JP2005012424A - Management device and communication system - Google Patents

Management device and communication system Download PDF

Info

Publication number
JP2005012424A
JP2005012424A JP2003173314A JP2003173314A JP2005012424A JP 2005012424 A JP2005012424 A JP 2005012424A JP 2003173314 A JP2003173314 A JP 2003173314A JP 2003173314 A JP2003173314 A JP 2003173314A JP 2005012424 A JP2005012424 A JP 2005012424A
Authority
JP
Japan
Prior art keywords
access terminal
terminal
communication
access
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003173314A
Other languages
Japanese (ja)
Inventor
I Nagashima
朋英 長島
Sukeshige Yoshii
祐重 吉井
Toshiyuki Sato
敏行 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2003173314A priority Critical patent/JP2005012424A/en
Publication of JP2005012424A publication Critical patent/JP2005012424A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To reduce burden of maintenance on a user by eliminating the necessity of authentication by a domestic terminal or a home server etc., and to reinforce security by collectively performing the authentication by a management device, and performing management. <P>SOLUTION: In this communication system, an intra-network system 1 as a management device decides the access propriety by a terminal in response to an authentication request from a domestic connecting terminal 2 or an external connecting terminal 4. If the access should be permitted, a virtual logical path is established to the terminal 2 and a virtual logical path is further established to the terminal 4, thereby enabling layer-2 communication between the terminal 2 and the terminal 4, or enabling layer-3 communication formed by one sub-network. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、例えば家庭内端末やホームサーバ等での認証を代わりに実施する管理装置及び通信システムに関する。
【0002】
【従来の技術】
従来、インターネットの用途は情報収集であったが、DSL等の常時接続化により、家庭内のパーソナルコンピュータ、更にはネット家電等への接続に注目が集まりつつある。現状では、こうした要求を実現する為には、家庭内にホームサーバ等のゲートウェイ機器を設置し、当該ゲートウェイ機器にて認証を実施することで、家庭内ネットワークへのアクセス許可を行う必要がある。
【0003】
ここで、例えば非特許文献1では、PPTPを使ったVPNの構築に関する技術が開示されている。この技術を用いることにより、家庭内に安全にアクセスすることが可能となるが、この実現には、高度な専門知識と、エンドユーザーによる日々のメンテナンスが必要となる。
【0004】
【非特許文献1】
UNIX USER 2003/6 「第1特集 我らトンネルビルダー」
【0005】
【発明が解決しようとする課題】
しかしながら、家庭内端末、ホームサーバ等で認証を行う形態では、個々の端末にて認証アプリケーションを設定する必要がある。即ち、高価な機器やそれを扱う技術的な専門知識が必要のみならず、認証アプリケーションの最新バージョンへのバージョンアップ、短期間でのハードウェアの更新等といった継続的なメンテナンスをユーザ自身が行う必要がある。
【0006】
本発明は上記問題に鑑みてなされたものであり、その目的とするところは、家庭内端末やホームサーバ等での認証を不要とし、ユーザのメンテナンス負担を軽減すること、及び認証を管理装置で統括して実施し、管理することでセキュリティ強化を図ることにある。
【0007】
【課題を解決するための手段】
上記目的を達成するために、請求項1に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で第1の仮想論理パスを構築する第1の仮想論理パス設定手段と、上記認証手段による判断の結果、上記第2のアクセス端末によるアクセスを許可する場合には、当該第2のアクセス端末との間で第2の仮想論理パスを構築する第2の仮想論理パス2設定手段と、を有する管理装置により、上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを特徴とする通信システムが提供される。
【0008】
そして、請求項2に係る発明として、上記第1のアクセス端末は、第3の端末との間の物理パスと管理装置との間の第1の仮想論理パスとをブリッジ接続する機能を有しており、当該機能により、上記第3の端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを更に特徴とする請求項1に記載の通信システムが提供される。
【0009】
さらに、請求項3に係る発明として、上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項1又は2のいずれかに記載の通信システムが提供される。
【0010】
また、請求項4に係る発明として、上記第3の端末と上記第1のアクセス端末との間の物理パスは常時接続されていることを更に特徴とする請求項2又は3のいずれかに記載の通信システムが提供される。
【0011】
そして、請求項5に係る発明として、上記第1の仮想論理パスは上記第1のアクセス端末の電源がオンである限り常時接続されていることを更に特徴とする請求項1乃至4のいずれかに記載の通信システムが提供される。
【0012】
さらに、請求項6に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末及び第2のアクセス端末によるアクセスの両方を許可する場合には、当該第1のアクセス端末と上記第2のアクセス端末との間で仮想論理パスを構築するように指示をする仮想論理パス設定指示手段と、を有する管理装置により、上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを特徴とする通信システムが提供される。
【0013】
また、請求項7に係る発明として、上記第1のアクセス端末は、第3の端末との間の物理パスと上記第2のアクセス端末との間の仮想論理パスとをブリッジ接続する機能を有しており、当該機能により、上記第3の端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを更に特徴とする請求項6に記載の通信システムが提供される。
【0014】
そして、請求項8に係る発明として、上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項6又は7のいずれかに記載の通信システムが提供される。
【0015】
さらに、請求項9に係る発明として、上記第3の端末と上記第1のアクセス端末との間の物理パスは常時接続されていることを更に特徴とする請求項6乃至8のいずれかに記載の通信システムが提供される。
【0016】
また、請求項10に係る発明として、上記レイヤ2通信は、イーサーネット又はファストイーサーネットを意味することを更に特徴とする請求項1乃至9のいずれかに記載の通信システムが提供される。
【0017】
請求項11に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で仮想論理パスを構築する仮想論理パス設定手段と、上記第1のアクセス端末と上記第2のアクセス端末との間のデータ通信においてプロキシ機能によりデータの中継を行うプロキシ手段と、を有する管理装置により、上記第1のアクセス端末と上記第2のアクセス端末との間でデータ通信を可能とすることを特徴とする通信システムが提供される。
【0018】
請求項12に係る発明として、上記第1のアクセス端末と同種の端末を複数有しており、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能とを有することを更に特徴とする請求項11に記載の通信システムが提供される。
【0019】
また、請求項13に係る発明として、上記第1のアクセス端末は、第3の端末との間の物理パスと管理装置との間の仮想論理パスとをブリッジ接続する機能を有しており、当該機能により、上記第3の端末と上記第2のアクセス端末との間でデータ通信を可能とする、ことを更に特徴とする請求項11に記載の通信システムが提供される。
【0020】
そして、請求項14に係る発明として、上記第1のアクセス端末と同種の端末を複数有しており、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき上記第3の端末を選択する第3の端末選択機能とを有する、ことを更に特徴とする請求項13に記載の通信システムが提供される。
【0021】
さらに、請求項15に係る発明として、上記第1のアクセス端末と上記管理装置間、或いは上記第3の端末と上記管理装置間のデータ通信は、レイヤ2通信、或いは1つのサブネットで構成されたレイヤ3通信であることを更に特徴とする請求項11乃至14のいずれかに記載の通信システムが提供される。
【0022】
また、請求項16に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で第1の仮想論理パスを構築する第1の仮想論理パス設定手段と、上記認証手段による判断の結果、上記第2のアクセス端末によるアクセスを許可する場合には、当該第2のアクセス端末との間で第2の仮想論理パスを構築する第2の仮想論理パス2設定手段と、を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする管理装置が提供される。
【0023】
請求項17に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末及び第2のアクセス端末によるアクセスの両方を許可する場合には、当該第1のアクセス端末と上記第2のアクセス端末との間で仮想論理パスを構築するように指示をする仮想論理パス設定指示手段と、を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする管理装置が提供される。
【0024】
さらに、請求項18に係る発明として、第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で仮想論理パスを構築する仮想論理パス設定手段と、上記第1のアクセス端末と上記第2のアクセス端末との間のデータ通信においてプロキシ機能によりデータの中継を行うプロキシ手段と、を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でデータ通信を可能とすることを特徴とする管理装置が提供される。
【0025】
また、請求項19に係る発明として、上記第1のアクセス端末と同種の複数の端末と通信自在である場合において、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能とを有する、ことを更に特徴とする請求項18に記載の管理装置が提供される。
【0026】
そして、請求項20に係る発明として、上記第1のアクセス端末と同種の複数の端末と通信自在である場合において、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき上記第3の端末を選択する第3の端末選択機能とを有することを更に特徴とする請求項18に記載の管理装置が提供される。
【0027】
さらに、請求項21に係る発明として、上記第1のアクセス端末と上記管理装置間、或いは上記第3の端末と上記管理装置間のデータ通信は、レイヤ2通信、或いは1つのサブネットで構成されたレイヤ3通信であることを更に特徴とする請求項18乃至20のいずれかに記載の管理装置が提供される。
【0028】
また、請求項22に係る発明として、上記レイヤ2通信は、イーサーネット又はファストイーサーネットを意味することを更に特徴とする請求項16乃至21のいずれかに記載の管理装置が提供される。
【0029】
そして、請求項23に係る発明として、上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項16乃至21のいずれかに記載の管理装置が提供される。
【0030】
【発明の実施の形態】
以下、図面を参照して、本発明の実施の形態について説明する。
【0031】
(第1の実施の形態)
図1には、本発明の第1の実施の形態に係る管理装置及びそれを用いた通信システムの構成を示し説明する。この図1に示されるように、管理装置としての網内システム1、宅内接続端末2、外部接続端末4は、レイヤ3ネットワーク5を介して通信自在に接続されている。この宅内接続端末2は、更にレイヤ2セグメント6を介して、宅内端末3と通信自在に接続されている。宅内接続端末2としては、例えばゲートウェイ装置の如きものを採用することができる。但し、宅内接続端末2は認証サーバを備えていなくてもよい。また、宅内端末3と宅内接続端末2との間の物理パスは、常時接続されていてもよい。
【0032】
各端末2乃至4及び網内システム1の詳細な構成については後述する。
【0033】
このような構成において、宅内接続端末2又は外部接続端末4から認証要求が順次になされると、網内システム1は当該要求を受けて、宅内接続端末2又は外部接続端末4のアクセス可否を判断する。そして、網内システム1は、アクセスを許可する場合には、宅内接続端末2、外部接続端末4との間でそれぞれ仮想論理パスを構築する。これにより、宅内接続端末2と外部接続端末4との間でのレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする。
【0034】
以下、図2のフローチャートを参照して、本発明の第1の実施の形態に係る通信システムにおける、宅内接続端末2、網内システム1、外部接続端末4間のレイヤ2通信の流れを詳細に説明する。
【0035】
宅内接続端末2の電源がオンされ(ステップS1)、網内システム1に認証要求がなされると(ステップS2)、網内システム1は当該認証要求を受け、宅内接続端末2によるアクセスの可否を判断し、アクセスを許可する場合には、宅内接続端末2にその旨を返信する(ステップS3)。こうして、宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS4)、両者において仮想パス設定を行い(ステップS5,S6)、宅内接続端末2と網内システム1との間で仮想論理パス(仮想レイヤ2(▲1▼))を構築する。
【0036】
以上で、事前準備にかかる通信処理を終了する。
【0037】
上記事前準備の後に、外部接続端末4にてアクセスボタンがクリックされ(ステップS7)、網内システム1に認証要求がなされると(ステップS8)、網内システム1は、当該認証要求を受けて、外部接続端末4によるアクセスの可否を判断し、アクセスを許可する場合には、外部接続端末4にその旨を返信する(ステップS9)。こうして、外部接続端末4と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS10)、両者において仮想パス設定を行い(ステップS11,S12)、外部接続端末4と網内システム1との間で仮想論理パス(仮想レイヤ2(▲2▼))を構築する。
【0038】
次いで、網内システム1は、ブリッジ設定を行い(ステップS13)、宅内接続端末2と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲1▼+▲2▼))を構築する。以上で、外部接続にかかる通信処理を終了する。
【0039】
ここで、図3のフローチャートを参照して、上記「認証」、「仮想パスに係わる情報交換」、「仮想パスの設定」について更に詳細に説明する。
【0040】
以下の説明は、他の実施の形態におけるレイヤ2または一つのサブネットで構成されたレイヤ3通信のための仮想論理パスを構築する際の、認証及びパケット送信の為の準備手順にも共通している。
【0041】
宅内接続端末2による「認証」では(ステップS20)、宅内接続端末2はユーザID及びパスワードを網内システム1に送信する(ステップS20a)。網内システム1は、このユーザID、パスワードを受けると、ユーザ管理DBを参照して、ユーザ認証を行い(ステップS20b)、宅内接続端末2によるアクセスを許可する場合、宅内接続端末2にその旨を返信する(ステップS20c)。
【0042】
また、宅内接続端末2と網内システム1との間で「仮想パスに係わる情報交換」では(ステップS21)、宅内接続端末2は、IPアドレスに係る情報(この例では165.0.2.1)等を網内システム1に送信する(ステップS21a)。網内システム1は、このIPアドレスに係る情報を受けると、VPNに関するテーブルに宅内接続端末2のIPアドレスを追加する(ステップS21b)。
【0043】
以降、網内システム1は、例えば165.0.2.1からは、user_b向けEtherIPのパケットが送信されることをVPNに関するテーブルにより認識する。
【0044】
次いで、網内システム1は、システム自身のIPアドレスに係る情報(この例では、169.100.0.1)を宅内接続端末2に送信する(ステップS21d)。
【0045】
但し、このIPアドレスに関する情報は必ずしも必要ではなく、セキュリティの情報交換だけを行う場合もあることは勿論である。
【0046】
尚、暗号化処理を含む場合には、「仮想パスに係わる情報交換」に暗号の情報交換が含まれることになる。交換する情報は上記のものに限定されず、例えばプロトコル情報の収集(カプセル化したデータの取り扱い条件、プライベートIPアドレスの割り当て、暗号化に係る情報等)も含まれる。
【0047】
こうして、宅内接続端末2は、網内システム1のIPアドレスに係る情報を受けると、「仮想パスの設定」を行い、この設定以降は、ローカルネットワークのデータを例えばEtherIPによりカプセル化し、網内システム1のIPアドレスに送信するものとして認識することになる(ステップS22)。
【0048】
以上説明したように、本発明の第1の実施の形態では、宅内接続端末2、外部接続端末4によるアクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。より詳細には、従来技術による通信では、宅内接続端末2がサーバとなり、外部からのアクセスを受け付けていたが、第1の実施の形態によれば、宅内接続端末は網内システムに対するクライアントとなる為、セキュリティホール等の管理を行わずに済み、メンテナンス負担が軽減される上、セキュリティが強化される。また、第1の実施の形態では、外部接続端末4と宅内接続端末2が同一のセグメントとなる。
【0049】
(第2の実施の形態)
第2の実施の形態に係る通信システムでは、宅内接続端末2においてブリッジ設定を行うことで、外部接続端末4と宅内端末3とが同一のセグメントとなることを特徴としている。即ち、宅内接続端末2は、宅内端末3との間の物理パスと網内システム1との間の仮想論理パスとをブリッジ接続する機能を有し、宅内端末3と外部接続端末4との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする。
【0050】
さらに、この第2の実施の形態に係る通信システムでは、このレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを可能とする。
【0051】
尚、システム構成については、図1と同様であるので、同一構成については同一符号を用い、重複した説明は省略する。
【0052】
以下、図4のフローチャートを参照して、本発明の第2の実施の形態に係る通信システムにおける、宅内端末3、宅内接続端末2、網内システム1、外部接続端末4間のレイヤ2通信の流れを詳細に説明する。
【0053】
この例では、宅内端末3と宅内接続端末2との間には物理パス(レイヤ2(▲3▼))が張られており、通信自在となっていることが前提となる。
【0054】
さて、宅内接続端末2の電源がオンされ(ステップS30)、網内システム1に認証要求がなされると(ステップS31)、網内システム1は当該認証要求を受け、宅内接続端末2によるアクセスの可否を判断する。そして、アクセスを許可する場合には、宅内接続端末2にその旨を返信する(ステップS32)。
【0055】
こうして、宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS33)、両者において仮想パス設定を行い(ステップS34,S35)、宅内接続端末2と網内システム1との間で仮想論理パス(仮想レイヤ2(▲1▼))を構築する。宅内接続端末2は、ブリッジ設定を行い(ステップS36)、宅内接続端末2と宅内端末3との間で仮想論理パス(仮想レイヤ2(▲1▼+▲3▼))を構築する。以上で、事前準備にかかる通信処理を終了する。
【0056】
上記事前準備の後、外部接続端末4にてアクセスボタンがクリックされ(ステップS37)、網内システム1に認証要求がなされると(ステップS38)、網内システム1は当該認証要求を受けて、外部接続端末4によるアクセスの可否を判断し、アクセスを許可する場合には、外部接続端末4にその旨を返信する(ステップS39)。外部接続端末4と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS40)、両者において仮想パス設定を行い(ステップS41,S42)、こうして外部接続端末4と網内システム1との間で仮想論理パス(仮想レイヤ2(▲2▼))を構築する。
【0057】
次いで、網内システム1は、ブリッジ設定を行い(ステップS43)、宅内端末3と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲1▼+▲2▼+▲3▼))を構築する。以上で外部接続にかかる通信処理を終了する。
【0058】
ここで、図5には、第2の実施の形態に係る通信システムを構成する網内システム1、宅内接続端末2、外部接続端末4の各構成を詳細に示し説明する。
【0059】
以下の説明は、他の実施の形態におけるレイヤ2または一つのサブネットで構成されたレイヤ3通信のための仮想論理パスを構築する際の、認証及びパケット送信手順にも共通している。
【0060】
図5に示されるように、網内システム1は、認証機能(サーバ)とパケット配信機能を備えている。宅内接続端末2と外部接続端末4は、それぞれが認証機能(クライアント)とアクセス変換処理機能を備えている。尚、図5では、認証に関するデータの流れを太線の矢印で、データ送受信の流れを細線の矢印で示している。
【0061】
認証には、宅内接続端末2から網内システム1への認証、及び外部接続端末4から網内システム1への認証がある。宅内接続端末2の認証クライアント部21から送出されたデータは、外部向けインターフェイス22から送信され、レイヤ3ネットワーク5を経由して網内システム1へと送出される。
【0062】
網内システム1内の認証機能にて認証がなされた場合には、宅内接続端末2と網内システム1間における仮想論理パスの情報が、パケット配信機能内のVPNに関するテーブル13に登録される。このテーブル13には、カプセル化のためのソースディスティネーションのIPアドレスが登録されている。
【0063】
即ち、網内システム1の認証機能では、PKI認証確認およびIPsec,VPN登録機能12により、ユーザDB11を参照して認証がなされ、仮想論理パスに関する情報がVPNに関するテーブル13に登録される。
【0064】
セキュリティポリシ、セキュリティアソシエーションは、SAD(Security Policy Database),SPD(Security Association Database)(以下、これらをまとめてIPsecデータベースと称する)14に登録される。セキュリティポリシとは、IPパケットに対する処理の設定情報をいい、セキュリティアソシエーションとは、IPsecのコネクションに関する情報をいう。データベース14には、暗号化/復号化のための情報が蓄積されている。
【0065】
外部接続端末4における挙動は、以上と同様である。
【0066】
一方、データはOS42の制御の下で、仮想インターフェイス43を介してEtherIPカプセル化部44に送られて、当該EtherIPカプセル化部44にてカプセル化された後、IPsecの暗号化部45で暗号化され、インターフェイス46を介して送出される。こうして外部接続端末4より送出されたパケットは、インターフェイス46を介して網内システム1に送信され、インターフェイス18を介して受信される。
【0067】
このパケットは、IPsecの暗号・復号化部17にて復号化され、EtherIPカプセル・デカプセル化部16にてカプセル取り外し処理がなされ、ブリッジ受け渡し部15にてVPNに関するテーブル13が参照されつつ送信先が決定される。そして、EtherIPカプセル・デカプセル化部16にてカプセル化され、IPsecの暗号・復号化部17において暗号化され、インターフェイス18、レイヤ3ネットワーク5を経由して、宅内接続端末2へ送信される。
【0068】
宅内接続端末2では、外部向けインターフェイス22を介して当該パケットが受信され、IPsecの復号化部24にて復号化され、EtherIPデカプセル化部25にてカプセル取り外し処理がなされ、ブリッジ受け渡し部26にて、宅内向けインターフェイス27を介して宅内端末3へと送信される。
【0069】
宅内接続端末2より外部接続端末4への送信プロセスは、逆の挙動を示す。
【0070】
尚、暗号化を除くシステムでは、IPsecの暗号化部45、IPsecの復号化部24、IPsecの暗号・復号化部17、SAD,SPD(IPsecデータベース)14が、上記構成から除外される。また、以上の例では、TCP/IPのIPにセキュリティ機能を持たせるプロトコルであるIPsecを採用したが、これには限定されない。
【0071】
ここで、図6を参照して、具体的なパケット転送について詳細に説明する。
【0072】
図6において、各端末又はシステムの下方に記載されている数値は各端末又はシステムのアドレスを示している。詳細には、上段はVPVアドレス(プライベートIP)、中段はインターネット上のアドレス(グローバルIP)、下段は物理(MAC)アドレス(VPN上)をそれぞれ示している。
【0073】
尚、本例では、トンネリング方式にEtherIPが用いられている。EtherIPプロトコルは、一般には異なる2つのEthernetセグメントをIP上でトンネルするために用いられるものであり、トンネル用のIPパケット内には送信すべきイーサーネットやIEEE802.3フレームを含んでいる。
【0074】
外部接続端末4から送出されたパケットは、IPパケットヘッダの送信先アドレス(210.169.143.148)に基づいて網内システム1に到達する。更に、網内システム1から送出されたパケットは、IPパケットヘッダの送信先アドレス(143.90.135.123)に基づいて宅内接続端末2に到達する。そして、宅内接続端末2では、パケットの物理層に例えばファストイーサーネット等が定義される。この宅内接続端末2から送出されたパケットは、Etherフレームヘッダの送信先アドレス(01 23 45 67 89 AB)に基づいて宅内端末3に到達する。
【0075】
以上説明したように、本発明の第2の実施の形態に係る通信システムでも、宅内接続端末2、外部接続端末4によるアクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。更に、第2の実施の形態では、宅内接続端末2においてブリッジを実現することで、外部接続端末4と宅内端末3とを同一のセグメントとすることができる。
【0076】
すなわち、第2の実施の形態によれば、上述した第1の実施の形態の効果に加えて、宅内接続端末2のみならず、宅内端末3に対するアクセスが可能となる。このアクセスは、同一サブネット経由により実施される為、宅内端末3に対するセキュリティ対策は、インターネット上のセキュリティ対策(全世界を対象としたレベルのセキュリティ対策)から、同一サブネット上のセキュリティ対策(物理的に限定したレベルのセキュリティ対策)へと緩和されることになる。
【0077】
(第3の実施の形態)
第3の実施の形態に係る通信システムでは、仮想論理パスが網内システム1を経由していないが、宅内接続端末2、外部接続端末4は、いずれもクライアントの立場を取ることを特徴とする。宅内接続端末2、外部接続端末4は、認証後、接続に係わる情報交換を網内システム1を中継して実現する。
【0078】
尚、システム構成については、図1と同様であるので、同一構成については同一符号を用い、重複した説明は省略する。
【0079】
より詳細には、第3の実施の形態に係る通信システムでは、網内システム1により、宅内接続端末2及び外部接続端末4からの認証要求により端末のアクセス可否を判断し、アクセスが許可された場合、宅内接続端末2と外部接続端末4との間で仮想論理パスを構築し、宅内接続端末2と外部接続端末4との間で網内システム1を介することなく、レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする。
【0080】
以下、図7のフローチャートを参照して、本発明の第3の実施の形態に係る通信システムにおける、宅内接続端末2、網内システム1、外部接続端末4間のレイヤ2通信の流れを詳細に説明する。
【0081】
宅内接続端末2の電源がオンされ(ステップS50)、網内システム1に認証要求がなされた後(ステップS51)、網内システム1は当該認証要求を受け、宅内接続端末2によるアクセスの可否を判断し、アクセスを許可する場合には、宅内接続端末2にその旨を返信する(ステップS52)。こうして、宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行う(ステップS53)。但し、ここでは、宅内接続端末2と網内システム1との間で仮想論理パスを構築しない。以上で、事前準備にかかる通信処理を終了する。
【0082】
上記事前準備の後、外部接続端末4にてアクセスボタンがクリックされ(ステップS54)、網内システム1に認証要求がなされると(ステップS55)、網内システム1は当該認証要求を受けて、外部接続端末4によるアクセスの可否を判断する。そして、網内システム1は、アクセスを許可する場合には、外部接続端末4にその旨を返信する(ステップS56)。更に、宅内接続端末2に対してもアクセスを許可する旨を通知する(ステップS57)。
【0083】
次いで、網内システム1と外部接続端末4との間、及び網内システム1と宅内接続端末2との間で仮想パスに係わる情報交換を行い(ステップS58)、宅内接続端末2、外部接続端末4において仮想パス設定を行い(ステップS59,S60)、こうして網内システム1の指示に基づいて、宅内接続端末2と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲2▼))を構築する。
【0084】
以上説明したように、本発明の第3の実施の形態に係る通信システムでも、宅内接続端末2、外部接続端末4による認証アクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。
【0085】
更に、上述した第1の実施の形態の効果に加え、データ通信は網内システム1を経由せずに済むため、網内システム1への負荷が軽減され、且つ最短経路でのアクセスが可能となる。
【0086】
(第4の実施の形態)
第4の実施の形態に係る通信システムでは、仮想論理パスが網内システム1を経由していないが、宅内接続端末2、外部接続端末4は、いずれもクライアントの立場を取ることを特徴とする。尚、システム構成については、図1と同様であるので、同一構成については同一符号を用い、重複した説明は省略する。
【0087】
より詳細には、第4の実施の形態では、宅内接続端末2は、外部接続端末4との間の物理パスと外部接続端末との間の仮想論理パスとをブリッジ接続する機能を有しており、外部接続端末4と宅内端末3との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする。
【0088】
以下、図8のフローチャートを参照して、本発明の第4の実施の形態に係る通信システムにおける、宅内端末3、宅内接続端末2、網内システム1、外部接続端末4間のレイヤ2通信の流れを詳細に説明する。
【0089】
この例では、宅内端末3と宅内接続端末2との間には物理パス(レイヤ2(▲3▼))が張られており、通信自在となっていることが前提となる。
【0090】
さて、宅内接続端末2の電源がオンされ(ステップS61)、網内システム1に認証要求がなされると(ステップS62)、網内システム1は当該認証要求を受け、宅内接続端末2によるアクセスの可否を判断し、アクセスを許可する場合には、宅内接続端末2にその旨を返信する(ステップS63)。こうして宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行う(ステップS64)。但し、この段階では、宅内接続端末2と網内システム1との間で仮想論理パスを構築しない。以上で、事前準備にかかる通信処理を終了する。
【0091】
上記事前準備の後、外部接続端末4にてアクセスボタンがクリックされ(ステップS65)、網内システム1に認証要求がなされると(ステップS66)、網内システム1は当該認証要求を受けて、外部接続端末4によるアクセスの可否を判断する。そして、網内システム1は、アクセスを許可する場合には、外部接続端末4にその旨を返信する(ステップS67)。併せて、宅内接続端末2に対してもアクセスを許可する旨の通知を行う(ステップS68)。次いで、外部接続端末4と網内システム1との間、宅内接続端末2と網内システム1との間で仮想パスに係わる情報交換を行い(ステップS69)、宅内接続端末2、外部接続端末4において仮想パス設定を行い(ステップS70,S71)、こうして網内システム1の指示に基づいて、宅内接続端末2と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲4▼))を構築する。
【0092】
次いで、宅内接続端末2は、ブリッジ設定を行い(ステップS42)、宅内端末3と外部接続端末4との間で仮想論理パス(仮想レイヤ2(▲3▼+▲4▼))を構築する。以上で外部接続にかかる通信処理を終了する。
【0093】
以上説明したように、本発明の第4の実施の形態に係る通信システムでも、宅内接続端末2、外部接続端末4による認証アクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。
【0094】
更に、第4の実施の形態によれば、上述した第3の実施の形態の効果に加えて、宅内接続端末2のみならず、宅内端末3に対するアクセスが可能となる。このアクセスは、同一サブネット経由により実施される為、宅内端末3に対するセキュリティ対策は、インターネット上のセキュリティ対策(全世界を対象としたレベルのセキュリティ対策)から、同一サブネット上のセキュリティ対策(特定アクセスに限定したレベルのセキュリティ対策)へと緩和される。
【0095】
(第5の実施の形態)
図9には、本発明の第5の実施の形態に係る管理装置及びそれを用いた通信システムの構成を示し説明する。
【0096】
この図9に示されるように、管理装置としての網内システム1、宅内接続端末2、WEB端末7は、レイヤ3ネットワーク5を介して、通信自在に接続されている。この宅内接続端末2は、更にレイヤ2セグメント6を介して、宅内端末3と通信自在に接続されている。この宅内接続端末2としては、例えばゲートウェイ装置の如きものを採用することができる。宅内端末3と宅内接続端末2との間の物理パスは常時接続されていてもよい。WEB端末7としては、携帯電話機や社内イントラネット内のWEB端末の如きものを想定しているが、これに限定されないことは勿論である。
【0097】
このような構成において、本通信システムは、宅内接続端末2又はWEB端末7からの認証要求を受けると、アクセス可否を判断し、アクセスを許可すべき場合には、宅内接続端末2との間で仮想論理パスを構築し、宅内接続端末2とWEB端末7との間のデータ通信においてプロキシ機能によりデータの中継を行うことで、宅内接続端末2とWEB端末との間でデータ通信を可能とする。
【0098】
即ち、第5の実施の形態に係る通信システムでは、網内システム1がプロキシサーバとしての機能を備える。この網内システム1は、プロキシ機能によりフォワード・プロキシ(例えば代理アクセス)、リバース・プロキシ(例えば代理応答)の双方に対応しており、更にパケットの中継だけでなく、アクセスの種類に応じたフィルタリング機能も併せ持つ。
【0099】
ここで、図10は、網内システム1が、複数の宅内接続端末2a,2b,2c・・・、複数の外部接続端末4a,4b,4c・・・(或いはWEB端末7a,7b,7c・・・)と接続されている様子を示している。このように、複数の宅内接続端末と通信自在に接続された網内システム1は、そのプロキシ機能により、宅内接続端末2からのデータに付加されたURL情報に基づき識別子を認識して、当該識別子に対応する仮想論理パスを選択し、宅内接続端末2と網内システム1、或いはWEB端末7と網内システム1との間でレイヤ2通信、或いは1つのサブネットで構成されたレイヤ3通信を実現する。つまり、網内システム1は、第1に複数ある仮想論理パスからパケットが通過すべき仮想論理パスを選択し、第2に宅内接続端末2a,2b,2c・・・のそれぞれに接続された宅内端末のどの宅内端末にパケットを送信するのかについて判断することになる。
【0100】
以下、図11のフローチャートを参照して、本発明の第5の実施の形態に係る通信システムにおける、宅内接続端末2、網内システム1、WEB端末7間のレイヤ2通信の流れを詳細に説明する。
【0101】
尚、ステップS80乃至S85の事前準備に係る通信処理は、図2のステップS1乃至S6と同様であるので、重複した説明は省略する。
【0102】
事前準備の後、WEB端末7にてアクセスボタンがクリックされ(ステップS86)、網内システム1に認証要求がなされると(ステップS87)、網内システム1は当該認証要求を受けて、WEB端末7によるアクセスの可否を判断し、アクセスを許可する場合には、WEB端末7にその旨を返信する(ステップS88)。次いで、WEB端末7よりWEBアクセスがなされると、網内システム1はプロキシ変換を行い(ステップS90)、フォワード・プロキシにより宅内接続端末2に仮想論理パス(仮想レイヤ▲2▼)を用いたWEBアクセスを行う(ステップS91)。そして、宅内接続端末2より仮想論理パス(仮想レイヤ▲2▼)を用いたWEBレスポンスがなされると(ステップS92)、プロキシ変換を行い(ステップS93)、WEB端末7にリバース・プロキシによりWEBレスポンスを行う(ステップS94)。以上で外部接続にかかる通信処理を終了する。
【0103】
ここで、図12を参照して、上記プロキシ変換について更に詳細に説明する。
【0104】
図12において、端末側変換機8とは、インターネットのグローバルアドレスを持たない端末が、インターネットのHTTPを参照するために利用される一般的なプロキシサーバを意味する。WEB端末7より送信されたHTTPパケットは、送信先のURLにおけるホスト部(この例では、alg.odn.ne.jp)に基づき網内システム1へと到着する。網内システム1は、HTTPのヘッダ内における送信先VPN情報(この例では、userid)を参考にして送信する宅内接続端末2を複数ある宅内接続端末2a,2b,2c・・・から選択し、更に当該宅内接続端末に関する仮想論理パスを特定する。且つ、網内システム1は、HTTPヘッダ内におけるディレクトリ情報を基にして、新たなHTTPヘッダを作成する。作成されたHTTPヘッダは、上記によって決定された仮想論理パスを経由して、ディレクトリ情報内に含まれる送信先アドレス(この例では、10.0.0.1)へと送信されることになる。
【0105】
以上説明したように、本発明の第5の実施の形態に係る通信システムでも、宅内接続端末2、WEB端末4によるアクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。更に、プロキシ(フォワード・プロキシ、リバース・プロキシ等)機能を兼ね備える。
【0106】
即ち、この第5の実施の形態では、上述した第1の実施の形態と同様、従来技術に係る通信では、宅内接続端末2がサーバとなり、外部からのアクセスを受け付けていたが、宅内接続端末2は網内システム1に対するクライアントとなるため、セキュリティホール等の管理を行わずに済み、メンテナンス負担が軽減される上、セキュリティが強化される。また、第5の実施の形態によれば、宅内接続端末2に対するWEB端末4からのアクセスが可能となる。
【0107】
(第6の実施の形態)
第6の実施の形態では、第5の実施の形態と比較して、データ通信の端点が宅内端末3となる点で相違している。宅内接続端末2は、宅内端末3との間の物理パスと網内システム1との間の仮想論理パスとをブリッジ接続する機能を有しており、宅内端末3とWEB端末7との間でデータ通信を可能とする。
【0108】
尚、システム構成については、図9と同様であるので、同一構成については同一符号を用い、重複した説明は省略する。
【0109】
より詳細には、第6の実施の形態に係る通信システムは、複数の宅内接続端末2a,2b,2c・・・を有し、網内システム1のプロキシ機能により、WEB端末7からのデータに付加されたURL情報に基づき識別子を認識し、仮想論理パスを選択し、WEB端末7からのデータに付加されたURL情報に基づき宅内端3を選択するものである。
【0110】
以下、図13のフローチャートを参照して、本発明の第6の実施の形態に係る通信システムにおける、宅内端末3、宅内接続端末2、網内システム1、WEB端末7間のレイヤ2通信の流れを詳細に説明する。
【0111】
尚、ステップS100乃至S106の事前準備に係る通信処理は、図4のステップS30乃至S35と同様であるので、重複した説明は省略する。
【0112】
事前準備の後、WEB端末7にてアクセスボタンがクリックされ(ステップS107)、網内システム1に認証要求がなされると(ステップS108)、網内システム1は当該認証要求を受けて、WEB端末7によるアクセスの可否を判断し、アクセスを許可する場合には、WEB端末7にその旨を返信する(ステップS109)。次いで、WEB端末7よりWEBアクセスがなされると(ステップS110)、網内システム1はプロキシ変換を行い(ステップS111)、フォワード・プロキシにより宅内端末3に仮想論理パス(仮想レイヤ▲1▼+▲3▼)を用いたWEBアクセスを行う(ステップS112)。そして、宅内端末3より仮想論理パス(仮想レイヤ▲1▼+▲3▼)を用いたWEBレスポンスがなされると(ステップS113)、プロキシ変換を行い(ステップS114)、WEB端末7にリバース・プロキシによりWEBレスポンスを行う(ステップS115)。
【0113】
以上で外部接続にかかる通信処理を終了する。
【0114】
ここで、図14を参照して、上記プロキシ変換について更に詳細に説明する。
【0115】
図12と異なる部分のみ説明すると、この第6の実施の形態では、データ通信の端点が宅内端末3となることから、網内システム1は、HTTPのヘッダ内における送信先VPN情報(この例では、userid)を参考にして送信する宅内接続端末2を複数ある宅内接続端末2a,2b,2c・・・から選択し、更に当該宅内接続端末に関する仮想論理パスを特定する。そして更に、データ通信の端点である宅内端末3を特定し、Ethernet等のヘッダを作成する。このようにして作成されたHTTPヘッダは、上記決定された仮想論理パスを経由して、Ethernet等のヘッダの情報に基づき、宅内端末3へと送信される。
【0116】
以上説明したように、本発明の第6の実施の形態に係る通信システムでも、宅内接続端末2、WEB端末4によるアクセスの方向が全て網内システム1に向かうので、宅内接続端末2がサーバ機能を備える必要はない。更に、プロキシ(フォワード・プロキシ、リバース・プロキシ等)機能を兼ね備える。
【0117】
即ち、第6の実施の形態では、上述した第5の実施の形態の効果に加えて、宅内接続端末2のみならず、宅内端末3に対するアクセスが可能となる。このアクセスは、網内システム1が管理する同一サブネット経由により実施される為、宅内端末3に対するセキュリティ対策は、インターネット上のセキュリティ対策(全世界を対象としたレベルのセキュリティ対策)から、同一サブネット上のセキュリティ対策(特定アクセスに限定したレベルのセキュリティ対策)へと緩和される。
【0118】
以上説明したように、本発明の第1乃至第6の実施の形態に係る管理装置及び通信システムによれば、家庭内端末、ホームサーバ等での認証を不要とし、ユーザのメンテナンス負担を軽減すること、及び認証機能を司る管理装置の管理を通信事業者等の専門業者が行うことでセキュリティ強化を図ることができる。
【0119】
例えば、64ビット認証が128ビット認証にアップグレードされたような場合でも、網内システムのみで対応することが可能である。
【0120】
そして、第1乃至第6の実施の形態に係る通信システムでは、認証を網内システムが統括して行うことから、宅内接続端末は所謂サーバとしての機能を有する必要はなく、認証に係る処理負担も軽減される。更に、認証に関して、網内システムが間に介在して統括して行うので、宅内接続端末が複数の外部接続端末に対応した複数のポートを備える必要もない。
【0121】
また、宅内接続端末は、サーバとしての機能を有する必要がないので、簡易な構成であってもよく、ハイスペックである必然性もない。また、例えば上記WEB端末を携帯電話機、上記宅内端末をエアーコンディショナとした場合には、遠隔地から携帯電話機により宅内のエアーコンディショナの動作を制御することができる等、幅広い用途に適用することができることになる。
【0122】
尚、請求項記載の第1のアクセス端末とは例えば宅内接続端末2に相当し、第2のアクセス端末とは例えば外部接続端末4或いはWEB端末7に相当し、第3の端末とは例えば宅内端末3に相当する。更に、請求項記載の認証手段とは例えば網内システム1の認証機能に相当し、(第1,第2)仮想論理パス設定手段とは例えば網内システム1の認証機能、パケット配信機能等に相当する。また、請求項では、宅内端末3、宅内接続端末2、網内システム1、外部接続端末4、WEB端末7の一部を適宜組み合せて通信システムとしている。
【0123】
但し、これら関係には限定されない。
【0124】
以上、本発明の実施の形態について説明したが、本発明はこれに限定されることなく、その趣旨を逸脱しない範囲で種々の改良・変更が可能である。
【0125】
例えば、例えばカプセル化技術として、上記実施の形態ではIPsec、EtherIP等を適用した例を示したが、これに限定されず、レイヤ2において動作するトンネリング専用のプロトコルであるPPTPやL2TP、レイヤ2〜3のトンネリングプロトコルであるMPLS等、種々のものを採用できる。
【0126】
尚、本発明には、前述した第1乃至第6の実施の形態に係る通信システムの網内システムによる動作に係わる方法、コンピュータプログラム、当該プログラムを記録した記録媒体としての発明も含まれることは勿論である。
【0127】
【発明の効果】
以上詳述したように、本発明によれば、家庭内端末やホームサーバ等での認証を不要とし、ユーザのメンテナンス負担を軽減すること、及び認証を管理装置で統括して実施し、管理することでセキュリティ強化を図ることが可能な管理装置及び通信システムを提供することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係る管理装置及びそれを用いた通信システムの構成を示す図である。
【図2】本発明の第1の実施の形態に係る通信システムにおけるレイヤ2通信の流れを示すフローチャートである。
【図3】図2の上記「認証」、「仮想パスに係わる情報交換」、「仮想パスの設定」について更に詳細に説明するためのフローチャートである。
【図4】本発明の第2の実施の形態に係る通信システムにおけるレイヤ2通信の流れを示すフローチャートである。
【図5】本発明の第2の実施の形態に係る通信システムの構成を示す図である。
【図6】具体的なパケット転送について説明するための図である。
【図7】本発明の第3の実施の形態に係る通信システムによるレイヤ2通信の流れを詳細に説明するためのフローチャートである。
【図8】本発明の第4の実施の形態に係る通信システムによるレイヤ2通信の流れを詳細に説明するためのフローチャートである。
【図9】本発明の第5の実施の形態に係る管理装置及びそれを用いた通信システムの構成を示す図である。
【図10】網内システム1が、複数の宅内接続端末2a,2b,2c・・・、複数の外部接続端末4a,4b,4c・・・と接続されている様子を示す図である。
【図11】本発明の第5の実施の形態に係る通信システムによるレイヤ2通信の流れを詳細に説明するフローチャートである。
【図12】プロキシ変換について詳細に説明するための図である。
【図13】本発明の第6の実施の形態に係る通信システムによるレイヤ2通信の流れを詳細に説明するためのフローチャートである。
【図14】プロキシ変換について詳細に説明するための図である。
【符号の説明】
1・・・網内システム、2・・・宅内接続端末、3・・・宅内端末、4・・・外部接続端末、5・・・レイヤ3ネットワーク、6・・・レイヤ2セグメント、7・・・WEB端末、8・・・端末側変換機。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a management apparatus and a communication system that perform authentication instead of, for example, a home terminal or a home server.
[0002]
[Prior art]
Conventionally, the Internet has been used for collecting information, but due to the constant connection of DSL or the like, attention is being focused on connection to personal computers in the home, and further to home appliances. At present, in order to realize such a request, it is necessary to permit access to the home network by installing a gateway device such as a home server in the home and performing authentication by the gateway device.
[0003]
Here, for example, Non-Patent Document 1 discloses a technique related to the construction of a VPN using PPTP. Using this technology makes it possible to safely access the home, but this realization requires advanced expertise and daily maintenance by end users.
[0004]
[Non-Patent Document 1]
UNIX USER 2003/6 "First Feature Our Tunnel Builder"
[0005]
[Problems to be solved by the invention]
However, in a form in which authentication is performed by a home terminal, a home server, or the like, it is necessary to set an authentication application on each terminal. In other words, not only is it necessary to have expensive equipment and technical expertise to handle it, but it is also necessary for the user to perform ongoing maintenance such as upgrading to the latest version of the authentication application and updating the hardware in a short period of time. There is.
[0006]
The present invention has been made in view of the above problems, and the object of the present invention is to eliminate the need for authentication at a home terminal, a home server, etc., reduce the maintenance burden on the user, and perform authentication with a management device. The goal is to strengthen security through integrated implementation and management.
[0007]
[Means for Solving the Problems]
In order to achieve the above object, as an invention according to claim 1, an authentication means for determining whether or not an access to these terminals is possible based on authentication requests from the first access terminal and the second access terminal, and the authentication means If the access by the first access terminal is permitted as a result of the determination by the first access terminal, a first virtual logical path setting means for constructing a first virtual logical path with the first access terminal, If access by the second access terminal is permitted as a result of the determination by the authentication means, second virtual logical path 2 setting means for constructing a second virtual logical path with the second access terminal. And a management device having the first access terminal and the second access terminal to enable layer 2 communication or layer 3 communication configured by one subnet. The communication system characterized is provided.
[0008]
As a second aspect of the present invention, the first access terminal has a function of bridge-connecting a physical path between the third terminal and the first virtual logical path between the management devices. The function further enables layer 2 communication or layer 3 communication configured by one subnet between the third terminal and the second access terminal. Is provided.
[0009]
Furthermore, the invention according to claim 3 is characterized in that encrypted data is communicated in at least part of the layer 2 communication or the layer 3 communication configured by one subnet. A communication system according to any of the above is provided.
[0010]
The invention according to claim 4 is further characterized in that the physical path between the third terminal and the first access terminal is always connected. A communication system is provided.
[0011]
The invention according to claim 5 is characterized in that the first virtual logical path is always connected as long as the power of the first access terminal is on. Is provided.
[0012]
Furthermore, as an invention according to claim 6, based on authentication requests from the first access terminal and the second access terminal, authentication means for determining whether or not these terminals can be accessed, and a result of determination by the authentication means, When both access by a 1st access terminal and a 2nd access terminal is permitted, it instruct | indicates to construct | assemble a virtual logical path between the said 1st access terminal and the said 2nd access terminal Enabling a layer 2 communication or a layer 3 communication configured by one subnet between the first access terminal and the second access terminal by a management device having a virtual logical path setting instruction unit; A communication system is provided.
[0013]
As a seventh aspect of the present invention, the first access terminal has a function of bridge-connecting a physical path between the third terminal and a virtual logical path between the second access terminal. The function further enables layer 3 communication between the third terminal and the second access terminal or layer 3 communication configured by one subnet. A communication system according to item 6 is provided.
[0014]
The invention according to claim 8 is characterized in that encrypted data is communicated in at least a part of the layer 2 communication or the layer 3 communication configured by one subnet. A communication system according to any of the above is provided.
[0015]
The invention according to claim 9 is characterized in that the physical path between the third terminal and the first access terminal is always connected. A communication system is provided.
[0016]
In addition, as a tenth aspect of the present invention, there is provided the communication system according to any one of the first to ninth aspects, wherein the layer 2 communication means Ethernet or fast Ethernet.
[0017]
As an invention according to claim 11, based on authentication requests from the first access terminal and the second access terminal, an authentication means for determining whether or not these terminals can be accessed, and a result of the determination by the authentication means, the first When the access by the access terminal is permitted, a virtual logical path setting means for constructing a virtual logical path with the first access terminal, and the first access terminal and the second access terminal And a proxy unit that relays data using a proxy function in data communication between the first access terminal and the second access terminal, and enables data communication between the first access terminal and the second access terminal. A communication system is provided.
[0018]
The invention according to claim 12 includes a plurality of terminals of the same type as the first access terminal, wherein the proxy means includes an identifier determination function for determining an identifier assigned to a virtual logical path, and the second The communication system according to claim 11, further comprising a virtual logical path selection function for recognizing an identifier based on URL information added to data from an access terminal and selecting a virtual logical path.
[0019]
Further, as an invention according to claim 13, the first access terminal has a function of bridge-connecting a physical path between the third terminal and a virtual logical path between the management devices, 12. The communication system according to claim 11, further comprising data communication between the third terminal and the second access terminal by the function.
[0020]
According to a fourteenth aspect of the present invention, there are provided a plurality of terminals of the same type as the first access terminal, and the proxy means includes an identifier determination function for determining an identifier assigned to a virtual logical path, and the first A virtual logical path selection function for recognizing an identifier based on URL information added to data from the second access terminal and selecting a virtual logical path, and the URL information added to data from the second access terminal. The communication system according to claim 13, further comprising a third terminal selection function for selecting a third terminal.
[0021]
Further, as an invention according to claim 15, data communication between the first access terminal and the management apparatus, or between the third terminal and the management apparatus is configured by layer 2 communication or one subnet. 15. The communication system according to claim 11, further comprising layer 3 communication.
[0022]
According to a sixteenth aspect of the present invention, on the basis of authentication requests from the first access terminal and the second access terminal, an authentication unit that determines whether or not these terminals can be accessed, and a result of the determination by the authentication unit, When permitting access by the first access terminal, the first virtual logical path setting means for constructing the first virtual logical path with the first access terminal and the result of determination by the authentication means And, when permitting access by the second access terminal, has a second virtual logical path 2 setting means for constructing a second virtual logical path with the second access terminal, At least a part of data communication enables layer 2 communication or layer 3 communication constituted by one subnet between the first access terminal and the second access terminal. That management apparatus is provided.
[0023]
As an invention according to claim 17, on the basis of authentication requests from the first access terminal and the second access terminal, authentication means for determining whether or not these terminals can be accessed, and as a result of determination by the authentication means, the first A virtual logic that instructs to establish a virtual logical path between the first access terminal and the second access terminal when both access by the access terminal and the second access terminal are permitted. Path setting instruction means, and at least a part of the data communication is capable of layer 2 communication or layer 3 communication composed of one subnet between the first access terminal and the second access terminal. A management device characterized by the above is provided.
[0024]
Furthermore, as an invention according to claim 18, based on authentication requests from the first access terminal and the second access terminal, an authentication unit that determines whether or not these terminals can be accessed, and a result of the determination by the authentication unit, When permitting access by the first access terminal, virtual logical path setting means for establishing a virtual logical path with the first access terminal, the first access terminal, and the second access terminal Proxy means for relaying data by a proxy function in data communication between the first access terminal and the second access terminal, wherein at least a part of the data communication is performed between the first access terminal and the second access terminal. There is provided a management device characterized in that it enables.
[0025]
According to a nineteenth aspect of the present invention, in the case where communication is possible with a plurality of terminals of the same type as the first access terminal, the proxy means has an identifier determination function for determining an identifier assigned to the virtual logical path; 19. The management according to claim 18, further comprising a virtual logical path selection function for recognizing an identifier based on URL information added to data from the second access terminal and selecting a virtual logical path. An apparatus is provided.
[0026]
As an invention according to claim 20, in the case where communication is possible with a plurality of terminals of the same type as the first access terminal, the proxy means includes an identifier determination function for determining an identifier assigned to the virtual logical path; A virtual logical path selection function for recognizing an identifier based on URL information added to data from the second access terminal and selecting a virtual logical path; and URL information added to data from the second access terminal The management apparatus according to claim 18, further comprising a third terminal selection function for selecting the third terminal based on the first terminal.
[0027]
Furthermore, in the invention according to claim 21, data communication between the first access terminal and the management apparatus or between the third terminal and the management apparatus is configured by layer 2 communication or one subnet. 21. The management device according to claim 18, further comprising layer 3 communication.
[0028]
Further, as a twenty-second aspect of the present invention, there is provided the management device according to any one of the sixteenth to twenty-first aspects, wherein the layer 2 communication means Ethernet or fast Ethernet.
[0029]
The invention according to claim 23 is further characterized in that encrypted data is communicated in at least a part of the layer 2 communication or the layer 3 communication configured by one subnet. A management device according to any of the above is provided.
[0030]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[0031]
(First embodiment)
FIG. 1 shows and describes the configuration of a management apparatus according to a first embodiment of the present invention and a communication system using the management apparatus. As shown in FIG. 1, an in-network system 1, a home connection terminal 2, and an external connection terminal 4 as management devices are connected via a layer 3 network 5 so as to be communicable. The in-home connection terminal 2 is further connected to the in-home terminal 3 through a layer 2 segment 6 so as to be communicable. As the home connection terminal 2, for example, a gateway device can be employed. However, the home connection terminal 2 may not include an authentication server. Further, the physical path between the home terminal 3 and the home connection terminal 2 may be always connected.
[0032]
Detailed configurations of the terminals 2 to 4 and the in-network system 1 will be described later.
[0033]
In such a configuration, when authentication requests are sequentially made from the in-home connection terminal 2 or the external connection terminal 4, the in-network system 1 receives the request and determines whether the in-home connection terminal 2 or the external connection terminal 4 is accessible. To do. Then, when permitting access, the in-network system 1 constructs a virtual logical path between the in-home connection terminal 2 and the external connection terminal 4, respectively. Thereby, the layer 2 communication between the in-home connection terminal 2 and the external connection terminal 4 or the layer 3 communication configured by one subnet is enabled.
[0034]
Hereinafter, with reference to the flowchart of FIG. 2, the flow of the layer 2 communication among the in-home connection terminal 2, the in-network system 1, and the external connection terminal 4 in the communication system according to the first embodiment of the present invention will be described in detail. explain.
[0035]
When the in-home connection terminal 2 is turned on (step S1) and an authentication request is made to the in-network system 1 (step S2), the in-network system 1 receives the authentication request and determines whether or not the in-home connection terminal 2 can access. If it is determined and access is permitted, a message to that effect is returned to the home connection terminal 2 (step S3). Thus, information relating to the virtual path is exchanged between the in-home connection terminal 2 and the in-network system 1 (step S4), the virtual path is set in both (steps S5 and S6), and the in-home connection terminal 2 and the in-network system are set. A virtual logical path (virtual layer 2 (<1>)) is established with the first.
[0036]
This completes the communication process related to advance preparation.
[0037]
After the above preparation, when the access button is clicked on the external connection terminal 4 (step S7) and an authentication request is made to the in-network system 1 (step S8), the in-network system 1 receives the authentication request. Then, it is determined whether or not access by the external connection terminal 4 is possible, and when the access is permitted, the fact is returned to the external connection terminal 4 (step S9). In this way, information relating to the virtual path is exchanged between the external connection terminal 4 and the in-network system 1 (step S10), and the virtual path is set in both (steps S11 and S12). A virtual logical path (virtual layer 2 ({circle around (2))}) is established with 1.
[0038]
Next, the in-network system 1 performs bridge setting (step S13), and constructs a virtual logical path (virtual layer 2 ((1) + (2))) between the in-home connection terminal 2 and the external connection terminal 4. . This completes the communication process for external connection.
[0039]
Here, the “authentication”, “information exchange regarding virtual path”, and “virtual path setting” will be described in more detail with reference to the flowchart of FIG.
[0040]
The following description is also common to preparation procedures for authentication and packet transmission when constructing a virtual logical path for layer 3 communication configured with layer 2 or one subnet in other embodiments. Yes.
[0041]
In “authentication” by the in-home connection terminal 2 (step S20), the in-home connection terminal 2 transmits a user ID and a password to the in-network system 1 (step S20a). When receiving the user ID and password, the in-network system 1 refers to the user management DB, performs user authentication (step S20b), and permits access by the in-home connection terminal 2 to the in-home connection terminal 2 to that effect. Is returned (step S20c).
[0042]
Further, in the “information exchange regarding virtual path” between the in-home connection terminal 2 and the in-network system 1 (step S21), the in-home connection terminal 2 receives the information related to the IP address (165.0.2. 1) etc. are transmitted to the in-network system 1 (step S21a). Upon receiving the information related to the IP address, the in-network system 1 adds the IP address of the home connection terminal 2 to the VPN-related table (step S21b).
[0043]
Thereafter, the in-network system 1 recognizes, from 165.0.2.1, for example, that the EtherIP packet for user_b is transmitted from the table regarding VPN.
[0044]
Next, the in-network system 1 transmits information related to the IP address of the system itself (169.100.0.1 in this example) to the home connection terminal 2 (step S21d).
[0045]
However, information regarding this IP address is not always necessary, and it is needless to say that only security information may be exchanged.
[0046]
When encryption processing is included, encryption information exchange is included in “information exchange regarding virtual path”. The information to be exchanged is not limited to the above, but includes, for example, the collection of protocol information (encapsulated data handling conditions, private IP address assignment, encryption information, etc.).
[0047]
In this way, when the home connection terminal 2 receives the information related to the IP address of the in-network system 1, it performs “virtual path setting”, and after this setting, the local network data is encapsulated by, for example, EtherIP, It is recognized that it is transmitted to one IP address (step S22).
[0048]
As described above, in the first embodiment of the present invention, since the access directions by the in-home connection terminal 2 and the external connection terminal 4 are all directed to the in-network system 1, the in-home connection terminal 2 needs to have a server function. There is no. More specifically, in the communication according to the prior art, the in-home connection terminal 2 is a server and accepts access from the outside, but according to the first embodiment, the in-home connection terminal is a client for the in-network system. Therefore, it is not necessary to manage security holes, etc., reducing the maintenance burden and enhancing security. In the first embodiment, the external connection terminal 4 and the home connection terminal 2 are in the same segment.
[0049]
(Second Embodiment)
The communication system according to the second embodiment is characterized in that the external connection terminal 4 and the home terminal 3 become the same segment by performing bridge setting in the home connection terminal 2. That is, the in-home connection terminal 2 has a function of bridging a physical path between the in-home terminal 3 and a virtual logical path between the in-network system 1 and between the in-home terminal 3 and the external connection terminal 4. Thus, it is possible to perform layer 2 communication or layer 3 communication composed of one subnet.
[0050]
Further, in the communication system according to the second embodiment, encrypted data can be communicated in at least a part of the layer 2 communication or the layer 3 communication configured by one subnet.
[0051]
Since the system configuration is the same as that in FIG. 1, the same reference numerals are used for the same configurations, and redundant descriptions are omitted.
[0052]
Hereinafter, referring to the flowchart of FIG. 4, the layer 2 communication between the home terminal 3, the home connection terminal 2, the network system 1, and the external connection terminal 4 in the communication system according to the second embodiment of the present invention. The flow will be described in detail.
[0053]
In this example, it is assumed that a physical path (layer 2 (<3>)) is established between the in-home terminal 3 and the in-home connection terminal 2 so that communication is possible.
[0054]
When the power of the home connection terminal 2 is turned on (step S30) and an authentication request is made to the in-network system 1 (step S31), the in-network system 1 receives the authentication request and the access by the home connection terminal 2 is performed. Judgment is made. If access is permitted, a message to that effect is returned to the home connection terminal 2 (step S32).
[0055]
Thus, information relating to the virtual path is exchanged between the in-home connection terminal 2 and the in-network system 1 (step S33), the virtual path is set in both (steps S34 and S35), and the in-home connection terminal 2 and the in-network system are set. A virtual logical path (virtual layer 2 (<1>)) is established with the first. The in-home connection terminal 2 performs bridge setting (step S36), and constructs a virtual logical path (virtual layer 2 ((1) + (3))) between the in-home connection terminal 2 and the in-home terminal 3. This completes the communication process related to advance preparation.
[0056]
After the above preparation, when the access button is clicked on the external connection terminal 4 (step S37) and an authentication request is made to the in-network system 1 (step S38), the in-network system 1 receives the authentication request, It is determined whether or not access by the external connection terminal 4 is possible, and when access is permitted, the fact is returned to the external connection terminal 4 (step S39). Information regarding the virtual path is exchanged between the external connection terminal 4 and the in-network system 1 (step S40), and the virtual path is set in both (steps S41 and S42), thus the external connection terminal 4 and the in-network system 1 A virtual logical path (virtual layer 2 (<2>)) is constructed between
[0057]
Next, the in-network system 1 performs bridge setting (step S43), and a virtual logical path (virtual layer 2 (1) +2) +3) between the home terminal 3 and the external connection terminal 4 Build up. This completes the communication process for external connection.
[0058]
Here, in FIG. 5, each configuration of the in-network system 1, the in-home connection terminal 2, and the external connection terminal 4 configuring the communication system according to the second embodiment is shown and described in detail.
[0059]
The following description is also common to authentication and packet transmission procedures when constructing a virtual logical path for layer 3 communication configured by layer 2 or one subnet in other embodiments.
[0060]
As shown in FIG. 5, the in-network system 1 includes an authentication function (server) and a packet distribution function. Each of the in-home connection terminal 2 and the external connection terminal 4 has an authentication function (client) and an access conversion processing function. In FIG. 5, the flow of data related to authentication is indicated by a thick line arrow, and the flow of data transmission / reception is indicated by a thin line arrow.
[0061]
Authentication includes authentication from the home connection terminal 2 to the in-network system 1 and authentication from the external connection terminal 4 to the in-network system 1. Data transmitted from the authentication client unit 21 of the in-home connection terminal 2 is transmitted from the external interface 22 and transmitted to the in-network system 1 via the layer 3 network 5.
[0062]
When authentication is performed by the authentication function in the in-network system 1, information on the virtual logical path between the in-home connection terminal 2 and the in-network system 1 is registered in the VPN-related table 13 in the packet distribution function. In this table 13, the IP address of the source destination for encapsulation is registered.
[0063]
That is, in the authentication function of the intra-network system 1, authentication is performed with reference to the user DB 11 by the PKI authentication confirmation and IPsec / VPN registration function 12, and information related to the virtual logical path is registered in the table 13 related to VPN.
[0064]
The security policy and security association are registered in SAD (Security Policy Database), SPD (Security Association Database) (hereinafter collectively referred to as IPsec database) 14. A security policy refers to processing setting information for an IP packet, and a security association refers to information related to an IPsec connection. The database 14 stores information for encryption / decryption.
[0065]
The behavior in the external connection terminal 4 is the same as above.
[0066]
On the other hand, the data is sent to the EtherIP encapsulation unit 44 through the virtual interface 43 under the control of the OS 42, encapsulated by the EtherIP encapsulation unit 44, and then encrypted by the IPsec encryption unit 45. And sent out via the interface 46. The packet transmitted from the external connection terminal 4 is transmitted to the in-network system 1 via the interface 46 and received via the interface 18.
[0067]
This packet is decrypted by the IPsec encryption / decryption unit 17, decapsulated by the EtherIP capsule / decapsulation unit 16, and the destination is sent while the bridge transfer unit 15 refers to the VPN table 13. It is determined. The data is encapsulated by the EtherIP capsule / decapsulator 16, encrypted by the IPsec encryption / decryption unit 17, and transmitted to the in-home connection terminal 2 via the interface 18 and the layer 3 network 5.
[0068]
In the in-home connection terminal 2, the packet is received via the external interface 22, decrypted by the IPsec decryption unit 24, decapsulated by the EtherIP decapsulation unit 25, and then received by the bridge delivery unit 26. And transmitted to the home terminal 3 via the home interface 27.
[0069]
The transmission process from the home connection terminal 2 to the external connection terminal 4 shows the reverse behavior.
[0070]
In the system excluding encryption, the IPsec encryption unit 45, the IPsec decryption unit 24, the IPsec encryption / decryption unit 17, and the SAD, SPD (IPsec database) 14 are excluded from the above configuration. In the above example, IPsec, which is a protocol for providing a TCP / IP IP with a security function, is used. However, the present invention is not limited to this.
[0071]
Here, a specific packet transfer will be described in detail with reference to FIG.
[0072]
In FIG. 6, the numerical value described below each terminal or system indicates the address of each terminal or system. More specifically, the upper row shows a VPN address (private IP), the middle row shows an address on the Internet (global IP), and the lower row shows a physical (MAC) address (on VPN).
[0073]
In this example, EtherIP is used for the tunneling method. The Ethernet protocol is generally used for tunneling two different Ethernet segments over IP, and an IP packet for tunneling includes an Ethernet or IEEE 802.3 frame to be transmitted.
[0074]
The packet transmitted from the external connection terminal 4 reaches the in-network system 1 based on the transmission destination address (210.169.143.148) of the IP packet header. Further, the packet transmitted from the in-network system 1 reaches the in-home connection terminal 2 based on the transmission destination address (143.90.135.123) of the IP packet header. In the home connection terminal 2, for example, Fast Ethernet is defined in the physical layer of the packet. The packet transmitted from the home connection terminal 2 reaches the home terminal 3 based on the transmission destination address (01 23 45 67 89 AB) of the Ether frame header.
[0075]
As described above, even in the communication system according to the second embodiment of the present invention, since the access directions by the in-home connection terminal 2 and the external connection terminal 4 are all directed to the in-network system 1, the in-home connection terminal 2 is the server. It is not necessary to have a function. Furthermore, in the second embodiment, by realizing a bridge in the home connection terminal 2, the external connection terminal 4 and the home terminal 3 can be made the same segment.
[0076]
That is, according to the second embodiment, in addition to the effects of the first embodiment described above, it is possible to access not only the in-home connection terminal 2 but also the in-home terminal 3. Since this access is performed via the same subnet, the security measures for the home terminal 3 are the security measures on the same subnet (physically from the security measures on the world level). Will be mitigated to a limited level of security measures).
[0077]
(Third embodiment)
In the communication system according to the third embodiment, the virtual logical path does not pass through the in-network system 1, but both the in-home connection terminal 2 and the external connection terminal 4 are clients. . The in-home connection terminal 2 and the external connection terminal 4 realize the exchange of information related to the connection by relaying the in-network system 1 after the authentication.
[0078]
Since the system configuration is the same as that in FIG. 1, the same reference numerals are used for the same configurations, and redundant descriptions are omitted.
[0079]
More specifically, in the communication system according to the third embodiment, the in-network system 1 determines whether or not the terminal can be accessed based on the authentication request from the in-home connection terminal 2 and the external connection terminal 4, and the access is permitted. In this case, a virtual logical path is constructed between the in-home connection terminal 2 and the external connection terminal 4, and the layer 2 communication or one of the ones is not performed between the in-home connection terminal 2 and the external connection terminal 4 via the in-network system 1. Layer 3 communication configured by subnet is enabled.
[0080]
Hereinafter, with reference to the flowchart of FIG. 7, the flow of layer 2 communication among the in-home connection terminal 2, the in-network system 1, and the external connection terminal 4 in the communication system according to the third embodiment of the present invention will be described in detail. explain.
[0081]
After the in-home connection terminal 2 is turned on (step S50) and an authentication request is made to the in-network system 1 (step S51), the in-network system 1 receives the authentication request and determines whether the in-home connection terminal 2 can access. If it is determined and access is permitted, a message to that effect is returned to the home connection terminal 2 (step S52). Thus, information relating to the virtual path is exchanged between the home connection terminal 2 and the in-network system 1 (step S53). However, here, a virtual logical path is not established between the in-home connection terminal 2 and the in-network system 1. This completes the communication process related to advance preparation.
[0082]
After the above preparation, when the access button is clicked on the external connection terminal 4 (step S54) and an authentication request is made to the in-network system 1 (step S55), the in-network system 1 receives the authentication request, It is determined whether or not access by the external connection terminal 4 is possible. Then, the network system 1 replies to the external connection terminal 4 when permitting access (step S56). Further, the home connection terminal 2 is notified that access is permitted (step S57).
[0083]
Next, information related to the virtual path is exchanged between the in-network system 1 and the external connection terminal 4 and between the in-network system 1 and the in-home connection terminal 2 (step S58), and the in-home connection terminal 2 and the external connection terminal 4 is set (steps S59 and S60), and based on the instruction from the in-network system 1, the virtual logical path (virtual layer 2 (2)) between the home connection terminal 2 and the external connection terminal 4 is set. ) Build.
[0084]
As described above, even in the communication system according to the third embodiment of the present invention, since the directions of authentication access by the in-home connection terminal 2 and the external connection terminal 4 are all directed to the in-network system 1, the in-home connection terminal 2 It is not necessary to provide a server function.
[0085]
Further, in addition to the effects of the first embodiment described above, since data communication does not have to go through the in-network system 1, the load on the in-network system 1 is reduced and access through the shortest path is possible. Become.
[0086]
(Fourth embodiment)
In the communication system according to the fourth embodiment, the virtual logical path does not pass through the in-network system 1, but both the in-home connection terminal 2 and the external connection terminal 4 take the position of a client. . Since the system configuration is the same as that in FIG. 1, the same reference numerals are used for the same configurations, and redundant descriptions are omitted.
[0087]
More specifically, in the fourth embodiment, the in-home connection terminal 2 has a function of bridge-connecting a physical path between the external connection terminal 4 and a virtual logical path between the external connection terminal. Thus, it is possible to perform layer 2 communication or layer 3 communication constituted by one subnet between the external connection terminal 4 and the home terminal 3.
[0088]
Hereinafter, referring to the flowchart of FIG. 8, the layer 2 communication between the home terminal 3, home connection terminal 2, network system 1, and external connection terminal 4 in the communication system according to the fourth embodiment of the present invention. The flow will be described in detail.
[0089]
In this example, it is assumed that a physical path (layer 2 (<3>)) is established between the in-home terminal 3 and the in-home connection terminal 2 so that communication is possible.
[0090]
When the power of the home connection terminal 2 is turned on (step S61) and an authentication request is made to the in-network system 1 (step S62), the in-network system 1 receives the authentication request and the access by the home connection terminal 2 is performed. When permission is determined and access is permitted, a message to that effect is returned to the home connection terminal 2 (step S63). In this way, information relating to the virtual path is exchanged between the home connection terminal 2 and the in-network system 1 (step S64). However, at this stage, a virtual logical path is not established between the home connection terminal 2 and the in-network system 1. This completes the communication process related to advance preparation.
[0091]
After the above preparation, when the access button is clicked on the external connection terminal 4 (step S65) and an authentication request is made to the in-network system 1 (step S66), the in-network system 1 receives the authentication request, It is determined whether or not access by the external connection terminal 4 is possible. Then, the network system 1 replies to the external connection terminal 4 when permitting access (step S67). At the same time, the home connection terminal 2 is notified that access is permitted (step S68). Next, information related to the virtual path is exchanged between the external connection terminal 4 and the in-network system 1 and between the in-home connection terminal 2 and the in-network system 1 (step S69), and the in-home connection terminal 2 and the external connection terminal 4 are exchanged. In step S70 and S71, a virtual logical path (virtual layer 2 (4)) is established between the in-home connection terminal 2 and the external connection terminal 4 based on an instruction from the in-network system 1 in this way. Build up.
[0092]
Next, the in-home connection terminal 2 performs bridge setting (step S42), and constructs a virtual logical path (virtual layer 2 ((3) + (4))) between the in-home terminal 3 and the external connection terminal 4. This completes the communication process for external connection.
[0093]
As described above, even in the communication system according to the fourth embodiment of the present invention, the directions of authentication access by the in-home connection terminal 2 and the external connection terminal 4 are all directed to the in-network system 1, so that the in-home connection terminal 2 It is not necessary to provide a server function.
[0094]
Furthermore, according to the fourth embodiment, in addition to the effects of the third embodiment described above, not only the home connection terminal 2 but also the home terminal 3 can be accessed. Since this access is carried out via the same subnet, the security measures for the home terminal 3 are from the security measures on the Internet (security measures for the whole world) to the security measures on the same subnet (for specific access). To a limited level of security measures).
[0095]
(Fifth embodiment)
FIG. 9 shows and describes the configuration of a management device according to the fifth embodiment of the present invention and a communication system using the same.
[0096]
As shown in FIG. 9, an in-network system 1, an in-home connection terminal 2, and a WEB terminal 7 as management devices are connected via a layer 3 network 5 so as to be communicable. The in-home connection terminal 2 is further connected to the in-home terminal 3 through a layer 2 segment 6 so as to be communicable. As this in-home connection terminal 2, for example, a gateway device can be adopted. The physical path between the home terminal 3 and the home connection terminal 2 may be always connected. The WEB terminal 7 is assumed to be a mobile phone or a WEB terminal in an in-house intranet, but is not limited to this.
[0097]
In such a configuration, when the communication system receives an authentication request from the home connection terminal 2 or the WEB terminal 7, the communication system determines whether access is permitted. Data communication between the in-home connection terminal 2 and the WEB terminal is enabled by constructing a virtual logical path and relaying data by the proxy function in the data communication between the in-home connection terminal 2 and the WEB terminal 7 .
[0098]
That is, in the communication system according to the fifth embodiment, the in-network system 1 has a function as a proxy server. This in-network system 1 supports both forward proxy (for example, proxy access) and reverse proxy (for example, proxy response) by a proxy function, and further performs filtering according to the type of access as well as packet relay. It also has functions.
[0099]
10 shows that the in-network system 1 has a plurality of home connection terminals 2a, 2b, 2c..., A plurality of external connection terminals 4a, 4b, 4c... (Or WEB terminals 7a, 7b, 7c.・ ・) Shows how it is connected. As described above, the in-network system 1 connected to a plurality of in-home connection terminals in a communicable manner recognizes the identifier based on the URL information added to the data from the in-home connection terminal 2 by the proxy function, and the identifier A virtual logical path corresponding to is selected and layer 2 communication between the home connection terminal 2 and the in-network system 1 or between the WEB terminal 7 and the in-network system 1 or layer 3 communication configured by one subnet is realized. To do. That is, the in-network system 1 first selects a virtual logical path through which a packet should pass from a plurality of virtual logical paths, and secondly, the in-home connected to each of the in-home connection terminals 2a, 2b, 2c. It is determined to which home terminal of the terminal the packet is to be transmitted.
[0100]
Hereinafter, with reference to the flowchart of FIG. 11, the flow of the layer 2 communication among the home connection terminal 2, the in-network system 1, and the WEB terminal 7 in the communication system according to the fifth embodiment of the present invention will be described in detail. To do.
[0101]
Note that the communication process related to the advance preparation in steps S80 to S85 is the same as that in steps S1 to S6 in FIG.
[0102]
After the advance preparation, when the access button is clicked on the WEB terminal 7 (step S86) and an authentication request is made to the in-network system 1 (step S87), the in-network system 1 receives the authentication request and receives the WEB terminal. 7 determines whether or not access is permitted, and if the access is permitted, the fact is returned to the WEB terminal 7 (step S88). Next, when WEB access is made from the WEB terminal 7, the in-network system 1 performs proxy conversion (step S90), and the WEB using the virtual logical path (virtual layer (2)) is connected to the in-home connection terminal 2 by the forward proxy. Access is performed (step S91). When the WEB response using the virtual logical path (virtual layer (2)) is made from the home connection terminal 2 (step S92), proxy conversion is performed (step S93), and the WEB response is sent to the WEB terminal 7 by the reverse proxy. Is performed (step S94). This completes the communication process for external connection.
[0103]
Here, the proxy conversion will be described in more detail with reference to FIG.
[0104]
In FIG. 12, the terminal-side converter 8 means a general proxy server used by a terminal that does not have an Internet global address to refer to the Internet HTTP. The HTTP packet transmitted from the WEB terminal 7 arrives at the in-network system 1 based on the host part (alg.odn.ne.jp in this example) in the URL of the transmission destination. The in-network system 1 selects a home connection terminal 2 to be transmitted with reference to transmission destination VPN information (userid in this example) in the HTTP header from a plurality of home connection terminals 2a, 2b, 2c,. Further, a virtual logical path related to the in-home connection terminal is specified. The intra-network system 1 creates a new HTTP header based on the directory information in the HTTP header. The created HTTP header is transmitted to the destination address (in this example, 10.0.0.1) included in the directory information via the virtual logical path determined as described above. .
[0105]
As described above, even in the communication system according to the fifth embodiment of the present invention, all the directions of access by the in-home connection terminal 2 and the WEB terminal 4 are directed to the in-network system 1, so that the in-home connection terminal 2 has the server function. It is not necessary to have. Furthermore, it also has a proxy (forward proxy, reverse proxy, etc.) function.
[0106]
That is, in the fifth embodiment, as in the first embodiment described above, in the communication according to the prior art, the home connection terminal 2 is a server and accepts access from the outside. Since 2 is a client for the in-network system 1, it is not necessary to manage security holes and the like, which reduces the maintenance burden and enhances security. In addition, according to the fifth embodiment, the home terminal 2 can be accessed from the WEB terminal 4.
[0107]
(Sixth embodiment)
The sixth embodiment is different from the fifth embodiment in that the end point of data communication is the home terminal 3. The in-home connection terminal 2 has a function of bridge-connecting a physical path between the in-home terminal 3 and a virtual logical path between the in-network system 1 and between the in-home terminal 3 and the WEB terminal 7. Enables data communication.
[0108]
Since the system configuration is the same as that in FIG. 9, the same reference numerals are used for the same configurations, and redundant descriptions are omitted.
[0109]
More specifically, the communication system according to the sixth embodiment has a plurality of in-home connection terminals 2a, 2b, 2c,..., And receives data from the WEB terminal 7 by the proxy function of the in-network system 1. The identifier is recognized based on the added URL information, a virtual logical path is selected, and the home end 3 is selected based on the URL information added to the data from the WEB terminal 7.
[0110]
Hereinafter, referring to the flowchart of FIG. 13, the flow of the layer 2 communication between the home terminal 3, the home connection terminal 2, the network system 1, and the WEB terminal 7 in the communication system according to the sixth embodiment of the present invention. Will be described in detail.
[0111]
Note that the communication process related to the advance preparation in steps S100 to S106 is the same as steps S30 to S35 in FIG.
[0112]
After the advance preparation, when the access button is clicked on the WEB terminal 7 (step S107) and an authentication request is made to the in-network system 1 (step S108), the in-network system 1 receives the authentication request and receives the WEB terminal. 7 determines whether or not access is permitted, and if access is permitted, the fact is returned to the WEB terminal 7 (step S109). Next, when WEB access is made from the WEB terminal 7 (step S110), the in-network system 1 performs proxy conversion (step S111), and a virtual logical path (virtual layer (1) + ▲) is sent to the home terminal 3 by the forward proxy. WEB access using 3 ▼) is performed (step S112). When a WEB response using a virtual logical path (virtual layer (1) + (3)) is made from the home terminal 3 (step S113), proxy conversion is performed (step S114), and the WEB terminal 7 is reverse-proxyed. Executes a WEB response (step S115).
[0113]
This completes the communication process for external connection.
[0114]
Here, the proxy conversion will be described in more detail with reference to FIG.
[0115]
Explaining only the parts different from FIG. 12, in this sixth embodiment, since the end point of data communication is the home terminal 3, the in-network system 1 can send the destination VPN information in the HTTP header (in this example, , Userid), the home connection terminal 2 to be transmitted is selected from a plurality of home connection terminals 2a, 2b, 2c... And a virtual logical path related to the home connection terminal is specified. Further, the home terminal 3 which is an end point of data communication is specified, and a header such as Ethernet is created. The HTTP header created in this way is transmitted to the in-home terminal 3 through the determined virtual logical path based on the header information such as Ethernet.
[0116]
As described above, even in the communication system according to the sixth embodiment of the present invention, all the directions of access by the in-home connection terminal 2 and the WEB terminal 4 are directed to the in-network system 1, so that the in-home connection terminal 2 has the server function. It is not necessary to have. Furthermore, it also has a proxy (forward proxy, reverse proxy, etc.) function.
[0117]
That is, in the sixth embodiment, in addition to the effects of the fifth embodiment described above, it is possible to access not only the home connection terminal 2 but also the home terminal 3. Since this access is performed via the same subnet managed by the system 1 in the network, the security measures for the in-home terminal 3 are based on the security measures on the Internet (security measures for the world level) on the same subnet. Security measures (security measures limited to specific access).
[0118]
As described above, according to the management device and the communication system according to the first to sixth embodiments of the present invention, authentication at a home terminal, a home server, or the like is not required, and the maintenance burden on the user is reduced. In addition, security management can be enhanced by the management of the management apparatus that manages the authentication function by a professional contractor such as a telecommunications carrier.
[0119]
For example, even when 64-bit authentication is upgraded to 128-bit authentication, it can be handled only by the in-network system.
[0120]
In the communication systems according to the first to sixth embodiments, since the in-network system performs the authentication, the home connection terminal does not need to have a function as a so-called server, and the processing load related to the authentication Is also reduced. Further, since authentication is performed in an integrated manner with an in-network system intervening, it is not necessary for the in-home connection terminal to have a plurality of ports corresponding to a plurality of external connection terminals.
[0121]
Further, since the home connection terminal does not need to have a function as a server, it may have a simple configuration and does not necessarily have high specifications. For example, when the WEB terminal is a mobile phone and the in-home terminal is an air conditioner, the operation of the air conditioner in the home can be controlled from a remote place by a mobile phone. Will be able to.
[0122]
The first access terminal described in the claims corresponds to, for example, the in-home connection terminal 2, the second access terminal corresponds to, for example, the external connection terminal 4 or the WEB terminal 7, and the third terminal refers to, for example, in-home It corresponds to the terminal 3. Further, the authentication means described in the claims corresponds to, for example, the authentication function of the in-network system 1, and the (first and second) virtual logical path setting means includes, for example, the authentication function of the in-network system 1, the packet distribution function, etc. Equivalent to. Further, in the claims, a part of the in-home terminal 3, the in-home connection terminal 2, the in-network system 1, the external connection terminal 4, and the WEB terminal 7 are appropriately combined to form a communication system.
[0123]
However, it is not limited to these relationships.
[0124]
The embodiment of the present invention has been described above, but the present invention is not limited to this, and various improvements and changes can be made without departing from the spirit of the present invention.
[0125]
For example, as an encapsulation technique, an example in which IPsec, EtherIP, or the like is applied in the above-described embodiment has been described. However, the present invention is not limited to this, and PPTP, L2TP, Layer 2 Various protocols such as MPLS, which is the third tunneling protocol, can be employed.
[0126]
It should be noted that the present invention includes a method, a computer program, and an invention as a recording medium on which the program is recorded, relating to the operation of the communication system according to the first to sixth embodiments, which is performed by the in-network system. Of course.
[0127]
【The invention's effect】
As described above in detail, according to the present invention, authentication at a home terminal, home server, etc. is unnecessary, the maintenance burden on the user is reduced, and authentication is performed and managed by the management device. Thus, it is possible to provide a management device and a communication system capable of enhancing security.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a management device and a communication system using the same according to a first embodiment of the present invention.
FIG. 2 is a flowchart showing a flow of layer 2 communication in the communication system according to the first embodiment of the present invention.
FIG. 3 is a flowchart for explaining in more detail the “authentication”, “information exchange regarding virtual path”, and “virtual path setting” in FIG. 2;
FIG. 4 is a flowchart showing a flow of layer 2 communication in the communication system according to the second embodiment of the present invention.
FIG. 5 is a diagram showing a configuration of a communication system according to a second embodiment of the present invention.
FIG. 6 is a diagram for explaining specific packet transfer;
FIG. 7 is a flowchart for explaining in detail the flow of layer 2 communication by the communication system according to the third embodiment of the present invention;
FIG. 8 is a flowchart for explaining in detail the flow of layer 2 communication by the communication system according to the fourth embodiment of the present invention;
FIG. 9 is a diagram illustrating a configuration of a management device and a communication system using the same according to a fifth embodiment of the present invention.
FIG. 10 is a diagram showing a state in which the in-network system 1 is connected to a plurality of home connection terminals 2a, 2b, 2c... And a plurality of external connection terminals 4a, 4b, 4c.
FIG. 11 is a flowchart illustrating in detail a flow of layer 2 communication by the communication system according to the fifth embodiment of the present invention.
FIG. 12 is a diagram for explaining proxy conversion in detail.
FIG. 13 is a flowchart for explaining in detail the flow of layer 2 communication by the communication system according to the sixth embodiment of the present invention;
FIG. 14 is a diagram for explaining proxy conversion in detail.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... In-network system, 2 ... In-home connection terminal, 3 ... In-home terminal, 4 ... External connection terminal, 5 ... Layer 3 network, 6 ... Layer 2 segment, 7 ... -WEB terminal, 8 ... terminal side converter.

Claims (23)

第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、
上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で第1の仮想論理パスを構築する第1の仮想論理パス設定手段と、
上記認証手段による判断の結果、上記第2のアクセス端末によるアクセスを許可する場合には、当該第2のアクセス端末との間で第2の仮想論理パスを構築する第2の仮想論理パス2設定手段と、
を有する管理装置により、
上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、
ことを特徴とする通信システム。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
If access by the first access terminal is permitted as a result of the determination by the authentication means, first virtual logical path setting means for constructing a first virtual logical path with the first access terminal When,
If the access by the second access terminal is permitted as a result of the determination by the authentication means, the second virtual logical path 2 setting for constructing the second virtual logical path with the second access terminal Means,
By a management device having
Enabling layer 2 communication or layer 3 communication configured with one subnet between the first access terminal and the second access terminal;
A communication system characterized by the above. 上記第1のアクセス端末は、第3の端末との間の物理パスと管理装置との間の第1の仮想論理パスとをブリッジ接続する機能を有しており、
当該機能により、上記第3の端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを更に特徴とする請求項1に記載の通信システム。The first access terminal has a function of bridge-connecting the physical path between the third terminal and the first virtual logical path between the management devices,
The function further enables layer 2 communication or layer 3 communication configured by one subnet between the third terminal and the second access terminal. Communication system. 上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項1又は2のいずれかに記載の通信システム。3. The communication system according to claim 1, wherein encrypted data is communicated in at least a part of the layer 2 communication or the layer 3 communication configured by one subnet. 上記第3の端末と上記第1のアクセス端末との間の物理パスは常時接続されていることを更に特徴とする請求項2又は3のいずれかに記載の通信システム。4. The communication system according to claim 2, wherein a physical path between the third terminal and the first access terminal is always connected. 5. 上記第1の仮想論理パスは上記第1のアクセス端末の電源がオンである限り常時接続されていることを更に特徴とする請求項1乃至4のいずれかに記載の通信システム。5. The communication system according to claim 1, wherein the first virtual logical path is always connected as long as the power of the first access terminal is on. 6. 第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、
上記認証手段による判断の結果、上記第1のアクセス端末及び第2のアクセス端末によるアクセスの両方を許可する場合には、当該第1のアクセス端末と上記第2のアクセス端末との間で仮想論理パスを構築するように指示をする仮想論理パス設定指示手段と、
を有する管理装置により、
上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、
ことを特徴とする通信システム。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
As a result of the determination by the authentication means, when both the access by the first access terminal and the second access terminal are permitted, a virtual logic is generated between the first access terminal and the second access terminal. Virtual logical path setting instruction means for instructing to construct a path;
By a management device having
Enabling layer 2 communication or layer 3 communication configured with one subnet between the first access terminal and the second access terminal;
A communication system characterized by the above. 上記第1のアクセス端末は、第3の端末との間の物理パスと上記第2のアクセス端末との間の仮想論理パスとをブリッジ接続する機能を有しており、当該機能により、上記第3の端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とする、ことを更に特徴とする請求項6に記載の通信システム。The first access terminal has a function of bridge-connecting a physical path to the third terminal and a virtual logical path to the second access terminal. 7. The communication system according to claim 6, further comprising: enabling layer 2 communication or layer 3 communication configured with one subnet between the third terminal and the second access terminal. 上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項6又は7のいずれかに記載の通信システム。8. The communication system according to claim 6, further comprising communicating encrypted data in at least a part of the layer 2 communication or the layer 3 communication configured by one subnet. 上記第3の端末と上記第1のアクセス端末との間の物理パスは常時接続されていることを更に特徴とする請求項6乃至8のいずれかに記載の通信システム。9. The communication system according to claim 6, further comprising a physical path that is always connected between the third terminal and the first access terminal. 上記レイヤ2通信は、イーサーネット又はファストイーサーネットを意味することを更に特徴とする請求項1乃至9のいずれかに記載の通信システム。10. The communication system according to claim 1, wherein the layer 2 communication means an Ethernet or a fast Ethernet. 第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、
上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で仮想論理パスを構築する仮想論理パス設定手段と、
上記第1のアクセス端末と上記第2のアクセス端末との間のデータ通信においてプロキシ機能によりデータの中継を行うプロキシ手段と、
を有する管理装置により、
上記第1のアクセス端末と上記第2のアクセス端末との間でデータ通信を可能とすることを特徴とする通信システム。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
As a result of the determination by the authentication means, when the access by the first access terminal is permitted, a virtual logical path setting means for constructing a virtual logical path with the first access terminal;
Proxy means for relaying data by a proxy function in data communication between the first access terminal and the second access terminal;
By a management device having
A communication system, wherein data communication is enabled between the first access terminal and the second access terminal. 上記第1のアクセス端末と同種の端末を複数有しており、
上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能とを有する、ことを更に特徴とする請求項11に記載の通信システム。A plurality of terminals of the same type as the first access terminal,
The proxy means recognizes an identifier based on an identifier discriminating function for discriminating an identifier assigned to a virtual logical path and URL information added to data from the second access terminal, and selects a virtual logical path. The communication system according to claim 11, further comprising a path selection function. 上記第1のアクセス端末は、第3の端末との間の物理パスと管理装置との間の仮想論理パスとをブリッジ接続する機能を有しており、当該機能により、上記第3の端末と上記第2のアクセス端末との間でデータ通信を可能とする、ことを更に特徴とする請求項11に記載の通信システム。The first access terminal has a function of bridge-connecting a physical path to the third terminal and a virtual logical path to the management apparatus, and the function allows the first access terminal to The communication system according to claim 11, further comprising enabling data communication with the second access terminal. 上記第1のアクセス端末と同種の端末を複数有しており、
上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき上記第3の端末を選択する第3の端末選択機能とを有する、
ことを更に特徴とする請求項13に記載の通信システム。A plurality of terminals of the same type as the first access terminal,
The proxy means recognizes an identifier based on an identifier discriminating function for discriminating an identifier assigned to a virtual logical path and URL information added to data from the second access terminal, and selects a virtual logical path. A path selection function, and a third terminal selection function for selecting the third terminal based on URL information added to data from the second access terminal.
14. The communication system according to claim 13, further characterized by: 上記第1のアクセス端末と上記管理装置間、或いは上記第3の端末と上記管理装置間のデータ通信は、レイヤ2通信、或いは1つのサブネットで構成されたレイヤ3通信であることを更に特徴とする請求項11乃至14のいずれかに記載の通信システム。Further, the data communication between the first access terminal and the management apparatus or between the third terminal and the management apparatus is layer 2 communication or layer 3 communication configured by one subnet. The communication system according to any one of claims 11 to 14. 第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、
上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で第1の仮想論理パスを構築する第1の仮想論理パス設定手段と、
上記認証手段による判断の結果、上記第2のアクセス端末によるアクセスを許可する場合には、当該第2のアクセス端末との間で第2の仮想論理パスを構築する第2の仮想論理パス2設定手段と、
を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする管理装置。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
If access by the first access terminal is permitted as a result of the determination by the authentication means, first virtual logical path setting means for constructing a first virtual logical path with the first access terminal When,
If the access by the second access terminal is permitted as a result of the determination by the authentication means, the second virtual logical path 2 setting for constructing the second virtual logical path with the second access terminal Means,
And at least a part of data communication enables layer 2 communication or layer 3 communication configured by one subnet between the first access terminal and the second access terminal. Management device. 第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、
上記認証手段による判断の結果、上記第1のアクセス端末及び第2のアクセス端末によるアクセスの両方を許可する場合には、当該第1のアクセス端末と上記第2のアクセス端末との間で仮想論理パスを構築するように指示をする仮想論理パス設定指示手段と、
を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でレイヤ2通信又は1つのサブネットで構成されたレイヤ3通信を可能とすることを特徴とする管理装置。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
As a result of the determination by the authentication means, when both the access by the first access terminal and the second access terminal are permitted, a virtual logic is generated between the first access terminal and the second access terminal. Virtual logical path setting instruction means for instructing to construct a path;
And at least a part of data communication enables layer 2 communication or layer 3 communication configured by one subnet between the first access terminal and the second access terminal. Management device. 第1のアクセス端末及び第2のアクセス端末からの認証要求に基づいて、これら端末のアクセス可否を判断する認証手段と、
上記認証手段による判断の結果、上記第1のアクセス端末によるアクセスを許可する場合には、当該第1のアクセス端末との間で仮想論理パスを構築する仮想論理パス設定手段と、
上記第1のアクセス端末と上記第2のアクセス端末との間のデータ通信においてプロキシ機能によりデータの中継を行うプロキシ手段と、
を有し、データ通信の少なくとも一部が上記第1のアクセス端末と上記第2のアクセス端末との間でデータ通信を可能とすることを特徴とする管理装置。Authentication means for determining whether or not the terminals can be accessed based on authentication requests from the first access terminal and the second access terminal;
As a result of the determination by the authentication means, when the access by the first access terminal is permitted, a virtual logical path setting means for constructing a virtual logical path with the first access terminal;
Proxy means for relaying data by a proxy function in data communication between the first access terminal and the second access terminal;
And at least a part of the data communication enables data communication between the first access terminal and the second access terminal. 上記第1のアクセス端末と同種の複数の端末と通信自在である場合において、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能とを有する、ことを更に特徴とする請求項18に記載の管理装置。In the case where communication with a plurality of terminals of the same type as the first access terminal is possible, the proxy means includes an identifier determination function for determining an identifier assigned to a virtual logical path, and data from the second access terminal. 19. The management apparatus according to claim 18, further comprising a virtual logical path selection function for recognizing an identifier based on the URL information added to and selecting a virtual logical path. 上記第1のアクセス端末と同種の複数の端末と通信自在である場合において、上記プロキシ手段は、仮想論理パスに付与された識別子を判別する識別子判別機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき識別子を認識し仮想論理パスを選択する仮想論理パス選択機能と、上記第2のアクセス端末からのデータに付加されたURL情報に基づき上記第3の端末を選択する第3の端末選択機能とを有する、ことを更に特徴とする請求項18に記載の管理装置。In the case where communication with a plurality of terminals of the same type as the first access terminal is possible, the proxy means includes an identifier determination function for determining an identifier assigned to a virtual logical path, and data from the second access terminal. A virtual logical path selection function for recognizing an identifier based on URL information added to the URL and selecting a virtual logical path, and selecting the third terminal based on URL information added to data from the second access terminal. The management apparatus according to claim 18, further comprising a third terminal selection function. 上記第1のアクセス端末と上記管理装置間、或いは上記第3の端末と上記管理装置間のデータ通信は、レイヤ2通信、或いは1つのサブネットで構成されたレイヤ3通信であることを更に特徴とする請求項18乃至20のいずれかに記載の管理装置。Further, the data communication between the first access terminal and the management apparatus or between the third terminal and the management apparatus is layer 2 communication or layer 3 communication configured by one subnet. The management apparatus according to any one of claims 18 to 20. 上記レイヤ2通信は、イーサーネット又はファストイーサーネットを意味することを更に特徴とする請求項16乃至21のいずれかに記載の管理装置。The management apparatus according to any one of claims 16 to 21, wherein the layer 2 communication means Ethernet or fast Ethernet. 上記レイヤ2通信又は1つのサブネットで構成されたレイヤ3通信の少なくとも一部において、暗号化されたデータを通信することを更に特徴とする請求項16乃至21のいずれかに記載の管理装置。The management apparatus according to any one of claims 16 to 21, wherein encrypted data is communicated in at least a part of the layer 2 communication or the layer 3 communication configured by one subnet.
JP2003173314A 2003-06-18 2003-06-18 Management device and communication system Pending JP2005012424A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003173314A JP2005012424A (en) 2003-06-18 2003-06-18 Management device and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003173314A JP2005012424A (en) 2003-06-18 2003-06-18 Management device and communication system

Publications (1)

Publication Number Publication Date
JP2005012424A true JP2005012424A (en) 2005-01-13

Family

ID=34097172

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003173314A Pending JP2005012424A (en) 2003-06-18 2003-06-18 Management device and communication system

Country Status (1)

Country Link
JP (1) JP2005012424A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100786443B1 (en) 2005-05-20 2007-12-17 가부시키가이샤 히타치세이사쿠쇼 Encryption communication method and system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100786443B1 (en) 2005-05-20 2007-12-17 가부시키가이샤 히타치세이사쿠쇼 Encryption communication method and system

Similar Documents

Publication Publication Date Title
US10015046B2 (en) Methods and apparatus for a self-organized layer-2 enterprise network architecture
US8458359B2 (en) System for the internet connections, and server for routing connection to a client machine
EP1753180B1 (en) Server for routing a connection to a client device
EP2725829B1 (en) Common control protocol for wired and wireless nodes
Guichard et al. MPLS and VPN architectures
JP3688282B2 (en) Server for routing connections to client devices
JP4495049B2 (en) Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device
JP2005012424A (en) Management device and communication system
US20200287868A1 (en) Systems and methods for in-band remote management
Pepelnjak Mpls And Vpn Architectures (Volume Ii)
WO2022012355A1 (en) Secure communication method, related apparatus, and system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050719

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050916

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060228