JP4401302B2 - 通信管理システム、通信管理方法、及び通信管理プログラム - Google Patents
通信管理システム、通信管理方法、及び通信管理プログラム Download PDFInfo
- Publication number
- JP4401302B2 JP4401302B2 JP2005013030A JP2005013030A JP4401302B2 JP 4401302 B2 JP4401302 B2 JP 4401302B2 JP 2005013030 A JP2005013030 A JP 2005013030A JP 2005013030 A JP2005013030 A JP 2005013030A JP 4401302 B2 JP4401302 B2 JP 4401302B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- port
- transmission
- request
- reception
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、インターネットを介した機器同士の通信を管理するシステム、方法、及び当該管理機能をコンピュータに付与するプログラムに関する。
インターネットの実装のために作成され、情報システムにおける種々のネットワークの事実上の標準となっているTCP/IPプロトコルによれば、ネットワークに接続されたポイントに識別アドレスとしてIPアドレスが用いられる。世界をつなぐ1つのネットワークを形成しているインターネットでは、IPアドレス(グローバルアドレス)を有している機器同士の双方向通信が可能とされている。
しかし、IPアドレスは32ビットで定義されているため、その数には2の32乗個という限りがあり、インターネットを利用する機器数の爆発的増大に鑑みて、全ての機器にIPアドレスを割り当てることは事実上不可能である。また、今後における情報システムのさらなる浸透とユビキタス化により、現在よりも多種多様のデバイス(究極的にはあらゆる電子機器)がIPアドレスを必要とすることになれば、IPアドレスの数の不足問題はより深刻になると予測される。それを解決するため、IPアドレス空間を128ビットに拡張するIPv6(IP version 6)が提案されているが、現在のIPv4(IP version 4)と交代させるにあたってさまざまな問題をクリアする必要があるため、その普及にはかなりの時間が要すると予測される。
そこで、LAN等、範囲が限定されたネットワークをプライベートIPアドレス体系で構築し、LANそのものをその代表アドレスであるグローバルアドレスを介して単位ネットワークごと接続するというNAT(Network Address Translation)(NAPT,IPマスカレードなどとも呼ばれる。)方式が採用されている。プライベートアドレスは、グローバルアドレスとは異なりインターネットに直接接続されないことを前提条件として、ある範囲で自由に使用され得るIPアドレスである。また、プライベートアドレスは、LAN等、TCP/IPネットワークの自由な構築を可能にするものである。
NAT方式により、プライベートアドレスしか有していない多くの端末がインターネットを利用することができる。ここで、図5を用いて、端末200からサーバ100に対して要求データ(図5/矢印D11,D12参照)が送信され、これに応じてサーバ100から機器200に対して応答データ(図5/破線矢印D21,D22参照)が送信されるときのNAT(Network Address Translator)300の機能について説明する。サーバ100にはグローバルアドレス「Z」が割り当てられている。プライベートネットワークに含まれる複数の機器200にはそれぞれプライベートアドレス「ai(i=1,2,・・,N−1)」が割り当てられている。NAT300には、プライベートアドレス「aN」と、プライベートネットワークを代表するグローバルアドレス「A」とが割り当てられている。
プライベートアドレスaiを有する機器200から、グローバルアドレスZを有するサーバ100に向けて要求データが発信されたとき(図5/矢印D11参照)、NAT300はプライベートアドレスaiではなく、グローバルアドレスAを発信元として当該要求データをそのサーバ100に送信する(図5/矢印D12参照)。すなわち、プライベートアドレスaiからグローバルアドレスZへのアクセスはすべて、NAT300によりプライベートアドレスaNを経由したグローバルアドレスAからグローバルアドレスZへのアクセスに変換される。
このため、グローバルアドレスZを有するサーバ100は、グローバルアドレスAを要求データの発信元として認識した上で、この要求データに応じた応答データをNAT300のグローバルアドレスAに向けて発信する(図5/矢印D21参照)。すなわち、グローバルアドレスZにおいてプライベートアドレスaiを認識することができないため、グローバルアドレスZからのアクセスは、プライベートアドレスaiではなくグローバルアドレスAへのアクセスとなる。
NAT300は、プライベートアドレスaiからグローバルアドレスZへのアクセスを、グローバルアドレスAからグローバルアドレスZへのアクセスに変換する際、少なくともプライベートアドレスaiと、グローバルアドレスZとを対応付けて記憶している。このため、グローバルアドレスAへのアクセスが、NAT300によって、グローバルアクセスZと対応付けてNAT300が記憶しているプライベートアドレスaiへのアクセスに変換され得る。すなわち、グローバルアドレスZを有するサーバ100から、グローバルアドレスAを有するNAT300に向けて応答データが発信されたとき、NAT300は、グローバルアドレスAではなく、プライベートアドレスaiを送信先として当該応答データを送信する(図5/矢印D22参照)。これにより、グローバルアドレスZを有するサーバ100から発信された応答データが、プライベートネットワークに含まれ、プライベートアドレスaiを有する機器200に送信される。
NAT方式によれば、前記のようにプライベートアドレスからの発信は可能である一方、プライベートアドレスへの送信が不可能であるため、NAT方式はセキュリティの面で優れている。すなわち、グローバルアドレスZにおいて、グローバルアドレスAの内側にあるプライベートアドレスaiを認識することができないため、プライベートネットワークの内部にある機器への不正なアクセスを防止することができる。
なお、TCP/IPのネットワークにおいては、機器に割り当てられるIPアドレスの他に、IPアドレス上でサービス(要求データ及び応答データのそれぞれの種類)を区別するためにポート番号が利用されている。サービスとは例えばホームページのための情報を提供する機能といった機能を提供することを指し、サービスを提供するソフトウェア(又はそれが動作しているハードウェア)がサーバであり、サーバが提供するサービスを利用するものがクライアントである。Webを提供するサービス(=Webサーバ)にはポート番号「80」が割り当てられることになっている。このため、実際のアクセスにおいては、ホームページ閲覧の場合、「IPアドレス」+「ポート番号」という形で、アクセスが行われる。
NAT機器300には、内側のネットワークから外側のネットワークへのアクセスだけでなく、電話でいうようなダイアルインのような機能もある。最も単純なパターンはグローバルアドレスAに対するアクセスを、任意のプライベートアドレスaiに転送するというものである。もう少し高度な設定では、グローバルアドレスAのポート80番に対するアクセスをプライベートアドレスaiのポート80番に、グローバルアドレスAのポート25番に対するアクセスをプライベートアドレスajのポート25番にというようにポート単位での振り分けが可能となっている。ユーザ(クライアント)が、サーバが提供する機能を参照する情報システムであれば、NATの環境は各種問題を解決する有効な手法である。インターネットを爆発的に普及させるきっかけとなったWebページもサーバが提供する形式のサービスでありメールも同様である。
しかし、異なるプライベートアドレスにある機器同士が、任意に情報(データ)を交換することはできない。なぜならばプライベートアドレス内にある以上、それぞれを直接通信相手として指定することが不可能なためである。
そこで、この問題を解決するための手段として、(1)VPN(Virtual Private Network)、(2)P2P(Peer to Peer)が挙げられる。
VPNは、直接通信をしたい機器が存在する異なるプライベートアドレス空間を、仮想的な通信経路により接続する手法である(例えば、非特許文献1参照)。図6に示されているように、第1及び第2のプライベートネットワークがそれぞれ、NATを介してインターネットの利用が可能とされている場合、NATが機能しているポイント(一般的にはルータやファイヤウォールと呼ばれる機器でありそれぞれのプライベートネットワークとインターネットとの出入口)には、グローバルアドレスが必ず割り当てられている。このため、そのグローバルアドレス同士で暗号化された仮想的な通信経路を確立し、その仮想的な通信経路を通じて2つのプライベートネットワークが接続される。仮想的な通信経路は暗号等の技術によってインターネットの他の拠点からは覗けない安全なトンネルであるため、あたかも2つのプライベートネットワークが直接つながっているような状態を実現することができる。このVPN方式を用いることにより異なるプライベートネットワーク(プライベートアドレス空間)に含まれている機器同士を通信させることが可能となる。図6に示されている例は、2つのプライベートネットワークを接続するものであるが、一方がネットワークでなく単体の端末であっても同様である。ノートパソコンのような移動体端末を、プライベートネットワークに参加させる方式も可能である。
P2Pは端末間で必要な情報を交換する手段のことをいい、通信経路の確保の手段というVPNよりも広い概念と位置づけられる(例えば、非特許文献2参照)。ここでいう情報交換とは、ファイルの交換であったり、チャットと呼ばれるリアルタイムな文字レベルのメッセージ交換であったり、音声電話チャットであったり、テレビ電話チャットであったり、これに限らずさまざま情報交換が想定できる。P2Pはこれらのような情報交換をあたかも端末間同士で行うしくみのことであり、その実現方法は大きく分けるとサーバ仲介型と、直接通信型に分けられる。単純に端末間で必要な情報を交換するといっても、これまで述べてきたような端末間接続の問題点が存在するため工夫が必要である。P2Pのサーバ仲介型接続では、グローバルアドレスによりアクセスできるサーバを仲介してプライベートネットワーク等にある端末間で情報交換をさせる。この方式では、ユーザの利用する端末はあくまでクライアントであり、相手と直接通信するのではなく、交換したい情報の受け渡しをサーバに依頼をする形となる。
この方式はシンプルではあるが、交換される全ての情報をサーバに処理させる事になるので、サーバの負荷が高くなりP2Pに参加できる端末がサーバの処理能力に制限される。それに対しP2Pの直接通信型は、サーバを介さずに端末間を直接通信させる方法である。概念的にはVPNに近いものであるが、VPNのようにグローバルアドレスを必要としないで、プライベートネットワーク等にある端末間で直接通信をさせるもので、(2a)UPUPnP(Universal Plug an Play)や、(2b)STUN(UDP Hole punching)があげられる。
UPnPは、最近のテレビ電話チャットや音声電話チャットのようなサービスにおいて新たに採用されているものである。UPnPは、NATと同様にプライベートアドレスの出入口にあたるポイントの機器に対し、プライベートアドレスの特定の端末同士だけを通信可能にする、特定の穴を一時的にあけてもらうためのものである(例えば、非特許文献3参照)。
STUNは、UPnPのように機器側での対応を必要としないで、プライベートネットワーク等にある端末間の通進路の確保を行える(例えば、非特許文献4参照)。しかしながらSTUNにより確保された端末間の通進路は、UDPプロトコルによる通信しか行うことができない。一般にインターネットにおける通信はTCPプロトコルが主であるため、UDPに制限されることにより端末間で行える情報交換そのものに制約を受けるというデメリットが存在する。
辻秀典 著「IT社会の基礎知識 TCP/IP」2004/7/1 第74~75頁 「IT用語辞典 e-words」2000/10/25(2004/10/1検索)インターネット<URL: http://e-words.jp/w/P2P.html > 佐藤晃洋「最新IT用語解説」2002/1/10(2004/10/1検索)インターネット<URL: http://pcweb.mycom.co.jp/series/ityougo/021/ > J. Rosenberg他「RFC 3489 - STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs)」2003/3(2004/10/01検索)インターネット<URL: http://www.faqs.org/rfcs/rfc3489.html >
辻秀典 著「IT社会の基礎知識 TCP/IP」2004/7/1 第74~75頁 「IT用語辞典 e-words」2000/10/25(2004/10/1検索)インターネット<URL: http://e-words.jp/w/P2P.html > 佐藤晃洋「最新IT用語解説」2002/1/10(2004/10/1検索)インターネット<URL: http://pcweb.mycom.co.jp/series/ityougo/021/ > J. Rosenberg他「RFC 3489 - STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs)」2003/3(2004/10/01検索)インターネット<URL: http://www.faqs.org/rfcs/rfc3489.html >
しかし、VPN方式によれば、同一組織に所属する複数の支部等、現実社会における相互信頼のある拠点同士を接続したり、決められた拠点につなぐことが前提とされている。また、少なくともベースとなる一の拠点には変動しないグローバルアドレスが必要となり、他の拠点にも基本的には変動しても構わないが、グローバルアドレスが必要となる。このため、VPN方式によれば、任意の異なるプライベートネットワークに含まれる機器同士を双方向通信自在につなげない。
また、サーバ経由型のP2P方式では、共有ファイルの置き場所となるサーバの負荷が過大となる可能性が非常に高くなる。
さらに、UPnP方式によれば、NAT機能を有する機器がUPnP方式に対応していないことが多く、インフラ整備のために多大な時間、労力及びコストを要するものである。また、プライベートネットワークの中にNATを介して存在するプライベートネットワークに含まれる機器に対して、外部からアクセスすることは非常に難しい。
また、STUN方式によれば、TCP/IPではなく転送の保証等の機能がないUDP/IPが採用されているため、通信可能なデータの種類が制限されてしまう。さらに、STUN方式においても、UPnP方式と同様に、NAT機能を有する機器がSTUN方式に対応していないことが多く、インフラ整備のために多大な時間、労力及びコストを要するものである。
そこで、本発明は、インターネットのインフラ整備の負担を軽減するとともに、ユーザによるインターネットの利用に支障をきたすような事態を回避しながら、任意のネットワークに存在する機器同士の相互通信を可能とするシステム、方法及びプログラムを提供することを解決課題とする。
前記課題を解決するための本発明の通信管理システムは、プライベートネットワークに設けられたNATを通じた複数の機器のインターネット通信を管理するシステムであって、機器からの認証要求に応じて、該機器が正当なものであるか否かを判定し、正当なものであると判定した機器に対してのみ認証子を発行する認証手段と、認証手段により発行された認証子を添付したリクエストが機器からあったとき、該認証子に応じた送信及び受信ポートをトンネルサーバ上に設定するポート設定手段と、第1機器の通信相手を、第1機器からのリクエストの内容及び第2機器からのリクエストの内容のうち一方又は両方に基づき、ポート設定手段により設定された送信及び受信ポートが有効に存在している通信待機状態の第2機器の中から指定する通信相手指定手段と、第1機器からのリクエストがあったとき、トンネルサーバにおける第1機器の送信ポート及び受信ポートのそれぞれと、通信相手指定手段により該第1機器の通信相手として指定された第2機器の受信ポート及び送信ポートのそれぞれとを接続することで、第1及び第2機器の双方向通信用の経路を作成する通信経路作成手段とを備えていることを特徴とする。
本発明の通信管理システムによれば、複数の機器がNATを通じてインターネット通信する場合でも、NATの方式を特定のものに対応させる必要はなく、既存のNATがそのまま利用され得る。このため、グローバルアドレスを増加させずに済むというNAT方式のメリットをそのまま享受し得る。なお、複数の機器のNATを通じたインターネット通信には、第1プライベートネットワークに含まれている機器と、第1プライベートネットワークとは別の第2プライベートネットワークに含まれている機器とが通信することと、プライベートネットワークに含まれている機器と、プライベートネットワークに含まれていない機器とが通信することとの両方が含まれる。
また、トンネルサーバにはサーバ経由型のP2P方式のように共有ファイル等が置かれるわけではなく、データの通信経路が作成されるだけである。また、トンネルサーバに第1及び第2機器の双方向通信用の経路が作成されるのは、第1機器からリクエストがあり、且つ、当該第1機器の通信相手である第2機器が通信待機状態にあるという条件が満たされている間のみである。このため、トンネルサーバの負荷が過大になるような事態が抑制され得る。
従って、本発明の通信管理システムによれば、インターネットのインフラ整備の負担を軽減するとともに、ユーザによるインターネットの利用に支障をきたすような事態を回避しながら、任意のネットワークに存在する機器同士の相互通信が可能となる。
また、本発明の通信管理システムは、トンネルサーバにおいて、ポート設定手段が、第1機器からの通信経路作成リクエストに応じて、第1機器からの受信ポートを設定し、第1機器から該受信ポートへの通信経路確保リクエストに応じて、第1機器への送信ポートを設定することを特徴とする。
さらに本発明の通信管理システムは、トンネルサーバにおいて、ポート設定手段が、第2機器からの通信経路作成リクエストに応じて、第2機器からの受信ポートを設定し、第2機器から該受信ポートへの通信経路確保リクエストに応じて、第2機器への送信ポートを設定することを特徴とする。
また、本発明の通信管理システムは、通信経路作成手段が、第1機器からトンネルサーバにおける受信ポートに対して、該第1機器の通信相手である第2機器への送信ポート番号が送信されたことに応じて、該第2機器への送信ポート番号に基づき、該第1機器の受信ポート及び該第2機器の送信ポートを接続するととともに、第2機器からトンネルサーバにおける受信ポートに対して、該第2機器の通信相手である第1機器への送信ポート番号が送信されたことに応じて、該第1機器への送信ポート番号に基づき、該第2機器の受信ポート及び該第1機器の送信ポートを接続することで、該第1及び第2機器の双方向通信用の経路を作成することを特徴とする。
さらに本発明の通信管理システムは、通信相手指定手段が、第1機器の通信相手として指定した第2機器への送信ポート番号を該第1機器に送信し、経路作成手段が、該第1機器からトンネルサーバにおける受信ポートに、該第1機器への送信ポート番号及び該第2機器への送信ポート番号が送信されたことに応じて、該第2機器への送信ポート番号に基づき、該第1機器の受信ポート及び該第2機器への送信ポートを接続することで、該第1機器への送信ポート番号を第2機器に送信させることを特徴とする。
前記課題を解決するための本発明の通信管理方法は、プライベートネットワークに設けられたNATを通じた複数の機器のインターネット通信を管理する方法であって、機器からの認証要求に応じて、該機器が正当なものであるか否かを判定し、正当なものであると判定した機器に対してのみ認証子を発行する認証ステップと、認証ステップにおいて発行された認証子を添付したリクエストが機器からあったとき、該認証子に応じた送信及び受信ポートをトンネルサーバ上に設定するポート設定ステップと、第1機器の通信相手を、第1機器からのリクエストの内容及び第2機器からのリクエストの内容のうち一方又は両方に基づき、ポート設定ステップにおいて設定された送信及び受信ポートが有効に存在している通信待機状態の第2機器の中から指定する通信相手指定ステップと、第1機器からのリクエストがあったとき、トンネルサーバにおける第1機器の送信ポート及び受信ポートのそれぞれと、通信相手指定手段により該第1機器の通信相手として指定された第2機器の受信ポート及び送信ポートのそれぞれとを接続することで、第1及び第2機器の双方向通信用の経路を作成する通信経路作成ステップとを備えていることを特徴とする。
本発明の通信管理方法によれば、インターネットのインフラ整備の負担を軽減するとともに、ユーザによるインターネットの利用に支障をきたすような事態を回避しながら、任意のネットワークに存在する機器同士の相互通信が可能となる。
前記課題を解決するための本発明の通信管理プログラムは、プライベートネットワークに設けられたNATを通じた複数の機器のインターネット通信を管理する機能をコンピュータに付与するプログラムであって、機器からの認証要求に応じて、該機器が正当なものであるか否かを判定し、正当なものであると判定した機器に対してのみ認証子を発行する認証機能と、認証機能により発行された認証子を添付したリクエストが機器からあったとき、該認証子に応じた送信及び受信ポートをトンネルサーバ上に設定するポート設定機能と、第1機器の通信相手を、第1機器からのリクエストの内容及び第2機器からのリクエストの内容のうち一方又は両方に基づき、ポート設定機能により設定された送信及び受信ポートが有効に存在している通信待機状態の第2機器の中から指定する通信相手指定機能と、第1機器からのリクエストがあったとき、トンネルサーバにおける第1機器の送信ポート及び受信ポートのそれぞれと、通信相手指定機能により該第1機器の通信相手として指定された第2機器の受信ポート及び送信ポートのそれぞれとを接続することで、第1及び第2機器の双方向通信用の経路を作成する通信経路作成機能とを一のコンピュータにまとめて、又は複数のコンピュータに分散させて付与することを特徴とする。
本発明の通信管理プログラムによれば、インターネットのインフラ整備の負担を軽減するとともに、ユーザによるインターネットの利用に支障をきたすような事態を回避しながら、任意のネットワークに存在する機器同士の相互通信が可能となるように、通信を管理し得る機能を一又は複数のコンピュータに付与することができる。
本発明の通信管理システム、通信管理方法及び通信管理プログラムの実施形態について図面を用いて説明する。
図1は本発明の一実施形態における通信管理システムの構成説明図であり、図2は本発明の一実施形態における通信管理方法による第2機器を通信待機状態にするための処理の説明図であり、図3は本発明の一実施形態における通信管理方法による、第1機器と通信待機状態の第2機器とを通信可能な状態にするための処理の説明図であり、図4は本発明の一実施形態における通信管理システムを構成するトンネルサーバの機能説明図であり、図5はプライベートネットワークの内外機器同士の通信方法の説明図であり、図6は複数のプライベートネットの接続状態の説明図である。
図1は本発明の一実施形態における通信管理システムの構成説明図であり、図2は本発明の一実施形態における通信管理方法による第2機器を通信待機状態にするための処理の説明図であり、図3は本発明の一実施形態における通信管理方法による、第1機器と通信待機状態の第2機器とを通信可能な状態にするための処理の説明図であり、図4は本発明の一実施形態における通信管理システムを構成するトンネルサーバの機能説明図であり、図5はプライベートネットワークの内外機器同士の通信方法の説明図であり、図6は複数のプライベートネットの接続状態の説明図である。
まず、本発明の通信管理システムの構成について図1を用いて説明する。
図1に示されている通信管理システムは、ハードウェアとしての認証サーバ110、トンネルサーバ120及びコミュニケーションサーバ130と、ソフトウェアとしての後述の本発明の「通信管理プログラム」とにより構成されている。通信管理システム100は、第1プライベートネットワークに含まれる第1機器210と、第2プライベートネットワークに含まれる第2機器220とのインターネットを介した通信を管理する。
認証サーバ110は、本発明の「認証手段」として、ユーザ(各機器)の認証、チケット(アクセス有効証(認証子))を発行等する。トンネルサーバ120は、本発明の「ポート設定手段」及び「通信経路作成手段」として、各機器の送信及び受信ポートを設定したり、機器が双方向に自由にアクセスできる通信経路を確保したりする。コミュニケーションサーバ130は、本発明の「通信相手指定手段」として、ユーザに対するサービスの提供状態を管理したり、トンネルサーバ120と各機器との間に確立されたそれぞれの通信経路を各機器同士で通信できるように結びつけたりする。認証サーバ110、トンネルサーバ120、及びコミュニケーションサーバ130は、それぞれインターネットからアクセス可能に接続されている。
第1端末210は、プライベートアドレスai(i=1,2,・・,N−1)を有し、ユーザの操作に応じた任意のタイミングで、プライベートアドレスaN及びグローバルアドレスAを有するNAT(Network Address Translator)310を介して、第1プライベートネットワークの外部にあるサーバ等の機器と通信可能な状態となる。
第2端末220は、第2プライベートアドレスbj(j=1,2,・・)を有し、ユーザの操作に応じたログイン後、プライベートアドレスbN及びグローバルアドレスBを有するNAT320を介して、第2プライベートネットワークの外部にあるサーバ等の機器と通信可能な状態となる。
前記構成の通信管理システムにより実施される通信管理方法について、図2〜図・を用いて説明する。この通信管理方法は、(B)第2機器220を通信待機状態にするための処理と、第1機器210と、(A)通信待機状態の第2機器220とを通信可能な状態にするための処理とに区別することができる。
最初に(B)第2機器220を通信待機状態にするための処理について説明する。
第2ユーザによって第2機器220にそのユーザID及びパスワードが入力されたことに応じて、第2機器220がこのパスワードを暗号化してユーザIDとともに認証サーバ110に送信する(図2/矢印(B1))。これに応じて、認証サーバ110が、ユーザIDと暗号化されたパスワードとの組合せが適正なものであるか否かを判定し(図2/S11b)、この組合せが適正であると判定した場合、第2機器220がログインしている間に有効なチケット(認証子)を発行し(図2/S12b)、第2機器220に送信する(図2/矢印(B2))。チケットとしては、例えば、ユーザIDとランダムな文字列との組合せが採用される。ログイン状態にある第2機器220に関する通信にはすべてこのチケットが添付されることにより、第2機器220が認証サーバ110によって認証された状態であることが保証される。
第2ユーザによって第2機器220にそのユーザID及びパスワードが入力されたことに応じて、第2機器220がこのパスワードを暗号化してユーザIDとともに認証サーバ110に送信する(図2/矢印(B1))。これに応じて、認証サーバ110が、ユーザIDと暗号化されたパスワードとの組合せが適正なものであるか否かを判定し(図2/S11b)、この組合せが適正であると判定した場合、第2機器220がログインしている間に有効なチケット(認証子)を発行し(図2/S12b)、第2機器220に送信する(図2/矢印(B2))。チケットとしては、例えば、ユーザIDとランダムな文字列との組合せが採用される。ログイン状態にある第2機器220に関する通信にはすべてこのチケットが添付されることにより、第2機器220が認証サーバ110によって認証された状態であることが保証される。
続いて、第2機器220が、トンネルサーバに対して通信経路の作成をリクエストする(図2/矢印(B3))。これに応じて、トンネルサーバ120が、第2機器220からの受信ポートを設定し(図2/S21b)、この上で受信ポートを特定するための受信ポート番号と接続鍵とを第2機器220に送信する(図2/矢印(B4))。
次に、第2機器220が、この受信ポート番号により特定されるトンネルサーバ120の受信ポートに対して接続鍵を使って通信経路の確保をリクエストする(図2/矢印(B5))。これに応じて、トンネルサーバ120が、第2機器220への送信ポートを設定するとともに(図2/S22b)、第2機器220に対して通信経路が確立されたこと、すなわち、第2機器220のための有効な送信及び受信ポートが設定されたことを通知する(図2/矢印(B6))。
また、トンネルサーバ120が、コミュニケーションサーバ130に対して第2機器220が通信待機状態であることを通知する(図2/矢印(B7))。
これにより、第2ユーザの第2機器220が第1機器210との通信を待機している状態となる。
次に(A)第1機器210と、通信待機状態の第2機器220とを通信可能な状態にするための処理について説明する。
第1ユーザによって第1機器210にそのユーザID及びパスワードが入力されたことに応じて、第1機器210がこのパスワードを暗号化してユーザIDとともに認証サーバ110に送信する(図3/矢印(A1))。これに応じて、認証サーバ110は、ユーザIDと暗号化されたパスワードとの組合せが適正なものであるか否かを判定し(図3/S11a)、この組合せが適正であると判定した場合、第1機器210がログインしている間に有効なチケット(認証子)を発行し(図2/S12a)、第1機器210に送信する(図3/矢印(A2))。チケットとしては、例えば、ユーザIDとランダムな文字列との組合せが採用される。ログイン状態にある第1機器210に関する通信にはすべてこのチケットが添付されることにより、第1機器210が認証サーバ110によって認証された状態であることが保証される。
次に、第1機器210が、チケットを添付した上で、コミュニケーションサーバ130にサービスをリクエストする(図3/矢印(A3))。サービスの内容としては、機器を通じたユーザ同士の会話、コンサルティング、情報提供等、さまざまなものが含まれる。これに応じて、コミュニケーションサーバ130が、第1機器210からリクエストがあったサービスの内容、第1機器210からの通信相手の指定等に基づき、第1機器210の通信相手となる第2機器220を決定する(図3/S31)。
また、コミュニケーションサーバ130は、第1機器210の通信相手として決定した第2機器220の送信及び受信ポートがトンネルサーバ120において有効に存在しているか否かを、当該トンネルサーバ120に問合せる(図3/矢印(A4))。そして、コミュニケーションサーバ130は、トンネルサーバ120からの回答を受信し(図3/矢印(A5))、当該回答に基づいて第1機器210の通信相手として決定した第2機器220が通信待機状態であるか否かを認識する(図3/S32)。
コミュニケーションサーバ130は、第1機器210の通信相手として決定した第2機器220が通信待機状態であると認識した場合、第1機器210に対して通信許可を通知するとともに、当該第2機器220の送信ポート番号を送信する(図3/矢印(A6))。
続いて、第1機器210が、トンネルサーバ120に対して通信経路の作成をリクエストする(図2/矢印(A7))。これに応じて、トンネルサーバ120が、第1機器210からの受信ポートを設定し(図3/S21a)、この上で受信ポートを特定するための受信ポート番号と接続鍵とを第1機器210に送信する(図2/矢印(A8))。
次に、第1機器210が、この受信ポート番号により特定されるトンネルサーバ120の受信ポートに対して接続鍵を使って通信経路の確保をリクエストする(図2/矢印(A9))。これに応じて、トンネルサーバ120が、第1機器210への送信ポートを設定し(図2/S22a)、第1機器210に対して通信経路が確立されたこと、すなわち、第2機器220のための有効な送信及び受信ポートが設定されたことを通知するとともに、当該送信ポートを特定するための送信ポート番号を送信する(図2/矢印(A10))。
続いて、第1機器210が、トンネルサーバ120に対してチケット、通信相手の送信ポート番号、及び自身の送信ポート番号を送信する(図3/矢印(A11))。そして、トンネルサーバ120が、通信相手の送信ポート番号に基づき、第1機器210の受信ポート及び当該通信相手の送信ポートをつなぐことにより、第2機器220に対して第1機器210の送信ポート番号が送信される(図3/矢印(A12))。
これにより、第1機器210と第2機器220とがトンネルサーバ120の中継ポートを介して双方向通信が可能な状態となる。
すなわち、図4(a)に示されているように、第1機器210が、受信ポート番号(図3/矢印(A8)参照)に基づき、トンネルサーバ120における当該受信ポートに対して、何らかの情報を通信相手である第2機器220の送信ポート番号(図3/矢印(A6)参照)とともに送信したとき、トンネルサーバ120が第1機器210の受信ポート及び第2機器220の送信ポートをつなぐことにより、その情報が第2機器220に送信される。
一方、図4(b)に示されているように、第2機器220が、受信ポート番号(図2/矢印(B2)参照)に基づき、トンネルサーバ120における当該受信ポートに対して、何らかの情報を通信相手である第1機器210の送信ポート番号(図3/矢印(A12)参照)とともに送信したとき、トンネルサーバ120が第2機器220の受信ポート及び第1機器210の送信ポートをつなぐことにより、その情報が第1機器210に送信される。
前記通信管理システムにより実行される通信管理方法によれば、複数の機器がNAT310,320を通じてインターネット通信する場合でも、NAT310,320の方式を特定のものに対応させる必要はなく、既存のNATがそのまま利用され得る。このため、グローバルアドレスを増加させずに済むというNAT方式のメリットをそのまま享受し得る。
また、トンネルサーバ120にはサーバ経由型のP2P方式のように共有ファイル等が置かれるわけではなく、データの通信経路が作成されるだけである。また、トンネルサーバ120に第1機器210及び第2機器220の双方向通信用の経路が作成されるのは、第1機器210からサービスリクエストがあり、且つ、当該第1機器210の通信相手である第2機器220が通信待機状態にあるという条件が満たされている間のみである。このため、トンネルサーバ120の負荷が過大になるような事態が抑制され得る。
従って、本発明の通信管理システム及び方法によれば、インターネットのインフラ整備の負担を軽減するとともに、ユーザによるインターネットの利用に支障をきたすような事態を回避しながら、任意のネットワークに存在する機器同士の相互通信が可能となる。
前記実施形態では第1端末210及び第2端末220の両方がプライベートネットワークに含まれていたが、他の実施形態として第1端末210及び第2端末220のうち一方のみがプライベートネットワークに含まれていてもよい。
110・・認証サーバ(認証手段)、120・・トンネルサーバ(ポート設定手段、通信経路作成手段)、130・・コミュニケーションサーバ(通信相手指定手段)、210・・第1機器、220・・第2機器、310、320・・NAT
Claims (7)
- プライベートネットワークに設けられたNATを通じた複数の機器のインターネット通信を管理するシステムであって、
機器からの認証要求に応じて、該機器が正当なものであるか否かを判定し、正当なものであると判定した機器に対してのみ認証子を発行する認証手段と、
認証手段により発行された認証子を添付したリクエストが機器からあったとき、該認証子に応じた送信及び受信ポートをトンネルサーバ上に設定するポート設定手段と、
第1機器の通信相手を、第1機器からのリクエストの内容及び第2機器からのリクエストの内容のうち一方又は両方に基づき、ポート設定手段により設定された送信及び受信ポートが有効に存在している通信待機状態の第2機器の中から指定する通信相手指定手段と、
第1機器からのリクエストがあったとき、トンネルサーバにおける第1機器の送信ポート及び受信ポートのそれぞれと、通信相手指定手段により該第1機器の通信相手として指定された第2機器の受信ポート及び送信ポートのそれぞれとを接続することで、第1及び第2機器の双方向通信用の経路を作成する通信経路作成手段とを備えていることを特徴とする通信管理システム。 - トンネルサーバにおいて、ポート設定手段が、第1機器からの通信経路作成リクエストに応じて、第1機器からの受信ポートを設定し、第1機器から該受信ポートへの通信経路確保リクエストに応じて、第1機器への送信ポートを設定することを特徴とする請求項1記載の通信管理システム。
- トンネルサーバにおいて、ポート設定手段が、第2機器からの通信経路作成リクエストに応じて、第2機器からの受信ポートを設定し、第2機器から該受信ポートへの通信経路確保リクエストに応じて、第2機器への送信ポートを設定することを特徴とする請求項1記載の通信管理システム。
- 通信経路作成手段が、第1機器からトンネルサーバにおける受信ポートに対して、該第1機器の通信相手である第2機器への送信ポート番号が送信されたことに応じて、該第2機器への送信ポート番号に基づき、該第1機器の受信ポート及び該第2機器の送信ポートを接続するととともに、第2機器からトンネルサーバにおける受信ポートに対して、該第2機器の通信相手である第1機器への送信ポート番号が送信されたことに応じて、該第1機器への送信ポート番号に基づき、該第2機器の受信ポート及び該第1機器の送信ポートを接続することで、該第1及び第2機器の双方向通信用の経路を作成することを特徴とする請求項1記載の通信管理システム。
- 通信相手指定手段が、第1機器の通信相手として指定した第2機器への送信ポート番号を該第1機器に送信し、
経路作成手段が、該第1機器からトンネルサーバにおける受信ポートに、該第1機器への送信ポート番号及び該第2機器への送信ポート番号が送信されたことに応じて、該第2機器への送信ポート番号に基づき、該第1機器の受信ポート及び該第2機器への送信ポートを接続することで、該第1機器への送信ポート番号を第2機器に送信させることを特徴とする請求項4記載の通信管理システム。 - プライベートネットワークに設けられたNATを通じた複数の機器のインターネット通信を管理する方法であって、
機器からの認証要求に応じて、該機器が正当なものであるか否かを判定し、正当なものであると判定した機器に対してのみ認証子を発行する認証ステップと、
認証ステップにおいて発行された認証子を添付したリクエストが機器からあったとき、該認証子に応じた送信及び受信ポートをトンネルサーバ上に設定するポート設定ステップと、
第1機器の通信相手を、第1機器からのリクエストの内容及び第2機器からのリクエストの内容のうち一方又は両方に基づき、ポート設定ステップにおいて設定された送信及び受信ポートが有効に存在している通信待機状態の第2機器の中から指定する通信相手指定ステップと、
第1機器からのリクエストがあったとき、トンネルサーバにおける第1機器の送信ポート及び受信ポートのそれぞれと、通信相手指定手段により該第1機器の通信相手として指定された第2機器の受信ポート及び送信ポートのそれぞれとを接続することで、第1及び第2機器の双方向通信用の経路を作成する通信経路作成ステップとを備えていることを特徴とする通信管理方法。 - プライベートネットワークに設けられたNATを通じた複数の機器のインターネット通信を管理する機能をコンピュータに付与するプログラムであって、
機器からの認証要求に応じて、該機器が正当なものであるか否かを判定し、正当なものであると判定した機器に対してのみ認証子を発行する認証機能と、
認証機能により発行された認証子を添付したリクエストが機器からあったとき、該認証子に応じた送信及び受信ポートをトンネルサーバ上に設定するポート設定機能と、
第1機器の通信相手を、第1機器からのリクエストの内容及び第2機器からのリクエストの内容のうち一方又は両方に基づき、ポート設定機能により設定された送信及び受信ポートが有効に存在している通信待機状態の第2機器の中から指定する通信相手指定機能と、
第1機器からのリクエストがあったとき、トンネルサーバにおける第1機器の送信ポート及び受信ポートのそれぞれと、通信相手指定機能により該第1機器の通信相手として指定された第2機器の受信ポート及び送信ポートのそれぞれとを接続することで、第1及び第2機器の双方向通信用の経路を作成する通信経路作成機能とを一のコンピュータにまとめて、又は複数のコンピュータに分散させて付与することを特徴とする通信管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005013030A JP4401302B2 (ja) | 2005-01-20 | 2005-01-20 | 通信管理システム、通信管理方法、及び通信管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005013030A JP4401302B2 (ja) | 2005-01-20 | 2005-01-20 | 通信管理システム、通信管理方法、及び通信管理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006203546A JP2006203546A (ja) | 2006-08-03 |
| JP4401302B2 true JP4401302B2 (ja) | 2010-01-20 |
Family
ID=36961154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005013030A Expired - Fee Related JP4401302B2 (ja) | 2005-01-20 | 2005-01-20 | 通信管理システム、通信管理方法、及び通信管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4401302B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101683292B1 (ko) | 2010-06-18 | 2016-12-07 | 삼성전자주식회사 | Pn 라우팅 테이블을 이용한 개인 네트워크의 구성 장치 및 방법 |
| JP5982706B2 (ja) * | 2011-11-14 | 2016-08-31 | エフオーエヌ・ワイヤレス・リミテッドFon Wirerless Limited | セキュアトンネリング・プラットフォームシステムならびに方法 |
-
2005
- 2005-01-20 JP JP2005013030A patent/JP4401302B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006203546A (ja) | 2006-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8631139B2 (en) | System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client | |
| US9203807B2 (en) | Private cloud server and client architecture without utilizing a routing server | |
| JP4648148B2 (ja) | 接続支援装置 | |
| US20170034174A1 (en) | Method for providing access to a web server | |
| EP2803177B1 (en) | Device arrangement and method for implementing a data transfer network used in remote control of properties | |
| JP2004128782A (ja) | 鍵交換代理ネットワークシステム | |
| JP2009163546A (ja) | ゲートウェイ、中継方法及びプログラム | |
| JP2009100064A (ja) | 無線lanの通信方法及び通信システム | |
| JP4260659B2 (ja) | パケットのnat透過機能を有する端末装置及びそのプログラム | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| EP2715983B1 (en) | Device arrangement for implementing remote control of properties | |
| EP1489809A1 (en) | Network access system | |
| CN104756462B (zh) | 用于在限制性防火墙后进行tcp turn操作的方法和系统 | |
| Benomar et al. | A cloud-based and dynamic dns approach to enable the web of things | |
| JP4401302B2 (ja) | 通信管理システム、通信管理方法、及び通信管理プログラム | |
| JP4372075B2 (ja) | 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法 | |
| TW201606520A (zh) | 不利用公用雲端型路由伺服器之私有雲端路由伺服器、私有網路服務及智慧型裝置客戶端架構 | |
| JP2010154097A (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
| JP2010283762A (ja) | 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体 | |
| GB2496380A (en) | Private cloud server and client architecture using e-mail/SMS to establish communication | |
| Hwang et al. | Personal mobile A/V control point for home-to-home media streaming | |
| KR100660123B1 (ko) | Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기 | |
| JP2006352710A (ja) | パケット中継装置及びプログラム | |
| JP2008017055A (ja) | ゲートウェイサーバ | |
| Janbeglou et al. | Overudp: Tunneling transport layer protocols in udp for p2p application of ipv4 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080121 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091006 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091027 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121106 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131106 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |