JP2005012424A - Management device and communication system - Google Patents
Management device and communication system Download PDFInfo
- Publication number
- JP2005012424A JP2005012424A JP2003173314A JP2003173314A JP2005012424A JP 2005012424 A JP2005012424 A JP 2005012424A JP 2003173314 A JP2003173314 A JP 2003173314A JP 2003173314 A JP2003173314 A JP 2003173314A JP 2005012424 A JP2005012424 A JP 2005012424A
- Authority
- JP
- Japan
- Prior art keywords
- access terminal
- terminal
- communication
- access
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、例えば家庭内端末やホームサーバ等での認証を代わりに実施する管理装置及び通信システムに関する。
【0002】
【従来の技術】
従来、インターネットの用途は情報収集であったが、DSL等の常時接続化により、家庭内のパーソナルコンピュータ、更にはネット家電等への接続に注目が集まりつつある。現状では、こうした要求を実現する為には、家庭内にホームサーバ等のゲートウェイ機器を設置し、当該ゲートウェイ機器にて認証を実施することで、家庭内ネットワークへのアクセス許可を行う必要がある。
【0003】
ここで、例えば非特許文献1では、PPTPを使ったVPNの構築に関する技術が開示されている。この技術を用いることにより、家庭内に安全にアクセスすることが可能となるが、この実現には、高度な専門知識と、エンドユーザーによる日々のメンテナンスが必要となる。
【0004】
【非特許文献1】
UNIX USER 2003/6 「第1特集 我らトンネルビルダー」
【0005】
【発明が解決しようとする課題】
しかしながら、家庭内端末、ホームサーバ等で認証を行う形態では、個々の端末にて認証アプリケーションを設定する必要がある。即ち、高価な機器やそれを扱う技術的な専門知識が必要のみならず、認証アプリケーションの最新バージョンへのバージョンアップ、短期間でのハードウェアの更新等といった継続的なメンテナンスをユーザ自身が行う必要がある。
【0006】
本発明は上記問題に鑑みてなされたものであり、その目的とするところは、家庭内端末やホームサーバ等での認証を不要とし、ユーザのメンテナンス負担を軽減すること、及び認証を管理装置で統括して実施し、管理することでセキュリティ強化を図ることにある。
【0007】
【課題を解決するための手段】
上記目的を達成するために、請求項1に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で第1の仮想論理パスを構築する第1の仮想論理パス設定手段と、上記認証手段による判断の結果、上記第2のアクセス端末によるアクセスを許可する場合には、当該第2のアクセス端末との間で第2の仮想論理パスを構築する第2の仮想論理パス2設定手段と、を有する管理装置により、上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを特徴とする通信システムが提供される。
【0008】
そして、請求項2に係る発明として、上記第1のアクセス端末は、第3の端末との間の物理パスと管理装置との間の第1の仮想論理パスとをブリッジ接続する機能を有しており、当該機能により、上記第3の端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを更に特徴とする請求項1に記載の通信システムが提供される。
【0009】
さらに、請求項3に係る発明として、上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項1又は2のいずれかに記載の通信システムが提供される。
【0010】
また、請求項4に係る発明として、上記第3の端末と上記第1のアクセス端末との間の物理パスは常時接続されていることを更に特徴とする請求項2又は3のいずれかに記載の通信システムが提供される。
【0011】
そして、請求項5に係る発明として、上記第1の仮想論理パスは上記第1のアクセス端末の電源がオンである限り常時接続されていることを更に特徴とする請求項1乃至4のいずれかに記載の通信システムが提供される。
【0012】
さらに、請求項6に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末及び第2のアクセス端末によるアクセスの両方を許可する場合には、当該第1のアクセス端末と上記第2のアクセス端末との間で仮想論理パスを構築するように指示をする仮想論理パス設定指示手段と、を有する管理装置により、上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを特徴とする通信システムが提供される。
【0013】
また、請求項7に係る発明として、上記第1のアクセス端末は、第3の端末との間の物理パスと上記第2のアクセス端末との間の仮想論理パスとをブリッジ接続する機能を有しており、当該機能により、上記第3の端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを更に特徴とする請求項6に記載の通信システムが提供される。
【0014】
そして、請求項8に係る発明として、上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項6又は7のいずれかに記載の通信システムが提供される。
【0015】
さらに、請求項9に係る発明として、上記第3の端末と上記第1のアクセス端末との間の物理パスは常時接続されていることを更に特徴とする請求項6乃至8のいずれかに記載の通信システムが提供される。
【0016】
また、請求項10に係る発明として、上記レイヤ2通信は、イーサーネット又はファストイーサーネットを意味することを更に特徴とする請求項1乃至9のいずれかに記載の通信システムが提供される。
【0017】
請求項11に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で仮想論理パスを構築する仮想論理パス設定手段と、上記第1のアクセス端末と上記第2のアクセス端末との間のデータ通信においてプロキシ機能によりデータの中継を行うプロキシ手段と、を有する管理装置により、上記第1のアクセス端末と上記第2のアクセス端末との間でデータ通信を可能とすることを特徴とする通信システムが提供される。
【0018】
請求項12に係る発明として、上記第1のアクセス端末と同種の端末を複数有しており、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能とを有することを更に特徴とする請求項11に記載の通信システムが提供される。
【0019】
また、請求項13に係る発明として、上記第1のアクセス端末は、第3の端末との間の物理パスと管理装置との間の仮想論理パスとをブリッジ接続する機能を有しており、当該機能により、上記第3の端末と上記第2のアクセス端末との間でデータ通信を可能とする、ことを更に特徴とする請求項11に記載の通信システムが提供される。
【0020】
そして、請求項14に係る発明として、上記第1のアクセス端末と同種の端末を複数有しており、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき上記第3の端末を選択する第3の端末選択機能とを有する、ことを更に特徴とする請求項13に記載の通信システムが提供される。
【0021】
さらに、請求項15に係る発明として、上記第1のアクセス端末と上記管理装置間、或いは上記第3の端末と上記管理装置間のデータ通信は、レイヤ2通信、或いは1つのサブネットで構成されたレイヤ3通信であることを更に特徴とする請求項11乃至14のいずれかに記載の通信システムが提供される。
【0022】
また、請求項16に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で第1の仮想論理パスを構築する第1の仮想論理パス設定手段と、上記認証手段による判断の結果、上記第2のアクセス端末によるアクセスを許可する場合には、当該第2のアクセス端末との間で第2の仮想論理パスを構築する第2の仮想論理パス2設定手段と、を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする管理装置が提供される。
【0023】
請求項17に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末及び第2のアクセス端末によるアクセスの両方を許可する場合には、当該第1のアクセス端末と上記第2のアクセス端末との間で仮想論理パスを構築するように指示をする仮想論理パス設定指示手段と、を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする管理装置が提供される。
【0024】
さらに、請求項18に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で仮想論理パスを構築する仮想論理パス設定手段と、上記第1のアクセス端末と上記第2のアクセス端末との間のデータ通信においてプロキシ機能によりデータの中継を行うプロキシ手段と、を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でデータ通信を可能とすることを特徴とする管理装置が提供される。
【0025】
また、請求項19に係る発明として、上記第1のアクセス端末と同種の複数の端末と通信自在である場合において、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能とを有する、ことを更に特徴とする請求項18に記載の管理装置が提供される。
【0026】
そして、請求項20に係る発明として、上記第1のアクセス端末と同種の複数の端末と通信自在である場合において、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき上記第3の端末を選択する第3の端末選択機能とを有することを更に特徴とする請求項18に記載の管理装置が提供される。
【0027】
さらに、請求項21に係る発明として、上記第1のアクセス端末と上記管理装置間、或いは上記第3の端末と上記管理装置間のデータ通信は、レイヤ2通信、或いは1つのサブネットで構成されたレイヤ3通信であることを更に特徴とする請求項18乃至20のいずれかに記載の管理装置が提供される。
【0028】
また、請求項22に係る発明として、上記レイヤ2通信は、イーサーネット又はファストイーサーネットを意味することを更に特徴とする請求項16乃至21のいずれかに記載の管理装置が提供される。
【0029】
そして、請求項23に係る発明として、上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項16乃至21のいずれかに記載の管理装置が提供される。
【0030】
【発明の実施の形態】
以下、図面を参照して、本発明の実施の形態について説明する。
【0031】
(第1の実施の形態)
図1には、本発明の第1の実施の形態に係る管理装置及びそれを用いた通信システムの構成を示し説明する。この図1に示されるように、管理装置としての網内システム1、宅内接続端末2、外部接続端末4は、レイヤ3ネットワーク5を介して通信自在に接続されている。この宅内接続端末2は、更にレイヤ2セグメント6を介して、宅内端末3と通信自在に接続されている。宅内接続端末2としては、例えばゲートウェイ装置の如きものを採用することができる。但し、宅内接続端末2は認証サーバを備えていなくてもよい。また、宅内端末3と宅内接続端末2との間の物理パスは、常時接続されていてもよい。
【0032】
各端末2乃至4及び網内システム1の詳細な構成については後述する。
【0033】
このような構成において、宅内接続端末2又は外部接続端末4から認証要求が順次になされると、網内システム1は当該要求を受けて、宅内接続端末2又は外部接続端末4のアクセス可否を判断する。そして、網内システム1は、アクセスを許可する場合には、宅内接続端末2、外部接続端末4との間でそれぞれ仮想論理パスを構築する。これにより、宅内接続端末2と外部接続端末4との間でのレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする。
【0034】
以下、図2のフローチャートを参照して、本発明の第1の実施の形態に係る通信システムにおける、宅内接続端末2、網内システム1、外部接続端末4間のレイヤ2通信の流れを詳細に説明する。
【0035】
宅内接続端末2の電源がオンされ(ステップS1)、網内システム1に認証要求がなされると(ステップS2)、網内システム1は当該認証要求を受け、宅内接続端末2によるアクセスの可否を判断し、アクセスを許可する場合には、宅内接続端末2にその旨を返信する(ステップS3)。こうして、宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS4)、両者において仮想パス設定を行い(ステップS5,S6)、宅内接続端末2と網内システム1との間で仮想論理パス(仮想レイヤ2(▲1▼))を構築する。
【0036】
以上で、事前準備にかかる通信処理を終了する。
【0037】
上記事前準備の後に、外部接続端末4にてアクセスボタンがクリックされ(ステップS7)、網内システム1に認証要求がなされると(ステップS8)、網内システム1は、当該認証要求を受けて、外部接続端末4によるアクセスの可否を判断し、アクセスを許可する場合には、外部接続端末4にその旨を返信する(ステップS9)。こうして、外部接続端末4と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS10)、両者において仮想パス設定を行い(ステップS11,S12)、外部接続端末4と網内システム1との間で仮想論理パス(仮想レイヤ2(▲2▼))を構築する。
【0038】
次いで、網内システム1は、ブリッジ設定を行い(ステップS13)、宅内接続端末2と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲1▼+▲2▼))を構築する。以上で、外部接続にかかる通信処理を終了する。
【0039】
ここで、図3のフローチャートを参照して、上記「認証」、「仮想パスに係わる情報交換」、「仮想パスの設定」について更に詳細に説明する。
【0040】
以下の説明は、他の実施の形態におけるレイヤ2または一つのサブネットで構成されたレイヤ3通信のための仮想論理パスを構築する際の、認証及びパケット送信の為の準備手順にも共通している。
【0041】
宅内接続端末2による「認証」では(ステップS20)、宅内接続端末2はユーザID及びパスワードを網内システム1に送信する(ステップS20a)。網内システム1は、このユーザID、パスワードを受けると、ユーザ管理DBを参照して、ユーザ認証を行い(ステップS20b)、宅内接続端末2によるアクセスを許可する場合、宅内接続端末2にその旨を返信する(ステップS20c)。
【0042】
また、宅内接続端末2と網内システム1との間で「仮想パスに係わる情報交換」では(ステップS21)、宅内接続端末2は、IPアドレスに係る情報(この例では165.0.2.1)等を網内システム1に送信する(ステップS21a)。網内システム1は、このIPアドレスに係る情報を受けると、VPNに関するテーブルに宅内接続端末2のIPアドレスを追加する(ステップS21b)。
【0043】
以降、網内システム1は、例えば165.0.2.1からは、user_b向けEtherIPのパケットが送信されることをVPNに関するテーブルにより認識する。
【0044】
次いで、網内システム1は、システム自身のIPアドレスに係る情報(この例では、169.100.0.1)を宅内接続端末2に送信する(ステップS21d)。
【0045】
但し、このIPアドレスに関する情報は必ずしも必要ではなく、セキュリティの情報交換だけを行う場合もあることは勿論である。
【0046】
尚、暗号化処理を含む場合には、「仮想パスに係わる情報交換」に暗号の情報交換が含まれることになる。交換する情報は上記のものに限定されず、例えばプロトコル情報の収集(カプセル化したデータの取り扱い条件、プライベートIPアドレスの割り当て、暗号化に係る情報等)も含まれる。
【0047】
こうして、宅内接続端末2は、網内システム1のIPアドレスに係る情報を受けると、「仮想パスの設定」を行い、この設定以降は、ローカルネットワークのデータを例えばEtherIPによりカプセル化し、網内システム1のIPアドレスに送信するものとして認識することになる(ステップS22)。
【0048】
以上説明したように、本発明の第1の実施の形態では、宅内接続端末2、外部接続端末4によるアクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。より詳細には、従来技術による通信では、宅内接続端末2がサーバとなり、外部からのアクセスを受け付けていたが、第1の実施の形態によれば、宅内接続端末は網内システムに対するクライアントとなる為、セキュリティホール等の管理を行わずに済み、メンテナンス負担が軽減される上、セキュリティが強化される。また、第1の実施の形態では、外部接続端末4と宅内接続端末2が同一のセグメントとなる。
【0049】
(第2の実施の形態)
第2の実施の形態に係る通信システムでは、宅内接続端末2においてブリッジ設定を行うことで、外部接続端末4と宅内端末3とが同一のセグメントとなることを特徴としている。即ち、宅内接続端末2は、宅内端末3との間の物理パスと網内システム1との間の仮想論理パスとをブリッジ接続する機能を有し、宅内端末3と外部接続端末4との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする。
【0050】
さらに、この第2の実施の形態に係る通信システムでは、このレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを可能とする。
【0051】
尚、システム構成については、図1と同様であるので、同一構成については同一符号を用い、重複した説明は省略する。
【0052】
以下、図4のフローチャートを参照して、本発明の第2の実施の形態に係る通信システムにおける、宅内端末3、宅内接続端末2、網内システム1、外部接続端末4間のレイヤ2通信の流れを詳細に説明する。
【0053】
この例では、宅内端末3と宅内接続端末2との間には物理パス(レイヤ2(▲3▼))が張られており、通信自在となっていることが前提となる。
【0054】
さて、宅内接続端末2の電源がオンされ(ステップS30)、網内システム1に認証要求がなされると(ステップS31)、網内システム1は当該認証要求を受け、宅内接続端末2によるアクセスの可否を判断する。そして、アクセスを許可する場合には、宅内接続端末2にその旨を返信する(ステップS32)。
【0055】
こうして、宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS33)、両者において仮想パス設定を行い(ステップS34,S35)、宅内接続端末2と網内システム1との間で仮想論理パス(仮想レイヤ2(▲1▼))を構築する。宅内接続端末2は、ブリッジ設定を行い(ステップS36)、宅内接続端末2と宅内端末3との間で仮想論理パス(仮想レイヤ2(▲1▼+▲3▼))を構築する。以上で、事前準備にかかる通信処理を終了する。
【0056】
上記事前準備の後、外部接続端末4にてアクセスボタンがクリックされ(ステップS37)、網内システム1に認証要求がなされると(ステップS38)、網内システム1は当該認証要求を受けて、外部接続端末4によるアクセスの可否を判断し、アクセスを許可する場合には、外部接続端末4にその旨を返信する(ステップS39)。外部接続端末4と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS40)、両者において仮想パス設定を行い(ステップS41,S42)、こうして外部接続端末4と網内システム1との間で仮想論理パス(仮想レイヤ2(▲2▼))を構築する。
【0057】
次いで、網内システム1は、ブリッジ設定を行い(ステップS43)、宅内端末3と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲1▼+▲2▼+▲3▼))を構築する。以上で外部接続にかかる通信処理を終了する。
【0058】
ここで、図5には、第2の実施の形態に係る通信システムを構成する網内システム1、宅内接続端末2、外部接続端末4の各構成を詳細に示し説明する。
【0059】
以下の説明は、他の実施の形態におけるレイヤ2または一つのサブネットで構成されたレイヤ3通信のための仮想論理パスを構築する際の、認証及びパケット送信手順にも共通している。
【0060】
図5に示されるように、網内システム1は、認証機能(サーバ)とパケット配信機能を備えている。宅内接続端末2と外部接続端末4は、それぞれが認証機能(クライアント)とアクセス変換処理機能を備えている。尚、図5では、認証に関するデータの流れを太線の矢印で、データ送受信の流れを細線の矢印で示している。
【0061】
認証には、宅内接続端末2から網内システム1への認証、及び外部接続端末4から網内システム1への認証がある。宅内接続端末2の認証クライアント部21から送出されたデータは、外部向けインターフェイス22から送信され、レイヤ3ネットワーク5を経由して網内システム1へと送出される。
【0062】
網内システム1内の認証機能にて認証がなされた場合には、宅内接続端末2と網内システム1間における仮想論理パスの情報が、パケット配信機能内のVPNに関するテーブル13に登録される。このテーブル13には、カプセル化のためのソースディスティネーションのIPアドレスが登録されている。
【0063】
即ち、網内システム1の認証機能では、PKI認証確認およびIPsec,VPN登録機能12により、ユーザDB11を参照して認証がなされ、仮想論理パスに関する情報がVPNに関するテーブル13に登録される。
【0064】
セキュリティポリシ、セキュリティアソシエーションは、SAD(Security Policy Database),SPD(Security Association Database)(以下、これらをまとめてIPsecデータベースと称する)14に登録される。セキュリティポリシとは、IPパケットに対する処理の設定情報をいい、セキュリティアソシエーションとは、IPsecのコネクションに関する情報をいう。データベース14には、暗号化/復号化のための情報が蓄積されている。
【0065】
外部接続端末4における挙動は、以上と同様である。
【0066】
一方、データはOS42の制御の下で、仮想インターフェイス43を介してEtherIPカプセル化部44に送られて、当該EtherIPカプセル化部44にてカプセル化された後、IPsecの暗号化部45で暗号化され、インターフェイス46を介して送出される。こうして外部接続端末4より送出されたパケットは、インターフェイス46を介して網内システム1に送信され、インターフェイス18を介して受信される。
【0067】
このパケットは、IPsecの暗号・復号化部17にて復号化され、EtherIPカプセル・デカプセル化部16にてカプセル取り外し処理がなされ、ブリッジ受け渡し部15にてVPNに関するテーブル13が参照されつつ送信先が決定される。そして、EtherIPカプセル・デカプセル化部16にてカプセル化され、IPsecの暗号・復号化部17において暗号化され、インターフェイス18、レイヤ3ネットワーク5を経由して、宅内接続端末2へ送信される。
【0068】
宅内接続端末2では、外部向けインターフェイス22を介して当該パケットが受信され、IPsecの復号化部24にて復号化され、EtherIPデカプセル化部25にてカプセル取り外し処理がなされ、ブリッジ受け渡し部26にて、宅内向けインターフェイス27を介して宅内端末3へと送信される。
【0069】
宅内接続端末2より外部接続端末4への送信プロセスは、逆の挙動を示す。
【0070】
尚、暗号化を除くシステムでは、IPsecの暗号化部45、IPsecの復号化部24、IPsecの暗号・復号化部17、SAD,SPD(IPsecデータベース)14が、上記構成から除外される。また、以上の例では、TCP/IPのIPにセキュリティ機能を持たせるプロトコルであるIPsecを採用したが、これには限定されない。
【0071】
ここで、図6を参照して、具体的なパケット転送について詳細に説明する。
【0072】
図6において、各端末又はシステムの下方に記載されている数値は各端末又はシステムのアドレスを示している。詳細には、上段はVPVアドレス(プライベートIP)、中段はインターネット上のアドレス(グローバルIP)、下段は物理(MAC)アドレス(VPN上)をそれぞれ示している。
【0073】
尚、本例では、トンネリング方式にEtherIPが用いられている。EtherIPプロトコルは、一般には異なる2つのEthernetセグメントをIP上でトンネルするために用いられるものであり、トンネル用のIPパケット内には送信すべきイーサーネットやIEEE802.3フレームを含んでいる。
【0074】
外部接続端末4から送出されたパケットは、IPパケットヘッダの送信先アドレス(210.169.143.148)に基づいて網内システム1に到達する。更に、網内システム1から送出されたパケットは、IPパケットヘッダの送信先アドレス(143.90.135.123)に基づいて宅内接続端末2に到達する。そして、宅内接続端末2では、パケットの物理層に例えばファストイーサーネット等が定義される。この宅内接続端末2から送出されたパケットは、Etherフレームヘッダの送信先アドレス(01 23 45 67 89 AB)に基づいて宅内端末3に到達する。
【0075】
以上説明したように、本発明の第2の実施の形態に係る通信システムでも、宅内接続端末2、外部接続端末4によるアクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。更に、第2の実施の形態では、宅内接続端末2においてブリッジを実現することで、外部接続端末4と宅内端末3とを同一のセグメントとすることができる。
【0076】
すなわち、第2の実施の形態によれば、上述した第1の実施の形態の効果に加えて、宅内接続端末2のみならず、宅内端末3に対するアクセスが可能となる。このアクセスは、同一サブネット経由により実施される為、宅内端末3に対するセキュリティ対策は、インターネット上のセキュリティ対策(全世界を対象としたレベルのセキュリティ対策)から、同一サブネット上のセキュリティ対策(物理的に限定したレベルのセキュリティ対策)へと緩和されることになる。
【0077】
(第3の実施の形態)
第3の実施の形態に係る通信システムでは、仮想論理パスが網内システム1を経由していないが、宅内接続端末2、外部接続端末4は、いずれもクライアントの立場を取ることを特徴とする。宅内接続端末2、外部接続端末4は、認証後、接続に係わる情報交換を網内システム1を中継して実現する。
【0078】
尚、システム構成については、図1と同様であるので、同一構成については同一符号を用い、重複した説明は省略する。
【0079】
より詳細には、第3の実施の形態に係る通信システムでは、網内システム1により、宅内接続端末2及び外部接続端末4からの認証要求により端末のアクセス可否を判断し、アクセスが許可された場合、宅内接続端末2と外部接続端末4との間で仮想論理パスを構築し、宅内接続端末2と外部接続端末4との間で網内システム1を介することなく、レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする。
【0080】
以下、図7のフローチャートを参照して、本発明の第3の実施の形態に係る通信システムにおける、宅内接続端末2、網内システム1、外部接続端末4間のレイヤ2通信の流れを詳細に説明する。
【0081】
宅内接続端末2の電源がオンされ(ステップS50)、網内システム1に認証要求がなされた後(ステップS51)、網内システム1は当該認証要求を受け、宅内接続端末2によるアクセスの可否を判断し、アクセスを許可する場合には、宅内接続端末2にその旨を返信する(ステップS52)。こうして、宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行う(ステップS53)。但し、ここでは、宅内接続端末2と網内システム1との間で仮想論理パスを構築しない。以上で、事前準備にかかる通信処理を終了する。
【0082】
上記事前準備の後、外部接続端末4にてアクセスボタンがクリックされ(ステップS54)、網内システム1に認証要求がなされると(ステップS55)、網内システム1は当該認証要求を受けて、外部接続端末4によるアクセスの可否を判断する。そして、網内システム1は、アクセスを許可する場合には、外部接続端末4にその旨を返信する(ステップS56)。更に、宅内接続端末2に対してもアクセスを許可する旨を通知する(ステップS57)。
【0083】
次いで、網内システム1と外部接続端末4との間、及び網内システム1と宅内接続端末2との間で仮想パスに係わる情報交換を行い(ステップS58)、宅内接続端末2、外部接続端末4において仮想パス設定を行い(ステップS59,S60)、こうして網内システム1の指示に基づいて、宅内接続端末2と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲2▼))を構築する。
【0084】
以上説明したように、本発明の第3の実施の形態に係る通信システムでも、宅内接続端末2、外部接続端末4による認証アクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。
【0085】
更に、上述した第1の実施の形態の効果に加え、データ通信は網内システム1を経由せずに済むため、網内システム1への負荷が軽減され、且つ最短経路でのアクセスが可能となる。
【0086】
(第4の実施の形態)
第4の実施の形態に係る通信システムでは、仮想論理パスが網内システム1を経由していないが、宅内接続端末2、外部接続端末4は、いずれもクライアントの立場を取ることを特徴とする。尚、システム構成については、図1と同様であるので、同一構成については同一符号を用い、重複した説明は省略する。
【0087】
より詳細には、第4の実施の形態では、宅内接続端末2は、外部接続端末4との間の物理パスと外部接続端末との間の仮想論理パスとをブリッジ接続する機能を有しており、外部接続端末4と宅内端末3との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする。
【0088】
以下、図8のフローチャートを参照して、本発明の第4の実施の形態に係る通信システムにおける、宅内端末3、宅内接続端末2、網内システム1、外部接続端末4間のレイヤ2通信の流れを詳細に説明する。
【0089】
この例では、宅内端末3と宅内接続端末2との間には物理パス(レイヤ2(▲3▼))が張られており、通信自在となっていることが前提となる。
【0090】
さて、宅内接続端末2の電源がオンされ(ステップS61)、網内システム1に認証要求がなされると(ステップS62)、網内システム1は当該認証要求を受け、宅内接続端末2によるアクセスの可否を判断し、アクセスを許可する場合には、宅内接続端末2にその旨を返信する(ステップS63)。こうして宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行う(ステップS64)。但し、この段階では、宅内接続端末2と網内システム1との間で仮想論理パスを構築しない。以上で、事前準備にかかる通信処理を終了する。
【0091】
上記事前準備の後、外部接続端末4にてアクセスボタンがクリックされ(ステップS65)、網内システム1に認証要求がなされると(ステップS66)、網内システム1は当該認証要求を受けて、外部接続端末4によるアクセスの可否を判断する。そして、網内システム1は、アクセスを許可する場合には、外部接続端末4にその旨を返信する(ステップS67)。併せて、宅内接続端末2に対してもアクセスを許可する旨の通知を行う(ステップS68)。次いで、外部接続端末4と網内システム1との間、宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS69)、宅内接続端末2、外部接続端末4において仮想パス設定を行い(ステップS70,S71)、こうして網内システム1の指示に基づいて、宅内接続端末2と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲4▼))を構築する。
【0092】
次いで、宅内接続端末2は、ブリッジ設定を行い(ステップS42)、宅内端末3と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲3▼+▲4▼))を構築する。以上で外部接続にかかる通信処理を終了する。
【0093】
以上説明したように、本発明の第4の実施の形態に係る通信システムでも、宅内接続端末2、外部接続端末4による認証アクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。
【0094】
更に、第4の実施の形態によれば、上述した第3の実施の形態の効果に加えて、宅内接続端末2のみならず、宅内端末3に対するアクセスが可能となる。このアクセスは、同一サブネット経由により実施される為、宅内端末3に対するセキュリティ対策は、インターネット上のセキュリティ対策(全世界を対象としたレベルのセキュリティ対策)から、同一サブネット上のセキュリティ対策(特定アクセスに限定したレベルのセキュリティ対策)へと緩和される。
【0095】
(第5の実施の形態)
図9には、本発明の第5の実施の形態に係る管理装置及びそれを用いた通信システムの構成を示し説明する。
【0096】
この図9に示されるように、管理装置としての網内システム1、宅内接続端末2、WEB端末7は、レイヤ3ネットワーク5を介して、通信自在に接続されている。この宅内接続端末2は、更にレイヤ2セグメント6を介して、宅内端末3と通信自在に接続されている。この宅内接続端末2としては、例えばゲートウェイ装置の如きものを採用することができる。宅内端末3と宅内接続端末2との間の物理パスは常時接続されていてもよい。WEB端末7としては、携帯電話機や社内イントラネット内のWEB端末の如きものを想定しているが、これに限定されないことは勿論である。
【0097】
このような構成において、本通信システムは、宅内接続端末2又はWEB端末7からの認証要求を受けると、アクセス可否を判断し、アクセスを許可すべき場合には、宅内接続端末2との間で仮想論理パスを構築し、宅内接続端末2とWEB端末7との間のデータ通信においてプロキシ機能によりデータの中継を行うことで、宅内接続端末2とWEB端末との間でデータ通信を可能とする。
【0098】
即ち、第5の実施の形態に係る通信システムでは、網内システム1がプロキシサーバとしての機能を備える。この網内システム1は、プロキシ機能によりフォワード・プロキシ(例えば代理アクセス)、リバース・プロキシ(例えば代理応答)の双方に対応しており、更にパケットの中継だけでなく、アクセスの種類に応じたフィルタリング機能も併せ持つ。
【0099】
ここで、図10は、網内システム1が、複数の宅内接続端末2a,2b,2c・・・、複数の外部接続端末4a,4b,4c・・・(或いはWEB端末7a,7b,7c・・・)と接続されている様子を示している。このように、複数の宅内接続端末と通信自在に接続された網内システム1は、そのプロキシ機能により、宅内接続端末2からのデータに付加されたURL情報に基づき識別子を認識して、当該識別子に対応する仮想論理パスを選択し、宅内接続端末2と網内システム1、或いはWEB端末7と網内システム1との間でレイヤ2通信、或いは1つのサブネットで構成されたレイヤ3通信を実現する。つまり、網内システム1は、第1に複数ある仮想論理パスからパケットが通過すべき仮想論理パスを選択し、第2に宅内接続端末2a,2b,2c・・・のそれぞれに接続された宅内端末のどの宅内端末にパケットを送信するのかについて判断することになる。
【0100】
以下、図11のフローチャートを参照して、本発明の第5の実施の形態に係る通信システムにおける、宅内接続端末2、網内システム1、WEB端末7間のレイヤ2通信の流れを詳細に説明する。
【0101】
尚、ステップS80乃至S85の事前準備に係る通信処理は、図2のステップS1乃至S6と同様であるので、重複した説明は省略する。
【0102】
事前準備の後、WEB端末7にてアクセスボタンがクリックされ(ステップS86)、網内システム1に認証要求がなされると(ステップS87)、網内システム1は当該認証要求を受けて、WEB端末7によるアクセスの可否を判断し、アクセスを許可する場合には、WEB端末7にその旨を返信する(ステップS88)。次いで、WEB端末7よりWEBアクセスがなされると、網内システム1はプロキシ変換を行い(ステップS90)、フォワード・プロキシにより宅内接続端末2に仮想論理パス(仮想レイヤ▲2▼)を用いたWEBアクセスを行う(ステップS91)。そして、宅内接続端末2より仮想論理パス(仮想レイヤ▲2▼)を用いたWEBレスポンスがなされると(ステップS92)、プロキシ変換を行い(ステップS93)、WEB端末7にリバース・プロキシによりWEBレスポンスを行う(ステップS94)。以上で外部接続にかかる通信処理を終了する。
【0103】
ここで、図12を参照して、上記プロキシ変換について更に詳細に説明する。
【0104】
図12において、端末側変換機8とは、インターネットのグローバルアドレスを持たない端末が、インターネットのHTTPを参照するために利用される一般的なプロキシサーバを意味する。WEB端末7より送信されたHTTPパケットは、送信先のURLにおけるホスト部(この例では、alg.odn.ne.jp)に基づき網内システム1へと到着する。網内システム1は、HTTPのヘッダ内における送信先VPN情報(この例では、userid)を参考にして送信する宅内接続端末2を複数ある宅内接続端末2a,2b,2c・・・から選択し、更に当該宅内接続端末に関する仮想論理パスを特定する。且つ、網内システム1は、HTTPヘッダ内におけるディレクトリ情報を基にして、新たなHTTPヘッダを作成する。作成されたHTTPヘッダは、上記によって決定された仮想論理パスを経由して、ディレクトリ情報内に含まれる送信先アドレス(この例では、10.0.0.1)へと送信されることになる。
【0105】
以上説明したように、本発明の第5の実施の形態に係る通信システムでも、宅内接続端末2、WEB端末4によるアクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。更に、プロキシ(フォワード・プロキシ、リバース・プロキシ等)機能を兼ね備える。
【0106】
即ち、この第5の実施の形態では、上述した第1の実施の形態と同様、従来技術に係る通信では、宅内接続端末2がサーバとなり、外部からのアクセスを受け付けていたが、宅内接続端末2は網内システム1に対するクライアントとなるため、セキュリティホール等の管理を行わずに済み、メンテナンス負担が軽減される上、セキュリティが強化される。また、第5の実施の形態によれば、宅内接続端末2に対するWEB端末4からのアクセスが可能となる。
【0107】
(第6の実施の形態)
第6の実施の形態では、第5の実施の形態と比較して、データ通信の端点が宅内端末3となる点で相違している。宅内接続端末2は、宅内端末3との間の物理パスと網内システム1との間の仮想論理パスとをブリッジ接続する機能を有しており、宅内端末3とWEB端末7との間でデータ通信を可能とする。
【0108】
尚、システム構成については、図9と同様であるので、同一構成については同一符号を用い、重複した説明は省略する。
【0109】
より詳細には、第6の実施の形態に係る通信システムは、複数の宅内接続端末2a,2b,2c・・・を有し、網内システム1のプロキシ機能により、WEB端末7からのデータに付加されたURL情報に基づき識別子を認識し、仮想論理パスを選択し、WEB端末7からのデータに付加されたURL情報に基づき宅内端3を選択するものである。
【0110】
以下、図13のフローチャートを参照して、本発明の第6の実施の形態に係る通信システムにおける、宅内端末3、宅内接続端末2、網内システム1、WEB端末7間のレイヤ2通信の流れを詳細に説明する。
【0111】
尚、ステップS100乃至S106の事前準備に係る通信処理は、図4のステップS30乃至S35と同様であるので、重複した説明は省略する。
【0112】
事前準備の後、WEB端末7にてアクセスボタンがクリックされ(ステップS107)、網内システム1に認証要求がなされると(ステップS108)、網内システム1は当該認証要求を受けて、WEB端末7によるアクセスの可否を判断し、アクセスを許可する場合には、WEB端末7にその旨を返信する(ステップS109)。次いで、WEB端末7よりWEBアクセスがなされると(ステップS110)、網内システム1はプロキシ変換を行い(ステップS111)、フォワード・プロキシにより宅内端末3に仮想論理パス(仮想レイヤ▲1▼+▲3▼)を用いたWEBアクセスを行う(ステップS112)。そして、宅内端末3より仮想論理パス(仮想レイヤ▲1▼+▲3▼)を用いたWEBレスポンスがなされると(ステップS113)、プロキシ変換を行い(ステップS114)、WEB端末7にリバース・プロキシによりWEBレスポンスを行う(ステップS115)。
【0113】
以上で外部接続にかかる通信処理を終了する。
【0114】
ここで、図14を参照して、上記プロキシ変換について更に詳細に説明する。
【0115】
図12と異なる部分のみ説明すると、この第6の実施の形態では、データ通信の端点が宅内端末3となることから、網内システム1は、HTTPのヘッダ内における送信先VPN情報(この例では、userid)を参考にして送信する宅内接続端末2を複数ある宅内接続端末2a,2b,2c・・・から選択し、更に当該宅内接続端末に関する仮想論理パスを特定する。そして更に、データ通信の端点である宅内端末3を特定し、Ethernet等のヘッダを作成する。このようにして作成されたHTTPヘッダは、上記決定された仮想論理パスを経由して、Ethernet等のヘッダの情報に基づき、宅内端末3へと送信される。
【0116】
以上説明したように、本発明の第6の実施の形態に係る通信システムでも、宅内接続端末2、WEB端末4によるアクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。更に、プロキシ(フォワード・プロキシ、リバース・プロキシ等)機能を兼ね備える。
【0117】
即ち、第6の実施の形態では、上述した第5の実施の形態の効果に加えて、宅内接続端末2のみならず、宅内端末3に対するアクセスが可能となる。このアクセスは、網内システム1が管理する同一サブネット経由により実施される為、宅内端末3に対するセキュリティ対策は、インターネット上のセキュリティ対策(全世界を対象としたレベルのセキュリティ対策)から、同一サブネット上のセキュリティ対策(特定アクセスに限定したレベルのセキュリティ対策)へと緩和される。
【0118】
以上説明したように、本発明の第1乃至第6の実施の形態に係る管理装置及び通信システムによれば、家庭内端末、ホームサーバ等での認証を不要とし、ユーザのメンテナンス負担を軽減すること、及び認証機能を司る管理装置の管理を通信事業者等の専門業者が行うことでセキュリティ強化を図ることができる。
【0119】
例えば、64ビット認証が128ビット認証にアップグレードされたような場合でも、網内システムのみで対応することが可能である。
【0120】
そして、第1乃至第6の実施の形態に係る通信システムでは、認証を網内システムが統括して行うことから、宅内接続端末は所謂サーバとしての機能を有する必要はなく、認証に係る処理負担も軽減される。更に、認証に関して、網内システムが間に介在して統括して行うので、宅内接続端末が複数の外部接続端末に対応した複数のポートを備える必要もない。
【0121】
また、宅内接続端末は、サーバとしての機能を有する必要がないので、簡易な構成であってもよく、ハイスペックである必然性もない。また、例えば上記WEB端末を携帯電話機、上記宅内端末をエアーコンディショナとした場合には、遠隔地から携帯電話機により宅内のエアーコンディショナの動作を制御することができる等、幅広い用途に適用することができることになる。
【0122】
尚、請求項記載の第1のアクセス端末とは例えば宅内接続端末2に相当し、第2のアクセス端末とは例えば外部接続端末4或いはWEB端末7に相当し、第3の端末とは例えば宅内端末3に相当する。更に、請求項記載の認証手段とは例えば網内システム1の認証機能に相当し、(第1,第2)仮想論理パス設定手段とは例えば網内システム1の認証機能、パケット配信機能等に相当する。また、請求項では、宅内端末3、宅内接続端末2、網内システム1、外部接続端末4、WEB端末7の一部を適宜組み合せて通信システムとしている。
【0123】
但し、これら関係には限定されない。
【0124】
以上、本発明の実施の形態について説明したが、本発明はこれに限定されることなく、その趣旨を逸脱しない範囲で種々の改良・変更が可能である。
【0125】
例えば、例えばカプセル化技術として、上記実施の形態ではIPsec、EtherIP等を適用した例を示したが、これに限定されず、レイヤ2において動作するトンネリング専用のプロトコルであるPPTPやL2TP、レイヤ2〜3のトンネリングプロトコルであるMPLS等、種々のものを採用できる。
【0126】
尚、本発明には、前述した第1乃至第6の実施の形態に係る通信システムの網内システムによる動作に係わる方法、コンピュータプログラム、当該プログラムを記録した記録媒体としての発明も含まれることは勿論である。
【0127】
【発明の効果】
以上詳述したように、本発明によれば、家庭内端末やホームサーバ等での認証を不要とし、ユーザのメンテナンス負担を軽減すること、及び認証を管理装置で統括して実施し、管理することでセキュリティ強化を図ることが可能な管理装置及び通信システムを提供することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係る管理装置及びそれを用いた通信システムの構成を示す図である。
【図2】本発明の第1の実施の形態に係る通信システムにおけるレイヤ2通信の流れを示すフローチャートである。
【図3】図2の上記「認証」、「仮想パスに係わる情報交換」、「仮想パスの設定」について更に詳細に説明するためのフローチャートである。
【図4】本発明の第2の実施の形態に係る通信システムにおけるレイヤ2通信の流れを示すフローチャートである。
【図5】本発明の第2の実施の形態に係る通信システムの構成を示す図である。
【図6】具体的なパケット転送について説明するための図である。
【図7】本発明の第3の実施の形態に係る通信システムによるレイヤ2通信の流れを詳細に説明するためのフローチャートである。
【図8】本発明の第4の実施の形態に係る通信システムによるレイヤ2通信の流れを詳細に説明するためのフローチャートである。
【図9】本発明の第5の実施の形態に係る管理装置及びそれを用いた通信システムの構成を示す図である。
【図10】網内システム1が、複数の宅内接続端末2a,2b,2c・・・、複数の外部接続端末4a,4b,4c・・・と接続されている様子を示す図である。
【図11】本発明の第5の実施の形態に係る通信システムによるレイヤ2通信の流れを詳細に説明するフローチャートである。
【図12】プロキシ変換について詳細に説明するための図である。
【図13】本発明の第6の実施の形態に係る通信システムによるレイヤ2通信の流れを詳細に説明するためのフローチャートである。
【図14】プロキシ変換について詳細に説明するための図である。
【符号の説明】
1・・・網内システム、2・・・宅内接続端末、3・・・宅内端末、4・・・外部接続端末、5・・・レイヤ3ネットワーク、6・・・レイヤ2セグメント、7・・・WEB端末、8・・・端末側変換機。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a management apparatus and a communication system that perform authentication instead of, for example, a home terminal or a home server.
[0002]
[Prior art]
Conventionally, the Internet has been used for collecting information, but due to the constant connection of DSL or the like, attention is being focused on connection to personal computers in the home, and further to home appliances. At present, in order to realize such a request, it is necessary to permit access to the home network by installing a gateway device such as a home server in the home and performing authentication by the gateway device.
[0003]
Here, for example, Non-Patent Document 1 discloses a technique related to the construction of a VPN using PPTP. Using this technology makes it possible to safely access the home, but this realization requires advanced expertise and daily maintenance by end users.
[0004]
[Non-Patent Document 1]
UNIX USER 2003/6 "First Feature Our Tunnel Builder"
[0005]
[Problems to be solved by the invention]
However, in a form in which authentication is performed by a home terminal, a home server, or the like, it is necessary to set an authentication application on each terminal. In other words, not only is it necessary to have expensive equipment and technical expertise to handle it, but it is also necessary for the user to perform ongoing maintenance such as upgrading to the latest version of the authentication application and updating the hardware in a short period of time. There is.
[0006]
The present invention has been made in view of the above problems, and the object of the present invention is to eliminate the need for authentication at a home terminal, a home server, etc., reduce the maintenance burden on the user, and perform authentication with a management device. The goal is to strengthen security through integrated implementation and management.
[0007]
[Means for Solving the Problems]
In order to achieve the above object, as an invention according to claim 1, an authentication means for determining whether or not an access to these terminals is possible based on authentication requests from the first access terminal and the second access terminal, and the authentication means If the access by the first access terminal is permitted as a result of the determination by the first access terminal, a first virtual logical path setting means for constructing a first virtual logical path with the first access terminal, If access by the second access terminal is permitted as a result of the determination by the authentication means, second virtual
[0008]
As a second aspect of the present invention, the first access terminal has a function of bridge-connecting a physical path between the third terminal and the first virtual logical path between the management devices. The function further enables
[0009]
Furthermore, the invention according to
[0010]
The invention according to claim 4 is further characterized in that the physical path between the third terminal and the first access terminal is always connected. A communication system is provided.
[0011]
The invention according to
[0012]
Furthermore, as an invention according to
[0013]
As a seventh aspect of the present invention, the first access terminal has a function of bridge-connecting a physical path between the third terminal and a virtual logical path between the second access terminal. The function further enables
[0014]
The invention according to claim 8 is characterized in that encrypted data is communicated in at least a part of the
[0015]
The invention according to claim 9 is characterized in that the physical path between the third terminal and the first access terminal is always connected. A communication system is provided.
[0016]
In addition, as a tenth aspect of the present invention, there is provided the communication system according to any one of the first to ninth aspects, wherein the
[0017]
As an invention according to
[0018]
The invention according to
[0019]
Further, as an invention according to
[0020]
According to a fourteenth aspect of the present invention, there are provided a plurality of terminals of the same type as the first access terminal, and the proxy means includes an identifier determination function for determining an identifier assigned to a virtual logical path, and the first A virtual logical path selection function for recognizing an identifier based on URL information added to data from the second access terminal and selecting a virtual logical path, and the URL information added to data from the second access terminal. The communication system according to
[0021]
Further, as an invention according to
[0022]
According to a sixteenth aspect of the present invention, on the basis of authentication requests from the first access terminal and the second access terminal, an authentication unit that determines whether or not these terminals can be accessed, and a result of the determination by the authentication unit, When permitting access by the first access terminal, the first virtual logical path setting means for constructing the first virtual logical path with the first access terminal and the result of determination by the authentication means And, when permitting access by the second access terminal, has a second virtual
[0023]
As an invention according to claim 17, on the basis of authentication requests from the first access terminal and the second access terminal, authentication means for determining whether or not these terminals can be accessed, and as a result of determination by the authentication means, the first A virtual logic that instructs to establish a virtual logical path between the first access terminal and the second access terminal when both access by the access terminal and the second access terminal are permitted. Path setting instruction means, and at least a part of the data communication is capable of
[0024]
Furthermore, as an invention according to
[0025]
According to a nineteenth aspect of the present invention, in the case where communication is possible with a plurality of terminals of the same type as the first access terminal, the proxy means has an identifier determination function for determining an identifier assigned to the virtual logical path; 19. The management according to
[0026]
As an invention according to
[0027]
Furthermore, in the invention according to
[0028]
Further, as a twenty-second aspect of the present invention, there is provided the management device according to any one of the sixteenth to twenty-first aspects, wherein the
[0029]
The invention according to
[0030]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[0031]
(First embodiment)
FIG. 1 shows and describes the configuration of a management apparatus according to a first embodiment of the present invention and a communication system using the management apparatus. As shown in FIG. 1, an in-network system 1, a
[0032]
Detailed configurations of the
[0033]
In such a configuration, when authentication requests are sequentially made from the in-
[0034]
Hereinafter, with reference to the flowchart of FIG. 2, the flow of the
[0035]
When the in-
[0036]
This completes the communication process related to advance preparation.
[0037]
After the above preparation, when the access button is clicked on the external connection terminal 4 (step S7) and an authentication request is made to the in-network system 1 (step S8), the in-network system 1 receives the authentication request. Then, it is determined whether or not access by the external connection terminal 4 is possible, and when the access is permitted, the fact is returned to the external connection terminal 4 (step S9). In this way, information relating to the virtual path is exchanged between the external connection terminal 4 and the in-network system 1 (step S10), and the virtual path is set in both (steps S11 and S12). A virtual logical path (virtual layer 2 ({circle around (2))}) is established with 1.
[0038]
Next, the in-network system 1 performs bridge setting (step S13), and constructs a virtual logical path (virtual layer 2 ((1) + (2))) between the in-
[0039]
Here, the “authentication”, “information exchange regarding virtual path”, and “virtual path setting” will be described in more detail with reference to the flowchart of FIG.
[0040]
The following description is also common to preparation procedures for authentication and packet transmission when constructing a virtual logical path for
[0041]
In “authentication” by the in-home connection terminal 2 (step S20), the in-
[0042]
Further, in the “information exchange regarding virtual path” between the in-
[0043]
Thereafter, the in-network system 1 recognizes, from 165.0.2.1, for example, that the EtherIP packet for user_b is transmitted from the table regarding VPN.
[0044]
Next, the in-network system 1 transmits information related to the IP address of the system itself (169.100.0.1 in this example) to the home connection terminal 2 (step S21d).
[0045]
However, information regarding this IP address is not always necessary, and it is needless to say that only security information may be exchanged.
[0046]
When encryption processing is included, encryption information exchange is included in “information exchange regarding virtual path”. The information to be exchanged is not limited to the above, but includes, for example, the collection of protocol information (encapsulated data handling conditions, private IP address assignment, encryption information, etc.).
[0047]
In this way, when the
[0048]
As described above, in the first embodiment of the present invention, since the access directions by the in-
[0049]
(Second Embodiment)
The communication system according to the second embodiment is characterized in that the external connection terminal 4 and the
[0050]
Further, in the communication system according to the second embodiment, encrypted data can be communicated in at least a part of the
[0051]
Since the system configuration is the same as that in FIG. 1, the same reference numerals are used for the same configurations, and redundant descriptions are omitted.
[0052]
Hereinafter, referring to the flowchart of FIG. 4, the
[0053]
In this example, it is assumed that a physical path (layer 2 (<3>)) is established between the in-
[0054]
When the power of the
[0055]
Thus, information relating to the virtual path is exchanged between the in-
[0056]
After the above preparation, when the access button is clicked on the external connection terminal 4 (step S37) and an authentication request is made to the in-network system 1 (step S38), the in-network system 1 receives the authentication request, It is determined whether or not access by the external connection terminal 4 is possible, and when access is permitted, the fact is returned to the external connection terminal 4 (step S39). Information regarding the virtual path is exchanged between the external connection terminal 4 and the in-network system 1 (step S40), and the virtual path is set in both (steps S41 and S42), thus the external connection terminal 4 and the in-network system 1 A virtual logical path (virtual layer 2 (<2>)) is constructed between
[0057]
Next, the in-network system 1 performs bridge setting (step S43), and a virtual logical path (virtual layer 2 (1) +2) +3) between the
[0058]
Here, in FIG. 5, each configuration of the in-network system 1, the in-
[0059]
The following description is also common to authentication and packet transmission procedures when constructing a virtual logical path for
[0060]
As shown in FIG. 5, the in-network system 1 includes an authentication function (server) and a packet distribution function. Each of the in-
[0061]
Authentication includes authentication from the
[0062]
When authentication is performed by the authentication function in the in-network system 1, information on the virtual logical path between the in-
[0063]
That is, in the authentication function of the intra-network system 1, authentication is performed with reference to the
[0064]
The security policy and security association are registered in SAD (Security Policy Database), SPD (Security Association Database) (hereinafter collectively referred to as IPsec database) 14. A security policy refers to processing setting information for an IP packet, and a security association refers to information related to an IPsec connection. The
[0065]
The behavior in the external connection terminal 4 is the same as above.
[0066]
On the other hand, the data is sent to the
[0067]
This packet is decrypted by the IPsec encryption / decryption unit 17, decapsulated by the EtherIP capsule / decapsulation unit 16, and the destination is sent while the
[0068]
In the in-
[0069]
The transmission process from the
[0070]
In the system excluding encryption, the
[0071]
Here, a specific packet transfer will be described in detail with reference to FIG.
[0072]
In FIG. 6, the numerical value described below each terminal or system indicates the address of each terminal or system. More specifically, the upper row shows a VPN address (private IP), the middle row shows an address on the Internet (global IP), and the lower row shows a physical (MAC) address (on VPN).
[0073]
In this example, EtherIP is used for the tunneling method. The Ethernet protocol is generally used for tunneling two different Ethernet segments over IP, and an IP packet for tunneling includes an Ethernet or IEEE 802.3 frame to be transmitted.
[0074]
The packet transmitted from the external connection terminal 4 reaches the in-network system 1 based on the transmission destination address (210.169.143.148) of the IP packet header. Further, the packet transmitted from the in-network system 1 reaches the in-
[0075]
As described above, even in the communication system according to the second embodiment of the present invention, since the access directions by the in-
[0076]
That is, according to the second embodiment, in addition to the effects of the first embodiment described above, it is possible to access not only the in-
[0077]
(Third embodiment)
In the communication system according to the third embodiment, the virtual logical path does not pass through the in-network system 1, but both the in-
[0078]
Since the system configuration is the same as that in FIG. 1, the same reference numerals are used for the same configurations, and redundant descriptions are omitted.
[0079]
More specifically, in the communication system according to the third embodiment, the in-network system 1 determines whether or not the terminal can be accessed based on the authentication request from the in-
[0080]
Hereinafter, with reference to the flowchart of FIG. 7, the flow of
[0081]
After the in-
[0082]
After the above preparation, when the access button is clicked on the external connection terminal 4 (step S54) and an authentication request is made to the in-network system 1 (step S55), the in-network system 1 receives the authentication request, It is determined whether or not access by the external connection terminal 4 is possible. Then, the network system 1 replies to the external connection terminal 4 when permitting access (step S56). Further, the
[0083]
Next, information related to the virtual path is exchanged between the in-network system 1 and the external connection terminal 4 and between the in-network system 1 and the in-home connection terminal 2 (step S58), and the in-
[0084]
As described above, even in the communication system according to the third embodiment of the present invention, since the directions of authentication access by the in-
[0085]
Further, in addition to the effects of the first embodiment described above, since data communication does not have to go through the in-network system 1, the load on the in-network system 1 is reduced and access through the shortest path is possible. Become.
[0086]
(Fourth embodiment)
In the communication system according to the fourth embodiment, the virtual logical path does not pass through the in-network system 1, but both the in-
[0087]
More specifically, in the fourth embodiment, the in-
[0088]
Hereinafter, referring to the flowchart of FIG. 8, the
[0089]
In this example, it is assumed that a physical path (layer 2 (<3>)) is established between the in-
[0090]
When the power of the
[0091]
After the above preparation, when the access button is clicked on the external connection terminal 4 (step S65) and an authentication request is made to the in-network system 1 (step S66), the in-network system 1 receives the authentication request, It is determined whether or not access by the external connection terminal 4 is possible. Then, the network system 1 replies to the external connection terminal 4 when permitting access (step S67). At the same time, the
[0092]
Next, the in-
[0093]
As described above, even in the communication system according to the fourth embodiment of the present invention, the directions of authentication access by the in-
[0094]
Furthermore, according to the fourth embodiment, in addition to the effects of the third embodiment described above, not only the
[0095]
(Fifth embodiment)
FIG. 9 shows and describes the configuration of a management device according to the fifth embodiment of the present invention and a communication system using the same.
[0096]
As shown in FIG. 9, an in-network system 1, an in-
[0097]
In such a configuration, when the communication system receives an authentication request from the
[0098]
That is, in the communication system according to the fifth embodiment, the in-network system 1 has a function as a proxy server. This in-network system 1 supports both forward proxy (for example, proxy access) and reverse proxy (for example, proxy response) by a proxy function, and further performs filtering according to the type of access as well as packet relay. It also has functions.
[0099]
10 shows that the in-network system 1 has a plurality of home connection terminals 2a, 2b, 2c..., A plurality of external connection terminals 4a, 4b, 4c... (Or WEB terminals 7a, 7b, 7c.・ ・) Shows how it is connected. As described above, the in-network system 1 connected to a plurality of in-home connection terminals in a communicable manner recognizes the identifier based on the URL information added to the data from the in-
[0100]
Hereinafter, with reference to the flowchart of FIG. 11, the flow of the
[0101]
Note that the communication process related to the advance preparation in steps S80 to S85 is the same as that in steps S1 to S6 in FIG.
[0102]
After the advance preparation, when the access button is clicked on the WEB terminal 7 (step S86) and an authentication request is made to the in-network system 1 (step S87), the in-network system 1 receives the authentication request and receives the WEB terminal. 7 determines whether or not access is permitted, and if the access is permitted, the fact is returned to the WEB terminal 7 (step S88). Next, when WEB access is made from the WEB terminal 7, the in-network system 1 performs proxy conversion (step S90), and the WEB using the virtual logical path (virtual layer (2)) is connected to the in-
[0103]
Here, the proxy conversion will be described in more detail with reference to FIG.
[0104]
In FIG. 12, the terminal-side converter 8 means a general proxy server used by a terminal that does not have an Internet global address to refer to the Internet HTTP. The HTTP packet transmitted from the WEB terminal 7 arrives at the in-network system 1 based on the host part (alg.odn.ne.jp in this example) in the URL of the transmission destination. The in-network system 1 selects a
[0105]
As described above, even in the communication system according to the fifth embodiment of the present invention, all the directions of access by the in-
[0106]
That is, in the fifth embodiment, as in the first embodiment described above, in the communication according to the prior art, the
[0107]
(Sixth embodiment)
The sixth embodiment is different from the fifth embodiment in that the end point of data communication is the
[0108]
Since the system configuration is the same as that in FIG. 9, the same reference numerals are used for the same configurations, and redundant descriptions are omitted.
[0109]
More specifically, the communication system according to the sixth embodiment has a plurality of in-home connection terminals 2a, 2b, 2c,..., And receives data from the WEB terminal 7 by the proxy function of the in-network system 1. The identifier is recognized based on the added URL information, a virtual logical path is selected, and the
[0110]
Hereinafter, referring to the flowchart of FIG. 13, the flow of the
[0111]
Note that the communication process related to the advance preparation in steps S100 to S106 is the same as steps S30 to S35 in FIG.
[0112]
After the advance preparation, when the access button is clicked on the WEB terminal 7 (step S107) and an authentication request is made to the in-network system 1 (step S108), the in-network system 1 receives the authentication request and receives the WEB terminal. 7 determines whether or not access is permitted, and if access is permitted, the fact is returned to the WEB terminal 7 (step S109). Next, when WEB access is made from the WEB terminal 7 (step S110), the in-network system 1 performs proxy conversion (step S111), and a virtual logical path (virtual layer (1) + ▲) is sent to the
[0113]
This completes the communication process for external connection.
[0114]
Here, the proxy conversion will be described in more detail with reference to FIG.
[0115]
Explaining only the parts different from FIG. 12, in this sixth embodiment, since the end point of data communication is the
[0116]
As described above, even in the communication system according to the sixth embodiment of the present invention, all the directions of access by the in-
[0117]
That is, in the sixth embodiment, in addition to the effects of the fifth embodiment described above, it is possible to access not only the
[0118]
As described above, according to the management device and the communication system according to the first to sixth embodiments of the present invention, authentication at a home terminal, a home server, or the like is not required, and the maintenance burden on the user is reduced. In addition, security management can be enhanced by the management of the management apparatus that manages the authentication function by a professional contractor such as a telecommunications carrier.
[0119]
For example, even when 64-bit authentication is upgraded to 128-bit authentication, it can be handled only by the in-network system.
[0120]
In the communication systems according to the first to sixth embodiments, since the in-network system performs the authentication, the home connection terminal does not need to have a function as a so-called server, and the processing load related to the authentication Is also reduced. Further, since authentication is performed in an integrated manner with an in-network system intervening, it is not necessary for the in-home connection terminal to have a plurality of ports corresponding to a plurality of external connection terminals.
[0121]
Further, since the home connection terminal does not need to have a function as a server, it may have a simple configuration and does not necessarily have high specifications. For example, when the WEB terminal is a mobile phone and the in-home terminal is an air conditioner, the operation of the air conditioner in the home can be controlled from a remote place by a mobile phone. Will be able to.
[0122]
The first access terminal described in the claims corresponds to, for example, the in-
[0123]
However, it is not limited to these relationships.
[0124]
The embodiment of the present invention has been described above, but the present invention is not limited to this, and various improvements and changes can be made without departing from the spirit of the present invention.
[0125]
For example, as an encapsulation technique, an example in which IPsec, EtherIP, or the like is applied in the above-described embodiment has been described. However, the present invention is not limited to this, and PPTP, L2TP,
[0126]
It should be noted that the present invention includes a method, a computer program, and an invention as a recording medium on which the program is recorded, relating to the operation of the communication system according to the first to sixth embodiments, which is performed by the in-network system. Of course.
[0127]
【The invention's effect】
As described above in detail, according to the present invention, authentication at a home terminal, home server, etc. is unnecessary, the maintenance burden on the user is reduced, and authentication is performed and managed by the management device. Thus, it is possible to provide a management device and a communication system capable of enhancing security.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a management device and a communication system using the same according to a first embodiment of the present invention.
FIG. 2 is a flowchart showing a flow of
FIG. 3 is a flowchart for explaining in more detail the “authentication”, “information exchange regarding virtual path”, and “virtual path setting” in FIG. 2;
FIG. 4 is a flowchart showing a flow of
FIG. 5 is a diagram showing a configuration of a communication system according to a second embodiment of the present invention.
FIG. 6 is a diagram for explaining specific packet transfer;
FIG. 7 is a flowchart for explaining in detail the flow of
FIG. 8 is a flowchart for explaining in detail the flow of
FIG. 9 is a diagram illustrating a configuration of a management device and a communication system using the same according to a fifth embodiment of the present invention.
FIG. 10 is a diagram showing a state in which the in-network system 1 is connected to a plurality of home connection terminals 2a, 2b, 2c... And a plurality of external connection terminals 4a, 4b, 4c.
FIG. 11 is a flowchart illustrating in detail a flow of
FIG. 12 is a diagram for explaining proxy conversion in detail.
FIG. 13 is a flowchart for explaining in detail the flow of
FIG. 14 is a diagram for explaining proxy conversion in detail.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... In-network system, 2 ... In-home connection terminal, 3 ... In-home terminal, 4 ... External connection terminal, 5 ...
Claims (23)
上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で第1の仮想論理パスを構築する第1の仮想論理パス設定手段と、
上記認証手段による判断の結果、上記第2のアクセス端末によるアクセスを許可する場合には、当該第2のアクセス端末との間で第2の仮想論理パスを構築する第2の仮想論理パス2設定手段と、
を有する管理装置により、
上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、
ことを特徴とする通信システム。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
If access by the first access terminal is permitted as a result of the determination by the authentication means, first virtual logical path setting means for constructing a first virtual logical path with the first access terminal When,
If the access by the second access terminal is permitted as a result of the determination by the authentication means, the second virtual logical path 2 setting for constructing the second virtual logical path with the second access terminal Means,
By a management device having
Enabling layer 2 communication or layer 3 communication configured with one subnet between the first access terminal and the second access terminal;
A communication system characterized by the above.
当該機能により、上記第3の端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを更に特徴とする請求項1に記載の通信システム。The first access terminal has a function of bridge-connecting the physical path between the third terminal and the first virtual logical path between the management devices,
The function further enables layer 2 communication or layer 3 communication configured by one subnet between the third terminal and the second access terminal. Communication system.
上記認証手段による判断の結果、上記第1のアクセス端末及び第2のアクセス端末によるアクセスの両方を許可する場合には、当該第1のアクセス端末と上記第2のアクセス端末との間で仮想論理パスを構築するように指示をする仮想論理パス設定指示手段と、
を有する管理装置により、
上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、
ことを特徴とする通信システム。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
As a result of the determination by the authentication means, when both the access by the first access terminal and the second access terminal are permitted, a virtual logic is generated between the first access terminal and the second access terminal. Virtual logical path setting instruction means for instructing to construct a path;
By a management device having
Enabling layer 2 communication or layer 3 communication configured with one subnet between the first access terminal and the second access terminal;
A communication system characterized by the above.
上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で仮想論理パスを構築する仮想論理パス設定手段と、
上記第1のアクセス端末と上記第2のアクセス端末との間のデータ通信においてプロキシ機能によりデータの中継を行うプロキシ手段と、
を有する管理装置により、
上記第1のアクセス端末と上記第2のアクセス端末との間でデータ通信を可能とすることを特徴とする通信システム。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
As a result of the determination by the authentication means, when the access by the first access terminal is permitted, a virtual logical path setting means for constructing a virtual logical path with the first access terminal;
Proxy means for relaying data by a proxy function in data communication between the first access terminal and the second access terminal;
By a management device having
A communication system, wherein data communication is enabled between the first access terminal and the second access terminal.
上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能とを有する、ことを更に特徴とする請求項11に記載の通信システム。A plurality of terminals of the same type as the first access terminal,
The proxy means recognizes an identifier based on an identifier discriminating function for discriminating an identifier assigned to a virtual logical path and URL information added to data from the second access terminal, and selects a virtual logical path. The communication system according to claim 11, further comprising a path selection function.
上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき上記第3の端末を選択する第3の端末選択機能とを有する、
ことを更に特徴とする請求項13に記載の通信システム。A plurality of terminals of the same type as the first access terminal,
The proxy means recognizes an identifier based on an identifier discriminating function for discriminating an identifier assigned to a virtual logical path and URL information added to data from the second access terminal, and selects a virtual logical path. A path selection function, and a third terminal selection function for selecting the third terminal based on URL information added to data from the second access terminal.
14. The communication system according to claim 13, further characterized by:
上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で第1の仮想論理パスを構築する第1の仮想論理パス設定手段と、
上記認証手段による判断の結果、上記第2のアクセス端末によるアクセスを許可する場合には、当該第2のアクセス端末との間で第2の仮想論理パスを構築する第2の仮想論理パス2設定手段と、
を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする管理装置。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
If access by the first access terminal is permitted as a result of the determination by the authentication means, first virtual logical path setting means for constructing a first virtual logical path with the first access terminal When,
If the access by the second access terminal is permitted as a result of the determination by the authentication means, the second virtual logical path 2 setting for constructing the second virtual logical path with the second access terminal Means,
And at least a part of data communication enables layer 2 communication or layer 3 communication configured by one subnet between the first access terminal and the second access terminal. Management device.
上記認証手段による判断の結果、上記第1のアクセス端末及び第2のアクセス端末によるアクセスの両方を許可する場合には、当該第1のアクセス端末と上記第2のアクセス端末との間で仮想論理パスを構築するように指示をする仮想論理パス設定指示手段と、
を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする管理装置。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
As a result of the determination by the authentication means, when both the access by the first access terminal and the second access terminal are permitted, a virtual logic is generated between the first access terminal and the second access terminal. Virtual logical path setting instruction means for instructing to construct a path;
And at least a part of data communication enables layer 2 communication or layer 3 communication configured by one subnet between the first access terminal and the second access terminal. Management device.
上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で仮想論理パスを構築する仮想論理パス設定手段と、
上記第1のアクセス端末と上記第2のアクセス端末との間のデータ通信においてプロキシ機能によりデータの中継を行うプロキシ手段と、
を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でデータ通信を可能とすることを特徴とする管理装置。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
As a result of the determination by the authentication means, when the access by the first access terminal is permitted, a virtual logical path setting means for constructing a virtual logical path with the first access terminal;
Proxy means for relaying data by a proxy function in data communication between the first access terminal and the second access terminal;
And at least a part of the data communication enables data communication between the first access terminal and the second access terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003173314A JP2005012424A (en) | 2003-06-18 | 2003-06-18 | Management device and communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003173314A JP2005012424A (en) | 2003-06-18 | 2003-06-18 | Management device and communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005012424A true JP2005012424A (en) | 2005-01-13 |
Family
ID=34097172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003173314A Pending JP2005012424A (en) | 2003-06-18 | 2003-06-18 | Management device and communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005012424A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100786443B1 (en) | 2005-05-20 | 2007-12-17 | 가부시키가이샤 히타치세이사쿠쇼 | Encryption communication method and system |
-
2003
- 2003-06-18 JP JP2003173314A patent/JP2005012424A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100786443B1 (en) | 2005-05-20 | 2007-12-17 | 가부시키가이샤 히타치세이사쿠쇼 | Encryption communication method and system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10015046B2 (en) | Methods and apparatus for a self-organized layer-2 enterprise network architecture | |
US8458359B2 (en) | System for the internet connections, and server for routing connection to a client machine | |
EP1753180B1 (en) | Server for routing a connection to a client device | |
EP2725829B1 (en) | Common control protocol for wired and wireless nodes | |
Guichard et al. | MPLS and VPN architectures | |
JP3688282B2 (en) | Server for routing connections to client devices | |
JP4495049B2 (en) | Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device | |
JP2005012424A (en) | Management device and communication system | |
US20200287868A1 (en) | Systems and methods for in-band remote management | |
Pepelnjak | Mpls And Vpn Architectures (Volume Ii) | |
WO2022012355A1 (en) | Secure communication method, related apparatus, and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050711 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050719 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050916 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060228 |