JP4612528B2 - ネットワーク接続システム、ネットワーク接続装置およびそのプログラム - Google Patents

ネットワーク接続システム、ネットワーク接続装置およびそのプログラム Download PDF

Info

Publication number
JP4612528B2
JP4612528B2 JP2005321880A JP2005321880A JP4612528B2 JP 4612528 B2 JP4612528 B2 JP 4612528B2 JP 2005321880 A JP2005321880 A JP 2005321880A JP 2005321880 A JP2005321880 A JP 2005321880A JP 4612528 B2 JP4612528 B2 JP 4612528B2
Authority
JP
Japan
Prior art keywords
information
network connection
communication terminal
connection device
link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005321880A
Other languages
English (en)
Other versions
JP2007060610A (ja
Inventor
行雄 鶴岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005321880A priority Critical patent/JP4612528B2/ja
Publication of JP2007060610A publication Critical patent/JP2007060610A/ja
Application granted granted Critical
Publication of JP4612528B2 publication Critical patent/JP4612528B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークに接続されたネットワーク接続装置を介して、ネットワーク接続装置に接続された通信端末とネットワーク上の機器との間で情報を送受信するネットワーク接続システム、そのネットワーク接続装置、そのプログラムおよび記録媒体に関する。
従来のネットワーク接続システムを構成するネットワーク接続装置として、ブロードバンド対応ルータを含むNAT(Network Address Translation)装置などが知られている。これは、プライベートアドレス空間に属する通信端末とグローバルアドレス空間に属するネットワーク上の機器との間でIP(Internet Protocol)通信を行う際に、企業網や家庭内の網などで用いられるプライベートアドレス空間に属する通信端末のプライベートアドレスを、自己が保持するグローバルアドレスの中の任意のグローバルアドレスに対応づけるアドレス変換用のマッピングテーブルを作成し、受信したパケットを、このマッピングテーブルに従って転送するものである。すなわち、プライベートアドレスを送信元アドレスとして通信端末から送信されたパケットは、NAT装置のマッピングテーブルに基づいて、その発信元アドレスが対応するグローバルアドレスに変換され、ネットワーク上の機器に転送される。また、このグローバルアドレスを送信先としてネットワーク上の機器から送信されたパケットは、マッピングテーブルに基づいて、その送信先アドレスが対応するプライベートアドレスに変換され通信端末に転送される。このような仕組みによれば、複数の通信端末が一つのグローバルアドレスを共有でき、グローバルアドレス空間が節約できる(例えば、特許文献1参照。)。
特開平2004−072480号公報(第1頁、第1図)
しかし、従来のネットワーク接続システムには、NATに係るアドレス変換に起因した以下のような課題が存在する。
第一に、FTP(File Transfer Protocol)、SIP(Session Initiation Protocol)、DNS(Domain Name System)、SCTP(Stream Control Transport Protocol)、DCCP(Datagram Congestion Control Protocol)などのプロトコルでは、IPヘッダだけではなくペイロードにもIPアドレスが含まれるため、IPヘッダ部分のアドレス変換の際、ペイロード部分のアドレス変換も同時に行わなくてはならない。例えばSIPのINVITEメッセージでは、ペイロード中に互いに通信するもの同志のアドレスが含まれるため、ペイロード中のプライベートアドレスを対応するグローバルアドレスに変換しなければならない。ペイロードのどの部分にIPアドレスが含まれるかはプロトコル毎に異なるため、それぞれについてアドレス変換の方法を変えなければならない。さらには、新規のプロトコルには対応できないといった問題がある。
また、アドレス変換用のマッピングテーブルは、プライベートアドレスを持つ通信端末からグローバルアドレスを持つネットワーク上の機器にアクセスする際に設定されるが、逆にネットワーク上の機器から通信端末へのアクセスを契機にする場合は、通信端末のプライベートアドレスが特定できず通信ができないといった問題がある。すなわち、NAT装置はクライアントサーバ型のアプリケーションには適しているが、ネットワーク側からのアクセスがあるVoIPアプリケーションやP2P型のアプリケーションには適さず、別途中継サーバが必要となる。
また、前記のマッピングテーブルは、通信相手であるネットワーク上の機器のアドレスに対応して設定される場合があるが、この機器がハンドオーバーによりアドレスを変更する場合や、ネットワーク上の別の機器にLAN上の通信端末に割当てられたグローバルアドレスを通知して新たな通信を行う際には、ネットワーク上の機器のアドレスが異なっているため、アドレス変換が正しく行なわれないという問題もある。
さらに、IPsec(Security Architecture for Internet Protocol)のプロトコルを適用してIPヘッダの改竄防止を図る場合があるが、従来のネットワーク接続システムのようにNATによるアドレス変換を行うと、IPヘッダが変更され、IPsecのプロトコルはこれをIPヘッダの改竄と判断してしまう。
本発明は、これらの点に鑑みてなされたものであり、ネットワーク接続システムに係るアドレスの変換を不要とし、これらの課題を解決する技術を提供することを目的とする。
請求項1に記載のネットワーク接続システムは、ネットワークに接続されたネットワーク接続装置と、ネットワーク接続装置と通信可能に接続された通信端末とを備え、通信端末は、ネットワーク上の機器と通信するプロセスに対応するプロセス識別子およびネットワーク上の機器を表す宛先アドレスを含む内部通信情報を、ネットワーク接続装置との間で送受信し、ネットワーク接続装置は、通信端末によって送信された内部通信情報を受信したとき、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報により特定される宛先アドレスを含むパケットを生成し、生成したパケットをネットワーク上の機器に送信し、ネットワーク上の機器からパケットを受信したとき、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報を生成し、生成した内部通信情報を通信端末に送信する構成を有している。
この構成の場合、通信端末は自らのアドレスを含むIPパケットを直接取り扱わない。IPパケットを取り扱うのはネットワーク接続装置のみである。すなわち、この構成では、通信端末が取り扱うプライベートアドレスと、ネットワーク接続装置が取り扱うグローバルアドレスとの変換が不要である。そのため、本発明では、上述したアドレス変換に起因する課題を解決できる。
請求項2に記載のネットワーク接続システムは、通信端末が、プロセス識別子を含む情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末によって送信された情報に含まれるプロセス識別子と所定のアドレスとを対応付けるプロセス対応情報を作成し、生成したプロセス対応情報に従って、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスを特定してパケットを生成し、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を特定して内部通信情報を生成する構成を有している。
この構成により、ネットワーク接続装置と通信端末の間で用いられていたプライベートアドレスが不要となる。その結果、NATが不要となり、アドレス変換に起因する課題を解決できる。
請求項3に記載のネットワーク接続システムは、通信端末が、通信端末を認証するための端末認証情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末から送信された端末認証情報に基づいて通信端末の認証を行い、通信端末の認証が成功した場合、通信端末とネットワーク上の機器との間の情報の送受信を許可する構成を有している。
この構成により、認証が成功した通信端末のみが、ネットワーク上の機器と情報の送受信を許可されることになる。これにより、セキュリティを高めた通信ができる。
請求項4に記載のネットワーク接続システムは、通信端末が、通信端末を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、当該ユーザに対応するプロセス識別子を含む内部通信情報の通信端末への送信と、当該内部通信情報に対応するパケットのネットワーク上の機器への送信とを許可する構成を有している。
この構成により、認証が成功したユーザに対応するプロセス識別子を含む内部通信情報のみの送受信が許可されることになる。これにより、セキュリティを高めた通信ができる。
上述のように本発明では、NATが不要になる。その結果、このアドレス変換に起因する問題を解決することができる。
以下、本発明の実施の形態に係るネットワーク接続システムについて、図面を参照して説明する。
(本発明の第1の実施の形態)
〔全体構成〕
本発明の第1の実施の形態に係るネットワーク接続システム1のシステム構成図を図1に示す。図1に示したネットワーク接続システム1は、ネットワーク40に接続されたネットワーク接続装置10と、ネットワーク接続装置10と通信可能に接続された通信端末20とを備えた構成を有し、さらにネットワーク40には、サーバ等の外部ホスト30が接続されている。
また、図1に示したネットワーク接続システム1では、ネットワーク接続装置10を介して、ネットワーク接続装置10に接続された通信端末20と、外部ホスト30を含むネットワーク40上の機器との間で情報が送受信される。
なお、図示した通信端末20の各々を区別する場合には、通信端末20をそれぞれ通信端末20−1、通信端末20−2と記載し、外部ホスト30の各々を区別する場合には、外部ホスト30をそれぞれ外部ホスト30−1、外部ホスト30−2と記載する。
また、例えば、外部ホスト30−1、外部ホスト30−2は、それぞれWeb外部ホスト、メールサーバ、通信相手端末等であり、通信端末20およびネットワーク接続装置10は、企業内および家庭内に設置され、ネットワーク40は、インターネット等である。なお、ネットワーク接続装置10と通信端末20との間は、有線または無線で接続されてもよい。
ネットワーク接続装置10と通信端末20との間は、リンクレイヤのプロトコルに準拠して通信する。例えば、リンクレイヤのプロトコルは、IEEE802.3(Ethernet(登録商標))、PPP(Point-to-Point Protocol)、もしくはL2TP(Layer 2 Tunneling Protocol)、またはPPTP(Point-to-Point Tunneling Protocol)などのトンネリングプロトコルでもよく、ネットワーク接続装置10と外部ホスト30との間の通信はIPに準拠する。
通信端末20は、IPに準拠した通信をしないため、IPアドレスはもたない。また、ネットワーク接続装置10は、外部ホスト30等の通信機器と通信するため、例えば、グローバルIPアドレスを1以上保有する(メモリ等に格納している)。
〔ネットワーク接続装置10の構成〕
<ハードウエア構成>
ネットワーク接続装置10は、CPU(Central Processing Unit)、メモリ(RAM,ROM,NV-RAM)、ハードディスク、ネットワーク40に接続されるネットワークインタフェース、および通信端末20に接続されるインタフェース等を有している。
<ソフトウエア構成>
図2は、ネットワーク接続装置10にインストールされているソフトウエア1010の構成を例示した図である。図2に示すように、この例のソフトウエア1010は、通信端末20とネットワーク接続装置10とのリンクを確立させてリンク情報を生成するためのリンク確立ソフトウエア1012、通信端末20から通知されるプロセス識別子とグローバルIPアドレス等のアドレスとを対応させるプロセス対応情報を作成するためのプロセス対応情報作成ソフトウエア1013、OS(Operating System)1015、ネットワークドライバ1016、および、プロセス対応情報に従って内部通信情報を生成する内部通信情報生成ソフトウエア1017を有している。
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置10は、上述のハードウエアにソフトウエア1010がインストールされ、このソフトウエア1010がCPUで実行されることにより構成される。図3は、このように構成されたネットワーク接続装置10の構成を例示したブロック図である。
この図に示すように、この例のネットワーク接続装置10は、通信端末20と通信を行うインタフェース部11、通信端末20との間のリンクを確立させてリンク情報1021を生成するリンク確立部12、プロセス対応情報1022を作成するプロセス対応情報作成部13、リンク情報1021とプロセス対応情報1022とを格納する記憶部14、プロセス対応情報1022に従ってパケットを生成するパケット生成部15、プロセス対応情報1022に従って内部通信情報を生成する内部通信情報生成部16、ネットワーク40を通じた通信を行うネットワークインタフェース部17、および、ネットワーク接続装置10全体を制御する制御部18を有する。また、インタフェース部11は、インタフェース11a,11bおよび11cを有し、それぞれにインタフェース番号(IF#0,IF#1,IF#2)が割り振られている。なお、「インタフェース」とは、各装置における通信の論理的な機能単位を意味し、具体的には、所定のソフトウエアが読み込まれたCPUがLANカード等の通信装置を制御することによって構成される。また、各装置は複数のインタフェースをもつことが可能である。
〔通信端末20の構成〕
<ハードウエア構成>
通信端末20は、CPU、メモリ、ネットワーク接続装置10に接続されるインタフェース等を有しており、例えば、ハードディスク、キーボード等の入力器、およびディスプレイを備えたパソコン等である。また、通信端末20は、情報家電機器等でもよい。
<ソフトウエア構成>
図4は、通信端末20にインストールされているソフトウエア1030の構成を例示した図である。図4に示すように、この例のソフトウエア1030は、Webページを閲覧するブラウザまたは、メールを送受信するメーラ等のアプリケーションソフトウエア1031、ネットワーク接続装置10へのリンク確立要求を行うためのリンク確立要求情報生成ソフトウエア1032、OS1033、および、ネットワークドライバ1034を有している。なお、アプリケーションソフトウエア1031は、ブラウザやメーラだけに限定されることはない。
<ハードウエアとソフトウエアの協働>
本形態の通信端末20は、上述のハードウエアにソフトウエア1030がインストールされ、このソフトウエア1030がCPUで実行されることにより構成される。
図5は、このように構成された通信端末20−1の構成を例示したブロック図である。なお、ここでは通信端末20−1の構成のみを例示するが、通信端末20−2の構成もこれと同様である。この例の通信端末20−1は、通信端末ID1041やリンク番号1042を格納する記憶部21−1、ネットワーク接続装置10と通信を行うインタフェース部22−1、ネットワーク接続装置10へのリンク確立要求を行うリンク確立要求情報生成部23−1、プロセス1001,1002を実行するプロセス実行部24−1、および、通信端末20全体を制御する制御部25−1を有する。また、インタフェース部22−1は、インタフェース22a−1を有し、これにはインタフェース番号(IF#0)が割り振られている。
ここで、プロセス1001,1002とは、OS1033の制御のもとCPUがアプリケーションソフトウエア1031を実行する際の処理単位である。これらのプロセス1001,1002は、アプリケーションソフトウエア1031がCPU上で起動されたことなどを契機にOS1033によって生起される。なお、プロセスの生起とは、プロセスに対応するプログラムをRAM等の主記憶装置に読み込み、CPUがこのプログラムを実行可能な状態にすること、および、実際に実行することをいう。本形態の場合、生起されたプロセス1001,1002は、例えば、ネットワーク40上のWebサーバやメールサーバとの通信処理を含む。そして、このWebサーバ等との通信処理は、CPU上で起動するソフトウエアであるネットワークドライバ1034による処理を介して実現される。具体的には、CPU上で起動されたネットワークドライバ1034は、例えば、宛先アドレスやペイロード含み、低位レイヤのプロトコルに準拠した内部通信情報を生成して送信する。
なお、図1では、通信端末20−1にプロセス1001およびプロセス1002が生起し、通信端末20−2にプロセス1003が生起している様子を示している。また、ネットワーク接続装置10もまた、同様に図示しないプロセスを生起している。
〔ネットワーク接続装置10と通信端末20との間のリンク〕
ネットワーク接続装置10と通信端末20とは、後述の処理により対応付けられる。このネットワーク接続装置10と通信端末20との間の対応付け(リンク)は、論理的なリンク番号によって表される。リンク番号と各インタフェースとの対応関係の一例を表1に示す。
Figure 0004612528
