JP6317630B2 - トンネル接続装置、トンネル終端装置、接続制御方法、及びプログラム - Google Patents
トンネル接続装置、トンネル終端装置、接続制御方法、及びプログラム Download PDFInfo
- Publication number
- JP6317630B2 JP6317630B2 JP2014118190A JP2014118190A JP6317630B2 JP 6317630 B2 JP6317630 B2 JP 6317630B2 JP 2014118190 A JP2014118190 A JP 2014118190A JP 2014118190 A JP2014118190 A JP 2014118190A JP 6317630 B2 JP6317630 B2 JP 6317630B2
- Authority
- JP
- Japan
- Prior art keywords
- tunnel
- connection
- server
- client
- function unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 22
- 238000004891 communication Methods 0.000 claims description 29
- 230000004044 response Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 description 52
- 238000010586 diagram Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、クライアントとサーバとの間をトンネルを経由して接続する技術に関連するものである。
近年、監視カメラやセンサ等の端末をネットワーク接続し、データセンタからそれらの端末にアクセスしてデータを収集するインターネットの利用形態が広まってきている。このような利用形態はIoT(Internet of Things)と呼ばれる。
従来のインターネットの利用方法では、図1(a)に示すように、クライアント1(端末)側の利用者は、クライアントソフトウェアであるWebブラウザを使用して、通信を起動し(ステップ1)、データセンタにあるサーバ2に対してHTTPリクエストを送信することによりデータ(コンテンツ)を要求し(ステップ2)、データを受信する(ステップ3)。このように、データを要求する方向は端末からデータセンタ方向である。
一方、図1(b)に示すように、IoTにおける監視カメラ3や温度センサ4等の端末は、端末と呼ばれるもののその実体はWebサーバであり、データセンタ5側から端末3、4に対してHTTPリクエストを送信して(ステップ5)、画像データや温度等のデータを収集している(ステップ6)。
IoTにおける端末は、一般家庭やオフィス等に広域に分散配置され、NATの内側の守られたプライベートネットワークに接続されることが一般的である。例えば図2に示すように、IoTにおける端末4をWebサーバとしてインターネットに公開することは、家庭やオフィスのインターネットの接続点であるブロードバンドルータ等のCPE6においてポート転送を設定することにより実現できる。しかしながら、この技術は、不特定多数からのアクセスに応答するWebサーバやメールサーバをインターネットに公開するための技術であり、また、固定IPアドレスやDynamicDNSによってアドレスを公開する必要があることから、IoT用途には適していない。
すなわち、IoT用途では、セキュリティを保つためにデータセンタ等の特定のサイトからのみのアクセスを許容することが必要であり、また、多数の端末が設置されることから、固定IPアドレスやDynamicDNSに登録するためのドメイン名を取得する手間、CPEへの設定投入負担等は小さいことが必要であるところ、図2に示すような公開手法はこれらの必要性を満たしていない。
その他の手法として、自由度を制限したポート転送型SSL−VPNを使用することが考えられる。しかし、図3に示すように、ポート転送型SSL−VPNでは、TCPコネクションの確立方向が端末(クライアント)1からデータセンタ2への方向なので、IoT環境のように端末1にWebサーバがインストールされており、データセンタ2側からコネクションを確立する方式においては、ポート転送型SSL−VPNコネクションを利用することはできない。
本発明は上記の点に鑑みてなされたものであり、データセンタ等におけるクライアントから、トンネルを介してサーバにアクセスし、当該サーバからデータを取得することをセキュアに実現するための技術を提供することを目的とする。
本発明の実施の形態によれば、クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル接続装置であって、
前記トンネル終端装置に対してトンネル確立要求を送信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル接続部と、
前記トンネル終端装置と前記クライアントとの間にコネクションが確立された後に、当該トンネル終端装置からコネクション確立通知を受信したことに応じて、前記サーバとの間にコネクションを確立するクライアント機能部とを備え、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とするトンネル接続装置が提供される。
前記トンネル終端装置に対してトンネル確立要求を送信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル接続部と、
前記トンネル終端装置と前記クライアントとの間にコネクションが確立された後に、当該トンネル終端装置からコネクション確立通知を受信したことに応じて、前記サーバとの間にコネクションを確立するクライアント機能部とを備え、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とするトンネル接続装置が提供される。
また、本発明の実施の形態によれば、クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル終端装置であって、
前記トンネル接続装置からトンネル確立要求を受信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル終端部と、
前記クライアントからコネクション確立要求を受信し、当該クライアントとの間にコネクションを確立するサーバ機能部とを備え、
前記サーバ機能部は、前記コネクションが確立されたことを示すコネクション確立通知を前記トンネル接続装置に送信することにより、当該トンネル接続装置に前記サーバとの間のコネクションを確立させ、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記トンネル接続装置は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とするトンネル終端装置が提供される。
前記トンネル接続装置からトンネル確立要求を受信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル終端部と、
前記クライアントからコネクション確立要求を受信し、当該クライアントとの間にコネクションを確立するサーバ機能部とを備え、
前記サーバ機能部は、前記コネクションが確立されたことを示すコネクション確立通知を前記トンネル接続装置に送信することにより、当該トンネル接続装置に前記サーバとの間のコネクションを確立させ、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記トンネル接続装置は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とするトンネル終端装置が提供される。
また、本発明の実施の形態によれば、トンネル接続装置とトンネル終端装置とを備える通信システムが実行するクライアントとサーバとの間の接続制御方法であって、
前記トンネル接続装置が前記トンネル終端装置に対してトンネル確立要求を送信することにより、当該トンネル接続装置と当該トンネル終端装置との間にトンネルを確立するステップと、
前記トンネル終端装置におけるサーバ機能部が、前記クライアントからのコネクション確立要求に基づいて、当該クライアントとの間にコネクションを確立するステップと、
前記サーバ機能部が前記トンネル接続装置に対して前記コネクションが確立したことを示すコネクション確立通知を送信するステップと、
前記コネクション確立通知を受信した前記トンネル接続装置におけるクライアント機能部が、前記サーバとの間にコネクションを確立するステップとを備え、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とする接続制御方法が提供される。
前記トンネル接続装置が前記トンネル終端装置に対してトンネル確立要求を送信することにより、当該トンネル接続装置と当該トンネル終端装置との間にトンネルを確立するステップと、
前記トンネル終端装置におけるサーバ機能部が、前記クライアントからのコネクション確立要求に基づいて、当該クライアントとの間にコネクションを確立するステップと、
前記サーバ機能部が前記トンネル接続装置に対して前記コネクションが確立したことを示すコネクション確立通知を送信するステップと、
前記コネクション確立通知を受信した前記トンネル接続装置におけるクライアント機能部が、前記サーバとの間にコネクションを確立するステップとを備え、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とする接続制御方法が提供される。
本発明の実施の形態によれば、データセンタ等におけるクライアントから、トンネルを介してサーバにアクセスし、当該サーバからデータを取得することをセキュアに実現することが可能となる。
以下、図面を参照して本発明の実施の形態を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、本実施の形態では、サーバとクライアント間で利用されるアプリケーションとしてWebアプリケーションを例として用いているが、本実施の形態で説明する接続制御方式は、Webアプリケーケーションに限らず、他のアプリケーションにも適用可能である。
(システム全体構成)
図4を参照して、本発明の実施の形態における通信システムの全体構成の例を説明する。本実施の形態における通信システムは、一般家庭や小規模オフィス等にIoT端末を設置し、データセンタからその端末にアクセスしてデータを収集する用途向けのVPN通信システムである。より詳細には、本実施の形態に係る通信システムは下記に説明するように構成される。
図4を参照して、本発明の実施の形態における通信システムの全体構成の例を説明する。本実施の形態における通信システムは、一般家庭や小規模オフィス等にIoT端末を設置し、データセンタからその端末にアクセスしてデータを収集する用途向けのVPN通信システムである。より詳細には、本実施の形態に係る通信システムは下記に説明するように構成される。
図4に示すように、本実施の形態の通信システムは、Webサーバ10、VPNクライアント100、VPNゲートウェイ200、Webクライアント20を有する。
Webサーバ10は、一般家庭や小規模オフィス等に設置される監視カメラやセンサ等のIoT端末であり、Webサーバの機能を有する。VPNクライアント100は、VPNゲートウェイ200に対してトンネル確立要求を送信することにより、VPNゲートウェイ200との間にトンネル(VPN)を構築する装置(コンピュータ)である。VPNゲートウェイ200は、VPNクライアント100からトンネル確立要求を受信することにより、VPNクライアント100との間にトンネルを構築する装置(コンピュータ)である。なお、VPNクライアント100からVPNゲートウェイ200に対してトンネル接続の起動を行うことから、VPNクライアント100をトンネル接続装置と呼び、VPNゲートウェイ200をトンネル終端装置と呼んでもよい。
本実施の形態におけるトンネル(VPN)は、SSL−VPNの方式を用いて構築されるが、これは例であり、本発明におけるトンネルの方式はSSL−VPNに限定されるわけではない。
Webクライアント20は、IoT端末であるWebサーバ10に対してHTTPリクエストを送信してデータを要求し、Webサーバ10からデータを取得する装置であり、例えばデータセンタにおけるデータ収集装置(コンピュータ)に相当する。
図4に示す本実施の形態において、VPNクライアント100とWebサーバ10は、別々の装置であるが、これらが1つの装置であってもよい。1つの装置であっても、装置内の機能部(プログラム)間で、本実施の形態で説明する処理内容と同様の処理が実行される。
本実施の形態に係る通信システムにおいて、VPNゲートウェイ200側にサーバポートがオープンし、VPNゲートウェイ200はTCPプロキシもしくはプロキシサーバとして機能する。つまり、VPNゲートウェイ200は、Webクライアント20から受信するTCPコネクションを一旦終端し、Webクライアント20の代理としてVPNクライアント100側にHTTPリクエストを送信もしくは転送する機能を有する。
また、VPNクライアント100側はWebサーバ10から見ればリバースプロキシとして機能する。つまり、VPNゲートウェイ200(プロキシサーバ)からHTTPリクエストを受信し、Webサーバ10のHTTPクライアントとして当該HTTPリクエストをWebサーバ10に転送する。
図4に示すように、VPNクライアント100とVPNゲートウェイ200との間にトンネルが確立され、Webクライアント20とVPNゲートウェイ200(プロキシサーバ)との間にTCPコネクションが確立され、Webサーバ10とVPNクライアント100(リバースプロキシ)との間にTCPコネクションが確立されることで、Webクライアント20とWebサーバ10間でのアプリケーションの通信路が確立される。これにより、Webクライアント20から、トンネルを介してWebサーバ10にアクセスし、当該Webサーバ10からデータを取得することをセキュアに実現できる。
図5に、本実施の形態における他の構成例を示す。図5に示す例では、VPNゲートウェイ200は、複数のサイトのVPNクライアント100A〜Cとの間にそれぞれトンネルを確立する。VPNゲートウェイ200においては、サイト毎(=トンネル毎、VPNクライアント毎)にサーバポートがオープンし、Webクライアント20は、各サイトのWebサーバ10A〜Cからデータを取得するために、各サーバポートにTCPコネクション確立要求を送信し、サイト毎のコネクションを確立する。
(VPNゲートウェイ200の構成例)
図6に、VPNゲートウェイ200の機能構成の例を示す。図6に示す構成は、図5に示すように、3つのサイトとの間でトンネル接続を行う場合の例である。
図6に、VPNゲートウェイ200の機能構成の例を示す。図6に示す構成は、図5に示すように、3つのサイトとの間でトンネル接続を行う場合の例である。
図6に示すように、VPNゲートウェイ200は、トンネル接続のための機能部であるトンネル終端機能部201を備える。トンネル終端機能部201は、あるVPNクライアント100から送信されたトンネル確立要求を受け付けることにより当該VPNクライアント100との間にトンネルを確立する。
トンネル終端機能部201は、トンネルを確立させると、HTTPプロキシサーバ202(コンピュータ上で動作するプログラム)を起動する。HTTPプロキシサーバ202はサーバポートを1つオープンする。図6の例のように、トンネル終端機能部201が複数のトンネルを終端する場合、トンネル終端機能部201は、トンネルが確立する度にHTTPプロキスサーバを起動して、HTTPプロキシサーバはサーバポートをオープンする。
上記のように、1つのトンネルに対して1つのサーバポートが対応する。図5に示したように、1つのトンネルは、Webサーバ(IoT端末)が設置されている1つのサイトに対応するので、結局、サーバポートは当該サイトに対応する。
サーバポートをオープンするとは、例えば、ソケットを作成し、ソケットにポート番号を記録し、接続待ち状態にすることである。Webクライアント20側でTCPコネクション確立動作を実行する際、当該ポート番号を指定する。なお、ポート番号については通信システムにおいてサイト毎に予め定めておき、VPNゲートウェイ200に予め保持しておいてもよいし、例えば、トンネル確立要求に含める形で、VPNクライアント100からVPNゲートウェイ200に通知することとしてもよい。
上記のようにしてオープンされたサーバポートに対して、Webクライアント20(データセンタ等のコンピュータ)は、TCPコネクション確立要求を送信する。例えば、Webクライアント20が、サイトAのWebサーバ10Aからデータを取得する場合において、図6のポート1を指定してTCPコネクション確立要求を送信する。この場合、HTTPプロキシサーバ202Aは、Webクライアント20との間にTCPコネクションを確立し、Webクライアント20からHTTPリクエストを受信する。HTTPプロキシサーバ202Aは、受信したHTTPリクエストのHostヘッダに含まれる宛先ホスト名を含むTCPコネクション確立通知をVPNクライアント100Aに送信する。このTCPコネクション確立通知は、TCPコネクションが確立したことを通知するための信号であり、この信号の流れは、図6に点線で示されている。
VPNゲートウェイ200は、CPU、メモリ、ハードディスク等の記憶装置を備えたコンピュータに、各機能部に対応するプログラムを実行させることにより実現することができる。当該プログラムは、コンピュータ読み取り可能な記録媒体から上記コンピュータにインストールしてもよいし、ネットワークを介してダウンロードしてインストールすることとしてもよい。
(VPNクライアント100の構成例)
図7に、本実施の形態におけるVPNクライアント100の機能構成例を示す。VPNクライアント100において、トンネル接続機能部101に対応するプログラムが起動され、トンネル接続機能部101が動作を開始すると、トンネル接続機能部101はVPNゲートウェイ200にトンネル確立要求を送信することにより、VPNゲートウェイ200との間にトンネルを確立する。
図7に、本実施の形態におけるVPNクライアント100の機能構成例を示す。VPNクライアント100において、トンネル接続機能部101に対応するプログラムが起動され、トンネル接続機能部101が動作を開始すると、トンネル接続機能部101はVPNゲートウェイ200にトンネル確立要求を送信することにより、VPNゲートウェイ200との間にトンネルを確立する。
VPNゲートウェイ200において、Webクライアント20との間でTCPコネクションが確立した後、トンネル接続機能部101は、VPNゲートウェイ200からTCPコネクション確立通知を受信する。トンネル接続機能部101は、この通知を受信すると、HTTPリバースプロキシ102(実体はコンピュータ上で動作するプログラム)を起動する。
HTTPリバースプロキシ102は、Webサーバ10(IoT端末)に対するHTTPクライアントとして動作する機能部であり、プロキシサーバ機能を有しない。
HTTPリバースプロキシ102は、VPNゲートウェイ200から受信したTCPコネクション確立通知に含まれる宛先ホスト名(識別情報)に対応するWebサーバ10(IoT端末)に対してTCPコネクションの確立要求を送信することにより、Webサーバ10との間にTCPコネクションを確立する。
結果として、図4に示したように、Webクライアント20とWebサーバ10間にアプリケーションレイヤの通信路が確立され、Webクライアント20とWebサーバ10間で、HTTPリクエスト/レスポンスの送受信がなされる。
VPNクライアント100は、CPU、メモリ、ハードディスク等の記憶装置を備えたコンピュータに、各機能部に対応するプログラムを実行させることにより実現することができる。当該プログラムは、コンピュータ読み取り可能な記録媒体から上記コンピュータにインストールしてもよいし、ネットワークを介してダウンロードしてインストールすることとしてもよい。
(動作シーケンス)
次に、図8のシーケンス図を参照して、本実施の形態における通信システムの全体の動作の流れを通して説明する。
次に、図8のシーケンス図を参照して、本実施の形態における通信システムの全体の動作の流れを通して説明する。
例えば、IoT端末(Webサーバ10)を設置したときや、IoT端末を起動したことを契機として、VPNクライアント100において、トンネル接続機能部101が起動し、動作を開始すると、VPNゲートウェイ200にトンネル確立要求を送信し(ステップ101)、VPNゲートウェイ200との間にトンネルを確立する(ステップ102)。なお、トンネル確立を行う契機は上記の契機に限られるわけではない。
トンネル確立後、VPNゲートウェイ200のトンネル終端機能部201は、HTTPプロキシサーバ202を起動し(ステップ103)、HTTPプロキシサーバ202はサーバポートを1つオープンする(ステップ104)。
上記のようにしてオープンされたサーバポートに対して、Webクライアント20は、TCPコネクション確立要求を送信し(ステップ105)、Webクライアント20とVPNゲートウェイ200(HTTPプロキシサーバ202)との間にTCPコネクションが確立される(ステップ106)。そして、HTTPプロキシサーバ202は、Webクライアント20から、Hostヘッダに、宛先となるWebサーバ10のホスト名を含むHTTPリクエストを受信する(ステップ107)。
なお、Webクライアント20側では、どのWebサーバがどのサイトに存在し、当該サイトに対応するポート番号は何番であり、また、当該Webサーバのホスト名等を知る必要がある。このための手法は特定の手法に限定されないが、例えば、Webクライアント20内に、これらの情報(ポート番号とホスト名)を対応付けたテーブルを用意しておき、Webクライアント20は、当該テーブルを参照することにより、所望のWebサーバに接続するためのポート番号、ホスト名等を取得する。
HTTPプロキシサーバ202は、受信したHTTPリクエストのHostヘッダに含まれる宛先ホスト名を含むTCPコネクション確立通知をVPNクライアント100に送信する(ステップ108)。
トンネル接続機能部101は、このTCPコネクション確立通知を受信すると、HTTPリバースプロキシ102を起動する(ステップ109)。HTTPリバースプロキシ102が、VPNゲートウェイ200から受信したTCPコネクション確立通知に含まれる宛先ホスト名に対応するWebサーバ10に対してTCPコネクションの確立要求を送信することにより(ステップ110)、Webサーバ10との間にTCPコネクションを確立する(ステップ111)。この後、Webサーバ10とHTTPリバースプロキシ102間でTCPコネクションが確立されたことがVPNゲートウェイ200に通知されてもよい。なお、Webサーバ10とHTTPリバースプロキシ102間でTCPコネクションが確立できなかった場合には、その旨がVPNゲートウェイ200に通知され、Webクライアント20とHTTPプロキシサーバ202間のTCPコネクションが切断される。
Webサーバ10とHTTPリバースプロキシ102間でTCPコネクションが確立されると、HTTPプロキシサーバ202が、Webクライアント20から受信したHTTPリクエストをトンネルを介してHTTPリバースプロキシ102に送信し(ステップ112)、HTTPリバースプロキシ102は、HTTPクライアントとして、当該HTTPリクエストをWebサーバ10に送信する(ステップ113)。そして、Webサーバ10からHTTPレスポンスが送信され、Webクライアント20に届く(ステップ114〜116)。
(他の構成例)
VPNゲートウェイ200側の各サーバポートは同時に複数のTCPコネクションを受け付けることができる。複数のTCPコネクションを受け付ける場合、TCPコネクション確立の度にコネクション確立通知がVPNクライアント100側に送信され、HTTPリバースプロキシが生成、起動され、HTTPリバースプロキシ毎にWebサーバ(IoT端末)との間にTCPコネクションが確立される。すなわち、一つのサイト(拠点)との間に確立されるトンネルは1本であるが、その配下に複数のWebサーバ(IoT端末)を設置することができる。
VPNゲートウェイ200側の各サーバポートは同時に複数のTCPコネクションを受け付けることができる。複数のTCPコネクションを受け付ける場合、TCPコネクション確立の度にコネクション確立通知がVPNクライアント100側に送信され、HTTPリバースプロキシが生成、起動され、HTTPリバースプロキシ毎にWebサーバ(IoT端末)との間にTCPコネクションが確立される。すなわち、一つのサイト(拠点)との間に確立されるトンネルは1本であるが、その配下に複数のWebサーバ(IoT端末)を設置することができる。
1サイトに複数のWebサーバが存在する場合の構成例を図9に示す。図9に示すように、トンネルは、Webサーバ設置サイト毎に1本確立され、VPNゲートウェイ200側のサーバポートもサイト毎に1つオープンされる。そして、トンネルを介してサイト内の複数のWebサーバに対してアクセスすることができる。
データセンタ側のコンピュータであるWebクライアント20は、特定のWebサーバ10にアクセスするために、それがどのサイトに設置されているか応じて、TCPコネクションを確立するサーバポート(ポート番号)を選択し、そのサイトの中のどのWebサーバ10にアクセスすべきかをHTTPヘッダのHostで指定する。
前述したように、これらを実現するために、Webクライアント20側では、どのWebサーバがどのサイトに存在し、当該サイトに対応するポート番号は何番であり、また、当該Webサーバのホスト名等を知る必要があるが、これについては任意の手法で対応すればよい。例えば、Webクライアント20内に、これらの情報を対応付けたテーブルを用意しておき、Webクライアント20は、当該テーブルを参照することにより、所望のWebサーバに接続するためのポート番号、ホスト名等を取得する。
(実施の形態のまとめ、効果等)
以上、説明したように、本実施の形態において、クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル接続装置であって、前記トンネル終端装置に対してトンネル確立要求を送信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル接続部と、前記トンネル終端装置と前記クライアントとの間にコネクションが確立された後に、当該トンネル終端装置からコネクション確立通知を受信したことに応じて、前記サーバとの間にコネクションを確立するクライアント機能部とを備えるトンネル接続装置が提供される。
以上、説明したように、本実施の形態において、クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル接続装置であって、前記トンネル終端装置に対してトンネル確立要求を送信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル接続部と、前記トンネル終端装置と前記クライアントとの間にコネクションが確立された後に、当該トンネル終端装置からコネクション確立通知を受信したことに応じて、前記サーバとの間にコネクションを確立するクライアント機能部とを備えるトンネル接続装置が提供される。
前記クライアント機能部は、例えばリバースプロキシである。また、前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信するようにしてもよい。
また、本実施の形態によれば、クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル終端装置であって、前記トンネル接続装置からトンネル確立要求を受信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル終端部と、前記クライアントからコネクション確立要求を受信し、当該クライアントとの間にコネクションを確立するサーバ機能部とを備え、前記サーバ機能部は、前記コネクションが確立されたことを示すコネクション確立通知を前記トンネル接続装置に送信することにより、当該トンネル接続装置に前記サーバとの間のコネクションを確立させるトンネル終端装置が提供される。
前記サーバ機能部は、例えばプロキシサーバである。また、前記コネクション確立通知には前記サーバの識別情報が含まれ、前記トンネル接続装置は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信するように構成してもよい。
前記トンネル終端部により、前記トンネル接続装置と前記トンネル終端装置との間に複数のトンネルが確立される場合において、前記サーバ機能部は、トンネル毎に、前記クライアントとのコネクション確立のためのポートを開設するようにしてもよい。
また、本実施の形態により、トンネル接続装置とトンネル終端装置とを備える通信システムが実行するクライアントとサーバとの間の接続制御方法であって、前記トンネル接続装置が前記トンネル終端装置に対してトンネル確立要求を送信することにより、当該トンネル接続装置と当該トンネル終端装置との間にトンネルを確立するステップと、前記トンネル終端装置におけるサーバ機能部が、前記クライアントからのコネクション確立要求に基づいて、当該クライアントとの間にコネクションを確立するステップと、前記サーバ機能部が前記トンネル接続装置に対して前記コネクションが確立したことを示すコネクション確立通知を送信するステップと、前記コネクション確立通知を受信した前記トンネル接続装置におけるクライアント機能部が、前記サーバとの間にコネクションを確立するステップとを備える接続制御方法が提供される。
以上、説明したように、本実施の形態で説明した技術によれば、一般家庭や小規模オフィス等に設置されたNATの内側にあるIoT端末に対して、データセンタからのアクセスが可能になる。ここでは、固定IPアドレスやNATへの設定といった既存ネットワーク設備や設定は不要である。IoT端末設置場所側で行うことは、例えば、同じネットワークに接続されたパソコン(VPNクライアントとして使用するもの)でVPNソフトウェアを起動するだけである。本実施の形態に係る通信システムは、既存の設備に手を入れずにオーバレイ的に使用することが可能である。
また、VPNソフトウェアを起動しているパソコンを含めてIoT端末以外は、データセンタとの通信路を持たないため、データセンタに対してアクセスすることはできず、また、IoT端末はインターネット上の不特定多数の端末からアクセスされることもなくセキュリティ的に安全である。
データセンタ等の特定のサイトからのみIoT端末へのアクセスを許容するために、IPsecやL2転送型SSL−VPNを使用することも考えられるが、端末毎にVPNソフトウェアのインストールが必要になり、IoT環境では、技術的経済的に実現が困難である。また、ルータタイプのVPNは、同じ家庭・オフィスのLANに接続されているIoT端末以外にもアクセスが可能であり、その端末からデータセンタ側へのアクセスを許すことになり、セキュリティ的に脆弱となる。上記のように、本実施の形態に係る技術によれば、これらの問題は解消され、少ない手間でセキュアにデータセンタ等からIoT端末へのアクセスが可能となる。
(第1項)
クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル接続装置であって、
前記トンネル終端装置に対してトンネル確立要求を送信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル接続部と、
前記トンネル終端装置と前記クライアントとの間にコネクションが確立された後に、当該トンネル終端装置からコネクション確立通知を受信したことに応じて、前記サーバとの間にコネクションを確立するクライアント機能部と
を備えることを特徴とするトンネル接続装置。
(第2項)
前記クライアント機能部は、リバースプロキシであることを特徴とする第1項に記載のトンネル接続装置。
(第3項)
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とする第1項又は第2項に記載のトンネル接続装置。
(第4項)
コンピュータを、第1項ないし第3項のうちいずれか1項に記載のトンネル接続装置における各部として機能させるためのプログラム。
(第5項)
クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル終端装置であって、
前記トンネル接続装置からトンネル確立要求を受信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル終端部と、
前記クライアントからコネクション確立要求を受信し、当該クライアントとの間にコネクションを確立するサーバ機能部とを備え、
前記サーバ機能部は、前記コネクションが確立されたことを示すコネクション確立通知を前記トンネル接続装置に送信することにより、当該トンネル接続装置に前記サーバとの間のコネクションを確立させる
ことを特徴とするトンネル終端装置。
(第6項)
前記サーバ機能部は、プロキシサーバであることを特徴とする第5項に記載のトンネル終端装置。
(第7項)
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記トンネル接続装置は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とする第5項又は第6項に記載のトンネル終端装置。
(第8項)
前記トンネル終端部により、前記トンネル接続装置と前記トンネル終端装置との間に複数のトンネルが確立される場合において、前記サーバ機能部は、トンネル毎に、前記クライアントとのコネクション確立のためのポートを開設する
ことを特徴とする第5項ないし第7項のうちいずれか1項に記載のトンネル終端装置。
(第9項)
コンピュータを、第5項ないし第8項のうちいずれか1項に記載のトンネル終端装置における各部として機能させるためのプログラム。
(第10項)
トンネル接続装置とトンネル終端装置とを備える通信システムが実行するクライアントとサーバとの間の接続制御方法であって、
前記トンネル接続装置が前記トンネル終端装置に対してトンネル確立要求を送信することにより、当該トンネル接続装置と当該トンネル終端装置との間にトンネルを確立するステップと、
前記トンネル終端装置におけるサーバ機能部が、前記クライアントからのコネクション確立要求に基づいて、当該クライアントとの間にコネクションを確立するステップと、
前記サーバ機能部が前記トンネル接続装置に対して前記コネクションが確立したことを示すコネクション確立通知を送信するステップと、
前記コネクション確立通知を受信した前記トンネル接続装置におけるクライアント機能部が、前記サーバとの間にコネクションを確立するステップと
を備えることを特徴とする接続制御方法。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル接続装置であって、
前記トンネル終端装置に対してトンネル確立要求を送信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル接続部と、
前記トンネル終端装置と前記クライアントとの間にコネクションが確立された後に、当該トンネル終端装置からコネクション確立通知を受信したことに応じて、前記サーバとの間にコネクションを確立するクライアント機能部と
を備えることを特徴とするトンネル接続装置。
(第2項)
前記クライアント機能部は、リバースプロキシであることを特徴とする第1項に記載のトンネル接続装置。
(第3項)
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とする第1項又は第2項に記載のトンネル接続装置。
(第4項)
コンピュータを、第1項ないし第3項のうちいずれか1項に記載のトンネル接続装置における各部として機能させるためのプログラム。
(第5項)
クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル終端装置であって、
前記トンネル接続装置からトンネル確立要求を受信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル終端部と、
前記クライアントからコネクション確立要求を受信し、当該クライアントとの間にコネクションを確立するサーバ機能部とを備え、
前記サーバ機能部は、前記コネクションが確立されたことを示すコネクション確立通知を前記トンネル接続装置に送信することにより、当該トンネル接続装置に前記サーバとの間のコネクションを確立させる
ことを特徴とするトンネル終端装置。
(第6項)
前記サーバ機能部は、プロキシサーバであることを特徴とする第5項に記載のトンネル終端装置。
(第7項)
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記トンネル接続装置は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とする第5項又は第6項に記載のトンネル終端装置。
(第8項)
前記トンネル終端部により、前記トンネル接続装置と前記トンネル終端装置との間に複数のトンネルが確立される場合において、前記サーバ機能部は、トンネル毎に、前記クライアントとのコネクション確立のためのポートを開設する
ことを特徴とする第5項ないし第7項のうちいずれか1項に記載のトンネル終端装置。
(第9項)
コンピュータを、第5項ないし第8項のうちいずれか1項に記載のトンネル終端装置における各部として機能させるためのプログラム。
(第10項)
トンネル接続装置とトンネル終端装置とを備える通信システムが実行するクライアントとサーバとの間の接続制御方法であって、
前記トンネル接続装置が前記トンネル終端装置に対してトンネル確立要求を送信することにより、当該トンネル接続装置と当該トンネル終端装置との間にトンネルを確立するステップと、
前記トンネル終端装置におけるサーバ機能部が、前記クライアントからのコネクション確立要求に基づいて、当該クライアントとの間にコネクションを確立するステップと、
前記サーバ機能部が前記トンネル接続装置に対して前記コネクションが確立したことを示すコネクション確立通知を送信するステップと、
前記コネクション確立通知を受信した前記トンネル接続装置におけるクライアント機能部が、前記サーバとの間にコネクションを確立するステップと
を備えることを特徴とする接続制御方法。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
10 Webサーバ
20 Webクライアント
100 VPNクライアント
200 VPNゲートウェイ
101 トンネル接続機能部
102 HTTPリバースプロキシ
201 トンネル終端機能部
202 HTTPプロキシサーバ
20 Webクライアント
100 VPNクライアント
200 VPNゲートウェイ
101 トンネル接続機能部
102 HTTPリバースプロキシ
201 トンネル終端機能部
202 HTTPプロキシサーバ
Claims (8)
- クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル接続装置であって、
前記トンネル終端装置に対してトンネル確立要求を送信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル接続部と、
前記トンネル終端装置と前記クライアントとの間にコネクションが確立された後に、当該トンネル終端装置からコネクション確立通知を受信したことに応じて、前記サーバとの間にコネクションを確立するクライアント機能部とを備え、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とするトンネル接続装置。 - 前記クライアント機能部は、リバースプロキシであることを特徴とする請求項1に記載のトンネル接続装置。
- コンピュータを、請求項1又は2に記載のトンネル接続装置における各部として機能させるためのプログラム。
- クライアントとサーバ間の接続制御を行うトンネル接続装置とトンネル終端装置とを備える通信システムにおいて使用される前記トンネル終端装置であって、
前記トンネル接続装置からトンネル確立要求を受信することにより、前記トンネル接続装置と前記トンネル終端装置との間にトンネルを確立するトンネル終端部と、
前記クライアントからコネクション確立要求を受信し、当該クライアントとの間にコネクションを確立するサーバ機能部とを備え、
前記サーバ機能部は、前記コネクションが確立されたことを示すコネクション確立通知を前記トンネル接続装置に送信することにより、当該トンネル接続装置に前記サーバとの間のコネクションを確立させ、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記トンネル接続装置は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とするトンネル終端装置。 - 前記サーバ機能部は、プロキシサーバであることを特徴とする請求項4に記載のトンネル終端装置。
- 前記トンネル終端部により、前記トンネル接続装置と前記トンネル終端装置との間に複数のトンネルが確立される場合において、前記サーバ機能部は、トンネル毎に、前記クライアントとのコネクション確立のためのポートを開設する
ことを特徴とする請求項4又は5に記載のトンネル終端装置。 - コンピュータを、請求項4ないし6のうちいずれか1項に記載のトンネル終端装置における各部として機能させるためのプログラム。
- トンネル接続装置とトンネル終端装置とを備える通信システムが実行するクライアントとサーバとの間の接続制御方法であって、
前記トンネル接続装置が前記トンネル終端装置に対してトンネル確立要求を送信することにより、当該トンネル接続装置と当該トンネル終端装置との間にトンネルを確立するステップと、
前記トンネル終端装置におけるサーバ機能部が、前記クライアントからのコネクション確立要求に基づいて、当該クライアントとの間にコネクションを確立するステップと、
前記サーバ機能部が前記トンネル接続装置に対して前記コネクションが確立したことを示すコネクション確立通知を送信するステップと、
前記コネクション確立通知を受信した前記トンネル接続装置におけるクライアント機能部が、前記サーバとの間にコネクションを確立するステップとを備え、
前記コネクション確立通知には前記サーバの識別情報が含まれ、前記クライアント機能部は、当該識別情報で識別される前記サーバに対してコネクション確立要求を送信する
ことを特徴とする接続制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014118190A JP6317630B2 (ja) | 2014-06-06 | 2014-06-06 | トンネル接続装置、トンネル終端装置、接続制御方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014118190A JP6317630B2 (ja) | 2014-06-06 | 2014-06-06 | トンネル接続装置、トンネル終端装置、接続制御方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015231225A JP2015231225A (ja) | 2015-12-21 |
| JP6317630B2 true JP6317630B2 (ja) | 2018-04-25 |
Family
ID=54887785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014118190A Active JP6317630B2 (ja) | 2014-06-06 | 2014-06-06 | トンネル接続装置、トンネル終端装置、接続制御方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6317630B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6975065B2 (ja) * | 2017-02-22 | 2021-12-01 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信システム、通信方法、及びプログラム |
| JP7011271B1 (ja) | 2020-10-29 | 2022-01-26 | 株式会社C-Rise | 情報処理方法、情報処理システム及びコンピュータプログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7209977B2 (en) * | 2001-10-01 | 2007-04-24 | International Business Machines Corporation | Method and apparatus for content-aware web switching |
| US20070214251A1 (en) * | 2006-03-07 | 2007-09-13 | Zhong Li | Naming and accessing remote servers through security split reverse proxy |
| WO2009093308A1 (ja) * | 2008-01-22 | 2009-07-30 | Ntt Pc Communications, Inc. | 接続制御方法、接続制御サーバ装置、接続制御クライアント装置、及びプログラム |
-
2014
- 2014-06-06 JP JP2014118190A patent/JP6317630B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015231225A (ja) | 2015-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5301571B2 (ja) | インターネットに接続されているクライアント間に接続性を提供するための方法およびシステム | |
| JP4847687B2 (ja) | 外部ネットワークデバイスを自動的に発見および構成する方法 | |
| KR101758681B1 (ko) | 통신 시스템 및 통신 시스템에서의 데이터 송수신 방법 | |
| US9021573B2 (en) | Control of security application in a LAN from outside the LAN | |
| CN106605421B (zh) | 用于服务节点的匿名访问和控制的方法和装置 | |
| EP2708007B1 (en) | Methods, server and proxy agent for dynamically setting up a session between a target resource in a private network and an application on a device | |
| US20170034174A1 (en) | Method for providing access to a web server | |
| RU2593272C2 (ru) | Устройство обработки информации и способ управления таким устройством | |
| JP2011154622A (ja) | アクセス制御システム及びアクセス制御方法 | |
| JP2007531166A (ja) | ピアツーピアネットワークにおいてファイアウォールを介してwebブラウジングを提供するための方法及びシステム | |
| JP2015106358A (ja) | リモートアクセスシステムおよび宅内機器制御装置 | |
| JP5158587B2 (ja) | コンテンツアクセスシステム、ゲートウェイ装置、アクセス方法、及び、プログラム | |
| JP6317630B2 (ja) | トンネル接続装置、トンネル終端装置、接続制御方法、及びプログラム | |
| JP2012222678A (ja) | アクセス制御システム、およびアクセス制御方法 | |
| JP2006203731A (ja) | ネットワーク中継装置、ネットワーク接続情報閲覧システム、及びネットワーク接続情報通知方法 | |
| JP2015118478A (ja) | 通信アダプタ装置、通信システム、トンネル通信方法、及びプログラム | |
| WO2009138721A2 (en) | Network camera management | |
| JP5764085B2 (ja) | ポート開閉制御システム | |
| JP3935823B2 (ja) | Httpセッション・トンネリング・システム、その方法、及びそのプログラム | |
| JP5586689B2 (ja) | ホームネットワーク、ホームネットワーク間での装置情報共有方法、及びホームネットワークシステム | |
| Dulik | Deploying fake network devices to obtain sensitive user data | |
| JP2010212749A (ja) | 情報処理システム及びパケット転送方法 | |
| US20200106515A1 (en) | Communication Device, Relay Device, Information Processing System, Communication System and Communication Method | |
| GB2461596A (en) | IP network camera and server system | |
| JP6058857B1 (ja) | ネットワーク監視装置、ネットワーク監視システム、およびネットワーク監視方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170209 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171121 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171128 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180129 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180306 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180330 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6317630 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |