JP2007295546A - Method, device and system for information management, and data relay device - Google Patents
Method, device and system for information management, and data relay device Download PDFInfo
- Publication number
- JP2007295546A JP2007295546A JP2007080016A JP2007080016A JP2007295546A JP 2007295546 A JP2007295546 A JP 2007295546A JP 2007080016 A JP2007080016 A JP 2007080016A JP 2007080016 A JP2007080016 A JP 2007080016A JP 2007295546 A JP2007295546 A JP 2007295546A
- Authority
- JP
- Japan
- Prior art keywords
- information management
- information
- address information
- management device
- data relay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title description 9
- 230000004044 response Effects 0.000 claims abstract description 78
- 238000004891 communication Methods 0.000 claims abstract description 37
- 238000007726 management method Methods 0.000 claims description 410
- 230000000737 periodic effect Effects 0.000 claims 1
- 230000008859 change Effects 0.000 abstract description 23
- 238000010276 construction Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 31
- 238000012545 processing Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 21
- 230000005540 biological transmission Effects 0.000 description 6
- 230000005641 tunneling Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 102100039250 Essential MCU regulator, mitochondrial Human genes 0.000 description 1
- 101000813097 Homo sapiens Essential MCU regulator, mitochondrial Proteins 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Abstract
Description
本発明は、不定なアドレス情報が割り当てられた情報管理装置とデータ中継装置間に介在する公衆網に論理的なトンネルを確立させ、データ通信を行うためのピアアドレス情報を、共有して管理する情報管理方法、情報管理装置、データ中継装置および情報管理システムに関するものである。 The present invention establishes a logical tunnel in a public network interposed between an information management apparatus to which indefinite address information is assigned and a data relay apparatus, and shares and manages peer address information for performing data communication. The present invention relates to an information management method, an information management device, a data relay device, and an information management system.
従来、DNS(Domain Name System)機能を利用し、ネットワークを構成するデータ中継装置としてのルータとアドレス管理用の情報管理装置としてのDNSサーバ間でMACアドレス情報をもとに特定の認証用パスワードを作成し、上記認証用パスワードを通信して認証を行った後、DNSサーバから通信に必要なアドレス情報を取得し、上記ネットワークを介してデータ通信を行うシステムがあった。 Conventionally, a specific authentication password is used based on MAC address information between a router as a data relay device constituting a network and a DNS server as an address management information management device using a DNS (Domain Name System) function. There has been a system that creates and communicates the authentication password and performs authentication, then acquires address information necessary for communication from a DNS server, and performs data communication via the network.
しかしながら、ネットワークを構成する全てのルータとDNSサーバを示すピアアドレス情報が一時的に特定されるが動的に変更されるピアアドレス(以下、「不定アドレス」という)情報であると、IPsec通信を行うことができない。すなわち、ルータがDNSサーバに接続するためには、DNSサーバのピアアドレス情報が必要であるが、このピアアドレス情報が動的に変更されるため、DNSサーバのピアアドレス情報が変更されるたびに、ルータの設定を変更する必要がある。この場合、ルータは変更されたDNSサーバのピアアドレス情報がわからないため、その都度オペレータが電話などを利用してDNSサーバのピアアドレス情報を確認する必要があり、確認動作が煩雑になっていた。そこで、変更されることのない固定のピアアドレス情報が割り当てられたDNSサーバを少なくとも1台公衆網に設置し、各ルータに与えられる不定のピアアドレスを各ルータが動的にDNSサーバに登録させ(ルータが、不定アドレスを動的にDNSサーバに登録させるダイナミックDNSの機能を有してクライアント動作を行う)、ルータは、最初にこのDNSサーバとトンネルを確立させて、データ通信の相手先ルータのピアアドレス情報を問い合わせるサービスが考えられるが、このサービスでは、DNSサーバのピアアドレスが固定であることが前提であり、割り当てるべきアドレス情報が不足していると、固定アドレスの割り当てが困難になるとともに、この固定アドレスの提供を受けるサービスは費用が嵩むという問題があった。 However, if the peer address information indicating all routers and DNS servers constituting the network is temporarily specified but dynamically changed peer address (hereinafter referred to as “indefinite address”) information, I can't do it. In other words, in order for the router to connect to the DNS server, the peer address information of the DNS server is necessary, but since this peer address information is dynamically changed, every time the peer address information of the DNS server is changed. Need to change the router settings. In this case, since the router does not know the changed peer address information of the DNS server, it is necessary for the operator to check the peer address information of the DNS server by using a telephone or the like every time, and the confirmation operation becomes complicated. Therefore, at least one DNS server to which fixed peer address information that does not change is assigned is installed in the public network, and each router dynamically registers an indefinite peer address given to each router in the DNS server. (The router performs a client operation with a dynamic DNS function for dynamically registering an indefinite address in the DNS server.) The router first establishes a tunnel with this DNS server, and a destination router for data communication. In this service, it is assumed that the DNS address of the DNS server is fixed. If there is insufficient address information to be assigned, it is difficult to assign a fixed address. At the same time, there is a problem that the service receiving this fixed address is expensive. .
本発明は、上記に鑑みてなされたものであって、状況や環境の変化により変更されるピアアドレス情報を、動的に学習し、情報管理装置やデータ中継装置自身の設定情報に反映させることができる情報管理方法、情報管理装置、データ中継装置および情報管理システムを提供することを目的とする。 The present invention has been made in view of the above, and dynamically learns peer address information that is changed according to a change in a situation or an environment, and reflects it in setting information of an information management device or a data relay device itself. An object of the present invention is to provide an information management method, an information management device, a data relay device, and an information management system.
上述した課題を解決し、目的を達成するために、本発明にかかる情報管理方法は、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される複数の情報管理装置とデータ中継装置とが公衆網に接続されるとともに、各情報管理装置とデータ中継装置間に介在する前記公衆網に論理的なトンネルを確立させてセキュリティ網を構成し、前記データ中継装置がデータ中継を行うための情報を、各情報管理装置が共有して管理するとともに、前記トンネルを介した前記データ中継装置の問い合わせに応じて前記データ中継を行うための情報を提供する情報管理方法において、前記情報管理装置および前記データ中継装置が、各情報管理装置を示すピアアドレス情報を登録する第1の登録ステップと、前記情報管理装置が、各情報管理装置を示すピアアドレス情報が登録された他の前記情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信し、該アドレス情報を受信した前記他の情報管理装置が、該アドレス情報をもとに前記登録されたピアアドレス情報を更新する第1の更新ステップと、前記データ中継装置が、前記トンネルを介して前記データ中継を行うための情報を問い合わせた情報管理装置から応答がない場合に、前記情報管理装置以外の他の前記情報管理装置と前記トンネルを確立させて接続して、前記他の情報管理装置に前記情報管理装置を示すピアアドレス情報を問い合わせ、前記他の情報管理装置が前記データ中継装置からの問い合わせに応じて、前記登録されたピアアドレス情報の中から該当する前記情報管理装置を示すピアアドレス情報を送信して提供する第1の提供ステップと、を含むことを特徴とする。 In order to solve the above-described problems and achieve the object, an information management method according to the present invention includes a plurality of information management devices and data set to indefinite address information in which address information indicating itself is temporarily specified. A relay device is connected to the public network, and a security tunnel is formed by establishing a logical tunnel in the public network interposed between each information management device and the data relay device, and the data relay device relays data. In the information management method for sharing information to be managed by each information management apparatus and providing information for performing the data relay in response to an inquiry from the data relay apparatus via the tunnel, the information A first registration step in which the management device and the data relay device register peer address information indicating each information management device; and Establishing and connecting to the other information management device in which the peer address information indicating the management device is registered, and transmitting the address information indicating the self periodically and receiving the other address information A first update step in which the information management device updates the registered peer address information based on the address information; and the data relay device inquires about information for performing the data relay through the tunnel. When there is no response from the information management device, peer address information indicating the information management device to the other information management device by establishing a connection with the other information management device other than the information management device The other information management device responds to the inquiry from the data relay device, and the corresponding information from the registered peer address information. A first providing step of providing sending peer address information indicating a management apparatus, characterized in that it comprises a.
また、本発明にかかる情報管理方法は、上記発明において、前記データ中継装置が、前記第1の提供ステップで提供された前記ピアアドレス情報をもとに、前記登録されたピアアドレス情報を更新する第2の更新ステップを、さらに含むことを特徴とする。 In the information management method according to the present invention, in the above invention, the data relay device updates the registered peer address information based on the peer address information provided in the first provision step. The method further includes a second update step.
また、本発明にかかる情報管理方法は、上記発明において、前記データ中継装置が、前記情報管理装置と前記トンネルを確立させて接続して、定期的に該情報管理装置以外の他の情報管理装置を示すピアアドレス情報を問い合わせ、前記情報管理装置が前記データ中継装置からの問い合わせに応じて、前記登録されたピアアドレス情報の中から該当する前記他の情報管理装置を示すピアアドレス情報を送信して提供する第2の提供ステップと、前記データ中継装置が、前記第2の提供ステップで提供された前記ピアアドレス情報をもとに、前記登録されたピアアドレス情報を更新する第3の更新ステップと、をさらに含むことを特徴とする。 The information management method according to the present invention is the information management method according to the present invention, wherein the data relay device establishes a connection with the information management device and connects to the information management device, and periodically other information management devices other than the information management device. The information management device transmits peer address information indicating the corresponding other information management device from among the registered peer address information in response to the inquiry from the data relay device. And a third updating step in which the data relay device updates the registered peer address information based on the peer address information provided in the second providing step. And further including.
また、本発明にかかる情報管理方法は、上記発明において、前記データ中継装置が、各情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を送信し、該アドレス情報を受信した各情報管理装置が、前記アドレス情報をピアアドレス情報として登録する第2の登録ステップを、さらに含むことを特徴とする。 In the information management method according to the present invention, in the above invention, the data relay device establishes and connects to each information management device and transmits the address information indicating the self, Each of the received information management devices further includes a second registration step of registering the address information as peer address information.
また、本発明にかかる情報管理方法は、上記発明において、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される複数の情報管理装置、網終端装置およびデータ中継装置が公衆網に接続され、かつ各情報管理装置、各網終端装置および各データ中継装置間に介在する前記公衆網に論理的なトンネルを確立させてセキュリティ網を構成するとともに、前記網終端装置に情報管理装置が接続されており、前記データ中継装置がデータ中継を行うための情報を、各情報管理装置が共有して管理するとともに、前記トンネルを介した前記データ中継装置の問い合わせに応じて前記データ中継を行うための情報を提供する情報管理方法において、各情報管理装置、各網終端装置および各データ中継装置が、各情報管理装置および各網終端装置を示すピアアドレス情報を登録する第1の登録ステップと、前記情報管理装置および網終端装置が、各情報管理装置および各網終端装置を示すピアアドレス情報が登録された他の前記情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信し、該アドレス情報を受信した前記他の情報管理装置および網終端装置が、該アドレス情報をもとに前記登録されたピアアドレス情報を更新する第1の更新ステップと、前記データ中継装置が、前記トンネルを介して前記データ中継を行うための情報を問い合わせた、網終端装置に接続された情報管理装置から応答がない場合に、前記情報管理装置以外の他の前記情報管理装置と前記トンネルを確立させて接続して、前記他の情報管理装置に、前記情報管理装置が接続された前記網終端装置を示すピアアドレス情報を問い合わせ、前記他の情報管理装置が前記データ中継装置からの問い合わせに応じて、前記登録されたピアアドレス情報の中から該当する前記網終端装置を示すピアアドレス情報を送信して提供する第1の提供ステップと、を含むことを特徴とする。 The information management method according to the present invention is the information management method according to the present invention, wherein a plurality of information management devices, network termination devices, and data relay devices set to indefinite address information in which address information indicating itself is temporarily specified are public. A security tunnel is configured by establishing a logical tunnel in the public network that is connected to the network and is interposed between each information management device, each network termination device, and each data relay device, and information management in the network termination device Devices are connected, information for relaying data by the data relay device is shared and managed by each information management device, and the data relay is performed in response to an inquiry from the data relay device via the tunnel In the information management method for providing information for performing information, each information management device, each network terminating device, and each data relay device is connected to each information management device and each data management device. A first registration step of registering peer address information indicating each network termination device, and the information management device and the network termination device in which the other peer address information indicating each information management device and each network termination device is registered Establishing and connecting the information management device to the tunnel, periodically transmitting address information indicating the self, and receiving the address information, the other information management device and the network termination device receive the address information. A first updating step for updating the registered peer address information, and information connected to a network terminating device, in which the data relay device inquires about information for performing the data relay through the tunnel. When there is no response from the management device, the tunnel is established and connected to the other information management device other than the information management device, and the other information management device is connected to the previous information management device. Queries peer address information indicating the network terminating device to which the information management device is connected, and the other information management device responds to the inquiry from the data relay device, and the corresponding peer address information is among the registered peer address information. And a first providing step of transmitting and providing peer address information indicating the network terminating device.
また、本発明にかかる情報管理方法は、上記発明において、前記データ中継装置が、前記第1の提供ステップで提供された前記ピアアドレス情報をもとに、前記登録されたピアアドレス情報を更新する第2の更新ステップを、さらに含むことを特徴とする。 In the information management method according to the present invention, in the above invention, the data relay device updates the registered peer address information based on the peer address information provided in the first provision step. The method further includes a second update step.
また、本発明にかかる情報管理方法は、上記発明において、前記データ中継装置が、前記情報管理装置と前記トンネルを確立させて接続して、定期的に該情報管理装置以外の他の情報管理装置または前記情報管理装置が接続された網終端装置を示すピアアドレス情報を問い合わせ、前記情報管理装置が前記データ中継装置からの問い合わせに応じて、前記登録されたピアアドレス情報の中から該当する前記他の情報管理装置または網終端装置を示すピアアドレス情報を送信して提供する第2の提供ステップと、前記データ中継装置が、前記第2の提供ステップで提供された前記ピアアドレス情報をもとに、前記登録されたピアアドレス情報を更新する第3の更新ステップと、をさらに含むことを特徴とする。 The information management method according to the present invention is the information management method according to the present invention, wherein the data relay device establishes a connection with the information management device and connects to the information management device, and periodically other information management devices other than the information management device. Or inquiring peer address information indicating a network terminating device to which the information management device is connected, and the information management device responds to the inquiry from the data relay device, and the other corresponding to the registered peer address information. A second provision step of transmitting and providing peer address information indicating the information management device or network termination device of the network, and the data relay device based on the peer address information provided in the second provision step And a third update step of updating the registered peer address information.
また、本発明にかかる情報管理方法は、上記発明において、前記データ中継装置が、各情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を送信し、該アドレス情報を受信した各情報管理装置が、前記アドレス情報をピアアドレス情報として登録する第2の登録ステップを、さらに含むことを特徴とする。 In the information management method according to the present invention, in the above invention, the data relay device establishes and connects to each information management device and transmits the address information indicating the self, Each of the received information management devices further includes a second registration step of registering the address information as peer address information.
また、本発明にかかる情報管理装置は、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される少なくとも1つの他の情報管理装置と複数のデータ中継装置とに公衆網を介して接続されるとともに、自己と前記他の情報管理装置およびデータ中継装置間に介在する前記公衆網に論理的なトンネルを確立させてセキュリティ網を構成し、前記データ中継装置がデータ中継を行うための情報を、前記他の各情報管理装置と共有して管理するとともに、前記トンネルを介した前記データ中継装置の問い合わせに応じて前記データ中継を行うための情報を提供する情報管理装置において、各情報管理装置を示すピアアドレス情報を登録する第1の登録手段と、各情報管理装置を示すピアアドレス情報が登録された他の前記情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信するとともに、前記他の情報管理装置から定期的に送信される該他の情報管理装置を示すピアアドレス情報を受信し、該ピアアドレス情報をもとに前記第1の登録手段で登録されたピアアドレス情報を更新する第1の更新手段と、前記接続されたデータ中継装置から受信した前記他の情報管理装置を示すピアアドレス情報の問い合わせに応じて、前記第1の登録手段で登録されたピアアドレス情報の中から該当する前記他の情報管理装置を示すピアアドレス情報を検索し、前記データ中継装置に送信して提供する第1の提供手段と、を備えることを特徴とする。 Also, the information management device according to the present invention provides a public network to at least one other information management device and a plurality of data relay devices set to indefinite address information in which address information indicating itself is temporarily specified. A security tunnel is established by establishing a logical tunnel in the public network interposed between itself, the other information management device and the data relay device, and the data relay device relays data In the information management device that provides information for relaying the data in response to an inquiry from the data relay device via the tunnel, while managing the information for sharing with the other information management devices First registration means for registering peer address information indicating each information management device, and the other information in which peer address information indicating each information management device is registered A peer address indicating the other information management apparatus periodically transmitted from the other information management apparatus and periodically transmitting address information indicating the self by establishing a connection with the management apparatus and connecting Receiving the information and updating the peer address information registered by the first registration means based on the peer address information; and the other information received from the connected data relay device In response to an inquiry about the peer address information indicating the management device, the peer address information indicating the corresponding other information management device is searched from the peer address information registered by the first registration means, and the data relay device First providing means for transmitting and providing the information.
また、本発明にかかる情報管理装置は、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される少なくとも1つの他の情報管理装置、複数の網終端装置およびデータ中継装置に公衆網を介して接続されるとともに、自己と前記他の情報管理装置、網終端装置およびデータ中継装置間に介在する前記公衆網に論理的なトンネルを確立させてセキュリティ網を構成し、前記データ中継装置がデータ中継を行うための情報を、前記他の情報管理装置と共有して管理するとともに、前記トンネルを介した前記データ中継装置の問い合わせに応じて前記データ中継を行うための情報を提供する情報管理装置において、前記他の情報管理装置および各網終端装置を示すピアアドレス情報を登録する第1の登録手段と、各情報管理装置および各網終端装置を示すピアアドレス情報が登録された前記他の情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信するとともに、前記他の情報管理装置または前記網終端装置から定期的に送信される該他の情報管理装置または該網終端装置を示すアドレス情報を受信し、該アドレス情報をもとに前記第1の登録手段で登録されたピアアドレス情報を更新する第1の更新手段と、前記接続されたデータ中継装置から受信した前記網終端装置を示すピアアドレス情報の問い合わせに応じて、前記第1の登録手段で登録されたピアアドレス情報の中から該当する前記網終端装置を示すピアアドレス情報を検索し、前記データ中継装置に送信して提供する第1の提供手段と、を備えることを特徴とする。 The information management apparatus according to the present invention includes at least one other information management apparatus, a plurality of network termination apparatuses, and a data relay apparatus that are set to indefinite address information in which address information indicating itself is temporarily specified. A security network is constructed by establishing a logical tunnel in the public network that is connected via the public network and that is interposed between itself and the other information management device, the network termination device, and the data relay device. Information for relaying data to be relayed is shared and managed with the other information management device, and information for relaying data is provided in response to an inquiry from the data relay device via the tunnel A first registration unit for registering peer address information indicating the other information management device and each network termination device, and each information management device. And the other information management device in which the peer address information indicating each network terminating device is registered to establish and connect the tunnel, and periodically transmit the address information indicating the self, and the other information management Receiving the address information indicating the other information management device or the network terminating device periodically transmitted from the device or the network terminating device, and registering with the first registration means based on the address information Peer address information registered by the first registration means in response to an inquiry of peer address information indicating the network termination device received from the connected data relay device and first update means for updating address information And first providing means for retrieving peer address information indicating the corresponding network termination device from the network, and transmitting and providing the peer address information to the data relay device. That.
また、本発明にかかるデータ中継装置は、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される複数の情報管理装置と他のデータ中継装置とに公衆網を介して接続されるとともに、自己と各情報管理装置および前記他のデータ中継装置間に介在する前記公衆網に論理的なトンネルを確立させてセキュリティ網を構成し、各情報管理装置が共有して管理するデータ通信を行うための情報を、各情報管理装置に問い合わせるデータ中継装置において、各情報管理装置を示すピアアドレス情報を登録する第2の登録手段と、前記トンネルを介して前記データ中継を行うための情報を問い合わせた情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、該情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記情報管理装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第2の更新手段と、を備えることを特徴とする。 Further, the data relay device according to the present invention is connected to a plurality of information management devices set to indefinite address information in which address information indicating itself is temporarily specified and other data relay devices via a public network. In addition, the security network is configured by establishing a logical tunnel in the public network that is interposed between itself, each information management device and the other data relay device, and is shared and managed by each information management device In a data relay device that inquires each information management device for information for communication, a second registration means for registering peer address information indicating each information management device, and for performing the data relay via the tunnel If there is no response from the information management apparatus that inquired the information, the information management apparatus other than the information management apparatus is established and connected to the tunnel, and the information The peer address information indicating the management device is inquired, and in response to the inquiry, the peer registered in the second registration means based on the peer address information indicating the information management device provided from the other information management device. And second update means for updating the peer address information.
また、本発明にかかるデータ中継装置は、上記発明において、前記情報管理装置と前記トンネルを確立させて接続して、定期的に該情報管理装置以外の他の情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記情報管理装置から提供された前記他の情報管理装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第3の更新手段を、さらに備えることを特徴とする。 In the data relay device according to the present invention, in the above invention, peer address information indicating other information management devices other than the information management device is periodically connected by establishing a connection with the information management device and connecting the tunnel. Inquiry and updating the peer address information registered by the second registration means based on peer address information indicating the other information management device provided from the information management device in response to the inquiry. The update means is further provided.
また、本発明にかかるデータ中継装置は、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される複数の情報管理装置、網終端装置および他のデータ中継装置に公衆網を介して接続されるとともに、自己と各情報管理装置、各網終端装置および前記他のデータ中継装置間に介在する前記公衆網に論理的なトンネルを確立させてセキュリティ網を構成し、データ通信を行うための情報を各情報管理装置に問い合わせるデータ中継装置において、各情報管理装置および各網終端装置を示すピアアドレス情報を登録する第2の登録手段と、前記トンネルを介して前記データ中継を行うための情報を問い合わせた、網終端装置に接続された情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記網終端装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記網終端装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第2の更新手段と、を備えることを特徴とする。 Also, the data relay device according to the present invention provides a public network for a plurality of information management devices, network termination devices and other data relay devices set to indefinite address information in which address information indicating itself is temporarily specified. And establishes a logical tunnel to the public network that intervenes between itself and each information management device, each network termination device and the other data relay device to form a security network, and to communicate data In the data relay device that inquires each information management device for information to be performed, the second relay means for registering peer address information indicating each information management device and each network terminating device, and the data relay via the tunnel When there is no response from the information management device connected to the network terminating device that inquires for information, the information management device other than the information management device and the information management device Establishing a connection and inquiring peer address information indicating the network termination device, and in response to the inquiry, based on the peer address information indicating the network termination device provided from the other information management device, And second update means for updating the peer address information registered by the second registration means.
また、本発明にかかるデータ中継装置は、上記発明において、前記情報管理装置と前記トンネルを確立させて接続して、定期的に該情報管理装置以外の他の情報管理装置または前記網終端装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記情報管理装置から提供された前記他の情報管理装置または網終端装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第3の更新手段を、さらに備えることを特徴とする。 In the data relay device according to the present invention, in the above invention, the information management device is established and connected to the tunnel, and another information management device other than the information management device or the network termination device is periodically connected. The peer address information indicated is inquired, and registered in the second registration means based on the peer address information indicating the other information management device or network termination device provided from the information management device in response to the inquiry. The apparatus further comprises third update means for updating the peer address information.
また、本発明にかかるデータ中継装置は、上記発明において、前記第2の登録手段は、不揮発性の記憶媒体からなることを特徴とする。 In the data relay apparatus according to the present invention as set forth in the invention described above, the second registration means is a non-volatile storage medium.
また、本発明にかかる情報管理システムは、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される複数の情報管理装置とデータ中継装置とが公衆網に接続されるとともに、各情報管理装置とデータ中継装置間に介在する前記公衆網に論理的なトンネルを確立させてセキュリティ網を構成し、前記データ中継装置がデータ中継を行うための情報を、各情報管理装置が共有して管理するとともに、前記トンネルを介した前記データ中継装置の問い合わせに応じて前記データ中継を行うための情報を提供する情報管理システムにおいて、前記情報管理装置は、各情報管理装置を示すピアアドレス情報を登録する第1の登録手段と、各情報管理装置を示すピアアドレス情報が登録された他の前記情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信するとともに、前記他の情報管理装置から定期的に送信される該他の情報管理装置を示すアドレス情報を受信し、該アドレス情報をもとに前記第1の登録手段で登録されたピアアドレス情報を更新する第1の更新手段と、前記接続されたデータ中継装置から受信した前記他の情報管理装置を示すアドレス情報の問い合わせに応じて、前記第1の登録手段で登録されたピアアドレス情報の中から該当する前記他の情報管理装置を示すピアアドレス情報を検索し、前記データ中継装置に送信して提供する第1の提供手段と、を備え、前記データ中継装置は、各情報管理装置を示すピアアドレス情報を登録する第2の登録手段と、前記トンネルを介して前記データ中継を行うための情報を問い合わせた情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、該情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記情報管理装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第2の更新手段と、を備えることを特徴とする。 In addition, the information management system according to the present invention is configured such that a plurality of information management devices and data relay devices set to indefinite address information in which address information indicating itself is temporarily specified are connected to a public network, A security network is configured by establishing a logical tunnel in the public network interposed between each information management device and the data relay device, and each information management device shares information for the data relay device to perform data relay And an information management system for providing information for performing the data relay in response to an inquiry from the data relay device via the tunnel, wherein the information management device includes a peer address indicating each information management device A first registration means for registering information, the other information management apparatus in which peer address information indicating each information management apparatus is registered, and the tunnel Establishing a connection, periodically transmitting address information indicating the self, receiving address information indicating the other information management device periodically transmitted from the other information management device, and receiving the address First update means for updating peer address information registered by the first registration means based on the information, and an inquiry of address information indicating the other information management apparatus received from the connected data relay apparatus In response, the peer address information indicating the corresponding other information management device is retrieved from the peer address information registered by the first registration means, and is transmitted to the data relay device and provided. Providing means, wherein the data relay device performs the data relay through the tunnel with a second registration means for registering peer address information indicating each information management device If there is no response from the information management apparatus that inquired about the information, the tunnel is established and connected to another information management apparatus other than the information management apparatus, the peer address information indicating the information management apparatus is inquired, and the inquiry Second updating means for updating the peer address information registered by the second registration means based on peer address information indicating the information management apparatus provided from the other information management apparatus according to It is characterized by providing.
また、本発明にかかる情報管理システムは、上記発明において、前記データ中継装置は、前記情報管理装置と前記トンネルを確立させて接続して、定期的に該情報管理装置以外の他の情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記情報管理装置から提供された前記他の情報管理装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第3の更新手段を、さらに備えることを特徴とする。 The information management system according to the present invention is the information management system according to the above invention, wherein the data relay device establishes and connects the tunnel to the information management device, and periodically other information management devices other than the information management device. The peer address registered by the second registration means based on peer address information indicating the other information management device provided from the information management device in response to the inquiry. A third update means for updating information is further provided.
また、本発明にかかる情報管理システムは、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される複数の情報管理装置、網終端装置およびデータ中継装置が公衆網に接続され、かつ各情報管理装置、前記網終端装置および前記データ中継装置間に介在する前記公衆網に論理的なトンネルを確立させてセキュリティ網を構成するとともに、前記網終端装置に情報管理装置が接続されており、前記データ中継装置がデータ中継を行うための情報を、各情報管理装置が共有して管理するとともに、前記トンネルを介した前記データ中継装置の問い合わせに応じて前記データ中継を行うための情報を提供する情報管理システムにおいて、前記情報管理装置は、前記他の情報管理装置および各網終端装置を示すピアアドレス情報を登録する第1の登録手段と、各情報管理装置および各網終端装置を示すピアアドレス情報が登録された前記他の情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を送信するとともに、前記他の情報管理装置または前記網終端装置から定期的に送信される該他の情報管理装置または該網終端装置を示すアドレス情報を受信し、該アドレス情報をもとに前記第1の登録手段で登録されたピアアドレス情報を更新する第1の更新手段と、前記接続されたデータ中継装置から受信した前記網終端装置を示すピアアドレス情報の問い合わせに応じて、前記第1の登録手段で登録されたピアアドレス情報の中から該当する前記網終端装置を示すピアアドレス情報を検索し、前記データ中継装置に送信して提供する第1の提供手段と、を備え、前記データ中継装置は、各情報管理装置および各網終端装置を示すピアアドレス情報を登録する第2の登録手段と、前記トンネルを介して前記データ中継を行うための情報を問い合わせた、網終端装置に接続された情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記網終端装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記網終端装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新し、または前記トンネルを介して前記データ中継を行うための情報を問い合わせた情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記情報管理装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第2の更新手段と、を備え、前記網終端装置は、前記情報管理装置およびデータ中継装置と前記トンネルを確立させて接続して、前記情報管理装置およびデータ中継装置と自己に接続された情報管理装置との間に通信される情報を中継する中継手段と、各情報管理装置および各網終端装置を示すピアアドレス情報を登録する第3の登録手段と、前記トンネルを介してピアアドレス情報を問い合わせた、他の網終端装置に接続された前記情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記他の網終端装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記他の網終端装置を示すピアアドレス情報をもとに、前記第3の登録手段で登録された前記ピアアドレス情報を更新し、または前記トンネルを介して前記ピアアドレス情報を問い合わせた情報管理装置への問い合わせに対する情報提供が得られない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記情報管理装置を示すピアアドレス情報をもとに、前記第3の登録手段で登録された前記ピアアドレス情報を更新する第4の更新手段と、を備えることを特徴とする。 In addition, the information management system according to the present invention includes a plurality of information management devices, network termination devices, and data relay devices that are set to indefinite address information in which address information indicating itself is temporarily specified. In addition, a logical tunnel is established in the public network interposed between each information management device, the network termination device and the data relay device to form a security network, and the information management device is connected to the network termination device. The information for the data relay device to relay data is shared and managed by each information management device, and the data relay is performed in response to an inquiry from the data relay device via the tunnel. In the information management system for providing information, the information management device includes peer address information indicating the other information management device and each network terminating device. An address indicating the self by establishing a connection with the first registration means for registering the information and the other information management device in which peer address information indicating each information management device and each network termination device is registered. Transmitting information, receiving address information indicating the other information management device or the network termination device periodically transmitted from the other information management device or the network termination device, and based on the address information In response to an inquiry of peer address information indicating the network termination device received from the connected data relay device, first update means for updating the peer address information registered by the first registration means, First, search for peer address information indicating the corresponding network termination device from among the peer address information registered by one registration means, and send the data to the data relay device for provision. Providing means, wherein the data relay device includes second registration means for registering peer address information indicating each information management device and each network terminating device, and information for performing the data relay via the tunnel. If there is no response from the information management device connected to the network termination device, a peer indicating the network termination device is established by establishing a connection with the other information management device other than the information management device. Inquires address information, and updates the peer address information registered by the second registration means based on peer address information indicating the network terminating device provided from the other information management device in response to the inquiry. Or when there is no response from the information management device that inquires about the information for performing the data relay through the tunnel, the information management device other than the information management device. Establishing and connecting to the physical device and the tunnel, inquiring peer address information indicating the information management device, and in response to the inquiry, peer address information indicating the information management device provided from the other information management device And second updating means for updating the peer address information registered by the second registration means, and the network terminating device establishes the tunnel with the information management device and the data relay device A relay means for relaying information communicated between the information management device and the data relay device and the information management device connected to the information management device and the data relay device, and a peer indicating each information management device and each network termination device. A response from the third registration means for registering address information, and the information management apparatus connected to another network terminating apparatus that inquired peer address information through the tunnel If not, connect the information management device other than the information management device by establishing the tunnel, inquire peer information indicating the other network termination device, and respond to the inquiry with the other information management device. The peer address information registered by the third registration means is updated based on the peer address information indicating the other network terminating device provided by the device, or the peer address information is updated via the tunnel. In the case where provision of information in response to the inquiry to the inquired information management apparatus is not obtained, the tunnel is established and connected with another information management apparatus other than the information management apparatus, and peer address information indicating the information management apparatus is obtained. The third information based on the peer address information indicating the information management device provided from the other information management device in response to the inquiry. A fourth updating means for updating the peer address information registered in the recording means, characterized in that it comprises a.
また、本発明にかかる情報管理システムは、上記発明において、前記データ中継装置は、前記情報管理装置と前記トンネルを確立させて接続して、定期的に該情報管理装置以外の他の情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記情報管理装置から提供された前記他の情報管理装置または網終端装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第3の更新手段を、さらに備え、前記網終端装置は、前記情報管理装置と前記トンネルを確立させて接続して、定期的に該情報管理装置以外の他の情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記情報管理装置から提供された前記他の情報管理装置または網終端装置を示すピアアドレス情報をもとに、前記第3の登録手段で登録された前記ピアアドレス情報を更新する第5の更新手段を、さらに備えることを特徴とする。 The information management system according to the present invention is the information management system according to the above invention, wherein the data relay device establishes and connects the tunnel to the information management device, and periodically other information management devices other than the information management device. Is registered by the second registration means based on the peer address information indicating the other information management device or network termination device provided from the information management device in response to the inquiry. And a third updating means for updating the peer address information, wherein the network terminating device establishes and connects the tunnel with the information management device, and periodically other than the information management device. Peer address information indicating an information management device is inquired, and a peer indicating the other information management device or network termination device provided from the information management device in response to the inquiry Based on dress information, the fifth update means for updating the third said peer address information registered in the registration means, characterized by further comprising.
本発明にかかる情報管理方法、情報管理装置、データ中継装置および情報管理システムは、自己を示すアドレス情報が一時的に特定される不定なアドレス情報に設定される複数の情報管理装置とデータ中継装置とが公衆網に接続されるとともに、各情報管理装置とデータ中継装置間に介在する公衆網に論理的なトンネルを確立させてセキュリティ網を構成し、情報管理装置が、他の情報管理装置と接続して、自己を示すアドレス情報を定期的に送信し、他の情報管理装置が、受信したアドレス情報をもとに登録されたピアアドレス情報を更新するとともに、データ中継を行うための情報を問い合わせた情報管理装置から該情報の提供が得られない場合に、データ中継装置が、他の情報管理装置と接続して、情報管理装置を示すピアアドレス情報を問い合わせて、他の情報管理装置から該当する情報管理装置を示すピアアドレス情報の提供を受けることで、状況や環境の変化により変更されるピアアドレス情報を、動的に学習し、情報管理装置やデータ中継装置自身の設定情報に反映させることができるという効果を奏する。 An information management method, an information management device, a data relay device, and an information management system according to the present invention include a plurality of information management devices and data relay devices in which address information indicating itself is set to indefinite address information. Are connected to the public network, and a security network is configured by establishing a logical tunnel in the public network interposed between each information management device and the data relay device. The information management device is connected to other information management devices. Connect and periodically send address information indicating itself, and other information management devices update the registered peer address information based on the received address information and also provide information for data relay When the information management apparatus that has inquired cannot provide the information, the data relay apparatus connects to another information management apparatus and displays peer address information indicating the information management apparatus. Information, and by receiving the peer address information indicating the corresponding information management device from another information management device, dynamically learning the peer address information that is changed according to changes in the situation and environment, the information management device And the data relay device itself can be reflected in the setting information.
以下に、本発明にかかる情報管理方法、情報管理装置、データ中継装置および情報管理システムの実施の形態を図面を参照して詳細に説明する。なお、本発明は、これらの実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。 Hereinafter, embodiments of an information management method, an information management device, a data relay device, and an information management system according to the present invention will be described in detail with reference to the drawings. The present invention is not limited to these embodiments, and various modifications can be made without departing from the scope of the present invention.
(実施の形態1)
図1は、本発明にかかる情報管理システムの実施の形態1の概略構成を示すシステム構成図である。図において、公衆網10には、情報管理装置である複数のDNSサーバ1,2と、データ中継装置であるルータ3,4が接続されており、これらDNSサーバ1,2とルータ3,4間には、IPsec通信が可能なようにトンネリング技術を利用して論理的なトンネルが確立されている。
(Embodiment 1)
FIG. 1 is a system configuration diagram showing a schematic configuration of
この公衆網10内には、IPアドレス情報の配布を行うインターネットプロバイダ20があり、これらDNSサーバ1,2およびルータ3,4のアドレス情報は、状況や環境の変化に伴ってインターネットプロバイダ20によって変更される不定のIPアドレス情報が割り当てられている。この情報管理システムでは、初期設定時にアドレス情報として、たとえばDNSサーバ1には、「AAAA::A」が、DNSサーバ2には、「BBBB::B」が、ルータ3には、「CCCC::C」が、ルータ4には、「DDDD::D」がそれぞれ割り当てられている。各DNSサーバ1,2は、自身に割り当てられたアドレスと、自身のホスト名を、DNS情報として後述するDNSメモリ部に登録する。また、ルータ3,4は、各DNSサーバ1,2に割り当てられたピアアドレス情報と、DNSサーバ1,2のホスト名を、アドレスキャッシュ情報として後述するアドレスキャッシュ部に登録する。レコードの属性は、たとえばNSレコードで、またIPアドレスであればAAAAレコードで登録する。また、DNSサーバ1,2には、たとえばVPNなどのネットワーク用のIPアドレス情報として、「192.168.0.1」と、「192.168.1.1」が固有にそれぞれ割り当てられている。
In this
DNSサーバ1,2は、公衆網10に確立したIPsecトンネルを介して定期的に他のDNSサーバと通信を行って、自己のアドレス情報を他のDNSサーバに登録させる動作を行うとともに、他のDNSサーバのピアアドレス情報をアドレスキャッシュ情報として登録する動作を行う。
The
DNSサーバ1,2は、データ中継を行うための情報としてルータ3,4のピアアドレス情報を共有して管理し、ルータ3,4からの問い合せに応じて、問い合せ対象のルータのピアアドレス情報を、トンネルを介して問い合せ先のルータに提供する。これらDNSサーバ1,2は、図2のブロック図に示すように、インターフェース部11と、第1の登録手段としてのデータベース12と、第1の更新手段としてのアドレス通知部13と、同じく第1の更新手段としてのアドレス通知受信処理部14と、アドレス解決を行う第1の提供手段としてのDNSアドレス解決部15とから構成されている。アドレス通知部13、アドレス通知受信処理部14およびDNSアドレス解決部15は、公衆網10に確立されたトンネルを介して他のDNSサーバ、ルータ3,4と接続され、これらの装置との間でデータ通信を可能にしている。すなわち、アドレス通知部13、アドレス通知受信処理部14およびDNSアドレス解決部15は、トンネリング技術を用いてIPsec通信を行うための暗号化処理を行う処理部を備えている。
The
データベース12は、DNSサーバのみが持つDNS情報で、たとえばドメイン名、IPsecのピアアドレス情報、認証情報などが登録されるDNSメモリ部12aと、たとえばDNSサーバのドメイン名と、DNSサーバと接続するために確立するIPsecのピアアドレス情報として使用するIPアドレス情報との組み合わせ情報が登録されるアドレスキャッシュ部12bと、DNSサーバの動作設定、他のDNSサーバおよびルータ3,4と接続、たとえばIPsec接続するための設定情報などを記憶するコンフィグメモリ部12cとから構成されている。このDNSメモリ部12aのDNS情報は、DNSサーバの要求に対して応答する際に参照されるもので、他のホスト(DNSサーバ)からの要求により登録されたDNS情報が動的に変更される。アドレスキャッシュ部12bは、不揮発性メモリからなり、全てのルータ3,4が学習するもので、DNSサーバでは、最初に他のDNSサーバにDNS登録を行うために利用される。コンフィグメモリ部12cは、不揮発性メモリからなり、コンソール(端末装置)からの設定により変更されるが、動的には変化しない。
The
インターフェース部11は、たとえば外部の図示しない情報入力部と接続されており、プロバイダなどによってこのインターフェース部11にアドレスが割り当てられており、DNSメモリ部12aには、自身のDNS情報として、割り当てられたIPアドレスと、自身のホスト名とが登録される。
The
アドレス通知部13は、他のDNSサーバに対して、インターフェース部11から入力する自身のアドレス情報(DNS情報)を通知する機能を有する。ここで、宛先情報となる他のDNSサーバのピアアドレス情報は、アドレスキャッシュ部12bから参照される。なお、このDNS情報の通知は、たとえばHTTP(HyperText Transfer Protocol)の名前登録パケットを用いて定期的に行われる。
The
アドレス通知受信処理部14は、他のDNSサーバからこのDNSサーバのDNS情報の通知を受信した場合に、このDNS情報をたとえばNSレコードまたはAAAAレコードでDNSメモリ部12aに登録するとともに、アドレスキャッシュ部12bを更新する。
The address notification
DNSアドレス解決部15は、他のホスト(他のDNSサーバ、ルータ3,4を含む)からDNSの名前解決要求パケットを受信した場合に、リクエストされた名前に該当するピアアドレス情報を、DNSメモリ部12aから検索してDNSの名前解決応答パケットを作成して通知する。
When the DNS
ルータ3,4は、たとえばLANなどを介してデータ通信を行う図示しない他のルータや端末装置と接続されており、たとえばデータ中継を行うハブ(HUB)の機能を有するものと、このハブと上記したDNSサーバの機能を併せ持つものとがある。なお、DNSサーバの機能は上述したDNSサーバ1,2と同様なので、ここではハブの機能を図3のブロック図を用いて説明する。
The
ハブとしてのルータ3,4は、公衆網10を介して定期的に全DNSサーバ1,2と通信を行って、自己のアドレス情報を全DNSサーバ1,2に登録させる動作を行うとともに、全DNSサーバ1,2のピアアドレス情報をアドレスキャッシュ情報として登録する動作を行う。また、ルータ3,4は、他のハブルータと接続する際には、この他のハブルータのピアアドレス情報を、DNSサーバ1,2を利用して学習し、このピアアドレス情報をもとに他のハブルータと通信を行う。
The
図3において、ルータ3,4は、インターフェース部31と、第2の登録手段としてのデータベース32と、アドレス通知部33と、アドレス解決を行う第2および第3の更新手段としてのDNSアドレス解決部34とから構成されている。アドレス通知部33およびDNSアドレス解決部34は、公衆網10に確立されたトンネルを介してDNSサーバ1,2、ルータ4,3と接続され、これらの装置との間でデータ通信を可能にしている。なお、アドレス通知部33と、DNSアドレス解決部34は、DNSサーバと同様に、トンネリング技術を用いてIPsec通信を行うための暗号化処理を行う処理部を備えている。また、ルータ3,4は、通信回線を介して接続された図示しない端末装置と他のルータおよびDNSサーバ1,2との間で暗号化されたデータ中継を行うための図示しない中継手段としてのデータ中継処理部を備えている。
In FIG. 3,
データベース32は、たとえばDNSサーバのドメイン名とIPアドレスの組み合わせ情報が登録されるアドレスキャッシュ部32aと、ハブルータの動作設定(他のハブルータおよび後述するスポークルータとの接続設定を含む)、DNSサーバと接続、たとえばIPsec接続するための設定情報などを記憶するコンフィグメモリ部32bとから構成されている。アドレスキャッシュ部32aは、不揮発性メモリからなり、DNSサーバと接続する際などに参照されている。DNSサーバのIPアドレス変更の際に、他のDNSサーバにピアアドレス情報を問い合わせて取得することにより、動的に変更が可能となる。コンフィグメモリ部32bは、不揮発性メモリからなり、コンソール(端末装置)からの設定により変更されるが、動的には変化しない。
The
インターフェース部31は、インターフェース部11と同様に、外部の図示しない情報入力部と接続されており、プロバイダなどによってこのインターフェース部11にアドレスが割り当てられている。
Similar to the
アドレス通知部33は、全てのDNSサーバ1,2のホストに対して、インターフェース部31から入力する自身のアドレス情報を通知する機能を有する。ここで、自身のアドレス情報を通知するために、DNSサーバのホストに割り当てられたアドレス情報をアドレスキャッシュ部32aに登録しておく必要がある。なお、このピアアドレス情報の通知は、たとえば定期的に行われる。
The
DNSアドレス解決部34は、プライマリDNSサーバから、DNSサーバのたとえばNSレコードを取得して、アドレスキャッシュ部32aに登録されているアドレスキャッシュ情報を更新してメンテナンスする。
The DNS
次に、DNSサーバ1,2間でのピアアドレス情報の共有に関わる動作を、図4の接続図に基づいて説明する。図4において、各DNSサーバ1,2は、たとえばインターネットプロバイダ20の初期設定によって、インターフェース部11が他のDNSサーバのピアアドレス情報をアドレスキャッシュ情報として、アドレスキャッシュ部12bに登録する。なお、この実施の形態では、DNSサーバ1のアドレスキャッシュ部12bには、DNSサーバ2のピアアドレス情報「BBBB::B」が、DNSサーバ2のアドレスキャッシュ部12bには、DNSサーバ1のピアアドレス情報「AAAA::A」が登録される。
Next, operations related to sharing of peer address information between the
そして、各DNSサーバ1,2は、ピアアドレス登録動作を開始し、まず自身のアドレス情報をDNS情報として、DNSメモリ部12aに追加登録し、DNSサーバ1,2間でDNS情報の登録のための通信を行う。ここで、DNSサーバ1のコンフィグメモリ部12cには、設定情報として、DNSサーバ間の通信において、DNSサーバ2との通信には暗号化を行うこと、この場合のDNSサーバ2はVPNピアであること、登録先であるDNSサーバ2のIPアドレス情報は「192.168.1.1」であることが書き込まれている。
Then, each
DNSサーバ1のアドレス通知部13は、この設定情報の「192.168.1.1」に対して自己のアドレス情報「AAAA::A」の登録処理動作を開始する。ここで、「192.168.1.1」宛の通信は暗号化対象で、VPNピアはDNS2であり、DNS2のピアアドレス情報は、アドレスキャッシュ部12bに登録されている「BBBB::B」である。そこで、アドレス通知部13は、このピアアドレス「BBBB::B」に対してIPsec接続してIPsecトンネルの確立を開始する。そして、IPsecトンネルが確立すると、DNS情報の通知を行う。このDNS情報の通知は、たとえば図5に示す、IPヘッダ、TCPヘッダ、HTTPリクエストから構成されるHTTPの名前登録パケットを用いて行われる。まず、DNSサーバ1のアドレス通知部13は、アドレスキャッシュ情報を参照して、IPヘッダの宛先がDNSサーバ2のIPアドレス情報「192.168.1.1」で、送信元がDNSサーバ1のIPアドレス情報「192.168.0.1」で、ポート番号80を利用して自身の名前とアドレス情報「AAAA::A」が付加された名前登録パケットを作成して、トンネルを介してDNSサーバ2へ送信する。
The
DNSサーバ1から上記名前登録パケットを受信すると、DNSサーバ2のアドレス通知受信処理部14は、DNSサーバ1のピアアドレス情報「AAAA::A」をDNS情報として、自己のDNSメモリ部12aに登録する。登録が完了すると、DNSサーバ2のアドレス通知部13は、アドレスキャッシュ情報を参照して、IPヘッダの宛先がDNSサーバ1のIPアドレス情報「192.168.0.1」で、送信元がDNSサーバ2のIPアドレス情報「192.168.1.1」で、ポート番号80を利用して自身の名前とアドレス情報「BBBB::B」が付加された名前登録パケットを作成し、トンネルを介してDNSサーバ1へ送信する。
When the name registration packet is received from the
DNSサーバ2から上記名前登録パケットを受信すると、DNSサーバ1のアドレス通知受信処理部14は、DNSサーバ2のピアアドレス情報「BBBB::B」をDNS情報として、DNSメモリ部12aに登録する。トンネルを介したこのDNS情報の通知および登録動作は、たとえば定期的に行われる。
When the name registration packet is received from the
次に、状況や環境の変化、たとえば網設備の工事などにより、DNSサーバ2のアドレス情報が変更になった場合におけるDNSサーバ間でのピアアドレス情報の共有に関わる動作を説明する。公衆網10内のインターネットプロバイダ20からの設定により、DNSサーバ2のアドレス情報が「BBBB::B」から「XXXX::X」に変更されると、DNSサーバ2のインターフェース部11は、このアドレス情報「XXXX::X」をDNS情報としてDNSメモリ部12aに登録して更新する。
Next, an operation related to sharing of peer address information between DNS servers when the address information of the
次に、DNSサーバ1では、DNSサーバ2のピアアドレス「BBBB::B」に対してIPsecトンネルの確立を開始するが、DNSサーバ2のアドレス情報が変化しているので、DNSサーバ2からは応答がない。
Next, the
次に、DNSサーバ2は、定期的に名前登録パケットを送信するが、既に自己のアドレス情報が変更になっている。そこで、DNSサーバ2のアドレス通知部13は、このピアアドレス「AAAA::A」に対してIPsec接続してIPsecトンネルの確立を開始する。そして、IPsecトンネルが確立すると、DNS情報の通知を行う。この場合、アドレス通知部13から、IPヘッダの宛先がDNSサーバ1のIPアドレス情報「192.168.0.1」で、送信元がDNSサーバ2のIPアドレス情報「192.168.1.1」で、ポート番号80を利用して自身の名前とアドレス情報「XXXX::X」が付加された名前登録パケットを、DNSサーバ1へ送信する。
Next, the
DNSサーバ1のアドレス通知受信処理部14は、DNSサーバ2から上記名前登録パケットを受信すると、DNSサーバ2のピアアドレス情報「XXXX::X」をDNS情報として、DNSメモリ部12aに登録して登録が完了する。次にDNSアドレス解決部15は、このピアアドレス「XXXX::X」に対してIPsec接続してIPsecトンネルの確立を開始する。そして、IPsecトンネルが確立すると、名前解決パケットを作成する。ここで、名前解決パケットは、図6に示すように、IPヘッダと、UDPヘッダと、解決したいピアアドレス情報の要求か応答かを示すDNS Query/Responseとからなり、DNSサーバ1のDNSアドレス解決部15は、名前解決パケットのうち、IPヘッダの宛先がDNSサーバ2のIPアドレス情報「192.168.1.1」で、送信元がDNSサーバ1のIPアドレス情報「192.168.0.1」で、かつDNS Queryでアドレス解決したいDNSサーバ2の名前とレコードの属性を指定した名前解決要求パケットを、DNSサーバ2へ送信する。
Upon receiving the name registration packet from the
DNSサーバ1から上記名前解決要求パケットを受信すると、DNSサーバ2のDNSアドレス解決部15は、要求された名前、この場合にはたとえば自身のドメインに該当するDNS情報(アドレス情報)をDNSメモリ部12aから検索する。そして、DNSアドレス解決部15は、名前解決パケットのうち、IPヘッダの宛先がDNSサーバ1のIPアドレス情報「192.168.0.1」で、送信元がDNSサーバ2のIPアドレス情報「192.168.1.1」で、かつDNS Responseで要求に対応するピアアドレス情報「XXXX::X」を指定した名前解決応答パケットを、DNSサーバ1へ送信する。
When the name resolution request packet is received from the
DNSサーバ2から上記名前解決応答パケットを受信すると、DNSサーバ1のDNSアドレス解決部15は、上記パケット中の指定されたピアアドレス情報「XXXX::X」がDNS2のピアアドレス情報であることを解決し、自身のアドレスキャッシュ部12bにこのピアアドレス情報を登録(たとえば上書き)することで、アドレスキャッシュ部のピアアドレス情報を更新する。なお、これ以降は、DNSサーバ1とDNSサーバ2とは、図5に示した名前登録パケットを用いて互いのアドレス情報の通知を定期的に行う。
When the name resolution response packet is received from the
このように、この実施の形態では、状況や環境の変化、たとえば網設備の工事などにより、いずれかのDNSサーバのアドレス情報が変更された場合には、アドレス変更されたDNSサーバから定期的に通知される名前登録パケットを受信することによって、変更されたアドレス情報を動的に検知し、サーバ自身のDNSメモリ部に登録されたDNS情報に反映させてピアアドレス情報を登録更新することができる。したがって、この実施の形態では、サーバ自身のDNS情報を動的に変更して、このDNS情報をシステム運用に利用することができ、人為的な設定変更を行うことなく、システムの運用を継続することができる。 As described above, in this embodiment, when the address information of any DNS server is changed due to a change in the situation or environment, for example, construction of network facilities, the DNS server whose address has been changed periodically. By receiving the notified name registration packet, it is possible to dynamically detect the changed address information and update the peer address information by reflecting it in the DNS information registered in the DNS memory unit of the server itself. . Therefore, in this embodiment, the DNS information of the server itself can be dynamically changed, and this DNS information can be used for system operation, and the system operation is continued without artificially changing the settings. be able to.
また、この実施の形態では、アドレス変更されたDNSサーバに対して、このDNSサーバのDNS情報をピアアドレス情報とした名前解決パケットを通信することで、上記DNSサーバのピアアドレス情報を送信元のDNSサーバ側で動的に学習し、サーバ自身のアドレスキャッシュ部に登録されたアドレスキャッシュ情報に反映させて更新することができる。また、不揮発性メモリであるアドレスキャッシュ部に動的に学習したピアアドレス情報を登録させるので、電源のOFF/ONでもピアアドレス情報の消滅などはなく運用を継続できる。 Further, in this embodiment, by communicating a name resolution packet using the DNS information of the DNS server as peer address information to the DNS server whose address has been changed, the peer address information of the DNS server is transmitted from the sender. It can be dynamically learned on the DNS server side and updated by reflecting it in the address cache information registered in the address cache unit of the server itself. In addition, since the dynamically learned peer address information is registered in the address cache unit which is a nonvolatile memory, the operation can be continued without the peer address information disappearing even when the power is turned OFF / ON.
なお、この実施の形態では、名前解決パケットを用いて変更されたDNSサーバのドレス解決を行ってアドレスキャッシュ情報を更新したが、たとえばアドレス変更されたDNSサーバから定期的に通信される名前登録パケットの受信によって、検知されたピアアドレス情報をもとにアドレス通知受信処理部がアドレスキャッシュ部内のアドレスキャッシュ情報を更新することも可能である。 In this embodiment, the address cache information is updated by performing address resolution of the changed DNS server using the name resolution packet. For example, a name registration packet periodically communicated from the DNS server whose address has been changed is used. The address notification reception processing unit can update the address cache information in the address cache unit based on the detected peer address information.
次に、ルータとDNSサーバ間で行われるアドレス登録の動作を、図7のシーケンス図に基づいて説明する。なお、ルータ3,4はともに同じ動作を行うので、ここでは代表してルータ3とDNSサーバ1,2間で行われるアドレス登録の動作を説明する。
Next, the address registration operation performed between the router and the DNS server will be described with reference to the sequence diagram of FIG. Since the
図7において、ルータ3でも、DNSサーバ1,2と同様にたとえばインターネットプロバイダ20の初期設定によって、インターフェース部31がDNSサーバ1,2のピアアドレス情報をアドレスキャッシュ情報として、アドレスキャッシュ部32aに登録する(ステップS301)。すなわち、この実施の形態では、ルータ3のアドレスキャッシュ部32aには、DNSサーバ1のピアアドレス情報「AAAA::A」とDNSサーバ2のピアアドレス情報「BBBB::B」が登録される。
In FIG. 7, in the
そして、ルータ3は、ピアアドレス登録動作を開始し(ステップS302)、アドレス通知部33は、コンフィグメモリ部32bの設定情報に基づき、「192.168.0.1」、「192.168.1.1」に対して自己を示すアドレス情報「CCCC::C」の登録処理動作を開始し、アドレスキャッシュ部32aのアドレスキャッシュ情報を参照して、このピアアドレス「AAAA::A」、「BBBB::B」に対してIPsec接続してIPsecトンネルの確立を開始する(ステップS303、S304)。そして、ルータ3は、IPsecトンネルが確立すると(ステップS305、S306)、自己を示すアドレス情報「CCCC::C」が付加された上記名前登録パケットを作成して、トンネルを介してDNSサーバ1,2へそれぞれ送信する(ステップS307、S308)。
Then, the
ルータ3から上記名前登録パケットを受信すると、DNSサーバ1,2のアドレス通知受信処理部14は、ルータ3のピアアドレス情報「CCCC::C」をDNS情報として、自己のDNSメモリ部12aに登録する(ステップS101、S201)。このピアアドレス情報の通知および登録は、定期的に行われる。
When the name registration packet is received from the
次に、状況や環境の変化により、ルータ3のアドレス情報が変更になった場合におけるルータとDNSサーバ間で行われるピアアドレス登録の動作を、図8のシーケンス図に基づいて説明する。図8において、インターネットプロバイダ20からの設定により、ルータ3のアドレス情報が「CCCC::C」から「YYYY::Y」に変更されると、アドレス通知部33は、インターフェース部31から変更されたアドレス情報「YYYY::Y」を取り込み、ピアアドレス登録動作を開始し(ステップS310)、ステップS303,S304と同様に、ピアアドレス「AAAA::A」、「BBBB::B」に対してIPsec接続してIPsecトンネルの確立を開始する(ステップS311、S312)。そして、IPsecトンネルが確立すると(ステップS313、S314)、自身の名前とアドレス情報「YYYY::Y」が付加された名前登録パケットを作成して、DNSサーバ1とDNSサーバ2へ送信する(ステップS315、S316)。
Next, a peer address registration operation performed between the router and the DNS server when the address information of the
ルータ3から上記名前登録パケットを受信すると、DNSサーバ1,2のアドレス通知受信処理部14は、ルータ3のピアアドレス情報「YYYY::Y」をDNS情報としてDNSメモリ部12aに登録して更新する(ステップS110、S210)。このピアアドレス情報の通知および登録は、定期的に行う。
When the name registration packet is received from the
このように、この実施の形態では、状況や環境の変化によりいずれかのルータのピアアドレス情報が変更された場合には、アドレス変更されたルータから定期的に通知される名前登録パケットを受信することによって、変更されたピアアドレス情報を動的に検知し、サーバ自身のDNSメモリ部に登録されたDNS情報に反映させて登録することができる。したがって、上記のDNSサーバのアドレス変更と同様に、サーバ自身のDNS情報を動的に変更して、このDNS情報をシステム運用に利用することができ、人為的な設定変更を行うことなく、システムの運用を継続することができる。 As described above, in this embodiment, when the peer address information of any router is changed due to a change in the situation or environment, the name registration packet periodically notified from the address-changed router is received. As a result, the changed peer address information can be dynamically detected and registered in the DNS information registered in the DNS memory unit of the server itself. Therefore, similar to the DNS server address change described above, the DNS information of the server itself can be dynamically changed, and the DNS information can be used for system operation. Can be continued.
また、上記のDNSサーバのアドレス変更と同様に、たとえばアドレス変更されたルータから定期的に通信される名前登録パケットの受信によって、検知されたピアアドレス情報をもとにアドレス通知受信処理部がアドレスキャッシュ部内のアドレスキャッシュ情報を更新することも可能である。 Similarly to the above-described DNS server address change, for example, the address notification reception processing unit sets the address based on the detected peer address information by receiving a name registration packet periodically communicated from the router whose address has been changed. It is also possible to update the address cache information in the cache unit.
次に、状況や環境の変化により、DNSサーバ1のピアアドレス情報が変更になった場合におけるルータとDNSサーバ間で行われるアドレス解決の動作を、図9のシーケンス図に基づいて説明する。なお、この実施の形態では、ルータ3のDNSアドレス解決部34が第3の更新手段としての機能を有し、名前解決パケットを定期的に送信するように設定されている。図9において、インターネットプロバイダ20からの設定により、DNSサーバ1のアドレス情報が「AAAA::A」から「XXXX::X」に変更されると、DNSサーバ1のアドレス通知部13は、ピアアドレス「BBBB::B」に対してIPsec接続してIPsecトンネルの確立を開始する(ステップS120)。そして、IPsecトンネルが確立すると(ステップS121)、自身の名前とアドレス情報「XXXX::X」が付加された名前登録パケットを作成して、DNSサーバ2へ送信する(ステップS122)。
Next, an address resolution operation performed between the router and the DNS server when the peer address information of the
DNSサーバ1から上記名前登録パケットを受信すると、DNSサーバ2のアドレス通知受信処理部14は、DNSサーバ1のピアアドレス情報「XXXX::X」をDNS情報としてDNSメモリ部12aに登録して更新し(ステップS220)、アドレスの変更動作を完了する。
When the name registration packet is received from the
次に、ルータ3では、DNSサーバ1,2のピアアドレス「AAAA::A」、「BBBB::B」に対してIPsecトンネルの確立を開始し、DNSサーバ2では、IPsec接続されるが、DNSサーバ1のアドレスが変化しているので、応答がない(ステップS320,S321)。そこで、ルータ3のDNSアドレス解決部34は、アドレス解決したいDNSサーバ1の名前とレコードの属性を指定した名前解決要求パケットを、DNSサーバ2へ送信する(ステップS322)。
Next, the
ルータ3から上記名前解決要求パケットを受信すると、DNSサーバ2のDNSアドレス解決部15は、要求された名前、この場合にはDNSサーバ1のドメインに該当するDNS情報(ピアアドレス情報)「XXXX::X」をDNSメモリ部12aから検索する。そして、DNSアドレス解決部15は、要求に対応するピアアドレス情報「XXXX::X」を指定した名前解決応答パケットを、ルータ3へ送信する(ステップS221)。
Upon receiving the name resolution request packet from the
DNSサーバ2から上記名前解決応答パケットを受信すると、ルータ3のDNSアドレス解決部34は、上記パケット中の指定されたピアアドレス情報「XXXX::X」がDNS1のピアアドレス情報であることを解決し、自身のアドレスキャッシュ部32aにこのピアアドレス情報を登録(たとえば上書き)することで、アドレスキャッシュ部32aのピアアドレス情報を更新して、アドレス変更の動作を完了する(ステップS323)。なお、これ以降は、ルータ3は、図8と同様に、DNSサーバ1,2にIPsecトンネルを確立させて(ステップS324、S325)、上記名前登録パケットを用いてDNSサーバ1とDNSサーバ2にピアアドレス情報の通知を定期的に行う(ステップS326、S327)。
When the name resolution response packet is received from the
このように、この実施の形態では、状況や環境の変化によりいずれかのDNSサーバのピアアドレス情報が変更された場合には、アドレス変更されたDNSサーバ以外の他のDNSサーバに対し、ルータがアドレス変更されたDNSサーバのピアアドレス情報の問い合わせを行い、他のDNSサーバから上記ピアアドレス情報の提供を受けるので、上記DNSサーバのピアアドレス情報を送信元のルータ側で動的に学習し、ルータ自身のアドレスキャッシュ部に登録されたアドレスキャッシュ情報に反映させて更新することができる。また、不揮発性メモリであるアドレスキャッシュ部に動的に学習したピアアドレス情報を登録させるので、電源のOFF/ONでもピアアドレス情報の消滅などはなく運用を継続できる。 As described above, in this embodiment, when the peer address information of any DNS server is changed due to a change in the situation or environment, a router is connected to a DNS server other than the DNS server whose address has been changed. Inquires about the peer address information of the DNS server whose address has been changed, and receives the peer address information from another DNS server, so that the peer address information of the DNS server is dynamically learned on the source router side, It can be updated by reflecting in the address cache information registered in the address cache unit of the router itself. In addition, since the dynamically learned peer address information is registered in the address cache unit which is a nonvolatile memory, the operation can be continued without the peer address information disappearing even when the power is turned OFF / ON.
なお、この実施の形態1では、ハブルータとDNSサーバの場合について説明したが、ハブルータに代えてDNSサーバも同様の機能を有することが可能であり、名前登録パケットによって他のDNSサーバの変更されたピアアドレスを取得する他、たとえば図6に示した名前解決パケットを他のDNSサーバと通信することで、他のDNSサーバの変更されたピアアドレスを取得することも可能となり、システムの汎用性が向上するという効果がある。 In the first embodiment, the case of the hub router and the DNS server has been described. However, the DNS server can have the same function instead of the hub router, and other DNS servers are changed by the name registration packet. In addition to obtaining the peer address, for example, by communicating the name resolution packet shown in FIG. 6 with another DNS server, it becomes possible to obtain the changed peer address of the other DNS server, which makes the system versatile. There is an effect of improving.
(実施の形態2)
図10は、本発明にかかる情報管理システムの実施の形態2の概略構成を示すシステム構成図である。なお、実施の形態1と同様の構成部分に関しては、同一符号を付記するものとする。図において、公衆網10には、情報管理装置である複数のDNSサーバ1,2と、データ中継装置であるハブルータ3と、データ中継装置であるスポーク(SPOKE)ルータ5,6とが接続されており、これらDNSサーバ1,2、ハブルータ3、スポークルータ5,6間には、IPsec通信が可能なようにトンネリング技術を利用して論理的なトンネルが確立されている。この実施の形態の場合も、上記実施の形態1と同様に、DNSサーバ1,2およびハブルータ3のアドレス情報が不定アドレスであるとともに、スポークルータ5,6のアドレス情報にも不定アドレスが割り当てられている。この情報管理システムにおいても、初期設定時にアドレスとして、たとえばスポークルータ5には、「EEEE::E」が、スポークルータ6には、「FFFF::F」がそれぞれ割り当てられている。なお、DNSサーバ1,2およびハブルータ3には、実施の形態1で示したアドレス情報と同じ内容のアドレス情報が割り当てられている。また、DNSサーバ1,2とハブルータ3の構成は、実施の形態1と同様なので、ここでは省略する。また、公衆網10内には、図1と同様にインターネットプロバイダがある。
(Embodiment 2)
FIG. 10 is a system configuration diagram showing a schematic configuration of the
この実施の形態では、スポークルータ5,6は、ホストのハブルータ3を経由してデータ通信を行うこととする。このスポークルータ5,6は、ハブルータ3のピアアドレス情報に対してデータ通信を開始するが、このハブルータ3のピアアドレス情報は不定アドレスであるため、DNSサーバホスト、たとえばDNSサーバ1を利用して、ハブルータの名前からピアアドレス情報を導き出してから、データ通信を開始する。ただし、DNSサーバのピアアドレス情報も不定アドレスであるため、DNSサーバホストを複数、たとえば2台のDNSサーバ1,2を準備し、DNSサーバ1のピアアドレス情報が変更された場合に、別のDNSサーバ2に名前解決のための問い合わせを行う仕組みとする。
In this embodiment, the
スポークルータ5,6は、図11のブロック図に示すように、第2の登録手段としてのデータベース51と、アドレス解決を行う第2の更新手段としてのDNSアドレス解決部52とから構成されている。DNSアドレス解決部52は、公衆網10に確立されたトンネルを介してDNSサーバ1,2、ハブルータ3のホストと接続され、これらのホストとの間でデータ通信を可能にしている。なお、DNSアドレス解決部52は、DNSサーバ1,2と同様に、トンネリング技術を用いてIPsec通信を行うための暗号化処理を行う処理部を備えている。
As shown in the block diagram of FIG. 11, the
データベース51は、たとえばDNSサーバのドメイン名とIPアドレスの組み合わせ情報が登録されるアドレスキャッシュ部51aと、スポークルータの動作設定(ハブルータとの接続設定を含む)、DNSサーバと接続、たとえばIPsec接続するための設定情報などを記憶するコンフィグメモリ部51bとから構成されている。このアドレスキャッシュ部51aは、不揮発性メモリからなり、DNSサーバと接続する際などに参照されている。DNSサーバのIPアドレス変更の際に、他のDNSサーバにピアアドレス情報を問い合わせて取得することにより、動的に変更が可能となる。コンフィグメモリ部51bは、不揮発性メモリからなり、コンソール(端末装置)からの設定により変更されるが、動的には変化しない。
The
DNSアドレス解決部52は、プライマリDNSサーバから、DNSサーバのたとえばNSレコードを取得して、アドレスキャッシュ部51aに登録されているアドレスキャッシュ情報を更新してメンテナンスする。
The DNS
次に、データ中継を行う場合のスポークルータとDNSサーバおよびハブルータ間で行われる名前解決の動作を、図12のシーケンス図に基づいて説明する。なお、スポークルータ5,6はともに同じ動作を行うので、ここでは代表してスポークルータ5とDNSサーバ1およびハブルータ3間で行われるアドレス解決の動作を説明する。図12において、スポークルータ5では、予めDNSサーバ1のピアアドレス情報をアドレスキャッシュ情報として、アドレスキャッシュ部51aに登録されている。なお、この実施の形態ではスポークルータ5のアドレスキャッシュ部51aには、DNSサーバ1のピアアドレス情報「AAAA::A」が登録される。
Next, the name resolution operation performed between the spoke router, the DNS server, and the hub router when performing data relay will be described based on the sequence diagram of FIG. Since the
そして、スポークルータ5は、データ中継のための名前解決を開始し、DNSサーバ1との間で名前解決のための通信を行う。ここで、スポークルータ5のコンフィグメモリ部51bには、設定情報として、DNSサーバ1との間の通信には暗号化を行うこと、この場合のDNSサーバ1はVPNピアであること、ハブルータ3との間の通信には暗号化を行うこと、この場合のハブルータ3はVPNピアであること、DNSサーバ1のIPアドレス情報は「192.168.0.1」であることが書き込まれている。
Then, the
スポークルータ5は、ハブルータ3のIPアドレス「192.168.200.1」宛の中継パケットを受信すると、「192.168.200.1」宛の通信は暗号化対象で、VPNピアはハブルータ3であり、ハブルータ3のピアアドレスはアドレスキャッシュ部51aには登録されていない。そこで、アドレス解決部52は、DNSサーバ1に通信しようとするが、「192.168.0.1」宛の通信は暗号化対象で、VPNピアはDNSサーバ1である。また、このDNSサーバ1のピアアドレス「AAAA::A」は、アドレスキャッシュ部51aに登録されているので、このピアアドレス「AAAA::A」に対してIPsec接続してIPsecトンネルの確立を開始する。そして、IPsecトンネルが確立すると、名前解決要求パケットを作成して、このトンネルを介して「192.168.0.1」のDNSサーバ1宛にハブルータ3のピアアドレス情報を問い合せる。
When the
そして、DNSサーバ1のアドレス解決部15は、HUB3のドメインからピアアドレスを解決し、ピアアドレス「CCCC::C」と判断し、このピアアドレス「CCCC::C」を付加した名前解決応答パケットを作成して、このトンネルを介して「192.168.100.1」のスポークルータ5に通信する。
Then, the
スポークルータ5では、ハブルータ3のピアアドレス「CCCC::C」とIPsec接続を行い、「192.168.200.1」のハブルータ3宛に中継パケットを、トンネルを介して中継する。
The
次に、スポークルータとDNSサーバ間で行われる名前解決の動作を、図13のシーケンス図に基づいて説明する。なお、スポークルータ5,6はともに同じ動作を行うので、ここでは代表してスポークルータ5とDNSサーバ1,2間で行われるアドレス解決の動作を説明する。
Next, the name resolution operation performed between the spoke router and the DNS server will be described based on the sequence diagram of FIG. Since the
図13において、スポークルータ5では、予めDNSサーバ1,2のピアアドレス情報をアドレスキャッシュ情報として、アドレスキャッシュ部51aに登録されている(ステップS501)。すなわち、この実施の形態では、スポークルータ5のアドレスキャッシュ部51aには、DNSサーバ1のピアアドレス情報「AAAA::A」とDNSサーバ2のピアアドレス情報「BBBB::B」が登録されている。
In FIG. 13, in the
そして、スポークルータ5は、名前解決動作を開始し(ステップS502)、コンフィグメモリ部51bの設定情報に基づき、「192.168.0.1」、「192.168.1.1」に対して自己を示すアドレス情報「CCCC::C」の登録処理動作を開始し、アドレスキャッシュ部51aのアドレスキャッシュ情報を参照して、このピアアドレス「AAAA::A」、「BBBB::B」に対してIPsec接続してIPsecトンネルの確立を開始する(ステップS503、S504)。そして、IPsecトンネルが確立すると(ステップS505、S506)、アドレス解決したいDNSサーバの名前、たとえば宛先がDNSサーバ1の場合には、DNSサーバ2の名前、宛先がDNSサーバ2の場合には、DNSサーバ1の名前とレコードの属性を指定した名前解決要求パケットを作成して、トンネルを介してDNSサーバ1,2へそれぞれ送信する(ステップS507、S508)。
Then, the
スポークルータ5から上記名前解決要求パケットを受信すると、DNSサーバ1,2のDNSアドレス解決部52は、要求された名前、DNSサーバのドメインに該当するピアアドレス情報「AAAA::A」、「BBBB::B」をアドレスキャッシュ部12bから検索する。そして、DNSサーバ1,2のDNSアドレス解決部15は、要求に対応するアドレス情報「AAAA::A」、「BBBB::B」を付加した名前解決応答パケットを作成し、スポークルータ5へ送信する(ステップS130、S230)。
When the name resolution request packet is received from the
DNSサーバ1,2から上記名前解決応答パケットを受信すると、スポークルータ5のDNSアドレス解決部52は、上記パケット中の指定された設定情報(DNSサーバ1,2のピアアドレス情報「AAAA::A」、「BBBB::B」)がDNSサーバ1,2のピアアドレス情報であることを解決し、アドレスキャッシュ部51aに登録(たとえば上書き)することで、アドレスキャッシュ部51aのピアアドレス情報を更新する。なお、このピアアドレス情報の通知および登録は、定期的に行われる(ステップS509、S510、S131、S231)。
When the name resolution response packet is received from the
次に、状況や環境の変化により、DNSサーバ1のピアアドレス情報が変更になった場合におけるスポークルータとDNSサーバ間で行われる名前解決の動作を、図14のシーケンス図に基づいて説明する。図14において、インターネットプロバイダ20からの設定により、DNSサーバ1のアドレス情報が「AAAA::A」から「XXXX::X」に変更されると、自身を示すアドレス情報をDNS情報として、DNSメモリ部12aに追加登録する。次に、DNSサーバ1のアドレス通知部13は、ピアアドレス「BBBB::B」に対してIPsec接続してIPsecトンネルの確立を開始する(ステップS140)。そして、IPsecトンネルが確立すると(ステップS141)、DNS情報の通知を行う。アドレス通知部13は、自身の名前とアドレス情報「XXXX::X」が付加された名前登録パケットを作成して、トンネルを介してDNSサーバ2へ送信する(ステップS142)。
Next, the name resolution operation performed between the spoke router and the DNS server when the peer address information of the
DNSサーバ1から上記名前登録パケットを受信すると、DNSサーバ2のアドレス通知受信処理部14は、DNSサーバ1のピアアドレス情報「XXXX::X」をDNS情報として、自己のDNSメモリ部12aに登録(上書き)して、アドレス変更を完了する(ステップS240)。
When the name registration packet is received from the
次に、スポークルータ5では、DNSサーバ1のピアアドレス「AAAA::A」に対してIPsecトンネルの確立を開始するが、DNSサーバ1のアドレス情報が変化しているので、応答がない(ステップS520)。そこで、スポークルータ5のDNSアドレス解決部52は、アドレス解決したいDNSサーバ1の名前とレコードの属性を指定した名前解決要求パケットを、DNSサーバ2へ送信する(ステップS521)。なお、この場合には、既にIPsecトンネルが確立しているものとする。
Next, the
スポークルータ5から上記名前解決要求パケットを受信すると、DNSサーバ2のDNSアドレス解決部15は、要求された名前、この場合にはDNSサーバ1のドメインに該当するDNS情報(ピアアドレス情報)「XXXX::X」をDNSメモリ部12aから検索する。そして、DNSアドレス解決部15は、要求に対応するピアアドレス情報「XXXX::X」を指定した名前解決応答パケットを、DNSサーバ1へ送信する(ステップS241)。
Upon receiving the name resolution request packet from the
DNSサーバ2から上記名前解決応答パケットを受信すると、スポークルータ5のDNSアドレス解決部52は、上記パケット中の指定されたピアアドレス情報「XXXX::X」がDNS1のピアアドレス情報であることを解決し、自身のアドレスキャッシュ部51aにこのピアアドレス情報を登録(たとえば上書き)することで、アドレスキャッシュ部51aのピアアドレス情報を更新して、アドレス変更の動作を完了する(ステップS522)。なお、これ以降は、スポークルータ5は、図13と同様に、DNSサーバ1,2にIPsecトンネルを確立させて(ステップS523、S524)、上記名前解決パケットを用いてDNSサーバ1とDNSサーバ2との間でピアアドレス情報解決のための通信を定期的に行う(ステップS525、S526、S143、S242)。
When the name resolution response packet is received from the
このように、この実施の形態では、状況や環境の変化によりいずれかのDNSサーバのピアアドレス情報が変更された場合には、アドレス変更されたDNSサーバ以外の他のDNSサーバに対し、スポークルータがアドレス変更されたDNSサーバのピアアドレス情報の問い合わせを行い、他のDNSサーバから上記ピアアドレス情報の提供を受けるので、上記DNSサーバのピアアドレス情報を送信元のスポークルータ側で動的に学習し、スポークルータ自身のアドレスキャッシュ部に登録されたアドレスキャッシュ情報に反映させて更新することができる。また、不揮発性メモリであるアドレスキャッシュ部に動的に学習したピアアドレス情報を登録させるので、電源のOFF/ONでもピアアドレス情報の消滅などはなく運用を継続できる。 As described above, in this embodiment, when the peer address information of any DNS server is changed due to a change in the situation or environment, a spoke router is provided to other DNS servers other than the DNS server whose address has been changed. Inquires about the peer address information of the DNS server whose address has been changed, and receives the peer address information from another DNS server, so the source router's spoke router side learns dynamically the peer address information of the DNS server The address cache information registered in the address cache unit of the spoke router itself can be reflected and updated. In addition, since the dynamically learned peer address information is registered in the address cache unit which is a nonvolatile memory, the operation can be continued without the peer address information disappearing even when the power is turned OFF / ON.
なお、この実施の形態2では、スポークルータとDNSサーバの場合について説明したが、スポークルータに代えてハブルータも同様の機能を有することが可能であり、DNSサーバのピアアドレス情報が変更された場合、名前解決パケットを他のDNSサーバと通信することで、あるDNSサーバの変更されたピアアドレスを取得することも可能となり、システムの汎用性が向上するという効果がある。 In the second embodiment, the case of the spoke router and the DNS server has been described. However, the hub router can have the same function instead of the spoke router, and the peer address information of the DNS server is changed. By communicating the name resolution packet with another DNS server, it becomes possible to acquire the changed peer address of a certain DNS server, and there is an effect that the versatility of the system is improved.
(実施の形態3)
図15は、本発明にかかる情報管理システムの実施の形態3の概略構成を示すシステム構成図である。なお、実施の形態1と同様の構成部分に関しては、同一符号を付記するものとする。図において、この実施の形態が実施の形態1と異なる点は、公衆網10の拠点として、網終端装置であるIPsec終端装置7が設けられ、このIPsec終端装置7に固定のIPアドレス情報が割り当てられたDNSサーバ1が接続されている。そして、このDNSサーバ1にルータ3がデータ通信を行うための図示しないハブルータのピアアドレス情報を要求する。
(Embodiment 3)
FIG. 15 is a system configuration diagram showing a schematic configuration of
IPsec終端装置7は、図2および図3に示したDNSサーバやハブルータと同様の構成であり、ここでは代表して図3を用いてハブルータの場合を説明する。IPsec終端装置7は、第3の登録手段としてのデータベース32と、アドレス通知部33と、アドレス解決を行う第4および第5の更新手段としてのDNSアドレス解決部34とから構成されている。アドレス通知部33およびDNSアドレス解決部34は、公衆網10に確立されたトンネルを介して他のDNSサーバ2、ルータ3,4と接続され、これらの装置との間で暗号化されたデータの通信を可能にしている。また、IPsec終端装置7は、DNSサーバ1と、他のDNSサーバ2およびルータ3,4間で通信される情報の中継を行う図示しない中継手段としてのデータ中継処理部を備える。IPsec終端装置7を示すアドレスも、他のDNSサーバ2やルータ3,4を示すアドレスと同様に不定アドレスからなり、この実施の形態では、初期設定として、「AAAA::A」が割り当てられており、このアドレス情報「AAAA::A」は、DNSサーバ1,2のアドレスキャッシュ部12bに登録されている。また、IPsec終端装置7のアドレスキャッシュ部32aは、不揮発性メモリからなり、このメモリにはDNSサーバ2のピアアドレス情報「BBBB::B」とDNSサーバ1を示すIPアドレス情報「192.168.0.1」が登録されている。
The
この実施の形態では、ルータ3がDNSサーバ1にピアアドレス情報を問い合せる場合には、ルータ3とIPsec終端装置7間でIPsec接続を行う。すなわち、ルータ3の第2の更新手段としてのDNSアドレス解決部34は、このピアアドレス「AAAA::A」に対してIPsec接続してIPsecトンネルの確立を開始する。そして、IPsecトンネルが確立すると、DNSアドレス解決部34は、IPヘッダの宛先がDNSサーバ1のIPアドレス情報「192.168.0.1」で、送信元がルータ3のIPアドレス情報、たとえば「192.168.200.1」で、かつDNS Queryでアドレス解決したいハブルータの名前とレコードの属性を指定した名前解決要求パケットを作成して、IPsec終端装置7へ送信する。
In this embodiment, when the
IPsec終端装置7は、この名前解決要求パケットを受信すると、DNSサーバ1に中継する。また、IPsec終端装置7は、この名前解決要求パケットに対する名前解決応答パケットをDNSサーバ1から受信した場合には、確立されたトンネルを介してルータ3へ中継する。また、IPsec終端装置7は、DNSアドレス解決部34やアドレス通知部33によって自らも名前解決パケットや名前登録パケットを通信することができる。
When receiving the name resolution request packet, the
このようなIPsec終端装置7において、状況や環境の変化により、自己を示すアドレスが変更されると、実施の形態1,2と同様に、DNSサーバ1とルータ3との間でIPsecトンネルを確立することができなくなってしまう。しかし、この場合も、実施の形態1,2と同様に、ルータ3のDNSアドレス解決部34が、IPsec終端装置7の名前とレコードの属性を指定したアドレス解決パケットを、他のDNSサーバ2と通信することで、ルータ3は、IPsec終端装置7のピアアドレスを自己のアドレスキャッシュ部32aに登録してアドレスキャッシュ情報を更新することができる。なお、ルータ3,4において、実施の形態1,2と同様に、DNSアドレス解決部34は第2および第3の更新手段の機能を有し、データベース32は第1の登録手段の機能を有する。
In such an
また、DNSサーバ2を示すアドレス情報が変更された場合には、実施の形態1と同様に、名前登録パケットを用いて、DNSサーバ1とアドレス情報が変更されたDNSサーバ2との間で定期的に自己を示すアドレス情報が通知されて、アドレスキャッシュ部に登録が行われる。IPsec終端装置7は、アドレス解決パケットを用いてDNSサーバ1に、DNSサーバ2を示すピアアドレス情報を問い合わせることで、該当するDNSサーバ2のピアアドレス情報を取得し、この取得したピアアドレス情報をもとに自己のアドレスキャッシュ部32aに登録してアドレスキャッシュ情報を更新することができる。
Further, when the address information indicating the
このように、この実施の形態では、状況や環境の変化、たとえば網設備の工事などにより、DNSサーバが接続されたIPsec終端装置のピアアドレス情報が変更された場合には、アドレス変更されたIPsec終端装置から定期的に通知される名前登録パケットを、IPsec終端装置に接続されたDNSサーバ以外の他のDNSサーバが受信することによって、変更されたピアアドレス情報を動的に検知し、サーバ自身のDNSメモリ部に登録されたDNS情報に反映させてピアアドレス情報を登録更新することができる。したがって、この実施の形態では、サーバ自身のDNS情報を動的に変更して、このDNS情報をシステム運用に利用することができ、人為的な設定変更を行うことなく、システムの運用を継続することができる。 As described above, in this embodiment, when the peer address information of the IPsec terminator to which the DNS server is connected is changed due to a change in the situation or environment, for example, the construction of the network equipment, the address-changed IPsec is changed. When the DNS server other than the DNS server connected to the IPsec terminator receives a name registration packet periodically notified from the terminator, the changed peer address information is dynamically detected, and the server itself The peer address information can be registered and updated by reflecting it in the DNS information registered in the DNS memory unit. Therefore, in this embodiment, the DNS information of the server itself can be dynamically changed, and this DNS information can be used for system operation, and the system operation is continued without artificially changing the settings. be able to.
また、この実施の形態では、状況や環境の変化によりIPsec終端装置のピアアドレス情報が変更された場合には、IPsec終端装置に接続されたDNSサーバ以外の他のDNSサーバに対し、ルータがアドレス変更されたDNSサーバのピアアドレス情報の問い合わせを行い、他のDNSサーバから上記ピアアドレス情報の提供を受けるので、上記DNSサーバのピアアドレス情報を送信元のルータ側で動的に学習し、ルータ自身のピアアドレスキャッシュ部に登録されたアドレスキャッシュ情報に反映させて更新することができる。また、不揮発性メモリであるアドレスキャッシュ部に動的に学習したピアアドレス情報を登録させるので、電源のOFF/ONでもピアアドレス情報の消滅などはなく運用を継続できる。 In this embodiment, when the peer address information of the IPsec termination apparatus is changed due to a change in the situation or environment, the router addresses the DNS server other than the DNS server connected to the IPsec termination apparatus. Inquiring of the changed DNS server peer address information and receiving the peer address information from another DNS server, the peer address information of the DNS server is dynamically learned on the source router side, and the router It can be updated by reflecting in the address cache information registered in its own peer address cache unit. Further, since the dynamically learned peer address information is registered in the address cache unit which is a non-volatile memory, the operation can be continued without any disappearance of the peer address information even when the power is turned OFF / ON.
(実施の形態4)
図16は、本発明にかかる情報管理システムの実施の形態4の概略構成を示すシステム構成図である。前述の各実施の形態では、各ルータが自己の不定アドレスをDNSサーバに動的に登録するダイナミックDNSのクライアント動作を行う場合を想定したが、この実施の形態4は、各ルータがダイナミックDNSのクライアント機能をサポートしていない場合への適用例を示す。ここでは、一例として、実施の形態1のようなシステム構成の場合への適用例を示し、図16において、公衆網10には、情報管理装置である複数のDNSサーバ1´,2´と、データ中継装置でありダイナミックDNSのクライアント機能をサポートしていないルータ3´,4´が接続されており、これらDNSサーバ1´,2´とルータ3´,4´間には、IPsec通信が可能なようにトンネリング技術を利用して論理的なトンネルが確立されている。
(Embodiment 4)
FIG. 16 is a system configuration diagram showing a schematic configuration of
図17は、この実施の形態4のDNSサーバ1´の構成例を示すブロック図である。このDNSサーバ1´は、図2に示したDNSサーバ1の構成に加えて、インターフェース部11とデータベース12との間にIPsec処理部16を備えている。このIPsec処理部16は、インターフェース部11がルータ3´または4´から受信したIPsecパケットからルータ3´または4´のIPアドレスを示す送信元アドレスを判別してDNSサーバ1´のデータベース12に登録させる機能を果す。すなわち、IPsecのネゴシエーションを受けたDNSサーバ1´側が、ダイナミックDNSクライアントの機能をルータ3´または4´の代理で行う機能を果すためのものである。DNSサーバ2´も、DNSサーバ1´と同様に構成されている。
FIG. 17 is a block diagram illustrating a configuration example of the
図18は、IPsec通信に用いられるIPsecパケットのフォーマットを示す図である。IPsecパケットは、IPヘッダと、UDPヘッダと、ISAKMPヘッダと、自身を識別するためのID等の各種情報からなる。ここで、IPヘッダ中には、IPsec処理部16が判別可能な送信元アドレスが含まれる。
FIG. 18 is a diagram showing a format of an IPsec packet used for IPsec communication. The IPsec packet includes various information such as an IP header, a UDP header, an ISAKMP header, and an ID for identifying itself. Here, the IP header includes a source address that can be identified by the
このようなシステム構成において、状況や環境の変化により、ルータ3´のアドレス情報が変更になった場合におけるピアアドレス情報の登録動作例を、図8に対応する図19のシーケンス図を参照して説明する。図19では、インターネットプロバイダ20からの設定により、ルータ3´のアドレス情報が「CCCC::C」から「YYYY::Y」に変更された場合を想定する。
In such a system configuration, an example of the operation of registering peer address information when the address information of the
このような状況下で、ルータ3´が何らかの要因(たとえば、DNSサーバ1´,2´にアクセスしたい等)で、DNSサーバ1´,2´にIPsec通信が必要になった時に、ルータ3´は、アドレスキャッシュ部32aのアドレスキャッシュ情報を参照して、このピアアドレス「AAAA::A」、「BBBB::B」に対してIPsec接続してIPsecトンネルの確立を開始する(ステップS331、S332)。このIPsecトンネルを確立させるネゴシエーションのために、ルータ3´は、変更になったアドレス情報「YYYY::Y」を送信元アドレスとしてIPヘッダに含むIPsecパケットをDNSサーバ1´,2´に送信する。そして、このIPsecネゴシエーションの中で、相手を特定するために各種情報中に含まれる“ID”を交換する。この“ID”情報から、相手を判別することで、IPsecトンネルが確立する(ステップS333、S334)。IPsecトンネルが確立すると、DNSサーバ1´,2´中のIPsec処理部16は、その相手先(ルータ3´)からのネゴシエーション用のIPsecパケットのIPヘッダに含まれる送信元アドレスをみて、そのアドレスが変更になっていれば、ダイナミックDNSクライアントの動作を代理で行うことで、DNSサーバ1´,2´中のデータベース12に、ルータ3´の変更されたピアアドレス情報「YYYY::Y」をDNS情報としてDNSメモリ部12aに登録して更新する(ステップS120、S220)。
Under such circumstances, when the
このように、この実施の形態4では、ルータ3´,4´がダイナミックDNSのクライアント機能をサポートしていない場合であっても、該ルータ3´,4´の変更されたアドレス情報を、確立したIPsecパケット中の送信元アドレス情報を利用することで、DNSサーバ1´,2´のデータベース12に更新登録させることができ、システムの汎用性が向上するという効果がある。
As described above, in the fourth embodiment, even when the
なお、この実施の形態4の方式は、実施の形態2,3等のシステム構成の場合にも同様に適用し得る。要は、DNSサーバやセンタ拠点のルータが、ダイナミックDNSのクライアント機能をサポートしていればよく、各拠点のルータ、特に、スポークルータの場合には、ダイナミックDNSのクライアント機能をサポートしていなくてもよい。 The system of the fourth embodiment can be similarly applied to the system configurations of the second and third embodiments. In short, the DNS server and the router at the center site need only support the dynamic DNS client function, and the router at each site, particularly, the spoke router, does not support the dynamic DNS client function. Also good.
1,2,1´,2´ DNSサーバ
3,4,3´,4´ ハブルータ
5,6 スポークルータ
7 IPsec終端装置
10 公衆網
11,31 インターフェース部
12,32,51 データベース
12a DNSメモリ部
12b,32a,51a アドレスキャッシュ部
12c,32b,51b コンフィグメモリ部
13,33,52 アドレス通知部
14 アドレス通知受信処理部
15,34 アドレス解決部
20 インターネットプロバイダ
1, 2, 1 ', 2'
Claims (19)
前記情報管理装置および前記データ中継装置が、各情報管理装置を示すピアアドレス情報を登録する第1の登録ステップと、
前記情報管理装置が、各情報管理装置を示すピアアドレス情報が登録された他の前記情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信し、該アドレス情報を受信した前記他の情報管理装置が、該アドレス情報をもとに前記登録されたピアアドレス情報を更新する第1の更新ステップと、
前記データ中継装置が、前記トンネルを介して前記データ中継を行うための情報を問い合わせた情報管理装置から応答がない場合に、前記情報管理装置以外の他の前記情報管理装置と前記トンネルを確立させて接続して、前記他の情報管理装置に前記情報管理装置を示すピアアドレス情報を問い合わせ、前記他の情報管理装置が前記データ中継装置からの問い合わせに応じて、前記登録されたピアアドレス情報の中から該当する前記情報管理装置を示すピアアドレス情報を送信して提供する第1の提供ステップと、
を含むことを特徴とする情報管理方法。 A plurality of information management devices and data relay devices set to indefinite address information whose address information indicating itself is temporarily specified are connected to the public network and interposed between each information management device and the data relay device A logical tunnel is established in the public network to form a security network, and information for the data relay device to relay data is shared and managed by each information management device, In an information management method for providing information for performing the data relay in response to an inquiry from the data relay device,
A first registration step in which the information management device and the data relay device register peer address information indicating each information management device;
The information management device establishes and connects to the other information management device in which peer address information indicating each information management device is registered, and periodically transmits address information indicating the self, A first update step in which the other information management device that has received the address information updates the registered peer address information based on the address information;
When the data relay apparatus does not respond from the information management apparatus that inquires about the information for performing the data relay via the tunnel, the data relay apparatus establishes the tunnel with the information management apparatus other than the information management apparatus. And the other information management device inquires about the peer address information indicating the information management device, and the other information management device responds to the inquiry from the data relay device in accordance with the registered peer address information. A first providing step of transmitting and providing peer address information indicating the corresponding information management device from among;
An information management method comprising:
さらに含むことを特徴とする請求項1に記載の情報管理方法。 A second updating step in which the data relay device updates the registered peer address information based on the peer address information provided in the first providing step;
The information management method according to claim 1, further comprising:
前記データ中継装置が、前記第2の提供ステップで提供された前記ピアアドレス情報をもとに、前記登録されたピアアドレス情報を更新する第3の更新ステップと、
をさらに含むことを特徴とする請求項1または2に記載の情報管理方法。 The data relay device establishes and connects the information management device with the tunnel, and periodically inquires peer address information indicating another information management device other than the information management device, and the information management device transmits the data A second providing step of transmitting and providing peer address information indicating the corresponding other information management device from among the registered peer address information in response to an inquiry from a relay device;
A third updating step in which the data relay device updates the registered peer address information based on the peer address information provided in the second providing step;
The information management method according to claim 1, further comprising:
さらに含むことを特徴とする請求項2または3に記載の情報管理方法。 The data relay device establishes and connects with each information management device and transmits the address information indicating the self, and each information management device that receives the address information converts the address information into peer address information. The second registration step to register as
The information management method according to claim 2, further comprising:
各情報管理装置、各網終端装置および各データ中継装置が、各情報管理装置および各網終端装置を示すピアアドレス情報を登録する第1の登録ステップと、
前記情報管理装置および網終端装置が、各情報管理装置および各網終端装置を示すピアアドレス情報が登録された他の前記情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信し、該アドレス情報を受信した前記他の情報管理装置および網終端装置が、該アドレス情報をもとに前記登録されたピアアドレス情報を更新する第1の更新ステップと、
前記データ中継装置が、前記トンネルを介して前記データ中継を行うための情報を問い合わせた、網終端装置に接続された情報管理装置から応答がない場合に、前記情報管理装置以外の他の前記情報管理装置と前記トンネルを確立させて接続して、前記他の情報管理装置に、前記情報管理装置が接続された前記網終端装置を示すピアアドレス情報を問い合わせ、前記他の情報管理装置が前記データ中継装置からの問い合わせに応じて、前記登録されたピアアドレス情報の中から該当する前記網終端装置を示すピアアドレス情報を送信して提供する第1の提供ステップと、
を含むことを特徴とする情報管理方法。 A plurality of information management devices, network termination devices and data relay devices set to indefinite address information in which address information indicating itself is temporarily specified are connected to the public network, and each information management device and each network termination device And a security tunnel is established by establishing a logical tunnel in the public network interposed between the data relay devices, and an information management device is connected to the network termination device, and the data relay device relays data. In the information management method for providing information for performing the data relay in response to an inquiry from the data relay device via the tunnel, the information management devices share and manage the information to be performed,
A first registration step in which each information management device, each network termination device and each data relay device registers peer address information indicating each information management device and each network termination device;
The information management device and the network termination device are connected to another information management device in which peer address information indicating each information management device and each network termination device is registered and connected to the information management device and the network termination device. A first update step in which the other information management device and the network termination device that periodically transmit information and receive the address information update the registered peer address information based on the address information;
The information other than the information management apparatus when the data relay apparatus inquires about the information for performing the data relay through the tunnel and there is no response from the information management apparatus connected to the network termination apparatus. Establishing and connecting the management device with the tunnel, the other information management device inquires about peer address information indicating the network termination device to which the information management device is connected, and the other information management device sends the data A first providing step of transmitting and providing peer address information indicating the corresponding network termination device from among the registered peer address information in response to an inquiry from a relay device;
An information management method comprising:
さらに含むことを特徴とする請求項5に記載の情報管理方法。 A second updating step in which the data relay device updates the registered peer address information based on the peer address information provided in the first providing step;
The information management method according to claim 5, further comprising:
前記データ中継装置が、前記第2の提供ステップで提供された前記ピアアドレス情報をもとに、前記登録されたピアアドレス情報を更新する第3の更新ステップと、
をさらに含むことを特徴とする請求項5または6に記載の情報管理方法。 The data relay device establishes a connection with the information management device and establishes the tunnel, and periodically shows another information management device other than the information management device or a network termination device to which the information management device is connected Inquires address information, and in response to an inquiry from the data relay apparatus, the information management apparatus transmits peer address information indicating the corresponding other information management apparatus or network termination apparatus from the registered peer address information A second providing step to be provided,
A third updating step in which the data relay device updates the registered peer address information based on the peer address information provided in the second providing step;
The information management method according to claim 5, further comprising:
さらに含むことを特徴とする請求項6または7に記載の情報管理方法。 The data relay device establishes and connects with each information management device and transmits the address information indicating the self, and each information management device that receives the address information converts the address information into peer address information. The second registration step to register as
The information management method according to claim 6 or 7, further comprising:
各情報管理装置を示すピアアドレス情報を登録する第1の登録手段と、
各情報管理装置を示すピアアドレス情報が登録された他の前記情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信するとともに、前記他の情報管理装置から定期的に送信される該他の情報管理装置を示すピアアドレス情報を受信し、該ピアアドレス情報をもとに前記第1の登録手段で登録されたピアアドレス情報を更新する第1の更新手段と、
前記接続されたデータ中継装置から受信した前記他の情報管理装置を示すピアアドレス情報の問い合わせに応じて、前記第1の登録手段で登録されたピアアドレス情報の中から該当する前記他の情報管理装置を示すピアアドレス情報を検索し、前記データ中継装置に送信して提供する第1の提供手段と、
を備えることを特徴とする情報管理装置。 The address information indicating self is connected to at least one other information management device and a plurality of data relay devices set to undefined address information temporarily specified via a public network, and the self and the other A security network is configured by establishing a logical tunnel in the public network interposed between the information management device and the data relay device, and information for the data relay device to perform data relay is set in the other information management devices. In an information management apparatus that manages information shared with a device and provides information for performing the data relay in response to an inquiry of the data relay device via the tunnel,
First registration means for registering peer address information indicating each information management device;
Establishing and connecting to the other information management device in which peer address information indicating each information management device is registered, and connecting the periodic information of the address indicating itself, and the other information management device Receiving the peer address information indicating the other information management device periodically transmitted from the first address, and updating the peer address information registered by the first registration means based on the peer address information Means,
In response to the inquiry of peer address information indicating the other information management device received from the connected data relay device, the other information management corresponding to the peer address information registered by the first registration means First providing means for retrieving peer address information indicating a device, and transmitting and providing the peer address information to the data relay device;
An information management device comprising:
前記他の情報管理装置および各網終端装置を示すピアアドレス情報を登録する第1の登録手段と、
各情報管理装置および各網終端装置を示すピアアドレス情報が登録された前記他の情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信するとともに、前記他の情報管理装置または前記網終端装置から定期的に送信される該他の情報管理装置または該網終端装置を示すアドレス情報を受信し、該アドレス情報をもとに前記第1の登録手段で登録されたピアアドレス情報を更新する第1の更新手段と、
前記接続されたデータ中継装置から受信した前記網終端装置を示すピアアドレス情報の問い合わせに応じて、前記第1の登録手段で登録されたピアアドレス情報の中から該当する前記網終端装置を示すピアアドレス情報を検索し、前記データ中継装置に送信して提供する第1の提供手段と、
を備えることを特徴とする情報管理装置。 The address information indicating self is connected to at least one other information management device, a plurality of network termination devices, and a data relay device, which are set as indefinite address information that is temporarily specified, A security network by establishing a logical tunnel in the public network that is interposed between the other information management device, the network termination device, and the data relay device, and information for the data relay device to perform data relay In the information management device that shares and manages with the other information management device and provides information for performing the data relay in response to the inquiry of the data relay device through the tunnel,
First registration means for registering peer address information indicating the other information management device and each network terminating device;
Establishing and connecting to the other information management device in which the peer address information indicating each information management device and each network termination device is registered, and transmitting the address information indicating the self periodically, Address information indicating the other information management device or the network termination device periodically transmitted from the other information management device or the network termination device is received, and the first registration means based on the address information First updating means for updating registered peer address information;
In response to an inquiry about peer address information indicating the network termination device received from the connected data relay device, the peer indicating the network termination device corresponding to the peer address information registered by the first registration means. First providing means for retrieving address information and transmitting the address information to the data relay device;
An information management device comprising:
各情報管理装置を示すピアアドレス情報を登録する第2の登録手段と、
前記トンネルを介して前記データ中継を行うための情報を問い合わせた情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、該情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記情報管理装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第2の更新手段と、
を備えることを特徴とするデータ中継装置。 The address information indicating itself is connected to a plurality of information management devices and other data relay devices set as indefinite address information that is temporarily specified via the public network. Establishing a logical tunnel in the public network interposed between the other data relay devices to form a security network, and information for performing data communication shared and managed by each information management device In the data relay device that inquires to the device,
Second registration means for registering peer address information indicating each information management device;
When there is no response from the information management apparatus that inquires about the information for performing the data relay through the tunnel, the information management apparatus establishes and connects the tunnel to another information management apparatus other than the information management apparatus, and The peer address information indicating the management device is inquired, and the peer registered in the second registration means based on the peer address information indicating the information management device provided from the other information management device in response to the inquiry. A second updating means for updating the peer address information;
A data relay device comprising:
さらに備えることを特徴とする請求項11に記載のデータ中継装置。 Established and connected to the information management apparatus and the tunnel, periodically inquires peer address information indicating an information management apparatus other than the information management apparatus, and provided from the information management apparatus in response to the inquiry Third updating means for updating the peer address information registered by the second registration means based on peer address information indicating the other information management device,
The data relay device according to claim 11, further comprising:
各情報管理装置および各網終端装置を示すピアアドレス情報を登録する第2の登録手段と、
前記トンネルを介して前記データ中継を行うための情報を問い合わせた、網終端装置に接続された情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記網終端装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記網終端装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第2の更新手段と、
を備えることを特徴とするデータ中継装置。 It is connected to a plurality of information management devices, network termination devices and other data relay devices that are set to undefined address information for which the address information indicating itself is temporarily specified, and the self and each information A logical tunnel is established in the public network interposed between the management device, each network termination device and the other data relay device to form a security network, and inquires each information management device for information for data communication In the data relay device,
Second registration means for registering peer address information indicating each information management device and each network termination device;
When there is no response from the information management device connected to the network terminating device that inquires about the information for performing the data relay through the tunnel, the tunnel is established with another information management device other than the information management device. And inquiring peer address information indicating the network terminating device, and in response to the inquiry, the second address based on the peer address information indicating the network terminating device provided from the other information management device. Second updating means for updating the peer address information registered by the registration means;
A data relay device comprising:
さらに備えることを特徴とする請求項13に記載のデータ中継装置。 Establishing and connecting to the information management apparatus and the tunnel, periodically inquiring peer address information indicating an information management apparatus other than the information management apparatus or the network termination apparatus, and responding to the inquiry, managing the information A third updating means for updating the peer address information registered by the second registration means based on peer address information indicating the other information management device or network terminating device provided from a device;
The data relay device according to claim 13, further comprising:
前記情報管理装置は、各情報管理装置を示すピアアドレス情報を登録する第1の登録手段と、各情報管理装置を示すピアアドレス情報が登録された他の前記情報管理装置と前記トンネルを確立させて接続して、前記自己を示すピアアドレス情報を定期的に送信するとともに、前記他の情報管理装置から定期的に送信される該他の情報管理装置を示すアドレス情報を受信し、該アドレス情報をもとに前記第1の登録手段で登録されたピアアドレス情報を更新する第1の更新手段と、前記接続されたデータ中継装置から受信した前記他の情報管理装置を示すアドレス情報の問い合わせに応じて、前記第1の登録手段で登録されたピアアドレス情報の中から該当する前記他の情報管理装置を示すピアアドレス情報を検索し、前記データ中継装置に送信して提供する第1の提供手段と、を備え、
前記データ中継装置は、各情報管理装置を示すピアアドレス情報を登録する第2の登録手段と、前記トンネルを介して前記データ中継を行うための情報を問い合わせた情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、該情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記情報管理装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第2の更新手段と、を備えることを特徴とする情報管理システム。 A plurality of information management devices and data relay devices set to indefinite address information whose address information indicating itself is temporarily specified are connected to the public network and interposed between each information management device and the data relay device A logical tunnel is established in the public network to form a security network, and information for the data relay device to relay data is shared and managed by each information management device, In an information management system that provides information for performing the data relay in response to an inquiry from the data relay device,
The information management apparatus establishes the tunnel with a first registration means for registering peer address information indicating each information management apparatus, and the other information management apparatus in which peer address information indicating each information management apparatus is registered. And the peer address information indicating the self is periodically transmitted, and the address information indicating the other information management device periodically transmitted from the other information management device is received, and the address information Based on the first update means for updating the peer address information registered by the first registration means, and for inquiring address information indicating the other information management apparatus received from the connected data relay apparatus. In response, the peer address information indicating the corresponding other information management device is retrieved from the peer address information registered by the first registration means and sent to the data relay device. And a first providing means for providing to,
When the data relay device does not receive a response from the second registration means for registering the peer address information indicating each information management device and the information management device inquiring information for performing the data relay via the tunnel. The tunnel is established with and connected to another information management device other than the information management device, and the peer address information indicating the information management device is inquired. In response to the inquiry, the other information management device provides An information management system comprising: second update means for updating the peer address information registered by the second registration means based on peer address information indicating the information management device.
前記情報管理装置は、前記他の情報管理装置および各網終端装置を示すピアアドレス情報を登録する第1の登録手段と、各情報管理装置および各網終端装置を示すピアアドレス情報が登録された前記他の情報管理装置と前記トンネルを確立させて接続して、前記自己を示すアドレス情報を定期的に送信するとともに、前記他の情報管理装置または前記網終端装置から定期的に送信される該他の情報管理装置または該網終端装置を示すピアアドレス情報を受信し、該ピアアドレス情報をもとに前記第1の登録手段で登録されたピアアドレス情報を更新する第1の更新手段と、前記接続されたデータ中継装置から受信した前記網終端装置を示すピアアドレス情報の問い合わせに応じて、前記第1の登録手段で登録されたピアアドレス情報の中から該当する前記網終端装置を示すピアアドレス情報を検索し、前記データ中継装置に送信して提供する第1の提供手段と、を備え、
前記データ中継装置は、各情報管理装置および各網終端装置を示すピアアドレス情報を登録する第2の登録手段と、前記トンネルを介して前記データ中継を行うための情報を問い合わせた、網終端装置に接続された情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記網終端装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記網終端装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新し、または前記トンネルを介して前記データ中継を行うための情報を問い合わせた情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記情報管理装置を示すピアアドレス情報をもとに、前記第2の登録手段で登録された前記ピアアドレス情報を更新する第2の更新手段と、を備え、
前記網終端装置は、前記情報管理装置およびデータ中継装置と前記トンネルを確立させて接続して、前記情報管理装置およびデータ中継装置と自己に接続された情報管理装置との間に通信される情報を中継する中継手段と、各情報管理装置および各網終端装置を示すピアアドレス情報を登録する第3の登録手段と、前記トンネルを介してピアアドレス情報を問い合わせた、他の網終端装置に接続された前記情報管理装置から応答がない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記他の網終端装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記他の網終端装置を示すピアアドレス情報をもとに、前記第3の登録手段で登録された前記ピアアドレス情報を更新し、または前記トンネルを介して前記ピアアドレス情報を問い合わせた情報管理装置への問い合わせに対する情報提供が得られない場合に、前記情報管理装置以外の他の情報管理装置と前記トンネルを確立させて接続して、前記情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記他の情報管理装置から提供された前記情報管理装置を示すピアアドレス情報をもとに、前記第3の登録手段で登録された前記ピアアドレス情報を更新する第4の更新手段と、を備えることを特徴とする情報管理システム。 A plurality of information management devices, network termination devices and data relay devices set to indefinite address information in which address information indicating itself is temporarily specified are connected to the public network, and each information management device, the network termination device And a security network is established by establishing a logical tunnel in the public network interposed between the data relay devices, an information management device is connected to the network termination device, and the data relay device relays data In the information management system for providing information for performing the data relay in response to an inquiry of the data relay device via the tunnel, the information management devices share and manage the information to be performed,
In the information management device, first registration means for registering peer address information indicating the other information management device and each network termination device, and peer address information indicating each information management device and each network termination device are registered. The tunnel is established with and connected to the other information management device, and address information indicating the self is periodically transmitted, and the other information management device or the network termination device periodically transmits the address information. First update means for receiving peer address information indicating another information management device or the network termination device, and updating the peer address information registered by the first registration means based on the peer address information; In response to an inquiry about peer address information indicating the network terminating device received from the connected data relay device, from among the peer address information registered by the first registration means Find the peer address information indicative of the network unit equivalent to, and a first providing means for providing transmit the data relay device,
The data relay device inquires about the information for performing the data relay via the tunnel, the second registration means for registering the peer address information indicating each information management device and each network termination device, If there is no response from the information management device connected to the network, the tunnel is established and connected to another information management device other than the information management device, and the peer address information indicating the network terminating device is inquired. The peer address information registered by the second registration means is updated based on peer address information indicating the network terminating device provided from the other information management device in response to the request, or via the tunnel. If there is no response from the information management device that inquires about the information for performing the data relay, the information management device other than the information management device and the tunnel Established and connected, inquires about peer address information indicating the information management device, and based on the peer address information indicating the information management device provided from the other information management device in response to the inquiry, the first address Second updating means for updating the peer address information registered by the two registration means,
The network termination device establishes and connects the information management device and the data relay device with the tunnel, and communicates information between the information management device and the data relay device and the information management device connected to itself. A relay means for relaying, a third registration means for registering peer address information indicating each information management device and each network termination device, and connecting to another network termination device inquiring of the peer address information via the tunnel If there is no response from the received information management device, the tunnel is established with and connected to another information management device other than the information management device, and the peer address information indicating the other network termination device is queried, Based on the peer address information indicating the other network termination device provided from the other information management device in response to the inquiry, the peer registered by the third registration means. In the case where it is not possible to provide information in response to the inquiry to the information management apparatus that has updated the address information or inquired about the peer address information via the tunnel, the tunnel is connected to another information management apparatus other than the information management apparatus. Established and connected, inquires about peer address information indicating the information management device, and based on the peer address information indicating the information management device provided from the other information management device in response to the inquiry, the first address And a fourth updating unit for updating the peer address information registered by the registration unit.
前記網終端装置は、前記情報管理装置と前記トンネルを確立させて接続して、定期的に該情報管理装置以外の他の情報管理装置を示すピアアドレス情報を問い合わせ、該問い合わせに応じて前記情報管理装置から提供された前記他の情報管理装置または網終端装置を示すピアアドレス情報をもとに、前記第3の登録手段で登録された前記ピアアドレス情報を更新する第5の更新手段を、さらに備えることを特徴とする請求項18に記載の情報管理システム。 The data relay device establishes and connects the information management device with the tunnel, periodically inquires peer address information indicating another information management device other than the information management device, and responds to the inquiry with the information Third updating means for updating the peer address information registered by the second registration means based on peer address information indicating the other information management device or network termination device provided from the management device, In addition,
The network termination device establishes and connects the tunnel with the information management device, periodically inquires peer address information indicating another information management device other than the information management device, and responds to the inquiry with the information Fifth update means for updating the peer address information registered by the third registration means based on peer address information indicating the other information management device or network termination device provided from the management device; The information management system according to claim 18, further comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007080016A JP2007295546A (en) | 2006-03-30 | 2007-03-26 | Method, device and system for information management, and data relay device |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006095792 | 2006-03-30 | ||
| JP2007080016A JP2007295546A (en) | 2006-03-30 | 2007-03-26 | Method, device and system for information management, and data relay device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007295546A true JP2007295546A (en) | 2007-11-08 |
Family
ID=38765665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007080016A Pending JP2007295546A (en) | 2006-03-30 | 2007-03-26 | Method, device and system for information management, and data relay device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007295546A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010041132A (en) * | 2008-07-31 | 2010-02-18 | Panasonic Electric Works Co Ltd | Communication system |
-
2007
- 2007-03-26 JP JP2007080016A patent/JP2007295546A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010041132A (en) * | 2008-07-31 | 2010-02-18 | Panasonic Electric Works Co Ltd | Communication system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4730118B2 (en) | Domain name system | |
| CN101501665B (en) | Trans-network roaming and resolution with web services for devices | |
| KR100953805B1 (en) | Virtual private network structures reuse for mobile computing devices | |
| CN106576118B (en) | Dynamic DNS-based service discovery | |
| JP4624701B2 (en) | Device information management apparatus and method via network | |
| EP2291979B1 (en) | Remote access between upnp devices | |
| JP4207065B2 (en) | Asset management system, asset management method, information processing apparatus, and program | |
| JP2006254137A (en) | User terminal management device, user terminal management program and user terminal management system | |
| CN102571972A (en) | Site-aware distributed file system access from outside enterprise network | |
| CN104662848A (en) | Methods and systems for dynamic domain name system (ddns) | |
| JP2004208101A (en) | Gateway and communication method therefor | |
| JP6008411B2 (en) | Device management apparatus, device management system, device management method and program | |
| CN102598637B (en) | Communications system | |
| JP2007082079A (en) | Inter-network connecting device and simple authentication system and method using the same | |
| JP2014135592A (en) | Information processing device, information processing method, and information processing system | |
| JP3770801B2 (en) | Proxy server, server and recording medium recording program for realizing the same | |
| JP2017011487A (en) | Information processing system, control program of information processing system and method for controlling information processing system | |
| KR101710033B1 (en) | Method for maintaining connectivity among dynamic ip devices and the apparatus therefor | |
| JP2007295546A (en) | Method, device and system for information management, and data relay device | |
| JP2004349895A (en) | Lan interconnection apparatus and its upnp device disclosing method | |
| JP6002642B2 (en) | Communication node, network system, and device control method | |
| JP4630214B2 (en) | Information management method, information management apparatus, data relay apparatus, and information management system | |
| JP2008098937A (en) | Virtual network communication system and communication terminal | |
| JP4242752B2 (en) | Address table management method and terminal | |
| JP5084716B2 (en) | VPN connection apparatus, DNS packet control method, and program |