ネットワーク接続装置IDにおける「10」は、ネットワーク接続装置10を表している。なお、ネットワーク接続装置10を複数使用する構成で、複数のネットワーク接続装置10で共通のデータベースによって表1を表す情報が管理される場合では、ネットワーク接続装置IDが有効になる。また、ネットワーク接続装置10を複数使用する構成でなければ、ネットワーク接続装置IDは不要である。
ネットワーク接続装置10のIF番号における「0」、「1」、および「2」は、ネットワーク接続装置10のインタフェース11a,11b,11cの番号を表している。
また、通信端末IDにおける「1」および「2」は、それぞれ、通信端末20−1、通信端末20−2を表している。
通信端末20のIF番号における「0」および「1」は、通信端末20のインタフェース(22a−1等)の番号を表している。なお、それぞれの通信端末20にインタフェースが1つだけ存在する構成では、通信端末20のIF番号は不要である。
この例の場合、リンク番号「100」は、ネットワーク接続装置10のIF番号「0」と対応し、通信端末20−1のIF番号「0」と対応する。なお、リンク番号は、ネットワーク接続装置10のIDおよびネットワーク接続装置10のインタフェース番号によって構成されるようにしてもよい。
また、本発明の実施の形態において、図1の通信端末20−2のように通信端末20が複数のインタフェースを有する場合、ネットワーク接続装置10と通信端末20との間には、1つのインタフェースにつき1つの論理的なリンクが存在するものとする。
〔動作〕
以上のように構成された本発明の第1の実施の形態に係るネットワーク接続システム1の動作について、図面を参照して説明する。図6は、本発明の第1の実施の形態に係るネットワーク接続システム1の動作を示すシーケンス図である。なお、以下では、通信端末20−1がネットワーク40に接続された外部ホスト30等の通信機器と通信を行う場合を例にとって説明する。
まず、通信端末20−1のリンク確立要求情報生成部23−1は、ネットワーク接続装置10に対するリンク確立要求を示すリンク確立要求情報を生成する。リンク確立要求情報は、各通信端末を特定するための通信端末ID、MACアドレスまたは製造番号などの情報を含む。この例の場合、リンク確立要求情報生成部23−1は、記憶部21−1に格納された通信端末ID1041を読み込み、この通信端末ID1041を含むリンク確立要求情報を生成する。生成されたリンク確立要求情報は、ネットワークドライバ1034の処理に従い、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信される(S1)。また、リンク確立要求情報を送信する契機としては、通信端末20−1がネットワーク接続装置10と物理的に接続したときなどである。
次に、ネットワーク接続装置10は、通信端末20−1から送信されたリンク確立要求情報をインタフェース部11のインタフェース11aで受信し、これをリンク確立部12に転送する。リンク確立部12は、受信したリンク確立要求情報に応じたリンク番号を割当てると共に、割当てたリンク番号をインタフェース部11のインタフェース11aから通信端末20−1に送信する。
また、リンク確立部12は、割当てたリンク番号と、リンク確立要求情報に含まれる通信端末ID1041と、リンク確立要求情報を受信したときのインタフェース11aの番号とを対応させるリンク情報1021を生成し、これをメモリやハードディスク等の記憶部14に格納する(S2)。ここで、リンク確立部12が作成したリンク情報の一例を表2に示す。
Figure 0004612528
通信端末20−1は、ネットワーク接続装置10から送信されたリンク番号1042をインタフェース部22−1のインタフェース22a−1で受信し、ネットワークドライバ1034の処理に従い、制御部25−1は、受信したリンク番号1042をリンクが切断するまで記憶部21−1に保持する。
次に、プロセス実行部24−1は、プロセス1001,1002を生起し、生起したプロセス1001,1002に対応するプロセス識別子(以下、プロセスIDという。)および記憶部21−1に格納されたリンク番号1042を含むプロセス情報を、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信する(S3)。なお、プロセス情報を送信する契機としては、プロセスが生起されたときなどである。また、このプロセス情報の送信は、ネットワークドライバ1034の処理に従って実行される。
ネットワーク接続装置10は、通信端末20−1によって送信されたプロセス情報をインタフェース部11のインタフェース11aで受信し、これをプロセス対応情報作成部13に転送する。プロセス対応情報作成部13は、転送されたプロセス情報に応じて、外部ホスト30等の通信機器と通信するためのアドレスを割当てると共に、割当てたアドレスをインタフェース部11のインタフェース11aから通信端末20に送信する。
また、プロセス対応情報作成部13は、プロセス情報に含まれるプロセスIDと、リンク番号と、アドレスとを対応させるプロセス対応情報1022を生成し、これをメモリやハードディスク等の記憶部14に格納する(S4)。なお、アドレスは、グローバルIPアドレス等である。ここで、プロセス対応情報作成部13が作成したプロセス対応情報1022の一例を表3に示す。
Figure 0004612528
プロセスIDにおける「1001」、「1002」、および「1003」は、それぞれ、図1に示したプロセス1001、プロセス1002、プロセス1003を表している。
また、プロセス対応情報作成部13は、1つのリンク番号につき1つのアドレスを割当てるようにしてもよく、1つの通信端末IDにつき1つのアドレスを割当てるようにしてもよい。1つの通信端末IDにつき1つのアドレスを割当てる場合には、プロセス対応情報作成部13は、表2に例示したリンク情報1021における通信端末IDに基づいてアドレスを割当てる。
なお、プロセス情報には、アドレスの割当て方法(例えば、1つのリンク番号につき1つのアドレスを割当てるなど)を指定するアドレス割当情報を含めることができる。プロセス情報にアドレス割当情報を含めている場合には、プロセス対応情報作成部13は、このアドレス割当情報に従ってアドレスを割当てる。
また、アドレス割当情報に、1つのユーザにつき1つのアドレスを割当てるようにような設定が施されてもよい。具体的には、例えば、アドレス割当情報にユーザを表すユーザIDが設定されてもよい。この例の場合、プロセス対応情報作成部13には、ユーザIDが設定されているアドレス割当情報を含むプロセス情報がインタフェース部11のインタフェース11aから転送される。そして、この例のプロセス情報が転送されたプロセス対応情報作成部13は、例えば、アドレス割当情報に設定されているユーザIDと、割当てたアドレスとを対応させたプロセス対応情報1022を作成する。
図7は、本発明の第1の実施の形態に係るネットワーク接続装置10を経由した、通信端末20−1および外部ホスト30−1との間の情報の流れを示す図である。ここで、図7(A)は、通信端末20−1からネットワーク接続装置10を通じて外部ホスト30−1へ情報を送信する際の流れを示している。また、図7(B)は、外部ホスト30−1からネットワーク接続装置10を通じて通信端末20−1へ情報を送信する際の流れを示している。
<図7(A)に示す処理>
まず、通信端末20−1のプロセス実行部24−1が、実行されているプロセス1001に従い、外部ホスト30−1に送信されるデータとなるペイロードを生成する。また、プロセス実行部24−1は、ネットワークドライバ1034の処理に従い、このペイロードに対し、プロセスID、宛先となる外部ホスト30−1のアドレス(以降、2.1.1.1とする)、およびリンクヘッダを付加した内部通信情報1051を生成し、これらをインタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信する。
なお、内部通信情報1051に含まれるペイロードがTCPまたはUDPに準拠したデータである場合、ペイロードのヘッダ部のポート番号(送信元ポート番号)の設定情報にプロセスIDを設定することとしてもよい。
なお、内部通信情報とは、通信端末20−1とネットワーク接続装置10との間で送受される情報である。また、リンクヘッダは、低位レイヤのプロトコルに準拠したヘッダに係る情報である。
次に、ネットワーク接続装置10は、通信端末20−1から送信された内部通信情報1051を、インタフェース部11のインタフェース11aで受信する。受信された内部通信情報1051はパケット生成部15に転送され、パケット生成部15は、転送された内部通信情報1051に含まれるプロセスIDをキーとして表3に示したプロセス対応情報1022を検索し、このプロセスIDと対応するアドレスを送信元アドレスとして抽出する。図7(A)の例では、プロセスID1001をキーとして、プロセスID1001と対応する送信元アドレス1.1.1.1が抽出されている。そして、パケット生成部15は、抽出した送信元アドレス、内部通信情報1051に含まれるペイロードおよび宛先アドレスを含み、所定の形式(例えばIP)に準拠したパケット1052を生成する。
また、内部通信情報1051のプロセスIDが、ペイロードのヘッダ部のポート番号(送信元ポート番号)の設定情報に設定されたものであった場合、パケット生成部15は、上述のようにプロセスIDに対応する送信元アドレスを抽出すると共に、プロセスIDと対応するポート番号を割当て、このポート番号をペイロードに含むパケット1052を生成する。
なお、パケット1052がIPパケットである場合には、パケット1052は、宛先IPアドレスや送信元IPアドレス、その他のIPヘッダに関わる情報およびペイロードによって構成される。
このように生成されたパケット1052は、ネットワークインタフェース部17に転送され、そこからネットワークドライバ1016の処理に従い、外部ホスト30−1に転送される。
<図7(B)に示す処理>
外部ホスト30−1は、ネットワーク接続装置10から送信されたパケット1052を受信し、受信したパケット1052を処理する。この例の外部ホスト30−1は、受信したパケット1052に対して応答する場合、パケット1052に対する応答内容などを含むペイロードを生成する。ここで、パケット1052のペイロードにポート番号(送信元ポート番号)が含まれていた場合、外部ホスト30−1は、このポート番号を宛先ポート番号としたペイロードを生成する。そして、この例の外部ホスト30−1は、生成したペイロードを含み、パケット1052の送信元アドレスを宛先アドレスとし、パケット1052の宛先アドレスを送信元アドレスとしたパケット1053をネットワーク接続装置10に送信する。
ネットワーク接続装置10は、ネットワークインタフェース部17で、外部ホスト30−1から送信されたパケット1053を受信し、これを内部通信情報生成部16に転送する。内部通信情報生成部16は、転送されたパケット1053の宛先アドレスをキーとして、記憶部14のプロセス対応情報1022を検索し、この宛先アドレスが示すアドレスと対応するプロセスIDを抽出する。また、パケット1053の宛先アドレスと対応するプロセスIDが複数あって特定できない場合には、ペイロードに含まれるポート番号(宛先ポート番号)と対応するプロセスIDを特定する。図7(B)では、宛先アドレス1.1.1.1から、宛先アドレス1.1.1.1と対応するプロセスID1001を抽出している。
また、内部通信情報生成部16は、このように抽出したプロセスID、パケット1053のペイロードおよび送信元アドレスを用い、これにリンクヘッダを付した内部通信情報1054を生成する。なお、この内部通信情報1054は、ネットワークドライバ1016の処理に従い、低位レイヤのプロトコルに準拠して生成される。
また、内部通信情報生成部16は、ロセスIDをキーとして記憶部14のプロセス対応情報1022を検索し、このプロセスIDに対応するリンク番号を抽出する。さらに、内部通信情報生成部16は、抽出したリンク番号をキーとして記憶部14のリンク情報1021を検索し、このリンク番号に対応するIF番号を抽出する。例えば、ロセスIDが「1001」であった場合、これと対応するリンク番号「100」が抽出され、さらにこのリンク番号「100」と対応するネットワーク接続装置10のIF番号「0」が抽出される。
また、内部通信情報1054のペイロード内のポート番号(送信元ポート番号)の設定情報にプロセスIDを設定している場合には、内部通信情報生成部16は、まず受信したパケット1053のペイロードに含まれるポート番号(宛先ポート番号)と対応するプロセスIDを特定する。そして、内部通信情報生成部16は、このプロセスIDと対応するリンク番号から、表2に示したリンク情報1021に従ってネットワーク接続装置10のIF番号を特定する。
内部通信情報生成部16は、上述のように抽出したIF番号のインタフェース11aから内部通信情報1054を送出する。これにより、内部通信情報1054は、対応する通信端末20に転送される。この例ではIF番号「0」が抽出されることになるので、内部通信情報1054は、インタフェース部11のインタフェース11a(IF#0)から送出され、通信端末20−1のインタフェース部22−1のインタフェース22a−1に受信される。
通信端末20−1は、インタフェース22a−1で受信した内部通信情報1054をプロセス実行部24−1に転送する。プロセス実行部24−1は、転送された内部通信情報1054に含まれるプロセスIDと対応するプロセス1001を実行状態とし、このプロセス1001により内部通信情報1054のペイロードを処理する。
以上説明したように、本発明の第1の実施の形態に係るネットワーク接続システム1は、通信端末20とネットワーク40上の機器との間で情報を送受信する際に、ネットワーク接続装置10が、内部通信情報1051に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報1051に含まれる宛先アドレスを含むパケット1052を生成し、また、送信されたパケット1053に含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報1054を生成する。これにより、ネットワーク接続装置10と通信端末20の間で用いられるプライベートアドレスが不要となるため、NAT超え等に係るアドレスの変換が不要となる。その結果、従来のNAT超えの対策を適用する場合のような、IPヘッダ内のアドレスに加えて上位レイヤのメッセージを変換するといった処理が不要となる。また、種々のプロトコルに対応可能となるデータ転送を行うことができる。
また、通信端末20とネットワーク接続装置10との間で送受される内部通信情報1051,1054はIPを介在しないため、IPによるオーバヘッドが削減でき、データ転送量が低減する。加えて、通信端末20は、IPによるオーバヘッドに係る処理を行う必要が無いため、通信端末20の消費電力も低減できる。
さらに、ネットワーク接続装置10の記憶部14にリンク情報1021およびプロセス対応情報1022が生成された後は、外部ホスト30等のネットワーク上の通信機器は、希望する通信端末20を直接指定してセッションを行ったり、開始したりすることができる。
また、本形態では、ネットワーク接続装置10がアドレス変換を行わないため、本システムにIPsecのプロトコルを適用することも容易である。
なお、本形態では、リンク番号を用いた処理を説明したが、リンク番号は必須ではない。ただし、ネットワーク接続装置10と通信端末20との間にスイッチが存在したとき等の通信形態に依っては、リンク番号が必要となる場合がある。また、リンク番号を用いない形態においては、表2に示したリンク情報におけるリンク番号は、存在しなくてもよい。またこの場合、表3に示したプロセス対応情報は、リンク番号をネットワーク接続装置10のIF番号に換えたものとなる。そして、この際、図6を用いて説明した処理では、リンク番号の代わりにIF番号を用いる。
また、本発明の第1の実施の形態に係るネットワーク接続システム1において、通信端末20にソフトウエア1070に替えて、図8に示すようなソフトウエア1060をインストールすることとしてもよい。図8に例示するように、ソフトウエア1060は、アプリケーションソフトウエア1061、OS(仮想マシン)1062A、OS(仮想マシン)1062B、ネットワークドライバ1063を有している。この場合、通信端末20は、OS1062Aおよび1062Bが1つのCPUよって処理される構成となる。そして、例えば、ユーザA、ユーザBがそれぞれOS1062Aおよび1062Bを利用する。またユーザA、ユーザBが同時に異なるOSを利用してもよい。また、この図に示すように、ネットワーク接続装置10によってユーザ毎に1つずつアドレスが割当てられる形態をとることもできる。
(本発明の第2の実施の形態)
〔全体構成〕
本発明の第2の実施の形態に係るネットワーク接続システム100のシステム構成図を図9に示す。図9に示したネットワーク接続システム100は、ISP(Internet Service Provider)が有する認証サーバ160と、ネットワーク40に接続されたネットワーク接続装置110と、ネットワーク接続装置110と通信可能に接続された通信端末120を備えた構成であり、さらにネットワーク40には、外部ホスト30が接続されている。
なお、本発明の第2の実施の形態に係るネットワーク接続システム100を構成する構成要素のうち、本発明の第1の実施の形態に係るネットワーク接続システム1を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。また、図示した通信端末120の各々を区別する場合には、通信端末120をそれぞれ通信端末120−1、通信端末120−2と記載する。
例えば、通信端末120およびネットワーク接続装置110は、企業内および家庭内に設置される。ネットワーク接続装置110は、例えば、ISPから支給または貸し出しされたものである。ネットワーク接続装置110および通信端末120は、本発明の第1の実施の形態で説明したネットワーク接続装置10と通信端末20と基本的に同様の構成である。差異については以降に説明する。
本発明の第2の実施の形態に係るネットワーク接続システム100では、通信端末120が、通信端末120を認証するための端末認証情報をネットワーク接続装置110に送信し、ネットワーク接続装置110が、通信端末120から送信された端末認証情報に基づいて通信端末120の認証を行い、通信端末120の認証が成功した場合、通信端末120とネットワーク40上の機器との間における送受信を許可するようになっている。
また、通信端末120が、通信端末120を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置110に送信し、ネットワーク接続装置110は、通信端末120から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、通信端末120とネットワーク40上の機器との間における通信のうち、このユーザに対応するプロセス識別子を含む内部通信情報に対応するものの送受信を許可することもできる。
〔ネットワーク接続装置110の構成〕
次に、本発明の第2の実施の形態に係るネットワーク接続装置110の構成を説明する。なお、以下では、ネットワーク接続装置110の構成要素のうち、本発明の第1の実施の形態に係るネットワーク接続装置10の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<ハードウエア構成>
第1の実施の形態のネットワーク接続装置10と同様である。
<ソフトウエア構成>
図10は、ネットワーク接続装置110にインストールされているソフトウエア1070の構成を例示した図である。この図に例示するように、本形態の第1の実施の形態との相違点は、さらに端末認証情報またはユーザ認証情報に基づいて認証を行うための認証ソフトウエア1071がネットワーク接続装置110にインストールされている点である。その他は第1の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置110は、第1の実施の形態と同様なハードウエアにソフトウエア1070がインストールされ、このソフトウエア1070がCPUで実行されることにより構成される。図11は、このように構成されたネットワーク接続装置110の構成を例示したブロック図である。この図に示すように、本形態のネットワーク接続装置110は、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部111が付加される点で、第1の実施の形態のネットワーク接続装置10と相違する。その他はネットワーク接続装置10と同様である。すなわち、ネットワーク接続装置110は、インタフェース部11、リンク確立部12、プロセス対応情報作成部13、記憶部14、パケット生成部15、内部通信情報生成部16、ネットワークインタフェース部17、制御部18、および、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部111を有する。
〔通信端末120の構成〕
次に、本発明の第2の実施の形態に係る通信端末120の構成を説明する。なお、以下では、通信端末120の構成要素のうち、本発明の第1の実施の形態に係る通信端末20の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<ハードウエア構成>
第1の実施の形態の通信端末20と同様である。
<ソフトウエア構成>
図1は、通信端末120にインストールされているソフトウエア1090の構成を例示した図である。この図に例示するように、本形態の第1の実施の形態との相違点は、さらに端末認証情報またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置110に対して行うための認証要求ソフトウエア1091が通信端末120にインストールされている点である。その他は第1の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態の通信端末120は、第1の実施の形態と同様なハードウエアにソフトウエア1090がインストールされ、このソフトウエア1090がCPUで実行されることにより構成される。図13は、このように構成された通信端末120−1の構成を例示したブロック図である。この図に示すように、本形態の通信端末120−1は、端末認証情報またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置110に対して行う認証要求部121−1が付加される点で第1の実施の形態の通信端末20−1と相違する。その他は通信端末20−1と同様である。なお、ここでは、通信端末120−1の構成のみを例示するが、通信端末120−2の構成も同様である。
〔動作〕
以上のように構成された本発明の第2の実施の形態に係るネットワーク接続システム100の動作について、図面を参照して説明する。図14および図15は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作を示すシーケンス図である。
なお、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうち、本発明の第1の実施の形態に係るネットワーク接続システム1の動作と同一の動作には同一の符号を付し、それぞれの説明を省略する。また以下では、通信端末120−1がネットワーク40に接続された外部ホスト30等の通信機器する場合を例にとって説明する。
図14は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうち、端末認証の動作を示すシーケンス図である。
第1の実施の形態と同じS1およびS2の処理が実行され、通信端末120−1がリンク番号を受信した後、通信端末120−1の認証要求部121−1は、端末認証の要求を行うため、記憶部21−1から読み込んだ端末認証情報1101を、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置110に送信する(S11)。なお、端末認証情報1101は、通信端末IDおよびパスワード、または、電子証明書など通信端末120を認証できる情報であれば如何なるものでもよい。端末認証情報1101は、予めメモリ等の記憶部21−1に記憶しているものが使用されてもよく、また、端末認証の要求を行う際に、ユーザから入力され記憶部21−1に格納されたものが使用されてもよい。
次に、ネットワーク接続装置110は、インタフェース部11のインタフェース11aで、通信端末120によって送信された端末認証情報1101を受信し、これを認証部111に転送する。この認証部111は、端末認証情報1101に基づいて認証を行う(S12)。
なお、この例の認証部111は、端末認証情報を認証サーバ160に送信することにより、認証サーバ160に対して認証を要求し、認証結果を得る。また、認証部111は、ハードディスク等の記憶部14に格納している認証に関わる情報(図示せず)と照合して認証結果を決定してもよい。
認証部111は、リンク確立部12が作成して記憶部14に格納されている表2のリンク情報に、認証結果に応じた認証状態を加えて、表4に例示するようなリンク情報1081を作成し、記憶部14に格納する。すなわち、認証部111は、認証結果が成功であった場合、表4のリンク情報1081における認証状態を成功とし、認証結果が失敗であった場合、表4のリンク情報1081における端末認証状態を、初期状態である未認証のままとする。
Figure 0004612528
なお、認証状態が未認証となっている通信端末IDは、無効となる。無効となる通信端末IDによって特定される通信端末120とネットワーク40上の機器との間の送受信は、許可されない。認証状態が成功となっている通信端末IDによって特定される通信端末120とネットワーク40上の機器との間の送受信が許可される。
図15は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうちユーザ認証の動作を示すシーケンス図である。
第1の実施の形態と同じS3およびS4の処理が実行され、通信端末120がアドレスを受信した後に、認証要求部121−1がユーザ認証の要求を行う。そのために認証要求部121−1は、上記アドレスおよび記憶部21−1に格納されたユーザ認証情報1102をインタフェース22a−1からネットワーク接続装置110に送信する(S13)。
なお、ユーザ認証情報1102は、ユーザIDおよびパスワード、または、電子証明書などユーザを認証できる情報であれば如何なるものでもよい。ユーザ認証情報1102は、予め記憶部21−1に記憶しているものが使用されてもよく、また、ユーザ認証の要求を行う際に、ユーザから入力され、記憶部21−1に格納されたものが使用されてもよい。
次に、ネットワーク接続装置110は、インタフェース部11のインタフェース11aで、通信端末120によって送信されたユーザ認証情報1102を受信し、認証部111に転送する。認証部111は、このユーザ認証情報1102に基づいて認証を行う(S14)。
この例の認証部111は、ユーザ認証情報を認証サーバ160に送信することにより、認証サーバ160に対して認証の要求し、認証結果を得る。また、認証部111は、ハードディスク等に格納している認証に関わる情報と照合して認証結果を決定してもよい。
認証部111は、認証結果に応じて、プロセス対応情報作成部13が作成した表3のプロセス対応情報に認証状態を加えて、表5に示すプロセス対応情報1082を作成する。認証部111は、認証結果が成功であった場合、表5のプロセス対応情報における認証状態を成功とし、認証結果が失敗であった場合、表5のリンク情報における認証状態を、初期状態である未認証のままとする。
Figure 0004612528
なお、認証状態が未認証となっているアドレスと対応するプロセスIDは、無効となる。無効となるプロセスIDを含む内部通信情報の送受信は、許可されない。認証状態が成功となっているアドレスと対応するプロセスIDを含む内部通信情報の送受信が許可される。
また、S13で、認証要求部121−1がアドレスおよびユーザ認証情報をインタフェース22a−1を通じてネットワーク接続装置110に送信するとしたが、S3で、アドレスおよびユーザ認証情報をプロセス情報に加えてネットワーク接続装置10に送信するようにしてもよい。このようにアドレスおよびユーザ認証情報をプロセス情報に加えて送信した場合、S4に続いてS14でユーザ認証を行って、認証部111は、表5に示したプロセス対応情報を作成する。
以上説明したように、本発明の第2の実施の形態に係るネットワーク接続システム100は、通信端末120の認証が成功した場合、通信端末120とネットワーク40上の機器との間の情報の送受信を許可するため、セキュリティを高めたパケット転送を行うことができる。また、ユーザの認証が成功した場合、このユーザに対応するプロセス識別子を含む内部通信情報から生成したパケットの送信、および、パケットからこの内部通信情報への変換・転送を許可するため、セキュリティを高めたパケット転送を行うことができる。
以上、本発明の第2の実施の形態に係る端末認証およびユーザ認証について説明したが、端末認証およびユーザ認証は、併用して実施してもよく、また、端末認証、ユーザ認証の何れかのみ実施するようにしてもよい。
また、ネットワーク接続装置110を企業内および家庭内に設置する場合、ネットワーク接続装置110が、ネットワーク接続装置110を認証するための認証情報を認証サーバ160に送信して認証を要求し、そこから返信された認証結果を用いてネットワーク接続装置110を利用させるか否かを判断してもよい。
(本発明の第3の実施の形態)
〔全体構成〕
本発明の第3の実施の形態に係るネットワーク接続システム200のシステム構成図を図16に示す。
図16に示したネットワーク接続システム200は、ネットワーク40に接続されたネットワーク接続装置210と、ネットワーク接続装置210と通信可能に接続された通信端末220とを備えた構成を有し、さらにネットワーク40には、外部ホスト30が接続されている。
また、図16に示したネットワーク接続システム200では、ネットワーク接続装置210を介して、ネットワーク接続装置210に接続された通信端末220と、外部ホスト30を含むネットワーク40上の機器との間で情報が送受信される。
なお、図示した通信端末220の各々を区別する場合には、通信端末220をそれぞれ通信端末220−1、通信端末220−2と記載し、外部ホスト30の各々を区別する場合には、外部ホスト30をそれぞれ外部ホスト30−1、外部ホスト30−2と記載する。
また、例えば、外部ホスト30−1、外部ホスト30−2は、それぞれWebサーバ、メールサーバ、通信相手端末等であり、通信端末220およびネットワーク接続装置210は、企業内および家庭内に設置され、ネットワーク40は、インターネット等である。なお、ネットワーク接続装置210と通信端末220との間は、有線または無線で接続されてもよい。
ネットワーク接続装置210と通信端末220との間は、リンクレイヤのプロトコルに準拠して通信する。例えば、リンクレイヤのプロトコルは、IEEE802.3(Ethernet(登録商標))、PPP(Point-to-Point Protocol)、もしくはL2TP(Layer 2 Tunneling Protocol)、またはPPTP(Point-to-Point Tunneling Protocol)などのトンネリングプロトコルでもよく、ネットワーク接続装置210と外部ホスト30との間の通信はIPに準拠する。
通信端末220は、必ずしもIPに準拠した通信をしない。また、ネットワーク接続装置210は、外部ホスト30等の通信機器と通信するため、例えば、グローバルIPアドレスを1以上保有する(メモリ等に格納している)。
〔ネットワーク接続装置210の構成〕
<ハードウエア構成>
ネットワーク接続装置210は、CPU(Central Processing Unit)、メモリ(RAM,ROM,NV-RAM)、ハードディスク、ネットワーク40に接続されるネットワークインタフェース、および通信端末20に接続されるインタフェース等を有している。
<ソフトウエア構成>
図17は、ネットワーク接続装置210にインストールされているソフトウエア2010の構成を例示した図である。図17に示すように、この例のソフトウエア2010は、通信端末220とネットワーク接続装置210とのリンクを確立させてリンク情報を生成するためのリンク確立ソフトウエア2012、通信端末220から通知されるプロセス識別子とグローバルIPアドレス等のアドレスとを対応させるプロセス対応情報を作成するためのプロセス対応情報作成ソフトウエア2013、OS(Operating System)2015、ネットワークドライバ2016、および、プロセス対応情報に従って内部通信情報を生成する内部通信情報生成ソフトウエア2017を有している。
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置210は、上述のハードウエアにソフトウエア2010がインストールされ、このソフトウエア2010がCPUで実行されることにより構成される。図18は、このように構成されたネットワーク接続装置210の構成を例示したブロック図である。
この図に示すように、この例のネットワーク接続装置210は、通信端末220と通信を行うインタフェース部211、通信端末220との間のリンクを確立させてリンク情報2021を生成するリンク確立部212、プロセス対応情報2022を作成するプロセス対応情報作成部213、リンク情報2021とプロセス対応情報2022とソケット情報テーブル2023を格納する記憶部214、ソケット情報テーブル2023を生成し、さらにプロセス対応情報2022に従ってパケットを生成するパケット生成部215、プロセス対応情報2022に従って内部通信情報を生成する内部通信情報生成部216、ネットワーク40を通じた通信を行うネットワークインタフェース部217、ネットワーク接続装置210全体を制御する制御部218、および、プロセス2101〜2103を実行するプロセス実行部219を有する。また、インタフェース部211にはインタフェース番号(IF#0)が割り振られている。
ここで、「インタフェース番号」とは、インタフェースを特定するための識別子である。また、「インタフェース」とは、各装置における通信の論理的な機能単位を意味し、具体的には、所定のソフトウエアが読み込まれたCPUがLANカード等の通信装置を制御することによって構成される。また、各装置は複数のインタフェースをもつことが可能である。
またプロセス2101〜2103は、OS2015の制御のもとCPUがアプリケーションソフトウエア2014を実行する際の処理単位である。これらのプロセス2101〜2103は、通信端末220で生起される各プロセス2001〜2003(図16)にそれぞれ対応し、これらとの通信処理を行うものである。なお、各プロセス2101〜2103は、例えば、それに対応する通信端末220のプロセス2001〜2003が生起されたことや、これとの通信が開始されたことを契機に生起される。また、プロセスの生起とは、プロセスに対応するプログラムがRAM等の主記憶装置に読み込まれ、CPUがこのプログラムを実行可能な状態にすること、および、実際に実行することをいう。また、プロセスは、一つのOS上で動作し、複数のOSが一つのホスト上で動作することもある。さらにプロセスは、OSにローカルなプロセス識別子(以下、プロセスIDという。)をもつ。また、本形態における「ソケット」とは、アプリケーションソフトがTCP/IP通信を扱うための仮想的なインタフェース〔API(Application Program Interface)〕を意味する。
〔通信端末220の構成〕
<ハードウエア構成>
通信端末220は、CPU、メモリ、ネットワーク接続装置210に接続されるインタフェース等を有しており、例えば、ハードディスク、キーボード等の入力器、およびディスプレイを備えたパソコン等である。また、通信端末220は、情報家電機器等でもよい。
<ソフトウエア構成>
図19は、通信端末220にインストールされているソフトウエア2030の構成を例示した図である。図19に示すように、この例のソフトウエア2030は、Webページを閲覧するブラウザまたは、メールを送受信するメーラ等のアプリケーションソフトウエア2031、ネットワーク接続装置210へのリンク確立要求を行うためのリンク確立要求情報生成ソフトウエア2032、OS2033、および、ネットワークドライバ2034を有している。なお、アプリケーションソフトウエア2031は、ブラウザやメーラだけに限定されることはない。
<ハードウエアとソフトウエアの協働>
本形態の通信端末220は、上述のハードウエアにソフトウエア2030がインストールされ、このソフトウエア2030がCPUで実行されることにより構成される。
図20は、このように構成された通信端末220−1の構成を例示したブロック図である。なお、ここでは通信端末220−1の構成のみを例示するが、通信端末220−2の構成もこれと同様である。
この例の通信端末220−1は、プロセス対応情報2041やリンク情報2042を格納する記憶部221−1、ネットワーク接続装置210と通信を行うインタフェース部222−1、ネットワーク接続装置210へのリンク確立要求を行うリンク確立要求情報生成部223−1、プロセス2001,2002を実行するプロセス実行部224−1、および、通信端末220−1全体を制御する制御部225−1を有する。また、インタフェース部222−1にはインタフェース番号(IF#1)が割り振られている。
ここで、プロセス2001,2002は、OS2033の制御のもとCPUがアプリケーションソフトウエア2031を実行する際の処理単位である。これらのプロセス2001,2002は、アプリケーションソフトウエア2031がCPU上で起動されたことなどを契機にOS2033によって生起される。本形態の場合、生起されたプロセス2001,2002は、例えば、ネットワーク40上のWebサーバやメールサーバとの通信処理を含む。そして、このWebサーバ等との通信処理は、CPU上で起動するソフトウエアであるネットワークドライバ2034による処理を介して実現される。具体的には、CPU上で起動されたネットワークドライバ2034は、例えば、宛先アドレスやペイロードを含み、リンクレイヤのプロトコルに準拠した内部通信情報を生成して送信する。なお、図16では、通信端末220−1にプロセス2001およびプロセス2002が生起し、通信端末220−2にプロセス2003が生起している様子を示している。
〔ネットワーク接続装置210と通信端末220との間のリンク〕
ネットワーク接続装置210と、通信端末220とは、後述の処理により対応付けられる。本形態の対応付け(リンク)は、ネットワーク接続装置210のインタフェース番号と通信端末220のインタフェース番号との組で特定され、各リンクは、論理的なリンク番号によって表される。リンク番号とインタフェース(IF)番号との対応関係の一例を表6に示す。
Figure 0004612528
この例の場合、リンク番号「001」は、通信端末220のインタフェース番号「11:12:13:14:15:16:00」と、ネットワーク接続装置210のインタフェース番号「01:02:03:04:05:06:00」との組に対応し、リンク番号「002」は、通信端末220のインタフェース番号「21:22:23:24:25:26:00」と、ネットワーク接続装置210のインタフェース番号「01:02:03:04:05:06:00」との組に対応する。
〔動作〕
以上のように構成された本発明の第3の実施の形態に係るネットワーク接続システム200の動作について、図面を参照して説明する。
図21,22は、本発明の第3の実施の形態に係るネットワーク接続システム200の動作を示すシーケンス図である。なお、以下では、通信端末220−1がネットワーク40に接続された外部ホスト30等の通信機器と通信を行う場合を例にとって説明する。
まず、通信端末220−1のリンク確立要求情報生成部223−1は、ネットワーク接続装置210に対するリンク確立要求を示すリンク確立要求情報を生成する。本形態の例のリンク確立要求情報は、リンクの確立を要求する通信端末220−1のインタフェース番号「11:12:13:14:15:16:00」(IF#1)と、ネットワーク接続装置210のインタフェース番号「01:02:03:04:05:06:00」(IF#0)との組を含む情報である。生成されたリンク確立要求情報は、ネットワークドライバ2034の処理に従い、インタフェース部222−1からネットワーク接続装置210に送信される(S101)。なお、リンク確立要求情報を送信する契機としては、通信端末220−1がネットワーク接続装置210と有線または無線により接続したとき、もしくは通信端末220−1が通信を開始するときなどである。
次に、ネットワーク接続装置210は、通信端末220−1から送信されたリンク確立要求情報をインタフェース部211で受信し、これをリンク確立部212に転送する。リンク確立部212は、受信したリンク確立要求情報に応じたリンク番号を割り当てる。そして、リンク確立部212は、割り当てたリンク番号と、リンク確立要求情報に含まれる通信端末220−1のインタフェース番号(IF#1)と、ネットワーク接続装置210のインタフェース番号(IF#0)とを対応させる(例えば、表6のような)リンク情報2021を生成し、これをRAMやNV−RAM等の記憶部214に格納する(S102)。また、リンク確立部212は、生成したリンク情報2021をインタフェース部211から通信端末220−1に送信する。
通信端末220−1は、ネットワーク接続装置210から送信されたリンク情報2021をインタフェース部222−1で受信する。そして、通信端末220−1の制御部225−1は、ネットワークドライバ2034の処理に従い、このリンク情報2021を通信端末220−1のリンク情報2042として、リンクが切断するまで記憶部221−1に保持する。
次に、通信端末220−1のリンク確立要求情報生成部223−1は、記憶部221−1からリンク情報2042を読み込み、このリンク情報2042に対応するリンクにIPアドレス(グローバルIPアドレス等)の割り当てを要求するためのIPアドレス割り当て要求情報を生成する(S103)。なお、このIPアドレス割り当て要求情報は、記憶部221−1から読み込まれたリンク情報2042を含む。生成されたIPアドレス割り当て要求情報は、通信端末220−1のインタフェース部222−1からネットワーク接続装置210に送信され、ネットワーク接続装置210のインタフェース部211で受信される。
これを契機に、ネットワーク接続装置210のリンク確立部212は、インタフェース部211で受信されたIPアドレス割り当て要求情報が有するリンク情報2042に対応するリンクに対し、IPアドレスを割り当てる(S104)。さらにリンク確立部212は、このリンク情報2042と一致するリンク情報2021を記憶部214から選択し、選択したリンク情報2021に当該IPアドレスを追加した情報を、新たなリンク情報2021として記憶部214に格納する。IPアドレスが追加された新たなリンク情報2021の一例を表7に示す。なお、表7は、リンク番号001のリンク情報2021に対してIPアドレス「1.1.1.1」が追加された例である。
Figure 0004612528
IPアドレスが割り当てられた新たなリンク情報(IPアドレスを含む)2021(表7の例では、リンク番号001のリンク情報)は、インタフェース部211から通信端末220−1に送信され、通信端末220−1のインタフェース部222−1で受信される。
通信端末220−1のリンク確立要求情報生成部223−1は、インタフェース部222−1で受信されたリンク情報(IPアドレスを含む)2021が有するIPアドレスをリンク情報2042に追加し、これを新たなリンク情報2042として記憶部221−1に格納する(S105)。なお、S103からS104の手順においてIPアドレス割り当て要求情報にリンク情報2042を含ませているが、代わりにリンク情報2042に含まれるリンク番号を用いてもよい。この場合はS104においてネットワーク接続装置210はリンク番号よりリンク情報を特定する。また、IPアドレス割り当て要求情報をリンク確立要求情報と同時に送信するようにしてもよい。
次に、プロセス実行部224−1は、プロセス2001を生起し、生起したプロセス2001に対応するプロセスIDおよび記憶部221−1に格納されたリンク情報2042を含むプロセス情報を、インタフェース部222−1からネットワーク接続装置210に送信する(S111)。なお、リンク情報2042に代えて、そのリンク番号をプロセス情報に含ませてもよい。また、プロセス情報を送信する契機としては、プロセスが生起されたとき、もしくは通信を開始するときなどである。また、このプロセス情報の送信は、ネットワークドライバ2034の処理に従って実行される。
ネットワーク接続装置210は、通信端末220−1によって送信されたプロセス情報をインタフェース部211で受信する。これを契機に、プロセス実行部219は、インタフェース部211で受信されたプロセス情報に対応するプロセス2101を生起する。さらに、プロセス対応情報作成部213は、インタフェース部211で受信されたプロセス情報が有するリンク情報のリンク番号及びIPアドレスと、このプロセス情報が有する通信端末220−1のプロセスIDと、このプロセス情報に対応してプロセス実行部219で生起されたネットワーク接続装置210のプロセス2101のプロセスIDとを対応つけたプロセス対応情報2022を作成し、これをRAMやNV−RAM等の記憶部214に格納する(S112)。このようなプロセス対応情報2022の一例を表8に示す。
Figure 0004612528
なお、プロセスIDにおける「2001」、「2002」、「2003」、「2101」、「2102」、「2103」は、それぞれ、図16に示したプロセス2001,2002,2003,2101,2102,2103を表している。
また、プロセス情報には、アドレスの割当て方法を指定するアドレス割当情報を含めることができる。プロセス情報にアドレス割当情報を含めている場合には、プロセス対応情報作成部213は、このアドレス割当情報に従ってアドレスを割り当てる。この場合、アドレス割当情報に、1つのユーザにつき1つのアドレスを割り当てるようにような設定が施されてもよい。具体的には、例えば、アドレス割当情報にユーザを表すユーザIDが設定されてもよい。この例の場合、プロセス対応情報作成部213には、ユーザIDが設定されているアドレス割当情報を含むプロセス情報がインタフェース部211から転送される。そして、この例のプロセス情報が転送されたプロセス対応情報作成部213は、例えば、アドレス割当情報に設定されているユーザIDを、リンク番号と、通信端末220のプロセスIDと、ネットワーク接続装置210のプロセスIDと、IPアドレスとに対応させたプロセス対応情報2022を作成する。この場合のプロセス対応情報2022の一例を表9に示す。
Figure 0004612528
プロセス対応情報作成部213で生成されたプロセス対応情報2022の各レコードは、そのリンク番号に対応するリンクを通じて各通信端末220に送信される。例えば、プロセス2001を生起している通信端末220−1に、プロセスID「2001」に対応するレコードのみが送信される。そして、通信端末220−1は、それをプロセス対応情報2041として記憶部221−1に記憶する(S113)。なお、プロセス2002に対する処理も上記のプロセス2001に対する処理と同様である。
次に、通信端末220−1のプロセス実行部224−1は、生起されているプロセス2001に対応するプロセス対応情報2041及びリンク情報2042を記憶部221−1から読み込む。また、プロセス実行部224−1は、読み込んだプロセス対応情報2041或いはリンク情報2042からIPアドレスを送信元IPアドレスとして抽出する。さらに、プロセス実行部224−1は、プロセス2001の実行により、通信相手の宛先IPアドレス、宛先ポート番号、さらに送信元ポート番号及びプロトコル種別を抽出し、これらと送信元IPアドレスとからなるソケット情報を生成する。なお、プロセス2001に対応する宛先IPアドレス、宛先ポート番号、送信元ポート番号及びプロトコル種別は、例えば、プロセス2001を実現するプログラム中に存在する情報や、ユーザが入力した情報である。そして、プロセス実行部224−1は、生成したソケット情報と、生起されているプロセス2001のプロセスIDと、読み込んだリンク情報2042とを含むソケット初期化要求情報を生成する。生成されたソケット初期化要求情報は、通信端末220−1のインタフェース部222−1からネットワーク接続装置210に送信され、ネットワーク接続装置210のインタフェース部211で受信される(S114)。
ネットワーク接続装置210のプロセス実行部219は、インタフェース部211が受信したソケット初期化要求情報に含まれるリンク情報とプロセスID(「通信端末220のプロセスID」に相当)をキーとしてプロセス対応情報(例えば、表8や表9)を検索し、検索キーに対応するエントリーの「ネットワーク接続装置210のプロセスID」を抽出する。プロセス実行部219は、抽出されたプロセスIDに対応するプロセスを実行し、インタフェース部211が受信したソケット初期化要求情報のソケット情報にソケット番号を割り当て、これをソケット情報に対応付けたソケット情報テーブル2023を生成し、このソケット情報テーブル2023を記憶部214に格納する。このソケット情報テーブル2023の一例を表10に示す。
Figure 0004612528
また、プロセス実行部219は、実行されたプロセスに従い、インタフェース部211が受信したソケット初期化要求情報のソケット情報に基づき、ソケット初期化処理(外部ホスト30と通信するための準備)を実行する(S115)。そして、プロセス実行部219は、割り当てたソケット番号と、ソケット初期化処理の結果とを含むソケット初期化通知情報を生成し、これをインタフェース部211から通信端末220−1に送信する。通信端末220−1は、インタフェース部222−1で当該ソケット初期化通知情報を受信し、これに含まれるソケット番号を対応するプロセスに関連付けてプロセス対応情報2041に格納する。また、当該ソケット初期化通知情報に含まれるソケット初期化処理の結果をプロセス実行部224−1で実行されているプロセス2001に通知する。
図23は、本発明の第3の実施の形態に係るネットワーク接続装置210を経由した、通信端末220−1および外部ホスト30−1との間の情報の流れを示す図である。ここで、図23(A)は、通信端末220−1からネットワーク接続装置210を通じて外部ホスト30−1へ情報を送信する際の流れを示している。また、図23(B)は、外部ホスト30−1からネットワーク接続装置210を通じて通信端末220−1へ情報を送信する際の流れを示している。なお、図23では、通信端末220−1のプロセス2001及びネットワーク接続装置210のプロセス2101に係る処理を例にとって説明する。
<図23(A)に示す処理>
まず、通信端末220−1のプロセス実行部224−1が、実行されているプロセス2001に従い、外部ホスト30−1に送信されるデータとなるペイロードを生成する。また、プロセス実行部224−1は、生起されているプロセス2001のプロセスIDを取得する。そして、プロセス2001のソケットAPIにより通信処理が開始されると、プロセス実行部224−1は、ネットワークドライバ2034の処理に従い、プロセス2001のプロセスIDに対応するリンク情報2042を記憶部221−1から読み込む。そして、プロセス実行部224−1は、当該リンク情報2042が示すリンクに対応する通信経路に、以下の内部通信情報2051を送信する。
[内部通信情報2051]
・リンク番号:通信端末220−1のIF番号等を含むリンクを指定する情報
・プロセスID(通信端末220−1のプロセスID)
・ソケット情報
・ペイロード(外部ホスト30に送信するデータ)
ネットワーク接続装置210は、通信端末220−1から送信された内部通信情報2051を、インタフェース部211で受信する。受信された内部通信情報2051はパケット生成部215に転送され、パケット生成部215は、転送された内部通信情報2051に含まれるリンク番号とプロセスID(通信端末220−1のプロセスID)とを用いて、リンク情報2021(表7等)及びプロセス対応情報2022(表8,9等)を検索し、「通信端末220−1のプロセスID」に対応する「ネットワーク接続装置210のプロセスID」を特定する。具体的には、例えば、パケット生成部215は、内部通信情報2051に含まれるリンク番号と、内部通信情報2051に含まれる通信端末220−1のプロセスIDとをキーとしてプロセス対応情報2022を検索し、対応するネットワーク接続装置210のプロセスIDを特定する。
次に、パケット生成部215は、このように特定したプロセスIDが示すプロセス(プロセス実行部219で生起されているプロセス2101)が利用可能なように、内部通信情報2051に含まれるソケット情報とペイロード情報とをプロセス実行部219に送る。ソケット情報とペイロード情報とが送られたプロセス実行部219は、これらを用いてプロセス2101を実行し、ソケットAPIを用いて以下のような送信処理を実行させる。まず、ネットワークドライバ2016の制御のもと、パケット生成部215は、プロセス2101から受け取ったソケット情報とペイロード情報とにより、IPヘッダとTCP/UDPヘッダとを生成し、これらを内部通信情報2051に含まれるペイロード情報に付加したIPパケット2052を生成して、これをネットワークインタフェース部217から外部ホスト30−1へ送信する。なお、IPヘッダは、ソケット情報に含まれる宛先IPアドレス、送信元IPアドレス、プロトコル種別等によって構成される。また、TCPヘッダは、ソケット情報に含まれる宛先ポート番号、送信元ポート番号等によって構成される。また、この送信結果(ステータス)は、通信端末220−1に返される。外部ホスト30−1は、ネットワーク接続装置210から送信されたIPパケット2052を受信し、受信したIPパケット2052を処理する。
<図23(B)に示す処理>
外部ホスト30−1から通信を開始する場合、外部ホスト30−1がペイロードを生成する。また、上記の例の外部ホスト30−1が受信したIPパケット2052に対して応答する場合も、外部ホスト30−1がIPパケット2052に対する応答内容などを含むペイロードを生成する。そして、外部ホスト30−1は、生成したペイロードと、IPヘッダと、TCPヘッダとを含むIPパケット2053を生成する。なお、IPパケット2053のIPヘッダは、IPパケット2052のIPヘッダが有する送信元IPアドレスを宛先IPアドレスとし、IPパケット2052のIPヘッダが有する宛先IPアドレスを送信元IPアドレスとし、さらにプロトコル種別等の情報を追加して生成されるものである。また、IPパケット2053がIPパケット2052の返信である場合には、IPパケット2053のTCPヘッダは、IPパケット2052のTCPヘッダが有する送信元ポート番号を宛先ポート番号とし、IPパケット2052のTCPヘッダが有する宛先ポート番号を送信元ポート番号として生成されるものである。
外部ホスト30−1は、図23(A)に示す処理と同じソケットを用い、IPパケット2053をネットワーク接続装置210に送信する。ネットワーク接続装置210は、このソケットを用いて送信されたIPパケット2053を、ネットワークインタフェース部217で受信し、これを内部通信情報生成部216に転送する。
また、制御部218は、IPパケット2053の通信に用いたソケットに対応するプロセス2101のプロセスIDを表10に例示したようなソケット情報テーブル2023を用いて検索し、得られたプロセスID(2101)をプロセス実行部219に送り、プロセス実行部219は、送られたプロセスIDに対応するプロセス2101を実行する。このプロセス2101は、自身のプロセスIDを検索キーとしてプロセス対応情報2022(例えば、表9)を検索し、そのプロセスIDに対応付けられている通信端末220のプロセスIDとリンク番号とを得る。さらに、このプロセス2101は、取得したリンク番号を検索キーとしてリンク情報2021(例えば、表7)を検索し、そのリンク番号に対応付けられているリンク情報(リンク番号、通信端末220のインタフェース番号、ネットワーク接続装置210のインタフェース番号等)を得る。このように得られたリンク情報及びプロセスIDは、内部通信情報生成部216に転送される。
内部通信情報生成部216は、上述のように転送された情報と記憶部214の情報とを用い、以下のような内部通信情報2054を生成し、この内部通信情報2054を、インタフェース部211から、リンク情報に示される通信経路を通じ、通信端末220−1に送信する。
[内部通信情報2054]
・リンク番号:通信端末220−1のIF番号等を含むリンクを指定する情報
・プロセスID(通信端末220−1のプロセスID)
・ソケット情報(ソケット初期化処理(S115)で記憶部214に格納したソケット情報テーブル2023から対応するものを抽出)
・ペイロード(外部ホスト30から受信したデータ)
通信端末220−1は、インタフェース部222−1において、この内部通信情報2054を受信する。そして、制御部225−1は、インタフェース部222−1で受信された内部通信情報2054のペイロード情報を、その内部通信情報2054のプロセスIDで指定されるプロセス2001を実行するプロセス実行部224−1に送る。これを受け取ったプロセス実行部224−1は、プロセス2001を実行することにより、内部通信情報2054のペイロード情報の受信処理を行う。なお、内部通信情報に含まれるソケット情報に代えて対応するソケット番号を用いてもよい。
以上のような構成としても、ネットワーク接続装置210と通信端末220の間で用いられるプライベートアドレスが不要となるため、NATに係るアドレスの変換が不要となる。その結果、従来のNAT超えの対策を適用する場合のような、IPヘッダ内のアドレスに加えて上位レイヤのメッセージを変換するといった処理が不要となる。また、種々のプロトコルに対応可能となるデータ転送を行うことができる。
また、通信端末220とネットワーク接続装置210との間で送受される内部通信情報2051,2054はIPを介在しないため、IPによるオーバヘッドが削減でき、データ転送量が低減する。
さらに、ネットワーク接続装置210の記憶部214にリンク情報2021およびプロセス対応情報2022が生成された後は、外部ホスト30等のネットワーク上の通信機器は、通信を希望する通信端末220のネットワークレイヤーおよびトランスポートレイヤーのエンドポイントであるネットワーク接続装置210を直接指定してセッションを行ったり、開始したりすることができる。
また、本形態では、ネットワーク接続装置210がアドレス変換を行わないため、本システムにIPsecのプロトコルを適用することも容易である。
なお、本発明の第3の実施の形態に係るネットワーク接続システム200において、通信端末220に、ソフトウエア2030に替えて、図24に示すようなソフトウエア2060をインストールすることとしてもよい。図24に例示するように、ソフトウエア2060は、2つの仮想マシン(OS)2062A,2062B、各仮想マシン2062A,2062B上で起動するアプリケーションソフトウエア2061A,2061B及びネットワークドライバ2063A,2063Bを有している。
図25は、このようなソフトウエア2060をコンピュータにインストールした通信端末320を用いたネットワーク接続システム300を例示した図である。この場合、通信端末320では、OS2062Aおよび2062Bの2つの仮想マシン320−1,320−2が起動し、それぞれの上でOSが動作することになる。なお、各仮想マシン320−1,320−2の構成及びその処理内容は、前述の通信端末220−1,220−2と同様であり、例えば、ユーザA、ユーザBがそれぞれ各仮想マシン320−1,320−2を利用する。またユーザA、ユーザBが同時に異なる仮想マシン320−1,320−2を利用してもよい。また、ネットワーク接続装置210によってユーザ毎に1つずつアドレスが割り当てられる形態をとることもできる。
(本発明の第4の実施の形態)
〔全体構成〕
本発明の第4の実施の形態に係るネットワーク接続システム400のシステム構成図を図26に示す。図26に示したネットワーク接続システム400は、ISP(Internet Service Provider)等が有する認証サーバ460と、ネットワーク40に接続されたネットワーク接続装置410と、ネットワーク接続装置410と通信可能に接続された通信端末420を備えた構成であり、さらにネットワーク40には、外部ホスト30が接続されている。
なお、本発明の第4の実施の形態に係るネットワーク接続システム400を構成する構成要素のうち、本発明の第3の実施の形態に係るネットワーク接続システム200を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。また、図示した通信端末420の各々を区別する場合には、通信端末420をそれぞれ通信端末420−1、通信端末420−2と記載する。
例えば、通信端末420およびネットワーク接続装置410は、企業内または家庭内に設置される。ネットワーク接続装置410は、例えば、ISPから支給または貸し出しされたものでもよい。ネットワーク接続装置410および通信端末420は、本発明の第3の実施の形態で説明したネットワーク接続装置210と通信端末220と基本的に同様の構成である。差異については以降に説明する。
本発明の第4の実施の形態に係るネットワーク接続システム400では、通信端末420が、通信端末420を認証するための端末認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410が、通信端末420から送信された端末認証情報に基づいて通信端末420の認証を行い、通信端末420の認証が成功した場合、通信端末420とネットワーク40上の機器との間における送受信を許可するようになっている。
また、通信端末420が、複数のOSがそれぞれ動作する複数の仮想マシンから構成される場合、本形態の処理の代わりに、通信端末420が、各仮想マシンで生成された各仮想マシンを認証するための仮想マシン認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410が、通信端末420上の仮想マシンから送信された仮想マシン認証情報に基づいて仮想マシンの認証を行い、その認証が成功した仮想マシンとネットワーク40上の機器との間における送受信を許可する構成をとることもできる。
さらに、通信端末420が、通信端末420を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410は、通信端末420から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、通信端末420とネットワーク40上の機器との間における通信のうち、このユーザに対応するプロセス識別子を含む内部通信情報に対応するものの送受信を許可する構成とすることもできる。
〔ネットワーク接続装置410の構成〕
次に、本発明の第4の実施の形態に係るネットワーク接続装置410の構成を説明する。なお、以下では、ネットワーク接続装置410の構成要素のうち、本発明の第3の実施の形態に係るネットワーク接続装置210の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<ハードウエア構成>
第3の実施の形態のネットワーク接続装置210と同様である。
<ソフトウエア構成>
図27は、ネットワーク接続装置410にインストールされているソフトウエア2070の構成を例示した図である。この図に例示するように、本形態の第3の実施の形態との相違点は、さらに端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいて認証を行うための認証ソフトウエア2071がネットワーク接続装置410にインストールされている点である。その他は第3の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置410は、第3の実施の形態と同様なハードウエアにソフトウエア2070がインストールされ、このソフトウエア2070がCPUで実行されることにより構成される。図28は、このように構成されたネットワーク接続装置410の構成を例示したブロック図である。この図に示すように、本形態のネットワーク接続装置410は、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部411が付加される点で、第3の実施の形態のネットワーク接続装置210と相違する。その他はネットワーク接続装置210と同様である。すなわち、ネットワーク接続装置410は、インタフェース部211、リンク確立部212、プロセス対応情報作成部213、記憶部214、パケット生成部215、内部通信情報生成部216、ネットワークインタフェース部217、制御部218、プロセス実行部219、および、端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいて認証を行う認証部411を有する。
〔通信端末420の構成〕
次に、本発明の第4の実施の形態に係る通信端末420の構成を説明する。なお、以下では、通信端末420の構成要素のうち、本発明の第3の実施の形態に係る通信端末220の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<ハードウエア構成>
第1の実施の形態の通信端末220と同様である。
<ソフトウエア構成>
図29は、通信端末420にインストールされているソフトウエア2090の構成を例示した図である。この図に例示するように、本形態の第3の実施の形態との相違点は、さらに端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置410に対して行うための認証要求ソフトウエア2091が通信端末420にインストールされている点である。その他は第3の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態の通信端末420は、第3の実施の形態と同様なハードウエアにソフトウエア2090がインストールされ、このソフトウエア2090がCPUで実行されることにより構成される。図30は、このように構成された通信端末420−1の構成を例示したブロック図である。この図に示すように、本形態の通信端末420−1は、端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置410に対して行う認証要求部421−1が付加される点で第3の実施の形態の通信端末220−1と相違する。その他は通信端末220−1と同様である。なお、ここでは、通信端末420−1の構成のみを例示するが、通信端末420−2の構成も同様である。
〔動作〕
以上のように構成された本発明の第4の実施の形態に係るネットワーク接続システム400の動作について、図面を参照して説明する。図31および図32は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作を示すシーケンス図である。
なお、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうち、本発明の第3の実施の形態に係るネットワーク接続システム200の動作と同一の動作には同一の符号を付し、それぞれの説明を省略する。また以下では、通信端末420−1がネットワーク40に接続された外部ホスト30等の通信機器と通信する場合を例にとって説明する。
図31は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうち、端末認証の動作を示すシーケンス図である。
まず、通信端末420−1のリンク確立情報生成部が第3の実施の形態のS101と同じリンク確立要求情報を生成する。加えて、認証要求部421−1が、端末認証の要求を行うための端末認証情報を、記憶部221−1から読み込んだ端末鍵情報2101に基づき生成する。そして、通信端末420−1のインタフェース部222−1から、これらのリンク確立要求情報及び端末認証情報をネットワーク接続装置410に送信する(S211)。
なお、端末認証情報は、端末鍵情報2101であるところの通信端末のIDおよびパスワード、または、公開鍵証明書と端末鍵情報2101を用いて計算された署名など通信端末420を認証できる情報であれば如何なるものでもよい。端末鍵情報2101は、予めメモリ等の記憶部221−1に記憶しているものが使用されてもよく、また、端末認証の要求を行う際に、ユーザから入力され記憶部221−1に格納されたものが使用されてもよい。
次に、ネットワーク接続装置410は、インタフェース部211で、通信端末420によって送信されたリンク確立要求情報及び端末認証情報を受信し、リンク確立要求情報をリンク確立部212に、端末認証情報を認証部411に、それぞれ転送する。この認証部411は、端末認証情報に基づいて認証を行う(S212)。
なお、この例の認証部411は、端末認証情報を認証サーバ460に送信することにより、認証サーバ460に対して認証を要求して認証結果を得る。また、認証部411は、NV−RAM等の記憶部214に格納している認証に関わる情報(図示せず)と照合して認証結果を決定してもよい。
次に、リンク確立部212は、第3の実施の形態と同様なリンク情報2021(例えば、表7)に、認証結果に応じた認証状態を加えて、表11に例示するようなリンク情報2021を作成し、記憶部214に格納する。すなわち、認証部411は、認証結果が成功であった場合、表11のリンク情報2021における認証有無を「有」とし、認証結果が失敗であった場合、表11にリンク情報2021の登録を行わない。従って、当該通信端末420とネットワーク40上の機器との間の送受信は、許可されない。なお、認証が行われなかった場合は、認証有無は「無」になる。
Figure 0004612528
なお、端末認証情報に含まれる通信端末IDを表11に登録してもよい。また認証の有無によって通信できる外部ホストを制限してもよい。また、端末認証ではなく、仮想マシン認証を行う場合には、端末認証情報の代わりに、仮想マシンごとに生成された仮想マシン認証情報を用い、仮想マシン単位で上記と同様な認証処理を行えばよい。
図32は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうちユーザ認証の動作を示すシーケンス図である。
まず、通信端末420−1のプロセス実行部224−1が第3の実施のS111と同様にプロセスを生起する。加えて、認証要求部421−1が、ユーザ認証の要求を行うためのユーザ認証情報を記憶部221−1から読み込んだユーザ鍵情報2102に基づき生成する。そして、通信端末420−1のインタフェース部222−1から、リンク確立要求情報及びユーザ鍵情報2102に基づき生成したユーザ認証情報をネットワーク接続装置410に送信する(S221)。
なお、ユーザ認証情報は、ユーザ鍵情報2102であるところの通信端末のIDおよびパスワード、または、公開鍵証明書とユーザ鍵情報2102を用いて計算された署名などユーザを認証できる情報であれば如何なるものでもよい。ユーザ鍵情報2102は、予め記憶部221−1に記憶しているものが使用されてもよく、また、ユーザ認証の要求を行う際に、ユーザから入力され、記憶部221−1に格納されたものが使用されてもよい。
次に、ネットワーク接続装置410は、インタフェース部211で、通信端末420−1によって送信されたプロセス情報及びユーザ認証情報を受信し、プロセス情報をプロセス対応情報作成部213に、ユーザ認証情報を認証部411に転送する。認証部411は、このユーザ認証情報に基づいて認証を行う(S222)。
この例の認証部411は、ユーザ認証情報を認証サーバ460に送信することにより、認証サーバ460に対してユーザの認証を要求し、認証結果を得る。また、認証部411は、記憶部214に格納している認証に関わる情報と照合して認証結果を決定してもよい。
認証部411は、認証結果に応じて、第3の実施の形態と同様にプロセス対応情報作成部213が作成したプロセス対応情報(例えば、表9)に認証有無を加えて、表12に示すプロセス対応情報2022を作成する。すなわち、認証部411は、認証結果が成功であった場合、表12のプロセス対応情報における認証有無を「有」とし、認証結果が失敗であった場合、表12のプロセス対応情報の登録を行わない。従って、通信端末420との内部通信情報の送受信は、許可されない。
Figure 0004612528
以上説明したように、本発明の第4の実施の形態に係るネットワーク接続システム400は、通信端末420の認証が成功した場合、通信端末420とネットワーク40上の機器との間の情報の送受信を許可するため、セキュリティを高めた通信を行うことができる。また、仮想マシンごとの認証を行う構成の場合、仮想マシン単位でセキュリティを高めた通信を行うことができる。また、ユーザの認証を行う場合、このユーザに対応するプロセス識別子を含む内部通信情報から生成したパケットの送信、および、パケットからこの内部通信情報への変換と通信端末420への送信を許可するため、セキュリティを高めた通信を行うことができる。
以上、本発明の第4の実施の形態に係る端末認証およびユーザ認証について説明したが、端末認証、仮想マシン認証およびユーザ認証は、併用して実施してもよく、また、端末認証、仮想マシン認証およびユーザ認証の何れかのみ実施するようにしてもよい。例えば、端末や仮想マシンが一人のユーザに占有されて使用される場合は、ネットワーク接続装置に、端末や仮想マシンとユーザの対応付け(表13)を記憶しておき、端末認証や仮想マシン認証によりユーザを認証してもよい。
Figure 0004612528

また、ネットワーク接続装置410を企業内および家庭内に設置する場合、ネットワーク接続装置410が、ネットワーク接続装置410を認証するための認証情報を認証サーバ460に送信して認証を要求し、認証サーバ460は、その返信された認証結果を用いてネットワーク接続装置410を利用させるか否かを判断してもよい。
なお、本発明は、上述の各実施の形態に限定されるものではなく、その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。例えば、本明細書記載の実施の形態においては、ソケットAPIを境にして、より上位のアプリケーションに関わる処理を通信端末で、またより下位のネットワーク処理をネットワーク接続装置で行うよう役割分担するようになっているが、この役割分担をAPIより上位のAPIを境に決めてもよい。たとえば、SSL(Secure Socket Layer),TLS(Transport Layer Security)等に関わるセキュティ処理をネットワーク接続装置側で実行するよう通信端末とネットワーク接続装置間のインタフェースを定めてもよい。
また、本明細書記載の実施の形態においては、リンクレイヤープロトコルにより、通信端末とネットワーク接続装置を接続する構成について説明したが、代わりにPPTP、L2TP等のトンネリングプロトコルにより接続するようにしてもよい。また、通信端末は上述のトンネリングプロトコルによりネットワーク経由で外部から接続された端末でもよい。
さらに本明細書記載の実施の形態においては、IPパケットをネットワーク接続装置で生成する手順について述べたが、ネットワーク接続装置を送信元とするIPパケットを擬似的に通信端末で生成し、ネットワーク接続装置に送信するようにしてもよい。
また、上述した処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
また、プログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウエア的に実現することとしてもよい。
以上のように、本発明に係るネットワーク接続システムは、NATに係るアドレス変換が不要であり、種々のプロトコルに対応して通信できるという効果を有し、ネットワークに接続されたネットワーク接続装置を介して、ネットワーク接続装置に接続された通信端末とネットワーク上の機器との間で通信を行うネットワーク接続システム等として有用である。
本発明の第1の実施の形態に係るネットワーク接続システムのシステム構成図。 本発明の第1の実施の形態に係るネットワーク接続装置にインストールされるソフトウエアの構成。 本発明の第1の実施の形態に係るネットワーク接続装置のブロック構成図。 本発明の第1の実施の形態に係る通信端末にインストールされるソフトウエアの構成。 本発明の第1の実施の形態に係る通信端末のブロック構成図。 本発明の第1の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。 本発明の第1の実施の形態に係るネットワーク接続装置を経由した、通信端末およびサーバとの間の情報の流れを示す図。 本発明の第1の実施の形態の変形例に係るソフトウエア。 本発明の第2の実施の形態に係るネットワーク接続システムのシステム構成図。 本発明の第2の実施の形態に係るネットワーク接続装置にインストールされるソフトウエアの構成。 本発明の第2の実施の形態に係るネットワーク接続装置のブロック構成図。 本発明の第2実施の形態に係る通信端末にインストールされるソフトウエアの構成。 本発明の第2の実施の形態に係る通信端末のブロック構成図。 本発明の第2の実施の形態に係るネットワーク接続システムの動作のうち、端末認証の動作を示すシーケンス図。 本発明の第2の実施の形態に係るネットワーク接続システムの動作のうち、ユーザ認証の動作を示すシーケンス図。 本発明の第3の実施の形態に係るネットワーク接続システム200のシステム構成図。 ネットワーク接続装置にインストールされているソフトウエアの構成を例示した図。 ネットワーク接続装置の構成を例示したブロック図。 通信端末にインストールされているソフトウエアの構成を例示した図。 通信端末の構成を例示したブロック図。 本発明の第3の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。 本発明の第3の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。 本発明の第3の実施の形態に係るネットワーク接続装置を経由した、通信端末および外部ホストとの間の情報の流れを示す図。 通信端末にインストールされるソフトウエアの変形例を示した図。 図24のソフトウエアをコンピュータにインストールした通信端末を用いたネットワーク接続システムを例示した図。 本発明の第4の実施の形態に係るネットワーク接続システムのシステム構成図。 ネットワーク接続装置にインストールされているソフトウエアの構成を例示した図。 ネットワーク接続装置の構成を例示したブロック図。 通信端末にインストールされているソフトウエアの構成を例示した図。 通信端末の構成を例示したブロック図。 本発明の第4の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。 本発明の第4の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。
符号の説明
1 ネットワーク接続システム
10、110 ネットワーク接続装置
11,22−1 インタフェース部
11a〜11c,22a−1 インタフェース
12 リンク確立部
13 プロセス対応情報作成部
14、21−1 記憶部
15 パケット生成部
16 内部通信情報生成部
17 ネットワークインタフェース部
20、20−1、20−2、120、120−1、120−2 通信端末
23−1 リンク確立要求情報生成部
24−1 プロセス実行部
30、30−1、30−2 外部ホスト
40 ネットワーク
111 認証部
121−1 認証要求部
160 認証サーバ
1001、1002、1003 プロセス
1012 リンク確立ソフトウエア
1013 プロセス対応情報作成ソフトウエア
1017 内部通信情報生成ソフトウエア
1015,1033,1062A,1062B OS
1016,1034,1063 ネットワークドライバ
1021,1081 リンク情報
1022,1082 プロセス対応情報
1031,1061 アプリケーションソフトウエア
1032 リンク確立要求情報生成ソフトウエア
1041 通信端末ID
1091 認証要求ソフトウエア
1142 リンク番号
1051、1054 内部通信情報
1052、1053 パケット
1071 認証ソフトウエア
1101 端末認証情報
1102 ユーザ認証情報

Claims (11)

  1. ネットワークに接続されたネットワーク接続装置と、
    前記ネットワーク接続装置と通信可能に接続された通信端末とを備え、
    前記ネットワーク接続装置は、
    前記ネットワーク接続装置と前記通信端末との間で確立されているリンクを特定するリンク番号、前記通信端末で実行されて前記ネットワーク接続装置を介して前記ネットワーク上の機器と通信する複数のプロセスにそれぞれ対応する複数のプロセス識別子、および前記複数のプロセスにそれぞれ割り当てられた複数のアドレスが互いに対応付けられたプロセス対応情報を生成し、
    前記通信端末は、
    実行したプロセスに対応するプロセス識別子、前記ネットワーク接続装置との間で確立されているリンクを特定するリンク番号および前記ネットワーク上の機器を表す第1宛先アドレスを含む第1内部通信情報を、前記ネットワーク接続装置に送信し、
    前記ネットワーク接続装置は、
    前記第1内部通信情報を受信したとき、前記プロセス対応情報を検索し、前記第1内部通信情報む前記プロセス識別子と前記リンク番号との組に対応付けられているアドレスを送信元アドレスとして抽出し、当該送信元アドレスおよび前記第1内部通信情報が含む前記第1宛先アドレスを含む第1パケットを生成し、前記第1パケットを前記ネットワーク上の機器に送信し、
    前記ネットワーク上の機器から第2パケットを受信したとき、前記プロセス対応情報を検索し、前記第2パケットに含まれる第2宛先アドレスが示すアドレスに対応付けられているプロセス識別子を含む第2内部通信情報を生成し、前記第2内部通信情報を、前記第2宛先アドレスが示すアドレスに対応付けられているリンク番号が特定するリンクを通じて前記通信端末に送信する、
    ことを特徴とするネットワーク接続システム。
  2. 前記通信端末は、
    前記複数のプロセス識別子のうちの一つ、およびアドレスの割当て方法を指定するアドレス割当情報を含む情報を、前記リンクを通じて前記ネットワーク接続装置に送信し、
    前記ネットワーク接続装置は、
    前記通信端末によって送信された情報に含まれる前記アドレス割当情報に従って前記プロセスに対するアドレスの割当てを行い、前記プロセス対応情報を作成する、
    ことを特徴とする請求項1に記載のネットワーク接続システム。
  3. 前記通信端末は、
    前記通信端末を認証するための端末認証情報を前記ネットワーク接続装置に送信し、
    前記ネットワーク接続装置は、
    前記通信端末から送信された端末認証情報に基づいて前記通信端末の認証を行い、前記通信端末の認証が成功した場合、前記通信端末と前記ネットワーク上の機器との間の情報の送受信を許可する、
    ことを特徴とする請求項1又は2に記載のネットワーク接続システム。
  4. 前記通信端末は、
    前記通信端末を利用するユーザを認証するためのユーザ認証情報を前記ネットワーク接続装置に送信し、
    前記ネットワーク接続装置は、
    前記通信端末から送信されたユーザ認証情報に基づいて前記ユーザの認証を行い、前記ユーザの認証が成功した場合、当該ユーザに対応するプロセス識別子を含む前記第2内部通信情報の前記通信端末への送信と、前記第1内部通信情報に対応するパケットの前記ネットワーク上の機器への送信とを許可する、
    ことを特徴とする請求項1から請求項3までの何れかに記載のネットワーク接続システム。
  5. 1つのCPUが複数のOSをそれぞれ実行することで構成された複数の仮想マシンのそれぞれが前記通信端末として機能する、
    ことを特徴とする請求項1から請求項4までの何れかに記載のネットワーク接続システム。
  6. 前記仮想マシンは、
    当該仮想マシンを認証するための仮想マシン認証情報を前記ネットワーク接続装置に送信し、
    前記ネットワーク接続装置は、
    前記仮想マシンから送信された仮想マシン認証情報に基づいて前記仮想マシンの認証を行い、前記仮想マシンの認証が成功した場合、前記仮想マシンと前記ネットワーク上の機器との間の情報の送受信を許可する、
    ことを特徴とする請求項5に記載のネットワーク接続システム。
  7. 前記ネットワーク接続装置は、
    前記端末認証情報又は前記ユーザ認証情報又は前記仮想マシン認証情報を認証サーバ装置に送信し、それに対して送られた認証結果を用いて認証を行う、
    ことを特徴とする請求項3、4、6の何れかに記載のネットワーク接続システム。
  8. 前記リンクは、前記ネットワーク接続装置のインタフェース番号と前記通信端末のインタフェース番号との組によって特定され、
    前記ネットワーク接続装置は、
    前記ネットワーク接続装置の複数のインタフェース番号、前記通信端末の複数のインタフェース番号、および前記ネットワーク接続装置のインタフェース番号と前記通信端末のインタフェース番号との組ごとに割り当てられた複数のリンク番号がそれぞれ対応付けられたリンク情報をさらに生成し、
    前記リンク情報を用い、前記リンク番号が特定するリンクを特定する、
    ことを特徴とする請求項1から請求項7までの何れかに記載のネットワーク接続システム。
  9. 通信端末およびネットワークに接続されたネットワーク接続装置であって、
    前記ネットワーク接続装置と前記通信端末との間で確立されているリンクを特定するリンク番号、前記通信端末で実行されて前記ネットワーク接続装置を介して前記ネットワーク上の機器と通信する複数のプロセスにそれぞれ対応する複数のプロセス識別子、および前記複数のプロセスにそれぞれ割り当てられた複数のアドレスが互いに対応付けられたプロセス対応情報を生成するプロセス対応情報作成部と、
    何れかのプロセス識別子、何れかのリンク番号および前記ネットワーク上の機器を表す第1宛先アドレスを含む第1内部通信情報受信するインタフェース部と、
    前記プロセス対応情報を検索し、前記第1内部通信情報が含む前記プロセス識別子と前記リンク番号との組対応付けられているアドレスを送信元アドレスとして抽出し、当該送信元アドレスおよび前記第1内部通信情報が含む前記第1宛先アドレスを含む第1パケットを生成するパケット生成部と、
    前記第1パケットを前記ネットワーク上の機器に送信するネットワークインタフェース部と、
    前記ネットワークインタフェース部が前記ネットワーク上の機器から第2パケットを受信したとき、前記プロセス対応情報を検索し、前記第2パケットに含まれる第2宛先アドレスが示すアドレスに対応付けられているプロセス識別子を含む第2内部通信情報を生成する内部通信情報生成部とを有し、
    前記インタフェース部は、
    前記第2内部通信情報を、前記第2宛先アドレスが示すアドレスに対応付けられているリンク番号が特定する前記リンクを通じて前記通信端末に送信する、
    ことを特徴とするネットワーク接続装置。
  10. 前記インタフェース部は、さらに
    前記複数のプロセス識別子のうちの一つ、およびアドレスの割当て方法を指定するアドレス割当情報を含む情報を受信し、
    前記プロセス対応情報作成部は、
    前記アドレス割当情報に従って前記プロセスに対するアドレスの割当てを行い、前記プロセス対応情報を作成する、
    ことを特徴とする請求項9に記載のネットワーク接続装置。
  11. 請求項9又は10に記載のネットワーク接続装置としてコンピュータを機能させるためのプログラム。
JP2005321880A 2005-07-29 2005-11-07 ネットワーク接続システム、ネットワーク接続装置およびそのプログラム Expired - Fee Related JP4612528B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005321880A JP4612528B2 (ja) 2005-07-29 2005-11-07 ネットワーク接続システム、ネットワーク接続装置およびそのプログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2005221397 2005-07-29
JP2005321880A JP4612528B2 (ja) 2005-07-29 2005-11-07 ネットワーク接続システム、ネットワーク接続装置およびそのプログラム

Publications (2)

Publication Number Publication Date
JP2007060610A JP2007060610A (ja) 2007-03-08
JP4612528B2 true JP4612528B2 (ja) 2011-01-12

Family

ID=37923631

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005321880A Expired - Fee Related JP4612528B2 (ja) 2005-07-29 2005-11-07 ネットワーク接続システム、ネットワーク接続装置およびそのプログラム

Country Status (1)

Country Link
JP (1) JP4612528B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE450967T1 (de) * 2005-10-21 2009-12-15 Ericsson Telefon Ab L M Handhabung von dienstgüte in einem kommunikationssystem
JP4764737B2 (ja) 2006-02-13 2011-09-07 富士通株式会社 ネットワークシステム、端末およびゲートウェイ装置
WO2011037104A1 (ja) 2009-09-24 2011-03-31 日本電気株式会社 仮想サーバ間通信識別システム、及び仮想サーバ間通信識別方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000349803A (ja) * 1999-06-03 2000-12-15 Matsushita Graphic Communication Systems Inc インターネット接続型sohoゲートウェイ装置
JP2003060664A (ja) * 2001-08-21 2003-02-28 Hitachi Ltd ゲートウェイ装置および情報機器
JP2003101566A (ja) * 2001-09-19 2003-04-04 Hitachi Software Eng Co Ltd ネットワーク機器の管理方法および装置
JP2003333064A (ja) * 2002-05-13 2003-11-21 Nec Access Technica Ltd PPPoE内蔵ルータ及びそのグローバルIPアドレス割り当て方法
JP2004040348A (ja) * 2002-07-02 2004-02-05 Yamaha Corp パケット制御装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000349803A (ja) * 1999-06-03 2000-12-15 Matsushita Graphic Communication Systems Inc インターネット接続型sohoゲートウェイ装置
JP2003060664A (ja) * 2001-08-21 2003-02-28 Hitachi Ltd ゲートウェイ装置および情報機器
JP2003101566A (ja) * 2001-09-19 2003-04-04 Hitachi Software Eng Co Ltd ネットワーク機器の管理方法および装置
JP2003333064A (ja) * 2002-05-13 2003-11-21 Nec Access Technica Ltd PPPoE内蔵ルータ及びそのグローバルIPアドレス割り当て方法
JP2004040348A (ja) * 2002-07-02 2004-02-05 Yamaha Corp パケット制御装置

Also Published As

Publication number Publication date
JP2007060610A (ja) 2007-03-08

Similar Documents

Publication Publication Date Title
JP3965160B2 (ja) 相異なる私設網に位置したネットワーク装置間の通信を支援するネットワーク接続装置
US7729366B2 (en) Method, apparatus and system for network mobility of a mobile communication device
JP4327142B2 (ja) 情報処理システム、トンネル通信装置、トンネル通信方法、代理応答装置、及び代理応答方法
JP4579934B2 (ja) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
EP1931087A1 (en) Information processing system, tunnel communication device, tunnel communication method, and program
JP5488591B2 (ja) 通信システム
JP4600394B2 (ja) ネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体
JP6040711B2 (ja) 管理サーバ、仮想マシンシステム、プログラム及び接続方法
JP2009111437A (ja) ネットワークシステム
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
JP3587633B2 (ja) ネットワーク通信方法および装置
JP4612528B2 (ja) ネットワーク接続システム、ネットワーク接続装置およびそのプログラム
CN113595848B (zh) 一种通信隧道建立方法、装置、设备及存储介质
JP5131118B2 (ja) 通信システム、管理装置、中継装置、及びプログラム
JP4191180B2 (ja) 通信支援装置、システム、通信方法及びコンピュータプログラム
Pierrel et al. A policy system for simultaneous multiaccess with host identity protocol
JP2001345841A (ja) 通信ネットワークシステム、データ通信方法、および通信中継装置、並びにプログラム提供媒体
Komu et al. Basic host identity protocol (HIP) extensions for traversal of network address translators
JP5054666B2 (ja) Vpn接続装置、パケット制御方法、及びプログラム
JP5084716B2 (ja) Vpn接続装置、dnsパケット制御方法、及びプログラム
JP5786479B2 (ja) ネットワークシステム及びその制御方法
JP2009206876A (ja) サービス公開システム、通信中継装置、およびサービス公開装置
JP2001230806A (ja) アドレス変換装置
JP3692943B2 (ja) 通信クライアント装置
WO2014002265A1 (ja) 中継装置、情報処理装置、アクセス制御方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100713

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100903

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101005

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101015

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131022

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees