JP2016076979A - Network system, communication terminal, method, program, and recording medium - Google Patents
Network system, communication terminal, method, program, and recording medium Download PDFInfo
- Publication number
- JP2016076979A JP2016076979A JP2015239831A JP2015239831A JP2016076979A JP 2016076979 A JP2016076979 A JP 2016076979A JP 2015239831 A JP2015239831 A JP 2015239831A JP 2015239831 A JP2015239831 A JP 2015239831A JP 2016076979 A JP2016076979 A JP 2016076979A
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication terminal
- vpn
- communication
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワークシステムに関する。 The present invention relates to a network system.
携帯電話端末やパーソナルコンピュータ等の通信端末は、駅やホテル等の公共施設に設けられた公衆無線LAN(Local Area Network)や公衆有線LAN等を介して、インターネットに接続されることがある。しかしながら、公衆無線LANや公衆有線LAN等におけるセキュリティレベルが低い場合には、通信端末により送受信されるデータは、第三者に盗聴されるおそれがある。例えば、公衆無線LANにおける暗号化方式が脆弱なWEP(Wired Equivalent Privacy)である場合や、暗号化をまったく行わない場合には、第三者によって無線電波が傍受され、データが盗聴されるおそれがある。そこで、公衆無線LANを介した通信経路において、通信端末を終端部とするVPN(Virtual Private Network)を形成することにより、セキュリティレベルを向上させる方法が提案されている(特許文献1、2)。
A communication terminal such as a mobile phone terminal or a personal computer may be connected to the Internet via a public wireless LAN (Local Area Network) or a public wired LAN provided in a public facility such as a station or a hotel. However, when the security level in a public wireless LAN, a public wired LAN, or the like is low, data transmitted and received by the communication terminal may be wiretapped by a third party. For example, if the encryption method in public wireless LAN is weak WEP (Wired Equivalent Privacy), or if encryption is not performed at all, wireless radio waves may be intercepted by third parties and data may be wiretapped. is there. In view of this, a method has been proposed in which a security level is improved by forming a VPN (Virtual Private Network) with a communication terminal as a termination in a communication path via a public wireless LAN (
特許文献1に記載された方法では、利用者は、予めインターネットに接続されたVPNサーバと端末との間にVPN(VPNトンネル)を確立し、通信端末は、VPNを介してインターネットに接続された情報提供サーバと通信を行う。このため、ユーザは、通信端末及びVPNサーバにおいて、それぞれ事前にVPNを確立するための複雑な設定作業を行わねばならないという問題があった。同様に、特許文献2に記載された方法では、利用者は、予めパーソナルコンピュータとインターネットに接続されたセキュアアクセスポイントとの間にVPNを確立し、パーソナルコンピュータは、かかるVPNを介してインターネットに接続された通信相手(サーバ等)と通信を行う。したがって、特許文献2に記載された方法によると、特許文献1に記載された方法と同様の問題が発生する。このため、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末をインターネット等の外部ネットワークに接続させることが可能な技術が望まれていた。その他、通信端末や、通信端末を含むネットワークシステムの小型化や、低コスト化や、省資源化、製造の容易化、使い勝手の向上等が望まれていた。
In the method described in
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態として実現することが可能である。 SUMMARY An advantage of some aspects of the invention is to solve at least a part of the problems described above, and the invention can be implemented as the following forms.
(1)本発明の第1の形態によれば、ネットワークシステムが提供される。このネットワークシステムは、外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と、前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と、を備え、前記通信端末は、前記外部ネットワークに接続するための接続部と、前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、を有する。この形態のネットワークシステムによれば、通信端末のVPNクライアント機能部は、通信端末が外部ネットワークに接続されると、通信端末とネットワーク装置との間にVPNを確立するので、VPNを確立するためのユーザの作業を省略できる。加えて、通信端末の通信実行部は、VPNおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行うので、通信端末が外部ネットワークに接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ通信端末と他の装置との通信を実現することができる。以上から、本形態のネットワークシステムによれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させることができる。 (1) According to the first aspect of the present invention, a network system is provided. The network system includes a network device connected to an external network and capable of operating as a virtual private network (VPN) server, and a communication terminal capable of communicating with the network device via the external network. The terminal establishes a virtual private network between the communication terminal and the network device when the communication terminal is connected to the external network by the connection unit for connecting to the external network and the connection unit. A VPN client function unit that executes processing, and a communication execution unit that communicates with another device connected to the external network different from the network device via the virtual private network and the network device. . According to the network system of this aspect, the VPN client function unit of the communication terminal establishes the VPN between the communication terminal and the network device when the communication terminal is connected to the external network. User work can be omitted. In addition, since the communication execution unit of the communication terminal communicates with other devices connected to an external network different from the network device via the VPN and the network device, when the communication terminal connects to the external network Even if the encryption is not performed or the encryption method is weak (low security level), communication between the communication terminal and another device can be realized while ensuring a high security level. As described above, according to the network system of the present embodiment, it is possible to easily connect the communication terminal to the external network while ensuring a high security level.
(2)上記形態のネットワークシステムにおいて、前記ネットワーク装置は、さらに前記通信端末との間で、無線通信を実行する無線通信部と、前記無線通信が実行可能になると、前記仮想プライベートネットワークの確立のために用いられるVPN設定情報を、前記通信端末に送信するVPN設定情報送信部と、を有し、前記通信端末は、さらに、前記VPN設定情報を受信するVPN設定情報受信部を有してもよい。この形態のネットワークシステムによれば、ネットワーク装置と通信端末との間で無線通信が実行可能になると、ネットワーク装置から通信端末にVPN設定情報が送信されるので、通信端末においてVPN設定情報を設定する作業を省略できる。 (2) In the network system of the above aspect, the network device further establishes the virtual private network when a wireless communication unit that performs wireless communication with the communication terminal and the wireless communication become executable. A VPN setting information transmitting unit that transmits VPN setting information used for communication to the communication terminal, and the communication terminal further includes a VPN setting information receiving unit that receives the VPN setting information. Good. According to this form of the network system, when wireless communication can be performed between the network device and the communication terminal, VPN setting information is transmitted from the network device to the communication terminal, so that the VPN setting information is set in the communication terminal. Work can be omitted.
(3)上記形態のネットワークシステムにおいて、前記ネットワーク装置は、前記通信端末が前記仮想プライベートネットワークを介した通信を許可された装置であるか否かの認証を実行し、前記VPN設定情報は、前記認証において用いられる端末認証情報を含み、前記ネットワーク装置は、さらに、前記無線通信が実行可能になると前記端末認証情報を生成する端末認証情報生成部を有してもよい。この形態のネットワークシステムによれば、ネットワーク装置と通信端末との間で無線通信が実行可能になると、端末認証情報が生成されるので、ユーザによる端末認証情報を設定する作業を省略できる。 (3) In the network system according to the above aspect, the network device performs authentication as to whether or not the communication terminal is permitted to communicate via the virtual private network, and the VPN setting information includes the VPN setting information Terminal authentication information used in authentication may be included, and the network device may further include a terminal authentication information generation unit that generates the terminal authentication information when the wireless communication becomes executable. According to this form of the network system, when wireless communication can be executed between the network device and the communication terminal, the terminal authentication information is generated, so that the work for setting the terminal authentication information by the user can be omitted.
(4)上記形態のネットワークシステムにおいて、前記接続部は、公衆無線LANと、公衆有線LANと、公衆無線回線とのうち、いずれかを介して前記通信端末を前記外部ネットワークに接続してもよい。この形態のネットワークシステムによれば、公衆無線LANと、公衆有線LANと、公衆無線回線とのうちのいずれかにおいて、暗号化が行われない又は暗号化方式が脆弱な方式であっても、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させることができる。 (4) In the network system of the above aspect, the connection unit may connect the communication terminal to the external network via any one of a public wireless LAN, a public wired LAN, and a public wireless line. . According to the network system of this aspect, even if the encryption is not performed or the encryption method is weak in any one of the public wireless LAN, the public wired LAN, and the public wireless line, it is high. The communication terminal can be connected to the external network while ensuring the security level.
(5)上記形態のネットワークシステムにおいて、前記接続部は、公衆無線LANを介して前記通信端末を前記外部ネットワークに接続し、前記通信端末は、さらに、前記公衆無線LANに用いられている無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされたか否かを判定する判定部を有し、前記VPNクライアント機能部は、前記接続部により前記通信端末が前記外部ネットワークに接続され、かつ、前記判定部により前記所定の条件が満たされたと判定された場合に、前記仮想プライベートネットワークを確立する処理を実行してもよい。この形態のネットワークシステムによれば、無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされない場合には、VPNを確立する処理を省略することができる。したがって、常にVPNを確立する処理を実行する構成に比べて、通信端末と、外部ネットワークに接続された他の装置との間で通信を実行する際に、VPNの確立のための処理時間を短縮できると共に、VPNを介した通信に要する専用の処理(カプセル化や暗号化や復号など)を省略できる。このため、かかる通信におけるレイテンシーの増大およびスループットの低減を抑制できる。 (5) In the network system of the above aspect, the connection unit connects the communication terminal to the external network via a public wireless LAN, and the communication terminal further includes a wireless LAN used for the public wireless LAN. A determination unit configured to determine whether or not a predetermined condition relating to an encryption method at an access point is satisfied, wherein the VPN client function unit is connected to the external network by the connection unit, and When the determination unit determines that the predetermined condition is satisfied, a process for establishing the virtual private network may be executed. According to this form of the network system, when a predetermined condition regarding the encryption method at the wireless LAN access point is not satisfied, the process of establishing the VPN can be omitted. Therefore, the processing time for establishing the VPN is shortened when communication is performed between the communication terminal and another device connected to the external network, as compared with the configuration in which the process of always establishing the VPN is executed. In addition, dedicated processing (encapsulation, encryption, decryption, etc.) required for communication via the VPN can be omitted. For this reason, it is possible to suppress an increase in latency and a reduction in throughput in such communication.
(6)上記形態のネットワークシステムにおいて、前記所定の条件は、前記無線LANアクセスポイントにおける暗号化方式が所定の暗号化方式である、との条件と、前記無線LANアクセスポイントにおいて暗号化を行わない、との条件と、前記無線LANアクセスポイントが所定の事業者の無線LANアクセスポイントである、との条件と、のうち、いずれかを含んでもよい。この形態のネットワークシステムによれば、所定の暗号化方式が脆弱な暗号化方式であり、所定の事業者が脆弱な暗号化方式を採用する又は暗号化を行わない事業者であっても、VPNを利用して通信端末と外部ネットワークに接続されている他の装置との間の通信を実現できる。このため、高セキュリティレベルを確保した通信を実現できる。加えて、公衆無線LANにおけるセキュリティレベルが高い場合には、VPNを確立する処理を省略することができる。したがって、通信端末と、外部ネットワークに接続されている他の装置との間の通信におけるレイテンシーの増大およびスループットの低減を抑制できる。 (6) In the network system of the above aspect, the predetermined condition includes a condition that an encryption method at the wireless LAN access point is a predetermined encryption method, and encryption is not performed at the wireless LAN access point. , And a condition that the wireless LAN access point is a wireless LAN access point of a predetermined operator. According to the network system of this form, even if the predetermined encryption method is a weak encryption method and the predetermined operator adopts the weak encryption method or does not perform encryption, the VPN Communication between the communication terminal and other devices connected to the external network can be realized using For this reason, communication with a high security level can be realized. In addition, when the security level in the public wireless LAN is high, the process for establishing the VPN can be omitted. Therefore, it is possible to suppress an increase in latency and a decrease in throughput in communication between the communication terminal and other devices connected to the external network.
(7)上記形態のネットワークシステムにおいて、前記所定の暗号化方式は、WEP(Wired Equivalent Privacy)であり、前記所定の事業者は、前記公衆無線LANにおける暗号化方式として、WEPを採用する事業者であってもよい。この形態のネットワークシステムによれば、無線LANアクセスポイント(公衆無線LAN)が、脆弱なWEPを暗号化方式として採用する場合に、VPNを利用して通信端末と外部ネットワークに接続されている他の装置との間の通信を実現するので、高セキュリティレベルを確保した通信を実現できる。 (7) In the network system of the above aspect, the predetermined encryption method is WEP (Wired Equivalent Privacy), and the predetermined operator is an operator adopting WEP as an encryption method in the public wireless LAN. It may be. According to this form of the network system, when the wireless LAN access point (public wireless LAN) adopts vulnerable WEP as an encryption method, other networks connected to the communication terminal and the external network using VPN are used. Since communication with the apparatus is realized, communication with a high security level can be realized.
(8)本発明の第2の形態によれば、通信端末が提供される。この通信端末は、外部ネットワークを介して、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と通信可能な通信端末であって、前記外部ネットワークに接続するための接続部と、前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、を備える。この形態の通信端末によれば、VPNクライアント機能部は、通信端末が外部ネットワークに接続されると、通信端末とネットワーク装置との間にVPNを確立するので、VPNを確立するためのユーザの作業を省略できる。加えて、通信実行部は、VPNおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行うので、通信端末が外部ネットワークに接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ、通信端末と他の装置との通信を実現することができる。以上から、本形態の通信端末によれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続することができる。 (8) According to the second aspect of the present invention, a communication terminal is provided. The communication terminal is a communication terminal capable of communicating with a network device that can operate as a virtual private network (VPN) server via an external network, and includes a connection unit for connecting to the external network, and the connection unit. When the communication terminal is connected to the external network, a VPN client function unit that executes a process of establishing a virtual private network between the communication terminal and the network device, the virtual private network, and the network device A communication execution unit that communicates with another device connected to the external network different from the network device. According to the communication terminal of this embodiment, the VPN client function unit establishes the VPN between the communication terminal and the network device when the communication terminal is connected to the external network. Therefore, the user's work for establishing the VPN is performed. Can be omitted. In addition, since the communication execution unit communicates with other devices connected to an external network different from the network device via the VPN and the network device, encryption is performed when the communication terminal connects to the external network. Even when the encryption method is not performed or the encryption method is weak (low security level), communication between the communication terminal and another device can be realized while ensuring a high security level. From the above, according to the communication terminal of the present embodiment, the communication terminal can be connected to the external network easily while ensuring a high security level.
上述した本発明の各形態の有する複数の構成要素はすべてが必須のものではなく、上述の課題の一部又は全部を解決するため、あるいは、本明細書に記載された効果の一部又は全部を達成するために、適宜、前記複数の構成要素の一部の構成要素について、その変更、削除、新たな他の構成要素との差し替え、限定内容の一部削除を行うことが可能である。また、上述の課題の一部又は全部を解決するため、あるいは、本明細書に記載された効果の一部又は全部を達成するために、上述した本発明の一形態に含まれる技術的特徴の一部又は全部を上述した本発明の他の形態に含まれる技術的特徴の一部又は全部と組み合わせて、本発明の独立した一形態とすることも可能である。 A plurality of constituent elements of each aspect of the present invention described above are not indispensable, and some or all of the effects described in the present specification are to be solved to solve part or all of the above-described problems. In order to achieve the above, it is possible to appropriately change, delete, replace with another new component, and partially delete the limited contents of some of the plurality of components. In order to solve part or all of the above-described problems or to achieve part or all of the effects described in this specification, technical features included in one embodiment of the present invention described above. A part or all of the technical features included in the other aspects of the present invention described above may be combined to form an independent form of the present invention.
例えば、本発明の一形態は、ネットワーク装置と、通信端末との2つの要素の内の一つ以上の要素を備えたシステムとして実現可能である。すなわち、このシステムは、ネットワーク装置を有していても、有していなくても良い。また、システムは、通信端末を有していても、有していなくても良い。通信端末は、接続部を有していても、有していなくても良い。また、通信端末は、VPNクライアント機能部を有していても、有していなくても良い。また、通信端末は、通信実行部を有していても、有していなくても良い。接続部は、例えば、外部ネットワークに接続するための接続部として構成されてもよい。VPNクライアント機能部は、例えば、接続部により通信端末が外部ネットワークに接続されると、仮想プライベートネットワークを、通信端末とネットワーク装置との間に確立する処理を実行するVPNクライアント機能部として構成されてもよい。通信実行部は、例えば、仮想プライベートネットワークおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行う通信実行部として構成されてもよい。こうした装置は、例えば、ネットワークシステムとして実現できるが、ネットワークシステム以外の他のシステムとしても実現可能である。このような形態によれば、システムの小型化や、低コスト化、省資源化、省電力化、製造の容易化、使い勝手の向上等の種々の課題の少なくとも1つを解決することができる。前述したネットワークシステムの各形態の技術的特徴の一部又は全部は、いずれもこのシステムに適用することが可能である。 For example, one embodiment of the present invention can be realized as a system including one or more elements of two elements of a network device and a communication terminal. That is, this system may or may not have a network device. The system may or may not have a communication terminal. The communication terminal may or may not have a connection part. The communication terminal may or may not have the VPN client function unit. The communication terminal may or may not have a communication execution unit. The connection unit may be configured as a connection unit for connecting to an external network, for example. The VPN client function unit is configured as, for example, a VPN client function unit that executes processing for establishing a virtual private network between a communication terminal and a network device when the communication terminal is connected to an external network by a connection unit. Also good. For example, the communication execution unit may be configured as a communication execution unit that communicates with another device connected to an external network different from the network device via a virtual private network and a network device. Such an apparatus can be realized as a network system, for example, but can also be realized as a system other than the network system. According to such a form, it is possible to solve at least one of various problems such as downsizing of the system, cost reduction, resource saving, power saving, easy manufacturing, and improvement in usability. Any or all of the technical features of each form of the network system described above can be applied to this system.
また、例えば、本発明の他の形態は、接続部と、VPNクライアント機能部と、通信実行部と、の3つの要素の内の一つ以上の要素を備えた装置として実現可能である。すなわち、この装置は、接続部を有していても、有していなくても良い。また、装置は、VPNクライアント機能部を有していても、有していなくても良い。また、装置は、通信実行部を有していても、有していなくても良い。接続部は、例えば、外部ネットワークに接続するための接続部として構成されてもよい。VPNクライアント機能部は、例えば、接続部により通信端末が外部ネットワークに接続されると、仮想プライベートネットワークを、通信端末とネットワーク装置との間に確立する処理を実行するVPNクライアント機能部として構成されてもよい。通信実行部は、仮想プライベートネットワークおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行う通信実行部として構成されてもよい。こうした装置は、例えば、通信端末として実現できるが、通信端末以外の他の装置としても実現可能である。このような形態によれば、装置の小型化や、低コスト化、省資源化、省電力化、製造の容易化、使い勝手の向上等の種々の課題の少なくとも1つを解決することができる。前述した通信端末の各形態の技術的特徴の一部又は全部は、いずれもこの装置に適用することが可能である。 Further, for example, another embodiment of the present invention can be realized as an apparatus including one or more elements among the three elements of the connection unit, the VPN client function unit, and the communication execution unit. That is, this apparatus may or may not have a connection portion. Further, the apparatus may or may not have a VPN client function unit. The apparatus may or may not have a communication execution unit. The connection unit may be configured as a connection unit for connecting to an external network, for example. The VPN client function unit is configured as, for example, a VPN client function unit that executes processing for establishing a virtual private network between a communication terminal and a network device when the communication terminal is connected to an external network by a connection unit. Also good. The communication execution unit may be configured as a communication execution unit that communicates with another device connected to an external network different from the network device via the virtual private network and the network device. Such a device can be realized as a communication terminal, for example, but can also be realized as a device other than the communication terminal. According to such a form, it is possible to solve at least one of various problems such as downsizing of the apparatus, cost reduction, resource saving, power saving, easy manufacturing, and improvement in usability. Any or all of the technical features of each form of the communication terminal described above can be applied to this apparatus.
本発明は、種々の形態で実現することも可能である。例えば、外部ネットワークに接続されている装置と通信を行う方法や、通信端末を制御する方法や、これらの方法を実現するコンピュータプログラム、そのコンピュータプログラムを記録した一時的でない記録媒体等の形態で実現することができる。 The present invention can be realized in various forms. For example, realized in the form of a method for communicating with a device connected to an external network, a method for controlling a communication terminal, a computer program for realizing these methods, a non-temporary recording medium on which the computer program is recorded, etc. can do.
A.第1実施形態:
A1.システム構成:
図1は、本発明の一実施形態としてのネットワークシステムの概略構成を示す説明図である。ネットワークシステム500は、通信端末100と、ネットワーク装置200と、DDNS(Dynamic Domain Name Service)サーバ300とを備えている。ネットワークシステム500は、通信端末100を、自宅HMおよびホットスポットHSからそれぞれインターネットINTに接続されている装置(例えば、サーバSV1)と通信させることができる。
A. First embodiment:
A1. System configuration:
FIG. 1 is an explanatory diagram showing a schematic configuration of a network system as an embodiment of the present invention. The
通信端末100は、携帯可能な可搬型の端末であり、ユーザによって、自宅HMおよびホットスポットHSに自在に配置され得る。本実施形態では、通信端末100は携帯電話装置であるものとして説明する。ネットワーク装置200は、自宅HMに配置されている。
The
DDNSサーバ300は、IETF(Internet Engineering Task Force)によってRFC2136として規格化されたダイナミックDNSを実行するサーバであり、インターネットINTに接続されている。DDNSサーバ300の構成は公知のDDNSサーバの構成と同じであるので、説明を省略する。
The
自宅HMには、ネットワーク装置200が配置されている。ネットワーク装置200は、図示しないモデム等を介してインターネットINTに接続されている。ホットスポットHSには、無線LANアクセスポイントa1とルータ装置r1とが配置されている。無線LANアクセスポイントa1は、公衆無線LAN400を構成し、通信端末100と無線接続されている。また、無線LANアクセスポイントa1は、ルータ装置r1と接続されている。ルータ装置r1は、インターネットINTに接続されている。ホットスポットHSでは、通信端末100等の無線LANクライアントは、公衆無線LAN400(無線LANアクセスポイントa1)と、ルータ装置r1とを介して、インターネットINTに接続されている装置(例えば、サーバSV1)と通信することができる。なお、無線LANアクセスポイントa1およびルータ装置r1は、ホットスポットHSに用いられる公知の無線LANアクセスポイントおよびルータ装置と同じであるので、説明を省略する。
A
ネットワークシステム500では、ホットスポットHSにおいて、通信端末100がサーバSV1と通信する際に、仮想プライベートネットワーク(以下、「VPN」(Virtual Private Network)と呼ぶ)900を確立し、VPN900を介して通信を実行することにより、高いセキュリティレベルを確保する。図1に示すように、VPN900は、通信端末100とネットワーク装置200との間に形成される。
In the
図2は、図1に示す通信端末100の詳細構成を示すブロック図である。通信端末100は、表示部30と、無線LAN通信制御部42と、移動体通信制御部44と、音声入出力部52と、操作部54と、撮像部56と、CPU(Central Processing Unit)10と、メモリ20と、を備えている。これらの各機能部(表示部30、無線LAN通信制御部42、移動体通信制御部44、音声入出力部52、操作部54、撮像部56、CPU10およびメモリ20)は、いずれも内部バス60に接続されており、互いに通信可能に構成されている。なお、通信端末100は、図示しないバッテリーを搭載しており、各機能部は、バッテリーから供給される電力により動作する。
FIG. 2 is a block diagram showing a detailed configuration of
表示部30は、タッチパネル式のディスプレイにより構成されており、メモリ20に格納されている画像や各種メニュー画面等を表示し、また、タッチペンや指等の接触状態に関する情報を出力する。
The
無線LAN通信制御部42は、変調器やアンプ、アンテナを含み、例えばIEEE802.11a/b/g/nに準拠した無線LANのクライアントとして、無線LANのアクセスポイントと無線通信を行う。
The wireless LAN
移動体通信制御部44は、変調器やアンプ、アンテナを含み、例えば3G/HSPA(High Speed Packet Access)や、LTE(Long Term Evolution)や、Wimax(Worldwide Interoperability for Microwave Access)などの規格に準拠した無線データ通信を実行する移動体通信端末として、公衆無線回線(移動体通信網)の基地局と無線通信を行う。
The mobile
音声入出力部52は、マイク及びスピーカを備え、音声の入力及び出力を行う。操作部54は、各種メニューを選択するための操作ボタン、音量を調整するための操作ボタン、番号や文字列を入力するためのボタン、シャッターボタンなどを備えている。撮像部56は、CCD(Charge Coupled Device)等の撮像素子や光学レンズを備え、被写体を撮影して画像データを取得する。
The voice input /
CPU10は、メモリ20に記憶されている制御プログラムを実行することにより、接続部10a、VPNクライアント機能部10b、通信実行部10c、表示制御部10d、通話制御部10e、VPN設定情報受信部10fとして、機能する。
The
接続部10aは、無線LAN通信制御部42を制御して無線LANアクセスポイントとの間で通信を実行する。接続部10aは、VPN900を介して通信を行う場合には、VPNクライアント機能部10bから暗号化後のデータを受け取り、かかるデータを、無線LAN通信制御部42を介して無線電波として出力する。また、接続部10aは、無線LAN通信制御部42を介して受信した通信データを、VPNクライアント機能部10bに渡す。
The
VPNクライアント機能部10bは、VPNを実現するための所定のプロトコルを実行し、対向するVPNサーバとの間でVPNを確立するための処理や、VPN確立後における通信データのカプセル化処理、暗号化及び復号処理を実行する。本実施形態では、VPNを実現するための所定のプロトコルとして、IETFによって規格化されたIPSec(Security Architecture for Internet Protocol)を用いる。VPNクライアント機能部10bは、通信実行部10cから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化して接続部10aに渡す。また、VPNクライアント機能部10bは、接続部10aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部10cに渡す。
The VPN
通信実行部10cは、通信相手との間において、所定の通信プロトコルを実行することによりアプリケーションデータの送受信を行う。具体的には、通信実行部10cは、アプリケーションから受け取ったデータを、通信相手を宛先とするパケットとして組み立ててVPNクライアント機能部10bに渡す。また、VPNクライアント機能部10bから受け取ったデータを解釈して、アプリケーションに渡す。本実施形態では、所定の通信プロトコルとしては、TCP/IP(Transmission Control Protocol / Internet Protocol)を用いる。
The
表示制御部10dは、表示部30に画像や各種メニュー画面を表示させると共に、表示部30から出力される接触状態に関する情報を受信して、画像と接触位置とに基づき選択されたメニューを特定する。通話制御部10eは、移動体通信網を介した呼制御を行う。VPN設定情報受信部10fは、通信端末100から出力されるVPN設定情報を受信する。
The
VPN設定情報とは、VPNを介した通信を実現するために必要な各種の情報を意味し、VPN接続情報と、端末認証情報とからなる。VPN接続情報は、VPN900を確立するために用いられる情報であって、複数のVPNクライアントにおいて共通的に用いられる情報である。具体的には、VPN接続情報には、VPNサーバとしてのサーバ名称、VPNの種類、VPN用のポート番号、VPNにおける暗号化方式およびVPNにおける認証方式等の各種情報が含まれる。なお、本実施形態において、サーバ名称として、FQDN(Fully Qualified Domain Name)を用いる。VPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式については、予めユーザ(管理者)によって設定されている。端末認証情報は、VPN900を介した通信が許可されている装置であるか否かの認証に用いられる情報であり、各VPNクライアントごとに設定される。具体的には、端末認証情報として、ユーザ名およびパスワードや、クライアント証明書など、認証方式に応じた認証用の情報が含まれる。
The VPN setting information means various kinds of information necessary for realizing communication via VPN, and includes VPN connection information and terminal authentication information. The VPN connection information is information used for establishing the
メモリ20は、フラッシュメモリやROM(Read Only Memory)等の記憶装置により構成される。メモリ20には、上述した制御プログラムに加えて、VPN設定情報格納部20aが記憶されている。VPN設定情報格納部20aには、後述するVPN設定情報設定処理により、VPN設定情報が格納される。
The
図3は、図1に示すネットワーク装置200の詳細構成を示すブロック図である。ネットワーク装置200は、いわゆる無線ルータ装置であり、ルータ装置として機能すると共に無線LANアクセスポイント装置としても機能する。ネットワーク装置200は、有線LAN通信制御部230と、無線LAN通信制御部240と、CPU210と、メモリ220とを備えている。これらの各機能部(有線LAN通信制御部230、無線LAN通信制御部240、CPU210、メモリ220)は、いずれも内部バス260に接続されており、互いに通信可能に構成されている。
FIG. 3 is a block diagram showing a detailed configuration of the
有線LAN通信制御部230は、図示しないモデムと接続するためのインターフェイスとして、有線LANインターフェイスを備えている。有線LANインターフェイスとしては、例えば、IEEE(Institute of Electrical and Electronics Engineers)802.3において規格化された各種インターフェイスを採用することができる。
The wired LAN
無線LAN通信制御部240は、変調器やアンプ、アンテナを含み、例えばIEEE802.11a/b/g/nに準拠した無線LANのアクセスポイントとして、無線LANクライアント(例えば、通信端末100)と無線通信を行う。
The wireless LAN
CPU210は、メモリ220に記憶されている制御プログラムを実行することにより、パケット中継部210a、VPNサーバ機能部210b、端末認証情報生成部210c、VPN設定情報送信部210d、通信実行部210eとして、機能する。
The
パケット中継部210aは、有線LAN通信制御部230または無線LAN通信制御部240から受信したフレームを、OSI(Open Systems Interconnection)参照モデルにおけるレイヤ2または3において中継する。また、パケット中継部210aは、VPNサーバ機能部210bから受け取ったパケットの宛先に応じて、宛先の書き換えやフレームへの変換を行って、有線LAN通信制御部230または無線LAN通信制御部240に出力する。
The
VPNサーバ機能部210bは、VPNを実現するための所定のプロトコル(IPSec)を実行し、対向するVPNサーバとの間でVPN(VPNトンネル)を確立するための処理や、VPN確立後における通信データのカプセル化処理や暗号化及び復号処理を実行する。VPNサーバ機能部210bは、通信実行部210eから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化して接続部10aに渡す。また、VPNサーバ機能部210bは、パケット中継部210aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部210eに渡す。
The VPN
端末認証情報生成部210cは、後述するVPN設定情報設定処理において、端末認証情報を生成する。VPN設定情報送信部210dは、後述するVPN設定情報設定処理において、VPN設定情報を通信端末100に送信する。通信実行部210eは、図2に示す通信端末100の通話制御部10eと同様の構成であるので、説明を省略する。
The terminal authentication
メモリ220は、フラッシュメモリやROM等の記憶装置により構成される。メモリ220には、上述した制御プログラムに加えて、経路選択テーブル格納部221と、VPN設定情報格納部222とが記憶されている。経路選択テーブル格納部221は、パケット中継部210aにおいてパケットまたはフレームの中継経路を選択する際に参照される各種テーブル(MAC(Media Access Control)テーブルや、ルーティングテーブル)が記憶されている。
The
VPN設定情報格納部222には、VPN設定情報(VPN接続情報および端末認証情報)が記憶されている。なお、初期状態においては、VPN接続情報はVPN設定情報格納部222に格納されていない。VPN設定情報格納部222において、端末認証情報は、各端末の識別情報と対応付けて格納されている。本実施形態では、各端末の識別情報として、各端末のMAC(Media Access Control)アドレスが用いられる。
The VPN setting
以上の構成を有するネットワークシステム500において、通信端末100が自宅HMにおいてサーバSV1と通信する場合、通信端末100は、自宅HMに設置されているネットワーク装置200を介してインターネットINTに接続する。したがって、この場合、第三者によって通信データが盗聴される可能性は低い。これに対して、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、公衆無線LAN400におけるセキュリティレベルが低い場合(例えば、公衆無線LAN400において暗号化を行わない場合や、暗号化方式が脆弱なWEP(Wired Equivalent Privacy)である場合)、公衆無線LAN400において通信データが盗聴されるおそれがある。そこで、ネットワークシステム500では、後述するVPN設定情報設定処理および通信処理を実行することにより、簡易に、かつ、高いセキュリティレベルを確保しつつ、通信端末100を、インターネットINTに接続させて、サーバSV1と通信させることができる。
In the
A2.VPN設定情報設定処理:
図4は、第1実施形態におけるVPN設定情報設定処理の手順を示すフローチャートである。通信端末100が自宅HMに配置され、通信端末100(無線LANクライアント)とネットワーク装置200(無線LANアクセスポイント)との間で無線接続が確立されると、ネットワーク装置200において、VPN設定情報設定処理が実行される。
A2. VPN setting information setting process:
FIG. 4 is a flowchart showing a procedure of VPN setting information setting processing in the first embodiment. When the
ネットワーク装置200のVPNサーバ機能部210bは、VPN設定情報格納部222に格納されているVPN設定情報を参照して、無線接続された無線LANクライアント(通信端末100)について、既に端末認証情報が設定済みであるか否かを判定する(ステップS105)。上述したように、VPN設定情報格納部222には、各VPNクライアントのMACアドレスと端末認証情報とが対応付けて記憶されているため、VPNサーバ機能部210bは、通信端末100のMACアドレスおよび端末認証情報がVPN設定情報格納部222に既に格納されている場合には、通信端末100について端末認証情報が設定済みであると判定できる。
The VPN
無線接続された無線LANクライアントについて、既に端末認証情報が設定済みであると判定されると(ステップS105:YES)、VPN設定情報設定処理は終了する。これに対して、無線接続された無線LANクライアントについて、端末認証情報が設定されていないと判定されると(ステップS105:NO)、VPNサーバ機能部210bは、VPN設定情報格納部222を参照して、VPN接続情報は生成済みであるか否かを判定する(ステップS110)。
If it is determined that the terminal authentication information has already been set for the wirelessly connected wireless LAN client (step S105: YES), the VPN setting information setting process ends. On the other hand, when it is determined that the terminal authentication information is not set for the wireless LAN client connected wirelessly (step S105: NO), the VPN
例えば、ネットワーク装置200にいずれかの無線LANクライアントが初めて無線接続した場合には、VPN接続情報は生成されていない。この場合、前述のステップS110において、VPN接続情報は生成済みではないと判定される。このように、VPN接続情報は生成済みではないと判定されると(ステップS110:NO)、VPNサーバ機能部210bは、DDNS情報登録処理を実行する(ステップS115)。DDNS情報登録処理とは、VPNサーバのサーバ名称と、かかるサーバ名称に対応するグローバルIPアドレスとを、DDNSサーバ300に登録する処理を意味する。VPNサーバは、ネットワーク装置200では、VPNサーバ機能部210bにより実現される。
For example, when any of the wireless LAN clients is wirelessly connected to the
図5は、第1実施形態におけるDDNS情報登録処理の詳細手順を示すフローチャートである。VPNサーバ機能部210bは、VPN設定情報格納部222を参照して、VPNサーバのサーバ名称が設定済みであるか否かを判定する(ステップS205)。VPNサーバのサーバ名称は、ユーザ(管理者)が手動でVPN設定情報格納部222に格納することができ、この場合、VPN接続情報のうちサーバ名称のみは設定済みである(生成済みである)と判定される。前述のステップS205において、サーバ名称が設定済みでないと判定されると(ステップS205:NO)、VPNサーバ機能部210bは、サーバ名称を生成する(ステップS210)。サーバ名称の生成方法としては、例えば、ネットワーク装置200の有線LAN通信制御部230のMACアドレスや、無線LAN通信制御部240のMACアドレスをベースとして生成する方法を採用できる。また、例えば、数字や文字から成るランダムな文字列を自動的に生成し、かかる文字列をサーバ名称として用いることもできる。
FIG. 5 is a flowchart showing a detailed procedure of the DDNS information registration process in the first embodiment. The VPN
前述のステップS210が実行された後、または、前述のステップS205においてサーバ名称が設定済みであると判定されると(ステップS205:YES)、VPNサーバ機能部210bは、VPNサーバのサーバ名称と、VPNサーバ用のグローバルIPアドレスとを、インターネットINTを介してDDNSサーバ300に通知して(ステップS215)、DDNS情報登録処理は終了する。なお、DDNSサーバ300のIPアドレスについては、予めユーザによりネットワーク装置200に設定されている。
After the above-described step S210 is executed or when it is determined that the server name has been set in the above-described step S205 (step S205: YES), the VPN
DDNSサーバ300では、ネットワーク装置200から通知されたサーバ名称(FQDN)とグローバルIPアドレスとを、DNSデータベースに追加する。これにより、DDNSサーバ300は、VPNサーバのサーバ名称に基づき、VPNサーバに割り当てられたグローバルIPアドレスを特定することができる。
The
図4に示すように、DDNS情報登録処理(ステップS115)が完了すると、VPNサーバ機能部210bは、VPN接続情報の生成および登録(VPN設定情報格納部222への格納))を行う(ステップS120)。具体的には、ステップS115においてDDNSサーバに登録されたサーバ名称や、予めユーザによって設定されたVPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式等の各種情報を集めて、VPN接続情報として、VPN設定情報格納部222に格納する(ステップS120)。
As shown in FIG. 4, when the DDNS information registration process (step S115) is completed, the VPN
上述のステップS120が実行された後、または、前述のステップS110において、VPN接続情報は生成済みであると判定された場合(ステップS110:YES)、VPNサーバ機能部210bは、端末認証情報の生成および登録(VPN設定情報格納部222への格納))を行う(ステップS125)。ユーザ名およびパスワードを生成する方法としては、例えば、サーバ名称の生成方法と同様に、通信端末100の無線LAN通信制御部42のMACアドレスをベースとして生成する方法や、ランダムな文字列を自動的に生成する方法を採用することができる。また、例えば、予めユーザ(管理者)によって設定された値を用いてもよい。
After the above-described step S120 is executed or when it is determined in step S110 that the VPN connection information has been generated (step S110: YES), the VPN
VPNサーバ機能部210bは、通信実行部210e、パケット中継部210aおよび無線LAN通信制御部240を介して、無線LANクライアント(通信端末100)に、VPN接続情報および端末認証情報を送信して(ステップS130)、VPN設定情報設定処理は終了する。通信端末100のVPN設定情報受信部10fは、無線LAN通信制御部42および通信実行部10cを介して、ネットワーク装置200から送信されたVPN接続情報および端末認証情報(すなわち、VPN設定情報)を、VPN設定情報格納部20aに格納する。
The VPN
以上のVPN設定情報設定処理が実行され、通信端末100のVPN設定情報格納部20aにVPN設定情報が格納された後において、通信端末100では、アプリケーションによりインターネットINTに接続されている装置(例えば、サーバSV1)との通信要求が発生すると、後述する通信処理が実行される。
After the above VPN setting information setting process is executed and the VPN setting information is stored in the VPN setting
A3.通信処理:
図6は、第1実施形態における通信処理の手順を示すフローチャートである。通信端末100の接続部10aは、ネットワーク装置200以外の他の無線LANアクセスポイントを検出したか否かを判定し(ステップS305)、他の無線LANアクセスポイントを検出しない場合には前述のステップS305を再度実行する。他の無線LANアクセスポイントの検出は、無線LANアクセスポイントから出力されるビーコンの受信し、かつ、ビーコンに含まれるESSID(Extended Service Set Identifier)がネットワーク装置200のESSIDと異なることを特定することにより検出できる。
A3. Communication processing:
FIG. 6 is a flowchart illustrating a communication processing procedure according to the first embodiment. The
前述のステップS305において、ネットワーク装置200以外の他の無線LANアクセスポイントを検出した場合には(ステップS305:YES)、接続部10aは、検出した無線LANアクセスポイントとの間における無線接続の確立処理を実行し(ステップS310)、無線接続の確立が完了したか否かを判定する(ステップS315)。例えば、ユーザが通信端末100を自宅HMからホットスポットHSに移動させた場合、通信端末100の接続部10aは、ネットワーク装置200以外の他の無線LANアクセスポイント(無線LANアクセスポイントa1)を検出することになる。この場合、接続部10aは、無線LANアクセスポイントa1との間の無線接続を確立する。
When a wireless LAN access point other than the
前述のステップS315において、無線接続の確立が完了しないと判定された場合(ステップS315:NO)、接続部10aは、前述のステップS310を継続して実行する。
When it is determined in step S315 described above that the establishment of the wireless connection is not completed (step S315: NO), the
これに対して、前述のステップS315において、無線接続の確立が完了したと判定された場合(ステップS315:YES)、VPNクライアント機能部10bは、VPN設定情報格納部20aに格納されているVPN設定情報を参照してVPNサーバのサーバ名称を特定し、かかるサーバ名称に基づきDDNSサーバ300を利用したVPNサーバのアドレス解決を実行する(ステップS320)。上述したように、DDNSサーバ300には、VPNサーバのサーバ名称(FQDN)と、VPNサーバのグローバルIPアドレスとが対応付けて記憶されている。したがって、VPNクライアント機能部10bは、VPNサーバのサーバ名称を指定して問い合わせることにより、DDNSサーバ300からVPNサーバのグローバルIPアドレスを取得することができる。
On the other hand, if it is determined in step S315 described above that the establishment of the wireless connection has been completed (step S315: YES), the VPN
VPNクライアント機能部10bは、ステップS320において取得したVPNサーバのグローバルIPアドレスを利用して、VPNサーバ(ネットワーク装置200のVPNサーバ機能部210b)との間で接続を行い、暗号化通信を行うための情報を交換する(ステップS325)。この処理は、例えば、IKE(Internet Key Exchange)のフェーズ1の処理に相当する。
The VPN
VPNクライアント機能部10bは、VPNサーバとの間で、端末認証処理を実行する(ステップS330)。具体的には、VPNクライアント機能部10bは、VPN設定情報を参照して、設定されている認証方式に応じた認証情報(ユーザ名およびパスワードや、クライアント証明書)をVPNサーバに送信する。
The VPN
VPNクライアント機能部10bは、ネットワーク装置200のVPNサーバ機能部210bとの間において、VPN900を確立する(ステップS335)。上述したステップS330およびS335は、IKEのフェーズ2の処理に相当する。
The VPN
前述のステップS335が実行され、VPNが確立すると、通信実行部10cは、VPN900を利用して、通信相手(サーバSV1)と通信を実行する(ステップS340)。図1に示すように、VPN900は、通信端末100(VPNクライアント機能部10b)と、ネットワーク装置200(VPNサーバ機能部210b)との間に形成される。したがって、通信端末100から送信されたデータは、VPN900を通ってネットワーク装置200のVPNサーバ機能部210bにおいて受信される。その後、ネットワーク装置200のパケット中継部210aにおいて、中継経路として、有線LAN通信制御部230から出力される経路が決定され、通信端末100から出力された送信データは、有線LAN通信制御部230および図示しないモデムおよびアクセスネットワークを介してインターネットINTに出力され、サーバSV1に届く。
When step S335 described above is executed and the VPN is established, the
ここで、VPN(IPSec)において用いられる暗号化方式は、例えば、公開鍵暗号化方式であり、高いセキュリティレベルを確保可能な方式である。したがって、公衆無線LAN400において暗号化を行わない場合や、公衆無線LAN400における暗号化方式が脆弱なWEPであったとしても、通信端末100とサーバSV1との間の通信において、高セキュリティレベルを確保することができる。
Here, the encryption method used in VPN (IPSec) is, for example, a public key encryption method, which can ensure a high security level. Therefore, even when encryption is not performed in the
以上説明した第1実施形態のネットワークシステム500では、通信処理を実行することにより、通信端末100とネットワーク装置200との間にVPN900を確立し、かかるVPN900を介して、通信端末100とサーバSV1との間の通信を実現する。したがって、公衆無線LAN400において暗号化を行わない場合や、公衆無線LAN400における暗号化方式が比較的脆弱な方式であっても、通信端末100とサーバSV1との間の通信において、高いセキュリティレベルを確保することができる。加えて、ネットワークシステム500では、通信端末100が自宅HMに配置されて通信端末100とネットワーク装置200との間で無線接続が確立されると、VPN設定情報設定処理が実行され、通信端末100およびネットワーク装置200にそれぞれVPN設定情報が自動的に設定される。したがって、ユーザは、通信端末100およびネットワーク装置200に、それぞれVPN設定情報を手作業で設定することを要しない。このように、ネットワークシステム500によると、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100を、インターネットINTに接続させることができる。
In the
B.第2実施形態:
図7は、第2実施形態の通信処理の手順を示すフローチャートである。第2実施形態のネットワークシステム500は、通信処理において、ステップS317およびS345を追加して実行する点において、第1実施形態のネットワークシステム500と異なり、通信処理の他の手順、VPN設定情報設定処理の各手順およびシステム構成は、第1実施形態のネットワークシステム500と同じである。
B. Second embodiment:
FIG. 7 is a flowchart illustrating a communication processing procedure according to the second embodiment. Unlike the
第2実施形態のネットワークシステムでは、無線LANアクセスポイントa1(公衆無線LAN400)において暗号化処理が実行され、かかる暗号化処理において採用される方式がWEP以外の方式の場合には、VPN900を利用しないで通信を行う。
In the network system of the second embodiment, the encryption process is executed at the wireless LAN access point a1 (public wireless LAN 400), and the
具体的には、図7に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、接続部10aを制御して、無線LANアクセスポイントにおける暗号化方式が無し(暗号化を行わない)またはWEPであるか否かを判定する(ステップS317)。無線LANアクセスポイントにおける暗号化の有無および暗号化方式は、ステップS305において受信するビーコンに含まれる情報により特定できる。
Specifically, as shown in FIG. 7, when it is determined in step S315 that establishment of a wireless connection is completed (step S315: YES), the VPN
前述のステップS317において、無線LANアクセスポイントにおける暗号化方式が無しまたはWEPであると判定された場合(ステップS317:YES)、上述したステップS320からステップS340までの各処理が実行される。したがって、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、上述した第1実施形態と同様に、通信端末100は、VPN900、ネットワーク装置200、インターネットINTを介してサーバSV1と通信を行う。
In step S317 described above, when it is determined that the encryption method in the wireless LAN access point is none or WEP (step S317: YES), each process from step S320 to step S340 described above is executed. Therefore, for example, when the
これに対して、ステップS317において、無線LANアクセスポイントにおける暗号化方式がWEP以外の方式であると判定された場合(ステップS317:NO)、通信実行部10cは、VPN900を利用しないで、通信相手(例えば、サーバSV1)と通信を実行する(ステップS345)。ステップS345では、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、通信端末100は、VPN900を介さずに、ホットスポットHS(無線LANアクセスポイントa1およびルータ装置r1)と、インターネットINTとを介してサーバSV1と通信を行う。
On the other hand, when it is determined in step S317 that the encryption method at the wireless LAN access point is a method other than WEP (step S317: NO), the
以上の構成を有する第2実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、公衆無線LANに用いられる無線LANアクセスポイントにおいて、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、VPN900の確立のための処理や、ソフトウェアによって実現される暗号化処理および復号処理を省略できる。このため、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。
The
C.第3実施形態:
図8は、第3実施形態における通信端末100aの詳細構成を示すブロック図である。図9は、第3実施形態における通信処理の手順を示すフローチャートである。第3実施形態のネットワークシステムは、通信端末100aのメモリ20が事業者リスト格納部20bを備えている点と、通信処理において、ステップS318およびS345を追加して実行する点において、第1実施形態のネットワークシステム500と異なり、通信端末100aにおける他の構成、ネットワーク装置200の構成、通信処理の他の手順およびVPN設定情報設定処理の各手順は、第1実施形態のネットワークシステム500と同じである。
C. Third embodiment:
FIG. 8 is a block diagram showing a detailed configuration of the
第3実施形態のネットワークシステムでは、無線LANアクセスポイントa1(公衆無線LAN400)が所定の事業者により提供されている場合には、VPN900を利用して通信を行い、他の事業者により提供されている場合いは、VPN900を利用しないで通信を行う。所定の事業者とは、公衆無線LANにおいて暗号化を行わない事業者または公衆無線LANにおける暗号化方式がWEPである事業者を意味する。
In the network system of the third embodiment, when the wireless LAN access point a1 (public wireless LAN 400) is provided by a predetermined operator, communication is performed using the
図8に示す事業者リスト格納部20bには、予め事業者リストが格納されている。本実施例において、事業者リストには、公衆無線LANにおいて暗号化を行わない事業者または公衆無線LANにおける暗号化方式がWEPである事業者が提供する無線LANアクセスポイントのESSIDの一覧が設定されている。この一覧は、予めユーザ(管理者)によって、事業者リスト格納部20bに格納されている。
The business operator
図9に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、事業者リスト格納部20bを参照して、ステップS305で取得したESSIDに基づき、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであるか否かを判定する(ステップS318)。
As shown in FIG. 9, when it is determined in step S315 that establishment of a wireless connection has been completed (step S315: YES), the VPN
検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであると判定された場合(ステップS318:YES)、上述したステップS320からステップS340までの各処理が実行される。したがって、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、上述した第1実施形態と同様に、通信端末100は、VPN900、ネットワーク装置200、インターネットINTを介してサーバSV1と通信を行う。
When it is determined that the detected wireless LAN access point is a wireless LAN access point provided by a predetermined business operator (step S318: YES), each process from step S320 to step S340 described above is executed. Therefore, for example, when the
これに対して、ステップS318において、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではないと判定された場合(ステップS318:NO)、通信実行部10cは、VPN900を利用しないで、通信相手(例えば、サーバSV1)と通信を実行する(ステップS345)。このステップS345は、図7に示す第2実施形態の通信処理におけるステップS345と同じであるため、説明を省略する。
On the other hand, when it is determined in step S318 that the detected wireless LAN access point is not a wireless LAN access point provided by a predetermined operator (step S318: NO), the
以上の構成を有する第2実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではない場合、つまり、公衆無線LAN400(無線LANアクセスポイントa1)において、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。
The
D.第4実施形態:
図10は、第4実施形態におけるネットワークシステムの構成を示す説明図である。ネットワークシステム500aは、通信端末100bと、ネットワーク装置200aとを備えている。通信端末100bは、接続部111と、VPNクライアント機能部112と、通信実行部113とを備えている。接続部111と、VPNクライアント機能部112と、通信実行部113とは、通信端末100bが備えるメモリに記憶されている制御プログラムを、通信端末100bが備えるCPUが実行することにより実現される。
D. Fourth embodiment:
FIG. 10 is an explanatory diagram showing the configuration of the network system in the fourth embodiment. The
ネットワーク装置200aは、外部ネットワーク800に接続されており、VPNサーバとして動作し得る。外部ネットワーク800とは、上述した第1〜3実施形態におけるインターネットINTや、広域イーサネット(「イーサネット」は登録商標)や、専用線や、LANなど、通信端末100bと他の装置801とを接続し得る任意のネットワークを意味する。通信端末100bは、ネットワーク装置200aと通信可能である。
The network device 200a is connected to the
接続部111は、通信端末100bを外部ネットワーク800に接続するために用いられる。VPNクライアント機能部112は、接続部111により通信端末100bが外部ネットワーク800に接続されると、VPN900aを、通信端末100bとネットワーク装置200aとの間に確立する処理を実行する。通信実行部113は、VPN900aおよびネットワーク装置200aを介して、ネットワーク装置200aとは異なる外部ネットワーク800に接続されている他の装置801と通信を行う。なお、装置801を、上述した第1〜3実施形態におけるサーバSV1と同様に、サーバにより構成してもよい。また、例えば、装置801を、通信端末100bと同様な通信端末により構成してもよい。
The connection unit 111 is used to connect the
上述した第4実施形態のネットワークシステム500aによれば、通信端末100bのVPNクライアント機能部112は、通信端末100bが外部ネットワーク800に接続されると、通信端末100bとネットワーク装置200aとの間にVPN900aを確立するので、VPN900aを確立するためのユーザの作業を省略できる。加えて、通信端末100bの通信実行部113は、VPN900aおよびネットワーク装置200aを介して、ネットワーク装置200aとは異なる外部ネットワーク800に接続されている他の装置801と通信を行うので、通信端末100bが外部ネットワーク800に接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ通信端末100bと他の装置801との通信を実現することができる。以上から、本形態のネットワークシステム500aによれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100bを外部ネットワーク800に接続させることができる。
According to the
E.変形例:
E1.変形例1:
各実施形態では、VPN設定情報設定処理において、無線LANクライアントのMACアドレスに基づき、端末認証情報が設定済みであるか否かを判定していたが、本発明はこれに限定されるものではない。ネットワーク装置200が、VPN設定情報が設定済みであるか否かを問い合わせるパケットをブロードキャストし、各無線LANクライアントから受信する回答に基づき、端末認証情報が設定済みであるか否かを判定する構成としてもよい。この構成では、各無線LANクライアントは、VPN設定情報が設定済みであるか否かを問い合わせるパケットを受信すると、自らにVPN設定情報が設定済みであるか否かを判定し、その判定結果をネットワーク装置200にユニキャストする。また、この構成では、VPN設定情報が設定済みでないとの回答が得られた場合に、図4に示すステップS110を実行し、VPN設定情報が設定済みでないとの回答が得られない場合には、VPN設定情報設定処理は終了する。また、図4に示すステップS130において、VPN設定情報が設定済みでないとの回答を送信した無線LANクライアントに対して、VPN設定情報(VPN接続情報および端末認証情報)をユニキャストする。
E. Variations:
E1. Modification 1:
In each embodiment, in the VPN setting information setting process, it is determined whether the terminal authentication information has been set based on the MAC address of the wireless LAN client. However, the present invention is not limited to this. . The
E2.変形例2:
各実施形態では、VPN設定情報設定処理の一工程として、サーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知していたが、本発明はこれに限定されるものではない。VPN設定情報設定処理(DDNS情報登録処理)の一工程として、サーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知することに加えて、定期的にサーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知する構成を採用してもよい。グローバルIPアドレスの変更が生じ得る場合、このような構成を採用することで、DDNSサーバ300における名前解決処理が正しく行われるようにできる。
E2. Modification 2:
In each embodiment, the server name and the global IP address are notified to the
また、各実施形態では、DDNSサーバ300を利用して、VPNサーバのサーバ名称のアドレス解決を実現していたが、DDNSサーバ300を省略すると共に、VPNサーバのサーバ名称のアドレス解決を省略してもよい。具体的には、VPNサーバのグローバルIPアドレスを固定的に割り当て、かかるIPアドレスを、VPN設定情報設定処理において通信端末100に通知する構成を採用することができる。この構成では、DDNSサーバ300を省略できるので、ネットワークシステムの構築コストを低減できる。
Further, in each embodiment, the address resolution of the server name of the VPN server is realized using the
E3.変形例3:
ネットワーク装置200から通信端末100へのVPN設定情報の送信、および通信端末100におけるVPN設定情報の受信は、ネットワーク装置200と通信端末100との間に形成された無線LANを介して実行されていたが、本発明はこれに限定されるものではない。例えば、通信端末100が有線LAN通信制御部を備え、有線LANを介して通信端末100とネットワーク装置200との間でVPN設定情報の送受信を行う構成を採用してもよい。また、例えば、通信端末100およびネットワーク装置200が、それぞれUSB(Universal Serial Bus)等の接続インターフェイスを備え、かかる接続インターフェイスにより互いに接続され、VPN設定情報の送受信を行う構成を採用してもよい。
E3. Modification 3:
Transmission of VPN setting information from the
また、本発明は、通信端末100とネットワーク装置200との間でVPN設定情報を直接やりとりする構成に限定されるものではない。例えば、ネットワーク装置200に接続されたパーソナルコンピュータの画面にVPN設定情報を示すコード(例えば、QRコード(登録商標))を表示し、かかるコードを通信端末100の撮像部56で撮像することにより、通信端末100においてVPN設定情報を取得する構成を採用してもよい。
Further, the present invention is not limited to a configuration in which VPN setting information is directly exchanged between the
E4.変形例4:
各実施形態では、VPN設定情報設定処理の開始契機は、通信端末100とネットワーク装置200との間における無線接続の確立であったが、本発明は、これに限定されるものではない。例えば、ネットワーク装置200にかかる契機を与えるためのスイッチ(例えば、押しボタン)を用意し、ユーザがかかるスイッチをオンすることをVPN設定情報設定処理の開始契機としてもよい。また、例えば、通信端末100およびネットワーク装置200がNFC(Near Field Communication)をサポートし、通信端末100がネットワーク装置200に接触または近接したことを、VPN設定情報設定処理の開始契機としてもよい。
E4. Modification 4:
In each embodiment, the start timing of the VPN setting information setting process is establishment of a wireless connection between the
E5.変形例5:
各実施例では、VPN接続情報のうち、VPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式については、予めユーザ(管理者)によって設定されていたが、ユーザによる設定に代えて、工場出荷前に予めデフォルト値を設定しておいてもよい。また、かかるデフォルト値をユーザが変更可能としてもよい。なお、ユーザに対して現在の設定値でよいか否かを問い合わせるユーザインターフェイスを、通信端末100またはネットワーク装置200に用意してもよい。
E5. Modification 5:
In each embodiment, the VPN type, VPN port number, VPN encryption method and authentication method are set in advance by the user (administrator) in the VPN connection information. Thus, a default value may be set in advance before shipment from the factory. The default value may be changeable by the user. Note that a user interface for inquiring the user whether or not the current setting value is acceptable may be prepared in the
E6.変形例6:
第2実施形態では、無線LANアクセスポイントa1(公衆無線LAN400)において暗号化処理が実行され、かかる暗号化処理において採用される方式がWEP以外の方式の場合には、VPN900を利用しないで通信が行われていた。また、第3実施形態では、無線LANアクセスポイントa1(公衆無線LAN400)が所定の事業者により提供されていない場合には、VPN900を利用しないで通信が行われていた。このようにVPN900を利用しないで通信を行う条件は、第2実施形態および第3実施形態における条件に限定されるものではない。例えば、通信端末100におけるバッテリーの残容量が所定値以下の場合に、VPN900を利用しないで通信を行う構成を採用してもよい。VPN900を利用して通信を行う場合、多くのソフトウェア処理を実行するために多くの電力を消費する。したがって、バッテリーの残容量が所定値以下の場合に、VPN900を利用しないで通信を行うことで、通信時間の短縮を抑制できる。
E6. Modification 6:
In the second embodiment, encryption processing is executed at the wireless LAN access point a1 (public wireless LAN 400). When the method employed in the encryption processing is a method other than WEP, communication is performed without using the
また、例えば、通信端末100に、VPN900を利用しないで通信を行うことを明示するためのスイッチを設け、ユーザがかかるスイッチをオンした場合に、VPN900を利用しないで通信を行う構成を採用してもよい。VPN900を利用して通信を行う場合、多くのソフトウェア処理を実行するために通信におけるスループットの低下やレイテンシーの増加が発生し得る。したがって、上記のようなスイッチを設けることで、ユーザは、通信におけるセキュリティレベルの向上よりも、通信におけるスループットの低下の抑制やレイテンシーの増加の抑制を望む場合に、VPN900を利用しないで通信を行うことを選択することができる。なお、上述のスイッチとしては、例えば、押しボタンや、表示部30に表示されるGUI(Graphical User Interface)として構成することができる。
In addition, for example, the
E7.変形例7:
各実施形態では、通信端末100として、携帯電話装置を採用したが、携帯電話装置に代えて、ノート型のパーソナルコンピュータや可搬型のルータ装置など、任意の可搬型の通信端末を採用してもよい。
E7. Modification 7:
In each embodiment, a mobile phone device is adopted as the
E8.変形例8:
第1ないし第3実施形態では、自宅HM以外の場所において通信端末100,100aがインターネットINTに接続する際に、無線LAN400を介してインターネットINTに接続されていたが、本発明は、これに限定されるものではない。例えば、公衆無線LAN400に代えて、公衆有線LANや公衆無線回線を介してインターネットINTに接続される構成を採用してもよい。このような構成においても、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100を、インターネットINTに接続させることができる。なお、公衆無線回線としては、例えば、3G/HSPAや、LTEや、Wimaxなどの規格に準拠した無線データ通信を実行する任意の回線を採用できる。
E8. Modification 8:
In the first to third embodiments, when the
E9.変形例9:
第1ないし第3実施形態では、ネットワーク装置200、DDNSサーバ300、サーバSV1およびルータ装置r1が接続されるネットワークは、インターネットINTであったが、インターネットINTに代えて、広域イーサネット(「イーサネット」は登録商標)や、専用線や、LANなど、任意のネットワークを採用してもよい。
E9. Modification 9:
In the first to third embodiments, the network to which the
本発明は、上述の実施形態や実施例、変形例に限られるものではなく、その趣旨を逸脱しない範囲において種々の構成で実現することができる。例えば、発明の概要の欄に記載した各形態中の技術的特徴に対応する実施形態、変形例中の技術的特徴は、上述の課題の一部又は全部を解決するために、あるいは、上述の効果の一部又は全部を達成するために、適宜、差し替えや、組み合わせを行うことが可能である。また、その技術的特徴が本明細書中に必須なものとして説明されていなければ、適宜、削除することが可能である。 The present invention is not limited to the above-described embodiments, examples, and modifications, and can be realized with various configurations without departing from the spirit thereof. For example, the technical features in the embodiments and the modifications corresponding to the technical features in each embodiment described in the summary section of the invention are to solve some or all of the above-described problems, or In order to achieve part or all of the effects, replacement or combination can be performed as appropriate. Further, if the technical feature is not described as essential in the present specification, it can be deleted as appropriate.
500,500a…ネットワークシステム
10…CPU
10a…接続部
10b…VPNクライアント機能部
10c…通信実行部
10d…表示制御部
10e…通話制御部
10f…VPN設定情報受信部
20…メモリ
20a…VPN設定情報格納部
20b…事業者リスト格納部
30…表示部
42…無線LAN通信制御部
44…移動体通信制御部
52…音声入出力部
54…操作部
56…撮像部
60…内部バス
100,100a,100b…通信端末
111…接続部
112…VPNクライアント機能部
113…通信実行部
200,200a…ネットワーク装置
210…CPU
210a…パケット中継部
210b…VPNサーバ機能部
210c…端末認証情報生成部
210d…VPN設定情報送信部
210e…通信実行部
220…メモリ
221…経路選択テーブル格納部
222…VPN設定情報格納部
230…有線LAN通信制御部
240…無線LAN通信制御部
260…内部バス
300…DDNSサーバ
400…公衆無線LAN
400a…アクセスネットワーク
800…外部ネットワーク
801…装置
900,900a…VPN
a1…無線LANアクセスポイント
r1…ルータ装置
HM…自宅
HS…ホットスポット
SV1…サーバ
INT…インターネット
500, 500a ...
DESCRIPTION OF
210a ...
400a ...
a1 ... Wireless LAN access point r1 ... Router device HM ... Home HS ... Hot spot SV1 ... Server INT ... Internet
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態として実現することが可能である。
本発明の一形態によれば、ネットワークシステムが提供される。このネットワークシステムは、外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と;前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と;を備え、前記通信端末は、前記外部ネットワークに接続するための接続部と;前記接続部により前記通信端末が前記外部ネットワークに接続されたことを契機として、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と;前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と;を有し、前記ネットワーク装置は、さらに、前記通信端末との間で、無線通信を実行する無線通信部と;前記無線通信が実行可能になったことを契機として、前記仮想プライベートネットワークの確立のために用いられるVPN設定情報を、前記通信端末に送信するVPN設定情報送信部と;を有し、前記通信端末は、さらに、前記VPN設定情報を受信するVPN設定情報受信部を有する。
この形態のネットワークシステムによれば、通信端末のVPNクライアント機能部は、通信端末が外部ネットワークに接続されたことを契機として、通信端末とネットワーク装置との間にVPNを確立するので、VPNを確立するためのユーザの作業を省略できる。加えて、通信端末の通信実行部は、VPNおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行うので、通信端末が外部ネットワークに接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ通信端末と他の装置との通信を実現することができる。以上から、本形態のネットワークシステムによれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させることができる。また、通信端末とネットワーク装置との間の無線通信が可能になったことを契機として、ネットワーク装置から通信端末にVPN設定情報が送信されるので、通信端末においてVPN設定情報を設定する作業を省略できる。
その他、本発明は、以下のような形態としても実現可能である。
SUMMARY An advantage of some aspects of the invention is to solve at least a part of the problems described above, and the invention can be implemented as the following forms.
According to one aspect of the present invention, a network system is provided. The network system includes: a network device connected to an external network and capable of operating as a virtual private network (VPN) server; and a communication terminal capable of communicating with the network device via the external network. A terminal connected to the external network; and when the communication terminal is connected to the external network by the connection unit, a virtual private network is connected between the communication terminal and the network device. A VPN client function unit that executes a process to be established; a communication execution unit that communicates with another device connected to the external network different from the network device via the virtual private network and the network device; Before The network device further includes a wireless communication unit that performs wireless communication with the communication terminal; and a VPN that is used for establishing the virtual private network when the wireless communication is executable A VPN setting information transmitting unit that transmits setting information to the communication terminal, and the communication terminal further includes a VPN setting information receiving unit that receives the VPN setting information.
According to the network system of this embodiment, the VPN client function unit of the communication terminal establishes the VPN between the communication terminal and the network device when the communication terminal is connected to the external network. The user's work to do this can be omitted. In addition, since the communication execution unit of the communication terminal communicates with other devices connected to an external network different from the network device via the VPN and the network device, when the communication terminal connects to the external network Even if the encryption is not performed or the encryption method is weak (low security level), communication between the communication terminal and another device can be realized while ensuring a high security level. As described above, according to the network system of the present embodiment, it is possible to easily connect the communication terminal to the external network while ensuring a high security level. In addition, since the VPN setting information is transmitted from the network device to the communication terminal when wireless communication between the communication terminal and the network device is enabled, the work of setting the VPN setting information in the communication terminal is omitted. it can.
In addition, the present invention can be realized in the following forms.
A.第1実施形態:
A1.システム構成:
図1は、本発明の一実施形態としてのネットワークシステムの概略構成を示す説明図である。ネットワークシステム500は、通信端末100と、ネットワーク装置200と、DDNS(Dynamic Domain Name Service)サーバ300とを備えている。ネットワークシステム500は、通信端末100を、自宅HMおよびホットスポットHS(「ホットスポット」は登録商標)からそれぞれインターネットINTに接続されている装置(例えば、サーバSV1)と通信させることができる。
A. First embodiment:
A1. System configuration:
FIG. 1 is an explanatory diagram showing a schematic configuration of a network system as an embodiment of the present invention. The
VPNサーバ機能部210bは、VPNを実現するための所定のプロトコル(IPSec)を実行し、対向するVPNサーバとの間でVPN(VPNトンネル)を確立するための処理や、VPN確立後における通信データのカプセル化処理や暗号化及び復号処理を実行する。VPNサーバ機能部210bは、通信実行部210eから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化してパケット中継部210aに渡す。また、VPNサーバ機能部210bは、パケット中継部210aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部210eに渡す。
The VPN
上述のステップS120が実行された後、または、前述のステップS110において、VPN接続情報は生成済みであると判定された場合(ステップS110:YES)、端末認証情報生成部210cは、端末認証情報の生成および登録(VPN設定情報格納部222への格納)を行う(ステップS125)。ユーザ名およびパスワードを生成する方法としては、例えば、サーバ名称の生成方法と同様に、通信端末100の無線LAN通信制御部42のMACアドレスをベースとして生成する方法や、ランダムな文字列を自動的に生成する方法を採用することができる。また、例えば、予めユーザ(管理者)によって設定された値を用いてもよい。
After the above-described step S120 is executed or when it is determined in step S110 that the VPN connection information has been generated (step S110: YES), the terminal authentication
VPN設定情報送信部210dは、通信実行部210e、パケット中継部210aおよび無線LAN通信制御部240を介して、無線LANクライアント(通信端末100)に、VPN接続情報および端末認証情報を送信して(ステップS130)、VPN設定情報設定処理は終了する。通信端末100のVPN設定情報受信部10fは、無線LAN通信制御部42および通信実行部10cを介して、ネットワーク装置200から送信されたVPN接続情報および端末認証情報(すなわち、VPN設定情報)を、VPN設定情報格納部20aに格納する。
The VPN setting
図9に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、事業者リスト格納部20bに格納されている事業者リストを参照して、ステップS305で取得したESSIDに基づき、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであるか否かを判定する(ステップS318)。
As shown in FIG. 9, in step S315, the establishment of the wireless connection is determined to be complete (step S315: YES), VPN
以上の構成を有する第3実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではない場合、つまり、公衆無線LAN400(無線LANアクセスポイントa1)において、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。
The
Claims (11)
外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と、
前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と、
を備え、
前記通信端末は、
前記外部ネットワークに接続するための接続部と、
前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、
前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、
を有する、ネットワークシステム。 A network system,
A network device connected to an external network and operable as a virtual private network (VPN) server;
A communication terminal capable of communicating with the network device via the external network;
With
The communication terminal is
A connection for connecting to the external network;
When the communication terminal is connected to the external network by the connection unit, a VPN client function unit that executes a process of establishing a virtual private network between the communication terminal and the network device;
A communication execution unit that communicates with another device connected to the external network different from the network device via the virtual private network and the network device;
Having a network system.
前記ネットワーク装置は、さらに
前記通信端末との間で、無線通信を実行する無線通信部と、
前記無線通信が実行可能になると、前記仮想プライベートネットワークの確立のために用いられるVPN設定情報を、前記通信端末に送信するVPN設定情報送信部と、
を有し、
前記通信端末は、さらに、前記VPN設定情報を受信するVPN設定情報受信部を有する、ネットワークシステム。 The network system according to claim 1,
The network device further includes a wireless communication unit that performs wireless communication with the communication terminal;
When the wireless communication becomes executable, a VPN setting information transmitting unit that transmits VPN setting information used for establishing the virtual private network to the communication terminal;
Have
The communication system further includes a VPN setting information receiving unit that receives the VPN setting information.
前記ネットワーク装置は、前記通信端末が前記仮想プライベートネットワークを介した通信を許可された装置であるか否かの認証を実行し、
前記VPN設定情報は、前記認証において用いられる端末認証情報を含み、
前記ネットワーク装置は、さらに、前記無線通信が実行可能になると前記端末認証情報を生成する端末認証情報生成部を有する、ネットワークシステム。 The network system according to claim 2,
The network device performs authentication as to whether or not the communication terminal is a device permitted to communicate via the virtual private network,
The VPN setting information includes terminal authentication information used in the authentication,
The network device further includes a terminal authentication information generation unit that generates the terminal authentication information when the wireless communication becomes executable.
前記接続部は、公衆無線LANと、公衆有線LANと、公衆無線回線とのうち、いずれかを介して前記通信端末を前記外部ネットワークに接続する、ネットワークシステム。 In the network system according to any one of claims 1 to 3,
The said connection part is a network system which connects the said communication terminal to the said external network via either public wireless LAN, public wired LAN, and a public wireless line.
前記接続部は、公衆無線LANを介して前記通信端末を前記外部ネットワークに接続し、
前記通信端末は、さらに、前記公衆無線LANに用いられている無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされたか否かを判定する判定部を有し、
前記VPNクライアント機能部は、前記接続部により前記通信端末が前記外部ネットワークに接続され、かつ、前記判定部により前記所定の条件が満たされたと判定された場合に、前記仮想プライベートネットワークを確立する処理を実行する、ネットワークシステム。 The network system according to claim 4, wherein
The connection unit connects the communication terminal to the external network via a public wireless LAN,
The communication terminal further includes a determination unit that determines whether or not a predetermined condition regarding an encryption method in a wireless LAN access point used in the public wireless LAN is satisfied,
The VPN client function unit establishes the virtual private network when the communication unit is connected to the external network by the connection unit and the predetermined condition is determined by the determination unit. Run the network system.
前記所定の条件は、
前記無線LANアクセスポイントにおける暗号化方式が所定の暗号化方式である、との条件と、
前記無線LANアクセスポイントにおいて暗号化を行わない、との条件と、
前記無線LANアクセスポイントが所定の事業者の無線LANアクセスポイントである、との条件と、
のうち、いずれかを含む、ネットワークシステム。 The network system according to claim 5, wherein
The predetermined condition is:
A condition that the encryption method in the wireless LAN access point is a predetermined encryption method;
A condition that encryption is not performed in the wireless LAN access point;
A condition that the wireless LAN access point is a wireless LAN access point of a predetermined operator;
A network system including any of the above.
前記所定の暗号化方式は、WEP(Wired Equivalent Privacy)であり、
前記所定の事業者は、前記無線LANアクセスポイントにおける暗号化方式として、WEPを採用する事業者である、ネットワークシステム。 The network system according to claim 6,
The predetermined encryption method is WEP (Wired Equivalent Privacy),
The network system, wherein the predetermined provider is a provider that employs WEP as an encryption method in the wireless LAN access point.
前記外部ネットワークに接続するための接続部と、
前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、
前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、
を備える、通信端末。 A communication terminal capable of communicating with a network device that can operate as a virtual private network (VPN) server via an external network,
A connection for connecting to the external network;
When the communication terminal is connected to the external network by the connection unit, a VPN client function unit that executes a process of establishing a virtual private network between the communication terminal and the network device;
A communication execution unit that communicates with another device connected to the external network different from the network device via the virtual private network and the network device;
A communication terminal.
(a)前記通信端末において、前記外部ネットワークに接続する工程と、
(b)前記通信端末において、前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行する工程と、
(c)前記通信端末において、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記他の装置と通信を行う工程と、
を備える、方法。 In a network system having a network device connected to an external network and capable of operating as a virtual private network (VPN) server, and a communication terminal capable of communicating with the network device via the external network, the communication terminal includes: A method for communicating with another device connected to the external network different from the network device,
(A) in the communication terminal, connecting to the external network;
(B) In the communication terminal, when the communication terminal is connected to the external network, executing a process of establishing a virtual private network between the communication terminal and the network device;
(C) in the communication terminal, communicating with the other device via the virtual private network and the network device;
A method comprising:
前記通信端末において、前記外部ネットワークに接続する機能と、
前記通信端末において、前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行する機能と、
前記通信端末において、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記他の装置と通信を行う機能と、
を、前記通信端末が有するコンピュータに実現させるためのプログラム。 A communication terminal capable of communicating with a network device that can operate as a virtual private network (VPN) server via an external network, for communicating with another device connected to the external network different from the network device A program,
A function of connecting to the external network in the communication terminal;
In the communication terminal, when the communication terminal is connected to the external network, a function of executing a process of establishing a virtual private network between the communication terminal and the network device;
In the communication terminal, a function of communicating with the other device via the virtual private network and the network device;
For realizing the above in a computer included in the communication terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015239831A JP6036978B2 (en) | 2015-12-09 | 2015-12-09 | Network system, communication terminal, method, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015239831A JP6036978B2 (en) | 2015-12-09 | 2015-12-09 | Network system, communication terminal, method, program, and recording medium |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013041652A Division JP5853972B2 (en) | 2013-03-04 | 2013-03-04 | Network system, communication terminal, method, program, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016076979A true JP2016076979A (en) | 2016-05-12 |
JP6036978B2 JP6036978B2 (en) | 2016-11-30 |
Family
ID=55951915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015239831A Active JP6036978B2 (en) | 2015-12-09 | 2015-12-09 | Network system, communication terminal, method, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6036978B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022111684A (en) * | 2021-01-20 | 2022-08-01 | Necプラットフォームズ株式会社 | Communication system, home gateway device, method, and program |
CN115550107A (en) * | 2022-09-21 | 2022-12-30 | 北京天融信网络安全技术有限公司 | Method for establishing tunnel, method and device for selecting network for establishing tunnel |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006254077A (en) * | 2005-03-10 | 2006-09-21 | Sharp Corp | Network setting device |
US20060236378A1 (en) * | 2005-04-19 | 2006-10-19 | Burshan Chen Y | Connecting VPN users in a public network |
JP2006319873A (en) * | 2005-05-16 | 2006-11-24 | Novatec Corp | Vpn(virtual private network) connecting method, virtual private network connection apparatus utilizing the same, radio terminal and virtual private network system |
JP2008529379A (en) * | 2005-01-27 | 2008-07-31 | ノキア コーポレイション | UPNPVPN gateway configuration service |
JP2008219643A (en) * | 2007-03-06 | 2008-09-18 | Nec Corp | Mobile terminal device, mobile phone, vpn connection system, vpn connection method, and program |
-
2015
- 2015-12-09 JP JP2015239831A patent/JP6036978B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008529379A (en) * | 2005-01-27 | 2008-07-31 | ノキア コーポレイション | UPNPVPN gateway configuration service |
JP2006254077A (en) * | 2005-03-10 | 2006-09-21 | Sharp Corp | Network setting device |
US20060236378A1 (en) * | 2005-04-19 | 2006-10-19 | Burshan Chen Y | Connecting VPN users in a public network |
JP2006319873A (en) * | 2005-05-16 | 2006-11-24 | Novatec Corp | Vpn(virtual private network) connecting method, virtual private network connection apparatus utilizing the same, radio terminal and virtual private network system |
JP2008219643A (en) * | 2007-03-06 | 2008-09-18 | Nec Corp | Mobile terminal device, mobile phone, vpn connection system, vpn connection method, and program |
Non-Patent Citations (1)
Title |
---|
JPN6016020604; '情報家電機器内設定とソフトウェア管理方法の検討' 電子情報通信学会2006年総合大会 学会予稿集 , 20060308, 第143頁 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022111684A (en) * | 2021-01-20 | 2022-08-01 | Necプラットフォームズ株式会社 | Communication system, home gateway device, method, and program |
JP7338883B2 (en) | 2021-01-20 | 2023-09-05 | Necプラットフォームズ株式会社 | Communication system and method |
CN115550107A (en) * | 2022-09-21 | 2022-12-30 | 北京天融信网络安全技术有限公司 | Method for establishing tunnel, method and device for selecting network for establishing tunnel |
Also Published As
Publication number | Publication date |
---|---|
JP6036978B2 (en) | 2016-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
US10652086B2 (en) | Converging IOT data with mobile core networks | |
TWI669972B (en) | Methods, apparatus and systems for wireless network selection | |
US10135678B2 (en) | Mobile network IOT convergence | |
CN108029017B (en) | Method for secure wifi call connection through managed public WLAN access | |
JP2020129830A (en) | Network support type bootstrapping for machine-to-machine communication | |
US7441043B1 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
US20170359344A1 (en) | Network-visitability detection control | |
JP6737789B2 (en) | Context-based protocol stack privacy | |
JP6912470B2 (en) | Methods and devices for wireless communication using a security model to support multiple connection and service contexts | |
US9253636B2 (en) | Wireless roaming and authentication | |
US8582476B2 (en) | Communication relay device and communication relay method | |
US20170359326A1 (en) | Network-visitability detection | |
CN104247505A (en) | System and method for andsf enhancement with anqp server capability | |
US20130191906A1 (en) | Apparatus and method for supporting portable mobile virtual private network service | |
KR20130040210A (en) | Method of connecting a mobile station to a communications network | |
JP6036978B2 (en) | Network system, communication terminal, method, program, and recording medium | |
CN108702799A (en) | Method for merging mobile core and IOT data | |
JP5853972B2 (en) | Network system, communication terminal, method, program, and recording medium | |
Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
JP2017143363A (en) | Communication system and authentication connection method thereof | |
US20140105163A1 (en) | Communication Method and Apparatus | |
JP2017147672A (en) | Communication device, server, and system | |
JP3154679U (en) | Relay device and network system | |
WO2024146582A1 (en) | Communication method and communication apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160923 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161004 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161017 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6036978 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |