中繼伺服器及中繼通信系統的製作方法

2023-10-31 21:20:03

中繼伺服器及中繼通信系統的製作方法
【專利摘要】中繼伺服器（2）對進行了登錄請求的操作者提示該操作者能夠連接的連接對象設備的列表。在從該列表中選擇了例如客戶端終端（47）時，中繼伺服器（2）將操作者操作的通信裝置的地址存儲為中繼伺服器（2）的地址濾波器信息，並且將該地址濾波器信息發送給客戶端終端（47）。中繼伺服器（2）存儲從客戶端終端（47）接收到的地址濾波器信息。然後，在中繼伺服器（2）和客戶端終端（47）之間建立用於VPN的路由會話，並根據地址濾波器信息對包進行路由。
【專利說明】中繼伺服器及中繼通信系統
【技術領域】
[0001]本發明主要涉及能夠實現與不同LAN (Local Area Network:區域網)連接的終端之間的通信的中繼伺服器。
【背景技術】
[0002]過去已經公知有被稱為虛擬專用網(Virtual Private Network:VPN)的通信技術(例如，參照專利文獻I)。該VPN例如被用於這樣的用途中，S卩，使與在每個地區設置的多個分公司(據點)的LAN連接的終端之間通過網際網路進行通信。如果利用所述VPN，能夠如同是被直接連接的網絡般地使用處於遙遠地區的其它LAN。
[0003]現有技術文獻
[0004]專利文獻
[0005]專利文獻1:日本特開2002-217938號公報
[0006]發明概要
[0007]發明要解決的問題
[0008]可是，在這種系統中，通常使用設備的IP位址和識別信息等進行設備之間的通信。另一方面，當在這種系統中進行作業的情況下，操作者使用的設備不一定始終是相同設備，有時在移動目的地和出差目的地等使用不同的設備。這意味著VPN的構成設備變更，因而通常需要變更VPN的設定。但是，在產生網絡的設定變更等的情況下，這些變更必須反映在其它設備上，將導致處理變複雜。尤其是當在大規模網絡中多個操作者進行作業的情況下，訪問控制的設定容易變得煩雜，在這方面具有改善的餘地。

【發明內容】

[0009]本發明正是鑑於上述情況而提出的，其主要目的在於，提供能夠根據操作者使用的設備而靈活機動地構建VPN的中繼伺服器。
[0010]用於解決問題的手段及效果
[0011]本發明想要解決的問題如上所述，下面說明用於解決該問題的手段及其效果。
[0012]根據本發明的第一方面提供如下結構的中繼伺服器。即，該中繼伺服器具有以下單元:存儲第I地址濾波器信息和第2地址濾波器信息的單元，該第I地址濾波器信息是自身能夠傳輸包的地址，該第2地址濾波器信息是表示其它中繼伺服器及客戶端終端的連接對象設備能夠傳輸包的地址；受理操作者的識別信息的單元，該操作者通過經由LAN而連接的通信裝置進行登錄操作；根據登錄被受理的操作者的識別信息，取得該操作者能夠連接的所述連接對象設備的列表的單元；受理操作者從能夠連接的所述連接對象設備的列表中對所述連接對象設備的選擇的單元；以及與操作者選擇的所述連接對象設備建立路由會話的單元。中繼伺服器將操作者進行了登錄操作的所述通信裝置的地址存儲為第I地址濾波器信息，並向所述連接對象設備發送該通信裝置的地址。中繼伺服器將從所述連接對象設備接收到的地址存儲為第2地址濾波器信息。中繼伺服器在所接收到的包的發送目的地被存儲為所述第I地址濾波器信息的情況下，向發送目的地發送包。中繼伺服器在所接收到的包的發送目的地被存儲為所述第2地址濾波器信息的情況下，向所述路由會話發送包。
[0013]由此，操作者能夠利用在中繼伺服器和所選擇的連接對象設備之間建立的路由會話進行通信。並且，在上述的結構中，按照每個操作者來設定能夠連接的連接對象設備。因此，即使是操作者登錄所用的通信裝置被變更時，如果進行登錄的操作者相同，就能夠與和以前相同的對象建立路由會話並進行通信。並且，能夠容易按照每個操作者進行不同的訪問控制。
[0014]優選的是，在所述中繼伺服器中，取得所述連接對象設備的列表的單元，取得登錄被受理的操作者所屬的操作者組能夠連接的其它中繼伺服器的列表，作為所述連接對象設備的列表。
[0015]由此，操作者能夠選擇為路由會話的對象的中繼伺服器，是按照該操作者所屬的每個操作者組進行設定的，並且，在操作者從能夠選擇的中繼伺服器中實際選擇的選擇中繼伺服器中，指定該操作者能夠連接的設備。因此，即使是操作者登錄所用的通信裝置被變更，如果進行登錄的操作者相同，就能夠與和以前相同的設備進行通信。並且，通過由中繼伺服器自身進行基於操作者組等級的訪問控制的設定，並由選擇中繼伺服器進行基於各個操作者組等級的訪問控制的設定，能夠合理地實現複雜的訪問控制。
[0016]根據本發明的第二方面提供如下結構的中繼伺服器。即，該中繼伺服器具有包傳輸控制信息存儲部和控制部。所述包傳輸控制信息存儲部能夠將表示能夠被自身(中繼伺服器)指定為包的傳輸目的地的路由對象裝置的地址的地址濾波器信息與自身的識別信息相對應地進行存儲，並且，能夠將表示能夠被連接對象設備指定為包的傳輸目的地的路由對象裝置的地址的地址濾波器信息與該連接對象設備的識別信息相對應地進行存儲，所述連接對象設備表示能夠與自身連接的連接對象側的中繼伺服器及屬於該連接對象側的中繼伺服器的客戶端終端。所述控制部具有:連接對象設備取得控制部、VPN啟動控制部、地址濾波器信息通信控制部、路由會話建立控制部、及路由控制部。所述連接對象設備取得控制部根據連接許可信息取得進行了登錄請求的操作者能夠連接的所述連接對象設備，所述連接許可信息是自身(中繼伺服器)或者自身能夠連接的其它中繼伺服器存儲的信息，而且是將能夠登錄到包括自身和所述連接對象設備而構成的中繼通信系統的操作者的識別信息、和該操作者能夠連接的所述連接對象設備的識別信息建立了對應的信息。所述VPN啟動控制部，針對從所取得的所述連接對象設備中選擇的所述連接對象設備進行虛擬專用網的啟動處理。地址濾波器信息通信控制部，將操作者為了進行登錄請求而操作的通信裝置的地址，作為與自身(中繼伺服器)的識別信息相對應的地址濾波器信息存儲在所述包傳輸控制信息存儲部中，並將該地址濾波器信息發送給所述連接對象設備，還將從所述連接對象設備接收到的地址濾波器信息作為與該連接對象設備的識別信息相對應的地址濾波器信息存儲在所述包傳輸控制信息存儲部中。路由會話建立控制部，針對所選擇的所述連接對象設備建立路由會話。路由控制部，當在與自身(中繼伺服器)的識別信息相對應的地址濾波器信息中指定了所接收到的包的發送目的地時，向該發送目的地發送包，當在與所述連接對象設備的識別信息相對應的地址濾波器信息中指定了所接收到的包的發送目的地時，通過在自身(中繼伺服器)和該連接對象設備之間建立的路由會話向該連接對象設備發送包。
[0017]由此，能夠利用所構建的VPN在操作者為了進行登錄請求而操作的通信裝置、與連接對象設備能夠傳輸包的路由對象裝置之間進行通信。並且，在連接許可信息中，操作者的識別信息和該操作者能夠連接的連接對象設備的識別信息相對應。因此，即使是操作者登錄所用的設備被變更時，如果進行登錄的操作者相同，就能夠容易當場構建諸如包括和以前相同的對象的VPN並進行使用。並且，能夠容易按照每個操作者進行不同的訪問控制。
[0018]優選的是，在所述中繼伺服器中採取如下結構。即，所述中繼伺服器具有管理目的地信息存儲部，用於存儲對包括自身(中繼伺服器)在內的中繼伺服器進行管理的管理側的中繼伺服器的識別信息。所述連接許可信息由所述管理側的中繼伺服器進行存儲。所述控制部在從操作者受理了登錄請求時，根據所述管理目的地信息存儲部的存儲內容來訪問所述管理側的中繼伺服器，由此取得進行了登錄請求的操作者能夠連接的所述連接對象設備。
[0019]由此，形成管理側的中繼伺服器集中管理連接許可信息的結構，因而不需要由多臺設備共享連接許可信息。因此，不需要該設備之間的連接許可信息的同步控制，能夠減輕在中繼伺服器中進行的處理。
[0020]優選的是，在所述中繼伺服器中採取如下結構。即，該中繼伺服器具有存儲所述連接許可信息的連接許可信息存儲部。所述控制部在從操作者受理了登錄請求時，根據在所述連接許可信息存儲部中存儲的所述連接許可信息，取得進行了登錄請求的操作者能夠連接的所述連接對象設備。
[0021]S卩，在如上述的結構那樣由管理側的中繼伺服器集中管理連接許可信息的情況下，每當從操作者受理登錄請求時就需要訪問該中繼伺服器。關於這一點，在上述的結構中，僅通過參照自身(中繼伺服器)的存儲內容，即可取得進行了登錄請求的操作者能夠連接的所述連接對象設備。因此，能夠簡化到啟動VPN為止的處理。
[0022]優選的是，在所述中繼伺服器中採取如下結構。即，所述連接許可信息是將包括一個或者多個操作者的操作者組的信息、和被指定為屬於該操作者組的操作者能夠連接的中繼伺服器的指定中繼伺服器建立了對應的信息。所述路由會話建立控制部進行如下控制:使自身和所述指定中繼伺服器中被操作者選擇的中繼伺服器即選擇中繼伺服器之間建立路由會話，並且根據操作者連接控制信息使該選擇中繼伺服器和屬於該選擇中繼伺服器的客戶端終端中被指定為該操作者能夠連接的設備即指定設備之間建立路由會話，所述操作者連接控制信息是由該選擇中繼伺服器存儲的信息，而且是將屬於所述操作者組的操作者的識別信息、和所述指定設備的識別信息建立了對應的信息。所述地址濾波器信息通信控制部與所述指定設備交換地址濾波器信息。所述路由控制部進行如下控制:在由與所述指定設備的識別信息相對應的地址濾波器信息指定了接收到的包的發送目的地時，通過將自身和所述指定設備之間連接而構成的一個或者多個路由會話向該指定設備發送包。
[0023]因此，在組連接控制信息和操作者連接控制信息中，能夠連接的指定中繼伺服器或者指定設備與操作者組或者操作者(而非操作者為了登錄而操作或使用的設備)相對應。並且，在自身(中繼伺服器)中，能夠當場使用操作者登錄中繼通信系統時操作的通信裝置的地址生成與自身對應的地址濾波器信息，並將該地址濾波器信息用於包的傳輸。因此，即使是操作者為了進行登錄而操作的設備被變更，如果進行登錄的操作者相同，就能夠容易構建諸如包括和以前相同的對象的VPN並進行使用。另外，在上述的結構中，基於中繼伺服器等級的訪問控制是以操作者組為單位而進行的，而基於設備等級的訪問控制是根據連接對象側的中繼伺服器(指定中繼伺服器)分別存儲的操作者連接控制信息，以獨立的操作者為單位而進行的。因此，對於操作者的訪問控制，能夠同時實現設定的簡潔化和極精細的訪問控制。另外，在指定中繼伺服器存儲的操作者連接控制信息中，(僅)對屬於自身成為指定中繼伺服器的操作者組的操作者存儲指定設備。這樣，用於規定基於設備等級的精細訪問控制的操作者連接控制信息以由各個指定中繼伺服器分擔的形式彼此獨立地進行存儲，因而能夠防止各個指定中繼伺服器中的存儲內容的龐大化，並且也能夠省略存儲內容的同步控制。
[0024]優選的是，在所述中繼伺服器中採取如下結構。即，在所述選擇中繼伺服器不能與該指定設備進行通信的情況下，所述控制部根據該選擇中繼伺服器通知給自身的錯誤，使請求了登錄的操作者操作的通信裝置顯示連接失敗。
[0025]由此，進行登錄的操作者能夠適當掌握不能開始基於VPN的通信的異常。
[0026]優選的是，在所述中繼伺服器中採取如下結構。即，在所述操作者連接控制信息中，將屬於所述操作者組的操作者的識別信息、所述指定設備的識別信息、和計劃信息相對應。所述控制部啟動利用了一個或者多個路由會話的虛擬專用網，該一個或者多個路由會話是根據所述操作者連接控制信息將所述選擇中繼伺服器、和與請求了登錄的操作者及當前時間對應的所述指定設備之間連接而構成的。
[0027]由此，能夠進行考慮了連接時間段的極精細的訪問控制。
[0028]根據本發明的第三方面提供如下結構的中繼通信系統。即，該中繼通信系統具有中繼伺服器和屬於所述中繼伺服器的客戶端終端。所述中繼伺服器中作為連接側的中繼伺服器發揮作用的所述中繼伺服器具有包傳輸控制信息存儲部和控制部。所述包傳輸控制信息存儲部能夠將表示能夠被自身(中繼伺服器)指定為包的傳輸目的地的路由對象裝置的地址的地址濾波器信息與自身的識別信息相對應地進行存儲，並且，能夠將表示能夠被連接對象設備指定為包的傳輸目的地的路由對象裝置的地址的地址濾波器信息與該連接對象設備的識別信息相對應地進行存儲，所述連接對象設備表示能夠與自身連接的連接對象側的中繼伺服器及屬於該連接對象側的中繼伺服器的客戶端終端。所述控制部具有:連接對象設備取得控制部、VPN啟動控制部、地址濾波器彳目息通彳目控制部、路由會話建立控制部、及路由控制部。所述連接對象設備取得控制部，根據連接許可信息取得進行了登錄請求的操作者能夠連接的所述連接對象設備，所述連接許可信息是將操作者的識別信息、和操作者能夠連接的所述連接對象設備的識別信息建立了對應的信息。所述VPN啟動控制部，針對從所取得的所述連接對象設備中選擇的所述連接對象設備進行虛擬專用網的啟動處理。地址濾波器信息通信控制部，將操作者為了進行登錄請求而操作的通信裝置的地址，作為與自身(中繼伺服器)的識別信息相對應的地址濾波器信息存儲在所述包傳輸控制信息存儲部中，並將該地址濾波器信息發送給所述連接對象設備，還將從所述連接對象設備接收到的地址濾波器信息作為與該連接對象設備的識別信息相對應的地址濾波器信息存儲在所述包傳輸控制信息存儲部中。路由會話建立控制部，針對所選擇的所述連接對象設備建立路由會話。路由控制部，當在與自身(中繼伺服器)的識別信息相對應的地址濾波器信息中指定了所接收到的包的發送目的地時，向該發送目的地發送包，當在與所述連接對象設備的識別信息相對應的地址濾波器信息中指定了所接收到的包的發送目的地時，通過在自身和該連接對象設備之間建立的路由會話向該連接對象設備發送包。
[0029]優選的是，在所述中繼通信系統中採取如下結構。即，所述連接許可信息是指將包括一個或者多個操作者的操作者組的信息、和被指定為屬於該操作者組的操作者能夠連接的中繼伺服器的指定中繼伺服器建立了對應的信息。所述路由會話建立控制部進行如下控制:使自身和所述指定中繼伺服器中被操作者選擇的中繼伺服器即選擇中繼伺服器之間建立路由會話，並且根據操作者連接控制信息使該選擇中繼伺服器和屬於該選擇中繼伺服器的客戶端終端中被指定為該操作者能夠連接的設備即指定設備之間建立路由會話，所述操作者連接控制信息是由該選擇中繼伺服器存儲的信息，而且是將屬於所述操作者組的操作者的識別信息、和所述指定設備的識別信息建立了對應的信息。所述地址濾波器信息通信控制部與所述指定設備交換地址濾波器信息。所述路由控制部進行如下控制:在由與所述指定設備的識別信息相對應的地址濾波器信息指定了接收到的包的發送目的地時，通過將自身和所述指定設備之間連接而構成的一個或者多個路由會話向該指定設備發送包。
[0030]因此，能夠實現可以發揮以上說明的效果的中繼通信系統。
【專利附圖】

【附圖說明】
[0031]圖1是表示本發明的一個實施方式涉及的中繼通信系統的整體結構的說明圖。
[0032]圖2是管理側的中繼伺服器I的功能塊圖。
[0033]圖3是管理對象的中繼伺服器2、3、4的功能塊圖。
[0034]圖4是表示中繼伺服器的通信控制部63的詳細結構的功能塊圖。
[0035]圖5是表示操作者信息的內容的圖。
[0036]圖6是表示連接許可信息的內容的圖。
[0037]圖7是表示管理目的地信息的內容的圖。
[0038]圖8是表示路由會話信息的內容的圖。
[0039]圖9是表示在中繼伺服器2和客戶端終端47之間共享的包傳輸控制信息的內容的圖。
[0040]圖10是表示本發明的啟動VPN的處理的流程的流程圖。
[0041]圖11是說明通信裝置22向文件伺服器46發送包時的路徑的圖。
[0042]圖12是說明文件伺服器46向通信裝置22發送包時的路徑的圖。
[0043]圖13是表示連接側的中繼伺服器2的變形例的功能塊圖。
[0044]圖14是表示操作者組信息的內容的圖。
[0045]圖15是表示變形例的連接許可信息的內容的圖。
[0046]圖16是第2實施方式的連接對象側的中繼伺服器3、4的功能塊圖。
[0047]圖17是表示第2實施方式的連接許可信息的內容的圖。
[0048]圖18是表示第2實施方式的包傳輸控制信息的內容的圖。
[0049]圖19是表示操作者連接控制信息的內容的圖。
[0050]圖20是表示操作者I使用中繼伺服器2進行登錄的情況的說明圖。
[0051]圖21是表示在圖20所示的情況下啟動VPN的處理的流程的流程圖。
[0052]圖22是說明在圖20所示的情況下通信裝置22向文件伺服器31發送包時的路徑的圖。
[0053]圖23是說明在圖20所示的情況下文件伺服器31向通信裝置22發送包時的路徑的圖。
[0054]圖24是表示操作者2使用中繼伺服器2進行登錄的情況的說明圖。
[0055]圖25是表示在圖24所示的情況下啟動VPN的處理的前半部分的流程圖。
[0056]圖26是表示在圖24所示的情況下啟動VPN的處理的後半部分的流程圖。
[0057]圖27是表示在圖24所示的情況下在中繼伺服器2、3中存儲的包傳輸控制信息的內容的圖。
[0058]圖28是說明在圖24所示的情況下通信裝置22向文件伺服器46發送包時的路徑的圖。
[0059]圖29是說明在圖24所示的情況下文件伺服器46向通信裝置22發送包時的路徑的圖。
[0060]圖30是表示操作者連接控制信息的變形例的圖。
【具體實施方式】
[0061]下面，參照【專利附圖】

【附圖說明】本發明的實施方式。首先，參照圖1說明第I實施方式的中繼通信系統100的概況。圖1是表示本發明的一個實施方式涉及的中繼通信系統100的整體結構的說明圖。
[0062]如圖1所示，該中繼通信系統100由與Wide Area Network (WAN:廣域通信網)80連接的多個中繼伺服器1、2、3、4、和通過LAN 10、20、30、40、45、48與中繼伺服器1、2、3、4連接的客戶端終端11、21、42、47、……構成。各個LAN 10、20、30、48被配置於在物理上彼此遠離的場所。另外,在本實施方式中，WAN 80使用網際網路。
[0063]下面說明各個LAN。如圖1所示，LAN 10與中繼伺服器1、客戶端終端11連接。LAN 20與中繼伺服器2、客戶端終端21、通信裝置22、23連接。LAN 30與中繼伺服器3、文件伺服器31連接。LAN 48與中繼伺服器4連接。
[0064]LAN 30通過路由器32與另一個LAN 40連接，並還通過路由器33與另一個LAN 45連接。LAN 40與文件伺服器41、客戶端終端42連接。LAN45與文件伺服器46、客戶端終端47連接。
[0065]另外，在圖1中僅圖示了一部分，但假設在LAN 20,30中配置有多個客戶端終端等。並且，在與中繼伺服器4連接的LAN 48中也配置有未圖示的多個客戶端終端等。
[0066]在使用該中繼通信系統100時，使操作者在設置有LAN 20的場所待機。在LAN 30、40、45中配置有該操作者進行維護等的對象即文件伺服器31、41、46。並且，在LAN 48中也配置有未圖示的維護對象設備。
[0067]另外，設置有LAN 10的場所是管理由操作者進行的維護業務的據點，預先在中繼伺服器I中設定用於規定基於中繼伺服器單位的操作者的訪問權限的信息(作為連接許可信息)。操作者使用通信裝置22、23等在操作者自身具有的訪問權限的範圍內訪問文件伺服器31、41、46等，並進行遠程維護。
[0068]這樣，本實施方式的中繼通信系統100是用於從LAN 20側向LAN 30、40、45、48側連接並進行各種作業的系統，不假設反方向的連接。因此，在下面的說明中，有時將LAN 20稱為「連接側」、將LAN 30、40、45、48稱為「連接對象側」。並且，中繼通信系統100的各種管理作業是在連接於LAN 10的設備中進行，因而在下面的說明中有時將該LAN 10稱為「管理側」。
[0069]另外，有時將與連接側的LAN 20連接的中繼伺服器(中繼伺服器2)稱為連接側的中繼伺服器，將與連接對象側的LAN 30,48連接的中繼伺服器(中繼伺服器3、4)稱為連接對象側的中繼伺服器。另外，有時將連接側的中繼伺服器和屬於該中繼伺服器的客戶端終端統稱為連接側的設備。並且，有時將連接對象側的中繼伺服器和屬於該中繼伺服器的客戶端終端統稱為連接對象設備。
[0070]下面參照圖2?圖9說明中繼伺服器I?4。圖2是管理側的中繼伺服器I的功能塊圖。圖3是連接側及連接對象側的中繼伺服器2、3、4的功能塊圖。圖4是表示連接側的中繼伺服器的通信控制部63的詳細結構的功能塊圖。圖5?圖9是表示中繼伺服器存儲的內容的圖。
[0071]如圖1所示，各個中繼伺服器I?4不僅與LAN 10、20、30、48連接，而且也與WAN80連接。並且，對各個中繼伺服器I?4賦予了專用IP位址和全球IP位址。因此，各個中繼伺服器I?4不僅能夠與連接於和自身相同的LAN的客戶端終端進行通信，而且也能夠與配置在其它LAN中的中繼伺服器進行通信。
[0072]另外，在本實施方式的中繼通信系統100中構成為，該系統中所包含的中繼伺服器中的一個中繼伺服器作為管理側的中繼伺服器進行動作，其它中繼伺服器被劃分為連接側和連接對象側進行動作。具體地講，在本實施方式中預先設定成中繼伺服器I作為管理側的中繼伺服器進行動作，中繼伺服器2作為連接側的中繼伺服器進行動作，中繼伺服器
3、4作為連接對象側的中繼伺服器進行動作。下面，按照管理側的中繼伺服器1、連接側的中繼伺服器2、連接對象側的中繼伺服器3、4的順序進行說明。
[0073]如圖2所示，管理側的中繼伺服器I具有存儲部50、控制部60、接口部70。
[0074]接口部70能夠利用專用IP位址與LAN 10內的終端進行通信。並且，接口部70能夠利用全球IP位址經由WAN 80進行通信。
[0075]控制部60例如是具有控制及運算的功能的CPU，能夠按照從存儲部50讀出的流程執行各種處理。該控制部60能夠控制依據於TCP/IP、UDP、SIP等通信協議的各種通信處理。如圖2所示，控制部60具有接口驅動器61、LAN側IP包處理部62、通信控制部63、WAN側IP包處理部64。
[0076]接口驅動器61是控制接口部70的驅動器軟體。LAN側IP包處理部62對從LAN10接收到的包進行適當的處理，並輸出給通信控制部63。WAN側IP包處理部64對從WAN80接收到的包進行適當的處理，並輸出給通信控制部63。
[0077]通信控制部63對於接收到的包，根據該包所示出的信息和在存儲部50中存儲的信息來決定發送目的地，並向所決定的發送目的地發送該包。並且，通信控制部63能夠根據從其它終端接收到的信息更新存儲部50的存儲內容。通信控制部63如圖4所示具有連接對象設備取得控制部631、VPN啟動控制部632、地址濾波器信息通信控制部633、路由會話建立控制部634、和路由控制部635。另外，關於上述各個控制部進行的控制將在後面進行說明。
[0078]存儲部50例如由硬碟或者非易失性RAM構成，能夠保存各種數據。存儲部50具有操作者信息存儲部51和連接許可信息存儲部52。下面，參照圖5和圖6來說明存儲部50的存儲內容。圖5是表示操作者信息的內容的圖。圖6是表示連接許可信息的內容的圖。
[0079]中繼伺服器I具有的操作者信息存儲部51存儲有用於確定能夠登錄中繼通信系統100的操作者的信息、和表示操作者的利用狀況等的信息即操作者信息。另外，該操作者信息存儲部51構成為僅管理側的中繼伺服器I具有，如圖3所示中繼伺服器2、3不具有該操作者信息存儲部51。下面,具體說明操作者信息的內容。
[0080]在圖5所示的操作者信息中，在被記述為「操作者ID」的列中記述有能夠登錄中繼通信系統100的操作者ID的一覽。該操作者ID由對每個操作者設定的固有的字符串構成。另外，在被記述為「密碼」的列中記述有使用在相同行中記述的操作者ID登錄中繼通信系統100所需要的密碼。各個操作者能夠使用對自身設定的操作者ID和密碼登錄中繼通信系統100。
[0081]簡單說明操作者使用該操作者ID和密碼登錄中繼通信系統100時的流程。操作者使用通信裝置22、23等訪問中繼伺服器2或者客戶端終端21，在規定的登錄畫面中輸入操作者ID和密碼，由此能夠向中繼通信系統100進行登錄請求。受理了該登錄請求的中繼伺服器2或者客戶端終端21向中繼伺服器I發送該輸入內容。接收到該輸入內容的中繼伺服器I將操作者輸入的操作者ID和密碼與操作者信息存儲部51存儲的操作者信息進行核對，並判定該操作者ID是否已經通過其它中繼伺服器完成登錄。中繼伺服器I根據其結果決定可否登錄。
[0082]在圖5中示出了中繼伺服器I的操作者信息存儲部51存儲的操作者信息的示例。在該操作者信息存儲部51中，在被記述為「使用設備信息」的列中記述有這樣的信息:在操作者已經使用在相同行中記述的操作者ID登錄中繼通信系統100的情況下，與該操作者向中繼通信系統100登錄時使用的中繼通信系統100側的設備(具體地講是指中繼伺服器2或者客戶端終端21，而非通信裝置22、23。下面稱為使用設備)相關的信息(使用設備信息)。
[0083]具體地講，在操作者使用中繼伺服器正在進行登錄的情況下，該中繼伺服器的識別信息成為使用設備信息。例如，在圖1中的操作者2通過通信裝置22登錄了中繼伺服器2的情況下，在中繼伺服器I的操作者信息存儲部51中，如圖5所示，該中繼伺服器2的識別信息被記述為與操作者2的操作者ID (0p2)相對應的使用設備信息。
[0084]另一方面，在操作者使用客戶端終端正在進行登錄的情況下，該客戶端終端的識別信息、和該客戶端終端的所屬地即中繼伺服器的識別信息雙方成為使用設備信息。例如，在圖1中的操作者I通過通信裝置23登錄了客戶端終端21的情況下，在中繼伺服器I的操作者信息存儲部51中，如圖5所示，該客戶端終端21的識別信息和中繼伺服器2的識別信息被記述為與操作者I的操作者ID (Opl)相對應的使用設備信息。
[0085]另外，在操作者沒有登錄中繼通信系統100的情況下，使用設備信息為空白欄(參照與圖5的0p3和0p4對應的使用設備信息)。
[0086]操作者信息存儲部51存儲的操作者信息中的、能夠登錄的操作者ID的一覽、和對該每個操作者ID設定的密碼，由各操作者和管理者等預先設定。另一方面，在每當操作者進行登錄或者登出時，使用設備信息被更新為最新的信息。
[0087]連接許可信息存儲部52存儲有表示能夠登錄中繼通信系統100的操作者的訪問權限的連接許可信息。另外，在本實施方式中該連接許可信息存儲部52構成為僅管理側的中繼伺服器I具有，如圖3所示，中繼伺服器2、3不具有該連接許可信息存儲部52。下面，具體說明連接許可信息的內容。
[0088]在圖6所示的連接許可信息中，在被記述為「操作者ID」的列中記述有能夠登錄中繼通信系統100的操作者ID的一覽。另外，在被記述為「連接對象設備的識別信息」的列中記述有許可使用在相同行中記述的操作者ID進行連接的所述連接對象設備的識別信息。具體地講，在操作者2 (操作者ID=0p2)操作通信裝置22訪問中繼伺服器2、並使用該中繼伺服器2登錄了中繼通信系統100時，該操作者2能夠利用該中繼伺服器2 (使用設備)、與在圖6的連接許可信息中與操作者2對應的連接對象設備(具體地講指客戶端終端42或者客戶端終端47)的連接。在這種情況下，以該中繼伺服器2 (使用設備)為始點、經由中繼伺服器3並以客戶端終端42或者客戶端終端47為終點的路由會話被建立，並且構建利用了該路由會話的虛擬專用網(VPN)。
[0089]在此，在連接許可信息存儲部52存儲的連接許可信息(圖6)中，連接對象設備與操作者ID對應(而非使用設備的識別信息)。因此，即使是在操作者2進行登錄時使用的設備不同的情況下，所能夠連接的連接對象設備也與上述設備相同。例如，假設操作者2操作通信裝置23訪問客戶端終端21、並使用該客戶端終端21登錄了中繼通信系統100的情況下，以該客戶端終端21 (使用設備)為始點、經由中繼伺服器2和中繼伺服器3並以客戶端終端42或者客戶端終端47為終點的路由會話被建立，並且構建利用了該路由會話的VPN。
[0090]下面，參照圖3、圖7?圖9說明中繼伺服器2?4的結構。另外，中繼伺服器2?4除部分結構之外是大致相同的結構，因而以中繼伺服器2為代表進行說明。
[0091]中繼伺服器2具有與中繼伺服器I相同地構成的控制部60和接口部70。另一方面，中繼伺服器2的存儲部50的存儲內容與中繼伺服器I的存儲部50的存儲內容有一部分不同。具體地講，中繼伺服器2在存儲部50中具有管理目的地信息存儲部53、包傳輸控制信息存儲部(地址濾波器信息存儲部)54、和路由會話信息存儲部55。
[0092]管理目的地信息存儲部53如圖7所示存儲有以自身為管理對象的管理側的中繼伺服器即中繼伺服器I的識別信息。因此，中繼伺服器2通過參照該管理目的地信息存儲部53的存儲內容，能夠訪問管理側的中繼伺服器即中繼伺服器I。另外，在由於維護等事情而變更管理側的中繼伺服器的情況下，將該情況通知其它中繼伺服器，管理目的地信息存儲部53的存儲內容被更新。
[0093]在中繼伺服器2形成用於在自身和其它設備之間傳輸包的所述路由會話的情況下，路由會話信息存儲部55存儲有將自身的識別信息、和成為該路由會話的對象的設備的識別信息建立了對應的路由會話信息。另外，在下面的說明中，有時將與其它設備形成路由會話並進行包的傳輸的設備稱為路由設備。
[0094]在圖8中示出了由中繼伺服器2和中繼伺服器3形成路由會話時的路由會話信息存儲部55的存儲內容。在該路由會話信息中，自身及路由會話的對象的設備在路由會話建立處理中被區分記述為最先進行通信控制的一側(始點)、和接受該通信控制的一側(終點)。
[0095]在此，在由連接側的設備和連接對象側的設備建立路由會話的情況下，一定是連接側的設備最先進行通信控制。另一方面，在由連接對象側的中繼伺服器和屬於該中繼伺服器的客戶端終端建立路由會話的情況下，一定是中繼伺服器最先進行通信控制。這樣，應該成為通信控制的始點的設備是按照統一的規則進行規定的，因而能夠防止通信控制的衝關。
[0096]包傳輸控制信息存儲部54存儲有包傳輸控制信息,該包傳輸控制信息表在操作者登錄了中繼伺服器2的結果是該中繼伺服器2與其它設備之間形成路由會話並構建利用了該路由會話的VPN的情況下，具有什麼樣的發送目的地的包是由中繼伺服器2來發送的。
[0097]另外，在本實施方式中，有時是中繼伺服器作為路由設備發揮作用，有時是客戶端終端作為路由設備發揮作用。
[0098]在圖9中示例了包傳輸控制信息存儲部54的存儲內容的概要。在圖9中，右側的「地址濾波器信息」的列表示被許可傳輸的包的發送目的地。包傳輸控制信息如圖9所示是組合多個地址濾波器信息而構成的。
[0099]在本實施方式中，地址濾波器信息是將設備(包的路由對象裝置)的地址和對該地址賦予的名稱建立了對應的信息。在圖9的示例中，以表示一個設備的方式記述地址濾波器信息的地址，但也能夠使用例如子網掩碼等設為諸如表示網絡整體的地址。關於與地址相對應的名稱，能夠賦予地址所表示的設備(或者網絡)的名稱、或者利用該設備的操作者的名稱等容易理解的合適的名稱。
[0100]按照圖9的示例進行說明，如果該中繼伺服器2接收到的包的發送目的地是操作者2 (嚴格地講是操作者2操作的通信裝置22)，中繼伺服器2向其它設備傳輸該包。作為這種情況時的傳輸目的地，可以考慮是形成了路由會話的對象即其它路由設備的情況、和是包的發送目的地本身的情況這兩種情況。另一方面，在包的發送目的地不是上述任何設備的情況下，不傳輸該包。
[0101]這樣，所述包傳輸控制信息和構成該包傳輸控制信息的地址濾波器信息被用於根據其發送目的地來判定可否傳輸包(對包進行濾波)。
[0102]另外，下面有時將與自身對應的地址濾波器信息稱為第I地址濾波器信息，將與其它設備對應的地址濾波器信息稱為第2地址濾波器信息。
[0103]中繼伺服器2?4按照上面所述而構成。另外，關於客戶端終端11、21、42、47的結構，具有實質上與中繼伺服器2相同地構成的存儲部50和控制部60，但省略詳細說明。尤其是客戶端終端具有能夠存儲與中繼伺服器2、3具有的包傳輸控制信息存儲部54相同的內容的包傳輸控制信息存儲部。另外，各個客戶端終端具有存儲自身所屬的中繼伺服器的識別信息的所屬中繼伺服器信息存儲部。
[0104]下面，說明在各個路由設備(中繼伺服器和客戶端終端)中生成如圖9所示的所述包傳輸控制信息的處理。包傳輸控制信息如上所述是用於規定路由設備進行的包傳輸控制的規則的信息，以便實現VPN。另一方面，在本實施方式的中繼通信系統100中能夠構建多個構成設備彼此不同的VPN。為了實現這種中繼通信系統100，中繼伺服器和客戶端終端具有的包傳輸控制信息存儲部能夠按照每個VPN存儲包傳輸控制信息。即，每當構建新的VPN時，生成新的包傳輸控制信息並存儲在路由設備的包傳輸控制信息存儲部中。
[0105]VPN用的所述路由會話是在操作者登錄的使用設備、和指示VPN的生成時操作者指定的連接對象設備之間形成的。即，在生成VPN時，在作為路由設備發揮作用的所述使用設備和連接對象設備中分別生成如圖9所示的包傳輸控制信息，並存儲在包傳輸控制信息存儲部中。
[0106]因此，在構建VPN時，作為路由設備發揮作用的中繼伺服器或者客戶端終端能夠將與自身對應的地址濾波器信息發送給對象側的路由設備。通過該地址濾波器信息的交換，各個路由設備將與自身對應的地址濾波器信息和與其它路由設備對應的地址濾波器信息進行合成，生成如圖9所示的包傳輸控制信息並存儲在自身具有的包傳輸控制信息存儲部中。
[0107]此時，關於與自身對應的地址濾波器信息，根據自身(路由設備)是使用設備還是連接對象設備而採用不同的地址濾波器信息。即，有可能作為路由設備發揮作用的中繼伺服器及客戶端終端在包傳輸控制信息存儲部中至少存儲預先設定的地址濾波器信息(下面，有時稱為事前設定地址濾波器信息)，以便表示自身是能夠直接發送包的裝置。並且，中繼伺服器或者客戶端終端在通過將自身指定為連接對象設備來作為路由設備發揮作用的情況下，在構建VPN時，將所述事前設定地址濾波器信息作為與自身對應的地址濾波器信肩、O
[0108]另一方面，在自身成為使用設備的結果(操作者使用自身進行登錄的結果)是作為路由設備發揮作用的情況下，在構建VPN時，中繼伺服器或者客戶端終端將為了向自身登錄而由操作者直接操作的設備地址設為與自身對應的地址濾波器信息，而非所述事前設定地址濾波器信息。
[0109]另外，配置在連接側的中繼伺服器2和客戶端終端21也可以不具有預先存儲所述事前設定地址濾波器信息的結構。其理由是在連接對象側有可能接受維護的設備幾乎不變，而在連接側操作者進行維護作業而操作的通信裝置根據狀況而頻繁地變化，因而事前設定其地址是不現實的。
[0110]下面，主要參照圖10來說明操作者2登錄中繼通信系統100並構建VPN時的具體流程。圖10是表示本發明的啟動VPN的處理的流程的流程圖。
[0111]操作者2按照上面所述對通信裝置22進行適當的操作來訪問中繼伺服器2，並進行將該中繼伺服器2作為使用設備的登錄請求。在該登錄請求中被要求輸入操作者ID和密碼。然後，操作者2輸入與自身對應的操作者ID (0p2)和密碼(def)並確定輸入內容，由此中繼伺服器2受理登錄請求(流程號碼I)。這樣，中繼伺服器2具有受理進行登錄操作的操作者的識別信息的單元。並且，中繼伺服器2將登錄請求與所輸入的操作者ID、密碼及使用設備信息(具體地講是中繼伺服器2的識別信息)一起發送給中繼伺服器I (流程號碼2)。
[0112]接收到該登錄請求等的中繼伺服器I根據圖5所示的操作者信息，進行操作者ID和密碼的驗證(流程號碼3)。並且，中繼伺服器I判定是否還存在使用了所輸入的操作者ID的其它登錄(流程號碼4)，以便防止基於同一操作者ID的多重登錄。並且，在操作者的驗證成功、而且沒有進行多重登錄的情況下，中繼伺服器I許可登錄並更新操作者信息存儲部51的操作者信息(流程號碼5)。S卩，將中繼伺服器2的識別信息存儲為與0p2對應的使用設備信息。
[0113]並且，中繼伺服器I參照連接許可信息存儲部52存儲的連接許可信息，讀出被許可登錄的操作者2能夠連接的連接對象設備的列表(流程號碼6)。在這次的示例中，在圖6所示的連接許可信息中，操作者2與客戶端終端42、47相對應。因此，中繼伺服器I將表示許可登錄的內容、與客戶端終端42、47的識別信息一起發送給中繼伺服器2 (流程號碼7)。
[0114]中繼伺服器2的連接對象設備取得控制部631根據該通知，能夠取得操作者2能夠連接的連接對象設備(即客戶端終端42、47)。即，中繼伺服器2具有取得操作者能夠連接的連接對象設備的列表的單元。並且，中繼伺服器2將表示登錄被許可的內容、與操作者2能夠連接的連接對象設備一起顯示於通信裝置22 (流程號碼8)。並且，假設操作者2將客戶端終端42、47中的客戶端終端47選擇為作為路由設備(連接對象設備)發揮作用的對象。中繼伺服器2具有受理操作者的選擇的單元，在受理操作者的選擇後(流程號碼9)，將操作者2進行登錄請求時直接操作的通信裝置22的IP位址、與中繼伺服器2的識別信息相對應地存儲在包傳輸控制信息存儲部54中，並作為第I地址濾波器信息(流程號碼10)。具體地講，圖9的表中的下段的信息被存儲在包傳輸控制信息存儲部54中。然後，由中繼伺服器2的VPN啟動控制部632通過中繼伺服器3將VPN的啟動命令發送給客戶端終端47，並且由地址濾波器信息通信控制部633通過中繼伺服器3將與自身的識別信息相對應地進行存儲的地址濾波器信息(第I地址濾波器信息)發送給客戶端終端47 (流程號碼11)。
[0115]接收到該啟動命令的客戶端終端47將所接收到的地址濾波器信息存儲在包傳輸控制信息存儲部中(流程號碼12)。在此，如上所述，在客戶端終端47的包傳輸控制信息存儲部中，以與自身(客戶端終端47)的識別信息相對應的形式預先存儲有指定文件伺服器46的地址濾波器信息(作為所述事前設定地址濾波器信息)。因此，在客戶端終端47的包傳輸控制信息存儲部中，如圖9所示存儲有由兩個地址濾波器信息構成的包傳輸控制信息。客戶端終端47將表示接收到信號的內容、和與自身相對應的地址濾波器信息(圖9的表中的上段的信息)，通過中繼伺服器3發送給中繼伺服器2 (流程號碼13)。
[0116]中繼伺服器2接收來自客戶端終端47的答覆，將接收到的地址濾波器信息作為第2地址濾波器信息存儲在包傳輸控制信息存儲部54中(流程號碼14)。由此，如圖9所示，在中繼伺服器2的包傳輸控制信息存儲部54中存儲有由兩個地址濾波器信息構成的包傳輸控制信息。按照以上所述，在中繼伺服器2和客戶端終端47之間完成地址濾波器信息的交換。在進行地址濾波器信息的交換後，中繼伺服器2的包傳輸控制信息存儲部54和客戶端終端47的包傳輸控制信息存儲部都存儲圖9所示的內容。
[0117]中繼伺服器2具有建立路由會話的單元(路由會話建立控制部634)，通過中繼伺服器3對客戶端終端47進行用於與該客戶端終端47建立路由會話的通信控制(流程號碼15)。由此，建立以中繼伺服器2為始點、經由中繼伺服器3並以客戶端終端47為終點的路由會話O
[0118]另外，以上說明了在作為使用設備的中繼伺服器2和作為連接對象設備的客戶端終端47之間建立路由會話的處理，當然也能夠在上述以外的組合中建立路由會話。例如，說明操作者I從通信裝置23訪問客戶端終端21、並將該客戶端終端21作為使用設備來登錄中繼通信系統100的情況。如圖6所示，操作者I被許可與中繼伺服器3的連接。因此，在這種情況下，能夠建立以客戶端終端21為始點、經由中繼伺服器2並以中繼伺服器3為終點的路由會話。在此時的路由設備(客戶端終端21和中繼伺服器3)的包傳輸控制信息存儲部中，以與客戶端終端21的識別信息相對應的形式來存儲通信裝置23的地址，並作為地址濾波器信息。[0119]下面，說明中繼伺服器2的路由控制部635利用所建立的路由會話進行的路由控制。圖11是說明通信裝置22向文件伺服器46發送包時的路徑的圖。圖12是說明文件伺服器46向通信裝置22發送包時的路徑的圖。
[0120]首先，說明中繼伺服器2接收到圖11所示的第I包(packetOl)時的處理。該第I包是由通信裝置22發送的包，文件伺服器46的IP位址(192.168.45.100)被指定為發送目的地地址。
[0121]中繼伺服器2接收到該第I包後，將包傳輸控制信息存儲部54的存儲內容(圖9)與第I包的發送目的地地址進行比較。並且，查找能夠直接向在第I包中記述的發送目的地發送包的路由設備。如圖9所示，第I包的發送目的地地址(192.168.45.100)被存儲為與客戶端終端47對應的地址濾波器信息(第2地址濾波器信息)。因此，中繼伺服器2許可第I包的傳輸，將客戶端終端47作為最終的發送目的地，通過在中繼伺服器2和客戶端終端47之間建立的路由會話向中繼伺服器3發送第I包。
[0122]接收到該第I包的客戶端終端47與中繼伺服器2相同地，也將包傳輸控制信息存儲部的存儲內容(圖9)與第I包的發送目的地地址進行比較。其結果是，客戶端終端47根據是第I包中記述的發送目的地(192.168.45.100)被存儲為第I地址濾波器信息，因而檢測出自身能夠直接發送包。因此，客戶端終端47許可第I包的傳輸，並向文件伺服器46發送該第I包。
[0123]下面，說明客戶端終端47接收到圖12所示的第2包(packet02)時的處理。該第2包是由文件伺服器46發送的包，通信裝置22的IP位址(200.1.20.100)被指定為發送目的地地址。
[0124]客戶端終端47在接收到該第2包後進行與上述相同的處理，檢測出根據與中繼伺服器2對應的地址濾波器信息指定了第2包的發送目的地地址(200.1.20.100)。因此，客戶端終端47許可第2包的傳輸，將中繼伺服器2作為最終的發送目的地，通過在客戶端終端47和中繼伺服器2之間建立的路由會話向中繼伺服器3發送第2包。
[0125]接收到該第2包的中繼伺服器2也進行與上述相同的處理，檢測出根據與自身(中繼伺服器2)對應的地址濾波器信息指定了第2包的發送目的地地址(200.1.20.100)。因此，中繼伺服器2許可第2包的傳輸，並向通信裝置22發送該第2包。
[0126]這樣，在本實施方式中構成為，在應用層的路由會話中傳輸路由對象的數據。因此，以上說明的路由與通常的IP路由不同。
[0127]通過在應用層中進行路由，位於遙遠地區的LAN彼此能夠利用專用IP位址相互通信，而不需在意WAN。另外，如上所述路由設備能夠顯示能夠指定為包的傳輸目的地的路由對象裝置的名稱。因此，用戶能夠容易識別使用VPN能夠向哪臺設備發送包。
[0128]如以上所述，本實施方式的中繼伺服器2具有存儲如下信息的單元(包傳輸控制信息存儲部54)，該信息包括:自身能夠傳輸包的地址即第I地址濾波器信息、和作為其它連接對象設備的客戶端終端47能夠傳輸包的地址即第2地址濾波器信息。並且，中繼伺服器2具有以下單元:受理通過經由LAN20而連接的通信裝置22進行登錄操作的操作者2的識別信息的單元；根據受理登錄的操作者2的識別信息(0p2)，取得該操作者2能夠連接的連接對象設備的列表的單元；受理操作者2從能夠連接的所述連接對象設備的列表中對連接對象設備(客戶端終端47)的選擇的單元；以及與操作者2選擇的客戶端終端47建立路由會話的單元(路由會話建立控制部634)。中繼伺服器2將操作者2進行了登錄操作的通信裝置22的地址存儲為第I地址濾波器信息，並向客戶端終端47發送該通信裝置22的地址。中繼伺服器2將從客戶端終端47接收到的文件伺服器46的地址存儲為第2地址濾波器信息。中繼伺服器2在所接收到的包的發送目的地被存儲為第I地址濾波器信息的情況下，向發送目的地發送包。中繼伺服器2在所接收到的包的發送目的地被存儲為第2地址濾波器信息的情況下，向所述路由會話發送包。
[0129]由此，操作者2能夠利用在中繼伺服器2和所選擇的客戶端終端47之間建立的路由會話進行通信。並且，在上述的結構中，按照每個操作者設定能夠連接的連接對象設備。因此，即使是操作者2登錄時使用的通信裝置被變更時，也能夠與和以前相同的對象建立路由會話並進行通信。並且，能夠容易按照每個操作者進行不同的訪問控制。
[0130]下面，參照圖13?圖15說明上述實施方式的變形例。圖13是表示中繼伺服器2的變形例的功能塊圖。圖14是表示操作者組信息的內容的圖。圖15是表示變形例的連接許可信息的內容的圖。另外，在下面的變形例的說明中，存在對與上述實施方式相同或者相似的結構標註相同的標號並省略說明的情況。
[0131]如圖13所示，本變形例的中繼伺服器2具有操作者信息存儲部51、連接許可信息存儲部52、管理目的地信息存儲部53、包傳輸控制信息存儲部54、和操作者組信息存儲部56。
[0132]這樣，在本變形例中構成為，中繼伺服器2具有在上述實施方式中中繼伺服器I具有的操作者信息存儲部51和連接許可信息存儲部52。因此，本變形例的中繼伺服器2作為管理側的中繼伺服器發揮作用，並且作為連接側的中繼伺服器發揮作用。因此，在本變形例中，在作為連接側的中繼伺服器的中繼伺服器2和作為連接對象側的中繼伺服器的中繼伺服器3、4 (與上述實施方式相同的結構)中，能夠實現與上述實施方式相同的中繼通信系統100。
[0133]並且,在本變形例中，生成由一個或者多個操作者構成的操作者組,與該操作者組相關的信息被存儲在中繼伺服器2的操作者組信息存儲部56中。操作者組信息存儲部56使用如圖14所示的組的名稱、構成該操作者組的(屬於操作者組的)操作者的操作者ID，來存儲由多個操作者構成的操作者組。
[0134]並且，本變形例的連接許可信息存儲部52如圖15所示將上述操作者組的名稱、和連接對象設備的識別信息相對應地進行存儲。因此，在圖15的示例中，在屬於組I的操作者(操作者ID為Opl、0p2、0p3的操作者)將客戶端終端21作為使用設備進行登錄的情況下，能夠利用該客戶端終端21與中繼伺服器3的連接。另外，關於操作者的登錄處理及VPN的構建處理，與上述實施方式相同，因而省略說明。
[0135]下面說明第2實施方式。在第2實施方式中，管理側的中繼伺服器I的連接許可信息存儲部52的內容不同，如圖16所示，連接對象側的中繼伺服器3、4具有操作者連接控制信息存儲部58，這一點與上述實施方式不同。另外，連接側的中繼伺服器2不具有操作者連接控制信息存儲部58。
[0136]第2實施方式的中繼伺服器I具有的連接許可信息存儲部52定義由能夠利用中繼通信系統100的一個或者多個操作者構成的操作者組，並且存儲用於按照所述每個操作者組來規定操作者能夠連接的連接對象側的中繼伺服器的連接許可信息。[0137]在圖17所示的連接許可信息中，在「操作者組ID」的列中記述有預先登記的操作者組的識別信息。在「操作者ID」的列中記述有表示構成該操作者組的操作者的操作者ID的一覽。另外，在「指定中繼伺服器ID」的列中記述有屬於該操作者組的操作者能夠連接的連接對象側的中繼伺服器的識別信息。另外，在下面的說明中，在所述連接許可信息中，有時將被指定為操作者能夠連接的中繼伺服器的中繼伺服器稱為「指定中繼伺服器」。
[0138]在此，說明操作者2 (操作者ID為0p2的操作者)操作通信裝置22訪問中繼伺服器2，並使用該中繼伺服器2登錄中繼通信系統100的情況。參照圖17的連接許可信息，操作者ID為0p2的操作者屬於操作者組ID為WorkGroupl的操作者組,並且也屬於操作者組ID為WorkGroup2的操作者組。
[0139]另外，根據圖17的連接許可信息可知，屬於操作者組ID為WorkGroupl的操作者組的操作者能夠與連接對象側的中繼伺服器3連接，屬於操作者組ID為WorkGroup〗的操作者組的操作者能夠與連接對象側的中繼伺服器4連接。因此，管理側的中繼伺服器I向中繼伺服器2發送操作者2能夠連接的中繼伺服器的識別信息(中繼伺服器3和中繼伺服器4的識別信息)。中繼伺服器2根據接收到的中繼伺服器的識別信息，生成操作者2能夠連接的中繼伺服器的列表，並在通信裝置22的顯示器中進行顯示。
[0140]操作者操作通信裝置22，從上述中繼伺服器的列表中選擇期望連接的中繼伺服器。在此，假設用戶選擇了中繼伺服器3。另外，在下面的說明中，如上所述，在圖17的連接許可信息中，有時將與登錄了中繼通信系統100的操作者所屬的操作者組對應的所述指定中繼伺服器中、被該操作者選擇的中繼 伺服器稱為「選擇中繼伺服器」。
[0141]通過以上的操作，操作者2能夠利用該中繼伺服器2 (所述使用設備)與指定中繼伺服器中被該操作者2選擇的中繼伺服器3 (選擇中繼伺服器)的連接。換言之，操作者2能夠在中繼伺服器2 (使用設備)與中繼伺服器3 (選擇中繼伺服器)之間形成包傳輸用的會話即路由會話，並且利用該路由會話構建虛擬專用網(VPN)。在該VPN中，從中繼伺服器2發送的包經由中繼伺服器3到達目標設備(例如文件伺服器31)。
[0142]另外，根據選擇中繼伺服器(例如中繼伺服器3)的設定內容，操作者2還能夠利用該中繼伺服器3、與屬於該中繼伺服器3的規定的客戶端終端(例如客戶端終端47)的連接，但詳細情況在後面進行說明。在這種情況下，操作者2能夠在中繼伺服器2 (使用設備)與中繼伺服器3 (選擇中繼伺服器)之間、以及中繼伺服器3 (選擇中繼伺服器)與客戶端終端47 (屬於選擇中繼伺服器的客戶端終端)之間分別形成路由會話，並且利用這兩個路由會話構建VPN。在該VPN中，從中繼伺服器2發送的包經由中繼伺服器3和客戶端終端47到達目標設備(例如文件伺服器46)。
[0143]當在管理側的中繼伺服器I的連接許可信息存儲部52存儲的連接許可信息中、與某個操作者組對應的指定中繼伺服器就是自身的情況下，中繼伺服器3、4具有的操作者連接控制信息存儲部58存儲按照每個操作者來指定屬於該操作者組的操作者能夠連接的連接對象側的設備的操作者連接控制信息。
[0144]在圖19所示的操作者連接控制信息中，在「操作者ID」的列中記述有操作者的識別信息。另外，在「指定設備ID」的列中記述有該操作者能夠連接的連接對象側的設備的識別信息。
[0145]在下面的說明中，有時將這樣被指定為操作者能夠連接的設備的連接對象側的設備稱為指定設備。可以考慮該指定設備是連接對象側的中繼伺服器的情況、和是屬於該中繼伺服器的客戶端終端的情況這兩種情況。
[0146]在圖19中示出了中繼伺服器3的操作者連接控制信息存儲部58存儲的操作者連接控制信息的示例。在該示例中，在「操作者ID」的列中記述有Opl、0p2、Op3作為操作者的識別信息。這些操作者屬於在圖19的連接許可信息中指定中繼伺服器3的操作者組(操作者組ID為WorkGroupl的操作者組)。
[0147]另外，在操作者組ID為WorkGroup〗的操作者組中，在連接許可信息中指定了中繼伺服器4而非中繼伺服器3 (參照圖17)。因此，屬於操作者組ID為WorkGroup〗的操作者組的操作者(例如操作者ID為0p4的操作者)沒有被存儲在中繼伺服器3的操作者連接控制信息存儲部58中，而是被存儲在中繼伺服器4具有的操作者連接控制信息存儲部58中。這樣，各中繼伺服器3、4的操作者連接控制信息存儲部58存儲僅與屬於自身成為指定中繼伺服器的操作者組的操作者相關的操作者連接控制信息。因此，能夠以由中繼伺服器3、4分擔內容的形式獨立地存儲操作者連接控制信息，因而能夠防止各中繼伺服器3、4的存儲內容的龐大化，並且也能夠省略存儲內容的同步控制。
[0148]在「指定設備ID」的列中對應各個操作者的識別信息來指定指定設備的設備信息。根據圖19的示例，操作者ID為Opl的操作者能夠利用中繼伺服器3，操作者ID為0p2的操作者能夠利用客戶端終端47，操作者ID為0p3的操作者能夠利用中繼伺服器3和客戶端終端42。
[0149]在該連接許可信息中，在與操作者對應的指定設備是除中繼伺服器3以外的設備(例如客戶端終端47)的情況下，該操作者能夠利用在中繼伺服器3與該指定設備之間形成的路由會話。
[0150]在此，與前述的示例相同地考慮操作者2 (操作者ID為0p2的操作者)操作通信裝置22訪問中繼伺服器2、並使用該中繼伺服器2登錄中繼通信系統100的情況。參照管理側的中繼伺服器I的連接許可信息存儲部52存儲的連接許可信息(參照圖17)，對操作者ID為0p2的操作者所屬的操作者組指定了中繼伺服器3 (中繼伺服器3成為指定中繼伺服器)。因此，操作者2能夠利用在中繼伺服器2和中繼伺服器3之間形成的路由會話。
[0151]另外，參照作為指定中繼伺服器的中繼伺服器3的操作者連接控制信息存儲部58存儲的操作者連接控制信息(參照圖19)，操作者ID為0p2的操作者能夠與客戶端終端47連接。因此，操作者2能夠利用在中繼伺服器3和客戶端終端47之間形成的路由會話。
[0152]其結果是，操作者2能夠通過兩個路由會話將中繼伺服器2和客戶端終端47之間連接，並利用這些路由會話構建VPN。
[0153]這樣，在本實施方式的中繼通信系統100中，將管理側的中繼伺服器I存儲的連接許可信息和作為指定中繼伺服器的連接對象側的中繼伺服器3存儲的操作者連接控制信息相組合，來規定各個操作者能夠將連接對象側的設備中哪臺設備作為路由設備來構建VPN。
[0154]在此，在管理側的中繼伺服器I存儲的連接許可信息存儲部52中，被許可連接的中繼伺服器(指定中繼伺服器)與操作者組ID對應(而非連接側的中繼伺服器或客戶端終端的識別信息)。並且，在作為指定中繼伺服器的連接對象側的中繼伺服器3存儲的操作者連接控制信息存儲部58中，被許可連接的設備(指定設備)與操作者ID對應(而非連接側的中繼伺服器或客戶端終端的識別信息)。
[0155]因此，即使是在操作者2登錄時使用的設備不同的情況下，能夠連接的設備也是與上述相同的設備。例如，在假設操作者2操作通信裝置23訪問客戶端終端21、並使用該客戶端終端21登錄中繼通信系統100時，該操作者2能夠利用在該客戶端終端21和中繼伺服器3之間形成的路由會話、以及在中繼伺服器3和客戶端終端47之間形成的路由會話來構建VPN。
[0156]並且，構成VPN的路由設備與上述實施方式相同地通過地址濾波器信息的交換，各個路由設備將與自身對應的地址濾波器信息和與其它路由設備對應的地址濾波器信息進行合成。並且，在第2實施方式中，假設在中繼伺服器2和中繼伺服器3之間生成如圖18所示的包傳輸控制信息。
[0157]下面，說明操作者登錄中繼通信系統100並構建VPN時的具體流程。首先，參照圖20和圖21說明操作者I使用中繼伺服器2登錄系統的示例。圖20是表示操作者I進行登錄並啟動VPN的情況的網絡圖。圖21是表示操作者I進行登錄並啟動VPN的處理的流程圖。另外，圖21中的流程號碼21?30與上述實施方式相同，因而簡化記述。
[0158]如圖20所示，操作者I對通信裝置22進行適當的操作並訪問中繼伺服器2，進行將該中繼伺服器2作為使用設備的登錄請求。連接側的中繼伺服器2受理登錄請求(圖21的流程號碼21)，向管理側的中繼伺服器I發送登錄請求(流程號碼22)。管理側的中繼伺服器I在對操作者進行驗證並檢查多重登錄後，在應該許可登錄的情況下更新操作者信息(流程號碼23?25)。
[0159]並且，管理側的中繼伺服器I參照連接許可信息存儲部52存儲的連接許可信息，讀出被許可登錄的操作者2能夠連接的中繼伺服器的識別信息(流程號碼26)。在圖17所示的連接許可信息中，操作者I所屬的操作者組與中繼伺服器3對應。因此，管理側的中繼伺服器I將作為指定中繼伺服器的中繼伺服器3的識別信息與表示許可登錄的內容一起發送給中繼伺服器2 (流程號碼27)。
[0160]中繼伺服器2接收該通知，生成從中繼伺服器I接收到的指定中繼伺服器的一覽(即僅由中繼伺服器3構成的列表)，並與表示許可登錄的內容一起顯示於通信裝置22 (流程號碼28)。操作者被要求從該指定中繼伺服器的一覽中選擇期望連接的中繼伺服器。在該示例中能夠選擇的中繼伺服器只有一個，因而操作者I操作通信裝置22選擇中繼伺服器3作為想要連接的中繼伺服器。中繼伺服器2在受理了操作者I對中繼伺服器3的選擇後(流程號碼29)，將操作者I在進行登錄請求時直接操作的通信裝置22設為與自身對應的地址濾波器信息(流程號碼30)。
[0161]在該地址濾波器信息中記述有通信裝置22的地址、和與其對應的名稱即操作者I的名稱。然後，中繼伺服器2向被選擇的中繼伺服器3 (選擇中繼伺服器)發送操作者I的操作者ID和與自身對應的地址濾波器信息，同時發送VPN的啟動命令(流程號碼31)。
[0162]接收到該啟動命令的中繼伺服器3參照操作者連接控制信息存儲部58存儲的操作者連接控制信息，讀出與所接收到的操作者I的操作者ID對應的指定設備(流程號碼32)。根據圖19的操作者連接控制信息，與操作者I對應的指定設備是中繼伺服器3自身。因此，中繼伺服器3讀出與自身對應的地址濾波器信息(文件伺服器31的地址和名稱)(流程號碼33)。並且，中繼伺服器3將與自身對應的地址濾波器信息和通過流程號碼31而接收到的中繼伺服器2的地址濾波器信息進行合成，生成包傳輸控制信息並存儲在包傳輸控制信息存儲部54中(流程號碼34)。
[0163]其結果是，在中繼伺服器3的包傳輸控制信息存儲部54中存儲有如圖18所示由兩個地址濾波器信息構成的包傳輸控制信息。中繼伺服器3將表示受理了 VPN的啟動命令的內容、和與自身對應的地址濾波器信息一起發送給中繼伺服器2 (流程號碼35)。
[0164]中繼伺服器2在接收到來自中繼伺服器3的答覆後，將通過流程號碼30而生成的與自身對應的地址濾波器信息和從中繼伺服器3接收到的地址濾波器信息進行合成，生成包傳輸控制信息並存儲在包傳輸控制信息存儲部54中(流程號碼36)。由此，在中繼伺服器2的包傳輸控制信息存儲部54中也存儲有如圖18所示的由兩個地址濾波器信息構成的包傳輸控制信息。
[0165]按照以上所述，在中繼伺服器2和中繼伺服器3之間完成地址濾波器信息的交換。在進行地址濾波器信息的交換後，中繼伺服器2的包傳輸控制信息存儲部54和中繼伺服器3的包傳輸控制信息存儲部54都存儲圖18所示的內容。
[0166]然後，中繼伺服器2對中繼伺服器3進行用於建立路由會話的通信控制(流程號碼37)。由此，能夠在中繼伺服器2和中繼伺服器3之間建立路由會話，並在操作者I操作的通信裝置22和文件伺服器31之間進行基於VPN的通信。
[0167]下面，說明使用所建立的路由會話進行包的路由的處理。圖22是說明在通信裝置22向文件伺服器31發送包時的路徑的圖。圖23是說明在文件伺服器31向通信裝置22發送包時的路徑的圖。
[0168]首先，說明中繼伺服器2接收到圖22所示的第3包(packet03)時的處理。該第3包是由通信裝置22發送的包，文件伺服器31的IP位址(192.168.30.10)被指定為發送目的地地址。
[0169]中繼伺服器2接收到該第3包後，將在包傳輸控制信息存儲部54中存儲的包傳輸控制信息(圖18)與第3包的發送目的地地址進行比較。並且，查找能夠直接向在第3包中記述的發送目的地發送包的路由設備。如圖18所示，利用與中繼伺服器3對應的地址濾波器信息指定了第3包的發送目的地地址(192.168.30.10)。因此，中繼伺服器2許可第3包的傳輸，通過在中繼伺服器2和中繼伺服器3之間建立的路由會話向該中繼伺服器3發送第3包。
[0170]接收到該第3包的中繼伺服器3也與中繼伺服器2相同地，也將在包傳輸控制信息存儲部54中存儲的包傳輸控制信息(圖18)與第3包的發送目的地地址進行比較。其結果是，中繼伺服器3檢測出自身能夠直接向在第3包中記述的發送目的地(192.168.30.10)發送包。因此，中繼伺服器3許可第3包的傳輸，並向文件伺服器31發送該第3包。
[0171]下面，說明中繼伺服器3接收到圖23所示的第4包(packet04)時的處理。該第4包是由文件伺服器31發送的包，通信裝置22的IP位址(200.1.20.100)被指定為發送目的地地址。
[0172]中繼伺服器3在接收到該第4包後進行與上述相同的處理，檢測出根據與中繼伺服器2對應的地址濾波器信息指定了第4包的發送目的地地址(200.1.20.100)。因此，中繼伺服器3許可第4包的傳輸，並通過在中繼伺服器3和中繼伺服器2之間建立的路由會話向該中繼伺服器2發送第4包。[0173]接收到該第4包的中繼伺服器2也進行與上述相同的處理，檢測出根據與自身(中繼伺服器2)對應的地址濾波器信息指定了第4包的發送目的地地址(200.1.20.100)。因此，中繼伺服器2許可第4包的傳輸，並向通信裝置22發送該第4包。
[0174]下面，參照圖24?圖26說明操作者2使用中繼伺服器2登錄系統的示例。圖24是表示操作者2進行登錄並啟動VPN的情況的網絡圖。圖25和圖26是表示操作者2進行登錄並啟動VPN時的處理的流程圖。另外，圖25中的流程號碼41?50與上述實施方式相同，因而簡化記述。
[0175]如圖24所示，考慮在連接側的LAN 20中，操作者2對通信裝置22進行適當的操作並訪問中繼伺服器2，進行將該中繼伺服器2作為使用設備的登錄請求。連接側的中繼伺服器2受理登錄請求(圖25的流程號碼41)，向管理側的中繼伺服器I發送登錄請求(流程號碼42 )。管理側的中繼伺服器I在對操作者進行驗證並檢查多重登錄後，在應該許可登錄的情況下更新操作者信息(流程號碼43?45)。
[0176]並且，管理側的中繼伺服器I參照連接許可信息存儲部52存儲的連接許可信息，讀出被許可登錄的操作者2能夠連接的中繼伺服器的識別信息(流程號碼46)。在圖17所示的連接許可信息中，操作者2屬於兩個操作者組，一個操作者組與中繼伺服器3對應，另一個操作者組與中繼伺服器4對應。因此，管理側的中繼伺服器I將作為指定中繼伺服器的中繼伺服器3和中繼伺服器4的識別信息與表示許可登錄的內容一起發送給中繼伺服器2 (流程號碼47)。
[0177]中繼伺服器2接收該通知，生成從中繼伺服器I接收到的指定中繼伺服器的一覽(即由中繼伺服器3和中繼伺服器4構成的列表)，並與表示許可登錄的內容一起顯示於通信裝置22(流程號碼48)。與此相對，操作者2操作通信裝置22，從上述列表中選擇中繼伺服器3作為想要連接的中繼伺服器。中繼伺服器2在受理了操作者2對中繼伺服器3的選擇後(流程號碼49)，將操作者2進行登錄請求時直接操作的通信裝置22設為與自身對應的地址濾波器信息(流程號碼50)。
[0178]在通過流程號碼50而生成的地址濾波器信息中記述有表示通信裝置22的地址的地址、和與其對應的名稱即操作者2的名稱。然後，中繼伺服器2向被選擇的中繼伺服器3(選擇中繼伺服器)發送操作者2的操作者ID和與自身對應的地址濾波器信息，並發送VPN的啟動命令(流程號碼51)。
[0179]接收到該啟動命令的中繼伺服器3參照操作者連接控制信息存儲部58存儲的操作者連接控制信息，讀出與所接收到的操作者2的操作者ID對應的指定設備(流程號碼52)。根據圖19的操作者連接控制信息，與操作者2對應的指定設備是客戶端終端47。
[0180]因此，中繼伺服器3將通過流程號碼51而接收到的中繼伺服器2的地址濾波器信息存儲在包傳輸控制信息存儲部54中(流程號碼53)。然後，中繼伺服器3向作為指定設備的客戶端終端47發送從中繼伺服器2接收到的地址濾波器信息，並發送VPN的啟動命令(圖26的流程號碼54)。
[0181]接收到該啟動命令的客戶端終端47讀出與自身對應的地址濾波器信息(流程號碼55)。另外，在客戶端終端47存儲的地址濾波器信息(事前設定地址濾波器信息)中記述有文件伺服器46的名稱和地址。並且，客戶端終端47將自身的地址濾波器信息、和通過流程號碼54而接收到的中繼伺服器2的地址濾波器信息進行合成，生成包傳輸控制信息並存儲在包傳輸控制信息存儲部中(流程號碼56)。
[0182]其結果是，在客戶端終端47的包傳輸控制信息存儲部中存儲有如圖27所示的由兩個地址濾波器信息構成的包傳輸控制信息。然後，客戶端終端47將表示受理了 VPN的啟動命令的內容、和與自身對應的地址濾波器信息一起發送給中繼伺服器3 (流程號碼57)。
[0183]中繼伺服器3在接收到來自客戶端終端47的答覆後，將該客戶端終端47的地址濾波器信息存儲在包傳輸控制信息存儲部54中(流程號碼58)。另外，該處理及流程號碼53的處理的結果是，在中繼伺服器3的包傳輸控制信息存儲部54中也存儲有與客戶端終端47的包傳輸控制信息存儲部相同的內容(圖27所示的內容)。然後，中繼伺服器3將表示受理了 VPN的啟動命令的內容、和從客戶端終端47接收到的地址濾波器信息一起發送給中繼伺服器2 (流程號碼59)。
[0184]中繼伺服器2在接收到來自中繼伺服器3的答覆後，將通過流程號碼50而生成的與自身對應的地址濾波器信息和通過流程號碼59而接收到的客戶端終端47的地址濾波器信息進行合成，生成包傳輸控制信息並存儲在包傳輸控制信息存儲部54中(流程號碼60)。由此，在中繼伺服器2的包傳輸控制信息存儲部54中也存儲有與客戶端終端47的包傳輸控制信息存儲部相同的內容(圖27所示的內容)。
[0185]按照以上所述，經由中繼伺服器3在中繼伺服器2和客戶端終端47之間完成地址濾波器信息的交換。在進行地址濾波器信息的交換後，中繼伺服器2、中繼伺服器3及客戶端終端47的包傳輸控制信息存儲部都存儲圖27所示的內容。
[0186]然後，中繼伺服器2對中繼伺服器3進行用於建立路由會話的通信控制(流程號碼
61)。另外，中繼伺服器3對客戶端終端47進行用於建立路由會話的通信控制(流程號碼
62)。由此，能夠在中繼伺服器2和中繼伺服器3之間、以及中繼伺服器3和客戶端終端47之間分別建立路由會話，並在操作者2操作的通信裝置22和文件伺服器46之間進行基於VPN的通信。
[0187]另外，在圖26所示的流程號碼54的處理中也存在這種情況，即儘管中繼伺服器3向客戶端終端47發送了 VPN啟動命令，但是由於例如通信故障等原因而未能返回來自客戶端終端47的答覆。在這種情況下，中繼伺服器3將故障通知中繼伺服器2，中繼伺服器2使操作者2操作的通信裝置22顯示表示連接失敗的內容。由此，操作者2能夠適當掌握不能啟動VPN的異常。
[0188]下面，說明使用所建立的路由會話進行包的路由的處理。圖28是說明在通信裝置22向文件伺服器46發送包時的路徑的圖。圖29是說明在文件伺服器46向通信裝置22發送包時的路徑的圖。
[0189]首先，說明中繼伺服器2接收到圖28所示的第5包(packet05)時的處理。該第5包是由通信裝置22發送的包，文件伺服器46的IP位址(192.168.45.100)被指定為發送目的地地址。
[0190]中繼伺服器2接收到該第5包後，將在包傳輸控制信息存儲部54中存儲的包傳輸控制信息(圖27)與第5包的發送目的地地址進行比較。並且，查找能夠直接向在第5包中記述的發送目的地發送包的路由設備。如圖27所示，利用與客戶端終端47對應的地址濾波器信息指定了第5包的發送目的地地址(192.168.45.100)。因此，中繼伺服器2許可第5包的發送。雖然不存在直接將中繼伺服器2和客戶端終端47連接的路由會話，但是在中繼伺服器2側能夠掌握到客戶端終端47屬於中繼伺服器3，因而中繼伺服器2通過在中繼伺服器2和中繼伺服器3之間建立的路由會話向該中繼伺服器3發送第5包。
[0191]接收到該第5包的中繼伺服器3也與中繼伺服器2相同地，也將在包傳輸控制信息存儲部54中存儲的包傳輸控制信息(圖27)與第5包的發送目的地地址進行比較。其結果是，中繼伺服器3檢測出客戶端終端47能夠直接向在第5包中記述的發送目的地(192.168.45.100)發送包。因此，中繼伺服器3許可第5包的傳輸，並通過在中繼伺服器3和客戶端終端47之間建立的路由會話向該客戶端終端47發送第5包。
[0192]接收到該第5包的客戶端終端47也與中繼伺服器3相同地，也將在包傳輸控制信息存儲部54中存儲的包傳輸控制信息(圖27)與第5包的發送目的地地址進行比較。其結果是，客戶端終端47檢測到自身能夠直接向在第5包中記述的發送目的地(192.168.45.100)發送包。因此，客戶端終端47許可第5包的傳輸，並向文件伺服器46發送第5包。
[0193]下面，說明客戶端終端47接收到圖29所示的第6包(packet06)時的處理。該第6包是由文件伺服器46發送的包，通信裝置22的IP位址(200.1.20.100)被指定為發送目的地地址。
[0194]客戶端終端47在接收到該第6包後進行與上述相同的處理，檢測出根據與中繼伺服器2對應的地址濾波器信息指定了第6包的發送目的地地址(200.1.20.100)。因此，客戶端終端47許可第6包的傳輸。由於不存在直接將客戶端終端47和中繼伺服器2連接的路由會話，因而客戶端終端47通過在自身和自身所屬的中繼伺服器3之間建立的路由會話向中繼伺服器3發送第6包。
[0195]中繼伺服器3在接收到該第6包後進行與上述相同的處理，檢測出根據與中繼伺服器2對應的地址濾波器信息指定了第6包的發送目的地地址(200.1.20.100)。因此，中繼伺服器3許可第6包的傳輸，並通過在中繼伺服器3和中繼伺服器2之間建立的路由會話向該中繼伺服器2發送第6包。
[0196]接收到該第6包的中繼伺服器2也進行與上述相同的處理，檢測出根據與自身(中繼伺服器2)對應的地址濾波器信息指定了第6包的發送目的地地址(200.1.20.100)。因此，中繼伺服器2許可第6包的傳輸，並向通信裝置22發送該第6包。
[0197]另外，在圖20和圖24中說明了操作者1、2使用中繼伺服器2進行登錄的情況，但是操作者1、2也可以使用客戶端終端21取代中繼伺服器2來進行登錄。在這種情況下，由客戶端終端21替代執行在圖21、圖25、圖26的流程圖中由中繼伺服器2進行的處理。其結果是，在操作者I使用客戶端終端21進行登錄的情況下，參照圖22的示例，客戶端終端21發送的包經由中繼伺服器2和中繼伺服器3到達文件伺服器31。另外，在操作者2使用客戶端終端21進行登錄的情況下，參照圖28的示例，客戶端終端21發送的包經由中繼伺服器2、中繼伺服器3和客戶端終端47到達文件伺服器46。
[0198]另外，在操作者使用客戶端終端21進行登錄的情況下，關於該操作者的驗證進行如下所述的處理。即，在客戶端終端21受理了操作者的登錄請求時，向自身所屬的中繼伺服器2發送該登錄請求。在此，客戶端終端21所屬的中繼伺服器能夠從該客戶端終端21具有的所屬中繼伺服器信息存儲部的存儲內容中取得。並且，中繼伺服器2向管理自身的中繼伺服器I (在管理目的地信息存儲部53中存儲有識別信息的中繼伺服器I)傳輸登錄請求，在中繼伺服器I中進行與前述相同的操作者ID及密碼的驗證。[0199]如以上說明的那樣，本實施方式的中繼伺服器2具有存儲如下信息的單元(包傳輸控制信息存儲部54)，該信息包括:自身2能夠傳輸包的地址即第I地址濾波器信息、和作為其它連接對象設備的中繼伺服器3或者客戶端終端47能夠傳輸包的地址即第2地址濾波器信息。並且，中繼伺服器2具有以下單元:受理操作者的識別信息(例如Opl或者0p2)的單元，該操作者通過經由LAN20而連接的通信裝置22進行登錄操作；根據受理了登錄的操作者的識別信息，取得該操作者所屬的操作者組能夠連接的中繼伺服器的列表的單元；受理操作者從所取得的其它中繼伺服器的列表中對中繼伺服器的選擇的單元；以及與操作者選擇的中繼伺服器3建立路由會話的單元。中繼伺服器2將操作者進行了登錄操作的通信裝置22的地址存儲為第I地址濾波器信息，並向中繼伺服器3發送所述第I地址濾波器信息。並且，中繼伺服器2從被操作者選擇的中繼伺服器3接收與中繼伺服器3或者客戶端終端47對應的第2地址濾波器信息並進行存儲。中繼伺服器2在從路由會話接收到的包的發送目的地地址包含在所述第I地址濾波器信息中的情況下，向發送目的地發送包。中繼伺服器2在從通信裝置接收到的包的發送目的地地址包含在所述第2地址濾波器信息中的情況下，向所述路由會話發送包。
[0200]由此，操作者能夠利用在中繼伺服器2和被該操作者選擇的中繼伺服器3之間建立的路由會話，與其它設備(例如文件伺服器31)之間進行通信。並且，在上述的結構中，按照操作者所屬的每個操作者組來設定該操作者能夠選擇作為路由會話的對象的中繼伺服器3，並且在操作者從能夠選擇的中繼伺服器中實際選擇的選擇中繼伺服器3中指定該操作者能夠連接的設備。因此，即使是操作者登錄時使用的通信裝置22被變更時，如果進行登錄的操作者相同，就能夠與和以前相同的設備進行通信。並且，通過由中繼伺服器2自身進行基於操作者組等級的訪問控制的設定，並由選擇中繼伺服器3進行基於各個操作者組的訪問控制的設定，能夠容易且合理地實現複雜的訪問控制。
[0201]下面，說明第2實施方式的與中繼伺服器3、4的操作者連接控制信息存儲部58相關的變形例。圖30是表示操作者連接控制信息的變形例的圖。
[0202]在圖30中，在該變形例中示出了中繼伺服器3的操作者連接控制信息存儲部58存儲的操作者連接控制信息。在該變形例的操作者連接控制信息中，與上述的實施方式(圖19)的情況不同，以與操作者ID以及時間段的信息(計劃信息)對應的形式記述指定設備的識別信息。在該示例中，操作者2能夠整日利用中繼伺服器3與客戶端終端47的連接，而中繼伺服器3與客戶端終端42的連接則只能在上午O時到上午6時之間使用。
[0203]通過這樣構成操作者連接控制信息，能夠實現基於連接時間段的觀點的訪問控制。另外，計劃信息不限於時刻，當然也能夠使用例如日期(年月日)、星期幾等進行記述。
[0204]以上說明了本發明的優選的實施方式，但上述結構也能夠按照例如下面所述進行變更。
[0205]上述的操作者信息、操作者組信息、利用狀況信息等能夠以合適的格式(例如XML格式)進行存儲。
[0206]也可以取代上述實施方式的結構，而是構成為在網際網路上設置在各中繼伺服器之間的通信中使用的外部伺服器，並使其發揮作為SIP(Session Initiation Protocol,會話發起協議)伺服器的作用來進行通信。
[0207]標號說明[0208]1、2、3、4 中繼伺服器；11、21、42、47 客戶端終端；10、20、30、40、45 LAN ;50 存儲
部；51操作者信息存儲部；52連接許可信息存儲部；53管理目的地信息存儲部；54包傳輸控制信息存儲部；60控制部；100中繼通信系統。
【權利要求】
1.一種中繼伺服器，其特徵在於，該中繼伺服器具有以下單元: 存儲第I地址濾波器信息和第2地址濾波器信息的單元，該第I地址濾波器信息是本中繼伺服器能夠傳輸包的地址，該第2地址濾波器信息是表示其它中繼伺服器及客戶端終端的連接對象設備能夠傳輸包的地址； 受理操作者的識別信息的單元，該操作者通過經由LAN而連接的通信裝置進行登錄操作； 根據登錄被受理的操作者的識別信息，取得該操作者能夠連接的所述連接對象設備的列表的單元； 受理操作者從能夠連接的所述連接對象設備的列表中對所述連接對象設備的選擇的單元；以及 與操作者選擇的所述連接對象設備建立路由會話的單元， 所述中繼伺服器將操作者進行了登錄操作的所述通信裝置的地址存儲為第I地址濾波器信息，並向所述連接對象設備發送該通信裝置的地址， 所述中繼伺服器將從所述連接對象設備接收到的地址存儲為第2地址濾波器信息，所述中繼伺服器在所接收到的包的發送目的地被存儲為所述第I地址濾波器信息的情況下，向發送目的地發送包， 所述中繼伺服器在所接收到的包的發送目的地被存儲為所述第2地址濾波器信息的情況下，向所述路由會話發送包。
2.根據權利要求1所述的中繼伺服器，其特徵在於，取得所述連接對象設備的列表的單元，取得登錄被受理的操作者所屬的操作者組能夠連接的其它中繼伺服器的列表，作為所述連接對象設備的列表。
3.—種中繼伺服器，其特徵在於，該中繼伺服器具有包傳輸控制信息存儲部和控制部， 所述包傳輸控制信息存儲部能夠將表示能夠被本中繼伺服器指定為包的傳輸目的地的路由對象裝置的地址的地址濾波器信息與本中繼伺服器的識別信息相對應地進行存儲，並且，能夠將表示能夠被連接對象設備指定為包的傳輸目的地的路由對象裝置的地址的地址濾波器信息與該連接對象設備的識別信息相對應地進行存儲，所述連接對象設備表示能夠與本中繼伺服器連接的連接對象側的中繼伺服器及屬於該連接對象側的中繼伺服器的客戶端終端， 所述控制部具有: 連接對象設備取得控制部，根據連接許可信息取得進行了登錄請求的操作者能夠連接的所述連接對象設備，所述連接許可信息是本中繼伺服器或者本中繼伺服器能夠連接的其它中繼伺服器存儲的信息，而且是將能夠登錄到包括本中繼伺服器和所述連接對象設備而構成的中繼通信系統的操作者的識別信息、和該操作者能夠連接的所述連接對象設備的識別信息建立了對應的信息； VPN啟動控制部，針對從所取得的所述連接對象設備中選擇的所述連接對象設備進行虛擬專用網的啟動處理； 地址濾波器信息通信控制部，將操作者為了進行登錄請求而操作的通信裝置的地址，作為與本中繼伺服器的識別信息相對應的地址濾波器信息存儲在所述包傳輸控制信息存儲部中，並將該地址濾波器信息發送給所述連接對象設備，還將從所述連接對象設備接收到的地址濾波器信息作為與該連接對象設備的識別信息相對應的地址濾波器信息存儲在所述包傳輸控制信息存儲部中； 路由會話建立控制部，針對所選擇的所述連接對象設備建立路由會話；以及 路由控制部，進行如下控制:當在與本中繼伺服器的識別信息相對應的地址濾波器信息中指定了所接收到的包的發送目的地時，向該發送目的地發送包，當在與所述連接對象設備的識別信息相對應的地址濾波器信息中指定了所接收到的包的發送目的地時，通過在本中繼伺服器和該連接對象設備之間建立的路由會話向該連接對象設備發送包。
4.根據權利要求3所述的中繼伺服器，其特徵在於，所述中繼伺服器具有管理目的地信息存儲部，用於存儲對包括本中繼伺服器在內的中繼伺服器進行管理的管理側的中繼伺服器的識別信息， 所述連接許可信息由所述管理側的中繼伺服器進行存儲， 所述控制部在從操作者受理了登錄請求時，根據所述管理目的地信息存儲部的存儲內容來訪問所述管理側的中繼伺服器，由此取得進行了登錄請求的操作者能夠連接的所述連接對象設備。
5.根據權利要求3所述的中繼伺服器，其特徵在於，所述中繼伺服器具有存儲所述連接許可信息的連接許可信息存儲部， 所述控制部在從操作者受理了登錄請求時，根據在所述連接許可信息存儲部中存儲的所述連接許可信息，取得進行了登錄請求的操作者能夠連接的所述連接對象設備。
6.根據權利要求3所述的中繼伺服器，其特徵在於，所述連接許可信息是將包括一個或者多個操作者的操作者組的信息、和被指定為屬於該操作者組的操作者能夠連接的中繼伺服器的指定中繼伺服器建立了對應的信息， 所述路由會話建立控制部進行如下控制:使本中繼伺服器和所述指定中繼伺服器中被操作者選擇的中繼伺服器即選擇中繼伺服器之間建立路由會話，並且根據操作者連接控制信息使該選擇中繼伺服器和屬於該選擇中繼伺服器的客戶端終端中被指定為該操作者能夠連接的設備即指定設備之間建立路由會話，所述操作者連接控制信息是由該選擇中繼伺服器存儲的信息，而且是將屬於所述操作者組的操作者的識別信息、和所述指定設備的識別信息建立了對應的信息， 所述地址濾波器信息通信控制部與所述指定設備交換地址濾波器信息， 所述路由控制部進行如下控制:在由與所述指定設備的識別信息相對應的地址濾波器信息指定了接收到的包的發送目的地時，通過為了將本中繼伺服器和所述指定設備之間連接而構成的一個或者多個路由會話向該指定設備發送包。
7.根據權利要求6所述的中繼伺服器，其特徵在於，在所述選擇中繼伺服器不能與該指定設備進行通信的情況下，所述控制部根據該選擇中繼伺服器通知給本中繼伺服器的錯誤，使請求了登錄的操作者操作的通信裝置顯示連接失敗。
8.根據權利要求6所述的中繼伺服器，其特徵在於，在所述操作者連接控制信息中，將屬於所述操作者組的操作者的識別信息、所述指定設備的識別信息、和計劃信息相對應， 所述控制部啟動利用了一個或者多個路由會話的虛擬專用網，該一個或者多個路由會話是根據所述操作者連接控制信息將所述選擇中繼伺服器、和與請求了登錄的操作者及當前時間對應的所述指定設備之間連接而構成的。
9.一種中繼通信系統，該中繼通信系統具有中繼伺服器和屬於所述中繼伺服器的客戶端終端，其特徵在於， 所述中繼伺服器中作為連接側的中繼伺服器發揮作用的所述中繼伺服器具有包傳輸控制信息存儲部和控制部，所述包傳輸控制信息存儲部能夠將表示能夠被本中繼伺服器指定為包的傳輸目的地的路由對象裝置的地址的地址濾波器信息與本中繼伺服器的識別信息相對應地進行存儲，並且，能夠將表示能夠被連接對象設備指定為包的傳輸目的地的路由對象裝置的地址的地址濾波器信息與該連接對象設備的識別信息相對應地進行存儲，所述連接對象設備表示能夠與本中繼伺服器連接的連接對象側的中繼伺服器及屬於該連接對象側的中繼伺服器的客戶端終端， 所述控制部具有: 連接對象設備取得控制部，根據連接許可信息取得進行了登錄請求的操作者能夠連接的所述連接對象設備，所述連接許可信息是將操作者的識別信息、和操作者能夠連接的所述連接對象設備的識別信息建立了對應的信息； VPN啟動控制部，針對從所取得的所述連接對象設備中選擇的所述連接對象設備進行虛擬專用網的啟動處理； 地址濾波器信息通信控制部，將操作者為了進行登錄請求而操作的通信裝置的地址，作為與本中繼伺服器的識 別信息相對應的地址濾波器信息存儲在所述包傳輸控制信息存儲部中，並將該地址濾波器信息發送給所述連接對象設備，還將從所述連接對象設備接收到的地址濾波器信息作為與該連接對象設備的識別信息相對應的地址濾波器信息存儲在所述包傳輸控制信息存儲部中； 路由會話建立控制部，針對所選擇的所述連接對象設備建立路由會話；以及路由控制部，當在與本中繼伺服器的識別信息相對應的地址濾波器信息中指定了所接收到的包的發送目的地時，向該發送目的地發送包，當在與所述連接對象設備的識別信息相對應的地址濾波器信息中指定了所接收到的包的發送目的地時，通過在本中繼伺服器和該連接對象設備之間建立的路由會話向該連接對象設備發送包。
10.根據權利要求9所述的中繼通信系統，其特徵在於，所述連接許可信息是指將包括一個或者多個操作者的操作者組的信息、和被指定為屬於該操作者組的操作者能夠連接的中繼伺服器的指定中繼伺服器建立了對應的信息， 所述路由會話建立控制部進行如下控制:使本中繼伺服器和所述指定中繼伺服器中被操作者選擇的中繼伺服器即選擇中繼伺服器之間建立路由會話，並且根據操作者連接控制信息使該選擇中繼伺服器和屬於該選擇中繼伺服器的客戶端終端中被指定為該操作者能夠連接的設備即指定設備之間建立路由會話，所述操作者連接控制信息是由該選擇中繼伺服器存儲的信息，而且是將屬於所述操作者組的操作者的識別信息、和所述指定設備的識別信息建立了對應的信息， 所述地址濾波器信息通信控制部與所述指定設備交換地址濾波器信息， 所述路由控制部進行如下控制:在由與所述指定設備的識別信息相對應的地址濾波器信息指定了接收到的包的發送目的地時，通過將本中繼伺服器和所述指定設備之間連接而構成的一個或者多個路由會話向該指定設備發送包。
【文檔編號】H04L12/46GK103503384SQ201280019441
【公開日】2014年1月8日 申請日期:2012年4月2日 優先權日:2011年4月21日
【發明者】谷本好史 申請人:村田機械株式會社