ネットワークシステム、複数の独立したネットワークを運用する方法、通信装置およびその制御方法と制御プログラム
【課題】既存のネットワークの独立性を維持しながら新規のネットワークサービスの参入を容易にすること。
【解決手段】
ワイドエリアネットワークを経由して所定エリアにサービスを提供する第1ネットワークと、所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、ワイドエリアネットワークを経由してサービスを提供する第2ネットワークと、第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、第1ネットワークおよび第2ネットワークが使用する通信回線を論理的に分離する分離制御部と、を備えることを特徴とする。
【解決手段】
ワイドエリアネットワークを経由して所定エリアにサービスを提供する第1ネットワークと、所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、ワイドエリアネットワークを経由してサービスを提供する第2ネットワークと、第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、第1ネットワークおよび第2ネットワークが使用する通信回線を論理的に分離する分離制御部と、を備えることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワイドエリアネットワークにより接続されたネットワークシステムにおいて、複数の独立したネットワークを運用する技術に関する。
【背景技術】
【0002】
上記技術分野において、特許文献1には、利用者宅の宅内アクセスポイントをモバイルユーザが使用可能として、モバイルサービス提供事業者からのサービスの提供を受けるネットワークシステムが記載されている。また、特許文献2には、レイヤー3ネットワークであるワイドエリアネットワークを横切って、企業レイヤー2ネットワークを生成する通信技術が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特願2004−312088号公報
【特許文献2】特表2007−532043号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記文献に記載の技術では、ワイドエリアネットワークの中に複数の独立したネットワークを構成して、既存のネットワークの独立性を維持しながら新規のネットワークサービスを参入させることはできなかった。
【0005】
本発明の目的は、上述の課題を解決する技術を提供することにある。
【課題を解決するための手段】
【0006】
上記目的を達成するため、本発明に係るシステムは、
ワイドエリアネットワークを経由して所定エリアに第1サービスを提供する第1ネットワークと、
前記所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、前記ワイドエリアネットワークを経由して第2サービスを提供する第2ネットワークと、
前記第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離する分離制御手段と、
を備えることを特徴とする。
【0007】
上記目的を達成するため、本発明に係る方法は、
ワイドエリアネットワークにより接続されたネットワークシステムにおいて、複数の独立したネットワークを運用する方法であって、
ワイドエリアネットワークを経由して所定エリアにサービスを提供する第1ネットワークを構成する第1構成ステップと、
前記所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、前記ワイドエリアネットワークを経由してサービスを提供する第2ネットワークを構成する第2構成ステップと、
前記第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離する分離制御ステップと、
を含むことを特徴とする。
【0008】
上記目的を達成するため、本発明に係る装置は、
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置であって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定手段と、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定手段と、
を有することを特徴とする。
【0009】
上記目的を達成するため、本発明に係る方法は、
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置での制御方法あって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定ステップと、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定ステップと、
を含むことを特徴とする。
【0010】
上記目的を達成するため、本発明に係るプログラムは、
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置での制御プログラムあって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定ステップと、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定ステップと、
をコンピュータに実行させることを特徴とする。
【発明の効果】
【0011】
本発明によれば、既存のネットワークの独立性を維持しながら新規のネットワークサービスを容易に導入することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の第1実施形態に係るネットワークシステムの構成を示すブロック図である。
【図2】本発明の第2実施形態に係るネットワークシステムの構成を示すブロック図である。
【図3A】本発明の第2実施形態に係る動作時のネットワークシステムの状態を示すブロック図である。
【図3B】本発明の第2実施形態に係るIPsec方式の暗号通信におけるネゴシエーション手順を示すシーケンス図である。
【図4】本発明の第2実施形態に係る第1のネットワークにおけるスタックの構成を示す図である。
【図5】本発明の第2実施形態に係る第2のネットワークにおけるスタックの構成を示す図である。
【図6】本発明の第2実施形態に係る店舗ルータの機能構成を示すブロック図である。
【図7】本発明の第2実施形態に係る店舗ルータのハードウェア構成を示すブロック図である。
【図8】本発明の第2実施形態に係るフォーマット変換テーブルの構成を示す図である。
【図9】本発明の第2実施形態に係る店舗ルータの処理手順を示すフローチャートである。
【図10】本発明の第3実施形態に係る動作時のネットワークシステムの状態を示すブロック図である。
【図11】本発明の第3実施形態に係る第1のネットワークにおけるスタックの構成を示す図である。
【図12】本発明の第3実施形態に係るフォーマット変換テーブルの構成を示す図である。
【図13】本発明の第3実施形態に係る店舗ルータの処理手順を示すフローチャートである。
【図14】本発明の第4実施形態に係る第1のネットワークにおけるスタックの構成を示す図である。
【図15】本発明の第5実施形態に係る第1のネットワークにおけるスタックの構成を示す図である。
【図16】本発明の第6実施形態に係るフォーマット変換テーブルの構成を示す図である。
【図17】本発明の第7実施形態に係る動作時のネットワークシステムの状態を示すブロック図である。
【図18】本発明の第7実施形態に係る第2のネットワークにおけるスタックの構成を示す図である。
【図19】本発明の第7実施形態に係るフォーマット変換テーブルの構成を示す図である。
【発明を実施するための形態】
【0013】
以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。
【0014】
[第1実施形態]
本発明の第1実施形態としてのネットワークシステム100について、図1を用いて説明する。ネットワークシステム100は、ワイドエリアネットワークにより接続されたネットワークシステムである。
【0015】
図1に示すように、ネットワークシステム100は、第1ネットワーク110と、第2ネットワーク120と、分離制御部130と、を含む。第1ネットワーク110は、ワイドエリアネットワーク101を経由して所定エリア102に第1サービスを提供する。第2ネットワーク120は、所定エリア102にあって、無線アクセスポイント103により生成された無線ネットワークスポット104内の通信端末105に、ワイドエリアネットワーク101を経由して第2サービスを提供する。分離制御部130は、第1ネットワーク110および第2ネットワーク120の少なくともいずれか一方に対してトンネリング処理(101aまたは101b)を施す。これにより、第1ネットワーク110および第2ネットワーク120が使用する通信回線を論理的に分離する。
【0016】
本実施形態によれば、ワイドエリアネットワークの中に複数の独立したネットワークを構成して、既存のネットワークの機密性を維持しながら新規のネットワークサービスの参入を容易にすることできる。
【0017】
[第2実施形態]
次に、本発明の第2実施形態に係るネットワークシステムについて説明する。本実施形態においては、元々有線通信回線を持っている店舗などに、新たに無線LANスポット(いわゆるホットスポット(登録商標))を導入した場合の構成を示している。なお、本実施形態の有線通信回線において、いずれの通信回線を無線通信回線に代替することによっても同等の効果が達成され、これらの構成も本実施形態の構成に含まれる。
【0018】
(関連技術)
現在、スマートフォン等のスマートデバイスが爆発的な勢いで普及しており、携帯用ネットワークにおける通信負荷の大きさ、およびそれを要因とする通信速度の低下が問題となっている。この問題を解決するため、スマートデバイスが携帯用ネットワークを用いずにインターネット通信を行なうことのできる無線LANスポットの導入が進んでいる。例えば、携帯キャリアが顧客満足度を向上させるため、無線LANスポットを流通業の店舗(コンビニエンスストアなど)に導入しようとしている。流通業側も、集客効果を期待して、そのような無線LANスポットを導入することに積極的な動きを見せている。しかし、無線LANスポットを導入しようとして、光ファイバーなどの通信回線を新たに敷設すると、コスト負担、管理負担が大きくなる。
【0019】
一方、コンビニエンスストアなどの店舗には、企業ネットワークを構築するために光ファイバーなどの有線通信回線がすでに導入されており、しかもその通信トラフィックには余裕が十分ある。そこで、ここではその光ファイバーなどの有線通信回線を、無線LANスポット用にシェアすることを提案する。元々のネットワーク管理者が、無線LANスポットと店舗との間の関係を取り持ち、無線LANスポット関係のネットワークの管理や無線LANスポット導入費用の回収などを一元管理すれば、店舗にとって非常に無線LANスポットを導入しやすくなる。また、店舗が元々支払っていた通信回線維持費用の一部を無線LANスポット事業者(携帯キャリアなど)が負担すれば、店舗側にとっても費用面でのメリットが大きく、店舗側が無線LANを利用できるというメリットもある。無線LANスポット事業者にとっても、無線LANスポットの導入負担(導入費用、手間など)を小さくすることができるため、メリットがある。ただし、元々導入されていた企業ネットワーク用の通信回線に対して、無線LANスポット用の通信回線が影響を及ぼしたり、情報漏洩の原因となったりすることは回避しなければならない。本実施形態では、以下のように、無線LANスポット事業者と、店舗側の無線LANスポット用アクセスポイントとの間を繋ぐネットワークをIPsec(Security Architecture for IP)方式によりトンネルリングし、既存の企業ネットワークへの影響を回避している。
【0020】
《ネットワークシステムの構成》
図2は、本実施形態に係るネットワークシステム200の構成を示すブロック図である。ネットワークシステム200は、企業用WAN(Wide Area Network)260を中心とするシステムである。企業用WAN260は、専用回線あるいは擬似的な専用回線により構成されている。ネットワークシステム200内には、複数(図2の例では2つ)の独立したネットワークが仮想的に構築されている。
【0021】
1つは、店舗210内の店舗LAN(Local Area Network)212と企業データセンタ(以下、企業DCと称す)220,230とを結ぶ第1のネットワークである。店舗210には、企業用WAN260に対し、店舗ルータ211を介して店舗LAN212が接続される。そして、店舗LAN212には各種通信端末214が接続される。一方、企業DC220,230にはそれぞれ、企業用WAN260に対し、センタルータ221,231を介してセンタLAN222,232が接続される。なお、店舗LAN212には、無線アクセスポイント(図中、無線APと称す)が接続されてもよい。例えば、店舗であれば、店員のハンディターミナルの無線通信に使用される。
【0022】
もう1つは、店舗210内において、無線アクセスポイント213と無線LANスポット提供者データセンタ(以下、無線LANスポット提供者DCと称す)240とを結ぶ第2のネットワークである。無線アクセスポイント213は、企業用WAN260に対し、店舗ルータ211を介して接続される。これにより無線アクセスポイント213は、店舗内に無線LANスポットを形成する。そして、無線アクセスポイント213には各種通信端末215が無線接続される。一方、無線LANスポット提供者DC240は、企業用WAN260に対し提供者ルータ241を介して接続される。無線LANスポット提供者DC240は、さらにインターネット270を介して外部に接続されている。
【0023】
なお、図2には1つの店舗210しか図示されていないが、実際には企業用WAN260に対して複数の店舗が接続される。そして、企業用WAN260が複数の店舗間の通信を実現する。また、図2では店舗単位で店舗LANと無線LANスポットが形成される場合について示したが、支社・支店・営業所など、ビルの1フロアや部屋、交通機関の駅などに企業LANと無線LANスポットとを形成してもよい。
【0024】
さらに、上記第1、第2ネットワークに加えて、ネットワークあるいはネットワーク機器の保守点検を行なうための監視センタ250を設けて、独立した監視ネットワークを設けることも可能である。
【0025】
(動作時のネットワークシステム)
図3Aは、本実施形態に係る動作時のネットワークシステム200の状態を示すブロック図である。また、図3Aにおいては、企業DC、無線LANスポット提供者DC、および店舗はいずれも1つずつ存在するものとして説明するが、その数に制限はない。
【0026】
第1のネットワークは、図2でも示したように、店舗210の店舗LAN212と企業DC220,230とを企業用WAN260で接続するネットワークである。店舗LAN212には無線アクセスポイントやPOSが接続されており、それぞれ店舗内全エリアを企業イントラネット用の無線エリア312としてタブレットPCやハンディターミナルの通信端末と通信する。通信端末からの通信データはそのまま、あるいはPOSなどで処理されて、店舗ルータ211に送られる。店舗ルータ211は、本実施形態のIPsec方式による暗号化処理やカプセリング処理を行なわず、通信データを企業用WAN260に送出する。企業用WAN260内では、IPヘッダの宛先に従い各スイッチ261を経由して、企業DC220,230のセンタルータ221,231に送信される。センタルータ221,231を介して通信データが、企業DC220,230のLANに送信される。なお、店舗LAN212間の通信データ送信、および、企業DC220,230から店舗LAN212への通信データ送信も同様に行なわれる。
【0027】
無線LANスポット提供者が提供する第2のネットワークは、図2でも示したように、店舗210の無線アクセスポイント213と無線LANスポット提供者DC240とを企業用WAN260で接続するネットワークである。
【0028】
図3Aの店舗ルータ211に接続された無線アクセスポイント213は、店舗内の全エリアあるいは一部エリアに無線LANスポット216を構築する。これにより、無線LANスポット216内に存在するスマートフォンや携帯電話などの移動端末はインターネットにアクセスできる。
【0029】
本実施形態では、店舗ルータ211は、無線LANスポット216内に存在する移動端末から出力された通信データに対しては、IPsec方式により暗号化処理およびトンネリングのためのカップリング処理を行なって、企業用WAN260に送出する。企業用WAN260内では、新IPヘッダの宛先に従い各スイッチ261を経由して、無線LANスポット提供者DC240の提供者ルータ241に送信される。提供者ルータ241において、IPsec方式によりトンネリングのためのアンカップリング処理および復号処理を行なって、通信データが無線LANスポット提供者DC240のLANに送信される。なお、無線LANスポット提供者DC240から無線アクセスポイント213への通信データ送信も同様に行なわれる。無線LANスポット提供者DC240からは、さらに外部に対してインターネット270を介してデータ通信が行なわれる。
【0030】
図3Aにおいて、店舗ルータ211と提供者ルータ241との間は、トンネル301によって他の回線から隔離された擬似専用線として機能する。この擬似専用線は、第2のネットワークのすべての回線接続時に確立される。
【0031】
このように、他のローカルエリアネットワークを宛先とし少なくともトンネリングプロトコルに従うフォーマット変換を行なう店舗ルータ211を配置することによって、少ない設備投資で複数の独立したネットワークを運用することが可能になる。ここで、店舗210において、店舗LAN212の無線アクセスポイントやPOSによる無線エリア312と、無線LANスポット提供者DC240に接続する無線アクセスポイント213の無線LANスポット216とは、重なる場合が多い。この場合に各通信端末がいずれの無線アクセスポイントと接続するかは、既知のサービスセット識別子(SSID:Service Set Identifier/ESSID:Extended Service Set Identifier/BSSID:Basic Service Set Identifier)により選択および識別が可能となる。
【0032】
《IPsecの暗号通信におけるネゴシエーション》
図3Bは、本実施形態に係るIPsec方式の暗号通信におけるネゴシエーション手順300を示すシーケンス図である。かかるネゴシエーション手順300の詳細については、インターネット通信規格のRFC(Request for Comments)に規定されているので、詳細な説明は省略する。
【0033】
まず、ステップS321において、フェーズ1の処理として、店舗ルータ211とセンタルータ221,231との間で、フェーズ2で使用する暗号方式の決定と暗号鍵の生成を行なう。次に、ステップS323において、フェーズ2の処理として、IPsecで使用する暗号方式と暗号鍵などの合意(SA:Security Association)を決定する。
【0034】
これらフェーズ1とフェーズ2とのネゴシエーションが終了した後に、ステップS325において、IPsec方式による暗号通信(本実施形態においては、トンネリングも共に)が行なわれることになる。
【0035】
《第1のネットワークにおけるスタック》
図4は、本実施形態に係る第1のネットワークにおけるスタック400の構成を示す図である。なお、図4のスタック400は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。
【0036】
通信端末214から店舗ルータ211までの店舗LAN212のスタック410においては、送信データ(Data)413に、送信元および宛先を含むIPヘッダ412と、LAN上でのイーサネット(登録商標)番号(eth)411とが付加されている。以下、イーサネット(登録商標)番号は、“LAN番号”と言い替える。
【0037】
店舗ルータ211から企業用WAN260に送出するスタック420においては、IPsec方式に従う暗号化もトンネリング処理用のカプセリングも行なわない。図4においては、既存の第1のネットワークで実施していた処理はそのまま維持されるので、Any421として示している。IPsec方式に従う処理を受けなかったデータは、企業用WAN260上を他の店舗ルータ211やセンタルータ221,231に送られる。
【0038】
受信側の店舗ルータ211やセンタルータ221,231においては、企業用WAN260中を転送されて来たスタック420からAny421を取り除き、LAN番号(eth)431が付加されてスタック430となり、LAN上に送出される。
【0039】
《第2のネットワークにおけるスタック》
図5は、本実施形態に係る第2のネットワークにおけるスタック500の構成を示す図である。なお、図5のスタック500は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。また、図5では、無線アクセスポイント213と店舗ルータ211との間をLAN接続としたが、これに限定されず他の接続であればその方式に従うスタックが生成される。
【0040】
通信端末215から無線アクセスポイント213への無線LANにおけるスタック510は、送信データ(Data)516にIEEE(Institute of Electrical and Electronic Engineers)802.11ヘッダ512と、PLCP(Physical Layer Convergence Protocol)ヘッダおよびPLCPプレアンブル511が付加されている。IEEE802.11ヘッダ512内では、Addr.1(513)にSSIDが記憶され、Addr.2(514)に送信元MAC(Media Access Control)アドレスが記憶され、Addr.3(515)に宛先MACアドレスが記憶される。
【0041】
無線アクセスポイント213から店舗ルータ211までのLANのスタック520においては、PLCPヘッダおよびPLCPプレアンブル511に代わり、GRE(Generic Routing Encapsulation)ヘッダ522とIPヘッダ521と、LAN番号(eth)とが付加される。
【0042】
店舗ルータ211から企業用WAN260を介して提供者ルータ241に送出する、あるいは提供者ルータ241から企業用WAN260を介して店舗ルータ211に受信するスタック530において、本実施形態においてはIPsec方式に従う暗号化およびトンネリングを行なう。すなわち、スタック530においては、データ(Data)、IEEE802.11ヘッダ、GREヘッダ、IPヘッダ、のすべてが暗号化されて暗号データ部分533となり、暗号化情報を含むESPヘッダ(Encapsulating Security Payload Header)532と新IPヘッダ531がカプセリング処理のために追加される。図5では、斜線を施した部分がIPsec方式による暗号データ部分533である。
【0043】
一方、受信側の店舗ルータ211においては、企業用WAN260中を転送されて来たスタック530をESPヘッダ532に従って暗号データ部分533を復号して、ESPヘッダ532と新IPヘッダ531を取って、LAN番号(eth)が付加されてスタック540となる。そして、LAN上に無線アクセスポイント213に向け送出される。無線アクセスポイント213においては、LAN番号(eth)およびIPヘッダ、GREヘッダを取って、PLCPヘッダおよびPLCPプレアンブル511が付加されて通信端末215に無線通信される。なお、下りのIEEE802.11ヘッダ552においては、Addr.1(553)に宛先MACアドレスが記憶され、Addr.2(554)にSSIDが記憶され、Addr.3(555)に送信元MACアドレスが記憶される。そして、通信端末215において、受信データ(Data)556が受信される。
【0044】
《店舗ルータの構成》
次に、本実施形態において、ICsec方式による暗号化およびトンネリングを行なう店舗ルータ211の構成を説明する。
【0045】
(機能構成)
図6は、本実施形態に係る店舗ルータ211の機能構成を示すブロック図である。なお、図6の機能構成要素は、本実施形態の実施に重要な構成要素を示し、他の店舗ルータ211の動作に必要な構成要素は省略している。
【0046】
図6のように、店舗ルータ211は、店舗ルータ211の全体を制御する制御部601を有する。制御部601には、各ポートへの接続に対応付けて、暗号化やトンネリングなどの処理方式を設定するフォーマット変換テーブル601aを有する(図8参照)。また、店舗LAN212と接続する内部ポート602−1と無線アクセスポイント213と接続する内部ポート602−2とを有する。また、企業用WAN260と接続する外部ポート603を有する。なお、内部ポートも外部ポートも数に制限はない。
【0047】
また、店舗ルータ211は、内部ポート602−1から外部ポート603へのデータを暗号化およびカプセリングする送信用フォーマット変換部604と、外部ポート603から内部ポート602−1へのデータをアンカプセリングおよび復号する受信用フォーマット変換部605と、を有する。なお、本実施形態においては、送信用フォーマット変換部604と受信用フォーマット変換部605とは、IPsec方式による処理はしない。また、店舗ルータ211は、内部ポート602−2から外部ポート603へのデータを暗号化およびカプセリングする送信用フォーマット変換部606と、外部ポート603から内部ポート602−1へのデータをアンカプセリングおよび復号する受信用フォーマット変換部607と、を有する。上記いずれのフォーマット変換部も制御部601のフォーマット変換テーブル601aに従いその処理を決定する。
【0048】
また、パケット詰込部608とパケット分離部609とを有する。パケット詰込部608は、送信用フォーマット変換部604の出力パケットと、送信用フォーマット変換部606の出力パケットとを、1ラインの回線のタイムスロットに詰め込んで外部ポート603に出力する。一方、パケット分離部609は、外部ポート603に入力された企業用WAN260から受信したパケットを、その宛先に従い受信用フォーマット変換部605と受信用フォーマット変換部607とに振り分ける。
【0049】
このような構成により、無線アクセスポイント213と企業用WANとを経由する通信には、送信用フォーマット変換部606が暗号化およびカプセリングを施し、受信用フォーマット変換部607がアンカプセリングおよび復号を施す。これにより、1専用線/1専用回線中に擬似専用回線が構築される。したがって、無線アクセスポイント213と企業用WAN260を経由する無線LANスポット提供者による無線LANスポット216へのサービスは、店舗LAN212と企業用WANとを経由する第1のネットワークへの影響なしに実現できる。なお、本実施形態においては、店舗LAN212と企業DC220,230との通信は、無線アクセスポイント213の設置の影響なしに実施可能である。
【0050】
(ハードウェア構成)
図7は、本実施形態に係る店舗ルータ211のハードウェア構成を示すブロック図である。
【0051】
図7で、CPU710は演算制御用のプロセッサであり、プログラムを実行することで図6の店舗ルータ211の各機能構成部を実現する。ROM720は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。
【0052】
RAM740は、CPU710が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM740には、本実施形態の実現に必要なデータを記憶する領域が確保されている。741は、図6の内部ポート602−1、内部ポート602−2、外部ポート603などがデータ受信を検出したイベントを記憶する領域である。742は、図6の各フォーマット変換部が行なう変換や現在のステータスを記憶する領域である。743〜746は、現在処理中のパケットを記憶する領域である。743は店舗LANから企業用WANへのパケット、744は企業用WANから店舗LANへのパケット、745は無線アクセスポイントから企業用WANへのパケット、746は企業用WANから無線アクセスポイントへのパケットをそれぞれ記憶する。
【0053】
ストレージ750は、データベースや各種のパラメータ、あるいは本実施形態の実現に必要な以下のデータまたはプログラムが記憶されている。601aは、図6にも示した、フォーマット変換テーブルである(図8参照)。751は、本店舗ルータ211が有するフォーマット変換機能のアルゴリズムである。
【0054】
ストレージ750には、以下のプログラムが格納される。752には、店舗ルータ211の全体を制御するルータ制御プログラムが格納される。753には、ルータ制御プログラム752において、フォーマット変換を制御するフォーマット変換モジュールが格納される。754には、ルータ制御プログラム752において、入出力するパケットのルーティングを制御するパケットルーティング制御モジュールが格納される。
【0055】
入出力インタフェース760は、CPU710がハードウェア構成からなる各構成要素の監視および制御をするためのインタフェースを行なう。本実施形態においては、入出力インタフェース760には、CPU710により監視および制御される内部ポート602−1および602−2、外部ポート603、複数のフォーマット変換部604〜607、パケット詰込部608、パケット分離部609が接続される。
【0056】
なお、図7には、本実施形態に必須なデータやプログラムのみが示されており、本実施形態に関連しないデータやプログラムは図示されていない。
【0057】
(フォーマット変換テーブル)
図8は、本実施形態に係るフォーマット変換テーブル601aの構成601a−1を示す図である。なお、図8のフォーマット変換テーブル601aの構成601a−1は一例に過ぎず、同じ機能を果たすのであればフォーマットに制限はない。
【0058】
図8の構成601a−1においては、入力ポートID801と出力ポートID802とに対応して、その通信方式や処理方式が設定されている。ここで、入力ポートID801と出力ポートID802との組み合わせは、図7の743〜746に相当する。
【0059】
本実施形態においては、各組み合わせに対して、帯域803、速度804、変換方式としてIPsec805が設定されている。さらに、IPsec805のトンネリング806と暗号化/復号807を実行するか否かが設定されている。本実施形態においては、図8のように、無線アクセスポイント213が接続する内部ポート602−2と、企業用WAN260が接続する外部ポート603とを繋ぐパスにおいて、IPsec方式による暗号化とトンネリングとが設定されている。
【0060】
《店舗ルータの処理手順》
図9は、本実施形態に係る店舗ルータ211の処理手順を示すフローチャートである。このフローチャートは、図7のCPU710によりRAM740を用いながら実行されて、図6の構成における本実施形態の処理を実現する。
【0061】
まず、ステップS911とS921とS931において、それぞれ、内部ポート602−1におけるデータ受信か、内部ポート602−2におけるデータ受信か、外部ポート603におけるデータ受信か、のイベントを判定する。
【0062】
内部ポート602−1におけるデータ受信の場合はステップS913に進んで、パケットを外部ポート603から企業用WAN260に送出し、宛先のルータにトンネリング無しの転送を行なう。
【0063】
内部ポート602−2におけるデータ受信の場合はステップS923に進んで、IPsec方式による暗号化処理を行なう。さらに、ステップS925において、トンネリングのためのIPsec方式によるカプセリング処理を行なう。なお、ステップS923とS925とは同時に行なわれてよい。そして、ステップS913において、IPsec方式による暗号化処理とカプセリング処理とを行なったパケットを外部ポート603から企業用WAN260に送出し、宛先のルータにトンネリング有りの転送を行なう。
【0064】
外部ポート603におけるデータ受信の場合はステップS933に進んで、宛先から内部ポート602−1からの送信であるか否かを判定する。内部ポート602−1からの送信であればステップS935に進んで、パケットを内部ポート602−1から店舗LAN212に送出し、宛先の通信端末へのデータ転送を行なう。一方、内部ポート602−2からの送信であればステップS941に進んで、トンネリングのためのIPsec方式によるアンカプセリング処理を行なう。さらに、ステップS943において、IPsec方式による復号処理を行なう。なお、ステップS941とS943とは同時に行なわれてよい。そして、ステップS945において、IPsec方式によるアンカプセリング処理と復号処理とを行なったパケットを内部ポート602−2から無線アクセスポイント213に送出し、宛先の通信端末へのデータ転送を行なう。
【0065】
本実施形態により、企業ネットワークの店舗(支店)LAN間やデータセンタとの間を繋ぐネットワークに変更を加えることなく、かつ、機密性を維持して、企業ネットワークを使用して各店舗にホットスポット(登録商標)を展開することにより、少ない設備投資でサービスを提供可能となる。
【0066】
[第3実施形態]
次に、本発明の第3実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2実施形態と比べると、店舗LAN212と企業DC220,230との接続についても、IPsec方式によるトンネリングを行なう点で異なる。その他の構成および動作は、第2実施形態と同様であるため、その詳しい説明を省略する。
【0067】
本実施形態によれば、企業ネットワークとAPネットワークとを完全に切り離すことが可能となり、互いの機密性をより強化することができる。
【0068】
(動作時のネットワークシステム)
図10は、本実施形態に係る動作時のネットワークシステム1000の状態を示すブロック図である。なお、図10において、第2のネットワークにおけるトンネリング処理は第2実施形態の図3と同様であるので、同じ参照番号を付して説明は省略する。
【0069】
図10において、店舗1010の店舗ルータ1011により、店舗LAN212からの送信データは、IPsec方式により暗号化およびカプセリング処理される。企業用WAN260内では、店舗ルータ1011のカプセリング処理で付された新IPヘッダの宛先に従って各スイッチ261を経由して、企業DC1020,1030のセンタルータ1021,1031に送信される。センタルータ1021,1031は、IPsec方式によるトンネリングのためのアンカプセリング処理と、復号処理とを行ない、センタLANに通信データを送信する。なお、企業DC1020,1030から店舗LAN212への通信データ送信も同様に暗号化とトンネリングとが行なわれる。
【0070】
図10において、店舗ルータ1011とセンタルータ1021,1031との間は、トンネル1002によって他の回線から隔離された擬似専用線として機能する。この擬似専用線は、第1のネットワークのすべての回線接続時に確立される。そのため、同じ企業用WAN260を使用した無線LANスポット提供者が参入して無線LANスポット216を追加的に構築しても、第1のネットワークの機密性はより強固に維持される。さらに、盗聴があったとしても暗号化により秘匿性は確保される。なお、図10には、無線アクセスポイントとPOSとを図示したが、店舗1010が支店などに置き換えられた場合は、支店LANにパーソナルコンピュータ(以下PC)やサーバが接続されることになる。
【0071】
《第1のネットワークにおけるスタック》
図11は、本実施形態に係る第1のネットワークにおけるスタック1100の構成を示す図である。なお、図11のスタック1100は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。図11では、斜線を施した部分が暗号データ部分1123である。なお、図4と共通の部分については、同じ参照番号を付して説明を省略する。
【0072】
店舗ルータ1011から企業用WAN260に送出するスタック1120においては、IPsec方式に従い、この送信データ413とIPヘッダ412とを暗号化して暗号データ部分1123を生成する。そして、暗号化情報を含むESPヘッダ1122と新IPヘッダ1121とを付加することによりカプセリングする。そして、企業用WAN260中を新IPヘッダ1121の宛先に転送することにより、トンネリングを実現する。このカプセリングされた暗号データは、企業用WAN260上を他の店舗ルータ1011やセンタルータ1021,1031に送られる。
【0073】
受信側の店舗ルータ1011やセンタルータ1021,1031においては、企業用WAN260中を転送されて来たスタック1120からESPヘッダ1122に基づきIPヘッダ432と受信データ433とが復号される。そして、ESPヘッダ1122と新IPヘッダ1121とを取り除き、LAN番号(eth)431が付加されてスタック430となり、LAN上に送出される。
【0074】
(フォーマット変換テーブル)
図12は、本実施形態に係るフォーマット変換テーブル601aの構成601a−2を示す図である。なお、図12のフォーマット変換テーブル601aの構成601a−2は一例に過ぎず、同じ機能を果たすのであればフォーマットに制限はない。
【0075】
図12の構成601a−2においては、入力ポートID801と出力ポートID802とに対応して、その通信方式や処理方式が設定されている。ここで、入力ポートID801と出力ポートID802との組み合わせは、図7の743〜746に相当する。
【0076】
本実施形態においては、各組み合わせに対して、帯域803、速度804、変換方式としてIPsec1205が設定されている。さらに、第2実施形態の図8とは異なる、IPsec1205のトンネリング1206と暗号化/復号1207を実行するか否かが設定されている。本実施形態においては、図12のように、無線アクセスポイント213が接続する内部ポート602−2と、企業用WAN260が接続する外部ポート603とを繋ぐパスにおいても、店舗LAN212が接続する内部ポート602−1と、企業用WAN260が接続する外部ポート603とを繋ぐパスにおいても、IPsec方式による暗号化とトンネリングとが設定されている。
【0077】
《店舗ルータの処理手順》
図13は、本実施形態に係る店舗ルータ1011の処理手順を示すフローチャートである。このフローチャートは、図7のCPU710によりRAM740を用いながら実行されて、図6における本実施形態の処理を実現する。なお、図13のステップにおいて、図9と同様の処理には同じステップ番号を付して説明は省略する。
【0078】
内部ポート602−1におけるデータ受信の場合は、ステップS911からS1315に進んで、IPsec方式による暗号化処理を行なう。さらに、ステップS1317において、トンネリングのためのIPsec方式によるカプセリング処理を行なう。なお、ステップS1315とS1317とは同時に行なわれてよい。そして、ステップS913において、IPsec方式による暗号化処理とカプセリング処理とを行なったパケットを外部ポート603から企業用WAN260に送出し、宛先のルータにトンネリング有りの転送を行なう。
【0079】
外部ポート603におけるデータ受信の場合はステップS933に進んで、宛先から内部ポート602−1からの送信であるか否かを判定する。内部ポート602−1からの送信であればステップS1337に進んで、トンネリングのためのIPsec方式によるアンカプセリング処理を行なう。さらに、ステップS1339において、IPsec方式による暗復号処理を行なう。なお、ステップS1337とS1339とは同時に行なわれてよい。そして、ステップS935において、IPsec方式によるアンカプセリング処理と復号処理とを行なったパケットを内部ポート602−1から店舗LAN212に送出し、宛先の通信端末へのデータ転送を行なう。
【0080】
[第4実施形態]
次に、本発明の第4実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2実施形態と比べると、トンネリングをIPsec方式ではなくGRE方式で行なう点で異なる。なお、本実施形態では暗号化にIPsecを使用する。その他の構成および動作は、第2実施形態と同様であるため、その詳しい説明を省略する。
【0081】
《第1のネットワークにおけるスタック》
図14は、本実施形態に係る第1のネットワークにおけるスタック1400の構成を示す図である。なお、図14のスタック1400は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。図14のスタック1400と図5のスタック500との相違点は、特に、店舗ルータ211から企業用WAN260を経由する通信経路におけるスタック1430である。他のスタック1420や1440も図5と類似なので、同じ参照番号を付して説明は省略する。本実施形態では、IPsec方式でなくGREとIPsecとを組み合わせたGER/IPsec方式を使用する。図14では、斜線を施した部分が暗号データ部分1432である。
【0082】
店舗ルータ211から企業用WAN260に送出するスタック1430においては、GRE/IPsec方式に従い、LAN番号(eth)を除いたスタック1420と、さらにGREヘッダとを暗号化した暗号データ部分1432に、暗号化情報を含むESPヘッダと新IPヘッダとを付加することによりカプセリングする。すなわち、暗号化されたGREヘッダと、ESPヘッダおよび新IPヘッダとが、GRE/IPsec方式によりカプセリング/暗号化されたスタック1430の特徴部分1431となる。そして、企業用WAN260中を新IPヘッダの宛先に転送することにより、トンネリングを実現する。このカプセリングされた暗号データが、企業用WAN260上を無線LANスポット提供者DC240の提供者ルータ241に向けて送られる。
【0083】
受信側の店舗ルータ211においては、企業用WAN260中を転送されて来たスタック1430からESPヘッダに基づき、GREヘッダとIPヘッダと無線LAN用の受信データとが復号される。そして、GREヘッダとESPヘッダと新IPヘッダとを取り除き、LAN番号(eth)が付加されてスタック1440となり、LAN上に送出される。
【0084】
本実施形態によれば、GRE方式を併用することによって、IPsec方式と同様の結果を得ることが可能である。
【0085】
[第5実施形態]
次に、本発明の第5実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2実施形態と比べると、トンネリングをIPsec方式ではなくL2TP(Layer 2 Tunneling Protocol)方式で行なう点で異なる。なお、本実施形態では暗号化にIPsecを使用する。その他の構成および動作は、第2実施形態と同様であるため、その詳しい説明を省略する。
【0086】
《第1のネットワークにおけるスタック》
図15は、本実施形態に係る第2のネットワークにおけるスタック1500の構成を示す図である。なお、図15のスタック1500は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。図15のスタック1500と図5のスタック500との相違点は、店舗ルータ211から企業用WAN260を経由する通信経路におけるスタック1530である。他は図5および図14と類似なので、同じ参照番号を付して説明は省略する。本実施形態では、IPsec方式でなくL2TPとIPsecとを組み合わせたL2TP/IPsec方式を使用する。図15では、斜線を施した部分が暗号データ部分1532である。
【0087】
店舗ルータ211から企業用WAN260に送出するスタック1530においては、L2TP/IPsec方式に従い、LAN番号(eth)を除いたスタック1420と、さらにL2TPヘッダおよびUDPヘッダとを暗号化した暗号データ部分1532を生成する。そして、暗号化情報を含むESPヘッダと新IPヘッダとを付加することによりカプセリングする。すなわち、暗号化されたL2TPヘッダおよびUDPヘッダと、ESPヘッダおよび新IPヘッダとが、L2TP/IPsec方式によりカプセリング/暗号化されたスタック1520の特徴部分1531となる。そして、企業用WAN260中を新IPヘッダの宛先に転送することにより、トンネリングを実現する。このカプセリングされた暗号データが、企業用WAN260上を無線LANスポット提供者DC240の提供者ルータ241に向けて送られる。
【0088】
受信側の店舗ルータ211においては、企業用WAN260中を転送されて来たスタック1530からESPヘッダに基づき、L2TPヘッダおよびUDPヘッダとIPヘッダと無線LAN用の受信データとが復号される。そして、L2TPヘッダとUDPヘッダとESPヘッダと新IPヘッダとを取り除き、LAN番号(eth)431が付加されてスタック1440となり、LAN上に送出される。
【0089】
本実施形態によれば、L2TP方式を併用することによって、IPsec方式と同様の結果が得られる。
【0090】
[第6実施形態]
次に、本発明の第6実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2実施形態と比べると、暗号化を行なわずトンネリングのみを行なう点で異なる。なお、本実施形態ではトンネリングにGRE方式やL2TP方式を使用する。なお、これらに限定されず、トンネリングの他の方式も使用できる。その他の構成および動作は、第2実施形態と同様であるため、その詳しい説明を省略する。
【0091】
(フォーマット変換テーブル)
図16は、本実施形態に係るフォーマット変換テーブル601aの構成601a−3を示す図である。なお、図16のフォーマット変換テーブル601aの構成601a−3は一例に過ぎず、同じ機能を果たすのであればフォーマットに制限はない。
【0092】
図16の構成601a−3においては、入力ポートID801と出力ポートID802とに対応して、その通信方式や処理方式が設定されている。ここで、入力ポートID801と出力ポートID802との組み合わせは、図7の743〜746に相当する。
【0093】
本実施形態においては、各組み合わせに対して、帯域803、速度804、変換方式としてトンネリングを行なうGERまたはL2TP1605の設定と、暗号化/復号1606を実行しないことが設定されている。本実施形態においては、図16のように、無線アクセスポイント213が接続する内部ポート602−2と、企業用WAN260が接続する外部ポート603とを繋ぐパスにおいて、トンネリングが設定されている。
【0094】
本実施形態によれば、機密性を確保しつつ、通信速度を上げることができる。
【0095】
[第7実施形態]
次に、本発明の第7実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2乃至第6実施形態と比べると、企業ネットワークにおいてルータ間のみでなく各機器やAP間でトンネリングを行なう点で異なる。本実施形態のトンネリングは、IPsec方式のトンネリングモードやトランスポートモードを使用したり、GRE方式やL2TP方式を使用したりすることで実現できる。その他の構成および動作は、第2乃至第6実施形態と同様であるため、その詳しい説明を省略する。
【0096】
(動作時のネットワークシステム)
図17は、本実施形態に係る動作時のネットワークシステム1700の状態を示すブロック図である。なお、図17において、第1のネットワークにおけるトンネリング処理は第2実施形態の図3Aと同様であるので、同じ参照番号を付して説明は省略する。
【0097】
本実施形態の第2のネットワークは、店舗1710の無線アクセスポイント1713と無線LANスポット提供者DC1740とを企業用WAN260で接続するネットワークである。無線アクセスポイント1713は、無線LANスポット216内に存在するスマートフォンや携帯電話などの移動端末と通信する。通信端末からの通信データは、無線アクセスポイント1713において、少なくとも新IPヘッダによるカプセリング処理および/または暗号化を行ない、処理後の通信データが店舗ルータ1711に送られる。店舗ルータ1711は、店舗LAN1712からの送信データをそのまま企業用WAN260に送出する。
【0098】
企業用WAN260内では、店舗ルータ1711のカプセリング処理で付された新IPヘッダの宛先に従って各スイッチ261を経由し、さらに、提供者ルータ1741を経由して、無線LANスポット提供者DC1740に送信される。無線LANスポット提供者DC1740のLANに接続する装置において、IPsec方式によるトンネリングのためのアンカプセリング処理および/または復号を行ない、通信データを復元する。なお、無線LANスポット提供者DC1740から無線アクセスポイント1713を経由する通信データ送信にも同様にトンネリング処理が行なわれる。
【0099】
図17において、無線アクセスポイント1713と無線LANスポット提供者DC1740のLANに接続する装置との間は、トンネル1701によって他の回線から隔離された擬似専用線として機能する。この擬似専用線は、第2のネットワークのすべての回線接続時に確立される。そのため、同じ企業用WAN260を使用した無線LANスポット提供者が参入して無線LANスポット216を追加的に構築しても、第1のネットワークの機密性は維持される。同時に、ネットワーク間の通信回線の機密性がさらに向上する。さらに、盗聴があったとしても暗号化により秘匿性は確保される。
【0100】
《第2のネットワークにおけるスタック》
図18は、本実施形態に係る第2のネットワークにおけるスタック1800の構成を示す図である。なお、図18のスタック1800は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。図18では、斜線を施した部分が暗号データ部分1823である。なお、図5と同様スタックには同じ参照番号を付して説明を省略する。
【0101】
無線アクセスポイント1713から店舗ルータ1711までのLANのスタック1820においては、PLCPヘッダおよびPLCPプレアンブル511に代わり、GREヘッダとIPヘッダとが付加される。同時に、IPsec方式に従う暗号化およびトンネリングを行なう。すなわち、スタック1820においては、データ(Data)、IEEE802.11ヘッダ、GREヘッダ、IPヘッダ、のすべてが暗号化されて暗号データ部分1823となり、暗号化情報を含むESPヘッダ1822と新IPヘッダ1821がカプセリング処理のために追加される。さらに、LAN番号(eth)が付加される。図18では、斜線を施した部分がIPsec方式による暗号データ部分1823である。店舗ルータ1711は、LAN番号(eth)を除くだけのスタック530の状態で、そのまま企業用WAN260に送出する。
【0102】
一方、受信側の店舗ルータ1711においては、企業用WAN260中を転送されて来たスタック530にLAN番号(eth)が付加されてスタック1840として無線アクセスポイント1713に送信する。無線アクセスポイント1713において、LAN番号(eth)を除き、ESPヘッダ1822に従って暗号データ部スタック550を無線LANに接続する通信端末に送信する。
【0103】
(フォーマット変換テーブル)
図19は、本実施形態に係るフォーマット変換テーブル601aの構成601a−4を示す図である。なお、図19のフォーマット変換テーブル601aの構成601a−4は一例に過ぎず、同じ機能を果たすのであればフォーマットに制限はない。
【0104】
図19の構成601a−4においては、入力ポートID801と出力ポートID802とに対応して、その通信方式や処理方式が設定されている。ここで、入力ポートID801と出力ポートID802との組み合わせは、図7の743〜746に相当する。
【0105】
本実施形態においては、各組み合わせに対して、帯域803、速度804、変換方式としてトンネリング1905を行なうか否かの設定と、暗号化/復号1606を行なうか否かの設定とがされている。本実施形態において、暗号化/復号もトンネリングのためのカプセリング/アンカプセリングも無線アクセスポイント1713で行なわれるので、店舗ルータ1711は単に企業用WAN260へのルーティングのみを行なえばよい。
【0106】
本実施形態によれば、装置から装置までの全区間で他のネットワークと隔離でき、機密性をより高めることが可能である。なお、異なるプロトコルの通信区間の数を削減することで、暗号化などの秘匿処理を省くことも可能である。したがって、通信速度も速くなり通信容量も増すことも可能である。
【0107】
[他の実施形態]
本実施形態においては、暗号化やトンネリングにおいて使用する方式として、IPsec、GRE、L2TP、あるいはその組み合わせなどを説明した。しかしながら、同じ企業用WANを他のサービスネットワーク(第2のネットワーク)が共用しても、企業内ネットワーク(第1のネットワーク)の機密性や秘匿性が保証される方式であれば、あらゆる方式が適用できる。
【0108】
また、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。
【0109】
また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する情報処理プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされる制御プログラム、あるいはその制御プログラムを格納した媒体、その制御プログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。
【技術分野】
【0001】
本発明は、ワイドエリアネットワークにより接続されたネットワークシステムにおいて、複数の独立したネットワークを運用する技術に関する。
【背景技術】
【0002】
上記技術分野において、特許文献1には、利用者宅の宅内アクセスポイントをモバイルユーザが使用可能として、モバイルサービス提供事業者からのサービスの提供を受けるネットワークシステムが記載されている。また、特許文献2には、レイヤー3ネットワークであるワイドエリアネットワークを横切って、企業レイヤー2ネットワークを生成する通信技術が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特願2004−312088号公報
【特許文献2】特表2007−532043号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記文献に記載の技術では、ワイドエリアネットワークの中に複数の独立したネットワークを構成して、既存のネットワークの独立性を維持しながら新規のネットワークサービスを参入させることはできなかった。
【0005】
本発明の目的は、上述の課題を解決する技術を提供することにある。
【課題を解決するための手段】
【0006】
上記目的を達成するため、本発明に係るシステムは、
ワイドエリアネットワークを経由して所定エリアに第1サービスを提供する第1ネットワークと、
前記所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、前記ワイドエリアネットワークを経由して第2サービスを提供する第2ネットワークと、
前記第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離する分離制御手段と、
を備えることを特徴とする。
【0007】
上記目的を達成するため、本発明に係る方法は、
ワイドエリアネットワークにより接続されたネットワークシステムにおいて、複数の独立したネットワークを運用する方法であって、
ワイドエリアネットワークを経由して所定エリアにサービスを提供する第1ネットワークを構成する第1構成ステップと、
前記所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、前記ワイドエリアネットワークを経由してサービスを提供する第2ネットワークを構成する第2構成ステップと、
前記第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離する分離制御ステップと、
を含むことを特徴とする。
【0008】
上記目的を達成するため、本発明に係る装置は、
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置であって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定手段と、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定手段と、
を有することを特徴とする。
【0009】
上記目的を達成するため、本発明に係る方法は、
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置での制御方法あって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定ステップと、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定ステップと、
を含むことを特徴とする。
【0010】
上記目的を達成するため、本発明に係るプログラムは、
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置での制御プログラムあって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定ステップと、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定ステップと、
をコンピュータに実行させることを特徴とする。
【発明の効果】
【0011】
本発明によれば、既存のネットワークの独立性を維持しながら新規のネットワークサービスを容易に導入することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の第1実施形態に係るネットワークシステムの構成を示すブロック図である。
【図2】本発明の第2実施形態に係るネットワークシステムの構成を示すブロック図である。
【図3A】本発明の第2実施形態に係る動作時のネットワークシステムの状態を示すブロック図である。
【図3B】本発明の第2実施形態に係るIPsec方式の暗号通信におけるネゴシエーション手順を示すシーケンス図である。
【図4】本発明の第2実施形態に係る第1のネットワークにおけるスタックの構成を示す図である。
【図5】本発明の第2実施形態に係る第2のネットワークにおけるスタックの構成を示す図である。
【図6】本発明の第2実施形態に係る店舗ルータの機能構成を示すブロック図である。
【図7】本発明の第2実施形態に係る店舗ルータのハードウェア構成を示すブロック図である。
【図8】本発明の第2実施形態に係るフォーマット変換テーブルの構成を示す図である。
【図9】本発明の第2実施形態に係る店舗ルータの処理手順を示すフローチャートである。
【図10】本発明の第3実施形態に係る動作時のネットワークシステムの状態を示すブロック図である。
【図11】本発明の第3実施形態に係る第1のネットワークにおけるスタックの構成を示す図である。
【図12】本発明の第3実施形態に係るフォーマット変換テーブルの構成を示す図である。
【図13】本発明の第3実施形態に係る店舗ルータの処理手順を示すフローチャートである。
【図14】本発明の第4実施形態に係る第1のネットワークにおけるスタックの構成を示す図である。
【図15】本発明の第5実施形態に係る第1のネットワークにおけるスタックの構成を示す図である。
【図16】本発明の第6実施形態に係るフォーマット変換テーブルの構成を示す図である。
【図17】本発明の第7実施形態に係る動作時のネットワークシステムの状態を示すブロック図である。
【図18】本発明の第7実施形態に係る第2のネットワークにおけるスタックの構成を示す図である。
【図19】本発明の第7実施形態に係るフォーマット変換テーブルの構成を示す図である。
【発明を実施するための形態】
【0013】
以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。
【0014】
[第1実施形態]
本発明の第1実施形態としてのネットワークシステム100について、図1を用いて説明する。ネットワークシステム100は、ワイドエリアネットワークにより接続されたネットワークシステムである。
【0015】
図1に示すように、ネットワークシステム100は、第1ネットワーク110と、第2ネットワーク120と、分離制御部130と、を含む。第1ネットワーク110は、ワイドエリアネットワーク101を経由して所定エリア102に第1サービスを提供する。第2ネットワーク120は、所定エリア102にあって、無線アクセスポイント103により生成された無線ネットワークスポット104内の通信端末105に、ワイドエリアネットワーク101を経由して第2サービスを提供する。分離制御部130は、第1ネットワーク110および第2ネットワーク120の少なくともいずれか一方に対してトンネリング処理(101aまたは101b)を施す。これにより、第1ネットワーク110および第2ネットワーク120が使用する通信回線を論理的に分離する。
【0016】
本実施形態によれば、ワイドエリアネットワークの中に複数の独立したネットワークを構成して、既存のネットワークの機密性を維持しながら新規のネットワークサービスの参入を容易にすることできる。
【0017】
[第2実施形態]
次に、本発明の第2実施形態に係るネットワークシステムについて説明する。本実施形態においては、元々有線通信回線を持っている店舗などに、新たに無線LANスポット(いわゆるホットスポット(登録商標))を導入した場合の構成を示している。なお、本実施形態の有線通信回線において、いずれの通信回線を無線通信回線に代替することによっても同等の効果が達成され、これらの構成も本実施形態の構成に含まれる。
【0018】
(関連技術)
現在、スマートフォン等のスマートデバイスが爆発的な勢いで普及しており、携帯用ネットワークにおける通信負荷の大きさ、およびそれを要因とする通信速度の低下が問題となっている。この問題を解決するため、スマートデバイスが携帯用ネットワークを用いずにインターネット通信を行なうことのできる無線LANスポットの導入が進んでいる。例えば、携帯キャリアが顧客満足度を向上させるため、無線LANスポットを流通業の店舗(コンビニエンスストアなど)に導入しようとしている。流通業側も、集客効果を期待して、そのような無線LANスポットを導入することに積極的な動きを見せている。しかし、無線LANスポットを導入しようとして、光ファイバーなどの通信回線を新たに敷設すると、コスト負担、管理負担が大きくなる。
【0019】
一方、コンビニエンスストアなどの店舗には、企業ネットワークを構築するために光ファイバーなどの有線通信回線がすでに導入されており、しかもその通信トラフィックには余裕が十分ある。そこで、ここではその光ファイバーなどの有線通信回線を、無線LANスポット用にシェアすることを提案する。元々のネットワーク管理者が、無線LANスポットと店舗との間の関係を取り持ち、無線LANスポット関係のネットワークの管理や無線LANスポット導入費用の回収などを一元管理すれば、店舗にとって非常に無線LANスポットを導入しやすくなる。また、店舗が元々支払っていた通信回線維持費用の一部を無線LANスポット事業者(携帯キャリアなど)が負担すれば、店舗側にとっても費用面でのメリットが大きく、店舗側が無線LANを利用できるというメリットもある。無線LANスポット事業者にとっても、無線LANスポットの導入負担(導入費用、手間など)を小さくすることができるため、メリットがある。ただし、元々導入されていた企業ネットワーク用の通信回線に対して、無線LANスポット用の通信回線が影響を及ぼしたり、情報漏洩の原因となったりすることは回避しなければならない。本実施形態では、以下のように、無線LANスポット事業者と、店舗側の無線LANスポット用アクセスポイントとの間を繋ぐネットワークをIPsec(Security Architecture for IP)方式によりトンネルリングし、既存の企業ネットワークへの影響を回避している。
【0020】
《ネットワークシステムの構成》
図2は、本実施形態に係るネットワークシステム200の構成を示すブロック図である。ネットワークシステム200は、企業用WAN(Wide Area Network)260を中心とするシステムである。企業用WAN260は、専用回線あるいは擬似的な専用回線により構成されている。ネットワークシステム200内には、複数(図2の例では2つ)の独立したネットワークが仮想的に構築されている。
【0021】
1つは、店舗210内の店舗LAN(Local Area Network)212と企業データセンタ(以下、企業DCと称す)220,230とを結ぶ第1のネットワークである。店舗210には、企業用WAN260に対し、店舗ルータ211を介して店舗LAN212が接続される。そして、店舗LAN212には各種通信端末214が接続される。一方、企業DC220,230にはそれぞれ、企業用WAN260に対し、センタルータ221,231を介してセンタLAN222,232が接続される。なお、店舗LAN212には、無線アクセスポイント(図中、無線APと称す)が接続されてもよい。例えば、店舗であれば、店員のハンディターミナルの無線通信に使用される。
【0022】
もう1つは、店舗210内において、無線アクセスポイント213と無線LANスポット提供者データセンタ(以下、無線LANスポット提供者DCと称す)240とを結ぶ第2のネットワークである。無線アクセスポイント213は、企業用WAN260に対し、店舗ルータ211を介して接続される。これにより無線アクセスポイント213は、店舗内に無線LANスポットを形成する。そして、無線アクセスポイント213には各種通信端末215が無線接続される。一方、無線LANスポット提供者DC240は、企業用WAN260に対し提供者ルータ241を介して接続される。無線LANスポット提供者DC240は、さらにインターネット270を介して外部に接続されている。
【0023】
なお、図2には1つの店舗210しか図示されていないが、実際には企業用WAN260に対して複数の店舗が接続される。そして、企業用WAN260が複数の店舗間の通信を実現する。また、図2では店舗単位で店舗LANと無線LANスポットが形成される場合について示したが、支社・支店・営業所など、ビルの1フロアや部屋、交通機関の駅などに企業LANと無線LANスポットとを形成してもよい。
【0024】
さらに、上記第1、第2ネットワークに加えて、ネットワークあるいはネットワーク機器の保守点検を行なうための監視センタ250を設けて、独立した監視ネットワークを設けることも可能である。
【0025】
(動作時のネットワークシステム)
図3Aは、本実施形態に係る動作時のネットワークシステム200の状態を示すブロック図である。また、図3Aにおいては、企業DC、無線LANスポット提供者DC、および店舗はいずれも1つずつ存在するものとして説明するが、その数に制限はない。
【0026】
第1のネットワークは、図2でも示したように、店舗210の店舗LAN212と企業DC220,230とを企業用WAN260で接続するネットワークである。店舗LAN212には無線アクセスポイントやPOSが接続されており、それぞれ店舗内全エリアを企業イントラネット用の無線エリア312としてタブレットPCやハンディターミナルの通信端末と通信する。通信端末からの通信データはそのまま、あるいはPOSなどで処理されて、店舗ルータ211に送られる。店舗ルータ211は、本実施形態のIPsec方式による暗号化処理やカプセリング処理を行なわず、通信データを企業用WAN260に送出する。企業用WAN260内では、IPヘッダの宛先に従い各スイッチ261を経由して、企業DC220,230のセンタルータ221,231に送信される。センタルータ221,231を介して通信データが、企業DC220,230のLANに送信される。なお、店舗LAN212間の通信データ送信、および、企業DC220,230から店舗LAN212への通信データ送信も同様に行なわれる。
【0027】
無線LANスポット提供者が提供する第2のネットワークは、図2でも示したように、店舗210の無線アクセスポイント213と無線LANスポット提供者DC240とを企業用WAN260で接続するネットワークである。
【0028】
図3Aの店舗ルータ211に接続された無線アクセスポイント213は、店舗内の全エリアあるいは一部エリアに無線LANスポット216を構築する。これにより、無線LANスポット216内に存在するスマートフォンや携帯電話などの移動端末はインターネットにアクセスできる。
【0029】
本実施形態では、店舗ルータ211は、無線LANスポット216内に存在する移動端末から出力された通信データに対しては、IPsec方式により暗号化処理およびトンネリングのためのカップリング処理を行なって、企業用WAN260に送出する。企業用WAN260内では、新IPヘッダの宛先に従い各スイッチ261を経由して、無線LANスポット提供者DC240の提供者ルータ241に送信される。提供者ルータ241において、IPsec方式によりトンネリングのためのアンカップリング処理および復号処理を行なって、通信データが無線LANスポット提供者DC240のLANに送信される。なお、無線LANスポット提供者DC240から無線アクセスポイント213への通信データ送信も同様に行なわれる。無線LANスポット提供者DC240からは、さらに外部に対してインターネット270を介してデータ通信が行なわれる。
【0030】
図3Aにおいて、店舗ルータ211と提供者ルータ241との間は、トンネル301によって他の回線から隔離された擬似専用線として機能する。この擬似専用線は、第2のネットワークのすべての回線接続時に確立される。
【0031】
このように、他のローカルエリアネットワークを宛先とし少なくともトンネリングプロトコルに従うフォーマット変換を行なう店舗ルータ211を配置することによって、少ない設備投資で複数の独立したネットワークを運用することが可能になる。ここで、店舗210において、店舗LAN212の無線アクセスポイントやPOSによる無線エリア312と、無線LANスポット提供者DC240に接続する無線アクセスポイント213の無線LANスポット216とは、重なる場合が多い。この場合に各通信端末がいずれの無線アクセスポイントと接続するかは、既知のサービスセット識別子(SSID:Service Set Identifier/ESSID:Extended Service Set Identifier/BSSID:Basic Service Set Identifier)により選択および識別が可能となる。
【0032】
《IPsecの暗号通信におけるネゴシエーション》
図3Bは、本実施形態に係るIPsec方式の暗号通信におけるネゴシエーション手順300を示すシーケンス図である。かかるネゴシエーション手順300の詳細については、インターネット通信規格のRFC(Request for Comments)に規定されているので、詳細な説明は省略する。
【0033】
まず、ステップS321において、フェーズ1の処理として、店舗ルータ211とセンタルータ221,231との間で、フェーズ2で使用する暗号方式の決定と暗号鍵の生成を行なう。次に、ステップS323において、フェーズ2の処理として、IPsecで使用する暗号方式と暗号鍵などの合意(SA:Security Association)を決定する。
【0034】
これらフェーズ1とフェーズ2とのネゴシエーションが終了した後に、ステップS325において、IPsec方式による暗号通信(本実施形態においては、トンネリングも共に)が行なわれることになる。
【0035】
《第1のネットワークにおけるスタック》
図4は、本実施形態に係る第1のネットワークにおけるスタック400の構成を示す図である。なお、図4のスタック400は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。
【0036】
通信端末214から店舗ルータ211までの店舗LAN212のスタック410においては、送信データ(Data)413に、送信元および宛先を含むIPヘッダ412と、LAN上でのイーサネット(登録商標)番号(eth)411とが付加されている。以下、イーサネット(登録商標)番号は、“LAN番号”と言い替える。
【0037】
店舗ルータ211から企業用WAN260に送出するスタック420においては、IPsec方式に従う暗号化もトンネリング処理用のカプセリングも行なわない。図4においては、既存の第1のネットワークで実施していた処理はそのまま維持されるので、Any421として示している。IPsec方式に従う処理を受けなかったデータは、企業用WAN260上を他の店舗ルータ211やセンタルータ221,231に送られる。
【0038】
受信側の店舗ルータ211やセンタルータ221,231においては、企業用WAN260中を転送されて来たスタック420からAny421を取り除き、LAN番号(eth)431が付加されてスタック430となり、LAN上に送出される。
【0039】
《第2のネットワークにおけるスタック》
図5は、本実施形態に係る第2のネットワークにおけるスタック500の構成を示す図である。なお、図5のスタック500は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。また、図5では、無線アクセスポイント213と店舗ルータ211との間をLAN接続としたが、これに限定されず他の接続であればその方式に従うスタックが生成される。
【0040】
通信端末215から無線アクセスポイント213への無線LANにおけるスタック510は、送信データ(Data)516にIEEE(Institute of Electrical and Electronic Engineers)802.11ヘッダ512と、PLCP(Physical Layer Convergence Protocol)ヘッダおよびPLCPプレアンブル511が付加されている。IEEE802.11ヘッダ512内では、Addr.1(513)にSSIDが記憶され、Addr.2(514)に送信元MAC(Media Access Control)アドレスが記憶され、Addr.3(515)に宛先MACアドレスが記憶される。
【0041】
無線アクセスポイント213から店舗ルータ211までのLANのスタック520においては、PLCPヘッダおよびPLCPプレアンブル511に代わり、GRE(Generic Routing Encapsulation)ヘッダ522とIPヘッダ521と、LAN番号(eth)とが付加される。
【0042】
店舗ルータ211から企業用WAN260を介して提供者ルータ241に送出する、あるいは提供者ルータ241から企業用WAN260を介して店舗ルータ211に受信するスタック530において、本実施形態においてはIPsec方式に従う暗号化およびトンネリングを行なう。すなわち、スタック530においては、データ(Data)、IEEE802.11ヘッダ、GREヘッダ、IPヘッダ、のすべてが暗号化されて暗号データ部分533となり、暗号化情報を含むESPヘッダ(Encapsulating Security Payload Header)532と新IPヘッダ531がカプセリング処理のために追加される。図5では、斜線を施した部分がIPsec方式による暗号データ部分533である。
【0043】
一方、受信側の店舗ルータ211においては、企業用WAN260中を転送されて来たスタック530をESPヘッダ532に従って暗号データ部分533を復号して、ESPヘッダ532と新IPヘッダ531を取って、LAN番号(eth)が付加されてスタック540となる。そして、LAN上に無線アクセスポイント213に向け送出される。無線アクセスポイント213においては、LAN番号(eth)およびIPヘッダ、GREヘッダを取って、PLCPヘッダおよびPLCPプレアンブル511が付加されて通信端末215に無線通信される。なお、下りのIEEE802.11ヘッダ552においては、Addr.1(553)に宛先MACアドレスが記憶され、Addr.2(554)にSSIDが記憶され、Addr.3(555)に送信元MACアドレスが記憶される。そして、通信端末215において、受信データ(Data)556が受信される。
【0044】
《店舗ルータの構成》
次に、本実施形態において、ICsec方式による暗号化およびトンネリングを行なう店舗ルータ211の構成を説明する。
【0045】
(機能構成)
図6は、本実施形態に係る店舗ルータ211の機能構成を示すブロック図である。なお、図6の機能構成要素は、本実施形態の実施に重要な構成要素を示し、他の店舗ルータ211の動作に必要な構成要素は省略している。
【0046】
図6のように、店舗ルータ211は、店舗ルータ211の全体を制御する制御部601を有する。制御部601には、各ポートへの接続に対応付けて、暗号化やトンネリングなどの処理方式を設定するフォーマット変換テーブル601aを有する(図8参照)。また、店舗LAN212と接続する内部ポート602−1と無線アクセスポイント213と接続する内部ポート602−2とを有する。また、企業用WAN260と接続する外部ポート603を有する。なお、内部ポートも外部ポートも数に制限はない。
【0047】
また、店舗ルータ211は、内部ポート602−1から外部ポート603へのデータを暗号化およびカプセリングする送信用フォーマット変換部604と、外部ポート603から内部ポート602−1へのデータをアンカプセリングおよび復号する受信用フォーマット変換部605と、を有する。なお、本実施形態においては、送信用フォーマット変換部604と受信用フォーマット変換部605とは、IPsec方式による処理はしない。また、店舗ルータ211は、内部ポート602−2から外部ポート603へのデータを暗号化およびカプセリングする送信用フォーマット変換部606と、外部ポート603から内部ポート602−1へのデータをアンカプセリングおよび復号する受信用フォーマット変換部607と、を有する。上記いずれのフォーマット変換部も制御部601のフォーマット変換テーブル601aに従いその処理を決定する。
【0048】
また、パケット詰込部608とパケット分離部609とを有する。パケット詰込部608は、送信用フォーマット変換部604の出力パケットと、送信用フォーマット変換部606の出力パケットとを、1ラインの回線のタイムスロットに詰め込んで外部ポート603に出力する。一方、パケット分離部609は、外部ポート603に入力された企業用WAN260から受信したパケットを、その宛先に従い受信用フォーマット変換部605と受信用フォーマット変換部607とに振り分ける。
【0049】
このような構成により、無線アクセスポイント213と企業用WANとを経由する通信には、送信用フォーマット変換部606が暗号化およびカプセリングを施し、受信用フォーマット変換部607がアンカプセリングおよび復号を施す。これにより、1専用線/1専用回線中に擬似専用回線が構築される。したがって、無線アクセスポイント213と企業用WAN260を経由する無線LANスポット提供者による無線LANスポット216へのサービスは、店舗LAN212と企業用WANとを経由する第1のネットワークへの影響なしに実現できる。なお、本実施形態においては、店舗LAN212と企業DC220,230との通信は、無線アクセスポイント213の設置の影響なしに実施可能である。
【0050】
(ハードウェア構成)
図7は、本実施形態に係る店舗ルータ211のハードウェア構成を示すブロック図である。
【0051】
図7で、CPU710は演算制御用のプロセッサであり、プログラムを実行することで図6の店舗ルータ211の各機能構成部を実現する。ROM720は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。
【0052】
RAM740は、CPU710が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM740には、本実施形態の実現に必要なデータを記憶する領域が確保されている。741は、図6の内部ポート602−1、内部ポート602−2、外部ポート603などがデータ受信を検出したイベントを記憶する領域である。742は、図6の各フォーマット変換部が行なう変換や現在のステータスを記憶する領域である。743〜746は、現在処理中のパケットを記憶する領域である。743は店舗LANから企業用WANへのパケット、744は企業用WANから店舗LANへのパケット、745は無線アクセスポイントから企業用WANへのパケット、746は企業用WANから無線アクセスポイントへのパケットをそれぞれ記憶する。
【0053】
ストレージ750は、データベースや各種のパラメータ、あるいは本実施形態の実現に必要な以下のデータまたはプログラムが記憶されている。601aは、図6にも示した、フォーマット変換テーブルである(図8参照)。751は、本店舗ルータ211が有するフォーマット変換機能のアルゴリズムである。
【0054】
ストレージ750には、以下のプログラムが格納される。752には、店舗ルータ211の全体を制御するルータ制御プログラムが格納される。753には、ルータ制御プログラム752において、フォーマット変換を制御するフォーマット変換モジュールが格納される。754には、ルータ制御プログラム752において、入出力するパケットのルーティングを制御するパケットルーティング制御モジュールが格納される。
【0055】
入出力インタフェース760は、CPU710がハードウェア構成からなる各構成要素の監視および制御をするためのインタフェースを行なう。本実施形態においては、入出力インタフェース760には、CPU710により監視および制御される内部ポート602−1および602−2、外部ポート603、複数のフォーマット変換部604〜607、パケット詰込部608、パケット分離部609が接続される。
【0056】
なお、図7には、本実施形態に必須なデータやプログラムのみが示されており、本実施形態に関連しないデータやプログラムは図示されていない。
【0057】
(フォーマット変換テーブル)
図8は、本実施形態に係るフォーマット変換テーブル601aの構成601a−1を示す図である。なお、図8のフォーマット変換テーブル601aの構成601a−1は一例に過ぎず、同じ機能を果たすのであればフォーマットに制限はない。
【0058】
図8の構成601a−1においては、入力ポートID801と出力ポートID802とに対応して、その通信方式や処理方式が設定されている。ここで、入力ポートID801と出力ポートID802との組み合わせは、図7の743〜746に相当する。
【0059】
本実施形態においては、各組み合わせに対して、帯域803、速度804、変換方式としてIPsec805が設定されている。さらに、IPsec805のトンネリング806と暗号化/復号807を実行するか否かが設定されている。本実施形態においては、図8のように、無線アクセスポイント213が接続する内部ポート602−2と、企業用WAN260が接続する外部ポート603とを繋ぐパスにおいて、IPsec方式による暗号化とトンネリングとが設定されている。
【0060】
《店舗ルータの処理手順》
図9は、本実施形態に係る店舗ルータ211の処理手順を示すフローチャートである。このフローチャートは、図7のCPU710によりRAM740を用いながら実行されて、図6の構成における本実施形態の処理を実現する。
【0061】
まず、ステップS911とS921とS931において、それぞれ、内部ポート602−1におけるデータ受信か、内部ポート602−2におけるデータ受信か、外部ポート603におけるデータ受信か、のイベントを判定する。
【0062】
内部ポート602−1におけるデータ受信の場合はステップS913に進んで、パケットを外部ポート603から企業用WAN260に送出し、宛先のルータにトンネリング無しの転送を行なう。
【0063】
内部ポート602−2におけるデータ受信の場合はステップS923に進んで、IPsec方式による暗号化処理を行なう。さらに、ステップS925において、トンネリングのためのIPsec方式によるカプセリング処理を行なう。なお、ステップS923とS925とは同時に行なわれてよい。そして、ステップS913において、IPsec方式による暗号化処理とカプセリング処理とを行なったパケットを外部ポート603から企業用WAN260に送出し、宛先のルータにトンネリング有りの転送を行なう。
【0064】
外部ポート603におけるデータ受信の場合はステップS933に進んで、宛先から内部ポート602−1からの送信であるか否かを判定する。内部ポート602−1からの送信であればステップS935に進んで、パケットを内部ポート602−1から店舗LAN212に送出し、宛先の通信端末へのデータ転送を行なう。一方、内部ポート602−2からの送信であればステップS941に進んで、トンネリングのためのIPsec方式によるアンカプセリング処理を行なう。さらに、ステップS943において、IPsec方式による復号処理を行なう。なお、ステップS941とS943とは同時に行なわれてよい。そして、ステップS945において、IPsec方式によるアンカプセリング処理と復号処理とを行なったパケットを内部ポート602−2から無線アクセスポイント213に送出し、宛先の通信端末へのデータ転送を行なう。
【0065】
本実施形態により、企業ネットワークの店舗(支店)LAN間やデータセンタとの間を繋ぐネットワークに変更を加えることなく、かつ、機密性を維持して、企業ネットワークを使用して各店舗にホットスポット(登録商標)を展開することにより、少ない設備投資でサービスを提供可能となる。
【0066】
[第3実施形態]
次に、本発明の第3実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2実施形態と比べると、店舗LAN212と企業DC220,230との接続についても、IPsec方式によるトンネリングを行なう点で異なる。その他の構成および動作は、第2実施形態と同様であるため、その詳しい説明を省略する。
【0067】
本実施形態によれば、企業ネットワークとAPネットワークとを完全に切り離すことが可能となり、互いの機密性をより強化することができる。
【0068】
(動作時のネットワークシステム)
図10は、本実施形態に係る動作時のネットワークシステム1000の状態を示すブロック図である。なお、図10において、第2のネットワークにおけるトンネリング処理は第2実施形態の図3と同様であるので、同じ参照番号を付して説明は省略する。
【0069】
図10において、店舗1010の店舗ルータ1011により、店舗LAN212からの送信データは、IPsec方式により暗号化およびカプセリング処理される。企業用WAN260内では、店舗ルータ1011のカプセリング処理で付された新IPヘッダの宛先に従って各スイッチ261を経由して、企業DC1020,1030のセンタルータ1021,1031に送信される。センタルータ1021,1031は、IPsec方式によるトンネリングのためのアンカプセリング処理と、復号処理とを行ない、センタLANに通信データを送信する。なお、企業DC1020,1030から店舗LAN212への通信データ送信も同様に暗号化とトンネリングとが行なわれる。
【0070】
図10において、店舗ルータ1011とセンタルータ1021,1031との間は、トンネル1002によって他の回線から隔離された擬似専用線として機能する。この擬似専用線は、第1のネットワークのすべての回線接続時に確立される。そのため、同じ企業用WAN260を使用した無線LANスポット提供者が参入して無線LANスポット216を追加的に構築しても、第1のネットワークの機密性はより強固に維持される。さらに、盗聴があったとしても暗号化により秘匿性は確保される。なお、図10には、無線アクセスポイントとPOSとを図示したが、店舗1010が支店などに置き換えられた場合は、支店LANにパーソナルコンピュータ(以下PC)やサーバが接続されることになる。
【0071】
《第1のネットワークにおけるスタック》
図11は、本実施形態に係る第1のネットワークにおけるスタック1100の構成を示す図である。なお、図11のスタック1100は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。図11では、斜線を施した部分が暗号データ部分1123である。なお、図4と共通の部分については、同じ参照番号を付して説明を省略する。
【0072】
店舗ルータ1011から企業用WAN260に送出するスタック1120においては、IPsec方式に従い、この送信データ413とIPヘッダ412とを暗号化して暗号データ部分1123を生成する。そして、暗号化情報を含むESPヘッダ1122と新IPヘッダ1121とを付加することによりカプセリングする。そして、企業用WAN260中を新IPヘッダ1121の宛先に転送することにより、トンネリングを実現する。このカプセリングされた暗号データは、企業用WAN260上を他の店舗ルータ1011やセンタルータ1021,1031に送られる。
【0073】
受信側の店舗ルータ1011やセンタルータ1021,1031においては、企業用WAN260中を転送されて来たスタック1120からESPヘッダ1122に基づきIPヘッダ432と受信データ433とが復号される。そして、ESPヘッダ1122と新IPヘッダ1121とを取り除き、LAN番号(eth)431が付加されてスタック430となり、LAN上に送出される。
【0074】
(フォーマット変換テーブル)
図12は、本実施形態に係るフォーマット変換テーブル601aの構成601a−2を示す図である。なお、図12のフォーマット変換テーブル601aの構成601a−2は一例に過ぎず、同じ機能を果たすのであればフォーマットに制限はない。
【0075】
図12の構成601a−2においては、入力ポートID801と出力ポートID802とに対応して、その通信方式や処理方式が設定されている。ここで、入力ポートID801と出力ポートID802との組み合わせは、図7の743〜746に相当する。
【0076】
本実施形態においては、各組み合わせに対して、帯域803、速度804、変換方式としてIPsec1205が設定されている。さらに、第2実施形態の図8とは異なる、IPsec1205のトンネリング1206と暗号化/復号1207を実行するか否かが設定されている。本実施形態においては、図12のように、無線アクセスポイント213が接続する内部ポート602−2と、企業用WAN260が接続する外部ポート603とを繋ぐパスにおいても、店舗LAN212が接続する内部ポート602−1と、企業用WAN260が接続する外部ポート603とを繋ぐパスにおいても、IPsec方式による暗号化とトンネリングとが設定されている。
【0077】
《店舗ルータの処理手順》
図13は、本実施形態に係る店舗ルータ1011の処理手順を示すフローチャートである。このフローチャートは、図7のCPU710によりRAM740を用いながら実行されて、図6における本実施形態の処理を実現する。なお、図13のステップにおいて、図9と同様の処理には同じステップ番号を付して説明は省略する。
【0078】
内部ポート602−1におけるデータ受信の場合は、ステップS911からS1315に進んで、IPsec方式による暗号化処理を行なう。さらに、ステップS1317において、トンネリングのためのIPsec方式によるカプセリング処理を行なう。なお、ステップS1315とS1317とは同時に行なわれてよい。そして、ステップS913において、IPsec方式による暗号化処理とカプセリング処理とを行なったパケットを外部ポート603から企業用WAN260に送出し、宛先のルータにトンネリング有りの転送を行なう。
【0079】
外部ポート603におけるデータ受信の場合はステップS933に進んで、宛先から内部ポート602−1からの送信であるか否かを判定する。内部ポート602−1からの送信であればステップS1337に進んで、トンネリングのためのIPsec方式によるアンカプセリング処理を行なう。さらに、ステップS1339において、IPsec方式による暗復号処理を行なう。なお、ステップS1337とS1339とは同時に行なわれてよい。そして、ステップS935において、IPsec方式によるアンカプセリング処理と復号処理とを行なったパケットを内部ポート602−1から店舗LAN212に送出し、宛先の通信端末へのデータ転送を行なう。
【0080】
[第4実施形態]
次に、本発明の第4実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2実施形態と比べると、トンネリングをIPsec方式ではなくGRE方式で行なう点で異なる。なお、本実施形態では暗号化にIPsecを使用する。その他の構成および動作は、第2実施形態と同様であるため、その詳しい説明を省略する。
【0081】
《第1のネットワークにおけるスタック》
図14は、本実施形態に係る第1のネットワークにおけるスタック1400の構成を示す図である。なお、図14のスタック1400は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。図14のスタック1400と図5のスタック500との相違点は、特に、店舗ルータ211から企業用WAN260を経由する通信経路におけるスタック1430である。他のスタック1420や1440も図5と類似なので、同じ参照番号を付して説明は省略する。本実施形態では、IPsec方式でなくGREとIPsecとを組み合わせたGER/IPsec方式を使用する。図14では、斜線を施した部分が暗号データ部分1432である。
【0082】
店舗ルータ211から企業用WAN260に送出するスタック1430においては、GRE/IPsec方式に従い、LAN番号(eth)を除いたスタック1420と、さらにGREヘッダとを暗号化した暗号データ部分1432に、暗号化情報を含むESPヘッダと新IPヘッダとを付加することによりカプセリングする。すなわち、暗号化されたGREヘッダと、ESPヘッダおよび新IPヘッダとが、GRE/IPsec方式によりカプセリング/暗号化されたスタック1430の特徴部分1431となる。そして、企業用WAN260中を新IPヘッダの宛先に転送することにより、トンネリングを実現する。このカプセリングされた暗号データが、企業用WAN260上を無線LANスポット提供者DC240の提供者ルータ241に向けて送られる。
【0083】
受信側の店舗ルータ211においては、企業用WAN260中を転送されて来たスタック1430からESPヘッダに基づき、GREヘッダとIPヘッダと無線LAN用の受信データとが復号される。そして、GREヘッダとESPヘッダと新IPヘッダとを取り除き、LAN番号(eth)が付加されてスタック1440となり、LAN上に送出される。
【0084】
本実施形態によれば、GRE方式を併用することによって、IPsec方式と同様の結果を得ることが可能である。
【0085】
[第5実施形態]
次に、本発明の第5実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2実施形態と比べると、トンネリングをIPsec方式ではなくL2TP(Layer 2 Tunneling Protocol)方式で行なう点で異なる。なお、本実施形態では暗号化にIPsecを使用する。その他の構成および動作は、第2実施形態と同様であるため、その詳しい説明を省略する。
【0086】
《第1のネットワークにおけるスタック》
図15は、本実施形態に係る第2のネットワークにおけるスタック1500の構成を示す図である。なお、図15のスタック1500は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。図15のスタック1500と図5のスタック500との相違点は、店舗ルータ211から企業用WAN260を経由する通信経路におけるスタック1530である。他は図5および図14と類似なので、同じ参照番号を付して説明は省略する。本実施形態では、IPsec方式でなくL2TPとIPsecとを組み合わせたL2TP/IPsec方式を使用する。図15では、斜線を施した部分が暗号データ部分1532である。
【0087】
店舗ルータ211から企業用WAN260に送出するスタック1530においては、L2TP/IPsec方式に従い、LAN番号(eth)を除いたスタック1420と、さらにL2TPヘッダおよびUDPヘッダとを暗号化した暗号データ部分1532を生成する。そして、暗号化情報を含むESPヘッダと新IPヘッダとを付加することによりカプセリングする。すなわち、暗号化されたL2TPヘッダおよびUDPヘッダと、ESPヘッダおよび新IPヘッダとが、L2TP/IPsec方式によりカプセリング/暗号化されたスタック1520の特徴部分1531となる。そして、企業用WAN260中を新IPヘッダの宛先に転送することにより、トンネリングを実現する。このカプセリングされた暗号データが、企業用WAN260上を無線LANスポット提供者DC240の提供者ルータ241に向けて送られる。
【0088】
受信側の店舗ルータ211においては、企業用WAN260中を転送されて来たスタック1530からESPヘッダに基づき、L2TPヘッダおよびUDPヘッダとIPヘッダと無線LAN用の受信データとが復号される。そして、L2TPヘッダとUDPヘッダとESPヘッダと新IPヘッダとを取り除き、LAN番号(eth)431が付加されてスタック1440となり、LAN上に送出される。
【0089】
本実施形態によれば、L2TP方式を併用することによって、IPsec方式と同様の結果が得られる。
【0090】
[第6実施形態]
次に、本発明の第6実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2実施形態と比べると、暗号化を行なわずトンネリングのみを行なう点で異なる。なお、本実施形態ではトンネリングにGRE方式やL2TP方式を使用する。なお、これらに限定されず、トンネリングの他の方式も使用できる。その他の構成および動作は、第2実施形態と同様であるため、その詳しい説明を省略する。
【0091】
(フォーマット変換テーブル)
図16は、本実施形態に係るフォーマット変換テーブル601aの構成601a−3を示す図である。なお、図16のフォーマット変換テーブル601aの構成601a−3は一例に過ぎず、同じ機能を果たすのであればフォーマットに制限はない。
【0092】
図16の構成601a−3においては、入力ポートID801と出力ポートID802とに対応して、その通信方式や処理方式が設定されている。ここで、入力ポートID801と出力ポートID802との組み合わせは、図7の743〜746に相当する。
【0093】
本実施形態においては、各組み合わせに対して、帯域803、速度804、変換方式としてトンネリングを行なうGERまたはL2TP1605の設定と、暗号化/復号1606を実行しないことが設定されている。本実施形態においては、図16のように、無線アクセスポイント213が接続する内部ポート602−2と、企業用WAN260が接続する外部ポート603とを繋ぐパスにおいて、トンネリングが設定されている。
【0094】
本実施形態によれば、機密性を確保しつつ、通信速度を上げることができる。
【0095】
[第7実施形態]
次に、本発明の第7実施形態に係るネットワークシステムについて説明する。本実施形態に係るネットワークシステムは、上記第2乃至第6実施形態と比べると、企業ネットワークにおいてルータ間のみでなく各機器やAP間でトンネリングを行なう点で異なる。本実施形態のトンネリングは、IPsec方式のトンネリングモードやトランスポートモードを使用したり、GRE方式やL2TP方式を使用したりすることで実現できる。その他の構成および動作は、第2乃至第6実施形態と同様であるため、その詳しい説明を省略する。
【0096】
(動作時のネットワークシステム)
図17は、本実施形態に係る動作時のネットワークシステム1700の状態を示すブロック図である。なお、図17において、第1のネットワークにおけるトンネリング処理は第2実施形態の図3Aと同様であるので、同じ参照番号を付して説明は省略する。
【0097】
本実施形態の第2のネットワークは、店舗1710の無線アクセスポイント1713と無線LANスポット提供者DC1740とを企業用WAN260で接続するネットワークである。無線アクセスポイント1713は、無線LANスポット216内に存在するスマートフォンや携帯電話などの移動端末と通信する。通信端末からの通信データは、無線アクセスポイント1713において、少なくとも新IPヘッダによるカプセリング処理および/または暗号化を行ない、処理後の通信データが店舗ルータ1711に送られる。店舗ルータ1711は、店舗LAN1712からの送信データをそのまま企業用WAN260に送出する。
【0098】
企業用WAN260内では、店舗ルータ1711のカプセリング処理で付された新IPヘッダの宛先に従って各スイッチ261を経由し、さらに、提供者ルータ1741を経由して、無線LANスポット提供者DC1740に送信される。無線LANスポット提供者DC1740のLANに接続する装置において、IPsec方式によるトンネリングのためのアンカプセリング処理および/または復号を行ない、通信データを復元する。なお、無線LANスポット提供者DC1740から無線アクセスポイント1713を経由する通信データ送信にも同様にトンネリング処理が行なわれる。
【0099】
図17において、無線アクセスポイント1713と無線LANスポット提供者DC1740のLANに接続する装置との間は、トンネル1701によって他の回線から隔離された擬似専用線として機能する。この擬似専用線は、第2のネットワークのすべての回線接続時に確立される。そのため、同じ企業用WAN260を使用した無線LANスポット提供者が参入して無線LANスポット216を追加的に構築しても、第1のネットワークの機密性は維持される。同時に、ネットワーク間の通信回線の機密性がさらに向上する。さらに、盗聴があったとしても暗号化により秘匿性は確保される。
【0100】
《第2のネットワークにおけるスタック》
図18は、本実施形態に係る第2のネットワークにおけるスタック1800の構成を示す図である。なお、図18のスタック1800は、本実施形態の説明に必要な部分のみを概略的に示した一例であり、これに限定されない。図18では、斜線を施した部分が暗号データ部分1823である。なお、図5と同様スタックには同じ参照番号を付して説明を省略する。
【0101】
無線アクセスポイント1713から店舗ルータ1711までのLANのスタック1820においては、PLCPヘッダおよびPLCPプレアンブル511に代わり、GREヘッダとIPヘッダとが付加される。同時に、IPsec方式に従う暗号化およびトンネリングを行なう。すなわち、スタック1820においては、データ(Data)、IEEE802.11ヘッダ、GREヘッダ、IPヘッダ、のすべてが暗号化されて暗号データ部分1823となり、暗号化情報を含むESPヘッダ1822と新IPヘッダ1821がカプセリング処理のために追加される。さらに、LAN番号(eth)が付加される。図18では、斜線を施した部分がIPsec方式による暗号データ部分1823である。店舗ルータ1711は、LAN番号(eth)を除くだけのスタック530の状態で、そのまま企業用WAN260に送出する。
【0102】
一方、受信側の店舗ルータ1711においては、企業用WAN260中を転送されて来たスタック530にLAN番号(eth)が付加されてスタック1840として無線アクセスポイント1713に送信する。無線アクセスポイント1713において、LAN番号(eth)を除き、ESPヘッダ1822に従って暗号データ部スタック550を無線LANに接続する通信端末に送信する。
【0103】
(フォーマット変換テーブル)
図19は、本実施形態に係るフォーマット変換テーブル601aの構成601a−4を示す図である。なお、図19のフォーマット変換テーブル601aの構成601a−4は一例に過ぎず、同じ機能を果たすのであればフォーマットに制限はない。
【0104】
図19の構成601a−4においては、入力ポートID801と出力ポートID802とに対応して、その通信方式や処理方式が設定されている。ここで、入力ポートID801と出力ポートID802との組み合わせは、図7の743〜746に相当する。
【0105】
本実施形態においては、各組み合わせに対して、帯域803、速度804、変換方式としてトンネリング1905を行なうか否かの設定と、暗号化/復号1606を行なうか否かの設定とがされている。本実施形態において、暗号化/復号もトンネリングのためのカプセリング/アンカプセリングも無線アクセスポイント1713で行なわれるので、店舗ルータ1711は単に企業用WAN260へのルーティングのみを行なえばよい。
【0106】
本実施形態によれば、装置から装置までの全区間で他のネットワークと隔離でき、機密性をより高めることが可能である。なお、異なるプロトコルの通信区間の数を削減することで、暗号化などの秘匿処理を省くことも可能である。したがって、通信速度も速くなり通信容量も増すことも可能である。
【0107】
[他の実施形態]
本実施形態においては、暗号化やトンネリングにおいて使用する方式として、IPsec、GRE、L2TP、あるいはその組み合わせなどを説明した。しかしながら、同じ企業用WANを他のサービスネットワーク(第2のネットワーク)が共用しても、企業内ネットワーク(第1のネットワーク)の機密性や秘匿性が保証される方式であれば、あらゆる方式が適用できる。
【0108】
また、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。
【0109】
また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する情報処理プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされる制御プログラム、あるいはその制御プログラムを格納した媒体、その制御プログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。
【特許請求の範囲】
【請求項1】
ワイドエリアネットワークを経由して所定エリアに第1サービスを提供する第1ネットワークと、
前記所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、前記ワイドエリアネットワークを経由して第2サービスを提供する第2ネットワークと、
前記第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離する分離制御手段と、
を備えることを特徴とするネットワークシステム。
【請求項2】
前記分離制御手段は、前記ワイドエリアネットワークに接続して少なくともトンネリング処理を行なうルータ手段を含み、
前記ルータ手段は、
前記ルータ手段から前記ワイドエリアネットワークに送信される送信データの送信元に対応して、前記トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定手段と、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定手段と、
を有することを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記分離制御手段は、前記無線ネットワークスポットを生成する前記無線アクセスポイントを含み、
前記無線アクセスポイントは、
前記無線ネットワークスポット内の通信端末から受信した前記ワイドエリアネットワークへの送信データに対して、少なくとも前記トンネリング処理のためのカプセリング処理を行なうカプセリング処理手段と、
前記ワイドエリアネットワークから受信した前記無線ネットワークスポット内の通信端末への送信データに対して、少なくとも前記トンネリング処理のためのアンカプセリング処理を行なうアンカプセリング処理手段と、
を有することを特徴とする請求項1または2に記載のネットワークシステム。
【請求項4】
前記分離制御手段は、前記第2ネットワークに対して前記トンネリング処理を施すことを特徴とする請求項1乃至3のいずれか1項に記載のネットワークシステム。
【請求項5】
前記分離制御手段は、さらに暗号化処理を行なうことを特徴とする請求項1乃至4のいずれか1項に記載のネットワークシステム。
【請求項6】
前記分離制御手段は、IPsec(Security Architecture for IP)に従うトンネリング処理または暗号化処理により、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離することを特徴とする請求項1乃至5のいずれか1項に記載のネットワークシステム。
【請求項7】
前記分離制御手段は、GRE(Generic Routing Encapsulation)に従うトンネリング処理と、IPsecに従う暗号化処理とにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離することを特徴とする請求項1乃至5のいずれか1項に記載のネットワークシステム。
【請求項8】
前記分離制御手段は、L2TP(Layer 2 Tunneling Protocol)に従うトンネリング処理と、IPsecに従う暗号化処理とにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離することを特徴とする請求項1乃至5のいずれか1項に記載のネットワークシステム。
【請求項9】
ワイドエリアネットワークにより接続されたネットワークシステムにおいて、複数の独立したネットワークを運用する方法であって、
ワイドエリアネットワークを経由して所定エリアにサービスを提供する第1ネットワークを構成する第1構成ステップと、
前記所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、前記ワイドエリアネットワークを経由してサービスを提供する第2ネットワークを構成する第2構成ステップと、
前記第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離する分離制御ステップと、
を含むことを特徴とする複数の独立したネットワークを運用する方法。
【請求項10】
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置であって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定手段と、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定手段と、
を有することを特徴とする通信装置。
【請求項11】
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置での制御方法あって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定ステップと、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定ステップと、
を含むことを特徴とする通信装置の制御方法。
【請求項12】
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置での制御プログラムあって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定ステップと、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定ステップと、
をコンピュータに実行させることを特徴とする制御プログラム。
【請求項1】
ワイドエリアネットワークを経由して所定エリアに第1サービスを提供する第1ネットワークと、
前記所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、前記ワイドエリアネットワークを経由して第2サービスを提供する第2ネットワークと、
前記第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離する分離制御手段と、
を備えることを特徴とするネットワークシステム。
【請求項2】
前記分離制御手段は、前記ワイドエリアネットワークに接続して少なくともトンネリング処理を行なうルータ手段を含み、
前記ルータ手段は、
前記ルータ手段から前記ワイドエリアネットワークに送信される送信データの送信元に対応して、前記トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定手段と、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定手段と、
を有することを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記分離制御手段は、前記無線ネットワークスポットを生成する前記無線アクセスポイントを含み、
前記無線アクセスポイントは、
前記無線ネットワークスポット内の通信端末から受信した前記ワイドエリアネットワークへの送信データに対して、少なくとも前記トンネリング処理のためのカプセリング処理を行なうカプセリング処理手段と、
前記ワイドエリアネットワークから受信した前記無線ネットワークスポット内の通信端末への送信データに対して、少なくとも前記トンネリング処理のためのアンカプセリング処理を行なうアンカプセリング処理手段と、
を有することを特徴とする請求項1または2に記載のネットワークシステム。
【請求項4】
前記分離制御手段は、前記第2ネットワークに対して前記トンネリング処理を施すことを特徴とする請求項1乃至3のいずれか1項に記載のネットワークシステム。
【請求項5】
前記分離制御手段は、さらに暗号化処理を行なうことを特徴とする請求項1乃至4のいずれか1項に記載のネットワークシステム。
【請求項6】
前記分離制御手段は、IPsec(Security Architecture for IP)に従うトンネリング処理または暗号化処理により、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離することを特徴とする請求項1乃至5のいずれか1項に記載のネットワークシステム。
【請求項7】
前記分離制御手段は、GRE(Generic Routing Encapsulation)に従うトンネリング処理と、IPsecに従う暗号化処理とにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離することを特徴とする請求項1乃至5のいずれか1項に記載のネットワークシステム。
【請求項8】
前記分離制御手段は、L2TP(Layer 2 Tunneling Protocol)に従うトンネリング処理と、IPsecに従う暗号化処理とにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離することを特徴とする請求項1乃至5のいずれか1項に記載のネットワークシステム。
【請求項9】
ワイドエリアネットワークにより接続されたネットワークシステムにおいて、複数の独立したネットワークを運用する方法であって、
ワイドエリアネットワークを経由して所定エリアにサービスを提供する第1ネットワークを構成する第1構成ステップと、
前記所定エリアにあって、無線アクセスポイントにより生成された無線ネットワークスポット内の通信端末に、前記ワイドエリアネットワークを経由してサービスを提供する第2ネットワークを構成する第2構成ステップと、
前記第1ネットワークおよび前記第2ネットワークの少なくともいずれか一方に対してトンネリング処理を施すことにより、前記第1ネットワークおよび前記第2ネットワークが使用する通信回線を論理的に分離する分離制御ステップと、
を含むことを特徴とする複数の独立したネットワークを運用する方法。
【請求項10】
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置であって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定手段と、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定手段と、
を有することを特徴とする通信装置。
【請求項11】
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置での制御方法あって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定ステップと、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定ステップと、
を含むことを特徴とする通信装置の制御方法。
【請求項12】
ワイドエリアネットワークとローカルエリアネットワークとを接続する通信装置での制御プログラムあって、
前記ワイドエリアネットワークに送信される送信データの送信元に対応して、トンネリング処理のためのカプセリング処理を行なうか否か、およびいずれの方式で前記カプセリング処理を行なうかを判定する第1判定ステップと、
前記ワイドエリアネットワークから受信された受信データの宛先に対応して、前記トンネリング処理のためのアンカプセリング処理を行なうか否か、およびいずれの方式で前記アンカプセリング処理を行なうかを判定する第2判定ステップと、
をコンピュータに実行させることを特徴とする制御プログラム。
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2013−102352(P2013−102352A)
【公開日】平成25年5月23日(2013.5.23)
【国際特許分類】
【出願番号】特願2011−244757(P2011−244757)
【出願日】平成23年11月8日(2011.11.8)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成25年5月23日(2013.5.23)
【国際特許分類】
【出願日】平成23年11月8日(2011.11.8)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]