JP4750869B2 - 通信制御装置及び監視装置 - Google Patents
通信制御装置及び監視装置 Download PDFInfo
- Publication number
- JP4750869B2 JP4750869B2 JP2009081312A JP2009081312A JP4750869B2 JP 4750869 B2 JP4750869 B2 JP 4750869B2 JP 2009081312 A JP2009081312 A JP 2009081312A JP 2009081312 A JP2009081312 A JP 2009081312A JP 4750869 B2 JP4750869 B2 JP 4750869B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- monitoring
- vpn
- packet
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 163
- 238000012806 monitoring device Methods 0.000 title claims description 55
- 238000012544 monitoring process Methods 0.000 claims description 150
- 230000005540 biological transmission Effects 0.000 claims description 53
- 238000012545 processing Methods 0.000 claims description 32
- 238000005538 encapsulation Methods 0.000 claims description 16
- 230000010365 information processing Effects 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 3
- 238000000034 method Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 11
- 230000008859 change Effects 0.000 description 9
- 230000005856 abnormality Effects 0.000 description 8
- 230000011664 signaling Effects 0.000 description 7
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005236 sound signal Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 239000002775 capsule Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、VPNの通信を行う通信制御装置に関する。通信制御装置は、例えば、監視システムの監視対象に設けられた監視装置に備えられ、遠隔の監視センタへとVPNにより監視情報を送信する。
従来、店舗、工場等の監視対象を遠隔の監視センタで監視するシステムにおいては、監視対象に設置された監視端末が監視センタと通信する。監視端末は、監視映像や、センサによって検出された警備関連の信号などを監視センタへと送信する。
近年、ネットワーク技術の発展を背景として、監視システムの通信回線としてブロードバンド回線を利用することが提案されている。ただし、送信されるデータが、監視映像や警備関連の信号といったように秘匿性の要求が高いデータであるため、通信のセキュリティについての要求レベルも高い。そこで、仮想的な専用線として機能するVPN(仮想プライベートネットワーク)を監視センタと監視端末の間に構築して、通信のセキュリティを確保することが提案されている(特許文献1)。
監視システムにVPNを適用する場合、監視情報のパケットがカプセル化される。そして、カプセル化されたパケットが、VPNトンネルを通して監視センタと監視端末の間で通信される。このようなVPNを構築するために、監視センタと監視端末にそれぞれ仮想的なIPアドレス(以下、仮想IPアドレス)が付与される。
ところで、店舗や工場等といった監視対象に利用者のローカルネットワーク(LAN)が設けられているとする(ここでいう利用者とは、監視システムにとって利用者であり、例えば監視対象が店舗である場合に、利用者は店舗のオーナーなどである)。この場合、監視対象のLANに監視端末を接続し、LAN経由でインターネットに接続して監視センタとVPN通信を行うことが考えられる。
ただし、監視対象のLANのローカルIPアドレスと、VPNの仮想IPアドレスが重複すると、VPN通信が不能になる。より詳細には、VPNでは、パケットの宛先アドレスのネットワーク部分を参照して、パケットのカプセル化を行っている。すなわち、宛先アドレスのネットワーク部分がVPNの仮想IPアドレスのネットワーク部分に該当すれば、パケットをカプセル化する。そのため、監視対象のLANのローカルIPアドレスと、VPNの仮想IPアドレスとで、ネットワーク部分が重複すると、通信不能になる。
上記のような問題を避けるため、仮想IPアドレスは、監視対象のLANのローカルIPアドレスと重複しないように、付与されるのが一般的である。
しかしながら、監視対象のLANは利用者に管理されており、監視センタと独立している。そのため、仮想IPアドレスを付与するときにVPN側で重複を避けたとしても、その後に利用者の都合で監視対象のネットワーク環境が再構築され、ローカルIPアドレスが変更され、その結果、監視対象のローカルIPアドレスが監視システムのVPNの仮想IPアドレスと重複する可能性がある。このような場合、VPNの通信ができなくなり、監視業務に支障が出る可能性がある。
監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高い。そのため、上記のように監視対象のネットワーク側の事情でアドレスが重複したとしても、通信が不能になるのを極力回避することが望まれる。
上記では、監視システムを取り上げて、本発明の背景について説明した。しかし、同様の問題は、監視システム以外でも生じ得る。すなわち、VPNの通信制御装置をLANに接続する構成において、何らかの理由でローカルIPアドレスがVPNの仮想IPアドレスと重複すると通信が不能になる。
本発明は、上記背景の下でなされたもので、その目的は、VPNの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを回避できる技術を提供することにある。
本発明の通信制御装置は、ローカルネットワークに接続され、該ローカルネットワークを介して広域ネットワークに接続されてVPNの通信を行う通信制御装置であって、入力パケットを送信パケットに変換するパケット処理部と、前記VPNにおける前記通信制御装置の仮想IPアドレスを記憶する記憶部と、前記送信パケット中の送信元アドレスと、前記記憶部に記憶された前記仮想IPアドレスを比較し、前記送信元アドレスのネットワーク部分及びホスト部分の両方が、前記仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、前記判定部による判定結果が一致である場合に前記送信パケットをカプセル化するカプセル化部と、を有する。
上記のように、本発明によれば、送信パケット中の送信元アドレスと、仮想IPアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定し、判定結果が一致であれば送信パケットをカプセルする。したがって、ローカルネットワークのアドレス変更により、VPNに送信する送信パケットの宛先アドレスのネットワーク部分がローカルIPアドレスのネットワーク部分と重複したとしても、VPN通信が可能である。こうして、VPNの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを回避することができる。
また、本発明において、前記記憶部は、更に、前記VPNにて接続される対象機器の仮想IPアドレスを記憶してよく、前記判定部は、更に、前記送信パケットに含まれる宛先アドレスと、前記記憶部に記憶された前記対象機器の仮想IPアドレスを比較し、前記宛先アドレスのネットワーク部分及びホスト部分の両方が、前記対象機器の仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定してよい。
上記発明によれば、送信パケット中の送信元アドレスと通信制御装置の仮想IPアドレスの比較に加え、宛先アドレスと対象機器の仮想IPアドレスをも比較する。そして、後者の比較処理についても、ネットワーク部分とホスト部分の両部分が比較対象である。そして、比較結果が一致であれば送信パケットがカプセル化される。したがって、VPNの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを一層確実に回避することができる。
また、本発明の通信制御装置は、前記ローカルネットワークとは別の専用通信路で情報処理装置と接続されてよく、前記パケット処理部は前記専用通信路のための専用通信パケットを前記入力パケットとして前記情報処理装置より入力してよく、前記専用通信パケットのデータ領域から前記VPNに送出されるべき前記送信パケットを抽出してよい。
この構成では、通信制御装置が、ローカルネットワークとは別の専用通信路で情報処理装置と接続され、情報処理装置から入力パケットとして専用通信パケットが入力される。このような場合においても、本発明によれば、VPNの通信を好適に行うことができ、アドレス重複によって通信が不能になるのを回避できる。例えば、上記の通信制御装置と情報処理装置を備えた監視装置が監視対象に設けられる。情報処理装置は監視制御装置として機能して監視情報を生成し、通信制御装置が監視情報をVPNで遠隔の監視センタに送信する。専用通信路は監視装置内の通信路であり、これは、監視対象のローカルネットワークと別の監視装置内のローカルネットワークでもよい。
また、本発明の通信制御装置は更に再発行要求部を有してよく、再発行要求部は、前記ローカルネットワークにおける前記通信制御装置のローカルIPアドレスのネットワーク部分及びクライアントアドレス部分の両方が、前記VPNにおける前記通信制御装置の仮想IPアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致して前記VPNが切断された場合に前記VPNアドレスの再発行をVPNサーバに要求してよい。
この構成により、仮に通信制御装置のローカルIPアドレスのネットワーク部分及びクライアントアドレス部分の両方が、VPNにおける通信制御装置の仮想IPアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致してVPNが切断されてしまったような場合でも、仮想IPアドレスの再発行により、VPN通信を行うことができる。したがって、アドレス重複によって通信が不能になるのを回避することができる。
また、本発明の別の態様は、監視対象のローカルネットワークに接続され、前記監視対象で取得された監視情報を前記ローカルネットから広域ネットワークを介して遠隔の監視センタに送信する監視装置である。この監視装置は、前記監視センタに送信すべき監視情報を生成する監視制御部と、前記監視センタとVPNの通信を行う通信制御部とを有し、前記通信制御部は、前記監視制御部からの前記監視情報を含む入力パケットを前記監視センタに送信すべき送信パケットに変換するパケット処理部と、前記VPNにおける前記監視装置の仮想IPアドレスを記憶する記憶部と、前記送信パケット中の送信元アドレスと、前記記憶部に記憶された前記仮想IPアドレスを比較し、前記送信元アドレスのネットワーク部分及びホスト部分の両方が、前記仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、前記判定部による判定結果が一致である場合に、前記送信パケットをカプセル化するカプセル化部とを有する。この態様にも、上述した本発明の各種構成が設けられてよい。
上記構成では、本発明が監視システムに適用され、より具体的には、監視センタと接続される監視装置に適用される。監視装置から監視センタへは監視情報が送信される。この際、監視情報の送信パケット中の送信元アドレスと、仮想IPアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定し、判定結果が一致であれば送信パケットをカプセルする。このような判定を行うので、監視対象のローカルIPアドレスと監視装置のVPNの仮想IPアドレスとが重複したために通信が不能になるのを回避することができる。監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高く、このようなニーズに本発明は好適に応えられる。
本発明は、上記の通信制御装置及び監視装置の態様に限定されない。本発明は、その他の装置又はシステムの態様で表現されてよく、また、本発明は、方法、プログラム、又は同プログラムを記録したコンピュータで読取可能な記録媒体のかたちで実現されてよい。
上記のように、本発明によれば、VPNの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを回避することができる。
以下、本発明の実施の形態について、図面を用いて説明する。本実施の形態では、本発明が監視システムに適用される。監視システムでは、監視対象と監視センタとが監視情報を通信する。本実施の形態の通信制御装置は、監視対象側の監視装置に備えられる。ここではまず、監視システムの構成について説明する。
図1は、本発明の監視システムの全体的な構成を示している。図示のように、監視システム1では、監視センタ3、監視対象5及び利用者拠点7の間で通信が行われる。ここで利用者とは、監視システム1による監視対象5の監視サービスの利用者を意味する。本実施の形態の例では、監視対象5が店舗であり、利用者拠点7は店舗のオーナーの事務所である。
監視センタ3には、通信管理装置11及び複数のセンタ装置13が備えられており、これらは通信可能に接続されている。通信管理装置11及び複数のセンタ装置13は、地理的には離れた場所に配置されてよい。複数のセンタ装置13は、複数の担当地域にそれぞれ配置されてよい。また、複数のセンタ装置13は機能を分担してよい。例えば、あるセンタ装置13が、警備関連の信号を処理する管制センタ装置として機能してよく、別のセンタ装置13が、監視映像を主に処理する画像センタ装置として機能してよい。なお、本発明の範囲でセンタ装置13が一つでもよい。
監視対象5及び利用者拠点7には、それぞれ、監視装置15及び利用者装置17が設けられている。監視装置15及び利用者装置17は監視システム1における端末に相当する。監視装置15は、監視情報をセンタ装置13及び利用者装置17へ送る。監視情報は、例えば、監視カメラの画像であり、また、監視対象5にて検出された監視信号である。監視信号は、例えば異常発生を示す警備信号であり、警備信号は、監視対象5に設置されたセンサからの検出信号に基づいて生成され、あるいは、警報ボタン(スイッチ)が操作されたときに生成される。また、利用者装置17は、監視装置15へ制御信号や、音声信号を送る。このような利用者装置17から監視装置15への信号も、監視情報に含まれる。
図1では、1つの監視対象5及び1つの利用者拠点7が示されている。しかし、実際には、監視センタ3は複数の監視対象5及び複数の利用者拠点7と通信する。したがって、通信管理装置11も、複数の監視装置15及び複数の利用者装置17と通信する。各々の監視装置15は関連づけられた利用者装置17(店舗のオーナーの端末)と通信する。
図1の監視システム1によれば、例えば、監視装置15がセンサ信号等により異常を検出したとする。この場合、監視情報として警備信号が、監視対象5の映像と共に、監視センタ3へ送信される。監視センタ3では、オペレータがセンタ装置13のモニタで警備信号や映像を確認し、警備員に必要な指示を出す。指示を受けた警備員が監視対象5に急行し、異常に対処する。
また例えば、監視装置15は、監視対象5の映像等を定期的に、あるいはその他の設定に従って利用者装置17へ送る。例えば、センサによって来客が検出されたときに、映像等が利用者装置17へ送られる。また、利用者装置17から映像等の送信が要求されることもある。オーナーは、映像等によって店舗の様子を把握できる。また、オーナーは、利用者装置17から監視装置15に音声等を送り、店員に必要事項を指示することができる。
次に、監視システム1の通信形態について説明する。通信管理装置11、監視装置15及び利用者装置17は、インターネットに接続されている。
さらに、通信管理装置11は、インターネット上でセンタ端末間VPN(仮想プライベートネットワーク)21によって監視装置15及び利用者装置17と接続される。センタ端末間VPN21を構築するために、通信管理装置11にVPNサーバ機能が備えられ、監視装置15及び利用者装置17にVPNクライアント機能が備えられる。VPNでは、VPNトンネルが構築され、暗号化通信が行われ、高いセキュリティ性が実現される。
また、監視装置15と利用者装置17は、通信管理装置11を介してSIP通信23を行う。SIP通信23は、上記のセンタ端末間VPN21を介して行われる。通信管理装置11にはSIPサーバ機能が備えられている。
また、監視装置15と利用者装置17は、通信管理装置11を介さずに、直接に端末間VPN25によって接続される。この端末間VPN25を構築するために、利用者装置17にVPNサーバ機能が備えられ、監視装置15にVPNクライアント機能が備えられる。
ここで、センタ端末間VPN21は、常時VPNトンネルが構築されて接続されており、センタ装置13と監視装置15及び利用者装置17の間での通信に利用される。これに対して、端末間VPN25は、必要なときのみ構築される。
端末間VPN25を用いる理由を説明する。監視システム1では映像等の大容量のデータが通信される。センタ端末間VPN21がすべての通信に使われると、通信管理装置11の負荷が膨大になる。そこで、監視装置15と利用者装置17の通信を端末間VPN25によって行うことで、セキュリティ性を確保しつつ、通信管理装置11の負荷を軽減している。
また、本実施の形態におけるSIP通信23の役割は、通常のIP電話等とは異なる特別なものである。すなわち、本実施の形態は、SIPのシグナリングを、VPN接続前の準備の処理として位置づけている。より詳細には、SIP通信23のセッションを確立するときには、シグナリングが行われる。このシグナリングにて双方向通信が行われ、INVITE(招待)メッセージとOKメッセージが交換される。一方、VPN接続を確立するためには、情報の交換が必要である。本実施の形態では、IPアドレス及び電子証明書が交換される。
そこで、SIP通信23のシグナリングが、VPN接続確立のための情報交換の手段として利用される。すなわち、SIPの接続元から接続先へ、IPアドレスと電子証明書を付加したINVITEメッセージを送信する。INVITEメッセージに応えて、SIPの接続先から接続元へ、IPアドレスと電子証明書を付加したOKメッセージが返信され、これにより情報交換が成立する。
以上に、監視システム1の全体構成を説明した。上記のように、本実施の形態では、2種類のVPNが使用される。一方は、通信管理装置11と端末(監視装置15又は利用者装置17)を接続し、他方は、端末同士(監視装置15と利用者装置17)を接続する。そこで、図1では、これら2つのVPNを区別するため、センタ端末間VPN21と端末間VPN25といった用語を用いている。ただし、単にVPN21、VPN25といった用語が用いられてよい。
次に、図2を参照し、監視システム1の構成をより具体的に説明する。通信管理装置11は、ファイアウォール31、HTTPサーバ33、VPNサーバ35、SIPサーバ37、STUNサーバ39、アカウント管理サーバ41、データベース43及びログサーバ45を備える。
ファイアウォール31は、通信管理装置11と監視装置15及び利用者装置17との間で使用される通信データ以外のデータを遮断する装置である。HTTPサーバ33はインターネット接続のための構成である。VPNサーバ35は、VPNトンネル構築のための認証と暗号化を行うサーバである。
VPNサーバ35は、センタ端末間VPN21を実現する構成であり、通信管理装置11と監視装置15の間にVPNを構築し、また、通信管理装置11と利用者装置17の間にVPNを構築する。監視装置15からの信号は、VPNサーバ35で復号化されて、センタ装置13へ送信される。また、センタ装置13からの信号は、VPNサーバ35で暗号化されて、監視装置15へ送信される。また、通信管理装置11が監視装置15に信号を送るときも、VPNサーバ35で暗号化が行われる。通信管理装置11と利用者装置17の通信でも、VPNサーバ35が同様に暗号化及び復号化を行う。
SIPサーバ37は、SIPプロトコルに従ってシグナリングの処理を行い、監視装置15と利用者装置17を接続する。SIPサーバ37は、利用者装置17が監視装置15に接続を要求する場合に、もしくは、監視装置15が利用者装置17に接続を要求する場合に、SIPの接続制御の機能を果たす。
SIPのシグナリングでは、メッセージが交換される。具体的には、INVITE(招待)メッセージとOKメッセージが交換される。このメッセージ交換を利用して、前述したように、VPN接続確立のためにIPアドレス及び電子証明書が交換される。
STUNサーバ39は、監視装置15及び利用者装置17のルータのNAT機能に対応するためにSTUN機能を提供する。
アカウント管理サーバ41は、認証等の各種の情報を管理するサーバである。管理される情報は、データベース43に格納される。管理される情報は、IP回線のアカウント、VPN接続(トンネル構築)のための電子証明書、鍵ペアの情報を含む。また、SIPのシグナリングの過程で、端末間の接続について認証及び認可が行われる。この処理のための情報も、データベース43に保持され、アカウント管理サーバ41に使用される。
ログサーバ45は、監視装置15で生成したログを保存するためのサーバである。
センタ装置13は、監視卓51と回線接続装置53を備える。監視卓51が回線接続装置53を介して通信管理装置11に接続される。例えば、センタ装置13が画像センタである場合、監視映像が監視卓51に供給され、監視卓51にて管理される。また、センタ装置13が管制センタである場合、警備関連の情報が監視卓51に供給される。監視映像も管制センタのモニタに好適に表示される。監視映像等は、センタ装置同士の間でも通信されてよい。
次に、監視装置15について説明する。監視装置15は、監視対象LAN61に接続されている。監視対象LAN61は、監視対象5のローカルネットワーク(LAN)であり、ブロードバンド回線用のルータ63を備え、ルータ63がゲートウエイとして、広域ネットワーク(WAN)であるインターネットに接続される。そして、監視装置15はルータ63に接続されている。ルータ63には監視対象PC(パーソナルコンピュータ)65も接続されている。監視対象PC65は、監視対象5に設置されるPCである。本実施の形態の例では、監視対象5が店舗であり、監視対象PC65が店舗用のPCでよい。さらに他の機器が監視対象LAN61に接続されてもよい。
監視装置15は、コントローラ71、IP回線ユニット73、周辺機器75及びマルチ回線アダプタ77で構成されている。
コントローラ71はコンピュータで構成されており、周辺機器75と連携して、監視機能を実現する。コントローラ71は、監視センタ3とはIP回線ユニット73を介して接続される。また、コントローラ71は、利用者装置17とも、IP回線ユニット73を介して接続される。
図2では、周辺機器75として監視カメラ81、センサ83及び警報ボタン85が例示されている。コントローラ71は、監視映像に対して画像認識処理を施して異常を検出する。また、コントローラ71は、センサ83から入力される検出信号により、異常を検出する。警報ボタン85が押されたときにも異常が検出される。その他の周辺機器が異常検出に用いられてよい。異常が発生すると、コントローラ71はセンタ装置13と通信し、警備信号と画像信号を送信する。監視カメラ81と共にマイクが備えられており、音声信号も送信される。このようにして、コントローラ71は監視対象5の警備機能を実現する。
また、監視映像及び音声は、センタ装置13から要求されたときにも送信される。さらに、監視映像及び音声は、利用者装置17にも送られる。利用者装置17への送信は、例えば定期的に行われ、また、その他の設定に従って行われる。例えば、センサ83により来客が検知されると、映像等が利用者装置17に送られる。また、利用者装置17から要求されたときも、監視装置15は映像等を送信する。
IP回線ユニット73は、コントローラ71が通信管理装置11と通信するためのVPNトンネルを構築する。また、コントローラ71が利用者装置17と通信するためのVPNトンネルを構築する。前者は、センタ端末間VPN21に対応し、後者は、端末間VPN25に対応する。これらの接続において、IP回線ユニット73は、VPNクライアントの機能を実現する。
図2では、IP回線ユニット73がコントローラ71の内部構成として示されている。これは、物理的な配置を表現している。通信構成としては、IP回線ユニット73は、コントローラ71とルータ63の間に配置されている。
マルチ回線アダプタ77は、携帯電話網を介してセンタ装置13と接続される。マルチ回線アダプタ77は、ブロードバンド回線が不通のときに警備信号を送信するために使用される。警備信号が、コントローラ71からIP回線ユニット73を介してマルチ回線アダプタ77に送られ、マルチ回線アダプタ77からセンタ装置13へと送信される。
次に、利用者装置17について説明する。利用者装置17は、VPN終端装置(以下、VTE)91及び利用者PC(パーソナルコンピュータ)93で構成されている。利用者PC93がVTE91に接続され、VTE91がルータ95に接続されており、ルータ95がインターネットと接続される。ルータ95はブロードバンド回線用のルータであり、利用者拠点7におけるLANのゲートウエイである。
VTE91は、ブロードバンド接続のための回線終端装置である。そして、VTE91は、通信管理装置11のVPNサーバ35とVPNトンネルを構築し、また、監視装置15のIP回線ユニット73とVPNトンネルを構築する。前者では、VTE91がVPNクライアントとして機能し、後者では、VTE91がVPNサーバとして機能する。
VTE91は、監視装置15のコントローラ71から受信した映像、音声及び制御信号を利用者PC93に転送する。また、VTE91は、利用者PC93から受信した音声及び制御信号をコントローラ71へ転送する。
本実施の形態では、利用者拠点7が、店舗のオーナーの事務所等である。したがって、利用者PC93は、店舗のオーナーのPCでよい。利用者PC93は、オーナーが監視対象5の監視映像を見るために用いられる。この機能を提供するために、利用者PC93には、コントローラ71と通信することによって監視対象5の監視映像を表示及び切り換えることができるアプリケーションソフトがインストールされている。
本実施の形態では、利用者装置17が固定されている。しかし、利用者装置17の機能が携帯端末等に組み込まれて、移動可能であってもよい。
以上に、監視システム1の全体的な構成を説明した。次に、本発明の特徴的事項について説明する。
本実施の形態では、監視装置15のIP回線ユニット73が、本発明の通信制御装置に相当する。IP回線ユニット73は、既に説明したように、監視対象LAN61に接続されると共に、監視対象LAN61経由でインターネットに接続されてVPN通信を行う。VPNのための仮想IPアドレスは、監視対象LAN61のローカルIPアドレスとは重複しないように設定される。しかし、何らかの理由でローカルIPアドレスが変更されて、仮想IPアドレスと重複する可能性がある。本実施の形態は、このような場合に有効であり、VPN通信が不能になるのを回避できる。以下に詳細に説明する。
まず、図3を参照し、監視システム1の構成に付与されるローカルIPアドレスと仮想IPアドレスの例を説明する。
図3は、監視システム1の一部に相当する。既に説明した通り、概略構成としては、監視対象LAN61が、インターネットへのゲートウエイとしてルータ63を備える。ルータ63は監視対象PC65と接続され、また、監視装置15のIP回線ユニット73(本発明の通信制御装置)と接続されている。
監視装置15ではIP回線ユニット73にコントローラ71が接続されている。前述の図2では、物理的配置を表現するためにIP回線ユニット73がコントローラ71の内部構成として示されていた。しかし、通信の構成としては、図3に示すように、IP回線ユニット73とコントローラ71は互いに通信する関係にある。
監視装置15のIP回線ユニット73は、ルータ63を介し、インターネットを経由して監視センタ3の通信管理装置11に接続される。そして、IP回線ユニット73と通信管理装置11との間にVPNが構築される。
図3に示すように、監視対象LAN61では、IP回線ユニット73及び監視対象PC65にローカルIPアドレスが付与される。また、VPNでは、IP回線ユニット73と監視センタ3(通信管理装置11)に仮想IPアドレスが付与される。
ここで、図3の例では、ローカルIPアドレスが変更されている。このような変更は、例えば、利用者の都合で監視対象LAN61が再構築された場合などに生じ得る。そして、図3のようなアドレス変更が行われると、以下に説明するような問題が生じる。
図4を参照すると、変更前のローカルIPアドレスは以下の通りである。
IP回線ユニット:192.168.0.3
監視対象PC :192.168.0.1
一方、仮想IPアドレスは以下の通りである。
IP回線ユニット:10.180.0.3
監視センタ :10.180.0.1
IP回線ユニット:192.168.0.3
監視対象PC :192.168.0.1
一方、仮想IPアドレスは以下の通りである。
IP回線ユニット:10.180.0.3
監視センタ :10.180.0.1
IP回線ユニット73は、VPNの処理として、パケットがVPNのカプセル化の対象であることを判断する必要がある。従来のVPNでは、このような判断のために、パケットの宛先アドレスのネットワーク部分が参照される。そして、宛先アドレスのネットワーク部分が仮想IPアドレスのネットワーク部分(10.180)であれば、パケットがカプセル化されて、VPNトンネルへと送出される。
図4の例では、パケットの宛先がVPNの監視センタ3(通信管理装置11)である場合、宛先アドレスが「10.180.0.1」であり、仮想IPアドレスのネットワーク部分を含むので、パケットがカプセル化され、VPNトンネルへ送出される。
上記のVPNの処理を正常に行うためには、ローカルIPアドレスと仮想IPアドレスとでネットワーク部分が重複していてはいけない。ネットワーク部分が重複するとVPN通信が不能になる。そこで、VPN対応の機器をLANに接続するときは、ローカルIPアドレスとネットワーク部分が重複しないように仮想IPアドレスが設定される。図4の例では、ローカルIPアドレスのネットワーク部分が「192.168」である。そこで、仮想IPアドレスのネットワーク部分が「10.180」に設定されている。
ところが、図3及び図4の例では、ローカルIPアドレスが変更され、その結果、ローカルIPアドレス及び仮想IPアドレスが以下のようになっている。
・ローカルIPアドレス
IP回線ユニット:10.180.0.5
監視対象PC :10.180.0.2
・仮想IPアドレス
IP回線ユニット:10.180.0.3
監視センタ :10.180.0.1
・ローカルIPアドレス
IP回線ユニット:10.180.0.5
監視対象PC :10.180.0.2
・仮想IPアドレス
IP回線ユニット:10.180.0.3
監視センタ :10.180.0.1
ローカルIPアドレスが変更された結果、ローカルIPアドレスのネットワーク部分が、仮想IPアドレスのネットワーク部分と一致してしまっている。そのため、IP回線ユニット73はVPN通信をできなくなる。
このような事態が生じるのは、例えば、監視対象LAN61が再構築された場合である。監視対象LAN61は、監視対象5に属しており、利用者により所有されている。そのため、監視センタ3との間のVPNが考慮されずに、ローカルIPアドレスが変更され、その結果、アドレス重複現象が生じることが考えられる。
本実施の形態では、上記のような問題を防ぐために、IP回線ユニット73が下記のように構成されている。
図5は、IP回線ユニット73の構成を、コントローラ71及びルータ63と共に示している。IP回線ユニット73は、既に述べたように本発明の通信制御装置に相当し、また、本発明の通信制御部にも相当する。コントローラ71は本発明の情報処理装置及び監視制御部に相当する。
IP回線ユニット73とコントローラ71はLAN(イーサネット、登録商標)で接続されている。このLANは、監視対象LAN61とは別個のLANである。監視対象LAN61との区別のために、コントローラ71とIP回線ユニット73の間のLANを、監視装置内LAN201と呼ぶ。監視装置内LAN201は、コントローラ内LANと呼ぶこともできる。
図5に示されるように、IP回線ユニット73は、パケット処理部101、記憶部103、判定部105、カプセル化部107、再発行処理部109を有する。
パケット処理部101は、コントローラ71からパケットを入力し、入力されたパケット(入力パケット)を監視センタ3へVPNで送られるべき監視情報のパケット(送信パケット)に変換する。ここでは、後述するように、入力パケットのデータ領域から送信パケットを抽出する処理が行われる。また、パケット処理部101は、監視対象LAN61向けのパケットや、VPN以外のWAN向けのパケットも入力してよい。これらパケットは、ヘッダ領域とデータ領域にて構成され、ヘッダ領域には、送信元のIPアドレスと宛先のIPアドレスが記憶されている。
記憶部103は、IP回線ユニット73で処理される各種の情報を記憶する。本実施の形態に関連して、記憶部103は、IP回線ユニット73のローカルIPアドレス及び仮想IPアドレスを記憶している。
判定部105は、パケット処理部101により入力されたパケットを変換した送信パケット中の送信元アドレスと、記憶部103に記憶された仮想IPアドレスを比較する。そして、判定部105は、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する。
判定部105は、判定結果が一致であれば、パケットをカプセル化部107に供給する。判定結果が一致でなければ、判定部105は、パケットをそのままルータ63へと送出する。
カプセル化部107は、VPNトンネルへ送出するためにパケットをカプセル化する構成である。本実施の形態では、判定部105の判定結果が一致である場合に限り、パケットが105からカプセル化部107に供給され、カプセル化部107でカプセル化される。
カプセル化では、パケットが暗号化される。そして、VPNの接続相手のグローバルIPアドレスが付加(カプセル化)される。本実施の形態の例では、通信管理装置11のグローバルIPアドレスが付与される。こうして作成されたカプセルがルータ63へと送出される。
また、再発行処理部109は、通信管理装置11のVPNサーバ35に対して仮想IPアドレスの再発行を要求する構成である。再発行処理部109については後述にて詳細に説明する。
以上に、図5を参照し、本実施の形態において特徴的なIP回線ユニット73の構成について説明した。
次に、図6及び図7を参照し、本実施の形態の動作を説明する。ここでは、IP回線ユニット73のパケット送信動作を説明する。
図6は各パケットの処理を示すフローチャートである。まず、パケット処理部101により入力されたパケットが送信用パケットに変換される(S1)。判定部105は、パケット中の送信元アドレスを取得する(S3)。そして、判定部105は、送信元アドレスのネットワーク部分及びホスト部分の両方が、IP回線ユニット73の仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する(S5)。ステップS5の判定結果がNoであれば、パケットはそのままルータ63へ送信される(S9)。ステップS5の判定結果がYesであれば、パケットがカプセル化部107にてカプセル化され(S7)、カプセル化後のパケットがルータ63へ送信される(S9)。
図7は、上記の処理をより具体的に示している。図7の左上部分には、コントローラ71からの入力パケット121が示されている。前述したように、コントローラ71とIP回線ユニット73は、監視装置内LAN201で接続されている。入力パケット121は、監視装置内LAN201のLANパケットである。
入力パケット121は、ヘッダ領域123とデータ領域125を有する。ヘッダ領域123には、図示されないが、監視装置内LAN201にて設定されたコントローラ71及びIP回線ユニット73のアドレスが送信元及び宛先として付されている(これらアドレスは、以下に説明するアドレスとの混同を避けるために図から省略してある)。そして、データ領域125には、IP回線ユニット73で処理すべきパケット、すなわち、ルータ63へと送出すべきパケットのデータが含まれている。言い換えると、コントローラ71では、IP回線ユニット73で処理すべきパケットを生成し、このパケットのヘッダ領域123に送信元がコントローラ71であり、宛先がIP回線ユニット73という情報を付加してIP回線ユニット73に送出している。
パケット処理部101は、入力パケット121のデータ領域中のパケット131を抜き出す(抽出する)。パケット131には、送信元アドレス133と宛先アドレス135がヘッダ領域132に含まれる。これらは、上述の監視装置内LAN201のアドレスと異なり、IP回線ユニット73から先の通信のアドレスである。そして、データ領域137には、監視センタ3に送信すべき監視情報が含まれる。
尚、本実施の形態では、入力パケット121のデータ領域にルータ63へ送出されるパケット131が含まれる構成としたが、パケット処理部101にて、入力パケット121のヘッダ領域の情報を書き換えるようにしてもよい。即ち、パケット処理部101では、入力パケット121のヘッダ領域123に付されている送信元がコントローラ71であれば、ヘッダ領域の送信元をIP回線ユニット73の仮想IPアドレス、宛先を監視センタ3の仮想IPアドレスに書き換えて、ルータ63へ送出されるパケット131としてもよい。
判定部105は、パケット131中のヘッダ領域に含まれる送信元アドレス133を、記憶部103に記憶されたIP回線ユニット73の仮想IPアドレスと比較する。比較対象は、図示のように、アドレス中のネットワーク部分とホスト部分であり、つまり、アドレスの全桁である。
判定部105は、送信元アドレスのネットワーク部分及びホスト部分が、仮想IPアドレスのネットワーク部分及びホスト部分と一致するか否かを判定する。不一致の場合、パケットはそのままルータ63へ送出される。一致の場合、パケットはカプセル化部107へ送られる。
図7には、WAN宛、LAN宛、VPN宛の3種のパケットが示されている。各々宛のパケットを示す図において、上段が送信元アドレス、下段が宛先アドレスを示す。図7において、IP回線ユニット73のローカルIPアドレスは、図3及び図4の変更後の例と同様(10.180.0.5)である。また、仮想IPアドレスも、図3及び図4の例と同様(10.180.0.3)である。したがって、従来の処理では、ローカルネットワークとVPNのネットワークアドレスが同じであるため、通信が不能である。しかし、本実施の形態では、下記のようにして通信が可能である。
WAN宛のパケットにおいては、送信元アドレスがIP回線ユニット73のローカルIPアドレスであり、宛先アドレスがグローバルIPアドレスである。送信元アドレスは、仮想IPアドレスと不一致である。そのため、パケットはルータ63へと送られる。
LAN宛のパケットでは、送信元アドレスがIP回線ユニット73のローカルIPアドレスであり、宛先アドレスが監視対象LAN61向けのローカルIPアドレスである。この場合も、送信元アドレスは、仮想IPアドレスと不一致である。そのため、パケットはルータ63へと送られる。
VPN宛のパケットでは、送信元アドレスがIP回線ユニット73の仮想IPアドレスであり、宛先アドレスが監視センタ3(通信管理装置11)の仮想IPアドレスである。この場合は、送信元アドレスが、パケット処理部101の仮想IPアドレスと一致する。そのため、パケットはカプセル化部107に送られる。カプセル化部107では、パケットが暗号化される。そして、暗号化されたパケットに、監視センタ3(通信管理装置11)のグローバルIPアドレスが付与される(カプセル化)。こうして作成されたパケットが、ルータ63に送出され、監視センタ3へと送られる。
このようにして、本実施の形態によれば、判定部105がパケットの送信元アドレスと仮想IPアドレスを比較しており、特に、アドレス中のネットワーク部分とホスト部分の両方を比較対象にしている。これにより、ローカルIPアドレスに変更があった場合でも、IP回線ユニット73の機能を好適に維持できる。
ただし、上記の構成をもってしても、問題を避けられない場合もある。それは、IP回線ユニット73において、ローカルIPアドレスのネットワーク部分及びホスト部分が、仮想IPアドレスのネットワーク部分及びホスト部分と一致する場合である。すなわち、ローカルIPアドレスと仮想IPアドレスで全桁が完全に一致してしまう場合である。この事態には判定部105でも対応しきれず、VPNのパケットを処理できなくなる。そこで、このような事態に対処するために、以下に説明するように再発行要求部109が好適に機能する。
再発行処理部109は、監視対象LAN61のローカルIPアドレスが変更されたときに機能する。監視対象LAN61のローカルIPアドレスが変更されると、IP回線ユニット73のローカルIPアドレスも変更され、記憶部103のローカルIPアドレスも書き換えられる。再発行処理部109は、更新後のIP回線ユニット73のローカルIPアドレスを、IP回線ユニット73の仮想IPアドレスと比較する。そして、再発行要求部109は、ローカルIPアドレスのネットワーク部分及びクライアントアドレス部分の両方が、仮想IPアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致するか否かを判定する。判定結果が一致である場合に、再発行処理部109は、VPNアドレスの再発行を要求する。再発行の要求は、通信管理装置11のVPNサーバ35に対して行われる。
再発行の要求に応え、通信管理装置11から新しい仮想IPアドレスが送られてくると、再発行処理部109が新しい仮想IPアドレスを記憶部103に格納する。そして、IP回線ユニット73は、新しい仮想IPアドレスを用いてVPNの処理を行う。上述の判定等も、新しい仮想IPアドレスを用いて行われる。
再発行要求部109の処理は、実際の装置ではVPNの機能を利用して下記のようにして行われる。ローカルIPアドレスのネットワーク部分及びホスト部分(全桁)が仮想IPアドレスのネットワーク部分及びホスト部分と一致すると、VPN通信が不能になり、VPN接続が切断される。切断後、VPNの接続処理が行われる。この再接続の過程で、新しい仮想IPアドレスが通信管理装置11のVPNサーバ35から取得されて、記憶部103に記憶される。このようなVPNの切断及び再接続の機能が、図5では再発行要求部109に相当している。
このようにして、本実施の形態によれば、ローカルIPアドレスの変更によって、ローカルIPアドレスと仮想IPアドレスでネットワーク部分及びホスト部分の全部が一致した場合でも、再発行要求部109が好適に機能し、仮想IPアドレス側を変更することにより、IP回線ユニット73のVPN通信機能を確保できる。
次に、本実施の形態の変形例を説明する。上記の実施の形態では、判定部105の判定対象が、パケットの送信元アドレスであった。判定部105は、更に、パケットの宛先アドレスも判定対象としてよい。この点について以下に説明する。
図5には示されないが、IP回線ユニット73の記憶部103は、VPNの接続相手の仮想IPアドレスを記憶している。この例では、通信管理装置11の仮想IPアドレスが記憶されている。
判定部105は、パケットの宛先アドレスを、記憶部103に記憶された接続相手の仮想IPアドレスと比較する。ここでは、宛先アドレスと一致する仮想IPアドレスが記憶部103に登録されているか否かが判定される。また、この処理では、判定部105は、宛先アドレスのネットワーク部分及びホスト部分の両方が、記憶部103に記憶された接続相手の仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する。
判定部105は、送信元アドレスの判定結果が一致であり、かつ、宛先アドレスの判定結果も一致である場合、パケットをカプセル化部107へ渡す。
上記のように、送信元アドレスだけでなく、宛先アドレスの判定も行うことで、より確実に、VPNのパケットの判別ができる。そして、ローカルIPアドレスの変更によって通信が不能になる事態を一層確実に回避できる。
次に別の変形例について説明する。上記の実施の形態の例では、本発明が、監視装置15と監視センタ3(通信管理装置11)の間のセンタ端末間VPN21に適用された。しかし、本発明は、上記の例に限定されない。監視装置15と利用者装置17の端末間VPN25に関しても本発明が好適に適用される。また、本発明は、監視システム以外にも適用されてよい。VPNの仮想IPアドレス設定者の管理外で、LANの変更等によりローカルIPアドレスが変更されてしまうような場合には、本発明が特に有用である。
以上に本発明の実施の形態について説明した。本発明によれば、上述したように、VPNの通信制御装置(実施の形態ではIP回線ユニット73)が、送信パケット中の送信元アドレスと、仮想IPアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定し、判定結果が一致であれば送信パケットをカプセルする。したがって、ローカルIPアドレスの変更によるアドレス重複によって通信が不能になるのを回避することができる。
また、本発明によれば、通信制御装置が、専用通信路で情報処理装置と接続される。通信制御装置には、専用通信路のための専用通信パケットが入力パケットとして情報処理装置より入力される。専用通信パケットのデータ領域からVPNに送出されるべきパケットが抽出される。そして、専用通信パケット中のデータ領域に含まれたアドレスが仮想IPアドレスとの比較対象とされる。上記の実施の形態では、情報処理装置がコントローラ71であり、専用通信路が監視装置内LAN201であり、専用通信パケットが監視装置内LAN201のパケットである。このように情報処理装置から専用通信パケットが入力される場合においても、本発明によれば、VPNの通信を好適に行うことができ、アドレス重複によって通信が不能になるのを回避できる。
また、本発明によれば、上述の実施の形態で説明したように再発行処理部を通信制御装置に設けたので、ローカルネットワークにおける通信制御装置のローカルIPアドレスのネットワーク部分及びクライアントアドレス部分の両方が、VPNにおける通信制御装置の仮想IPアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致してVPNが切断された場合でも、仮想IPアドレスの再発行によりVPN通信を行うことができる。したがって、アドレス重複によって通信が不能になるのを回避することができる。
また、本発明によれば、上述にて変形例として説明したように、送信パケット中の送信元アドレスと通信制御装置の仮想IPアドレスの比較に加え、宛先アドレスと対象機器の仮想IPアドレスをも比較する。そして、後者の比較処理についても、ネットワーク部分とホスト部分の両部分が比較対象とされる。そして、比較結果が一致であれば送信パケットがカプセル化される。このような構成により、VPNの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを一層確実に回避することができる。
また、本発明は、上述したように監視システムに好適に適用される。そして、監視対象のローカルIPアドレスと監視装置のVPNの仮想IPアドレスとが重複したために通信が不能になるのを回避することができる。監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高く、このようなニーズに本発明は好適に応えられる。
以上に本発明の好適な実施の形態を説明した。しかし、本発明は上述の実施の形態に限定されず、当業者が本発明の範囲内で上述の実施の形態を変形可能なことはもちろんである。
以上のように、本発明にかかる監視システムは、通信を使って遠隔地から店舗等を監視するために有用である。
1 監視システム
3 監視センタ
5 監視対象
7 利用者拠点
11 通信管理装置
13 センタ装置
15 監視装置
17 利用者装置
21 センタ端末間VPN
23 SIP通信
25 端末間VPN
33 HTTPサーバ
35 VPNサーバ
37 SIPサーバ
41 アカウント管理サーバ
43 データベース
61 監視対象LAN
63 ルータ
65 監視対象PC
71 コントローラ
73 IP回線ユニット
91 VPN終端装置(VTE)
93 利用者PC
95 ルータ
101 パケット処理部
103 記憶部
105 判定部
107 カプセル化部
109 再発行処理部
3 監視センタ
5 監視対象
7 利用者拠点
11 通信管理装置
13 センタ装置
15 監視装置
17 利用者装置
21 センタ端末間VPN
23 SIP通信
25 端末間VPN
33 HTTPサーバ
35 VPNサーバ
37 SIPサーバ
41 アカウント管理サーバ
43 データベース
61 監視対象LAN
63 ルータ
65 監視対象PC
71 コントローラ
73 IP回線ユニット
91 VPN終端装置(VTE)
93 利用者PC
95 ルータ
101 パケット処理部
103 記憶部
105 判定部
107 カプセル化部
109 再発行処理部
Claims (5)
- 監視対象に設けられたローカルネットワークに接続され、該ローカルネットワークを介して広域ネットワークに接続されてVPNの通信を行う監視システム用の通信制御装置であって、
入力パケットを送信パケットに変換するパケット処理部と、
前記VPNにおける前記通信制御装置の仮想IPアドレスを記憶する記憶部と、
前記送信パケットに含まれる送信元アドレスと、前記記憶部に記憶された前記仮想IPアドレスを比較し、前記送信元アドレスのネットワーク部分及びホスト部分の両方が、前記仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、
前記判定部による判定結果が一致である場合に前記送信パケットをカプセル化するカプセル化部と、
を有することを特徴とする通信制御装置。 - 前記記憶部は、更に、前記VPNにて接続される対象機器の仮想IPアドレスを記憶しており、
前記判定部は、更に、前記送信パケットに含まれる宛先アドレスと、前記記憶部に記憶された前記対象機器の仮想IPアドレスを比較し、前記宛先アドレスのネットワーク部分及びホスト部分の両方が、前記対象機器の仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定することを特徴とする請求項1に記載の通信制御装置。 - 前記通信制御装置は、前記ローカルネットワークとは別の通信路で情報処理装置と接続されており、
前記パケット処理部は前記別の通信路のための専用通信パケットを前記入力パケットとして前記情報処理装置より入力し、前記専用通信パケットのデータ領域から前記VPNに送出されるべき前記送信パケットを抽出することを特徴とする請求項1又は2に記載の通信制御装置。 - 前記ローカルネットワークにおける前記通信制御装置のローカルIPアドレスのネットワーク部分及びクライアントアドレス部分の両方が、前記VPNにおける前記通信制御装置の仮想IPアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致して前記VPNが切断された場合に前記VPNアドレスの再発行をVPNサーバに要求する再発行処理部を有することを特徴とする請求項1〜3のいずれかに記載の通信制御装置。
- 監視対象に設けられたローカルネットワークに接続され、前記監視対象で取得された監視情報を前記ローカルネットから広域ネットワークを介して遠隔の監視センタに送信する監視装置であって、
前記監視センタに送信すべき監視情報を生成する監視制御部と、
前記監視センタとVPNの通信を行う通信制御部とを有し、
前記通信制御部は、前記監視制御部からの前記監視情報を含む入力パケットを前記監視センタに送信すべき送信パケットに変換するパケット処理部と、
前記VPNにおける前記監視装置の仮想IPアドレスを記憶する記憶部と、
前記送信パケットに含まれる送信元アドレスと、前記記憶部に記憶された前記仮想IPアドレスを比較し、前記送信元アドレスのネットワーク部分及びホスト部分の両方が、前記仮想IPアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、
前記判定部による判定結果が一致である場合に、前記送信パケットをカプセル化するカプセル化部と、
を有することを特徴とする監視装置。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009081312A JP4750869B2 (ja) | 2009-03-30 | 2009-03-30 | 通信制御装置及び監視装置 |
| KR1020117023869A KR101444089B1 (ko) | 2009-03-30 | 2010-03-25 | 통신 제어 장치 및 감시 장치 |
| PCT/JP2010/002122 WO2010116643A1 (ja) | 2009-03-30 | 2010-03-25 | 通信制御装置及び監視装置 |
| CN2010800148051A CN102439912B (zh) | 2009-03-30 | 2010-03-25 | 通信控制装置及监视装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009081312A JP4750869B2 (ja) | 2009-03-30 | 2009-03-30 | 通信制御装置及び監視装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010233168A JP2010233168A (ja) | 2010-10-14 |
| JP4750869B2 true JP4750869B2 (ja) | 2011-08-17 |
Family
ID=42935944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009081312A Active JP4750869B2 (ja) | 2009-03-30 | 2009-03-30 | 通信制御装置及び監視装置 |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP4750869B2 (ja) |
| KR (1) | KR101444089B1 (ja) |
| CN (1) | CN102439912B (ja) |
| WO (1) | WO2010116643A1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6393475B2 (ja) * | 2013-12-17 | 2018-09-19 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信アダプタ装置、通信システム、トンネル通信方法、及びプログラム |
| JP6298334B2 (ja) * | 2014-03-26 | 2018-03-20 | 株式会社 日立産業制御ソリューションズ | 監視システム及び監視システムの制御方法 |
| KR102447179B1 (ko) | 2015-11-19 | 2022-09-26 | 삼성전자 주식회사 | 무선 통신 방법 및 이를 제공하는 전자 장치 |
| CN105933198B (zh) * | 2016-04-21 | 2020-01-14 | 浙江宇视科技有限公司 | 一种建立直连vpn隧道的装置 |
| CN106789530B (zh) * | 2016-12-16 | 2019-07-16 | Oppo广东移动通信有限公司 | 一种网络连接方法、装置及移动终端 |
| JP7220997B2 (ja) * | 2018-05-31 | 2023-02-13 | アズビル株式会社 | 施設監視システム、および、施設監視システムにおける通信方法 |
| CN110650065A (zh) * | 2019-09-24 | 2020-01-03 | 中国人民解放军战略支援部队信息工程大学 | 面向互联网的网络设备众测系统及测试方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310526A (zh) * | 2001-04-06 | 2001-08-29 | 北京网警创新信息安全技术有限公司 | 网络违法行为侦知监控追踪取证应急反应系统及方法 |
| CN100576816C (zh) * | 2003-01-29 | 2009-12-30 | 富士通微电子株式会社 | 分组识别装置和分组识别方法 |
| JP4339234B2 (ja) * | 2004-12-07 | 2009-10-07 | 株式会社エヌ・ティ・ティ・データ | Vpn接続構築システム |
| JP4347227B2 (ja) * | 2005-01-18 | 2009-10-21 | Necインフロンティア株式会社 | 警備監視システム、仮想専用線アダプタ、および警備監視方法 |
| JP4193832B2 (ja) * | 2005-09-14 | 2008-12-10 | 三菱マテリアル株式会社 | ネットワークシステム及びデータ転送方法 |
| JP2007156681A (ja) * | 2005-12-02 | 2007-06-21 | Shinji Kudo | インターネットの不正アクセス処理システム及び処理方法 |
| EP2106590A4 (en) * | 2006-11-21 | 2011-08-17 | Wayport Inc | INTELLIGENT SERVICE QUALITY MANAGEMENT |
| JP4816572B2 (ja) * | 2007-05-30 | 2011-11-16 | 富士ゼロックス株式会社 | 仮想ネットワーク接続システム及び装置 |
| JP4803116B2 (ja) * | 2007-05-31 | 2011-10-26 | 富士ゼロックス株式会社 | 仮想ネットワーク接続装置及びプログラム |
| CN101304388B (zh) * | 2008-06-20 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 解决ip地址冲突的方法、装置及系统 |
-
2009
- 2009-03-30 JP JP2009081312A patent/JP4750869B2/ja active Active
-
2010
- 2010-03-25 CN CN2010800148051A patent/CN102439912B/zh active Active
- 2010-03-25 WO PCT/JP2010/002122 patent/WO2010116643A1/ja active Application Filing
- 2010-03-25 KR KR1020117023869A patent/KR101444089B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010233168A (ja) | 2010-10-14 |
| CN102439912B (zh) | 2013-12-25 |
| CN102439912A (zh) | 2012-05-02 |
| KR20110133043A (ko) | 2011-12-09 |
| WO2010116643A1 (ja) | 2010-10-14 |
| KR101444089B1 (ko) | 2014-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4750869B2 (ja) | 通信制御装置及び監視装置 | |
| JP4781447B2 (ja) | 監視システム | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| US7751540B2 (en) | “Always-on” telemetry system and method | |
| US10506082B2 (en) | High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client | |
| EP1175061A2 (en) | Computer systems, in particular virtual private networks | |
| US10122688B2 (en) | Communication system | |
| JP5357619B2 (ja) | 通信障害検出システム | |
| JP2011124770A (ja) | Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
| JP5148540B2 (ja) | 監視システム | |
| US20120290105A1 (en) | Method for operating, monitoring and/or configuring an automation system of a technical plant | |
| CN114143050B (zh) | 一种视频数据加密系统 | |
| JP2010283762A (ja) | 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体 | |
| JP2011160286A (ja) | 呼制御サーバ、中継サーバ、vpn装置、vpn通信システム、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
| JP5302076B2 (ja) | 通信障害検出システム | |
| JP2009177239A (ja) | ネットワーク中継装置 | |
| JP2005130511A (ja) | コンピュータネットワークを管理する方法及びシステム | |
| JP2007281685A (ja) | ゲートウェイ装置および情報共有システムおよび方法 | |
| Whitfield et al. | Always-on” telemetry system and method | |
| JP2011244286A (ja) | 通信制御装置、これを用いる通信システムおよび通信制御装置を用いる通信制御方法。 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110107 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20110107 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20110121 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110125 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110328 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110510 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110519 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4750869 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140527 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |