WO2010067864A1

WO2010067864A1 - 通信ネットワークシステム

Info

Publication number: WO2010067864A1
Application number: PCT/JP2009/070754
Authority: WO
Inventors: 尚弘福田
Original assignee: パナソニック電工株式会社
Priority date: 2008-12-12
Filing date: 2009-12-11
Publication date: 2010-06-17
Also published as: US8671207B2; EP2372960B1; CN102246472B; CN102246472A; EP2372960A1; JPWO2010067864A1; EP2372960A4; JP5261502B2; US20110320621A1

Abstract

　通信ネットワークシステムは、ノード（３０）間に介在される中継装置（４０）と、中継装置に接続される設定装置（５０）とを備える。　中継装置は、ノード間の中継をする中継ユニット（４０１）と、パーティション情報記憶ユニット（４０２）に記憶されたパーティション情報の内容に従って中継ユニットを制御するルーティングユニット（４０３）とを有する。　設定装置は、通信ユニット（５０１）が受信したブローカ情報を記憶するブローカ情報記憶ユニット（５０２）と、ブローカ情報記憶ユニットに記憶されたブローカ情報を参照してパーティション情報を生成するブローカ情報設定ユニット（５０３）と、パーティション情報記憶ユニットに記憶されたパーティション情報をブローカ情報設定ユニットで生成されたパーティション情報に更新するパーティション情報更新ユニット（５０４）とを有する。

Description

通信ネットワークシステム

　本発明は、通信ネットワークシステム、特に、複数のノードと、ノード間の中継をする中継装置とを有する通信ネットワークシステムに関する。

　文献１（特開２００７－５８４７号公報）に開示されたネットワークは、端末装置と共用装置とをリンクを介して接続するネットワーク中継装置を有する。ネットワーク中継装置は、ノード間のデータの伝送可否をデータの送信元と送信先との少なくとも一方に関する条件に基づいて判定する。

　しかしながら、文献１に開示されたネットワークでは、常時はノード間の通信を禁止しておき、必要に応じてノード間の通信を許可するという動的なアクセス制御を行うことはできない。

　本発明は前記事由に鑑みて為された。本発明の目的は、ノード間のアクセス制御を動的に行える通信ネットワークシステムを提供することにある。

　本発明に係る通信ネットワークシステムは、複数のノードと、前記ノード間に介在される中継装置と、前記中継装置に接続される設定装置と、を備える。前記中継装置は、前記ノード間の中継をする中継ユニットと、前記中継ユニットに前記ノード間の中継をさせるかどうかを決定するためのパーティション情報を記憶するパーティション情報記憶ユニットと、前記パーティション情報記憶ユニットに記憶された前記パーティション情報の内容に従って前記中継ユニットを制御するルーティングユニットと、を有する。前記設定装置は、前記ノード間の中継が要求されたことを示すブローカ情報を受信する受信ユニットと、前記受信ユニットが受信した前記ブローカ情報を記憶するブローカ情報記憶ユニットと、前記ブローカ情報記憶ユニットに記憶された前記ブローカ情報を参照して前記パーティション情報を生成するブローカ情報設定ユニットと、前記中継装置の前記パーティション情報記憶ユニットに記憶された前記パーティション情報を前記ブローカ情報設定ユニットで生成された前記パーティション情報に更新するパーティション情報更新ユニットと、を有する。

　この通信ネットワークシステムによれば、前記設定装置に前記ブローカ情報を送信することにより、前記中継装置の前記パーティション情報記憶ユニットに記憶された前記パーティション情報を変更できる。したがって、前記ノード間の通信の許可と禁止との制御（アクセス制御）を動的に行える。

　好ましくは、前記ブローカ情報は、送信元を示す情報と、送信先を示す情報と、を含む。前記送信元は、前記中継ユニットに信号の中継を要求するノードである。前記送信先は、前記送信元が信号の受け取りを要求するノードである。前記ブローカ情報設定ユニットは、ブローカ情報判定モジュールと、パーティション情報生成モジュールと、を有する。前記ブローカ情報判定モジュールは、第１ブローカ情報と第２ブローカ情報との２つの前記ブローカ情報が前記ブローカ情報記憶ユニットに記憶されると、前記第１ブローカ情報の示す前記送信元が前記第２ブローカ情報の示す前記送信先と一致し、かつ、前記第１ブローカ情報の示す前記送信先が前記第２ブローカ情報の示す前記送信元と一致するかどうかを判定するように構成される。前記パーティション情報生成モジュールは、前記ブローカ情報判定モジュールによって前記第１ブローカ情報の示す前記送信元が前記第２ブローカ情報の示す前記送信先と一致し、かつ、前記第１ブローカ情報の示す前記送信先が前記第２ブローカ情報の示す前記送信元と一致すると判定されると、前記第１ブローカ情報の示す前記送信元と前記第１ブローカ情報の示す前記送信先との間の中継を前記中継ユニットにさせるための前記パーティション情報を生成するように構成される。

　この通信ネットワークシステムによれば、第三者により通信が傍受される可能性を低減できる。

　好ましくは、前記ノードは、所定の機能を実現するためのプログラムであるインターフェイスの集合体であるオブジェクトを有する。前記パーティション情報は、前記オブジェクトを識別するためのオブジェクト識別子と、前記インターフェイスを識別するためのインターフェイス識別子と、を含む。

　この通信ネットワークシステムによれば、ノードを識別する識別情報を１つだけ用いて複数のオブジェクトについてパーティション情報を規定できる。言い換えると、複数のオブジェクト識別子のうちの１個だけを用いて複数のサービスを要求できる。たとえば、通信ネットワークのプロトコルとしてＴＣＰ／ＩＰを用いる場合、サービスの提供者は少ないコネクション数で多くのサービスを提供できる。サービスの享受者は少ないコネクション数で多くのサービスを享受できる。

　本発明に係る別の通信ネットワークシステムは、複数の下位ドメインを有する上位ドメインを有する。前記下位ドメインのそれぞれは、複数のノードと、前記ノード間に介在される下位中継装置とを有する。前記下位中継装置は、前記ノード間の中継をする下位中継ユニットと、前記下位中継ユニットに前記ノード間の中継をさせるかどうかを決定するための下位パーティション情報を記憶する下位パーティション情報記憶ユニットと、前記下位パーティション情報記憶ユニットに記憶された前記下位パーティション情報の内容に従って前記下位中継ユニットを制御する下位ルーティングユニットと、を有する。前記上位ドメインは、異なる前記下位ドメインに属する前記下位中継装置間に介在される上位中継装置と、前記上位中継装置に接続される上位設定装置と、を有する。前記上位中継装置は、前記下位中継ユニット間の中継をする上位中継ユニットと、前記上位中継ユニットに前記下位中継ユニット間の中継をさせるかどうかを決定するための上位パーティション情報を記憶する上位パーティション情報記憶ユニットと、前記上位パーティション情報記憶ユニットに記憶された前記上位パーティション情報の内容に従って前記上位中継ユニットを制御する上位ルーティングユニットと、を有する。前記上位設定装置は、前記下位中継ユニット間の中継が要求されたことを示す上位ブローカ情報を受信する上位受信ユニットと、前記上位受信ユニットが受信した前記上位ブローカ情報を記憶する上位ブローカ情報記憶ユニットと、前記上位ブローカ情報記憶ユニットに記憶された前記上位ブローカ情報を参照して前記上位パーティション情報を生成する上位ブローカ情報設定ユニットと、前記上位パーティション情報記憶ユニットに記憶された前記上位パーティション情報を前記上位ブローカ情報設定ユニットで生成された前記上位パーティション情報に更新する上位パーティション情報更新ユニットと、を有する。

　この通信ネットワークシステムによれば、下位ドメイン間の通信の許可と禁止とを動的に変更できる。さらに、ドメインを階層化しているから、連携するノードはドメイン内で識別できる識別情報（アドレス）を識別できればよい。そのため、下位ドメイン内では閉じたアドレス設定が可能になる。よって、下位ドメインでのアドレス管理が容易になる。たとえば、下位ドメインにおいてＮＡＴルータが用いられ、プライベートアドレスのようなドメイン固有の識別情報がノードに割り当てられているとする。この場合でも、下位ドメインの中継装置が属している上位ドメインのアドレスを用いてパーティション情報を上位中継装置に送信できる。したがって、下位ドメインに属するノードは、上位ドメインのアドレスを知る必要がない。よって下位ドメインでのアドレスの設定や管理が容易になる。

　好ましくは、前記下位ドメインのそれぞれは、前記下位中継装置に接続される下位設定装置を有する。前記下位設定装置は、前記ノード間の中継が要求されたことを示す下位ブローカ情報を受信する下位受信ユニットと、前記下位受信ユニットが受信した前記下位ブローカ情報を記憶する下位ブローカ情報記憶ユニットと、前記下位ブローカ情報記憶ユニットに記憶された前記下位ブローカ情報を参照して前記下位パーティション情報を生成する下位ブローカ情報設定ユニットと、前記下位パーティション情報記憶ユニットに記憶された前記下位パーティション情報を前記下位ブローカ情報設定ユニットで生成された前記下位パーティション情報に更新する下位パーティション情報更新ユニットと、を有する。

　この通信ネットワークシステムによれば、下位ドメインのノードごとに通信の中継の可否を設定できる。

　好ましくは、前記下位ドメインは、当該下位ドメイン内での通信に用いる下位セッション鍵を配布する下位認証サーバを有する。前記上位ドメインは、前記下位ドメインとの間での通信に用いる上位セッション鍵を配布する上位認証サーバを有する。前記上位パーティション情報更新ユニットは、前記下位認証サーバが前記下位セッション鍵を配布し、かつ、前記上位認証サーバが前記上位セッション鍵を配布した後に、前記上位パーティション情報記憶ユニットに記憶された前記上位パーティション情報を更新するように構成される。

　この通信ネットワークシステムによれば、パーティション情報を安全に変更できる。よって、第三者による通信の傍受を防止できる。

　好ましくは、前記下位ドメインは、当該下位ドメイン内での通信に用いる下位セッション鍵を配布する下位認証サーバを有する。前記上位ドメインは、前記下位ドメインとの間での通信に用いる上位セッション鍵を配布する上位認証サーバを有する。前記上位パーティション情報更新ユニットは、前記上位認証サーバが前記上位セッション鍵を配布した後に、前記上位パーティション情報記憶ユニットに記憶された前記上位パーティション情報を更新するように構成される。前記下位パーティション情報更新ユニットは、前記下位認証サーバが前記下位セッション鍵を配布した後に、前記下位パーティション情報記憶ユニットに記憶された前記下位パーティション情報を更新するように構成される。

　この通信ネットワークシステムによれば、上位パーティション情報記憶ユニットのパーティション情報と、下位パーティション情報記憶ユニットのパーティション情報とが更新される。そのため、ノード間のアクセス制御を複数箇所で管理できる。よって、ノード間の通信の安全性が向上する。

　好ましくは、前記下位パーティション情報は、前記下位ドメインに属する複数の前記ノードそれぞれの識別番号と、各前記識別番号にそれぞれ紐付けされたローカルパーティション番号およびグローバルパーティション番号と、を含む。前記ローカルパーティション番号は、同じ前記下位ドメインに属する前記ノード間の中継の可否の判定に使用される。前記グローバルパーティション番号は、異なるドメインに属する前記ノード間の通信の中継の可否の判定に使用される。

　この通信ネットワークシステムによれば、ドメイン内のノード間で通信を行う場合にはローカルパーティション情報を用い、異なるドメインに属するノード間で通信を行う場合にはグローバルパーティション情報を用いることができる。そのため、ドメインを使い分けることができる。また、ドメイン内とドメイン間との両方の通信を同時に許可することも可能になる。

　好ましくは、前記パーティション情報は、前記ノードの識別番号と、前記識別番号に紐付けされたパーティション番号と、を含む。前記ルーティングユニットは、前記中継ユニットを制御して前記パーティション番号が一致している前記ノード間の中継を行わせるように構成される。前記パーティション番号は、前記ノードに与えられたネットワークアドレスとサブネットマスクとの両方を用いて決定されている。

　この通信ネットワークシステムによれば、前記パーティション情報をルーティングアドレスとして用いることができるから、ノードごとにアクセス制御が可能となる。また、ＮＡＴによるプライベートアドレスを含むＩＰアドレスを前記パーティション情報とすることができる。プライベートアドレスのみを用いればＮＡＴを通過せずにドメイン内でのみ通信を行える。

実施形態１の通信ネットワークシステムのブロック図である。同上に用いられる通信フォーマットの概略図である。実施形態１の通信ネットワークシステムの概略構成図である。実施形態１の通信ネットワークシステムの変形例の概略構成図である。実施形態１に用いられる通信フォーマットの変形例の概略図である。

　（実施形態１）
　図１に示すように、本実施形態の通信ネットワークシステムは、上位ドメイン１０を有する。上位ドメイン１０は、複数の下位ドメイン２０を有する。複数の下位ドメイン２０は、それぞれ住宅に設けられた通信ネットワーク（ホームネットワーク）である。このように本実施形態の通信ネットワークシステムは、ドメインが階層化されたマルチドメインの通信ネットワークである。

　本実施形態では、上位ドメイン１０は、２つの下位ドメイン２０を有する。以下では２つの下位ドメイン２０を区別するために、必要に応じて、第１下位ドメインを符号２１で表し、第２下位ドメインを符号２２で表す。

　なお、本実施形態の通信ネットワークシステムは、２階層のネットワークであるが、３階層以上のネットワークであってもよい。

　下位ドメイン２０は、複数のノード（以下、「端末ノード」という）３０と、端末ノード３０間に介在される中継装置（下位中継装置）４０と、設定装置（下位設定装置）５０と、認証サーバ（下位認証サーバ）６０と、を有する。

　本実施形態では、下位ドメイン２１，２２のそれぞれは、２つの端末ノード３０と、１つの下位中継装置４０と、１つの下位設定装置５０と、１つの下位認証サーバ６０と、を有する。

　したがって、本実施形態の通信ネットワークシステムは、４つの端末ノード３０と、２つの下位中継装置４０と、２つの下位設定装置５０と、２つの下位認証サーバ６０と、を含む。

　以下では、４つの端末ノードを区別するために、必要に応じて、第１端末ノードを符号３１で表し、第２端末ノードを符号３２で表し、第３端末ノードを符号３３で表し、第４端末ノードを符号３４で表す。２つの下位中継装置４０を区別するために、必要に応じて、第１下位中継装置を符号４１で表し、第２下位中継装置を符号４２で表す。２つの下位設定装置５０を区別するために、必要に応じて、第１下位設定装置を符号５１で表し、第２下位設定装置を符号５２で表す。２つの下位認証サーバ６０を区別するために、必要に応じて、第１下位中継装置を符号６１で表し、第２下位中継装置を符号６２で表す。

　上位ドメイン１０は、さらに、中継装置（上位中継装置）７０と、設定装置（上位設定装置）８０と、認証サーバ（上位認証サーバ）９０と、を有する。

　上位中継装置７０は、異なる下位ドメイン２０に属する下位中継装置４０間に介在される。上位中継装置７０は、たとえば、インターネットのような外部ネットワークの通信路を介して下位中継装置４１，４２に接続される。

　下位中継装置４１は、住宅内に設けられた通信路（リンク）を介して各端末ノード３１，３２に接続されている。下位中継装置４２は、住宅内に設けられた通信路（リンク）を介して各端末ノード３３，３４に接続されている。

　下位中継装置４０は、ホームネットワークを外部ネットワークに接続するためのプロキシサーバとしても機能する。すなわち、下位中継装置４０は、ドメイン２０内の端末ノード３０の代理として上位中継装置７０と通信する。

　本実施形態の通信ネットワークシステムのノード（中継装置４１，４２，７０、端末ノード３１，３２，３３，３４）には、それぞれ他のノードと区別可能な識別情報（アドレス）が付与される。以下では、これらノードの識別情報をノードＩＤという。中継装置４０、７０がＤＨＣＰ機能を有している場合には、各端末ノード３０には、ノードＩＤが動的に割り当てられる。また、各ドメイン１０，２１，２２にも識別情報が付与される。ドメインの識別情報をドメインＩＤという。

　本実施形態では、各端末ノード３１，３２，３３，３４のノードＩＤは、それぞれＣ１１，Ｃ１２，Ｃ２１，Ｃ２２である。上位中継装置７０のノードＩＤはＡ０であり、下位中継装置２１，２２のノードＩＤはそれぞれＢ１，Ｂ２である。上位設定装置８０のノードＩＤはＹ０であり、下位設定装置５１，５２のノードＩＤはＹ１，Ｙ２である。また、各ドメイン１０，２１，２２のドメインＩＤは、それぞれＸ０，Ｘ１，Ｘ２である。

　各端末ノード３０は、所定の機能を実現するための機器（図示せず）を有する。以下では、取り扱う処理の単位をオブジェクトと呼び、オブジェクトが提供可能なサービスに関するサービス属性をインターフェイスと呼ぶ。すなわち、インターフェイスは、前記機器により所定の機能を実現するためのプログラムである。端末ノード３０は、インターフェイスの集合体であるオブジェクトを有する。つまり、オブジェクトは、端末ノード３０の用途を規定するプログラムであるといえる。なお、複数の端末ノード３０が同一のオブジェクトを有していてもよい。この場合には、オブジェクトを指定することで、複数の端末ノード３０を同時に指定することが可能になる。

　たとえば、前記機器が時計である場合、オブジェクトを「目覚まし時計」として取り扱える。このオブジェクトが有するインターフェイスは、たとえば、時刻セット機能や、アラーム機能、温度計測機能である。このようにオブジェクトは実際には１ないし複数のプログラム（インターフェイス）により実現される。各端末ノード３０は、オブジェクトに対応付けられたオブジェクト識別子と、オブジェクトが含むインターフェイスに対応付けられたインターフェイス識別子とを記憶する記憶装置（図示せず）を備える。

　本実施形態では、第１端末ノード３１は、所定の機能を実現するための機器としてＴＶカメラを備える。この第１端末ノード３１は、ＴＶカメラによる撮像機能という第１オブジェクトを有する。第１オブジェクトのインターフェイスは、ＴＶカメラによる撮像の開始やＴＶカメラによる撮像の停止、ＴＶカメラの焦点合わせ、ＴＶカメラの視野の変更などＴＶカメラの機能に対応したサービス（サービス属性）である。第３端末ノード３３は、所定の機能を実現するための機器としてモニタを備える。第３端末ノード３３は、モニタによる表示機能という第２オブジェクトを有する。第２オブジェクトのインターフェイスは、モニタによる表示の開始やモニタによる表示の停止などモニタの機能に対応したサービスである。

　たとえば、下位ドメイン２１は子世帯の住宅内の通信ネットワークであり、下位ドメイン２２は親世帯の住宅内の通信ネットワークであるとする。この場合、端末ノード３１と端末ノード３３とが連携することで、端末ノード３１のＴＶカメラ（ネットワークカメラ）が撮像した子世帯の住宅で飼っているペットの映像を、親世帯の住宅の端末ノード３３のモニタ（ネットワーク対応のモニタ装置）に表示させることができる。子世帯の住宅の家人が不在になる間だけ端末ノード３１と端末ノード３３とを連携させれば、子世帯の住宅の家人が不在になる間だけペットの映像を端末ノード３３のモニタに表示させることができる。

　また、端末ノード３１がスイッチを有し、端末ノード３３が負荷を有していてもよい。この場合、端末ノード３１と端末ノード３３とを連携させることで、端末ノード３１のスイッチで端末ノード３３の負荷を制御できるようになる。あるいは、端末ノード３１がマイクロホンを有し、端末ノード３３がスピーカを有していてもよい。この場合、端末ノード３１と端末ノード３３とを連携させることで、端末ノード３１のマイクロホンに入力された音声を端末ノード３３のスピーカから出力させることができる。

　端末ノード３１と端末ノード３３とが連携する場合、端末ノード３１から端末ノード３３には、下位中継装置４１、上位中継装置７０、下位中継装置４２を経てデータが送信される。

　また、各端末ノード３０は、後述のパーティション情報の変更を指示するトリガを発生させるためのスイッチ（図示せず）を備える。このトリガは、後述するブローカ情報である。

　下位中継装置４０は、中継ユニット（下位中継ユニット）４０１と、パーティション情報記憶ユニット（下位パーティション情報記憶ユニット）４０２と、ルーティングユニット（下位ルーティングユニット）４０３と、を有する。

　なお、必要に応じて、下位中継装置４１の下位中継ユニットを符号４１１で表し、下位中継装置４１の下位パーティション情報記憶ユニットを符号４１２で表し、下位中継装置４１の下位ルーティングユニットを符号４１３で表す。また、必要に応じて、下位中継装置４２の下位中継ユニットを符号４２１で表し、下位中継装置４２の下位パーティション情報記憶ユニットを符号４２２で表し、下位中継装置４２の下位ルーティングユニットを符号４２３で表す。

　下位中継ユニット４０１は、端末ノード３０間の中継をするように構成される。下位中継ユニット４０１は中継ノードとして機能する。下位中継ユニット４０１は、下位のノード（端末ノード３０）から受け取ったブローカ情報の要求ノードＩＤが自身と異なるドメインに属するノードのノードＩＤであれば、ブローカ情報を上位中継装置７０に転送するように構成される。下位中継ユニット４０１は、下位のノード（端末ノード３０）から受け取ったブローカ情報の要求ノードＩＤが自身と同じドメインに属するノードのノードＩＤであれば、ブローカ情報を下位設定装置５０に転送するように構成される。なお、下位中継ユニット４０１は、単純に、下位のノード（端末ノード３０）から受け取ったブローカ情報を上位中継装置７０と下位設定装置５０とに転送するように構成されていてもよい。

　下位パーティション情報記憶ユニット４０２は、パーティション情報（下位パーティション情報）を記憶するように構成される。下位パーティション情報は、下位中継ユニット４０１にノード３０間の中継をさせるかどうかを決定するための情報である。つまり、パーティション情報は、ノード間の連携関係を規定する情報である。

　パーティション情報は、ノードＩＤと、パーティション番号と、を含む。つまり、パーティション情報は、（ノードＩＤ，パーティション番号）のデータ対である。

　パーティション番号は、ドメイン１０，２１，２２ごとに付与される。ドメイン間の階層関係を表すために、上位のドメインを示す数値と下位のドメインを示す数値との間をドット（．）で区切る形式で表現される。

　本実施形態では、最上位のドメインである上位ドメイン１０のパーティション番号は、「１」である。上位中継装置７０と上位設定装置９０は上位ドメイン１０にのみ属するから、上位中継装置７０と上位設定装置９０とのパーティション番号は「１」である。

　下位ドメイン２１のパーティション番号は「１．１」であり、下位ドメイン２２のパーティション番号は「１．２」である。ここで、ドットの左の数字は、上位ドメイン１０のパーティション番号を示す。ドットの右の数字は、下位ドメイン２０を区別するための番号を示す。下位中継装置４１には、下位中継装置４１が属する下位ドメイン２１のパーティション番号「１．１」が付与される。下位中継装置４２には、下位中継装置４２が属する下位ドメイン２２のパーティション番号「１．２」が付与される。

　たとえば、下位パーティション情報記憶ユニット４１２は表１に示す下位パーティション情報をデフォルトのパーティション情報として記憶し、下位パーティション情報記憶ユニット４２２は表２に示す下位パーティション情報をデフォルトのパーティション情報として記憶する。

　下位ルーティングユニット４０３は、下位パーティション情報記憶ユニット４０２に記憶された下位パーティション情報の内容に従って下位中継ユニット４０１を制御するように構成される。つまり、下位ルーティングユニットは、下位パーティション情報記憶ユニット４０２に格納された下位パーティション情報に基づいて端末ノード３０間の通信の許可と禁止とを選択する。

　下位ルーティングユニット４０３は、以下の規則に従って下位中継ユニット４０１の制御（アクセス制御）を行う。

　規則１：　パーティション番号が一致しているノード間の通信を許可する。

　規則２：　パーティション番号のうちの下位ドメイン２０のパーティション番号（つまり、「．」の右側の数値）が０であれば、上位ドメイン１０のパーティション番号が一致しているノード間の通信を許可する。

　なお、規則２では、「．」の右側の数値が０であれば、ワイルドカードとみなし、「．」の右側が他の数値であるものと一致しているとみなす。また、「．０」は省略して記述される。たとえば、「１．０」は「１」と表記される。

　下位ルーティングユニット４０３は、下位設定装置５０から下位パーティション情報を受け取ると、下位パーティション情報記憶ユニット４０２に記憶された下位パーティション情報を受け取った下位パーティション情報に更新するように構成される。

　下位ルーティングユニット４０３は、下位設定装置５０からリセット信号を受け取ると、下位パーティション情報記憶ユニット４０２に記憶された下位パーティション情報をデフォルトの下位パーティション情報に更新するように構成される。

　上位中継装置７０は、中継ユニット（上位中継ユニット）７０１と、パーティション情報記憶ユニット（上位パーティション情報記憶ユニット）７０２と、ルーティングユニット（上位ルーティングユニット）７０３と、を有する。

　上位中継ユニット７０１は、下位中継ユニット４０１間の中継をするように構成される。また、上位中継ユニット７０１は、下位中継装置４０から受け取ったブローカ情報を上位設定装置８０に転送するように構成される。

　上位パーティション情報記憶ユニット７０２は、パーティション情報（上位パーティション情報）を記憶するように構成される。上位パーティション情報は、上位中継ユニット７０１に下位中継ユニット４０１間の中継をさせるかどうかを決定するための情報である。

　たとえば、上位パーティション情報記憶ユニット７０２は表３に示す上位パーティション情報をデフォルトのパーティション情報として記憶する。

　上位ルーティングユニット７０３は、上位パーティション情報記憶ユニット７０２に記憶された上位パーティション情報の内容に従って上位中継ユニット７０１を制御するように構成される。

　上位ルーティングユニット７０３は、下位ルーティングユニット４０３と同様の規則１）および規則２）に従って上位中継ユニット７０１の制御（アクセス制御）を行う。上位ルーティングユニット７０３は、上位設定装置８０から上位パーティション情報を受け取ると、上位パーティション情報記憶ユニット７０２に記憶された上位パーティション情報を受け取った上位パーティション情報に更新するように構成される。上位ルーティングユニット７０３は、上位設定装置８０からリセット信号を受け取ると、上位パーティション情報記憶ユニット７０２に記憶された上位パーティション情報をデフォルトの上位パーティション情報（本実施形態では表３に示すパーティション情報）に更新するように構成される。

　本実施形態では、パーティション情報記憶ユニット４０２，７０２は、中継装置４０，７０に内蔵されている。しかしながら、パーティション情報記憶ユニット４０２，７０２は、物理的に中継装置４０，７０と分離されていてもよい。この場合、パーティション情報記憶ユニット４０２，７０２は、中継装置４０，７０と通信するように構成される。

　本実施形態では、設定装置５０，８０は、物理的に中継装置４０，７０と分離されているから、中継装置４０，７０と通信を行うように構成される。しかしながら、設定装置５０，８０は、中継装置４０，７０に内蔵されていてもよい。

　下位認証サーバ６０は、下位中継装置４０と他のノードとの間の通信を暗号化するためのセッション鍵（下位セッション鍵）を配布するために設けられる。下位認証サーバ６１は下位中継装置４１に接続され、下位認証サーバ６２は下位中継装置４２に接続される。

　下位認証サーバ６０は、鍵配布ユニット（下位鍵配布ユニット）６０１と、鍵記憶ユニット（下位鍵記憶ユニット）６０２と、を有する。なお、必要に応じて、下位認証サーバ６１の下位鍵配布ユニットを符号６１１で表し、下位認証サーバ６１の下位鍵記憶ユニットを符号６１２で表す。同様に、必要に応じて、下位認証サーバ６２の下位鍵配布ユニットを符号６２１で表し、下位認証サーバ６２の下位鍵記憶ユニットを符号６２２で表す。

　下位鍵記憶ユニット６０２は、下位セッション鍵を暗号化して各ノードに配布するために各ノードとの間の共通鍵である秘密鍵（下位秘密鍵）を記憶するように構成される。下位秘密鍵は、セッション鍵の配布対象のノードごと設定される。当然ながら、セッション鍵の配布対象のノードは、下位秘密鍵を有している。

　なお、本実施形態では、下位鍵記憶ユニット６０２は下位鍵配布ユニット６０１と分離されている。下位鍵記憶ユニット６０２は下位鍵配布ユニット６０１と一体に構成されていてもよい。

　下位鍵配布ユニット６０１は、下位中継装置４０からの要求に応じて下位中継装置４０に下位セッション鍵を配布するように構成される。下位鍵配布ユニット６０１は、下位中継装置４０に下位セッション鍵を配布する際には、下位鍵記憶ユニット６０２に記憶された秘密鍵を用いて下位セッション鍵を暗号化する。

　上位認証サーバ９０は、上位中継装置７０と他のノードとの間の通信を暗号化するためのセッション鍵（上位セッション鍵）を配布するために設けられる。上位認証サーバ９０は上位中継装置７０に接続される。

　上位認証サーバ９０は、鍵配布ユニット（上位鍵配布ユニット）９０１と、鍵記憶ユニット（上位鍵記憶ユニット）９０２と、を有する。

　上位鍵記憶ユニット９０２は、上位セッション鍵を暗号化して各ノードに配布するために各ノードとの間の共通鍵である秘密鍵（上位秘密鍵）を記憶するように構成される。上位秘密鍵は、セッション鍵の配布対象のノードごと設定される。当然ながら、セッション鍵の配布対象のノードは、上位秘密鍵を有している。

　上位鍵記憶ユニット９０２は、ノードＩＤまたはドメインＩＤと秘密鍵とパーティション番号との三つ組みのデータを記憶する。なお、本実施形態では、上位鍵記憶ユニット９０２は上位鍵配布ユニット９０１と分離されている。上位鍵記憶ユニット９０２は上位鍵配布ユニット９０１と一体に構成されていてもよい。

　上位鍵配布ユニット９０１は、上位中継装置７０からの要求に応じて上位中継装置７０に上位セッション鍵を配布するように構成される。上位鍵配布ユニット９０１は、上位中継装置７０に上位セッション鍵を配布する際には、上位鍵記憶ユニット９０２に記憶された秘密鍵を用いて上位セッション鍵を暗号化する。

　このように、各ノードは、セッション鍵を用いてデータの暗号化を行う。上位中継装置７０は、上位設定装置８０や下位ドメイン２０のノード（下位中継装置４０や、端末ノード３０、下位設定装置５０）のような上位ドメイン１０内のノードと通信を行うときには、上位認証サーバ９０が配布するセッション鍵（上位セッション鍵）を用いる。下位中継装置４１は、自身が属する下位ドメイン２１内のノード（端末ノード３１，３２や下位設定装置５１）と通信を行うときには、下位認証サーバ６１が配布する下位セッション鍵を用いる。同様に、下位中継装置４２は、自身が属する下位ドメイン２２内のノード（端末ノード３３，３４や下位設定装置５２）と通信を行うときには、下位認証サーバ６２が配布する下位セッション鍵を用いる。

　各鍵記憶ユニット９０２，６１２，６２２は、それぞれ表４～表６のように、鍵データを記憶する。鍵データは、ノードＩＤまたはドメインＩＤと、秘密鍵と、パーティション番号とが互いに関連付けられたデータである。この鍵データを、（ノードＩＤまたはドメインＩＤ，秘密鍵，パーティション番号）として表す。なお、上位秘密鍵をドメインＩＤと関連付けているのは、下位ドメイン２０毎に上位秘密鍵を割り当てるためである。

　上位鍵配布ユニット９０１は、下位中継装置４１，４２からセッション鍵の配布を要求されると、セッション鍵を生成する。このセッション鍵は、通信する２つのノードあるいはドメインに共通である。上位鍵配布ユニット９０１は、下位中継装置４１，４２が管理する下位ドメイン２１，２２のドメインＩＤ（Ｘ１，Ｘ２）に関係付けられている秘密鍵Ｋｄｘ１，Ｋｄｘ２を上位鍵記憶ユニット９０２から取得する。上位鍵配布ユニット９０１は、取得した秘密鍵Ｋｄｘ１，Ｋｄｘ２を用いてセッション鍵を暗号化して下位中継装置４１，４２にそれぞれ配布する。下位中継装置４１，４２は、暗号化されたセッション鍵（チケット）を受け取ると、自身の保持している秘密鍵を用いてチケットを復号化してセッション鍵を取得する。

　下位鍵配布ユニット６１１，６１２は、各端末ノード３１，３２，３３，３４からセッション鍵の配布を要求されると、セッション鍵を生成する。このセッション鍵は、通信する２つのノードあるいはドメインに共通である。下位鍵配布ユニット６０１は、各端末ノード３１，３２，３３，３４のノードＩＤにそれぞれ関係付けられている秘密鍵Ｋｃ１１，Ｋｃ１２，Ｋｃ２１，Ｋｃ２２を下位鍵記憶ユニット６０２から取得する。下位鍵配布ユニット６０１は、取得した秘密鍵Ｋｃ１１，Ｋｃ１２，Ｋｃ２１，Ｋｃ２２を用いてセッション鍵を暗号化して、端末ノード３１，３２，３３，３４にそれぞれ配布する。各端末ノード３０は、暗号化されたセッション鍵（チケット）を受け取ると、自身の保持している秘密鍵を用いてチケットを復号化してセッション鍵を取得する。

　鍵配布ユニット９０１，６１１，６１２は、セッション鍵を配布した後に、鍵記憶ユニット９０２，６１２，６２２のパーティション情報（パーティション番号）を更新するように構成される。なお、鍵配布ユニット９０１，６１１，６１２は、設定装置８０，５１，５２からリセット信号を受け取ると、鍵記憶ユニット９０２，６１２，６２２に記憶されたパーティション情報をデフォルトのパーティション情報に更新するように構成される。

　たとえば、下位中継装置４１が上位中継装置７０との間で通信を行うためにセッション鍵の配布を要求する場合を想定する。この場合、上位認証サーバ９０は、上位中継装置７０および下位中継装置４１にそれぞれ上位セッション鍵を配布する。また、上位認証サーバ９０は、上位中継装置４１が属する下位ドメイン２１と上位中継装置７０とのパーティション情報を更新する。ただし、この例では下位ドメイン２１のパーティション番号が「１．１」であり、上位中継装置７０のパーティション番号が「１」である。つまり、パーティション情報を更新する前においても、下位中継装置４１と上位中継装置７０との間の通信が許可されている。つまり、下位中継装置４１が上位中継装置７０と通信することが許可されている。よって、上位鍵記憶ユニット９０２に記憶されたパーティション情報は実質的には更新されない。

　たとえば、下位ドメイン２１，２２間の通信を行うためにセッション鍵の配布を要求する場合を想定する。この場合、上位認証サーバ９０は、下位中継装置４１，４２にそれぞれセッション鍵を配布する。また、上位認証サーバ９０は、下位中継装置４１，４２が属する下位ドメイン２１，２２のパーティション情報（パーティション番号）を更新する。この場合、下位ドメイン２１，２２のうちの一方のパーティション番号が、下位ドメイン２１，２２の他方のパーティション番号と一致するように変更される。たとえば、表４に示す例では、下位ドメイン２１のパーティション番号が１．１から１．２に変更される。

　下位設定装置５１は、下位中継装置４１に接続される。下位設定装置５２は、下位中継装置４２に接続される。

　各下位設定装置５０は、通信ユニット（下位通信ユニット）５０１と、ブローカ情報記憶ユニット（下位ブローカ情報記憶ユニット）５０２と、ブローカ情報設定ユニット（下位ブローカ情報設定ユニット）５０３と、パーティション情報更新ユニット（下位パーティション情報更新ユニット）５０４と、を有する。

　なお、必要に応じて、下位設定装置５１の下位通信ユニットを符号５１１で表し、下位設定装置５１の下位ブローカ情報記憶ユニットを符号５１２で表し、下位設定装置５１の下位ブローカ情報設定ユニットを符号５１３で表し、下位設定装置５１の下位パーティション情報更新ユニットを符号５１４で表す。同様に、必要に応じて、下位設定装置５２の下位通信ユニットを符号５２１で表し、下位設定装置５２の下位ブローカ情報記憶ユニットを符号５２２で表し、下位設定装置５２の下位ブローカ情報設定ユニットを符号５２３で表し、下位設定装置５２の下位パーティション情報更新ユニットを符号５２４で表す。

　下位通信ユニット５０１は、接続された下位中継装置４０との間で通信を行うように構成される。下位通信ユニット５０１は、下位中継ユニット４０１間の中継が要求されたことを示す下位ブローカ情報を受信する受信ユニット（下位受信ユニット）として機能する。

　下位ブローカ情報記憶ユニット５０２は、下位通信ユニット５０１が受信した下位ブローカ情報を記憶するように構成される。

　ブローカ情報は、下位ドメイン２０に含まれる端末ノード３０間の連携関係を示す情報である。ブローカ情報は、送信元を示す情報と、送信元の属するドメインを示す情報と、送信先を示す情報とを含む。具体的には、ブローカ情報は、送信元のノードＩＤと、送信元の属するドメインＩＤと、送信先のノードＩＤ（要求ノードＩＤ）とで構成されるデータである。以下では、ブローカ情報を、（送信元のノードＩＤ，送信元の属するドメインＩＤ，要求ノードＩＤ）の形で表す。送信元は、中継装置４０に信号の中継を要求する端末ノード３０である。送信先は、中継装置４０が中継する信号の宛先の端末ノード３０である。言い換えれば、送信先は、送信元が信号の受け取りを要求する端末ノード３０である。たとえば、ブローカ情報（Ｃ１１，Ｘ１，Ｃ２１）は、端末ノードＣ１１が端末ノードＣ２１に何らかのサービスを提供することを希望していることを示す。

　下位ブローカ情報設定ユニット５０３は、下位ブローカ情報記憶ユニット５０２に記憶された下位ブローカ情報を参照して下位パーティション情報を生成するように構成される。

　下位ブローカ情報設定ユニット５０３は、ブローカ情報判定モジュール（下位ブローカ情報判定モジュール）５０３１と、パーティション情報生成モジュール（下位パーティション情報生成モジュール）５０３２と、を含む。下位ブローカ情報判定モジュール５０３１は、下位ブローカ情報記憶ユニット５０２に２つの下位ブローカ情報（第１下位ブローカ情報と第２下位ブローカ情報）が記憶されると、第１下位ブローカ情報の示す送信元が第２下位ブローカ情報の示す送信先と一致し、かつ、第１下位ブローカ情報の示す送信先が第２下位ブローカ情報の示す送信元と一致するかどうかを判定するように構成される。下位ブローカ情報生成モジュール５０３２は、下位ブローカ情報判定モジュール５０３１によって第１下位ブローカ情報の示す送信元が第２下位ブローカ情報の示す送信先と一致し、かつ、第１下位ブローカ情報の示す送信先が第２下位ブローカ情報の示す送信元と一致すると判定されると、下位パーティション情報を生成するように構成される。この下位パーティション情報は、第１下位ブローカ情報の示す送信元と第１下位ブローカ情報の示す送信先との間の中継（第２下位ブローカ情報の示す送信元と第２下位ブローカ情報の示す送信先との間の中継）を下位中継ユニット４０１にさせることを示す。

　下位パーティション情報更新ユニット５０４は、下位通信ユニット５０１を制御して、下位ブローカ情報設定ユニット５０３で生成された下位パーティション情報を下位中継装置４０に送信する。これによって、下位パーティション情報更新ユニット５０４は、下位パーティション情報記憶ユニット４０２に記憶された下位パーティション情報を下位ブローカ情報設定ユニット５０３で生成された下位パーティション情報に更新する。

　また、下位パーティション情報更新ユニット５０４は、端末ノード３０に代わって下位認証サーバ６０にセッション鍵の配布を要求する。すなわち、下位パーティション情報更新ユニット５０４は、下位通信ユニット５０１を制御して、下位ブローカ情報設定ユニット５０３で生成された下位パーティション情報に基づいて、相互に通信を開始する２つのノードへのセッション鍵の配布を要求するメッセージを送信する。また、下位パーティション情報更新ユニット５０４は、下位通信ユニット５０１を制御して、下位ブローカ情報設定ユニット５０３で生成された下位パーティション情報を下位認証サーバ６０に送信する。これによって、下位認証サーバ６０は、セッション鍵を配布し、パーティション情報（パーティション番号）を更新する。

　このように下位設定装置５０は、下位鍵記憶ユニット６０２に格納されているデータ（パーティション情報）の更新と、下位パーティション情報記憶ユニット４０２に格納されているデータ（パーティション情報）の更新とを行うブローカサービスを提供する。

　上位設定装置８０は、上位中継装置７０に接続される。上位設定装置８０は、通信ユニット（上位通信ユニット）８０１と、ブローカ情報記憶ユニット（上位ブローカ情報記憶ユニット）８０２と、ブローカ情報設定ユニット（上位ブローカ情報設定ユニット）８０３と、パーティション情報更新ユニット（上位パーティション情報更新ユニット）８０４と、を有する。

　上位通信ユニット８０１は、上位中継装置７０との間で通信を行うように構成される。上位通信ユニット８０１は、下位中継ユニット４０１間の中継が要求されたことを示す上位ブローカ情報を受信する受信ユニット（上位受信ユニット）として機能する。上位ブローカ情報は、下位ドメイン２０に含まれる端末ノード３０間の通信の連携関係を示す情報でもある。

　上位ブローカ情報記憶ユニット８０２は、上位通信ユニット８０１が受信した上位ブローカ情報を記憶するように構成される。

　上位ブローカ情報設定ユニット８０３は、上位ブローカ情報記憶ユニット８０２に記憶された上位ブローカ情報を参照して上位パーティション情報を生成するように構成される。

　上位ブローカ情報設定ユニット８０３は、ブローカ情報判定モジュール（上位ブローカ情報判定モジュール）８０３１と、パーティション情報生成モジュール（上位パーティション情報生成モジュール）８０３２と、を含む。上位ブローカ情報判定モジュール８０３１は、上位ブローカ情報記憶ユニット８０２に２つの上位ブローカ情報（第１上位ブローカ情報と第２上位ブローカ情報）が記憶されると、第１上位ブローカ情報の示す送信元が第２上位ブローカ情報の示す送信先と一致し、かつ、第１上位ブローカ情報の示す送信先が第２上位ブローカ情報の示す送信元と一致するかどうかを判定するように構成される。上位ブローカ情報生成モジュール８０３２は、上位ブローカ情報判定モジュール８０３１によって第１上位ブローカ情報の示す送信元が第２上位ブローカ情報の示す送信先と一致し、かつ、第１上位ブローカ情報の示す送信先が第２上位ブローカ情報の示す送信元と一致すると判定されると、上位パーティション情報を生成するように構成される。この上位パーティション情報は、第１上位ブローカ情報の示す送信元と第１上位ブローカ情報の示す送信先との間の中継（第２上位ブローカ情報の示す送信元と第２上位ブローカ情報の示す送信先との間の中継）を上位中継ユニット７０１にさせることを示す。

　上位パーティション情報更新ユニット８０４は、上位通信ユニット８０１を制御して、上位ブローカ情報設定ユニット８０３で生成された上位パーティション情報を上位中継装置７０に送信する。これによって、上位パーティション情報更新ユニット８０４は、上位パーティション情報記憶ユニット７０２に記憶された上位パーティション情報を上位ブローカ情報設定ユニット８０３で生成された上位パーティション情報に更新する。

　また、上位パーティション情報更新ユニット８０４は、中継装置４０，７０や端末ノード３０に代わって上位認証サーバ９０にセッション鍵の配布を要求する。すなわち、上位パーティション情報更新ユニット８０４は、上位通信ユニット８０１を制御して、上位ブローカ情報設定ユニット８０３で生成された上位パーティション情報に基づいて、相互に通信を開始する２つのノードへのセッション鍵の配布を要求するメッセージを送信する。また、上位パーティション情報更新ユニット８０４は、上位通信ユニット８０１を制御して、上位ブローカ情報設定ユニット８０３で生成された上位パーティション情報を上位認証サーバ９０に送信する。これによって、上位認証サーバ９０は、セッション鍵を配布し、パーティション情報（パーティション番号）を更新する。

　このように上位設定装置８０は、上位鍵記憶ユニット９０２に格納されているデータ（パーティション情報）の更新と、上位パーティション情報記憶ユニット４０２に格納されているデータ（パーティション情報）の更新とを行うブローカサービスを提供する。

　以下に、本実施形態の通信ネットワークシステムの動作について説明する。

　まず、上位設定装置８０の動作について説明する。初期状態では、下位パーティション情報記憶ユニット４１２が表１に示す下位パーティション情報を記憶し、下位パーティション情報記憶ユニット４２２が表２に示す下位パーティション情報を記憶しているとする。

　表１に示す下位パーティション情報では、下位中継装置４１と端末ノード３１，３２とのパーティション番号が一致している。そのため、規則１により、下位ルーティングユニット４１３は、下位中継装置４１と第１端末ノード３１との間の通信を許可し、下位中継装置４１と第２端末ノード３２との間の通信を許可する。さらに、下位ルーティングユニット４１３は、端末ノード３１，３２間の通信を許可する。これにより第１端末ノード３１と第２端末ノード３２とが通信可能になる。
　下位中継装置４１および端末ノード３１，３２と上位中継装置７０とはパーティション番号が一致していない。しかしながら、規則２により、下位ルーティングユニット４１３は、下位中継装置４１と上位中継装置７０との間の通信を許可し、端末ノード３１，３２と上位中継装置７０との間の通信を許可する。規則１により、下位中継装置４１と第１端末ノード３１との間の通信が許可され、下位中継装置４１と第２端末ノード３２との間の通信が許可されている。よって、下位中継装置４１および端末ノード３１，３２と上位中継装置７０とが通信可能になる。

　下位ルーティングユニット４１３は、ノード間の通信路が有効であるか無効であるかを決定している。下位ルーティングユニット４１３は、ノード間の通信路が全て有効であれば、ノード間の通信を許可する。一方、下位ルーティングユニット４１３は、ノード間の通信路に無効な通信路が含まれていれば、ノード間の通信を許可しない。

　さらに、表１に示す下位パーティション情報によれば、下位中継装置４１と下位設定装置５１とはパーティション番号が一致している。そのため、下位ルーティングユニット４１３は、下位中継装置４１と下位設定装置５１との間の通信を許可する。

　表２に示す下位パーティション情報によれば、下位ルーティングユニット４２３は、端末ノード３３，３４間の通信を許可する。また、下位ルーティングユニット４２３は、下位中継装置４２および端末ノード３３，３４と上位中継装置７０との間の通信を許可する。さらに、下位ルーティングユニット４２３は、下位中継装置４２と下位設定装置５２との間の通信を許可する。

　また、初期状態では、上位パーティション情報記憶ユニット７０２が表３に示す上位パーティション情報を記憶しているとする。

　表３に示す上位パーティション情報によれば、上位中継装置７０と上位設定装置８０とはパーティション番号が一致している。そのため、上位ルーティングユニット７０３は、上位中継装置７０と上位設定装置８０との間の通信を許可する。一方、下位中継装置４１と下位中継装置４２とはパーティション番号が一致しない。そのため、上位ルーティングユニット７０３は、下位中継装置４１，４２間の通信を許可しない。つまり、初期状態では、下位ドメイン２０間の通信が禁止されている。

　表３に示す上位パーティション情報によれば、上位中継装置７０および上位設定装置８０のパーティション番号が「１（＝１．０）」であり、下位中継装置４１，４２のパーティション番号がそれぞれ「１．１」，「１．２」である。そのため、規則２によって、上位ルーティングユニット７０３は、上位中継装置７０および上位設定装置８０と下位中継装置４１，４２との間の通信を許可する。

　このように初期状態では、同じ下位ドメイン２０に属する端末ノード３０間の通信は許可され、異なる下位ドメイン２０に属する端末ノード３０間の通信は許可されない。また、上位中継装置７０は、下位中継装置４１，４２および端末ノード３１～３４と通信が可能である。つまり、上位中継装置７０は上位ドメイン１０に含まれる全てのノードと通信できる。

　異なる下位ドメイン２１，２２の間の通信を許可するには、上位パーティション情報記憶ユニット７０２のパーティション情報を表７のように変更すればよい。

　表７に示すパーティション情報では、下位中継装置４１のパーティション番号が「１．２」である。つまり、下位中継装置４１のパーティション番号が「１．１」から「１．２」に変更されている。この場合、上位パーティション情報記憶ユニット７０２のパーティション情報においては、下位中継装置４１と下位中継装置４２とのパーティション番号が一致する。よって、上位ルーティングユニット７０３は、下位中継装置４１，４２間の通信を許可する。つまり、下位ドメイン２１，２２の間の通信が許可される。なお、下位中継装置４２のパーティション番号を「１．２」から「１．１」に変更しても同じ結果が得られる。

　下位中継装置４１は、下位ドメイン２１内の端末ノード３１，３２との通信が許可されている。また、下位中継装置４２は、下位ドメイン２２内の端末ノード３３，３４との間の通信が許可されている。そのため、中継装置４１，４２，７０を介して端末ノード３１と端末ノード３３とが相互に通信可能になる。

　このように、異なる下位ドメイン２１，２２に属する端末ノード３０間の中継の可否を変更するには、上位パーティション情報記憶ユニット７０２に格納された上位パーティション情報を変更する必要がある。本実施形態では、特定の端末ノード３０と別の端末ノード３０との中継を要求する場合には、特定の端末ノード３０に、別の端末ノード３０のノードＩＤを含むブローカ情報を送信させる。また、別の端末ノード３０に、特定の端末ノード３０のノードＩＤを含むブローカ情報を送信させる。ブローカ情報は、図２に示すように、自身のノードＩＤ（送信元ノードＩＤ）と、自身が属するドメインを特定するドメインＩＤと、自身が連携を希望するノードＩＤである要求ノードＩＤとを含む。

　第１端末ノード３１と第３端末ノード３３との間で通信を行う場合、第１端末ノード３１は、（Ｃ１１，Ｘ１，Ｃ２１）を含むブローカ情報を下位中継装置４１を経て上位中継装置７０に送信する（図３の（１））。本実施形態では、このブローカ情報は、第１端末ノード３１が第３端末ノード３３に対してサービス（ＴＶカメラにより撮像した映像を開示するというサービス）を提供できることを示す。

　上位中継装置７０は、受信したブローカ情報を上位設定装置８０に転送する。これによって、上位設定装置８０の上位通信モジュール８０１は、第１端末ノード３１からブローカ情報を受信する。上位ブローカ情報記憶ユニット８０２は、上位通信モジュール８０１が受信したブローカ情報を記憶する。そのため、表８の上段に示すブローカ情報（第１ブローカ情報）が上位ブローカ情報記憶ユニット８０２に記憶される。

　このように、上位ブローカ情報記憶ユニット８０２にブローカ情報が記憶されると、上位設定装置８０は、当該ブローカ情報の要求ノードＩＤを持つノードに、ブローカ情報の閲覧を許可する。すなわち、第３端末ノード３３は、上位ブローカ情報記憶ユニット８０２に記憶されたブローカ情報の要求ノードＩＤと自身のノードＩＤとが一致するから、データ（たとえばブローカ情報）の閲覧が可能になる。

　第３端末ノード３３が、第１端末ノード３１の提供するサービスの享受（つまり、ＴＶカメラで撮像された映像のモニタ装置への表示）を希望するとする。この場合、第３端末ノード３３は、（Ｃ２１，Ｘ２，Ｃ１１）を含むブローカ情報を下位中継装置４２を経て上位中継装置７０に送信する（図３の（２））。

　上位中継装置７０は、受信したブローカ情報を上位設定装置８０に転送する。これによって、上位設定装置８０の上位通信モジュール８０１は、各端末ノード３３からブローカ情報を受信する。

　上位ブローカ情報記憶ユニット８０２は、上位通信モジュール８０１が受信したブローカ情報を記憶する。そのため、表８の下段に示すブローカ情報（第２ブローカ情報）が上位ブローカ情報記憶ユニット８０２に記憶される。

　このように、上位ブローカ情報記憶ユニット８０２には、表８に示すブローカ情報が端末ノード３１，３３の連携関係を示す情報として格納される。

　このように２つのローカ情報（第１および第２ブローカ情報）が上位ブローカ情報記憶ユニット８０２に記憶されると、上位ブローカ情報判定モジュール８０３は、第１ブローカ情報の示す送信元が第２ブローカ情報の示す送信先と一致し、かつ、第１ブローカ情報の示す送信先が第２ブローカ情報の示す送信元と一致するかどうかを判定する。

　表８に示す第１ブローカ情報では、送信元が第１端末ノード３１であり、送信先が第３端末ノード３３である。表８に示す第２ブローカ情報では、送信元が第３端末ノード３３であり、送信先が第１端末ノード３１である。

　したがって、上位ブローカ情報設定ユニット８０３は、上位中継ユニット７０１に第１ブローカ情報が示す送信元（第１端末ノード３１）と第１ブローカ情報が示す送信先（第１端末ノード３３）との間の中継をさせることを示すパーティション情報を生成する。

　上位パーティション情報更新ユニット８０４は、上位ブローカ情報設定ユニット８０３で生成された上位パーティション情報を上位中継装置７０に送信する。これによって、上位パーティション情報更新ユニット８０４は、上位パーティション情報記憶ユニット７０２に記憶された上位パーティション情報を上位ブローカ情報設定ユニット８０３で生成された上位パーティション情報に更新する。

　また、上位パーティション情報更新ユニット８０４は、上位認証サーバ９０にセッション鍵の配布を要求する。さらに、上位パーティション情報更新ユニット８０４は、上位ブローカ情報設定ユニット８０３で生成された上位パーティション情報を上位認証サーバ９０に送信する（図３の（３））。これによって、上位認証サーバ９０は、セッション鍵を配布し、パーティション情報（パーティション番号）を更新する。

　このようにして、下位ドメイン２１，２２間で上位中継装置７０を介してデータを伝送することが可能になる。つまり、下位ドメイン２１，２２の間の通信が許可される。

　なお、第１端末ノード３１は、下位中継装置４１と、セッション鍵を用いた暗号化通信を行う。第２端末ノード３２は、下位中継装置４２と、セッション鍵を用いた暗号化通信を行う。下位中継装置４１，４２は、上位中継装置７０と、それぞれセッション鍵を用いた暗号化通信を行う。

　以上述べた本実施形態の通信ネットワークシステムによれば、ノード（端末ノード３０、中継装置４０）の間の通信の許可と禁止とをパーティション情報記憶ユニット７０２に格納された上位パーティション情報によって動的に制御できる。

　次に、下位設定装置５０の動作について説明する。なお、下位設定装置５１，５２は同様の動作を行うから、下位設定装置５１についてのみ説明する。

　初期状態では、下位パーティション情報記憶ユニット４１２が表９に示す下位パーティション情報を記憶しているとする。

　表９に示す下位パーティション情報では、下位中継装置４１は、第１端末ノード３１とパーティション番号が一致しているが、第２端末ノード３２とパーティション番号が一致していない。そのため、規則１により、下位ルーティングユニット４１３は、端末ノード３１，３２間の通信を許可しない。

　下位ドメイン２１の端末ノード３１，３２の間の通信を許可するには、下位パーティション情報記憶ユニット４１２の下位パーティション情報を表１のように変更する必要がある。

　第１端末ノード３１が第２端末ノード３２との連携を要求する場合、第１端末ノード３１は、（Ｃ１１，Ｘ１，Ｃ１２）を含むブローカ情報を下位中継装置４１に送信する。下位中継装置４１は、受信したブローカ情報を下位設定装置５１に転送する。

　これによって、下位通信モジュール５１１は、第１端末ノード３１からブローカ情報を受信する。下位ブローカ情報記憶ユニット５１２は、下位通信モジュール５１１が受信したブローカ情報を記憶する。

　第２端末ノード３２が第１端末ノード３１との連携を受け入れる場合、第２端末ノード３２は、（Ｃ１２，Ｘ１，Ｃ１１）を含むブローカ情報を下位中継装置４１に送信する。下位中継装置４１は、受信したブローカ情報を下位設定装置５１に転送する。

　これによって、下位通信モジュール５１１は、第２端末ノード３２からブローカ情報を受信する。下位ブローカ情報記憶ユニット５１２は、下位通信モジュール５１１が受信したブローカ情報を記憶する。

　このようにして、（Ｃ１１，Ｘ１，Ｃ１２）を含むブローカ情報と（Ｃ１２，Ｘ１，Ｃ１１）を含むブローカ情報とが下位ブローカ情報記憶ユニット５１２に記憶される。この場合、下位ブローカ情報設定ユニット５１３は、第１端末ノード３１と第２端末ノード３２との間の中継をさせることを示すパーティション情報（表１に示すパーティション情報）を生成する。

　下位パーティション情報更新ユニット５１４は、下位ブローカ情報設定ユニット５１３で生成された下位パーティション情報を下位中継装置４１に送信する。

　これによって、下位パーティション情報更新ユニット５１４は、下位パーティション情報記憶ユニット４１２に記憶された下位パーティション情報を下位ブローカ情報設定ユニット５１３で生成された下位パーティション情報に更新する。

　また、下位パーティション情報更新ユニット５１４は、下位認証サーバ６１にセッション鍵の配布を要求する。さらに、下位パーティション情報更新ユニット５１４は、下位ブローカ情報設定ユニット５１３で生成された下位パーティション情報を下位認証サーバ６１に送信する。これによって、下位認証サーバ６１は、セッション鍵を配布し、パーティション情報（パーティション番号）を更新する。

　このようにして、同じ下位ドメイン２１の端末ノード３１，３２間で下位中継装置４１を介してデータを伝送することが可能になる。

　なお、パーティション情報記憶ユニット４０２，７０２のパーティション情報の変更は、ウェブサーバ（図示せず）を利用して行えるようにしてもよい。この場合に、パーソナルコンピュータなどの端末装置からウェブサーバにアクセスすることで、パーティション情報の変更を行う。なお、中継装置４０，７０を上述したようなウェブサーバとして用いてもよい。

　なお、ブローカ情報設定ユニット８０３，５０３は、ブローカ情報記憶ユニット８０２，５０２に記憶された１つのブローカ情報に基づいて、中継ユニット７０１，４０１にブローカ情報の送信元と送信先との間の中継をさせることを示すパーティション情報を生成するように構成されていてもよい。

　なお、ブローカ情報は、利用者のユーザＩＤを含んでいてもよい。つまり、設定装置５０，８０は、ユーザ認証を行うように構成されていてもよい。このようにすれば、ノード間の連携関係が不正に変更されることを防止できる。また、ブローカ情報は暗号化された状態で送信されてもよい。このようにすればセキュリティを向上できる。

　また、設定装置５０，８０をウェブサーバとして用いてもよい。この場合、パーソナルコンピュータなどの端末装置から設定装置５０，８０にアクセスすることで、ブローカ情報の変更を行う。なお、設定装置５０，８０は、端末装置からアクセスするユーザの認証を行うことが好ましい。この場合、各ドメイン２１，２２の両方から、もしくはいずれか一方のドメイン２１，２２から端末装置で設定装置５０，８０にアクセスすれば、端末装置を認証サーバ９０により認証できる。よって、ブローカ情報の変更を安全に行える。ブローカ情報の変更は、設定装置５０，８０に設けられたＨＴＭＬの入力フォームを用いて行える。たとえば、入力フォームに、送信元のノードＩＤと、送信元が属するドメインＩＤと、要求ノードＩＤとを入力させればよい。

　図４は、本実施形態の変形例の通信ネットワークシステムを示す。この変形例では、端末ノード３１，３２は、通信路を介して下位設定装置５１に接続されている。また、端末ノード３３，３４は、通信路を介して下位設定装置５２に接続されている。

　端末ノード３１，３２は、ブローカ情報を下位中継装置４１ではなく下位設定装置５１に送信するように構成される。同様に、端末ノード３３，３４は、ブローカ情報を下位中継装置４２ではなく下位設定装置５２に送信するように構成される。

　下位設定装置５０において、ブローカ情報記憶ユニット５０２は、下位通信ユニット５０１が受信したブローカ情報を記憶する。また、下位パーティション情報更新ユニット５０４は、端末ノード３０から受け取ったブローカ情報を下位中継装置４０に転送するように構成される。このとき、下位パーティション情報更新ユニット５０４は、ブローカ情報を下位中継装置４０に送信する前に下位認証サーバ６０に下位セッション鍵の配布を要求する。すなわち、下位パーティション情報更新ユニット５０４は、下位認証サーバ６０から配布された下位セッション鍵を用いてブローカ情報を暗号化して上位中継装置７０に送信する。また、下位パーティション情報更新ユニット５０４は、下位認証サーバ６０から配布された下位セッション鍵を用いて下位パーティション情報を暗号化して下位中継装置４０に送信する。すなわち、下位パーティション情報更新ユニット５０４は、下位認証サーバ６０が下位セッション鍵を配布した後に、下位パーティション情報記憶ユニット４０２に記憶された下位パーティション情報を更新するように構成される。

　下位中継装置４０において、中継ユニット４０１は、下位設定装置５０から受け取ったブローカ情報を上位中継装置７０（上位設定装置８０）に転送するように構成される。このように、下位中継装置４１，４２は、下位のノード（端末ノード３１，３２，３３，３４）からの連携の要求（ブローカ情報）を上位中継装置７０（上位設定装置８０）に転送する転送サービスを行うように構成される。

　上位設定装置８０において、上位パーティション情報更新ユニット８０４は、上位パーティション情報を上位中継装置７０に送信する前に上位認証サーバ９０に上位セッション鍵の配布を要求する。そして、上位パーティション情報更新ユニット８０４は、上位認証サーバ９０から配布された上位セッション鍵を用いて上位パーティション情報を暗号化して上位中継装置７０に送信する。すなわち、上位パーティション情報更新ユニット８０４は、上位認証サーバ９０が上位セッション鍵を配布した後に、上位パーティション情報記憶ユニット７０２に記憶された下位パーティション情報を更新するように構成される。

　変形例では、端末ノード３０が送信したブローカ情報は、最初に下位設定装置５１，５２で受信される。その後、ブローカ情報は、下位中継装置４１，４２を通して上位中継装置７０に送信される。

　以下に、本実施形態の変形例の通信ネットワークシステムの動作について説明する。

　第１端末ノード３１が第３端末ノード３３に連携を要求する場合、第１端末ノード３１はブローカ情報（Ｃ１１，Ｘ１，Ｃ２１）を下位設定装置５１に送信する（図４の（１））。この場合、下位ブローカ情報記憶ユニット５１２は、表１０に示すブローカ情報を記憶する。下位パーティション情報更新ユニット５１４は、下位認証サーバ６１に下位セッション鍵の配布を要求する（図４の（２））。その後、下位パーティション情報更新ユニット５０４は、下位認証サーバ６１から配布された下位セッション鍵を用いてブローカ情報を暗号化して上位中継装置７０（上位設定装置８０）に送信する（図４の（３））。上位中継装置７０は、下位中継装置４１から受け取ったブローカ情報を上位設定装置８０に送信する。

　第３端末ノード３３が第１端末ノード３１に連携を要求する場合、第３端末ノード３３はブローカ情報（Ｃ２１，Ｘ１，Ｃ１１）を下位設定装置５２に送信する（図４の（４））。この場合、下位ブローカ情報記憶ユニット５２２は、表１１に示すブローカ情報を記憶する。下位パーティション情報更新ユニット５２４は、下位認証サーバ６２に下位セッション鍵の配布を要求する（図４の（５））。その後、下位パーティション情報更新ユニット５２４は、下位認証サーバ６２から配布された下位セッション鍵を用いてブローカ情報を暗号化して上位中継装置７０（上位設定装置８０）に送信する（図４の（６））。上位中継装置７０は、下位中継装置４１から受け取ったブローカ情報を上位設定装置８０に送信する。

　上位設定装置８０では、上位通信ユニット８０１が、上位中継装置７０および各下位中継装置４１，４２を介して各下位設定装置５１，５２からブローカ情報を受け取る。これによって、上位ブローカ情報記憶ユニット８０２は、連携要求のデータ（ブローカ情報）を集約し、表８に示すブローカ情報を記憶する。その後、上位設定装置８０は、上述したように上位鍵記憶ユニット９０２および上位パーティション情報記憶ユニット７０２のパーティション情報を更新する（図４の（７））。これによって、第１端末ノード３１と第３端末ノード３３との間の通信が許可される。つまり、異なる下位ドメイン２１，２２間での通信が許可される。

　この変形例では、各端末ノード３０は、各下位中継装置４１，４２の転送サービスを受けるためのネットワークアドレスを知っていればよい。そのため、下位ドメイン２１，２２内で閉じたアドレス設定が可能になる。つまり、構成管理を下位ドメイン２１，２２ごとに行うことができ、構成管理が容易になる。たとえば、ＮＡＴルータが用いられて、下位ドメイン２１，２２に対してプライベートアドレスのような固有のアドレスが割り振られる場合でも、転送サービスを利用するためのネットワークアドレスをデフォルトで固定とすることで下位ドメイン２１，２２での構成管理が容易になる。

　なお、変形例では、パーティション情報更新ユニット８０４，５０４は、認証サーバ９０，６０にセッション鍵の配布を要求している。しかしながら、パーティション情報更新ユニット８０４，５０４は、認証サーバ９０，６０からのセッション鍵の再配布を待っても良い。要は、パーティション情報更新ユニット８０４，５０４は、認証サーバ９０，６０がセッション鍵を配布した後に、パーティション情報やブローカ情報を送信するように構成されていればよい。

　なお、図５に示すように、ブローカ情報は、属性情報を含んでいてもよい。属性情報は、下位ドメイン２０を単位として連携するか、端末ノード３０を単位として連携するかを指定する情報である。さらに詳しく説明すると、属性情報には「オール」と「オンリー」とがある。「オール」は下位ドメイン２０を単位として下位ドメイン２０に属するすべての端末ノード３０間の連携を許容することを示す。「オンリー」は指定した端末ノード３０間の連携を許容することを示す。

　ブローカ情報に「オール」の属性情報が含まれている場合には、上述と同様の動作になる。一方、ブローカ情報に「オンリー」の属性情報が含まれている場合には、たとえば、下位設定装置５１は、下位パーティション情報記憶ユニット４１２に記憶されたパーティション情報を表１に示す内容から表１２に示す内容に変更する。また、下位設定装置５１は、下位鍵記憶ユニット６１２に記憶されたパーティション情報を表５に示す内容から表１３に示す内容に変更する。同様に、下位設定装置５２は、下位パーティション情報記憶ユニット４２２に記憶されたパーティション情報を表２に示す内容から表１４に示す内容に変更する。また、下位設定装置５２は、下位鍵記憶ユニット６２２に記憶されたパーティション情報を表６に示す内容から表１５に示す内容に変更する。

　表１２および表１３に示すパーティション情報では、第１端末ノード３１のパーティション番号が１．１．１であり、第２端末ノード３２のパーティション番号が１．２である。この場合、下位ルーティングユニット４１３は、規則２により第１端末ノード３１と下位中継装置４１との間の通信を許可する。しかし、下位ルーティングユニット４１３は、第２端末ノード３２と下位中継装置４１との間の通信を許可しない。

　表１４および表１５に示すパーティション情報では、第３端末ノード３３のパーティション番号が１．２．１であり、第４端末ノード３４のパーティション番号が１．１である。この場合、下位ルーティングユニット４２３は、規則２により第３端末ノード３３と下位中継装置４２との間の通信を許可する。しかし、下位ルーティングユニット４２３は、第４端末ノード３４と下位中継装置４２との間の通信を許可しない。

　このようにすれば、各ドメイン１０，２１，２２がそれぞれパーティション情報を持つ。そのため、ノード間のアクセス制御を複数箇所で管理できる。よって、ノード間の通信の安全性が向上する。

　しかも、各ドメイン１０，２１，２２内でノードごとに通信の許可と禁止とを選択できる。よって、下位ドメイン２１，２２間で連携が要求された端末ノード３０間でのみ通信が可能になる。そのため、通信の安全性が高くなる。

　（実施形態２）
　本実施形態の通信ネットワークシステムでは、パーティション情報（下位パーティション情報および上位パーティション情報）は、下位ドメイン２０に属する複数のノードそれぞれの識別番号（ノードＩＤ）と、各識別番号にそれぞれ紐付けされたローカルパーティション番号およびグローバルパーティション番号と、を含む。

　ローカルパーティション番号は、同じ下位ドメイン２０に属するノード間の中継の可否の判定に使用される。つまりローカルパーティション番号はドメイン内のパーティション番号である。さらにいえば、ローカルパーティション番号は、特定の下位ドメイン内でのみ有効である。

　グローバルパーティション番号は、異なるドメインに属するノード間の通信の中継の可否の判定に使用される。つまりローカルパーティション番号はドメイン外のパーティション番号である。グローバルパーティション番号は、通信ネットワークシステム全体で有効である。

　本実施形態におけるパーティション情報記憶ユニット７０２，４１２，４２２と、鍵記憶ユニット９０２，６１２，６２２とは、ローカルパーティション番号とグローバルパーティション番号とを区別して格納する領域をノードごとに備える。

　以下では、ローカルパーティション番号とグローバルパーティション番号とを区別するために、ローカルパーティション番号の前には「Ｌ：」を付加し、グローバルパーティション番号の前には「Ｇ：」を付加する。

　本実施形態において、ルーティングユニット７０３，４１３，４２３は、以下の規則に従って中継ユニット７０１，４１１，４２２の制御（アクセス制御）を行う。

　規則１：　ローカルパーティション番号が一致しているノード間の通信を同じドメイン内で許可する。

　規則２：　ローカルパーティション番号のうちの下位ドメイン２０のパーティション番号（つまり、「．」の右側の数値）が０であれば、上位ドメイン１０のパーティション番号が一致しているノード間の通信を同じドメイン内で許可する。

　規則３：　グローバルパーティション番号が一致しているノード間の通信を異なるドメイン間で許可する。

　規則４：　グローバルパーティション番号のうちの下位ドメイン２０のパーティション番号（つまり、「．」の右側の数値）が０であれば、上位ドメイン１０のパーティション番号が一致しているノード間の通信を異なるドメイン間で許可する。

　なお、規則２，４では、「．」の右側の数値が０であれば、ワイルドカードとみなし、「．」の右側が他の数値であるものと一致しているとみなす。また、「．０」は省略して記述される。たとえば、「１．０」は「１」と表記される。

　つまり、ローカルパーティション番号が一致する場合には、各ドメイン１０，２１，２２の中で通信が許可される。グローバルパーティション番号が一致する場合には、ドメイン１０，２１，２２間で通信が許可される。各ノードにはローカルパーティション番号とグローバルパーティション番号とがそれぞれ付与されている。そのため、各ドメイン１０，２１，２２内で通信が許可ないし禁止されるノードと、ドメイン１０，２１，２２間で通信が許可ないし禁止されるノードとを個別に設けることができる。すなわち、通信ネットワークにおいてノードごとに通信の許可される範囲と禁止される範囲とを自由に設定できる。

　本実施形態では、パーティション情報記憶ユニット７０２，４１２，４２２は、それぞれ表１６、表１７、表１８に示すパーティション情報を記憶する。

　鍵記憶ユニット９０２，６１２，６２２は、それぞれ表１９、表２０、表２１に示すパーティション情報を記憶する。

　上述した規則に従い中継装置７０，４１，４２は、ローカルパーティション番号が一致するノード間の通信を許可し、グローバルパーティション番号が一致するノード間の通信を許可する。本実施形態の構成では、パーティション番号が多重化されているといえる。

　以下に、本実施形態の通信ネットワークシステムの動作について説明する。下位中継装置４１の下位パーティション情報記憶ユニット４１２は表１７に示すパーティション情報を記憶し、下位認証サーバ６１の下位鍵記憶ユニット６１２は表２０に示すパーティション情報を記憶する。よって、第１端末ノード３１は、下位ドメイン２１内のノード（下位中継装置４１および第２端末ノード３２）との間の通信が許可されている。また、第１端末ノード３１は、下位ドメイン２１外のノード（上位中継装置７０）との間の通信が許可されている。同様に、第２端末ノード３２は、下位ドメイン２１内のノード（下位中継装置４１および第１端末ノード３１）との間の通信が許可されている。また、第２端末ノード３２は、下位ドメイン２１外のノード（上位中継装置７０）との間の通信が許可されている。

　ここで、第２端末ノード３２と下位ドメイン２１外のノードとの間の通信を禁止したい場合には、第２端末ノード３２のグローバルパーティション番号を「Ｇ：１．１」から「Ｇ：１．２」に変更する。この場合、第２端末ノード３２は、ローカルパーティション番号が一致しているノードとの間の通信が同じドメイン２１内で許可される。一方、第２端末ノード３２は、下位中継装置４１とはグローバルパーティション番号が一致しない。そのため、下位中継装置４１は、第２端末ノード３２が下位ドメイン２１外のノードと通信することを許可しない。たとえば、端末ノード３１，３２がそれぞれＴＶカメラを備えているとする。この場合、端末ノード３１の撮像した画像は下位ドメイン２１外のノードに伝送され、端末ノード３２の撮像した画像は下位ドメイン２１外のノードに伝送されない。このような設定の変更は、設定を変更したいノードが属するドメイン１０，２１，２２のパーティション情報記憶ユニット７０２，４１２，４２２に記憶されたパーティション情報（パーティション番号）を変更するだけで行える。

　本実施形態の通信ネットワークシステムによれば、同じドメイン１０，２１，２２に属するノード間のアクセス制御と、異なるドメイン１０，２１，２２に属するノード間のアクセス制御とを同時に行える。たとえば、同じドメイン２１に属する端末ノード３１，３２間の通信の許可と、それぞれ異なるドメイン２１，２２に属する端末ノード３１，３３間の通信の許可とを同時に行える。本実施形態の通信ネットワークシステムの他の構成および動作は、実施形態１の通信ネットワークシステムと同様であるから説明を省略する。

　パーティション情報は、管理用パーティション番号などの様々なパーティション番号を含んでいてもよい。各ノードに様々なパーティション番号を対応付けておけば、様々な範囲で通信の制限と許可とが可能になる。たとえば、ファームウェアのアップデートや他のサービスとの連携を行うときに、これらのサービスの適用範囲を柔軟に変更できる。

　（実施形態３）
　本実施形態の通信ネットワークシステムは、パーティション情報の内容が実施形態１の通信ネットワークシステムと異なる。

　本実施形態では、下位中継装置４１，４２は上位中継装置７０と通信可能である。ノード間のアクセス制御は、中継装置４０，７０がコンテンツベースのデータルーティングを行うことにより実行される。コンテンツベースのデータルーティングを行うために、各端末ノード３０は、それぞれが提供するサービス（オブジェクト）を一意に識別するためのオブジェクト識別子を記憶する。また、各端末ノード３０は、オブジェクトのサービス属性（インターフェイス）を一意に識別するためのインターフェイス識別子を記憶する。

　以下、本実施形態の通信ネットワークシステムの動作例を説明する
　第１端末ノード３１が、自身が属する下位ドメイン２１と異なる下位ドメイン２２に属する第３端末ノード３１にオブジェクト（ＴＶカメラにより撮像された映像）を提供する場合、当該オブジェクトに対応するオブジェクト識別子を外部ネットワークに公開する。第１端末ノード３１は、オブジェクト識別子を公開するために、中継装置７０に提供メッセージをオブジェクト識別子とともに送信する。中継装置７０が第１端末ノード３１から提供メッセージを受信すると、中継装置７０は、第三者が認識できるようにオブジェクト識別子を公開する。なお、公開されるのはオブジェクト識別子だけである。よって、ＴＶカメラにより撮像された映像は転送されず、第三者がこの映像を見ることはできない。

　第３端末ノード３３は、第１端末ノード３１の提供するサービスを享受しようとする場合、中継装置７０にアクセスする。これによって、第３端末ノード３３は、映像を転送するサービスの識別子（オブジェクト識別子と、当該サービスを提供する第１端末ノード３１の識別子）を認識して、中継装置７０を経由して第１端末ノード３１が提供するサービスを享受する。

　本実施形態におけるパーティション情報は、オブジェクトを識別するためのオブジェクト識別子と、インターフェイスを識別するためのインターフェイス識別子と、を含む。

　たとえば、本実施形態におけるパーティション情報は、パーティション番号に加えて、サービスを提供する端末ノード３０（送信元のノード）のオブジェクト識別子と、サービスを享受する端末ノード３０（送信先のノード）のインターフェイス識別子とを含む。

　本実施形態では、端末ノード３０に設定されたオブジェクト識別子とインターフェイス識別子との組み合わせをパーティション情報記憶ユニット７０２で様々に記述してパーティションを設定できる。そのため、パーティション情報記憶ユニット７０２で扱う情報の組み合わせ数を簡便化できる。また、パーティション情報記憶ユニット７０２で扱う情報に柔軟性を持たせることができる。

　本実施形態の通信ネットワークシステムを構築する各ノード（中継装置４０，４１，７０、端末ノード３１，３２，３３，３４）は、それぞれ１つ以上のオブジェクトを有していてもよい。また、１つのオブジェクトは、複数のインターフェイスを有していてもよい。したがって、パーティション情報としてオブジェクト識別子およびインターフェイス識別子を用いれば、ノードに１つの識別情報（ノードＩＤやドメインＩＤ）を用いるだけで、複数種類の機能について複数種類のサービス属性を要求できる。言い換えると、１つのアドレスで、複数のサービスを提供できる。

　たとえば、本実施形態の通信ネットワークシステムの使用するプロトコルがＴＣＰ／ＩＰであるときに、少ないコネクション数で複数のサービスを提供できる。また、サービスを享受するノードでは少ないコネクション数で複数個のオブジェクトにアクセスできる。したがって、たとえば、ノードが有する複数のオブジェクトから所望のオブジェクトを選択することで享受するサービスを柔軟に変更できる。

　本実施形態では、オブジェクト識別子をＯＩＤと表記し、インターフェイス識別子をＩＩＤと表記する。また、複数のオブジェクト識別子ＯＩＤを区別する場合には必要に応じて正の整数値を付記する。複数のインターフェイス識別子ＩＩＤを区別する場合には必要に応じて正の整数値を付記する。

　たとえば、１つのオブジェクト識別子ＯＩＤ１に複数のインターフェイス識別子ＩＩＤ１，ＩＩＤ２，……を対応付ける場合は、ＯＩＤ１：ＩＩＤ１，ＯＩＤ１：ＩＩＤ２，……と表される。複数のオブジェクト識別子ＯＩＤ１，ＯＩＤ２，……に一つのインターフェイス識別子ＩＩＤ１を対応付ける場合は、ＯＩＤ１：ＩＩＤ１，ＯＩＤ２：ＩＩＤ２，……と表される。

　たとえば、オブジェクト識別子ＯＩＤ１は、カメラを規定するプログラムであるオブジェクトに対応する。インターフェイス識別子ＩＩＤ１は、ズームに対応する。インターフェイス識別子ＩＩＤ２は、パンに対応する。

　オブジェクト識別子とインターフェイス識別子との対応付けには、ワイルドカードを用いることもできる。本実施形態では、ワイルドカードを「＊」で表す。たとえば、ＯＩＤ１：＊や、＊：ＩＩＤ１のような対応付けが可能である。ＯＩＤ１：＊は、オブジェクト識別子ＯＩＤ１に対して任意のインターフェイス識別子を対応付けることを意味する。＊：ＩＩＤ１は、任意のオブジェクト識別子がインターフェイス識別子ＩＩＤ１に対応付けられることを意味する。

　このような各種の組み合わせを用いることによって、オブジェクト識別子ＯＩＤ１にインターフェイス識別子ＩＩＤ１，ＩＩＤ２を関連付けることができる。これによって、ＯＩＤ１：ＩＩＤ１，ＯＩＤ１：ＩＩＤ２という連携関係を設定できる。これらのオブジェクト識別子およびインターフェイス識別子を持つノードを連携させることができる。すなわち、オブジェクト識別子とインターフェイス識別子とを適宜に組み合わせて用いることにより、連携関係の設定を簡単にしたり連携関係の柔軟性を高めたりできる。本実施形態の通信ネットワークシステムの他の構成および動作は、実施形態１の通信ネットワークシステムと同様であるから説明を省略する。

　（実施形態４）
　本実施形態の通信ネットワークシステムでは、パーティション番号はネットワークアドレスとサブネットマスクとにより記述されている。また、各ノード（中継装置７０，４１，４２、設定装置８０，５１，５２、端末ノード３１，３２，３３，３４）の識別情報（ノードＩＤ）はドメイン１０，２１，２２内におけるＭＡＣアドレスである。

　上位中継装置７０は、上位ドメイン１０内のノードからの要求に応じて、ネットワークアドレスおよびサブネットマスクを与える機能を有する。下位中継装置４１，４２は、それぞれ下位ドメイン２１，２２内のノードからの要求に応じて、ネットワークアドレスおよびサブネットマスクを与える機能を有する。各ドメイン１０，２１，２２に属するノードは、ネットワークアドレスおよびサブネットマスクの設定を中継装置７０，４１，４２に要求する際に、他のノードとの連携を要求する。すなわち、中継装置７０，４１，４２は、ＤＨＣＰ機能を有したルータと同様の機能を有する。ただし、中継装置７０，４１，４２は、ルータとは異なり、ノード間の通信の許可と禁止とをパーティション情報に基づいて動的に変更できる。

　本実施形態のパーティション情報は、実施形態２と同様に、ローカルパーティション番号とグローバルパーティション番号とを含む。本実施形態では、プライベートアドレスをローカルパーティション番号として用い、グローバルアドレスをグローバルパーティション番号として用いる。

　本実施形態では、パーティション情報記憶ユニット７０２，４１２，４２２は、それぞれ表２２、表２３、表２４に示すパーティション情報を記憶する。

　また、鍵記憶ユニット９０２，６１２，６２２は、それぞれ表２５、表２６、表２７に示すパーティション情報を記憶する。

　本実施形態では、各中継装置７０，４１，４２は、設定装置８０，５１，５２のそれぞれにＩＰアドレス（ＩＰｖ４またはＩＰｖ６）を与える。また、各中継装置７０，４１，４２は、設定装置８０，５１，５２に与えたＩＰアドレスを記憶する。ただし、各設定装置８０，５１，５２をＰＰＰｏＥ対応のノードとする場合には、上位中継装置７０が各設定装置８０，５１，５２にアドレスを与えればよい。

　本実施形態では、上位中継装置７０はルータの機能を有している。また、下位中継装置４１，４２は、ＮＡＴルータ（ＮＡＴ機能を有するルータ）の機能を有している。

　下位中継装置４０は、プライベートアドレス（プライベートのネットワークアドレスおよびサブネットマスク）と、グローバルアドレス（グローバルのネットワークアドレスおよびサブネットマスク）とを有する。たとえば、下位中継装置４１のプライベートアドレスは「１７２．１６．１．０／２４」であり、下位中継装置４２のプライベートアドレスは「１７２．１６．２．０／２４」である。下位中継装置４１のグローバルアドレスは「１．０．１．０／２４」であり、下位中継装置４２のグローバルアドレスは「１．０．２．０／２４」である。

　第１端末ノード３１が第３端末ノード３３との連携を要求する際には、第１端末ノード３１は、下位設定装置５１にブローカ情報を送信する。このブローカ情報に含まれるノードＩＤはＭＡＣアドレスである。同様に、第３端末ノード３３が第１端末ノード３１との連携を要求する際には、第３端末ノード３３は、下位設定装置５２にブローカ情報を送信する。つまり、端末ノード３０は、ノードＩＤであるＭＡＣアドレスと同時に連携要求を送信する。

　下位設定装置５１，５２は、それぞれＤＨＣＰ機能を用いて端末ノード３１，３３のノードＩＤに対応するインターネットプロトコルのネットワークアドレスおよびサブネットマスクをパーティション情報記憶ユニット４１２，４２２（または鍵記憶ユニット６１２，６２２）から入手する。これによって、下位設定装置５１，５２は、それぞれＩＰアドレスを生成して端末ノード３１，３３に付与する。すなわち、本実施形態の通信ネットワークシステムでは、下位設定装置５０は、端末ノード３０と双方向通信を行う。これに対して、実施形態１の通信ネットワークシステムでは、下位設定装置５０は端末ノード３０から信号を受信するだけである。

　下位設定装置５０は、端末ノード３０へのＩＰアドレスの付与と同時に、端末ノード３０からの連携要求の処理を行う。ブローカ情報の要求ノードＩＤが送信元ノードＩＤと同じドメイン２０に属するノードＩＤであれば、下位設定装置５０は、下位パーティション情報記憶ユニット４０２と下位鍵記憶ユニット６０２とのパーティション情報を更新する。連携を要求する端末ノード３０の再接続の際に、鍵記憶ユニット６０２の更新と、鍵配布ユニット６０１によるセッション鍵の配布とが実行される。すなわち、セッション鍵の配布に伴ってパーティション情報が更新される。パーティション情報記憶ユニット４０２は、ＮＡＴルータのルーティングテーブルとしても用いられる。

　ブローカ情報の要求ノードＩＤが、送信元ノードＩＤと異なるドメイン２０に属するノードＩＤであれば、下位設定装置５０は、下位中継装置４０を通してブローカ情報を上位設定装置８０に送信する。上位設定装置８０は、受け取ったブローカ情報に基づいて、上位パーティション情報記憶ユニット７０２と上位鍵記憶ユニット９０２とのパーティション情報を更新する。つまり、上位鍵ユニット９０２は、上位ドメイン１０のルーティングテーブルである上位パーティション情報記憶ユニット７０２と連動する。鍵記憶ユニット９０２の更新は、連携を要求する端末ノード３０の再接続の際に、鍵配布ユニット９０１によるセッション鍵の配布とともに実行される。

　本実施形態の通信ネットワークシステムは、グローバルパーティション番号の代わりにグローバルアドレスを用い、ローカルパーティション番号の代わりにプライベートアドレスを用いる。したがって、パーティション番号は、ＮＡＴ機能によるグローバルアドレスおよびプライベートアドレスを含むＩＰアドレスと対応する。よって、下位中継装置４０は連携要求（ブローカ情報）にしたがってＮＡＴ機能を実行するか否かを選択する。

　端末ノード３０が異なるドメイン２０の端末ノード３０との連携を要求した場合、下位中継装置４０はＮＡＴ機能を実行する。そのため、下位中継装置４０はＮＡＴ機能のための変換テーブルを作成する。一方、端末ノード３０が同じドメイン２０に属する端末ノード３０との連携を要求した場合、下位中継装置４０はＮＡＴ機能を実行しない。そのため、下位中継装置４０はＮＡＴ機能のための変換テーブルを作成しない。下位中継装置４０は、連携を要求する端末ノード３０の再接続の際に、ＤＨＣＰサーバ機能によりＩＰアドレスを入手する。下位中継装置４０は、端末ノード３０のパーティション番号とＤＨＣＰサーバ機能により得たＩＰアドレス（アドレス値）とを用いてＮＡＴ機能のための変換テーブルを作成する。

　以上説明したように、本実施形態の通信ネットワークシステムでは、パーティション番号がルーティングのためのアドレスと一致している。そのため、通信の許可と禁止との選択、すなわちアクセス制御をノード毎に行える。また、パーティション番号は、ＮＡＴ機能によるプライベートアドレスを含むＩＰアドレスと対応している。そのため、アクセス制御の設定とＮＡＴ機能の透過の設定とを同時に行える。つまり、ドメインを超える通信を禁止する場合には、グローバルアドレスを割り振らないようにしてＮＡＴ機能を透過できないようにすればよい。連携要求に応じて柔軟な設定が可能になる。

　なお、上位中継装置７０をルータにより構成してもよい。また、下位中継装置４１，４２をインターネットプロトコルにおけるレイヤ３（Ｌ３）のスイッチング機能を持つＬＡＮスイッチにより構成してもよい。各中継装置４１，４２のネットワークアドレスおよびサブネットマスクは上述の例と同様に設定される。また、各中継装置４１，４２のＩＰアドレスは、ＩＰｖ４のＩＰアドレスであってもよいし、ＩＰｖ６のＩＰアドレスであってもよい。また、ＩＰｖ４やＩＰｖ６と同様のマスク処理を行うアドレス体系であれば本実施形態の技術思想を適用できる。さらに、アドレスの付与はＤＨＣＰサーバではなく、オートＩＰ、ＵＰｎＰ、ＩＰｖ６のリンクローカルアドレス、ＰＰＰｏＥ機能などを利用して行ってもよい。本実施形態の通信ネットワークシステムの他の構成および動作は、実施形態２の通信ネットワークシステムと同様であるから説明を省略する。

Claims

　複数のノードと、
　前記ノード間に介在される中継装置と、
　前記中継装置に接続される設定装置と、を備え、
　　前記中継装置は、
　　　前記ノード間の中継をする中継ユニットと、
　　　前記中継ユニットに前記ノード間の中継をさせるかどうかを決定するためのパーティション情報を記憶するパーティション情報記憶ユニットと、
　　　前記パーティション情報記憶ユニットに記憶された前記パーティション情報の内容に従って前記中継ユニットを制御するルーティングユニットと、を有し、
　　前記設定装置は、
　　　前記ノード間の中継が要求されたことを示すブローカ情報を受信する受信ユニットと、
　　　前記受信ユニットが受信した前記ブローカ情報を記憶するブローカ情報記憶ユニットと、
　　　前記ブローカ情報記憶ユニットに記憶された前記ブローカ情報を参照して前記パーティション情報を生成するブローカ情報設定ユニットと、
　　　前記中継装置の前記パーティション情報記憶ユニットに記憶された前記パーティション情報を前記ブローカ情報設定ユニットで生成された前記パーティション情報に更新するパーティション情報更新ユニットと、を含んでいることを特徴とする通信ネットワークシステム。
　前記ブローカ情報は、送信元を示す情報と、送信先を示す情報と、を含み、
　前記送信元は、前記中継ユニットに信号の中継を要求するノードであり、
　前記送信先は、前記送信元が信号の受け取りを要求するノードであり、
　前記ブローカ情報設定ユニットは、第１ブローカ情報と第２ブローカ情報との２つの前記ブローカ情報が前記ブローカ情報記憶ユニットに記憶されると、前記第１ブローカ情報の示す前記送信元が前記第２ブローカ情報の示す前記送信先と一致し、かつ、前記第１ブローカ情報の示す前記送信先が前記第２ブローカ情報の示す前記送信元と一致するかどうかを判定するブローカ情報判定モジュールと、
　前記ブローカ情報判定モジュールによって前記第１ブローカ情報の示す前記送信元が前記第２ブローカ情報の示す前記送信先と一致し、かつ、前記第１ブローカ情報の示す前記送信先が前記第２ブローカ情報の示す前記送信元と一致すると判定されると、前記第１ブローカ情報の示す前記送信元と前記第１ブローカ情報の示す前記送信先との間の中継を前記中継ユニットにさせるための前記パーティション情報を生成するパーティション情報生成モジュールと、を有することを特徴とする請求項１記載の通信ネットワークシステム。
　前記ノードは、所定の機能を実現するためのプログラムであるインターフェイスの集合体であるオブジェクトを有し、
　前記パーティション情報は、前記オブジェクトを識別するためのオブジェクト識別子と、前記インターフェイスを識別するためのインターフェイス識別子と、を含むことを特徴とする請求項１記載の通信ネットワークシステム。
　複数の下位ドメインを有する上位ドメインを有し、
　　前記下位ドメインのそれぞれは、複数のノードと、前記ノード間に介在される下位中継装置とを有し、
　　　前記下位中継装置は、
　　　　前記ノード間の中継をする下位中継ユニットと、
　　　　前記下位中継ユニットに前記ノード間の中継をさせるかどうかを決定するための下位パーティション情報を記憶する下位パーティション情報記憶ユニットと、
　　　　前記下位パーティション情報記憶ユニットに記憶された前記下位パーティション情報の内容に従って前記下位中継ユニットを制御する下位ルーティングユニットと、を有し、
　　前記上位ドメインは、異なる前記下位ドメインに属する前記下位中継装置間に介在される上位中継装置と、前記上位中継装置に接続される上位設定装置と、を有し、
　　　前記上位中継装置は、
　　　　前記下位中継ユニット間の中継をする上位中継ユニットと、
　　　　前記上位中継ユニットに前記下位中継ユニット間の中継をさせるかどうかを決定するための上位パーティション情報を記憶する上位パーティション情報記憶ユニットと、
　　　　前記上位パーティション情報記憶ユニットに記憶された前記上位パーティション情報の内容に従って前記上位中継ユニットを制御する上位ルーティングユニットと、を有し、
　　　前記上位設定装置は、
　　　　前記下位中継ユニット間の中継が要求されたことを示す上位ブローカ情報を受信する上位受信ユニットと、
　　　　前記上位受信ユニットが受信した前記上位ブローカ情報を記憶する上位ブローカ情報記憶ユニットと、
　　　　前記上位ブローカ情報記憶ユニットに記憶された前記上位ブローカ情報を参照して前記上位パーティション情報を生成する上位ブローカ情報設定ユニットと、
　　　　前記上位パーティション情報記憶ユニットに記憶された前記上位パーティション情報を前記上位ブローカ情報設定ユニットで生成された前記上位パーティション情報に更新する上位パーティション情報更新ユニットと、を含んでいることを特徴とする通信ネットワークシステム。
　前記下位ドメインのそれぞれは、前記下位中継装置に接続される下位設定装置を有し、
　　前記下位設定装置は、
　　　前記ノード間の中継が要求されたことを示す下位ブローカ情報を受信する下位受信ユニットと、
　　　前記下位受信ユニットが受信した前記下位ブローカ情報を記憶する下位ブローカ情報記憶ユニットと、
　　　前記下位ブローカ情報記憶ユニットに記憶された前記下位ブローカ情報を参照して前記下位パーティション情報を生成する下位ブローカ情報設定ユニットと、
　　　前記下位パーティション情報記憶ユニットに記憶された前記下位パーティション情報を前記下位ブローカ情報設定ユニットで生成された前記下位パーティション情報に更新する下位パーティション情報更新ユニットと、を含んでいることを特徴とする請求項４記載の通信ネットワークシステム。
　前記下位ドメインは、当該下位ドメイン内での通信に用いる下位セッション鍵を配布する下位認証サーバを有し、
　前記上位ドメインは、前記下位ドメインとの間での通信に用いる上位セッション鍵を配布する上位認証サーバを有し、
　　前記上位パーティション情報更新ユニットは、前記下位認証サーバが前記下位セッション鍵を配布し、かつ、前記上位認証サーバが前記上位セッション鍵を配布した後に、前記上位パーティション情報記憶ユニットに記憶された前記上位パーティション情報を更新するように構成されることを特徴とする請求項４または請求項５記載の通信ネットワークシステム。
　前記下位ドメインは、当該下位ドメイン内での通信に用いる下位セッション鍵を配布する下位認証サーバを有し、
　前記上位ドメインは、前記下位ドメインとの間での通信に用いる上位セッション鍵を配布する上位認証サーバを有し、
　　前記上位パーティション情報更新ユニットは、前記上位認証サーバが前記上位セッション鍵を配布した後に、前記上位パーティション情報記憶ユニットに記憶された前記上位パーティション情報を更新するように構成され、
　　前記下位パーティション情報更新ユニットは、前記下位認証サーバが前記下位セッション鍵を配布した後に、前記下位パーティション情報記憶ユニットに記憶された前記下位パーティション情報を更新するように構成されることを特徴とする請求項５記載の通信ネットワークシステム。
　前記下位パーティション情報は、前記下位ドメインに属する複数の前記ノードそれぞれの識別番号と、各前記識別番号にそれぞれ紐付けされたローカルパーティション番号およびグローバルパーティション番号と、を含み、
　　前記ローカルパーティション番号は、同じ前記下位ドメインに属する前記ノード間の中継の可否の判定に使用され、
　　前記グローバルパーティション番号は、異なるドメインに属する前記ノード間の通信の中継の可否の判定に使用されることを特徴とする請求項７記載の通信ネットワークシステム。
　前記パーティション情報は、前記ノードの識別番号と、前記識別番号に紐付けされたパーティション番号と、を含み、
　前記ルーティングユニットは、前記中継ユニットを制御して前記パーティション番号が一致している前記ノード間の中継を行わせるように構成され、
　　前記パーティション番号は、前記ノードに与えられたネットワークアドレスとサブネットマスクとの両方を用いて決定されていることを特徴とする請求項１記載の通信ネットワークシステム。