JP2009098985A - Session management method, communication system, and communication apparatus - Google Patents

Session management method, communication system, and communication apparatus Download PDF

Info

Publication number
JP2009098985A
JP2009098985A JP2007270817A JP2007270817A JP2009098985A JP 2009098985 A JP2009098985 A JP 2009098985A JP 2007270817 A JP2007270817 A JP 2007270817A JP 2007270817 A JP2007270817 A JP 2007270817A JP 2009098985 A JP2009098985 A JP 2009098985A
Authority
JP
Japan
Prior art keywords
timeout time
session timeout
client terminal
session
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007270817A
Other languages
Japanese (ja)
Inventor
Junichi Kanayama
淳一 金山
Seiichi Chosa
征一 帖佐
Yushi Mochizuki
祐志 望月
Masanori Kamizono
雅紀 神薗
Hironori Amino
寛徳 網野
Takayuki Sano
隆行 佐野
Kazuhiro Tominaga
和宏 冨永
Shinichiro Yazaki
慎一郎 矢崎
Eri Takigawa
絵里 滝川
Yohei Okawa
洋平 大川
Hironobu Hida
博信 樋田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007270817A priority Critical patent/JP2009098985A/en
Publication of JP2009098985A publication Critical patent/JP2009098985A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a session management method capable of permanently establishing an SA even when communication from a client terminal does not occur in an IPSEC-VPN, and to provide a communication system performing the method, and a communication apparatus. <P>SOLUTION: A VPN server 10 includes: a session time-out time management means for managing session time-out time; a monitoring means for monitoring the session time-out time by fixed period; a determination means for determining necessity for notifying the session time-out time, on the basis of the session time-out time and prescribed time; a notifying means for notifying the client terminal of the session time-out time via a network when notification is required on the basis of the determination result of the determination means; a response receiving means for receiving a response via the network from the client terminal being a session time-out time notification destination; and an updating means for updating the session time-out time, which is managed by the session time-out time management means, into a default after the reception of the response. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、IPsec-VPN(IP Security-Virtual Private Network)通信におけるセッション管理方法、これを実施する通信システムおよび通信装置に関する。   The present invention relates to a session management method in IPsec-VPN (IP Security-Virtual Private Network) communication, and a communication system and a communication apparatus for implementing the method.

IPsec-VPN通信を行うためには、通信相手との間でSA(Security Association)と呼ばれる論理的なセッションを確立する。SAは、VPN通信を行うクライアント端末毎に確立され、トラフィック情報(selector)と、暗号アルゴリズム、認証アルゴリズム等のトラフィックに適用するセキュリティ情報を含んでいる。したがって、SAを確立した後、VPNサーバは、SAの情報に基づいてVPN通信処理を行う。自動鍵管理プロトコルを使用した場合、対象パケットデータ受信を契機に自動的に通信相手とネゴシエーションを行って鍵を交換し、SAを確立する。   In order to perform IPsec-VPN communication, a logical session called SA (Security Association) is established with a communication partner. The SA is established for each client terminal that performs VPN communication, and includes traffic information (selector) and security information applied to traffic such as an encryption algorithm and an authentication algorithm. Therefore, after establishing the SA, the VPN server performs VPN communication processing based on the SA information. When the automatic key management protocol is used, it automatically negotiates with the communication partner upon receiving the target packet data, exchanges keys, and establishes SA.

RFC2407、“The Internet IP Security Domain of Interpretation for ISAKMP、4.5 IPSEC Security Association Attributes”、発行年月日:1998年11月RFC2407, “The Internet IP Security Domain of Interpretation for ISAKMP, 4.5 IPSEC Security Association Attributes”, date of publication: November 1998

上記従来技術によれば、SAの仕様として、有効期間を持つよう実装しなければならない。また、SAのセッションが確立された後、クライアント端末側からの通信が発生しないかぎり、自動的に鍵を交換し、SAを確立することはない。   According to the above prior art, the SA specification must be implemented to have a valid period. Further, after the SA session is established, unless communication from the client terminal side occurs, the key is automatically exchanged and the SA is not established.

一方で、VPNサーバ側から新規のメールや緊急のメッセージ等の情報をクライアント端末側に通知したい場合がある。しかしながら、上述のようにSAの有効期間が切れてしまうとSAが確立しないため、クライアント端末側からの通信が発生しない限り、VPNサーバ側からクライアント端末側に情報を送信したくとも送信できない。   On the other hand, there is a case where the VPN server side wants to notify the client terminal side of information such as a new mail or an urgent message. However, since the SA is not established when the SA validity period expires as described above, transmission cannot be performed from the VPN server side to the client terminal side as long as communication from the client terminal side does not occur.

本発明は、上記課題に鑑みてなされたもので、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくとも、SAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することにある。   The present invention has been made in view of the above problems, and in IPSEC-VPN, a session management method capable of permanently establishing an SA even without the occurrence of communication from the client terminal side, and communication for implementing the same To provide a system and a communication device.

上記課題を解決するために、本発明を適用する通信システムは、複数のクライアント端末と、該クライアント端末とネットワークを介して接続され通信装置から構成される。   In order to solve the above problems, a communication system to which the present invention is applied includes a plurality of client terminals and a communication device connected to the client terminals via a network.

前記通信装置は、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、該判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、該応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有することを特徴とする。 The communication device
A session timeout time managing means for managing a session timeout time; a monitoring means for monitoring the session timeout time at a fixed period; and a determination for determining the necessity of notification of a session timeout time based on the session timeout time and a predetermined time. A notification means for notifying the client terminal of the session timeout time via the network when the determination result of the determination means indicates that notification is required; and from the client terminal that is the session timeout time notification destination via the network Response receiving means for receiving a response and update means for updating the session timeout time managed by the session timeout time management means to an initial value after receiving the response.

前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する受信手段と、該受信手段により受信した前記セッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する応答手段を有することを特徴とする。 The client terminal is
Receiving means for receiving the session timeout time from the communication device via the network; and response means for responding to the communication device via the network after waiting for the session timeout time received by the receiving means. It is characterized by.

本発明によれば、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくとも、SAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することができる。これにより、クライアント端末側からの通信の発生がなくともSAを永続的に確立することができるので、VPNサーバ側からリアルタイムにクライアント端末側に情報を送信することができる。   According to the present invention, in IPSEC-VPN, there is provided a session management method capable of permanently establishing an SA even when no communication is generated from the client terminal side, and a communication system and a communication device for implementing the session management method. Can do. As a result, the SA can be permanently established without the occurrence of communication from the client terminal side, so that information can be transmitted from the VPN server side to the client terminal side in real time.

以下、本発明の実施の形態について、図面を参照して詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図1は、本発明を適用する通信システム1全体の構成を示す図である。図示するように通信システム1は、VPNサーバ(通信装置)10と複数のクライアント端末12−1、12−2、・・・とが、ネットワーク11、ネットワーク13と接続されてなる構成である。ネットワーク11は、通常(正常)時に使用されるネットワークであり、ネットワーク13はネットワーク11に障害が生じた時などに使用されるネットワークである。VPNサーバ10は、VPNサーバ10内の各クライアント端末12のSAの有効期間(以下、セッションタイムアウト時間と称する)を一定周期で監視し、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッションタイムアウト時間を通知する機能を有する。またVPNサーバ10は、セッションタイムアウト時間を通知したクライアント端末12から応答を受信すると、セッションタイムアウト時間を初期値に更新する機能を有する。クライアント端末12は、VPNサーバ10からセッションタイムアウト時間の通知を受けると、その通知を受けたセッションタイムアウト時間待機後に、VPNサーバ10に対して応答する機能を有する。   FIG. 1 is a diagram showing the overall configuration of a communication system 1 to which the present invention is applied. As shown in the figure, the communication system 1 has a configuration in which a VPN server (communication device) 10 and a plurality of client terminals 12-1, 12-2,. The network 11 is a network that is used during normal (normal) operation, and the network 13 is a network that is used when a failure occurs in the network 11. The VPN server 10 monitors the SA validity period (hereinafter referred to as session timeout time) of each client terminal 12 in the VPN server 10 at a fixed period, and when the session timeout time reaches a predetermined time, Has a function to notify the session timeout time. The VPN server 10 has a function of updating the session timeout time to an initial value when receiving a response from the client terminal 12 that has notified the session timeout time. When the client terminal 12 receives a notification of the session timeout time from the VPN server 10, the client terminal 12 has a function of responding to the VPN server 10 after waiting for the received session timeout time.

図2は、VPNサーバ10のハードウェア構成例を示すブロック図である。図示するようにVPNサーバ10は、プログラムを実行するCPU等の制御部100と、プログラムやプログラムの実行時に必要な情報を記憶する記憶部101と、ネットワークインタフェース102、103と、を少なくとも具備する。ネットワークインタフェース102とネットワークインタフェース103は、それぞれネットワーク11とネットワーク13と接続されており、クライアント端末12と情報の送受信を行う。記憶部101には、監視プログラム1011と、更新プログラム1012と、セッション管理テーブル1013と、を少なくとも具備する。監視プログラム1011は、セッション管理テーブル1013にて管理している各クライアント端末12のセッションタイムアウト時間を一定周期で監視し、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッションタイム時間を通知する機能を有する。すなわち、セッションタイムアウト時間に達する前(SAの有効期間に達する前)に、当該クライアント端末にセッションタイムアウト時間を通知する。更新プログラム1012は、VPNサーバ10がセッションタイムアウト時間を通知したクライアント端末12から応答を受信すると、セッション管理テーブル1013に記憶されているセッションタイムアウト時間を初期値に更新する機能を有する。   FIG. 2 is a block diagram illustrating a hardware configuration example of the VPN server 10. As shown in the figure, the VPN server 10 includes at least a control unit 100 such as a CPU that executes a program, a storage unit 101 that stores a program and information necessary for executing the program, and network interfaces 102 and 103. The network interface 102 and the network interface 103 are connected to the network 11 and the network 13, respectively, and exchange information with the client terminal 12. The storage unit 101 includes at least a monitoring program 1011, an update program 1012, and a session management table 1013. The monitoring program 1011 monitors the session timeout time of each client terminal 12 managed in the session management table 1013 at a constant period, and notifies the client terminal of the session time time when the session timeout time reaches a predetermined time. It has the function to do. That is, before reaching the session timeout time (before reaching the SA valid period), the client terminal is notified of the session timeout time. The update program 1012 has a function of updating the session timeout time stored in the session management table 1013 to an initial value when the VPN server 10 receives a response from the client terminal 12 that has notified the session timeout time.

図3は、セッション管理テーブル1013の構成例を示す図である。図示するようにセッション管理テーブル1013には、クライアント識別子(例えばホスト名)300と、通信経路を示す情報(例えばインターネットアドレス(IPアドレス))301と、セッションタイムアウト時間を示す情報302と、クライアント端末12との通信方法を示す情報(例えばPING)303と、がそれぞれ対応付けられて記憶されている。   FIG. 3 is a diagram illustrating a configuration example of the session management table 1013. As shown in the figure, the session management table 1013 includes a client identifier (for example, host name) 300, information indicating a communication path (for example, Internet address (IP address)) 301, information 302 indicating a session timeout time, and the client terminal 12. The information (for example, PING) 303 indicating the communication method is stored in association with each other.

図4は、クライアント端末12のハードウェア構成例を示すブロック図である。図示す
るようにクライアント端末12は、プログラムを実行するCPU等の制御部400と、情報
を入力するための入力部(キーボード、マウス等)401と、制御部400による処理結
果を出力するための出力部(ディスプレイ等)402と、プログラムやプログラムの実行
時に必要な情報を記憶する記憶部403と、ネットワークインタフェース404、405
と、を少なくとも具備する。ネットワークインタフェース404と405は、それ
ぞれネットワーク11とネットワーク13と接続されており、VPNサーバ10と
情報の送受信を行う。記憶部403には、応答プログラム1031と、返信方法
管理テーブル1032と、を少なくとも具備する。 FIG. 4 is a block diagram illustrating a hardware configuration example of the client terminal 12. As shown in the figure, the client terminal 12 includes a control unit 400 such as a CPU that executes a program, an input unit (keyboard, mouse, etc.) 401 for inputting information, and an output for outputting a processing result by the control unit 400. Unit (display or the like) 402, a storage unit 403 for storing a program or information necessary for executing the program, and network interfaces 404 and 405
And at least. The network interfaces 404 and 405 are connected to the network 11 and the network 13, respectively, and exchange information with the VPN server 10. The storage unit 403 includes at least a response program 1031 and a reply method management table 1032.

図5は、セッション管理テーブル1032の構成例を示す図である。図示するように
セッション管理テーブル1032には、クライアント識別子500と、返信経路を示す情
報(例えばIPアドレス)501と、当該クライアント端末12からVPNサーバ10への
返信方法を示す情報(例えばPING)502と、がそれぞれ対応付けられて記憶されてい
る。 FIG. 5 is a diagram illustrating a configuration example of the session management table 1032. As shown in the figure, the session management table 1032 includes a client identifier 500, information indicating a return route (for example, IP address) 501, information indicating a return method from the client terminal 12 to the VPN server 10 (for example, PING) 502, and the like. Are stored in association with each other.

図6、図7は、VPNサーバ10における監視プログラム1011の処理を示すフローチ
ャートである。監視プログラム1011は、セッション管理テーブル1013にて管
理している各クライアント端末12のセッションタイムアウト時間を一定周期で監視し
、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッ
ションタイム時間を通知する機能を有する。この監視プログラム1011は制御部100
が実行するが、以下では監視プログラム1011を主体として各処理を説明する。 6 and 7 are flowcharts showing processing of the monitoring program 1011 in the VPN server 10. The monitoring program 1011 monitors the session timeout time of each client terminal 12 managed in the session management table 1013 at a constant period, and notifies the client terminal of the session time time when the session timeout time reaches a predetermined time. It has the function to do. This monitoring program 1011 is stored in the control unit 100.
However, in the following, each process will be described with the monitoring program 1011 as the main body.

先ず、監視プログラム1011は、セッション管理テーブル1013を参照して各クラ
イアント端末のセッションタイムアウト時間302を取得し(ステップS600)、その
セッションタイムアウト時間が所定時間以下かどうかを判定する(ステップ601)。判
定の結果、セッションタイムアウト時間が所定時間以下でなければ、監視プログラム10
11は、ステップ600に戻る。ステップ601での判定の結果、セッションタイムアウ
ト時間が所定時間以下であれば、監視プログラム1011は、セッション管理テーブル1
013を参照して通信経路301、通信方法303を取得する(ステップ602)。次に
、監視プログラム1011は、取得した通信経路、返信方法により、セッションタイムア
ウト時間をネットワーク11を介して当該クライアント端末12に通知する(ステップ6
03)。 First, the monitoring program 1011 refers to the session management table 1013, acquires the session timeout time 302 of each client terminal (step S600), and determines whether the session timeout time is equal to or shorter than a predetermined time (step 601). As a result of the determination, if the session timeout time is not less than the predetermined time, the monitoring program 10
11 returns to step 600. If the result of determination in step 601 is that the session timeout time is less than or equal to a predetermined time, the monitoring program 1011
The communication path 301 and the communication method 303 are acquired with reference to 013 (step 602). Next, the monitoring program 1011 notifies the client terminal 12 of the session timeout time via the network 11 by the acquired communication path and return method (step 6).
03).

次に、監視プログラム1011は、ネットワーク11からの通信方法の戻り値に基づい
て、セッションタイムアウト時間の通知が成功したかどうかを判定する(ステップ604
)。例えば、通信方法がPINGの場合、そのPINGコマンドの戻り値が“0”の場合は
、セッションタイムアウト時間が通知先のクライアント端末12に正常に到達した、すな
わち通知成功と判定し、PINGコメンドの戻り値が“0”以外の場合は、障害等により通
信異常が発生した、すなわち通知不成功と判定する。 Next, based on the return value of the communication method from the network 11, the monitoring program 1011 determines whether or not the notification of the session timeout time has succeeded (step 604).
). For example, when the communication method is PING and the return value of the PING command is “0”, it is determined that the session timeout time has normally reached the client terminal 12 that is the notification destination, that is, the notification is successful, and the PING command returns When the value is other than “0”, it is determined that a communication abnormality has occurred due to a failure or the like, that is, notification is unsuccessful.

ステップ604での判定の結果、通知成功の場合、監視プログラム1011は処理を終
了する。一方、ステップ604での判定の結果、通知不成功の場合、監視プログラム10
11は、当該クライアント端末12に対して再度セッションタイムアウト時間の通知(リ
トライ)を行う(ステップ605)。 If the result of determination in step 604 is that notification is successful, the monitoring program 1011 ends the process. On the other hand, if the result of determination in step 604 is that notification is unsuccessful, the monitoring program 10
11 notifies the client terminal 12 of the session timeout time (retry) again (step 605).

次に、監視プログラム1011は、ネットワーク11からの通信方法の戻り値に基づい
て、セッションタイムアウト時間の通知が成功したかどうかを判定する(ステップ606
)。判定の結果、通知成功の場合、監視プログラム1011は処理を終了する。一方、ス
テップ606での判定の結果、通知不成功の場合、監視プログラム1011は、リトライ
回数を1カウントし、そのリトライ回数が規定値に達したかどうかを判定する(ステップ
607)。判定の結果、リトライ回数が規定値に達していなければ、監視プログラム10
11はセッション管理プログラム1013の通信経路301を参照し、他の通信経路の有
無を判定する(ステップ608)。判定の結果、他の通信経路がなければ、監視プログラ
ム1011は処理を終了する。一方、ステップ608での判定の結果、他の通信経路があ
れば、監視プログラム1011は、その通信経路を用いて該当クライアント端末12にネ
ットワーク11を介してセッションタイムアウト時間を通知する(ステップ609)。次
に、監視プログラムは、その通知が成功したかどうかを判定する(ステップ610)。判
定の結果、通知成功の場合、監視プログラムは処理を終了する。一方、ステップ610で
の判定の結果、通知不成功の場合、ステップ605に戻る。 Next, based on the return value of the communication method from the network 11, the monitoring program 1011 determines whether or not the notification of the session timeout time has succeeded (step 606).
). If the notification is successful as a result of the determination, the monitoring program 1011 ends the process. On the other hand, if the result of determination in step 606 is that notification is unsuccessful, the monitoring program 1011 counts the number of retries by 1, and determines whether the number of retries has reached a specified value (step 607). If the number of retries does not reach the specified value as a result of the determination, the monitoring program 10
11 refers to the communication path 301 of the session management program 1013 and determines whether there is another communication path (step 608). If there is no other communication path as a result of the determination, the monitoring program 1011 ends the process. On the other hand, if the result of determination in step 608 is that there is another communication path, the monitoring program 1011 notifies the corresponding client terminal 12 of the session timeout time via the network 11 using that communication path (step 609). Next, the monitoring program determines whether the notification is successful (step 610). As a result of the determination, if the notification is successful, the monitoring program ends the process. On the other hand, if the result of determination in step 610 is that notification is unsuccessful, processing returns to step 605.

尚、図示していないが、VPNサーバ10において、制御部100は、タイムアウト残
り時間通知の送信日時、送信先のクライアント端末の情報(ホスト名)、IPアドレス、
送信データ等の稼動履歴の情報や、通信異常が発生した日時、エラーメッセージ等の情報
をログ情報として記憶部101に格納する。 Although not shown in the figure, in the VPN server 10, the control unit 100 transmits the time-out remaining time notification transmission date, information on the destination client terminal (host name), IP address,
Information of operation history such as transmission data, date and time when communication abnormality occurs, error message, and the like are stored in the storage unit 101 as log information.

また、更新プログラム1012は、セッションタイムアウト時間通知先のクライアント
端末12から応答を受信すると、セッション管理テーブル1013にて管理しているセッ
ションタイムアウト時間302を初期値に更新する。 In addition, when the update program 1012 receives a response from the client terminal 12 that is the session timeout time notification destination, the update program 1012 updates the session timeout time 302 managed in the session management table 1013 to an initial value.

図8、図9、図10は、各クライアント端末12における応答プログラム1031の処
理を示すフローチャートである。先ず、応答プログラム1031は、VPNサーバ10から
ネットワーク11を介してセッションタイムアウト時間を受信すると(ステップ800)
、返信方法管理テーブル1032を参照して通信経路501、返信方法502を取得する
(ステップ801)。次に、応答プログラム1031は、VPNサーバ10にネットワーク
11を介して応答を返す(ステップ802)。次に、応答プログラム1031は、返信方
法の戻り値に基づいて応答が成功したかどうかを判定する(ステップ803)。応答成否
の判定は、上述したセッションタイムアウト通知の成否の判定と同様である。判定の結果
、応答成功の場合、応答プログラム1031は処理を終了する。一方、ステップ803で
の判定の結果、応答不成功の場合、再度VPNサーバ10に対して応答(リトライ)を返す
(ステップ804)。次に、応答プログラム1031は、返信方法の戻り値に基づいて応
答が成功したかどうかを判定する(ステップ805)。判定の結果、応答成功の場合、応
答プログラム1031は、リトライ回数を1カウントし、そのリトライ回数が規定値に達
したかどうかを判定する(ステップ806)。判定の結果、リトライ回数が規定値に達し
ていなければ、応答プログラム1031は、ステップ804に戻る。一方、ステップ80
6での判定の結果、リトライ回数が規定値に達していれば、応答プログラム1031は、
返信方法管理テーブル1032の返信経路502を参照して他の通信経路の有無を判定す
る(ステップ807)。判定の結果、他の通信経路があれば、応答プログラム1032は
、その通信経路を用いてVPNサーバ10にネットワーク11を介して応答を返す(ステッ
プ808)。一方、ステップ807での判定の結果、他の通信経路がなければ、応答プロ
グラム1031は、例えば、図11に示すような警告メッセージ画面を出力部402に表
示させる(ステップ1000)。この警告メッセージ画面では、クライアントが入力部4
01により“返信”を指示する操作を行うことにより、VPNサーバ10からクライアント
端末12へのリトライを指示できる。ステップ1000の処理の後、応答プログラム10
31は、返信を示す情報を受信すると、ステップ804に戻る。一方、ステップ1001
において、クライアントが入力部401により“閉じる”または“×”を指示する操作を
行うと、応答プログラム1031は処理を終了する。 8, 9, and 10 are flowcharts showing processing of the response program 1031 in each client terminal 12. First, the response program 1031 receives a session timeout time from the VPN server 10 via the network 11 (step 800).
Then, the communication path 501 and the reply method 502 are acquired with reference to the reply method management table 1032 (step 801). Next, the response program 1031 returns a response to the VPN server 10 via the network 11 (step 802). Next, the response program 1031 determines whether or not the response is successful based on the return value of the reply method (step 803). The determination of the success or failure of the response is the same as the determination of the success or failure of the session timeout notification described above. If the response is successful as a result of the determination, the response program 1031 ends the process. On the other hand, if the result of determination in step 803 is that the response is unsuccessful, a response (retry) is returned to the VPN server 10 again (step 804). Next, the response program 1031 determines whether the response is successful based on the return value of the reply method (step 805). If the response is successful as a result of the determination, the response program 1031 counts the number of retries by 1 and determines whether the number of retries has reached a specified value (step 806). As a result of the determination, if the number of retries has not reached the specified value, the response program 1031 returns to step 804. On the other hand, step 80
If the result of determination in 6 indicates that the number of retries has reached a specified value, the response program 1031
The presence or absence of another communication path is determined with reference to the reply path 502 of the reply method management table 1032 (step 807). If there is another communication path as a result of the determination, the response program 1032 returns a response to the VPN server 10 via the network 11 using the communication path (step 808). On the other hand, if the result of determination in step 807 is that there is no other communication path, the response program 1031 causes the output unit 402 to display a warning message screen as shown in FIG. 11, for example (step 1000). In this warning message screen, the client inputs the input unit 4
By performing an operation of instructing “reply” by 01, a retry from the VPN server 10 to the client terminal 12 can be instructed. After the process of step 1000, the response program 10
When 31 receives the information indicating the reply, the process returns to step 804. On the other hand, step 1001
When the client performs an operation of instructing “close” or “x” by the input unit 401, the response program 1031 ends the process.

ステップ808の処理の後、応答プログラム1031は返信方法の戻り値に基づいて、応答が成功したかどうかを判定する(ステップ809)。判定の結果、応答成功の場合、応答プログラム1031は処理を終了する。一方、ステップ809での判定の結果、応答不成功の場合、応答プログラム1031は、ステップ804に戻る。   After the processing of step 808, the response program 1031 determines whether the response is successful based on the return value of the reply method (step 809). If the response is successful as a result of the determination, the response program 1031 ends the process. On the other hand, if the result of determination in step 809 is that the response has failed, the response program 1031 returns to step 804.

尚、図示していないが、各クライアント端末12において、制御部400は、セッショ
ンタイムアウト時間通知の受信日時、受信データ等の稼動履歴の情報や、応答成否の情報
等を記憶部403に記録する。 Although not shown, in each client terminal 12, the control unit 400 records in the storage unit 403 information such as the reception date and time of the session timeout time notification, operation history information such as received data, response success / failure information, and the like.

以上、本発明による実施形態を説明した。   The embodiment according to the present invention has been described above.

上記実施形態によれば、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくともSAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することができる。これにより、クライアント端末側からの通信が発生しなくとも、SAを永続的に確立することができるので、VPNサーバ側からリアルタイムにクライアント端末側に情報を送信することができる。   According to the above embodiment, in IPSEC-VPN, there is provided a session management method capable of permanently establishing an SA without occurrence of communication from the client terminal side, and a communication system and a communication device for implementing the session management method. Can do. Thereby, even if communication from the client terminal side does not occur, the SA can be established permanently, so that information can be transmitted from the VPN server side to the client terminal side in real time.

本発明を適用する通信システム1全体の構成例を示す図である。It is a figure which shows the structural example of the communication system 1 whole to which this invention is applied. VPNサーバ10のハードウェア構成例を示すブロック図である。2 is a block diagram illustrating a hardware configuration example of a VPN server 10. FIG. セッション管理テーブル1013の構成例を示す図である。10 is a diagram illustrating a configuration example of a session management table 1013. FIG. クライアント端末12の構成例を示すブロック図である。3 is a block diagram illustrating a configuration example of a client terminal 12. FIG. 返信方法管理テーブル1032の構成例を示す図である。It is a figure which shows the structural example of the reply method management table 1032. VPNサーバ10における監視プログラム1011の処理を示すフローチャートである。4 is a flowchart showing processing of a monitoring program 1011 in the VPN server 10. 同じく、VPNサーバ10における監視プログラム1011の処理を示すフローチャートである。Similarly, it is a flowchart showing processing of the monitoring program 1011 in the VPN server 10. クライアント端末12における応答プログラム1031の処理を示すフローチャートである。It is a flowchart which shows the process of the response program 1031 in the client terminal 12. 同じく、クライアント端末12における応答プログラム1031の処理を示すフローチャートである。Similarly, it is a flowchart showing processing of the response program 1031 in the client terminal 12. 同じく、クライアント端末12における応答プログラム1031の処理を示すフローチャートである。Similarly, it is a flowchart showing processing of the response program 1031 in the client terminal 12. クライアント端末12の出力部402に出力される警告メッセージ画面例を示す図である。It is a figure which shows the example of a warning message screen output to the output part 402 of the client terminal.

符号の説明Explanation of symbols

10・・・VPNサーバ、11・・・ネットワーク、12・・・クライアント端末、13・・・ネットワーク、100・・・制御部、101・・・記憶部、102・・・ネットワークインタフェース、103・・・ネットワークインタフェース、1011・・・監視プログラム、1012・・・更新プログラム、1013・・・セッション管理テーブル、400・・・制御部、401・・・入力部、402・・・出力部、403・・・記憶部、404・・・ネットワークインタフェース、405・・・ネットワークインタフェース、1031・・・応答プログラム、1032・・・返信方法管理テーブル。 DESCRIPTION OF SYMBOLS 10 ... VPN server, 11 ... Network, 12 ... Client terminal, 13 ... Network, 100 ... Control part, 101 ... Memory | storage part, 102 ... Network interface, 103 ... Network interface, 1011 ... monitoring program, 1012 ... update program, 1013 ... session management table, 400 ... control unit, 401 ... input unit, 402 ... output unit, 403 ... Storage unit 404: Network interface 405 ... Network interface 1031 ... Response program 1032 ... Reply method management table

Claims (9)

複数のクライアント端末と、該クライアント端末とネットワークを介して接続された通信装置からなる通信システムにおけるセッション管理方法であって、
前記通信装置は、
記憶手段に記憶されているセッションタイムアウト時間を一定周期で監視する処理と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する処理と、該判定結果が通知要の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する処理と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する処理と、該応答受信後に前記記憶手段に記憶されている当該セッションタイムアウト時間を初期値に更新する処理を実行し、
前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する処理と、該受信したセッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する処理を実行する
ことを特徴とするセッション管理方法。 A session management method in a communication system comprising a plurality of client terminals and a communication device connected to the client terminals via a network,
The communication device
A process for monitoring the session timeout time stored in the storage means at regular intervals, a process for determining whether or not to notify the session timeout time based on the session timeout time and the predetermined time, and the determination result is a notification required A process for notifying the client terminal of the session timeout time via the network, a process of receiving a response from the client terminal of the session timeout time notification destination via the network, and the storage after receiving the response. Execute the process to update the session timeout time stored in the means to the initial value,
The client terminal is
A process for receiving the session timeout time from the communication device via the network, and a process for responding to the communication device via the network after waiting for the received session timeout time. Management method. 前記通信装置において、
前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する処理を実行することを特徴とする請求項1に記載のセッション管理方法。 In the communication device,
The session management method according to claim 1, wherein when the session timeout time is equal to or shorter than the predetermined time, a process of notifying the client terminal of the session timeout time via the network is executed. 前記通信装置は、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知した後に、前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する処理をさらに実行し、
前記クライアント端末は、前記応答後に前記応答の前記通信装置への送信の成否を判定する処理をさらに実行する
ことを特徴とする請求項1または請求項2に記載のセッション管理方法。 The communication apparatus further performs a process of determining success or failure of notification to the client terminal of the session timeout time after notifying the client terminal of the session timeout time via the network,
The session management method according to claim 1, wherein the client terminal further executes a process of determining success or failure of transmission of the response to the communication device after the response. 複数のクライアント端末と、該クライアント端末とネットワークを介して接続され通信装置からなる通信システムであって、
前記通信装置は、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、該判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、該応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有し、
前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する受信手段と、該受信手段により受信した前記セッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する応答手段を有する
ことを特徴とする通信システム。 A communication system comprising a plurality of client terminals and a communication device connected to the client terminals via a network,
The communication device
A session timeout time managing means for managing a session timeout time; a monitoring means for monitoring the session timeout time at a fixed period; and a determination for determining the necessity of notification of a session timeout time based on the session timeout time and a predetermined time. A notification means for notifying the client terminal of the session timeout time via the network when the determination result of the determination means indicates that notification is required; and from the client terminal that is the session timeout time notification destination via the network Response receiving means for receiving a response, and update means for updating the session timeout time managed by the session timeout time management means to an initial value after receiving the response,
The client terminal is
Receiving means for receiving the session timeout time from the communication device via the network, and response means for responding to the communication device via the network after waiting for the session timeout time received by the receiving means. A communication system characterized by the above. 前記通信装置において、
前記通知手段は、前記判定手段による判定の結果、前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する
ことを特徴とする請求項4に記載の通信システム。 In the communication device,
The notification means notifies the client terminal of the session timeout time via the network when the session timeout time is equal to or shorter than the predetermined time as a result of the determination by the determination means. The communication system according to 1. 前記通信装置は、前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する手段をさらに有し、
前記クライアント端末は、前記応答の前記通信装置への送信の成否を判定する手段をさらに有する
ことを特徴とする請求項4または請求項5に記載の通信システム。 The communication apparatus further includes means for determining success or failure of notification to the client terminal of the session timeout time,
The communication system according to claim 4, wherein the client terminal further includes means for determining success or failure of transmission of the response to the communication device. 複数のクライアント端末とネットワークを介して接続された通信装置であって、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、
前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、
前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、
前記判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、
前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、
前記応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有する
ことを特徴とする通信装置。 A communication device connected to a plurality of client terminals via a network,
Session timeout time management means for managing session timeout time;
Monitoring means for monitoring the session timeout time at a constant period;
A determination means for determining whether or not notification of a session timeout time is necessary based on the session timeout time and a predetermined time;
A determination unit configured to notify the client terminal of the session timeout time via the network when a determination result of the determination unit requires notification;
Response receiving means for receiving a response from the client terminal to which the session timeout time is notified via the network;
A communication apparatus, comprising: an updating unit that updates the session timeout time managed by the session timeout time management unit to an initial value after receiving the response. 前記通知手段は、前記判定手段による判定の結果、前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知することを特徴とする請求項7に記載の通信装置。   The notification means notifies the client terminal of the session timeout time via the network when the session timeout time is equal to or shorter than the predetermined time as a result of the determination by the determination means. The communication apparatus as described in. 前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する手段をさらに有することを特徴とする請求項7または請求項8に記載の通信装置。   9. The communication apparatus according to claim 7, further comprising means for determining success or failure of notifying the client terminal of the session timeout time.
JP2007270817A 2007-10-18 2007-10-18 Session management method, communication system, and communication apparatus Pending JP2009098985A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007270817A JP2009098985A (en) 2007-10-18 2007-10-18 Session management method, communication system, and communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007270817A JP2009098985A (en) 2007-10-18 2007-10-18 Session management method, communication system, and communication apparatus

Publications (1)

Publication Number Publication Date
JP2009098985A true JP2009098985A (en) 2009-05-07

Family

ID=40701918

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007270817A Pending JP2009098985A (en) 2007-10-18 2007-10-18 Session management method, communication system, and communication apparatus

Country Status (1)

Country Link
JP (1) JP2009098985A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180033329A (en) 2016-09-23 2018-04-03 한국생산기술연구원 Method of manufacturing metal-metal hydride core-shell particles

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180033329A (en) 2016-09-23 2018-04-03 한국생산기술연구원 Method of manufacturing metal-metal hydride core-shell particles

Similar Documents

Publication Publication Date Title
US10063599B2 (en) Controlling registration floods in VOIP networks via DNS
US11025605B2 (en) System and method for secure application communication between networked processors
JP5872731B2 (en) Computer implemented method, non-transitory computer readable medium and computer system for communicating detection of link failure to each of a plurality of nodes of a cluster
EP3300331B1 (en) Response method, apparatus and system in virtual network computing authentication, and proxy server
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
US20150326425A1 (en) Recording, analyzing, and restoring network states in software-defined networks
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
CN108718347B (en) Domain name resolution method, system, device and storage medium
JP6279938B2 (en) Connection management apparatus, communication system, connection management method and program
US11902130B2 (en) Data packet loss detection
KR20060135898A (en) System and method for maximizing connectivity during network failures in a cluster system
JP2008504776A (en) Method and system for dynamic device address management
US10680930B2 (en) Method and apparatus for communication in virtual network
US8671180B2 (en) Method and system for generic application liveliness monitoring for business resiliency
CN116708129A (en) Method, device and storage medium for link fault detection and quick recovery
JP2009098985A (en) Session management method, communication system, and communication apparatus
KR101070522B1 (en) System and method for monitoring and blocking of spoofing attack
TWI709309B (en) Network management device and network management method thereof
JP6680709B2 (en) Router and communication control method
CN117061496A (en) Remote debugging method, debugging terminal, target equipment and remote debugging system
JP5460254B2 (en) Information communication system and information communication method
JP2010239419A (en) Network switching device and method therefor
JP2008131345A (en) Call center device
JP2007251617A (en) Router device and communication control method
JP2010220263A (en) Security-protecting device for network