ネットワーク管理装置、通信システム、通信装置、ネットワーク管理プログラム、及び通信プログラム
【課題】仮想プライベートネットワークにおける装置の処理負荷を軽減すること。
【解決手段】接続管理情報生成部c121は、通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して他の通信装置との通信を行うことを、通信装置に対して命令する通信装置間接続通知を生成する。通信部c11は、接続管理情報生成部が生成した通信装置間接続通知を通信装置に対して送信する。
【解決手段】接続管理情報生成部c121は、通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して他の通信装置との通信を行うことを、通信装置に対して命令する通信装置間接続通知を生成する。通信部c11は、接続管理情報生成部が生成した通信装置間接続通知を通信装置に対して送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク管理装置、通信システム、通信装置、ネットワーク管理プログラム、及び通信プログラムに関する。
【背景技術】
【0002】
近年、インターネットなどの情報ネットワークでの通信において、第三者による進入・盗聴・改竄等を防止するためのセキュリティ技術が知られている。例えば、セキュリティ技術として、VPN(Virtual Private Network;仮想プライベートネットワーク)を利用した通信が知られている。
VPNは、多数の加入者で帯域共用する通信網を利用してLAN間などを接続する技術である。インターネットを介した複数の拠点間でのVPNにおいて、ある拠点の通信装置は、データを暗号化してカプセル化する。カプセル化された暗号化データは、仮想的な通信経路であるトンネルを介して他の拠点の通信装置に送信される(トンネリング)。これにより、通信装置は、通信データの盗聴・改竄を抑えながら通信を行うことができる。このVPNでの暗号化には、IPsec(IP security protocol)やPPTP(Point−to−Point Tunneling Protocol)、SSL等が利用される。例えば、SSL(Secure Sockets Layer:セキュアソケットレイヤ)を利用したVPNをSSL−VPNという。
【0003】
図38は、従来技術に係るSSL−VPNを用いた通信システムの概念図である。この図において、通信システムは、利用者端末X1、Y1、及びSSL−VPN管理装置Z1を具備する。
この図の利用者端末X1、Y1、及びSSL−VPN管理装置Z1にはSSL−VPNソフトウェアがインストールされている。利用者端末X1、Y1、及びSSL−VPN管理装置Z1は、インストールされたSSL−VPNソフトウェアの機能により、送信するデータを暗号化してカプセル化する。カプセル化された暗号化データは、仮想的な通信経路であるトンネルを介して他の通信装置に送信される。トンネルを介してデータを受信した通信装置は、受信した通信データを復号化してデータを抽出する。
【0004】
図38において、鎖線はトンネルを示し、トンネルXZは利用者端末X1とSSL−VPN管理装置Z1と間の通信に用いられ、トンネルYZは利用者端末Y1とSSL−VPN管理装置Z1と間の通信に用いられることを示す。
利用者端末X1、Y1各々は、SSL−VPN管理装置Z1との通信開始時に、暗号化(復号化)及びカプセル化に必要な接続情報を送受信する。利用者端末X1、Y1、及びSSL−VPN管理装置Z1は、受信した接続情報に基づいてデータを暗号化、カプセル化、復号化することにより、トンネルXZ、YZを介して通信を行う。
【0005】
この図は、利用者端末X1と利用者端末Y1とが、トンネルXZ、YZを介して、つまり、SSL−VPN管理装置Z1を介して通信をすることを示す。以下、図38を用いて、利用者端末X1から利用者端末Y1へデータを送信する場合について説明をする。
利用者端末X1は、利用者端末Y1へのデータを暗号化してカプセル化し、SSL−VPN管理装置Z1宛の通信データを生成する。利用者端末X1は、生成したSSL−VPN管理装置Z1宛の通信データを、トンネルXZを介してトンネリングしてSSL−VPN管理装置Z1へ送信する。
SSL−VPN管理装置Z1は、受信した通信データを復号化し、利用者端末Y1へのデータを抽出する。SSL−VPN管理装置Z1は、復号した利用者端末Y1へのデータを暗号化してカプセル化し、利用者端末Y1宛の通信データを生成する。SSL−VPN管理装置Z1は、トンネルYZを介して、生成した利用者端末Y1宛の通信データをトンネリングして利用者端末Y1へ送信する。利用者端末Y1は、受信した通信データを復号化して自装置へのデータを抽出する。
このようなSSL−VPN管理装置Z1として、例えば、非特許文献1記載の装置が知られている。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】“FirePass−仕様”(「FirePass」は登録商標)、F5 Networks Japan K.K.、平成21年3月3日検索、http://www.f5networks.co.jp/product/firepass/spec.html
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところで、近年、インターネットなどの情報ネットワークの普及により、通信量が急激に増加している。このような情報ネットワークにおいて、図38に示したようなVPNを用いた場合、増加した通信データを中継する管理装置における処理負荷が増大するという欠点があった。
【0008】
本発明は上記の点に鑑みてなされたものであり、その目的は、仮想プライベートネットワークにおける装置の処理負荷を軽減することができるネットワーク管理装置、通信システム、通信装置、ネットワーク管理プログラム、及び通信プログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明は上記の課題を解決するためになされたものであり、本発明は、通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置において、前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する接続管理情報生成部と、前記接続管理情報生成部が生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信部と、を備えることを特徴とするネットワーク管理装置である。
【0010】
また、本発明は、上記のネットワーク管理装置において、前記仮想プライベートネットワークは、前記仮想プライベートネットワークでの通信先を示す第1の通信アドレスを含む通信データに、第2のネットワークでの通信先を示す第2の通信アドレスを含む情報を付加した通信データを、第2のネットワークで送受信するネットワークであり、前記接続管理情報生成部は、前記通信装置から前記他の通信装置への接続要求であって前記他の通信装置の第1の通信アドレスを含む接続要求に対し、前記他の通信装置の第2の通信アドレスを含む通信装置間接続通知を生成することを特徴とする。
【0011】
また、本発明は、上記のネットワーク管理装置において、前記接続通知送信部が送信した通信装置間接続通知に従って前記通信装置が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を、前記通信装置から受信して通信装置情報記憶部に記憶させる通信状態データ受信部と、を備えることを特徴とする。
【0012】
また、本発明は、上記のネットワーク管理装置において、前記通信状態情報は、通信装置間仮想プライベートネットワークを介した通信を行う通信装置を識別する通信装置識別情報、通信装置間仮想プライベートネットワークを介した通信の開始或いは切断を示す接続状態情報、又は、通信装置或いは通信装置間仮想プライベートネットワークを介した通信の負荷状態を示す負荷情報、であることを特徴とする。
【0013】
また、本発明は、上記のネットワーク管理装置において、前記通信装置は、通信装置間接続通知を受信した場合、前記通信装置間仮想プライベートネットワークの生成を要求する接続要求を他の通信装置に送信する通信装置であり、前記複数の通信装置には、第1の前記通信装置と、前記接続要求を前記第1の通信装置へ送信することができるがFireWall装置により前記第1の通信装置から受信することができない第2の前記通信装置と、が含まれ、前記第2の通信装置に対する前記接続要求を前記第1の通信装置から受信した場合、前記第2の通信装置が前記接続要求を生成して前記第1の通信装置へ送信することを、前記第2の通信装置に対して命令するコールバック要求通知を生成するコールバック管理部を備え、コールバック管理部が生成したコールバック要求通知を前記第2の通信装置に対して送信するコールバック要求通知送信部と、を備えることを特徴とする。
【0014】
また、本発明は、上記のネットワーク管理装置において、前記複数の通信装置には、同一の情報データを記憶する通信装置が複数含まれ、前記通信装置を識別する通信装置識別情報と、前記通信装置が記憶する情報データを識別する情報データ識別情報と、前記通信装置から受信した前記通信装置或いは通信の負荷状態を示す負荷情報と、を対応付けた通信装置負荷情報を記憶する通信装置情報記憶部と、前記通信装置から、該通信装置が受信を要求する情報データの情報データ識別情報を受信する接続管理情報受信部と、前記通信装置情報記憶部から、前記通接続管理情報受信部が受信した情報データ識別情報を含む通信装置負荷情報を読み出し、読み出した通信装置負荷情報の通信装置識別情報のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である通信装置識別情報を選択する通信装置選択部と、を備え、接続管理情報生成部は、前記通信部が受信した情報データ識別情報を送信した通信装置と、前記通信装置選択部が選択した通信装置識別情報が示す通信装置と、の間の前記通信装置間接続通知を生成することを特徴とする。
【0015】
また、本発明は、複数の通信装置と、通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置と、を具備する通信システムおいて、前記ネットワーク管理装置は、前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する第1の接続管理情報生成部と、前記第1の接続管理情報生成部が生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信部と、前記接続通知送信部が送信した通信装置間接続通知に従って前記通信装置が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を、前記通信装置から受信して通信装置情報記憶部に記憶させる通信状態データ受信部と、を備え、前記通信装置は、前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、前記通信装置間仮想プライベートネットワークの生成を要求する通信装置間接続要求を生成し、生成した通信装置間接続要求を前記他の通信装置へ送信する第2の接続管理情報生成部と、前記第2の接続管理情報生成部が送信した通信装置間接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信部と、前記通信部が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置へ送信する通信状態データ生成部と、を備えることを特徴とする通信システムである。
【0016】
また、本発明は、ネットワーク管理装置との間に生成した仮想プライベートネットワークを介して、前記ネットワーク管理装置と通信を行う通信装置において、前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、通信装置間仮想プライベートネットワークの生成を要求する接続要求を生成し、生成した接続要求を前記他の通信装置へ送信する接続管理情報生成部と、前記接続管理情報生成部が送信した接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信部と、前記通信部が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置に送信する通信状態データ生成部と、を備えることを特徴とする通信装置である。
【0017】
また、本発明は、通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置のコンピュータを、前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する接続管理情報生成手段、前記接続管理情報生成手段にて生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信手段、として機能させるネットワーク管理プログラムである。
【0018】
また、本発明は、ネットワーク管理装置との間に生成した仮想プライベートネットワークを介して、前記ネットワーク管理装置と通信を行う通信装置のコンピュータを、前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、通信装置間仮想プライベートネットワークの生成を要求する接続要求を生成し、生成した接続要求を前記他の通信装置へ送信する接続管理情報生成手段、前記接続管理情報生成手段にて送信した接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信手段、前記通信手段にて生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置に送信する通信状態データ生成手段、として機能させる通信プログラムである。
【発明の効果】
【0019】
本発明によれば、ネットワーク管理装置が通信装置間接続通知を生成して送信するので、通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して通信装置が他の通信装置との通信を行うことができる。これにより、ネットワーク管理装置は、自装置と通信装置各々との間に生成した仮想プライベートネットワークを介して通信装置間の通信データを中継することを抑制することができ、通信装置間の通信データを中継する場合と比較して自装置の処理負荷を軽減することができる。
また、本発明によれば、ネットワーク管理装置が前記通信装置から受信した通信状態情報を記憶するので、通信装置間仮想プライベートネットワークでの通信状態を管理することができる。
また、本発明によれば、ネットワーク管理装置が前記接続要求を前記第1の通信装置から受信した場合、前記コールバック要求通知を生成して前記第2の通信装置に対して送信する。これにより、前記第1の通信装置から前記第1の通信装置への接続要求に通信制限がある場合であっても、前記第1の通信装置が第2の前記通信装置からコールバック要求通知に基づく接続要求を受信し、第2の前記通信装置との間の通信装置間仮想プライベートネットワークを生成することができる。
また、本発明によれば、ネットワーク管理装置が受信した情報データ識別情報を含む通信装置負荷情報を読み出し、読み出した通信装置負荷情報の通信装置識別情報のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である通信装置識別情報を選択し、選択した通信装置識別情報が示す通信装置との間の前記通信装置間接続通知を生成して送信する。これにより、通信装置は、最も低い負荷状態の通信装置から情報データを受信することができ、通信装置の負荷を分散して通信装置の処理負荷を軽減することができる。
【図面の簡単な説明】
【0020】
【図1】この発明の第1の実施形態に係る通信システムの概念図である。
【図2】本実施形態に係る利用者端末の構成を示す概略ブロック図である。
【図3】本実施形態に係る管理装置接続情報テーブルの一例を示す概略図である。
【図4】本実施形態に係る利用者端末接続情報テーブルの一例を示す概略図である。
【図5】本実施形態に係るSSL−VPN管理装置の構成を示す概略ブロック図である。
【図6】本実施形態に係る通信システムの動作の一例を示すフロー図である。
【図7】本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。
【図8】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図9】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図10】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図11】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図12】この発明の第2の実施形態に係る通信システムの概念図である。
【図13】本実施形態に係る利用者端末の構成を示す概略ブロック図である。
【図14】本実施形態に係るSSL−VPN管理装置の構成を示す概略ブロック図である。
【図15】本実施形態に係る通信システムの動作の一例を示すフロー図である。
【図16】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図17】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図18】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図19】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図20】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図21】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図22】この発明の第3の実施形態に係る通信システムの概念図である。
【図23】本実施形態に係る利用者端末の構成を示す概略ブロック図である。
【図24】本実施形態に係るSSL−VPN管理装置の構成を示す概略ブロック図である。
【図25】本実施形態に係る通信システムの動作の一例を示すフロー図である。
【図26】本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。
【図27】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図28】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図29】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図30】本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。
【図31】本実施形態の変形例1に係る通信システムの概念図である。
【図32】本実施形態の変形例2に係る通信システムの概念図である。
【図33】本実施形態の変形例2に係る利用者端末の構成を示す概略ブロック図である。
【図34】本実施形態の変形例2に係るSSL−VPN管理装置の構成を示す概略ブロック図である。
【図35】本実施形態の変形例2に係る利用者端末情報テーブルの一例を示す概略図である。
【図36】本実施形態の変形例3に係る利用者端末情報テーブルの一例を示す概略図である。
【図37】本実施形態の変形例4に係る利用者端末情報テーブルの一例を示す概略図である。
【図38】従来技術に係るSSL−VPNを用いた通信システムの概念図である。
【発明を実施するための形態】
【0021】
(第1の実施形態)
<通信システム1について>
以下、図面を参照しながら本発明の実施形態について詳しく説明する。図1は、この発明の第1の実施形態に係る通信システム1の概念図である。
通信システム1は、利用者端末A1、B1(通信装置)、及びSSL−VPN管理装置C1(ネットワーク管理装置)を具備する。利用者端末A1は、ネットワークM1及びネットワークM2を介してSSL−VPN管理装置C1と通信を行う。また、利用者端末B1は、ネットワークM2を介してSSL−VPN管理装置C1と通信を行う。これらの通信は、SSLを利用したVPN(以下、SSL−VPNという)を用いて行われる。
【0022】
また、図1は、利用者端末A1のIPアドレス(第2の通信アドレス)が「AA」であり、ポート番号「aaa」のTCP(Transmission Control Protocol)ポート及び「443」のTCPポートが利用可能であることを示す。なお、ポート番号「443」は、SSLを利用した通信(以下、SSL通信という)に用いられるポートである。また、この図は、利用者端末B1のIPアドレスが「BB」であり、ポート番号「bbb」及び「443」のTCPポートが利用可能であることを示す。また、この図は、SSL−VPN管理装置C1のIPアドレスが「CC」であり、ポート番号「ccc」及び「443」のTCPポートが利用可能であることを示す。なお、VPNでの利用者端末A1、B1、SSL−VPN管理装置C1の識別情報(第1の通信アドレス;例えば、VPNでのIPアドレス)は、それぞれ、識別情報「A1」、「B1」、「C1」である。
【0023】
利用者端末A1、B1、及びSSL−VPN管理装置C1にはSSL−VPNソフトウェアがインストールされている。利用者端末A1、B1、及びSSL−VPN管理装置C1は、インストールされたSSL−VPNソフトウェアの機能により、VPNでの通信データを暗号化してカプセル化する。カプセル化された暗号化データは、仮想的な通信経路であるトンネルを介して他の通信装置に送信される。トンネルを介してデータを受信した通信装置は、受信した通信データを復号化し、VPNでの通信データを抽出する。このように、利用者端末A1、B1、及びSSL−VPN管理装置C1は、トンネルを介した通信によって、VPNを実現する。
【0024】
図1において、点線及び鎖線はトンネルを示す。トンネルAC、BCは、それぞれ、利用者端末A1とSSL−VPN管理装置C1との間の通信、利用者端末B1とSSL−VPN管理装置C1との間の通信に用いられる。また、トンネルAB(通信装置間仮想プライベートネットワーク)は、利用者端末A1と利用者端末B1との間の通信に用いられる。この図において、点線で示すトンネルAC、BCでは、通信状態(後述する負荷、接続状況)を示す通信状態データの送受信が行われる。また、鎖線で示すトンネルABでは、通信データの送受信が行われる。
このように、本実施形態では、利用者端末A1は、他の利用者端末B1への通信データを、トンネルABを介して直接利用者端末B1へ送信する。また、利用者端末A1は、時自装置の通信状態データを、トンネルACを介してSSL−VPN管理装置C1へ送信する。なお、利用者端末B1についても利用者端末A1と同様である。
以下、利用者端末A1、及びSSL−VPN管理装置C1の構成について説明をする。なお、利用者端末B1の構成は、利用者端末A1の構成と同じであるので、説明は省略する。
【0025】
<利用者端末A1の構成について>
図2は、本実施形態に係る利用者端末A1の構成を示す概略ブロック図である。この図において、利用者端末A1は、入力部a11、接続制御部a12、通信部a13、接続情報記憶部a14、データ生成部a15、通信データ受信部a16、及び出力部a17を含んで構成される。また、接続制御部a12は、接続管理情報生成部a121及び接続管理情報受信部a122を含んで構成される。接続情報記憶部a14は、管理装置接続情報記憶部a141及び利用者端末接続情報記憶部a142を含んで構成される。データ生成部a15は、通信状態データ生成部a151、通信データ生成部a152、及び情報データ記憶部a153を含んで構成される。
【0026】
入力部a11は、キーボードやマウス等の入力デバイスから、指示情報の入力を受け付ける。例えば、利用者端末A1の入力部a11では、利用者端末B1が記憶する情報データをダウンロードする指示を示す指示情報の入力を受け付ける。入力部a11は、受け付けた指示情報を接続管理情報生成部a121に出力する。
【0027】
接続管理情報生成部a121は、SSL−VPNを用いた通信を要求する接続要求を、他の装置に対して送信する。例えば、接続管理情報生成部a121は、自装置がネットワークM1に接続されたとき、自装置と図1のSSL−VPN管理装置C1との間(以下、A−C間という)の接続要求を生成する。また、例えば、接続管理情報生成部a121は、入力部a11から利用者端末B1が記憶する情報データをダウンロードする指示を示す指示情報が入力されたとき、自装置と利用者端末B1との間(以下、A−B間という)の接続要求を生成する。接続管理情報生成部a121は、生成した接続要求を、通信部a13を介してSSL−VPN管理装置C1へ送信する。
【0028】
また、接続管理情報生成部a121は、SSL−VPN管理装置C1から受信した他の装置(SSL−VPN管理装置C1又は利用者端末B1)から接続要求に対して、接続可否を示す情報を含む接続応答、及び予め記憶する自装置への接続情報(接続先IPアドレス、接続先TCPポート番号、接続鍵)を含む接続情報通知を生成する。なお、接続管理情報生成部a121が生成する通知等の詳細は、通信システム1の動作において後述する。
接続管理情報生成部a121は、生成した接続応答及び接続情報通知を、通信部a13を介してSSL−VPN管理装置C1へ送信する。
【0029】
接続管理情報受信部a122は、他の装置への接続情報を、SSL−VPN管理装置C1から通信部a13を介して受信する。例えば、接続管理情報受信部a122は、SSL−VPN管理装置C1への接続情報(管理装置接続情報;図3)を受信し、管理装置接続情報記憶部a141に記憶させる。また、例えば、接続管理情報受信部a122は、利用者端末B1への接続情報(利用者端末接続情報;図4)を受信し、利用者端末接続情報記憶部a142に記憶させる。なお、これらの接続情報には、接続先の他の装置(接続先装置という)のIPアドレス、ポート番号、及び接続先装置とのSSL通信に用いる接続先装置の接続鍵の情報が含まれる。
【0030】
通信部a13は、接続情報記憶部a14が記憶する接続情報に基づき、送信するデータをトンネリングさせて接続先装置に送信する。具体的に、まず、通信部a13は、送信するデータに対してVPNでの通信データ(例えば、VPNでのIPアドレスを含むIPヘッダを付加する)を生成する。通信部a13は、接続情報記憶部a14が記憶する接続先装置の接続鍵を読み出し、読み出した接続鍵を用いてVPNでの通信データを暗号化する。通信部a13は、暗号化したデータに接続先IPアドレスを含むIPヘッダ等を追加する(カプセル化)。通信部a13は、カプセル化した暗号化データをトンネリングさせて接続先装置へ送信する。
【0031】
以下、このトンネリングにより行う一連のSSL通信をSSLセッションという。また、利用者端末A1とSSL−VPN管理装置C1との間のSSLセッションをA−C間セッション(利用者端末B1とSSL−VPN管理装置C1との間のSSLセッションをB−C間セッション)、利用者端末A1と利用者端末B1との間のSSLセッションをA−B間セッションという。このA−C間セッション、B−C間セッション、A−B間セッションは、それぞれ、図1中のトンネルAC、BC、BCを介して行われる。なお、このSSLセッションは、接続要求を契機に確立される。
【0032】
また、通信部a13は、A−B間セッションにより利用者端末装置B1からトンネリングにより受信した通信データを、復号化する。なお、この復号化には、利用者端末装置B1に予め送信した自装置の接続鍵が用いられる。
【0033】
通信状態データ生成部a151は、自装置が他の利用者端末装置B1と接続を開始(後述するSSLセッションを確立)したことを示すA−B間接続開始通知、他の利用者端末装置B1と接続を切断(後述するSSLセッションを切断)したことを示すA−B間接続切断通知を生成する。
また、通信状態データ生成部a151は、自装置の負荷情報を検出する。ここで、負荷情報は、自装置のCPU(中央演算装置)の使用率である。なお、この負荷情報は、自装置のメモリの使用率、通信速度、通信帯域の利用率であってもよい。
通信状態データ生成部a151は、生成したA−B間接続開始通知、A−B間接続切断通知、及び検出した負荷情報を、通信状態データとして、通信部a13を介してSSL−VPN管理装置C1に送信する。この通信状態データは、A−C間セッションにより送信される。
【0034】
通信データ生成部a152は、入力部a11等からの指示情報に基づき、他の利用者端末B1に情報データを要求する情報データ要求を生成する。例えば、通信データ生成部a152は、入力部a11から利用者端末B1が記憶する情報データをダウンロードする指示を示す指示情報が入力されたとき、利用者端末B1への情報データ要求を生成する。
【0035】
また、通信データ生成部a152は、他の利用者端末B1からの情報データ要求であって、後述する通信データ受信部a16から入力された情報データ要求に応じて、情報データ記憶部a153が記憶する情報データを読み出す。
通信データ生成部a152は、生成した情報データ要求、又は読み出した情報データを、通信データとして、通信部a13を介して利用者端末B1に送信する。この通信データは、A−B間セッションにより直接、利用者端末B1に送信される。
【0036】
通信データ受信部a16は、通信部a13から入力された通信データのうち、情報データ要求を通信データ生成部a152に出力し、情報データを出力部a17に出力する。
出力部a17は、ディスプレイ等の表示デバイスであり、通信データ受信部a16から出力された情報データに基づき、画像等を表示する。
【0037】
<管理装置接続情報、利用者端末接続情報>
以下、管理装置接続情報記憶部a141が記憶する管理装置接続情報、及び利用者端末接続情報記憶部a142が記憶する利用者端末接続情報について説明をする。
図3は、本実施形態に係る管理装置接続情報テーブルの一例を示す概略図である。図示するように管理装置接続情報テーブルは、接続先の管理装置の識別情報である接続先管理装置識別、接続先IPアドレス、接続先TCPポート番号、及び接続鍵の各項目の列を有している。
例えば、図3の管理装置接続情報は、利用者端末装置A1が接続先管理装置識別「C1」が示すSSL−VPN管理装置C1に接続するときに、接続先IPアドレス「CC」、接続先TCPポート番号「443」に接続することを示す。また、図3の管理装置接続情報は、利用者端末A1がデータをSSL−VPN管理装置「C1」へ送信するときは、ファイル「/sslkey/C1」の接続鍵、つまり、SSL−VPN管理装置C1の接続鍵を用いて暗号化を行うことを示す。
【0038】
図4は、本実施形態に係る利用者端末接続情報テーブルの一例を示す概略図である。図示するように利用者端末接続情報テーブルは、接続先の利用者端末の識別情報である接続先利用者端末識別、接続先IPアドレス、接続先TCPポート番号、及び接続鍵の各項目の列を有している。利用者端末接続情報テーブルは、接続先利用者端末識別毎に利用者端末接続情報が格納される行と列からなる2次元の表形式のデータである。
例えば、図4の1行目の利用者端末接続情報は、利用者端末A1が接続先利用者端末識別「B1」が示す利用者端末B1に接続するときに、接続先IPアドレス「BB」、接続先TCPポート番号「443」に接続することを示す。また、図4の利用者端末接続情報は、利用者端末A1がデータを利用者端末「B1」へ送信するときは、ファイル「/sslkey/B1」の接続鍵、つまり、利用者端末B1の接続鍵を用いて暗号化を行うことを示す。
なお、この利用者端末接続情報テーブルには、接続先の利用者端末が複数ある場合には、複数の利用者端末接続情報が記憶される。
【0039】
<SSL−VPN管理装置C1の構成について>
図5は、本実施形態に係るSSL−VPN管理装置C1の構成を示す概略ブロック図である。この図において、SSL−VPN管理装置C1は、通信部c11、接続管理部c12、接続情報記憶部c13、通信状態データ受信部c14、及び利用者端末情報記憶部c15を含んで構成される。接続管理部c12は、接続管理情報生成部c121、及び接続管理情報受信部c122を含んで構成される。
【0040】
通信部c11は、利用者端末A1、B1と通信を行う。例えば、通信部c11は、A−C間セッションを確立した場合、接続情報記憶部c13が記憶する利用者端末A1への接続情報に基づき、送信するデータをトンネリングさせて接続先装置に送信する。また、この場合、通信部c11は、利用者端末A1への接続情報に含まれる利用者端末A1の接続鍵を用いて利用者端末装置A1からトンネリングにより受信した通信データを、復号化する。
【0041】
接続管理情報生成部c121は、後述する接続管理情報受信部c122から入力されたA−C間又はB−C間接続要求に対して予め記憶する自装置への接続情報(管理装置接続情報;図3)を読み出す。接続管理情報生成部c121は、読み出した管理装置接続情報を含むA−C間又はB−C間接続情報通知を、通信部c11(接続通知送信部)を介して利用者端末A1又はB1へ送信する。
また、接続管理情報生成部c121は、接続管理情報受信部c122から入力された利用者端末A1又はB1からのA−B間接続要求、及びA−B間接続情報通知を、それぞれ、利用者端末B1又はA1へのA−B間接続要求、及びA−B間接続情報通知(通信装置間接続通知)として生成する。また、接続管理情報生成部c121は、接続管理情報受信部c122から入力されたA−B間接続応答に対して、接続情報を要求するA−B間接続情報要求を生成する。なお、接続管理情報生成部c121が生成する要求等の詳細については、通信システム1の動作とあわせて後述する。
接続管理情報生成部c121が生成したA−B間接続要求、A−B間接続情報通知、及びA−B間接続応答は、これらに含まれる情報が示す要求先及び通知先の装置へ送信される。
【0042】
接続管理情報受信部c122は、A−C間又はB−C間接続要求、利用者端末A1或いはB1からのA−B間接続要求、A−B間接続情報通知、及びA−B間接続情報応答を、通信部c11を介して受信する。接続管理情報受信部c122は、受信したこれらの要求等を接続管理情報生成部c121に出力する。また、接続管理情報受信部c122は、利用者端末A1及びB1から、それぞれ、利用者端末A1及びB1への接続情報を受信し、接続情報記憶部c13に記憶させる。
【0043】
通信状態データ受信部c14は、通信部c11がA−C間又はB−C間セッションにより受信した通信状態データ(負荷情報)を、利用者端末情報記憶部c15に記憶させる。
また、通信状態データ受信部c14は、A−B間接続開始通知及びA−B間接続切断通知を受信し、受信した通知に含まれるA−B間セッションを用いた通信を行う利用者端末を識別する利用者端末識別、A−B間セッションを用いた通信の開始或いは切断を示す接続状態情報を利用者端末情報記憶部c15に記憶させる。
利用者端末情報記憶部c15が記憶する利用者端末情報については、後述する。
【0044】
<通信システム1の動作、利用者端末情報について>
以下、通信システム1(利用者端末A1、B1、SSL−VPN管理装置C1)の動作、及び利用者端末情報記憶部c15が記憶する利用者端末情報について説明をする。
図6は、本実施形態に係る通信システム1の動作の一例を示すフロー図である。この図は、通信システム1がA−C間及びB−C間セッションを確立するまでの動作を示す。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。また、ステップS101〜S103の動作、ステップS104〜S106の動作は、それぞれ、利用者端末A1をネットワークM1に接続した際、利用者端末B1をネットワークM2に接続した際に行われる動作である。
【0045】
(ステップS101)利用者端末A1は、A−C間接続要求をSSL−VPN管理装置C1へ送信する。また、利用者端末A1は、SSL−VPN管理装置C1から、SSL−VPN管理装置C1への接続情報を受信する。その後、利用者端末A1とSSL−VPN管理装置C1とは、予め定められた通信手順によって利用者端末A1の接続鍵の送受信等を行う。これにより、利用者端末A1は、IPアドレス「AA」及びTCPポート番号「aaa」から、IPアドレス「CC」及びTCPポート番号「443」(SSL−VPN管理装置C1)へSSLセッション(A−C間セッション)を確立する。つまり、利用者端末A1は、利用者端末A1とSSL−VPN管理装置C1との間に仮想プライベートネットワークを生成する。その後、ステップS102に進む。
【0046】
(ステップS102)利用者端末A1は、確立したA−C間セッションにより、利用者端末A1の通信状態データをSSL−VPN管理装置C1へ通知する。この通信状態データには、データの種類が通信状態データであることを示す「状態通知」、利用者端末識別「A1」、IPアドレス「AA」、負荷情報(例えば、「15%」)が含まれる。すなわち、利用者端末A1は、利用者端末A1の負荷状態を示す負荷情報を生成し、SSL−VPN管理装置C1へ送信する。その後、ステップS103に進む。
なお、利用者端末A1は、A−C間セッションの切断まで、この通信状態データを定期的にSSL−VPN管理装置C1に通知する。
【0047】
(ステップS103)SSL−VPN管理装置C1は、利用者端末A1に接続要求を送信し、IPアドレス「CC」及びTCPポート番号「ccc」から、IPアドレス「AA」及びTCPポート番号「443」(利用者端末A1)へSSLセッションを確立する。その後、ステップS104に進む。
【0048】
(ステップS104)利用者端末B1は、ステップS101と同様にして、IPアドレス「BB」及びTCPポート番号「bbb」から、IPアドレス「CC」及びTCPポート番号「443」(SSL−VPN管理装置C1)へSSLセッション(B−C間セッション)を確立する。つまり、利用者端末B1は、利用者端末B1とSSL−VPN管理装置C1との間に仮想プライベートネットワークを生成する。
その後、ステップS105に進む。
【0049】
(ステップS105)利用者端末B1は、確立したB−C間セッションにより、利用者端末A1の通信状態データを通知する。この通信状態データには、データの種類が通信状態データであることを示す「状態通知」、利用者端末識別「B1」、IPアドレス「BB」、負荷情報(例えば、「10%」)が含まれる。その後、ステップS106に進む。
なお、利用者端末B1は、B−C間セッションの切断まで、この通信状態データを定期的にSSL−VPN管理装置C1に通知する。
【0050】
(ステップS106)SSL−VPN管理装置C1は、IPアドレス「CC」及びTCPポート番号「ccc」から、IPアドレス「BB」及びTCPポート番号「443」(利用者端末B1)へSSLセッションを確立する。
【0051】
図7は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図6の動作が完了したときに利用者端末情報記憶部c15が記憶する利用者端末情報テーブルを示す。図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末を識別する利用者端末識別、IPアドレス、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図7中の1行目の利用者端末情報は、利用者端末識別「A1」のIPアドレスが「AA」であり、負荷情報が「15%」、接続している他の利用者端末が「なし」であることを示す。ここで、利用者端末識別とIPアドレスの情報は、図6中のステップS101又はS104にて書き込まれる。また、負荷情報は、ステップS102又はS105にて書き込まれる。
【0052】
図8は、本実施形態に係る通信システム1の動作の別の一例を示すフロー図である。この図は、通信システム1が図6の動作が完了した後、A−B間セッションを確立して通信を行うまでの動作を示す。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0053】
(ステップS201)利用者端末A1は、A−C間セッションにより、A−B間接続要求をSSL−VPN管理装置C1へ送信する。このA−B間接続要求には、データの種類を示す「接続要求」、接続の要求元を示す要求元「A1」、接続の要求先を示す要求先「B1」が含まれる。その後ステップS202に進む。
(ステップS202)SSL−VPN管理装置C1は、ステップS201のA−B間接続要求と同じデータのA−B間接続要求を生成する。SSL−VPN管理装置C1は、B−C間セッションにより、生成したA−B間接続要求を、接続の要求先である利用者端末B1へ送信する。その後ステップS203に進む。
【0054】
(ステップS203)利用者端末B1は、A−B間の接続可否を判定する。過負荷状態にある等の接続不可とする要因がなく接続可と判定した場合、利用者端末B1は、B−C間セッションにより、接続可を示すA−B間接続応答をSSL−VPN管理装置C1へ送信する。このA−B間接続応答には、データの種類を示す「接続応答」、接続可否が接続可であることを示す「OK」、要求元「A1」、要求先「B1」が含まれる。その後ステップS204に進む。
なお、利用者端末B1は、接続可否が接続否を示す場合は、「OK」に代えて「NG」を送信する。図8は、接続可の場合の図である。
【0055】
(ステップS204)SSL−VPN管理装置C1は、B−C間セッションにより、A−B間接続情報要求を利用者端末B1へ送信する。このA−B間接続情報要求には、データの種類を示す「接続情報要求」、要求元「A1」、要求先「B1」が含まれる。その後ステップS205に進む。
【0056】
(ステップS205)利用者端末B1は、B−C間セッションにより、A−B間接続情報通知をSSL−VPN管理装置C1へ送信する。このA−B間接続情報通知には、データの種類を示す「接続情報通知」、接続情報の通知元を示す通知元「B1」、接続情報の通知先を示す通知先「A1」、接続鍵が含まれる。なお、A−B間接続情報通知の通知先「A1」は、ステップS204のA−B間接続情報要求の要求元「A1」である。その後ステップS206に進む。
【0057】
(ステップS206)SSL−VPN管理装置C1は、A−B間接続情報通知に含まれる情報に、通知元「B1」についての接続先IPアドレス及び接続先TCPポートを示す接続先「BB」及び「443」の情報を付加する。なお、この接続先IPアドレス及び接続先TCPポートは、接続情報記憶部c13が記憶する利用者端末B1への接続情報を読み出した情報である。SSL−VPN管理装置C1は、A−C間セッションにより、情報を付加したA−B間接続情報通知(通信装置間接続通知)を利用者端末A1へ送信する。その後、ステップS207に進む。
なお、このA−B間接続情報通知を受信した利用者端末A1は、利用者端末B1とA−B間セッションを確立し(ステップS207)、A−B間セッションにより利用者端末B1と通信を行う。すなわち、このステップS206のA−B間接続情報通知は、利用者端末A1が他の利用者端末B1との間にSSL−VPN管理装置C1を介さないSSL−VPNを生成し、生成したSSL−VPNを介して他の利用者端末B1との通信を行うことを、利用者端末A1に対して命令する通知である。
【0058】
(ステップS207)利用者端末A1は、利用者端末B1にセッション要求を送信し、予め定められた通信手順によって利用者端末A1の接続鍵の送受信等を行う。すなわち、SSL−VPN管理装置C1から受信したA−B間接続情報通知が示す他の利用者端末B1と自装置との間に、SSL−VPNの生成を要求するA−B間セッション要求(通信装置間接続要求)を生成し、生成したA−B間セッション要求を他の利用者端末B1へ送信する。
これにより、利用者端末A1と利用者端末B1とは、IPアドレス「AA」及びTCPポート番号「aaa」から、A−B間接続情報通知に含まれる接続先IPアドレス「BB」及びTCPポート番号「443」(利用者端末B1)へSSLセッションを確立する。その後、ステップS208に進む。
【0059】
なお、図6中のステップS102で説明したように、利用者端末A1は、通信状態データを定期的にSSL−VPN管理装置C1に通知する。利用者端末A1は、図8中のステップS207にてセッション確立後、確立したA−B間のSSL−VPNを介した通信の負荷状態(通信速度又は通信帯域の利用率)を含む通信状態データをSSL−VPN管理装置C1に送信する。
【0060】
(ステップS208)利用者端末A1は、A−C間セッションにより、A−B間接続開始通知をSSL−VPN管理装置C1に送信する。このA−B間接続開始通知には、A−B間セッションが確立され、A−Bが接続を開始したことを示す「A−B接続開始」が含まれる。すなわち、利用者端末A1は、A−B間のSSL−VPNを介した通信の開始を示す接続状態情報を生成し、SSL−VPN管理装置C1へ送信する。その後、ステップS209に進む。
【0061】
(ステップS209)利用者端末B1は、B−C間セッションにより、A−B間接続開始通知をSSL−VPN管理装置C1に送信する。このA−B間接続開始通知には、「A−B接続開始」が含まれる。その後、ステップS210に進む。
【0062】
(ステップS210)利用者端末A1と利用者端末B1とは、A−B間セッションにより、通信データの送受信を行う。例えば、利用者端末A1は、利用者端末B1へのデータ(情報データ要求又は情報データ)を、受信した利用者端末B1への接続情報に基づき暗号化してカプセル化する。利用者端末A1は、カプセル化した暗号化データを通信データとして、A−B間セッションにより、利用者端末B1へ送信する。すなわち、利用者端末A1は、A−B間接続要求に基づいて他の利用者端末B1との間のSSL−VPNを生成し、生成したSSL−VPNを介して他の利用者端末B1との通信を行う。
【0063】
図9は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図8の動作が完了したときに利用者端末情報記憶部c15が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図9中の1行目の利用者端末情報は、利用者端末「A1」のIPアドレスが「AA」であり、負荷情報が「20%」であることを示す。この負荷情報は、定期的な通信状態データの通知(図6参照;ステップS102)により通知された値である。
また、図9中の1行目の利用者端末情報は、利用者端末「A1」が接続状況「B1」、つまり、利用者端末「B1」と接続をしていることを示す。この接続状況の値は、SSL−VPN管理装置C1が図8中のステップS208又はS209のA−B間接続開始通知を受信したとき、SSL−VPN管理装置C1によって、通知元の利用者端末の利用者端末情報に対して、接続状況の項目に接続先の利用者端末識別が書き込まれたものである。例えば、SSL−VPN管理装置C1は、図8中のステップS208にて利用者端末A1からA−B間接続開始通知を受信した場合、図9において、通知元の利用者端末「A1」の利用者端末情報に対して、接続状況の項目に接続先の利用者端末識別「B1」を書き込む。
【0064】
図10は、本実施形態に係る通信システム1の動作の別の一例を示すフロー図である。この図は、通信システム1が図8の動作が完了した後、A−B間セッションを切断したときの動作を示す。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。また、この図において、ステップS210は、図9のステップS210と同じであるので、説明は省略する。
【0065】
(ステップS301)利用者端末A1又はB1は、A−B間セッションにより、A−B間接続切断要求を接続先の利用者端末B1又はA1へ送信する。これにより、利用者端末A1と利用者端末B1は、IPアドレス「AA」及びTCPポート番号「aaa」と、IPアドレス「BB」及びTCPポート番号「443」と、のSSLセッション(A−B間セッション)を切断する。その後、ステップS302に進む。
【0066】
(ステップS302)利用者端末A1は、A−C間セッションにより、A−B間接続切断通知をSSL−VPN管理装置C1に送信する。このA−B間接続切断通知には、A−B間セッションを切断し、A−Bが接続を終了したことを示す「A−B接続切断」が含まれる。すなわち、利用者端末A1は、A−B間のSSL−VPNを介した通信の切断を示す接続状態情報を生成し、SSL−VPN管理装置C1へ送信する。その後、ステップS303に進む。
(ステップS303)利用者端末B1は、B−C間セッションにより、A−B間接続切断通知をSSL−VPN管理装置C1に送信する。このA−B間接続切断通知には、「A−B接続切断」が含まれる。その後、ステップS303に進む。
【0067】
図11は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図10の動作が完了したときに利用者端末情報記憶部c15が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図11中の1行目の利用者端末情報の1列目から3列目は、利用者端末「A1」のIPアドレスが「AA」であり、負荷情報が「10%」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、図11中の1行目の利用者端末情報の3列目は、利用者端末「A1」が接続している他の利用者端末が「なし」であることを示す。この接続状況情報の値は、SSL−VPN管理装置C1が図10中のステップS302又はS303のA−B間接続切断通知を受信すると、SSL−VPN管理装置C1によって、通知元の利用者端末のデータの接続状況の項目に書き込まれている接続先の利用者端末識別が削除されたものである。例えば、SSL−VPN管理装置C1は、図10中のステップS302にて利用者端末A1からA−B間接続切断通知を受信した場合、図9の利用者端末「A1」のデータに書き込まれた接続状況「B1」を削除する。
【0068】
このように、本実施形態によれば、SSL−VPN管理装置C1がA−B間接続情報通知を生成して送信するので、利用者端末A1が他の利用者端末B1との間にSSL−VPN管理装置C1を介さないA−B間のSSL−VPNを生成し、生成したA−B間のSSL−VPNを介して利用者端末A1が他の利用者端末B1との通信を行うことができる。これにより、SSL−VPN管理装置C1は、A−C間及びB−C間のSSL−VPNを介して利用者端末A1とB1との間の通信データを中継することを抑制することができ、利用者端末A1とB1との間の通信データを中継する場合と比較して自装置の処理負荷を軽減することができる。
また、SSL−VPN管理装置C1が利用者端末A1、B1から受信した通信状態情報を記憶するので、A−B間のSSL−VPNでの通信状態を管理することができる。
【0069】
(第2の実施形態)
以下、図面を参照しながら本発明の実施形態について詳しく説明する。本実施形態では、利用者端末は、FireWall(ファイアウォール)装置が接続されたネットワークに接続される。利用者端末は、FireWall装置の機能により、SSL−VPN管理装置及び他の利用者端末との通信が制限される場合について説明をする。
【0070】
<通信システム2について>
図12は、この発明の第2の実施形態に係る通信システム2の概念図である。
通信システム2は、利用者端末A2、B2、及びSSL−VPN管理装置C2を具備する。本実施形態に係る通信システム2(図12)と、第1の実施形態に係る通信システム1(図1)とを比較すると、FireWall装置D2の有無が異なる。以下、第1の実施形態と異なる構成について説明し、第1の実施形態と同じ構成については説明を省略する。
【0071】
FireWall装置D2は、内部ネットワークM1と外部ネットワークM2との通信を制御する。具体的に、FireWall装置D2は、内部ネットワークM1に接続された利用者端末A2のTCPポート「aaa」と外部ネットワークM2の装置(SSL−VPN管理装置C2、利用者端末B2)のTCPポート「443」との通信は許可するが、他のTCPポートでの通信は許可せず遮断する。また、FireWall装置D2は、利用者端末A2から外部ネットワークM2の装置のTCPポート「443」への接続要求は許可するが、外部ネットワークM2の装置から利用者端末A2への接続要求は許可せず遮断する。すなわち、利用者端末A2は、A−B間セッション要求を利用者端末B1へ送信することができるが、利用者端末B1から受信することができない。
【0072】
本実施形態では、利用者端末B2から利用者端末A2への接続要求があった場合、SSL−VPN管理装置C2は、利用者端末A2に利用者端末B2へコールバックさせることで、利用者端末A2と利用者端末B2との間のSSLセッションを確立させる。
以下、利用者端末A2、及びSSL−VPN管理装置C2の構成について説明をする。なお、利用者端末B2の構成は、利用者端末A2の構成と同じであるので、説明は省略する。また、本実施形態では、利用者端末A2とSSL−VPN管理装置C2との間をA−C間といい、利用者端末B2とSSL−VPN管理装置C2との間をB−C間といい、利用者端末A2と利用者端末B2との間をA−B間という。
【0073】
<利用者端末A2の構成について>
図13は、本実施形態に係る利用者端末A2の構成を示す概略ブロック図である。本実施形態に係る利用者端末A2(図13)と第1の実施形態に係る利用者端末A1(図2)とを比較すると、接続管理情報受信部a222、コールバック制御部a223及び接続管理情報生成部a221が異なる。しかし、他の構成要素(入力部a11、通信部a13、管理装置接続情報記憶部a141、利用者端末接続情報記憶部a142、通信状態データ生成部a151、通信データ生成部a152、情報データ記憶部a153、通信データ受信部a16、及び出力部a17)が持つ機能は第1の実施形態と同じである。第1の実施形態と同じ機能の説明は省略する。
【0074】
接続管理情報受信部a222は、通信部a13からコールバック要求通知が入力されると、接続情報通知が入力されたときと同様に、利用者端末B1への接続情報を利用者端末接続情報記憶部a142に記憶させる。また、接続管理情報受信部a222は、コールバック要求通知をコールバック制御部a223に出力する。接続管理情報受信部a222は、その他、第1の実施形態の接続管理情報受信部a122と同様の機能を有する。
【0075】
コールバック制御部a223は、接続管理情報受信部a222からコールバック要求通知が入力されると、コールバック要求通知に含まれる利用者端末B1への接続情報に基づき、接続先装置とSSLセッションを確立させる制御を、接続管理情報生成部a221に対して行う。
接続管理情報生成部a221は、コールバック制御部a223からの制御に従い、自装置と接続先装置とのSSLセッションを確立する。
例えば、コールバック制御部a223に接続先IPアドレス「BB」及び接続先TCPポート番号「443」の接続情報を含むコールバック要求通知が入力されると、接続管理情報生成部a221は、A−B間セッション要求を生成する。このA−B間セッション要求により、利用者端末A2は、接続先IPアドレス「BB」及び接続先TCPポート番号「443」へ、予め定められた通信手順によって利用者端末A2の接続鍵の送受信等を行い、SSLセッションを確立する。
【0076】
また、接続管理情報生成部a221は、接続管理情報受信部a122から自装置へのコールバック情報要求が入力されると、予め記憶する自装置への接続情報(例えば、接続先利用者端末識別「B2」、接続先IPアドレス「BB」、接続先TCPポート番号「443」、接続鍵「/sslkey/B2)を含むコールバック情報通知を生成する。
接続管理情報生成部a221は、その他、第1の実施形態の接続管理情報生成部a121と同様の機能を有する。
【0077】
<SSL−VPN管理装置C2の構成について>
図14は、本実施形態に係るSSL−VPN管理装置C2の構成を示す概略ブロック図である。本実施形態に係るSSL−VPN管理装置C2(図14)と第1の実施形態に係るSSL−VPN管理装置C1(図5)とを比較すると、コールバック管理部c223、接続管理情報生成部c221、及び利用者端末情報記憶部c25が異なる。しかし、他の構成要素(通信部c11、接続管理情報受信部c122、接続情報記憶部c13、及び、通信状態データ受信部c14)が持つ機能は第1の実施形態と同じである。第1の実施形態と同じ機能の説明は省略する。
【0078】
接続管理情報生成部c221は、利用者端末A2又はB2から自装置へのSSLセッションが確立されると、それぞれ、自装置から利用者端末A2又はB2へのSSLセッション確立処理を行う。このSSLセッション確立処理の結果により、コールバック管理部c223は、利用者端末A2からB2、又はB2からA2へのSSLセッションが確立可能か否かを判定することができる。例えば、図12中のネットワーク構成の場合、接続管理情報生成部c221による利用者端末A2へのSSLセッション確立処理は失敗する。この場合、コールバック管理部c223は、利用者端末A2が、外部からの通信ができない装置であると判定する。
コールバック管理部c223は、利用者端末情報記憶部c25の利用者端末情報に、この判定結果(図16の「外部からの通信可否」の情報)を書き込む。
【0079】
また、コールバック管理部c223は、A−B間接続要求が入力されると、この要求の要求先である利用者端末A2又はB2についての利用者端末情報を、利用者端末情報記憶部c25から読み出す。コールバック管理部c223は、読み出した利用者端末情報が外部からの通信ができない装置であることを示す場合、要求先の利用者端末A2又はB2へのコールバック要求通知を生成させる制御を、接続管理情報生成部c221に対して行う。
接続管理情報生成部c221は、コールバック管理部c223からの制御に従い、利用者端末A2又はB2へのコールバック要求通知を生成する。このコールバック要求通知には、接続要求元の利用者端末B2又はA2から受信した利用者端末B2又はA2への接続情報が含まれる。
接続管理情報生成部c221は、その他、第1の実施形態の接続管理情報生成部a121と同様の機能を有する。
【0080】
<通信システム2の動作、利用者端末情報について>
以下、通信システム2(利用者端末A2、B2、SSL−VPN管理装置C2)の動作、及び利用者端末情報記憶部c25が記憶する利用者端末情報について説明をする。本実施形態では、利用者端末A2から利用者端末B2への接続要求によりA−B間セッションを確立する場合(図17)と、利用者端末B2から利用者端末A2への接続要求によりA−B間セッションを確立する場合(図18)と、では、通信システム2の動作が異なるので、これらの場合を分けて説明をする。
【0081】
図15は、本実施形態に係る通信システム2の動作の一例を示すフロー図である。この図は、通信システム2がA−C間及びB−C間セッションを確立するまでの動作を示す。
本実施形態に係る通信システム2の動作(図15)と第1の実施形態に係る通信システム1の動作(図6)とを比較すると、ステップS403での動作が異なる。しかし、ステップS101、S102においてFireWall装置D2が通信データを中継する点のみが異なるが、動作内容は第1の実施形態と同じである。また、他のステップ(ステップS104〜S106)での動作は第1の実施形態と同じである。第1の実施形態と同じ動作(ステップS101、S102、ステップS104〜S106)の説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0082】
(ステップS403)SSL−VPN管理装置C2は、IPアドレス「CC」及びTCPポート番号「ccc」から、IPアドレス「AA」及びTCPポート番号「443」(利用者端末A2)へSSLセッションを確立するための接続要求を送信する。この接続要求はFireWall装置D2に遮断され、SSL−VPN管理装置C2からのSSLセッション確立処理は失敗する。その後、ステップS104に進む。
【0083】
図16は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図15の動作が完了したときに利用者端末情報記憶部c25が記憶する利用者端末情報テーブルを示す。図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、外部からの通信可否、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図16中の1行目の利用者端末情報は、利用者端末「A2」のIPアドレスが「AA」であり、外部からの通信可否が「不可」、負荷情報が「15%」、接続している他の利用者端末が「なし」であることを示す。ここで、外部からの通信可否「不可」とは、利用者端末「A2」が、自装置が接続されているネットワーク以外のネットワークからSSLセッションを確立することができないことを示す。なお、外部からの通信可否「可」とは、利用者端末「A2」が、自装置が接続されているネットワーク以外のネットワークからSSLセッションを確立することができることを示す。
【0084】
図17は、本実施形態に係る通信システム2の動作の別の一例を示すフロー図である。この図は、通信システム2が図15の動作が完了した後、利用者端末A2から利用者端末B2への接続要求により、A−B間セッションを確立して通信を行うまでの動作を示す。
本実施形態に係る通信システム2の動作(図17)と第1の実施形態に係る通信システム1の動作(図8)とを比較すると、ステップS504での動作が異なる。しかし、ステップS201、S206〜S208においてFireWall装置D2が通信データを中継する点のみが異なるが、動作内容は第1の実施形態と同じである。また、他のステップ(ステップS202、S204、S205、S209)での動作は第1の実施形態と同じである。第1の実施形態と同じ動作(ステップS202〜S203、S205〜S210)の説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0085】
(ステップS504)SSL−VPN管理装置C2は、ステップS203のA−B間接続応答を受信すると、利用者端末の項目が、A−B間接続応答に含まれる要求先「B2」の利用者端末情報を、利用者端末情報記憶部c15から読み出す(図16中の2行目の利用者端末情報)。図16のように外部からの通信可否が「可」場合、SSL−VPN管理装置C2は、利用者端末B2が、外部からの通信可否が可であると判定する。
可であると判定したときは、SSL−VPN管理装置C2は、B−C間セッションにより、A−B間接続情報要求を利用者端末B2へ送信する。このA−B間接続情報要求には、データの種類を示す「接続情報要求」、要求元「A2」、要求先「B2」が含まれる。その後ステップS205に進む。
【0086】
図18は、本実施形態に係る通信システム2の動作の別の一例を示すフロー図である。この図は、通信システム2が図15の動作が完了した後、利用者端末B2から利用者端末A2への接続要求により、A−B間セッションを確立して通信を行うまでの動作を示す。
【0087】
(ステップS601)利用者端末B2は、B−C間セッションにより、A−B間接続要求をSSL−VPN管理装置C2へ送信する。このA−B間接続要求には、データの種類を示す「接続要求」、接続の要求元を示す要求元「B2」、接続の要求先を示す要求先「A2」が含まれる。その後ステップS602に進む。
(ステップS602)SSL−VPN管理装置C2は、A−B間接続要求を複製する。SSL−VPN管理装置C2は、A−C間セッションにより、複製したA−B間接続要求を利用者端末A2へ送信する。その後ステップS603に進む。
なお、FireWall装置D2は、このA−B間接続要求を中継する。以下、FireWall装置D2による中継についての説明は省略する
【0088】
(ステップS603)利用者端末A2は、図8のステップS203と同様にA−B間の接続可否を判定する。接続可と判定した場合、利用者端末A2は、A−C間セッションにより、接続可を示すA−B間接続応答をSSL−VPN管理装置C2へ送信する。このA−B間接続応答には、データの種類を示す「接続応答」、接続可否が接続可であることを示す「OK」、要求元「B2」、要求先「A2」が含まれる。その後ステップS604に進む。
なお、利用者端末A2は、接続可否が接続否を示す場合は、「OK」に代えて「NG」を送信する。図18は、接続可の場合の図である。
【0089】
(ステップS604)SSL−VPN管理装置C2は、A−B間接続応答を受信すると、利用者端末の項目が、A−B間接続応答に含まれる要求先「A2」の利用者端末情報を、利用者端末情報記憶部c25から読み出す(図16中の1行目の利用者端末情報)。図16のように外部からの通信可否が「不可」場合、SSL−VPN管理装置C2は、利用者端末A2が外部からの通信が不可であると判定する。
不可であると判定したときは、SSL−VPN管理装置C2は、B−C間セッションにより、コールバック情報要求を利用者端末B2へ送信する。このコールバック情報要求には、データの種類を示す「コールバック情報要求」、要求元「A2」、要求先「B2」が含まれる。その後ステップS605に進む。
【0090】
(ステップS605)利用者端末B2は、B−C間セッションにより、コールバック情報通知をSSL−VPN管理装置C2へ送信する。このコールバック情報通知には、データの種類を示す「コールバック情報通知」、通知元「B2」、通知先「A2」、接続鍵が含まれる。なお、コールバック情報通知の応答先「A2」は、コールバック情報要求の要求元「A2」である。その後ステップS606に進む。
【0091】
(ステップS606)SSL−VPN管理装置C2は、コールバック情報通知に含まれる情報に、通知元「B2」についての接続先IPアドレス及び接続先TCPポートを示す接続先「BB」及び「443」の情報を付加する。なお、この接続先IPアドレス及び接続先TCPポートは、接続情報記憶部c13が記憶する利用者端末B2への接続情報を読み出した情報である。SSL−VPN管理装置C2は、A−C間セッションにより、情報を付加したコールバック要求通知を利用者端末A2へ送信する。このコールバック要求通知には、データの種類を示す「コールバック要求通知」、通知元「B2」、通知先「A2」、接続鍵が含まれる。その後ステップS605に進む。
【0092】
(ステップS607)利用者端末A2は、利用者端末B2と、予め定められた通信手順によって利用者端末A2の接続鍵の送受信等を行う。これにより、利用者端末A2と利用者端末B2とは、IPアドレス「AA」及びTCPポート番号「aaa」から、A−B間接続情報通知に含まれる接続先IPアドレス「BB」及びTCPポート番号「443」(利用者端末B2)へのSSLセッションを確立する。その後、ステップS608に進む。
【0093】
(ステップS608)利用者端末A2は、A−C間セッションにより、A−B間接続開始通知をSSL−VPN管理装置C2に送信する。このA−B間接続開始通知には、「A−B接続開始」が含まれる。その後、ステップS609に進む。
(ステップS609)利用者端末B2は、B−C間セッションにより、A−B間接続開始通知をSSL−VPN管理装置C2に送信する。このA−B間接続開始通知には、「A−B接続開始」が含まれる。その後、ステップS610に進む。
【0094】
(ステップS610)利用者端末A2と利用者端末B2とは、A−B間セッションにより、通信データの送受信を行う。例えば、利用者端末A2は、利用者端末B2へのデータ(情報データ要求又は情報データ)を、受信した利用者端末B2への接続情報に基づき暗号化してカプセル化する。利用者端末A2は、カプセル化した暗号化データを通信データとして、A−B間セッションにより、利用者端末B2へ送信する。
【0095】
図19は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図18の動作が完了したときに利用者端末情報記憶部c25が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、外部からの通信可否、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図19中の1行目の利用者端末情報は、利用者端末「A1」のIPアドレスが「AA」であり、負荷情報が「20%」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、図19中の1行目の利用者端末情報は、利用者端末「A2」が、外部からの通信可否が「不可」であり、利用者端末「B2」と接続をしていることを示す。この接続状況の値は、SSL−VPN管理装置C2が図18中のステップS608又はS609のA−B間接続開始通知を受信したとき、SSL−VPN管理装置C2によって、通知元の利用者端末の利用者端末情報に対して、接続状況の項目に接続先の利用者端末識別が書き込まれたものである。
【0096】
図20は、本実施形態に係る通信システム2の動作の別の一例を示すフロー図である。この図は、通信システム2が図18の動作が完了した後、A−B間セッションを切断するまでの動作を示す。
本実施形態に係る通信システム2の動作(図20)と第1の実施形態に係る通信システム1の動作(図10)とを比較すると、ステップS210、S301、S302においてFireWall装置D2が通信データを中継する点のみが異なるが、動作内容は第1の実施形態と同じである。また、他のステップ(ステップS303)での動作は第1の実施形態と同じである。全てのステップでの動作が、第1の実施形態と同じ動作であるので、これらの説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0097】
図21は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図20の動作が完了したときに利用者端末情報記憶部c25が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、外部からの通信可否、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図21中の1行目の利用者端末情報は、利用者端末「A2」のIPアドレスが「AA」であり、負荷情報が「10%」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、このデータの接続状況は、利用者端末「A2」が接続している他の利用者端末が「なし」であることを示す。この接続状況情報の値は、SSL−VPN管理装置C2がA−B間接続切断通知を受信すると、SSL−VPN管理装置C2によって、通知元の利用者端末のデータの接続状況の項目に書き込まれている接続先の利用者端末識別が削除されたものである。
【0098】
このように、本実施形態によれば、SSL−VPN管理装置C2が接続要求を利用者端末B2から受信した場合、コールバック要求通知を生成して利用者端末A2に対して送信する。これにより、利用者端末B2からA2への接続要求に通信制限がある場合であっても、利用者端末B2が利用者端末A2からコールバック要求通知に基づく接続要求を受信し、利用者端末A2との間のVPNを生成することができる。
【0099】
(第3の実施形態)
以下、図面を参照しながら本発明の実施形態について詳しく説明する。本実施形態では、ある同じコンテンツデータ(上記の情報データ)を記憶する利用者端末が複数あり、ある利用者端末がSSLセッションを用いてこのコンテンツデータをダウンロードする場合について説明をする。
【0100】
<通信システム3について>
図22は、この発明の第3の実施形態に係る通信システム3の概念図である。
通信システム3は、利用者端末A3、B3n(n=1、2、・・・、N)、及びSSL−VPN管理装置C3を具備する。また、利用者端末B31〜B3Nは、ある同じコンテンツデータCBを記憶する。なお、利用者端末B31〜B3Nをまとめてコンテンツ装置群B3という。なお、利用者端末A3はコンテンツデータCAを記憶する。また、利用者端末A1、B3nが記憶するコンテンツデータは複数あってもよい。
【0101】
図22は、利用者端末A3がSSLセッションを用いてコンテンツデータCBをダウンロードする場合の概略図である。
本実施形態では、SSL−VPN管理装置C3は、利用者端末A3からのコンテンツCBの要求に対して、コンテンツ装置群B3のうち利用者端末B31〜B3Nのいずれかの利用者端末を選択する。この図は、SSL−VPN管理装置C3が利用者端末B31を選択した場合を示す。つまり、この図における鎖線は、利用者端末A3とSSL−VPN管理装置C3が選択した利用者端末B31とを結んでいる。
【0102】
図22において、点線及び鎖線はトンネルを示す。トンネルAC、BnC、ABn(この図では、n=1)は、それぞれ、利用者端末A3とSSL−VPN管理装置C3との間の通信、利用者端末B3nとSSL−VPN管理装置C3との間の通信、利用者端末A3と利用者端末B3n(この図では、n=1)との間の通信に用いられる。この図において、点線で示すトンネルAC、BnCでは、通信状態を示す通信状態データの送受信が行われる。また、鎖線で示すトンネルABnでは、通信データの送受信が行われる。
【0103】
なお、図22は、利用者端末A3のIPアドレスが「AA」であり、ポート番号「aaa」のTCP(Transmission Control Protocol)ポート及び「443」のTCPポートが利用可能であることを示す。また、この図は、利用者端末B3nのIPアドレスが「BBn」であり、ポート番号「bbbn」及び「443」のTCPポートが利用可能であることを示す。また、この図は、SSL−VPN管理装置C3のIPアドレスが「CC」であり、ポート番号「ccc」及び「443」のTCPポートが利用可能であることを示す。
以下、利用者端末A3、及びSSL−VPN管理装置C3の構成について説明をする。なお、利用者端末B3nの構成は、利用者端末A3の構成と同じであるので、説明は省略する。また、本実施形態では、利用者端末A3とSSL−VPN管理装置C3との間をA−C間といい、利用者端末B3nとSSL−VPN管理装置C3との間をB3n−C間といい、利用者端末A3と利用者端末B3nとの間をA−B3n間という。
【0104】
<利用者端末A3の構成について>
図23は、本実施形態に係る利用者端末A3の構成を示す概略ブロック図である。本実施形態に係る利用者端末A3(図23)と第1の実施形態に係る利用者端末A1(図2)とを比較すると、通信状態データ生成部a351が異なる。しかし、他の構成要素(入力部a11、接続管理情報生成部a121、接続管理情報受信部a122、通信部a13、管理装置接続情報記憶部a141、利用者端末接続情報記憶部a142、通信状態データ生成部a351、通信データ生成部a152、情報データ記憶部a153、通信データ受信部a16、及び出力部a17)が持つ機能は第1の実施形態と同じである。第1の実施形態と同じ機能の説明は省略する。
【0105】
通信状態データ生成部a351は、情報データ記憶部a153が記憶するコンテンツ(上記の情報データ)の識別情報(以下、コンテンツ識別という。例えば、コンテンツ「CB」)を抽出する。また、通信状態データ生成部a351は、自装置の負荷情報を検出する。
通信状態データ生成部a351は、検出した負荷情報及び抽出したコンテンツ識別を、通信状態データとして、通信部a13を介してSSL−VPN管理装置C3に送信する。この通信状態データは、A−C間セッションにより送信される。
【0106】
<SSL−VPN管理装置C3の構成について>
図24は、本実施形態に係るSSL−VPN管理装置C3の構成を示す概略ブロック図である。本実施形態に係るSSL−VPN管理装置C3(図23)と第1の実施形態に係るSSL−VPN管理装置C1(図5)とを比較すると、利用者端末選択部c324、接続管理情報生成部c321、及び利用者端末情報記憶部c35が異なる。しかし、他の構成要素(通信部c11、接続管理情報受信部c122、接続情報記憶部c13、及び、通信状態データ受信部c14)が持つ機能は第1の実施形態と同じである。第1の実施形態と同じ機能の説明は省略する。
【0107】
利用者端末情報記憶部c35には、通信状態データ受信部c14(負荷情報受信部)が受信した通信状態データに含まれる利用者端末識別、負荷情報、及びコンテンツ識別(情報データ識別情報)が、利用者端末情報(通信装置負荷情報;図26)として記憶される。ここで、コンテンツ識別は、利用者端末識別が示す利用者端末が記憶するコンテンツデータを識別する識別子である。
【0108】
利用者端末選択部c324は、利用者端末A3からの要求であって、コンテンツデータCXの受信を要求するコンテンツCXの要求(A−CX間接続要求という)が入力されると、利用者端末情報記憶部c35が記憶する利用者端末情報テーブルから、コンテンツ識別が「CX」の利用者端末情報を読み出す。利用者端末選択部c324は、読み出した利用者端末情報のうち、負荷情報の値が最も小さい利用者端末情報の利用者端末識別が示す利用者端末を選択する。すなわち、利用者端末選択部c324は、利用者端末情報記憶部c35から、通信状態データ受信部c14が受信したA−CX間接続要求により要求されたコンテンツデータCXのコンテンツ識別「CX」を含む利用者端末情報を読み出し、読み出した利用者端末情報の利用者端末識別のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である利用者端末識別を選択する。
【0109】
利用者端末選択部c324は、A−CX間接続要求の要求元(利用者端末A3)と選択した利用者端末B3Mとの間のセッション要求(A−B3M間セッション要求)を生成させる制御を、接続管理情報生成部c321に対して行う。
接続管理情報生成部c321は、利用者端末選択部c324からの制御に従い、A−B3M間セッション要求を生成する。接続管理情報生成部c321は、その他、第1の実施形態の接続管理情報生成部a121と同様の機能を有する。
【0110】
<通信システム3の動作、利用者端末情報について>
以下、通信システム3(利用者端末A3、B3n、SSL−VPN管理装置C3)の動作、及び利用者端末情報記憶部c35が記憶する利用者端末情報について説明をする
【0111】
図25は、本実施形態に係る通信システム3の動作の一例を示すフロー図である。この図は、通信システム3がA−C間及びB−C間セッションを確立するまでの動作を示す。
本実施形態に係る通信システム3の動作(図25)と第1の実施形態に係る通信システム1の動作(図6)とを比較すると、ステップS802、S805、S808での動作が異なる。しかし、利用者端末B3NのステップS107、S109での動作は、利用者端末B31のステップS104、S106での動作と同じである。また、他のステップ(ステップS101、S103〜S106)での動作は第1の実施形態と同じである。第1の実施形態と同じ動作(ステップS101、S103、S104、S106、S107、S109)の説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0112】
(ステップS802)利用者端末A3は、確立したA−C間セッションにより、利用者端末A3の通信状態データをSSL−VPN管理装置C3へ通知する。この通信状態データには、データの種類が通信状態データであることを示す「状態通知」、利用者端末識別「A3」、IPアドレス「AA」、負荷情報(例えば、「15%」)、自装置が記憶するコンテンツCAのコンテンツ識別「CA」が含まれる。その後、ステップS103に進む。なお、利用者端末A3は、A−C間セッションの切断まで、この通信状態データを定期的にSSL−VPN管理装置C3に通知する。
【0113】
(ステップS805)利用者端末B3は、確立したB31−C間セッションにより、利用者端末B31の通信状態データをSSL−VPN管理装置C3へ通知する。この通信状態データには、データの種類が通信状態データであることを示す「状態通知」、利用者端末識別「B31」、IPアドレス「BB1」、負荷情報(例えば、「10%」)、自装置が記憶するコンテンツCBのコンテンツ識別「CB」が含まれる。その後、ステップS106に進む。なお、利用者端末B31は、B31−C間セッションの切断まで、この通信状態データを定期的にSSL−VPN管理装置C3に通知する。
利用者端末B3NのステップS808での動作は、利用者端末B31のステップS805での動作と同じであるので、説明は省略する。
【0114】
図26は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図25の動作が完了したときに利用者端末情報記憶部c35が記憶する利用者端末情報テーブルを示す。図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、接続状況情報、及びコンテンツ識別の各項目の列を有している。
例えば、図26中の利用者端末の値が「B3M」の行の利用者端末情報は、利用者端末B3MのIPアドレスが「BBM」であり、負荷情報が「5%」、接続している他の利用者端末が「なし」であることを示し、利用者端末B3Mが記憶するコンテンツデータのコンテンツ識別が「CB」であることを示す。
【0115】
図27は、本実施形態に係る通信システム3の動作の別の一例を示すフロー図である。この図は、通信システム3が図25の動作が完了した後、利用者端末A3から利用者端末B3Mへの接続要求により、A−B間セッションを確立して通信を行うまでの動作を示す。
本実施形態に係る通信システム3の動作(図27)と第1の実施形態に係る通信システム1の動作(図8)とを比較すると、ステップS901、S902での動作が異なる。しかし、他のステップ(S203〜210)での動作は第1の実施形態と同じである。第1の実施形態と同じ動作の説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0116】
(ステップS901)利用者端末A3は、A−C間セッションにより、A−CB間接続要求をSSL−VPN管理装置C1へ送信する。このA−B間接続要求には、データの種類を示す「接続要求」、接続の要求元を示す要求元「A1」、受信を要求するコンテンツデータCBのコンテンツ識別「B1」が含まれる。その後ステップS202に進む。
(ステップS902)SSL−VPN管理装置C3は、A−CB間接続要求を受信すると、利用者端末情報記憶部c35が記憶する利用者端末情報テーブルから、コンテンツ識別が「CB」の利用者端末情報を読み出す。SSL−VPN管理装置C3は、利用者端末選択部c324は、読み出した利用者端末情報のうち、負荷情報の値が最も小さい利用者端末情報の利用者端末識別が示す利用者端末を選択する。
例えば、利用者端末情報テーブルが図26で示す例の場合、SSL−VPN管理装置C3は、利用者端末情報が「B31」〜「B3N」の行の利用者端末情報を読み出す。SSL−VPN管理装置C3は、読み出した利用者端末情報をのうち、負荷情報の値が最も小さい「5%」であるデータを選択し、このデータの利用者端末識別「B3M」が示す利用者端末B3Mを選択する。
この場合、SSL−VPN管理装置C3は、C−B3M間セッションにより、A−B3M間接続要求を利用者端末B3Mへ送信する。このA−B3M間接続要求には、データの種類を示す「接続情報要求」、要求元「A3」、要求先「B3M」、要求コンテンツ「CB」が含まれる。その後ステップS203に進む。
【0117】
図28は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図27の動作が完了したときに利用者端末情報記憶部c35が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、接続状況情報、及びコンテンツ識別の各項目の列を有している。
例えば、図28中の利用者端末の値が「B3M」の行の利用者端末情報は、利用者端末B3MのIPアドレスが「BBM」、負荷情報が「15%」、利用者端末B3Mが記憶するコンテンツデータのコンテンツ識別が「CB」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、このデータの接続状況情報は、利用者端末B3Mが、利用者端末「A3」と接続をしていることを示す。
【0118】
図29は、本実施形態に係る通信システム3の動作の別の一例を示すフロー図である。この図は、通信システム3が図27の動作が完了した後、A−B間セッションを切断するまでの動作を示す。
本実施形態に係る通信システム3の動作(図27)と第1の実施形態に係る通信システム1の動作(図10)とを比較すると、全てのステップでの動作が、第1の実施形態と同じ動作であるので、これらの説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0119】
図30は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図29の動作が完了したときに利用者端末情報記憶部c35が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、接続状況情報及びコンテンツ識別の各項目の列を有している。
例えば、図30中の利用者端末の値が「B3M」の行の利用者端末情報は、利用者端末B3MのIPアドレスが「BBM」、負荷情報が「5%」、利用者端末B3Mがが記憶するコンテンツデータのコンテンツ識別が「CB」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、このデータの接続状況情報は、利用者端末B3Mが接続している他の利用者端末が「なし」であることを示す。
【0120】
このように、本実施形態によれば、SSL−VPN管理装置C3が受信したコンテンツ識別を含む利用者端末情報を読み出し、読み出した利用者端末情報のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である利用者端末識別を選択し、選択した利用者端末識別が示す利用者端末との間のセッション要求を生成して送信する。これにより、利用者端末A3は、最も低い負荷状態の利用者端末B3Mからコンテンツを受信することができ、利用者端末B31〜B3Nの負荷を分散して利用者端末B31〜B3Nの処理負荷を軽減することができる。
【0121】
<変形例>
以下、上記実施形態の変形例について説明をする。
変形例1では、第3の実施形態におけるコンテンツ装置群が複数あり、相互にSSLセッションを用いた通信を行う場合の例について説明をする。
図31は、この発明の変形例1に係る通信システム4の概念図である。
通信システム4は、利用者端末A4s(s=1、2、・・・、S)、B3n(n=1、2、・・・、N)、及びSSL−VPN管理装置C3を具備する。また、利用者端末B31〜Nは、ある同じコンテンツデータCBを記憶し、利用者端末A41〜A4Sは、別の同じコンテンツデータCAを記憶する。なお、利用者端末A41〜A4Sをまとめてコンテンツ装置群A4といい、利用者端末B31〜B3Nをまとめてコンテンツ装置群B3という。
利用者端末A4s及び利用者端末B3nの構成は、第3の実施形態の利用者端末B3nと同じである。また、SSL−VPN管理装置C3の構成は、第3の実施形態のSSL−VPN管理装置C3と同じである。
【0122】
図31は、利用者端末A4sのいずれかがSSLセッションを用いてコンテンツデータCBをダウンロードする場合、又は、利用者端末B3nのいずれかがSSLセッションを用いてコンテンツデータCAをダウンロードする場合の概略図である。
【0123】
本変形例では、SSL−VPN管理装置C3は、利用者端末A4sのいずれかからのコンテンツCBの要求に対して、コンテンツ装置群B3のうち利用者端末B31〜B3Nのいずれかの利用者端末を選択する。また、SSL−VPN管理装置C3は、利用者端末B3nのいずれかからのコンテンツCAの要求に対して、コンテンツ装置群A4のうち利用者端末A41〜A4Sのいずれかの利用者端末を選択する。
図31は、利用者端末A42からのコンテンツCBの要求に対して、SSL−VPN管理装置C3が利用者端末B31を選択した場合を示す。また、この図は、利用者端末B3NからのコンテンツCAの要求に対して、SSL−VPN管理装置C3が利用者端末A4Sを選択した場合を示す。つまり、この図における鎖線は、利用者端末A42とSSL−VPN管理装置C3が選択した利用者端末B31とを結び、また、利用者端末B3NとSSL−VPN管理装置C3が選択した利用者端末A4Sとを結んでいる。
【0124】
図31において、点線及び鎖線はトンネルを示す。トンネルAsC、BnC、AsBnは、それぞれ、利用者端末A4sとSSL−VPN管理装置C3との間の通信、利用者端末B3nとSSL−VPN管理装置C3との間の通信、利用者端末A4sと利用者端末B3nとの間の通信に用いられる。の図において、点線で示すトンネルAC、BnCでは、通信状態を示す通信状態データの送受信が行われる。また、鎖線で示すトンネルAsBnでは、通信データの送受信が行われる。
【0125】
変形例2では、変形例1におけるネットワークM1に第2の実施形態に係るFireWall装置D2が接続されている場合の例について説明をする。
図32は、この発明の変形例2に係る通信システム5の概念図である。通信システム5は、利用者端末A5s(s=1、2、・・・、S)、B5n(n=1、2、・・・、N)、及びSSL−VPN管理装置C5を具備する。変形例1に係る通信システム5(図32)と変形例2に係る通信システム4(図31)とを比較すると、FireWall装置D2の有無が異なる。
また、利用者端末B51〜B5Nは、ある同じコンテンツデータCBを記憶し、利用者端末A51〜A5Sは、別の同じコンテンツデータCAを記憶する。なお、利用者端末A51〜A5Sをまとめてコンテンツ装置群A5といい、利用者端末B51〜B5Nをまとめてコンテンツ装置群B5という。
以下、利用者端末A5sを利用者端末A5として、利用者端末A5及びSSL−VPN管理装置C5の構成について説明をする。なお、利用者端末B5nの構成は、利用者端末A5sの構成と同じであるので、説明は省略する。
【0126】
図33は、本実施形態に係る利用者端末A5の構成を示す概略ブロック図である。本実施形態に係る利用者端末A5(図33)は、第2の実施形態に係る利用者端末A2(図13)の構成のうち、通信状態データ生成部a151を、第3の実施形態に係る利用者端末A3の通信状態データ生成部a351に変更した構成である。利用者端末A5が持つ構成の説明は、上記各実施形態において説明をしたので、省略する。
【0127】
図34は、本実施形態に係るSSL−VPN管理装置C5の構成を示す概略ブロック図である。本実施形態に係るSSL−VPN管理装置C5(図33)は、第2の実施形態に係るSSL−VPN管理装置C2(図13)に、第3の実施形態に係るSSL−VPN管理装置C3の利用者端末選択部c324を加えた構成である。
以下、接続管理情報生成部c521及び利用者端末情報記憶部c55について説明をする。
接続管理情報生成部c521は、コールバック管理部c223からの制御に従い、利用者端末A5s又はB5nへのコールバック要求通知を生成する。また、接続管理情報生成部c521は、コールバック利用者端末選択部c324からの制御に従い、A5s−B5n間接続要求を生成する。
利用者端末情報記憶部c55は、利用者端末情報(図35)を記憶する。
【0128】
図35は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。
図示するように、利用者端末情報記憶部c55が記憶する利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、外部からの通信可否、負荷情報、接続状況情報、及び接続状況情報の各項目の列を有している。
例えば、図26中の利用者端末の値が「A52」の行の利用者端末情報は、利用者端末A52のIPアドレスが「AA2」、外部からの通信可否が「不可」、負荷情報が「10%」、接続している他の利用者端末が「B52」であることを示し、利用者端末A52が記憶するコンテンツデータのコンテンツ識別が「CA」であることを示す。また、例えば、図26中の利用者端末の値が「B5N」の行の利用者端末情報は、利用者端末B5NのIPアドレスが「BBN」、外部からの通信可否が「可」、負荷情報が「10%」、接続している他の利用者端末が「A5S」であることを示し、利用者端末B5Nがコンテンツ「CB」を記憶することを示す。
【0129】
上記実施形態において、利用者端末及びSSL−VPN管理装置が接続するネットワークが、2つ(ネットワークM1、M2)の場合について説明したが、本発明はこれに限られない。例えば、図35に示す変形例2に係るの各装置は、図36(変形例3)のように1つのネットワークM1に接続されてもよいし、図37(変形例4)のように3つのネットワークM1、M2、M3に接続されてもよい。
【0130】
なお、上述した実施形態における利用者端末A1〜A3、A41〜A4S、A51〜A5S、B1、B2、B31〜B3N、B51〜B5N、又は、SSL−VPN管理装置C1〜C3、C5の一部、例えば、接続管理情報生成部a121、a221、接続管理情報受信部a122、コールバック制御部a223、通信状態データ生成部a151,a351、通信データ生成部a152、接続管理情報生成部c121,c221,c321,c521、接続管理情報受信部c122、コールバック管理部c223、利用者端末選択部c324をコンピュータで実現するようにしても良い。その場合、この制御機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現しても良い。なお、ここでいう「コンピュータシステム」とは、利用者端末A1〜A3、A41〜A4S、A51〜A5S、B1、B2、B31〜B3N、B51〜B5N、又は、SSL−VPN管理装置C1〜C3、C5に内蔵されたコンピュータシステムであって、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでも良い。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【0131】
以上、図面を参照してこの発明の一実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
【符号の説明】
【0132】
1〜5・・・通信システム、A1〜A3,A41〜A4S,A51〜A5S,B1,B2,B31〜B3N,B51〜B5N・・・利用者端末(通信装置)、B3,B5,A4,A5・・・コンテンツ装置群、C1〜C3、C5・・・SSL−VPN管理装置(ネットワーク管理装置)、D2・・・FireWall装置、a11・・・入力部、a12・・・接続制御部、a13・・・通信部(接続通知送信部、コールバック要求通知送信部)、a14・・・接続情報記憶部、a15,a35・・・データ生成部、a16・・・通信データ受信部、a17・・・出力部、a121,a221・・・接続管理情報生成部、a122、a222・・・接続管理情報受信部、a223・・・コールバック制御部、a141・・・管理装置接続情報記憶部、a142・・・利用者端末接続情報記憶部、a151,a351・・・通信状態データ生成部、a152・・・通信データ生成部、a153・・・情報データ記憶部、c11・・・通信部、c12,c22,c32・・・接続管理部、c13・・・接続情報記憶部、c14・・・通信状態データ受信部、c15,c25,c35,c55・・・利用者端末情報記憶部、c121,c221,c321,c521・・・接続管理情報生成部、c122・・・接続管理情報受信部、c223・・・コールバック管理部、c324・・・利用者端末選択部(通信装置選択部)
【技術分野】
【0001】
本発明は、ネットワーク管理装置、通信システム、通信装置、ネットワーク管理プログラム、及び通信プログラムに関する。
【背景技術】
【0002】
近年、インターネットなどの情報ネットワークでの通信において、第三者による進入・盗聴・改竄等を防止するためのセキュリティ技術が知られている。例えば、セキュリティ技術として、VPN(Virtual Private Network;仮想プライベートネットワーク)を利用した通信が知られている。
VPNは、多数の加入者で帯域共用する通信網を利用してLAN間などを接続する技術である。インターネットを介した複数の拠点間でのVPNにおいて、ある拠点の通信装置は、データを暗号化してカプセル化する。カプセル化された暗号化データは、仮想的な通信経路であるトンネルを介して他の拠点の通信装置に送信される(トンネリング)。これにより、通信装置は、通信データの盗聴・改竄を抑えながら通信を行うことができる。このVPNでの暗号化には、IPsec(IP security protocol)やPPTP(Point−to−Point Tunneling Protocol)、SSL等が利用される。例えば、SSL(Secure Sockets Layer:セキュアソケットレイヤ)を利用したVPNをSSL−VPNという。
【0003】
図38は、従来技術に係るSSL−VPNを用いた通信システムの概念図である。この図において、通信システムは、利用者端末X1、Y1、及びSSL−VPN管理装置Z1を具備する。
この図の利用者端末X1、Y1、及びSSL−VPN管理装置Z1にはSSL−VPNソフトウェアがインストールされている。利用者端末X1、Y1、及びSSL−VPN管理装置Z1は、インストールされたSSL−VPNソフトウェアの機能により、送信するデータを暗号化してカプセル化する。カプセル化された暗号化データは、仮想的な通信経路であるトンネルを介して他の通信装置に送信される。トンネルを介してデータを受信した通信装置は、受信した通信データを復号化してデータを抽出する。
【0004】
図38において、鎖線はトンネルを示し、トンネルXZは利用者端末X1とSSL−VPN管理装置Z1と間の通信に用いられ、トンネルYZは利用者端末Y1とSSL−VPN管理装置Z1と間の通信に用いられることを示す。
利用者端末X1、Y1各々は、SSL−VPN管理装置Z1との通信開始時に、暗号化(復号化)及びカプセル化に必要な接続情報を送受信する。利用者端末X1、Y1、及びSSL−VPN管理装置Z1は、受信した接続情報に基づいてデータを暗号化、カプセル化、復号化することにより、トンネルXZ、YZを介して通信を行う。
【0005】
この図は、利用者端末X1と利用者端末Y1とが、トンネルXZ、YZを介して、つまり、SSL−VPN管理装置Z1を介して通信をすることを示す。以下、図38を用いて、利用者端末X1から利用者端末Y1へデータを送信する場合について説明をする。
利用者端末X1は、利用者端末Y1へのデータを暗号化してカプセル化し、SSL−VPN管理装置Z1宛の通信データを生成する。利用者端末X1は、生成したSSL−VPN管理装置Z1宛の通信データを、トンネルXZを介してトンネリングしてSSL−VPN管理装置Z1へ送信する。
SSL−VPN管理装置Z1は、受信した通信データを復号化し、利用者端末Y1へのデータを抽出する。SSL−VPN管理装置Z1は、復号した利用者端末Y1へのデータを暗号化してカプセル化し、利用者端末Y1宛の通信データを生成する。SSL−VPN管理装置Z1は、トンネルYZを介して、生成した利用者端末Y1宛の通信データをトンネリングして利用者端末Y1へ送信する。利用者端末Y1は、受信した通信データを復号化して自装置へのデータを抽出する。
このようなSSL−VPN管理装置Z1として、例えば、非特許文献1記載の装置が知られている。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】“FirePass−仕様”(「FirePass」は登録商標)、F5 Networks Japan K.K.、平成21年3月3日検索、http://www.f5networks.co.jp/product/firepass/spec.html
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところで、近年、インターネットなどの情報ネットワークの普及により、通信量が急激に増加している。このような情報ネットワークにおいて、図38に示したようなVPNを用いた場合、増加した通信データを中継する管理装置における処理負荷が増大するという欠点があった。
【0008】
本発明は上記の点に鑑みてなされたものであり、その目的は、仮想プライベートネットワークにおける装置の処理負荷を軽減することができるネットワーク管理装置、通信システム、通信装置、ネットワーク管理プログラム、及び通信プログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明は上記の課題を解決するためになされたものであり、本発明は、通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置において、前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する接続管理情報生成部と、前記接続管理情報生成部が生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信部と、を備えることを特徴とするネットワーク管理装置である。
【0010】
また、本発明は、上記のネットワーク管理装置において、前記仮想プライベートネットワークは、前記仮想プライベートネットワークでの通信先を示す第1の通信アドレスを含む通信データに、第2のネットワークでの通信先を示す第2の通信アドレスを含む情報を付加した通信データを、第2のネットワークで送受信するネットワークであり、前記接続管理情報生成部は、前記通信装置から前記他の通信装置への接続要求であって前記他の通信装置の第1の通信アドレスを含む接続要求に対し、前記他の通信装置の第2の通信アドレスを含む通信装置間接続通知を生成することを特徴とする。
【0011】
また、本発明は、上記のネットワーク管理装置において、前記接続通知送信部が送信した通信装置間接続通知に従って前記通信装置が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を、前記通信装置から受信して通信装置情報記憶部に記憶させる通信状態データ受信部と、を備えることを特徴とする。
【0012】
また、本発明は、上記のネットワーク管理装置において、前記通信状態情報は、通信装置間仮想プライベートネットワークを介した通信を行う通信装置を識別する通信装置識別情報、通信装置間仮想プライベートネットワークを介した通信の開始或いは切断を示す接続状態情報、又は、通信装置或いは通信装置間仮想プライベートネットワークを介した通信の負荷状態を示す負荷情報、であることを特徴とする。
【0013】
また、本発明は、上記のネットワーク管理装置において、前記通信装置は、通信装置間接続通知を受信した場合、前記通信装置間仮想プライベートネットワークの生成を要求する接続要求を他の通信装置に送信する通信装置であり、前記複数の通信装置には、第1の前記通信装置と、前記接続要求を前記第1の通信装置へ送信することができるがFireWall装置により前記第1の通信装置から受信することができない第2の前記通信装置と、が含まれ、前記第2の通信装置に対する前記接続要求を前記第1の通信装置から受信した場合、前記第2の通信装置が前記接続要求を生成して前記第1の通信装置へ送信することを、前記第2の通信装置に対して命令するコールバック要求通知を生成するコールバック管理部を備え、コールバック管理部が生成したコールバック要求通知を前記第2の通信装置に対して送信するコールバック要求通知送信部と、を備えることを特徴とする。
【0014】
また、本発明は、上記のネットワーク管理装置において、前記複数の通信装置には、同一の情報データを記憶する通信装置が複数含まれ、前記通信装置を識別する通信装置識別情報と、前記通信装置が記憶する情報データを識別する情報データ識別情報と、前記通信装置から受信した前記通信装置或いは通信の負荷状態を示す負荷情報と、を対応付けた通信装置負荷情報を記憶する通信装置情報記憶部と、前記通信装置から、該通信装置が受信を要求する情報データの情報データ識別情報を受信する接続管理情報受信部と、前記通信装置情報記憶部から、前記通接続管理情報受信部が受信した情報データ識別情報を含む通信装置負荷情報を読み出し、読み出した通信装置負荷情報の通信装置識別情報のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である通信装置識別情報を選択する通信装置選択部と、を備え、接続管理情報生成部は、前記通信部が受信した情報データ識別情報を送信した通信装置と、前記通信装置選択部が選択した通信装置識別情報が示す通信装置と、の間の前記通信装置間接続通知を生成することを特徴とする。
【0015】
また、本発明は、複数の通信装置と、通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置と、を具備する通信システムおいて、前記ネットワーク管理装置は、前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する第1の接続管理情報生成部と、前記第1の接続管理情報生成部が生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信部と、前記接続通知送信部が送信した通信装置間接続通知に従って前記通信装置が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を、前記通信装置から受信して通信装置情報記憶部に記憶させる通信状態データ受信部と、を備え、前記通信装置は、前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、前記通信装置間仮想プライベートネットワークの生成を要求する通信装置間接続要求を生成し、生成した通信装置間接続要求を前記他の通信装置へ送信する第2の接続管理情報生成部と、前記第2の接続管理情報生成部が送信した通信装置間接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信部と、前記通信部が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置へ送信する通信状態データ生成部と、を備えることを特徴とする通信システムである。
【0016】
また、本発明は、ネットワーク管理装置との間に生成した仮想プライベートネットワークを介して、前記ネットワーク管理装置と通信を行う通信装置において、前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、通信装置間仮想プライベートネットワークの生成を要求する接続要求を生成し、生成した接続要求を前記他の通信装置へ送信する接続管理情報生成部と、前記接続管理情報生成部が送信した接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信部と、前記通信部が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置に送信する通信状態データ生成部と、を備えることを特徴とする通信装置である。
【0017】
また、本発明は、通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置のコンピュータを、前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する接続管理情報生成手段、前記接続管理情報生成手段にて生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信手段、として機能させるネットワーク管理プログラムである。
【0018】
また、本発明は、ネットワーク管理装置との間に生成した仮想プライベートネットワークを介して、前記ネットワーク管理装置と通信を行う通信装置のコンピュータを、前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、通信装置間仮想プライベートネットワークの生成を要求する接続要求を生成し、生成した接続要求を前記他の通信装置へ送信する接続管理情報生成手段、前記接続管理情報生成手段にて送信した接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信手段、前記通信手段にて生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置に送信する通信状態データ生成手段、として機能させる通信プログラムである。
【発明の効果】
【0019】
本発明によれば、ネットワーク管理装置が通信装置間接続通知を生成して送信するので、通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して通信装置が他の通信装置との通信を行うことができる。これにより、ネットワーク管理装置は、自装置と通信装置各々との間に生成した仮想プライベートネットワークを介して通信装置間の通信データを中継することを抑制することができ、通信装置間の通信データを中継する場合と比較して自装置の処理負荷を軽減することができる。
また、本発明によれば、ネットワーク管理装置が前記通信装置から受信した通信状態情報を記憶するので、通信装置間仮想プライベートネットワークでの通信状態を管理することができる。
また、本発明によれば、ネットワーク管理装置が前記接続要求を前記第1の通信装置から受信した場合、前記コールバック要求通知を生成して前記第2の通信装置に対して送信する。これにより、前記第1の通信装置から前記第1の通信装置への接続要求に通信制限がある場合であっても、前記第1の通信装置が第2の前記通信装置からコールバック要求通知に基づく接続要求を受信し、第2の前記通信装置との間の通信装置間仮想プライベートネットワークを生成することができる。
また、本発明によれば、ネットワーク管理装置が受信した情報データ識別情報を含む通信装置負荷情報を読み出し、読み出した通信装置負荷情報の通信装置識別情報のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である通信装置識別情報を選択し、選択した通信装置識別情報が示す通信装置との間の前記通信装置間接続通知を生成して送信する。これにより、通信装置は、最も低い負荷状態の通信装置から情報データを受信することができ、通信装置の負荷を分散して通信装置の処理負荷を軽減することができる。
【図面の簡単な説明】
【0020】
【図1】この発明の第1の実施形態に係る通信システムの概念図である。
【図2】本実施形態に係る利用者端末の構成を示す概略ブロック図である。
【図3】本実施形態に係る管理装置接続情報テーブルの一例を示す概略図である。
【図4】本実施形態に係る利用者端末接続情報テーブルの一例を示す概略図である。
【図5】本実施形態に係るSSL−VPN管理装置の構成を示す概略ブロック図である。
【図6】本実施形態に係る通信システムの動作の一例を示すフロー図である。
【図7】本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。
【図8】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図9】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図10】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図11】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図12】この発明の第2の実施形態に係る通信システムの概念図である。
【図13】本実施形態に係る利用者端末の構成を示す概略ブロック図である。
【図14】本実施形態に係るSSL−VPN管理装置の構成を示す概略ブロック図である。
【図15】本実施形態に係る通信システムの動作の一例を示すフロー図である。
【図16】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図17】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図18】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図19】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図20】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図21】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図22】この発明の第3の実施形態に係る通信システムの概念図である。
【図23】本実施形態に係る利用者端末の構成を示す概略ブロック図である。
【図24】本実施形態に係るSSL−VPN管理装置の構成を示す概略ブロック図である。
【図25】本実施形態に係る通信システムの動作の一例を示すフロー図である。
【図26】本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。
【図27】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図28】本実施形態に係る利用者端末情報テーブルの別の一例を示す概略図である。
【図29】本実施形態に係る通信システムの別の動作の一例を示すフロー図である。
【図30】本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。
【図31】本実施形態の変形例1に係る通信システムの概念図である。
【図32】本実施形態の変形例2に係る通信システムの概念図である。
【図33】本実施形態の変形例2に係る利用者端末の構成を示す概略ブロック図である。
【図34】本実施形態の変形例2に係るSSL−VPN管理装置の構成を示す概略ブロック図である。
【図35】本実施形態の変形例2に係る利用者端末情報テーブルの一例を示す概略図である。
【図36】本実施形態の変形例3に係る利用者端末情報テーブルの一例を示す概略図である。
【図37】本実施形態の変形例4に係る利用者端末情報テーブルの一例を示す概略図である。
【図38】従来技術に係るSSL−VPNを用いた通信システムの概念図である。
【発明を実施するための形態】
【0021】
(第1の実施形態)
<通信システム1について>
以下、図面を参照しながら本発明の実施形態について詳しく説明する。図1は、この発明の第1の実施形態に係る通信システム1の概念図である。
通信システム1は、利用者端末A1、B1(通信装置)、及びSSL−VPN管理装置C1(ネットワーク管理装置)を具備する。利用者端末A1は、ネットワークM1及びネットワークM2を介してSSL−VPN管理装置C1と通信を行う。また、利用者端末B1は、ネットワークM2を介してSSL−VPN管理装置C1と通信を行う。これらの通信は、SSLを利用したVPN(以下、SSL−VPNという)を用いて行われる。
【0022】
また、図1は、利用者端末A1のIPアドレス(第2の通信アドレス)が「AA」であり、ポート番号「aaa」のTCP(Transmission Control Protocol)ポート及び「443」のTCPポートが利用可能であることを示す。なお、ポート番号「443」は、SSLを利用した通信(以下、SSL通信という)に用いられるポートである。また、この図は、利用者端末B1のIPアドレスが「BB」であり、ポート番号「bbb」及び「443」のTCPポートが利用可能であることを示す。また、この図は、SSL−VPN管理装置C1のIPアドレスが「CC」であり、ポート番号「ccc」及び「443」のTCPポートが利用可能であることを示す。なお、VPNでの利用者端末A1、B1、SSL−VPN管理装置C1の識別情報(第1の通信アドレス;例えば、VPNでのIPアドレス)は、それぞれ、識別情報「A1」、「B1」、「C1」である。
【0023】
利用者端末A1、B1、及びSSL−VPN管理装置C1にはSSL−VPNソフトウェアがインストールされている。利用者端末A1、B1、及びSSL−VPN管理装置C1は、インストールされたSSL−VPNソフトウェアの機能により、VPNでの通信データを暗号化してカプセル化する。カプセル化された暗号化データは、仮想的な通信経路であるトンネルを介して他の通信装置に送信される。トンネルを介してデータを受信した通信装置は、受信した通信データを復号化し、VPNでの通信データを抽出する。このように、利用者端末A1、B1、及びSSL−VPN管理装置C1は、トンネルを介した通信によって、VPNを実現する。
【0024】
図1において、点線及び鎖線はトンネルを示す。トンネルAC、BCは、それぞれ、利用者端末A1とSSL−VPN管理装置C1との間の通信、利用者端末B1とSSL−VPN管理装置C1との間の通信に用いられる。また、トンネルAB(通信装置間仮想プライベートネットワーク)は、利用者端末A1と利用者端末B1との間の通信に用いられる。この図において、点線で示すトンネルAC、BCでは、通信状態(後述する負荷、接続状況)を示す通信状態データの送受信が行われる。また、鎖線で示すトンネルABでは、通信データの送受信が行われる。
このように、本実施形態では、利用者端末A1は、他の利用者端末B1への通信データを、トンネルABを介して直接利用者端末B1へ送信する。また、利用者端末A1は、時自装置の通信状態データを、トンネルACを介してSSL−VPN管理装置C1へ送信する。なお、利用者端末B1についても利用者端末A1と同様である。
以下、利用者端末A1、及びSSL−VPN管理装置C1の構成について説明をする。なお、利用者端末B1の構成は、利用者端末A1の構成と同じであるので、説明は省略する。
【0025】
<利用者端末A1の構成について>
図2は、本実施形態に係る利用者端末A1の構成を示す概略ブロック図である。この図において、利用者端末A1は、入力部a11、接続制御部a12、通信部a13、接続情報記憶部a14、データ生成部a15、通信データ受信部a16、及び出力部a17を含んで構成される。また、接続制御部a12は、接続管理情報生成部a121及び接続管理情報受信部a122を含んで構成される。接続情報記憶部a14は、管理装置接続情報記憶部a141及び利用者端末接続情報記憶部a142を含んで構成される。データ生成部a15は、通信状態データ生成部a151、通信データ生成部a152、及び情報データ記憶部a153を含んで構成される。
【0026】
入力部a11は、キーボードやマウス等の入力デバイスから、指示情報の入力を受け付ける。例えば、利用者端末A1の入力部a11では、利用者端末B1が記憶する情報データをダウンロードする指示を示す指示情報の入力を受け付ける。入力部a11は、受け付けた指示情報を接続管理情報生成部a121に出力する。
【0027】
接続管理情報生成部a121は、SSL−VPNを用いた通信を要求する接続要求を、他の装置に対して送信する。例えば、接続管理情報生成部a121は、自装置がネットワークM1に接続されたとき、自装置と図1のSSL−VPN管理装置C1との間(以下、A−C間という)の接続要求を生成する。また、例えば、接続管理情報生成部a121は、入力部a11から利用者端末B1が記憶する情報データをダウンロードする指示を示す指示情報が入力されたとき、自装置と利用者端末B1との間(以下、A−B間という)の接続要求を生成する。接続管理情報生成部a121は、生成した接続要求を、通信部a13を介してSSL−VPN管理装置C1へ送信する。
【0028】
また、接続管理情報生成部a121は、SSL−VPN管理装置C1から受信した他の装置(SSL−VPN管理装置C1又は利用者端末B1)から接続要求に対して、接続可否を示す情報を含む接続応答、及び予め記憶する自装置への接続情報(接続先IPアドレス、接続先TCPポート番号、接続鍵)を含む接続情報通知を生成する。なお、接続管理情報生成部a121が生成する通知等の詳細は、通信システム1の動作において後述する。
接続管理情報生成部a121は、生成した接続応答及び接続情報通知を、通信部a13を介してSSL−VPN管理装置C1へ送信する。
【0029】
接続管理情報受信部a122は、他の装置への接続情報を、SSL−VPN管理装置C1から通信部a13を介して受信する。例えば、接続管理情報受信部a122は、SSL−VPN管理装置C1への接続情報(管理装置接続情報;図3)を受信し、管理装置接続情報記憶部a141に記憶させる。また、例えば、接続管理情報受信部a122は、利用者端末B1への接続情報(利用者端末接続情報;図4)を受信し、利用者端末接続情報記憶部a142に記憶させる。なお、これらの接続情報には、接続先の他の装置(接続先装置という)のIPアドレス、ポート番号、及び接続先装置とのSSL通信に用いる接続先装置の接続鍵の情報が含まれる。
【0030】
通信部a13は、接続情報記憶部a14が記憶する接続情報に基づき、送信するデータをトンネリングさせて接続先装置に送信する。具体的に、まず、通信部a13は、送信するデータに対してVPNでの通信データ(例えば、VPNでのIPアドレスを含むIPヘッダを付加する)を生成する。通信部a13は、接続情報記憶部a14が記憶する接続先装置の接続鍵を読み出し、読み出した接続鍵を用いてVPNでの通信データを暗号化する。通信部a13は、暗号化したデータに接続先IPアドレスを含むIPヘッダ等を追加する(カプセル化)。通信部a13は、カプセル化した暗号化データをトンネリングさせて接続先装置へ送信する。
【0031】
以下、このトンネリングにより行う一連のSSL通信をSSLセッションという。また、利用者端末A1とSSL−VPN管理装置C1との間のSSLセッションをA−C間セッション(利用者端末B1とSSL−VPN管理装置C1との間のSSLセッションをB−C間セッション)、利用者端末A1と利用者端末B1との間のSSLセッションをA−B間セッションという。このA−C間セッション、B−C間セッション、A−B間セッションは、それぞれ、図1中のトンネルAC、BC、BCを介して行われる。なお、このSSLセッションは、接続要求を契機に確立される。
【0032】
また、通信部a13は、A−B間セッションにより利用者端末装置B1からトンネリングにより受信した通信データを、復号化する。なお、この復号化には、利用者端末装置B1に予め送信した自装置の接続鍵が用いられる。
【0033】
通信状態データ生成部a151は、自装置が他の利用者端末装置B1と接続を開始(後述するSSLセッションを確立)したことを示すA−B間接続開始通知、他の利用者端末装置B1と接続を切断(後述するSSLセッションを切断)したことを示すA−B間接続切断通知を生成する。
また、通信状態データ生成部a151は、自装置の負荷情報を検出する。ここで、負荷情報は、自装置のCPU(中央演算装置)の使用率である。なお、この負荷情報は、自装置のメモリの使用率、通信速度、通信帯域の利用率であってもよい。
通信状態データ生成部a151は、生成したA−B間接続開始通知、A−B間接続切断通知、及び検出した負荷情報を、通信状態データとして、通信部a13を介してSSL−VPN管理装置C1に送信する。この通信状態データは、A−C間セッションにより送信される。
【0034】
通信データ生成部a152は、入力部a11等からの指示情報に基づき、他の利用者端末B1に情報データを要求する情報データ要求を生成する。例えば、通信データ生成部a152は、入力部a11から利用者端末B1が記憶する情報データをダウンロードする指示を示す指示情報が入力されたとき、利用者端末B1への情報データ要求を生成する。
【0035】
また、通信データ生成部a152は、他の利用者端末B1からの情報データ要求であって、後述する通信データ受信部a16から入力された情報データ要求に応じて、情報データ記憶部a153が記憶する情報データを読み出す。
通信データ生成部a152は、生成した情報データ要求、又は読み出した情報データを、通信データとして、通信部a13を介して利用者端末B1に送信する。この通信データは、A−B間セッションにより直接、利用者端末B1に送信される。
【0036】
通信データ受信部a16は、通信部a13から入力された通信データのうち、情報データ要求を通信データ生成部a152に出力し、情報データを出力部a17に出力する。
出力部a17は、ディスプレイ等の表示デバイスであり、通信データ受信部a16から出力された情報データに基づき、画像等を表示する。
【0037】
<管理装置接続情報、利用者端末接続情報>
以下、管理装置接続情報記憶部a141が記憶する管理装置接続情報、及び利用者端末接続情報記憶部a142が記憶する利用者端末接続情報について説明をする。
図3は、本実施形態に係る管理装置接続情報テーブルの一例を示す概略図である。図示するように管理装置接続情報テーブルは、接続先の管理装置の識別情報である接続先管理装置識別、接続先IPアドレス、接続先TCPポート番号、及び接続鍵の各項目の列を有している。
例えば、図3の管理装置接続情報は、利用者端末装置A1が接続先管理装置識別「C1」が示すSSL−VPN管理装置C1に接続するときに、接続先IPアドレス「CC」、接続先TCPポート番号「443」に接続することを示す。また、図3の管理装置接続情報は、利用者端末A1がデータをSSL−VPN管理装置「C1」へ送信するときは、ファイル「/sslkey/C1」の接続鍵、つまり、SSL−VPN管理装置C1の接続鍵を用いて暗号化を行うことを示す。
【0038】
図4は、本実施形態に係る利用者端末接続情報テーブルの一例を示す概略図である。図示するように利用者端末接続情報テーブルは、接続先の利用者端末の識別情報である接続先利用者端末識別、接続先IPアドレス、接続先TCPポート番号、及び接続鍵の各項目の列を有している。利用者端末接続情報テーブルは、接続先利用者端末識別毎に利用者端末接続情報が格納される行と列からなる2次元の表形式のデータである。
例えば、図4の1行目の利用者端末接続情報は、利用者端末A1が接続先利用者端末識別「B1」が示す利用者端末B1に接続するときに、接続先IPアドレス「BB」、接続先TCPポート番号「443」に接続することを示す。また、図4の利用者端末接続情報は、利用者端末A1がデータを利用者端末「B1」へ送信するときは、ファイル「/sslkey/B1」の接続鍵、つまり、利用者端末B1の接続鍵を用いて暗号化を行うことを示す。
なお、この利用者端末接続情報テーブルには、接続先の利用者端末が複数ある場合には、複数の利用者端末接続情報が記憶される。
【0039】
<SSL−VPN管理装置C1の構成について>
図5は、本実施形態に係るSSL−VPN管理装置C1の構成を示す概略ブロック図である。この図において、SSL−VPN管理装置C1は、通信部c11、接続管理部c12、接続情報記憶部c13、通信状態データ受信部c14、及び利用者端末情報記憶部c15を含んで構成される。接続管理部c12は、接続管理情報生成部c121、及び接続管理情報受信部c122を含んで構成される。
【0040】
通信部c11は、利用者端末A1、B1と通信を行う。例えば、通信部c11は、A−C間セッションを確立した場合、接続情報記憶部c13が記憶する利用者端末A1への接続情報に基づき、送信するデータをトンネリングさせて接続先装置に送信する。また、この場合、通信部c11は、利用者端末A1への接続情報に含まれる利用者端末A1の接続鍵を用いて利用者端末装置A1からトンネリングにより受信した通信データを、復号化する。
【0041】
接続管理情報生成部c121は、後述する接続管理情報受信部c122から入力されたA−C間又はB−C間接続要求に対して予め記憶する自装置への接続情報(管理装置接続情報;図3)を読み出す。接続管理情報生成部c121は、読み出した管理装置接続情報を含むA−C間又はB−C間接続情報通知を、通信部c11(接続通知送信部)を介して利用者端末A1又はB1へ送信する。
また、接続管理情報生成部c121は、接続管理情報受信部c122から入力された利用者端末A1又はB1からのA−B間接続要求、及びA−B間接続情報通知を、それぞれ、利用者端末B1又はA1へのA−B間接続要求、及びA−B間接続情報通知(通信装置間接続通知)として生成する。また、接続管理情報生成部c121は、接続管理情報受信部c122から入力されたA−B間接続応答に対して、接続情報を要求するA−B間接続情報要求を生成する。なお、接続管理情報生成部c121が生成する要求等の詳細については、通信システム1の動作とあわせて後述する。
接続管理情報生成部c121が生成したA−B間接続要求、A−B間接続情報通知、及びA−B間接続応答は、これらに含まれる情報が示す要求先及び通知先の装置へ送信される。
【0042】
接続管理情報受信部c122は、A−C間又はB−C間接続要求、利用者端末A1或いはB1からのA−B間接続要求、A−B間接続情報通知、及びA−B間接続情報応答を、通信部c11を介して受信する。接続管理情報受信部c122は、受信したこれらの要求等を接続管理情報生成部c121に出力する。また、接続管理情報受信部c122は、利用者端末A1及びB1から、それぞれ、利用者端末A1及びB1への接続情報を受信し、接続情報記憶部c13に記憶させる。
【0043】
通信状態データ受信部c14は、通信部c11がA−C間又はB−C間セッションにより受信した通信状態データ(負荷情報)を、利用者端末情報記憶部c15に記憶させる。
また、通信状態データ受信部c14は、A−B間接続開始通知及びA−B間接続切断通知を受信し、受信した通知に含まれるA−B間セッションを用いた通信を行う利用者端末を識別する利用者端末識別、A−B間セッションを用いた通信の開始或いは切断を示す接続状態情報を利用者端末情報記憶部c15に記憶させる。
利用者端末情報記憶部c15が記憶する利用者端末情報については、後述する。
【0044】
<通信システム1の動作、利用者端末情報について>
以下、通信システム1(利用者端末A1、B1、SSL−VPN管理装置C1)の動作、及び利用者端末情報記憶部c15が記憶する利用者端末情報について説明をする。
図6は、本実施形態に係る通信システム1の動作の一例を示すフロー図である。この図は、通信システム1がA−C間及びB−C間セッションを確立するまでの動作を示す。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。また、ステップS101〜S103の動作、ステップS104〜S106の動作は、それぞれ、利用者端末A1をネットワークM1に接続した際、利用者端末B1をネットワークM2に接続した際に行われる動作である。
【0045】
(ステップS101)利用者端末A1は、A−C間接続要求をSSL−VPN管理装置C1へ送信する。また、利用者端末A1は、SSL−VPN管理装置C1から、SSL−VPN管理装置C1への接続情報を受信する。その後、利用者端末A1とSSL−VPN管理装置C1とは、予め定められた通信手順によって利用者端末A1の接続鍵の送受信等を行う。これにより、利用者端末A1は、IPアドレス「AA」及びTCPポート番号「aaa」から、IPアドレス「CC」及びTCPポート番号「443」(SSL−VPN管理装置C1)へSSLセッション(A−C間セッション)を確立する。つまり、利用者端末A1は、利用者端末A1とSSL−VPN管理装置C1との間に仮想プライベートネットワークを生成する。その後、ステップS102に進む。
【0046】
(ステップS102)利用者端末A1は、確立したA−C間セッションにより、利用者端末A1の通信状態データをSSL−VPN管理装置C1へ通知する。この通信状態データには、データの種類が通信状態データであることを示す「状態通知」、利用者端末識別「A1」、IPアドレス「AA」、負荷情報(例えば、「15%」)が含まれる。すなわち、利用者端末A1は、利用者端末A1の負荷状態を示す負荷情報を生成し、SSL−VPN管理装置C1へ送信する。その後、ステップS103に進む。
なお、利用者端末A1は、A−C間セッションの切断まで、この通信状態データを定期的にSSL−VPN管理装置C1に通知する。
【0047】
(ステップS103)SSL−VPN管理装置C1は、利用者端末A1に接続要求を送信し、IPアドレス「CC」及びTCPポート番号「ccc」から、IPアドレス「AA」及びTCPポート番号「443」(利用者端末A1)へSSLセッションを確立する。その後、ステップS104に進む。
【0048】
(ステップS104)利用者端末B1は、ステップS101と同様にして、IPアドレス「BB」及びTCPポート番号「bbb」から、IPアドレス「CC」及びTCPポート番号「443」(SSL−VPN管理装置C1)へSSLセッション(B−C間セッション)を確立する。つまり、利用者端末B1は、利用者端末B1とSSL−VPN管理装置C1との間に仮想プライベートネットワークを生成する。
その後、ステップS105に進む。
【0049】
(ステップS105)利用者端末B1は、確立したB−C間セッションにより、利用者端末A1の通信状態データを通知する。この通信状態データには、データの種類が通信状態データであることを示す「状態通知」、利用者端末識別「B1」、IPアドレス「BB」、負荷情報(例えば、「10%」)が含まれる。その後、ステップS106に進む。
なお、利用者端末B1は、B−C間セッションの切断まで、この通信状態データを定期的にSSL−VPN管理装置C1に通知する。
【0050】
(ステップS106)SSL−VPN管理装置C1は、IPアドレス「CC」及びTCPポート番号「ccc」から、IPアドレス「BB」及びTCPポート番号「443」(利用者端末B1)へSSLセッションを確立する。
【0051】
図7は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図6の動作が完了したときに利用者端末情報記憶部c15が記憶する利用者端末情報テーブルを示す。図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末を識別する利用者端末識別、IPアドレス、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図7中の1行目の利用者端末情報は、利用者端末識別「A1」のIPアドレスが「AA」であり、負荷情報が「15%」、接続している他の利用者端末が「なし」であることを示す。ここで、利用者端末識別とIPアドレスの情報は、図6中のステップS101又はS104にて書き込まれる。また、負荷情報は、ステップS102又はS105にて書き込まれる。
【0052】
図8は、本実施形態に係る通信システム1の動作の別の一例を示すフロー図である。この図は、通信システム1が図6の動作が完了した後、A−B間セッションを確立して通信を行うまでの動作を示す。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0053】
(ステップS201)利用者端末A1は、A−C間セッションにより、A−B間接続要求をSSL−VPN管理装置C1へ送信する。このA−B間接続要求には、データの種類を示す「接続要求」、接続の要求元を示す要求元「A1」、接続の要求先を示す要求先「B1」が含まれる。その後ステップS202に進む。
(ステップS202)SSL−VPN管理装置C1は、ステップS201のA−B間接続要求と同じデータのA−B間接続要求を生成する。SSL−VPN管理装置C1は、B−C間セッションにより、生成したA−B間接続要求を、接続の要求先である利用者端末B1へ送信する。その後ステップS203に進む。
【0054】
(ステップS203)利用者端末B1は、A−B間の接続可否を判定する。過負荷状態にある等の接続不可とする要因がなく接続可と判定した場合、利用者端末B1は、B−C間セッションにより、接続可を示すA−B間接続応答をSSL−VPN管理装置C1へ送信する。このA−B間接続応答には、データの種類を示す「接続応答」、接続可否が接続可であることを示す「OK」、要求元「A1」、要求先「B1」が含まれる。その後ステップS204に進む。
なお、利用者端末B1は、接続可否が接続否を示す場合は、「OK」に代えて「NG」を送信する。図8は、接続可の場合の図である。
【0055】
(ステップS204)SSL−VPN管理装置C1は、B−C間セッションにより、A−B間接続情報要求を利用者端末B1へ送信する。このA−B間接続情報要求には、データの種類を示す「接続情報要求」、要求元「A1」、要求先「B1」が含まれる。その後ステップS205に進む。
【0056】
(ステップS205)利用者端末B1は、B−C間セッションにより、A−B間接続情報通知をSSL−VPN管理装置C1へ送信する。このA−B間接続情報通知には、データの種類を示す「接続情報通知」、接続情報の通知元を示す通知元「B1」、接続情報の通知先を示す通知先「A1」、接続鍵が含まれる。なお、A−B間接続情報通知の通知先「A1」は、ステップS204のA−B間接続情報要求の要求元「A1」である。その後ステップS206に進む。
【0057】
(ステップS206)SSL−VPN管理装置C1は、A−B間接続情報通知に含まれる情報に、通知元「B1」についての接続先IPアドレス及び接続先TCPポートを示す接続先「BB」及び「443」の情報を付加する。なお、この接続先IPアドレス及び接続先TCPポートは、接続情報記憶部c13が記憶する利用者端末B1への接続情報を読み出した情報である。SSL−VPN管理装置C1は、A−C間セッションにより、情報を付加したA−B間接続情報通知(通信装置間接続通知)を利用者端末A1へ送信する。その後、ステップS207に進む。
なお、このA−B間接続情報通知を受信した利用者端末A1は、利用者端末B1とA−B間セッションを確立し(ステップS207)、A−B間セッションにより利用者端末B1と通信を行う。すなわち、このステップS206のA−B間接続情報通知は、利用者端末A1が他の利用者端末B1との間にSSL−VPN管理装置C1を介さないSSL−VPNを生成し、生成したSSL−VPNを介して他の利用者端末B1との通信を行うことを、利用者端末A1に対して命令する通知である。
【0058】
(ステップS207)利用者端末A1は、利用者端末B1にセッション要求を送信し、予め定められた通信手順によって利用者端末A1の接続鍵の送受信等を行う。すなわち、SSL−VPN管理装置C1から受信したA−B間接続情報通知が示す他の利用者端末B1と自装置との間に、SSL−VPNの生成を要求するA−B間セッション要求(通信装置間接続要求)を生成し、生成したA−B間セッション要求を他の利用者端末B1へ送信する。
これにより、利用者端末A1と利用者端末B1とは、IPアドレス「AA」及びTCPポート番号「aaa」から、A−B間接続情報通知に含まれる接続先IPアドレス「BB」及びTCPポート番号「443」(利用者端末B1)へSSLセッションを確立する。その後、ステップS208に進む。
【0059】
なお、図6中のステップS102で説明したように、利用者端末A1は、通信状態データを定期的にSSL−VPN管理装置C1に通知する。利用者端末A1は、図8中のステップS207にてセッション確立後、確立したA−B間のSSL−VPNを介した通信の負荷状態(通信速度又は通信帯域の利用率)を含む通信状態データをSSL−VPN管理装置C1に送信する。
【0060】
(ステップS208)利用者端末A1は、A−C間セッションにより、A−B間接続開始通知をSSL−VPN管理装置C1に送信する。このA−B間接続開始通知には、A−B間セッションが確立され、A−Bが接続を開始したことを示す「A−B接続開始」が含まれる。すなわち、利用者端末A1は、A−B間のSSL−VPNを介した通信の開始を示す接続状態情報を生成し、SSL−VPN管理装置C1へ送信する。その後、ステップS209に進む。
【0061】
(ステップS209)利用者端末B1は、B−C間セッションにより、A−B間接続開始通知をSSL−VPN管理装置C1に送信する。このA−B間接続開始通知には、「A−B接続開始」が含まれる。その後、ステップS210に進む。
【0062】
(ステップS210)利用者端末A1と利用者端末B1とは、A−B間セッションにより、通信データの送受信を行う。例えば、利用者端末A1は、利用者端末B1へのデータ(情報データ要求又は情報データ)を、受信した利用者端末B1への接続情報に基づき暗号化してカプセル化する。利用者端末A1は、カプセル化した暗号化データを通信データとして、A−B間セッションにより、利用者端末B1へ送信する。すなわち、利用者端末A1は、A−B間接続要求に基づいて他の利用者端末B1との間のSSL−VPNを生成し、生成したSSL−VPNを介して他の利用者端末B1との通信を行う。
【0063】
図9は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図8の動作が完了したときに利用者端末情報記憶部c15が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図9中の1行目の利用者端末情報は、利用者端末「A1」のIPアドレスが「AA」であり、負荷情報が「20%」であることを示す。この負荷情報は、定期的な通信状態データの通知(図6参照;ステップS102)により通知された値である。
また、図9中の1行目の利用者端末情報は、利用者端末「A1」が接続状況「B1」、つまり、利用者端末「B1」と接続をしていることを示す。この接続状況の値は、SSL−VPN管理装置C1が図8中のステップS208又はS209のA−B間接続開始通知を受信したとき、SSL−VPN管理装置C1によって、通知元の利用者端末の利用者端末情報に対して、接続状況の項目に接続先の利用者端末識別が書き込まれたものである。例えば、SSL−VPN管理装置C1は、図8中のステップS208にて利用者端末A1からA−B間接続開始通知を受信した場合、図9において、通知元の利用者端末「A1」の利用者端末情報に対して、接続状況の項目に接続先の利用者端末識別「B1」を書き込む。
【0064】
図10は、本実施形態に係る通信システム1の動作の別の一例を示すフロー図である。この図は、通信システム1が図8の動作が完了した後、A−B間セッションを切断したときの動作を示す。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。また、この図において、ステップS210は、図9のステップS210と同じであるので、説明は省略する。
【0065】
(ステップS301)利用者端末A1又はB1は、A−B間セッションにより、A−B間接続切断要求を接続先の利用者端末B1又はA1へ送信する。これにより、利用者端末A1と利用者端末B1は、IPアドレス「AA」及びTCPポート番号「aaa」と、IPアドレス「BB」及びTCPポート番号「443」と、のSSLセッション(A−B間セッション)を切断する。その後、ステップS302に進む。
【0066】
(ステップS302)利用者端末A1は、A−C間セッションにより、A−B間接続切断通知をSSL−VPN管理装置C1に送信する。このA−B間接続切断通知には、A−B間セッションを切断し、A−Bが接続を終了したことを示す「A−B接続切断」が含まれる。すなわち、利用者端末A1は、A−B間のSSL−VPNを介した通信の切断を示す接続状態情報を生成し、SSL−VPN管理装置C1へ送信する。その後、ステップS303に進む。
(ステップS303)利用者端末B1は、B−C間セッションにより、A−B間接続切断通知をSSL−VPN管理装置C1に送信する。このA−B間接続切断通知には、「A−B接続切断」が含まれる。その後、ステップS303に進む。
【0067】
図11は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図10の動作が完了したときに利用者端末情報記憶部c15が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図11中の1行目の利用者端末情報の1列目から3列目は、利用者端末「A1」のIPアドレスが「AA」であり、負荷情報が「10%」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、図11中の1行目の利用者端末情報の3列目は、利用者端末「A1」が接続している他の利用者端末が「なし」であることを示す。この接続状況情報の値は、SSL−VPN管理装置C1が図10中のステップS302又はS303のA−B間接続切断通知を受信すると、SSL−VPN管理装置C1によって、通知元の利用者端末のデータの接続状況の項目に書き込まれている接続先の利用者端末識別が削除されたものである。例えば、SSL−VPN管理装置C1は、図10中のステップS302にて利用者端末A1からA−B間接続切断通知を受信した場合、図9の利用者端末「A1」のデータに書き込まれた接続状況「B1」を削除する。
【0068】
このように、本実施形態によれば、SSL−VPN管理装置C1がA−B間接続情報通知を生成して送信するので、利用者端末A1が他の利用者端末B1との間にSSL−VPN管理装置C1を介さないA−B間のSSL−VPNを生成し、生成したA−B間のSSL−VPNを介して利用者端末A1が他の利用者端末B1との通信を行うことができる。これにより、SSL−VPN管理装置C1は、A−C間及びB−C間のSSL−VPNを介して利用者端末A1とB1との間の通信データを中継することを抑制することができ、利用者端末A1とB1との間の通信データを中継する場合と比較して自装置の処理負荷を軽減することができる。
また、SSL−VPN管理装置C1が利用者端末A1、B1から受信した通信状態情報を記憶するので、A−B間のSSL−VPNでの通信状態を管理することができる。
【0069】
(第2の実施形態)
以下、図面を参照しながら本発明の実施形態について詳しく説明する。本実施形態では、利用者端末は、FireWall(ファイアウォール)装置が接続されたネットワークに接続される。利用者端末は、FireWall装置の機能により、SSL−VPN管理装置及び他の利用者端末との通信が制限される場合について説明をする。
【0070】
<通信システム2について>
図12は、この発明の第2の実施形態に係る通信システム2の概念図である。
通信システム2は、利用者端末A2、B2、及びSSL−VPN管理装置C2を具備する。本実施形態に係る通信システム2(図12)と、第1の実施形態に係る通信システム1(図1)とを比較すると、FireWall装置D2の有無が異なる。以下、第1の実施形態と異なる構成について説明し、第1の実施形態と同じ構成については説明を省略する。
【0071】
FireWall装置D2は、内部ネットワークM1と外部ネットワークM2との通信を制御する。具体的に、FireWall装置D2は、内部ネットワークM1に接続された利用者端末A2のTCPポート「aaa」と外部ネットワークM2の装置(SSL−VPN管理装置C2、利用者端末B2)のTCPポート「443」との通信は許可するが、他のTCPポートでの通信は許可せず遮断する。また、FireWall装置D2は、利用者端末A2から外部ネットワークM2の装置のTCPポート「443」への接続要求は許可するが、外部ネットワークM2の装置から利用者端末A2への接続要求は許可せず遮断する。すなわち、利用者端末A2は、A−B間セッション要求を利用者端末B1へ送信することができるが、利用者端末B1から受信することができない。
【0072】
本実施形態では、利用者端末B2から利用者端末A2への接続要求があった場合、SSL−VPN管理装置C2は、利用者端末A2に利用者端末B2へコールバックさせることで、利用者端末A2と利用者端末B2との間のSSLセッションを確立させる。
以下、利用者端末A2、及びSSL−VPN管理装置C2の構成について説明をする。なお、利用者端末B2の構成は、利用者端末A2の構成と同じであるので、説明は省略する。また、本実施形態では、利用者端末A2とSSL−VPN管理装置C2との間をA−C間といい、利用者端末B2とSSL−VPN管理装置C2との間をB−C間といい、利用者端末A2と利用者端末B2との間をA−B間という。
【0073】
<利用者端末A2の構成について>
図13は、本実施形態に係る利用者端末A2の構成を示す概略ブロック図である。本実施形態に係る利用者端末A2(図13)と第1の実施形態に係る利用者端末A1(図2)とを比較すると、接続管理情報受信部a222、コールバック制御部a223及び接続管理情報生成部a221が異なる。しかし、他の構成要素(入力部a11、通信部a13、管理装置接続情報記憶部a141、利用者端末接続情報記憶部a142、通信状態データ生成部a151、通信データ生成部a152、情報データ記憶部a153、通信データ受信部a16、及び出力部a17)が持つ機能は第1の実施形態と同じである。第1の実施形態と同じ機能の説明は省略する。
【0074】
接続管理情報受信部a222は、通信部a13からコールバック要求通知が入力されると、接続情報通知が入力されたときと同様に、利用者端末B1への接続情報を利用者端末接続情報記憶部a142に記憶させる。また、接続管理情報受信部a222は、コールバック要求通知をコールバック制御部a223に出力する。接続管理情報受信部a222は、その他、第1の実施形態の接続管理情報受信部a122と同様の機能を有する。
【0075】
コールバック制御部a223は、接続管理情報受信部a222からコールバック要求通知が入力されると、コールバック要求通知に含まれる利用者端末B1への接続情報に基づき、接続先装置とSSLセッションを確立させる制御を、接続管理情報生成部a221に対して行う。
接続管理情報生成部a221は、コールバック制御部a223からの制御に従い、自装置と接続先装置とのSSLセッションを確立する。
例えば、コールバック制御部a223に接続先IPアドレス「BB」及び接続先TCPポート番号「443」の接続情報を含むコールバック要求通知が入力されると、接続管理情報生成部a221は、A−B間セッション要求を生成する。このA−B間セッション要求により、利用者端末A2は、接続先IPアドレス「BB」及び接続先TCPポート番号「443」へ、予め定められた通信手順によって利用者端末A2の接続鍵の送受信等を行い、SSLセッションを確立する。
【0076】
また、接続管理情報生成部a221は、接続管理情報受信部a122から自装置へのコールバック情報要求が入力されると、予め記憶する自装置への接続情報(例えば、接続先利用者端末識別「B2」、接続先IPアドレス「BB」、接続先TCPポート番号「443」、接続鍵「/sslkey/B2)を含むコールバック情報通知を生成する。
接続管理情報生成部a221は、その他、第1の実施形態の接続管理情報生成部a121と同様の機能を有する。
【0077】
<SSL−VPN管理装置C2の構成について>
図14は、本実施形態に係るSSL−VPN管理装置C2の構成を示す概略ブロック図である。本実施形態に係るSSL−VPN管理装置C2(図14)と第1の実施形態に係るSSL−VPN管理装置C1(図5)とを比較すると、コールバック管理部c223、接続管理情報生成部c221、及び利用者端末情報記憶部c25が異なる。しかし、他の構成要素(通信部c11、接続管理情報受信部c122、接続情報記憶部c13、及び、通信状態データ受信部c14)が持つ機能は第1の実施形態と同じである。第1の実施形態と同じ機能の説明は省略する。
【0078】
接続管理情報生成部c221は、利用者端末A2又はB2から自装置へのSSLセッションが確立されると、それぞれ、自装置から利用者端末A2又はB2へのSSLセッション確立処理を行う。このSSLセッション確立処理の結果により、コールバック管理部c223は、利用者端末A2からB2、又はB2からA2へのSSLセッションが確立可能か否かを判定することができる。例えば、図12中のネットワーク構成の場合、接続管理情報生成部c221による利用者端末A2へのSSLセッション確立処理は失敗する。この場合、コールバック管理部c223は、利用者端末A2が、外部からの通信ができない装置であると判定する。
コールバック管理部c223は、利用者端末情報記憶部c25の利用者端末情報に、この判定結果(図16の「外部からの通信可否」の情報)を書き込む。
【0079】
また、コールバック管理部c223は、A−B間接続要求が入力されると、この要求の要求先である利用者端末A2又はB2についての利用者端末情報を、利用者端末情報記憶部c25から読み出す。コールバック管理部c223は、読み出した利用者端末情報が外部からの通信ができない装置であることを示す場合、要求先の利用者端末A2又はB2へのコールバック要求通知を生成させる制御を、接続管理情報生成部c221に対して行う。
接続管理情報生成部c221は、コールバック管理部c223からの制御に従い、利用者端末A2又はB2へのコールバック要求通知を生成する。このコールバック要求通知には、接続要求元の利用者端末B2又はA2から受信した利用者端末B2又はA2への接続情報が含まれる。
接続管理情報生成部c221は、その他、第1の実施形態の接続管理情報生成部a121と同様の機能を有する。
【0080】
<通信システム2の動作、利用者端末情報について>
以下、通信システム2(利用者端末A2、B2、SSL−VPN管理装置C2)の動作、及び利用者端末情報記憶部c25が記憶する利用者端末情報について説明をする。本実施形態では、利用者端末A2から利用者端末B2への接続要求によりA−B間セッションを確立する場合(図17)と、利用者端末B2から利用者端末A2への接続要求によりA−B間セッションを確立する場合(図18)と、では、通信システム2の動作が異なるので、これらの場合を分けて説明をする。
【0081】
図15は、本実施形態に係る通信システム2の動作の一例を示すフロー図である。この図は、通信システム2がA−C間及びB−C間セッションを確立するまでの動作を示す。
本実施形態に係る通信システム2の動作(図15)と第1の実施形態に係る通信システム1の動作(図6)とを比較すると、ステップS403での動作が異なる。しかし、ステップS101、S102においてFireWall装置D2が通信データを中継する点のみが異なるが、動作内容は第1の実施形態と同じである。また、他のステップ(ステップS104〜S106)での動作は第1の実施形態と同じである。第1の実施形態と同じ動作(ステップS101、S102、ステップS104〜S106)の説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0082】
(ステップS403)SSL−VPN管理装置C2は、IPアドレス「CC」及びTCPポート番号「ccc」から、IPアドレス「AA」及びTCPポート番号「443」(利用者端末A2)へSSLセッションを確立するための接続要求を送信する。この接続要求はFireWall装置D2に遮断され、SSL−VPN管理装置C2からのSSLセッション確立処理は失敗する。その後、ステップS104に進む。
【0083】
図16は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図15の動作が完了したときに利用者端末情報記憶部c25が記憶する利用者端末情報テーブルを示す。図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、外部からの通信可否、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図16中の1行目の利用者端末情報は、利用者端末「A2」のIPアドレスが「AA」であり、外部からの通信可否が「不可」、負荷情報が「15%」、接続している他の利用者端末が「なし」であることを示す。ここで、外部からの通信可否「不可」とは、利用者端末「A2」が、自装置が接続されているネットワーク以外のネットワークからSSLセッションを確立することができないことを示す。なお、外部からの通信可否「可」とは、利用者端末「A2」が、自装置が接続されているネットワーク以外のネットワークからSSLセッションを確立することができることを示す。
【0084】
図17は、本実施形態に係る通信システム2の動作の別の一例を示すフロー図である。この図は、通信システム2が図15の動作が完了した後、利用者端末A2から利用者端末B2への接続要求により、A−B間セッションを確立して通信を行うまでの動作を示す。
本実施形態に係る通信システム2の動作(図17)と第1の実施形態に係る通信システム1の動作(図8)とを比較すると、ステップS504での動作が異なる。しかし、ステップS201、S206〜S208においてFireWall装置D2が通信データを中継する点のみが異なるが、動作内容は第1の実施形態と同じである。また、他のステップ(ステップS202、S204、S205、S209)での動作は第1の実施形態と同じである。第1の実施形態と同じ動作(ステップS202〜S203、S205〜S210)の説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0085】
(ステップS504)SSL−VPN管理装置C2は、ステップS203のA−B間接続応答を受信すると、利用者端末の項目が、A−B間接続応答に含まれる要求先「B2」の利用者端末情報を、利用者端末情報記憶部c15から読み出す(図16中の2行目の利用者端末情報)。図16のように外部からの通信可否が「可」場合、SSL−VPN管理装置C2は、利用者端末B2が、外部からの通信可否が可であると判定する。
可であると判定したときは、SSL−VPN管理装置C2は、B−C間セッションにより、A−B間接続情報要求を利用者端末B2へ送信する。このA−B間接続情報要求には、データの種類を示す「接続情報要求」、要求元「A2」、要求先「B2」が含まれる。その後ステップS205に進む。
【0086】
図18は、本実施形態に係る通信システム2の動作の別の一例を示すフロー図である。この図は、通信システム2が図15の動作が完了した後、利用者端末B2から利用者端末A2への接続要求により、A−B間セッションを確立して通信を行うまでの動作を示す。
【0087】
(ステップS601)利用者端末B2は、B−C間セッションにより、A−B間接続要求をSSL−VPN管理装置C2へ送信する。このA−B間接続要求には、データの種類を示す「接続要求」、接続の要求元を示す要求元「B2」、接続の要求先を示す要求先「A2」が含まれる。その後ステップS602に進む。
(ステップS602)SSL−VPN管理装置C2は、A−B間接続要求を複製する。SSL−VPN管理装置C2は、A−C間セッションにより、複製したA−B間接続要求を利用者端末A2へ送信する。その後ステップS603に進む。
なお、FireWall装置D2は、このA−B間接続要求を中継する。以下、FireWall装置D2による中継についての説明は省略する
【0088】
(ステップS603)利用者端末A2は、図8のステップS203と同様にA−B間の接続可否を判定する。接続可と判定した場合、利用者端末A2は、A−C間セッションにより、接続可を示すA−B間接続応答をSSL−VPN管理装置C2へ送信する。このA−B間接続応答には、データの種類を示す「接続応答」、接続可否が接続可であることを示す「OK」、要求元「B2」、要求先「A2」が含まれる。その後ステップS604に進む。
なお、利用者端末A2は、接続可否が接続否を示す場合は、「OK」に代えて「NG」を送信する。図18は、接続可の場合の図である。
【0089】
(ステップS604)SSL−VPN管理装置C2は、A−B間接続応答を受信すると、利用者端末の項目が、A−B間接続応答に含まれる要求先「A2」の利用者端末情報を、利用者端末情報記憶部c25から読み出す(図16中の1行目の利用者端末情報)。図16のように外部からの通信可否が「不可」場合、SSL−VPN管理装置C2は、利用者端末A2が外部からの通信が不可であると判定する。
不可であると判定したときは、SSL−VPN管理装置C2は、B−C間セッションにより、コールバック情報要求を利用者端末B2へ送信する。このコールバック情報要求には、データの種類を示す「コールバック情報要求」、要求元「A2」、要求先「B2」が含まれる。その後ステップS605に進む。
【0090】
(ステップS605)利用者端末B2は、B−C間セッションにより、コールバック情報通知をSSL−VPN管理装置C2へ送信する。このコールバック情報通知には、データの種類を示す「コールバック情報通知」、通知元「B2」、通知先「A2」、接続鍵が含まれる。なお、コールバック情報通知の応答先「A2」は、コールバック情報要求の要求元「A2」である。その後ステップS606に進む。
【0091】
(ステップS606)SSL−VPN管理装置C2は、コールバック情報通知に含まれる情報に、通知元「B2」についての接続先IPアドレス及び接続先TCPポートを示す接続先「BB」及び「443」の情報を付加する。なお、この接続先IPアドレス及び接続先TCPポートは、接続情報記憶部c13が記憶する利用者端末B2への接続情報を読み出した情報である。SSL−VPN管理装置C2は、A−C間セッションにより、情報を付加したコールバック要求通知を利用者端末A2へ送信する。このコールバック要求通知には、データの種類を示す「コールバック要求通知」、通知元「B2」、通知先「A2」、接続鍵が含まれる。その後ステップS605に進む。
【0092】
(ステップS607)利用者端末A2は、利用者端末B2と、予め定められた通信手順によって利用者端末A2の接続鍵の送受信等を行う。これにより、利用者端末A2と利用者端末B2とは、IPアドレス「AA」及びTCPポート番号「aaa」から、A−B間接続情報通知に含まれる接続先IPアドレス「BB」及びTCPポート番号「443」(利用者端末B2)へのSSLセッションを確立する。その後、ステップS608に進む。
【0093】
(ステップS608)利用者端末A2は、A−C間セッションにより、A−B間接続開始通知をSSL−VPN管理装置C2に送信する。このA−B間接続開始通知には、「A−B接続開始」が含まれる。その後、ステップS609に進む。
(ステップS609)利用者端末B2は、B−C間セッションにより、A−B間接続開始通知をSSL−VPN管理装置C2に送信する。このA−B間接続開始通知には、「A−B接続開始」が含まれる。その後、ステップS610に進む。
【0094】
(ステップS610)利用者端末A2と利用者端末B2とは、A−B間セッションにより、通信データの送受信を行う。例えば、利用者端末A2は、利用者端末B2へのデータ(情報データ要求又は情報データ)を、受信した利用者端末B2への接続情報に基づき暗号化してカプセル化する。利用者端末A2は、カプセル化した暗号化データを通信データとして、A−B間セッションにより、利用者端末B2へ送信する。
【0095】
図19は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図18の動作が完了したときに利用者端末情報記憶部c25が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、外部からの通信可否、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図19中の1行目の利用者端末情報は、利用者端末「A1」のIPアドレスが「AA」であり、負荷情報が「20%」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、図19中の1行目の利用者端末情報は、利用者端末「A2」が、外部からの通信可否が「不可」であり、利用者端末「B2」と接続をしていることを示す。この接続状況の値は、SSL−VPN管理装置C2が図18中のステップS608又はS609のA−B間接続開始通知を受信したとき、SSL−VPN管理装置C2によって、通知元の利用者端末の利用者端末情報に対して、接続状況の項目に接続先の利用者端末識別が書き込まれたものである。
【0096】
図20は、本実施形態に係る通信システム2の動作の別の一例を示すフロー図である。この図は、通信システム2が図18の動作が完了した後、A−B間セッションを切断するまでの動作を示す。
本実施形態に係る通信システム2の動作(図20)と第1の実施形態に係る通信システム1の動作(図10)とを比較すると、ステップS210、S301、S302においてFireWall装置D2が通信データを中継する点のみが異なるが、動作内容は第1の実施形態と同じである。また、他のステップ(ステップS303)での動作は第1の実施形態と同じである。全てのステップでの動作が、第1の実施形態と同じ動作であるので、これらの説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0097】
図21は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図20の動作が完了したときに利用者端末情報記憶部c25が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、外部からの通信可否、負荷情報、及び接続状況情報の各項目の列を有している。
例えば、図21中の1行目の利用者端末情報は、利用者端末「A2」のIPアドレスが「AA」であり、負荷情報が「10%」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、このデータの接続状況は、利用者端末「A2」が接続している他の利用者端末が「なし」であることを示す。この接続状況情報の値は、SSL−VPN管理装置C2がA−B間接続切断通知を受信すると、SSL−VPN管理装置C2によって、通知元の利用者端末のデータの接続状況の項目に書き込まれている接続先の利用者端末識別が削除されたものである。
【0098】
このように、本実施形態によれば、SSL−VPN管理装置C2が接続要求を利用者端末B2から受信した場合、コールバック要求通知を生成して利用者端末A2に対して送信する。これにより、利用者端末B2からA2への接続要求に通信制限がある場合であっても、利用者端末B2が利用者端末A2からコールバック要求通知に基づく接続要求を受信し、利用者端末A2との間のVPNを生成することができる。
【0099】
(第3の実施形態)
以下、図面を参照しながら本発明の実施形態について詳しく説明する。本実施形態では、ある同じコンテンツデータ(上記の情報データ)を記憶する利用者端末が複数あり、ある利用者端末がSSLセッションを用いてこのコンテンツデータをダウンロードする場合について説明をする。
【0100】
<通信システム3について>
図22は、この発明の第3の実施形態に係る通信システム3の概念図である。
通信システム3は、利用者端末A3、B3n(n=1、2、・・・、N)、及びSSL−VPN管理装置C3を具備する。また、利用者端末B31〜B3Nは、ある同じコンテンツデータCBを記憶する。なお、利用者端末B31〜B3Nをまとめてコンテンツ装置群B3という。なお、利用者端末A3はコンテンツデータCAを記憶する。また、利用者端末A1、B3nが記憶するコンテンツデータは複数あってもよい。
【0101】
図22は、利用者端末A3がSSLセッションを用いてコンテンツデータCBをダウンロードする場合の概略図である。
本実施形態では、SSL−VPN管理装置C3は、利用者端末A3からのコンテンツCBの要求に対して、コンテンツ装置群B3のうち利用者端末B31〜B3Nのいずれかの利用者端末を選択する。この図は、SSL−VPN管理装置C3が利用者端末B31を選択した場合を示す。つまり、この図における鎖線は、利用者端末A3とSSL−VPN管理装置C3が選択した利用者端末B31とを結んでいる。
【0102】
図22において、点線及び鎖線はトンネルを示す。トンネルAC、BnC、ABn(この図では、n=1)は、それぞれ、利用者端末A3とSSL−VPN管理装置C3との間の通信、利用者端末B3nとSSL−VPN管理装置C3との間の通信、利用者端末A3と利用者端末B3n(この図では、n=1)との間の通信に用いられる。この図において、点線で示すトンネルAC、BnCでは、通信状態を示す通信状態データの送受信が行われる。また、鎖線で示すトンネルABnでは、通信データの送受信が行われる。
【0103】
なお、図22は、利用者端末A3のIPアドレスが「AA」であり、ポート番号「aaa」のTCP(Transmission Control Protocol)ポート及び「443」のTCPポートが利用可能であることを示す。また、この図は、利用者端末B3nのIPアドレスが「BBn」であり、ポート番号「bbbn」及び「443」のTCPポートが利用可能であることを示す。また、この図は、SSL−VPN管理装置C3のIPアドレスが「CC」であり、ポート番号「ccc」及び「443」のTCPポートが利用可能であることを示す。
以下、利用者端末A3、及びSSL−VPN管理装置C3の構成について説明をする。なお、利用者端末B3nの構成は、利用者端末A3の構成と同じであるので、説明は省略する。また、本実施形態では、利用者端末A3とSSL−VPN管理装置C3との間をA−C間といい、利用者端末B3nとSSL−VPN管理装置C3との間をB3n−C間といい、利用者端末A3と利用者端末B3nとの間をA−B3n間という。
【0104】
<利用者端末A3の構成について>
図23は、本実施形態に係る利用者端末A3の構成を示す概略ブロック図である。本実施形態に係る利用者端末A3(図23)と第1の実施形態に係る利用者端末A1(図2)とを比較すると、通信状態データ生成部a351が異なる。しかし、他の構成要素(入力部a11、接続管理情報生成部a121、接続管理情報受信部a122、通信部a13、管理装置接続情報記憶部a141、利用者端末接続情報記憶部a142、通信状態データ生成部a351、通信データ生成部a152、情報データ記憶部a153、通信データ受信部a16、及び出力部a17)が持つ機能は第1の実施形態と同じである。第1の実施形態と同じ機能の説明は省略する。
【0105】
通信状態データ生成部a351は、情報データ記憶部a153が記憶するコンテンツ(上記の情報データ)の識別情報(以下、コンテンツ識別という。例えば、コンテンツ「CB」)を抽出する。また、通信状態データ生成部a351は、自装置の負荷情報を検出する。
通信状態データ生成部a351は、検出した負荷情報及び抽出したコンテンツ識別を、通信状態データとして、通信部a13を介してSSL−VPN管理装置C3に送信する。この通信状態データは、A−C間セッションにより送信される。
【0106】
<SSL−VPN管理装置C3の構成について>
図24は、本実施形態に係るSSL−VPN管理装置C3の構成を示す概略ブロック図である。本実施形態に係るSSL−VPN管理装置C3(図23)と第1の実施形態に係るSSL−VPN管理装置C1(図5)とを比較すると、利用者端末選択部c324、接続管理情報生成部c321、及び利用者端末情報記憶部c35が異なる。しかし、他の構成要素(通信部c11、接続管理情報受信部c122、接続情報記憶部c13、及び、通信状態データ受信部c14)が持つ機能は第1の実施形態と同じである。第1の実施形態と同じ機能の説明は省略する。
【0107】
利用者端末情報記憶部c35には、通信状態データ受信部c14(負荷情報受信部)が受信した通信状態データに含まれる利用者端末識別、負荷情報、及びコンテンツ識別(情報データ識別情報)が、利用者端末情報(通信装置負荷情報;図26)として記憶される。ここで、コンテンツ識別は、利用者端末識別が示す利用者端末が記憶するコンテンツデータを識別する識別子である。
【0108】
利用者端末選択部c324は、利用者端末A3からの要求であって、コンテンツデータCXの受信を要求するコンテンツCXの要求(A−CX間接続要求という)が入力されると、利用者端末情報記憶部c35が記憶する利用者端末情報テーブルから、コンテンツ識別が「CX」の利用者端末情報を読み出す。利用者端末選択部c324は、読み出した利用者端末情報のうち、負荷情報の値が最も小さい利用者端末情報の利用者端末識別が示す利用者端末を選択する。すなわち、利用者端末選択部c324は、利用者端末情報記憶部c35から、通信状態データ受信部c14が受信したA−CX間接続要求により要求されたコンテンツデータCXのコンテンツ識別「CX」を含む利用者端末情報を読み出し、読み出した利用者端末情報の利用者端末識別のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である利用者端末識別を選択する。
【0109】
利用者端末選択部c324は、A−CX間接続要求の要求元(利用者端末A3)と選択した利用者端末B3Mとの間のセッション要求(A−B3M間セッション要求)を生成させる制御を、接続管理情報生成部c321に対して行う。
接続管理情報生成部c321は、利用者端末選択部c324からの制御に従い、A−B3M間セッション要求を生成する。接続管理情報生成部c321は、その他、第1の実施形態の接続管理情報生成部a121と同様の機能を有する。
【0110】
<通信システム3の動作、利用者端末情報について>
以下、通信システム3(利用者端末A3、B3n、SSL−VPN管理装置C3)の動作、及び利用者端末情報記憶部c35が記憶する利用者端末情報について説明をする
【0111】
図25は、本実施形態に係る通信システム3の動作の一例を示すフロー図である。この図は、通信システム3がA−C間及びB−C間セッションを確立するまでの動作を示す。
本実施形態に係る通信システム3の動作(図25)と第1の実施形態に係る通信システム1の動作(図6)とを比較すると、ステップS802、S805、S808での動作が異なる。しかし、利用者端末B3NのステップS107、S109での動作は、利用者端末B31のステップS104、S106での動作と同じである。また、他のステップ(ステップS101、S103〜S106)での動作は第1の実施形態と同じである。第1の実施形態と同じ動作(ステップS101、S103、S104、S106、S107、S109)の説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0112】
(ステップS802)利用者端末A3は、確立したA−C間セッションにより、利用者端末A3の通信状態データをSSL−VPN管理装置C3へ通知する。この通信状態データには、データの種類が通信状態データであることを示す「状態通知」、利用者端末識別「A3」、IPアドレス「AA」、負荷情報(例えば、「15%」)、自装置が記憶するコンテンツCAのコンテンツ識別「CA」が含まれる。その後、ステップS103に進む。なお、利用者端末A3は、A−C間セッションの切断まで、この通信状態データを定期的にSSL−VPN管理装置C3に通知する。
【0113】
(ステップS805)利用者端末B3は、確立したB31−C間セッションにより、利用者端末B31の通信状態データをSSL−VPN管理装置C3へ通知する。この通信状態データには、データの種類が通信状態データであることを示す「状態通知」、利用者端末識別「B31」、IPアドレス「BB1」、負荷情報(例えば、「10%」)、自装置が記憶するコンテンツCBのコンテンツ識別「CB」が含まれる。その後、ステップS106に進む。なお、利用者端末B31は、B31−C間セッションの切断まで、この通信状態データを定期的にSSL−VPN管理装置C3に通知する。
利用者端末B3NのステップS808での動作は、利用者端末B31のステップS805での動作と同じであるので、説明は省略する。
【0114】
図26は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図25の動作が完了したときに利用者端末情報記憶部c35が記憶する利用者端末情報テーブルを示す。図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、接続状況情報、及びコンテンツ識別の各項目の列を有している。
例えば、図26中の利用者端末の値が「B3M」の行の利用者端末情報は、利用者端末B3MのIPアドレスが「BBM」であり、負荷情報が「5%」、接続している他の利用者端末が「なし」であることを示し、利用者端末B3Mが記憶するコンテンツデータのコンテンツ識別が「CB」であることを示す。
【0115】
図27は、本実施形態に係る通信システム3の動作の別の一例を示すフロー図である。この図は、通信システム3が図25の動作が完了した後、利用者端末A3から利用者端末B3Mへの接続要求により、A−B間セッションを確立して通信を行うまでの動作を示す。
本実施形態に係る通信システム3の動作(図27)と第1の実施形態に係る通信システム1の動作(図8)とを比較すると、ステップS901、S902での動作が異なる。しかし、他のステップ(S203〜210)での動作は第1の実施形態と同じである。第1の実施形態と同じ動作の説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0116】
(ステップS901)利用者端末A3は、A−C間セッションにより、A−CB間接続要求をSSL−VPN管理装置C1へ送信する。このA−B間接続要求には、データの種類を示す「接続要求」、接続の要求元を示す要求元「A1」、受信を要求するコンテンツデータCBのコンテンツ識別「B1」が含まれる。その後ステップS202に進む。
(ステップS902)SSL−VPN管理装置C3は、A−CB間接続要求を受信すると、利用者端末情報記憶部c35が記憶する利用者端末情報テーブルから、コンテンツ識別が「CB」の利用者端末情報を読み出す。SSL−VPN管理装置C3は、利用者端末選択部c324は、読み出した利用者端末情報のうち、負荷情報の値が最も小さい利用者端末情報の利用者端末識別が示す利用者端末を選択する。
例えば、利用者端末情報テーブルが図26で示す例の場合、SSL−VPN管理装置C3は、利用者端末情報が「B31」〜「B3N」の行の利用者端末情報を読み出す。SSL−VPN管理装置C3は、読み出した利用者端末情報をのうち、負荷情報の値が最も小さい「5%」であるデータを選択し、このデータの利用者端末識別「B3M」が示す利用者端末B3Mを選択する。
この場合、SSL−VPN管理装置C3は、C−B3M間セッションにより、A−B3M間接続要求を利用者端末B3Mへ送信する。このA−B3M間接続要求には、データの種類を示す「接続情報要求」、要求元「A3」、要求先「B3M」、要求コンテンツ「CB」が含まれる。その後ステップS203に進む。
【0117】
図28は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図27の動作が完了したときに利用者端末情報記憶部c35が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、接続状況情報、及びコンテンツ識別の各項目の列を有している。
例えば、図28中の利用者端末の値が「B3M」の行の利用者端末情報は、利用者端末B3MのIPアドレスが「BBM」、負荷情報が「15%」、利用者端末B3Mが記憶するコンテンツデータのコンテンツ識別が「CB」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、このデータの接続状況情報は、利用者端末B3Mが、利用者端末「A3」と接続をしていることを示す。
【0118】
図29は、本実施形態に係る通信システム3の動作の別の一例を示すフロー図である。この図は、通信システム3が図27の動作が完了した後、A−B間セッションを切断するまでの動作を示す。
本実施形態に係る通信システム3の動作(図27)と第1の実施形態に係る通信システム1の動作(図10)とを比較すると、全てのステップでの動作が、第1の実施形態と同じ動作であるので、これらの説明については省略する。なお、この図において、山括弧「<・・・>」内の情報はSSLセッションの種類、丸括弧「(・・・)」内の情報は送信するデータの内容を示す。
【0119】
図30は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。この図は、図29の動作が完了したときに利用者端末情報記憶部c35が記憶する利用者端末情報テーブルを示す。
図示するように、利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、負荷情報、接続状況情報及びコンテンツ識別の各項目の列を有している。
例えば、図30中の利用者端末の値が「B3M」の行の利用者端末情報は、利用者端末B3MのIPアドレスが「BBM」、負荷情報が「5%」、利用者端末B3Mがが記憶するコンテンツデータのコンテンツ識別が「CB」であることを示す。この負荷情報は、各利用者端末からの定期的な通信状態データの通知により取得した値である。
また、このデータの接続状況情報は、利用者端末B3Mが接続している他の利用者端末が「なし」であることを示す。
【0120】
このように、本実施形態によれば、SSL−VPN管理装置C3が受信したコンテンツ識別を含む利用者端末情報を読み出し、読み出した利用者端末情報のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である利用者端末識別を選択し、選択した利用者端末識別が示す利用者端末との間のセッション要求を生成して送信する。これにより、利用者端末A3は、最も低い負荷状態の利用者端末B3Mからコンテンツを受信することができ、利用者端末B31〜B3Nの負荷を分散して利用者端末B31〜B3Nの処理負荷を軽減することができる。
【0121】
<変形例>
以下、上記実施形態の変形例について説明をする。
変形例1では、第3の実施形態におけるコンテンツ装置群が複数あり、相互にSSLセッションを用いた通信を行う場合の例について説明をする。
図31は、この発明の変形例1に係る通信システム4の概念図である。
通信システム4は、利用者端末A4s(s=1、2、・・・、S)、B3n(n=1、2、・・・、N)、及びSSL−VPN管理装置C3を具備する。また、利用者端末B31〜Nは、ある同じコンテンツデータCBを記憶し、利用者端末A41〜A4Sは、別の同じコンテンツデータCAを記憶する。なお、利用者端末A41〜A4Sをまとめてコンテンツ装置群A4といい、利用者端末B31〜B3Nをまとめてコンテンツ装置群B3という。
利用者端末A4s及び利用者端末B3nの構成は、第3の実施形態の利用者端末B3nと同じである。また、SSL−VPN管理装置C3の構成は、第3の実施形態のSSL−VPN管理装置C3と同じである。
【0122】
図31は、利用者端末A4sのいずれかがSSLセッションを用いてコンテンツデータCBをダウンロードする場合、又は、利用者端末B3nのいずれかがSSLセッションを用いてコンテンツデータCAをダウンロードする場合の概略図である。
【0123】
本変形例では、SSL−VPN管理装置C3は、利用者端末A4sのいずれかからのコンテンツCBの要求に対して、コンテンツ装置群B3のうち利用者端末B31〜B3Nのいずれかの利用者端末を選択する。また、SSL−VPN管理装置C3は、利用者端末B3nのいずれかからのコンテンツCAの要求に対して、コンテンツ装置群A4のうち利用者端末A41〜A4Sのいずれかの利用者端末を選択する。
図31は、利用者端末A42からのコンテンツCBの要求に対して、SSL−VPN管理装置C3が利用者端末B31を選択した場合を示す。また、この図は、利用者端末B3NからのコンテンツCAの要求に対して、SSL−VPN管理装置C3が利用者端末A4Sを選択した場合を示す。つまり、この図における鎖線は、利用者端末A42とSSL−VPN管理装置C3が選択した利用者端末B31とを結び、また、利用者端末B3NとSSL−VPN管理装置C3が選択した利用者端末A4Sとを結んでいる。
【0124】
図31において、点線及び鎖線はトンネルを示す。トンネルAsC、BnC、AsBnは、それぞれ、利用者端末A4sとSSL−VPN管理装置C3との間の通信、利用者端末B3nとSSL−VPN管理装置C3との間の通信、利用者端末A4sと利用者端末B3nとの間の通信に用いられる。の図において、点線で示すトンネルAC、BnCでは、通信状態を示す通信状態データの送受信が行われる。また、鎖線で示すトンネルAsBnでは、通信データの送受信が行われる。
【0125】
変形例2では、変形例1におけるネットワークM1に第2の実施形態に係るFireWall装置D2が接続されている場合の例について説明をする。
図32は、この発明の変形例2に係る通信システム5の概念図である。通信システム5は、利用者端末A5s(s=1、2、・・・、S)、B5n(n=1、2、・・・、N)、及びSSL−VPN管理装置C5を具備する。変形例1に係る通信システム5(図32)と変形例2に係る通信システム4(図31)とを比較すると、FireWall装置D2の有無が異なる。
また、利用者端末B51〜B5Nは、ある同じコンテンツデータCBを記憶し、利用者端末A51〜A5Sは、別の同じコンテンツデータCAを記憶する。なお、利用者端末A51〜A5Sをまとめてコンテンツ装置群A5といい、利用者端末B51〜B5Nをまとめてコンテンツ装置群B5という。
以下、利用者端末A5sを利用者端末A5として、利用者端末A5及びSSL−VPN管理装置C5の構成について説明をする。なお、利用者端末B5nの構成は、利用者端末A5sの構成と同じであるので、説明は省略する。
【0126】
図33は、本実施形態に係る利用者端末A5の構成を示す概略ブロック図である。本実施形態に係る利用者端末A5(図33)は、第2の実施形態に係る利用者端末A2(図13)の構成のうち、通信状態データ生成部a151を、第3の実施形態に係る利用者端末A3の通信状態データ生成部a351に変更した構成である。利用者端末A5が持つ構成の説明は、上記各実施形態において説明をしたので、省略する。
【0127】
図34は、本実施形態に係るSSL−VPN管理装置C5の構成を示す概略ブロック図である。本実施形態に係るSSL−VPN管理装置C5(図33)は、第2の実施形態に係るSSL−VPN管理装置C2(図13)に、第3の実施形態に係るSSL−VPN管理装置C3の利用者端末選択部c324を加えた構成である。
以下、接続管理情報生成部c521及び利用者端末情報記憶部c55について説明をする。
接続管理情報生成部c521は、コールバック管理部c223からの制御に従い、利用者端末A5s又はB5nへのコールバック要求通知を生成する。また、接続管理情報生成部c521は、コールバック利用者端末選択部c324からの制御に従い、A5s−B5n間接続要求を生成する。
利用者端末情報記憶部c55は、利用者端末情報(図35)を記憶する。
【0128】
図35は、本実施形態に係る利用者端末情報テーブルの一例を示す概略図である。
図示するように、利用者端末情報記憶部c55が記憶する利用者端末情報テーブルは、行と列からなる2次元の表形式のデータであり、利用者端末識別、IPアドレス、外部からの通信可否、負荷情報、接続状況情報、及び接続状況情報の各項目の列を有している。
例えば、図26中の利用者端末の値が「A52」の行の利用者端末情報は、利用者端末A52のIPアドレスが「AA2」、外部からの通信可否が「不可」、負荷情報が「10%」、接続している他の利用者端末が「B52」であることを示し、利用者端末A52が記憶するコンテンツデータのコンテンツ識別が「CA」であることを示す。また、例えば、図26中の利用者端末の値が「B5N」の行の利用者端末情報は、利用者端末B5NのIPアドレスが「BBN」、外部からの通信可否が「可」、負荷情報が「10%」、接続している他の利用者端末が「A5S」であることを示し、利用者端末B5Nがコンテンツ「CB」を記憶することを示す。
【0129】
上記実施形態において、利用者端末及びSSL−VPN管理装置が接続するネットワークが、2つ(ネットワークM1、M2)の場合について説明したが、本発明はこれに限られない。例えば、図35に示す変形例2に係るの各装置は、図36(変形例3)のように1つのネットワークM1に接続されてもよいし、図37(変形例4)のように3つのネットワークM1、M2、M3に接続されてもよい。
【0130】
なお、上述した実施形態における利用者端末A1〜A3、A41〜A4S、A51〜A5S、B1、B2、B31〜B3N、B51〜B5N、又は、SSL−VPN管理装置C1〜C3、C5の一部、例えば、接続管理情報生成部a121、a221、接続管理情報受信部a122、コールバック制御部a223、通信状態データ生成部a151,a351、通信データ生成部a152、接続管理情報生成部c121,c221,c321,c521、接続管理情報受信部c122、コールバック管理部c223、利用者端末選択部c324をコンピュータで実現するようにしても良い。その場合、この制御機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現しても良い。なお、ここでいう「コンピュータシステム」とは、利用者端末A1〜A3、A41〜A4S、A51〜A5S、B1、B2、B31〜B3N、B51〜B5N、又は、SSL−VPN管理装置C1〜C3、C5に内蔵されたコンピュータシステムであって、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでも良い。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【0131】
以上、図面を参照してこの発明の一実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
【符号の説明】
【0132】
1〜5・・・通信システム、A1〜A3,A41〜A4S,A51〜A5S,B1,B2,B31〜B3N,B51〜B5N・・・利用者端末(通信装置)、B3,B5,A4,A5・・・コンテンツ装置群、C1〜C3、C5・・・SSL−VPN管理装置(ネットワーク管理装置)、D2・・・FireWall装置、a11・・・入力部、a12・・・接続制御部、a13・・・通信部(接続通知送信部、コールバック要求通知送信部)、a14・・・接続情報記憶部、a15,a35・・・データ生成部、a16・・・通信データ受信部、a17・・・出力部、a121,a221・・・接続管理情報生成部、a122、a222・・・接続管理情報受信部、a223・・・コールバック制御部、a141・・・管理装置接続情報記憶部、a142・・・利用者端末接続情報記憶部、a151,a351・・・通信状態データ生成部、a152・・・通信データ生成部、a153・・・情報データ記憶部、c11・・・通信部、c12,c22,c32・・・接続管理部、c13・・・接続情報記憶部、c14・・・通信状態データ受信部、c15,c25,c35,c55・・・利用者端末情報記憶部、c121,c221,c321,c521・・・接続管理情報生成部、c122・・・接続管理情報受信部、c223・・・コールバック管理部、c324・・・利用者端末選択部(通信装置選択部)
【特許請求の範囲】
【請求項1】
通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置において、
前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する接続管理情報生成部と、
前記接続管理情報生成部が生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信部と、
を備えることを特徴とするネットワーク管理装置。
【請求項2】
前記仮想プライベートネットワークは、前記仮想プライベートネットワークでの通信先を示す第1の通信アドレスを含む通信データに、第2のネットワークでの通信先を示す第2の通信アドレスを含む情報を付加した通信データを、第2のネットワークで送受信するネットワークであり、
前記接続管理情報生成部は、前記通信装置から前記他の通信装置への接続要求であって前記他の通信装置の第1の通信アドレスを含む接続要求に対し、前記他の通信装置の第2の通信アドレスを含む通信装置間接続通知を生成することを特徴とする請求項1に記載のネットワーク管理装置。
【請求項3】
前記接続通知送信部が送信した通信装置間接続通知に従って前記通信装置が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を、前記通信装置から受信して通信装置情報記憶部に記憶させる通信状態データ受信部と、
を備えることを特徴とする請求項1又は2に記載のネットワーク管理装置。
【請求項4】
前記通信状態情報は、通信装置間仮想プライベートネットワークを介した通信を行う通信装置を識別する通信装置識別情報、通信装置間仮想プライベートネットワークを介した通信の開始或いは切断を示す接続状態情報、又は、通信装置或いは通信装置間仮想プライベートネットワークを介した通信の負荷状態を示す負荷情報、であることを特徴とする請求項3に記載のネットワーク管理装置。
【請求項5】
前記通信装置は、通信装置間接続通知を受信した場合、前記通信装置間仮想プライベートネットワークの生成を要求する通信装置間接続要求を他の通信装置に送信する通信装置であり、
前記通信装置には、第1の前記通信装置と、前記通信装置間接続要求を前記第1の通信装置へ送信することができるがFireWall装置により前記第1の通信装置から受信することができない第2の前記通信装置と、が含まれ、
前記第2の通信装置に対する前記接続要求を前記第1の通信装置から受信した場合、前記第2の通信装置が前記通信装置間接続要求を生成して前記第1の通信装置へ送信することを、前記第2の通信装置に対して命令するコールバック要求通知を生成するコールバック管理部を備え、
コールバック管理部が生成したコールバック要求通知を前記第2の通信装置に対して送信するコールバック要求通知送信部と、
を備えることを特徴とする請求項1乃至4のいずれかの項に記載のネットワーク管理装置。
【請求項6】
前記通信装置には、同一の情報データを記憶する通信装置が複数含まれ、
前記通信装置を識別する通信装置識別情報と、前記通信装置が記憶する情報データを識別する情報データ識別情報と、前記通信装置から受信した前記通信装置或いは通信の負荷状態を示す負荷情報と、を対応付けた通信装置負荷情報を記憶する通信装置情報記憶部と、
前記通信装置から、該通信装置が受信を要求する情報データの情報データ識別情報を受信する負荷情報受信部と、
前記通信装置情報記憶部から、前記負荷情報受信部が受信した情報データ識別情報を含む通信装置負荷情報を読み出し、読み出した通信装置負荷情報の通信装置識別情報のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である通信装置識別情報を選択する通信装置選択部と、
を備え、
接続管理情報生成部は、前記通信部が受信した情報データ識別情報を送信した通信装置と、前記通信装置選択部が選択した通信装置識別情報が示す通信装置と、の間の前記通信装置間接続通知を生成することを特徴とする請求項1乃至5のいずれかの項に記載のネットワーク管理装置。
【請求項7】
複数の通信装置と、通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置と、を具備する通信システムおいて、
前記ネットワーク管理装置は、
前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する第1の接続管理情報生成部と、
前記第1の接続管理情報生成部が生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信部と、
前記接続通知送信部が送信した通信装置間接続通知に従って前記通信装置が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を、前記通信装置から受信して通信装置情報記憶部に記憶させる通信状態データ受信部と、
を備え、
前記通信装置は、
前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、前記通信装置間仮想プライベートネットワークの生成を要求する通信装置間接続要求を生成し、生成した通信装置間接続要求を前記他の通信装置へ送信する第2の接続管理情報生成部と、
前記第2の接続管理情報生成部が送信した通信装置間接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信部と、
前記通信部が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置へ送信する通信状態データ生成部と、
を備えることを特徴とする通信システム。
【請求項8】
ネットワーク管理装置との間に生成した仮想プライベートネットワークを介して、前記ネットワーク管理装置と通信を行う通信装置において、
前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、通信装置間仮想プライベートネットワークの生成を要求する接続要求を生成し、生成した接続要求を前記他の通信装置へ送信する接続管理情報生成部と、
前記接続管理情報生成部が送信した接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信部と、
前記通信部が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置に送信する通信状態データ生成部と、
を備えることを特徴とする通信装置。
【請求項9】
通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置のコンピュータを、
前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する接続管理情報生成手段、
前記接続管理情報生成手段にて生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信手段、
として機能させるネットワーク管理プログラム。
【請求項10】
ネットワーク管理装置との間に生成した仮想プライベートネットワークを介して、前記ネットワーク管理装置と通信を行う通信装置のコンピュータを、
前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、通信装置間仮想プライベートネットワークの生成を要求する接続要求を生成し、生成した接続要求を前記他の通信装置へ送信する接続管理情報生成手段、
前記接続管理情報生成手段にて送信した接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信手段、
前記通信手段にて生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置に送信する通信状態データ生成手段、
として機能させる通信プログラム。
【請求項1】
通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置において、
前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する接続管理情報生成部と、
前記接続管理情報生成部が生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信部と、
を備えることを特徴とするネットワーク管理装置。
【請求項2】
前記仮想プライベートネットワークは、前記仮想プライベートネットワークでの通信先を示す第1の通信アドレスを含む通信データに、第2のネットワークでの通信先を示す第2の通信アドレスを含む情報を付加した通信データを、第2のネットワークで送受信するネットワークであり、
前記接続管理情報生成部は、前記通信装置から前記他の通信装置への接続要求であって前記他の通信装置の第1の通信アドレスを含む接続要求に対し、前記他の通信装置の第2の通信アドレスを含む通信装置間接続通知を生成することを特徴とする請求項1に記載のネットワーク管理装置。
【請求項3】
前記接続通知送信部が送信した通信装置間接続通知に従って前記通信装置が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を、前記通信装置から受信して通信装置情報記憶部に記憶させる通信状態データ受信部と、
を備えることを特徴とする請求項1又は2に記載のネットワーク管理装置。
【請求項4】
前記通信状態情報は、通信装置間仮想プライベートネットワークを介した通信を行う通信装置を識別する通信装置識別情報、通信装置間仮想プライベートネットワークを介した通信の開始或いは切断を示す接続状態情報、又は、通信装置或いは通信装置間仮想プライベートネットワークを介した通信の負荷状態を示す負荷情報、であることを特徴とする請求項3に記載のネットワーク管理装置。
【請求項5】
前記通信装置は、通信装置間接続通知を受信した場合、前記通信装置間仮想プライベートネットワークの生成を要求する通信装置間接続要求を他の通信装置に送信する通信装置であり、
前記通信装置には、第1の前記通信装置と、前記通信装置間接続要求を前記第1の通信装置へ送信することができるがFireWall装置により前記第1の通信装置から受信することができない第2の前記通信装置と、が含まれ、
前記第2の通信装置に対する前記接続要求を前記第1の通信装置から受信した場合、前記第2の通信装置が前記通信装置間接続要求を生成して前記第1の通信装置へ送信することを、前記第2の通信装置に対して命令するコールバック要求通知を生成するコールバック管理部を備え、
コールバック管理部が生成したコールバック要求通知を前記第2の通信装置に対して送信するコールバック要求通知送信部と、
を備えることを特徴とする請求項1乃至4のいずれかの項に記載のネットワーク管理装置。
【請求項6】
前記通信装置には、同一の情報データを記憶する通信装置が複数含まれ、
前記通信装置を識別する通信装置識別情報と、前記通信装置が記憶する情報データを識別する情報データ識別情報と、前記通信装置から受信した前記通信装置或いは通信の負荷状態を示す負荷情報と、を対応付けた通信装置負荷情報を記憶する通信装置情報記憶部と、
前記通信装置から、該通信装置が受信を要求する情報データの情報データ識別情報を受信する負荷情報受信部と、
前記通信装置情報記憶部から、前記負荷情報受信部が受信した情報データ識別情報を含む通信装置負荷情報を読み出し、読み出した通信装置負荷情報の通信装置識別情報のうち対応付けられた負荷情報が負荷状態が最も低いことを示す負荷情報である通信装置識別情報を選択する通信装置選択部と、
を備え、
接続管理情報生成部は、前記通信部が受信した情報データ識別情報を送信した通信装置と、前記通信装置選択部が選択した通信装置識別情報が示す通信装置と、の間の前記通信装置間接続通知を生成することを特徴とする請求項1乃至5のいずれかの項に記載のネットワーク管理装置。
【請求項7】
複数の通信装置と、通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置と、を具備する通信システムおいて、
前記ネットワーク管理装置は、
前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する第1の接続管理情報生成部と、
前記第1の接続管理情報生成部が生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信部と、
前記接続通知送信部が送信した通信装置間接続通知に従って前記通信装置が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を、前記通信装置から受信して通信装置情報記憶部に記憶させる通信状態データ受信部と、
を備え、
前記通信装置は、
前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、前記通信装置間仮想プライベートネットワークの生成を要求する通信装置間接続要求を生成し、生成した通信装置間接続要求を前記他の通信装置へ送信する第2の接続管理情報生成部と、
前記第2の接続管理情報生成部が送信した通信装置間接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信部と、
前記通信部が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置へ送信する通信状態データ生成部と、
を備えることを特徴とする通信システム。
【請求項8】
ネットワーク管理装置との間に生成した仮想プライベートネットワークを介して、前記ネットワーク管理装置と通信を行う通信装置において、
前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、通信装置間仮想プライベートネットワークの生成を要求する接続要求を生成し、生成した接続要求を前記他の通信装置へ送信する接続管理情報生成部と、
前記接続管理情報生成部が送信した接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信部と、
前記通信部が生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置に送信する通信状態データ生成部と、
を備えることを特徴とする通信装置。
【請求項9】
通信装置との間に生成した仮想プライベートネットワークを介して、通信装置各々と通信を行うネットワーク管理装置のコンピュータを、
前記通信装置が他の通信装置との間に通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行うことを、前記通信装置に対して命令する通信装置間接続通知を生成する接続管理情報生成手段、
前記接続管理情報生成手段にて生成した通信装置間接続通知を前記通信装置に対して送信する接続通知送信手段、
として機能させるネットワーク管理プログラム。
【請求項10】
ネットワーク管理装置との間に生成した仮想プライベートネットワークを介して、前記ネットワーク管理装置と通信を行う通信装置のコンピュータを、
前記ネットワーク管理装置から受信した通信装置間接続通知が示す他の通信装置と自装置との間に、通信装置間仮想プライベートネットワークの生成を要求する接続要求を生成し、生成した接続要求を前記他の通信装置へ送信する接続管理情報生成手段、
前記接続管理情報生成手段にて送信した接続要求に基づいて他の通信装置との間の通信装置間仮想プライベートネットワークを生成し、生成した通信装置間仮想プライベートネットワークを介して前記他の通信装置との通信を行う通信手段、
前記通信手段にて生成した通信装置間仮想プライベートネットワークでの通信状態を示す通信状態情報を生成し、前記ネットワーク管理装置に送信する通信状態データ生成手段、
として機能させる通信プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【公開番号】特開2010−239394(P2010−239394A)
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願番号】特願2009−85173(P2009−85173)
【出願日】平成21年3月31日(2009.3.31)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願日】平成21年3月31日(2009.3.31)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
[ Back to top ]