JP4789980B2 - トンネル通信システムおよび制御装置 - Google Patents

トンネル通信システムおよび制御装置

Info

Publication number
JP4789980B2
JP4789980B2 JP2008175735A JP2008175735A JP4789980B2 JP 4789980 B2 JP4789980 B2 JP 4789980B2 JP 2008175735 A JP2008175735 A JP 2008175735A JP 2008175735 A JP2008175735 A JP 2008175735A JP 4789980 B2 JP4789980 B2 JP 4789980B2
Authority
JP
Japan
Prior art keywords
terminal
unit
tunnel communication
network
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008175735A
Other languages
English (en)
Other versions
JP2010016685A (ja
Inventor
淳也 加藤
正久 川島
弘之 栗田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008175735A priority Critical patent/JP4789980B2/ja
Publication of JP2010016685A publication Critical patent/JP2010016685A/ja
Application granted granted Critical
Publication of JP4789980B2 publication Critical patent/JP4789980B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、トンネル通信システムおよび制御装置に関する。
近年、遠隔地のネットワークに接続するサーバなどを利用することを目的として、端末が遠隔地のネットワークにアクセスする「リモートアクセス」のニーズが高まっている。中でも、外出先や出張先などの移動先のネットワークに接続する端末が、自宅や企業などの遠隔地のネットワークにアクセスする「移動対応のリモートアクセス」が注目されている。ここで、リモートアクセスとは、アクセス要求を送信する端末と、アクセス要求を受け付けるゲートウェイ装置との間にVPN(Virtual Private Network)が生成され、端末とゲートウェイ装置とがVPNを用いてトンネル通信を行うことで実現される技術である。
例えば、非特許文献1には、端末およびゲートウェイ装置各々がSIP UA(Session Initiation Protocol User Agent)機能を備え、トンネル通信に先立って行われるSIP通信によって、VPNの生成やトンネル通信に必要なパラメータを交換することで、VPNを生成する手法が開示されている。
加藤淳也、水野伸太郎、川島正久、「SIPを用いた移動対応VPN通信方式」、電子情報通信学会、2007年9月 NS/IN/CS研究会、2007年9月20日発表
ところで、上記した従来の技術では、端末が、トンネル通信に先立って行われる通信(以下、適宜、VPN生成手順と呼ぶ)のための専用アプリケーションを備えていることが必須であるという課題があった。例えば、非特許文献1に開示されている技術では、端末が、SIP UA機能の専用アプリケーションを備えていることが必須であった。
そこで、本発明は、上記した従来の技術の課題を解決するためになされたものであり、端末がVPN生成手順のための専用アプリケーションを備えていなくても、リモートアクセスを実現することが可能なトンネル通信システムおよび制御装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、アクセス要求を送信する端末が接続するアクセス網と当該端末のアクセス先となるアクセス先網とがIPレイヤでパケットを転送するIP網に各々接続される状況の下、当該IP網かつ当該アクセス先網に接続して当該アクセス要求を受け付ける受付装置と当該端末との間で行われるトンネル通信を制御するトンネル通信システムであって、前記アクセス網かつ前記IP網に接続する制御装置は、前記端末との間で通信を行い、当該通信にて当該端末を認証することで、当該端末との間に認証済みのセッションを生成する第一のセッション生成手段と、前記第一のセッション生成手段によって生成されたセッションを用いて前記アクセス要求を前記端末から受信すると、当該アクセス要求を受け付ける受付装置を決定する受付装置決定手段と、前記受付装置決定手段によって決定された受付装置と前記端末との間のトンネル通信に必要なパラメータを決定し、当該パラメータを設定するパラメータ設定手段と、前記パラメータ設定手段によって決定されたパラメータを前記受付装置に送信する第一のパラメータ送信手段と、前記パラメータ設定手段によって決定されたパラメータを前記第一のセッション生成手段によって生成されたセッションを用いて前記端末に送信する第二のパラメータ送信手段と、前記端末または前記受付装置から送信されたトンネル通信のパケットを受信すると、当該パケットを転送する転送手段とを備え、前記端末は、前記制御装置との間で通信を行い、当該通信にて当該制御装置に認証されることで、当該制御装置との間に認証済みのセッションを生成する第二のセッション生成手段と、前記第二のセッション生成手段によって生成されたセッションを用いて、前記アクセス要求を前記制御装置に送信するアクセス要求送信手段とを備え、前記端末および前記受付装置各々は、前記パラメータ送信手段によって送信されたパラメータを用いてトンネル通信を行うトンネル通信手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、アクセス要求を送信する端末が接続するアクセス網と当該端末のアクセス先となるアクセス先網とがIPレイヤでパケットを転送するIP網に各々接続される状況の下、当該IP網かつ当該アクセス先網に接続して当該アクセス要求を受け付ける受付装置と当該端末との間で行われるトンネル通信を制御するトンネル通信システムにおける制御装置であって、前記制御装置は、前記アクセス網かつ前記IP網に接続するものであり、前記端末との間で通信を行い、当該通信にて当該端末を認証することで、当該端末との間に認証済みのセッションを生成する第一のセッション生成手段と、前記第一のセッション生成手段によって生成されたセッションを用いて前記アクセス要求を前記端末から受信すると、当該アクセス要求を受け付ける受付装置を決定する受付装置決定手段と、前記受付装置決定手段によって決定された受付装置と前記端末との間のトンネル通信に必要なパラメータを決定し、当該パラメータを設定するパラメータ設定手段と、前記パラメータ設定手段によって決定されたパラメータを前記受付装置に送信する第一のパラメータ送信手段と、前記パラメータ設定手段によって決定されたパラメータを前記第一のセッション生成手段によって生成されたセッションを用いて前記端末に送信する第二のパラメータ送信手段と、前記端末または前記受付装置から送信されたトンネル通信のパケットを受信すると、当該パケットを転送する転送手段と、を備えたことを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記受付装置決定手段は、前記アクセス要求を受け付ける受付装置を識別する受付装置識別情報を受信すると、当該受付装置識別情報によって識別される受付装置を、当該アクセス要求を受け付ける受付装置として決定することを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記端末を識別する端末識別情報と、前記受付装置を識別する受付装置識別情報とを対応づけて記憶する識別情報記憶手段をさらに備え、前記受付装置決定手段は、前記アクセス要求を送信した端末を識別する端末識別情報を特定し、当該端末識別情報を用いて前記識別情報記憶手段を検索することで、当該端末識別情報に対応づけて記憶されている受付装置識別情報を取得し、当該受付装置識別情報によって識別される受付装置を、アクセス要求を受け付ける受付装置として決定することを特徴とする。
また、請求項5に係る発明は、上記の発明において、パケットの正当性を検証可能な鍵情報を前記端末に送信する鍵情報送信手段と、前記鍵情報送信手段によって送信された鍵情報を用いて前記端末においてカプセル化されたトンネル通信のパケットを受信すると、当該鍵情報を用いて当該パケットを検証する検証手段とをさらに備え、前記転送手段は、前記検証手段によって検証されたパケットのみを前記受付装置に転送することを特徴とする。
また、請求項6に係る発明は、アクセス要求を送信する端末が接続するアクセス網と当該端末のアクセス先となるアクセス先網とがIPレイヤでパケットを転送するIP網に各々接続される状況の下、当該IP網かつ当該アクセス先網に接続して当該アクセス要求を受け付ける受付装置と当該端末との間で行われるトンネル通信を制御するトンネル通信システムにおける制御装置が実行する制御プログラムであって、前記制御装置は、前記アクセス網かつ前記IP網に接続するものであり、前記端末との間で通信を行い、当該通信にて当該端末を認証することで、当該端末との間に認証済みのセッションを生成する第一のセッション生成手順と、前記第一のセッション生成手順によって生成されたセッションを用いて前記アクセス要求を前記端末から受信すると、当該アクセス要求を受け付ける受付装置を決定する受付装置決定手順と、前記受付装置決定手順によって決定された受付装置と前記端末との間のトンネル通信に必要なパラメータを決定し、当該パラメータを設定するパラメータ設定手順と、前記パラメータ設定手順によって決定されたパラメータを前記受付装置に送信する第一のパラメータ送信手順と、前記パラメータ設定手順によって決定されたパラメータを前記第一のセッション生成手順によって生成されたセッションを用いて前記端末に送信する第二のパラメータ送信手順と、前記端末または前記受付装置から送信されたトンネル通信のパケットを受信すると、当該パケットを転送する転送手順と、を制御装置に実行させることを特徴とする。
請求項1、2、または6の発明によれば、端末と受付装置との間に制御装置が介在し、端末と受付装置との間のパラメータ交換を仲介するので、端末がVPN生成手順のための専用アプリケーションを備えていなくても、リモートアクセスを実現することが可能になる。
また、請求項3の発明によれば、受信した受付装置識別情報によって受付装置を決定するので、制御装置は、端末識別情報と受付装置識別情報との対応関係といった利用者管理情報を保持する必要がなくなる。この結果、利用者が受付装置を変更するたびに制御装置側で利用者管理情報を更新することも不要となる。
また、請求項4の発明によれば、制御装置が、端末識別情報と受付装置識別情報との対応づけを記憶し、アクセス要求を送信した端末を識別する端末識別情報から受付装置識別情報を取得し、受付装置を決定するので、端末は、制御装置に受付装置識別情報を送信する必要がない。
また、請求項5の発明によれば、制御装置は、端末から送信されたトンネル通信のパケットについて、当該パケットが確かに端末から送信されたものであること、また、当該パケットが改竄されていないことなどを検証し、検証に成功したパケットのみを受付装置に転送するので、アクセス網区間についてのセキュリティを向上させることが可能になる。
以下に添付図面を参照して、本発明に係るトンネル通信システムおよび制御装置の実施例を詳細に説明する。なお、実施例を説明する前に、本発明の基本原理を説明する。
[基本原理]
図1を用いて、本発明の基本原理を説明する。図1は、基本原理を説明するための図である。なお、基本原理の説明においては説明の便宜上から例示を伴うが、本発明は、以下に例示する内容に限定されるものではない。
本発明に係るトンネル通信システムにおいては、図1に示すように、アクセスLAN(Local Area Network)と、アクセス先LANとが、IP(Internet Protocol)レイヤでパケットを転送するIP網に各々接続されている。また、トンネル通信システムは、アクセスLANに接続してアクセス要求を送信する端末と、IP網かつアクセス先LANに接続して当該アクセス要求を受け付ける受付装置との間で行われるトンネル通信を制御するものである。なお、受付装置は、IP網かつアクセス先LANに接続することで、IP網とアクセス先LANとの間でパケットを送受信するものであるが、物理的に設置される場所としては、IP網側に設置される形態であっても、アクセス先LAN側に設置される形態であっても、いずれでもよい。
また、本発明に係るトンネル通信システムには、アクセスLANかつIP網に接続する制御装置が備えられる。なお、制御装置は、アクセスLANかつIP網に接続することで、アクセスLANとIP網との間でパケットを送受信するものであるが、物理的に設置される場所としては、アクセスLAN側に設置される形態であっても、IP網側に設置される形態であっても、いずれでもよい。
かかる制御装置は、Webポータル機能(Webサーバ機能)とSIP UA機能とを兼ね備え、端末に対してはWebポータル機能を用い、受付装置に対してはSIP UA機能を用いることで、端末と受付装置との間のパラメータ交換を仲介する。すなわち、図1に示すように、制御装置は、端末との間でHTTP(HyperText Transfer Protocol)による通信もしくはHTTPS(HTTP Security)による通信を行い、受付装置との間でSIPによる通信を行う結果、HTTPによる通信もしくはHTTPSによる通信とSIPによる通信との間を制御装置が中継することにより、端末と受付装置との間にVPNを生成する。一方、端末は、Webクライアント機能(Webブラウザ)を備え、受付装置とSIP通信をすることなく、制御装置とHTTP通信もしくはHTTPS通信を行うだけで、受付装置との間のパラメータ交換を実現する。
上記した内容について具体的に説明する。まず、端末および制御装置は、相互にHTTP通信もしくはHTTPS通信(以下、HTTP/HTTPS通信と呼ぶ)を行い、HTTP/HTTPS通信にて制御装置が端末を認証することで、端末と制御装置との間に認証済みのセッションを生成する(図1の(1)を参照)。
例えば、端末は、端末にインストールされたWebブラウザを起動し、制御装置のURL(Uniform Resource Locator)にアクセスする。すると、制御装置は、端末に対してログイン画面を送信する。端末の利用者が、ログイン画面にIDおよびパスワードを入力することで、IDおよびパスワードが制御装置に送信され、制御装置は、端末を認証する。続いて、制御装置は、端末に対してダイアルアップ用のフォーム画面を送信する。こうして、端末と制御装置との間で認証済みのセッションが生成される。
次に、端末が、制御装置との間で生成されたHTTP/HTTPS通信のセッションを用いて、アクセス要求を制御装置に送信する(図1の(2)を参照)。例えば、端末は、図1に示すようなダイアルアップフォーム画面に、『アクセス先番号』、『通信種別』、『帯域』を入力することで、アクセス要求を制御装置に送信する。
すると、制御装置は、アクセス要求を受信すると、受付装置を決定する(図1の(3)を参照)。例えば、制御装置は、アクセス要求とともに送信されたアクセス先番号によって識別される受付装置を、アクセス要求を受け付ける受付装置として決定する。
続いて、制御装置は、決定した受付装置と端末との間のトンネル通信に必要なパラメータを決定し、設定する(図1の(4)を参照)。また、制御装置は、決定したパラメータを受付装置に送信し、他方、端末との間で生成したセッションを用いてパラメータを端末に送信する(図1の(5)を参照)。
例えば、制御装置は、受付装置向けのトンネル通信用のIPアドレスやポート番号などを選択し、SIP通信にて受付装置に送信する。すると、受付装置は、トンネル通信用のIPアドレスやポート番号などを、SIP通信にて制御装置に送信する。続いて、制御装置は、端末向けのポート番号を選択し、IPアドレスおよびポート番号を変換するNAPT(Network Address Port Translation)を行うためのルールを生成する。また、制御装置は、選択したポート番号などを端末に送信する。
こうして、端末と受付装置との間にVPNが生成され、端末および受付装置各々は、制御装置から送信されたパラメータを用いて、トンネル通信を行う(図1の(6)を参照)。
このように、本発明に係るトンネル通信システムは、まず、端末と受付装置との間でSIP通信がなされることなくVPNが生成される点に特徴がある。言い換えると、端末と受付装置との間に、Webポータル機能とSIP UA機能とを兼ね備えた制御装置が介在し、端末と受付装置との間のパラメータ交換を仲介する点に特徴がある。かかる特徴により、端末は、SIP UA機能を備える必要がなくなるのである。
また、本発明に係るトンネル通信システムは、制御装置と端末との間で行われる認証として、Webベースの認証を選択し得る点に特徴がある。すなわち、制御装置は、端末の接続回線によって端末を認証する回線ベースの認証などに限られず、柔軟なWebベースの認証によって端末を認証することも選択し得る。かかる特徴により、本発明に係るトンネル通信システムは、端末が固定回線に接続する場合のみならず、端末が移動し、移動先の回線に接続する場合にも対応することができるのである。
さらに、本発明に係るトンネル通信システムは、VPNの終端を端末にしている点に特徴がある。すなわち、制御装置は、自装置と受付装置との間にVPNを生成するのではなく、端末と受付装置との間にVPNを生成するように制御する。かかる特徴により、本発明に係るトンネル通信システムは、アクセスLANに接続する他端末までもが受付装置にリモートアクセスしてしまう事態を防ぐことができるのである。
このような基本原理を有するトンネル通信システムについて、以下、実施例1〜実施例4を説明する。実施例1は、トンネル通信がIPsec(Security Architecture for Internet Protocol)によって実現される場合を説明する。実施例2は、トンネル通信がSSL(Secure Socket Layer)によって実現される場合を説明する。実施例3は、実施例1のトンネル通信システムにSRTP(Secure Real-time Transport Protocol)による保護を行った場合を説明する。なお、実施例4は、その他の実施例である。
[実施例1に係るトンネル通信システムの構成]
まず、図2を用いて、実施例1に係るトンネル通信システムの構成を説明する。図2は、実施例1に係るトンネル通信システムの構成を示すブロック図およびプロトコルスタック図である。なお、以下では、各部を簡単に説明し、詳細については、後述する処理の手順において説明する。
図2に示すように、実施例1に係るトンネル通信システムは、プロキシ装置10と、端末20と、SIPダイアルアップゲートウェイ装置30とを備える。なお、以下では、SIPダイアルアップゲートウェイ装置30を、SIPダイアルアップGW(GateWay)30と呼ぶ。また、実施例1に係るトンネル通信システムは、アクセスLANとしてアクセス網(IP)を想定し、IP網として通信事業者の閉域IP網を想定し、アクセス先網として企業IP網を想定する。このようなトンネル通信システムにおいて、端末20は、企業IP網に接続するサーバ40にリモートアクセスしようとしている。以下、プロキシ装置10、端末20、SIPダイアルアップGW30の構成を順に説明する。
[プロキシ装置10]
プロキシ装置10は、汎用的なサーバなどであり、特に本発明に密接に関連するものとしては、図2に示すように、Webポータル部11と、SIP UA部12と、パラメータ設定部13と、UDP(User Datagram Protocol)リレー部14とを備える。
Webポータル部11は、アクセス網(IP)に接続する端末20に対してWebポータル機能(Webサーバ機能)を提供する部である。具体的には、Webポータル部11は、端末20との間でHTTP/HTTPS通信を行い、HTTP/HTTPS通信にて端末20を認証することで、端末20との間に認証済みのセッションを生成する。また、Webポータル部11は、端末20から送信されたアクセス要求を受信する。また、Webポータル部11は、アクセス要求とともに送信されたアクセス先番号によって識別される装置を、アクセス要求を受け付けるSIPダイアルアップGW30として決定する。また、Webポータル部11は、パラメータ設定部13から伝達されたパラメータを、端末20に送信する。なお、Webポータル部11は、端末20から受信した情報を、SIP UA部12やパラメータ設定部13に伝達するなどする。
SIP UA部12は、SIPダイアルアップGW30との間でSIP通信を行う部である。具体的には、SIP UA部12は、Webポータル部11から伝達されたアクセス先番号や、パラメータ設定部13から伝達されたパラメータを用いて、SIP通信にてSIPダイアルアップGW30にパラメータを送信したり、SIPダイアルアップGW30から情報を受信する。なお、SIP UA部12は、SIPダイアルアップGW30から受信した情報を、パラメータ設定部13に伝達するなどする。
パラメータ設定部13は、トンネル通信用のパラメータを設定する部である。具体的には、パラメータ設定部13は、Webポータル部11から伝達された情報や、SIP UA部12から伝達された情報を用いて、パラメータを決定する。また、パラメータ設定部13は、決定したパラメータを設定することで、端末20とプロキシ装置10との間、および、プロキシ装置10とSIPダイアルアップGW30との間に通信路を設定する。なお、パラメータ設定部13は、決定したパラメータを、SIP UA部12やWebポータル部11に伝達するなどする。
UDPリレー部14は、UDPパケットを転送する部である。具体的には、UDPリレー部14は、端末20から送信されたUDPパケットを受信すると、パラメータ設定部13による設定に基づいて、当該UDPパケットを転送する。また、UDPリレー部14は、SIPダイアルアップGW30から送信されたUDPパケットを受信すると、パラメータ設定部13による設定に基づいて、当該UDPパケットを転送する。
[端末20]
端末20は、汎用的なPC(Personal Computer)などであり、特に本発明に密接に関連するものとしては、図2に示すように、Webブラウザ部21と、トンネル通信部22とを備える。
Webブラウザ部21は、Webクライアント機能を有する部である。具体的には、Webブラウザ部21は、プロキシ装置10との間でHTTP/HTTPS通信を行い、HTTP/HTTPS通信にてプロキシ装置10に認証されることで、プロキシ装置10との間に認証済みのセッションを生成する。また、Webブラウザ部21は、アクセス要求をプロキシ装置10に送信する。また、Webブラウザ部21は、プロキシ装置10から送信されたパラメータを受信する。なお、Webブラウザ部21は、プロキシ装置10から受信したパラメータを、トンネル通信部22に伝達するなどする。
トンネル通信部22は、SIPダイアルアップGW30との間でトンネル通信を行う部である。具体的には、トンネル通信部22は、Webブラウザ部21から伝達されたパラメータを用いてトンネル通信を行う。なお、実施例1におけるトンネル通信部22は、トンネル通信をIPsecによって実現する。
[SIPダイアルアップGW30]
SIPダイアルアップGW30は、汎用的なサーバなどであり、特に本発明に密接に関連するものとしては、図2に示すように、SIP UA部31と、トンネル通信部32とを備える。
SIP UA部31は、プロキシ装置10との間でSIP通信を行う部である。具体的には、SIP UA部31は、SIP通信にてプロキシ装置10からパラメータを受信したり、プロキシ装置10に情報を送信する。なお、SIP UA部31は、プロキシ装置10から受信したパラメータを、トンネル通信部32に伝達するなどする。
トンネル通信部32は、端末20との間でトンネル通信を行う部である。具体的には、トンネル通信部32は、SIP UA部31から伝達されたパラメータを用いてトンネル通信を行う。なお、実施例1におけるトンネル通信部32は、トンネル通信をIPsecによって実現する。
[実施例1に係るトンネル通信システムのプロトコルスタック]
次に、図2を用いて、実施例1に係るトンネル通信システムのプロトコルスタックを説明する。
まず、図2の(a)制御系(VPN生成手順)の連携について説明する。図2に示すように、端末20のプロトコルスタックは、『IP(アクセス網)』、『TCP(Transmission Control Protocol)』、『HTTP/HTTPS』、『ブラウザ表現レイヤ』で構成される。なお、『ブラウザ表現レイヤ』は、HTTP/HTTPS上で動作するWebブラウザを表現するレイヤを意味する。また、『IP(アクセス網)』とあるのは、端末20に付与されたIPアドレスが、アクセス網(IP)に接続するために付与されたIPアドレスであることを意味する。
一方、図2に示すように、SIPダイアルアップGW30のプロトコルスタックは、『IP(閉域網)』、『UDP』、『SIP』で構成される。なお、『IP(閉域網)』とあるのは、SIPダイアルアップGW30に付与されたIPアドレスが、閉域IP網に接続するために付与されたIPアドレスであることを意味する。
このように、端末20およびSIPダイアルアップGW30のプロトコルスタックは各々異なる構成であり、端末20とSIPダイアルアップGW30との間で制御系の情報を送受信することはできない。この点、図2に示すように、プロキシ装置10のプロトコルスタックが、これらを仲介するように構成されていることで、制御系の連携を実現している。すなわち、プロキシ装置10のプロトコルスタックは、端末20と同じ構成のプロトコルスタックと、SIPダイアルアップGW30と同じ構成のプロトコルスタックとで構成されており、『ブラウザ表現レイヤ』との情報のやりとり、『SIP』との情報のやりとりを制御プログラムが担うことで、連携を実現しているのである。
次に、図2の(b)トンネルパケットの転送を説明する。図2に示すように、端末20のプロトコルスタックは、『IP(アクセス網)』、『UDP』、『IKE(Internet Key Exchange)/NAT−T(Traversal) IPsec』、『userIP』で構成される。なお、『userIP』とあるのは、端末20に付与されたIPアドレスが、企業IP網に接続するためにSIPダイアルアップGW30によって付与されたIPアドレスであることを意味する。
一方、図2に示すように、SIPダイアルアップGW30のプロトコルスタックは、閉域IP網側が、『IP(閉域網)』、『UDP』、『IKE/NAT−T IPsec』、『IPルーチング』で構成され、端末20のプロトコルスタックとほぼ同様の構成である。すなわち、端末20とSIPダイアルアップGW30とは、トンネル通信のパケットを送受信し、カプセル化された情報を取り出すことができる。
この点、図2に示すように、プロキシ装置10のプロトコルスタックは、『UDP』の上位レイヤについては単に『UDPリレー』するのみである。すなわち、端末20とSIPダイアルアップGW30との間にVPNが生成されていることがわかる。
[実施例1に係るトンネル通信システムによる処理の手順]
続いて、図3および図4を用いて、実施例1に係るトンネル通信システムによる処理の手順を説明する。図3は、実施例1に係るトンネル通信システムによる処理の手順を示すシーケンス図であり、図4は、Webダイアルアップ画面を説明するための図である。
図3に示すように、まず、端末20は、端末20にインストールされたWebブラウザ部21を起動する。そして、Webブラウザ部21は、プロキシ装置10のWebポータル部11との間でHTTP/HTTPS通信を行い、プロキシ装置10のURLにアクセスする(ステップS101)。
例えば、Webブラウザ部21は、『GET default.html』をWebポータル部11に送信する。ここで、『GET』とは、WebブラウザがWebサーバに対してHTTPリクエストを送信するための一般的なメソッドである。すなわち、Webブラウザ部21は、Webポータル部11に対して、『default.html』のファイルを送信するよう要求する。
すると、Webポータル部11は、Webブラウザ部21に、ログイン画面をHTTP/HTTPS通信にて送信することで、端末20の利用者を認証するための情報を要求する(ステップS102)。例えば、Webポータル部11は、端末20の利用者にIDおよびパスワードの入力を促すログイン画面を送信する。
次に、Webブラウザ部21は、送信されたログイン画面に利用者によってIDおよびパスワードが入力されるなどすることで、IDおよびパスワードを、Webポータル部11に送信する(ステップS103)。こうして、Webブラウザ部21は、端末20の利用者を認証するための情報を、Webポータル部11にHTTP/HTTPS通信にて送信する。
続いて、Webポータル部11は、Webブラウザ部21から送信された情報を用いて端末20の利用者を認証し、認証に成功すると、Webブラウザ部21に、ダイアルアップフォーム画面をHTTP/HTTPS通信にて送信する(ステップS104)。こうして、Webブラウザ部21とWebポータル部11との間には、認証済みのセッションが生成される。
ところで、ダイアルアップフォーム画面とは、例えば、図4の(A)に示すような画面である。図4の(A)について説明すると、『お客様の利用ID』には、ステップS103においてWebブラウザ部21から送信されたID『NO1234567』が表示されている。また、端末20は未だダイアルアップしていないという意味で、『接続状態』は、『アイドル 0Mbps』と表示されている。また、実施例1におけるダイアルアップフォーム画面では、『接続先番号』、『通信種別』、『帯域』を、端末20の利用者が入力可能な表示となっている。『接続先番号』とは、端末20がリモートアクセスすることを要求しているSIPダイアルアップGW30を識別する識別情報である。また、『通信種別』とは、トンネル通信をどの種別の通信で行うかを指定する情報である。また、『帯域』とは、トンネル通信に必要な帯域としてどのくらいの帯域を要求するかを指定する情報である。
図3に戻り、次に、Webブラウザ部21は、送信されたダイアルアップフォーム画面に利用者によって各種情報が入力されるなどすることで、ダイアルアップ要求(アクセス要求)を、Webポータル部11に、HTTP/HTTPS通信にて送信する(ステップS105)。例えば、図4の(A)の例で説明すると、Webブラウザ部21は、ダイアルアップ要求を、接続先番号『0422-59-1111』と、通信種別『IPsec』と、帯域『10Mbps』とともに送信する。
すると、Webポータル部11は、Webブラウザ部21からダイアルアップ要求を受信すると、SIPダイアルアップGW30を決定する。続いて、パラメータ設定部13が、SIPダイアルアップGW30に通知するパラメータを決定する。
例えば、Webポータル部11は、Webブラウザ部21からダイアルアップ要求とともに受信した接続先番号『0422-59-1111』で識別される装置を、SIPダイアルアップGW30であると決定する。そして、Webポータル部11は、接続先番号『0422-59-1111』を、パラメータ設定部13およびSIP UA部12に伝達する。すると、パラメータ設定部13は、IPダイアルアップGW30に通知するパラメータとして、IPアドレス『IP3』およびポート番号『Port3』や、プロトコル『UDP』を決定し、SIP UA部12に伝達する。
次に、プロキシ装置10のSIP UA部12は、パラメータ設定部13によって決定されたパラメータを、SIPダイアルアップGW30のSIP UA部31に、SIP通信にて送信する(ステップS106)。例えば、SIP UA部12は、INVITEメッセージを送信し、SDP(Session Description Protocol)によってm行、c行およびb行などを記述することで、パラメータを送信する。
ここで、m行とは、一般に、『m=<media><port><proto>・・・』で定義されるものであり、左から順に、メディアタイプ、ポート番号、トランスポートプロトコルを意味する。図3の例では、『m=application Port3 UDP』とあるが、これは、メディアタイプが『application』(実施例1においては、VPNを示すものとして用いている)で、ポート番号が『Port3』で、プロトコルが『UDP』であることを記述している。
また、c行とは、一般に、『c=<nettype><addrtype><connection-address>』で定義されるものであり、左から順に、ネットワークのタイプ、アドレスのタイプ、接続アドレスを意味する。図3の例では、『c=IN IP4 IPaddr3』とあるが、これは、ネットワークのタイプが『IN』(アクセス網(IP))で、アドレスのタイプが『IPversion4』で、SIPダイアルアップGW30からみた接続アドレスが『IP3』であることを記述している。なお、実施例1におけるc行の記述においては、アドレスのタイプを『IP4』または『IP6』と記述し、接続アドレスを『IPaddrX』(Xは数字)と記述して両者を区別する。すなわち、例えば、c行に『IP4』と記述されている場合は、アドレスのタイプが『IPversion4』であることを意味し、c行に『IPaddr4』と記述されている場合は、接続アドレスが『IP4』であることを意味する。
また、b行とは、一般に、『b=<bwtype>:<bandwidth>』で定義されるものであり、左から順に、英数字の修飾子、帯域を意味する。図3の例では、『b=10M』とあるが、帯域が『10Mbps』であることのみを記述している。
すると、SIPダイアルアップGW30のSIP UA部31は、自装置に関する情報を、プロキシ装置10のSIP UA部12にSIP通信にて送信する(ステップS107)。例えば、SIP UA部31は、200 OKメッセージを送信し、SDPによってm行およびc行を記述することで、情報を送信する。図3の例では、m行に、メディアタイプが『application』で、ポート番号が『Port4』で、プロトコルが『UDP』であることを記述し、c行に、ネットワークのタイプが『IN』で、アドレスのタイプが『IPversion4』で、プロキシ装置10からみた接続アドレスが『IP4』であることを記述している。
次に、プロキシ装置10のSIP UA部12は、SIP UA部31から受信した情報をパラメータ設定部13に伝達し、パラメータ設定部13は、端末20に通知するパラメータを決定する(ステップS108)。例えば、パラメータ設定部13は、ポート番号『Port2』を選択し、端末20に通知するパラメータとして、IPアドレス『IP2』およびポート番号『Port2』を決定する。
なお、実施例1においては、まず、ステップS106においてSIPダイアルアップGW30に通知するパラメータを決定した後に、ステップS108において端末20に通知するパラメータを決定しているが、本発明はこれに限られるものではない。そもそも、ポート番号『Port2』と、SIPダイアルアップGW30に通知したポート番号『Port3』とに異なる値を選ぶものとすれば、パラメータ設定部13は、端末20に通知するパラメータを、例えば、ステップS105の時点(ダイアルアップ要求を受信した時点)で決定してもよい。
続いて、パラメータ設定部13は、パラメータを設定する(ステップS109)。例えば、パラメータ設定部13は、「ソースアドレスが『IP1』でソースポート番号が『4500』であるパケットであって、宛先アドレスが『IP2』で宛先ポート番号が『Port2』であるパケット」と、「ソースアドレスが『IP3』でソースポート番号が『Port3』であるパケットであって、宛先アドレスが『IP4』で宛先ポート番号が『Port4』であるパケット」とを相互に変換するNAPTを設定する。すなわち、実施例1におけるNAPTとしては、symmetricNATを想定しており、パラメータ設定部13は、「ソースアドレスが『IP1』でソースポート番号が『4500』であるパケットであって、宛先アドレスが『IP2』で宛先ポート番号が『Port2』であるパケット」を「ソースアドレスが『IP3』でソースポート番号が『Port3』であるパケットであって、宛先アドレスが『IP4』で宛先ポート番号が『Port4』であるパケット」に変換するというルールと、「ソースアドレスが『IP3』でソースポート番号が『Port3』であるパケットであって、宛先アドレスが『IP4』で宛先ポート番号が『Port4』であるパケット」を「ソースアドレスが『IP1』でソースポート番号が『4500』であるパケットであって、宛先アドレスが『IP2』で宛先ポート番号が『Port2』であるパケット」に変換するというルールの両方を設定する。
これは、ステップS108において選択したポート番号に対して端末20から送信されたパケットは、SIPダイアルアップGW30に対するトンネル通信のパケットであるので、IPアドレスとポート番号とを変換した上で、SIPダイアルアップGW30に送信することを意味している。また、反対に、ステップS106において通知したポート番号に対してSIPダイアルアップGW30から送信されたパケットは、端末20に対するトンネル通信のパケットであるので、IPアドレスとポート番号とを変換した上で、端末20に送信することを意味している。
そして、パラメータ設定部13は、ステップS108において決定したパラメータをWebポータル部11に伝達し、Webポータル部11は、パラメータを、端末20のWebブラウザ部21に、HTTP/HTTPS通信にて送信する(ステップS110)。例えば、Webポータル部11は、ステップS105において受信したダイアルアップ要求に対する応答として、IPアドレス『IP2』およびポート番号『Port2』を送信する。
すると、Webブラウザ部21は、Webポータル部11から送信されたパラメータを、HTTP/HTTPS通信にて受信し、企業IP網(IP5)宛ての通信のセキュリティポリシーとして、IPアドレス『IP2』およびポート番号『Port2』を設定する(ステップS111)。
こうして、端末20とSIPダイアルアップGW30との間にVPNが生成され、その後、端末20とSIPダイアルアップGW30との間では、IKE(Internet Key Exchange)による鍵交換や、ESP(Encapsulating Security Payload)によってカプセル化されたトンネル通信が行われる(ステップS112)。なお、この時、プロキシ装置10のUDPリレー部14は、ステップS109においてパラメータ設定部13によって設定されたNAPTに基づいて、IPアドレスおよびポート番号の変換を行う。
[実施例1の効果]
上記してきたように、実施例1によれば、端末とSIPダイアルアップGWとの間にプロキシ装置が介在し、端末とSIPダイアルアップGWとの間のパラメータ交換を仲介するので、端末がVPN生成手順のための専用アプリケーション(SIP UA機能)を備えていなくても、リモートアクセスを実現することが可能になる。
すなわち、実施例1に係るトンネル通信システムは、まず、端末とSIPダイアルアップGWとの間でSIP通信がなされることなくVPNが生成される点に特徴がある。言い換えると、端末とSIPダイアルアップGWとの間に、Webポータル機能とSIP UA機能とを兼ね備えたプロキシ装置が介在し、端末とSIPダイアルアップGWとの間のパラメータ交換を仲介する点に特徴がある。かかる特徴により、端末は、SIP UA機能を備える必要がなくなるのである。
また、実施例1に係るトンネル通信システムは、プロキシ装置と端末との間で行われる認証として、Webベースの認証を選択し得る点に特徴がある。すなわち、プロキシ装置は、柔軟なWebベースの認証によって端末を認証することも選択し得る。かかる特徴により、実施例1に係るトンネル通信システムは、端末が固定回線に接続する場合のみならず、端末が移動し、移動先の回線に接続する場合にも対応することができるのである。
さらに、実施例1に係るトンネル通信システムは、VPNの終端を端末にしている点に特徴がある。すなわち、プロキシ装置は、自装置とSIPダイアルアップGWとの間にVPNを生成するのではなく、端末とSIPダイアルアップGWとの間にVPNを生成するように制御する。かかる特徴により、実施例1に係るトンネル通信システムは、アクセスLANに接続する他端末までもがSIPダイアルアップGWにリモートアクセスしてしまう事態を防ぐことができるのである。
また、実施例1によれば、ダイアルアップ要求とともに受信したアクセス先情報によってSIPダイアルアップGWを決定するので、プロキシ装置は、端末識別情報とアクセス先情報との対応関係といった利用者管理情報を保持する必要がなくなる。この結果、利用者がSIPダイアルアップGWを変更するたびにプロキシ装置側で利用者管理情報を更新することも不要となる。
さて、これまで実施例1として、トンネル通信がIPsecによって実現される場合を説明してきたが、本発明はこれに限られるものではない。以下、実施例2として、トンネル通信がSSLによって実現される場合を説明する。
[実施例2に係るトンネル通信システムの構成]
まず、図5を用いて、実施例2に係るトンネル通信システムの構成を説明する。図5は、実施例2に係るトンネル通信システムの構成を示すブロック図およびプロトコルスタック図である。なお、以下では、実施例1に係るトンネル通信システムと異なる点を中心に説明する。
図5に示すように、実施例2に係るトンネル通信システムは、プロキシ装置10にTCPリレー部15が備えられる点が、実施例1に係るトンネル通信システムと異なる。
TCPリレー部15は、TCPパケットを転送する部である。具体的には、TCPリレー部15は、パラメータ設定部13から伝達されたパラメータに基づいて、SIPダイアルアップGW30との間でTCPコネクションを生成する。また、TCPリレー部15は、パラメータ設定部13から伝達されたパラメータに基づいて、端末20との間でもTCPコネクションを生成する。また、TCPリレー部15は、生成したTCPコネクション同士をリレーすることで、端末20とSIPダイアルアップGW30との間でTCPパケットを転送する。
[実施例2に係るトンネル通信システムのプロトコルスタック]
次に、図5を用いて、実施例2に係るトンネル通信システムのプロトコルスタックを説明する。なお、以下では、実施例1に係るトンネル通信システムと異なる点を中心に説明する。
図5の(b)トンネルパケットの転送を説明する。図5に示すように、実施例2に係るトンネル通信システムは、端末20のプロトコルスタックの『IP(アクセス網)』の上のプロトコルが『TCP』、『SSL(orTLS(Transport Layer Security))』である点、また、プロキシ装置10のプロトコルスタックの『IP』および『IP(閉域網)』各々の上のプロトコルが『TCP』、『TCPリレー』である点、さらに、SIPダイアルアップGW30の『IP(閉域網)』の上のプロトコルが『TCP』、『SSL(orTLS)』である点が、実施例1と異なる。なお、TLSは、SSLに若干の改良が加えられたものであり、RFC2246として標準化されている。以下では、SSLとTLSとを特に区別せずに説明する。
実施例1と同様、実施例2においても、SIPダイアルアップGW30のプロトコルスタックは、閉域IP網側は、端末20のプロトコルスタックとほぼ同様の構成である。すなわち、端末20とSIPダイアルアップGW30とは、トンネル通信のパケットを送受信し、カプセル化した情報を取り出すことができる。この点、プロキシ装置10のプロトコルスタックは、『TCP』の上位レイヤについては単に『TCPリレー』するのみであり、端末20とSIPダイアルアップGW30との間にVPNが生成されていることがわかる。
[実施例2に係るトンネル通信システムによる処理の手順]
続いて、図6を用いて、実施例2に係るトンネル通信システムによる処理の手順を説明する。図6は、実施例2に係るトンネル通信システムによる処理の手順を示すシーケンス図である。なお、以下では、実施例1に係るトンネル通信システムと異なる点を中心に説明する。
図6に示すように、ステップS201〜ステップS205は、実施例1に係るトンネル通信システムと同様の処理の手順が実行される。
そして、Webポータル部11は、Webブラウザ部21からダイアルアップ要求を受信すると、SIPダイアルアップGW30を決定する。続いて、パラメータ設定部13が、SIPダイアルアップGW30に通知するパラメータを決定する。
例えば、Webポータル部11は、実施例1と同様、Webブラウザ部21からダイアルアップ要求とともに受信した接続先番号『0422-59-1111』で識別される装置を、SIPダイアルアップGW30であると決定する。そして、実施例2におけるパラメータ設定部13は、IPダイアルアップGW30に通知するパラメータとして、IPアドレス『IP3』およびポート番号『Port3』や、プロトコル『TCP』、『TLS』を決定し、SIP UA部12に伝達する。
次に、プロキシ装置10のSIP UA部12は、実施例1と同様、パラメータ設定部13によって決定されたパラメータを、SIPダイアルアップGW30のSIP UA部31に、SIP通信にて送信する(ステップS206)。
すると、SIPダイアルアップGW30のSIP UA部31は、実施例1と同様、自装置に関する情報を、プロキシ装置10のSIP UA部12にSIP通信にて送信する(ステップS207)。
ところで、実施例2におけるプロキシ装置10およびSIPダイアルアップGW30は、ステップS207に続いて、TCPコネクション(TCP1)を生成する(ステップS208)。具体的には、パラメータ設定部13からパラメータを伝達されたTCPリレー部15が、アドレス『IP4』およびポート番号『Port4』を指定してTCP接続することで、TCPリレー部15と、SIP UA部31からパラメータを伝達されたトンネル通信部32とが、TCPコネクションを生成する。また、この時、TCPリレー部15は、ポート番号『Port3』を使用して接続する。
続いて、実施例1と同様、プロキシ装置10のパラメータ設定部13は、端末20に通知するパラメータを決定する(ステップS209)。例えば、パラメータ設定部13は、ポート番号『Port2』を選択し、端末20に通知するパラメータとして、IPアドレス『IP2』およびポート番号『Port2』を決定する。
続いて、実施例2におけるパラメータ設定部13は、ソースアドレスが『IP1』であるパケットであって、宛先アドレスが『IP2』で宛先ポート番号が『Port2』であるパケットについては、TCPによる接続を許可する設定を行う(ステップS210)。
これは、ステップS209において選択したポート番号に対して端末20から送信されたパケットは、SIPダイアルアップGW30に対するトンネル通信のパケットであるので、TCPリレーの対象として、SIPダイアルアップGW30に送信することを意味している。なお、実施例2においては、SIPダイアルアップGW30から送信されたパケットを端末20に対してTCPリレーする点については、予め許可するものとして設定されているものとする。
そして、パラメータ設定部13は、実施例1と同様、ステップS209において決定したパラメータをWebポータル部11に伝達し、Webポータル部11は、パラメータを、端末20のWebブラウザ部21に、HTTP/HTTPS通信にて送信する(ステップS211)。
すると、実施例2におけるWebブラウザ部21は、Webポータル部11から送信されたパラメータを、トンネル通信部22に伝達する。すると、実施例2における端末20およびプロキシ装置10は、ステップS211に続いて、TCPコネクション(TCP2)を生成する(ステップS212〜213)。具体的には、Webポータル部11からパラメータを伝達されたトンネル通信部22が、アドレス『IP2』およびポート番号『Port2』を指定してTCP接続することで、トンネル通信部22と、プロキシ装置10のTCPリレー部15とが、TCPコネクションを生成する。
その後、実施例2におけるTCPリレー部15は、ステップS208において生成されたTCPコネクション『TCP1』と、ステップS213において生成されたTCPコネクション『TCP2』との間で、TCPリレーを開始する(ステップS214)。
こうして、端末20とSIPダイアルアップGW30との間にVPNが生成され、その後、端末20とSIPダイアルアップGW30との間では、End−EndでTLS−Handshakeが行われ、TLS通信が実行される(ステップS215)。
[実施例2の効果]
上記してきたように、本発明に係るトンネル通信システムは、トンネル通信がSSLによって実現される場合にも適用することが可能である。この場合には、端末にインストールされるべきアプリケーションがWebブラウザのみでよいという点で、トンネル通信がIPsecによって実現される場合に比較して有効である。すなわち、トンネル通信にIPsecを適用する場合、端末20には、IPsec通信機能を有する必要がある。また、IPsec通信機能には、SIPダイアルアップGW30に設定されているパラメータと同じ値が設定されなければならない。例えば、暗号化アルゴリズム、ハッシュアルゴリズム、ライフタイムといった値である。これに対して、トンネル通信にSSLを適用する場合、端末20には、Webブラウザのみがインストールされていればよい。
さて、これまで実施例1および実施例2のトンネル通信システムを説明してきたが、いずれも、アクセス網(IP)区間のパケット転送の保護をIPsecによって実現するものであった。この点、実施例3に係るトンネル通信システムは、パケット転送の保護を代替する手法の一つとして、SRTPを提案するものである。SRTPは、RTPに暗号化の仕組みおよび認証の仕組みを追加した拡張版プロトコル(RFC3711)である。以下では、実施例1に係るトンネル通信システムにSRTPを導入した実施例を、実施例3に係るトンネル通信システムとして説明する。
[実施例3に係るトンネル通信システムの構成]
まず、図7を用いて、実施例3に係るトンネル通信システムの構成を説明する。図7は、実施例3に係るトンネル通信システムの構成を示すブロック図およびプロトコルスタック図である。なお、以下では、実施例1に係るトンネル通信システムと異なる点を中心に説明する。
図7に示すように、実施例3に係るトンネル通信システムは、端末20のトンネル通信部22にSRTPカプセル化部23が備えられる点、また、プロキシ装置10のUDPリレー部16がSRTP対応となる点が、実施例1に係るトンネル通信システムと異なる。
SRTPカプセル化部23は、トンネル通信部22によってUDPカプセル化されたパケットを、SRTPによってさらにカプセル化する。具体的には、SRTPカプセル化部23は、UDPカプセル化されたパケットをトンネル通信部22から伝達されると、当該パケットをさらにSRTPカプセル化し、SRTPカプセル化したパケットを、再びトンネル通信部22に伝達する。なお、SRTPカプセル化部23は、プロキシ装置10のWebポータル部11から伝達されたSRTPカプセル化用のパラメータを用いて、SRTPカプセル化を行う。なお、実施例3におけるSRTPカプセル化部23は、Null-Cipher、Authenticationのみのモードを使用している。つまり、実施例3においては、SRTPの仕組みの内、認証の仕組みのみを利用しているが、もちろん、暗号の仕組みを併用してもよい。
ここで、SRTPカプセル化を実行するにあたっては、マスター鍵と、SSRC(Synchronization SouRCe)と、シーケンス番号初期値とが利用される。マスター鍵とは、認証に利用する鍵情報であり、パケットの正当性をプロキシ装置10において検証するための鍵情報である。また、SSRCとは、RTPセッションごとに端末20を識別するための情報であり、ランダムに生成されるものである。また、シーケンス番号初期値とは、パケットの送信順を示す通し番号である。
実施例3においては、プロキシ装置10のパラメータ設定部13が、端末20に通知するSRTPカプセル化用のパラメータとして、マスター鍵、SSRC(s)、シーケンス番号初期値を決定し、Webポータル部11に伝達する。すると、Webポータル部11が、これらのSRTPカプセル化用のパラメータを端末20のWebブラウザ部21に送信する。こうして、端末20のSRTPカプセル化部23は、SRTPカプセル化用のパラメータを受信するので、これらのパラメータを用いてSRTPカプセル化を実行する。具体的には、SRTPカプセル化部23は、UDPカプセル化したパケットをさらにSRTPカプセル化するとともに、マスター鍵を用いた署名を添付する。
一方、プロキシ装置10のUDPリレー部16は、端末20から送信されたパケットを受信すると、当該パケットからSRTPカプセル化された情報を取り出す。そして、UDPリレー部16は、マスター鍵を用いて署名を検証することで、当該パケットが確かに端末20から送信されたものであること、また、当該パケットが改竄されていないことなどを検証する。その後、UDPリレー部16は、検証に成功したSRTPカプセル化パケットからUDPカプセル化パケットを取り出し、当該UDPカプセル化パケットのみをリレーする。
[実施例3に係るトンネル通信システムのプロトコルスタック]
次に、図7を用いて、実施例3に係るトンネル通信システムのプロトコルスタックを説明する。なお、以下では、実施例1に係るトンネル通信システムと異なる点を中心に説明する。
図7の(b)トンネルパケットの転送を説明する。図7に示すように、実施例3に係るトンネル通信システムは、端末20のプロトコルスタックの『UDP』と『IKE/NAT−T IPsec』との間に、『SRTP』のプロトコルが介在する点、また、プロキシ装置10のプロトコルスタックの『UDP』と『UDPリレー』との間に、『SRTP』のプロトコルが介在する点が、実施例1と異なる。
また、実施例1と異なり、実施例3においては、SIPダイアルアップGW30のプロトコルスタックは、『SRTP』のプロトコルが介在しない点で、端末20のプロトコルスタックとは異なる構成である。すなわち、SRTPカプセル化は、端末20とプロキシ装置10との間でのみ行われていることがわかる。
[実施例3に係るトンネル通信システムによる処理の手順]
続いて、図8を用いて、実施例3に係るトンネル通信システムによる処理の手順を説明する。図8は、実施例3に係るトンネル通信システムによる処理の手順を示すシーケンス図である。なお、以下では、実施例1に係るトンネル通信システムと異なる点を中心に説明する。
図8に示すように、ステップS301〜S307は、実施例1に係るトンネル通信システムと同様の処理の手順が実行される。
すると、実施例3におけるパラメータ設定部13は、SRTPのマスター鍵、SSRC(s)、シーケンス番号初期値を決定する(ステップS308)。そして、パラメータ設定部13は、SSRC(s)をソースとするパケットについては、ソースアドレスを『IP3』、ソースポート番号を『Port3』に変更し、かつ、宛先アドレスを『IP4』、宛先ポート番号を『Port4』に変更して中継するように、設定を行う(ステップS309)。
そして、パラメータ設定部13は、ステップS308において決定したパラメータをWebポータル部11に伝達し、Webポータル部11は、パラメータを、端末20のWebブラウザ部21に、HTTP/HTTPS通信にて送信する(ステップS310)。すなわち、パラメータ設定部13は、IPアドレス『IP2』および宛先ポート番号『Port2』の他に、マスター鍵、SSRC(s)、シーケンス番号初期値を送信する。
すると、Webブラウザ部21が、Webポータル部11から送信されたパラメータを、HTTP/HTTPS通信にて受信すると、トンネル通信部22は、企業IP網(IP5)宛ての通信のパケットは、UDPカプセル化した後に、SRTPでさらにカプセル化して転送するように、ポリシーを設定する(ステップS311)。
こうして、端末20とSIPダイアルアップGW30との間にVPNが生成され、その後、端末20とSIPダイアルアップGW30との間では、IKEによる鍵交換や、ESPによってカプセル化されたトンネル通信が行われる(ステップS312)。
なお、この時、プロキシ装置10のUDPリレー部16は、端末20から送信されたパケットを受信すると、当該パケットからSRTPカプセル化された情報を取り出す。そして、UDPリレー部16は、マスター鍵を用いて署名を検証することで、当該パケットが確かに端末20から送信されたものであること、また、当該パケットが改竄されていないことなどを検証する(ソース認証)。また、UDPリレー部16は、検証に成功したSRTPカプセル化パケットからUDPカプセル化パケットを取り出し、SSRCの値(s)に対応づけて記憶されている設定(ステップS309における設定)に基づいて、当該パケットのソースアドレスを『IP3』、ソースポート番号を『Port3』に変更し、宛先アドレスを『IP4』、宛先ポート番号を『Port4』に変更する。こうして、UDPリレー部16は、当該UDPカプセル化パケットのみをリレーする。
[実施例3の効果]
上記してきたように、実施例3によれば、プロキシ装置は、端末から送信されたトンネル通信のパケットについて、当該パケットが確かに端末から送信されたものであること、また、当該パケットが改竄されていないことなどを検証し、検証に成功したパケットのみをSIPダイアルアップGWに転送するので、アクセス網区間についてのセキュリティを向上させることが可能になる。
[他の実施例]
さて、これまで本発明の実施例について説明したが、本発明は上記した実施例以外にも、種々の異なる形態にて実施されてよいものである。
[SIP通信以外の網]
実施例1〜実施例3においては、制御装置(プロキシ装置)と受付装置(SIPダイアルアップGW)との間の通信がSIP通信であることを想定してきたが、本発明はこれに限られるものではない。すなわち、本発明は、端末自身にVPNを生成する機能が備えられていなくても、端末と受付装置との間に制御装置が介在することで、端末と受付装置との間のVPNが生成されるものである。したがって、制御装置と受付装置との間の通信にSIP通信以外のプロトコルを用いる網であっても、本発明を同様に適用することができる。
[HTTP/HTTPS通信以外のプロトコル]
実施例1〜実施例3においては、端末と制御装置(プロキシ装置)との間の通信がHTTP/HTTPS通信であることを想定してきたが、本発明はこれに限られるものではなく、例えば、SMTP(Simple Mail Transfer Protocol)通信などであってもよい。すなわち、端末が制御装置との間で通信を行うにあたり、専用アプリケーションを備える必要がないプロトコルであれば、いずれでもよい。この点、例えば、端末が一般的に備えるメールソフトのプロトコルであるSMTP通信などであってもよいのである。
[受付装置の決定]
また、実施例1〜実施例3においては、制御装置(プロキシ装置)が、端末からダイアルアップ要求を受信するとともに受付装置(SIPダイアルアップGW)を識別するアクセス先番号を受信し、当該アクセス先番号によって識別される受付装置を、ダイアルアップ要求を受け付ける受付装置として決定する手法を説明してきた。しかしながら、本発明はこれに限られるものではない。まず、制御装置がダイアルアップ要求を受信するタイミングとアクセス先番号を受信するタイミングとが同時である手法に限られるものではなく、ダイアルアップ要求を受信し、その後、アクセス先番号を受信する、といったタイミングなどでもよい。
また、制御装置が、端末を識別する識別情報に基づいて受付装置を決定する手法にも本発明を適用することができる。この場合には、制御装置は、予め、端末を識別する端末識別情報と、受付装置を識別する受付装置識別情報とを対応づけて記憶している。そして、制御装置は、ダイアルアップ要求を受信すると、当該ダイアルアップ要求を送信した端末の端末識別情報を特定し、記憶している対応づけを検索することで、当該端末識別情報に対応づけて記憶されている受付装置識別情報を取得する。こうして、制御装置は、当該受付装置識別情報によって識別される受付装置を、ダイアルアップ要求を受け付ける受付装置として決定することができる。この手法によれば、端末は、制御装置に受付装置識別情報を送信する必要がない。
[システム構成等]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順(図3、図6、図8など)、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示(図2、図5、図7など)の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明したトンネル通信方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係るトンネル通信システムおよび制御装置は、リモートアクセスを実現することに有用であり、特に、端末がVPN生成手順のための専用アプリケーションを備えていなくても、リモートアクセスを実現することに適する。
基本原理を説明するための図である。 実施例1に係るトンネル通信システムの構成を示すブロック図およびプロトコルスタック図である。 実施例1に係るトンネル通信システムによる処理の手順を示すシーケンス図である。 Webダイアルアップ画面を説明するための図である。 実施例2に係るトンネル通信システムの構成を示すブロック図およびプロトコルスタック図である。 実施例2に係るトンネル通信システムによる処理の手順を示すシーケンス図である。 実施例3に係るトンネル通信システムの構成を示すブロック図およびプロトコルスタック図である。 実施例3に係るトンネル通信システムによる処理の手順を示すシーケンス図である。
符号の説明
10 プロキシ装置
11 Webポータル部
12 SIP UA部
13 パラメータ設定部
14 UDPリレー部
20 端末
21 Webブラウザ部
22 トンネル通信部
30 SIPダイアルアップGW
31 SIP UA部
32 トンネル通信部

Claims (6)

  1. アクセス要求を送信する端末が接続するアクセス網と当該端末のアクセス先となるアクセス先網とがIPレイヤでパケットを転送するIP網に各々接続される状況の下、当該IP網かつ当該アクセス先網に接続して当該アクセス要求を受け付ける受付装置と当該端末との間で行われるトンネル通信を制御するトンネル通信システムであって、
    前記アクセス網かつ前記IP網に接続する制御装置は、
    前記端末との間で通信を行い、当該通信にて当該端末を認証することで、当該端末との間に認証済みのセッションを生成する第一のセッション生成手段と、
    前記第一のセッション生成手段によって生成されたセッションを用いて前記アクセス要求を前記端末から受信すると、当該アクセス要求を受け付ける受付装置を決定する受付装置決定手段と、
    前記受付装置決定手段によって決定された受付装置と前記端末との間のトンネル通信に必要なパラメータを決定し、当該パラメータを設定するパラメータ設定手段と、
    前記パラメータ設定手段によって決定されたパラメータを前記受付装置に送信する第一のパラメータ送信手段と、
    前記パラメータ設定手段によって決定されたパラメータを前記第一のセッション生成手段によって生成されたセッションを用いて前記端末に送信する第二のパラメータ送信手段と、
    前記端末または前記受付装置から送信されたトンネル通信のパケットを受信すると、当該パケットを転送する転送手段とを備え、
    前記端末は、
    前記制御装置との間で通信を行い、当該通信にて当該制御装置に認証されることで、当該制御装置との間に認証済みのセッションを生成する第二のセッション生成手段と、
    前記第二のセッション生成手段によって生成されたセッションを用いて、前記アクセス要求を前記制御装置に送信するアクセス要求送信手段とを備え、
    前記端末および前記受付装置各々は、
    前記パラメータ送信手段によって送信されたパラメータを用いてトンネル通信を行うトンネル通信手段と、
    を備えたことを特徴とするトンネル通信システム。
  2. アクセス要求を送信する端末が接続するアクセス網と当該端末のアクセス先となるアクセス先網とがIPレイヤでパケットを転送するIP網に各々接続される状況の下、当該IP網かつ当該アクセス先網に接続して当該アクセス要求を受け付ける受付装置と当該端末との間で行われるトンネル通信を制御するトンネル通信システムにおける制御装置であって、
    前記制御装置は、前記アクセス網かつ前記IP網に接続するものであり、
    前記端末との間で通信を行い、当該通信にて当該端末を認証することで、当該端末との間に認証済みのセッションを生成する第一のセッション生成手段と、
    前記第一のセッション生成手段によって生成されたセッションを用いて前記アクセス要求を前記端末から受信すると、当該アクセス要求を受け付ける受付装置を決定する受付装置決定手段と、
    前記受付装置決定手段によって決定された受付装置と前記端末との間のトンネル通信に必要なパラメータを決定し、当該パラメータを設定するパラメータ設定手段と、
    前記パラメータ設定手段によって決定されたパラメータを前記受付装置に送信する第一のパラメータ送信手段と、
    前記パラメータ設定手段によって決定されたパラメータを前記第一のセッション生成手段によって生成されたセッションを用いて前記端末に送信する第二のパラメータ送信手段と、
    前記端末または前記受付装置から送信されたトンネル通信のパケットを受信すると、当該パケットを転送する転送手段と、
    を備えたことを特徴とする制御装置。
  3. 前記受付装置決定手段は、前記アクセス要求を受け付ける受付装置を識別する受付装置識別情報を受信すると、当該受付装置識別情報によって識別される受付装置を、当該アクセス要求を受け付ける受付装置として決定することを特徴とする請求項2に記載の制御装置。
  4. 前記端末を識別する端末識別情報と、前記受付装置を識別する受付装置識別情報とを対応づけて記憶する識別情報記憶手段をさらに備え、
    前記受付装置決定手段は、前記アクセス要求を送信した端末を識別する端末識別情報を特定し、当該端末識別情報を用いて前記識別情報記憶手段を検索することで、当該端末識別情報に対応づけて記憶されている受付装置識別情報を取得し、当該受付装置識別情報によって識別される受付装置を、アクセス要求を受け付ける受付装置として決定することを特徴とする請求項2に記載の制御装置。
  5. パケットの正当性を検証可能な鍵情報を前記端末に送信する鍵情報送信手段と、
    前記鍵情報送信手段によって送信された鍵情報を用いて前記端末においてカプセル化されたトンネル通信のパケットを受信すると、当該鍵情報を用いて当該パケットを検証する検証手段とをさらに備え、
    前記転送手段は、前記検証手段によって検証されたパケットのみを前記受付装置に転送することを特徴とする請求項2〜4のいずれか一つに記載の制御装置。
  6. アクセス要求を送信する端末が接続するアクセス網と当該端末のアクセス先となるアクセス先網とがIPレイヤでパケットを転送するIP網に各々接続される状況の下、当該IP網かつ当該アクセス先網に接続して当該アクセス要求を受け付ける受付装置と当該端末との間で行われるトンネル通信を制御するトンネル通信システムにおける制御装置が実行する制御プログラムであって、
    前記制御装置は、前記アクセス網かつ前記IP網に接続するものであり、
    前記端末との間で通信を行い、当該通信にて当該端末を認証することで、当該端末との間に認証済みのセッションを生成する第一のセッション生成手順と、
    前記第一のセッション生成手順によって生成されたセッションを用いて前記アクセス要求を前記端末から受信すると、当該アクセス要求を受け付ける受付装置を決定する受付装置決定手順と、
    前記受付装置決定手順によって決定された受付装置と前記端末との間のトンネル通信に必要なパラメータを決定し、当該パラメータを設定するパラメータ設定手順と、
    前記パラメータ設定手順によって決定されたパラメータを前記受付装置に送信する第一のパラメータ送信手順と、
    前記パラメータ設定手順によって決定されたパラメータを前記第一のセッション生成手順によって生成されたセッションを用いて前記端末に送信する第二のパラメータ送信手順と、
    前記端末または前記受付装置から送信されたトンネル通信のパケットを受信すると、当該パケットを転送する転送手順と、
    を制御装置に実行させることを特徴とする制御プログラム。
JP2008175735A 2008-07-04 2008-07-04 トンネル通信システムおよび制御装置 Expired - Fee Related JP4789980B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008175735A JP4789980B2 (ja) 2008-07-04 2008-07-04 トンネル通信システムおよび制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008175735A JP4789980B2 (ja) 2008-07-04 2008-07-04 トンネル通信システムおよび制御装置

Publications (2)

Publication Number Publication Date
JP2010016685A JP2010016685A (ja) 2010-01-21
JP4789980B2 true JP4789980B2 (ja) 2011-10-12

Family

ID=41702347

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008175735A Expired - Fee Related JP4789980B2 (ja) 2008-07-04 2008-07-04 トンネル通信システムおよび制御装置

Country Status (1)

Country Link
JP (1) JP4789980B2 (ja)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3701206B2 (ja) * 2001-02-06 2005-09-28 日本電信電話株式会社 イントラネットリモートアクセス方法並びにイントラネットリモートアクセス処理プログラム及び該処理プログラムを記録した記録媒体

Also Published As

Publication number Publication date
JP2010016685A (ja) 2010-01-21

Similar Documents

Publication Publication Date Title
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
EP1774438B1 (en) System and method for establishing a virtual private network
US8010793B2 (en) Data communication method and system
US8205074B2 (en) Data communication method and data communication system
JP4489008B2 (ja) 通信装置、通信方法および通信プログラム
JP4237754B2 (ja) パーソナルリモートファイヤウォール
CN102377629B (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
US20070255784A1 (en) Communication System for Use in Communication Between Communication Equipment by Using Ip Protocol
JP4260659B2 (ja) パケットのnat透過機能を有する端末装置及びそのプログラム
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
CN102932359B (zh) 流媒体服务请求方法、装置和系统
JP4372075B2 (ja) 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法
JP2010154097A (ja) 通信制御装置、通信制御方法および通信制御プログラム
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP3714850B2 (ja) ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム
JP4789980B2 (ja) トンネル通信システムおよび制御装置
JP3935823B2 (ja) Httpセッション・トンネリング・システム、その方法、及びそのプログラム
JP2006352710A (ja) パケット中継装置及びプログラム
JP4401302B2 (ja) 通信管理システム、通信管理方法、及び通信管理プログラム
JP3999238B2 (ja) アドレス変換方法及びその装置
JP2008017055A (ja) ゲートウェイサーバ
US11916889B2 (en) Computer network for secure IP to non-IP communication and backend device, gateway, frontend device therefore and procedure for operation thereof
JP4551381B2 (ja) データ通信方法およびシステム
JP7203297B2 (ja) エンドツーエンド暗号化通信システム
JP3914959B2 (ja) データ通信方法およびシステム

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110624

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110712

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110719

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140729

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4789980

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees