JP5736654B2 - Relay device - Google Patents

Relay device Download PDF

Info

Publication number
JP5736654B2
JP5736654B2 JP2010053511A JP2010053511A JP5736654B2 JP 5736654 B2 JP5736654 B2 JP 5736654B2 JP 2010053511 A JP2010053511 A JP 2010053511A JP 2010053511 A JP2010053511 A JP 2010053511A JP 5736654 B2 JP5736654 B2 JP 5736654B2
Authority
JP
Japan
Prior art keywords
communication
message
server device
transmission
operation terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010053511A
Other languages
Japanese (ja)
Other versions
JP2011186936A (en
Inventor
剛 ▲高▼澤
剛 ▲高▼澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yamaha Corp
Original Assignee
Yamaha Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yamaha Corp filed Critical Yamaha Corp
Priority to JP2010053511A priority Critical patent/JP5736654B2/en
Publication of JP2011186936A publication Critical patent/JP2011186936A/en
Application granted granted Critical
Publication of JP5736654B2 publication Critical patent/JP5736654B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信網を介して提供される通信サービスの利用を支援する技術に関し、特に、利用開始に先立って何らかの認証を受けることを要する通信サービスの利用を支援する技術に関する。   The present invention relates to a technology for supporting the use of a communication service provided via a communication network, and more particularly to a technology for supporting the use of a communication service that requires some kind of authentication prior to the start of use.

近年では、書籍等の通信販売サービスや、動画或いは音楽の配信サービスなどの様々な種類の通信サービスをインターネットを介して利用することができるようになっている。この種の通信サービスのなかには、その利用開始に先立って、ユーザ認証を受けることを要するものがある。ここで、ユーザ認証とは、通信サービスの提供元がユーザID(或いは電子メールアドレス)やパスワードなどの認証情報をユーザから受け取り、その通信サービスの利用を許可されたユーザ(以下、登録ユーザ)であるか否かを判別することである。通信サービスの提供開始に先立ってユーザ認証を行っておくことにより、登録ユーザに対してのみその通信サービスを利用させることが可能になる。また、なりすましなどの不正を防止し、セキュリティを強化する目的で、認証情報の他に回線情報などの付加情報の提示を要求する通信サービスもある(非特許文献1参照)。ここで、回線情報とは、サービス提供者によって運用管理されるサーバ装置とユーザの使用する操作端末との間のデータ通信を仲介する通信網(回線)の種類や、そのユーザとその通信網を運用する通信事業者との間の利用契約の内容を示す情報のことをいう。   In recent years, various types of communication services such as mail order services such as books and moving image or music distribution services can be used via the Internet. Some types of communication services require user authentication prior to the start of use. Here, user authentication refers to a user (hereinafter referred to as a registered user) who has received authentication information such as a user ID (or e-mail address) or password from a user and is permitted to use the communication service. It is to determine whether or not there is. By performing user authentication prior to the start of provision of a communication service, it becomes possible for only registered users to use the communication service. There is also a communication service that requires the presentation of additional information such as line information in addition to authentication information for the purpose of preventing fraud such as impersonation and enhancing security (see Non-Patent Document 1). Here, the line information refers to the type of communication network (line) that mediates data communication between the server device operated and managed by the service provider and the operation terminal used by the user, and the user and the communication network. This refers to information indicating the contents of the usage contract with the operating carrier.

図6は、認証情報の他に回線情報の提示を要求する通信サービスを利用する際に、ユーザの利用する操作端末、その通信サービスを提供するサーバ装置、および回線情報の提供を行う回線情報提供装置の間で送受信される通信メッセージのシーケンスの一例を示す図である。ブラウザソフトウェアに対するURI(Uniform Resource Identifier)やIP(Internet Protocol)アドレスの入力によって上記サーバ装置をアクセス先として指示された操作端末は、通信サービスの利用開始を要求する旨の通信メッセージ(以下、接続要求メッセージ)を所定の通信プロトコル(例えば、HTTP(HyperText Transfer Protocol))にしたがって上記サーバ装置へ送信する。上記サーバ装置は、この接続要求メッセージを受信すると、認証情報の送信を要求する旨の通信メッセージ(以下、認証情報送信要求メッセージ)を返信する。この認証情報送信要求メッセージのメッセージボディ部には、認証情報の入力および送信操作の実行をユーザに促す認証情報入力画面(図7(A)参照)をブラウザソフトウェアに表示させるためのHTML(HyperText Markup Language)データが書き込まれている。   FIG. 6 shows an operation terminal used by a user, a server device that provides the communication service, and line information provision for providing line information when using a communication service that requests presentation of line information in addition to authentication information. It is a figure which shows an example of the sequence of the communication message transmitted / received between apparatuses. A communication message (hereinafter referred to as a connection request) indicating that the operation terminal instructed to use the server device as an access destination by inputting a URI (Uniform Resource Identifier) or IP (Internet Protocol) address to the browser software requests to start using the communication service. Message) according to a predetermined communication protocol (for example, HTTP (HyperText Transfer Protocol)). When receiving the connection request message, the server device returns a communication message requesting transmission of authentication information (hereinafter referred to as an authentication information transmission request message). In the message body portion of the authentication information transmission request message, HTML (HyperText Markup) for displaying an authentication information input screen (see FIG. 7A) prompting the user to input authentication information and execute a transmission operation on the browser software. Language) data is written.

操作端末は、上記認証情報送信要求メッセージを受信すると、そのメッセージボディ部に書き込まれているHTMLデータにしたがって認証情報入力画面を表示部に表示させる。この認証情報入力画面を視認したユーザは、キーボードやマウス等を操作してユーザID(図7(A)では、「UID」と表記)/パスワード(図7(A)では、「PWD」と表記)などの認証情報を入力し、送信ボタンを押下する。すると、操作端末は、認証情報入力画面を介して入力された認証情報をメッセージボディ部に書き込んだ通信メッセージ(以下、認証情報送信メッセージ)をサーバ装置へ送信する。サーバ装置は、このようにして送信されてくる認証情報を用いてユーザ認証を行い、登録ユーザであると判別した場合には、回線情報の送信を要求する旨の通信メッセージ(以下、回線情報送信要求メッセージ)を回線情報提供装置へ送信する。   When receiving the authentication information transmission request message, the operating terminal displays an authentication information input screen on the display unit according to the HTML data written in the message body portion. A user who visually recognizes the authentication information input screen operates a keyboard, a mouse, or the like to display a user ID (indicated as “UID” in FIG. 7A) / password (indicated as “PWD” in FIG. 7A). ) Etc. and press the send button. Then, the operation terminal transmits a communication message (hereinafter referred to as an authentication information transmission message) in which the authentication information input via the authentication information input screen is written in the message body part to the server device. The server device performs user authentication using the authentication information transmitted in this way, and if it is determined that the user is a registered user, a communication message (hereinafter referred to as line information transmission) requesting transmission of line information. Request message) to the line information providing apparatus.

回線情報提供装置は、上記回線情報送信要求メッセージを受信すると、回線情報の提供の可否を問合せる旨の通信メッセージ(以下、提供可否問合せメッセージ)を上記操作端末へ送信する。この提供可否問合せメッセージのメッセージボディ部には、回線情報の提供の可否をユーザに指示させるための回線情報提供可否問合せ画面(図7(B)参照)をブラウザソフトウェアに表示させるためのHTMLデータが書き込まれている。操作端末は、上記提供可否問合せメッセージを受信すると、そのメッセージボディ部に書き込まれているHTMLデータにしたがって回線情報提供可否問合せ画面を表示部に表示させる。この画面を視認したユーザがキーボードやマウス等を操作してOKボタンを押下すると、操作端末は、回線情報の提供を許可する旨の通信メッセージ(以下、提供許可通知メッセージ)を回線情報提供装置へ送信する。この提供許可通知メッセージを受信した回線情報提供装置は、該当する回線情報(すなわち、上記操作端末と上記サーバ装置との間のデータ通信を仲介する通信網の種類や上記操作端末のユーザとの利用契約の内容を示す情報)をメッセージボディ部に書き込んだ回線情報送信メッセージを上記サーバ装置へ送信する。   When the line information providing apparatus receives the line information transmission request message, the line information providing apparatus transmits a communication message for inquiring whether or not to provide line information (hereinafter, a provision availability inquiry message) to the operation terminal. In the message body portion of the provision availability inquiry message, HTML data for displaying on the browser software a line information provision availability inquiry screen (see FIG. 7B) for instructing the user whether to provide line information is displayed. Has been written. When the operation terminal receives the provision availability inquiry message, the operation terminal displays a line information provision availability inquiry screen on the display section in accordance with the HTML data written in the message body section. When the user who has viewed this screen operates the keyboard, mouse, etc. and presses the OK button, the operation terminal sends a communication message (hereinafter referred to as provision permission notification message) to the line information providing apparatus to permit provision of the line information. Send. The line information providing apparatus that has received the provision permission notification message sends the corresponding line information (that is, the type of communication network that mediates data communication between the operation terminal and the server apparatus and the use of the operation terminal by the user). A line information transmission message in which information indicating the contents of the contract is written in the message body portion is transmitted to the server device.

サーバ装置は、このようにして送信されてくる回線情報を受信すると、通信サービスの利用開始を許可する旨の通信メッセージ(以下、接続許可応答メッセージ)を操作端末に返信する。この接続許可応答メッセージのメッセージボディ部には、通信サービスの提供に供されるサービス提供画面(図7(C)参照)をブラウザソフトウェアに表示させるためのHTMLデータが書き込まれている。操作端末は、上記接続許可応答メッセージを受信すると、そのメッセージボディ部に書き込まれているHTMLデータにしたがってサービス提供画面を表示部に表示させる。このサービス提供画面の閲覧を通じて、上記操作端末のユーザは上記サーバ装置により提供される通信サービスを利用することができるのである。   When the server apparatus receives the line information transmitted in this way, it returns a communication message (hereinafter referred to as a connection permission response message) to permit the start of use of the communication service to the operation terminal. In the message body part of the connection permission response message, HTML data for displaying a service providing screen (see FIG. 7C) used for providing the communication service on the browser software is written. When the operation terminal receives the connection permission response message, the operation terminal displays a service providing screen on the display unit according to the HTML data written in the message body portion. Through browsing of the service providing screen, the user of the operation terminal can use the communication service provided by the server device.

東日本電信電話株式会社、News Release、“フレッツ・キャストに対応した「回線情報通知機能」の提供開始について”、平成21年9月5日East Nippon Telegraph and Telephone Corporation, News Release, “Starting Provision of“ Line Information Notification Function ”for FLET'S Cast”, September 5, 2009

しかし、ユーザ認証を受ける度に、その都度、認証情報の入力および送信のための操作を行うことは甚だ不便である。もっとも、回線情報のみを用いて通信サービスの要求元の認証を行う態様も考えられるが、このような態様であっても、回線情報の提供を許可する操作を行わなければならない。つまり、従来技術では、通信サービスの利用開始に先立って何らかの認証(ユーザ認証と回線情報の提示の少なくとも一方)を受けること要する通信サービスの利用を所望するユーザは、その認証のための操作を少なくとも1回は行わなければならないのである。
本発明は上記課題に鑑みて為されたものであり、利用開始に先立って認証を受けること要する通信サービスを、認証のための操作を一切行うことなく、利用することができるようにする技術を提供することを目的とする。 However, it is extremely inconvenient to perform operations for inputting and transmitting authentication information each time user authentication is performed. Of course, an aspect of performing authentication of a communication service requester using only line information is also conceivable, but even in such an aspect, an operation for permitting provision of line information must be performed. In other words, in the prior art, a user who wants to use a communication service that requires some kind of authentication (at least one of user authentication and line information presentation) prior to the start of using the communication service performs at least an operation for the authentication. It must be done once.
The present invention has been made in view of the above-described problems, and provides a technology that allows a communication service that requires authentication prior to the start of use to be used without performing any authentication operation. The purpose is to provide.

上記課題を解決するために本発明は、通信サービスを提供するサーバ装置と操作端末との間で送受信される通信メッセージの中継を行う中継装置において、前記サーバ装置が提供する通信サービスの利用を許可された者であることを示す認証情報が予め書き込まれた記憶手段と、前記操作端末からの接続要求に応じて前記サーバ装置から送信されてくる通信メッセージであって、認証情報の送信を要求する旨の認証情報送信要求メッセージを受信した場合に、当該認証情報送信要求メッセージを前記操作端末へ転送することに代えて、前記記憶手段に記憶されている認証情報を前記サーバ装置へ送信する処理を実行する制御手段とを有することを特徴とする中継装置、を提供する。   In order to solve the above problems, the present invention permits use of a communication service provided by the server device in a relay device that relays communication messages transmitted and received between the server device providing the communication service and the operation terminal. A storage means in which authentication information indicating that the user has been written is written in advance, and a communication message transmitted from the server device in response to a connection request from the operation terminal, requesting transmission of the authentication information A process of transmitting the authentication information stored in the storage means to the server device instead of transferring the authentication information transmission request message to the operation terminal when the authentication information transmission request message is received. There is provided a relay device characterized by having control means for executing.

このような中継装置によれば、通信サービスの利用開始を要求した操作端末(すなわち、接続要求メッセージの送信元の操作端末)に代わって認証情報送信要求メッセージに対して応答する処理(すなわち、その通信サービスの利用を許可された者であることを示す認証情報を送信する処理)が当該中継装置によって行われる。このため、上記操作端末の利用者は、認証情報の入力やその送信を指示する操作を一切行うことなく、利用開始に先立ってユーザ認証を受けること要する通信サービスを利用することができるようになる。なお、本発明の別の態様としては、上記制御手段の実行する処理をコンピュータに実行させるプログラム等を提供する態様も考えられる。   According to such a relay device, a process of responding to an authentication information transmission request message on behalf of an operation terminal (that is, an operation terminal that is a transmission source of a connection request message) that has requested start of use of a communication service (that is, its Processing for transmitting authentication information indicating that the person is permitted to use the communication service) is performed by the relay device. For this reason, the user of the operation terminal can use a communication service that requires user authentication prior to the start of use without performing any operation for inputting authentication information or transmitting the authentication information. . As another aspect of the present invention, an aspect of providing a program or the like that causes a computer to execute the process executed by the control means is also conceivable.

より好ましい態様においては、上記中継装置の制御手段は、前記操作端末と前記サーバ装置との間のデータ通信を仲介する通信網についての回線情報を記憶した回線情報提供装置から前記操作端末へ送信された通信メッセージであって、前記サーバ装置への前記回線情報の送信の可否を問合せる旨の提供可否問合せメッセージを受信した場合に、当該提供可否問合せメッセージを前記操作端末へ転送することに代えて、前記回線情報の送信を許可する旨の提供許可通知メッセージを前記回線情報提供装置へ返信する処理を実行することを特徴とする。このような態様によれば、認証情報に加えて回線情報の送信を要求される通信サービスであっても、認証情報の入力は勿論、その回線情報をサーバ装置へ送信するための操作(例えば、図7(B)の回線情報提供可否問合せ画面にて送信ボタンを押下する操作)をユーザに行わせることなく、その通信サービスを利用させることが可能になる。   In a more preferred aspect, the control means of the relay device is transmitted to the operation terminal from a line information providing device storing line information about a communication network that mediates data communication between the operation terminal and the server device. Instead of forwarding the provision availability inquiry message to the operation terminal when receiving a provision availability inquiry message for inquiring whether the transmission of the line information to the server device is possible. A process of returning a provision permission notification message for permitting transmission of the line information to the line information providing apparatus is executed. According to such an aspect, even for a communication service that requires transmission of line information in addition to authentication information, an operation for transmitting the line information to the server device as well as input of the authentication information (for example, The communication service can be used without causing the user to perform the operation of pressing the transmission button on the line information provision availability inquiry screen in FIG. 7B.

また別の好ましい態様においては、上記中継装置の制御手段は、前記サーバ装置へ宛てて送信された通信メッセージであって、データ通信の開始を要求する旨の接続要求メッセージを受信したことを契機として、当該接続要求メッセージの送信元に対して当該中継装置を介したデータ通信の実行が許可されているか否かを判定し、許可されていると判定した場合にのみ、当該接続要求メッセージを前記サーバ装置へ転送することを特徴とする。このような態様によれば、上記中継装置を介してデータ通信を行うことを許可された操作端末についてのみ、上記サーバ装置とのデータ通信を行わせることが可能になる。   In another preferred aspect, the control means of the relay device receives a connection request message for requesting the start of data communication, which is a communication message transmitted to the server device. It is determined whether or not the transmission source of the connection request message is permitted to execute data communication via the relay device, and only when it is determined that the connection request message is permitted, the connection request message is transmitted to the server. It transfers to an apparatus, It is characterized by the above-mentioned. According to such an aspect, it becomes possible to perform data communication with the server device only for the operation terminal that is permitted to perform data communication via the relay device.

また、さらに好ましい態様においては、上記中継装置は、通信メッセージの中継を行うことにより当該中継装置にかかる処理負荷、または、通信メッセージの送受信に利用される通信路に掛かっている処理負荷を計測する計測手段を有し、上記中継装置の制御手段は、前記計測手段により計測される処理負荷に応じて、当該中継装置を介して前記サーバ装置とデータ通信を行うことを許可する操作端末の台数を調整することを特徴とする。一般に、上記サーバ装置と通信する操作端末の数が多いほど、上記中継装置や上記通信路にかかる処理負荷は高くなるため、このような態様によれば、上記中継装置或いは上記通信路にかかる処理負荷が所定の閾値以下になるように、上記中継装置を介してデータ通信を行うことを許可する操作端末の数を調整(処理負荷が高いほど、当該端末数を少なくするなど)して上記中継装置或いは通信路に過剰な処理負荷がかからないようにすることで、上記サーバ装置により提供される通信サービスの利用に支障を来たさないようにすることが可能になる。   In a further preferred aspect, the relay device measures a processing load applied to the relay device or a processing load applied to a communication path used for transmission / reception of the communication message by relaying the communication message. The control unit of the relay device has a measurement unit, and the number of operation terminals that permit data communication with the server device via the relay device according to the processing load measured by the measurement unit. It is characterized by adjusting. In general, as the number of operation terminals that communicate with the server device increases, the processing load on the relay device or the communication path increases. Therefore, according to such an aspect, the processing on the relay device or the communication path Adjust the number of operation terminals that are allowed to perform data communication via the relay device so that the load is less than or equal to a predetermined threshold (such as decreasing the number of terminals as the processing load increases). By preventing an excessive processing load from being applied to the apparatus or the communication path, it becomes possible to prevent the use of the communication service provided by the server apparatus from being hindered.

本発明の一実施形態の中継装置30を含む通信システム1の一例を示す図である。It is a figure which shows an example of the communication system 1 containing the relay apparatus 30 of one Embodiment of this invention. 同中継装置30の構成例を示すブロック図である。3 is a block diagram illustrating a configuration example of the relay device 30. FIG. 同中継装置30の制御部310が実行する接続要求メッセージ転送制御処理および情報代理送信処理の流れを示すフローチャートである。6 is a flowchart showing a flow of connection request message transfer control processing and information proxy transmission processing executed by the control unit 310 of the relay device 30. 同通信システム1における通信シーケンスの一例を示す図である。3 is a diagram showing an example of a communication sequence in the communication system 1. FIG. 変形例(3)の通信シーケンスの一例を示す図である。It is a figure which shows an example of the communication sequence of a modification (3). 従来の認証処理における通信シーケンスの一例を示す図である。It is a figure which shows an example of the communication sequence in the conventional authentication process. 同認証処理において操作端末の表示部に表示される画面の遷移の一例を示す図である。It is a figure which shows an example of the transition of the screen displayed on the display part of an operating terminal in the authentication process.

以下、図面を参照しつつ本発明の実施形態について説明する。
(A:構成)
図1は、本発明の一実施形態である中継装置30を含む通信システム1の構成例を示す図である。図1に示すように、通信システム1は、例えば企業の拠点に敷設されたLAN(Local Area Network)である拠点内LAN20を、中継装置30を介して一般公衆網10に接続して構成されている。一般公衆網10は、例えば通信事業者等により運用管理される光通信網であり、その通信事業者との間で利用契約を結んだ契約者(本実施形態では、上記企業)に対するパケット通信サービスの提供に用いられる。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(A: Configuration)
FIG. 1 is a diagram illustrating a configuration example of a communication system 1 including a relay device 30 according to an embodiment of the present invention. As shown in FIG. 1, the communication system 1 is configured by connecting a local LAN 20 which is a LAN (Local Area Network) laid at a corporate base, for example, to a general public network 10 via a relay device 30. Yes. The general public network 10 is, for example, an optical communication network that is operated and managed by a communication carrier or the like, and a packet communication service for a contractor (in the present embodiment, the above-mentioned company) that has a use contract with the communication carrier. Used to provide

図1に示すように、一般公衆網10には、各種通信サービスを提供するためのサーバ装置40と、各契約者との利用契約の内容等を表す回線情報を記憶した回線情報提供装置60が接続されている。一方、拠点内LAN20にはユーザ(例えば、上記企業の従業者)の使用する操作端末50が接続される。この操作端末50は、ブラウザソフトウェアが予めインストールされたパーソナルコンピュータである。操作端末50は、ユーザの指示に応じてサーバ装置40と所定の通信プロトコルにしたがったデータ通信を行い、そのサーバ装置40により提供される通信サービスをユーザに利用させるためのものである。この通信プロトコルとしてはプロトコル階層毎に種々のものを用いることができる。例えば、本実施形態では、ネットワーク層の通信プロトコルとしてIPが、トランスポート層の通信プロトコルとしてTCP(Transport Control Protocol)が、アプリケーション層の通信プロトコルとしてHTTPが用いられている。なお、図1では、1台の操作端末50が拠点内LAN20に接続されている場合について例示されているが、実際には多数の操作端末が拠点内LAN20に接続されている。同様に、図1では1台のサーバ装置40が一般公衆網10に接続されている場合について例示されているが複数のサーバ装置が一般公衆網10に接続されていても良い。   As shown in FIG. 1, the general public network 10 includes a server device 40 for providing various communication services, and a line information providing device 60 that stores line information representing the contents of a usage contract with each contractor. It is connected. On the other hand, an operating terminal 50 used by a user (for example, an employee of the company) is connected to the local LAN 20. The operation terminal 50 is a personal computer in which browser software is installed in advance. The operation terminal 50 performs data communication according to a predetermined communication protocol with the server device 40 in accordance with a user instruction, and allows the user to use a communication service provided by the server device 40. Various communication protocols can be used for each protocol layer. For example, in this embodiment, IP is used as a communication protocol for the network layer, TCP (Transport Control Protocol) is used as the communication protocol for the transport layer, and HTTP is used as the communication protocol for the application layer. Although FIG. 1 illustrates the case where one operation terminal 50 is connected to the local LAN 20, a large number of operation terminals are actually connected to the local LAN 20. Similarly, FIG. 1 illustrates the case where one server device 40 is connected to the general public network 10, but a plurality of server devices may be connected to the general public network 10.

中継装置30は、パケット中継機能とスクリプト実行機能とを備えた通信装置である。上記パケット中継機能によって、中継装置30は、拠点内LAN20に接続される通信装置(例えば、操作端末50)と、他の通信装置(例えば、一般公衆網10に接続されているサーバ装置40)との間で所定の通信プロトコルにしたがって送受信される通信メッセージの中継を行う。また、スクリプト実行機能とは、所定のスクリプト言語で記述されたスクリプトファイルの解釈および実行を行う機能である。本実施形態では、上記スクリプト言語としてLuaが採用されている。Luaは、perlなどの他のスクリプト言語に比較してスクリプト実行処理の処理負荷が低い(スクリプトの解釈および実行に要するメモリ量が少ないなど)といった特徴を有しており、電子機器への組み込みに好適だからである。このように本実施形態では、電子機器への組み込みに好適であるという観点からLuaを採用したが、Perlなど他のスクリプト言語を採用しても勿論良い。   The relay device 30 is a communication device having a packet relay function and a script execution function. With the packet relay function, the relay device 30 is connected to a communication device (for example, the operation terminal 50) connected to the local LAN 20 and another communication device (for example, the server device 40 connected to the general public network 10). Relays communication messages transmitted and received between them according to a predetermined communication protocol. The script execution function is a function for interpreting and executing a script file described in a predetermined script language. In this embodiment, Lua is adopted as the script language. Lua has a feature that the processing load of script execution processing is low compared to other script languages such as Perl (for example, the amount of memory required for script interpretation and execution is small), and is incorporated into an electronic device. This is because it is preferable. As described above, in this embodiment, Lua is adopted from the viewpoint that it is suitable for incorporation into an electronic device, but other script languages such as Perl may of course be adopted.

さて、図1のサーバ装置40により提供される通信サービスは、その利用開始に先立って認証情報と回線情報とを用いた認証を受けることを要する通信サービスである。しかし、本実施形態では、中継装置30に特徴的な処理を行わせることによって、操作端末50のユーザが上記通信サービスを利用する際には、認証を受けるための操作を一切行わなくても、その通信サービスを利用することができるようになっている。
以下、本実施形態の特徴である中継装置30を中心に説明する。 The communication service provided by the server device 40 in FIG. 1 is a communication service that requires authentication using authentication information and line information prior to the start of use. However, in the present embodiment, by causing the relay device 30 to perform characteristic processing, when the user of the operation terminal 50 uses the communication service, it is possible to perform authentication without any operation. The communication service can be used.
Hereinafter, the relay device 30 that is a feature of the present embodiment will be mainly described.

図2は中継装置30の構成例を示すブロック図である。
図2に示すように、中継装置30は、制御部310、第1通信インタフェース(以下、I/F)部320、第2通信I/F部330、外部機器I/F部340、記憶部350、およびこれら構成要素間のデータ授受を仲介するバス360を含んでいる。 FIG. 2 is a block diagram illustrating a configuration example of the relay device 30.
As illustrated in FIG. 2, the relay device 30 includes a control unit 310, a first communication interface (hereinafter referred to as I / F) unit 320, a second communication I / F unit 330, an external device I / F unit 340, and a storage unit 350. , And a bus 360 that mediates data exchange between these components.

制御部310は、例えばCPU(Central Processing Unit)である。この制御部310は、記憶部350(より正確には、不揮発性記憶部354)に記憶されているプログラム(ファームウェア)を実行することにより、中継装置30の各部の作動制御を中枢的に行う制御手段として機能する。制御部310がファームウェアにしたがって実行する処理の詳細については後に明らかにする。   The controller 310 is, for example, a CPU (Central Processing Unit). The control unit 310 is a control that centrally controls the operation of each unit of the relay device 30 by executing a program (firmware) stored in the storage unit 350 (more precisely, the nonvolatile storage unit 354). Functions as a means. Details of processing executed by the control unit 310 according to the firmware will be clarified later.

第1通信I/F部320と第2通信I/F部330は、共にNIC(Network Interface Card)であり、各々異なる通信網に接続されている。第1通信I/F部320は拠点内LAN20に接続されており、第2通信I/F部330は一般公衆網10に接続されている。第1通信I/F部320と第2通信I/F部330は、各々の接続先の通信網から受信したパケット(通信メッセージを予め定められたデータサイズ分ずつに分割し、その各々にIPヘッダを付与して得られるデータブロック)を制御部310へ引渡すとともに、制御部310から引渡されるパケットを各々の接続先の通信網へと送出する。   The first communication I / F unit 320 and the second communication I / F unit 330 are both NIC (Network Interface Card) and are connected to different communication networks. The first communication I / F unit 320 is connected to the local LAN 20, and the second communication I / F unit 330 is connected to the general public network 10. The first communication I / F unit 320 and the second communication I / F unit 330 divide a packet (communication message for each predetermined data size, received from each connection destination communication network, and The data block obtained by adding the header) is delivered to the control unit 310, and the packet delivered from the control unit 310 is sent to each communication network of the connection destination.

外部機器I/F部340は、外部記憶媒体(例えば、USBメモリ等)やシリアルコンソールなどの外部機器との間で所定のプロトコル(USBやRS−232C)にしたがってデータの授受を行うインタフェースの集合体である。例えば、外部機器としてUSBメモリを用いる場合には、USBインタフェースを外部機器I/F部340に含めておけば良く、外部機器としてシリアルコンソールを用いる場合には、RS−232Cインタフェースなどのシリアルインタフェースを外部機器I/F部340に含めておけば良い。この外部機器I/F部340は、ファームウェアの書き換えや各種データを中継装置30に記憶させる際に、新たなファームウェアや新たなデータを中継装置30に与えるためのインタフェースとして機能する。   The external device I / F unit 340 is a set of interfaces that exchange data with an external device such as an external storage medium (for example, a USB memory) or a serial console according to a predetermined protocol (USB or RS-232C). Is the body. For example, when a USB memory is used as an external device, a USB interface may be included in the external device I / F unit 340. When a serial console is used as an external device, a serial interface such as an RS-232C interface is used. It may be included in the external device I / F unit 340. The external device I / F unit 340 functions as an interface for providing new firmware and new data to the relay device 30 when rewriting firmware and storing various data in the relay device 30.

記憶部350は、揮発性記憶部352と不揮発性記憶部354を含んでいる。揮発性記憶部352は、例えばRAM(Random Access Memory)などの揮発性メモリであり、制御部310がファームウェアを実行する際にワークエリアとして利用される。一方、不揮発性記憶部354は、例えばEPROM(Erasable Programmable Read Only
Memory)などの不揮発性メモリである。この不揮発性記憶部354には、ファームウェアの他に、各種データが予め記憶されている。不揮発性記憶部354に格納されているデータの一例としては、情報代理送信スクリプト、セキュリティポリシデータベース、認証情報データベース、およびルーティングテーブル(図示略)が挙げられる。不揮発性記憶部354に記憶されているこれらデータのうち、ルーティングテーブルについては一般的なルータに記憶されているものと何ら変るところはないため、以下では、情報代理送信スクリプト、セキュリティポリシデータベース、および認証情報データベースを中心に説明する。 The storage unit 350 includes a volatile storage unit 352 and a nonvolatile storage unit 354. The volatile storage unit 352 is a volatile memory such as a RAM (Random Access Memory), for example, and is used as a work area when the control unit 310 executes firmware. On the other hand, the nonvolatile storage unit 354 is, for example, an EPROM (Erasable Programmable Read Only).
Memory). The nonvolatile storage unit 354 stores various types of data in addition to firmware. Examples of data stored in the nonvolatile storage unit 354 include an information proxy transmission script, a security policy database, an authentication information database, and a routing table (not shown). Of these data stored in the non-volatile storage unit 354, the routing table is not different from that stored in a general router. Therefore, in the following, an information proxy transmission script, a security policy database, and The explanation will focus on the authentication information database.

情報代理送信スクリプトは、図3(B)に示す情報代理送信処理を制御部310に実行させるためのコマンドをその実行順に上記所定のスクリプト言語(Lua)を用いて記述したテキストファイルである。制御部310は、情報代理送信スクリプトに書き込まれているコマンドの解釈および実行をスクリプト実行機能によって順次行い、図3(B)に示す情報代理送信処理を実行する。   The information proxy transmission script is a text file in which commands for causing the control unit 310 to execute the information proxy transmission process shown in FIG. 3B are described in the execution order using the predetermined script language (Lua). The control unit 310 sequentially interprets and executes the commands written in the information proxy transmission script by the script execution function, and executes the information proxy transmission processing shown in FIG.

セキュリティポリシデータベースには、拠点内LAN20に接続される通信装置のうち中継装置30を介してデータ通信を行うことを許可されている通信装置を示すデータが格納されている。このセキュリティポリシデータベースの格納内容は、接続要求メッセージの送信元に対して中継装置30を介したデータ通信の実行が許可されているか否かを制御部310に判定させる際に利用される。詳細については後述するが、制御部310は、第1通信I/F部320を介して受信した接続要求メッセージの送信元について当該中継装置30を介したデータ通信の実行を許可されていると判定した場合にのみ、その接続要求メッセージをその宛先へと転送する処理を実行する。以下では、中継装置30を介してデータ通信を行うことを許可されている通信装置のことを「セキュリティポリシを満たす通信装置」と呼ぶ。   The security policy database stores data indicating communication devices that are permitted to perform data communication via the relay device 30 among the communication devices connected to the local LAN 20. The stored contents of the security policy database are used when the control unit 310 determines whether the transmission source of the connection request message is permitted to execute data communication via the relay device 30. Although details will be described later, the control unit 310 determines that execution of data communication via the relay device 30 is permitted for the transmission source of the connection request message received via the first communication I / F unit 320. Only when the connection request is made, the process of transferring the connection request message to the destination is executed. Hereinafter, a communication device that is permitted to perform data communication via the relay device 30 is referred to as a “communication device that satisfies the security policy”.

ここで、セキュリティポリシを満たす通信装置を示すデータとしては種々のものが考えられる。例えば、通信装置に割り当てられている通信アドレス(MACアドレスやIPアドレス)を用いる態様や、セキュリティポリシを満たす通信装置にインストールされているべきソフトウェア(オペレーティングシステムやブラウザソフトウェア、ウィルスチェックソフトウェア)を示すデータを用いる態様が考えられる。例えば、MACアドレスを用いる態様であれば、拠点内LAN20が敷設されている企業に備品として登録されている通信装置のMACアドレスをセキュリティポリシデータベースに登録しておくのである。このような態様によれば、従業者が個人所有の通信装置を拠点内LAN20に接続し、中継装置30を介してデータ通信を行おうとしても、そのような通信装置から送信された接続要求メッセージがその宛先へ転送されることはなく、個人所有の通信装置を用いて外部とデータ通信を行うことが制限され、予期せぬ情報漏洩を防止することができる。   Here, various data can be considered as data indicating a communication device that satisfies the security policy. For example, data indicating a mode using a communication address (MAC address or IP address) assigned to a communication device, or software (operating system, browser software, virus check software) that should be installed in a communication device satisfying the security policy An embodiment using can be considered. For example, if the MAC address is used, the MAC address of the communication device registered as equipment in the company where the local LAN 20 is installed is registered in the security policy database. According to such an aspect, even if an employee connects a personally owned communication device to the local LAN 20 and tries to perform data communication via the relay device 30, a connection request message transmitted from such a communication device. Is not transferred to the destination, and data communication with the outside using a personally owned communication device is restricted, so that unexpected information leakage can be prevented.

一方、セキュリティポリシを満たす通信装置を示すデータとして、通信装置にインストールされているべきウィルスチェックソフトウェアを示すデータを用いる場合には、そのようなウィルスチェックソフトウェアがインストールされていない通信装置が中継装置30を介して外部とデータ通信を行うことを制限することができ、予期せぬコンピュータウィルスへの感染を防止することができる。なお、セキュリティポリシを満たすか否かを、通信装置にインストールされているウィルスチェックソフトウェアに基づいて判定する態様においては、どのようなウィルスチェックソフトウェアがインストールされているのかを接続要求メッセージの送信元の通信装置から中継装置30へ通知させる必要がある。このようなことは、接続要求メッセージの送信の際に当該データを付与して送信させることで実現しても良く、別個の通信で実現しても良い。以下、本実施形態では、セキュリティポリシを満たす通信装置を示すデータとしてMACアドレスを用いる態様について説明するが、ニーズに応じて適宜好適な態様を採用するようにすれば良い。   On the other hand, when data indicating virus check software that should be installed in the communication device is used as data indicating a communication device that satisfies the security policy, the communication device in which such virus check software is not installed is the relay device 30. It is possible to limit data communication with the outside via the Internet, and it is possible to prevent an unexpected infection with a computer virus. In the aspect of determining whether or not the security policy is satisfied based on the virus check software installed in the communication device, it is determined what virus check software is installed as the transmission source of the connection request message. It is necessary to notify the relay device 30 from the communication device. Such a thing may be implement | achieved by giving the said data and transmitting it at the time of transmission of a connection request message, and may be implement | achieved by separate communication. Hereinafter, in the present embodiment, a mode in which a MAC address is used as data indicating a communication device that satisfies a security policy will be described. However, a suitable mode may be adopted as appropriate according to needs.

認証情報データベースには、一般公衆網10を介して提供される通信サービスのうち、利用の際に認証を受けることを要するものについての認証情報がその通信サービスの提供に用いられるサーバ装置を示すデータ(例えば、当該サーバ装置のURIや通信アドレス)に対応付けて登録されている。本実施形態では、認証情報データベースへの認証情報の登録は前述したシリアルコンソールを介したコマンド入力等により中継装置30の運用管理者によって予め行われている。ここで、認証情報データベースへの認証情報の登録態様(認証情報とサーバ装置を示すデータとの対応付けの仕方)としては、種々のものが考えられる。第1の態様としては、上記サーバ装置を示すデータに対応付けて1つの認証情報を登録しておく態様が考えられ、第2の態様としては、上記サーバ装置を示すデータに対応付けてそのサーバ装置により提供される通信サービスの利用を許可されたユーザの操作端末を示すデータとそのユーザ固有の認証情報とを登録しておく態様である。第1の態様によれば、中継装置30を介して通信サービスを利用する複数のユーザによって1つの認証情報(この場合、各ユーザについての認証情報というよりは、上記企業或いは中継装置30についての認証情報という意味になる)が共有されることになり、認証情報の管理が容易になる、といった利点がある。一方、第2の態様によれば、サーバ装置毎に各ユーザ固有の認証情報が登録されることになり、より決め細やかな認証情報管理を行うことが可能になる。以下、本実施形態では、認証情報の管理が容易になるという利点を重視して、第1の態様を採用する場合について説明するが、ニーズに応じて適宜好適な態様を採用するようにすれば良い。   In the authentication information database, authentication information about communication services provided via the general public network 10 that require authentication upon use is data indicating a server device used for providing the communication services. (For example, a URI or a communication address of the server device). In the present embodiment, registration of authentication information in the authentication information database is performed in advance by the operation manager of the relay device 30 by command input via the serial console described above. Here, various ways of registering authentication information in the authentication information database (how to associate authentication information with data indicating a server device) are conceivable. As a first mode, a mode in which one piece of authentication information is registered in association with data indicating the server device is conceivable. As a second mode, the server is set in association with data indicating the server device. This is an aspect in which data indicating an operation terminal of a user permitted to use a communication service provided by the apparatus and authentication information unique to the user are registered. According to the first aspect, a plurality of users who use the communication service via the relay device 30 have a single authentication information (in this case, the authentication of the company or the relay device 30 rather than the authentication information for each user). (Meaning information) is shared, and authentication information can be easily managed. On the other hand, according to the second aspect, authentication information unique to each user is registered for each server device, and authentication information management can be performed more precisely. Hereinafter, in the present embodiment, the case where the first aspect is adopted will be described with emphasis on the advantage that management of authentication information becomes easy. However, if a suitable aspect is appropriately adopted according to needs, good.

不揮発性記憶部354に格納されているファームウェアは、図2に示すように、前述したパケット中継機能およびスクリプト実行機能を制御部310に実現させるとともに、接続要求メッセージ転送制御処理を制御部310に実行させるためのプログラムである。制御部310は、中継装置30の電源(図示略)が投入されると、上記ファームウェアを不揮発性記憶部354から揮発性記憶部352に読み出し、その実行を開始する。制御部310がファームウェアにしたがって実現するパケット中継機能およびスクリプト実行機能については一般的な通信装置におけるものと何ら変るところはないため、詳細な説明を省略する。   As shown in FIG. 2, the firmware stored in the nonvolatile storage unit 354 causes the control unit 310 to realize the packet relay function and the script execution function described above, and executes the connection request message transfer control process to the control unit 310. It is a program to make it. When the power supply (not shown) of the relay device 30 is turned on, the control unit 310 reads the firmware from the nonvolatile storage unit 354 to the volatile storage unit 352 and starts executing the firmware. Since the packet relay function and the script execution function realized by the control unit 310 according to the firmware are not different from those in a general communication device, detailed description thereof is omitted.

図3(A)は、接続要求メッセージ転送制御処理の流れを示すフローチャートである。図3(A)に示すように、接続要求メッセージ転送制御処理は、接続要求メッセージの転送制御を行うとともに、予め定められた条件が満たされたときに、情報代理送信スクリプトの実行を開始する処理である。詳細については後述するが、本実施形態では、セキュリティポリシを満たす操作端末から送信された接続要求メッセージであって、かつ、認証を受けることを要する通信サービスの提供を行うサーバ装置へ宛てて送信された接続要求メッセージを受信したことを契機として、情報代理送信スクリプトの実行が開始される。   FIG. 3A is a flowchart showing the flow of the connection request message transfer control process. As shown in FIG. 3 (A), the connection request message transfer control process performs transfer control of the connection request message and starts execution of the information proxy transmission script when a predetermined condition is satisfied. It is. Although details will be described later, in this embodiment, the connection request message is transmitted from an operation terminal that satisfies the security policy, and is transmitted to a server device that provides a communication service that requires authentication. Upon receipt of the received connection request message, execution of the information proxy transmission script is started.

図3(B)は情報代理送信スクリプトにしたがって制御部310が実行する情報代理送信処理の流れを示すフローチャートである。この情報代理送信処理は、通信サービスの提供元のサーバ装置から返信されてくる認証情報送信要求メッセージを受信した場合には、その認証情報送信要求メッセージをその宛先に転送することに代えて、認証情報を上記サーバ装置に送信し、回線情報提供装置から送信されてくる提供可否問合せメッセージを受信した場合には、その宛先への転送に代えて、提供許可通知メッセージを上記回線情報提供装置に送信する処理である。
以上が中継装置30の構成である。 FIG. 3B is a flowchart showing a flow of information proxy transmission processing executed by the control unit 310 according to the information proxy transmission script. In this information proxy transmission process, when an authentication information transmission request message returned from the server device that provides the communication service is received, instead of transferring the authentication information transmission request message to the destination, authentication When information is transmitted to the server device and a provision availability inquiry message transmitted from the line information providing device is received, a provision permission notification message is transmitted to the line information providing device instead of forwarding to the destination. It is processing to do.
The above is the configuration of the relay device 30.

(B:動作)
次いで、操作端末50のユーザが、サーバ装置40により提供される通信サービスを利用する場合を例にとって、中継装置30の動作を説明する。なお、以下に説明する動作例では、操作端末50はセキュリティポリシを満たす通信装置(すなわち、操作端末50の通信アドレス(MACアドレス)は中継装置30のセキュリティポリシデータベースに登録されている)であり、中継装置30の認証情報データベースには、サーバ装置40の通信アドレスに対応付けてそのサーバ装置40により提供される通信サービスを利用する際に必要となる認証情報が1つだけ予め登録されている。 (B: Operation)
Next, the operation of the relay device 30 will be described using a case where the user of the operation terminal 50 uses a communication service provided by the server device 40 as an example. In the operation example described below, the operation terminal 50 is a communication device that satisfies the security policy (that is, the communication address (MAC address) of the operation terminal 50 is registered in the security policy database of the relay device 30). In the authentication information database of the relay device 30, only one piece of authentication information necessary for using the communication service provided by the server device 40 in association with the communication address of the server device 40 is registered in advance.

操作端末50のユーザは、サーバ装置40によって提供される通信サービスの利用を所望する場合、従来と同様に操作端末50にブラウザソフトウェアを実行させ、アクセス先としてサーバ装置40を指示する。このような指示が与えられた操作端末50の制御部(図示略)は、サーバ装置40へ宛てて接続要求メッセージを送信する(図4参照)。このようにして操作端末50から送信される接続要求メッセージは拠点内LAN20を介して中継装置30に到達する。   When a user of the operation terminal 50 desires to use a communication service provided by the server device 40, the user of the operation terminal 50 causes the operation terminal 50 to execute browser software as in the past, and instructs the server device 40 as an access destination. The control unit (not shown) of the operation terminal 50 given such an instruction transmits a connection request message to the server device 40 (see FIG. 4). In this way, the connection request message transmitted from the operation terminal 50 reaches the relay device 30 via the local LAN 20.

中継装置30の制御部310は、第1通信I/F部320を介して上記接続要求メッセージを受信すると、前述した接続要求メッセージ転送制御処理を実行する。図3(A)に示すように、制御部310は、まず、受信した接続要求メッセージの送信元がセキュリティポリシを満たすか否かを判定する(ステップSA110)。具体的には、制御部310は、上記接続要求メッセージの送信元のMACアドレスと一致するMACアドレスがセキュリティポリシデータベースに格納されているか否かを判定し、該当するMACアドレスが格納されている場合には、上記送信元はセキュリティポリシを満たすと判定する。そして、ステップSA110の判定結果が“No”である場合には、制御部310は、データ通信の仲介を拒否する旨の接続拒否応答メッセージを上記接続要求メッセージの送信元へ返信(ステップSA120)し、本接続要求メッセージ転送制御処理を終了する。この場合、中継装置30が受信した接続要求メッセージはその宛先へ転送されることなく破棄され、当該接続要求メッセージの送信元とその宛先との間で中継装置30を介したデータ通信が行われることはない。   When the control unit 310 of the relay device 30 receives the connection request message via the first communication I / F unit 320, the control unit 310 executes the connection request message transfer control process described above. As shown in FIG. 3A, the control unit 310 first determines whether or not the transmission source of the received connection request message satisfies the security policy (step SA110). Specifically, the control unit 310 determines whether a MAC address that matches the MAC address of the transmission source of the connection request message is stored in the security policy database, and the corresponding MAC address is stored. The transmission source determines that the security policy is satisfied. If the determination result in step SA110 is “No”, control unit 310 returns a connection rejection response message to the effect that data communication mediation is rejected to the transmission source of the connection request message (step SA120). Then, the connection request message transfer control process ends. In this case, the connection request message received by the relay device 30 is discarded without being transferred to the destination, and data communication via the relay device 30 is performed between the transmission source of the connection request message and the destination. There is no.

これに対して、ステップSA110の判定結果が“Yes”である場合には、制御部310は、ステップSA130以降の処理を実行する。前述したように、本動作例では、接続要求メッセージの送信元である操作端末50のMACアドレスは中継装置30のセキュリティポリシデータベースに登録されているため、ステップSA110の判定結果は“Yes”になり、制御部310はステップSA130以降の処理を実行する。   On the other hand, when the determination result in step SA110 is “Yes”, the control unit 310 executes the processes after step SA130. As described above, in this operation example, since the MAC address of the operation terminal 50 that is the transmission source of the connection request message is registered in the security policy database of the relay device 30, the determination result in step SA110 is “Yes”. The control unit 310 executes the processes after step SA130.

ステップSA130の処理は、上記接続要求メッセージの送信先が、認証を受けることを要する通信サービスを提供するサーバ装置であるか否かを判定する処理である。より詳細に説明すると、このステップSA130においては、制御部310は、上記接続要求メッセージの送信先アドレスに一致する通信アドレスが認証情報データベースに格納されているか否かを判定し、該当する通信アドレスが認証情報データベースに格納されている場合にその判定結果は“Yes”となる。ステップSA130の判定結果が“Yes”である場合には、制御部310は、前述したスクリプト実行機能により情報代理送信スクリプトの実行を開始(ステップSA140)し、さらに、上記接続要求メッセージをその宛先へと転送する(ステップSA150)。逆に、ステップSA130の判定結果が“No”である場合には、制御部310は、上記ステップSA150の処理のみを実行する。   The process of step SA130 is a process of determining whether or not the destination of the connection request message is a server device that provides a communication service that requires authentication. More specifically, in step SA130, control unit 310 determines whether or not a communication address that matches the transmission destination address of the connection request message is stored in the authentication information database, and the corresponding communication address is determined. If it is stored in the authentication information database, the determination result is “Yes”. If the determination result in step SA130 is “Yes”, the control unit 310 starts executing the information proxy transmission script by the script execution function described above (step SA140), and further sends the connection request message to its destination. (Step SA150). Conversely, if the determination result in step SA130 is “No”, the control unit 310 executes only the process in step SA150.

前述したように、本動作例にて操作端末50から送信されてくる接続要求メッセージの宛先はサーバ装置40であり、このサーバ装置40の通信アドレスは認証情報データベースに格納されている。このため、本動作例においては、ステップSA130の判定結果は“Yes”になり、情報代理送信スクリプトの実行(図3(A):ステップSA140)および接続要求メッセージの転送(図3(A):ステップSA150)が実行される。図4に示すように、中継装置30によって転送された接続要求メッセージを受信したサーバ装置40は、当該接続要求メッセージの送信元(本動作例では、操作端末50)へ宛てて認証情報送信要求メッセージを返信する。このようにしてサーバ装置40から送信された認証情報送信要求メッセージは一般公衆網10内を適宜ルーティングされ、中継装置30に到達する。   As described above, the destination of the connection request message transmitted from the operation terminal 50 in this operation example is the server device 40, and the communication address of the server device 40 is stored in the authentication information database. For this reason, in this operation example, the determination result in step SA130 is “Yes”, execution of the information proxy transmission script (FIG. 3A: step SA140) and transfer of the connection request message (FIG. 3A): Step SA150) is executed. As shown in FIG. 4, the server device 40 that has received the connection request message transferred by the relay device 30 is addressed to the source of the connection request message (the operation terminal 50 in this operation example), and the authentication information transmission request message. Reply. The authentication information transmission request message transmitted from the server device 40 in this way is appropriately routed through the general public network 10 and reaches the relay device 30.

操作端末50へ宛ててサーバ装置40から送信された認証情報送信要求メッセージが中継装置30に到達した時点では、中継装置30の制御部310は、情報代理送信スクリプトにしたがって情報代理送信処理を実行中である。この情報代理送信処理を実行中の制御部310は、図3(B)に示すように、操作端末50宛ての認証情報送信要求メッセージが送信されてくることを待ち受けており(ステップSB110)、第2通信I/F部330を介してこの認証情報送信要求メッセージを受信すると(ステップSB110:Yes)、ステップSB120の処理を実行する。このステップSB120の処理は、第2通信I/F部330を介して受信した認証情報送信要求メッセージをその宛先へと転送することに代えて、その認証情報送信要求メッセージの送信元アドレスと一致する通信アドレスに対応付けて認証情報データベースに登録されている認証情報を読み出し、その認証情報をメッセージボディ部に書き込んだ認証情報送信メッセージを上記認証情報送信要求メッセージの送信元(すなわち、サーバ装置40)に送信する処理である。そして、制御部310は、ステップSB120の処理を完了すると、回線情報提供装置から提供可否問合せメッセージが送信されてくることを待ち受ける(ステップSB130)。なお、この認証情報送信メッセージを送信する際には、制御部310は、送信元アドレスとして中継装置30の通信アドレスを書き込むのではなく、上記認証情報送信要求メッセージの送信先アドレス(すなわち、操作端末50の通信アドレス)を上記送信元アドレスに書き込んで送信する。中継装置30は、操作端末50の代理として認証情報送信メッセージを送信するからである。   When the authentication information transmission request message transmitted from the server device 40 addressed to the operation terminal 50 reaches the relay device 30, the control unit 310 of the relay device 30 is executing information proxy transmission processing according to the information proxy transmission script. It is. As shown in FIG. 3B, the control unit 310 that is executing this information proxy transmission process waits for an authentication information transmission request message to be sent to the operation terminal 50 (step SB110). When this authentication information transmission request message is received via the two-communication I / F unit 330 (step SB110: Yes), the process of step SB120 is executed. The processing in step SB120 matches the transmission source address of the authentication information transmission request message instead of transferring the authentication information transmission request message received via the second communication I / F unit 330 to the destination. The authentication information registered in the authentication information database in association with the communication address is read, and the authentication information transmission message in which the authentication information is written in the message body part is used as the transmission source of the authentication information transmission request message (that is, the server device 40). It is processing to transmit to. Then, when the process of step SB120 is completed, control unit 310 waits for a provision availability inquiry message transmitted from the line information providing apparatus (step SB130). When transmitting the authentication information transmission message, the control unit 310 does not write the communication address of the relay device 30 as the transmission source address, but rather the transmission destination address (that is, the operation terminal) of the authentication information transmission request message. 50 communication addresses) is written in the transmission source address and transmitted. This is because the relay device 30 transmits an authentication information transmission message as a proxy for the operation terminal 50.

このようにして中継装置30から送信される認証情報送信メッセージは、一般公衆網10内を適宜ルーティングされ、その宛先であるサーバ装置40に到達する(図4参照)。この通信メッセージを受信したサーバ装置40は、その認証情報送信メッセージのメッセージボディ部に書き込まれている認証情報を読み出し、その認証情報を用いて認証処理を行う。その結果、その認証情報が予め登録されたものと一致する場合には、サーバ装置40は、回線情報送信要求メッセージを回線情報提供装置60に送信する。この回線情報送信要求メッセージのメッセージボディ部には、回線情報の提供可否の問合せ先を示す問合せ先アドレスとして前述した接続要求メッセージの送信元アドレス(すなわち、操作端末50の通信ドレス)が書き込まれている。   The authentication information transmission message transmitted from the relay device 30 in this way is appropriately routed in the general public network 10 and reaches the server device 40 that is the destination (see FIG. 4). Receiving this communication message, the server device 40 reads the authentication information written in the message body part of the authentication information transmission message, and performs authentication processing using the authentication information. As a result, when the authentication information matches that registered in advance, the server device 40 transmits a line information transmission request message to the line information providing apparatus 60. In the message body portion of the line information transmission request message, the transmission source address of the connection request message described above (that is, the communication address of the operation terminal 50) is written as an inquiry destination address indicating an inquiry destination of whether or not to provide line information. Yes.

回線情報提供装置60は、上記回線情報要求メッセージを受信すると、そのメッセージボディ部に書き込まれている問合せ先アドレスを送信先アドレスとして、提供可否問合せメッセージを送信する。このようにして回線情報提供装置60から送信された提供可否問合せメッセージは、一般公衆網10内を適宜ルーティングされ、その送信先である操作端末50が接続される拠点内LAN20と一般公衆網10との境界に位置する中継装置30によって受信される。   When receiving the line information request message, the line information providing apparatus 60 transmits a provision availability inquiry message using the inquiry address written in the message body part as the transmission destination address. The provision availability inquiry message transmitted from the line information providing apparatus 60 in this way is appropriately routed in the general public network 10 and the intra-base LAN 20 and the general public network 10 to which the operation terminal 50 as the transmission destination is connected. Is received by the relay device 30 located at the boundary of

回線情報提供装置60から送信された提供可否問合せメッセージが中継装置30に到達した時点では、中継装置30の制御部310は、提供可否問合せメッセージが送信されてくることを待ち受けており(ステップSB130)、第2通信I/F部330を介して提供可否問合せメッセージを受信すると(ステップSB130:Yes)、ステップSB140の処理を実行する。このステップSB140の処理は、第2通信I/F部330を介して受信した提供可否問合せメッセージをその宛先へと転送することに代えて、提供許可通知メッセージを上記提供可否問合せメッセージの送信元(すなわち、回線情報提供装置60)へ送信する処理である。このステップSB140の処理においても、制御部310は、前述したステップSB120における処理と同様に、上記提供可否問合せメッセージの送信先アドレス(すなわち、操作端末50の通信アドレス)を上記提供許可通知メッセージの送信元アドレスに書き込んで送信する。中継装置30は、操作端末50の代理として提供許可通知メッセージを送信するからである。   When the provision availability inquiry message transmitted from the line information provision apparatus 60 reaches the relay apparatus 30, the control unit 310 of the relay apparatus 30 is waiting for the provision availability inquiry message to be transmitted (step SB130). When the provision availability inquiry message is received via the second communication I / F unit 330 (step SB130: Yes), the process of step SB140 is executed. In the process of step SB140, instead of transferring the provision availability inquiry message received via the second communication I / F unit 330 to the destination, a provision permission notification message is sent to the source of the provision availability inquiry message ( That is, it is a process of transmitting to the line information providing apparatus 60). Also in the process of step SB140, as in the process of step SB120 described above, control unit 310 transmits the transmission destination address of the provision availability inquiry message (that is, the communication address of operation terminal 50) of the provision permission notification message. Write to the original address and send. This is because the relay device 30 transmits a provision permission notification message as a proxy for the operation terminal 50.

このようにして中継装置30から送信された提供許可通知メッセージを受信した回線情報提供装置60は、図4に示すように、該当する回線情報をメッセージボディ部に書き込んだ回線情報送信メッセージをサーバ装置40に送信する。サーバ装置40は、上記回線情報送信メッセージを受信すると、そのメッセージボディ部に書き込まれている回線情報を参照して、通信サービスの要求元が一般公衆網10の正当な契約者であることを確認し、接続許可応答メッセージをその要求元の通信装置(本動作例では、操作端末50)に送信する(図4参照)。   In this way, the line information providing apparatus 60 that has received the provision permission notification message transmitted from the relay apparatus 30 transmits the line information transmission message in which the corresponding line information is written in the message body portion as shown in FIG. 40. When the server device 40 receives the line information transmission message, the server device 40 refers to the line information written in the message body part and confirms that the request source of the communication service is a valid contractor of the general public network 10. Then, a connection permission response message is transmitted to the requesting communication device (in this operation example, the operation terminal 50) (see FIG. 4).

図4に示すように、サーバ装置40から返信された接続許可応答メッセージは一般公衆網10内を適宜ルーティングされて中継装置30に到達し、中継装置30の制御部310は、第2通信I/F部330を介して接続許可応答メッセージを受信すると、前述したパケット中継機能によりその接続許可応答メッセージを操作端末50に転送する。中継装置30によって転送された接続許可応答メッセージは拠点内LAN20を介して操作端末50に到達する。操作端末50の制御部は、この接続許可応答メッセージを受信すると、そのメッセージボディ部に書き込まれているHTMLデータを読み出し、そのHTMLデータにしたがってサービス提供画面(図7(C)参照)を表示部に表示させる。以降、操作端末50のユーザは、上記サービス提供画面の閲覧を通じて、サーバ装置40により提供される通信サービスを利用することができるのである。   As shown in FIG. 4, the connection permission response message returned from the server device 40 is appropriately routed through the general public network 10 and reaches the relay device 30. The control unit 310 of the relay device 30 performs the second communication I / O. When the connection permission response message is received via the F unit 330, the connection permission response message is transferred to the operation terminal 50 by the packet relay function described above. The connection permission response message transferred by the relay device 30 reaches the operation terminal 50 via the local LAN 20. When receiving the connection permission response message, the control unit of the operation terminal 50 reads the HTML data written in the message body portion, and displays the service providing screen (see FIG. 7C) according to the HTML data. To display. Thereafter, the user of the operation terminal 50 can use the communication service provided by the server device 40 through browsing the service providing screen.

さて、ここで注目すべき点は、操作端末50のユーザは、利用を所望する通信サービスの提供元のサーバ装置を指示した以降は、その後、認証を受けるための操作(認証情報の入力や送信、回線情報の提供を許可する操作)を一切行うことなく、通信サービス提供画面を閲覧すること(すなわち、通信サービスを利用すること)が可能になっている、という点である。このように、本実施形態によれば、利用開始に先立って認証を受けること要する通信サービスを、認証のための操作を一切行うことなく、ユーザに利用させることが可能になるのである。   Now, it should be noted that after the user of the operation terminal 50 has instructed the server device that provides the communication service desired to be used, an operation for receiving authentication (input or transmission of authentication information) is performed thereafter. In other words, it is possible to browse the communication service provision screen (that is, to use the communication service) without performing any operation for permitting provision of line information). As described above, according to this embodiment, it is possible to allow a user to use a communication service that requires authentication prior to the start of use without performing any authentication operation.

(C:変形)
以上本発明の一実施形態について説明したが、以下に述べる変形を加えても勿論良い。
(1)上述した実施形態では、中継装置30の認証情報データベースに、サーバ装置40により提供される通信サービスの利用を許可された者の認証情報が予め登録されていた。しかし、初回は通常の手順(図6参照)でユーザに認証を受けさせるとともに、その認証の際に操作端末50とサーバ装置40との間で送受信される通信メッセージの中継過程において認証情報とサーバ装置を示すデータとを取得し両者を対応付けて認証情報データベースに登録する処理を中継装置30に実行させ、それ以降は、上述した実施形態にて説明したように、認証情報の代理送信を中継装置30に行わせるようにしても良い。 (C: deformation)
Although one embodiment of the present invention has been described above, it goes without saying that the following modifications may be added.
(1) In the above-described embodiment, authentication information of a person who is permitted to use the communication service provided by the server device 40 is registered in the authentication information database of the relay device 30 in advance. However, at the first time, the user is authenticated by a normal procedure (see FIG. 6), and the authentication information and the server are relayed in the process of relaying the communication message transmitted and received between the operation terminal 50 and the server device 40 during the authentication. The relay device 30 executes a process of acquiring data indicating the device and associating both with each other and registering the data in the authentication information database. Thereafter, as described in the above-described embodiment, the proxy information proxy transmission is relayed. You may make it make the apparatus 30 perform.

(2)上述した実施形態によれば、操作端末50の利用者は利用を所望する通信サービスの提供元のサーバ装置を指示した以降は、認証を受けるために特段の操作を行わなくても、サーバ装置40によって提供される通信サービスを利用することができた。これを通信システム1における通信シーケンス(図4参照)の観点から見ると、操作端末50は、接続要求メッセージを送信してから接続許可応答メッセージを受信するまでの間に通信メッセージの送受信を一切行わないことを意味する。しかし、このような態様では、接続要求メッセージを送信してから接続許可応答メッセージを受信するまでの期間が長すぎると、所謂通信タイムアウトが発生する虞がある。 (2) According to the above-described embodiment, after the user of the operation terminal 50 has instructed the server device that is the provider of the communication service desired to be used, there is no need to perform a special operation to receive authentication. The communication service provided by the server device 40 could be used. From the viewpoint of the communication sequence (see FIG. 4) in the communication system 1, the operation terminal 50 transmits and receives the communication message at all from the transmission of the connection request message to the reception of the connection permission response message. Means no. However, in such an aspect, if a period from when the connection request message is transmitted until the connection permission response message is received is too long, a so-called communication timeout may occur.

そこで、このような通信タイムアウトの発生を避けるため、操作端末50から接続要求メッセージを受信した時から一定の時間が経過する毎に、要求に応じた処理を実行中であることを示すダミーの通信メッセージ(例えば、SIP(Session Initiation Protocol)における“100 Trying”に相当する通信メッセージ)を中継装置30から操作端末50に送信し、操作端末50には、通信タイムアウトを計時するタイマを上記ダミーの通信メッセージを受信する毎に初期化する処理を実行させるようにしても良い。また、接続要求メッセージの転送を行ってから一定の時間が経過しても認証情報送信要求メッセージを受信しない場合や、認証情報送信メッセージの代理送信を行ってから一定の時間が経過しても提供可否問合せメッセージを受信しない場合、或いは、提供許可通知メッセージの代理送信を行ってから一定の時間が経過しても接続許可応答メッセージを受信しない場合に、上記ダミーの通信メッセージを操作端末50へ送信する処理を中継装置30に実行させるようにしても良い。   Therefore, in order to avoid the occurrence of such a communication timeout, a dummy communication indicating that processing corresponding to the request is being executed every time a certain time has elapsed since the connection request message was received from the operation terminal 50. A message (for example, a communication message corresponding to “100 Trying” in SIP (Session Initiation Protocol)) is transmitted from the relay device 30 to the operation terminal 50, and the operation terminal 50 has a timer for measuring a communication timeout as the dummy communication. A process of initializing each time a message is received may be executed. Also provided if the authentication information transmission request message is not received even after a certain period of time has elapsed since the transfer of the connection request message, or if a certain period of time has elapsed since the proxy transmission of the authentication information transmission message. The dummy communication message is transmitted to the operation terminal 50 when the availability inquiry message is not received or when the connection permission response message is not received even after a certain time has elapsed since the proxy transmission of the provision permission notification message. The processing to be performed may be executed by the relay device 30.

(3)上述した実施形態では、セキュリティポリシを満たす操作端末から送信された接続要求メッセージであって、ユーザ認証を要する通信サービスを提供するサーバ装置へ宛てて送信された接続要求メッセージを受信したことを契機として、情報代理送信スクリプトの実行を開始させた。しかし、所定のサーバ装置へ宛てて送信された接続要求メッセージを受信した場合には、無条件に(すなわち、送信元がセキュリティポリシを満たすか否かの判定(図3:ステップSA110)を行わずに)、情報代理送信スクリプトの実行を開始させても良い。また、上述した実施形態では、セキュリティポリシを満たす操作端末から送信された接続要求メッセージであって、ユーザ認証を要する通信サービスを提供するサーバ装置へ宛てて送信された接続要求メッセージの受信を契機として、情報代理送信スクリプトの実行を開始させたが、図5に示すように、接続要求メッセージについては無条件にその宛先へと転送し、その接続要求メッセージに対する応答である認証情報送信要求メッセージの受信を契機として情報代理送信スクリプトの実行を開始し、認証情報の代理送信を行わせても良い。 (3) In the above-described embodiment, the connection request message transmitted from the operation terminal satisfying the security policy, which is transmitted to the server device that provides the communication service requiring user authentication, has been received. As a result, the execution of the information proxy transmission script was started. However, when a connection request message transmitted to a predetermined server device is received, the determination is not made unconditionally (that is, whether the transmission source satisfies the security policy (FIG. 3: step SA110)). In addition, the execution of the information proxy transmission script may be started. Further, in the above-described embodiment, triggered by reception of a connection request message transmitted from an operation terminal that satisfies the security policy and transmitted to a server device that provides a communication service that requires user authentication. However, as shown in FIG. 5, the connection request message is unconditionally transferred to the destination, and the authentication information transmission request message that is a response to the connection request message is received. As an opportunity, the execution of the information proxy transmission script may be started to perform proxy transmission of authentication information.

(4)上述した実施形態では、第1通信I/F部320を介して受信した接続要求メッセージの送信元がセキュリティポリシを満たすか否かを判定し、満たす場合にその接続要求メッセージをその宛先へ転送する場合について説明した。しかし、中継装置30に掛かっている処理負荷、或いは一般公衆網10や拠点内LAN20の両方または何れか一方(すなわち、サーバ装置40と操作端末50との間で送受信される通信メッセージの通信路)に掛かっている処理負荷を計測する計測手段を中継装置30に設け、第1通信I/F部320を介して受信した接続要求メッセージの送信元がセキュリティポリシを満たし、かつ、上記計測手段により計測された処理負荷が所定の閾値以下である場合にのみ、その接続要求メッセージをその宛先に転送する処理を制御部310に実行させるようにしても良い。ここで、中継装置30に掛かっている処理負荷の計測は、中継装置30を介してデータ通信を行っている操作端末の台数、或いは制御部310の利用率(所謂CPU利用率)の計測により行えば良く、上記通信路に掛かっている処理負荷の計測は、単位時間当たりの通信エラーの発生回数の計測により行えば良い。このような態様によれば、中継装置30(或いは、上記通信路)に過剰な処理負荷が掛かって通信サービスの利用に支障が生じることを回避することが可能になる。 (4) In the above-described embodiment, it is determined whether or not the transmission source of the connection request message received via the first communication I / F unit 320 satisfies the security policy. Explained the case of forwarding to. However, the processing load applied to the relay device 30 and / or the general public network 10 and / or the local LAN 20 (that is, the communication path of the communication message transmitted / received between the server device 40 and the operation terminal 50). Measurement means for measuring the processing load applied to the relay device 30 is provided in the relay device 30, the transmission source of the connection request message received via the first communication I / F unit 320 satisfies the security policy, and is measured by the measurement means. The control unit 310 may be caused to execute a process of transferring the connection request message to the destination only when the processed processing load is equal to or less than a predetermined threshold. Here, the processing load applied to the relay device 30 is measured by measuring the number of operation terminals performing data communication via the relay device 30 or the usage rate of the control unit 310 (so-called CPU usage rate). The processing load on the communication path may be measured by measuring the number of occurrences of communication errors per unit time. According to such an aspect, it is possible to avoid the occurrence of an obstacle to the use of the communication service due to an excessive processing load on the relay device 30 (or the communication path).

(5)上述した実施形態では、認証情報の代理送信と提供許可通知メッセージの代理送信とを中継装置30に実行させたが、認証情報の代理送信のみを中継装置30に実行させるようにしても良い。逆に、提供許可通知メッセージの代理送信のみを中継装置30に実行させるようにしても良い。例えば、通信サービスの提供開始に先立って要求される認証が、認証情報のみを用いたものであれば、認証情報の代理送信のみを中継装置30に行わせるようにすれば良く、回線情報のみを用いたものであれば、提供許可通知メッセージの代理送信のみを中継装置30に行わせるようにすれば良いからである。 (5) In the above-described embodiment, the proxy device 30 performs proxy information transmission and the provision permission notification message proxy transmission. However, the relay device 30 may perform only proxy information authentication transmission. good. Conversely, only the proxy transmission of the provision permission notification message may be executed by the relay device 30. For example, if the authentication required prior to the start of the provision of the communication service uses only the authentication information, it is sufficient to cause the relay device 30 to perform only proxy transmission of the authentication information. This is because, if used, the relay device 30 only needs to perform proxy transmission of the provision permission notification message.

(6)上述した実施形態では、本実施形態の特徴を顕著に示す情報代理送信処理をスクリプトにしたがって実行する場合について説明した。これは、スクリプト実行機能を有する中継装置であれば、新たなスクリプトのインストール等によって簡便に機能拡張することができるからである。しかし、情報代理送信処理をファームウェアで実現しても勿論良い。例えば、情報代理送信処理を実現するコマンド列からなるサブルーチンをファームウェアに組み込んでおくのである。このような態様によれば、スクリプト実行機能を有さない中継装置に、本発明の中継装置と同一の機能を付与することが可能になる。また、上述した実施形態では、接続要求メッセージ転送制御処理(図3(A)参照)をファームウェアにしたがって実行する場合について説明したが、当該接続要求メッセージ転送制御処理の全部または少なくともその一部(具体的には、図3(A)に示す接続要求メッセージ転送制御処理の要部を為すステップSA110およびSA130の判定処理)をスクリプトで実現しても勿論良い。 (6) In the above-described embodiment, a case has been described in which the information proxy transmission process that significantly shows the features of the present embodiment is executed according to a script. This is because a relay device having a script execution function can be easily expanded by installing a new script or the like. However, of course, the information proxy transmission process may be realized by firmware. For example, a subroutine including a command sequence for realizing information proxy transmission processing is incorporated in the firmware. According to such an aspect, it becomes possible to give the same function as the relay apparatus of this invention to the relay apparatus which does not have a script execution function. In the above-described embodiment, the case where the connection request message transfer control process (see FIG. 3A) is executed according to the firmware has been described. However, all or at least a part of the connection request message transfer control process (specifically, Specifically, the determination process of steps SA110 and SA130, which is the main part of the connection request message transfer control process shown in FIG.

(7)上述した実施形態では、本発明の特徴を顕著に示す接続要求メッセージ転送制御処理を中継装置30の制御部310に実行させるファームウェアや情報代理送信スクリプトがその中継装置30の記憶部350に予め記憶されていた。しかし、例えばCD−ROM(Compact Disk-Read Only Memory)などのコンピュータ装置読み取り可能な記録媒体に上記ファームウェアやスクリプトを書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより上記ファームウェアやスクリプトを配布しても良い。また、情報代理送信処理を実現するコマンド列をファームウェアに組み込んでおく態様においては、そのファームウェアをコンピュータ装置読み取り可能な記録媒体に書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより当該ファームウェアを配布しても良い。さらに、情報代理送信処理に加えて接続要求メッセージ転送制御処理の全部または少なくともその一部をスクリプトで実現する場合も同様に、そのスクリプトをコンピュータ装置読み取り可能な記録媒体に書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより配布しても良い。 (7) In the above-described embodiment, the firmware and information proxy transmission script for causing the control unit 310 of the relay device 30 to execute the connection request message transfer control processing that clearly shows the features of the present invention are stored in the storage unit 350 of the relay device 30. It was memorized in advance. However, the firmware or script may be written and distributed on a computer-readable recording medium such as a CD-ROM (Compact Disk-Read Only Memory), or may be distributed by downloading via an electric communication line such as the Internet. Firmware and scripts may be distributed. Further, in a mode in which a command sequence for realizing information proxy transmission processing is incorporated in firmware, the firmware may be written and distributed in a computer-readable recording medium, or via a telecommunication line such as the Internet. The firmware may be distributed by downloading. Further, when all or at least a part of the connection request message transfer control process is realized by a script in addition to the information proxy transmission process, the script may be written on a computer-readable recording medium and distributed. Further, it may be distributed by downloading via a telecommunication line such as the Internet.

10…一般公衆網、20…拠点内LAN、30…中継装置、310…制御部、320…第1通信I/F部、330…第2通信I/F部、340…外部機器I/F部、350…記憶部、352…揮発性記憶部、354…不揮発性記憶部、360…バス、40…サーバ装置、50…操作端末、60…回線情報提供装置。   DESCRIPTION OF SYMBOLS 10 ... General public network, 20 ... LAN in base, 30 ... Relay apparatus, 310 ... Control part, 320 ... 1st communication I / F part, 330 ... 2nd communication I / F part, 340 ... External apparatus I / F part , 350, storage unit, 352, volatile storage unit, 354, nonvolatile storage unit, 360, bus, 40, server device, 50, operation terminal, 60, line information providing device.

Claims (4)

通信サービスを提供するサーバ装置と操作端末との間で送受信される通信メッセージの中継を行う中継装置において、
前記サーバ装置が提供する通信サービスの利用を許可された者であることを示す認証情報が予め書き込まれた記憶手段と、
前記操作端末からの接続要求に応じて前記サーバ装置から送信されてくる通信メッセージであって、認証情報の送信を要求する旨の認証情報送信要求メッセージを受信した場合に、当該認証情報送信要求メッセージを前記操作端末へ転送することに代えて、前記記憶手段に記憶されている認証情報を前記サーバ装置へ送信する処理を実行する制御手段と、を備え、
前記制御手段は、
記操作端末からの接続要求の前記サーバ装置への中継を行ってから一定時間が経過しても前記認証情報送信要求メッセージを前記サーバ装置から受信しなかった場合に前記接続要求に応じた処理を実行中であることを示す通信メッセージを前記操作端末へ送信する処理、を実行する
ことを特徴とする中継装置。 In a relay device that relays communication messages transmitted and received between a server device that provides a communication service and an operation terminal,
Storage means in which authentication information indicating that the server apparatus is permitted to use the communication service provided by the server device is written in advance;
When a communication message transmitted from the server device in response to a connection request from the operation terminal and receiving an authentication information transmission request message requesting transmission of authentication information, the authentication information transmission request message Control means for executing a process of transmitting the authentication information stored in the storage means to the server device instead of transferring the information to the operation terminal,
The control means includes
Processing corresponding to the connection request if it does not receive the authentication information transmission request message in a certain time period after performing the relay from the server device to the server device a connection request from the previous SL operating terminal A process of transmitting a communication message indicating that is being executed to the operation terminal is executed. 前記制御手段は、前記操作端末と前記サーバ装置との間のデータ通信を仲介する通信網についての回線情報を記憶した回線情報提供装置から前記操作端末へ送信された通信メッセージであって、前記サーバ装置への前記回線情報の送信の可否を問合せる旨の提供可否問合せメッセージを受信した場合に、当該提供可否問合せメッセージを前記操作端末へ転送することに代えて、前記回線情報の送信を許可する旨の提供許可通知メッセージを前記回線情報提供装置へ送信する処理を実行することを特徴とする請求項1に記載の中継装置。   The control means is a communication message transmitted to the operation terminal from a line information providing device storing line information about a communication network that mediates data communication between the operation terminal and the server device, When a provision availability inquiry message for inquiring whether or not transmission of the line information to the apparatus is inquired is received, the transmission of the line information is permitted instead of transferring the provision availability inquiry message to the operation terminal. The relay apparatus according to claim 1, wherein a process of transmitting a provision permission notification message is transmitted to the line information providing apparatus. 前記制御手段は、前記サーバ装置に対してデータ通信の開始を要求する旨の接続要求メッセージを受信したことを契機として、当該接続要求メッセージの送信元に対して当該中継装置を介したデータ通信の実行が許可されているか否かを判定し、許可されていると判定した場合にのみ、当該接続要求メッセージを前記サーバ装置へ転送することを特徴とする請求項1または2に記載の中継装置。   When the control means receives a connection request message for requesting the server device to start data communication, the control means performs data communication via the relay device to the transmission source of the connection request message. The relay apparatus according to claim 1 or 2, wherein it is determined whether or not execution is permitted, and the connection request message is transferred to the server apparatus only when it is determined that the execution is permitted. 通信メッセージの中継を行うことにより当該中継装置にかかる処理負荷、または、通信メッセージの送受信に利用される通信路に掛かっている処理負荷を計測する計測手段を有し、
前記制御手段は、前記計測手段により計測される処理負荷に応じて、当該中継装置を介して前記サーバ装置とデータ通信を行うことを許可する操作端末の台数を調整することを特徴とする請求項1〜3の何れか1に記載の中継装置。 Having a measuring means for measuring the processing load applied to the relay device by relaying the communication message, or the processing load applied to the communication path used for transmission / reception of the communication message,
The control means adjusts the number of operation terminals permitted to perform data communication with the server device via the relay device according to a processing load measured by the measuring device. The relay device according to any one of 1 to 3.
JP2010053511A 2010-03-10 2010-03-10 Relay device Active JP5736654B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010053511A JP5736654B2 (en) 2010-03-10 2010-03-10 Relay device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010053511A JP5736654B2 (en) 2010-03-10 2010-03-10 Relay device

Publications (2)

Publication Number Publication Date
JP2011186936A JP2011186936A (en) 2011-09-22
JP5736654B2 true JP5736654B2 (en) 2015-06-17

Family

ID=44793096

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010053511A Active JP5736654B2 (en) 2010-03-10 2010-03-10 Relay device

Country Status (1)

Country Link
JP (1) JP5736654B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001326658A (en) * 2000-03-10 2001-11-22 Fujitsu Ltd Network load managing unit, communication unit, communication method, medium and program
JP2002032340A (en) * 2000-07-14 2002-01-31 Nec Corp System and method for single sign-on web site and recording medium
JP4280570B2 (en) * 2003-07-01 2009-06-17 キヤノン株式会社 Communication control method and communication apparatus

Also Published As

Publication number Publication date
JP2011186936A (en) 2011-09-22

Similar Documents

Publication Publication Date Title
JP4803116B2 (en) Virtual network connection device and program
JP4260116B2 (en) Secure virtual private network
CN108496380B (en) Server and storage medium
US9438639B2 (en) Network system, access-support server, processing device, and communication agent device
US20110030047A1 (en) Method, apparatus and system for protecting user information
JP6658163B2 (en) Information processing device and program
US8601568B2 (en) Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method
JP4670598B2 (en) Network system, proxy server, session management method, and program
JP2006217196A (en) Method and system for authenticating radio lan
JP2008519335A (en) Enhancement of real-time communication client
GB2494891A (en) A race condition during MAC authentication is avoided by confirming authentication to DHCP server prior to address allocation.
JP5218547B2 (en) Authentication device, authentication method, and data utilization method
WO2001057686A1 (en) Communication system, relay device, service providing device, relaying method, service providing method, and program product
JP4565242B2 (en) Network connection service providing device
JP6665529B2 (en) CONTROL DEVICE, RADIO COMMUNICATION CONTROL METHOD, AND RADIO COMMUNICATION CONTROL PROGRAM
JP5260467B2 (en) Access control system and access control method
WO2004021654A1 (en) Electronic mail delivery system
JP4573559B2 (en) Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program
JP5736654B2 (en) Relay device
CN113630447B (en) Web-based cloud service providing method, system and storage medium
JP4352210B2 (en) Access management server, network device, network system
US20160381147A1 (en) Information transmission method and apparatus
JP5365911B2 (en) Image reading system
JP6122984B1 (en) Authentication processing apparatus and authentication processing method
JP2005149337A (en) Gateway device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140805

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150324

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150406

R151 Written notification of patent or utility model registration

Ref document number: 5736654

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151