ネットワーク接続制御システム及び接続制御方法
【課題】複数のデジタルコンテンツを利用する際のユーザの利便性を向上させること。
【解決手段】コンテンツが利用されるユーザ端末と、VPNを介してユーザ端末にコンテンツを提供するサービス提供サーバと、ユーザ端末とサービス提供サーバとの間を複数のVPNのいずれかにより接続させるトンネル制御サーバとを備えたネットワーク接続制御システムにおいて、トンネル制御サーバが、VPNが有する属性に基づいて、ユーザ端末とサービス提供サーバとを接続させるVPNを選択する。そして、エッジルータが、トンネル制御サーバによって選択されたVPNによりユーザ端末とサービス提供サーバとを接続する。
【解決手段】コンテンツが利用されるユーザ端末と、VPNを介してユーザ端末にコンテンツを提供するサービス提供サーバと、ユーザ端末とサービス提供サーバとの間を複数のVPNのいずれかにより接続させるトンネル制御サーバとを備えたネットワーク接続制御システムにおいて、トンネル制御サーバが、VPNが有する属性に基づいて、ユーザ端末とサービス提供サーバとを接続させるVPNを選択する。そして、エッジルータが、トンネル制御サーバによって選択されたVPNによりユーザ端末とサービス提供サーバとを接続する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ネットワーク接続制御システム及び接続制御方法に関する。
【背景技術】
【0002】
従来、IP(Internet Protocol)−VPN(Virtual Private Network)技術を用いて、特定のVPNに接続したユーザ端末に対して通信事業者がデジタルコンテンツを提供するサービス形態が知られている。このようなサービスを利用する場合には、ユーザは、まず、ユーザ端末をVPNに接続させた後、Webブラウザなどを介してデジタルコンテンツを提供するサービスサーバに接続する。
【0003】
ここで、VPN及びサービスサーバへの接続の際に、それぞれ接続認証が行われる。例えば、VPN及びサービスサーバへの接続時に、ユーザがユーザIDとパスワード等をそれぞれ入力することで接続認証が行われる。しかしながら、接続認証ごとにユーザIDとパスワード等を入力することは、利用者にとって利便性が低い。
【0004】
そこで、近年、ユーザが一度接続認証を行うだけで、その後の接続認証が不要になるシングルサインオンシステム(Single Sign-On System)が知られている。例えば、シングルサインオンシステムでは、VPNへの接続認証を行われると、その後の各種サービスサーバへの接続に係る接続認証が不要になる。
【0005】
また、サービスサーバから提供されるデジタルコンテンツに適したVPNに接続させることを可能にする技術も知られている。上記した技術では、ユーザ端末から送信される識別子に応じて、接続させるVPN収容装置を選択することが可能である。すなわち、上記した技術とシングルサインオンシステムとを用いることで、ユーザ端末から送信される識別子に応じて、ユーザ端末を適切なVPNに接続させ、VPNへの接続認証以外の新たな接続認証を行うことなく、サービスサーバのデジタルコンテンツを利用することが可能な環境を実現することができる。なお、VPN収容装置とは、ユーザ端末からVPNへの接続を収容する装置である。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特許第4357165号公報
【特許文献2】特許第4560064号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した従来技術では、複数のデジタルコンテンツを利用する際に、ユーザの利便性が低下する場合があった。具体的には、上述した従来技術では、デジタルコンテンツの提供を柔軟に行えるように、種々の属性を有したVPNが設けられているため、最適なVPNを介してデジタルコンテンツを利用しようとした場合に、ユーザは、利用するデジタルコンテンツを変えるたびに、ユーザ端末に接続させるVPNを切替えることとなり、ユーザの利便性が低下する。なお、VPNが有する属性とは、例えば、通信品質やセキュリティなどである。
【0008】
例えば、デジタルコンテンツは、コンテンツごとに求められる通信品質のレベルが異なるため、ユーザは、適切な通信品質でデジタルコンテンツを利用しようとすると、利用するデジタルコンテンツを変えるたびに、ユーザ端末に接続させるVPNを切替えることとなる。その結果、ユーザの利便性が低下する。
【0009】
一例を挙げると、ユーザは、デジタルコンテンツを検索する際にはユーザ端末を通信品質の低いVPNに接続し、その後動画などを視聴する際には、通信品質の低いVPNとの接続を切断した上で、通信品質の高いVPNに接続し直すこととなる。すなわち、利用者は、利用するデジタルコンテンツを変えるたびにVPNへの接続と切断を繰り返すこととなり、ユーザの利便性が低下する。なお、通信品質の低いVPNとは、例えば、帯域が保証されていないVPNである。また、通信品質の高いVPNとは、例えば、帯域が保障されたVPNである。
【0010】
そこで、本願に開示する技術は、上述した従来技術の問題に鑑みてなされたものであって、複数のデジタルコンテンツを利用する際のユーザの利便性を向上させることを可能とするネットワーク接続制御システム及び接続制御方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
上述した課題を解決し、目的を達成するため、開示のシステムは、コンテンツが利用される利用者端末と、仮設私設網を介して前記利用者端末にコンテンツを提供する提供サーバと、前記利用者端末と前記提供サーバとの間を複数の仮設私設網のいずれかにより接続させる接続制御サーバとを備えたネットワーク接続制御システムであって、前記接続制御サーバが、前記仮設私設網が有する属性に基づいて、前記利用者端末と前記提供サーバとを接続させる仮設私設網を選択する選択手段と、前記選択手段によって選択された仮設私設網により前記利用者端末と前記提供サーバとを接続する接続手段とを備えたことを特徴とする。
【発明の効果】
【0012】
開示のシステムは、複数のデジタルコンテンツを利用する際のユーザの利便性を向上させることを可能にする。
【図面の簡単な説明】
【0013】
【図1】図1は、実施例1に係るネットワーク接続制御システムの構成の一例を説明するための図である。
【図2】図2は、実施例1に係るユーザ端末の構成の一例を説明するための図である。
【図3】図3は、実施例1に係るVPNサービスプロバイダネットワークに収容された装置の構成の一例を説明するための図である。
【図4】図4は、実施例1に係る選択情報記憶部によって記憶される選択情報の一例を説明するための図である。
【図5】図5は、実施例1に係るユーザ情報記憶部によって記憶されるユーザ情報の一例を説明するための図である。
【図6】図6は、実施例1に係るセッション情報記憶部によって記憶されるセッション情報の一例について説明するための図である。
【図7】図7は、実施例1に係るサービス提供サーバの構成の一例を説明するための図である。
【図8】図8は、実施例1に係る通信品質記憶部によって記憶される情報の一例を説明するための図である。
【図9】図9は、実施例1に係るネットワーク接続制御システムによる接続処理の手順を示すシーケンス図である。
【図10】図10は、実施例1に係るネットワーク接続制御システムによる接続切り替え処理の手順を示すシーケンス図である。
【図11】図11は、実施例1に係るネットワーク接続制御システムによる再接続処理の手順を示すシーケンス図である。
【発明を実施するための形態】
【0014】
以下に添付図面を参照して、本願の開示するネットワーク接続制御システム及び接続制御方法の実施例を詳細に説明する。なお、本願の開示するネットワーク接続制御システム及び接続制御方法は、以下の実施例により限定されるものではない。
【実施例1】
【0015】
[実施例1に係るネットワーク接続制御システムの構成]
以下では、まず、実施例1に係るネットワーク接続制御システムの全体の構成について説明した後、ネットワーク接続制御システムが備える装置の詳細な構成について説明する。図1は、実施例1に係るネットワーク接続制御システム1の構成の一例を説明するための図である。図1に示すように、実施例1に係るネットワーク接続制御システム1は、ユーザネットワーク100に収容されるユーザ端末10及びVPN終端装置20と、VPNサービスプロバイダネットワーク200に収容されるエッジルータ30、トンネル制御サーバ40、VPN収容装置51、VPN収容装置52、VPN51a、VPN51b、VPN52a、VPN接続認証サーバ60及びサービス制御サーバ80と、サービス提供サーバ70とを備える。そして、ネットワーク接続制御システム1は、ユーザ端末10によって利用されるデジタルコンテンツに応じて、接続するVPNの切り替え処理を実行する。なお、以下では、デジタルコンテンツを単にコンテンツと記載する場合がある。
【0016】
ユーザネットワーク100は、例えば、LAN(Local Area Network)などの比較的狭域なネットワークである。VPNサービスプロバイダネットワーク200は、VPNサービスを提供するプロバイダ(Provider)によって構成されたIP(Internet Protocol)網である。ユーザネットワーク100及びVPNサービスプロバイダネットワーク200は、図1に示すように、VPN終端装置20とエッジルータ30とにより接続されている。また、VPNサービスプロバイダネットワーク200は、図1に示すように、VPN51a、VPN51b及びVPN52bによりサービス提供サーバ70と接続されている。
【0017】
ユーザ端末10は、例えば、LAN接続インタフェースとWebブラウザとを備え、LANを介してVPN終端装置20と通信する汎用的なコンピュータである。VPN終端装置20は、例えば、LAN接続インタフェースと、PPPoEによるVPN接続機能と、VPN接続セッション切断時の自動再接続機能とを備えた汎用的なブロードバンドルータである。
【0018】
エッジルータ30は、例えば、VPN収容装置51又は52との間にL2TPトンネル(セッション)を張り、VPN終端装置20と、VPN収容装置51又は52との間でパケットを転送させるルータである。トンネル制御サーバ40は、エッジルータ30とVPN収容装置51及び52との間のトンネリングに係る制御を行うサーバ装置である。
【0019】
VPN収容装置51は、例えば、VPN51a及び51bを収容し、PPPoEによるVPN接続の終端機能と、VPN接続を認証するためのRADIUSクライアント機能とを備えたVPN収容装置である。VPN収容装置52は、例えば、VPN52aを収容し、PPPoEによるVPN接続の終端機能と、VPN接続を認証するためのRADIUSクライアント機能とを備えたVPN収容装置である。
【0020】
VPN51a、VPN51b及びVPN52aは、帯域や優先制御などの通信品質が保障されていない(例えば、ベストエフォート:best effort)VPN又は通信品質が保障されたVPNである。例えば、VPN51a及びVPN51bは、通信品質が保障されていないVPNである。また、例えば、VPN52aは、通信品質が保障されたVPNである。
【0021】
VPN接続認証サーバ60は、ユーザの認証に係る各種処理を実行するサーバ装置である。サービス提供サーバ70は、シングルサインオンプロトコルのSAML(Security Assertion Markup Language)に対応し、各種コンテンツを提供するWebサーバ装置である。例えば、サービス提供サーバ70は、コンテンツを検索するための検索コンテンツや動画像コンテンツを提供する。サービス制御サーバ80は、VPNの切り替え処理に係る各種処理を実行するサーバ装置である。
【0022】
続いて、図1に示すネットワーク接続制御システム1に備えられた各装置の詳細な構成について説明する。ここで、本願の開示するネットワーク接続制御システム1は、VPN終端装置20と、VPN収容装置51又はVPN収容装置52との間に張られるトンネルを制御することで、ユーザ端末10の接続先となるVPNの切替えを制御するが、以下では、まず、最初の接続の詳細な制御について説明した後、接続先のVPNを切替える切り替え制御の詳細について説明する。図2は、実施例1に係るユーザ端末10の構成の一例を説明するための図である。ユーザ端末10は、汎用なコンピュータであり、例えば、図2に示すように、通信制御I/F(Interface)部11と、入力部12と、表示部13と、記憶部14と、制御部15とを備え、VPN終端装置20と接続される。
【0023】
通信制御I/F部11は、VPN終端装置20と制御部15との間でやり取りする各種情報に関する通信を制御する。また、通信制御I/F部11は、制御部15と、入力部12及び表示部13との間での各種情報のやり取りを制御する。例えば、通信制御I/F部11は、制御部15とVPN終端装置20とのIP通信を制御する。
【0024】
入力部12は、例えば、キーボードやマウスなどであり、ユーザによる種々の情報の入力処理を受付ける。一例を挙げると、入力部12は、VPNの接続に係るユーザIDやパスワードなどの情報の入力処理や、ユーザのコンテンツ選択に係る入力処理などを受付ける。表示部13は、例えば、ディスプレイなどであり、ユーザに対して処理結果を表示出力する。一例を挙げると、表示部13は、Webブラウザによりコンテンツを表示出力する。
【0025】
記憶部14は、例えば、ハードディスク、光ディスクなどの記憶装置、または、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子であり、ユーザ端末10によって実行される各種プログラムなどを記憶する。
【0026】
制御部15は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路であり、ユーザ端末10の全体制御を実行する。一例を挙げると、制御部15は、HTTP(HyperText Transfer Protocol)又はHTTPS(Hypertext Transfer Protocol Security)などのプロトコルを用いたサービス提供サーバ70へのコンテンツの要求を制御する。
【0027】
VPN終端装置20は、予め設定されたユーザID、パスワード及びドメイン名などの情報に基づいて、VPNサービスプロバイダネットワーク200に収容されたエッジルータ30にVPN接続要求を送信する。具体的には、VPN終端装置20は、PPPoEやIPsecなどのプロトコルを用いて、ユーザID、パスワード及びドメイン名などの情報を含むVPN接続要求をエッジルータ30に送信する。例えば、VPN終端装置20は、「ユーザID:xxxx、パスワード:********、ドメイン名:a.co.jp」を含むVPN接続要求をエッジルータ30に送信する。なお、ユーザID、パスワード及びドメイン名などの情報は、例えば、ユーザが予めユーザ端末10から入力することにより登録される。
【0028】
図3は、実施例1に係るVPNサービスプロバイダネットワーク200に収容された装置の構成の一例を説明するための図である。VPNサービスプロバイダネットワーク200に収容されたエッジルータ30は、VPN終端装置20によって送信されたVPN接続要求を受信し、受信したVPN接続要求に含まれるユーザIDとドメイン名とを抽出する。そして、エッジルータ30は、抽出したユーザIDとドメイン名とを、RADIUSプロトコルのAccess−Request信号に含め、ユーザIDとドメイン名とを含めたAccess−Request信号をトンネル制御サーバ40に送信する。
【0029】
例えば、エッジルータ30は、「ユーザID:xxxx」及び「ドメイン名:a.co.jp」を含めたAccess−Request信号をトンネル制御サーバ40に送信する。その後、エッジルータ30は、後述するトンネル制御サーバ40によって送信された信号に基づいて、VPN収容装置51又は52との間にL2TPトンネルを張る。なお、L2TPトンネルを張る処理については、後に詳述する。
【0030】
トンネル制御サーバ40は、図3に示すように、通信制御I/F部41と、記憶部42と、制御部43とを備え、コアネットワークに接続される。通信制御I/F部41は、コアネットワークに接続された装置と制御部43との間でやり取りする各種情報に関する通信を制御する。記憶部42は、図3に示すように、選択情報記憶部42aを備える。
【0031】
選択情報記憶部42aは、VPN終端装置20を接続させるVPN収容装置を選択するための選択情報を記憶する。図4は、実施例1に係る選択情報記憶部42aによって記憶される選択情報の一例を説明するための図である。図4に示すように、選択情報記憶部42aは、ドメイン名及びユーザIDにVPN収容装置IPアドレスを対応付けた選択情報を記憶する。例えば、選択情報記憶部42aは、図4に示すように、選択情報「ドメイン名:a.co.jp、ユーザID:xxxx、VPN収容装置IPアドレス:10.0.0.1」を記憶する。上記した情報は、「ドメイン名:a.co.jp」のユーザ端末から「ユーザID:xxxx」のユーザがアクセスした場合に、IPアドレスが「10.0.0.1」のVPN収容装置にVPN終端装置20が接続されることを示す。なお、選択情報は、予め設定される。また、選択情報記憶部42aは、選択情報がない場合に返すVPN収容装置のIPアドレスをデフォルト設定で記憶することも可能である。
【0032】
図3に戻って、制御部43は、図3に示すように、VPN収容装置決定部43aと、選択情報書換部43bとを有する。VPN収容装置決定部43aは、VPNが有する属性に基づいてユーザ端末10とサービス提供サーバとを接続させるVPNを選択する。具体的には、VPN収容装置決定部43aは、サービス提供サーバ70によって識別された通信品質を属性として有するVPNを選択する。より具体的には、VPN収容装置決定部43aは、エッジルータ30から受信したAccess−Request信号に含まれるユーザIDとドメイン名とに基づいてVPN終端装置20と接続するVPN収容装置を決定する。すなわち、VPN収容装置決定部43aは、受信したAccess−Request信号からユーザIDとドメイン名を抽出し、選択情報記憶部42aによって記憶された選択情報を参照して、抽出したユーザIDとドメイン名に対応するIPアドレスのVPN収容装置をVPN終端装置20と接続すると決定する。
【0033】
例えば、「ユーザID:xxxx」及び「ドメイン名:a.co.jp」を含むAccess−Request信号を受信すると、VPN収容装置決定部43aは、選択情報を参照して、「IPアドレス:10.0.0.1」が割当てられたVPN収容装置51とVPN終端装置20とを接続することを決定する。そして、VPN収容装置決定部43aは、決定したVPN収容装置51の「IPアドレス:10.0.0.1」をAccess−Accept信号に含め、エッジルータ30に送信する。
【0034】
ここで、エッジルータ30は、VPN収容装置決定部43aによって送信されたAccess−Accept信号に含まれるIPアドレスによって識別されるVPN収容装置との間にL2TPトンネルを張る。例えば、エッジルータ30は、「IPアドレス:10.0.0.1」によって識別されるVPN収容装置51との間にL2TPトンネルを張る。そして、エッジルータ30は、L2TPトンネルを張ったVPN収容装置51に対して、VPN終端装置20から受信したVPN接続要求を転送する。例えば、エッジルータ30は、「ユーザID:xxxx、ドメイン名:a.co.jp、パスワード:********」を含むVPN接続要求をVPN収容装置51に対して送信する。
【0035】
選択情報書換部43bは、後述するサービス制御サーバ80から受信したVPN接続変更要求に基づいて、選択情報記憶部42aによって記憶された選択情報を書き換える。なお、選択情報書換部43bによる処理については、VPNの切り替え制御を説明する際に詳述する。
【0036】
VPN収容装置51は、エッジルータ30によって送信されたVPN接続要求を受信して、受信したVPN接続要求に含まれるユーザIDとドメイン名とパスワードとを抽出する。そして、VPN収容装置51は、抽出したユーザIDとドメイン名とパスワードとをRADIUSプロトコルのAccess−Request信号としてVPN接続認証サーバ60に送信する。例えば、VPN収容装置51は、「ユーザID:xxxx、ドメイン名:a.co.jp、パスワード:********」を含むAccess−Request信号をVPN接続認証サーバ60に送信する。この時、VPN収容装置51は、接続が確立された場合に当該接続を識別するためのセッションIDと、当該接続に用いられるIPアドレスである払い出しIPアドレスとを含めたAccess−Request信号をVPN接続認証サーバ60に送信する。例えば、VPN収容装置51は、「セッションID:aaaabbbbcccc、払い出しIPアドレス:192.168.1.1」を含むAccess−Request信号をVPN接続認証サーバ60に送信する。なお、エッジルータ30がVPN収容装置52との間にL2TPトンネルを張った場合には、VPN収容装置52が上記した処理を実行する。
【0037】
VPN接続認証サーバ60は、図3に示すように、通信制御I/F部61と、記憶部62と、制御部63とを備え、コアネットワークに接続される。通信制御I/F部61は、コアネットワークに接続された装置と制御部63との間でやり取りする各種情報に関する通信を制御する。記憶部62は、図3に示すように、ユーザ情報記憶部62aと、セッション情報記憶部62bとを備える。
【0038】
ユーザ情報記憶部62aは、VPNへの接続が許可されたユーザに関するユーザ情報を記憶する。図5は、実施例1に係るユーザ情報記憶部62aによって記憶されるユーザ情報の一例を説明するための図である。図5に示すように、ユーザ情報記憶部62aは、ドメイン名と、ユーザIDと、パスワードとを対応付けたユーザ情報を記憶する。例えば、ユーザ情報記憶部62aは、図5に示すように、ユーザ情報「ドメイン名:a.co.jp、ユーザID:xxxx、パスワード:********、」を記憶する。
【0039】
図3に戻って、セッション情報記憶部62bは、ユーザ端末10とサービス提供サーバ70との間のセッション情報を記憶する。図6は、実施例1に係るセッション情報記憶部62bによって記憶されるセッション情報の一例について説明するための図である。図6に示すように、セッション情報記憶部62bは、ドメイン名、ユーザID、セッションID及び払い出しIPアドレスを対応付けたセッション情報を記憶する。例えば、セッション情報記憶部62bは、図6に示すように、セッション情報「ドメイン名:a.co.jp、ユーザID:xxxx、セッションID:aaaabbbbcccc、払い出しIPアドレス:192.168.1.1」を記憶する。
【0040】
図3に戻って、制御部63は、認証部63aを備える。認証部63aは、VPN収容装置によって送信されたAccess−Request信号を受信して、受信したAccess−Request信号に含まれる情報に該当するユーザがVPNに接続することを許可されたユーザか否か認証する。具体的には、認証部63aは、ユーザ情報記憶部62aによって記憶されたユーザ情報を参照して、受信したAccess−Request信号に含まれる「ドメイン名」、「ユーザID」の「パスワード」がユーザ情報に格納された「パスワード」と一致するか否かを判定する。
【0041】
ここで、パスワードが一致した場合には、認証部63aは、接続許可の応答(Access−Acceept信号)をVPN収容装置に送信する。一方、パスワードが一致しない場合には、認証部63aは、接続不可の応答(Access−Reject信号)をVPN収容装置に送信する。例えば、「ドメイン名:a.co.jp、ユーザID:xxxx、パスワード:********、」が含まれたAccess−Request信号をVPN収容装置51から受信した場合には、認証部63aは、図5に示すユーザ情報を参照してパスワードが一致することから、VPN収容装置51に対してAccess−Acceept信号を送信する。VPN収容装置51は、認証部63aから応答を受信すると、応答結果をVPN終端装置20に転送する。ここで、応答がAccess−Acceept信号であった場合にVPNへの接続が確立され、ユーザ端末10は、サービス提供サーバ70にアクセスすることが可能となる。
【0042】
認証部63aは、VPNへの接続が確立されると、確立した接続のセッション情報をセッション情報記憶部62bに格納する。具体的には、認証部63aは、VPN収容装置から受信したAccess−Request信号からセッション情報を抽出し、抽出したセッション情報をセッション情報記憶部62bに格納する。例えば、認証部63aは、図6に示すように、セッション情報「ドメイン名:a.co.jp、ユーザID:xxxx、セッションID:aaaabbbbcccc、払い出しIPアドレス:192.168.1.1」をVPN収容装置51から受信したAccess−Request信号から抽出して、セッション情報記憶部62bに格納する。
【0043】
上述したように、VPNへの接続が確立されると、ユーザ端末10は、サービス提供サーバ70にアクセスすることが可能になる。そこで、以下では、ユーザ端末10がサービス提供サーバ70にアクセスしてコンテンツを利用する際の接続制御について説明する。
【0044】
図3に戻って、サービス制御サーバ80は、通信制御I/F部81と、記憶部82と、制御部83とを備え、コアネットワークと接続される。通信制御I/F部81は、コアネットワークに接続された装置と制御部83との間でやり取りする各種情報に関する通信を制御する。記憶部82は、図3に示すように、VPN情報記憶部82aを備える。
【0045】
VPN情報記憶部82aは、VPNごとの通信品質を記憶する。例えば、VPN情報記憶部82aは、VPN51a及びVPN51bが、通信品質が保障されていないVPN(例えば、ベストエフォート型VPN)であり、VPN52aが、通信品質が保障されたVPNである旨のVPN情報を記憶する。
【0046】
制御部83は、図3に示すように、認証確認部83aと、変更要求部83bと、切断要求部83cとを有する。認証確認部83aは、後述するサービス提供サーバ70によってリダイレクトされたユーザ端末10が認証済みであるか否かを確認する。具体的には、認証確認部83aは、ユーザ端末10のIPアドレスを検索キーとしてVPN接続認証サーバ60に送信するとともに、送信したIPアドレスが割当てられたユーザ端末10が認証済みであるか否かを示す認証状態の情報を要求する。例えば、認証確認部83aは、ユーザ端末10に割当てられたIPアドレス「192.168.1.1」をVPN接続認証サーバ60に送信して、認証状態の情報を要求する。
【0047】
ここで、VPN接続認証サーバ60の認証部63aは、認証確認部83aからIPアドレスを受信すると、IPアドレスを検索キーとしてセッション情報記憶部62bに記憶されたセッション情報を検索する。そして、認証部63aは、該当するユーザ端末の認証状態と、ユーザIDと、ドメイン名とを取得し、取得した情報をサービス制御サーバ80に認証状態の応答として送信する。例えば、認証部63aは、IPアドレス「192.168.1.1」を検索キーとして図6に示すセッション情報を検索して、ユーザIDと、ドメイン名とを取得する。そして、セッションIDが付与されていることから認証済みであると判定し、ユーザIDとドメイン名とともに、認証済みである旨の応答をサービス制御サーバ70に送信する。
【0048】
認証確認部83aは、認証部63aから受信した認証済みの情報と、ユーザIDと、ドメイン名とを、シングルサインオンプロトコルのSAMLアサーションとして、ユーザ端末10のWebブラウザを介してサービス提供サーバ70に送信する。
【0049】
変更要求部83bは、VPNの切り替え係る各種処理を実行する。なお、変更要求部83bによる処理については、VPNの切り替え制御を説明する際に詳述する。切断要求部83cは、VPNの切り替えに係る各種処理を実行する。なお、切断要求部83cによる処理については、VPNの切り替え制御を説明する際に詳述する。
【0050】
図7は、実施例1に係るサービス提供サーバ70の構成の一例を説明するための図である。図7に示すように、サービス提供サーバ70は、通信制御I/F部71と、記憶部72と、制御部73とを備え、VPN51a、51b及び52aと接続される。通信制御I/F部71は、VPN51a、51b又は52aに接続された装置と制御部73との間でやり取りする各種情報に関する通信を制御する。記憶部72は、図7に示すように、コンテンツ記憶部72aと、通信品質記憶部72bとを備える。
【0051】
コンテンツ記憶部72aは、サービス提供サーバ70によって提供される種々のコンテンツに係るデータを記憶する。通信品質記憶部72bは、コンテンツに要求される通信品質の情報を記憶する。図8は、実施例1に係る通信品質記憶部72bによって記憶される情報の一例を説明するための図である。例えば、通信品質記憶部72bは、図8に示すように、コンテンツ種別と品質保障とを対応付けた情報を記憶する。ここで、図8に示すコンテンツ種別とは、コンテンツ記憶部72aによって記憶されたコンテンツの種別を示している。また、図8に示す品質保証とは、VPNにおける帯域制御や優先制御などの通信品質の保証を示している。例えば、通信品質記憶部72bは、図8に示すように、「コンテンツ種別:検索コンテンツ、品質保証:無」を記憶する。上記した情報は、検索コンテンツに必要とされるVPNでは、品質保証がされていなくてもよいことを示している。同様に、通信品質記憶部72bは、図8に示すように、「コンテンツ種別:動画像コンテンツ、品質保証:有」を記憶する。
【0052】
図7に戻って、制御部73は、認証要求部73aと、サービス提供部73bと、VPN変更要求部73cとを有する。認証要求部73aは、VPNへの接続が確立された後、サービス提供サーバ70に対して、Webブラウザを介したHTTP又はHTTPSによる接続を行ったユーザ端末10がVPNへの接続が認証済みであるか否かをサービス制御サーバ80に確認させる。具体的には、認証要求部73aは、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス制御サーバ80にリダイレクトする。これにより、サービス制御サーバ80は、上述した認証確認の処理を実行することとなる。
【0053】
そして、認証要求部73aは、サービス制御サーバ80の認証確認部83aから受信した認証状態の情報と、ユーザIDと、ドメイン名とを検証して、ユーザ端末10へのコンテンツ利用認証を行う。サービス提供部73bは、認証要求部73aによってコンテンツの利用が認証されたユーザ端末10に対して、コンテンツを提供する。VPN変更要求部73cは、VPNの切り替えに係る各種処理を実行する。なお、VPN変更要求部73cによる処理については、以下で詳述する。
【0054】
ここまで、最初の接続の詳細な制御について説明した。以下では、接続するVPNを切替える切り替え制御の詳細について説明する。
【0055】
接続するVPNの切り替え制御においては、まず、サービス提供サーバ70のVPN変更要求部73cが、ユーザ端末10によって要求されたコンテンツに係るデータの送受信に求められる通信品質を識別する。具体的には、VPN変更要求部73cは、通信品質記憶部72bによって記憶されたコンテンツ種別と通信品質とが対応付けられた情報を参照し、ユーザ端末10によって要求されたコンテンツに求められる通信品質を識別する。
【0056】
より具体的には、VPN変更要求部73cは、ユーザ端末10が接続中のVPNの情報と、当該VPNが有する通信品質と、通信品質記憶部72bによって記憶されたコンテンツ種別と通信品質とが対応付けられた情報とを用いて、VPNを切替える必要があるか否かを判定する。すなわち、VPN変更要求部73cは、現時点でユーザ端末10に接続されているVPNの通信品質が、ユーザによって要求されたコンテンツに求められる通信品質と異なるか否かを判定する。
【0057】
なお、ユーザ端末10が接続中のVPN及び当該VPNの通信品質の情報は、ユーザ端末10の認証状態を確認する際にサービス提供サーバ70に送信される。具体的には、VPN接続認証サーバ60は、サービス制御サーバ80に対してユーザ端末10の認証状態の確認応答を送信する際に、ユーザ端末10が接続中のVPNの情報を含めて送信する。そして、サービス制御サーバ80は、サービス提供サーバ70に対して認証応答を送信する際に、ユーザ端末10が接続中のVPNの通信品質の情報を含めて送信する。
【0058】
ここで、現時点で接続されているVPNの通信品質が、ユーザによって要求されたコンテンツに求められる通信品質とは異なる場合に、VPN変更要求部73cは、VPN変更要求をサービス制御サーバ80に送信する。例えば、現時点で通信品質が保障されていないVPN51aと接続されており、ユーザ端末10から動画像コンテンツが要求された場合には、VPN変更要求部73cは、まず、通信品質記憶部72bに記憶された情報を参照して、動画像コンテンツが品質保障された通信が要求されると識別する。そして、VPN変更要求部73cは、現時点で接続されているVPNから通信品質が保証されたVPNに切替える必要があると判定する。
【0059】
かかる場合に、VPN変更要求部73cは、通信品質が保証されていないVPNから通信品質が保障されたVPNへの変更を要求する旨のVPN変更内容と、ユーザIDと、ドメイン名とを含んだVPN変更要求を、SAMLを用いてユーザ端末10を経由させて、サービス制御サーバ80に送信する。
【0060】
サービス制御サーバ80の変更要求部83bは、サービス提供サーバ70から受信したVPN変更要求に応じて、トンネル制御サーバ40に対してVPN収容装置の変更要求を送信する。例えば、変更要求部83bは、VPN変更内容を参照して、ユーザID及びドメイン名に対応するユーザ端末10の接続先を、通信品質が保証されていないVPN51aを収容するVPN収容装置51から通信品質が保障されたVPN52aを収容するVPN収容装置52へ変更する変更要求をトンネル制御サーバ40に対して送信する。
【0061】
トンネル制御サーバ40の選択情報書換部43bは、変更要求部83bからVPN収容装置の変更要求を受信すると、選択情報記憶部42aによって記憶された選択情報を書き換える。具体的には、選択情報書換部43bは、選択情報において、変更要求に含まれるユーザIDとドメイン名に対応付けられたVPN収容装置IPアドレスを変更要求に応じて書き換える。例えば、選択情報記憶部42aは、図4に示す選択情報の「ドメイン名:a.co.jp、ユーザID:xxxx」に対応付けられた「IPアドレス:10.0.0.1」をVPN収容装置52のIPアドレスである「10.0.1.1」に書き換える。
【0062】
また、サービス制御サーバ80の切断要求部83cは、VPN接続認証サーバ60に対して現時点で確立されているセッションの切断要求を送信する。具体的には、切断要求部83cは、VPN収容装置の切り替えを行うユーザ端末10のユーザID及びドメイン名を含めたセッションの切断要求をVPN接続認証サーバ60に対して送信する。
【0063】
VPN接続認証サーバ60の認証部63aは、切断要求部83cによって送信された切断要求に含まれるユーザIDとドメイン名とを検索キーとしてセッション情報を検索し、該当するセッションのセッションIDを含むRADIUS Disconnect−Requestを、セッションを切断するVPN収容装置に送信する。例えば、認証部63aは、RADIUS Disconnect−RequestをVPN収容装置51に送信する。
【0064】
VPN収容装置は、RADIUS Disconnect−Requestを受信すると、RADIUS Disconnect−Requestに含まれるセッションIDのセッションを切断し、VPN接続認証サーバ60にRADIUS Disconnect−Ackを返す。そして、VPN接続認証サーバ60は、RADIUS Disconnect−Ackを受信すると、サービス制御サーバ80に対してセッションの切断が完了した旨の応答であるセッション切断応答を返す。
【0065】
上述したように、トンネル制御サーバ40が記憶する選択情報が書き換えられ、既に確立していたセッションが切断される。ここで、VPN終端装置20が、自動再接続機能により再度VPNの接続要求を送信すると、エッジルータ30によってL2TPトンネルが張られるVPN収容装置は、選択情報記憶部42aに記憶された書き換え後のIPアドレスで識別されるVPN収容装置である。すなわち、エッジルータ30は、VPN収容装置52との間にL2TPトンネルを張ることとなる。このように、実施例1に係るネットワーク接続制御システムでは、ユーザが利用するコンテンツを変えると、適切な通信品質のVPNに自動で切替えることが可能である。その結果、実施例1に係るネットワーク接続制御システムは、VPN終端装置20やユーザ端末10の設定変更無しに、サービスに応じてユーザ端末10の接続先VPNを動的に切替えることができ、利用者の利便性を向上させることを可能にする。
【0066】
[実施例1に係るネットワーク接続制御システムによる接続処理の手順]
次に、実施例1に係るネットワーク接続制御システム1による接続処理の手順について、図9を用いて説明する。図9は、実施例1に係るネットワーク接続制御システム1による接続処理の手順を示すシーケンス図である。
【0067】
図9に示すように、実施例1に係るネットワーク接続制御システム1においては、VPN終端装置20がエッジルータ30に対してVPN接続要求を送信すると(ステップS101)、VPN接続要求を受信したエッジルータ30は、トンネル制御サーバ40に対してユーザIDとドメイン名とを含めたAccess−Request信号をVPN収容装置決定要求として送信する(ステップS102)。
【0068】
そして、トンネル制御サーバ40は、エッジルータ30からVPN収容装置決定要求を受信すると、選択情報記憶部42aによって記憶された選択情報に基づいて、接続させるVPNを収容するVPN収容装置51を決定し(ステップS103)、決定したVPN収容装置51の情報を含むAccess−Accept信号を応答としてエッジルータ30に対して送信する(ステップS104)。
【0069】
エッジルータ30は、トンネル制御サーバ40からAccess−Accept信号を受信すると、決定されたVPN収容装置51に対して、VPN終端装置20から受信したVPN接続要求を転送する(ステップS105)。VPN収容装置51は、エッジルータ30からVPN接続要求を受信すると、VPN接続認証サーバ60に対して、Access−Request信号を認証要求として送信する(ステップS106)。VPN接続認証サーバ60は、VPN収容装置51から認証要求のAccess−Request信号を受信すると、ユーザ情報記憶部62aによって記憶されたユーザ情報に基づいてユーザ認証を行い(ステップS107)、認証結果を含む応答をVPN収容装置51に送信する(ステップS108)。例えば、VPN接続認証サーバ60は、接続許可の応答としてAccess−Accept信号をVPN収容装置51に送信する。また、VPN接続認証サーバ60は、接続不可の応答としてAccess−Reject信号をVPN収容装置51に送信する。
【0070】
そして、VPN収容装置51は、VPN接続認証サーバ60から応答を受信すると、認証結果をVPN接続応答として、VPN終端装置20に送信する(ステップS109)。ここで、接続が認証された場合には、VPNとの接続が完了する。
【0071】
そして、VPNとの接続が完了すると、ユーザ端末10は、コンテンツを利用するためのサービス要求をサービス提供サーバ70に送信する(ステップS110)。サービス提供サーバ70は、ユーザ端末10からサービス要求を受信すると、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス制御サーバ80にリダイレクトさせて認証要求を行う(ステップS111)。サービス制御サーバ80は、認証要求を受信すると、認証状態確認要求をVPN接続認証サーバ60に送信する(ステップS112)。VPN接続認証サーバ60は、サービス制御サーバ80から認証状態確認要求を受信すると、ユーザの認証状態を確認し(ステップS113)、認証結果を含む応答をサービス制御サーバ80に送信する(ステップS114)。
【0072】
サービス制御サーバ80は、VPN接続認証サーバから応答を受信すると、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス提供サーバ70にリダイレクトさせて認証応答を行う(ステップS115)。ここで、認証された場合には、ユーザ端末10においてサービス提供サーバ70からコンテンツが提供されることとなる。
【0073】
[実施例1に係るネットワーク接続制御システムによる接続切り替え処理の手順]
次に、実施例1に係るネットワーク接続制御システム1による接続切り替え処理の手順について、図10を用いて説明する。図10は、実施例1に係るネットワーク接続制御システム1による接続切り替え処理の手順を示すシーケンス図である。
【0074】
図10に示すように、実施例1に係るネットワーク接続制御システム1においては、ユーザ端末10が、サービス提供サーバ70に対してサービス要求を送信すると(ステップS201)、サービス提供サーバ70は、要求されたサービスに求められる通信品質を識別する(ステップS202)。ここで、VPNの変更が必要であると判定すると、サービス提供サーバ70は、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス制御サーバ80にリダイレクトさせてVPN変更要求を行う(ステップS203)。
【0075】
サービス制御サーバ80は、VPN変更要求を受信すると、トンネル制御サーバ40に対してVPN収容装置変更要求を送信する(ステップS204)。そして、トンネル制御サーバ40は、VPN収容装置変更要求を受信すると、選択情報に含まれるIPアドレスを変更し(ステップS205)、変更が完了した旨の情報である変更応答をサービス制御サーバ80に送信する(ステップS206)。
【0076】
サービス制御サーバ80は、変更応答を受信すると、VPN接続認証サーバ60にセッション切断要求を送信する(ステップS207)。VPN接続認証サーバ60は、セッション切断要求を受信すると、VPN収容装置51にセッション切断要求を転送する(ステップS208)。VPN収容装置51は、セッション切断要求を受信すると、セッションを切断し(ステップS209)、セッションの切断が完了した旨の情報であるセッション切断応答をVPN接続認証サーバ60に送信する(ステップS210)。VPN接続認証サーバ60は、VPN収容装置51からセッション切断応答を受信すると、サービス制御サーバ80にセッション切断応答を転送する(ステップS211)。
【0077】
[実施例1に係るネットワーク接続制御システムによる再接続処理の手順]
次に、実施例1に係るネットワーク接続制御システム1による再接続処理の手順について、図11を用いて説明する。図11は、実施例1に係るネットワーク接続制御システム1による再接続処理の手順を示すシーケンス図である。なお、図11においては、図10における処理の後の処理について示す。
【0078】
図11に示すように、実施例1に係るネットワーク接続制御システム1においては、VPN終端装置20は、自動再接続機能により、エッジルータ30に対してVPN接続要求を送信する(ステップS301)。エッジルータ30は、VPN終端装置20からVPN接続要求を受信すると、トンネル制御サーバ40に対してVPN収容装置決定要求を送信する(ステップS302)。
【0079】
そして、トンネル制御サーバ40は、エッジルータ30からVPN収容装置決定要求を受信すると、選択情報記憶部42aによって記憶された選択情報に基づいて、接続させるVPNを収容するVPN収容装置52を決定し(ステップS303)、決定したVPN収容装置52の情報を含む応答をエッジルータ30に対して送信する(ステップS304)。すなわち、トンネル制御サーバ40は、図10のステップS204においてIPアドレスが変更されたことにより、接続先を切り替えることとなる。
【0080】
エッジルータ30は、トンネル制御サーバ40から応答を受信すると、決定されたVPN収容装置52に対してVPN終端装置20から受信したVPN接続要求を転送する(ステップS305)。VPN収容装置52は、エッジルータ30からVPN接続要求を受信すると、VPN接続認証サーバ60に対して認証要求を送信する(ステップS306)。VPN接続認証サーバ60は、VPN収容装置52から認証要求を受信すると、ユーザ情報記憶部62aによって記憶されえたユーザ情報に基づいてユーザ認証を行い(ステップS307)、認証結果を含む応答をVPN収容装置52に送信する(ステップS308)。VPN収容装置52は、VPN接続認証サーバ60から応答を受信すると、認証結果をVPN接続応答として、VPN終端装置20に送信する(ステップS309)。ここで、接続が認証された場合には、VPNとの接続が完了する(ステップS310)。
【0081】
そして、VPNとの接続が完了すると、ユーザ端末10は、コンテンツを利用するためのサービス要求をサービス提供サーバ70に送信する(ステップS311)サービス提供サーバ70は、ユーザ端末10からサービス要求を受信すると、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス制御サーバ80にリダイレクトさせて認証要求を行う(ステップS312)。サービス制御サーバ80は、認証要求を受信すると、認証状態確認要求をVPN接続認証サーバ60に送信する(ステップS313)。VPN接続認証サーバ60は、サービス制御サーバ80から認証状態確認要求を受信すると、ユーザの認証状態を確認し(ステップS314)、認証結果を含む応答をサービス制御サーバ80に送信する(ステップS315)。
【0082】
サービス制御サーバ80は、VPN接続認証サーバから応答を受信すると、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス提供サーバ70にリダイレクトさせて認証応答を行う(ステップS316)。ここで、認証された場合には、ユーザ端末10においてサービス提供サーバ70からサービス利用が開始される(ステップS317)。
【0083】
[実施例1の効果]
上述したように、実施例1によれば、トンネル制御サーバ40のVPN収容装置決定部43aが、VPNが有する属性に基づいて、ユーザ端末10とサービス提供サーバ70とを接続させるVPNを選択する。そして、エッジルータ30が、VPN収容装置決定部43aによって選択されたVPNによりユーザ端末10とサービス提供サーバ70とを接続する。従って、実施例1に係るネットワーク接続制御システム1は、VPN終端装置20やユーザ端末10の設定変更無しに、ユーザ端末10に接続させるVPNを自動で切替えることができ、複数のデジタルコンテンツを利用する際のユーザの利便性を向上させることを可能にする。
【0084】
また、実施例1によれば、サービス提供サーバ70のVPN変更要求部73cが、ユーザ端末10によって要求されたコンテンツに係るデータの送受信に求められる通信品質を識別する。そして、トンネル制御サーバ40のVPN収容装置決定部43aがVPN変更要求部73cによって識別された通信品質を属性として有するVPNを選択する。従って、実施例1に係るネットワーク接続制御システム1は、VPN終端装置20やユーザ端末10の設定変更無しに、コンテンツごとに適切な通信品質のVPNに自動で切替えることができ、複数のコンテンツを利用する際のユーザの利便性をより向上させることを可能にする。
【0085】
また、実施例1によれば、VPN接続認証サーバ60の認証部63aが、ユーザ端末10を利用するユーザ情報に基づいて、ユーザ端末10をトンネル制御サーバ40の制御部43によって選択されたVPNに接続するか否かを認証する。そして、エッジルータ30が、認証部63aによってユーザ端末10をVPNに接続することが認証された場合に、トンネル制御サーバ40の制御部43によって選択されたVPNにユーザ端末10を接続する。従って、実施例1に係るネットワーク接続制御システム1は、接続が許可されたユーザのみが利用するネットワークを構築することを可能にする。
【0086】
また、実施例1によれば、認証部63aは、ユーザ端末10をサービス提供サーバに接続するか否かをさらに認証する。そして、認証要求部73aは、認証部63aによってユーザ端末10をサービス提供サーバ70に接続することが認証された場合に、ユーザ端末10をサービス提供サーバ70に接続する。従って、実施例1に係るネットワーク接続制御システム1は、コンテンツに利用するごとに必要であった利用者によるユーザIDやパスワードなどの入力を省略することができ、利用者の利便性をさらに向上させることを可能にする。
【0087】
また、実施例1によれば、ユーザ端末やVPN終端装置について、汎用品を利用することができ、容易に実現することが可能である。
【実施例2】
【0088】
これまで実施例1を説明したが、本願が開示する技術はこれらの実施例1に限定されるものではない。すなわち、これらの実施例は、その他の様々な形態で実施されることが可能であり、種々の省略、置き換え、変更を行うことができる。
【0089】
上述した実施例1では、トンネル制御サーバ40とVPN接続認証サーバ60とサービス制御サーバ80とがそれぞれコアネットワークに接続される場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、トンネル制御サーバ40、VPN接続認証サーバ60、サービス制御サーバ80それぞれの機能を持たせた1つのサーバをコアネットワークに接続する場合であってもよい。
【0090】
また、上述した実施例1では、VPNの属性として通信品質を用いる場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、VPNの属性としてセキュリティを用いる場合であってもよい。かかる場合には、例えば、本願のネットワーク接続制御システムは、高いセキュリティを有するVPNと、低いセキュリティを有するVPNとを、提供するデジタルコンテンツに基づいて自動で切替えるように制御する。
【0091】
また、上述した実施例1では、通信品質が保証されていないVPNから通信品質が保障されたVPNに接続を切替える場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、通信品質が保障されたVPNから通信品質が保証されていないVPNに切替える場合であってもよい。
【0092】
また、例えば、各装置の分散・統合の具体的形態(例えば、図4の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、ユーザ情報記憶部62aとセッション情報記憶部62bとを一つの記憶部として統合してもよく、一方、認証部63aを、VPN接続を認証するVPN接続認証部と、サービス提供サーバ70に接続する際の認証を行う接続認証部とに分散してもよい。
【0093】
また、制御部43をトンネル制御サーバ40の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、VPN収容装置決定部43a、選択情報書換部43bを別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したトンネル制御サーバ40の機能を実現するようにしてもよい。
【0094】
これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0095】
1 ネットワーク接続制御システム
10 ユーザ端末
20 VPN終端装置
30 エッジルータ
40 トンネル制御サーバ
51、52 VPN収容装置
60 VPN接続認証サーバ
70 サービス提供サーバ
80 サービス制御サーバ
【技術分野】
【0001】
この発明は、ネットワーク接続制御システム及び接続制御方法に関する。
【背景技術】
【0002】
従来、IP(Internet Protocol)−VPN(Virtual Private Network)技術を用いて、特定のVPNに接続したユーザ端末に対して通信事業者がデジタルコンテンツを提供するサービス形態が知られている。このようなサービスを利用する場合には、ユーザは、まず、ユーザ端末をVPNに接続させた後、Webブラウザなどを介してデジタルコンテンツを提供するサービスサーバに接続する。
【0003】
ここで、VPN及びサービスサーバへの接続の際に、それぞれ接続認証が行われる。例えば、VPN及びサービスサーバへの接続時に、ユーザがユーザIDとパスワード等をそれぞれ入力することで接続認証が行われる。しかしながら、接続認証ごとにユーザIDとパスワード等を入力することは、利用者にとって利便性が低い。
【0004】
そこで、近年、ユーザが一度接続認証を行うだけで、その後の接続認証が不要になるシングルサインオンシステム(Single Sign-On System)が知られている。例えば、シングルサインオンシステムでは、VPNへの接続認証を行われると、その後の各種サービスサーバへの接続に係る接続認証が不要になる。
【0005】
また、サービスサーバから提供されるデジタルコンテンツに適したVPNに接続させることを可能にする技術も知られている。上記した技術では、ユーザ端末から送信される識別子に応じて、接続させるVPN収容装置を選択することが可能である。すなわち、上記した技術とシングルサインオンシステムとを用いることで、ユーザ端末から送信される識別子に応じて、ユーザ端末を適切なVPNに接続させ、VPNへの接続認証以外の新たな接続認証を行うことなく、サービスサーバのデジタルコンテンツを利用することが可能な環境を実現することができる。なお、VPN収容装置とは、ユーザ端末からVPNへの接続を収容する装置である。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特許第4357165号公報
【特許文献2】特許第4560064号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した従来技術では、複数のデジタルコンテンツを利用する際に、ユーザの利便性が低下する場合があった。具体的には、上述した従来技術では、デジタルコンテンツの提供を柔軟に行えるように、種々の属性を有したVPNが設けられているため、最適なVPNを介してデジタルコンテンツを利用しようとした場合に、ユーザは、利用するデジタルコンテンツを変えるたびに、ユーザ端末に接続させるVPNを切替えることとなり、ユーザの利便性が低下する。なお、VPNが有する属性とは、例えば、通信品質やセキュリティなどである。
【0008】
例えば、デジタルコンテンツは、コンテンツごとに求められる通信品質のレベルが異なるため、ユーザは、適切な通信品質でデジタルコンテンツを利用しようとすると、利用するデジタルコンテンツを変えるたびに、ユーザ端末に接続させるVPNを切替えることとなる。その結果、ユーザの利便性が低下する。
【0009】
一例を挙げると、ユーザは、デジタルコンテンツを検索する際にはユーザ端末を通信品質の低いVPNに接続し、その後動画などを視聴する際には、通信品質の低いVPNとの接続を切断した上で、通信品質の高いVPNに接続し直すこととなる。すなわち、利用者は、利用するデジタルコンテンツを変えるたびにVPNへの接続と切断を繰り返すこととなり、ユーザの利便性が低下する。なお、通信品質の低いVPNとは、例えば、帯域が保証されていないVPNである。また、通信品質の高いVPNとは、例えば、帯域が保障されたVPNである。
【0010】
そこで、本願に開示する技術は、上述した従来技術の問題に鑑みてなされたものであって、複数のデジタルコンテンツを利用する際のユーザの利便性を向上させることを可能とするネットワーク接続制御システム及び接続制御方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
上述した課題を解決し、目的を達成するため、開示のシステムは、コンテンツが利用される利用者端末と、仮設私設網を介して前記利用者端末にコンテンツを提供する提供サーバと、前記利用者端末と前記提供サーバとの間を複数の仮設私設網のいずれかにより接続させる接続制御サーバとを備えたネットワーク接続制御システムであって、前記接続制御サーバが、前記仮設私設網が有する属性に基づいて、前記利用者端末と前記提供サーバとを接続させる仮設私設網を選択する選択手段と、前記選択手段によって選択された仮設私設網により前記利用者端末と前記提供サーバとを接続する接続手段とを備えたことを特徴とする。
【発明の効果】
【0012】
開示のシステムは、複数のデジタルコンテンツを利用する際のユーザの利便性を向上させることを可能にする。
【図面の簡単な説明】
【0013】
【図1】図1は、実施例1に係るネットワーク接続制御システムの構成の一例を説明するための図である。
【図2】図2は、実施例1に係るユーザ端末の構成の一例を説明するための図である。
【図3】図3は、実施例1に係るVPNサービスプロバイダネットワークに収容された装置の構成の一例を説明するための図である。
【図4】図4は、実施例1に係る選択情報記憶部によって記憶される選択情報の一例を説明するための図である。
【図5】図5は、実施例1に係るユーザ情報記憶部によって記憶されるユーザ情報の一例を説明するための図である。
【図6】図6は、実施例1に係るセッション情報記憶部によって記憶されるセッション情報の一例について説明するための図である。
【図7】図7は、実施例1に係るサービス提供サーバの構成の一例を説明するための図である。
【図8】図8は、実施例1に係る通信品質記憶部によって記憶される情報の一例を説明するための図である。
【図9】図9は、実施例1に係るネットワーク接続制御システムによる接続処理の手順を示すシーケンス図である。
【図10】図10は、実施例1に係るネットワーク接続制御システムによる接続切り替え処理の手順を示すシーケンス図である。
【図11】図11は、実施例1に係るネットワーク接続制御システムによる再接続処理の手順を示すシーケンス図である。
【発明を実施するための形態】
【0014】
以下に添付図面を参照して、本願の開示するネットワーク接続制御システム及び接続制御方法の実施例を詳細に説明する。なお、本願の開示するネットワーク接続制御システム及び接続制御方法は、以下の実施例により限定されるものではない。
【実施例1】
【0015】
[実施例1に係るネットワーク接続制御システムの構成]
以下では、まず、実施例1に係るネットワーク接続制御システムの全体の構成について説明した後、ネットワーク接続制御システムが備える装置の詳細な構成について説明する。図1は、実施例1に係るネットワーク接続制御システム1の構成の一例を説明するための図である。図1に示すように、実施例1に係るネットワーク接続制御システム1は、ユーザネットワーク100に収容されるユーザ端末10及びVPN終端装置20と、VPNサービスプロバイダネットワーク200に収容されるエッジルータ30、トンネル制御サーバ40、VPN収容装置51、VPN収容装置52、VPN51a、VPN51b、VPN52a、VPN接続認証サーバ60及びサービス制御サーバ80と、サービス提供サーバ70とを備える。そして、ネットワーク接続制御システム1は、ユーザ端末10によって利用されるデジタルコンテンツに応じて、接続するVPNの切り替え処理を実行する。なお、以下では、デジタルコンテンツを単にコンテンツと記載する場合がある。
【0016】
ユーザネットワーク100は、例えば、LAN(Local Area Network)などの比較的狭域なネットワークである。VPNサービスプロバイダネットワーク200は、VPNサービスを提供するプロバイダ(Provider)によって構成されたIP(Internet Protocol)網である。ユーザネットワーク100及びVPNサービスプロバイダネットワーク200は、図1に示すように、VPN終端装置20とエッジルータ30とにより接続されている。また、VPNサービスプロバイダネットワーク200は、図1に示すように、VPN51a、VPN51b及びVPN52bによりサービス提供サーバ70と接続されている。
【0017】
ユーザ端末10は、例えば、LAN接続インタフェースとWebブラウザとを備え、LANを介してVPN終端装置20と通信する汎用的なコンピュータである。VPN終端装置20は、例えば、LAN接続インタフェースと、PPPoEによるVPN接続機能と、VPN接続セッション切断時の自動再接続機能とを備えた汎用的なブロードバンドルータである。
【0018】
エッジルータ30は、例えば、VPN収容装置51又は52との間にL2TPトンネル(セッション)を張り、VPN終端装置20と、VPN収容装置51又は52との間でパケットを転送させるルータである。トンネル制御サーバ40は、エッジルータ30とVPN収容装置51及び52との間のトンネリングに係る制御を行うサーバ装置である。
【0019】
VPN収容装置51は、例えば、VPN51a及び51bを収容し、PPPoEによるVPN接続の終端機能と、VPN接続を認証するためのRADIUSクライアント機能とを備えたVPN収容装置である。VPN収容装置52は、例えば、VPN52aを収容し、PPPoEによるVPN接続の終端機能と、VPN接続を認証するためのRADIUSクライアント機能とを備えたVPN収容装置である。
【0020】
VPN51a、VPN51b及びVPN52aは、帯域や優先制御などの通信品質が保障されていない(例えば、ベストエフォート:best effort)VPN又は通信品質が保障されたVPNである。例えば、VPN51a及びVPN51bは、通信品質が保障されていないVPNである。また、例えば、VPN52aは、通信品質が保障されたVPNである。
【0021】
VPN接続認証サーバ60は、ユーザの認証に係る各種処理を実行するサーバ装置である。サービス提供サーバ70は、シングルサインオンプロトコルのSAML(Security Assertion Markup Language)に対応し、各種コンテンツを提供するWebサーバ装置である。例えば、サービス提供サーバ70は、コンテンツを検索するための検索コンテンツや動画像コンテンツを提供する。サービス制御サーバ80は、VPNの切り替え処理に係る各種処理を実行するサーバ装置である。
【0022】
続いて、図1に示すネットワーク接続制御システム1に備えられた各装置の詳細な構成について説明する。ここで、本願の開示するネットワーク接続制御システム1は、VPN終端装置20と、VPN収容装置51又はVPN収容装置52との間に張られるトンネルを制御することで、ユーザ端末10の接続先となるVPNの切替えを制御するが、以下では、まず、最初の接続の詳細な制御について説明した後、接続先のVPNを切替える切り替え制御の詳細について説明する。図2は、実施例1に係るユーザ端末10の構成の一例を説明するための図である。ユーザ端末10は、汎用なコンピュータであり、例えば、図2に示すように、通信制御I/F(Interface)部11と、入力部12と、表示部13と、記憶部14と、制御部15とを備え、VPN終端装置20と接続される。
【0023】
通信制御I/F部11は、VPN終端装置20と制御部15との間でやり取りする各種情報に関する通信を制御する。また、通信制御I/F部11は、制御部15と、入力部12及び表示部13との間での各種情報のやり取りを制御する。例えば、通信制御I/F部11は、制御部15とVPN終端装置20とのIP通信を制御する。
【0024】
入力部12は、例えば、キーボードやマウスなどであり、ユーザによる種々の情報の入力処理を受付ける。一例を挙げると、入力部12は、VPNの接続に係るユーザIDやパスワードなどの情報の入力処理や、ユーザのコンテンツ選択に係る入力処理などを受付ける。表示部13は、例えば、ディスプレイなどであり、ユーザに対して処理結果を表示出力する。一例を挙げると、表示部13は、Webブラウザによりコンテンツを表示出力する。
【0025】
記憶部14は、例えば、ハードディスク、光ディスクなどの記憶装置、または、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子であり、ユーザ端末10によって実行される各種プログラムなどを記憶する。
【0026】
制御部15は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路であり、ユーザ端末10の全体制御を実行する。一例を挙げると、制御部15は、HTTP(HyperText Transfer Protocol)又はHTTPS(Hypertext Transfer Protocol Security)などのプロトコルを用いたサービス提供サーバ70へのコンテンツの要求を制御する。
【0027】
VPN終端装置20は、予め設定されたユーザID、パスワード及びドメイン名などの情報に基づいて、VPNサービスプロバイダネットワーク200に収容されたエッジルータ30にVPN接続要求を送信する。具体的には、VPN終端装置20は、PPPoEやIPsecなどのプロトコルを用いて、ユーザID、パスワード及びドメイン名などの情報を含むVPN接続要求をエッジルータ30に送信する。例えば、VPN終端装置20は、「ユーザID:xxxx、パスワード:********、ドメイン名:a.co.jp」を含むVPN接続要求をエッジルータ30に送信する。なお、ユーザID、パスワード及びドメイン名などの情報は、例えば、ユーザが予めユーザ端末10から入力することにより登録される。
【0028】
図3は、実施例1に係るVPNサービスプロバイダネットワーク200に収容された装置の構成の一例を説明するための図である。VPNサービスプロバイダネットワーク200に収容されたエッジルータ30は、VPN終端装置20によって送信されたVPN接続要求を受信し、受信したVPN接続要求に含まれるユーザIDとドメイン名とを抽出する。そして、エッジルータ30は、抽出したユーザIDとドメイン名とを、RADIUSプロトコルのAccess−Request信号に含め、ユーザIDとドメイン名とを含めたAccess−Request信号をトンネル制御サーバ40に送信する。
【0029】
例えば、エッジルータ30は、「ユーザID:xxxx」及び「ドメイン名:a.co.jp」を含めたAccess−Request信号をトンネル制御サーバ40に送信する。その後、エッジルータ30は、後述するトンネル制御サーバ40によって送信された信号に基づいて、VPN収容装置51又は52との間にL2TPトンネルを張る。なお、L2TPトンネルを張る処理については、後に詳述する。
【0030】
トンネル制御サーバ40は、図3に示すように、通信制御I/F部41と、記憶部42と、制御部43とを備え、コアネットワークに接続される。通信制御I/F部41は、コアネットワークに接続された装置と制御部43との間でやり取りする各種情報に関する通信を制御する。記憶部42は、図3に示すように、選択情報記憶部42aを備える。
【0031】
選択情報記憶部42aは、VPN終端装置20を接続させるVPN収容装置を選択するための選択情報を記憶する。図4は、実施例1に係る選択情報記憶部42aによって記憶される選択情報の一例を説明するための図である。図4に示すように、選択情報記憶部42aは、ドメイン名及びユーザIDにVPN収容装置IPアドレスを対応付けた選択情報を記憶する。例えば、選択情報記憶部42aは、図4に示すように、選択情報「ドメイン名:a.co.jp、ユーザID:xxxx、VPN収容装置IPアドレス:10.0.0.1」を記憶する。上記した情報は、「ドメイン名:a.co.jp」のユーザ端末から「ユーザID:xxxx」のユーザがアクセスした場合に、IPアドレスが「10.0.0.1」のVPN収容装置にVPN終端装置20が接続されることを示す。なお、選択情報は、予め設定される。また、選択情報記憶部42aは、選択情報がない場合に返すVPN収容装置のIPアドレスをデフォルト設定で記憶することも可能である。
【0032】
図3に戻って、制御部43は、図3に示すように、VPN収容装置決定部43aと、選択情報書換部43bとを有する。VPN収容装置決定部43aは、VPNが有する属性に基づいてユーザ端末10とサービス提供サーバとを接続させるVPNを選択する。具体的には、VPN収容装置決定部43aは、サービス提供サーバ70によって識別された通信品質を属性として有するVPNを選択する。より具体的には、VPN収容装置決定部43aは、エッジルータ30から受信したAccess−Request信号に含まれるユーザIDとドメイン名とに基づいてVPN終端装置20と接続するVPN収容装置を決定する。すなわち、VPN収容装置決定部43aは、受信したAccess−Request信号からユーザIDとドメイン名を抽出し、選択情報記憶部42aによって記憶された選択情報を参照して、抽出したユーザIDとドメイン名に対応するIPアドレスのVPN収容装置をVPN終端装置20と接続すると決定する。
【0033】
例えば、「ユーザID:xxxx」及び「ドメイン名:a.co.jp」を含むAccess−Request信号を受信すると、VPN収容装置決定部43aは、選択情報を参照して、「IPアドレス:10.0.0.1」が割当てられたVPN収容装置51とVPN終端装置20とを接続することを決定する。そして、VPN収容装置決定部43aは、決定したVPN収容装置51の「IPアドレス:10.0.0.1」をAccess−Accept信号に含め、エッジルータ30に送信する。
【0034】
ここで、エッジルータ30は、VPN収容装置決定部43aによって送信されたAccess−Accept信号に含まれるIPアドレスによって識別されるVPN収容装置との間にL2TPトンネルを張る。例えば、エッジルータ30は、「IPアドレス:10.0.0.1」によって識別されるVPN収容装置51との間にL2TPトンネルを張る。そして、エッジルータ30は、L2TPトンネルを張ったVPN収容装置51に対して、VPN終端装置20から受信したVPN接続要求を転送する。例えば、エッジルータ30は、「ユーザID:xxxx、ドメイン名:a.co.jp、パスワード:********」を含むVPN接続要求をVPN収容装置51に対して送信する。
【0035】
選択情報書換部43bは、後述するサービス制御サーバ80から受信したVPN接続変更要求に基づいて、選択情報記憶部42aによって記憶された選択情報を書き換える。なお、選択情報書換部43bによる処理については、VPNの切り替え制御を説明する際に詳述する。
【0036】
VPN収容装置51は、エッジルータ30によって送信されたVPN接続要求を受信して、受信したVPN接続要求に含まれるユーザIDとドメイン名とパスワードとを抽出する。そして、VPN収容装置51は、抽出したユーザIDとドメイン名とパスワードとをRADIUSプロトコルのAccess−Request信号としてVPN接続認証サーバ60に送信する。例えば、VPN収容装置51は、「ユーザID:xxxx、ドメイン名:a.co.jp、パスワード:********」を含むAccess−Request信号をVPN接続認証サーバ60に送信する。この時、VPN収容装置51は、接続が確立された場合に当該接続を識別するためのセッションIDと、当該接続に用いられるIPアドレスである払い出しIPアドレスとを含めたAccess−Request信号をVPN接続認証サーバ60に送信する。例えば、VPN収容装置51は、「セッションID:aaaabbbbcccc、払い出しIPアドレス:192.168.1.1」を含むAccess−Request信号をVPN接続認証サーバ60に送信する。なお、エッジルータ30がVPN収容装置52との間にL2TPトンネルを張った場合には、VPN収容装置52が上記した処理を実行する。
【0037】
VPN接続認証サーバ60は、図3に示すように、通信制御I/F部61と、記憶部62と、制御部63とを備え、コアネットワークに接続される。通信制御I/F部61は、コアネットワークに接続された装置と制御部63との間でやり取りする各種情報に関する通信を制御する。記憶部62は、図3に示すように、ユーザ情報記憶部62aと、セッション情報記憶部62bとを備える。
【0038】
ユーザ情報記憶部62aは、VPNへの接続が許可されたユーザに関するユーザ情報を記憶する。図5は、実施例1に係るユーザ情報記憶部62aによって記憶されるユーザ情報の一例を説明するための図である。図5に示すように、ユーザ情報記憶部62aは、ドメイン名と、ユーザIDと、パスワードとを対応付けたユーザ情報を記憶する。例えば、ユーザ情報記憶部62aは、図5に示すように、ユーザ情報「ドメイン名:a.co.jp、ユーザID:xxxx、パスワード:********、」を記憶する。
【0039】
図3に戻って、セッション情報記憶部62bは、ユーザ端末10とサービス提供サーバ70との間のセッション情報を記憶する。図6は、実施例1に係るセッション情報記憶部62bによって記憶されるセッション情報の一例について説明するための図である。図6に示すように、セッション情報記憶部62bは、ドメイン名、ユーザID、セッションID及び払い出しIPアドレスを対応付けたセッション情報を記憶する。例えば、セッション情報記憶部62bは、図6に示すように、セッション情報「ドメイン名:a.co.jp、ユーザID:xxxx、セッションID:aaaabbbbcccc、払い出しIPアドレス:192.168.1.1」を記憶する。
【0040】
図3に戻って、制御部63は、認証部63aを備える。認証部63aは、VPN収容装置によって送信されたAccess−Request信号を受信して、受信したAccess−Request信号に含まれる情報に該当するユーザがVPNに接続することを許可されたユーザか否か認証する。具体的には、認証部63aは、ユーザ情報記憶部62aによって記憶されたユーザ情報を参照して、受信したAccess−Request信号に含まれる「ドメイン名」、「ユーザID」の「パスワード」がユーザ情報に格納された「パスワード」と一致するか否かを判定する。
【0041】
ここで、パスワードが一致した場合には、認証部63aは、接続許可の応答(Access−Acceept信号)をVPN収容装置に送信する。一方、パスワードが一致しない場合には、認証部63aは、接続不可の応答(Access−Reject信号)をVPN収容装置に送信する。例えば、「ドメイン名:a.co.jp、ユーザID:xxxx、パスワード:********、」が含まれたAccess−Request信号をVPN収容装置51から受信した場合には、認証部63aは、図5に示すユーザ情報を参照してパスワードが一致することから、VPN収容装置51に対してAccess−Acceept信号を送信する。VPN収容装置51は、認証部63aから応答を受信すると、応答結果をVPN終端装置20に転送する。ここで、応答がAccess−Acceept信号であった場合にVPNへの接続が確立され、ユーザ端末10は、サービス提供サーバ70にアクセスすることが可能となる。
【0042】
認証部63aは、VPNへの接続が確立されると、確立した接続のセッション情報をセッション情報記憶部62bに格納する。具体的には、認証部63aは、VPN収容装置から受信したAccess−Request信号からセッション情報を抽出し、抽出したセッション情報をセッション情報記憶部62bに格納する。例えば、認証部63aは、図6に示すように、セッション情報「ドメイン名:a.co.jp、ユーザID:xxxx、セッションID:aaaabbbbcccc、払い出しIPアドレス:192.168.1.1」をVPN収容装置51から受信したAccess−Request信号から抽出して、セッション情報記憶部62bに格納する。
【0043】
上述したように、VPNへの接続が確立されると、ユーザ端末10は、サービス提供サーバ70にアクセスすることが可能になる。そこで、以下では、ユーザ端末10がサービス提供サーバ70にアクセスしてコンテンツを利用する際の接続制御について説明する。
【0044】
図3に戻って、サービス制御サーバ80は、通信制御I/F部81と、記憶部82と、制御部83とを備え、コアネットワークと接続される。通信制御I/F部81は、コアネットワークに接続された装置と制御部83との間でやり取りする各種情報に関する通信を制御する。記憶部82は、図3に示すように、VPN情報記憶部82aを備える。
【0045】
VPN情報記憶部82aは、VPNごとの通信品質を記憶する。例えば、VPN情報記憶部82aは、VPN51a及びVPN51bが、通信品質が保障されていないVPN(例えば、ベストエフォート型VPN)であり、VPN52aが、通信品質が保障されたVPNである旨のVPN情報を記憶する。
【0046】
制御部83は、図3に示すように、認証確認部83aと、変更要求部83bと、切断要求部83cとを有する。認証確認部83aは、後述するサービス提供サーバ70によってリダイレクトされたユーザ端末10が認証済みであるか否かを確認する。具体的には、認証確認部83aは、ユーザ端末10のIPアドレスを検索キーとしてVPN接続認証サーバ60に送信するとともに、送信したIPアドレスが割当てられたユーザ端末10が認証済みであるか否かを示す認証状態の情報を要求する。例えば、認証確認部83aは、ユーザ端末10に割当てられたIPアドレス「192.168.1.1」をVPN接続認証サーバ60に送信して、認証状態の情報を要求する。
【0047】
ここで、VPN接続認証サーバ60の認証部63aは、認証確認部83aからIPアドレスを受信すると、IPアドレスを検索キーとしてセッション情報記憶部62bに記憶されたセッション情報を検索する。そして、認証部63aは、該当するユーザ端末の認証状態と、ユーザIDと、ドメイン名とを取得し、取得した情報をサービス制御サーバ80に認証状態の応答として送信する。例えば、認証部63aは、IPアドレス「192.168.1.1」を検索キーとして図6に示すセッション情報を検索して、ユーザIDと、ドメイン名とを取得する。そして、セッションIDが付与されていることから認証済みであると判定し、ユーザIDとドメイン名とともに、認証済みである旨の応答をサービス制御サーバ70に送信する。
【0048】
認証確認部83aは、認証部63aから受信した認証済みの情報と、ユーザIDと、ドメイン名とを、シングルサインオンプロトコルのSAMLアサーションとして、ユーザ端末10のWebブラウザを介してサービス提供サーバ70に送信する。
【0049】
変更要求部83bは、VPNの切り替え係る各種処理を実行する。なお、変更要求部83bによる処理については、VPNの切り替え制御を説明する際に詳述する。切断要求部83cは、VPNの切り替えに係る各種処理を実行する。なお、切断要求部83cによる処理については、VPNの切り替え制御を説明する際に詳述する。
【0050】
図7は、実施例1に係るサービス提供サーバ70の構成の一例を説明するための図である。図7に示すように、サービス提供サーバ70は、通信制御I/F部71と、記憶部72と、制御部73とを備え、VPN51a、51b及び52aと接続される。通信制御I/F部71は、VPN51a、51b又は52aに接続された装置と制御部73との間でやり取りする各種情報に関する通信を制御する。記憶部72は、図7に示すように、コンテンツ記憶部72aと、通信品質記憶部72bとを備える。
【0051】
コンテンツ記憶部72aは、サービス提供サーバ70によって提供される種々のコンテンツに係るデータを記憶する。通信品質記憶部72bは、コンテンツに要求される通信品質の情報を記憶する。図8は、実施例1に係る通信品質記憶部72bによって記憶される情報の一例を説明するための図である。例えば、通信品質記憶部72bは、図8に示すように、コンテンツ種別と品質保障とを対応付けた情報を記憶する。ここで、図8に示すコンテンツ種別とは、コンテンツ記憶部72aによって記憶されたコンテンツの種別を示している。また、図8に示す品質保証とは、VPNにおける帯域制御や優先制御などの通信品質の保証を示している。例えば、通信品質記憶部72bは、図8に示すように、「コンテンツ種別:検索コンテンツ、品質保証:無」を記憶する。上記した情報は、検索コンテンツに必要とされるVPNでは、品質保証がされていなくてもよいことを示している。同様に、通信品質記憶部72bは、図8に示すように、「コンテンツ種別:動画像コンテンツ、品質保証:有」を記憶する。
【0052】
図7に戻って、制御部73は、認証要求部73aと、サービス提供部73bと、VPN変更要求部73cとを有する。認証要求部73aは、VPNへの接続が確立された後、サービス提供サーバ70に対して、Webブラウザを介したHTTP又はHTTPSによる接続を行ったユーザ端末10がVPNへの接続が認証済みであるか否かをサービス制御サーバ80に確認させる。具体的には、認証要求部73aは、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス制御サーバ80にリダイレクトする。これにより、サービス制御サーバ80は、上述した認証確認の処理を実行することとなる。
【0053】
そして、認証要求部73aは、サービス制御サーバ80の認証確認部83aから受信した認証状態の情報と、ユーザIDと、ドメイン名とを検証して、ユーザ端末10へのコンテンツ利用認証を行う。サービス提供部73bは、認証要求部73aによってコンテンツの利用が認証されたユーザ端末10に対して、コンテンツを提供する。VPN変更要求部73cは、VPNの切り替えに係る各種処理を実行する。なお、VPN変更要求部73cによる処理については、以下で詳述する。
【0054】
ここまで、最初の接続の詳細な制御について説明した。以下では、接続するVPNを切替える切り替え制御の詳細について説明する。
【0055】
接続するVPNの切り替え制御においては、まず、サービス提供サーバ70のVPN変更要求部73cが、ユーザ端末10によって要求されたコンテンツに係るデータの送受信に求められる通信品質を識別する。具体的には、VPN変更要求部73cは、通信品質記憶部72bによって記憶されたコンテンツ種別と通信品質とが対応付けられた情報を参照し、ユーザ端末10によって要求されたコンテンツに求められる通信品質を識別する。
【0056】
より具体的には、VPN変更要求部73cは、ユーザ端末10が接続中のVPNの情報と、当該VPNが有する通信品質と、通信品質記憶部72bによって記憶されたコンテンツ種別と通信品質とが対応付けられた情報とを用いて、VPNを切替える必要があるか否かを判定する。すなわち、VPN変更要求部73cは、現時点でユーザ端末10に接続されているVPNの通信品質が、ユーザによって要求されたコンテンツに求められる通信品質と異なるか否かを判定する。
【0057】
なお、ユーザ端末10が接続中のVPN及び当該VPNの通信品質の情報は、ユーザ端末10の認証状態を確認する際にサービス提供サーバ70に送信される。具体的には、VPN接続認証サーバ60は、サービス制御サーバ80に対してユーザ端末10の認証状態の確認応答を送信する際に、ユーザ端末10が接続中のVPNの情報を含めて送信する。そして、サービス制御サーバ80は、サービス提供サーバ70に対して認証応答を送信する際に、ユーザ端末10が接続中のVPNの通信品質の情報を含めて送信する。
【0058】
ここで、現時点で接続されているVPNの通信品質が、ユーザによって要求されたコンテンツに求められる通信品質とは異なる場合に、VPN変更要求部73cは、VPN変更要求をサービス制御サーバ80に送信する。例えば、現時点で通信品質が保障されていないVPN51aと接続されており、ユーザ端末10から動画像コンテンツが要求された場合には、VPN変更要求部73cは、まず、通信品質記憶部72bに記憶された情報を参照して、動画像コンテンツが品質保障された通信が要求されると識別する。そして、VPN変更要求部73cは、現時点で接続されているVPNから通信品質が保証されたVPNに切替える必要があると判定する。
【0059】
かかる場合に、VPN変更要求部73cは、通信品質が保証されていないVPNから通信品質が保障されたVPNへの変更を要求する旨のVPN変更内容と、ユーザIDと、ドメイン名とを含んだVPN変更要求を、SAMLを用いてユーザ端末10を経由させて、サービス制御サーバ80に送信する。
【0060】
サービス制御サーバ80の変更要求部83bは、サービス提供サーバ70から受信したVPN変更要求に応じて、トンネル制御サーバ40に対してVPN収容装置の変更要求を送信する。例えば、変更要求部83bは、VPN変更内容を参照して、ユーザID及びドメイン名に対応するユーザ端末10の接続先を、通信品質が保証されていないVPN51aを収容するVPN収容装置51から通信品質が保障されたVPN52aを収容するVPN収容装置52へ変更する変更要求をトンネル制御サーバ40に対して送信する。
【0061】
トンネル制御サーバ40の選択情報書換部43bは、変更要求部83bからVPN収容装置の変更要求を受信すると、選択情報記憶部42aによって記憶された選択情報を書き換える。具体的には、選択情報書換部43bは、選択情報において、変更要求に含まれるユーザIDとドメイン名に対応付けられたVPN収容装置IPアドレスを変更要求に応じて書き換える。例えば、選択情報記憶部42aは、図4に示す選択情報の「ドメイン名:a.co.jp、ユーザID:xxxx」に対応付けられた「IPアドレス:10.0.0.1」をVPN収容装置52のIPアドレスである「10.0.1.1」に書き換える。
【0062】
また、サービス制御サーバ80の切断要求部83cは、VPN接続認証サーバ60に対して現時点で確立されているセッションの切断要求を送信する。具体的には、切断要求部83cは、VPN収容装置の切り替えを行うユーザ端末10のユーザID及びドメイン名を含めたセッションの切断要求をVPN接続認証サーバ60に対して送信する。
【0063】
VPN接続認証サーバ60の認証部63aは、切断要求部83cによって送信された切断要求に含まれるユーザIDとドメイン名とを検索キーとしてセッション情報を検索し、該当するセッションのセッションIDを含むRADIUS Disconnect−Requestを、セッションを切断するVPN収容装置に送信する。例えば、認証部63aは、RADIUS Disconnect−RequestをVPN収容装置51に送信する。
【0064】
VPN収容装置は、RADIUS Disconnect−Requestを受信すると、RADIUS Disconnect−Requestに含まれるセッションIDのセッションを切断し、VPN接続認証サーバ60にRADIUS Disconnect−Ackを返す。そして、VPN接続認証サーバ60は、RADIUS Disconnect−Ackを受信すると、サービス制御サーバ80に対してセッションの切断が完了した旨の応答であるセッション切断応答を返す。
【0065】
上述したように、トンネル制御サーバ40が記憶する選択情報が書き換えられ、既に確立していたセッションが切断される。ここで、VPN終端装置20が、自動再接続機能により再度VPNの接続要求を送信すると、エッジルータ30によってL2TPトンネルが張られるVPN収容装置は、選択情報記憶部42aに記憶された書き換え後のIPアドレスで識別されるVPN収容装置である。すなわち、エッジルータ30は、VPN収容装置52との間にL2TPトンネルを張ることとなる。このように、実施例1に係るネットワーク接続制御システムでは、ユーザが利用するコンテンツを変えると、適切な通信品質のVPNに自動で切替えることが可能である。その結果、実施例1に係るネットワーク接続制御システムは、VPN終端装置20やユーザ端末10の設定変更無しに、サービスに応じてユーザ端末10の接続先VPNを動的に切替えることができ、利用者の利便性を向上させることを可能にする。
【0066】
[実施例1に係るネットワーク接続制御システムによる接続処理の手順]
次に、実施例1に係るネットワーク接続制御システム1による接続処理の手順について、図9を用いて説明する。図9は、実施例1に係るネットワーク接続制御システム1による接続処理の手順を示すシーケンス図である。
【0067】
図9に示すように、実施例1に係るネットワーク接続制御システム1においては、VPN終端装置20がエッジルータ30に対してVPN接続要求を送信すると(ステップS101)、VPN接続要求を受信したエッジルータ30は、トンネル制御サーバ40に対してユーザIDとドメイン名とを含めたAccess−Request信号をVPN収容装置決定要求として送信する(ステップS102)。
【0068】
そして、トンネル制御サーバ40は、エッジルータ30からVPN収容装置決定要求を受信すると、選択情報記憶部42aによって記憶された選択情報に基づいて、接続させるVPNを収容するVPN収容装置51を決定し(ステップS103)、決定したVPN収容装置51の情報を含むAccess−Accept信号を応答としてエッジルータ30に対して送信する(ステップS104)。
【0069】
エッジルータ30は、トンネル制御サーバ40からAccess−Accept信号を受信すると、決定されたVPN収容装置51に対して、VPN終端装置20から受信したVPN接続要求を転送する(ステップS105)。VPN収容装置51は、エッジルータ30からVPN接続要求を受信すると、VPN接続認証サーバ60に対して、Access−Request信号を認証要求として送信する(ステップS106)。VPN接続認証サーバ60は、VPN収容装置51から認証要求のAccess−Request信号を受信すると、ユーザ情報記憶部62aによって記憶されたユーザ情報に基づいてユーザ認証を行い(ステップS107)、認証結果を含む応答をVPN収容装置51に送信する(ステップS108)。例えば、VPN接続認証サーバ60は、接続許可の応答としてAccess−Accept信号をVPN収容装置51に送信する。また、VPN接続認証サーバ60は、接続不可の応答としてAccess−Reject信号をVPN収容装置51に送信する。
【0070】
そして、VPN収容装置51は、VPN接続認証サーバ60から応答を受信すると、認証結果をVPN接続応答として、VPN終端装置20に送信する(ステップS109)。ここで、接続が認証された場合には、VPNとの接続が完了する。
【0071】
そして、VPNとの接続が完了すると、ユーザ端末10は、コンテンツを利用するためのサービス要求をサービス提供サーバ70に送信する(ステップS110)。サービス提供サーバ70は、ユーザ端末10からサービス要求を受信すると、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス制御サーバ80にリダイレクトさせて認証要求を行う(ステップS111)。サービス制御サーバ80は、認証要求を受信すると、認証状態確認要求をVPN接続認証サーバ60に送信する(ステップS112)。VPN接続認証サーバ60は、サービス制御サーバ80から認証状態確認要求を受信すると、ユーザの認証状態を確認し(ステップS113)、認証結果を含む応答をサービス制御サーバ80に送信する(ステップS114)。
【0072】
サービス制御サーバ80は、VPN接続認証サーバから応答を受信すると、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス提供サーバ70にリダイレクトさせて認証応答を行う(ステップS115)。ここで、認証された場合には、ユーザ端末10においてサービス提供サーバ70からコンテンツが提供されることとなる。
【0073】
[実施例1に係るネットワーク接続制御システムによる接続切り替え処理の手順]
次に、実施例1に係るネットワーク接続制御システム1による接続切り替え処理の手順について、図10を用いて説明する。図10は、実施例1に係るネットワーク接続制御システム1による接続切り替え処理の手順を示すシーケンス図である。
【0074】
図10に示すように、実施例1に係るネットワーク接続制御システム1においては、ユーザ端末10が、サービス提供サーバ70に対してサービス要求を送信すると(ステップS201)、サービス提供サーバ70は、要求されたサービスに求められる通信品質を識別する(ステップS202)。ここで、VPNの変更が必要であると判定すると、サービス提供サーバ70は、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス制御サーバ80にリダイレクトさせてVPN変更要求を行う(ステップS203)。
【0075】
サービス制御サーバ80は、VPN変更要求を受信すると、トンネル制御サーバ40に対してVPN収容装置変更要求を送信する(ステップS204)。そして、トンネル制御サーバ40は、VPN収容装置変更要求を受信すると、選択情報に含まれるIPアドレスを変更し(ステップS205)、変更が完了した旨の情報である変更応答をサービス制御サーバ80に送信する(ステップS206)。
【0076】
サービス制御サーバ80は、変更応答を受信すると、VPN接続認証サーバ60にセッション切断要求を送信する(ステップS207)。VPN接続認証サーバ60は、セッション切断要求を受信すると、VPN収容装置51にセッション切断要求を転送する(ステップS208)。VPN収容装置51は、セッション切断要求を受信すると、セッションを切断し(ステップS209)、セッションの切断が完了した旨の情報であるセッション切断応答をVPN接続認証サーバ60に送信する(ステップS210)。VPN接続認証サーバ60は、VPN収容装置51からセッション切断応答を受信すると、サービス制御サーバ80にセッション切断応答を転送する(ステップS211)。
【0077】
[実施例1に係るネットワーク接続制御システムによる再接続処理の手順]
次に、実施例1に係るネットワーク接続制御システム1による再接続処理の手順について、図11を用いて説明する。図11は、実施例1に係るネットワーク接続制御システム1による再接続処理の手順を示すシーケンス図である。なお、図11においては、図10における処理の後の処理について示す。
【0078】
図11に示すように、実施例1に係るネットワーク接続制御システム1においては、VPN終端装置20は、自動再接続機能により、エッジルータ30に対してVPN接続要求を送信する(ステップS301)。エッジルータ30は、VPN終端装置20からVPN接続要求を受信すると、トンネル制御サーバ40に対してVPN収容装置決定要求を送信する(ステップS302)。
【0079】
そして、トンネル制御サーバ40は、エッジルータ30からVPN収容装置決定要求を受信すると、選択情報記憶部42aによって記憶された選択情報に基づいて、接続させるVPNを収容するVPN収容装置52を決定し(ステップS303)、決定したVPN収容装置52の情報を含む応答をエッジルータ30に対して送信する(ステップS304)。すなわち、トンネル制御サーバ40は、図10のステップS204においてIPアドレスが変更されたことにより、接続先を切り替えることとなる。
【0080】
エッジルータ30は、トンネル制御サーバ40から応答を受信すると、決定されたVPN収容装置52に対してVPN終端装置20から受信したVPN接続要求を転送する(ステップS305)。VPN収容装置52は、エッジルータ30からVPN接続要求を受信すると、VPN接続認証サーバ60に対して認証要求を送信する(ステップS306)。VPN接続認証サーバ60は、VPN収容装置52から認証要求を受信すると、ユーザ情報記憶部62aによって記憶されえたユーザ情報に基づいてユーザ認証を行い(ステップS307)、認証結果を含む応答をVPN収容装置52に送信する(ステップS308)。VPN収容装置52は、VPN接続認証サーバ60から応答を受信すると、認証結果をVPN接続応答として、VPN終端装置20に送信する(ステップS309)。ここで、接続が認証された場合には、VPNとの接続が完了する(ステップS310)。
【0081】
そして、VPNとの接続が完了すると、ユーザ端末10は、コンテンツを利用するためのサービス要求をサービス提供サーバ70に送信する(ステップS311)サービス提供サーバ70は、ユーザ端末10からサービス要求を受信すると、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス制御サーバ80にリダイレクトさせて認証要求を行う(ステップS312)。サービス制御サーバ80は、認証要求を受信すると、認証状態確認要求をVPN接続認証サーバ60に送信する(ステップS313)。VPN接続認証サーバ60は、サービス制御サーバ80から認証状態確認要求を受信すると、ユーザの認証状態を確認し(ステップS314)、認証結果を含む応答をサービス制御サーバ80に送信する(ステップS315)。
【0082】
サービス制御サーバ80は、VPN接続認証サーバから応答を受信すると、シングルサインオンプロトコルのSAMLに基づいて、ユーザ端末10のWebブラウザをサービス提供サーバ70にリダイレクトさせて認証応答を行う(ステップS316)。ここで、認証された場合には、ユーザ端末10においてサービス提供サーバ70からサービス利用が開始される(ステップS317)。
【0083】
[実施例1の効果]
上述したように、実施例1によれば、トンネル制御サーバ40のVPN収容装置決定部43aが、VPNが有する属性に基づいて、ユーザ端末10とサービス提供サーバ70とを接続させるVPNを選択する。そして、エッジルータ30が、VPN収容装置決定部43aによって選択されたVPNによりユーザ端末10とサービス提供サーバ70とを接続する。従って、実施例1に係るネットワーク接続制御システム1は、VPN終端装置20やユーザ端末10の設定変更無しに、ユーザ端末10に接続させるVPNを自動で切替えることができ、複数のデジタルコンテンツを利用する際のユーザの利便性を向上させることを可能にする。
【0084】
また、実施例1によれば、サービス提供サーバ70のVPN変更要求部73cが、ユーザ端末10によって要求されたコンテンツに係るデータの送受信に求められる通信品質を識別する。そして、トンネル制御サーバ40のVPN収容装置決定部43aがVPN変更要求部73cによって識別された通信品質を属性として有するVPNを選択する。従って、実施例1に係るネットワーク接続制御システム1は、VPN終端装置20やユーザ端末10の設定変更無しに、コンテンツごとに適切な通信品質のVPNに自動で切替えることができ、複数のコンテンツを利用する際のユーザの利便性をより向上させることを可能にする。
【0085】
また、実施例1によれば、VPN接続認証サーバ60の認証部63aが、ユーザ端末10を利用するユーザ情報に基づいて、ユーザ端末10をトンネル制御サーバ40の制御部43によって選択されたVPNに接続するか否かを認証する。そして、エッジルータ30が、認証部63aによってユーザ端末10をVPNに接続することが認証された場合に、トンネル制御サーバ40の制御部43によって選択されたVPNにユーザ端末10を接続する。従って、実施例1に係るネットワーク接続制御システム1は、接続が許可されたユーザのみが利用するネットワークを構築することを可能にする。
【0086】
また、実施例1によれば、認証部63aは、ユーザ端末10をサービス提供サーバに接続するか否かをさらに認証する。そして、認証要求部73aは、認証部63aによってユーザ端末10をサービス提供サーバ70に接続することが認証された場合に、ユーザ端末10をサービス提供サーバ70に接続する。従って、実施例1に係るネットワーク接続制御システム1は、コンテンツに利用するごとに必要であった利用者によるユーザIDやパスワードなどの入力を省略することができ、利用者の利便性をさらに向上させることを可能にする。
【0087】
また、実施例1によれば、ユーザ端末やVPN終端装置について、汎用品を利用することができ、容易に実現することが可能である。
【実施例2】
【0088】
これまで実施例1を説明したが、本願が開示する技術はこれらの実施例1に限定されるものではない。すなわち、これらの実施例は、その他の様々な形態で実施されることが可能であり、種々の省略、置き換え、変更を行うことができる。
【0089】
上述した実施例1では、トンネル制御サーバ40とVPN接続認証サーバ60とサービス制御サーバ80とがそれぞれコアネットワークに接続される場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、トンネル制御サーバ40、VPN接続認証サーバ60、サービス制御サーバ80それぞれの機能を持たせた1つのサーバをコアネットワークに接続する場合であってもよい。
【0090】
また、上述した実施例1では、VPNの属性として通信品質を用いる場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、VPNの属性としてセキュリティを用いる場合であってもよい。かかる場合には、例えば、本願のネットワーク接続制御システムは、高いセキュリティを有するVPNと、低いセキュリティを有するVPNとを、提供するデジタルコンテンツに基づいて自動で切替えるように制御する。
【0091】
また、上述した実施例1では、通信品質が保証されていないVPNから通信品質が保障されたVPNに接続を切替える場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、通信品質が保障されたVPNから通信品質が保証されていないVPNに切替える場合であってもよい。
【0092】
また、例えば、各装置の分散・統合の具体的形態(例えば、図4の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、ユーザ情報記憶部62aとセッション情報記憶部62bとを一つの記憶部として統合してもよく、一方、認証部63aを、VPN接続を認証するVPN接続認証部と、サービス提供サーバ70に接続する際の認証を行う接続認証部とに分散してもよい。
【0093】
また、制御部43をトンネル制御サーバ40の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、VPN収容装置決定部43a、選択情報書換部43bを別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したトンネル制御サーバ40の機能を実現するようにしてもよい。
【0094】
これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0095】
1 ネットワーク接続制御システム
10 ユーザ端末
20 VPN終端装置
30 エッジルータ
40 トンネル制御サーバ
51、52 VPN収容装置
60 VPN接続認証サーバ
70 サービス提供サーバ
80 サービス制御サーバ
【特許請求の範囲】
【請求項1】
コンテンツが利用される利用者端末と、
仮設私設網を介して前記利用者端末にコンテンツを提供する提供サーバと、
前記利用者端末と前記提供サーバとの間を複数の仮設私設網のいずれかにより接続させる接続制御サーバとを備えたネットワーク接続制御システムであって、
前記接続制御サーバが、
前記仮設私設網が有する属性に基づいて、前記利用者端末と前記提供サーバとを接続させる仮設私設網を選択する選択手段と、
前記選択手段によって選択された仮設私設網により前記利用者端末と前記提供サーバとを接続する接続手段とを、
備えたことを特徴とするネットワーク接続制御システム。
【請求項2】
前記提供サーバが、
前記利用者端末によって要求されたコンテンツに係るデータの送受信に求められる通信品質を識別する識別手段を備え、
前記選択手段が、前記識別手段によって識別された通信品質を前記属性として有する仮設私設網を選択することを特徴とする請求項1に記載のネットワーク接続制御システム。
【請求項3】
前記接続制御サーバが、
前記利用者端末を利用する利用者情報に基づいて、前記選択手段によって選択された仮設私設網に当該利用者端末を接続するか否かを認証する認証手段をさらに備え、
前記接続手段は、前記認証手段によって前記利用者端末を前記仮設私設網に接続することが認証された場合に、前記選択手段によって選択された仮設私設網に前記利用者端末を接続することを特徴とする請求項1又は2に記載のネットワーク接続制御システム。
【請求項4】
前記認証手段は、前記利用者端末を前記提供サーバに接続するか否かをさらに認証し、
前記接続手段は、前記認証手段によって前記利用者端末を前記提供サーバに接続することが認証された場合に、当該利用者端末を前記提供サーバに接続することを特徴とする請求項3に記載のネットワーク接続制御システム。
【請求項5】
コンテンツが利用される利用者端末と、
仮設私設網を介して前記利用者端末にコンテンツを提供する提供サーバと、
前記利用者端末と前記提供サーバとの間を複数の仮設私設網のいずれかにより接続させる接続制御サーバとを備えたシステムで実行されるネットワーク接続制御方法であって、
前記提供サーバによって、
前記接続制御サーバによって、
前記仮設私設網が有する属性に基づいて、前記利用者端末と前記提供サーバとを接続させる仮設私設網を選択する選択工程と、
前記選択工程によって選択された仮設私設網により前記利用者端末と前記提供サーバとを接続する接続工程と、
が実行されることを特徴とするネットワーク接続制御方法。
【請求項1】
コンテンツが利用される利用者端末と、
仮設私設網を介して前記利用者端末にコンテンツを提供する提供サーバと、
前記利用者端末と前記提供サーバとの間を複数の仮設私設網のいずれかにより接続させる接続制御サーバとを備えたネットワーク接続制御システムであって、
前記接続制御サーバが、
前記仮設私設網が有する属性に基づいて、前記利用者端末と前記提供サーバとを接続させる仮設私設網を選択する選択手段と、
前記選択手段によって選択された仮設私設網により前記利用者端末と前記提供サーバとを接続する接続手段とを、
備えたことを特徴とするネットワーク接続制御システム。
【請求項2】
前記提供サーバが、
前記利用者端末によって要求されたコンテンツに係るデータの送受信に求められる通信品質を識別する識別手段を備え、
前記選択手段が、前記識別手段によって識別された通信品質を前記属性として有する仮設私設網を選択することを特徴とする請求項1に記載のネットワーク接続制御システム。
【請求項3】
前記接続制御サーバが、
前記利用者端末を利用する利用者情報に基づいて、前記選択手段によって選択された仮設私設網に当該利用者端末を接続するか否かを認証する認証手段をさらに備え、
前記接続手段は、前記認証手段によって前記利用者端末を前記仮設私設網に接続することが認証された場合に、前記選択手段によって選択された仮設私設網に前記利用者端末を接続することを特徴とする請求項1又は2に記載のネットワーク接続制御システム。
【請求項4】
前記認証手段は、前記利用者端末を前記提供サーバに接続するか否かをさらに認証し、
前記接続手段は、前記認証手段によって前記利用者端末を前記提供サーバに接続することが認証された場合に、当該利用者端末を前記提供サーバに接続することを特徴とする請求項3に記載のネットワーク接続制御システム。
【請求項5】
コンテンツが利用される利用者端末と、
仮設私設網を介して前記利用者端末にコンテンツを提供する提供サーバと、
前記利用者端末と前記提供サーバとの間を複数の仮設私設網のいずれかにより接続させる接続制御サーバとを備えたシステムで実行されるネットワーク接続制御方法であって、
前記提供サーバによって、
前記接続制御サーバによって、
前記仮設私設網が有する属性に基づいて、前記利用者端末と前記提供サーバとを接続させる仮設私設網を選択する選択工程と、
前記選択工程によって選択された仮設私設網により前記利用者端末と前記提供サーバとを接続する接続工程と、
が実行されることを特徴とするネットワーク接続制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2012−165199(P2012−165199A)
【公開日】平成24年8月30日(2012.8.30)
【国際特許分類】
【出願番号】特願2011−24331(P2011−24331)
【出願日】平成23年2月7日(2011.2.7)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年8月30日(2012.8.30)
【国際特許分類】
【出願日】平成23年2月7日(2011.2.7)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]