JP2008219239A - Vpn動的設定システム - Google Patents
Vpn動的設定システム Download PDFInfo
- Publication number
- JP2008219239A JP2008219239A JP2007051245A JP2007051245A JP2008219239A JP 2008219239 A JP2008219239 A JP 2008219239A JP 2007051245 A JP2007051245 A JP 2007051245A JP 2007051245 A JP2007051245 A JP 2007051245A JP 2008219239 A JP2008219239 A JP 2008219239A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- terminal
- group
- call
- terminals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】通話要求が発生するとともに、IP電話端末間に確実にVPNを構築して通信できるVPN動的設定システムを提供する。
【解決手段】IP電話端末4aは、他のIP電話端末4bに通話要求を行うと、VPN装置3aは発呼を検知し、管理サーバ1に発呼要求を伝える。管理サーバ1は、IP電話端末4a,4bが通話グループに登録されていれば、IP電話端末4a,4b間にVPNを構築し通信可能な状態とする。更に、通話中のIP電話端末4aにIP電話端末4cが発呼すると、管理サーバ1は、IP電話端末4a,4bが利用中の通話グループにIP電話端末4cが登録されているか確認する。登録されていれば、利用中の通話グループを用いてIP電話端末4a〜4c間にVPNを再構築して通信可能な状態とする。登録されていなければ、新しい通話グループを用いてVPNを再構築して通話可能な状態とする。
【選択図】 図1
【解決手段】IP電話端末4aは、他のIP電話端末4bに通話要求を行うと、VPN装置3aは発呼を検知し、管理サーバ1に発呼要求を伝える。管理サーバ1は、IP電話端末4a,4bが通話グループに登録されていれば、IP電話端末4a,4b間にVPNを構築し通信可能な状態とする。更に、通話中のIP電話端末4aにIP電話端末4cが発呼すると、管理サーバ1は、IP電話端末4a,4bが利用中の通話グループにIP電話端末4cが登録されているか確認する。登録されていれば、利用中の通話グループを用いてIP電話端末4a〜4c間にVPNを再構築して通信可能な状態とする。登録されていなければ、新しい通話グループを用いてVPNを再構築して通話可能な状態とする。
【選択図】 図1
Description
本発明は、複数のIP端末間で音声通信を行う際に、IP端末間に自動でVPNを構築するVPN動的設定システムに関する。
従来、異なったネットワーク間で音声通信等を行う際には、通話の品質やセキュリティを確保するために、VPNを構築する。例えば、特許文献1には、2台のIP電話端末間で音声通信を行う際に、呼の発生と同時にVPNを自動で設定し、呼の消滅と同時にVPNを自動で解除する方法が記載されている。また、既にVPNが設定されているIP電話端末に対して発呼した場合は、異常処理が実行される。
特開2002−374249号公報
しかしながら、特許文献1の発明では、呼の発生と同時にVPNを自動で設定するため、通信したくないIP電話端末から発呼された場合にもVPNを自動で設定しまうといった問題がある。また、3台以上のIP電話端末間では音声通信ができないといった問題もある。
そこで、この発明の目的は、通信可能なIP端末のグループを予め設定することで、IP端末の通信要求の発生と同時に通信可能なIP端末と自動でVPNを構築し、グループ外のIP端末とはVPNを構築しないVPN動的設定システムを提供することにある。
請求項1の発明は、VPNサーバと、該VPNサーバにネットワークを介して接続された複数のIP端末と、該IP端末に接続され、該VPNサーバ及び該IP端末の間にVPNを構築可能なVPN装置と、から構成され、前記VPNサーバは、相互の通信を許可したIP端末の通話グループ毎にIP端末情報とVPN共通鍵とを備えた通信グループ情報を記憶した情報テーブルを備え、この情報テーブルを参照することにより通信を行おうとする各IP端末同士が同一グループに属しているか否かを判断し、前記VPN装置は、通信を行おうとする各IP端末が同一の通信グループに属していると前記VPNサーバにおいて判断されると、これらのIP端末間にVPNを構築し、通信を行おうとする各IP端末が同一の通信グループに属していないと前記VPNサーバにおいて判断されると、これらのIP電話端末間にはVPNを構築しないことを特徴とする。
この構成においては、VPN動的設定システムは、VPNサーバと複数のIP端末と、VPNサーバ及びIP端末の少なくとも一方に配置されたVPN装置とから構成される。なお、VPNサーバとIP端末とは、VPN装置を介して接続される。VPNサーバは、通信グループ情報を記憶した情報テーブルを備える。通信グループ情報は、通信グループ毎に、複数のIP端末情報とVPN共通鍵とから構成される。IP端末情報とは、IP端末の識別番号である。VPN共通鍵とは、IP端末間でデータを送受信する際に、データを暗号化・復号するのに用いる共通鍵である。VPNサーバが、自装置に保持する通信グループ情報を参照して、通信を行う各IP端末が同一の通信グループに属していると判断すると、VPN装置は、これらIP端末間にVPNを構築する。また、VPNサーバが、自装置に保持する通信グループ情報を参照して、通信を行う各IP電話端末が同一の通信グループに属していないと判断すると、VPN装置は、これらIP端末間にVPNを構築しない。これにより、通信を予定するIP端末を予め通信グループに登録しておくと、IP端末から通信要求を行うだけで、IP端末間に確実にVPNを構築して通信できる。また、通信グループ外のIP端末とは、VPNを構築しないので、通信したくないIP端末から通信要求を受けたり、通信したくないIP端末に誤って通信要求をしたりしても、通信を開始することがない。
請求項2の発明は、前記同一通信グループ内のIP端末群が通信を行っている状態で新たなIP端末が加入するときに、前記VPN装置は、前記新たなIP端末が前記同一通信グループに属していると、前記VPNサーバにおいて判断されると通信グループを変更することなく、この新たなIP端末を含むこれらのIP端末間にVPNを再構築することを特徴とする。
この構成においては、VPNサーバは、通信中のIP端末に対して他のIP端末が通信要求を行う場合、通信中のIP端末が利用している通信グループに、他のIP端末が属していると判断すると、通信グループを変更することなく、他のIP端末を含むこれらIP端末間にVPNを再構築する。また、VPNサーバは、IP端末に対して通信中の他のIP端末から通信要求を行う場合、通信中の他のIP端末が利用している通信グループに、IP端末が属していると判断すると、通信グループを変更することなく、IP端末を含むこれらIP端末間にVPNを再構築する。また、VPNサーバは、通信中のIP端末に対して通信中の他のIP端末から通信要求を行う場合、利用中の通信グループのどちらか一方に、通信中の全IP端末が属していると判断すると、通信中の全IP端末が属している通信グループを利用して、全IP端末間にVPNを再構築する。また、VPNサーバは、通信中のIP端末に対して通信中の他のIP端末から通信要求を行う場合、利用中の通信グループの両方に、通信中の全IP端末が属していると判断すると、どちらか一方の通信グループを利用して、全IP端末間にVPNを再構築する。これにより、他のIP端末から通信中のIP端末への通信要求、又は、通信中の他のIP端末からIP端末への通信要求、又は、通信中の他のIP端末から通信中のIP端末への通信要求が行われるだけで、利用中の通信グループに全IP端末が含まれている場合は、通信グループをそのまま利用して、全IP端末間にVPNを再構築して通信できる。つまり、通信要求の発信側と受信側の少なくとも一方が通信中のIP端末で、この通信中のIP端末が利用している通信グループに発信側と受信側との全IP端末が含まれる場合、通信グループをそのまま利用して、全IP端末間でVPNを再構築する。このため、3台以上の複数台のIP端末間でVPNを自動で再構築して通信することができる。
請求項3の発明は、前記同一グループ内のIP端末群が通信を行っている状態で新たなIP端末が加入するときに、前記VPN装置は、新たなIP端末が前記同一通信グループに属しておらず、他の通信グループに前記IP端末群及び新たなIP端末が属していると前記VPNサーバにおいて判断されると、通信グループを前記他の通信グループに変更して、この新たなIP端末を含むこれらのIP端末間にVPNを再構築することを特徴とする。
この構成においては、VPNサーバは、通信中のIP端末に対して他のIP端末が通信要求を行う場合、通信中のIP端末が利用している通信グループに、他のIP端末が含まれていないと判断すると、全IP端末が含まれた他の通信グループに変更して、他のIP端末を含むこれらIP端末間にVPNを再構築する。又は、VPNサーバは、IP端末に対して通信中の他のIP端末から通信要求を行う場合、通信中の他のIP端末が利用している通信グループに、IP端末が含まれていないと判断すると、全IP端末が含まれた他の通信グループに変更して、IP端末を含むこれらIP端末間にVPNを再構築する。又は、VPNサーバは、通信中のIP端末に対して通信中の他のIP端末から通信要求を行う場合、両方の通信グループに、通信中の全IP端末が属していないと判断すると、全IP端末が含まれた他の通信グループに変更して、全IP端末間にVPNを再構築する。これにより、他のIP端末から通信中のIP端末への通信要求、又は、通信中の他のIP端末からIP端末への通信要求、又は、通信中の他のIP端末から通信中のIP端末への通信要求を行うだけで、利用中の通信グループに全IP端末が含まれていない場合は、全IP端末が含まれる他の通信グループに自動で切り替えて、通信中の全てのIP端末間で、VPNを再構築して通信できる。つまり、通信要求の発信側と受信側の少なくとも一方が通信中のIP端末で、通信中のIP端末が利用している通信グループに受信側と発信側との全IP端末が含まれていない場合、全IP端末が含まれた他の通信グループに自動で変更して、全IP端末間でVPNを再構築する。このため、3台以上のIP端末間でVPNを自動で再構築して通信することができる。
この発明によれば、通信予定のIP端末を予め通信グループに登録するだけで、通信要求が発生すると、通信要求が発生した時点で該当するIP端末間で自動的且つ確実にVPNを構築して通信できる。更に、通信中のIP端末からの通信要求及び通信中のIP端末への通信要求が発生すると、VPNを自動で再構築して通信可能な状態にする。
本発明の実施形態に係るVPN動的設定システムについて、図1,2を参照して説明する。図1は、複数台のIP電話端末4が接続されているネットワーク環境を示した図である。図2は、通話グループ情報の内容を示す図である。図2(A)は、通話グループ(グループID1〜3)の登録時の通話グループ情報の内容を示す。図2(B)は、通話グループ(グループID4)の登録後の通話グループ情報の内容を示す。
図1において、各拠点5(5a〜5f)に設置された複数台のIP電話端末4(4a〜4f)は、各々がVPN装置3(3a〜3f)に接続される。各VPN装置3(3a〜3f)は、ネットワーク6を介して、拠点7に配置された管理サーバ1と中継サーバ2とに接続される。なお、本実施形態では、拠点5にIP電話端末4とVPN装置3とを配置し、拠点7に管理サーバ1と中継サーバ2とを配置してネットワーク6を介して接続している。これに限らず、管理サーバ1と中継サーバ2とIP電話端末4aとVPN装置3aとを拠点7に配置し、他の拠点5b〜5fのそれぞれにVPN装置3b〜3f、IP電話端末4b〜4fを配置してもよい。
本発明では、中継サーバ2を介してIP電話端末4間でVPN通信を行う。この際、互いに通信を許可する複数のIP電話端末4からなる通話グループを構成し、この通話グループの情報を管理サーバ1に登録しておく。IP電話端末4は、他のIP電話端末4と通信をする際に、管理サーバ1に対して、自端末と他のIP電話端末4とが登録された通話グループの情報が、通話グループ情報に登録されているか確認する。登録されている場合(VPN通信が許可されている場合)、管理サーバ1は、中継サーバ2に通信の許可信号を送信し、IP電話端末4は、中継サーバ2を介して他のIP電話端末4とVPN通信を行うことができる。また、登録されていない場合(VPN通信が許可されていない場合)、管理サーバ1は、中継サーバ2に通信の許可信号を送信しないので、IP電話端末4は、他のIP電話端末4と通信を行うことができない。
このように、通話グループに登録されているIP電話端末4間では、セキュリティを確保してVPN通信を行うことができるが、通話グループに登録されていないIP電話端末4間では、通信を行うことができない。また、中継サーバ2は、IP電話端末4間で送受信するデータの中継を行うので、通話グループに3台以上登録されている場合には、3台以上のIP電話端末4間で通信を行うことができる。
次に、各装置の機能について以下に説明する。管理サーバ1は、通話グループ情報と、各VPN装置3(3a〜3f)の公開鍵を保持する。管理サーバ1は、IP電話端末4からの通信要求があると、通話グループ情報を参照してIP電話端末4間の通信が許可されているかどうかを調べる。許可されている場合、管理サーバ1は、中継サーバ2に対して、IP電話端末4間の通信を許可する信号を送信する。なお、VPN装置3の公開鍵は、後述するグループIDを暗号化して、管理サーバ1から各VPN装置3へ送信する際に用いられる。
また、図2に示すように、通話グループ情報は、複数の通話グループから構成され、ユーザにより通話グループの追加及び削除が行われる。通話グループは、グループID、IP電話端末情報及びVPN共通鍵から構成され、通話グループのIP電話端末情報に登録されたIP電話端末4間でVPN通信できる。グループIDは、通話グループを識別する識別記号である。グループIDは、通話グループ情報に通話グループが登録されるたびに発行される。また、IP電話端末情報は、複数台のIP電話端末4の情報から構成される。IP電話端末4の情報とは、IP電話端末4に対応するVPN装置3の識別番号やIP電話端末4の識別番号等である。具体的には、VPN装置3のIPアドレスや、IP電話端末4のSIPアドレス等である。なお、IP電話端末4の識別番号として、MACアドレスを用いてもよい。この場合、MACアドレスは、ARP,RARPプロトコルを用いてIPアドレスに変換される。また、VPN共通鍵は、通話グループ毎に発行される共通鍵である。VPN共通鍵は、通話時の音声データの暗号化及び復号に用いられる。
中継サーバ2は、VPN装置を内蔵し、IP電話端末4間での音声通話の中継を行う。具体的には、例えば、IP電話端末4a〜4c間で通話中の場合、中継サーバ2は、IP電話端末4aから受信した音声データを、IP電話端末4b,4cへ送信する。
VPN装置3は、IP電話端末4が設置されている拠点5毎に設置され、VPNゲートウェイの役割とSIPサーバの役割とを担う。VPN装置3は、管理サーバ1との通信時に、管理サーバ1から受信したデータの照合を行う。VPN装置3は、中継サーバ2との通信時にVPNを構築する。
IP電話端末4は、音声通信用の端末で、収音した音声データをSIP形式のプロトコルに変換してVPN装置3へ出力する。また、IP電話端末4は、VPN装置3から入力された音声データを放音する。なお、図1には、IP電話端末4を6台用いた場合を示しているが、台数を限定するものではなく、複数台のIP電話端末4から構成されればよい。また、本実施形態では、IP電話端末4とVPN装置3とを別に設けているが、IP電話端末4とVPN装置3を一体にして設けてもよい。
次に、通話グループを登録する手順について、図3を参照して説明する。図3は、通話グループの登録処理に関するフローチャートである。説明を簡単化するため、図2(A)に示す通話グループ情報を保持している管理サーバ1に、IP電話端末4a〜4cからなる通話グループをIP電話端末4aから登録する場合について、以下に説明する。
図3に示すように、ユーザが遠隔地にある端末(例えば、IP電話端末4やPC等)から、相互間での通信を許可するIP電話端末4a〜4cの情報を入力する(S101)と、端末は、管理サーバ1に対して、入力したIP電話端末4の情報を送信する(S102)。管理サーバ1は、IP電話端末4a〜4cの情報を受信(S111)して、ステップS112へ進む。この際、端末と管理サーバ1とが他拠点に配置されている場合は、端末と管理サーバ1との通信経路間は、SSL−VPNが構築される。これにより、端末から入力されたIP電話端末4a〜4cの情報は暗号化されて管理サーバ1に送信されるので、セキュリティを確保することができる。また、ユーザからのデータ入力受付時に、管理サーバ1は、ユーザに対してアカウントとパスワードの入力を要求してもよい。これにより、特定のユーザのみが通話予定のIP電話端末4を登録することができるので、更にセキュリティを確保することができる。なお、通話グループの情報は、直接管理サーバ1を操作して、入力してもよい。
ステップS112にて、管理サーバ1は、図2(A)に示す通話グループ情報に、IP電話端末4a〜4cから構成される通話グループが存在するかどうか確認する。通話グループが存在した場合(S112:Yes)、管理サーバ1は、IP電話端末4a〜4cから構成される通話グループ(グループID3)が登録済みである旨を端末に通知して(S113)、通話グループの登録処理を終了する。
また、通話グループが存在しない場合(S112:No)、管理サーバ1は、この通話グループを登録するために、まず、この通話グループ固有のVPN共通鍵を生成する(S114)。管理サーバ1は、通話グループ情報にある登録済みグループIDの最大値3に1追加した値4をグループIDとして、通話グループ情報にグループID4とIP電話端末4a〜4cの情報と生成したVPN共通鍵とを登録する(S115)。管理サーバ1は、グループIDとVPN共通鍵とを各VPN装置3a〜3cの公開鍵で暗号化して(S116)、この暗号化データをVPN装置3a〜3cに送付する(S117)。このような処理により、IP電話端末4a〜4cから構成される通話グループの登録後、通話グループ情報は、図2(A)に示す状態から、図2(B)に示す状態となる。
各VPN装置3a〜3cは、管理サーバ1から暗号化データを受信する(S121)と、自身の秘密鍵で受信したデータを復号して、グループID4とVPN共通鍵とのデータを取得する(S122)。各VPN装置3a〜3cは、グループID4とVPN共通鍵とのデータを不図示のメモリで保持する(S123)。以上で、通話グループの登録が完了する。
次に、通話の開始処理について、図4を用いて説明する。図4は、通話開始時の処理に関するフローチャートである。以下に、IP電話端末4aからIP電話端末4bに通話する場合について説明する。
図4に示すように、IP電話端末4aからIP電話端末4bに発呼する(S201)と、VPN装置3aは、IP電話端末4aの発呼を検知する(S211)。VPN装置3aは、呼情報を管理サーバ1へ送信する(S212)。
管理サーバ1は、呼情報を受信する(S231)と、受信した呼情報より、IP電話端末4aからIP電話端末4bに対する通話が要求されたことを知る。管理サーバ1は、図2(B)に示す通話グループ情報に、IP電話端末4a,4bを含む通話グループが存在するかどうか調べる(S232)。この通話グループが存在する場合(S232:Yes)は、ステップS234に進む。この通話グループが存在しない場合(S232:No)は、管理サーバ1は、通話グループが登録されていない旨をVPN装置3aに通知する。VPN装置3aは、通話グループが登録されていない旨をIP電話端末4aに通知して、通話開始処理を終了する(S233)。
ステップS234にて、管理サーバ1は、IP電話端末4a,4bが登録されている通話グループ(グループID2)を選択して、ステップS235へ進む。この通話グループの選択方法として、例えば、次のような方法で選択する。(a)IP電話端末4a,4bを含むIP電話端末の台数が一番少ない通話グループ(グループID2)を選択する方法。(b)IP電話端末4a,4bを含むIP電話端末4の台数が一番多い通話グループ(グループID3)を選択する方法。(c)IP電話端末4a,4bを含む最初に登録された通話グループ(グループID1)を選択する方法。(d)IP電話端末4a,4bを含む一番最近登録された通話グループ(グループID4)を選択する方法。なお、ここでは、上記(a)の方法により通話グループ(グループID2)を選択するものとする。
ステップS235にて、管理サーバ1は、選択した通話グループのグループID(グループID2)を各VPN装置3a,3bに送信して、ステップS213,S261へ進む。この際、管理サーバ1は、各VPN装置3a,3bの公開鍵にてグループIDを暗号化した後、各VPN装置3a,3bに送信する。
ステップS213にて、VPN装置3aは、暗号化されたグループIDを受信し、自身の秘密鍵で復号して、グループIDを取得する。VPN装置3aは、自身が保持するVPN共通鍵が、取得したグループIDに対応するVPN共通鍵であるか否かを照合する(S214)。この照合に成功する(S214:Yes)とステップS216へ進む。一方、この照合に失敗する(S214:No)と、VPN装置3aは、IP電話端末4aと管理サーバ1とに照合が失敗した旨を通知し、処理を終了する。IP電話端末4aは、通信処理に失敗した旨をユーザに報知し、処理を終了する。管理サーバ1は、通話開始処理を終了する(S215)。
また、ステップS261にて、VPN装置3bは、暗号化されたグループIDを受信し、自身の秘密鍵で復号して、グループIDを取得する。VPN装置3bは、自身が保持するVPN共通鍵が、取得したグループIDに対応するVPN共通鍵であるか否かを照合する(S262)。この照合に成功する(S262:Yes)とステップS264へ進む。一方、この照合に失敗する(S262:No)と、VPN装置3bは、管理サーバ1に照合が失敗した旨を通知し、処理を終了する。管理サーバ1は、VPN装置3bにて照合が失敗した旨を、VPN装置3aに通知し、通話開始処理を終了する。VPN装置3aは、VPN装置3bにて照合が失敗した旨を、IP電話端末4aに通知して処理を終了する。IP電話端末4aは、通信処理に失敗した旨をユーザに報知し、処理を終了する(S263)。
VPN装置3a,3bは、自身が保持するVPN共通鍵の照合に成功する(S214:Yes,S262:Yes)と、VPN装置3a,3bは、管理サーバ1へVPN接続を開始する旨を通知する(S216,S264)とともに、中継サーバ2との間にVPNを設定する(S217,S265)。管理サーバ1は、VPN装置3a,3bからVPN接続を開始する旨の通知を受信する(S236)と、中継サーバ2に呼情報を送信する(S237)。中継サーバ2は、呼情報を受信して、自装置に記憶する(S251)。ここで、中継サーバは、受信した呼情報により音声データを中継するIP電話端末4を知る。以上で、VPN装置3a,3bと中継サーバ2との間で、VPN接続が完了する。
なお、管理サーバ1は、中継サーバ2に呼情報を送信する処理(S237)を、VPN接続が完了した後に行っても良い。
VPN接続が完了すると、管理サーバ1は、VPN装置3bへ呼情報を送信する(S238)。VPN装置3bは、呼情報を受信する(S266)と、IP電話端末4bへ呼情報を送信する(S267)。IP電話端末4bは、呼情報を受信する(S281)とともに、呼び出しを行う。IP電話端末4bが、この呼び出しに応答する(S282)と、IP電話端末4a,4b間の音声通話が開始可能な状態となる。
また、ステップS282にて、IP電話端末4bが呼び出しに応答しない場合は、中継サーバ2とVPN装置3a,3bとの間でVPNが構築されず、IP電話端末4a,4b間は音声通信が不可能な状態となる。
なお、本実施形態では、VPN装置3a,3bが中継サーバ2に対してVPN接続を行っている。これに限らず、中継サーバ2がVPN装置3a,3bに対してVPN接続を行ってもよい。この場合、VPN装置3a,3bは、共通鍵情報の照合に成功すると、その旨を管理サーバ1に通知し、管理サーバ1は、中継サーバ2にVPN接続を行うよう通知する。
次に、通話中に、通話先を追加する手順について、図5,6を用いて説明する。図5,6は、通話中のIP電話端末の追加処理に関するフローチャートである。なお、説明を簡単化するため、管理サーバ1が図2(B)に示す通話グループ情報を保持しており、IP電話端末4aとIP電話端末4b間で音声通信中に、IP電話端末4aがIP電話端末4cに発呼した場合について説明する。
図5に示すように、音声通話中のIP電話端末4aからIP電話端末4cに発呼する(S301)。VPN装置3aは、IP電話端末4aの発呼を検知する(S311)と、呼情報を管理サーバ1へ送信する(S312)。
管理サーバ1は、呼情報を受信する(S331)と、この呼情報よりIP電話端末4aからIP電話端末4cに対する通話が要求されたことを知る。管理サーバ1は、現在IP電話端末4aが利用している通話グループ(グループID2)にIP電話端末4cが存在するか確認する(S332)。IP電話端末4cが存在する場合(S332:Yes)は、S333へ進み、存在しない場合(S332:No)は、図6のステップS341へ進む。
ステップS333にて、管理サーバ1は、VPN装置3cの公開鍵にて現在利用中の通話グループのグループIDを暗号化して、VPN装置3cへ送信する。VPN装置3cは、暗号化されたグループIDを受信し、自身の秘密鍵で復号して(S361)、グループIDを取得する。VPN装置3cは、自身が保持するVPN共通鍵が、取得したグループIDに対応する共通鍵であるか否かを照合する(S362)。この照合に成功する(S362:Yes)とステップS364へ進む。一方、この照合に失敗する(S362:No)と、VPN装置3cは、管理サーバ1に照合が失敗した旨を通知し、処理を終了する。管理サーバ1は、VPN装置3cにて照合が失敗した旨をVPN装置3aに通知し、通話開始処理を終了する。VPN装置3aは、VPN装置3cにて照合が失敗した旨をIP電話端末4aに通知し、処理を終了する。IP電話端末4aは、通信処理に失敗した旨をユーザに報知し、処理を終了する(S363)。
ステップS364にて、VPN装置3cは、管理サーバ1へVPN接続を開始する旨を通知するとともに、中継サーバ2との間にVPNを設定する(S365)。そして、ステップS334の処理へ進む。以上で、VPN装置3cと中継サーバ2との間で、VPN接続が完了する。
利用中の通話グループにIP電話端末4cが存在しない場合(S332:No)は、管理サーバ1は、図2(B)に示す通話グループ情報に、IP電話端末4a〜4cを含む通話グループが存在するかどうか調べる(S341)。この通話グループが存在する場合(S341:Yes)は、ステップS343に進む。この通話グループが存在しない場合(S341:No)は、管理サーバ1は、通話グループが登録されていない旨をVPN装置3aに通知する。VPN装置3aは、通話グループが登録されていない旨をIP電話端末4aに通知して、通話開始処理を終了する(S342)。この際、通話中のIP電話端末4a,4bとの接続は維持され、通話グループは、利用中のグループID2がそのまま利用される。
ステップS343にて、管理サーバ1は、IP電話端末4a〜4cが登録されている通話グループ(グループID4)を選択する。この際、管理サーバ1は、上述の通話グループの選択方法に基づいて、通話グループを選択する。管理サーバ1は、選択した通話グループのグループID(グループID4)を各VPN装置3a〜3cに送信(S344)して、ステップS321,S371へ進む。この際、管理サーバ1は、各VPN装置3a〜3cの公開鍵にてグループIDを暗号化した後、各VPN装置3a〜3cに送信する。
ステップS321にて、VPN装置3a,3bは、暗号化されたグループIDを受信し、各々が自身の秘密鍵で復号して、グループIDを取得する。VPN装置3a,3bは、自身が保持するVPN共通鍵が、取得したグループIDに対応する共通鍵であるか否かを照合する(S322)。この照合に成功する(S322:Yes)とステップS324へ進む。一方、VPN装置3a,3bがこの照合に失敗する(S322:No)と、VPN装置3aは、IP電話端末4a、管理サーバ1に照合が失敗した旨を通知し、処理を終了する。また、VPN装置3bは、管理サーバ1とVPN装置3aとを介してIP電話端末4a、管理サーバ1に照合が失敗した旨を通知する。管理サーバ1は、通話開始処理を終了する。IP電話端末4aは、通信処理に失敗した旨をユーザに報知する(S323)。この際、通話中のIP電話端末4a,4bとの接続は維持され、通話グループは、グループID2が利用される。
また、ステップS371にて、VPN装置3cは、暗号化されたグループIDを受信し、自身の秘密鍵で復号して、グループIDを取得する。VPN装置3cは、自身が保持するVPN共通鍵が、取得したグループIDに対応する共通鍵であるか否かを照合する(S372)。この照合に成功する(S372:Yes)とステップS374へ進む。一方、この照合に失敗する(S372:No)と、VPN装置3cは、管理サーバ1に照合が失敗した旨を通知し、処理を終了する。管理サーバ1は、VPN装置3cにて照合が失敗した旨を、VPN装置3aに通知し、通話開始処理を終了する。VPN装置3aは、VPN装置3cにて照合が失敗した旨を、IP電話端末4aに通知して処理を終了する。IP電話端末4aは、通信処理に失敗した旨をユーザに報知する(S373)。この際、通話中のIP電話端末4a,4bとの接続は維持され、通話グループは、グループID2が利用される。
VPN装置3a〜3cは、自身が保持するVPN共通鍵の照合に成功する(S322:Yes,S372:Yes)と、VPN装置3a〜3cは、管理サーバ1へVPN接続を開始する旨を通知する(S324,S374)とともに、中継サーバ2との間にVPNを設定する(S325,S375)。管理サーバ1は、VPN装置3a〜3cからVPN接続を開始する旨の通知を受信する(S345)と、中継サーバ2に呼情報を送信する(S346)。中継サーバ2は、呼情報を受信し、自装置に記憶する(S351)。ここで、中継サーバは、受信した呼情報により音声データを中継するIP電話端末4を知る。そして、図5のステップS334の処理へ進む。以上で、VPN装置3a〜3cと中継サーバ2との間で、VPN接続が完了する。
なお、管理サーバ1は、中継サーバ2に呼情報を送信する処理(S346)を、VPN接続が完了した後に行っても良い。
VPN接続が完了すると、管理サーバ1は、VPN装置3cへ呼情報を送信する(S334)。VPN装置3cは、呼情報を受信する(S366)と、IP電話端末4cへ呼情報を送信する(S367)。IP電話端末4cは、呼情報を受信する(S381)とともに、呼び出しを行う。IP電話端末4cが、この呼び出しに応答する(S382)と、通話中のIP電話端末4a,4bと追加したIP電話端末4cとが通信可能な状態となる。
また、S382にて、IP電話端末4cが呼び出しに応答しない場合は、中継サーバ2とVPN装置3cとの間でVPNが構築されず、IP電話端末4a〜4c間は音声通信が不可能な状態となる。この場合、中継サーバ2とVPN装置3a,3bとの間はVPNが構築され、IP電話端末4a,4b間の音声通話が可能な状態となる。
また、IP電話端末4cが音声通話中のIP電話端末4a,4bに対して、発呼した場合についても、音声通話中のIP電話端末4a,4bがIP電話端末4cに対して発呼した場合と処理の流れが同じになる。更に、複数台で通話中のIP電話端末4から、複数台で通話中のIP電話端末4に対して、発呼した場合についても、上記と同様の処理となる。例えば、IP電話端末4a,4bは通話グループ(グループID2)を用いて通信し、IP電話端末4c,4dは通話グループ(グループID3)を用いて通信し、IP電話端末4aからIP電話端末4cに発呼する場合を例にあげる。この場合、管理サーバ1は、発呼先のIP電話端末4aと発呼元のIP電話端末4cとが利用している通話グループ(グループID2,3)に、通話中のIP電話端末4a〜4dが含まれているか確認し、含まれている場合は、その通話グループを用いて通信を行い、含まれていない場合は、他の通話グループを用いて通信を行う。
なお、本実施形態では、通話グループの登録時に、各VPN装置3にVPN共通鍵を送付している。これに限らず、通話開始時に、管理サーバ1が各VPN装置3にVPN共通鍵を送付し、通話の終了とともに、VPN装置3が保持するVPN共通鍵を削除してもよい。また、本実施形態では、管理サーバ1は予めVPN装置3の公開鍵を保持し、VPN装置3の公開鍵で通話グループの情報を暗号化して送信している。これに限らず、VPN装置3が予め管理サーバ1の公開鍵を保持し、管理サーバ1は自身の秘密鍵で通話グループの情報を暗号化してVPN装置3へ送信してもよい。
更に、本実施形態では、IP電話端末4毎に1台のVPN装置3が割り当てられているが、複数台のIP電話端末4に1台のVPN装置3を割り当ててもよい。また、本実施形態では、IP電話端末4を用いて音声通信を行ったが、これに限らず、IP端末を用いて通信を行えばよい。また、本実施形態では、管理サーバ1と中継サーバ2とを別サーバとしたが、これに限らず、管理サーバ1と中継サーバ2とを同一サーバとして構築してもよい。この場合、管理サーバ1と中継サーバ2との間でのデータの送受信処理が不要になるので、通話開始処理を簡単化することができる。
加えて、本実施形態では、複数のIP電話端末4間で通信を行う際に、まず、1台のIP電話端末4に対して通信要求を行い、次に、他のIP電話端末4に対して通信要求を行っている。しかしながら、これに限らず、複数のIP電話端末4に対して、同時に通信要求を行ってもよい。
以上より、本実施形態のVPN動的設定システムは、IP電話端末から通話したいIP電話端末に発呼するだけで、自動でVPNを構築して通信を開始することができる。また、VPN動的設定システムは、通信中のIP電話端末から他のIP電話端末への発呼、及び、IP電話端末から通信中のIP電話端末への発呼が発生すると、新たなグループIDにより、VPNを自動で再構築することができる。
更に、通話グループ情報に通信を許可したIP電話端末のグループが登録されているため、通話が許可されていないIP電話端末から発呼されても通信可能な状態にならない。これにより、IP電話端末からの誤った発呼による通話の開始を防止することができる。
1−管理サーバ,2−中継サーバ,3(3a〜3f)−VPN装置,4(4a〜4f)−IP電話端末,5,7−拠点,6−ネットワーク
Claims (3)
- VPNサーバと、該VPNサーバにネットワークを介して接続された複数のIP端末と、該IP端末に接続され、該VPNサーバ及び該IP端末の間にVPNを構築可能なVPN装置と、から構成され、
前記VPNサーバは、相互の通信を許可したIP端末の通話グループ毎にIP端末情報とVPN共通鍵とを備えた通信グループ情報を記憶した情報テーブルを備え、この情報テーブルを参照することにより通信を行おうとする各IP端末同士が同一グループに属しているか否かを判断し、
前記VPN装置は、通信を行おうとする各IP端末が同一の通信グループに属していると前記VPNサーバにおいて判断されると、これらのIP端末間にVPNを構築し、通信を行おうとする各IP端末が同一の通信グループに属していないと前記VPNサーバにおいて判断されると、これらのIP電話端末間にはVPNを構築しないVPN動的設定システム。 - 前記同一通信グループ内のIP端末群が通信を行っている状態で新たなIP端末が加入するときに、
前記VPN装置は、前記新たなIP端末が前記同一通信グループに属していると前記VPNサーバにおいて判断されると、通信グループを変更することなく、この新たなIP端末を含むこれらのIP端末間にVPNを再構築する請求項1に記載のVPN動的設定システム。 - 前記同一グループ内のIP端末群が通信を行っている状態で新たなIP端末が加入するときに、
前記VPN装置は、新たなIP端末が前記同一通信グループに属しておらず、他の通信グループに前記IP端末群及び新たなIP端末が属していると前記VPNサーバにおいて判断されると、通信グループを前記他の通信グループに変更して、この新たなIP端末を含むこれらのIP端末間にVPNを再構築する請求項1又は請求項2に記載のVPN動的設定システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007051245A JP2008219239A (ja) | 2007-03-01 | 2007-03-01 | Vpn動的設定システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007051245A JP2008219239A (ja) | 2007-03-01 | 2007-03-01 | Vpn動的設定システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008219239A true JP2008219239A (ja) | 2008-09-18 |
Family
ID=39838790
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007051245A Pending JP2008219239A (ja) | 2007-03-01 | 2007-03-01 | Vpn動的設定システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008219239A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010116642A1 (ja) * | 2009-03-30 | 2010-10-14 | セコム株式会社 | 監視システムおよび通信管理装置 |
JP5904285B2 (ja) * | 2012-11-22 | 2016-04-13 | 日本電気株式会社 | 通信システム、仮想ネットワーク管理装置、通信ノード、通信方法及びプログラム |
-
2007
- 2007-03-01 JP JP2007051245A patent/JP2008219239A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010116642A1 (ja) * | 2009-03-30 | 2010-10-14 | セコム株式会社 | 監視システムおよび通信管理装置 |
JP2010233167A (ja) * | 2009-03-30 | 2010-10-14 | Secom Co Ltd | 監視システム |
JP5904285B2 (ja) * | 2012-11-22 | 2016-04-13 | 日本電気株式会社 | 通信システム、仮想ネットワーク管理装置、通信ノード、通信方法及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4840230B2 (ja) | 無線ネットワークシステム、およびそれを構成するための無線機器 | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
EP1484856A1 (en) | The method for distributes the encrypted key in wireless lan | |
US20120087315A1 (en) | Multiple Wired Client Support on a Wireless Workgroup Bridge | |
JP4902878B2 (ja) | リンク管理システム | |
JP2008166894A (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
CN107948339B (zh) | 一种网络寻址方法、设备和装置 | |
JP4375197B2 (ja) | 無線lanシステム、無線端末、無線基地局、無線端末の通信設定方法及びそのプログラム | |
CN110741614B (zh) | 数据通信系统和方法 | |
WO2009074082A1 (fr) | Procédé, système et dispositif de contrôle d'accès | |
JP2009284183A (ja) | ネットワークシステム、および、ネットワークシステムにおけるデバイス設定方法 | |
CN105706416A (zh) | 网络接入 | |
JPH1070540A (ja) | 無線ネットワークにおける無線端末の認証方法および無線ネットワーク | |
JP2002217943A (ja) | 中継サーバおよび通信システム | |
JP2004208101A (ja) | ゲートウェイ及びそれにおける通信方法 | |
JP6895273B2 (ja) | 情報処理装置、情報処理プログラム、無線通信システム、および、通信方法 | |
JP2008219239A (ja) | Vpn動的設定システム | |
JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
JP2018148301A (ja) | 無線通信システム、通信方法、情報処理装置、および、情報処理プログラム | |
JP2008131464A (ja) | 受信装置、送信装置、方法、及び、プログラム | |
JP2003318939A (ja) | 通信システムおよびその制御方法 | |
JP2006196996A (ja) | 通信システム及び通信方法 | |
JP2008244945A (ja) | 無線接続環境設定システム、無線接続環境設定サーバ、情報端末、及び、プログラム | |
JP2009027639A (ja) | 通信接続プログラム、通信装置及び通信接続方法 | |
CN111431858B (zh) | 一种面向路由报文的集中化安全传输与认证方法 |