CN1625136A - 连接控制系统、连接控制装置及连接管理装置 - Google Patents
连接控制系统、连接控制装置及连接管理装置 Download PDFInfo
- Publication number
- CN1625136A CN1625136A CNA2004100035717A CN200410003571A CN1625136A CN 1625136 A CN1625136 A CN 1625136A CN A2004100035717 A CNA2004100035717 A CN A2004100035717A CN 200410003571 A CN200410003571 A CN 200410003571A CN 1625136 A CN1625136 A CN 1625136A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- terminal
- address
- connection
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种连接管理装置和连接控制装置,由于连接中有限制的网络中连接源或连接目标终端的移动等,所属的网络变化时,妨碍通信。对于没有连接许可的网络间的通信,连接控制装置(52)根据连接许可数据库算出可通信的迂回通信路径,并在可通信的情况下,经认证,许可经由迂回通信路径的通信。通过算出迂回路径,没有连接许可的网络间可进行通信。
Description
技术领域
本发明涉及一种经通信网络与多个通信终端彼此连接的连接控制系统、构成该系统的连接控制装置、连接管理装置、该连接管理装置的动作程序。
背景技术
随着通信网络扩大且适用于业务中,为了保护企业机密等秘密信息,开发出在连接中设置限制的技术。在这种技术中,代表性的有VPN(VirtualPrivate Network)。在VPN中存在使用MPLS((MultiProtocol LabelSwitching)、IPSec(IP(Internet Protocol)SECurity protocol)、L2TP(Layer2 Tunneling Protocol)等各种技术的实现方式,但基本动作是在通信网络中设置连接限制,仅对许可连接的通信网络之间许可通信。连接许可通过构筑系统时在连接许可数据库中登录许可连接的连接源网络与连接目标网络间的对应来提供。大多情况下,为了得到连接许可,仅通过使连接源终端与连接目目标终端分别属于连接源网络与连接目标网络是不充分的,并且必需用户认证、终端认证等认证处理。
例如,专利文献1中记载了跨跃多个ISP(InternetService Provider)之间的远程VPN的统一管理方法,但此时也必需认证处理。
专利文献1:特开2003-8607号公报
但是,在上述专利文献的连接控制方法中,存在在连接源与连接目标的ISP不允许相互连接的情况等连接源终端属于不允许连接的网络的情况下不能通信的问题。尤其是在移动体终端那样在网络之间频繁移动的终端中,存在在自身所属的网络变化的情况下有可能不能与目标终端通信的问题。
发明内容
本发明的目的在于,在连接中存在限制的网络中,在不能通过移动连接源终端或连接目标终端等来从连接源终端连接到连接目标终端的情况下,通过向连接源终端分配可与连接目标终端进行通信的地址,实现未许可连接的终端之间的通信。
本发明的连接控制系统是一种控制网络间或终端间通信并进行连接许可判断的连接控制装置。具备认证发出连接请求的利用者的认证装置。在来自属于没有连接许可的网络的终端的连接请求到达的情况下,连接控制系统通知终端不能连接。并且,终端在请求连接控制系统检索可能通信的通信路径与分配通信时使用的地址的情况下,连接控制系统在本系统管理的网络内迂回检索通信路径。在认证发出连接请求的终端后,向认证后的终端分配可与有连接许可的网络连接的地址,由此来解决上述问题。
发明效果
本发明的连接控制系统在不能连接的终端之间的通信中,设置基于有连接许可的网络连结的迂回路径,通过认证,可在没有连接许可的网络之间进行通信。通过这种处理,使频繁移动网络的移动体终端彼此的通信便利性提高。
附图说明
图1是表示系统的整体结构的图。
图2是网关的功能框图。
图3是连接控制装置的功能框图。
图4是连接许可数据库的功能框图。
图5是用户状态管理部的功能框图。
图6是认证装置的功能框图。
图7是认证数据库的功能框图。
图8是地址管理装置的功能框图。
图9是网络信息管理部的功能框图。
图10是不使用迂回路径的情况下的序列图。
图11是使用迂回路径的情况下的序列图。
图12是连接控制装置的流程图。
图13是连接处理的流程图。
图14是迂回路径连接处理的流程图。
图15是认证装置的流程图。
图16是认证处理的流程图。
图17是迂回路径认证处理的流程图。
图18是地址管理装置的流程图。
图19是连接请求等的信息包格式图。
图20是拒绝连接通知等信息包格式图。
图21是迂回路径认证完成通知等信息包格式图。
图22是迂回路径认证失败通知等信息包格式图。
图23是基于连接管理装置的系统构筑例的图。
图24是表示连接控制装置等的硬件结构的框图。
图25是表示连接管理装置的硬件结构的框图。
图26是表示适用IPv4时的网络信息管理部的细节的框图。
图27是通信时的信息包处理细节图。
图28是基于VPN服务器的连接控制系统的实现例的图。
图29是TV会议系统与连接控制系统的连携例的图。
具体实施方式
图1中示出本发明的连接控制系统的结构。在该系统中,属于网络1(1)的终端1(10)、属于网络2(2)的终端2(20)、属于网络3(3)的终端3(30)、属于网络4(4)的终端4(40)通过LAN(50010)与网关1(15)、网关2(25)、网关3(35)、网关4(45)连接,并通过这些网关连接于连接控制系统(5)。连接控制系统(5)具备控制终端间通信的连接控制装置(52)、进行利用者认证的认证装置(54)、生成迂回路径连接时必需的连接用地址的地址管理装置(56)。这里,拒绝从网络1(1)到网络3(3)的通信。但是,分别许可从网络1(1)到网络2(2)、从网络2(2)到网络3(3)的通信。
接着,表示构成连接控制系统(5)的各要素的功能框图。图2是网关1(15)的结构。连接控制装置为了控制终端的连接,与连接控制装置连接的图1中的其它网关2-4(25、35、45)也具有一样的结构。
网关1(15)通过网络接口(50000)与外部通信。网关1(15)还具备CPU(50002)、硬盘(50004)、存储器(50008),它们通过总线(50006)彼此收发信数据。在这些硬件结构中,网关1(15)在网络接口(50000)中具备接收来自终端的信息包并发送到目的地地址的信息包收发信部(110),在存储器(50008)上具备登录许可连接的终端实地址(12010)的地址登录表格(120)、登录迂回路径连接时使用的迂回路径地址(13010)与实地址(13020)的组的迂回路径地址登录表格(130)、监视通信状态的通信监视计时器(140)。
实地址是分配给终端的网络接口的地址,在许可连接源终端与连接目标终端通信的情况下,使用该地址进行通信。所谓迂回路径连接是指在连接源终端与连接目标终端不能通信的情况下,通过将经由有连接许可的网络的通信路径用作迂回路径,控制终端之间的连接。迂回路径地址是在迂回路径连接中进行通信的情况下地址管理装置分配给终端的地址。
图3是连接控制装置(52)的结构。连接控制装置(52)作为基本硬件结构,具有用于与外部进行通信的网络接口(50000)、与CPU(50002)、硬盘(50004)、总线(50006)、存储器(50008)。并且,连接控制装置(52)在网络接口(50000)中具备接收或发送来自终端的信息包的信息包收发信部(520)、向连接控制系统(5)内的其它装置发送委托处理的消息或将其它装置的处理结果作为消息接收的消息收发信部(522),在硬盘(50004)中具备包含根据发送源终端的地址与发送目标终端的地址对来自终端的连接请求判断连接许可用的信息的连接许可数据库(524),作为在存储器(50008)上动作的连接控制程序(52000)的连接控制功能(52002)的一部分,具备管理连接控制对象的用户状态的用户状态管理部(526)、监视通信状态的通信监视计时器(528)。这里,所谓消息是指在系统内的各装置之间交换的信息包。
图4是连接许可数据库(524)的细节。连接许可数据库(524)保持许可连接的网络间的关系,包含连接源网络(5242)、连接目标网络(5244)、表示是否可用作迂回路径的迂回路径判断标志(5246)。在迂回路径判断标志(5246)为真时,可将该通信路径用作迂回路径。
图5是用户状态管理部(526)的细节。图5中仅示例一个数据记录。用户状态管理部是管理连接控制中的用户状态的功能块,包含用户名(5260)、终端地址(5261)、连接源网络(5262)、连接目标网络(5264)、迂回路径判断标志(5266)、认证判断标志(5268)、迂回路径地址(5270)、迂回路径地址N(5272)。迂回路径判断标志(5266)在对象用户使用迂回路径过程中的情况下为真。认证判断标志(5268)在完成从连接源网络到连接目标网络通信时的用户认证时为真。
图6是认证装置(54)的结构。认证装置(54)作为基本硬件结构,具备用于与外部进行通信的网络接口(50000)、CPU(50002)、硬盘(50004)、总线(50006)、存储器(50008)。并且,认证装置(54)在网络接口(50000)中具备消息收发信部(540),在硬盘(50004)中具备认证数据库(542),作为在存储器(50008)上动作的认证程序(54000)的认证功能(54002)的一部分,具备通信监视计时器(544)。
图7是认证数据库(542)的细节。图7中仅示例一个数据记录。在进行迂回路径连接的情况下经由多个通信路径进行通信,但此时的认证对每个通信路径都进行。认证数据库(542)包含认证对象的用户名(5420)、连接源网络(5422)、连接目标网络(5424)、口令(5426)。
图8是地址管理装置(56)的结构。地址管理装置(56)作为基本硬件结构具备与外部进行通信的网络接口(50000)、CPU(50002)、硬盘(50004)、总线(50006)、存储器(50008)。并且,地址管理装置(56)在网络接口(50000)中具备消息收发信部(560)、作为在存储器(50008)上动作的地址管理程序(56000)的连接控制功能(56002)的一部分,具备生成用于迂回路径连接的地址的地址生成部(562)、管理地址生成时必需的信息的网络信息管理部(564)、监视通信状态的通信监视计时器(566)。
图9是网络信息管理部(564)的细节。在本发明的连接控制系统中,将IPv6假设为通信协议。因此,在迂回路径用的地址生成中必需识别网络的识别符(5640)与在网络内使用的网络前缀(5642)。在使用IPv4的情况下,在地址生成中不必网络前缀(5642)。代言之,必需管理网络内的终端地址,并将未使用的地址用作迂回路径用地址。图26中示出IPv4中的网络信息管理部(564)。网络信息管理部(564)具备网络识别符(5640)与地址管理数据库(5644)。
下面用序列来详细描述该系统的动作。图10表示连接控制系统(5)的基本序列。另外,图19中示出该序列中使用的信息包的内容。如上所述,连接控制系统(5)许可从网络1(1)连接到网络2(2)、从网络2(2)连接到网络3(3)从网络3(3)连接到网络4(4)。考虑假设全部连接都可用作迂回路径,并属于网络1(1)的终端1(10)与属于网络2(2)的终端2(20)进行通信的情况。接近开始通信时,终端1(10)通过网关1(15)发送从网络1(1)连接到网络2(2)的连接请求(1000)。只要以后没有特别的描述,从终端向连接控制装置(52)的通信经由网关。图19中示出连接请求(1000)的内容。连接请求(1000)作为信息,包含发送源IP(2300)、目的地IP(2302)、信息包种类(连接请求)(2304)、连接源网络(2306)、连接目标网络(2308)、用户名(2310)。接收连接请求(1000)的连接控制装置(52)询问连接许可数据库(524)是否许可请求的连接。连接许可数据库(524)比较连接请求(1000)的连接源网络(2306)与数据库中的连接源网络(5242)、连接请求(1000)的连接目标网络(2308)与数据库中的连接目标网络(5244),判断是否许可所请求的连接。接着连接控制装置(52)询问用户状态管理部(526)该用户的认证是否完成。在用户状态管理部(526)中不存在该用户的目录的情况下,连接控制装置(52)生成该用户的目的,向终端1(10)发送认证请求(1003)。图19中示出认证请求(1003)的内容。认证请求(1003)作为信息包含发送源IP(2700)、目的地IP(2702)、信息包种类(认证请求)(2704)、连接源网络(2706)、连接目标网络(2708)、用户名(2710)。在该用户目录存在的情况下,用户状态管理部(526)检查目录的认证判断标志(5268),在为伪的情况下,向终端1(10)发送认证请求(1003)。终端1(10)接收请求后,将认证信息(1006)发送到连接控制装置(52)。图19中示出认证信息(1006)的内容。认证信息(1006)包含发送源IP(2500)、目的地IP(2502)、信息包种类(认证请求)(2504)、连接源网络(2506)、连接目标网络(2508)、用户名(2510)、口令(2512)。接收到认证信息(1006)的连接控制装置(52)向认证装置(54)发送认证委托(1009),委托认证。图19中示出认证委托(1009)的内容。认证委托(1009)包含消息种类(认证委托)(4300)、连接源网络(4302)、连接目标网络(4304)、用户名(4306)、口令(4308)。从认证信息(1006)的连接源网络(2506)、连接目标网络(2508)、用户名(2510)、口令(2512)中取得认证委托(1009)中的连接源网络(4302)、连接目标网络(4304)、用户名(4306)、口令(4308)的值。接收认证委托(1009)的认证装置(54)询问认证数据库(542)认证成功与否。认证装置(54)使用认证委托(1009)中的连接源网络(4302)、连接目标网络(4304)、用户名(4306),从认证数据库(542)中检索对应的数据记录,并比较认证委托(1009)中的口令(4308)与数据记录中的口令(5426)。在口令一致的情况下,将认证完成通知连接控制装置(52)。这通过发送认证完成(1012)来进行。接收到认证完成(1012)的连接控制装置(52)将认证完成通知(1015)发送到终端1(10)。因为在该时刻认证完成,所以连接控制装置(52)将发送用户状态管理部(526)的认证请求(1003)的用户认证判断标志(5268)设定为真,将迂回路径判断标志(5266)设定为假。在认证完成之后,连接控制装置(52)对网关(15)进行认证完成的用户的地址登录(1016)。图19中示出地址登录(1016)的内容。地址登录(1016)包含发送源IP(5000)、目的地IP(5002)、信息包种类(地址登录)(5004)、实地址(5006)。网关1(15)将实地址(5006)登录在地址登录表格(120)中。
在更新了用户状态管理部(526)内的用户状态后,连接控制装置(52)将连接许可通知(1018)通知终端1(10)。图19中示出连接许可通知(1018)的内容。连接许可通知(1018)作为信息,包含发送源IP(3300)、目的地IP(3302)、信息包种类(连接许可通知)(3304)、连接源网络(3306)、连接目标网络(3308)、用户名(3310)。接收到连接许可通知(1018)的终端1(10)在该时刻可与终端2(20)进行通信,经由网关1(10)、网关2(25)开始与终端2进行通信(1021)。
终端1(10)在结束通信时,向连接控制装置(52)发送连接结束(1024)。接收到连接结束(1024)的连接控制装置(52)删除发送用户状态管理部(526)的对应于该连接结束(1024)的用户的目录,向终端1(10)发送连接结束确认(1027)。最后,连接管理装置(52)向网关1(15)发送地址删除(1030)。图19中示出地址删除(1030)的内容。地址删除(1030)包含发送源IP(5100)、目的地IP(5102)、信息包种类(地址删除)(5104)、实地址(5106)。网关1(15)从地址登录表格(120)中删除实地址(5106)。以后,在终端1(10)经由连接控制装置(52)与终端2(20)通信中,必需再次发送连接请求(1000)并经过认证。以上,通常的连接处理完成。
下面,考虑没有连接许可的网络之间的通信。图12是请求从网络1(1)向网络3(3)通信的情况下的处理。相当于图1中属于网络2(2)的终端2(20)移动到网络1(1)(9),变为终端1(10),与属于网络3(3)的终端3(30)进行通信的情况。
在本发明的系统中,通过进行使用迂回路径的通信,解决了没有连接许可的网络之间不能连接的问题。迂回路径是实现没有连接许可的网络之间的通信的通信路径。图1中,虽不存在从网络1(1)向网络3(3)的连接许可,但存在从网络1(1)向网络2(2)、从网络2(2)向网络3(3)的连接许可。因此,通过经由网络2(2)的迂回路径来实现从网络1(1)向网络3(3)的通信。此时,终端必需具有满足连接许可的地址。在终端1从网络1(1)经由网络2(2)与属于网络3(3)的终端3(30)进行通信中,必需从网络2(2)向网络3(3)通信,但是,为了满足连接许可,终端1(10)必需具有网络2(2)中的地址。可是,由于终端1(19)具有的地址属于网络1(1),所以不能原样从网络2(2)向网络3(3)通信。因此,地址管理装置(56)将网络2(2)中的地址作为迂回路径地址赋予终端1(10)。通过将网络2(2)中的通信用地址分配给终端,可进行经由网络2(2)的、即使用迂回路径的通信。
图11中示出使用迂回路径的通信序列。另外,图20、图21中示出该序列中使用的信息包的内容。终端1(10)向连接控制装置(52)发送连接请求(1200)。接收到连接请求(1200)的连接控制装置(52)询问连接许可数据库(524)是否许可请求的连接。因为拒绝从网络1(1)向网络3(3)进行通信,所以连接控制装置(52)向终端1(10)发送拒绝连接通知(1203)。图20中示出拒绝连接通知(1203)的内容。拒绝连接通知(1203)作为信息包含信息发送源IP(3500)、目的地IP(3502)、信息包种类(连接许可通知)(3504)、连接源网络(3506)、连接目标网络(3508)、用户名(3510)。接收到拒绝连接通知(1203)的终端(10)由于知道不能从网络1(1)直接向网络3(3)进行连接,请求连接控制装置(52)基于迂回路径的连接,所以发送迂回路径连接请求(1206)。图20中示出迂回路径连接请求的内容。迂回路径连接请求(1206)作为信息包含发送源IP(2400)、目的地IP(2402)、信息包种类(迂回路径连接请求)(2404)、连接源网络(2406)、连接目标网络(2408)、用户名(2410)。在本例中,向连接源网络(2406)指定网络1(1),向连接目标网络指定网络3(3)。接收到迂回路径连接请求(1206)的连接控制装置(52)询问连接许可数据库(524)是否存在请求的迂回路径。连接许可数据库(524)使用迂回路径连接请求(1200)的连接源网络(2406)与连接目标网络(2408)来检索迂回路径。连接许可数据库(524)在从连接源网络连结连接目标网络的路径可由具有自身管理的连接许可的网络连结来构筑的情况下,判断为可迂回。所谓网络连结是指具有连接许可1的连接目标网络与其它连接许可2的连接源网络一致的情况下,生成将连接许可1的连接源网络变为连接源网络、将连接许可2的连接目标网络变为连接目标网络的新的连接许可3。例如,就从网络1(1)到网络3(3)而言,在连接许可数据库中的连接许可中存在从网络1(1)到网络2(2)、从网络2(2)到网络3(3)等路径,可能基于网络连结进行迂回。若判断为可能,则连接控制装置(52)询问用户状态管理部(526)是否完成发送迂回路径连接请求(1206)的用户认证。此时,由于用户状态管理部(526)中还未生成该用户的目录,所以连接控制装置(52)生成该用户的目录,将迂回路径认证请求(1209)发送到终端1(10)。图20中示出迂回路径认证请求(1209)的内容。迂回路径认证请求(1209)作为信息包含发送源IP(2800)、目的地IP(2802)、信息包种类(迂回路径认证请求)(2804)、连接源网络(2806)、中继网络1(2808)、中继网络N(2810)、连接目标网络(2812)、用户名(2814)。N表示第N个中继网络。在本例中,因为经由网络2(2),所以向连接源网络(2806)指定网络1(1),向中继网络1(2808)指定网络2(2),向连接目标网络(2812)指定网络3(3)。在网络指定中使用各网络可识别的信息。例如属于各网络的网关的地址或地址管理装置(56)的网络信息管理部(564)具有的网络识别符(5640)等相当于此。接收到迂回路径认证请求(1209)的终端1(10)将迂回路径认证信息(1212)发送给连接控制装置(52)。迂回路径认证信息(1212)必需包含经由的全部迂回路径必需的认证信息。
图20中示出迂回路径认证信息(1212)的内容。迂回路径认证信息(1212)包含发送源IP(2600)、目的地IP(2602)、信息包种类(迂回路径认证信息)(2604)、连接源网络(2606)、中继网络1(2608)、中继网络N(2610)、连接目标网络(2612)、用户名(2614)、口令1(2616)、口令N+1(2618)。口令I表示从中继网络I-1连接到中继网络I时必需的口令。中继网络0对应于连接源网络(2608),中继网络N+1对应于连接目标网络(2610)。接收到迂回路径认证信息(1212)的连接控制装置(52)向认证装置(54)发送迂回路径认证委托(1215),委托认证。图20中示出迂回路径认证委托(1215)的内容。迂回路径认证委托(1215)包含消息种类(迂回路径认证委托)(4400)、连接源网络(4402)、中继网络1(4404)、中继网络N(4406)、连接目标网络(4408)、用户名(4410)、口令1(4412)、口令N+1(4414)。中继网络与口令的注脚关系与迂回路径认证信息(1212)一样。接收到迂回路径认证委托(1215)的认证装置(54)询问认证数据库(542)认证成功与否。认证装置(54)对迂回路径认证委托(1215)中的全部口令,分别将中继网络I-1、中继网络I、用户名(4410)、口令I与认证数据库(542)的连接源网络(5422)、连接目标网络(5424)、用户名(5420)、口令(5426)进行比较,在对全部口令存在数据记录的情况下,将认证完成通知连接控制装置(52)。这通过发送迂回路径认证完成(1218)来进行。图20中示出迂回路径认证完成(1218)的内容。迂回路径认证完成(1218)作为信息,包含消息种类(迂回路径认证完成)(3900)、连接源网络(3902)、中继网络1(3904)、中继网络N(3906)、连接目标网络(3908)、用户名(3910)。接收到迂回路径认证完成(1218)的连接控制装置(52)将迂回路径认证完成通知(1221)发送到终端1(10)。
图21中示出迂回路径认证完成通知(1221)的内容。迂回路径认证完成通知(1221)作为信息包含发送源IP(3000)、目的地IP(3002)、信息包种类(迂回路径认证完成通知)(3004)、连接源网络(3006)、中继网络(3008)、中继网络(3010)、连接目标网络(3012)、用户名(3014)。由于此时认证完成,所以连接控制装置(52)将用户状态管理部(526)的该用户的认证判断标志(5268)与迂回判断标志(5266)设定为真。如上所述,在迂回路径连接时必需对各中继网络生成终端的迂回路径地址。连接控制装置(52)委托地址管理装置(56)生成迂回路径地址。该处理通过向地址管理装置(56)发送地址生成委托(1244)来进行。图21中示出地址生成委托(1244)的内容。地址生成委托(1244)作为信息包含消息种类(地址生成委托)(4500)、终端MAC地址(4502)、中继网络1(4504)、中继网络N(4506)。终端的MAC地址可从用户状态管理部(526)的终端地址(5261)中抽取,在委托地址生成时发送到地址管理装置(56)。接收到地址生成委托(1224)的地址管理装置(56)进行地址生成处理。地址的生成通过接收到的地址生成委托(1224)中的终端MAC地址(4502)与从中继网络I的网关地址中检测到的网络前缀(5642)来进行。在IPv4的情况下,检索地址管理数据库(5644),将未使用的地址用作生成地址。地址管理装置(56)使用地址生成完成(1227),将生成的地址通知给连接控制装置(52)。
图21中示出地址生成完成(1227)的内容。地址生成完成(1227)作为信息包含消息种类(地址生成完成)(4200)、终端MAC地址(4202)、生成地址1(4204)、生成地址N(4206)。生成地址I是地址生成委托(1224)的中继网络I所对应的地址。接收到地址生成完成(1227)的连接控制装置(52)将地址登录在用户状态管理部(526)的迂回路径地址中。这里,将网络2(2)用的迂回路径地址全为迂回路径地址(5270)来登录。接着,将地址生成通知(1230)发送到终端1(10),通知生成的地址。图21中示出地址生成通知(1230)的内容。地址生成通知(1230)作为信息包含发送源IP(3700)、目的地IP(3702)、信息包种类(地址生成通知)(3704)、终端地址(3706)、生成地址1(3708)、生成地址N(3710)。终端1(10)接收网络2(2)用的地址,用于以后的通信中。该处理如后所述。结束向终端1(10)通知地址的连接控制装置(52)为了能进行迂回路径连接,向存在于通信路上的网关进行地址登录。在存在于通信路上的网关中有网关1(15)、网关2(25)、网关3(35),但这里分别对网关1(15)进行为了连接许可所必需的地址登录、向网关2(25)进行为了迂回路径通信所必需的地址登录。连接控制装置(52)向网关1(15)发送地址登录(1231)。这里登录的地址为终端1(10)的地址,将其存储在用户状态管理部(526)的终端地址(5261)中。接着,连接控制装置(52)向网关2(25)发送迂回路径地址登录(1232)。图21中示出迂回路径地址登录(1232)的内容。迂回路径地址登录(1232)作为信息包含发送源IP(5200)、目的地IP(5202)、信息包种类(迂回路径地址登录)(5204)、迂回路径地址(5206)、实地址(5208)。迂回路径地址(5206)是存在于连接目标网络上的终端向迂回路径网络发送后续信息包所必需的地址,在本例中,相当于对网络2(2)生成的地址。实地址(5208)是存在于中继网络上的网关传送后续信息包所必需的地址,相当于对一个之前的中继网络生成的地址。即,在中继网络I的情况下,对网络I生成的地址相当于迂回路径地址,对网络I-1生成的地址相当于实地址。另外,网络1是终端所属的网络。这里,将网络2(2)用的地址指定给迂回路径地址(5206)。将其存储在用户状态管理部(526)的迂回路径地址1(5270)中。将终端1(10)的地址指定给实地址(5208)。将其存储在用户状态管理部(526)的终端地址(5261)中。结束必需地址的登录的连接控制装置(52)将迂回路径连接许可通知(1233)发送到终端1(10)。图21中示出迂回路径连接许可通知(1233)的内容。迂回路径连接许可通知(1233)作为信息包含发送源IP(3400)、目的地IP(3402)、信息包种类(迂回路径连接许可通知)(3404)、连接源网络(3406)、中继网络1(3408)、中继网络N(3410)、连接目标网络(3412)、用户名(3414)。接收到迂回路径连接许可通知(1233)的终端经由网关1(15)、网关2(25)、网关3(35)与终端3(30)进行通信(1236)。
终端1(10)在结束通信时向连接控制装置(52)发送连接结束(1239)。接收到连接结束(1239)的连接控制装置(52)删除用户状态管理部(526)的对应于发送该连接结束(1239)的用户的目录,向终端1(10)发送连接结束确认(1242)。最后,连接管理装置(52)为了删除登录在网关中的地址,向网关1(15)发送地址删除(1245)。地址删除(1245)的内容与图19所示地址删除(1030)的内容一样。网关1(15)从地址登录表格(120)中删除实地址(5106),以后,终端1(10)为了经由连接控制装置(52)与终端3(30)进行基于迂回路径连接的通信,必需再次发送迂回路径连接请求(1206)并经过认证。接着,连接控制装置(52)向网关2(25)发送迂回路径地址删除(1248)。图21中示出迂回路径地址删除(1248)的内容。迂回路径地址删除(1248)作为信息包含发送源IP(5300)、目的地IP(5302)、信息包种类(迂回路径地址删除)(5304)、迂回路径地址(5306)、实地址(5308)。以上迂回路径连接处理完成。
下面用流程图来详细描述各功能块的动作。
图12是连接控制装置(52)的流程图。连接控制装置(52)在系统启动时开始处理(1300),进入消息/信息包接收环路(1301)。在接收到的消息是连接请求(1000)的情况下(1302),连接控制装置(52)进行连接处理(1324)。连接处理(1324)如后所述。在接收到的消息是迂回路径连接请求(106)的情况下(1304),连接控制装置(52)进行迂回路径连接处理(1326)。迂回路径连接处理(1326)如后所述。在接收到认证信息(1006)的情况下(1306),连接控制装置(52)委托认证装置(54)进行认证(1328)。在接收到迂回路径认证信息(1212)的情况下,连接控制装置(52)委托认证装置(54)进行迂回路径认证(1330)。在接收到认证失败的情况下(1310),连接控制装置(52)通知终端认证失败(1332)。认证失败是通知连接控制装置(52)认证装置(54)认证失败的消息。在接收到迂回路径认证失败的情况下(1312),连接控制装置(52)通知终端迂回路径认证失败(1334)。迂回路径认证失败是通知连接控制装置(52)关于认证装置(54)迂回路径认证失败的消息。图22中示出迂回路径认证失败的内容。迂回路径认证失败作为信息包含消息种类(迂回路径认证失败)(4100)、连接源网络(4102)、中继网络1(4104)、中继网络N(4106)、连接目标网络(4108)、用户名(4110)。连接控制装置向终端发送迂回路径认证失败通知。图22中示出迂回路径认证失败通知的内容。迂回路径认证失败通知作为信息包含发送源IP(3200)、目的地IP(3202)、信息包种类(迂回路径认证失败通知)(3204)、连接源网络(3206)、中继网络1(3208)、中继网络N(3210)、连接目标网络(3212)、用户名(3214)。在接收到认证完成(1012)的情况下(1314),连接控制装置(52)向终端发送认证完成通知(1015),通知认证完成(1336),向网关发送地址登录(1030),将终端的地址登录在地址登录表格(120)中(1338),将连接许可通知(1018)发送到终端,使通信开始(1340)。在接收到迂回路径认证完成(1218)的情况下(1316),连接控制装置(52)向终端发送迂回路径认证完成通知(1221),通知迂回路径认证完成(1342),向地址管理装置发送地址生成委托(1224),委托生成地址(1344)。在接收到地址生成完成(1227)的情况下(1318),连接控制装置(52)将地址生成通知(1230)向终端发送(1346),通过地址登录(1231)、迂回路径地址登录(1232),将终端的地址与生成的迂回路径地址登录在网关中(1348),将迂回路径连接许可通知(1233)发送给终端(1350)。在从终端接收到连接结束(1239)的情况下(1320),连接控制装置(52)将连接结束确认(1242)向终端发送(1352),通过地址删除(1245)、迂回路径地址删除(1248),从网关中删除对应的地址(1354)。信息包/消息接收环路在系统停止时停止(1322),连接控制装置(52)结束(1399)。
下面,图13示出连接处理的状态。当连接处理开始时(1400),最初为了把握是否许可请求的连接,对连接许可数据库(524)进行检索(1402)。若对应的数据记录不存在于连接许可数据库(524)中,则连接控制装置(52)将拒绝连接通知(1203)向终端发送(1420),结束连接处理(1499)。在存在数据记录的情况下,检索用户状态管理部(526),检查认证是否完成(1404)。在认证未完成的情况下,将认证请求(1003)向终端发送(1422),结束连接处理(1499)。在认证完成的情况下,对连接许可通知(1018)进行发送(1406),结束连接处理(1499)。
下面,图14中示出迂回路径连接处理的状态。当开始迂回路径连接处理时(1500),最初为了把握是否存在请求的迂回路径,对连接许可数据库(524)进行检索(1502)。在不能从连接许可数据库(524)中算出迂回路径的情况下,连接控制装置(52)向终端发送拒绝迂回路径连接通知(1520),结束连接处理(1599)。图22示出拒绝迂回路径连接通知的内容。拒绝迂回路径连接通知作为信息包含发送源IP(3600)、目的地IP(3602)、信息包种类(迂回路径连接许可通知)(3604)、连接源网络(3606)、连接目标网络(3608)、用户名(3610)。在存在迂回路径的情况下,检索用户状态管理部(526),检查认证是否完成(1504)。在认证未完成的情况下,将迂回路径认证请求(1209)向终端发送(1522),结束连接处理(1599)。在认证完成的情况下,询问用户状态管理部(526)地址是否生成完。地址生成判断在迂回路径判断标志(5266)为真的情况下,通过是否存在迂回路径地址(5270)来进行。在地址未生成的情况下,连接控制装置(52)将地址生成委托(1224)向地址管理装置(56)发送(1524)。在地址生成完的情况下,向终端发送地址生成通知(1230),进行地址通知(1508),将迂回路径连接许可通知(1233)发送(1510),结束迂回路径连接处理(1599)。
图15是认证装置(54)的流程图。认证装置(54)在系统启动时开始处理(1600),进入消息接收环路(1601)。在接收到的消息是认证委托(1009)的情况下(1602),认证装置(54)进行认证处理(1620)。认证处理如后所述。在接收到的消息是迂回路径认证委托(1215)的情况下(1604),认证装置(54)进行迂回路径认证处理(1622)。消息接收环路在系统停止时停止(1606),认证装置结束(1699)。
下面,在图16中示出认证处理的状态。当开始认证处理时(1700),最初检索认证信息中的用户名是否存在于认证数据库(542)中(1702)。在用户名不存在的情况下,认证装置(54)向连接控制装置(52)发送认证失败(1720),结束处理(1799)。在用户名存在的情况下,检索口令是否正确(1704)。在口令不正确的情况下,认证装置(54)向连接控制装置(52)发送认证失败(1722),结束处理(1799)。在口令正确的情况下,认证装置(54)将认证完成(1012)向连接控制装置(52)发送(1706),结束处理(1799)。
下面,图17中示出迂回路径认证处理的状态。当开始迂回路径认证处理时(1800),最初检索认证信息中的用户名是否存在于认证数据库(542)中(1802)。在不存在用户名的情况下,认证装置(54)向连接控制装置(52)发送迂回路径认证失败(1820),结束处理(1899)。在用户名存在的情况下,检索口令是否正确(1804)。仅在迂回路径认证中必需的全部口令都正确的情况下,才视为口令正确。在口令不正确的情况下,认证装置(54)向连接控制装置(52)发送迂回路径认证失败(1822),结束处理(1899)。在口令正确的情况下,认证装置(54)将迂回路径认证完成(1218)向连接控制装置(52)发送(1806),结束处理(1899)。
图18是地址管理装置(56)的流程图。地址管理装置(56)在系统启动时开始处理(1900),进入消息接收环路(1901)。当地址管理装置接收地址生成委托(1224)时(1902),从中继网络N(4506)生成迂回路径连接用地址(1904),将地址生成完成(1227)向连接控制装置(52)发送(1906)。消息接收环路在系统停止时停止(1908),地址管理装置结束(1999)。
下面,说明终端1(10)向终端3(30)进行通信时的信息包处理。图27是终端1(10)向终端3(30)通信时的时序。图11中,在终端1(10)接收地址生成通知(1230)的时刻,终端1(10)保持作为迂回路径网络1的网络2(2)用的地址,将终端1(10)最初保持的地址记述为Host1,将网络2(2)用的迂回地址记述为Host1-2。当网关(15)接收地址登录(1231)时,将Host1登录在网关1(15)的地址登录表格(120)中,终端1(10)可经网关(15)进行通信。当网关2(25)接收迂回路径地址登录(1232)时,将Host1-2作为迂回路径地址(13010)、将Host1作为实地址(13020)登录在网关2(25)的迂回路径地址登录表格(130)中。这些信息在迂回路径连接中从终端3向终端1发送信息包时是必需的。当终端1(10)接收迂回路径连接许可通知(1233)时,终端1(10)知道通信经由网关1、2、3发送。终端1(10)按以下步骤向终端3(30)发送信息包。终端1(10)最初将信息包(5498)向网关1(15)发送(5499)。终端1(10)发送到网关1(15)的信息包(5498)包含信息包的真的起点(5408)、真的终点(5410)、信道通信的起点(5400)、信道通信的终点(5402)、迂回首标(header)1(5404)、迂回首标2(5406)与有效负荷(5412)。因为从终端1(10)到终端3(30)的通信最初经由网关1(15),所以将Host1(5450)指定给信道通信的起点,将GW1(5452)指定给终点。GW1是网关1(15)的地址,包含于迂回路径连接许可通知(1233)的连接源网络(3406)中。为了满足连接许可,信息包必需经由网关2(25)、网关3(35)。为了实现该步骤,终端1(10)将两个迂回首标插入信息包中。迂回首标成对指定发送源与发送目的。这里,分别指定从网关1(15)到网关2(25)的迂回首标(5454)、从网关2(25)到网关3(35)的迂回首标(5456)。向作为终端3(30)的地址的Host3指定给信息包的真的终点,但这里的问题在真的起点。在终端3接收信息包时,返回信息包时,有可能仅从网络3(3)向有连接许可的网络返回。因此,将网络2用的迂回地址Host1-2指定为真的起点。因为算出迂回地址以便对终点而言必然有连接许可,所以通过将迂回地址指定给真的起点,可从终端3(30)返回信息包。有效负荷(5412)中包含向终端3(30)发送的数据(5462)。从终端1接收信息包(5498)的网关1(15)按以下步骤处理信息包。根据信道通信的起点(5400)与终点(5402),把握信道通信的终点是自己本身,去除这些点。接着,网关1(15)进行迂回首标的检索。终端1(10)发送到网关1(15)的信息包(5498)中存在请求从网关1(15)迂回到网关2(25)的迂回首标1(5404),所以将信道通信的起点指定给GW1(5550),将终点指定给GW2(5552),去除一个迂回首标,仅指定从网关2到网关3的迂回首标(5554)。真的起点(5506)、真的终点(5508)、有效负荷(5510)原样复制原始的信息包的数据(5556、5558、5560)。经以上处理,网关1(15)将信息包(5598)向网关2(25)发送(5599)。接收到该信息包的网关2(25)进行与网关1(15)一样的处理,将信息包(5698)向网关3(35)发送(5699)。信道通信的起点是GW2(5650),终点是GW3(5652),真的起点是Host1-2(5654),真的终点是Host3(5656)。有效负荷(5658)不变化。接收到该信息包的网关3(35)分析信息包,了解不存在迂回首标。因此,网关3(35)不将从网关2(25)接收的信息包信道化,而作为通常的通信进行处理。因为信息包的真的终点是Host3,所以网关3(35)构筑图26所示信息包。信息包的起点是Host1-2(5750),终点是Host3(5752)。有效负荷(5754)不变化。如此构筑的信息包(5798)到达终端3(30)(5799)。
下面说明信息包从终端3(30)返回到终端1(10)。终端3把握的信息包的改善源是由从网关3(35)接收到的信息包(5798)的起点(5700)指定的Host1-2(5750)。根据该信息,终端3930)构筑到终端1(10)的信息包(5898)。终端3(30)将信息包的真的起点设定成Host3(5854),将真的终点设定成Host1-2(5856),将信道的起点设定成Host3(5850),将信道的终点设定成GW3(5852)。接收到该信息包的网关3(35)由于(5899)信息包的真的终点是Host1-2,所以构筑发送到网关1(15)(5999)的信息包(5998)信息包。真的起点(5904)、真的终点(5906)、有效负荷(5908)不变化。将信道的起点设定成GW3(5950),将信道的终点设定成GW2(5952)。接收到该信息包的网关2(25)在网络2(2)中检索信息包的传送目的,但由于Host1-2是终端1(10)在网络2(2)内使用的虚拟地址,所以信息包的传送目的不存在。因此,网关2(25)检索迂回路径地址登录表格(130),检查对应的迂回路径是否不存在。将Host1-2作为迂回路径地址(13010)、将Host1作为实地址(13020)登录在网关2(25)的迂回路径地址登录表格(130)中,所以网关2(25)将信息包发送到网关1(15)。根据以上信息,网关2(25)将信息包(6098)发送到网关1(15)。信道的起点(6050)被设定成GW2,信道的终点被设定成GW1(6052)。真的起点为Host3不变(6054),但真的终点变化成作为从迂回路径地址登录表格(130)中抽取的实地址(13020)的Host1(6056)。接收来自网关2(25)的信息包(6098)的网关1(15)知道信息包的终点是Host1,构筑信息包(6198),发送到终端1(10)(6199)。该信息包的起点被设定成Host3(6150),终点被设定成Host1(6152)。经以上处理,将信息包从终端3(30)返回终端1(10)。
下面,图23中示出将连接控制系统实现为一个连接管理装置(6)的情况下的结构。连接管理装置(6)最低限度具备网络接口(50000)与总线(50006)、存储器(50008)。连接管理装置(6)的结构在图25中详细描述。连接管理装置(6)具备连接控制功能(60002)、认证(60004)、地址管理功能(60006),作为在存储器(50008)上动作的连接管理程序(60000)的功能。各功能提供与连接控制装置(52)、认证装置(54)、地址管理装置(56)同等的功能,处理序列与图10、图11一样。
下面,用图24来表示系统的硬件结构。如图1所示,连接控制系统(5)由连接控制装置(52)、认证装置(54)与地址管理装置(56)构成。这些装置分别具备网络接口(50000),通过LAN(50010)彼此进行通信。各装置此外还具备CPU(50002)、硬盘(50004)、存储器(50008),它们通过装置内的总线(50006)来彼此收发信数据。各装置的存储器(50008)中存储实现各装置功能的程序。连接控制程序(52000)在连接控制装置(52)的存储器(50008)上动作,该程序具备连接控制功能(52002)。同样,具备认证功能(54002)的认证程序(54000)在认证装置(54)的存储器(50008)上动作,具备地址管理功能(56002)的地址管理程序(56000)在地址管理装置(56)的存储器(50008)上动作。作为这些装置的实现形态,除向各装置分配单独的计算机外,也可象叶(blade)服务器那样以将多个计算机处理成单一框体的形式来实现。另外,也可将全部功能安装在单个计算机中。图25中示出单个硬件下的连接管理装置(6)的安装。连接管理装置(6)与图24的各装置一样,具备网络接口(50000),通过LAN(50010)与外部终端、网关彼此通信。连接管理装置(6)还具备CPU(50002)、硬盘(50004)、存储器(50008),它们通过装置内的总线(50006)来彼此收发信数据。具备连接管理装置(6)的功能的连接管理程序(60000)在存储器(50008)上动作。连接管理程序(60000)具备连接控制功能(60002)、认证功能(60004)、地址管理功能(60006),这些功能块具有与连接控制装置(52)、认证装置(54)、地址管理装置(56)相同的功能,处理过程与图10、图11一样。
下面举几个应用实例。图28是使用VPN服务器(70)来构筑系统的实例。一般的VPN服务器(70)是如下服务器,即在通信中作为发送源网络与发送目标网络的对来管理连接许可,仅许可、管理来自有连接许可且用户认证完成的终端的通信。可将其视为同时具有连接控制装置(52)与认证装置(54)的功能的装置。
图28示出将VPN服务器(70)适用于连接控制系统(5)中的状态。通过VPN服务器(70)与地址管理装置(56)联动,可进行图10、图11所示的连接控制。
图29是使连接控制系统(5)与TV会议系统(7)联动的安装例。TV会议系统(7)由TV会议服务器(72)、进行基于按IETF进行标准化的SIP(SessionInitiation Protocol)的调用控制的SIP服务器(76)、管理TV会议参加者的状态的现场(presence)服务器(74)构成。TV会议服务器(72)在会议开始时询问现场服务器(74)参加者的状态,得到参加者是否在当前终端或属于现在的哪个网络等信息。此时,由于终端所属的网络,可能不会从会议服务器(72)向终端通信。在这种情况下,可以考虑会议服务器(72)或SIP服务器(76)使用连接控制系统来确保向终端的通信到达性。也可作为单个系统来安装TV会议系统(7)与连接控制系统(5),此时,例如可以考虑SIP服务器(76)装入连接控制装置(52)的功能的安装方式。
上述连接管理功能由下述程序来实现。
一种程序,可在服务器中执行,该服务器经通信网络与第一及第二终端连接,具备:
与上述通信网络连接的收发信部;和与上述收发信部连接的CPU,其中,该程序使上述服务器执行连接控制方法,该连接控制方法具有如下步骤:
收发信部接收从上述第一终端到上述第二终端的连接请求;
上述CPU判断能否从上述第一终端连接到上述第二终端;
上述判断结果为上述连接不可能的情况下,上述CPU生成可与上述第二终端连接的地址;和
上述收发信部将包含该地址的数据发送到上述第一终端。
Claims (10)
1、一种连接管理装置,可经通信网络来与第一及第二终端连接,其特征在于:具备
可连接于上述通信网络上的收发信部;和
与上述收发信部连接且彼此连接的CPU及存储器,
在上述收发信部接收到从上述第一终端向上述第二终端连接的连接请求的情况下,上述CPU从上述存储器中读出判断可否从上述第一终端连接到上述第二终端的程序并执行该程序,并且上述CPU在上述判断结果是不能进行上述连接的情况下,从上述存储器中读出生成可与上述第二终端连接的地址的程序并执行该程序,
将包含该生成的地址的数据从上述收发信部发送到上述第一终端。
2、根据权利要求1所述的连接管理装置,其特征在于:
在上述存储器中存储判断可否从上述第一终端向上述第二终端连接的数据库,
上述CPU使用上述数据库来进行上述判断。
3、根据权利要求1所述的连接管理装置,其特征在于:
在上述判断结果为不能进行上述连接的情况下,上述CPU还从上述存储器中读出检索从上述第一终端到上述第二终端的通信路径的程序并执行该程序,
在上述检索结果为存在上述通信路径的情况下,执行生成上述地址的程序。
4、根据权利要求1所述的连接管理装置,其特征在于:
在上述判断结果为不能进行上述连接的情况下,将该情况通知第一终端,
在有来自上述第一终端的请求后,生成上述地址。
5、根据权利要求1所述的连接管理装置,其特征在于:
在上述判断结果为能进行上述连接的情况下,上述CPU还从上述存储器中读出认证上述第一终端的程序并执行该程序,
在上述第一终端的认证成功后,生成上述地址。
6、一种连接控制系统,经通信网络与第一及第二终端连接,其特征在于:
具备分别具有与上述通信网络连接的收发信部、与上述收发信部连接且彼此连接的CPU及存储器的连接控制装置及地址生成装置,
在上述连接控制装置中,在上述连接控制装置的收发信部接收从上述第一终端向上述第二终端连接的连接请求的情况下,上述连接控制装置的CPU从上述连接控制装置的存储器中读出判断可否从上述第一终端连接到上述第二终端的程序并执行该程序,
在上述判断结果为不能进行上述连接的情况下,从上述连接控制装置的收发信部向上述地址生成装置发送可与上述第二终端连接的地址的生成委托,
在上述地址生成装置中,上述地址生成装置的收发信部接收上述地址的生成委托,
上述地址生成装置的CPU从上述地址生成装置的存储器中读出生成可与上述第二终端连接的地址的程序并执行该程序,
将包含该地址的数据从上述地址生成装置的收发信部发送到上述第一终端。
7、根据权利要求6所述的连接控制系统,其特征在于:
在上述连接控制装置中的判断结果为不能进行上述连接的情况下,
上述连接控制装置的CPU还从上述连接控制装置的存储器中读出检索从上述第一终端到上述第二终端的通信路径的程序并执行该程序,
在上述检索结果为存在上述通信路径的情况下,将可与上述第二终端连接的地址的生成委托从上述连接控制装置的收发信部发送到上述地址生成装置。
8、根据权利要求6所述的连接控制系统,其特征在于:
在上述连接控制装置的判断结果为不能进行上述连接的情况下,上述连接控制装置将该情况通知第一终端,
在有来自上述第一终端的请求后,上述地址生成装置生成上述地址。
9、根据权利要求6所述的连接控制系统,其特征在于:
还具备认证装置,该认证装置具备连接于上述通信网络上的收发信部、和连接到上述收发信部且彼此连接的CPU及存储器,
在上述连接控制装置的判断结果为能进行上述连接的情况下,上述认证装置的CPU从上述认证装置的存储器中读出进行上述第一终端的认证的程序并执行该程序,
上述认证装置在上述第一终端的认证成功后,上述地址生成装置生成上述地址。
10、一种连接控制装置,经通信网络连接到第一及第二终端及地址生成装置上,其特征在于:具备
与上述通信网络连接的收发信部;和
与上述收发信部连接且彼此连接的CPU及存储器,
在上述收发信部接收到从上述第一终端向上述第二终端连接的连接请求的情况下,上述CPU从上述存储器中读出判断可否从上述第一终端连接到上述第二终端的程序并执行该程序,
在上述判断结果为不能进行上述连接的情况下,
将可与上述第二终端连接的地址的生成委托从上述收发信部发送到上述地址生成装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003403971A JP4253569B2 (ja) | 2003-12-03 | 2003-12-03 | 接続制御システム、接続制御装置、及び接続管理装置 |
| JP2003403971 | 2003-12-03 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1625136A true CN1625136A (zh) | 2005-06-08 |
| CN100454860C CN100454860C (zh) | 2009-01-21 |
Family
ID=34696795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100035717A Expired - Fee Related CN100454860C (zh) | 2003-12-03 | 2004-01-30 | 连接控制系统、连接控制装置及连接管理装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7694015B2 (zh) |
| JP (1) | JP4253569B2 (zh) |
| CN (1) | CN100454860C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389987A (zh) * | 2021-12-24 | 2022-04-22 | 广州爱浦路网络技术有限公司 | 数据包路由方法、计算机装置和存储介质 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1764972B1 (en) * | 2005-09-20 | 2017-07-19 | Accenture Global Services Limited | Authentication and authorization architecture for an access gateway |
| US20070233844A1 (en) | 2006-03-29 | 2007-10-04 | Murata Kikai Kabushiki Kaisha | Relay device and communication system |
| US7831686B1 (en) * | 2006-03-31 | 2010-11-09 | Symantec Operating Corporation | System and method for rapidly ending communication protocol connections in response to node failure |
| US7797565B1 (en) | 2006-04-04 | 2010-09-14 | Symantec Operating Corporation | System and method for maintaining communication protocol connections during failover |
| WO2007131548A1 (en) * | 2006-05-15 | 2007-11-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatuses for establishing a secure channel between a user terminal and a sip server |
| EP1926285B1 (en) * | 2006-10-11 | 2011-07-13 | Murata Machinery, Ltd. | Relay server |
| DE102007046350A1 (de) * | 2007-09-27 | 2009-04-02 | Siemens Enterprise Communications Gmbh & Co. Kg | Verfahren und Anordnung zum Bereitstellen von VoIP-Kommunikation |
| JP4750808B2 (ja) * | 2008-01-30 | 2011-08-17 | 日本電信電話株式会社 | 接続制御システム、接続制御方法および接続制御プログラム |
| JP5245837B2 (ja) * | 2009-01-06 | 2013-07-24 | 富士ゼロックス株式会社 | 端末装置、中継装置及びプログラム |
| JPWO2011081104A1 (ja) * | 2010-01-04 | 2013-05-09 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| US8914841B2 (en) * | 2010-11-24 | 2014-12-16 | Tufin Software Technologies Ltd. | Method and system for mapping between connectivity requests and a security rule set |
| CN103283190A (zh) * | 2010-12-24 | 2013-09-04 | 日本电气株式会社 | 通信系统、控制装置、策略管理装置、通信方法和程序 |
| JP5743880B2 (ja) * | 2011-12-28 | 2015-07-01 | 株式会社東芝 | 認証サーバ、認証方法およびコンピュータプログラム |
| JP6973122B2 (ja) * | 2018-01-26 | 2021-11-24 | トヨタ自動車株式会社 | 車載ネットワークシステム |
| JP7243211B2 (ja) * | 2019-01-22 | 2023-03-22 | 日本電気株式会社 | 通信管理システム、管理サーバ、vpnサーバ、通信管理方法、及びプログラム |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5546390A (en) * | 1994-12-29 | 1996-08-13 | Storage Technology Corporation | Method and apparatus for radix decision packet processing |
| US6058429A (en) * | 1995-12-08 | 2000-05-02 | Nortel Networks Corporation | Method and apparatus for forwarding traffic between locality attached networks using level 3 addressing information |
| US7032242B1 (en) * | 1998-03-05 | 2006-04-18 | 3Com Corporation | Method and system for distributed network address translation with network security features |
| US6449272B1 (en) | 1998-05-08 | 2002-09-10 | Lucent Technologies Inc. | Multi-hop point-to-point protocol |
| US6119160A (en) * | 1998-10-13 | 2000-09-12 | Cisco Technology, Inc. | Multiple-level internet protocol accounting |
| US6396833B1 (en) * | 1998-12-02 | 2002-05-28 | Cisco Technology, Inc. | Per user and network routing tables |
| JP3633356B2 (ja) * | 1999-03-31 | 2005-03-30 | 株式会社日立製作所 | サーバ装置、サービス制御ゲートウェイ装置、サービス制御装置及び通信制御方法 |
| JP2001086160A (ja) * | 1999-09-14 | 2001-03-30 | Aiwa Co Ltd | データ通信方法及び通信端末装置 |
| WO2001020829A1 (en) * | 1999-09-14 | 2001-03-22 | Megaxess, Inc. | Method and apparatus for prevention of congestion in atm networks through atm protection switching |
| US7113994B1 (en) * | 2000-01-24 | 2006-09-26 | Microsoft Corporation | System and method of proxy authentication in a secured network |
| US6725264B1 (en) * | 2000-02-17 | 2004-04-20 | Cisco Technology, Inc. | Apparatus and method for redirection of network management messages in a cluster of network devices |
| JP3456189B2 (ja) * | 2000-03-31 | 2003-10-14 | 日本電気株式会社 | 移動通信システム |
| JP2001326697A (ja) | 2000-05-17 | 2001-11-22 | Hitachi Ltd | 移動体通信網、端末装置、パケット通信制御方法、及び、関門装置 |
| US6836462B1 (en) * | 2000-08-30 | 2004-12-28 | Cisco Technology, Inc. | Distributed, rule based packet redirection |
| JP2002314587A (ja) | 2001-04-17 | 2002-10-25 | Hitachi Ltd | ルート設定方法、ルート設定サービス方法、ネットワーク経路管理システム及びネットワーク支援システム |
| JP3511623B2 (ja) | 2001-06-26 | 2004-03-29 | 日本電気株式会社 | リモートvpn認証・管理システムおよびリモートvpn認証・管理システム構築方法 |
| CN1380773A (zh) * | 2002-04-25 | 2002-11-20 | 复旦大学 | 一种增强的nat-pt协议方案 |
| US7363055B2 (en) * | 2002-05-09 | 2008-04-22 | Casabyte, Inc. | Method, apparatus and article to remotely associate wireless communications devices with subscriber identities and/or proxy wireless communications devices |
-
2003
- 2003-12-03 JP JP2003403971A patent/JP4253569B2/ja not_active Expired - Fee Related
-
2004
- 2004-01-29 US US10/766,189 patent/US7694015B2/en not_active Expired - Fee Related
- 2004-01-30 CN CNB2004100035717A patent/CN100454860C/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389987A (zh) * | 2021-12-24 | 2022-04-22 | 广州爱浦路网络技术有限公司 | 数据包路由方法、计算机装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100454860C (zh) | 2009-01-21 |
| JP4253569B2 (ja) | 2009-04-15 |
| US20050144289A1 (en) | 2005-06-30 |
| JP2005167646A (ja) | 2005-06-23 |
| US7694015B2 (en) | 2010-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100416541B1 (ko) | 홈게이트웨이와 홈포탈서버를 이용한 홈네트워크 접근방법 및 그 장치 | |
| US7366894B1 (en) | Method and apparatus for dynamically securing voice and other delay-sensitive network traffic | |
| EP1705855B1 (en) | Method and System for establishing a Peer-to-peer communications channel | |
| CN1625136A (zh) | 连接控制系统、连接控制装置及连接管理装置 | |
| JP4327575B2 (ja) | 動的ファイアウォールシステム | |
| JP4270888B2 (ja) | Wlan相互接続におけるサービス及びアドレス管理方法 | |
| EP2852109B1 (en) | Service processing method, device and system | |
| JP4598859B2 (ja) | 中継ネットワークシステム及び端末アダプタ装置 | |
| US20060187942A1 (en) | Packet forwarding apparatus and communication bandwidth control method | |
| CN1813454A (zh) | 无线通信网络上的移动单元会话管理的系统和方法 | |
| JP3006504B2 (ja) | 無線ネットワークにおける無線端末の認証方法および無線ネットワーク | |
| JP2004140605A (ja) | 通信システム、転送装置、通信方法及びプログラム | |
| JPH0281539A (ja) | デジタル通信回路網およびその操作方法並びにデジタル通信回路網に用いるルータ | |
| CN104539902B (zh) | 一种ipc的远程访问方法和系统 | |
| JP2002217943A (ja) | 中継サーバおよび通信システム | |
| CN1997981A (zh) | Ip流的按需会话提供 | |
| EP3664403B1 (en) | User authentication of bras under architecture of mutually separated forwarding and control | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| JP2006352223A (ja) | ネットワーク接続システム | |
| JP2002077275A (ja) | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム | |
| EP2239709A2 (en) | Methods, apparatus and systems for accessing vehicle operational data using an intelligent network router | |
| JP4817797B2 (ja) | PPPoEブリッジ装置及びPPPoEセッション切断方法 | |
| US20060171379A1 (en) | Movement management system, movement management server, and movement management method used for them, and program thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20060421 Address after: Tokyo, Japan Applicant after: Hitachi Communications Technology Co., Ltd. Address before: Tokyo, Japan Applicant before: Hitachi Ltd. Co-applicant before: Hitachi communication technology KK |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: HITACHI CO., LTD. Free format text: FORMER OWNER: HITACHI COMMUNICATION TECHNOLOGIES LTD. Effective date: 20100323 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20100323 Address after: Tokyo, Japan, Japan Patentee after: Hitachi Ltd. Address before: Tokyo, Japan Patentee before: Hitachi Communications Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090121 Termination date: 20150130 |
|
| EXPY | Termination of patent right or utility model |