Warning: fopen(data/log202007100551.log): failed to open stream: No space left on device in /home/jp321/public_html/header.php on line 106

Warning: flock() expects parameter 1 to be resource, boolean given in /home/jp321/public_html/header.php on line 107

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/jp321/public_html/header.php on line 112
中継サーバ - 村田機械株式会社
米国特許情報 | 欧州特許情報 | 国際公開(PCT)情報 | Google の米国特許検索
 
     特許分類
A 農業
B 衣類
C 家具
D 医学
E スポ−ツ;娯楽
F 加工処理操作
G 机上付属具
H 装飾
I 車両
J 包装;運搬
L 化学;冶金
M 繊維;紙;印刷
N 固定構造物
O 機械工学
P 武器
Q 照明
R 測定; 光学
S 写真;映画
T 計算機;電気通信
U 核技術
V 電気素子
W 発電
X 楽器;音響


  ホーム -> 計算機;電気通信 -> 村田機械株式会社

発明の名称 中継サーバ
発行国 日本国特許庁(JP)
公報種別 公開特許公報(A)
公開番号 特開2003−32236(P2003−32236A)
公開日 平成15年1月31日(2003.1.31)
出願番号 特願2001−212254(P2001−212254)
出願日 平成13年7月12日(2001.7.12)
代理人 【識別番号】100101948
【弁理士】
【氏名又は名称】柳澤 正夫
【テーマコード(参考)】
5B085
5J104
5K030
【Fターム(参考)】
5B085 AA08 AE29 BA07 BG07 
5J104 AA07 AA33 BA02 PA07
5K030 GA15 HC01 HC14 HD03 HD06
発明者 谷本 好史
要約 課題
異なるローカルシステム内の端末間において暗号通信が可能な中継システムを実現する中継サーバを提供する。

解決手段
端末21が暗号通信を要求する場合、中継サーバ4へのログイン時に、暗号通信を行う旨を属性情報等によって通知しておく。これによって、中継サーバ4と端末21との間でのデータ転送は暗号通信により行う。端末11が中継サーバ4にログインし、端末21への接続要求を行うと、中継サーバ4は端末11に対して暗号通信を指示する。これによって、端末11と中継サーバ4の間及び中継サーバ4と端末21の間は暗号通信が行われ、実質的に端末11と端末21の間の暗号通信を実現することができる。
特許請求の範囲
【請求項1】 複数のネットワーク装置と通信可能な通信手段と、該通信手段を用いてネットワーク装置間の通信を中継する制御手段を有し、該制御手段は、前記ネットワーク装置から暗号通信が指示されているとき該ネットワーク装置に対して接続を要求した他のネットワーク装置に対して暗号通信を指示することを特徴とする中継サーバ。
【請求項2】 複数のネットワーク装置と通信可能な通信手段と、該通信手段を用いてネットワーク装置間の通信を中継する制御手段を有し、該制御手段は、前記ネットワーク装置から暗号通信が指示されているとき、該ネットワーク装置から他のネットワーク装置に対する接続要求時に前記他のネットワーク装置に対して暗号通信を指示することを特徴とする中継サーバ。
【請求項3】 前記暗号通信は、中継プロトコルレベルで行うことを特徴とする請求項1または請求項2に記載の中継サーバ。
【請求項4】 前記制御手段は、予め暗号通信が設定されているネットワーク装置との通信時には、プロトコル自体も暗号化して通信することを特徴とする請求項1ないし請求項3のいずれか1項に記載の中継サーバ。
【請求項5】 前記暗号通信は、前記ネットワーク装置においてアプリケーションレベルで行うことを特徴とする請求項1ないし請求項4のいずれか1項に記載の中継サーバ。
【請求項6】 前記制御手段は、前記ネットワーク装置のログイン時に暗号通信を行うか否かの指示を受け取ることを特徴とする請求項1ないし請求項3のいずれか1項または請求項5に記載の中継サーバ。
【請求項7】 前記制御手段は、前記ネットワーク装置のログイン時に受け取った暗号通信を行うか否かの指示を他のネットワーク装置へ通知することを特徴とする請求項6に記載の中継サーバ。
発明の詳細な説明
【0001】
【発明の属する技術分野】本発明は、複数のネットワーク装置と通信を行い、あるネットワーク装置と他のネットワーク装置との間の通信を中継してネットワーク装置間の通信を実現する中継サーバに関するものである。
【0002】
【従来の技術】図6は、一般的なインターネットを用いたシステムの一例を示す説明図である。図中、1,2はローカルシステム、3はインターネット、11,12,21,22は端末、13,23はゲートウェイ、14,24はLANである。ローカルシステム1は、端末11、端末12、ゲートウェイ13などがLAN14により接続されて構成されている。ゲートウェイ13は、LAN14とともにインターネット3に接続されており、LAN14上の端末11,12など、各種のネットワーク機器からインターネットを利用することができる。またローカルシステム2も同様であり、端末21、端末22、ゲートウェイ23などがLAN24により接続されて構成されている。ゲートウェイ23は、LAN24とともにインターネット3に接続されており、LAN24上の端末21,22など、各種のネットワーク機器からインターネットを利用することができる。もちろん、それぞれのローカルシステム1,2において、他の様々な機器がLAN14,24により接続されていてよい。
【0003】このようなシステムにおいて、通常はローカルシステム1,2に対してはグローバルIPアドレスは1ないし複数個が割り当てられるが、ローカルシステム1,2内のそれぞれのネットワーク機器にグローバルIPアドレスが割り当てられるわけではない。それぞれのローカルシステム1,2内の各ネットワーク機器にはプライベートなIPアドレスが割り振られており、ゲートウェイ13,23によってNATやIPマスカレードなどの機能を用いてプライベートなIPアドレスをグローバルなIPアドレスに変換している。このようなIPアドレスの変換機能を有するゲートウェイ13,23を用い、例えばローカルシステム1では端末11,12はゲートウェイ13を介してインターネット3を利用することになる。またローカルシステム2においても、端末21,22はゲートウェイ23を介してインターネット3を利用することになる。
【0004】またゲートウェイ13,23あるいは別のネットワーク機器等においてはファイアウォールやプロキシサーバなどの機能を有し、これらの装置を介して各端末がインターネット3を利用するような構成も利用されており、システムの安全性を向上させている。
【0005】ここで、例えばインターネット3からローカルシステム1内の端末11に対してアクセスしようとすると、ゲートウェイ13のグローバルIPアドレスを知ることはできるものの、端末11のプライベートなIPアドレスを知ることはできない。従って、通常の接続方法ではローカルシステム1の外部から端末11をアクセスすることはできない。またゲートウェイ13のファイアウォールの機能などによって、アクセスを受け付けるサイトが制限されている場合もある。もちろん、端末12についても同様であるし、ローカルシステム2内の端末21,22についても同様である。
【0006】さらに、ローカルシステム1内の端末11や端末12、ローカルシステム2内の端末21や端末22は、通常はクライアント機能しか有しておらず、他のネットワーク機器からの情報を受け付けるサーバの機能を有していない。そのため、端末11,12,21,22から他のネットワーク機器にアクセスしない限り、他のネットワーク機器からこれらの端末に情報を送信することができない。
【0007】
【発明が解決しようとする課題】本発明は、上述した事情に鑑みてなされたもので、インターネットからローカルシステム内の端末への接続、あるいは異なるローカルシステム内の端末間の接続を実現するとともに、異なるローカルシステム内の端末間において暗号通信が可能な中継システムを実現する中継サーバを提供することを目的とするものである。
【0008】
【課題を解決するための手段】本発明は、中継サーバにおいて、複数のネットワーク装置と通信可能な通信手段と、該通信手段を用いてネットワーク装置間の通信を中継する制御手段を有し、該制御手段は、前記ネットワーク装置から暗号通信が指示されているとき該ネットワーク装置に対して接続を要求した他のネットワーク装置に対して暗号通信を指示することを特徴とするものである。また本発明は、中継サーバにおいて、複数のネットワーク装置と通信可能な通信手段と、該通信手段を用いてネットワーク装置間の通信を中継する制御手段を有し、該制御手段は、前記ネットワーク装置から暗号通信が指示されているとき、該ネットワーク装置から他のネットワーク装置に対する接続要求時に前記他のネットワーク装置に対して暗号通信を指示することを特徴とするものである。
【0009】このような構成によって、ネットワーク装置から中継サーバにログインしておき、ログインしているネットワーク装置の通信を中継することによって、例えばネットワーク装置がローカルシステム内の装置であっても、インターネットからネットワーク装置への通信を実現することができる。それとともに、暗号通信を要求したネットワーク装置と中継サーバとの間だけでなく、中継サーバと相手先のネットワーク装置との間についても暗号通信を行うことによって、ネットワーク装置間の暗号通信を実現することができる。
【0010】なお、暗号通信は、中継プロトコルレベルあるいはアプリケーションのレベルで行うことができる。中継プロトコルレベルで行う場合、プロトコル自体も暗号化して通信することが可能である。なお、暗号通信の指示は、予め設定しておくほか、ネットワーク装置の中継サーバへのログイン時に行うことができる。この場合、暗号通信を行うか否かの指示を他のネットワーク装置へ通知するように構成することができる。
【0011】
【発明の実施の形態】図1は、本発明の中継サーバの実施の一形態を含む通信システムの一例を示す構成図である。図中、図6と同様の部分には同じ符号を付して重複する説明を省略する。4,5は中継サーバ、41は通信部、42は制御部である。中継サーバ4は、インターネット3に接続されており、グローバルIPアドレスを有している。このグローバルIPアドレスを用いてインターネット3を介して各種のネットワーク機器と通信を行うことができる。
【0012】中継サーバ4は、例えば通信部41および制御部42を含んで構成することができる。通信部41は、インターネット3を介して複数のネットワーク機器と通信可能である。
【0013】制御部42は、通信部41を介してネットワーク機器から送られてくるログイン要求を受け付け、そのネットワーク機器との接続を維持して通信路を確保しておく。また、ログイン要求時には、ネットワーク機器から送られてくる各種の属性情報の指定を受け取り、その属性情報に従ったログイン時の処理を行う。この属性情報として、暗号通信を行うか否かを示す情報を含めておくことができる。また、暗号通信を行うことが指示されているとき、使用可能な暗号化方式を属性に含めておくことができる。なお、ログイン時に受け取った、暗号通信を行うか否かの情報を含む属性情報は、例えば同じく属性情報に従って他のネットワーク機器の一部または全部に対して通知してもよい。このときの通知の指定として、・全ユーザに通知する・全ユーザに通知しない・特定のユーザに通知する・特定のユーザに通知しない等を指定することができる。
【0014】また、このようにしてログイン要求を受け、通信路が確保されると、その通信路をログアウトされるまで維持しておく。そして、通信可能に接続されているネットワーク機器から接続要求情報を受け取ると、その接続要求情報に従って、通信可能に接続されているネットワーク機器と接続を要求したネットワーク装置との間でのデータ転送を中継する。このとき、ネットワーク機器のログイン時に暗号通信を行う旨の属性情報を受け取っている場合には、そのネットワーク機器に対して接続要求を行った他のネットワーク機器に対して暗号通信を行うように指示する。これによって、それぞれのネットワーク機器では、データを暗号化して送出し、中継サーバにおいてこれを中継して転送することによって、ネットワーク機器の間での暗号通信を実現することができる。
【0015】例えば端末11と端末21がそれぞれ通信可能に接続されて通信路が確保されている状態において、端末11から端末21との接続要求情報を受け取ると、中継サーバ4は端末11との間でデータ転送を行うとともに、端末21との間でもデータ転送を行い、実質的に端末11と端末21との間での通信を実現する。このとき、端末11や端末21はそれぞれローカルシステム1,ローカルシステム2内のネットワーク装置である。中継サーバ4からゲートウェイ13,23に対しては接続可能であるが、端末11や端末21については接続することができない。また、上述のように端末11と端末21との間でも直接的な通信を行うことはできない。しかし、中継サーバ4のグローバルIPアドレスを使用すれば、端末11や端末21からゲートウェイ13,23を介して中継サーバ4に接続することは可能である。従って、端末11や端末21から中継サーバ4に対してログイン要求を行って通信路を確保することによって、中継サーバ4とログイン要求を行った端末11あるいは端末21との間の双方向の通信が可能になる。
【0016】このように中継サーバ4と端末11の間、及び中継サーバ4と端末21との間の双方向の通信が可能であると、中間サーバ4は、端末11から端末21への通信要求を受けた場合、端末11から送られてきたデータを受信し、受信したデータを端末21へ送信する。これによって、端末11から端末21へのデータ転送を行う。また逆に、端末21から送られてきたデータを受信し、受信したデータを端末11へ送信することもできる。このようにして、端末11と端末21との間の通信を実現することができる。もちろん、1台のネットワーク装置と複数の接続を確保することも可能であり、複数の接続を用いて複数台のネットワーク装置との通信を行うことが可能である。また中継サーバが複数のネットワーク装置との接続を用いて同報通信を行うこともできる。
【0017】さらに、このような端末間の通信を行う場合、ゲートウェイ13,23と中継サーバ4との間の通信はローカルシステム外のネットワークを用いることになるため、セキュリティが保証されない。従って暗号通信を行うことが要求されることがある。中継プロトコルレベルで暗号通信を行う場合、中継サーバ4とネットワーク機器との間での暗号通信を実現することができるが、上述のように端末間で通信を行う場合、一方が暗号通信を行っても、他方が暗号通信を行わない状態で通信を行ってもセキュリティを保つことができない。そのため、暗号通信を行う旨を指定しているネットワーク機器へ、あるいは暗号通信を行う旨を指定しているネットワーク機器からの接続要求については、中継サーバ4において相手方に対して暗号通信を指示する。
【0018】例えば端末21が他のネットワーク機器との間で暗号通信を行おうとする場合、端末21から中継サーバ4へログインする際に、属性情報の一部として暗号通信を指定しておく。そして例えば端末11から端末21へ接続して通信を行おうとする場合には、中継サーバ4は端末11から端末21との接続要求情報を受け取ると端末11に対して暗号通信を指定する。これに従って端末11は、中継サーバ4との間で暗号通信を行う。また中継サーバ4は端末21との間でも暗号通信を行い、実質的に端末11と端末21との間での暗号通信を実現する。このとき、端末11及び端末21では、上述のように中継プロトコルレベルで暗号化を行うことによって、転送するデータによらず、一律に所定の暗号方式により暗号通信を行うことができる。なお、暗号方式によっては中継サーバ4において復号及び再暗号化の処理を行ってもよい。
【0019】例えば端末21から端末11へ接続して通信を行う場合には、すでにログイン時に暗号通信が指定されているので、中継サーバ4は接続先である端末11に対して接続要求情報を送るとともに暗号通信を指定する。これに従って端末11は、中継サーバ4との間で暗号通信を行えばよい。
【0020】あるいは、アプリケーションレベルで暗号化を行うこともできる。この場合には、通信を行うネットワーク機器(例えば端末11及び端末21)のアプリケーションにおいて暗号化及び復号の処理を行い、中継プロトコルレベルでは暗号データであるか否かに関わらず、一律に転送の処理を行う。中継サーバ4は暗号通信を指定する以外には、転送データに対する復号や再暗号化の処理は行わず、転送の処理を行うだけでよい。このようにアプリケーションレベルで暗号通信を行う場合には、アプリケーションごとに暗号化方式を選択して暗号化し、データを転送することができる。もちろん、暗号化しない場合も選択肢に含めておくことができる。暗号方式としては、例えばユーザIDを利用したID−NIKS4などのID暗号方式などを使用することができる。もちろん、他の各種の暗号方式を用いることもできる。
【0021】また、上述の例では中継サーバ4へのログイン時に暗号通信を行うか否かを示す属性情報を転送するものとしたが、これに限らず、例えば予め中継サーバ4に暗号通信を行う旨を登録しておき、ログイン時に指定を行わなくてよいように構成することも可能である。このように予め中継サーバ4に暗号通信を行うこと登録しておく場合、中継サーバ4との間の通信プロトコル自体についても暗号化してやりとりを行うことが可能である。これによって、中継サーバ4への各種の情報伝達についても暗号通信によって行うことができる。
【0022】さらに、暗号通信を指示しないで中継サーバにログインしておき、ネットワーク機器が接続要求を行ったときに暗号通信を指示することも可能である。この場合にも、中継サーバ4は、接続要求があった旨を通知する際に暗号通信が指示された旨を通知し、その後、中継サーバとの間で暗号通信を行えばよい。
【0023】なお、例えば接続先が暗号通信を指示しているが、接続要求元が暗号通信に対応できない場合には、接続を拒否したり、あるいは接続先に対して暗号通信ができない相手先からの接続要求があった旨を通知し、接続するか否かを返信してもらうように構成してもよい。また接続要求時に暗号通信を指示したが接続先が暗号通信に対応できない場合も同様である。
【0024】図1における中継サーバ5も中継サーバ4と同様の構成を有するものである。中継サーバ4と中継サーバ5との通信路を確保しておくことによって、中継サーバ4にログインしたネットワーク装置と、中継サーバ5にログインしたネットワーク装置の間での通信を実現することができる。この場合も接続先あるいは接続元が暗号通信を要求している場合には、いずれかの中継サーバにおいてその旨を相手先へ通知することによって暗号通信を実現することができる。また、さらに多くの中継サーバがインターネット3上に存在し、中継サーバ間の通信を中継する中継サーバが存在していてもよい。もちろん、インターネット上に存在する中継サーバの個数は任意であり、1以上存在していればよい。
【0025】図2、図3は、本発明の中継サーバを含む通信システムの実施の一形態における通信手順の一例を示すシーケンス図である。図2、図3に示す通信手順は、TCP/IPを利用して実行され、中継サーバとの接続、接続の維持、端末への接続要求、端末へのデータ転送、端末との接続終了、中継サーバとの接続終了等を行うものである。このうち、中継サーバ4との接続、接続の維持、中継サーバ4との接続終了の部分を図2に示し、端末からの接続要求、端末へのデータ転送、端末との接続終了等の部分を図3に示している。
【0026】ここでは一例として、図1におけるローカルシステム1内の端末11とローカルシステム2内の端末21との間で通信を行うものとし、端末21がログイン時に暗号通信を要求する場合について示している。予め、中継サーバ4に対して端末11と端末21をユーザとして登録しておく。登録の情報としては、例えばログイン時のユーザIDや認証のためにパスワードなどを登録しておくとよい。
【0027】端末11は、例えば起動後あるいはオペレータによって指示されると、(1)において、ゲートウェイ13を介して中継サーバ4に接続し、ログインして中継サーバ4とのTCP/IPコネクション(接続1)を確立する。端末11はローカルシステム1内のネットワーク機器であるため、中継サーバ4から直接通信を行うことはできないが、クライアントである端末11からのログインにより中継サーバ4への接続は可能である。TCP/IPコネクションは双方向型のデータ通信が可能であるので、端末11から中継サーバ4へ、また中継サーバ4から端末11への通信を行うことができる。
【0028】接続1が確立した後、(2)において端末11はユーザID、パスワードを中継サーバ4に送る。中継サーバ4は、受け取ったユーザIDおよびパスワードが制御部42に接続情報として保持されているかを調べ、端末11の認証を行う。この認証によって、不特定の第3者との接続を回避し、安全性を確保することができる。もし接続情報が登録されていなかったり、パスワードが違っているなど、認証に失敗した場合には、中継サーバ4は端末11に対して否定応答を行うか、あるいはそのまま接続1を切断する。認証が成功したら、(3)において、肯定応答を行う。
【0029】またここまでのログイン処理の時に各種の属性情報を必要に応じて指定することができる。この属性情報として、暗号通信を行うか否かを指定することができる。このほか、例えばログインしたことを含む各種情報を他のユーザに通知するか否かに関する情報や、データ受信に関する情報、接続可能な相手先に関する情報など、各種の属性情報を必要に応じて指定することができる。属性情報は、例えばユーザIDやパスワードとともに中継サーバ4に転送してもよいし、中継サーバ4からの肯定応答の後に、別途、属性情報の転送を行ってもよい。
【0030】このようにしてログイン時の処理が終了したら、以後、接続1が切断されるまで、接続1を維持するように制御する。そのために、(4)において定期的に中継サーバ4に対し接続保持のコマンドを送出し、(5)において中継サーバ4からの確認の応答を得る。これによって接続を保持しておくとともに、中継サーバが正常に稼働していることの確認を行う。
【0031】同様に端末21は、(1’)において、ゲートウェイ23を介して中継サーバ4に接続し、ログインして中継サーバ4とのTCP/IPコネクション(接続2)を確立する。端末21もローカルシステム2内のネットワーク装置であるため、中継サーバ4から直接通信を行うことはできないが、クライアントである端末21からのログインにより中継サーバ4への接続は可能である。接続2によって、端末21から中継サーバ4へ、また中継サーバ4から端末21への通信を行うことができる。
【0032】接続2が確立した後、(2’)において端末21はユーザID、パスワードを中継サーバ4に送る。中継サーバ4は、受け取ったユーザIDおよびパスワードが制御部42に接続情報として保持されているか否かを調べ、端末21の認証を行う。もし接続情報が登録されていなかったり、パスワードが違っているなど、認証に失敗した場合には、中継サーバ4は端末21に対して否定応答を行うか、あるいはそのまま接続2を切断する。認証が成功したら、(3’)において、肯定応答を行う。またここまでのログイン処理の時に、各種の属性情報を指定することができる。この例では、端末21は暗号通信を行うものとし、属性情報として暗号通信を行う旨を通知する。なお属性情報は、例えばユーザIDやパスワードとともに中継サーバ4に転送してもよいし、中継サーバ4からの肯定応答の後に、別途、属性情報の転送を行ってもよい。
【0033】このようにしてログイン時の処理が終了したら、以後、接続2が切断されるまで、接続2を維持するように制御する。そのために、(4’)において定期的に中継サーバ4に対し接続保持のコマンドを送出し、(5’)において中継サーバ4からの確認の応答を得る。これによって接続を保持しておくとともに、中継サーバが正常に稼働していることの確認を行う。
【0034】なお、図2に示す例では端末11による中継サーバ4へのログインが先に、端末21によるログインが後に行われているが、順序は任意であり、両者の通信前であればいつ行ってもよい。また、両者の通信時まで中継サーバ4との接続が維持されいている必要がある。
【0035】端末間で通信を行う場合のシーケンスの一例を図3に示している。端末11から端末21に接続したいという要求が発生すると、(11)において、端末11は中継サーバ4に対して接続したい端末21のユーザIDを指定して接続要求を行う。なお、接続先となる端末21のユーザIDは、予め取得しておくか、あるいは中継サーバ4からログイン中のユーザの一覧などによって確認して指定するなど、任意の方法で指定することができる。中継サーバ4は、指定されたユーザIDに対応する端末21がログイン状態でないならエラーを端末11に返す。
【0036】また、端末21がログイン状態にあるならば、端末21との接続及び通信が可能である。この例では端末21から暗号通信を行う旨が指定されているので、中継サーバ4は(12)において端末11に対して暗号通信を指定する。端末11が暗号通信を行うことができる場合には(13)において暗号通信受け入れ応答が返されるので、これを確認した後に、中継サーバ4は(14)において端末21に対して端末11から接続要求がある旨の情報と接続を要求している端末11のユーザIDを含む接続要求通知を送信する。
【0037】なお、端末11が暗号通信を行うことができない場合には、端末11からの接続要求を端末21との接続を行わない。あるいは、端末21に対して暗号通信を行うことができない相手先から接続要求があった旨を通知し、端末21からの応答に従って接続の可否を決定してもよい。また、この例では端末11からの暗号通信受け入れ応答を待ってから端末21に対して端末11からの接続要求を通知しているが、これに限らず、端末11への暗号通信指示とともに端末21に対して接続要求通知を行ってもよい。
【0038】端末21は、接続要求通知の送信に用いられた接続が端末11との接続に使用されていることを記憶して、(15)において受け入れ可能の応答を返す。このとき端末21は、接続2を通じて端末11と暗号通信を行うものとして設定しておく。なお、接続を拒否する場合は例えばエラーを返せばよい。
【0039】中継サーバ4は、(16)において、端末11に対して端末21からの応答を返す。端末21からの応答が受け入れ可能の応答の場合には、中継サーバ4は、接続1と接続2を、それぞれ端末11と端末12の通信に使用するものとして記憶する。このとき、接続1と接続2については暗号通信を行うものとして記憶しておく。
【0040】また端末21からの応答を受け取った端末11では、受け入れ可能の応答を受け取った場合には、使用している接続(接続1)を端末21との通信に使用するものとして記憶する。このとき端末11では、接続1によって端末21と暗号通信を行うものとして設定する。
【0041】このようにして端末11及び端末21と中継サーバ4との間で暗号通信を行うことを設定した後、(22)以降において実際にデータを暗号通信により送信することになる。なお、図3に示す例では、端末11と端末21との間の通信を行うことが決定された後に、その他のネットワーク機器からの接続要求を受けたり、他のネットワーク機器への接続要求を行うために、それぞれ、新しいTCP/IPコネクションを中継サーバ4に確立する。すなわち、端末11は(17)において中継サーバ4にログインして中継サーバ4とのTCP/IPコネクション(接続3)を確立し、(18)において端末11はユーザID、パスワード、必要に応じて属性情報を中継サーバ4に送る。中継サーバ4は、受け取ったユーザIDおよびパスワードにより端末11の認証を行い、(19)において応答を返す。そしてこの接続3を維持するため、定期的に(20)において端末11から中継サーバ4へ接続保持コマンドを送信し、中継サーバ4は(21)において応答を端末11に返す。
【0042】同様に端末21は(17’)において中継サーバ4にログインして中継サーバ4とのTCP/IPコネクション(接続4)を確立し、(18’)において端末21はユーザID、パスワード、必要に応じて属性情報を中継サーバ4に送る。この例では属性情報として暗号通信を行う旨の情報を送信している。中継サーバ4は、受け取ったユーザIDおよびパスワードにより端末21の認証を行い、(19’)において応答を返す。また端末21との通信が暗号通信により行われることを設定しておく。そしてこの接続4を維持するため、定期的に(20’)において端末21から中継サーバ4へ接続保持コマンドを送信し、中継サーバ4は(21’)において応答を端末21に返す。
【0043】なお、このように新たなTCP/IPコネクションを確立した場合に指定する属性情報は、先の接続に対する属性情報と異なっていてもかまわない。また、属性情報を指定せずに先の接続に対する属性情報をそのまま受け継ぐように構成したり、属性情報によって先の接続に対する属性情報を受け継ぐ旨の指定が可能なように構成してもよい。また、上述のような空きの接続を確保しておく必要がなければ、(17)〜(21)あるいは(17’)〜(21’)の手順は必要ない。さらに、既に複数の接続を確保している場合も、これらの手順を行わなくてもよい。
【0044】上述の(11)〜(16)により端末11及び端末21と中継サーバ4との間で暗号通信を行うことを設定することによって、端末11と端末21間で暗号通信が可能である。例えば端末11から端末21へデータを送信する場合には、端末11は送信するデータを暗号化し、(22)において中継サーバ4に対して接続1を用いて暗号化したデータを送信する。なお、ここでは中継プロトコルレベルで暗号化の処理を行うものとする。
【0045】中継サーバ4は、端末11からの暗号化されたデータを受け取り、受け取ったデータを復号した後に、さらに端末21で復号可能なように再暗号化し、(23)において接続2を用いて端末21へ送信する。もちろん、暗号方式などによっては復号及び再暗号化の処理が必要ない場合もあり、その場合にはそのまま中継すればよい。
【0046】端末21は、中継サーバ4から接続2を用いて送られてきた端末11からの暗号化されたデータを受け取り、復号して元のデータを取得する。そして(24)において、端末11に対する応答を中継サーバ4に対して送信する。中継サーバ4は、端末21から端末11に対する応答を受け取り、受け取った応答を、(25)において接続1を用いて端末11へ送信する。
【0047】このようにして、端末11と中継サーバ4との間の接続1と、端末21と中継サーバ4との間の接続2とを用い、中継サーバ4によってデータを中継することによって、端末11と端末21との間の暗号通信を行うことができる。なお、(22)〜(25)による端末11から端末21へのデータ転送は、複数回繰り返されてもよい。また、端末21から端末11へのデータ転送についても同様に行うことができ、端末21で暗号化したデータを中継サーバ4で受け取り、必要に応じて復号及び再暗号化の処理を施し、端末11へ転送すればよい。
【0048】端末11と端末21との間のデータ転送が終了したら、端末11あるいは端末21から終了通知を行う。ここでは端末11から行うものとし、(26)において端末11は端末21に対する終了通知を、接続1を使用して中継サーバ4に対して送信する。中継サーバ4は、端末11から受け取った端末21への終了通知を、(27)において接続2を使用して端末21へ送信する。終了通知を送信した端末11は、(28)において、接続1が空きになったことを示す開放通知を中継サーバ4へ送信する。また終了通知を受け取った端末21も、(28’)において、接続2が空きになったことを示す開放通知を中継サーバ4へ送信する。これによって中継サーバ4は、接続1と接続2が端末11と端末21との間の通信用ではなくなり、空きになったことを記憶する。なお、この例では終了通知に対する応答を行っていないが、応答を返信するようにしてもよい。
【0049】このようにして開放された接続1および接続2は、図2に(4)、(5)または(4’)、(5’)で示したように接続保持コマンドとその応答を定期的に行って、端末11と中継サーバ4との間、および、端末21と中継サーバ4との間の接続を保つ。なお、この時点では端末11と中継サーバ4との間では接続1と接続3が確保されている。同様に、端末21と中継サーバ4との間では接続2と接続4が確保されている。そのままでもよいし、接続1および接続2の開放時にこれらの接続については切断してもよい。もちろん、接続1および接続2を存続させ、接続3および接続4を切断してもよい。
【0050】図2に戻り、例えば端末11が電源を切断する場合や、中継サーバ4への接続をやめる場合には、(6)において、端末11は中継サーバ4に対してログアウトを通知する。このとき、複数の接続が確保されている場合には、いずれの接続を用いて行ってもよい。そして、端末11はすべての接続を切断して終了する。この例では(7)において接続1を切断して終了する。図3の(17)〜(19)で接続3を確保している場合には、この接続3についても切断することになる。中継サーバ4は、端末11からのログアウトの通知を受け、端末11のログアウトを認識して端末11とのすべての接続を切断する。なお、端末21においても同様である。
【0051】上述のような手順を実行することによって、それぞれあるいは一方がローカルシステム内のネットワーク機器である場合でも通信を行うことが可能であ。さらに予め暗号通信を指示しておくことによって、中継サーバ4が相手先に暗号通信を指示して各端末と中継サーバ4間で暗号通信を行い、端末間の暗号通信を実現することができる。
【0052】なお、上述のような中継サーバ4との接続、接続の維持、端末への接続要求、端末へのデータ送信、端末との接続終了、中継サーバとの接続終了を行うための手順は、上位で動作するアプリケーションプロトコルがやりとりするコマンドやデータに対しては透過性を保ち何の影響も与えないように構成することが可能であり、既存のアプリケーションプロトコルをそのまま用いて通信を行うことが可能である。また、暗号化及び復号の処理についても上述のように中継プロトコルレベルで行うことによって、アプリケーションによらず、暗号通信を行うことができる。
【0053】図4は、本発明の中継サーバを含む通信システムの実施の一形態における通信手順の別の例を示すシーケンス図である。図3においては端末11から端末21に対して接続要求を行った場合について、通信手順の一例を示した。図4では、暗号通信を指示している端末21から、端末11に対して接続要求を行う場合の通信手順の一例を示している。
【0054】端末21から接続要求を行う場合、(31)において、端末21は中継サーバ4に対して端末11のユーザIDを指定して接続要求を行う。このとき、既にログイン時に暗号通信を指定しているので、改めて暗号通信を要求しなくても、相手先と暗号通信を行うことを前提とする。もちろん改めて暗号通信を指定してもよい。中継サーバ4は(32)において端末11に対して端末21から接続要求がある旨の情報と接続を要求している端末11のユーザIDを含む接続要求通知を送信する。このとき中継サーバ4は、端末11に対して暗号通信を指示する。
【0055】接続要求通知を受けた端末11は、接続要求通知の送信に用いられた接続1が端末11との通信に使用されていることを記憶し、また、暗号通信を行うように設定を行う。そして、(33)において、接続受け入れ可能の応答を返す。なお、接続を拒否する場合や暗号通信ができない場合は例えばエラーを返せばよい。
【0056】中継サーバ4は、端末11から接続受け入れ応答を受け取ると、(34)において、端末21に対して端末11からの応答を返す。端末11からの応答が受け入れ可能の応答の場合には、中継サーバ4は、接続1と接続2を、それぞれ端末11と端末12の通信に使用するものとして記憶する。このとき、接続1と接続2については暗号通信を行うものとして記憶しておく。
【0057】また端末11からの応答を受け取った端末21では、受け入れ可能の応答を受け取った場合には、使用している接続(接続2)を端末11との通信に使用するものとして記憶する。この場合、端末21は接続2を用いて端末11と暗号通信を行うことになる。
【0058】このようにして端末11及び端末21と中継サーバ4との間で暗号通信を行うことを設定した後、(40)以降において実際にデータを暗号通信により送信することになる。なお、図4に示す例においても、(35)〜(39)により端末11と中継サーバ4との間に接続3を設け、また(35’)〜(39’)により端末21と中継サーバ4との間に接続4を設けている。
【0059】データ転送時の手順は図3に示した例と同様であるが、ここでは端末21から端末11へデータを転送する例を示している。端末21は送信するデータを暗号化し、(40)において中継サーバ4に対して接続2を用いて暗号化したデータを送信する。中継サーバ4は、端末21からの暗号化されたデータを受け取り、必要に応じて受け取ったデータを復号及び再暗号化した後、(41)において接続1を用いて端末11へ送信する。端末11は、中継サーバ4から接続1を用いて送られてきた端末21からの暗号化されたデータを受け取り、復号して元のデータを取得する。そして(42)において、端末21に対する応答を中継サーバ4に対して送信する。中継サーバ4は、端末11から端末21に対する応答を受け取り、受け取った応答を、(43)において接続2を用いて端末21へ送信する。
【0060】このようにして、暗号通信を予め設定した端末21から接続要求を行う場合についても、端末11との間で暗号通信を行うことができる。なおこの場合も、端末11から端末21へのデータ転送も可能であり、この場合を含め、複数回のデータ転送を行ってもよい。
【0061】また端末11と端末21との間のデータ転送が終了した場合についても図3に示した例と同様であり、この例では端末21から(44)において接続2を使用して終了通知を中継サーバ4へ送信し、中継サーバ4は端末21から受け取った終了通知を、(45)において接続1を使用して端末11へ送信する。そして端末11は(46)において接続1の開放を中継サーバ4へ通知し、また端末21は(46’)において接続2の開放を中継サーバ4へ通知すればよい。
【0062】なお、上述の通信手順の2つの例における説明では、転送するデータに対してのみ暗号通信を行うものとして説明した。しかしこれに限らず、暗号通信を指定したり、暗号通信の受け入れ応答を行った後は、プロトコル自体も暗号化して通信を行うこともできる。さらに、予め登録しておけば、ログインの時点から暗号通信を行うことが可能である。
【0063】図5は、本発明の中継サーバを含む通信システムの実施の一形態においてアプリケーションレベルで暗号化を行う場合の説明図である。上述の通信手順の説明では、暗号化及び復号の処理を中継プロトコルレベルで行う例を示した。本発明はこれに限らず、例えばアプリケーションレベルで行うこともできる。例えば図5には、端末11から中継サーバ4を介して端末21へ暗号通信によりデータを転送する場合を示している。
【0064】この場合も、例えば端末11に対して中継サーバ4から暗号通信を指定する。これによって、端末11の中継プロトコルレベルで暗号通信の指定を受け取り、アプリケーションあるいはさらに端末11のユーザに対して伝達しておく。
【0065】端末11では、転送するデータを、そのデータを作成したアプリケーションあるいは別のアプリケーションによって暗号化し、送信を待つ。暗号化されたデータは、中継プロトコルレベルでは暗号化していない場合と同様に中継サーバ4へと転送される。中継サーバ4においても、端末11から送られてきた暗号化されたデータをそのまま端末21へ転送して中継すればよい。端末21では、中継プロトコルレベルでは暗号化されたデータをそのまま受け取り、アプリケーションレベルで復号して平文(元のデータ)を取得すればよい。
【0066】このようにして、アプリケーションレベルで暗号化及び復号の処理をを行うことによって、中継サーバ4を介した端末間の暗号通信を実現することができる。このようにアプリケーションレベルでの暗号通信を行う場合、使用するアプリケーションによって暗号方式を切り換えたり、暗号通信を行うか否かについても切り換えることが可能である。また、上述のように中継サーバ4は送られてきたデータをそのまま転送すればよく、暗号化や復号の処理を実装する必要がないというメリットもある。
【0067】もちろん、アプリケーションレベルの暗号化と中継プロトコルレベルの暗号化を併用することも可能である。この場合、中継サーバ4において中継プロトコルレベルでの復号処理を行っても、データがアプリケーションレベルでの暗号化が施されているため、中継サーバ4へのハッキングなどに対するセキュリティを向上させることができる。
【0068】上述の各例では、暗号通信を行う旨の指定をログイン時や接続要求時、あるいは予め行っておくものとして説明したが、これに限らず、ログイン後に通信前あるいは通信中であっても、いつでも指定あるいは変更することができるように構成することも可能である。
【0069】また、上述の各例においては、同じ中継サーバにログインしたネットワーク機器間で通信を行う場合について説明したが、これに限らず、例えば図1において中継サーバ4にログインしたネットワーク機器と中継サーバ5にログインしたネットワーク機器の間で通信を行うこともできる。この場合も、中継プロトコルレベルで暗号通信を行う場合には、中継サーバ4と中継サーバ5の間も暗号通信を行うことによって、ネットワーク機器間で暗号通信を実現することができる。もちろん、アプリケーションレベルでの暗号通信も可能である。
【0070】
【発明の効果】以上の説明から明らかなように、本発明によれば、ローカルシステム内のネットワーク機器から中継サーバへ予め接続して通信路を確保しておいて、この通信路を用いてデータの中継を行うので、インターネットからローカルシステム内のネットワーク機器へのデータ転送、あるいは異なるローカルシステム内のネットワーク機器間のデータ転送を実現することができる。それとともに、暗号通信を要求したネットワーク装置と中継サーバとの間だけでなく、暗号通信を相手先のネットワーク装置にも指示し、中継サーバと相手先のネットワーク装置との間についても暗号通信を行う。これによって、中継サーバで中継するシステムにおいても、ネットワーク装置間の暗号通信を実現することができるという効果がある。




 

 


     NEWS
会社検索順位 特許の出願数の順位が発表

URL変更
平成6年
平成7年
平成8年
平成9年
平成10年
平成11年
平成12年
平成13年


 
   お問い合わせ info@patentjp.com patentjp.com   Copyright 2007-2013