JP2007060610A - Network connection system, network connection apparatus, program thereof and recording medium - Google Patents

Network connection system, network connection apparatus, program thereof and recording medium Download PDF

Info

Publication number
JP2007060610A
JP2007060610A JP2005321880A JP2005321880A JP2007060610A JP 2007060610 A JP2007060610 A JP 2007060610A JP 2005321880 A JP2005321880 A JP 2005321880A JP 2005321880 A JP2005321880 A JP 2005321880A JP 2007060610 A JP2007060610 A JP 2007060610A
Authority
JP
Japan
Prior art keywords
information
network connection
communication terminal
network
connection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005321880A
Other languages
Japanese (ja)
Other versions
JP4612528B2 (en
Inventor
Yukio Tsuruoka
行雄 鶴岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005321880A priority Critical patent/JP4612528B2/en
Publication of JP2007060610A publication Critical patent/JP2007060610A/en
Application granted granted Critical
Publication of JP4612528B2 publication Critical patent/JP4612528B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To eliminate the necessity of address translation for an NAT with respect to a network connection system, a network connection apparatus thereof, a program thereof and a recording medium. <P>SOLUTION: A communication terminal 20 communicably connected to the network connection apparatus 10 connected to a network 40 transmits and receives internal communication information including a process identifier corresponding to a process and a destination address indicating an apparatus on the network 40 to and from the network connection apparatus 10. Upon receiving the internal communication information, the network connection apparatus 10 generates a packet using a transmission source address corresponding to the process identifier included in the internal information, and transmits the generated packet to the apparatus on the network 40. Further, the network connection apparatus 10 generates internal communication information including a process identifier corresponding to the destination address included in the received packet, and transmits the generated internal communication information to the communication terminal 20. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ネットワークに接続されたネットワーク接続装置を介して、ネットワーク接続装置に接続された通信端末とネットワーク上の機器との間で情報を送受信するネットワーク接続システム、そのネットワーク接続装置、そのプログラムおよび記録媒体に関する。   The present invention relates to a network connection system that transmits and receives information between a communication terminal connected to the network connection device and a device on the network via the network connection device connected to the network, the network connection device, the program, and The present invention relates to a recording medium.

従来のネットワーク接続システムを構成するネットワーク接続装置として、ブロードバンド対応ルータを含むNAT(Network Address Translation)装置などが知られている。これは、プライベートアドレス空間に属する通信端末とグローバルアドレス空間に属するネットワーク上の機器との間でIP(Internet Protocol)通信を行う際に、企業網や家庭内の網などで用いられるプライベートアドレス空間に属する通信端末のプライベートアドレスを、自己が保持するグローバルアドレスの中の任意のグローバルアドレスに対応づけるアドレス変換用のマッピングテーブルを作成し、受信したパケットを、このマッピングテーブルに従って転送するものである。すなわち、プライベートアドレスを送信元アドレスとして通信端末から送信されたパケットは、NAT装置のマッピングテーブルに基づいて、その発信元アドレスが対応するグローバルアドレスに変換され、ネットワーク上の機器に転送される。また、このグローバルアドレスを送信先としてネットワーク上の機器から送信されたパケットは、マッピングテーブルに基づいて、その送信先アドレスが対応するプライベートアドレスに変換され通信端末に転送される。このような仕組みによれば、複数の通信端末が一つのグローバルアドレスを共有でき、グローバルアドレス空間が節約できる(例えば、特許文献1参照。)。
特開平2004−072480号公報(第1頁、第1図) As a network connection device constituting a conventional network connection system, a NAT (Network Address Translation) device including a broadband router is known. This is a private address space used in corporate networks and home networks when performing IP (Internet Protocol) communication between communication terminals belonging to the private address space and devices on the network belonging to the global address space. A mapping table for address conversion is created in which the private address of the communication terminal to which it belongs is associated with an arbitrary global address in the global address held by itself, and the received packet is transferred according to this mapping table. That is, a packet transmitted from a communication terminal using a private address as a transmission source address is converted into a global address corresponding to the transmission source address based on a mapping table of the NAT device, and transferred to a device on the network. Also, a packet transmitted from a device on the network using this global address as a transmission destination is converted into a corresponding private address based on the mapping table and transferred to the communication terminal. According to such a mechanism, a plurality of communication terminals can share one global address, and a global address space can be saved (for example, refer to Patent Document 1).
Japanese Unexamined Patent Publication No. 2004-072480 (first page, FIG. 1)

しかし、従来のネットワーク接続システムには、NATに係るアドレス変換に起因した以下のような課題が存在する。
第一に、FTP(File Transfer Protocol)、SIP(Session Initiation Protocol)、DNS(Domain Name System)、SCTP(Stream Control Transport Protocol)、DCCP(Datagram Congestion Control Protocol)などのプロトコルでは、IPヘッダだけではなくペイロードにもIPアドレスが含まれるため、IPヘッダ部分のアドレス変換の際、ペイロード部分のアドレス変換も同時に行わなくてはならない。例えばSIPのINVITEメッセージでは、ペイロード中に互いに通信するもの同志のアドレスが含まれるため、ペイロード中のプライベートアドレスを対応するグローバルアドレスに変換しなければならない。ペイロードのどの部分にIPアドレスが含まれるかはプロトコル毎に異なるため、それぞれについてアドレス変換の方法を変えなければならない。さらには、新規のプロトコルには対応できないといった問題がある。 However, the conventional network connection system has the following problems due to the address translation related to NAT.
First, in protocols such as File Transfer Protocol (FTP), Session Initiation Protocol (SIP), Domain Name System (DNS), Stream Control Transport Protocol (SCTP), and Datagram Congestion Control Protocol (DCCP), not only the IP header Since the payload also includes an IP address, the address conversion of the payload portion must be performed at the same time when the IP header portion is converted. For example, in the SIP INVITE message, addresses that communicate with each other are included in the payload, so the private address in the payload must be converted into a corresponding global address. Since which part of the payload contains the IP address differs for each protocol, the address conversion method must be changed for each part. Furthermore, there is a problem that the new protocol cannot be supported.

また、アドレス変換用のマッピングテーブルは、プライベートアドレスを持つ通信端末からグローバルアドレスを持つネットワーク上の機器にアクセスする際に設定されるが、逆にネットワーク上の機器から通信端末へのアクセスを契機にする場合は、通信端末のプライベートアドレスが特定できず通信ができないといった問題がある。すなわち、NAT装置はクライアントサーバ型のアプリケーションには適しているが、ネットワーク側からのアクセスがあるVoIPアプリケーションやP2P型のアプリケーションには適さず、別途中継サーバが必要となる。   The mapping table for address conversion is set when a communication terminal having a private address accesses a device on the network having a global address, but conversely, when the device on the network accesses the communication terminal. In this case, there is a problem that the private address of the communication terminal cannot be specified and communication cannot be performed. That is, the NAT device is suitable for a client server type application, but is not suitable for a VoIP application or a P2P type application that is accessed from the network side, and requires a separate relay server.

また、前記のマッピングテーブルは、通信相手であるネットワーク上の機器のアドレスに対応して設定される場合があるが、この機器がハンドオーバーによりアドレスを変更する場合や、ネットワーク上の別の機器にLAN上の通信端末に割当てられたグローバルアドレスを通知して新たな通信を行う際には、ネットワーク上の機器のアドレスが異なっているため、アドレス変換が正しく行なわれないという問題もある。
さらに、IPsec(Security Architecture for Internet Protocol)のプロトコルを適用してIPヘッダの改竄防止を図る場合があるが、従来のネットワーク接続システムのようにNATによるアドレス変換を行うと、IPヘッダが変更され、IPsecのプロトコルはこれをIPヘッダの改竄と判断してしまう。 In addition, the mapping table may be set corresponding to the address of a device on the network that is a communication partner. However, when this device changes its address by a handover, it may be assigned to another device on the network. When notifying the global address assigned to the communication terminal on the LAN and performing a new communication, there is a problem that the address conversion is not performed correctly because the addresses of the devices on the network are different.
Furthermore, there is a case where the IP header is prevented from being falsified by applying the IPsec (Security Architecture for Internet Protocol) protocol. The IPsec protocol determines that this is a falsification of the IP header.

本発明は、これらの点に鑑みてなされたものであり、ネットワーク接続システムに係るアドレスの変換を不要とし、これらの課題を解決する技術を提供することを目的とする。   The present invention has been made in view of these points, and an object of the present invention is to provide a technique that eliminates the need for address conversion related to a network connection system and solves these problems.

請求項1に記載のネットワーク接続システムは、ネットワークに接続されたネットワーク接続装置と、ネットワーク接続装置と通信可能に接続された通信端末とを備え、通信端末は、ネットワーク上の機器と通信するプロセスに対応するプロセス識別子およびネットワーク上の機器を表す宛先アドレスを含む内部通信情報を、ネットワーク接続装置との間で送受信し、ネットワーク接続装置は、通信端末によって送信された内部通信情報を受信したとき、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報により特定される宛先アドレスを含むパケットを生成し、生成したパケットをネットワーク上の機器に送信し、ネットワーク上の機器からパケットを受信したとき、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報を生成し、生成した内部通信情報を通信端末に送信する構成を有している。   The network connection system according to claim 1 includes a network connection device connected to a network and a communication terminal connected to be communicable with the network connection device, and the communication terminal performs a process of communicating with a device on the network. Internal communication information including a corresponding process identifier and a destination address representing a device on the network is transmitted to and received from the network connection device. When the network connection device receives the internal communication information transmitted by the communication terminal, the internal communication information is received. Generate a packet including the source address corresponding to the process identifier included in the internal communication information and the destination address specified by the internal communication information, and transmit the generated packet to a device on the network. When a packet is received, it is included in the received packet. Generates an internal communication information including the process identifier corresponding to a destination address, it has a configuration that transmits the generated internal communication information to the communication terminal.

この構成の場合、通信端末は自らのアドレスを含むIPパケットを直接取り扱わない。IPパケットを取り扱うのはネットワーク接続装置のみである。すなわち、この構成では、通信端末が取り扱うプライベートアドレスと、ネットワーク接続装置が取り扱うグローバルアドレスとの変換が不要である。そのため、本発明では、上述したアドレス変換に起因する課題を解決できる。
請求項2に記載のネットワーク接続システムは、通信端末が、プロセス識別子を含む情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末によって送信された情報に含まれるプロセス識別子と所定のアドレスとを対応付けるプロセス対応情報を作成し、生成したプロセス対応情報に従って、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスを特定してパケットを生成し、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を特定して内部通信情報を生成する構成を有している。 In this configuration, the communication terminal does not directly handle an IP packet including its own address. Only network connection devices handle IP packets. That is, in this configuration, it is not necessary to convert the private address handled by the communication terminal and the global address handled by the network connection device. Therefore, the present invention can solve the problems caused by the address conversion described above.
In the network connection system according to claim 2, the communication terminal transmits information including a process identifier to the network connection device, and the network connection device includes a process identifier and a predetermined address included in the information transmitted by the communication terminal. Process correspondence information is created, a packet is generated by specifying a source address corresponding to the process identifier included in the received internal communication information according to the generated process correspondence information, and a destination address included in the received packet is generated. The internal communication information is generated by specifying the corresponding process identifier.

この構成により、ネットワーク接続装置と通信端末の間で用いられていたプライベートアドレスが不要となる。その結果、NATが不要となり、アドレス変換に起因する課題を解決できる。
請求項3に記載のネットワーク接続システムは、通信端末が、通信端末を認証するための端末認証情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末から送信された端末認証情報に基づいて通信端末の認証を行い、通信端末の認証が成功した場合、通信端末とネットワーク上の機器との間の情報の送受信を許可する構成を有している。 With this configuration, the private address used between the network connection device and the communication terminal becomes unnecessary. As a result, NAT becomes unnecessary, and the problems caused by address translation can be solved.
In the network connection system according to claim 3, the communication terminal transmits terminal authentication information for authenticating the communication terminal to the network connection device, and the network connection device is based on the terminal authentication information transmitted from the communication terminal. The communication terminal is authenticated, and when the communication terminal is successfully authenticated, the communication terminal is configured to permit transmission / reception of information between the communication terminal and a device on the network.

この構成により、認証が成功した通信端末のみが、ネットワーク上の機器と情報の送受信を許可されることになる。これにより、セキュリティを高めた通信ができる。
請求項4に記載のネットワーク接続システムは、通信端末が、通信端末を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、当該ユーザに対応するプロセス識別子を含む内部通信情報の通信端末への送信と、当該内部通信情報に対応するパケットのネットワーク上の機器への送信とを許可する構成を有している。 With this configuration, only communication terminals that have been successfully authenticated are permitted to send and receive information to and from devices on the network. Thereby, communication with improved security can be performed.
The network connection system according to claim 4, wherein the communication terminal transmits user authentication information for authenticating a user who uses the communication terminal to the network connection apparatus, and the network connection apparatus transmits the user authentication transmitted from the communication terminal. If the user is authenticated based on the information and the user is successfully authenticated, the internal communication information including the process identifier corresponding to the user is transmitted to the communication terminal, and the packet corresponding to the internal communication information is transmitted on the network. It has a configuration that permits transmission to a device.

この構成により、認証が成功したユーザに対応するプロセス識別子を含む内部通信情報のみの送受信が許可されることになる。これにより、セキュリティを高めた通信ができる。   With this configuration, transmission / reception of only internal communication information including a process identifier corresponding to a user who has been successfully authenticated is permitted. Thereby, communication with improved security can be performed.

上述のように本発明では、NATが不要になる。その結果、このアドレス変換に起因する問題を解決することができる。   As described above, NAT is not necessary in the present invention. As a result, the problem caused by this address translation can be solved.

以下、本発明の実施の形態に係るネットワーク接続システムについて、図面を参照して説明する。
(本発明の第1の実施の形態)
〔全体構成〕
本発明の第1の実施の形態に係るネットワーク接続システム1のシステム構成図を図1に示す。図1に示したネットワーク接続システム1は、ネットワーク40に接続されたネットワーク接続装置10と、ネットワーク接続装置10と通信可能に接続された通信端末20とを備えた構成を有し、さらにネットワーク40には、サーバ等の外部ホスト30が接続されている。 Hereinafter, a network connection system according to an embodiment of the present invention will be described with reference to the drawings.
(First embodiment of the present invention)
〔overall structure〕
FIG. 1 shows a system configuration diagram of a network connection system 1 according to the first embodiment of the present invention. The network connection system 1 shown in FIG. 1 has a configuration that includes a network connection device 10 connected to a network 40 and a communication terminal 20 that is communicably connected to the network connection device 10. Are connected to an external host 30 such as a server.

また、図1に示したネットワーク接続システム1では、ネットワーク接続装置10を介して、ネットワーク接続装置10に接続された通信端末20と、外部ホスト30を含むネットワーク40上の機器との間で情報が送受信される。
なお、図示した通信端末20の各々を区別する場合には、通信端末20をそれぞれ通信端末20−1、通信端末20−2と記載し、外部ホスト30の各々を区別する場合には、外部ホスト30をそれぞれ外部ホスト30−1、外部ホスト30−2と記載する。
また、例えば、外部ホスト30−1、外部ホスト30−2は、それぞれWeb外部ホスト、メールサーバ、通信相手端末等であり、通信端末20およびネットワーク接続装置10は、企業内および家庭内に設置され、ネットワーク40は、インターネット等である。なお、ネットワーク接続装置10と通信端末20との間は、有線または無線で接続されてもよい。 In the network connection system 1 shown in FIG. 1, information is transmitted between the communication terminal 20 connected to the network connection device 10 and the devices on the network 40 including the external host 30 via the network connection device 10. Sent and received.
When distinguishing each of the illustrated communication terminals 20, the communication terminal 20 is described as a communication terminal 20-1 and a communication terminal 20-2. When distinguishing each of the external hosts 30, the external host is described. 30 are referred to as an external host 30-1 and an external host 30-2, respectively.
Further, for example, the external host 30-1 and the external host 30-2 are a web external host, a mail server, a communication partner terminal, etc., respectively, and the communication terminal 20 and the network connection device 10 are installed in a company and a home. The network 40 is the Internet or the like. Note that the network connection device 10 and the communication terminal 20 may be connected by wire or wirelessly.

ネットワーク接続装置10と通信端末20との間は、リンクレイヤのプロトコルに準拠して通信する。例えば、リンクレイヤのプロトコルは、IEEE802.3(Ethernet(登録商標))、PPP(Point-to-Point Protocol)、もしくはL2TP(Layer 2 Tunneling Protocol)、またはPPTP(Point-to-Point Tunneling Protocol)などのトンネリングプロトコルでもよく、ネットワーク接続装置10と外部ホスト30との間の通信はIPに準拠する。
通信端末20は、IPに準拠した通信をしないため、IPアドレスはもたない。また、ネットワーク接続装置10は、外部ホスト30等の通信機器と通信するため、例えば、グローバルIPアドレスを1以上保有する(メモリ等に格納している)。 The network connection device 10 and the communication terminal 20 communicate according to a link layer protocol. For example, the link layer protocol is IEEE 802.3 (Ethernet (registered trademark)), PPP (Point-to-Point Protocol), L2TP (Layer 2 Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol), or the like. The communication protocol between the network connection apparatus 10 and the external host 30 conforms to IP.
Since the communication terminal 20 does not perform communication conforming to IP, it does not have an IP address. Further, the network connection device 10 has one or more global IP addresses (stored in a memory or the like) in order to communicate with a communication device such as the external host 30.

〔ネットワーク接続装置10の構成〕
<ハードウエア構成>
ネットワーク接続装置10は、CPU(Central Processing Unit)、メモリ(RAM,ROM,NV-RAM)、ハードディスク、ネットワーク40に接続されるネットワークインタフェース、および通信端末20に接続されるインタフェース等を有している。
<ソフトウエア構成>
図2は、ネットワーク接続装置10にインストールされているソフトウエア1010の構成を例示した図である。図2に示すように、この例のソフトウエア1010は、通信端末20とネットワーク接続装置10とのリンクを確立させてリンク情報を生成するためのリンク確立ソフトウエア1012、通信端末20から通知されるプロセス識別子とグローバルIPアドレス等のアドレスとを対応させるプロセス対応情報を作成するためのプロセス対応情報作成ソフトウエア1013、OS(Operating System)1015、ネットワークドライバ1016、および、プロセス対応情報に従って内部通信情報を生成する内部通信情報生成ソフトウエア1017を有している。 [Configuration of Network Connection Device 10]
<Hardware configuration>
The network connection device 10 includes a CPU (Central Processing Unit), a memory (RAM, ROM, NV-RAM), a hard disk, a network interface connected to the network 40, an interface connected to the communication terminal 20, and the like. .
<Software configuration>
FIG. 2 is a diagram illustrating a configuration of the software 1010 installed in the network connection device 10. As shown in FIG. 2, the software 1010 in this example is notified from the communication terminal 20 and the link establishment software 1012 for establishing a link between the communication terminal 20 and the network connection device 10 to generate link information. Process correspondence information creation software 1013 for creating process correspondence information that associates a process identifier with an address such as a global IP address, OS (Operating System) 1015, network driver 1016, and internal communication information according to the process correspondence information. It has internal communication information generation software 1017 to be generated.

<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置10は、上述のハードウエアにソフトウエア1010がインストールされ、このソフトウエア1010がCPUで実行されることにより構成される。図3は、このように構成されたネットワーク接続装置10の構成を例示したブロック図である。
この図に示すように、この例のネットワーク接続装置10は、通信端末20と通信を行うインタフェース部11、通信端末20との間のリンクを確立させてリンク情報1021を生成するリンク確立部12、プロセス対応情報1022を作成するプロセス対応情報作成部13、リンク情報1021とプロセス対応情報1022とを格納する記憶部14、プロセス対応情報1022に従ってパケットを生成するパケット生成部15、プロセス対応情報1022に従って内部通信情報を生成する内部通信情報生成部16、ネットワーク40を通じた通信を行うネットワークインタフェース部17、および、ネットワーク接続装置10全体を制御する制御部18を有する。また、インタフェース部11は、インタフェース11a,11bおよび11cを有し、それぞれにインタフェース番号(IF#0,IF#1,IF#2)が割り振られている。なお、「インタフェース」とは、各装置における通信の論理的な機能単位を意味し、具体的には、所定のソフトウエアが読み込まれたCPUがLANカード等の通信装置を制御することによって構成される。また、各装置は複数のインタフェースをもつことが可能である。 <Cooperation between hardware and software>
The network connection apparatus 10 of this embodiment is configured by installing software 1010 on the above-described hardware and executing the software 1010 by a CPU. FIG. 3 is a block diagram illustrating the configuration of the network connection device 10 configured as described above.
As shown in this figure, the network connection device 10 of this example includes an interface unit 11 that communicates with a communication terminal 20, a link establishment unit 12 that establishes a link with the communication terminal 20 and generates link information 1021, Process correspondence information creation unit 13 for creating process correspondence information 1022, storage unit 14 for storing link information 1021 and process correspondence information 1022, packet generation unit 15 for generating a packet according to process correspondence information 1022, internal according to process correspondence information 1022 An internal communication information generation unit 16 that generates communication information, a network interface unit 17 that performs communication through the network 40, and a control unit 18 that controls the entire network connection device 10 are included. The interface unit 11 includes interfaces 11a, 11b, and 11c, and interface numbers (IF # 0, IF # 1, and IF # 2) are assigned to the interfaces. The “interface” means a logical functional unit of communication in each device, and is specifically configured by a CPU loaded with predetermined software controlling a communication device such as a LAN card. The Each device can have a plurality of interfaces.

〔通信端末20の構成〕
<ハードウエア構成>
通信端末20は、CPU、メモリ、ネットワーク接続装置10に接続されるインタフェース等を有しており、例えば、ハードディスク、キーボード等の入力器、およびディスプレイを備えたパソコン等である。また、通信端末20は、情報家電機器等でもよい。
<ソフトウエア構成>
図4は、通信端末20にインストールされているソフトウエア1030の構成を例示した図である。図4に示すように、この例のソフトウエア1030は、Webページを閲覧するブラウザまたは、メールを送受信するメーラ等のアプリケーションソフトウエア1031、ネットワーク接続装置10へのリンク確立要求を行うためのリンク確立要求情報生成ソフトウエア1032、OS1033、および、ネットワークドライバ1034を有している。なお、アプリケーションソフトウエア1031は、ブラウザやメーラだけに限定されることはない。 [Configuration of Communication Terminal 20]
<Hardware configuration>
The communication terminal 20 includes a CPU, a memory, an interface connected to the network connection device 10, and the like, for example, a hard disk, an input device such as a keyboard, and a personal computer provided with a display. Communication terminal 20 may be an information home appliance or the like.
<Software configuration>
FIG. 4 is a diagram illustrating a configuration of the software 1030 installed in the communication terminal 20. As shown in FIG. 4, the software 1030 in this example is a browser for browsing a Web page, application software 1031 such as a mailer for sending and receiving mail, and link establishment for making a link establishment request to the network connection device 10. Request information generation software 1032, OS 1033, and network driver 1034 are included. The application software 1031 is not limited to a browser or a mailer.

<ハードウエアとソフトウエアの協働>
本形態の通信端末20は、上述のハードウエアにソフトウエア1030がインストールされ、このソフトウエア1030がCPUで実行されることにより構成される。
図5は、このように構成された通信端末20−1の構成を例示したブロック図である。なお、ここでは通信端末20−1の構成のみを例示するが、通信端末20−2の構成もこれと同様である。この例の通信端末20−1は、通信端末ID1041やリンク番号1042を格納する記憶部21−1、ネットワーク接続装置10と通信を行うインタフェース部22−1、ネットワーク接続装置10へのリンク確立要求を行うリンク確立要求情報生成部23−1、プロセス1001,1002を実行するプロセス実行部24−1、および、通信端末20全体を制御する制御部25−1を有する。また、インタフェース部22−1は、インタフェース22a−1を有し、これにはインタフェース番号(IF#0)が割り振られている。 <Cooperation between hardware and software>
The communication terminal 20 of this embodiment is configured by installing software 1030 on the above-described hardware and executing the software 1030 by a CPU.
FIG. 5 is a block diagram illustrating the configuration of the communication terminal 20-1 configured as described above. Although only the configuration of the communication terminal 20-1 is illustrated here, the configuration of the communication terminal 20-2 is the same as this. The communication terminal 20-1 in this example sends a link establishment request to the storage unit 21-1, which stores the communication terminal ID 1041 and the link number 1042, the interface unit 22-1, which communicates with the network connection device 10, and the network connection device 10. A link establishment request information generation unit 23-1, a process execution unit 24-1 that executes processes 1001 and 1002, and a control unit 25-1 that controls the entire communication terminal 20 are included. The interface unit 22-1 includes an interface 22a-1, and an interface number (IF # 0) is assigned to the interface unit 22-1.

ここで、プロセス1001,1002とは、OS1033の制御のもとCPUがアプリケーションソフトウエア1031を実行する際の処理単位である。これらのプロセス1001,1002は、アプリケーションソフトウエア1031がCPU上で起動されたことなどを契機にOS1033によって生起される。なお、プロセスの生起とは、プロセスに対応するプログラムをRAM等の主記憶装置に読み込み、CPUがこのプログラムを実行可能な状態にすること、および、実際に実行することをいう。本形態の場合、生起されたプロセス1001,1002は、例えば、ネットワーク40上のWebサーバやメールサーバとの通信処理を含む。そして、このWebサーバ等との通信処理は、CPU上で起動するソフトウエアであるネットワークドライバ1034による処理を介して実現される。具体的には、CPU上で起動されたネットワークドライバ1034は、例えば、宛先アドレスやペイロード含み、低位レイヤのプロトコルに準拠した内部通信情報を生成して送信する。
なお、図1では、通信端末20−1にプロセス1001およびプロセス1002が生起し、通信端末20−2にプロセス1003が生起している様子を示している。また、ネットワーク接続装置10もまた、同様に図示しないプロセスを生起している。 Here, the processes 1001 and 1002 are processing units when the CPU executes the application software 1031 under the control of the OS 1033. These processes 1001 and 1002 are started by the OS 1033 when the application software 1031 is started on the CPU. The occurrence of a process means that a program corresponding to the process is read into a main storage device such as a RAM, and the CPU makes the program executable and is actually executed. In the case of this embodiment, the generated processes 1001 and 1002 include, for example, communication processing with a Web server or a mail server on the network 40. The communication processing with the Web server or the like is realized through processing by the network driver 1034 that is software started on the CPU. Specifically, the network driver 1034 activated on the CPU generates and transmits internal communication information that includes, for example, a destination address and a payload and conforms to a lower layer protocol.
FIG. 1 shows a state where a process 1001 and a process 1002 occur in the communication terminal 20-1 and a process 1003 occurs in the communication terminal 20-2. Similarly, the network connection apparatus 10 causes a process (not shown).

〔ネットワーク接続装置10と通信端末20との間のリンク〕
ネットワーク接続装置10と通信端末20とは、後述の処理により対応付けられる。このネットワーク接続装置10と通信端末20との間の対応付け(リンク)は、論理的なリンク番号によって表される。リンク番号と各インタフェースとの対応関係の一例を表1に示す。 [Link between network connection device 10 and communication terminal 20]
The network connection device 10 and the communication terminal 20 are associated with each other by a process described later. The association (link) between the network connection device 10 and the communication terminal 20 is represented by a logical link number. An example of the correspondence between the link number and each interface is shown in Table 1.

Figure 2007060610
ネットワーク接続装置IDにおける「10」は、ネットワーク接続装置10を表している。なお、ネットワーク接続装置10を複数使用する構成で、複数のネットワーク接続装置10で共通のデータベースによって表1を表す情報が管理される場合では、ネットワーク接続装置IDが有効になる。また、ネットワーク接続装置10を複数使用する構成でなければ、ネットワーク接続装置IDは不要である。
Figure 2007060610
 “10” in the network connection device ID represents the network connection device 10. In a configuration in which a plurality of network connection devices 10 are used and the information representing Table 1 is managed by a common database in the plurality of network connection devices 10, the network connection device ID is valid. In addition, the network connection device ID is not required unless the configuration uses a plurality of network connection devices 10.

ネットワーク接続装置10のIF番号における「0」、「1」、および「2」は、ネットワーク接続装置10のインタフェース11a,11b,11cの番号を表している。
また、通信端末IDにおける「1」および「2」は、それぞれ、通信端末20−1、通信端末20−2を表している。
通信端末20のIF番号における「0」および「1」は、通信端末20のインタフェース(22a−1等)の番号を表している。なお、それぞれの通信端末20にインタフェースが1つだけ存在する構成では、通信端末20のIF番号は不要である。 “0”, “1”, and “2” in the IF number of the network connection device 10 represent the numbers of the interfaces 11a, 11b, and 11c of the network connection device 10.
Also, “1” and “2” in the communication terminal ID represent the communication terminal 20-1 and the communication terminal 20-2, respectively.
“0” and “1” in the IF number of the communication terminal 20 represent the number of the interface (22a-1, etc.) of the communication terminal 20. Note that in a configuration in which each communication terminal 20 has only one interface, the IF number of the communication terminal 20 is not necessary.

この例の場合、リンク番号「100」は、ネットワーク接続装置10のIF番号「0」と対応し、通信端末20−1のIF番号「0」と対応する。なお、リンク番号は、ネットワーク接続装置10のIDおよびネットワーク接続装置10のインタフェース番号によって構成されるようにしてもよい。
また、本発明の実施の形態において、図1の通信端末20−2のように通信端末20が複数のインタフェースを有する場合、ネットワーク接続装置10と通信端末20との間には、1つのインタフェースにつき1つの論理的なリンクが存在するものとする。 In this example, the link number “100” corresponds to the IF number “0” of the network connection device 10 and corresponds to the IF number “0” of the communication terminal 20-1. The link number may be constituted by the ID of the network connection device 10 and the interface number of the network connection device 10.
In the embodiment of the present invention, when the communication terminal 20 has a plurality of interfaces like the communication terminal 20-2 in FIG. 1, one interface is provided between the network connection device 10 and the communication terminal 20. Assume that there is one logical link.

〔動作〕
以上のように構成された本発明の第1の実施の形態に係るネットワーク接続システム1の動作について、図面を参照して説明する。図6は、本発明の第1の実施の形態に係るネットワーク接続システム1の動作を示すシーケンス図である。なお、以下では、通信端末20−1がネットワーク40に接続された外部ホスト30等の通信機器と通信を行う場合を例にとって説明する。
まず、通信端末20−1のリンク確立要求情報生成部23−1は、ネットワーク接続装置10に対するリンク確立要求を示すリンク確立要求情報を生成する。リンク確立要求情報は、各通信端末を特定するための通信端末ID、MACアドレスまたは製造番号などの情報を含む。この例の場合、リンク確立要求情報生成部23−1は、記憶部21−1に格納された通信端末ID1041を読み込み、この通信端末ID1041を含むリンク確立要求情報を生成する。生成されたリンク確立要求情報は、ネットワークドライバ1034の処理に従い、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信される(S1)。また、リンク確立要求情報を送信する契機としては、通信端末20−1がネットワーク接続装置10と物理的に接続したときなどである。 [Operation]
The operation of the network connection system 1 according to the first embodiment of the present invention configured as described above will be described with reference to the drawings. FIG. 6 is a sequence diagram showing an operation of the network connection system 1 according to the first embodiment of the present invention. In the following, a case where the communication terminal 20-1 communicates with a communication device such as the external host 30 connected to the network 40 will be described as an example.
First, the link establishment request information generating unit 23-1 of the communication terminal 20-1 generates link establishment request information indicating a link establishment request to the network connection device 10. The link establishment request information includes information such as a communication terminal ID, a MAC address, or a manufacturing number for specifying each communication terminal. In the case of this example, the link establishment request information generation unit 23-1 reads the communication terminal ID 1041 stored in the storage unit 21-1, and generates link establishment request information including the communication terminal ID 1041. The generated link establishment request information is transmitted from the interface 22a-1 of the interface unit 22-1 to the network connection apparatus 10 according to the processing of the network driver 1034 (S1). The opportunity for transmitting link establishment request information is when the communication terminal 20-1 is physically connected to the network connection device 10.

次に、ネットワーク接続装置10は、通信端末20−1から送信されたリンク確立要求情報をインタフェース部11のインタフェース11aで受信し、これをリンク確立部12に転送する。リンク確立部12は、受信したリンク確立要求情報に応じたリンク番号を割当てると共に、割当てたリンク番号をインタフェース部11のインタフェース11aから通信端末20−1に送信する。
また、リンク確立部12は、割当てたリンク番号と、リンク確立要求情報に含まれる通信端末ID1041と、リンク確立要求情報を受信したときのインタフェース11aの番号とを対応させるリンク情報1021を生成し、これをメモリやハードディスク等の記憶部14に格納する(S2)。ここで、リンク確立部12が作成したリンク情報の一例を表2に示す。 Next, the network connection device 10 receives the link establishment request information transmitted from the communication terminal 20-1 by the interface 11 a of the interface unit 11 and transfers it to the link establishment unit 12. The link establishment unit 12 assigns a link number corresponding to the received link establishment request information, and transmits the assigned link number from the interface 11a of the interface unit 11 to the communication terminal 20-1.
Further, the link establishment unit 12 generates link information 1021 that associates the assigned link number, the communication terminal ID 1041 included in the link establishment request information, and the number of the interface 11a when the link establishment request information is received, This is stored in the storage unit 14 such as a memory or a hard disk (S2). Here, an example of the link information created by the link establishing unit 12 is shown in Table 2.

Figure 2007060610
通信端末20−1は、ネットワーク接続装置10から送信されたリンク番号1042をインタフェース部22−1のインタフェース22a−1で受信し、ネットワークドライバ1034の処理に従い、制御部25−1は、受信したリンク番号1042をリンクが切断するまで記憶部21−1に保持する。
次に、プロセス実行部24−1は、プロセス1001,1002を生起し、生起したプロセス1001,1002に対応するプロセス識別子(以下、プロセスIDという。)および記憶部21−1に格納されたリンク番号1042を含むプロセス情報を、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信する(S3)。なお、プロセス情報を送信する契機としては、プロセスが生起されたときなどである。また、このプロセス情報の送信は、ネットワークドライバ1034の処理に従って実行される。
Figure 2007060610
 The communication terminal 20-1 receives the link number 1042 transmitted from the network connection device 10 by the interface 22a-1 of the interface unit 22-1 and, according to the processing of the network driver 1034, the control unit 25-1 receives the received link. The number 1042 is held in the storage unit 21-1 until the link is disconnected.
Next, the process execution unit 24-1 generates processes 1001 and 1002, process identifiers (hereinafter referred to as process IDs) corresponding to the generated processes 1001 and 1002, and a link number stored in the storage unit 21-1. Process information including 1042 is transmitted from the interface 22a-1 of the interface unit 22-1 to the network connection apparatus 10 (S3). Note that the process information is transmitted when the process is started. The process information is transmitted according to the processing of the network driver 1034.

ネットワーク接続装置10は、通信端末20−1によって送信されたプロセス情報をインタフェース部11のインタフェース11aで受信し、これをプロセス対応情報作成部13に転送する。プロセス対応情報作成部13は、転送されたプロセス情報に応じて、外部ホスト30等の通信機器と通信するためのアドレスを割当てると共に、割当てたアドレスをインタフェース部11のインタフェース11aから通信端末20に送信する。
また、プロセス対応情報作成部13は、プロセス情報に含まれるプロセスIDと、リンク番号と、アドレスとを対応させるプロセス対応情報1022を生成し、これをメモリやハードディスク等の記憶部14に格納する(S4)。なお、アドレスは、グローバルIPアドレス等である。ここで、プロセス対応情報作成部13が作成したプロセス対応情報1022の一例を表3に示す。 The network connection device 10 receives the process information transmitted by the communication terminal 20-1 by the interface 11 a of the interface unit 11 and transfers it to the process correspondence information creation unit 13. The process correspondence information creation unit 13 assigns an address for communicating with a communication device such as the external host 30 according to the transferred process information, and transmits the assigned address from the interface 11a of the interface unit 11 to the communication terminal 20. To do.
In addition, the process correspondence information creation unit 13 generates process correspondence information 1022 that associates the process ID, the link number, and the address included in the process information, and stores this in the storage unit 14 such as a memory or a hard disk ( S4). The address is a global IP address or the like. Here, an example of the process correspondence information 1022 created by the process correspondence information creation unit 13 is shown in Table 3.

Figure 2007060610
プロセスIDにおける「1001」、「1002」、および「1003」は、それぞれ、図1に示したプロセス1001、プロセス1002、プロセス1003を表している。
また、プロセス対応情報作成部13は、1つのリンク番号につき1つのアドレスを割当てるようにしてもよく、1つの通信端末IDにつき1つのアドレスを割当てるようにしてもよい。1つの通信端末IDにつき1つのアドレスを割当てる場合には、プロセス対応情報作成部13は、表2に例示したリンク情報1021における通信端末IDに基づいてアドレスを割当てる。
Figure 2007060610
 “1001”, “1002”, and “1003” in the process ID represent the process 1001, the process 1002, and the process 1003 shown in FIG. 1, respectively.
In addition, the process correspondence information creation unit 13 may assign one address for one link number or one address for one communication terminal ID. When one address is assigned to one communication terminal ID, the process correspondence information creating unit 13 assigns an address based on the communication terminal ID in the link information 1021 illustrated in Table 2.

なお、プロセス情報には、アドレスの割当て方法(例えば、1つのリンク番号につき1つのアドレスを割当てるなど)を指定するアドレス割当情報を含めることができる。プロセス情報にアドレス割当情報を含めている場合には、プロセス対応情報作成部13は、このアドレス割当情報に従ってアドレスを割当てる。
また、アドレス割当情報に、1つのユーザにつき1つのアドレスを割当てるようにような設定が施されてもよい。具体的には、例えば、アドレス割当情報にユーザを表すユーザIDが設定されてもよい。この例の場合、プロセス対応情報作成部13には、ユーザIDが設定されているアドレス割当情報を含むプロセス情報がインタフェース部11のインタフェース11aから転送される。そして、この例のプロセス情報が転送されたプロセス対応情報作成部13は、例えば、アドレス割当情報に設定されているユーザIDと、割当てたアドレスとを対応させたプロセス対応情報1022を作成する。 The process information can include address assignment information that specifies an address assignment method (for example, one address is assigned to one link number). If the process information includes address allocation information, the process correspondence information creation unit 13 allocates an address according to the address allocation information.
Further, the address assignment information may be set so that one address is assigned to one user. Specifically, for example, a user ID representing a user may be set in the address assignment information. In the case of this example, process information including address allocation information in which a user ID is set is transferred from the interface 11 a of the interface unit 11 to the process correspondence information creation unit 13. Then, the process correspondence information creating unit 13 to which the process information of this example is transferred creates, for example, the process correspondence information 1022 in which the user ID set in the address assignment information is associated with the assigned address.

図7は、本発明の第1の実施の形態に係るネットワーク接続装置10を経由した、通信端末20−1および外部ホスト30−1との間の情報の流れを示す図である。ここで、図7(A)は、通信端末20−1からネットワーク接続装置10を通じて外部ホスト30−1へ情報を送信する際の流れを示している。また、図7(B)は、外部ホスト30−1からネットワーク接続装置10を通じて通信端末20−1へ情報を送信する際の流れを示している。
<図7(A)に示す処理>
まず、通信端末20−1のプロセス実行部24−1が、実行されているプロセス1001に従い、外部ホスト30−1に送信されるデータとなるペイロードを生成する。また、プロセス実行部24−1は、ネットワークドライバ1034の処理に従い、このペイロードに対し、プロセスID、宛先となる外部ホスト30−1のアドレス(以降、2.1.1.1とする)、およびリンクヘッダを付加した内部通信情報1051を生成し、これらをインタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信する。
なお、内部通信情報1051に含まれるペイロードがTCPまたはUDPに準拠したデータである場合、ペイロードのヘッダ部のポート番号(送信元ポート番号)の設定情報にプロセスIDを設定することとしてもよい。 FIG. 7 is a diagram showing a flow of information between the communication terminal 20-1 and the external host 30-1 via the network connection device 10 according to the first embodiment of the present invention. Here, FIG. 7A shows a flow when information is transmitted from the communication terminal 20-1 to the external host 30-1 through the network connection device 10. FIG. 7B shows a flow when information is transmitted from the external host 30-1 to the communication terminal 20-1 through the network connection device 10.
<Process shown in FIG. 7A>
First, the process execution unit 24-1 of the communication terminal 20-1 generates a payload as data to be transmitted to the external host 30-1 according to the process 1001 being executed. The process execution unit 24-1 processes the process ID, the address of the external host 30-1 as the destination (hereinafter referred to as 2.1.1.1), and the payload according to the processing of the network driver 1034. Internal communication information 1051 with a link header added is generated, and these are transmitted from the interface 22a-1 of the interface unit 22-1 to the network connection device 10.
When the payload included in the internal communication information 1051 is data conforming to TCP or UDP, the process ID may be set in the setting information of the port number (source port number) in the header portion of the payload.

なお、内部通信情報とは、通信端末20−1とネットワーク接続装置10との間で送受される情報である。また、リンクヘッダは、低位レイヤのプロトコルに準拠したヘッダに係る情報である。
次に、ネットワーク接続装置10は、通信端末20−1から送信された内部通信情報1051を、インタフェース部11のインタフェース11aで受信する。受信された内部通信情報1051はパケット生成部15に転送され、パケット生成部15は、転送された内部通信情報1051に含まれるプロセスIDをキーとして表3に示したプロセス対応情報1022を検索し、このプロセスIDと対応するアドレスを送信元アドレスとして抽出する。図7(A)の例では、プロセスID1001をキーとして、プロセスID1001と対応する送信元アドレス1.1.1.1が抽出されている。そして、パケット生成部15は、抽出した送信元アドレス、内部通信情報1051に含まれるペイロードおよび宛先アドレスを含み、所定の形式(例えばIP)に準拠したパケット1052を生成する。 The internal communication information is information transmitted and received between the communication terminal 20-1 and the network connection device 10. The link header is information related to a header conforming to a lower layer protocol.
Next, the network connection device 10 receives the internal communication information 1051 transmitted from the communication terminal 20-1 by the interface 11 a of the interface unit 11. The received internal communication information 1051 is transferred to the packet generation unit 15, and the packet generation unit 15 searches the process correspondence information 1022 shown in Table 3 using the process ID included in the transferred internal communication information 1051 as a key, An address corresponding to this process ID is extracted as a source address. In the example of FIG. 7A, the source address 1.1.1.1 corresponding to the process ID 1001 is extracted using the process ID 1001 as a key. Then, the packet generation unit 15 generates a packet 1052 that includes the extracted transmission source address, the payload and destination address included in the internal communication information 1051, and conforms to a predetermined format (for example, IP).

また、内部通信情報1051のプロセスIDが、ペイロードのヘッダ部のポート番号(送信元ポート番号)の設定情報に設定されたものであった場合、パケット生成部15は、上述のようにプロセスIDに対応する送信元アドレスを抽出すると共に、プロセスIDと対応するポート番号を割当て、このポート番号をペイロードに含むパケット1052を生成する。
なお、パケット1052がIPパケットである場合には、パケット1052は、宛先IPアドレスや送信元IPアドレス、その他のIPヘッダに関わる情報およびペイロードによって構成される。 When the process ID of the internal communication information 1051 is set in the setting information of the port number (source port number) in the header part of the payload, the packet generation unit 15 sets the process ID as described above. A corresponding source address is extracted, a port number corresponding to the process ID is assigned, and a packet 1052 including this port number in the payload is generated.
When the packet 1052 is an IP packet, the packet 1052 includes a destination IP address, a source IP address, other information related to an IP header, and a payload.

このように生成されたパケット1052は、ネットワークインタフェース部17に転送され、そこからネットワークドライバ1016の処理に従い、外部ホスト30−1に転送される。
<図7(B)に示す処理>
外部ホスト30−1は、ネットワーク接続装置10から送信されたパケット1052を受信し、受信したパケット1052を処理する。この例の外部ホスト30−1は、受信したパケット1052に対して応答する場合、パケット1052に対する応答内容などを含むペイロードを生成する。ここで、パケット1052のペイロードにポート番号(送信元ポート番号)が含まれていた場合、外部ホスト30−1は、このポート番号を宛先ポート番号としたペイロードを生成する。そして、この例の外部ホスト30−1は、生成したペイロードを含み、パケット1052の送信元アドレスを宛先アドレスとし、パケット1052の宛先アドレスを送信元アドレスとしたパケット1053をネットワーク接続装置10に送信する。 The packet 1052 generated in this way is transferred to the network interface unit 17, and then transferred to the external host 30-1 according to the processing of the network driver 1016.
<Process shown in FIG. 7B>
The external host 30-1 receives the packet 1052 transmitted from the network connection apparatus 10, and processes the received packet 1052. When the external host 30-1 in this example responds to the received packet 1052, the external host 30-1 generates a payload including a response content for the packet 1052. Here, when a port number (source port number) is included in the payload of the packet 1052, the external host 30-1 generates a payload with this port number as the destination port number. Then, the external host 30-1 in this example transmits a packet 1053 including the generated payload, having the source address of the packet 1052 as the destination address and the destination address of the packet 1052 as the source address, to the network connection device 10. .

ネットワーク接続装置10は、ネットワークインタフェース部17で、外部ホスト30−1から送信されたパケット1053を受信し、これを内部通信情報生成部16に転送する。内部通信情報生成部16は、転送されたパケット1053の宛先アドレスをキーとして、記憶部14のプロセス対応情報1022を検索し、この宛先アドレスが示すアドレスと対応するプロセスIDを抽出する。また、パケット1053の宛先アドレスと対応するプロセスIDが複数あって特定できない場合には、ペイロードに含まれるポート番号(宛先ポート番号)と対応するプロセスIDを特定する。図7(B)では、宛先アドレス1.1.1.1から、宛先アドレス1.1.1.1と対応するプロセスID1001を抽出している。   In the network connection device 10, the network interface unit 17 receives the packet 1053 transmitted from the external host 30-1 and transfers it to the internal communication information generation unit 16. The internal communication information generation unit 16 searches the process correspondence information 1022 in the storage unit 14 using the destination address of the transferred packet 1053 as a key, and extracts a process ID corresponding to the address indicated by the destination address. If a plurality of process IDs corresponding to the destination address of the packet 1053 exist and cannot be specified, the process ID corresponding to the port number (destination port number) included in the payload is specified. In FIG. 7B, the process ID 1001 corresponding to the destination address 1.1.1.1 is extracted from the destination address 1.1.1.1.

また、内部通信情報生成部16は、このように抽出したプロセスID、パケット1053のペイロードおよび送信元アドレスを用い、これにリンクヘッダを付した内部通信情報1054を生成する。なお、この内部通信情報1054は、ネットワークドライバ1016の処理に従い、低位レイヤのプロトコルに準拠して生成される。
また、内部通信情報生成部16は、パケット1053のプロセスIDをキーとして記憶部14のプロセス対応情報1022を検索し、このプロセスIDに対応するリンク番号を抽出する。さらに、内部通信情報生成部16は、抽出したリンク番号をキーとして記憶部14のリンク情報1021を検索し、このリンク番号に対応するIF番号を抽出する。例えば、パケット1053のプロセスIDが「1001」であった場合、これと対応するリンク番号「100」が抽出され、さらにこのリンク番号「100」と対応するネットワーク接続装置10のIF番号「0」が抽出される。 Further, the internal communication information generation unit 16 generates the internal communication information 1054 with the link header added to the extracted process ID, the payload of the packet 1053, and the source address. The internal communication information 1054 is generated in accordance with the lower layer protocol in accordance with the processing of the network driver 1016.
Further, the internal communication information generation unit 16 searches the process correspondence information 1022 in the storage unit 14 using the process ID of the packet 1053 as a key, and extracts a link number corresponding to this process ID. Further, the internal communication information generation unit 16 searches the link information 1021 in the storage unit 14 using the extracted link number as a key, and extracts the IF number corresponding to the link number. For example, when the process ID of the packet 1053 is “1001”, the link number “100” corresponding to this is extracted, and the IF number “0” of the network connection apparatus 10 corresponding to this link number “100” is further extracted. Extracted.

また、内部通信情報1054のペイロード内のポート番号(送信元ポート番号)の設定情報にプロセスIDを設定している場合には、内部通信情報生成部16は、まず受信したパケット1053のペイロードに含まれるポート番号(宛先ポート番号)と対応するプロセスIDを特定する。そして、内部通信情報生成部16は、このプロセスIDと対応するリンク番号から、表2に示したリンク情報1021に従ってネットワーク接続装置10のIF番号を特定する。
内部通信情報生成部16は、上述のように抽出したIF番号のインタフェース11aから内部通信情報1054を送出する。これにより、内部通信情報1054は、対応する通信端末20に転送される。この例ではIF番号「0」が抽出されることになるので、内部通信情報1054は、インタフェース部11のインタフェース11a(IF#0)から送出され、通信端末20−1のインタフェース部22−1のインタフェース22a−1に受信される。 When the process ID is set in the setting information of the port number (source port number) in the payload of the internal communication information 1054, the internal communication information generation unit 16 first includes the received packet 1053 in the payload. The process ID corresponding to the port number (destination port number) to be specified is specified. Then, the internal communication information generation unit 16 specifies the IF number of the network connection device 10 according to the link information 1021 shown in Table 2 from the link number corresponding to this process ID.
The internal communication information generation unit 16 sends the internal communication information 1054 from the interface 11a with the IF number extracted as described above. As a result, the internal communication information 1054 is transferred to the corresponding communication terminal 20. In this example, since the IF number “0” is extracted, the internal communication information 1054 is transmitted from the interface 11a (IF # 0) of the interface unit 11, and is transmitted from the interface unit 22-1 of the communication terminal 20-1. It is received by the interface 22a-1.

通信端末20−1は、インタフェース22a−1で受信した内部通信情報1054をプロセス実行部24−1に転送する。プロセス実行部24−1は、転送された内部通信情報1054に含まれるプロセスIDと対応するプロセス1001を実行状態とし、このプロセス1001により内部通信情報1054のペイロードを処理する。
以上説明したように、本発明の第1の実施の形態に係るネットワーク接続システム1は、通信端末20とネットワーク40上の機器との間で情報を送受信する際に、ネットワーク接続装置10が、内部通信情報1051に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報1051に含まれる宛先アドレスを含むパケット1052を生成し、また、送信されたパケット1053に含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報1054を生成する。これにより、ネットワーク接続装置10と通信端末20の間で用いられるプライベートアドレスが不要となるため、NAT超え等に係るアドレスの変換が不要となる。その結果、従来のNAT超えの対策を適用する場合のような、IPヘッダ内のアドレスに加えて上位レイヤのメッセージを変換するといった処理が不要となる。また、種々のプロトコルに対応可能となるデータ転送を行うことができる。 The communication terminal 20-1 transfers the internal communication information 1054 received by the interface 22a-1 to the process execution unit 24-1. The process execution unit 24-1 sets the process 1001 corresponding to the process ID included in the transferred internal communication information 1054 to the execution state, and processes the payload of the internal communication information 1054 by this process 1001.
As described above, when the network connection system 1 according to the first exemplary embodiment of the present invention transmits and receives information between the communication terminal 20 and the devices on the network 40, the network connection device 10 A packet 1052 including a source address corresponding to the process identifier included in the communication information 1051 and a destination address included in the internal communication information 1051 is generated, and a process identifier corresponding to the destination address included in the transmitted packet 1053 The internal communication information 1054 including is generated. This eliminates the need for a private address used between the network connection device 10 and the communication terminal 20, and thus eliminates the need for address conversion related to NAT traversal and the like. As a result, a process for converting a message in an upper layer in addition to the address in the IP header as in the case of applying a countermeasure for exceeding the conventional NAT becomes unnecessary. In addition, it is possible to perform data transfer that can support various protocols.

また、通信端末20とネットワーク接続装置10との間で送受される内部通信情報1051,1054はIPを介在しないため、IPによるオーバヘッドが削減でき、データ転送量が低減する。加えて、通信端末20は、IPによるオーバヘッドに係る処理を行う必要が無いため、通信端末20の消費電力も低減できる。
さらに、ネットワーク接続装置10の記憶部14にリンク情報1021およびプロセス対応情報1022が生成された後は、外部ホスト30等のネットワーク上の通信機器は、希望する通信端末20を直接指定してセッションを行ったり、開始したりすることができる。 Further, since the internal communication information 1051 and 1054 transmitted and received between the communication terminal 20 and the network connection device 10 do not intervene with IP, overhead due to IP can be reduced and the data transfer amount can be reduced. In addition, since the communication terminal 20 does not need to perform processing related to overhead by IP, the power consumption of the communication terminal 20 can be reduced.
Furthermore, after the link information 1021 and the process correspondence information 1022 are generated in the storage unit 14 of the network connection device 10, a communication device on the network such as the external host 30 directly designates the desired communication terminal 20 and establishes a session. You can go and start.

また、本形態では、ネットワーク接続装置10がアドレス変換を行わないため、本システムにIPsecのプロトコルを適用することも容易である。
なお、本形態では、リンク番号を用いた処理を説明したが、リンク番号は必須ではない。ただし、ネットワーク接続装置10と通信端末20との間にスイッチが存在したとき等の通信形態に依っては、リンク番号が必要となる場合がある。また、リンク番号を用いない形態においては、表2に示したリンク情報におけるリンク番号は、存在しなくてもよい。またこの場合、表3に示したプロセス対応情報は、リンク番号をネットワーク接続装置10のIF番号に換えたものとなる。そして、この際、図6を用いて説明した処理では、リンク番号の代わりにIF番号を用いる。 In this embodiment, since the network connection device 10 does not perform address translation, it is easy to apply the IPsec protocol to this system.
In this embodiment, the process using the link number has been described, but the link number is not essential. However, a link number may be required depending on the communication mode such as when a switch exists between the network connection device 10 and the communication terminal 20. Moreover, in the form which does not use a link number, the link number in the link information shown in Table 2 may not exist. In this case, the process correspondence information shown in Table 3 is obtained by replacing the link number with the IF number of the network connection device 10. At this time, the IF number is used instead of the link number in the processing described with reference to FIG.

また、本発明の第1の実施の形態に係るネットワーク接続システム1において、通信端末20にソフトウエア1070に替えて、図8に示すようなソフトウエア1060をインストールすることとしてもよい。図8に例示するように、ソフトウエア1060は、アプリケーションソフトウエア1061、OS(仮想マシン)1062A、OS(仮想マシン)1062B、ネットワークドライバ1063を有している。この場合、通信端末20は、OS1062Aおよび1062Bが1つのCPUよって処理される構成となる。そして、例えば、ユーザA、ユーザBがそれぞれOS1062Aおよび1062Bを利用する。またユーザA、ユーザBが同時に異なるOSを利用してもよい。また、この図に示すように、ネットワーク接続装置10によってユーザ毎に1つずつアドレスが割当てられる形態をとることもできる。   In the network connection system 1 according to the first embodiment of the present invention, software 1060 as shown in FIG. 8 may be installed in the communication terminal 20 instead of the software 1070. As illustrated in FIG. 8, the software 1060 includes application software 1061, an OS (virtual machine) 1062A, an OS (virtual machine) 1062B, and a network driver 1063. In this case, the communication terminal 20 is configured such that the OSs 1062A and 1062B are processed by one CPU. For example, user A and user B use OS 1062A and 1062B, respectively. In addition, the user A and the user B may use different OSs at the same time. Moreover, as shown in this figure, the network connection apparatus 10 can also take the form where one address is allocated for every user.

(本発明の第2の実施の形態)
〔全体構成〕
本発明の第2の実施の形態に係るネットワーク接続システム100のシステム構成図を図9に示す。図9に示したネットワーク接続システム100は、ISP(Internet Service Provider)が有する認証サーバ160と、ネットワーク40に接続されたネットワーク接続装置110と、ネットワーク接続装置110と通信可能に接続された通信端末120を備えた構成であり、さらにネットワーク40には、外部ホスト30が接続されている。 (Second embodiment of the present invention)
〔overall structure〕
FIG. 9 shows a system configuration diagram of the network connection system 100 according to the second embodiment of the present invention. The network connection system 100 illustrated in FIG. 9 includes an authentication server 160 included in an ISP (Internet Service Provider), a network connection device 110 connected to the network 40, and a communication terminal 120 connected to be communicable with the network connection device 110. In addition, an external host 30 is connected to the network 40.

なお、本発明の第2の実施の形態に係るネットワーク接続システム100を構成する構成要素のうち、本発明の第1の実施の形態に係るネットワーク接続システム1を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。また、図示した通信端末120の各々を区別する場合には、通信端末120をそれぞれ通信端末120−1、通信端末120−2と記載する。
例えば、通信端末120およびネットワーク接続装置110は、企業内および家庭内に設置される。ネットワーク接続装置110は、例えば、ISPから支給または貸し出しされたものである。ネットワーク接続装置110および通信端末120は、本発明の第1の実施の形態で説明したネットワーク接続装置10と通信端末20と基本的に同様の構成である。差異については以降に説明する。 Of the components constituting the network connection system 100 according to the second embodiment of the present invention, the same components as those constituting the network connection system 1 according to the first embodiment of the present invention. Are denoted by the same reference numerals, and description thereof is omitted. Moreover, when distinguishing each of the illustrated communication terminals 120, the communication terminals 120 are described as a communication terminal 120-1 and a communication terminal 120-2, respectively.
For example, the communication terminal 120 and the network connection device 110 are installed in a company and a home. The network connection device 110 is, for example, supplied or rented from an ISP. The network connection device 110 and the communication terminal 120 have basically the same configuration as the network connection device 10 and the communication terminal 20 described in the first embodiment of the present invention. The difference will be described later.

本発明の第2の実施の形態に係るネットワーク接続システム100では、通信端末120が、通信端末120を認証するための端末認証情報をネットワーク接続装置110に送信し、ネットワーク接続装置110が、通信端末120から送信された端末認証情報に基づいて通信端末120の認証を行い、通信端末120の認証が成功した場合、通信端末120とネットワーク40上の機器との間における送受信を許可するようになっている。
また、通信端末120が、通信端末120を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置110に送信し、ネットワーク接続装置110は、通信端末120から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、通信端末120とネットワーク40上の機器との間における通信のうち、このユーザに対応するプロセス識別子を含む内部通信情報に対応するものの送受信を許可することもできる。 In the network connection system 100 according to the second embodiment of the present invention, the communication terminal 120 transmits terminal authentication information for authenticating the communication terminal 120 to the network connection device 110, and the network connection device 110 is the communication terminal. The communication terminal 120 is authenticated based on the terminal authentication information transmitted from 120, and when the authentication of the communication terminal 120 is successful, transmission / reception between the communication terminal 120 and a device on the network 40 is permitted. Yes.
Further, the communication terminal 120 transmits user authentication information for authenticating a user who uses the communication terminal 120 to the network connection device 110, and the network connection device 110 is based on the user authentication information transmitted from the communication terminal 120. Authenticates the user, and if the user authentication is successful, transmission / reception of communication between the communication terminal 120 and the device on the network 40 corresponding to the internal communication information including the process identifier corresponding to the user is permitted. You can also

〔ネットワーク接続装置110の構成〕
次に、本発明の第2の実施の形態に係るネットワーク接続装置110の構成を説明する。なお、以下では、ネットワーク接続装置110の構成要素のうち、本発明の第1の実施の形態に係るネットワーク接続装置10の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<ハードウエア構成>
第1の実施の形態のネットワーク接続装置10と同様である。
<ソフトウエア構成>
図10は、ネットワーク接続装置110にインストールされているソフトウエア1070の構成を例示した図である。この図に例示するように、本形態の第1の実施の形態との相違点は、さらに端末認証情報またはユーザ認証情報に基づいて認証を行うための認証ソフトウエア1071がネットワーク接続装置110にインストールされている点である。その他は第1の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置110は、第1の実施の形態と同様なハードウエアにソフトウエア1070がインストールされ、このソフトウエア1070がCPUで実行されることにより構成される。図11は、このように構成されたネットワーク接続装置110の構成を例示したブロック図である。この図に示すように、本形態のネットワーク接続装置110は、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部111が付加される点で、第1の実施の形態のネットワーク接続装置10と相違する。その他はネットワーク接続装置10と同様である。すなわち、ネットワーク接続装置110は、インタフェース部11、リンク確立部12、プロセス対応情報作成部13、記憶部14、パケット生成部15、内部通信情報生成部16、ネットワークインタフェース部17、制御部18、および、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部111を有する。 [Configuration of Network Connection Device 110]
Next, the configuration of the network connection apparatus 110 according to the second embodiment of the present invention will be described. In the following description, among the components of the network connection device 110, the same components as those of the network connection device 10 according to the first embodiment of the present invention are denoted by the same reference numerals, and description thereof is made. Is omitted.
<Hardware configuration>
The network connection device 10 is the same as that of the first embodiment.
<Software configuration>
FIG. 10 is a diagram illustrating a configuration of software 1070 installed in the network connection device 110. As illustrated in this figure, the difference between this embodiment and the first embodiment is that authentication software 1071 for performing authentication based on terminal authentication information or user authentication information is further installed in the network connection device 110. It is a point that has been. Others are the same as in the first embodiment.
<Cooperation between hardware and software>
The network connection device 110 of this embodiment is configured by installing software 1070 on hardware similar to that of the first embodiment, and executing this software 1070 by a CPU. FIG. 11 is a block diagram illustrating the configuration of the network connection device 110 configured as described above. As shown in this figure, the network connection apparatus 110 according to the present embodiment is added with an authentication unit 111 that performs authentication based on terminal authentication information or user authentication information. Is different. Others are the same as the network connection apparatus 10. That is, the network connection device 110 includes an interface unit 11, a link establishment unit 12, a process correspondence information creation unit 13, a storage unit 14, a packet generation unit 15, an internal communication information generation unit 16, a network interface unit 17, a control unit 18, and The authentication unit 111 performs authentication based on terminal authentication information or user authentication information.

〔通信端末120の構成〕
次に、本発明の第2の実施の形態に係る通信端末120の構成を説明する。なお、以下では、通信端末120の構成要素のうち、本発明の第1の実施の形態に係る通信端末20の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。 [Configuration of Communication Terminal 120]
Next, the configuration of the communication terminal 120 according to the second embodiment of the present invention will be described. In the following, among the components of the communication terminal 120, the same components as those of the communication terminal 20 according to the first embodiment of the present invention are denoted by the same reference numerals, and description thereof is omitted. To do.

<ハードウエア構成>
第1の実施の形態の通信端末20と同様である。
<ソフトウエア構成>
図10は、通信端末120にインストールされているソフトウエア1090の構成を例示した図である。この図に例示するように、本形態の第1の実施の形態との相違点は、さらに端末認証情報またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置110に対して行うための認証要求ソフトウエア1091が通信端末120にインストールされている点である。その他は第1の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態の通信端末120は、第1の実施の形態と同様なハードウエアにソフトウエア1090がインストールされ、このソフトウエア1090がCPUで実行されることにより構成される。図13は、このように構成された通信端末120−1の構成を例示したブロック図である。この図に示すように、本形態の通信端末120−1は、端末認証情報またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置110に対して行う認証要求部121−1が付加される点で第1の実施の形態の通信端末20−1と相違する。その他は通信端末20−1と同様である。なお、ここでは、通信端末120−1の構成のみを例示するが、通信端末120−2の構成も同様である。 <Hardware configuration>
It is the same as that of the communication terminal 20 of 1st Embodiment.
<Software configuration>
FIG. 10 is a diagram illustrating a configuration of software 1090 installed in the communication terminal 120. As illustrated in this figure, the difference from the first embodiment of the present embodiment is that the authentication request for further making a request for authentication to the network connection device 110 based on the terminal authentication information or the user authentication information. Software 1091 is installed in the communication terminal 120. Others are the same as in the first embodiment.
<Cooperation between hardware and software>
The communication terminal 120 of this embodiment is configured by installing software 1090 on the same hardware as that of the first embodiment and executing this software 1090 by a CPU. FIG. 13 is a block diagram illustrating the configuration of the communication terminal 120-1 configured as described above. As shown in this figure, the communication terminal 120-1 of the present embodiment is provided with an authentication request unit 121-1 for making an authentication request based on the terminal authentication information or the user authentication information to the network connection device 110. This is different from the communication terminal 20-1 of the first embodiment. Others are the same as that of the communication terminal 20-1. Note that only the configuration of the communication terminal 120-1 is illustrated here, but the configuration of the communication terminal 120-2 is the same.

〔動作〕
以上のように構成された本発明の第2の実施の形態に係るネットワーク接続システム100の動作について、図面を参照して説明する。図14および図15は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作を示すシーケンス図である。
なお、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうち、本発明の第1の実施の形態に係るネットワーク接続システム1の動作と同一の動作には同一の符号を付し、それぞれの説明を省略する。また以下では、通信端末120−1がネットワーク40に接続された外部ホスト30等の通信機器する場合を例にとって説明する。 [Operation]
The operation of the network connection system 100 configured as described above according to the second embodiment of the present invention will be described with reference to the drawings. 14 and 15 are sequence diagrams showing operations of the network connection system 100 according to the second embodiment of the present invention.
Of the operations of the network connection system 100 according to the second embodiment of the present invention, the same reference numerals are given to the same operations as those of the network connection system 1 according to the first embodiment of the present invention. Each description is omitted. In the following, a case where the communication terminal 120-1 is a communication device such as the external host 30 connected to the network 40 will be described as an example.

図14は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうち、端末認証の動作を示すシーケンス図である。
第1の実施の形態と同じS1およびS2の処理が実行され、通信端末120−1がリンク番号を受信した後、通信端末120−1の認証要求部121−1は、端末認証の要求を行うため、記憶部21−1から読み込んだ端末認証情報1101を、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置110に送信する(S11)。なお、端末認証情報1101は、通信端末IDおよびパスワード、または、電子証明書など通信端末120を認証できる情報であれば如何なるものでもよい。端末認証情報1101は、予めメモリ等の記憶部21−1に記憶しているものが使用されてもよく、また、端末認証の要求を行う際に、ユーザから入力され記憶部21−1に格納されたものが使用されてもよい。 FIG. 14 is a sequence diagram showing a terminal authentication operation among the operations of the network connection system 100 according to the second embodiment of the present invention.
After the same processing of S1 and S2 as in the first embodiment is executed and the communication terminal 120-1 receives the link number, the authentication request unit 121-1 of the communication terminal 120-1 makes a request for terminal authentication. Therefore, the terminal authentication information 1101 read from the storage unit 21-1 is transmitted from the interface 22a-1 of the interface unit 22-1 to the network connection device 110 (S11). The terminal authentication information 1101 may be any information that can authenticate the communication terminal 120 such as a communication terminal ID and password, or an electronic certificate. The terminal authentication information 1101 may be preliminarily stored in the storage unit 21-1 such as a memory, and is input from the user and stored in the storage unit 21-1 when requesting terminal authentication. What is done may be used.

次に、ネットワーク接続装置110は、インタフェース部11のインタフェース11aで、通信端末120によって送信された端末認証情報1101を受信し、これを認証部111に転送する。この認証部111は、端末認証情報1101に基づいて認証を行う(S12)。
なお、この例の認証部111は、端末認証情報を認証サーバ160に送信することにより、認証サーバ160に対して認証を要求し、認証結果を得る。また、認証部111は、ハードディスク等の記憶部14に格納している認証に関わる情報(図示せず)と照合して認証結果を決定してもよい。 Next, the network connection device 110 receives the terminal authentication information 1101 transmitted by the communication terminal 120 through the interface 11 a of the interface unit 11 and transfers it to the authentication unit 111. The authentication unit 111 performs authentication based on the terminal authentication information 1101 (S12).
Note that the authentication unit 111 in this example requests the authentication server 160 for authentication by transmitting terminal authentication information to the authentication server 160, and obtains an authentication result. The authentication unit 111 may determine an authentication result by collating with information (not shown) related to authentication stored in the storage unit 14 such as a hard disk.

認証部111は、リンク確立部12が作成して記憶部14に格納されている表2のリンク情報に、認証結果に応じた認証状態を加えて、表4に例示するようなリンク情報1081を作成し、記憶部14に格納する。すなわち、認証部111は、認証結果が成功であった場合、表4のリンク情報1081における認証状態を成功とし、認証結果が失敗であった場合、表4のリンク情報1081における端末認証状態を、初期状態である未認証のままとする。   The authentication unit 111 adds the authentication state according to the authentication result to the link information of Table 2 created by the link establishment unit 12 and stored in the storage unit 14, and creates link information 1081 as illustrated in Table 4 Created and stored in the storage unit 14. That is, if the authentication result is successful, the authentication unit 111 sets the authentication status in the link information 1081 of Table 4 to success, and if the authentication result is failure, the authentication unit 111 sets the terminal authentication status in the link information 1081 of Table 4 to Leave unauthenticated in the initial state.

Figure 2007060610
なお、認証状態が未認証となっている通信端末IDは、無効となる。無効となる通信端末IDによって特定される通信端末120とネットワーク40上の機器との間の送受信は、許可されない。認証状態が成功となっている通信端末IDによって特定される通信端末120とネットワーク40上の機器との間の送受信が許可される。
図15は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうちユーザ認証の動作を示すシーケンス図である。
Figure 2007060610
 Note that a communication terminal ID whose authentication status is unauthenticated is invalid. Transmission / reception between the communication terminal 120 specified by the invalid communication terminal ID and the device on the network 40 is not permitted. Transmission / reception between the communication terminal 120 identified by the communication terminal ID whose authentication status is successful and the device on the network 40 is permitted.
FIG. 15 is a sequence diagram showing a user authentication operation among the operations of the network connection system 100 according to the second embodiment of the present invention.

第1の実施の形態と同じS3およびS4の処理が実行され、通信端末120がアドレスを受信した後に、認証要求部121−1がユーザ認証の要求を行う。そのために認証要求部121−1は、上記アドレスおよび記憶部21−1に格納されたユーザ認証情報1102をインタフェース22a−1からネットワーク接続装置110に送信する(S13)。
なお、ユーザ認証情報1102は、ユーザIDおよびパスワード、または、電子証明書などユーザを認証できる情報であれば如何なるものでもよい。ユーザ認証情報1102は、予め記憶部21−1に記憶しているものが使用されてもよく、また、ユーザ認証の要求を行う際に、ユーザから入力され、記憶部21−1に格納されたものが使用されてもよい。 After the same processes of S3 and S4 as in the first embodiment are performed and the communication terminal 120 receives the address, the authentication request unit 121-1 makes a user authentication request. For this purpose, the authentication request unit 121-1 transmits the address and user authentication information 1102 stored in the storage unit 21-1 from the interface 22a-1 to the network connection device 110 (S13).
The user authentication information 1102 may be any information that can authenticate the user, such as a user ID and password or an electronic certificate. The user authentication information 1102 may be stored in advance in the storage unit 21-1, or input from the user and stored in the storage unit 21-1 when requesting user authentication. Things may be used.

次に、ネットワーク接続装置110は、インタフェース部11のインタフェース11aで、通信端末120によって送信されたユーザ認証情報1102を受信し、認証部111に転送する。認証部111は、このユーザ認証情報1102に基づいて認証を行う(S14)。
この例の認証部111は、ユーザ認証情報を認証サーバ160に送信することにより、認証サーバ160に対して認証の要求し、認証結果を得る。また、認証部111は、ハードディスク等に格納している認証に関わる情報と照合して認証結果を決定してもよい。 Next, the network connection device 110 receives the user authentication information 1102 transmitted by the communication terminal 120 via the interface 11 a of the interface unit 11 and transfers the user authentication information 1102 to the authentication unit 111. The authentication unit 111 performs authentication based on the user authentication information 1102 (S14).
In this example, the authentication unit 111 transmits user authentication information to the authentication server 160 to request authentication from the authentication server 160 and obtain an authentication result. The authentication unit 111 may determine an authentication result by collating with information related to authentication stored in a hard disk or the like.

認証部111は、認証結果に応じて、プロセス対応情報作成部13が作成した表3のプロセス対応情報に認証状態を加えて、表5に示すプロセス対応情報1082を作成する。認証部111は、認証結果が成功であった場合、表5のプロセス対応情報における認証状態を成功とし、認証結果が失敗であった場合、表5のリンク情報における認証状態を、初期状態である未認証のままとする。   The authentication unit 111 creates process correspondence information 1082 shown in Table 5 by adding an authentication state to the process correspondence information of Table 3 created by the process correspondence information creation unit 13 according to the authentication result. If the authentication result is successful, the authentication unit 111 sets the authentication state in the process correspondence information in Table 5 as success, and if the authentication result is failure, the authentication state in the link information in Table 5 is the initial state. Leave unauthenticated.

Figure 2007060610
なお、認証状態が未認証となっているアドレスと対応するプロセスIDは、無効となる。無効となるプロセスIDを含む内部通信情報の送受信は、許可されない。認証状態が成功となっているアドレスと対応するプロセスIDを含む内部通信情報の送受信が許可される。
また、S13で、認証要求部121−1がアドレスおよびユーザ認証情報をインタフェース22a−1を通じてネットワーク接続装置110に送信するとしたが、S3で、アドレスおよびユーザ認証情報をプロセス情報に加えてネットワーク接続装置10に送信するようにしてもよい。このようにアドレスおよびユーザ認証情報をプロセス情報に加えて送信した場合、S4に続いてS14でユーザ認証を行って、認証部111は、表5に示したプロセス対応情報を作成する。
Figure 2007060610
 Note that a process ID corresponding to an address whose authentication status is unauthenticated is invalid. Transmission / reception of internal communication information including an invalid process ID is not permitted. Transmission / reception of internal communication information including a process ID corresponding to an address in which the authentication status is successful is permitted.
In S13, the authentication request unit 121-1 transmits the address and user authentication information to the network connection device 110 through the interface 22a-1. However, in S3, the network connection device adds the address and user authentication information to the process information. 10 may be transmitted. When the address and user authentication information are transmitted in addition to the process information as described above, user authentication is performed in S14 following S4, and the authentication unit 111 creates the process correspondence information shown in Table 5.

以上説明したように、本発明の第2の実施の形態に係るネットワーク接続システム100は、通信端末120の認証が成功した場合、通信端末120とネットワーク40上の機器との間の情報の送受信を許可するため、セキュリティを高めたパケット転送を行うことができる。また、ユーザの認証が成功した場合、このユーザに対応するプロセス識別子を含む内部通信情報から生成したパケットの送信、および、パケットからこの内部通信情報への変換・転送を許可するため、セキュリティを高めたパケット転送を行うことができる。   As described above, the network connection system 100 according to the second embodiment of the present invention transmits and receives information between the communication terminal 120 and the devices on the network 40 when the communication terminal 120 is successfully authenticated. Since permission is granted, packet transfer with increased security can be performed. In addition, when the user authentication is successful, the transmission of the packet generated from the internal communication information including the process identifier corresponding to the user and the conversion / transfer from the packet to the internal communication information are permitted, thereby increasing security. Packet transfer.

以上、本発明の第2の実施の形態に係る端末認証およびユーザ認証について説明したが、端末認証およびユーザ認証は、併用して実施してもよく、また、端末認証、ユーザ認証の何れかのみ実施するようにしてもよい。
また、ネットワーク接続装置110を企業内および家庭内に設置する場合、ネットワーク接続装置110が、ネットワーク接続装置110を認証するための認証情報を認証サーバ160に送信して認証を要求し、そこから返信された認証結果を用いてネットワーク接続装置110を利用させるか否かを判断してもよい。 As described above, the terminal authentication and the user authentication according to the second embodiment of the present invention have been described. However, the terminal authentication and the user authentication may be performed in combination, or only one of the terminal authentication and the user authentication. You may make it implement.
When the network connection device 110 is installed in a company or home, the network connection device 110 sends authentication information for authenticating the network connection device 110 to the authentication server 160 to request authentication, and returns from there. It may be determined whether or not to use the network connection device 110 using the authentication result.

(本発明の第3の実施の形態)
〔全体構成〕
本発明の第3の実施の形態に係るネットワーク接続システム200のシステム構成図を図16に示す。
図16に示したネットワーク接続システム200は、ネットワーク40に接続されたネットワーク接続装置210と、ネットワーク接続装置210と通信可能に接続された通信端末220とを備えた構成を有し、さらにネットワーク40には、外部ホスト30が接続されている。 (Third embodiment of the present invention)
〔overall structure〕
FIG. 16 shows a system configuration diagram of a network connection system 200 according to the third embodiment of the present invention.
A network connection system 200 shown in FIG. 16 has a configuration including a network connection device 210 connected to the network 40 and a communication terminal 220 connected to be communicable with the network connection device 210. The external host 30 is connected.

また、図16に示したネットワーク接続システム200では、ネットワーク接続装置210を介して、ネットワーク接続装置210に接続された通信端末220と、外部ホスト30を含むネットワーク40上の機器との間で情報が送受信される。
なお、図示した通信端末220の各々を区別する場合には、通信端末220をそれぞれ通信端末220−1、通信端末220−2と記載し、外部ホスト30の各々を区別する場合には、外部ホスト30をそれぞれ外部ホスト30−1、外部ホスト30−2と記載する。 In the network connection system 200 illustrated in FIG. 16, information is transmitted between the communication terminal 220 connected to the network connection device 210 and the devices on the network 40 including the external host 30 via the network connection device 210. Sent and received.
When distinguishing each of the illustrated communication terminals 220, the communication terminal 220 is described as the communication terminal 220-1 and the communication terminal 220-2, respectively, and when distinguishing each of the external hosts 30, the external host is described. 30 are referred to as an external host 30-1 and an external host 30-2, respectively.

また、例えば、外部ホスト30−1、外部ホスト30−2は、それぞれWebサーバ、メールサーバ、通信相手端末等であり、通信端末220およびネットワーク接続装置210は、企業内および家庭内に設置され、ネットワーク40は、インターネット等である。なお、ネットワーク接続装置210と通信端末220との間は、有線または無線で接続されてもよい。
ネットワーク接続装置210と通信端末220との間は、リンクレイヤのプロトコルに準拠して通信する。例えば、リンクレイヤのプロトコルは、IEEE802.3(Ethernet(登録商標))、PPP(Point-to-Point Protocol)、もしくはL2TP(Layer 2 Tunneling Protocol)、またはPPTP(Point-to-Point Tunneling Protocol)などのトンネリングプロトコルでもよく、ネットワーク接続装置210と外部ホスト30との間の通信はIPに準拠する。 Further, for example, the external host 30-1 and the external host 30-2 are a Web server, a mail server, a communication partner terminal, and the like, respectively, and the communication terminal 220 and the network connection device 210 are installed in a company and a home, The network 40 is the Internet or the like. The network connection device 210 and the communication terminal 220 may be connected by wire or wireless.
The network connection device 210 and the communication terminal 220 communicate according to a link layer protocol. For example, the link layer protocol is IEEE 802.3 (Ethernet (registered trademark)), PPP (Point-to-Point Protocol), L2TP (Layer 2 Tunneling Protocol), or PPTP (Point-to-Point Tunneling Protocol). The communication protocol between the network connection device 210 and the external host 30 conforms to IP.

通信端末220は、必ずしもIPに準拠した通信をしない。また、ネットワーク接続装置210は、外部ホスト30等の通信機器と通信するため、例えば、グローバルIPアドレスを1以上保有する(メモリ等に格納している)。
〔ネットワーク接続装置210の構成〕
<ハードウエア構成>
ネットワーク接続装置210は、CPU(Central Processing Unit)、メモリ(RAM,ROM,NV-RAM)、ハードディスク、ネットワーク40に接続されるネットワークインタフェース、および通信端末20に接続されるインタフェース等を有している。 The communication terminal 220 does not necessarily perform communication based on IP. Further, the network connection device 210 has one or more global IP addresses (stored in a memory or the like) in order to communicate with a communication device such as the external host 30.
[Configuration of Network Connection Device 210]
<Hardware configuration>
The network connection device 210 includes a CPU (Central Processing Unit), a memory (RAM, ROM, NV-RAM), a hard disk, a network interface connected to the network 40, an interface connected to the communication terminal 20, and the like. .

<ソフトウエア構成>
図17は、ネットワーク接続装置210にインストールされているソフトウエア2010の構成を例示した図である。図17に示すように、この例のソフトウエア2010は、通信端末220とネットワーク接続装置210とのリンクを確立させてリンク情報を生成するためのリンク確立ソフトウエア2012、通信端末220から通知されるプロセス識別子とグローバルIPアドレス等のアドレスとを対応させるプロセス対応情報を作成するためのプロセス対応情報作成ソフトウエア2013、OS(Operating System)2015、ネットワークドライバ2016、および、プロセス対応情報に従って内部通信情報を生成する内部通信情報生成ソフトウエア2017を有している。 <Software configuration>
FIG. 17 is a diagram illustrating a configuration of software 2010 installed in the network connection device 210. As shown in FIG. 17, the software 2010 in this example is notified from the link establishment software 2012 and the communication terminal 220 for establishing link between the communication terminal 220 and the network connection device 210 and generating link information. The process correspondence information creation software 2013, OS (Operating System) 2015, network driver 2016 for creating process correspondence information that associates a process identifier with an address such as a global IP address, and internal communication information according to the process correspondence information. Internal communication information generation software 2017 is generated.

<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置210は、上述のハードウエアにソフトウエア2010がインストールされ、このソフトウエア2010がCPUで実行されることにより構成される。図18は、このように構成されたネットワーク接続装置210の構成を例示したブロック図である。
この図に示すように、この例のネットワーク接続装置210は、通信端末220と通信を行うインタフェース部211、通信端末220との間のリンクを確立させてリンク情報2021を生成するリンク確立部212、プロセス対応情報2022を作成するプロセス対応情報作成部213、リンク情報2021とプロセス対応情報2022とソケット情報テーブル2023を格納する記憶部214、ソケット情報テーブル2023を生成し、さらにプロセス対応情報2022に従ってパケットを生成するパケット生成部215、プロセス対応情報2022に従って内部通信情報を生成する内部通信情報生成部216、ネットワーク40を通じた通信を行うネットワークインタフェース部217、ネットワーク接続装置210全体を制御する制御部218、および、プロセス2101〜2103を実行するプロセス実行部219を有する。また、インタフェース部211にはインタフェース番号(IF#0)が割り振られている。 <Cooperation between hardware and software>
The network connection apparatus 210 of this embodiment is configured by installing software 2010 on the above-described hardware and executing the software 2010 by the CPU. FIG. 18 is a block diagram illustrating the configuration of the network connection device 210 configured as described above.
As shown in this figure, the network connection device 210 in this example includes an interface unit 211 that communicates with the communication terminal 220, a link establishment unit 212 that establishes a link with the communication terminal 220 and generates link information 2021. A process correspondence information creation unit 213 that creates process correspondence information 2022, a storage unit 214 that stores link information 2021, process correspondence information 2022, and a socket information table 2023, and a socket information table 2023, and further generates a packet according to the process correspondence information 2022 A packet generation unit 215 to be generated, an internal communication information generation unit 216 that generates internal communication information according to the process correspondence information 2022, a network interface unit 217 that performs communication through the network 40, and a control that controls the entire network connection device 210. Parts 218, and a process execution unit 219 that executes a process 2101 to 2103. The interface unit 211 is assigned an interface number (IF # 0).

ここで、「インタフェース番号」とは、インタフェースを特定するための識別子である。また、「インタフェース」とは、各装置における通信の論理的な機能単位を意味し、具体的には、所定のソフトウエアが読み込まれたCPUがLANカード等の通信装置を制御することによって構成される。また、各装置は複数のインタフェースをもつことが可能である。
またプロセス2101〜2103は、OS2015の制御のもとCPUがアプリケーションソフトウエア2014を実行する際の処理単位である。これらのプロセス2101〜2103は、通信端末220で生起される各プロセス2001〜2003(図16)にそれぞれ対応し、これらとの通信処理を行うものである。なお、各プロセス2101〜2103は、例えば、それに対応する通信端末220のプロセス2001〜2003が生起されたことや、これとの通信が開始されたことを契機に生起される。また、プロセスの生起とは、プロセスに対応するプログラムがRAM等の主記憶装置に読み込まれ、CPUがこのプログラムを実行可能な状態にすること、および、実際に実行することをいう。また、プロセスは、一つのOS上で動作し、複数のOSが一つのホスト上で動作することもある。さらにプロセスは、OSにローカルなプロセス識別子(以下、プロセスIDという。)をもつ。また、本形態における「ソケット」とは、アプリケーションソフトがTCP/IP通信を扱うための仮想的なインタフェース〔API(Application Program Interface)〕を意味する。 Here, the “interface number” is an identifier for specifying an interface. An “interface” means a logical functional unit of communication in each device, and is specifically configured by a CPU loaded with predetermined software controlling a communication device such as a LAN card. The Each device can have a plurality of interfaces.
Processes 2101 to 2103 are processing units when the CPU executes the application software 2014 under the control of the OS 2015. These processes 2101 to 2103 correspond to the respective processes 2001 to 2003 (FIG. 16) that occur in the communication terminal 220, and perform communication processing with these processes. Each of the processes 2101 to 2103 is generated when, for example, the processes 2001 to 2003 of the communication terminal 220 corresponding to the processes 2101 to 2103 are started or communication with the processes is started. In addition, the occurrence of a process means that a program corresponding to the process is read into a main storage device such as a RAM, and the CPU makes the program executable, and actually executes the program. In addition, the process operates on one OS, and a plurality of OS may operate on one host. Further, the process has a process identifier (hereinafter referred to as a process ID) local to the OS. The “socket” in the present embodiment means a virtual interface [API (Application Program Interface)] for application software to handle TCP / IP communication.

〔通信端末220の構成〕
<ハードウエア構成>
通信端末220は、CPU、メモリ、ネットワーク接続装置210に接続されるインタフェース等を有しており、例えば、ハードディスク、キーボード等の入力器、およびディスプレイを備えたパソコン等である。また、通信端末220は、情報家電機器等でもよい。
<ソフトウエア構成>
図19は、通信端末220にインストールされているソフトウエア2030の構成を例示した図である。図19に示すように、この例のソフトウエア2030は、Webページを閲覧するブラウザまたは、メールを送受信するメーラ等のアプリケーションソフトウエア2031、ネットワーク接続装置210へのリンク確立要求を行うためのリンク確立要求情報生成ソフトウエア2032、OS2033、および、ネットワークドライバ2034を有している。なお、アプリケーションソフトウエア2031は、ブラウザやメーラだけに限定されることはない。 [Configuration of Communication Terminal 220]
<Hardware configuration>
The communication terminal 220 has a CPU, a memory, an interface connected to the network connection device 210, and the like, for example, a hard disk, an input device such as a keyboard, and a personal computer equipped with a display. Communication terminal 220 may be an information home appliance or the like.
<Software configuration>
FIG. 19 is a diagram illustrating a configuration of software 2030 installed in the communication terminal 220. As shown in FIG. 19, the software 2030 of this example is a link establishment for making a link establishment request to a browser for browsing a Web page or application software 2031 such as a mailer for sending and receiving mail and a network connection device 210. Request information generation software 2032, OS 2033, and network driver 2034 are included. Note that the application software 2031 is not limited to a browser or a mailer.

<ハードウエアとソフトウエアの協働>
本形態の通信端末220は、上述のハードウエアにソフトウエア2030がインストールされ、このソフトウエア2030がCPUで実行されることにより構成される。
図20は、このように構成された通信端末220−1の構成を例示したブロック図である。なお、ここでは通信端末220−1の構成のみを例示するが、通信端末220−2の構成もこれと同様である。
この例の通信端末220−1は、プロセス対応情報2041やリンク情報2042を格納する記憶部221−1、ネットワーク接続装置210と通信を行うインタフェース部222−1、ネットワーク接続装置210へのリンク確立要求を行うリンク確立要求情報生成部223−1、プロセス2001,2002を実行するプロセス実行部224−1、および、通信端末220−1全体を制御する制御部225−1を有する。また、インタフェース部222−1にはインタフェース番号(IF#1)が割り振られている。 <Cooperation between hardware and software>
The communication terminal 220 of this embodiment is configured by installing software 2030 on the above-described hardware and executing the software 2030 by the CPU.
FIG. 20 is a block diagram illustrating the configuration of the communication terminal 220-1 configured as described above. Although only the configuration of the communication terminal 220-1 is illustrated here, the configuration of the communication terminal 220-2 is the same as this.
The communication terminal 220-1 in this example includes a storage unit 221-1 that stores process correspondence information 2041 and link information 2042, an interface unit 222-1 that communicates with the network connection device 210, and a link establishment request to the network connection device 210. A link establishment request information generation unit 223-1 that performs the process, a process execution unit 224-1 that executes the processes 2001 and 2002, and a control unit 225-1 that controls the entire communication terminal 220-1. An interface number (IF # 1) is assigned to the interface unit 222-1.

ここで、プロセス2001,2002は、OS2033の制御のもとCPUがアプリケーションソフトウエア2031を実行する際の処理単位である。これらのプロセス2001,2002は、アプリケーションソフトウエア2031がCPU上で起動されたことなどを契機にOS2033によって生起される。本形態の場合、生起されたプロセス2001,2002は、例えば、ネットワーク40上のWebサーバやメールサーバとの通信処理を含む。そして、このWebサーバ等との通信処理は、CPU上で起動するソフトウエアであるネットワークドライバ2034による処理を介して実現される。具体的には、CPU上で起動されたネットワークドライバ2034は、例えば、宛先アドレスやペイロードを含み、リンクレイヤのプロトコルに準拠した内部通信情報を生成して送信する。なお、図16では、通信端末220−1にプロセス2001およびプロセス2002が生起し、通信端末220−2にプロセス2003が生起している様子を示している。   Here, processes 2001 and 2002 are processing units when the CPU executes the application software 2031 under the control of the OS 2033. These processes 2001 and 2002 are started by the OS 2033 when the application software 2031 is started on the CPU. In the case of this embodiment, the generated processes 2001 and 2002 include, for example, a communication process with a Web server or a mail server on the network 40. Communication processing with the Web server or the like is realized through processing by the network driver 2034 that is software started on the CPU. Specifically, the network driver 2034 activated on the CPU generates and transmits internal communication information that includes, for example, a destination address and a payload and conforms to a link layer protocol. Note that FIG. 16 illustrates a state in which a process 2001 and a process 2002 occur in the communication terminal 220-1 and a process 2003 occurs in the communication terminal 220-2.

〔ネットワーク接続装置210と通信端末220との間のリンク〕
ネットワーク接続装置210と、通信端末220とは、後述の処理により対応付けられる。本形態の対応付け(リンク)は、ネットワーク接続装置210のインタフェース番号と通信端末220のインタフェース番号との組で特定され、各リンクは、論理的なリンク番号によって表される。リンク番号とインタフェース(IF)番号との対応関係の一例を表6に示す。 [Link between network connection device 210 and communication terminal 220]
The network connection device 210 and the communication terminal 220 are associated with each other by a process described later. The association (link) in this embodiment is specified by a set of the interface number of the network connection device 210 and the interface number of the communication terminal 220, and each link is represented by a logical link number. An example of the correspondence between the link number and the interface (IF) number is shown in Table 6.

Figure 2007060610
この例の場合、リンク番号「001」は、通信端末220のインタフェース番号「11:12:13:14:15:16:00」と、ネットワーク接続装置210のインタフェース番号「01:02:03:04:05:06:00」との組に対応し、リンク番号「002」は、通信端末220のインタフェース番号「21:22:23:24:25:26:00」と、ネットワーク接続装置210のインタフェース番号「01:02:03:04:05:06:00」との組に対応する。
Figure 2007060610
 In this example, the link number “001” includes the interface number “11: 12: 13: 14: 15: 16: 00” of the communication terminal 220 and the interface number “01: 02: 03: 04” of the network connection device 210. : 05: 06: 0 ”, the link number“ 002 ”is the interface number“ 21: 22: 23: 24: 25: 26: 00 ”of the communication terminal 220, and the interface of the network connection device 210. Corresponds to the pair with the number “01: 02: 03: 04: 05: 06: 00”.

〔動作〕
以上のように構成された本発明の第3の実施の形態に係るネットワーク接続システム200の動作について、図面を参照して説明する。
図21,22は、本発明の第3の実施の形態に係るネットワーク接続システム200の動作を示すシーケンス図である。なお、以下では、通信端末220−1がネットワーク40に接続された外部ホスト30等の通信機器と通信を行う場合を例にとって説明する。
まず、通信端末220−1のリンク確立要求情報生成部223−1は、ネットワーク接続装置210に対するリンク確立要求を示すリンク確立要求情報を生成する。本形態の例のリンク確立要求情報は、リンクの確立を要求する通信端末220−1のインタフェース番号「11:12:13:14:15:16:00」(IF#1)と、ネットワーク接続装置210のインタフェース番号「01:02:03:04:05:06:00」(IF#0)との組を含む情報である。生成されたリンク確立要求情報は、ネットワークドライバ2034の処理に従い、インタフェース部222−1からネットワーク接続装置210に送信される(S101)。なお、リンク確立要求情報を送信する契機としては、通信端末220−1がネットワーク接続装置210と有線または無線により接続したとき、もしくは通信端末220−1が通信を開始するときなどである。 [Operation]
The operation of the network connection system 200 configured as described above according to the third embodiment of the present invention will be described with reference to the drawings.
21 and 22 are sequence diagrams showing the operation of the network connection system 200 according to the third embodiment of the present invention. Hereinafter, a case where the communication terminal 220-1 communicates with a communication device such as the external host 30 connected to the network 40 will be described as an example.
First, the link establishment request information generation unit 223-1 of the communication terminal 220-1 generates link establishment request information indicating a link establishment request to the network connection device 210. The link establishment request information in the example of the present embodiment includes the interface number “11: 12: 13: 14: 15: 16: 00” (IF # 1) of the communication terminal 220-1 requesting establishment of the link, and the network connection device. 210 includes an interface number “01: 02: 03: 04: 05: 06: 00” (IF # 0) of 210. The generated link establishment request information is transmitted from the interface unit 222-1 to the network connection device 210 in accordance with the processing of the network driver 2034 (S101). The trigger for transmitting the link establishment request information is when the communication terminal 220-1 is connected to the network connection device 210 by wire or wireless, or when the communication terminal 220-1 starts communication.

次に、ネットワーク接続装置210は、通信端末220−1から送信されたリンク確立要求情報をインタフェース部211で受信し、これをリンク確立部212に転送する。リンク確立部212は、受信したリンク確立要求情報に応じたリンク番号を割り当てる。そして、リンク確立部212は、割り当てたリンク番号と、リンク確立要求情報に含まれる通信端末220−1のインタフェース番号(IF#1)と、ネットワーク接続装置210のインタフェース番号(IF#0)とを対応させる(例えば、表6のような)リンク情報2021を生成し、これをRAMやNV−RAM等の記憶部214に格納する(S102)。また、リンク確立部212は、生成したリンク情報2021をインタフェース部211から通信端末220−1に送信する。   Next, the network connection device 210 receives the link establishment request information transmitted from the communication terminal 220-1 by the interface unit 211 and transfers it to the link establishment unit 212. The link establishment unit 212 assigns a link number corresponding to the received link establishment request information. Then, the link establishment unit 212 obtains the assigned link number, the interface number (IF # 1) of the communication terminal 220-1 included in the link establishment request information, and the interface number (IF # 0) of the network connection device 210. Corresponding link information 2021 (for example, as shown in Table 6) is generated and stored in the storage unit 214 such as RAM or NV-RAM (S102). Further, the link establishment unit 212 transmits the generated link information 2021 from the interface unit 211 to the communication terminal 220-1.

通信端末220−1は、ネットワーク接続装置210から送信されたリンク情報2021をインタフェース部222−1で受信する。そして、通信端末220−1の制御部225−1は、ネットワークドライバ2034の処理に従い、このリンク情報2021を通信端末220−1のリンク情報2042として、リンクが切断するまで記憶部221−1に保持する。
次に、通信端末220−1のリンク確立要求情報生成部223−1は、記憶部221−1からリンク情報2042を読み込み、このリンク情報2042に対応するリンクにIPアドレス(グローバルIPアドレス等)の割り当てを要求するためのIPアドレス割り当て要求情報を生成する(S103)。なお、このIPアドレス割り当て要求情報は、記憶部221−1から読み込まれたリンク情報2042を含む。生成されたIPアドレス割り当て要求情報は、通信端末220−1のインタフェース部222−1からネットワーク接続装置210に送信され、ネットワーク接続装置210のインタフェース部211で受信される。 The communication terminal 220-1 receives the link information 2021 transmitted from the network connection device 210 by the interface unit 222-1. Then, according to the processing of the network driver 2034, the control unit 225-1 of the communication terminal 220-1 retains the link information 2021 as the link information 2042 of the communication terminal 220-1 in the storage unit 221-1 until the link is disconnected. To do.
Next, the link establishment request information generation unit 223-1 of the communication terminal 220-1 reads the link information 2042 from the storage unit 221-1, and sets an IP address (global IP address or the like) to the link corresponding to the link information 2042. IP address allocation request information for requesting allocation is generated (S103). The IP address assignment request information includes link information 2042 read from the storage unit 221-1. The generated IP address assignment request information is transmitted from the interface unit 222-1 of the communication terminal 220-1 to the network connection device 210 and received by the interface unit 211 of the network connection device 210.

これを契機に、ネットワーク接続装置210のリンク確立部212は、インタフェース部211で受信されたIPアドレス割り当て要求情報が有するリンク情報2042に対応するリンクに対し、IPアドレスを割り当てる(S104)。さらにリンク確立部212は、このリンク情報2042と一致するリンク情報2021を記憶部214から選択し、選択したリンク情報2021に当該IPアドレスを追加した情報を、新たなリンク情報2021として記憶部214に格納する。IPアドレスが追加された新たなリンク情報2021の一例を表7に示す。なお、表7は、リンク番号001のリンク情報2021に対してIPアドレス「1.1.1.1」が追加された例である。   In response to this, the link establishment unit 212 of the network connection device 210 allocates an IP address to the link corresponding to the link information 2042 included in the IP address allocation request information received by the interface unit 211 (S104). Further, the link establishment unit 212 selects link information 2021 that matches the link information 2042 from the storage unit 214, and adds information obtained by adding the IP address to the selected link information 2021 as new link information 2021 in the storage unit 214. Store. Table 7 shows an example of new link information 2021 to which the IP address is added. Table 7 shows an example in which the IP address “1.1.1.1” is added to the link information 2021 with the link number 001.

Figure 2007060610
IPアドレスが割り当てられた新たなリンク情報(IPアドレスを含む)2021(表7の例では、リンク番号001のリンク情報)は、インタフェース部211から通信端末220−1に送信され、通信端末220−1のインタフェース部222−1で受信される。
通信端末220−1のリンク確立要求情報生成部223−1は、インタフェース部222−1で受信されたリンク情報(IPアドレスを含む)2021が有するIPアドレスをリンク情報2042に追加し、これを新たなリンク情報2042として記憶部221−1に格納する(S105)。なお、S103からS104の手順においてIPアドレス割り当て要求情報にリンク情報2042を含ませているが、代わりにリンク情報2042に含まれるリンク番号を用いてもよい。この場合はS104においてネットワーク接続装置210はリンク番号よりリンク情報を特定する。また、IPアドレス割り当て要求情報をリンク確立要求情報と同時に送信するようにしてもよい。
Figure 2007060610
 New link information (including the IP address) 2021 to which the IP address is assigned (in the example of Table 7, link information of the link number 001) is transmitted from the interface unit 211 to the communication terminal 220-1, and the communication terminal 220- 1 interface unit 222-1.
The link establishment request information generation unit 223-1 of the communication terminal 220-1 adds the IP address included in the link information (including the IP address) 2021 received by the interface unit 222-1 to the link information 2042, and newly adds it. The link information 2042 is stored in the storage unit 221-1 (S105). In the procedure from S103 to S104, the link information 2042 is included in the IP address assignment request information, but a link number included in the link information 2042 may be used instead. In this case, in S104, the network connection device 210 specifies link information from the link number. Further, the IP address allocation request information may be transmitted simultaneously with the link establishment request information.

次に、プロセス実行部224−1は、プロセス2001を生起し、生起したプロセス2001に対応するプロセスIDおよび記憶部221−1に格納されたリンク情報2042を含むプロセス情報を、インタフェース部222−1からネットワーク接続装置210に送信する(S111)。なお、リンク情報2042に代えて、そのリンク番号をプロセス情報に含ませてもよい。また、プロセス情報を送信する契機としては、プロセスが生起されたとき、もしくは通信を開始するときなどである。また、このプロセス情報の送信は、ネットワークドライバ2034の処理に従って実行される。   Next, the process execution unit 224-1 generates the process 2001, and obtains process information including the process ID corresponding to the generated process 2001 and the link information 2042 stored in the storage unit 221-1 as the interface unit 222-1. To the network connection device 210 (S111). Instead of the link information 2042, the link number may be included in the process information. Further, the process information is transmitted when the process is started or when communication is started. The transmission of the process information is executed according to the processing of the network driver 2034.

ネットワーク接続装置210は、通信端末220−1によって送信されたプロセス情報をインタフェース部211で受信する。これを契機に、プロセス実行部219は、インタフェース部211で受信されたプロセス情報に対応するプロセス2101を生起する。さらに、プロセス対応情報作成部213は、インタフェース部211で受信されたプロセス情報が有するリンク情報のリンク番号及びIPアドレスと、このプロセス情報が有する通信端末220−1のプロセスIDと、このプロセス情報に対応してプロセス実行部219で生起されたネットワーク接続装置210のプロセス2101のプロセスIDとを対応つけたプロセス対応情報2022を作成し、これをRAMやNV−RAM等の記憶部214に格納する(S112)。このようなプロセス対応情報2022の一例を表8に示す。   The network connection device 210 receives the process information transmitted by the communication terminal 220-1 by the interface unit 211. In response to this, the process execution unit 219 generates a process 2101 corresponding to the process information received by the interface unit 211. Further, the process correspondence information creation unit 213 adds the link number and IP address of the link information included in the process information received by the interface unit 211, the process ID of the communication terminal 220-1 included in the process information, and the process information. Correspondingly, process correspondence information 2022 is created by associating with the process ID of the process 2101 of the network connection device 210 generated by the process execution unit 219, and is stored in the storage unit 214 such as RAM or NV-RAM ( S112). An example of such process correspondence information 2022 is shown in Table 8.

Figure 2007060610
なお、プロセスIDにおける「2001」、「2002」、「2003」、「2101」、「2102」、「2103」は、それぞれ、図16に示したプロセス2001,2002,2003,2101,2102,2103を表している。
また、プロセス情報には、アドレスの割当て方法を指定するアドレス割当情報を含めることができる。プロセス情報にアドレス割当情報を含めている場合には、プロセス対応情報作成部213は、このアドレス割当情報に従ってアドレスを割り当てる。この場合、アドレス割当情報に、1つのユーザにつき1つのアドレスを割り当てるようにような設定が施されてもよい。具体的には、例えば、アドレス割当情報にユーザを表すユーザIDが設定されてもよい。この例の場合、プロセス対応情報作成部213には、ユーザIDが設定されているアドレス割当情報を含むプロセス情報がインタフェース部211から転送される。そして、この例のプロセス情報が転送されたプロセス対応情報作成部213は、例えば、アドレス割当情報に設定されているユーザIDを、リンク番号と、通信端末220のプロセスIDと、ネットワーク接続装置210のプロセスIDと、IPアドレスとに対応させたプロセス対応情報2022を作成する。この場合のプロセス対応情報2022の一例を表9に示す。
Figure 2007060610
 Note that “2001”, “2002”, “2003”, “2101”, “2102”, and “2103” in the process ID respectively indicate the processes 2001, 2002, 2003, 2101, 2102, and 2103 shown in FIG. Represents.
Further, the process information can include address assignment information for designating an address assignment method. If the process information includes address assignment information, the process correspondence information creation unit 213 assigns an address according to the address assignment information. In this case, the address assignment information may be set so that one address is assigned to one user. Specifically, for example, a user ID representing a user may be set in the address assignment information. In this example, process information including address assignment information in which a user ID is set is transferred from the interface unit 211 to the process correspondence information creation unit 213. Then, the process correspondence information creation unit 213 to which the process information of this example is transferred, for example, the user ID set in the address assignment information, the link number, the process ID of the communication terminal 220, and the network connection device 210 Process correspondence information 2022 corresponding to the process ID and the IP address is created. An example of the process correspondence information 2022 in this case is shown in Table 9.

Figure 2007060610
プロセス対応情報作成部213で生成されたプロセス対応情報2022の各レコードは、そのリンク番号に対応するリンクを通じて各通信端末220に送信される。例えば、プロセス2001を生起している通信端末220−1に、プロセスID「2001」に対応するレコードのみが送信される。そして、通信端末220−1は、それをプロセス対応情報2041として記憶部221−1に記憶する(S113)。なお、プロセス2002に対する処理も上記のプロセス2001に対する処理と同様である。
Figure 2007060610
 Each record of the process correspondence information 2022 generated by the process correspondence information creation unit 213 is transmitted to each communication terminal 220 through a link corresponding to the link number. For example, only the record corresponding to the process ID “2001” is transmitted to the communication terminal 220-1 in which the process 2001 is generated. And the communication terminal 220-1 memorize | stores it in the memory | storage part 221-1 as the process corresponding | compatible information 2041 (S113). The process for the process 2002 is similar to the process for the process 2001 described above.

次に、通信端末220−1のプロセス実行部224−1は、生起されているプロセス2001に対応するプロセス対応情報2041及びリンク情報2042を記憶部221−1から読み込む。また、プロセス実行部224−1は、読み込んだプロセス対応情報2041或いはリンク情報2042からIPアドレスを送信元IPアドレスとして抽出する。さらに、プロセス実行部224−1は、プロセス2001の実行により、通信相手の宛先IPアドレス、宛先ポート番号、さらに送信元ポート番号及びプロトコル種別を抽出し、これらと送信元IPアドレスとからなるソケット情報を生成する。なお、プロセス2001に対応する宛先IPアドレス、宛先ポート番号、送信元ポート番号及びプロトコル種別は、例えば、プロセス2001を実現するプログラム中に存在する情報や、ユーザが入力した情報である。そして、プロセス実行部224−1は、生成したソケット情報と、生起されているプロセス2001のプロセスIDと、読み込んだリンク情報2042とを含むソケット初期化要求情報を生成する。生成されたソケット初期化要求情報は、通信端末220−1のインタフェース部222−1からネットワーク接続装置210に送信され、ネットワーク接続装置210のインタフェース部211で受信される(S114)。   Next, the process execution unit 224-1 of the communication terminal 220-1 reads the process correspondence information 2041 and link information 2042 corresponding to the process 2001 that has occurred from the storage unit 221-1. Further, the process execution unit 224-1 extracts the IP address as the source IP address from the read process correspondence information 2041 or link information 2042. Further, the process execution unit 224-1 extracts the destination IP address, the destination port number, the source port number, and the protocol type of the communication partner by executing the process 2001, and socket information including these and the source IP address. Is generated. The destination IP address, the destination port number, the source port number, and the protocol type corresponding to the process 2001 are, for example, information existing in a program that realizes the process 2001 or information input by the user. Then, the process execution unit 224-1 generates socket initialization request information including the generated socket information, the process ID of the process 2001 that has occurred, and the read link information 2042. The generated socket initialization request information is transmitted from the interface unit 222-1 of the communication terminal 220-1 to the network connection device 210 and received by the interface unit 211 of the network connection device 210 (S114).

ネットワーク接続装置210のプロセス実行部219は、インタフェース部211が受信したソケット初期化要求情報に含まれるリンク情報とプロセスID(「通信端末220のプロセスID」に相当)をキーとしてプロセス対応情報(例えば、表8や表9)を検索し、検索キーに対応するエントリーの「ネットワーク接続装置210のプロセスID」を抽出する。プロセス実行部219は、抽出されたプロセスIDに対応するプロセスを実行し、インタフェース部211が受信したソケット初期化要求情報のソケット情報にソケット番号を割り当て、これをソケット情報に対応付けたソケット情報テーブル2023を生成し、このソケット情報テーブル2023を記憶部214に格納する。このソケット情報テーブル2023の一例を表10に示す。   The process execution unit 219 of the network connection device 210 uses the link information and process ID (corresponding to “process ID of the communication terminal 220”) included in the socket initialization request information received by the interface unit 211 as a key for process correspondence information (for example, Table 8 and Table 9) are searched, and the “process ID of the network connection device 210” of the entry corresponding to the search key is extracted. The process execution unit 219 executes a process corresponding to the extracted process ID, assigns a socket number to the socket information of the socket initialization request information received by the interface unit 211, and associates the socket number with the socket information table. 2023 is generated and the socket information table 2023 is stored in the storage unit 214. An example of the socket information table 2023 is shown in Table 10.

Figure 2007060610
また、プロセス実行部219は、実行されたプロセスに従い、インタフェース部211が受信したソケット初期化要求情報のソケット情報に基づき、ソケット初期化処理(外部ホスト30と通信するための準備)を実行する(S115)。そして、プロセス実行部219は、割り当てたソケット番号と、ソケット初期化処理の結果とを含むソケット初期化通知情報を生成し、これをインタフェース部211から通信端末220−1に送信する。通信端末220−1は、インタフェース部222−1で当該ソケット初期化通知情報を受信し、これに含まれるソケット番号を対応するプロセスに関連付けてプロセス対応情報2041に格納する。また、当該ソケット初期化通知情報に含まれるソケット初期化処理の結果をプロセス実行部224−1で実行されているプロセス2001に通知する。
Figure 2007060610
 Also, the process execution unit 219 executes socket initialization processing (preparation for communication with the external host 30) based on the socket information of the socket initialization request information received by the interface unit 211 in accordance with the executed process ( S115). Then, the process execution unit 219 generates socket initialization notification information including the assigned socket number and the result of the socket initialization process, and transmits this information from the interface unit 211 to the communication terminal 220-1. The communication terminal 220-1 receives the socket initialization notification information at the interface unit 222-1 and stores the socket number included therein in the process correspondence information 2041 in association with the corresponding process. Further, the result of the socket initialization process included in the socket initialization notification information is notified to the process 2001 being executed by the process execution unit 224-1.

図23は、本発明の第3の実施の形態に係るネットワーク接続装置210を経由した、通信端末220−1および外部ホスト30−1との間の情報の流れを示す図である。ここで、図23(A)は、通信端末220−1からネットワーク接続装置210を通じて外部ホスト30−1へ情報を送信する際の流れを示している。また、図23(B)は、外部ホスト30−1からネットワーク接続装置210を通じて通信端末220−1へ情報を送信する際の流れを示している。なお、図23では、通信端末220−1のプロセス2001及びネットワーク接続装置210のプロセス2101に係る処理を例にとって説明する。   FIG. 23 is a diagram illustrating a flow of information between the communication terminal 220-1 and the external host 30-1 via the network connection device 210 according to the third embodiment of the present invention. Here, FIG. 23A shows a flow when information is transmitted from the communication terminal 220-1 to the external host 30-1 through the network connection device 210. FIG. 23B shows a flow when information is transmitted from the external host 30-1 to the communication terminal 220-1 through the network connection device 210. In FIG. 23, processing related to the process 2001 of the communication terminal 220-1 and the process 2101 of the network connection device 210 will be described as an example.

<図23(A)に示す処理>
まず、通信端末220−1のプロセス実行部224−1が、実行されているプロセス2001に従い、外部ホスト30−1に送信されるデータとなるペイロードを生成する。また、プロセス実行部224−1は、生起されているプロセス2001のプロセスIDを取得する。そして、プロセス2001のソケットAPIにより通信処理が開始されると、プロセス実行部224−1は、ネットワークドライバ2034の処理に従い、プロセス2001のプロセスIDに対応するリンク情報2042を記憶部221−1から読み込む。そして、プロセス実行部224−1は、当該リンク情報2042が示すリンクに対応する通信経路に、以下の内部通信情報2051を送信する。 <Process shown in FIG. 23A>
First, the process execution unit 224-1 of the communication terminal 220-1 generates a payload serving as data to be transmitted to the external host 30-1 according to the process 2001 being executed. In addition, the process execution unit 224-1 acquires the process ID of the process 2001 that has occurred. When the communication process is started by the socket API of the process 2001, the process execution unit 224-1 reads the link information 2042 corresponding to the process ID of the process 2001 from the storage unit 221-1 according to the process of the network driver 2034. . Then, the process execution unit 224-1 transmits the following internal communication information 2051 to the communication path corresponding to the link indicated by the link information 2042.

[内部通信情報2051]
・リンク番号:通信端末220−1のIF番号等を含むリンクを指定する情報
・プロセスID(通信端末220−1のプロセスID)
・ソケット情報
・ペイロード(外部ホスト30に送信するデータ)
ネットワーク接続装置210は、通信端末220−1から送信された内部通信情報2051を、インタフェース部211で受信する。受信された内部通信情報2051はパケット生成部215に転送され、パケット生成部215は、転送された内部通信情報2051に含まれるリンク番号とプロセスID(通信端末220−1のプロセスID)とを用いて、リンク情報2021(表7等)及びプロセス対応情報2022(表8,9等)を検索し、「通信端末220−1のプロセスID」に対応する「ネットワーク接続装置210のプロセスID」を特定する。具体的には、例えば、パケット生成部215は、内部通信情報2051に含まれるリンク番号と、内部通信情報2051に含まれる通信端末220−1のプロセスIDとをキーとしてプロセス対応情報2022を検索し、対応するネットワーク接続装置210のプロセスIDを特定する。 [Internal communication information 2051]
Link number: information specifying a link including the IF number of the communication terminal 220-1, etc. Process ID (process ID of the communication terminal 220-1)
-Socket information-Payload (data to be sent to the external host 30)
The network connection device 210 receives the internal communication information 2051 transmitted from the communication terminal 220-1 by the interface unit 211. The received internal communication information 2051 is transferred to the packet generation unit 215. The packet generation unit 215 uses the link number and process ID (process ID of the communication terminal 220-1) included in the transferred internal communication information 2051. The link information 2021 (Table 7 and the like) and the process correspondence information 2022 (Tables 8 and 9 and the like) are searched to identify the “process ID of the network connection device 210” corresponding to the “process ID of the communication terminal 220-1”. To do. Specifically, for example, the packet generation unit 215 searches the process correspondence information 2022 using the link number included in the internal communication information 2051 and the process ID of the communication terminal 220-1 included in the internal communication information 2051 as keys. The process ID of the corresponding network connection device 210 is specified.

次に、パケット生成部215は、このように特定したプロセスIDが示すプロセス(プロセス実行部219で生起されているプロセス2101)が利用可能なように、内部通信情報2051に含まれるソケット情報とペイロード情報とをプロセス実行部219に送る。ソケット情報とペイロード情報とが送られたプロセス実行部219は、これらを用いてプロセス2101を実行し、ソケットAPIを用いて以下のような送信処理を実行させる。まず、ネットワークドライバ2016の制御のもと、パケット生成部215は、プロセス2101から受け取ったソケット情報とペイロード情報とにより、IPヘッダとTCP/UDPヘッダとを生成し、これらを内部通信情報2051に含まれるペイロード情報に付加したIPパケット2052を生成して、これをネットワークインタフェース部217から外部ホスト30−1へ送信する。なお、IPヘッダは、ソケット情報に含まれる宛先IPアドレス、送信元IPアドレス、プロトコル種別等によって構成される。また、TCPヘッダは、ソケット情報に含まれる宛先ポート番号、送信元ポート番号等によって構成される。また、この送信結果(ステータス)は、通信端末220−1に返される。外部ホスト30−1は、ネットワーク接続装置210から送信されたIPパケット2052を受信し、受信したIPパケット2052を処理する。   Next, the packet generation unit 215 uses the socket information and payload included in the internal communication information 2051 so that the process indicated by the process ID identified in this way (the process 2101 generated by the process execution unit 219) can be used. Information is sent to the process execution unit 219. The process execution unit 219 to which the socket information and the payload information are sent executes the process 2101 using these, and causes the following transmission processing to be executed using the socket API. First, under the control of the network driver 2016, the packet generation unit 215 generates an IP header and a TCP / UDP header based on the socket information and payload information received from the process 2101 and includes them in the internal communication information 2051. The IP packet 2052 added to the payload information is generated and transmitted from the network interface unit 217 to the external host 30-1. The IP header is composed of a destination IP address, a source IP address, a protocol type, etc. included in the socket information. The TCP header is composed of a destination port number, a source port number, etc. included in the socket information. The transmission result (status) is returned to the communication terminal 220-1. The external host 30-1 receives the IP packet 2052 transmitted from the network connection device 210, and processes the received IP packet 2052.

<図23(B)に示す処理>
外部ホスト30−1から通信を開始する場合、外部ホスト30−1がペイロードを生成する。また、上記の例の外部ホスト30−1が受信したIPパケット2052に対して応答する場合も、外部ホスト30−1がIPパケット2052に対する応答内容などを含むペイロードを生成する。そして、外部ホスト30−1は、生成したペイロードと、IPヘッダと、TCPヘッダとを含むIPパケット2053を生成する。なお、IPパケット2053のIPヘッダは、IPパケット2052のIPヘッダが有する送信元IPアドレスを宛先IPアドレスとし、IPパケット2052のIPヘッダが有する宛先IPアドレスを送信元IPアドレスとし、さらにプロトコル種別等の情報を追加して生成されるものである。また、IPパケット2053がIPパケット2052の返信である場合には、IPパケット2053のTCPヘッダは、IPパケット2052のTCPヘッダが有する送信元ポート番号を宛先ポート番号とし、IPパケット2052のTCPヘッダが有する宛先ポート番号を送信元ポート番号として生成されるものである。 <Process shown in FIG. 23B>
When communication is started from the external host 30-1, the external host 30-1 generates a payload. Also, when the external host 30-1 in the above example responds to the received IP packet 2052, the external host 30-1 generates a payload including response contents for the IP packet 2052. Then, the external host 30-1 generates an IP packet 2053 including the generated payload, IP header, and TCP header. Note that the IP header of the IP packet 2053 has the source IP address included in the IP header of the IP packet 2052 as the destination IP address, the destination IP address included in the IP header of the IP packet 2052 as the source IP address, and the protocol type, etc. It is generated by adding the information. When the IP packet 2053 is a reply of the IP packet 2052, the TCP header of the IP packet 2053 uses the source port number of the TCP header of the IP packet 2052 as the destination port number, and the TCP header of the IP packet 2052 The destination port number is generated as the source port number.

外部ホスト30−1は、図23(A)に示す処理と同じソケットを用い、IPパケット2053をネットワーク接続装置210に送信する。ネットワーク接続装置210は、このソケットを用いて送信されたIPパケット2053を、ネットワークインタフェース部217で受信し、これを内部通信情報生成部216に転送する。
また、制御部218は、IPパケット2053の通信に用いたソケットに対応するプロセス2101のプロセスIDを表10に例示したようなソケット情報テーブル2023を用いて検索し、得られたプロセスID(2101)をプロセス実行部219に送り、プロセス実行部219は、送られたプロセスIDに対応するプロセス2101を実行する。このプロセス2101は、自身のプロセスIDを検索キーとしてプロセス対応情報2022(例えば、表9)を検索し、そのプロセスIDに対応付けられている通信端末220のプロセスIDとリンク番号とを得る。さらに、このプロセス2101は、取得したリンク番号を検索キーとしてリンク情報2021(例えば、表7)を検索し、そのリンク番号に対応付けられているリンク情報(リンク番号、通信端末220のインタフェース番号、ネットワーク接続装置210のインタフェース番号等)を得る。このように得られたリンク情報及びプロセスIDは、内部通信情報生成部216に転送される。
内部通信情報生成部216は、上述のように転送された情報と記憶部214の情報とを用い、以下のような内部通信情報2054を生成し、この内部通信情報2054を、インタフェース部211から、リンク情報に示される通信経路を通じ、通信端末220−1に送信する。 The external host 30-1 transmits the IP packet 2053 to the network connection apparatus 210 using the same socket as the process shown in FIG. The network connection device 210 receives the IP packet 2053 transmitted using this socket by the network interface unit 217 and transfers it to the internal communication information generation unit 216.
In addition, the control unit 218 searches for the process ID of the process 2101 corresponding to the socket used for communication of the IP packet 2053 using the socket information table 2023 illustrated in Table 10, and the obtained process ID (2101) To the process execution unit 219, and the process execution unit 219 executes the process 2101 corresponding to the transmitted process ID. The process 2101 searches the process correspondence information 2022 (for example, Table 9) using its process ID as a search key, and obtains the process ID and link number of the communication terminal 220 associated with the process ID. Further, the process 2101 searches the link information 2021 (for example, Table 7) using the acquired link number as a search key, and link information (link number, interface number of the communication terminal 220, link number) associated with the link number. The interface number of the network connection device 210 is obtained. The link information and the process ID obtained in this way are transferred to the internal communication information generation unit 216.
The internal communication information generation unit 216 generates the following internal communication information 2054 using the information transferred as described above and the information in the storage unit 214, and the internal communication information 2054 from the interface unit 211. The data is transmitted to the communication terminal 220-1 through the communication path indicated by the link information.

[内部通信情報2054]
・リンク番号:通信端末220−1のIF番号等を含むリンクを指定する情報
・プロセスID(通信端末220−1のプロセスID)
・ソケット情報(ソケット初期化処理(S115)で記憶部214に格納したソケット情報テーブル2023から対応するものを抽出)
・ペイロード(外部ホスト30から受信したデータ)
通信端末220−1は、インタフェース部222−1において、この内部通信情報2054を受信する。そして、制御部225−1は、インタフェース部222−1で受信された内部通信情報2054のペイロード情報を、その内部通信情報2054のプロセスIDで指定されるプロセス2001を実行するプロセス実行部224−1に送る。これを受け取ったプロセス実行部224−1は、プロセス2001を実行することにより、内部通信情報2054のペイロード情報の受信処理を行う。なお、内部通信情報に含まれるソケット情報に代えて対応するソケット番号を用いてもよい。 [Internal communication information 2054]
Link number: information specifying a link including the IF number of the communication terminal 220-1, etc. Process ID (process ID of the communication terminal 220-1)
Socket information (corresponding information is extracted from the socket information table 2023 stored in the storage unit 214 in the socket initialization process (S115))
Payload (data received from external host 30)
The communication terminal 220-1 receives the internal communication information 2054 at the interface unit 222-1. Then, the control unit 225-1 executes the process 2001 designated by the process ID of the internal communication information 2054 by using the payload information of the internal communication information 2054 received by the interface unit 222-1. Send to. Receiving this, the process execution unit 224-1 executes the process 2001 to perform the payload information reception processing of the internal communication information 2054. A corresponding socket number may be used instead of the socket information included in the internal communication information.

以上のような構成としても、ネットワーク接続装置210と通信端末220の間で用いられるプライベートアドレスが不要となるため、NATに係るアドレスの変換が不要となる。その結果、従来のNAT超えの対策を適用する場合のような、IPヘッダ内のアドレスに加えて上位レイヤのメッセージを変換するといった処理が不要となる。また、種々のプロトコルに対応可能となるデータ転送を行うことができる。
また、通信端末220とネットワーク接続装置210との間で送受される内部通信情報2051,2054はIPを介在しないため、IPによるオーバヘッドが削減でき、データ転送量が低減する。 Even with the configuration as described above, a private address used between the network connection device 210 and the communication terminal 220 is not necessary, so that it is not necessary to convert an address related to NAT. As a result, a process for converting a message in an upper layer in addition to the address in the IP header as in the case of applying a countermeasure for exceeding the conventional NAT becomes unnecessary. In addition, it is possible to perform data transfer that can support various protocols.
Further, since the internal communication information 2051 and 2054 transmitted and received between the communication terminal 220 and the network connection device 210 do not intervene in IP, overhead due to IP can be reduced and the amount of data transfer is reduced.

さらに、ネットワーク接続装置210の記憶部214にリンク情報2021およびプロセス対応情報2022が生成された後は、外部ホスト30等のネットワーク上の通信機器は、通信を希望する通信端末220のネットワークレイヤーおよびトランスポートレイヤーのエンドポイントであるネットワーク接続装置210を直接指定してセッションを行ったり、開始したりすることができる。
また、本形態では、ネットワーク接続装置210がアドレス変換を行わないため、本システムにIPsecのプロトコルを適用することも容易である。 Further, after the link information 2021 and the process correspondence information 2022 are generated in the storage unit 214 of the network connection device 210, the communication device on the network such as the external host 30 allows the network layer and transformer of the communication terminal 220 that desires communication. A session can be started or started by directly specifying the network connection device 210 that is an end point of the port layer.
In this embodiment, since the network connection device 210 does not perform address conversion, it is easy to apply the IPsec protocol to this system.

なお、本発明の第3の実施の形態に係るネットワーク接続システム200において、通信端末220に、ソフトウエア2030に替えて、図24に示すようなソフトウエア2060をインストールすることとしてもよい。図24に例示するように、ソフトウエア2060は、2つの仮想マシン(OS)2062A,2062B、各仮想マシン2062A,2062B上で起動するアプリケーションソフトウエア2061A,2061B及びネットワークドライバ2063A,2063Bを有している。
図25は、このようなソフトウエア2060をコンピュータにインストールした通信端末320を用いたネットワーク接続システム300を例示した図である。この場合、通信端末320では、OS2062Aおよび2062Bの2つの仮想マシン320−1,320−2が起動し、それぞれの上でOSが動作することになる。なお、各仮想マシン320−1,320−2の構成及びその処理内容は、前述の通信端末220−1,220−2と同様であり、例えば、ユーザA、ユーザBがそれぞれ各仮想マシン320−1,320−2を利用する。またユーザA、ユーザBが同時に異なる仮想マシン320−1,320−2を利用してもよい。また、ネットワーク接続装置210によってユーザ毎に1つずつアドレスが割り当てられる形態をとることもできる。 In the network connection system 200 according to the third embodiment of the present invention, software 2060 as shown in FIG. 24 may be installed in the communication terminal 220 instead of the software 2030. As illustrated in FIG. 24, the software 2060 includes two virtual machines (OS) 2062A and 2062B, application software 2061A and 2061B, and network drivers 2063A and 2063B that start on the virtual machines 2062A and 2062B. Yes.
FIG. 25 is a diagram illustrating a network connection system 300 using a communication terminal 320 in which such software 2060 is installed in a computer. In this case, in the communication terminal 320, the two virtual machines 320-1 and 320-2 of the OSs 2062A and 2062B are activated, and the OS operates on each of them. Note that the configurations and processing contents of the virtual machines 320-1 and 320-2 are the same as those of the communication terminals 220-1 and 220-2 described above. For example, the user A and the user B are respectively connected to the virtual machines 320- 1,320-2 is used. Further, the virtual machines 320-1 and 320-2 may be used simultaneously by the user A and the user B. In addition, the network connection device 210 may take a form in which one address is assigned to each user.

(本発明の第4の実施の形態)
〔全体構成〕
本発明の第4の実施の形態に係るネットワーク接続システム400のシステム構成図を図26に示す。図26に示したネットワーク接続システム400は、ISP(Internet Service Provider)等が有する認証サーバ460と、ネットワーク40に接続されたネットワーク接続装置410と、ネットワーク接続装置410と通信可能に接続された通信端末420を備えた構成であり、さらにネットワーク40には、外部ホスト30が接続されている。 (Fourth embodiment of the present invention)
〔overall structure〕
FIG. 26 shows a system configuration diagram of a network connection system 400 according to the fourth embodiment of the present invention. A network connection system 400 shown in FIG. 26 includes an authentication server 460 included in an ISP (Internet Service Provider), a network connection device 410 connected to the network 40, and a communication terminal connected to be able to communicate with the network connection device 410. The external host 30 is connected to the network 40.

なお、本発明の第4の実施の形態に係るネットワーク接続システム400を構成する構成要素のうち、本発明の第3の実施の形態に係るネットワーク接続システム200を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。また、図示した通信端末420の各々を区別する場合には、通信端末420をそれぞれ通信端末420−1、通信端末420−2と記載する。
例えば、通信端末420およびネットワーク接続装置410は、企業内または家庭内に設置される。ネットワーク接続装置410は、例えば、ISPから支給または貸し出しされたものでもよい。ネットワーク接続装置410および通信端末420は、本発明の第3の実施の形態で説明したネットワーク接続装置210と通信端末220と基本的に同様の構成である。差異については以降に説明する。 Of the components constituting the network connection system 400 according to the fourth embodiment of the present invention, the same components as those constituting the network connection system 200 according to the third embodiment of the present invention. Are denoted by the same reference numerals, and description thereof is omitted. Moreover, when distinguishing each of the illustrated communication terminals 420, the communication terminals 420 are referred to as a communication terminal 420-1 and a communication terminal 420-2, respectively.
For example, the communication terminal 420 and the network connection device 410 are installed in a company or a home. The network connection device 410 may be supplied or rented from an ISP, for example. The network connection device 410 and the communication terminal 420 have basically the same configuration as the network connection device 210 and the communication terminal 220 described in the third embodiment of the present invention. The difference will be described later.

本発明の第4の実施の形態に係るネットワーク接続システム400では、通信端末420が、通信端末420を認証するための端末認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410が、通信端末420から送信された端末認証情報に基づいて通信端末420の認証を行い、通信端末420の認証が成功した場合、通信端末420とネットワーク40上の機器との間における送受信を許可するようになっている。
また、通信端末420が、複数のOSがそれぞれ動作する複数の仮想マシンから構成される場合、本形態の処理の代わりに、通信端末420が、各仮想マシンで生成された各仮想マシンを認証するための仮想マシン認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410が、通信端末420上の仮想マシンから送信された仮想マシン認証情報に基づいて仮想マシンの認証を行い、その認証が成功した仮想マシンとネットワーク40上の機器との間における送受信を許可する構成をとることもできる。 In the network connection system 400 according to the fourth embodiment of the present invention, the communication terminal 420 transmits terminal authentication information for authenticating the communication terminal 420 to the network connection device 410, and the network connection device 410 is the communication terminal. Authentication of the communication terminal 420 is performed based on the terminal authentication information transmitted from 420, and when the authentication of the communication terminal 420 is successful, transmission / reception between the communication terminal 420 and a device on the network 40 is permitted. Yes.
In addition, when the communication terminal 420 includes a plurality of virtual machines each running a plurality of OSs, the communication terminal 420 authenticates each virtual machine generated by each virtual machine instead of the processing of this embodiment. Virtual machine authentication information is transmitted to the network connection device 410, and the network connection device 410 authenticates the virtual machine based on the virtual machine authentication information transmitted from the virtual machine on the communication terminal 420, and the authentication is successful. The transmission / reception between the virtual machine and the device on the network 40 can be permitted.

さらに、通信端末420が、通信端末420を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410は、通信端末420から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、通信端末420とネットワーク40上の機器との間における通信のうち、このユーザに対応するプロセス識別子を含む内部通信情報に対応するものの送受信を許可する構成とすることもできる。
〔ネットワーク接続装置410の構成〕
次に、本発明の第4の実施の形態に係るネットワーク接続装置410の構成を説明する。なお、以下では、ネットワーク接続装置410の構成要素のうち、本発明の第3の実施の形態に係るネットワーク接続装置210の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。 Further, the communication terminal 420 transmits user authentication information for authenticating a user who uses the communication terminal 420 to the network connection device 410, and the network connection device 410 is based on the user authentication information transmitted from the communication terminal 420. If the user is authenticated and the user is successfully authenticated, the communication between the communication terminal 420 and the device on the network 40 is permitted to be transmitted / received corresponding to the internal communication information including the process identifier corresponding to the user. It can also be set as the structure to do.
[Configuration of Network Connection Device 410]
Next, the configuration of the network connection apparatus 410 according to the fourth embodiment of the present invention will be described. In the following description, among the components of the network connection device 410, the same components as those of the network connection device 210 according to the third embodiment of the present invention are denoted by the same reference numerals, and description thereof is provided. Is omitted.

<ハードウエア構成>
第3の実施の形態のネットワーク接続装置210と同様である。
<ソフトウエア構成>
図27は、ネットワーク接続装置410にインストールされているソフトウエア2070の構成を例示した図である。この図に例示するように、本形態の第3の実施の形態との相違点は、さらに端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいて認証を行うための認証ソフトウエア2071がネットワーク接続装置410にインストールされている点である。その他は第3の実施の形態と同様である。 <Hardware configuration>
This is the same as the network connection device 210 of the third embodiment.
<Software configuration>
FIG. 27 is a diagram illustrating a configuration of the software 2070 installed in the network connection device 410. As illustrated in this figure, the difference between the third embodiment and the third embodiment is that authentication software 2071 for performing authentication based on terminal authentication information, virtual machine authentication information, or user authentication information is further provided. This is that it is installed in the network connection device 410. Others are the same as in the third embodiment.

<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置410は、第3の実施の形態と同様なハードウエアにソフトウエア2070がインストールされ、このソフトウエア2070がCPUで実行されることにより構成される。図28は、このように構成されたネットワーク接続装置410の構成を例示したブロック図である。この図に示すように、本形態のネットワーク接続装置410は、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部411が付加される点で、第3の実施の形態のネットワーク接続装置210と相違する。その他はネットワーク接続装置210と同様である。すなわち、ネットワーク接続装置410は、インタフェース部211、リンク確立部212、プロセス対応情報作成部213、記憶部214、パケット生成部215、内部通信情報生成部216、ネットワークインタフェース部217、制御部218、プロセス実行部219、および、端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいて認証を行う認証部411を有する。
〔通信端末420の構成〕
次に、本発明の第4の実施の形態に係る通信端末420の構成を説明する。なお、以下では、通信端末420の構成要素のうち、本発明の第3の実施の形態に係る通信端末220の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。 <Cooperation between hardware and software>
The network connection device 410 of this embodiment is configured by installing software 2070 on the same hardware as that of the third embodiment and executing this software 2070 by the CPU. FIG. 28 is a block diagram illustrating the configuration of the network connection device 410 configured as described above. As shown in this figure, the network connection apparatus 410 according to the present embodiment has a network connection apparatus 210 according to the third embodiment in that an authentication unit 411 that performs authentication based on terminal authentication information or user authentication information is added. Is different. Others are the same as those of the network connection device 210. That is, the network connection device 410 includes an interface unit 211, a link establishment unit 212, a process correspondence information creation unit 213, a storage unit 214, a packet generation unit 215, an internal communication information generation unit 216, a network interface unit 217, a control unit 218, and a process. It has the execution part 219 and the authentication part 411 which authenticates based on terminal authentication information, virtual machine authentication information, or user authentication information.
[Configuration of Communication Terminal 420]
Next, the configuration of the communication terminal 420 according to the fourth embodiment of the present invention will be described. In the following, among the components of the communication terminal 420, the same components as those of the communication terminal 220 according to the third embodiment of the present invention are denoted by the same reference numerals, and description thereof is omitted. To do.

<ハードウエア構成>
第1の実施の形態の通信端末220と同様である。
<ソフトウエア構成>
図29は、通信端末420にインストールされているソフトウエア2090の構成を例示した図である。この図に例示するように、本形態の第3の実施の形態との相違点は、さらに端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置410に対して行うための認証要求ソフトウエア2091が通信端末420にインストールされている点である。その他は第3の実施の形態と同様である。 <Hardware configuration>
This is the same as the communication terminal 220 of the first embodiment.
<Software configuration>
FIG. 29 is a diagram illustrating a configuration of software 2090 installed in the communication terminal 420. As illustrated in this figure, the difference of this embodiment from the third embodiment is that an authentication request based on terminal authentication information, virtual machine authentication information, or user authentication information is further sent to the network connection apparatus 410. Authentication request software 2091 is installed in the communication terminal 420. Others are the same as in the third embodiment.

<ハードウエアとソフトウエアの協働>
本形態の通信端末420は、第3の実施の形態と同様なハードウエアにソフトウエア2090がインストールされ、このソフトウエア2090がCPUで実行されることにより構成される。図30は、このように構成された通信端末420−1の構成を例示したブロック図である。この図に示すように、本形態の通信端末420−1は、端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置410に対して行う認証要求部421−1が付加される点で第3の実施の形態の通信端末220−1と相違する。その他は通信端末220−1と同様である。なお、ここでは、通信端末420−1の構成のみを例示するが、通信端末420−2の構成も同様である。 <Cooperation between hardware and software>
The communication terminal 420 of this embodiment is configured by installing software 2090 on hardware similar to that of the third embodiment, and executing this software 2090 by a CPU. FIG. 30 is a block diagram illustrating the configuration of the communication terminal 420-1 configured as described above. As shown in this figure, the communication terminal 420-1 according to this embodiment includes an authentication request unit 421-which makes an authentication request to the network connection apparatus 410 based on terminal authentication information, virtual machine authentication information, or user authentication information. 1 is different from the communication terminal 220-1 of the third embodiment in that 1 is added. Others are the same as that of the communication terminal 220-1. Here, only the configuration of communication terminal 420-1 is illustrated here, but the configuration of communication terminal 420-2 is also the same.

〔動作〕
以上のように構成された本発明の第4の実施の形態に係るネットワーク接続システム400の動作について、図面を参照して説明する。図31および図32は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作を示すシーケンス図である。
なお、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうち、本発明の第3の実施の形態に係るネットワーク接続システム200の動作と同一の動作には同一の符号を付し、それぞれの説明を省略する。また以下では、通信端末420−1がネットワーク40に接続された外部ホスト30等の通信機器と通信する場合を例にとって説明する。 [Operation]
The operation of the network connection system 400 according to the fourth embodiment of the present invention configured as described above will be described with reference to the drawings. 31 and 32 are sequence diagrams showing operations of the network connection system 400 according to the fourth embodiment of the present invention.
Of the operations of the network connection system 400 according to the fourth embodiment of the present invention, the same operations as those of the network connection system 200 according to the third embodiment of the present invention are denoted by the same reference numerals. Each description is omitted. Hereinafter, a case where the communication terminal 420-1 communicates with a communication device such as the external host 30 connected to the network 40 will be described as an example.

図31は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうち、端末認証の動作を示すシーケンス図である。
まず、通信端末420−1のリンク確立情報生成部が第3の実施の形態のS101と同じリンク確立要求情報を生成する。加えて、認証要求部421−1が、端末認証の要求を行うための端末認証情報を、記憶部221−1から読み込んだ端末鍵情報2101に基づき生成する。そして、通信端末420−1のインタフェース部222−1から、これらのリンク確立要求情報及び端末認証情報をネットワーク接続装置410に送信する(S211)。 FIG. 31 is a sequence diagram showing a terminal authentication operation among the operations of the network connection system 400 according to the fourth embodiment of the present invention.
First, the link establishment information generation unit of the communication terminal 420-1 generates the same link establishment request information as that of S101 of the third embodiment. In addition, the authentication request unit 421-1 generates terminal authentication information for requesting terminal authentication based on the terminal key information 2101 read from the storage unit 221-1. Then, the link establishment request information and the terminal authentication information are transmitted from the interface unit 222-1 of the communication terminal 420-1 to the network connection device 410 (S211).

なお、端末認証情報は、端末鍵情報2101であるところの通信端末のIDおよびパスワード、または、公開鍵証明書と端末鍵情報2101を用いて計算された署名など通信端末420を認証できる情報であれば如何なるものでもよい。端末鍵情報2101は、予めメモリ等の記憶部221−1に記憶しているものが使用されてもよく、また、端末認証の要求を行う際に、ユーザから入力され記憶部221−1に格納されたものが使用されてもよい。
次に、ネットワーク接続装置410は、インタフェース部211で、通信端末420によって送信されたリンク確立要求情報及び端末認証情報を受信し、リンク確立要求情報をリンク確立部212に、端末認証情報を認証部411に、それぞれ転送する。この認証部411は、端末認証情報に基づいて認証を行う(S212)。 The terminal authentication information may be information that can authenticate the communication terminal 420 such as the ID and password of the communication terminal as the terminal key information 2101 or a signature calculated using the public key certificate and the terminal key information 2101. Anything can be used. The terminal key information 2101 may be preliminarily stored in the storage unit 221-1 such as a memory, and is input from the user and stored in the storage unit 221-1 when requesting terminal authentication. What is done may be used.
Next, the network connection device 410 receives the link establishment request information and the terminal authentication information transmitted by the communication terminal 420 at the interface unit 211, and sends the link establishment request information to the link establishment unit 212 and the terminal authentication information to the authentication unit. 411, respectively. The authentication unit 411 performs authentication based on the terminal authentication information (S212).

なお、この例の認証部411は、端末認証情報を認証サーバ460に送信することにより、認証サーバ460に対して認証を要求して認証結果を得る。また、認証部411は、NV−RAM等の記憶部214に格納している認証に関わる情報(図示せず)と照合して認証結果を決定してもよい。
次に、リンク確立部212は、第3の実施の形態と同様なリンク情報2021(例えば、表7)に、認証結果に応じた認証状態を加えて、表11に例示するようなリンク情報2021を作成し、記憶部214に格納する。すなわち、認証部411は、認証結果が成功であった場合、表11のリンク情報2021における認証有無を「有」とし、認証結果が失敗であった場合、表11にリンク情報2021の登録を行わない。従って、当該通信端末420とネットワーク40上の機器との間の送受信は、許可されない。なお、認証が行われなかった場合は、認証有無は「無」になる。 Note that the authentication unit 411 in this example requests authentication from the authentication server 460 to obtain an authentication result by transmitting terminal authentication information to the authentication server 460. The authentication unit 411 may determine the authentication result by collating with information (not shown) related to authentication stored in the storage unit 214 such as NV-RAM.
Next, the link establishing unit 212 adds the authentication state corresponding to the authentication result to the link information 2021 (for example, Table 7) similar to that of the third embodiment, and link information 2021 as exemplified in Table 11 Is stored in the storage unit 214. That is, if the authentication result is successful, the authentication unit 411 sets the presence / absence of authentication in the link information 2021 of Table 11 to “Yes”, and if the authentication result is unsuccessful, registers the link information 2021 in Table 11. Absent. Therefore, transmission / reception between the communication terminal 420 and a device on the network 40 is not permitted. If authentication is not performed, the presence / absence of authentication is “none”.

Figure 2007060610
なお、端末認証情報に含まれる通信端末IDを表11に登録してもよい。また認証の有無によって通信できる外部ホストを制限してもよい。また、端末認証ではなく、仮想マシン認証を行う場合には、端末認証情報の代わりに、仮想マシンごとに生成された仮想マシン認証情報を用い、仮想マシン単位で上記と同様な認証処理を行えばよい。
図32は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうちユーザ認証の動作を示すシーケンス図である。
Figure 2007060610
 The communication terminal ID included in the terminal authentication information may be registered in Table 11. Further, external hosts that can communicate may be limited depending on the presence or absence of authentication. In addition, when performing virtual machine authentication instead of terminal authentication, virtual machine authentication information generated for each virtual machine is used instead of terminal authentication information, and authentication processing similar to the above is performed for each virtual machine. Good.
FIG. 32 is a sequence diagram showing a user authentication operation among the operations of the network connection system 400 according to the fourth embodiment of the present invention.

まず、通信端末420−1のプロセス実行部224−1が第3の実施のS111と同様にプロセスを生起する。加えて、認証要求部421−1が、ユーザ認証の要求を行うためのユーザ認証情報を記憶部221−1から読み込んだユーザ鍵情報2102に基づき生成する。そして、通信端末420−1のインタフェース部222−1から、リンク確立要求情報及びユーザ鍵情報2102に基づき生成したユーザ認証情報をネットワーク接続装置410に送信する(S221)。
なお、ユーザ認証情報は、ユーザ鍵情報2102であるところの通信端末のIDおよびパスワード、または、公開鍵証明書とユーザ鍵情報2102を用いて計算された署名などユーザを認証できる情報であれば如何なるものでもよい。ユーザ鍵情報2102は、予め記憶部221−1に記憶しているものが使用されてもよく、また、ユーザ認証の要求を行う際に、ユーザから入力され、記憶部221−1に格納されたものが使用されてもよい。 First, the process execution part 224-1 of the communication terminal 420-1 generates a process similarly to S111 of 3rd implementation. In addition, the authentication request unit 421-1 generates user authentication information for requesting user authentication based on the user key information 2102 read from the storage unit 221-1. Then, the user authentication information generated based on the link establishment request information and the user key information 2102 is transmitted from the interface unit 222-1 of the communication terminal 420-1 to the network connection device 410 (S221).
The user authentication information may be any information that can authenticate the user, such as the ID and password of the communication terminal that is the user key information 2102 or a signature calculated using the public key certificate and the user key information 2102. It may be a thing. The user key information 2102 may be stored in the storage unit 221-1 in advance, and is input from the user and stored in the storage unit 221-1 when requesting user authentication. Things may be used.

次に、ネットワーク接続装置410は、インタフェース部211で、通信端末420−1によって送信されたプロセス情報及びユーザ認証情報を受信し、プロセス情報をプロセス対応情報作成部213に、ユーザ認証情報を認証部411に転送する。認証部411は、このユーザ認証情報に基づいて認証を行う(S222)。
この例の認証部411は、ユーザ認証情報を認証サーバ460に送信することにより、認証サーバ460に対してユーザの認証を要求し、認証結果を得る。また、認証部411は、記憶部214に格納している認証に関わる情報と照合して認証結果を決定してもよい。 Next, in the network connection device 410, the interface unit 211 receives the process information and user authentication information transmitted by the communication terminal 420-1, receives the process information in the process correspondence information creation unit 213, and the user authentication information in the authentication unit. 411. The authentication unit 411 performs authentication based on the user authentication information (S222).
The authentication unit 411 in this example requests user authentication from the authentication server 460 by transmitting user authentication information to the authentication server 460, and obtains an authentication result. Further, the authentication unit 411 may determine an authentication result by collating with information related to authentication stored in the storage unit 214.

認証部411は、認証結果に応じて、第3の実施の形態と同様にプロセス対応情報作成部213が作成したプロセス対応情報(例えば、表9)に認証有無を加えて、表12に示すプロセス対応情報2022を作成する。すなわち、認証部411は、認証結果が成功であった場合、表12のプロセス対応情報における認証有無を「有」とし、認証結果が失敗であった場合、表12のプロセス対応情報の登録を行わない。従って、通信端末420との内部通信情報の送受信は、許可されない。   The authentication unit 411 adds the presence / absence of authentication to the process correspondence information (for example, Table 9) created by the process correspondence information creation unit 213 according to the authentication result, and processes shown in Table 12 as in the third embodiment. Correspondence information 2022 is created. That is, if the authentication result is successful, the authentication unit 411 sets the presence / absence of authentication in the process correspondence information in Table 12 to “Yes”, and if the authentication result is failure, registers the process correspondence information in Table 12 Absent. Therefore, transmission / reception of internal communication information with the communication terminal 420 is not permitted.

Figure 2007060610
以上説明したように、本発明の第4の実施の形態に係るネットワーク接続システム400は、通信端末420の認証が成功した場合、通信端末420とネットワーク40上の機器との間の情報の送受信を許可するため、セキュリティを高めた通信を行うことができる。また、仮想マシンごとの認証を行う構成の場合、仮想マシン単位でセキュリティを高めた通信を行うことができる。また、ユーザの認証を行う場合、このユーザに対応するプロセス識別子を含む内部通信情報から生成したパケットの送信、および、パケットからこの内部通信情報への変換と通信端末420への送信を許可するため、セキュリティを高めた通信を行うことができる。
Figure 2007060610
 As described above, the network connection system 400 according to the fourth embodiment of the present invention transmits / receives information between the communication terminal 420 and devices on the network 40 when the authentication of the communication terminal 420 is successful. Since permission is granted, communication with increased security can be performed. In the case of a configuration in which authentication is performed for each virtual machine, communication with increased security can be performed in units of virtual machines. In addition, when authenticating a user, to permit transmission of a packet generated from internal communication information including a process identifier corresponding to the user, and conversion from the packet to the internal communication information and transmission to the communication terminal 420 , Communication with increased security can be performed.

以上、本発明の第4の実施の形態に係る端末認証およびユーザ認証について説明したが、端末認証、仮想マシン認証およびユーザ認証は、併用して実施してもよく、また、端末認証、仮想マシン認証およびユーザ認証の何れかのみ実施するようにしてもよい。例えば、端末や仮想マシンが一人のユーザに占有されて使用される場合は、ネットワーク接続装置に、端末や仮想マシンとユーザの対応付け(表13)を記憶しておき、端末認証や仮想マシン認証によりユーザを認証してもよい。   As described above, the terminal authentication and the user authentication according to the fourth embodiment of the present invention have been described. However, the terminal authentication, the virtual machine authentication, and the user authentication may be performed in combination. Only one of authentication and user authentication may be performed. For example, when a terminal or virtual machine is occupied and used by a single user, a terminal connection or virtual machine authentication is stored in the network connection device by storing the correspondence between the terminal or virtual machine and the user (Table 13). The user may be authenticated by

Figure 2007060610
また、ネットワーク接続装置410を企業内および家庭内に設置する場合、ネットワーク接続装置410が、ネットワーク接続装置410を認証するための認証情報を認証サーバ460に送信して認証を要求し、認証サーバ460は、その返信された認証結果を用いてネットワーク接続装置410を利用させるか否かを判断してもよい。
なお、本発明は、上述の各実施の形態に限定されるものではなく、その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。例えば、本明細書記載の実施の形態においては、ソケットAPIを境にして、より上位のアプリケーションに関わる処理を通信端末で、またより下位のネットワーク処理をネットワーク接続装置で行うよう役割分担するようになっているが、この役割分担をソケットAPIより上位のAPIを境に決めてもよい。たとえば、SSL(Secure Socket Layer),TLS(Transport Layer Security)等に関わるセキュルティ処理をネットワーク接続装置側で実行するよう通信端末とネットワーク接続装置間のインタフェースを定めてもよい。
Figure 2007060610
 When the network connection device 410 is installed in a company or home, the network connection device 410 transmits authentication information for authenticating the network connection device 410 to the authentication server 460 to request authentication, and the authentication server 460 May determine whether to use the network connection device 410 using the returned authentication result.
It should be noted that the present invention is not limited to the above-described embodiments, and other modifications can be made as appropriate without departing from the spirit of the present invention. For example, in the embodiment described in this specification, the role is divided so that processing related to higher-level applications is performed by the communication terminal and lower-level network processing is performed by the network connection device with the socket API as a boundary. However, this division of roles may be determined using an API higher than the socket API. For example, the interface between the communication terminal and the network connection device may be determined so that security processing related to SSL (Secure Socket Layer), TLS (Transport Layer Security), etc. is executed on the network connection device side.

また、本明細書記載の実施の形態においては、リンクレイヤープロトコルにより、通信端末とネットワーク接続装置を接続する構成について説明したが、代わりにPPTP、L2TP等のトンネリングプロトコルにより接続するようにしてもよい。また、通信端末は上述のトンネリングプロトコルによりネットワーク経由で外部から接続された端末でもよい。
さらに本明細書記載の実施の形態においては、IPパケットをネットワーク接続装置で生成する手順について述べたが、ネットワーク接続装置を送信元とするIPパケットを擬似的に通信端末で生成し、ネットワーク接続装置に送信するようにしてもよい。 In the embodiment described in this specification, the configuration in which the communication terminal and the network connection device are connected by the link layer protocol has been described. However, the connection may be made by a tunneling protocol such as PPTP or L2TP instead. . The communication terminal may be a terminal connected from the outside via a network by the above-described tunneling protocol.
Furthermore, in the embodiments described in the present specification, the procedure for generating an IP packet by a network connection device has been described. However, an IP packet having a network connection device as a transmission source is artificially generated by a communication terminal, and the network connection device is generated. You may make it transmit to.

また、上述した処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。   Further, the program describing the processing contents described above can be recorded on a computer-readable recording medium. The computer-readable recording medium may be any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory. Specifically, for example, as a magnetic recording device, a hard disk device, a flexible disk, a magnetic tape or the like, and as an optical disk, a DVD (Digital Versatile Disc), a DVD-RAM (Random Access Memory), a CD-ROM (Compact Disc Read Only). Memory), CD-R (Recordable) / RW (ReWritable), etc., magneto-optical recording medium, MO (Magneto-Optical disc), etc., semiconductor memory, EEP-ROM (Electronically Erasable and Programmable-Read Only Memory), etc. Can be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
また、プログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。 The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
As another execution form of the program, the computer may read the program directly from the portable recording medium and execute processing according to the program, and each time the program is transferred to the computer from the server computer. In addition, the processing according to the received program may be executed sequentially. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウエア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

以上のように、本発明に係るネットワーク接続システムは、NATに係るアドレス変換が不要であり、種々のプロトコルに対応して通信できるという効果を有し、ネットワークに接続されたネットワーク接続装置を介して、ネットワーク接続装置に接続された通信端末とネットワーク上の機器との間で通信を行うネットワーク接続システム等として有用である。   As described above, the network connection system according to the present invention does not require address conversion according to NAT, and has the effect of being able to communicate according to various protocols, via a network connection device connected to the network. It is useful as a network connection system that performs communication between a communication terminal connected to a network connection device and a device on the network.

本発明の第1の実施の形態に係るネットワーク接続システムのシステム構成図。1 is a system configuration diagram of a network connection system according to a first embodiment of the present invention. 本発明の第1の実施の形態に係るネットワーク接続装置にインストールされるソフトウエアの構成。The structure of the software installed in the network connection apparatus which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態に係るネットワーク接続装置のブロック構成図。The block block diagram of the network connection apparatus which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態に係る通信端末にインストールされるソフトウエアの構成。The structure of the software installed in the communication terminal which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態に係る通信端末のブロック構成図。The block block diagram of the communication terminal which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。The sequence diagram which shows operation | movement of the network connection system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態に係るネットワーク接続装置を経由した、通信端末およびサーバとの間の情報の流れを示す図。The figure which shows the flow of the information between a communication terminal and a server via the network connection apparatus which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態の変形例に係るソフトウエア。The software which concerns on the modification of the 1st Embodiment of this invention. 本発明の第2の実施の形態に係るネットワーク接続システムのシステム構成図。The system block diagram of the network connection system which concerns on the 2nd Embodiment of this invention. 本発明の第2の実施の形態に係るネットワーク接続装置にインストールされるソフトウエアの構成。The structure of the software installed in the network connection apparatus which concerns on the 2nd Embodiment of this invention. 本発明の第2の実施の形態に係るネットワーク接続装置のブロック構成図。The block block diagram of the network connection apparatus which concerns on the 2nd Embodiment of this invention. 本発明の第2実施の形態に係る通信端末にインストールされるソフトウエアの構成。The structure of the software installed in the communication terminal which concerns on 2nd Embodiment of this invention. 本発明の第2の実施の形態に係る通信端末のブロック構成図。The block block diagram of the communication terminal which concerns on the 2nd Embodiment of this invention. 本発明の第2の実施の形態に係るネットワーク接続システムの動作のうち、端末認証の動作を示すシーケンス図。The sequence diagram which shows operation | movement of terminal authentication among operation | movement of the network connection system which concerns on the 2nd Embodiment of this invention. 本発明の第2の実施の形態に係るネットワーク接続システムの動作のうち、ユーザ認証の動作を示すシーケンス図。The sequence diagram which shows operation | movement of user authentication among operation | movement of the network connection system which concerns on the 2nd Embodiment of this invention. 本発明の第3の実施の形態に係るネットワーク接続システム200のシステム構成図。The system block diagram of the network connection system 200 which concerns on the 3rd Embodiment of this invention. ネットワーク接続装置にインストールされているソフトウエアの構成を例示した図。The figure which illustrated the composition of the software installed in the network connection device. ネットワーク接続装置の構成を例示したブロック図。The block diagram which illustrated the composition of the network connection device. 通信端末にインストールされているソフトウエアの構成を例示した図。The figure which illustrated the composition of the software installed in the communication terminal. 通信端末の構成を例示したブロック図。The block diagram which illustrated the composition of the communication terminal. 本発明の第3の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。The sequence diagram which shows operation | movement of the network connection system which concerns on the 3rd Embodiment of this invention. 本発明の第3の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。The sequence diagram which shows operation | movement of the network connection system which concerns on the 3rd Embodiment of this invention. 本発明の第3の実施の形態に係るネットワーク接続装置を経由した、通信端末および外部ホストとの間の情報の流れを示す図。The figure which shows the flow of the information between a communication terminal and an external host via the network connection apparatus which concerns on the 3rd Embodiment of this invention. 通信端末にインストールされるソフトウエアの変形例を示した図。The figure which showed the modification of the software installed in a communication terminal. 図24のソフトウエアをコンピュータにインストールした通信端末を用いたネットワーク接続システムを例示した図。The figure which illustrated the network connection system using the communication terminal which installed the software of FIG. 24 in the computer. 本発明の第4の実施の形態に係るネットワーク接続システムのシステム構成図。The system block diagram of the network connection system which concerns on the 4th Embodiment of this invention. ネットワーク接続装置にインストールされているソフトウエアの構成を例示した図。The figure which illustrated the composition of the software installed in the network connection device. ネットワーク接続装置の構成を例示したブロック図。The block diagram which illustrated the composition of the network connection device. 通信端末にインストールされているソフトウエアの構成を例示した図。The figure which illustrated the composition of the software installed in the communication terminal. 通信端末の構成を例示したブロック図。The block diagram which illustrated the composition of the communication terminal. 本発明の第4の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。The sequence diagram which shows operation | movement of the network connection system which concerns on the 4th Embodiment of this invention. 本発明の第4の実施の形態に係るネットワーク接続システムの動作を示すシーケンス図。The sequence diagram which shows operation | movement of the network connection system which concerns on the 4th Embodiment of this invention.

符号の説明Explanation of symbols

1 ネットワーク接続システム
10、110 ネットワーク接続装置
11,22−1 インタフェース部
11a〜11c,22a−1 インタフェース
12 リンク確立部
13 プロセス対応情報作成部
14、21−1 記憶部
15 パケット生成部
16 内部通信情報生成部
17 ネットワークインタフェース部
20、20−1、20−2、120、120−1、120−2 通信端末
23−1 リンク確立要求情報生成部
24−1 プロセス実行部
30、30−1、30−2 外部ホスト
40 ネットワーク
111 認証部
121−1 認証要求部
160 認証サーバ
1001、1002、1003 プロセス
1012 リンク確立ソフトウエア
1013 プロセス対応情報作成ソフトウエア
1017 内部通信情報生成ソフトウエア
1015,1033,1062A,1062B OS
1016,1034,1063 ネットワークドライバ
1021,1081 リンク情報
1022,1082 プロセス対応情報
1031,1061 アプリケーションソフトウエア
1032 リンク確立要求情報生成ソフトウエア
1041 通信端末ID
1091 認証要求ソフトウエア
1142 リンク番号
1051、1054 内部通信情報
1052、1053 パケット
1071 認証ソフトウエア
1101 端末認証情報
1102 ユーザ認証情報 DESCRIPTION OF SYMBOLS 1 Network connection system 10,110 Network connection apparatus 11,22-1 Interface part 11a-11c, 22a-1 Interface 12 Link establishment part 13 Process corresponding | compatible information preparation part 14, 21-1 Storage part 15 Packet generation part 16 Internal communication information Generation unit 17 Network interface unit 20, 20-1, 20-2, 120, 120-1, 120-2 Communication terminal 23-1 Link establishment request information generation unit 24-1 Process execution unit 30, 30-1, 30- 2 External host 40 Network 111 Authentication unit 121-1 Authentication request unit 160 Authentication server 1001, 1002, 1003 Process 1012 Link establishment software 1013 Process correspondence information creation software 1017 Internal communication information generation software 1015, 103 , 1062A, 1062B OS
1016, 1034, 1063 Network driver 1021, 1081 Link information 1022, 1082 Process correspondence information 1031, 1061 Application software 1032 Link establishment request information generation software 1041 Communication terminal ID
1091 Authentication request software 1142 Link number 1051, 1054 Internal communication information 1052, 1053 Packet 1071 Authentication software 1101 Terminal authentication information 1102 User authentication information

Claims (7)

ネットワークに接続されたネットワーク接続装置と、
前記ネットワーク接続装置と通信可能に接続された通信端末とを備え、
前記通信端末は、
前記ネットワーク上の機器と通信するプロセスに対応するプロセス識別子および前記ネットワーク上の機器を表す宛先アドレスを含む内部通信情報を、前記ネットワーク接続装置との間で送受信し、
前記ネットワーク接続装置は、
前記通信端末によって送信された内部通信情報を受信したとき、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報により特定される宛先アドレスを含むパケットを生成し、生成したパケットを前記ネットワーク上の機器に送信し、
前記ネットワーク上の機器からパケットを受信したとき、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報を生成し、生成した内部通信情報を前記通信端末に送信する、
ことを特徴とするネットワーク接続システム。 A network connection device connected to the network;
A communication terminal communicably connected to the network connection device;
The communication terminal is
Internal communication information including a process identifier corresponding to a process communicating with a device on the network and a destination address representing the device on the network is transmitted to and received from the network connection device;
The network connection device is:
When the internal communication information transmitted by the communication terminal is received, a packet including a source address corresponding to a process identifier included in the received internal communication information and a destination address specified by the internal communication information is generated and generated To the device on the network,
When receiving a packet from a device on the network, generating internal communication information including a process identifier corresponding to a destination address included in the received packet, and transmitting the generated internal communication information to the communication terminal;
A network connection system characterized by that. 前記通信端末は、
前記プロセス識別子を含む情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末によって送信された情報に含まれるプロセス識別子と所定のアドレスとを対応付けるプロセス対応情報を作成し、
生成した前記プロセス対応情報に従って、前記受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスを特定してパケットを生成し、前記受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を特定して内部通信情報を生成する、
ことを特徴とする請求項1に記載のネットワーク接続システム。 The communication terminal is
Sending information including the process identifier to the network connection device;
The network connection device is:
Creating process correspondence information that associates a process identifier and a predetermined address included in the information transmitted by the communication terminal;
According to the generated process correspondence information, a source address corresponding to the process identifier included in the received internal communication information is specified to generate a packet, and a process identifier corresponding to the destination address included in the received packet is specified To generate internal communication information,
The network connection system according to claim 1. 前記通信端末は、
前記通信端末を認証するための端末認証情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末から送信された端末認証情報に基づいて前記通信端末の認証を行い、前記通信端末の認証が成功した場合、前記通信端末と前記ネットワーク上の機器との間の情報の送受信を許可する、
ことを特徴とする請求項1または請求項2に記載のネットワーク接続システム。 The communication terminal is
Transmitting terminal authentication information for authenticating the communication terminal to the network connection device;
The network connection device is:
Authentication of the communication terminal is performed based on terminal authentication information transmitted from the communication terminal, and transmission / reception of information between the communication terminal and a device on the network is permitted when the communication terminal is successfully authenticated. ,
The network connection system according to claim 1, wherein the system is a network connection system. 前記通信端末は、
前記通信端末を利用するユーザを認証するためのユーザ認証情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末から送信されたユーザ認証情報に基づいて前記ユーザの認証を行い、前記ユーザの認証が成功した場合、当該ユーザに対応するプロセス識別子を含む前記内部通信情報の前記通信端末への送信と、内部通信情報に対応するパケットの前記ネットワーク上の機器への送信とを許可する、
ことを特徴とする請求項1から請求項3までの何れかに記載のネットワーク接続システム。 The communication terminal is
Transmitting user authentication information for authenticating a user using the communication terminal to the network connection device;
The network connection device is:
The user is authenticated based on user authentication information transmitted from the communication terminal, and when the user authentication is successful, transmission of the internal communication information including a process identifier corresponding to the user to the communication terminal; Permit transmission of packets corresponding to internal communication information to devices on the network;
The network connection system according to any one of claims 1 to 3, wherein the system is a network connection system. 通信端末およびネットワークに接続されたネットワーク接続装置であって、
前記ネットワーク上の機器と通信するプロセスに対応するプロセス識別子および前記ネットワーク上の機器を表す宛先アドレスを特定する内部通信情報を、前記通信端末から受信するインタフェース部と、
受信した内部通信情報により特定されるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報に含まれる宛先アドレスを含むパケットを生成するパケット生成部と、
パケットを前記ネットワーク上の機器との間で送受信するネットワークインタフェース部と、
前記通信部が前記ネットワーク上の機器からパケットを受信したとき、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報を生成する内部通信情報生成部とを有し、
前記インタフェース部は、
前記内部通信情報生成部が生成した内部通信情報を前記通信端末に送信する、
ことを特徴とするネットワーク接続装置。 A network connection device connected to a communication terminal and a network,
An interface unit that receives, from the communication terminal, internal communication information that identifies a process identifier corresponding to a process communicating with a device on the network and a destination address representing the device on the network;
A packet generator that generates a packet including a source address corresponding to the process identifier specified by the received internal communication information and a destination address included in the internal communication information;
A network interface unit that transmits and receives packets to and from devices on the network;
An internal communication information generation unit that generates internal communication information including a process identifier corresponding to a destination address included in the received packet when the communication unit receives a packet from a device on the network;
The interface unit is
Transmitting the internal communication information generated by the internal communication information generation unit to the communication terminal;
A network connection device. 請求項5に記載のネットワーク接続装置としてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the network connection device according to claim 5. 請求項6に記載のプログラムを格納したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium storing the program according to claim 6.
JP2005321880A 2005-07-29 2005-11-07 Network connection system, network connection device and program thereof Expired - Fee Related JP4612528B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005321880A JP4612528B2 (en) 2005-07-29 2005-11-07 Network connection system, network connection device and program thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2005221397 2005-07-29
JP2005321880A JP4612528B2 (en) 2005-07-29 2005-11-07 Network connection system, network connection device and program thereof

Publications (2)

Publication Number Publication Date
JP2007060610A true JP2007060610A (en) 2007-03-08
JP4612528B2 JP4612528B2 (en) 2011-01-12

Family

ID=37923631

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005321880A Expired - Fee Related JP4612528B2 (en) 2005-07-29 2005-11-07 Network connection system, network connection device and program thereof

Country Status (1)

Country Link
JP (1) JP4612528B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007215090A (en) * 2006-02-13 2007-08-23 Fujitsu Ltd Network system, terminal and gateway device
JP2009512377A (en) * 2005-10-21 2009-03-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Control of service quality in communication systems
WO2011037104A1 (en) * 2009-09-24 2011-03-31 日本電気株式会社 Identification system for inter-virtual-server communication and identification method for inter-virtual-server communication

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000349803A (en) * 1999-06-03 2000-12-15 Matsushita Graphic Communication Systems Inc Internet connection type soho gateway apparatus
JP2003060664A (en) * 2001-08-21 2003-02-28 Hitachi Ltd Gateway apparatus and information apparatus
JP2003101566A (en) * 2001-09-19 2003-04-04 Hitachi Software Eng Co Ltd Network equipment management method and system
JP2003333064A (en) * 2002-05-13 2003-11-21 Nec Access Technica Ltd PPPoE BUILT-IN ROUTER AND ITS GLOBAL IP ADDRESS ASSIGNING METHOD
JP2004040348A (en) * 2002-07-02 2004-02-05 Yamaha Corp Packet control apparatus

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000349803A (en) * 1999-06-03 2000-12-15 Matsushita Graphic Communication Systems Inc Internet connection type soho gateway apparatus
JP2003060664A (en) * 2001-08-21 2003-02-28 Hitachi Ltd Gateway apparatus and information apparatus
JP2003101566A (en) * 2001-09-19 2003-04-04 Hitachi Software Eng Co Ltd Network equipment management method and system
JP2003333064A (en) * 2002-05-13 2003-11-21 Nec Access Technica Ltd PPPoE BUILT-IN ROUTER AND ITS GLOBAL IP ADDRESS ASSIGNING METHOD
JP2004040348A (en) * 2002-07-02 2004-02-05 Yamaha Corp Packet control apparatus

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009512377A (en) * 2005-10-21 2009-03-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Control of service quality in communication systems
JP4648458B2 (en) * 2005-10-21 2011-03-09 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Control of service quality in communication systems
US8670451B2 (en) 2006-02-13 2014-03-11 Fujitsu Limited Network system, terminal, and gateway
JP2007215090A (en) * 2006-02-13 2007-08-23 Fujitsu Ltd Network system, terminal and gateway device
US9014184B2 (en) 2009-09-24 2015-04-21 Nec Corporation System and method for identifying communication between virtual servers
JP5403061B2 (en) * 2009-09-24 2014-01-29 日本電気株式会社 Communication identification system between virtual servers and communication identification method between virtual servers
WO2011037104A1 (en) * 2009-09-24 2011-03-31 日本電気株式会社 Identification system for inter-virtual-server communication and identification method for inter-virtual-server communication
US9385888B2 (en) 2009-09-24 2016-07-05 Nec Corporation System and method for identifying communication between virtual servers
US9391804B2 (en) 2009-09-24 2016-07-12 Nec Corporation System and method for identifying communication between virtual servers
US9774473B2 (en) 2009-09-24 2017-09-26 Nec Corporation System and method for identifying communication between virtual servers
US10812293B2 (en) 2009-09-24 2020-10-20 Nec Corporation System and method for identifying communication between virtual servers
US11411775B2 (en) 2009-09-24 2022-08-09 Zoom Video Communications, Inc. System and method for identifying communication between virtual servers
US11671283B2 (en) 2009-09-24 2023-06-06 Zoom Video Communications, Inc. Configuring a packet to include a virtual machine identifier

Also Published As

Publication number Publication date
JP4612528B2 (en) 2011-01-12

Similar Documents

Publication Publication Date Title
US7729366B2 (en) Method, apparatus and system for network mobility of a mobile communication device
JP3965160B2 (en) Network connection device that supports communication between network devices located in different private networks
JP4327142B2 (en) Information processing system, tunnel communication device, tunnel communication method, proxy response device, and proxy response method
JP4579934B2 (en) Addressing method and apparatus for establishing a Host Identity Protocol (HIP) connection between a legacy node and a HIP node
US7908651B2 (en) Method of network communication
JP5488591B2 (en) Communications system
EP1931087A1 (en) Information processing system, tunnel communication device, tunnel communication method, and program
JP6040711B2 (en) Management server, virtual machine system, program, and connection method
JP2009111437A (en) Network system
WO2007038034A1 (en) Method, apparatus and system for maintaining mobility resistant ip tunnels using a mobile router
JP4600394B2 (en) Network access router, network access method, program, and recording medium
JP3858884B2 (en) Network access gateway, network access gateway control method and program
JP3587633B2 (en) Network communication method and apparatus
JP4612528B2 (en) Network connection system, network connection device and program thereof
JP5131118B2 (en) Communication system, management device, relay device, and program
JP4191180B2 (en) Communication support device, system, communication method, and computer program
Pierrel et al. A policy system for simultaneous multiaccess with host identity protocol
JP2001345841A (en) Communication network system, data communication method and communication-repeating device, and program-providing medium
Komu et al. Basic host identity protocol (HIP) extensions for traversal of network address translators
JP5054666B2 (en) VPN connection device, packet control method, and program
JP3575369B2 (en) Access routing method and access providing system
JP5084716B2 (en) VPN connection apparatus, DNS packet control method, and program
CN113595848B (en) Communication tunnel establishing method, device, equipment and storage medium
JP5786479B2 (en) Network system and control method thereof
JP2009206876A (en) Service release system, communication repeater, and service release device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100713

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100903

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101005

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101015

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131022

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees