JP2014171083A - ネットワークシステム、通信端末、方法、プログラムおよび記録媒体 - Google Patents

ネットワークシステム、通信端末、方法、プログラムおよび記録媒体 Download PDF

Info

Publication number
JP2014171083A
JP2014171083A JP2013041652A JP2013041652A JP2014171083A JP 2014171083 A JP2014171083 A JP 2014171083A JP 2013041652 A JP2013041652 A JP 2013041652A JP 2013041652 A JP2013041652 A JP 2013041652A JP 2014171083 A JP2014171083 A JP 2014171083A
Authority
JP
Japan
Prior art keywords
network
communication terminal
vpn
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013041652A
Other languages
English (en)
Other versions
JP5853972B2 (ja
Inventor
Masaya Tanigawa
昌也 谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2013041652A priority Critical patent/JP5853972B2/ja
Publication of JP2014171083A publication Critical patent/JP2014171083A/ja
Application granted granted Critical
Publication of JP5853972B2 publication Critical patent/JP5853972B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させる。
【解決手段】ネットワークシステムは、外部ネットワークに接続されており、VPNサーバとして動作し得るネットワーク装置と、外部ネットワークを介してネットワーク装置と通信可能な通信端末と、を備える。通信端末は、部ネットワークに接続するための接続部と、接続部により通信端末が外部ネットワークに接続されると、仮想プライベートネットワークを、通信端末とネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、仮想プライベートネットワークおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行う通信実行部と、を有する。
【選択図】図1

Description

本発明は、ネットワークシステムに関する。
携帯電話端末やパーソナルコンピュータ等の通信端末は、駅やホテル等の公共施設に設けられた公衆無線LAN(Local Area Network)や公衆有線LAN等を介して、インターネットに接続されることがある。しかしながら、公衆無線LANや公衆有線LAN等におけるセキュリティレベルが低い場合には、通信端末により送受信されるデータは、第三者に盗聴されるおそれがある。例えば、公衆無線LANにおける暗号化方式が脆弱なWEP(Wired Equivalent Privacy)である場合や、暗号化をまったく行わない場合には、第三者によって無線電波が傍受され、データが盗聴されるおそれがある。そこで、公衆無線LANを介した通信経路において、通信端末を終端部とするVPN(Virtual Private Network)を形成することにより、セキュリティレベルを向上させる方法が提案されている(特許文献1、2)。
特開2004−274448号公報 特開2006−33443号公報
特許文献1に記載された方法では、利用者は、予めインターネットに接続されたVPNサーバと端末との間にVPN(VPNトンネル)を確立し、通信端末は、VPNを介してインターネットに接続された情報提供サーバと通信を行う。このため、ユーザは、通信端末及びVPNサーバにおいて、それぞれ事前にVPNを確立するための複雑な設定作業を行わねばならないという問題があった。同様に、特許文献2に記載された方法では、利用者は、予めパーソナルコンピュータとインターネットに接続されたセキュアアクセスポイントとの間にVPNを確立し、パーソナルコンピュータは、かかるVPNを介してインターネットに接続された通信相手(サーバ等)と通信を行う。したがって、特許文献2に記載された方法によると、特許文献1に記載された方法と同様の問題が発生する。このため、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末をインターネット等の外部ネットワークに接続させることが可能な技術が望まれていた。その他、通信端末や、通信端末を含むネットワークシステムの小型化や、低コスト化や、省資源化、製造の容易化、使い勝手の向上等が望まれていた。
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態として実現することが可能である。
(1)本発明の第1の形態によれば、ネットワークシステムが提供される。このネットワークシステムは、外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と、前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と、を備え、前記通信端末は、前記外部ネットワークに接続するための接続部と、前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、を有する。この形態のネットワークシステムによれば、通信端末のVPNクライアント機能部は、通信端末が外部ネットワークに接続されると、通信端末とネットワーク装置との間にVPNを確立するので、VPNを確立するためのユーザの作業を省略できる。加えて、通信端末の通信実行部は、VPNおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行うので、通信端末が外部ネットワークに接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ通信端末と他の装置との通信を実現することができる。以上から、本形態のネットワークシステムによれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させることができる。
(2)上記形態のネットワークシステムにおいて、前記ネットワーク装置は、さらに前記通信端末との間で、無線通信を実行する無線通信部と、前記無線通信が実行可能になると、前記仮想プライベートネットワークの確立のために用いられるVPN設定情報を、前記通信端末に送信するVPN設定情報送信部と、を有し、前記通信端末は、さらに、前記VPN設定情報を受信するVPN設定情報受信部を有してもよい。この形態のネットワークシステムによれば、ネットワーク装置と通信端末との間で無線通信が実行可能になると、ネットワーク装置から通信端末にVPN設定情報が送信されるので、通信端末においてVPN設定情報を設定する作業を省略できる。
(3)上記形態のネットワークシステムにおいて、前記ネットワーク装置は、前記通信端末が前記仮想プライベートネットワークを介した通信を許可された装置であるか否かの認証を実行し、前記VPN設定情報は、前記認証において用いられる端末認証情報を含み、前記ネットワーク装置は、さらに、前記無線通信が実行可能になると前記端末認証情報を生成する端末認証情報生成部を有してもよい。この形態のネットワークシステムによれば、ネットワーク装置と通信端末との間で無線通信が実行可能になると、端末認証情報が生成されるので、ユーザによる端末認証情報を設定する作業を省略できる。
(4)上記形態のネットワークシステムにおいて、前記接続部は、公衆無線LANと、公衆有線LANと、公衆無線回線とのうち、いずれかを介して前記通信端末を前記外部ネットワークに接続してもよい。この形態のネットワークシステムによれば、公衆無線LANと、公衆有線LANと、公衆無線回線とのうちのいずれかにおいて、暗号化が行われない又は暗号化方式が脆弱な方式であっても、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させることができる。
(5)上記形態のネットワークシステムにおいて、前記接続部は、公衆無線LANを介して前記通信端末を前記外部ネットワークに接続し、前記通信端末は、さらに、前記公衆無線LANに用いられている無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされたか否かを判定する判定部を有し、前記VPNクライアント機能部は、前記接続部により前記通信端末が前記外部ネットワークに接続され、かつ、前記判定部により前記所定の条件が満たされたと判定された場合に、前記仮想プライベートネットワークを確立する処理を実行してもよい。この形態のネットワークシステムによれば、無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされない場合には、VPNを確立する処理を省略することができる。したがって、常にVPNを確立する処理を実行する構成に比べて、通信端末と、外部ネットワークに接続された他の装置との間で通信を実行する際に、VPNの確立のための処理時間を短縮できると共に、VPNを介した通信に要する専用の処理(カプセル化や暗号化や復号など)を省略できる。このため、かかる通信におけるレイテンシーの増大およびスループットの低減を抑制できる。
(6)上記形態のネットワークシステムにおいて、前記所定の条件は、前記無線LANアクセスポイントにおける暗号化方式が所定の暗号化方式である、との条件と、前記無線LANアクセスポイントにおいて暗号化を行わない、との条件と、前記無線LANアクセスポイントが所定の事業者の無線LANアクセスポイントである、との条件と、のうち、いずれかを含んでもよい。この形態のネットワークシステムによれば、所定の暗号化方式が脆弱な暗号化方式であり、所定の事業者が脆弱な暗号化方式を採用する又は暗号化を行わない事業者であっても、VPNを利用して通信端末と外部ネットワークに接続されている他の装置との間の通信を実現できる。このため、高セキュリティレベルを確保した通信を実現できる。加えて、公衆無線LANにおけるセキュリティレベルが高い場合には、VPNを確立する処理を省略することができる。したがって、通信端末と、外部ネットワークに接続されている他の装置との間の通信におけるレイテンシーの増大およびスループットの低減を抑制できる。
(7)上記形態のネットワークシステムにおいて、前記所定の暗号化方式は、WEP(Wired Equivalent Privacy)であり、前記所定の事業者は、前記公衆無線LANにおける暗号化方式として、WEPを採用する事業者であってもよい。この形態のネットワークシステムによれば、無線LANアクセスポイント(公衆無線LAN)が、脆弱なWEPを暗号化方式として採用する場合に、VPNを利用して通信端末と外部ネットワークに接続されている他の装置との間の通信を実現するので、高セキュリティレベルを確保した通信を実現できる。
(8)本発明の第2の形態によれば、通信端末が提供される。この通信端末は、外部ネットワークを介して、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と通信可能な通信端末であって、前記外部ネットワークに接続するための接続部と、前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、を備える。この形態の通信端末によれば、VPNクライアント機能部は、通信端末が外部ネットワークに接続されると、通信端末とネットワーク装置との間にVPNを確立するので、VPNを確立するためのユーザの作業を省略できる。加えて、通信実行部は、VPNおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行うので、通信端末が外部ネットワークに接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ、通信端末と他の装置との通信を実現することができる。以上から、本形態の通信端末によれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続することができる。
上述した本発明の各形態の有する複数の構成要素はすべてが必須のものではなく、上述の課題の一部又は全部を解決するため、あるいは、本明細書に記載された効果の一部又は全部を達成するために、適宜、前記複数の構成要素の一部の構成要素について、その変更、削除、新たな他の構成要素との差し替え、限定内容の一部削除を行うことが可能である。また、上述の課題の一部又は全部を解決するため、あるいは、本明細書に記載された効果の一部又は全部を達成するために、上述した本発明の一形態に含まれる技術的特徴の一部又は全部を上述した本発明の他の形態に含まれる技術的特徴の一部又は全部と組み合わせて、本発明の独立した一形態とすることも可能である。
例えば、本発明の一形態は、ネットワーク装置と、通信端末との2つの要素の内の一つ以上の要素を備えたシステムとして実現可能である。すなわち、このシステムは、ネットワーク装置を有していても、有していなくても良い。また、システムは、通信端末を有していても、有していなくても良い。通信端末は、接続部を有していても、有していなくても良い。また、通信端末は、VPNクライアント機能部を有していても、有していなくても良い。また、通信端末は、通信実行部を有していても、有していなくても良い。接続部は、例えば、外部ネットワークに接続するための接続部として構成されてもよい。VPNクライアント機能部は、例えば、接続部により通信端末が外部ネットワークに接続されると、仮想プライベートネットワークを、通信端末とネットワーク装置との間に確立する処理を実行するVPNクライアント機能部として構成されてもよい。通信実行部は、例えば、仮想プライベートネットワークおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行う通信実行部として構成されてもよい。こうした装置は、例えば、ネットワークシステムとして実現できるが、ネットワークシステム以外の他のシステムとしても実現可能である。このような形態によれば、システムの小型化や、低コスト化、省資源化、省電力化、製造の容易化、使い勝手の向上等の種々の課題の少なくとも1つを解決することができる。前述したネットワークシステムの各形態の技術的特徴の一部又は全部は、いずれもこのシステムに適用することが可能である。
また、例えば、本発明の他の形態は、接続部と、VPNクライアント機能部と、通信実行部と、の3つの要素の内の一つ以上の要素を備えた装置として実現可能である。すなわち、この装置は、接続部を有していても、有していなくても良い。また、装置は、VPNクライアント機能部を有していても、有していなくても良い。また、装置は、通信実行部を有していても、有していなくても良い。接続部は、例えば、外部ネットワークに接続するための接続部として構成されてもよい。VPNクライアント機能部は、例えば、接続部により通信端末が外部ネットワークに接続されると、仮想プライベートネットワークを、通信端末とネットワーク装置との間に確立する処理を実行するVPNクライアント機能部として構成されてもよい。通信実行部は、仮想プライベートネットワークおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行う通信実行部として構成されてもよい。こうした装置は、例えば、通信端末として実現できるが、通信端末以外の他の装置としても実現可能である。このような形態によれば、装置の小型化や、低コスト化、省資源化、省電力化、製造の容易化、使い勝手の向上等の種々の課題の少なくとも1つを解決することができる。前述した通信端末の各形態の技術的特徴の一部又は全部は、いずれもこの装置に適用することが可能である。
本発明は、種々の形態で実現することも可能である。例えば、外部ネットワークに接続されている装置と通信を行う方法や、通信端末を制御する方法や、これらの方法を実現するコンピュータプログラム、そのコンピュータプログラムを記録した一時的でない記録媒体等の形態で実現することができる。
本発明の一実施形態としてのネットワークシステムの概略構成を示す説明図である。 図1に示す通信端末100の詳細構成を示すブロック図である。 図1に示すネットワーク装置200の詳細構成を示すブロック図である。 第1実施形態におけるVPN設定情報設定処理の手順を示すフローチャートである。 第1実施形態におけるDDNS情報登録処理の詳細手順を示すフローチャートである。 第1実施形態における通信処理の手順を示すフローチャートである。 第2実施形態の通信処理の手順を示すフローチャートである。 第3実施形態における通信端末100aの詳細構成を示すブロック図である。 第3実施形態における通信処理の手順を示すフローチャートである。 第4実施形態におけるネットワークシステムの構成を示す説明図である。
A.第1実施形態:
A1.システム構成:
図1は、本発明の一実施形態としてのネットワークシステムの概略構成を示す説明図である。ネットワークシステム500は、通信端末100と、ネットワーク装置200と、DDNS(Dynamic Domain Name Service)サーバ300とを備えている。ネットワークシステム500は、通信端末100を、自宅HMおよびホットスポットHSからそれぞれインターネットINTに接続されている装置(例えば、サーバSV1)と通信させることができる。
通信端末100は、携帯可能な可搬型の端末であり、ユーザによって、自宅HMおよびホットスポットHSに自在に配置され得る。本実施形態では、通信端末100は携帯電話装置であるものとして説明する。ネットワーク装置200は、自宅HMに配置されている。
DDNSサーバ300は、IETF(Internet Engineering Task Force)によってRFC2136として規格化されたダイナミックDNSを実行するサーバであり、インターネットINTに接続されている。DDNSサーバ300の構成は公知のDDNSサーバの構成と同じであるので、説明を省略する。
自宅HMには、ネットワーク装置200が配置されている。ネットワーク装置200は、図示しないモデム等を介してインターネットINTに接続されている。ホットスポットHSには、無線LANアクセスポイントa1とルータ装置r1とが配置されている。無線LANアクセスポイントa1は、公衆無線LAN400を構成し、通信端末100と無線接続されている。また、無線LANアクセスポイントa1は、ルータ装置r1と接続されている。ルータ装置r1は、インターネットINTに接続されている。ホットスポットHSでは、通信端末100等の無線LANクライアントは、公衆無線LAN400(無線LANアクセスポイントa1)と、ルータ装置r1とを介して、インターネットINTに接続されている装置(例えば、サーバSV1)と通信することができる。なお、無線LANアクセスポイントa1およびルータ装置r1は、ホットスポットHSに用いられる公知の無線LANアクセスポイントおよびルータ装置と同じであるので、説明を省略する。
ネットワークシステム500では、ホットスポットHSにおいて、通信端末100がサーバSV1と通信する際に、仮想プライベートネットワーク(以下、「VPN」(Virtual Private Network)と呼ぶ)900を確立し、VPN900を介して通信を実行することにより、高いセキュリティレベルを確保する。図1に示すように、VPN900は、通信端末100とネットワーク装置200との間に形成される。
図2は、図1に示す通信端末100の詳細構成を示すブロック図である。通信端末100は、表示部30と、無線LAN通信制御部42と、移動体通信制御部44と、音声入出力部52と、操作部54と、撮像部56と、CPU(Central Processing Unit)10と、メモリ20と、を備えている。これらの各機能部(表示部30、無線LAN通信制御部42、移動体通信制御部44、音声入出力部52、操作部54、撮像部56、CPU10およびメモリ20)は、いずれも内部バス60に接続されており、互いに通信可能に構成されている。なお、通信端末100は、図示しないバッテリーを搭載しており、各機能部は、バッテリーから供給される電力により動作する。
表示部30は、タッチパネル式のディスプレイにより構成されており、メモリ20に格納されている画像や各種メニュー画面等を表示し、また、タッチペンや指等の接触状態に関する情報を出力する。
無線LAN通信制御部42は、変調器やアンプ、アンテナを含み、例えばIEEE802.11a/b/g/nに準拠した無線LANのクライアントとして、無線LANのアクセスポイントと無線通信を行う。
移動体通信制御部44は、変調器やアンプ、アンテナを含み、例えば3G/HSPA(High Speed Packet Access)や、LTE(Long Term Evolution)や、Wimax(Worldwide Interoperability for Microwave Access)などの規格に準拠した無線データ通信を実行する移動体通信端末として、公衆無線回線(移動体通信網)の基地局と無線通信を行う。
音声入出力部52は、マイク及びスピーカを備え、音声の入力及び出力を行う。操作部54は、各種メニューを選択するための操作ボタン、音量を調整するための操作ボタン、番号や文字列を入力するためのボタン、シャッターボタンなどを備えている。撮像部56は、CCD(Charge Coupled Device)等の撮像素子や光学レンズを備え、被写体を撮影して画像データを取得する。
CPU10は、メモリ20に記憶されている制御プログラムを実行することにより、接続部10a、VPNクライアント機能部10b、通信実行部10c、表示制御部10d、通話制御部10e、VPN設定情報受信部10fとして、機能する。
接続部10aは、無線LAN通信制御部42を制御して無線LANアクセスポイントとの間で通信を実行する。接続部10aは、VPN900を介して通信を行う場合には、VPNクライアント機能部10bから暗号化後のデータを受け取り、かかるデータを、無線LAN通信制御部42を介して無線電波として出力する。また、接続部10aは、無線LAN通信制御部42を介して受信した通信データを、VPNクライアント機能部10bに渡す。
VPNクライアント機能部10bは、VPNを実現するための所定のプロトコルを実行し、対向するVPNサーバとの間でVPNを確立するための処理や、VPN確立後における通信データのカプセル化処理、暗号化及び復号処理を実行する。本実施形態では、VPNを実現するための所定のプロトコルとして、IETFによって規格化されたIPSec(Security Architecture for Internet Protocol)を用いる。VPNクライアント機能部10bは、通信実行部10cから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化して接続部10aに渡す。また、VPNクライアント機能部10bは、接続部10aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部10cに渡す。
通信実行部10cは、通信相手との間において、所定の通信プロトコルを実行することによりアプリケーションデータの送受信を行う。具体的には、通信実行部10cは、アプリケーションから受け取ったデータを、通信相手を宛先とするパケットとして組み立ててVPNクライアント機能部10bに渡す。また、VPNクライアント機能部10bから受け取ったデータを解釈して、アプリケーションに渡す。本実施形態では、所定の通信プロトコルとしては、TCP/IP(Transmission Control Protocol / Internet Protocol)を用いる。
表示制御部10dは、表示部30に画像や各種メニュー画面を表示させると共に、表示部30から出力される接触状態に関する情報を受信して、画像と接触位置とに基づき選択されたメニューを特定する。通話制御部10eは、移動体通信網を介した呼制御を行う。VPN設定情報受信部10fは、通信端末100から出力されるVPN設定情報を受信する。
VPN設定情報とは、VPNを介した通信を実現するために必要な各種の情報を意味し、VPN接続情報と、端末認証情報とからなる。VPN接続情報は、VPN900を確立するために用いられる情報であって、複数のVPNクライアントにおいて共通的に用いられる情報である。具体的には、VPN接続情報には、VPNサーバとしてのサーバ名称、VPNの種類、VPN用のポート番号、VPNにおける暗号化方式およびVPNにおける認証方式等の各種情報が含まれる。なお、本実施形態において、サーバ名称として、FQDN(Fully Qualified Domain Name)を用いる。VPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式については、予めユーザ(管理者)によって設定されている。端末認証情報は、VPN900を介した通信が許可されている装置であるか否かの認証に用いられる情報であり、各VPNクライアントごとに設定される。具体的には、端末認証情報として、ユーザ名およびパスワードや、クライアント証明書など、認証方式に応じた認証用の情報が含まれる。
メモリ20は、フラッシュメモリやROM(Read Only Memory)等の記憶装置により構成される。メモリ20には、上述した制御プログラムに加えて、VPN設定情報格納部20aが記憶されている。VPN設定情報格納部20aには、後述するVPN設定情報設定処理により、VPN設定情報が格納される。
図3は、図1に示すネットワーク装置200の詳細構成を示すブロック図である。ネットワーク装置200は、いわゆる無線ルータ装置であり、ルータ装置として機能すると共に無線LANアクセスポイント装置としても機能する。ネットワーク装置200は、有線LAN通信制御部230と、無線LAN通信制御部240と、CPU210と、メモリ220とを備えている。これらの各機能部(有線LAN通信制御部230、無線LAN通信制御部240、CPU210、メモリ220)は、いずれも内部バス260に接続されており、互いに通信可能に構成されている。
有線LAN通信制御部230は、図示しないモデムと接続するためのインターフェイスとして、有線LANインターフェイスを備えている。有線LANインターフェイスとしては、例えば、IEEE(Institute of Electrical and Electronics Engineers)802.3において規格化された各種インターフェイスを採用することができる。
無線LAN通信制御部240は、変調器やアンプ、アンテナを含み、例えばIEEE802.11a/b/g/nに準拠した無線LANのアクセスポイントとして、無線LANクライアント(例えば、通信端末100)と無線通信を行う。
CPU210は、メモリ220に記憶されている制御プログラムを実行することにより、パケット中継部210a、VPNサーバ機能部210b、端末認証情報生成部210c、VPN設定情報送信部210d、通信実行部210eとして、機能する。
パケット中継部210aは、有線LAN通信制御部230または無線LAN通信制御部240から受信したフレームを、OSI(Open Systems Interconnection)参照モデルにおけるレイヤ2または3において中継する。また、パケット中継部210aは、VPNサーバ機能部210bから受け取ったパケットの宛先に応じて、宛先の書き換えやフレームへの変換を行って、有線LAN通信制御部230または無線LAN通信制御部240に出力する。
VPNサーバ機能部210bは、VPNを実現するための所定のプロトコル(IPSec)を実行し、対向するVPNサーバとの間でVPN(VPNトンネル)を確立するための処理や、VPN確立後における通信データのカプセル化処理や暗号化及び復号処理を実行する。VPNサーバ機能部210bは、通信実行部210eから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化して接続部10aに渡す。また、VPNサーバ機能部210bは、パケット中継部210aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部210eに渡す。
端末認証情報生成部210cは、後述するVPN設定情報設定処理において、端末認証情報を生成する。VPN設定情報送信部210dは、後述するVPN設定情報設定処理において、VPN設定情報を通信端末100に送信する。通信実行部210eは、図2に示す通信端末100の通話制御部10eと同様の構成であるので、説明を省略する。
メモリ220は、フラッシュメモリやROM等の記憶装置により構成される。メモリ220には、上述した制御プログラムに加えて、経路選択テーブル格納部221と、VPN設定情報格納部222とが記憶されている。経路選択テーブル格納部221は、パケット中継部210aにおいてパケットまたはフレームの中継経路を選択する際に参照される各種テーブル(MAC(Media Access Control)テーブルや、ルーティングテーブル)が記憶されている。
VPN設定情報格納部222には、VPN設定情報(VPN接続情報および端末認証情報)が記憶されている。なお、初期状態においては、VPN接続情報はVPN設定情報格納部222に格納されていない。VPN設定情報格納部222において、端末認証情報は、各端末の識別情報と対応付けて格納されている。本実施形態では、各端末の識別情報として、各端末のMAC(Media Access Control)アドレスが用いられる。
以上の構成を有するネットワークシステム500において、通信端末100が自宅HMにおいてサーバSV1と通信する場合、通信端末100は、自宅HMに設置されているネットワーク装置200を介してインターネットINTに接続する。したがって、この場合、第三者によって通信データが盗聴される可能性は低い。これに対して、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、公衆無線LAN400におけるセキュリティレベルが低い場合(例えば、公衆無線LAN400において暗号化を行わない場合や、暗号化方式が脆弱なWEP(Wired Equivalent Privacy)である場合)、公衆無線LAN400において通信データが盗聴されるおそれがある。そこで、ネットワークシステム500では、後述するVPN設定情報設定処理および通信処理を実行することにより、簡易に、かつ、高いセキュリティレベルを確保しつつ、通信端末100を、インターネットINTに接続させて、サーバSV1と通信させることができる。
A2.VPN設定情報設定処理:
図4は、第1実施形態におけるVPN設定情報設定処理の手順を示すフローチャートである。通信端末100が自宅HMに配置され、通信端末100(無線LANクライアント)とネットワーク装置200(無線LANアクセスポイント)との間で無線接続が確立されると、ネットワーク装置200において、VPN設定情報設定処理が実行される。
ネットワーク装置200のVPNサーバ機能部210bは、VPN設定情報格納部222に格納されているVPN設定情報を参照して、無線接続された無線LANクライアント(通信端末100)について、既に端末認証情報が設定済みであるか否かを判定する(ステップS105)。上述したように、VPN設定情報格納部222には、各VPNクライアントのMACアドレスと端末認証情報とが対応付けて記憶されているため、VPNサーバ機能部210bは、通信端末100のMACアドレスおよび端末認証情報がVPN設定情報格納部222に既に格納されている場合には、通信端末100について端末認証情報が設定済みであると判定できる。
無線接続された無線LANクライアントについて、既に端末認証情報が設定済みであると判定されると(ステップS105:YES)、VPN設定情報設定処理は終了する。これに対して、無線接続された無線LANクライアントについて、端末認証情報が設定されていないと判定されると(ステップS105:NO)、VPNサーバ機能部210bは、VPN設定情報格納部222を参照して、VPN接続情報は生成済みであるか否かを判定する(ステップS110)。
例えば、ネットワーク装置200にいずれかの無線LANクライアントが初めて無線接続した場合には、VPN接続情報は生成されていない。この場合、前述のステップS110において、VPN接続情報は生成済みではないと判定される。このように、VPN接続情報は生成済みではないと判定されると(ステップS110:NO)、VPNサーバ機能部210bは、DDNS情報登録処理を実行する(ステップS115)。DDNS情報登録処理とは、VPNサーバのサーバ名称と、かかるサーバ名称に対応するグローバルIPアドレスとを、DDNSサーバ300に登録する処理を意味する。VPNサーバは、ネットワーク装置200では、VPNサーバ機能部210bにより実現される。
図5は、第1実施形態におけるDDNS情報登録処理の詳細手順を示すフローチャートである。VPNサーバ機能部210bは、VPN設定情報格納部222を参照して、VPNサーバのサーバ名称が設定済みであるか否かを判定する(ステップS205)。VPNサーバのサーバ名称は、ユーザ(管理者)が手動でVPN設定情報格納部222に格納することができ、この場合、VPN接続情報のうちサーバ名称のみは設定済みである(生成済みである)と判定される。前述のステップS205において、サーバ名称が設定済みでないと判定されると(ステップS205:NO)、VPNサーバ機能部210bは、サーバ名称を生成する(ステップS210)。サーバ名称の生成方法としては、例えば、ネットワーク装置200の有線LAN通信制御部230のMACアドレスや、無線LAN通信制御部240のMACアドレスをベースとして生成する方法を採用できる。また、例えば、数字や文字から成るランダムな文字列を自動的に生成し、かかる文字列をサーバ名称として用いることもできる。
前述のステップS210が実行された後、または、前述のステップS205においてサーバ名称が設定済みであると判定されると(ステップS205:YES)、VPNサーバ機能部210bは、VPNサーバのサーバ名称と、VPNサーバ用のグローバルIPアドレスとを、インターネットINTを介してDDNSサーバ300に通知して(ステップS215)、DDNS情報登録処理は終了する。なお、DDNSサーバ300のIPアドレスについては、予めユーザによりネットワーク装置200に設定されている。
DDNSサーバ300では、ネットワーク装置200から通知されたサーバ名称(FQDN)とグローバルIPアドレスとを、DNSデータベースに追加する。これにより、DDNSサーバ300は、VPNサーバのサーバ名称に基づき、VPNサーバに割り当てられたグローバルIPアドレスを特定することができる。
図4に示すように、DDNS情報登録処理(ステップS115)が完了すると、VPNサーバ機能部210bは、VPN接続情報の生成および登録(VPN設定情報格納部222への格納))を行う(ステップS120)。具体的には、ステップS115においてDDNSサーバに登録されたサーバ名称や、予めユーザによって設定されたVPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式等の各種情報を集めて、VPN接続情報として、VPN設定情報格納部222に格納する(ステップS120)。
上述のステップS120が実行された後、または、前述のステップS110において、VPN接続情報は生成済みであると判定された場合(ステップS110:YES)、VPNサーバ機能部210bは、端末認証情報の生成および登録(VPN設定情報格納部222への格納))を行う(ステップS125)。ユーザ名およびパスワードを生成する方法としては、例えば、サーバ名称の生成方法と同様に、通信端末100の無線LAN通信制御部42のMACアドレスをベースとして生成する方法や、ランダムな文字列を自動的に生成する方法を採用することができる。また、例えば、予めユーザ(管理者)によって設定された値を用いてもよい。
VPNサーバ機能部210bは、通信実行部210e、パケット中継部210aおよび無線LAN通信制御部240を介して、無線LANクライアント(通信端末100)に、VPN接続情報および端末認証情報を送信して(ステップS130)、VPN設定情報設定処理は終了する。通信端末100のVPN設定情報受信部10fは、無線LAN通信制御部42および通信実行部10cを介して、ネットワーク装置200から送信されたVPN接続情報および端末認証情報(すなわち、VPN設定情報)を、VPN設定情報格納部20aに格納する。
以上のVPN設定情報設定処理が実行され、通信端末100のVPN設定情報格納部20aにVPN設定情報が格納された後において、通信端末100では、アプリケーションによりインターネットINTに接続されている装置(例えば、サーバSV1)との通信要求が発生すると、後述する通信処理が実行される。
A3.通信処理:
図6は、第1実施形態における通信処理の手順を示すフローチャートである。通信端末100の接続部10aは、ネットワーク装置200以外の他の無線LANアクセスポイントを検出したか否かを判定し(ステップS305)、他の無線LANアクセスポイントを検出しない場合には前述のステップS305を再度実行する。他の無線LANアクセスポイントの検出は、無線LANアクセスポイントから出力されるビーコンの受信し、かつ、ビーコンに含まれるESSID(Extended Service Set Identifier)がネットワーク装置200のESSIDと異なることを特定することにより検出できる。
前述のステップS305において、ネットワーク装置200以外の他の無線LANアクセスポイントを検出した場合には(ステップS305:YES)、接続部10aは、検出した無線LANアクセスポイントとの間における無線接続の確立処理を実行し(ステップS310)、無線接続の確立が完了したか否かを判定する(ステップS315)。例えば、ユーザが通信端末100を自宅HMからホットスポットHSに移動させた場合、通信端末100の接続部10aは、ネットワーク装置200以外の他の無線LANアクセスポイント(無線LANアクセスポイントa1)を検出することになる。この場合、接続部10aは、無線LANアクセスポイントa1との間の無線接続を確立する。
前述のステップS315において、無線接続の確立が完了しないと判定された場合(ステップS315:NO)、接続部10aは、前述のステップS310を継続して実行する。
これに対して、前述のステップS315において、無線接続の確立が完了したと判定された場合(ステップS315:YES)、VPNクライアント機能部10bは、VPN設定情報格納部20aに格納されているVPN設定情報を参照してVPNサーバのサーバ名称を特定し、かかるサーバ名称に基づきDDNSサーバ300を利用したVPNサーバのアドレス解決を実行する(ステップS320)。上述したように、DDNSサーバ300には、VPNサーバのサーバ名称(FQDN)と、VPNサーバのグローバルIPアドレスとが対応付けて記憶されている。したがって、VPNクライアント機能部10bは、VPNサーバのサーバ名称を指定して問い合わせることにより、DDNSサーバ300からVPNサーバのグローバルIPアドレスを取得することができる。
VPNクライアント機能部10bは、ステップS320において取得したVPNサーバのグローバルIPアドレスを利用して、VPNサーバ(ネットワーク装置200のVPNサーバ機能部210b)との間で接続を行い、暗号化通信を行うための情報を交換する(ステップS325)。この処理は、例えば、IKE(Internet Key Exchange)のフェーズ1の処理に相当する。
VPNクライアント機能部10bは、VPNサーバとの間で、端末認証処理を実行する(ステップS330)。具体的には、VPNクライアント機能部10bは、VPN設定情報を参照して、設定されている認証方式に応じた認証情報(ユーザ名およびパスワードや、クライアント証明書)をVPNサーバに送信する。
VPNクライアント機能部10bは、ネットワーク装置200のVPNサーバ機能部210bとの間において、VPN900を確立する(ステップS335)。上述したステップS330およびS335は、IKEのフェーズ2の処理に相当する。
前述のステップS335が実行され、VPNが確立すると、通信実行部10cは、VPN900を利用して、通信相手(サーバSV1)と通信を実行する(ステップS340)。図1に示すように、VPN900は、通信端末100(VPNクライアント機能部10b)と、ネットワーク装置200(VPNサーバ機能部210b)との間に形成される。したがって、通信端末100から送信されたデータは、VPN900を通ってネットワーク装置200のVPNサーバ機能部210bにおいて受信される。その後、ネットワーク装置200のパケット中継部210aにおいて、中継経路として、有線LAN通信制御部230から出力される経路が決定され、通信端末100から出力された送信データは、有線LAN通信制御部230および図示しないモデムおよびアクセスネットワークを介してインターネットINTに出力され、サーバSV1に届く。
ここで、VPN(IPSec)において用いられる暗号化方式は、例えば、公開鍵暗号化方式であり、高いセキュリティレベルを確保可能な方式である。したがって、公衆無線LAN400において暗号化を行わない場合や、公衆無線LAN400における暗号化方式が脆弱なWEPであったとしても、通信端末100とサーバSV1との間の通信において、高セキュリティレベルを確保することができる。
以上説明した第1実施形態のネットワークシステム500では、通信処理を実行することにより、通信端末100とネットワーク装置200との間にVPN900を確立し、かかるVPN900を介して、通信端末100とサーバSV1との間の通信を実現する。したがって、公衆無線LAN400において暗号化を行わない場合や、公衆無線LAN400における暗号化方式が比較的脆弱な方式であっても、通信端末100とサーバSV1との間の通信において、高いセキュリティレベルを確保することができる。加えて、ネットワークシステム500では、通信端末100が自宅HMに配置されて通信端末100とネットワーク装置200との間で無線接続が確立されると、VPN設定情報設定処理が実行され、通信端末100およびネットワーク装置200にそれぞれVPN設定情報が自動的に設定される。したがって、ユーザは、通信端末100およびネットワーク装置200に、それぞれVPN設定情報を手作業で設定することを要しない。このように、ネットワークシステム500によると、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100を、インターネットINTに接続させることができる。
B.第2実施形態:
図7は、第2実施形態の通信処理の手順を示すフローチャートである。第2実施形態のネットワークシステム500は、通信処理において、ステップS317およびS345を追加して実行する点において、第1実施形態のネットワークシステム500と異なり、通信処理の他の手順、VPN設定情報設定処理の各手順およびシステム構成は、第1実施形態のネットワークシステム500と同じである。
第2実施形態のネットワークシステムでは、無線LANアクセスポイントa1(公衆無線LAN400)において暗号化処理が実行され、かかる暗号化処理において採用される方式がWEP以外の方式の場合には、VPN900を利用しないで通信を行う。
具体的には、図7に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、接続部10aを制御して、無線LANアクセスポイントにおける暗号化方式が無し(暗号化を行わない)またはWEPであるか否かを判定する(ステップS317)。無線LANアクセスポイントにおける暗号化の有無および暗号化方式は、ステップS305において受信するビーコンに含まれる情報により特定できる。
前述のステップS317において、無線LANアクセスポイントにおける暗号化方式が無しまたはWEPであると判定された場合(ステップS317:YES)、上述したステップS320からステップS340までの各処理が実行される。したがって、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、上述した第1実施形態と同様に、通信端末100は、VPN900、ネットワーク装置200、インターネットINTを介してサーバSV1と通信を行う。
これに対して、ステップS317において、無線LANアクセスポイントにおける暗号化方式がWEP以外の方式であると判定された場合(ステップS317:NO)、通信実行部10cは、VPN900を利用しないで、通信相手(例えば、サーバSV1)と通信を実行する(ステップS345)。ステップS345では、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、通信端末100は、VPN900を介さずに、ホットスポットHS(無線LANアクセスポイントa1およびルータ装置r1)と、インターネットINTとを介してサーバSV1と通信を行う。
以上の構成を有する第2実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、公衆無線LANに用いられる無線LANアクセスポイントにおいて、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、VPN900の確立のための処理や、ソフトウェアによって実現される暗号化処理および復号処理を省略できる。このため、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。
C.第3実施形態:
図8は、第3実施形態における通信端末100aの詳細構成を示すブロック図である。図9は、第3実施形態における通信処理の手順を示すフローチャートである。第3実施形態のネットワークシステムは、通信端末100aのメモリ20が事業者リスト格納部20bを備えている点と、通信処理において、ステップS318およびS345を追加して実行する点において、第1実施形態のネットワークシステム500と異なり、通信端末100aにおける他の構成、ネットワーク装置200の構成、通信処理の他の手順およびVPN設定情報設定処理の各手順は、第1実施形態のネットワークシステム500と同じである。
第3実施形態のネットワークシステムでは、無線LANアクセスポイントa1(公衆無線LAN400)が所定の事業者により提供されている場合には、VPN900を利用して通信を行い、他の事業者により提供されている場合いは、VPN900を利用しないで通信を行う。所定の事業者とは、公衆無線LANにおいて暗号化を行わない事業者または公衆無線LANにおける暗号化方式がWEPである事業者を意味する。
図8に示す事業者リスト格納部20bには、予め事業者リストが格納されている。本実施例において、事業者リストには、公衆無線LANにおいて暗号化を行わない事業者または公衆無線LANにおける暗号化方式がWEPである事業者が提供する無線LANアクセスポイントのESSIDの一覧が設定されている。この一覧は、予めユーザ(管理者)によって、事業者リスト格納部20bに格納されている。
図9に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、事業者リスト格納部20bを参照して、ステップS305で取得したESSIDに基づき、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであるか否かを判定する(ステップS318)。
検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであると判定された場合(ステップS318:YES)、上述したステップS320からステップS340までの各処理が実行される。したがって、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、上述した第1実施形態と同様に、通信端末100は、VPN900、ネットワーク装置200、インターネットINTを介してサーバSV1と通信を行う。
これに対して、ステップS318において、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではないと判定された場合(ステップS318:NO)、通信実行部10cは、VPN900を利用しないで、通信相手(例えば、サーバSV1)と通信を実行する(ステップS345)。このステップS345は、図7に示す第2実施形態の通信処理におけるステップS345と同じであるため、説明を省略する。
以上の構成を有する第2実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではない場合、つまり、公衆無線LAN400(無線LANアクセスポイントa1)において、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。
D.第4実施形態:
図10は、第4実施形態におけるネットワークシステムの構成を示す説明図である。ネットワークシステム500aは、通信端末100bと、ネットワーク装置200aとを備えている。通信端末100bは、接続部111と、VPNクライアント機能部112と、通信実行部113とを備えている。接続部111と、VPNクライアント機能部112と、通信実行部113とは、通信端末100bが備えるメモリに記憶されている制御プログラムを、通信端末100bが備えるCPUが実行することにより実現される。
ネットワーク装置200aは、外部ネットワーク800に接続されており、VPNサーバとして動作し得る。外部ネットワーク800とは、上述した第1〜3実施形態におけるインターネットINTや、広域イーサネット(「イーサネット」は登録商標)や、専用線や、LANなど、通信端末100bと他の装置801とを接続し得る任意のネットワークを意味する。通信端末100bは、ネットワーク装置200aと通信可能である。
接続部111は、通信端末100bを外部ネットワーク800に接続するために用いられる。VPNクライアント機能部112は、接続部111により通信端末100bが外部ネットワーク800に接続されると、VPN900aを、通信端末100bとネットワーク装置200aとの間に確立する処理を実行する。通信実行部113は、VPN900aおよびネットワーク装置200aを介して、ネットワーク装置200aとは異なる外部ネットワーク800に接続されている他の装置801と通信を行う。なお、装置801を、上述した第1〜3実施形態におけるサーバSV1と同様に、サーバにより構成してもよい。また、例えば、装置801を、通信端末100bと同様な通信端末により構成してもよい。
上述した第4実施形態のネットワークシステム500aによれば、通信端末100bのVPNクライアント機能部112は、通信端末100bが外部ネットワーク800に接続されると、通信端末100bとネットワーク装置200aとの間にVPN900aを確立するので、VPN900aを確立するためのユーザの作業を省略できる。加えて、通信端末100bの通信実行部113は、VPN900aおよびネットワーク装置200aを介して、ネットワーク装置200aとは異なる外部ネットワーク800に接続されている他の装置801と通信を行うので、通信端末100bが外部ネットワーク800に接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ通信端末100bと他の装置801との通信を実現することができる。以上から、本形態のネットワークシステム500aによれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100bを外部ネットワーク800に接続させることができる。
E.変形例:
E1.変形例1:
各実施形態では、VPN設定情報設定処理において、無線LANクライアントのMACアドレスに基づき、端末認証情報が設定済みであるか否かを判定していたが、本発明はこれに限定されるものではない。ネットワーク装置200が、VPN設定情報が設定済みであるか否かを問い合わせるパケットをブロードキャストし、各無線LANクライアントから受信する回答に基づき、端末認証情報が設定済みであるか否かを判定する構成としてもよい。この構成では、各無線LANクライアントは、VPN設定情報が設定済みであるか否かを問い合わせるパケットを受信すると、自らにVPN設定情報が設定済みであるか否かを判定し、その判定結果をネットワーク装置200にユニキャストする。また、この構成では、VPN設定情報が設定済みでないとの回答が得られた場合に、図4に示すステップS110を実行し、VPN設定情報が設定済みでないとの回答が得られない場合には、VPN設定情報設定処理は終了する。また、図4に示すステップS130において、VPN設定情報が設定済みでないとの回答を送信した無線LANクライアントに対して、VPN設定情報(VPN接続情報および端末認証情報)をユニキャストする。
E2.変形例2:
各実施形態では、VPN設定情報設定処理の一工程として、サーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知していたが、本発明はこれに限定されるものではない。VPN設定情報設定処理(DDNS情報登録処理)の一工程として、サーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知することに加えて、定期的にサーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知する構成を採用してもよい。グローバルIPアドレスの変更が生じ得る場合、このような構成を採用することで、DDNSサーバ300における名前解決処理が正しく行われるようにできる。
また、各実施形態では、DDNSサーバ300を利用して、VPNサーバのサーバ名称のアドレス解決を実現していたが、DDNSサーバ300を省略すると共に、VPNサーバのサーバ名称のアドレス解決を省略してもよい。具体的には、VPNサーバのグローバルIPアドレスを固定的に割り当て、かかるIPアドレスを、VPN設定情報設定処理において通信端末100に通知する構成を採用することができる。この構成では、DDNSサーバ300を省略できるので、ネットワークシステムの構築コストを低減できる。
E3.変形例3:
ネットワーク装置200から通信端末100へのVPN設定情報の送信、および通信端末100におけるVPN設定情報の受信は、ネットワーク装置200と通信端末100との間に形成された無線LANを介して実行されていたが、本発明はこれに限定されるものではない。例えば、通信端末100が有線LAN通信制御部を備え、有線LANを介して通信端末100とネットワーク装置200との間でVPN設定情報の送受信を行う構成を採用してもよい。また、例えば、通信端末100およびネットワーク装置200が、それぞれUSB(Universal Serial Bus)等の接続インターフェイスを備え、かかる接続インターフェイスにより互いに接続され、VPN設定情報の送受信を行う構成を採用してもよい。
また、本発明は、通信端末100とネットワーク装置200との間でVPN設定情報を直接やりとりする構成に限定されるものではない。例えば、ネットワーク装置200に接続されたパーソナルコンピュータの画面にVPN設定情報を示すコード(例えば、QRコード(登録商標))を表示し、かかるコードを通信端末100の撮像部56で撮像することにより、通信端末100においてVPN設定情報を取得する構成を採用してもよい。
E4.変形例4:
各実施形態では、VPN設定情報設定処理の開始契機は、通信端末100とネットワーク装置200との間における無線接続の確立であったが、本発明は、これに限定されるものではない。例えば、ネットワーク装置200にかかる契機を与えるためのスイッチ(例えば、押しボタン)を用意し、ユーザがかかるスイッチをオンすることをVPN設定情報設定処理の開始契機としてもよい。また、例えば、通信端末100およびネットワーク装置200がNFC(Near Field Communication)をサポートし、通信端末100がネットワーク装置200に接触または近接したことを、VPN設定情報設定処理の開始契機としてもよい。
E5.変形例5:
各実施例では、VPN接続情報のうち、VPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式については、予めユーザ(管理者)によって設定されていたが、ユーザによる設定に代えて、工場出荷前に予めデフォルト値を設定しておいてもよい。また、かかるデフォルト値をユーザが変更可能としてもよい。なお、ユーザに対して現在の設定値でよいか否かを問い合わせるユーザインターフェイスを、通信端末100またはネットワーク装置200に用意してもよい。
E6.変形例6:
第2実施形態では、無線LANアクセスポイントa1(公衆無線LAN400)において暗号化処理が実行され、かかる暗号化処理において採用される方式がWEP以外の方式の場合には、VPN900を利用しないで通信が行われていた。また、第3実施形態では、無線LANアクセスポイントa1(公衆無線LAN400)が所定の事業者により提供されていない場合には、VPN900を利用しないで通信が行われていた。このようにVPN900を利用しないで通信を行う条件は、第2実施形態および第3実施形態における条件に限定されるものではない。例えば、通信端末100におけるバッテリーの残容量が所定値以下の場合に、VPN900を利用しないで通信を行う構成を採用してもよい。VPN900を利用して通信を行う場合、多くのソフトウェア処理を実行するために多くの電力を消費する。したがって、バッテリーの残容量が所定値以下の場合に、VPN900を利用しないで通信を行うことで、通信時間の短縮を抑制できる。
また、例えば、通信端末100に、VPN900を利用しないで通信を行うことを明示するためのスイッチを設け、ユーザがかかるスイッチをオンした場合に、VPN900を利用しないで通信を行う構成を採用してもよい。VPN900を利用して通信を行う場合、多くのソフトウェア処理を実行するために通信におけるスループットの低下やレイテンシーの増加が発生し得る。したがって、上記のようなスイッチを設けることで、ユーザは、通信におけるセキュリティレベルの向上よりも、通信におけるスループットの低下の抑制やレイテンシーの増加の抑制を望む場合に、VPN900を利用しないで通信を行うことを選択することができる。なお、上述のスイッチとしては、例えば、押しボタンや、表示部30に表示されるGUI(Graphical User Interface)として構成することができる。
E7.変形例7:
各実施形態では、通信端末100として、携帯電話装置を採用したが、携帯電話装置に代えて、ノート型のパーソナルコンピュータや可搬型のルータ装置など、任意の可搬型の通信端末を採用してもよい。
E8.変形例8:
第1ないし第3実施形態では、自宅HM以外の場所において通信端末100,100aがインターネットINTに接続する際に、無線LAN400を介してインターネットINTに接続されていたが、本発明は、これに限定されるものではない。例えば、公衆無線LAN400に代えて、公衆有線LANや公衆無線回線を介してインターネットINTに接続される構成を採用してもよい。このような構成においても、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100を、インターネットINTに接続させることができる。なお、公衆無線回線としては、例えば、3G/HSPAや、LTEや、Wimaxなどの規格に準拠した無線データ通信を実行する任意の回線を採用できる。
E9.変形例9:
第1ないし第3実施形態では、ネットワーク装置200、DDNSサーバ300、サーバSV1およびルータ装置r1が接続されるネットワークは、インターネットINTであったが、インターネットINTに代えて、広域イーサネット(「イーサネット」は登録商標)や、専用線や、LANなど、任意のネットワークを採用してもよい。
本発明は、上述の実施形態や実施例、変形例に限られるものではなく、その趣旨を逸脱しない範囲において種々の構成で実現することができる。例えば、発明の概要の欄に記載した各形態中の技術的特徴に対応する実施形態、変形例中の技術的特徴は、上述の課題の一部又は全部を解決するために、あるいは、上述の効果の一部又は全部を達成するために、適宜、差し替えや、組み合わせを行うことが可能である。また、その技術的特徴が本明細書中に必須なものとして説明されていなければ、適宜、削除することが可能である。
500,500a…ネットワークシステム
10…CPU
10a…接続部
10b…VPNクライアント機能部
10c…通信実行部
10d…表示制御部
10e…通話制御部
10f…VPN設定情報受信部
20…メモリ
20a…VPN設定情報格納部
20b…事業者リスト格納部
30…表示部
42…無線LAN通信制御部
44…移動体通信制御部
52…音声入出力部
54…操作部
56…撮像部
60…内部バス
100,100a,100b…通信端末
111…接続部
112…VPNクライアント機能部
113…通信実行部
200,200a…ネットワーク装置
210…CPU
210a…パケット中継部
210b…VPNサーバ機能部
210c…端末認証情報生成部
210d…VPN設定情報送信部
210e…通信実行部
220…メモリ
221…経路選択テーブル格納部
222…VPN設定情報格納部
230…有線LAN通信制御部
240…無線LAN通信制御部
260…内部バス
300…DDNSサーバ
400…公衆無線LAN
400a…アクセスネットワーク
800…外部ネットワーク
801…装置
900,900a…VPN
a1…無線LANアクセスポイント
r1…ルータ装置
HM…自宅
HS…ホットスポット
SV1…サーバ
INT…インターネット
A.第1実施形態:
A1.システム構成:
図1は、本発明の一実施形態としてのネットワークシステムの概略構成を示す説明図である。ネットワークシステム500は、通信端末100と、ネットワーク装置200と、DDNS(Dynamic Domain Name Service)サーバ300とを備えている。ネットワークシステム500は、通信端末100を、自宅HMおよびホットスポットHS(「ホットスポット」は登録商標)からそれぞれインターネットINTに接続されている装置(例えば、サーバSV1)と通信させることができる。
VPNサーバ機能部210bは、VPNを実現するための所定のプロトコル(IPSec)を実行し、対向するVPNサーバとの間でVPN(VPNトンネル)を確立するための処理や、VPN確立後における通信データのカプセル化処理や暗号化及び復号処理を実行する。VPNサーバ機能部210bは、通信実行部210eから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化してパケット中継部210aに渡す。また、VPNサーバ機能部210bは、パケット中継部210aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部210eに渡す。
上述のステップS120が実行された後、または、前述のステップS110において、VPN接続情報は生成済みであると判定された場合(ステップS110:YES)、端末認証情報生成部210cは、端末認証情報の生成および登録(VPN設定情報格納部222への格納)を行う(ステップS125)。ユーザ名およびパスワードを生成する方法としては、例えば、サーバ名称の生成方法と同様に、通信端末100の無線LAN通信制御部42のMACアドレスをベースとして生成する方法や、ランダムな文字列を自動的に生成する方法を採用することができる。また、例えば、予めユーザ(管理者)によって設定された値を用いてもよい。
VPN設定情報送信部210dは、通信実行部210e、パケット中継部210aおよび無線LAN通信制御部240を介して、無線LANクライアント(通信端末100)に、VPN接続情報および端末認証情報を送信して(ステップS130)、VPN設定情報設定処理は終了する。通信端末100のVPN設定情報受信部10fは、無線LAN通信制御部42および通信実行部10cを介して、ネットワーク装置200から送信されたVPN接続情報および端末認証情報(すなわち、VPN設定情報)を、VPN設定情報格納部20aに格納する。
図9に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、事業者リスト格納部20bに格納されている事業者リストを参照して、ステップS305で取得したESSIDに基づき、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであるか否かを判定する(ステップS318)。
以上の構成を有する第実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではない場合、つまり、公衆無線LAN400(無線LANアクセスポイントa1)において、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。

Claims (11)

  1. ネットワークシステムであって、
    外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と、
    前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と、
    を備え、
    前記通信端末は、
    前記外部ネットワークに接続するための接続部と、
    前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、
    前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、
    を有する、ネットワークシステム。
  2. 請求項1に記載のネットワークシステムにおいて、
    前記ネットワーク装置は、さらに
    前記通信端末との間で、無線通信を実行する無線通信部と、
    前記無線通信が実行可能になると、前記仮想プライベートネットワークの確立のために用いられるVPN設定情報を、前記通信端末に送信するVPN設定情報送信部と、
    を有し、
    前記通信端末は、さらに、前記VPN設定情報を受信するVPN設定情報受信部を有する、ネットワークシステム。
  3. 請求項2に記載のネットワークシステムにおいて、
    前記ネットワーク装置は、前記通信端末が前記仮想プライベートネットワークを介した通信を許可された装置であるか否かの認証を実行し、
    前記VPN設定情報は、前記認証において用いられる端末認証情報を含み、
    前記ネットワーク装置は、さらに、前記無線通信が実行可能になると前記端末認証情報を生成する端末認証情報生成部を有する、ネットワークシステム。
  4. 請求項1から請求項3までのいずれか一項に記載のネットワークシステムにおいて、
    前記接続部は、公衆無線LANと、公衆有線LANと、公衆無線回線とのうち、いずれかを介して前記通信端末を前記外部ネットワークに接続する、ネットワークシステム。
  5. 請求項4に記載のネットワークシステムにおいて、
    前記接続部は、公衆無線LANを介して前記通信端末を前記外部ネットワークに接続し、
    前記通信端末は、さらに、前記公衆無線LANに用いられている無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされたか否かを判定する判定部を有し、
    前記VPNクライアント機能部は、前記接続部により前記通信端末が前記外部ネットワークに接続され、かつ、前記判定部により前記所定の条件が満たされたと判定された場合に、前記仮想プライベートネットワークを確立する処理を実行する、ネットワークシステム。
  6. 請求項5に記載のネットワークシステムにおいて、
    前記所定の条件は、
    前記無線LANアクセスポイントにおける暗号化方式が所定の暗号化方式である、との条件と、
    前記無線LANアクセスポイントにおいて暗号化を行わない、との条件と、
    前記無線LANアクセスポイントが所定の事業者の無線LANアクセスポイントである、との条件と、
    のうち、いずれかを含む、ネットワークシステム。
  7. 請求項6に記載のネットワークシステムにおいて、
    前記所定の暗号化方式は、WEP(Wired Equivalent Privacy)であり、
    前記所定の事業者は、前記無線LANアクセスポイントにおける暗号化方式として、WEPを採用する事業者である、ネットワークシステム。
  8. 外部ネットワークを介して、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と通信可能な通信端末であって、
    前記外部ネットワークに接続するための接続部と、
    前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、
    前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、
    を備える、通信端末。
  9. 外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と、前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と、を有するネットワークシステムにおいて、前記通信端末が、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う方法であって、
    (a)前記通信端末において、前記外部ネットワークに接続する工程と、
    (b)前記通信端末において、前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行する工程と、
    (c)前記通信端末において、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記他の装置と通信を行う工程と、
    を備える、方法。
  10. 外部ネットワークを介して、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と通信可能な通信端末において、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行うためのプログラムであって、
    前記通信端末において、前記外部ネットワークに接続する機能と、
    前記通信端末において、前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行する機能と、
    前記通信端末において、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記他の装置と通信を行う機能と、
    を、前記通信端末が有するコンピュータに実現させるためのプログラム。
  11. 請求項10に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2013041652A 2013-03-04 2013-03-04 ネットワークシステム、通信端末、方法、プログラムおよび記録媒体 Active JP5853972B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013041652A JP5853972B2 (ja) 2013-03-04 2013-03-04 ネットワークシステム、通信端末、方法、プログラムおよび記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013041652A JP5853972B2 (ja) 2013-03-04 2013-03-04 ネットワークシステム、通信端末、方法、プログラムおよび記録媒体

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015239831A Division JP6036978B2 (ja) 2015-12-09 2015-12-09 ネットワークシステム、通信端末、方法、プログラムおよび記録媒体

Publications (2)

Publication Number Publication Date
JP2014171083A true JP2014171083A (ja) 2014-09-18
JP5853972B2 JP5853972B2 (ja) 2016-02-09

Family

ID=51693171

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013041652A Active JP5853972B2 (ja) 2013-03-04 2013-03-04 ネットワークシステム、通信端末、方法、プログラムおよび記録媒体

Country Status (1)

Country Link
JP (1) JP5853972B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017154892A1 (ja) * 2016-03-08 2017-09-14 ヤマハ株式会社 ネットワーク設定情報生成装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008529379A (ja) * 2005-01-27 2008-07-31 ノキア コーポレイション Upnpvpnゲートウェイ・コンフィギュレーション・サービス
JP2008219643A (ja) * 2007-03-06 2008-09-18 Nec Corp 携帯端末装置、携帯電話機、vpn接続システム、vpn接続方法、およびプログラム
JP2009071455A (ja) * 2007-09-11 2009-04-02 Softbank Mobile Corp 通信モジュール、通信方法、通信プログラム、および通信端末

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008529379A (ja) * 2005-01-27 2008-07-31 ノキア コーポレイション Upnpvpnゲートウェイ・コンフィギュレーション・サービス
JP2008219643A (ja) * 2007-03-06 2008-09-18 Nec Corp 携帯端末装置、携帯電話機、vpn接続システム、vpn接続方法、およびプログラム
JP2009071455A (ja) * 2007-09-11 2009-04-02 Softbank Mobile Corp 通信モジュール、通信方法、通信プログラム、および通信端末

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017154892A1 (ja) * 2016-03-08 2017-09-14 ヤマハ株式会社 ネットワーク設定情報生成装置

Also Published As

Publication number Publication date
JP5853972B2 (ja) 2016-02-09

Similar Documents

Publication Publication Date Title
US10652086B2 (en) Converging IOT data with mobile core networks
US20210321257A1 (en) Unified authentication for integrated small cell and wi-fi networks
EP3391704B1 (en) Provisioning a device in a network
US9980213B2 (en) Methods, apparatus and systems for wireless network selection
US10135678B2 (en) Mobile network IOT convergence
JP2020129830A (ja) マシンツーマシン通信のためのネットワーク支援型ブートストラッピング
JP6737789B2 (ja) コンテキストベースのプロトコルスタックプライバシー
JP6912470B2 (ja) 複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
EP3469776A1 (en) Network-visitability detection control
US10419411B2 (en) Network-visitability detection
US8582476B2 (en) Communication relay device and communication relay method
CN104247505A (zh) 用于利用anqp服务器能力增强andsf的系统和方法
KR101640209B1 (ko) 휴대 모바일 가상사설망 서비스 지원장치 및 그 방법
CN102651707A (zh) 一种无线网桥的自动配置方法
KR20130040210A (ko) 모바일 스테이션을 통신 네트워크에 연결시키는 방법
CN106416146B (zh) 通信装置、通信方法和通信系统
JP6036978B2 (ja) ネットワークシステム、通信端末、方法、プログラムおよび記録媒体
CN108702799A (zh) 用于融合移动核心和iot数据的方法
JP6472030B2 (ja) 通信システム及びその認証接続方法
JP5853972B2 (ja) ネットワークシステム、通信端末、方法、プログラムおよび記録媒体
US20140105163A1 (en) Communication Method and Apparatus
JP7417592B2 (ja) Lanサービスの制御方法、及び通信機器
JP3154679U (ja) 中継機器及びネットワークシステム
JP2009049897A (ja) 無線端末用アダプタ

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140619

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150707

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151123

R150 Certificate of patent or registration of utility model

Ref document number: 5853972

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250