特開2022-188397通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022188397
(43)【公開日】2022-12-21
(54)【発明の名称】通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラム
(51)【国際特許分類】
H04L 43/00 20220101AFI20221214BHJP
H04L 41/40 20220101ALI20221214BHJP
【FI】
H04L12/70 100Z
H04L12/70 D
【審査請求】有
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2021096396
(22)【出願日】2021-06-09
(71)【出願人】
【識別番号】000227205
【氏名又は名称】NECプラットフォームズ株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】森 敏浩
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030HA08
5K030HC13
5K030HD03
5K030JA11
5K030JT03
5K030LB12
5K030LC09
5K030LE03
5K030LE10
5K030MA06
5K030MB09
5K030MD08
(57)【要約】
【課題】レスポンダの処理能力に関わらず、レスポンダにイニシエータを収容することが可能な通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラムを提供すること
【解決手段】本開示にかかる通信管理システム1は、複数のイニシエータ及びイニシエータを収容するレスポンダを備えたVPN通信の管理システムである。通信管理システム1は、イニシエータに対して時間帯を割り当てる時間帯割当部11と、イニシエータとレスポンダとの接続の可否を判断する接続可否判定部12と、を備えている。接続可否判定部12は、イニシエータに割り当てられた時間帯中でのみイニシエータとレスポンダとの接続を許可することで、イニシエータとレスポンダとの接続を制限する。その結果、レスポンダの処理能力に関わらず、レスポンダにイニシエータを収容することが可能となる。
【選択図】図1
【解決手段】本開示にかかる通信管理システム1は、複数のイニシエータ及びイニシエータを収容するレスポンダを備えたVPN通信の管理システムである。通信管理システム1は、イニシエータに対して時間帯を割り当てる時間帯割当部11と、イニシエータとレスポンダとの接続の可否を判断する接続可否判定部12と、を備えている。接続可否判定部12は、イニシエータに割り当てられた時間帯中でのみイニシエータとレスポンダとの接続を許可することで、イニシエータとレスポンダとの接続を制限する。その結果、レスポンダの処理能力に関わらず、レスポンダにイニシエータを収容することが可能となる。
【選択図】図1
【特許請求の範囲】
【請求項1】
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理システムであって、
前記イニシエータに対して時間帯を割り当てる割当手段と、
前記イニシエータと前記レスポンダとの接続の可否を判定する判定手段と、を備え、
前記判定手段は、前記イニシエータに対して割り当てられた時間帯中でのみ前記レスポンダとの接続を許可する通信管理システム。
前記イニシエータに対して時間帯を割り当てる割当手段と、
前記イニシエータと前記レスポンダとの接続の可否を判定する判定手段と、を備え、
前記判定手段は、前記イニシエータに対して割り当てられた時間帯中でのみ前記レスポンダとの接続を許可する通信管理システム。
【請求項2】
前記レスポンダが、複数の前記イニシエータと同時に接続する手段を備え、
前記割当手段は、同時接続可能な数以下の前記イニシエータに対して、同一の時間帯を割り当てる請求項1に記載の通信管理システム。
前記割当手段は、同時接続可能な数以下の前記イニシエータに対して、同一の時間帯を割り当てる請求項1に記載の通信管理システム。
【請求項3】
同時接続可能な数以下の前記イニシエータが共通の識別子を有し、
前記割当手段は、共通の識別子を有する前記イニシエータに対して、同一の時間帯を割り当てる請求項1又は2に記載の通信管理システム。
前記割当手段は、共通の識別子を有する前記イニシエータに対して、同一の時間帯を割り当てる請求項1又は2に記載の通信管理システム。
【請求項4】
前記割当手段は、前記イニシエータに対して、前記イニシエータとの通信状況に基づいて時間帯の長さを決定し、時間帯を割り当てる請求項1及至3のいずれか1項に記載の通信管理システム。
【請求項5】
前記割当手段は、前記イニシエータに対して、前記イニシエータがVPN通信を開始してからVPN通信の利用を終了するまでの期間を、時間帯として割り当てる請求項1及至4のいずれか1項に記載の通信管理システム。
【請求項6】
前記割当手段は、収容される前記イニシエータそれぞれに対して、均等な長さの時間帯を割り当てる請求項1及至3のいずれか1項に記載の通信管理システム。
【請求項7】
複数のイニシエータを収容可能なレスポンダであって、
前記イニシエータに対して時間帯を割り当てる割当手段と、
前記イニシエータとの接続の可否を判定する判定手段と、を備え、
前記判定手段は、前記イニシエータに対して割り当てられた時間帯中でのみ接続を許可するレスポンダ。
前記イニシエータに対して時間帯を割り当てる割当手段と、
前記イニシエータとの接続の可否を判定する判定手段と、を備え、
前記判定手段は、前記イニシエータに対して割り当てられた時間帯中でのみ接続を許可するレスポンダ。
【請求項8】
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理方法であって、
前記イニシエータに対して時間帯を割り当てるステップと、
前記イニシエータと前記レスポンダとの接続を、当該イニシエータが割り当てられた時間帯中でのみ許可するステップと、を有する通信管理方法。
前記イニシエータに対して時間帯を割り当てるステップと、
前記イニシエータと前記レスポンダとの接続を、当該イニシエータが割り当てられた時間帯中でのみ許可するステップと、を有する通信管理方法。
【請求項9】
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理プログラムであって、
前記イニシエータに対して時間帯を割り当てるステップと、
前記イニシエータと前記レスポンダとの接続を、当該イニシエータが割り当てられた時間帯中でのみ許可するステップと、をコンピュータに実行させる通信管理プログラム。
前記イニシエータに対して時間帯を割り当てるステップと、
前記イニシエータと前記レスポンダとの接続を、当該イニシエータが割り当てられた時間帯中でのみ許可するステップと、をコンピュータに実行させる通信管理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラムに関する。
【背景技術】
【0002】
VPN(Virtual Private Network)接続技術によって、遠隔地同士での通信を、安定性および安全性を兼ね備えた上で、専用回線等を用いる従来法よりも低コストに実現できるようになった。特許文献1には、VPNセッションを始動するイニシエータと、イニシエータの始動に対応するレスポンダと、を備えるVPN接続技術が記載されている。
【0003】
たとえば、監視システムや警備システムにおいて、VPN端末から遠隔地にある中央コンピュータにVPNを経由してアクセスする場合、まず、VPN端末側から中央コンピュータに接続されたVPNルータに対して接続を要請する。その後、VPNルータ側が接続を許可することで、VPN通信回線を生成し通信が開始される。つまり、この時、VPN端末がイニシエータの役割を、VPNルータがレスポンダの役割を、それぞれ果たしている。ここで、VPNルータは収容可能な端末数に制限があるが、そのVPN端末数が増えれば増えるほど、VPNを介して中央コンピュータを利用する利用者の利便性は増すことになる。すなわち、1つのレスポンダで収容可能なイニシエータの数は、多ければ多いほどよい。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005-210193号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ここで、複数のイニシエータと1つのレスポンダで構成されるVPNにおいて、1つのレスポンダで収容可能なイニシエータの数は、イニシエータ1台当たりに必要とされる処理速度やメモリ容量などと、レスポンダの処理能力によって決定される。すなわち、1つのレスポンダに収容可能なイニシエータの数は、レスポンダの処理能力によって制限されてしまうという課題があった。
【0006】
特許文献1に開示された技術においては、この課題の解決策は示されていない。
【0007】
本開示は上述した課題を解決するためになされたものであり、レスポンダの処理能力に関わらず、レスポンダにイニシエータを収容することが可能な通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラムを提供することを目的とするものである。
【課題を解決するための手段】
【0008】
本開示にかかる通信管理システムは、
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理システムであって、
前記イニシエータに対して時間帯を割り当てる割当手段と、
前記イニシエータと前記レスポンダとの接続の可否を判定する判定手段と、を備え、
前記判定手段は、前記イニシエータに対して割り当てられた時間帯中でのみ前記レスポンダとの接続を許可する通信管理システムである。
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理システムであって、
前記イニシエータに対して時間帯を割り当てる割当手段と、
前記イニシエータと前記レスポンダとの接続の可否を判定する判定手段と、を備え、
前記判定手段は、前記イニシエータに対して割り当てられた時間帯中でのみ前記レスポンダとの接続を許可する通信管理システムである。
【0009】
本開示にかかるレスポンダは、
複数のイニシエータを収容可能なレスポンダであって、
前記イニシエータに対して時間帯を割り当てる割当手段と、
前記イニシエータとの接続の可否を判定する判定手段と、を備え、
前記判定手段は、前記イニシエータに対して割り当てられた時間帯中でのみ接続を許可するレスポンダである。
複数のイニシエータを収容可能なレスポンダであって、
前記イニシエータに対して時間帯を割り当てる割当手段と、
前記イニシエータとの接続の可否を判定する判定手段と、を備え、
前記判定手段は、前記イニシエータに対して割り当てられた時間帯中でのみ接続を許可するレスポンダである。
【0010】
本開示にかかる通信管理方法は、
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理方法であって、
前記イニシエータに対して時間帯を割り当てるステップと、
前記イニシエータと前記レスポンダとの接続を、当該イニシエータが割り当てられた時間帯中でのみ許可するステップと、を有する通信管理方法である。
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理方法であって、
前記イニシエータに対して時間帯を割り当てるステップと、
前記イニシエータと前記レスポンダとの接続を、当該イニシエータが割り当てられた時間帯中でのみ許可するステップと、を有する通信管理方法である。
【0011】
本開示にかかる通信管理プログラムは、
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理プログラムであって、
前記イニシエータに対して時間帯を割り当てるステップと、
前記イニシエータと前記レスポンダとの接続を、当該イニシエータが割り当てられた時間帯中でのみ許可するステップと、をコンピュータに実行させる通信管理プログラムである。
複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信の管理プログラムであって、
前記イニシエータに対して時間帯を割り当てるステップと、
前記イニシエータと前記レスポンダとの接続を、当該イニシエータが割り当てられた時間帯中でのみ許可するステップと、をコンピュータに実行させる通信管理プログラムである。
【発明の効果】
【0012】
本開示により、レスポンダの処理能力に関わらず、レスポンダにイニシエータを収容することが可能な通信管理システム、レスポンダ、通信管理方法、及び通信管理プログラムを提供することができる。
【図面の簡単な説明】
【0013】
【図1】実施の形態1にかかる通信管理システムの構成を示すブロック図である。
【図2】実施の形態2にかかるVPNの構成を示すブロック図である。
【図3】実施の形態2にかかるVPNの構成を示す模式図である。
【図4】実施の形態2にかかる通信管理の例を示す表である。
【図5】実施の形態2にかかる通信管理の例を示す表である。
【図6】実施の形態2にかかる通信管理の処理を示すフローチャートである。
【図7】実施の形態3にかかるVPNの構成を示すブロック図である。
【図8】実施の形態3にかかる通信管理の例を示す表である。
【図9】実施の形態3にかかる通信管理の例を示す表である。
【図10】実施の形態3にかかる通信管理の例を示す線分図である。
【図11】実施の形態3にかかる通信管理の処理を示す模式図である。
【図12】実施の形態3にかかる通信管理の処理を示す模式図である。
【図13】実施の形態3にかかる通信管理の処理を示すフローチャートである。
【図14】実施の形態3にかかる通信管理の処理を示すフローチャートである。
【発明を実施するための形態】
【0014】
実施の形態1.
以下、図1を参照して本発明の実施の形態について説明する。図1は、実施の形態1にかかる通信管理システムの構成を示すブロック図である。通信管理システム1は、複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信を管理する。典型的には、イニシエータはVPN端末であり、レスポンダはVPNルータである。本実施の形態にかかる通信管理システム1はレスポンダに搭載されていてもよいし、レスポンダに接続された装置に搭載されていてもよい。
以下、図1を参照して本発明の実施の形態について説明する。図1は、実施の形態1にかかる通信管理システムの構成を示すブロック図である。通信管理システム1は、複数のイニシエータと、前記イニシエータを収容するレスポンダと、を備えたVPN通信を管理する。典型的には、イニシエータはVPN端末であり、レスポンダはVPNルータである。本実施の形態にかかる通信管理システム1はレスポンダに搭載されていてもよいし、レスポンダに接続された装置に搭載されていてもよい。
【0015】
図1に示すように、本実施の形態にかかる通信管理システム1は、時間帯割当部11と、接続可否判定部12と、を備える。
【0016】
時間帯割当部11は、レスポンダに収容された複数のイニシエータのそれぞれに対して時間帯を割り当てる。時間帯割当部11は、イニシエータに割り当てた時間帯の情報を接続可否判定部12に出力する。
【0017】
接続可否判定部12は、時間帯割当部11から出力されたイニシエータに割り当てた時間帯の情報に基づいて、イニシエータとレスポンダとの接続の可否を判定する。具体的には、接続可否判定部12はイニシエータに対して、そのイニシエータに割り当てられた時間帯でのみレスポンダとの接続を許可し、それ以外の時間帯ではレスポンダとの接続を許可しない。言い換えると、通信管理システム1は、イニシエータに割り当てられた時間帯に基づいて、レスポンダと接続可能なイニシエータの数を制限する。つまり、通信管理システム1は、レスポンダの通信能力を時分割して、収容されているイニシエータに割り当てる。
【0018】
本実施の形態にかかる通信管理システム1によれば、イニシエータに割り当てられた時間帯中でのみ、そのイニシエータとレスポンダとの接続を許可することによって、レスポンダの処理能力に関わらず、レスポンダにイニシエータを収容することができる。
【0019】
実施の形態2.
続いて、図2~6を用いて、本実施の形態にかかる通信管理システムによって管理されたVPNルータと、そのVPNルータに収容されたVPN端末と、の間のVPN通信について詳しく説明する。図2はVPNルータ2及びVPN端末3を備えるVPN通信の構成を示すブロック図である。なお、簡単のため、図2中にはVPN端末3が1つしか記載されていないが、実際には複数のVPN端末3がVPNルータ2に収容されている。VPNルータ2は、時間帯割当部11、及び接続可否判定部12、時間情報取得部13、VPNルータ側通信部14、およびVPNルータ側通信制御部15を備えている。
続いて、図2~6を用いて、本実施の形態にかかる通信管理システムによって管理されたVPNルータと、そのVPNルータに収容されたVPN端末と、の間のVPN通信について詳しく説明する。図2はVPNルータ2及びVPN端末3を備えるVPN通信の構成を示すブロック図である。なお、簡単のため、図2中にはVPN端末3が1つしか記載されていないが、実際には複数のVPN端末3がVPNルータ2に収容されている。VPNルータ2は、時間帯割当部11、及び接続可否判定部12、時間情報取得部13、VPNルータ側通信部14、およびVPNルータ側通信制御部15を備えている。
【0020】
時間帯割当部11は、時間情報取得部13から入力した時間情報に基づいて、VPNルータ2に収容された複数のVPN端末3のそれぞれに対して時間帯を割り当てる。なお、本実施の形態にかかる時間情報とは時刻のことを指す。時間帯割当部11は、VPN端末3に割り当てた時間帯の情報を接続可否判定部12に出力する。この時、時間帯割当部11は、VPNルータ2の処理能力と、VPNルータ2に収容されたVPN端末3の数と、に基づいて各VPN端末3に時間帯を割り当てる。時間帯の割り当て情報は、例えば、VPN端末3の識別情報と時間帯の識別情報を関連付けて構成される。なお、時間帯割当部11は、VPNルータ2の処理能力と、VPNルータ2に収容されたVPN端末3の数と、に関する情報を、後述するVPNルータ側通信制御部15から入力する。
【0021】
接続可否判定部12は、時間情報取得部13から入力した時間情報および時間帯割当部11から入力したVPN端末3に割り当てた時間帯の情報に基づいて、VPN端末3とVPNルータ2との接続の可否を判定する。具体的には、接続可否判定部12はVPN端末3に対して、そのVPN端末3に割り当てられた時間帯でのみVPNルータ2との接続を許可し、それ以外の時間帯ではレスポンダとの接続を許可しない。接続可否判定部12は、VPNルータ側通信制御部15に、レスポンダとの接続の可否に関する情報を出力する。
【0022】
時間情報取得部13は、時間情報を取得する機能を備えている。時間情報取得部13は、取得した時間情報を時間帯割当部11および接続可否判定部12に出力する。本実施の形態にかかる時間情報取得部13は、VPNルータ2内部に備え付けられた時計であり、前述したとおり、時刻を時間情報として出力する。なお、時間情報取得部13は、当然これに限定されるものではなく、本開示の趣旨を逸しない範囲で、適宜異なる構成にすることもできる。たとえば、時間情報取得部13は、外部から時刻情報を取得する通信機でもよいし、時間をカウントする機能だけを有するタイマーでもよい。
【0023】
VPNルータ側通信部14は、VPNルータ側通信制御部15からの制御に基づいて、VPN端末との間で通信をおこなう。
【0024】
VPNルータ側通信制御部15は、接続可否判定部12から入力した接続の可否に関する情報に基づいて、VPN端末3との間のVPN通信を制御する。具体的には、VPNルータ側通信制御部15は、VPN端末3から接続要請があった時、接続可否判定部12が接続を許可した場合はVPN端末3とのVPN接続を開始し、接続可否判定部12が接続を許可しなかった場合は、VPN端末3とのVPN接続を開始しない。また、VPNルータ側通信制御部15は、VPN端末3と接続している時、接続可否判定部12が接続を許可した場合はVPN端末3とのVPN接続を継続し、接続可否判定部12が接続を許可しなかった場合は、VPN端末3とのVPN接続を切断する。
【0025】
VPN端末3は、VPN端末側通信部16およびVPN端末側通信制御部17を備えている。VPN端末側通信部16はVPN端末側通信制御部17からの制御に基づいて、VPNルータ2との間で通信をおこなう。
【0026】
以下、本実施の形態にかかるVPNの通信管理の処理について図2~6を用いて説明する。図3は、VPNルータ2に対して、複数のVPN端末3a~oが収容されていることを示す模式図である。本実施の形態では図3に示すように、VPNルータ2に対して、15台のVPN端末3a~oが収容されており、VPNルータ2は5台のVPN端末3と同時に接続可能な処理能力を備えているとする。まず始めに、VPNルータ側通信制御部15は、時間帯割当部11に対して、収容されているVPN端末3の台数(ここでは15台)と、VPNルータ2が同時に接続することが可能なVPN端末3の台数(ここでは5台)と、を出力する。
【0027】
次に、時間情報取得部13が現在時刻を時間帯割当部11に出力する。時間帯割当部11は、時間情報取得部13が出力した時刻情報と、VPNルータ側通信制御部15が出力した収容されているVPN端末3の台数と、VPNルータ2が同時に接続することが可能なVPN端末3の台数に関する情報と、に基づいて、VPN端末3に対して、時間帯を割り当てる。ここで、時間帯割当部11は、同時接続可能な数のVPN端末3に対して、同一の時間帯を割り当ててもよい。その場合、VPNルータ2の処理能力をより効率よく活用することができる。
【0028】
時間帯割当部11は、VPN端末3それぞれに対して均等な長さの時間帯を割り当ててもよい。図4は、VPN端末3に対して均等な長さの時間帯を割り当てた場合の時間帯の割り当て方の例を示した表である。時間帯割当部11は、同時接続可能な数(この場合5つ)のVPN端末3に対して同じ時間帯を割り当てている。また、VPN端末3に対して均等な長さ(この場合10分)の時間帯を割り当てている。
【0029】
また、時間帯割当部11は、VPN端末3との通信状況に基づいて時間帯の長さを決定し、時間帯を割り当ててもよい。図5は、VPN端末3との通信状況に基づいて時間帯の長さを決定し、時間帯を割り当てた場合の時間帯の割り当て方の例を示した表である。時間帯割当部11は、同時接続可能な数(この場合5つ)のVPN端末3に対して同じ時間帯を割り当てている。また、VPN端末No.01-01~05には5分の、VPN端末No.02-01~05には10分の、VPN端末No.3-01~05には15分の、長さの時間帯を割り当てている。時間帯割当部11は、この時間帯の長さをVPN端末3との通信状況に基づいて決定している。このような場合、時間帯割当部11は、より頻繁に通信をおこなうVPN端末3に対して、より長い時間帯を割り当てることが好ましい。
【0030】
時間帯割当部11は、VPN端末3に対して割り当てた時間帯に関する情報を、接続可否判定部12に出力する。
【0031】
図6は、接続可否判定部12が、VPNルータ2に収容されている複数のVPN端末3のうち特定のVPN端末3との接続の可否を判定する処理を説明するためのフローチャートである。まず始めに、接続可否判定部12は、時間情報取得部13から現在時刻の情報を入力する(S1)。次に、接続可否判定部12は、時間帯割当部11から特定のVPN端末3に対して割り当てた時間帯の情報を入力し(S2)、現在時刻が割り当てられた時間帯に含まれているかどうかを判定する(S3)。判定がYesの場合、接続可否判定部12は、VPNルータ側通信制御部15に対して、特定のVPN端末3との接続を許可する(S4)。判定がNoの場合、接続可否判定部12は、VPNルータ側通信制御部15に対して、特定のVPN端末3との接続を許可しない(S5)。
【0032】
VPNルータ側通信制御部15は、接続可否判定部12が接続を許可したVPN端末3との間でVPN接続をおこない、通信を開始する。また、VPN端末3とすでに通信をおこなっていた場合は、通信を継続する。一方で、接続可否判定部12が接続を許可しなかったVPN端末3に対しては、VPN接続をおこなわない。また、VPN端末3とすでに通信をおこなっていた場合は、その通信を終了し、VPN接続を切断する。
【0033】
本実施の形態にかかる通信管理システム1によれば、VPN端末3に対して時間帯を割り当て、それに基づいてVPNルータ2との接続を制限することによって、VPNルータ2側の有限なリソースを有効に活用することができる。また、その結果として、VPNルータ2の処理能力に関わらず、VPNルータ2にVPN端末3を収容することができる。
【0034】
また、本実施の形態にかかる通信管理システム1によれば、VPNルータ2側に通信管理システムを搭載しておけばよく、VPN端末3は従来使用していたものをそのまま使用することが可能である。
【0035】
本実施の形態にかかる通信管理システムは、VPNルータ2に搭載されたプログラムによって実行されてもよい。
【0036】
なお、プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、CD-ROM、digital versatile disc(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。
【0037】
実施の形態3.
本開示にかかる通信管理システムは、VPN端末の識別子(以下、端末ID(Identifier)と呼ぶ)を利用して、VPNルータとVPN端末とのVPN接続を制限してもよい。以下、図2、3、及び7~14を用いて、VPN端末の端末IDを利用する通信管理について詳しく説明する。
本開示にかかる通信管理システムは、VPN端末の識別子(以下、端末ID(Identifier)と呼ぶ)を利用して、VPNルータとVPN端末とのVPN接続を制限してもよい。以下、図2、3、及び7~14を用いて、VPN端末の端末IDを利用する通信管理について詳しく説明する。
【0038】
図7は、本実施の形態にかかるVPNルータ2及びVPN端末3の構成を示すブロック図である。図7によると、本実施の形態にかかるVPNルータ2及びVPN端末3は、実施の形態2の場合(図2参照)とほぼ同様の構成をしているが、接続可否判定部12に代わって指定ID変更部18を備えている点で、実施の形態2の場合と異なる。指定ID変更部18は、時間情報取得部13から入力した時刻情報と、時間帯割当部11から入力したVPN端末3に割り当てられた時間帯の情報に基づいて、VPN端末3の端末IDを指定し、VPNルータ側通信制御部15に出力する。
【0039】
本実施の形態にかかるVPN端末3はそれぞれが端末IDを所有している。このとき、VPN端末3の所有する端末IDは、1つのVPN端末3に対して固有のものでなくてもよい。すなわち、同じIDをもつVPN端末3が存在してもよい。さらに具体的にいえば、VPNルータ2が同時に接続可能なVPN端末3の数を超えない数のVPN端末3が同じIDを所有していてもよい。
【0040】
本実施の形態では、実施の形態2の場合と同様に、VPNルータ2に対して、15台のVPN端末3a~oが収容されており(図3参照)、VPNルータ2は5台のVPN端末3と同時に接続可能な処理能力を備えているとする。また、VPN端末3a~oは、図8の表に示すように、VPN端末3a~eはtanmatsu_01という端末IDを、VPN端末3f~jはtanmatsu_02という端末IDを、VPN端末3k~oはtanmatsu_03という端末IDを、それぞれ所有しているとする。
【0041】
以下、本実施の形態にかかるVPNの通信管理の処理について図7~14を用いて説明する。本実施の形態において、時間帯割当部11は、共通の端末IDを有するVPN端末3に対して、同一の時間帯を割り当てる。まず始めに、時間帯割当部11は、VPNルータ側通信制御部15から、収容されているVPN端末3の端末IDを入力する。
【0042】
次に、時間帯割当部11は、VPNルータ側通信制御部15から出力されたVPN端末3の端末IDに対して、指定される時間の長さを決定する。また、時間帯割当部11は、各端末IDに対して、指定される順番を決定する。図9の表は、時間帯割当部11が端末IDに対して割り当てた、指定される時間の長さと順番の例を示した表である。なお、この場合では、各端末IDに対して均等な長さの時間が割り当てられているが、実施の形態2の場合と同様に、VPN端末3との通信状況に基づいて指定される時間の長さを決定してもよいのはもちろんである。時間帯割当部11は、各端末IDに対して割り当てられた指定される時間の長さと順番の情報を指定ID変更部18に出力する。
【0043】
指定ID変更部18は、時間情報取得部13から時間情報を、時間帯割当部11が各端末IDに対して割り当てた指定される時間の長さと順番の情報を入力する。次に、指定ID変更部18は、指定される順番が1番目の端末IDを指定する。そして、1番目の端末IDに対して定められた長さの時間が経過した時点で、指定する端末IDを1番目の端末IDから2番目の端末IDに変更し、以下この操作を順番に繰り返していく。最後の順番の端末IDの指定される時間が終了した時は、再び順番が1番目の端末IDを指定して、同じ操作を繰り返してもよいし、新たに時間帯割当部11に指定する時間の長さと順番の情報を出力させてもよい。
【0044】
図10は、指定ID変更部18が、図9に示された情報に基づいて、指定するIDを変更していく様子の例を示した線分図である。指定ID変更部18は、開始点101において、1番目の端末IDであるtanmatsu_01を指定する。図9によると、tanmatsu_01は10分間指定される。そのため、開始点101から10分後にあたる端末ID変更点102aにおいて、指定される端末IDは、2番目の端末IDであるtanmatsu_02へと変更される。同様に、端末ID変更点102bにおいて、指定される端末IDは、tanmatsu_03へと変更される。全ての端末IDが指定され終わった端末ID変更点102cにおいては、tanmatsu_01を再び指定して同じ操作を繰り返してもよいし、新たに時間帯割当部11に指定する時間の長さと順番の情報を出力させて、それに従って端末IDを指定してもよい。
【0045】
指定ID変更部18は、以上のようにして指定した端末IDを、VPNルータ側通信制御部15に出力する。
【0046】
続いて、指定された端末IDに基づいて、VPN接続をおこなう時のVPNルータ2とVPN端末3の動作について、図11~14を用いて説明する。なお、これらの動作は、それぞれVPNルータ側通信制御部15とVPN端末側通信制御部17によって制御され、VPNルータ側通信部14とVPN端末側通信部16によって実行される。本実施の形態にかかるVPN通信では、IPsec(Security Architecture for Internet Protocol)を暗号化機能として用い、IKE(Internet Key Exchange protocol)を用いてSA(Security Association)を確立し、VPN接続をおこなう。また、IKEを用いてSAを確立するにあたっては、フェーズ1をアグレッシブモードにておこなう。なお、別のプロトコルを用いている場合であっても、本開示にかかる通信管理システムは適用可能である。図11は、アグレッシブモードにてIKE SAの確立に成功した場合の、VPNルータ2とVPN端末3の間でのパケットのやり取りを示した模式図である。図11によると、アグレッシブモードにてIKE SAを確立する場合、VPNルータ2とVPN端末3の間にIKE SAを確立するのには、合計3回のパケット(第1パケット201、第2パケット202、および第3パケット203)のやり取りが必要である。
【0047】
一方で、図12はIKE SAの確立に失敗した場合の、VPNルータ2とVPN端末3の間でのパケットのやり取りを示した模式図である。図12によると、VPN端末3が送信する第1パケット201に対して、VPNルータ2が接続拒否情報204を送信することで、IKE SAの確立が失敗する。
【0048】
図13は、アグレッシブモードにてIKE SAを確立する場合の、VPN端末3の処理を示したフローチャートである。まず始めに、VPN端末3はVPNルータ2に対して、第1パケット201と自身の端末IDを送信する(S1)。その後、VPNルータ2から第2パケット202を受信したかを判定する(S2)。判定がYesの場合、VPNルータ2に対して、第3パケット203を送信し(S3)、VPNルータ2との間にIKE SAを確立する(S4)。一方、判定がNoの場合、すなわち、VPNルータ2から接続拒否情報204を受信した場合、VPN端末3は再びS1をおこなう。つまり、VPN端末3は、VPNルータ2とIKE SAを確立するまで、第1パケット201と自身の端末IDを送信し続ける。
【0049】
図14は、アグレッシブモードにてIKE SAを確立する場合の、VPNルータ2の処理を示したフローチャートである。まず始めに、VPNルータ2は、VPN端末3から第1パケット201と端末IDを受信する(S1)。次に、VPNルータ2は、VPN端末3から送信された端末IDが指定ID変更部18によって指定されたIDと一致するかを判定する(S2)。判定がYesであった場合、VPNルータ2は、VPN端末3に対して第2パケット202を送信する(S3)。その後、VPNルータ2は、VPN端末3から第3パケット203を受信し(S5)、VPN端末3との間にIKE SAを確立する(S6)。判定がNoであった場合、VPNルータ2は、VPN端末3に対して接続拒否情報204を送信し、IKE SAの確立を失敗させる(S4)。
【0050】
以上をまとめると、本開示にかかる通信管理システムは、VPN端末3の端末IDを利用して、VPNルータ2とVPN端末3とのVPN接続を制限することができる。また、その結果として、VPNルータ2側の有限なリソースを有効に活用し、VPNルータ2に収容可能なVPN端末3の台数を増やすことができる。
【0051】
その他の実施の形態.
実施の形態3においては、指定ID変更部18が、時間帯割当部11が定めた指定する時間に基づいて指定する端末IDを変更していたが、指定ID変更部18は、VPNルータ2とVPN端末3との通信目的が終了した時点で指定する端末IDを変更してもよい。すなわち、VPNルータ2は、VPN端末3がVPN通信を開始してからVPN通信の利用を終了するまでの期間を、VPN端末3に対して、通信可能な時間帯として割り当てる。このような構成にすることによって、よりVPN端末3の実働状況に見合った時間帯の割り当てが可能となる。
実施の形態3においては、指定ID変更部18が、時間帯割当部11が定めた指定する時間に基づいて指定する端末IDを変更していたが、指定ID変更部18は、VPNルータ2とVPN端末3との通信目的が終了した時点で指定する端末IDを変更してもよい。すなわち、VPNルータ2は、VPN端末3がVPN通信を開始してからVPN通信の利用を終了するまでの期間を、VPN端末3に対して、通信可能な時間帯として割り当てる。このような構成にすることによって、よりVPN端末3の実働状況に見合った時間帯の割り当てが可能となる。
【符号の説明】
【0052】
1 通信管理システム
2 VPNルータ
3、3a~o VPN端末
11 時間帯割当部
12 接続可否判定部
13 時間情報取得部
14 VPNルータ側通信部
15 VPNルータ側通信制御部
16 VPN端末側通信部
17 VPN端末側通信制御部
18 指定ID変更部
101 開始点
102a~c 端末ID変更点
201 第1パケット
202 第2パケット
203 第3パケット
204 接続拒否情報
2 VPNルータ
3、3a~o VPN端末
11 時間帯割当部
12 接続可否判定部
13 時間情報取得部
14 VPNルータ側通信部
15 VPNルータ側通信制御部
16 VPN端末側通信部
17 VPN端末側通信制御部
18 指定ID変更部
101 開始点
102a~c 端末ID変更点
201 第1パケット
202 第2パケット
203 第3パケット
204 接続拒否情報
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】