セッション管理方法、通信システムおよび通信装置
【課題】IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくとも、SAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供する。
【解決手段】VPNサーバ10が、セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、該判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、該応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有する。
【解決手段】VPNサーバ10が、セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、該判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、該応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IPsec-VPN(IP Security-Virtual Private Network)通信におけるセッション管理方法、これを実施する通信システムおよび通信装置に関する。
【背景技術】
【0002】
IPsec-VPN通信を行うためには、通信相手との間でSA(Security Association)と呼ばれる論理的なセッションを確立する。SAは、VPN通信を行うクライアント端末毎に確立され、トラフィック情報(selector)と、暗号アルゴリズム、認証アルゴリズム等のトラフィックに適用するセキュリティ情報を含んでいる。したがって、SAを確立した後、VPNサーバは、SAの情報に基づいてVPN通信処理を行う。自動鍵管理プロトコルを使用した場合、対象パケットデータ受信を契機に自動的に通信相手とネゴシエーションを行って鍵を交換し、SAを確立する。
【0003】
【非特許文献1】RFC2407、“The Internet IP Security Domain of Interpretation for ISAKMP、4.5 IPSEC Security Association Attributes”、発行年月日:1998年11月
【発明の開示】
【発明が解決しようとする課題】
【0004】
上記従来技術によれば、SAの仕様として、有効期間を持つよう実装しなければならない。また、SAのセッションが確立された後、クライアント端末側からの通信が発生しないかぎり、自動的に鍵を交換し、SAを確立することはない。
【0005】
一方で、VPNサーバ側から新規のメールや緊急のメッセージ等の情報をクライアント端末側に通知したい場合がある。しかしながら、上述のようにSAの有効期間が切れてしまうとSAが確立しないため、クライアント端末側からの通信が発生しない限り、VPNサーバ側からクライアント端末側に情報を送信したくとも送信できない。
【0006】
本発明は、上記課題に鑑みてなされたもので、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくとも、SAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明を適用する通信システムは、複数のクライアント端末と、該クライアント端末とネットワークを介して接続され通信装置から構成される。
【0008】
前記通信装置は、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、該判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、該応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有することを特徴とする。
【0009】
前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する受信手段と、該受信手段により受信した前記セッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する応答手段を有することを特徴とする。
【発明の効果】
【0010】
本発明によれば、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくとも、SAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することができる。これにより、クライアント端末側からの通信の発生がなくともSAを永続的に確立することができるので、VPNサーバ側からリアルタイムにクライアント端末側に情報を送信することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
【0012】
図1は、本発明を適用する通信システム1全体の構成を示す図である。図示するように通信システム1は、VPNサーバ(通信装置)10と複数のクライアント端末12−1、12−2、・・・とが、ネットワーク11、ネットワーク13と接続されてなる構成である。ネットワーク11は、通常(正常)時に使用されるネットワークであり、ネットワーク13はネットワーク11に障害が生じた時などに使用されるネットワークである。VPNサーバ10は、VPNサーバ10内の各クライアント端末12のSAの有効期間(以下、セッションタイムアウト時間と称する)を一定周期で監視し、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッションタイムアウト時間を通知する機能を有する。またVPNサーバ10は、セッションタイムアウト時間を通知したクライアント端末12から応答を受信すると、セッションタイムアウト時間を初期値に更新する機能を有する。クライアント端末12は、VPNサーバ10からセッションタイムアウト時間の通知を受けると、その通知を受けたセッションタイムアウト時間待機後に、VPNサーバ10に対して応答する機能を有する。
【0013】
図2は、VPNサーバ10のハードウェア構成例を示すブロック図である。図示するようにVPNサーバ10は、プログラムを実行するCPU等の制御部100と、プログラムやプログラムの実行時に必要な情報を記憶する記憶部101と、ネットワークインタフェース102、103と、を少なくとも具備する。ネットワークインタフェース102とネットワークインタフェース103は、それぞれネットワーク11とネットワーク13と接続されており、クライアント端末12と情報の送受信を行う。記憶部101には、監視プログラム1011と、更新プログラム1012と、セッション管理テーブル1013と、を少なくとも具備する。監視プログラム1011は、セッション管理テーブル1013にて管理している各クライアント端末12のセッションタイムアウト時間を一定周期で監視し、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッションタイム時間を通知する機能を有する。すなわち、セッションタイムアウト時間に達する前(SAの有効期間に達する前)に、当該クライアント端末にセッションタイムアウト時間を通知する。更新プログラム1012は、VPNサーバ10がセッションタイムアウト時間を通知したクライアント端末12から応答を受信すると、セッション管理テーブル1013に記憶されているセッションタイムアウト時間を初期値に更新する機能を有する。
【0014】
図3は、セッション管理テーブル1013の構成例を示す図である。図示するようにセッション管理テーブル1013には、クライアント識別子(例えばホスト名)300と、通信経路を示す情報(例えばインターネットアドレス(IPアドレス))301と、セッションタイムアウト時間を示す情報302と、クライアント端末12との通信方法を示す情報(例えばPING)303と、がそれぞれ対応付けられて記憶されている。
【0015】
図4は、クライアント端末12のハードウェア構成例を示すブロック図である。図示す
るようにクライアント端末12は、プログラムを実行するCPU等の制御部400と、情報
を入力するための入力部(キーボード、マウス等)401と、制御部400による処理結
果を出力するための出力部(ディスプレイ等)402と、プログラムやプログラムの実行
時に必要な情報を記憶する記憶部403と、ネットワークインタフェース404、405
と、を少なくとも具備する。ネットワークインタフェース404と405は、それ
ぞれネットワーク11とネットワーク13と接続されており、VPNサーバ10と
情報の送受信を行う。記憶部403には、応答プログラム1031と、返信方法
管理テーブル1032と、を少なくとも具備する。
【0016】
図5は、セッション管理テーブル1032の構成例を示す図である。図示するように
セッション管理テーブル1032には、クライアント識別子500と、返信経路を示す情
報(例えばIPアドレス)501と、当該クライアント端末12からVPNサーバ10への
返信方法を示す情報(例えばPING)502と、がそれぞれ対応付けられて記憶されてい
る。
【0017】
図6、図7は、VPNサーバ10における監視プログラム1011の処理を示すフローチ
ャートである。監視プログラム1011は、セッション管理テーブル1013にて管
理している各クライアント端末12のセッションタイムアウト時間を一定周期で監視し
、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッ
ションタイム時間を通知する機能を有する。この監視プログラム1011は制御部100
が実行するが、以下では監視プログラム1011を主体として各処理を説明する。
【0018】
先ず、監視プログラム1011は、セッション管理テーブル1013を参照して各クラ
イアント端末のセッションタイムアウト時間302を取得し(ステップS600)、その
セッションタイムアウト時間が所定時間以下かどうかを判定する(ステップ601)。判
定の結果、セッションタイムアウト時間が所定時間以下でなければ、監視プログラム10
11は、ステップ600に戻る。ステップ601での判定の結果、セッションタイムアウ
ト時間が所定時間以下であれば、監視プログラム1011は、セッション管理テーブル1
013を参照して通信経路301、通信方法303を取得する(ステップ602)。次に
、監視プログラム1011は、取得した通信経路、返信方法により、セッションタイムア
ウト時間をネットワーク11を介して当該クライアント端末12に通知する(ステップ6
03)。
【0019】
次に、監視プログラム1011は、ネットワーク11からの通信方法の戻り値に基づい
て、セッションタイムアウト時間の通知が成功したかどうかを判定する(ステップ604
)。例えば、通信方法がPINGの場合、そのPINGコマンドの戻り値が“0”の場合は
、セッションタイムアウト時間が通知先のクライアント端末12に正常に到達した、すな
わち通知成功と判定し、PINGコメンドの戻り値が“0”以外の場合は、障害等により通
信異常が発生した、すなわち通知不成功と判定する。
【0020】
ステップ604での判定の結果、通知成功の場合、監視プログラム1011は処理を終
了する。一方、ステップ604での判定の結果、通知不成功の場合、監視プログラム10
11は、当該クライアント端末12に対して再度セッションタイムアウト時間の通知(リ
トライ)を行う(ステップ605)。
【0021】
次に、監視プログラム1011は、ネットワーク11からの通信方法の戻り値に基づい
て、セッションタイムアウト時間の通知が成功したかどうかを判定する(ステップ606
)。判定の結果、通知成功の場合、監視プログラム1011は処理を終了する。一方、ス
テップ606での判定の結果、通知不成功の場合、監視プログラム1011は、リトライ
回数を1カウントし、そのリトライ回数が規定値に達したかどうかを判定する(ステップ
607)。判定の結果、リトライ回数が規定値に達していなければ、監視プログラム10
11はセッション管理プログラム1013の通信経路301を参照し、他の通信経路の有
無を判定する(ステップ608)。判定の結果、他の通信経路がなければ、監視プログラ
ム1011は処理を終了する。一方、ステップ608での判定の結果、他の通信経路があ
れば、監視プログラム1011は、その通信経路を用いて該当クライアント端末12にネ
ットワーク11を介してセッションタイムアウト時間を通知する(ステップ609)。次
に、監視プログラムは、その通知が成功したかどうかを判定する(ステップ610)。判
定の結果、通知成功の場合、監視プログラムは処理を終了する。一方、ステップ610で
の判定の結果、通知不成功の場合、ステップ605に戻る。
【0022】
尚、図示していないが、VPNサーバ10において、制御部100は、タイムアウト残
り時間通知の送信日時、送信先のクライアント端末の情報(ホスト名)、IPアドレス、
送信データ等の稼動履歴の情報や、通信異常が発生した日時、エラーメッセージ等の情報
をログ情報として記憶部101に格納する。
【0023】
また、更新プログラム1012は、セッションタイムアウト時間通知先のクライアント
端末12から応答を受信すると、セッション管理テーブル1013にて管理しているセッ
ションタイムアウト時間302を初期値に更新する。
【0024】
図8、図9、図10は、各クライアント端末12における応答プログラム1031の処
理を示すフローチャートである。先ず、応答プログラム1031は、VPNサーバ10から
ネットワーク11を介してセッションタイムアウト時間を受信すると(ステップ800)
、返信方法管理テーブル1032を参照して通信経路501、返信方法502を取得する
(ステップ801)。次に、応答プログラム1031は、VPNサーバ10にネットワーク
11を介して応答を返す(ステップ802)。次に、応答プログラム1031は、返信方
法の戻り値に基づいて応答が成功したかどうかを判定する(ステップ803)。応答成否
の判定は、上述したセッションタイムアウト通知の成否の判定と同様である。判定の結果
、応答成功の場合、応答プログラム1031は処理を終了する。一方、ステップ803で
の判定の結果、応答不成功の場合、再度VPNサーバ10に対して応答(リトライ)を返す
(ステップ804)。次に、応答プログラム1031は、返信方法の戻り値に基づいて応
答が成功したかどうかを判定する(ステップ805)。判定の結果、応答成功の場合、応
答プログラム1031は、リトライ回数を1カウントし、そのリトライ回数が規定値に達
したかどうかを判定する(ステップ806)。判定の結果、リトライ回数が規定値に達し
ていなければ、応答プログラム1031は、ステップ804に戻る。一方、ステップ80
6での判定の結果、リトライ回数が規定値に達していれば、応答プログラム1031は、
返信方法管理テーブル1032の返信経路502を参照して他の通信経路の有無を判定す
る(ステップ807)。判定の結果、他の通信経路があれば、応答プログラム1032は
、その通信経路を用いてVPNサーバ10にネットワーク11を介して応答を返す(ステッ
プ808)。一方、ステップ807での判定の結果、他の通信経路がなければ、応答プロ
グラム1031は、例えば、図11に示すような警告メッセージ画面を出力部402に表
示させる(ステップ1000)。この警告メッセージ画面では、クライアントが入力部4
01により“返信”を指示する操作を行うことにより、VPNサーバ10からクライアント
端末12へのリトライを指示できる。ステップ1000の処理の後、応答プログラム10
31は、返信を示す情報を受信すると、ステップ804に戻る。一方、ステップ1001
において、クライアントが入力部401により“閉じる”または“×”を指示する操作を
行うと、応答プログラム1031は処理を終了する。
【0025】
ステップ808の処理の後、応答プログラム1031は返信方法の戻り値に基づいて、応答が成功したかどうかを判定する(ステップ809)。判定の結果、応答成功の場合、応答プログラム1031は処理を終了する。一方、ステップ809での判定の結果、応答不成功の場合、応答プログラム1031は、ステップ804に戻る。
【0026】
尚、図示していないが、各クライアント端末12において、制御部400は、セッショ
ンタイムアウト時間通知の受信日時、受信データ等の稼動履歴の情報や、応答成否の情報
等を記憶部403に記録する。
【0027】
以上、本発明による実施形態を説明した。
【0028】
上記実施形態によれば、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくともSAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することができる。これにより、クライアント端末側からの通信が発生しなくとも、SAを永続的に確立することができるので、VPNサーバ側からリアルタイムにクライアント端末側に情報を送信することができる。
【図面の簡単な説明】
【0029】
【図1】本発明を適用する通信システム1全体の構成例を示す図である。
【図2】VPNサーバ10のハードウェア構成例を示すブロック図である。
【図3】セッション管理テーブル1013の構成例を示す図である。
【図4】クライアント端末12の構成例を示すブロック図である。
【図5】返信方法管理テーブル1032の構成例を示す図である。
【図6】VPNサーバ10における監視プログラム1011の処理を示すフローチャートである。
【図7】同じく、VPNサーバ10における監視プログラム1011の処理を示すフローチャートである。
【図8】クライアント端末12における応答プログラム1031の処理を示すフローチャートである。
【図9】同じく、クライアント端末12における応答プログラム1031の処理を示すフローチャートである。
【図10】同じく、クライアント端末12における応答プログラム1031の処理を示すフローチャートである。
【図11】クライアント端末12の出力部402に出力される警告メッセージ画面例を示す図である。
【符号の説明】
【0030】
10・・・VPNサーバ、11・・・ネットワーク、12・・・クライアント端末、13・・・ネットワーク、100・・・制御部、101・・・記憶部、102・・・ネットワークインタフェース、103・・・ネットワークインタフェース、1011・・・監視プログラム、1012・・・更新プログラム、1013・・・セッション管理テーブル、400・・・制御部、401・・・入力部、402・・・出力部、403・・・記憶部、404・・・ネットワークインタフェース、405・・・ネットワークインタフェース、1031・・・応答プログラム、1032・・・返信方法管理テーブル。
【技術分野】
【0001】
本発明は、IPsec-VPN(IP Security-Virtual Private Network)通信におけるセッション管理方法、これを実施する通信システムおよび通信装置に関する。
【背景技術】
【0002】
IPsec-VPN通信を行うためには、通信相手との間でSA(Security Association)と呼ばれる論理的なセッションを確立する。SAは、VPN通信を行うクライアント端末毎に確立され、トラフィック情報(selector)と、暗号アルゴリズム、認証アルゴリズム等のトラフィックに適用するセキュリティ情報を含んでいる。したがって、SAを確立した後、VPNサーバは、SAの情報に基づいてVPN通信処理を行う。自動鍵管理プロトコルを使用した場合、対象パケットデータ受信を契機に自動的に通信相手とネゴシエーションを行って鍵を交換し、SAを確立する。
【0003】
【非特許文献1】RFC2407、“The Internet IP Security Domain of Interpretation for ISAKMP、4.5 IPSEC Security Association Attributes”、発行年月日:1998年11月
【発明の開示】
【発明が解決しようとする課題】
【0004】
上記従来技術によれば、SAの仕様として、有効期間を持つよう実装しなければならない。また、SAのセッションが確立された後、クライアント端末側からの通信が発生しないかぎり、自動的に鍵を交換し、SAを確立することはない。
【0005】
一方で、VPNサーバ側から新規のメールや緊急のメッセージ等の情報をクライアント端末側に通知したい場合がある。しかしながら、上述のようにSAの有効期間が切れてしまうとSAが確立しないため、クライアント端末側からの通信が発生しない限り、VPNサーバ側からクライアント端末側に情報を送信したくとも送信できない。
【0006】
本発明は、上記課題に鑑みてなされたもので、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくとも、SAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明を適用する通信システムは、複数のクライアント端末と、該クライアント端末とネットワークを介して接続され通信装置から構成される。
【0008】
前記通信装置は、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、該判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、該応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有することを特徴とする。
【0009】
前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する受信手段と、該受信手段により受信した前記セッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する応答手段を有することを特徴とする。
【発明の効果】
【0010】
本発明によれば、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくとも、SAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することができる。これにより、クライアント端末側からの通信の発生がなくともSAを永続的に確立することができるので、VPNサーバ側からリアルタイムにクライアント端末側に情報を送信することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
【0012】
図1は、本発明を適用する通信システム1全体の構成を示す図である。図示するように通信システム1は、VPNサーバ(通信装置)10と複数のクライアント端末12−1、12−2、・・・とが、ネットワーク11、ネットワーク13と接続されてなる構成である。ネットワーク11は、通常(正常)時に使用されるネットワークであり、ネットワーク13はネットワーク11に障害が生じた時などに使用されるネットワークである。VPNサーバ10は、VPNサーバ10内の各クライアント端末12のSAの有効期間(以下、セッションタイムアウト時間と称する)を一定周期で監視し、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッションタイムアウト時間を通知する機能を有する。またVPNサーバ10は、セッションタイムアウト時間を通知したクライアント端末12から応答を受信すると、セッションタイムアウト時間を初期値に更新する機能を有する。クライアント端末12は、VPNサーバ10からセッションタイムアウト時間の通知を受けると、その通知を受けたセッションタイムアウト時間待機後に、VPNサーバ10に対して応答する機能を有する。
【0013】
図2は、VPNサーバ10のハードウェア構成例を示すブロック図である。図示するようにVPNサーバ10は、プログラムを実行するCPU等の制御部100と、プログラムやプログラムの実行時に必要な情報を記憶する記憶部101と、ネットワークインタフェース102、103と、を少なくとも具備する。ネットワークインタフェース102とネットワークインタフェース103は、それぞれネットワーク11とネットワーク13と接続されており、クライアント端末12と情報の送受信を行う。記憶部101には、監視プログラム1011と、更新プログラム1012と、セッション管理テーブル1013と、を少なくとも具備する。監視プログラム1011は、セッション管理テーブル1013にて管理している各クライアント端末12のセッションタイムアウト時間を一定周期で監視し、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッションタイム時間を通知する機能を有する。すなわち、セッションタイムアウト時間に達する前(SAの有効期間に達する前)に、当該クライアント端末にセッションタイムアウト時間を通知する。更新プログラム1012は、VPNサーバ10がセッションタイムアウト時間を通知したクライアント端末12から応答を受信すると、セッション管理テーブル1013に記憶されているセッションタイムアウト時間を初期値に更新する機能を有する。
【0014】
図3は、セッション管理テーブル1013の構成例を示す図である。図示するようにセッション管理テーブル1013には、クライアント識別子(例えばホスト名)300と、通信経路を示す情報(例えばインターネットアドレス(IPアドレス))301と、セッションタイムアウト時間を示す情報302と、クライアント端末12との通信方法を示す情報(例えばPING)303と、がそれぞれ対応付けられて記憶されている。
【0015】
図4は、クライアント端末12のハードウェア構成例を示すブロック図である。図示す
るようにクライアント端末12は、プログラムを実行するCPU等の制御部400と、情報
を入力するための入力部(キーボード、マウス等)401と、制御部400による処理結
果を出力するための出力部(ディスプレイ等)402と、プログラムやプログラムの実行
時に必要な情報を記憶する記憶部403と、ネットワークインタフェース404、405
と、を少なくとも具備する。ネットワークインタフェース404と405は、それ
ぞれネットワーク11とネットワーク13と接続されており、VPNサーバ10と
情報の送受信を行う。記憶部403には、応答プログラム1031と、返信方法
管理テーブル1032と、を少なくとも具備する。
【0016】
図5は、セッション管理テーブル1032の構成例を示す図である。図示するように
セッション管理テーブル1032には、クライアント識別子500と、返信経路を示す情
報(例えばIPアドレス)501と、当該クライアント端末12からVPNサーバ10への
返信方法を示す情報(例えばPING)502と、がそれぞれ対応付けられて記憶されてい
る。
【0017】
図6、図7は、VPNサーバ10における監視プログラム1011の処理を示すフローチ
ャートである。監視プログラム1011は、セッション管理テーブル1013にて管
理している各クライアント端末12のセッションタイムアウト時間を一定周期で監視し
、セッションタイムアウト時間が所定時間になると、そのクライアント端末に対してセッ
ションタイム時間を通知する機能を有する。この監視プログラム1011は制御部100
が実行するが、以下では監視プログラム1011を主体として各処理を説明する。
【0018】
先ず、監視プログラム1011は、セッション管理テーブル1013を参照して各クラ
イアント端末のセッションタイムアウト時間302を取得し(ステップS600)、その
セッションタイムアウト時間が所定時間以下かどうかを判定する(ステップ601)。判
定の結果、セッションタイムアウト時間が所定時間以下でなければ、監視プログラム10
11は、ステップ600に戻る。ステップ601での判定の結果、セッションタイムアウ
ト時間が所定時間以下であれば、監視プログラム1011は、セッション管理テーブル1
013を参照して通信経路301、通信方法303を取得する(ステップ602)。次に
、監視プログラム1011は、取得した通信経路、返信方法により、セッションタイムア
ウト時間をネットワーク11を介して当該クライアント端末12に通知する(ステップ6
03)。
【0019】
次に、監視プログラム1011は、ネットワーク11からの通信方法の戻り値に基づい
て、セッションタイムアウト時間の通知が成功したかどうかを判定する(ステップ604
)。例えば、通信方法がPINGの場合、そのPINGコマンドの戻り値が“0”の場合は
、セッションタイムアウト時間が通知先のクライアント端末12に正常に到達した、すな
わち通知成功と判定し、PINGコメンドの戻り値が“0”以外の場合は、障害等により通
信異常が発生した、すなわち通知不成功と判定する。
【0020】
ステップ604での判定の結果、通知成功の場合、監視プログラム1011は処理を終
了する。一方、ステップ604での判定の結果、通知不成功の場合、監視プログラム10
11は、当該クライアント端末12に対して再度セッションタイムアウト時間の通知(リ
トライ)を行う(ステップ605)。
【0021】
次に、監視プログラム1011は、ネットワーク11からの通信方法の戻り値に基づい
て、セッションタイムアウト時間の通知が成功したかどうかを判定する(ステップ606
)。判定の結果、通知成功の場合、監視プログラム1011は処理を終了する。一方、ス
テップ606での判定の結果、通知不成功の場合、監視プログラム1011は、リトライ
回数を1カウントし、そのリトライ回数が規定値に達したかどうかを判定する(ステップ
607)。判定の結果、リトライ回数が規定値に達していなければ、監視プログラム10
11はセッション管理プログラム1013の通信経路301を参照し、他の通信経路の有
無を判定する(ステップ608)。判定の結果、他の通信経路がなければ、監視プログラ
ム1011は処理を終了する。一方、ステップ608での判定の結果、他の通信経路があ
れば、監視プログラム1011は、その通信経路を用いて該当クライアント端末12にネ
ットワーク11を介してセッションタイムアウト時間を通知する(ステップ609)。次
に、監視プログラムは、その通知が成功したかどうかを判定する(ステップ610)。判
定の結果、通知成功の場合、監視プログラムは処理を終了する。一方、ステップ610で
の判定の結果、通知不成功の場合、ステップ605に戻る。
【0022】
尚、図示していないが、VPNサーバ10において、制御部100は、タイムアウト残
り時間通知の送信日時、送信先のクライアント端末の情報(ホスト名)、IPアドレス、
送信データ等の稼動履歴の情報や、通信異常が発生した日時、エラーメッセージ等の情報
をログ情報として記憶部101に格納する。
【0023】
また、更新プログラム1012は、セッションタイムアウト時間通知先のクライアント
端末12から応答を受信すると、セッション管理テーブル1013にて管理しているセッ
ションタイムアウト時間302を初期値に更新する。
【0024】
図8、図9、図10は、各クライアント端末12における応答プログラム1031の処
理を示すフローチャートである。先ず、応答プログラム1031は、VPNサーバ10から
ネットワーク11を介してセッションタイムアウト時間を受信すると(ステップ800)
、返信方法管理テーブル1032を参照して通信経路501、返信方法502を取得する
(ステップ801)。次に、応答プログラム1031は、VPNサーバ10にネットワーク
11を介して応答を返す(ステップ802)。次に、応答プログラム1031は、返信方
法の戻り値に基づいて応答が成功したかどうかを判定する(ステップ803)。応答成否
の判定は、上述したセッションタイムアウト通知の成否の判定と同様である。判定の結果
、応答成功の場合、応答プログラム1031は処理を終了する。一方、ステップ803で
の判定の結果、応答不成功の場合、再度VPNサーバ10に対して応答(リトライ)を返す
(ステップ804)。次に、応答プログラム1031は、返信方法の戻り値に基づいて応
答が成功したかどうかを判定する(ステップ805)。判定の結果、応答成功の場合、応
答プログラム1031は、リトライ回数を1カウントし、そのリトライ回数が規定値に達
したかどうかを判定する(ステップ806)。判定の結果、リトライ回数が規定値に達し
ていなければ、応答プログラム1031は、ステップ804に戻る。一方、ステップ80
6での判定の結果、リトライ回数が規定値に達していれば、応答プログラム1031は、
返信方法管理テーブル1032の返信経路502を参照して他の通信経路の有無を判定す
る(ステップ807)。判定の結果、他の通信経路があれば、応答プログラム1032は
、その通信経路を用いてVPNサーバ10にネットワーク11を介して応答を返す(ステッ
プ808)。一方、ステップ807での判定の結果、他の通信経路がなければ、応答プロ
グラム1031は、例えば、図11に示すような警告メッセージ画面を出力部402に表
示させる(ステップ1000)。この警告メッセージ画面では、クライアントが入力部4
01により“返信”を指示する操作を行うことにより、VPNサーバ10からクライアント
端末12へのリトライを指示できる。ステップ1000の処理の後、応答プログラム10
31は、返信を示す情報を受信すると、ステップ804に戻る。一方、ステップ1001
において、クライアントが入力部401により“閉じる”または“×”を指示する操作を
行うと、応答プログラム1031は処理を終了する。
【0025】
ステップ808の処理の後、応答プログラム1031は返信方法の戻り値に基づいて、応答が成功したかどうかを判定する(ステップ809)。判定の結果、応答成功の場合、応答プログラム1031は処理を終了する。一方、ステップ809での判定の結果、応答不成功の場合、応答プログラム1031は、ステップ804に戻る。
【0026】
尚、図示していないが、各クライアント端末12において、制御部400は、セッショ
ンタイムアウト時間通知の受信日時、受信データ等の稼動履歴の情報や、応答成否の情報
等を記憶部403に記録する。
【0027】
以上、本発明による実施形態を説明した。
【0028】
上記実施形態によれば、IPSEC-VPNにおいて、クライアント端末側からの通信の発生がなくともSAを永続的に確立することができるセッション管理方法、これを実施する通信システムおよび通信装置を提供することができる。これにより、クライアント端末側からの通信が発生しなくとも、SAを永続的に確立することができるので、VPNサーバ側からリアルタイムにクライアント端末側に情報を送信することができる。
【図面の簡単な説明】
【0029】
【図1】本発明を適用する通信システム1全体の構成例を示す図である。
【図2】VPNサーバ10のハードウェア構成例を示すブロック図である。
【図3】セッション管理テーブル1013の構成例を示す図である。
【図4】クライアント端末12の構成例を示すブロック図である。
【図5】返信方法管理テーブル1032の構成例を示す図である。
【図6】VPNサーバ10における監視プログラム1011の処理を示すフローチャートである。
【図7】同じく、VPNサーバ10における監視プログラム1011の処理を示すフローチャートである。
【図8】クライアント端末12における応答プログラム1031の処理を示すフローチャートである。
【図9】同じく、クライアント端末12における応答プログラム1031の処理を示すフローチャートである。
【図10】同じく、クライアント端末12における応答プログラム1031の処理を示すフローチャートである。
【図11】クライアント端末12の出力部402に出力される警告メッセージ画面例を示す図である。
【符号の説明】
【0030】
10・・・VPNサーバ、11・・・ネットワーク、12・・・クライアント端末、13・・・ネットワーク、100・・・制御部、101・・・記憶部、102・・・ネットワークインタフェース、103・・・ネットワークインタフェース、1011・・・監視プログラム、1012・・・更新プログラム、1013・・・セッション管理テーブル、400・・・制御部、401・・・入力部、402・・・出力部、403・・・記憶部、404・・・ネットワークインタフェース、405・・・ネットワークインタフェース、1031・・・応答プログラム、1032・・・返信方法管理テーブル。
【特許請求の範囲】
【請求項1】
複数のクライアント端末と、該クライアント端末とネットワークを介して接続された通信装置からなる通信システムにおけるセッション管理方法であって、
前記通信装置は、
記憶手段に記憶されているセッションタイムアウト時間を一定周期で監視する処理と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する処理と、該判定結果が通知要の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する処理と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する処理と、該応答受信後に前記記憶手段に記憶されている当該セッションタイムアウト時間を初期値に更新する処理を実行し、
前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する処理と、該受信したセッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する処理を実行する
ことを特徴とするセッション管理方法。
【請求項2】
前記通信装置において、
前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する処理を実行することを特徴とする請求項1に記載のセッション管理方法。
【請求項3】
前記通信装置は、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知した後に、前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する処理をさらに実行し、
前記クライアント端末は、前記応答後に前記応答の前記通信装置への送信の成否を判定する処理をさらに実行する
ことを特徴とする請求項1または請求項2に記載のセッション管理方法。
【請求項4】
複数のクライアント端末と、該クライアント端末とネットワークを介して接続され通信装置からなる通信システムであって、
前記通信装置は、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、該判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、該応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有し、
前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する受信手段と、該受信手段により受信した前記セッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する応答手段を有する
ことを特徴とする通信システム。
【請求項5】
前記通信装置において、
前記通知手段は、前記判定手段による判定の結果、前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する
ことを特徴とする請求項4に記載の通信システム。
【請求項6】
前記通信装置は、前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する手段をさらに有し、
前記クライアント端末は、前記応答の前記通信装置への送信の成否を判定する手段をさらに有する
ことを特徴とする請求項4または請求項5に記載の通信システム。
【請求項7】
複数のクライアント端末とネットワークを介して接続された通信装置であって、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、
前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、
前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、
前記判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、
前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、
前記応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有する
ことを特徴とする通信装置。
【請求項8】
前記通知手段は、前記判定手段による判定の結果、前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知することを特徴とする請求項7に記載の通信装置。
【請求項9】
前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する手段をさらに有することを特徴とする請求項7または請求項8に記載の通信装置。
【請求項1】
複数のクライアント端末と、該クライアント端末とネットワークを介して接続された通信装置からなる通信システムにおけるセッション管理方法であって、
前記通信装置は、
記憶手段に記憶されているセッションタイムアウト時間を一定周期で監視する処理と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する処理と、該判定結果が通知要の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する処理と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する処理と、該応答受信後に前記記憶手段に記憶されている当該セッションタイムアウト時間を初期値に更新する処理を実行し、
前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する処理と、該受信したセッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する処理を実行する
ことを特徴とするセッション管理方法。
【請求項2】
前記通信装置において、
前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する処理を実行することを特徴とする請求項1に記載のセッション管理方法。
【請求項3】
前記通信装置は、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知した後に、前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する処理をさらに実行し、
前記クライアント端末は、前記応答後に前記応答の前記通信装置への送信の成否を判定する処理をさらに実行する
ことを特徴とする請求項1または請求項2に記載のセッション管理方法。
【請求項4】
複数のクライアント端末と、該クライアント端末とネットワークを介して接続され通信装置からなる通信システムであって、
前記通信装置は、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、該判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、該応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有し、
前記クライアント端末は、
前記通信装置から前記セッションタイムアウト時間を前記ネットワークを介して受信する受信手段と、該受信手段により受信した前記セッションタイムアウト時間待機した後に、前記通信装置に前記ネットワークを介して応答する応答手段を有する
ことを特徴とする通信システム。
【請求項5】
前記通信装置において、
前記通知手段は、前記判定手段による判定の結果、前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する
ことを特徴とする請求項4に記載の通信システム。
【請求項6】
前記通信装置は、前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する手段をさらに有し、
前記クライアント端末は、前記応答の前記通信装置への送信の成否を判定する手段をさらに有する
ことを特徴とする請求項4または請求項5に記載の通信システム。
【請求項7】
複数のクライアント端末とネットワークを介して接続された通信装置であって、
セッションタイムアウト時間を管理するセッションタイムアウト時間管理手段と、
前記前記セッションタイムアウト時間を一定周期で監視する監視手段と、
前記セッションタイムアウト時間と所定時間とに基づきセッションタイムアウト時間の通知の要否を判定する判定手段と、
前記判定手段の判定結果、通知要の場合に前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知する通知手段と、
前記セッションタイムアウト時間通知先のクライアント端末から前記ネットワークを介して応答を受信する応答受信手段と、
前記応答受信後に前記セッションタイムアウト時間管理手段で管理されている当該セッションタイムアウト時間を初期値に更新する更新手段を有する
ことを特徴とする通信装置。
【請求項8】
前記通知手段は、前記判定手段による判定の結果、前記セッションタイムアウト時間が前記所定時間以下の場合に、前記セッションタイムアウト時間を前記ネットワークを介して前記クライアント端末に通知することを特徴とする請求項7に記載の通信装置。
【請求項9】
前記セッションタイムアウト時間の前記クライアント端末への通知の成否を判定する手段をさらに有することを特徴とする請求項7または請求項8に記載の通信装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−98985(P2009−98985A)
【公開日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願番号】特願2007−270817(P2007−270817)
【出願日】平成19年10月18日(2007.10.18)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願日】平成19年10月18日(2007.10.18)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]