JP5736654B2 - Relay device - Google Patents
Relay device Download PDFInfo
- Publication number
- JP5736654B2 JP5736654B2 JP2010053511A JP2010053511A JP5736654B2 JP 5736654 B2 JP5736654 B2 JP 5736654B2 JP 2010053511 A JP2010053511 A JP 2010053511A JP 2010053511 A JP2010053511 A JP 2010053511A JP 5736654 B2 JP5736654 B2 JP 5736654B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- message
- server device
- transmission
- operation terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、通信網を介して提供される通信サービスの利用を支援する技術に関し、特に、利用開始に先立って何らかの認証を受けることを要する通信サービスの利用を支援する技術に関する。 The present invention relates to a technology for supporting the use of a communication service provided via a communication network, and more particularly to a technology for supporting the use of a communication service that requires some kind of authentication prior to the start of use.
近年では、書籍等の通信販売サービスや、動画或いは音楽の配信サービスなどの様々な種類の通信サービスをインターネットを介して利用することができるようになっている。この種の通信サービスのなかには、その利用開始に先立って、ユーザ認証を受けることを要するものがある。ここで、ユーザ認証とは、通信サービスの提供元がユーザID(或いは電子メールアドレス)やパスワードなどの認証情報をユーザから受け取り、その通信サービスの利用を許可されたユーザ(以下、登録ユーザ)であるか否かを判別することである。通信サービスの提供開始に先立ってユーザ認証を行っておくことにより、登録ユーザに対してのみその通信サービスを利用させることが可能になる。また、なりすましなどの不正を防止し、セキュリティを強化する目的で、認証情報の他に回線情報などの付加情報の提示を要求する通信サービスもある(非特許文献1参照)。ここで、回線情報とは、サービス提供者によって運用管理されるサーバ装置とユーザの使用する操作端末との間のデータ通信を仲介する通信網(回線)の種類や、そのユーザとその通信網を運用する通信事業者との間の利用契約の内容を示す情報のことをいう。 In recent years, various types of communication services such as mail order services such as books and moving image or music distribution services can be used via the Internet. Some types of communication services require user authentication prior to the start of use. Here, user authentication refers to a user (hereinafter referred to as a registered user) who has received authentication information such as a user ID (or e-mail address) or password from a user and is permitted to use the communication service. It is to determine whether or not there is. By performing user authentication prior to the start of provision of a communication service, it becomes possible for only registered users to use the communication service. There is also a communication service that requires the presentation of additional information such as line information in addition to authentication information for the purpose of preventing fraud such as impersonation and enhancing security (see Non-Patent Document 1). Here, the line information refers to the type of communication network (line) that mediates data communication between the server device operated and managed by the service provider and the operation terminal used by the user, and the user and the communication network. This refers to information indicating the contents of the usage contract with the operating carrier.
図6は、認証情報の他に回線情報の提示を要求する通信サービスを利用する際に、ユーザの利用する操作端末、その通信サービスを提供するサーバ装置、および回線情報の提供を行う回線情報提供装置の間で送受信される通信メッセージのシーケンスの一例を示す図である。ブラウザソフトウェアに対するURI(Uniform Resource Identifier)やIP(Internet Protocol)アドレスの入力によって上記サーバ装置をアクセス先として指示された操作端末は、通信サービスの利用開始を要求する旨の通信メッセージ(以下、接続要求メッセージ)を所定の通信プロトコル(例えば、HTTP(HyperText Transfer Protocol))にしたがって上記サーバ装置へ送信する。上記サーバ装置は、この接続要求メッセージを受信すると、認証情報の送信を要求する旨の通信メッセージ(以下、認証情報送信要求メッセージ)を返信する。この認証情報送信要求メッセージのメッセージボディ部には、認証情報の入力および送信操作の実行をユーザに促す認証情報入力画面(図7(A)参照)をブラウザソフトウェアに表示させるためのHTML(HyperText Markup Language)データが書き込まれている。 FIG. 6 shows an operation terminal used by a user, a server device that provides the communication service, and line information provision for providing line information when using a communication service that requests presentation of line information in addition to authentication information. It is a figure which shows an example of the sequence of the communication message transmitted / received between apparatuses. A communication message (hereinafter referred to as a connection request) indicating that the operation terminal instructed to use the server device as an access destination by inputting a URI (Uniform Resource Identifier) or IP (Internet Protocol) address to the browser software requests to start using the communication service. Message) according to a predetermined communication protocol (for example, HTTP (HyperText Transfer Protocol)). When receiving the connection request message, the server device returns a communication message requesting transmission of authentication information (hereinafter referred to as an authentication information transmission request message). In the message body portion of the authentication information transmission request message, HTML (HyperText Markup) for displaying an authentication information input screen (see FIG. 7A) prompting the user to input authentication information and execute a transmission operation on the browser software. Language) data is written.
操作端末は、上記認証情報送信要求メッセージを受信すると、そのメッセージボディ部に書き込まれているHTMLデータにしたがって認証情報入力画面を表示部に表示させる。この認証情報入力画面を視認したユーザは、キーボードやマウス等を操作してユーザID(図7(A)では、「UID」と表記)/パスワード(図7(A)では、「PWD」と表記)などの認証情報を入力し、送信ボタンを押下する。すると、操作端末は、認証情報入力画面を介して入力された認証情報をメッセージボディ部に書き込んだ通信メッセージ(以下、認証情報送信メッセージ)をサーバ装置へ送信する。サーバ装置は、このようにして送信されてくる認証情報を用いてユーザ認証を行い、登録ユーザであると判別した場合には、回線情報の送信を要求する旨の通信メッセージ(以下、回線情報送信要求メッセージ)を回線情報提供装置へ送信する。 When receiving the authentication information transmission request message, the operating terminal displays an authentication information input screen on the display unit according to the HTML data written in the message body portion. A user who visually recognizes the authentication information input screen operates a keyboard, a mouse, or the like to display a user ID (indicated as “UID” in FIG. 7A) / password (indicated as “PWD” in FIG. 7A). ) Etc. and press the send button. Then, the operation terminal transmits a communication message (hereinafter referred to as an authentication information transmission message) in which the authentication information input via the authentication information input screen is written in the message body part to the server device. The server device performs user authentication using the authentication information transmitted in this way, and if it is determined that the user is a registered user, a communication message (hereinafter referred to as line information transmission) requesting transmission of line information. Request message) to the line information providing apparatus.
回線情報提供装置は、上記回線情報送信要求メッセージを受信すると、回線情報の提供の可否を問合せる旨の通信メッセージ(以下、提供可否問合せメッセージ)を上記操作端末へ送信する。この提供可否問合せメッセージのメッセージボディ部には、回線情報の提供の可否をユーザに指示させるための回線情報提供可否問合せ画面(図7(B)参照)をブラウザソフトウェアに表示させるためのHTMLデータが書き込まれている。操作端末は、上記提供可否問合せメッセージを受信すると、そのメッセージボディ部に書き込まれているHTMLデータにしたがって回線情報提供可否問合せ画面を表示部に表示させる。この画面を視認したユーザがキーボードやマウス等を操作してOKボタンを押下すると、操作端末は、回線情報の提供を許可する旨の通信メッセージ(以下、提供許可通知メッセージ)を回線情報提供装置へ送信する。この提供許可通知メッセージを受信した回線情報提供装置は、該当する回線情報(すなわち、上記操作端末と上記サーバ装置との間のデータ通信を仲介する通信網の種類や上記操作端末のユーザとの利用契約の内容を示す情報)をメッセージボディ部に書き込んだ回線情報送信メッセージを上記サーバ装置へ送信する。 When the line information providing apparatus receives the line information transmission request message, the line information providing apparatus transmits a communication message for inquiring whether or not to provide line information (hereinafter, a provision availability inquiry message) to the operation terminal. In the message body portion of the provision availability inquiry message, HTML data for displaying on the browser software a line information provision availability inquiry screen (see FIG. 7B) for instructing the user whether to provide line information is displayed. Has been written. When the operation terminal receives the provision availability inquiry message, the operation terminal displays a line information provision availability inquiry screen on the display section in accordance with the HTML data written in the message body section. When the user who has viewed this screen operates the keyboard, mouse, etc. and presses the OK button, the operation terminal sends a communication message (hereinafter referred to as provision permission notification message) to the line information providing apparatus to permit provision of the line information. Send. The line information providing apparatus that has received the provision permission notification message sends the corresponding line information (that is, the type of communication network that mediates data communication between the operation terminal and the server apparatus and the use of the operation terminal by the user). A line information transmission message in which information indicating the contents of the contract is written in the message body portion is transmitted to the server device.
サーバ装置は、このようにして送信されてくる回線情報を受信すると、通信サービスの利用開始を許可する旨の通信メッセージ(以下、接続許可応答メッセージ)を操作端末に返信する。この接続許可応答メッセージのメッセージボディ部には、通信サービスの提供に供されるサービス提供画面(図7(C)参照)をブラウザソフトウェアに表示させるためのHTMLデータが書き込まれている。操作端末は、上記接続許可応答メッセージを受信すると、そのメッセージボディ部に書き込まれているHTMLデータにしたがってサービス提供画面を表示部に表示させる。このサービス提供画面の閲覧を通じて、上記操作端末のユーザは上記サーバ装置により提供される通信サービスを利用することができるのである。 When the server apparatus receives the line information transmitted in this way, it returns a communication message (hereinafter referred to as a connection permission response message) to permit the start of use of the communication service to the operation terminal. In the message body part of the connection permission response message, HTML data for displaying a service providing screen (see FIG. 7C) used for providing the communication service on the browser software is written. When the operation terminal receives the connection permission response message, the operation terminal displays a service providing screen on the display unit according to the HTML data written in the message body portion. Through browsing of the service providing screen, the user of the operation terminal can use the communication service provided by the server device.
しかし、ユーザ認証を受ける度に、その都度、認証情報の入力および送信のための操作を行うことは甚だ不便である。もっとも、回線情報のみを用いて通信サービスの要求元の認証を行う態様も考えられるが、このような態様であっても、回線情報の提供を許可する操作を行わなければならない。つまり、従来技術では、通信サービスの利用開始に先立って何らかの認証(ユーザ認証と回線情報の提示の少なくとも一方)を受けること要する通信サービスの利用を所望するユーザは、その認証のための操作を少なくとも1回は行わなければならないのである。
本発明は上記課題に鑑みて為されたものであり、利用開始に先立って認証を受けること要する通信サービスを、認証のための操作を一切行うことなく、利用することができるようにする技術を提供することを目的とする。
However, it is extremely inconvenient to perform operations for inputting and transmitting authentication information each time user authentication is performed. Of course, an aspect of performing authentication of a communication service requester using only line information is also conceivable, but even in such an aspect, an operation for permitting provision of line information must be performed. In other words, in the prior art, a user who wants to use a communication service that requires some kind of authentication (at least one of user authentication and line information presentation) prior to the start of using the communication service performs at least an operation for the authentication. It must be done once.
The present invention has been made in view of the above-described problems, and provides a technology that allows a communication service that requires authentication prior to the start of use to be used without performing any authentication operation. The purpose is to provide.
上記課題を解決するために本発明は、通信サービスを提供するサーバ装置と操作端末との間で送受信される通信メッセージの中継を行う中継装置において、前記サーバ装置が提供する通信サービスの利用を許可された者であることを示す認証情報が予め書き込まれた記憶手段と、前記操作端末からの接続要求に応じて前記サーバ装置から送信されてくる通信メッセージであって、認証情報の送信を要求する旨の認証情報送信要求メッセージを受信した場合に、当該認証情報送信要求メッセージを前記操作端末へ転送することに代えて、前記記憶手段に記憶されている認証情報を前記サーバ装置へ送信する処理を実行する制御手段とを有することを特徴とする中継装置、を提供する。 In order to solve the above problems, the present invention permits use of a communication service provided by the server device in a relay device that relays communication messages transmitted and received between the server device providing the communication service and the operation terminal. A storage means in which authentication information indicating that the user has been written is written in advance, and a communication message transmitted from the server device in response to a connection request from the operation terminal, requesting transmission of the authentication information A process of transmitting the authentication information stored in the storage means to the server device instead of transferring the authentication information transmission request message to the operation terminal when the authentication information transmission request message is received. There is provided a relay device characterized by having control means for executing.
このような中継装置によれば、通信サービスの利用開始を要求した操作端末(すなわち、接続要求メッセージの送信元の操作端末)に代わって認証情報送信要求メッセージに対して応答する処理(すなわち、その通信サービスの利用を許可された者であることを示す認証情報を送信する処理)が当該中継装置によって行われる。このため、上記操作端末の利用者は、認証情報の入力やその送信を指示する操作を一切行うことなく、利用開始に先立ってユーザ認証を受けること要する通信サービスを利用することができるようになる。なお、本発明の別の態様としては、上記制御手段の実行する処理をコンピュータに実行させるプログラム等を提供する態様も考えられる。 According to such a relay device, a process of responding to an authentication information transmission request message on behalf of an operation terminal (that is, an operation terminal that is a transmission source of a connection request message) that has requested start of use of a communication service (that is, its Processing for transmitting authentication information indicating that the person is permitted to use the communication service) is performed by the relay device. For this reason, the user of the operation terminal can use a communication service that requires user authentication prior to the start of use without performing any operation for inputting authentication information or transmitting the authentication information. . As another aspect of the present invention, an aspect of providing a program or the like that causes a computer to execute the process executed by the control means is also conceivable.
より好ましい態様においては、上記中継装置の制御手段は、前記操作端末と前記サーバ装置との間のデータ通信を仲介する通信網についての回線情報を記憶した回線情報提供装置から前記操作端末へ送信された通信メッセージであって、前記サーバ装置への前記回線情報の送信の可否を問合せる旨の提供可否問合せメッセージを受信した場合に、当該提供可否問合せメッセージを前記操作端末へ転送することに代えて、前記回線情報の送信を許可する旨の提供許可通知メッセージを前記回線情報提供装置へ返信する処理を実行することを特徴とする。このような態様によれば、認証情報に加えて回線情報の送信を要求される通信サービスであっても、認証情報の入力は勿論、その回線情報をサーバ装置へ送信するための操作(例えば、図7(B)の回線情報提供可否問合せ画面にて送信ボタンを押下する操作)をユーザに行わせることなく、その通信サービスを利用させることが可能になる。 In a more preferred aspect, the control means of the relay device is transmitted to the operation terminal from a line information providing device storing line information about a communication network that mediates data communication between the operation terminal and the server device. Instead of forwarding the provision availability inquiry message to the operation terminal when receiving a provision availability inquiry message for inquiring whether the transmission of the line information to the server device is possible. A process of returning a provision permission notification message for permitting transmission of the line information to the line information providing apparatus is executed. According to such an aspect, even for a communication service that requires transmission of line information in addition to authentication information, an operation for transmitting the line information to the server device as well as input of the authentication information (for example, The communication service can be used without causing the user to perform the operation of pressing the transmission button on the line information provision availability inquiry screen in FIG. 7B.
また別の好ましい態様においては、上記中継装置の制御手段は、前記サーバ装置へ宛てて送信された通信メッセージであって、データ通信の開始を要求する旨の接続要求メッセージを受信したことを契機として、当該接続要求メッセージの送信元に対して当該中継装置を介したデータ通信の実行が許可されているか否かを判定し、許可されていると判定した場合にのみ、当該接続要求メッセージを前記サーバ装置へ転送することを特徴とする。このような態様によれば、上記中継装置を介してデータ通信を行うことを許可された操作端末についてのみ、上記サーバ装置とのデータ通信を行わせることが可能になる。 In another preferred aspect, the control means of the relay device receives a connection request message for requesting the start of data communication, which is a communication message transmitted to the server device. It is determined whether or not the transmission source of the connection request message is permitted to execute data communication via the relay device, and only when it is determined that the connection request message is permitted, the connection request message is transmitted to the server. It transfers to an apparatus, It is characterized by the above-mentioned. According to such an aspect, it becomes possible to perform data communication with the server device only for the operation terminal that is permitted to perform data communication via the relay device.
また、さらに好ましい態様においては、上記中継装置は、通信メッセージの中継を行うことにより当該中継装置にかかる処理負荷、または、通信メッセージの送受信に利用される通信路に掛かっている処理負荷を計測する計測手段を有し、上記中継装置の制御手段は、前記計測手段により計測される処理負荷に応じて、当該中継装置を介して前記サーバ装置とデータ通信を行うことを許可する操作端末の台数を調整することを特徴とする。一般に、上記サーバ装置と通信する操作端末の数が多いほど、上記中継装置や上記通信路にかかる処理負荷は高くなるため、このような態様によれば、上記中継装置或いは上記通信路にかかる処理負荷が所定の閾値以下になるように、上記中継装置を介してデータ通信を行うことを許可する操作端末の数を調整(処理負荷が高いほど、当該端末数を少なくするなど)して上記中継装置或いは通信路に過剰な処理負荷がかからないようにすることで、上記サーバ装置により提供される通信サービスの利用に支障を来たさないようにすることが可能になる。 In a further preferred aspect, the relay device measures a processing load applied to the relay device or a processing load applied to a communication path used for transmission / reception of the communication message by relaying the communication message. The control unit of the relay device has a measurement unit, and the number of operation terminals that permit data communication with the server device via the relay device according to the processing load measured by the measurement unit. It is characterized by adjusting. In general, as the number of operation terminals that communicate with the server device increases, the processing load on the relay device or the communication path increases. Therefore, according to such an aspect, the processing on the relay device or the communication path Adjust the number of operation terminals that are allowed to perform data communication via the relay device so that the load is less than or equal to a predetermined threshold (such as decreasing the number of terminals as the processing load increases). By preventing an excessive processing load from being applied to the apparatus or the communication path, it becomes possible to prevent the use of the communication service provided by the server apparatus from being hindered.
以下、図面を参照しつつ本発明の実施形態について説明する。
(A:構成)
図1は、本発明の一実施形態である中継装置30を含む通信システム1の構成例を示す図である。図1に示すように、通信システム1は、例えば企業の拠点に敷設されたLAN(Local Area Network)である拠点内LAN20を、中継装置30を介して一般公衆網10に接続して構成されている。一般公衆網10は、例えば通信事業者等により運用管理される光通信網であり、その通信事業者との間で利用契約を結んだ契約者(本実施形態では、上記企業)に対するパケット通信サービスの提供に用いられる。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(A: Configuration)
FIG. 1 is a diagram illustrating a configuration example of a communication system 1 including a
図1に示すように、一般公衆網10には、各種通信サービスを提供するためのサーバ装置40と、各契約者との利用契約の内容等を表す回線情報を記憶した回線情報提供装置60が接続されている。一方、拠点内LAN20にはユーザ(例えば、上記企業の従業者)の使用する操作端末50が接続される。この操作端末50は、ブラウザソフトウェアが予めインストールされたパーソナルコンピュータである。操作端末50は、ユーザの指示に応じてサーバ装置40と所定の通信プロトコルにしたがったデータ通信を行い、そのサーバ装置40により提供される通信サービスをユーザに利用させるためのものである。この通信プロトコルとしてはプロトコル階層毎に種々のものを用いることができる。例えば、本実施形態では、ネットワーク層の通信プロトコルとしてIPが、トランスポート層の通信プロトコルとしてTCP(Transport Control Protocol)が、アプリケーション層の通信プロトコルとしてHTTPが用いられている。なお、図1では、1台の操作端末50が拠点内LAN20に接続されている場合について例示されているが、実際には多数の操作端末が拠点内LAN20に接続されている。同様に、図1では1台のサーバ装置40が一般公衆網10に接続されている場合について例示されているが複数のサーバ装置が一般公衆網10に接続されていても良い。
As shown in FIG. 1, the general
中継装置30は、パケット中継機能とスクリプト実行機能とを備えた通信装置である。上記パケット中継機能によって、中継装置30は、拠点内LAN20に接続される通信装置(例えば、操作端末50)と、他の通信装置(例えば、一般公衆網10に接続されているサーバ装置40)との間で所定の通信プロトコルにしたがって送受信される通信メッセージの中継を行う。また、スクリプト実行機能とは、所定のスクリプト言語で記述されたスクリプトファイルの解釈および実行を行う機能である。本実施形態では、上記スクリプト言語としてLuaが採用されている。Luaは、perlなどの他のスクリプト言語に比較してスクリプト実行処理の処理負荷が低い(スクリプトの解釈および実行に要するメモリ量が少ないなど)といった特徴を有しており、電子機器への組み込みに好適だからである。このように本実施形態では、電子機器への組み込みに好適であるという観点からLuaを採用したが、Perlなど他のスクリプト言語を採用しても勿論良い。
The
さて、図1のサーバ装置40により提供される通信サービスは、その利用開始に先立って認証情報と回線情報とを用いた認証を受けることを要する通信サービスである。しかし、本実施形態では、中継装置30に特徴的な処理を行わせることによって、操作端末50のユーザが上記通信サービスを利用する際には、認証を受けるための操作を一切行わなくても、その通信サービスを利用することができるようになっている。
以下、本実施形態の特徴である中継装置30を中心に説明する。
The communication service provided by the
Hereinafter, the
図2は中継装置30の構成例を示すブロック図である。
図2に示すように、中継装置30は、制御部310、第1通信インタフェース(以下、I/F)部320、第2通信I/F部330、外部機器I/F部340、記憶部350、およびこれら構成要素間のデータ授受を仲介するバス360を含んでいる。
FIG. 2 is a block diagram illustrating a configuration example of the
As illustrated in FIG. 2, the
制御部310は、例えばCPU(Central Processing Unit)である。この制御部310は、記憶部350(より正確には、不揮発性記憶部354)に記憶されているプログラム(ファームウェア)を実行することにより、中継装置30の各部の作動制御を中枢的に行う制御手段として機能する。制御部310がファームウェアにしたがって実行する処理の詳細については後に明らかにする。
The
第1通信I/F部320と第2通信I/F部330は、共にNIC(Network Interface Card)であり、各々異なる通信網に接続されている。第1通信I/F部320は拠点内LAN20に接続されており、第2通信I/F部330は一般公衆網10に接続されている。第1通信I/F部320と第2通信I/F部330は、各々の接続先の通信網から受信したパケット(通信メッセージを予め定められたデータサイズ分ずつに分割し、その各々にIPヘッダを付与して得られるデータブロック)を制御部310へ引渡すとともに、制御部310から引渡されるパケットを各々の接続先の通信網へと送出する。
The first communication I /
外部機器I/F部340は、外部記憶媒体(例えば、USBメモリ等)やシリアルコンソールなどの外部機器との間で所定のプロトコル(USBやRS−232C)にしたがってデータの授受を行うインタフェースの集合体である。例えば、外部機器としてUSBメモリを用いる場合には、USBインタフェースを外部機器I/F部340に含めておけば良く、外部機器としてシリアルコンソールを用いる場合には、RS−232Cインタフェースなどのシリアルインタフェースを外部機器I/F部340に含めておけば良い。この外部機器I/F部340は、ファームウェアの書き換えや各種データを中継装置30に記憶させる際に、新たなファームウェアや新たなデータを中継装置30に与えるためのインタフェースとして機能する。
The external device I /
記憶部350は、揮発性記憶部352と不揮発性記憶部354を含んでいる。揮発性記憶部352は、例えばRAM(Random Access Memory)などの揮発性メモリであり、制御部310がファームウェアを実行する際にワークエリアとして利用される。一方、不揮発性記憶部354は、例えばEPROM(Erasable Programmable Read Only
Memory)などの不揮発性メモリである。この不揮発性記憶部354には、ファームウェアの他に、各種データが予め記憶されている。不揮発性記憶部354に格納されているデータの一例としては、情報代理送信スクリプト、セキュリティポリシデータベース、認証情報データベース、およびルーティングテーブル(図示略)が挙げられる。不揮発性記憶部354に記憶されているこれらデータのうち、ルーティングテーブルについては一般的なルータに記憶されているものと何ら変るところはないため、以下では、情報代理送信スクリプト、セキュリティポリシデータベース、および認証情報データベースを中心に説明する。
The
Memory). The
情報代理送信スクリプトは、図3(B)に示す情報代理送信処理を制御部310に実行させるためのコマンドをその実行順に上記所定のスクリプト言語(Lua)を用いて記述したテキストファイルである。制御部310は、情報代理送信スクリプトに書き込まれているコマンドの解釈および実行をスクリプト実行機能によって順次行い、図3(B)に示す情報代理送信処理を実行する。
The information proxy transmission script is a text file in which commands for causing the
セキュリティポリシデータベースには、拠点内LAN20に接続される通信装置のうち中継装置30を介してデータ通信を行うことを許可されている通信装置を示すデータが格納されている。このセキュリティポリシデータベースの格納内容は、接続要求メッセージの送信元に対して中継装置30を介したデータ通信の実行が許可されているか否かを制御部310に判定させる際に利用される。詳細については後述するが、制御部310は、第1通信I/F部320を介して受信した接続要求メッセージの送信元について当該中継装置30を介したデータ通信の実行を許可されていると判定した場合にのみ、その接続要求メッセージをその宛先へと転送する処理を実行する。以下では、中継装置30を介してデータ通信を行うことを許可されている通信装置のことを「セキュリティポリシを満たす通信装置」と呼ぶ。
The security policy database stores data indicating communication devices that are permitted to perform data communication via the
ここで、セキュリティポリシを満たす通信装置を示すデータとしては種々のものが考えられる。例えば、通信装置に割り当てられている通信アドレス(MACアドレスやIPアドレス)を用いる態様や、セキュリティポリシを満たす通信装置にインストールされているべきソフトウェア(オペレーティングシステムやブラウザソフトウェア、ウィルスチェックソフトウェア)を示すデータを用いる態様が考えられる。例えば、MACアドレスを用いる態様であれば、拠点内LAN20が敷設されている企業に備品として登録されている通信装置のMACアドレスをセキュリティポリシデータベースに登録しておくのである。このような態様によれば、従業者が個人所有の通信装置を拠点内LAN20に接続し、中継装置30を介してデータ通信を行おうとしても、そのような通信装置から送信された接続要求メッセージがその宛先へ転送されることはなく、個人所有の通信装置を用いて外部とデータ通信を行うことが制限され、予期せぬ情報漏洩を防止することができる。
Here, various data can be considered as data indicating a communication device that satisfies the security policy. For example, data indicating a mode using a communication address (MAC address or IP address) assigned to a communication device, or software (operating system, browser software, virus check software) that should be installed in a communication device satisfying the security policy An embodiment using can be considered. For example, if the MAC address is used, the MAC address of the communication device registered as equipment in the company where the local LAN 20 is installed is registered in the security policy database. According to such an aspect, even if an employee connects a personally owned communication device to the local LAN 20 and tries to perform data communication via the
一方、セキュリティポリシを満たす通信装置を示すデータとして、通信装置にインストールされているべきウィルスチェックソフトウェアを示すデータを用いる場合には、そのようなウィルスチェックソフトウェアがインストールされていない通信装置が中継装置30を介して外部とデータ通信を行うことを制限することができ、予期せぬコンピュータウィルスへの感染を防止することができる。なお、セキュリティポリシを満たすか否かを、通信装置にインストールされているウィルスチェックソフトウェアに基づいて判定する態様においては、どのようなウィルスチェックソフトウェアがインストールされているのかを接続要求メッセージの送信元の通信装置から中継装置30へ通知させる必要がある。このようなことは、接続要求メッセージの送信の際に当該データを付与して送信させることで実現しても良く、別個の通信で実現しても良い。以下、本実施形態では、セキュリティポリシを満たす通信装置を示すデータとしてMACアドレスを用いる態様について説明するが、ニーズに応じて適宜好適な態様を採用するようにすれば良い。
On the other hand, when data indicating virus check software that should be installed in the communication device is used as data indicating a communication device that satisfies the security policy, the communication device in which such virus check software is not installed is the
認証情報データベースには、一般公衆網10を介して提供される通信サービスのうち、利用の際に認証を受けることを要するものについての認証情報がその通信サービスの提供に用いられるサーバ装置を示すデータ(例えば、当該サーバ装置のURIや通信アドレス)に対応付けて登録されている。本実施形態では、認証情報データベースへの認証情報の登録は前述したシリアルコンソールを介したコマンド入力等により中継装置30の運用管理者によって予め行われている。ここで、認証情報データベースへの認証情報の登録態様(認証情報とサーバ装置を示すデータとの対応付けの仕方)としては、種々のものが考えられる。第1の態様としては、上記サーバ装置を示すデータに対応付けて1つの認証情報を登録しておく態様が考えられ、第2の態様としては、上記サーバ装置を示すデータに対応付けてそのサーバ装置により提供される通信サービスの利用を許可されたユーザの操作端末を示すデータとそのユーザ固有の認証情報とを登録しておく態様である。第1の態様によれば、中継装置30を介して通信サービスを利用する複数のユーザによって1つの認証情報(この場合、各ユーザについての認証情報というよりは、上記企業或いは中継装置30についての認証情報という意味になる)が共有されることになり、認証情報の管理が容易になる、といった利点がある。一方、第2の態様によれば、サーバ装置毎に各ユーザ固有の認証情報が登録されることになり、より決め細やかな認証情報管理を行うことが可能になる。以下、本実施形態では、認証情報の管理が容易になるという利点を重視して、第1の態様を採用する場合について説明するが、ニーズに応じて適宜好適な態様を採用するようにすれば良い。
In the authentication information database, authentication information about communication services provided via the general
不揮発性記憶部354に格納されているファームウェアは、図2に示すように、前述したパケット中継機能およびスクリプト実行機能を制御部310に実現させるとともに、接続要求メッセージ転送制御処理を制御部310に実行させるためのプログラムである。制御部310は、中継装置30の電源(図示略)が投入されると、上記ファームウェアを不揮発性記憶部354から揮発性記憶部352に読み出し、その実行を開始する。制御部310がファームウェアにしたがって実現するパケット中継機能およびスクリプト実行機能については一般的な通信装置におけるものと何ら変るところはないため、詳細な説明を省略する。
As shown in FIG. 2, the firmware stored in the
図3(A)は、接続要求メッセージ転送制御処理の流れを示すフローチャートである。図3(A)に示すように、接続要求メッセージ転送制御処理は、接続要求メッセージの転送制御を行うとともに、予め定められた条件が満たされたときに、情報代理送信スクリプトの実行を開始する処理である。詳細については後述するが、本実施形態では、セキュリティポリシを満たす操作端末から送信された接続要求メッセージであって、かつ、認証を受けることを要する通信サービスの提供を行うサーバ装置へ宛てて送信された接続要求メッセージを受信したことを契機として、情報代理送信スクリプトの実行が開始される。 FIG. 3A is a flowchart showing the flow of the connection request message transfer control process. As shown in FIG. 3 (A), the connection request message transfer control process performs transfer control of the connection request message and starts execution of the information proxy transmission script when a predetermined condition is satisfied. It is. Although details will be described later, in this embodiment, the connection request message is transmitted from an operation terminal that satisfies the security policy, and is transmitted to a server device that provides a communication service that requires authentication. Upon receipt of the received connection request message, execution of the information proxy transmission script is started.
図3(B)は情報代理送信スクリプトにしたがって制御部310が実行する情報代理送信処理の流れを示すフローチャートである。この情報代理送信処理は、通信サービスの提供元のサーバ装置から返信されてくる認証情報送信要求メッセージを受信した場合には、その認証情報送信要求メッセージをその宛先に転送することに代えて、認証情報を上記サーバ装置に送信し、回線情報提供装置から送信されてくる提供可否問合せメッセージを受信した場合には、その宛先への転送に代えて、提供許可通知メッセージを上記回線情報提供装置に送信する処理である。
以上が中継装置30の構成である。
FIG. 3B is a flowchart showing a flow of information proxy transmission processing executed by the
The above is the configuration of the
(B:動作)
次いで、操作端末50のユーザが、サーバ装置40により提供される通信サービスを利用する場合を例にとって、中継装置30の動作を説明する。なお、以下に説明する動作例では、操作端末50はセキュリティポリシを満たす通信装置(すなわち、操作端末50の通信アドレス(MACアドレス)は中継装置30のセキュリティポリシデータベースに登録されている)であり、中継装置30の認証情報データベースには、サーバ装置40の通信アドレスに対応付けてそのサーバ装置40により提供される通信サービスを利用する際に必要となる認証情報が1つだけ予め登録されている。
(B: Operation)
Next, the operation of the
操作端末50のユーザは、サーバ装置40によって提供される通信サービスの利用を所望する場合、従来と同様に操作端末50にブラウザソフトウェアを実行させ、アクセス先としてサーバ装置40を指示する。このような指示が与えられた操作端末50の制御部(図示略)は、サーバ装置40へ宛てて接続要求メッセージを送信する(図4参照)。このようにして操作端末50から送信される接続要求メッセージは拠点内LAN20を介して中継装置30に到達する。
When a user of the
中継装置30の制御部310は、第1通信I/F部320を介して上記接続要求メッセージを受信すると、前述した接続要求メッセージ転送制御処理を実行する。図3(A)に示すように、制御部310は、まず、受信した接続要求メッセージの送信元がセキュリティポリシを満たすか否かを判定する(ステップSA110)。具体的には、制御部310は、上記接続要求メッセージの送信元のMACアドレスと一致するMACアドレスがセキュリティポリシデータベースに格納されているか否かを判定し、該当するMACアドレスが格納されている場合には、上記送信元はセキュリティポリシを満たすと判定する。そして、ステップSA110の判定結果が“No”である場合には、制御部310は、データ通信の仲介を拒否する旨の接続拒否応答メッセージを上記接続要求メッセージの送信元へ返信(ステップSA120)し、本接続要求メッセージ転送制御処理を終了する。この場合、中継装置30が受信した接続要求メッセージはその宛先へ転送されることなく破棄され、当該接続要求メッセージの送信元とその宛先との間で中継装置30を介したデータ通信が行われることはない。
When the
これに対して、ステップSA110の判定結果が“Yes”である場合には、制御部310は、ステップSA130以降の処理を実行する。前述したように、本動作例では、接続要求メッセージの送信元である操作端末50のMACアドレスは中継装置30のセキュリティポリシデータベースに登録されているため、ステップSA110の判定結果は“Yes”になり、制御部310はステップSA130以降の処理を実行する。
On the other hand, when the determination result in step SA110 is “Yes”, the
ステップSA130の処理は、上記接続要求メッセージの送信先が、認証を受けることを要する通信サービスを提供するサーバ装置であるか否かを判定する処理である。より詳細に説明すると、このステップSA130においては、制御部310は、上記接続要求メッセージの送信先アドレスに一致する通信アドレスが認証情報データベースに格納されているか否かを判定し、該当する通信アドレスが認証情報データベースに格納されている場合にその判定結果は“Yes”となる。ステップSA130の判定結果が“Yes”である場合には、制御部310は、前述したスクリプト実行機能により情報代理送信スクリプトの実行を開始(ステップSA140)し、さらに、上記接続要求メッセージをその宛先へと転送する(ステップSA150)。逆に、ステップSA130の判定結果が“No”である場合には、制御部310は、上記ステップSA150の処理のみを実行する。
The process of step SA130 is a process of determining whether or not the destination of the connection request message is a server device that provides a communication service that requires authentication. More specifically, in step SA130,
前述したように、本動作例にて操作端末50から送信されてくる接続要求メッセージの宛先はサーバ装置40であり、このサーバ装置40の通信アドレスは認証情報データベースに格納されている。このため、本動作例においては、ステップSA130の判定結果は“Yes”になり、情報代理送信スクリプトの実行(図3(A):ステップSA140)および接続要求メッセージの転送(図3(A):ステップSA150)が実行される。図4に示すように、中継装置30によって転送された接続要求メッセージを受信したサーバ装置40は、当該接続要求メッセージの送信元(本動作例では、操作端末50)へ宛てて認証情報送信要求メッセージを返信する。このようにしてサーバ装置40から送信された認証情報送信要求メッセージは一般公衆網10内を適宜ルーティングされ、中継装置30に到達する。
As described above, the destination of the connection request message transmitted from the
操作端末50へ宛ててサーバ装置40から送信された認証情報送信要求メッセージが中継装置30に到達した時点では、中継装置30の制御部310は、情報代理送信スクリプトにしたがって情報代理送信処理を実行中である。この情報代理送信処理を実行中の制御部310は、図3(B)に示すように、操作端末50宛ての認証情報送信要求メッセージが送信されてくることを待ち受けており(ステップSB110)、第2通信I/F部330を介してこの認証情報送信要求メッセージを受信すると(ステップSB110:Yes)、ステップSB120の処理を実行する。このステップSB120の処理は、第2通信I/F部330を介して受信した認証情報送信要求メッセージをその宛先へと転送することに代えて、その認証情報送信要求メッセージの送信元アドレスと一致する通信アドレスに対応付けて認証情報データベースに登録されている認証情報を読み出し、その認証情報をメッセージボディ部に書き込んだ認証情報送信メッセージを上記認証情報送信要求メッセージの送信元(すなわち、サーバ装置40)に送信する処理である。そして、制御部310は、ステップSB120の処理を完了すると、回線情報提供装置から提供可否問合せメッセージが送信されてくることを待ち受ける(ステップSB130)。なお、この認証情報送信メッセージを送信する際には、制御部310は、送信元アドレスとして中継装置30の通信アドレスを書き込むのではなく、上記認証情報送信要求メッセージの送信先アドレス(すなわち、操作端末50の通信アドレス)を上記送信元アドレスに書き込んで送信する。中継装置30は、操作端末50の代理として認証情報送信メッセージを送信するからである。
When the authentication information transmission request message transmitted from the
このようにして中継装置30から送信される認証情報送信メッセージは、一般公衆網10内を適宜ルーティングされ、その宛先であるサーバ装置40に到達する(図4参照)。この通信メッセージを受信したサーバ装置40は、その認証情報送信メッセージのメッセージボディ部に書き込まれている認証情報を読み出し、その認証情報を用いて認証処理を行う。その結果、その認証情報が予め登録されたものと一致する場合には、サーバ装置40は、回線情報送信要求メッセージを回線情報提供装置60に送信する。この回線情報送信要求メッセージのメッセージボディ部には、回線情報の提供可否の問合せ先を示す問合せ先アドレスとして前述した接続要求メッセージの送信元アドレス(すなわち、操作端末50の通信ドレス)が書き込まれている。
The authentication information transmission message transmitted from the
回線情報提供装置60は、上記回線情報要求メッセージを受信すると、そのメッセージボディ部に書き込まれている問合せ先アドレスを送信先アドレスとして、提供可否問合せメッセージを送信する。このようにして回線情報提供装置60から送信された提供可否問合せメッセージは、一般公衆網10内を適宜ルーティングされ、その送信先である操作端末50が接続される拠点内LAN20と一般公衆網10との境界に位置する中継装置30によって受信される。
When receiving the line information request message, the line
回線情報提供装置60から送信された提供可否問合せメッセージが中継装置30に到達した時点では、中継装置30の制御部310は、提供可否問合せメッセージが送信されてくることを待ち受けており(ステップSB130)、第2通信I/F部330を介して提供可否問合せメッセージを受信すると(ステップSB130:Yes)、ステップSB140の処理を実行する。このステップSB140の処理は、第2通信I/F部330を介して受信した提供可否問合せメッセージをその宛先へと転送することに代えて、提供許可通知メッセージを上記提供可否問合せメッセージの送信元(すなわち、回線情報提供装置60)へ送信する処理である。このステップSB140の処理においても、制御部310は、前述したステップSB120における処理と同様に、上記提供可否問合せメッセージの送信先アドレス(すなわち、操作端末50の通信アドレス)を上記提供許可通知メッセージの送信元アドレスに書き込んで送信する。中継装置30は、操作端末50の代理として提供許可通知メッセージを送信するからである。
When the provision availability inquiry message transmitted from the line
このようにして中継装置30から送信された提供許可通知メッセージを受信した回線情報提供装置60は、図4に示すように、該当する回線情報をメッセージボディ部に書き込んだ回線情報送信メッセージをサーバ装置40に送信する。サーバ装置40は、上記回線情報送信メッセージを受信すると、そのメッセージボディ部に書き込まれている回線情報を参照して、通信サービスの要求元が一般公衆網10の正当な契約者であることを確認し、接続許可応答メッセージをその要求元の通信装置(本動作例では、操作端末50)に送信する(図4参照)。
In this way, the line
図4に示すように、サーバ装置40から返信された接続許可応答メッセージは一般公衆網10内を適宜ルーティングされて中継装置30に到達し、中継装置30の制御部310は、第2通信I/F部330を介して接続許可応答メッセージを受信すると、前述したパケット中継機能によりその接続許可応答メッセージを操作端末50に転送する。中継装置30によって転送された接続許可応答メッセージは拠点内LAN20を介して操作端末50に到達する。操作端末50の制御部は、この接続許可応答メッセージを受信すると、そのメッセージボディ部に書き込まれているHTMLデータを読み出し、そのHTMLデータにしたがってサービス提供画面(図7(C)参照)を表示部に表示させる。以降、操作端末50のユーザは、上記サービス提供画面の閲覧を通じて、サーバ装置40により提供される通信サービスを利用することができるのである。
As shown in FIG. 4, the connection permission response message returned from the
さて、ここで注目すべき点は、操作端末50のユーザは、利用を所望する通信サービスの提供元のサーバ装置を指示した以降は、その後、認証を受けるための操作(認証情報の入力や送信、回線情報の提供を許可する操作)を一切行うことなく、通信サービス提供画面を閲覧すること(すなわち、通信サービスを利用すること)が可能になっている、という点である。このように、本実施形態によれば、利用開始に先立って認証を受けること要する通信サービスを、認証のための操作を一切行うことなく、ユーザに利用させることが可能になるのである。
Now, it should be noted that after the user of the
(C:変形)
以上本発明の一実施形態について説明したが、以下に述べる変形を加えても勿論良い。
(1)上述した実施形態では、中継装置30の認証情報データベースに、サーバ装置40により提供される通信サービスの利用を許可された者の認証情報が予め登録されていた。しかし、初回は通常の手順(図6参照)でユーザに認証を受けさせるとともに、その認証の際に操作端末50とサーバ装置40との間で送受信される通信メッセージの中継過程において認証情報とサーバ装置を示すデータとを取得し両者を対応付けて認証情報データベースに登録する処理を中継装置30に実行させ、それ以降は、上述した実施形態にて説明したように、認証情報の代理送信を中継装置30に行わせるようにしても良い。
(C: deformation)
Although one embodiment of the present invention has been described above, it goes without saying that the following modifications may be added.
(1) In the above-described embodiment, authentication information of a person who is permitted to use the communication service provided by the
(2)上述した実施形態によれば、操作端末50の利用者は利用を所望する通信サービスの提供元のサーバ装置を指示した以降は、認証を受けるために特段の操作を行わなくても、サーバ装置40によって提供される通信サービスを利用することができた。これを通信システム1における通信シーケンス(図4参照)の観点から見ると、操作端末50は、接続要求メッセージを送信してから接続許可応答メッセージを受信するまでの間に通信メッセージの送受信を一切行わないことを意味する。しかし、このような態様では、接続要求メッセージを送信してから接続許可応答メッセージを受信するまでの期間が長すぎると、所謂通信タイムアウトが発生する虞がある。
(2) According to the above-described embodiment, after the user of the
そこで、このような通信タイムアウトの発生を避けるため、操作端末50から接続要求メッセージを受信した時から一定の時間が経過する毎に、要求に応じた処理を実行中であることを示すダミーの通信メッセージ(例えば、SIP(Session Initiation Protocol)における“100 Trying”に相当する通信メッセージ)を中継装置30から操作端末50に送信し、操作端末50には、通信タイムアウトを計時するタイマを上記ダミーの通信メッセージを受信する毎に初期化する処理を実行させるようにしても良い。また、接続要求メッセージの転送を行ってから一定の時間が経過しても認証情報送信要求メッセージを受信しない場合や、認証情報送信メッセージの代理送信を行ってから一定の時間が経過しても提供可否問合せメッセージを受信しない場合、或いは、提供許可通知メッセージの代理送信を行ってから一定の時間が経過しても接続許可応答メッセージを受信しない場合に、上記ダミーの通信メッセージを操作端末50へ送信する処理を中継装置30に実行させるようにしても良い。
Therefore, in order to avoid the occurrence of such a communication timeout, a dummy communication indicating that processing corresponding to the request is being executed every time a certain time has elapsed since the connection request message was received from the
(3)上述した実施形態では、セキュリティポリシを満たす操作端末から送信された接続要求メッセージであって、ユーザ認証を要する通信サービスを提供するサーバ装置へ宛てて送信された接続要求メッセージを受信したことを契機として、情報代理送信スクリプトの実行を開始させた。しかし、所定のサーバ装置へ宛てて送信された接続要求メッセージを受信した場合には、無条件に(すなわち、送信元がセキュリティポリシを満たすか否かの判定(図3:ステップSA110)を行わずに)、情報代理送信スクリプトの実行を開始させても良い。また、上述した実施形態では、セキュリティポリシを満たす操作端末から送信された接続要求メッセージであって、ユーザ認証を要する通信サービスを提供するサーバ装置へ宛てて送信された接続要求メッセージの受信を契機として、情報代理送信スクリプトの実行を開始させたが、図5に示すように、接続要求メッセージについては無条件にその宛先へと転送し、その接続要求メッセージに対する応答である認証情報送信要求メッセージの受信を契機として情報代理送信スクリプトの実行を開始し、認証情報の代理送信を行わせても良い。 (3) In the above-described embodiment, the connection request message transmitted from the operation terminal satisfying the security policy, which is transmitted to the server device that provides the communication service requiring user authentication, has been received. As a result, the execution of the information proxy transmission script was started. However, when a connection request message transmitted to a predetermined server device is received, the determination is not made unconditionally (that is, whether the transmission source satisfies the security policy (FIG. 3: step SA110)). In addition, the execution of the information proxy transmission script may be started. Further, in the above-described embodiment, triggered by reception of a connection request message transmitted from an operation terminal that satisfies the security policy and transmitted to a server device that provides a communication service that requires user authentication. However, as shown in FIG. 5, the connection request message is unconditionally transferred to the destination, and the authentication information transmission request message that is a response to the connection request message is received. As an opportunity, the execution of the information proxy transmission script may be started to perform proxy transmission of authentication information.
(4)上述した実施形態では、第1通信I/F部320を介して受信した接続要求メッセージの送信元がセキュリティポリシを満たすか否かを判定し、満たす場合にその接続要求メッセージをその宛先へ転送する場合について説明した。しかし、中継装置30に掛かっている処理負荷、或いは一般公衆網10や拠点内LAN20の両方または何れか一方(すなわち、サーバ装置40と操作端末50との間で送受信される通信メッセージの通信路)に掛かっている処理負荷を計測する計測手段を中継装置30に設け、第1通信I/F部320を介して受信した接続要求メッセージの送信元がセキュリティポリシを満たし、かつ、上記計測手段により計測された処理負荷が所定の閾値以下である場合にのみ、その接続要求メッセージをその宛先に転送する処理を制御部310に実行させるようにしても良い。ここで、中継装置30に掛かっている処理負荷の計測は、中継装置30を介してデータ通信を行っている操作端末の台数、或いは制御部310の利用率(所謂CPU利用率)の計測により行えば良く、上記通信路に掛かっている処理負荷の計測は、単位時間当たりの通信エラーの発生回数の計測により行えば良い。このような態様によれば、中継装置30(或いは、上記通信路)に過剰な処理負荷が掛かって通信サービスの利用に支障が生じることを回避することが可能になる。
(4) In the above-described embodiment, it is determined whether or not the transmission source of the connection request message received via the first communication I /
(5)上述した実施形態では、認証情報の代理送信と提供許可通知メッセージの代理送信とを中継装置30に実行させたが、認証情報の代理送信のみを中継装置30に実行させるようにしても良い。逆に、提供許可通知メッセージの代理送信のみを中継装置30に実行させるようにしても良い。例えば、通信サービスの提供開始に先立って要求される認証が、認証情報のみを用いたものであれば、認証情報の代理送信のみを中継装置30に行わせるようにすれば良く、回線情報のみを用いたものであれば、提供許可通知メッセージの代理送信のみを中継装置30に行わせるようにすれば良いからである。
(5) In the above-described embodiment, the
(6)上述した実施形態では、本実施形態の特徴を顕著に示す情報代理送信処理をスクリプトにしたがって実行する場合について説明した。これは、スクリプト実行機能を有する中継装置であれば、新たなスクリプトのインストール等によって簡便に機能拡張することができるからである。しかし、情報代理送信処理をファームウェアで実現しても勿論良い。例えば、情報代理送信処理を実現するコマンド列からなるサブルーチンをファームウェアに組み込んでおくのである。このような態様によれば、スクリプト実行機能を有さない中継装置に、本発明の中継装置と同一の機能を付与することが可能になる。また、上述した実施形態では、接続要求メッセージ転送制御処理(図3(A)参照)をファームウェアにしたがって実行する場合について説明したが、当該接続要求メッセージ転送制御処理の全部または少なくともその一部(具体的には、図3(A)に示す接続要求メッセージ転送制御処理の要部を為すステップSA110およびSA130の判定処理)をスクリプトで実現しても勿論良い。 (6) In the above-described embodiment, a case has been described in which the information proxy transmission process that significantly shows the features of the present embodiment is executed according to a script. This is because a relay device having a script execution function can be easily expanded by installing a new script or the like. However, of course, the information proxy transmission process may be realized by firmware. For example, a subroutine including a command sequence for realizing information proxy transmission processing is incorporated in the firmware. According to such an aspect, it becomes possible to give the same function as the relay apparatus of this invention to the relay apparatus which does not have a script execution function. In the above-described embodiment, the case where the connection request message transfer control process (see FIG. 3A) is executed according to the firmware has been described. However, all or at least a part of the connection request message transfer control process (specifically, Specifically, the determination process of steps SA110 and SA130, which is the main part of the connection request message transfer control process shown in FIG.
(7)上述した実施形態では、本発明の特徴を顕著に示す接続要求メッセージ転送制御処理を中継装置30の制御部310に実行させるファームウェアや情報代理送信スクリプトがその中継装置30の記憶部350に予め記憶されていた。しかし、例えばCD−ROM(Compact Disk-Read Only Memory)などのコンピュータ装置読み取り可能な記録媒体に上記ファームウェアやスクリプトを書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより上記ファームウェアやスクリプトを配布しても良い。また、情報代理送信処理を実現するコマンド列をファームウェアに組み込んでおく態様においては、そのファームウェアをコンピュータ装置読み取り可能な記録媒体に書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより当該ファームウェアを配布しても良い。さらに、情報代理送信処理に加えて接続要求メッセージ転送制御処理の全部または少なくともその一部をスクリプトで実現する場合も同様に、そのスクリプトをコンピュータ装置読み取り可能な記録媒体に書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより配布しても良い。
(7) In the above-described embodiment, the firmware and information proxy transmission script for causing the
10…一般公衆網、20…拠点内LAN、30…中継装置、310…制御部、320…第1通信I/F部、330…第2通信I/F部、340…外部機器I/F部、350…記憶部、352…揮発性記憶部、354…不揮発性記憶部、360…バス、40…サーバ装置、50…操作端末、60…回線情報提供装置。
DESCRIPTION OF
Claims (4)
前記サーバ装置が提供する通信サービスの利用を許可された者であることを示す認証情報が予め書き込まれた記憶手段と、
前記操作端末からの接続要求に応じて前記サーバ装置から送信されてくる通信メッセージであって、認証情報の送信を要求する旨の認証情報送信要求メッセージを受信した場合に、当該認証情報送信要求メッセージを前記操作端末へ転送することに代えて、前記記憶手段に記憶されている認証情報を前記サーバ装置へ送信する処理を実行する制御手段と、を備え、
前記制御手段は、
前記操作端末からの接続要求の前記サーバ装置への中継を行ってから一定時間が経過しても前記認証情報送信要求メッセージを前記サーバ装置から受信しなかった場合に前記接続要求に応じた処理を実行中であることを示す通信メッセージを前記操作端末へ送信する処理、を実行する
ことを特徴とする中継装置。 In a relay device that relays communication messages transmitted and received between a server device that provides a communication service and an operation terminal,
Storage means in which authentication information indicating that the server apparatus is permitted to use the communication service provided by the server device is written in advance;
When a communication message transmitted from the server device in response to a connection request from the operation terminal and receiving an authentication information transmission request message requesting transmission of authentication information, the authentication information transmission request message Control means for executing a process of transmitting the authentication information stored in the storage means to the server device instead of transferring the information to the operation terminal,
The control means includes
Processing corresponding to the connection request if it does not receive the authentication information transmission request message in a certain time period after performing the relay from the server device to the server device a connection request from the previous SL operating terminal A process of transmitting a communication message indicating that is being executed to the operation terminal is executed.
前記制御手段は、前記計測手段により計測される処理負荷に応じて、当該中継装置を介して前記サーバ装置とデータ通信を行うことを許可する操作端末の台数を調整することを特徴とする請求項1〜3の何れか1に記載の中継装置。 Having a measuring means for measuring the processing load applied to the relay device by relaying the communication message, or the processing load applied to the communication path used for transmission / reception of the communication message,
The control means adjusts the number of operation terminals permitted to perform data communication with the server device via the relay device according to a processing load measured by the measuring device. The relay device according to any one of 1 to 3.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010053511A JP5736654B2 (en) | 2010-03-10 | 2010-03-10 | Relay device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010053511A JP5736654B2 (en) | 2010-03-10 | 2010-03-10 | Relay device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011186936A JP2011186936A (en) | 2011-09-22 |
JP5736654B2 true JP5736654B2 (en) | 2015-06-17 |
Family
ID=44793096
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010053511A Active JP5736654B2 (en) | 2010-03-10 | 2010-03-10 | Relay device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5736654B2 (en) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001326658A (en) * | 2000-03-10 | 2001-11-22 | Fujitsu Ltd | Network load managing unit, communication unit, communication method, medium and program |
JP2002032340A (en) * | 2000-07-14 | 2002-01-31 | Nec Corp | System and method for single sign-on web site and recording medium |
JP4280570B2 (en) * | 2003-07-01 | 2009-06-17 | キヤノン株式会社 | Communication control method and communication apparatus |
-
2010
- 2010-03-10 JP JP2010053511A patent/JP5736654B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011186936A (en) | 2011-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4803116B2 (en) | Virtual network connection device and program | |
JP4260116B2 (en) | Secure virtual private network | |
CN108496380B (en) | Server and storage medium | |
US9438639B2 (en) | Network system, access-support server, processing device, and communication agent device | |
US20110030047A1 (en) | Method, apparatus and system for protecting user information | |
JP6658163B2 (en) | Information processing device and program | |
US8601568B2 (en) | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method | |
JP4670598B2 (en) | Network system, proxy server, session management method, and program | |
JP2006217196A (en) | Method and system for authenticating radio lan | |
JP2008519335A (en) | Enhancement of real-time communication client | |
GB2494891A (en) | A race condition during MAC authentication is avoided by confirming authentication to DHCP server prior to address allocation. | |
JP5218547B2 (en) | Authentication device, authentication method, and data utilization method | |
WO2001057686A1 (en) | Communication system, relay device, service providing device, relaying method, service providing method, and program product | |
JP4565242B2 (en) | Network connection service providing device | |
JP6665529B2 (en) | CONTROL DEVICE, RADIO COMMUNICATION CONTROL METHOD, AND RADIO COMMUNICATION CONTROL PROGRAM | |
JP5260467B2 (en) | Access control system and access control method | |
WO2004021654A1 (en) | Electronic mail delivery system | |
JP4573559B2 (en) | Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program | |
JP5736654B2 (en) | Relay device | |
CN113630447B (en) | Web-based cloud service providing method, system and storage medium | |
JP4352210B2 (en) | Access management server, network device, network system | |
US20160381147A1 (en) | Information transmission method and apparatus | |
JP5365911B2 (en) | Image reading system | |
JP6122984B1 (en) | Authentication processing apparatus and authentication processing method | |
JP2005149337A (en) | Gateway device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130121 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131203 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140203 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140805 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141006 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150324 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150406 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5736654 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |