[go: up one dir, main page]

JP2013038684A - Vpn connection management system - Google Patents

Vpn connection management system Download PDF

Info

Publication number
JP2013038684A
JP2013038684A JP2011174830A JP2011174830A JP2013038684A JP 2013038684 A JP2013038684 A JP 2013038684A JP 2011174830 A JP2011174830 A JP 2011174830A JP 2011174830 A JP2011174830 A JP 2011174830A JP 2013038684 A JP2013038684 A JP 2013038684A
Authority
JP
Japan
Prior art keywords
server
vpn
vpn connection
terminal device
communication path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011174830A
Other languages
Japanese (ja)
Inventor
Shinnosuke Nakaya
伸乃助 仲谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
REFINER Inc
Original Assignee
REFINER Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by REFINER Inc filed Critical REFINER Inc
Priority to JP2011174830A priority Critical patent/JP2013038684A/en
Publication of JP2013038684A publication Critical patent/JP2013038684A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a VPN (Virtual Private Network) connection service suitable for real-time multimedia communication using an inexpensive Internet line.SOLUTION: A user agent 22 is included in a terminal device which is connected directly to a network 14. A server device 12 forms a center VPN connection communication path 32 between the server device 12 and the terminal device including the user agent 22 and maintains it continuously. The terminal device including the user agent 22 transmits/receives information required for starting communication with P2P (Peer to Peer) connection through the center VPN connection communication path 32. Thereby, a P2P-VPN connection communication path 34 is formed between the terminal devices. Not only the terminal device including the user agent 22 but the terminal devices under control of router 16 (1), 16 (2) use the P2P-VPN connection communication path.

Description

本発明は、安価なインターネット回線を利用して、任意の端末装置群に対して簡便なVPN接続サービスを提供するVPN接続管理システムに関する。   The present invention relates to a VPN connection management system that provides a simple VPN connection service to an arbitrary terminal group using an inexpensive Internet line.

電話回線を使用するデータ通信はセキュリティが高い利点を有する反面、帯域が狭くて伝送遅延が生じるという問題がある。広帯域の専用線を使用すれば帯域を確保できる反面、通信コストが高くなるという問題がある。これに対して、廉価なインターネット通信回線を使用して、セキュリティの高いVPN(Virtual Private Network)接続による広帯域通信を実現するシステムが開発されている(特許文献1)(特許文献2)(特許文献3)。   Although data communication using a telephone line has an advantage of high security, there is a problem that a transmission delay occurs due to a narrow band. If a broadband dedicated line is used, the bandwidth can be secured, but there is a problem that the communication cost increases. On the other hand, a system has been developed that realizes broadband communication by VPN (Virtual Private Network) connection with high security using an inexpensive Internet communication line (Patent Document 1) (Patent Document 2) (Patent Document 2) 3).

特開2006−203575号公報JP 2006-203575 A 特開2005−260715号公報JP 2005-260715 A 特開2005−229436号公報JP 2005-229436 A

既知の従来の技術には、次のような解決すべき課題があった。
上記の文献に記載の技術によれば、インターネット通信回線を使用し、セキュリティの高いVPN接続を利用して、端末装置間のP2P(Peer to Peer)接続を実現できる。しかしながら、家電製品や防犯装置等、ネット対応機器が普及し、近年のスマートフォン等の普及もあいまって、多種多様な端末装置が出現している。これらの端末装置全てについて、セキュリティの高いVPN接続の要求が高まることが予想される。この場合に、複雑な手順を必要とするVPN接続設定が普及の障壁となり得る。本発明は、以上の課題を解決するためになされたものである。
上記の課題を解決するために、本発明は次のようなVPN接続管理システムを提供することを目的とする。
(1)安価なインターネット回線を利用して、リアルタイムマルチメディア通信に適したVPN(Virtual Private Network)接続サービスを提供する。
(2)端末装置間のVPN通信をP2P(Peer to Peer)接続により実現して、通信を制御するサーバ装置等の負荷を軽減する。
(3)VPN接続のための設定を自動化して、様々な端末装置の利用を簡便にする。
(4)自由に拡張できる任意の端末装置群に対してVPN接続サービスを提供し管理する。
(5)任意の端末装置の現在の状態及び、全てのVPNに関わる設定の一括管理を実現する。 The known prior art has the following problems to be solved.
According to the technique described in the above document, P2P (Peer to Peer) connection between terminal devices can be realized using an Internet communication line and using a highly secure VPN connection. However, a wide variety of terminal devices have appeared due to the spread of internet-compatible devices such as home appliances and crime prevention devices, and the recent spread of smartphones and the like. It is expected that the demand for highly secure VPN connection will increase for all of these terminal devices. In this case, a VPN connection setting that requires a complicated procedure can be a barrier to popularization. The present invention has been made to solve the above problems.
In order to solve the above problems, an object of the present invention is to provide the following VPN connection management system.
(1) To provide a VPN (Virtual Private Network) connection service suitable for real-time multimedia communication using an inexpensive Internet line.
(2) VPN communication between terminal devices is realized by P2P (Peer to Peer) connection, and the load on the server device that controls communication is reduced.
(3) Automate the settings for VPN connection to simplify the use of various terminal devices.
(4) Provide and manage a VPN connection service for any terminal group that can be freely expanded.
(5) Realize the collective management of the current state of any terminal device and settings related to all VPNs.

以下の構成はそれぞれ上記の課題を解決するための手段である。
〈構成1〉
サーバ装置と、このサーバ装置にネットワークを介して接続された端末装置群により構成され、前記各端末装置には、前記サーバ装置と連携して動作するユーザエージェントが組み込まれており、前記サーバ装置は、VPNサーバとSIP(Session Initiation Protocol)サーバとSTUN(Session Traversal Utility for NAT)サーバと運用管理サーバとを含み、前記VPNサーバは、前記端末装置との間に、システムの運用中は継続的に維持されるセンターVPN接続通信路を形成する機能を持ち、前記SIPサーバは、前記センターVPN接続通信路を利用して前記端末装置と通信を行い、かつ、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成するために必要な情報の交換をする通信の制御を行い、前記STUNサーバは、前記P2P-VPN接続通信路を形成するために必要な、通信要求元と通信相手先のグローバルIPアドレスとポート番号とを取得して該当する端末装置に通知する機能を持ち、前記運用管理サーバは、前記端末装置へ組み込むユーザエージェントが動作中に参照する参照データを生成し、前記管理下の全ての端末装置を区別するためのユーザIDと仮想IPアドレスを払い出して、同時に、前記端末装置のユーザIDと仮想IPアドレスと証明書とを含むグループ管理データベースを記憶装置に記憶し、前記VPNサーバとSTUNサーバとは、いずれかの端末装置と通信を行う場合に、前記グループ管理データベースを参照して前記端末装置の認証を行い、前記ユーザエージェントは、前記参照データを参照して、前記VPNサーバと通信をして前記センターVPN接続通信路を形成し、他の端末装置と前記サーバ装置を経由しないVPN接続を利用したP2P(Peer to Peer)通信を要求する場合に、前記サーバ装置のSTUNサーバと通信をして、前記P2P-VPN接続通信路を形成するために必要な、グローバルIPアドレスとポート番号とを取得し、前記SIPサーバと通信をして、前記センターVPN接続通信路を利用して、前記STUNサーバから取得した前記グローバルIPアドレスとポート番号とを、相手方の端末装置に通知して、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成することを特徴とするVPN接続管理システム。 The following configurations are means for solving the above-described problems.
<Configuration 1>
A server device and a terminal device group connected to the server device via a network, each terminal device includes a user agent that operates in cooperation with the server device. A VPN server, a SIP (Session Initiation Protocol) server, a STUN (Session Traversal Utility for NAT) server, and an operation management server. The VPN server is continuously connected to the terminal device during system operation. A function to form a maintained center VPN connection communication path, the SIP server communicates with the terminal device using the center VPN connection communication path, and the server device among the plurality of terminal devices; The PUNP (Peer to Peer) -VPN connection communication path that does not pass through the communication is controlled to exchange information necessary to form a VPN connection communication path. The STUN server forms the P2P-VPN connection communication path To obtain the global IP address and port number of the communication request source and the communication partner and notify the corresponding terminal device, and the operation management server includes a user agent incorporated in the terminal device. Generate reference data to be referred to during operation, issue a user ID and virtual IP address for distinguishing all the terminal devices under management, and at the same time, user ID, virtual IP address and certificate of the terminal device A group management database including a storage device, and when the VPN server and the STUN server communicate with any of the terminal devices, the terminal device is authenticated with reference to the group management database, The user agent refers to the reference data, communicates with the VPN server to form the center VPN connection communication path, and other terminal devices and the When requesting P2P (Peer to Peer) communication using a VPN connection that does not pass through a server device, communication with the STUN server of the server device is necessary to form the P2P-VPN connection communication path. , Obtain a global IP address and port number, communicate with the SIP server, use the center VPN connection communication path, and obtain the global IP address and port number obtained from the STUN server A VPN connection management system that notifies a terminal device and forms a P2P (Peer to Peer) -VPN connection communication path that does not pass through the server device between the plurality of terminal devices.

〈構成2〉
ネットワークを介して接続された端末装置群にVPN接続サービスを提供するためのサーバ装置であって、VPNサーバとSIP(Session Initiation Protocol)サーバとSTUN(Session Traversal Utility for NAT)サーバと運用管理サーバとを含み、前記VPNサーバは、前記端末装置との間に、システムの運用中は継続的に維持されるセンターVPN接続通信路を形成する機能を持ち、前記SIPサーバは、前記センターVPN接続通信路を利用して前記端末装置と通信を行い、かつ、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成するために必要な情報の交換をする通信の制御を行い、前記STUNサーバは、前記P2P-VPN接続通信路を形成するために必要な、通信要求元と通信相手先のグローバルIPアドレスとポート番号とを取得して該当する端末装置に通知する機能を持ち、前記運用管理サーバは、前記端末装置へ組み込むユーザエージェントが動作中に参照する参照データを生成し、前記管理下の全ての端末装置を区別するためのユーザIDと仮想IPアドレスを払い出して、同時に、前記端末装置のユーザIDと仮想IPアドレスと証明書とを含むグループ管理データベースを記憶装置に記憶し、前記VPNサーバとSTUNサーバとは、いずれかの端末装置と通信を行う場合に、前記グループ管理データベースを参照して前記端末装置の認証を行い、前記ユーザエージェントは、前記参照データを参照して、前記VPNサーバと通信をして前記センターVPN接続通信路を形成し、他の端末装置と前記サーバ装置を経由しないVPN接続を利用したP2P(Peer to Peer)通信を要求する場合に、前記サーバ装置のSTUNサーバと通信をして、前記P2P-VPN接続通信路を形成するために必要な、グローバルIPアドレスとポート番号とを取得し、前記SIPサーバと通信をして、前記センターVPN接続通信路を利用して、前記STUNサーバから取得した前記グローバルIPアドレスとポート番号とを、相手方の端末装置に通知して、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成するものであることを特徴とするサーバ装置。 <Configuration 2>
A server device for providing a VPN connection service to a group of terminal devices connected via a network, comprising a VPN server, a SIP (Session Initiation Protocol) server, a STUN (Session Traversal Utility for NAT) server, and an operation management server The VPN server has a function of forming a center VPN connection communication path that is continuously maintained during operation of the system with the terminal device, and the SIP server is configured such that the center VPN connection communication path Is used to communicate with the terminal device, and exchange information necessary to form a P2P (Peer to Peer) -VPN connection communication path that does not pass through the server device between the plurality of terminal devices. The communication control is performed, and the STUN server obtains a global IP address and a port number of a communication request source and a communication partner required to form the P2P-VPN connection communication path, and the corresponding terminal device The operation management server generates a reference data to be referred to during operation by the user agent incorporated in the terminal device and distinguishes all the managed terminal devices and virtual IP addresses. At the same time, a group management database including the user ID, virtual IP address, and certificate of the terminal device is stored in a storage device, and the VPN server and the STUN server communicate with any one of the terminal devices. In this case, the terminal device is authenticated by referring to the group management database, the user agent refers to the reference data, communicates with the VPN server to form the center VPN connection communication path, When requesting P2P (Peer to Peer) communication using a VPN connection that does not go through the server device with another terminal device, it communicates with the STUN server of the server device. To obtain the global IP address and port number necessary to form the P2P-VPN connection communication path, communicate with the SIP server, and use the center VPN connection communication path, The global IP address and port number acquired from the STUN server are notified to the other terminal device, and a P2P (Peer to Peer) -VPN connection communication path that does not pass through the server device is connected between the plurality of terminal devices. A server device characterized by being formed.

〈構成3〉
ネットワークを介して接続されたサーバ装置により、VPN接続サービスを受けるために、端末装置に組み込まれるものであって、前記参照データを参照して、前記VPNサーバと通信をして前記センターVPN接続通信路を形成し、他の端末装置と前記サーバ装置を経由しないVPN接続を利用したP2P(Peer to Peer)通信を要求する場合に、前記サーバ装置のSTUNサーバと通信をして、前記P2P-VPN接続通信路を形成するために必要な、グローバルIPアドレスとポート番号とを取得し、前記SIPサーバと通信をして、前記センターVPN接続通信路を利用して、前記STUNサーバから取得した前記グローバルIPアドレスとポート番号とを、相手方の端末装置に通知して、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成するものであることを特徴とするユーザエージェント。 <Configuration 3>
A server device connected via a network is incorporated in a terminal device to receive a VPN connection service, refers to the reference data, communicates with the VPN server, and communicates with the center VPN connection communication. When a P2P (Peer to Peer) communication using a VPN connection that does not pass through the server device is formed with another terminal device, the P2P-VPN communicates with the STUN server of the server device and requests the P2P-VPN The global IP address and port number necessary for forming the connection communication path are acquired, communicated with the SIP server, and the global VPN acquired from the STUN server using the center VPN connection communication path. The IP address and port number are notified to the other terminal device, and a P2P (Peer to Peer) -VPN connection communication path that does not pass through the server device is formed between the plurality of terminal devices. User agent, wherein the door.

〈構成4〉
請求項1に記載のVPN接続管理システムにおいて、前記ユーザエージェントを組み込んだ端末装置はルータであって、前記運用管理サーバから払い出された仮想IPアドレスを配下のユーザエージェントを組み込まない端末装置に払い出し、いずれの端末装置も、前記仮想IPアドレスを使用して、前記ユーザエージェントを組み込んだ端末装置の間に形成されたP2P-VPN接続通信路を使用して、VPN通信を行うことを特徴とするVPN接続管理システム。 <Configuration 4>
2. The VPN connection management system according to claim 1, wherein the terminal device incorporating the user agent is a router, and the virtual IP address issued from the operation management server is issued to a terminal device not incorporating a subordinate user agent. Any of the terminal devices uses the virtual IP address to perform VPN communication using a P2P-VPN connection communication path formed between the terminal devices incorporating the user agent. VPN connection management system.

〈構成5〉
サーバ装置のコンピュータを、構成2に記載のVPNサーバとSIPサーバとSTUNサーバと運用管理サーバとして機能させるコンピュータプログラム。 <Configuration 5>
A computer program that causes a computer of a server device to function as the VPN server, SIP server, STUN server, and operation management server described in Configuration 2.

〈構成6〉
サーバ装置のコンピュータを、構成2に記載のVPNサーバとSIPサーバとSTUNサーバと運用管理サーバとして機能させるコンピュータプログラムを記録したコンピュータで読み取り可能な記録媒体。 <Configuration 6>
A computer-readable recording medium recording a computer program that causes a computer of a server device to function as the VPN server, SIP server, STUN server, and operation management server described in Configuration 2.

〈構成7〉
端末装置のコンピュータを、構成3に記載のユーザエージェントして機能させるコンピュータプログラム。 <Configuration 7>
A computer program for causing a computer of a terminal device to function as a user agent described in Configuration 3.

〈構成8〉
端末装置のコンピュータを、構成3に記載のユーザエージェントして機能させるコンピュータプログラムを記録したコンピュータで読み取り可能な記録媒体。 <Configuration 8>
A computer-readable recording medium storing a computer program that causes a computer of a terminal device to function as a user agent according to Configuration 3.

(1)端末装置にユーザエージェントを組み込むと、ユーザエージェントが自動的サーバ装置との間にセンターVPN接続通信路の設定を実行する。さらに、センターVPN接続通信路を経由してサーバ装置から必要なデータを取得し、端末装置間に自動的に、P2P-VPN接続通信路を形成する。端末装置やユーザは、VPN接続を意識した制御や操作を必要としない。端末装置は、ルータであってもよい。ルータの配下の端末装置も、簡単にVPN接続サービスの提供を受けることができる。
(2)各端末装置は、相互にP2P接続により直接VPN通信ができるため、サーバ装置を中継する通信方式よりも信号の伝送遅延が生じ難い。従って、音声や画像データのリアルタイム通信に適する。
(3)サーバ装置は端末装置間のP2P-VPN接続の開始を制御し、その後の端末装置間の通信にはP2P-VPN接続通信路を使用するので、サーバ装置の負担が軽い。
(3)サーバ装置は、複数のグループを別個に管理することができる。
(4)VPN接続通信路の設定をユーザエージェントが代行するため、例えば、端末装置が接続されているローカルエリアネットワーク内での既存の通信に全く影響を及ぼさない。端末装置のアプリケーションは、VPN接続をする場合と、それ以外の場合の切り替え操作が不要である。
(5)P2PのVPN通信を行う端末装置双方がそれぞれNAT(Network Address translator)装置の配下に設置されている場合でも、ユーザエージェントが自動的にNAT越えの制御を行うため、NAT装置への設定を行う必要がなく、利用者に負担が掛からない。 (1) When a user agent is incorporated into a terminal device, the user agent automatically sets a center VPN connection communication path with the server device. Further, necessary data is acquired from the server device via the center VPN connection communication path, and a P2P-VPN connection communication path is automatically formed between the terminal devices. Terminal devices and users do not need control and operation with awareness of VPN connection. The terminal device may be a router. Terminal devices under the router can easily receive a VPN connection service.
(2) Since each terminal device can directly perform VPN communication through P2P connection, signal transmission delay is less likely to occur than in a communication method that relays server devices. Therefore, it is suitable for real-time communication of voice and image data.
(3) Since the server device controls the start of the P2P-VPN connection between the terminal devices and uses the P2P-VPN connection communication path for the subsequent communication between the terminal devices, the load on the server device is light.
(3) The server device can manage a plurality of groups separately.
(4) Since the user agent performs the setting of the VPN connection communication path, for example, it does not affect the existing communication in the local area network to which the terminal device is connected. The terminal device application does not need to be switched between a VPN connection and other cases.
(5) Even if both terminal devices that perform P2P VPN communication are installed under the NAT (Network Address translator) device, the user agent automatically controls NAT traversal. There is no need to perform the service and the user is not burdened.

本発明のVPN接続管理システムの概略説明図である。It is a schematic explanatory drawing of the VPN connection management system of this invention. サーバ装置による端末装置の初期設定のための機能ブロック図である。It is a functional block diagram for the initial setting of the terminal device by a server apparatus. VPN接続通信路の説明図である。It is explanatory drawing of a VPN connection communication path. サーバ装置と端末装置の内部機能ブロック図である。It is an internal function block diagram of a server apparatus and a terminal device. 端末装置の初期設定動作を示すシーケンスチャートである。It is a sequence chart which shows the initial setting operation | movement of a terminal device. 既に運用中のシステムの設定を変更する場合の動作シーケンスチャートである。It is an operation | movement sequence chart in the case of changing the setting of the system already in operation. ルータの初期設定動作のシーケンスチャートである。It is a sequence chart of the initial setting operation of the router. 各端末装置のセンターVPN接続通信路32設定動作のシーケンスチャートである。It is a sequence chart of the center VPN connection communication path 32 setting operation | movement of each terminal device. P2P-VPN接続動作シーケンスチャートである。It is a P2P-VPN connection operation sequence chart. P2P-VPN接続通信路34の管理動作シーケンスチャートである。4 is a management operation sequence chart of a P2P-VPN connection communication path 34.

以下、本発明の実施の形態を実施例毎に詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail for each example.

図1は、本発明のVPN接続管理システムの概略説明図である。
このVPN接続管理システム10は、図1(a)に示すように、サーバ装置12と、VPN接続サービスを受ける端末装置群により構成される。端末装置群は、例えば、図のように、サーバ装置12とネットワーク14を介して接続されたPC(パーソナルコンピュータ)20(1)、やスマートフォン18やルータ16(1)、16(2)等である。ネットワーク14はインターネット等の広域ネットワークである。ルータ16(1)、16(2)の配下には、破線の楕円で示したローカルネットワークが接続されている。ルータ16(1)の配下にあるパーソナルコンピュータ20(2)も、VPN接続サービスを受ける端末装置に含まれる。 FIG. 1 is a schematic explanatory diagram of a VPN connection management system of the present invention.
As shown in FIG. 1A, the VPN connection management system 10 includes a server device 12 and a terminal device group that receives a VPN connection service. The terminal device group includes, for example, a PC (personal computer) 20 (1), a smartphone 18, a router 16 (1), 16 (2) and the like connected to the server device 12 via the network 14 as shown in the figure. is there. The network 14 is a wide area network such as the Internet. Under the routers 16 (1) and 16 (2), a local network indicated by a dashed ellipse is connected. The personal computer 20 (2) under the router 16 (1) is also included in the terminal device that receives the VPN connection service.

端末装置群は、複数のグループに分かれていてよく、それぞれ、後で説明する仮想IPアドレスにより区別された別個独立したネットワーク(閉域網)を構成することができる。ネットワーク14に直接接続された端末装置には、ユーザエージェント22が組み込まれる。サーバ装置12は、ユーザエージェント22を組み込んだ端末装置を、グループ管理データベース36に登録する。   The terminal device group may be divided into a plurality of groups, and each can constitute a separate and independent network (closed network) distinguished by a virtual IP address described later. A user agent 22 is incorporated in a terminal device directly connected to the network 14. The server device 12 registers the terminal device incorporating the user agent 22 in the group management database 36.

図1(b)に示すように、サーバ装置12は、ユーザエージェント22を組み込んだ端末装置との間に、センターVPN接続通信路32を形成して、継続的に維持する。ユーザエージェント22を組み込んだ端末装置は、このセンターVPN接続通信路32を通じて、P2P(Peer to Peer)接続による通信を開始するために必要な情報を送受信する。これにより、端末装置間に、P2P-VPN接続通信路34が形成される。ユーザエージェント22を組み込んだ端末装置のみならず、ルータ16(1)、16(2)の配下の端末装置も、そのP2P-VPN接続通信路を利用して、安全にP2P(Peer to Peer)接続による通信を行うことができる。   As shown in FIG. 1B, the server device 12 forms a center VPN connection communication path 32 with a terminal device incorporating the user agent 22 and continuously maintains it. The terminal device incorporating the user agent 22 transmits and receives information necessary for starting communication by P2P (Peer to Peer) connection through the center VPN connection communication path 32. Thereby, the P2P-VPN connection communication path 34 is formed between the terminal devices. Not only terminal devices incorporating the user agent 22, but also terminal devices under the routers 16 (1) and 16 (2) use the P2P-VPN connection communication path to securely connect P2P (Peer to Peer). Communication can be performed.

(ユーザエージェント)
NAT越えのP2P-VPN通信を実現する技術は知られている。しかしながら、VPN接続通信路の設定やアドレス管理には複雑な処理が必要になる。これはユーザに大きな負担になる。本発明のシステムでは、ユーザエージェント22に、一定の自動制御をさせることで、ユーザの負担を軽減するとともに、拡張性の高いシステムを実現している。 (User agent)
A technology for realizing P2P-VPN communication over NAT is known. However, complicated processing is required for VPN connection channel setting and address management. This places a heavy burden on the user. In the system of the present invention, by causing the user agent 22 to perform certain automatic control, the burden on the user is reduced and a highly scalable system is realized.

インターネット等の不特定人に共用されるネットワーク14を介して直接サーバ装置12と接続される端末装置には、ユーザエージェント22が組み込まれる。ユーザエージェント22は、端末装置のコンピュータに所定の機能を付与するコンピュータプログラムにより動作し、端末装置の機能モジュールとして動作する。   A user agent 22 is incorporated in a terminal device directly connected to the server device 12 via the network 14 shared by unspecified persons such as the Internet. The user agent 22 is operated by a computer program that gives a predetermined function to the computer of the terminal device, and operates as a functional module of the terminal device.

ユーザエージェント22は、サーバ装置12と連携して動作する。ユーザエージェント22は、端末装置をサーバ装置12の管理下におくための初期登録処理を自動的に実行する機能を持つ。このとき、サーバ装置は、端末装置に対して、固有の仮想IPアドレスを払い出す。ユーザエージェント22は、端末装置とサーバ装置12との間にセンターVPN接続通信路32(実線の矢印)を形成するための設定を自動的に実行する機能を持つ。   The user agent 22 operates in cooperation with the server device 12. The user agent 22 has a function of automatically executing an initial registration process for placing the terminal device under the management of the server device 12. At this time, the server device issues a unique virtual IP address to the terminal device. The user agent 22 has a function of automatically executing settings for forming a center VPN connection communication path 32 (solid arrow) between the terminal device and the server device 12.

さらに、ユーザエージェント22は、他の端末装置との間にP2P-VPN接続通信路34(破線の矢印)を形成して、P2P接続による通信の開始のための処理を自動的に実行する機能を持つ。また、端末装置がルータの場合には、別の端末装置を配下に持つ。このとき、ユーザエージェント22は、サーバ装置12から払い出されたサブネット用の仮想IPアドレスを、配下の端末装置に払い出す機能を持つ。   Further, the user agent 22 forms a P2P-VPN connection communication path 34 (broken arrow) with another terminal device, and automatically executes a process for starting communication by P2P connection. Have. Further, when the terminal device is a router, it has another terminal device under its control. At this time, the user agent 22 has a function of paying out the virtual IP address for the subnet issued from the server device 12 to the subordinate terminal device.

(サーバ装置)
上記のような制御をするために、サーバ装置12は、図1(a)に示すように、VPNサーバ24、SIPサーバ26、STUNサーバ28、運用管理サーバ30の機能を備える。いずれも、サーバ装置12のコンピュータに所定の機能を付与するコンピュータプログラムにより動作し、サーバ装置12の機能モジュールとして動作する。 (Server device)
In order to perform the control as described above, the server device 12 includes functions of a VPN server 24, a SIP server 26, a STUN server 28, and an operation management server 30, as shown in FIG. Each of them operates by a computer program that gives a predetermined function to the computer of the server device 12, and operates as a functional module of the server device 12.

図2は、サーバ装置による端末装置の初期設定のための機能ブロック図である。
サーバ装置12の記憶装置には、端末装置40にダウンロードするためのユーザエージェントプログラム21が記憶されている。ユーザエージェントプログラム21は、端末装置40のブラウザを使用して、端末装置にダウンロードされる。この図では、ユーザエージェントプログラム21を起動して実現した機能ブロックを、ユーザエージェント22と表示した。サーバ装置12の記憶装置には、端末装置40を登録して管理するためにグループ管理データベース36が記憶されている。 FIG. 2 is a functional block diagram for initial setting of the terminal device by the server device.
A user agent program 21 for downloading to the terminal device 40 is stored in the storage device of the server device 12. The user agent program 21 is downloaded to the terminal device using the browser of the terminal device 40. In this figure, a function block realized by starting the user agent program 21 is displayed as a user agent 22. The storage device of the server device 12 stores a group management database 36 for registering and managing the terminal device 40.

グループ管理データベース36は、運用管理サーバ30が生成し、必要に応じて更新して管理する。運用管理サーバ30は、ユーザエージェント22に対して、各端末装置を区別するユーザID44(識別情報)とPW46と仮想IPアドレス48と認証データ50を設定する。さらに、ユーザエージェント22の自動処理に必要な参照データ51を生成して、これらのデータをユーザエージェントプログラム21の付属データとして、記憶装置に記憶させる。   The group management database 36 is generated by the operation management server 30, and is updated and managed as necessary. The operation management server 30 sets a user ID 44 (identification information), a PW 46, a virtual IP address 48, and authentication data 50 that distinguish each terminal device for the user agent 22. Further, reference data 51 necessary for automatic processing of the user agent 22 is generated, and these data are stored in the storage device as attached data of the user agent program 21.

ユーザエージェント22は、初期設定の際に、端末装置の記憶装置に、運用管理サーバ30からダウンロードしたユーザID44とPW46と仮想IPアドレス48と認証データ50と参照データ51を記憶させる。運用管理サーバ30は、ユーザエージェント22による初期設定の際に、ユーザエージェント22のグローバルIPアドレス42とポート番号52を取得してグループ管理データベース36に追加する。なお、上記の例では、運用管理サーバがユーザIDを決定した。しかし、ユーザエージェントを使用して、ユーザが自分で選んだユーザIDやPWを入力するようにしても構わない。いずれの場合でも、運用管理データベースには、仮想IPアドレスに対応させて、ユーザIDとPWとが記憶される。   The user agent 22 stores the user ID 44, PW 46, virtual IP address 48, authentication data 50, and reference data 51 downloaded from the operation management server 30 in the storage device of the terminal device at the time of initial setting. The operation management server 30 acquires the global IP address 42 and port number 52 of the user agent 22 and adds them to the group management database 36 at the time of initial setting by the user agent 22. In the above example, the operation management server determines the user ID. However, a user agent may be used to input a user ID or PW selected by the user. In any case, the user ID and the PW are stored in the operation management database in association with the virtual IP address.

(仮想IPアドレス)
仮想IPアドレス48は、サーバ装置12がVPN接続サービスを提供する端末装置群全体について、各端末装置を識別することができるユニークなアドレスである。仮想IPアドレス48は、インターネット上のグローバルIPアドレス42や、既存のローカルネットワークで使用されているIPアドレスとは別のネットワーク空間(閉域網)を構成するために使用する。 (Virtual IP address)
The virtual IP address 48 is a unique address that can identify each terminal device for the entire terminal device group for which the server device 12 provides the VPN connection service. The virtual IP address 48 is used to configure a network space (closed network) different from the global IP address 42 on the Internet and the IP address used in the existing local network.

VPN接続サービスを利用する端末装置のユーザアプリケーションは、仮想IPアドレス48だけを意識して通信を行うことができる。即ち、ユーザエージェントが、相手方のユーザエージェントとの間に、仮想IPアドレス48を使用してVPN接続サービスを利用できる通信路を形成する。ユーザアプリケーションが、仮想IPアドレス48を送信先に設定したデータパケットを送信すると、送信側と受信側のユーザエージェントが、そのデータパケットを受信側のユーザアプリケーションに転送する。従って、ユーザアプリケーションはVPN接続を意識したプログラミングが不要であるという効果がある。   A user application of a terminal device that uses the VPN connection service can communicate only with the virtual IP address 48 in mind. That is, the user agent forms a communication path that can use the VPN connection service with the other user agent using the virtual IP address 48. When the user application transmits a data packet in which the virtual IP address 48 is set as the transmission destination, the user agent on the transmission side and the reception side transfers the data packet to the user application on the reception side. Therefore, the user application has an effect that programming in consideration of the VPN connection is unnecessary.

サーバ装置12は、仮想IPアドレス48によって、別々のグループに属する端末装置群を切り分けることができる。即ち、グループ毎に一つの仮想サブアドレス空間を設定する。従って、サーバ装置12の運用管理サーバ30は、任意の数のグループについて、それぞれ独立したVPN接続サービスを提供できる。   The server device 12 can separate terminal device groups belonging to different groups by the virtual IP address 48. That is, one virtual subaddress space is set for each group. Therefore, the operation management server 30 of the server device 12 can provide independent VPN connection services for any number of groups.

サーバ装置12は、端末装置が新規登録されるたびにひとつ、仮想IPアドレスプール38から仮想IPアドレス48を払い出して割り付ける。配下にローカルエリアネットワークを有するサーバには、配下のサブネット用に、一群の仮想IPアドレス48が払い出される。サーバは、配下の端末装置に一つずつこの仮想IPアドレス48を払い出す。従って、サーバの配下の各端末装置は、この仮想IPアドレス48を使用して、VPN接続サービスを利用できる。即ち、同一グループ内の各端末装置は別の全ての端末装置とメッシュ型のP2P-VPN接続を行うことが可能になる   Each time a new terminal device is registered, the server device 12 assigns one virtual IP address 48 from the virtual IP address pool 38. A group of virtual IP addresses 48 are assigned to a subordinate subnet for a server having a local area network. The server pays out the virtual IP addresses 48 one by one to the subordinate terminal devices. Therefore, each terminal device under the server can use the VPN connection service using this virtual IP address 48. That is, each terminal device in the same group can perform mesh-type P2P-VPN connection with all other terminal devices.

なお、図2において、端末装置40のユーザエージェント22は、運用管理サーバ30からダウンロードされたユーザエージェントプログラム21を起動して生成される。ユーザエージェント22の動作に必要なデータは全て運用管理サーバ30で付加されている。上記のように、端末装置40の記憶装置には、グループ管理データベース36の内容と、ユーザIDリスト45とが記憶される。その後の初期設定は、ユーザエージェント22が自動的に行うので、ユーザは、設定内容の確認程度の操作で、初期設定を完了させることができる。初期設定動作は、後で図5を用いて具体的に説明する。   In FIG. 2, the user agent 22 of the terminal device 40 is generated by starting the user agent program 21 downloaded from the operation management server 30. All data necessary for the operation of the user agent 22 is added by the operation management server 30. As described above, the contents of the group management database 36 and the user ID list 45 are stored in the storage device of the terminal device 40. Subsequent initial setting is automatically performed by the user agent 22, so that the user can complete the initial setting by an operation of checking the setting contents. The initial setting operation will be specifically described later with reference to FIG.

(VPN接続通信路)
図3はVPN接続通信路の説明図である。
図2に示した端末装置40のユーザエージェント22は、自動的に図に示した太い実線のセンターVPN接続通信路32を形成する。既に説明したように、この状態は継続的に維持される。 (VPN connection channel)
FIG. 3 is an explanatory diagram of a VPN connection communication path.
The user agent 22 of the terminal device 40 shown in FIG. 2 automatically forms the thick solid-line center VPN connection communication path 32 shown in the drawing. As already explained, this state is maintained continuously.

ここで、いずれかの端末装置か、あるいはその端末装置の配下にある端末装置から、P2P-VPN接続の要求があると、まず、センターVPN接続通信路32を使用したサーバ装置12を経由するルートで、ユーザエージェント22間の情報交換が行われる。このとき取得されたグローバルIPアドレス42とポート番号52とを使用して、サーバ装置12を経由しない太い破線のP2P-VPN接続通信路34が形成される。   Here, when there is a request for P2P-VPN connection from one of the terminal devices or a terminal device under the terminal device, first, a route via the server device 12 using the center VPN connection communication path 32 Thus, information exchange between the user agents 22 is performed. Using the global IP address 42 and the port number 52 acquired at this time, a thick dashed P2P-VPN connection communication path 34 that does not pass through the server device 12 is formed.

図3の(a)において、P2P-VPN接続通信路34は、例えば、スマートフォン18とパーソナルコンピュータ20(1)との間に形成される。また、例えば、ルータ16(1)とルータ16(2)との間に形成することもできる。図3(b)に示すように、スマートフォン18とルータ16(1)の間にP2P-VPN接続通信路34を形成すると、スマートフォン18とルータ16(1)の配下のパーソナルコンピュータ20(2)との間の通信ができる。P2P-VPN接続通信路34は、必要に応じて形成され、使用しない場合には、自動的に消滅するように制御される。   In FIG. 3A, the P2P-VPN connection communication path 34 is formed, for example, between the smartphone 18 and the personal computer 20 (1). Further, for example, it can be formed between the router 16 (1) and the router 16 (2). As shown in FIG. 3B, when a P2P-VPN connection communication path 34 is formed between the smartphone 18 and the router 16 (1), the personal computer 20 (2) under the control of the smartphone 18 and the router 16 (1) Can communicate with each other. The P2P-VPN connection communication path 34 is formed as necessary, and is controlled to automatically disappear when not in use.

(VPNサーバ)
以下、サーバ装置12の各部の機能を順に説明する。VPNサーバ24は、ユーザエージェント22を組み込んだ全ての端末装置とVPN接続をして、センターVPN接続通信路32を形成し維持する機能を持つ。VPNサーバ24は、認証処理機能と通信データの暗号化機能を備える。認証処理にはグループ管理データベース36に記憶した認証データ50を参照する。 (VPN server)
Hereinafter, functions of each unit of the server device 12 will be described in order. The VPN server 24 has a function of forming and maintaining a center VPN connection communication path 32 by making a VPN connection with all terminal devices incorporating the user agent 22. The VPN server 24 has an authentication processing function and a communication data encryption function. For authentication processing, the authentication data 50 stored in the group management database 36 is referred to.

(SIPサーバ)
SIPサーバ26は、SIP(Session Initiation Protocol)による端末装置間の通信を制御する機能を持つ。SIPサーバ26は、VPNサーバ24の形成したVPN接続通信路32を利用して、ユーザエージェント22を組み込んだ端末装置とSIP通信を行い、認証処理を行うとともに、端末装置間でP2P接続を行うための、グローバルIPアドレス42とポート番号52を相互に通知する通信を制御する。 (SIP server)
The SIP server 26 has a function of controlling communication between terminal devices using SIP (Session Initiation Protocol). The SIP server 26 uses the VPN connection communication path 32 formed by the VPN server 24 to perform SIP communication with a terminal device incorporating the user agent 22 to perform authentication processing and to perform P2P connection between the terminal devices. The communication for notifying the global IP address 42 and the port number 52 of each other is controlled.

(STUNサーバ)
STUN(Session Traversal Utility for NAT)サーバは、各端末装置が接続されているネットワーク14のNAT(Network Address Translation)越えのための情報を、P2P通信を要求する端末装置に通知する機能を持つ。STUNサーバ28は、端末装置が接続されたルータ16の外側(WAN側)の グローバルIPアドレス42と、ルータ16の内側(LAN側)のポート番号52(プライベートアドレス)とを取得する。端末装置のユーザエージェント22がP2P通信を要求すると、STUNサーバ28はこの情報を取得して、要求元のユーザエージェント22に伝える。 (STUN server)
A STUN (Session Traversal Utility for NAT) server has a function of notifying a terminal device requesting P2P communication of information for exceeding NAT (Network Address Translation) of the network 14 to which each terminal device is connected. The STUN server 28 acquires a global IP address 42 on the outside (WAN side) of the router 16 to which the terminal device is connected, and a port number 52 (private address) on the inside (LAN side) of the router 16. When the user agent 22 of the terminal device requests P2P communication, the STUN server 28 acquires this information and transmits it to the requesting user agent 22.

(運用管理サーバ)
運用管理サーバ30は、既に説明したとおりの端末装置の新規登録手続きのほかに、通信履歴管理を行う。通信履歴管理とは、端末装置間でP2P接続が行われた場合に、その接続開始から終了までの動作履歴を記憶装置に記憶する処理である。さらに、端末装置との間に形成したセンターVPN接続通信路32を維持管理する。また、端末装置間に形成されたP2P-VPN接続通信路34を監視して、用済みの場合に自動的に消滅させる制御も行う。 (Operation Management Server)
The operation management server 30 performs communication history management in addition to the new registration procedure of the terminal device as already described. Communication history management is a process of storing, in a storage device, an operation history from the start to the end of connection when a P2P connection is made between terminal devices. Further, the center VPN connection communication path 32 formed with the terminal device is maintained and managed. In addition, the P2P-VPN connection communication path 34 formed between the terminal devices is monitored, and control is performed to automatically disappear when it is used.

(センタVPNセッション管理)
運用管理サーバ30は、ユーザエージェント22が組み込まれた全ての端末装置に対して、所定のタイミングで定期的にVPN接続を維持することを要求する。この動作をセンタVPNセッションと呼び、端末装置が動作している間は常時VPN接続を維持させる。これにより、サーバ装置12は、ユーザエージェント22が組み込まれた全ての端末装置の状態を監視することができる。さらに、端末装置同士がP2PによるVPN接続を行う場合に、SIPプロトコルによる呼制御を随時セキュアに行うことができる。 (Center VPN session management)
The operation management server 30 requests all terminal devices in which the user agent 22 is incorporated to periodically maintain the VPN connection at a predetermined timing. This operation is called a center VPN session, and the VPN connection is always maintained while the terminal device is operating. Thereby, the server apparatus 12 can monitor the state of all the terminal apparatuses in which the user agent 22 is incorporated. Furthermore, when terminal devices make a VPN connection using P2P, call control based on the SIP protocol can be performed securely at any time.

(P2P-VPNセッションの確立)
図4は、サーバ装置と端末装置の内部機能ブロック図である。
図のように、サーバ装置のDMZセグメント54(DeMilitarized Zone)には、VPNサーバ24とSTUNサーバ28とが設けられている。DMZセグメント54の部分はファイアウォールで囲まれている。SIPサーバ26と運用管理サーバ30とは、VPNサーバ24の裏側にあって、非DMZセグメント56に設けられている。SIPサーバ26と運用管理サーバ30とはVPNサーバ24を介してネットワーク14に接続される。 (P2P-VPN session establishment)
FIG. 4 is an internal functional block diagram of the server device and the terminal device.
As shown in the figure, a VPN server 24 and a STUN server 28 are provided in the DMZ segment 54 (DeMilitarized Zone) of the server device. The DMZ segment 54 is surrounded by a firewall. The SIP server 26 and the operation management server 30 are provided on the non-DMZ segment 56 on the back side of the VPN server 24. The SIP server 26 and the operation management server 30 are connected to the network 14 via the VPN server 24.

図4の例には、2台の端末装置40(1)40(2)を示した。端末装置40(1)には、ユーザエージェント22(1)が組み込まれている。端末装置40(2)には、ユーザエージェント22(2)が組み込まれている。いずれのユーザエージェントにも、VPNクライアント62と、VPN P2Pサーバ66と、VPN P2Pクライアント64と自動制御モジュール58とが設けられている。また、自動制御モジュール58は、端末装置の入出力インタフェース60に接続されて、必要な情報が端末装置のユーザにより入力される。   In the example of FIG. 4, two terminal devices 40 (1) 40 (2) are shown. The user agent 22 (1) is incorporated in the terminal device 40 (1). A user agent 22 (2) is incorporated in the terminal device 40 (2). Each user agent is provided with a VPN client 62, a VPN P2P server 66, a VPN P2P client 64, and an automatic control module 58. The automatic control module 58 is connected to the input / output interface 60 of the terminal device, and necessary information is input by the user of the terminal device.

ユーザエージェント22のVPNクライアント62は、サーバ装置12のVPNサーバ24と通信をして、自動的にVPN接続のための初期設定をし、センターVPN接続通信路32を形成する機能を持つ。ユーザは、入出力インタフェース60を通じてパスワードを入力する程度の操作で設定を完了する。自動制御モジュール58は、入出力インタフェース60を通じてユーザに対して設定データ等の情報を出力し、パスワード等の入力を受け付ける。入出力インタフェース60には、図示しない端末装置のキーボードやディスプレイが接続される。   The VPN client 62 of the user agent 22 has a function of communicating with the VPN server 24 of the server device 12, automatically performing initial settings for VPN connection, and forming the center VPN connection communication path 32. The user completes the setting with an operation of inputting a password through the input / output interface 60. The automatic control module 58 outputs information such as setting data to the user through the input / output interface 60 and accepts input of a password or the like. The input / output interface 60 is connected to a keyboard and display of a terminal device (not shown).

VPNクライアント62は、例えば、数時間おきに運用管理サーバ30にアクセスして、センターVPN接続通信路32を維持するとともに、最新の設定情報を取得して、保持データを更新する。これにより、運用管理サーバ30は、管理下にある各端末装置がそれぞれ通信可能な状態にあることを認識することができる。   For example, the VPN client 62 accesses the operation management server 30 every few hours, maintains the center VPN connection communication path 32, acquires the latest setting information, and updates the retained data. Thereby, the operation management server 30 can recognize that each terminal device under management is in a communicable state.

初期設定が完了した状態では、ユーザエージェント22(1)と22(2)のVPNクライアント62とサーバ装置12のVPNサーバ24との間に、センターVPN接続通信路32が形成されている。端末装置40(1)が端末装置40(2)との通信を要求したときには、端末装置40(1)のVPN P2Pクライアント64がセンターVPN接続通信路32を利用してSIPサーバ26を経由して端末装置40(2)のVPN P2Pサーバ66と通信を行う。   When the initial setting is completed, the center VPN connection communication path 32 is formed between the VPN client 62 of the user agents 22 (1) and 22 (2) and the VPN server 24 of the server device 12. When the terminal device 40 (1) requests communication with the terminal device 40 (2), the VPN P2P client 64 of the terminal device 40 (1) uses the center VPN connection communication path 32 via the SIP server 26. It communicates with the VPN P2P server 66 of the terminal device 40 (2).

端末装置40(1)のVPN P2Pクライアント64はSTUNサーバ28に対して、自己のグローバルIPアドレスとポート番号52とを問い合わせる。端末装置40(2)のVPN P2Pサーバ66もSTUNサーバ28に対して、自己のグローバルIPアドレスとポート番号52とを問い合わせる。続いて、端末装置40(1)のVPN P2Pクライアント64と端末装置40(2)のVPN P2Pサーバ66がSTUNサーバ28から取得した情報をSIPサーバ26を介して交換する。   The VPN P2P client 64 of the terminal device 40 (1) inquires of the STUN server 28 about its own global IP address and port number 52. The VPN P2P server 66 of the terminal device 40 (2) also inquires of the STUN server 28 about its own global IP address and port number 52. Subsequently, the VPN P2P client 64 of the terminal device 40 (1) and the VPN P2P server 66 of the terminal device 40 (2) exchange information acquired from the STUN server 28 via the SIP server 26.

その後、端末装置40(1)のVPN P2Pクライアント64と端末装置40(2)のVPN P2Pサーバ66との間にP2P-VPN接続通信路34が形成され、P2P-VPNセッションを確立させる。端末装置本体は単に入出力装置として機能する。従って、端末装置本体は、既存のローカルエリアネットワークで使用していた設定はそのまま使用でき、何の変更も要しない。以下、具体的なシーケンスチャートを使用して、各動作を詳細に説明する。   Thereafter, a P2P-VPN connection communication path 34 is formed between the VPN P2P client 64 of the terminal device 40 (1) and the VPN P2P server 66 of the terminal device 40 (2), thereby establishing a P2P-VPN session. The terminal device body simply functions as an input / output device. Therefore, the terminal device main body can use the settings used in the existing local area network as they are, and no changes are required. Hereinafter, each operation will be described in detail using a specific sequence chart.

(初期設定動作シーケンス)
図5は、端末装置の初期設定動作を示すシーケンスチャートである。
以下、シーケンスチャートを使用して、図2に示したユーザエージェント22を任意の端末装置に組み込んで、初期設定をする具体的な動作説明をする。サーバ装置12の運用管理サーバ30は、新規登録をする端末装置のために、ユーザエージェントプログラム21と、図のような参照データ51を生成する。この参照データ51により、端末装置40(1)のユーザエージェント22は、ほぼ自動的に初期設定やVPN設定を実行することができる。 (Initial setting operation sequence)
FIG. 5 is a sequence chart showing an initial setting operation of the terminal device.
In the following, a specific operation description will be given with reference to a sequence chart, in which the user agent 22 shown in FIG. The operation management server 30 of the server device 12 generates a user agent program 21 and reference data 51 as shown in the figure for a terminal device for new registration. With this reference data 51, the user agent 22 of the terminal device 40 (1) can execute the initial setting and VPN setting almost automatically.

[個別設定生成]
参照データ51を生成する作業は、システムを納入する専任の技術者により、例えば、ブラウザから行う。実際には、参照データ51は自動生成され、専任の技術者は内容を確認したり選択すればよい。まず、参照データにはユーザ追加登録をしたユーザIDを含める。また、初期設定時にユーザエージェントがVPNサーバへ接続をするために、そのIPアドレスとポート番号を含める。同時に、VPN接続のための認証データ50(図2)を含める。 [Create individual settings]
The operation of generating the reference data 51 is performed by, for example, a browser by a dedicated engineer who delivers the system. Actually, the reference data 51 is automatically generated, and a dedicated engineer only has to confirm or select the contents. First, the reference data includes the user ID for which user registration has been added. In addition, the IP address and port number are included for the user agent to connect to the VPN server at the initial setting. At the same time, authentication data 50 (FIG. 2) for VPN connection is included.

証明書CN、CA証明書、個別証明書、秘密鍵、個別証明書PIN(パスワード)、SIP digest認証用パスワード等が、認証データ50に該当する。また、SIPサーバへの接続のために、そのIPアドレスとポートの情報を含める。   The certificate CN, CA certificate, individual certificate, private key, individual certificate PIN (password), SIP digest authentication password, and the like correspond to the authentication data 50. In addition, information on the IP address and port is included for connection to the SIP server.

また、ルータ間にP2P-VPN接続通信路を形成するときには、専用のサブネットIPアドレスを使用する。P2P-VPN用仮想IPアドレス幅は、その範囲を指定するための情報である。端末装置がサーバの場合には、配下の端末装置に払い出すことができるサブネット用仮想IPアドレスの数を設定する。LAN側IPサブネットアドレスの設定はこれに該当する。また、図2で説明したユーザIDリスト45を含める。P2P-VPN接続先ユーザIDリストが、これに該当する。また、STUNサーバと接続をするためのIPアドレスとポートの情報を含める。   Also, when forming a P2P-VPN connection communication path between routers, a dedicated subnet IP address is used. The P2P-VPN virtual IP address width is information for designating the range. When the terminal device is a server, the number of subnet virtual IP addresses that can be paid out to the subordinate terminal device is set. The setting of the IP subnet address on the LAN side corresponds to this. Further, the user ID list 45 described in FIG. 2 is included. This is the case with the P2P-VPN connection destination user ID list. Also, information on the IP address and port for connecting to the STUN server is included.

以上のようにユーザエージェントプログラム21(図2)と参照データ51を運用管理サーバ30側で準備しておく。そして、図5に示すように、端末装置40(1)からHTTPS個別設定ダウンロード要求があると、準備しておいたデータが端末装置40(1)にダウンロードされる。このデータは、インターネット経由でダウンロードされる。その後、端末装置40(1)において、ユーザエージェントプログラム21を起動して、ユーザエージェント22を組み込む。   As described above, the user agent program 21 (FIG. 2) and the reference data 51 are prepared on the operation management server 30 side. Then, as shown in FIG. 5, when there is an HTTPS individual setting download request from the terminal device 40 (1), the prepared data is downloaded to the terminal device 40 (1). This data is downloaded via the Internet. Thereafter, the user agent program 21 is activated and the user agent 22 is incorporated in the terminal device 40 (1).

ユーザエージェント22は初期設定の際に、ユーザに対して、例えば、自身のユーザID44と、PW46と、運用管理サーバのアドレス(IPアドレスもしくはURL)の入力を求める。ユーザには、予め手紙等で、これらの情報が通知されている。ユーザエージェント22はユーザにより入力された情報と記憶装置に記憶された情報とが一致すると、その後は参照データ51を参照して、自動的にVPNサーバ24との接続を開始する。   At the time of initial setting, the user agent 22 requests the user to input, for example, its own user ID 44, PW 46, and operation management server address (IP address or URL). Such information is notified to the user in advance by a letter or the like. When the information input by the user matches the information stored in the storage device, the user agent 22 refers to the reference data 51 and automatically starts connection with the VPN server 24 thereafter.

VPNサーバ24と接続をすると、端末装置40(1)とVPNサーバ24との間でDTLSハンドシェークが開始されて、センターVPN接続通信路32を形成するためのセッションを確立する。以上で初期設定とセンターVPN接続テストが完了し、端末装置40(1)の電源をオフする。その後、任意のタイミングで端末装置が起動されると、ユーザエージェント22は自動的にセンターVPNセッションを確立する。図のDTLSハンドシェーク以下の処理は後で図8を用いて説明する。   When connected to the VPN server 24, a DTLS handshake is started between the terminal device 40 (1) and the VPN server 24, and a session for forming the center VPN connection communication path 32 is established. Thus, the initial setting and the center VPN connection test are completed, and the power of the terminal device 40 (1) is turned off. Thereafter, when the terminal device is activated at an arbitrary timing, the user agent 22 automatically establishes a center VPN session. The processing after the DTLS handshake in the figure will be described later with reference to FIG.

(設定変更)
図6は、既に運用中のシステムの設定を変更する場合の動作シーケンスチャートである。
図のように、端末装置40(1)とVPNサーバ24との間には既にセンターVPN接続通信路32が形成されている。この状態を、図6で、センターVPNセッション確立中と表示している。サーバのアドレス変更やその他の設定変更があった場合には、運用管理サーバ30がVPNサーバ24に対して、その情報を他の端末装置に通知するように依頼する。 (setting change)
FIG. 6 is an operation sequence chart when changing the settings of a system that is already in operation.
As shown in the figure, a center VPN connection communication path 32 has already been formed between the terminal device 40 (1) and the VPN server 24. This state is displayed in FIG. 6 as the center VPN session is being established. When there is a server address change or other setting change, the operation management server 30 requests the VPN server 24 to notify the other terminal device of the information.

センタ強制通知がVPNサーバ24を介して端末装置40(1)に送られる。端末装置40(1)は、その通知を受けて、運用管理サーバ30に対して、HTTPS個別設定ダウンロード要求を送信する。その応答により、変更後の設定データが端末装置40(1)にダウンロードされる。端末装置40(1)ではその個別設定の保存をする。なお、ユーザエージェントを組み込んだ新たな端末装置が追加されたときには、図6の手順で、ユーザIDリストの更新だけが実行される。   A center forced notification is sent to the terminal device 40 (1) via the VPN server 24. Upon receiving the notification, the terminal device 40 (1) transmits an HTTPS individual setting download request to the operation management server 30. As a result of the response, the changed setting data is downloaded to the terminal device 40 (1). The terminal device 40 (1) stores the individual settings. When a new terminal device incorporating a user agent is added, only the update of the user ID list is executed in the procedure of FIG.

図7はルータの初期設定動作のシーケンスチャートである。
40(1)がルータの場合には、図5で説明したように準備をしたユーザエージェントを組み込んだ後、既存のLANに設置するための処理を実行する。その後、運用管理サーバ30から払い出されたサブネット用仮想IPアドレスを、ローカルエリアネットワーク側の端末装置に払い出す処理を実行する。DTLSハンドシェーク以下がその手順である。 FIG. 7 is a sequence chart of the initial setting operation of the router.
If 40 (1) is a router, the user agent prepared as described in FIG. 5 is incorporated, and then processing for installation in the existing LAN is executed. Thereafter, a process of paying out the virtual IP address for subnet issued from the operation management server 30 to the terminal device on the local area network side is executed. Following DTLS handshake is the procedure.

端末装置40(1)とVPNサーバ24との間でDTLSハンドシェークを開始し、VPN接続要求をする。端末装置40(1)からVPNサーバ24にユーザID(識別子)を通知して、仮想IPアドレス(vIP)48の払い出しを受ける。これで、VPN接続を完了する。こうして、センターVPNセッション確立中の状態になる。なお、例えば、ルータのユーザエージェントにP2PVPN利用時の仮想IPアドレス192.168.2.0〜192.168.2.255を自動設定する。ルータは、自動設定されたLAN仮想IPアドレスのうち、自身には192.168.2.1を使用し、LAN配下の端末装置に192.168.2.2から順に仮想IPアドレスを払出す。こうして、LAN配下の端末装置全てに仮想IPアドレスが割付られる。   A DTLS handshake is started between the terminal device 40 (1) and the VPN server 24, and a VPN connection request is made. The terminal device 40 (1) notifies the VPN server 24 of the user ID (identifier) and receives a virtual IP address (vIP) 48. This completes the VPN connection. Thus, the center VPN session is being established. For example, virtual IP addresses 192.168.2.0 to 192.168.2.255 when using P2PVPN are automatically set in the user agent of the router. The router uses 192.168.2.1 among the automatically set LAN virtual IP addresses, and issues virtual IP addresses to terminal devices under the LAN in order from 192.168.2.2. Thus, a virtual IP address is assigned to all terminal devices under the LAN.

(センターVPN接続動作)
図8は、各端末装置のセンターVPN接続通信路32設定動作のシーケンスチャートである。
図において、まず、端末装置40(1)を起動する。その後、ユーザエージェントが自動的に動作して、DTLS(Datagram Transport Layer Security) ハンドシェークプロトコルを実行し、センターVPNセッションを確立する。このとき、ユーザエージェント22は、サーバ装置12のVPNサーバ24から、識別子の交換後、仮想IPアドレス48の払い出しを受ける。ユーザエージェント22はこの仮想IPアドレス48を端末装置上のルーティング情報として登録する。これにより、端末装置には仮想ネットワークインタフェースが自動生成され、利用ユーザにとっては新たなイーサネット(登録商標)インタフェースが一つ増えたように見える。 (Center VPN connection operation)
FIG. 8 is a sequence chart of the operation of setting the center VPN connection communication path 32 of each terminal device.
In the figure, first, the terminal device 40 (1) is activated. After that, the user agent runs automatically and executes the DTLS (Datagram Transport Layer Security) handshake protocol to establish a center VPN session. At this time, the user agent 22 receives a virtual IP address 48 from the VPN server 24 of the server device 12 after exchanging the identifier. The user agent 22 registers this virtual IP address 48 as routing information on the terminal device. Thereby, a virtual network interface is automatically generated in the terminal device, and it seems to the user that one new Ethernet (registered trademark) interface is added.

このように、ユーザエージェント22が、サーバ装置12のVPNサーバ24との間のVPN接続によるセッションを自動的に確立するための情報を保持しているので、端末装置自体には何の情報設定も要らないし、何の設定操作も要らない。端末装置を起動したとき、ユーザエージェント22のVPNクライアントは、ダウンロードをして記憶したデータを使用して、サーバ装置12のVPNサーバ24との間のVPN接続を有効にする。   As described above, since the user agent 22 holds information for automatically establishing a session by the VPN connection with the VPN server 24 of the server device 12, no information setting can be made in the terminal device itself. There is no need for any setting operation. When the terminal device is activated, the VPN client of the user agent 22 uses the downloaded and stored data to validate the VPN connection with the VPN server 24 of the server device 12.

その後はSIPサーバ26とSIPプロトコルを実行する。センターVPN接続後にSIPサーバに自身が活性状態にあることをSIP REGISTERメッセージの送信によって確認する。その後はSIPサーバ26とSIPプロトコルを実行する。センターVPN接続後にSIPサーバに自身が活性状態にあることをSIP REGISTERメッセージの送信によって確認通知する。同時に、SIPサーバは、ユーザエージェントのグローバルIPアドレスを取得して、運用管理サーバのグループ管理データベースに登録をする。こうして、運用管理サーバは、管理下の端末装置のユーザエージェントの位置登録をし、センターVPN接続通信路の監視に利用する。ユーザエージェントがP2P-VPN接続を要求したとき、SIPサーバは、その接続要求を中継するために、登録をしたグローバルIPアドレスを利用する。   Thereafter, the SIP server 26 and the SIP protocol are executed. After the center VPN connection, the SIP server confirms that it is active by sending a SIP REGISTER message. Thereafter, the SIP server 26 and the SIP protocol are executed. After the center VPN connection, the SIP server is notified by sending a SIP REGISTER message that it is active. At the same time, the SIP server acquires the global IP address of the user agent and registers it in the group management database of the operation management server. In this way, the operation management server registers the location of the user agent of the managed terminal device and uses it for monitoring the center VPN connection communication path. When the user agent requests a P2P-VPN connection, the SIP server uses the registered global IP address to relay the connection request.

(P2P-VPN接続動作)
図9は、P2P-VPN接続動作シーケンスチャートである。
この前段階で、サーバ装置12と接続要求元の端末装置との間のVPN接続によるセッションを確立して、両者の間にセンターVPN接続通信路32を形成しておく。次に、図のように、SIP REGISTER、SIP REGISTER 200OKと表示した部分で、接続要求元のユーザエージェント22は、VPNP2Pクライアントを起動し、SIPプロトコルを実行する。 (P2P-VPN connection operation)
FIG. 9 is a P2P-VPN connection operation sequence chart.
At this previous stage, a session by VPN connection between the server device 12 and the connection request source terminal device is established, and a center VPN connection communication path 32 is formed between them. Next, as shown in the figure, in the part displayed as SIP REGISTER and SIP REGISTER 200 OK, the connection request source user agent 22 activates the VPNP2P client and executes the SIP protocol.

接続要求元のVPNP2Pクライアントは、STUNサーバ28に依頼をして、接続要求元の端末装置のグローバルIPアドレス42とポート番号52とを取得する。その後、接続要求元の端末装置のユーザIDと、接続相手先の端末装置のユーザIDを指定してSIPサーバ26にINVITEメッセージを送信する。このとき接続要求元のユーザエージェント22は、STUNサーバ28から取得したグローバルIPアドレス42とポート番号52とを、INVITEメッセージ内のボディに付加する。   The connection request source VPNP2P client requests the STUN server 28 to acquire the global IP address 42 and the port number 52 of the connection request source terminal device. Thereafter, the user ID of the connection request source terminal device and the user ID of the connection partner terminal device are designated, and an INVITE message is transmitted to the SIP server 26. At this time, the connection request source user agent 22 adds the global IP address 42 and the port number 52 acquired from the STUN server 28 to the body in the INVITE message.

SIPサーバ26は、サーバ装置12のVPNサーバ24に依頼をして、このINVITEメッセージを接続相手先の端末装置のユーザエージェント22に転送する。INVITEメッセージを受信したユーザエージェント22は、VPNP2Pサーバを起動する。VPNP2Pサーバは、接続を許可する200 OKメッセージをSIPサーバ26に送り返す。このとき、VPNP2Pサーバは、接続要求元のユーザエージェント22と同様に、STUNサーバ28に依頼をして、接続要求元の端末装置のグローバルIPアドレス42とポート番号52とを取得し、その情報を200 OKメッセージ内のボディに付加する。   The SIP server 26 requests the VPN server 24 of the server device 12 and transfers this INVITE message to the user agent 22 of the terminal device of the connection partner. The user agent 22 that has received the INVITE message activates the VPNP2P server. The VPNP2P server sends back a 200 OK message permitting connection to the SIP server 26. At this time, the VPNP2P server requests the STUN server 28 to obtain the global IP address 42 and the port number 52 of the connection request source terminal device, in the same manner as the connection request source user agent 22, and obtains the information. Append to the body in the 200 OK message.

SIPサーバ26はこの 200 OKメッセージを接続要求元に転送する。この一連のメッセージ交換により、接続要求元と接続相手先のグローバルIPアドレス42とポート番号52を使用したP2P-VPN接続通信路34を形成することができる。その後は、接続要求元のVPNP2Pクライアントと接続相手先のVPNP2Pサーバとがインターネットを通じて直接通信をして、P2PVPN接続のためのセッションを確立する。   The SIP server 26 transfers this 200 OK message to the connection request source. By this series of message exchanges, the P2P-VPN connection communication path 34 using the global IP address 42 and the port number 52 of the connection request source and the connection partner can be formed. After that, the VPNP2P client that is the connection request source and the VPNP2P server that is the connection partner directly communicate with each other through the Internet to establish a session for P2PVPN connection.

即ち、図において、DTLSハンドシェークを実行し、識別子の交換をしてから、接続相手先の端末装置に対して゛仮想IPアドレスの払い出しをする。先に説明したように、P2P-VPN接続通信路34を形成した端末装置間には、P2PVPN接続専用のサブネットIPアドレスが使用される。その後、両端末装置間に形成されたVPN接続通信路を利用して、安全なデータ送受信を行うことができる。このP2PVPN接続のためのセッションが終了すると、P2PVPN接続のためのVPN接続通信路は消滅する。   That is, in the figure, after executing DTLS handshake and exchanging identifiers, a virtual IP address is issued to the terminal device of the connection partner. As described above, a subnet IP address dedicated to P2PVPN connection is used between terminal devices that form the P2P-VPN connection communication path 34. Thereafter, secure data transmission / reception can be performed using the VPN connection communication path formed between the two terminal devices. When the session for P2PVPN connection ends, the VPN connection channel for P2PVPN connection disappears.

(管理動作)
図10は、P2P-VPN接続通信路34の管理動作シーケンスチャートである。
図のように、P2P-VPNセッションが確立した状態で、SIPプロトコルが終了したときや、通信が停止してタイムアウトになったとき、あるいは、端末装置やサーバ装置等のいずれかの装置から強制終了コマンドが発せられたときには、P2P-VPNセッションを終了する。P2P-VPN接続通信路34は任意のタイミングで任意の数だけ形成されるから、不要なセッションは自動的に消滅させて、サブネットIPアドレスを有効に使用する。 (Management operation)
FIG. 10 is a management operation sequence chart of the P2P-VPN connection communication path 34.
As shown in the figure, with the P2P-VPN session established, when the SIP protocol ends, when communication stops and a timeout occurs, or forcibly terminates from any device such as a terminal device or server device When a command is issued, end the P2P-VPN session. Since an arbitrary number of P2P-VPN connection channels 34 are formed at an arbitrary timing, unnecessary sessions are automatically deleted and the subnet IP address is used effectively.

以上のように、ユーザエージェント22とサーバ装置の連携により、VPN接続と通信に必要な様々な処理を自動化し、サーバ装置にインターネット等のネットワークを介して直接接続された端末装置も、それ以外の端末装置も、自由に簡便に、P2P-VPN接続サービスを受けることが可能になる。   As described above, the terminal device that is directly connected to the server device via a network such as the Internet by automating various processes necessary for VPN connection and communication through the cooperation of the user agent 22 and the server device. The terminal device can also receive the P2P-VPN connection service freely and simply.

10 VPN接続管理システム
12 サーバ装置
14 ネットワーク
16 ルータ
18 スマートフォン
20 パーソナルコンピュータ
21 ユーザエージェントプログラム
22 ユーザエージェント
24 VPNサーバ
26 SIPサーバ
28 STUNサーバ
30 運用管理サーバ
32 センターVPN接続通信路
34 P2P-VPN接続通信路
36 グループ管理データベース
38 仮想IPアドレスプール
40 端末装置
42 グローバルIPアドレス
44 ユーザID
45 ユーザIDリスト
46 PW
48 仮想IPアドレス
50 認証データ
51 参照データ
52 ポート番号
54 DMZセグメント
56 非DMZセグメント
58 自動制御モジュール
60 入出力インタフェース
62 VPNクライアント
64 VPN P2Pクライアント
66 VPN P2Pサーバ DESCRIPTION OF SYMBOLS 10 VPN connection management system 12 Server apparatus 14 Network 16 Router 18 Smartphone 20 Personal computer 21 User agent program 22 User agent 24 VPN server 26 SIP server 28 STUN server 30 Operation management server 32 Center VPN connection communication path 34 P2P-VPN connection communication path 36 Group management database 38 Virtual IP address pool 40 Terminal device 42 Global IP address 44 User ID
45 User ID list 46 PW
48 Virtual IP address 50 Authentication data 51 Reference data 52 Port number 54 DMZ segment 56 Non-DMZ segment 58 Automatic control module 60 Input / output interface 62 VPN client 64 VPN P2P client 66 VPN P2P server

Claims (8)

サーバ装置と、このサーバ装置にネットワークを介して接続された端末装置群により構成され、
前記各端末装置には、前記サーバ装置と連携して動作するユーザエージェントが組み込まれており、
前記サーバ装置は、VPNサーバとSIP(Session Initiation Protocol)サーバとSTUN(Session Traversal Utility for NAT)サーバと運用管理サーバとを含み、
前記VPNサーバは、前記端末装置との間に、システムの運用中は継続的に維持されるセンターVPN接続通信路を形成する機能を持ち、
前記SIPサーバは、前記センターVPN接続通信路を利用して前記端末装置と通信を行い、かつ、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成するために必要な情報の交換をする通信の制御を行い、
前記STUNサーバは、前記P2P-VPN接続通信路を形成するために必要な、通信要求元と通信相手先のグローバルIPアドレスとポート番号とを取得して該当する端末装置に通知する機能を持ち、
前記運用管理サーバは、前記端末装置へ組み込むユーザエージェントが動作中に参照する参照データを生成し、前記管理下の全ての端末装置を区別するためのユーザIDと仮想IPアドレスを払い出して、同時に、前記端末装置のユーザIDと仮想IPアドレスと証明書とを含むグループ管理データベースを記憶装置に記憶し、
前記VPNサーバとSTUNサーバとは、いずれかの端末装置と通信を行う場合に、前記グループ管理データベースを参照して前記端末装置の認証を行い、
前記ユーザエージェントは、
前記参照データを参照して、前記VPNサーバと通信をして前記センターVPN接続通信路を形成し、他の端末装置と前記サーバ装置を経由しないVPN接続を利用したP2P(Peer to Peer)通信を要求する場合に、前記サーバ装置のSTUNサーバと通信をして、前記P2P-VPN接続通信路を形成するために必要な、グローバルIPアドレスとポート番号とを取得し、前記SIPサーバと通信をして、前記センターVPN接続通信路を利用して、前記STUNサーバから取得した前記グローバルIPアドレスとポート番号とを、相手方の端末装置に通知して、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成することを特徴とするVPN接続管理システム。 It is composed of a server device and a group of terminal devices connected to the server device via a network,
Each terminal device incorporates a user agent that operates in cooperation with the server device,
The server device includes a VPN server, a SIP (Session Initiation Protocol) server, a STUN (Session Traversal Utility for NAT) server, and an operation management server,
The VPN server has a function of forming a center VPN connection communication path that is continuously maintained during operation of the system with the terminal device,
The SIP server communicates with the terminal device using the center VPN connection communication path, and establishes a P2P (Peer to Peer) -VPN connection communication path that does not pass through the server apparatus between the plurality of terminal apparatuses. Control the communication to exchange information necessary to form,
The STUN server has a function of acquiring a global IP address and a port number of a communication request source and a communication partner required to form the P2P-VPN connection communication path and notifying a corresponding terminal device,
The operation management server generates reference data to be referred to during operation by a user agent incorporated in the terminal device, and issues a user ID and a virtual IP address for distinguishing all the terminal devices under management, Storing a group management database including a user ID, a virtual IP address, and a certificate of the terminal device in a storage device;
When the VPN server and the STUN server communicate with one of the terminal devices, the terminal device is authenticated with reference to the group management database,
The user agent is
Referring to the reference data, communication with the VPN server is performed to form the center VPN connection communication path, and P2P (Peer to Peer) communication using VPN connection not via the server device with other terminal devices When requesting, it communicates with the STUN server of the server device, acquires a global IP address and a port number necessary for forming the P2P-VPN connection communication path, and communicates with the SIP server. The center VPN connection communication path is used to notify the other terminal device of the global IP address and port number acquired from the STUN server, and pass through the server device between the plurality of terminal devices. A VPN connection management system characterized by forming a P2P (Peer to Peer) -VPN connection communication path. ネットワークを介して接続された端末装置群にVPN接続サービスを提供するためのサーバ装置であって、
VPNサーバとSIP(Session Initiation Protocol)サーバとSTUN(Session Traversal Utility for NAT)サーバと運用管理サーバとを含み、
前記VPNサーバは、前記端末装置との間に、システムの運用中は継続的に維持されるセンターVPN接続通信路を形成する機能を持ち、
前記SIPサーバは、前記センターVPN接続通信路を利用して前記端末装置と通信を行い、かつ、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成するために必要な情報の交換をする通信の制御を行い、
前記STUNサーバは、前記P2P-VPN接続通信路を形成するために必要な、通信要求元と通信相手先のグローバルIPアドレスとポート番号とを取得して該当する端末装置に通知する機能を持ち、
前記運用管理サーバは、前記端末装置へ組み込むユーザエージェントが動作中に参照する参照データを生成し、前記管理下の全ての端末装置を区別するためのユーザIDと仮想IPアドレスを払い出して、同時に、前記端末装置のユーザIDと仮想IPアドレスと証明書とを含むグループ管理データベースを記憶装置に記憶し、
前記VPNサーバとSTUNサーバとは、いずれかの端末装置と通信を行う場合に、前記グループ管理データベースを参照して前記端末装置の認証を行い、
前記ユーザエージェントは、前記参照データを参照して、前記VPNサーバと通信をして前記センターVPN接続通信路を形成し、他の端末装置と前記サーバ装置を経由しないVPN接続を利用したP2P(Peer to Peer)通信を要求する場合に、前記サーバ装置のSTUNサーバと通信をして、前記P2P-VPN接続通信路を形成するために必要な、グローバルIPアドレスとポート番号とを取得し、前記SIPサーバと通信をして、前記センターVPN接続通信路を利用して、前記STUNサーバから取得した前記グローバルIPアドレスとポート番号とを、相手方の端末装置に通知して、前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成するものであることを特徴とするサーバ装置。 A server device for providing a VPN connection service to a group of terminal devices connected via a network,
Including VPN server, SIP (Session Initiation Protocol) server, STUN (Session Traversal Utility for NAT) server and operation management server,
The VPN server has a function of forming a center VPN connection communication path that is continuously maintained during operation of the system with the terminal device,
The SIP server communicates with the terminal device using the center VPN connection communication path, and establishes a P2P (Peer to Peer) -VPN connection communication path that does not pass through the server apparatus between the plurality of terminal apparatuses. Control the communication to exchange information necessary to form,
The STUN server has a function of acquiring a global IP address and a port number of a communication request source and a communication partner required to form the P2P-VPN connection communication path and notifying a corresponding terminal device,
The operation management server generates reference data to be referred to during operation by a user agent incorporated in the terminal device, and issues a user ID and a virtual IP address for distinguishing all the terminal devices under management, Storing a group management database including a user ID, a virtual IP address, and a certificate of the terminal device in a storage device;
When the VPN server and the STUN server communicate with one of the terminal devices, the terminal device is authenticated with reference to the group management database,
The user agent refers to the reference data, communicates with the VPN server to form the center VPN connection communication path, and uses P2P (Peer) using a VPN connection that does not pass through the server device with other terminal devices to Peer) when requesting communication, it communicates with the STUN server of the server device to obtain the global IP address and port number necessary for forming the P2P-VPN connection communication path, and the SIP Communicating with the server, using the center VPN connection communication path, notifying the other terminal device of the global IP address and port number acquired from the STUN server, between the plurality of terminal devices A server apparatus, which forms a P2P (Peer to Peer) -VPN connection communication path that does not pass through the server apparatus. ネットワークを介して接続されたサーバ装置により、VPN接続サービスを受けるために、端末装置に組み込まれるものであって、
運用管理サーバから、VPNサーバとSTUNサーバとSIPサーバのIPアドレスとポート番号と認証データを含む参照データを取得して、
前記参照データを参照して、前記VPNサーバと通信をして前記センターVPN接続通信路を形成し、
他の端末装置と前記サーバ装置を経由しないVPN接続を利用したP2P(Peer to Peer)通信を要求する場合に、
前記サーバ装置のSTUNサーバと通信をして、前記P2P-VPN接続通信路を形成するために必要な、グローバルIPアドレスとポート番号とを取得し、
前記SIPサーバと通信をして、前記センターVPN接続通信路を利用して、前記STUNサーバから取得した前記グローバルIPアドレスとポート番号とを、相手方の端末装置に通知して、
前記複数の端末装置間に前記サーバ装置を経由しないP2P(Peer to Peer)-VPN接続通信路を形成するものであることを特徴とするユーザエージェント。 In order to receive a VPN connection service by a server device connected via a network, it is incorporated into a terminal device,
Obtain the reference data including the IP address, port number, and authentication data of the VPN server, STUN server, and SIP server from the operation management server.
Referring to the reference data, communicating with the VPN server to form the center VPN connection communication path,
When requesting P2P (Peer to Peer) communication using a VPN connection that does not go through the server device with other terminal devices,
Communicate with the STUN server of the server device, obtain the global IP address and port number necessary to form the P2P-VPN connection communication path,
Communicating with the SIP server, using the center VPN connection channel, notifying the global IP address and port number acquired from the STUN server to the other terminal device,
A user agent that forms a P2P (Peer to Peer) -VPN connection communication path that does not pass through the server device between the plurality of terminal devices. 請求項1に記載のVPN接続管理システムにおいて、
前記ユーザエージェントを組み込んだ端末装置はルータであって、前記運用管理サーバから払い出された仮想IPアドレスを配下のユーザエージェントを組み込まない端末装置に払い出し、いずれの端末装置も、前記仮想IPアドレスを使用して、前記ユーザエージェントを組み込んだ端末装置の間に形成されたP2P-VPN接続通信路を使用して、VPN通信を行うことを特徴とするVPN接続管理システム。 In the VPN connection management system according to claim 1,
The terminal device incorporating the user agent is a router, and the virtual IP address issued from the operation management server is issued to a terminal device not incorporating a subordinate user agent, and each terminal device uses the virtual IP address. A VPN connection management system characterized in that VPN communication is performed using a P2P-VPN connection communication path formed between terminal devices incorporating the user agent. サーバ装置のコンピュータを、
請求項2に記載のVPNサーバとSIPサーバとSTUNサーバと運用管理サーバとして機能させるコンピュータプログラム。 The server device computer
The computer program which functions as a VPN server of Claim 2, a SIP server, a STUN server, and an operation management server. サーバ装置のコンピュータを、
請求項2に記載のVPNサーバとSIPサーバとSTUNサーバと運用管理サーバとして機能させるコンピュータプログラムを記録したコンピュータで読み取り可能な記録媒体。 The server device computer
A computer-readable recording medium storing a computer program that functions as the VPN server, SIP server, STUN server, and operation management server according to claim 2. 端末装置のコンピュータを、
請求項3に記載のユーザエージェントして機能させるコンピュータプログラム。 The terminal computer,
The computer program which functions as a user agent of Claim 3. 端末装置のコンピュータを、
請求項3に記載のユーザエージェントして機能させるコンピュータプログラムを記録したコンピュータで読み取り可能な記録媒体。 The terminal computer,
A computer-readable recording medium having recorded thereon a computer program that functions as a user agent according to claim 3.
JP2011174830A 2011-08-10 2011-08-10 Vpn connection management system Pending JP2013038684A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011174830A JP2013038684A (en) 2011-08-10 2011-08-10 Vpn connection management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011174830A JP2013038684A (en) 2011-08-10 2011-08-10 Vpn connection management system

Publications (1)

Publication Number Publication Date
JP2013038684A true JP2013038684A (en) 2013-02-21

Family

ID=47887841

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011174830A Pending JP2013038684A (en) 2011-08-10 2011-08-10 Vpn connection management system

Country Status (1)

Country Link
JP (1) JP2013038684A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014187614A (en) * 2013-03-25 2014-10-02 Nippon Telegraph & Telephone West Corp Communication device and communication system
CN104092789B (en) * 2014-03-18 2017-07-07 财团法人交大思源基金会 Session-aware network address translation penetration method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005065305A (en) * 1999-06-10 2005-03-10 Alcatel Internetworking Inc Policy-based network architecture
JP2007049499A (en) * 2005-08-10 2007-02-22 Fractalist Inc Communication method and apparatus
JP2009089062A (en) * 2007-09-28 2009-04-23 Fuji Xerox Co Ltd Virtual network system and virtual network connection device
JP2010074353A (en) * 2008-09-17 2010-04-02 Fuji Xerox Co Ltd Information processor, information processing system, and program
WO2010116642A1 (en) * 2009-03-30 2010-10-14 セコム株式会社 Monitoring system and communication management device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005065305A (en) * 1999-06-10 2005-03-10 Alcatel Internetworking Inc Policy-based network architecture
JP2007049499A (en) * 2005-08-10 2007-02-22 Fractalist Inc Communication method and apparatus
JP2009089062A (en) * 2007-09-28 2009-04-23 Fuji Xerox Co Ltd Virtual network system and virtual network connection device
JP2010074353A (en) * 2008-09-17 2010-04-02 Fuji Xerox Co Ltd Information processor, information processing system, and program
WO2010116642A1 (en) * 2009-03-30 2010-10-14 セコム株式会社 Monitoring system and communication management device

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
三村 和 他: "サービス指向グルーピング機構を用いたユーザ主導ネットワークの構築", マルチメディア通信と分散処理ワークショップ論文集, vol. 第2005巻,第19号, JPN6014047699, 30 November 2005 (2005-11-30), JP, pages 290 - 294, ISSN: 0002938611 *
奥山 剛央: "自前で作るVPNのコツとは? インターネットVPNの構築", NETWORK MAGAZINE, vol. 第14巻,第4号, JPN6014047700, 1 April 2009 (2009-04-01), JP, pages 42 - 45, ISSN: 0002938612 *
有馬 一閣 他: "仮想アドレスを用いたプライベートネットワーク間相互通信方式のオンデマンドVPNへの適用", 情報処理学会研究報告, vol. 第2006巻,第26号, JPN6014024267, 17 March 2006 (2006-03-17), pages 103 - 108, ISSN: 0002831220 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014187614A (en) * 2013-03-25 2014-10-02 Nippon Telegraph & Telephone West Corp Communication device and communication system
CN104092789B (en) * 2014-03-18 2017-07-07 财团法人交大思源基金会 Session-aware network address translation penetration method

Similar Documents

Publication Publication Date Title
US8316134B2 (en) File server device arranged in a local area network and being communicable with an external server arranged in a wide area network
JP4405360B2 (en) Firewall system and firewall control method
CA2793924C (en) System and method for peer-to-peer media routing using a third party instant messaging system for signaling
CN101146017B (en) Relay-server
JP6345816B2 (en) Network communication system and method
WO2019014048A1 (en) Creation of remote direct access path via internet to firewalled device using multi-site session forwarding
EP2077024A2 (en) Communication system
US20170054631A1 (en) Remote Access to a Residential Multipath Entity
JP5051656B2 (en) Communication control system and communication control method
JP2013038684A (en) Vpn connection management system
KR101049549B1 (en) GPD hole punching method using SIP, terminal management system and terminal management method using same
AU2013300091A1 (en) Method and apparatus for using rendezvous server to make connections to fire alarm panels
JP5367386B2 (en) IP telephone terminal apparatus, VPN server apparatus, IP telephone server apparatus, and IP telephone system using them
JP2011160286A (en) Call control server, relay server, vpn device, vpn communication system, vpn networking method, program, and storage medium
KR100660123B1 (en) Vpn server system and vpn terminal for a nat traversal
US20200287868A1 (en) Systems and methods for in-band remote management
JP2010252261A (en) VPN apparatus, VPN networking method, and storage medium
JP2007082196A (en) How to establish and maintain a connection
WO2011108708A1 (en) Electronic appliance, and operation setting method for electronic appliance
JP2010252091A (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND STORAGE MEDIUM
JP4222402B2 (en) Relay server
WO2023144283A1 (en) Service connection information system for using services in multiple local networks
JP2011166438A (en) Vpn device, vpn networking method, program
JP2006054704A (en) Vpn management server, vpn setting system and method, and program for the vpn management server
JP2014158077A (en) Communication service provision system and method therefor

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20130204

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20130212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20130204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20130213

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140319

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20140319

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20140606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140811

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20141111