JP2007060610A - Network connection system, network connection apparatus, program thereof and recording medium - Google Patents
Network connection system, network connection apparatus, program thereof and recording medium Download PDFInfo
- Publication number
- JP2007060610A JP2007060610A JP2005321880A JP2005321880A JP2007060610A JP 2007060610 A JP2007060610 A JP 2007060610A JP 2005321880 A JP2005321880 A JP 2005321880A JP 2005321880 A JP2005321880 A JP 2005321880A JP 2007060610 A JP2007060610 A JP 2007060610A
- Authority
- JP
- Japan
- Prior art keywords
- information
- network connection
- communication terminal
- network
- connection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、ネットワークに接続されたネットワーク接続装置を介して、ネットワーク接続装置に接続された通信端末とネットワーク上の機器との間で情報を送受信するネットワーク接続システム、そのネットワーク接続装置、そのプログラムおよび記録媒体に関する。 The present invention relates to a network connection system that transmits and receives information between a communication terminal connected to the network connection device and a device on the network via the network connection device connected to the network, the network connection device, the program, and The present invention relates to a recording medium.
従来のネットワーク接続システムを構成するネットワーク接続装置として、ブロードバンド対応ルータを含むNAT(Network Address Translation)装置などが知られている。これは、プライベートアドレス空間に属する通信端末とグローバルアドレス空間に属するネットワーク上の機器との間でIP(Internet Protocol)通信を行う際に、企業網や家庭内の網などで用いられるプライベートアドレス空間に属する通信端末のプライベートアドレスを、自己が保持するグローバルアドレスの中の任意のグローバルアドレスに対応づけるアドレス変換用のマッピングテーブルを作成し、受信したパケットを、このマッピングテーブルに従って転送するものである。すなわち、プライベートアドレスを送信元アドレスとして通信端末から送信されたパケットは、NAT装置のマッピングテーブルに基づいて、その発信元アドレスが対応するグローバルアドレスに変換され、ネットワーク上の機器に転送される。また、このグローバルアドレスを送信先としてネットワーク上の機器から送信されたパケットは、マッピングテーブルに基づいて、その送信先アドレスが対応するプライベートアドレスに変換され通信端末に転送される。このような仕組みによれば、複数の通信端末が一つのグローバルアドレスを共有でき、グローバルアドレス空間が節約できる(例えば、特許文献1参照。)。
しかし、従来のネットワーク接続システムには、NATに係るアドレス変換に起因した以下のような課題が存在する。
第一に、FTP(File Transfer Protocol)、SIP(Session Initiation Protocol)、DNS(Domain Name System)、SCTP(Stream Control Transport Protocol)、DCCP(Datagram Congestion Control Protocol)などのプロトコルでは、IPヘッダだけではなくペイロードにもIPアドレスが含まれるため、IPヘッダ部分のアドレス変換の際、ペイロード部分のアドレス変換も同時に行わなくてはならない。例えばSIPのINVITEメッセージでは、ペイロード中に互いに通信するもの同志のアドレスが含まれるため、ペイロード中のプライベートアドレスを対応するグローバルアドレスに変換しなければならない。ペイロードのどの部分にIPアドレスが含まれるかはプロトコル毎に異なるため、それぞれについてアドレス変換の方法を変えなければならない。さらには、新規のプロトコルには対応できないといった問題がある。
However, the conventional network connection system has the following problems due to the address translation related to NAT.
First, in protocols such as File Transfer Protocol (FTP), Session Initiation Protocol (SIP), Domain Name System (DNS), Stream Control Transport Protocol (SCTP), and Datagram Congestion Control Protocol (DCCP), not only the IP header Since the payload also includes an IP address, the address conversion of the payload portion must be performed at the same time when the IP header portion is converted. For example, in the SIP INVITE message, addresses that communicate with each other are included in the payload, so the private address in the payload must be converted into a corresponding global address. Since which part of the payload contains the IP address differs for each protocol, the address conversion method must be changed for each part. Furthermore, there is a problem that the new protocol cannot be supported.
また、アドレス変換用のマッピングテーブルは、プライベートアドレスを持つ通信端末からグローバルアドレスを持つネットワーク上の機器にアクセスする際に設定されるが、逆にネットワーク上の機器から通信端末へのアクセスを契機にする場合は、通信端末のプライベートアドレスが特定できず通信ができないといった問題がある。すなわち、NAT装置はクライアントサーバ型のアプリケーションには適しているが、ネットワーク側からのアクセスがあるVoIPアプリケーションやP2P型のアプリケーションには適さず、別途中継サーバが必要となる。 The mapping table for address conversion is set when a communication terminal having a private address accesses a device on the network having a global address, but conversely, when the device on the network accesses the communication terminal. In this case, there is a problem that the private address of the communication terminal cannot be specified and communication cannot be performed. That is, the NAT device is suitable for a client server type application, but is not suitable for a VoIP application or a P2P type application that is accessed from the network side, and requires a separate relay server.
また、前記のマッピングテーブルは、通信相手であるネットワーク上の機器のアドレスに対応して設定される場合があるが、この機器がハンドオーバーによりアドレスを変更する場合や、ネットワーク上の別の機器にLAN上の通信端末に割当てられたグローバルアドレスを通知して新たな通信を行う際には、ネットワーク上の機器のアドレスが異なっているため、アドレス変換が正しく行なわれないという問題もある。
さらに、IPsec(Security Architecture for Internet Protocol)のプロトコルを適用してIPヘッダの改竄防止を図る場合があるが、従来のネットワーク接続システムのようにNATによるアドレス変換を行うと、IPヘッダが変更され、IPsecのプロトコルはこれをIPヘッダの改竄と判断してしまう。
In addition, the mapping table may be set corresponding to the address of a device on the network that is a communication partner. However, when this device changes its address by a handover, it may be assigned to another device on the network. When notifying the global address assigned to the communication terminal on the LAN and performing a new communication, there is a problem that the address conversion is not performed correctly because the addresses of the devices on the network are different.
Furthermore, there is a case where the IP header is prevented from being falsified by applying the IPsec (Security Architecture for Internet Protocol) protocol. The IPsec protocol determines that this is a falsification of the IP header.
本発明は、これらの点に鑑みてなされたものであり、ネットワーク接続システムに係るアドレスの変換を不要とし、これらの課題を解決する技術を提供することを目的とする。 The present invention has been made in view of these points, and an object of the present invention is to provide a technique that eliminates the need for address conversion related to a network connection system and solves these problems.
請求項1に記載のネットワーク接続システムは、ネットワークに接続されたネットワーク接続装置と、ネットワーク接続装置と通信可能に接続された通信端末とを備え、通信端末は、ネットワーク上の機器と通信するプロセスに対応するプロセス識別子およびネットワーク上の機器を表す宛先アドレスを含む内部通信情報を、ネットワーク接続装置との間で送受信し、ネットワーク接続装置は、通信端末によって送信された内部通信情報を受信したとき、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報により特定される宛先アドレスを含むパケットを生成し、生成したパケットをネットワーク上の機器に送信し、ネットワーク上の機器からパケットを受信したとき、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報を生成し、生成した内部通信情報を通信端末に送信する構成を有している。
The network connection system according to
この構成の場合、通信端末は自らのアドレスを含むIPパケットを直接取り扱わない。IPパケットを取り扱うのはネットワーク接続装置のみである。すなわち、この構成では、通信端末が取り扱うプライベートアドレスと、ネットワーク接続装置が取り扱うグローバルアドレスとの変換が不要である。そのため、本発明では、上述したアドレス変換に起因する課題を解決できる。
請求項2に記載のネットワーク接続システムは、通信端末が、プロセス識別子を含む情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末によって送信された情報に含まれるプロセス識別子と所定のアドレスとを対応付けるプロセス対応情報を作成し、生成したプロセス対応情報に従って、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスを特定してパケットを生成し、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を特定して内部通信情報を生成する構成を有している。
In this configuration, the communication terminal does not directly handle an IP packet including its own address. Only network connection devices handle IP packets. That is, in this configuration, it is not necessary to convert the private address handled by the communication terminal and the global address handled by the network connection device. Therefore, the present invention can solve the problems caused by the address conversion described above.
In the network connection system according to
この構成により、ネットワーク接続装置と通信端末の間で用いられていたプライベートアドレスが不要となる。その結果、NATが不要となり、アドレス変換に起因する課題を解決できる。
請求項3に記載のネットワーク接続システムは、通信端末が、通信端末を認証するための端末認証情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末から送信された端末認証情報に基づいて通信端末の認証を行い、通信端末の認証が成功した場合、通信端末とネットワーク上の機器との間の情報の送受信を許可する構成を有している。
With this configuration, the private address used between the network connection device and the communication terminal becomes unnecessary. As a result, NAT becomes unnecessary, and the problems caused by address translation can be solved.
In the network connection system according to claim 3, the communication terminal transmits terminal authentication information for authenticating the communication terminal to the network connection device, and the network connection device is based on the terminal authentication information transmitted from the communication terminal. The communication terminal is authenticated, and when the communication terminal is successfully authenticated, the communication terminal is configured to permit transmission / reception of information between the communication terminal and a device on the network.
この構成により、認証が成功した通信端末のみが、ネットワーク上の機器と情報の送受信を許可されることになる。これにより、セキュリティを高めた通信ができる。
請求項4に記載のネットワーク接続システムは、通信端末が、通信端末を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置に送信し、ネットワーク接続装置が、通信端末から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、当該ユーザに対応するプロセス識別子を含む内部通信情報の通信端末への送信と、当該内部通信情報に対応するパケットのネットワーク上の機器への送信とを許可する構成を有している。
With this configuration, only communication terminals that have been successfully authenticated are permitted to send and receive information to and from devices on the network. Thereby, communication with improved security can be performed.
The network connection system according to claim 4, wherein the communication terminal transmits user authentication information for authenticating a user who uses the communication terminal to the network connection apparatus, and the network connection apparatus transmits the user authentication transmitted from the communication terminal. If the user is authenticated based on the information and the user is successfully authenticated, the internal communication information including the process identifier corresponding to the user is transmitted to the communication terminal, and the packet corresponding to the internal communication information is transmitted on the network. It has a configuration that permits transmission to a device.
この構成により、認証が成功したユーザに対応するプロセス識別子を含む内部通信情報のみの送受信が許可されることになる。これにより、セキュリティを高めた通信ができる。 With this configuration, transmission / reception of only internal communication information including a process identifier corresponding to a user who has been successfully authenticated is permitted. Thereby, communication with improved security can be performed.
上述のように本発明では、NATが不要になる。その結果、このアドレス変換に起因する問題を解決することができる。 As described above, NAT is not necessary in the present invention. As a result, the problem caused by this address translation can be solved.
以下、本発明の実施の形態に係るネットワーク接続システムについて、図面を参照して説明する。
(本発明の第1の実施の形態)
〔全体構成〕
本発明の第1の実施の形態に係るネットワーク接続システム1のシステム構成図を図1に示す。図1に示したネットワーク接続システム1は、ネットワーク40に接続されたネットワーク接続装置10と、ネットワーク接続装置10と通信可能に接続された通信端末20とを備えた構成を有し、さらにネットワーク40には、サーバ等の外部ホスト30が接続されている。
Hereinafter, a network connection system according to an embodiment of the present invention will be described with reference to the drawings.
(First embodiment of the present invention)
〔overall structure〕
FIG. 1 shows a system configuration diagram of a
また、図1に示したネットワーク接続システム1では、ネットワーク接続装置10を介して、ネットワーク接続装置10に接続された通信端末20と、外部ホスト30を含むネットワーク40上の機器との間で情報が送受信される。
なお、図示した通信端末20の各々を区別する場合には、通信端末20をそれぞれ通信端末20−1、通信端末20−2と記載し、外部ホスト30の各々を区別する場合には、外部ホスト30をそれぞれ外部ホスト30−1、外部ホスト30−2と記載する。
また、例えば、外部ホスト30−1、外部ホスト30−2は、それぞれWeb外部ホスト、メールサーバ、通信相手端末等であり、通信端末20およびネットワーク接続装置10は、企業内および家庭内に設置され、ネットワーク40は、インターネット等である。なお、ネットワーク接続装置10と通信端末20との間は、有線または無線で接続されてもよい。
In the
When distinguishing each of the illustrated
Further, for example, the external host 30-1 and the external host 30-2 are a web external host, a mail server, a communication partner terminal, etc., respectively, and the
ネットワーク接続装置10と通信端末20との間は、リンクレイヤのプロトコルに準拠して通信する。例えば、リンクレイヤのプロトコルは、IEEE802.3(Ethernet(登録商標))、PPP(Point-to-Point Protocol)、もしくはL2TP(Layer 2 Tunneling Protocol)、またはPPTP(Point-to-Point Tunneling Protocol)などのトンネリングプロトコルでもよく、ネットワーク接続装置10と外部ホスト30との間の通信はIPに準拠する。
通信端末20は、IPに準拠した通信をしないため、IPアドレスはもたない。また、ネットワーク接続装置10は、外部ホスト30等の通信機器と通信するため、例えば、グローバルIPアドレスを1以上保有する(メモリ等に格納している)。
The
Since the
〔ネットワーク接続装置10の構成〕
<ハードウエア構成>
ネットワーク接続装置10は、CPU(Central Processing Unit)、メモリ(RAM,ROM,NV-RAM)、ハードディスク、ネットワーク40に接続されるネットワークインタフェース、および通信端末20に接続されるインタフェース等を有している。
<ソフトウエア構成>
図2は、ネットワーク接続装置10にインストールされているソフトウエア1010の構成を例示した図である。図2に示すように、この例のソフトウエア1010は、通信端末20とネットワーク接続装置10とのリンクを確立させてリンク情報を生成するためのリンク確立ソフトウエア1012、通信端末20から通知されるプロセス識別子とグローバルIPアドレス等のアドレスとを対応させるプロセス対応情報を作成するためのプロセス対応情報作成ソフトウエア1013、OS(Operating System)1015、ネットワークドライバ1016、および、プロセス対応情報に従って内部通信情報を生成する内部通信情報生成ソフトウエア1017を有している。
[Configuration of Network Connection Device 10]
<Hardware configuration>
The
<Software configuration>
FIG. 2 is a diagram illustrating a configuration of the software 1010 installed in the
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置10は、上述のハードウエアにソフトウエア1010がインストールされ、このソフトウエア1010がCPUで実行されることにより構成される。図3は、このように構成されたネットワーク接続装置10の構成を例示したブロック図である。
この図に示すように、この例のネットワーク接続装置10は、通信端末20と通信を行うインタフェース部11、通信端末20との間のリンクを確立させてリンク情報1021を生成するリンク確立部12、プロセス対応情報1022を作成するプロセス対応情報作成部13、リンク情報1021とプロセス対応情報1022とを格納する記憶部14、プロセス対応情報1022に従ってパケットを生成するパケット生成部15、プロセス対応情報1022に従って内部通信情報を生成する内部通信情報生成部16、ネットワーク40を通じた通信を行うネットワークインタフェース部17、および、ネットワーク接続装置10全体を制御する制御部18を有する。また、インタフェース部11は、インタフェース11a,11bおよび11cを有し、それぞれにインタフェース番号(IF#0,IF#1,IF#2)が割り振られている。なお、「インタフェース」とは、各装置における通信の論理的な機能単位を意味し、具体的には、所定のソフトウエアが読み込まれたCPUがLANカード等の通信装置を制御することによって構成される。また、各装置は複数のインタフェースをもつことが可能である。
<Cooperation between hardware and software>
The
As shown in this figure, the
〔通信端末20の構成〕
<ハードウエア構成>
通信端末20は、CPU、メモリ、ネットワーク接続装置10に接続されるインタフェース等を有しており、例えば、ハードディスク、キーボード等の入力器、およびディスプレイを備えたパソコン等である。また、通信端末20は、情報家電機器等でもよい。
<ソフトウエア構成>
図4は、通信端末20にインストールされているソフトウエア1030の構成を例示した図である。図4に示すように、この例のソフトウエア1030は、Webページを閲覧するブラウザまたは、メールを送受信するメーラ等のアプリケーションソフトウエア1031、ネットワーク接続装置10へのリンク確立要求を行うためのリンク確立要求情報生成ソフトウエア1032、OS1033、および、ネットワークドライバ1034を有している。なお、アプリケーションソフトウエア1031は、ブラウザやメーラだけに限定されることはない。
[Configuration of Communication Terminal 20]
<Hardware configuration>
The
<Software configuration>
FIG. 4 is a diagram illustrating a configuration of the
<ハードウエアとソフトウエアの協働>
本形態の通信端末20は、上述のハードウエアにソフトウエア1030がインストールされ、このソフトウエア1030がCPUで実行されることにより構成される。
図5は、このように構成された通信端末20−1の構成を例示したブロック図である。なお、ここでは通信端末20−1の構成のみを例示するが、通信端末20−2の構成もこれと同様である。この例の通信端末20−1は、通信端末ID1041やリンク番号1042を格納する記憶部21−1、ネットワーク接続装置10と通信を行うインタフェース部22−1、ネットワーク接続装置10へのリンク確立要求を行うリンク確立要求情報生成部23−1、プロセス1001,1002を実行するプロセス実行部24−1、および、通信端末20全体を制御する制御部25−1を有する。また、インタフェース部22−1は、インタフェース22a−1を有し、これにはインタフェース番号(IF#0)が割り振られている。
<Cooperation between hardware and software>
The
FIG. 5 is a block diagram illustrating the configuration of the communication terminal 20-1 configured as described above. Although only the configuration of the communication terminal 20-1 is illustrated here, the configuration of the communication terminal 20-2 is the same as this. The communication terminal 20-1 in this example sends a link establishment request to the storage unit 21-1, which stores the
ここで、プロセス1001,1002とは、OS1033の制御のもとCPUがアプリケーションソフトウエア1031を実行する際の処理単位である。これらのプロセス1001,1002は、アプリケーションソフトウエア1031がCPU上で起動されたことなどを契機にOS1033によって生起される。なお、プロセスの生起とは、プロセスに対応するプログラムをRAM等の主記憶装置に読み込み、CPUがこのプログラムを実行可能な状態にすること、および、実際に実行することをいう。本形態の場合、生起されたプロセス1001,1002は、例えば、ネットワーク40上のWebサーバやメールサーバとの通信処理を含む。そして、このWebサーバ等との通信処理は、CPU上で起動するソフトウエアであるネットワークドライバ1034による処理を介して実現される。具体的には、CPU上で起動されたネットワークドライバ1034は、例えば、宛先アドレスやペイロード含み、低位レイヤのプロトコルに準拠した内部通信情報を生成して送信する。
なお、図1では、通信端末20−1にプロセス1001およびプロセス1002が生起し、通信端末20−2にプロセス1003が生起している様子を示している。また、ネットワーク接続装置10もまた、同様に図示しないプロセスを生起している。
Here, the
FIG. 1 shows a state where a
〔ネットワーク接続装置10と通信端末20との間のリンク〕
ネットワーク接続装置10と通信端末20とは、後述の処理により対応付けられる。このネットワーク接続装置10と通信端末20との間の対応付け(リンク)は、論理的なリンク番号によって表される。リンク番号と各インタフェースとの対応関係の一例を表1に示す。
[Link between
The
ネットワーク接続装置10のIF番号における「0」、「1」、および「2」は、ネットワーク接続装置10のインタフェース11a,11b,11cの番号を表している。
また、通信端末IDにおける「1」および「2」は、それぞれ、通信端末20−1、通信端末20−2を表している。
通信端末20のIF番号における「0」および「1」は、通信端末20のインタフェース(22a−1等)の番号を表している。なお、それぞれの通信端末20にインタフェースが1つだけ存在する構成では、通信端末20のIF番号は不要である。
“0”, “1”, and “2” in the IF number of the
Also, “1” and “2” in the communication terminal ID represent the communication terminal 20-1 and the communication terminal 20-2, respectively.
“0” and “1” in the IF number of the
この例の場合、リンク番号「100」は、ネットワーク接続装置10のIF番号「0」と対応し、通信端末20−1のIF番号「0」と対応する。なお、リンク番号は、ネットワーク接続装置10のIDおよびネットワーク接続装置10のインタフェース番号によって構成されるようにしてもよい。
また、本発明の実施の形態において、図1の通信端末20−2のように通信端末20が複数のインタフェースを有する場合、ネットワーク接続装置10と通信端末20との間には、1つのインタフェースにつき1つの論理的なリンクが存在するものとする。
In this example, the link number “100” corresponds to the IF number “0” of the
In the embodiment of the present invention, when the
〔動作〕
以上のように構成された本発明の第1の実施の形態に係るネットワーク接続システム1の動作について、図面を参照して説明する。図6は、本発明の第1の実施の形態に係るネットワーク接続システム1の動作を示すシーケンス図である。なお、以下では、通信端末20−1がネットワーク40に接続された外部ホスト30等の通信機器と通信を行う場合を例にとって説明する。
まず、通信端末20−1のリンク確立要求情報生成部23−1は、ネットワーク接続装置10に対するリンク確立要求を示すリンク確立要求情報を生成する。リンク確立要求情報は、各通信端末を特定するための通信端末ID、MACアドレスまたは製造番号などの情報を含む。この例の場合、リンク確立要求情報生成部23−1は、記憶部21−1に格納された通信端末ID1041を読み込み、この通信端末ID1041を含むリンク確立要求情報を生成する。生成されたリンク確立要求情報は、ネットワークドライバ1034の処理に従い、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信される(S1)。また、リンク確立要求情報を送信する契機としては、通信端末20−1がネットワーク接続装置10と物理的に接続したときなどである。
[Operation]
The operation of the
First, the link establishment request information generating unit 23-1 of the communication terminal 20-1 generates link establishment request information indicating a link establishment request to the
次に、ネットワーク接続装置10は、通信端末20−1から送信されたリンク確立要求情報をインタフェース部11のインタフェース11aで受信し、これをリンク確立部12に転送する。リンク確立部12は、受信したリンク確立要求情報に応じたリンク番号を割当てると共に、割当てたリンク番号をインタフェース部11のインタフェース11aから通信端末20−1に送信する。
また、リンク確立部12は、割当てたリンク番号と、リンク確立要求情報に含まれる通信端末ID1041と、リンク確立要求情報を受信したときのインタフェース11aの番号とを対応させるリンク情報1021を生成し、これをメモリやハードディスク等の記憶部14に格納する(S2)。ここで、リンク確立部12が作成したリンク情報の一例を表2に示す。
Next, the
Further, the
次に、プロセス実行部24−1は、プロセス1001,1002を生起し、生起したプロセス1001,1002に対応するプロセス識別子(以下、プロセスIDという。)および記憶部21−1に格納されたリンク番号1042を含むプロセス情報を、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信する(S3)。なお、プロセス情報を送信する契機としては、プロセスが生起されたときなどである。また、このプロセス情報の送信は、ネットワークドライバ1034の処理に従って実行される。
Next, the process execution unit 24-1 generates
ネットワーク接続装置10は、通信端末20−1によって送信されたプロセス情報をインタフェース部11のインタフェース11aで受信し、これをプロセス対応情報作成部13に転送する。プロセス対応情報作成部13は、転送されたプロセス情報に応じて、外部ホスト30等の通信機器と通信するためのアドレスを割当てると共に、割当てたアドレスをインタフェース部11のインタフェース11aから通信端末20に送信する。
また、プロセス対応情報作成部13は、プロセス情報に含まれるプロセスIDと、リンク番号と、アドレスとを対応させるプロセス対応情報1022を生成し、これをメモリやハードディスク等の記憶部14に格納する(S4)。なお、アドレスは、グローバルIPアドレス等である。ここで、プロセス対応情報作成部13が作成したプロセス対応情報1022の一例を表3に示す。
The
In addition, the process correspondence
また、プロセス対応情報作成部13は、1つのリンク番号につき1つのアドレスを割当てるようにしてもよく、1つの通信端末IDにつき1つのアドレスを割当てるようにしてもよい。1つの通信端末IDにつき1つのアドレスを割当てる場合には、プロセス対応情報作成部13は、表2に例示したリンク情報1021における通信端末IDに基づいてアドレスを割当てる。
In addition, the process correspondence
なお、プロセス情報には、アドレスの割当て方法(例えば、1つのリンク番号につき1つのアドレスを割当てるなど)を指定するアドレス割当情報を含めることができる。プロセス情報にアドレス割当情報を含めている場合には、プロセス対応情報作成部13は、このアドレス割当情報に従ってアドレスを割当てる。
また、アドレス割当情報に、1つのユーザにつき1つのアドレスを割当てるようにような設定が施されてもよい。具体的には、例えば、アドレス割当情報にユーザを表すユーザIDが設定されてもよい。この例の場合、プロセス対応情報作成部13には、ユーザIDが設定されているアドレス割当情報を含むプロセス情報がインタフェース部11のインタフェース11aから転送される。そして、この例のプロセス情報が転送されたプロセス対応情報作成部13は、例えば、アドレス割当情報に設定されているユーザIDと、割当てたアドレスとを対応させたプロセス対応情報1022を作成する。
The process information can include address assignment information that specifies an address assignment method (for example, one address is assigned to one link number). If the process information includes address allocation information, the process correspondence
Further, the address assignment information may be set so that one address is assigned to one user. Specifically, for example, a user ID representing a user may be set in the address assignment information. In the case of this example, process information including address allocation information in which a user ID is set is transferred from the
図7は、本発明の第1の実施の形態に係るネットワーク接続装置10を経由した、通信端末20−1および外部ホスト30−1との間の情報の流れを示す図である。ここで、図7(A)は、通信端末20−1からネットワーク接続装置10を通じて外部ホスト30−1へ情報を送信する際の流れを示している。また、図7(B)は、外部ホスト30−1からネットワーク接続装置10を通じて通信端末20−1へ情報を送信する際の流れを示している。
<図7(A)に示す処理>
まず、通信端末20−1のプロセス実行部24−1が、実行されているプロセス1001に従い、外部ホスト30−1に送信されるデータとなるペイロードを生成する。また、プロセス実行部24−1は、ネットワークドライバ1034の処理に従い、このペイロードに対し、プロセスID、宛先となる外部ホスト30−1のアドレス(以降、2.1.1.1とする)、およびリンクヘッダを付加した内部通信情報1051を生成し、これらをインタフェース部22−1のインタフェース22a−1からネットワーク接続装置10に送信する。
なお、内部通信情報1051に含まれるペイロードがTCPまたはUDPに準拠したデータである場合、ペイロードのヘッダ部のポート番号(送信元ポート番号)の設定情報にプロセスIDを設定することとしてもよい。
FIG. 7 is a diagram showing a flow of information between the communication terminal 20-1 and the external host 30-1 via the
<Process shown in FIG. 7A>
First, the process execution unit 24-1 of the communication terminal 20-1 generates a payload as data to be transmitted to the external host 30-1 according to the
When the payload included in the internal communication information 1051 is data conforming to TCP or UDP, the process ID may be set in the setting information of the port number (source port number) in the header portion of the payload.
なお、内部通信情報とは、通信端末20−1とネットワーク接続装置10との間で送受される情報である。また、リンクヘッダは、低位レイヤのプロトコルに準拠したヘッダに係る情報である。
次に、ネットワーク接続装置10は、通信端末20−1から送信された内部通信情報1051を、インタフェース部11のインタフェース11aで受信する。受信された内部通信情報1051はパケット生成部15に転送され、パケット生成部15は、転送された内部通信情報1051に含まれるプロセスIDをキーとして表3に示したプロセス対応情報1022を検索し、このプロセスIDと対応するアドレスを送信元アドレスとして抽出する。図7(A)の例では、プロセスID1001をキーとして、プロセスID1001と対応する送信元アドレス1.1.1.1が抽出されている。そして、パケット生成部15は、抽出した送信元アドレス、内部通信情報1051に含まれるペイロードおよび宛先アドレスを含み、所定の形式(例えばIP)に準拠したパケット1052を生成する。
The internal communication information is information transmitted and received between the communication terminal 20-1 and the
Next, the
また、内部通信情報1051のプロセスIDが、ペイロードのヘッダ部のポート番号(送信元ポート番号)の設定情報に設定されたものであった場合、パケット生成部15は、上述のようにプロセスIDに対応する送信元アドレスを抽出すると共に、プロセスIDと対応するポート番号を割当て、このポート番号をペイロードに含むパケット1052を生成する。
なお、パケット1052がIPパケットである場合には、パケット1052は、宛先IPアドレスや送信元IPアドレス、その他のIPヘッダに関わる情報およびペイロードによって構成される。
When the process ID of the internal communication information 1051 is set in the setting information of the port number (source port number) in the header part of the payload, the
When the packet 1052 is an IP packet, the packet 1052 includes a destination IP address, a source IP address, other information related to an IP header, and a payload.
このように生成されたパケット1052は、ネットワークインタフェース部17に転送され、そこからネットワークドライバ1016の処理に従い、外部ホスト30−1に転送される。
<図7(B)に示す処理>
外部ホスト30−1は、ネットワーク接続装置10から送信されたパケット1052を受信し、受信したパケット1052を処理する。この例の外部ホスト30−1は、受信したパケット1052に対して応答する場合、パケット1052に対する応答内容などを含むペイロードを生成する。ここで、パケット1052のペイロードにポート番号(送信元ポート番号)が含まれていた場合、外部ホスト30−1は、このポート番号を宛先ポート番号としたペイロードを生成する。そして、この例の外部ホスト30−1は、生成したペイロードを含み、パケット1052の送信元アドレスを宛先アドレスとし、パケット1052の宛先アドレスを送信元アドレスとしたパケット1053をネットワーク接続装置10に送信する。
The packet 1052 generated in this way is transferred to the
<Process shown in FIG. 7B>
The external host 30-1 receives the packet 1052 transmitted from the
ネットワーク接続装置10は、ネットワークインタフェース部17で、外部ホスト30−1から送信されたパケット1053を受信し、これを内部通信情報生成部16に転送する。内部通信情報生成部16は、転送されたパケット1053の宛先アドレスをキーとして、記憶部14のプロセス対応情報1022を検索し、この宛先アドレスが示すアドレスと対応するプロセスIDを抽出する。また、パケット1053の宛先アドレスと対応するプロセスIDが複数あって特定できない場合には、ペイロードに含まれるポート番号(宛先ポート番号)と対応するプロセスIDを特定する。図7(B)では、宛先アドレス1.1.1.1から、宛先アドレス1.1.1.1と対応するプロセスID1001を抽出している。
In the
また、内部通信情報生成部16は、このように抽出したプロセスID、パケット1053のペイロードおよび送信元アドレスを用い、これにリンクヘッダを付した内部通信情報1054を生成する。なお、この内部通信情報1054は、ネットワークドライバ1016の処理に従い、低位レイヤのプロトコルに準拠して生成される。
また、内部通信情報生成部16は、パケット1053のプロセスIDをキーとして記憶部14のプロセス対応情報1022を検索し、このプロセスIDに対応するリンク番号を抽出する。さらに、内部通信情報生成部16は、抽出したリンク番号をキーとして記憶部14のリンク情報1021を検索し、このリンク番号に対応するIF番号を抽出する。例えば、パケット1053のプロセスIDが「1001」であった場合、これと対応するリンク番号「100」が抽出され、さらにこのリンク番号「100」と対応するネットワーク接続装置10のIF番号「0」が抽出される。
Further, the internal communication
Further, the internal communication
また、内部通信情報1054のペイロード内のポート番号(送信元ポート番号)の設定情報にプロセスIDを設定している場合には、内部通信情報生成部16は、まず受信したパケット1053のペイロードに含まれるポート番号(宛先ポート番号)と対応するプロセスIDを特定する。そして、内部通信情報生成部16は、このプロセスIDと対応するリンク番号から、表2に示したリンク情報1021に従ってネットワーク接続装置10のIF番号を特定する。
内部通信情報生成部16は、上述のように抽出したIF番号のインタフェース11aから内部通信情報1054を送出する。これにより、内部通信情報1054は、対応する通信端末20に転送される。この例ではIF番号「0」が抽出されることになるので、内部通信情報1054は、インタフェース部11のインタフェース11a(IF#0)から送出され、通信端末20−1のインタフェース部22−1のインタフェース22a−1に受信される。
When the process ID is set in the setting information of the port number (source port number) in the payload of the internal communication information 1054, the internal communication
The internal communication
通信端末20−1は、インタフェース22a−1で受信した内部通信情報1054をプロセス実行部24−1に転送する。プロセス実行部24−1は、転送された内部通信情報1054に含まれるプロセスIDと対応するプロセス1001を実行状態とし、このプロセス1001により内部通信情報1054のペイロードを処理する。
以上説明したように、本発明の第1の実施の形態に係るネットワーク接続システム1は、通信端末20とネットワーク40上の機器との間で情報を送受信する際に、ネットワーク接続装置10が、内部通信情報1051に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報1051に含まれる宛先アドレスを含むパケット1052を生成し、また、送信されたパケット1053に含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報1054を生成する。これにより、ネットワーク接続装置10と通信端末20の間で用いられるプライベートアドレスが不要となるため、NAT超え等に係るアドレスの変換が不要となる。その結果、従来のNAT超えの対策を適用する場合のような、IPヘッダ内のアドレスに加えて上位レイヤのメッセージを変換するといった処理が不要となる。また、種々のプロトコルに対応可能となるデータ転送を行うことができる。
The communication terminal 20-1 transfers the internal communication information 1054 received by the
As described above, when the
また、通信端末20とネットワーク接続装置10との間で送受される内部通信情報1051,1054はIPを介在しないため、IPによるオーバヘッドが削減でき、データ転送量が低減する。加えて、通信端末20は、IPによるオーバヘッドに係る処理を行う必要が無いため、通信端末20の消費電力も低減できる。
さらに、ネットワーク接続装置10の記憶部14にリンク情報1021およびプロセス対応情報1022が生成された後は、外部ホスト30等のネットワーク上の通信機器は、希望する通信端末20を直接指定してセッションを行ったり、開始したりすることができる。
Further, since the internal communication information 1051 and 1054 transmitted and received between the
Furthermore, after the
また、本形態では、ネットワーク接続装置10がアドレス変換を行わないため、本システムにIPsecのプロトコルを適用することも容易である。
なお、本形態では、リンク番号を用いた処理を説明したが、リンク番号は必須ではない。ただし、ネットワーク接続装置10と通信端末20との間にスイッチが存在したとき等の通信形態に依っては、リンク番号が必要となる場合がある。また、リンク番号を用いない形態においては、表2に示したリンク情報におけるリンク番号は、存在しなくてもよい。またこの場合、表3に示したプロセス対応情報は、リンク番号をネットワーク接続装置10のIF番号に換えたものとなる。そして、この際、図6を用いて説明した処理では、リンク番号の代わりにIF番号を用いる。
In this embodiment, since the
In this embodiment, the process using the link number has been described, but the link number is not essential. However, a link number may be required depending on the communication mode such as when a switch exists between the
また、本発明の第1の実施の形態に係るネットワーク接続システム1において、通信端末20にソフトウエア1070に替えて、図8に示すようなソフトウエア1060をインストールすることとしてもよい。図8に例示するように、ソフトウエア1060は、アプリケーションソフトウエア1061、OS(仮想マシン)1062A、OS(仮想マシン)1062B、ネットワークドライバ1063を有している。この場合、通信端末20は、OS1062Aおよび1062Bが1つのCPUよって処理される構成となる。そして、例えば、ユーザA、ユーザBがそれぞれOS1062Aおよび1062Bを利用する。またユーザA、ユーザBが同時に異なるOSを利用してもよい。また、この図に示すように、ネットワーク接続装置10によってユーザ毎に1つずつアドレスが割当てられる形態をとることもできる。
In the
(本発明の第2の実施の形態)
〔全体構成〕
本発明の第2の実施の形態に係るネットワーク接続システム100のシステム構成図を図9に示す。図9に示したネットワーク接続システム100は、ISP(Internet Service Provider)が有する認証サーバ160と、ネットワーク40に接続されたネットワーク接続装置110と、ネットワーク接続装置110と通信可能に接続された通信端末120を備えた構成であり、さらにネットワーク40には、外部ホスト30が接続されている。
(Second embodiment of the present invention)
〔overall structure〕
FIG. 9 shows a system configuration diagram of the
なお、本発明の第2の実施の形態に係るネットワーク接続システム100を構成する構成要素のうち、本発明の第1の実施の形態に係るネットワーク接続システム1を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。また、図示した通信端末120の各々を区別する場合には、通信端末120をそれぞれ通信端末120−1、通信端末120−2と記載する。
例えば、通信端末120およびネットワーク接続装置110は、企業内および家庭内に設置される。ネットワーク接続装置110は、例えば、ISPから支給または貸し出しされたものである。ネットワーク接続装置110および通信端末120は、本発明の第1の実施の形態で説明したネットワーク接続装置10と通信端末20と基本的に同様の構成である。差異については以降に説明する。
Of the components constituting the
For example, the communication terminal 120 and the
本発明の第2の実施の形態に係るネットワーク接続システム100では、通信端末120が、通信端末120を認証するための端末認証情報をネットワーク接続装置110に送信し、ネットワーク接続装置110が、通信端末120から送信された端末認証情報に基づいて通信端末120の認証を行い、通信端末120の認証が成功した場合、通信端末120とネットワーク40上の機器との間における送受信を許可するようになっている。
また、通信端末120が、通信端末120を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置110に送信し、ネットワーク接続装置110は、通信端末120から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、通信端末120とネットワーク40上の機器との間における通信のうち、このユーザに対応するプロセス識別子を含む内部通信情報に対応するものの送受信を許可することもできる。
In the
Further, the communication terminal 120 transmits user authentication information for authenticating a user who uses the communication terminal 120 to the
〔ネットワーク接続装置110の構成〕
次に、本発明の第2の実施の形態に係るネットワーク接続装置110の構成を説明する。なお、以下では、ネットワーク接続装置110の構成要素のうち、本発明の第1の実施の形態に係るネットワーク接続装置10の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<ハードウエア構成>
第1の実施の形態のネットワーク接続装置10と同様である。
<ソフトウエア構成>
図10は、ネットワーク接続装置110にインストールされているソフトウエア1070の構成を例示した図である。この図に例示するように、本形態の第1の実施の形態との相違点は、さらに端末認証情報またはユーザ認証情報に基づいて認証を行うための認証ソフトウエア1071がネットワーク接続装置110にインストールされている点である。その他は第1の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置110は、第1の実施の形態と同様なハードウエアにソフトウエア1070がインストールされ、このソフトウエア1070がCPUで実行されることにより構成される。図11は、このように構成されたネットワーク接続装置110の構成を例示したブロック図である。この図に示すように、本形態のネットワーク接続装置110は、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部111が付加される点で、第1の実施の形態のネットワーク接続装置10と相違する。その他はネットワーク接続装置10と同様である。すなわち、ネットワーク接続装置110は、インタフェース部11、リンク確立部12、プロセス対応情報作成部13、記憶部14、パケット生成部15、内部通信情報生成部16、ネットワークインタフェース部17、制御部18、および、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部111を有する。
[Configuration of Network Connection Device 110]
Next, the configuration of the
<Hardware configuration>
The
<Software configuration>
FIG. 10 is a diagram illustrating a configuration of software 1070 installed in the
<Cooperation between hardware and software>
The
〔通信端末120の構成〕
次に、本発明の第2の実施の形態に係る通信端末120の構成を説明する。なお、以下では、通信端末120の構成要素のうち、本発明の第1の実施の形態に係る通信端末20の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
[Configuration of Communication Terminal 120]
Next, the configuration of the communication terminal 120 according to the second embodiment of the present invention will be described. In the following, among the components of the communication terminal 120, the same components as those of the
<ハードウエア構成>
第1の実施の形態の通信端末20と同様である。
<ソフトウエア構成>
図10は、通信端末120にインストールされているソフトウエア1090の構成を例示した図である。この図に例示するように、本形態の第1の実施の形態との相違点は、さらに端末認証情報またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置110に対して行うための認証要求ソフトウエア1091が通信端末120にインストールされている点である。その他は第1の実施の形態と同様である。
<ハードウエアとソフトウエアの協働>
本形態の通信端末120は、第1の実施の形態と同様なハードウエアにソフトウエア1090がインストールされ、このソフトウエア1090がCPUで実行されることにより構成される。図13は、このように構成された通信端末120−1の構成を例示したブロック図である。この図に示すように、本形態の通信端末120−1は、端末認証情報またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置110に対して行う認証要求部121−1が付加される点で第1の実施の形態の通信端末20−1と相違する。その他は通信端末20−1と同様である。なお、ここでは、通信端末120−1の構成のみを例示するが、通信端末120−2の構成も同様である。
<Hardware configuration>
It is the same as that of the
<Software configuration>
FIG. 10 is a diagram illustrating a configuration of
<Cooperation between hardware and software>
The communication terminal 120 of this embodiment is configured by installing
〔動作〕
以上のように構成された本発明の第2の実施の形態に係るネットワーク接続システム100の動作について、図面を参照して説明する。図14および図15は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作を示すシーケンス図である。
なお、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうち、本発明の第1の実施の形態に係るネットワーク接続システム1の動作と同一の動作には同一の符号を付し、それぞれの説明を省略する。また以下では、通信端末120−1がネットワーク40に接続された外部ホスト30等の通信機器する場合を例にとって説明する。
[Operation]
The operation of the
Of the operations of the
図14は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうち、端末認証の動作を示すシーケンス図である。
第1の実施の形態と同じS1およびS2の処理が実行され、通信端末120−1がリンク番号を受信した後、通信端末120−1の認証要求部121−1は、端末認証の要求を行うため、記憶部21−1から読み込んだ端末認証情報1101を、インタフェース部22−1のインタフェース22a−1からネットワーク接続装置110に送信する(S11)。なお、端末認証情報1101は、通信端末IDおよびパスワード、または、電子証明書など通信端末120を認証できる情報であれば如何なるものでもよい。端末認証情報1101は、予めメモリ等の記憶部21−1に記憶しているものが使用されてもよく、また、端末認証の要求を行う際に、ユーザから入力され記憶部21−1に格納されたものが使用されてもよい。
FIG. 14 is a sequence diagram showing a terminal authentication operation among the operations of the
After the same processing of S1 and S2 as in the first embodiment is executed and the communication terminal 120-1 receives the link number, the authentication request unit 121-1 of the communication terminal 120-1 makes a request for terminal authentication. Therefore, the
次に、ネットワーク接続装置110は、インタフェース部11のインタフェース11aで、通信端末120によって送信された端末認証情報1101を受信し、これを認証部111に転送する。この認証部111は、端末認証情報1101に基づいて認証を行う(S12)。
なお、この例の認証部111は、端末認証情報を認証サーバ160に送信することにより、認証サーバ160に対して認証を要求し、認証結果を得る。また、認証部111は、ハードディスク等の記憶部14に格納している認証に関わる情報(図示せず)と照合して認証結果を決定してもよい。
Next, the
Note that the
認証部111は、リンク確立部12が作成して記憶部14に格納されている表2のリンク情報に、認証結果に応じた認証状態を加えて、表4に例示するようなリンク情報1081を作成し、記憶部14に格納する。すなわち、認証部111は、認証結果が成功であった場合、表4のリンク情報1081における認証状態を成功とし、認証結果が失敗であった場合、表4のリンク情報1081における端末認証状態を、初期状態である未認証のままとする。
The
図15は、本発明の第2の実施の形態に係るネットワーク接続システム100の動作のうちユーザ認証の動作を示すシーケンス図である。
FIG. 15 is a sequence diagram showing a user authentication operation among the operations of the
第1の実施の形態と同じS3およびS4の処理が実行され、通信端末120がアドレスを受信した後に、認証要求部121−1がユーザ認証の要求を行う。そのために認証要求部121−1は、上記アドレスおよび記憶部21−1に格納されたユーザ認証情報1102をインタフェース22a−1からネットワーク接続装置110に送信する(S13)。
なお、ユーザ認証情報1102は、ユーザIDおよびパスワード、または、電子証明書などユーザを認証できる情報であれば如何なるものでもよい。ユーザ認証情報1102は、予め記憶部21−1に記憶しているものが使用されてもよく、また、ユーザ認証の要求を行う際に、ユーザから入力され、記憶部21−1に格納されたものが使用されてもよい。
After the same processes of S3 and S4 as in the first embodiment are performed and the communication terminal 120 receives the address, the authentication request unit 121-1 makes a user authentication request. For this purpose, the authentication request unit 121-1 transmits the address and
The
次に、ネットワーク接続装置110は、インタフェース部11のインタフェース11aで、通信端末120によって送信されたユーザ認証情報1102を受信し、認証部111に転送する。認証部111は、このユーザ認証情報1102に基づいて認証を行う(S14)。
この例の認証部111は、ユーザ認証情報を認証サーバ160に送信することにより、認証サーバ160に対して認証の要求し、認証結果を得る。また、認証部111は、ハードディスク等に格納している認証に関わる情報と照合して認証結果を決定してもよい。
Next, the
In this example, the
認証部111は、認証結果に応じて、プロセス対応情報作成部13が作成した表3のプロセス対応情報に認証状態を加えて、表5に示すプロセス対応情報1082を作成する。認証部111は、認証結果が成功であった場合、表5のプロセス対応情報における認証状態を成功とし、認証結果が失敗であった場合、表5のリンク情報における認証状態を、初期状態である未認証のままとする。
The
また、S13で、認証要求部121−1がアドレスおよびユーザ認証情報をインタフェース22a−1を通じてネットワーク接続装置110に送信するとしたが、S3で、アドレスおよびユーザ認証情報をプロセス情報に加えてネットワーク接続装置10に送信するようにしてもよい。このようにアドレスおよびユーザ認証情報をプロセス情報に加えて送信した場合、S4に続いてS14でユーザ認証を行って、認証部111は、表5に示したプロセス対応情報を作成する。
In S13, the authentication request unit 121-1 transmits the address and user authentication information to the
以上説明したように、本発明の第2の実施の形態に係るネットワーク接続システム100は、通信端末120の認証が成功した場合、通信端末120とネットワーク40上の機器との間の情報の送受信を許可するため、セキュリティを高めたパケット転送を行うことができる。また、ユーザの認証が成功した場合、このユーザに対応するプロセス識別子を含む内部通信情報から生成したパケットの送信、および、パケットからこの内部通信情報への変換・転送を許可するため、セキュリティを高めたパケット転送を行うことができる。
As described above, the
以上、本発明の第2の実施の形態に係る端末認証およびユーザ認証について説明したが、端末認証およびユーザ認証は、併用して実施してもよく、また、端末認証、ユーザ認証の何れかのみ実施するようにしてもよい。
また、ネットワーク接続装置110を企業内および家庭内に設置する場合、ネットワーク接続装置110が、ネットワーク接続装置110を認証するための認証情報を認証サーバ160に送信して認証を要求し、そこから返信された認証結果を用いてネットワーク接続装置110を利用させるか否かを判断してもよい。
As described above, the terminal authentication and the user authentication according to the second embodiment of the present invention have been described. However, the terminal authentication and the user authentication may be performed in combination, or only one of the terminal authentication and the user authentication. You may make it implement.
When the
(本発明の第3の実施の形態)
〔全体構成〕
本発明の第3の実施の形態に係るネットワーク接続システム200のシステム構成図を図16に示す。
図16に示したネットワーク接続システム200は、ネットワーク40に接続されたネットワーク接続装置210と、ネットワーク接続装置210と通信可能に接続された通信端末220とを備えた構成を有し、さらにネットワーク40には、外部ホスト30が接続されている。
(Third embodiment of the present invention)
〔overall structure〕
FIG. 16 shows a system configuration diagram of a
A
また、図16に示したネットワーク接続システム200では、ネットワーク接続装置210を介して、ネットワーク接続装置210に接続された通信端末220と、外部ホスト30を含むネットワーク40上の機器との間で情報が送受信される。
なお、図示した通信端末220の各々を区別する場合には、通信端末220をそれぞれ通信端末220−1、通信端末220−2と記載し、外部ホスト30の各々を区別する場合には、外部ホスト30をそれぞれ外部ホスト30−1、外部ホスト30−2と記載する。
In the
When distinguishing each of the illustrated
また、例えば、外部ホスト30−1、外部ホスト30−2は、それぞれWebサーバ、メールサーバ、通信相手端末等であり、通信端末220およびネットワーク接続装置210は、企業内および家庭内に設置され、ネットワーク40は、インターネット等である。なお、ネットワーク接続装置210と通信端末220との間は、有線または無線で接続されてもよい。
ネットワーク接続装置210と通信端末220との間は、リンクレイヤのプロトコルに準拠して通信する。例えば、リンクレイヤのプロトコルは、IEEE802.3(Ethernet(登録商標))、PPP(Point-to-Point Protocol)、もしくはL2TP(Layer 2 Tunneling Protocol)、またはPPTP(Point-to-Point Tunneling Protocol)などのトンネリングプロトコルでもよく、ネットワーク接続装置210と外部ホスト30との間の通信はIPに準拠する。
Further, for example, the external host 30-1 and the external host 30-2 are a Web server, a mail server, a communication partner terminal, and the like, respectively, and the
The
通信端末220は、必ずしもIPに準拠した通信をしない。また、ネットワーク接続装置210は、外部ホスト30等の通信機器と通信するため、例えば、グローバルIPアドレスを1以上保有する(メモリ等に格納している)。
〔ネットワーク接続装置210の構成〕
<ハードウエア構成>
ネットワーク接続装置210は、CPU(Central Processing Unit)、メモリ(RAM,ROM,NV-RAM)、ハードディスク、ネットワーク40に接続されるネットワークインタフェース、および通信端末20に接続されるインタフェース等を有している。
The
[Configuration of Network Connection Device 210]
<Hardware configuration>
The
<ソフトウエア構成>
図17は、ネットワーク接続装置210にインストールされているソフトウエア2010の構成を例示した図である。図17に示すように、この例のソフトウエア2010は、通信端末220とネットワーク接続装置210とのリンクを確立させてリンク情報を生成するためのリンク確立ソフトウエア2012、通信端末220から通知されるプロセス識別子とグローバルIPアドレス等のアドレスとを対応させるプロセス対応情報を作成するためのプロセス対応情報作成ソフトウエア2013、OS(Operating System)2015、ネットワークドライバ2016、および、プロセス対応情報に従って内部通信情報を生成する内部通信情報生成ソフトウエア2017を有している。
<Software configuration>
FIG. 17 is a diagram illustrating a configuration of software 2010 installed in the
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置210は、上述のハードウエアにソフトウエア2010がインストールされ、このソフトウエア2010がCPUで実行されることにより構成される。図18は、このように構成されたネットワーク接続装置210の構成を例示したブロック図である。
この図に示すように、この例のネットワーク接続装置210は、通信端末220と通信を行うインタフェース部211、通信端末220との間のリンクを確立させてリンク情報2021を生成するリンク確立部212、プロセス対応情報2022を作成するプロセス対応情報作成部213、リンク情報2021とプロセス対応情報2022とソケット情報テーブル2023を格納する記憶部214、ソケット情報テーブル2023を生成し、さらにプロセス対応情報2022に従ってパケットを生成するパケット生成部215、プロセス対応情報2022に従って内部通信情報を生成する内部通信情報生成部216、ネットワーク40を通じた通信を行うネットワークインタフェース部217、ネットワーク接続装置210全体を制御する制御部218、および、プロセス2101〜2103を実行するプロセス実行部219を有する。また、インタフェース部211にはインタフェース番号(IF#0)が割り振られている。
<Cooperation between hardware and software>
The
As shown in this figure, the
ここで、「インタフェース番号」とは、インタフェースを特定するための識別子である。また、「インタフェース」とは、各装置における通信の論理的な機能単位を意味し、具体的には、所定のソフトウエアが読み込まれたCPUがLANカード等の通信装置を制御することによって構成される。また、各装置は複数のインタフェースをもつことが可能である。
またプロセス2101〜2103は、OS2015の制御のもとCPUがアプリケーションソフトウエア2014を実行する際の処理単位である。これらのプロセス2101〜2103は、通信端末220で生起される各プロセス2001〜2003(図16)にそれぞれ対応し、これらとの通信処理を行うものである。なお、各プロセス2101〜2103は、例えば、それに対応する通信端末220のプロセス2001〜2003が生起されたことや、これとの通信が開始されたことを契機に生起される。また、プロセスの生起とは、プロセスに対応するプログラムがRAM等の主記憶装置に読み込まれ、CPUがこのプログラムを実行可能な状態にすること、および、実際に実行することをいう。また、プロセスは、一つのOS上で動作し、複数のOSが一つのホスト上で動作することもある。さらにプロセスは、OSにローカルなプロセス識別子(以下、プロセスIDという。)をもつ。また、本形態における「ソケット」とは、アプリケーションソフトがTCP/IP通信を扱うための仮想的なインタフェース〔API(Application Program Interface)〕を意味する。
Here, the “interface number” is an identifier for specifying an interface. An “interface” means a logical functional unit of communication in each device, and is specifically configured by a CPU loaded with predetermined software controlling a communication device such as a LAN card. The Each device can have a plurality of interfaces.
〔通信端末220の構成〕
<ハードウエア構成>
通信端末220は、CPU、メモリ、ネットワーク接続装置210に接続されるインタフェース等を有しており、例えば、ハードディスク、キーボード等の入力器、およびディスプレイを備えたパソコン等である。また、通信端末220は、情報家電機器等でもよい。
<ソフトウエア構成>
図19は、通信端末220にインストールされているソフトウエア2030の構成を例示した図である。図19に示すように、この例のソフトウエア2030は、Webページを閲覧するブラウザまたは、メールを送受信するメーラ等のアプリケーションソフトウエア2031、ネットワーク接続装置210へのリンク確立要求を行うためのリンク確立要求情報生成ソフトウエア2032、OS2033、および、ネットワークドライバ2034を有している。なお、アプリケーションソフトウエア2031は、ブラウザやメーラだけに限定されることはない。
[Configuration of Communication Terminal 220]
<Hardware configuration>
The
<Software configuration>
FIG. 19 is a diagram illustrating a configuration of
<ハードウエアとソフトウエアの協働>
本形態の通信端末220は、上述のハードウエアにソフトウエア2030がインストールされ、このソフトウエア2030がCPUで実行されることにより構成される。
図20は、このように構成された通信端末220−1の構成を例示したブロック図である。なお、ここでは通信端末220−1の構成のみを例示するが、通信端末220−2の構成もこれと同様である。
この例の通信端末220−1は、プロセス対応情報2041やリンク情報2042を格納する記憶部221−1、ネットワーク接続装置210と通信を行うインタフェース部222−1、ネットワーク接続装置210へのリンク確立要求を行うリンク確立要求情報生成部223−1、プロセス2001,2002を実行するプロセス実行部224−1、および、通信端末220−1全体を制御する制御部225−1を有する。また、インタフェース部222−1にはインタフェース番号(IF#1)が割り振られている。
<Cooperation between hardware and software>
The
FIG. 20 is a block diagram illustrating the configuration of the communication terminal 220-1 configured as described above. Although only the configuration of the communication terminal 220-1 is illustrated here, the configuration of the communication terminal 220-2 is the same as this.
The communication terminal 220-1 in this example includes a storage unit 221-1 that stores
ここで、プロセス2001,2002は、OS2033の制御のもとCPUがアプリケーションソフトウエア2031を実行する際の処理単位である。これらのプロセス2001,2002は、アプリケーションソフトウエア2031がCPU上で起動されたことなどを契機にOS2033によって生起される。本形態の場合、生起されたプロセス2001,2002は、例えば、ネットワーク40上のWebサーバやメールサーバとの通信処理を含む。そして、このWebサーバ等との通信処理は、CPU上で起動するソフトウエアであるネットワークドライバ2034による処理を介して実現される。具体的には、CPU上で起動されたネットワークドライバ2034は、例えば、宛先アドレスやペイロードを含み、リンクレイヤのプロトコルに準拠した内部通信情報を生成して送信する。なお、図16では、通信端末220−1にプロセス2001およびプロセス2002が生起し、通信端末220−2にプロセス2003が生起している様子を示している。
Here, processes 2001 and 2002 are processing units when the CPU executes the
〔ネットワーク接続装置210と通信端末220との間のリンク〕
ネットワーク接続装置210と、通信端末220とは、後述の処理により対応付けられる。本形態の対応付け(リンク)は、ネットワーク接続装置210のインタフェース番号と通信端末220のインタフェース番号との組で特定され、各リンクは、論理的なリンク番号によって表される。リンク番号とインタフェース(IF)番号との対応関係の一例を表6に示す。
[Link between
The
〔動作〕
以上のように構成された本発明の第3の実施の形態に係るネットワーク接続システム200の動作について、図面を参照して説明する。
図21,22は、本発明の第3の実施の形態に係るネットワーク接続システム200の動作を示すシーケンス図である。なお、以下では、通信端末220−1がネットワーク40に接続された外部ホスト30等の通信機器と通信を行う場合を例にとって説明する。
まず、通信端末220−1のリンク確立要求情報生成部223−1は、ネットワーク接続装置210に対するリンク確立要求を示すリンク確立要求情報を生成する。本形態の例のリンク確立要求情報は、リンクの確立を要求する通信端末220−1のインタフェース番号「11:12:13:14:15:16:00」(IF#1)と、ネットワーク接続装置210のインタフェース番号「01:02:03:04:05:06:00」(IF#0)との組を含む情報である。生成されたリンク確立要求情報は、ネットワークドライバ2034の処理に従い、インタフェース部222−1からネットワーク接続装置210に送信される(S101)。なお、リンク確立要求情報を送信する契機としては、通信端末220−1がネットワーク接続装置210と有線または無線により接続したとき、もしくは通信端末220−1が通信を開始するときなどである。
[Operation]
The operation of the
21 and 22 are sequence diagrams showing the operation of the
First, the link establishment request information generation unit 223-1 of the communication terminal 220-1 generates link establishment request information indicating a link establishment request to the
次に、ネットワーク接続装置210は、通信端末220−1から送信されたリンク確立要求情報をインタフェース部211で受信し、これをリンク確立部212に転送する。リンク確立部212は、受信したリンク確立要求情報に応じたリンク番号を割り当てる。そして、リンク確立部212は、割り当てたリンク番号と、リンク確立要求情報に含まれる通信端末220−1のインタフェース番号(IF#1)と、ネットワーク接続装置210のインタフェース番号(IF#0)とを対応させる(例えば、表6のような)リンク情報2021を生成し、これをRAMやNV−RAM等の記憶部214に格納する(S102)。また、リンク確立部212は、生成したリンク情報2021をインタフェース部211から通信端末220−1に送信する。
Next, the
通信端末220−1は、ネットワーク接続装置210から送信されたリンク情報2021をインタフェース部222−1で受信する。そして、通信端末220−1の制御部225−1は、ネットワークドライバ2034の処理に従い、このリンク情報2021を通信端末220−1のリンク情報2042として、リンクが切断するまで記憶部221−1に保持する。
次に、通信端末220−1のリンク確立要求情報生成部223−1は、記憶部221−1からリンク情報2042を読み込み、このリンク情報2042に対応するリンクにIPアドレス(グローバルIPアドレス等)の割り当てを要求するためのIPアドレス割り当て要求情報を生成する(S103)。なお、このIPアドレス割り当て要求情報は、記憶部221−1から読み込まれたリンク情報2042を含む。生成されたIPアドレス割り当て要求情報は、通信端末220−1のインタフェース部222−1からネットワーク接続装置210に送信され、ネットワーク接続装置210のインタフェース部211で受信される。
The communication terminal 220-1 receives the
Next, the link establishment request information generation unit 223-1 of the communication terminal 220-1 reads the
これを契機に、ネットワーク接続装置210のリンク確立部212は、インタフェース部211で受信されたIPアドレス割り当て要求情報が有するリンク情報2042に対応するリンクに対し、IPアドレスを割り当てる(S104)。さらにリンク確立部212は、このリンク情報2042と一致するリンク情報2021を記憶部214から選択し、選択したリンク情報2021に当該IPアドレスを追加した情報を、新たなリンク情報2021として記憶部214に格納する。IPアドレスが追加された新たなリンク情報2021の一例を表7に示す。なお、表7は、リンク番号001のリンク情報2021に対してIPアドレス「1.1.1.1」が追加された例である。
In response to this, the
通信端末220−1のリンク確立要求情報生成部223−1は、インタフェース部222−1で受信されたリンク情報(IPアドレスを含む)2021が有するIPアドレスをリンク情報2042に追加し、これを新たなリンク情報2042として記憶部221−1に格納する(S105)。なお、S103からS104の手順においてIPアドレス割り当て要求情報にリンク情報2042を含ませているが、代わりにリンク情報2042に含まれるリンク番号を用いてもよい。この場合はS104においてネットワーク接続装置210はリンク番号よりリンク情報を特定する。また、IPアドレス割り当て要求情報をリンク確立要求情報と同時に送信するようにしてもよい。
The link establishment request information generation unit 223-1 of the communication terminal 220-1 adds the IP address included in the link information (including the IP address) 2021 received by the interface unit 222-1 to the
次に、プロセス実行部224−1は、プロセス2001を生起し、生起したプロセス2001に対応するプロセスIDおよび記憶部221−1に格納されたリンク情報2042を含むプロセス情報を、インタフェース部222−1からネットワーク接続装置210に送信する(S111)。なお、リンク情報2042に代えて、そのリンク番号をプロセス情報に含ませてもよい。また、プロセス情報を送信する契機としては、プロセスが生起されたとき、もしくは通信を開始するときなどである。また、このプロセス情報の送信は、ネットワークドライバ2034の処理に従って実行される。
Next, the process execution unit 224-1 generates the
ネットワーク接続装置210は、通信端末220−1によって送信されたプロセス情報をインタフェース部211で受信する。これを契機に、プロセス実行部219は、インタフェース部211で受信されたプロセス情報に対応するプロセス2101を生起する。さらに、プロセス対応情報作成部213は、インタフェース部211で受信されたプロセス情報が有するリンク情報のリンク番号及びIPアドレスと、このプロセス情報が有する通信端末220−1のプロセスIDと、このプロセス情報に対応してプロセス実行部219で生起されたネットワーク接続装置210のプロセス2101のプロセスIDとを対応つけたプロセス対応情報2022を作成し、これをRAMやNV−RAM等の記憶部214に格納する(S112)。このようなプロセス対応情報2022の一例を表8に示す。
The
また、プロセス情報には、アドレスの割当て方法を指定するアドレス割当情報を含めることができる。プロセス情報にアドレス割当情報を含めている場合には、プロセス対応情報作成部213は、このアドレス割当情報に従ってアドレスを割り当てる。この場合、アドレス割当情報に、1つのユーザにつき1つのアドレスを割り当てるようにような設定が施されてもよい。具体的には、例えば、アドレス割当情報にユーザを表すユーザIDが設定されてもよい。この例の場合、プロセス対応情報作成部213には、ユーザIDが設定されているアドレス割当情報を含むプロセス情報がインタフェース部211から転送される。そして、この例のプロセス情報が転送されたプロセス対応情報作成部213は、例えば、アドレス割当情報に設定されているユーザIDを、リンク番号と、通信端末220のプロセスIDと、ネットワーク接続装置210のプロセスIDと、IPアドレスとに対応させたプロセス対応情報2022を作成する。この場合のプロセス対応情報2022の一例を表9に示す。
Further, the process information can include address assignment information for designating an address assignment method. If the process information includes address assignment information, the process correspondence
次に、通信端末220−1のプロセス実行部224−1は、生起されているプロセス2001に対応するプロセス対応情報2041及びリンク情報2042を記憶部221−1から読み込む。また、プロセス実行部224−1は、読み込んだプロセス対応情報2041或いはリンク情報2042からIPアドレスを送信元IPアドレスとして抽出する。さらに、プロセス実行部224−1は、プロセス2001の実行により、通信相手の宛先IPアドレス、宛先ポート番号、さらに送信元ポート番号及びプロトコル種別を抽出し、これらと送信元IPアドレスとからなるソケット情報を生成する。なお、プロセス2001に対応する宛先IPアドレス、宛先ポート番号、送信元ポート番号及びプロトコル種別は、例えば、プロセス2001を実現するプログラム中に存在する情報や、ユーザが入力した情報である。そして、プロセス実行部224−1は、生成したソケット情報と、生起されているプロセス2001のプロセスIDと、読み込んだリンク情報2042とを含むソケット初期化要求情報を生成する。生成されたソケット初期化要求情報は、通信端末220−1のインタフェース部222−1からネットワーク接続装置210に送信され、ネットワーク接続装置210のインタフェース部211で受信される(S114)。
Next, the process execution unit 224-1 of the communication terminal 220-1 reads the
ネットワーク接続装置210のプロセス実行部219は、インタフェース部211が受信したソケット初期化要求情報に含まれるリンク情報とプロセスID(「通信端末220のプロセスID」に相当)をキーとしてプロセス対応情報(例えば、表8や表9)を検索し、検索キーに対応するエントリーの「ネットワーク接続装置210のプロセスID」を抽出する。プロセス実行部219は、抽出されたプロセスIDに対応するプロセスを実行し、インタフェース部211が受信したソケット初期化要求情報のソケット情報にソケット番号を割り当て、これをソケット情報に対応付けたソケット情報テーブル2023を生成し、このソケット情報テーブル2023を記憶部214に格納する。このソケット情報テーブル2023の一例を表10に示す。
The
図23は、本発明の第3の実施の形態に係るネットワーク接続装置210を経由した、通信端末220−1および外部ホスト30−1との間の情報の流れを示す図である。ここで、図23(A)は、通信端末220−1からネットワーク接続装置210を通じて外部ホスト30−1へ情報を送信する際の流れを示している。また、図23(B)は、外部ホスト30−1からネットワーク接続装置210を通じて通信端末220−1へ情報を送信する際の流れを示している。なお、図23では、通信端末220−1のプロセス2001及びネットワーク接続装置210のプロセス2101に係る処理を例にとって説明する。
FIG. 23 is a diagram illustrating a flow of information between the communication terminal 220-1 and the external host 30-1 via the
<図23(A)に示す処理>
まず、通信端末220−1のプロセス実行部224−1が、実行されているプロセス2001に従い、外部ホスト30−1に送信されるデータとなるペイロードを生成する。また、プロセス実行部224−1は、生起されているプロセス2001のプロセスIDを取得する。そして、プロセス2001のソケットAPIにより通信処理が開始されると、プロセス実行部224−1は、ネットワークドライバ2034の処理に従い、プロセス2001のプロセスIDに対応するリンク情報2042を記憶部221−1から読み込む。そして、プロセス実行部224−1は、当該リンク情報2042が示すリンクに対応する通信経路に、以下の内部通信情報2051を送信する。
<Process shown in FIG. 23A>
First, the process execution unit 224-1 of the communication terminal 220-1 generates a payload serving as data to be transmitted to the external host 30-1 according to the
[内部通信情報2051]
・リンク番号:通信端末220−1のIF番号等を含むリンクを指定する情報
・プロセスID(通信端末220−1のプロセスID)
・ソケット情報
・ペイロード(外部ホスト30に送信するデータ)
ネットワーク接続装置210は、通信端末220−1から送信された内部通信情報2051を、インタフェース部211で受信する。受信された内部通信情報2051はパケット生成部215に転送され、パケット生成部215は、転送された内部通信情報2051に含まれるリンク番号とプロセスID(通信端末220−1のプロセスID)とを用いて、リンク情報2021(表7等)及びプロセス対応情報2022(表8,9等)を検索し、「通信端末220−1のプロセスID」に対応する「ネットワーク接続装置210のプロセスID」を特定する。具体的には、例えば、パケット生成部215は、内部通信情報2051に含まれるリンク番号と、内部通信情報2051に含まれる通信端末220−1のプロセスIDとをキーとしてプロセス対応情報2022を検索し、対応するネットワーク接続装置210のプロセスIDを特定する。
[Internal communication information 2051]
Link number: information specifying a link including the IF number of the communication terminal 220-1, etc. Process ID (process ID of the communication terminal 220-1)
-Socket information-Payload (data to be sent to the external host 30)
The
次に、パケット生成部215は、このように特定したプロセスIDが示すプロセス(プロセス実行部219で生起されているプロセス2101)が利用可能なように、内部通信情報2051に含まれるソケット情報とペイロード情報とをプロセス実行部219に送る。ソケット情報とペイロード情報とが送られたプロセス実行部219は、これらを用いてプロセス2101を実行し、ソケットAPIを用いて以下のような送信処理を実行させる。まず、ネットワークドライバ2016の制御のもと、パケット生成部215は、プロセス2101から受け取ったソケット情報とペイロード情報とにより、IPヘッダとTCP/UDPヘッダとを生成し、これらを内部通信情報2051に含まれるペイロード情報に付加したIPパケット2052を生成して、これをネットワークインタフェース部217から外部ホスト30−1へ送信する。なお、IPヘッダは、ソケット情報に含まれる宛先IPアドレス、送信元IPアドレス、プロトコル種別等によって構成される。また、TCPヘッダは、ソケット情報に含まれる宛先ポート番号、送信元ポート番号等によって構成される。また、この送信結果(ステータス)は、通信端末220−1に返される。外部ホスト30−1は、ネットワーク接続装置210から送信されたIPパケット2052を受信し、受信したIPパケット2052を処理する。
Next, the
<図23(B)に示す処理>
外部ホスト30−1から通信を開始する場合、外部ホスト30−1がペイロードを生成する。また、上記の例の外部ホスト30−1が受信したIPパケット2052に対して応答する場合も、外部ホスト30−1がIPパケット2052に対する応答内容などを含むペイロードを生成する。そして、外部ホスト30−1は、生成したペイロードと、IPヘッダと、TCPヘッダとを含むIPパケット2053を生成する。なお、IPパケット2053のIPヘッダは、IPパケット2052のIPヘッダが有する送信元IPアドレスを宛先IPアドレスとし、IPパケット2052のIPヘッダが有する宛先IPアドレスを送信元IPアドレスとし、さらにプロトコル種別等の情報を追加して生成されるものである。また、IPパケット2053がIPパケット2052の返信である場合には、IPパケット2053のTCPヘッダは、IPパケット2052のTCPヘッダが有する送信元ポート番号を宛先ポート番号とし、IPパケット2052のTCPヘッダが有する宛先ポート番号を送信元ポート番号として生成されるものである。
<Process shown in FIG. 23B>
When communication is started from the external host 30-1, the external host 30-1 generates a payload. Also, when the external host 30-1 in the above example responds to the received IP packet 2052, the external host 30-1 generates a payload including response contents for the IP packet 2052. Then, the external host 30-1 generates an IP packet 2053 including the generated payload, IP header, and TCP header. Note that the IP header of the IP packet 2053 has the source IP address included in the IP header of the IP packet 2052 as the destination IP address, the destination IP address included in the IP header of the IP packet 2052 as the source IP address, and the protocol type, etc. It is generated by adding the information. When the IP packet 2053 is a reply of the IP packet 2052, the TCP header of the IP packet 2053 uses the source port number of the TCP header of the IP packet 2052 as the destination port number, and the TCP header of the IP packet 2052 The destination port number is generated as the source port number.
外部ホスト30−1は、図23(A)に示す処理と同じソケットを用い、IPパケット2053をネットワーク接続装置210に送信する。ネットワーク接続装置210は、このソケットを用いて送信されたIPパケット2053を、ネットワークインタフェース部217で受信し、これを内部通信情報生成部216に転送する。
また、制御部218は、IPパケット2053の通信に用いたソケットに対応するプロセス2101のプロセスIDを表10に例示したようなソケット情報テーブル2023を用いて検索し、得られたプロセスID(2101)をプロセス実行部219に送り、プロセス実行部219は、送られたプロセスIDに対応するプロセス2101を実行する。このプロセス2101は、自身のプロセスIDを検索キーとしてプロセス対応情報2022(例えば、表9)を検索し、そのプロセスIDに対応付けられている通信端末220のプロセスIDとリンク番号とを得る。さらに、このプロセス2101は、取得したリンク番号を検索キーとしてリンク情報2021(例えば、表7)を検索し、そのリンク番号に対応付けられているリンク情報(リンク番号、通信端末220のインタフェース番号、ネットワーク接続装置210のインタフェース番号等)を得る。このように得られたリンク情報及びプロセスIDは、内部通信情報生成部216に転送される。
内部通信情報生成部216は、上述のように転送された情報と記憶部214の情報とを用い、以下のような内部通信情報2054を生成し、この内部通信情報2054を、インタフェース部211から、リンク情報に示される通信経路を通じ、通信端末220−1に送信する。
The external host 30-1 transmits the IP packet 2053 to the
In addition, the
The internal communication
[内部通信情報2054]
・リンク番号:通信端末220−1のIF番号等を含むリンクを指定する情報
・プロセスID(通信端末220−1のプロセスID)
・ソケット情報(ソケット初期化処理(S115)で記憶部214に格納したソケット情報テーブル2023から対応するものを抽出)
・ペイロード(外部ホスト30から受信したデータ)
通信端末220−1は、インタフェース部222−1において、この内部通信情報2054を受信する。そして、制御部225−1は、インタフェース部222−1で受信された内部通信情報2054のペイロード情報を、その内部通信情報2054のプロセスIDで指定されるプロセス2001を実行するプロセス実行部224−1に送る。これを受け取ったプロセス実行部224−1は、プロセス2001を実行することにより、内部通信情報2054のペイロード情報の受信処理を行う。なお、内部通信情報に含まれるソケット情報に代えて対応するソケット番号を用いてもよい。
[Internal communication information 2054]
Link number: information specifying a link including the IF number of the communication terminal 220-1, etc. Process ID (process ID of the communication terminal 220-1)
Socket information (corresponding information is extracted from the socket information table 2023 stored in the
Payload (data received from external host 30)
The communication terminal 220-1 receives the internal communication information 2054 at the interface unit 222-1. Then, the control unit 225-1 executes the
以上のような構成としても、ネットワーク接続装置210と通信端末220の間で用いられるプライベートアドレスが不要となるため、NATに係るアドレスの変換が不要となる。その結果、従来のNAT超えの対策を適用する場合のような、IPヘッダ内のアドレスに加えて上位レイヤのメッセージを変換するといった処理が不要となる。また、種々のプロトコルに対応可能となるデータ転送を行うことができる。
また、通信端末220とネットワーク接続装置210との間で送受される内部通信情報2051,2054はIPを介在しないため、IPによるオーバヘッドが削減でき、データ転送量が低減する。
Even with the configuration as described above, a private address used between the
Further, since the internal communication information 2051 and 2054 transmitted and received between the
さらに、ネットワーク接続装置210の記憶部214にリンク情報2021およびプロセス対応情報2022が生成された後は、外部ホスト30等のネットワーク上の通信機器は、通信を希望する通信端末220のネットワークレイヤーおよびトランスポートレイヤーのエンドポイントであるネットワーク接続装置210を直接指定してセッションを行ったり、開始したりすることができる。
また、本形態では、ネットワーク接続装置210がアドレス変換を行わないため、本システムにIPsecのプロトコルを適用することも容易である。
Further, after the
In this embodiment, since the
なお、本発明の第3の実施の形態に係るネットワーク接続システム200において、通信端末220に、ソフトウエア2030に替えて、図24に示すようなソフトウエア2060をインストールすることとしてもよい。図24に例示するように、ソフトウエア2060は、2つの仮想マシン(OS)2062A,2062B、各仮想マシン2062A,2062B上で起動するアプリケーションソフトウエア2061A,2061B及びネットワークドライバ2063A,2063Bを有している。
図25は、このようなソフトウエア2060をコンピュータにインストールした通信端末320を用いたネットワーク接続システム300を例示した図である。この場合、通信端末320では、OS2062Aおよび2062Bの2つの仮想マシン320−1,320−2が起動し、それぞれの上でOSが動作することになる。なお、各仮想マシン320−1,320−2の構成及びその処理内容は、前述の通信端末220−1,220−2と同様であり、例えば、ユーザA、ユーザBがそれぞれ各仮想マシン320−1,320−2を利用する。またユーザA、ユーザBが同時に異なる仮想マシン320−1,320−2を利用してもよい。また、ネットワーク接続装置210によってユーザ毎に1つずつアドレスが割り当てられる形態をとることもできる。
In the
FIG. 25 is a diagram illustrating a
(本発明の第4の実施の形態)
〔全体構成〕
本発明の第4の実施の形態に係るネットワーク接続システム400のシステム構成図を図26に示す。図26に示したネットワーク接続システム400は、ISP(Internet Service Provider)等が有する認証サーバ460と、ネットワーク40に接続されたネットワーク接続装置410と、ネットワーク接続装置410と通信可能に接続された通信端末420を備えた構成であり、さらにネットワーク40には、外部ホスト30が接続されている。
(Fourth embodiment of the present invention)
〔overall structure〕
FIG. 26 shows a system configuration diagram of a
なお、本発明の第4の実施の形態に係るネットワーク接続システム400を構成する構成要素のうち、本発明の第3の実施の形態に係るネットワーク接続システム200を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。また、図示した通信端末420の各々を区別する場合には、通信端末420をそれぞれ通信端末420−1、通信端末420−2と記載する。
例えば、通信端末420およびネットワーク接続装置410は、企業内または家庭内に設置される。ネットワーク接続装置410は、例えば、ISPから支給または貸し出しされたものでもよい。ネットワーク接続装置410および通信端末420は、本発明の第3の実施の形態で説明したネットワーク接続装置210と通信端末220と基本的に同様の構成である。差異については以降に説明する。
Of the components constituting the
For example, the communication terminal 420 and the
本発明の第4の実施の形態に係るネットワーク接続システム400では、通信端末420が、通信端末420を認証するための端末認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410が、通信端末420から送信された端末認証情報に基づいて通信端末420の認証を行い、通信端末420の認証が成功した場合、通信端末420とネットワーク40上の機器との間における送受信を許可するようになっている。
また、通信端末420が、複数のOSがそれぞれ動作する複数の仮想マシンから構成される場合、本形態の処理の代わりに、通信端末420が、各仮想マシンで生成された各仮想マシンを認証するための仮想マシン認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410が、通信端末420上の仮想マシンから送信された仮想マシン認証情報に基づいて仮想マシンの認証を行い、その認証が成功した仮想マシンとネットワーク40上の機器との間における送受信を許可する構成をとることもできる。
In the
In addition, when the communication terminal 420 includes a plurality of virtual machines each running a plurality of OSs, the communication terminal 420 authenticates each virtual machine generated by each virtual machine instead of the processing of this embodiment. Virtual machine authentication information is transmitted to the
さらに、通信端末420が、通信端末420を利用するユーザを認証するためのユーザ認証情報をネットワーク接続装置410に送信し、ネットワーク接続装置410は、通信端末420から送信されたユーザ認証情報に基づいてユーザの認証を行い、ユーザの認証が成功した場合、通信端末420とネットワーク40上の機器との間における通信のうち、このユーザに対応するプロセス識別子を含む内部通信情報に対応するものの送受信を許可する構成とすることもできる。
〔ネットワーク接続装置410の構成〕
次に、本発明の第4の実施の形態に係るネットワーク接続装置410の構成を説明する。なお、以下では、ネットワーク接続装置410の構成要素のうち、本発明の第3の実施の形態に係るネットワーク接続装置210の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
Further, the communication terminal 420 transmits user authentication information for authenticating a user who uses the communication terminal 420 to the
[Configuration of Network Connection Device 410]
Next, the configuration of the
<ハードウエア構成>
第3の実施の形態のネットワーク接続装置210と同様である。
<ソフトウエア構成>
図27は、ネットワーク接続装置410にインストールされているソフトウエア2070の構成を例示した図である。この図に例示するように、本形態の第3の実施の形態との相違点は、さらに端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいて認証を行うための認証ソフトウエア2071がネットワーク接続装置410にインストールされている点である。その他は第3の実施の形態と同様である。
<Hardware configuration>
This is the same as the
<Software configuration>
FIG. 27 is a diagram illustrating a configuration of the software 2070 installed in the
<ハードウエアとソフトウエアの協働>
本形態のネットワーク接続装置410は、第3の実施の形態と同様なハードウエアにソフトウエア2070がインストールされ、このソフトウエア2070がCPUで実行されることにより構成される。図28は、このように構成されたネットワーク接続装置410の構成を例示したブロック図である。この図に示すように、本形態のネットワーク接続装置410は、端末認証情報またはユーザ認証情報に基づいて認証を行う認証部411が付加される点で、第3の実施の形態のネットワーク接続装置210と相違する。その他はネットワーク接続装置210と同様である。すなわち、ネットワーク接続装置410は、インタフェース部211、リンク確立部212、プロセス対応情報作成部213、記憶部214、パケット生成部215、内部通信情報生成部216、ネットワークインタフェース部217、制御部218、プロセス実行部219、および、端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいて認証を行う認証部411を有する。
〔通信端末420の構成〕
次に、本発明の第4の実施の形態に係る通信端末420の構成を説明する。なお、以下では、通信端末420の構成要素のうち、本発明の第3の実施の形態に係る通信端末220の構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<Cooperation between hardware and software>
The
[Configuration of Communication Terminal 420]
Next, the configuration of the communication terminal 420 according to the fourth embodiment of the present invention will be described. In the following, among the components of the communication terminal 420, the same components as those of the
<ハードウエア構成>
第1の実施の形態の通信端末220と同様である。
<ソフトウエア構成>
図29は、通信端末420にインストールされているソフトウエア2090の構成を例示した図である。この図に例示するように、本形態の第3の実施の形態との相違点は、さらに端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置410に対して行うための認証要求ソフトウエア2091が通信端末420にインストールされている点である。その他は第3の実施の形態と同様である。
<Hardware configuration>
This is the same as the
<Software configuration>
FIG. 29 is a diagram illustrating a configuration of
<ハードウエアとソフトウエアの協働>
本形態の通信端末420は、第3の実施の形態と同様なハードウエアにソフトウエア2090がインストールされ、このソフトウエア2090がCPUで実行されることにより構成される。図30は、このように構成された通信端末420−1の構成を例示したブロック図である。この図に示すように、本形態の通信端末420−1は、端末認証情報、仮想マシン認証情報、またはユーザ認証情報に基づいた認証の要求をネットワーク接続装置410に対して行う認証要求部421−1が付加される点で第3の実施の形態の通信端末220−1と相違する。その他は通信端末220−1と同様である。なお、ここでは、通信端末420−1の構成のみを例示するが、通信端末420−2の構成も同様である。
<Cooperation between hardware and software>
The communication terminal 420 of this embodiment is configured by installing
〔動作〕
以上のように構成された本発明の第4の実施の形態に係るネットワーク接続システム400の動作について、図面を参照して説明する。図31および図32は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作を示すシーケンス図である。
なお、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうち、本発明の第3の実施の形態に係るネットワーク接続システム200の動作と同一の動作には同一の符号を付し、それぞれの説明を省略する。また以下では、通信端末420−1がネットワーク40に接続された外部ホスト30等の通信機器と通信する場合を例にとって説明する。
[Operation]
The operation of the
Of the operations of the
図31は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうち、端末認証の動作を示すシーケンス図である。
まず、通信端末420−1のリンク確立情報生成部が第3の実施の形態のS101と同じリンク確立要求情報を生成する。加えて、認証要求部421−1が、端末認証の要求を行うための端末認証情報を、記憶部221−1から読み込んだ端末鍵情報2101に基づき生成する。そして、通信端末420−1のインタフェース部222−1から、これらのリンク確立要求情報及び端末認証情報をネットワーク接続装置410に送信する(S211)。
FIG. 31 is a sequence diagram showing a terminal authentication operation among the operations of the
First, the link establishment information generation unit of the communication terminal 420-1 generates the same link establishment request information as that of S101 of the third embodiment. In addition, the authentication request unit 421-1 generates terminal authentication information for requesting terminal authentication based on the terminal
なお、端末認証情報は、端末鍵情報2101であるところの通信端末のIDおよびパスワード、または、公開鍵証明書と端末鍵情報2101を用いて計算された署名など通信端末420を認証できる情報であれば如何なるものでもよい。端末鍵情報2101は、予めメモリ等の記憶部221−1に記憶しているものが使用されてもよく、また、端末認証の要求を行う際に、ユーザから入力され記憶部221−1に格納されたものが使用されてもよい。
次に、ネットワーク接続装置410は、インタフェース部211で、通信端末420によって送信されたリンク確立要求情報及び端末認証情報を受信し、リンク確立要求情報をリンク確立部212に、端末認証情報を認証部411に、それぞれ転送する。この認証部411は、端末認証情報に基づいて認証を行う(S212)。
The terminal authentication information may be information that can authenticate the communication terminal 420 such as the ID and password of the communication terminal as the terminal
Next, the
なお、この例の認証部411は、端末認証情報を認証サーバ460に送信することにより、認証サーバ460に対して認証を要求して認証結果を得る。また、認証部411は、NV−RAM等の記憶部214に格納している認証に関わる情報(図示せず)と照合して認証結果を決定してもよい。
次に、リンク確立部212は、第3の実施の形態と同様なリンク情報2021(例えば、表7)に、認証結果に応じた認証状態を加えて、表11に例示するようなリンク情報2021を作成し、記憶部214に格納する。すなわち、認証部411は、認証結果が成功であった場合、表11のリンク情報2021における認証有無を「有」とし、認証結果が失敗であった場合、表11にリンク情報2021の登録を行わない。従って、当該通信端末420とネットワーク40上の機器との間の送受信は、許可されない。なお、認証が行われなかった場合は、認証有無は「無」になる。
Note that the
Next, the
図32は、本発明の第4の実施の形態に係るネットワーク接続システム400の動作のうちユーザ認証の動作を示すシーケンス図である。
FIG. 32 is a sequence diagram showing a user authentication operation among the operations of the
まず、通信端末420−1のプロセス実行部224−1が第3の実施のS111と同様にプロセスを生起する。加えて、認証要求部421−1が、ユーザ認証の要求を行うためのユーザ認証情報を記憶部221−1から読み込んだユーザ鍵情報2102に基づき生成する。そして、通信端末420−1のインタフェース部222−1から、リンク確立要求情報及びユーザ鍵情報2102に基づき生成したユーザ認証情報をネットワーク接続装置410に送信する(S221)。
なお、ユーザ認証情報は、ユーザ鍵情報2102であるところの通信端末のIDおよびパスワード、または、公開鍵証明書とユーザ鍵情報2102を用いて計算された署名などユーザを認証できる情報であれば如何なるものでもよい。ユーザ鍵情報2102は、予め記憶部221−1に記憶しているものが使用されてもよく、また、ユーザ認証の要求を行う際に、ユーザから入力され、記憶部221−1に格納されたものが使用されてもよい。
First, the process execution part 224-1 of the communication terminal 420-1 generates a process similarly to S111 of 3rd implementation. In addition, the authentication request unit 421-1 generates user authentication information for requesting user authentication based on the user
The user authentication information may be any information that can authenticate the user, such as the ID and password of the communication terminal that is the user
次に、ネットワーク接続装置410は、インタフェース部211で、通信端末420−1によって送信されたプロセス情報及びユーザ認証情報を受信し、プロセス情報をプロセス対応情報作成部213に、ユーザ認証情報を認証部411に転送する。認証部411は、このユーザ認証情報に基づいて認証を行う(S222)。
この例の認証部411は、ユーザ認証情報を認証サーバ460に送信することにより、認証サーバ460に対してユーザの認証を要求し、認証結果を得る。また、認証部411は、記憶部214に格納している認証に関わる情報と照合して認証結果を決定してもよい。
Next, in the
The
認証部411は、認証結果に応じて、第3の実施の形態と同様にプロセス対応情報作成部213が作成したプロセス対応情報(例えば、表9)に認証有無を加えて、表12に示すプロセス対応情報2022を作成する。すなわち、認証部411は、認証結果が成功であった場合、表12のプロセス対応情報における認証有無を「有」とし、認証結果が失敗であった場合、表12のプロセス対応情報の登録を行わない。従って、通信端末420との内部通信情報の送受信は、許可されない。
The
以上、本発明の第4の実施の形態に係る端末認証およびユーザ認証について説明したが、端末認証、仮想マシン認証およびユーザ認証は、併用して実施してもよく、また、端末認証、仮想マシン認証およびユーザ認証の何れかのみ実施するようにしてもよい。例えば、端末や仮想マシンが一人のユーザに占有されて使用される場合は、ネットワーク接続装置に、端末や仮想マシンとユーザの対応付け(表13)を記憶しておき、端末認証や仮想マシン認証によりユーザを認証してもよい。 As described above, the terminal authentication and the user authentication according to the fourth embodiment of the present invention have been described. However, the terminal authentication, the virtual machine authentication, and the user authentication may be performed in combination. Only one of authentication and user authentication may be performed. For example, when a terminal or virtual machine is occupied and used by a single user, a terminal connection or virtual machine authentication is stored in the network connection device by storing the correspondence between the terminal or virtual machine and the user (Table 13). The user may be authenticated by
なお、本発明は、上述の各実施の形態に限定されるものではなく、その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。例えば、本明細書記載の実施の形態においては、ソケットAPIを境にして、より上位のアプリケーションに関わる処理を通信端末で、またより下位のネットワーク処理をネットワーク接続装置で行うよう役割分担するようになっているが、この役割分担をソケットAPIより上位のAPIを境に決めてもよい。たとえば、SSL(Secure Socket Layer),TLS(Transport Layer Security)等に関わるセキュルティ処理をネットワーク接続装置側で実行するよう通信端末とネットワーク接続装置間のインタフェースを定めてもよい。
It should be noted that the present invention is not limited to the above-described embodiments, and other modifications can be made as appropriate without departing from the spirit of the present invention. For example, in the embodiment described in this specification, the role is divided so that processing related to higher-level applications is performed by the communication terminal and lower-level network processing is performed by the network connection device with the socket API as a boundary. However, this division of roles may be determined using an API higher than the socket API. For example, the interface between the communication terminal and the network connection device may be determined so that security processing related to SSL (Secure Socket Layer), TLS (Transport Layer Security), etc. is executed on the network connection device side.
また、本明細書記載の実施の形態においては、リンクレイヤープロトコルにより、通信端末とネットワーク接続装置を接続する構成について説明したが、代わりにPPTP、L2TP等のトンネリングプロトコルにより接続するようにしてもよい。また、通信端末は上述のトンネリングプロトコルによりネットワーク経由で外部から接続された端末でもよい。
さらに本明細書記載の実施の形態においては、IPパケットをネットワーク接続装置で生成する手順について述べたが、ネットワーク接続装置を送信元とするIPパケットを擬似的に通信端末で生成し、ネットワーク接続装置に送信するようにしてもよい。
In the embodiment described in this specification, the configuration in which the communication terminal and the network connection device are connected by the link layer protocol has been described. However, the connection may be made by a tunneling protocol such as PPTP or L2TP instead. . The communication terminal may be a terminal connected from the outside via a network by the above-described tunneling protocol.
Furthermore, in the embodiments described in the present specification, the procedure for generating an IP packet by a network connection device has been described. However, an IP packet having a network connection device as a transmission source is artificially generated by a communication terminal, and the network connection device is generated. You may make it transmit to.
また、上述した処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。 Further, the program describing the processing contents described above can be recorded on a computer-readable recording medium. The computer-readable recording medium may be any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory. Specifically, for example, as a magnetic recording device, a hard disk device, a flexible disk, a magnetic tape or the like, and as an optical disk, a DVD (Digital Versatile Disc), a DVD-RAM (Random Access Memory), a CD-ROM (Compact Disc Read Only). Memory), CD-R (Recordable) / RW (ReWritable), etc., magneto-optical recording medium, MO (Magneto-Optical disc), etc., semiconductor memory, EEP-ROM (Electronically Erasable and Programmable-Read Only Memory), etc. Can be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
また、プログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
As another execution form of the program, the computer may read the program directly from the portable recording medium and execute processing according to the program, and each time the program is transferred to the computer from the server computer. In addition, the processing according to the received program may be executed sequentially. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウエア的に実現することとしてもよい。 In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.
以上のように、本発明に係るネットワーク接続システムは、NATに係るアドレス変換が不要であり、種々のプロトコルに対応して通信できるという効果を有し、ネットワークに接続されたネットワーク接続装置を介して、ネットワーク接続装置に接続された通信端末とネットワーク上の機器との間で通信を行うネットワーク接続システム等として有用である。 As described above, the network connection system according to the present invention does not require address conversion according to NAT, and has the effect of being able to communicate according to various protocols, via a network connection device connected to the network. It is useful as a network connection system that performs communication between a communication terminal connected to a network connection device and a device on the network.
1 ネットワーク接続システム
10、110 ネットワーク接続装置
11,22−1 インタフェース部
11a〜11c,22a−1 インタフェース
12 リンク確立部
13 プロセス対応情報作成部
14、21−1 記憶部
15 パケット生成部
16 内部通信情報生成部
17 ネットワークインタフェース部
20、20−1、20−2、120、120−1、120−2 通信端末
23−1 リンク確立要求情報生成部
24−1 プロセス実行部
30、30−1、30−2 外部ホスト
40 ネットワーク
111 認証部
121−1 認証要求部
160 認証サーバ
1001、1002、1003 プロセス
1012 リンク確立ソフトウエア
1013 プロセス対応情報作成ソフトウエア
1017 内部通信情報生成ソフトウエア
1015,1033,1062A,1062B OS
1016,1034,1063 ネットワークドライバ
1021,1081 リンク情報
1022,1082 プロセス対応情報
1031,1061 アプリケーションソフトウエア
1032 リンク確立要求情報生成ソフトウエア
1041 通信端末ID
1091 認証要求ソフトウエア
1142 リンク番号
1051、1054 内部通信情報
1052、1053 パケット
1071 認証ソフトウエア
1101 端末認証情報
1102 ユーザ認証情報
DESCRIPTION OF
1016, 1034, 1063
1091 Authentication request software 1142 Link number 1051, 1054 Internal communication information 1052, 1053
Claims (7)
前記ネットワーク接続装置と通信可能に接続された通信端末とを備え、
前記通信端末は、
前記ネットワーク上の機器と通信するプロセスに対応するプロセス識別子および前記ネットワーク上の機器を表す宛先アドレスを含む内部通信情報を、前記ネットワーク接続装置との間で送受信し、
前記ネットワーク接続装置は、
前記通信端末によって送信された内部通信情報を受信したとき、受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報により特定される宛先アドレスを含むパケットを生成し、生成したパケットを前記ネットワーク上の機器に送信し、
前記ネットワーク上の機器からパケットを受信したとき、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報を生成し、生成した内部通信情報を前記通信端末に送信する、
ことを特徴とするネットワーク接続システム。 A network connection device connected to the network;
A communication terminal communicably connected to the network connection device;
The communication terminal is
Internal communication information including a process identifier corresponding to a process communicating with a device on the network and a destination address representing the device on the network is transmitted to and received from the network connection device;
The network connection device is:
When the internal communication information transmitted by the communication terminal is received, a packet including a source address corresponding to a process identifier included in the received internal communication information and a destination address specified by the internal communication information is generated and generated To the device on the network,
When receiving a packet from a device on the network, generating internal communication information including a process identifier corresponding to a destination address included in the received packet, and transmitting the generated internal communication information to the communication terminal;
A network connection system characterized by that.
前記プロセス識別子を含む情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末によって送信された情報に含まれるプロセス識別子と所定のアドレスとを対応付けるプロセス対応情報を作成し、
生成した前記プロセス対応情報に従って、前記受信した内部通信情報に含まれるプロセス識別子に対応する送信元アドレスを特定してパケットを生成し、前記受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を特定して内部通信情報を生成する、
ことを特徴とする請求項1に記載のネットワーク接続システム。 The communication terminal is
Sending information including the process identifier to the network connection device;
The network connection device is:
Creating process correspondence information that associates a process identifier and a predetermined address included in the information transmitted by the communication terminal;
According to the generated process correspondence information, a source address corresponding to the process identifier included in the received internal communication information is specified to generate a packet, and a process identifier corresponding to the destination address included in the received packet is specified To generate internal communication information,
The network connection system according to claim 1.
前記通信端末を認証するための端末認証情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末から送信された端末認証情報に基づいて前記通信端末の認証を行い、前記通信端末の認証が成功した場合、前記通信端末と前記ネットワーク上の機器との間の情報の送受信を許可する、
ことを特徴とする請求項1または請求項2に記載のネットワーク接続システム。 The communication terminal is
Transmitting terminal authentication information for authenticating the communication terminal to the network connection device;
The network connection device is:
Authentication of the communication terminal is performed based on terminal authentication information transmitted from the communication terminal, and transmission / reception of information between the communication terminal and a device on the network is permitted when the communication terminal is successfully authenticated. ,
The network connection system according to claim 1, wherein the system is a network connection system.
前記通信端末を利用するユーザを認証するためのユーザ認証情報を前記ネットワーク接続装置に送信し、
前記ネットワーク接続装置は、
前記通信端末から送信されたユーザ認証情報に基づいて前記ユーザの認証を行い、前記ユーザの認証が成功した場合、当該ユーザに対応するプロセス識別子を含む前記内部通信情報の前記通信端末への送信と、内部通信情報に対応するパケットの前記ネットワーク上の機器への送信とを許可する、
ことを特徴とする請求項1から請求項3までの何れかに記載のネットワーク接続システム。 The communication terminal is
Transmitting user authentication information for authenticating a user using the communication terminal to the network connection device;
The network connection device is:
The user is authenticated based on user authentication information transmitted from the communication terminal, and when the user authentication is successful, transmission of the internal communication information including a process identifier corresponding to the user to the communication terminal; Permit transmission of packets corresponding to internal communication information to devices on the network;
The network connection system according to any one of claims 1 to 3, wherein the system is a network connection system.
前記ネットワーク上の機器と通信するプロセスに対応するプロセス識別子および前記ネットワーク上の機器を表す宛先アドレスを特定する内部通信情報を、前記通信端末から受信するインタフェース部と、
受信した内部通信情報により特定されるプロセス識別子に対応する送信元アドレスおよび当該内部通信情報に含まれる宛先アドレスを含むパケットを生成するパケット生成部と、
パケットを前記ネットワーク上の機器との間で送受信するネットワークインタフェース部と、
前記通信部が前記ネットワーク上の機器からパケットを受信したとき、受信したパケットに含まれる宛先アドレスに対応するプロセス識別子を含む内部通信情報を生成する内部通信情報生成部とを有し、
前記インタフェース部は、
前記内部通信情報生成部が生成した内部通信情報を前記通信端末に送信する、
ことを特徴とするネットワーク接続装置。 A network connection device connected to a communication terminal and a network,
An interface unit that receives, from the communication terminal, internal communication information that identifies a process identifier corresponding to a process communicating with a device on the network and a destination address representing the device on the network;
A packet generator that generates a packet including a source address corresponding to the process identifier specified by the received internal communication information and a destination address included in the internal communication information;
A network interface unit that transmits and receives packets to and from devices on the network;
An internal communication information generation unit that generates internal communication information including a process identifier corresponding to a destination address included in the received packet when the communication unit receives a packet from a device on the network;
The interface unit is
Transmitting the internal communication information generated by the internal communication information generation unit to the communication terminal;
A network connection device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005321880A JP4612528B2 (en) | 2005-07-29 | 2005-11-07 | Network connection system, network connection device and program thereof |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005221397 | 2005-07-29 | ||
JP2005321880A JP4612528B2 (en) | 2005-07-29 | 2005-11-07 | Network connection system, network connection device and program thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007060610A true JP2007060610A (en) | 2007-03-08 |
JP4612528B2 JP4612528B2 (en) | 2011-01-12 |
Family
ID=37923631
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005321880A Expired - Fee Related JP4612528B2 (en) | 2005-07-29 | 2005-11-07 | Network connection system, network connection device and program thereof |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4612528B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007215090A (en) * | 2006-02-13 | 2007-08-23 | Fujitsu Ltd | Network system, terminal and gateway device |
JP2009512377A (en) * | 2005-10-21 | 2009-03-19 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Control of service quality in communication systems |
WO2011037104A1 (en) * | 2009-09-24 | 2011-03-31 | 日本電気株式会社 | Identification system for inter-virtual-server communication and identification method for inter-virtual-server communication |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000349803A (en) * | 1999-06-03 | 2000-12-15 | Matsushita Graphic Communication Systems Inc | Internet connection type soho gateway apparatus |
JP2003060664A (en) * | 2001-08-21 | 2003-02-28 | Hitachi Ltd | Gateway apparatus and information apparatus |
JP2003101566A (en) * | 2001-09-19 | 2003-04-04 | Hitachi Software Eng Co Ltd | Network equipment management method and system |
JP2003333064A (en) * | 2002-05-13 | 2003-11-21 | Nec Access Technica Ltd | PPPoE BUILT-IN ROUTER AND ITS GLOBAL IP ADDRESS ASSIGNING METHOD |
JP2004040348A (en) * | 2002-07-02 | 2004-02-05 | Yamaha Corp | Packet control apparatus |
-
2005
- 2005-11-07 JP JP2005321880A patent/JP4612528B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000349803A (en) * | 1999-06-03 | 2000-12-15 | Matsushita Graphic Communication Systems Inc | Internet connection type soho gateway apparatus |
JP2003060664A (en) * | 2001-08-21 | 2003-02-28 | Hitachi Ltd | Gateway apparatus and information apparatus |
JP2003101566A (en) * | 2001-09-19 | 2003-04-04 | Hitachi Software Eng Co Ltd | Network equipment management method and system |
JP2003333064A (en) * | 2002-05-13 | 2003-11-21 | Nec Access Technica Ltd | PPPoE BUILT-IN ROUTER AND ITS GLOBAL IP ADDRESS ASSIGNING METHOD |
JP2004040348A (en) * | 2002-07-02 | 2004-02-05 | Yamaha Corp | Packet control apparatus |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009512377A (en) * | 2005-10-21 | 2009-03-19 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Control of service quality in communication systems |
JP4648458B2 (en) * | 2005-10-21 | 2011-03-09 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Control of service quality in communication systems |
US8670451B2 (en) | 2006-02-13 | 2014-03-11 | Fujitsu Limited | Network system, terminal, and gateway |
JP2007215090A (en) * | 2006-02-13 | 2007-08-23 | Fujitsu Ltd | Network system, terminal and gateway device |
US9014184B2 (en) | 2009-09-24 | 2015-04-21 | Nec Corporation | System and method for identifying communication between virtual servers |
JP5403061B2 (en) * | 2009-09-24 | 2014-01-29 | 日本電気株式会社 | Communication identification system between virtual servers and communication identification method between virtual servers |
WO2011037104A1 (en) * | 2009-09-24 | 2011-03-31 | 日本電気株式会社 | Identification system for inter-virtual-server communication and identification method for inter-virtual-server communication |
US9385888B2 (en) | 2009-09-24 | 2016-07-05 | Nec Corporation | System and method for identifying communication between virtual servers |
US9391804B2 (en) | 2009-09-24 | 2016-07-12 | Nec Corporation | System and method for identifying communication between virtual servers |
US9774473B2 (en) | 2009-09-24 | 2017-09-26 | Nec Corporation | System and method for identifying communication between virtual servers |
US10812293B2 (en) | 2009-09-24 | 2020-10-20 | Nec Corporation | System and method for identifying communication between virtual servers |
US11411775B2 (en) | 2009-09-24 | 2022-08-09 | Zoom Video Communications, Inc. | System and method for identifying communication between virtual servers |
US11671283B2 (en) | 2009-09-24 | 2023-06-06 | Zoom Video Communications, Inc. | Configuring a packet to include a virtual machine identifier |
Also Published As
Publication number | Publication date |
---|---|
JP4612528B2 (en) | 2011-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7729366B2 (en) | Method, apparatus and system for network mobility of a mobile communication device | |
JP3965160B2 (en) | Network connection device that supports communication between network devices located in different private networks | |
JP4327142B2 (en) | Information processing system, tunnel communication device, tunnel communication method, proxy response device, and proxy response method | |
JP4579934B2 (en) | Addressing method and apparatus for establishing a Host Identity Protocol (HIP) connection between a legacy node and a HIP node | |
US7908651B2 (en) | Method of network communication | |
JP5488591B2 (en) | Communications system | |
EP1931087A1 (en) | Information processing system, tunnel communication device, tunnel communication method, and program | |
JP6040711B2 (en) | Management server, virtual machine system, program, and connection method | |
JP2009111437A (en) | Network system | |
WO2007038034A1 (en) | Method, apparatus and system for maintaining mobility resistant ip tunnels using a mobile router | |
JP4600394B2 (en) | Network access router, network access method, program, and recording medium | |
JP3858884B2 (en) | Network access gateway, network access gateway control method and program | |
JP3587633B2 (en) | Network communication method and apparatus | |
JP4612528B2 (en) | Network connection system, network connection device and program thereof | |
JP5131118B2 (en) | Communication system, management device, relay device, and program | |
JP4191180B2 (en) | Communication support device, system, communication method, and computer program | |
Pierrel et al. | A policy system for simultaneous multiaccess with host identity protocol | |
JP2001345841A (en) | Communication network system, data communication method and communication-repeating device, and program-providing medium | |
Komu et al. | Basic host identity protocol (HIP) extensions for traversal of network address translators | |
JP5054666B2 (en) | VPN connection device, packet control method, and program | |
JP3575369B2 (en) | Access routing method and access providing system | |
JP5084716B2 (en) | VPN connection apparatus, DNS packet control method, and program | |
CN113595848B (en) | Communication tunnel establishing method, device, equipment and storage medium | |
JP5786479B2 (en) | Network system and control method thereof | |
JP2009206876A (en) | Service release system, communication repeater, and service release device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100628 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100713 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100903 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101005 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101015 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131022 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |