JP2022021595A - 通信装置、プログラム、ネットワーク管理方法および通信システム - Google Patents
通信装置、プログラム、ネットワーク管理方法および通信システム Download PDFInfo
- Publication number
- JP2022021595A JP2022021595A JP2020125262A JP2020125262A JP2022021595A JP 2022021595 A JP2022021595 A JP 2022021595A JP 2020125262 A JP2020125262 A JP 2020125262A JP 2020125262 A JP2020125262 A JP 2020125262A JP 2022021595 A JP2022021595 A JP 2022021595A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- communication device
- unit
- address allocation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 通信装置を提供すること。【解決手段】本通信装置150は、第1のネットワーク44Aに接続される。通信装置150は、認証に基づいて、第1のネットワーク44Aと、第1のネットワーク44Aとは異なる1または複数の第2のネットワーク44Bとの間の通信路を確立する通信確立部154を含む。通信装置150は、また、通信路が確立した後において、通信路での確立により形成される第3のネットワーク(44A、44B)上にアドレス割当手段が存在しないことが確認された場合にアドレス割当手段164を起動する起動部162とを含む。【選択図】 図3
Description
本開示は、通信装置、プログラム、ネットワーク管理方法および通信システムに関する。
従来より、ユーザや機器に関する情報を用いて複数拠点を結ぶ通信ネットワークを確立する技術が知られている。
また、ネットワーク上の通信ノードにIPアドレスを割り当てるDHCP(Dynamic Host Configuration Protocol)サーバが、同一ネットワーク上において重複して起動すると、不具合を引き起こす虞がある。
特許文献1(特開2003-143175号公報)は、他のDHCPサーバの有無によってサーバの起動を制限する技術を開示する。しかしながら、特許文献1の従来技術では、複数拠点を結んだネットワークにおいて、想定していないDHCPサーバが起動してしまう可能性がある点で、充分なものではなかった。
本開示は、上記点に鑑みてなされたものであり、認証に基づいて、複数のネットワークを結ぶ通信路の確立により形成されるネットワークにおいて、アドレス割り当て手段が重複してしまうことを回避することができる、通信装置を提供することを目的とする。
本開示では、上記点を鑑み、以下の特徴を有する通信装置を提供する。本通信装置は、第1のネットワークに接続される。通信装置は、認証に基づいて、第1のネットワークと、第1のネットワークとは異なる1または複数の第2のネットワークとの間の通信路を確立する通信確立部を備える。通信装置は、また、通信路が確立した後において、通信路の確立により形成される第3のネットワーク上にアドレス割当手段が存在しないことが確認された場合にアドレス割当手段を起動する起動部を含む。
上記構成により、認証に基づいて、複数のネットワークを結ぶ通信路の確立により形成されるネットワークにおいて、アドレス割当手段が重複してしまうことを回避することが可能となる。
以下、本発明の実施形態について説明するが、本発明の実施形態は、以下に説明する実施形態に限定されるものではない。なお、以下に説明する実施形態では、通信装置の一例として、通信装置50を参照し、また、通信システムの一例として、通信装置50、通信情報管理装置20および通信中継装置30を含み構成されるシステムを参照しながら説明する。しかしながら、通信装置および通信システムは、以下に示される具体的な実施形態に限定されるものではない。
図1は、本実施形態による複数の通信装置間で通信路を介した通信が行われる通信環境を概略的に説明する。図1に示す通信環境10には、ゲートウェイ(以下、GWと記号で参照する場合がある。)22を介してインターネット12に接続される通信情報管理装置20と、GW32を介してインターネット12に接続される通信中継装置30と、それぞれインターネット12に接続される複数の拠点40とが含まれる。
なお、図1には、2つの拠点40A,40Bが示されている。以下、特定の拠点または特定の拠点の要素を参照する場合には、符番の末尾に「A」および「B」を付して参照することがあり、特定の拠点を指定せずに包括的な事項を説明する場合には、末尾に「A」および「B」の記号を付さない符番を用いて参照することがある点に留意されたい。また、図1では、拠点数が2である場合を例示するが、拠点数は、2に限定されず、3以上の拠点が設けられてもよい。
各拠点40には、GW42が設置されており、GW42を介して、拠点内ネットワーク44がインターネット12に接続されている。拠点内ネットワーク44には、1または複数のユーザ端末装置46と、本実施形態による通信装置50と、各種サービスを提供する機器48とが接続されている。
通信情報管理装置20は、VPN(Virtual Private Network)の通信装置および通信形態を管理するサーバである。通信中継装置30は、通信装置50間のVPN接続を中継するリレーサーバである。通信中継装置30は、複数の拠点40の複数の通信装置50間の通信を中継する。なお、VPNとは、仮想的な専用線(通信路)で複数の拠点40間を接続する技術である。なお、説明する実施形態では、通信情報管理装置20と通信中継装置30とが別個に設けられるものとして説明するが、他の実施形態では、これらの機能を合わせた装置が構成されてもよいし、さらに他の実施形態では、通信情報管理装置20および通信中継装置30が、それぞれ、複数あることを妨げるものではない。
図1には、各装置に対して割り当てられた模式的なIPアドレスが示されており、通信情報管理装置20には、「VVV.VVV.VVV.10」のWAN側のIPアドレスが割り当てられ、通信中継装置30には、「WWW.WWW.WWW.10」のWAN側のIPアドレスが割り当てられている。
拠点内ネットワーク44は、典型的には、有線、無線またはこれらの混合のLAN(ローカル・エリア・ネットワーク)を含み構成される。通信装置50は、各拠点40内に設置され、インターネット12を介して、通信情報管理装置20および通信中継装置30と通信可能に構成されている。所定の拠点40(例えば40A)の通信装置50(例えば50A)は、通信中継装置30により中継されて、他の拠点40(例えば40B)の通信装置50(例えば50B)との通信を行う。複数の拠点内ネットワーク44(例えば40A,40B)は、それぞれの複数の通信装置50(例えば50A,50B)が通信することにより、仮想的な専用線で接続され、拡張された1つの大きな仮想的なネットワークを構成する。
通信装置50各々と通信中継装置30とは、所定の通信規格で接続される。通信規格としては、特に限定されるものではないが、Websocket、Websocket Secureなどを挙げることができる。第1の通信装置50(例えば50A)と通信中継装置30との間で通信が確立し、さらに、第2の通信装置50(例えば50B)と通信中継装置30との間で通信が確立すると、接続する拠点を識別するための所定の条件が満たされる場合には、両者の通信が通信中継装置30によって中継されて、第1の通信装置50(例えば50A)と第2の通信装置50(例えば50A)との間の通信が確立する。
図1に示す例示では、通信装置50にもWAN側のIPアドレスが割り当てられ、通信装置50Aには、「XXX.XXX.XXX.5」のグローバルIPアドレスが割り当てられ、通信装置50Bには、「YYY.YYY.YYY.5」のグローバルIPアドレスが割り当てられている。
ユーザ端末装置46は、拠点内ネットワーク44に接続される通信ノードであり、拠点内ネットワーク44を介して拠点内ネットワーク44上の他の通信ノード(通信装置50を含む。)と通信する。本実施形態によるユーザ端末装置46(例えば46A)は、さらに、通信装置50A、50Bによる拠点間の接続が完了した後は、複数の拠点内ネットワーク44A,44B、複数の通信装置50A,50Bおよびインターネット12を介して、他の拠点内ネットワーク44上の他の通信ノード(例えば46B,48B)とも通信可能となる。また、ユーザ端末装置46は、通信情報管理装置20などが提供するウェブアプリケーションにログインする際にも用いることができる。
機器48は、拠点内ネットワーク44に接続される通信ノードであり、拠点内ネットワーク44を介して他の通信ノードに対しサービスを提供する、本実施形態における、サービス提供装置を構成する。図1には、電子黒板またはIWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)48Aおよび複合機48Bが例示されている。IWB48Aは、電子式の黒板機能をサービスとして提供する。複合機48Bは、プリント、スキャナ、コピー、ファクシミリなどの各種画像処理をサービスとして提供する画像形成装置である。本実施形態による機器48(例えば48A)は、さらに、通信装置50A、50Bによる拠点間の接続が完了した後は、複数の拠点内ネットワーク44A,44B、複数の通信装置50A,50Bおよびインターネット12を介して、リモートで、他の拠点内ネットワーク44上の他の通信ノード(例えば、ユーザ端末装置46B)に対してサービスを提供することができる。機器48は、好ましくは、電子黒板、画像形成装置または電子会議システムである。
通信ノードであるユーザ端末装置46としては、図1では、ラップトップ・コンピュータが一例として描かれている。また、図1では、機器48として、IWB48Aおよび複合機48Bが例示されており、電子黒板、画像形成装置または電子会議システムであることが好ましい旨を上述した。しかしながら、通信ノードとしてのユーザ端末装置46は、通信機能を備えた装置であれば、特に限定されるものではない。通信ノードおよびサービス提供装置としての機器48は、通信機能および所定のサービスを提供する機能を備えた装置であれば、特に限定されるものではない。他の実施形態では、ユーザ端末装置46および機器48は、デスクトップ・コンピュータ、タブレット・コンピュータ、スマートフォンなど他の情報端末とすることができる。また、通信ノードおよびサービス提供装置としては、例えば、複合機、複写機、スキャナ、ファクシミリなどの画像形成装置、画像読取装置、画像通信装置、PJ(Projector:プロジェクタ)、IWB、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC(Personal Computer)、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、スマートウォッチなどのウエアラブルデバイスであってもよい。
また、ユーザ端末装置46、機器48および通信装置50には、拠点内ネットワーク44において一意に識別できるようにローカルIPアドレスが割り当てられている。図1に示す例では、第1の拠点40Aのユーザ端末装置46A、機器48Aおよび通信装置50Aには、「192.zzz.2.6」、「192.zzz.2.7」および「192.zzz.2.5」のIPアドレスがそれぞれ割り当てられている。第2の拠点40Bのユーザ端末装置46B、機器48Bおよび通信装置50Bには、「192.zzz.2.16」、「192.zzz.2.17」および「192.zzz.2.15」のIPアドレスがそれぞれ割り当てられている。
なお、図1の例示では、VPNは、OSI(Open Systems Interconnection)参照モデルにおける第2層(データリンク層)レベルで拠点間を接続し、仮想的な同一セグメントのネットワークを構成するレイヤ2(L2-)VPNを用いる場合を図示している。ここで、L2-VPN方式は、イーサネット(登録商標)のフレームのヘッダ情報に基づく制御を行うものである。この場合、通信路の両端において、DHCP(Dynamic Host Configuration Protocol)サーバが複数起動される可能性があり、IPアドレスの衝突を避ける手立てが望ましい。
以下、本実施形態による複数の拠点間で通信路の確立により形成されるネットワークにおいてDHCPサーバを重複なく起動する仕組みを説明する前に、通信環境10に設けられる通信装置50、通信情報管理装置20、通信中継装置30、ユーザ端末装置46、機器48およびのハードウェア構成について説明する。
図2は、本実施形態において通信装置50として用いることができるコンピュータのハードウェア構成図である。ここでは、パーソナル・コンピュータ500のハードウェア構成について説明する。
図2に示されているように、パーソナル・コンピュータ500は、汎用なコンピュータによって構築されており、図2に示されているように、CPU501、ROM502、RAM503、HDD(Hard Disk Drive)504、HDDコントローラ505、ディスプレイ506、外部機器接続I/F508、ネットワークI/F509、データバス510、キーボード511、ポインティングデバイス512、DVD-RW(Digital Versatile Disk Rewritable)ドライブ514、メディアI/F516を備えている。
これらのうち、CPU501は、パーソナル・コンピュータ500全体の動作を制御する。ROM502は、IPL等のCPU501の駆動に用いられるプログラムを記憶する。RAM503は、CPU501のワークエリアとして使用される。HDD504は、プログラム等の各種データを記憶する。HDDコントローラ505は、CPU501の制御にしたがってHDD504に対する各種データの読み出しまたは書き込みを制御する。ディスプレイ506は、カーソル、メニュー、ウィンドウ、文字、または画像などの各種情報を表示する。外部機器接続I/F508は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USBメモリやプリンタ等である。ネットワークI/F509は、通信ネットワークを利用してデータ通信をするためのインターフェースである。バスライン510は、図2に示されているCPU501等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
また、キーボード511は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス512は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD-RWドライブ514は、着脱可能な記録媒体の一例としてのDVD-RWメディア513に対する各種データの読み出しまたは書き込みを制御する。なお、DVD-RWに限らず、DVD-R等であってもよい。メディアI/F516は、フラッシュメモリ等の記録メディア515に対するデータの読み出しまたは書き込み(記憶)を制御する。
なお、図2を参照して、通信装置50として用いることができるコンピュータについて説明したが、通信情報管理装置20、通信中継装置30、ユーザ端末装置46および機器48についても、適宜ハードウェア・コンポーネントの追加、削除またはこれらの両方を行って、図2で示したものと類似の態様で構成することができる。
以下、図3を参照しながら、本実施形態による複数の拠点間で通信路の確立により形成されるネットワークにおいてDHCPサーバ(アドレス割当手段)を重複なく起動する仕組みを備えるシステムの機能構成について、より詳細に説明する。
図3は、本実施形態における通信装置50および通信情報管理装置20に構成される機能ブロックを示す図である。図3には、通信情報管理装置20上の機能ブロック110および通信装置50上の機能ブロック150が示されている。また、通信装置50および通信情報管理装置20以外の構成として、通信中継装置30およびユーザ端末装置46が示されている。
まず、通信情報管理装置20側の構成について説明する。通信情報管理装置20は、ユーザの認証処理を行い、通信中継装置30による複数の通信装置50間の通信の中継を管理する管理装置である。図3に示す通信情報管理装置20の機能ブロック110は、ウェブアプリケーション112と、記憶部118と、認証処理部120とを含み構成される。
ウェブアプリケーション112は、通信装置50、通信中継装置30、ユーザ端末装置46などの外部の装置との通信を担う。ウェブアプリケーション112は、より具体的には、ユーザインタフェース(以下、UIと参照する。)部114と、指令部116とを含み構成される。
UI部114は、ユーザに対し、ログイン認証を行うためのグラフィカル・ユーザ・インタフェースを提供し、ログイン認証の要求を受け付けるとともに、認証結果をユーザに通知する。また、UI部114は、ユーザが、複数の通信装置50間での通信中継装置30を介した通信路の確立を要求したり、各ネットワーク上で利用可能とする機器を登録するためのGUIも提供する。なお、ユーザは、ウェブアプリケーション112に対し、ユーザ端末装置46が備えるブラウザを用いてアクセスすることができる。
認証処理部120は、UI部114で受け付けたログイン認証を行い、認証結果をUI部114を介してユーザに通知する。本実施形態において、通信情報管理装置20の認証処理部120は、認証サーバ機能を提供する。なお、ここでは、通信情報管理装置20は、認証処理部120により、ユーザのログイン認証を行うものとするが、実体的な認証処理は、外部の認証サーバに委ねられてもよい。その場合は、認証処理部120は、外部の認証サーバとの間でログイン認証を仲介する形となる。
記憶部118は、複数の通信装置50間のVPN接続に関連した各種管理情報(通信管理情報という)を記憶するデータベースを格納する。通信管理情報には、ユーザに関する情報、通信装置50に関する情報および通信中継装置30に関する情報が含まれ得る。
説明する実施形態において、通信管理情報は、通信装置50を識別する通信装置識別情報、通信装置50を利用するユーザを識別するユーザ識別情報、および、該ユーザが所属するグループを識別するグループ識別情報を含み得る。通信装置識別情報としては、特に限定されるものではないが、IPアドレスやUUIDなどを挙げることができる。ユーザ識別情報としては、特に限定されるものではないが、アカウント名、ユーザ名、電子メールアドレスなどを挙げることができる。グループ識別情報としては、例えば、官公庁、会社や学校などの組織、任意のグループを識別する名称または記号を用いることができる。通信管理情報は、さらに、パスワードやそのハッシュ値などの認証情報を含み得る。通信管理情報としては、さらに、通信中継装置30のIPアドレスやURL(Uniform Resource Locator)といった、通信中継装置30にアクセスするための情報が含まれる。
説明する実施形態において、記憶部118には、ユーザまたはユーザが所属するグループの管理下にある複数の通信装置50を識別する通信装置識別情報(例えばIPアドレス)と、これらの通信装置50が利用する通信中継装置30の情報とが事前に登録されており、事前に中継すべき通信装置50が与えられ、管理されているものとする。
ウェブアプリケーション112の指令部116は、ログイン認証が完了した後、ユーザからのVPN利用開始要求(つまり、複数の通信装置50間の通信路の確立の要求)に応答して、通信中継装置30またはログイン認証にかかるユーザに関連付けられた通信装置50各々に対し指令を行い、VPN接続を確立させる。指令部116は、また、認証に基づきVPN接続が確立した後、通信装置50に対し、DHCPサーバ(アドレス割当手段)を起動する指令を発行する。
引き続き図3を参照しながら、通信装置50側の構成について説明する。通信装置50は、通信中継装置30を介して、他のネットワークの他の通信装置50との通信路を確立する。図3に示す通信装置50の機能ブロック150は、VPN通信部152と、アドレス割当制御部158と、アドレス割当部164と、HTTP(Hypertext Transfer Protocol)通信部166と、ルーティング制御部168と、アドレス変換部170とを含み構成される。
VPN通信部152は、VPN通信に関連する処理を担うVPNクライアントである。VPN通信部152は、より具体的には、通信確立部154と、通信処理部156とを含み構成される。
通信確立部154は、認証に基づいて、当該通信装置50が接続されている拠点内ネットワーク44と、通信中継装置30との間のVPN接続(通信路)を確立させる。当該通信装置50と通信中継装置30との間のVPN接続が確立され、同一ユーザまたはグループに関連付けられた他の通信装置50と通信中継装置30との間のVPN接続が確立されると、当該通信装置50が接続されている拠点内ネットワーク44と接続相手となる他の通信装置50が接続されている他の拠点内ネットワーク44との通信路が確立され、1つの大きな仮想プライベートネットワークが構成される。通信処理部156は、VPN接続が確立した後、通信中継装置30との通信を実行する。なお、認証は、上述したように、当該通信装置50とインターネットを介して接続される通信情報管理装置20との通信に基づいて行われ、通信路は、当該通信装置50とインターネットを介して接続された、通信中継装置30により中継される。
なお、通信中継装置30は、所定の通信形式で複数の通信装置50間の通信の中継を行う中継装置である。通信中継装置30は、所定の複数の通信装置50間を接続して、複数の通信装置50間の通信を中継する。ここで、中継される複数の通信装置50としては、通信装置識別情報、ユーザ識別情報またはグループ識別情報により中継すべき一群のものとして関連付けられたものが決定される。
アドレス割当部164は、ネットワーク上の通信ノードに対して、アドレスを割り当てる手段である。説明する実施形態において、アドレス割当部164は、IPネットワーク上の通信ノードに対してIPアドレスを割り当てるDHCPサーバである。
アドレス割当制御部158は、アドレス割当部164の起動を制御する。アドレス割当制御部158は、より具体的には、起動済みのアドレス割当部164の存在を確認する確認部160と、必要に応じてアドレス割当部164を起動する起動部162とを含み構成される。
確認部160は、VPN接続(通信路)の確立により形成される仮想プライベートネットワーク上に既に起動されたアドレス割当手段の存在するか否かを確認する。なお、アドレス割当部164の存在の確認は、DHCPにおいては、DHCP Discoverパケットといった探索要求を発行し、この探索要求に対する、DHCP Offerパケットといった応答があった場合に、アドレス割当部164としてのDHCPサーバがネットワーク上に存在するものと判断することにより、行われる。起動部162は、VPN(通信路)が確立した後において、必要に応じて、通信情報管理装置20のウェブアプリケーション112の指令部116からの起動要求に応答して、仮想プライベートネットワーク上に起動されたアドレス割当手段が存在しない場合にアドレス割当部164を起動する。
HTTP通信部166は、通信情報管理装置20上のウェブアプリケーション112との通信を行う。説明する実施形態では、限定されるものではないが、ウェブアプリケーション112との通信は、HTTPまたはHTTPSプロトコルで行われるものとして説明する。
ルーティング制御部168は、拠点内ネットワーク44とVPN通信の経路制御(ルーティング)を行う。アドレス変換部170は、拠点内ネットワーク44内でのローカルIPのIPアドレス変換を行う。
図3は、さらに好ましい実施形態による構成が説明されており、図3に示す通信装置50の機能ブロック150は、さらに、ポートフィルタ部174を含み構成される。
ポートフィルタ部174は、リモートで利用可能な機器として事前に登録された利用機器およびそれ以外の機器(不許可機器)への通信を制御する機能を有する。ポートフィルタ部174は、より具体的には、仲介部176と、アクセス制御部178とを含み構成される。
仲介部176は、リモートのネットワークに接続されたユーザ端末装置46などの通信ノードに対し、ローカルのネットワークに接続するサービス提供装置が提供するサービスを仲介する。アクセス制御部178は、提供の要求にかかるサービスのVPN接続を介した提供が許可されていない場合に、提供の要求にかかるサービス(事前に登録された利用機器以外の不許可機器が提供するもの)の提供の禁止を行う。なお、サービス提供の許可または禁止は、IPアドレスおよびポート番号に基づいて、パケットを破棄したり、通過させたりすることによって行うことができる。
図3は、さらに好ましい実施形態による構成が説明されており、図3に示す通信装置50の機能ブロック150は、さらに、活動監視部172を含み構成される。活動監視部172は、通信装置に接続する利用機器の活動状態を監視する。活動監視部172は、ネットワーク上の機器48などのサービス提供装置に対し、活動確認要求を要求し、応答の有無によってサービスの活動状態を監視する。活動監視部172は、活動状態が停止であるサービスを発見した場合は、停止サービスを通信情報管理装置20に通知する。通知を受けた通信情報管理装置20は、ウェブアプリケーション112によりユーザ端末装置46に対して活動状態を通知することができる。
以上、図3を参照しながら、DHCPサーバを重複なく起動する仕組みを備えるシステムの機能構成について説明した。以下、図4を参照しながら、通信環境10において、複数の拠点間で通信の中継が確立し、アドレス割当部が起動するまでの処理について説明する。
図4は、本実施形態による、通信環境10において複数の拠点間で通信の中継が確立し、アドレス割当部164が起動するまでの処理の流れを示すシーケンス図である。なお、説明する実施形態において、アドレス割当部164は、DHCPサーバであるものとして説明する。また、説明では、第1の拠点40Aのローカル通信装置50Aと、第2の拠点40Bのリモート通信装置50Bとの間の通信の確立およびDHCPサーバの起動までを説明する。
図4に示す処理は、ユーザ端末装置46からウェブアプリケーション112に対して、VPN利用開始要求が送信されたことに応答してステップS101から開始される。ウェブアプリケーション112は、VPN利用開始要求を受けて、認証処理部120にリダイレクトする。
図6(A)は、本実施形態において提供されるログイン認証画面200を示す。図6(A)に例示するログイン認証画面200は、ユーザIDを入力するためのテキストボックス202と、パスワードを入力するためのテキストボックス204と、テキストボックス202,204に入力した内容でログインする指示を受け付ける認証ボタン206と、新規登録ボタン208とを含み構成される。未だアカウントが未登録である場合などは、新規登録ボタン208が押下され、ステップS102では、ユーザ端末装置46は、認証処理部120と通信し、ユーザ登録を行う。
一方、既にユーザ登録済みの場合や、ステップS102でユーザ登録を行った後、ログイン認証画面200の認証ボタン206が押下されると、ステップS103では、ユーザ端末装置46は、認証処理部120と通信して、入力されたユーザIDおよびパスワードに基づく認証処理を要求し、その認証結果としてトークン(token)を受信する。なお、ここでの説明では、認証の仕組みとして、権限の認可を行うためのオープンスタンダードであるOAuth認証に従うものとしているが、認証方法はこれに限定されるものではない。
図6(B)は、本実施形態においてウェブアプリケーション112から提供されるVPN利用開始画面210を示す。図6(B)に例示するVPN利用開始画面210は、ログイン認証後の画面であり、利用する通信装置識別子(ID)を入力するためのテキストボックス212と、テキストボックス212の内容でVPN利用要求を行うためのVPN利用開始ボタン214とを含み構成される。ステップS104では、ユーザ端末装置46は、例えばVPN利用開始ボタン214の押下に応答して、ウェブアプリケーション112に対し、受け取ったトークンを付してVPN利用開始要求を送信する。ステップS105では、トークンが付されたVPN利用開始要求に応答して、ウェブアプリケーション112は、認証処理部120にトークンの確認を行い、対応するグループ識別子(GroupID)を受け取る。
ステップS106では、ウェブアプリケーション112は、記憶部118に通信装置情報を確認する。ステップS107では、ウェブアプリケーション112は、記憶部118に装置利用中グループ確認を行い、グループ識別子(GroupID)を取得する。ここでは、アカウントに関連付けられた利用中のグループの情報が取得される。ステップS108では、ウェブアプリケーション112は、記憶部118に、グループ識別子を付してグループ情報を確認し、通信装置識別子(ID)および通信中継装置30へののアクセス情報(URL)を取得する。ステップS109では、ウェブアプリケーション112は、各通信装置IDを付して記憶部118に装置利用中グループ確認を行い、これに応答して、対応するIPアドレスを取得する。なお、ここで取得されるIPアドレスは、通信装置50のプライベートIPアドレスである。
ステップS110では、ウェブアプリケーション112は、通信中継装置30に対し、通信中継装置30へのアクセス情報(URL)および1または複数のIPアドレスを付して、VPN接続要求を送信する。ステップS111およびステップS112では、通信中継装置30は、取得したIPアドレスを用いて、ローカル通信装置50Aおよびリモート通信装置50Bに対し、通信中継装置30へのアクセス情報(URL)を指定してVPN接続要求を送信する。これを受けて、ローカル通信装置50Aおよびリモート通信装置50Bでは、それぞれ、渡された通信中継装置30へのアクセス情報(URL)に基づいて、通信中継装置30とのVPN接続を確立する。
ステップS113では、ウェブアプリケーション112は、通信中継装置30に対して、所定のIPアドレスを指定してDHCPサーバ起動要求を発行する。ステップS114では、通信中継装置30は、IPアドレスで指定された通信装置(説明する例では、ローカル通信装置50A)に対し、DHCPサーバ起動要求を送信する。
ステップS115では、ローカル通信装置50Aは、確認部160により、DHCP Discoverパケットを仮想プライベートネットワーク上に送信する。ここで、応答がない場合は、ステップS116で、ローカル通信装置50Aは、起動部162により、DHCPサーバを起動する。一方、ステップS117でのDHCP Discoverパケットの送信に応答してDHCP Offerパケットを受信した場合は、既に仮想プライベートネットワーク上にDHCPサーバが起動しているため、自身はDHCPクライアントとして動作する。
以下、図5を参照しながら、VPN接続確立およびDHCPサーバ起動処理について、より具体的に説明する。図5は、本実施形態による通信装置が実行する、VPN接続確立およびDHCPサーバ起動処理を示すフローチャートである。
図5に示す処理は、通信中継装置30からの認証に基づくVPN接続要求に応答して、ステップS200から開始される。ステップS201では、通信装置50は、VPN接続要求を受信する。ステップS202では、通信装置50は、通信中継装置30との通信路(VPN)を確立する。これに対応して、ローカルのネットワーク44と、リモートのネットワーク44との間の通信路が確立し得る。
ステップS203では、通信装置50は、DHCP Discoverパケットを送信し、通信路の確立により形成される仮想プライベートネットワーク上のアドレス割当手段(他のDHCPサーバ)の存在を確認する。ステップS204では、DHCP Discoverパケットに対するDHCP Offerパケットの有無に応じて処理を分岐させる。
ステップS204で、DHCP Offerパケットを受信していないと判定された場合(NO)は、ステップS205へ処理が分岐される。ステップS205では、通信装置50は、DHCPサーバを起動し、ステップS207で本処理を終了する。
一方、ステップS204で、DHCP Offerパケットを受信したと判定された場合(YES)は、ステップS206へ処理が分岐される。ステップS206では、通信装置50は、DHCPサーバを起動せずに、DHCPクライアントとして動作し、ステップS207で本処理を終了する。なお、ステップS206では、通信装置50は、例えば、DHCPリクエストを送信する。
上述したように、認証処理部120による認証後に同一仮想プライベートネットワークで重複しないようにアドレス割当部164(DHCPサーバ)を起動する仕組みとしている。通信装置50は、認証後に仮想プライベートネットワークを確立し、DHCPサーバの起動を行うが、その際に、同一ネットワーク上に他のDHCPサーバが存在するかどうかを事前に、例えばDHCP Dicoverパケットを用いて問い合わせる。そして、他のDHCPサーバが見つからなければ、通信装置50は、自身のDHCPサーバを起動し、見つかった際には、DHCPサーバの起動せずに、他のDHCPサーバのクライアントとして動作する。上記構成を採用することにより、認証済のユーザのみが起動することができる通信装置50を用いた仮想プライベートネットワークにおいて、アドレス割当手段の重複起動を回避することが可能となる。
以下、図7および図8を参照しながら、好ましい実施形態よる、通信環境10において、リモートで機器を利用する機能について、より詳細に説明する。図7は、本実施形態による、通信環境10において、リモートで利用する機器を登録し、登録された機器をリモートで利用するまでの処理の流れを示すシーケンス図である。なお、説明では、第1の拠点40Aのローカル通信装置50Aに接続されるユーザ端末装置46Aから、第2の拠点40Bのリモート通信装置50Bに接続された機器48Bを利用登録し、その登録された機器をリモートで利用する場合を例示する。
図7に示す処理は、ユーザ端末装置46Aからウェブアプリケーション112に対して、利用機器の登録要求が送信されたことに応答して、ステップS301から開始される。ウェブアプリケーション112は、利用機器の登録要求を受けて、認証処理部120にリダイレクトする。未だアカウントが未登録である場合などは、ステップS302では、ユーザ端末装置46Aは、認証処理部120と通信し、ユーザ登録を行う。一方、既にユーザ登録済み等の場合は、ステップS303では、ユーザ端末装置46は、認証処理部120と通信して、認証処理を要求し、その認証結果としてトークン(token)を受信する。ステップS304では、ユーザ端末装置46Aは、ウェブアプリケーション112に対し、受け取ったトークン、登録にかかる機器IDおよび通信装置IDを付して利用機器の登録要求を送信する。ステップS305では、利用機器の登録要求に応答して、ウェブアプリケーション112は、認証処理部120にトークンの確認を行い、対応するグループ識別子(GroupID)を受け取る。
ステップS306では、ウェブアプリケーション112は、記憶部118に通信装置情報を確認する。ステップS307では、ウェブアプリケーション112は、記憶部118に装置利用中グループ確認を行い、グループ識別子(GroupID)を取得する。ステップS308では、ウェブアプリケーション112は、機器IDおよびグループIDを指定して利用機器の登録を記憶部118に要求する。
ステップS309では、ウェブアプリケーション112は、通信中継装置30に対し、通信装置IDと機器IDとを指定し、ポートフィルタ設定要求を送信する。ステップS310では、通信中継装置30は、取得した通信装置IDに対応する通信装置(この例ではリモート通信装置50B)に対し、機器IDを指定してポートフィルタ設定要求を送信する。ステップS311では、リモート通信装置50Bは、ポートフィルタの設定を行う。
ここで、ステップS400で、第1の拠点40A側のユーザ端末装置46Aが、機器への通信を発生させるとすると、機器への通信は、ローカル通信装置50Aへ送信される。ステップS401では、ローカル通信装置50Aは、通信中継装置30とVPN通信を行い、機器への通信を送信する。ステップS402では、通信中継装置30は、リモート通信装置50Bと、VPN通信を行い、機器への通信を送信する。
ここで、(許可するものとして登録された)登録機器に通信する場合は、リモート通信装置50は、機器への通信を受信したことに対応して、ステップS403で、ポートフィルタを通過して、登録機器48に対してデータ通信を行う。一方、(許可するものとして登録されていない、あるいは、不許可として明示的に登録された)不許可機器に通信する場合は、リモート通信装置50は、ステップS404で、機器への通信に対応した登録機器48に対するデータ通信は、ポートフィルタを通過できず、破棄され、サービスの提供は、禁止される。
図8は、好ましい実施形態においてリモートで機器を利用するユースケースを例示する図である。官公庁、企業、学校などの組織においては、リモートアクセスを許可してもよいリソースだけでなく、ローカルでのアクセスのみを許可したいリソースもある。図8に示す例では、第1の拠点40Aは、レンタルオフィスや社員の自宅などであり、第2の拠点40Bは、例えば、官公庁、企業、学校などの組織の構内ネットワークである。このような場合、構内ネットワーク上のリソースを、リモートアクセスを許可するリソース群60と、リモートアクセスを制限(禁止)するリソース群70とに分けて構成することができる。このリモートアクセスを許可するリソース群に含まれる機器48B-4~48B-6を、図7で利用機器登録することにより、明示的に許可するものとして登録した機器48が提供するサービスのみ、リモートでの利用を許可することができる。
以下、図9および図6(C)を参照しながら、上述したサービス提供装置が提供するサービスの活動監視について説明する。図9は、さらに好ましい実施形態による通信環境において行われる、サービスの活動監視処理の流れを示すシーケンス図である。なお、図9に示す例では、リモート通信装置50B側で、そのネットワーク44B上の登録済み機器48Bの活動状態を監視する場合を一例として説明する。
図9に示す処理は、ステップS501から開始し、ステップS501では、リモート通信装置50Bが、ネットワーク44B上のサービス提供装置に対し、活動監視を行う。ここで、活動監視は、pingコマンドやcURLコマンドを利用することにより行うことができる。登録機器が稼働中であれば、コマンドに対する応答が返され、一方で停止中であれば、コマンドに対し無応答となる。
まず、応答があった場合について説明する。その場合、ステップS502では、リモート通信装置50Bは、通信中継装置30に対し、稼働中である旨の応答結果を送信する。ステップS503では、通信中継装置30は、ウェブアプリケーション112に対し、稼働中である旨の応答結果を送信する。ステップS504では、ウェブアプリケーション112は、記憶部118に対し、稼働中である旨の応答結果を記録する。また、ステップS505で、ユーザ端末装置46から、ウェブアプリケーション112に対し、サービスの稼働状態の確認の要求があった場合は、稼働中である旨の状態が通知される。
引き続いて、応答がなかった場合について説明する。その場合は、リモート通信装置50Bは、ステップS601での活動監視に応答して、応答がないままタイムアウトし、ステップS602で、無応答を検知する。ステップS603では、リモート通信装置50Bは、通信中継装置30に対し、停止中である旨の応答結果を送信する。ステップS604では、通信中継装置30は、ウェブアプリケーション112に対し、停止中である旨の応答結果を送信する。ステップS605では、ウェブアプリケーション112は、記憶部118に対し、停止中である旨の応答結果を記録する。また、ステップS606で、ユーザ端末装置46から、ウェブアプリケーション112に対してサービスの稼働状態の確認の要求があった場合は、停止中である旨の状態が通知される。
図6(C)は、本実施形態においてウェブアプリケーション112から提供されるサービス稼働監視画面220を示す。図6(C)に例示するサービス稼働監視画面220は、ログイン認証後の画面であり、当該ユーザに関連付けて登録された1または複数のサービスの状態を示す表示222~226を含む。ここで、サービス稼働監視画面220では、登録した機器の一覧を見ることができ、稼働中もしくは停止中の表示がされるものとする。図6(C)に示す例では、表示222~226の中でも、ホワイトボードのサービス停止がグレイアウト表示226で示されている。
以上説明した実施形態によれば、認証に基づいて、複数のネットワークを結ぶ通信路の確立により形成されるネットワークにおいて、アドレス割当手段が重複してしまうことを回避することが可能な通信装置、プログラム、ネットワーク管理方法および通信システムを提供することが可能となる。
上記構成においては、ユーザが、VPN機能を利用する際は、ユーザが認証済のユーザがどうかが認証処理部120により確認される。認証済であれば、VPN機能が有効化され、仮想プライベートネットワークが確立される。仮想プライベートネットワークの確立後、通信装置50は、利用機器に対してIPアドレスを割り当てるアドレス割当手段(DHCPサーバ)の機能を有効化し、その際に、アドレス割当手段の重複起動を避けるために同一ネットワーク内にアドレス割当手段がすでに存在するかどうかを探索要求により確かめる。探索要求に対する応答がない場合は、他にアドレス割当手段が起動していないとして、探索要求を発信した通信装置50がアドレス割当制御部158(HDCPサーバ)を起動する。これにより、複数のネットワークを結ぶ通信路の確立により形成されるネットワークにおいて、アドレス割当手段が重複してしまうことを回避することが可能となる。
なお、上記で説明した実施形態の各機能は、一または複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(digital signal processor)、FPGA(field programmable gate array)や従来の回路モジュール等のデバイスを含むものとする。
以上、本発明の実施形態および実施例について説明してきたが、本発明の実施形態および実施例は上述した実施形態および実施例に限定されるものではなく、他の実施形態、他の実施例、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
10…通信環境、12…インターネット、20…通信情報管理装置、22,32、42…ゲートウェイ、30…通信中継装置、40…拠点、46…ユーザ端末装置、48…機器、50…通信装置、100,110,150…機能ブロック、112…ウェブアプリケーション、114…UI部、116…指令部、118…記憶部、120…認証処理部、152…VPN通信部、154…通信確立部、156…通信処理部、158…アドレス割当制御部、160…確認部、162…起動部、164…アドレス割当部、166…HTTP通信部、168…ルーティング制御部、170…アドレス変換部、172…活動監視部、174…ポートフィルタ部、176…仲介部、178…アクセス制御部
Claims (15)
- 第1のネットワークに接続される通信装置であって、
認証に基づいて、前記第1のネットワークと、前記第1のネットワークとは異なる1または複数の第2のネットワークとの間の通信路を確立する通信確立部と、
前記通信路が確立した後において、前記通信路の確立により形成される第3のネットワーク上にアドレス割当手段が存在しないことが確認された場合にアドレス割当手段を起動する起動部と
を含む、通信装置。 - 前記第3のネットワーク上のアドレス割当手段の存在を確認する確認部
をさらに含む、請求項1に記載の通信装置。 - 前記認証は、当該通信装置とインターネットを介して接続される管理装置との通信に基づいて行われ、前記通信路は、当該通信装置とインターネットを介して接続された、前記管理装置または前記管理装置とは別の中継装置により中継される、請求項2に記載の通信装置。
- 前記認証が成功した場合に、前記中継装置または当該通信装置に対し、前記通信路の確立を指令する指令部
を含む、請求項3に記載の通信装置。 - 前記管理装置は、当該通信装置および前記1または複数の第2のネットワークのそれぞれに接続された他の通信装置のアドレスおよび前記通信路を中継する管理装置または前記中継装置の情報を管理する、請求項3または4に記載の通信装置。
- 前記アドレス割当手段の存在の確認は、探索要求を発行し、前記探索要求に対する応答があった場合に、存在するものと判断することにより行われる、請求項2~5のいずれか1項に記載の通信装置。
- 前記通信装置は、
前記1または複数の第2のネットワークのいずれかに接続された端末に対し、前記第1のネットワークに接続するサービス提供装置が提供するサービスを仲介する仲介部
を含む、請求項1~6のいずれか1項に記載の通信装置。 - 前記通信装置は、
提供の要求にかかるサービスの前記通信路を介した提供が許可されていない場合に、前記提供の要求にかかるサービスの提供を禁止するアクセス制御部
をさらに含む、請求項7に記載の通信装置。 - 前記サービス提供装置は、電子黒板、画像形成装置または電子会議システムである、請求項7または8に記載の通信装置。
- 前記通信装置は、前記サービス提供装置に対し、活動確認要求を要求し、応答の有無によってサービスの活動状態を監視し、活動状態が停止であるサービスを通知するする監視部、
を含む、請求項7~9のいずれか1項に記載の通信装置。 - 前記通信路は、仮想プライベートネットワーク接続であり、前記第3のネットワークは、前記第1のネットワークおよび前記1または複数の第2のネットワークを含む仮想プライベートネットワークであり、前記アドレス割当手段は、前記第3のネットワーク上のノードに対してIPアドレスを割り当てるDHCP(Dynamic Host Configuration Protocol)サーバである、請求項1~10のいずれか1項に記載の通信装置。
- 前記管理装置は、前記認証を行うためのユーザインタフェースを提供することを特徴とする、請求項1~11のいずれか1項に記載の通信装置。
- 第1のネットワークに接続される通信装置を実現するためのプログラムであって、コンピュータを、
認証に基づいて、前記第1のネットワークと、前記第1のネットワークとは異なる1または複数の第2のネットワークとの間の通信路を確立する通信確立部、および
前記通信路が確立した後において、前記通信路の確立により形成される第3のネットワーク上にアドレス割当手段が存在しないことが確認された場合にアドレス割当手段を起動する起動部
として機能させるためのプログラム。 - 第1のネットワークに接続される通信装置が実行するネットワーク管理方法であって、前記通信装置が、
認証に基づいて、前記第1のネットワークと、前記第1のネットワークとは異なる1または複数の第2のネットワークとの間の通信路を確立するステップと、
前記通信路が確立した後において、前記通信路の確立により形成される第3のネットワーク上にアドレス割当手段が存在しないことが確認された場合にアドレス割当手段を起動するステップと
を実行する、ネットワーク管理方法。 - それぞれネットワークに接続される複数の通信装置間で中継された通信を行う通信システムであって、前記通信装置各々は、
認証に基づいて、自身が接続された第1のネットワークと、1または複数の他の通信装置が接続された1または複数の第2のネットワークとの間の通信路を確立する通信確立部と、
前記通信路が確立した後において、前記通信路の確立により形成される第3のネットワーク上にアドレス割当手段が存在しない場合にアドレス割当手段を起動する起動部と
を含む、通信システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020125262A JP2022021595A (ja) | 2020-07-22 | 2020-07-22 | 通信装置、プログラム、ネットワーク管理方法および通信システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020125262A JP2022021595A (ja) | 2020-07-22 | 2020-07-22 | 通信装置、プログラム、ネットワーク管理方法および通信システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022021595A true JP2022021595A (ja) | 2022-02-03 |
Family
ID=80220523
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020125262A Pending JP2022021595A (ja) | 2020-07-22 | 2020-07-22 | 通信装置、プログラム、ネットワーク管理方法および通信システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2022021595A (ja) |
-
2020
- 2020-07-22 JP JP2020125262A patent/JP2022021595A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2022020946A (ja) | 情報処理装置、情報処理システム、通信形式決定方法およびプログラム | |
JP4803116B2 (ja) | 仮想ネットワーク接続装置及びプログラム | |
JP5043455B2 (ja) | 画像形成装置、その制御方法、システム、プログラム及び記憶媒体 | |
JP6881949B2 (ja) | 管理システム、および制御方法 | |
US20170017448A1 (en) | Printer registration apparatus, display apparatus, and method for printer registration | |
CN107436740B (zh) | 信息处理装置、信息处理装置的控制方法以及存储介质 | |
JP2014095971A (ja) | 情報処理システム、機器、情報処理方法、及びプログラム | |
JP2016167803A (ja) | プログラム、情報処理装置、通信システム | |
US11157608B2 (en) | Information processing system allowing a target device to process an operation request using a common API | |
JP2014123320A (ja) | 情報処理装置、情報処理システム及びその制御方法 | |
JP2009089062A (ja) | 仮想ネットワークシステム及び仮想ネットワーク接続装置 | |
JP6035975B2 (ja) | ネットワーク・システム | |
US11824942B2 (en) | Communication system, information processing apparatus, and information processing method | |
JP6965653B2 (ja) | 情報処理装置、情報処理システム、情報処理方法及びプログラム | |
JP2022021595A (ja) | 通信装置、プログラム、ネットワーク管理方法および通信システム | |
US20220103714A1 (en) | Communication system, communication control device, communication control method, recording medium, and program | |
US20050071768A1 (en) | Method, apparatus, system, and program for providing a virtual office, and a medium storing the program | |
JP7467865B2 (ja) | 情報処理システムおよび情報処理方法 | |
JP6958176B2 (ja) | 情報処理装置、情報処理システム、制御方法およびプログラム | |
JP7222246B2 (ja) | サービスシステム、クラウドサービス、ユーザ登録方法、プログラム | |
JP2022064194A (ja) | 情報処理システム、出力システム、出力方法、プログラム | |
JP6743622B2 (ja) | 中継サーバ及びシステム | |
US11864090B2 (en) | Communication system, communication management method, and non-transitory recording medium | |
JP7456217B2 (ja) | 情報処理システム、ユーザー作成方法 | |
JP7484484B2 (ja) | サービス提供システム、及びグループ管理方法 |