VPN制御装置、VPN接続装置、VPN設定方法、及びプログラム
【課題】端末装置に対するVPNの設定を手間をかけずに迅速に行う技術を提供する。
【解決手段】 VPN接続装置と通信ネットワークを介して接続されるVPN制御装置において、VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段と、前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供手段と、を備える。
【解決手段】 VPN接続装置と通信ネットワークを介して接続されるVPN制御装置において、VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段と、前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供手段と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末装置間でVPN(Virtual Private Network)を構築する技術に関するものであり、特に、所望のVPNプロトコルに基づくVPNを作業者の手間をかけずに構築する技術に関するものである。
【背景技術】
【0002】
インターネットが社会のインフラとなった現在では、通信機能を持つ組み込み機器等の端末装置がセンサーや機器制御等の用途で利用され始めている。このような端末装置を利用して、センタサーバがセンサー情報を収集したり、遠隔地の機器の制御を行うことが可能になっている。
【0003】
上記のような端末装置と、端末装置を管理するセンタサーバとの間の通信はセキュアな通信であることが必要であり、そのためにインターネット上で仮想的に閉域網を実現するIP-VPN(以下、単にVPNと記述する)の技術を適用することができる。
【0004】
端末装置を設置してセンタサーバとの間にVPNを構築するためには、端末装置に対して特定のVPNプロトコルに対応したVPN通信を可能とするための設定をすることになる。なお、本願に関連する従来技術として特許文献1に記載された技術がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002-111732号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
さて、VPNを実現するためのVPNプロトコルとしては、IPsec(Security Architecture for Internet Protocol)、TLS(Transport Layer Security)、 L2TP(Layer 2 Tunneling Protocol)など様々なプロトコルがあるが、VPNを利用するネットワーク環境や利用されるアプリケーションによって使用に適したプロトコルが異なる。例えば、LAN上に設置され、センタサーバ以外の装置とも通信を行う端末装置に関しては、センタサーバとの間にLayer 2 トンネルを形成するVPN方式を使用することはできない。また、例えばIPsecパケットを透過させない装置の配下にある端末装置においてはIPsecを使用することはできない。
【0007】
センサー情報や機器制御の管理装置として使用されるセンタサーバには多くの端末装置がVPNにより接続されるが、各々の端末装置に対してその端末装置に対応したVPNの設定を行う必要がある。
【0008】
しかし、VPN設定の設定項目は多岐にわたり、端末装置に対してVPN設定を行うことは煩雑な作業となる。また、様々な場所に設置された数多くの端末装置に対して、接続先変更といった設定変更を行う際にも、その作業の手間は膨大なものとなる。特に、センサーや機器制御のために利用される端末装置は、入力機能に乏しいのが一般的であり、VPN設定にかかる手間は普通のコンピュータ端末に比べて非常に大きい。
【0009】
また、従来は、端末装置において使用されるVPNプロトコルを動的に設定・変更する技術がなかったため、各端末装置に対してVPNプロトコルを設定・変更する際には、運用者が当該端末装置に適合したVPNプロトコルを把握し、そのVPNプロトコルに対応したVPN設定を行わなければならず、この点でも手間が大きかった。
【0010】
本発明は上記の点に鑑みてなされたものであり、端末装置に対するVPNの設定を手間をかけずに行うことを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記の課題を解決するために、本発明は、VPN接続装置と通信ネットワークを介して接続されるVPN制御装置であって、VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段と、前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供手段と、を備えたことを特徴とするVPN制御装置として構成される。
【0012】
前記VPN設定情報提供手段は、VPN接続装置から装置識別情報を含むVPN設定情報要求を受信し、当該装置識別情報に対応するVPN設定情報を前記VPN設定情報格納手段から取得し、当該取得したVPN設定情報を前記VPN接続装置に送信することとしてもよい。
【0013】
また、前記VPN設定情報提供手段は、VPN接続装置から装置識別情報を含む登録要求を受信し、当該装置識別情報を記憶手段に格納し、前記登録要求に含まれる装置識別情報に対応するVPN設定情報が前記VPN設定情報格納手段に格納された場合に、当該VPN設定情報を当該装置識別情報で識別される前記VPN接続装置に送信することとしてもよい。
また、本発明は、VPN設定情報を送信するVPN制御装置と通信ネットワークを介して接続されるVPN接続装置であって、VPN構築用プログラムを格納する格納手段と、前記VPN制御装置から、VPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を受信するVPN設定情報取得手段と、前記VPN設定情報に含まれる前記VPNプロトコル名に対応するVPN構築用プログラムを起動し、前記VPN接続先と前記パラメータ情報とを用いてVPN構築のための設定を行う設定手段とを備えたことを特徴とするVPN接続装置として構成することもできる。
【0014】
前記VPN設定情報取得手段は、前記VPN接続装置の装置識別情報を含む要求情報を前記VPN制御装置に送信した後に、当該VPN制御装置から前記VPN設定情報を受信することとしてもよい。
【発明の効果】
【0015】
本発明によれば、端末装置に対するVPNの設定を手間をかけずに迅速に行うことが可能となる。
【図面の簡単な説明】
【0016】
【図1】第1の実施の形態におけるシステム構成図である。
【図2】端末装置1の機能構成図である。
【図3】端末装置1の他の例の構成図である。
【図4】VPN制御装置3の機能構成図である。
【図5】VPN設定情報格納部33に格納される情報の例を示す図である。
【図6】第1の実施の形態におけるシステムの動作例1を説明するための図である。
【図7】第1の実施の形態におけるシステムの動作例2を説明するための図である。
【図8】第2の実施の形態におけるシステム構成図である。
【図9】第2の実施の形態におけるシステムの動作例を説明するための図である。
【図10】VPN設定情報格納部33に格納される情報の例を示す図である。
【図11】第3の実施の形態におけるシステム構成図である。
【図12】VPN制御装置3の他の例の機能構成図である。
【図13】VPN設定情報の編集を説明するための図である。
【発明を実施するための形態】
【0017】
以下、図面を参照して本発明の実施の形態について説明する。
【0018】
<第1の実施の形態>
(システム構成)
図1に本実施の形態に係るシステムの全体構成図を示す。図1に示すように、本実施の形態に係るシステムは、複数の端末装置1と、センタサーバ4が接続されたVPN集約装置2と、VPN制御装置3とがインターネット5に接続されて構成されている。
【0019】
図1に示すシステムにおいて、VPN制御装置3が実行する制御処理に基づき、複数の端末装置1の各々とVPN集約装置2との間にVPNが構築され、当該VPNを介して端末装置1とセンタサーバ4との間でデータ通信が行われる。データ通信としては、例えば、センタサーバ4から各端末装置1に対して制御情報が送信され、各端末装置1からセンタサーバ4に対して制御情報に基づく処理結果等が送られるといった内容のデータ通信が行われる。
【0020】
図2に、端末装置1の機能構成図を示す。図2に示すように、端末装置1は、アプリケーション部11と、VPN接続制御部12とを有する。
【0021】
アプリケーション部11は、例えば、端末装置1をセンサーとして機能させるための各種処理を行うアプリケーションにより実現される機能部であるが、特定のものに限定されるわけではない。
【0022】
VPN接続制御部12は、VPN設定部13、データ格納部16、VPN処理部15を有する。VPN設定部13は、対VPN制御装置通信部14を含み、対VPN制御装置通信部14の機能によりVPN制御装置3と通信を行って、VPN制御装置3に要求を送信し、VPN制御装置3からVPN構築に必要な情報であるVPN設定情報を取得し、取得したVPN設定情報に基づきVPN設定を行う機能部である。対VPN制御装置通信部14には、VPN制御装置3のアドレス情報が予め設定してある。
【0023】
VPN設定情報には、VPNの接続先(例えば、IPアドレス、ホスト名等)、VPNプロトコル名(TLS、TCP、IP、IPsec、UDP、L2TP、等)、VPNプロトコル名に対応するVPNを構築するために端末装置側で必要となる設定パラメータ値を含む。設定パラメータ値は、例えば、IPsecの場合であれば、SAやSPD設定に必要なパラメータ値等である。
【0024】
また、「VPN設定情報に基づきVPN設定を行う」とは、VPNプロトコル名に対応するVPN用のプログラムを端末装置1が起動するとともに、VPNの接続先情報や設定パラメータ値をデータ格納部16に格納したり、設定パラメータ値を有効にするために所定のコマンドを実行したりすることである。
【0025】
データ格納部16には、VPNプロトコル名に対応付けて各VPN用のプログラムが格納されるとともに、VPN設定情報に含まれていたVPNの接続先情報や設定パラメータ値が格納される。
【0026】
VPN処理部15は、起動されたVPN用プログラムに対応する機能部であり、VPNの接続先情報及び設定パラメータ値をデータ格納部16から読み出して、VPN集約装置2との間にVPNを構築する処理を行うとともに、アプリケーション部11が送受信するデータをカプセリング/デカプセリングする等のVPN通信実現のための処理を行う機能部である。
【0027】
端末装置1は、例えば、アプリケーション部11に対応するアプリケーションがインストールされ、記憶装置にVPN用各種プログラムが格納されたコンピュータ(CPU、メモリ等を含む構成)に、VPN設定部13に対応するプログラムを実行させることにより実現できる。
【0028】
なお、図2では、端末装置1内にアプリケーション部11とVPN接続制御部12とを備える構成を示しているが、これは一例に過ぎない。図3に示す構成のように、アプリケーション部11に対応する情報処理装置17と、VPN接続制御部12に対応するVPN接続装置18とを別々の装置として構成し、ネットワーク等で接続してもよい。この場合でも、VPN接続装置18内の機能構成は、図2に示すVPN接続制御部12内の構成と同様である。また、VPN接続装置18も、端末装置1と同様にして、記憶装置にVPN用各種プログラムが格納されたコンピュータ(CPU、メモリ等を含む構成)に、VPN設定部13に対応するプログラムを実行させることにより実現できる。なお、端末装置1もVPN接続装置と呼んでもよい。上記プログラムは、メモリ等の記録媒体に記録しておき、当該記録媒体からコンピュータにインストールすることができる。
【0029】
図4に、VPN制御装置3の機能構成図を示す。図4に示すように、VPN制御装置3は、対端末装置通信部31、VPN設定情報処理部32、及びVPN設定情報格納部33を備える。対端末装置通信部31は、端末装置1から要求を受信し、当該要求をVPN設定情報処理部32に送信し、VPN設定情報処理部32から渡されるVPN設定情報を端末装置1に返す機能部である。
【0030】
VPN設定情報処理部32は、対端末装置通信部31から受け取る要求に基づき、端末装置1に送信するべきVPN設定情報をVPN設定情報格納部33から取得し、それを対端末装置通信部31に渡す機能を備える。また、VPN設定情報処理部32は、装置外部から情報の入力を受ける機能を備え、VPN設定情報の入力を受けた場合にそれをVPN設定情報格納部33に格納(登録)する機能を備える。
【0031】
VPN設定情報格納部33は、VPN設定情報を格納する機能部であり、例えば図5に示すように、端末識別情報(名前、アドレス情報等の端末を識別できる情報)とVPN設定情報とが対応付けて格納される。これらのVPN設定情報は、運用者等により予め各端末装置毎に決定され、VPN設定情報格納部33に格納されるものである。
【0032】
VPN制御装置3は、コンピュータに、上述した各機能部に対応する機能を備えたプログラムを実行させることにより実現できる。当該プログラムは、メモリ等の記録媒体に記録しておく、当該記録媒体からコンピュータにインストールすることができる。
【0033】
また、対端末装置通信部31と、VPN設定情報処理部32及びVPN設定情報格納部33とは、ネットワークに接続された別々の装置であってもよい。
【0034】
(システムの動作例1)
以下、上記のシステム構成に対応するシステムの動作例1について図6のシーケンスチャートを参照して説明する。なお、動作例1において、VPN集約装置2には、各端末装置1との間でVPNを構築するための設定が既になされているものとする。つまり、VPN集約装置2は、システムに存在する任意の端末装置1からVPN接続開始要求を受けてその要求に対応した処理を行って、要求を送信した端末装置1とに間にVPNを構築するように設定がされている。この点は動作例2の場合も同様である。
【0035】
また、システムには複数の端末装置1が存在するが、各端末装置では同様の処理でVPN構築がなされるので、以下では1つの端末装置1とVPN集約装置2との間でVPN構築がなされる場合を説明する。
【0036】
図6に示すように、まず、端末装置1のVPN設定部13が、端末識別情報を含むVPN設定情報要求をVPN制御装置3の対端末装置通信部31に送信する(ステップ1)。ここでは、例えば、端末装置1の電源が投入されたときにVPN設定部13が起動され、端末装置1がインターネット5に接続されたときに、VPN設定部13が外部からの操作指示なしに自動的にVPN設定情報要求を送信する。これにより、端末装置1が入力機能に乏しい装置である場合でも、簡易にVPN設定を行うことができる。
【0037】
VPN設定情報要求を受信した対端末装置通信部31は、当該VPN設定情報要求をVPN設定情報処理部32に送信する(ステップ2)。そして、VPN設定情報処理部32は、受信したVPN設定情報要求に含まれる端末識別情報を用いてVPN設定情報格納部33を検索し、当該端末識別情報に対応するVPN設定情報を取得する(ステップ3、4)。
【0038】
VPN設定情報処理部32は、取得したVPN設定情報を端末識別情報とともに対端末装置通信部31に送信し(ステップ5)、対端末装置通信部31は、当該端末識別情報に対応する端末装置1のVPN設定部13にVPN設定情報を送信する(ステップ6)。
【0039】
VPN設定情報を受信したVPN設定部13は、VPN設定情報に基づきVPN設定を行う(ステップ7)。そして、このVPN設定により生成されたVPN処理部15により、端末装置1とVPN集約装置2との間にVPNが構築される(ステップ8)。このVPNは、VPN設定情報に含まれるVPNプロトコル名のプロトコルにより実現されたVPNである。
【0040】
(システムの動作例2)
次に、システムの動作例2について説明する。本動作例2についてのシステム構成は図1〜図5に示す構成と同様であるが、一部の機能部における機能が動作例1の場合と異なる。異なる機能は具体的には下記のとおりである。
本例において、VPN設定部13は、対VPN制御装置通信部14により、VPN制御装置3の対端末装置通信部31に対して登録要求(端末装置1の端末識別情報を含む)を送信する機能と、VPN制御装置3からVPN接続に必要な情報であるVPN設定情報を受信し、受信したVPN設定情報に基づきVPN設定を行う機能を有する。なお、例えば、端末識別情報として端末装置1の名前を使用する場合において、登録要求に端末装置1の端末識別情報とアドレス情報とを含めてもよい。
【0041】
また、VPN制御装置3の対端末装置通信機能部31は、端末装置1から受信する登録要求に含まれる端末識別情報と、端末装置のアドレス情報とを対応付けて記憶手段(VPN制御装置3のメモリ等)に格納し、そのアドレス情報を用いて当該端末識別情報に対応する端末装置1に情報を送信する機能を含む。なお、端末識別情報がアドレス情報である場合、この機能は必須ではないが、以下では、端末識別情報はアドレス情報と異なる名前等であるものとする。
【0042】
また、VPN制御装置3の対端末装置通信機能部31は、端末装置1から受信した登録要求をVPN設定情報処理部32に送信する機能、及びVPN設定情報処理部32から渡されるVPN設定情報を端末装置1に送信する機能を有する。
【0043】
VPN設定情報処理部32は、対端末装置通信機能部31から受信する登録要求に含まれる端末識別情報をVPN設定情報格納部33に格納する機能を有する。また、VPN設定情報処理部32は、外部から情報の入力を受ける機能を備え、端末識別情報とVPN設定情報とを有するVPN設定指示情報の入力を受けた場合に、当該指示情報をVPN設定情報格納部33に格納するとともに、当該端末識別情報が既にVPN設定情報格納部33に格納(登録)された端末識別情報である場合に、当該VPN設定情報を端末識別情報とともに対端末装置通信部31に渡す機能を有する。
【0044】
なお、端末装置1及びVPN制御装置3は、動作例1に対応する機能のみ、又は、動作例2に対応する機能のみを備えてもよいし、動作例1と動作例2の両方の機能を備えてもよい。
【0045】
次に、図7に示すシーケンスチャートを参照して動作例2を説明する。
【0046】
図7に示すように、端末装置1のVPN設定部13が、端末識別情報を含む登録要求をVPN制御装置3の対端末装置通信部31に送信する(ステップ11)。ここでは、例えば、端末装置3の電源が投入されたときにVPN設定部13が起動され、端末装置1がインターネット5に接続されたときに、VPN設定部13が外部からの操作指示なしに自動的に登録要求を送信する。
【0047】
登録要求を受信した対端末装置通信部31は、登録要求に含まれる端末識別情報と、送信元を示すアドレス情報を記憶手段に格納するとともに、登録要求をVPN設定情報処理部32に送信する(ステップ12)。
【0048】
そして、VPN設定情報処理部32は、受信した登録要求に含まれる端末識別情報をVPN設定情報格納部33に格納する(ステップ13)。その後、VPN設定情報処理部32が、端末識別情報と、対応するVPN設定情報とを含む指示情報の入力を受けた場合に(ステップ14)、当該指示情報をVPN設定情報格納部33に格納するとともに(ステップ15)、指示情報に含まれる端末識別情報が、既に登録されているか否かをチェックし(ステップ16、17)、登録されていれば、ステップ18以降の処理を行う。この時点で登録がされていなければ、登録がされた時点でステップ18以降の処理が行われる。指示情報に複数の端末装置1の情報が含まれている場合(図5に示すような情報の場合)、個々の端末識別情報に対応する端末装置毎に以下の処理が行われることになる。
【0049】
ステップ18において、VPN設定情報処理部32は、端末識別情報と、対応するVPN設定情報とを対端末装置通信部31に送信する。そして、対端末装置通信部31は、登録されているアドレス情報を利用して、端末識別情報に対応する端末装置1のVPN設定部13にVPN設定情報を送信する(ステップ19)。
【0050】
VPN設定情報を受信したVPN設定部13は、VPN設定情報に基づきVPN設定を行う(ステップ20)。そして、このVPN設定により生成されたVPN処理部15により、端末装置1とVPN集約装置2との間にVPNが構築される(ステップ21)。このVPNは、VPN設定情報に含まれるVPNプロトコル名のプロトコルにより実現されているVPNである。なお、端末装置1においてVPN設定が完了した後、完了応答がVPN制御装置3に返されることとしてもよい。
【0051】
<第2の実施の形態>
図8に、第2の実施の形態に係るシステムの構成例を示す。第2の実施の形態のシステムは、第1の実施の形態で説明した端末装置1が複数台インターネット5に接続されるとともに、第1の実施の形態で説明したVPN制御装置3がインターネットに接続される構成を有する。もちろん、端末装置1は、図2に示した構成でもよいし、図3に示した構成でもよい。
【0052】
この構成において、例えば、端末装置1(A)と端末装置1(B)との間にVPNを構築する動作例を図9のシーケンスチャートを参照して説明する。以下の例は、第1の実施の形態の動作例1に対応するものである。
【0053】
また、VPN制御装置3のVPN設定情報格納部33に、図10に示すテーブル情報が格納されているものとする。ここで例えば、VPN設定情報Aは、端末装置1(A)においてVPN設定を行ってVPN接続開始要求を端末装置1(B)に送信することによりVPN構築を行うための情報であり、VPN設定情報Bは、端末装置1(B)においてVPN設定を行って、VPN接続開始要求を端末装置1(A)から受信することによりVPN構築を行うための情報である。
【0054】
図9において、まず、端末装置1(A)のVPN設定部13が、端末識別情報を含むVPN設定情報要求をVPN制御装置3に送信する(ステップ31)。そして、VPN制御装置3では、図6に示したステップ2〜5の処理が行われ、端末装置1(A)のVPN設定部13に対してVPN設定情報Aが送信され、端末装置1(A)においてVPN設定がなされる(ステップ32、33)。
【0055】
同様に、端末装置1(B)のVPN設定部13が、端末識別情報を含むVPN設定情報要求をVPN制御装置3に送信する(ステップ33)。そして、VPN制御装置3では、図6に示したステップ2〜5の処理が行われ、端末装置1(B)のVPN設定部13に対してVPN設定情報Bが送信され、VPN設定がなされる(ステップ34、35)。
【0056】
その後、端末装置1(A)から端末装置1(B)に送信されるVPN接続開始要求に基づきVPN構築処理が開始され、VPNが構築される(ステップ36)。
【0057】
以上、動作例1に対応する動作を説明したが、上記の動作では、各端末装置において図6に示したシーケンスによりVPN設定がなされている。図8において各端末装置が動作例2の動作をする場合にも、同様にして各端末装置において図7で示したシーケンスによりVPN設定がなされ、端末装置間でVPN構築がなされる。
【0058】
<第3の実施の形態>
図11に第3の実施の形態に係るシステム構成図を示す。図11に示すように、本システムにおいて、複数の端末装置1と、複数のVPN集約装置2及びセンタサーバ4の組とがインターネット5に接続されるとともに、VPN制御装置3がインターネット5に接続されている。各端末装置1、各VPN集約装置2及びセンタサーバ4の組は、第1の実施の形態で説明したものと同じである。つまり各VPN集約装置2には、どの端末装置1ともVPN構築できるように設定がなされている。
【0059】
図12に、本実施の形態に係るVPN制御装置3の機能構成図を示す。本実施の形態に係るVPN制御装置3は、VPN設定情報編集部34を有する点のみが第1の実施の形態で説明したVPN制御装置3と異なる。
【0060】
VPN設定情報編集部34は、例えば、複数存在するセンタサーバ4の負荷ができるだけ均等になるように、VPN集約装置2に接続される端末装置1を決定し、その決定に応じたVPN接続ができるようにVPN設定情報を編集する機能部である。
【0061】
本実施の形態では、例えば、各センタサーバ4の負荷情報、及び各端末装置1の送受信データ量を、インターネット5上に備えられたネットワーク監視装置が定期的に取得し、取得した情報をVPN制御装置3のVPN設定情報編集部34に送信する。
【0062】
VPN設定情報編集部34は、例えば、他のセンタサーバよりも所定の量以上の大きな負荷のセンタサーバ(図11のVPN集約装置2(L)に接続されているものとする)がある場合に、そのセンタサーバ4に接続される端末装置1の中で、最も送受信データ量の大きな端末装置(端末装置1(M)とする)の接続先を、最も負荷の小さなセンタサーバ(VPN集約装置2(S)に接続されているとする)に変えることを決定する。つまり、負荷が最大のセンタサーバと負荷が最小のセンタサーバの間の負荷の差が、所定の量より小さくなるようにする。なお、上記の接続先は、VPN設定情報格納部33に格納された情報における接続先である。
【0063】
そして、VPN設定情報編集部34は、VPN設定情報格納部33に格納されているVPN設定情報において、図13(a)、(b)に示す編集を行う。ここで、VPN設定情報Lは、VPN集約装置2(L)との間でVPN構築するための設定情報であり、VPN設定情報Sは、VPN集約装置2(S)との間でVPN構築するための設定情報である。このような処理を、負荷が最大のセンタサーバと負荷が最小のセンタサーバの間の負荷の差が、所定の量より小さくなるまで行う。
【0064】
その後、例えば、VPN設定情報編集部34は、上記の編集において接続先が変更された端末装置の識別情報を出力し、運用者が、接続先が変更された端末装置1を把握し、その端末装置1に対して電源のOFF/ON等を行ってVPNの接続先変更を行う(動作例1)。
【0065】
また、VPN設定情報編集部34が、接続先が変更された端末装置の識別情報をVPN設定情報処理部32に通知し、通知を受けたVPN設定情報処理部32が、変更に係る端末識別情報とVPN設定情報とをVPN設定情報格納部33から読み出し、接続先変更命令とともに対端末装置通信部31に送り、対端末装置通信部31が、該当の端末装置1に接続先変更命令とVPN設定情報とを送信してもよい(動作例2)。これにより、該当の端末装置1においてVPN接続先の変更(切断、接続)がなされる。
【0066】
なお、上記の例は負荷の均等化処理の一例に過ぎず、様々な負荷分散処理を適用可能である。このように、本発明に係る技術を用いることにより、多数の端末装置1と複数のセンタサーバ4をVPN接続する構成において、センタサーバ間の負荷分散を容易に実現できる。
【0067】
(実施の形態の効果について)
以上説明したとおり、本発明に係る実施の形態で示した技術では、VPN制御装置3と端末装置1との間で、要求情報等の制御信号をやり取りすることにより複数種類のVPNプロトコルを一括して制御することが可能になっており、その結果、端末装置に対するVPN設定の手間を削減できる。なお、VPNプロトコルを一括して制御することから、上記制御信号はメタシグナリングと呼ぶことができる。
【0068】
また、本発明に係る実施の形態で示した技術では、複数のVPNプロトコル候補の中から、端末装置のネットワーク環境条件に応じたVPNプロトコルを選択し、遠隔から設定・変更することが可能となる。また、本技術では、VPNプロトコル自体を変更することで柔軟性を上げるのではなく、既存のVPNプロトコルから選択することにより、柔軟なVPN設定が可能になっている。
【0069】
また、上記のメタシグナリングを用いてVPN設定を行うので、オンデマンドにVPN設定を行うことができる。
【0070】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0071】
1 端末装置
2 VPN集約装置
3 VPN制御装置
4 センタサーバ
5 インターネット
11 アプリケーション部
12 VPN接続制御部
13 VPN設定部
14 対VPN制御装置通信部
15 VPN処理部
16 データ格納部
17 情報処理装置
18 VPN接続装置
31 対端末装置通信部
32 VPN設定情報処理部
33 VPN設定情報格納部
34 VPN設定情報編集部
【技術分野】
【0001】
本発明は、端末装置間でVPN(Virtual Private Network)を構築する技術に関するものであり、特に、所望のVPNプロトコルに基づくVPNを作業者の手間をかけずに構築する技術に関するものである。
【背景技術】
【0002】
インターネットが社会のインフラとなった現在では、通信機能を持つ組み込み機器等の端末装置がセンサーや機器制御等の用途で利用され始めている。このような端末装置を利用して、センタサーバがセンサー情報を収集したり、遠隔地の機器の制御を行うことが可能になっている。
【0003】
上記のような端末装置と、端末装置を管理するセンタサーバとの間の通信はセキュアな通信であることが必要であり、そのためにインターネット上で仮想的に閉域網を実現するIP-VPN(以下、単にVPNと記述する)の技術を適用することができる。
【0004】
端末装置を設置してセンタサーバとの間にVPNを構築するためには、端末装置に対して特定のVPNプロトコルに対応したVPN通信を可能とするための設定をすることになる。なお、本願に関連する従来技術として特許文献1に記載された技術がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002-111732号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
さて、VPNを実現するためのVPNプロトコルとしては、IPsec(Security Architecture for Internet Protocol)、TLS(Transport Layer Security)、 L2TP(Layer 2 Tunneling Protocol)など様々なプロトコルがあるが、VPNを利用するネットワーク環境や利用されるアプリケーションによって使用に適したプロトコルが異なる。例えば、LAN上に設置され、センタサーバ以外の装置とも通信を行う端末装置に関しては、センタサーバとの間にLayer 2 トンネルを形成するVPN方式を使用することはできない。また、例えばIPsecパケットを透過させない装置の配下にある端末装置においてはIPsecを使用することはできない。
【0007】
センサー情報や機器制御の管理装置として使用されるセンタサーバには多くの端末装置がVPNにより接続されるが、各々の端末装置に対してその端末装置に対応したVPNの設定を行う必要がある。
【0008】
しかし、VPN設定の設定項目は多岐にわたり、端末装置に対してVPN設定を行うことは煩雑な作業となる。また、様々な場所に設置された数多くの端末装置に対して、接続先変更といった設定変更を行う際にも、その作業の手間は膨大なものとなる。特に、センサーや機器制御のために利用される端末装置は、入力機能に乏しいのが一般的であり、VPN設定にかかる手間は普通のコンピュータ端末に比べて非常に大きい。
【0009】
また、従来は、端末装置において使用されるVPNプロトコルを動的に設定・変更する技術がなかったため、各端末装置に対してVPNプロトコルを設定・変更する際には、運用者が当該端末装置に適合したVPNプロトコルを把握し、そのVPNプロトコルに対応したVPN設定を行わなければならず、この点でも手間が大きかった。
【0010】
本発明は上記の点に鑑みてなされたものであり、端末装置に対するVPNの設定を手間をかけずに行うことを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記の課題を解決するために、本発明は、VPN接続装置と通信ネットワークを介して接続されるVPN制御装置であって、VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段と、前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供手段と、を備えたことを特徴とするVPN制御装置として構成される。
【0012】
前記VPN設定情報提供手段は、VPN接続装置から装置識別情報を含むVPN設定情報要求を受信し、当該装置識別情報に対応するVPN設定情報を前記VPN設定情報格納手段から取得し、当該取得したVPN設定情報を前記VPN接続装置に送信することとしてもよい。
【0013】
また、前記VPN設定情報提供手段は、VPN接続装置から装置識別情報を含む登録要求を受信し、当該装置識別情報を記憶手段に格納し、前記登録要求に含まれる装置識別情報に対応するVPN設定情報が前記VPN設定情報格納手段に格納された場合に、当該VPN設定情報を当該装置識別情報で識別される前記VPN接続装置に送信することとしてもよい。
また、本発明は、VPN設定情報を送信するVPN制御装置と通信ネットワークを介して接続されるVPN接続装置であって、VPN構築用プログラムを格納する格納手段と、前記VPN制御装置から、VPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を受信するVPN設定情報取得手段と、前記VPN設定情報に含まれる前記VPNプロトコル名に対応するVPN構築用プログラムを起動し、前記VPN接続先と前記パラメータ情報とを用いてVPN構築のための設定を行う設定手段とを備えたことを特徴とするVPN接続装置として構成することもできる。
【0014】
前記VPN設定情報取得手段は、前記VPN接続装置の装置識別情報を含む要求情報を前記VPN制御装置に送信した後に、当該VPN制御装置から前記VPN設定情報を受信することとしてもよい。
【発明の効果】
【0015】
本発明によれば、端末装置に対するVPNの設定を手間をかけずに迅速に行うことが可能となる。
【図面の簡単な説明】
【0016】
【図1】第1の実施の形態におけるシステム構成図である。
【図2】端末装置1の機能構成図である。
【図3】端末装置1の他の例の構成図である。
【図4】VPN制御装置3の機能構成図である。
【図5】VPN設定情報格納部33に格納される情報の例を示す図である。
【図6】第1の実施の形態におけるシステムの動作例1を説明するための図である。
【図7】第1の実施の形態におけるシステムの動作例2を説明するための図である。
【図8】第2の実施の形態におけるシステム構成図である。
【図9】第2の実施の形態におけるシステムの動作例を説明するための図である。
【図10】VPN設定情報格納部33に格納される情報の例を示す図である。
【図11】第3の実施の形態におけるシステム構成図である。
【図12】VPN制御装置3の他の例の機能構成図である。
【図13】VPN設定情報の編集を説明するための図である。
【発明を実施するための形態】
【0017】
以下、図面を参照して本発明の実施の形態について説明する。
【0018】
<第1の実施の形態>
(システム構成)
図1に本実施の形態に係るシステムの全体構成図を示す。図1に示すように、本実施の形態に係るシステムは、複数の端末装置1と、センタサーバ4が接続されたVPN集約装置2と、VPN制御装置3とがインターネット5に接続されて構成されている。
【0019】
図1に示すシステムにおいて、VPN制御装置3が実行する制御処理に基づき、複数の端末装置1の各々とVPN集約装置2との間にVPNが構築され、当該VPNを介して端末装置1とセンタサーバ4との間でデータ通信が行われる。データ通信としては、例えば、センタサーバ4から各端末装置1に対して制御情報が送信され、各端末装置1からセンタサーバ4に対して制御情報に基づく処理結果等が送られるといった内容のデータ通信が行われる。
【0020】
図2に、端末装置1の機能構成図を示す。図2に示すように、端末装置1は、アプリケーション部11と、VPN接続制御部12とを有する。
【0021】
アプリケーション部11は、例えば、端末装置1をセンサーとして機能させるための各種処理を行うアプリケーションにより実現される機能部であるが、特定のものに限定されるわけではない。
【0022】
VPN接続制御部12は、VPN設定部13、データ格納部16、VPN処理部15を有する。VPN設定部13は、対VPN制御装置通信部14を含み、対VPN制御装置通信部14の機能によりVPN制御装置3と通信を行って、VPN制御装置3に要求を送信し、VPN制御装置3からVPN構築に必要な情報であるVPN設定情報を取得し、取得したVPN設定情報に基づきVPN設定を行う機能部である。対VPN制御装置通信部14には、VPN制御装置3のアドレス情報が予め設定してある。
【0023】
VPN設定情報には、VPNの接続先(例えば、IPアドレス、ホスト名等)、VPNプロトコル名(TLS、TCP、IP、IPsec、UDP、L2TP、等)、VPNプロトコル名に対応するVPNを構築するために端末装置側で必要となる設定パラメータ値を含む。設定パラメータ値は、例えば、IPsecの場合であれば、SAやSPD設定に必要なパラメータ値等である。
【0024】
また、「VPN設定情報に基づきVPN設定を行う」とは、VPNプロトコル名に対応するVPN用のプログラムを端末装置1が起動するとともに、VPNの接続先情報や設定パラメータ値をデータ格納部16に格納したり、設定パラメータ値を有効にするために所定のコマンドを実行したりすることである。
【0025】
データ格納部16には、VPNプロトコル名に対応付けて各VPN用のプログラムが格納されるとともに、VPN設定情報に含まれていたVPNの接続先情報や設定パラメータ値が格納される。
【0026】
VPN処理部15は、起動されたVPN用プログラムに対応する機能部であり、VPNの接続先情報及び設定パラメータ値をデータ格納部16から読み出して、VPN集約装置2との間にVPNを構築する処理を行うとともに、アプリケーション部11が送受信するデータをカプセリング/デカプセリングする等のVPN通信実現のための処理を行う機能部である。
【0027】
端末装置1は、例えば、アプリケーション部11に対応するアプリケーションがインストールされ、記憶装置にVPN用各種プログラムが格納されたコンピュータ(CPU、メモリ等を含む構成)に、VPN設定部13に対応するプログラムを実行させることにより実現できる。
【0028】
なお、図2では、端末装置1内にアプリケーション部11とVPN接続制御部12とを備える構成を示しているが、これは一例に過ぎない。図3に示す構成のように、アプリケーション部11に対応する情報処理装置17と、VPN接続制御部12に対応するVPN接続装置18とを別々の装置として構成し、ネットワーク等で接続してもよい。この場合でも、VPN接続装置18内の機能構成は、図2に示すVPN接続制御部12内の構成と同様である。また、VPN接続装置18も、端末装置1と同様にして、記憶装置にVPN用各種プログラムが格納されたコンピュータ(CPU、メモリ等を含む構成)に、VPN設定部13に対応するプログラムを実行させることにより実現できる。なお、端末装置1もVPN接続装置と呼んでもよい。上記プログラムは、メモリ等の記録媒体に記録しておき、当該記録媒体からコンピュータにインストールすることができる。
【0029】
図4に、VPN制御装置3の機能構成図を示す。図4に示すように、VPN制御装置3は、対端末装置通信部31、VPN設定情報処理部32、及びVPN設定情報格納部33を備える。対端末装置通信部31は、端末装置1から要求を受信し、当該要求をVPN設定情報処理部32に送信し、VPN設定情報処理部32から渡されるVPN設定情報を端末装置1に返す機能部である。
【0030】
VPN設定情報処理部32は、対端末装置通信部31から受け取る要求に基づき、端末装置1に送信するべきVPN設定情報をVPN設定情報格納部33から取得し、それを対端末装置通信部31に渡す機能を備える。また、VPN設定情報処理部32は、装置外部から情報の入力を受ける機能を備え、VPN設定情報の入力を受けた場合にそれをVPN設定情報格納部33に格納(登録)する機能を備える。
【0031】
VPN設定情報格納部33は、VPN設定情報を格納する機能部であり、例えば図5に示すように、端末識別情報(名前、アドレス情報等の端末を識別できる情報)とVPN設定情報とが対応付けて格納される。これらのVPN設定情報は、運用者等により予め各端末装置毎に決定され、VPN設定情報格納部33に格納されるものである。
【0032】
VPN制御装置3は、コンピュータに、上述した各機能部に対応する機能を備えたプログラムを実行させることにより実現できる。当該プログラムは、メモリ等の記録媒体に記録しておく、当該記録媒体からコンピュータにインストールすることができる。
【0033】
また、対端末装置通信部31と、VPN設定情報処理部32及びVPN設定情報格納部33とは、ネットワークに接続された別々の装置であってもよい。
【0034】
(システムの動作例1)
以下、上記のシステム構成に対応するシステムの動作例1について図6のシーケンスチャートを参照して説明する。なお、動作例1において、VPN集約装置2には、各端末装置1との間でVPNを構築するための設定が既になされているものとする。つまり、VPN集約装置2は、システムに存在する任意の端末装置1からVPN接続開始要求を受けてその要求に対応した処理を行って、要求を送信した端末装置1とに間にVPNを構築するように設定がされている。この点は動作例2の場合も同様である。
【0035】
また、システムには複数の端末装置1が存在するが、各端末装置では同様の処理でVPN構築がなされるので、以下では1つの端末装置1とVPN集約装置2との間でVPN構築がなされる場合を説明する。
【0036】
図6に示すように、まず、端末装置1のVPN設定部13が、端末識別情報を含むVPN設定情報要求をVPN制御装置3の対端末装置通信部31に送信する(ステップ1)。ここでは、例えば、端末装置1の電源が投入されたときにVPN設定部13が起動され、端末装置1がインターネット5に接続されたときに、VPN設定部13が外部からの操作指示なしに自動的にVPN設定情報要求を送信する。これにより、端末装置1が入力機能に乏しい装置である場合でも、簡易にVPN設定を行うことができる。
【0037】
VPN設定情報要求を受信した対端末装置通信部31は、当該VPN設定情報要求をVPN設定情報処理部32に送信する(ステップ2)。そして、VPN設定情報処理部32は、受信したVPN設定情報要求に含まれる端末識別情報を用いてVPN設定情報格納部33を検索し、当該端末識別情報に対応するVPN設定情報を取得する(ステップ3、4)。
【0038】
VPN設定情報処理部32は、取得したVPN設定情報を端末識別情報とともに対端末装置通信部31に送信し(ステップ5)、対端末装置通信部31は、当該端末識別情報に対応する端末装置1のVPN設定部13にVPN設定情報を送信する(ステップ6)。
【0039】
VPN設定情報を受信したVPN設定部13は、VPN設定情報に基づきVPN設定を行う(ステップ7)。そして、このVPN設定により生成されたVPN処理部15により、端末装置1とVPN集約装置2との間にVPNが構築される(ステップ8)。このVPNは、VPN設定情報に含まれるVPNプロトコル名のプロトコルにより実現されたVPNである。
【0040】
(システムの動作例2)
次に、システムの動作例2について説明する。本動作例2についてのシステム構成は図1〜図5に示す構成と同様であるが、一部の機能部における機能が動作例1の場合と異なる。異なる機能は具体的には下記のとおりである。
本例において、VPN設定部13は、対VPN制御装置通信部14により、VPN制御装置3の対端末装置通信部31に対して登録要求(端末装置1の端末識別情報を含む)を送信する機能と、VPN制御装置3からVPN接続に必要な情報であるVPN設定情報を受信し、受信したVPN設定情報に基づきVPN設定を行う機能を有する。なお、例えば、端末識別情報として端末装置1の名前を使用する場合において、登録要求に端末装置1の端末識別情報とアドレス情報とを含めてもよい。
【0041】
また、VPN制御装置3の対端末装置通信機能部31は、端末装置1から受信する登録要求に含まれる端末識別情報と、端末装置のアドレス情報とを対応付けて記憶手段(VPN制御装置3のメモリ等)に格納し、そのアドレス情報を用いて当該端末識別情報に対応する端末装置1に情報を送信する機能を含む。なお、端末識別情報がアドレス情報である場合、この機能は必須ではないが、以下では、端末識別情報はアドレス情報と異なる名前等であるものとする。
【0042】
また、VPN制御装置3の対端末装置通信機能部31は、端末装置1から受信した登録要求をVPN設定情報処理部32に送信する機能、及びVPN設定情報処理部32から渡されるVPN設定情報を端末装置1に送信する機能を有する。
【0043】
VPN設定情報処理部32は、対端末装置通信機能部31から受信する登録要求に含まれる端末識別情報をVPN設定情報格納部33に格納する機能を有する。また、VPN設定情報処理部32は、外部から情報の入力を受ける機能を備え、端末識別情報とVPN設定情報とを有するVPN設定指示情報の入力を受けた場合に、当該指示情報をVPN設定情報格納部33に格納するとともに、当該端末識別情報が既にVPN設定情報格納部33に格納(登録)された端末識別情報である場合に、当該VPN設定情報を端末識別情報とともに対端末装置通信部31に渡す機能を有する。
【0044】
なお、端末装置1及びVPN制御装置3は、動作例1に対応する機能のみ、又は、動作例2に対応する機能のみを備えてもよいし、動作例1と動作例2の両方の機能を備えてもよい。
【0045】
次に、図7に示すシーケンスチャートを参照して動作例2を説明する。
【0046】
図7に示すように、端末装置1のVPN設定部13が、端末識別情報を含む登録要求をVPN制御装置3の対端末装置通信部31に送信する(ステップ11)。ここでは、例えば、端末装置3の電源が投入されたときにVPN設定部13が起動され、端末装置1がインターネット5に接続されたときに、VPN設定部13が外部からの操作指示なしに自動的に登録要求を送信する。
【0047】
登録要求を受信した対端末装置通信部31は、登録要求に含まれる端末識別情報と、送信元を示すアドレス情報を記憶手段に格納するとともに、登録要求をVPN設定情報処理部32に送信する(ステップ12)。
【0048】
そして、VPN設定情報処理部32は、受信した登録要求に含まれる端末識別情報をVPN設定情報格納部33に格納する(ステップ13)。その後、VPN設定情報処理部32が、端末識別情報と、対応するVPN設定情報とを含む指示情報の入力を受けた場合に(ステップ14)、当該指示情報をVPN設定情報格納部33に格納するとともに(ステップ15)、指示情報に含まれる端末識別情報が、既に登録されているか否かをチェックし(ステップ16、17)、登録されていれば、ステップ18以降の処理を行う。この時点で登録がされていなければ、登録がされた時点でステップ18以降の処理が行われる。指示情報に複数の端末装置1の情報が含まれている場合(図5に示すような情報の場合)、個々の端末識別情報に対応する端末装置毎に以下の処理が行われることになる。
【0049】
ステップ18において、VPN設定情報処理部32は、端末識別情報と、対応するVPN設定情報とを対端末装置通信部31に送信する。そして、対端末装置通信部31は、登録されているアドレス情報を利用して、端末識別情報に対応する端末装置1のVPN設定部13にVPN設定情報を送信する(ステップ19)。
【0050】
VPN設定情報を受信したVPN設定部13は、VPN設定情報に基づきVPN設定を行う(ステップ20)。そして、このVPN設定により生成されたVPN処理部15により、端末装置1とVPN集約装置2との間にVPNが構築される(ステップ21)。このVPNは、VPN設定情報に含まれるVPNプロトコル名のプロトコルにより実現されているVPNである。なお、端末装置1においてVPN設定が完了した後、完了応答がVPN制御装置3に返されることとしてもよい。
【0051】
<第2の実施の形態>
図8に、第2の実施の形態に係るシステムの構成例を示す。第2の実施の形態のシステムは、第1の実施の形態で説明した端末装置1が複数台インターネット5に接続されるとともに、第1の実施の形態で説明したVPN制御装置3がインターネットに接続される構成を有する。もちろん、端末装置1は、図2に示した構成でもよいし、図3に示した構成でもよい。
【0052】
この構成において、例えば、端末装置1(A)と端末装置1(B)との間にVPNを構築する動作例を図9のシーケンスチャートを参照して説明する。以下の例は、第1の実施の形態の動作例1に対応するものである。
【0053】
また、VPN制御装置3のVPN設定情報格納部33に、図10に示すテーブル情報が格納されているものとする。ここで例えば、VPN設定情報Aは、端末装置1(A)においてVPN設定を行ってVPN接続開始要求を端末装置1(B)に送信することによりVPN構築を行うための情報であり、VPN設定情報Bは、端末装置1(B)においてVPN設定を行って、VPN接続開始要求を端末装置1(A)から受信することによりVPN構築を行うための情報である。
【0054】
図9において、まず、端末装置1(A)のVPN設定部13が、端末識別情報を含むVPN設定情報要求をVPN制御装置3に送信する(ステップ31)。そして、VPN制御装置3では、図6に示したステップ2〜5の処理が行われ、端末装置1(A)のVPN設定部13に対してVPN設定情報Aが送信され、端末装置1(A)においてVPN設定がなされる(ステップ32、33)。
【0055】
同様に、端末装置1(B)のVPN設定部13が、端末識別情報を含むVPN設定情報要求をVPN制御装置3に送信する(ステップ33)。そして、VPN制御装置3では、図6に示したステップ2〜5の処理が行われ、端末装置1(B)のVPN設定部13に対してVPN設定情報Bが送信され、VPN設定がなされる(ステップ34、35)。
【0056】
その後、端末装置1(A)から端末装置1(B)に送信されるVPN接続開始要求に基づきVPN構築処理が開始され、VPNが構築される(ステップ36)。
【0057】
以上、動作例1に対応する動作を説明したが、上記の動作では、各端末装置において図6に示したシーケンスによりVPN設定がなされている。図8において各端末装置が動作例2の動作をする場合にも、同様にして各端末装置において図7で示したシーケンスによりVPN設定がなされ、端末装置間でVPN構築がなされる。
【0058】
<第3の実施の形態>
図11に第3の実施の形態に係るシステム構成図を示す。図11に示すように、本システムにおいて、複数の端末装置1と、複数のVPN集約装置2及びセンタサーバ4の組とがインターネット5に接続されるとともに、VPN制御装置3がインターネット5に接続されている。各端末装置1、各VPN集約装置2及びセンタサーバ4の組は、第1の実施の形態で説明したものと同じである。つまり各VPN集約装置2には、どの端末装置1ともVPN構築できるように設定がなされている。
【0059】
図12に、本実施の形態に係るVPN制御装置3の機能構成図を示す。本実施の形態に係るVPN制御装置3は、VPN設定情報編集部34を有する点のみが第1の実施の形態で説明したVPN制御装置3と異なる。
【0060】
VPN設定情報編集部34は、例えば、複数存在するセンタサーバ4の負荷ができるだけ均等になるように、VPN集約装置2に接続される端末装置1を決定し、その決定に応じたVPN接続ができるようにVPN設定情報を編集する機能部である。
【0061】
本実施の形態では、例えば、各センタサーバ4の負荷情報、及び各端末装置1の送受信データ量を、インターネット5上に備えられたネットワーク監視装置が定期的に取得し、取得した情報をVPN制御装置3のVPN設定情報編集部34に送信する。
【0062】
VPN設定情報編集部34は、例えば、他のセンタサーバよりも所定の量以上の大きな負荷のセンタサーバ(図11のVPN集約装置2(L)に接続されているものとする)がある場合に、そのセンタサーバ4に接続される端末装置1の中で、最も送受信データ量の大きな端末装置(端末装置1(M)とする)の接続先を、最も負荷の小さなセンタサーバ(VPN集約装置2(S)に接続されているとする)に変えることを決定する。つまり、負荷が最大のセンタサーバと負荷が最小のセンタサーバの間の負荷の差が、所定の量より小さくなるようにする。なお、上記の接続先は、VPN設定情報格納部33に格納された情報における接続先である。
【0063】
そして、VPN設定情報編集部34は、VPN設定情報格納部33に格納されているVPN設定情報において、図13(a)、(b)に示す編集を行う。ここで、VPN設定情報Lは、VPN集約装置2(L)との間でVPN構築するための設定情報であり、VPN設定情報Sは、VPN集約装置2(S)との間でVPN構築するための設定情報である。このような処理を、負荷が最大のセンタサーバと負荷が最小のセンタサーバの間の負荷の差が、所定の量より小さくなるまで行う。
【0064】
その後、例えば、VPN設定情報編集部34は、上記の編集において接続先が変更された端末装置の識別情報を出力し、運用者が、接続先が変更された端末装置1を把握し、その端末装置1に対して電源のOFF/ON等を行ってVPNの接続先変更を行う(動作例1)。
【0065】
また、VPN設定情報編集部34が、接続先が変更された端末装置の識別情報をVPN設定情報処理部32に通知し、通知を受けたVPN設定情報処理部32が、変更に係る端末識別情報とVPN設定情報とをVPN設定情報格納部33から読み出し、接続先変更命令とともに対端末装置通信部31に送り、対端末装置通信部31が、該当の端末装置1に接続先変更命令とVPN設定情報とを送信してもよい(動作例2)。これにより、該当の端末装置1においてVPN接続先の変更(切断、接続)がなされる。
【0066】
なお、上記の例は負荷の均等化処理の一例に過ぎず、様々な負荷分散処理を適用可能である。このように、本発明に係る技術を用いることにより、多数の端末装置1と複数のセンタサーバ4をVPN接続する構成において、センタサーバ間の負荷分散を容易に実現できる。
【0067】
(実施の形態の効果について)
以上説明したとおり、本発明に係る実施の形態で示した技術では、VPN制御装置3と端末装置1との間で、要求情報等の制御信号をやり取りすることにより複数種類のVPNプロトコルを一括して制御することが可能になっており、その結果、端末装置に対するVPN設定の手間を削減できる。なお、VPNプロトコルを一括して制御することから、上記制御信号はメタシグナリングと呼ぶことができる。
【0068】
また、本発明に係る実施の形態で示した技術では、複数のVPNプロトコル候補の中から、端末装置のネットワーク環境条件に応じたVPNプロトコルを選択し、遠隔から設定・変更することが可能となる。また、本技術では、VPNプロトコル自体を変更することで柔軟性を上げるのではなく、既存のVPNプロトコルから選択することにより、柔軟なVPN設定が可能になっている。
【0069】
また、上記のメタシグナリングを用いてVPN設定を行うので、オンデマンドにVPN設定を行うことができる。
【0070】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0071】
1 端末装置
2 VPN集約装置
3 VPN制御装置
4 センタサーバ
5 インターネット
11 アプリケーション部
12 VPN接続制御部
13 VPN設定部
14 対VPN制御装置通信部
15 VPN処理部
16 データ格納部
17 情報処理装置
18 VPN接続装置
31 対端末装置通信部
32 VPN設定情報処理部
33 VPN設定情報格納部
34 VPN設定情報編集部
【特許請求の範囲】
【請求項1】
VPN接続装置と通信ネットワークを介して接続されるVPN制御装置であって、
VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段と、
前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供手段と、
を備えたことを特徴とするVPN制御装置。
【請求項2】
前記VPN設定情報提供手段は、VPN接続装置から装置識別情報を含むVPN設定情報要求を受信し、当該装置識別情報に対応するVPN設定情報を前記VPN設定情報格納手段から取得し、当該取得したVPN設定情報を前記VPN接続装置に送信することを特徴とする請求項1に記載のVPN制御装置。
【請求項3】
前記VPN設定情報提供手段は、
VPN接続装置から装置識別情報を含む登録要求を受信し、当該装置識別情報を記憶手段に格納し、
前記登録要求に含まれる装置識別情報に対応するVPN設定情報が前記VPN設定情報格納手段に格納された場合に、当該VPN設定情報を当該装置識別情報で識別される前記VPN接続装置に送信することを特徴とする請求項1又は2に記載のVPN制御装置。
【請求項4】
VPN設定情報を送信するVPN制御装置と通信ネットワークを介して接続されるVPN接続装置であって、
VPN構築用プログラムを格納する格納手段と、
前記VPN制御装置から、VPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を受信するVPN設定情報取得手段と、
前記VPN設定情報に含まれる前記VPNプロトコル名に対応するVPN構築用プログラムを起動し、前記VPN接続先と前記パラメータ情報とを用いてVPN構築のための設定を行う設定手段と
を備えたことを特徴とするVPN接続装置。
【請求項5】
前記VPN設定情報取得手段は、前記VPN接続装置の装置識別情報を含む要求情報を前記VPN制御装置に送信した後に、当該VPN制御装置から前記VPN設定情報を受信することを特徴とする請求項4に記載のVPN接続装置。
【請求項6】
通信ネットワークを介して接続されたVPN接続装置とVPN制御装置とが実行するVPN設定方法であって、
前記VPN制御装置は、VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段を備え、前記VPN接続装置は、VPN構築用プログラムを格納する格納手段を備え、前記VPN設定方法は、
前記VPN制御装置が、前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供ステップと、
前記VPN接続装置が、前記VPN制御装置から前記VPN設定情報を受信するVPN設定情報取得ステップと、
前記VPN接続装置が、前記VPN設定情報に含まれる前記VPNプロトコル名に対応するVPN構築用プログラムを起動し、前記VPN接続先と前記パラメータ情報とを用いてVPN構築のための設定を行う設定ステップと
を備えたことを特徴とするVPN設定方法。
【請求項7】
VPN接続装置と通信ネットワークを介して接続されるコンピュータをVPN制御装置として機能させるためのプログラムであって、
前記コンピュータは、VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段を備え、前記プログラムは、前記コンピュータを、
前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供手段として機能させることを特徴とするプログラム。
【請求項8】
VPN設定情報を送信するVPN制御装置と通信ネットワークを介して接続されるコンピュータをVPN接続装置として機能させるためのプログラムであって、前記コンピュータは、VPN構築用プログラムを格納する格納手段を備え、前記プログラムは、前記コンピュータを、
前記VPN制御装置から、VPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を受信するVPN設定情報取得手段、
前記VPN設定情報に含まれる前記VPNプロトコル名に対応するVPN構築用プログラムを起動し、前記VPN接続先と前記パラメータ情報とを用いてVPN構築のための設定を行う設定手段、
として機能させることを特徴とするプログラム。
【請求項1】
VPN接続装置と通信ネットワークを介して接続されるVPN制御装置であって、
VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段と、
前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供手段と、
を備えたことを特徴とするVPN制御装置。
【請求項2】
前記VPN設定情報提供手段は、VPN接続装置から装置識別情報を含むVPN設定情報要求を受信し、当該装置識別情報に対応するVPN設定情報を前記VPN設定情報格納手段から取得し、当該取得したVPN設定情報を前記VPN接続装置に送信することを特徴とする請求項1に記載のVPN制御装置。
【請求項3】
前記VPN設定情報提供手段は、
VPN接続装置から装置識別情報を含む登録要求を受信し、当該装置識別情報を記憶手段に格納し、
前記登録要求に含まれる装置識別情報に対応するVPN設定情報が前記VPN設定情報格納手段に格納された場合に、当該VPN設定情報を当該装置識別情報で識別される前記VPN接続装置に送信することを特徴とする請求項1又は2に記載のVPN制御装置。
【請求項4】
VPN設定情報を送信するVPN制御装置と通信ネットワークを介して接続されるVPN接続装置であって、
VPN構築用プログラムを格納する格納手段と、
前記VPN制御装置から、VPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を受信するVPN設定情報取得手段と、
前記VPN設定情報に含まれる前記VPNプロトコル名に対応するVPN構築用プログラムを起動し、前記VPN接続先と前記パラメータ情報とを用いてVPN構築のための設定を行う設定手段と
を備えたことを特徴とするVPN接続装置。
【請求項5】
前記VPN設定情報取得手段は、前記VPN接続装置の装置識別情報を含む要求情報を前記VPN制御装置に送信した後に、当該VPN制御装置から前記VPN設定情報を受信することを特徴とする請求項4に記載のVPN接続装置。
【請求項6】
通信ネットワークを介して接続されたVPN接続装置とVPN制御装置とが実行するVPN設定方法であって、
前記VPN制御装置は、VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段を備え、前記VPN接続装置は、VPN構築用プログラムを格納する格納手段を備え、前記VPN設定方法は、
前記VPN制御装置が、前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供ステップと、
前記VPN接続装置が、前記VPN制御装置から前記VPN設定情報を受信するVPN設定情報取得ステップと、
前記VPN接続装置が、前記VPN設定情報に含まれる前記VPNプロトコル名に対応するVPN構築用プログラムを起動し、前記VPN接続先と前記パラメータ情報とを用いてVPN構築のための設定を行う設定ステップと
を備えたことを特徴とするVPN設定方法。
【請求項7】
VPN接続装置と通信ネットワークを介して接続されるコンピュータをVPN制御装置として機能させるためのプログラムであって、
前記コンピュータは、VPN接続装置のVPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を、当該VPN接続装置を識別する装置識別情報と対応付けて格納するVPN設定情報格納手段を備え、前記プログラムは、前記コンピュータを、
前記VPN設定情報格納手段に格納されたVPN設定情報を、当該VPN設定情報に対応する装置識別情報で識別されるVPN接続装置に送信するVPN設定情報提供手段として機能させることを特徴とするプログラム。
【請求項8】
VPN設定情報を送信するVPN制御装置と通信ネットワークを介して接続されるコンピュータをVPN接続装置として機能させるためのプログラムであって、前記コンピュータは、VPN構築用プログラムを格納する格納手段を備え、前記プログラムは、前記コンピュータを、
前記VPN制御装置から、VPN接続先と、VPNプロトコル名と、VPN構築のために用いられるパラメータ情報とを含むVPN設定情報を受信するVPN設定情報取得手段、
前記VPN設定情報に含まれる前記VPNプロトコル名に対応するVPN構築用プログラムを起動し、前記VPN接続先と前記パラメータ情報とを用いてVPN構築のための設定を行う設定手段、
として機能させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2010−200032(P2010−200032A)
【公開日】平成22年9月9日(2010.9.9)
【国際特許分類】
【出願番号】特願2009−43140(P2009−43140)
【出願日】平成21年2月25日(2009.2.25)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
【公開日】平成22年9月9日(2010.9.9)
【国際特許分類】
【出願日】平成21年2月25日(2009.2.25)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
[ Back to top ]