中继服务器以及中继通信系统的制作方法

文档序号:7863656阅读:197来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:中继服务器以及中继通信系统的制作方法
技术领域
本发明主要涉及使与不同的LAN (Local Area Network)连接的设备间的通信成为可能的中继服务器。
背景技术
以往,已知有在物理上分离的场所设置的LAN彼此间进行通信的被称作虚拟专用网络(Virtual Private Network, VPN)的通信技术。在现有文献所示的例中,在物理上分离的位置设置的多个LAN的各自上连接有中继服务器以及通信终端等。通信终端能够利用该VPN向与其他的LAN连接的通信终端发送包。具体来说,通信终端发送的包首先向同一LAN内的中继服务器发送。该中继服务器经由互联网向与目的地通信终端同一 LAN内的中继服务器发送(传送)包。之后,接收到该包的中继服务器向目的地通信终端发送(传送)包。通过利用该VPN,能够将位于远隔地的其他的LAN如同被直接连接的网络一般地使用。但是,在这种系统中,使用与LAN连接的终端的IP地址(专用IP地址)进行终端彼此的通信。因此,在进行利用了 VPN的通信的情况下,需要将自己的LAN中设定的IP地址向对方侧的LAN发送。这点,例如在同一企业彼此间构筑VPN情况下,即使让对方获知IP地址也不易出现问题。但是,在不同的企业彼此间构筑VPN的情况下,从安全性上的观点出发,不优选使对方获知IP地址。因此,期望一种构成,能够不被其他的LAN侧获知LAN中赋予设备的IP地址而运用VPN。

发明内容
本发明是鉴于以上的事情而做出的,其主要目的是提供一种中继服务器,其能够构筑不使对方获知实际的地址而中继通信可进行的中继通信系统。本发明要解决的课题如上所述,接下来说明用于解决该课题的手段和其效果。根据本发明的第一观点,提供以下的构成的中继服务器。即,该中继服务器具备地址过滤器信息存储部、虚拟地址分配关系存储部、控制部、虚拟地址设定信息存储部。上述地址过滤器信息存储部存储位于第ILAN内、(中继服务器)可传送包的第I路由对象装置的地址即第I路由对象地址和位于第2LAN内的第2中继服务器可传送包的第2路由对象装置的地址即第2路由对象地址。上述虚拟地址分配关系存储部将第I路由对象地址与被分配给该第I路由对象地址的虚拟地址建立对应地进行存储。上述虚拟地址设定信息存储部按照每个第2中继服务器存储是使用上述虚拟地址来进行通信还是使用上述第I路由对象地址来进行通信。上述控制部将上述虚拟地址分配给上述第I路由对象地址,将其分配关系存储于上述虚拟地址分配关系存储部。上述控制部可进行按照每个中继服务器设定是使用上述虚拟地址来进行通信还是使用上述第I路由对象地址来进行通信。上述控制部将分配给上述第I路由对象地址的上述虚拟地址向上述第2中继服务器发送,并且从上述第2中继服务器接收上述第2路由对象地址,与上述第2中继服务器建立路由会话。上述控制部在从上述路由会话接收到以上述虚拟地址为目的地的包时,参照上述虚拟地址分配关系存储部,将包的目的地地址变换为与上述虚拟地址对应的上述第I路由对象地址而向目的地的上述第I路由对象装置传送包。上述控制部在从上述第I路由对象装置接收到以上述第2路由对象装置为目的地的包时,参照上述虚拟地址分配关系存储部,将包的发送源地址变换为被分配给上述第I路由对象地址的上述虚拟地址而向上述路由会话传送包。由此,通过控制部这样变换地址,第I路由对象装置能够不使对方获知自机的地址地与第2路由对象装置进行通信。因此,能够在确保安全性的同时进行中继通信。并且,从第2中继服务器以及第2路由对象装置观察时,表示第I路由对象装置的地址是实际的地址还是虚拟地址也被隐蔽,因此在这一点上也能够提高安全性。并且,利用某中继服务器的用户能够考虑与其他的中继服务器的用户的关系等而决定每个中继服务器中使用的地址。因此,能够实现可灵活对应各种状况的中继通信系统。在上述的中继服务器中,优选的是,上述控制部将随机地决定的上述虚拟地址分配给上述第I路由对象地址。由此,能够防止根据虚拟地址来推测第I路由对象地址,因此能够进一步提高安全性。根据本发明的第二观点,在包含第I中继服务器以及第2中继服务器而构成的中继通信系统中,提供以下的构成。即,位于第ILAN内的中继服务器具备地址过滤器信息存储部、虚拟地址分配关系存储部、控制部、虚拟地址设定信息存储部。上述地址过滤器信息存储部存储该第I中继服务器可传送包的第I路由对象装置的地址即第I路由对象地址和位于第2LAN内的上述第2中继服务器可传送包的第2路由对象装置的地址即第2路由对象地址。上述虚拟地址分配关系存储部将第I路由对象地址与被分配给该第I路由对象地址的虚拟地址建立对应地进行存储。上述虚拟地址设定信息存储部按照每个第2中继服务器存储是使用上述虚拟地址来进行通信还是使用上述第I路由对象地址来进行通信。上述控制部将上述虚拟地址分配给上述第I路由对象地址,将其分配关系存储于上述虚拟地址分配关系存储部。上述控制部可进行按照每个中继服务器设定是使用上述虚拟地址来进行通信还是使用上述第I路由对象地址来进行通信。上述控制部将分配给上述第I路由对象地址的上述虚拟地址向上述第2中继服务器发送,并且从上述第2中继服务器接收上述第2路由对象地址,与上述第2中继服务器建立路由会话。上述控制部在从上述路由会话接收到以上述虚拟地址为目的地的包时,参照上述虚拟地址分配关系存储部,将包的目的地地址变换为与上述虚拟地址对应的上述第I路由对象地址而向目的地的上述第I路由对象装置传送包。上述控制部在从上述第I路由对象装置接收到以上述第2路由对象装置为目的地的包时,参照上述虚拟地址分配关系存储部,将包的发送源地址变换为被分配给上述第I路由对象地址的上述虚拟地址而向上述路由会话传送包。由此,通过控制部上述这样地变换地址,第I路由对象装置能够不使对方获知自机的地址地、与第2路由对象装置进行通信。因此,能够在确保安全性的同时进行中继通信。并且,从第2中继服务器以及第2路由对象装置观察时,表示第I路由对象装置的地址是实际的地址还是虚拟地址也被隐蔽,因此在这一点上也能够提高安全性。并且,利用某中继服务器的用户能够考虑与其他的中继服务器的用户的关系等而决定按每个中继服务器 而使用的地址。因此,能够实现可灵活对应各种状况的中继通信系统。


图1是表示有关本发明的一实施方式的中继通信系统的整体构成的说明图。图2是中继服务器的功能框图。图3是表示中继群(group)信息的内容的图。图4是表示中继服务器信息的内容的图。图5是表示客户终端信息的内容的图。图6是表示VPN群信息的内容的图。图7是表示事先被注册到各个中继服务器中的地址过滤器信息的内容的图。 图8是表示VPN构筑后中继服务器1、3存储的内容的图。图9是表示虚拟地址注册信息的内容的图。图10是表示事先在中继服务器进行的设定的流程图。图11是表示作成VPN群的处理的流程图。图12是表示构筑VPN的处理的流程图。图13是表示构筑VPN的处理的流程图。图14是表示从LAN接收到包时的路由控制的流程图。图15是表示从路由会话接受到包时的路由控制的流程图。图16是表示使用了虚拟地址的路由控制的说明图。图17是表示虚拟地址管理信息(设定信息)的内容的图。
具体实施例方式接着,参照

本发明的实施方式。首先,参照图1对本实施方式的中继通信系统100的概要进行说明。图1是表示有关本实施方式的中继通信系统100的整体构成的说明图。如图1所示,该中继通信系统100由与广域网(WAN,广域通信网)80连接的多个LAN10、20、30构成。各个LAN10、20、30是在被限定的场所所构筑的比较小规模的网络。并且,LAN10、20、30分别配置在物理上分离的场所。另外,本实施方式中作为WAN80使用了互联网。下面,具体说明各个LAN。如图1所示,在LAN (第2LAN) 10上连接着中继服务器(第2中继服务器)1、作为第2路由对象装置的操作PC11、12、客户终端13。在LAN20上连接着中继服务器2、操作PC21、客户终端22。在LAN (第1LAN) 30上连接着中继服务器(第I中继服务器)3、作为第I路由对象装置的对象终端31、32、33、客户终端34。各个中继服务器1、2、3不仅与LANlO、20、30还与WAN80连接,因此,不仅能够同与同一 LAN连接的设备通信,还能够同与配置于其他的LAN的中继服务器通信。操作PC11、
12、21例如是操作者(operator)操作用的个人计算机。对象终端31、32、33是个人计算机或文件服务器等,例如假设操作者操作操作PCll等,向对象终端31等要求规定的数据,以及,更新对象终端31的存储内容。客户终端13、22、34例如由个人计算机构成,各自经由自身所属的中继服务器1、2、3可相互通信。
接着,参照图2对中继服务器1、2、3的详细构成进行说明。图2是中继服务器3的功能框图。另外,中继服务器3是与中继服务器1、2大致相同的构成,因此,下面主要对中继服务器3进行说明。如图2所示,中继服务器3具备存储部50、控制部60、接口部70。接口部70对LANlO内的终端执行通信。并且,接口部70对WAN80执行通信。接口部70对从LAN30或WAN80接受到的包进行适当的处理而向控制部60输出。控制部60是具有例如控制以及运算的功能的CPU,能够通过从存储部50读出的程序来执行各种的处理。该控制部60能够控制基于TCP / IP、UDP、SIP等的协议的各种通信。具体来说,控制部60对于接收到的包,基于该包表示的信息和存储于存储部50的信息来决定目的地,向决定了的目的地发送该包。并且,控制部60能够基于从其他的终端接收到的信息,更新存储部50的存储内容。存储部50由例如硬盘或非易失性RAM构成,能够保存各种数据。存储部50具备中继群信息存储部51、中继服务器信息存储部52、客户终端信息存储部53、VPN群信息存储部54、地址过滤器信息存储部55、虚拟地址注册信息存储部56、虚拟地址分配关系存储部57、虚拟地址设定信息存储部58。另外,中继服务器1、2不进行使用了后述的虚拟地址的通信,因此不具备虚拟地址注册信息存储部56以及虚拟地址分配关系存储部57。下面,参照图3到图9,对存储部50的存储内容进行说明。图3到图9是主要表示中继服务器3的存储部50的存储内容的图。中继群信息存储部51存储有表示中继群和构成该中继群的中继服务器的中继群信息。如图3所示,在中继群信息中记述有group标签、以该group标签作为主要素的子要素的site标签。group标签中记述有与中继群有关的群信息511。作为该群信息511,记述有中继群的识别信息(“id”)、最终更新时刻(“lastmod”)、中继群的名称(“name”)。site标签中记述有与构成中继群的中继服务器有关的群构成信息512。该群构成信息512中记述有该中继服务器的识别信息(“id”)。并且,中继群可进行追加作成,该情况下,向新的中继群中赋予与其他的中继群不同的唯一(独特)的识别信息。由此,可进行仅在特定的中继群内进行数据的交换等的设定。另外,该中继群信息在构成该中继群的中继服务器1、2、3之间共有。并且,在某个中继服务器中进行了变更中继群的处理的情况下,对其他的中继服务器发送该意思而更新中继群信息。这样,中继群信息被动态地共有。中继服务器信息存储部52存储有表示进行中继通信的中继服务器以及所属于该中继服务器的客户终端的概要的中继服务器信息。在图4所示的中继服务器信息中,记述有按照每个中继服务器记述的site标签、和以上述site标签作为主要素的子要素的node标签。site标签中记述有与中继服务器I有关的服务器信息521。作为该服务器信息521记述有中继服务器的识别信息(“id”)、中继服务器的名称(“name”)、启动信息(“stat”)。另外,在“stat”的内容为“active”的情况下,表示中继服务器在中继通信系统100中进行了登录,在stat为空栏时表示注销中。作为site标签的子要素的node标签中记述有表示所属于中继服务器的客户终端的所属信息522。作为所属信息522,记述有所属的中继群的名称(“group”)、客户终端的识别信息(“id”)、客户终端的名称(“name”)、所属目的地的中继服务器的识别信息(“site”)。在客户终端未在中继通信系统100中登录时,“site”成为空栏。另外,由中继群进行的通信基于上述的中继群信息以及中继服务器信息而按照以下的方式来进行。例如在从客户终端13向客户终端22发送包的情况下,首先,客户终端13向自身所连接的中继服务器即中继服务器I发送包。另外,可进行包的交换的中继服务器能够基于上述的中继群信息而进行把握,所属于中继服务器的客户终端的识别信息以及连接与否能够基于上述的中继服务器信息而进行把握。中继服务器I基于这些信息,向客户终端22所连接的中继服务器即中继服务器2传送包。之后,接收到该包的中继服务器2向客户终端22传送包。这样,客户终端13、22彼此间能够进行中继通信。关于该中继服务器信息也与中继群信息相同,在构成该中继群的中继服务器1、2、3之间共有信息。并且,在某中继服务器中进行了变更中继服务器信息的处理的情况下,对其他的中继服务器发送该意思而更新中继服务器信息。这样,中继服务器信息被动态地共有。客户终端信息存储部53存储有与客户终端有关的详细的信息即客户终端信息。另外,中继服务器1、2、3只存储有与所属于自身的客户终端有关的客户终端信息。由于客户终端34所属于中继服务器3,因此在中继服务器3具备的客户终端信息存储部53中只存储有关于客户终端34的客户终端信息。中继服务器3的客户终端信息存储部53存储的客户终端信息如图5(c)所示。相同地,中继服务器I存储的客户终端信息在图5 (a)中表示,中继服务器2存储的客户终端信息在图5 (b)中表不。图5所示的客户终端信息中记述有node标签。该node标签中记述有客户终端的专用IP地址(“addr”)、所属的中继群的名称(“group”)、识别信息(“id”)、名称(“name”)、用于登录到中继服务器的密码(“pass”)、以及端口信息(“port”)。VPN群信息存储部54存储有与VPN群有关的信息即VPN群信息,VPN群由构成中继群的中继服务器以及从客户终端起作为路由点被选择的设备(以下,成为路由设备)构成。通过使所属于同一 VPN群的路由设备彼此间建立路由会话,能够开始利用了 VPN的通信。在图6所示的VPN群信息中,记述有vnet标签。该vnet标签中记述有VPN群基本信息541、路由点信息542、路由会话信息543。VPN群基本信息541中记述有VPN群所属的中继群的名称(“group”)、VPN群的识别信息(“ id”)、最终更新时刻(“ lastmod”)、VPN群的名称(“name”)。路由点信息542中记述有在VPN群间进行通信时进行路由的路由设备的识别信息。在图6的例中,作为路由设备,记述有中继服务器1、中继服务器3。路由会话信息543中记述有在VPN群中相互连接的路由设备。路由会话信息543中,路由设备在用于在VPN群中构筑VPN而开始通信的路由会话建立处理中,被划分确定为最初进行通信控制侧(“sp (start point)”)和接收该通信控制侧“ep (endpoint)”。另外,在以下的说明中,将最初进行路由会话建立用的通信控制的一侧的路由设备称为“起点”,将接收该通信控制的一侧的路由设称为“终点”。根据图6所示的VPN群信息可知,VPN群(VPN — GROUP I)由中继服务器I和中继服务器3构成。并且可知,在该VPN群的开始时,进行用于从中继服务器3向中继服务器I建立路由会话的通信控制。
该VPN群信息也与中继服务器信息以及中继群信息相同,在所属于相同的VPN群的中继服务器1、3之间共有。并且,在某中继服务器中进行了变更VPN群信息的处理的情况下,对所属于相同的VPN群的其他的中继服务器,发送该意思而更新VPN群信息。这样,VPN群信息被动态共有。另外,对于作成该VPN群的处理在后面叙述。地址过滤器信息存储部55存储进行利用了 VPN的路由控制时所使用的信息即地址过滤器信息。地址过滤器信息存储部55存储表示VPN的构筑前中继服务器3自身可直接发送包的装置(路由对象装置)的信息(中继服务器3的地址过滤器信息)。另外,地址过滤器信息中包含路由对象装置的地址(路由对象地址)、路由对象装置的名称。图7 (c)中示出了被事先注册到中继服务器3自身中的地址过滤器信息的例子。在该例子中记述了中继服务器3可直接发送包的设备是对象终端31、32、33。另外,图7(a)中示出了被事先注册到中继服务器I中的地址过滤器信息,图7 (b)中示出了被事先注册到中继服务器2中的地址过滤器信息。下面,有时将中继服务器3的地址过滤器信息中所包含的路由对象地址(对象终端31、32、33的地址)称为第I路由对象地址,将中继服务器I的地址过滤器信息中所包含的路由对象地址(操作PC11、12的地址)称为第2路由对象地址。中继服务器3的虚拟地址注册信息存储部56中,如图9所示,将至少在LAN30内不重复的地址(未被分配到LAN30内的设备中,且未进行其预约的地址)作为虚拟地址事先注册。该虚拟地址在规定的定时(例如与其他的中继服务器开始通信的定时),被分配给第I路由对象地址。虚拟地址分配关系存储部57存储第I路由对象地址和虚拟地址的对应关系(分配关系)。虚拟地址设定信息存储部58如图17所示,按照每个中继服务器存储是使用虚拟地址来进行通信还是使用第I路由对象地址来进行通信。另外,设定使用虚拟地址来进行通信或使用第I路由对象地址来进行通信的中继服务器的数量也可以是3个以上。下面,对不利用虚拟地址的通信和利用虚拟地址的通信的区别进行简单地说明。在不利用虚拟地址的情况下,在中继服务器彼此间建立路由会话时,交换路由对象地址(实际的地址)。由此,中继服务器能够利用通信对象的路由对象地址来进行通信。但是,有时从安全性的观点出发,不优选路由对象地址被获知。与此相对,利用虚拟地址的通信中,当发送地址过滤器信息时,代替路由对象地址而发送虚拟地址。并且,中继通信系统100中,能够使用该虚拟地址在路由对象装置彼此间进行通信(详细的处理在后面叙述)。因此,本实施方式中,能够在确保安全性的同时进行中继通信。接着,对用于进行利用了 VPN的通信的准备进行说明。首先,参照图10对中继服务器中事先进行的设定进行说明,接着,参照图11对作成VPN群时的流程进行说明。图10是表示事先在中继服务器中进行的设定的流程图。图11是表示作成VPN群的处理的流程图。作为中继服务器3中事先进行的设定,有该中继服务器3的地址过滤器信息的注册(S101)。该注册通过以下方式进行,即,利用中继通信系统100的用户以规定的方式输入作为路由对象装置而指定的设备等的地址(第I路由对象地址)和名称。这里,设为用户输入对象终端31、32、33的地址以及名称。这里被注册了的地址过滤器信息被存储在地址过滤器信息存储部55中。
接着,在进行使用了虚拟地址的通信的情况下,用户将至少在LAN30内不重复的地址注册为虚拟地址(S102)。这里被注册的虚拟地址存储在虚拟地址注册信息存储部56中。另外,用户还能够对虚拟地址的注册、及是否许可利用了虚拟地址的通信(是否许可虚拟地址的分配)进行设定。用户在不想对象终端31、32、33的实际的地址被获知的情况下,将许可虚拟地址的分配这一意思在中继服务器3中注册。进而,用户能够按照每个中继服务器设定是使用虚拟地址来进行通信还是使用对象终端31、32、33的实际的地址(第I路由对象地址)来进行通信。因此,中继服务器3例如能够使用被分配给中继服务器I和对象终端31、32、33的虚拟地址来进行通信,使用中继服务器2和对象终端31、32、33的实际的地址来进行通信。另外,中继服务器3通信的中继服务器的数量也可以是3个以上。下面,对作成VPN群时的流程进行说明。用户首先能够通过操作客户终端13、22、34等来显示VPN群的设定画面。这里,对使用客户终端34进行设定的情况进行说明。在于客户终端34显示的设定画面中显示该客户终端34所属的多个中继群。用户从该多个中继群中选择想要构筑VPN群的中继群(S201)。当选择中继群时,在客户终端34的画面中显示属于所选择的中继群且作为路由点可发挥功能的中继服务器以及客户终端的识别信息的一览(S202)。之后,用户选择在构筑的VPN群作为路由点发挥功能的中继服务器以及客户终端(S203)。在本次说明中设为由用户选择了中继服务器1、中继服务器3。之后,基于所选择的中继服务器的识别信息,来作成路由点的识别信息以及上述路由会话信息(S204)。之后,通过在这些信息中附加VPN群的识别信息等,作成图6所示的VPN群信息。客户终端34将该VPN群信息向所属于相同的VPN群的中继服务器1、3发送(S205)。之后,中继服务器1、3将接收到的VPN群信息存储在VPN群信息存储部54中。通过以上,VPN群的构筑处理结束。接着,参照图12及图13对在构筑的VPN群中开始利用了 VPN的通信之前的流程进行说明。图12以及图13是表示在开始利用了 VPN的通信之前所进行的处理的流程图。用户能够通过操作客户终端13等或操作PCll等使构筑了的VPN群显示于画面上。并且,能够通过从所显示的VPN群中选择适当的VPN群(S301),来进行用于构筑VPN的处理。在本次说明中,说明中继服务器3进行在上述中作成的VPN群(由中继服务器1、3构成的VPN群)的开始处理的例子。中继服务器3首先读出与自身建立对应了的地址过滤器信息(S302 )。这里所读出的信息是在SlOl中注册过的内容(图7 (C)所示的内容)。接着,中继服务器3进行属于所选择的VPN群的路由点的读出(S303)。由此,基于图6所示的VPN群信息的内容,读出中继服务器I。中继服务器3基于中继服务器信息首先判断中继服务器I是否在登录中(“stat”是active还是空栏)(S304)。由于根据图4所示的中继服务器信息,中继服务器I是在登录中,因此中继服务器3向中继服务器I发送VPN群的识别信息及VPN群的开始命令(S305)。中继服务器3若接收相对于该开始命令的来自中继服务器I的应答(S306),则将中继服务器I作为构筑VPN的准备已结束的路由点进行注册(S307)。接着,中继服务器3进行是否存在所属于相同的VPN群的其他的设备的判断(S308)。由于当前作成中的VPN群仅由中继服务器I和中继服务器3构成,因此不存在其他的设备。另外,假设,在存在其他的设备的情况下,中继服务器3下次将该设备作为对象进行S304 S307的处理。接着,中继服务器3从VPN群信息存储部54的存储内容中提取路由会话信息(图13的S309)。之后,中继服务器3参照提取出的路由会话信息,来判断是否记述有自身作为起点的路由会话(S310)。在图6的路由会话信息中记述有,在中继服务器I和中继服务器3之间应该被建立的路由会话中自身(中继服务器3)成为起点。因此,中继服务器3对中继服务器I进行规定的通信控制来建立路由会话(S311)。接着,中继服务器3在S102中进行许可虚拟地址的分配这一意思是否被注册的判断(S312)。在许可虚拟地址的分配这一意思被注册了的情况下,中继服务器3对自机(中继服务器3)的第I路由对象地址分配虚拟地址(S313)。另外,在本实施方式中,使用随机数等将随机地决定的虚拟地址分配给第I路由对象地址(参照图8(b))。由此,能够防止根据虚拟地址来推测第I路由对象地址,因此能够使安全性提高。接着,中继服务器3将第I路由对象地址和分配给该第I路由对象地址的虚拟地址的对应关系(分配关系)存储到虚拟地址分配关系存储部57 (S314)。之后,中继服务器3与中继服务器I进行地址过滤器信息的交换(S315)。具体来说,中继服务器3将对象终端31、32、33的名称和分配给第I路由对象地址的虚拟地址向中继服务器I发送。但是,中继服务器3不发送第I路由对象地址其本身(实际的地址)。另一方面,中继服务器I由于不进行利用了虚拟地址的通信,因此将操作PC11、12的名称和第2路由对象地址(实际的地址)向中继服务器3发送。由此,中继服务器3中存储图8 (b)所示的内容。另一方面,中继服务器I中存储图8 (a)所示的内容。如图8 (a)所示,在中继服务器I中注册虚拟地址而不是对象终端31、32、33的实际的地址。另外,中继服务器3不会将关于对象终端31、32、33所发送的地址是否为虚拟地址向中继服务器I通知。因此,所属于LANlO的用户不能判断关于对象终端31、32、33在中继服务器I中是注册了实际的地址还是注册了虚拟地址。因此,能够有效地提高安全性。接着,中继服务器3再次进行S310的处理。由于当前作成中的VPN群仅由中继服务器I和中继服务器3构成,因此其他的路由会话未记述在VPN群信息中。因此,中继服务器3开始包的路由控制(S316)。另外,假设在存在其他的路由会话的情况下,中继服务器3再次进行S311 S315的处理。这样,在本实施方式中,由于在构筑VPN时各个路由设备与其他的路由设备交换(取得)地址过滤器信息,因此能够使用最新的地址过滤器信息来构筑VPN。因此,即使在VPN开始前的阶段、一部分的路由设备中变更了地址过滤器信息的情况下,也能够在使该变更反映到全部的路由设备中的状态下构筑VPN而开始通信,因此能够防止包的路由中的矛盾的发生,能够提高可靠性。并且,虽然图13的流程图中未记载,但是在S310中没有自身成为连接的起点的路由会话的情况(自身成为路由的终点的情况)下,也接收来自作为起点的路由设备的通信控制,进行路由会话的建立处理以及地址过滤器信息的交换。与此同时,进行使用了虚拟地址的通信的情况下,也进行虚拟地址的分配等。另外,各个路由设备只要自身为起点这一意思未记述在路由会话信息中就不进行路由会话建立用的最初的通信控制,因此能够防止通信控制的冲突、以简单的控制建立设备间的路由会话。接着,对使用建立了的路由会话来进行包的路由的处理进行说明。首先,参照图14对中继服务器3从LAN30接收到包时进行的控制进行说明。图14是表示该控制的流程的流程图。另外,LAN30内的路由对象装置在向其他的路由对象装置发送包时,参照中继服务器3中注册过的信息来取得其他的路由对象地址,并将取得的路由对象地址作为目的地地址来发送包。中继服务器3在从LAN30接收包之前待机(S401)。之后,在从LAN30接收到包的情况下,首先进行该包的目的地是否为自机(中继服务器3)的判断(S402)。中继服务器3在包的目的地是自机的情况下,进行该包的接收(S403)。另一方面,在包的目的地是自机以外的情况下,中继服务器3比较接收到的包的目的地地址和地址过滤器信息(参照图8 (b)) i,进行目的地地址是否已注册到地址过滤器信息中的判断(S404 )。中继服务器3在目的地地址未注册到地址过滤器信息中的情况下,废弃包(S405 )。另一方面,中继服务器3在目的地地址已注册到地址过滤器信息中的情况下,确定与该地址过滤器信息对应的路由会话(S406 )。接着,中继服务器3进行自机是否在利用虚拟地址中(S102中是否许可了虚拟地址的分配)的判断(S407)。在是利用虚拟地址中的情况下,中继服务器3参照虚拟地址分配关系存储部57,将发送源地址变换为虚拟地址(S408)。之后,向S406中确定了的路由会话传送包(S409)。另外,在不是利用虚拟地址中的情况下,中继服务器3不进行发送源地址的变换地向S406中确定的路由会话发送(传送)包(S409)。接着,参照图15对中继服务器3从路由会话接收到包时进行的控制进行说明。图15是表示该控制的流程的流程图。中继服务器3在从路由会话接收包之前待机(S501)。之后,中继服务器3在从路由会话接收到包的情况下,比较该包的目的地地址和地址过滤器信息(参照图8 (b)),进行包的目的地地址是否与自机的地址过滤器信息建立对应地进行了注册的判断(S502)。在包的目的地地址与自机的地址过滤器信息建立对应地进行了注册的情况下,进行自机是否在利用虚拟地址中(S102中是否许可了虚拟地址的分配)的判断(S503)。在是利用虚拟地址中的情况下,中继服务器3将目的地地址变换为实际的地址(S504),向目的地地址所示的设备(对象终端31、32、33)传送包(S505)。另外,在不是利用虚拟地址中的情况下,中继服务器3不进行目的地地址的变换地向目的地表示的设备发送(传送)包(S505)。并且,中继服务器3在目的地地址未与自机的地址过滤器信息建立对应而进行了注册的情况下,进行该目的地地址是否与其他的路由设备的地址过滤器信息建立对应而进行了注册的判断(S506)。在该目的地地址与其他的路由设备的地址过滤器信息建立对应而进行了注册的情况下,中继服务器3确定该路由会话(S507),向该路由会话发送(传送)包(S508)。另一方面,在该目的地地址在其他的路由设备的地址过滤器信息中也未注册的情况下,中继服务器3废弃该包(S509)。
通过进行以上的控制,中继服务器3能够利用虚拟地址来进行通信。接着,参照图16对操作PCll和对象终端31经由进行上述的控制的中继服务器1、3交换包时的流程进行简单地说明。图16 (a)示出了从对象终端31向操作PCll发送包的情况。该情况下,中继服务器3从LAN30接收包,因此进行图14所示的控制。对象终端31将操作PCll的实际的地址作为目的地地址而发送包。接收到该包的中继服务器3基于地址过滤器信息(参照图8(b)),认识到作为与包的目的地地址对应的路由设备而记述有中继服务器1,从而确定路由会话(S406)。接着,中继服务器3认识到自机是在利用虚拟地址中,而将发送源地址变换为虚拟地址(S408)。之后,中继服务器3经由路由会话向中继服务器I发送包(S409)。接收到该包的中继服务器I基于地址过滤器信息(参照图8(a)),认识到作为与包的目的地地址对应的路由设备而记述有自机(中继服务器I)。之后,中继服务器I向目的地的操作PCll发送包。图16 (b)示出了从操作PCll向对象终端31发送包的情况。该情况下,中继服务器3从路由会话接收包,因此进行图15所示的控制。操作PCll通过接收来自对象终端31的包、或参照注册到中继服务器I中的信息等,取得对象终端31的虚拟地址。操作PCll将该虚拟地址作为目的地而发送包。接收到该包的中继服务器I基于地址过滤器信息(参照图8 (a)),认识到作为与包的目的地地址对应的路由设备而记述有中继服务器3。之后,中继服务器I经由路由会话向中继服务器3发送包。接收到该包的中继服务器3基于地址过滤器信息(参照图8(b)),认识到作为与包的目的地地址对应的路由设备而记述有自机(中继服务器3)。接着,中继服务器3认识到自机是在利用虚拟地址中,而将目的地地址变换为实际的地址(S504)。之后,中继服务器3向目的地的对象终端31发送包(S505)。通过以上,能够不使第I路由对象地址被第2LAN侧的设备(中继服务器1、操作PC11U2等)获知地在路由对象装置间进行通信。如以上所示,本实施方式的中继服务器3具备:地址过滤器信息存储部55、虚拟地址分配关系存储部57、虚拟地址设定信息存储部58、控制部60。地址过滤器信息存储部55存储表不与该中继服务器3属于相同的LAN30的对象终端31、32、33的地址、和表不属于与中继服务器I相同的LANlO的操作PC11、12的地址。虚拟地址分配关系存储部57将属于LAN30的对象终端31、32、33的实际的地址与被分配给该地址的虚拟地址建立对应地存储。虚拟地址设定信息存储部58按照每个中继服务器存储是使用虚拟地址来进行通信还是使用第I路由对象地址来进行通信。控制部60向属于LAN30的对象终端31、32、33的实际的地址分配虚拟地址,而将该分配关系存储于虚拟地址分配关系存储部57。控制部60按照每个中继服务器在虚拟地址设定信息存储部58中存储是使用虚拟地址来进行通信还是使用第I路由对象地址来进行通信。控制部60将分配给属于LAN30的对象终端31、32、33的实际的地址的虚拟地址向中继服务器I发送,并且从中继服务器I接收表示属于LANlO的操作PC11、12的地址,与中继服务器I建立路由会话。控制部60在从路由会话接收到将虚拟地址作为目的地的包时,将包的目的地地址变换为属于LAN30的对象终端31、32、33的地址而向目的地的对象终端31、32、33传送包。控制部60在从属于LAN30的对象终端31、32、33接收到包时,将包的发送源地址变换为虚拟地址而向路由会话传送包。由此,属于LAN30的用户能够使用例如对象终端31、32、33中的任一个、不使对方获知该终端的实际的地址地与操作PC11、12进行通信。因此,能够在确保安全性的同时进行中继通信。并且,从中继服务器I以及操作PC11、12观察时,作为表示LAN30侧的对象终端31、32、33的信息,也隐蔽了向中继服务器I通知的地址(例如150.100.0.82)是实际的地址或是虚拟地址,因此在这一点上也能够提高安全性。并且,本实施方式的中继服务器3中,控制部60将随机地决定的虚拟地址分配给所属于LAN30的对象终端31、32、33的实际的地址。由此,LANlO侧的用户难以从虚拟地址推测对象终端31、32、33的实际的地址,因
此能够进一步提高安全性。并且,如图17所示,控制部60能够按照每个中继服务器来设定是否许可上述实施方式中设定了的虚拟地址的分配。该设定可基于例如中继服务器的设置目的地来决定。例如,在图1的构成中设为,中继服务器3的设置目的地的企业与中继服务器I的设置目的地的企业不同,另一方面,中继服务器3的设置目的地的企业与中继服务器2的设置目的地的企业相同。该情况下,向中继服务器I发送对象终端31、32、33的实际的地址,从安全性上的观点来看,存在产生问题的可能性。另一方面,即使向中继服务器2发送对象终端31、32、33的实际的地址也多数安全性上不存在问题。该情况下,作为中继服务器3的设定,如图17所示,指定虚拟地址作为向中继服务器I发送的地址,指定实际的地址作为向中继服务器2发送的地址,从而能够构筑与上述的事情对应的VPN。上面说明了本发明的优选的实施方式,但上述的构成例如能够可以像以下这样变更。是否许可利用了虚拟地址的通信的设定可以像上述实施方式那样在VPN的初始设定时进行,也可以在VPN的启动时进行。进行虚拟地址的分配的定时是任意的,不限于由上述说明过的例子。例如,通过从其他的中继服务器接收到路由对象地址后进行分配,能够防止与其他的路由对象地址的重复。上述中是与路由会话的建立大致同时地进行地址过滤器信息的交换的构成。与此相对,也可以构成为,与VPN群的开始命令的送信(S305)—起发送地址过滤器信息,与应答(S306) 一起接收地址过滤器信息。上述中操作PCll等的个别的设备成为了路由对象装置,但是例如也可以将LANlO整体(200.1.40.0 / 24)设定为中继服务器I的路由对象装置。该情况下,对该路由对象装置分配像(150.100.10.0 / 24)那样、范围被指定的虚拟地址。进行虚拟地址的分配的定时是任意的,例如能够构成为,与开始命令的送信一起发送地址过滤器信息。该情况下,能够在更早的定时进行虚拟地址的分配。上述中是仅中继服务器作为路由点而发挥功能的构成,但也可以是将客户终端作为路由点而发挥功能的构成。并且,VPN群内的路由点的数量不限于2个,也可以是3个以上。并且,I个路由设备可以所属于多个VPN群。
保存上述的中继群信息、中继服务器信息、客户终端信息、VPN群信息、地址过滤器信息等的形式不限于XML形式,能够以适当的形式保存各信息。可以代替上述实施方式的构成而构成为,将各中继服务器间的通信中所使用的外部服务器设置于互联网上,使其发挥作为SIP (Session Initiaion Protocol,会话发起协议)服务器的功能来进行通信。
权利要求
1.一种中继服务器,其特征在于,具备: 地址过滤器信息存储部,存储第I路由对象地址和第2路由对象地址,上述第I路由对象地址是位于第ILAN内、可传送包的第I路由对象装置的地址,上述第2路由对象地址是位于第2LAN内的第2中继服务器可传送包的第2路由对象装置的地址; 虚拟地址分配关系存储部,将第I路由对象地址与被分配给该第I路由对象地址的虚拟地址建立对应地进行存储; 虚拟地址设定信息存储部,按照每个第2中继服务器存储是使用上述虚拟地址来进行通信还是使用上述第I路由对象地址来进行通信;以及控制部; 上述控制部进行如下控制: 将上述虚拟地址分配给上述第I路由对象地址、将其分配关系存储于上述虚拟地址分配关系存储部的控制; 可进行按照每个第2中继服务器设定是使用上述虚拟地址来进行通信还是使用上述第I路由对象地址来进行通信的控制; 将分配给上述第I路由对象地址的上述虚拟地址向上述第2中继服务器发送、并且从上述第2中继服务器接收上述第2路由对象地址、与上述第2中继服务器建立路由会话的控制; 在从上述路由会话接收到以上述虚拟地址为目的地的包时、参照上述虚拟地址分配关系存储部、将包的目的地地址变换为与上述虚拟地址相对应的上述第I路由对象地址、从而向目的地的上述第I路由对象装置传送包的控制;以及 在从上述第I路由对象装置接收到以上述第2路由对象装置为目的地的包时、参照上述虚拟地址分配关系存 储部、将包的发送源地址变换为被分配给上述第I路由对象地址的上述虚拟地址、从而向上述路由会话传送包的控制。
2.如权利要求1所述的中继服务器,其特征在于, 上述控制部将随机地决定的上述虚拟地址分配给上述第I路由对象地址。
3.—种中继通信系统,包含第I中继服务器以及第2中继服务器而构成,其特征在于, 位于第ILAN内的中继服务器具备: 地址过滤器信息存储部,存储第I路由对象地址和第2路由对象地址,上述第I路由对象地址是该第I中继服务器可传送包的第I路由对象装置的地址,上述第2路由对象地址是位于第2LAN内的第2中继服务器可传送包的第2路由对象装置的地址; 虚拟地址分配关系存储部,将第I路由对象地址与被分配给该第I路由对象地址的虚拟地址建立对应地进行存储; 虚拟地址设定信息存储部,按照每个第2中继服务器存储是使用上述虚拟地址来进行通信还是使用上述第I路由对象地址来进行通信;以及控制部; 上述控制部进行如下控制: 将上述虚拟地址分配给上述第I路由对象地址、将其分配关系存储于上述虚拟地址分配关系存储部的控制; 可进行按照每个中继服务器设定是使用上述虚拟地址来进行通信还是使用上述第I路由对象地址来进行通信的控制; 将分配给上述第I路由对象地址的上述虚拟地址向上述第2中继服务器发送、并且从上述第2中继服务器接收上述第2路由对象地址、与上述第2中继服务器建立路由会话的控制; 在从上述路由会话接收到以上述虚拟地址为目的地的包时、参照上述虚拟地址分配关系存储部、将包的目的地地址变换为与上述虚拟地址相对应的上述第I路由对象地址、从而向目的地的上述第I路由对象装置传送包的控制;以及 在从上述第I路由对象装置 接收到以上述第2路由对象装置为目的地的包时、参照上述虚拟地址分配关系存储部、将包的发送源地址变换为被分配给上述第I路由对象地址的上述虚拟地址、从而向上述路由会话传送包的控制。
全文摘要
本发明的中继服务器存储第1路由对象地址和第2路由对象地址。中继服务器将第1路由对象地址与被分配给该第1路由对象地址的虚拟地址建立对应地进行存储。中继服务器将虚拟地址分配给第1路由对象地址。中继服务器能够按照每个中继服务器设定是使用虚拟地址来进行通信还是使用上述第1路由对象地址来进行通信。中继服务器将被分配给第1路由对象地址的虚拟地址向中继服务器发送,并且从中继服务器接收第2路由对象地址,与中继服务器建立路由会话。中继服务器基于交换的路由对象地址来进行路由控制。
文档编号H04L29/12GK103139027SQ20121040752
公开日2013年6月5日 申请日期2012年10月23日 优先权日2011年11月30日
发明者谷本好史 申请人:村田机械株式会社
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:谷本好史
  • 技术所有人:村田机械株式会社
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
邮件中继服务器相关技术
中继服务器相关技术
公共vpn中继服务器相关技术
vpngate中继服务器相关技术
vpn中继服务器列表相关技术
免费邮件中继服务器相关技术
smtp中继服务器相关技术
启用dhcp服务器中继相关技术
邮件中继服务器搭建相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2