通信设备、通信方法和程序与流程

本发明涉及通信设备、通信方法和程序。

背景技术：

近年来，对服务器设备和终端之间的数据通信进行加密变得越来越普遍。在这种环境下，只需要对从服务器设备发送到终端的数据中的特定数据控制每单位时间的传输量。在专利文档1中公开的相关技术是一种使用来自ssl(安全套接字层)通信的信息的技术，该通信是一种加密通信。

现有技术文献

专利文献

专利文档1：pct国际申请的日本译文公开no.2015-513810。

技术实现要素：

本发明解决的问题

因此，本发明的目标是提供一种解决上述问题的通信设备、通信方法和程序。

解决问题的手段

根据本发明的第一示例性方面，一种通信设备包括：服务器信息检测单元，其从请求启动对通信进行加密的请求通信中检测服务器信息，该请求通信是由递送目的地设备在该递送目的地设备从服务器设备接收数据时发送的；域名检测单元，其检测对应于该服务器信息的域名；以及限制单元，其基于域名，针对从服务器设备向递送目的地设备发送的数据执行数据通信限制。

根据本发明的第二示例性方面，一种通信方法使得通信设备执行步骤：从请求启动对通信进行加密的请求通信中检测服务器信息，该请求通信是由递送目的地设备在该递送目的地设备从服务器设备接收数据时发送的；检测对应于该服务器信息的域名；以及基于域名，针对从服务器设备向递送目的地设备发送的数据执行数据通信限制。

根据本发明的第三示例性方面，一种程序使得通信设备的计算机执行步骤：从请求启动对通信进行加密的请求通信中检测服务器信息，该请求通信是由递送目的地设备在该递送目的地设备从服务器设备接收数据时发送的；检测对应于该服务器信息的域名；以及基于域名，针对从服务器设备向递送目的地设备发送的数据执行数据通信限制。

发明的有益效果

根据本发明，有可能使用加密数据通信来识别特定数据，以及针对数据通信执行传输控制。

附图说明

图1是示出包括根据本示例性实施例的通信设备的通信系统的配置的框图；

图2是根据本示例性实施例的通信设备的硬件配置图；

图3是根据本示例性实施例的通信设备的功能框图；

图4是示出根据本示例性实施例的通信设备的处理流程的图；

图5是示出服务器名称指示和通用名称之间的对应的图；

图6是示出根据本示例性实施例的通信设备的最小配置的图。

具体实施方式

在下文中，将参考附图描述根据本发明的示例性实施例的通信设备。

图1是示出包括根据本示例性实施例的通信设备的通信系统的配置的框图。

如图所示，通信系统100包括通信设备1、终端2(递送目的地设备)和服务器设备3。通信设备1和终端2经由连接到互联网的第一网络连接。通信设备1和服务器设备3经由连接到互联网的第二网络连接。第一网络和第二网络可以表示通信设备1所在的室内网络。第一网络和第二网络经由网关设备或类似设备(在附图中未示出)连接到互联网。在图1中，为了描述方便，将连接通信设备1和终端2的网络以及连接通信设备1和服务器设备3的网络单独画出。

图2是根据本示例性实施例的通信设备的硬件配置图。

如图2所示，通信设备1可以包括cpu(中央处理单元)11、ram(随机存取存储器)12、rom(只读存储器)13、ssd(固态驱动)14、通信模块15，等等。通信设备1是具有这种功能的计算机。例如，通信设备1可以是路由器、中继服务器等等。

图3是根据本示例性实施例的通信设备的功能框图。

通过启动通信设备1的cpu11(图2)来执行存储在rom13(图2)等中的传输控制程序。结果，通信设备1具有通信控制单元111、缓存单元112、服务管理单元113、服务豁信息检测单元114、域名检测单元115和限制单元116的功能。

通信控制单元111控制与经由第一网络和第二网络连接的其他设备的通信。通信控制单元111向缓存单元112输出从终端2接收的ssl(安全套接字层)/tls(传输层安全性)通信信号等。而且，通信控制单元111具有代理服务器的功能。通信控制单元111连接到第一网络和第二网络。

缓存单元112在从启动sll/tls通信直到可以获取服务器名称指示信息的一段时间内，缓存在与其他设备的协商通信中生成的每个连接的数据。

服务管理单元113是处理单元，其分析接收的信号并做出与后续处理控制有关的决定。具体地，服务管理单元113基于通信确定所请求的服务，以及执行ssl分析等。

服务器信息检测单元114从请求启动对通信进行加密的请求通信中检测服务器信息，该请求通信是由终端2在从服务器设备3接收数据时发送的。具体地，服务器信息检测单元114从缓存单元112所缓存的信息中检测服务器名称指示信息。

域名检测单元115检测对应于该服务器名称指示信息的域名。

限制单元116基于检测到的域名，针对从服务器设备3向终端2发送的数据执行数据通信限制。具体地，限制单元116基于表示请求通信的ssl/tls通信，在中继从服务器设备3向终端2发送的数据时抑制每单位时间的数据传输量。

本示例性实施例的通信设备1识别在从终端2发送的加密通信(诸如ssl/tls)的握手阶段期间，作为明文从终端2发送的客户端问候(clienthello)消息。通信设备1获取包括在客户端问候消息中的服务器名称指示。进一步地，通信设备1获取与服务器名称指示关联存储的域名。通信设备1使用事先针对每个域名设置的每单位时间传输量，针对从服务器设备3向终端2发送的数据执行流量控制(寻呼控制)。

在加密通信的握手阶段期间从服务器设备3单独发送的ssl服务豁证书包括称为通用名称的信息。通信设备1也能够根据通用名称指定对应于ip地址的域名。然而，在本示例性实施例中，对应于服务的域名是与对应于ip地址的域名不同的域名，其从包括在客户端问候消息中的服务器名称指示中获取。通常，针对单个ip地址仅可以设置一个ssl证书。结果，通用名称和ip地址具有一对一的对应关系。然而，作为ssl/tls的扩展规范，rfc6066定义的服务器名称指示允许针对单个ip地址设置多个域的ssl证书。因此，在本示例性实施例中，通过使用服务器名称指示而不是通用名称，可以更准确地获取目标域。例如，目标域是向终端2递送数据的域。

图4是示出根据本示例性实施例的通信设备的处理流程的图。

首先，终端2向服务器设备3发送请求启动对通信进行加密的请求通信，该请求通信是在从服务器设备3接收数据时发送的。请求信号表示ssl/tls握手的通信信号。通信设备1的通信控制单元111接收从终端2发送的ssl/tls握手的通信信号(步骤s101)。缓存单元112拦截ssl/tls握手的通信信号。缓存单元112从ssl/tls握手的通信信号中的客户端问候消息中提取包含服务器名称指示的数据(步骤s102)。缓存单元112累积包含服务器名称指示的数据(步骤s103)。通信控制单元111中继ssl/tls握手的通信信号，其在终端2和服务器设备3之间发送和接收。

服务管理单元113从通信控制单元111获取：ssl/tls握手的通信信号、后续完成该握手的通信信号信息等。服务管理单元113分析通信信号并做出与后续处理控制有关的决定(步骤s104)。当服务管理单元113基于通信信号而确定(分析)服务器设备3时，其指示通信控制单元111向服务器设备3发送数据递送请求。通信控制单元111向服务器设备3发送递送请求以请求要发送到终端2的数据(步骤s105)。服务器设备3向具有代理服务器的功能的通信设备1发送寻址到终端2的递送数据。

通信设备1的服务管理单元113经由通信控制单元111拦截包含递送数据的通信信号，以及确定包含ssl/tls握手、递送数据等的通信信号是否满足ssl传输条件(步骤s106)。服务管理单元113基于步骤s104的分析结果做出决定。例如，如果服务管理单元113检测到ssl/tsl握手的通信信号，则可以立即做出决定：终端2和服务器设备3之间执行该握手的通信满足ssl传输条件。确定是否满足ssl传输条件可以通过其他方法来做出。如果满足ssl传输条件，则服务管理单元113请求服务器信息检测单元114检测服务器信息。在本示例性实施例中，服务器信息表示包括在客户端问候消息中的服务器名称指示。

服务器信息检测单元114从缓存单元112所累积的客户端问候消息中获取包含服务器名称指示的数据。服务器信息检测单元114从该数据提取服务器名称指示(步骤s107)。进一步地，服务器信息检测单元114向域名检测单元115输出服务器名称指示。域名检测单元115参考记录在记录单元(诸如rom13(图2)或ssd14(图2))中的域名管理表，以及获取与该服务器名称指示关联存储的域名(步骤s108)。域名检测单元115向限制单元116输出所获取的域名。

限制单元116检测对应于该域名的限制方法。例如，限制单元116获取与该域名关联的每单位时间的数据传输量。域名和每单位时间传输量之间的对应关系存储在存储单元中，诸如rom13或ssd14。限制单元116控制通信控制单元111，使得数据的传输根据所获取的每单位时间传输量(寻呼速率)而控制。基于限制单元116而控制通信控制单元111，并且通信控制单元111借助于代理服务器功能执行从服务器设备3向终端2发送的递送数据的传输。此时，通信控制单元111执行传输处理使得每单位时间的递送数据传输量被设置成限制单元116所获取的每单位时间传输量(步骤s109)。

图5是示出包括在ssl/tls握手的通信信号中的通用名称与服务器名称指示之间的对应关系的图。

ssl/tls握手的通信信号包含服务器名称指示和通用名称。尽管服务器名称指示和通用名称二者都表示域名，但是服务器名称指示使得服务器名称(服务名称)能够被获取作为域名。对于服务器设备发送的多个服务通信，尽管通用名称是相同的，但是服务器名称指示在一些情况下可以不同。根据图5的示例，虽然“电影”服务和“应用程序服务”具有相同的通用名称“xxx.com”，但是服务器名称指示信息是不同的。换言之，通用名称对于多个服务(“电影”和“应用程序”)是相同的信息。结果，如果通信设备1基于通用名称确定每单位时间传输量(传输速率)，则有时候限制目标可能不仅包括电影(这表示期望的限制目标)的递送，而且同样包括尽管排除在期望的限制之外的应用程序的下载。

因此，在本示例性实施例中，如上所提到地使用服务器名称指示。结果，即使对于从同一服务器递送的多个服务，可以使包括在通信中的域名根据服务而不同。因此，根据本示例性实施例，能够针对从同一服务器递送的多个服务中的每个服务而设置每单位时间的数据传输量。也即，根据图5的示例，例如有可能降低下载到与视频递送服务关联的终端2的视频数据的传输速率，而不降低下载到终端2的应用程序的传输速率。结果，有可能减小某个服务的带宽而不降低qoe(体验质量)。

上面提到的终端2可以是针对服务器设备3请求传输递送数据的任何设备，并因此接收所发送的递送数据。例如，终端2可以表示：包括智能手机的移动电话、平板终端、个人计算机、具有网络连接功能的电视机，等等。

图6是示出根据本示例性实施例的通信设备的最小配置。

通信设备1可以包括至少一个服务器信息检测单元114、域名检测单元115和限制单元116。

通信设备1可以由例如包括在通信设备1中的电路来配置。

上面提到的通信设备1具有内部计算机系统。而且，上面提到的处理步骤以程序形式存储在计算机可读记录介质上，并且上述处理通过计算机读取和执行该程序来实现。这里，计算机可读记录介质是指磁盘、磁光盘、cd-rom、dvd-rom、半导体存储器等等。进一步地，该程序可以借助于通信线路被递送到计算机，并且接收该递送的计算机可以执行该程序。

而且，上述程序可以是实现部分上述功能的程序。进一步地，该程序可以是，作为所谓的差异文件(差异程序)，通过组合已经记录在计算机系统中的程序来实现上述功能的程序。

要求于2016年11月30日提交的日本专利申请no.2016-232047的优先权，其公开整体包含于此。

工业应用性

根据本发明，有可能使用加密数据通信来识别特定数据，以及针对此数据通信执行传输控制。

参考符号列表

1通信设备

2终端

3服务器设备

11cpu

12ram

13rom

14ssd

15通信模块

111通信控制单元

112缓存单元

113服务管理单元

114服务器信息检测单元

115域名检测单元

116限制单元。