中繼伺服器以及中繼通信系統的製作方法

2023-07-10 02:46:51

專利名稱：中繼伺服器以及中繼通信系統的製作方法
技術領域：
本發明主要涉及使與不同的LAN (Local Area Network)連接的設備間的通信成為可能的中繼伺服器。
背景技術：
以往，已知有在物理上分離的場所設置的LAN彼此間進行通信的被稱作虛擬專用網絡(Virtual Private Network, VPN)的通信技術。在現有文獻所示的例中，在物理上分離的位置設置的多個LAN的各自上連接有中繼伺服器以及通信終端等。通信終端能夠利用該VPN向與其他的LAN連接的通信終端發送包。具體來說，通信終端發送的包首先向同一LAN內的中繼伺服器發送。該中繼伺服器經由網際網路向與目的地通信終端同一 LAN內的中繼伺服器發送(傳送)包。之後，接收到該包的中繼伺服器向目的地通信終端發送(傳送)包。通過利用該VPN，能夠將位於遠隔地的其他的LAN如同被直接連接的網絡一般地使用。但是，在這種系統中，使用與LAN連接的終端的IP位址(專用IP位址)進行終端彼此的通信。因此，在進行利用了 VPN的通信的情況下，需要將自己的LAN中設定的IP位址向對方側的LAN發送。這點，例如在同一企業彼此間構築VPN情況下，即使讓對方獲知IP位址也不易出現問題。但是，在不同的企業彼此間構築VPN的情況下，從安全性上的觀點出發，不優選使對方獲知IP位址。因此，期望一種構成，能夠不被其他的LAN側獲知LAN中賦予設備的IP位址而運用VPN。

發明內容
本發明是鑑於以上的事情而做出的，其主要目的是提供一種中繼伺服器，其能夠構築不使對方獲知實際的地址而中繼通信可進行的中繼通信系統。本發明要解決的課題如上所述，接下來說明用於解決該課題的手段和其效果。根據本發明的第一觀點，提供以下的構成的中繼伺服器。即，該中繼伺服器具備地址過濾器信息存儲部、虛擬地址分配關係存儲部、控制部、虛擬地址設定信息存儲部。上述地址過濾器信息存儲部存儲位於第ILAN內、(中繼伺服器)可傳送包的第I路由對象裝置的地址即第I路由對象地址和位於第2LAN內的第2中繼伺服器可傳送包的第2路由對象裝置的地址即第2路由對象地址。上述虛擬地址分配關係存儲部將第I路由對象地址與被分配給該第I路由對象地址的虛擬地址建立對應地進行存儲。上述虛擬地址設定信息存儲部按照每個第2中繼伺服器存儲是使用上述虛擬地址來進行通信還是使用上述第I路由對象地址來進行通信。上述控制部將上述虛擬地址分配給上述第I路由對象地址，將其分配關係存儲於上述虛擬地址分配關係存儲部。上述控制部可進行按照每個中繼伺服器設定是使用上述虛擬地址來進行通信還是使用上述第I路由對象地址來進行通信。上述控制部將分配給上述第I路由對象地址的上述虛擬地址向上述第2中繼伺服器發送，並且從上述第2中繼伺服器接收上述第2路由對象地址，與上述第2中繼伺服器建立路由會話。上述控制部在從上述路由會話接收到以上述虛擬地址為目的地的包時，參照上述虛擬地址分配關係存儲部，將包的目的地地址變換為與上述虛擬地址對應的上述第I路由對象地址而向目的地的上述第I路由對象裝置傳送包。上述控制部在從上述第I路由對象裝置接收到以上述第2路由對象裝置為目的地的包時，參照上述虛擬地址分配關係存儲部，將包的發送源地址變換為被分配給上述第I路由對象地址的上述虛擬地址而向上述路由會話傳送包。由此，通過控制部這樣變換地址，第I路由對象裝置能夠不使對方獲知自機的地址地與第2路由對象裝置進行通信。因此，能夠在確保安全性的同時進行中繼通信。並且，從第2中繼伺服器以及第2路由對象裝置觀察時，表示第I路由對象裝置的地址是實際的地址還是虛擬地址也被隱蔽，因此在這一點上也能夠提高安全性。並且，利用某中繼伺服器的用戶能夠考慮與其他的中繼伺服器的用戶的關係等而決定每個中繼伺服器中使用的地址。因此，能夠實現可靈活對應各種狀況的中繼通信系統。在上述的中繼伺服器中，優選的是，上述控制部將隨機地決定的上述虛擬地址分配給上述第I路由對象地址。由此，能夠防止根據虛擬地址來推測第I路由對象地址，因此能夠進一步提高安全性。根據本發明的第二觀點，在包含第I中繼伺服器以及第2中繼伺服器而構成的中繼通信系統中，提供以下的構成。即，位於第ILAN內的中繼伺服器具備地址過濾器信息存儲部、虛擬地址分配關係存儲部、控制部、虛擬地址設定信息存儲部。上述地址過濾器信息存儲部存儲該第I中繼伺服器可傳送包的第I路由對象裝置的地址即第I路由對象地址和位於第2LAN內的上述第2中繼伺服器可傳送包的第2路由對象裝置的地址即第2路由對象地址。上述虛擬地址分配關係存儲部將第I路由對象地址與被分配給該第I路由對象地址的虛擬地址建立對應地進行存儲。上述虛擬地址設定信息存儲部按照每個第2中繼伺服器存儲是使用上述虛擬地址來進行通信還是使用上述第I路由對象地址來進行通信。上述控制部將上述虛擬地址分配給上述第I路由對象地址，將其分配關係存儲於上述虛擬地址分配關係存儲部。上述控制部可進行按照每個中繼伺服器設定是使用上述虛擬地址來進行通信還是使用上述第I路由對象地址來進行通信。上述控制部將分配給上述第I路由對象地址的上述虛擬地址向上述第2中繼伺服器發送，並且從上述第2中繼伺服器接收上述第2路由對象地址，與上述第2中繼伺服器建立路由會話。上述控制部在從上述路由會話接收到以上述虛擬地址為目的地的包時，參照上述虛擬地址分配關係存儲部，將包的目的地地址變換為與上述虛擬地址對應的上述第I路由對象地址而向目的地的上述第I路由對象裝置傳送包。上述控制部在從上述第I路由對象裝置接收到以上述第2路由對象裝置為目的地的包時，參照上述虛擬地址分配關係存儲部，將包的發送源地址變換為被分配給上述第I路由對象地址的上述虛擬地址而向上述路由會話傳送包。由此，通過控制部上述這樣地變換地址，第I路由對象裝置能夠不使對方獲知自機的地址地、與第2路由對象裝置進行通信。因此，能夠在確保安全性的同時進行中繼通信。並且，從第2中繼伺服器以及第2路由對象裝置觀察時，表示第I路由對象裝置的地址是實際的地址還是虛擬地址也被隱蔽，因此在這一點上也能夠提高安全性。並且，利用某中繼伺服器的用戶能夠考慮與其他的中繼伺服器的用戶的關係等而決定按每個中繼伺服器 而使用的地址。因此，能夠實現可靈活對應各種狀況的中繼通信系統。


圖1是表示有關本發明的一實施方式的中繼通信系統的整體構成的說明圖。圖2是中繼伺服器的功能框圖。圖3是表示中繼群(group)信息的內容的圖。圖4是表示中繼伺服器信息的內容的圖。圖5是表示客戶終端信息的內容的圖。圖6是表示VPN群信息的內容的圖。圖7是表示事先被註冊到各個中繼伺服器中的地址過濾器信息的內容的圖。 圖8是表示VPN構筑後中繼伺服器1、3存儲的內容的圖。圖9是表示虛擬地址註冊信息的內容的圖。圖10是表示事先在中繼伺服器進行的設定的流程圖。圖11是表示作成VPN群的處理的流程圖。圖12是表示構築VPN的處理的流程圖。圖13是表示構築VPN的處理的流程圖。圖14是表示從LAN接收到包時的路由控制的流程圖。圖15是表示從路由會話接受到包時的路由控制的流程圖。圖16是表示使用了虛擬地址的路由控制的說明圖。圖17是表示虛擬地址管理信息(設定信息)的內容的圖。
具體實施例方式接著，參照

本發明的實施方式。首先，參照圖1對本實施方式的中繼通信系統100的概要進行說明。圖1是表示有關本實施方式的中繼通信系統100的整體構成的說明圖。如圖1所示，該中繼通信系統100由與廣域網(WAN，廣域通信網)80連接的多個LAN10、20、30構成。各個LAN10、20、30是在被限定的場所所構築的比較小規模的網絡。並且，LAN10、20、30分別配置在物理上分離的場所。另外，本實施方式中作為WAN80使用了網際網路。下面，具體說明各個LAN。如圖1所示，在LAN (第2LAN) 10上連接著中繼伺服器(第2中繼伺服器)1、作為第2路由對象裝置的操作PC11、12、客戶終端13。在LAN20上連接著中繼伺服器2、操作PC21、客戶終端22。在LAN (第1LAN) 30上連接著中繼伺服器(第I中繼伺服器)3、作為第I路由對象裝置的對象終端31、32、33、客戶終端34。各個中繼伺服器1、2、3不僅與LANlO、20、30還與WAN80連接，因此，不僅能夠同與同一 LAN連接的設備通信，還能夠同與配置於其他的LAN的中繼伺服器通信。操作PC11、
12、21例如是操作者(operator)操作用的個人計算機。對象終端31、32、33是個人計算機或文件伺服器等，例如假設操作者操作操作PCll等，向對象終端31等要求規定的數據，以及，更新對象終端31的存儲內容。客戶終端13、22、34例如由個人計算機構成，各自經由自身所屬的中繼伺服器1、2、3可相互通信。
接著，參照圖2對中繼伺服器1、2、3的詳細構成進行說明。圖2是中繼伺服器3的功能框圖。另外，中繼伺服器3是與中繼伺服器1、2大致相同的構成，因此，下面主要對中繼伺服器3進行說明。如圖2所示，中繼伺服器3具備存儲部50、控制部60、接口部70。接口部70對LANlO內的終端執行通信。並且，接口部70對WAN80執行通信。接口部70對從LAN30或WAN80接受到的包進行適當的處理而向控制部60輸出。控制部60是具有例如控制以及運算的功能的CPU，能夠通過從存儲部50讀出的程序來執行各種的處理。該控制部60能夠控制基於TCP / IP、UDP、SIP等的協議的各種通信。具體來說，控制部60對於接收到的包，基於該包表示的信息和存儲於存儲部50的信息來決定目的地，向決定了的目的地發送該包。並且，控制部60能夠基於從其他的終端接收到的信息，更新存儲部50的存儲內容。存儲部50由例如硬碟或非易失性RAM構成，能夠保存各種數據。存儲部50具備中繼群信息存儲部51、中繼伺服器信息存儲部52、客戶終端信息存儲部53、VPN群信息存儲部54、地址過濾器信息存儲部55、虛擬地址註冊信息存儲部56、虛擬地址分配關係存儲部57、虛擬地址設定信息存儲部58。另外，中繼伺服器1、2不進行使用了後述的虛擬地址的通信，因此不具備虛擬地址註冊信息存儲部56以及虛擬地址分配關係存儲部57。下面，參照圖3到圖9，對存儲部50的存儲內容進行說明。圖3到圖9是主要表示中繼伺服器3的存儲部50的存儲內容的圖。中繼群信息存儲部51存儲有表示中繼群和構成該中繼群的中繼伺服器的中繼群信息。如圖3所示，在中繼群信息中記述有group標籤、以該group標籤作為主要素的子要素的site標籤。group標籤中記述有與中繼群有關的群信息511。作為該群信息511,記述有中繼群的識別信息(「id」)、最終更新時刻(「lastmod」)、中繼群的名稱(「name」)。site標籤中記述有與構成中繼群的中繼伺服器有關的群構成信息512。該群構成信息512中記述有該中繼伺服器的識別信息(「id」)。並且，中繼群可進行追加作成，該情況下，向新的中繼群中賦予與其他的中繼群不同的唯一(獨特)的識別信息。由此，可進行僅在特定的中繼群內進行數據的交換等的設定。另外，該中繼群信息在構成該中繼群的中繼伺服器1、2、3之間共有。並且，在某個中繼伺服器中進行了變更中繼群的處理的情況下，對其他的中繼伺服器發送該意思而更新中繼群信息。這樣，中繼群信息被動態地共有。中繼伺服器信息存儲部52存儲有表示進行中繼通信的中繼伺服器以及所屬於該中繼伺服器的客戶終端的概要的中繼伺服器信息。在圖4所示的中繼伺服器信息中，記述有按照每個中繼伺服器記述的site標籤、和以上述site標籤作為主要素的子要素的node標籤。site標籤中記述有與中繼伺服器I有關的伺服器信息521。作為該伺服器信息521記述有中繼伺服器的識別信息(「id」)、中繼伺服器的名稱(「name」)、啟動信息(「stat」)。另外，在「stat」的內容為「active」的情況下，表示中繼伺服器在中繼通信系統100中進行了登錄，在stat為空欄時表示註銷中。作為site標籤的子要素的node標籤中記述有表示所屬於中繼伺服器的客戶終端的所屬信息522。作為所屬信息522，記述有所屬的中繼群的名稱(「group」)、客戶終端的識別信息(「id」)、客戶終端的名稱(「name」)、所屬目的地的中繼伺服器的識別信息(「site」)。在客戶終端未在中繼通信系統100中登錄時，「site」成為空欄。另外，由中繼群進行的通信基於上述的中繼群信息以及中繼伺服器信息而按照以下的方式來進行。例如在從客戶終端13向客戶終端22發送包的情況下，首先，客戶終端13向自身所連接的中繼伺服器即中繼伺服器I發送包。另外，可進行包的交換的中繼伺服器能夠基於上述的中繼群信息而進行把握，所屬於中繼伺服器的客戶終端的識別信息以及連接與否能夠基於上述的中繼伺服器信息而進行把握。中繼伺服器I基於這些信息，向客戶終端22所連接的中繼伺服器即中繼伺服器2傳送包。之後，接收到該包的中繼伺服器2向客戶終端22傳送包。這樣，客戶終端13、22彼此間能夠進行中繼通信。關於該中繼伺服器信息也與中繼群信息相同，在構成該中繼群的中繼伺服器1、2、3之間共有信息。並且，在某中繼伺服器中進行了變更中繼伺服器信息的處理的情況下，對其他的中繼伺服器發送該意思而更新中繼伺服器信息。這樣，中繼伺服器信息被動態地共有。客戶終端信息存儲部53存儲有與客戶終端有關的詳細的信息即客戶終端信息。另外，中繼伺服器1、2、3隻存儲有與所屬於自身的客戶終端有關的客戶終端信息。由於客戶終端34所屬於中繼伺服器3，因此在中繼伺服器3具備的客戶終端信息存儲部53中只存儲有關於客戶終端34的客戶終端信息。中繼伺服器3的客戶終端信息存儲部53存儲的客戶終端信息如圖5(c)所示。相同地，中繼伺服器I存儲的客戶終端信息在圖5 (a)中表示，中繼伺服器2存儲的客戶終端信息在圖5 (b)中表不。圖5所示的客戶終端信息中記述有node標籤。該node標籤中記述有客戶終端的專用IP位址(「addr」)、所屬的中繼群的名稱(「group」)、識別信息(「id」)、名稱(「name」)、用於登錄到中繼伺服器的密碼(「pass」)、以及埠信息(「port」)。VPN群信息存儲部54存儲有與VPN群有關的信息即VPN群信息，VPN群由構成中繼群的中繼伺服器以及從客戶終端起作為路由點被選擇的設備(以下，成為路由設備)構成。通過使所屬於同一 VPN群的路由設備彼此間建立路由會話，能夠開始利用了 VPN的通信。在圖6所示的VPN群信息中，記述有vnet標籤。該vnet標籤中記述有VPN群基本信息541、路由點信息542、路由會話信息543。VPN群基本信息541中記述有VPN群所屬的中繼群的名稱(「group」)、VPN群的識別信息(「 id」)、最終更新時刻(「 lastmod」)、VPN群的名稱(「name」)。路由點信息542中記述有在VPN群間進行通信時進行路由的路由設備的識別信息。在圖6的例中，作為路由設備，記述有中繼伺服器1、中繼伺服器3。路由會話信息543中記述有在VPN群中相互連接的路由設備。路由會話信息543中，路由設備在用於在VPN群中構築VPN而開始通信的路由會話建立處理中，被劃分確定為最初進行通信控制側(「sp (start point)」)和接收該通信控制側「ep (endpoint)」。另外,在以下的說明中，將最初進行路由會話建立用的通信控制的一側的路由設備稱為「起點」，將接收該通信控制的一側的路由設稱為「終點」。根據圖6所示的VPN群信息可知，VPN群(VPN — GROUP I)由中繼伺服器I和中繼伺服器3構成。並且可知，在該VPN群的開始時，進行用於從中繼伺服器3向中繼伺服器I建立路由會話的通信控制。
該VPN群信息也與中繼伺服器信息以及中繼群信息相同，在所屬於相同的VPN群的中繼伺服器1、3之間共有。並且，在某中繼伺服器中進行了變更VPN群信息的處理的情況下，對所屬於相同的VPN群的其他的中繼伺服器，發送該意思而更新VPN群信息。這樣，VPN群信息被動態共有。另外，對於作成該VPN群的處理在後面敘述。地址過濾器信息存儲部55存儲進行利用了 VPN的路由控制時所使用的信息即地址過濾器信息。地址過濾器信息存儲部55存儲表示VPN的構筑前中繼伺服器3自身可直接發送包的裝置(路由對象裝置)的信息(中繼伺服器3的地址過濾器信息)。另外，地址過濾器信息中包含路由對象裝置的地址(路由對象地址)、路由對象裝置的名稱。圖7 (c)中示出了被事先註冊到中繼伺服器3自身中的地址過濾器信息的例子。在該例子中記述了中繼伺服器3可直接發送包的設備是對象終端31、32、33。另外，圖7(a)中示出了被事先註冊到中繼伺服器I中的地址過濾器信息，圖7 (b)中示出了被事先註冊到中繼伺服器2中的地址過濾器信息。下面，有時將中繼伺服器3的地址過濾器信息中所包含的路由對象地址(對象終端31、32、33的地址)稱為第I路由對象地址，將中繼伺服器I的地址過濾器信息中所包含的路由對象地址(操作PC11、12的地址)稱為第2路由對象地址。中繼伺服器3的虛擬地址註冊信息存儲部56中，如圖9所示，將至少在LAN30內不重複的地址(未被分配到LAN30內的設備中，且未進行其預約的地址)作為虛擬地址事先註冊。該虛擬地址在規定的定時(例如與其他的中繼伺服器開始通信的定時)，被分配給第I路由對象地址。虛擬地址分配關係存儲部57存儲第I路由對象地址和虛擬地址的對應關係(分配關係)。虛擬地址設定信息存儲部58如圖17所示，按照每個中繼伺服器存儲是使用虛擬地址來進行通信還是使用第I路由對象地址來進行通信。另外，設定使用虛擬地址來進行通信或使用第I路由對象地址來進行通信的中繼伺服器的數量也可以是3個以上。下面，對不利用虛擬地址的通信和利用虛擬地址的通信的區別進行簡單地說明。在不利用虛擬地址的情況下，在中繼伺服器彼此間建立路由會話時，交換路由對象地址(實際的地址)。由此，中繼伺服器能夠利用通信對象的路由對象地址來進行通信。但是，有時從安全性的觀點出發，不優選路由對象地址被獲知。與此相對，利用虛擬地址的通信中，當發送地址過濾器信息時，代替路由對象地址而發送虛擬地址。並且，中繼通信系統100中，能夠使用該虛擬地址在路由對象裝置彼此間進行通信(詳細的處理在後面敘述)。因此，本實施方式中，能夠在確保安全性的同時進行中繼通信。接著，對用於進行利用了 VPN的通信的準備進行說明。首先，參照圖10對中繼伺服器中事先進行的設定進行說明，接著，參照圖11對作成VPN群時的流程進行說明。圖10是表示事先在中繼伺服器中進行的設定的流程圖。圖11是表示作成VPN群的處理的流程圖。作為中繼伺服器3中事先進行的設定，有該中繼伺服器3的地址過濾器信息的註冊(S101)。該註冊通過以下方式進行，即，利用中繼通信系統100的用戶以規定的方式輸入作為路由對象裝置而指定的設備等的地址(第I路由對象地址)和名稱。這裡，設為用戶輸入對象終端31、32、33的地址以及名稱。這裡被註冊了的地址過濾器信息被存儲在地址過濾器信息存儲部55中。
接著，在進行使用了虛擬地址的通信的情況下，用戶將至少在LAN30內不重複的地址註冊為虛擬地址(S102)。這裡被註冊的虛擬地址存儲在虛擬地址註冊信息存儲部56中。另外，用戶還能夠對虛擬地址的註冊、及是否許可利用了虛擬地址的通信(是否許可虛擬地址的分配)進行設定。用戶在不想對象終端31、32、33的實際的地址被獲知的情況下，將許可虛擬地址的分配這一意思在中繼伺服器3中註冊。進而，用戶能夠按照每個中繼伺服器設定是使用虛擬地址來進行通信還是使用對象終端31、32、33的實際的地址(第I路由對象地址)來進行通信。因此，中繼伺服器3例如能夠使用被分配給中繼伺服器I和對象終端31、32、33的虛擬地址來進行通信，使用中繼伺服器2和對象終端31、32、33的實際的地址來進行通信。另外，中繼伺服器3通信的中繼伺服器的數量也可以是3個以上。下面，對作成VPN群時的流程進行說明。用戶首先能夠通過操作客戶終端13、22、34等來顯示VPN群的設定畫面。這裡，對使用客戶終端34進行設定的情況進行說明。在於客戶終端34顯示的設定畫面中顯示該客戶終端34所屬的多個中繼群。用戶從該多個中繼群中選擇想要構築VPN群的中繼群(S201)。當選擇中繼群時，在客戶終端34的畫面中顯示屬於所選擇的中繼群且作為路由點可發揮功能的中繼伺服器以及客戶終端的識別信息的一覽(S202)。之後，用戶選擇在構築的VPN群作為路由點發揮功能的中繼伺服器以及客戶終端(S203)。在本次說明中設為由用戶選擇了中繼伺服器1、中繼伺服器3。之後，基於所選擇的中繼伺服器的識別信息，來作成路由點的識別信息以及上述路由會話信息(S204)。之後，通過在這些信息中附加VPN群的識別信息等，作成圖6所示的VPN群信息。客戶終端34將該VPN群信息向所屬於相同的VPN群的中繼伺服器1、3發送(S205)。之後，中繼伺服器1、3將接收到的VPN群信息存儲在VPN群信息存儲部54中。通過以上，VPN群的構築處理結束。接著，參照圖12及圖13對在構築的VPN群中開始利用了 VPN的通信之前的流程進行說明。圖12以及圖13是表示在開始利用了 VPN的通信之前所進行的處理的流程圖。用戶能夠通過操作客戶終端13等或操作PCll等使構築了的VPN群顯示於畫面上。並且，能夠通過從所顯示的VPN群中選擇適當的VPN群(S301)，來進行用於構築VPN的處理。在本次說明中，說明中繼伺服器3進行在上述中作成的VPN群(由中繼伺服器1、3構成的VPN群)的開始處理的例子。中繼伺服器3首先讀出與自身建立對應了的地址過濾器信息(S302 )。這裡所讀出的信息是在SlOl中註冊過的內容(圖7 (C)所示的內容)。接著，中繼伺服器3進行屬於所選擇的VPN群的路由點的讀出(S303)。由此，基於圖6所示的VPN群信息的內容，讀出中繼伺服器I。中繼伺服器3基於中繼伺服器信息首先判斷中繼伺服器I是否在登錄中(「stat」是active還是空欄)(S304)。由於根據圖4所示的中繼伺服器信息，中繼伺服器I是在登錄中，因此中繼伺服器3向中繼伺服器I發送VPN群的識別信息及VPN群的開始命令(S305)。中繼伺服器3若接收相對於該開始命令的來自中繼伺服器I的應答(S306)，則將中繼伺服器I作為構築VPN的準備已結束的路由點進行註冊(S307)。接著，中繼伺服器3進行是否存在所屬於相同的VPN群的其他的設備的判斷(S308)。由於當前作成中的VPN群僅由中繼伺服器I和中繼伺服器3構成，因此不存在其他的設備。另外，假設，在存在其他的設備的情況下，中繼伺服器3下次將該設備作為對象進行S304 S307的處理。接著，中繼伺服器3從VPN群信息存儲部54的存儲內容中提取路由會話信息(圖13的S309)。之後，中繼伺服器3參照提取出的路由會話信息，來判斷是否記述有自身作為起點的路由會話(S310)。在圖6的路由會話信息中記述有，在中繼伺服器I和中繼伺服器3之間應該被建立的路由會話中自身(中繼伺服器3)成為起點。因此，中繼伺服器3對中繼伺服器I進行規定的通信控制來建立路由會話(S311)。接著，中繼伺服器3在S102中進行許可虛擬地址的分配這一意思是否被註冊的判斷(S312)。在許可虛擬地址的分配這一意思被註冊了的情況下，中繼伺服器3對自機(中繼伺服器3)的第I路由對象地址分配虛擬地址(S313)。另外，在本實施方式中，使用隨機數等將隨機地決定的虛擬地址分配給第I路由對象地址(參照圖8(b))。由此，能夠防止根據虛擬地址來推測第I路由對象地址，因此能夠使安全性提高。接著，中繼伺服器3將第I路由對象地址和分配給該第I路由對象地址的虛擬地址的對應關係(分配關係)存儲到虛擬地址分配關係存儲部57 (S314)。之後，中繼伺服器3與中繼伺服器I進行地址過濾器信息的交換(S315)。具體來說，中繼伺服器3將對象終端31、32、33的名稱和分配給第I路由對象地址的虛擬地址向中繼伺服器I發送。但是，中繼伺服器3不發送第I路由對象地址其本身(實際的地址)。另一方面，中繼伺服器I由於不進行利用了虛擬地址的通信，因此將操作PC11、12的名稱和第2路由對象地址(實際的地址)向中繼伺服器3發送。由此，中繼伺服器3中存儲圖8 (b)所示的內容。另一方面，中繼伺服器I中存儲圖8 (a)所示的內容。如圖8 (a)所示，在中繼伺服器I中註冊虛擬地址而不是對象終端31、32、33的實際的地址。另外，中繼伺服器3不會將關於對象終端31、32、33所發送的地址是否為虛擬地址向中繼伺服器I通知。因此，所屬於LANlO的用戶不能判斷關於對象終端31、32、33在中繼伺服器I中是註冊了實際的地址還是註冊了虛擬地址。因此，能夠有效地提高安全性。接著，中繼伺服器3再次進行S310的處理。由於當前作成中的VPN群僅由中繼伺服器I和中繼伺服器3構成，因此其他的路由會話未記述在VPN群信息中。因此，中繼伺服器3開始包的路由控制(S316)。另外，假設在存在其他的路由會話的情況下，中繼伺服器3再次進行S311 S315的處理。這樣，在本實施方式中，由於在構築VPN時各個路由設備與其他的路由設備交換(取得)地址過濾器信息，因此能夠使用最新的地址過濾器信息來構築VPN。因此，即使在VPN開始前的階段、一部分的路由設備中變更了地址過濾器信息的情況下，也能夠在使該變更反映到全部的路由設備中的狀態下構築VPN而開始通信，因此能夠防止包的路由中的矛盾的發生，能夠提高可靠性。並且，雖然圖13的流程圖中未記載，但是在S310中沒有自身成為連接的起點的路由會話的情況(自身成為路由的終點的情況)下，也接收來自作為起點的路由設備的通信控制，進行路由會話的建立處理以及地址過濾器信息的交換。與此同時，進行使用了虛擬地址的通信的情況下，也進行虛擬地址的分配等。另外，各個路由設備只要自身為起點這一意思未記述在路由會話信息中就不進行路由會話建立用的最初的通信控制，因此能夠防止通信控制的衝突、以簡單的控制建立設備間的路由會話。接著，對使用建立了的路由會話來進行包的路由的處理進行說明。首先，參照圖14對中繼伺服器3從LAN30接收到包時進行的控制進行說明。圖14是表示該控制的流程的流程圖。另外，LAN30內的路由對象裝置在向其他的路由對象裝置發送包時，參照中繼伺服器3中註冊過的信息來取得其他的路由對象地址，並將取得的路由對象地址作為目的地地址來發送包。中繼伺服器3在從LAN30接收包之前待機(S401)。之後，在從LAN30接收到包的情況下，首先進行該包的目的地是否為自機(中繼伺服器3)的判斷(S402)。中繼伺服器3在包的目的地是自機的情況下，進行該包的接收(S403)。另一方面，在包的目的地是自機以外的情況下，中繼伺服器3比較接收到的包的目的地地址和地址過濾器信息(參照圖8 (b)) i，進行目的地地址是否已註冊到地址過濾器信息中的判斷(S404 )。中繼伺服器3在目的地地址未註冊到地址過濾器信息中的情況下，廢棄包(S405 )。另一方面，中繼伺服器3在目的地地址已註冊到地址過濾器信息中的情況下，確定與該地址過濾器信息對應的路由會話(S406 )。接著，中繼伺服器3進行自機是否在利用虛擬地址中(S102中是否許可了虛擬地址的分配)的判斷(S407)。在是利用虛擬地址中的情況下，中繼伺服器3參照虛擬地址分配關係存儲部57，將發送源地址變換為虛擬地址(S408)。之後，向S406中確定了的路由會話傳送包(S409)。另外，在不是利用虛擬地址中的情況下，中繼伺服器3不進行發送源地址的變換地向S406中確定的路由會話發送(傳送)包(S409)。接著，參照圖15對中繼伺服器3從路由會話接收到包時進行的控制進行說明。圖15是表示該控制的流程的流程圖。中繼伺服器3在從路由會話接收包之前待機(S501)。之後，中繼伺服器3在從路由會話接收到包的情況下，比較該包的目的地地址和地址過濾器信息(參照圖8 (b))，進行包的目的地地址是否與自機的地址過濾器信息建立對應地進行了註冊的判斷(S502)。在包的目的地地址與自機的地址過濾器信息建立對應地進行了註冊的情況下，進行自機是否在利用虛擬地址中(S102中是否許可了虛擬地址的分配)的判斷(S503)。在是利用虛擬地址中的情況下，中繼伺服器3將目的地地址變換為實際的地址(S504)，向目的地地址所示的設備(對象終端31、32、33)傳送包(S505)。另外，在不是利用虛擬地址中的情況下，中繼伺服器3不進行目的地地址的變換地向目的地表示的設備發送(傳送)包(S505)。並且，中繼伺服器3在目的地地址未與自機的地址過濾器信息建立對應而進行了註冊的情況下，進行該目的地地址是否與其他的路由設備的地址過濾器信息建立對應而進行了註冊的判斷(S506)。在該目的地地址與其他的路由設備的地址過濾器信息建立對應而進行了註冊的情況下，中繼伺服器3確定該路由會話(S507)，向該路由會話發送(傳送)包(S508)。另一方面，在該目的地地址在其他的路由設備的地址過濾器信息中也未註冊的情況下，中繼伺服器3廢棄該包(S509)。
通過進行以上的控制，中繼伺服器3能夠利用虛擬地址來進行通信。接著，參照圖16對操作PCll和對象終端31經由進行上述的控制的中繼伺服器1、3交換包時的流程進行簡單地說明。圖16 (a)示出了從對象終端31向操作PCll發送包的情況。該情況下，中繼伺服器3從LAN30接收包，因此進行圖14所示的控制。對象終端31將操作PCll的實際的地址作為目的地地址而發送包。接收到該包的中繼伺服器3基於地址過濾器信息(參照圖8(b))，認識到作為與包的目的地地址對應的路由設備而記述有中繼伺服器1，從而確定路由會話(S406)。接著，中繼伺服器3認識到自機是在利用虛擬地址中，而將發送源地址變換為虛擬地址(S408)。之後，中繼伺服器3經由路由會話向中繼伺服器I發送包(S409)。接收到該包的中繼伺服器I基於地址過濾器信息(參照圖8(a))，認識到作為與包的目的地地址對應的路由設備而記述有自機(中繼伺服器I)。之後，中繼伺服器I向目的地的操作PCll發送包。圖16 (b)示出了從操作PCll向對象終端31發送包的情況。該情況下，中繼伺服器3從路由會話接收包，因此進行圖15所示的控制。操作PCll通過接收來自對象終端31的包、或參照註冊到中繼伺服器I中的信息等，取得對象終端31的虛擬地址。操作PCll將該虛擬地址作為目的地而發送包。接收到該包的中繼伺服器I基於地址過濾器信息(參照圖8 (a))，認識到作為與包的目的地地址對應的路由設備而記述有中繼伺服器3。之後，中繼伺服器I經由路由會話向中繼伺服器3發送包。接收到該包的中繼伺服器3基於地址過濾器信息(參照圖8(b))，認識到作為與包的目的地地址對應的路由設備而記述有自機(中繼伺服器3)。接著，中繼伺服器3認識到自機是在利用虛擬地址中，而將目的地地址變換為實際的地址(S504)。之後，中繼伺服器3向目的地的對象終端31發送包(S505)。通過以上，能夠不使第I路由對象地址被第2LAN側的設備(中繼伺服器1、操作PC11U2等)獲知地在路由對象裝置間進行通信。如以上所示，本實施方式的中繼伺服器3具備:地址過濾器信息存儲部55、虛擬地址分配關係存儲部57、虛擬地址設定信息存儲部58、控制部60。地址過濾器信息存儲部55存儲表不與該中繼伺服器3屬於相同的LAN30的對象終端31、32、33的地址、和表不屬於與中繼伺服器I相同的LANlO的操作PC11、12的地址。虛擬地址分配關係存儲部57將屬於LAN30的對象終端31、32、33的實際的地址與被分配給該地址的虛擬地址建立對應地存儲。虛擬地址設定信息存儲部58按照每個中繼伺服器存儲是使用虛擬地址來進行通信還是使用第I路由對象地址來進行通信。控制部60向屬於LAN30的對象終端31、32、33的實際的地址分配虛擬地址，而將該分配關係存儲於虛擬地址分配關係存儲部57。控制部60按照每個中繼伺服器在虛擬地址設定信息存儲部58中存儲是使用虛擬地址來進行通信還是使用第I路由對象地址來進行通信。控制部60將分配給屬於LAN30的對象終端31、32、33的實際的地址的虛擬地址向中繼伺服器I發送，並且從中繼伺服器I接收表示屬於LANlO的操作PC11、12的地址，與中繼伺服器I建立路由會話。控制部60在從路由會話接收到將虛擬地址作為目的地的包時，將包的目的地地址變換為屬於LAN30的對象終端31、32、33的地址而向目的地的對象終端31、32、33傳送包。控制部60在從屬於LAN30的對象終端31、32、33接收到包時，將包的發送源地址變換為虛擬地址而向路由會話傳送包。由此，屬於LAN30的用戶能夠使用例如對象終端31、32、33中的任一個、不使對方獲知該終端的實際的地址地與操作PC11、12進行通信。因此，能夠在確保安全性的同時進行中繼通信。並且，從中繼伺服器I以及操作PC11、12觀察時，作為表示LAN30側的對象終端31、32、33的信息，也隱蔽了向中繼伺服器I通知的地址(例如150.100.0.82)是實際的地址或是虛擬地址，因此在這一點上也能夠提高安全性。並且，本實施方式的中繼伺服器3中，控制部60將隨機地決定的虛擬地址分配給所屬於LAN30的對象終端31、32、33的實際的地址。由此，LANlO側的用戶難以從虛擬地址推測對象終端31、32、33的實際的地址，因
此能夠進一步提高安全性。並且，如圖17所示，控制部60能夠按照每個中繼伺服器來設定是否許可上述實施方式中設定了的虛擬地址的分配。該設定可基於例如中繼伺服器的設置目的地來決定。例如，在圖1的構成中設為，中繼伺服器3的設置目的地的企業與中繼伺服器I的設置目的地的企業不同，另一方面，中繼伺服器3的設置目的地的企業與中繼伺服器2的設置目的地的企業相同。該情況下，向中繼伺服器I發送對象終端31、32、33的實際的地址，從安全性上的觀點來看，存在產生問題的可能性。另一方面，即使向中繼伺服器2發送對象終端31、32、33的實際的地址也多數安全性上不存在問題。該情況下，作為中繼伺服器3的設定，如圖17所示，指定虛擬地址作為向中繼伺服器I發送的地址，指定實際的地址作為向中繼伺服器2發送的地址，從而能夠構築與上述的事情對應的VPN。上面說明了本發明的優選的實施方式，但上述的構成例如能夠可以像以下這樣變更。是否許可利用了虛擬地址的通信的設定可以像上述實施方式那樣在VPN的初始設定時進行，也可以在VPN的啟動時進行。進行虛擬地址的分配的定時是任意的，不限於由上述說明過的例子。例如，通過從其他的中繼伺服器接收到路由對象地址後進行分配，能夠防止與其他的路由對象地址的重複。上述中是與路由會話的建立大致同時地進行地址過濾器信息的交換的構成。與此相對，也可以構成為，與VPN群的開始命令的送信(S305)—起發送地址過濾器信息，與應答(S306) 一起接收地址過濾器信息。上述中操作PCll等的個別的設備成為了路由對象裝置，但是例如也可以將LANlO整體(200.1.40.0 / 24)設定為中繼伺服器I的路由對象裝置。該情況下，對該路由對象裝置分配像(150.100.10.0 / 24)那樣、範圍被指定的虛擬地址。進行虛擬地址的分配的定時是任意的，例如能夠構成為，與開始命令的送信一起發送地址過濾器信息。該情況下，能夠在更早的定時進行虛擬地址的分配。上述中是僅中繼伺服器作為路由點而發揮功能的構成，但也可以是將客戶終端作為路由點而發揮功能的構成。並且，VPN群內的路由點的數量不限於2個，也可以是3個以上。並且，I個路由設備可以所屬於多個VPN群。
保存上述的中繼群信息、中繼伺服器信息、客戶終端信息、VPN群信息、地址過濾器信息等的形式不限於XML形式，能夠以適當的形式保存各信息。可以代替上述實施方式的構成而構成為，將各中繼伺服器間的通信中所使用的外部伺服器設置於網際網路上，使其發揮作為SIP (Session Initiaion Protocol,會話發起協議)伺服器的功能來進行通信。
權利要求
1.一種中繼伺服器，其特徵在於，具備: 地址過濾器信息存儲部，存儲第I路由對象地址和第2路由對象地址,上述第I路由對象地址是位於第ILAN內、可傳送包的第I路由對象裝置的地址，上述第2路由對象地址是位於第2LAN內的第2中繼伺服器可傳送包的第2路由對象裝置的地址； 虛擬地址分配關係存儲部，將第I路由對象地址與被分配給該第I路由對象地址的虛擬地址建立對應地進行存儲； 虛擬地址設定信息存儲部，按照每個第2中繼伺服器存儲是使用上述虛擬地址來進行通信還是使用上述第I路由對象地址來進行通信；以及控制部； 上述控制部進行如下控制: 將上述虛擬地址分配給上述第I路由對象地址、將其分配關係存儲於上述虛擬地址分配關係存儲部的控制； 可進行按照每個第2中繼伺服器設定是使用上述虛擬地址來進行通信還是使用上述第I路由對象地址來進行通信的控制； 將分配給上述第I路由對象地址的上述虛擬地址向上述第2中繼伺服器發送、並且從上述第2中繼伺服器接收上述第2路由對象地址、與上述第2中繼伺服器建立路由會話的控制； 在從上述路由會話接收到以上述虛擬地址為目的地的包時、參照上述虛擬地址分配關係存儲部、將包的目的地地址變換為與上述虛擬地址相對應的上述第I路由對象地址、從而向目的地的上述第I路由對象裝置傳送包的控制；以及 在從上述第I路由對象裝置接收到以上述第2路由對象裝置為目的地的包時、參照上述虛擬地址分配關係存 儲部、將包的發送源地址變換為被分配給上述第I路由對象地址的上述虛擬地址、從而向上述路由會話傳送包的控制。
2.如權利要求1所述的中繼伺服器，其特徵在於， 上述控制部將隨機地決定的上述虛擬地址分配給上述第I路由對象地址。
3.—種中繼通信系統，包含第I中繼伺服器以及第2中繼伺服器而構成，其特徵在於， 位於第ILAN內的中繼伺服器具備: 地址過濾器信息存儲部，存儲第I路由對象地址和第2路由對象地址,上述第I路由對象地址是該第I中繼伺服器可傳送包的第I路由對象裝置的地址，上述第2路由對象地址是位於第2LAN內的第2中繼伺服器可傳送包的第2路由對象裝置的地址； 虛擬地址分配關係存儲部，將第I路由對象地址與被分配給該第I路由對象地址的虛擬地址建立對應地進行存儲； 虛擬地址設定信息存儲部，按照每個第2中繼伺服器存儲是使用上述虛擬地址來進行通信還是使用上述第I路由對象地址來進行通信；以及控制部； 上述控制部進行如下控制: 將上述虛擬地址分配給上述第I路由對象地址、將其分配關係存儲於上述虛擬地址分配關係存儲部的控制； 可進行按照每個中繼伺服器設定是使用上述虛擬地址來進行通信還是使用上述第I路由對象地址來進行通信的控制； 將分配給上述第I路由對象地址的上述虛擬地址向上述第2中繼伺服器發送、並且從上述第2中繼伺服器接收上述第2路由對象地址、與上述第2中繼伺服器建立路由會話的控制； 在從上述路由會話接收到以上述虛擬地址為目的地的包時、參照上述虛擬地址分配關係存儲部、將包的目的地地址變換為與上述虛擬地址相對應的上述第I路由對象地址、從而向目的地的上述第I路由對象裝置傳送包的控制；以及 在從上述第I路由對象裝置 接收到以上述第2路由對象裝置為目的地的包時、參照上述虛擬地址分配關係存儲部、將包的發送源地址變換為被分配給上述第I路由對象地址的上述虛擬地址、從而向上述路由會話傳送包的控制。
全文摘要
本發明的中繼伺服器存儲第1路由對象地址和第2路由對象地址。中繼伺服器將第1路由對象地址與被分配給該第1路由對象地址的虛擬地址建立對應地進行存儲。中繼伺服器將虛擬地址分配給第1路由對象地址。中繼伺服器能夠按照每個中繼伺服器設定是使用虛擬地址來進行通信還是使用上述第1路由對象地址來進行通信。中繼伺服器將被分配給第1路由對象地址的虛擬地址向中繼伺服器發送，並且從中繼伺服器接收第2路由對象地址，與中繼伺服器建立路由會話。中繼伺服器基於交換的路由對象地址來進行路由控制。
文檔編號H04L29/12GK103139027SQ20121040752
公開日2013年6月5日 申請日期2012年10月23日 優先權日2011年11月30日
發明者谷本好史 申請人:村田機械株式會社