WO2010116643A1

WO2010116643A1 - 通信制御装置及び監視装置

Info

Publication number: WO2010116643A1
Application number: PCT/JP2010/002122
Authority: WO
Inventors: 松尾達樹
Original assignee: セコム株式会社; 村木誠一郎
Priority date: 2009-03-30
Filing date: 2010-03-25
Publication date: 2010-10-14
Also published as: JP2010233168A; CN102439912A; CN102439912B; KR101444089B1; JP4750869B2; KR20110133043A

Abstract

　通信制御装置は、例えば、監視システムの監視装置に設けられたＩＰ回線ユニット（７３）であり、監視センタとＶＰＮ通信を行う。ＩＰ回線ユニット（７３）は、入力パケットを送信すべきパケットを変換するパケット処理部（１０１）と、ＶＰＮにおけるＩＰ回線ユニット（７３）の仮想ＩＰアドレスを記憶する記憶部（１０３）と、送信パケット中の送信元アドレスと記憶部（１０３）に記憶された仮想ＩＰアドレスとを比較する判定部（１０５）を有する。判定部（１０５）は、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する。カプセル化部（１０７）は、判定結果が一致である場合に、パケットをカプセル化する。このようにして、ＶＰＮの通信制御装置をローカルネットワークに接続する構成において、ローカルＩＰアドレスと仮想ＩＰアドレスの重複によって通信が不能になるのを回避する。

Description

通信制御装置及び監視装置

　本発明は、ＶＰＮの通信を行う通信制御装置に関する。通信制御装置は、例えば、監視システムの監視対象に設けられた監視装置に備えられ、遠隔の監視センタへとＶＰＮにより監視情報を送信する。

　従来、店舗、工場等の監視対象を遠隔の監視センタで監視するシステムにおいては、監視対象に設置された監視端末が監視センタと通信する。監視端末は、監視映像や、センサによって検出された警備関連の信号などを、監視センタへと送信する。

　近年、ネットワーク技術の発展を背景として、監視システムの通信回線としてブロードバンド回線を利用することが提案されている。ただし、送信されるデータが、監視映像や警備関連の信号といったように秘匿性の要求が高いデータであるため、通信のセキュリティについての要求レベルも高い。そこで、仮想的な専用線として機能するＶＰＮ（仮想プライベートネットワーク）を監視センタと監視端末の間に構築して、通信のセキュリティを確保することが提案されている（特許文献１）。

　監視システムにＶＰＮを適用する場合、監視情報のパケットがカプセル化される。そして、カプセル化されたパケットが、ＶＰＮトンネルを通して監視センタと監視端末の間で通信される。このようなＶＰＮを構築するために、監視センタと監視端末にそれぞれ仮想的なＩＰアドレス（以下、仮想ＩＰアドレス）が付与される。

　ところで、店舗や工場等といった監視対象に利用者のローカルネットワーク（ＬＡＮ）が設けられていると仮定する（ここでいう利用者とは、監視システムにとって利用者であり、例えば監視対象が店舗である場合に、利用者は店舗のオーナーなどである）。この場合、監視対象のＬＡＮに監視端末を接続し、ＬＡＮ経由でインターネットに接続して監視センタとＶＰＮ通信を行うことが考えられる。

　ただし、監視対象のＬＡＮのローカルＩＰアドレスと、ＶＰＮの仮想ＩＰアドレスが重複すると、ＶＰＮ通信が不能になる。より詳細には、ＶＰＮでは、パケットの宛先アドレスのネットワーク部分を参照して、パケットのカプセル化を行っている。すなわち、宛先アドレスのネットワーク部分がＶＰＮの仮想ＩＰアドレスのネットワーク部分に該当すれば、パケットをカプセル化する。そのため、監視対象のＬＡＮのローカルＩＰアドレスと、ＶＰＮの仮想ＩＰアドレスとで、ネットワーク部分が重複すると、通信不能になる。

　上記のような問題を避けるため、仮想ＩＰアドレスは、監視対象のＬＡＮのローカルＩＰアドレスと重複しないように、付与されるのが一般的である。

　しかしながら、監視対象のＬＡＮは利用者に管理されており、監視センタと独立している。そのため、仮想ＩＰアドレスを付与するときにＶＰＮ側で重複を避けたとしても、その後に利用者の都合で監視対象のネットワーク環境が再構築され、ローカルＩＰアドレスが変更され、その結果、監視対象のローカルＩＰアドレスが監視システムのＶＰＮの仮想ＩＰアドレスと重複する可能性がある。このような場合、ＶＰＮの通信ができなくなり、監視業務に支障が出る可能性がある。

　監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高い。そのため、上記のように監視対象のネットワーク側の事情でアドレスが重複したとしても、通信が不能になるのを極力回避することが望まれる。

　上記では、監視システムを取り上げて、本発明の背景について説明した。しかし、同様の問題は、監視システム以外でも生じ得る。すなわち、ＶＰＮの通信制御装置をＬＡＮに接続する構成において、何らかの理由でローカルＩＰアドレスがＶＰＮの仮想ＩＰアドレスと重複すると通信が不能になる。

特開２００６－２０３３１３号公報

　本発明は、上記背景の下でなされたものである。本発明の目的は、ＶＰＮの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを回避できる技術を提供することにある。

　本発明の一の態様は、通信制御装置であり、この通信制御装置は、ローカルネットワークに接続され、該ローカルネットワークを介して広域ネットワークに接続されてＶＰＮの通信を行う通信制御装置であって、通信制御装置は、入力パケットを送信パケットに変換するパケット処理部と、ＶＰＮにおける通信制御装置の仮想ＩＰアドレスを記憶する記憶部と、送信パケット中の送信元アドレスと、記憶部に記憶された仮想ＩＰアドレスとを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、判定部による判定結果が一致である場合にパケットをカプセル化するカプセル化部と、を有している。

　本発明の別の態様は、監視装置であり、この監視装置は、監視対象のローカルネットワークに接続され、監視対象で取得された監視情報をローカルネットから広域ネットワークを介して遠隔の監視センタに送信する監視装置であって、監視装置は、監視センタに送信すべき監視情報を生成する監視制御部と、監視センタとＶＰＮの通信を行う通信制御部と、を有し、通信制御部は、監視制御部からの監視情報を含む入力パケットを監視センタに送信すべき送信パケットに変換するパケット処理部と、ＶＰＮにおける監視装置の仮想ＩＰアドレスを記憶する記憶部と、送信パケット中の送信元アドレスと、記憶部に記憶された仮想ＩＰアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、判定部による判定結果が一致である場合に、送信パケットをカプセル化するカプセル化部と、を有している。

　以下に説明するように、本発明には他の態様が存在する。したがって、この発明の開示は、本発明の一部の態様の提供を意図しており、ここで記述され請求される発明の範囲を制限することは意図していない。

図１は、本実施の形態の監視システムの全体的な構成を示す図である。図２は、監視システムの構成をより具体的に示すブロック図である。図３は、監視システムにおいて監視対象ＬＡＮのアドレスが変更される状況を示す図である。図４は、監視対象ＬＡＮのローカルＩＰアドレスと、監視システムにおけるＶＰＮの仮想ＩＰアドレスとを示す図である。図５は、本発明の通信制御装置に相当するＩＰ回線ユニットの構成を示す図である。図６は、ＩＰ回線ユニットの動作を示すフローチャートである。図７は、ＩＰ回線ユニットの動作の例を示す図である。

　以下に本発明の詳細な説明を述べる。ただし、以下の詳細な説明と添付の図面は発明を限定するものではない。

　本発明の通信制御装置は、ローカルネットワークに接続され、該ローカルネットワークを介して広域ネットワークに接続されてＶＰＮの通信を行う通信制御装置であって、入力パケットを送信パケットに変換するパケット処理部と、ＶＰＮにおける通信制御装置の仮想ＩＰアドレスを記憶する記憶部と、送信パケット中の送信元アドレスと、記憶部に記憶された仮想ＩＰアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、判定部による判定結果が一致である場合に送信パケットをカプセル化するカプセル化部と、を有する。

　上記のように、本発明によれば、送信パケット中の送信元アドレスと、仮想ＩＰアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定し、判定結果が一致であれば送信パケットをカプセルする。したがって、ローカルネットワークのアドレス変更により、ＶＰＮに送信する送信パケットの宛先アドレスのネットワーク部分がローカルＩＰアドレスのネットワーク部分と重複したとしても、ＶＰＮ通信が可能である。こうして、ＶＰＮの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを回避することができる。

　また、本発明において、記憶部は、更に、ＶＰＮにて接続される対象機器の仮想ＩＰアドレスを記憶してよく、判定部は、更に、送信パケットに含まれる宛先アドレスと、記憶部に記憶された対象機器の仮想ＩＰアドレスを比較し、宛先アドレスのネットワーク部分及びホスト部分の両方が、対象機器の仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定してよい。

　上記発明によれば、送信パケット中の送信元アドレスと通信制御装置の仮想ＩＰアドレスの比較に加え、宛先アドレスと対象機器の仮想ＩＰアドレスをも比較する。そして、後者の比較処理についても、ネットワーク部分とホスト部分の両部分が比較対象である。そして、比較結果が一致であれば送信パケットがカプセル化される。したがって、ＶＰＮの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを一層確実に回避することができる。

　また、本発明の通信制御装置は、ローカルネットワークとは別の専用通信路で情報処理装置と接続されてよく、パケット処理部は専用通信路のための専用通信パケットを入力パケットとして情報処理装置より入力してよく、専用通信パケットのデータ領域からＶＰＮに送出されるべき送信パケットを抽出してよい。

　この構成では、通信制御装置が、ローカルネットワークとは別の専用通信路で情報処理装置と接続され、情報処理装置から入力パケットとして専用通信パケットが入力される。このような場合においても、本発明によれば、ＶＰＮの通信を好適に行うことができ、アドレス重複によって通信が不能になるのを回避できる。例えば、上記の通信制御装置と情報処理装置を備えた監視装置が監視対象に設けられる。情報処理装置は監視制御装置として機能して監視情報を生成し、通信制御装置が監視情報をＶＰＮで遠隔の監視センタに送信する。専用通信路は監視装置内の通信路であり、これは、監視対象のローカルネットワークと別の監視装置内のローカルネットワークでもよい。

　また、本発明の通信制御装置は更に再発行要求部を有してよく、再発行要求部は、ローカルネットワークにおける通信制御装置のローカルＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方が、ＶＰＮにおける通信制御装置の仮想ＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致してＶＰＮが切断された場合にＶＰＮアドレスの再発行をＶＰＮサーバに要求してよい。

　この構成により、仮に通信制御装置のローカルＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方が、ＶＰＮにおける通信制御装置の仮想ＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致してＶＰＮが切断されてしまったような場合でも、仮想ＩＰアドレスの再発行により、ＶＰＮ通信を行うことができる。したがって、アドレス重複によって通信が不能になるのを回避することができる。

　また、本発明の別の態様は、監視対象のローカルネットワークに接続され、監視対象で取得された監視情報をローカルネットから広域ネットワークを介して遠隔の監視センタに送信する監視装置である。この監視装置は、監視センタに送信すべき監視情報を生成する監視制御部と、監視センタとＶＰＮの通信を行う通信制御部とを有し、通信制御部は、監視制御部からの監視情報を含む入力パケットを監視センタに送信すべき送信パケットに変換するパケット処理部と、ＶＰＮにおける監視装置の仮想ＩＰアドレスを記憶する記憶部と、送信パケット中の送信元アドレスと、記憶部に記憶された仮想ＩＰアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、判定部による判定結果が一致である場合に、送信パケットをカプセル化するカプセル化部とを有する。この態様にも、上述した本発明の各種構成が設けられてよい。

　上記構成では、本発明が監視システムに適用され、より具体的には、監視センタと接続される監視装置に適用される。監視装置から監視センタへは監視情報が送信される。この際、監視情報の送信パケット中の送信元アドレスと、仮想ＩＰアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定し、判定結果が一致であれば送信パケットをカプセルする。このような判定を行うので、監視対象のローカルＩＰアドレスと監視装置のＶＰＮの仮想ＩＰアドレスとが重複したために通信が不能になるのを回避することができる。監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高く、このようなニーズに本発明は好適に応えられる。

　本発明は、上記の通信制御装置及び監視装置の態様に限定されない。本発明は、その他の装置又はシステムの態様で表現されてよく、また、本発明は、方法、プログラム、又は同プログラムを記録したコンピュータで読取可能な記録媒体のかたちで実現されてよい。

　上記のように、本発明によれば、ＶＰＮの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを回避することができる。

　以下、本発明の実施の形態について、図面を用いて説明する。本実施の形態では、本発明が監視システムに適用される。監視システムでは、監視対象と監視センタとが監視情報を通信する。本実施の形態の通信制御装置は、監視対象側の監視装置に備えられる。ここではまず、監視システムの構成について説明する。

　図１は、本発明の監視システムの全体的な構成を示している。図示のように、監視システム１では、監視センタ３、監視対象５及び利用者拠点７の間で通信が行われる。ここで利用者とは、監視システム１による監視対象５の監視サービスの利用者を意味する。本実施の形態の例では、監視対象５が店舗であり、利用者拠点７は店舗のオーナーの事務所である。

　監視センタ３には、通信管理装置１１及び複数のセンタ装置１３が備えられており、これらは通信可能に接続されている。通信管理装置１１及び複数のセンタ装置１３は、地理的には離れた場所に配置されてよい。複数のセンタ装置１３は、複数の担当地域にそれぞれ配置されてよい。また、複数のセンタ装置１３は機能を分担してよい。例えば、あるセンタ装置１３が、警備関連の信号を処理する管制センタ装置として機能してよく、別のセンタ装置１３が、監視映像を主に処理する画像センタ装置として機能してよい。なお、本発明の範囲でセンタ装置１３が一つでもよい。

　監視対象５及び利用者拠点７には、それぞれ、監視装置１５及び利用者装置１７が設けられている。監視装置１５及び利用者装置１７は監視システム１における端末に相当する。監視装置１５は、監視情報をセンタ装置１３及び利用者装置１７へ送る。監視情報は、例えば、監視カメラの画像であり、また、監視対象５にて検出された監視信号である。監視信号は、例えば異常発生を示す警備信号であり、警備信号は、監視対象５に設置されたセンサからの検出信号に基づいて生成され、あるいは、警報ボタン（スイッチ）が操作されたときに生成される。また、利用者装置１７は、監視装置１５へ制御信号や、音声信号を送る。このような利用者装置１７から監視装置１５への信号も、監視情報に含まれる。

　図１では、１つの監視対象５及び１つの利用者拠点７が示されている。しかし、実際には、監視センタ３は複数の監視対象５及び複数の利用者拠点７と通信する。したがって、通信管理装置１１も、複数の監視装置１５及び複数の利用者装置１７と通信する。各々の監視装置１５は関連づけられた利用者装置１７（店舗のオーナーの端末）と通信する。

　図１の監視システム１によれば、例えば、監視装置１５がセンサ信号等により異常を検出したとする。この場合、監視情報として警備信号が、監視対象５の映像と共に、監視センタ３へ送信される。監視センタ３では、オペレータがセンタ装置１３のモニタで警備信号や映像を確認し、警備員に必要な指示を出す。指示を受けた警備員が監視対象５に急行し、異常に対処する。

　また例えば、監視装置１５は、監視対象５の映像等を定期的に、あるいはその他の設定に従って利用者装置１７へ送る。例えば、センサによって来客が検出されたときに、映像等が利用者装置１７へ送られる。また、利用者装置１７から映像等の送信が要求されることもある。オーナーは、映像等によって店舗の様子を把握できる。また、オーナーは、利用者装置１７から監視装置１５に音声等を送り、店員に必要事項を指示することができる。

　次に、監視システム１の通信形態について説明する。通信管理装置１１、監視装置１５及び利用者装置１７は、インターネットに接続されている。

　さらに、通信管理装置１１は、インターネット上でセンタ端末間ＶＰＮ（仮想プライベートネットワーク）２１によって監視装置１５及び利用者装置１７と接続される。センタ端末間ＶＰＮ２１を構築するために、通信管理装置１１にＶＰＮサーバ機能が備えられ、監視装置１５及び利用者装置１７にＶＰＮクライアント機能が備えられる。ＶＰＮでは、ＶＰＮトンネルが構築され、暗号化通信が行われ、高いセキュリティ性が実現される。

　また、監視装置１５と利用者装置１７は、通信管理装置１１を介してＳＩＰ通信２３を行う。ＳＩＰ通信２３は、上記のセンタ端末間ＶＰＮ２１を介して行われる。通信管理装置１１にはＳＩＰサーバ機能が備えられている。

　また、監視装置１５と利用者装置１７は、通信管理装置１１を介さずに、直接に端末間ＶＰＮ２５によって接続される。この端末間ＶＰＮ２５を構築するために、利用者装置１７にＶＰＮサーバ機能が備えられ、監視装置１５にＶＰＮクライアント機能が備えられる。

　ここで、センタ端末間ＶＰＮ２１は、常時ＶＰＮトンネルが構築されて接続されており、センタ装置１３と監視装置１５及び利用者装置１７の間での通信に利用される。これに対して、端末間ＶＰＮ２５は、必要なときのみ構築される。

　端末間ＶＰＮ２５を用いる理由を説明する。監視システム１では映像等の大容量のデータが通信される。センタ端末間ＶＰＮ２１がすべての通信に使われると、通信管理装置１１の負荷が膨大になる。そこで、監視装置１５と利用者装置１７の通信を端末間ＶＰＮ２５によって行うことで、セキュリティ性を確保しつつ、通信管理装置１１の負荷を軽減している。

　また、本実施の形態におけるＳＩＰ通信２３の役割は、通常のＩＰ電話等とは異なる特別なものである。すなわち、本実施の形態は、ＳＩＰのシグナリングを、ＶＰＮ接続前の準備の処理として位置づけている。より詳細には、ＳＩＰ通信２３のセッションを確立するときには、シグナリングが行われる。このシグナリングにて双方向通信が行われ、ＩＮＶＩＴＥ（招待）メッセージとＯＫメッセージが交換される。一方、ＶＰＮ接続を確立するためには、情報の交換が必要である。本実施の形態では、ＩＰアドレス及び電子証明書が交換される。

　そこで、ＳＩＰ通信２３のシグナリングが、ＶＰＮ接続確立のための情報交換の手段として利用される。すなわち、ＳＩＰの接続元から接続先へ、ＩＰアドレスと電子証明書を付加したＩＮＶＩＴＥメッセージを送信する。ＩＮＶＩＴＥメッセージに応えて、ＳＩＰの接続先から接続元へ、ＩＰアドレスと電子証明書を付加したＯＫメッセージが返信され、これにより情報交換が成立する。

　以上に、監視システム１の全体構成を説明した。上記のように、本実施の形態では、２種類のＶＰＮが使用される。一方は、通信管理装置１１と端末（監視装置１５又は利用者装置１７）を接続し、他方は、端末同士（監視装置１５と利用者装置１７）を接続する。そこで、図１では、これら２つのＶＰＮを区別するため、センタ端末間ＶＰＮ２１と端末間ＶＰＮ２５といった用語を用いている。ただし、単にＶＰＮ２１、ＶＰＮ２５といった用語が用いられてよい。

　次に、図２を参照し、監視システム１の構成をより具体的に説明する。通信管理装置１１は、ファイアウォール３１、ＨＴＴＰサーバ３３、ＶＰＮサーバ３５、ＳＩＰサーバ３７、ＳＴＵＮサーバ３９、アカウント管理サーバ４１、データベース４３及びログサーバ４５を備える。

　ファイアウォール３１は、通信管理装置１１と監視装置１５及び利用者装置１７との間で使用される通信データ以外のデータを遮断する装置である。ＨＴＴＰサーバ３３はインターネット接続のための構成である。ＶＰＮサーバ３５は、ＶＰＮトンネル構築のための認証と暗号化を行うサーバである。

　ＶＰＮサーバ３５は、センタ端末間ＶＰＮ２１を実現する構成であり、通信管理装置１１と監視装置１５の間にＶＰＮを構築し、また、通信管理装置１１と利用者装置１７の間にＶＰＮを構築する。監視装置１５からの信号は、ＶＰＮサーバ３５で復号化されて、センタ装置１３へ送信される。また、センタ装置１３からの信号は、ＶＰＮサーバ３５で暗号化されて、監視装置１５へ送信される。また、通信管理装置１１が監視装置１５に信号を送るときも、ＶＰＮサーバ３５で暗号化が行われる。通信管理装置１１と利用者装置１７の通信でも、ＶＰＮサーバ３５が同様に暗号化及び復号化を行う。

　ＳＩＰサーバ３７は、ＳＩＰプロトコルに従ってシグナリングの処理を行い、監視装置１５と利用者装置１７を接続する。ＳＩＰサーバ３７は、利用者装置１７が監視装置１５に接続を要求する場合に、もしくは、監視装置１５が利用者装置１７に接続を要求する場合に、ＳＩＰの接続制御の機能を果たす。

　ＳＩＰのシグナリングでは、メッセージが交換される。具体的には、ＩＮＶＩＴＥ（招待）メッセージとＯＫメッセージが交換される。このメッセージ交換を利用して、前述したように、ＶＰＮ接続確立のためにＩＰアドレス及び電子証明書が交換される。

　ＳＴＵＮサーバ３９は、監視装置１５及び利用者装置１７のルータのＮＡＴ機能に対応するためにＳＴＵＮ機能を提供する。

　アカウント管理サーバ４１は、認証等の各種の情報を管理するサーバである。管理される情報は、データベース４３に格納される。管理される情報は、ＩＰ回線のアカウント、ＶＰＮ接続（トンネル構築）のための電子証明書、鍵ペアの情報を含む。また、ＳＩＰのシグナリングの過程で、端末間の接続について認証及び認可が行われる。この処理のための情報も、データベース４３に保持され、アカウント管理サーバ４１に使用される。

　ログサーバ４５は、監視装置１５で生成したログを保存するためのサーバである。

　センタ装置１３は、監視卓５１と回線接続装置５３を備える。監視卓５１が回線接続装置５３を介して通信管理装置１１に接続される。例えば、センタ装置１３が画像センタである場合、監視映像が監視卓５１に供給され、監視卓５１にて管理される。また、センタ装置１３が管制センタである場合、警備関連の情報が監視卓５１に供給される。監視映像も管制センタのモニタに好適に表示される。監視映像等は、センタ装置同士の間でも通信されてよい。

　次に、監視装置１５について説明する。監視装置１５は、監視対象ＬＡＮ６１に接続されている。監視対象ＬＡＮ６１は、監視対象５のローカルネットワーク（ＬＡＮ）であり、ブロードバンド回線用のルータ６３を備え、ルータ６３がゲートウエイとして、広域ネットワーク（ＷＡＮ）であるインターネットに接続される。そして、監視装置１５はルータ６３に接続されている。ルータ６３には監視対象ＰＣ（パーソナルコンピュータ）６５も接続されている。監視対象ＰＣ６５は、監視対象５に設置されるＰＣである。本実施の形態の例では、監視対象５が店舗であり、監視対象ＰＣ６５が店舗用のＰＣでよい。さらに他の機器が監視対象ＬＡＮ６１に接続されてもよい。

　監視装置１５は、コントローラ７１、ＩＰ回線ユニット７３、周辺機器７５及びマルチ回線アダプタ７７で構成されている。

　コントローラ７１はコンピュータで構成されており、周辺機器７５と連携して、監視機能を実現する。コントローラ７１は、監視センタ３とはＩＰ回線ユニット７３を介して接続される。また、コントローラ７１は、利用者装置１７とも、ＩＰ回線ユニット７３を介して接続される。

　図２では、周辺機器７５として監視カメラ８１、センサ８３及び警報ボタン８５が例示されている。コントローラ７１は、監視映像に対して画像認識処理を施して異常を検出する。また、コントローラ７１は、センサ８３から入力される検出信号により、異常を検出する。警報ボタン８５が押されたときにも異常が検出される。その他の周辺機器が異常検出に用いられてよい。異常が発生すると、コントローラ７１はセンタ装置１３と通信し、警備信号と画像信号を送信する。監視カメラ８１と共にマイクが備えられており、音声信号も送信される。このようにして、コントローラ７１は監視対象５の警備機能を実現する。

　また、監視映像及び音声は、センタ装置１３から要求されたときにも送信される。さらに、監視映像及び音声は、利用者装置１７にも送られる。利用者装置１７への送信は、例えば定期的に行われ、また、その他の設定に従って行われる。例えば、センサ８３により来客が検知されると、映像等が利用者装置１７に送られる。また、利用者装置１７から要求されたときも、監視装置１５は映像等を送信する。

　ＩＰ回線ユニット７３は、コントローラ７１が通信管理装置１１と通信するためのＶＰＮトンネルを構築する。また、コントローラ７１が利用者装置１７と通信するためのＶＰＮトンネルを構築する。前者は、センタ端末間ＶＰＮ２１に対応し、後者は、端末間ＶＰＮ２５に対応する。これらの接続において、ＩＰ回線ユニット７３は、ＶＰＮクライアントの機能を実現する。

　図２では、ＩＰ回線ユニット７３がコントローラ７１の内部構成として示されている。これは、物理的な配置を表現している。通信構成としては、ＩＰ回線ユニット７３は、コントローラ７１とルータ６３の間に配置されている。

　マルチ回線アダプタ７７は、携帯電話網を介してセンタ装置１３と接続される。マルチ回線アダプタ７７は、ブロードバンド回線が不通のときに警備信号を送信するために使用される。警備信号が、コントローラ７１からＩＰ回線ユニット７３を介してマルチ回線アダプタ７７に送られ、マルチ回線アダプタ７７からセンタ装置１３へと送信される。

　次に、利用者装置１７について説明する。利用者装置１７は、ＶＰＮ終端装置（以下、ＶＴＥ）９１及び利用者ＰＣ（パーソナルコンピュータ）９３で構成されている。利用者ＰＣ９３がＶＴＥ９１に接続され、ＶＴＥ９１がルータ９５に接続されており、ルータ９５がインターネットと接続される。ルータ９５はブロードバンド回線用のルータであり、利用者拠点７におけるＬＡＮのゲートウエイである。

　ＶＴＥ９１は、ブロードバンド接続のための回線終端装置である。そして、ＶＴＥ９１は、通信管理装置１１のＶＰＮサーバ３５とＶＰＮトンネルを構築し、また、監視装置１５のＩＰ回線ユニット７３とＶＰＮトンネルを構築する。前者では、ＶＴＥ９１がＶＰＮクライアントとして機能し、後者では、ＶＴＥ９１がＶＰＮサーバとして機能する。

　ＶＴＥ９１は、監視装置１５のコントローラ７１から受信した映像、音声及び制御信号を利用者ＰＣ９３に転送する。また、ＶＴＥ９１は、利用者ＰＣ９３から受信した音声及び制御信号をコントローラ７１へ転送する。

　本実施の形態では、利用者拠点７が、店舗のオーナーの事務所等である。したがって、利用者ＰＣ９３は、店舗のオーナーのＰＣでよい。利用者ＰＣ９３は、オーナーが監視対象５の監視映像を見るために用いられる。この機能を提供するために、利用者ＰＣ９３には、コントローラ７１と通信することによって監視対象５の監視映像を表示及び切り換えることができるアプリケーションソフトがインストールされている。

　本実施の形態では、利用者装置１７が固定されている。しかし、利用者装置１７の機能が携帯端末等に組み込まれて、移動可能であってもよい。

　以上に、監視システム１の全体的な構成を説明した。次に、本発明の特徴的事項について説明する。

　本実施の形態では、監視装置１５のＩＰ回線ユニット７３が、本発明の通信制御装置に相当する。ＩＰ回線ユニット７３は、既に説明したように、監視対象ＬＡＮ６１に接続されると共に、監視対象ＬＡＮ６１経由でインターネットに接続されてＶＰＮ通信を行う。ＶＰＮのための仮想ＩＰアドレスは、監視対象ＬＡＮ６１のローカルＩＰアドレスとは重複しないように設定される。しかし、何らかの理由でローカルＩＰアドレスが変更されて、仮想ＩＰアドレスと重複する可能性がある。本実施の形態は、このような場合に有効であり、ＶＰＮ通信が不能になるのを回避できる。以下に詳細に説明する。

　まず、図３を参照し、監視システム１の構成に付与されるローカルＩＰアドレスと仮想ＩＰアドレスの例を説明する。

　図３は、監視システム１の一部に相当する。既に説明した通り、概略構成としては、監視対象ＬＡＮ６１が、インターネットへのゲートウエイとしてルータ６３を備える。ルータ６３は監視対象ＰＣ６５と接続され、また、監視装置１５のＩＰ回線ユニット７３（本発明の通信制御装置）と接続されている。

　監視装置１５ではＩＰ回線ユニット７３にコントローラ７１が接続されている。前述の図２では、物理的配置を表現するためにＩＰ回線ユニット７３がコントローラ７１の内部構成として示されていた。しかし、通信の構成としては、図３に示すように、ＩＰ回線ユニット７３とコントローラ７１は互いに通信する関係にある。

　監視装置１５のＩＰ回線ユニット７３は、ルータ６３を介し、インターネットを経由して監視センタ３の通信管理装置１１に接続される。そして、ＩＰ回線ユニット７３と通信管理装置１１との間にＶＰＮが構築される。

　図３に示すように、監視対象ＬＡＮ６１では、ＩＰ回線ユニット７３及び監視対象ＰＣ６５にローカルＩＰアドレスが付与される。また、ＶＰＮでは、ＩＰ回線ユニット７３と監視センタ３（通信管理装置１１）に仮想ＩＰアドレスが付与される。

　ここで、図３の例では、ローカルＩＰアドレスが変更されている。このような変更は、例えば、利用者の都合で監視対象ＬＡＮ６１が再構築された場合などに生じ得る。そして、図３のようなアドレス変更が行われると、以下に説明するような問題が生じる。

　図４を参照すると、変更前のローカルＩＰアドレスは以下の通りである。
　　　　　ＩＰ回線ユニット：１９２．１６８．０．３
　　　　　監視対象ＰＣ　　：１９２．１６８．０．１
　一方、仮想ＩＰアドレスは以下の通りである。
　　　　　ＩＰ回線ユニット：１０．１８０．０．３
　　　　　監視センタ　　　：１０．１８０．０．１

　ＩＰ回線ユニット７３は、ＶＰＮの処理として、パケットがＶＰＮのカプセル化の対象であることを判断する必要がある。従来のＶＰＮでは、このような判断のために、パケットの宛先アドレスのネットワーク部分が参照される。そして、宛先アドレスのネットワーク部分が仮想ＩＰアドレスのネットワーク部分（１０．１８０）であれば、パケットがカプセル化されて、ＶＰＮトンネルへと送出される。

　図４の例では、パケットの宛先がＶＰＮの監視センタ３（通信管理装置１１）である場合、宛先アドレスが「１０．１８０．０．１」であり、仮想ＩＰアドレスのネットワーク部分を含むので、パケットがカプセル化され、ＶＰＮトンネルへ送出される。

　上記のＶＰＮの処理を正常に行うためには、ローカルＩＰアドレスと仮想ＩＰアドレスとでネットワーク部分が重複していてはいけない。ネットワーク部分が重複するとＶＰＮ通信が不能になる。そこで、ＶＰＮ対応の機器をＬＡＮに接続するときは、ローカルＩＰアドレスとネットワーク部分が重複しないように仮想ＩＰアドレスが設定される。図４の例では、ローカルＩＰアドレスのネットワーク部分が「１９２．１６８」である。そこで、仮想ＩＰアドレスのネットワーク部分が「１０．１８０」に設定されている。

　ところが、図３及び図４の例では、ローカルＩＰアドレスが変更され、その結果、ローカルＩＰアドレス及び仮想ＩＰアドレスが以下のようになっている。
　　・ローカルＩＰアドレス
　　　　　　ＩＰ回線ユニット：１０．１８０．０．５
　　　　　　監視対象ＰＣ　　：１０．１８０．０．２
　　・仮想ＩＰアドレス
　　　　　　ＩＰ回線ユニット：１０．１８０．０．３
　　　　　　監視センタ　　　：１０．１８０．０．１

　ローカルＩＰアドレスが変更された結果、ローカルＩＰアドレスのネットワーク部分が、仮想ＩＰアドレスのネットワーク部分と一致してしまっている。そのため、ＩＰ回線ユニット７３はＶＰＮ通信をできなくなる。

　このような事態が生じるのは、例えば、監視対象ＬＡＮ６１が再構築された場合である。監視対象ＬＡＮ６１は、監視対象５に属しており、利用者により所有されている。そのため、監視センタ３との間のＶＰＮが考慮されずに、ローカルＩＰアドレスが変更され、その結果、アドレス重複現象が生じることが考えられる。

　本実施の形態では、上記のような問題を防ぐために、ＩＰ回線ユニット７３が下記のように構成されている。

　図５は、ＩＰ回線ユニット７３の構成を、コントローラ７１及びルータ６３と共に示している。ＩＰ回線ユニット７３は、既に述べたように本発明の通信制御装置に相当し、また、本発明の通信制御部にも相当する。コントローラ７１は本発明の情報処理装置及び監視制御部に相当する。

　ＩＰ回線ユニット７３とコントローラ７１はＬＡＮ（イーサネット、登録商標）で接続されている。このＬＡＮは、監視対象ＬＡＮ６１とは別個のＬＡＮである。監視対象ＬＡＮ６１との区別のために、コントローラ７１とＩＰ回線ユニット７３の間のＬＡＮを、監視装置内ＬＡＮ２０１と呼ぶ。監視装置内ＬＡＮ２０１は、コントローラ内ＬＡＮと呼ぶこともできる。

　図５に示されるように、ＩＰ回線ユニット７３は、パケット処理部１０１、記憶部１０３、判定部１０５、カプセル化部１０７、再発行処理部１０９を有する。

　パケット処理部１０１は、コントローラ７１からパケットを入力し、入力されたパケット（入力パケット）を監視センタ３へＶＰＮで送られるべき監視情報のパケット（送信パケット）に変換する。ここでは、後述するように、入力パケットのデータ領域から送信パケットを抽出する処理が行われる。また、パケット処理部１０１は、監視対象ＬＡＮ６１向けのパケットや、ＶＰＮ以外のＷＡＮ向けのパケットも入力してよい。これらパケットは、ヘッダ領域とデータ領域にて構成され、ヘッダ領域には、送信元のＩＰアドレスと宛先のＩＰアドレスが記憶されている。

　記憶部１０３は、ＩＰ回線ユニット７３で処理される各種の情報を記憶する。本実施の形態に関連して、記憶部１０３は、ＩＰ回線ユニット７３のローカルＩＰアドレス及び仮想ＩＰアドレスを記憶している。

　判定部１０５は、パケット処理部１０１により入力されたパケットを変換した送信パケット中の送信元アドレスと、記憶部１０３に記憶された仮想ＩＰアドレスを比較する。そして、判定部１０５は、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する。

　判定部１０５は、判定結果が一致であれば、パケットをカプセル化部１０７に供給する。判定結果が一致でなければ、判定部１０５は、パケットをそのままルータ６３へと送出する。

　カプセル化部１０７は、ＶＰＮトンネルへ送出するためにパケットをカプセル化する構成である。本実施の形態では、判定部１０５の判定結果が一致である場合に限り、パケットが１０５からカプセル化部１０７に供給され、カプセル化部１０７でカプセル化される。

　カプセル化では、パケットが暗号化される。そして、ＶＰＮの接続相手のグローバルＩＰアドレスが付加（カプセル化）される。本実施の形態の例では、通信管理装置１１のグローバルＩＰアドレスが付与される。こうして作成されたカプセルがルータ６３へと送出される。

　また、再発行処理部１０９は、通信管理装置１１のＶＰＮサーバ３５に対して仮想ＩＰアドレスの再発行を要求する構成である。再発行処理部１０９については後述にて詳細に説明する。

　以上に、図５を参照し、本実施の形態において特徴的なＩＰ回線ユニット７３の構成について説明した。

　次に、図６及び図７を参照し、本実施の形態の動作を説明する。ここでは、ＩＰ回線ユニット７３のパケット送信動作を説明する。

　図６は各パケットの処理を示すフローチャートである。まず、パケット処理部１０１により入力されたパケットが送信用パケットに変換される（Ｓ１）。判定部１０５は、パケット中の送信元アドレスを取得する（Ｓ３）。そして、判定部１０５は、送信元アドレスのネットワーク部分及びホスト部分の両方が、ＩＰ回線ユニット７３の仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する（Ｓ５）。ステップＳ５の判定結果がＮｏであれば、パケットはそのままルータ６３へ送信される（Ｓ９）。ステップＳ５の判定結果がＹｅｓであれば、パケットがカプセル化部１０７にてカプセル化され（Ｓ７）、カプセル化後のパケットがルータ６３へ送信される（Ｓ９）。

　図７は、上記の処理をより具体的に示している。図７の左上部分には、コントローラ７１からの入力パケット１２１が示されている。前述したように、コントローラ７１とＩＰ回線ユニット７３は、監視装置内ＬＡＮ２０１で接続されている。入力パケット１２１は、監視装置内ＬＡＮ２０１のＬＡＮパケットである。

　入力パケット１２１は、ヘッダ領域１２３とデータ領域１２５を有する。ヘッダ領域１２３には、図示されないが、監視装置内ＬＡＮ２０１にて設定されたコントローラ７１及びＩＰ回線ユニット７３のアドレスが送信元及び宛先として付されている（これらアドレスは、以下に説明するアドレスとの混同を避けるために図から省略してある）。そして、データ領域１２５には、ＩＰ回線ユニット７３で処理すべきパケット、すなわち、ルータ６３へと送出すべきパケットのデータが含まれている。言い換えると、コントローラ７１では、ＩＰ回線ユニット７３で処理すべきパケットを生成し、このパケットのヘッダ領域１２３に送信元がコントローラ７１であり、宛先がＩＰ回線ユニット７３という情報を付加してＩＰ回線ユニット７３に送出している。

　パケット処理部１０１は、入力パケット１２１のデータ領域中のパケット１３１を抜き出す（抽出する）。パケット１３１には、送信元アドレス１３３と宛先アドレス１３５がヘッダ領域１３２に含まれる。これらは、上述の監視装置内ＬＡＮ２０１のアドレスと異なり、ＩＰ回線ユニット７３から先の通信のアドレスである。そして、データ領域１３７には、監視センタ３に送信すべき監視情報が含まれる。

　尚、本実施の形態では、入力パケット１２１のデータ領域にルータ６３へ送出されるパケット１３１が含まれる構成としたが、パケット処理部１０１にて、入力パケット１２１のヘッダ領域の情報を書き換えるようにしてもよい。即ち、パケット処理部１０１では、入力パケット１２１のヘッダ領域１２３に付されている送信元がコントローラ７１であれば、ヘッダ領域の送信元をＩＰ回線ユニット７３の仮想ＩＰアドレス、宛先を監視センタ３の仮想ＩＰアドレスに書き換えて、ルータ６３へ送出されるパケット１３１としてもよい。

　判定部１０５は、パケット１３１中のヘッダ領域に含まれる送信元アドレス１３３を、記憶部１０３に記憶されたＩＰ回線ユニット７３の仮想ＩＰアドレスと比較する。比較対象は、図示のように、アドレス中のネットワーク部分とホスト部分であり、つまり、アドレスの全桁である。

　判定部１０５は、送信元アドレスのネットワーク部分及びホスト部分が、仮想ＩＰアドレスのネットワーク部分及びホスト部分と一致するか否かを判定する。不一致の場合、パケットはそのままルータ６３へ送出される。一致の場合、パケットはカプセル化部１０７へ送られる。

　図７には、ＷＡＮ宛、ＬＡＮ宛、ＶＰＮ宛の３種のパケットが示されている。各々宛のパケットを示す図において、上段が送信元アドレス、下段が宛先アドレスを示す。図７において、ＩＰ回線ユニット７３のローカルＩＰアドレスは、図３及び図４の変更後の例と同様（１０．１８０．０．５）である。また、仮想ＩＰアドレスも、図３及び図４の例と同様（１０．１８０．０．３）である。したがって、従来の処理では、ローカルネットワークとＶＰＮのネットワークアドレスが同じであるため、通信が不能である。しかし、本実施の形態では、下記のようにして通信が可能である。

　ＷＡＮ宛のパケットにおいては、送信元アドレスがＩＰ回線ユニット７３のローカルＩＰアドレスであり、宛先アドレスがグローバルＩＰアドレスである。送信元アドレスは、仮想ＩＰアドレスと不一致である。そのため、パケットはルータ６３へと送られる。

　ＬＡＮ宛のパケットでは、送信元アドレスがＩＰ回線ユニット７３のローカルＩＰアドレスであり、宛先アドレスが監視対象ＬＡＮ６１向けのローカルＩＰアドレスである。この場合も、送信元アドレスは、仮想ＩＰアドレスと不一致である。そのため、パケットはルータ６３へと送られる。

　ＶＰＮ宛のパケットでは、送信元アドレスがＩＰ回線ユニット７３の仮想ＩＰアドレスであり、宛先アドレスが監視センタ３（通信管理装置１１）の仮想ＩＰアドレスである。この場合は、送信元アドレスが、パケット処理部１０１の仮想ＩＰアドレスと一致する。そのため、パケットはカプセル化部１０７に送られる。カプセル化部１０７では、パケットが暗号化される。そして、暗号化されたパケットに、監視センタ３（通信管理装置１１）のグローバルＩＰアドレスが付与される（カプセル化）。こうして作成されたパケットが、ルータ６３に送出され、監視センタ３へと送られる。

　このようにして、本実施の形態によれば、判定部１０５がパケットの送信元アドレスと仮想ＩＰアドレスを比較しており、特に、アドレス中のネットワーク部分とホスト部分の両方を比較対象にしている。これにより、ローカルＩＰアドレスに変更があった場合でも、ＩＰ回線ユニット７３の機能を好適に維持できる。

　ただし、上記の構成をもってしても、問題を避けられない場合もある。それは、ＩＰ回線ユニット７３において、ローカルＩＰアドレスのネットワーク部分及びホスト部分が、仮想ＩＰアドレスのネットワーク部分及びホスト部分と一致する場合である。すなわち、ローカルＩＰアドレスと仮想ＩＰアドレスで全桁が完全に一致してしまう場合である。この事態には判定部１０５でも対応しきれず、ＶＰＮのパケットを処理できなくなる。そこで、このような事態に対処するために、以下に説明するように再発行要求部１０９が好適に機能する。

　再発行処理部１０９は、監視対象ＬＡＮ６１のローカルＩＰアドレスが変更されたときに機能する。監視対象ＬＡＮ６１のローカルＩＰアドレスが変更されると、ＩＰ回線ユニット７３のローカルＩＰアドレスも変更され、記憶部１０３のローカルＩＰアドレスも書き換えられる。再発行処理部１０９は、更新後のＩＰ回線ユニット７３のローカルＩＰアドレスを、ＩＰ回線ユニット７３の仮想ＩＰアドレスと比較する。そして、再発行要求部１０９は、ローカルＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方が、仮想ＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致するか否かを判定する。判定結果が一致である場合に、再発行処理部１０９は、ＶＰＮアドレスの再発行を要求する。再発行の要求は、通信管理装置１１のＶＰＮサーバ３５に対して行われる。

　再発行の要求に応え、通信管理装置１１から新しい仮想ＩＰアドレスが送られてくると、再発行処理部１０９が新しい仮想ＩＰアドレスを記憶部１０３に格納する。そして、ＩＰ回線ユニット７３は、新しい仮想ＩＰアドレスを用いてＶＰＮの処理を行う。上述の判定等も、新しい仮想ＩＰアドレスを用いて行われる。

　再発行要求部１０９の処理は、実際の装置ではＶＰＮの機能を利用して下記のようにして行われる。ローカルＩＰアドレスのネットワーク部分及びホスト部分（全桁）が仮想ＩＰアドレスのネットワーク部分及びホスト部分と一致すると、ＶＰＮ通信が不能になり、ＶＰＮ接続が切断される。切断後、ＶＰＮの接続処理が行われる。この再接続の過程で、新しい仮想ＩＰアドレスが通信管理装置１１のＶＰＮサーバ３５から取得されて、記憶部１０３に記憶される。このようなＶＰＮの切断及び再接続の機能が、図５では再発行要求部１０９に相当している。

　このようにして、本実施の形態によれば、ローカルＩＰアドレスの変更によって、ローカルＩＰアドレスと仮想ＩＰアドレスでネットワーク部分及びホスト部分の全部が一致した場合でも、再発行要求部１０９が好適に機能し、仮想ＩＰアドレス側を変更することにより、ＩＰ回線ユニット７３のＶＰＮ通信機能を確保できる。

　次に、本実施の形態の変形例を説明する。上記の実施の形態では、判定部１０５の判定対象が、パケットの送信元アドレスであった。判定部１０５は、更に、パケットの宛先アドレスも判定対象としてよい。この点について以下に説明する。

　図５には示されないが、ＩＰ回線ユニット７３の記憶部１０３は、ＶＰＮの接続相手の仮想ＩＰアドレスを記憶している。この例では、通信管理装置１１の仮想ＩＰアドレスが記憶されている。

　判定部１０５は、パケットの宛先アドレスを、記憶部１０３に記憶された接続相手の仮想ＩＰアドレスと比較する。ここでは、宛先アドレスと一致する仮想ＩＰアドレスが記憶部１０３に登録されているか否かが判定される。また、この処理では、判定部１０５は、宛先アドレスのネットワーク部分及びホスト部分の両方が、記憶部１０３に記憶された接続相手の仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する。

　判定部１０５は、送信元アドレスの判定結果が一致であり、かつ、宛先アドレスの判定結果も一致である場合、パケットをカプセル化部１０７へ渡す。

　上記のように、送信元アドレスだけでなく、宛先アドレスの判定も行うことで、より確実に、ＶＰＮのパケットの判別ができる。そして、ローカルＩＰアドレスの変更によって通信が不能になる事態を一層確実に回避できる。

　次に別の変形例について説明する。上記の実施の形態の例では、本発明が、監視装置１５と監視センタ３（通信管理装置１１）の間のセンタ端末間ＶＰＮ２１に適用された。しかし、本発明は、上記の例に限定されない。監視装置１５と利用者装置１７の端末間ＶＰＮ２５に関しても本発明が好適に適用される。また、本発明は、監視システム以外にも適用されてよい。ＶＰＮの仮想ＩＰアドレス設定者の管理外で、ＬＡＮの変更等によりローカルＩＰアドレスが変更されてしまうような場合には、本発明が特に有用である。

　以上に本発明の実施の形態について説明した。本発明によれば、上述したように、ＶＰＮの通信制御装置（実施の形態ではＩＰ回線ユニット７３）が、送信パケット中の送信元アドレスと、仮想ＩＰアドレスを比較し、送信元アドレスのネットワーク部分及びホスト部分の両方が、仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定し、判定結果が一致であれば送信パケットをカプセルする。したがって、ローカルＩＰアドレスの変更によるアドレス重複によって通信が不能になるのを回避することができる。

　また、本発明によれば、通信制御装置が、専用通信路で情報処理装置と接続される。通信制御装置には、専用通信路のための専用通信パケットが入力パケットとして情報処理装置より入力される。専用通信パケットのデータ領域からＶＰＮに送出されるべきパケットが抽出される。そして、専用通信パケット中のデータ領域に含まれたアドレスが仮想ＩＰアドレスとの比較対象とされる。上記の実施の形態では、情報処理装置がコントローラ７１であり、専用通信路が監視装置内ＬＡＮ２０１であり、専用通信パケットが監視装置内ＬＡＮ２０１のパケットである。このように情報処理装置から専用通信パケットが入力される場合においても、本発明によれば、ＶＰＮの通信を好適に行うことができ、アドレス重複によって通信が不能になるのを回避できる。

　また、本発明によれば、上述の実施の形態で説明したように再発行処理部を通信制御装置に設けたので、ローカルネットワークにおける通信制御装置のローカルＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方が、ＶＰＮにおける通信制御装置の仮想ＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致してＶＰＮが切断された場合でも、仮想ＩＰアドレスの再発行によりＶＰＮ通信を行うことができる。したがって、アドレス重複によって通信が不能になるのを回避することができる。

　また、本発明によれば、上述にて変形例として説明したように、送信パケット中の送信元アドレスと通信制御装置の仮想ＩＰアドレスの比較に加え、宛先アドレスと対象機器の仮想ＩＰアドレスをも比較する。そして、後者の比較処理についても、ネットワーク部分とホスト部分の両部分が比較対象とされる。そして、比較結果が一致であれば送信パケットがカプセル化される。このような構成により、ＶＰＮの通信制御装置をローカルネットワークに接続する構成においてアドレスの重複によって通信が不能になるのを一層確実に回避することができる。

　また、本発明は、上述したように監視システムに好適に適用される。そして、監視対象のローカルＩＰアドレスと監視装置のＶＰＮの仮想ＩＰアドレスとが重複したために通信が不能になるのを回避することができる。監視システムは、警備等の役割も果たしており、システムの安全性や安定性に対する要求のレベルが高く、このようなニーズに本発明は好適に応えられる。

　以上に本発明の好適な実施の形態を説明した。しかし、本発明は上述の実施の形態に限定されず、当業者が本発明の範囲内で上述の実施の形態を変形可能なことはもちろんである。

　以上に現時点で考えられる本発明の好適な実施の形態を説明したが、本実施の形態に対して多様な変形が可能なことが理解され、そして、本発明の真実の精神と範囲内にあるそのようなすべての変形を添付の請求の範囲が含むことが意図されている。

　以上のように、本発明にかかる監視システムは、通信を使って遠隔地から店舗等を監視するために有用である。

　１　監視システム
　３　監視センタ
　５　監視対象
　７　利用者拠点
　１１　通信管理装置
　１３　センタ装置
　１５　監視装置
　１７　利用者装置
　２１　センタ端末間ＶＰＮ
　２３　ＳＩＰ通信
　２５　端末間ＶＰＮ
　３３　ＨＴＴＰサーバ
　３５　ＶＰＮサーバ
　３７　ＳＩＰサーバ
　４１　アカウント管理サーバ
　４３　データベース
　６１　監視対象ＬＡＮ
　６３　ルータ
　６５　監視対象ＰＣ
　７１　コントローラ
　７３　ＩＰ回線ユニット
　９１　ＶＰＮ終端装置（ＶＴＥ）
　９３　利用者ＰＣ
　９５　ルータ
　１０１　パケット処理部
　１０３　記憶部
　１０５　判定部
　１０７　カプセル化部
　１０９　再発行処理部

Claims

　ローカルネットワークに接続され、該ローカルネットワークを介して広域ネットワークに接続されてＶＰＮの通信を行う通信制御装置であって、
　前記通信制御装置は、
　入力パケットを送信パケットに変換するパケット処理部と、
　前記ＶＰＮにおける前記通信制御装置の仮想ＩＰアドレスを記憶する記憶部と、
　前記送信パケット中の送信元アドレスと、前記記憶部に記憶された前記仮想ＩＰアドレスとを比較し、前記送信元アドレスのネットワーク部分及びホスト部分の両方が、前記仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、
　前記判定部による判定結果が一致である場合に前記パケットをカプセル化するカプセル化部と、
を有することを特徴とする通信制御装置。
　前記記憶部は、更に、前記ＶＰＮにて接続される対象機器の仮想ＩＰアドレスを記憶しており、
　前記判定部は、更に、前記送信パケットに含まれる宛先アドレスと、前記記憶部に記憶された前記対象機器の仮想ＩＰアドレスとを比較し、前記宛先アドレスのネットワーク部分及びホスト部分の両方が、前記対象機器の仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定することを特徴とする請求項１に記載の通信制御装置。
　前記通信制御装置は、前記ローカルネットワークとは別の専用通信路で情報処理装置と接続されており、
　前記パケット処理部は、前記専用通信路のための専用通信パケットを前記入力パケットとして前記情報処理装置より入力し、前記専用通信パケットのデータ領域から前記ＶＰＮに送出されるべき前記送信パケットを抽出することを特徴とする請求項１に記載の通信制御装置。
　前記ローカルネットワークにおける前記通信制御装置のローカルＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方が、前記ＶＰＮにおける前記通信制御装置の仮想ＩＰアドレスのネットワーク部分及びクライアントアドレス部分の両方と一致して前記ＶＰＮが切断された場合に前記ＶＰＮアドレスの再発行をＶＰＮサーバに要求する再発行処理部を有することを特徴とする請求項１に記載の通信制御装置。
　監視対象のローカルネットワークに接続され、前記監視対象で取得された監視情報を前記ローカルネットから広域ネットワークを介して遠隔の監視センタに送信する監視装置であって、
　前記監視装置は、
　前記監視センタに送信すべき監視情報を生成する監視制御部と、
　前記監視センタとＶＰＮの通信を行う通信制御部と、
を有し、
　前記通信制御部は、
　前記監視制御部からの前記監視情報を含む入力パケットを前記監視センタに送信すべき送信パケットに変換するパケット処理部と、
　前記ＶＰＮにおける前記監視装置の仮想ＩＰアドレスを記憶する記憶部と、
　前記送信パケット中の送信元アドレスと、前記記憶部に記憶された前記仮想ＩＰアドレスを比較し、前記送信元アドレスのネットワーク部分及びホスト部分の両方が、前記仮想ＩＰアドレスのネットワーク部分及びホスト部分の両方と一致するか否かを判定する判定部と、
　前記判定部による判定結果が一致である場合に、前記送信パケットをカプセル化するカプセル化部と、
を有することを特徴とする監視装置。