JP5177366B2 - サービス提供システム、フィルタリング装置、及びフィルタリング方法 - Google Patents
サービス提供システム、フィルタリング装置、及びフィルタリング方法 Download PDFInfo
- Publication number
- JP5177366B2 JP5177366B2 JP2007220502A JP2007220502A JP5177366B2 JP 5177366 B2 JP5177366 B2 JP 5177366B2 JP 2007220502 A JP2007220502 A JP 2007220502A JP 2007220502 A JP2007220502 A JP 2007220502A JP 5177366 B2 JP5177366 B2 JP 5177366B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- content
- message
- bandwidth
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001914 filtration Methods 0.000 title claims description 109
- 238000000034 method Methods 0.000 title claims description 36
- 230000002159 abnormal effect Effects 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 9
- 230000010365 information processing Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 101100295776 Drosophila melanogaster onecut gene Proteins 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Tourism & Hospitality (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Development Economics (AREA)
- Data Mining & Analysis (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、上位層プロトコルにおいて行うフィルタリング方法に関する。詳しくは、意図しない情報を排除し、IP(Internet Protocol)ネットワーク回線の通信帯域を確保する技術に関する。
近年、IPネットワークを利用した電話サービスが急速に普及してきている。IPネットワークを利用した通信サービスには、電話サービスによる音声通話を始め、テレビ電話、動画通信、情報の自動取得、コンテンツ配信など様々なサービスがある。このようなサービスを実現し、より良いサービスを提供する為、様々な技術の開発が行われている。前述の様々なサービスは、実現されているものの更なる改善の余地を有し、特にセキュリティー面の改善が望まれる。
セキュリティー関連の技術としては、ルータなどがネットワーク層で行うポート番号によるフィルタリングや下位層で行われるMAC(Media Access Control)アドレスによるフィルタリングなどが挙げられる。これらのフィルタリングを行うことで、不要な情報や異常な情報を排除している。しかしながら、ポートによるフィルタリングやMACアドレスによるフィルタリングでは、防げない不要な情報や異常な情報もある。例えば、悪意のある人間から送信されるフィルタを回避可能とした情報や、正規の使用者が情報処理器機を誤操作することによって送信する誤った情報、情報処理器機の故障や誤設定による誤った情報などが挙げられる。セキュアなサービスやシステムの構築には、例示した様な情報の排除が重要となる。
このような例示した情報を選別し排除する為、様々な試みが成されている。
例えば、特許文献1には、HTTP等のプロトコルにおいてパケットによるフィルタリングを行うシステムが開示されている。詳しくは、システムが、受信したパケットを、下位層で解析させた上位層の宣言プロトコルとリクエストラインに記載された実際の使用プロトコルとを用いて比較し、不一致であれば排除するフィルタリングシステムが記載されている。
特許文献2には、VoIP(Voice over Internet Protocol)で不要な情報を排除する為、使用するセッション制御プロトコルのヘッダー情報を解析し、発信元電話番号とIPアドレスから許容した通信相手からかどうかを判別しフィルタリングする方法が開示されている。
特許文献3には、悪意のある人間から送信される下位層フィルタを回避した情報を排除する為、セッション制御プロトコルのセッション確立用メソッドを不必要に多数送信してくる端末を排除する為、セッション確立用メソッドの特定端末からの受信回数をカウントし、閾値以上であれば排除するゲートウェイが開示されている。
特許文献4には、悪意のある人間から送信される下位層フィルタを回避した情報を排除する為、セッション制御プロトコルを用いて行う特定の動作を悪意のある動作として記憶しておき、悪意が予測される特定の動作を行うメソッドが記述されたパケットを排除するパケットフィルタリング装置が開示されている。
上記特許文献に記載された内容の様に、通信サービスを提供するシステムは様々な方法を用いて不要な情報の排除を試みている。
上記例示した中で、特許文献2ないし3は、悪意ある攻撃として多用される所謂DoS攻撃及びDDoS攻撃に対抗する技術として記載されている。これにたいして、特許文献4は、上記攻撃に加え、所謂ワン切り対策が記載されている。DoS攻撃、DDoS攻撃は、Webサーバの攻撃の方法として、ワン切りは、電話サービスサーバに対する攻撃の方法として知られている。
即ち、新たなサービスを提供するシステムは、DoS攻撃、DDoS攻撃、ワン切り等、従来から知られている攻撃方法の対策が必要となる。更に、システムの高度化や高速化、高品質化に伴い、従来は問題と捉えない事柄も新たな問題と捉えなおし、対策する必要がある。
これは、技術革新が激しいIT業界においては、新たなシステムやサービスを構築すれば、新たな問題が発生することが多いからである。この発生する問題は、従来考えられなかったことがらが多い。合わせて、システムの高度化や高速化、高品質化に伴い、従来は問題と捉えない事柄も新たな問題と捉えなおし、対策する必要がある。
そこで、本願発明の目的は、動画配信や音声通信などに利用されているQoS(Quality of Service)技術を用いて帯域保証を行うサービスシステムに着目し、先行して課題の解決を図る。合わせて、不要な情報の排除できるセキュアな帯域保証が可能なサービス及びシステムを提供することにある。
本発明のサービス提供システムは、ユーザ端末とネットワークを介して接続し、ユーザ端末の要求に応じて、要求されたデータを送信するサービスを提供するサービス提供システムにおいて、前記サービス提供システムは、ユーザ端末が送信する所望のデータを要求する上位層プロトコルで記載された要求メッセージをフィルタリングするフィルタリング機能を備え、前記フィルタリング機能は、前記要求メッセージを取得してボディー部分を解析可能として、前記要求メッセージのボディー部分を参照して前記要求メッセージに含まれていた帯域情報を取得し、該取得した帯域情報と 予め記録されている前記要求されたデータの帯域情報とを比較し、不要な情報や異常な情報が含まれているかを判断して、要求内容に不要な情報や異常な情報が含まれていれば、前記要求メッセージを予め定めた様に処理することを特徴とする。
本発明によれば、QoS(Quality of Service)技術を用いた帯域保証型サービスシステムにフィルタを設定し、不要な情報の排除を可能とするセキュアな帯域保証を行ったサービス及びシステムを提供できる。
本発明を実施の一形態を用いて説明する。また、実施の一形態を図1ないし図6に基づいて説明する。
図1は、本願発明のフィルタリング方法を用いたコンテンツ配信システムを概略的に示すブロック図である。
コンテンツ配信システム10は、コンテンツ配信サービスのサービス提供先であるコンテンツを所望するサービス受益者が使用するユーザ端末20の要求に応じ、コンテンツを提供する。コンテンツ配信システム10には、サービスを管理し受益者にサービスを提供可能とするポータルサーバ200と、コンテンツを格納し、要求に応じコンテンツデータを配信する配信サーバ300と、コンテンツデータの通信経路の帯域を制御し確保する帯域保証ネットワーク100とで構成されている。
ユーザ端末20は、所謂パソコンであって、制御部を始め、ROM、RAM、入出力部、記憶装置、ネットワーク制御部を有し、ネットワークに接続している。ユーザ端末20は、コンテンツ配信サービスを享受できればどの様な構成でも良く、パソコン以外でも、例えば、携帯電話やPDA(Personal Digital Assistants)などでも良い。
帯域保証ネットワーク100は、概略的に、セッション確立等を行うセッション制御サーバ400、ルータ等で構成されデータの転送や破棄を行うネットワーク装置500、各種プロトコロメッセージをフィルタリングするフィルタリング装置600、セッション制御サーバ400からの帯域制御要求に応じネットワーク装置500に対して帯域確保および帯域解放などの帯域制御及び帯域確保を行う帯域制御装置700から構成されている。
ポータルサーバ200は、一般的なWebサーバやデータベース等で構築されたサーバ群であって、ネットワークに接続されている。ポータルサーバ200には、ユーザ端末20からのコンテンツ要求(コンテンツの視聴、取得等、に関する要求)を受け、コンテンツへのアクセス権の設定やアクセス権の許可を行う。
配信サーバ300は、データベースサーバ等で構築されたサーバ群であって、多数のコンテンツデータを格納し、ネットワークに接続されている。コンテンツデータは映像ファイルを始め、音楽ファイル、アプリケーションファイル、テキストファイル等であって、コンテンツ配信サービスの種類による。
セッション制御サーバ400は、SIPなどのセッション制御プロトコルを認識可能であって、アドレス解決やセッション制御を行う。本実施の一形態では、帯域制御装置700に帯域確保の指示も行う。また、配信サーバ300とも通信し、ユーザ端末20の情報を送信する。
ネットワーク装置500は、ルータやブリッジ、ハブ等のネットワークセグメントの集合体である。ネットワーク装置500は、ネットワーク装置500を介する通信データのQoS制御機能を有しており、コンテンツデータの流れる経路の通信帯域を確保可能である。
フィルタリング装置600は、各種プロトコルを認識可能なアプリケーションサーバを搭載したサーバである。フィルタリング装置600は、ユーザ端末20からのセッション制御メッセージを受信し、解析し、内容をセッション制御サーバ400等に送信する。フィルタリング装置600はポータルサーバ200と連携しており、ユーザ端末20からのコンテンツ要求が記載されたセッション制御メッセージを受信し、メッセージを解析して必要に応じて破棄やエラー送信、転送等の動作を行う。詳細は図2を用いて後述する。
帯域制御装置700は、QoS制御(帯域制御)可能なアプリケーションサーバである。セッション制御サーバ400から帯域確保要求を受信し、ネットワーク装置500に対して帯域確保(ポート確保、ポート開閉等)、QoS制御(ToS値変更/優先制御)等を行う。尚、レイヤー2ないし4の制御を行う為、AdvancedTCA(次世代キャリアグレードプラットフォーム)に準拠したブレードサーバなどで構築すれば良い。
尚、上記説明では省略したが、各サーバ並びに装置は、制御部を始め、ROM、RAM、記憶装置(データベース)等を有し、各種情報処理を行い、ネットワークを介して通信可能である。
また、図1記載の矢印は各装置間がネットワークを介して通信可能であることを示す。各サーバ並びに装置はインターネットなどのネットワークに接続され、少なくとも矢印を記載した装置間で通信可能である。
図2は、フィルタリング装置600の概略的な構成を示すブロック図である。
フィルタリング装置600は、制御部、ROM、RAM、補助記憶装置、入力部、出力部、ネットワークインターフェイス等で構成された情報処理装置である。
フィルタリング装置600には、必要に応じハブやルータ機能が設けられ、2層(データリンク層)、3層(ネットワーク層)でのフィルタリングを行うことも可能である。
補助記憶装置は、HDD、フラッシュROM等、情報を記憶できればどの様なものでも良い。補助記憶装置には、OSの他に各種アプリケーションソフトが格納されており、様々な機能を実現する。同じく、補助記憶装置は、データベースとして機能し、提供するサービスに対して悪意ある行動を行うユーザ端末の情報を悪意ユーザ情報として、コンテンツの識別子や再生に適した帯域幅などのコンテンツの情報をコンテンツ情報として格納される。また、補助記憶装置には、ポータルサーバ200から提供されたコンテンツ情報や各種装置のアドレス、システムの稼動状況等が、必要に応じて格納される。
尚、制御部を始め、補助記憶装置など全てが冗長構成であることが望ましい。
図3は、フィルタリング装置600のフィルタリング機能の動作を示すフローチャートである。
フィルタリング装置600の制御部は、プログラムに従い、ネットワークを介して受信するフィルタリング対象となる、メッセージ(パケット、データ列)を抽出する(ステップS301)。
フィルタリング装置600の制御部は、抽出したメッセージを解読し、メッセージの内容を取得する(ステップS302)。
フィルタリング装置600の制御部は、データベースに記録されている悪意ユーザ情報を取得し、メッセージ出所を判定し、悪意ユーザ情報に記録されたユーザ端末20からのメッセージであればメッセージを破棄する(ステップS303)。
フィルタリング装置600の制御部は、データベースに記録されている帯域情報を始め、各種情報を取得し、メッセージの内容に誤りが無いか判定し、誤りメッセージであればメッセージを破棄する。(ステップS304)。
フィルタリング装置600の制御部は、フィルタリング後のメッセージを次装置に送信する。(ステップS305)。
ここで、フィルタリング装置600が行うフィルタリングの特徴は、セッション層以上の階層でフィルタリングを行うことにある。即ち、セッション層以上のメッセージ(パケット、データ列)を取得し、内容を解析し、悪意あるユーザから発せられたメッセージや誤操作や故障で発生した誤ったメッセージ等の不要なメッセージを排除することに特徴がある。尚、下位層(2〜4層)でのフィルタリングも合わせて行えば更に効果的である。
尚、フィルタリングするメッセージの例は、セッション確立用メッセージであるSIPメッセージメソット(INVITEメッセージメソット)等が挙げられる。また、Re‐INVITE、UPDATEでも構わない。
同じく、フィルタリングするメッセージ内容の例は、ヘッダー部分の識別子(URLや拡張子、ファイル名等)や、ボディー部分に記載される内容サービス種別、要求コンテンツ、要求帯域幅、ポート番号及びそれらの組み合わせが挙げられる。ボディー部分とは、INVITEメッセージメソットであれば、SDP(Session Description Protocol)で記載された部分に当たる。
尚、コンテンツ配信サービスでは、特に、要求コンテンツの識別子(URLや拡張子、ファイル名等)と、当該要求コンテンツの転送や再生に適した予め規定された帯域幅とが正確であるかどうかをフィルタリングすることが重要となる。
このような構成において、本発明の実施の一形態であるコンテンツ配信システム10は、帯域保証を行ったコンテンツ配信サービスをセキュアに提供できる。
図4ないし図6を用いてコンテンツ配信システム10の全体の動作を説明する。
図4は、コンテンツ配信システム10の全体の動作を示したフローチャートである。
コンテンツ配信システム10と、コンテンツを取得するサービス利用者が使用するユーザ端末20とは、ネットワークを介して接続している。
ユーザ端末20は、ネットワークを介して、ポータルサーバ200にアクセス可能であって、HTTP等を使用しポータルサーバの有するWebサーバ機能にアクセス可能とする。
ポータルサーバ200は、Webサーバ機能を用いて、サービス利用者に提供可能なコンテンツ等を開示し、サービス利用者がユーザ端末20のブラウザ機能などを使用し、コンテンツを選択可能とする。
配信サーバ300は、多数のコンテンツを格納するデータサーバとして働き、ポータルサーバ200の許可を受けて、ユーザ端末20のアクセスを許容し、コンテンツの要求に応じてコンテンツを提供可能とする。
帯域保証ネットワーク100は、ポータルサーバ200、配信サーバ300と情報をやり取りし、ユーザ端末20と配信サーバ300とのコンテンツの提供に使用する回線の帯域を確保する。
本動作説明では、ユーザ端末20がポータルサーバ200にアクセスし、所望のコンテンツ(コンテンツA)に関する情報を取得し、当該情報を用いて配信サーバ300にアクセスすることとする。更に、ユーザ端末20と配信サーバ300とは、セッションの確立にはSIPを用い、コンテンツの提供にはRTSP(Real Time Streaming Protocol)、RTP(Realtime Transport Protocol)を使用することとする。
コンテンツに関する情報とは、配信サーバ300にアクセスする経路、要求帯域領域を少なくとも含み、提供するコンテンツやサービスごとに適時定められ、ユーザ端末20に提供される。
ユーザ端末20は、ポータルサーバ200から取得したコンテンツAに関する情報に従い、配信サーバに格納されたコンテンツAにアクセスを試みる(ステップS401)。
帯域保証ネットワーク100を構成するフィルタリング装置600は、ユーザ端末20が送信したコンテンツAにアクセスするメッセージを取得する(ステップS402)。
尚、ユーザ端末20から送信されるメッセージは、パケットに分割されているが、メッセージに結合させなくてもパケットの状態で取得すれば良い。
フィルタリング装置600は、取得したメッセージのヘッダー部分及びボディー部分を解析する(ステップS403)。
尚、解析は、メッセージに合成しなくても、パケットの状態で行っても良い(パケットフィルタリング)。一例としては、ユーザ端末20がポータルサーバ200から取得するコンテンツに関する情報に、パケットに関する情報を付加すれば良い。
フィルタリング装置600は、メッセージの解析結果と内蔵するデータベース610に記録されている悪意ユーザ情報とを比較し、悪意ユーザ情報に記載があるユーザ端末20ならばメッセージ全体を破棄する。フィルタリング装置600は、データベース610に記録されている予めポータルサーバ200から取得済みのコンテンツAに関する情報とユーザ端末20から送信されたコンテンツAに関する情報とを比較し、誤りがあればメッセージ全体を破棄する。フィルタリング装置600は、比較したメッセージが正当であれば、セッション制御サーバ400にコンテンツAにアクセスするメッセージを送信する(ステップS404)。
尚、フィルタリング装置600が行う比較は、ポータルサーバ200からユーザ端末20に提供された情報と、フィルタリング装置600がポータルサーバ200から取得した情報とを比較することで、ユーザ端末20によって意図的に改編されていないこと、故障等により不具合を生じさせる情報に変化していないことを確認する為に行う。即ち、同じ情報であるはずのコンテンツ情報を、ユーザ端末20経由とそれ以外の信用が置けるルートから取得したコンテンツ情報と比較することで、不要な情報を排除可能とする。
尚、フィルタリングは、メッセージの破棄に限らなくとも良く、エラー送信や悪意ユーザ情報に登録することなども可能である。
セッション制御サーバ400は、フィルタリング装置600から送信されたコンテンツAにアクセスするメッセージを受信し、メッセージ内容を取得し、取得したメッセージに従い帯域制御装置700に帯域確保を指示する。帯域確保の指示を受けた帯域制御装置700は、ネットワーク装置500を制御し、指示された帯域を予約する。ネットワーク装置500は、ポートの開閉やリソースの分配を行い、帯域を確保する(ステップS405)。
セッション制御サーバ400は、コンテンツAにアクセスするメッセージを配信サーバ300に送信する(ステップS406)。
配信サーバ300は、コンテンツAにアクセスするメッセージを受信し、内容を解析し、ユーザ端末20との間でセッションの確立を行う(ステップS407)。
ユーザ端末20は、配信サーバ300との間でセッションの確立を行う(ステップS408)。
配信サーバ300は、コンテンツAを、ユーザ端末20に送信する(ステップS409)。
ユーザ端末20は、配信サーバ300から受信したコンテンツAを取得し、必要に応じて再生などを行う。(ステップS408)。
尚、ステップS409で送信されるコンテンツAが通過する経路は、帯域保証ネットワーク100がステップS405で帯域保証しており、コンテンツAの送信に帯域問題を発生させない様に確保されている。
このようにして、コンテンツ配信サービスを提供するコンテンツ配信サービス10は、ユーザ20の要求に応じてコンテンツを提供できる。
更に、コンテンツ配信サービス10は、ユーザ端末20から送信されるメッセージに改編が合った場合にフィルタリングできる。
帯域保証ネットワーク100で行われるメッセージのフィルタリングを詳しく説明する為、SIPとRTSPとを例示し、詳細に説明する。
図5は、フィルタリング機能がSIPをフィルタリングする動作を示すフローチャートである。
フィルタリング機能は、ネットワークを介して送信されてくる、メッセージ(パケット、データ列)を解析し、予め定められたメッセージであるINVITEメッセージを抽出し取得する(ステップS501)。
フィルタリング機能は、抽出したINVITEメッセージのヘッダー(送信元情報、アドレス情報等)とボディー部分(SDPで記述された内容)を解析し取得する(ステップS502)。
フィルタリング機能は、ヘッダーに記録されている送信元情報等と悪意ユーザ情報とを比較し、悪意ユーザ情報に記録された送信元であれば、メッセージを破棄する(ステップS503)。
フィルタリング機能は、ボディー部に記録されている各種情報(帯域情報や種類(拡張子))等と、予め取得済みである正式な情報とを比較し、誤り等があれば、メッセージの破棄や修正等の処理を行う(ステップS504)。
フィルタリング機能は、メッセージに問題が無ければINVITEメッセージを次装置(SIPサーバ)に送信する(ステップS505)。
尚、ステップS503無いしS504でメッセージの送信元が悪意ユーザと判断した場合には、当該メッセージの送信端末を悪意ユーザと識別し、悪意ユーザ情報を記録する。
尚、メッセージに誤りがあることを認識する動作は、悪意を認識できた場合、即ち、同様のメッセージを繰り返し送信するユーザ端末を認識した場合、攻撃を連想する動作の指示がメッセージのボディー部に記載されていた場合、異常な帯域幅を要求する場合、同時的に複数のユーザ端末から同様の処理を求められた場合、正常に帯域確保を行った直後に、セッション切断要求が送信される等、帯域確保と解放を繰り返し要求する場合、不正なサーバ経由(端末経由)からのメッセージを受信した場合等が挙げられる。
図6は、フィルタリング機能がRTSPをフィルタリングする動作を示すフローチャートである。
フィルタリング機能は、ネットワーク装置500から送信されてくる、メッセージ(パケット、データ列)を解析し、予め定められたメッセージであるRTSPメッセージを抽出し取得する(ステップS601)。
フィルタリング機能は、抽出したRTSPメッセージのヘッダー(送信元情報、アドレス情報等)とボディー部分(SDPで記述された内容)を解析し取得する(ステップS602)。
フィルタリング機能は、ヘッダーに記録されているユーザ端末20が送信した情報等(URL、ポート番号等)と悪意ユーザ情報等とを比較し、SDPの内容が不正であれば、メッセージの破棄やエラーの送信等を行う(ステップS603)。
フィルタリング機能は、ボディー部にSDPとして記録されている各種情報(帯域情報や種類(拡張子))等と、予め取得済みである正式な情報とを比較し、誤り等があれば、メッセージの破棄や修正等の適時処理する(ステップS604)。
フィルタリング機能は、RTSPメッセージに問題が無ければRTSPメッセージを次装置(ネットワーク装置500)に送信する。(ステップS605)。
尚、RTSPメッセージを、フィルタリング装置600を介さずにユーザ端末20と配信サーバ300とが通信する様にシステムを構築した場合には、ネットワーク装置500とフィルタリング装置600とが協力し、RTSPメッセージの内容に、誤りや不正が無いか確認する。確認の方法としては、フィルタリング装置600がネットワーク装置500からユーザ端末20が送信したRTSPメッセージの内容を取得し、内容をフィルタリングし、誤りや不正があれば回線の切断の指示や悪意ユーザ情報の更新などの動作を適時行い確認する。
このようなフィルタリング機能において、フィルタリング装置600は、悪意のあるユーザから送信されたセッション制御メッセージをフィルタリングできる。
更に、セッション制御メッセージをフィルタリングすることで、帯域制御装置700に不要なメッセージを送信しないシステムが構築できる。即ち、帯域制御装置700が必要以上に帯域確保を行うことを防止できる。
また、セッション制御メッセージをフィルタリングすることで、不要な情報や異常な情報を排除できる。即ち、悪意のある人間から送信されるフィルタを回避可能とした情報や、正規の使用者が情報処理器機を誤操作することによって送信する誤った情報、情報処理器機の故障や誤設定による誤った情報などを排除できる。
本発明におけるフィルタリング装置600を用いることで、不正な帯域確保要求を含むメッセージをフィルタリングすることが可能となる。
更に、フィルタリングすることで、配信サーバ300に悪意あるセッション制御メッセージが届かない為、不必要なサービスリソースを必要としないシステムが構築できる。
更に、有限なネットワークの通信帯域を無駄に消費しないシステムが構築できる。
更に、DoS攻撃、DDoS攻撃、ワン切り対策が可能な、システムを提供できる。
更に、QoS技術を用いたシステムに対する攻撃に対応可能な、システムを提供できる。
即ち、セキュアなサービスやシステムを提供できる。
尚、本実施例で説明したメッセージとは、上位層プロトコルのメッセージメソッドを指している。即ち、フィルタリングは、SIPやRTSPの例示以外にもHTTP、SMTP、FTP等にも適応できる。
尚、フィルタリング装置600がポータルサーバ200から取得するコンテンツ情報(URLや帯域情報等)は、配信サーバ300から取得してもよいし、他のサーバから取得しても良い。即ち、正規の情報源から取得できれば良い。
尚、本形態においては、映像コンテンツ配信システムを例に挙げて説明したが、本発明は、音声コンテンツを配信するものにも適用できる。また他のサービスにも適応できる。
更に、フィルタリング装置600においては、SIPメッセージおよびRTSPメッセージを例に説明したが、サービスを提供する為などにシステムが使用するプロトコルであれば、フィルタリングを行う効果がある。即ち、必要に応じてフィルタリングするメッセージやプロトコル、パケットなどを変更しても良い。
10 コンテンツ配信システム(サービス提供システム)
20 ユーザ端末
100 帯域保証ネットワーク
200 ポータルサーバ(管理サーバ)
300 配信サーバ(データサーバ、データベース)
400 セッション制御サーバ
500 ネットワーク装置(ルータ、スイッチ等)
600 フィルタリング装置
700 帯域制御装置
20 ユーザ端末
100 帯域保証ネットワーク
200 ポータルサーバ(管理サーバ)
300 配信サーバ(データサーバ、データベース)
400 セッション制御サーバ
500 ネットワーク装置(ルータ、スイッチ等)
600 フィルタリング装置
700 帯域制御装置
Claims (13)
- ユーザ端末とネットワークを介して接続し、ユーザ端末の要求に応じて、要求されたデータを送信するサービスを提供するサービス提供システムにおいて、
前記サービス提供システムは、
ユーザ端末が送信する所望のデータを要求する上位層プロトコルで記載された要求メッセージをフィルタリングするフィルタリング機能を備え、
前記フィルタリング機能は、前記要求メッセージを取得してボディー部分を解析可能として、
前記要求メッセージのボディー部分を参照して前記要求メッセージに含まれていた帯域情報を取得し、該取得した帯域情報と 予め記録されている前記要求されたデータの帯域情報とを比較し、不要な情報や異常な情報が含まれているかを判断して、要求内容に不要な情報や異常な情報が含まれていれば、前記要求メッセージを予め定めた様に処理する
ことを特徴とするサービス提供システム。 - ネットワークを介してデータサーバとユーザ端末とを接続し、コンテンツを提供するサービス提供システムにおいて、
前記サービス提供システムは、
コンテンツへのアクセスを管理するサーバと、コンテンツを格納するデータサーバと、前記データサーバからユーザ端末へのコンテンツの提供に使用する通信経路を管理すると共に該通信経路の帯域保証を行う帯域保証ネットワークと、を用いて、
ユーザ端末から送信されるコンテンツの要求を解析し、
前記コンテンツの要求に記述されているコンテンツの提供に関する帯域情報を取得し、
前記取得したコンテンツの提供に関する帯域情報と予め記録されている前記要求されたコンテンツに関する帯域情報とを比較して、不要な情報や異常な情報が含まれるか解析処理し、
前記コンテンツの要求を正常なコンテンツの要求と判断すれば、前記コンテンツの要求に従いコンテンツを提供する一方、前記コンテンツの要求を不要な情報や異常な情報が含まれるコンテンツの要求と判断すれば、前記コンテンツの要求を受け付けない
ことを特徴とするサービス提供システム。 - 請求項2記載のサービス提供システムにおいて、
前記コンテンツの要求を解析し、正常なコンテンツの要求と判断して要求に従いコンテンツを提供する場合に、
前記データサーバと前記ユーザ端末とを接続可能とすると共に、前記コンテンツ要求で要求されているコンテンツの提供に使用する前記通信経路の帯域確保(帯域保証)を、前記コンテンツ要求に含まれていた帯域情報に基づいて行う
ことを特徴とするサービス提供システム。 - 請求項3記載のサービス提供システムにおいて、
前記コンテンツの要求を解析し、正常なコンテンツの要求と判断した際に行う前記通信経路の帯域確保(帯域保証)は、
前記帯域保証ネットワークを構成する一装置である帯域制御装置がネットワーク装置を制御することで帯域確保(帯域保証)する
ことを特徴とするサービス提供システム。 - 帯域保証ネットワークにおいて使用されるメッセージのフィルタリングを行なう装置であって、
前記フィルタリングを行う装置の制御部は、
フィルタリングとして、ユーザ端末から送信されるセッション制御プロトコルのメッセージを取得可能とし、当該メッセージのヘッダー部及びボディー部を解析して、予め管理者から指定された帯域情報と、前記ユーザ端末から送信された前記メッセージに記述された帯域情報とを比較し、当該比較結果を用いて前記メッセージに不要な情報や異常な情報が含まれると判断すれば、当該メッセージをフィルタリングする
ことを特徴とする装置。 - 帯域保証ネットワークにおいて使用されるSIPメッセージのフィルタリング装置であって、
前記フィルタリング装置の制御部は、
ユーザ端末から送信されるSIP(Session Initiation Protocol)メッセージを取得し、当該SIPメッセージのボディー部に記載されている帯域情報を取得し、
当該帯域情報と、ユーザ端末の要求する接続先が予め指定する帯域情報とが、一致するか判断する
ことを特徴とするフィルタリング装置。 - 帯域保証ネットワークにおいて使用されるRTSP(RealTime Streaming Protocol)メッセージのフィルタリング装置であって、
前記フィルタリング装置の制御部は、
ユーザ端末から送信されるRTSPメッセージを取得し、当該RTSPメッセージのボディー部に記載されている帯域情報を取得し、
当該帯域情報と、ユーザ端末の要求する接続先が予め指定する帯域情報とが、一致するか判断する
ことを特徴とするフィルタリング装置。 - ユーザ端末とネットワークを介して接続し、ユーザ端末の要求に応じて、要求されたデータを送信するサービスを提供するサービス提供システムにおいて使用される、不要な情報や異常な情報を排除するフィルタリング方法であって、
前記サービス提供システムが、前記サービス提供システムを構成する一装置を使用して、ユーザ端末が送信する所望のデータを要求する上位層プロトコルで記載された要求メッセージを取得し、当該メッセージのボディー部分に記載されている内容を解析して帯域情報を取得し、当該取得した帯域情報と予め記憶している前記要求されたデータの提供に必要な帯域情報とを比較して、要求内容に不要な情報や異常な情報が含まれているか判別処理して、前記要求メッセージを予め定めた処理を実施することにより、不要な情報や異常な情報を排除する
ことを特徴とするフィルタリング方法。 - ネットワークを介してデータサーバとユーザ端末とを接続し、コンテンツを提供するサービス提供システムにおいて使用されるフィルタリング方法であって、
前記サービス提供システムが、ユーザ端末から送信されるコンテンツの要求を解析し、前記コンテンツの要求に記述されているコンテンツの提供に関する帯域情報を取得し、当該取得した帯域情報と予め記録されている前記要求されたコンテンツに関する帯域情報を含む情報とを比較して、不要な情報や異常な情報であるか解析して、前記コンテンツの要求を不要な情報や異常な情報が含まれるコンテンツの要求であるか判別処理することにより、不要な情報や異常な情報を排除する
ことを特徴とするフィルタリング方法。 - 請求項9記載のフィルタリング方法において、
前記コンテンツの要求を解析し、正常なコンテンツの要求と判断した場合に、前記データサーバと前記ユーザ端末とを接続可能とする前記通信経路の帯域確保(帯域保証)を、前記コンテンツ要求に含まれていた帯域情報に基づいて行うことを特徴とするフィルタリング方法。 - 帯域保証ネットワークにおいて使用される装置が行うメッセージのフィルタリング方法であって、
前記フィルタリングを行う装置の制御部が、フィルタリングとして、ユーザ端末から送信されるセッション制御プロトコルのメッセージを取得し、当該メッセージのヘッダー部及びボディー部を解析して、予め管理者から指定された帯域情報と、前記ユーザ端末から送信されたメッセージに記述された帯域情報とを比較し、当該比較結果を用いて前記メッセージに不要な情報や異常な情報が含まれると判断すれば、当該メッセージをフィルタリングすることを特徴とするフィルタリング方法。 - 帯域保証ネットワークにおいて使用される装置が行うSIPメッセージのフィルタリング方法であって、
前記フィルタリングを行う装置の制御部が、ユーザ端末から送信されるSIPメッセージを取得し、当該SIPメッセージのボディー部に記載されている帯域情報を取得し、当該帯域情報とユーザ端末の要求する接続先が予め指定する帯域情報とが一致するか判断し、当該判断結果を用いてフィルタリングすることを特徴とするフィルタリング方法。 - 帯域保証ネットワークにおいて使用される装置が行うRTSPメッセージのフィルタリング方法であって、
前記フィルタリングを行う装置の制御部が、ユーザ端末から送信されるRTSPメッセージを取得し、当該RTSPメッセージのボディー部に記載されている帯域情報を取得し、当該帯域情報とユーザ端末の要求する接続先が予め指定する帯域情報とが一致するか判断し、当該判断結果を用いてフィルタリングすることを特徴とするフィルタリング方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007220502A JP5177366B2 (ja) | 2007-08-28 | 2007-08-28 | サービス提供システム、フィルタリング装置、及びフィルタリング方法 |
| US12/674,219 US20110078283A1 (en) | 2007-08-28 | 2008-08-12 | Service providing system, filtering device, filtering method and method of confirming message |
| PCT/JP2008/064677 WO2009028342A1 (ja) | 2007-08-28 | 2008-08-12 | サービス提供システム、フィルタリング装置、フィルタリング方法及びメッセージ確認方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007220502A JP5177366B2 (ja) | 2007-08-28 | 2007-08-28 | サービス提供システム、フィルタリング装置、及びフィルタリング方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009053969A JP2009053969A (ja) | 2009-03-12 |
| JP5177366B2 true JP5177366B2 (ja) | 2013-04-03 |
Family
ID=40387067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007220502A Expired - Fee Related JP5177366B2 (ja) | 2007-08-28 | 2007-08-28 | サービス提供システム、フィルタリング装置、及びフィルタリング方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20110078283A1 (ja) |
| JP (1) | JP5177366B2 (ja) |
| WO (1) | WO2009028342A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753474A (zh) * | 2008-12-12 | 2010-06-23 | 国际商业机器公司 | 用于电子邮件的处理方法和*** |
| US8170182B2 (en) * | 2009-08-19 | 2012-05-01 | Avaya Inc. | Enhanced call tracing |
| WO2011102079A1 (ja) * | 2010-02-18 | 2011-08-25 | 日本電気株式会社 | コンテンツ配信システム、コンテンツ配信方法、サービス調停システム、サービス調停装置、及び、記録媒体 |
| JP5541719B2 (ja) * | 2010-08-26 | 2014-07-09 | キヤノン株式会社 | 通信装置、通信装置の制御方法、及びプログラム |
| US10686717B1 (en) * | 2018-03-27 | 2020-06-16 | Sprint Communications Company, L.P. | Dynamic allocation of content requests to content providers |
| CN110727537B (zh) * | 2019-10-21 | 2023-12-26 | 深圳前海环融联易信息科技服务有限公司 | 统一处理响应报文的方法、装置、计算机设备及存储介质 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6643686B1 (en) * | 1998-12-18 | 2003-11-04 | At&T Corp. | System and method for counteracting message filtering |
| US6654787B1 (en) * | 1998-12-31 | 2003-11-25 | Brightmail, Incorporated | Method and apparatus for filtering e-mail |
| DE60020417T2 (de) * | 1999-01-25 | 2005-10-27 | Nippon Telegraph And Telephone Corp. | Push-Netzwerk |
| WO2001090838A2 (en) * | 2000-05-24 | 2001-11-29 | Voltaire Advanced Data Security Ltd. | Filtered application-to-application communication |
| JP2003158543A (ja) * | 2001-11-22 | 2003-05-30 | Anritsu Corp | 中継装置及び中継方法 |
| JP2003258879A (ja) * | 2002-03-04 | 2003-09-12 | Mitsubishi Electric Corp | 通信帯域予約システム、sip中継装置および帯域予約方法 |
| JP3956786B2 (ja) * | 2002-07-09 | 2007-08-08 | 株式会社日立製作所 | 記憶装置の帯域制御装置、方法及びプログラム |
| US8775675B2 (en) * | 2002-08-30 | 2014-07-08 | Go Daddy Operating Company, LLC | Domain name hijack protection |
| KR101021566B1 (ko) * | 2002-09-03 | 2011-03-16 | 톰슨 라이센싱 | 우선 순위와 예약 대역폭 프로토콜을 활용하여 네트워크에서비스 품질(QoS)을 제공하는 메커니즘 |
| US20050060411A1 (en) * | 2003-09-16 | 2005-03-17 | Stephane Coulombe | System and method for adaptation of peer-to-peer multimedia sessions |
| US7664812B2 (en) * | 2003-10-14 | 2010-02-16 | At&T Intellectual Property I, L.P. | Phonetic filtering of undesired email messages |
| JP4264016B2 (ja) * | 2004-03-22 | 2009-05-13 | 株式会社日立製作所 | 通信制御装置及び通信制御装置におけるフィルタリング方法 |
| JP4418302B2 (ja) * | 2004-05-31 | 2010-02-17 | 独立行政法人科学技術振興機構 | 中継装置、パケットフィルタリング方法及びパケットフィルタリングプログラム |
| US7529845B2 (en) * | 2004-09-15 | 2009-05-05 | Nokia Corporation | Compressing, filtering, and transmitting of protocol messages via a protocol-aware intermediary node |
| US9036620B2 (en) * | 2004-10-06 | 2015-05-19 | Telecom Italia S.P.A. | Method, and related mobile communications system, for providing combinational network services |
| US8583740B2 (en) * | 2005-04-25 | 2013-11-12 | Google Inc. | Actionable quarantine summary |
| US8234388B2 (en) * | 2005-07-29 | 2012-07-31 | Verizon Patent And Licensing Inc. | Application service invocation based on filter criteria |
| JP2007274476A (ja) * | 2006-03-31 | 2007-10-18 | Anritsu Corp | パケット中継装置 |
| US9473529B2 (en) * | 2006-11-08 | 2016-10-18 | Verizon Patent And Licensing Inc. | Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering |
| US8291021B2 (en) * | 2007-02-26 | 2012-10-16 | Red Hat, Inc. | Graphical spam detection and filtering |
| US7809868B1 (en) * | 2007-04-23 | 2010-10-05 | Network Appliance, Inc. | System and method for filtering information in a data storage system |
-
2007
- 2007-08-28 JP JP2007220502A patent/JP5177366B2/ja not_active Expired - Fee Related
-
2008
- 2008-08-12 US US12/674,219 patent/US20110078283A1/en not_active Abandoned
- 2008-08-12 WO PCT/JP2008/064677 patent/WO2009028342A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009028342A1 (ja) | 2009-03-05 |
| US20110078283A1 (en) | 2011-03-31 |
| JP2009053969A (ja) | 2009-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100474819C (zh) | 一种深度报文检测方法、网络设备及*** | |
| US7970930B2 (en) | Communications system and method to control and manage both session-based and non-session-based application services | |
| JP4276568B2 (ja) | ルータ及びsipサーバ | |
| JP3855909B2 (ja) | ポリシ設定可能なピアツーピア通信システム | |
| KR101259689B1 (ko) | 소스 노드와 목적지 노드 사이의 접속을 위한 QoS 구현 시스템 및 방법 | |
| US9462118B2 (en) | VoIP communication content control | |
| US8315245B2 (en) | Overload call control in a VoIP network | |
| EP2357772B1 (en) | Video transcoding using a proxy device | |
| JP5177366B2 (ja) | サービス提供システム、フィルタリング装置、及びフィルタリング方法 | |
| WO2009043258A1 (fr) | Procédé, système et dispositif de filtrage de messages | |
| JP2008523735A (ja) | ネットワーク装置を有する電子メッセージ配信システム | |
| US20070156898A1 (en) | Method, apparatus and computer program for access control | |
| JP2006121679A (ja) | ネットワークにおける侵入検知装置及び侵入検知方法 | |
| JP2015507901A5 (ja) | ||
| US20070180527A1 (en) | Dynamic network security system and control method thereof | |
| US20100165980A1 (en) | Usage Of Physical Layer Information In Combination With Signaling And Media Parameters | |
| US8416940B2 (en) | Subscriber accommodating apparatus, transfer control method, communication system, and program product | |
| CN104519012A (zh) | 基于sip协议的通信网攻击的检测方法及*** | |
| US8789141B2 (en) | Method and apparatus for providing security for an internet protocol service | |
| CA2632250A1 (en) | Method, apparatus and computer program for access control | |
| JP5926164B2 (ja) | セッションボーダーコントローラに対する高速振り分け方法及び接続システム | |
| CN101102277B (zh) | 业务数据识别控制方法、***及识别控制装置 | |
| JP2014127866A (ja) | 通信システムと装置と方法とプログラム | |
| US7764600B1 (en) | Providing an alternative service application to obtain a communication service when the current service application is inhibited | |
| JP4574225B2 (ja) | Ip電話網における呼制御方法、ip電話システム、ルータ及び呼制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100716 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120905 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121029 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121225 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5177366 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |