JP6755171B2 - 接続切り替えシステム、接続切り替え方法、および、接続先装置 - Google Patents
接続切り替えシステム、接続切り替え方法、および、接続先装置 Download PDFInfo
- Publication number
- JP6755171B2 JP6755171B2 JP2016249093A JP2016249093A JP6755171B2 JP 6755171 B2 JP6755171 B2 JP 6755171B2 JP 2016249093 A JP2016249093 A JP 2016249093A JP 2016249093 A JP2016249093 A JP 2016249093A JP 6755171 B2 JP6755171 B2 JP 6755171B2
- Authority
- JP
- Japan
- Prior art keywords
- connection
- old
- point
- route
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 28
- 238000011835 investigation Methods 0.000 claims description 6
- 238000013519 translation Methods 0.000 claims description 5
- 238000011330 nucleic acid test Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 36
- 230000008569 process Effects 0.000 description 18
- 238000013508 migration Methods 0.000 description 12
- 230000005012 migration Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 230000000052 comparative effect Effects 0.000 description 5
- 230000004308 accommodation Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000005538 encapsulation Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、接続切り替えシステム、接続切り替え方法、および、接続先装置に関するものである。
動画などのストリームデータを受信して再生する端末として、タブレット端末やスマートフォンなどの携帯できる小型の端末が普及している。これらの再生端末は、持ち歩いて使用されるため、現在位置が時々刻々と変化する。よって、ストリームデータを配信するための通信接続も、ローミングやハンドオーバなどにより切り替わることも多い。しかし、通信接続が切り替わる度に通信接続が切断されてしまうと、ユーザには不便である。
そこで、特許文献1には、パケット・ネットワークにおいて複数アドレスにわたって既存セッションの移行を行う方法が記載されている。これは、セッションを失うことなく、トランスポート接続エンドポイントを、古いアドレスから新しいアドレスに移行させる移行プロセスとして、2つのエンドポイント自体の間で交渉させる方法である。具体的には、セッション移行前に通信を一時停止し、移行後アドレスを相手に通知し、その後通信を再開させる。これにより、新しいトランスポート接続を確立するためにアプリケーションを再始動する必要が無くなる。
接続を切り替えるための移行プロセスは、移行プロセスのコストが低いことに加え、移行プロセスのセキュリティ強度を充分に高めることの両方が必要となる。例えば、移行前の初回認証プロセスでは、ユーザごとにパスワードを入力させるなどの強固なセキュリティを実現していた。しかし、移行プロセスにおける再開プロセスでは、認証を省略してしまうと、再開プロセスに的を絞った外部攻撃に対してシステムが弱くなってしまう。
従来の技術では、移行プロセスにおける認証強度について、充分な検討がなされていない。例えば、特許文献1に記載のアーキテクチャでは、接続先装置(非マイグレータ)が発行したIDクッキーという接続元装置(マイグレータ)の識別情報が移行プロセスにおける認証に用いられるだけである。
一方、特許文献1に記載のアーキテクチャに対して、単に初回認証プロセスを繰り返すだけでは、パスワードの再入力などで移行プロセスのコストが高くなってしまうため、そもそも移行プロセスを独自に用意する意味が無くなってしまう。そして、ストリームデータの配信が認証プロセスによって中断されてしまうことに、ユーザの満足度は大きく低下してしまう。
一方、特許文献1に記載のアーキテクチャに対して、単に初回認証プロセスを繰り返すだけでは、パスワードの再入力などで移行プロセスのコストが高くなってしまうため、そもそも移行プロセスを独自に用意する意味が無くなってしまう。そして、ストリームデータの配信が認証プロセスによって中断されてしまうことに、ユーザの満足度は大きく低下してしまう。
そこで、本発明は、接続端末から接続先装置への経路を切り換えるときに、セキュリティ強度を保ちつつ移行コストを低くすることを、主な課題とする。
前記課題を解決するために、本発明の接続切り替えシステムは、以下の特徴を有する。
つまり、本発明は、接続先装置と接続端末との間でのデータの配信経路についての途中の経路を切り換える接続切り替えシステムであって、
前記途中の経路を構成する接続点の情報は、外部点および内部点の組み合わせとして構成されており、
前記外部点は、前記接続端末をローカルネットワークに収容するゲートウェイがNAPT(Network Address Port Translation)で自身の前記接続端末を前記ローカルネットワークの外部にアクセスさせるときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点は、前記ローカルネットワーク内で前記接続端末と通信するときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点に位置する接続端末が、前記途中の経路を構成する旧接続点の情報を含めた旧接続要求を前記接続先装置に通知することにより、前記途中の経路を切り換える前の旧配信経路を前記接続先装置との間で確立し、
前記接続端末が、前記途中の経路を切り換える契機により前記旧配信経路が切断されると、前記旧接続要求により通知した前記旧接続点のうちの前記外部点の情報を含め、かつ、前記旧配信経路からの切り換え先となる新配信経路を構成する新接続点の情報を含めた新接続要求を前記接続先装置に送信し、
前記接続先装置が、受信した前記新接続要求に含まれる前記旧接続点のうちの前記外部点の情報が、受信した前記旧接続要求に含まれる前記旧接続点のうちの前記外部点の情報と一致するときに認証可とし、前記新接続要求に従って前記新接続点の情報を含めた前記新配信経路を、前記新接続要求の要求元であり前記内部点に位置する前記接続端末との間で確立することを特徴とする。
その他の手段は、後記する。
つまり、本発明は、接続先装置と接続端末との間でのデータの配信経路についての途中の経路を切り換える接続切り替えシステムであって、
前記途中の経路を構成する接続点の情報は、外部点および内部点の組み合わせとして構成されており、
前記外部点は、前記接続端末をローカルネットワークに収容するゲートウェイがNAPT(Network Address Port Translation)で自身の前記接続端末を前記ローカルネットワークの外部にアクセスさせるときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点は、前記ローカルネットワーク内で前記接続端末と通信するときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点に位置する接続端末が、前記途中の経路を構成する旧接続点の情報を含めた旧接続要求を前記接続先装置に通知することにより、前記途中の経路を切り換える前の旧配信経路を前記接続先装置との間で確立し、
前記接続端末が、前記途中の経路を切り換える契機により前記旧配信経路が切断されると、前記旧接続要求により通知した前記旧接続点のうちの前記外部点の情報を含め、かつ、前記旧配信経路からの切り換え先となる新配信経路を構成する新接続点の情報を含めた新接続要求を前記接続先装置に送信し、
前記接続先装置が、受信した前記新接続要求に含まれる前記旧接続点のうちの前記外部点の情報が、受信した前記旧接続要求に含まれる前記旧接続点のうちの前記外部点の情報と一致するときに認証可とし、前記新接続要求に従って前記新接続点の情報を含めた前記新配信経路を、前記新接続要求の要求元であり前記内部点に位置する前記接続端末との間で確立することを特徴とする。
その他の手段は、後記する。
本発明によれば、接続端末から接続先装置への経路を切り換えるときに、セキュリティ強度を保ちつつ移行コストを低くすることができる。
以下、本発明の一実施形態を、図面を参照して詳細に説明する。
図1は、ハンドオーバ前におけるストリームデータの配信経路を示す構成図である。
配信システムは、中継サーバ11と、STUN(Session Traversal Utilities for NATs)サーバ12と、ゲートウェイ21〜23と、配信装置(接続先装置)31と、再生装置(接続端末)32とを含めて構成される。
なお、配信システムの各装置は、それぞれCPU(Central Processing Unit)と、メモリと、ハードディスクなどの記憶手段(記憶部)と、ネットワークインタフェースとを有するコンピュータとして構成される。
このコンピュータは、CPUが、メモリ上に読み込んだプログラム(アプリケーションや、その略のアプリとも呼ばれる)を実行することにより、各処理部により構成される制御部(制御手段)を動作させる。
配信システムは、中継サーバ11と、STUN(Session Traversal Utilities for NATs)サーバ12と、ゲートウェイ21〜23と、配信装置(接続先装置)31と、再生装置(接続端末)32とを含めて構成される。
なお、配信システムの各装置は、それぞれCPU(Central Processing Unit)と、メモリと、ハードディスクなどの記憶手段(記憶部)と、ネットワークインタフェースとを有するコンピュータとして構成される。
このコンピュータは、CPUが、メモリ上に読み込んだプログラム(アプリケーションや、その略のアプリとも呼ばれる)を実行することにより、各処理部により構成される制御部(制御手段)を動作させる。
配信装置31は、ストリームデータを配信する始点の装置であり、例えば、NAS(Network Attached Storage)のファイルサーバや、IP(Internet Protocol)カメラである。再生装置32は、配信装置31からのストリームデータを受信して再生する装置であり、例えば、タブレット端末やスマートフォンである。
なお、本実施形態では、配信装置31から再生装置32へのストリームデータの配信経路(途中経路)が切り換わる一例として、再生装置32が収容される基地局(ゲートウェイ22,23)のハンドオーバを例示している。一方、ローミングやSIM(Subscriber Identity Module Card)カードの差し替え、再生装置32のユーザから入力される通信設定の変更などの任意の切換契機を扱ってもよい。つまり、再生装置32の物理的位置の移動が無いときであっても、配信経路の切り換えは発生する。
なお、本実施形態では、配信装置31から再生装置32へのストリームデータの配信経路(途中経路)が切り換わる一例として、再生装置32が収容される基地局(ゲートウェイ22,23)のハンドオーバを例示している。一方、ローミングやSIM(Subscriber Identity Module Card)カードの差し替え、再生装置32のユーザから入力される通信設定の変更などの任意の切換契機を扱ってもよい。つまり、再生装置32の物理的位置の移動が無いときであっても、配信経路の切り換えは発生する。
中継サーバ11は、再生装置32からの問い合わせに対して事前登録しておいた配信装置31の情報を応答するサーバである。なお、中継サーバ11と配信装置31との間には、最新の配信装置31の情報や最新のストリームデータの情報などを通知するための常時接続が、ストリームデータの配信路とは別に用意されている。
ゲートウェイ21〜23は、それぞれ自身が収容するローカルネットワークの各装置を、外部のインターネットに接続するための通信装置である。各ゲートウェイ21〜23を囲う破線領域は、そのゲートウェイ21〜23が収容するローカルネットワークの通信範囲(収容可能範囲)を示す。
ゲートウェイ21には、配信装置31が収容されている。ゲートウェイ23には、ハンドオーバ前の再生装置32が収容されている。ゲートウェイ22には、ハンドオーバ後の再生装置32が収容される(図2参照)。
このように各ゲートウェイ21〜23は、自身のローカルネットワークの通信範囲(各地点での電波強度など)がそれぞれ異なっている。例えば、各ゲートウェイ21〜23は、設置位置が互いに異なる無線基地局として構成される。または、ゲートウェイ23が宅内のWi-Fi(登録商標)ルータであり、ゲートウェイ22が電話会社内のLTE(Long Term Evolution)中継局であるなど、異なった通信規格(異なった通信範囲)として構成してもよい。
ゲートウェイ21には、配信装置31が収容されている。ゲートウェイ23には、ハンドオーバ前の再生装置32が収容されている。ゲートウェイ22には、ハンドオーバ後の再生装置32が収容される(図2参照)。
このように各ゲートウェイ21〜23は、自身のローカルネットワークの通信範囲(各地点での電波強度など)がそれぞれ異なっている。例えば、各ゲートウェイ21〜23は、設置位置が互いに異なる無線基地局として構成される。または、ゲートウェイ23が宅内のWi-Fi(登録商標)ルータであり、ゲートウェイ22が電話会社内のLTE(Long Term Evolution)中継局であるなど、異なった通信規格(異なった通信範囲)として構成してもよい。
以下、ゲートウェイ21〜23が有するNAPT(Network Address Port Translation)の機能について、説明する。
ゲートウェイ23のローカルネットワーク内の再生装置32には、ローカルネットワーク内で再生装置32と通信するための内部点Xiに加え、ローカルネットワーク外のインターネットから再生装置32と通信するための外部点Xoという2種類の接続点が割り当てられている。1つの接続点は、装置に割り当てられるIPアドレスと、装置内のアプリケーションが使用するポート番号との組み合わせにより表現される。
再生装置32からゲートウェイ23の外に向かう外向きパケットをゲートウェイ23が受信すると、外向きパケットのヘッダに記載された送信元を示す内部点Xiを外部点Xoに置き換えてから、その外向きパケットをインターネットに向かって送信する。
ゲートウェイ23の外から再生装置32に向かう内向きパケットをゲートウェイ23が受信すると、内向きパケットのヘッダに記載された送信元を示す外部点Xoを内部点Xiに置き換えてから、その内向きパケットを再生装置32に向かって送信する。
ゲートウェイ23のローカルネットワーク内の再生装置32には、ローカルネットワーク内で再生装置32と通信するための内部点Xiに加え、ローカルネットワーク外のインターネットから再生装置32と通信するための外部点Xoという2種類の接続点が割り当てられている。1つの接続点は、装置に割り当てられるIPアドレスと、装置内のアプリケーションが使用するポート番号との組み合わせにより表現される。
再生装置32からゲートウェイ23の外に向かう外向きパケットをゲートウェイ23が受信すると、外向きパケットのヘッダに記載された送信元を示す内部点Xiを外部点Xoに置き換えてから、その外向きパケットをインターネットに向かって送信する。
ゲートウェイ23の外から再生装置32に向かう内向きパケットをゲートウェイ23が受信すると、内向きパケットのヘッダに記載された送信元を示す外部点Xoを内部点Xiに置き換えてから、その内向きパケットを再生装置32に向かって送信する。
配信装置31側のゲートウェイ21も同様に、配信装置31を示す内部点Aiと外部点Aoとを変換する。なお、一般的に、外部点XoのIPアドレスとしてグローバルアドレスが割り当てられ、内部点XiのIPアドレスとしてローカルアドレス(192.168.0.1など)が割り当てられる。
つまり、図1では、配信装置31から再生装置32に流れるストリームデータの配信路が、内部点Ai→外部点Ao→外部点Xo→内部点Xiの順に通過するようになる。
つまり、図1では、配信装置31から再生装置32に流れるストリームデータの配信路が、内部点Ai→外部点Ao→外部点Xo→内部点Xiの順に通過するようになる。
STUNサーバ12は、ローカルネットワーク内の装置(例えば、再生装置32)が、自身に割り当てられている外部点(例えば、外部点Xo)を調査するためのサーバである。
具体的には、再生装置32からSTUNサーバ12に送信された調査用パケットのヘッダには内部点Xiが付されている。ゲートウェイ23は、前記したNAPTの機能により調査用パケットのヘッダを内部点Xiから外部点Xoに変更してから、その調査用パケットをSTUNサーバ12に転送する。STUNサーバ12は、調査用パケットの外部点Xoを、そのまま再生装置32に応答する。
具体的には、再生装置32からSTUNサーバ12に送信された調査用パケットのヘッダには内部点Xiが付されている。ゲートウェイ23は、前記したNAPTの機能により調査用パケットのヘッダを内部点Xiから外部点Xoに変更してから、その調査用パケットをSTUNサーバ12に転送する。STUNサーバ12は、調査用パケットの外部点Xoを、そのまま再生装置32に応答する。
図2は、ハンドオーバ後におけるストリームデータの配信経路を示す構成図である。
再生装置32の所有者が外出する場合や、アクセスポイントが意図せずに切り替わった場合などで、ゲートウェイ23の通信範囲(破線領域内)からゲートウェイ22の通信範囲に再生装置32が移動したとする。再生装置32は、収容先のゲートウェイをゲートウェイ23からゲートウェイ22に切り換える(ハンドオーバする)。これにより、再生装置32には新たに内部点Yiと外部点Yoとが収容先のゲートウェイ22から割り当てられる。
なお、配信装置31の位置は変更されないのでIPアドレスは変わらないものの、ストリームデータのコネクションが切断→再接続されることにより、コネクションのポート番号が変更される。よって、配信装置31にも新たに内部点Biと外部点Boとが収容先のゲートウェイ21から割り当てられる。
つまり、図2では、配信装置31から再生装置32に流れるストリームデータの配信路が、内部点Bi→外部点Bo→外部点Yo→内部点Yiの順に通過するようになる。
または、配信装置31は、図1の内部点Aiをそのまま使う事も可能である。その場合でもゲートウェイのタイプにより外部点はBoに変更されない事もあるため、Bo=Ao、Bi=Aiとなる場合もある。
再生装置32の所有者が外出する場合や、アクセスポイントが意図せずに切り替わった場合などで、ゲートウェイ23の通信範囲(破線領域内)からゲートウェイ22の通信範囲に再生装置32が移動したとする。再生装置32は、収容先のゲートウェイをゲートウェイ23からゲートウェイ22に切り換える(ハンドオーバする)。これにより、再生装置32には新たに内部点Yiと外部点Yoとが収容先のゲートウェイ22から割り当てられる。
なお、配信装置31の位置は変更されないのでIPアドレスは変わらないものの、ストリームデータのコネクションが切断→再接続されることにより、コネクションのポート番号が変更される。よって、配信装置31にも新たに内部点Biと外部点Boとが収容先のゲートウェイ21から割り当てられる。
つまり、図2では、配信装置31から再生装置32に流れるストリームデータの配信路が、内部点Bi→外部点Bo→外部点Yo→内部点Yiの順に通過するようになる。
または、配信装置31は、図1の内部点Aiをそのまま使う事も可能である。その場合でもゲートウェイのタイプにより外部点はBoに変更されない事もあるため、Bo=Ao、Bi=Aiとなる場合もある。
図3は、ハンドオーバ前におけるストリームデータの配信処理を示すシーケンス図である。なお、再生装置32にとってハンドオーバ前の接続点(図1の外部点Xo)を旧接続点とし、ハンドオーバ後の接続点(図2の外部点Yo)を新接続点とする。
S101として、再生装置32は、ゲートウェイ23の旧接続点(外部点Xo)を問い合わせるための調査用パケットを、STUNサーバ12に送信する。
S102として、STUNサーバ12は、S101の調査用パケットのヘッダから得た旧接続点(外部点Xo)の情報を再生装置32に応答する。これにより、再生装置32は、ハンドオーバ前の再生装置32側の情報として、外部点Xoの情報を取得する。
S101として、再生装置32は、ゲートウェイ23の旧接続点(外部点Xo)を問い合わせるための調査用パケットを、STUNサーバ12に送信する。
S102として、STUNサーバ12は、S101の調査用パケットのヘッダから得た旧接続点(外部点Xo)の情報を再生装置32に応答する。これにより、再生装置32は、ハンドオーバ前の再生装置32側の情報として、外部点Xoの情報を取得する。
S111として、再生装置32は、通信相手である配信装置31の固有ID(ホスト名など)を指定して、その配信装置31の検索を中継サーバ11に要求する。
S112として、中継サーバ11は、S111の要求を受け、自身の記憶手段にあらかじめ登録されている配信装置31のリストから、要求に該当する配信装置31のエントリ(外部点Ao)を検索する。換言すると、中継サーバ11は、ホスト名をもとに、そのホストのIPアドレスを検索する。この検索手段の実装としては、例えば、DNS(Domain Name System)を用いてもよい。
S113として、中継サーバ11は、配信装置31の情報として、S112で検索した外部点Ao(配信装置31のIPアドレス)を再生装置32に応答する。
これにより、再生装置32は、これから要求する予定のストリームデータの配信路についての情報として、S102の外部点Xoと、S113の外部点Aoとを対応付けて自身の記憶手段に登録する。
S112として、中継サーバ11は、S111の要求を受け、自身の記憶手段にあらかじめ登録されている配信装置31のリストから、要求に該当する配信装置31のエントリ(外部点Ao)を検索する。換言すると、中継サーバ11は、ホスト名をもとに、そのホストのIPアドレスを検索する。この検索手段の実装としては、例えば、DNS(Domain Name System)を用いてもよい。
S113として、中継サーバ11は、配信装置31の情報として、S112で検索した外部点Ao(配信装置31のIPアドレス)を再生装置32に応答する。
これにより、再生装置32は、これから要求する予定のストリームデータの配信路についての情報として、S102の外部点Xoと、S113の外部点Aoとを対応付けて自身の記憶手段に登録する。
S121として、再生装置32は、S102の外部点Xo経由で(ゲートウェイ23経由で)、S113で得た外部点Aoを指定して配信装置31に、ストリームデータの配信路の接続要求を送信する。この接続要求は、ハンドオーバ前の(初回の)接続要求であるため、再生装置32は、配信装置31に対して配信を許可してもらうための認証用情報(ユーザID/パスワードなど)も、接続要求に含めて送信する。
S122として、配信装置31は、S121で受信した接続要求に対して認証用情報を(初回)認証し、認証可であるときにはS121の接続を許可する。
S122として、配信装置31は、S121で受信した接続要求に対して認証用情報を(初回)認証し、認証可であるときにはS121の接続を許可する。
S123として、配信装置31は、S122で許可された再生装置32に対して、S121の接続要求を許可する旨を応答する。そして、配信装置31は、収容先のゲートウェイ21が扱う内部点Ai、外部点Aoを用いて、ストリームデータの配信路のコネクションを確立する。これにより、配信装置31は、S123のストリームデータの配信路についての情報(セッション情報)として、S121の外部点Xoと、S123の外部点Aoとを対応付けて自身の記憶手段に登録する。さらに、配信装置31は、認証用情報や接続要求のヘッダ情報に記載された再生装置32の固有IDも、併せて自身の記憶手段に登録してもよい。
S131として、配信装置31は、S123で確立されたコネクションを用いて、再生装置32にストリームデータを配信する。この配信路は、図1で示したように、内部点Ai→外部点Ao→外部点Xo→内部点Xiの順に通過する。なお、この配信路は、ストリームデータが流れる方向とは逆方向の通信も可能である。この逆方向の通信は、例えば、一時停止命令や再生命令などの制御信号の送信に使用される。
S131として、配信装置31は、S123で確立されたコネクションを用いて、再生装置32にストリームデータを配信する。この配信路は、図1で示したように、内部点Ai→外部点Ao→外部点Xo→内部点Xiの順に通過する。なお、この配信路は、ストリームデータが流れる方向とは逆方向の通信も可能である。この逆方向の通信は、例えば、一時停止命令や再生命令などの制御信号の送信に使用される。
図4は、ハンドオーバ後におけるストリームデータの配信処理を示すシーケンス図である。
S201として、再生装置32は、所有者の外出などにより、位置が移動する。
S202として、再生装置32は、S201の移動により通信範囲外となったゲートウェイ23との間のレスポンス応答が無くなったことや、リンクが切断したことなどで、ゲートウェイ23との間の内部点Xiを用いた接続が切断する。これにより、ゲートウェイ23にとっての再生装置32の旧接続点(外部点Xo)も使用不可になり、S123のコネクションも切断される。
S201として、再生装置32は、所有者の外出などにより、位置が移動する。
S202として、再生装置32は、S201の移動により通信範囲外となったゲートウェイ23との間のレスポンス応答が無くなったことや、リンクが切断したことなどで、ゲートウェイ23との間の内部点Xiを用いた接続が切断する。これにより、ゲートウェイ23にとっての再生装置32の旧接続点(外部点Xo)も使用不可になり、S123のコネクションも切断される。
S203として、再生装置32は、S201の移動先の通信範囲を扱う新たなゲートウェイ22との間で、内部点Yiを用いた新しい接続を確立する。
S204として、再生装置32は、新接続点(ゲートウェイ22の外部点Yo)をSTUNサーバ12に問い合わせる(S101と同様)。
S205として、STUNサーバ12は、S204で取得した外部点Yoを再生装置32に応答する(S102と同様)。これにより、再生装置32は、ハンドオーバ後の再生装置32側の情報として、外部点Yoの情報を取得する。
S204として、再生装置32は、新接続点(ゲートウェイ22の外部点Yo)をSTUNサーバ12に問い合わせる(S101と同様)。
S205として、STUNサーバ12は、S204で取得した外部点Yoを再生装置32に応答する(S102と同様)。これにより、再生装置32は、ハンドオーバ後の再生装置32側の情報として、外部点Yoの情報を取得する。
S211として、再生装置32は、S131のストリームデータの配信路をハンドオーバ前の外部点Xoからハンドオーバ後の外部点Yoに切り換える旨の切換要求を、中継サーバ11に送信する。
この切換要求は、ハンドオーバ後の(継続の)接続要求であるため、再生装置32は、配信装置31に対して配信を許可してもらうための簡易認証用情報(S113で登録されたハンドオーバ前の外部点Xo、配信装置31や再生装置32の固有IDなど)も、切換要求に含めて送信する。なお、簡易認証用情報は、初回の認証用情報(ユーザID/パスワードなど)に比べて入手が容易である。つまり、再生装置32の利用者は、初回の認証用情報についてはログイン画面などから手入力していた。一方、簡易認証用情報は、再生装置32の内部データとして利用者の手間をかけることなく自動的に取得することができる。
この切換要求は、ハンドオーバ後の(継続の)接続要求であるため、再生装置32は、配信装置31に対して配信を許可してもらうための簡易認証用情報(S113で登録されたハンドオーバ前の外部点Xo、配信装置31や再生装置32の固有IDなど)も、切換要求に含めて送信する。なお、簡易認証用情報は、初回の認証用情報(ユーザID/パスワードなど)に比べて入手が容易である。つまり、再生装置32の利用者は、初回の認証用情報についてはログイン画面などから手入力していた。一方、簡易認証用情報は、再生装置32の内部データとして利用者の手間をかけることなく自動的に取得することができる。
S212として、中継サーバ11は、S211の切換要求を配信装置31に転送する。
S213として、配信装置31は、S212の切換要求を受け、切換の可否を認証する。つまり、配信装置31は、S212の簡易認証用情報に含まれるハンドオーバ前の外部点Xoと、ハンドオーバ前のS123の段階で自身の記憶手段にセッション情報として登録しておいた外部点Xoとが一致するときに、簡易認証を認証可(切換要求の切換許可)とする。さらに、配信装置31は、外部点Xoの照合に加えて、簡易認証用情報の配信装置31や再生装置32の固有IDと、S123の段階で自身の記憶手段にセッション情報として登録しておいた配信装置31や再生装置32の固有IDとの照合処理が一致したときに、簡易認証を認証可(切換要求の切換許可)としてもよい。
S213として、配信装置31は、S212の切換要求を受け、切換の可否を認証する。つまり、配信装置31は、S212の簡易認証用情報に含まれるハンドオーバ前の外部点Xoと、ハンドオーバ前のS123の段階で自身の記憶手段にセッション情報として登録しておいた外部点Xoとが一致するときに、簡易認証を認証可(切換要求の切換許可)とする。さらに、配信装置31は、外部点Xoの照合に加えて、簡易認証用情報の配信装置31や再生装置32の固有IDと、S123の段階で自身の記憶手段にセッション情報として登録しておいた配信装置31や再生装置32の固有IDとの照合処理が一致したときに、簡易認証を認証可(切換要求の切換許可)としてもよい。
S214として、配信装置31は、S213の簡易認証で切換可としたときに、S211の送信元である再生装置32に対して、内部点Bi、外部点Bo経由にてS131の配信を再開する旨を応答する。つまり、配信装置31は、ゲートウェイ21が新たに配信装置31→再生装置32のストリームデータの配信用に配信装置31に割り当てた接続点(内部点Bi、外部点Bo)を用いて、再生装置32との間のコネクションを確立する。
S221として、配信装置31は、S131と同様に、S214で確立されたコネクションを用いて、再生装置32にストリームデータを配信する。この配信路は、図2で示したように、内部点Bi→外部点Bo→外部点Yo→内部点Yiの順に通過する。なお、この配信路は、ストリームデータが流れる方向とは逆方向の通信も可能である。この逆方向の通信は、例えば、一時停止命令や再生命令などの制御信号の送信に使用される。
S221として、配信装置31は、S131と同様に、S214で確立されたコネクションを用いて、再生装置32にストリームデータを配信する。この配信路は、図2で示したように、内部点Bi→外部点Bo→外部点Yo→内部点Yiの順に通過する。なお、この配信路は、ストリームデータが流れる方向とは逆方向の通信も可能である。この逆方向の通信は、例えば、一時停止命令や再生命令などの制御信号の送信に使用される。
図5は、ハンドオーバ前後における通信路の管理形態を示す構成図である。この図5では、配信装置31と再生装置32との間のストリームデータの配信経路として、OSI(Open Systems Interconnection)参照モデルにおけるアプリケーション層、トランスポート層、インターネット層を図示している。下位の層(トランスポート層)での接続(コネクションCA,CB)を用いて、上位の層(アプリケーション層)での接続(セッションS)が確立される。ここで、ハンドオーバによりコネクションCAからコネクションCBに切り替わる場合を考える。
まず、比較例として、コネクションCAの切断に連動して、そのコネクションCAを利用していたセッションSも切断する例を検討する。この場合、コネクションCBの新たな接続を用いて、セッションSを再度接続する必要がある。このとき、セッションSを再度接続するための各種前処理(ユーザ認証など)は、セッションSの初回接続と同じコストがかかってしまう。その結果、パスワードの再入力などでコネクションCAからコネクションCBへのハンドオーバを明確にユーザに意識させてしまい、不便である。換言すると、コネクションCAからコネクションCBに切り替えが、ユーザ(アプリケーション層)にとっては透過ではない。
一方、本実施形態の中継サーバ11を用いた配信システムでは、中継サーバ11は、コネクションCA,CBの情報や、セッションSの情報を配信装置31と再生装置32との間で円滑に交換できるように中継する。ここで、コネクションCAを切断したとしても、そのコネクションCAを利用していたセッションSは切断されず、セッションSに関する状態の情報は、配信装置31と再生装置32とでそれぞれ保持し続ける。そして、コネクションCBの新たな接続を、既存のセッションSに割り当てる必要がある。
このとき、配信装置31と再生装置32との間で簡易認証(S213)が自動的に行われることで、パスワードの再入力などの初回認証の手間をユーザに意識させずに済む。換言すると、コネクションCAからコネクションCBに切り替えが、ユーザ(アプリケーション層)にとっては透過である。
この簡易認証は、例えば、ゲートウェイ23がNAPT機能で使用するコネクションCAのグローバルIPアドレスやポート番号などの再生装置32でしか知り得ない内部の状態情報を用いる。よって、コネクションCAの状態情報を知らない不正な攻撃者が簡易認証を装った不正アクセスを配信装置31に送信したとしても、配信装置31は、適切に不正アクセスを防止することができる。
この簡易認証は、例えば、ゲートウェイ23がNAPT機能で使用するコネクションCAのグローバルIPアドレスやポート番号などの再生装置32でしか知り得ない内部の状態情報を用いる。よって、コネクションCAの状態情報を知らない不正な攻撃者が簡易認証を装った不正アクセスを配信装置31に送信したとしても、配信装置31は、適切に不正アクセスを防止することができる。
よって、本実施形態では、ハンドオーバに伴う再認証が簡易認証として高速化されることで、セキュリティを維持しつつ、早期に通信を再開できるとともに、認証に伴うネットワーク負荷も低減することができる。
なお、本実施形態の方式では通信におけるプロトコルにも自由度がある。つまり、通信切断時(パケットロス時)にパケットを再送するようなTCP(Transmission Control Protocol)などの通信プロトコルでも、パケットを再送しないでリアルタイム性を重視するUDP(User Datagram Protocol)などの通信プロトコルでも、採用できる。
なお、本実施形態の方式では通信におけるプロトコルにも自由度がある。つまり、通信切断時(パケットロス時)にパケットを再送するようなTCP(Transmission Control Protocol)などの通信プロトコルでも、パケットを再送しないでリアルタイム性を重視するUDP(User Datagram Protocol)などの通信プロトコルでも、採用できる。
また、本実施形態の方式では、カプセル化(トンネル化)を使用しないシンプルな設計でも動作するため、通信負荷が軽くて済む。以下、本実施形態の比較対象として、カプセル化を行う比較例を2つ例示する。
第1の比較例として、ネットワークが切り替えられた際も、一意のIPアドレスで通信を維持する技術として、「モバイルIP」が標準化されている。この技術は、中継を行うエージェントを配置し、エージェントと同一ネットワークでは通常の通信を行うが、異なるネットワークへ移動した際はエージェントが中継する。この場合、パケットのカプセル化によってパケットが増加し、通信経路が必要以上に長くなる事で通信負荷が増大してしまう。
第2の比較例として、アプリケーションの通信データのパケットをカプセル化し通信する方法で、カプセル化されたパケットの通信路が変更によってパケットヘッダが書き換えられた際もセッション維持を行う方法が挙げられる。この実現にはカプセル化されたパケット自体のセッションを維持する為の様々な対策も別途必要となる。この場合、カプセル化作業による処理増加や、通信量増加による通信負荷増加の問題も発生し、トンネル化に専用装置が必要な場合もある。
一方、本実施形態の方式では、端末位置に応じた経路で直接P2P通信を実行できるので、通信負荷が軽くて済む。さらに、第2の比較例のような専用装置は不要であり、利用環境を選ばない利点がある。
なお、前記の説明では、配信装置31が移動せず、再生装置32が移動したときの動作の一例を説明した。一方、ストリームデータを流す装置が移動して、ストリームデータを受けて再生する装置が移動しないこととしてもよい。その場合、以下のように前記の説明を読み替えればよい。
・配信装置31→「ストリームデータを受けて再生する固定装置」
・再生装置32→「ストリームデータを流す移動装置」
・S131、S221→「移動装置から固定装置に対して、確立されたコネクションを用いて、ストリームデータを配信する」
・配信装置31→「ストリームデータを受けて再生する固定装置」
・再生装置32→「ストリームデータを流す移動装置」
・S131、S221→「移動装置から固定装置に対して、確立されたコネクションを用いて、ストリームデータを配信する」
11 中継サーバ
12 STUNサーバ
21〜23 ゲートウェイ
31 配信装置(接続先装置)
32 再生装置(接続端末)
12 STUNサーバ
21〜23 ゲートウェイ
31 配信装置(接続先装置)
32 再生装置(接続端末)
Claims (5)
- 接続先装置と接続端末との間でのデータの配信経路についての途中の経路を切り換える接続切り替えシステムであって、
前記途中の経路を構成する接続点の情報は、外部点および内部点の組み合わせとして構成されており、
前記外部点は、前記接続端末をローカルネットワークに収容するゲートウェイがNAPT(Network Address Port Translation)で自身の前記接続端末を前記ローカルネットワークの外部にアクセスさせるときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点は、前記ローカルネットワーク内で前記接続端末と通信するときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点に位置する接続端末は、前記途中の経路を構成する旧接続点の情報を含めた旧接続要求を前記接続先装置に通知することにより、前記途中の経路を切り換える前の旧配信経路を前記接続先装置との間で確立し、
前記接続端末は、前記途中の経路を切り換える契機により前記旧配信経路が切断されると、前記旧接続要求により通知した前記旧接続点のうちの前記外部点の情報を含め、かつ、前記旧配信経路からの切り換え先となる新配信経路を構成する新接続点の情報を含めた新接続要求を前記接続先装置に送信し、
前記接続先装置は、受信した前記新接続要求に含まれる前記旧接続点のうちの前記外部点の情報が、受信した前記旧接続要求に含まれる前記旧接続点のうちの前記外部点の情報と一致するときに認証可とし、前記新接続要求に従って前記新接続点の情報を含めた前記新配信経路を、前記新接続要求の要求元であり前記内部点に位置する前記接続端末との間で確立することを特徴とする
接続切り替えシステム。 - 前記接続端末は、前記旧接続要求および前記新接続要求それぞれについて、さらに、自身の前記接続端末に固有のIDを含めて前記接続先装置に送信し、
前記接続先装置は、前記認証可とする工程において、前記外部点の情報が互いの接続要求で一致するときに、さらに、前記接続端末に固有のIDが互いの接続要求で一致するときに、前記新配信経路を前記接続端末との間で確立することを特徴とする
請求項1に記載の接続切り替えシステム。 - 接続切り替えシステムは、さらに、前記接続端末を収容するゲートウェイが使用する前記外部点の情報を、前記接続端末からの調査用パケットに対して応答するSTUN(Session Traversal Utilities for NATs)サーバを有することを特徴とする
請求項1または請求項2に記載の接続切り替えシステム。 - 接続先装置と接続端末との間でのデータの配信経路についての途中の経路を切り換える接続切り替えシステムによって実行され、
前記途中の経路を構成する接続点の情報は、外部点および内部点の組み合わせとして構成されており、
前記外部点は、前記接続端末をローカルネットワークに収容するゲートウェイがNAPT(Network Address Port Translation)で自身の前記接続端末を前記ローカルネットワークの外部にアクセスさせるときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点は、前記ローカルネットワーク内で前記接続端末と通信するときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点に位置する接続端末は、前記途中の経路を構成する旧接続点の情報を含めた旧接続要求を前記接続先装置に通知することにより、前記途中の経路を切り換える前の旧配信経路を前記接続先装置との間で確立し、
前記接続端末は、前記途中の経路を切り換える契機により前記旧配信経路が切断されると、前記旧接続要求により通知した前記旧接続点のうちの前記外部点の情報を含め、かつ、前記旧配信経路からの切り換え先となる新配信経路を構成する新接続点の情報を含めた新接続要求を前記接続先装置に送信し、
前記接続先装置は、受信した前記新接続要求に含まれる前記旧接続点のうちの前記外部点の情報が、受信した前記旧接続要求に含まれる前記旧接続点のうちの前記外部点の情報と一致するときに認証可とし、前記新接続要求に従って前記新接続点の情報を含めた前記新配信経路を、前記新接続要求の要求元であり前記内部点に位置する前記接続端末との間で確立することを特徴とする
接続切り替え方法。 - 接続先装置と接続端末との間でのデータの配信経路についての途中の経路を切り換える接続切り替えシステムに用いられ、
前記途中の経路を構成する接続点の情報は、外部点および内部点の組み合わせとして構成されており、
前記外部点は、前記接続端末をローカルネットワークに収容するゲートウェイがNAPT(Network Address Port Translation)で自身の前記接続端末を前記ローカルネットワークの外部にアクセスさせるときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記内部点は、前記ローカルネットワーク内で前記接続端末と通信するときに使用するIPアドレスとポート番号との組み合わせデータであり、
前記途中の経路を構成する旧接続点の情報を含めた旧接続要求を受け、前記途中の経路を切り換える前の旧配信経路を前記内部点に位置する接続端末との間で確立し、
前記途中の経路を切り換える契機により前記旧配信経路が切断されると、前記旧接続要求により通知された前記旧接続点のうちの前記外部点の情報を含め、かつ、前記旧配信経路からの切り換え先となる新配信経路を構成する新接続点の情報を含めた新接続要求を前記接続端末から受信し、
受信した前記新接続要求に含まれる前記旧接続点のうちの前記外部点の情報が、受信した前記旧接続要求に含まれる前記旧接続点のうちの前記外部点の情報と一致するときに認証可とし、前記新接続要求に従って前記新接続点の情報を含めた前記新配信経路を、前記新接続要求の要求元であり前記内部点に位置する前記接続端末との間で確立することを特徴とする
接続先装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016249093A JP6755171B2 (ja) | 2016-12-22 | 2016-12-22 | 接続切り替えシステム、接続切り替え方法、および、接続先装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016249093A JP6755171B2 (ja) | 2016-12-22 | 2016-12-22 | 接続切り替えシステム、接続切り替え方法、および、接続先装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018107495A JP2018107495A (ja) | 2018-07-05 |
| JP6755171B2 true JP6755171B2 (ja) | 2020-09-16 |
Family
ID=62787488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016249093A Active JP6755171B2 (ja) | 2016-12-22 | 2016-12-22 | 接続切り替えシステム、接続切り替え方法、および、接続先装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6755171B2 (ja) |
-
2016
- 2016-12-22 JP JP2016249093A patent/JP6755171B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018107495A (ja) | 2018-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI549452B (zh) | 用於對虛擬私人網路之特定應用程式存取之系統及方法 | |
| JP2004180155A (ja) | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 | |
| CN105471748B (zh) | 一种应用分流方法和装置 | |
| JP5335881B2 (ja) | 多重ネットワーク環境におけるピア・ツー・ピア接続システム及び方法 | |
| US9900178B2 (en) | Device arrangement and method for implementing a data transfer network used in remote control of properties | |
| KR20080032114A (ko) | 이동 장치의 네트워크 어드레스 변경을 위한 방법 및 장치 | |
| CN104579879A (zh) | 一种虚拟专用网络通信系统、连接方法及数据包传输方法 | |
| JP2015046892A (ja) | 建物の遠隔制御を実施するための方法およびデバイス装置 | |
| KR20050116817A (ko) | 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘 | |
| JP2011188358A (ja) | Vpn装置及びip通信装置 | |
| JP4852379B2 (ja) | パケット通信装置 | |
| JP2016019179A (ja) | 通信装置、端末装置およびプログラム | |
| JP4253569B2 (ja) | 接続制御システム、接続制御装置、及び接続管理装置 | |
| US8873569B2 (en) | User centric virtual network and method of establishing the same | |
| CN106416146B (zh) | 通信装置、通信方法和通信系统 | |
| JP2013005110A (ja) | 仮想ネットワークシステム、構成変更方法、トンネル終端装置、トンネル接続装置、及びプログラム | |
| JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
| US10805260B2 (en) | Method for transmitting at least one IP data packet, related system and computer program product | |
| JP6200033B2 (ja) | 中継装置、中継方法及び中継プログラム | |
| US9226223B2 (en) | Network connection system of network electronic device and method allowing a terminal device to access an electronic device connected behind a router without a NAT loopback function | |
| JP6755171B2 (ja) | 接続切り替えシステム、接続切り替え方法、および、接続先装置 | |
| JP5626900B2 (ja) | 無線通信システムおよびアクセスポイント | |
| EP3253004B1 (en) | Communication control device, communication control method, and communication control program | |
| JP2006191205A (ja) | 通信装置及び通信方法、通信システム | |
| JP6762735B2 (ja) | 端末間通信システム及び端末間通信方法及びコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190724 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200514 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200602 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200717 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200804 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200825 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6755171 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |