JP2008098937A - 仮想ネットワーク通信システムおよび通信端末 - Google Patents

仮想ネットワーク通信システムおよび通信端末 Download PDF

Info

Publication number
JP2008098937A
JP2008098937A JP2006278003A JP2006278003A JP2008098937A JP 2008098937 A JP2008098937 A JP 2008098937A JP 2006278003 A JP2006278003 A JP 2006278003A JP 2006278003 A JP2006278003 A JP 2006278003A JP 2008098937 A JP2008098937 A JP 2008098937A
Authority
JP
Japan
Prior art keywords
policy
policy information
communication terminal
information
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006278003A
Other languages
English (en)
Inventor
Tetsuya Aoyama
哲也 青山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2006278003A priority Critical patent/JP2008098937A/ja
Publication of JP2008098937A publication Critical patent/JP2008098937A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】アクセスネットワークへ専用の装置を設置することなく、リモートアクセスを受け入れるネットワークの管理者側のポリシー情報を考慮し、通信端末が複数の仮想ネットワークに同時に加入して特定のアプリケーションやセションといった目的別に仮想ネットワークを使い分けることができる仮想ネットワーク通信システムを提供すること。
【解決手段】アクセスネットワーク100接続時に、通信端末110が仮想ネットワークへの接続条件となるポリシー情報をポリシーサーバ310,410から取得し、取得したポリシー情報を当該ポリシーサーバが管理する仮想ネットワークに対応付けて管理しておき、データ通信要求時に、ポリシーサーバ310,410から取得したポリシー情報の中からデータ通信要求に含まれる送信先情報の接続条件を満たすポリシー情報を抽出し、抽出したポリシー情報に対応付けられている仮想ネットワークを用いてデータ通信を行う。
【選択図】 図1

Description

本発明は、少なくとも1台の通信端末が接続するアクセスネットワークと、仮想ネットワーク毎に存在し当該仮想ネットワークを管理するポリシーサーバと前記通信端末の通信相手端末とが接続する少なくとも1つのプライベートネットワークと、前記アクセスネットワークと前記プライベートネットワークとを接続するネットワークとを有する仮想ネットワーク通信システムに関するものである。
物理ネットワークにオーバレイする形で仮想ネットワークを構成する技術として、Virtual Local Area Network(VLAN)やVirtual Private Network(VPN)がある。VLANは、企業内ネットワークなどのEthernet(登録商標)環境内において、物理的な接続形態とは独立にIEEE802.1Qにて規格化されたタグをEthernet(登録商標)フレームに追加することで通信端末の仮想的なグループを構築する技術である。VLANでは、VLANに対応したスイッチがフレーム内のVLANタグの値をもとに転送先ポートを決定する。しかしながら、VLANの場合、適用先はEthernet(登録商標)フレームが届く範囲、すなわち同一サブネット内に限定されるため、ルータを介する広域のネットワークに展開することはできないという問題があった。
また、インターネットを用いたVPN(インターネットVPN)は、インターネットなどの共通ネットワーク上に仮想的に専用のプライベートネットワークを構築する技術である。インターネットVPNは、通信相手との間に仮想的なトンネルを作ることによって、インターネットからは直接接続できないネットワーク内の通信端末との接続を可能にする技術である。インターネットVPNは複数の通信端末が存在する拠点(LAN)同士を接続するLAN間接続と、外部の通信端末からLANに接続するリモートアクセスの2つの形態を有している。たとえば、外出先から会社などのLANへ接続するリモートアクセスの形態を利用する場合を考える。一般的に、リモートアクセスの場合、通信端末が一度リモートアクセスサーバに接続すると、接続してから切断するまでの間、すべてのパケットがVPNによって作られたトンネルを通ってVPNサーバ経由となって送受信される。そのため、特定のアプリケーションやセションごとに、VPNを利用する・しないや、複数VPN間の選択をすることができないという問題があった。
このような問題を改善するための従来技術として、たとえば、特許文献1がある。特許文献1には、複数のリモートアクセスを実現するために、装置内に仮想のデータリンク(VDL)や物理データリンクを関連付けてグループ化したリソーススペース(RS)を定義してIP(Internet Protocol)アドレスやポート番号をRSに割り付けることで、独立した複数の仮想ネットワークを実現する技術が開示されている。
特開2002−84302号公報
上記特許文献1に記載の従来技術では、装置内に仮想のデータリンク(VDL)や物理データリンクを関連付けてグループ化したリソーススペース(RS)を定義してIP(Internet Protocol)アドレスやポート番号をRSに割り付けるようにしているため、1台の通信端末が複数の仮想ネットワークを同時に利用することを可能にしている。しかしながら、上記特許文献1に記載の従来技術では、仮想ネットワーク振り分けのためのルールの設定、更新方法に関する技術、すなわち複数の仮想ネットワーク間の選択ルールの制御方法に関する技術は開示されていない。
複数の仮想ネットワーク間の選択ルールは、リモートアクセスを受け入れる側、すなわち各仮想ネットワークを管理する側によって管理することが可能であり、またこのルールは通信端末において通信要求発生時に利用できることが望ましい。特に、公衆網などの不特定多数の通信端末が接続するネットワークでは、アクセスネットワークへの専用装置の設置が困難であり、通信端末ごとの選択ルールの管理が重要技術となる。
本発明は、上記に鑑みてなされたものであって、アクセスネットワークに専用の装置を設置することなく、リモートアクセスを受け入れるネットワークの管理者側のポリシー情報を考慮し、通信端末が複数の仮想ネットワークに同時に加入して特定のアプリケーションやセションといった目的別に仮想ネットワークを使い分けることができる仮想ネットワーク通信システムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、少なくとも1台の通信端末が接続するアクセスネットワークと、仮想ネットワーク毎に存在し当該仮想ネットワークを管理するポリシーサーバと前記通信端末の通信相手端末とが接続する少なくとも1つのプライベートネットワークと、前記アクセスネットワークと前記プライベートネットワークとを接続するネットワークとを有する仮想ネットワーク通信システムにおいて、前記ポリシーサーバは、前記通信端末に対応付けて当該通信端末のポリシー情報が登録されるデータベース部と、前記通信端末からのポリシー情報要求メッセージを受信すると、該ポリシー情報要求メッセージを送信した通信端末のポリシー情報を前記データベース部から抽出し、抽出したポリシー情報および自身を識別するためのサーバ識別子を含むポリシー情報要求応答メッセージを前記通信端末に送信する制御部と、を備え、前記通信端末は、前記仮想ネットワークに対応付けてポリシー情報が登録されるポリシー情報テーブルと、前記アクセスネットワーク接続時に、仮想ネットワークへの接続条件となるポリシー情報を要求する前記ポリシー情報要求メッセージを前記ポリシーサーバに送信し、前記ポリシーサーバから前記ポリシー情報要求応答メッセージを受信すると、前記ポリシー情報要求応答メッセージに含まれるサーバ識別子が示すポリシーサーバが管理する仮想ネットワークに対応付けて前記ポリシー情報要求応答メッセージに含まれるポリシー情報を前記ポリシー情報テーブルに登録するポリシー管理部と、データ通信要求を受けると、前記ポリシー情報テーブルに登録されているポリシー情報の中から、前記データ通信要求に含まれる送信先情報の接続条件を満たすポリシー情報を抽出し、抽出したポリシー情報に対応付けられている仮想ネットワークを選択し、選択した仮想ネットワークを用いて通信相手端末とデータ通信を行う仮想ネットワーク選択部と、を備えることを特徴とする。
この発明によれば、アクセスネットワーク接続時に、通信端末が仮想ネットワークへの接続条件となるポリシー情報を要求してポリシーサーバからポリシー情報を取得し、取得したポリシー情報を当該ポリシーサーバが管理する仮想ネットワークに対応付けて管理しておき、データ通信要求時に、ポリシーサーバから取得したポリシー情報の中からデータ通信要求に含まれる送信先情報の接続条件を満たすポリシー情報を抽出し、抽出したポリシー情報に対応付けられている仮想ネットワークを用いてデータ通信を行うようにしているため、アクセスネットワークに専用の装置を設置することなく、リモートアクセスを受け入れるネットワークの管理者側のポリシー情報を考慮し、通信端末が複数の仮想ネットワークに同時に加入して特定のアプリケーションやセションといった目的別に仮想ネットワークを使い分けることができる仮想ネットワーク通信システムを得ることができるという効果を奏する。
以下に、本発明にかかる仮想ネットワークの制御方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1〜図6を参照してこの発明の実施の形態1を説明する。図1は、この発明における仮想ネットワーク通信システムの実施の形態1の構成の一例を示す図である。図1において、通信システムは、アクセスネットワーク100と、インターネット200と、プライベートネットワーク300,400とを備えている。アクセスネットワーク100は、携帯電話網やFTTH(Fiber To The Home)などによってインターネット200と接続するネットワークである。プライベートネットワーク300,400は、たとえば、企業内ネットワークなどのプライベートネットワークであり、インターネット200と接続する。インターネット200は、アクセスネットワーク100とプライベートネットワーク300,400とを接続するネットワークである。
プライベートネットワーク300は、プライベートネットワーク300のポリシー情報を管理するポリシーサーバ310と、プライベートネットワーク300内でサーバやクライアントして動作する機能を有する通信端末320,330を備えている。
プライベートネットワーク400は、プライベートネットワーク400のポリシー情報を管理するポリシーサーバ410と、プライベートネットワーク400内でサーバやクライアントして動作する機能を有する通信端末420,430を備えている。
ポリシーサーバ310,410は、同じ機能を備えている。図2に示したポリシーサーバ310の構成を示すブロック図を参照して、ポリシーサーバの機能を説明する。図2において、ポリシーサーバ310は、プライベートネットワーク300を介してインターネット200と接続するためのインタフェース機能を有する物理通信インタフェース部311と、通信端末からポリシーサーバ310が接続するプライベートネットワーク300への接続に関するポリシー情報が登録されるデータベース部312と、データベース部312を管理するとともに、ポリシー情報要求メッセージに応じてデータベース部312に登録されたポリシー情報に基づいてポリシー情報要求応答メッセージを生成する制御部313とを備えている。
図3は、図2に示したデータベース部312の登録項目の一例を示す図である。図3においては、データベース部312の登録項目として、端末ID3121と、あて先情報3122と、有効時間3123を挙げている。端末ID3121には、通信端末を識別するための端末識別子(端末ID)が登録される。あて先情報3122には、端末ID3121に登録された端末IDが示す通信端末に対するあて先IP(Internet Protocol)アドレスやあて先ポート番号、アプリケーションの識別が可能なアプリケーションヘッダなどのレイヤ3〜レイヤ7におけるあて先情報が登録される、有効時間3123には、端末ID3121に登録された端末IDが示す通信端末に対するプライベートネットワーク300へのポリシー情報有効時間が登録される。すなわち、図3においては、あて先情報3122および有効時間3123の登録内容が、端末ID3121に登録された端末IDが示す通信端末のポリシー情報である。
図1に戻って、通信端末110は、アクセスネットワーク100およびインターネット200を介してプライベートネットワーク300,400にリモートアクセスし、ポリシーサーバ310,410からポリシー情報を取得し、取得したポリシー情報に基づいて仮想ネットワークを選択する。そして、通信端末110は、選択した仮想ネットワークを用いて通信端末320,330,420,430とデータ通信を行う。
図4は、図1に示した通信端末110の本発明に関わる機能構成を示すブロック図である。図4において、通信端末110は、物理通信インタフェース部111、仮想通信インタフェース部112,113、仮想ネットワーク選択部114、ポリシー管理部115、およびポリシー情報テーブル116を備えている。
物理通信インタフェース部111は、アクセスネットワーク100を介してインターネット200と接続するためのインタフェース機能を有する。仮想通信インタフェース部112,113は、それぞれ予め定められた仮想ネットワークに対応付けられており、仮想ネットワークと接続する際のインタフェース機能を有する。
ポリシー情報テーブル116には、自端末が接続可能な仮想ネットワークに関するポリシー情報が登録される。図5は、図4に示したポリシー情報テーブル116の登録項目の一例を示す図である。図5においては、ポリシー情報テーブル116の登録項目として、登録番号1161、あて先情報1162、有効時間1163、および仮想インタフェース識別子1164を挙げている。登録番号1161には、ポリシー情報テーブル116への登録番号が登録される。あて先情報1162には、あて先IPアドレスやあて先ポート番号、アプリケーションの識別が可能なアプリケーションヘッダなどのレイヤ3〜レイヤ7におけるあて先情報が登録される。有効時間1163には、プライベートネットワーク300へのポリシー情報有効時間が登録される。仮想インタフェース識別子1164には、予め定められた仮想インタフェースを識別するための仮想インタフェース識別子が登録される。
図4に戻って、ポリシー管理部115は、アクセスネットワーク100に接続する際に、ポリシーサーバ310,410からポリシー情報を取得してポリシー情報テーブル116を生成するとともに、生成したポリシー情報テーブル116を管理する。
仮想ネットワーク選択部114は、ユーザが入力手段(図示せず)を用いて入力したデータ通信要求とポリシー情報テーブル116とに基づいて、データ通信を行う際に使用する仮想ネットワークを選択し、選択した仮想ネットワークに対応する仮想通信インタフェース部112,113を選択する。
つぎに、図6のシーケンス図、および図1〜図5を参照して、この発明における仮想ネットワーク通信システムの動作について説明する。なお、通信端末110のポリシー管理部115には、ポリシーサーバ310,410が属するプライベートネットワーク300,400に設定されている仮想ネットワークを識別するための仮想ネットワーク識別子と、ポリシーサーバ310,410を識別するための識別子(サーバ識別子)との対応付けが予め設定されているものとする。
アクセスネットワーク100に接続すると、通信端末110のポリシー管理部115は、ポリシーサーバ310,410に対してプライベートネットワーク300,400への接続条件を示すポリシー情報を要求するポリシー情報要求メッセージを生成する。通信端末110のポリシー管理部115は、ポリシー情報要求メッセージ内に、自端末に予め付与されている端末IDを含めておく。通信端末110のポリシー管理部115は、生成したポリシー情報要求メッセージを通信端末110の物理通信インタフェース部111に出力する。通信端末110の物理通信インタフェース部111は、ポリシー情報要求メッセージをアクセスネットワーク100に送信する(ステップS100a,S100b)。アクセスネットワーク100に送信されたポリシー情報要求メッセージは、インターネット200を介してプライベートネットワーク300,400に到達する。
ポリシーサーバ310,410の物理通信インタフェース部311は、プライベートネットワーク300,400に到達したポリシー情報要求メッセージを受信してポリシーサーバ310,410の制御部313に出力する。ポリシーサーバ310,410の制御部313は、ポリシー情報の要求元、すなわちポリシー情報要求メッセージの送信元の通信端末110に関するポリシー情報をポリシーサーバ310,410のデータベース部312から抽出する(ステップS101a,S101b)。
具体的には、ポリシーサーバ310,410の制御部313は、受信したポリシー情報要求メッセージに含まれる端末IDを抽出し、抽出した端末IDを検索キーとして、ポリシーサーバ310,410のデータベース部312の端末ID3121を検索して、検索キーと一致する端末IDを抽出する。ポリシーサーバ310,410の制御部313は、抽出した端末IDに対応付けてあて先情報3122に登録されているあて先情報および有効時間3123に登録されている有効時間を抽出する。たとえば、図3においては、ポリシー要求メッセージに含まれる端末IDが「#a」の場合には、あて先情報「#IP01、#UDP01、<?xml><description>...」と有効時間「10」の組と、あて先情報「#IP02、#UDP02、DNS Request(example.com)と有効時間「100」の組とを抽出し、ポリシー要求メッセージに含まれる端末IDが「#b」の場合には、あて先情報「#IP01、#UDP01、<?xml><description>...」と有効時間「20」の組をポリシー情報として抽出する。
ポリシーサーバ310,410の制御部313は、抽出したポリシー情報(この場合は、あて先情報と有効時間との組)と予め付与されている自身を識別するための識別子(サーバ識別子)とを含む通信端末110宛のポリシー情報要求応答メッセージを生成する。ポリシーサーバ310,410の制御部313は、生成したポリシー情報要求応答メッセージをポリシーサーバ310,410の物理通信インタフェース部311に出力する。ポリシーサーバ310,410の物理通信インタフェース部311は、ポリシー情報要求応答メッセージをプライベートネットワーク300,400に送信する(ステップS102a,S102b)。なお、ポリシー情報要求応答メッセージを送信する際に、IPSecなどの既存の暗号化手段を用いてポリシー情報を暗号化してセキュリティーを向上するようにしてもよい。ポリシー情報要求応答メッセージは、インターネット200を介してアクセスネットワーク100に到達する。
通信端末110の物理通信インタフェース部111は、アクセスネットワーク100に到達したポリシー情報要求応答メッセージを受信して、通信端末110のポリシー管理部115に出力する。通信端末110のポリシー管理部115は、ポリシー情報要求応答メッセージに基づいて、ポリシー情報テーブル116を生成する(ステップS103)。
具体的には、通信端末110のポリシー管理部115は、ポリシー情報要求応答メッセージに含まれるサーバ識別子とポリシー情報(あて先情報と有効時間との組)を抽出する。通信端末110のポリシー管理部115は、あて先情報と有効時間との1組に対して管理番号を付与する。通信端末110のポリシー管理部115は、付与した管理番号を通信端末110のポリシー情報テーブル116(図5参照)の登録番号1161に登録し、抽出したあて先情報をあて先情報1162に登録し、抽出した有効時間を有効時間1163に登録する。また、通信端末110のポリシー管理部115は、抽出したサーバ識別子が示すポリシーサーバ310,410が属するプライベートネットワーク300,400に予め設定されている仮想インタフェースを示す仮想インタフェース識別子を通信端末110のポリシー情報テーブル116の仮想インタフェース識別子1164に登録する。
ここまでのステップS100〜S103までの動作、すなわち通信端末110がポリシーサーバ310,410からポリシー情報を取得する動作は、たとえば、普段、会社のプライベートネットワーク300,400を利用する社員(ユーザ)が、通信端末110を持って出張した際に外出先のアクセスネットワーク100を利用して、プライベートネットワーク300,400への接続条件を取得する行為に相当する。
続いて、ユーザが入力手段を用いて入力したデータ通信要求を受けると(ステップS104,Yes)、通信端末110の仮想ネットワーク選択部114は、データ通信要求に含まれる通信相手(データの送信先)を示す送信先情報およびポリシー情報テーブル116に基づいて仮想インタフェースを選択する(ステップS105)。
具体的には、通信端末110の仮想ネットワーク選択部114は、データ通信要求から送信先情報を抽出する。ここで、送信先情報とは、レイヤ3〜レイヤ7のヘッダに相当する情報である。通信端末110の仮想ネットワーク選択部114は、データ通信要求から、あて先IPアドレス、あて先ポート番号、およびアプリケーション情報を送信先情報として抽出し、抽出した送信先情報を検索キーとして通信端末110のポリシー情報テーブル116のあて先情報1162を検索して、検索キーと一致するあて先情報を抽出する。
たとえば、データ通信要求に含まれる送信先情報のあて先IPアドレスが「#IP01」、あて先ポート番号が「#UPD01」、アプリケーション情報がHTTP(Hyper Text Transfer Protocol)を示すヘッダ「<?xml><descniption>...」であった場合には、通信端末110の仮想ネットワーク選択部114は、通信端末110のポリシー情報テーブル116の登録番号「#01」に対応付けられたあて先情報1162を抽出する(図5参照)。データ通信要求に含まれる送信先情報のあて先IPアドレスが「#IP02」、あて先ポート番号が「#UDP02」、アプリケーション情報が「DNS Request(example.com)」であった場合には、通信端末110の仮想ネットワーク選択部114は、通信端末110のポリシー情報テーブル116の登録番号「#02」に対応付けられたあて先情報1162を抽出する。
通信端末110の仮想ネットワーク選択部114は、抽出したあて先情報1162に対応付けられている仮想インタフェース識別子1164を抽出し、抽出した仮想インタフェース識別子1164に登録されている仮想インタフェース識別子が示す仮想インタフェースを選択する。すなわち、通信端末110の仮想ネットワーク選択部114は、抽出した仮想ネットワーク識別子が「#VIF01」の場合には仮想ネットワーク識別子「#VIF01」が示す仮想ネットワークを選択し、抽出した仮想ネットワーク識別子が「#VIF02」の場合には仮想ネットワーク識別子「#VIF02」が示す仮想ネットワークを選択する。
なお、通信端末110のポリシー情報テーブル116のあて先情報1162に、送信先情報と一致するものが存在しない場合、通信端末110の仮想ネットワーク選択部114は、仮想ネットワークを選択することなく、ディフォルトの通信インタフェースを選択する。具体的には、データ通信要求に含まれている送信先情報があて先IPアドレス「#IP02」、あて先ポート番号「#UDP03」、アプリケーション情報がHTTPを示すヘッダの場合、図5に示した通信端末110のポリシー情報テーブル116のあて先情報1162に一致するものは存在しない。よって、通信端末110の仮想ネットワーク選択部114は、仮想ネットワークを選択することなく、ディフォルトの通信インタフェースを選択する。
通信端末110の仮想ネットワーク選択部114は、選択した仮想インタフェースに対応する仮想通信インタフェース部112,113を用いてデータ通信を開始する(ステップS106)。たとえば、仮想インタフェース識別子「#VIF01」が示す仮想ネットワークがプライベートネットワーク300に設定されており、かつ通信端末110の仮想通信インタフェース部112が仮想インタフェース識別子「#VIF01」が示す仮想ネットワークに対応付けられている場合には、通信端末110の仮想ネットワーク選択部114は、通信端末110の仮想通信インタフェース部112を選択する。そして、通信端末110の仮想通信インタフェース部112、物理通信インタフェース部111を用いて、アクセスネットワーク100、インターネット200、プライベートネットワーク300を介して通信端末320,330とのデータ通信を開始する。
また、仮想インタフェース識別子「#VIF02」が示す仮想ネットワークがプライベートネットワーク400に設定されており、かつ通信端末110の仮想通信インタフェース部113が仮想インタフェース識別子「#VIF02」が示す仮想ネットワークに対応付けられている場合には、通信端末110の仮想ネットワーク選択部114は、通信端末110の仮想通信インタフェース部113を選択する。そして、通信端末110の仮想通信インタフェース部112、物理通信インタフェース部111を用いて、アクセスネットワーク100、インターネット200、プライベートネットワーク400を介して通信端末420,430とのデータ通信を開始する。
さらに、ディフォルトの通信インタフェースを選択した場合、通信端末の仮想ネットワーク選択部114は、通信端末110の仮想通信インタフェース部112,113を選択することなく、通信端末110の物理通信インタフェース部111を選択する。そして、物理通信インタフェース部111を用いて、アクセスネットワーク100、インターネット200、通信相手が接続されているプライベートネットワークを介して通信相手となる通信端末とのデータ通信を開始する。なお、データ通信を行う際にIPSecなどの既存の暗号化手段を用いて通信経路を暗号化してセキュリティーを向上するようにしてもよい。
このように、この実施の形態1においては、アクセスネットワーク100接続時に、通信端末110が仮想ネットワークへの接続条件となるポリシー情報を要求してポリシーサーバ310,410からポリシー情報を取得し、取得したポリシー情報を当該ポリシーサーバが管理する仮想ネットワークに対応付けて管理しておき、データ通信要求時に、ポリシーサーバ310,410から取得したポリシー情報の中からデータ通信要求に含まれる送信先情報の接続条件を満たすポリシー情報を抽出し、抽出したポリシー情報に対応付けられている仮想ネットワークを用いてデータ通信を行うようにしているため、アクセスネットワーク100に専用の装置を設置することなく、リモートアクセスを受け入れるプライベートネットワーク300,400の管理者側のポリシー情報を考慮し、通信端末110が複数の仮想ネットワークに同時に加入して特定のアプリケーションやセションといった目的別に仮想ネットワークを使い分けることができる。
すなわち、通信端末110においてVPNを利用する際に、プライベートネットワーク300,400の管理者がポリシーサーバ310,410に設定したポリシー情報にしたがって、1つのアクセスネットワーク100を用いて1つのVPNに接続した通信端末110が同一のアクセス回線を用いてインターネットまたは別のVPNとの通信を同時に行うことができる。
通信端末110は、各プライベートネットワーク300,400の管理者がポリシーサーバ310,410に設定したポリシー情報にしたがって複数の仮想ネットワークを選択ようにしているため、プライベートネットワーク300,400への不適切なパケットの流入を抑えることができる。
さらに、ポリシー情報には単純なIPアドレスのみによるパケットフィルタリングではなく、アプリケーションヘッダまでを含ませるようにしているため、複数仮想ネットワーク間の選択誤りをなくし、選択の精度を向上させることができる。
実施の形態2.
図7および図8を用いてこの発明の実施の形態2を説明する。この実施の形態2の仮想ネットワークアクセス通信システムは、先の図1に示した実施の形態1の通信システムのポリシーサーバ310,410の代わりに、ポリシーサーバ310a,410aを備えている。
ポリシーサーバ310a,410aは、同じ機能を備えている。図7に示したポリシーサーバ310aの構成を示すブロック図を参照して、ポリシーサーバの機能を説明する。図7に示したポリシーサーバ310aは、先の図2に示した実施の形態1のポリシーサーバ310に開示レベル判断部314が追加されている。先の図2に示した実施の形態1のポリシーサーバ310と同じ機能を持つ構成部分には同一符号を付し、重複する説明は省略する。
図8は、図7に示したデータベース部312の登録項目の一例を示す図である。図8に示したデータベース部312の登録項目は、先の図3に示した実施の形態1のポリシーサーバ310のデータベース部312の登録項目に、開示レベル3124が追加されている。開示レベル3124には、予め定められた開示レベルが登録される。ここで、開示レベルとは、通信端末110の状態、たとえば、通信端末110の位置や通信環境などの状態に応じてポリシー情報(あて先情報3122および有効時間3123に登録されているあて先情報および有効時間)を開示するレベルを示す指数である。
開示レベル判断部314は、通信端末110からのポリシー情報要求メッセージに含まれる端末情報およびデータベース部312に基づいてポリシー情報の開示可能なレベルを判定する。
つぎに、図7および図8を参照して、この実施の形態2の通信システムの動作を説明する。なお、この実施の形態2の通信システムの動作は、先の図6のシーケンス図を参照して説明した実施の形態1の通信システムの動作とほぼ同じであり、相違点は、通信端末110とポリシーサーバ310,410との間のメッセージのやり取りのみであるので、ここでは相違点のみを説明する。
アクセスネットワーク100に接続すると、通信端末110のポリシー管理部115は、ポリシーサーバ310,410に対してプライベートネットワーク300,400への接続条件を示すポリシー情報を要求するポリシー情報要求メッセージを生成する。通信端末110のポリシー管理部115は、ポリシー情報要求メッセージ内に、自端末に予め付与されている端末IDおよび自身の状態情報を含めておく。ここで、状態情報とは、通信端末110の位置や環境を示す情報で、たとえばGPS(Global Positioning System)などによる位置情報や、騒音センサーなどによる環境情報、通信端末110が接続しているアクセスネットワーク100を識別可能なリモートホスト情報などである。通信端末110は、図示していないGPS機能および騒音センサーによって位置情報や環境情報を測定し、通信端末110のポリシー管理部115は、それらの測定結果をポリシー情報要求メッセージに含めておく。なお、状態情報は、位置情報、環境情報、およびリモートホスト情報に限るものではない。
通信端末110のポリシー管理部115は、生成したポリシー情報要求メッセージを通信端末110の物理通信インタフェース部111に出力する。通信端末110の物理通信インタフェース部111は、ポリシー情報要求メッセージをアクセスネットワーク100に送信する。アクセスネットワーク100に送信されたポリシー情報要求メッセージは、インターネット200を介してプライベートネットワーク300,400に到達する。
ポリシーサーバ310,410の物理通信インタフェース部311は、プライベートネットワーク300,400に到達したポリシー情報要求メッセージを受信してポリシーサーバ310,410の制御部313に出力する。ポリシーサーバ310,410の制御部313は、ポリシー情報の要求元、すなわちポリシー情報要求メッセージの送信元である通信端末110に関するポリシー情報および開示レベルをポリシーサーバ310,410のデータベース部312から抽出する。ポリシーサーバ310,410の制御部313は、抽出した開示レベルと、ポリシー情報要求メッセージに含まれる状態情報とをポリシーサーバ310,410の開示レベル判断部314に出力する。
ポリシーサーバ310,410の開示レベル判断部314は、開示レベルおよび状態情報に基づいて開示可能なレベルを判定する。たとえば、状態情報の位置情報が電車の線路上であってかつ騒音レベルが高く、アクセスネットワーク100が携帯電話網であった場合は、周囲に人が多いことが予想され、プライベートネットワーク300,400に存在する情報を通信端末110に表示することは好ましくない。よって、ポリシーサーバ310,410の開示レベル判断部314は、位置情報によって通信端末110の現在位置がどのような場所であるのか、騒音レベルが予め定められた閾値以下であるか否か、通信端末110が接続しているアクセスネットワーク100がどのような通信網であるのかを、ポイントとしてカウントし、カウントしたポイントと開示レベルとを比較する。ポリシーサーバ310,410の開示レベル判断部314は、比較の結果、ポイントが開示レベル以下の場合には情報を開示すると判定し、ポイントが開示レベルより大きい場合には情報を開示しないと判定する。ポリシーサーバ310,410の開示レベル判断部314は、判定結果をポリシーサーバ310,410の制御部313に出力する。
ポリシーサーバ310,410の制御部313は、ポリシーサーバ310,410の開示レベル判断部314の判定結果が情報を開示することを示すポリシー情報(あて先情報および有効時間の組)と、自身に付与されているサーバ識別子とを含む通信端末110宛のポリシー情報要求応答メッセージを生成する。すなわち、ポリシーサーバ310,410の制御部313は、抽出したポリシー情報すべてをポリシー情報要求応答メッセージに含めるのではなく、抽出したポリシー情報の中から、ポリシーサーバ310,410の開示レベル判断部314が情報を開示しないと判定したポリシー情報を削除してポリシー情報要求応答メッセージを生成する。
ポリシーサーバ310,410の制御部313は、生成したポリシー情報要求応答メッセージをポリシーサーバ310,410の物理通信インタフェース部311に出力する。ポリシーサーバ310,410の物理通信インタフェース部311は、ポリシー情報要求応答メッセージをプライベートネットワーク300,400に送信する。なお、ポリシー情報要求応答メッセージを送信する際に、IPSecなどの既存の暗号化手段を用いてポリシー情報を暗号化してセキュリティーを向上するようにしてもよい。ポリシー情報要求応答メッセージは、インターネット200を介してアクセスネットワーク100に到達する。
通信端末110の物理通信インタフェース部111は、アクセスネットワーク100に到達したポリシー情報要求応答メッセージを受信して、通信端末110のポリシー管理部115に出力する。通信端末110のポリシー管理部115は、ポリシー情報要求応答メッセージに基づいて、ポリシー情報テーブル116を生成する。
通信端末110は、ポリシー情報テーブル116を生成した後は、先の図2のシーケンス図のステップS104〜S106の仮想インタフェース選択動作にしたがって仮想通信インタフェースを選択してデータ通信を行う。
このように、この実施の形態2においては、通信端末110が自身の状態を示す状態情報(自身の位置情報、自身の騒音レベルを示す環境情報、自身が接続しているアクセスネットワーク100を識別するリモートホスト情報など)をポリシーサーバ310a,410aに通知し、ポリシーサーバ310a,410aは、状態情報を数値化し、数値化した値とポリシー情報を開示するか否かを判定する指数となる開示レベルとを比較し、数値化した値が開示レベル以下の場合のみ当該ポリシー情報を通信端末110に通知するようにしているため、通信端末110が置かれている状態に応じて通知するポリシー情報を変更することができ、セキュリティーを向上することができる。
実施の形態3.
図9〜図12を用いてこの発明の実施の形態3を説明する。図9は、この発明における仮想ネットワーク通信システムの実施の形態3の構成の一例を示す図である。図9に示したこの実施の形態3の通信システムは、先の図1に示した実施の形態1の通信システムのプライベートネットワーク300にホームサーバ340が追加されている。先の図1に示した実施の形態1の通信システムと同じ機能を持つ構成部分には同一符号を付し、重複する説明は省略する。
図10は、図9に示したホームサーバ340の構成を示すブロック図である。図10において、ホームサーバ340は、プライベートネットワーク300を介してインターネット200と接続するためのインタフェース機能を有する物理通信インタフェース部341と、通信端末110が接続可能なポリシーサーバのリスト(サーバリスト)が登録されるデータベース部342と、ポリシー情報の開示レベルを判断する開示レベル判断部343と、データベース部342を管理するとともに、ポリシーサーバリスト要求メッセージに応じてデータベース部342に登録されたサーバリストに基づいてポリシーサーバリスト要求応答メッセージを生成する制御部344とを備えている。
図11は、図10に示したデータベース部342のサーバリストの登録項目の一例を示す図である。図10においては、サーバリストの登録項目として、端末ID3421と、ポリシーサーバ3422と、開示レベル3423とを挙げている。端末ID3421には、通信端末を識別するための端末IDが登録される。ポリシーサーバ3422には、端末ID3421に登録された端末IDが示す通信端末が接続可能なポリシーサーバのアドレスが登録される。開示レベル3423には、ポリシーサーバ3422に登録されたアドレスが示すポリシーサーバの開示レベルが登録される。
つぎに、図12のシーケンス図を参照して、この実施の形態3の通信システムの動作を説明する。なお、この実施の形態3の通信システムの動作は、先の実施の形態1の通信システムの動作とほぼ同じであり、相違点は、通信端末110とホームサーバ340と間のメッセージのやり取りの動作のみであるので、ここでは相違点のみを説明する。
アクセスネットワーク100に接続すると、通信端末110のポリシー管理部115は、予め設定されたホームサーバ340に対して、ポリシーサーバのリストを要求するポリシーサーバリスト要求メッセージを生成する。通信端末110のポリシー管理部115は、ポリシー情報要求メッセージ内に、自端末に予め付与されている端末IDおよび自身の状態情報を含めておく。ここで、状態情報とは、通信端末110の位置や環境を示す情報で、たとえばGPS(Global Positioning System)などによる位置情報や、騒音センサーなどによる環境情報、通信端末110が接続しているアクセスネットワーク100を識別可能なリモートホスト情報などである。通信端末110は、図示していないGPS機能および騒音センサーによって位置情報や環境情報を測定し、通信端末110のポリシー管理部115は、それらの測定結果をポリシーサーバリスト要求メッセージに含めておく。なお、状態情報は、位置情報、環境情報、およびリモートホスト情報に限るものではない。
通信端末110のポリシー管理部115は、生成したポリシーサーバリスト要求メッセージを通信端末110の物理通信インタフェース部111に出力する。通信端末110の物理通信インタフェース部111は、ポリシーサーバリスト要求メッセージをアクセスネットワーク100に送信する。アクセスネットワーク100に送信されたポリシーサーバリスト要求メッセージは、インターネット200を介してプライベートネットワーク300に到達する。
ホームサーバ340の物理通信インタフェース部341は、プライベートネットワーク300に到達したポリシーサーバリスト要求メッセージを受信してホームサーバ340制御部344に出力する。ホームサーバ340の制御部344は、ポリシーサーバリストの要求元、すなわちポリシーサーバリスト要求メッセージの送信元である通信端末110に関するポリシーサーバおよび開示レベルをホームサーバ340のデータベース部342から抽出する(ステップS201)。
具体的には、ホームサーバ340の制御部344は、受信したポリシーサーバリスト要求メッセージに含まれる端末IDを抽出し、抽出した端末IDを検索キーとして、ホームサーバ340のデータベース部342の端末ID3421を検索して、検索キーと一致する端末IDを抽出する。ホームサーバ340の制御部344は、抽出した端末IDに対応付けてポリシーサーバ3422に登録されているアドレス、および抽出した端末IDに対応付けて開示レベル3423に登録されている開示レベルを抽出する。たとえば、図11においては、ポリシーサーバリスト要求メッセージに含まれる端末IDが「#a」の場合、アドレス「#IP10@NET1」と開示レベル「1」の組と、アドレス「#IP20@NET2」と開示レベル「2」の組とを抽出する。
ホームサーバ340の制御部344は、抽出した開示レベルと、ポリシーサーバリスト要求メッセージに含まれる状態情報とをホームサーバ340の開示レベル判断部343に出力する。
ホームサーバ340の開示レベル判断部343は、開示レベルおよび状態情報に基づいて開示可能なレベルを判定する(ステップS202)。具体的には、ホームサーバ340の開示レベル判断部343は、位置情報によって通信端末110の現在位置がどのような場所であるのか、騒音レベルが予め定められた閾値以下であるか否か、通信端末110が接続しているアクセスネットワーク100がどのような通信網であるのかを、ポイントとしてカウントし、カウントしたポイントと開示レベルとを比較する。ホームサーバ340の開示レベル判断部343は、比較の結果、ポイントが開示レベル以下の場合には情報を開示すると判定し、ポイントが開示レベルより大きい場合には情報を開示しないと判定する。ホームサーバ340の開示レベル判断部343は、判定結果をホームサーバ340の制御部344に出力する。
ホームサーバ340の制御部344は、ホームサーバ340の開示レベル判断部343の判定結果が情報を開示することを示すアドレスのすべて(ポリシーサーバ情報)を含む通信端末110宛のポリシーサーバリスト要求応答メッセージを生成する。すなわち、ホームサーバ340の制御部344は、抽出したポリシーサーバのアドレスすべてをポリシーサーバリスト要求応答メッセージに含めるのではなく、抽出したアドレスの中から、開示レベル判断部344が情報を開示しないと判定したポリシー情報を削除してポリシーサーバリスト要求応答メッセージを生成する。
ホームサーバ340の制御部344は、生成したポリシーサーバリスト要求応答メッセージをホームサーバ340の物理通信インタフェース部341に出力する。ホームサーバ340の物理通信インタフェース部341は、ポリシーサーバリスト要求応答メッセージをプライベートネットワーク300に送信する(ステップS203)。なお、ポリシー情報要求応答メッセージを送信する際に、IPSecなどの既存の暗号化手段を用いてポリシー情報を暗号化してセキュリティーを向上するようにしてもよい。ポリシー情報要求応答メッセージは、インターネット200を介してアクセスネットワーク100に到達する。
通信端末110の物理通信インタフェース部111は、アクセスネットワーク100に到達したポリシーサーバリスト要求応答メッセージを受信して、通信端末110のポリシー管理部115に出力する。通信端末110のポリシー管理部115は、ポリシーサーバリスト要求応答メッセージに含まれるポリシーサーバ情報に基づいてポリシー情報を取得する(ステップS204)。具体的には、通信端末110のポリシー管理部115は、ポリシーサーバリスト要求応答メッセージに含まれるポリシーサーバ情報を抽出し、ポリシーサーバ情報に含まれるすべてのアドレスのポリシーサーバに対して、先の実施の形態1または、実施の形態2で説明したようにポリシー情報を要求するポリシー情報要求メッセージを生成して送信し、ポリシーサーバからのポリシー情報要求応答メッセージに含まれるポリシー情報に基づいてポリシー情報テーブル116を生成する。
通信端末110は、ポリシー情報テーブル116を生成した後は、先の図2のシーケンス図のステップS104〜S106の仮想インタフェース選択動作にしたがって仮想通信インタフェースを選択してデータ通信を行う。
このように、この実施の形態3においては、ホームサーバ340が通信端末110が接続可能な仮想ネットワークを管理するポリシーサーバ310,410のアドレスを管理し、通信端末110は、アクセスネットワーク100接続時に、ホームサーバ340からポリシーサーバ310,410のアドレスを取得し、取得したアドレスのポリシーサーバ310,410からポリシー情報を取得するようにしているため、通信端末110がポリシーサーバ310,410のアドレスを管理することなく、リモートアクセスを受け入れるプライベートネットワーク300,400の管理者側のポリシー情報を考慮し、通信端末110が複数の仮想ネットワークに同時に加入して特定のアプリケーションやセションといった目的別に仮想ネットワークを使い分けることができる。
なお、この実施の形態3においては、プライベートネットワーク300にホームサーバ340を備えるようにしたが、ホームサーバ340は、他のプライベートネットワーク400に備えてもよいし、通信端末110がアクセスネットワーク100を利用して接続可能なネットワークに備えるようにしてもよい。
実施の形態4.
図13および図14を用いてこの発明の実施の形態4を説明する。この実施の形態4では、複数の通信端末を同一ユーザ、または異なるユーザが利用することを設定しており、現在使用している通信端末(ハンドオーバ元通信端末)から、現在使用している通信端末とは異なる通信端末(ハンドオーバ先通信端末)にデバイスハンドオーバする場合について説明する。デバイスハンドオーバとは、現在使用している通信端末で利用していたアプリケーションなどのセション情報をハンドオーバ元通信端末からハンドオーバ先通信端末に移動することによって、通信端末が切り替わったにもかかわらず同一のアプリケーションの継続利用を可能とする技術である。
図13は、この発明における仮想ネットワーク通信システムの実施の形態4の構成の一例を示す図である。図13に示した通信システムは、先の図1に示した実施の形態1の通信システムのアクセスネットワーク100に、通信端末120が追加されている。先の図1に示した実施の形態1の通信システムと同じ機能を持つ構成部分には同一符号を付し、重複する説明は省略する。
図14は、図13に示した通信端末120の本発明に関わる機能構成を示すブロック図である。図13において、通信端末120は、物理通信インタフェース部121、仮想通信インタフェース部122,123、仮想ネットワーク選択部124、ポリシー管理部125、およびポリシー情報テーブル126を備えている。物理通信インタフェース部121、仮想通信インタフェース部122,123、仮想ネットワーク選択部124、ポリシー管理部125、およびポリシー情報テーブル126は、先の図4に示した通信端末110の、物理通信インタフェース部111、仮想通信インタフェース部112,113、仮想ネットワーク選択部114、ポリシー管理部115、およびポリシー情報テーブル116と同じ機能を備えている。
つぎに、ハンドオーバ元通信端末である通信端末110からハンドオーバ先通信端末である通信端末120にデバイスハンドオーバする場合を例に挙げて、この実施の形態4の通信システムの動作を説明する。通信端末110は、先の実施の形態1または実施の形態2で説明したように、ポリシー情報要求メッセージによってポリシー情報を取得してポリシー情報テーブル116を生成しており、仮想ネットワークを用いたデータ通信が可能な状態となっているものとする。
通信端末110は、通信端末120にデバイスハンドオーバすることを決定すると、その旨を通信端末120に通知する。デバイスハンドオーバする旨を通知されると、通信端末120のポリシー管理部125は、ポリシー情報の転送を要求するポリシー情報転送要求メッセージを物理通信インタフェース部121を介して通信端末110に送信する。
通信端末110のポリシー管理部115は、物理通信インタフェース部111を介してポリシー情報転送要求メッセージを受信すると、ポリシー情報テーブル116に登録されているすべての情報を含むポリシー情報転送要求応答メッセージを生成する。ポリシー管理部115は、生成したポリシー情報転送要求応答メッセージを物理通信インタフェース部111を介して通信端末120に送信する。
通信端末120のポリシー管理部125は、物理通信インタフェース部121を介してポリシー情報転送要求応答メッセージを受信すると、ポリシー情報転送要求応答メッセージに含まれる情報をポリシー情報テーブル126に登録する。ポリシー情報転送要求応答メッセージに含まれる情報をポリシー情報テーブル126に登録した後は、通信端末120は、先の図6のシーケンス図のステップS104〜S106の仮想インタフェース選択動作にしたがって、仮想通信インタフェースを選択してデータ通信を行なう。
このように、この実施の形態4においては、ハンドオーバ先の通信端末120は、ハンドオーバ元の通信端末110からポリシー情報を取得するようにしているため、デバイスハンドオーバが行われた場合でも、ハンドオーバ先の通信端末120は、新たにポリシーサーバ310,410からポリシー情報を取得することなく、ハンドオーバ元の通信端末110が使用していた仮想ネットワークを継続して利用することができる。
なお、この実施の形態4においては、プライベートネットワーク300,400にポリシーサーバ310,410を備えた構成としたが、先の実施の形態2のポリシーサーバ310a、410aを備えた構成であっても、先の実施の形態3のホームサーバ340を備えた構成であってもかまわない。
また、実施の形態1〜4において、通信端末110,120の物理通信インタフェース111,121とアクセスネットワーク100の接続形態は、有線であっても無線であってもよく、有線および無線の物理通信インタフェースを備えるようにしてもよい。
以上のように、本発明にかかる仮想ネットワーク通信システムは、複数の仮想ネットワークを使用する場合に有用であり、特に、リモートアクセスを受け入れるプライベートネットワークの管理者側のポリシー情報を考慮し、通信端末が複数の仮想ネットワークに同時に加入して特定のアプリケーションやセションといった目的別に仮想ネットワークを使い分けるシステムに適している。
この発明における仮想ネットワーク通信システムの実施の形態1の構成の一例を示す図である。 図1に示したポリシーサーバの構成を示すブロック図である。 図2に示したデータベース部の登録項目の一例を示す図である。 図1に示した通信端末のこの発明に関わる機能構成を示すブロック図である。 図4に示したポリシー情報テーブルの登録項目の一例を示す図である。 この発明における仮想ネットワーク通信システムの実施の形態1の動作を説明するためのシーケンス図である。 この実施の形態2のポリシーサーバの構成を示すブロック図である。 図7に示したデータベース部の登録項目の一例を示す図である。 この発明における仮想ネットワーク通信システムの実施の形態3の構成の一例を示す図である。 図9に示したホームサーバの構成を示すブロック図である。 図10に示したデータベース部のサーバリストの登録項目の一例を示す図である。 この発明における仮想ネットワーク通信システムの実施の形態3の動作を説明するためのシーケンス図である。 この発明における仮想ネットワーク通信システムの実施の形態4の構成の一例を示す図である。 図13に示した通信端末のこの発明に関わる機能構成を示すブロック図である。
符号の説明
100 アクセスネットワーク
110,120,320,330,420,430 通信端末
111,121,311 物理通信インタフェース部
112,113,122,123 仮想通信インタフェース部
114,124 仮想ネットワーク選択部
115,125 ポリシー管理部
116,126 ポリシー情報テーブル
200 インターネット
300,400 プライベートネットワーク
310,310a,410,410a ポリシーサーバ
312,342 データベース部
313,344 制御部
314,343 開示レベル判断部

Claims (8)

  1. 少なくとも1台の通信端末が接続するアクセスネットワークと、仮想ネットワーク毎に存在し当該仮想ネットワークを管理するポリシーサーバと前記通信端末の通信相手端末とが接続する少なくとも1つのプライベートネットワークと、前記アクセスネットワークと前記プライベートネットワークとを接続するネットワークとを有する仮想ネットワーク通信システムにおいて、
    前記ポリシーサーバは、
    前記通信端末に対応付けて当該通信端末のポリシー情報が登録されるデータベース部と、
    前記通信端末からのポリシー情報要求メッセージを受信すると、該ポリシー情報要求メッセージを送信した通信端末のポリシー情報を前記データベース部から抽出し、抽出したポリシー情報および自身を識別するためのサーバ識別子を含むポリシー情報要求応答メッセージを前記通信端末に送信する制御部と、
    を備え、
    前記通信端末は、
    前記仮想ネットワークに対応付けてポリシー情報が登録されるポリシー情報テーブルと、
    前記アクセスネットワーク接続時に、仮想ネットワークへの接続条件となるポリシー情報を要求する前記ポリシー情報要求メッセージを前記ポリシーサーバに送信し、前記ポリシーサーバから前記ポリシー情報要求応答メッセージを受信すると、前記ポリシー情報要求応答メッセージに含まれるサーバ識別子が示すポリシーサーバが管理する仮想ネットワークに対応付けて前記ポリシー情報要求応答メッセージに含まれるポリシー情報を前記ポリシー情報テーブルに登録するポリシー管理部と、
    データ通信要求を受けると、前記ポリシー情報テーブルに登録されているポリシー情報の中から、前記データ通信要求に含まれる送信先情報の接続条件を満たすポリシー情報を抽出し、抽出したポリシー情報に対応付けられている仮想ネットワークを選択し、選択した仮想ネットワークを用いて通信相手端末とデータ通信を行う仮想ネットワーク選択部と、
    を備えることを特徴とする仮想ネットワーク通信システム。
  2. 前記仮想ネットワーク選択部は、
    前記送信先情報の接続条件を満たすポリシー情報を抽出できなかった場合には、仮想ネットワークを用いることなく、実ネットワークを用いてデータ通信を行うこと、
    を特徴とする請求項1に記載の仮想ネットワーク通信システム。
  3. 前記ポリシー情報を、通信相手端末のあて先IPアドレス、あて先ポート番号、およびアプリケーションを識別可能なあて先アプリケーションヘッダ情報を含むあて先情報と、ポリシー情報を有効とする時間を示す有効時間とすること、
    を特徴とする請求項1または2に記載の仮想ネットワーク通信システム。
  4. 前記通信端末のポリシー管理部は、
    自身の状態を示す状態情報を含めたポリシー情報要求メッセージを前記ポリシーサーバに送信し、
    前記ポリシーサーバは、
    前記ポリシー情報要求メッセージに含まれる状態情報に基づいて、前記制御部が抽出したポリシー情報毎に前記通信端末に送信するか否かを判定する開示レベル判断部、
    をさらに備え、
    前記ポリシーサーバのデータベース部は、
    前記ポリシー情報に加えて当該ポリシー情報を開示するか否かを判定する指数となる開示レベルが登録され、
    前記開示レベル判断部は、
    前記ポリシー情報要求メッセージに含まれる状態情報に基づいて当該通信端末の状態を数値化し、数値化した値が前記制御部が抽出したポリシー情報に対応付けられた開示レベル以下の場合には当該ポリシー情報を送信すると判断し、数値化した値が前記制御部が抽出したポリシー情報に対応付けられた開示レベルより大きい場合には当該ポリシー情報を送信しないと判断し、
    前記制御部は、
    前記開示レベル判断部によって送信すると判断されたポリシー情報のみをポリシー情報要求応答メッセージに含ませること、
    を特徴とする請求項1〜3の何れか一つに記載の仮想ネットワーク通信システム。
  5. 前記状態情報を、前記通信端末の位置情報、前記通信端末周辺の騒音レベルを示す環境情報、前記通信端末が接続しているアクセスネットワークを識別するリモートホスト情報の少なくとも1つとすること、
    を特徴とする請求項4に記載の仮想ネットワーク通信システム。
  6. 前記通信端末に対応付けて当該通信端末が接続可能なポリシーサーバのアドレスが登録されたサーバリストを管理するデータベース部と、
    前記通信端末からポリシーサーバリスト要求メッセージを受信すると、該ポリシーサーバリスト要求メッセージを送信した通信端末に対応付けられたアドレスをサーバリストから抽出し、抽出したアドレスを含むポリシーサーバリスト要求応答メッセージを前記通信端末に送信する制御部、
    とを有するホームサーバ、
    をさらに備え、
    前記通信端末のポリシー管理部は、
    前記アクセスネットワーク接続時に、自身が接続可能な仮想ネットワークを管理するポリシーサーバのリストを要求する前記ポリシーサーバリスト要求メッセージを前記ホームサーバに送信し、前記ホームサーバから前記ポリシーサーバリスト要求応答メッセージを受信すると、該ポリシーサーバリスト要求応答メッセージに含まれるアドレスが示すポリシーサーバに対して前記ポリシー情報要求メッセージを送信すること、
    を特徴とする請求項1〜5の何れか1つに記載の仮想ネットワーク通信システム。
  7. 前記アクセスネットワークに複数の通信端末が存在しており、かつ前記通信端末が複数の通信端末間にてセション情報の転送するデバイスハンドオーバ機能を有する場合、
    デバイスハンドオーバのハンドオーバ先となる通信端末のポリシー管理部は、
    ポリシー情報の転送を要求するポリシー情報転送要求メッセージをハンドオーバ元となる通信端末に送信し、ハンドオーバ元となる通信端末からポリシー情報転送要求応答メッセージを受信すると、受信したポリシー情報転送要求応答メッセージに含まれる情報を自身のポリシー情報テーブルに登録し、
    デバイスハンドオーバのハンドオーバ元となる通信端末のポリシー管理部は、
    前記ポリシー情報転送要求メッセージを受信すると、自身のポリシー情報テーブルに登録されている情報を含めたポリシー情報転送要求応答メッセージを前記ポリシー情報転送要求メッセージを送信した通信端末に送信すること、
    を特徴とする請求項1〜6の何れか一つに記載の仮想ネットワーク通信システム。
  8. 仮想ネットワークに存在してポリシー情報を管理するポリシーサーバと通信相手端末とが接続する少なくとも1つのプライベートネットワークと、該プライベートネットワークとアクセスネットワークとを接続するネットワークとを有する仮想ネットワーク通信システムに適用され、前記アクセスネットワークに接続して前記通信相手端末とデータ通信を行う通信端末であって、
    前記仮想ネットワークに対応付けてポリシー情報が登録されるポリシー情報テーブルと、
    前記アクセスネットワーク接続時に、仮想ネットワークへの接続条件となるポリシー情報を要求するポリシー情報要求メッセージを前記ポリシーサーバに送信して前記ポリシーサーバから自身が接続可能な仮想ネットワークのポリシー情報を取得し、取得したポリシー情報を前記仮想ネットワークに対応付けて前記ポリシー情報テーブルに登録するポリシー管理部と、
    データ通信要求を受けると、前記ポリシー情報テーブルに登録されているポリシー情報の中から、前記データ通信要求に含まれる送信先情報の接続条件を満たすポリシー情報を抽出し、抽出したポリシー情報に対応付けられている仮想ネットワークを選択し、選択した仮想ネットワークを用いて通信相手端末とデータ通信を行う仮想ネットワーク選択部と、
    を備えることを特徴とする通信端末。
JP2006278003A 2006-10-11 2006-10-11 仮想ネットワーク通信システムおよび通信端末 Pending JP2008098937A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006278003A JP2008098937A (ja) 2006-10-11 2006-10-11 仮想ネットワーク通信システムおよび通信端末

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006278003A JP2008098937A (ja) 2006-10-11 2006-10-11 仮想ネットワーク通信システムおよび通信端末

Publications (1)

Publication Number Publication Date
JP2008098937A true JP2008098937A (ja) 2008-04-24

Family

ID=39381326

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006278003A Pending JP2008098937A (ja) 2006-10-11 2006-10-11 仮想ネットワーク通信システムおよび通信端末

Country Status (1)

Country Link
JP (1) JP2008098937A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009278317A (ja) * 2008-05-14 2009-11-26 Chuden Cti Co Ltd ネットワークドライバ、該ネットワークドライバが組み込まれたコンピュータ及びサーバ
WO2013031233A1 (en) * 2011-09-01 2013-03-07 Nec Corporation Communication terminal, communication method, communication system, and program
WO2021235437A1 (ja) * 2020-05-20 2021-11-25 日本瓦斯株式会社 通信システム、中継処理装置、情報処理方法、及びプログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009278317A (ja) * 2008-05-14 2009-11-26 Chuden Cti Co Ltd ネットワークドライバ、該ネットワークドライバが組み込まれたコンピュータ及びサーバ
WO2013031233A1 (en) * 2011-09-01 2013-03-07 Nec Corporation Communication terminal, communication method, communication system, and program
JP2014531780A (ja) * 2011-09-01 2014-11-27 日本電気株式会社 通信端末、通信方法、通信システムおよびプログラム
US9509608B2 (en) 2011-09-01 2016-11-29 Nec Corporation Communication terminal, communication method, communication system, and program
WO2021235437A1 (ja) * 2020-05-20 2021-11-25 日本瓦斯株式会社 通信システム、中継処理装置、情報処理方法、及びプログラム

Similar Documents

Publication Publication Date Title
JP6306640B2 (ja) 管理されたコンピュータネットワークのための論理ネットワーキング機能の提供
US10742592B2 (en) Dynamic DNS-based service discovery
US7934014B2 (en) System for the internet connections, and server for routing connections to a client machine
EP2252093B1 (en) Method for enabling mobility of client devices in large scale unified networks
WO2008092351A1 (fr) Procédé de liaison dynamique de réseau privé virtuel
JP2013510506A (ja) ネットワークを介する接続をセキュアにするためのオーバレイの利用方法及びシステム
JP2011154622A (ja) アクセス制御システム及びアクセス制御方法
JP4628938B2 (ja) データ通信システム、端末装置およびvpn設定更新方法
JP2011139299A (ja) DNS(DomainNameSystem)登録装置、VPN(VirtualPrivateNetwork)間接続管理システム、広域DNS装置、DNS登録プログラム、広域DNSプログラム、DNS登録方法、及びVPN間接続管理方法
JP2004208101A (ja) ゲートウェイ及びそれにおける通信方法
US7620723B2 (en) Network management
JP3992067B1 (ja) ネットワークシステム
JP2008098937A (ja) 仮想ネットワーク通信システムおよび通信端末
JP2008148243A (ja) 通信装置、通信システム、通信方法及び通信プログラム
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2004194291A (ja) クライアント機器への接続をルーティングするためのサーバ
CN104301197B (zh) 一种实现用户多终端间相互发现的方法与系统
US20140047080A1 (en) Method and apparatus for using rendezvous server to make connections to fire alarm panels
JP5169461B2 (ja) セキュリティパラメータ配布装置及びセキュリティパラメータ配布方法
JP5133932B2 (ja) Vpn接続制御システム、認証サーバ
JP2009206876A (ja) サービス公開システム、通信中継装置、およびサービス公開装置
JP5084716B2 (ja) Vpn接続装置、dnsパケット制御方法、及びプログラム
KR100682852B1 (ko) 유피엔피와 가상랜 멀티캐스트를 이용한 홈네트워크 연결관리 시스템
Kim et al. A network federation scheme for inter-domain SDN communications
JP2008206081A (ja) マルチホーミング通信システムに用いられるデータ中継装置およびデータ中継方法