JP2008211446A - 通信システムおよび通信方法 - Google Patents

通信システムおよび通信方法 Download PDF

Info

Publication number
JP2008211446A
JP2008211446A JP2007045290A JP2007045290A JP2008211446A JP 2008211446 A JP2008211446 A JP 2008211446A JP 2007045290 A JP2007045290 A JP 2007045290A JP 2007045290 A JP2007045290 A JP 2007045290A JP 2008211446 A JP2008211446 A JP 2008211446A
Authority
JP
Japan
Prior art keywords
packet
management server
transfer device
guest terminal
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007045290A
Other languages
English (en)
Inventor
Masakatsu Ogawa
将克 小川
Yutaka Kuno
豊 久埜
Toru Sakata
徹 阪田
Toshihiro Manabe
利裕 眞部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007045290A priority Critical patent/JP2008211446A/ja
Publication of JP2008211446A publication Critical patent/JP2008211446A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 ゲストユーザが訪問先などのネットワークに一切の支障を与えることなく、訪問先のネットワークを介して基幹ネットワークにアクセスする。
【解決手段】 基幹ネットワークおよびLANに接続不可のゲスト端末と、LANおよびゲスト端末に接続可能で、ゲスト端末と宛先サーバとの間で送受信されるパケットを転送する転送装置と、基幹ネットワークに接続され、転送装置を介して行われるゲスト端末から宛先サーバへのアクセスを制御する管理サーバとを備え、転送装置は、ゲスト端末から宛先サーバを宛先として送信されたパケットを受信し、管理サーバを宛先とするカプセル化ヘッダを付けてカプセル化したパケットとして送信し、当該パケットを受信した管理サーバは当該パケットをデカプセル化し、送信元をゲスト端末から管理サーバにアドレス変換したパケットを宛先サーバに送信する構成である。
【選択図】 図1

Description

本発明は、基幹ネットワーク(例えばインターネット)に接続されたローカルエリアネットワーク(LAN)を介さず、そのLANに接続された有線端末または無線端末(転送装置)を介して基幹ネットワークにアクセスするための通信システムおよび通信方法に関する。
LANには、ルータを介してインターネットなどの基幹ネットワークに接続するLANや、IEEE802.11規格(非特許文献1)におけるアドホックモードのように基幹ネットワークとの接続は行わず、端末間で直接に無線パケットをやり取りするLANなど、いろいろな形態がある。
前者のLANは、企業または家庭における一般的なLANの形態であり、インターネットを介して電子メールの送受信やWEB閲覧などに利用されている。一方、後者のLANは、端末を持ち寄って一時的に開催する会議などで、参加者間でファイル交換や書類の共同作成を行うために利用されている。なお、LANを構成する物理的媒体としては、例えばIEEE802.3 規格の有線LAN(イーサネット(登録商標))や、IEEE802.11規格の無線LANがある。
IEEE802.11,"Wireless LAN Medium Access Control(MAC) and Physical(PHY) Layer Specifications", August 1999
企業または友人宅などを訪問したゲストユーザの立場では、訪問先のネットワーク設備を利用して、インターネットなどの基幹ネットワークにアクセスし、電子メールの送受信やWEB閲覧、さらに自宅のパソコンなどにリモートアクセスできることが要望されている。
しかし、ゲストユーザが訪問先のネットワークに直接に接続可能にすると、そのネットワーク内のファイルサーバへのアクセスも可能になる。また、インターネット上のサーバへアクセスしたときの送信元が訪問先のネットワークとなるので、ゲストユーザが掲示板などに書き込みをした場合でも、書き込みした者は訪問先のネットワークの所有者と認識されてしまう。このように、ゲストユーザが訪問先のネットワークに直接に(自由に)接続可能にすると、悪意をもったゲストユーザが侵入した場合に極めて不都合な事態になる。
また、プロキシサーバなどのファイアウォールを設置している環境では、ゲストユーザがインターネットにアクセスするために、ゲストユーザにプロキシサーバの設定などを知らせる必要があり、かつその設定をゲストユーザが行わなければならない。
以上の状況から、ゲストユーザに対して訪問先のネットワークへのアクセスを禁止しながら、ゲストユーザが訪問先のネットワークを介してインターネット上のサーバにアクセスしても、訪問先のネットワークからアクセスしたことを認識できなくする方法、そしてゲストユーザにプロキシサーバなどのファイアウォールに関する設定情報を知らせず、かつゲストユーザがその設定をせずともインターネットへのアクセスを可能にする方法などが検討されている。
本発明は、ゲストユーザが訪問先などのネットワークに一切の支障を与えることなく、訪問先のネットワークを介して基幹ネットワークにアクセスするための通信システムおよび通信方法を提供することを目的とする。
第1の発明は、基幹ネットワークにルータを介してローカルエリアネットワーク(LAN)が接続され、そのLANに有線で接続された有線端末または無線で接続された無線端末から基幹ネットワークに接続された宛先サーバにアクセス可能な通信システムにおいて、基幹ネットワークおよびLANに接続不可のゲスト端末と、LANおよびゲスト端末に接続可能で、ゲスト端末と宛先サーバとの間で送受信されるパケットを転送する転送装置と、基幹ネットワークに接続され、転送装置を介して行われるゲスト端末から宛先サーバへのアクセスを制御する管理サーバとを備え、転送装置は、ゲスト端末から宛先サーバを宛先として送信されたパケットを受信し、管理サーバを宛先とするカプセル化ヘッダを付けてカプセル化したパケットとして送信し、当該パケットを受信した管理サーバは当該パケットをデカプセル化し、送信元をゲスト端末から管理サーバにアドレス変換したパケットを宛先サーバに送信する構成であり、管理サーバは、ゲスト端末から送信されたパケットに応答して宛先サーバから送信されたパケットを受信し、その宛先を管理サーバからゲスト端末にアドレス逆変換し、さらに転送装置を宛先とするカプセル化ヘッダをつけてカプセル化したパケットとして送信し、当該パケットを受信した転送装置は当該パケットをデカプセル化し、ゲスト端末に送信する構成である。
管理サーバは、接続を許可するゲスト端末のアドレスを記載した接続許可リストを備え、転送装置から送信されたパケットをデカプセル化した後の送信元アドレスとこの接続許可リストを照合して接続可否を判断し、接続不可の場合に当該パケットを破棄する構成としてもよい。また、管理サーバは、接続許可リストに記載したアドレスの有効期限を管理し、当該有効期限を経過したアドレスを送信元とするゲスト端末からのパケットを破棄する構成としてもよい。
転送装置は、管理サーバからの設定によって前記接続許可リストと同じ内容の接続許可リストを備え、ゲスト端末から送信されたパケットの送信元アドレスとこの接続許可リストを照合して接続可否を判断し、接続不可の場合に当該パケットを破棄する構成としてもよい。また、転送装置は、接続許可リストに記載したアドレスの有効期限を管理し、当該有効期限を経過したアドレスを送信元とするゲスト端末からのパケットを破棄する構成としてもよい。
ゲスト端末は、管理サーバの正当性を検証する認証機能を備えるようにしてもよい。また、転送装置は、管理サーバの正当性を検証する認証機能を備えるようにしてもよい。また、有線端末または無線端末の少なくとも1つは、転送装置の機能を含む構成としてもよい。
第2の発明は、基幹ネットワークにルータを介してローカルエリアネットワーク(LAN)が接続され、そのLANに有線で接続された有線端末または無線で接続された無線端末から基幹ネットワークに接続された宛先サーバにアクセス可能な通信方法において、基幹ネットワークおよびLANに接続不可のゲスト端末と、LANおよびゲスト端末に接続可能で、ゲスト端末と宛先サーバとの間で送受信されるパケットを転送する転送装置と、基幹ネットワークに接続され、転送装置を介して行われるゲスト端末から宛先サーバへのアクセスを制御する管理サーバとを有し、転送装置は、ゲスト端末から宛先サーバを宛先として送信されたパケットを受信し、管理サーバを宛先とするカプセル化ヘッダを付けてカプセル化したパケットとして送信し、当該パケットを受信した管理サーバは当該パケットをデカプセル化し、送信元をゲスト端末から管理サーバにアドレス変換したパケットを宛先サーバに送信し、管理サーバは、ゲスト端末から送信されたパケットに応答して宛先サーバから送信されたパケットを受信し、その宛先を管理サーバからゲスト端末にアドレス逆変換し、さらに転送装置を宛先とするカプセル化ヘッダをつけてカプセル化したパケットとして送信し、当該パケットを受信した転送装置は当該パケットをデカプセル化し、ゲスト端末に送信する。
接続を許可するゲスト端末のアドレスを記載した接続許可リストが、管理サーバまたは管理サーバからの設定によって転送装置に備えられ、ゲスト端末から送信されたパケットの送信元アドレスとこの接続許可リストを照合して接続可否を判断し、接続不可の場合に当該パケットを破棄するようにしてもよい。
本発明では、基幹ネットワークおよびそれにルータを介して接続するLANに直接に接続できないゲスト端末が、LANに接続された転送装置および基幹ネットワークに接続された管理サーバで構築するトンネリングによるパケットのカプセル化を利用することにより、LANに直接に接続せずに基幹ネットワークに接続された宛先サーバにアクセスすることが可能になる。
また、トンネリングによるパケットのカプセル化により、LANに接続する端末からのパケットとして扱われるため、基幹ネットワークおよびLANに接続できないゲスト端末がファイアウォールを越えるための煩雑な通信設定が不要になる。
さらに、基幹ネットワークとゲスト端末との間で送受信されるパケットが管理サーバでアドレス変換およびアドレス逆変換が行われ、当該パケットの送信元および宛先が管理サーバとなるので、基幹ネットワーク上のサーバから転送装置(あるいは転送装置が接続されるLAN)の識別ができなくなる。その一方で、管理サーバが当該ゲスト端末のアドレスを管理しているため、管理サーバからゲスト端末の識別が可能になる。
また、管理サーバあるいは管理サーバからの設定による転送装置が、接続可能なゲスト端末のアドレスおよび接続時間を管理することにより、基幹ネットワークにアクセスできるゲスト端末および時間を制限することができる。また、ゲスト端末または転送装置が管理サーバの正当性を検証することにより、第三者が不正に設置した管理サーバを利用することを防ぐことができる。
図1は、本発明の通信システムの実施形態を示す。ここでは、基幹ネットワークとしてインターネットを例とし、ネットワーク層をIP(Internet Protocol) として説明する。
図1において、インターネット10にルータ11を介してLAN12が接続される。そのLAN12には、イーサネットなどの有線で接続される有線端末13,14、または無線LANアクセスポイント(AP)15を介して無線で接続される無線端末16,17が接続される。また、LAN12上には、インターネット10へのアクセスを制御するプロキシサーバ18がある。一方、インターネット10上には、例えばWEB閲覧を行う宛先サーバ19がある。
本発明の通信システムの特徴は、ゲストユーザが持ち込むゲスト端末21をLAN12に直接に接続せず、既存の有線端末13,14または無線端末16,17を介してインターネット10に接続し、宛先サーバ19にアクセス可能にする機能を備えるところにある。ここでは、有線端末14および無線端末16がゲスト端末21をインターネット10に接続する機能を備える「転送装置」とするが、LAN12に接続される専用の「転送装置」を備えてもよい。また、インターネット10には、転送装置を介して行われるゲスト端末21と宛先サーバ19との接続を制御する管理サーバ22が配置される。
ここで、ゲスト端末21と転送装置との接続形態は、有線端末14とイーサネットで有線接続する形態a、無線端末16と無線LANのアドホックモードまたはインフラストラクチャモードで無線接続する形態b、有線端末14がアクセスポイント(AP)機能を有する場合に無線接続する形態c、無線端末16が有線接続インタフェースを有する場合に有線接続する形態(図示せず)などがある。なお、有線接続されるゲスト端末21が複数ある場合にはHUBを介して接続される。
転送装置(有線端末14または無線端末16)は、まず管理サーバ22の正当性を検証し、第三者が不正に設置した管理サーバでないことを確認する。次に、管理サーバ22と転送装置との間で、ゲスト端末21が送受信するパケットをカプセル化するためのトンネルを作成し、両端でカプセル化およびデカプセル化を行う。ゲスト端末21は、このトンネリングを利用して管理サーバ22の正当性を検証し、第三者が不正に設置した管理サーバでないことを確認する。
次に、ゲスト端末21から宛先サーバ19へのパケット転送について説明する。ゲスト端末21は、図2(1) に示すように、送信元アドレスを自装置、宛先アドレスを宛先サーバ19とするパケットを転送装置に送信する。転送装置は、このパケットを受信すると、図2(2) に示すように、送信元アドレスを転送装置、宛先アドレスを管理サーバ22とするカプセル化ヘッダでカプセル化し、管理サーバ22を宛先として当該パケットを送信する。ここで、プロキシサーバ18を介する場合は、プロキシサーバ18が代理に管理サーバ22にアクセスするため、宛先アドレスがプロキシサーバ18となる。このように、ゲスト端末21から転送装置に送信されたパケットは、転送装置でカプセル化され、転送装置からのパケットとして管理サーバ22に転送される。
管理サーバ22は、転送装置から送信されたパケットを受信すると、図2(3) に示すように受信パケットのカプセル化を解除(デカプセル化)し、図2(4) に示すように送信元アドレスをゲスト端末21のアドレスから管理サーバ22のアドレスとするアドレス変換(NAPT(Metwork Address Port Translation)変換)を行い、宛先サーバ19を宛先として当該パケットを送信する。
一方、宛先サーバ19が受信したゲスト端末21からのパケットに応答して、宛先サーバ19からゲスト端末21へ送信するパケットの転送についても、管理サーバ22および転送装置(有線端末14または無線端末16)を介して行われる。すなわち、宛先サーバ19は、図3(1) に示すように、送信元アドレスを自装置、宛先アドレスを管理サーバ22とするパケットを送信する。管理サーバ22は、図3(2) に示すように宛先アドレスを管理サーバ22のアドレスからゲスト端末21のアドレスとするアドレス逆変換(NAPT逆変換)を行い、図3(3) に示すように送信元アドレスを管理サーバ22、宛先アドレスを転送装置とするカプセル化ヘッダでカプセル化し、転送装置を宛先として当該パケットを送信する。転送装置は、管理サーバ22から送信されたパケットを受信すると、図3(4) に示すように受信パケットのカプセル化を解除(デカプセル化)し、ゲスト端末21を宛先として当該パケットを送信する。
ここで、ゲスト端末21が接続を許可されたものでないときに、宛先サーバ19への通信を遮断させる方法として、管理サーバ22で管理して遮断する方法と、管理サーバ22の管理のもとで転送装置で遮断する方法の2つがある。管理サーバ22で管理および遮断するには、許可する送信元アドレスを管理するための転送許可リスト(図4(1))、または許可する送信元アドレスプールを管理するための転送許可リスト(図4(2))を保持する。そして、転送装置からの受信パケットをデカプセル化したときに、元々のパケットの送信元アドレスが当該転送許可リストに記載されていれば、規定のゲスト端末21からのパケットと判断して宛先サーバ19に転送し、記載されていなければ当該パケットを破棄する。管理サーバ22の管理のもとで転送装置が遮断する場合も同様の転送許可リストを保持し、ゲスト端末21からの受信パケットの送信元アドレスを照合し、カプセル化して管理サーバ22に転送するか破棄するかを選択する。
また、許可する送信元アドレスの利用期限をタイマ管理し、その利用期限に達した送信元アドレスを転送許可リストから削除するようにしてもよい。図4(1) の転送許可リストに対して図4(3) の転送許可リストは、送信元アドレス1.1.1.2 の利用期限が切れて削除された状態を示し、図4(2) の転送許可リストに対して図4(4) の転送許可リストは、送信元アドレス1.1.1.2 〜1.1.1.10の利用期限が切れて削除された状態を示す。
転送装置および管理サーバ22でのカプセル化は、例えばVPN(Virtual Private Network)で用いられるIPsec カプセル化やHTTPカプセル化などの手法を利用することができる。ただし、例えば図2および図3に示すHTTPカプセル化のように、転送装置または管理サーバ22はデータ部のみをカプセル化するのではなく、それぞれゲスト端末21または宛先サーバ19からのパケットのヘッダを含めてカプセル化する。ここでは、ゲスト端末21のアドレスはゲストであるため、グローバルアドレスではなくプライベートアドレスとし、転送装置(有線端末14または無線端末16)のゲスト端末21側のアドレスも、ゲスト端末21と接続するためにプライベートアドレスとする。それ以外の装置のアドレスはグローバルアドレスとする。グローバルアドレスは、インターネット上で一意のアドレスであり、決して装置間で重複することがないアドレスである。
ここで、再度図2を参照し、さらに図5を参照してゲスト端末21から宛先サーバ19までのパケット転送の流れについて説明する。ゲスト端末21は、図2(1) に示すパケットを送信する。転送装置は、宛先アドレスが管理サーバ22、送信元アドレスが転送装置となるカプセル化ヘッダを付け、ポート番号80(HTTP)または 443(HTTPS)の図2(2) に示すパケットとして、ルータ11、インターネット10を介して管理サーバ22に転送する。これは、転送装置の上位層における処理となる。管理サーバ22では、転送装置からのパケットをデカプセル化し、送信元アドレスをゲスト端末21のプライベートアドレスから管理サーバ22のグローバルアドレスにアドレス変換し、図2(4) に示すパケットを宛先サーバ19に転送する。これは、管理サーバ22の上位層における処理となる。宛先サーバ19が受信したゲスト端末21からのパケットに応答して、宛先サーバ19からゲスト端末21へ送信するパケットの転送の流れについても同様である。
なお、転送装置から管理サーバ22にHTTP/HTTPSでアクセスできる環境であれば、プロキシサーバ18を介する場合にも同様に、転送装置から管理サーバ22にアクセスできる。それに加えて、転送装置から管理サーバ22にHTTP/HTTPSでアクセスできる環境であれば、ルータ11のLAN側のアドレスと、転送装置のLAN側のアドレスはプライベートアドレスであってもよい。したがって、ゲスト端末21においてプロキシサーバ18の設定が不要となる。
図6は、ゲスト端末21の構成例を示す。図において、ゲスト端末21は、本発明の機能に関するものとして、転送装置と有線または無線による送受信制御を行う送受信制御部31、管理サーバ22の正当性を検証する認証検証部32、データを生成および格納するデータ生成格納部33を備える。
図7は、転送装置(有線端末14または無線端末16)の構成例を示す。図において、転送装置は、ゲスト端末21と有線または無線による送受信制御を行う送受信制御部41、LAN12およびインターネット10に接続した管理サーバ22との間で送受信制御を行う送受信制御部42、管理サーバ22の正当性を検証する認証検証部43、ゲスト端末21からの受信パケットのカプセル化および管理サーバ22からの受信パケットのデカプセル化を行うカプセル化・デカプセル化部44を備える。また、規定のゲスト端末21の接続を許可する送信元アドレスを管理するための転送許可リスト45、さらに許可した送信元アドレスの有効期限を管理する転送期限タイマ46があってもよい。
図8は、管理サーバ22の構成例を示す。図において、管理サーバ22は、転送装置やインターネット10に接続した宛先サーバ19との間で送受信制御を行う送受信制御部51、ゲスト端末21や転送装置からの正当性の認証応答を行う認証応答部52、転送装置からの受信パケットのデカプセル化および宛先サーバ19からの受信パケットのカプセル化を行うカプセル化・デカプセル化部53、転送装置からの受信パケットの送信元アドレスの変換および宛先サーバ19からの受信パケットの宛先アドレスの変換を行うアドレス変換部54、規定のゲスト端末21の接続を許可する送信元アドレスを管理するための転送許可リスト55を備える。また、許可した送信元アドレスの有効期限を管理する転送期限タイマ56があってもよい。
なお、管理サーバ22の転送許可リスト55は、図7に示すように転送装置にあってもよい。ただし、転送装置の転送許可リスト45は、管理サーバ22の伝送許可リスト55と同じ内容になるように管理される。また、転送許可リスト55が管理サーバ22のみにある場合には、転送期限タイマ56も管理サーバ22にあり、転送許可リスト45,55が転送装置および管理サーバ22にそれぞれある場合には、転送期限タイマ46,56の一方が転送装置または管理サーバ22の一方にあればよい。
また、管理サーバ22の正当性を確認する方法は、公開鍵認証方法などを用いることができる。例えば、ゲスト端末21の認証検証部32または転送装置の認証検証部43に公開鍵を格納し、管理サーバ22の認証応答部52に秘密鍵を格納しておけばよい。
本発明の通信システムの実施形態を示す図。 ゲスト端末21から宛先サーバ19へのパケット転送の説明する図。 宛先サーバ19からゲスト端末21へのパケット転送を説明する図。 転送許可リストの例を示す図。 各装置の接続形態を示す図。 ゲスト端末21の構成例を示す図。 転送装置(有線端末14、無線端末16)の構成例を示す図。 管理サーバ22の構成例を示す図。
符号の説明
10 インターネット
11 ルータ
12 LAN
13 有線端末
14 有線端末(転送装置)
15 無線LANアクセスポイント(AP)
16 無線端末(転送装置)
17 無線端末
18 プロキシサーバ
19 宛先サーバ
21 ゲスト端末
22 管理サーバ
31 送受信制御部
32 認証検証部
33 データ生成格納部
41,42 送受信制御部
43 認証検証部
44 カプセル化・デカプセル化部
45 転送許可リスト
46 転送制限タイマ
51 送受信制御部
52 認証検証部
53 カプセル化・デカプセル化部
54 アドレス変換部
55 転送許可リスト
56 転送制限タイマ

Claims (10)

  1. 基幹ネットワークにルータを介してローカルエリアネットワーク(LAN)が接続され、そのLANに有線で接続された有線端末または無線で接続された無線端末から基幹ネットワークに接続された宛先サーバにアクセス可能な通信システムにおいて、
    前記基幹ネットワークおよび前記LANに接続不可のゲスト端末と、
    前記LANおよび前記ゲスト端末に接続可能で、前記ゲスト端末と前記宛先サーバとの間で送受信されるパケットを転送する転送装置と、
    前記基幹ネットワークに接続され、前記転送装置を介して行われる前記ゲスト端末から前記宛先サーバへのアクセスを制御する管理サーバとを備え、
    前記転送装置は、前記ゲスト端末から前記宛先サーバを宛先として送信されたパケットを受信し、前記管理サーバを宛先とするカプセル化ヘッダを付けてカプセル化したパケットとして送信し、当該パケットを受信した前記管理サーバは当該パケットをデカプセル化し、送信元を前記ゲスト端末から前記管理サーバにアドレス変換したパケットを前記宛先サーバに送信する構成であり、
    前記管理サーバは、前記ゲスト端末から送信されたパケットに応答して前記宛先サーバから送信されたパケットを受信し、その宛先を前記管理サーバから前記ゲスト端末にアドレス逆変換し、さらに前記転送装置を宛先とするカプセル化ヘッダをつけてカプセル化したパケットとして送信し、当該パケットを受信した前記転送装置は当該パケットをデカプセル化し、前記ゲスト端末に送信する構成である
    ことを特徴とする通信システム。
  2. 請求項1に記載の通信システムにおいて、
    前記管理サーバは、接続を許可するゲスト端末のアドレスを記載した接続許可リストを備え、前記転送装置から送信されたパケットをデカプセル化した後の送信元アドレスとこの接続許可リストを照合して接続可否を判断し、接続不可の場合に当該パケットを破棄する構成である
    ことを特徴とする通信システム。
  3. 請求項2に記載の通信システムにおいて、
    前記転送装置は、前記管理サーバからの設定によって前記接続許可リストと同じ内容の接続許可リストを備え、前記ゲスト端末から送信されたパケットの送信元アドレスとこの接続許可リストを照合して接続可否を判断し、接続不可の場合に当該パケットを破棄する構成である
    ことを特徴とする通信システム。
  4. 請求項2に記載の通信システムにおいて、
    前記管理サーバは、前記接続許可リストに記載したアドレスの有効期限を管理し、当該有効期限を経過したアドレスを送信元とするゲスト端末からのパケットを破棄する構成である
    ことを特徴とする通信システム。
  5. 請求項3に記載の通信システムにおいて、
    前記転送装置は、前記接続許可リストに記載したアドレスの有効期限を管理し、当該有効期限を経過したアドレスを送信元とするゲスト端末からのパケットを破棄する構成である
    ことを特徴とする通信システム。
  6. 請求項1に記載の通信システムにおいて、
    前記ゲスト端末は、前記管理サーバの正当性を検証する認証機能を備える
    ことを特徴とする通信システム。
  7. 請求項1に記載の通信システムにおいて、
    前記転送装置は、前記管理サーバの正当性を検証する認証機能を備える
    ことを特徴とする通信システム。
  8. 請求項1に記載の通信システムにおいて、
    前記有線端末または前記無線端末の少なくとも1つは、前記転送装置の機能を含む構成である
    ことを特徴とする通信システム。
  9. 基幹ネットワークにルータを介してローカルエリアネットワーク(LAN)が接続され、そのLANに有線で接続された有線端末または無線で接続された無線端末から基幹ネットワークに接続された宛先サーバにアクセス可能な通信方法において、
    前記基幹ネットワークおよび前記LANに接続不可のゲスト端末と、
    前記LANおよび前記ゲスト端末に接続可能で、前記ゲスト端末と前記宛先サーバとの間で送受信されるパケットを転送する転送装置と、
    前記基幹ネットワークに接続され、前記転送装置を介して行われる前記ゲスト端末から前記宛先サーバへのアクセスを制御する管理サーバとを有し、
    前記転送装置は、前記ゲスト端末から前記宛先サーバを宛先として送信されたパケットを受信し、前記管理サーバを宛先とするカプセル化ヘッダを付けてカプセル化したパケットとして送信し、当該パケットを受信した前記管理サーバは当該パケットをデカプセル化し、送信元を前記ゲスト端末から前記管理サーバにアドレス変換したパケットを前記宛先サーバに送信し、
    前記管理サーバは、前記ゲスト端末から送信されたパケットに応答して前記宛先サーバから送信されたパケットを受信し、その宛先を前記管理サーバから前記ゲスト端末にアドレス逆変換し、さらに前記転送装置を宛先とするカプセル化ヘッダをつけてカプセル化したパケットとして送信し、当該パケットを受信した前記転送装置は当該パケットをデカプセル化し、前記ゲスト端末に送信する
    ことを特徴とする通信方法。
  10. 請求項9に記載の通信方法において、
    接続を許可するゲスト端末のアドレスを記載した接続許可リストが、前記管理サーバまたは前記管理サーバの設定によって前記転送装置に備えられ、前記ゲスト端末から送信されたパケットの送信元アドレスとこの接続許可リストを照合して接続可否を判断し、接続不可の場合に当該パケットを破棄する
    ことを特徴とする通信方法。
JP2007045290A 2007-02-26 2007-02-26 通信システムおよび通信方法 Pending JP2008211446A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007045290A JP2008211446A (ja) 2007-02-26 2007-02-26 通信システムおよび通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007045290A JP2008211446A (ja) 2007-02-26 2007-02-26 通信システムおよび通信方法

Publications (1)

Publication Number Publication Date
JP2008211446A true JP2008211446A (ja) 2008-09-11

Family

ID=39787388

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007045290A Pending JP2008211446A (ja) 2007-02-26 2007-02-26 通信システムおよび通信方法

Country Status (1)

Country Link
JP (1) JP2008211446A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013073421A (ja) * 2011-09-28 2013-04-22 Nippon Telegraph & Telephone West Corp 情報処理システム、及び情報処理方法
JP2016208174A (ja) * 2015-04-20 2016-12-08 株式会社リコー 通信システムおよび通信方法
JP7391727B2 (ja) 2020-03-11 2023-12-05 アラクサラネットワークス株式会社 中継装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057572A (ja) * 1999-07-21 2001-02-27 Nec Corp アクセスルーティング方法及びアクセス提供システム
JP2003218954A (ja) * 2001-11-09 2003-07-31 Docomo Communications Laboratories Usa Inc 安全なネットワークアクセス方法
JP2003234740A (ja) * 2001-11-09 2003-08-22 Docomo Communications Laboratories Usa Inc モバイルipネットワークへのアクセスを安全にする方法
JP2006148579A (ja) * 2004-11-19 2006-06-08 Allied Telesis Holdings Kk 通信方法およびネットワークシステム
JP2006527967A (ja) * 2003-06-18 2006-12-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) モバイルIP(モバイルIP:MobileIP)バージョン6サービスをサポートするための方法、システム及び装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057572A (ja) * 1999-07-21 2001-02-27 Nec Corp アクセスルーティング方法及びアクセス提供システム
JP2003218954A (ja) * 2001-11-09 2003-07-31 Docomo Communications Laboratories Usa Inc 安全なネットワークアクセス方法
JP2003234740A (ja) * 2001-11-09 2003-08-22 Docomo Communications Laboratories Usa Inc モバイルipネットワークへのアクセスを安全にする方法
JP2006527967A (ja) * 2003-06-18 2006-12-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) モバイルIP(モバイルIP:MobileIP)バージョン6サービスをサポートするための方法、システム及び装置
JP2006148579A (ja) * 2004-11-19 2006-06-08 Allied Telesis Holdings Kk 通信方法およびネットワークシステム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013073421A (ja) * 2011-09-28 2013-04-22 Nippon Telegraph & Telephone West Corp 情報処理システム、及び情報処理方法
JP2016208174A (ja) * 2015-04-20 2016-12-08 株式会社リコー 通信システムおよび通信方法
US10567958B2 (en) 2015-04-20 2020-02-18 Ricoh Company, Ltd. System and method for managing and authenticating communications connections
JP7391727B2 (ja) 2020-03-11 2023-12-05 アラクサラネットワークス株式会社 中継装置

Similar Documents

Publication Publication Date Title
CN107836104B (zh) 与机器设备进行互联网络通信的方法和系统
US7680878B2 (en) Apparatus, method and computer software products for controlling a home terminal
EP1552652B1 (en) Home terminal apparatus and communication system
CN101682569B (zh) 用于在固定网络架构中漫游Wi-Fi接入的PANA
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
JP2006524017A (ja) 公的認証サーバで無線lanアクセスを制御するidマッピング機構
WO2015003565A1 (zh) 控制用户终端接入的方法、装置及系统
JP2005521329A (ja) オートコンフィギュレーション構成を有する情報ルーティングデバイス
CN102624744A (zh) 网络设备的认证方法、装置、系统和网络设备
JP2006033206A (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
ES2484319T3 (es) Método y sistema para hacer funcionar un punto de acceso inalámbrico para proporcionar acceso a una red
CN110474922A (zh) 一种通信方法、pc系统及接入控制路由器
JP4226606B2 (ja) 通信装置、通信方法、ならびに、プログラム
JP3970857B2 (ja) 通信システム、ゲートウェイ装置
JP2008211446A (ja) 通信システムおよび通信方法
JP2012060357A (ja) 移動体システムのリモートアクセス制御方法
CN102281287B (zh) 基于tls的分离机制移动性信令保护系统及保护方法
JP2006229265A (ja) ゲートウェイシステム
JP4420057B2 (ja) 通信方法、情報処理システム及び情報処理装置
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
EP2421294B1 (en) Method for establishing a protected setup of wireless communication and wireless registration requesting device implementing the same
JP4996514B2 (ja) ネットワークシステム及び電文の転送方法
JP2006352710A (ja) パケット中継装置及びプログラム
JP2006108853A (ja) パケットの転送先を自動認識可能とした通信機器および通信システムならびにプログラム
JP2009081710A (ja) 通信機器及び通信機器に用いられる通信方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090526

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091208

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100406