(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-01-12
(45)【発行日】2023-01-20
(54)【発明の名称】中継方法、中継システム、及び中継用プログラム
(51)【国際特許分類】
H04L 12/28 20060101AFI20230113BHJP
H04W 76/10 20180101ALI20230113BHJP
H04W 12/08 20210101ALI20230113BHJP
【FI】
H04L12/28 500F
H04W76/10
H04W12/08
【請求項の数】
14
(21)【出願番号】P 2019122756
(22)【出願日】2019-07-01
(65)【公開番号】P2021010100
(43)【公開日】2021-01-28
【審査請求日】2022-06-13
【早期審査対象出願】
(73)【特許権者】
【識別番号】515068502
【氏名又は名称】株式会社ソラコム
(74)【代理人】
【識別番号】100166006
【弁理士】
【氏名又は名称】泉 通博
(74)【代理人】
【識別番号】100154070
【弁理士】
【氏名又は名称】久恒 京範
(74)【代理人】
【識別番号】100153280
【弁理士】
【氏名又は名称】寺川 賢祐
(72)【発明者】
【氏名】安川 健太
(72)【発明者】
【氏名】松井 基勝
(72)【発明者】
【氏名】川上 大喜
【審査官】野元 久道
(56)【参考文献】
【文献】特開2018-152691(JP,A)
【文献】特開2013-098761(JP,A)
【文献】特表2012-504384(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00
H04L 12/28
H04W 76/10
H04W 12/08
(57)【特許請求の範囲】
【請求項1】
所定の閉域網内に設けられており、プライベートアドレスが割り当てられている対象端末と、前記所定の閉域網内に設けられていないクライアント端末との通信を中継する中継システムが実行する中継方法であって、前記中継システムは、前記クライアント端末と前記対象端末との通信を中継する際の接続を管理する接続管理装置を有し、
前記接続管理装置が、前記クライアント端末から、前記対象端末を識別するための端末識別情報を含む第1接続要求を取得する取得ステップと、
前記接続管理装置が、前記第1接続要求を取得すると、前記クライアント端末と前記対象端末との前記通信を中継する第1中継装置の複数のポート番号から選択した1つのポート番号を示す接続用情報を特定する特定ステップと、
前記接続管理装置が、前記接続用情報と、前記端末識別情報とを関連付けて記憶部に記憶させる記憶制御ステップと、
前記接続管理装置が、特定された前記接続用情報を前記クライアント端末に通知する通知ステップと、
前記第1中継装置が、前記クライアント端末から前記接続用情報が示す前記1つのポート番号に宛てた、前記対象端末と通信するための第2接続要求を受信すると、前記記憶部において当該接続用情報に関連付けられている前記端末識別情報に基づいて、前記クライアント端末と前記対象端末との通信を中継する中継ステップと、
を備える中継方法。
【請求項2】
前記中継ステップの前に、前記接続管理装置が、前記対象端末のポート番号を含む中継用情報を前記第1中継装置に通知するステップをさらに有する、
請求項1に記載の中継方法。
【請求項3】
前記特定ステップにおいて、前記接続管理装置は、前記第1接続要求を取得すると前記第1中継装置のアドレスを示す前記接続用情報を特定し、前記中継ステップにおいて、前記第1中継装置は、前記クライアント端末から、前記接続用情報が示す前記第1中継装置のアドレスに宛てた、前記対象端末と通信するための第2接続要求を受信すると、前記記憶部において前記接続用情報に関連付けられている前記端末識別情報に基づいて、前記クライアント端末と前記対象端末との通信を中継する、
請求項1又は2に記載の中継方法。
【請求項4】
前記中継ステップにおいて、前記第1中継装置は、前記記憶部に記憶された前記端末識別情報に基づいて前記対象端末が接続されている第2中継装置を特定し、特定した前記第2中継装置を介して、前記クライアント端末と前記対象端末との通信を中継する、請求項1から3のいずれか1項に記載の中継方法。
【請求項5】
前記中継システムはモバイルネットワークを構成する複数の中継装置を含んで構成されているとともに、前記対象端末は前記モバイルネットワークに接続されており、前記対象端末には、前記モバイルネットワークの内部でアクセス可能なプライベートアドレスが割り当てられており、
前記中継ステップにおいて、前記第1中継装置は、前記対象端末のプライベートアドレスに基づいて、自身と前記対象端末との通信を行うことにより、前記クライアント端末と前記対象端末との通信を中継する、
請求項4に記載の中継方法。
【請求項6】
前記記憶制御ステップにおいて、前記中継システムは、前記接続用情報に、前記対象端末との通信に使用する前記対象端末のポート番号をさらに関連付けて前記記憶部に記憶させ、前記中継ステップにおいて、前記第1中継装置は、前記記憶部において前記接続用情報に関連付けられている前記端末識別情報及び前記対象端末のポート番号に基づいて前記対象端末との接続を確立する、
請求項1から5のいずれか1項に記載の中継方法。
【請求項7】
前記取得ステップにおいて、前記中継システムは、前記クライアント端末から前記対象端末のポート番号をさらに取得し、前記記憶制御ステップにおいて、前記中継システムは、前記接続用情報に、取得された前記対象端末のポート番号をさらに関連付けて前記記憶部に記憶させる、
請求項6に記載の中継方法。
【請求項8】
前記記憶制御ステップにおいて、前記中継システムは、前記接続用情報に、前記クライアント端末と前記対象端末との通信が可能である期間を示す有効期間情報をさらに関連付けて前記記憶部に記憶させ、前記中継ステップにおいて、前記第1中継装置は、前記クライアント端末から前記接続用情報に基づくアクセスを受け付けた場合に、前記記憶部において当該接続用情報に関連付けられている有効期間情報に基づいて通信が可能であると判定すると前記クライアント端末と前記対象端末との通信を中継し、通信が可能ではないと判定すると前記クライアント端末と前記対象端末との通信の中継を遮断する、
請求項1から7のいずれか1項に記載の中継方法。
【請求項9】
前記取得ステップにおいて、前記中継システムは、前記クライアント端末から前記有効期間情報をさらに取得し、前記記憶制御ステップにおいて、前記中継システムは、特定された前記接続用情報に、取得された前記有効期間情報をさらに関連付けて前記記憶部に記憶させる、
請求項8に記載の中継方法。
【請求項10】
前記取得ステップにおいて、前記中継システムは、前記クライアント端末から、前記対象端末と通信を行うときの前記クライアント端末のアドレスを示すアドレス情報をさらに取得し、前記記憶制御ステップにおいて、前記中継システムは、特定された前記接続用情報に、取得された前記アドレス情報をさらに関連付けて前記記憶部に記憶させ、
前記中継ステップにおいて、前記第1中継装置は、前記クライアント端末から当該接続用情報に基づくアクセスを受け付けた場合に、当該クライアント端末のアドレスが、前記記憶部において当該接続用情報に関連付けられているアドレス情報に対応していると判定すると、前記クライアント端末と前記対象端末との通信を中継し、アドレス情報に対応していないと判定すると、前記クライアント端末と前記対象端末との通信の中継を遮断する、
請求項1から9のいずれか1項に記載の中継方法。
【請求項11】
前記中継ステップにおいて、前記第1中継装置は、前記クライアント端末から前記接続用情報に基づくアクセスを受け付ける場合に、前記クライアント端末が適格であることを示すクライアント情報をさらに取得し、当該クライアント情報に基づいて前記クライアント端末が適格であると判定すると、前記クライアント端末と前記対象端末との通信を中継し、前記クライアント端末が適格ではないと判定すると、前記クライアント端末と前記対象端末との通信の中継を遮断する、請求項1から10のいずれか1項に記載の中継方法。
【請求項12】
前記中継ステップにおいて、前記第1中継装置は、自身と前記クライアント端末との間でデータを暗号化して通信を行い、自身と前記対象端末との間でデータを暗号化しないで通信を行うことにより、前記クライアント端末と前記対象端末との通信を中継する、請求項1から11のいずれか1項に記載の中継方法。
【請求項13】
所定の閉域網内に設けられており、プライベートアドレスが割り当てられている対象端末と、前記所定の閉域網内に設けられていないクライアント端末との通信を中継する中継装置と、前記クライアント端末と前記対象端末との通信を中継する際の接続を管理する接続管理装置と、を有する中継システムであって、前記接続管理装置は、
前記クライアント端末から、前記対象端末を識別する対象端末識別情報を含む第1接続要求を取得する取得部と、
前記第1接続要求を取得すると、前記クライアント端末と前記対象端末との前記通信を中継する前記中継装置の複数のポート番号から選択した1つのポート番号を示し、前記クライアント端末が前記中継装置に接続するための接続用情報を特定する特定部と、
前記接続用情報と、前記対象端末識別情報とを関連付けて記憶部に記憶させる記憶制御部と、
特定された前記接続用情報を前記クライアント端末に通知する通知部と、
を有し、
前記中継装置は、
前記クライアント端末から前記接続用情報が示す前記1つのポート番号に宛てた、前記対象端末と通信するための第2接続要求を受信すると、前記記憶部において当該接続用情報に関連付けられている前記対象端末識別情報に基づいて、前記クライアント端末と前記対象端末との通信を中継する中継部、
を有する、
中継システム。
【請求項14】
所定の閉域網内に設けられており、プライベートアドレスが割り当てられている対象端末と、前記所定の閉域網内に設けられていないクライアント端末との通信を中継する中継システムが備え、前記クライアント端末と前記対象端末との通信を中継する際の接続を管理するコンピュータを、前記クライアント端末から、前記対象端末を識別する対象端末識別情報を含む第1接続要求を取得する取得部、
前記第1接続要求を取得すると、前記クライアント端末と前記対象端末との前記通信を中継する中継装置の複数のポート番号から選択した1つのポート番号を示し、前記クライアント端末が、前記クライアント端末と前記対象端末との前記通信を中継する前記中継装置に接続するための接続用情報を特定する特定部、
前記接続用情報と、前記対象端末識別情報とを関連付けて記憶部に記憶させる記憶制御部、及び、
特定された前記接続用情報を前記クライアント端末に通知する通知部、
として機能させる中継用プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クライアント端末と対象端末との通信を中継する中継方法、中継システム、及び中継用プログラムに関する。
【背景技術】
【0002】
IoT(Internet of Things)システムの保守、運用、管理を行うにあたり、IoTデバイスとしての対象端末に対してアクセス可能にすることが行われている。ユーザが、対象端末にアクセスする方法として、特許文献1には、ユーザからの要求に応じて、対象端末に割り当てたグローバルIPアドレスを通知するシステムが開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特許第5973049号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
対象端末にグローバルIPアドレスを割り当てることにより、ユーザは、グローバルIPアドレスを用いて対象端末に容易にアクセスすることができる。しかしながら、対象端末にグローバルIPアドレスを割り当てると、対象端末にユーザ以外の第三者がアクセス可能となるため、セキュリティ上のリスクが生じる。
【0005】
そこで、本発明はこれらの点に鑑みてなされたものであり、対象端末にセキュアにアクセスすることができる中継方法、中継システム、及び中継用プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明の第1の態様に係る中継方法は、クライアント端末と、前記クライアント端末の通信先の対象端末との通信を中継する中継システムが実行する中継方法であって、前記クライアント端末から、前記対象端末を識別する端末識別情報を取得する取得ステップと、前記端末識別情報を取得すると、前記中継システムが備える複数の中継装置のうち、前記通信を中継する第1中継装置を特定し、前記クライアント端末が前記第1中継装置に接続するための接続用情報を特定する特定ステップと、前記接続用情報と、前記端末識別情報とを関連付けて記憶部に記憶させる記憶制御ステップと、特定された前記接続用情報を前記クライアント端末に通知する通知ステップと、前記第1中継装置が、前記クライアント端末から前記接続用情報に基づくアクセスを受け付けると、前記記憶部において当該接続用情報に関連付けられている前記端末識別情報に基づいて、前記クライアント端末と前記対象端末との通信を中継する中継ステップと、を備える。
【0007】
前記中継ステップにおいて、前記第1中継装置は、前記記憶部に記憶された前記端末識別情報に基づいて前記対象端末が接続されている第2中継装置を特定し、特定した前記第2中継装置を介して、前記クライアント端末と前記対象端末との通信を中継してもよい。
【0008】
前記中継システムはモバイルネットワークを構成する複数の中継装置を含んで構成されているとともに、前記対象端末は前記モバイルネットワークに接続されており、前記対象端末には、前記モバイルネットワークの内部でアクセス可能なプライベートアドレスが割り当てられており、前記中継ステップにおいて、前記第1中継装置は、前記対象端末のプライベートアドレスに基づいて、自身と前記対象端末との通信を行うことにより、前記クライアント端末と前記対象端末との通信を中継してもよい。
【0009】
前記記憶制御ステップにおいて、前記中継システムは、前記接続用情報に、前記対象端末との通信に使用する前記対象端末のポート番号をさらに関連付けて前記記憶部に記憶させ、前記中継ステップにおいて、前記第1中継装置は、前記記憶部において前記接続用情報に関連付けられている端末識別情報及び前記対象端末のポート番号に基づいて前記対象端末との接続を確立してもよい。
【0010】
前記取得ステップにおいて、前記中継システムは、前記クライアント端末から前記対象端末のポート番号をさらに取得し、前記記憶制御ステップにおいて、前記中継システムは、前記接続用情報に、取得された前記対象端末のポート番号をさらに関連付けて前記記憶部に記憶させてもよい。
【0011】
前記記憶制御ステップにおいて、前記中継システムは、前記第1中継装置のポート番号を含む前記接続用情報を前記記憶部に記憶させ、前記通知ステップにおいて、前記中継システムは、前記第1中継装置のアドレス及びポート番号を含む前記接続用情報を前記クライアント端末に通知し、前記中継ステップにおいて、前記第1中継装置は、前記クライアント端末から、前記接続用情報に含まれる前記第1中継装置のアドレス及びポート番号に基づくアクセスを受け付けてもよい。
【0012】
前記記憶制御ステップにおいて、前記中継システムは、前記接続用情報に、前記クライアント端末と前記対象端末との通信が可能である期間を示す有効期間情報をさらに関連付けて前記記憶部に記憶させ、前記中継ステップにおいて、前記第1中継装置は、前記クライアント端末から前記接続用情報に基づくアクセスを受け付けた場合に、前記記憶部において当該接続用情報に関連付けられている有効期間情報に基づいて通信が可能であると判定すると前記クライアント端末と前記対象端末との通信を中継し、通信が可能ではないと判定すると前記クライアント端末と前記対象端末との通信の中継を遮断してもよい。
【0013】
前記取得ステップにおいて、前記中継システムは、前記クライアント端末から前記有効期間情報をさらに取得し、前記記憶制御ステップにおいて、前記中継システムは、特定された前記接続用情報に、取得された前記有効期間情報をさらに関連付けて前記記憶部に記憶させてもよい。
【0014】
前記取得ステップにおいて、前記中継システムは、前記クライアント端末から、前記対象端末と通信を行うときの前記クライアント端末のアドレスを示すアドレス情報をさらに取得し、前記記憶制御ステップにおいて、前記中継システムは、特定された前記接続用情報に、取得された前記アドレス情報をさらに関連付けて前記記憶部に記憶させ、前記中継ステップにおいて、前記接続用情報に対応する前記第1中継装置は、前記クライアント端末から当該接続用情報に基づくアクセスを受け付けた場合に、当該クライアント端末のアドレスが、前記記憶部において当該接続用情報に関連付けられているアドレス情報に対応していると判定すると、前記クライアント端末と前記対象端末との通信を中継し、アドレス情報に対応していないと判定すると、前記クライアント端末と前記対象端末との通信の中継を遮断してもよい。
【0015】
前記中継ステップにおいて、前記第1中継装置は、前記クライアント端末から前記接続用情報に基づくアクセスを受け付ける場合に、前記クライアント端末が適格であることを示すクライアント情報をさらに取得し、当該クライアント情報に基づいて前記クライアント端末が適格であると判定すると、前記クライアント端末と前記対象端末との通信を中継し、前記クライアント端末が適格ではないと判定すると、前記クライアント端末と前記対象端末との通信の中継を遮断してもよい。
【0016】
前記中継ステップにおいて、前記第1中継装置は、自身と前記クライアント端末との間でデータを暗号化して通信を行い、自身と前記対象端末との間でデータを暗号化しないで通信を行うことにより、前記クライアント端末と前記対象端末との通信を中継してもよい。
【0017】
本発明の第2の態様に係る中継システムは、接続管理装置と、複数の中継装置とを備え、クライアント端末と、前記クライアント端末の通信先の対象端末との通信を中継する中継システムであって、前記接続管理装置は、前記クライアント端末から、前記対象端末を識別する端末識別情報を取得する取得部と、前記端末識別情報を取得すると、前記中継システムが備える複数の中継装置のうち、前記通信を中継する第1中継装置を特定し、前記クライアント端末が前記第1中継装置に接続するための接続用情報を特定する特定部と、前記接続用情報と、前記端末識別情報とを関連付けて記憶部に記憶させる記憶制御部と、特定された前記接続用情報を前記クライアント端末に通知する通知部と、を有し、前記第1中継装置は、前記クライアント端末から前記接続用情報に基づくアクセスを受け付けると、前記記憶部において当該接続用情報に関連付けられている前記端末識別情報に基づいて、前記クライアント端末と前記対象端末との通信を中継する中継部、を有する。
【0018】
本発明の第3の態様に係る中継用プログラムは、クライアント端末と、前記クライアント端末の通信先の対象端末との通信を中継する中継システムが備えるコンピュータを、前記クライアント端末から、前記対象端末を識別する端末識別情報を取得する取得部、前記端末識別情報を取得すると、前記中継システムが備える複数の中継装置のうち、前記通信を中継する第1中継装置を特定し、前記クライアント端末が前記第1中継装置に接続するための接続用情報を特定する特定部、前記接続用情報と、前記端末識別情報とを関連付けて記憶部に記憶させる記憶制御部、及び、特定された前記接続用情報を前記クライアント端末に通知する通知部、として機能させる。
【発明の効果】
【0019】
本発明によれば、対象端末にセキュアにアクセスすることができるという効果を奏する。
【図面の簡単な説明】
【0020】
【図1】本実施形態に係る中継システムの概要を示す図である。
【図2】本実施形態に係る接続管理装置の構成を示す図である。
【図3】本実施形態に係る第1中継装置の構成を示す図である。
【図4】本実施形態に係る第2中継装置の構成を示す図である。
【図5】認証情報の登録に係る処理の流れを示すシーケンス図である。
【図6】通信の中継を行う第1中継装置の特定に係る処理の流れを示すシーケンス図である。
【図7】通信の中継に係る処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0021】
[中継システムSの概要]
図1は、本実施形態に係る中継システムSの概要を示す図である。中継システムSは、クライアント端末4と、IoTデバイスとしての対象端末5との通信を中継するシステムである。
図1は、本実施形態に係る中継システムSの概要を示す図である。中継システムSは、クライアント端末4と、IoTデバイスとしての対象端末5との通信を中継するシステムである。
【0022】
中継システムSは、接続管理装置1と、4Gや5G等のモバイルネットワークを構成する複数の第1中継装置2と、複数の第2中継装置3とを含んで構成されている。第1中継装置2は、モバイルネットワークにおけるコアネットワークの外部のネットワークに配置されているプロキシサーバである。第2中継装置3は、モバイルネットワークにおけるコアネットワークの内部のネットワークに配置されているプロキシサーバである。対象端末5は、モバイルネットワークの内部に配置されており、モバイルネットワークにおけるプライベートIPアドレスが割り当てられている。対象端末5は、複数の第2中継装置3のいずれかと接続されている。なお、図1において、対象端末5は1つのみ示しているが、実際には複数の対象端末5が存在するものとする。
【0023】
中継システムSの接続管理装置1は、クライアント端末4から、リモートでアクセスする端末である対象端末5を識別する端末識別情報としてのSIM(Subscriber Identity Module)固有番号を取得する。SIM固有番号は、例えば、IMSI(International Mobile Subscriber Identity)である。
【0024】
接続管理装置1は、クライアント端末4から、SIM固有番号を取得すると、複数の第1中継装置2のうち、クライアント端末4と対象端末5との通信を中継する第1中継装置2を特定し、クライアント端末4が、当該第1中継装置2に接続するための接続用情報を特定する。図1に示す例では、接続管理装置1は、第1中継装置2-1を、クライアント端末4と対象端末5との通信を中継する第1中継装置2として特定し、クライアント端末4が第1中継装置2-1に接続するための接続用情報を特定する。
【0025】
接続管理装置1は、特定した接続用情報と、SIM固有番号とを関連付けて記憶部に記憶させるとともに、当該接続用情報をクライアント端末4に通知する。クライアント端末4は、接続管理装置1から通知された接続用情報に基づいて複数の第1中継装置2のいずれかにアクセスする。クライアント端末4からアクセスされた第1中継装置2は、記憶部において接続用情報に関連付けられているSIM固有番号に基づいて、対象端末5が接続されている第2中継装置3を特定し、特定した第2中継装置3を介して、クライアント端末4と対象端末5との通信を中継する。
【0026】
図1に示す例では、第1中継装置2-1は、第2中継装置3-2を、対象端末5が接続されている第2中継装置3として特定する。第1中継装置2-1は、第2中継装置3-2を介して、クライアント端末4と対象端末5との通信を中継する。
【0027】
このように、中継システムSは、クライアント端末4が対象端末5と通信を行うために接続する接続先である第1中継装置2を可変にするので、第三者による当該接続先となる第1中継装置2の特定を困難なものとし、セキュリティを高めることができる。
【0028】
[接続管理装置1の構成]
続いて、中継システムSが備える接続管理装置1、第1中継装置2及び第2中継装置3の構成を説明する。まず、接続管理装置1の構成を説明する。図2は、本実施形態に係る接続管理装置1の構成を示す図である。図2に示すように、接続管理装置1は、通信部11と、記憶部12と、制御部13とを備える。
続いて、中継システムSが備える接続管理装置1、第1中継装置2及び第2中継装置3の構成を説明する。まず、接続管理装置1の構成を説明する。図2は、本実施形態に係る接続管理装置1の構成を示す図である。図2に示すように、接続管理装置1は、通信部11と、記憶部12と、制御部13とを備える。
【0029】
通信部11は、クライアント端末4と通信を行うための通信インターフェースである。
記憶部12は、ROM(Read Only Memory)及びRAM(Random Access Memory)等を含む記憶媒体である。記憶部12は、制御部13が実行するプログラムを記憶している。例えば、記憶部12は、制御部13を、認証情報管理部131、取得部132、特定部133、記憶制御部134、及び通知部135として機能させる管理装置用プログラムを記憶している。管理装置用プログラムは、クライアント端末4と対象端末5との通信を中継する中継用プログラムの一部である。
記憶部12は、ROM(Read Only Memory)及びRAM(Random Access Memory)等を含む記憶媒体である。記憶部12は、制御部13が実行するプログラムを記憶している。例えば、記憶部12は、制御部13を、認証情報管理部131、取得部132、特定部133、記憶制御部134、及び通知部135として機能させる管理装置用プログラムを記憶している。管理装置用プログラムは、クライアント端末4と対象端末5との通信を中継する中継用プログラムの一部である。
【0030】
制御部13は、例えばCPU(Central Processing Unit)である。制御部13は、記憶部12に記憶された管理装置用プログラムを実行することにより、認証情報管理部131、取得部132、特定部133、記憶制御部134、及び通知部135として機能する。これらの機能の詳細については後述する。
【0031】
[第1中継装置2の構成]
続いて、第1中継装置2の構成を説明する。図3は、本実施形態に係る第1中継装置2の構成を示す図である。図3に示すように、第1中継装置2は、通信部21と、記憶部22と、制御部23とを備える。
続いて、第1中継装置2の構成を説明する。図3は、本実施形態に係る第1中継装置2の構成を示す図である。図3に示すように、第1中継装置2は、通信部21と、記憶部22と、制御部23とを備える。
【0032】
通信部21は、接続管理装置1、第2中継装置3、クライアント端末4と通信を行うための通信インターフェースである。
記憶部22は、ROM及びRAM等を含む記憶媒体である。記憶部22は、制御部23が実行するプログラムを記憶している。例えば、記憶部22は、制御部23を、第1中継部231として機能させる第1中継装置用プログラムを記憶している。第1中継装置用プログラムは、クライアント端末4と対象端末5との通信を中継する中継用プログラムの一部である。
記憶部22は、ROM及びRAM等を含む記憶媒体である。記憶部22は、制御部23が実行するプログラムを記憶している。例えば、記憶部22は、制御部23を、第1中継部231として機能させる第1中継装置用プログラムを記憶している。第1中継装置用プログラムは、クライアント端末4と対象端末5との通信を中継する中継用プログラムの一部である。
【0033】
制御部23は、例えばCPUである。制御部23は、記憶部22に記憶された第1中継装置用プログラムを実行することにより、第1中継部231として機能する。第1中継部231の機能の詳細については後述する。
【0034】
[第2中継装置3の構成]
続いて、第2中継装置3の構成を説明する。図4は、本実施形態に係る第2中継装置3の構成を示す図である。図4に示すように、第2中継装置3は、通信部31と、記憶部32と、制御部33とを備える。
続いて、第2中継装置3の構成を説明する。図4は、本実施形態に係る第2中継装置3の構成を示す図である。図4に示すように、第2中継装置3は、通信部31と、記憶部32と、制御部33とを備える。
【0035】
通信部31は、第1中継装置2、対象端末5と通信を行うための通信インターフェースである。
記憶部32は、ROM及びRAM等を含む記憶媒体である。記憶部32は、制御部33が実行するプログラムを記憶している。例えば、記憶部32は、制御部33を、第2中継部331として機能させる第2中継装置用プログラムを記憶している。第2中継装置用プログラムは、クライアント端末4と対象端末5との通信を中継する中継用プログラムの一部である。
記憶部32は、ROM及びRAM等を含む記憶媒体である。記憶部32は、制御部33が実行するプログラムを記憶している。例えば、記憶部32は、制御部33を、第2中継部331として機能させる第2中継装置用プログラムを記憶している。第2中継装置用プログラムは、クライアント端末4と対象端末5との通信を中継する中継用プログラムの一部である。
【0036】
制御部33は、例えばCPUである。制御部33は、記憶部32に記憶された第2中継装置用プログラムを実行することにより、第2中継部331として機能する。第2中継部331の機能の詳細については後述する。
【0037】
続いて、接続管理装置1の制御部13、第1中継装置2の制御部23、第2中継装置3の制御部33が備える機能の詳細について説明する。以下の説明では、適宜、シーケンス図を参照しながら、各制御部の機能の詳細について説明する。
【0038】
[認証情報の登録]
まず、クライアント端末4の認証情報の登録に係る機能の詳細について説明する。認証情報の登録に係る機能は、認証情報管理部131により実現される。図5は、認証情報の登録に係る処理の流れを示すシーケンス図である。
まず、クライアント端末4の認証情報の登録に係る機能の詳細について説明する。認証情報の登録に係る機能は、認証情報管理部131により実現される。図5は、認証情報の登録に係る処理の流れを示すシーケンス図である。
【0039】
認証情報管理部131は、クライアント端末4からクライアント認証に用いる認証情報の登録を要求する認証情報登録要求を取得する(S1)。ここで、クライアント認証は、クライアント端末4が通信する際に送信するクライアント情報(証明書情報)であって、認証局が生成したクライアント情報が正しいか否かを認証することにより行われる。認証情報登録要求には、認証情報として、例えば、クライアント情報を生成した認証局を示す認証局情報、及びクライアント情報からハッシュ値を生成するための公開鍵が含まれている。
【0040】
認証情報管理部131は、認証情報登録要求を取得すると、認証情報を識別するための認証情報IDを生成する(S2)。
続いて、認証情報管理部131は、生成した認証情報IDと、認証情報とを関連付けて記憶部12に記憶させることにより、認証情報の登録を行う(S3)。
続いて、認証情報管理部131は、生成した認証情報IDをクライアント端末4に送信する(S4)。
続いて、認証情報管理部131は、生成した認証情報IDと、認証情報とを関連付けて記憶部12に記憶させることにより、認証情報の登録を行う(S3)。
続いて、認証情報管理部131は、生成した認証情報IDをクライアント端末4に送信する(S4)。
【0041】
[通信の中継を行う第1中継装置2の特定]
続いて、クライアント端末4が対象端末5と通信を行う際の、当該通信の中継を行う第1中継装置2の特定に係る機能の詳細について説明する。第1中継装置2の特定に係る機能は、接続管理装置1の取得部132、特定部133、記憶制御部134、及び通知部135により実現される。図6は、通信の中継を行う第1中継装置2の特定に係る処理の流れを示すシーケンス図である。なお、クライアント端末4のユーザは、対象端末5を識別するSIM固有番号を予め把握しているものとする。
続いて、クライアント端末4が対象端末5と通信を行う際の、当該通信の中継を行う第1中継装置2の特定に係る機能の詳細について説明する。第1中継装置2の特定に係る機能は、接続管理装置1の取得部132、特定部133、記憶制御部134、及び通知部135により実現される。図6は、通信の中継を行う第1中継装置2の特定に係る処理の流れを示すシーケンス図である。なお、クライアント端末4のユーザは、対象端末5を識別するSIM固有番号を予め把握しているものとする。
【0042】
取得部132は、クライアント端末4から、対象端末5への接続要求を取得する(S11)。具体的には、取得部132は、対象端末5を識別するSIM固有番号と、対象端末5が通信を行う場合に使用する対象端末5のポート番号とを含む接続要求を取得する。
【0043】
取得部132は、クライアント端末4から、接続要求とともに、対象端末5と接続を行うときの接続条件を示す接続条件情報を取得してもよい。具体的には、取得部132は、接続条件情報として、クライアント端末4と対象端末5との通信が可能である期間を示す有効期間情報としてのTTL(Time To Live)値、及びクライアント端末4が対象端末5と通信を行うときのクライアント端末4のIPアドレスの範囲を示すクライアントアドレス情報の少なくともいずれかを取得してもよい。
また、取得部132は、クライアント端末4から、接続要求とともに、クライアント認証に使用される認証情報IDを取得してもよい。
また、取得部132は、クライアント端末4から、接続要求とともに、クライアント認証に使用される認証情報IDを取得してもよい。
【0044】
特定部133は、接続要求を取得すると、中継システムSが備える複数の第1中継装置2のうち、クライアント端末4と対象端末5との通信を中継する第1中継装置2を特定する(S12)。例えば、特定部133は、複数の第1中継装置2のうち、任意の1つの第1中継装置2を、クライアント端末4と対象端末5との通信を中継する第1中継装置2として特定する。
【0045】
なお、特定部133は、クライアント端末4が属する地域に属する第1中継装置2を、クライアント端末4と対象端末5との通信を中継する第1中継装置2として特定してもよい。この場合、記憶部12は、複数の第1中継装置2のIPアドレスと、第1中継装置2が配置されている地域とを関連付けた地域別アドレス情報を記憶している。特定部133は、接続要求を行ったクライアント端末4のアドレスを特定し、当該アドレスに基づいてクライアント端末4が属する地域を特定する。特定部133は、地域別アドレス情報を参照し、特定したクライアント端末4が属する地域に属する複数の第1中継装置2のうち、任意の1つの第1中継装置2を、クライアント端末4と対象端末5との通信を中継する第1中継装置2として特定する。このようにすることで、クライアント端末4は、同一の地域に配置されている第1中継装置2にアクセスすることができるので、クライアント端末4と第1中継装置2との間での通信の遅延を抑制することができる。
【0046】
また、特定部133は、クライアント端末4が契約している通信会社が運用している第1中継装置2を、クライアント端末4と対象端末5との通信を中継する第1中継装置2として特定してもよい。このようにすることで、クライアント端末4と対象端末5との通信の中継に係るコストを抑制することができる。また、特定部133は、第1中継装置2が収容している端末の台数、又は第1中継装置2におけるトラフィック量に基づいて、負荷が少ない第1中継装置2を、クライアント端末4と対象端末5との通信を中継する第1中継装置2として特定してもよい。このようにすることで、クライアント端末4と第1中継装置2との間での通信の遅延を抑制することができる。
【0047】
特定部133は、特定した第1中継装置2にクライアント端末4が接続するための接続用情報として、第1中継装置2のIPアドレスと、ポート番号とを特定する(S13)。例えば、特定部133は、予め定められている範囲の複数のポート番号の中から、任意の1つのポート番号を選択することにより、第1中継装置2のポート番号を特定する。このようにすることで、接続管理装置1は、第1中継装置2が通信に使用するポート番号を第三者が特定することを難しくすることができる。
【0048】
記憶制御部134は、特定部133が特定した接続用情報と、取得部132が取得した対象端末5のSIM固有番号と、対象端末5のポート番号とを関連付けた宛先エントリ情報を記憶部12に記憶させる(S14)。
【0049】
記憶制御部134は、取得部132が、接続条件情報を取得している場合、当該接続条件情報(TTLに対応する有効期限、クライアントアドレス情報)を、接続用情報に関連付けて記憶させる。例えば、記憶制御部134は、接続条件情報としてTTL値を取得している場合には、現在時刻とTTL値に基づいて、クライアント端末4と対象端末5との通信が可能な期間が終了する時刻を通信有効期限とし、当該通信有効期限を接続用情報に関連付けて記憶させる。
また、記憶制御部134は、取得部132が、認証情報IDを取得している場合、当該認証情報IDを接続用情報に関連付けて記憶させる。なお、以下の説明では、取得部132が、認証情報IDを取得しているものとして説明を進める。
また、記憶制御部134は、取得部132が、認証情報IDを取得している場合、当該認証情報IDを接続用情報に関連付けて記憶させる。なお、以下の説明では、取得部132が、認証情報IDを取得しているものとして説明を進める。
【0050】
通知部135は、特定部133が特定した第1中継装置2のIPアドレスとポート番号とを含む接続用情報を、接続要求を行ったクライアント端末4に通知する(S15)。ここで、通知部135は、接続用情報をクライアント端末4に通知することとしたが、これに限らず、当該接続用情報を含む宛先エントリ情報をクライアント端末4に通知してもよい。
【0051】
[特定された第1中継装置2による通信の中継]
接続用情報がクライアント端末4に通知されると、クライアント端末4は、当該接続用情報に基づいて、特定された第1中継装置2にアクセス可能となる。特定された第1中継装置2は、クライアント端末4から、接続用情報に含まれる第1中継装置2のIPアドレス及びポート番号に基づくアクセスを受け付けると、クライアント端末4と対象端末5との通信を中継する。
接続用情報がクライアント端末4に通知されると、クライアント端末4は、当該接続用情報に基づいて、特定された第1中継装置2にアクセス可能となる。特定された第1中継装置2は、クライアント端末4から、接続用情報に含まれる第1中継装置2のIPアドレス及びポート番号に基づくアクセスを受け付けると、クライアント端末4と対象端末5との通信を中継する。
【0052】
具体的には、第1中継装置2の第1中継部231は、クライアント端末4から、接続用情報に基づく接続要求を取得することにより、クライアント端末4からのアクセスを受け付けると、接続管理装置1の記憶部12において接続用情報に関連付けられているSIM固有番号に基づいて、クライアント端末4と対象端末5との通信を中継する。第1中継部231は、当該SIM固有番号に基づいて対象端末5が接続されている第2中継装置3を特定し、特定した第2中継装置3を介して、クライアント端末4と対象端末5との通信を中継する。
【0053】
以下、通信の中継に係る機能の詳細について説明する。通信の中継に係る機能は、接続管理装置1の取得部132、特定部133、通知部135、第1中継装置2の第1中継部231、第2中継装置3の第2中継部331により実現される。図7は、通信の中継に係る処理の流れを示すシーケンス図である。
【0054】
第1中継装置2の第1中継部231は、クライアント端末4から、接続用情報に基づく接続要求を取得することにより、クライアント端末4からのアクセスを受け付ける(S21)。具体的には、第1中継部231は、接続用情報に含まれる第1中継装置2のポート番号のポートで、クライアント端末4から接続要求を取得する。当該接続要求には、クライアント端末4が適格であることを証明するクライアント情報が含まれているものとする。ここで、クライアント情報は、例えば証明書情報である。
【0055】
続いて、第1中継部231は、接続管理装置1に、通信の中継を行うために使用する中継用情報の取得要求を接続管理装置1に送信する(S22)。ここで、中継用情報の取得要求には、第1中継装置2に割り当てられているIPアドレスと、クライアント端末4との通信に用いられているポートのポート番号とが含まれているものとする。また、中継用情報は、クライアント端末4の通信先である対象端末5のSIM固有番号、対象端末5のポート番号、接続条件情報、第2中継装置3のIPアドレスを含む情報である。
【0056】
接続管理装置1の取得部132は、第1中継装置2から中継用情報の取得要求を取得する。接続管理装置1の特定部133は、記憶部12に記憶されている宛先エントリ情報を参照し、中継用情報の取得要求に含まれている第1中継装置2のIPアドレスと、ポート番号とに関連付けられている対象端末5のSIM固有番号、対象端末5のポート番号、接続条件情報、及び認証情報IDを特定する(S23)。
【0057】
続いて、特定部133は、特定した対象端末5のSIM固有番号に基づいて、対象端末5が接続されている第2中継装置3を特定する(S24)。具体的には、特定部133は、モバイルネットワークにおいて、複数の第2中継装置3のそれぞれに接続されている一以上の対象端末5を管理する接続管理情報を参照し、特定したSIM固有番号の対象端末5が接続されている第2中継装置3のIPアドレスを特定する。
【0058】
ここで、接続管理情報は、例えば、4GコアネットワークのP-GW(Packet data network GateWay)、5GコアネットワークにおけるUPF(User Plane Function)により提供されるものとするが、接続管理装置1が管理してもよい。
【0059】
続いて、通知部135は、特定部133が特定した対象端末5のSIM固有番号、対象端末5のポート番号、接続条件情報、第2中継装置3のIPアドレスを含む中継用情報を第1中継装置2に通知する(S25)。
【0060】
第1中継装置2の第1中継部231は、中継用情報を取得すると、当該中継用情報に含まれている接続条件情報が示す接続条件を満たすか否かを判定する(S26)。第1中継部231は、接続条件を満たすと判定すると、S28に処理を移し、クライアント端末4と対象端末5との通信を中継する処理を継続する。第1中継部231は、接続条件を満たしていないと判定すると、クライアント端末4と対象端末5との接続が行えない旨を示す接続エラー情報をクライアント端末4に通知する(S27)。
【0061】
具体的には、第1中継部231は、クライアント端末4のIPアドレスが、接続条件情報に含まれるクライアントアドレス情報に対応しているか否かを判定する。ここで、第1中継部231は、クライアント端末4のIPアドレスが、クライアントアドレス情報が示すIPアドレスの範囲内に含まれている場合に、クライアント端末4のIPアドレスが、クライアントアドレス情報に対応していると判定する。
【0062】
第1中継部231は、クライアント端末4のIPアドレスが、クライアントアドレス情報に対応していない、すなわち、クライアント端末4のIPアドレスが、クライアントアドレス情報が示すIPアドレスの範囲内に含まれていないと判定すると、接続エラー情報をクライアント端末4に通知し、クライアント端末4と対象端末5との通信を遮断する。このようにすることで、第1中継装置2は、クライアントアドレス情報が示すIPアドレスの範囲に含まれないIPアドレスを有する端末からのアクセスがあった場合に、対象端末5との通信を行わないので、セキュリティを高めることができる。
【0063】
また、第1中継部231は、S23において特定した認証情報IDと、接続要求に含まれているクライアント情報とに基づいてクライアント端末4が適格であるか否かを判定する。具体的には、第1中継部231は、接続管理装置1に、認証情報IDを含み認証情報の取得を要求する認証情報取得要求を送信する。接続管理装置1の認証情報管理部131は、認証情報取得要求を取得すると、記憶部12において、当該認証情報IDに関連付けられて記憶されている認証情報としての認証局情報及び公開鍵を第1中継装置2に送信する。
【0064】
第1中継部231は、認証情報を取得すると、クライアント情報に基づいて、クライアント端末4が適格であるか否かを判定する。例えば、第1中継部231は、認証情報に含まれる公開鍵に基づいてクライアント情報からハッシュ値を生成する。そして、第1中継部231は、当該ハッシュ値が、認証局において保管されているクライアント端末4のハッシュ値と一致するか否かを判定することにより、クライアント端末4が適格であるか否かを判定する。第1中継部231は、クライアント端末4が適格ではないと判定すると、接続エラー情報をクライアント端末4に通知し、クライアント端末4と対象端末5との通信を遮断する。
【0065】
第1中継部231は、クライアント端末4のIPアドレスが、クライアントアドレス情報に対応しているとともに、クライアント端末4が適格であると判定すると、S28に処理を移す。そして、第1中継部231は、接続管理装置1から取得した中継用情報に含まれる対象端末5のIPアドレスと対象端末5のポート番号とに基づいて、TCPコネクションにより対象端末5との接続を確立する。
【0066】
具体的には、第1中継部231は、S25において接続管理装置1から取得した中継用情報に含まれる第2中継装置3のIPアドレスに基づいて、第2中継装置3との接続を確立させる(S28)。
【0067】
第1中継部231は、第2中継装置3との接続が確立すると、中継用情報に含まれる対象端末5のIPアドレス及び対象端末5のポート番号を当該第2中継装置3に通知する。第2中継装置3の第2中継部331は、第1中継装置2から通知された対象端末5のIPアドレス及び対象端末5のポート番号に基づいて、対象端末5との接続を確立させる(S29)。
【0068】
S28及びS29の処理が完了すると、クライアント端末4と対象端末5との接続が確立される(S30)。第1中継装置2の第1中継部231及び第2中継装置3の第2中継部331は、クライアント端末4と、対象端末5との通信を中継する。これにより、クライアント端末4は、対象端末5に対してコマンド送信を行ったり、対象端末5とデータの送受信を行ったりすることができる。
【0069】
ここで、第1中継装置2の第1中継部231は、対象端末5のプライベートIPアドレスに基づいて、第1中継装置2から対象端末5までを通信会社の閉域網を利用した第1中継装置2と対象端末5との通信を行うことにより、クライアント端末4と対象端末5との通信を中継する。
【0070】
第1中継部231は、クライアント端末4と、対象端末5との通信を中継する場合に、接続条件情報に含まれる通信有効期限に基づいて、クライアント端末4と対象端末5との通信が可能であるか否かを判定する。第1中継部231は、通信が可能であるか否かを判定すると、クライアント端末4と対象端末5との通信を中継し、通信が可能ではないと判定すると、クライアント端末4と対象端末5との通信を遮断する。第1中継部231は、クライアント端末4と対象端末5との通信を遮断する場合に、接続エラー情報をクライアント端末4に通知する。このように、第1中継装置2は、通信有効期限を超えたことに応じて、クライアント端末4と対象端末5との通信を遮断するので、通信有効期限を設けない場合に比べてセキュリティを高めることができる。
【0071】
なお、クライアント端末4は、対象端末5との通信を行う場合に、SSL(Secure Socket Layer)やTLS(Transport Layer Security)により暗号化したデータを第1中継装置2に送信してもよい。この場合、第1中継部231は、自身とクライアント端末4との間でデータを暗号化して通信を行い、自身と対象端末5との間でデータを暗号化しないで通信を行うことにより、クライアント端末4と対象端末5との通信を中継する。
【0072】
上述したように、第1中継装置2と対象端末5との間は、対象端末5のプライベートIPアドレスに基づいて通信を行うことができるので、第1中継装置2と対象端末5との間でデータの暗号化を行わなくてもセキュアな通信を行うことができる。また、対象端末5は、SSLやTLSによる暗号化を行わなくてもよいことから、対象端末5がSSLやTLSに対応していない場合であっても、セキュアな通信を行うことができる。
【0073】
[変形例1]
以上の説明においては、第1中継装置2の第1中継部231は、クライアント端末4から認証情報IDを含む接続要求を取得することとしたが、これに限らない。接続要求に認証情報IDを含めるか否かについては、オプションであってもよく、接続要求に認証情報IDが含まれていなくてもよい。接続要求に認証情報IDが含まれていない場合には、第1中継部231は、認証情報IDに基づく中継可否の判定を行わなくてもよい。
以上の説明においては、第1中継装置2の第1中継部231は、クライアント端末4から認証情報IDを含む接続要求を取得することとしたが、これに限らない。接続要求に認証情報IDを含めるか否かについては、オプションであってもよく、接続要求に認証情報IDが含まれていなくてもよい。接続要求に認証情報IDが含まれていない場合には、第1中継部231は、認証情報IDに基づく中継可否の判定を行わなくてもよい。
【0074】
[変形例2]
また、第1中継装置2の第1中継部231は、クライアント端末4から、接続用情報に基づくクライアント端末4と対象端末5との通信を無効にする旨を示す指示情報を取得してもよい。この場合、第1中継部231は、当該接続用情報に対応するクライアント端末4と対象端末5との中継の遮断を指示する。
また、第1中継装置2の第1中継部231は、クライアント端末4から、接続用情報に基づくクライアント端末4と対象端末5との通信を無効にする旨を示す指示情報を取得してもよい。この場合、第1中継部231は、当該接続用情報に対応するクライアント端末4と対象端末5との中継の遮断を指示する。
【0075】
[変形例3]
また、上述の説明では、第1中継装置2と1台の対象端末5との通信が中継される例について説明したが、これに限らず、第1中継装置2と複数の対象端末5との通信が中継されるようにしてもよい。この場合、接続管理装置1は、1つのクライアント端末4に対して、複数の対象端末5のそれぞれの接続用情報、通信有効期限等を管理する。そして、複数の対象端末5のそれぞれに対応して、図7に示す処理が行われ、クライアント端末4と、複数の対象端末5のそれぞれとの接続が確立される。この場合、第1中継装置2の第1中継部231は、複数の対象端末5のそれぞれへの接続要求を示す1つの接続要求を取得し、当該接続要求に基づいて、第1中継装置2と、複数の対象端末5のそれぞれとの間の接続を確立させてもよい。これにより、クライアント端末4は、接続が確立された複数の対象端末5のそれぞれに対してコマンド送信を行ったり、データの送受信を行ったりすることができる。
また、上述の説明では、第1中継装置2と1台の対象端末5との通信が中継される例について説明したが、これに限らず、第1中継装置2と複数の対象端末5との通信が中継されるようにしてもよい。この場合、接続管理装置1は、1つのクライアント端末4に対して、複数の対象端末5のそれぞれの接続用情報、通信有効期限等を管理する。そして、複数の対象端末5のそれぞれに対応して、図7に示す処理が行われ、クライアント端末4と、複数の対象端末5のそれぞれとの接続が確立される。この場合、第1中継装置2の第1中継部231は、複数の対象端末5のそれぞれへの接続要求を示す1つの接続要求を取得し、当該接続要求に基づいて、第1中継装置2と、複数の対象端末5のそれぞれとの間の接続を確立させてもよい。これにより、クライアント端末4は、接続が確立された複数の対象端末5のそれぞれに対してコマンド送信を行ったり、データの送受信を行ったりすることができる。
【0076】
[変形例4]
また、上述の説明では、クライアント端末4と対象端末5との中継を行う場合のネットワーク構成として、第1中継装置2から対象端末5までが通信会社の閉域網であるネットワーク構成を例として説明したが、これに限らない。例えば、第1中継装置2から第2中継装置3までを閉域網としたネットワーク構成、第1中継装置2及び第2中継装置3のみを閉域網に備えるネットワーク構成、第1中継装置2及び第2中継装置3のいずれかと、接続管理装置1とを閉域網内に備えるネットワーク構成とするなど、さまざまなネットワーク構成において、クライアント端末4と対象端末5との中継を行うようにしてもよい。
また、上述の説明では、クライアント端末4と対象端末5との中継を行う場合のネットワーク構成として、第1中継装置2から対象端末5までが通信会社の閉域網であるネットワーク構成を例として説明したが、これに限らない。例えば、第1中継装置2から第2中継装置3までを閉域網としたネットワーク構成、第1中継装置2及び第2中継装置3のみを閉域網に備えるネットワーク構成、第1中継装置2及び第2中継装置3のいずれかと、接続管理装置1とを閉域網内に備えるネットワーク構成とするなど、さまざまなネットワーク構成において、クライアント端末4と対象端末5との中継を行うようにしてもよい。
【0077】
[本実施形態における効果]
以上説明したように、本実施形態に係る中継システムSにおいて、接続管理装置1は、クライアント端末4から、対象端末5を識別するSIM固有番号を取得すると、中継システムSが備える複数の第1中継装置2のうち、通信を中継する第1中継装置2を特定し、クライアント端末4が当該第1中継装置2に接続するための接続用情報を、SIM固有番号と関連付けて記憶部12に記憶させるとともに、当該接続用情報を、クライアント端末4に通知する。特定された第1中継装置2は、クライアント端末4から接続用情報に基づくアクセスを受け付けると、記憶部12において当該接続用情報に関連付けられているSIM固有番号に基づいて、クライアント端末4と対象端末5との通信を中継する。
以上説明したように、本実施形態に係る中継システムSにおいて、接続管理装置1は、クライアント端末4から、対象端末5を識別するSIM固有番号を取得すると、中継システムSが備える複数の第1中継装置2のうち、通信を中継する第1中継装置2を特定し、クライアント端末4が当該第1中継装置2に接続するための接続用情報を、SIM固有番号と関連付けて記憶部12に記憶させるとともに、当該接続用情報を、クライアント端末4に通知する。特定された第1中継装置2は、クライアント端末4から接続用情報に基づくアクセスを受け付けると、記憶部12において当該接続用情報に関連付けられているSIM固有番号に基づいて、クライアント端末4と対象端末5との通信を中継する。
【0078】
このようにすることで、クライアント端末4に通知される接続用情報は、常に同じものとならないので、第三者は、対象端末5との通信に用いる接続用情報を推測することが困難となる。したがって、クライアント端末4は、対象端末5にセキュアにアクセスすることができる。
【0079】
また、中継システムSの第1中継装置2は、クライアント端末4から、第1中継装置2のIPアドレス及びポート番号を含む接続用情報に基づくアクセスを受け付けると、当該接続用情報に関連付けられているSIM固有番号に基づいて、TCPコネクションによりクライアント端末4と対象端末5との通信接続を確立する。このようにすることで、中継システムSは、IPプロトコル上の全通信をトンネリングすることなく、TCPコネクション1本単位で通信を確立することができるので、VPNのような既存の通信方法と比較してコストを低く留めることができるとともに、VPNやその他のトンネリングを行う通信ソリューションに比べて通信のオーバーヘッドの増大やアクセス先のデバイスへの追加機能の実装を不要とすることができる。
【0080】
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、装置の全部又は一部は、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を併せ持つ。
【符号の説明】
【0081】
1・・・接続管理装置、11・・・通信部、12・・・記憶部、13・・・制御部、131・・・認証情報管理部、132・・・取得部、133・・・特定部、134・・・記憶制御部、135・・・通知部、2・・・第1中継装置、21・・・通信部、22・・・記憶部、23・・・制御部、231・・・第1中継部、3・・・第2中継装置、31・・・通信部、32・・・記憶部、33・・・制御部、331・・・第2中継部、4・・・クライアント端末、5・・・対象端末、S・・・中継システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】