御サーバ201は、コンテンツ制御プレイン300からの指示に応じて経路を決定する処理を実施し、ユーザプレイン100における機器に必要な設定を行う。また、アドミッション制御サーバ202は、コンテンツ制御プレイン300からの指示に応じて、アドミッション処理やこれ以外の呼、コネクション、パス又はセッションを設定するための処理などを実施し、ユーザプレイン100における機器に必要な設定を行う。
コンテンツ制御プレイン300には、コンテンツアクセスに関するサービス提供方法の決定、あるいは、コンテンツサービスを実行する層であり、状況管理サーバ301とユーザプロファイル303及びコンテンツプロファイル304を管理するコンテンツ通信制御サーバ302、転送履歴DB306を管理する転送履歴サーバ305、コンテンツ保存部308を管理する保存管理サーバ307とが含まれる。状況管理サーバ301は、ユーザプレイン100等に関連して収集された状況データに基づき現在の状況が正常であるか異常であるかを判定し、当該判定結果をコンテンツ通信制御サーバ302に通知する。通信制御サーバ302は、ユーザプロファイル303に格納されているコンテンツ要求元のユーザの設定又は属性と、コンテンツプロファイル304に格納されたコンテンツ提供者のポリシー及び要求コンテンツの属性などに基づき、コンテンツの送信経路中に実施すべきセキュリティ機能を決定し、ネットワーク制御プレイン200及びユーザプレイン100に対する制御を行う。転送履歴管理サーバ305は、転送履歴を保持するセキュア・ノード104から転送履歴のデータを収集し、当該転送履歴データをコンテンツ毎に統合して転送履歴DB306に格納する。保存管理サーバ307は、コンテンツを一時的に保存するセキュア・ノード104から、ノードの蓄積容量に限界があるような場合にコンテンツを収集し、コンテンツ保存部308に蓄積する。
ユーザプロファイル303は、ユーザ毎に、例えばコンテンツの各種別に対応してユーザが予め規定している必要なセキュリティ機能の定義を格納している。また、異常時に処理を切り替えるために、例えばユーザにより指定された発信先が登録されている。なお、その他実施すべきセキュリティ機能を特定するのに用いるユーザの属性データを保持するような場合もある。
コンテンツプロファイル304は、例えばコンテンツ提供者毎(例えばドメイン毎)に必要なセキュリティ機能の定義を格納したり、コンテンツの属性毎に必要なセキュリティ機能の定義を格納するものである。例えば、「医療」「金融」といった大分類につき必要なセキュリティ機能の定義してもよいし、「医療」の下位概念の「個人病歴」という分類について必要なセキュリティ機能の定義をしてもよい。階層的な定義を行えば、下位の階層の定義がなければ上の階層の定義を用いるようにする。
なお、コンテンツ通信制御サーバ302の管理者が、必要なセキュリティ機能の変換ルールを定義しておき、コンテンツプロファイル304における定義を変更する場合もある。例えば、特定の属性を有するコンテンツについては必要なセキュリティ機能を増加させたり、減らしたりする。
状況管理サーバ301は、ユーザプレイン100、交通、社会、天候などにおいて生じた事象のデータ及び登録ユーザにおいて生じた事象のデータを収集する状況データ収集部401から状況データの収集データを受信する。この状況データ収集部401は、様々なセンサであり、(1)ユーザプレイン100におけるネットワークの障害状況、輻輳状態、ウィルス伝播状態などを収集する装置、(2)電車の運行管理システムから運行状況に関するデータを受信する装置、又は各電車、各路線バスなどに付されたICタグと駅又は停留所等に設けられたICタグ・リーダとタイムテーブルとを組み合わせて運行状況を収集する装置、(3)道路に設けられた速度センサなどから車両の移動状況を収集する装置、(4)他の交通情報を提供するシステムから事故情報を収集する装置、(5)インターネット等に設けられた信頼あるニュースサイトから特定の種類のニュース(戦争、戦乱、テロ、国会解散など)を収集する装置、(6)地震計、(7)雨量計、気圧計、温度計、湿度計、風力計、気象庁ホームページなどから提供される台風、降雪、地震その他の特定のデータを収集する装置、(8)火災報知器、煙探知機、においセンサなどから火災の発生状況のデータを収集する装置、(9)株式市場システムから株価の値動きに関するデータを収集する装置、(10)ホームセキュリティ・システムから得られる登録ユーザ宅への侵入の有無を収集する装置、(11)物品、登録ユーザ、登録ユーザに関連する人などに付されたICタグと各所に配置されたICタグ・リーダから物品又は人の移動に関する状況データを収集して、盗難又は誘拐の可能性を検出する装置、(12)警報用の携帯端末から発せられた警報(犯罪(脅迫など)、病気(発作など)、負傷などの発生に関する警報)を収集する装置、(13)体温、脈拍、血圧などを測定した結果を収集し、特定の病状を検出する装置など、様々な装置を含む。
(2)(3)(4)等に基づき、交通の全面マヒ、大事故発生、複数路線のストップ、予め定められた大渋滞、予め定められた渋滞、単発事故などを検出する。(5)(9)に基づき、戦争勃発、同時テロ発生、株の急激な暴落、国会解散などを検出する。(6)から、震度6以上の地震の発生、震度4乃至5の地震の発生、震度3以下の地震の発生などを検出する。(7)などに基づき予め定められたレベルの大型台風、予め定められたレベルの大雪、大雨、予め定められた基準を満たす猛暑などを検出する。(8)によって火災の規模を検出する。(10)(12)(13)などに基づき、強盗の侵入、誘拐、脅迫、ストーカの出現、スリの発生、重体、重傷、持病の発作、負傷、花粉症の発生などを検出する。このように様々な異常のレベルを特定することができるが、本実施の形態では異常又は正常のいずれかを所定の基準にて判断するものとする。
次に、セキュア・ノード104の機能ブロック図を図2に示す。セキュア・ノード104は、コンテンツ又はコンテンツのパケットに付されたヘッダを解釈して必要なセキュリティ機能を動作させるヘッダ分析部1041と、ヘッダ分析部1041がヘッダを分析する際に必要となる定義データを格納するポリシーDB1042と、トレーサビリティ機能(TF)1043と保存機能(SF)1044とフィルタリング機能(FF)1045と受信確認機能(RF)1046との少なくとも1つとを有する。
トレーサビリティ機能1043は、ある指定された呼/コネクション/パス/セッションの設定情報や、ある指定されたコンテンツ又はそのパケットの通過情報(時刻、送信元、送信先など。転送履歴データとも呼ぶ。)を、転送履歴格納部1047に記録する。転送履歴格納部1047に格納されたデータについては、保存してから一定時間経過したり、ネットワーク管理者などにより指示された場合に、トレーサビリティ機能1043により削除される。また、トレーサビリティ機能1043は、例えば一定時間毎に転送履歴格納部1047に格納されているデータを転送履歴管理サーバ305に送信する。上でも述べたが、転送履歴管理サーバ305は、各トレーサビリティ機能1043を有するセキュア・ノード104から転送履歴データを受信すると、コンテンツ毎に整理して転送履歴DB306に保管する。転送履歴管理サーバ305は、ユーザ、ネットワーク管理者、コンテンツ提供者などからの要求に応じて転送履歴DB306から必要なコンテンツ・データについての転送履歴データを抽出して、ユーザなどに提供する。
また、保存機能1044は、ある指定されたコンテンツ又はそのパケットそのものをデータ格納部1048に保存する。保存機能1044は、データ格納部1048に格納されているコンテンツ又はそのパケットを、保存してから一定時間経過した後に削除したり、データ格納部1048の空き容量が所定基準以下になった場合には古い順番に削除したり、ユーザ、ネットワーク管理者、コンテンツ提供者などからの指示に応じて削除する。また、受信確認機能1046と連携できる場合には、保存しているコンテンツ又はそのパケットの受信確認が得られた場合に削除する。
フィルタリング機能1045は、指定のコンテンツ又はそのパケットを、廃棄又は通過させる機能である。また、受信確認機能1046は、ある指定されたコンテンツ又はそのパケットの受信完了を送信元へ通知する機能である。
ヘッダ分析部1041は、受信したコンテンツ又はそのパケットのヘッダに、実施すべきセキュリティ機能が定義されている場合には、それに従って必要な機能を動作させればよいが、例えばヘッダがセキュリティ・レベルを表している場合がある。その場合には、ポリシーDB1042を参照して、ヘッダを解釈する。その際、ポリシーDB1042には、図3に示すようなデータが格納されている。
図3の例では、レベル毎に必要なセキュリティ機能が定義されている。この例では、レベルが、無、低、中、高、特というレベル分けがなされている。無のレベルでは、必要なセキュリティ機能はない。低レベルでは、トレーサビリティ機能実施が規定されている。中レベルでは、トレーサビリティ機能、及び受信確認機能が規定されている。高レベルでは、3ホップ毎のトレーサビリティ機能、受信確認機能、及び保存機能が規定されている。特レベルでは、重要コンテンツにつきフィルタリング機能(通過)、トレーサビリティ機能、及び保存機能が規定されている。レベルが上がる毎に実施すべき処理の頻度を上げるように規定する場合もある。すなわち、実施間隔を規定するホップ数を下げるようにしてもよい。
次に、図1に示したシステムの処理フローを図4乃至図21を用いて説明する。例えば、ユーザ端末101は、ユーザからの指示に応じて、特定のコンテンツを要求するアクセス要求を送信する。このアクセス要求には、例えばURL(Uniform Resource Locator)のような要求コンテンツを特定するデータだけではなく、場合によっては、ユーザからの指示に応じて、要求コンテンツについて必要なセキュリティ機能を指定するデータ又は必要なセキュリティ機能を特定するためのデータを含む。さらに、ユーザ端末101ではなく、ユーザ端末側のエッジルータ105によって付加される場合もあるが、要求コンテンツの送信に必要な又は確保すべき帯域のデータを含む場合もある。
ユーザ端末側のエッジルータ105は、ユーザ端末101からアクセス要求を受信すると、当該アクセス要求をコンテンツ通信制御サーバ302に送信すると共に、さらに当該アクセス要求を従来技術に従ってネットワークを介してコンテンツサーバ側のエッジルータ106宛に送信する(ステップS1)。コンテンツサーバ側のエッジルータ106は、ユーザ端末側のエッジルータ105からアクセス要求を受信し、接続しているコンテンツサーバ108に転送する(ステップS5)。コンテンツサーバ108は、アクセス要求をコンテンツサーバ側のエッジルータ106から受信する(ステップS7)。なお、コンテンツサーバ側のエッジルータ106宛に送信するのは、この段階ではなく、例えばコンテンツ通信制御サーバ302から許可の指示を得てから送信するようにしても良い。
一方、コンテンツ通信制御サーバ302は、ユーザ端末側のエッジルータ105からアクセス要求を受信し(ステップS3)、セキュリティ決定処理を実施する(ステップS9)。このセキュリティ決定処理については図5及び図6を用いて説明する。
まず、コンテンツ通信制御サーバ302は、状況管理サーバ301から現在の状況データ(正常又は異常)を取得し、例えばメインメモリなどの記憶装置に格納する(ステップS21)。そして状況データに基づき現在の状況が正常であるか否かを判断する(ステップS23)。もし、正常ではなく異常である場合には、アクセス要求が緊急通報であるか判断する(ステップS25)。例えば警察署や消防署など予め定められた緊急通報先への接続要求(通話要求など)であるかを確認する。
もし、アクセス要求が緊急通報であると判断された場合には、フィルタリング機能(通過)、受信確認機能、及びトレーサビリティ機能を必要なセキュリティ機能として設定し(ステップS27)、元の処理に戻る。なお、必要なセキュリティ機能の実施頻度も併せて設定される場合もある。
一方、アクセス要求が緊急通報ではないと判断された場合には、アクセス要求の送信元及び送信先が登録着発信であるか判断する(ステップS29)。例えば、ユーザプロファイル303に規定されているデータを基に、アクセス要求の送信元に対応してアクセス要求の送信先が着信先として予め登録されているか判断する。もし、アクセス要求の送信元及び送信先が登録着発信であると判断された場合には、フィルタリング機能(通過)及び受信確認機能を必要なセキュリティ機能として設定し(ステップS31)、元の処理に戻る。なお、必要なセキュリティ機能に係る処理の実施頻度も併せて設定される場合もある。
さらに、アクセス要求の送信元及び送信先が登録着発信でないと判断した場合、アクセス要求で特定される要求コンテンツが登録重要コンテンツであるか判断する(ステップS33)。例えば、コンテンツプロファイル304又はユーザプロファイル303を参照して、コンテンツ提供者又はユーザが重要として登録しているコンテンツの要求であるか判断する。アクセス要求で特定される要求コンテンツが登録重要コンテンツであると判断された場合には、フィルタリング機能(通過)、保存機能及びトレーサビリティ機能を必要なセキュリティ機能として設定し(ステップS35)、元の処理に戻る。なお、必要なセキュリティに係る処理の実施頻度も併せて設定される場合もある。
アクセス要求で特定される要求コンテンツが登録重要コンテンツではないと判断された場合には、強制破棄を設定する(ステップS37)。具体的には、フィルタリング機能(破棄)が設定される。このように、異常時には、必ずフィルタリング機能を有するセキュア・ノード104を通過するようにして、緊急通報、予め想定されている登録着発信、登録重要コンテンツであれば当該フィルタリング機能を有するセキュア・ノード104で通過させ、それ以外ではフィルタリング機能を有するセキュア・ノード104で破棄する。そして元の処理に戻る。但し、ステップS39に移行するようにしても良い。またステップS27、S31及びS35で設定されるセキュリティ機能は一例であってセキュリティ機能の組み合わせを変更しても良い。
また、ステップS23において現在の状況が正常であると判断されると、アクセス要求又はユーザプロファイル303に必要なセキュリティ機能について規定がなされているか判断する(ステップS39)。アクセス要求又はユーザプロファイル303に必要なセキュリティ機能について規定がなされていると判断された場合には、アクセス要求又はユーザプロファイル303に対する確認処理を実施する(ステップS41)。確認処理については、図6を用いて説明する。
確認処理では、判断対象(ここではアクセス要求又はユーザプロファイル303)からトレーサビリティ機能が必要であるか判断する(ステップS51)。例えば、ユーザがトレーサビリティ機能を必要としているか否かを、判断対象のデータに規定がなされているかで判断する。アクセス要求に明示的に指示がなされているか、ユーザプロファイル303にユーザ(又は要求コンテンツとの組み合わせ)がトレーサビリティ機能の必要性を登録しているかを判断する。トレーサビリティ機能が必要と判断される場合には、トレーサビリティ機能ありと設定する(ステップS53)。なお、トレーサビリティ機能に係る処理の実施頻度についても併せて設定される場合もある。
ステップS51でトレーサビリティ機能が不要と判断された場合又はステップS53の後で、保存機能が必要であるか判断する(ステップS55)。ステップS51について述べたような判断基準にて本ステップにおいても判断する。保存機能が必要と判断された場合には、保存機能ありに設定する(ステップS57)。なお、保存機能に係る処理実施頻度についても併せて設定される場合もある。
ステップS55で保存機能が不要と判断された場合又はステップS57の後に、受信確認機能が必要であるか判断する(ステップS59)。本ステップにおいてもステップS51について述べたような判断基準にて判断する。受信確認機能が必要であると判断された場合には、受信確認機能ありに設定する(ステップS61)。そして、ステップS59において受信確認機能が不要と判断された場合又はステップS61の後に、元の処理に戻る。なお、受信確認機能の実施頻度についても併せて設定される場合もある。
図5の説明に戻って、ステップS39でアクセス要求又はユーザプロファイル303に必要なセキュリティ機能について規定がなされていないと判断された場合又はステップS41の後に、コンテンツプロファイル304に必要なセキュリティ機能について規定されているか判断する(ステップS43)。例えば、アクセス要求の送信先のコンテンツサーバ108に関連して必要なセキュリティ機能について規定されているか、アクセス要求に係るコンテンツ又はコンテンツの属性(例えばURLその他で特定する)に対応して必要なセキュリティ機能について規定されているか判断する。コンテンツプロファイル304に必要なセキュリティ機能について規定されていると判断された場合には、コンテンツプロファイル304に対する確認処理を実施する(ステップS45)。確認処理は図6に示したものと同様であり、判断対象がコンテンツプロファイル304である点のみ異なる。
そして、ステップS43でコンテンツプロファイル304に必要なセキュリティ機能について規定されていないと判断された場合又はステップS45の後に、ステップS41及びS45で必要とされたセキュリティ機能をすべて必要なセキュリティ機能として採用する(ステップS47)。このように、ユーザ、コンテンツ提供者、コンテンツなどから必要とされるセキュリティ機能については、これらのポリシーを全て反映すべく、必要とされたものを除外することなく、全て必要なセキュリティ機能として採用する。但し、場合によっては特別な判断基準にて特定のセキュリティ機能を実施不可と設定する場合もある。そして元の処理に戻る。
なお、図5及び図6で説明した処理では、フィルタリング機能、保存機能、受信確認機能、トレーサビリティ機能のそれぞれにつき実施の有無について判断しているが、図3に示したセキュリティ・レベルを判断するような処理を実施する場合もある。
図4の説明に戻って、コンテンツ通信制御サーバ302は、コンテンツサーバ108からコンテンツを送信する際の経路を決定すべきか判断する(ステップS11)。別処理で既に経路が決定されているか判断するものである。もし、経路が別処理で決定されている場合には、端子Bを介して図11の処理に移行する。一方、経路がまだ未定であってこれから決定すべき場合には、ステップS9で決定されたセキュリティについてのデータ(セキュリティ・データ(セキュリティ・レベルの場合もあれば、実施すべきセキュリティ機能と指定された処理の実施頻度等))などを含む経路決定要求を経路制御サーバ201に送信する(ステップS13)。経路決定要求には、例えばユーザ端末側のエッジルータ105(着ノードとも呼ぶ)及びコンテンツサーバ側のエッジルータ106(発ノードとも呼ぶ)のID又はアドレス、アクセス要求などに含まれる要求帯域のデータ及び状況データ(異常又は正常)も含まれる。コンテンツ通信制御サーバ302の処理は端子Bを介して図11の処理に移行する。
経路制御サーバ201は、コンテンツ通信制御サーバ302からセキュリティ・データ等を含む経路決定要求を受信し、例えばメインメモリなどの記憶装置に格納する(ステップS15)。そして、経路決定処理を実施する(ステップS17)。この処理については、図7乃至図10を用いて説明する。なお、ステップS17の後に端子Cを介して図11の処理に移行する。経路制御サーバ201は、まずnを1に初期化する(ステップS71)。そして、セキュリティ以外の条件で、ユーザ端末側のエッジルータ105からコンテンツサーバ側のエッジルータ106までの最小コスト経路を選択する(ステップS73)。この処理については従来と同じであるからこれ以上述べない。但し、図示しないネットワーク構成についてのデータを用いて処理を行う。当該ネットワーク構成についてのデータには、セキュア・ノード104であるか否か、そしてセキュア・ノード104が有するセキュリティ機能の種別などのデータを含む。
次に、ステップS73で特定された経路中のセキュア・ノード104の構成を特定する(ステップS75)。すなわち、経路中に存在する各セキュア・ノード104が有するセキュリティ機能、及びその経路中の配置状態(間隔(ホップ数)など)を特定する。そして、コンテンツ通信制御サーバ302から受信した経路決定要求に含まれるセキュリティ・データに基づき、必要なセキュア・ノード104が必要数又は必要な頻度で含まれているか判断する(ステップS77)。例えば、トレーサビリティ機能を3ホップ毎に入れるというセキュリティ・データを受信した場合には、当該セキュリティ・データの条件を満たしているか判断する。なお、セキュリティ・データに、必要なセキュリティ機能については指定があるが、実施頻度についての指定がない場合には、1つでも必要なセキュリティ機能を有するセキュア・ノード104が経路中に含まれていればよいとすることもあれば、最低ラインの実施頻度を予め決めておき、それの最低ラインの実施頻度を超えているか否かを判断することもある。なお、ネットワークが複数のサブネットワークを含み、ステップS73で特定された経路中複数のサブネットワークを経由する場合には、例えば各サブネットワーク中において必要なセキュリティ機能を有するセキュア・ノード104の数又は含有率などを確認する必要がある。
必要なセキュア・ノード104が必要数又は必要な頻度で含まれていると判断された場合には、ステップS73で特定された経路をコンテンツ送信の経路として決定し(ステップS79)、元の処理に戻る。なお、図7の処理フローでは、経路が確定したことをコンテンツ通信制御サーバ302に通知するようにはなっていないが、経路確定メッセージをコンテンツ通信制御サーバ302に送信するようにしてもよい。その場合、コンテンツ通信制御サーバ302は、経路確定メッセージを受信してから以下の処理を実施するようにしてもよい。
一方、必要なセキュア・ノード104が必要数又必要な頻度で含まれていないと判断された場合には、再経路決定を行うか否かを判断する(ステップS81)。再経路決定を行うか否かは設定に従う。再経路決定を行わない場合には、経路決定要求を拒否する要求拒否メッセージをコンテンツ通信制御サーバ302に送信する(ステップS89)。コンテンツ通信制御サーバ302は、経路制御サーバ201から要求拒否メッセージを受信すると、例えば以下の処理を行わず、ユーザ端末側のエッジルータ105を介してユーザ端末101に要求拒否を返信する。経路制御サーバ201の処理はこれで終了する。
一方、再経路決定を行う場合には、nが予め定められた閾値Nより小さいか判断する(ステップS83)。nが予め定められた閾値N以上である場合には、N回以上繰り返し経路を決定したにもかかわらず経路を特定できなかったとしてステップS89に移行する。これに対してnが予め定められた閾値Nより小さい場合には、現時点のステップS73で特定された経路以外の経路を新たな候補として、nを1インクリメントした後(ステップS87)、ステップS73に戻る。ここでは、新たな経路候補を抽出する方法として、先に選んだ経路の中で最大コストのリンクをネットワークのトポロジーグラフから外して、ステップS73の最小コスト経路を求める方法を例示している。
このような処理を実施することによって、経路中においてコンテンツ通信制御サーバ302によって決定された必要なセキュリティ機能に係る処理を必要な頻度で実施することが可能となる。図8に示すように、コンテンツ通信制御サーバ302によってトレーサビリティ機能(TF)が必要と判断された場合にはコンテンツサーバ108から要求元のユーザ端末101へ経路Aを経由して要求コンテンツが送信される。また、コンテンツ通信制御サーバ302によって保存機能(SF)が必要と判断された場合にはコンテンツサーバ108から要求元のユーザ端末101へ経路Bを経由して要求コンテンツが送信される。さらに、コンテンツ通信制御サーバ302によってフィルタリング機能(FF)が必要と判断された場合にはコンテンツサーバ108から要求元のユーザ端末101へ経路Cを経由して要求コンテンツが送信される。同様に、コンテンツ通信制御サーバ302によって受信確認機能が必要と判断された場合にはコンテンツサーバ108から要求元のユーザ端末101へ経路Dを経由して要求コンテンツが送信される。
次に、図9及び図10を用いて経路決定処理の別の処理フローを説明する。経路制御サーバ201は、コンテンツ通信制御サーバ302から受信したセキュリティ・データに含まれる必要なセキュリティ機能と、ネットワーク構成のデータとから、必要となるセキュア・ノード候補を特定する(ステップS91)。ユーザ端末側のエッジルータ105からコンテンツサーバ側のエッジルータ106までで経由する可能性のあるセキュア・ノード104であって、必要とされるセキュリティ機能を有するセキュア・ノード104を特定する。例えば図10のようなネットワークで、トレーサビリティ機能(TF)及び保存機能(SF)が必要なセキュリティ機能であるとすると、トレーサビリティ機能を有するTF1及びTF2というセキュア・ノード104と、保存機能を有するSF1及びSF2というセキュア・ノード104とが特定されるものとする。なお、ここでは発ノードをA、着ノードをBとする。
その後、経路制御サーバ201は、発ノード(コンテンツサーバ側のエッジルータ106)、着ノード(ユーザ端末側のエッジルータ105)及び必要なセキュリティ機能を有するセキュア・ノード104の全候補のそれぞれの間の最小コストの経路を見つけ、そのコスト値をネットワーク構成についてのデータを用いて特定し、例えばメインメモリなどの記憶装置に格納する(ステップS93)。ステップS93では、必要な帯域等が指定されている場合には、当該必要な帯域等を満たす最小コストのパスを特定する。
最後に、経路制御サーバ201は、発ノードから着ノードまで必要なセキュリティ機能を有するセキュア・ノード104を必要な数(必要なセキュリティ機能に係る処理の実施頻度を満たすセキュア・ノード104の数)だけ経由するように経路候補を特定し、各経路候補の合計コストを算出し、経路候補の中でコスト最小のものを選択する(ステップS95)。
例えば、図10のようなネットワークの場合には、以下のような経路候補が特定される。
A−TF1−SF1−B
A−TF1−SF2−B
A−TF2−SF1−B
A−TF2−SF2−B
A−SF1−TF1−B
A−SF1−TF2−B
A−SF2−TF1−B
A−SF2−TF2−B
図10では、発着ノードと必要な機能のセキュア・ノード候補だけを明示したが、この間にノードは存在し、発着ノードとセキュア・ノードを結ぶ経路は複数あるものとする。この中で、まず、発ノードAと各セキュア・ノード間の最小コスト経路を求める。次に機能が異なるセキュア・ノード間の最小コスト経路を求める。更に、各セキュア・ノードと着ノードBの最小コスト経路を求める。最後に上述した8つの経路候補のそれぞれの最小コストの和である合計コストを求め、この値が最小の経路を選択する。
次に図4の端子B及びC以降の処理を図11乃至図21を用いて説明する。経路制御サーバ201は、ステップS17で経路が決定されると、経路設定を経路上の関連ノードに対して行う(ステップS101)。コンテンツサーバ108からユーザ端末101に送信される特定のコンテンツを、ステップS17で決定された経路に沿って伝送するための設定を経路上の関連ノードに対して行う。この処理については従来と同じであるからこれ以上説明しない。
一方、コンテンツ通信制御サーバ302は、パス、コネクション等が必要であるか判断する(ステップS103)。上で述べた経路決定処理を実施した場合には、選ばれた経路上には必要なセキュリティ機能を有するセキュア・ノード104が確実に存在する。しかし、例えば経路制御サーバ201とは別のサーバにて別の基準で既に経路が決定されており、さらにコネクション、パス、セッションなどが必要となった場合、そのコネクション、パス、セッション等の経路上に必要なセキュリティ機能を有するセキュア・ノード104が必要な数だけ含まれているかどうかはわからないので、以下で述べるアドミッション制御でこの判定を加える必要がある。ここでは、経路等が経路制御サーバ201で決定されておらずパス等の設定が必要であるか判断する。パス等の設定が不要であれば端子Gを介して図13の処理に移行する。
一方、パス等の設定が必要であれば、パス、コネクション等が何らかの手段により既に設定されているか判断する(ステップS105)。例えばアドミッション制御サーバ202以外のサーバによって既にパス等が設定済みであれば、端子Gを介して図13の処理に移行する。これに対して、パス等が未設定であれば、コンテンツ通信制御サーバ302は、ステップS9で決定されたセキュリティについてのデータ(セキュリティ・データ(セキュリティ・レベルの場合もあれば、実施すべきセキュリティ機能と設定された実施頻度等))などを含むコネクション設定要求をアドミッション制御サーバ202に送信する(ステップS107)。コネクション設定要求には、例えばユーザ端末側のエッジルータ105(着ノードとも呼ぶ)及びコンテンツサーバ側のエッジルータ106(発ノードとも呼ぶ)のID又はアドレス、アクセス要求などに含まれる要求帯域のデータ及び状況データ(異常又は正常)も含まれる。コンテンツ通信制御サーバ302の処理は端子Gを介して図13の処理に移行する。
これに対して、アドミッション制御サーバ202は、コンテンツ通信制御サーバ302からセキュリティ・データ等を含むコネクション設定要求を受信し(ステップS109)、例えばメインメモリなどの記憶装置に格納する。そして、アドミッション制御処理を実施する(ステップS111)。このアドミッション制御処理については図12を用いて説明する。
アドミッション制御サーバ202は、コネクション設定要求に含まれる状況データに基づき、現在の状況が異常なのか否かを判断する(ステップS121)。現在の状況が異常であれば、当該コネクション設定要求に係るアクセス要求が、予め定められている重要呼であるか否かを判断する(ステップS123)。重要か否かは、セキュリティ・レベルが「特」に設定されていたり、アクセス先が警察など特別な場所であるかで決定する。
異常時には、重要呼又は緊急呼の通信を妨げないことが何よりも重要であるので、コネクション設定要求に係るアクセス要求が予め定められた重要呼であると判断された場合には、アクセス要求の優先受け付けを決定し(ステップS125)、ステップS127に移行する。なお、優先受け付けであるから、可能な限り受け付ける必要があるので、ステップS127に移行するのではなく、既に設定済みの経路にてコネクション等を設定して元の処理に戻るようにしてもよい。
重要呼ではないと判断された場合には、端子Hを介してステップS139に移行し、コネクション設定要求を拒否する要求拒否メッセージをコンテンツ通信制御サーバ302に送信する。コンテンツ通信制御サーバ302は、アドミッション制御サーバ202から要求拒否メッセージを受信すると、以下の処理を行わず、例えばユーザ端末側のエッジルータ105を介してユーザ端末101に要求拒否を返信する。アドミッション制御サーバ202の処理はこれで終了する。
一方、ステップS121で正常であると判断された場合には、アドミッション制御サーバ202は、nを1に初期化する(ステップS127)。そして、別の基準で既に決定されている未処理の経路を1つ選択する(ステップS129)。
次に、ステップS129で選択された経路中のセキュア・ノード104の構成を特定する(ステップS131)。すなわち、経路中に存在する各セキュア・ノード104が有するセキュリティ機能、及びその経路中の配置状態(間隔(ホップ数)など)を特定する。そして、コンテンツ通信制御サーバ302から受信したコネクション設定要求に含まれるセキュリティ・データに基づき、必要なセキュア・ノード104が必要数又は必要な頻度で含まれているか判断する(ステップS133)。例えば、トレーサビリティ機能を3ホップ毎に入れるというセキュリティ・データを受信した場合には、当該セキュリティ・データの条件を満たしているか判断する。なお、セキュリティ・データに、必要なセキュリティ機能については指定があるが、実施頻度についての指定がない場合には、1つでも必要なセキュリティ機能を有するセキュア・ノード104が経路中に含まれていればよいとすることもあれば、最低ラインの実施頻度を予め決めておき、それの最低ラインの実施頻度を超えているか否かを判断することもある。なお、ネットワークが複数のサブネットワークを含み、ステップS129で選択された経路中複数のサブネットワークを経由する場合には、例えば各サブネットワーク中において必要なセキュリティ機能を有するセキュア・ノード104の数又は含有率などを確認する必要がある。
必要なセキュア・ノード104が必要数又は必要な頻度で含まれていると判断された場合には、ステップS129で選択された経路についてコネクション設定要求に含まれている必要な帯域やQoS(Quality of Service)など他のパラメータの条件をチェックする(ステップS135)。このステップについては従来技術と同じであるからこれ以上述べない。そして、他の条件を全て満たしているか判断する(ステップS144)。他のいずれかの条件を満たしていないと判断された場合には、ステップS137に移行する。一方、他の条件を全てを満たしていると判断された場合には、ステップS129で選択した経路上にシグナリングにてコネクション、セッション又はパス等を設定する(ステップS145)。
一方、必要なセキュア・ノード104が必要数又必要な頻度で含まれていないと判断された場合又はステップS135で他のいずれかの条件を満たしていないと判断された場合には、再度経路のチェックを行うか否かを判断する(ステップS137)。再度経路のチェックを行うか否かは設定に従う。再経路のチェックを行わない場合には、ステップS139に移行する。
一方、再度経路チェックを行う場合には、nが予め定められた閾値Nより小さいか判断する(ステップS141)。nが予め定められた閾値N以上である場合には、N回以上繰り返し経路を決定したにもかかわらずコネクション設定まで至らなかったとしてステップS139に移行する。これに対してnが予め定められた閾値より小さい場合には、nを1インクリメントした後(ステップS143)、ステップS129に戻る。
このような処理を実施することによって、必要なセキュリティ機能が必要な頻度で実施されるかの確認及びコネクション等の設定を含むアドミッション処理が行われるようになる。
図11の処理に戻って、アドミッション制御サーバ202は、ステップS111において設定されたコネクションを実現するために関連ノードに設定を行う(ステップS113)。この処理は従来と同じであるからこれ以上述べない。その後、端子G以降の処理に移行する。
端子G以降の処理については図13乃至図18を用いて説明する。コンテンツ通信制御サーバ302は、セキュリティ・データ等を含むヘッダ設定要求を、コンテンツサーバ側のエッジルータ106に送信する(ステップS151)。ここでは、コンテンツサーバ側のエッジルータ106に送信する例を示しているが、コンテンツサーバ108に送信して、以下で説明するヘッダ設定処理をコンテンツサーバ108が実行するようにしても良い。コンテンツサーバ側のエッジルータ106は、コンテンツ通信制御サーバ302からセキュリティ・データ等を含むヘッダ設定要求を受信し、記憶装置に格納する(ステップS153)。一方、コンテンツサーバ108は、ステップS7(図4)で受信したアクセス要求に応答して、要求されたコンテンツ又はそのパケット・データをコンテンツDB109から読み出し、コンテンツサーバ側のエッジルータ106に送信する(ステップS155)。コンテンツサーバ側のエッジルータ106は、コンテンツサーバ108からコンテンツ又はそのパケット・データを受信して、ヘッダ設定処理を実施する(ステップS157)。このヘッダ設定処理については以下で詳細に述べる。そして、コンテンツサーバ側のエッジルータ106は、ステップS157で設定されたヘッダ付きのパケット等をユーザ端末側のエッジルータ105に送信する(ステップS159)。設定ヘッダ付きのパケット等は、上で述べた経路中の各ルータ(ネットワーク機器)を介して転送され、ユーザ端末側のエッジルータ105は、直前のルータから、設定ヘッダ付きのパケット等を受信し、ユーザ端末101に転送する(ステップS161)。ユーザ端末101は、ユーザ端末側のエッジルータ105から設定ヘッダ付きのパケット等を受信し、表示装置に表示する。
これによってユーザ端末では、必要なセキュリティ機能を有するセキュア・ノード104を介して所望のコンテンツを受信することができるようになる。セキュア・ノード104では必要なセキュリティ機能に係る処理が実施され、ユーザ、コンテンツ提供者などの意図に沿った、またコンテンツなどの属性に応じたセキュリティが確保された上で、コンテンツが配信されるようになる。
次に、コンテンツサーバ側のエッジルータ106によって実施されるヘッダ設定処理及びその転送処理について説明する。最初に、図3に示したようなポリシーに従ったセキュリティ・レベルがセキュリティ・データに含まれている場合を説明する。通常時においては、図14に示すような処理を実施する。まず、図3に示したようなポリシーに従ってセキュリティ・レベルがセキュリティ・データに含まれている場合、コンテンツサーバ側のエッジルータ106は、当該セキュリティ・レベルをヘッダに設定して、コンテンツサーバ108から受信したコンテンツのデータに付加する。
図14の例では、コンテンツAについては、コンテンツ通信制御サーバ302でセキュリティ・レベルが「低」と決定され通知されるので、ヘッダに「低」を設定する。また、コンテンツBについては、コンテンツ通信制御サーバ302でセキュリティ・レベルが「中」と決定され通知されるので、ヘッダに「中」を設定する。さらに、コンテンツCについては、コンテンツ通信制御サーバ302でセキュリティ・レベルが「高」と決定され通知されるので、ヘッダに「高」を設定する。
そうすると、図3に示したポリシーに従って、経路上のセキュア・ノード104のヘッダ分析部1041は、実施すべきセキュリティ機能を特定すると共に、保持するセキュリティ機能に係る処理を必要に応じて実施させる。ヘッダに「低」が設定されたコンテンツAについては、図3に従えばトレーサビリティ機能(TF)に係る処理のみを実施することになるので、フィルタリング機能(FF)を有するセキュア・ノード104a、トレーサビリティ機能(TF)を有するセキュア・ノード104b、保存機能(SF)を有するセキュア・ノード104c、受信確認機能(RF)を有するセキュア・ノード104dのうちトレーサビリティ機能(TF)を有するセキュア・ノード104bのみが機能してコンテンツAの転送を記録する。例えば、日時、ユーザ端末101のアドレス、コンテンツサーバ108のアドレス、コンテンツAのID(又はURL)、自分のアドレス又はIDなどが記録される。それ以外のルータでは、コンテンツAの単純な転送が行われ、ユーザ端末側のエッジルータ105を介してユーザ端末101に送信される。
ヘッダに「中」が設定されたコンテンツBについては、図3に従えばトレーサビリティ機能(TF)及び受信確認機能(RF)に係る処理を実施することになるので、トレーサビリティ機能(TF)を有するセキュア・ノード104bが機能してコンテンツBの転送を記録する。また、受信確認機能(RF)を有するセキュア・ノード104dが機能してコンテンツBの受信を送信元に通知する。それ以外のルータでは、コンテンツBの単純な転送が行われ、ユーザ端末側のエッジルータ105を介してユーザ端末101に送信される。
ヘッダに「高」が設定されたコンテンツCについては、図3に従えば3ホップ毎のトレーサビリティ機能(TF)、受信確認機能(RF)及び保存機能(SF)を実施することになる。よって、トレーサビリティ機能(TF)を有するセキュア・ノード104bが機能してコンテンツCの転送を記録する。また、受信確認機能(RF)を有するセキュア・ノード104dが機能してコンテンツCの受信を送信元に通知する。さらに、保存機能(SF)を有するセキュア・ノード104cが機能してコンテンツCをデータ格納部に保存する。
このように正常時では、セキュリティ・レベルに応じて経路上のセキュア・ノード104では要求された処理が実施される。また、セキュリティ・レベルに応じてセキュリティ・ノード104の組み合わせが切り替えられる。
また、異常時においては、図15に示すような処理を実施する。上でも述べたが、異常時には必ずフィルタリング機能を有するセキュア・ノード104を通過するように経路設定される。
具体的には、図3に示したようなポリシーを変換した図16に示したようなポリシーに従ったセキュリティ・レベルが経路制御サーバ201によって設定される。すなわち、レベルが「無」から「高」までについては、フィルタリング機能(破棄)が追加されている。これによって、「特」以外のレベルが付与されたコンテンツ又はそのパケットはフィルタリング機能によって破棄されるようになる。
このように図16に示したようなポリシーに従ったセキュリティ・データに含まれている場合、コンテンツサーバ側のエッジルータ106は、当該セキュリティ・レベルをヘッダに設定して、コンテンツサーバ108から受信したコンテンツのデータに付加する。
本実施の形態では、登録重要コンテンツ等の場合にのみ「特」が設定され、それ以外については通常通りのレベルが付与されるものとする。
そうすると、「特」というセキュリティ・レベルが設定されヘッダに付与されたコンテンツBについては、フィルタリング機能(FF)を有するセキュア・ノード104aで通過され、トレーサビリティ機能(TF)を有するセキュア・ノード104bで、コンテンツBの転送が記録され、保存機能(SF)を有するセキュア・ノード104cでコンテンツBが保存される。その他のセキュリティ・レベルが設定されヘッダに付与されたコンテンツについては、必ず通過するフィルタリング機能(FF)を有するセキュア・ノード104aで破棄される。
このように異常時と正常時ではコンテンツサーバ側のエッジルータ106では処理は同じであるが、経路上のセキュア・ノード104の組み合わせ及びその処理が切り替えられる。
次に、セキュリティ・データに、必要なセキュリティ機能の指定が明示的に行われている場合について図17及び図18を用いて説明する。
この場合、コンテンツサーバ側のエッジルータ106は、コンテンツ通信制御サーバ302から受信したヘッダ設定要求内のセキュリティ・データに含まれる必要なセキュリティ機能の指定をアクション・ヘッダに変換して、コンテンツサーバ108から受信したコンテンツのデータに付加する。具体的には、セキュリティ機能のオン又はオフを1ビットで表現し、FF/TF/RF/SFの順番で表す場合には、トレーサビリティ機能の指定があれば左から2ビット目を1にセットし、受信確認機能の指定があれば左から3ビット目を1にセットし、保存機能の指定があれば左から4ビット目を1にセットする。なお、フィルタリング機能(通過)の指定があるか又はフィルタリング機能の指定がなければ最も左側のビットを0にセットし、フィルタリング機能(破棄)の指定があれば最も左側のビットを1にセットする。
通常時において、例えばコンテンツAについて、トレーサビリティ機能の指定がセキュリティ・データに含まれていた場合には、アクション・ヘッダは0100となり、トレーサビリティ機能(TF)を有するセキュア・ノード104bのヘッダ分析部によって解釈され、当該トレーサビリティ機能によってコンテンツAの転送を記録する。
またコンテンツBについて、トレーサビリティ機能及び受信確認機能の指定がセキュリティ・データに含まれていた場合には、アクション・ヘッダは0110となり、トレーサビリティ機能(TF)を有するセキュア・ノード104bのヘッダ分析部によって解釈され、トレーサビリティ機能によってコンテンツBの転送を記録し、受信確認機能(RF)を有するセキュア・ノード104dのヘッダ分析部によって解釈され、受信確認機能によりコンテンツBの受信を送信元に通知する。
さらにコンテンツCについて、トレーサビリティ機能、受信確認機能及び保存機能がセキュリティ・データに含まれていた場合には、アクション・ヘッダは0111となり、トレーサビリティ機能(TF)を有するセキュア・ノード104bのヘッダ分析部によって解釈され、トレーサビリティ機能によってコンテンツCの転送を記録し、受信確認機能(RF)を有するセキュア・ノード104dのヘッダ分析部によって解釈され、受信確認機能によってコンテンツCの受信を送信元に通知し、保存機能(SF)を有するセキュア・ノード104cのヘッダ分析部によって解釈され、保存機能によってコンテンツCの保存を行う。
一方、異常時には登録重要コンテンツ等についてのみフィルタリング機能(通過)の指定がなされ、その他についてはフィルタリング機能(破棄)が指定される。他のセキュリティ機能については指定してもよいが指定しなくともよい。
図18に示されているように、コンテンツBが登録重要コンテンツなどである場合には、フィルタリング機能(通過)とトレーサビリティ機能と保存機能とが指定されるため、アクション・ヘッダは0101となる。従って、フィルタリング機能(FF)を有するセキュア・ノード104aはコンテンツBを通過させ、トレーサビリティ機能(TF)を有するセキュア・ノード104bは、コンテンツBの転送を記録し、保存機能(SF)を有するセキュア・ノード104cは、コンテンツBを保存する。
それ以外のコンテンツA及びCについては、登録重要コンテンツ等ではないので、強制廃棄するためフィルタリング機能(破棄)が指定される。その他の機能についてはどのような指定であってもよい。従って、アクション・ヘッダは1xxx(xは0でも1でもよいことを示す)となる。従って、フィルタリング機能(FF)を有するセキュア・ノード104aはコンテンツA及びCを破棄してしまう。
このように異常時と正常時では、アクション・ヘッダの設定については同じであるが、アクション・ヘッダの内容を切り替えて、各セキュア・ノード104における処理を切り替えている。
以上のような処理を実施することによって、必要なセキュリティ機能に係る処理を必要な頻度で実施させることができるようになり、所望のセキュアなコンテンツ伝送が可能となる。
以上述べたように、トレーサビリティ機能を有するセキュア・ノードを経由するような経路を用いるようにすれば、コンテンツの通過履歴が分かるようになる。また、トラブル時にどこまでコンテンツが流れたかが分かるので、どこで紛失したかが特定しやすくなる。さらに、機密コンテンツが流出した場合に、その流れ・受信先を確認できるようになる。また、迷惑なコンテンツが流れた場合に、その送信元を追及できる。
また、保存機能を有するセキュア・ノードを経由するような経路を用いるようにすれば、ネットワーク中にコンテンツを一時的に保存できる。よって、ネットワークの故障などでコンテンツを紛失した際に、ネットワーク自身が当該コンテンツを再送することができるようになる。また、場合によっては、同じコンテンツを複数ユーザから要求された時に、コンテンツサーバからではなく、保存してあるコンテンツで代用することができるので、キャッシュ機能として利用することも可能となる。
また、受信確認機能を有するセキュア・ノードを経由するような経路を用いるようにすれば、送信先がコンテンツの受信を送信元に通知できるようになる。すなわち、情報を受け取った、受け取らないなどのトラブルを抑制することができるようになる。また、保存機能によって一時的に保存していたコンテンツを消去するトリガを与えることができる。 さらに、フィルタリング機能を有するセキュア・ノードを経由するような経路を用いるようにすれば、コンテンツの流通を強制的に通過又は遮断することができるようになる。例えば、災害などの異常時に重要トラフィックだけを流すことができるようになる。
このようなセキュア・ノードを利用することによって、ネットワーク犯罪への抑止力となる。
さらに、セキュリティ機能をネットワーク機器に埋め込んでおきそれを用いることは、専用のセキュリティサーバに誘導することに比べ、以下のメリットがある。すなわち、サーバに誘導するとそこでコネクションやセッションは一度終端されるため、サーバで通信プロトコルを処理する必要があり遅延が発生する。これに対し、セキュア・ノードは、コンテンツ又はパケットを転送する流れの中で処理を行うので、余計な遅延は加わらず、高速なコンテンツ又はパケット転送を実現したままで、セキュリティ機能を実施できる。また、サーバを収容するノードは、サーバへの転送とサーバからのアウトプットの送出という2回のコンテンツ又はパケットの転送が必要なことに比べ、セキュア・ノードは単に1回通過させればよい。また、サーバへ誘導することによる、全体の経路長の増加を避けられるという利点もある。
なお、ここまではネットワーク中にはセキュア・ノードが分散配置されていることを前提に説明したが、ネットワーク中におけるセキュア・ノードの配置を工夫することによって、より効果的にセキュアなコンテンツ伝送が可能となる。
例えば、保存機能(SF)とトレーサビリティ機能(TF)とが必要なセキュリティ機能として特定されていた場合、図19(a)に示すようなネットワーク構成であれば、経路aでは最小コストの3ホップでコンテンツサーバ側のエッジルータ106からユーザ端末側のエッジルータ105に到達する。しかし、これ以外の場合例えば経路bではコストは4ホップとなってしまう。すなわち、セキュア・ノードが単機能であると経路選択の余地が狭くなってしまう。
これに対して図19(b)に示すように、セキュア・ノードが複数の機能(図19(b)では全てのセキュリティ機能)を有するようにすれば、同じコストで様々な経路を採用することができるようになり、経路選択の幅が広がり、他の制約条件に対応しやすくなる。
また、ネットワークにおいてセキュア・ノード104をトラフィック量が少ない箇所に配置すると、図20(a)に示すように、四角ボックスで示されるセキュア・ノード104を経由するように経路設定される。トラフィック量が多い左側からのトラフィックは、左側のノードから出て行く場合であっても一旦トラフィック量の少ない右側のセキュア・ノード104に入ってから、再度左側のノードから出て行くようになる。すなわち、本来は必要ないノードを経由するので遠回りするような形で経路設定されることが多くなり、無駄にネットワーク・リソースを消費するようになる。そこで、各ノード#iから発生するトラフィック量をAiとし、そのノード#iからセキュア・ノードに至るホップ数をNiとすると、セキュア・ノードに至るホップ数をトラフィック量で重み付けした消費リソース、すなわちAiとNiの積の総和が最小になるような位置にセキュア・ノードを配置するようにする。このようにすれば、図20(b)に示すように、四角ボックスで示されるセキュア・ノード104は左側のトラフィック量の多い部分の分岐点に配置されるようになる。これによって、ネットワーク全体のリソース消費量を低減させることができ、効率的なルーティングが行われるようになる。
さらに、インターネットは複数の管理単位であるAS(Autonomous System)と呼ばれるネットワークの集合体である。図21に示すように複数のサブネットワークから構成される広域ネットワークにおいては、サブネットワーク間のゲートウェイとなるルータを上で述べたような全てのセキュリティ機能を有するセキュア・ノードとして構成すれば、サブネットワークをまたぐような経路が設定されると必ず上で述べたようなセキュアなルーティングが可能となる。すなわち、経路制御及びアドミッション制御において必要なセキュリティ機能を有するセキュア・ノードを経由することを条件とした経路選択やパスの受付判定を行う必要がなくなる。
以上本発明の実施の形態を説明したが、本発明はこれに限定されるものではない。具体的には、図1では本実施の形態のシステム概要として3層構造のシステムを示しているが、これは概念的に図示したものであって必ずしも3層構造でなくともよい。処理フローについても、必ずしも上で述べた処理順番を維持しなければならないわけではなく、処理内容が変わらない場合には、順番を入れ替えたり、並行して実施できる。
なお、状況管理サーバ301、コンテンツ通信制御サーバ302、経路制御サーバ201、アドミッション制御サーバ202、転送履歴管理サーバ305、コンテンツサーバ108、保管管理サーバ307、ユーザ端末101及び102については、図22のようなコンピュータ装置であって、メモリ2501(記憶装置)とCPU2503(処理装置)とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施の形態における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。本発明の実施の形態では、上で述べた処理を実施するためのアプリケーション・プログラムはリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
(付記1)
予め定められた1又は複数のセキュリティ機能を有する複数のセキュア・ネットワーク機器が配置されたネットワークにおける通信を制御する通信制御方法であって、
特定のコンテンツを要求するコンテンツ要求を当該コンテンツ要求の送信先に加えて受信するステップと、
前記コンテンツ要求の送信先から送信元への当該特定のコンテンツの送信経路中に実施すべきセキュリティ機能と当該セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件とを経路選択条件として用いて経路決定を行う経路決定ステップと、
を含む通信制御方法。
(付記2)
前記コンテンツ要求の送信先から送信元までに複数のサブネットワークが含まれる場合には、実施すべき前記セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件を、サブネットワークを選択する際の条件として含む
ことを特徴とする付記1記載の通信制御方法。
(付記3)
前記セキュア・ネットワーク機器が、
呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、
転送したコンテンツ又はパケットを保存する保存機能と、
転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、
転送したコンテンツの受信を送信元に通知する受信確認機能と、
のうち少なくとも1つを前記セキュリティ機能として有する
付記1記載の通信制御方法。
(付記4)
前記コンテンツ要求の送信元に関する情報、送信先に関する情報及び前記特定のコンテンツに関する情報のうち少なくともいずれかに基づき、前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを決定する決定ステップ
をさらに含む付記1記載の通信制御方法。
(付記5)
前記決定ステップが、
前記コンテンツ要求の送信元に関する情報、送信先に関する情報及び前記特定のコンテンツに関する情報のうち複数種類の情報を用いる場合に、前記複数種類の情報のそれぞれにつき、前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能を特定するステップと、
特定された全てのセキュリティ機能を採用するステップと、
を含む付記4記載の通信制御方法。
(付記6)
前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能を、通常時と異常時とで切り替える処理切替ステップ
をさらに含む付記4記載の通信制御方法。
(付記7)
前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルに応じたヘッダを前記特定のコンテンツ・データ又はパケットに付与する付与ステップ
をさらに含む付記4記載の通信制御方法。
(付記8)
前記処理切替ステップが、
前記特定のコンテンツの送信経路中に実施すべき通常時のセキュリティ機能と異常時のセキュリティ機能との切替えを、前記特定のコンテンツ・データ又はパケットに付与するヘッダに反映させるステップ
を含む付記6の通信制御方法。
(付記9)
前記ヘッダが、前記セキュリティ・レベルを含み、
前記送信経路中の前記セキュリティ機能を有するセキュア・ネットワーク機器により、前記ヘッダに含まれる前記セキュリティ・レベルに基づき実施すべきセキュリティ機能を特定し、保持する前記セキュリティ機能の実施の有無を判断するステップ
をさらに含む付記7記載の通信制御方法。
(付記10)
前記ヘッダが、実施すべき前記セキュリティ機能を指定するアクション・ラベルを含み、
前記送信経路中の前記セキュリティ機能を有するセキュア・ネットワーク機器により、前記ヘッダに含まれる前記アクション・ラベルに基づき実施すべきセキュリティ機能を特定し、保持する前記セキュリティ機能の実施の有無を判断するステップ
をさらに含む付記7記載の通信制御方法。
(付記11)
実施すべき前記セキュリティ機能に、前記トレーサビリティ機能が含まれ、
前記送信経路中の前記トレーサビリティ機能を有する全てのセキュア・ネットワーク機器から、前記特定のコンテンツの転送情報を受信し、前記特定のコンテンツに関連して履歴データ格納部に格納するステップ、
をさらに含む付記3記載の通信制御方法。
(付記12)
前記フィルタリング機能が、異常時には指定された重要コンテンツ又はパケットのみを通過させる付記3記載の通信制御方法。
(付記13)
前記保存機能が、異常時には指定されたコンテンツ又はパケットを必ず保存する付記3記載の通信制御方法。
(付記14)
前記トレーサビリティ機能が、異常時には、呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を必ず記録する付記3記載の通信制御方法。
(付記15)
前記決定ステップが、
少なくとも通常又は異常のいずれかを含む状態データに基づきモード切替を実施するステップ
を含む付記4記載の通信制御方法。
(付記16)
前記決定ステップが、
通常時において実施すべき前記セキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを特定する第1ステップと、
異常時において実施すべき前記セキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを特定する第2ステップと、
を含み、
前記付与ステップが、
前記第1ステップで特定された前記セキュリティ機能又は前記セキュリティ・レベルに応じたヘッダを前記特定のコンテンツ・データ又はパケットに付与するステップと、
前記第2ステップで特定された前記セキュリティ機能又前記セキュリティ・レベルに応じたヘッダを前記特定のコンテンツ・データ又はパケットに付与するステップと、
を含む付記7記載の通信制御方法。
(付記17)
前記経路決定ステップが、
前記コンテンツ要求の送信先から送信元への当該特定のコンテンツの送信経路候補のうち当該送信経路候補の合計コストが最小のものを特定するステップ
を含む付記1記載の通信制御方法。
(付記18)
前記セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件が、ホップ数に対する割合により規定されていることを特徴とする付記1記載の通信制御方法。
(付記19)
前記サブネットワークにおける数量的な条件が、1サブネットワーク当たりの数又は割合により規定されることを特徴とする付記2記載の通信制御方法。
(付記20)
予め定められた1又は複数のセキュリティ機能を有する複数のセキュア・ネットワーク機器と、
特定のコンテンツを要求するコンテンツ要求の送信先から送信元への当該特定のコンテンツの送信経路中に実施すべきセキュリティ機能と当該セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件とを経路選択条件として用いて経路決定を行う手段と、
を有するネットワーク。
(付記21)
前記コンテンツ要求の送信元に関する情報、送信先に関する情報及び前記特定のコンテンツに関する情報のうち少なくともいずれかに基づき、前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを決定する決定手段
をさらに有する付記20記載のネットワーク。
(付記22)
呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、転送したコンテンツ又はパケットを保存する保存機能と、転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、転送したコンテンツの受信を送信元に通知する受信確認機能とのうち少なくとも1つをセキュリティ機能として有するセキュア・ネットワーク機器が、トラフィック需要及びホップ数又は距離に基づき算出され且つ当該セキュア・ネットワーク機器を経由する際に消費するリソース消費量を最小化する位置に配置されたネットワーク。
(付記23)
呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、転送したコンテンツ又はパケットを保存する保存機能と、転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、転送したコンテンツの受信を送信元に通知する受信確認機能とをセキュリティ機能として有するセキュア・ネットワーク機器を広域ネットワークにおけるサブネット間の境界に配置したネットワーク。
(付記24)
予め定められたセキュリティ機能を有するセキュア・ネットワーク機器が配置されたネットワークにおける通信を制御する通信制御方法であって、
特定のコンテンツを要求するコンテンツ要求を当該コンテンツ要求の送信先に加えて受信するステップと、
受信した前記コンテンツ要求の送信元、送信先及び前記特定のコンテンツのうち少なくとも1つに基づき、前記特定のコンテンツの送信経路中のセキュア・ネットワーク機器に実施させるべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを決定する決定ステップと、
を含む通信制御方法。
(付記25)
実施すべき前記セキュリティ機能又は前記セキュリティ・レベルとは無関係に前記特定のコンテンツの送信経路を特定する経路決定ステップと、
決定された前記送信経路上に確保されるコネクション、パス又はセッションが、実施すべき前記セキュリティ機能を全て含み且つ実施すべき前記セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件を満たしているか判断する判断ステップと、
をさらに含む付記24記載の通信制御方法。
(付記26)
前記判断ステップにおいて否定的な判断がなされた場合には、前記コンテンツ要求を拒絶するステップ
をさらに含む付記25記載の通信制御方法。
(付記27)
前記判断ステップにおいて否定的な判断がなされた場合には、前記経路決定ステップ及び前記判断ステップを再度実施するステップ
をさらに含む付記25記載の通信制御方法。
(付記28)
予め定められたセキュリティ機能を有するセキュア・ネットワーク機器が配置されたネットワークにおける通信を制御する通信制御装置であって、
特定のコンテンツを要求するコンテンツ要求を当該コンテンツ要求の送信先に加えて受信する手段と、
受信した前記コンテンツ要求の送信元、送信先及び前記特定のコンテンツのうち少なくとも1つに基づき、前記特定のコンテンツの送信経路中のセキュア・ネットワーク機器に実施させるべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを決定する決定手段と、
を有する通信制御装置。
(付記29)
予め定められた1又は複数のセキュリティ機能を有する複数のセキュア・ネットワーク機器が配置されたネットワークにおける通信を制御する通信制御装置であって、
特定のコンテンツを要求するコンテンツ要求に対する経路設定要求を受信する手段と、
前記コンテンツ要求の送信先から送信元への当該特定のコンテンツの送信経路中に実施すべきセキュリティ機能と当該セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件とを経路選択条件として用いて経路決定を行う経路決定手段と、
を有する通信制御装置。
(付記30)
特定のコンテンツを要求するコンテンツ要求に対して当該特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルのデータを通信制御装置から受信する手段と、
前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルに応じたヘッダを前記特定のコンテンツ・データ又はパケットに付与する付与手段と、
を有するネットワーク機器。
(付記31)
呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、
転送したコンテンツ又はパケットを保存する保存機能と、
転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、
転送したコンテンツの受信を送信元に通知する受信確認機能と、
のうち少なくとも1つをセキュリティ機能として有し、さらに、
特定のコンテンツを要求するコンテンツ要求に対して前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルに応じたヘッダを有する前記特定のコンテンツのデータ又はパケットを受信する手段と、
前記ヘッダが、前記セキュリティ・レベルを含む場合には、当該ヘッダに含まれる前記セキュリティ・レベルに基づき実施すべきセキュリティ機能を特定し、保持する前記セキュリティ機能の実施の有無を判断する手段と、
を有するセキュア・ネットワーク機器。
(付記32)
呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、
転送したコンテンツ又はパケットを保存する保存機能と、
転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、
転送したコンテンツの受信を送信元に通知する受信確認機能と、
のうち少なくとも1つをセキュリティ機能として有し、さらに、
特定のコンテンツを要求するコンテンツ要求に対して前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルに応じたヘッダを有する前記特定のコンテンツのデータ又はパケットを受信する手段と、
前記ヘッダが、実施すべき前記セキュリティ機能を指定するアクション・ラベルを含む場合には、当該ヘッダに含まれる前記アクション・ラベルに基づき実施すべきセキュリティ機能を特定し、保持する前記セキュリティ機能の実施の有無を判断する手段と、
を有するセキュア・ネットワーク機器。
本発明の実施の形態のシステム概要図である。 セキュア・ノードの機能ブロック図である。 正常時のセキュリティ・ポリシーの一例を示す図である。 本発明の実施の形態における処理フローの第1の部分を示す図である。 セキュリティ決定処理の処理フローを示す図である。 確認処理の処理フローを示す図である。 第1の経路決定処理の処理フローを示す図である。 セキュアなルーティングの概要を示す図である。 第2の経路決定処理の処理フローを示す図である。 第2の経路決定処理を説明するためのネットワーク概要図である。 本発明の実施の形態における処理フローの第2の部分を示す図である。 アドミッション制御処理の処理フローを示す図である。 本発明の実施の形態における処理フローの第3の部分を示す図である。 正常時のヘッダ設定処理の第1の例を説明するための図である。 異常時のヘッダ設定処理の第1の例を説明するための図である。 異常時のセキュリティ・ポリシーの一例を示す図である。 正常時のヘッダ設定処理の第2の例を説明するための図である。 異常時のヘッダ設定処理の第2の例を説明するための図である。 (a)はセキュア・ノードが単機能である場合の模式図、(b)はセキュア・ノードが複数の機能を有する場合の模式図である。 (a)及び(b)は、セキュア・ノードの配置についての考察を説明するための図である。 セキュア・ノードの配置についての考察を説明するための図である。 コンピュータの機能ブロック図である。
符号の説明
101,102 ユーザ端末
103 ルータ 104 セキュア・ノード
105 ユーザ端末側のエッジルータ 106 コンテンツサーバ側のエッジルータ
108 コンテンツサーバ 109 コンテンツDB
201 経路制御サーバ 202 アドミッション制御サーバ
301 状況管理サーバ 302 コンテンツ通信制御サーバ
303 ユーザプロファイル 304 コンテンツプロファイル
305 転送履歴管理サーバ 306 転送履歴DB
401 状況データ収集部

Claims (8)

  1. ユーザ端末、ユーザ端末側のエッジルータ及びコンテンツサーバを有し、予め定められた1又は複数のセキュリティ機能を有する複数のセキュア・ネットワーク機器が散在するように配置されたネットワークにおける制御サーバにより実行される通信制御方法であって、
    前記ユーザ端末から前記コンテンツサーバへ特定のコンテンツを要求するコンテンツ要求を前記ユーザ端末側のエッジルータを介して受信するステップと、
    前記コンテンツサーバから前記ユーザ端末への当該特定のコンテンツの送信経路中に実施すべきセキュリティ機能と当該セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件とを経路選択条件として用いて経路決定を行う経路決定ステップと、
    を含む通信制御方法。
  2. 前記コンテンツサーバから前記ユーザ端末までに複数のサブネットワークが含まれる場合には、実施すべき前記セキュリティ機能を有するセキュア・ネットワーク機器の数量的な条件を、サブネットワークを選択する際の条件として含む
    ことを特徴とする請求項1記載の通信制御方法。
  3. 前記セキュア・ネットワーク機器が、
    呼、コネクション、パス又はセッションの設定情報若しくはコンテンツ又はパケットの転送情報を記録するトレーサビリティ機能と、
    転送したコンテンツ又はパケットを保存する保存機能と、
    転送したコンテンツ又はパケットの破棄又は通過を制御するフィルタ機能と、
    転送したコンテンツの受信を送信元に通知する受信確認機能と、
    のうち少なくとも1つを前記セキュリティ機能として有する
    請求項1記載の通信制御方法。
  4. 前記特定のコンテンツに関する情報に基づき、
    又は前記特定のコンテンツに関する情報、及び前記コンテンツ要求の送信元に関する情報と送信先に関する情報とのうち少なくともいずれかに基づき、
    前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルを決定する決定ステップ
    をさらに含む請求項1記載の通信制御方法。
  5. 前記決定ステップが、
    前記コンテンツ要求の送信元に関する情報、送信先に関する情報及び前記特定のコンテンツに関する情報のうち複数種類の情報を用いる場合に、前記複数種類の情報のそれぞれにつき、前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能を特定するステップと、
    特定された全てのセキュリティ機能を採用するステップと、
    を含む請求項4記載の通信制御方法。
  6. 前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能を、通常時と異常時とで切り替える処理切替ステップ
    をさらに含む請求項4記載の通信制御方法。
  7. 前記特定のコンテンツの送信経路中に実施すべきセキュリティ機能又は当該セキュリティ機能を特定するためのセキュリティ・レベルに応じたヘッダを前記特定のコンテンツデータ又はパケットに付与する付与ステップ
    をさらに含む請求項4記載の通信制御方法。
  8. 前記経路決定ステップが、
    前記コンテンツ要求の送信先から送信元への当該特定のコンテンツの送信経路候補のうち当該送信経路候補の合計コストが最小のものを特定するステップ
    を含む請求項1記載の通信制御方法。
JP2006000767A 2006-01-05 2006-01-05 通信制御方法、ネットワーク及びネットワーク機器 Expired - Fee Related JP4680068B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006000767A JP4680068B2 (ja) 2006-01-05 2006-01-05 通信制御方法、ネットワーク及びネットワーク機器
US11/501,350 US20070157307A1 (en) 2006-01-05 2006-08-09 Secure communication control technique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006000767A JP4680068B2 (ja) 2006-01-05 2006-01-05 通信制御方法、ネットワーク及びネットワーク機器

Publications (2)

Publication Number Publication Date
JP2007184724A JP2007184724A (ja) 2007-07-19
JP4680068B2 true JP4680068B2 (ja) 2011-05-11

Family

ID=38226255

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006000767A Expired - Fee Related JP4680068B2 (ja) 2006-01-05 2006-01-05 通信制御方法、ネットワーク及びネットワーク機器

Country Status (2)

Country Link
US (1) US20070157307A1 (ja)
JP (1) JP4680068B2 (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7823185B1 (en) * 2005-06-08 2010-10-26 Federal Home Loan Mortgage Corporation System and method for edge management of grid environments
KR100859664B1 (ko) * 2006-11-13 2008-09-23 삼성에스디에스 주식회사 전자메일의 바이러스 감염여부 판정방법
JP4502141B2 (ja) * 2007-09-18 2010-07-14 富士ゼロックス株式会社 情報処理装置、情報処理システムおよび情報処理プログラム
US9092380B1 (en) * 2007-10-11 2015-07-28 Norberto Menendez System and method of communications with supervised interaction
CN101453483B (zh) * 2007-11-29 2012-05-02 华为技术有限公司 会话历史记录的存储处理和查询方法、系统和装置
NO20076454A (no) * 2007-12-14 2009-06-08 Fast Search & Transfer Asa Fremgangsmåte til forbedring av sikkerhet ved distribusjon av elektroniske dokumenter
WO2009084051A1 (en) * 2007-12-28 2009-07-09 Telecom Italia S.P.A. Management of a hybrid communication network comprising a cellular network and a local network
US8352729B2 (en) * 2008-07-29 2013-01-08 International Business Machines Corporation Secure application routing
US20110066851A1 (en) 2009-09-14 2011-03-17 International Business Machines Corporation Secure Route Discovery Node and Policing Mechanism
US9148428B1 (en) 2011-05-25 2015-09-29 Bromium, Inc. Seamless management of untrusted data using virtual machines
US9239909B2 (en) 2012-01-25 2016-01-19 Bromium, Inc. Approaches for protecting sensitive data within a guest operating system
US9116733B2 (en) 2010-05-28 2015-08-25 Bromium, Inc. Automated provisioning of secure virtual execution environment using virtual machine templates based on requested activity
US10095530B1 (en) 2010-05-28 2018-10-09 Bromium, Inc. Transferring control of potentially malicious bit sets to secure micro-virtual machine
US8752047B2 (en) 2010-05-28 2014-06-10 Bromium, Inc. Automated management of virtual machines to process untrusted data based on client policy information
US9386039B2 (en) 2011-01-25 2016-07-05 Nec Corporation Security policy enforcement system and security policy enforcement method
WO2012173234A1 (ja) * 2011-06-17 2012-12-20 日本電気株式会社 通信制御装置、通信制御方法およびプログラム
US10038669B2 (en) 2012-03-02 2018-07-31 Nec Corporation Path control system, control device, and path control method
US8667594B1 (en) 2012-03-13 2014-03-04 Bromium, Inc. Securing file trust with file format conversions
US9166952B2 (en) 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
US10430614B2 (en) 2014-01-31 2019-10-01 Bromium, Inc. Automatic initiation of execution analysis
DE102014107783B4 (de) 2014-06-03 2018-02-22 Fujitsu Technology Solutions Intellectual Property Gmbh Routing-Verfahren zur Weiterleitung von Task-Anweisungen zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
US9763089B2 (en) * 2015-06-23 2017-09-12 International Business Machines Corporation Protecting sensitive data in a security area
US11036230B1 (en) * 2016-03-03 2021-06-15 AI Incorporated Method for developing navigation plan in a robotic floor-cleaning device
WO2019153127A1 (en) * 2018-02-06 2019-08-15 Nokia Shanghai Bell Co., Ltd. Method, apparatus, and computer readable medium for providing security service for data center
KR101993158B1 (ko) * 2019-01-03 2019-06-27 넷마블 주식회사 Cdn 선택 방법 및 장치
US11443052B2 (en) 2019-03-21 2022-09-13 Microsoft Technology Licensing, Llc Secure area in a file storage system
US20230090200A1 (en) * 2021-09-23 2023-03-23 International Business Machines Corporation Perform edge processing by selecting edge devices based on security levels

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000312226A (ja) * 1999-02-25 2000-11-07 Hitachi Ltd 通信品質を保証する方法
JP2001312461A (ja) * 2000-05-02 2001-11-09 Noritsu Koki Co Ltd 情報配信システム、情報配信装置、情報提供装置、情報配信方法、情報配信プログラムを記録した記録媒体、および情報提供プログラムを記録した記録媒体
JP2003174483A (ja) * 2001-12-06 2003-06-20 Nec Corp セキュリティ管理システムおよび経路指定プログラム
JP2004234241A (ja) * 2003-01-29 2004-08-19 Sharp Corp 電子機器ネットワークシステムおよび電子機器ネットワークシステムによるデータ送信先検索方法
JP2005051562A (ja) * 2003-07-29 2005-02-24 Matsushita Electric Ind Co Ltd コンテンツ送信方法及び装置、並びにこれらを用いたコンテンツ配信システム
JP2005532748A (ja) * 2002-07-08 2005-10-27 プリキャッシュ インコーポレイテッド ペイロード検査、アラートサービス、デジタルコンテンツ配信、及びサービス品質管理のためのパケットルーティング、並びに発行−購読ネットワークにおける選択的なマルチキャスティングを含むキャッシング
JP2005534202A (ja) * 2001-10-03 2005-11-10 クゥアルコム・インコーポレイテッド インターネットプロトコルを使用する無線通信システムにおけるデータパケット伝送のための方法および装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7551634B2 (en) * 2002-11-12 2009-06-23 Fujitsu Limited Communication network system
US20060031355A1 (en) * 2004-05-21 2006-02-09 Bea Systems, Inc. Programmable service oriented architecture

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000312226A (ja) * 1999-02-25 2000-11-07 Hitachi Ltd 通信品質を保証する方法
JP2001312461A (ja) * 2000-05-02 2001-11-09 Noritsu Koki Co Ltd 情報配信システム、情報配信装置、情報提供装置、情報配信方法、情報配信プログラムを記録した記録媒体、および情報提供プログラムを記録した記録媒体
JP2005534202A (ja) * 2001-10-03 2005-11-10 クゥアルコム・インコーポレイテッド インターネットプロトコルを使用する無線通信システムにおけるデータパケット伝送のための方法および装置
JP2003174483A (ja) * 2001-12-06 2003-06-20 Nec Corp セキュリティ管理システムおよび経路指定プログラム
JP2005532748A (ja) * 2002-07-08 2005-10-27 プリキャッシュ インコーポレイテッド ペイロード検査、アラートサービス、デジタルコンテンツ配信、及びサービス品質管理のためのパケットルーティング、並びに発行−購読ネットワークにおける選択的なマルチキャスティングを含むキャッシング
JP2004234241A (ja) * 2003-01-29 2004-08-19 Sharp Corp 電子機器ネットワークシステムおよび電子機器ネットワークシステムによるデータ送信先検索方法
JP2005051562A (ja) * 2003-07-29 2005-02-24 Matsushita Electric Ind Co Ltd コンテンツ送信方法及び装置、並びにこれらを用いたコンテンツ配信システム

Also Published As

Publication number Publication date
US20070157307A1 (en) 2007-07-05
JP2007184724A (ja) 2007-07-19

Similar Documents

Publication Publication Date Title
JP4680068B2 (ja) 通信制御方法、ネットワーク及びネットワーク機器
US7760718B2 (en) Taxonomy based multiple ant colony optimization approach for routing in mobile ad hoc networks
US8056116B2 (en) Control method, control program, and control system
JP4634456B2 (ja) ネットワーク・トラフィックのセキュリティのための方法およびシステム
US9143516B1 (en) Protecting a network site during adverse network conditions
JP2003533941A (ja) インテリジェントフィードバックループプロセス制御システム
US11870754B2 (en) Packet analysis and filtering
EP2856701A1 (en) Policy service logging using graph structures
CN104079482A (zh) 一种选择路由路径的方法及装置
US7079491B2 (en) Method and node apparatus for filtering ICMP data frame
CN109347540B (zh) 一种安全路由的实现方法及装置
Guo et al. A trusted resource-based routing algorithm with entropy estimation in integrated space-terrestrial network
Li et al. Congestion control mechanism based on dual threshold DI-RED for WSNs
CN102932253B (zh) 通信路径控制装置
JP2005005836A (ja) ネットワーク及びサーバの負荷低減ルータ
JP4334379B2 (ja) ネットワークシステム
JP2021111795A (ja) ネットワークシステム、通信制御装置、および通信制御方法
Alipio et al. Towards a taxonomy of cache-based transport protocols in wireless sensor networks
GB2580181A (en) Packet analysis and filtering
JP6441721B2 (ja) 制御装置、制御方法及びプログラム
CN111683057B (zh) 一种基于动态攻击面的威胁信息的传递与共享方法
KR20220149056A (ko) IoT 단말 기반 데이터 전송 방법 및 장치
JP3486865B2 (ja) パケット通信方式および通信方法
KR100502079B1 (ko) 네트워크 상에서의 경보 정보 트래픽 제어 시스템 및 방법
JP2019024272A (ja) 制御装置、制御方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080911

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100907

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110202

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140210

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees