端装置10中,控制器101包括中央处理单元(CPU)和随机存取存储器(RAM)。CPU执行操作系统程序和应用程序。当CPU执行连接应用时,实现用于与服务器装置40建立连接的功能。
[0039]图3是通过执行连接应用而实现的功能之中的示例性实施方式的功能的功能框图。
[0040]在该功能框图中,认证信息获取单元151获取用户使用操作单元104输入的用户名和密码。生成单元152基于认证信息获取单元151获取的用户名和密码,生成散列值作为用户的第一认证信息的示例。第一发送单元153通过控制通信单元105将生成单元152生成的散列值发送到认证装置30。地址获取单元154获取由认证装置30发送且由通信单元105接收的互联网协议(IP)地址。第二发送单元155通过控制通信单元105将请求连接到由IP地址识别的装置的连接请求发送到路由器20。该连接请求包括地址获取单元154获取的IP地址和认证信息获取单元151获取的用户名和密码。
[0041]图4是示出认证装置30的硬件构造的框图。在认证装置30中,通信单元305像用于执行数据通信的通信接口一样操作,并且连接到通信网络2。存储器302包括将数据以非易失性方式存储的设备(诸如,硬盘驱动)并且存储认证表TB1。
[0042]图5示出认证表TB1的示例。认证表TB1包括“服务器装置标识(ID) ”字段、“服务器装置地址”字段和“用户的散列值”字段。“服务器装置ID”字段存储唯一地标识服务器装置40的ID。如果多个服务器装置40连接到通信网络2,则各服务器装置40的ID被存储在“服务器装置ID”字段中。“服务器装置地址”字段将被分派给服务器装置ID标识的服务器装置40的IP地址存储在认证表TB1的同一行。“用户的散列值”字段存储用被允许连接到服务器装置40的用户的用户名和密码的组合计算出的散列值。
[0043]存储器302存储执行与另一个装置通信的功能、认证终端装置10的用户并且响应于认证结果允许终端装置10连接到服务器装置40的功能的程序。控制器301包括CPU和RAM,并且控制存储器302和通信单元305。控制器301的CPU执行存储在存储器302上的程序,从而执行功能。
[0044]图6是认证装置30实现的功能之中的本发明的示例性实施方式的功能的功能框图。
[0045]在该功能框图中,获取单元351获取由终端装置10发送并且由通信单元305接收的散列值。获取单元351是获取散列值作为第一认证信息的示例的第一获取单元的示例。认证单元352根据获取单元351获取的散列值和存储在认证表TB1中的散列值,认证终端装置10的用户。认证单元352是用第一获取单元获取的第一认证信息来认证用户的认证单元的示例。响应于认证单元352的认证结果,发送单元353将服务器装置40的IP地址经由通信单元305发送到终端装置10,并且将与终端装置10连接的路由器20的IP地址经由通信单元305发送到服务器装置40。发送单元353是将作为第二装置示例的服务器装置40的IP地址发送到作为第一装置示例的终端装置10并且将与终端装置10连接的路由器的地址发送到服务器装置40的第一发送单元的示例。
[0046]图7是示出服务器装置40的硬件构造的框图。通信单元405像用于数据通信的通信接口一样操作,并且连接到通信网络2。存储器402包括将数据以非易失性方式存储的设备(诸如,硬盘设备),并且存储从终端装置10接收的数据和将被发送到终端装置10的数据。
[0047]存储器402存储认证表TB2。图8示出认证表TB2的示例。认证表TB2包括“用户名”字段和“密码”字段。“用户名”字段存储被允许连接到服务器装置40的用户的用户名。如果多个用户得到允许,则存储每个用户的用户名。“密码”字段存储被允许连接到服务器装置40的用户的密码。
[0048]存储器402存储实现与另一个装置通信的功能和建立与终端装置10的连接的功能的程序。控制器401包括CPU和RAM,并且控制存储器402和通信单元405。当CPU执行存储在存储器402上的程序时,执行这些功能。
[0049]图9是服务器装置40实现的功能之中的本发明的示例性实施方式的功能的功能框图。
[0050]控制器401中的第一获取单元451获取由认证装置30发送且由通信单元405接收的路由器20的IP地址。第一获取单元451是获取认证装置30的IP地址的第二获取单元的示例。第二获取单元452获取由路由器20发送且由通信单元405接收的IP地址、用户名和密码。第二获取单元452是获取用户名和密码作为路由器20发送的用户的第一认证信息的示例的第三获取单元的示例。连接单元453是如果第一获取单元451获取的IP地址匹配第二获取单元452获取的IP地址并且第二获取单元452获取的用户名和密码被存储在存储器402上则控制通信单元405与IP地址的装置建立连接的连接单元的示例。
[0051]图10是示出路由器20的硬件构造的框图。通信单元205连接在通信网络2和终端装置10之间,中继终端装置10和通信网络2之间的通信。存储器202将数据以非易失性方式存储。存储器202存储实现中继通信的功能和与服务器装置40建立虚拟专用网(VPN)的功能的程序。控制器201包括CPU和RAM,并且控制存储器202和通信单元205。当控制器201的CPU执行存储在存储器202上的程序时,执行这些功能。
[0052]图11是示出路由器20的功能之中的本发明的示例性实施方式的功能的框图。
[0053]发送单元251是第二发送单元示例,获取由终端装置10发送且由通信单元205接收的IP地址、用户名和密码并且将路由器20在广域网(WAN)上的IP地址和所获取的用户名和密码发送到所获取IP地址的装置。
[0054]参照图12描述第一示例性实施方式中的将终端装置10连接到服务器装置40的操作示例。
[0055]控制器401通过控制通信单元405向认证装置30发送第一消息(步骤S1)。第一消息询问是否存在被允许连接到服务器装置40的用户,并且包括服务器装置40的服务器装置ID和IP地址。当通信单元305接收到步骤S1中发送的第一消息时,控制器301将包括在被接收第一消息中的IP地址存储到认证表TB1中(步骤S2)。更具体地,控制器301在认证表TB1中搜索接收到的第一消息中包括的服务器装置ID。如果第一消息中包括的服务器装置ID被击中(hit),则控制器301将第一消息中包括的IP地址存储在存储击中的服务器装置ID的行的“服务器装置地址”字段。
[0056]控制器301检查是否存在被允许连接到发送第一消息的服务器装置40的用户(步骤S3)。更具体地,控制器301确定与终端装置10连接的路由器20的IP地址是否被存储在存储器302上。如果与终端装置10连接的路由器20的IP地址没有被存储在存储器302上,则控制器301确定在这个时刻没有用户被允许连接到服务器装置40。控制器301通过控制通信单元305向服务器装置40发送第二消息(步骤S4)。第二消息通知服务器装置40没有用户被允许连接到服务器装置40。
[0057]当通信单元405接收到步骤S4中发送的第二消息时,控制器401待机等待,直到过去预定时段。当过去了预定时段时,控制器401再发送第一消息。第一消息和第二消息周期性地在服务器装置40和认证装置30之间交换,直到识别到被允许连接到服务器装置40的用户。
[0058]为了将终端装置10连接到远程访问目的地(第一示例性实施方式中的服务器装置40),终端装置10的用户操作操作单元104来指示执行连接应用。响应于连接应用的指示,控制器101执行存储在存储器102上的连接应用。
[0059]执行连接应用的控制器101控制显示器103显示接收用户名和密码的画面。当显示接收用户名和密码的画面时,用户使用操作单元104输入用户名和密码。当输入用户名和密码时,控制器101获取输入的用户名和密码(步骤S5),并且用所获取的用户名和密码的组合来计算散列值(步骤S6)。在完成计算散列值之后,控制器101通过控制通信单元105向认证装置30发送第一请求(步骤S7)。第一请求包括计算出的散列值并且请求被允许连接到远程访问连接目的地。
[0060]终端装置10发送的第一请求被首先发送到路由器20。路由器20在第一请求中包括路由器20在通信网络2(WAN)上的IP地址,并且将所得的第一请求发送到认证装置30(步骤S8)。从路由器20发送的第一请求经由通信网络2被发送到认证装置30。
[0061]当通信单元305接收到第一请求时,控制器301认证终端装置10的用户(步骤S9)。更具体地,控制器301 (获取单元351)获取第一请求中包括的散列值。控制器301(认证单元352)在认证表TB1中搜索所获取的散列值。如果第一请求中包括的散列值没有被存储在认证表TB1中,则控制器301拒绝关于允许连接到服务器装置40的请求。另一方面,如果第一请求中包括的散列值被存储在认证表TB1中,则控制器301允许用户连接到服务器装置40。在允许用户连接到服务器装置40时,控制器301致使包括在接收到的第一请求中的路由器20的IP地址被存储到存储器302上(步骤