CN103503384B - 中继服务器及中继通信系统 - Google Patents
中继服务器及中继通信系统 Download PDFInfo
- Publication number
- CN103503384B CN103503384B CN201280019441.5A CN201280019441A CN103503384B CN 103503384 B CN103503384 B CN 103503384B CN 201280019441 A CN201280019441 A CN 201280019441A CN 103503384 B CN103503384 B CN 103503384B
- Authority
- CN
- China
- Prior art keywords
- relay server
- operator
- information
- bag
- connecting object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
中继服务器(2)对进行了登录请求的操作者提示该操作者能够连接的连接对象设备的列表。在从该列表中选择了例如客户端终端(47)时,中继服务器(2)将操作者操作的通信装置的地址存储为中继服务器(2)的地址滤波器信息,并且将该地址滤波器信息发送给客户端终端(47)。中继服务器(2)存储从客户端终端(47)接收到的地址滤波器信息。然后,在中继服务器(2)和客户端终端(47)之间建立用于VPN的路由会话,并根据地址滤波器信息对包进行路由。
Description
技术领域
本发明主要涉及能够实现与不同LAN(LocalAreaNetwork:局域网)连接的终端之间的通信的中继服务器。
背景技术
过去已经公知有被称为虚拟专用网(VirtualPrivateNetwork:VPN)的通信技术(例如,参照专利文献1)。该VPN例如被用于这样的用途中,即,使与在每个地区设置的多个分公司(据点)的LAN连接的终端之间通过因特网进行通信。如果利用所述VPN,能够如同是被直接连接的网络般地使用处于遥远地区的其它LAN。
现有技术文献
专利文献
专利文献1:日本特开2002-217938号公报
发明概要
发明要解决的问题
可是,在这种系统中,通常使用设备的IP地址和识别信息等进行设备之间的通信。另一方面,当在这种系统中进行作业的情况下,操作者使用的设备不一定始终是相同设备,有时在移动目的地和出差目的地等使用不同的设备。这意味着VPN的构成设备变更,因而通常需要变更VPN的设定。但是,在产生网络的设定变更等的情况下,这些变更必须反映在其它设备上,将导致处理变复杂。尤其是当在大规模网络中多个操作者进行作业的情况下,访问控制的设定容易变得烦杂,在这方面具有改善的余地。
发明内容
本发明正是鉴于上述情况而提出的,其主要目的在于,提供能够根据操作者使用的设备而灵活机动地构建VPN的中继服务器。
用于解决问题的手段及效果
本发明想要解决的问题如上所述,下面说明用于解决该问题的手段及其效果。
根据本发明的第一方面提供如下结构的中继服务器。即,该中继服务器具有以下单元:存储第1地址滤波器信息和第2地址滤波器信息的单元,该第1地址滤波器信息是自身能够传输包的地址,该第2地址滤波器信息是表示其它中继服务器及客户端终端的连接对象设备能够传输包的地址;受理操作者的识别信息的单元,该操作者通过经由LAN而连接的通信装置进行登录操作;根据登录被受理的操作者的识别信息,取得该操作者能够连接的所述连接对象设备的列表的单元;受理操作者从能够连接的所述连接对象设备的列表中对所述连接对象设备的选择的单元;以及与操作者选择的所述连接对象设备建立路由会话的单元。中继服务器将操作者进行了登录操作的所述通信装置的地址存储为第1地址滤波器信息,并向所述连接对象设备发送该通信装置的地址。中继服务器将从所述连接对象设备接收到的地址存储为第2地址滤波器信息。中继服务器在所接收到的包的发送目的地被存储为所述第1地址滤波器信息的情况下,向发送目的地发送包。中继服务器在所接收到的包的发送目的地被存储为所述第2地址滤波器信息的情况下,向所述路由会话发送包。
由此,操作者能够利用在中继服务器和所选择的连接对象设备之间建立的路由会话进行通信。并且,在上述的结构中,按照每个操作者来设定能够连接的连接对象设备。因此,即使是操作者登录所用的通信装置被变更时,如果进行登录的操作者相同,就能够与和以前相同的对象建立路由会话并进行通信。并且,能够容易按照每个操作者进行不同的访问控制。
优选的是,在所述中继服务器中,取得所述连接对象设备的列表的单元,取得登录被受理的操作者所属的操作者组能够连接的其它中继服务器的列表,作为所述连接对象设备的列表。
由此,操作者能够选择为路由会话的对象的中继服务器,是按照该操作者所属的每个操作者组进行设定的,并且,在操作者从能够选择的中继服务器中实际选择的选择中继服务器中,指定该操作者能够连接的设备。因此,即使是操作者登录所用的通信装置被变更,如果进行登录的操作者相同,就能够与和以前相同的设备进行通信。并且,通过由中继服务器自身进行基于操作者组等级的访问控制的设定,并由选择中继服务器进行基于各个操作者组等级的访问控制的设定,能够合理地实现复杂的访问控制。
根据本发明的第二方面提供如下结构的中继服务器。即,该中继服务器具有包传输控制信息存储部和控制部。所述包传输控制信息存储部能够将表示能够被自身(中继服务器)指定为包的传输目的地的路由对象装置的地址的地址滤波器信息与自身的识别信息相对应地进行存储,并且,能够将表示能够被连接对象设备指定为包的传输目的地的路由对象装置的地址的地址滤波器信息与该连接对象设备的识别信息相对应地进行存储,所述连接对象设备表示能够与自身连接的连接对象侧的中继服务器及属于该连接对象侧的中继服务器的客户端终端。所述控制部具有:连接对象设备取得控制部、VPN启动控制部、地址滤波器信息通信控制部、路由会话建立控制部、及路由控制部。所述连接对象设备取得控制部根据连接许可信息取得进行了登录请求的操作者能够连接的所述连接对象设备,所述连接许可信息是自身(中继服务器)或者自身能够连接的其它中继服务器存储的信息,而且是将能够登录到包括自身和所述连接对象设备而构成的中继通信系统的操作者的识别信息、和该操作者能够连接的所述连接对象设备的识别信息建立了对应的信息。所述VPN启动控制部,针对从所取得的所述连接对象设备中选择的所述连接对象设备进行虚拟专用网的启动处理。地址滤波器信息通信控制部,将操作者为了进行登录请求而操作的通信装置的地址,作为与自身(中继服务器)的识别信息相对应的地址滤波器信息存储在所述包传输控制信息存储部中,并将该地址滤波器信息发送给所述连接对象设备,还将从所述连接对象设备接收到的地址滤波器信息作为与该连接对象设备的识别信息相对应的地址滤波器信息存储在所述包传输控制信息存储部中。路由会话建立控制部,针对所选择的所述连接对象设备建立路由会话。路由控制部,当在与自身(中继服务器)的识别信息相对应的地址滤波器信息中指定了所接收到的包的发送目的地时,向该发送目的地发送包,当在与所述连接对象设备的识别信息相对应的地址滤波器信息中指定了所接收到的包的发送目的地时,通过在自身(中继服务器)和该连接对象设备之间建立的路由会话向该连接对象设备发送包。
由此,能够利用所构建的VPN在操作者为了进行登录请求而操作的通信装置、与连接对象设备能够传输包的路由对象装置之间进行通信。并且,在连接许可信息中,操作者的识别信息和该操作者能够连接的连接对象设备的识别信息相对应。因此,即使是操作者登录所用的设备被变更时,如果进行登录的操作者相同,就能够容易当场构建诸如包括和以前相同的对象的VPN并进行使用。并且,能够容易按照每个操作者进行不同的访问控制。
优选的是,在所述中继服务器中采取如下结构。即,所述中继服务器具有管理目的地信息存储部,用于存储对包括自身(中继服务器)在内的中继服务器进行管理的管理侧的中继服务器的识别信息。所述连接许可信息由所述管理侧的中继服务器进行存储。所述控制部在从操作者受理了登录请求时,根据所述管理目的地信息存储部的存储内容来访问所述管理侧的中继服务器,由此取得进行了登录请求的操作者能够连接的所述连接对象设备。
由此,形成管理侧的中继服务器集中管理连接许可信息的结构,因而不需要由多台设备共享连接许可信息。因此,不需要该设备之间的连接许可信息的同步控制,能够减轻在中继服务器中进行的处理。
优选的是,在所述中继服务器中采取如下结构。即,该中继服务器具有存储所述连接许可信息的连接许可信息存储部。所述控制部在从操作者受理了登录请求时,根据在所述连接许可信息存储部中存储的所述连接许可信息,取得进行了登录请求的操作者能够连接的所述连接对象设备。
即,在如上述的结构那样由管理侧的中继服务器集中管理连接许可信息的情况下,每当从操作者受理登录请求时就需要访问该中继服务器。关于这一点,在上述的结构中,仅通过参照自身(中继服务器)的存储内容,即可取得进行了登录请求的操作者能够连接的所述连接对象设备。因此,能够简化到启动VPN为止的处理。
优选的是,在所述中继服务器中采取如下结构。即,所述连接许可信息是将包括一个或者多个操作者的操作者组的信息、和被指定为属于该操作者组的操作者能够连接的中继服务器的指定中继服务器建立了对应的信息。所述路由会话建立控制部进行如下控制:使自身和所述指定中继服务器中被操作者选择的中继服务器即选择中继服务器之间建立路由会话,并且根据操作者连接控制信息使该选择中继服务器和属于该选择中继服务器的客户端终端中被指定为该操作者能够连接的设备即指定设备之间建立路由会话,所述操作者连接控制信息是由该选择中继服务器存储的信息,而且是将属于所述操作者组的操作者的识别信息、和所述指定设备的识别信息建立了对应的信息。所述地址滤波器信息通信控制部与所述指定设备交换地址滤波器信息。所述路由控制部进行如下控制:在由与所述指定设备的识别信息相对应的地址滤波器信息指定了接收到的包的发送目的地时,通过将自身和所述指定设备之间连接而构成的一个或者多个路由会话向该指定设备发送包。
因此,在组连接控制信息和操作者连接控制信息中,能够连接的指定中继服务器或者指定设备与操作者组或者操作者(而非操作者为了登录而操作或使用的设备)相对应。并且,在自身(中继服务器)中,能够当场使用操作者登录中继通信系统时操作的通信装置的地址生成与自身对应的地址滤波器信息,并将该地址滤波器信息用于包的传输。因此,即使是操作者为了进行登录而操作的设备被变更,如果进行登录的操作者相同,就能够容易构建诸如包括和以前相同的对象的VPN并进行使用。另外,在上述的结构中,基于中继服务器等级的访问控制是以操作者组为单位而进行的,而基于设备等级的访问控制是根据连接对象侧的中继服务器(指定中继服务器)分别存储的操作者连接控制信息,以独立的操作者为单位而进行的。因此,对于操作者的访问控制,能够同时实现设定的简洁化和极精细的访问控制。另外,在指定中继服务器存储的操作者连接控制信息中,(仅)对属于自身成为指定中继服务器的操作者组的操作者存储指定设备。这样,用于规定基于设备等级的精细访问控制的操作者连接控制信息以由各个指定中继服务器分担的形式彼此独立地进行存储,因而能够防止各个指定中继服务器中的存储内容的庞大化,并且也能够省略存储内容的同步控制。
优选的是,在所述中继服务器中采取如下结构。即,在所述选择中继服务器不能与该指定设备进行通信的情况下,所述控制部根据该选择中继服务器通知给自身的错误,使请求了登录的操作者操作的通信装置显示连接失败。
由此,进行登录的操作者能够适当掌握不能开始基于VPN的通信的异常。
优选的是,在所述中继服务器中采取如下结构。即,在所述操作者连接控制信息中,将属于所述操作者组的操作者的识别信息、所述指定设备的识别信息、和计划信息相对应。所述控制部启动利用了一个或者多个路由会话的虚拟专用网,该一个或者多个路由会话是根据所述操作者连接控制信息将所述选择中继服务器、和与请求了登录的操作者及当前时间对应的所述指定设备之间连接而构成的。
由此,能够进行考虑了连接时间段的极精细的访问控制。
根据本发明的第三方面提供如下结构的中继通信系统。即,该中继通信系统具有中继服务器和属于所述中继服务器的客户端终端。所述中继服务器中作为连接侧的中继服务器发挥作用的所述中继服务器具有包传输控制信息存储部和控制部。所述包传输控制信息存储部能够将表示能够被自身(中继服务器)指定为包的传输目的地的路由对象装置的地址的地址滤波器信息与自身的识别信息相对应地进行存储,并且,能够将表示能够被连接对象设备指定为包的传输目的地的路由对象装置的地址的地址滤波器信息与该连接对象设备的识别信息相对应地进行存储,所述连接对象设备表示能够与自身连接的连接对象侧的中继服务器及属于该连接对象侧的中继服务器的客户端终端。所述控制部具有:连接对象设备取得控制部、VPN启动控制部、地址滤波器信息通信控制部、路由会话建立控制部、及路由控制部。所述连接对象设备取得控制部,根据连接许可信息取得进行了登录请求的操作者能够连接的所述连接对象设备,所述连接许可信息是将操作者的识别信息、和操作者能够连接的所述连接对象设备的识别信息建立了对应的信息。所述VPN启动控制部,针对从所取得的所述连接对象设备中选择的所述连接对象设备进行虚拟专用网的启动处理。地址滤波器信息通信控制部,将操作者为了进行登录请求而操作的通信装置的地址,作为与自身(中继服务器)的识别信息相对应的地址滤波器信息存储在所述包传输控制信息存储部中,并将该地址滤波器信息发送给所述连接对象设备,还将从所述连接对象设备接收到的地址滤波器信息作为与该连接对象设备的识别信息相对应的地址滤波器信息存储在所述包传输控制信息存储部中。路由会话建立控制部,针对所选择的所述连接对象设备建立路由会话。路由控制部,当在与自身(中继服务器)的识别信息相对应的地址滤波器信息中指定了所接收到的包的发送目的地时,向该发送目的地发送包,当在与所述连接对象设备的识别信息相对应的地址滤波器信息中指定了所接收到的包的发送目的地时,通过在自身和该连接对象设备之间建立的路由会话向该连接对象设备发送包。
优选的是,在所述中继通信系统中采取如下结构。即,所述连接许可信息是指将包括一个或者多个操作者的操作者组的信息、和被指定为属于该操作者组的操作者能够连接的中继服务器的指定中继服务器建立了对应的信息。所述路由会话建立控制部进行如下控制:使自身和所述指定中继服务器中被操作者选择的中继服务器即选择中继服务器之间建立路由会话,并且根据操作者连接控制信息使该选择中继服务器和属于该选择中继服务器的客户端终端中被指定为该操作者能够连接的设备即指定设备之间建立路由会话,所述操作者连接控制信息是由该选择中继服务器存储的信息,而且是将属于所述操作者组的操作者的识别信息、和所述指定设备的识别信息建立了对应的信息。所述地址滤波器信息通信控制部与所述指定设备交换地址滤波器信息。所述路由控制部进行如下控制:在由与所述指定设备的识别信息相对应的地址滤波器信息指定了接收到的包的发送目的地时,通过将自身和所述指定设备之间连接而构成的一个或者多个路由会话向该指定设备发送包。
因此,能够实现可以发挥以上说明的效果的中继通信系统。
附图说明
图1是表示本发明的一个实施方式涉及的中继通信系统的整体结构的说明图。
图2是管理侧的中继服务器1的功能块图。
图3是管理对象的中继服务器2、3、4的功能块图。
图4是表示中继服务器的通信控制部63的详细结构的功能块图。
图5是表示操作者信息的内容的图。
图6是表示连接许可信息的内容的图。
图7是表示管理目的地信息的内容的图。
图8是表示路由会话信息的内容的图。
图9是表示在中继服务器2和客户端终端47之间共享的包传输控制信息的内容的图。
图10是表示本发明的启动VPN的处理的流程的流程图。
图11是说明通信装置22向文件服务器46发送包时的路径的图。
图12是说明文件服务器46向通信装置22发送包时的路径的图。
图13是表示连接侧的中继服务器2的变形例的功能块图。
图14是表示操作者组信息的内容的图。
图15是表示变形例的连接许可信息的内容的图。
图16是第2实施方式的连接对象侧的中继服务器3、4的功能块图。
图17是表示第2实施方式的连接许可信息的内容的图。
图18是表示第2实施方式的包传输控制信息的内容的图。
图19是表示操作者连接控制信息的内容的图。
图20是表示操作者1使用中继服务器2进行登录的情况的说明图。
图21是表示在图20所示的情况下启动VPN的处理的流程的流程图。
图22是说明在图20所示的情况下通信装置22向文件服务器31发送包时的路径的图。
图23是说明在图20所示的情况下文件服务器31向通信装置22发送包时的路径的图。
图24是表示操作者2使用中继服务器2进行登录的情况的说明图。
图25是表示在图24所示的情况下启动VPN的处理的前半部分的流程图。
图26是表示在图24所示的情况下启动VPN的处理的后半部分的流程图。
图27是表示在图24所示的情况下在中继服务器2、3中存储的包传输控制信息的内容的图。
图28是说明在图24所示的情况下通信装置22向文件服务器46发送包时的路径的图。
图29是说明在图24所示的情况下文件服务器46向通信装置22发送包时的路径的图。
图30是表示操作者连接控制信息的变形例的图。
具体实施方式
下面,参照附图说明本发明的实施方式。首先,参照图1说明第1实施方式的中继通信系统100的概况。图1是表示本发明的一个实施方式涉及的中继通信系统100的整体结构的说明图。
如图1所示,该中继通信系统100由与WideAreaNetwork(WAN:广域通信网)80连接的多个中继服务器1、2、3、4、和通过LAN10、20、30、40、45、48与中继服务器1、2、3、4连接的客户端终端11、21、42、47、……构成。各个LAN10、20、30、48被配置于在物理上彼此远离的场所。另外,在本实施方式中,WAN80使用因特网。
下面说明各个LAN。如图1所示,LAN10与中继服务器1、客户端终端11连接。LAN20与中继服务器2、客户端终端21、通信装置22、23连接。LAN30与中继服务器3、文件服务器31连接。LAN48与中继服务器4连接。
LAN30通过路由器32与另一个LAN40连接,并还通过路由器33与另一个LAN45连接。LAN40与文件服务器41、客户端终端42连接。LAN45与文件服务器46、客户端终端47连接。
另外,在图1中仅图示了一部分,但假设在LAN20、30中配置有多个客户端终端等。并且,在与中继服务器4连接的LAN48中也配置有未图示的多个客户端终端等。
在使用该中继通信系统100时,使操作者在设置有LAN20的场所待机。在LAN30、40、45中配置有该操作者进行维护等的对象即文件服务器31、41、46。并且,在LAN48中也配置有未图示的维护对象设备。
另外,设置有LAN10的场所是管理由操作者进行的维护业务的据点,预先在中继服务器1中设定用于规定基于中继服务器单位的操作者的访问权限的信息(作为连接许可信息)。操作者使用通信装置22、23等在操作者自身具有的访问权限的范围内访问文件服务器31、41、46等,并进行远程维护。
这样,本实施方式的中继通信系统100是用于从LAN20侧向LAN30、40、45、48侧连接并进行各种作业的系统,不假设反方向的连接。因此,在下面的说明中,有时将LAN20称为“连接侧”、将LAN30、40、45、48称为“连接对象侧”。并且,中继通信系统100的各种管理作业是在连接于LAN10的设备中进行,因而在下面的说明中有时将该LAN10称为“管理侧”。
另外,有时将与连接侧的LAN20连接的中继服务器(中继服务器2)称为连接侧的中继服务器,将与连接对象侧的LAN30、48连接的中继服务器(中继服务器3、4)称为连接对象侧的中继服务器。另外,有时将连接侧的中继服务器和属于该中继服务器的客户端终端统称为连接侧的设备。并且,有时将连接对象侧的中继服务器和属于该中继服务器的客户端终端统称为连接对象设备。
下面参照图2~图9说明中继服务器1~4。图2是管理侧的中继服务器1的功能块图。图3是连接侧及连接对象侧的中继服务器2、3、4的功能块图。图4是表示连接侧的中继服务器的通信控制部63的详细结构的功能块图。图5~图9是表示中继服务器存储的内容的图。
如图1所示,各个中继服务器1~4不仅与LAN10、20、30、48连接,而且也与WAN80连接。并且,对各个中继服务器1~4赋予了专用IP地址和全球IP地址。因此,各个中继服务器1~4不仅能够与连接于和自身相同的LAN的客户端终端进行通信,而且也能够与配置在其它LAN中的中继服务器进行通信。
另外,在本实施方式的中继通信系统100中构成为,该系统中所包含的中继服务器中的一个中继服务器作为管理侧的中继服务器进行动作,其它中继服务器被划分为连接侧和连接对象侧进行动作。具体地讲,在本实施方式中预先设定成中继服务器1作为管理侧的中继服务器进行动作,中继服务器2作为连接侧的中继服务器进行动作,中继服务器3、4作为连接对象侧的中继服务器进行动作。下面,按照管理侧的中继服务器1、连接侧的中继服务器2、连接对象侧的中继服务器3、4的顺序进行说明。
如图2所示,管理侧的中继服务器1具有存储部50、控制部60、接口部70。
接口部70能够利用专用IP地址与LAN10内的终端进行通信。并且,接口部70能够利用全球IP地址经由WAN80进行通信。
控制部60例如是具有控制及运算的功能的CPU,能够按照从存储部50读出的流程执行各种处理。该控制部60能够控制依据于TCP/IP、UDP、SIP等通信协议的各种通信处理。如图2所示,控制部60具有接口驱动器61、LAN侧IP包处理部62、通信控制部63、WAN侧IP包处理部64。
接口驱动器61是控制接口部70的驱动器软件。LAN侧IP包处理部62对从LAN10接收到的包进行适当的处理,并输出给通信控制部63。WAN侧IP包处理部64对从WAN80接收到的包进行适当的处理,并输出给通信控制部63。
通信控制部63对于接收到的包,根据该包所示出的信息和在存储部50中存储的信息来决定发送目的地,并向所决定的发送目的地发送该包。并且,通信控制部63能够根据从其它终端接收到的信息更新存储部50的存储内容。通信控制部63如图4所示具有连接对象设备取得控制部631、VPN启动控制部632、地址滤波器信息通信控制部633、路由会话建立控制部634、和路由控制部635。另外,关于上述各个控制部进行的控制将在后面进行说明。
存储部50例如由硬盘或者非易失性RAM构成,能够保存各种数据。存储部50具有操作者信息存储部51和连接许可信息存储部52。下面,参照图5和图6来说明存储部50的存储内容。图5是表示操作者信息的内容的图。图6是表示连接许可信息的内容的图。
中继服务器1具有的操作者信息存储部51存储有用于确定能够登录中继通信系统100的操作者的信息、和表示操作者的利用状况等的信息即操作者信息。另外,该操作者信息存储部51构成为仅管理侧的中继服务器1具有,如图3所示中继服务器2、3不具有该操作者信息存储部51。下面,具体说明操作者信息的内容。
在图5所示的操作者信息中,在被记述为“操作者ID”的列中记述有能够登录中继通信系统100的操作者ID的一览。该操作者ID由对每个操作者设定的固有的字符串构成。另外,在被记述为“密码”的列中记述有使用在相同行中记述的操作者ID登录中继通信系统100所需要的密码。各个操作者能够使用对自身设定的操作者ID和密码登录中继通信系统100。
简单说明操作者使用该操作者ID和密码登录中继通信系统100时的流程。操作者使用通信装置22、23等访问中继服务器2或者客户端终端21,在规定的登录画面中输入操作者ID和密码,由此能够向中继通信系统100进行登录请求。受理了该登录请求的中继服务器2或者客户端终端21向中继服务器1发送该输入内容。接收到该输入内容的中继服务器1将操作者输入的操作者ID和密码与操作者信息存储部51存储的操作者信息进行核对,并判定该操作者ID是否已经通过其它中继服务器完成登录。中继服务器1根据其结果决定可否登录。
在图5中示出了中继服务器1的操作者信息存储部51存储的操作者信息的示例。在该操作者信息存储部51中,在被记述为“使用设备信息”的列中记述有这样的信息:在操作者已经使用在相同行中记述的操作者ID登录中继通信系统100的情况下,与该操作者向中继通信系统100登录时使用的中继通信系统100侧的设备(具体地讲是指中继服务器2或者客户端终端21,而非通信装置22、23。下面称为使用设备)相关的信息(使用设备信息)。
具体地讲,在操作者使用中继服务器正在进行登录的情况下,该中继服务器的识别信息成为使用设备信息。例如,在图1中的操作者2通过通信装置22登录了中继服务器2的情况下,在中继服务器1的操作者信息存储部51中,如图5所示,该中继服务器2的识别信息被记述为与操作者2的操作者ID(Op2)相对应的使用设备信息。
另一方面,在操作者使用客户端终端正在进行登录的情况下,该客户端终端的识别信息、和该客户端终端的所属地即中继服务器的识别信息双方成为使用设备信息。例如,在图1中的操作者1通过通信装置23登录了客户端终端21的情况下,在中继服务器1的操作者信息存储部51中,如图5所示,该客户端终端21的识别信息和中继服务器2的识别信息被记述为与操作者1的操作者ID(Op1)相对应的使用设备信息。
另外,在操作者没有登录中继通信系统100的情况下,使用设备信息为空白栏(参照与图5的Op3和Op4对应的使用设备信息)。
操作者信息存储部51存储的操作者信息中的、能够登录的操作者ID的一览、和对该每个操作者ID设定的密码,由各操作者和管理者等预先设定。另一方面,在每当操作者进行登录或者登出时,使用设备信息被更新为最新的信息。
连接许可信息存储部52存储有表示能够登录中继通信系统100的操作者的访问权限的连接许可信息。另外,在本实施方式中该连接许可信息存储部52构成为仅管理侧的中继服务器1具有,如图3所示,中继服务器2、3不具有该连接许可信息存储部52。下面,具体说明连接许可信息的内容。
在图6所示的连接许可信息中,在被记述为“操作者ID”的列中记述有能够登录中继通信系统100的操作者ID的一览。另外,在被记述为“连接对象设备的识别信息”的列中记述有许可使用在相同行中记述的操作者ID进行连接的所述连接对象设备的识别信息。具体地讲,在操作者2(操作者ID=Op2)操作通信装置22访问中继服务器2、并使用该中继服务器2登录了中继通信系统100时,该操作者2能够利用该中继服务器2(使用设备)、与在图6的连接许可信息中与操作者2对应的连接对象设备(具体地讲指客户端终端42或者客户端终端47)的连接。在这种情况下,以该中继服务器2(使用设备)为始点、经由中继服务器3并以客户端终端42或者客户端终端47为终点的路由会话被建立,并且构建利用了该路由会话的虚拟专用网(VPN)。
在此,在连接许可信息存储部52存储的连接许可信息(图6)中,连接对象设备与操作者ID对应(而非使用设备的识别信息)。因此,即使是在操作者2进行登录时使用的设备不同的情况下,所能够连接的连接对象设备也与上述设备相同。例如,假设操作者2操作通信装置23访问客户端终端21、并使用该客户端终端21登录了中继通信系统100的情况下,以该客户端终端21(使用设备)为始点、经由中继服务器2和中继服务器3并以客户端终端42或者客户端终端47为终点的路由会话被建立,并且构建利用了该路由会话的VPN。
下面,参照图3、图7~图9说明中继服务器2~4的结构。另外,中继服务器2~4除部分结构之外是大致相同的结构,因而以中继服务器2为代表进行说明。
中继服务器2具有与中继服务器1相同地构成的控制部60和接口部70。另一方面,中继服务器2的存储部50的存储内容与中继服务器1的存储部50的存储内容有一部分不同。具体地讲,中继服务器2在存储部50中具有管理目的地信息存储部53、包传输控制信息存储部(地址滤波器信息存储部)54、和路由会话信息存储部55。
管理目的地信息存储部53如图7所示存储有以自身为管理对象的管理侧的中继服务器即中继服务器1的识别信息。因此,中继服务器2通过参照该管理目的地信息存储部53的存储内容,能够访问管理侧的中继服务器即中继服务器1。另外,在由于维护等事情而变更管理侧的中继服务器的情况下,将该情况通知其它中继服务器,管理目的地信息存储部53的存储内容被更新。
在中继服务器2形成用于在自身和其它设备之间传输包的所述路由会话的情况下,路由会话信息存储部55存储有将自身的识别信息、和成为该路由会话的对象的设备的识别信息建立了对应的路由会话信息。另外,在下面的说明中,有时将与其它设备形成路由会话并进行包的传输的设备称为路由设备。
在图8中示出了由中继服务器2和中继服务器3形成路由会话时的路由会话信息存储部55的存储内容。在该路由会话信息中,自身及路由会话的对象的设备在路由会话建立处理中被区分记述为最先进行通信控制的一侧(始点)、和接受该通信控制的一侧(终点)。
在此,在由连接侧的设备和连接对象侧的设备建立路由会话的情况下,一定是连接侧的设备最先进行通信控制。另一方面,在由连接对象侧的中继服务器和属于该中继服务器的客户端终端建立路由会话的情况下,一定是中继服务器最先进行通信控制。这样,应该成为通信控制的始点的设备是按照统一的规则进行规定的,因而能够防止通信控制的冲突。
包传输控制信息存储部54存储有包传输控制信息,该包传输控制信息表示在操作者登录了中继服务器2的结果是该中继服务器2与其它设备之间形成路由会话并构建利用了该路由会话的VPN的情况下,具有什么样的发送目的地的包是由中继服务器2来发送的。
另外,在本实施方式中,有时是中继服务器作为路由设备发挥作用,有时是客户端终端作为路由设备发挥作用。
在图9中示例了包传输控制信息存储部54的存储内容的概要。在图9中,右侧的“地址滤波器信息”的列表示被许可传输的包的发送目的地。包传输控制信息如图9所示是组合多个地址滤波器信息而构成的。
在本实施方式中,地址滤波器信息是将设备(包的路由对象装置)的地址和对该地址赋予的名称建立了对应的信息。在图9的示例中,以表示一个设备的方式记述地址滤波器信息的地址,但也能够使用例如子网掩码等设为诸如表示网络整体的地址。关于与地址相对应的名称,能够赋予地址所表示的设备(或者网络)的名称、或者利用该设备的操作者的名称等容易理解的合适的名称。
按照图9的示例进行说明,如果该中继服务器2接收到的包的发送目的地是操作者2(严格地讲是操作者2操作的通信装置22),中继服务器2向其它设备传输该包。作为这种情况时的传输目的地,可以考虑是形成了路由会话的对象即其它路由设备的情况、和是包的发送目的地本身的情况这两种情况。另一方面,在包的发送目的地不是上述任何设备的情况下,不传输该包。
这样,所述包传输控制信息和构成该包传输控制信息的地址滤波器信息被用于根据其发送目的地来判定可否传输包(对包进行滤波)。
另外,下面有时将与自身对应的地址滤波器信息称为第1地址滤波器信息,将与其它设备对应的地址滤波器信息称为第2地址滤波器信息。
中继服务器2~4按照上面所述而构成。另外,关于客户端终端11、21、42、47的结构,具有实质上与中继服务器2相同地构成的存储部50和控制部60,但省略详细说明。尤其是客户端终端具有能够存储与中继服务器2、3具有的包传输控制信息存储部54相同的内容的包传输控制信息存储部。另外,各个客户端终端具有存储自身所属的中继服务器的识别信息的所属中继服务器信息存储部。
下面,说明在各个路由设备(中继服务器和客户端终端)中生成如图9所示的所述包传输控制信息的处理。包传输控制信息如上所述是用于规定路由设备进行的包传输控制的规则的信息,以便实现VPN。另一方面,在本实施方式的中继通信系统100中能够构建多个构成设备彼此不同的VPN。为了实现这种中继通信系统100,中继服务器和客户端终端具有的包传输控制信息存储部能够按照每个VPN存储包传输控制信息。即,每当构建新的VPN时,生成新的包传输控制信息并存储在路由设备的包传输控制信息存储部中。
VPN用的所述路由会话是在操作者登录的使用设备、和指示VPN的生成时操作者指定的连接对象设备之间形成的。即,在生成VPN时,在作为路由设备发挥作用的所述使用设备和连接对象设备中分别生成如图9所示的包传输控制信息,并存储在包传输控制信息存储部中。
因此,在构建VPN时,作为路由设备发挥作用的中继服务器或者客户端终端能够将与自身对应的地址滤波器信息发送给对象侧的路由设备。通过该地址滤波器信息的交换,各个路由设备将与自身对应的地址滤波器信息和与其它路由设备对应的地址滤波器信息进行合成,生成如图9所示的包传输控制信息并存储在自身具有的包传输控制信息存储部中。
此时,关于与自身对应的地址滤波器信息,根据自身(路由设备)是使用设备还是连接对象设备而采用不同的地址滤波器信息。即,有可能作为路由设备发挥作用的中继服务器及客户端终端在包传输控制信息存储部中至少存储预先设定的地址滤波器信息(下面,有时称为事前设定地址滤波器信息),以便表示自身是能够直接发送包的装置。并且,中继服务器或者客户端终端在通过将自身指定为连接对象设备来作为路由设备发挥作用的情况下,在构建VPN时,将所述事前设定地址滤波器信息作为与自身对应的地址滤波器信息。
另一方面,在自身成为使用设备的结果(操作者使用自身进行登录的结果)是作为路由设备发挥作用的情况下,在构建VPN时,中继服务器或者客户端终端将为了向自身登录而由操作者直接操作的设备地址设为与自身对应的地址滤波器信息,而非所述事前设定地址滤波器信息。
另外,配置在连接侧的中继服务器2和客户端终端21也可以不具有预先存储所述事前设定地址滤波器信息的结构。其理由是在连接对象侧有可能接受维护的设备几乎不变,而在连接侧操作者进行维护作业而操作的通信装置根据状况而频繁地变化,因而事前设定其地址是不现实的。
下面,主要参照图10来说明操作者2登录中继通信系统100并构建VPN时的具体流程。图10是表示本发明的启动VPN的处理的流程的流程图。
操作者2按照上面所述对通信装置22进行适当的操作来访问中继服务器2,并进行将该中继服务器2作为使用设备的登录请求。在该登录请求中被要求输入操作者ID和密码。然后,操作者2输入与自身对应的操作者ID(Op2)和密码(def)并确定输入内容,由此中继服务器2受理登录请求(流程号码1)。这样,中继服务器2具有受理进行登录操作的操作者的识别信息的单元。并且,中继服务器2将登录请求与所输入的操作者ID、密码及使用设备信息(具体地讲是中继服务器2的识别信息)一起发送给中继服务器1(流程号码2)。
接收到该登录请求等的中继服务器1根据图5所示的操作者信息,进行操作者ID和密码的验证(流程号码3)。并且,中继服务器1判定是否还存在使用了所输入的操作者ID的其它登录(流程号码4),以便防止基于同一操作者ID的多重登录。并且,在操作者的验证成功、而且没有进行多重登录的情况下,中继服务器1许可登录并更新操作者信息存储部51的操作者信息(流程号码5)。即,将中继服务器2的识别信息存储为与Op2对应的使用设备信息。
并且,中继服务器1参照连接许可信息存储部52存储的连接许可信息,读出被许可登录的操作者2能够连接的连接对象设备的列表(流程号码6)。在这次的示例中,在图6所示的连接许可信息中,操作者2与客户端终端42、47相对应。因此,中继服务器1将表示许可登录的内容、与客户端终端42、47的识别信息一起发送给中继服务器2(流程号码7)。
中继服务器2的连接对象设备取得控制部631根据该通知,能够取得操作者2能够连接的连接对象设备(即客户端终端42、47)。即,中继服务器2具有取得操作者能够连接的连接对象设备的列表的单元。并且,中继服务器2将表示登录被许可的内容、与操作者2能够连接的连接对象设备一起显示于通信装置22(流程号码8)。并且,假设操作者2将客户端终端42、47中的客户端终端47选择为作为路由设备(连接对象设备)发挥作用的对象。中继服务器2具有受理操作者的选择的单元,在受理操作者的选择后(流程号码9),将操作者2进行登录请求时直接操作的通信装置22的IP地址、与中继服务器2的识别信息相对应地存储在包传输控制信息存储部54中,并作为第1地址滤波器信息(流程号码10)。具体地讲,图9的表中的下段的信息被存储在包传输控制信息存储部54中。然后,由中继服务器2的VPN启动控制部632通过中继服务器3将VPN的启动命令发送给客户端终端47,并且由地址滤波器信息通信控制部633通过中继服务器3将与自身的识别信息相对应地进行存储的地址滤波器信息(第1地址滤波器信息)发送给客户端终端47(流程号码11)。
接收到该启动命令的客户端终端47将所接收到的地址滤波器信息存储在包传输控制信息存储部中(流程号码12)。在此,如上所述,在客户端终端47的包传输控制信息存储部中,以与自身(客户端终端47)的识别信息相对应的形式预先存储有指定文件服务器46的地址滤波器信息(作为所述事前设定地址滤波器信息)。因此,在客户端终端47的包传输控制信息存储部中,如图9所示存储有由两个地址滤波器信息构成的包传输控制信息。客户端终端47将表示接收到信号的内容、和与自身相对应的地址滤波器信息(图9的表中的上段的信息),通过中继服务器3发送给中继服务器2(流程号码13)。
中继服务器2接收来自客户端终端47的答复,将接收到的地址滤波器信息作为第2地址滤波器信息存储在包传输控制信息存储部54中(流程号码14)。由此,如图9所示,在中继服务器2的包传输控制信息存储部54中存储有由两个地址滤波器信息构成的包传输控制信息。按照以上所述,在中继服务器2和客户端终端47之间完成地址滤波器信息的交换。在进行地址滤波器信息的交换后,中继服务器2的包传输控制信息存储部54和客户端终端47的包传输控制信息存储部都存储图9所示的内容。
中继服务器2具有建立路由会话的单元(路由会话建立控制部634),通过中继服务器3对客户端终端47进行用于与该客户端终端47建立路由会话的通信控制(流程号码15)。由此,建立以中继服务器2为始点、经由中继服务器3并以客户端终端47为终点的路由会话。
另外,以上说明了在作为使用设备的中继服务器2和作为连接对象设备的客户端终端47之间建立路由会话的处理,当然也能够在上述以外的组合中建立路由会话。例如,说明操作者1从通信装置23访问客户端终端21、并将该客户端终端21作为使用设备来登录中继通信系统100的情况。如图6所示,操作者1被许可与中继服务器3的连接。因此,在这种情况下,能够建立以客户端终端21为始点、经由中继服务器2并以中继服务器3为终点的路由会话。在此时的路由设备(客户端终端21和中继服务器3)的包传输控制信息存储部中,以与客户端终端21的识别信息相对应的形式来存储通信装置23的地址,并作为地址滤波器信息。
下面,说明中继服务器2的路由控制部635利用所建立的路由会话进行的路由控制。图11是说明通信装置22向文件服务器46发送包时的路径的图。图12是说明文件服务器46向通信装置22发送包时的路径的图。
首先,说明中继服务器2接收到图11所示的第1包(packet01)时的处理。该第1包是由通信装置22发送的包,文件服务器46的IP地址(192.168.45.100)被指定为发送目的地地址。
中继服务器2接收到该第1包后,将包传输控制信息存储部54的存储内容(图9)与第1包的发送目的地地址进行比较。并且,查找能够直接向在第1包中记述的发送目的地发送包的路由设备。如图9所示,第1包的发送目的地地址(192.168.45.100)被存储为与客户端终端47对应的地址滤波器信息(第2地址滤波器信息)。因此,中继服务器2许可第1包的传输,将客户端终端47作为最终的发送目的地,通过在中继服务器2和客户端终端47之间建立的路由会话向中继服务器3发送第1包。
接收到该第1包的客户端终端47与中继服务器2相同地,也将包传输控制信息存储部的存储内容(图9)与第1包的发送目的地地址进行比较。其结果是,客户端终端47根据是第1包中记述的发送目的地(192.168.45.100)被存储为第1地址滤波器信息,因而检测出自身能够直接发送包。因此,客户端终端47许可第1包的传输,并向文件服务器46发送该第1包。
下面,说明客户端终端47接收到图12所示的第2包(packet02)时的处理。该第2包是由文件服务器46发送的包,通信装置22的IP地址(200.1.20.100)被指定为发送目的地地址。
客户端终端47在接收到该第2包后进行与上述相同的处理,检测出根据与中继服务器2对应的地址滤波器信息指定了第2包的发送目的地地址(200.1.20.100)。因此,客户端终端47许可第2包的传输,将中继服务器2作为最终的发送目的地,通过在客户端终端47和中继服务器2之间建立的路由会话向中继服务器3发送第2包。
接收到该第2包的中继服务器2也进行与上述相同的处理,检测出根据与自身(中继服务器2)对应的地址滤波器信息指定了第2包的发送目的地地址(200.1.20.100)。因此,中继服务器2许可第2包的传输,并向通信装置22发送该第2包。
这样,在本实施方式中构成为,在应用层的路由会话中传输路由对象的数据。因此,以上说明的路由与通常的IP路由不同。
通过在应用层中进行路由,位于遥远地区的LAN彼此能够利用专用IP地址相互通信,而不需在意WAN。另外,如上所述路由设备能够显示能够指定为包的传输目的地的路由对象装置的名称。因此,用户能够容易识别使用VPN能够向哪台设备发送包。
如以上所述,本实施方式的中继服务器2具有存储如下信息的单元(包传输控制信息存储部54),该信息包括:自身能够传输包的地址即第1地址滤波器信息、和作为其它连接对象设备的客户端终端47能够传输包的地址即第2地址滤波器信息。并且,中继服务器2具有以下单元:受理通过经由LAN20而连接的通信装置22进行登录操作的操作者2的识别信息的单元;根据受理登录的操作者2的识别信息(Op2),取得该操作者2能够连接的连接对象设备的列表的单元;受理操作者2从能够连接的所述连接对象设备的列表中对连接对象设备(客户端终端47)的选择的单元;以及与操作者2选择的客户端终端47建立路由会话的单元(路由会话建立控制部634)。中继服务器2将操作者2进行了登录操作的通信装置22的地址存储为第1地址滤波器信息,并向客户端终端47发送该通信装置22的地址。中继服务器2将从客户端终端47接收到的文件服务器46的地址存储为第2地址滤波器信息。中继服务器2在所接收到的包的发送目的地被存储为第1地址滤波器信息的情况下,向发送目的地发送包。中继服务器2在所接收到的包的发送目的地被存储为第2地址滤波器信息的情况下,向所述路由会话发送包。
由此,操作者2能够利用在中继服务器2和所选择的客户端终端47之间建立的路由会话进行通信。并且,在上述的结构中,按照每个操作者设定能够连接的连接对象设备。因此,即使是操作者2登录时使用的通信装置被变更时,也能够与和以前相同的对象建立路由会话并进行通信。并且,能够容易按照每个操作者进行不同的访问控制。
下面,参照图13~图15说明上述实施方式的变形例。图13是表示中继服务器2的变形例的功能块图。图14是表示操作者组信息的内容的图。图15是表示变形例的连接许可信息的内容的图。另外,在下面的变形例的说明中,存在对与上述实施方式相同或者相似的结构标注相同的标号并省略说明的情况。
如图13所示,本变形例的中继服务器2具有操作者信息存储部51、连接许可信息存储部52、管理目的地信息存储部53、包传输控制信息存储部54、和操作者组信息存储部56。
这样,在本变形例中构成为,中继服务器2具有在上述实施方式中中继服务器1具有的操作者信息存储部51和连接许可信息存储部52。因此,本变形例的中继服务器2作为管理侧的中继服务器发挥作用,并且作为连接侧的中继服务器发挥作用。因此,在本变形例中,在作为连接侧的中继服务器的中继服务器2和作为连接对象侧的中继服务器的中继服务器3、4(与上述实施方式相同的结构)中,能够实现与上述实施方式相同的中继通信系统100。
并且,在本变形例中,生成由一个或者多个操作者构成的操作者组,与该操作者组相关的信息被存储在中继服务器2的操作者组信息存储部56中。操作者组信息存储部56使用如图14所示的组的名称、构成该操作者组的(属于操作者组的)操作者的操作者ID,来存储由多个操作者构成的操作者组。
并且,本变形例的连接许可信息存储部52如图15所示将上述操作者组的名称、和连接对象设备的识别信息相对应地进行存储。因此,在图15的示例中,在属于组1的操作者(操作者ID为Op1、Op2、Op3的操作者)将客户端终端21作为使用设备进行登录的情况下,能够利用该客户端终端21与中继服务器3的连接。另外,关于操作者的登录处理及VPN的构建处理,与上述实施方式相同,因而省略说明。
下面说明第2实施方式。在第2实施方式中,管理侧的中继服务器1的连接许可信息存储部52的内容不同,如图16所示,连接对象侧的中继服务器3、4具有操作者连接控制信息存储部58,这一点与上述实施方式不同。另外,连接侧的中继服务器2不具有操作者连接控制信息存储部58。
第2实施方式的中继服务器1具有的连接许可信息存储部52定义由能够利用中继通信系统100的一个或者多个操作者构成的操作者组,并且存储用于按照所述每个操作者组来规定操作者能够连接的连接对象侧的中继服务器的连接许可信息。
在图17所示的连接许可信息中,在“操作者组ID”的列中记述有预先登记的操作者组的识别信息。在“操作者ID”的列中记述有表示构成该操作者组的操作者的操作者ID的一览。另外,在“指定中继服务器ID”的列中记述有属于该操作者组的操作者能够连接的连接对象侧的中继服务器的识别信息。另外,在下面的说明中,在所述连接许可信息中,有时将被指定为操作者能够连接的中继服务器的中继服务器称为“指定中继服务器”。
在此,说明操作者2(操作者ID为Op2的操作者)操作通信装置22访问中继服务器2,并使用该中继服务器2登录中继通信系统100的情况。参照图17的连接许可信息,操作者ID为Op2的操作者属于操作者组ID为WorkGroup1的操作者组,并且也属于操作者组ID为WorkGroup2的操作者组。
另外,根据图17的连接许可信息可知,属于操作者组ID为WorkGroup1的操作者组的操作者能够与连接对象侧的中继服务器3连接,属于操作者组ID为WorkGroup2的操作者组的操作者能够与连接对象侧的中继服务器4连接。因此,管理侧的中继服务器1向中继服务器2发送操作者2能够连接的中继服务器的识别信息(中继服务器3和中继服务器4的识别信息)。中继服务器2根据接收到的中继服务器的识别信息,生成操作者2能够连接的中继服务器的列表,并在通信装置22的显示器中进行显示。
操作者操作通信装置22,从上述中继服务器的列表中选择期望连接的中继服务器。在此,假设用户选择了中继服务器3。另外,在下面的说明中,如上所述,在图17的连接许可信息中,有时将与登录了中继通信系统100的操作者所属的操作者组对应的所述指定中继服务器中、被该操作者选择的中继服务器称为“选择中继服务器”。
通过以上的操作,操作者2能够利用该中继服务器2(所述使用设备)与指定中继服务器中被该操作者2选择的中继服务器3(选择中继服务器)的连接。换言之,操作者2能够在中继服务器2(使用设备)与中继服务器3(选择中继服务器)之间形成包传输用的会话即路由会话,并且利用该路由会话构建虚拟专用网(VPN)。在该VPN中,从中继服务器2发送的包经由中继服务器3到达目标设备(例如文件服务器31)。
另外,根据选择中继服务器(例如中继服务器3)的设定内容,操作者2还能够利用该中继服务器3、与属于该中继服务器3的规定的客户端终端(例如客户端终端47)的连接,但详细情况在后面进行说明。在这种情况下,操作者2能够在中继服务器2(使用设备)与中继服务器3(选择中继服务器)之间、以及中继服务器3(选择中继服务器)与客户端终端47(属于选择中继服务器的客户端终端)之间分别形成路由会话,并且利用这两个路由会话构建VPN。在该VPN中,从中继服务器2发送的包经由中继服务器3和客户端终端47到达目标设备(例如文件服务器46)。
当在管理侧的中继服务器1的连接许可信息存储部52存储的连接许可信息中、与某个操作者组对应的指定中继服务器就是自身的情况下,中继服务器3、4具有的操作者连接控制信息存储部58存储按照每个操作者来指定属于该操作者组的操作者能够连接的连接对象侧的设备的操作者连接控制信息。
在图19所示的操作者连接控制信息中,在“操作者ID”的列中记述有操作者的识别信息。另外,在“指定设备ID”的列中记述有该操作者能够连接的连接对象侧的设备的识别信息。
在下面的说明中,有时将这样被指定为操作者能够连接的设备的连接对象侧的设备称为指定设备。可以考虑该指定设备是连接对象侧的中继服务器的情况、和是属于该中继服务器的客户端终端的情况这两种情况。
在图19中示出了中继服务器3的操作者连接控制信息存储部58存储的操作者连接控制信息的示例。在该示例中,在“操作者ID”的列中记述有Op1、Op2、Op3作为操作者的识别信息。这些操作者属于在图19的连接许可信息中指定中继服务器3的操作者组(操作者组ID为WorkGroup1的操作者组)。
另外,在操作者组ID为WorkGroup2的操作者组中,在连接许可信息中指定了中继服务器4而非中继服务器3(参照图17)。因此,属于操作者组ID为WorkGroup2的操作者组的操作者(例如操作者ID为Op4的操作者)没有被存储在中继服务器3的操作者连接控制信息存储部58中,而是被存储在中继服务器4具有的操作者连接控制信息存储部58中。这样,各中继服务器3、4的操作者连接控制信息存储部58存储仅与属于自身成为指定中继服务器的操作者组的操作者相关的操作者连接控制信息。因此,能够以由中继服务器3、4分担内容的形式独立地存储操作者连接控制信息,因而能够防止各中继服务器3、4的存储内容的庞大化,并且也能够省略存储内容的同步控制。
在“指定设备ID”的列中对应各个操作者的识别信息来指定指定设备的设备信息。根据图19的示例,操作者ID为Op1的操作者能够利用中继服务器3,操作者ID为Op2的操作者能够利用客户端终端47,操作者ID为Op3的操作者能够利用中继服务器3和客户端终端42。
在该连接许可信息中,在与操作者对应的指定设备是除中继服务器3以外的设备(例如客户端终端47)的情况下,该操作者能够利用在中继服务器3与该指定设备之间形成的路由会话。
在此,与前述的示例相同地考虑操作者2(操作者ID为Op2的操作者)操作通信装置22访问中继服务器2、并使用该中继服务器2登录中继通信系统100的情况。参照管理侧的中继服务器1的连接许可信息存储部52存储的连接许可信息(参照图17),对操作者ID为Op2的操作者所属的操作者组指定了中继服务器3(中继服务器3成为指定中继服务器)。因此,操作者2能够利用在中继服务器2和中继服务器3之间形成的路由会话。
另外,参照作为指定中继服务器的中继服务器3的操作者连接控制信息存储部58存储的操作者连接控制信息(参照图19),操作者ID为Op2的操作者能够与客户端终端47连接。因此,操作者2能够利用在中继服务器3和客户端终端47之间形成的路由会话。
其结果是,操作者2能够通过两个路由会话将中继服务器2和客户端终端47之间连接,并利用这些路由会话构建VPN。
这样,在本实施方式的中继通信系统100中,将管理侧的中继服务器1存储的连接许可信息和作为指定中继服务器的连接对象侧的中继服务器3存储的操作者连接控制信息相组合,来规定各个操作者能够将连接对象侧的设备中哪台设备作为路由设备来构建VPN。
在此,在管理侧的中继服务器1存储的连接许可信息存储部52中,被许可连接的中继服务器(指定中继服务器)与操作者组ID对应(而非连接侧的中继服务器或客户端终端的识别信息)。并且,在作为指定中继服务器的连接对象侧的中继服务器3存储的操作者连接控制信息存储部58中,被许可连接的设备(指定设备)与操作者ID对应(而非连接侧的中继服务器或客户端终端的识别信息)。
因此,即使是在操作者2登录时使用的设备不同的情况下,能够连接的设备也是与上述相同的设备。例如,在假设操作者2操作通信装置23访问客户端终端21、并使用该客户端终端21登录中继通信系统100时,该操作者2能够利用在该客户端终端21和中继服务器3之间形成的路由会话、以及在中继服务器3和客户端终端47之间形成的路由会话来构建VPN。
并且,构成VPN的路由设备与上述实施方式相同地通过地址滤波器信息的交换,各个路由设备将与自身对应的地址滤波器信息和与其它路由设备对应的地址滤波器信息进行合成。并且,在第2实施方式中,假设在中继服务器2和中继服务器3之间生成如图18所示的包传输控制信息。
下面,说明操作者登录中继通信系统100并构建VPN时的具体流程。首先,参照图20和图21说明操作者1使用中继服务器2登录系统的示例。图20是表示操作者1进行登录并启动VPN的情况的网络图。图21是表示操作者1进行登录并启动VPN的处理的流程图。另外,图21中的流程号码21~30与上述实施方式相同,因而简化记述。
如图20所示,操作者1对通信装置22进行适当的操作并访问中继服务器2,进行将该中继服务器2作为使用设备的登录请求。连接侧的中继服务器2受理登录请求(图21的流程号码21),向管理侧的中继服务器1发送登录请求(流程号码22)。管理侧的中继服务器1在对操作者进行验证并检查多重登录后,在应该许可登录的情况下更新操作者信息(流程号码23~25)。
并且,管理侧的中继服务器1参照连接许可信息存储部52存储的连接许可信息,读出被许可登录的操作者2能够连接的中继服务器的识别信息(流程号码26)。在图17所示的连接许可信息中,操作者1所属的操作者组与中继服务器3对应。因此,管理侧的中继服务器1将作为指定中继服务器的中继服务器3的识别信息与表示许可登录的内容一起发送给中继服务器2(流程号码27)。
中继服务器2接收该通知,生成从中继服务器1接收到的指定中继服务器的一览(即仅由中继服务器3构成的列表),并与表示许可登录的内容一起显示于通信装置22(流程号码28)。操作者被要求从该指定中继服务器的一览中选择期望连接的中继服务器。在该示例中能够选择的中继服务器只有一个,因而操作者1操作通信装置22选择中继服务器3作为想要连接的中继服务器。中继服务器2在受理了操作者1对中继服务器3的选择后(流程号码29),将操作者1在进行登录请求时直接操作的通信装置22设为与自身对应的地址滤波器信息(流程号码30)。
在该地址滤波器信息中记述有通信装置22的地址、和与其对应的名称即操作者1的名称。然后,中继服务器2向被选择的中继服务器3(选择中继服务器)发送操作者1的操作者ID和与自身对应的地址滤波器信息,同时发送VPN的启动命令(流程号码31)。
接收到该启动命令的中继服务器3参照操作者连接控制信息存储部58存储的操作者连接控制信息,读出与所接收到的操作者1的操作者ID对应的指定设备(流程号码32)。根据图19的操作者连接控制信息,与操作者1对应的指定设备是中继服务器3自身。因此,中继服务器3读出与自身对应的地址滤波器信息(文件服务器31的地址和名称)(流程号码33)。并且,中继服务器3将与自身对应的地址滤波器信息和通过流程号码31而接收到的中继服务器2的地址滤波器信息进行合成,生成包传输控制信息并存储在包传输控制信息存储部54中(流程号码34)。
其结果是,在中继服务器3的包传输控制信息存储部54中存储有如图18所示由两个地址滤波器信息构成的包传输控制信息。中继服务器3将表示受理了VPN的启动命令的内容、和与自身对应的地址滤波器信息一起发送给中继服务器2(流程号码35)。
中继服务器2在接收到来自中继服务器3的答复后,将通过流程号码30而生成的与自身对应的地址滤波器信息和从中继服务器3接收到的地址滤波器信息进行合成,生成包传输控制信息并存储在包传输控制信息存储部54中(流程号码36)。由此,在中继服务器2的包传输控制信息存储部54中也存储有如图18所示的由两个地址滤波器信息构成的包传输控制信息。
按照以上所述,在中继服务器2和中继服务器3之间完成地址滤波器信息的交换。在进行地址滤波器信息的交换后,中继服务器2的包传输控制信息存储部54和中继服务器3的包传输控制信息存储部54都存储图18所示的内容。
然后,中继服务器2对中继服务器3进行用于建立路由会话的通信控制(流程号码37)。由此,能够在中继服务器2和中继服务器3之间建立路由会话,并在操作者1操作的通信装置22和文件服务器31之间进行基于VPN的通信。
下面,说明使用所建立的路由会话进行包的路由的处理。图22是说明在通信装置22向文件服务器31发送包时的路径的图。图23是说明在文件服务器31向通信装置22发送包时的路径的图。
首先,说明中继服务器2接收到图22所示的第3包(packet03)时的处理。该第3包是由通信装置22发送的包,文件服务器31的IP地址(192.168.30.10)被指定为发送目的地地址。
中继服务器2接收到该第3包后,将在包传输控制信息存储部54中存储的包传输控制信息(图18)与第3包的发送目的地地址进行比较。并且,查找能够直接向在第3包中记述的发送目的地发送包的路由设备。如图18所示,利用与中继服务器3对应的地址滤波器信息指定了第3包的发送目的地地址(192.168.30.10)。因此,中继服务器2许可第3包的传输,通过在中继服务器2和中继服务器3之间建立的路由会话向该中继服务器3发送第3包。
接收到该第3包的中继服务器3也与中继服务器2相同地,也将在包传输控制信息存储部54中存储的包传输控制信息(图18)与第3包的发送目的地地址进行比较。其结果是,中继服务器3检测出自身能够直接向在第3包中记述的发送目的地(192.168.30.10)发送包。因此,中继服务器3许可第3包的传输,并向文件服务器31发送该第3包。
下面,说明中继服务器3接收到图23所示的第4包(packet04)时的处理。该第4包是由文件服务器31发送的包,通信装置22的IP地址(200.1.20.100)被指定为发送目的地地址。
中继服务器3在接收到该第4包后进行与上述相同的处理,检测出根据与中继服务器2对应的地址滤波器信息指定了第4包的发送目的地地址(200.1.20.100)。因此,中继服务器3许可第4包的传输,并通过在中继服务器3和中继服务器2之间建立的路由会话向该中继服务器2发送第4包。
接收到该第4包的中继服务器2也进行与上述相同的处理,检测出根据与自身(中继服务器2)对应的地址滤波器信息指定了第4包的发送目的地地址(200.1.20.100)。因此,中继服务器2许可第4包的传输,并向通信装置22发送该第4包。
下面,参照图24~图26说明操作者2使用中继服务器2登录系统的示例。图24是表示操作者2进行登录并启动VPN的情况的网络图。图25和图26是表示操作者2进行登录并启动VPN时的处理的流程图。另外,图25中的流程号码41~50与上述实施方式相同,因而简化记述。
如图24所示,考虑在连接侧的LAN20中,操作者2对通信装置22进行适当的操作并访问中继服务器2,进行将该中继服务器2作为使用设备的登录请求。连接侧的中继服务器2受理登录请求(图25的流程号码41),向管理侧的中继服务器1发送登录请求(流程号码42)。管理侧的中继服务器1在对操作者进行验证并检查多重登录后,在应该许可登录的情况下更新操作者信息(流程号码43~45)。
并且,管理侧的中继服务器1参照连接许可信息存储部52存储的连接许可信息,读出被许可登录的操作者2能够连接的中继服务器的识别信息(流程号码46)。在图17所示的连接许可信息中,操作者2属于两个操作者组,一个操作者组与中继服务器3对应,另一个操作者组与中继服务器4对应。因此,管理侧的中继服务器1将作为指定中继服务器的中继服务器3和中继服务器4的识别信息与表示许可登录的内容一起发送给中继服务器2(流程号码47)。
中继服务器2接收该通知,生成从中继服务器1接收到的指定中继服务器的一览(即由中继服务器3和中继服务器4构成的列表),并与表示许可登录的内容一起显示于通信装置22(流程号码48)。与此相对,操作者2操作通信装置22,从上述列表中选择中继服务器3作为想要连接的中继服务器。中继服务器2在受理了操作者2对中继服务器3的选择后(流程号码49),将操作者2进行登录请求时直接操作的通信装置22设为与自身对应的地址滤波器信息(流程号码50)。
在通过流程号码50而生成的地址滤波器信息中记述有表示通信装置22的地址的地址、和与其对应的名称即操作者2的名称。然后,中继服务器2向被选择的中继服务器3(选择中继服务器)发送操作者2的操作者ID和与自身对应的地址滤波器信息,并发送VPN的启动命令(流程号码51)。
接收到该启动命令的中继服务器3参照操作者连接控制信息存储部58存储的操作者连接控制信息,读出与所接收到的操作者2的操作者ID对应的指定设备(流程号码52)。根据图19的操作者连接控制信息,与操作者2对应的指定设备是客户端终端47。
因此,中继服务器3将通过流程号码51而接收到的中继服务器2的地址滤波器信息存储在包传输控制信息存储部54中(流程号码53)。然后,中继服务器3向作为指定设备的客户端终端47发送从中继服务器2接收到的地址滤波器信息,并发送VPN的启动命令(图26的流程号码54)。
接收到该启动命令的客户端终端47读出与自身对应的地址滤波器信息(流程号码55)。另外,在客户端终端47存储的地址滤波器信息(事前设定地址滤波器信息)中记述有文件服务器46的名称和地址。并且,客户端终端47将自身的地址滤波器信息、和通过流程号码54而接收到的中继服务器2的地址滤波器信息进行合成,生成包传输控制信息并存储在包传输控制信息存储部中(流程号码56)。
其结果是,在客户端终端47的包传输控制信息存储部中存储有如图27所示的由两个地址滤波器信息构成的包传输控制信息。然后,客户端终端47将表示受理了VPN的启动命令的内容、和与自身对应的地址滤波器信息一起发送给中继服务器3(流程号码57)。
中继服务器3在接收到来自客户端终端47的答复后,将该客户端终端47的地址滤波器信息存储在包传输控制信息存储部54中(流程号码58)。另外,该处理及流程号码53的处理的结果是,在中继服务器3的包传输控制信息存储部54中也存储有与客户端终端47的包传输控制信息存储部相同的内容(图27所示的内容)。然后,中继服务器3将表示受理了VPN的启动命令的内容、和从客户端终端47接收到的地址滤波器信息一起发送给中继服务器2(流程号码59)。
中继服务器2在接收到来自中继服务器3的答复后,将通过流程号码50而生成的与自身对应的地址滤波器信息和通过流程号码59而接收到的客户端终端47的地址滤波器信息进行合成,生成包传输控制信息并存储在包传输控制信息存储部54中(流程号码60)。由此,在中继服务器2的包传输控制信息存储部54中也存储有与客户端终端47的包传输控制信息存储部相同的内容(图27所示的内容)。
按照以上所述,经由中继服务器3在中继服务器2和客户端终端47之间完成地址滤波器信息的交换。在进行地址滤波器信息的交换后,中继服务器2、中继服务器3及客户端终端47的包传输控制信息存储部都存储图27所示的内容。
然后,中继服务器2对中继服务器3进行用于建立路由会话的通信控制(流程号码61)。另外,中继服务器3对客户端终端47进行用于建立路由会话的通信控制(流程号码62)。由此,能够在中继服务器2和中继服务器3之间、以及中继服务器3和客户端终端47之间分别建立路由会话,并在操作者2操作的通信装置22和文件服务器46之间进行基于VPN的通信。
另外,在图26所示的流程号码54的处理中也存在这种情况,即尽管中继服务器3向客户端终端47发送了VPN启动命令,但是由于例如通信故障等原因而未能返回来自客户端终端47的答复。在这种情况下,中继服务器3将故障通知中继服务器2,中继服务器2使操作者2操作的通信装置22显示表示连接失败的内容。由此,操作者2能够适当掌握不能启动VPN的异常。
下面,说明使用所建立的路由会话进行包的路由的处理。图28是说明在通信装置22向文件服务器46发送包时的路径的图。图29是说明在文件服务器46向通信装置22发送包时的路径的图。
首先,说明中继服务器2接收到图28所示的第5包(packet05)时的处理。该第5包是由通信装置22发送的包,文件服务器46的IP地址(192.168.45.100)被指定为发送目的地地址。
中继服务器2接收到该第5包后,将在包传输控制信息存储部54中存储的包传输控制信息(图27)与第5包的发送目的地地址进行比较。并且,查找能够直接向在第5包中记述的发送目的地发送包的路由设备。如图27所示,利用与客户端终端47对应的地址滤波器信息指定了第5包的发送目的地地址(192.168.45.100)。因此,中继服务器2许可第5包的发送。虽然不存在直接将中继服务器2和客户端终端47连接的路由会话,但是在中继服务器2侧能够掌握到客户端终端47属于中继服务器3,因而中继服务器2通过在中继服务器2和中继服务器3之间建立的路由会话向该中继服务器3发送第5包。
接收到该第5包的中继服务器3也与中继服务器2相同地,也将在包传输控制信息存储部54中存储的包传输控制信息(图27)与第5包的发送目的地地址进行比较。其结果是,中继服务器3检测出客户端终端47能够直接向在第5包中记述的发送目的地(192.168.45.100)发送包。因此,中继服务器3许可第5包的传输,并通过在中继服务器3和客户端终端47之间建立的路由会话向该客户端终端47发送第5包。
接收到该第5包的客户端终端47也与中继服务器3相同地,也将在包传输控制信息存储部54中存储的包传输控制信息(图27)与第5包的发送目的地地址进行比较。其结果是,客户端终端47检测到自身能够直接向在第5包中记述的发送目的地(192.168.45.100)发送包。因此,客户端终端47许可第5包的传输,并向文件服务器46发送第5包。
下面,说明客户端终端47接收到图29所示的第6包(packet06)时的处理。该第6包是由文件服务器46发送的包,通信装置22的IP地址(200.1.20.100)被指定为发送目的地地址。
客户端终端47在接收到该第6包后进行与上述相同的处理,检测出根据与中继服务器2对应的地址滤波器信息指定了第6包的发送目的地地址(200.1.20.100)。因此,客户端终端47许可第6包的传输。由于不存在直接将客户端终端47和中继服务器2连接的路由会话,因而客户端终端47通过在自身和自身所属的中继服务器3之间建立的路由会话向中继服务器3发送第6包。
中继服务器3在接收到该第6包后进行与上述相同的处理,检测出根据与中继服务器2对应的地址滤波器信息指定了第6包的发送目的地地址(200.1.20.100)。因此,中继服务器3许可第6包的传输,并通过在中继服务器3和中继服务器2之间建立的路由会话向该中继服务器2发送第6包。
接收到该第6包的中继服务器2也进行与上述相同的处理,检测出根据与自身(中继服务器2)对应的地址滤波器信息指定了第6包的发送目的地地址(200.1.20.100)。因此,中继服务器2许可第6包的传输,并向通信装置22发送该第6包。
另外,在图20和图24中说明了操作者1、2使用中继服务器2进行登录的情况,但是操作者1、2也可以使用客户端终端21取代中继服务器2来进行登录。在这种情况下,由客户端终端21替代执行在图21、图25、图26的流程图中由中继服务器2进行的处理。其结果是,在操作者1使用客户端终端21进行登录的情况下,参照图22的示例,客户端终端21发送的包经由中继服务器2和中继服务器3到达文件服务器31。另外,在操作者2使用客户端终端21进行登录的情况下,参照图28的示例,客户端终端21发送的包经由中继服务器2、中继服务器3和客户端终端47到达文件服务器46。
另外,在操作者使用客户端终端21进行登录的情况下,关于该操作者的验证进行如下所述的处理。即,在客户端终端21受理了操作者的登录请求时,向自身所属的中继服务器2发送该登录请求。在此,客户端终端21所属的中继服务器能够从该客户端终端21具有的所属中继服务器信息存储部的存储内容中取得。并且,中继服务器2向管理自身的中继服务器1(在管理目的地信息存储部53中存储有识别信息的中继服务器1)传输登录请求,在中继服务器1中进行与前述相同的操作者ID及密码的验证。
如以上说明的那样,本实施方式的中继服务器2具有存储如下信息的单元(包传输控制信息存储部54),该信息包括:自身2能够传输包的地址即第1地址滤波器信息、和作为其它连接对象设备的中继服务器3或者客户端终端47能够传输包的地址即第2地址滤波器信息。并且,中继服务器2具有以下单元:受理操作者的识别信息(例如Op1或者Op2)的单元,该操作者通过经由LAN20而连接的通信装置22进行登录操作;根据受理了登录的操作者的识别信息,取得该操作者所属的操作者组能够连接的中继服务器的列表的单元;受理操作者从所取得的其它中继服务器的列表中对中继服务器的选择的单元;以及与操作者选择的中继服务器3建立路由会话的单元。中继服务器2将操作者进行了登录操作的通信装置22的地址存储为第1地址滤波器信息,并向中继服务器3发送所述第1地址滤波器信息。并且,中继服务器2从被操作者选择的中继服务器3接收与中继服务器3或者客户端终端47对应的第2地址滤波器信息并进行存储。中继服务器2在从路由会话接收到的包的发送目的地地址包含在所述第1地址滤波器信息中的情况下,向发送目的地发送包。中继服务器2在从通信装置接收到的包的发送目的地地址包含在所述第2地址滤波器信息中的情况下,向所述路由会话发送包。
由此,操作者能够利用在中继服务器2和被该操作者选择的中继服务器3之间建立的路由会话,与其它设备(例如文件服务器31)之间进行通信。并且,在上述的结构中,按照操作者所属的每个操作者组来设定该操作者能够选择作为路由会话的对象的中继服务器3,并且在操作者从能够选择的中继服务器中实际选择的选择中继服务器3中指定该操作者能够连接的设备。因此,即使是操作者登录时使用的通信装置22被变更时,如果进行登录的操作者相同,就能够与和以前相同的设备进行通信。并且,通过由中继服务器2自身进行基于操作者组等级的访问控制的设定,并由选择中继服务器3进行基于各个操作者组的访问控制的设定,能够容易且合理地实现复杂的访问控制。
下面,说明第2实施方式的与中继服务器3、4的操作者连接控制信息存储部58相关的变形例。图30是表示操作者连接控制信息的变形例的图。
在图30中,在该变形例中示出了中继服务器3的操作者连接控制信息存储部58存储的操作者连接控制信息。在该变形例的操作者连接控制信息中,与上述的实施方式(图19)的情况不同,以与操作者ID以及时间段的信息(计划信息)对应的形式记述指定设备的识别信息。在该示例中,操作者2能够整日利用中继服务器3与客户端终端47的连接,而中继服务器3与客户端终端42的连接则只能在上午0时到上午6时之间使用。
通过这样构成操作者连接控制信息,能够实现基于连接时间段的观点的访问控制。另外,计划信息不限于时刻,当然也能够使用例如日期(年月日)、星期几等进行记述。
以上说明了本发明的优选的实施方式,但上述结构也能够按照例如下面所述进行变更。
上述的操作者信息、操作者组信息、利用状况信息等能够以合适的格式(例如XML格式)进行存储。
也可以取代上述实施方式的结构,而是构成为在因特网上设置在各中继服务器之间的通信中使用的外部服务器,并使其发挥作为SIP(SessionInitiationProtocol,会话发起协议)服务器的作用来进行通信。
标号说明
1、2、3、4中继服务器;11、21、42、47客户端终端;10、20、30、40、45LAN;50存储部;51操作者信息存储部;52连接许可信息存储部;53管理目的地信息存储部;54包传输控制信息存储部;60控制部;100中继通信系统。
Claims (10)
1.一种中继服务器,其特征在于,该中继服务器具有以下单元:
存储第1地址滤波器信息和第2地址滤波器信息的单元,该第1地址滤波器信息是本中继服务器能够传输包的地址,该第2地址滤波器信息是表示其它中继服务器及客户端终端的连接对象设备能够传输包的地址;
受理操作者的识别信息的单元,该操作者通过经由LAN而连接的通信装置进行登录操作;
根据登录被受理的操作者的识别信息,取得该操作者能够连接的所述连接对象设备的列表的单元;
受理操作者从能够连接的所述连接对象设备的列表中对所述连接对象设备的选择的单元;以及
与操作者选择的所述连接对象设备建立路由会话的单元,
所述中继服务器将操作者进行了登录操作的所述通信装置的地址存储为第1地址滤波器信息,并向所述连接对象设备发送该通信装置的地址,
所述中继服务器将从所述连接对象设备接收到的地址存储为第2地址滤波器信息,
所述中继服务器在所接收到的包的发送目的地被存储为所述第1地址滤波器信息的情况下,向发送目的地发送包,
所述中继服务器在所接收到的包的发送目的地被存储为所述第2地址滤波器信息的情况下,经由所述路由会话向所述连接对象设备发送包。
2.根据权利要求1所述的中继服务器,其特征在于,取得所述连接对象设备的列表的单元,取得登录被受理的操作者所属的操作者组能够连接的其它中继服务器的列表,作为所述连接对象设备的列表。
3.一种中继服务器,其特征在于,该中继服务器具有包传输控制信息存储部和控制部,
所述包传输控制信息存储部能够将表示能够被本中继服务器指定为包的传输目的地的路由对象装置的地址的地址滤波器信息与本中继服务器的识别信息相对应地进行存储,并且,能够将表示能够被连接对象设备指定为包的传输目的地的路由对象装置的地址的地址滤波器信息与该连接对象设备的识别信息相对应地进行存储,所述连接对象设备表示能够与本中继服务器连接的连接对象侧的中继服务器及属于该连接对象侧的中继服务器的客户端终端,
所述控制部具有:
连接对象设备取得控制部,根据连接许可信息取得进行了登录请求的操作者能够连接的所述连接对象设备,所述连接许可信息是本中继服务器或者本中继服务器能够连接的其它中继服务器存储的信息,而且是将能够登录到包括本中继服务器和所述连接对象设备而构成的中继通信系统的操作者的识别信息、和该操作者能够连接的所述连接对象设备的识别信息建立了对应的信息;
VPN启动控制部,针对从所取得的所述连接对象设备中选择的所述连接对象设备进行虚拟专用网的启动处理;
地址滤波器信息通信控制部,将操作者为了进行登录请求而操作的通信装置的地址,作为与本中继服务器的识别信息相对应的地址滤波器信息存储在所述包传输控制信息存储部中,并将该地址滤波器信息发送给所述连接对象设备,还将从所述连接对象设备接收到的地址滤波器信息作为与该连接对象设备的识别信息相对应的地址滤波器信息存储在所述包传输控制信息存储部中;
路由会话建立控制部,针对所选择的所述连接对象设备建立路由会话;以及
路由控制部,进行如下控制:当在与本中继服务器的识别信息相对应的地址滤波器信息中指定了所接收到的包的发送目的地时,向该发送目的地发送包,当在与所述连接对象设备的识别信息相对应的地址滤波器信息中指定了所接收到的包的发送目的地时,通过在本中继服务器和该连接对象设备之间建立的路由会话向该连接对象设备发送包。
4.根据权利要求3所述的中继服务器,其特征在于,所述中继服务器具有管理目的地信息存储部,用于存储对包括本中继服务器在内的中继服务器进行管理的管理侧的中继服务器的识别信息,
所述连接许可信息由所述管理侧的中继服务器进行存储,
所述控制部在从操作者受理了登录请求时,根据所述管理目的地信息存储部的存储内容来访问所述管理侧的中继服务器,由此取得进行了登录请求的操作者能够连接的所述连接对象设备。
5.根据权利要求3所述的中继服务器,其特征在于,所述中继服务器具有存储所述连接许可信息的连接许可信息存储部,
所述控制部在从操作者受理了登录请求时,根据在所述连接许可信息存储部中存储的所述连接许可信息,取得进行了登录请求的操作者能够连接的所述连接对象设备。
6.根据权利要求3所述的中继服务器,其特征在于,所述连接许可信息是将包括一个或者多个操作者的操作者组的信息、和被指定为属于该操作者组的操作者能够连接的中继服务器的指定中继服务器建立了对应的信息,
所述路由会话建立控制部进行如下控制:使本中继服务器和所述指定中继服务器中被操作者选择的中继服务器即选择中继服务器之间建立路由会话,并且根据操作者连接控制信息使该选择中继服务器和属于该选择中继服务器的客户端终端中被指定为该操作者能够连接的设备即指定设备之间建立路由会话,所述操作者连接控制信息是由该选择中继服务器存储的信息,而且是将属于所述操作者组的操作者的识别信息、和所述指定设备的识别信息建立了对应的信息,
所述地址滤波器信息通信控制部与所述指定设备交换地址滤波器信息,
所述路由控制部进行如下控制:在由与所述指定设备的识别信息相对应的地址滤波器信息指定了接收到的包的发送目的地时,通过为了将本中继服务器和所述指定设备之间连接而构成的一个或者多个路由会话向该指定设备发送包。
7.根据权利要求6所述的中继服务器,其特征在于,在所述选择中继服务器不能与该指定设备进行通信的情况下,所述控制部根据该选择中继服务器通知给本中继服务器的错误,使请求了登录的操作者操作的通信装置显示连接失败。
8.根据权利要求6所述的中继服务器,其特征在于,在所述操作者连接控制信息中,将属于所述操作者组的操作者的识别信息、所述指定设备的识别信息、和计划信息相对应,
所述控制部启动利用了一个或者多个路由会话的虚拟专用网,该一个或者多个路由会话是根据所述操作者连接控制信息将所述选择中继服务器、和与请求了登录的操作者及当前时间对应的所述指定设备之间连接而构成的。
9.一种中继通信系统,该中继通信系统具有中继服务器和属于所述中继服务器的客户端终端,其特征在于,
所述中继服务器中作为连接侧的中继服务器发挥作用的所述中继服务器具有包传输控制信息存储部和控制部,所述包传输控制信息存储部能够将表示能够被本中继服务器指定为包的传输目的地的路由对象装置的地址的地址滤波器信息与本中继服务器的识别信息相对应地进行存储,并且,能够将表示能够被连接对象设备指定为包的传输目的地的路由对象装置的地址的地址滤波器信息与该连接对象设备的识别信息相对应地进行存储,所述连接对象设备表示能够与本中继服务器连接的连接对象侧的中继服务器及属于该连接对象侧的中继服务器的客户端终端,
所述控制部具有:
连接对象设备取得控制部,根据连接许可信息取得进行了登录请求的操作者能够连接的所述连接对象设备,所述连接许可信息是将操作者的识别信息、和操作者能够连接的所述连接对象设备的识别信息建立了对应的信息;
VPN启动控制部,针对从所取得的所述连接对象设备中选择的所述连接对象设备进行虚拟专用网的启动处理;
地址滤波器信息通信控制部,将操作者为了进行登录请求而操作的通信装置的地址,作为与本中继服务器的识别信息相对应的地址滤波器信息存储在所述包传输控制信息存储部中,并将该地址滤波器信息发送给所述连接对象设备,还将从所述连接对象设备接收到的地址滤波器信息作为与该连接对象设备的识别信息相对应的地址滤波器信息存储在所述包传输控制信息存储部中;
路由会话建立控制部,针对所选择的所述连接对象设备建立路由会话;以及
路由控制部,当在与本中继服务器的识别信息相对应的地址滤波器信息中指定了所接收到的包的发送目的地时,向该发送目的地发送包,当在与所述连接对象设备的识别信息相对应的地址滤波器信息中指定了所接收到的包的发送目的地时,通过在本中继服务器和该连接对象设备之间建立的路由会话向该连接对象设备发送包。
10.根据权利要求9所述的中继通信系统,其特征在于,所述连接许可信息是指将包括一个或者多个操作者的操作者组的信息、和被指定为属于该操作者组的操作者能够连接的中继服务器的指定中继服务器建立了对应的信息,
所述路由会话建立控制部进行如下控制:使本中继服务器和所述指定中继服务器中被操作者选择的中继服务器即选择中继服务器之间建立路由会话,并且根据操作者连接控制信息使该选择中继服务器和属于该选择中继服务器的客户端终端中被指定为该操作者能够连接的设备即指定设备之间建立路由会话,所述操作者连接控制信息是由该选择中继服务器存储的信息,而且是将属于所述操作者组的操作者的识别信息、和所述指定设备的识别信息建立了对应的信息,
所述地址滤波器信息通信控制部与所述指定设备交换地址滤波器信息,
所述路由控制部进行如下控制:在由与所述指定设备的识别信息相对应的地址滤波器信息指定了接收到的包的发送目的地时,通过将本中继服务器和所述指定设备之间连接而构成的一个或者多个路由会话向该指定设备发送包。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011-095323 | 2011-04-21 | ||
| JP2011095323A JP5633748B2 (ja) | 2011-04-21 | 2011-04-21 | 中継サーバ及び中継通信システム |
| JP2011116966A JP5633750B2 (ja) | 2011-05-25 | 2011-05-25 | 中継サーバ及び中継通信システム |
| JP2011-116966 | 2011-05-25 | ||
| PCT/JP2012/002267 WO2012144134A1 (ja) | 2011-04-21 | 2012-04-02 | 中継サーバ及び中継通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103503384A CN103503384A (zh) | 2014-01-08 |
| CN103503384B true CN103503384B (zh) | 2016-06-08 |
Family
ID=47041271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280019441.5A Active CN103503384B (zh) | 2011-04-21 | 2012-04-02 | 中继服务器及中继通信系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9191320B2 (zh) |
| CN (1) | CN103503384B (zh) |
| TW (1) | TWI500294B (zh) |
| WO (1) | WO2012144134A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9197745B1 (en) | 2015-03-25 | 2015-11-24 | Captioncall, Llc | Communication device and related methods for automatically connecting to a captioning communication service to receive text captions following an interruption during a call |
| US20160308766A1 (en) * | 2015-04-16 | 2016-10-20 | Ixia | Unified Mapping Tables With Source/Destination Labels For Network Packet Forwarding Systems |
| WO2019167562A1 (ja) * | 2018-02-27 | 2019-09-06 | 村田機械株式会社 | ゲートウェイ装置、通信システム、及び、自動倉庫システム |
| JP7209593B2 (ja) | 2019-07-01 | 2023-01-20 | 株式会社ソラコム | 中継方法、中継システム、及び中継用プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471896A (zh) * | 2007-12-28 | 2009-07-01 | 村田机械株式会社 | 中继服务器和中继通信系统 |
| JP2010178089A (ja) * | 2009-01-29 | 2010-08-12 | Daikin Ind Ltd | 遠隔管理システム、遠隔管理装置及び接続装置 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3415456B2 (ja) * | 1998-10-19 | 2003-06-09 | 日本電気株式会社 | ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体 |
| JP4137333B2 (ja) * | 1999-03-19 | 2008-08-20 | 富士通株式会社 | メディア通信制御方法及びシステム |
| JP3526435B2 (ja) * | 2000-06-08 | 2004-05-17 | 株式会社東芝 | ネットワークシステム |
| KR100464374B1 (ko) * | 2000-11-01 | 2004-12-31 | 삼성전자주식회사 | 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법 |
| US7120677B1 (en) * | 2000-11-16 | 2006-10-10 | Bellsouth Intellectual Property Corp. | System and method for integrated processing of information from a plurality of data systems |
| JP3745616B2 (ja) * | 2000-11-24 | 2006-02-15 | 株式会社エヌ・ティ・ティ・ドコモ | 中継装置 |
| US7188179B1 (en) * | 2000-12-22 | 2007-03-06 | Cingular Wireless Ii, Llc | System and method for providing service provider choice over a high-speed data connection |
| US7206088B2 (en) * | 2001-01-15 | 2007-04-17 | Murata Kikai Kabushiki Kaisha | Relay server, communication system and facsimile system |
| JP4231985B2 (ja) | 2001-01-16 | 2009-03-04 | 村田機械株式会社 | 中継サーバおよび通信システム |
| US7624265B1 (en) * | 2001-02-14 | 2009-11-24 | Emc Corporation | Methods and apparatus for establishing communications with a data storage system |
| EP1246425A1 (en) * | 2001-03-30 | 2002-10-02 | BRITISH TELECOMMUNICATIONS public limited company | Packet switching networks |
| US7630358B1 (en) * | 2001-07-09 | 2009-12-08 | Sable Networks, Inc. | Mechanism for implementing multiple logical routers within a single physical router |
| US7036143B1 (en) * | 2001-09-19 | 2006-04-25 | Cisco Technology, Inc. | Methods and apparatus for virtual private network based mobility |
| US6677976B2 (en) * | 2001-10-16 | 2004-01-13 | Sprint Communications Company, LP | Integration of video telephony with chat and instant messaging environments |
| JP3776821B2 (ja) * | 2002-03-28 | 2006-05-17 | 富士通株式会社 | アドレスアクセスシステム及び方法 |
| US7623497B2 (en) * | 2002-04-15 | 2009-11-24 | Qualcomm, Incorporated | Methods and apparatus for extending mobile IP |
| KR100421144B1 (ko) * | 2002-05-24 | 2004-03-04 | 삼성전자주식회사 | 미디어 게이트웨이 콘트롤 프로토콜방식의 보이스 오버인터넷 프로토콜 호 서비스를 위한 헤드 엔드 장치 |
| CN1301611C (zh) * | 2003-01-21 | 2007-02-21 | 三星电子株式会社 | 用于在不同的专用网的网络设备之间支持通信的网关 |
| US20080261632A1 (en) * | 2003-03-19 | 2008-10-23 | Research In Motion Limited | System and Method for Pushing Information from a Host System to a Mobile Data Communication Device in a Wireless Data Network |
| US7177628B2 (en) * | 2003-03-21 | 2007-02-13 | Motorola, Inc. | Method for enabling IP push capability to wireless devices on a wireless network |
| US7434166B2 (en) * | 2003-06-03 | 2008-10-07 | Harman International Industries Incorporated | Wireless presentation system |
| US7437457B1 (en) * | 2003-09-08 | 2008-10-14 | Aol Llc, A Delaware Limited Liability Company | Regulating concurrent logins associated with a single account |
| US20050177515A1 (en) * | 2004-02-06 | 2005-08-11 | Tatara Systems, Inc. | Wi-Fi service delivery platform for retail service providers |
| JP4648148B2 (ja) * | 2005-09-30 | 2011-03-09 | 富士通株式会社 | 接続支援装置 |
| JP5132059B2 (ja) * | 2006-01-30 | 2013-01-30 | 富士通株式会社 | パケット中継方法及びパケット中継システム |
| WO2007141840A1 (ja) * | 2006-06-05 | 2007-12-13 | Hitachi Communication Technologies, Ltd. | 中継ネットワークシステム及び端末アダプタ装置 |
| JP4916338B2 (ja) * | 2007-02-26 | 2012-04-11 | キヤノン株式会社 | 周辺装置およびそのアクセス制御方法 |
| US8085793B2 (en) * | 2007-09-24 | 2011-12-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Traffic localization with proxy mobility |
| US8345694B2 (en) * | 2007-12-31 | 2013-01-01 | Airvana, Corp. | Network address translation for tunnel mobility |
| US20090228962A1 (en) * | 2008-03-06 | 2009-09-10 | Sharp Laboratories Of America, Inc. | Access control and access tracking for remote front panel |
| JP5141638B2 (ja) * | 2009-05-15 | 2013-02-13 | 村田機械株式会社 | 中継通信システム |
| JP5212282B2 (ja) * | 2009-07-07 | 2013-06-19 | 村田機械株式会社 | 中継通信システム |
| US20110085470A1 (en) * | 2009-10-12 | 2011-04-14 | Electronics And Telecommunications Research Institute | Apparatus and method for integrated signal processing for ip-based convergence network |
| US9544620B2 (en) * | 2011-02-11 | 2017-01-10 | Sony Corporation | System and method to easily return to a recently-accessed service on a second display |
| US9258613B2 (en) * | 2011-02-16 | 2016-02-09 | Sony Corporation | Method and apparatus for manipulating video content |
-
2012
- 2012-04-02 WO PCT/JP2012/002267 patent/WO2012144134A1/ja active Application Filing
- 2012-04-02 CN CN201280019441.5A patent/CN103503384B/zh active Active
- 2012-04-02 US US14/112,716 patent/US9191320B2/en active Active
- 2012-04-12 TW TW101113017A patent/TWI500294B/zh active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471896A (zh) * | 2007-12-28 | 2009-07-01 | 村田机械株式会社 | 中继服务器和中继通信系统 |
| JP2010178089A (ja) * | 2009-01-29 | 2010-08-12 | Daikin Ind Ltd | 遠隔管理システム、遠隔管理装置及び接続装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012144134A1 (ja) | 2012-10-26 |
| TWI500294B (zh) | 2015-09-11 |
| TW201251379A (en) | 2012-12-16 |
| US20140056305A1 (en) | 2014-02-27 |
| US9191320B2 (en) | 2015-11-17 |
| CN103503384A (zh) | 2014-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101090324B (zh) | 网络系统以及服务器 | |
| CN102047245B (zh) | 配置计算机节点之间的通信 | |
| JP4998526B2 (ja) | 中継サーバ及び中継通信システム | |
| CN103503384B (zh) | 中继服务器及中继通信系统 | |
| CN104090825A (zh) | 动态迁移计算机网络 | |
| CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信系统 | |
| JP2011055453A (ja) | 中継サーバ及び中継通信システム | |
| CN101917439A (zh) | 一种数据的传输方法和设备 | |
| CN102045409A (zh) | 网络穿透方法及网络通讯系统 | |
| US7734813B2 (en) | Method and system for communicating predicted network behavior between interconnected networks | |
| CN108965036A (zh) | 配置跨公网设备互访方法、系统、服务器及存储介质 | |
| CN110086782A (zh) | 一种酒店物联智控系统及智能控制设备的方法和电子设备 | |
| CN103210614B (zh) | 中继服务器及中继通信系统 | |
| CN103959720B (zh) | 中继服务器以及中继通信系统 | |
| KR101122690B1 (ko) | 네트워크 시스템 | |
| KR102055757B1 (ko) | 언더레이 네트워크와 연동하여 오버레이 네트워크를 제공하는 방법 및 이를 수행하는 시스템 | |
| CN103222240B (zh) | 中继服务器及中继通信系统 | |
| CN103095862A (zh) | 连接服务器、通信系统以及通信方法 | |
| CN103139027B (zh) | 中继服务器以及中继通信系统 | |
| JP2011055450A (ja) | 中継サーバ及び中継通信システム | |
| CN110233799A (zh) | 一种端口配置的方法和通信设备 | |
| TW201517654A (zh) | 傳輸路徑控制系統 | |
| CN103139078A (zh) | 中继服务器以及中继通信系统 | |
| JP4992944B2 (ja) | 中継サーバ及び中継通信システム | |
| JP5633748B2 (ja) | 中継サーバ及び中継通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |