JP4612528B2 - ネットワーク接続システム、ネットワーク接続装置およびそのプログラム - Google Patents
ネットワーク接続システム、ネットワーク接続装置およびそのプログラム Download PDFInfo
- Publication number
- JP4612528B2 JP4612528B2 JP2005321880A JP2005321880A JP4612528B2 JP 4612528 B2 JP4612528 B2 JP 4612528B2 JP 2005321880 A JP2005321880 A JP 2005321880A JP 2005321880 A JP2005321880 A JP 2005321880A JP 4612528 B2 JP4612528 B2 JP 4612528B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- network connection
- communication terminal
- connection device
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
第一に、FTP(File Transfer Protocol)、SIP(Session Initiation Protocol)、DNS(Domain Name System)、SCTP(Stream Control Transport Protocol)、DCCP(Datagram Congestion Control Protocol)などのプロトコルでは、IPヘッダだけではなくペイロードにもIPアドレスが含まれるため、IPヘッダ部分のアドレス変換の際、ペイロード部分のアドレス変換も同時に行わなくてはならない。例えばSIPのINVITEメッセージでは、ペイロード中に互いに通信するもの同志のアドレスが含まれるため、ペイロード中のプライベートアドレスを対応するグローバルアドレスに変換しなければならない。ペイロードのどの部分にIPアドレスが含まれるかはプロトコル毎に異なるため、それぞれについてアドレス変換の方法を変えなければならない。さらには、新規のプロトコルには対応できないといった問題がある。
さらに、IPsec(Security Architecture for Internet Protocol)のプロトコルを適用してIPヘッダの改竄防止を図る場合があるが、従来のネットワーク接続システムのようにNATによるアドレス変換を行うと、IPヘッダが変更され、IPsecのプロトコルはこれをIPヘッダの改竄と判断してしまう。
請求項2に記載のネットワーク接続システムは、通信端末が、プロセス識別子を含む情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末によって送信された情報に含まれるプロセス識別子と所定のアドレスとを対応付けるプロセス対応情報を作成し、生成したプロセス対応情報に従って、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスを特定してパケットを生成し、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を特定して内部通信情報を生成する構成を有している。
請求項3に記載のネットワーク接続システムは、通信端末が、通信端末を認証するための端末認証情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末から送信された端末認証情報に基づいて通信端末の認証を行い、通信端末の認証が成功した場合、通信端末とネットワーク上の機器との間の情報の送受信を許可する構成を有している。
請求項4に記載のネットワーク接続システムは、通信端末が、通信端末を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、当該ユーザに対応するプロセス識別子を含む内部通信情報の通信端末への送信と、当該内部通信情報に対応するパケットのネットワーク上の機器への送信とを許可する構成を有している。
(本発明の第1の実施の形態)
〔全体構成〕
本発明の第1の実施の形態に係るネットワーク接続システム1のシステム構成図を図1に示す。図1に示したネットワーク接続システム1は、ネットワーク40に接続されたネットワーク接続装置10と、ネットワーク接続装置10と通信可能に接続された通信端末20とを備えた構成を有し、さらにネットワーク40には、サーバ等の外部ホスト30が接続されている。
なお、図示した通信端末20の各々を区別する場合には、通信端末20をそれぞれ通信端末20−1、通信端末20−2と記載し、外部ホスト30の各々を区別する場合には、外部ホスト30をそれぞれ外部ホスト30−1、外部ホスト30−2と記載する。
また、例えば、外部ホスト30−1、外部ホスト30−2は、それぞれWeb外部ホスト、メールサーバ、通信相手端末等であり、通信端末20およびネットワーク接続装置10は、企業内および家庭内に設置され、ネットワーク40は、インターネット等である。なお、ネットワーク接続装置10と通信端末20との間は、有線または無線で接続されてもよい。
通信端末20は、IPに準拠した通信をしないため、IPアドレスはもたない。また、ネットワーク接続装置10は、外部ホスト30等の通信機器と通信するため、例えば、グローバルIPアドレスを1以上保有する(メモリ等に格納している)。
<ハードウエア構成>
ネットワーク接続装置10は、CPU(Central Processing Unit)、メモリ(RAM,ROM,NV-RAM)、ハードディスク、ネットワーク40に接続されるネットワークインタフェース、および通信端末20に接続されるインタフェース等を有している。
<ソフトウエア構成>
図2は、ネットワーク接続装置10にインストールされているソフトウエア1010の構成を例示した図である。図2に示すように、この例のソフトウエア1010は、通信端末20とネットワーク接続装置10とのリンクを確立させてリンク情報を生成するためのリンク確立ソフトウエア1012、通信端末20から通知されるプロセス識別子とグローバルIPアドレス等のアドレスとを対応させるプロセス対応情報を作成するためのプロセス対応情報作成ソフトウエア1013、OS(Operating System)1015、ネットワークドライバ1016、および、プロセス対応情報に従って内部通信情報を生成する内部通信情報生成ソフトウエア1017を有している。
本形態のネットワーク接続装置10は、上述のハードウエアにソフトウエア1010がインストールされ、このソフトウエア1010がCPUで実行されることにより構成される。図3は、このように構成されたネットワーク接続装置10の構成を例示したブロック図である。
この図に示すように、この例のネットワーク接続装置10は、通信端末20と通信を行うインタフェース部11、通信端末20との間のリンクを確立させてリンク情報1021を生成するリンク確立部12、プロセス対応情報1022を作成するプロセス対応情報作成部13、リンク情報1021とプロセス対応情報1022とを格納する記憶部14、プロセス対応情報1022に従ってパケットを生成するパケット生成部15、プロセス対応情報1022に従って内部通信情報を生成する内部通信情報生成部16、ネットワーク40を通じた通信を行うネットワークインタフェース部17、および、ネットワーク接続装置10全体を制御する制御部18を有する。また、インタフェース部11は、インタフェース11a,11bおよび11cを有し、それぞれにインタフェース番号(IF#0,IF#1,IF#2)が割り振られている。なお、「インタフェース」とは、各装置における通信の論理的な機能単位を意味し、具体的には、所定のソフトウエアが読み込まれたCPUがLANカード等の通信装置を制御することによって構成される。また、各装置は複数のインタフェースをもつことが可能である。
<ハードウエア構成>
通信端末20は、CPU、メモリ、ネットワーク接続装置10に接続されるインタフェース等を有しており、例えば、ハードディスク、キーボード等の入力器、およびディスプレイを備えたパソコン等である。また、通信端末20は、情報家電機器等でもよい。
<ソフトウエア構成>
図4は、通信端末20にインストールされているソフトウエア1030の構成を例示した図である。図4に示すように、この例のソフトウエア1030は、Webページを閲覧するブラウザまたは、メールを送受信するメーラ等のアプリケーションソフトウエア1031、ネットワーク接続装置10へのリンク確立要求を行うためのリンク確立要求情報生成ソフトウエア1032、OS1033、および、ネットワークドライバ1034を有している。なお、アプリケーションソフトウエア1031は、ブラウザやメーラだけに限定されることはない。
本形態の通信端末20は、上述のハードウエアにソフトウエア1030がインストールされ、このソフトウエア1030がCPUで実行されることにより構成される。
図5は、このように構成された通信端末20−1の構成を例示したブロック図である。なお、ここでは通信端末20−1の構成のみを例示するが、通信端末20−2の構成もこれと同様である。この例の通信端末20−1は、通信端末ID1041やリンク番号1042を格納する記憶部21−1、ネットワーク接続装置10と通信を行うインタフェース部22−1、ネットワーク接続装置10へのリンク確立要求を行うリンク確立要求情報生成部23−1、プロセス1001,1002を実行するプロセス実行部24−1、および、通信端末20全体を制御する制御部25−1を有する。また、インタフェース部22−1は、インタフェース22a−1を有し、これにはインタフェース番号(IF#0)が割り振られている。
なお、図1では、通信端末20−1にプロセス1001およびプロセス1002が生起し、通信端末20−2にプロセス1003が生起している様子を示している。また、ネットワーク接続装置10もまた、同様に図示しないプロセスを生起している。
ネットワーク接続装置10と通信端末20とは、後述の処理により対応付けられる。このネットワーク接続装置10と通信端末20との間の対応付け(リンク)は、論理的なリンク番号によって表される。リンク番号と各インタフェースとの対応関係の一例を表1に示す。
また、通信端末IDにおける「1」および「2」は、それぞれ、通信端末20−1、通信端末20−2を表している。
通信端末20のIF番号における「0」および「1」は、通信端末20のインタフェース(22a−1等)の番号を表している。なお、それぞれの通信端末20にインタフェースが1つだけ存在する構成では、通信端末20のIF番号は不要である。
また、本発明の実施の形態において、図1の通信端末20−2のように通信端末20が複数のインタフェースを有する場合、ネットワーク接続装置10と通信端末20との間には、1つのインタフェースにつき1つの論理的なリンクが存在するものとする。
以上のように構成された本発明の第1の実施の形態に係るネットワーク接続システム1の動作について、図面を参照して説明する。図6は、本発明の第1の実施の形態に係るネットワーク接続システム1の動作を示すシーケンス図である。なお、以下では、通信端末20−1がネットワーク40に接続された外部ホスト30等の通信機器と通信を行う場合を例にとって説明する。
まず、通信端末20−1のリンク確立要求情報生成部23−1は、ネットワーク接続装置10に対するリンク確立要求を示すリンク確立要求情報を生成する。リンク確立要求情報は、各通信端末を特定するための通信端末ID、MACアドレスまたは製造番号などの情報を含む。この例の場合、リンク確立要求情報生成部23−1は、記憶部21−1に格納された通信端末ID1041を読み込み、この通信端末ID1041を含むリンク確立要求情報を生成する。生成されたリンク確立要求情報は、ネットワークドライバ1034の処理に従い、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信される(S1)。また、リンク確立要求情報を送信する契機としては、通信端末20−1がネットワーク接続装置10と物理的に接続したときなどである。
また、リンク確立部12は、割当てたリンク番号と、リンク確立要求情報に含まれる通信端末ID1041と、リンク確立要求情報を受信したときのインタフェース11aの番号とを対応させるリンク情報1021を生成し、これをメモリやハードディスク等の記憶部14に格納する(S2)。ここで、リンク確立部12が作成したリンク情報の一例を表2に示す。
次に、プロセス実行部24−1は、プロセス1001,1002を生起し、生起したプロセス1001,1002に対応するプロセス識別子(以下、プロセスIDという。)および記憶部21−1に格納されたリンク番号1042を含むプロセス情報を、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信する(S3)。なお、プロセス情報を送信する契機としては、プロセスが生起されたときなどである。また、このプロセス情報の送信は、ネットワークドライバ1034の処理に従って実行される。
また、プロセス対応情報作成部13は、プロセス情報に含まれるプロセスIDと、リンク番号と、アドレスとを対応させるプロセス対応情報1022を生成し、これをメモリやハードディスク等の記憶部14に格納する(S4)。なお、アドレスは、グローバルIPアドレス等である。ここで、プロセス対応情報作成部13が作成したプロセス対応情報1022の一例を表3に示す。
また、プロセス対応情報作成部13は、1つのリンク番号につき1つのアドレスを割当てるようにしてもよく、1つの通信端末IDにつき1つのアドレスを割当てるようにしてもよい。1つの通信端末IDにつき1つのアドレスを割当てる場合には、プロセス対応情報作成部13は、表2に例示したリンク情報1021における通信端末IDに基づいてアドレスを割当てる。
また、アドレス割当情報に、1つのユーザにつき1つのアドレスを割当てるようにような設定が施されてもよい。具体的には、例えば、アドレス割当情報にユーザを表すユーザIDが設定されてもよい。この例の場合、プロセス対応情報作成部13には、ユーザIDが設定されているアドレス割当情報を含むプロセス情報がインタフェース部11のインタフェース11aから転送される。そして、この例のプロセス情報が転送されたプロセス対応情報作成部13は、例えば、アドレス割当情報に設定されているユーザIDと、割当てたアドレスとを対応させたプロセス対応情報1022を作成する。
<図7(A)に示す処理>
まず、通信端末20−1のプロセス実行部24−1が、実行されているプロセス1001に従い、外部ホスト30−1に送信されるデータとなるペイロードを生成する。また、プロセス実行部24−1は、ネットワークドライバ1034の処理に従い、このペイロードに対し、プロセスID、宛先となる外部ホスト30−1のアドレス(以降、2.1.1.1とする)、およびリンクヘッダを付加した内部通信情報1051を生成し、これらをインタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信する。
なお、内部通信情報1051に含まれるペイロードがTCPまたはUDPに準拠したデータである場合、ペイロードのヘッダ部のポート番号(送信元ポート番号)の設定情報にプロセスIDを設定することとしてもよい。
次に、ネットワーク接続装置10は、通信端末20−1から送信された内部通信情報1051を、インタフェース部11のインタフェース11aで受信する。受信された内部通信情報1051はパケット生成部15に転送され、パケット生成部15は、転送された内部通信情報1051に含まれるプロセスIDをキーとして表3に示したプロセス対応情報1022を検索し、このプロセスIDと対応するアドレスを送信元アドレスとして抽出する。図7(A)の例では、プロセスID1001をキーとして、プロセスID1001と対応する送信元アドレス1.1.1.1が抽出されている。そして、パケット生成部15は、抽出した送信元アドレス、内部通信情報1051に含まれるペイロードおよび宛先アドレスを含み、所定の形式(例えばIP)に準拠したパケット1052を生成する。
なお、パケット1052がIPパケットである場合には、パケット1052は、宛先IPアドレスや送信元IPアドレス、その他のIPヘッダに関わる情報およびペイロードによって構成される。
<図7(B)に示す処理>
外部ホスト30−1は、ネットワーク接続装置10から送信されたパケット1052を受信し、受信したパケット1052を処理する。この例の外部ホスト30−1は、受信したパケット1052に対して応答する場合、パケット1052に対する応答内容などを含むペイロードを生成する。ここで、パケット1052のペイロードにポート番号(送信元ポート番号)が含まれていた場合、外部ホスト30−1は、このポート番号を宛先ポート番号としたペイロードを生成する。そして、この例の外部ホスト30−1は、生成したペイロードを含み、パケット1052の送信元アドレスを宛先アドレスとし、パケット1052の宛先アドレスを送信元アドレスとしたパケット1053をネットワーク接続装置10に送信する。
また、内部通信情報生成部16は、プロセスIDをキーとして記憶部14のプロセス対応情報1022を検索し、このプロセスIDに対応するリンク番号を抽出する。さらに、内部通信情報生成部16は、抽出したリンク番号をキーとして記憶部14のリンク情報1021を検索し、このリンク番号に対応するIF番号を抽出する。例えば、プロセスIDが「1001」であった場合、これと対応するリンク番号「100」が抽出され、さらにこのリンク番号「100」と対応するネットワーク接続装置10のIF番号「0」が抽出される。
内部通信情報生成部16は、上述のように抽出したIF番号のインタフェース11aから内部通信情報1054を送出する。これにより、内部通信情報1054は、対応する通信端末20に転送される。この例ではIF番号「0」が抽出されることになるので、内部通信情報1054は、インタフェース部11のインタフェース11a(IF#0)から送出され、通信端末20−1のインタフェース部22−1のインタフェース22a−1に受信される。
以上説明したように、本発明の第1の実施の形態に係るネットワーク接続システム1は、通信端末20とネットワーク40上の機器との間で情報を送受信する際に、ネットワーク接続装置10が、内部通信情報1051に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報1051に含まれる宛先アドレスを含むパケット1052を生成し、また、送信されたパケット1053に含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報1054を生成する。これにより、ネットワーク接続装置10と通信端末20の間で用いられるプライベートアドレスが不要となるため、NAT超え等に係るアドレスの変換が不要となる。その結果、従来のNAT超えの対策を適用する場合のような、IPヘッダ内のアドレスに加えて上位レイヤのメッセージを変換するといった処理が不要となる。また、種々のプロトコルに対応可能となるデータ転送を行うことができる。
さらに、ネットワーク接続装置10の記憶部14にリンク情報1021およびプロセス対応情報1022が生成された後は、外部ホスト30等のネットワーク上の通信機器は、希望する通信端末20を直接指定してセッションを行ったり、開始したりすることができる。
なお、本形態では、リンク番号を用いた処理を説明したが、リンク番号は必須ではない。ただし、ネットワーク接続装置10と通信端末20との間にスイッチが存在したとき等の通信形態に依っては、リンク番号が必要となる場合がある。また、リンク番号を用いない形態においては、表2に示したリンク情報におけるリンク番号は、存在しなくてもよい。またこの場合、表3に示したプロセス対応情報は、リンク番号をネットワーク接続装置10のIF番号に換えたものとなる。そして、この際、図6を用いて説明した処理では、リンク番号の代わりにIF番号を用いる。
〔全体構成〕
本発明の第2の実施の形態に係るネットワーク接続システム100のシステム構成図を図9に示す。図9に示したネットワーク接続システム100は、ISP(Internet Service Provider)が有する認証サーバ160と、ネットワーク40に接続されたネットワーク接続装置110と、ネットワーク接続装置110と通信可能に接続された通信端末120を備えた構成であり、さらにネットワーク40には、外部ホスト30が接続されている。
例えば、通信端末120およびネットワーク接続装置110は、企業内および家庭内に設置される。ネットワーク接続装置110は、例えば、ISPから支給または貸し出しされたものである。ネットワーク接続装置110および通信端末120は、本発明の第1の実施の形態で説明したネットワーク接続装置10と通信端末20と基本的に同様の構成である。差異については以降に説明する。
また、通信端末120が、通信端末120を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置110に送信し、ネットワーク接続装置110は、通信端末120から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、通信端末120とネットワーク40上の機器との間における通信のうち、このユーザに対応するプロセス識別子を含む内部通信情報に対応するものの送受信を許可することもできる。
次に、本発明の第2の実施の形態に係るネットワーク接続装置110の構成を説明する。なお、以下では、ネットワーク接続装置110の構成要素のうち、本発明の第1の実施の形態に係るネットワーク接続装置10の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<ハードウエア構成>
第1の実施の形態のネットワーク接続装置10と同様である。
<ソフトウエア構成>
図10は、ネットワーク接続装置110にインストールされているソフトウエア1070の構成を例示した図である。この図に例示するように、本形態の第1の実施の形態との相違点は、さらに端末認証情報またはユーザ認証情報に基づいて認証を行うための認証ソフトウエア1071がネットワーク接続装置110にインストールされている点である。その他は第1の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置110は、第1の実施の形態と同様なハードウエアにソフトウエア1070がインストールされ、このソフトウエア1070がCPUで実行されることにより構成される。図11は、このように構成されたネットワーク接続装置110の構成を例示したブロック図である。この図に示すように、本形態のネットワーク接続装置110は、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部111が付加される点で、第1の実施の形態のネットワーク接続装置10と相違する。その他はネットワーク接続装置10と同様である。すなわち、ネットワーク接続装置110は、インタフェース部11、リンク確立部12、プロセス対応情報作成部13、記憶部14、パケット生成部15、内部通信情報生成部16、ネットワークインタフェース部17、制御部18、および、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部111を有する。
次に、本発明の第2の実施の形態に係る通信端末120の構成を説明する。なお、以下では、通信端末120の構成要素のうち、本発明の第1の実施の形態に係る通信端末20の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
第1の実施の形態の通信端末20と同様である。
<ソフトウエア構成>
図12は、通信端末120にインストールされているソフトウエア1090の構成を例示した図である。この図に例示するように、本形態の第1の実施の形態との相違点は、さらに端末認証情報またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置110に対して行うための認証要求ソフトウエア1091が通信端末120にインストールされている点である。その他は第1の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態の通信端末120は、第1の実施の形態と同様なハードウエアにソフトウエア1090がインストールされ、このソフトウエア1090がCPUで実行されることにより構成される。図13は、このように構成された通信端末120−1の構成を例示したブロック図である。この図に示すように、本形態の通信端末120−1は、端末認証情報またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置110に対して行う認証要求部121−1が付加される点で第1の実施の形態の通信端末20−1と相違する。その他は通信端末20−1と同様である。なお、ここでは、通信端末120−1の構成のみを例示するが、通信端末120−2の構成も同様である。
以上のように構成された本発明の第2の実施の形態に係るネットワーク接続システム100の動作について、図面を参照して説明する。図14および図15は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作を示すシーケンス図である。
なお、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうち、本発明の第1の実施の形態に係るネットワーク接続システム1の動作と同一の動作には同一の符号を付し、それぞれの説明を省略する。また以下では、通信端末120−1がネットワーク40に接続された外部ホスト30等の通信機器する場合を例にとって説明する。
第1の実施の形態と同じS1およびS2の処理が実行され、通信端末120−1がリンク番号を受信した後、通信端末120−1の認証要求部121−1は、端末認証の要求を行うため、記憶部21−1から読み込んだ端末認証情報1101を、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置110に送信する(S11)。なお、端末認証情報1101は、通信端末IDおよびパスワード、または、電子証明書など通信端末120を認証できる情報であれば如何なるものでもよい。端末認証情報1101は、予めメモリ等の記憶部21−1に記憶しているものが使用されてもよく、また、端末認証の要求を行う際に、ユーザから入力され記憶部21−1に格納されたものが使用されてもよい。
なお、この例の認証部111は、端末認証情報を認証サーバ160に送信することにより、認証サーバ160に対して認証を要求し、認証結果を得る。また、認証部111は、ハードディスク等の記憶部14に格納している認証に関わる情報(図示せず)と照合して認証結果を決定してもよい。
図15は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうちユーザ認証の動作を示すシーケンス図である。
なお、ユーザ認証情報1102は、ユーザIDおよびパスワード、または、電子証明書などユーザを認証できる情報であれば如何なるものでもよい。ユーザ認証情報1102は、予め記憶部21−1に記憶しているものが使用されてもよく、また、ユーザ認証の要求を行う際に、ユーザから入力され、記憶部21−1に格納されたものが使用されてもよい。
この例の認証部111は、ユーザ認証情報を認証サーバ160に送信することにより、認証サーバ160に対して認証の要求し、認証結果を得る。また、認証部111は、ハードディスク等に格納している認証に関わる情報と照合して認証結果を決定してもよい。
また、S13で、認証要求部121−1がアドレスおよびユーザ認証情報をインタフェース22a−1を通じてネットワーク接続装置110に送信するとしたが、S3で、アドレスおよびユーザ認証情報をプロセス情報に加えてネットワーク接続装置10に送信するようにしてもよい。このようにアドレスおよびユーザ認証情報をプロセス情報に加えて送信した場合、S4に続いてS14でユーザ認証を行って、認証部111は、表5に示したプロセス対応情報を作成する。
また、ネットワーク接続装置110を企業内および家庭内に設置する場合、ネットワーク接続装置110が、ネットワーク接続装置110を認証するための認証情報を認証サーバ160に送信して認証を要求し、そこから返信された認証結果を用いてネットワーク接続装置110を利用させるか否かを判断してもよい。
〔全体構成〕
本発明の第3の実施の形態に係るネットワーク接続システム200のシステム構成図を図16に示す。
図16に示したネットワーク接続システム200は、ネットワーク40に接続されたネットワーク接続装置210と、ネットワーク接続装置210と通信可能に接続された通信端末220とを備えた構成を有し、さらにネットワーク40には、外部ホスト30が接続されている。
なお、図示した通信端末220の各々を区別する場合には、通信端末220をそれぞれ通信端末220−1、通信端末220−2と記載し、外部ホスト30の各々を区別する場合には、外部ホスト30をそれぞれ外部ホスト30−1、外部ホスト30−2と記載する。
ネットワーク接続装置210と通信端末220との間は、リンクレイヤのプロトコルに準拠して通信する。例えば、リンクレイヤのプロトコルは、IEEE802.3(Ethernet(登録商標))、PPP(Point-to-Point Protocol)、もしくはL2TP(Layer 2 Tunneling Protocol)、またはPPTP(Point-to-Point Tunneling Protocol)などのトンネリングプロトコルでもよく、ネットワーク接続装置210と外部ホスト30との間の通信はIPに準拠する。
〔ネットワーク接続装置210の構成〕
<ハードウエア構成>
ネットワーク接続装置210は、CPU(Central Processing Unit)、メモリ(RAM,ROM,NV-RAM)、ハードディスク、ネットワーク40に接続されるネットワークインタフェース、および通信端末20に接続されるインタフェース等を有している。
図17は、ネットワーク接続装置210にインストールされているソフトウエア2010の構成を例示した図である。図17に示すように、この例のソフトウエア2010は、通信端末220とネットワーク接続装置210とのリンクを確立させてリンク情報を生成するためのリンク確立ソフトウエア2012、通信端末220から通知されるプロセス識別子とグローバルIPアドレス等のアドレスとを対応させるプロセス対応情報を作成するためのプロセス対応情報作成ソフトウエア2013、OS(Operating System)2015、ネットワークドライバ2016、および、プロセス対応情報に従って内部通信情報を生成する内部通信情報生成ソフトウエア2017を有している。
本形態のネットワーク接続装置210は、上述のハードウエアにソフトウエア2010がインストールされ、このソフトウエア2010がCPUで実行されることにより構成される。図18は、このように構成されたネットワーク接続装置210の構成を例示したブロック図である。
この図に示すように、この例のネットワーク接続装置210は、通信端末220と通信を行うインタフェース部211、通信端末220との間のリンクを確立させてリンク情報2021を生成するリンク確立部212、プロセス対応情報2022を作成するプロセス対応情報作成部213、リンク情報2021とプロセス対応情報2022とソケット情報テーブル2023を格納する記憶部214、ソケット情報テーブル2023を生成し、さらにプロセス対応情報2022に従ってパケットを生成するパケット生成部215、プロセス対応情報2022に従って内部通信情報を生成する内部通信情報生成部216、ネットワーク40を通じた通信を行うネットワークインタフェース部217、ネットワーク接続装置210全体を制御する制御部218、および、プロセス2101〜2103を実行するプロセス実行部219を有する。また、インタフェース部211にはインタフェース番号(IF#0)が割り振られている。
またプロセス2101〜2103は、OS2015の制御のもとCPUがアプリケーションソフトウエア2014を実行する際の処理単位である。これらのプロセス2101〜2103は、通信端末220で生起される各プロセス2001〜2003(図16)にそれぞれ対応し、これらとの通信処理を行うものである。なお、各プロセス2101〜2103は、例えば、それに対応する通信端末220のプロセス2001〜2003が生起されたことや、これとの通信が開始されたことを契機に生起される。また、プロセスの生起とは、プロセスに対応するプログラムがRAM等の主記憶装置に読み込まれ、CPUがこのプログラムを実行可能な状態にすること、および、実際に実行することをいう。また、プロセスは、一つのOS上で動作し、複数のOSが一つのホスト上で動作することもある。さらにプロセスは、OSにローカルなプロセス識別子(以下、プロセスIDという。)をもつ。また、本形態における「ソケット」とは、アプリケーションソフトがTCP/IP通信を扱うための仮想的なインタフェース〔API(Application Program Interface)〕を意味する。
<ハードウエア構成>
通信端末220は、CPU、メモリ、ネットワーク接続装置210に接続されるインタフェース等を有しており、例えば、ハードディスク、キーボード等の入力器、およびディスプレイを備えたパソコン等である。また、通信端末220は、情報家電機器等でもよい。
<ソフトウエア構成>
図19は、通信端末220にインストールされているソフトウエア2030の構成を例示した図である。図19に示すように、この例のソフトウエア2030は、Webページを閲覧するブラウザまたは、メールを送受信するメーラ等のアプリケーションソフトウエア2031、ネットワーク接続装置210へのリンク確立要求を行うためのリンク確立要求情報生成ソフトウエア2032、OS2033、および、ネットワークドライバ2034を有している。なお、アプリケーションソフトウエア2031は、ブラウザやメーラだけに限定されることはない。
本形態の通信端末220は、上述のハードウエアにソフトウエア2030がインストールされ、このソフトウエア2030がCPUで実行されることにより構成される。
図20は、このように構成された通信端末220−1の構成を例示したブロック図である。なお、ここでは通信端末220−1の構成のみを例示するが、通信端末220−2の構成もこれと同様である。
この例の通信端末220−1は、プロセス対応情報2041やリンク情報2042を格納する記憶部221−1、ネットワーク接続装置210と通信を行うインタフェース部222−1、ネットワーク接続装置210へのリンク確立要求を行うリンク確立要求情報生成部223−1、プロセス2001,2002を実行するプロセス実行部224−1、および、通信端末220−1全体を制御する制御部225−1を有する。また、インタフェース部222−1にはインタフェース番号(IF#1)が割り振られている。
ネットワーク接続装置210と、通信端末220とは、後述の処理により対応付けられる。本形態の対応付け(リンク)は、ネットワーク接続装置210のインタフェース番号と通信端末220のインタフェース番号との組で特定され、各リンクは、論理的なリンク番号によって表される。リンク番号とインタフェース(IF)番号との対応関係の一例を表6に示す。
以上のように構成された本発明の第3の実施の形態に係るネットワーク接続システム200の動作について、図面を参照して説明する。
図21,22は、本発明の第3の実施の形態に係るネットワーク接続システム200の動作を示すシーケンス図である。なお、以下では、通信端末220−1がネットワーク40に接続された外部ホスト30等の通信機器と通信を行う場合を例にとって説明する。
まず、通信端末220−1のリンク確立要求情報生成部223−1は、ネットワーク接続装置210に対するリンク確立要求を示すリンク確立要求情報を生成する。本形態の例のリンク確立要求情報は、リンクの確立を要求する通信端末220−1のインタフェース番号「11:12:13:14:15:16:00」(IF#1)と、ネットワーク接続装置210のインタフェース番号「01:02:03:04:05:06:00」(IF#0)との組を含む情報である。生成されたリンク確立要求情報は、ネットワークドライバ2034の処理に従い、インタフェース部222−1からネットワーク接続装置210に送信される(S101)。なお、リンク確立要求情報を送信する契機としては、通信端末220−1がネットワーク接続装置210と有線または無線により接続したとき、もしくは通信端末220−1が通信を開始するときなどである。
次に、通信端末220−1のリンク確立要求情報生成部223−1は、記憶部221−1からリンク情報2042を読み込み、このリンク情報2042に対応するリンクにIPアドレス(グローバルIPアドレス等)の割り当てを要求するためのIPアドレス割り当て要求情報を生成する(S103)。なお、このIPアドレス割り当て要求情報は、記憶部221−1から読み込まれたリンク情報2042を含む。生成されたIPアドレス割り当て要求情報は、通信端末220−1のインタフェース部222−1からネットワーク接続装置210に送信され、ネットワーク接続装置210のインタフェース部211で受信される。
通信端末220−1のリンク確立要求情報生成部223−1は、インタフェース部222−1で受信されたリンク情報(IPアドレスを含む)2021が有するIPアドレスをリンク情報2042に追加し、これを新たなリンク情報2042として記憶部221−1に格納する(S105)。なお、S103からS104の手順においてIPアドレス割り当て要求情報にリンク情報2042を含ませているが、代わりにリンク情報2042に含まれるリンク番号を用いてもよい。この場合はS104においてネットワーク接続装置210はリンク番号よりリンク情報を特定する。また、IPアドレス割り当て要求情報をリンク確立要求情報と同時に送信するようにしてもよい。
また、プロセス情報には、アドレスの割当て方法を指定するアドレス割当情報を含めることができる。プロセス情報にアドレス割当情報を含めている場合には、プロセス対応情報作成部213は、このアドレス割当情報に従ってアドレスを割り当てる。この場合、アドレス割当情報に、1つのユーザにつき1つのアドレスを割り当てるようにような設定が施されてもよい。具体的には、例えば、アドレス割当情報にユーザを表すユーザIDが設定されてもよい。この例の場合、プロセス対応情報作成部213には、ユーザIDが設定されているアドレス割当情報を含むプロセス情報がインタフェース部211から転送される。そして、この例のプロセス情報が転送されたプロセス対応情報作成部213は、例えば、アドレス割当情報に設定されているユーザIDを、リンク番号と、通信端末220のプロセスIDと、ネットワーク接続装置210のプロセスIDと、IPアドレスとに対応させたプロセス対応情報2022を作成する。この場合のプロセス対応情報2022の一例を表9に示す。
まず、通信端末220−1のプロセス実行部224−1が、実行されているプロセス2001に従い、外部ホスト30−1に送信されるデータとなるペイロードを生成する。また、プロセス実行部224−1は、生起されているプロセス2001のプロセスIDを取得する。そして、プロセス2001のソケットAPIにより通信処理が開始されると、プロセス実行部224−1は、ネットワークドライバ2034の処理に従い、プロセス2001のプロセスIDに対応するリンク情報2042を記憶部221−1から読み込む。そして、プロセス実行部224−1は、当該リンク情報2042が示すリンクに対応する通信経路に、以下の内部通信情報2051を送信する。
・リンク番号:通信端末220−1のIF番号等を含むリンクを指定する情報
・プロセスID(通信端末220−1のプロセスID)
・ソケット情報
・ペイロード(外部ホスト30に送信するデータ)
ネットワーク接続装置210は、通信端末220−1から送信された内部通信情報2051を、インタフェース部211で受信する。受信された内部通信情報2051はパケット生成部215に転送され、パケット生成部215は、転送された内部通信情報2051に含まれるリンク番号とプロセスID(通信端末220−1のプロセスID)とを用いて、リンク情報2021(表7等)及びプロセス対応情報2022(表8,9等)を検索し、「通信端末220−1のプロセスID」に対応する「ネットワーク接続装置210のプロセスID」を特定する。具体的には、例えば、パケット生成部215は、内部通信情報2051に含まれるリンク番号と、内部通信情報2051に含まれる通信端末220−1のプロセスIDとをキーとしてプロセス対応情報2022を検索し、対応するネットワーク接続装置210のプロセスIDを特定する。
外部ホスト30−1から通信を開始する場合、外部ホスト30−1がペイロードを生成する。また、上記の例の外部ホスト30−1が受信したIPパケット2052に対して応答する場合も、外部ホスト30−1がIPパケット2052に対する応答内容などを含むペイロードを生成する。そして、外部ホスト30−1は、生成したペイロードと、IPヘッダと、TCPヘッダとを含むIPパケット2053を生成する。なお、IPパケット2053のIPヘッダは、IPパケット2052のIPヘッダが有する送信元IPアドレスを宛先IPアドレスとし、IPパケット2052のIPヘッダが有する宛先IPアドレスを送信元IPアドレスとし、さらにプロトコル種別等の情報を追加して生成されるものである。また、IPパケット2053がIPパケット2052の返信である場合には、IPパケット2053のTCPヘッダは、IPパケット2052のTCPヘッダが有する送信元ポート番号を宛先ポート番号とし、IPパケット2052のTCPヘッダが有する宛先ポート番号を送信元ポート番号として生成されるものである。
また、制御部218は、IPパケット2053の通信に用いたソケットに対応するプロセス2101のプロセスIDを表10に例示したようなソケット情報テーブル2023を用いて検索し、得られたプロセスID(2101)をプロセス実行部219に送り、プロセス実行部219は、送られたプロセスIDに対応するプロセス2101を実行する。このプロセス2101は、自身のプロセスIDを検索キーとしてプロセス対応情報2022(例えば、表9)を検索し、そのプロセスIDに対応付けられている通信端末220のプロセスIDとリンク番号とを得る。さらに、このプロセス2101は、取得したリンク番号を検索キーとしてリンク情報2021(例えば、表7)を検索し、そのリンク番号に対応付けられているリンク情報(リンク番号、通信端末220のインタフェース番号、ネットワーク接続装置210のインタフェース番号等)を得る。このように得られたリンク情報及びプロセスIDは、内部通信情報生成部216に転送される。
内部通信情報生成部216は、上述のように転送された情報と記憶部214の情報とを用い、以下のような内部通信情報2054を生成し、この内部通信情報2054を、インタフェース部211から、リンク情報に示される通信経路を通じ、通信端末220−1に送信する。
・リンク番号:通信端末220−1のIF番号等を含むリンクを指定する情報
・プロセスID(通信端末220−1のプロセスID)
・ソケット情報(ソケット初期化処理(S115)で記憶部214に格納したソケット情報テーブル2023から対応するものを抽出)
・ペイロード(外部ホスト30から受信したデータ)
通信端末220−1は、インタフェース部222−1において、この内部通信情報2054を受信する。そして、制御部225−1は、インタフェース部222−1で受信された内部通信情報2054のペイロード情報を、その内部通信情報2054のプロセスIDで指定されるプロセス2001を実行するプロセス実行部224−1に送る。これを受け取ったプロセス実行部224−1は、プロセス2001を実行することにより、内部通信情報2054のペイロード情報の受信処理を行う。なお、内部通信情報に含まれるソケット情報に代えて対応するソケット番号を用いてもよい。
また、通信端末220とネットワーク接続装置210との間で送受される内部通信情報2051,2054はIPを介在しないため、IPによるオーバヘッドが削減でき、データ転送量が低減する。
また、本形態では、ネットワーク接続装置210がアドレス変換を行わないため、本システムにIPsecのプロトコルを適用することも容易である。
図25は、このようなソフトウエア2060をコンピュータにインストールした通信端末320を用いたネットワーク接続システム300を例示した図である。この場合、通信端末320では、OS2062Aおよび2062Bの2つの仮想マシン320−1,320−2が起動し、それぞれの上でOSが動作することになる。なお、各仮想マシン320−1,320−2の構成及びその処理内容は、前述の通信端末220−1,220−2と同様であり、例えば、ユーザA、ユーザBがそれぞれ各仮想マシン320−1,320−2を利用する。またユーザA、ユーザBが同時に異なる仮想マシン320−1,320−2を利用してもよい。また、ネットワーク接続装置210によってユーザ毎に1つずつアドレスが割り当てられる形態をとることもできる。
〔全体構成〕
本発明の第4の実施の形態に係るネットワーク接続システム400のシステム構成図を図26に示す。図26に示したネットワーク接続システム400は、ISP(Internet Service Provider)等が有する認証サーバ460と、ネットワーク40に接続されたネットワーク接続装置410と、ネットワーク接続装置410と通信可能に接続された通信端末420を備えた構成であり、さらにネットワーク40には、外部ホスト30が接続されている。
例えば、通信端末420およびネットワーク接続装置410は、企業内または家庭内に設置される。ネットワーク接続装置410は、例えば、ISPから支給または貸し出しされたものでもよい。ネットワーク接続装置410および通信端末420は、本発明の第3の実施の形態で説明したネットワーク接続装置210と通信端末220と基本的に同様の構成である。差異については以降に説明する。
また、通信端末420が、複数のOSがそれぞれ動作する複数の仮想マシンから構成される場合、本形態の処理の代わりに、通信端末420が、各仮想マシンで生成された各仮想マシンを認証するための仮想マシン認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410が、通信端末420上の仮想マシンから送信された仮想マシン認証情報に基づいて仮想マシンの認証を行い、その認証が成功した仮想マシンとネットワーク40上の機器との間における送受信を許可する構成をとることもできる。
〔ネットワーク接続装置410の構成〕
次に、本発明の第4の実施の形態に係るネットワーク接続装置410の構成を説明する。なお、以下では、ネットワーク接続装置410の構成要素のうち、本発明の第3の実施の形態に係るネットワーク接続装置210の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
第3の実施の形態のネットワーク接続装置210と同様である。
<ソフトウエア構成>
図27は、ネットワーク接続装置410にインストールされているソフトウエア2070の構成を例示した図である。この図に例示するように、本形態の第3の実施の形態との相違点は、さらに端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいて認証を行うための認証ソフトウエア2071がネットワーク接続装置410にインストールされている点である。その他は第3の実施の形態と同様である。
本形態のネットワーク接続装置410は、第3の実施の形態と同様なハードウエアにソフトウエア2070がインストールされ、このソフトウエア2070がCPUで実行されることにより構成される。図28は、このように構成されたネットワーク接続装置410の構成を例示したブロック図である。この図に示すように、本形態のネットワーク接続装置410は、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部411が付加される点で、第3の実施の形態のネットワーク接続装置210と相違する。その他はネットワーク接続装置210と同様である。すなわち、ネットワーク接続装置410は、インタフェース部211、リンク確立部212、プロセス対応情報作成部213、記憶部214、パケット生成部215、内部通信情報生成部216、ネットワークインタフェース部217、制御部218、プロセス実行部219、および、端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいて認証を行う認証部411を有する。
〔通信端末420の構成〕
次に、本発明の第4の実施の形態に係る通信端末420の構成を説明する。なお、以下では、通信端末420の構成要素のうち、本発明の第3の実施の形態に係る通信端末220の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
第1の実施の形態の通信端末220と同様である。
<ソフトウエア構成>
図29は、通信端末420にインストールされているソフトウエア2090の構成を例示した図である。この図に例示するように、本形態の第3の実施の形態との相違点は、さらに端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置410に対して行うための認証要求ソフトウエア2091が通信端末420にインストールされている点である。その他は第3の実施の形態と同様である。
本形態の通信端末420は、第3の実施の形態と同様なハードウエアにソフトウエア2090がインストールされ、このソフトウエア2090がCPUで実行されることにより構成される。図30は、このように構成された通信端末420−1の構成を例示したブロック図である。この図に示すように、本形態の通信端末420−1は、端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置410に対して行う認証要求部421−1が付加される点で第3の実施の形態の通信端末220−1と相違する。その他は通信端末220−1と同様である。なお、ここでは、通信端末420−1の構成のみを例示するが、通信端末420−2の構成も同様である。
以上のように構成された本発明の第4の実施の形態に係るネットワーク接続システム400の動作について、図面を参照して説明する。図31および図32は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作を示すシーケンス図である。
なお、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうち、本発明の第3の実施の形態に係るネットワーク接続システム200の動作と同一の動作には同一の符号を付し、それぞれの説明を省略する。また以下では、通信端末420−1がネットワーク40に接続された外部ホスト30等の通信機器と通信する場合を例にとって説明する。
まず、通信端末420−1のリンク確立情報生成部が第3の実施の形態のS101と同じリンク確立要求情報を生成する。加えて、認証要求部421−1が、端末認証の要求を行うための端末認証情報を、記憶部221−1から読み込んだ端末鍵情報2101に基づき生成する。そして、通信端末420−1のインタフェース部222−1から、これらのリンク確立要求情報及び端末認証情報をネットワーク接続装置410に送信する(S211)。
次に、ネットワーク接続装置410は、インタフェース部211で、通信端末420によって送信されたリンク確立要求情報及び端末認証情報を受信し、リンク確立要求情報をリンク確立部212に、端末認証情報を認証部411に、それぞれ転送する。この認証部411は、端末認証情報に基づいて認証を行う(S212)。
次に、リンク確立部212は、第3の実施の形態と同様なリンク情報2021(例えば、表7)に、認証結果に応じた認証状態を加えて、表11に例示するようなリンク情報2021を作成し、記憶部214に格納する。すなわち、認証部411は、認証結果が成功であった場合、表11のリンク情報2021における認証有無を「有」とし、認証結果が失敗であった場合、表11にリンク情報2021の登録を行わない。従って、当該通信端末420とネットワーク40上の機器との間の送受信は、許可されない。なお、認証が行われなかった場合は、認証有無は「無」になる。
図32は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうちユーザ認証の動作を示すシーケンス図である。
なお、ユーザ認証情報は、ユーザ鍵情報2102であるところの通信端末のIDおよびパスワード、または、公開鍵証明書とユーザ鍵情報2102を用いて計算された署名などユーザを認証できる情報であれば如何なるものでもよい。ユーザ鍵情報2102は、予め記憶部221−1に記憶しているものが使用されてもよく、また、ユーザ認証の要求を行う際に、ユーザから入力され、記憶部221−1に格納されたものが使用されてもよい。
この例の認証部411は、ユーザ認証情報を認証サーバ460に送信することにより、認証サーバ460に対してユーザの認証を要求し、認証結果を得る。また、認証部411は、記憶部214に格納している認証に関わる情報と照合して認証結果を決定してもよい。
また、ネットワーク接続装置410を企業内および家庭内に設置する場合、ネットワーク接続装置410が、ネットワーク接続装置410を認証するための認証情報を認証サーバ460に送信して認証を要求し、認証サーバ460は、その返信された認証結果を用いてネットワーク接続装置410を利用させるか否かを判断してもよい。
なお、本発明は、上述の各実施の形態に限定されるものではなく、その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。例えば、本明細書記載の実施の形態においては、ソケットAPIを境にして、より上位のアプリケーションに関わる処理を通信端末で、またより下位のネットワーク処理をネットワーク接続装置で行うよう役割分担するようになっているが、この役割分担をAPIより上位のAPIを境に決めてもよい。たとえば、SSL(Secure Socket Layer),TLS(Transport Layer Security)等に関わるセキュリティ処理をネットワーク接続装置側で実行するよう通信端末とネットワーク接続装置間のインタフェースを定めてもよい。
さらに本明細書記載の実施の形態においては、IPパケットをネットワーク接続装置で生成する手順について述べたが、ネットワーク接続装置を送信元とするIPパケットを擬似的に通信端末で生成し、ネットワーク接続装置に送信するようにしてもよい。
また、プログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
10、110 ネットワーク接続装置
11,22−1 インタフェース部
11a〜11c,22a−1 インタフェース
12 リンク確立部
13 プロセス対応情報作成部
14、21−1 記憶部
15 パケット生成部
16 内部通信情報生成部
17 ネットワークインタフェース部
20、20−1、20−2、120、120−1、120−2 通信端末
23−1 リンク確立要求情報生成部
24−1 プロセス実行部
30、30−1、30−2 外部ホスト
40 ネットワーク
111 認証部
121−1 認証要求部
160 認証サーバ
1001、1002、1003 プロセス
1012 リンク確立ソフトウエア
1013 プロセス対応情報作成ソフトウエア
1017 内部通信情報生成ソフトウエア
1015,1033,1062A,1062B OS
1016,1034,1063 ネットワークドライバ
1021,1081 リンク情報
1022,1082 プロセス対応情報
1031,1061 アプリケーションソフトウエア
1032 リンク確立要求情報生成ソフトウエア
1041 通信端末ID
1091 認証要求ソフトウエア
1142 リンク番号
1051、1054 内部通信情報
1052、1053 パケット
1071 認証ソフトウエア
1101 端末認証情報
1102 ユーザ認証情報
Claims (11)
- ネットワークに接続されたネットワーク接続装置と、
前記ネットワーク接続装置と通信可能に接続された通信端末とを備え、
前記ネットワーク接続装置は、
前記ネットワーク接続装置と前記通信端末との間で確立されているリンクを特定するリンク番号、前記通信端末で実行されて前記ネットワーク接続装置を介して前記ネットワーク上の機器と通信する複数のプロセスにそれぞれ対応する複数のプロセス識別子、および前記複数のプロセスにそれぞれ割り当てられた複数のアドレスが互いに対応付けられたプロセス対応情報を生成し、
前記通信端末は、
実行したプロセスに対応するプロセス識別子、前記ネットワーク接続装置との間で確立されているリンクを特定するリンク番号および前記ネットワーク上の機器を表す第1宛先アドレスを含む第1内部通信情報を、前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記第1内部通信情報を受信したとき、前記プロセス対応情報を検索し、前記第1内部通信情報が含む前記プロセス識別子と前記リンク番号との組に対応付けられているアドレスを送信元アドレスとして抽出し、当該送信元アドレスおよび前記第1内部通信情報が含む前記第1宛先アドレスを含む第1パケットを生成し、前記第1パケットを前記ネットワーク上の機器に送信し、
前記ネットワーク上の機器から第2パケットを受信したとき、前記プロセス対応情報を検索し、前記第2パケットに含まれる第2宛先アドレスが示すアドレスに対応付けられているプロセス識別子を含む第2内部通信情報を生成し、前記第2内部通信情報を、前記第2宛先アドレスが示すアドレスに対応付けられているリンク番号が特定するリンクを通じて前記通信端末に送信する、
ことを特徴とするネットワーク接続システム。 - 前記通信端末は、
前記複数のプロセス識別子のうちの一つ、およびアドレスの割当て方法を指定するアドレス割当情報を含む情報を、前記リンクを通じて前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末によって送信された情報に含まれる前記アドレス割当情報に従って前記プロセスに対するアドレスの割当てを行い、前記プロセス対応情報を作成する、
ことを特徴とする請求項1に記載のネットワーク接続システム。 - 前記通信端末は、
前記通信端末を認証するための端末認証情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末から送信された端末認証情報に基づいて前記通信端末の認証を行い、前記通信端末の認証が成功した場合、前記通信端末と前記ネットワーク上の機器との間の情報の送受信を許可する、
ことを特徴とする請求項1又は2に記載のネットワーク接続システム。 - 前記通信端末は、
前記通信端末を利用するユーザを認証するためのユーザ認証情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末から送信されたユーザ認証情報に基づいて前記ユーザの認証を行い、前記ユーザの認証が成功した場合、当該ユーザに対応するプロセス識別子を含む前記第2内部通信情報の前記通信端末への送信と、前記第1内部通信情報に対応するパケットの前記ネットワーク上の機器への送信とを許可する、
ことを特徴とする請求項1から請求項3までの何れかに記載のネットワーク接続システム。 - 1つのCPUが複数のOSをそれぞれ実行することで構成された複数の仮想マシンのそれぞれが前記通信端末として機能する、
ことを特徴とする請求項1から請求項4までの何れかに記載のネットワーク接続システム。 - 前記仮想マシンは、
当該仮想マシンを認証するための仮想マシン認証情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記仮想マシンから送信された仮想マシン認証情報に基づいて前記仮想マシンの認証を行い、前記仮想マシンの認証が成功した場合、前記仮想マシンと前記ネットワーク上の機器との間の情報の送受信を許可する、
ことを特徴とする請求項5に記載のネットワーク接続システム。 - 前記ネットワーク接続装置は、
前記端末認証情報又は前記ユーザ認証情報又は前記仮想マシン認証情報を認証サーバ装置に送信し、それに対して送られた認証結果を用いて認証を行う、
ことを特徴とする請求項3、4、6の何れかに記載のネットワーク接続システム。 - 前記リンクは、前記ネットワーク接続装置のインタフェース番号と前記通信端末のインタフェース番号との組によって特定され、
前記ネットワーク接続装置は、
前記ネットワーク接続装置の複数のインタフェース番号、前記通信端末の複数のインタフェース番号、および前記ネットワーク接続装置のインタフェース番号と前記通信端末のインタフェース番号との組ごとに割り当てられた複数のリンク番号がそれぞれ対応付けられたリンク情報をさらに生成し、
前記リンク情報を用い、前記リンク番号が特定するリンクを特定する、
ことを特徴とする請求項1から請求項7までの何れかに記載のネットワーク接続システム。 - 通信端末およびネットワークに接続されたネットワーク接続装置であって、
前記ネットワーク接続装置と前記通信端末との間で確立されているリンクを特定するリンク番号、前記通信端末で実行されて前記ネットワーク接続装置を介して前記ネットワーク上の機器と通信する複数のプロセスにそれぞれ対応する複数のプロセス識別子、および前記複数のプロセスにそれぞれ割り当てられた複数のアドレスが互いに対応付けられたプロセス対応情報を生成するプロセス対応情報作成部と、
何れかのプロセス識別子、何れかのリンク番号および前記ネットワーク上の機器を表す第1宛先アドレスを含む第1内部通信情報を受信するインタフェース部と、
前記プロセス対応情報を検索し、前記第1内部通信情報が含む前記プロセス識別子と前記リンク番号との組に対応付けられているアドレスを送信元アドレスとして抽出し、当該送信元アドレスおよび前記第1内部通信情報が含む前記第1宛先アドレスを含む第1パケットを生成するパケット生成部と、
前記第1パケットを前記ネットワーク上の機器に送信するネットワークインタフェース部と、
前記ネットワークインタフェース部が前記ネットワーク上の機器から第2パケットを受信したとき、前記プロセス対応情報を検索し、前記第2パケットに含まれる第2宛先アドレスが示すアドレスに対応付けられているプロセス識別子を含む第2内部通信情報を生成する内部通信情報生成部とを有し、
前記インタフェース部は、
前記第2内部通信情報を、前記第2宛先アドレスが示すアドレスに対応付けられているリンク番号が特定する前記リンクを通じて前記通信端末に送信する、
ことを特徴とするネットワーク接続装置。 - 前記インタフェース部は、さらに
前記複数のプロセス識別子のうちの一つ、およびアドレスの割当て方法を指定するアドレス割当情報を含む情報を受信し、
前記プロセス対応情報作成部は、
前記アドレス割当情報に従って前記プロセスに対するアドレスの割当てを行い、前記プロセス対応情報を作成する、
ことを特徴とする請求項9に記載のネットワーク接続装置。 - 請求項9又は10に記載のネットワーク接続装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005321880A JP4612528B2 (ja) | 2005-07-29 | 2005-11-07 | ネットワーク接続システム、ネットワーク接続装置およびそのプログラム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005221397 | 2005-07-29 | ||
JP2005321880A JP4612528B2 (ja) | 2005-07-29 | 2005-11-07 | ネットワーク接続システム、ネットワーク接続装置およびそのプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007060610A JP2007060610A (ja) | 2007-03-08 |
JP4612528B2 true JP4612528B2 (ja) | 2011-01-12 |
Family
ID=37923631
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005321880A Expired - Fee Related JP4612528B2 (ja) | 2005-07-29 | 2005-11-07 | ネットワーク接続システム、ネットワーク接続装置およびそのプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4612528B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE450967T1 (de) * | 2005-10-21 | 2009-12-15 | Ericsson Telefon Ab L M | Handhabung von dienstgüte in einem kommunikationssystem |
JP4764737B2 (ja) | 2006-02-13 | 2011-09-07 | 富士通株式会社 | ネットワークシステム、端末およびゲートウェイ装置 |
WO2011037104A1 (ja) | 2009-09-24 | 2011-03-31 | 日本電気株式会社 | 仮想サーバ間通信識別システム、及び仮想サーバ間通信識別方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000349803A (ja) * | 1999-06-03 | 2000-12-15 | Matsushita Graphic Communication Systems Inc | インターネット接続型sohoゲートウェイ装置 |
JP2003060664A (ja) * | 2001-08-21 | 2003-02-28 | Hitachi Ltd | ゲートウェイ装置および情報機器 |
JP2003101566A (ja) * | 2001-09-19 | 2003-04-04 | Hitachi Software Eng Co Ltd | ネットワーク機器の管理方法および装置 |
JP2003333064A (ja) * | 2002-05-13 | 2003-11-21 | Nec Access Technica Ltd | PPPoE内蔵ルータ及びそのグローバルIPアドレス割り当て方法 |
JP2004040348A (ja) * | 2002-07-02 | 2004-02-05 | Yamaha Corp | パケット制御装置 |
-
2005
- 2005-11-07 JP JP2005321880A patent/JP4612528B2/ja not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000349803A (ja) * | 1999-06-03 | 2000-12-15 | Matsushita Graphic Communication Systems Inc | インターネット接続型sohoゲートウェイ装置 |
JP2003060664A (ja) * | 2001-08-21 | 2003-02-28 | Hitachi Ltd | ゲートウェイ装置および情報機器 |
JP2003101566A (ja) * | 2001-09-19 | 2003-04-04 | Hitachi Software Eng Co Ltd | ネットワーク機器の管理方法および装置 |
JP2003333064A (ja) * | 2002-05-13 | 2003-11-21 | Nec Access Technica Ltd | PPPoE内蔵ルータ及びそのグローバルIPアドレス割り当て方法 |
JP2004040348A (ja) * | 2002-07-02 | 2004-02-05 | Yamaha Corp | パケット制御装置 |
Also Published As
Publication number | Publication date |
---|---|
JP2007060610A (ja) | 2007-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3965160B2 (ja) | 相異なる私設網に位置したネットワーク装置間の通信を支援するネットワーク接続装置 | |
US7729366B2 (en) | Method, apparatus and system for network mobility of a mobile communication device | |
JP4327142B2 (ja) | 情報処理システム、トンネル通信装置、トンネル通信方法、代理応答装置、及び代理応答方法 | |
JP4579934B2 (ja) | レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置 | |
EP1931087A1 (en) | Information processing system, tunnel communication device, tunnel communication method, and program | |
JP5488591B2 (ja) | 通信システム | |
JP4600394B2 (ja) | ネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体 | |
JP6040711B2 (ja) | 管理サーバ、仮想マシンシステム、プログラム及び接続方法 | |
JP2009111437A (ja) | ネットワークシステム | |
JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
JP3587633B2 (ja) | ネットワーク通信方法および装置 | |
JP4612528B2 (ja) | ネットワーク接続システム、ネットワーク接続装置およびそのプログラム | |
CN113595848B (zh) | 一种通信隧道建立方法、装置、设备及存储介质 | |
JP5131118B2 (ja) | 通信システム、管理装置、中継装置、及びプログラム | |
JP4191180B2 (ja) | 通信支援装置、システム、通信方法及びコンピュータプログラム | |
Pierrel et al. | A policy system for simultaneous multiaccess with host identity protocol | |
JP2001345841A (ja) | 通信ネットワークシステム、データ通信方法、および通信中継装置、並びにプログラム提供媒体 | |
Komu et al. | Basic host identity protocol (HIP) extensions for traversal of network address translators | |
JP5054666B2 (ja) | Vpn接続装置、パケット制御方法、及びプログラム | |
JP5084716B2 (ja) | Vpn接続装置、dnsパケット制御方法、及びプログラム | |
JP5786479B2 (ja) | ネットワークシステム及びその制御方法 | |
JP2009206876A (ja) | サービス公開システム、通信中継装置、およびサービス公開装置 | |
JP2001230806A (ja) | アドレス変換装置 | |
JP3692943B2 (ja) | 通信クライアント装置 | |
WO2014002265A1 (ja) | 中継装置、情報処理装置、アクセス制御方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100628 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100713 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100903 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101005 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101015 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131022 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |