JP2016076979A - Network system, communication terminal, method, program, and recording medium - Google Patents

Network system, communication terminal, method, program, and recording medium Download PDF

Info

Publication number
JP2016076979A
JP2016076979A JP2015239831A JP2015239831A JP2016076979A JP 2016076979 A JP2016076979 A JP 2016076979A JP 2015239831 A JP2015239831 A JP 2015239831A JP 2015239831 A JP2015239831 A JP 2015239831A JP 2016076979 A JP2016076979 A JP 2016076979A
Authority
JP
Japan
Prior art keywords
network
communication terminal
vpn
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015239831A
Other languages
Japanese (ja)
Other versions
JP6036978B2 (en
Inventor
昌也 谷川
Masaya Tanigawa
昌也 谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2015239831A priority Critical patent/JP6036978B2/en
Publication of JP2016076979A publication Critical patent/JP2016076979A/en
Application granted granted Critical
Publication of JP6036978B2 publication Critical patent/JP6036978B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To make a communication terminal connect with an external network simply and while ensuring a high security level.SOLUTION: A network system comprises: a network device that is connected with an external network and is capable of operating as a VPN server; and a communication terminal capable of communicating with the network device through the external network. The communication terminal includes: a connection unit for connecting with the external network; a VPN client function unit for executing processing of establishing a virtual private network between the communication terminal and the network device when the communication terminal is connected with the external network by the connection unit; and a communication execution unit for communicating with another device that differs from the network device and is connected with the external network, through the virtual private network and the network device.SELECTED DRAWING: Figure 1

Description

本発明は、ネットワークシステムに関する。   The present invention relates to a network system.

携帯電話端末やパーソナルコンピュータ等の通信端末は、駅やホテル等の公共施設に設けられた公衆無線LAN(Local Area Network)や公衆有線LAN等を介して、インターネットに接続されることがある。しかしながら、公衆無線LANや公衆有線LAN等におけるセキュリティレベルが低い場合には、通信端末により送受信されるデータは、第三者に盗聴されるおそれがある。例えば、公衆無線LANにおける暗号化方式が脆弱なWEP(Wired Equivalent Privacy)である場合や、暗号化をまったく行わない場合には、第三者によって無線電波が傍受され、データが盗聴されるおそれがある。そこで、公衆無線LANを介した通信経路において、通信端末を終端部とするVPN(Virtual Private Network)を形成することにより、セキュリティレベルを向上させる方法が提案されている(特許文献1、2)。   A communication terminal such as a mobile phone terminal or a personal computer may be connected to the Internet via a public wireless LAN (Local Area Network) or a public wired LAN provided in a public facility such as a station or a hotel. However, when the security level in a public wireless LAN, a public wired LAN, or the like is low, data transmitted and received by the communication terminal may be wiretapped by a third party. For example, if the encryption method in public wireless LAN is weak WEP (Wired Equivalent Privacy), or if encryption is not performed at all, wireless radio waves may be intercepted by third parties and data may be wiretapped. is there. In view of this, a method has been proposed in which a security level is improved by forming a VPN (Virtual Private Network) with a communication terminal as a termination in a communication path via a public wireless LAN (Patent Documents 1 and 2).

特開2004−274448号公報JP 2004-274448 A 特開2006−33443号公報JP 2006-33443 A

特許文献1に記載された方法では、利用者は、予めインターネットに接続されたVPNサーバと端末との間にVPN(VPNトンネル)を確立し、通信端末は、VPNを介してインターネットに接続された情報提供サーバと通信を行う。このため、ユーザは、通信端末及びVPNサーバにおいて、それぞれ事前にVPNを確立するための複雑な設定作業を行わねばならないという問題があった。同様に、特許文献2に記載された方法では、利用者は、予めパーソナルコンピュータとインターネットに接続されたセキュアアクセスポイントとの間にVPNを確立し、パーソナルコンピュータは、かかるVPNを介してインターネットに接続された通信相手(サーバ等)と通信を行う。したがって、特許文献2に記載された方法によると、特許文献1に記載された方法と同様の問題が発生する。このため、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末をインターネット等の外部ネットワークに接続させることが可能な技術が望まれていた。その他、通信端末や、通信端末を含むネットワークシステムの小型化や、低コスト化や、省資源化、製造の容易化、使い勝手の向上等が望まれていた。   In the method described in Patent Document 1, a user establishes a VPN (VPN tunnel) between a VPN server and a terminal connected to the Internet in advance, and the communication terminal is connected to the Internet via the VPN. Communicates with the information providing server. For this reason, there has been a problem that the user has to perform complicated setting work for establishing the VPN in advance in the communication terminal and the VPN server. Similarly, in the method described in Patent Document 2, a user establishes a VPN between a personal computer and a secure access point connected to the Internet in advance, and the personal computer connects to the Internet via the VPN. Communicate with the other communication partner (server, etc.). Therefore, according to the method described in Patent Document 2, the same problem as that described in Patent Document 1 occurs. For this reason, a technique capable of easily connecting a communication terminal to an external network such as the Internet while ensuring a high security level has been desired. In addition, there has been a demand for downsizing, cost reduction, resource saving, ease of manufacturing, improvement in usability, and the like of communication terminals and network systems including communication terminals.

本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態として実現することが可能である。   SUMMARY An advantage of some aspects of the invention is to solve at least a part of the problems described above, and the invention can be implemented as the following forms.

(1)本発明の第1の形態によれば、ネットワークシステムが提供される。このネットワークシステムは、外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と、前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と、を備え、前記通信端末は、前記外部ネットワークに接続するための接続部と、前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、を有する。この形態のネットワークシステムによれば、通信端末のVPNクライアント機能部は、通信端末が外部ネットワークに接続されると、通信端末とネットワーク装置との間にVPNを確立するので、VPNを確立するためのユーザの作業を省略できる。加えて、通信端末の通信実行部は、VPNおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行うので、通信端末が外部ネットワークに接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ通信端末と他の装置との通信を実現することができる。以上から、本形態のネットワークシステムによれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させることができる。   (1) According to the first aspect of the present invention, a network system is provided. The network system includes a network device connected to an external network and capable of operating as a virtual private network (VPN) server, and a communication terminal capable of communicating with the network device via the external network. The terminal establishes a virtual private network between the communication terminal and the network device when the communication terminal is connected to the external network by the connection unit for connecting to the external network and the connection unit. A VPN client function unit that executes processing, and a communication execution unit that communicates with another device connected to the external network different from the network device via the virtual private network and the network device. . According to the network system of this aspect, the VPN client function unit of the communication terminal establishes the VPN between the communication terminal and the network device when the communication terminal is connected to the external network. User work can be omitted. In addition, since the communication execution unit of the communication terminal communicates with other devices connected to an external network different from the network device via the VPN and the network device, when the communication terminal connects to the external network Even if the encryption is not performed or the encryption method is weak (low security level), communication between the communication terminal and another device can be realized while ensuring a high security level. As described above, according to the network system of the present embodiment, it is possible to easily connect the communication terminal to the external network while ensuring a high security level.

(2)上記形態のネットワークシステムにおいて、前記ネットワーク装置は、さらに前記通信端末との間で、無線通信を実行する無線通信部と、前記無線通信が実行可能になると、前記仮想プライベートネットワークの確立のために用いられるVPN設定情報を、前記通信端末に送信するVPN設定情報送信部と、を有し、前記通信端末は、さらに、前記VPN設定情報を受信するVPN設定情報受信部を有してもよい。この形態のネットワークシステムによれば、ネットワーク装置と通信端末との間で無線通信が実行可能になると、ネットワーク装置から通信端末にVPN設定情報が送信されるので、通信端末においてVPN設定情報を設定する作業を省略できる。   (2) In the network system of the above aspect, the network device further establishes the virtual private network when a wireless communication unit that performs wireless communication with the communication terminal and the wireless communication become executable. A VPN setting information transmitting unit that transmits VPN setting information used for communication to the communication terminal, and the communication terminal further includes a VPN setting information receiving unit that receives the VPN setting information. Good. According to this form of the network system, when wireless communication can be performed between the network device and the communication terminal, VPN setting information is transmitted from the network device to the communication terminal, so that the VPN setting information is set in the communication terminal. Work can be omitted.

(3)上記形態のネットワークシステムにおいて、前記ネットワーク装置は、前記通信端末が前記仮想プライベートネットワークを介した通信を許可された装置であるか否かの認証を実行し、前記VPN設定情報は、前記認証において用いられる端末認証情報を含み、前記ネットワーク装置は、さらに、前記無線通信が実行可能になると前記端末認証情報を生成する端末認証情報生成部を有してもよい。この形態のネットワークシステムによれば、ネットワーク装置と通信端末との間で無線通信が実行可能になると、端末認証情報が生成されるので、ユーザによる端末認証情報を設定する作業を省略できる。   (3) In the network system according to the above aspect, the network device performs authentication as to whether or not the communication terminal is permitted to communicate via the virtual private network, and the VPN setting information includes the VPN setting information Terminal authentication information used in authentication may be included, and the network device may further include a terminal authentication information generation unit that generates the terminal authentication information when the wireless communication becomes executable. According to this form of the network system, when wireless communication can be executed between the network device and the communication terminal, the terminal authentication information is generated, so that the work for setting the terminal authentication information by the user can be omitted.

(4)上記形態のネットワークシステムにおいて、前記接続部は、公衆無線LANと、公衆有線LANと、公衆無線回線とのうち、いずれかを介して前記通信端末を前記外部ネットワークに接続してもよい。この形態のネットワークシステムによれば、公衆無線LANと、公衆有線LANと、公衆無線回線とのうちのいずれかにおいて、暗号化が行われない又は暗号化方式が脆弱な方式であっても、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させることができる。   (4) In the network system of the above aspect, the connection unit may connect the communication terminal to the external network via any one of a public wireless LAN, a public wired LAN, and a public wireless line. . According to the network system of this aspect, even if the encryption is not performed or the encryption method is weak in any one of the public wireless LAN, the public wired LAN, and the public wireless line, it is high. The communication terminal can be connected to the external network while ensuring the security level.

(5)上記形態のネットワークシステムにおいて、前記接続部は、公衆無線LANを介して前記通信端末を前記外部ネットワークに接続し、前記通信端末は、さらに、前記公衆無線LANに用いられている無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされたか否かを判定する判定部を有し、前記VPNクライアント機能部は、前記接続部により前記通信端末が前記外部ネットワークに接続され、かつ、前記判定部により前記所定の条件が満たされたと判定された場合に、前記仮想プライベートネットワークを確立する処理を実行してもよい。この形態のネットワークシステムによれば、無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされない場合には、VPNを確立する処理を省略することができる。したがって、常にVPNを確立する処理を実行する構成に比べて、通信端末と、外部ネットワークに接続された他の装置との間で通信を実行する際に、VPNの確立のための処理時間を短縮できると共に、VPNを介した通信に要する専用の処理(カプセル化や暗号化や復号など)を省略できる。このため、かかる通信におけるレイテンシーの増大およびスループットの低減を抑制できる。   (5) In the network system of the above aspect, the connection unit connects the communication terminal to the external network via a public wireless LAN, and the communication terminal further includes a wireless LAN used for the public wireless LAN. A determination unit configured to determine whether or not a predetermined condition relating to an encryption method at an access point is satisfied, wherein the VPN client function unit is connected to the external network by the connection unit, and When the determination unit determines that the predetermined condition is satisfied, a process for establishing the virtual private network may be executed. According to this form of the network system, when a predetermined condition regarding the encryption method at the wireless LAN access point is not satisfied, the process of establishing the VPN can be omitted. Therefore, the processing time for establishing the VPN is shortened when communication is performed between the communication terminal and another device connected to the external network, as compared with the configuration in which the process of always establishing the VPN is executed. In addition, dedicated processing (encapsulation, encryption, decryption, etc.) required for communication via the VPN can be omitted. For this reason, it is possible to suppress an increase in latency and a reduction in throughput in such communication.

(6)上記形態のネットワークシステムにおいて、前記所定の条件は、前記無線LANアクセスポイントにおける暗号化方式が所定の暗号化方式である、との条件と、前記無線LANアクセスポイントにおいて暗号化を行わない、との条件と、前記無線LANアクセスポイントが所定の事業者の無線LANアクセスポイントである、との条件と、のうち、いずれかを含んでもよい。この形態のネットワークシステムによれば、所定の暗号化方式が脆弱な暗号化方式であり、所定の事業者が脆弱な暗号化方式を採用する又は暗号化を行わない事業者であっても、VPNを利用して通信端末と外部ネットワークに接続されている他の装置との間の通信を実現できる。このため、高セキュリティレベルを確保した通信を実現できる。加えて、公衆無線LANにおけるセキュリティレベルが高い場合には、VPNを確立する処理を省略することができる。したがって、通信端末と、外部ネットワークに接続されている他の装置との間の通信におけるレイテンシーの増大およびスループットの低減を抑制できる。   (6) In the network system of the above aspect, the predetermined condition includes a condition that an encryption method at the wireless LAN access point is a predetermined encryption method, and encryption is not performed at the wireless LAN access point. , And a condition that the wireless LAN access point is a wireless LAN access point of a predetermined operator. According to the network system of this form, even if the predetermined encryption method is a weak encryption method and the predetermined operator adopts the weak encryption method or does not perform encryption, the VPN Communication between the communication terminal and other devices connected to the external network can be realized using For this reason, communication with a high security level can be realized. In addition, when the security level in the public wireless LAN is high, the process for establishing the VPN can be omitted. Therefore, it is possible to suppress an increase in latency and a decrease in throughput in communication between the communication terminal and other devices connected to the external network.

(7)上記形態のネットワークシステムにおいて、前記所定の暗号化方式は、WEP(Wired Equivalent Privacy)であり、前記所定の事業者は、前記公衆無線LANにおける暗号化方式として、WEPを採用する事業者であってもよい。この形態のネットワークシステムによれば、無線LANアクセスポイント(公衆無線LAN)が、脆弱なWEPを暗号化方式として採用する場合に、VPNを利用して通信端末と外部ネットワークに接続されている他の装置との間の通信を実現するので、高セキュリティレベルを確保した通信を実現できる。   (7) In the network system of the above aspect, the predetermined encryption method is WEP (Wired Equivalent Privacy), and the predetermined operator is an operator adopting WEP as an encryption method in the public wireless LAN. It may be. According to this form of the network system, when the wireless LAN access point (public wireless LAN) adopts vulnerable WEP as an encryption method, other networks connected to the communication terminal and the external network using VPN are used. Since communication with the apparatus is realized, communication with a high security level can be realized.

(8)本発明の第2の形態によれば、通信端末が提供される。この通信端末は、外部ネットワークを介して、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と通信可能な通信端末であって、前記外部ネットワークに接続するための接続部と、前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、を備える。この形態の通信端末によれば、VPNクライアント機能部は、通信端末が外部ネットワークに接続されると、通信端末とネットワーク装置との間にVPNを確立するので、VPNを確立するためのユーザの作業を省略できる。加えて、通信実行部は、VPNおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行うので、通信端末が外部ネットワークに接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ、通信端末と他の装置との通信を実現することができる。以上から、本形態の通信端末によれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続することができる。   (8) According to the second aspect of the present invention, a communication terminal is provided. The communication terminal is a communication terminal capable of communicating with a network device that can operate as a virtual private network (VPN) server via an external network, and includes a connection unit for connecting to the external network, and the connection unit. When the communication terminal is connected to the external network, a VPN client function unit that executes a process of establishing a virtual private network between the communication terminal and the network device, the virtual private network, and the network device A communication execution unit that communicates with another device connected to the external network different from the network device. According to the communication terminal of this embodiment, the VPN client function unit establishes the VPN between the communication terminal and the network device when the communication terminal is connected to the external network. Therefore, the user's work for establishing the VPN is performed. Can be omitted. In addition, since the communication execution unit communicates with other devices connected to an external network different from the network device via the VPN and the network device, encryption is performed when the communication terminal connects to the external network. Even when the encryption method is not performed or the encryption method is weak (low security level), communication between the communication terminal and another device can be realized while ensuring a high security level. From the above, according to the communication terminal of the present embodiment, the communication terminal can be connected to the external network easily while ensuring a high security level.

上述した本発明の各形態の有する複数の構成要素はすべてが必須のものではなく、上述の課題の一部又は全部を解決するため、あるいは、本明細書に記載された効果の一部又は全部を達成するために、適宜、前記複数の構成要素の一部の構成要素について、その変更、削除、新たな他の構成要素との差し替え、限定内容の一部削除を行うことが可能である。また、上述の課題の一部又は全部を解決するため、あるいは、本明細書に記載された効果の一部又は全部を達成するために、上述した本発明の一形態に含まれる技術的特徴の一部又は全部を上述した本発明の他の形態に含まれる技術的特徴の一部又は全部と組み合わせて、本発明の独立した一形態とすることも可能である。   A plurality of constituent elements of each aspect of the present invention described above are not indispensable, and some or all of the effects described in the present specification are to be solved to solve part or all of the above-described problems. In order to achieve the above, it is possible to appropriately change, delete, replace with another new component, and partially delete the limited contents of some of the plurality of components. In order to solve part or all of the above-described problems or to achieve part or all of the effects described in this specification, technical features included in one embodiment of the present invention described above. A part or all of the technical features included in the other aspects of the present invention described above may be combined to form an independent form of the present invention.

例えば、本発明の一形態は、ネットワーク装置と、通信端末との2つの要素の内の一つ以上の要素を備えたシステムとして実現可能である。すなわち、このシステムは、ネットワーク装置を有していても、有していなくても良い。また、システムは、通信端末を有していても、有していなくても良い。通信端末は、接続部を有していても、有していなくても良い。また、通信端末は、VPNクライアント機能部を有していても、有していなくても良い。また、通信端末は、通信実行部を有していても、有していなくても良い。接続部は、例えば、外部ネットワークに接続するための接続部として構成されてもよい。VPNクライアント機能部は、例えば、接続部により通信端末が外部ネットワークに接続されると、仮想プライベートネットワークを、通信端末とネットワーク装置との間に確立する処理を実行するVPNクライアント機能部として構成されてもよい。通信実行部は、例えば、仮想プライベートネットワークおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行う通信実行部として構成されてもよい。こうした装置は、例えば、ネットワークシステムとして実現できるが、ネットワークシステム以外の他のシステムとしても実現可能である。このような形態によれば、システムの小型化や、低コスト化、省資源化、省電力化、製造の容易化、使い勝手の向上等の種々の課題の少なくとも1つを解決することができる。前述したネットワークシステムの各形態の技術的特徴の一部又は全部は、いずれもこのシステムに適用することが可能である。   For example, one embodiment of the present invention can be realized as a system including one or more elements of two elements of a network device and a communication terminal. That is, this system may or may not have a network device. The system may or may not have a communication terminal. The communication terminal may or may not have a connection part. The communication terminal may or may not have the VPN client function unit. The communication terminal may or may not have a communication execution unit. The connection unit may be configured as a connection unit for connecting to an external network, for example. The VPN client function unit is configured as, for example, a VPN client function unit that executes processing for establishing a virtual private network between a communication terminal and a network device when the communication terminal is connected to an external network by a connection unit. Also good. For example, the communication execution unit may be configured as a communication execution unit that communicates with another device connected to an external network different from the network device via a virtual private network and a network device. Such an apparatus can be realized as a network system, for example, but can also be realized as a system other than the network system. According to such a form, it is possible to solve at least one of various problems such as downsizing of the system, cost reduction, resource saving, power saving, easy manufacturing, and improvement in usability. Any or all of the technical features of each form of the network system described above can be applied to this system.

また、例えば、本発明の他の形態は、接続部と、VPNクライアント機能部と、通信実行部と、の3つの要素の内の一つ以上の要素を備えた装置として実現可能である。すなわち、この装置は、接続部を有していても、有していなくても良い。また、装置は、VPNクライアント機能部を有していても、有していなくても良い。また、装置は、通信実行部を有していても、有していなくても良い。接続部は、例えば、外部ネットワークに接続するための接続部として構成されてもよい。VPNクライアント機能部は、例えば、接続部により通信端末が外部ネットワークに接続されると、仮想プライベートネットワークを、通信端末とネットワーク装置との間に確立する処理を実行するVPNクライアント機能部として構成されてもよい。通信実行部は、仮想プライベートネットワークおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行う通信実行部として構成されてもよい。こうした装置は、例えば、通信端末として実現できるが、通信端末以外の他の装置としても実現可能である。このような形態によれば、装置の小型化や、低コスト化、省資源化、省電力化、製造の容易化、使い勝手の向上等の種々の課題の少なくとも1つを解決することができる。前述した通信端末の各形態の技術的特徴の一部又は全部は、いずれもこの装置に適用することが可能である。   Further, for example, another embodiment of the present invention can be realized as an apparatus including one or more elements among the three elements of the connection unit, the VPN client function unit, and the communication execution unit. That is, this apparatus may or may not have a connection portion. Further, the apparatus may or may not have a VPN client function unit. The apparatus may or may not have a communication execution unit. The connection unit may be configured as a connection unit for connecting to an external network, for example. The VPN client function unit is configured as, for example, a VPN client function unit that executes processing for establishing a virtual private network between a communication terminal and a network device when the communication terminal is connected to an external network by a connection unit. Also good. The communication execution unit may be configured as a communication execution unit that communicates with another device connected to an external network different from the network device via the virtual private network and the network device. Such a device can be realized as a communication terminal, for example, but can also be realized as a device other than the communication terminal. According to such a form, it is possible to solve at least one of various problems such as downsizing of the apparatus, cost reduction, resource saving, power saving, easy manufacturing, and improvement in usability. Any or all of the technical features of each form of the communication terminal described above can be applied to this apparatus.

本発明は、種々の形態で実現することも可能である。例えば、外部ネットワークに接続されている装置と通信を行う方法や、通信端末を制御する方法や、これらの方法を実現するコンピュータプログラム、そのコンピュータプログラムを記録した一時的でない記録媒体等の形態で実現することができる。   The present invention can be realized in various forms. For example, realized in the form of a method for communicating with a device connected to an external network, a method for controlling a communication terminal, a computer program for realizing these methods, a non-temporary recording medium on which the computer program is recorded, etc. can do.

本発明の一実施形態としてのネットワークシステムの概略構成を示す説明図である。It is explanatory drawing which shows schematic structure of the network system as one Embodiment of this invention. 図1に示す通信端末100の詳細構成を示すブロック図である。It is a block diagram which shows the detailed structure of the communication terminal 100 shown in FIG. 図1に示すネットワーク装置200の詳細構成を示すブロック図である。It is a block diagram which shows the detailed structure of the network device 200 shown in FIG. 第1実施形態におけるVPN設定情報設定処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the VPN setting information setting process in 1st Embodiment. 第1実施形態におけるDDNS情報登録処理の詳細手順を示すフローチャートである。It is a flowchart which shows the detailed procedure of the DDNS information registration process in 1st Embodiment. 第1実施形態における通信処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the communication process in 1st Embodiment. 第2実施形態の通信処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the communication process of 2nd Embodiment. 第3実施形態における通信端末100aの詳細構成を示すブロック図である。It is a block diagram which shows the detailed structure of the communication terminal 100a in 3rd Embodiment. 第3実施形態における通信処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the communication process in 3rd Embodiment. 第4実施形態におけるネットワークシステムの構成を示す説明図である。It is explanatory drawing which shows the structure of the network system in 4th Embodiment.

A.第1実施形態:
A1.システム構成:
図1は、本発明の一実施形態としてのネットワークシステムの概略構成を示す説明図である。ネットワークシステム500は、通信端末100と、ネットワーク装置200と、DDNS(Dynamic Domain Name Service)サーバ300とを備えている。ネットワークシステム500は、通信端末100を、自宅HMおよびホットスポットHSからそれぞれインターネットINTに接続されている装置(例えば、サーバSV1)と通信させることができる。
A. First embodiment:
A1. System configuration:
FIG. 1 is an explanatory diagram showing a schematic configuration of a network system as an embodiment of the present invention. The network system 500 includes a communication terminal 100, a network device 200, and a DDNS (Dynamic Domain Name Service) server 300. The network system 500 can cause the communication terminal 100 to communicate with a device (for example, the server SV1) connected to the Internet INT from the home HM and the hot spot HS.

通信端末100は、携帯可能な可搬型の端末であり、ユーザによって、自宅HMおよびホットスポットHSに自在に配置され得る。本実施形態では、通信端末100は携帯電話装置であるものとして説明する。ネットワーク装置200は、自宅HMに配置されている。   The communication terminal 100 is a portable portable terminal, and can be freely arranged at the home HM and the hot spot HS by a user. In the present embodiment, the communication terminal 100 will be described as a mobile phone device. The network device 200 is disposed in the home HM.

DDNSサーバ300は、IETF(Internet Engineering Task Force)によってRFC2136として規格化されたダイナミックDNSを実行するサーバであり、インターネットINTに接続されている。DDNSサーバ300の構成は公知のDDNSサーバの構成と同じであるので、説明を省略する。   The DDNS server 300 is a server that executes dynamic DNS standardized as RFC2136 by IETF (Internet Engineering Task Force), and is connected to the Internet INT. Since the configuration of the DDNS server 300 is the same as the configuration of a known DDNS server, description thereof is omitted.

自宅HMには、ネットワーク装置200が配置されている。ネットワーク装置200は、図示しないモデム等を介してインターネットINTに接続されている。ホットスポットHSには、無線LANアクセスポイントa1とルータ装置r1とが配置されている。無線LANアクセスポイントa1は、公衆無線LAN400を構成し、通信端末100と無線接続されている。また、無線LANアクセスポイントa1は、ルータ装置r1と接続されている。ルータ装置r1は、インターネットINTに接続されている。ホットスポットHSでは、通信端末100等の無線LANクライアントは、公衆無線LAN400(無線LANアクセスポイントa1)と、ルータ装置r1とを介して、インターネットINTに接続されている装置(例えば、サーバSV1)と通信することができる。なお、無線LANアクセスポイントa1およびルータ装置r1は、ホットスポットHSに用いられる公知の無線LANアクセスポイントおよびルータ装置と同じであるので、説明を省略する。   A network device 200 is arranged in the home HM. The network device 200 is connected to the Internet INT via a modem (not shown). In the hot spot HS, a wireless LAN access point a1 and a router device r1 are arranged. The wireless LAN access point a1 constitutes a public wireless LAN 400 and is wirelessly connected to the communication terminal 100. The wireless LAN access point a1 is connected to the router device r1. The router device r1 is connected to the Internet INT. In the hot spot HS, a wireless LAN client such as the communication terminal 100 communicates with a device (for example, the server SV1) connected to the Internet INT via the public wireless LAN 400 (wireless LAN access point a1) and the router device r1. Can communicate. Note that the wireless LAN access point a1 and the router device r1 are the same as the known wireless LAN access point and router device used for the hot spot HS, and thus description thereof is omitted.

ネットワークシステム500では、ホットスポットHSにおいて、通信端末100がサーバSV1と通信する際に、仮想プライベートネットワーク(以下、「VPN」(Virtual Private Network)と呼ぶ)900を確立し、VPN900を介して通信を実行することにより、高いセキュリティレベルを確保する。図1に示すように、VPN900は、通信端末100とネットワーク装置200との間に形成される。   In the network system 500, when the communication terminal 100 communicates with the server SV1 in the hot spot HS, a virtual private network (hereinafter referred to as “VPN” (Virtual Private Network)) 900 is established, and communication is performed via the VPN 900. By executing it, a high security level is ensured. As shown in FIG. 1, the VPN 900 is formed between the communication terminal 100 and the network device 200.

図2は、図1に示す通信端末100の詳細構成を示すブロック図である。通信端末100は、表示部30と、無線LAN通信制御部42と、移動体通信制御部44と、音声入出力部52と、操作部54と、撮像部56と、CPU(Central Processing Unit)10と、メモリ20と、を備えている。これらの各機能部(表示部30、無線LAN通信制御部42、移動体通信制御部44、音声入出力部52、操作部54、撮像部56、CPU10およびメモリ20)は、いずれも内部バス60に接続されており、互いに通信可能に構成されている。なお、通信端末100は、図示しないバッテリーを搭載しており、各機能部は、バッテリーから供給される電力により動作する。   FIG. 2 is a block diagram showing a detailed configuration of communication terminal 100 shown in FIG. The communication terminal 100 includes a display unit 30, a wireless LAN communication control unit 42, a mobile communication control unit 44, a voice input / output unit 52, an operation unit 54, an imaging unit 56, and a CPU (Central Processing Unit) 10. And a memory 20. Each of these functional units (the display unit 30, the wireless LAN communication control unit 42, the mobile communication control unit 44, the voice input / output unit 52, the operation unit 54, the imaging unit 56, the CPU 10 and the memory 20) is all internal bus 60. And are configured to be able to communicate with each other. Note that the communication terminal 100 is equipped with a battery (not shown), and each functional unit operates with electric power supplied from the battery.

表示部30は、タッチパネル式のディスプレイにより構成されており、メモリ20に格納されている画像や各種メニュー画面等を表示し、また、タッチペンや指等の接触状態に関する情報を出力する。   The display unit 30 is configured by a touch panel display, displays an image stored in the memory 20, various menu screens, and the like, and outputs information related to a touch state of a touch pen, a finger, and the like.

無線LAN通信制御部42は、変調器やアンプ、アンテナを含み、例えばIEEE802.11a/b/g/nに準拠した無線LANのクライアントとして、無線LANのアクセスポイントと無線通信を行う。   The wireless LAN communication control unit 42 includes a modulator, an amplifier, and an antenna, and performs wireless communication with a wireless LAN access point as a wireless LAN client compliant with, for example, IEEE802.11a / b / g / n.

移動体通信制御部44は、変調器やアンプ、アンテナを含み、例えば3G/HSPA(High Speed Packet Access)や、LTE(Long Term Evolution)や、Wimax(Worldwide Interoperability for Microwave Access)などの規格に準拠した無線データ通信を実行する移動体通信端末として、公衆無線回線(移動体通信網)の基地局と無線通信を行う。   The mobile communication control unit 44 includes a modulator, an amplifier, and an antenna, and conforms to standards such as 3G / HSPA (High Speed Packet Access), LTE (Long Term Evolution), and Wimax (Worldwide Interoperability for Microwave Access). As a mobile communication terminal that executes the wireless data communication, wireless communication is performed with a base station of a public wireless line (mobile communication network).

音声入出力部52は、マイク及びスピーカを備え、音声の入力及び出力を行う。操作部54は、各種メニューを選択するための操作ボタン、音量を調整するための操作ボタン、番号や文字列を入力するためのボタン、シャッターボタンなどを備えている。撮像部56は、CCD(Charge Coupled Device)等の撮像素子や光学レンズを備え、被写体を撮影して画像データを取得する。   The voice input / output unit 52 includes a microphone and a speaker, and inputs and outputs voice. The operation unit 54 includes operation buttons for selecting various menus, operation buttons for adjusting the volume, buttons for inputting numbers and character strings, shutter buttons, and the like. The imaging unit 56 includes an imaging element such as a CCD (Charge Coupled Device) and an optical lens, captures a subject, and acquires image data.

CPU10は、メモリ20に記憶されている制御プログラムを実行することにより、接続部10a、VPNクライアント機能部10b、通信実行部10c、表示制御部10d、通話制御部10e、VPN設定情報受信部10fとして、機能する。   The CPU 10 executes a control program stored in the memory 20 to obtain a connection unit 10a, a VPN client function unit 10b, a communication execution unit 10c, a display control unit 10d, a call control unit 10e, and a VPN setting information receiving unit 10f. ,Function.

接続部10aは、無線LAN通信制御部42を制御して無線LANアクセスポイントとの間で通信を実行する。接続部10aは、VPN900を介して通信を行う場合には、VPNクライアント機能部10bから暗号化後のデータを受け取り、かかるデータを、無線LAN通信制御部42を介して無線電波として出力する。また、接続部10aは、無線LAN通信制御部42を介して受信した通信データを、VPNクライアント機能部10bに渡す。   The connection unit 10a controls the wireless LAN communication control unit 42 to execute communication with the wireless LAN access point. When communicating via the VPN 900, the connection unit 10a receives the encrypted data from the VPN client function unit 10b and outputs the data as a radio wave via the wireless LAN communication control unit 42. Further, the connection unit 10a passes the communication data received via the wireless LAN communication control unit 42 to the VPN client function unit 10b.

VPNクライアント機能部10bは、VPNを実現するための所定のプロトコルを実行し、対向するVPNサーバとの間でVPNを確立するための処理や、VPN確立後における通信データのカプセル化処理、暗号化及び復号処理を実行する。本実施形態では、VPNを実現するための所定のプロトコルとして、IETFによって規格化されたIPSec(Security Architecture for Internet Protocol)を用いる。VPNクライアント機能部10bは、通信実行部10cから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化して接続部10aに渡す。また、VPNクライアント機能部10bは、接続部10aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部10cに渡す。   The VPN client function unit 10b executes a predetermined protocol for realizing the VPN, establishes a VPN with the opposing VPN server, and encapsulates and encrypts communication data after establishing the VPN. And the decoding process is executed. In the present embodiment, IPSec (Security Architecture for Internet Protocol) standardized by IETF is used as a predetermined protocol for realizing VPN. Upon receiving the communication data (packet) from the communication execution unit 10c, the VPN client function unit 10b adds a VPN header, encrypts it, and passes it to the connection unit 10a. When the VPN client function unit 10b receives the communication data (packet) from the connection unit 10a, the VPN client function unit 10b executes a decoding process, removes the VPN header, and passes it to the communication execution unit 10c.

通信実行部10cは、通信相手との間において、所定の通信プロトコルを実行することによりアプリケーションデータの送受信を行う。具体的には、通信実行部10cは、アプリケーションから受け取ったデータを、通信相手を宛先とするパケットとして組み立ててVPNクライアント機能部10bに渡す。また、VPNクライアント機能部10bから受け取ったデータを解釈して、アプリケーションに渡す。本実施形態では、所定の通信プロトコルとしては、TCP/IP(Transmission Control Protocol / Internet Protocol)を用いる。   The communication execution unit 10c transmits / receives application data to / from a communication partner by executing a predetermined communication protocol. Specifically, the communication execution unit 10c assembles the data received from the application as a packet destined for the communication partner and passes it to the VPN client function unit 10b. The data received from the VPN client function unit 10b is interpreted and passed to the application. In this embodiment, TCP / IP (Transmission Control Protocol / Internet Protocol) is used as the predetermined communication protocol.

表示制御部10dは、表示部30に画像や各種メニュー画面を表示させると共に、表示部30から出力される接触状態に関する情報を受信して、画像と接触位置とに基づき選択されたメニューを特定する。通話制御部10eは、移動体通信網を介した呼制御を行う。VPN設定情報受信部10fは、通信端末100から出力されるVPN設定情報を受信する。   The display control unit 10d causes the display unit 30 to display an image and various menu screens, receives information related to the contact state output from the display unit 30, and specifies the menu selected based on the image and the contact position. . The call control unit 10e performs call control via the mobile communication network. The VPN setting information receiving unit 10 f receives VPN setting information output from the communication terminal 100.

VPN設定情報とは、VPNを介した通信を実現するために必要な各種の情報を意味し、VPN接続情報と、端末認証情報とからなる。VPN接続情報は、VPN900を確立するために用いられる情報であって、複数のVPNクライアントにおいて共通的に用いられる情報である。具体的には、VPN接続情報には、VPNサーバとしてのサーバ名称、VPNの種類、VPN用のポート番号、VPNにおける暗号化方式およびVPNにおける認証方式等の各種情報が含まれる。なお、本実施形態において、サーバ名称として、FQDN(Fully Qualified Domain Name)を用いる。VPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式については、予めユーザ(管理者)によって設定されている。端末認証情報は、VPN900を介した通信が許可されている装置であるか否かの認証に用いられる情報であり、各VPNクライアントごとに設定される。具体的には、端末認証情報として、ユーザ名およびパスワードや、クライアント証明書など、認証方式に応じた認証用の情報が含まれる。   The VPN setting information means various kinds of information necessary for realizing communication via VPN, and includes VPN connection information and terminal authentication information. The VPN connection information is information used for establishing the VPN 900, and is information commonly used in a plurality of VPN clients. Specifically, the VPN connection information includes various information such as a server name as a VPN server, a VPN type, a VPN port number, a VPN encryption method, and a VPN authentication method. In the present embodiment, FQDN (Fully Qualified Domain Name) is used as the server name. The VPN type, VPN port number, VPN encryption method and authentication method are set in advance by the user (administrator). The terminal authentication information is information used for authentication as to whether or not the communication through the VPN 900 is permitted, and is set for each VPN client. Specifically, the terminal authentication information includes information for authentication corresponding to the authentication method, such as a user name and password, and a client certificate.

メモリ20は、フラッシュメモリやROM(Read Only Memory)等の記憶装置により構成される。メモリ20には、上述した制御プログラムに加えて、VPN設定情報格納部20aが記憶されている。VPN設定情報格納部20aには、後述するVPN設定情報設定処理により、VPN設定情報が格納される。   The memory 20 is configured by a storage device such as a flash memory or a ROM (Read Only Memory). In addition to the control program described above, the memory 20 stores a VPN setting information storage unit 20a. VPN setting information is stored in the VPN setting information storage unit 20a by VPN setting information setting processing described later.

図3は、図1に示すネットワーク装置200の詳細構成を示すブロック図である。ネットワーク装置200は、いわゆる無線ルータ装置であり、ルータ装置として機能すると共に無線LANアクセスポイント装置としても機能する。ネットワーク装置200は、有線LAN通信制御部230と、無線LAN通信制御部240と、CPU210と、メモリ220とを備えている。これらの各機能部(有線LAN通信制御部230、無線LAN通信制御部240、CPU210、メモリ220)は、いずれも内部バス260に接続されており、互いに通信可能に構成されている。   FIG. 3 is a block diagram showing a detailed configuration of the network device 200 shown in FIG. The network device 200 is a so-called wireless router device, and functions as a router device as well as a wireless LAN access point device. The network device 200 includes a wired LAN communication control unit 230, a wireless LAN communication control unit 240, a CPU 210, and a memory 220. Each of these functional units (wired LAN communication control unit 230, wireless LAN communication control unit 240, CPU 210, memory 220) is connected to the internal bus 260 and configured to be able to communicate with each other.

有線LAN通信制御部230は、図示しないモデムと接続するためのインターフェイスとして、有線LANインターフェイスを備えている。有線LANインターフェイスとしては、例えば、IEEE(Institute of Electrical and Electronics Engineers)802.3において規格化された各種インターフェイスを採用することができる。   The wired LAN communication control unit 230 includes a wired LAN interface as an interface for connecting to a modem (not shown). As the wired LAN interface, for example, various interfaces standardized in IEEE (Institute of Electrical and Electronics Engineers) 802.3 can be adopted.

無線LAN通信制御部240は、変調器やアンプ、アンテナを含み、例えばIEEE802.11a/b/g/nに準拠した無線LANのアクセスポイントとして、無線LANクライアント(例えば、通信端末100)と無線通信を行う。   The wireless LAN communication control unit 240 includes a modulator, an amplifier, and an antenna. For example, as a wireless LAN access point compliant with IEEE802.11a / b / g / n, wireless LAN communication control unit 240 performs wireless communication with a wireless LAN client (for example, communication terminal 100). I do.

CPU210は、メモリ220に記憶されている制御プログラムを実行することにより、パケット中継部210a、VPNサーバ機能部210b、端末認証情報生成部210c、VPN設定情報送信部210d、通信実行部210eとして、機能する。   The CPU 210 functions as a packet relay unit 210a, a VPN server function unit 210b, a terminal authentication information generation unit 210c, a VPN setting information transmission unit 210d, and a communication execution unit 210e by executing a control program stored in the memory 220. To do.

パケット中継部210aは、有線LAN通信制御部230または無線LAN通信制御部240から受信したフレームを、OSI(Open Systems Interconnection)参照モデルにおけるレイヤ2または3において中継する。また、パケット中継部210aは、VPNサーバ機能部210bから受け取ったパケットの宛先に応じて、宛先の書き換えやフレームへの変換を行って、有線LAN通信制御部230または無線LAN通信制御部240に出力する。   The packet relay unit 210a relays the frame received from the wired LAN communication control unit 230 or the wireless LAN communication control unit 240 in layer 2 or 3 in the OSI (Open Systems Interconnection) reference model. Further, the packet relay unit 210a performs rewriting of the destination or conversion into a frame according to the destination of the packet received from the VPN server function unit 210b, and outputs the destination to the wired LAN communication control unit 230 or the wireless LAN communication control unit 240. To do.

VPNサーバ機能部210bは、VPNを実現するための所定のプロトコル(IPSec)を実行し、対向するVPNサーバとの間でVPN(VPNトンネル)を確立するための処理や、VPN確立後における通信データのカプセル化処理や暗号化及び復号処理を実行する。VPNサーバ機能部210bは、通信実行部210eから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化して接続部10aに渡す。また、VPNサーバ機能部210bは、パケット中継部210aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部210eに渡す。   The VPN server function unit 210b executes a predetermined protocol (IPSec) for realizing the VPN and establishes a VPN (VPN tunnel) with the opposing VPN server, and communication data after the VPN is established Encapsulation processing and encryption / decryption processing are executed. When the VPN server function unit 210b receives communication data (packet) from the communication execution unit 210e, the VPN server function unit 210b adds a VPN header and encrypts it and passes it to the connection unit 10a. When the VPN server function unit 210b receives the communication data (packet) from the packet relay unit 210a, the VPN server function unit 210b executes a decoding process, removes the VPN header, and passes it to the communication execution unit 210e.

端末認証情報生成部210cは、後述するVPN設定情報設定処理において、端末認証情報を生成する。VPN設定情報送信部210dは、後述するVPN設定情報設定処理において、VPN設定情報を通信端末100に送信する。通信実行部210eは、図2に示す通信端末100の通話制御部10eと同様の構成であるので、説明を省略する。   The terminal authentication information generation unit 210c generates terminal authentication information in a VPN setting information setting process described later. The VPN setting information transmission unit 210d transmits the VPN setting information to the communication terminal 100 in a VPN setting information setting process described later. The communication execution unit 210e has the same configuration as the call control unit 10e of the communication terminal 100 shown in FIG.

メモリ220は、フラッシュメモリやROM等の記憶装置により構成される。メモリ220には、上述した制御プログラムに加えて、経路選択テーブル格納部221と、VPN設定情報格納部222とが記憶されている。経路選択テーブル格納部221は、パケット中継部210aにおいてパケットまたはフレームの中継経路を選択する際に参照される各種テーブル(MAC(Media Access Control)テーブルや、ルーティングテーブル)が記憶されている。   The memory 220 is configured by a storage device such as a flash memory or a ROM. In addition to the control program described above, the memory 220 stores a route selection table storage unit 221 and a VPN setting information storage unit 222. The route selection table storage unit 221 stores various tables (MAC (Media Access Control) table and routing table) that are referred to when the packet relay unit 210a selects a packet or frame relay route.

VPN設定情報格納部222には、VPN設定情報(VPN接続情報および端末認証情報)が記憶されている。なお、初期状態においては、VPN接続情報はVPN設定情報格納部222に格納されていない。VPN設定情報格納部222において、端末認証情報は、各端末の識別情報と対応付けて格納されている。本実施形態では、各端末の識別情報として、各端末のMAC(Media Access Control)アドレスが用いられる。   The VPN setting information storage unit 222 stores VPN setting information (VPN connection information and terminal authentication information). Note that VPN connection information is not stored in the VPN setting information storage unit 222 in the initial state. In the VPN setting information storage unit 222, the terminal authentication information is stored in association with the identification information of each terminal. In this embodiment, the MAC (Media Access Control) address of each terminal is used as identification information of each terminal.

以上の構成を有するネットワークシステム500において、通信端末100が自宅HMにおいてサーバSV1と通信する場合、通信端末100は、自宅HMに設置されているネットワーク装置200を介してインターネットINTに接続する。したがって、この場合、第三者によって通信データが盗聴される可能性は低い。これに対して、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、公衆無線LAN400におけるセキュリティレベルが低い場合(例えば、公衆無線LAN400において暗号化を行わない場合や、暗号化方式が脆弱なWEP(Wired Equivalent Privacy)である場合)、公衆無線LAN400において通信データが盗聴されるおそれがある。そこで、ネットワークシステム500では、後述するVPN設定情報設定処理および通信処理を実行することにより、簡易に、かつ、高いセキュリティレベルを確保しつつ、通信端末100を、インターネットINTに接続させて、サーバSV1と通信させることができる。   In the network system 500 having the above configuration, when the communication terminal 100 communicates with the server SV1 in the home HM, the communication terminal 100 connects to the Internet INT via the network device 200 installed in the home HM. Therefore, in this case, there is a low possibility that communication data is wiretapped by a third party. On the other hand, when the communication terminal 100 communicates with the server SV1 in the hot spot HS, the security level in the public wireless LAN 400 is low (for example, encryption is not performed in the public wireless LAN 400, or the encryption method is weak). In the case of WEP (Wired Equivalent Privacy), communication data may be wiretapped in the public wireless LAN 400. Therefore, in the network system 500, the VPN setting information setting process and the communication process, which will be described later, are executed, and the server SV1 is connected to the Internet INT easily and while ensuring a high security level. Can be communicated with.

A2.VPN設定情報設定処理:
図4は、第1実施形態におけるVPN設定情報設定処理の手順を示すフローチャートである。通信端末100が自宅HMに配置され、通信端末100(無線LANクライアント)とネットワーク装置200(無線LANアクセスポイント)との間で無線接続が確立されると、ネットワーク装置200において、VPN設定情報設定処理が実行される。
A2. VPN setting information setting process:
FIG. 4 is a flowchart showing a procedure of VPN setting information setting processing in the first embodiment. When the communication terminal 100 is placed in the home HM and a wireless connection is established between the communication terminal 100 (wireless LAN client) and the network device 200 (wireless LAN access point), the network device 200 performs VPN setting information setting processing. Is executed.

ネットワーク装置200のVPNサーバ機能部210bは、VPN設定情報格納部222に格納されているVPN設定情報を参照して、無線接続された無線LANクライアント(通信端末100)について、既に端末認証情報が設定済みであるか否かを判定する(ステップS105)。上述したように、VPN設定情報格納部222には、各VPNクライアントのMACアドレスと端末認証情報とが対応付けて記憶されているため、VPNサーバ機能部210bは、通信端末100のMACアドレスおよび端末認証情報がVPN設定情報格納部222に既に格納されている場合には、通信端末100について端末認証情報が設定済みであると判定できる。   The VPN server function unit 210b of the network device 200 refers to the VPN setting information stored in the VPN setting information storage unit 222, and the terminal authentication information has already been set for the wireless LAN client (communication terminal 100) connected wirelessly. It is determined whether or not it has been completed (step S105). As described above, since the VPN setting information storage unit 222 stores the MAC address of each VPN client and the terminal authentication information in association with each other, the VPN server function unit 210b includes the MAC address of the communication terminal 100 and the terminal. When the authentication information is already stored in the VPN setting information storage unit 222, it can be determined that the terminal authentication information has been set for the communication terminal 100.

無線接続された無線LANクライアントについて、既に端末認証情報が設定済みであると判定されると(ステップS105:YES)、VPN設定情報設定処理は終了する。これに対して、無線接続された無線LANクライアントについて、端末認証情報が設定されていないと判定されると(ステップS105:NO)、VPNサーバ機能部210bは、VPN設定情報格納部222を参照して、VPN接続情報は生成済みであるか否かを判定する(ステップS110)。   If it is determined that the terminal authentication information has already been set for the wirelessly connected wireless LAN client (step S105: YES), the VPN setting information setting process ends. On the other hand, when it is determined that the terminal authentication information is not set for the wireless LAN client connected wirelessly (step S105: NO), the VPN server function unit 210b refers to the VPN setting information storage unit 222. Then, it is determined whether the VPN connection information has been generated (step S110).

例えば、ネットワーク装置200にいずれかの無線LANクライアントが初めて無線接続した場合には、VPN接続情報は生成されていない。この場合、前述のステップS110において、VPN接続情報は生成済みではないと判定される。このように、VPN接続情報は生成済みではないと判定されると(ステップS110:NO)、VPNサーバ機能部210bは、DDNS情報登録処理を実行する(ステップS115)。DDNS情報登録処理とは、VPNサーバのサーバ名称と、かかるサーバ名称に対応するグローバルIPアドレスとを、DDNSサーバ300に登録する処理を意味する。VPNサーバは、ネットワーク装置200では、VPNサーバ機能部210bにより実現される。   For example, when any of the wireless LAN clients is wirelessly connected to the network device 200 for the first time, VPN connection information is not generated. In this case, it is determined in step S110 described above that the VPN connection information has not been generated. As described above, when it is determined that the VPN connection information has not been generated (step S110: NO), the VPN server function unit 210b executes a DDNS information registration process (step S115). The DDNS information registration process means a process of registering the server name of the VPN server and the global IP address corresponding to the server name in the DDNS server 300. The VPN server is realized by the VPN server function unit 210b in the network device 200.

図5は、第1実施形態におけるDDNS情報登録処理の詳細手順を示すフローチャートである。VPNサーバ機能部210bは、VPN設定情報格納部222を参照して、VPNサーバのサーバ名称が設定済みであるか否かを判定する(ステップS205)。VPNサーバのサーバ名称は、ユーザ(管理者)が手動でVPN設定情報格納部222に格納することができ、この場合、VPN接続情報のうちサーバ名称のみは設定済みである(生成済みである)と判定される。前述のステップS205において、サーバ名称が設定済みでないと判定されると(ステップS205:NO)、VPNサーバ機能部210bは、サーバ名称を生成する(ステップS210)。サーバ名称の生成方法としては、例えば、ネットワーク装置200の有線LAN通信制御部230のMACアドレスや、無線LAN通信制御部240のMACアドレスをベースとして生成する方法を採用できる。また、例えば、数字や文字から成るランダムな文字列を自動的に生成し、かかる文字列をサーバ名称として用いることもできる。   FIG. 5 is a flowchart showing a detailed procedure of the DDNS information registration process in the first embodiment. The VPN server function unit 210b refers to the VPN setting information storage unit 222 and determines whether the server name of the VPN server has been set (step S205). The server name of the VPN server can be manually stored in the VPN setting information storage unit 222 by the user (administrator). In this case, only the server name in the VPN connection information has been set (generated). It is determined. If it is determined in step S205 described above that the server name has not been set (step S205: NO), the VPN server function unit 210b generates a server name (step S210). As a server name generation method, for example, a method of generating based on the MAC address of the wired LAN communication control unit 230 of the network device 200 or the MAC address of the wireless LAN communication control unit 240 can be employed. Also, for example, a random character string made up of numbers and characters can be automatically generated, and such a character string can be used as a server name.

前述のステップS210が実行された後、または、前述のステップS205においてサーバ名称が設定済みであると判定されると(ステップS205:YES)、VPNサーバ機能部210bは、VPNサーバのサーバ名称と、VPNサーバ用のグローバルIPアドレスとを、インターネットINTを介してDDNSサーバ300に通知して(ステップS215)、DDNS情報登録処理は終了する。なお、DDNSサーバ300のIPアドレスについては、予めユーザによりネットワーク装置200に設定されている。   After the above-described step S210 is executed or when it is determined that the server name has been set in the above-described step S205 (step S205: YES), the VPN server function unit 210b includes the server name of the VPN server, The global IP address for the VPN server is notified to the DDNS server 300 via the Internet INT (step S215), and the DDNS information registration process ends. Note that the IP address of the DDNS server 300 is set in advance in the network device 200 by the user.

DDNSサーバ300では、ネットワーク装置200から通知されたサーバ名称(FQDN)とグローバルIPアドレスとを、DNSデータベースに追加する。これにより、DDNSサーバ300は、VPNサーバのサーバ名称に基づき、VPNサーバに割り当てられたグローバルIPアドレスを特定することができる。   The DDNS server 300 adds the server name (FQDN) and the global IP address notified from the network device 200 to the DNS database. Thereby, the DDNS server 300 can specify the global IP address assigned to the VPN server based on the server name of the VPN server.

図4に示すように、DDNS情報登録処理(ステップS115)が完了すると、VPNサーバ機能部210bは、VPN接続情報の生成および登録(VPN設定情報格納部222への格納))を行う(ステップS120)。具体的には、ステップS115においてDDNSサーバに登録されたサーバ名称や、予めユーザによって設定されたVPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式等の各種情報を集めて、VPN接続情報として、VPN設定情報格納部222に格納する(ステップS120)。   As shown in FIG. 4, when the DDNS information registration process (step S115) is completed, the VPN server function unit 210b generates and registers VPN connection information (stores in the VPN setting information storage unit 222) (step S120). ). Specifically, the server name registered in the DDNS server in step S115, the VPN type set by the user in advance, the port number for VPN, the encryption method and authentication method in VPN, etc. are collected, The VPN connection information is stored in the VPN setting information storage unit 222 (step S120).

上述のステップS120が実行された後、または、前述のステップS110において、VPN接続情報は生成済みであると判定された場合(ステップS110:YES)、VPNサーバ機能部210bは、端末認証情報の生成および登録(VPN設定情報格納部222への格納))を行う(ステップS125)。ユーザ名およびパスワードを生成する方法としては、例えば、サーバ名称の生成方法と同様に、通信端末100の無線LAN通信制御部42のMACアドレスをベースとして生成する方法や、ランダムな文字列を自動的に生成する方法を採用することができる。また、例えば、予めユーザ(管理者)によって設定された値を用いてもよい。   After the above-described step S120 is executed or when it is determined in step S110 that the VPN connection information has been generated (step S110: YES), the VPN server function unit 210b generates the terminal authentication information. And registration (storage in the VPN setting information storage unit 222) (step S125). As a method for generating the user name and password, for example, a method for generating based on the MAC address of the wireless LAN communication control unit 42 of the communication terminal 100 or a random character string is automatically used, as in the server name generating method. The method of generating can be adopted. Further, for example, a value set in advance by a user (administrator) may be used.

VPNサーバ機能部210bは、通信実行部210e、パケット中継部210aおよび無線LAN通信制御部240を介して、無線LANクライアント(通信端末100)に、VPN接続情報および端末認証情報を送信して(ステップS130)、VPN設定情報設定処理は終了する。通信端末100のVPN設定情報受信部10fは、無線LAN通信制御部42および通信実行部10cを介して、ネットワーク装置200から送信されたVPN接続情報および端末認証情報(すなわち、VPN設定情報)を、VPN設定情報格納部20aに格納する。   The VPN server function unit 210b transmits the VPN connection information and the terminal authentication information to the wireless LAN client (communication terminal 100) via the communication execution unit 210e, the packet relay unit 210a, and the wireless LAN communication control unit 240 (step S130), the VPN setting information setting process ends. The VPN setting information receiving unit 10f of the communication terminal 100 receives the VPN connection information and terminal authentication information (that is, VPN setting information) transmitted from the network device 200 via the wireless LAN communication control unit 42 and the communication execution unit 10c. It is stored in the VPN setting information storage unit 20a.

以上のVPN設定情報設定処理が実行され、通信端末100のVPN設定情報格納部20aにVPN設定情報が格納された後において、通信端末100では、アプリケーションによりインターネットINTに接続されている装置(例えば、サーバSV1)との通信要求が発生すると、後述する通信処理が実行される。   After the above VPN setting information setting process is executed and the VPN setting information is stored in the VPN setting information storage unit 20a of the communication terminal 100, the communication terminal 100 is connected to the Internet INT by the application (for example, When a communication request with the server SV1) is generated, a communication process described later is executed.

A3.通信処理:
図6は、第1実施形態における通信処理の手順を示すフローチャートである。通信端末100の接続部10aは、ネットワーク装置200以外の他の無線LANアクセスポイントを検出したか否かを判定し(ステップS305)、他の無線LANアクセスポイントを検出しない場合には前述のステップS305を再度実行する。他の無線LANアクセスポイントの検出は、無線LANアクセスポイントから出力されるビーコンの受信し、かつ、ビーコンに含まれるESSID(Extended Service Set Identifier)がネットワーク装置200のESSIDと異なることを特定することにより検出できる。
A3. Communication processing:
FIG. 6 is a flowchart illustrating a communication processing procedure according to the first embodiment. The connection unit 10a of the communication terminal 100 determines whether another wireless LAN access point other than the network device 200 has been detected (step S305). If no other wireless LAN access point is detected, the above-described step S305 is performed. Run again. Other wireless LAN access points are detected by receiving a beacon output from the wireless LAN access point and specifying that the ESSID (Extended Service Set Identifier) included in the beacon is different from the ESSID of the network device 200. It can be detected.

前述のステップS305において、ネットワーク装置200以外の他の無線LANアクセスポイントを検出した場合には(ステップS305:YES)、接続部10aは、検出した無線LANアクセスポイントとの間における無線接続の確立処理を実行し(ステップS310)、無線接続の確立が完了したか否かを判定する(ステップS315)。例えば、ユーザが通信端末100を自宅HMからホットスポットHSに移動させた場合、通信端末100の接続部10aは、ネットワーク装置200以外の他の無線LANアクセスポイント(無線LANアクセスポイントa1)を検出することになる。この場合、接続部10aは、無線LANアクセスポイントa1との間の無線接続を確立する。   When a wireless LAN access point other than the network device 200 is detected in step S305 described above (step S305: YES), the connection unit 10a establishes a wireless connection with the detected wireless LAN access point. Is executed (step S310), and it is determined whether the establishment of the wireless connection is completed (step S315). For example, when the user moves the communication terminal 100 from the home HM to the hot spot HS, the connection unit 10a of the communication terminal 100 detects a wireless LAN access point (wireless LAN access point a1) other than the network device 200. It will be. In this case, the connection unit 10a establishes a wireless connection with the wireless LAN access point a1.

前述のステップS315において、無線接続の確立が完了しないと判定された場合(ステップS315:NO)、接続部10aは、前述のステップS310を継続して実行する。   When it is determined in step S315 described above that the establishment of the wireless connection is not completed (step S315: NO), the connection unit 10a continues to execute step S310 described above.

これに対して、前述のステップS315において、無線接続の確立が完了したと判定された場合(ステップS315:YES)、VPNクライアント機能部10bは、VPN設定情報格納部20aに格納されているVPN設定情報を参照してVPNサーバのサーバ名称を特定し、かかるサーバ名称に基づきDDNSサーバ300を利用したVPNサーバのアドレス解決を実行する(ステップS320)。上述したように、DDNSサーバ300には、VPNサーバのサーバ名称(FQDN)と、VPNサーバのグローバルIPアドレスとが対応付けて記憶されている。したがって、VPNクライアント機能部10bは、VPNサーバのサーバ名称を指定して問い合わせることにより、DDNSサーバ300からVPNサーバのグローバルIPアドレスを取得することができる。   On the other hand, if it is determined in step S315 described above that the establishment of the wireless connection has been completed (step S315: YES), the VPN client function unit 10b sets the VPN settings stored in the VPN setting information storage unit 20a. The server name of the VPN server is specified with reference to the information, and the address resolution of the VPN server using the DDNS server 300 is executed based on the server name (step S320). As described above, in the DDNS server 300, the server name (FQDN) of the VPN server and the global IP address of the VPN server are stored in association with each other. Therefore, the VPN client function unit 10b can acquire the global IP address of the VPN server from the DDNS server 300 by designating and inquiring the server name of the VPN server.

VPNクライアント機能部10bは、ステップS320において取得したVPNサーバのグローバルIPアドレスを利用して、VPNサーバ(ネットワーク装置200のVPNサーバ機能部210b)との間で接続を行い、暗号化通信を行うための情報を交換する(ステップS325)。この処理は、例えば、IKE(Internet Key Exchange)のフェーズ1の処理に相当する。   The VPN client function unit 10b uses the global IP address of the VPN server acquired in step S320 to connect to the VPN server (VPN server function unit 210b of the network device 200) and perform encrypted communication. Are exchanged (step S325). This process corresponds to, for example, a phase 1 process of IKE (Internet Key Exchange).

VPNクライアント機能部10bは、VPNサーバとの間で、端末認証処理を実行する(ステップS330)。具体的には、VPNクライアント機能部10bは、VPN設定情報を参照して、設定されている認証方式に応じた認証情報(ユーザ名およびパスワードや、クライアント証明書)をVPNサーバに送信する。   The VPN client function unit 10b executes terminal authentication processing with the VPN server (step S330). Specifically, the VPN client function unit 10b refers to the VPN setting information and transmits authentication information (user name and password or client certificate) according to the set authentication method to the VPN server.

VPNクライアント機能部10bは、ネットワーク装置200のVPNサーバ機能部210bとの間において、VPN900を確立する(ステップS335)。上述したステップS330およびS335は、IKEのフェーズ2の処理に相当する。   The VPN client function unit 10b establishes the VPN 900 with the VPN server function unit 210b of the network device 200 (step S335). Steps S330 and S335 described above correspond to IKE phase 2 processing.

前述のステップS335が実行され、VPNが確立すると、通信実行部10cは、VPN900を利用して、通信相手(サーバSV1)と通信を実行する(ステップS340)。図1に示すように、VPN900は、通信端末100(VPNクライアント機能部10b)と、ネットワーク装置200(VPNサーバ機能部210b)との間に形成される。したがって、通信端末100から送信されたデータは、VPN900を通ってネットワーク装置200のVPNサーバ機能部210bにおいて受信される。その後、ネットワーク装置200のパケット中継部210aにおいて、中継経路として、有線LAN通信制御部230から出力される経路が決定され、通信端末100から出力された送信データは、有線LAN通信制御部230および図示しないモデムおよびアクセスネットワークを介してインターネットINTに出力され、サーバSV1に届く。   When step S335 described above is executed and the VPN is established, the communication execution unit 10c uses the VPN 900 to execute communication with the communication partner (server SV1) (step S340). As shown in FIG. 1, the VPN 900 is formed between the communication terminal 100 (VPN client function unit 10b) and the network device 200 (VPN server function unit 210b). Therefore, the data transmitted from the communication terminal 100 is received by the VPN server function unit 210b of the network device 200 through the VPN 900. Thereafter, in the packet relay unit 210a of the network device 200, a route output from the wired LAN communication control unit 230 is determined as a relay route, and transmission data output from the communication terminal 100 is transmitted to the wired LAN communication control unit 230 and the illustrated diagram. Is output to the Internet INT via the modem and the access network, and reaches the server SV1.

ここで、VPN(IPSec)において用いられる暗号化方式は、例えば、公開鍵暗号化方式であり、高いセキュリティレベルを確保可能な方式である。したがって、公衆無線LAN400において暗号化を行わない場合や、公衆無線LAN400における暗号化方式が脆弱なWEPであったとしても、通信端末100とサーバSV1との間の通信において、高セキュリティレベルを確保することができる。   Here, the encryption method used in VPN (IPSec) is, for example, a public key encryption method, which can ensure a high security level. Therefore, even when encryption is not performed in the public wireless LAN 400, or even if the encryption method in the public wireless LAN 400 is weak, a high security level is ensured in communication between the communication terminal 100 and the server SV1. be able to.

以上説明した第1実施形態のネットワークシステム500では、通信処理を実行することにより、通信端末100とネットワーク装置200との間にVPN900を確立し、かかるVPN900を介して、通信端末100とサーバSV1との間の通信を実現する。したがって、公衆無線LAN400において暗号化を行わない場合や、公衆無線LAN400における暗号化方式が比較的脆弱な方式であっても、通信端末100とサーバSV1との間の通信において、高いセキュリティレベルを確保することができる。加えて、ネットワークシステム500では、通信端末100が自宅HMに配置されて通信端末100とネットワーク装置200との間で無線接続が確立されると、VPN設定情報設定処理が実行され、通信端末100およびネットワーク装置200にそれぞれVPN設定情報が自動的に設定される。したがって、ユーザは、通信端末100およびネットワーク装置200に、それぞれVPN設定情報を手作業で設定することを要しない。このように、ネットワークシステム500によると、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100を、インターネットINTに接続させることができる。   In the network system 500 of the first embodiment described above, a VPN 900 is established between the communication terminal 100 and the network device 200 by executing communication processing, and the communication terminal 100 and the server SV1 are connected via the VPN 900. Communication between the two. Accordingly, a high security level is ensured in communication between the communication terminal 100 and the server SV1 even when encryption is not performed in the public wireless LAN 400 or when the encryption method in the public wireless LAN 400 is relatively weak. can do. In addition, in the network system 500, when the communication terminal 100 is placed in the home HM and a wireless connection is established between the communication terminal 100 and the network device 200, VPN setting information setting processing is executed, and the communication terminal 100 and VPN setting information is automatically set in each network device 200. Therefore, the user does not need to manually set the VPN setting information in the communication terminal 100 and the network device 200, respectively. Thus, according to the network system 500, the communication terminal 100 can be easily connected to the Internet INT while ensuring a high security level.

B.第2実施形態:
図7は、第2実施形態の通信処理の手順を示すフローチャートである。第2実施形態のネットワークシステム500は、通信処理において、ステップS317およびS345を追加して実行する点において、第1実施形態のネットワークシステム500と異なり、通信処理の他の手順、VPN設定情報設定処理の各手順およびシステム構成は、第1実施形態のネットワークシステム500と同じである。
B. Second embodiment:
FIG. 7 is a flowchart illustrating a communication processing procedure according to the second embodiment. Unlike the network system 500 of the first embodiment, the network system 500 of the second embodiment differs from the network system 500 of the first embodiment in that steps S317 and S345 are additionally executed in the communication process. Each procedure and system configuration are the same as those of the network system 500 of the first embodiment.

第2実施形態のネットワークシステムでは、無線LANアクセスポイントa1(公衆無線LAN400)において暗号化処理が実行され、かかる暗号化処理において採用される方式がWEP以外の方式の場合には、VPN900を利用しないで通信を行う。   In the network system of the second embodiment, the encryption process is executed at the wireless LAN access point a1 (public wireless LAN 400), and the VPN 900 is not used when the method employed in the encryption process is a method other than WEP. Communicate with.

具体的には、図7に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、接続部10aを制御して、無線LANアクセスポイントにおける暗号化方式が無し(暗号化を行わない)またはWEPであるか否かを判定する(ステップS317)。無線LANアクセスポイントにおける暗号化の有無および暗号化方式は、ステップS305において受信するビーコンに含まれる情報により特定できる。   Specifically, as shown in FIG. 7, when it is determined in step S315 that establishment of a wireless connection is completed (step S315: YES), the VPN client function unit 10b controls the connection unit 10a, It is determined whether the encryption method at the wireless LAN access point is none (no encryption is performed) or WEP (step S317). The presence / absence of encryption and the encryption method in the wireless LAN access point can be specified by information included in the beacon received in step S305.

前述のステップS317において、無線LANアクセスポイントにおける暗号化方式が無しまたはWEPであると判定された場合(ステップS317:YES)、上述したステップS320からステップS340までの各処理が実行される。したがって、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、上述した第1実施形態と同様に、通信端末100は、VPN900、ネットワーク装置200、インターネットINTを介してサーバSV1と通信を行う。   In step S317 described above, when it is determined that the encryption method in the wireless LAN access point is none or WEP (step S317: YES), each process from step S320 to step S340 described above is executed. Therefore, for example, when the communication terminal 100 communicates with the server SV1 in the hot spot HS, the communication terminal 100 communicates with the server SV1 via the VPN 900, the network device 200, and the Internet INT as in the first embodiment described above. Do.

これに対して、ステップS317において、無線LANアクセスポイントにおける暗号化方式がWEP以外の方式であると判定された場合(ステップS317:NO)、通信実行部10cは、VPN900を利用しないで、通信相手(例えば、サーバSV1)と通信を実行する(ステップS345)。ステップS345では、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、通信端末100は、VPN900を介さずに、ホットスポットHS(無線LANアクセスポイントa1およびルータ装置r1)と、インターネットINTとを介してサーバSV1と通信を行う。   On the other hand, when it is determined in step S317 that the encryption method at the wireless LAN access point is a method other than WEP (step S317: NO), the communication execution unit 10c does not use the VPN 900, but the communication partner. (For example, server SV1) and communication are performed (step S345). In step S345, for example, when the communication terminal 100 communicates with the server SV1 in the hot spot HS, the communication terminal 100 connects the hot spot HS (wireless LAN access point a1 and router device r1) to the Internet INT without passing through the VPN 900. And communicate with the server SV1.

以上の構成を有する第2実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、公衆無線LANに用いられる無線LANアクセスポイントにおいて、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、VPN900の確立のための処理や、ソフトウェアによって実現される暗号化処理および復号処理を省略できる。このため、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。   The network system 500 of the second embodiment having the above configuration has the same effects as the network system 500 of the first embodiment. In addition, in the wireless LAN access point used for the public wireless LAN, when encryption is executed by an encryption method other than WEP, the establishment of the VPN 900 and the communication via the VPN 900 are not performed. And the encryption process and the decryption process realized by software can be omitted. For this reason, an increase in latency and a reduction in throughput in such communication can be suppressed.

C.第3実施形態:
図8は、第3実施形態における通信端末100aの詳細構成を示すブロック図である。図9は、第3実施形態における通信処理の手順を示すフローチャートである。第3実施形態のネットワークシステムは、通信端末100aのメモリ20が事業者リスト格納部20bを備えている点と、通信処理において、ステップS318およびS345を追加して実行する点において、第1実施形態のネットワークシステム500と異なり、通信端末100aにおける他の構成、ネットワーク装置200の構成、通信処理の他の手順およびVPN設定情報設定処理の各手順は、第1実施形態のネットワークシステム500と同じである。
C. Third embodiment:
FIG. 8 is a block diagram showing a detailed configuration of the communication terminal 100a in the third embodiment. FIG. 9 is a flowchart illustrating a communication processing procedure according to the third embodiment. The network system of the third embodiment is different from that of the first embodiment in that the memory 20 of the communication terminal 100a includes the provider list storage unit 20b, and that the steps S318 and S345 are additionally performed in the communication process. Unlike the network system 500, the other configuration of the communication terminal 100a, the configuration of the network device 200, the other procedures of the communication processing, and the procedures of the VPN setting information setting processing are the same as those of the network system 500 of the first embodiment. .

第3実施形態のネットワークシステムでは、無線LANアクセスポイントa1(公衆無線LAN400)が所定の事業者により提供されている場合には、VPN900を利用して通信を行い、他の事業者により提供されている場合いは、VPN900を利用しないで通信を行う。所定の事業者とは、公衆無線LANにおいて暗号化を行わない事業者または公衆無線LANにおける暗号化方式がWEPである事業者を意味する。   In the network system of the third embodiment, when the wireless LAN access point a1 (public wireless LAN 400) is provided by a predetermined operator, communication is performed using the VPN 900, and is provided by another operator. If so, communication is performed without using the VPN 900. The predetermined operator means an operator that does not perform encryption in the public wireless LAN or an operator whose encryption method in the public wireless LAN is WEP.

図8に示す事業者リスト格納部20bには、予め事業者リストが格納されている。本実施例において、事業者リストには、公衆無線LANにおいて暗号化を行わない事業者または公衆無線LANにおける暗号化方式がWEPである事業者が提供する無線LANアクセスポイントのESSIDの一覧が設定されている。この一覧は、予めユーザ(管理者)によって、事業者リスト格納部20bに格納されている。   The business operator list storage unit 20b shown in FIG. 8 stores a business operator list in advance. In this embodiment, a list of ESSIDs of wireless LAN access points provided by a provider that does not perform encryption in a public wireless LAN or a provider that uses WEP as the encryption method in the public wireless LAN is set in the provider list. ing. This list is stored in advance in the business operator list storage unit 20b by the user (administrator).

図9に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、事業者リスト格納部20bを参照して、ステップS305で取得したESSIDに基づき、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであるか否かを判定する(ステップS318)。   As shown in FIG. 9, when it is determined in step S315 that establishment of a wireless connection has been completed (step S315: YES), the VPN client function unit 10b refers to the provider list storage unit 20b, and performs step S305. Based on the ESSID acquired in step S318, it is determined whether the detected wireless LAN access point is a wireless LAN access point provided by a predetermined operator (step S318).

検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであると判定された場合(ステップS318:YES)、上述したステップS320からステップS340までの各処理が実行される。したがって、例えば、通信端末100がホットスポットHSにおいてサーバSV1と通信する場合、上述した第1実施形態と同様に、通信端末100は、VPN900、ネットワーク装置200、インターネットINTを介してサーバSV1と通信を行う。   When it is determined that the detected wireless LAN access point is a wireless LAN access point provided by a predetermined business operator (step S318: YES), each process from step S320 to step S340 described above is executed. Therefore, for example, when the communication terminal 100 communicates with the server SV1 in the hot spot HS, the communication terminal 100 communicates with the server SV1 via the VPN 900, the network device 200, and the Internet INT as in the first embodiment described above. Do.

これに対して、ステップS318において、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではないと判定された場合(ステップS318:NO)、通信実行部10cは、VPN900を利用しないで、通信相手(例えば、サーバSV1)と通信を実行する(ステップS345)。このステップS345は、図7に示す第2実施形態の通信処理におけるステップS345と同じであるため、説明を省略する。   On the other hand, when it is determined in step S318 that the detected wireless LAN access point is not a wireless LAN access point provided by a predetermined operator (step S318: NO), the communication execution unit 10c determines that the VPN 900 The communication with the communication partner (for example, server SV1) is executed without using (step S345). Since step S345 is the same as step S345 in the communication process of the second embodiment shown in FIG. 7, the description thereof is omitted.

以上の構成を有する第2実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではない場合、つまり、公衆無線LAN400(無線LANアクセスポイントa1)において、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。   The network system 500 of the second embodiment having the above configuration has the same effects as the network system 500 of the first embodiment. In addition, when the detected wireless LAN access point is not a wireless LAN access point provided by a predetermined operator, that is, in the public wireless LAN 400 (wireless LAN access point a1), by another encryption method other than WEP When encryption is executed, establishment of the VPN 900 and communication via the VPN 900 are not performed, so that an increase in latency and a reduction in throughput in such communication can be suppressed.

D.第4実施形態:
図10は、第4実施形態におけるネットワークシステムの構成を示す説明図である。ネットワークシステム500aは、通信端末100bと、ネットワーク装置200aとを備えている。通信端末100bは、接続部111と、VPNクライアント機能部112と、通信実行部113とを備えている。接続部111と、VPNクライアント機能部112と、通信実行部113とは、通信端末100bが備えるメモリに記憶されている制御プログラムを、通信端末100bが備えるCPUが実行することにより実現される。
D. Fourth embodiment:
FIG. 10 is an explanatory diagram showing the configuration of the network system in the fourth embodiment. The network system 500a includes a communication terminal 100b and a network device 200a. The communication terminal 100b includes a connection unit 111, a VPN client function unit 112, and a communication execution unit 113. The connection unit 111, the VPN client function unit 112, and the communication execution unit 113 are realized by the CPU provided in the communication terminal 100b executing a control program stored in the memory provided in the communication terminal 100b.

ネットワーク装置200aは、外部ネットワーク800に接続されており、VPNサーバとして動作し得る。外部ネットワーク800とは、上述した第1〜3実施形態におけるインターネットINTや、広域イーサネット(「イーサネット」は登録商標)や、専用線や、LANなど、通信端末100bと他の装置801とを接続し得る任意のネットワークを意味する。通信端末100bは、ネットワーク装置200aと通信可能である。   The network device 200a is connected to the external network 800 and can operate as a VPN server. The external network 800 connects the communication terminal 100b and other devices 801 such as the Internet INT, the wide area Ethernet (“Ethernet” is a registered trademark), the dedicated line, and the LAN in the first to third embodiments described above. Means any network you get. The communication terminal 100b can communicate with the network device 200a.

接続部111は、通信端末100bを外部ネットワーク800に接続するために用いられる。VPNクライアント機能部112は、接続部111により通信端末100bが外部ネットワーク800に接続されると、VPN900aを、通信端末100bとネットワーク装置200aとの間に確立する処理を実行する。通信実行部113は、VPN900aおよびネットワーク装置200aを介して、ネットワーク装置200aとは異なる外部ネットワーク800に接続されている他の装置801と通信を行う。なお、装置801を、上述した第1〜3実施形態におけるサーバSV1と同様に、サーバにより構成してもよい。また、例えば、装置801を、通信端末100bと同様な通信端末により構成してもよい。   The connection unit 111 is used to connect the communication terminal 100b to the external network 800. When the communication terminal 100b is connected to the external network 800 by the connection unit 111, the VPN client function unit 112 executes a process of establishing the VPN 900a between the communication terminal 100b and the network device 200a. The communication execution unit 113 communicates with another device 801 connected to the external network 800 different from the network device 200a via the VPN 900a and the network device 200a. In addition, you may comprise the apparatus 801 with a server similarly to server SV1 in 1st-3rd embodiment mentioned above. Further, for example, the device 801 may be configured by a communication terminal similar to the communication terminal 100b.

上述した第4実施形態のネットワークシステム500aによれば、通信端末100bのVPNクライアント機能部112は、通信端末100bが外部ネットワーク800に接続されると、通信端末100bとネットワーク装置200aとの間にVPN900aを確立するので、VPN900aを確立するためのユーザの作業を省略できる。加えて、通信端末100bの通信実行部113は、VPN900aおよびネットワーク装置200aを介して、ネットワーク装置200aとは異なる外部ネットワーク800に接続されている他の装置801と通信を行うので、通信端末100bが外部ネットワーク800に接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ通信端末100bと他の装置801との通信を実現することができる。以上から、本形態のネットワークシステム500aによれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100bを外部ネットワーク800に接続させることができる。   According to the network system 500a of the fourth embodiment described above, the VPN client function unit 112 of the communication terminal 100b allows the VPN 900a between the communication terminal 100b and the network device 200a when the communication terminal 100b is connected to the external network 800. Therefore, the user's work for establishing the VPN 900a can be omitted. In addition, the communication execution unit 113 of the communication terminal 100b communicates with another device 801 connected to the external network 800 different from the network device 200a via the VPN 900a and the network device 200a. Even when the encryption is not performed when connecting to the external network 800 or the encryption method is weak (low security level), the communication terminal 100b and the other device 801 can maintain high security levels. Communication can be realized. As described above, according to the network system 500a of the present embodiment, the communication terminal 100b can be connected to the external network 800 easily and while ensuring a high security level.

E.変形例:
E1.変形例1:
各実施形態では、VPN設定情報設定処理において、無線LANクライアントのMACアドレスに基づき、端末認証情報が設定済みであるか否かを判定していたが、本発明はこれに限定されるものではない。ネットワーク装置200が、VPN設定情報が設定済みであるか否かを問い合わせるパケットをブロードキャストし、各無線LANクライアントから受信する回答に基づき、端末認証情報が設定済みであるか否かを判定する構成としてもよい。この構成では、各無線LANクライアントは、VPN設定情報が設定済みであるか否かを問い合わせるパケットを受信すると、自らにVPN設定情報が設定済みであるか否かを判定し、その判定結果をネットワーク装置200にユニキャストする。また、この構成では、VPN設定情報が設定済みでないとの回答が得られた場合に、図4に示すステップS110を実行し、VPN設定情報が設定済みでないとの回答が得られない場合には、VPN設定情報設定処理は終了する。また、図4に示すステップS130において、VPN設定情報が設定済みでないとの回答を送信した無線LANクライアントに対して、VPN設定情報(VPN接続情報および端末認証情報)をユニキャストする。
E. Variations:
E1. Modification 1:
In each embodiment, in the VPN setting information setting process, it is determined whether the terminal authentication information has been set based on the MAC address of the wireless LAN client. However, the present invention is not limited to this. . The network device 200 broadcasts a packet for inquiring whether or not the VPN setting information has been set, and determines whether or not the terminal authentication information has been set based on a response received from each wireless LAN client. Also good. In this configuration, when each wireless LAN client receives a packet for inquiring whether or not the VPN setting information has been set, the wireless LAN client determines whether or not the VPN setting information has already been set, and the determination result is sent to the network. Unicast to device 200. In addition, in this configuration, when a reply that VPN setting information has not been set is obtained, step S110 shown in FIG. 4 is executed, and when a reply that VPN setting information has not been set cannot be obtained. The VPN setting information setting process ends. In step S130 shown in FIG. 4, the VPN setting information (VPN connection information and terminal authentication information) is unicast to the wireless LAN client that has transmitted a reply that the VPN setting information has not been set.

E2.変形例2:
各実施形態では、VPN設定情報設定処理の一工程として、サーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知していたが、本発明はこれに限定されるものではない。VPN設定情報設定処理(DDNS情報登録処理)の一工程として、サーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知することに加えて、定期的にサーバ名称およびグローバルIPアドレスをDDNSサーバ300に通知する構成を採用してもよい。グローバルIPアドレスの変更が生じ得る場合、このような構成を採用することで、DDNSサーバ300における名前解決処理が正しく行われるようにできる。
E2. Modification 2:
In each embodiment, the server name and the global IP address are notified to the DDNS server 300 as one step of the VPN setting information setting process, but the present invention is not limited to this. As a step of the VPN setting information setting process (DDNS information registration process), in addition to notifying the server name and global IP address to the DDNS server 300, the server name and global IP address are periodically notified to the DDNS server 300. A configuration may be adopted. When the global IP address can change, the name resolution process in the DDNS server 300 can be correctly performed by adopting such a configuration.

また、各実施形態では、DDNSサーバ300を利用して、VPNサーバのサーバ名称のアドレス解決を実現していたが、DDNSサーバ300を省略すると共に、VPNサーバのサーバ名称のアドレス解決を省略してもよい。具体的には、VPNサーバのグローバルIPアドレスを固定的に割り当て、かかるIPアドレスを、VPN設定情報設定処理において通信端末100に通知する構成を採用することができる。この構成では、DDNSサーバ300を省略できるので、ネットワークシステムの構築コストを低減できる。   Further, in each embodiment, the address resolution of the server name of the VPN server is realized using the DDNS server 300. However, the address resolution of the server name of the VPN server is omitted while omitting the DDNS server 300. Also good. Specifically, it is possible to adopt a configuration in which a global IP address of a VPN server is fixedly assigned and the IP address is notified to the communication terminal 100 in the VPN setting information setting process. In this configuration, since the DDNS server 300 can be omitted, the construction cost of the network system can be reduced.

E3.変形例3:
ネットワーク装置200から通信端末100へのVPN設定情報の送信、および通信端末100におけるVPN設定情報の受信は、ネットワーク装置200と通信端末100との間に形成された無線LANを介して実行されていたが、本発明はこれに限定されるものではない。例えば、通信端末100が有線LAN通信制御部を備え、有線LANを介して通信端末100とネットワーク装置200との間でVPN設定情報の送受信を行う構成を採用してもよい。また、例えば、通信端末100およびネットワーク装置200が、それぞれUSB(Universal Serial Bus)等の接続インターフェイスを備え、かかる接続インターフェイスにより互いに接続され、VPN設定情報の送受信を行う構成を採用してもよい。
E3. Modification 3:
Transmission of VPN setting information from the network device 200 to the communication terminal 100 and reception of VPN setting information in the communication terminal 100 are performed via a wireless LAN formed between the network device 200 and the communication terminal 100. However, the present invention is not limited to this. For example, a configuration in which the communication terminal 100 includes a wired LAN communication control unit and transmits / receives VPN setting information between the communication terminal 100 and the network device 200 via the wired LAN may be employed. In addition, for example, the communication terminal 100 and the network device 200 may each include a connection interface such as a USB (Universal Serial Bus), and may be connected to each other via the connection interface to transmit and receive VPN setting information.

また、本発明は、通信端末100とネットワーク装置200との間でVPN設定情報を直接やりとりする構成に限定されるものではない。例えば、ネットワーク装置200に接続されたパーソナルコンピュータの画面にVPN設定情報を示すコード(例えば、QRコード(登録商標))を表示し、かかるコードを通信端末100の撮像部56で撮像することにより、通信端末100においてVPN設定情報を取得する構成を採用してもよい。   Further, the present invention is not limited to a configuration in which VPN setting information is directly exchanged between the communication terminal 100 and the network device 200. For example, a code (for example, QR code (registered trademark)) indicating VPN setting information is displayed on the screen of a personal computer connected to the network device 200, and the code is captured by the imaging unit 56 of the communication terminal 100, A configuration in which VPN setting information is acquired in the communication terminal 100 may be employed.

E4.変形例4:
各実施形態では、VPN設定情報設定処理の開始契機は、通信端末100とネットワーク装置200との間における無線接続の確立であったが、本発明は、これに限定されるものではない。例えば、ネットワーク装置200にかかる契機を与えるためのスイッチ(例えば、押しボタン)を用意し、ユーザがかかるスイッチをオンすることをVPN設定情報設定処理の開始契機としてもよい。また、例えば、通信端末100およびネットワーク装置200がNFC(Near Field Communication)をサポートし、通信端末100がネットワーク装置200に接触または近接したことを、VPN設定情報設定処理の開始契機としてもよい。
E4. Modification 4:
In each embodiment, the start timing of the VPN setting information setting process is establishment of a wireless connection between the communication terminal 100 and the network device 200, but the present invention is not limited to this. For example, it is possible to prepare a switch (for example, a push button) for giving an opportunity to the network apparatus 200 and to turn on the switch by the user as an opportunity to start the VPN setting information setting process. Further, for example, the communication terminal 100 and the network device 200 may support NFC (Near Field Communication), and the communication terminal 100 may be in contact with or close to the network device 200 as a trigger for starting the VPN setting information setting process.

E5.変形例5:
各実施例では、VPN接続情報のうち、VPNの種類、VPN用のポート番号、VPNにおける暗号化方式および認証方式については、予めユーザ(管理者)によって設定されていたが、ユーザによる設定に代えて、工場出荷前に予めデフォルト値を設定しておいてもよい。また、かかるデフォルト値をユーザが変更可能としてもよい。なお、ユーザに対して現在の設定値でよいか否かを問い合わせるユーザインターフェイスを、通信端末100またはネットワーク装置200に用意してもよい。
E5. Modification 5:
In each embodiment, the VPN type, VPN port number, VPN encryption method and authentication method are set in advance by the user (administrator) in the VPN connection information. Thus, a default value may be set in advance before shipment from the factory. The default value may be changeable by the user. Note that a user interface for inquiring the user whether or not the current setting value is acceptable may be prepared in the communication terminal 100 or the network device 200.

E6.変形例6:
第2実施形態では、無線LANアクセスポイントa1(公衆無線LAN400)において暗号化処理が実行され、かかる暗号化処理において採用される方式がWEP以外の方式の場合には、VPN900を利用しないで通信が行われていた。また、第3実施形態では、無線LANアクセスポイントa1(公衆無線LAN400)が所定の事業者により提供されていない場合には、VPN900を利用しないで通信が行われていた。このようにVPN900を利用しないで通信を行う条件は、第2実施形態および第3実施形態における条件に限定されるものではない。例えば、通信端末100におけるバッテリーの残容量が所定値以下の場合に、VPN900を利用しないで通信を行う構成を採用してもよい。VPN900を利用して通信を行う場合、多くのソフトウェア処理を実行するために多くの電力を消費する。したがって、バッテリーの残容量が所定値以下の場合に、VPN900を利用しないで通信を行うことで、通信時間の短縮を抑制できる。
E6. Modification 6:
In the second embodiment, encryption processing is executed at the wireless LAN access point a1 (public wireless LAN 400). When the method employed in the encryption processing is a method other than WEP, communication is performed without using the VPN 900. It was done. In the third embodiment, when the wireless LAN access point a1 (public wireless LAN 400) is not provided by a predetermined operator, communication is performed without using the VPN 900. The conditions for performing communication without using the VPN 900 are not limited to the conditions in the second embodiment and the third embodiment. For example, a configuration in which communication is performed without using the VPN 900 when the remaining battery capacity of the communication terminal 100 is a predetermined value or less may be employed. When communication is performed using the VPN 900, a large amount of power is consumed to execute many software processes. Therefore, when the remaining capacity of the battery is equal to or less than a predetermined value, communication can be performed without using the VPN 900, thereby reducing the communication time.

また、例えば、通信端末100に、VPN900を利用しないで通信を行うことを明示するためのスイッチを設け、ユーザがかかるスイッチをオンした場合に、VPN900を利用しないで通信を行う構成を採用してもよい。VPN900を利用して通信を行う場合、多くのソフトウェア処理を実行するために通信におけるスループットの低下やレイテンシーの増加が発生し得る。したがって、上記のようなスイッチを設けることで、ユーザは、通信におけるセキュリティレベルの向上よりも、通信におけるスループットの低下の抑制やレイテンシーの増加の抑制を望む場合に、VPN900を利用しないで通信を行うことを選択することができる。なお、上述のスイッチとしては、例えば、押しボタンや、表示部30に表示されるGUI(Graphical User Interface)として構成することができる。   In addition, for example, the communication terminal 100 is provided with a switch for clearly indicating that communication is performed without using the VPN 900, and when the user turns on the switch, the communication is performed without using the VPN 900. Also good. When communication is performed using the VPN 900, a large amount of software processing is executed, which may cause a decrease in communication throughput and an increase in latency. Therefore, by providing a switch as described above, the user communicates without using the VPN 900 when desiring to suppress a decrease in throughput or an increase in latency rather than to improve the security level in communication. You can choose that. The above-described switch can be configured as, for example, a push button or a GUI (Graphical User Interface) displayed on the display unit 30.

E7.変形例7:
各実施形態では、通信端末100として、携帯電話装置を採用したが、携帯電話装置に代えて、ノート型のパーソナルコンピュータや可搬型のルータ装置など、任意の可搬型の通信端末を採用してもよい。
E7. Modification 7:
In each embodiment, a mobile phone device is adopted as the communication terminal 100. However, instead of the mobile phone device, any portable communication terminal such as a notebook personal computer or a portable router device may be adopted. Good.

E8.変形例8:
第1ないし第3実施形態では、自宅HM以外の場所において通信端末100,100aがインターネットINTに接続する際に、無線LAN400を介してインターネットINTに接続されていたが、本発明は、これに限定されるものではない。例えば、公衆無線LAN400に代えて、公衆有線LANや公衆無線回線を介してインターネットINTに接続される構成を採用してもよい。このような構成においても、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末100を、インターネットINTに接続させることができる。なお、公衆無線回線としては、例えば、3G/HSPAや、LTEや、Wimaxなどの規格に準拠した無線データ通信を実行する任意の回線を採用できる。
E8. Modification 8:
In the first to third embodiments, when the communication terminals 100 and 100a are connected to the Internet INT at a place other than the home HM, they are connected to the Internet INT via the wireless LAN 400. However, the present invention is not limited to this. Is not to be done. For example, instead of the public wireless LAN 400, a configuration connected to the Internet INT via a public wired LAN or a public wireless line may be adopted. Even in such a configuration, the communication terminal 100 can be easily connected to the Internet INT while ensuring a high security level. As the public wireless line, for example, an arbitrary line that performs wireless data communication conforming to standards such as 3G / HSPA, LTE, and Wimax can be adopted.

E9.変形例9:
第1ないし第3実施形態では、ネットワーク装置200、DDNSサーバ300、サーバSV1およびルータ装置r1が接続されるネットワークは、インターネットINTであったが、インターネットINTに代えて、広域イーサネット(「イーサネット」は登録商標)や、専用線や、LANなど、任意のネットワークを採用してもよい。
E9. Modification 9:
In the first to third embodiments, the network to which the network device 200, the DDNS server 300, the server SV1, and the router device r1 are connected is the Internet INT. However, instead of the Internet INT, a wide area Ethernet (“Ethernet” is Any network such as a registered trademark, a dedicated line, or a LAN may be employed.

本発明は、上述の実施形態や実施例、変形例に限られるものではなく、その趣旨を逸脱しない範囲において種々の構成で実現することができる。例えば、発明の概要の欄に記載した各形態中の技術的特徴に対応する実施形態、変形例中の技術的特徴は、上述の課題の一部又は全部を解決するために、あるいは、上述の効果の一部又は全部を達成するために、適宜、差し替えや、組み合わせを行うことが可能である。また、その技術的特徴が本明細書中に必須なものとして説明されていなければ、適宜、削除することが可能である。   The present invention is not limited to the above-described embodiments, examples, and modifications, and can be realized with various configurations without departing from the spirit thereof. For example, the technical features in the embodiments and the modifications corresponding to the technical features in each embodiment described in the summary section of the invention are to solve some or all of the above-described problems, or In order to achieve part or all of the effects, replacement or combination can be performed as appropriate. Further, if the technical feature is not described as essential in the present specification, it can be deleted as appropriate.

500,500a…ネットワークシステム
10…CPU
10a…接続部
10b…VPNクライアント機能部
10c…通信実行部
10d…表示制御部
10e…通話制御部
10f…VPN設定情報受信部
20…メモリ
20a…VPN設定情報格納部
20b…事業者リスト格納部
30…表示部
42…無線LAN通信制御部
44…移動体通信制御部
52…音声入出力部
54…操作部
56…撮像部
60…内部バス
100,100a,100b…通信端末
111…接続部
112…VPNクライアント機能部
113…通信実行部
200,200a…ネットワーク装置
210…CPU
210a…パケット中継部
210b…VPNサーバ機能部
210c…端末認証情報生成部
210d…VPN設定情報送信部
210e…通信実行部
220…メモリ
221…経路選択テーブル格納部
222…VPN設定情報格納部
230…有線LAN通信制御部
240…無線LAN通信制御部
260…内部バス
300…DDNSサーバ
400…公衆無線LAN
400a…アクセスネットワーク
800…外部ネットワーク
801…装置
900,900a…VPN
a1…無線LANアクセスポイント
r1…ルータ装置
HM…自宅
HS…ホットスポット
SV1…サーバ
INT…インターネット
500, 500a ... Network system 10 ... CPU
DESCRIPTION OF SYMBOLS 10a ... Connection part 10b ... VPN client function part 10c ... Communication execution part 10d ... Display control part 10e ... Call control part 10f ... VPN setting information receiving part 20 ... Memory 20a ... VPN setting information storage part 20b ... Provider list storage part 30 Display unit 42 Wireless LAN communication control unit 44 Mobile communication control unit 52 Voice input / output unit 54 Operation unit 56 Imaging unit 60 Internal bus 100, 100a, 100b Communication terminal 111 Connection unit 112 VPN Client function unit 113 ... Communication execution unit 200, 200a ... Network device 210 ... CPU
210a ... Packet relay unit 210b ... VPN server function unit 210c ... Terminal authentication information generation unit 210d ... VPN setting information transmission unit 210e ... Communication execution unit 220 ... Memory 221 ... Path selection table storage unit 222 ... VPN setting information storage unit 230 ... Wired LAN communication control unit 240 ... Wireless LAN communication control unit 260 ... Internal bus 300 ... DDNS server 400 ... Public wireless LAN
400a ... Access network 800 ... External network 801 ... Device 900, 900a ... VPN
a1 ... Wireless LAN access point r1 ... Router device HM ... Home HS ... Hot spot SV1 ... Server INT ... Internet

本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態として実現することが可能である。
本発明の一形態によれば、ネットワークシステムが提供される。このネットワークシステムは、外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と;前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と;を備え、前記通信端末は、前記外部ネットワークに接続するための接続部と;前記接続部により前記通信端末が前記外部ネットワークに接続されたことを契機として、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と;前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と;を有し、前記ネットワーク装置は、さらに、前記通信端末との間で、無線通信を実行する無線通信部と;前記無線通信が実行可能になったことを契機として、前記仮想プライベートネットワークの確立のために用いられるVPN設定情報を、前記通信端末に送信するVPN設定情報送信部と;を有し、前記通信端末は、さらに、前記VPN設定情報を受信するVPN設定情報受信部を有する。
この形態のネットワークシステムによれば、通信端末のVPNクライアント機能部は、通信端末が外部ネットワークに接続されたことを契機として、通信端末とネットワーク装置との間にVPNを確立するので、VPNを確立するためのユーザの作業を省略できる。加えて、通信端末の通信実行部は、VPNおよびネットワーク装置を介して、ネットワーク装置とは異なる外部ネットワークに接続されている他の装置と通信を行うので、通信端末が外部ネットワークに接続する際に暗号化が行われない又は暗号化方式が脆弱な(セキュリティレベルの低い)方式であっても、高いセキュリティレベルを確保しつつ通信端末と他の装置との通信を実現することができる。以上から、本形態のネットワークシステムによれば、簡易に、かつ、高いセキュリティレベルを確保しながら、通信端末を外部ネットワークに接続させることができる。また、通信端末とネットワーク装置との間の無線通信が可能になったことを契機として、ネットワーク装置から通信端末にVPN設定情報が送信されるので、通信端末においてVPN設定情報を設定する作業を省略できる。
その他、本発明は、以下のような形態としても実現可能である。
SUMMARY An advantage of some aspects of the invention is to solve at least a part of the problems described above, and the invention can be implemented as the following forms.
According to one aspect of the present invention, a network system is provided. The network system includes: a network device connected to an external network and capable of operating as a virtual private network (VPN) server; and a communication terminal capable of communicating with the network device via the external network. A terminal connected to the external network; and when the communication terminal is connected to the external network by the connection unit, a virtual private network is connected between the communication terminal and the network device. A VPN client function unit that executes a process to be established; a communication execution unit that communicates with another device connected to the external network different from the network device via the virtual private network and the network device; Before The network device further includes a wireless communication unit that performs wireless communication with the communication terminal; and a VPN that is used for establishing the virtual private network when the wireless communication is executable A VPN setting information transmitting unit that transmits setting information to the communication terminal, and the communication terminal further includes a VPN setting information receiving unit that receives the VPN setting information.
According to the network system of this embodiment, the VPN client function unit of the communication terminal establishes the VPN between the communication terminal and the network device when the communication terminal is connected to the external network. The user's work to do this can be omitted. In addition, since the communication execution unit of the communication terminal communicates with other devices connected to an external network different from the network device via the VPN and the network device, when the communication terminal connects to the external network Even if the encryption is not performed or the encryption method is weak (low security level), communication between the communication terminal and another device can be realized while ensuring a high security level. As described above, according to the network system of the present embodiment, it is possible to easily connect the communication terminal to the external network while ensuring a high security level. In addition, since the VPN setting information is transmitted from the network device to the communication terminal when wireless communication between the communication terminal and the network device is enabled, the work of setting the VPN setting information in the communication terminal is omitted. it can.
In addition, the present invention can be realized in the following forms.

A.第1実施形態:
A1.システム構成:
図1は、本発明の一実施形態としてのネットワークシステムの概略構成を示す説明図である。ネットワークシステム500は、通信端末100と、ネットワーク装置200と、DDNS(Dynamic Domain Name Service)サーバ300とを備えている。ネットワークシステム500は、通信端末100を、自宅HMおよびホットスポットHS(「ホットスポット」は登録商標)からそれぞれインターネットINTに接続されている装置(例えば、サーバSV1)と通信させることができる。
A. First embodiment:
A1. System configuration:
FIG. 1 is an explanatory diagram showing a schematic configuration of a network system as an embodiment of the present invention. The network system 500 includes a communication terminal 100, a network device 200, and a DDNS (Dynamic Domain Name Service) server 300. The network system 500 can cause the communication terminal 100 to communicate with a device (for example, the server SV1) connected to the Internet INT from the home HM and the hot spot HS (“Hot Spot” is a registered trademark) .

VPNサーバ機能部210bは、VPNを実現するための所定のプロトコル(IPSec)を実行し、対向するVPNサーバとの間でVPN(VPNトンネル)を確立するための処理や、VPN確立後における通信データのカプセル化処理や暗号化及び復号処理を実行する。VPNサーバ機能部210bは、通信実行部210eから通信データ(パケット)を受け取ると、VPN用のヘッダを付加して暗号化してパケット中継部210aに渡す。また、VPNサーバ機能部210bは、パケット中継部210aから通信データ(パケット)を受け取ると、復号処理を実行すると共に、VPN用のヘッダを取り除き通信実行部210eに渡す。 The VPN server function unit 210b executes a predetermined protocol (IPSec) for realizing the VPN and establishes a VPN (VPN tunnel) with the opposing VPN server, and communication data after the VPN is established Encapsulation processing and encryption / decryption processing are executed. When the VPN server function unit 210b receives communication data (packet) from the communication execution unit 210e, the VPN server function unit 210b adds a VPN header and encrypts it and passes it to the packet relay unit 210a . When the VPN server function unit 210b receives the communication data (packet) from the packet relay unit 210a, the VPN server function unit 210b executes a decoding process, removes the VPN header, and passes it to the communication execution unit 210e.

上述のステップS120が実行された後、または、前述のステップS110において、VPN接続情報は生成済みであると判定された場合(ステップS110:YES)、端末認証情報生成部210cは、端末認証情報の生成および登録(VPN設定情報格納部222への格納)を行う(ステップS125)。ユーザ名およびパスワードを生成する方法としては、例えば、サーバ名称の生成方法と同様に、通信端末100の無線LAN通信制御部42のMACアドレスをベースとして生成する方法や、ランダムな文字列を自動的に生成する方法を採用することができる。また、例えば、予めユーザ(管理者)によって設定された値を用いてもよい。 After the above-described step S120 is executed or when it is determined in step S110 that the VPN connection information has been generated (step S110: YES), the terminal authentication information generation unit 210c Generation and registration (storage in the VPN setting information storage unit 222 ) are performed (step S125). As a method for generating the user name and password, for example, a method for generating based on the MAC address of the wireless LAN communication control unit 42 of the communication terminal 100 or a random character string is automatically used, as in the server name generating method. The method of generating can be adopted. Further, for example, a value set in advance by a user (administrator) may be used.

VPN設定情報送信部210dは、通信実行部210e、パケット中継部210aおよび無線LAN通信制御部240を介して、無線LANクライアント(通信端末100)に、VPN接続情報および端末認証情報を送信して(ステップS130)、VPN設定情報設定処理は終了する。通信端末100のVPN設定情報受信部10fは、無線LAN通信制御部42および通信実行部10cを介して、ネットワーク装置200から送信されたVPN接続情報および端末認証情報(すなわち、VPN設定情報)を、VPN設定情報格納部20aに格納する。 The VPN setting information transmission unit 210d transmits VPN connection information and terminal authentication information to the wireless LAN client (communication terminal 100) via the communication execution unit 210e, the packet relay unit 210a, and the wireless LAN communication control unit 240 ( Step S130), the VPN setting information setting process ends. The VPN setting information receiving unit 10f of the communication terminal 100 receives the VPN connection information and terminal authentication information (that is, VPN setting information) transmitted from the network device 200 via the wireless LAN communication control unit 42 and the communication execution unit 10c. It is stored in the VPN setting information storage unit 20a.

図9に示すように、ステップS315において、無線接続の確立が完了したと判定されると(ステップS315:YES)、VPNクライアント機能部10bは、事業者リスト格納部20bに格納されている事業者リストを参照して、ステップS305で取得したESSIDに基づき、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントであるか否かを判定する(ステップS318)。 As shown in FIG. 9, in step S315, the establishment of the wireless connection is determined to be complete (step S315: YES), VPN client function part 10b is operators stored in the operator list storage unit 20b With reference to the list , based on the ESSID acquired in step S305, it is determined whether or not the detected wireless LAN access point is a wireless LAN access point provided by a predetermined operator (step S318).

以上の構成を有する第実施形態のネットワークシステム500は、第1実施形態のネットワークシステム500と同様の効果を有する。加えて、検出された無線LANアクセスポイントが所定の事業者により提供された無線LANアクセスポイントではない場合、つまり、公衆無線LAN400(無線LANアクセスポイントa1)において、WEPを除く他の暗号化方式により暗号化が実行される場合には、VPN900の確立およびVPN900を介した通信は行われないので、かかる通信におけるレイテンシーの増大やスループットの低減を抑制できる。 The network system 500 of the third embodiment having the above configuration has the same effects as the network system 500 of the first embodiment. In addition, when the detected wireless LAN access point is not a wireless LAN access point provided by a predetermined operator, that is, in the public wireless LAN 400 (wireless LAN access point a1), by another encryption method other than WEP When encryption is executed, establishment of the VPN 900 and communication via the VPN 900 are not performed, so that an increase in latency and a reduction in throughput in such communication can be suppressed.

Claims (11)

ネットワークシステムであって、
外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と、
前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と、
を備え、
前記通信端末は、
前記外部ネットワークに接続するための接続部と、
前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、
前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、
を有する、ネットワークシステム。
A network system,
A network device connected to an external network and operable as a virtual private network (VPN) server;
A communication terminal capable of communicating with the network device via the external network;
With
The communication terminal is
A connection for connecting to the external network;
When the communication terminal is connected to the external network by the connection unit, a VPN client function unit that executes a process of establishing a virtual private network between the communication terminal and the network device;
A communication execution unit that communicates with another device connected to the external network different from the network device via the virtual private network and the network device;
Having a network system.
請求項1に記載のネットワークシステムにおいて、
前記ネットワーク装置は、さらに
前記通信端末との間で、無線通信を実行する無線通信部と、
前記無線通信が実行可能になると、前記仮想プライベートネットワークの確立のために用いられるVPN設定情報を、前記通信端末に送信するVPN設定情報送信部と、
を有し、
前記通信端末は、さらに、前記VPN設定情報を受信するVPN設定情報受信部を有する、ネットワークシステム。
The network system according to claim 1,
The network device further includes a wireless communication unit that performs wireless communication with the communication terminal;
When the wireless communication becomes executable, a VPN setting information transmitting unit that transmits VPN setting information used for establishing the virtual private network to the communication terminal;
Have
The communication system further includes a VPN setting information receiving unit that receives the VPN setting information.
請求項2に記載のネットワークシステムにおいて、
前記ネットワーク装置は、前記通信端末が前記仮想プライベートネットワークを介した通信を許可された装置であるか否かの認証を実行し、
前記VPN設定情報は、前記認証において用いられる端末認証情報を含み、
前記ネットワーク装置は、さらに、前記無線通信が実行可能になると前記端末認証情報を生成する端末認証情報生成部を有する、ネットワークシステム。
The network system according to claim 2,
The network device performs authentication as to whether or not the communication terminal is a device permitted to communicate via the virtual private network,
The VPN setting information includes terminal authentication information used in the authentication,
The network device further includes a terminal authentication information generation unit that generates the terminal authentication information when the wireless communication becomes executable.
請求項1から請求項3までのいずれか一項に記載のネットワークシステムにおいて、
前記接続部は、公衆無線LANと、公衆有線LANと、公衆無線回線とのうち、いずれかを介して前記通信端末を前記外部ネットワークに接続する、ネットワークシステム。
In the network system according to any one of claims 1 to 3,
The said connection part is a network system which connects the said communication terminal to the said external network via either public wireless LAN, public wired LAN, and a public wireless line.
請求項4に記載のネットワークシステムにおいて、
前記接続部は、公衆無線LANを介して前記通信端末を前記外部ネットワークに接続し、
前記通信端末は、さらに、前記公衆無線LANに用いられている無線LANアクセスポイントにおける暗号化方式に関する所定の条件が満たされたか否かを判定する判定部を有し、
前記VPNクライアント機能部は、前記接続部により前記通信端末が前記外部ネットワークに接続され、かつ、前記判定部により前記所定の条件が満たされたと判定された場合に、前記仮想プライベートネットワークを確立する処理を実行する、ネットワークシステム。
The network system according to claim 4, wherein
The connection unit connects the communication terminal to the external network via a public wireless LAN,
The communication terminal further includes a determination unit that determines whether or not a predetermined condition regarding an encryption method in a wireless LAN access point used in the public wireless LAN is satisfied,
The VPN client function unit establishes the virtual private network when the communication unit is connected to the external network by the connection unit and the predetermined condition is determined by the determination unit. Run the network system.
請求項5に記載のネットワークシステムにおいて、
前記所定の条件は、
前記無線LANアクセスポイントにおける暗号化方式が所定の暗号化方式である、との条件と、
前記無線LANアクセスポイントにおいて暗号化を行わない、との条件と、
前記無線LANアクセスポイントが所定の事業者の無線LANアクセスポイントである、との条件と、
のうち、いずれかを含む、ネットワークシステム。
The network system according to claim 5, wherein
The predetermined condition is:
A condition that the encryption method in the wireless LAN access point is a predetermined encryption method;
A condition that encryption is not performed in the wireless LAN access point;
A condition that the wireless LAN access point is a wireless LAN access point of a predetermined operator;
A network system including any of the above.
請求項6に記載のネットワークシステムにおいて、
前記所定の暗号化方式は、WEP(Wired Equivalent Privacy)であり、
前記所定の事業者は、前記無線LANアクセスポイントにおける暗号化方式として、WEPを採用する事業者である、ネットワークシステム。
The network system according to claim 6,
The predetermined encryption method is WEP (Wired Equivalent Privacy),
The network system, wherein the predetermined provider is a provider that employs WEP as an encryption method in the wireless LAN access point.
外部ネットワークを介して、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と通信可能な通信端末であって、
前記外部ネットワークに接続するための接続部と、
前記接続部により前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行するVPNクライアント機能部と、
前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う通信実行部と、
を備える、通信端末。
A communication terminal capable of communicating with a network device that can operate as a virtual private network (VPN) server via an external network,
A connection for connecting to the external network;
When the communication terminal is connected to the external network by the connection unit, a VPN client function unit that executes a process of establishing a virtual private network between the communication terminal and the network device;
A communication execution unit that communicates with another device connected to the external network different from the network device via the virtual private network and the network device;
A communication terminal.
外部ネットワークに接続されており、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と、前記外部ネットワークを介して前記ネットワーク装置と通信可能な通信端末と、を有するネットワークシステムにおいて、前記通信端末が、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行う方法であって、
(a)前記通信端末において、前記外部ネットワークに接続する工程と、
(b)前記通信端末において、前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行する工程と、
(c)前記通信端末において、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記他の装置と通信を行う工程と、
を備える、方法。
In a network system having a network device connected to an external network and capable of operating as a virtual private network (VPN) server, and a communication terminal capable of communicating with the network device via the external network, the communication terminal includes: A method for communicating with another device connected to the external network different from the network device,
(A) in the communication terminal, connecting to the external network;
(B) In the communication terminal, when the communication terminal is connected to the external network, executing a process of establishing a virtual private network between the communication terminal and the network device;
(C) in the communication terminal, communicating with the other device via the virtual private network and the network device;
A method comprising:
外部ネットワークを介して、仮想プライベートネットワーク(VPN)サーバとして動作し得るネットワーク装置と通信可能な通信端末において、前記ネットワーク装置とは異なる前記外部ネットワークに接続されている他の装置と通信を行うためのプログラムであって、
前記通信端末において、前記外部ネットワークに接続する機能と、
前記通信端末において、前記通信端末が前記外部ネットワークに接続されると、仮想プライベートネットワークを、前記通信端末と前記ネットワーク装置との間に確立する処理を実行する機能と、
前記通信端末において、前記仮想プライベートネットワークおよび前記ネットワーク装置を介して、前記他の装置と通信を行う機能と、
を、前記通信端末が有するコンピュータに実現させるためのプログラム。
A communication terminal capable of communicating with a network device that can operate as a virtual private network (VPN) server via an external network, for communicating with another device connected to the external network different from the network device A program,
A function of connecting to the external network in the communication terminal;
In the communication terminal, when the communication terminal is connected to the external network, a function of executing a process of establishing a virtual private network between the communication terminal and the network device;
In the communication terminal, a function of communicating with the other device via the virtual private network and the network device;
For realizing the above in a computer included in the communication terminal.
請求項10に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。   The computer-readable recording medium which recorded the program of Claim 10.
JP2015239831A 2015-12-09 2015-12-09 Network system, communication terminal, method, program, and recording medium Active JP6036978B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015239831A JP6036978B2 (en) 2015-12-09 2015-12-09 Network system, communication terminal, method, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015239831A JP6036978B2 (en) 2015-12-09 2015-12-09 Network system, communication terminal, method, program, and recording medium

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2013041652A Division JP5853972B2 (en) 2013-03-04 2013-03-04 Network system, communication terminal, method, program, and recording medium

Publications (2)

Publication Number Publication Date
JP2016076979A true JP2016076979A (en) 2016-05-12
JP6036978B2 JP6036978B2 (en) 2016-11-30

Family

ID=55951915

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015239831A Active JP6036978B2 (en) 2015-12-09 2015-12-09 Network system, communication terminal, method, program, and recording medium

Country Status (1)

Country Link
JP (1) JP6036978B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022111684A (en) * 2021-01-20 2022-08-01 Necプラットフォームズ株式会社 Communication system, home gateway device, method, and program
CN115550107A (en) * 2022-09-21 2022-12-30 北京天融信网络安全技术有限公司 Method for establishing tunnel, method and device for selecting network for establishing tunnel

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006254077A (en) * 2005-03-10 2006-09-21 Sharp Corp Network setting device
US20060236378A1 (en) * 2005-04-19 2006-10-19 Burshan Chen Y Connecting VPN users in a public network
JP2006319873A (en) * 2005-05-16 2006-11-24 Novatec Corp Vpn(virtual private network) connecting method, virtual private network connection apparatus utilizing the same, radio terminal and virtual private network system
JP2008529379A (en) * 2005-01-27 2008-07-31 ノキア コーポレイション UPNPVPN gateway configuration service
JP2008219643A (en) * 2007-03-06 2008-09-18 Nec Corp Mobile terminal device, mobile phone, vpn connection system, vpn connection method, and program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008529379A (en) * 2005-01-27 2008-07-31 ノキア コーポレイション UPNPVPN gateway configuration service
JP2006254077A (en) * 2005-03-10 2006-09-21 Sharp Corp Network setting device
US20060236378A1 (en) * 2005-04-19 2006-10-19 Burshan Chen Y Connecting VPN users in a public network
JP2006319873A (en) * 2005-05-16 2006-11-24 Novatec Corp Vpn(virtual private network) connecting method, virtual private network connection apparatus utilizing the same, radio terminal and virtual private network system
JP2008219643A (en) * 2007-03-06 2008-09-18 Nec Corp Mobile terminal device, mobile phone, vpn connection system, vpn connection method, and program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6016020604; '情報家電機器内設定とソフトウェア管理方法の検討' 電子情報通信学会2006年総合大会 学会予稿集 , 20060308, 第143頁 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022111684A (en) * 2021-01-20 2022-08-01 Necプラットフォームズ株式会社 Communication system, home gateway device, method, and program
JP7338883B2 (en) 2021-01-20 2023-09-05 Necプラットフォームズ株式会社 Communication system and method
CN115550107A (en) * 2022-09-21 2022-12-30 北京天融信网络安全技术有限公司 Method for establishing tunnel, method and device for selecting network for establishing tunnel

Also Published As

Publication number Publication date
JP6036978B2 (en) 2016-11-30

Similar Documents

Publication Publication Date Title
US11818566B2 (en) Unified authentication for integrated small cell and Wi-Fi networks
US10652086B2 (en) Converging IOT data with mobile core networks
TWI669972B (en) Methods, apparatus and systems for wireless network selection
US10135678B2 (en) Mobile network IOT convergence
CN108029017B (en) Method for secure wifi call connection through managed public WLAN access
JP2020129830A (en) Network support type bootstrapping for machine-to-machine communication
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
US20170359344A1 (en) Network-visitability detection control
JP6737789B2 (en) Context-based protocol stack privacy
JP6912470B2 (en) Methods and devices for wireless communication using a security model to support multiple connection and service contexts
US9253636B2 (en) Wireless roaming and authentication
US8582476B2 (en) Communication relay device and communication relay method
US20170359326A1 (en) Network-visitability detection
CN104247505A (en) System and method for andsf enhancement with anqp server capability
US20130191906A1 (en) Apparatus and method for supporting portable mobile virtual private network service
KR20130040210A (en) Method of connecting a mobile station to a communications network
JP6036978B2 (en) Network system, communication terminal, method, program, and recording medium
CN108702799A (en) Method for merging mobile core and IOT data
JP5853972B2 (en) Network system, communication terminal, method, program, and recording medium
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
JP2017143363A (en) Communication system and authentication connection method thereof
US20140105163A1 (en) Communication Method and Apparatus
JP2017147672A (en) Communication device, server, and system
JP3154679U (en) Relay device and network system
WO2024146582A1 (en) Communication method and communication apparatus

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160923

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161017

R150 Certificate of patent or registration of utility model

Ref document number: 6036978

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250