[go: up one dir, main page]

JP2010154097A - 通信制御装置、通信制御方法および通信制御プログラム - Google Patents

通信制御装置、通信制御方法および通信制御プログラム Download PDF

Info

Publication number
JP2010154097A
JP2010154097A JP2008328437A JP2008328437A JP2010154097A JP 2010154097 A JP2010154097 A JP 2010154097A JP 2008328437 A JP2008328437 A JP 2008328437A JP 2008328437 A JP2008328437 A JP 2008328437A JP 2010154097 A JP2010154097 A JP 2010154097A
Authority
JP
Japan
Prior art keywords
information
communication device
session
communication
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008328437A
Other languages
English (en)
Inventor
Hideki Yamada
英樹 山田
Shintaro Mizuno
伸太郎 水野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008328437A priority Critical patent/JP2010154097A/ja
Publication of JP2010154097A publication Critical patent/JP2010154097A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】パケットを高速に中継することを課題とする。
【解決手段】通信制御装置は、セッションが確立された通信機器(UA1)と通信機器(UA2)との間でやり取りされるパケットを送信先に中継するためのアドレス変換情報を示すNATテーブルを作成し、セッションが確立されたUA1またはUA2との間で交換されるVPNを接続するための仮想通信路情報を受信した場合に、NATテーブルに基づいて、受信した仮想通信路情報のアドレス情報を変換して、送信先に中継し、その後、VPNで接続されたUA1またはUA2から送信されたパケットを受信した場合に、NATテーブルに基づいて、受信したパケットのアドレス情報を変換して、送信先に中継する。
【選択図】 図2

Description

この発明は、異なるネットワーク間を相互接続する第一の通信機器および第二の通信機器それぞれとセッションを確立する通信制御装置、通信制御方法および通信制御プログラムに関する。
従来より、IP(Internet Protocol)電話、テレビ会議、インスタントメッセンジャーなどリアルタイム性が要求される通信が普及するのに伴い、2つ以上のクライアント間でセッションを確立するためのセッション制御プロトコルであるSIP(Session Initiation Protocol)が利用されている。
また、IPsecVPN(Security Architecture for Internet Protocol Virtual Private Network)を動的に設定するプロトコルとして、VPN接続するのに必要な鍵情報などを交換することのできるIKEv2(Internet Key Exchange version 2)が利用されている。
"Internet Key Exchange(IKEv2)Protocol、RFC4306"、[online]、[平成20年9月5日検索]、インターネット<http://www.ietf.org/rfc/rfc4306.txt>
しかしながら、上記した従来の技術では、第三者による発呼(第三者呼制御)で二者間を中継するVPNの設定を行うことができないという課題があった。具体的には、図11に示すように、通信制御装置UA3が、通信機器UA1と通信機器UA2とを第三者呼制御によりVPN接続する例について説明する。
例えば、管理者端末がUA3に対してUA1とUA2とをVPN接続する要求を出力すると(ステップS301)、これを受けたUA3は、UA1とIKE通信を開始して鍵情報など交換し(ステップS302とステップS303)、UA1との間でVPNコネクションを確立する(ステップS304)。同様に、UA3は、UA2とIKE通信を開始して鍵情報など交換し(ステップS305とステップS306)、UA2との間でVPNコネクションを確立する(ステップS307)。
その結果、UA3は、UA1との間にVPN1を確立し、UA2との間にVPN2を確立することとなる(ステップS308とステップS309)。そして、UA1から送信されたデータは、UA3において復号化されてUA2の暗号鍵で再暗号化した後に、UA2に転送されることとなる。
すなわち、UA3とUA1、UA3とUA2は、それぞれ別の暗号鍵を用いてVPN接続されているので、UA1からUA2にデータを送信する場合に、UA1とUA2との両方に接続されるUA3において、UA1との間の暗号化を一度復号化した後、再度、UA2に適した暗号化を行った上で、データを送信する必要がある。したがって、上記した従来の技術では、第三者による発呼(第三者呼制御)で二者間を中継することができず、復号化および再暗号化処理を実施する必要がある。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、第三者による発呼で二者間を中継するVPNの設定を行うことが可能である通信制御装置、通信制御方法および通信制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、異なるネットワーク間を相互接続する第一の通信機器および第二の通信機器それぞれとセッションを確立する通信制御装置であって、前記セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、前記セッションが確立された第一の通信機器と第二の通信機器との間でやり取りされるパケットを送信先に中継するためのアドレス変換情報を示すネットワークアドレス変換テーブルを作成するテーブル作成手段と、前記セッションが確立された第一の通信機器または第二の通信機器との間で交換される仮想通信路を接続するための仮想通信路情報を受信した場合に、前記テーブル作成手段で作成されるネットワークアドレス変換テーブルに基づいて、受信した仮想通信路情報のアドレス情報を変換して、送信先に中継する通信路情報中継手段と、前記中継手段により仮想通信路情報が中継されて、前記仮想通信路で接続された第一の通信機器または第二の通信機器から送信されたパケットを受信した場合に、前記テーブル作成手段で作成されたネットワークアドレス変換テーブルに基づいて、受信したパケットのアドレス情報を変換して、送信先に中継するパケット中継手段と、を備えたことを特徴とする。
本発明によれば、第三者による発呼で二者間を中継するVPNの設定を行うことが可能である。また、本発明によれば、暗号化されたパケットを高速に中継することが可能である。
以下に添付図面を参照して、この発明に係る通信制御装置、通信制御方法および通信制御プログラムの実施例を詳細に説明する。なお、以下では、本実施例で用いる主要な用語、本実施例に係る通信制御装置の概要、通信制御装置の構成および処理の流れを順に説明し、最後に本実施例に対する種々の変形例を説明する。
[用語の説明]
以下の実施例で用いる「VPN(Virtual Private Network)」(特許請求の範囲に記載の「仮想通信路」に対応する)とは、例えば、SIP網に接続された2つのLAN同士を、あたかも専用回線によって接続するかのように接続することを目的として、当該SIP網に生成された仮想的な通信路のことである。LANに設置された「通信機器(特許請求の範囲に記載の「第一の通信機器」に対応する)」がVPNを生成する機能を備え、2つのLANを接続する「VPN」が生成される。
なお、「第一の通信機器」とは、アドレス変換やデータの載せ換えなどを行うことにより異なるネットワーク間を相互接続するゲートウェイ装置やHGW(ホームゲートウェイ)のことであり、インターネットとLANの間に配置され、ホームルータ、プロトコル変換、ファイアウォールなどの機能や放送受信機能などのセットトップボックスを備える。
また、「第一の通信機器」は、SIPによって確立されたセッションを用いて「VPN」を生成する際、通信相手となる「第二の通信機器」のIP(Internet Protocol)アドレスやポート番号を取得し、取得したこれらの情報を用いて通信相手となる「第二の通信機器」とネゴシエーションしなければならない。このため、「第一の通信機器」は、通信相手となる「第二の通信機器」から、SDP(Session Description Protocol)と呼ばれる記述言語によってIPアドレスやポート番号が記述されたSIPによる呼を受け付け、これらの情報を取得する。そして、「第一の通信機器」は、取得したこれらの情報を用いて、通信相手となる「第二の通信機器」との間でIKE(Internet Key Exchange)などによる相互認証を行い、相互認証で交換した暗号鍵を用いてデータを暗号化するなどすることで、通信相手となる「第二の通信機器」との間で、IPSec(Security Architecture for Internet Protocol)接続を確立する。こうして、2つの「通信機器」間に「VPN」が生成されるのである。「VPN」が生成されれば、2つの家庭LAN同士で、VPN越しにIPベースのアプリケーションを利用することができ、例えば、情報家電などを使ったコンテンツ共有などを実現することができる。
なお、IKEなどによる相互認証において、通信相手を認可するか否かの判断には、上記したように、IPアドレスを用いることもできるが、網の構成によって認証強度が劣ってしまうおそれがある。そこで、IPアドレスではなく、電話番号を用いることで、相互認証を行ってもよい。
なお、本実施例では、「通信機器」同士のセッションをSIPによって確立した例について説明するが、SIPによる確立手法に限定されるものではなく、コネクション確立型のプロトコルであれば、どのようなプロトコルを用いてセッションを確立してもよい。また、上記したLANとは、家庭内LANや企業内LANなどのような閉域網であれば、どのようなLANであってもよい。
[通信制御装置の概要]
次に、図1を用いて、実施例1に係る通信制御装置の概要を説明する。図1は、実施例1に係る通信制御装置を含む通信システムの全体構成を示す図である。
図1に示すように、この通信システムは、SIP網に接続される通信制御装置と、LAN(A)に接続される通信機器(UA1)と、LAN(B)に接続される通信機器(UA2)とを有する。そして、通信制御装置には、IPアドレス「IP3」が設定されており、通信機器(UA1)には、IPアドレス「IP1」が設定されており、通信機器(UA2)には、IPアドレス「IP2」が設定されている。
また、LAN(A)には、PCや情報家電(例えば、WebTVやハードディスクレコーダーなど)を示す「機器A」が接続されており、LAN(B)には、同様に、「機器B」が接続されている。なお、それぞれのLAN内における機器同士の相互接続は、IPやDLNA(Digital Living Network Alliance)、UPnP(Universal Plug and Play)などのプロトコルにより行われている。
このような状態において、実施例1に係る通信制御装置は、異なるネットワーク間を相互接続する通信機器(UA1)および通信機器(UA2)とのそれぞれとセッション確立して、通信機器(UA1)と通信機器(UA2)との間でやり取りされるパケットを中継することを概要とするものであり、特に、どのようなパケットであっても高速に中継することができる。
具体的には、通信制御装置は、ユーザなどによりUA1とUA2との接続が指示されると、UA1とUA2とのそれぞれとSIPの「INVITEメッセージ」と「200 OKメッセージ」とをやり取りして、UA1およびUA2のそれぞれとSIPによるセッションを確立する(図1の(1)参照)。
そして、通信制御装置は、SIPによるセッションを確立する際にやり取りした「INVITEメッセージ」および「200 OKメッセージ」のそれぞれに含まれるSDPで記述されたセッション情報(アドレス情報)を取得して、ネットワークアドレス変換テーブル(NATテーブル)を作成する(図1の(2)参照)。
具体的に例を挙げると、通信制御装置は、UA1とのやり取りにおいてUA1のIPアドレス「IP1」を取得し、UA2とのやり取りにおいてUA2のIPアドレス「IP2」を取得する。続いて、通信制御装置は、別々に接続した「UA1とのセッション」と「UA2とのセッション」とを一つのセッションとして、UA1から送信されたパケットをUA2に中継し、UA2から送信されたパケットをUA1に中継するために、『受信したパケットのアドレス情報を示す「in」』と『送信先となるアドレス情報を示す「out」』とを対応付けたNATテーブルを作成する。例えば、通信制御装置は、「in、out」として「(src:IP1、dst:IP3)、(src:IP3、dst:IP2)」や「(src:IP2、dst:IP3)、(src:IP3、dst:IP1)」などと記憶されるNATテーブルを作成する。
続いて、通信制御装置は、セッションが確立されたUA1またはUA2から、仮想通信路(VPN)を接続するために仮想通信路情報(VPN認証や鍵交換(IKE)パケット)を受信した場合に、作成されたNATテーブルに基づいて、受信した情報を送信先に中継する(図1の(3)参照)。具体的に例を挙げると、通信制御装置は、IKEによる認証および鍵交換のパケットをUA1から受信した場合には、作成したNATテーブルに従って、当該パケットをUA2に転送し、同様のパケットをUA2から受信した場合には、作成したNATテーブルに従って、当該パケットをUA1に転送する。このようにして、VPN認証および鍵交換が実施されることで、UA1とUA2とがVPNで接続される。
その後、通信制御装置は、VPNで接続された通信機器(UA1)または通信機器(UA2)から送信されたパケットを受信した場合に、作成されたNATテーブルに基づいて、受信したパケットのアドレス情報を変換して、送信先に中継する(図1の(4)参照)。具体的には、通信制御装置は、UA1からパケットを受信した場合に、当該パケットの送信元(src)と送信先(dst)とをNATテーブルに基づいて変換して、UA2に転送する。同様に、UA2からパケットを受信した場合に、当該パケットの送信元(src)と送信先(dst)とをNATテーブルに基づいて変換して、UA1に転送する。
このように、実施例1に係る通信制御装置は、別々に確立されたセッション間であっても、セッションを確立する際に取得したセッション情報から作成したNATテーブルに基づいて、セッション間に流れるパケットのアドレス情報を変換するだけで、あたかも一つのセッションのように、パケット転送(中継)を行うことができる結果、どのようなパケットであっても高速に中継することができる。
[通信制御装置の構成]
次に、図2を用いて、図1に示した通信制御装置の構成を説明する。図2は、実施例1に係る通信制御装置の構成を示すブロック図である。図2に示すように、この通信制御装置10は、通信制御I/F部11と、無線通信I/F部12と、記憶部20と、制御部30とから構成される。
かかる通信制御I/F部11は、SIP網を介して他の装置との間でやり取りする各種情報に関する通信を制御する。具体的には、通信制御I/F部11は、制御部30の接続要求受信部31と接続され、セッションを確立するためのSIPメッセージや、VPN認証、IKEネゴシエーションパケットなどのように通信機器(UA1)と通信機器(UA2)の間でやり取りされる各種パケットを受信したりする。
無線通信I/F部12は、無線通信を用いて他の装置との間でやり取りする各種情報を制御する。具体的には、無線通信I/F部12は、制御部30の接続要求受信部31と接続され、電子メール機能やメッセンジャー機能を有し、携帯電話などとの間でやり取りする各種情報を制御する。
記憶部20は、制御部30による各種処理に必要なデータおよびプログラム、ルーティング情報を格納するとともに、NATテーブル21を有する。
NATテーブル21は、セッションが確立されたUA1とUA2との間でやり取りされるパケットを送信先に中継するためのアドレス変換情報を記憶する。具体的には、NATテーブル21は、『受信したパケットのアドレス情報を示す「in」』と『送信先となるアドレス情報を示す「out」』とを対応付けたネットワークアドレス変換情報を記憶する。例えば、NATテーブル21は、図3に示すように、「in、out」として「(src:IP1、dst:IP3)、(src:IP3、dst:IP2)」や「(src:IP2、dst:IP3)、(src:IP3、dst:IP1)」などと記憶する。なお、図3は、NATテーブルに記憶される情報の例を示す図である。
制御部30は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、接続要求受信部31と、セッション確立部32と、テーブル作成部33と、VPN情報中継部34と、パケット中継部35とを有し、これらによって種々の処理を実行する。
接続要求受信部31は、セッションを確立する装置が指定されたセッション確立要求を受信する。具体的には、接続要求受信部31は、通信制御I/F部11を介して、通信制御装置10の管理者端末などから受け付けたセッション確立要求や、無線通信I/F部12を介して、携帯電話の無線通信(例えば、電子メールなど)により受け付けたセッション確立要求を受け付けて、後述するセッション確立部32にセッション確立指示および確立先装置情報を出力する。
ここで、受け付けられるセッション確立要求とは、セッションを確立する指示と確立先の装置を特定する情報であり、例えば、「装置名(ホスト名)、IPアドレス」として「UA1、IP1」や「UA2、IP2」などの情報である。したがって、接続要求受信部31は、セッション確立指示および確立先装置情報として、上記した「UA1、IP1」や「UA2、IP2」をセッション確立部32に出力する。なお、ここでは、必ずしも「装置名(ホスト名)、IPアドレス」である必要はなく、例えば、「装置名(ホスト名)、電話番号」などにように、装置を特定して通信できる情報であれば、どのような情報であってもよい。
セッション確立部32は、接続要求受信部31から受け付けた確立先装置情報に基づいて、セッションを確立する。具体的には、セッション確立部32は、接続要求受信部31から受け付けた確立先装置に対してSIPの「INVITEメッセージ」を送信して「200 OKメッセージ」を受信し、「ACK」を応答することにより、SIPセッションを確立する。
例えば、セッション確立部32は、確立先装置情報として「UA1、IP1」、「UA2、IP2」を受け付けた場合、IPアドレス「IP1」に対して、自装置のIPアドレス「IP3」がSDPで記述された情報を含む「INVITEメッセージ」を送信する。そして、セッション確立部32は、UA1のIPアドレス「IP1」がSDPで記述された情報を含む「200 OKメッセージ」をUA1から受信すると、UA1に対して「ACK」を応答する。このようにすることで、セッション確立部32は、接続要求受信部31により受け付けられたセッション確立先である「UA1」との間をセッションで確立することができる。
そして、セッション確立部32は、「UA2」に対しても同様に、IPアドレス「IP2」に対して、自装置のIPアドレス「IP3」を含む「INVITEメッセージ」を送信し、UA2のIPアドレス「IP2」を含む「200 OKメッセージ」をUA2から受信して、UA2に対して「ACK」を応答する。このようにすることで、セッション確立部32は、「UA2」との間をセッションで確立することができる。
テーブル作成部33は、セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、NATテーブル21を作成する。具体的には、テーブル作成部33は、セッション確立部32により送受信された「INVITEメッセージ」や「200 OKメッセージ」に含まれるSDPで記述された「IPアドレス」を取得し、取得した「IPアドレス」を用いて、受信したパケットのアドレス情報を変換して、出力するためのNATテーブル21(図3参照)を作成する。
例えば、テーブル作成部33は、セッション確立部32によりUA1に送信された「INVITEメッセージ」からIPアドレス「IP3」、UA1から受信した「200 OKメッセージ」からIPアドレス「IP1」を取得する。同様に、テーブル作成部33は、セッション確立部32によりUA2に送信された「INVITEメッセージ」からIPアドレス「IP3」、UA2から受信した「200 OKメッセージ」からIPアドレス「IP2」を取得する。
そして、テーブル作成部33は、「IP1」のUA1から「IP3」の通信制御装置10に送信(in)されたパケットを、「IP2」のUA2に中継(out)するためのNATテーブル21(図3参照)を作成する。同様に、テーブル作成部33は、「IP2」のUA2から「IP3」の通信制御装置10に送信されたパケットを、「IP1」のUA1に中継するNATテーブル21を作成する。
VPN情報中継部34は、セッションが確立された第一の通信機器または第二の通信機器から、VPNを接続するための情報を示す通信路情報を受信した場合に、テーブル作成部33により作成されたNATテーブル21に基づいて、受信した通信路情報を送信先に中継する。具体的には、VPN情報中継部34は、セッション確立部32によりセッションが確立され、テーブル作成部33によりNATテーブル21が作成された通信機器(UA1)から通信機器(UA2)に対して送信されたVPN認証のパケットやIKEネゴシエーションのパケットを受信し、受信したパケットのIPヘッダをNATテーブル21に基づいて変換してUA2に中継する。同様に、VPN情報中継部34は、通信機器(UA2)から通信機器(UA1)に対して送信されたVPN認証のパケットやIKEネゴシエーションのパケットを受信し、受信したパケットのIPヘッダをNATテーブル21に基づいて変換してUA1に中継する。
このように、通信制御装置10−UA1間、通信制御装置10−UA2間などのように、別々に接続されたセッションであっても、通信制御装置10が受信したパケットのIPヘッダを変換して中継することにより、UA1とUS2との間で、VPN認証およびIKEネゴシエーションを実施することができる。その結果、通信制御装置10−UA1間、通信制御装置10−UA2間それぞれにおいて、VPN接続を確立することができる。
パケット中継部35は、VPNで接続された通信機器から送信されたパケットを受信した場合に、テーブル作成部33により作成されたNATテーブル21に基づいて、受信したパケットのアドレス情報を変換して、送信先に中継する。
例えば、UA1から送信されたパケットのIPヘッダは、送信元が「IP1」、送信先が「IP3」となっている。そのため、パケット中継部35は、図3に示したNATテーブル21に基づいて、UA1から受信したパケットにおけるIPヘッダの送信元を「IP1」から「IP3」、送信先を「IP3」から「IP2」にそれぞれ変換してUA2に転送する。同様に、UA2から送信されたパケットでは、送信元が「IP2」、送信先が「IP3」となっている。そのため、パケット中継部35は、図3に示したNATテーブル21に基づいて、UA2から受信したパケットにおけるIPヘッダの送信元を「IP2」から「IP3」、送信先を「IP3」から「IP1」にそれぞれ変換してUA1に転送する。
[通信制御装置による処理]
次に、図4を用いて、通信制御装置による処理を説明する。図4は、実施例1に係る通信制御装置における処理の流れを示すシーケンス図である。
図4に示すように、通信制御装置10は、管理者などの端末からセッション接続先を示す接続要求(UA1、UA2)を受け付けると(ステップS101)、SDPで「IP3」が記述された「INVITE(SDP c=IP3)メッセージ」をUA1に送信して(ステップS102)、当該メッセージの応答として、SDPで「IP1」が記述された「200 OK(SDP c=IP1)メッセージ」をUA1から受信する(ステップS103)。
なお、上記した「INVITE」や「200 OK」に含まれる「c=」とは、使用するIPアドレスを示しており、例えば、ステップS102の「INVITE(SDP c=IP3)メッセージ」では、IPアドレス「IP3」を使用することが定義されている。
続いて、通信制御装置10は、SDPで「IP3」が記述された「INVITE(SDP c=IP3)メッセージ」をUA2に送信して(ステップS104)、当該メッセージの応答として、SDPで「IP2」が記述された「200 OK(SDP c=IP2)メッセージ」をUA2から受信する(ステップS105)。
このようにして、通信制御装置10は、接続要求に示された「UA1」、「UA2」のそれぞれと「INVITEメッセージ」および「200 OKメッセージ」をやり取りすると、それぞれに対して「ACK」を送信する(ステップS106とステップS107)。その結果、通信制御装置10とUA1の間、通信制御装置10とUA2の間それぞれにセッションが確立される。
その後、通信制御装置10は、UA1、UA2とのセッションを確立する際のINVITEメッセージ」および「200 OKメッセージ」に含まれている「SDP、c=IPアドレス」を取得して、取得した情報に基づいて、NATテーブル21を作成する(ステップS108)。
続いて、通信制御装置10は、セッションが確立されたUA1とUA2との間において、VPNを接続するための情報を示すVPN認証や鍵交換(IKE)パケットを受信した場合に、ステップS108で作成したNATテーブル21に基づいて、受信したパケットのIPヘッダを書き換えて送信先に中継する(ステップS109)。
その結果、UA1およびUA2は、通信制御装置10との間にVPNのコネクションを生成することにより、通信制御装置10−UA1間、通信制御装置10−UA2間それぞれにおいて、VPN接続を確立することができる(ステップS110とステップS111)。
その後、通信制御装置10は、VPNで接続されたUA1またはUA2から送信されたパケットを受信した場合に、ステップS108で作成したNATテーブル21に基づいて、受信したパケットのアドレス情報を変換して、送信先に中継する(ステップS112)。このようにして、各LAN内機器同士のIPによる通信が可能となる。
ここで、図5を用いて、VPN接続後のパケットの様子を具体的に説明する。図5は、VPN接続後のパケットにおけるIPヘッダの状態遷移を示す図である。
図5の(1)に示すように、IPアドレス「IPa」であるLAN(A)内の機器(A)は、IPアドレス「IPb」であるLAN(B)内の機器(B)に対して、データにIPヘッダ「From=IPa、to=IPb」を付加したパケットを送信する。なお、IPヘッダの「From」は、送信元のIPアドレスを示し、「to」は、送信先(宛先)のIPアドレスを示す。
すると、LAN(A)と外部ネットワークとの境界に位置するUA1は、図5の(2)に示すように、このパケットを受信し、受信したパケットをカプセリングしてVPNパケットを生成するとともに、「From=IP1、to=IP3」である新たなIPヘッダをVPNパケットに付加して、通信制御装置10に送信する。
続いて、通信制御装置10は、受信したVPNパケットに付加されている新たなIPヘッダ「From=IP1、to=IP3」を、NATテーブル21に基づいて、「From=IP3、to=IP2」に変換して、UA2に送信する。
そして、UA2では、図5の(4)に示すように、受信したパケット(VPNパケット+IPヘッダ)のカプセリングを解いて、データのあて先が「IPb」であることを認識して、受信したデータをLAN(B)の機器(B)に出力する。そうすることにより、機器(B)は、図5の(5)に示すように、機器(A)から送信されたデータを受信することとなる。
[実施例1による効果]
このように、実施例1によれば、セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、セッションが確立されたUA1とUA2との間でやり取りされるパケットを送信先に中継するためのアドレス変換情報を示すNATテーブルを作成し、セッションが確立されたUA1またはUA2との間で交換されるVPNを接続するための仮想通信路情報(VPN認証、IKE)を受信した場合に、NATテーブルに基づいて、受信した仮想通信路情報のアドレス情報を変換して、送信先に中継し、仮想通信路情報が中継されて、VPNで接続されたUA1またはUA2から送信されたパケットを受信した場合に、NATテーブルに基づいて、受信したパケットのアドレス情報を変換して、送信先に中継することができので、IPsecのパケットをOSレベルで中継することができる。その結果、どのようなパケットであっても高速に中継することができる。
また、NAT機能のみでパケット中継を行うことができる結果、VPNパケットの復号化や再暗号化などの行う必要が無く、処理負荷を軽減することができ、より高速にパケット中継を行うことができる。また、アプリケーションには、NATを設定するだけでよく、パケットの復号化や再暗号化などの処理が不要であるため、通信制御装置としての実装が容易である。
さらに、セッションを確立する通信機器が予めわかっていない場合であっても、つまり、不特定な通信機器同士のセッションを確立する場合であっても、セッション確立段階でやり取りされるSIPメッセージからセッション情報を取得して、NATテーブルを作成することができる。
ところで、実施例1では、セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、IPアドレスを対応付けたNATテーブルを作成する例について説明したが、本発明はこれに限定されるものではなく、使用するポート番号さらに対応付けたNAPT(Network Address Port Translation)テーブルを作成するようにしてもよい。
そこで、実施例2では、図6〜図8を用いて、セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、IPアドレスとポート番号とを対応付けたNAPTテーブルを作成する例について説明する。
図6は、実施例2に係る通信制御装置における処理の流れを示すシーケンス図である。図6に示すように、通信制御装置10は、管理者などの端末からセッション接続先を示す接続要求(UA1、UA2)を受け付けると(ステップS201)、SDPでIPアドレスと使用ポート番号とが記述された「INVITE(SDP c=IP3、m=p3−1)メッセージ」をUA1に送信する(ステップS202)。
続いて、通信制御装置10は、送信した「INVITEメッセージ」の応答として、SDPでIPアドレスと使用ポートが記述された「200 OK(SDP c=IP1、m=p1)メッセージ」をUA1から受信する(ステップS203)。
UA2に対しても同様に、通信制御装置10は、SDPでIPアドレスと使用ポート番号とが記述された「INVITE(SDP c=IP3、m=p3−2)メッセージ」をUA2に送信し(ステップS204)、送信した「INVITEメッセージ」の応答として、SDPでIPアドレスと使用ポートが記述された「200 OK(SDP c=IP2、m=p2)メッセージ」をUA2から受信する(ステップS205)。
このようにして、通信制御装置10は、接続要求に示された「UA1」、「UA2」のそれぞれと「INVITEメッセージ」および「200 OKメッセージ」をやり取りすると、それぞれに対して「ACK」を送信する(ステップS206とステップS207)。その結果、通信制御装置10とUA1の間、通信制御装置10とUS2の間それぞれにセッションが確立される。
なお、上記した「INVITE」や「200 OK」に含まれる「c=」とは、使用するIPアドレスを示しており、「m=」とは、使用するポート番号を示しており、UA1、UA2、通信制御装置10は、空いているポートを自動的に選択して使用する。例えば、ステップS201における「INVITE(SDP c=IP3、m=p3−1)メッセージ」では、通信制御装置10からUA1への通信に「IPアドレス=IP3」、「ポート番号=p3−1」を使用することが定義されている。同様に、ステップS203における「200 OK(SDP c=IP1、m=p1)メッセージ」では、UA1から通信制御装置10への通信に「IPアドレス=IP1」、「ポート番号=p1」を使用することが定義されている。
図6に戻り、通信制御装置10は、セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、IPアドレスとポート番号とを対応付けたNAPTテーブルを作成する(ステップS208)。
具体的には、通信制御装置10は、ステップS202〜ステップS205でやり取りされた「INVITEメッセージ」や「200 OKメッセージ」に含まれるSDPで記述された「IPアドレス」と「ポート番号」とを取得して、受信したパケットのアドレス情報を変換するための、『受信したパケットのアドレス情報を示す「in」』と『送信先となるアドレス情報を示す「out」』とを対応付けたNAPTテーブルを作成する。例えば、通信制御装置10は、図7に示すように、「in、out」として「(src:IP1 port=p1、dst:IP3 port=p3−1)、(src:IP3 port=p3−2、dst:IP2 port=p2)」や「(src:IP2 port=p2、dst:IP3 port=p3−2)、(src:IP3 port=p3−1、dst:IP1 port=p1)」などと記憶する。なお、図7は、NAPTテーブルに記憶される情報の例を示す図である。
続いて、通信制御装置10は、セッションが確立されたUA1とUA2との間において、VPNを接続するための情報を示すVPN認証や鍵交換(IKE)パケットを受信した場合に、ステップS108で作成したNAPTテーブルに基づいて、使用するポートを特定し、受信したパケットのIPヘッダを書き換えて送信先に中継する(ステップS209)。
その結果、UA1およびUA2は、通信制御装置10との間にVPNのコネクションを生成し、さらに、VPNで使用するポートを設定することにより、通信制御装置10−UA1、通信制御装置10−UA2それぞれにおいて、VPN接続を確立することができる(ステップS210とステップS211)。
その後、通信制御装置10は、VPNで接続されたUA1またはUA2から送信されたパケットを受信した場合に、ステップS208で作成したNAPTテーブルに基づいて、受信したパケットのアドレス情報を変換して、特定されるポート番号を用いて送信先に中継する(ステップS212)。このようにして、各LAN内機器同士のIPによる通信が可能となる。
ここで、図8を用いて、VPN接続後のパケットの様子を具体的に説明する。図8は、実施例2におけるVPN接続後のパケットにおけるIPヘッダの状態遷移を示す図である。
図8の(1)に示すように、IPアドレス「IPa」であるLAN(A)内の機器(A)は、IPアドレス「IPb」であるLAN(B)内の機器(B)に対して、データにIPヘッダ「From=IPa、to=IPb」を付加したパケットを送信する。なお、IPヘッダの「From」は、送信元のIPアドレスを示し、「to」は、送信先(宛先)のIPアドレスを示す。
すると、LAN(A)と外部ネットワークとの境界に位置するUA1は、図8の(2)に示すように、このパケットを受信し、受信したパケットをカプセリングしてVPNパケットを生成するとともに、使用するポート番号「From=p1、to=p3−1」を指定するUDPヘッダと、「From=IP1、to=IP3」である新たなIPヘッダとをVPNパケットに付加して、通信制御装置10に送信する。なお、UDPヘッダの「From」は、送信元のポート番号を示し、「to」は、送信先(宛先)のポート番号を示す。
続いて、通信制御装置10は、図8の(3)に示すように、受信したVPNパケットに付加されているUDPヘッダ「From=p1、to=p3−1」を、NAPTテーブルに基づいて、「From=p3−2、to=p1」に変換するとともに、受信したVPNパケットに付加されている新たなIPヘッダ「From=IP1、to=IP3」を、NAPTテーブルに基づいて、「From=IP3、to=IP2」に変換して、UA2に送信する。
そして、UA2では、図8の(4)に示すように、受信したパケット(VPNパケット+IPヘッダ)のカプセリングを解いて、データのあて先が「IPb」であることを認識して、受信したデータをLAN(B)の機器(B)に出力する。そうすることにより、機器(B)は、図8の(5)に示すように、機器(A)から送信されたデータを受信することとなる。
このように、実施例2によれば、セッションを確立する際にそれぞれの通信機器から得られたセッション情報およびポート番号に基づいて、NAPTテーブルを作成し、仮想通信路情報を受信した場合に、NAPTテーブルに基づいて、受信した仮想通信路情報のアドレス情報を変換して、特定されたポート番号を用いて送信先に中継し、VPNで接続されたUA1またはUA2から送信されたパケットを受信した場合に、NAPTテーブルに基づいて、受信したパケットのアドレス情報を変換して、特定されたポート番号を用いて送信先に中継することができる。その結果、1台の通信機器が複数のポートを使用することができ、複数のセッションを同時に接続することができるので、1対多や多対多の接続が可能となる。
ところで、本願が開示する通信制御装置は、単なるゲートウェイ装置としてだけでなく、様々なサービス形態に適用することができる。そこで、実施例3では、実施例1や実施例2で説明した本願が開示する通信制御装置を適用したサービス例について説明する。
(SaaSポータルシステム)
まず、図9を用いて、本願が開示する通信制御装置をSaaS(Software as a Service)ポータルに適用した例について説明する。図9は、SaaSポータルシステムに適用した例を示す図である。
図9に示すように、このSaaSポータルシステムは、ソフトウエアを利用する利用者端末と、ソフトウエアをインターネットを介して提供する複数のSaaS事業者と、利用者端末とSaaS事業者とを接続するSaaSポータルとがSIP網を介して相互に接続されている。なお、本願か開示する通信制御装置は、SaaSポータルに適用されている。
このような構成において、利用者は、利用者端末を用いてSaaSポータルに接続し、所望のソフトウエアを検索する(図9の(1)参照)。その後、所望のソフトウエアが検索できた利用者は、SaaSポータルに対して、所望のソフトウエアを提供するSaaS事業者との接続要求を送信し、SaaSポータルは、指定されたSaaS事業者と利用者端末とに対して、SIPによる接続要求(セッション確立要求)を送信する(図9の(2)参照)。
そして、SaaSポータルは、指定されたSaaS事業者と利用者端末とのそれぞれとの間で、実施例1などで説明した「INVITE」や「200 OK」などをやり取りして、利用者端末のIPアドレスとSaaS事業者のIPアドレスとを取得し、NATテーブル(またはNAPTテーブル)を作成する(図9の(3)参照)。もっとも、NATテーブルではなく、実施例2と同様の手法を用いることにより、NAPTテーブルを作成することもできる。
続いて、SaaSポータルは、利用者端末またはSaaS事業者主導で実施されるVPN認証やIKEネゴシエーションに関するパケットを受信した場合に、作成したNATテーブルに基づいて、パケット中継を行うことにより、利用者端末とSaaS事業者とがSaaSポータルを介したVPNで接続される(図9の(4)参照)。
その後、SaaSポータルは、利用者端末とSaaS事業者とがVPNを介してやり取りするパケットを受信し、NATテーブルに基づいて、アドレス変換を行って宛先に送信する(図9の(5)参照)。このようにすることで、利用者は、セキュアな回線を使って、ソフトウエアをダウンロードしたり、ソフトウエア機能の提供をSaaS事業者から受けたりすることができる。
(オンデマンドVPNを利用したテレワークシステム)
次に、図10を用いて、本願が開示する通信制御装置をテレワークシステムに適用した例について説明する。図10は、テレワークシステムに適用した例を示す図である。
図10に示すように、このテレワークシステムは、人材派遣会社に対して業務依頼を行って業務委託を行う業務依頼者と、人材派遣会社に登録して紹介に応じて業務を行う在宅ワーカと、業務依頼者からの業務委託を登録している在宅ワーカに紹介する人材派遣会社とを有して構成される。
このような構成において、業務依頼者は、人材派遣会社に対して業務依頼を行い(図10の(1)参照)、人材派遣会社は、依頼された業務に適した在宅ワーカに対して依頼の通知を行う(図10の(2)参照)。
その後、在宅ワーカが依頼した業務を受託した場合、人材派遣会社のサーバは、管理者の操作などにより、業務依頼者の端末と在宅ワーカとの端末とに対して、実施例1などで説明した「INVITE」や「200 OK」などをやり取りして、セッションを確立するとともに、業務依頼者端末のIPアドレスと在宅ワーカ端末のIPアドレスとを取得し、NATテーブル(またはNAPTテーブル)を作成する(図10の(3)参照)。
続いて、人材派遣会社のサーバは、業務依頼者端末または在宅ワーカ端末主導で実施されるVPN認証やIKEネゴシエーションに関するパケットを受信した場合に、作成したNATテーブルに基づいて、パケット中継を行うことにより、業務依頼者端末と在宅ワーカ端末とが人材派遣会社を介したVPNで接続される(図10の(4)参照)。
その後、人材派遣会社のサーバは、業務依頼者端末と在宅ワーカ端末とがVPNを介してやり取りするパケットを受信し、NATテーブルに基づいて、アドレス変換を行って宛先に送信することにより、在宅ワーカは、セキュアな回線を使って、業務依頼者へリモートアクセスすることができる(図10の(5)参照)。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)接続台数、(2)静的テーブル、(3)システム構成等、(4)プログラムにそれぞれ区分けして異なる実施例を説明する。
(1)接続台数
例えば、上記した実施例では、通信機器(UA1)と通信機器(UA2)とが1対1でVPN接続される例について説明したが、本発明はこれに限定されるものではなく、例えば、実施例2にように、ポート番号を使い分けることによって、1対多または多対多でVPN接続を行うことができる。
(2)静的テーブル
また、実施例1では、セッション確立時に取得したセッション情報から動的にNATテーブルを作成する例について説明したが、本発明はこれに限定されるものではなく、例えば、接続先の通信機器が予めわかっている場合には、通信機器のアドレス情報がわかるので、NATテーブルを予め作成しておくこともできる。また、実施例2のNAPTテーブルについても、同様に、予め作成しておくこともできる。
(3)システム構成等
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、IKEネゴシエーションなど)の全部または一部を手動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3や図7など)については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、VPN情報中継部とパケット中継部とを統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(4)プログラム
なお、本実施例で説明した通信制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る通信制御装置、通信制御方法および通信制御プログラムは、異なるネットワーク間を相互接続する第一の通信機器および第二の通信機器との間それぞれとセッションを確立することに有用であり、特に、パケットを高速に中継することに適する。
実施例1に係る通信制御装置を含む通信システムの全体構成を示す図である。 実施例1に係る通信制御装置の構成を示すブロック図である。 NATテーブルに記憶される情報の例を示す図である。 実施例1に係る通信制御装置における処理の流れを示すシーケンス図である。 VPN接続後のパケットにおけるIPヘッダの状態遷移を示す図である。 実施例2に係る通信制御装置における処理の流れを示すシーケンス図である。 NAPTテーブルに記憶される情報の例を示す図である。 実施例2におけるVPN接続後のパケットにおけるIPヘッダの状態遷移を示す図である。 SaaSポータルシステムに適用した例を示す図である。 テレワークシステムに適用した例を示す図である。 従来技術を説明するための図である。
符号の説明
10 通信制御装置
11 通信制御I/F部
12 無線通信I/F部
20 記憶部
21 NATテーブル
30 制御部
31 接続要求受信部
32 セッション確立部
33 テーブル作成部
34 VPN情報中継部
35 パケット中継部

Claims (4)

  1. 異なるネットワーク間を相互接続する第一の通信機器および第二の通信機器それぞれとセッションを確立する通信制御装置であって、
    前記セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、前記セッションが確立された第一の通信機器と第二の通信機器との間でやり取りされるパケットを送信先に中継するためのアドレス変換情報を示すネットワークアドレス変換テーブルを作成するテーブル作成手段と、
    前記セッションが確立された第一の通信機器または第二の通信機器との間で交換される仮想通信路を接続するための仮想通信路情報を受信した場合に、前記テーブル作成手段で作成されるネットワークアドレス変換テーブルに基づいて、受信した仮想通信路情報のアドレス情報を変換して、送信先に中継する通信路情報中継手段と、
    前記中継手段により仮想通信路情報が中継されて、前記仮想通信路で接続された第一の通信機器または第二の通信機器から送信されたパケットを受信した場合に、前記テーブル作成手段で作成されたネットワークアドレス変換テーブルに基づいて、受信したパケットのアドレス情報を変換して、送信先に中継するパケット中継手段と、
    を備えたことを特徴とする通信制御装置。
  2. 前記テーブル作成手段は、前記アドレス情報に対して、さらに、使用するポート番号を対応付けたネットワークアドレス変換テーブルを作成し、
    前記通信路情報中継手段は、前記仮想通信路情報を受信した場合に、前記テーブル作成手段に作成されたネットワークアドレス変換テーブルに基づいて、受信した仮想通信路情報のアドレス情報を変換して、特定されたポート番号を用いて送信先に中継し、
    前記パケット中継手段は、前記仮想通信路で接続された第一の通信機器または第二の通信機器から送信されたパケットを受信した場合に、前記テーブル作成手段に作成されたネットワークアドレス変換テーブルに基づいて、受信したパケットのアドレス情報を変換して、特定されたポート番号を用いて送信先に中継することを特徴とする請求項1に記載の通信制御装置。
  3. 異なるネットワーク間を相互接続する第一の通信機器および第二の通信機器それぞれとセッションを確立する通信制御装置に適した通信制御方法であって、
    前記セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、前記セッションが確立された第一の通信機器と第二の通信機器との間でやり取りされるパケットを送信先に中継するためのアドレス変換情報を示すネットワークアドレス変換テーブルを作成するテーブル作成工程と、
    前記セッションが確立された第一の通信機器または第二の通信機器との間で交換される仮想通信路を接続するための仮想通信路情報を受信した場合に、前記テーブル作成工程で作成されるネットワークアドレス変換テーブルに基づいて、受信した仮想通信路情報のアドレス情報を変換して、送信先に中継する通信路情報中継工程と、
    前記中継手段により仮想通信路情報が中継されて、前記仮想通信路で接続された第一の通信機器または第二の通信機器から送信されたパケットを受信した場合に、前記テーブル作成工程に作成されたネットワークアドレス変換テーブルに基づいて、受信したパケットのアドレス情報を変換して、送信先に中継するパケット中継工程と、
    を含んだことを特徴とする通信制御方法。
  4. 異なるネットワーク間を相互接続する第一の通信機器および第二の通信機器それぞれとセッションを確立する通信制御装置としてコンピュータに実行させる通信制御プログラムであって、
    前記セッションを確立する際にそれぞれの通信機器から得られたセッション情報に基づいて、前記セッションが確立された第一の通信機器と第二の通信機器との間でやり取りされるパケットを送信先に中継するためのアドレス変換情報を示すネットワークアドレス変換テーブルを作成するテーブル作成手順と、
    前記セッションが確立された第一の通信機器または第二の通信機器との間で交換される仮想通信路を接続するための仮想通信路情報を受信した場合に、前記テーブル作成手順で作成されるネットワークアドレス変換テーブルに基づいて、受信した仮想通信路情報のアドレス情報を変換して、送信先に中継する通信路情報中継手順と、
    前記中継手段により仮想通信路情報が中継されて、前記仮想通信路で接続された第一の通信機器または第二の通信機器から送信されたパケットを受信した場合に、前記テーブル作成手順に作成されたネットワークアドレス変換テーブルに基づいて、受信したパケットのアドレス情報を変換して、送信先に中継するパケット中継手順と、
    をコンピュータに実行させることを特徴とする通信制御プログラム。
JP2008328437A 2008-12-24 2008-12-24 通信制御装置、通信制御方法および通信制御プログラム Pending JP2010154097A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008328437A JP2010154097A (ja) 2008-12-24 2008-12-24 通信制御装置、通信制御方法および通信制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008328437A JP2010154097A (ja) 2008-12-24 2008-12-24 通信制御装置、通信制御方法および通信制御プログラム

Publications (1)

Publication Number Publication Date
JP2010154097A true JP2010154097A (ja) 2010-07-08

Family

ID=42572687

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008328437A Pending JP2010154097A (ja) 2008-12-24 2008-12-24 通信制御装置、通信制御方法および通信制御プログラム

Country Status (1)

Country Link
JP (1) JP2010154097A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012027820A (ja) * 2010-07-27 2012-02-09 Sharp Corp コンテンツ配信システム、ホームゲートウェイ、携帯端末
JP2016508272A (ja) * 2013-01-15 2016-03-17 トヨタ自動車株式会社 スマートグリッド通信におけるプロトコル変換
DE112016004546T5 (de) 2015-10-05 2018-06-21 Hitachi Automotive Systems, Ltd. Fahrzeugschnittstellenvorrichtung
US10728213B2 (en) 2011-08-12 2020-07-28 Nec Corporation Communication system
JP2022058641A (ja) * 2020-08-04 2022-04-12 パロ アルト ネットワークス,インコーポレイテッド クラウドベースのセキュリティサービスのための大規模なローカル化

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012027820A (ja) * 2010-07-27 2012-02-09 Sharp Corp コンテンツ配信システム、ホームゲートウェイ、携帯端末
US10728213B2 (en) 2011-08-12 2020-07-28 Nec Corporation Communication system
JP2016508272A (ja) * 2013-01-15 2016-03-17 トヨタ自動車株式会社 スマートグリッド通信におけるプロトコル変換
DE112016004546T5 (de) 2015-10-05 2018-06-21 Hitachi Automotive Systems, Ltd. Fahrzeugschnittstellenvorrichtung
US10615997B2 (en) 2015-10-05 2020-04-07 Hitachi Automotive Systems, Ltd. In-vehicle gateway device
JP2022058641A (ja) * 2020-08-04 2022-04-12 パロ アルト ネットワークス,インコーポレイテッド クラウドベースのセキュリティサービスのための大規模なローカル化
JP7304983B2 (ja) 2020-08-04 2023-07-07 パロ アルト ネットワークス,インコーポレイテッド クラウドベースのセキュリティサービスのための大規模なローカル化
US11888816B2 (en) 2020-08-04 2024-01-30 Palo Alto Networks, Inc. Localization at scale for a cloud-based security service
US12107829B2 (en) 2020-08-04 2024-10-01 Palo Alto Networks, Inc. Localization at scale for a cloud-based security service

Similar Documents

Publication Publication Date Title
US8312532B2 (en) Connection supporting apparatus
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
JP4237754B2 (ja) パーソナルリモートファイヤウォール
JP4750761B2 (ja) 接続制御システム、接続制御方法、接続制御プログラムおよび中継装置
CN101228771B (zh) 建立ip连接的系统、方法、设备及终结节点、起始节点
JP5357873B2 (ja) 一連の境界ゲートウェイを介したインターネット・プロトコル・マルチメディア・ベアラ経路を最適化するための方法および機器
US8205074B2 (en) Data communication method and data communication system
CN104168173B (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN108769292B (zh) 报文数据处理方法及装置
US11297115B2 (en) Relaying media content via a relay server system without decryption
JP2009111437A (ja) ネットワークシステム
JP2007189679A (ja) IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置
CN110933197A (zh) 一种分布式代理网络
JP2010154097A (ja) 通信制御装置、通信制御方法および通信制御プログラム
JP2009230256A (ja) 通信制御装置、通信制御方法および通信制御プログラム
JP4667473B2 (ja) データ中継装置、データ中継方法およびデータ中継プログラム
JP2010283762A (ja) 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体
JP4555311B2 (ja) トンネル通信システム、制御装置およびトンネル通信装置
JP5151197B2 (ja) 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法
JP5367386B2 (ja) Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム
JP2009260847A (ja) Vpn接続方法、及び通信装置
JP4401302B2 (ja) 通信管理システム、通信管理方法、及び通信管理プログラム
JP4789980B2 (ja) トンネル通信システムおよび制御装置
JP2006352710A (ja) パケット中継装置及びプログラム
JP5233905B2 (ja) 通信制御装置

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520