通信控制装置及监视装置

1.一种监视系统用的通信控制装置，连接到设置于监视对象的局域网，通过该局域网连接到广域网并进行VPN通信，上述通信控制装置的特征在于，具有：
数据包处理部，将输入数据包变换为发送数据包；
存储部，存储上述VPN中上述通信控制装置的虚拟IP地址；
判断部，比较上述发送数据包中所包含的发送源地址和上述存储部中存储的上述虚拟IP地址，判断上述发送源地址的网络部分和主机部分双方是否与上述虚拟IP地址的网络部分和主机部分双方一致；以及
封装部，当上述判断部的判断结果为一致时，即使上述发送数据包中所包含的接收方地址的网络部分与上述局域网的本地IP地址的网络部分重复，也封装上述发送数据包。
2.根据权利要求1所述的通信控制装置，其特征在于，
上述存储部进一步存储通过上述VPN连接的对象设备的虚拟IP地址，
上述判断部进一步比较上述发送数据包中包含的接收方地址和上述存储部中存储的上述对象设备的虚拟IP地址，判断上述接收方地址的网络部分和主机部分双方是否与上述对象设备的虚拟IP地址的网络部分和主机部分双方一致。
3.根据权利要求1所述的通信控制装置，其特征在于，
上述通信控制装置通过和上述局域网不同的通信线路与信息处理装置连接，上述数据包处理部从上述信息处理装置输入用于上述通信线路的专用通信数据包作为上述输入数据包，从上述专用通信数据包的数据区域提取应发送到上述VPN的上述发送数据包。
4.根据权利要求1所述的通信控制装置，其特征在于，
具有再发送处理部，当上述局域网中上述通信控制装置的本地IP地址的网络部分和客户端地址部分双方与上述VPN中上述通信控制装置的虚拟IP地址的网络部分和客户端地址部分双方一致从而上述VPN被切断时，向VPN服务器请求再发送上述VPN地址。
5.一种监视装置，连接到设置于监视对象的局域网，将通过上述监视对象取得的监视信息从上述局域网通过广域网而发送到远程的监视中心，上述监视装置的特征在于，上述监视装置具有：监视控制部，生成应发送到上述监视中心的监视信息；以及通信控制部，与上述监视中心进行VPN通信，
上述通信控制部具有：数据包处理部，将包括来自上述监视控制部的上述监视信息的输入数据包变换为应发送到上述监视中心的发送数据包；
存储部，存储上述VPN中上述监视装置的虚拟IP地址；
判断部，比较上述发送数据包中所包含的发送源地址和上述存储部中存储的上述虚拟IP地址，判断上述发送源地址的网络部分和主机部分双方是否与上述虚拟IP地址的网络部分和主机部分双方一致；以及
封装部，当上述判断部的判断结果为一致时，即使上述发送数据包中所包含的接收方地址的网络部分与上述局域网的本地IP地址的网络部分重复，也封装上述发送数据包。

通信控制装置及监视装置\n技术领域\n[0001] 本发明涉及一种进行VPN通信的通信控制装置。通信控制装置例如设置于监视系统的监视对象上所设置的监视装置，通过VPN将监视信息发送到远程的监视中心。\n背景技术\n[0002] 现有技术中，在通过远程监视中心监视店铺、工厂等监视对象的监视系统中，设置在监视对象上的监视终端与监视中心进行通信。监视终端将监视影像以及由传感器检测出的警备相关的信号等发送到监视中心。\n[0003] 近年来，随着网络技术的发展，提出了利用宽带线路作为监视系统的通信线路的方案。但由于发送的数据是监视影像、警备相关的信号这样私密性要求很高的数据，所以对通信安全的要求也较高。因此提出了以下方案(专利文献1)：在监视中心和监视终端之间构筑作为虚拟的专用线路发挥作用的VPN(虚拟专用网络)，确保通信安全性。\n[0004] 将VPN适用于监视系统时，监视信息的数据包被封装。并且，封装的数据包通过VPN隧道在监视中心和监视终端之间进行通信。为了构筑该VPN，对监视中心和监视终端分别赋予虚拟的IP地址(以下称虚拟IP地址)。\n[0005] 假设在店铺、工厂等监视对象上设置了使用者的局域网(LAN)(这里所说的使用者是相对监视系统的使用者，例如当监视对象是店铺时，使用者是店铺的主人等)。在这种情况下，将监视终端连接到监视对象的LAN，经由LAN连接到因特网，从而可与监视中心进行VPN通信。\n[0006] 当监视对象的LAN的本地IP地址和VPN的虚拟IP地址重复时，则不能进行VPN通信。具体而言，在VPN中，参照数据包的接收方地址的网络部分进行数据包的封装。即，接收方地址的网络部分如果与VPN的虚拟IP地址的网络部分对应，则封装数据包。因此，在监视对象的LAN的本地IP地址及VPN的虚拟IP地址中，如果网络部分重复则不能通信。\n[0007] 为避免上述问题，一般情况下，提供虚拟IP地址使其不与监视对象的LAN的本地IP地址重复。\n[0008] 但是，监视对象的LAN由使用者管理，独立于监视中心。因此，提供虚拟IP地址时即使在VPN一侧避免了重复，之后使用者因故重新构筑监视对象的网络环境而变更本地IP地址，结果可能使监视对象的本地IP地址与监视系统的VPN的虚拟IP地址重复。这种情况下，无法进行VPN的通信，监视业务可能出现故障。\n[0009] 监视系统也起到警备等作用，对系统的安全性、稳定性的要求较高。因此，如上所述，希望尽量避免因监视对象的网络侧的原因使地址重复时而无法进行通信的情况。\n[0010] 以上以监视系统为例说明了本发明的背景。但同样的问题在监视系统以外也会发生。即，在将VPN的通信控制装置连接到LAN的构成中，因某些原因本地IP地址和VPN的虚拟IP地址重复时，无法进行通信。\n[0011] 专利文献1：日本特开2006-203313号公报\n发明内容\n[0012] 本发明在以上背景下出现。本发明的目的是，提供一种在将VPN的通信控制装置连接到局域网的构成中可避免因地址的重复而无法通信的技术。\n[0013] 本发明的一个方式是一种通信控制装置，连接到局域网，通过该局域网连接到广域网并进行VPN通信，上述通信控制装置具有：数据包处理部，将输入数据包变换为发送数据包；存储部，存储VPN中通信控制装置的虚拟IP地址；判断部，比较发送数据包中的发送源地址和存储部中存储的虚拟IP地址，判断发送源地址的网络部分和主机部分双方是否与虚拟IP地址的网络部分和主机部分双方一致；以及封装部，当判断部的判断结果为一致时，封装数据包。\n[0014] 本发明的另一方式是一种监视装置，连接到监视对象的局域网，将通过监视对象取得的监视信息从局域网通过广域网而发送到远程的监视中心，上述监视装置具有：监视控制部，生成应发送到监视中心的监视信息；以及通信控制部，与监视中心进行VPN通信，通信控制部具有：数据包处理部，将包括来自监视控制部的监视信息的输入数据包变换为应发送到监视中心的发送数据包；存储部，存储VPN中监视装置的虚拟IP地址；判断部，比较发送数据包中的发送源地址和存储部中存储的虚拟IP地址，判断发送源地址的网络部分和主机部分双方是否与虚拟IP地址的网络部分和主机部分双方一致；以及封装部，当判断部的判断结果为一致时，封装发送数据包。\n[0015] 如下所述，本发明还存在其他方式。因此，本发明的公开只提供本发明的部分方式，不用于限制在此记述的请求的发明范围。\n附图说明\n[0016] 图1是表示本实施方式的监视系统的整体构成的图。\n[0017] 图2是具体表示监视系统的构成的框图。\n[0018] 图3是表示在监视系统中变更了监视对象LAN的地址的情况的图。\n[0019] 图4是表示监视对象LAN的本地IP地址及监视系统中的VPN的虚拟IP地址的图。\n[0020] 图5是表示相当于本发明的通信控制装置的IP线路单元的构成的图。\n[0021] 图6是表示IP线路单元的动作的流程图。\n[0022] 图7是表示IP线路单元的动作的例子的图。\n[0023] 标号说明\n[0024] 1 监视系统\n[0025] 3 监视中心\n[0026] 5 监视对象\n[0027] 7 使用者地点\n[0028] 11 通信管理装置\n[0029] 13 中心装置\n[0030] 15 监视装置\n[0031] 17 使用者装置\n[0032] 21 中心终端间VPN\n[0033] 23 SIP通信\n[0034] 25 终端间VPN\n[0035] 33 HTTP服务器\n[0036] 35 VPN服务器\n[0037] 37 SIP服务器\n[0038] 41 账户管理服务器\n[0039] 43 数据库\n[0040] 61 监视对象LAN\n[0041] 63 路由器\n[0042] 65 监视对象PC\n[0043] 71 控制器\n[0044] 73 IP线路单元\n[0045] 91 VPN终端装置(VTE)\n[0046] 93 使用者PC\n[0047] 95 路由器\n[0048] 101 数据包处理部\n[0049] 103 存储部\n[0050] 105 判断部\n[0051] 107 封装部\n[0052] 109 再发送处理部\n具体实施方式\n[0053] 以下详细说明本发明。但以下详细说明及附图不用于限定本发明。\n[0054] 本发明的通信控制装置连接到局域网，通过该局域网连接到广域网并进行VPN通信，通信控制装置具有：数据包处理部，将输入数据包变换为发送数据包；存储部，存储VPN中通信控制装置的虚拟IP地址；判断部，比较发送数据包中的发送源地址和存储部中存储的虚拟IP地址，判断发送源地址的网络部分和主机部分双方是否与虚拟IP地址的网络部分和主机部分双方一致；以及封装部，当判断部的判断结果一致时，封装数据包。\n[0055] 如上所述，根据本发明，比较发送数据包中的发送源地址和虚拟IP地址，判断发送源地址的网络部分及主机部分双方是否与虚拟IP地址的网络部分及主机部分双方一致，当判断结果一致时，封装发送数据包。因此，即使由于局域网的地址变更而使发送到VPN的发送数据包的接收方地址的网络部分与本地IP地址的网络部分重复，也可进行VPN通信。这样一来，在将VPN的通信控制装置连接到局域网的构成中可避免因地址重复而不能通信的情况。\n[0056] 并且，在本发明中，存储部可进一步存储通过VPN连接的对象设备的虚拟IP地址，判断部进一步比较发送数据包中含有的接收方地址及存储部中存储的对象设备的虚拟IP地址，判断接收方地址的网络部分及主机部分双方是否与对象设备的虚拟IP地址的网络部分及主机部分双方一致。\n[0057] 根据上述发明，除了比较发送数据包中的发送源地址和通信控制装置的虚拟IP地址外，还比较接收方地址和对象设备的虚拟IP地址。并且，对于后者的比较处理，网络部分和主机部分这两部分是比较对象。并且，如比较结果一致，则封装发送数据包。因此，在将VPN的通信控制装置连接到局域网的构成中可进一步切实避免因地址重复造成无法通信。\n[0058] 并且，本发明的通信控制装置可通过和局域网不同的专用通信线路与信息处理装置连接，数据包处理部从信息处理装置输入用于专用通信线路的专用通信数据包作为输入数据包，从专用通信数据包的数据区域提取应发送到VPN的发送数据包。\n[0059] 在该构成中，通信控制装置通过和局域网不同的专用通信线路与信息处理装置连接，从信息处理装置输入专用通信数据包作为输入数据包。这种情况下，根据本发明，可良好地进行VPN通信，可避免因地址重复造成无法通信。例如，具有上述通信控制装置和信息处理装置的监视装置设置在监视对象上。信息处理装置用作监视控制装置，生成监视信息，通信控制装置将监视信息通过VPN发送到远程的监视中心。专用通信线路是监视装置内的通信线路，也可以是与监视对象的局域网不同的监视装置内的局域网。\n[0060] 并且，本发明的通信控制装置可进一步具有再发送要求部，再发送要求部在局域网中的通信控制装置的本地IP地址的网络部分及客户地址部分双方与VPN中的通信控制装置的虚拟IP地址的网络部分及客户地址部分双方一致从而VPN被切断时，要求VPN服务器进行VPN地址的再发送。\n[0061] 通过该构成，即使在通信控制装置的本地IP地址的网络部分及客户地址部分双方与VPN中的通信控制装置的虚拟IP地址的网络部分及客户地址部分双方一致从而VPN被切断时，也可通过虚拟IP地址的再发送来进行VPN通信。因此，可避免因地址重复造成的无法通信。\n[0062] 并且，本发明的另一方式是一种监视装置，连接到监视对象的局域网，将通过监视对象取得的监视信息从局域网通过广域网发送到远程的监视中心，监视装置具有：监视控制部，生成应发送到监视中心的监视信息；以及通信控制部，与监视中心进行VPN通信，通信控制部具有：数据包处理部，将包括来自监视控制部的监视信息的输入数据包变换为应发送到监视中心的发送数据包；存储部，存储VPN中监视装置的虚拟IP地址；判断部，比较发送数据包中的发送源地址及存储部中存储的虚拟IP地址，判断发送源地址的网络部分及主机部分双方是否与虚拟IP地址的网络部分及主机部分双方一致；以及封装部，当判断部的判断结果一致时封装发送数据包。该方式中也可设置上述本发明的各种构成。\n[0063] 在上述构成中，本发明适用于监视系统，具体而言，适用于与监视中心连接的监视装置。从监视装置向监视中心发送监视信息。此时，比较监视信息的发送数据包中的发送源地址及虚拟IP地址，判断发送源地址的网络部分及主机部分双方是否与虚拟IP地址的网络部分及主机部分双方一致，如判断结果一致，则封装发送数据包。因进行这种判断，所以可避免因监视对象的本地IP地址和监视装置的VPN的虚拟IP地址重复造成的无法通信。\n监视系统也起到警备等作用，本发明可良好对应对系统安全性、稳定性要求较高的需求。\n[0064] 本发明不限于上述通信控制装置及监视装置的方式。本发明可通过其他装置或系统的方式表现，并且本发明可通过方法、程序、或记录了该程序的计算机可读取的记录介质的方式实现。\n[0065] 如上所述，根据本发明，在将VPN的通信控制装置连接到局域网的构成中，可避免因地址重复造成的无法通信的情况。\n[0066] 以下参照附图说明本发明的实施方式。在本实施方式中，本发明适用于监视系统。\n在监视系统中，监视对象和监视中心进行监视信息的通信。本实施方式的通信控制装置设置在监视对象侧的监视装置上。在此首先说明监视系统的构成。\n[0067] 图1表示本发明的监视系统的整体构成。如图所示，监视系统1中，在监视中心3、监视对象5及使用者地点7之间进行通信。其中，使用者是指监视系统1中的监视对象5的监视服务的使用者。在本实施方式的例子中，监视对象5是店铺，使用者地点7是店铺主人的办公室。\n[0068] 监视中心3中具有通信管理装置11及多个中心装置13，它们连接为能够通信。通信管理装置11及多个中心装置13可配置在地理上远离的地点。多个中心装置13可分别配置在多个担当区域。并且，多个中心装置13可分担功能。例如，某中心装置13可作为处理警备相关的信号的管制中心装置发挥作用，其他中心装置13可作为主要处理监视影像的图像中心装置发挥作用。此外，在本发明的范围内，中心装置13也可以是一个。\n[0069] 监视对象5及使用者地点7中分别设置监视装置15及使用者装置17。监视装置\n15及使用者装置17相当于监视系统1中的终端。监视装置15将监视信息发送到中心装置\n13及使用者装置17。监视信息例如是监视照相机的图像，并且是由监视对象5检测出的监视信号。监视信号例如是表示发生异常的警备信号，根据来自设置在监视对象5上的传感器的检测信号生成警备信号，或者在操作警报按钮(开关)时生成。并且，使用者装置17向监视装置15发送控制信号或声音信号。这种从使用者装置17到监视装置15的信号也包含在监视信息中。\n[0070] 图1中示出了一个监视对象5及一个使用者地点7。但实际上，监视中心3与多个监视对象5及多个使用者地点7通信。因此，通信管理装置11也与多个监视装置15及多个使用者装置17通信。各监视装置15与建立关联的使用者装置17(店铺主人的终端)通信。\n[0071] 根据图1的监视系统1，例如监视装置15通过传感器信号等检测异常。此时，作为监视信息的警备信号与监视对象5的影像一起被发送到监视中心3。在监视中心3，操作者通过中心装置13的监视器确认警备信号和影像，向警备人员发出必要的指示。接受到指示的警备人员快速到达至监视对象5，处理异常。\n[0072] 并且，例如监视装置15定期地或根据其他设定将监视对象5的影像等发送到使用者装置17。例如，通过传感器检测出来客时，影像等被发送到使用者装置17。并且，也存在使用者装置17要求发送影像等的情况。主人可根据影像等掌握店铺的情况。并且，主人能够从使用者装置17向监视装置15发送声音等，将必要事项指示给店员。\n[0073] 接着说明监视系统1的通信方式。通信管理装置11、监视装置15及使用者装置\n17连接到因特网。\n[0074] 进一步，通信管理装置11在因特网上通过中心终端间VPN(虚拟专用网络)21与监视装置15及使用者装置17连接。为了构筑中心终端间VPN21，使通信管理装置11具有VPN服务器功能，使监视装置15及使用者装置17具有VPN客户端功能。在VPN中，构筑VPN隧道，进行密码通信，实现较高的安全性。\n[0075] 并且，监视装置15和使用者装置17借助通信管理装置11进行SIP通信23。SIP通信23借助上述中心终端间VPN21进行。通信管理装置11具有SIP服务器功能。\n[0076] 并且，监视装置15和使用者装置17不借助通信管理装置11而是直接通过终端间VPN25连接。为构筑该终端间VPN25，使用者装置17具有VPN服务器功能，使监视装置15具有VPN客户端功能。\n[0077] 其中，中心终端间VPN21总是连接而构筑VPN隧道，用于中心装置13和监视装置\n15及使用者装置17之间的通信。而终端间VPN25仅在必要时构筑。\n[0078] 说明使用终端间VPN25的理由。在监视系统1中进行影像等大容量的数据的通信。\n如果中心终端间VPN21用于所有通信，则通信管理装置11的负荷变得过大。因此，由终端间VPN25进行监视装置15和使用者装置17的通信，从而可确保安全性的同时减轻通信管理装置11的负荷。\n[0079] 并且，本实施方式中的SIP通信23的作用是和普通的IP电话等不同的特别的作用。即，本实施方式中，将SIP的信令作为VPN连接前的准备的处理来定位。具体而言，确立SIP23的会话时，进行信息通知。在该信息通知中进行双向通信，交换INVITE(邀请)消息和OK消息。另一方面，为了确立VPN连接，需要交换信息。在本实施方式中，交换IP地址及电子证书。\n[0080] 因此，SIP通信23的信令用作用于确立VPN连接的信息交换的单元。即，从SIP的连接源向连接地发送附加了IP地址和电子证书的INVITE消息。对应于INVITE消息，从SIP的连接地向连接源返回附加了IP地址和电子证书的OK消息，从而使信息交换成立。\n[0081] 以上说明了监视系统1的整体构成。如上所述，在本实施方式中使用两种VPN。一种连接通信管理装置11和终端(监视装置15或使用者装置17)，另一种连接终端之间(监视装置15和使用者装置17)。因此，在图1中，为了区别这两个VPN，使用中心终端间VPN21和终端间VPN25这两个用语。但也可简化使用VPN21、VPN25这两个用语。\n[0082] 接着参照图2具体说明监视系统1的构成。通信管理装置11具有：防火墙31、HTTP服务器33、VPN服务器35、SIP服务器37、STUN服务器39、账户管理服务器41、数据库\n43及日志服务器45。\n[0083] 防火墙31用于屏蔽在通信管理装置11和监视装置15及使用者装置17之间使用的通信数据以外的数据。HTTP服务器33用于因特网连接。VPN服务器35是进行构筑VPN隧道的认证及加密的服务器。\n[0084] VPN服务器35用于实现中心终端间VPN21，在通信管理装置11和监视装置15之间构筑VPN，以及在通信管理装置11和使用者装置17之间构筑VPN。来自监视装置15的信号通过VPN服务器35解密，发送到中心装置13。并且，来自中心装置13的信号通过VPN服务器35加密，发送到监视装置15。并且，在通信管理装置11向监视装置15发送信号时，也通过VPN服务器35进行加密。在通信管理装置11和使用者装置17的通信中，VPN服务器35也同样进行加密及解密。\n[0085] SIP服务器37根据SIP协议进行信令的处理，连接监视装置15和使用者装置17。\n在使用者装置17要求连接到监视装置15时，或监视装置15要求连接到使用者装置17时，SIP服务器37起到SIP的连接控制的作用。\n[0086] 在SIP的信令中，交换消息。具体而言，交换INVITE(邀请)消息和OK消息。利用该消息交换，如上所述，为确立VPN连接而交换IP地址及电子证书。\n[0087] STUN服务器39为对应监视装置15及使用者装置17的路由器的NAT功能而提供STUN功能。\n[0088] 账户管理服务器41是管理认证等各种信息的服务器。被管理的信息存储到数据库43中。被管理的信息包括IP线路的账户、用于VPN连接(隧道构筑)的电子证书、密钥对的信息。并且在SIP的信令过程中，对终端间的连接进行认证及许可。用于该处理的信息也由数据库43保存，用于账户管理服务器41。\n[0089] 日志服务器45是保存通过监视装置15生成的日志的服务器。\n[0090] 中心装置13具有监视台51和线路连接装置53。监视台51借助线路连接装置53连接到通信管理装置11。例如，当中心装置13是图像中心时，监视影像被提供到监视台51，由监视台51管理。并且，当中心装置13是管制中心时，警备相关的信息被提供到监视台\n51。监视影像也良好的显示于管制中心的监视器上。监视影像等也可在中心装置之间进行通信。\n[0091] 接着说明监视装置15。监视装置15连接到监视对象LAN61。监视对象LAN61是监视对象5的局域网(LAN)，具有宽带线路用的路由器63，路由器63作为网关连接到作为广域网(WAN)的因特网。并且，监视装置15连接到路由器63。路由器63也连接监视对象PC(个人计算机)65。监视对象PC65是设置在监视对象5上的PC。在本实施方式的例子中，监视对象5是店铺，监视对象PC65也可是店铺用PC。进一步，其他设备也可连接到监视对象LAN61。\n[0092] 监视装置15包括：控制器71、IP线路单元73、外围设备75及多线路适配器77。\n[0093] 控制器71由计算机构成，与外围设备75协作而实现监视功能。控制器71借助IP线路单元73与监视中心3连接。并且，控制器71也借助IP线路单元73与使用者装置17连接。\n[0094] 在图2中，作为外围设备75示例了监视照相机81、传感器83及警报按钮85。控制器71对监视影像实施图像识别处理来检测异常。并且，控制器71通过从传感器83输入的检测信号来检测异常。当警报按钮85被按下时也检测出异常。其他外围设备也可用于检测异常。当发生异常时，控制器71与中心装置13通信，发送警备信号和图像信号。具有监视照相机81的同时还具有麦克风，也发送声音信号。由此，控制器71实现监视对象5的警备功能。\n[0095] 并且，在中心装置13要求时也会发送监视影像及声音。进一步，监视影像及声音也发送到使用者装置17。例如定期进行、或者也可根据其他设定来进行向使用者装置17的发送。例如，通过传感器83检测到来客时，影像等发送到使用者装置17。并且，在使用者装置17要求时，监视装置15也发送影像等。\n[0096] IP线路单元73构筑用于控制器71与通信管理装置11通信的VPN隧道。并且，构筑用于控制器71与使用者装置17通信的VPN隧道。前者对应于中心终端间VPN21，后者对应于终端间VPN25。在这些连接中，IP线路单元73实现VPN客户端的功能。\n[0097] 在图2中，IP线路单元73作为控制器71的内部构成被示出。这表现了物理配置。\n作为通信构成，IP线路单元73配置在控制器71和路由器63之间。\n[0098] 多线路适配器77借助移动电话网与中心装置13连接。多线路适配器77用于在宽带线路不通时发送警备信号。警备信号从控制器71借助IP线路单元73发送到多线路适配器77，从多线路适配器77发送到中心装置13。\n[0099] 接着说明使用者装置17。使用者装置17由VPN终端装置(以下称VTE)91及使用者PC(个人计算机)93构成。使用者PC93连接到VTE91，VTE91连接到路由器95，路由器\n95连接到因特网。路由器95是宽带线路用的路由器，是使用者地点7中的LAN的网关。\n[0100] VTE91是用于宽带连接的线路终端装置。并且，VTE91构筑通信管理装置11的VPN服务器35和VPN隧道，并且构筑监视装置15的IP线路单元73和VPN隧道。在前者中，VTE91作为VPN客户端发挥作用，在后者中，VTE91作为VPN服务器发挥作用。\n[0101] VTE91将从监视装置15的控制器71接收的影像、声音及控制信号转送到使用者PC935。并且，VTE91将从使用者PC93接收的声音及控制信号转送到控制器71。\n[0102] 在本实施方式中，使用者地点7是店铺主人的办公室等。因此，使用者PC93可以是店铺的主人的PC。使用者PC93用于主人察看监视对象5的监视影像。为提供该功能，使用者PC93中安装应用程序软件，通过与控制器71进行通信，可显示及切换监视对象5的监视影像。\n[0103] 在本实施方式中，使用者装置17是固定的。但是使用者装置17的功能也可组装到移动终端等中，从而可以移动。\n[0104] 以上说明了监视系统1的整体构成。接着说明本发明的特征性构成。\n[0105] 在本实施方式中，监视装置15的IP线路单元73相当于本发明的通信控制装置。\n如上所述，IP线路单元73连接到监视对象LAN61，并且经由监视对象LAN61连接到因特网，进行VPN通信。用于VPN的虚拟IP地址设定为不与监视对象LAN61的本地IP地址重复。\n但是因某些原因变更本地IP地址，可能会和虚拟IP地址重复。本实施方式在这种情况下有效，可避免无法VPN通信的情况。以下详细进行说明。\n[0106] 首先，参照图3说明监视系统1的构成中被赋予的本地IP地址和虚拟IP地址的例子。\n[0107] 图3相当于监视系统1的一部分。如上所述，作为概要构成，监视对象LAN61具有路由器63来作为到因特网的网关。路由器63与监视对象PC65连接，并且与监视装置15的IP线路单元73(本发明的通信控制装置)连接。\n[0108] 在监视装置15中，控制器71连接于IP线路单元73。在上述图2中，为了表现物理配置，IP线路单元73作为控制器71的内部构成而示出。但作为通信构成，如图3所示，IP线路单元73和控制器71是互相通信的关系。\n[0109] 监视装置15的IP线路单元73借助路由器63，经由因特网与监视中心3的通信管理装置11连接。并且，在IP线路单元73和通信管理装置11之间构筑VPN。\n[0110] 如图3所示，在监视对象LAN16中，对IP线路单元73及监视对象PC65赋予本地IP地址。并且，在VPN中，对IP线路单元73和监视中心3(通信管理装置11)赋予虚拟IP地址。\n[0111] 其中，在图3的例子中，本地IP地址被变更。例如在因使用者的原因重新构筑监视对象LAN61时会发生这种变更。并且，如果进行图3所示的地址变更，则产生以下说明的问题。\n[0112] 参照图4，变更前的本地IP地址如下。\n[0113] IP线路单元：192.168.0.3\n[0114] 监视对象PC：192.168.0.1\n[0115] 而虚拟IP地址如下。\n[0116] IP线路单元：10.180.0.3\n[0117] 监视中心：10.180.0.1\n[0118] 作为VPN的处理，IP线路单元73需要判断数据包是VPN的封装对象。在现有的VPN中，为了进行该判断，参照数据包的接收方地址的网络部分。并且，如果接收方地址的网络部分是虚拟IP地址的网络部分(10.180)，则数据包被封装，发送到VPN隧道。\n[0119] 在图4的例子中，数据包的接收方是VPN的监视中心3(通信管理装置11)时，接收方地址是“10.180.0.1”，其包括虚拟IP地址的网络部分，因此数据包被封装，发送到VPN隧道。\n[0120] 为了正常进行上述VPN的处理，本地IP地址和虚拟IP地址中网络部分不能重复。\n如果网络部分重复则不能进行VPN通信。因此，在将VPN对应的设备连接到LAN时，设定虚拟IP地址，以使本地IP地址和网络部分不重复。在图4的例子中，本地IP地址的网络部分是“192.168”。因此，虚拟IP地址的网络部分设定为“10.180”。\n[0121] 但在图3及图4的例子中，本地IP地址被变更，结果是本地IP地址和虚拟IP地址变为：\n[0122] 本地IP地址\n[0123] IP线路单元：10.180.0.5\n[0124] 监视对象PC：10.180.0.2\n[0125] 虚拟IP地址\n[0126] IP线路单元：10.180.0.3\n[0127] 监视中心：10.180.0.1\n[0128] 本地IP地址变更的结果是，本地IP地址的网络部分与虚拟IP地址的网络部分一致。因此，IP线路单元73无法进行VPN通信。\n[0129] 产生这种情况例如是在重新构筑监视对象LAN61的情况下。监视对象LAN61属于监视对象5，由使用者所有。因此，未考虑与监视中心3之间的VPN而变更了本地IP地址，其结果是产生了地址重复现象。\n[0130] 在本实施方式中，为防止上述问题，IP线路单元73如下构成。\n[0131] 图5表示IP线路单元73的构成的同时示出了控制器71及路由器63。IP线路单元73如上所述相当于本发明的通信控制装置，并且也相当于本发明的通信控制部。控制器\n71相当于本发明的信息处理装置及监视控制部。\n[0132] IP线路单元73和控制器71通过LAN(以太网，注册商标)连接。该LAN是和监视对象LAN61不同的LAN。为了与监视对象LAN61区别，将控制器71和IP线路单元73之间的LAN称为监视装置内LAN201。监视装置内LAN201也可称为控制器内LAN。\n[0133] 如图5所示，IP线路单元73具有数据包处理部101、存储部103、判断部105、封装部107和再发送处理部109。\n[0134] 数据包处理部101从控制器71输入数据包，将输入的数据包(输入数据包)变换为应通过VPN发送到监视中心3的监视信息的数据包(发送数据包)。如下所述进行从输入数据包的数据区域抽取发送数据包的处理。并且，数据包处理部101也可输入面向监视对象LAN61的数据包、面向VPN以外的WAN的数据包。这些数据包由包头区域和数据区域构成，包头区域中存储发送源的IP地址和接收方IP地址。\n[0135] 存储部103存储由IP线路单元73处理的各种信息。关于本实施方式，存储部103存储IP线路单元73的本地IP地址及虚拟IP地址。\n[0136] 判断部105比较通过数据包处理部101变换了输入的数据包的发送数据包中的发送源地址、和存储到存储部103中的虚拟IP地址。并且，判断部105判断发送源地址的网络部分和主机部分双方是否与虚拟IP地址的网络部分及主机部分双方一致。\n[0137] 判断部105在判断结果一致时，将数据包提供到封装部107。如果判断结果不一致，判断部105将数据包直接发送到路由器63。\n[0138] 封装部107为了发送到VPN隧道而封装数据包。在本实施方式中，仅在判断部105的判断结果一致时，数据包从105提供到封装部107，通过封装部107封装。\n[0139] 封装时数据包被加密。并且，附加(封装)VPN的连接对象的全局IP地址。在本实施方式的例子中，赋予通信管理装置11的全局IP地址。由此，做成的封装被发送到路由器63。\n[0140] 并且，再发送处理部109用于向通信管理装置11的VPN服务器35要求再发送虚拟IP地址。稍后详细说明再发送处理部109。\n[0141] 以上参照图5说明了本实施方式中特征性的IP线路单元73的构成。\n[0142] 接着参照图6及图7说明本实施方式的动作。在此说明IP线路单元73的数据包发送动作。\n[0143] 图6是表示各数据包的处理的流程图。首先，由数据包处理部101将输入的数据包变换为发送用数据包(S1)。判断部105取得数据包中的发送源地址(S3)。然后，判断部\n105判断发送源地址的网络部分及主机部分双方是否与IP线路单元73的虚拟IP地址的网络部分及主机部分双方一致(S5)。如果步骤S5的判断结果是“否”，则数据包原样发送到路由器63(S9)。如果步骤S5的判断结果是“是”，则数据包在封装部107中被封装(S7)，封装后的数据包发送到路由器63(S9)。\n[0144] 图7具体表示上述处理。图7的左上部分表示来自控制器71的输入数据包121。\n如上所述，控制器71和IP线路单元73通过监视装置内LAN201连接。输入数据包121是监视装置内LAN201的LAN数据包。\n[0145] 输入数据包121具有包头区域123和数据区域125。虽未图示，包头区域123中附加有在监视装置内LAN201中设定的控制器71及IP线路单元73的地址来作为发送源及接收方(为避免与以下说明的地址混淆而省略了这些地址的图示)。并且，数据区域125中包括由IP线路单元73应处理的数据包，即应发送到路由器63的数据包的数据。换言之，在控制器71中，生成由IP线路单元73应处理的数据包，向该数据包的包头区域123附加发送源为控制器71、接收方为IP线路单元73的信息，发送到IP线路单元73。\n[0146] 数据包处理部101抽出(提取)输入数据包121的数据区域中的数据包131。数据包131中，发送源地址133和接收方地址135包含在包头区域132中。它们与上述监视装置内LAN201的地址不同，是IP线路单元73之前的通信的地址。并且，数据区域137中包括应发送到监视中心3的监视信息。\n[0147] 并且在本实施方式中，其构成是输入数据包121的数据区域中含有发送到路由器\n63的数据包131，但也可通过数据包处理部101改写输入数据包121的包头区域的信息。\n即，在数据包处理部101中，附加到输入数据包121的包头区域123的发送源如果是控制器\n71，则可以是如下数据包131：将包头区域的发送源改写为IP线路单元73的虚拟IP地址，将接收方改写为监视中心3的虚拟IP地址，并发送到路由器63。\n[0148] 判断部105将数据包131中的包头区域中含有的发送源地址133与存储部103中存储的IP线路单元73的虚拟IP地址进行比较。比较对象如图所示是地址中的网络部分和主机部分，即是地址的全部位。\n[0149] 判断部105判断发送源地址的网络部分及主机部分是否与虚拟IP地址的网络部分及主机部分一致。不一致时，数据包直接发送到路由器63。一致时，数据包发送到封装部\n107。\n[0150] 图7表示到WAN、到LAN、到VPN的三种数据包。在表示到各接收方的数据包的图中，上段表示发送源地址，下段表示接收方地址。在图7中，IP线路单元73的本地IP地址和图3及图4的变更后的例子一样(10.180.0.5)。并且，虚拟IP地址也和图3及图4的例子一样(10.180.0.3)。因此，在现有的处理中，局域网和VPN的网络地址相同，无法通信。\n但在本实施方式中，可如下通信。\n[0151] 在到WAN的数据包中，发送源地址是IP线路单元73的本地IP地址，接收方地址是全局IP地址。发送源地址与虚拟IP地址不一致。因此，数据包发送到路由器63。\n[0152] 在到LAN的数据包中，发送源地址是IP线路单元73的本地IP地址，接收方地址是面向监视对象LAN61的本地IP地址。这种情况下，发送源地址与虚拟IP地址不一致。因此，数据包发送到路由器63。\n[0153] 在到VPN的数据包中，发送源地址是IP线路单元73的虚拟IP地址，接收方地址是监视中心3(通信管理装置11)的虚拟IP地址。这种情况下，发送源地址与数据包处理部101的虚拟IP地址一致。因此，数据包发送到封装部107。在封装部107中，数据包被加密。并且，对加密的数据包赋予监视中心3(通信管理装置11)的全局IP地址(封装)。\n由此，做成的数据包发送到路由器63，并发送到监视中心3。\n[0154] 因此根据本实施方式，判断部105比较数据包的发送源地址和虚拟IP地址，尤其是将地址中的网络部分和主机部分双方作为比较对象。这样一来，即使本地IP地址有变更，也可良好地维持IP线路单元73的功能。\n[0155] 但即使是上述构成也存在无法避免问题的情况。这是以下情况：在IP线路单元73中，本地IP地址的网络部分及主机部分与虚拟IP地址的网络及主机部分一致。即，是本地IP地址和虚拟IP地址中所有位完全一致的情况。这种情况下判断部105也无法应对，无法处理VPN的数据包。因此，为对应这一情况，如下所述，再发送要求部109适时发挥作用。\n[0156] 再发送处理部109在监视对象LAN61的本地IP地址变更时发挥作用。监视对象LAN61的本地IP地址变更后，IP线路单元73的本地IP地址也变更，存储部103的本地IP地址也改写。再发送处理部109将更新后的IP线路单元73的本地IP地址与IP线路单元\n73的虚拟IP地址进行比较。并且，再发送要求部109判断本地IP地址的网络部分及客户端地址部分双方是否与虚拟IP地址的网络部分及客户端地址部分双方一致。判断结果一致时，再发送处理部109请求再发送VPN地址。向通信管理装置11的VPN服务器35进行再发送的请求。\n[0157] 对应于再发送的请求，从通信管理装置11传送来新的虚拟IP地址时，再发送处理部109将新的虚拟IP地址存储到存储部103中。并且，IP线路单元73使用新的虚拟IP地址进行VPN的处理。上述判断等也使用新的虚拟IP地址进行。\n[0158] 在实际的装置中，再发送要求部109的处理利用VPN的功能如下进行。当本地IP地址的网络部分及主机部分(所有位)与虚拟IP地址的网络部分及主机部分一致时，无法进行VPN通信，VPN连接被断开。切断后进行VPN的连接处理。在该再连接的过程中，从通信管理装置11的VPN服务器35取得新的虚拟IP地址，存储到存储部103中。该VPN的切断及再连接的功能在图5中相当于再发送要求部109。\n[0159] 因此根据本实施方式，通过本地IP地址的变更，在本地IP地址和虚拟IP地址中网络部分及主体部分全部一致的情况下，再发送要求部109也适时作用，通过变更虚拟IP地址一侧可确保IP线路单元73的VPN通信功能。\n[0160] 接着说明本实施方式的变形例。在上述实施方式中，判断部105的判断对象是数据包的发送源地址。判断部105也可进一步将数据包的接收方地址作为判断对象。对此进行以下说明。\n[0161] 图5中虽未示出，但IP线路单元73的存储部103存储VPN的连接对象的虚拟IP地址。在该例中，存储通信管理装置11的虚拟IP地址。\n[0162] 判断部105将数据包的接收方地址与存储部103中存储的连接对象的虚拟IP地址进行比较。在此判断与接收方地址一致的虚拟IP地址是否注册到了存储部103中。并且在该处理中，判断部105判断接收方地址的网络部分及主机部分双方是否与存储部103中存储的连接对象的虚拟IP地址的网络部分及主机部分双方一致。\n[0163] 在发送源地址的判断结果一致、且接收方地址的判断结果也一致时，判断部105将数据包传送到封装部107。\n[0164] 如上所述，不仅发送源地址、而且接收方地址也进行判断，从而可切实地进行VPN的数据包的判断。并且，可进一步切实避免由于本地IP地址的变更而无法通信的情况。\n[0165] 接着说明其他变形例。在上述实施方式的例子中，本发明适用于监视装置15和监视中心3(通信管理装置11)之间的中心终端间VPN21。但本发明不限于上述示例。本发明也可适用于监视装置15和使用者装置17的终端间VPN25。并且，本发明还可适用于监视系统以外。在VPN的虚拟IP地址设定者的管理之外，通过LAN的变更等变更了本地IP地址的情况下，本发明尤其有效。\n[0166] 以上说明了本发明的实施方式。根据本发明，如上所述，VPN的通信控制装置(在实施方式中是IP线路单元73)比较发送数据包中的发送源地址和虚拟IP地址，判断发送源地址的网络部分及主机部分双方是否与虚拟IP地址的网络部分及主机部分双方一致，判断结果如果一致则封装发送数据包。因此，可避免由于本地IP地址的变更形成的地址重复而引起的无法通信。\n[0167] 并且，根据本发明，通信控制装置通过专用通信路径连接到信息处理装置。在通信控制装置中，用于专用通信路径的专用通信数据包作为输入数据包而从信息处理装置输入。从专用通信数据包的数据区域中抽取应发送到VPN的数据包。并且，专用通信数据包中的数据区域中含有的地址成为与虚拟IP地址的比较对象。在上述实施方式中，信息处理装置是控制器71，专用通信路径是监视装置内LAN201，专用通信数据包是监视装置内LAN201的数据包。因此，在从信息处理装置输入了专用通信数据包的情况下，根据本发明，也可良好地进行VPN的通信，可避免地址重复造成的无法通信。\n[0168] 并且，根据本发明，如上述实施方式所述，将再发送处理部设置在通信控制装置上，因此在局域网中的通信控制装置的本地IP地址的网络部分及客户地址部分双方与VPN中的通信控制装置的虚拟IP地址的网络部分及客户地址部分双方一致并切断了VPN的情况下，也可通过再发送虚拟IP地址来进行VPN通信。因此，可避免因地址重复造成的无法通信。\n[0169] 并且，根据本发明，如上述变形例所述，除了比较发送数据包中的发送源地址和通信控制装置的虚拟IP地址，也比较接收方地址和对象设备的虚拟IP地址。并且，对于后者的比较处理，网络部分和主机部分两个部分也是比较对象。并且，如比较结果一致，则封装发送数据包。通过这一构成，在将VPN的通信控制装置连接到局域网的构成中，可进一步切实避免地址重复造成的无法通信。\n[0170] 并且，本发明如上所述适用于监视系统。并且，可避免因监视对象的本地IP地址和监视装置的VPN的虚拟IP地址重复造成无法通信。监视系统也具有警备等作用，本发明可对应对系统的安全性、稳定性要求高的需求。\n[0171] 以上说明了本发明的优选实施方式。但本发明不限于上述实施方式，本领域技术人员在本发明的范围内当然可对上述实施方式进行变形。\n[0172] 以上说明了目前考虑到的本发明的优选实施方式，但对本实施方式应可作多种变形，并且处于本发明的真实精神和范围内的所有变形均包含在权利要求范围内。\n[0173] 产业上利用的可能性\n[0174] 如上所述，本发明涉及的监视系统适用于使用通信远程监视店铺等。