JP2011166375A - Device, method, program and system for setting access control, and access control device - Google Patents
Device, method, program and system for setting access control, and access control device Download PDFInfo
- Publication number
- JP2011166375A JP2011166375A JP2010025841A JP2010025841A JP2011166375A JP 2011166375 A JP2011166375 A JP 2011166375A JP 2010025841 A JP2010025841 A JP 2010025841A JP 2010025841 A JP2010025841 A JP 2010025841A JP 2011166375 A JP2011166375 A JP 2011166375A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- authentication
- access
- predetermined
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、アクセス制御設定装置、アクセス制御設定方法、アクセス制御設定プログラム、アクセス制御設定システム、及びアクセス制御装置に関する。 The present invention relates to an access control setting device, an access control setting method, an access control setting program, an access control setting system, and an access control device.
近年、複数の拠点間を拠点間接続することで協働空間を提供するサービスが登場した。特に、オンデマンド(on−demand)なサービス、すなわち、要求に応じて時限的に拠点間接続するサービスに対する要望が高い。ここで、「拠点」とは、VPN(Virtual Private Network)や地理的条件などによって到達性を制限され孤立しているネットワークドメインのことである。また、「拠点間接続」とは、ある拠点の端末から送信されたパケットをある拠点の端末に対して転送するための情報を該拠点間の経路上に存在する各機器に設定することで、拠点間を通信可能に相互接続することである。また、「協働空間」とは、拠点間接続により生じたネットワークドメインのことであり、相互接続された範囲を新たな到達可能範囲とするネットワークドメインのことである。例えば、非特許文献1には、接続方式が異なる複数のVPN間をVPN間接続する技術が開示されている。
In recent years, services have emerged that provide a collaborative space by connecting multiple locations. In particular, there is a high demand for an on-demand service, that is, a service for connecting between bases in a timely manner upon request. Here, the “base” is an isolated network domain whose reachability is limited by VPN (Virtual Private Network) or geographical conditions. In addition, “inter-base connection” means that information for transferring a packet transmitted from a terminal at a base to a terminal at a base is set in each device existing on the path between the bases. It is interconnecting the bases so that they can communicate with each other. The “collaborative space” is a network domain generated by inter-base connection, and is a network domain having the interconnected range as a new reachable range. For example, Non-Patent
ところで、従来、拠点間のアクセス制御は、端末を利用する利用者の認証(以下、ユーザ認証)に基づいて行われることが一般的である。例えば、拠点間を接続するシステムは、拠点間接続に属する各端末の利用者毎にユーザ認証を行い、ユーザ認証に成功すると、ユーザ認証に成功した該ユーザが利用する端末を収容するゲートウェイ装置に対して、該ユーザに関するアクセスを許可するように制御する。なお、例えば、特許文献1には、ユーザ認証がゲートウェイ装置によって行われ、ゲートウェイ装置によって払い出されたチケットに基づいてアクセス制御が行われる技術が開示されている。
By the way, conventionally, access control between bases is generally performed based on authentication of a user who uses a terminal (hereinafter referred to as user authentication). For example, a system for connecting bases performs user authentication for each user of each terminal belonging to the base-to-base connection, and if user authentication is successful, the gateway device that accommodates the terminal used by the user who has succeeded in user authentication. On the other hand, control is performed to permit access related to the user. For example,
しかしながら、上述した従来の技術では、拠点間接続により生じたネットワークドメインにおける到達性を適切に制御することができないという課題がある。例えば、2拠点間の拠点間接続(各拠点に端末は1台ずつ)の場合、かつ、それぞれの拠点が2つのゲートウェイ装置それぞれに収容されている場合を検討する。このような場合、例えば、拠点間を接続するシステムは、一方のユーザのユーザ認証に成功すると、該ユーザに対応するゲートウェイ装置に対して該ユーザに関するアクセスを許可するように制御する。ここで、他方のゲートウェイ装置は、該ユーザに関するアクセス制御を行わないので、この時点で、ユーザ認証に成功したユーザは、ユーザ認証を行っていない他方のユーザに到達することができてしまう。 However, the above-described conventional technique has a problem that the reachability in the network domain caused by the connection between bases cannot be appropriately controlled. For example, consider the case of inter-base connection between two bases (one terminal at each base) and the case where each base is accommodated in each of two gateway devices. In such a case, for example, when the user authentication of one user is successful, the system that connects the bases controls to permit the gateway device corresponding to the user to access the user. Here, since the other gateway device does not perform access control related to the user, at this point, a user who has succeeded in user authentication can reach the other user who has not performed user authentication.
なお、チケットに基づくアクセス制御は、既存のゲートウェイ装置のインタフェースに変更を加えなければ実現できず、上記課題を適切に解決するものではない。 Note that the access control based on the ticket cannot be realized without changing the interface of the existing gateway device, and does not solve the above problem appropriately.
開示の技術は、上記に鑑みてなされたものであって、拠点間接続により生じたネットワークドメインにおける到達性を適切に制御することが可能なアクセス制御設定装置、アクセス制御設定方法、アクセス制御設定プログラム、アクセス制御設定システム、及びアクセス制御装置を提供することを目的とする。 The disclosed technology has been made in view of the above, and an access control setting device, an access control setting method, and an access control setting program capable of appropriately controlling reachability in a network domain caused by inter-base connection It is an object to provide an access control setting system and an access control device.
本願の開示するアクセス制御設定装置、アクセス制御設定方法、アクセス制御設定プログラム、アクセス制御設定システム、及びアクセス制御装置は、一つの態様において、複数の拠点について所定の拠点間接続が広域ネットワークを介して形成される場合に、各拠点配下の端末を収容するとともに該所定の拠点間接続に属する端末間で行われるアクセスを制御するアクセス制御装置に対して、該アクセスを制御するためのアクセス制御情報を設定するアクセス制御設定装置であって、前記各拠点配下の端末毎に、該端末を利用する利用者を認証する認証手段と、前記認証手段による認証成功の認証結果が前記所定の拠点間接続に属する端末のうち所定の端末について取得されると、該所定の端末を送信元として前記広域ネットワークを宛先とするアクセスを許可するように、該所定の端末を収容するアクセス制御装置に対してアクセス制御情報を設定する第一アクセス制御手段と、予め設定された所定の条件を満たすと、前記第一アクセス制御手段によってアクセスが許可された所定の端末以外の端末であって前記所定の拠点間接続に属する各端末を送信元として該所定の端末を宛先とするアクセスを許可するように、該所定の端末を収容するアクセス制御装置に対してアクセス制御情報を設定する第二アクセス制御手段とを備えたことを特徴とする。 In one aspect, an access control setting device, an access control setting method, an access control setting program, an access control setting system, and an access control device disclosed in the present application are configured such that predetermined inter-site connections are made via a wide area network for a plurality of bases. When the access control device is formed, the access control information for controlling the access is stored in the access control device that accommodates the terminals under each base and controls the access performed between the terminals belonging to the predetermined inter-base connection. An access control setting device for setting, wherein for each terminal under each of the bases, an authentication means for authenticating a user who uses the terminal, and an authentication result of successful authentication by the authentication means is the connection between the predetermined bases When acquired for a predetermined terminal among the terminals to which the terminal belongs, the wide area network is destined for the predetermined terminal as a transmission source. First access control means for setting access control information for an access control apparatus that accommodates the predetermined terminal so as to permit the access to be performed, and the first access control when a predetermined condition is set in advance. A terminal other than the predetermined terminal to which access is permitted by the means, and the predetermined terminal is permitted so that access is permitted to each terminal belonging to the predetermined inter-base connection as a transmission source. And a second access control means for setting access control information for the access control apparatus to be accommodated.
本願の開示するアクセス制御設定装置、アクセス制御設定方法、アクセス制御設定プログラム、アクセス制御設定システム、及びアクセス制御装置の一つの態様によれば、拠点間接続により生じたネットワークドメインにおける到達性を適切に制御することが可能になるという効果を奏する。 According to one aspect of the access control setting device, the access control setting method, the access control setting program, the access control setting system, and the access control device disclosed in the present application, the reachability in the network domain caused by the inter-base connection is appropriately set. There is an effect that it becomes possible to control.
以下、本願の開示するアクセス制御設定装置、アクセス制御設定方法、アクセス制御設定プログラム、アクセス制御設定システム、及びアクセス制御装置の実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。 Hereinafter, embodiments of an access control setting device, an access control setting method, an access control setting program, an access control setting system, and an access control device disclosed in the present application will be described. In addition, this invention is not limited by the following examples.
[実施例1に係るアクセス制御設定システムの概要]
図1〜11を用いて、実施例1に係るアクセス制御設定システムを説明する。図1は、実施例1に係るアクセス制御設定システムを説明するための図である。なお、図1に例示する点線は、広域ネットワークを運用する電気通信事業者側とVPNサービスを運用する電気通信事業者側との分界を例示するものである。
[Outline of Access Control Setting System According to Embodiment 1]
The access control setting system according to the first embodiment will be described with reference to FIGS. FIG. 1 is a diagram for explaining an access control setting system according to the first embodiment. The dotted line illustrated in FIG. 1 illustrates the demarcation between the telecommunications carrier side that operates the wide area network and the telecommunications carrier side that operates the VPN service.
図1に例示する各種装置のうち、統合AAA(Authentication Authorization Accounting)装置100及びゲートウェイ装置200が、実施例1に係るアクセス制御設定システムに該当する。また、図1に例示するように、各VPN終端装置50が終端するVPN間を集合仮想ルータ10を介して接続するシステムが、VPN間接続システムであり、VPN間接続システムを全般的に管理するシステムが、VPN間接続管理システム20である。なお、図1においては、統合AAA装置100とVPN間接続管理システム20とが異なる筐体である構成を例示するが、本発明はこれに限られるものではなく、統合AAA装置100とVPN間接続管理システム20とが1台の筐体に収まった装置が設置される構成にも本発明を同様に適用することができる。
Among various apparatuses illustrated in FIG. 1, an integrated AAA (Authentication Authorization Accounting)
ここで、VPN間接続管理システム20について簡単に説明する。図1に例示するように、広域ネットワークには、集合仮想ルータ10やVPN終端装置50が設置される。ここで、集合仮想ルータ10とは、広域ネットワーク内のパケット転送を制御する装置のことである。また、VPN終端装置50とは、VPNを収容するとともに収容したVPN側と広域ネットワーク側との間でVPNを終端する装置のことである。
Here, the VPN
なお、図1においては、複数台の筐体のVPN終端装置50と1台の筐体の集合仮想ルータ10とが設置される構成を例示するが、本発明はこれに限られるものではない。例えば、複数台の筐体のVPN終端装置50と1台の筐体の集合仮想ルータ10との組合せがさらに複数設置される構成にも本発明を同様に適用することができる。また、例えば、複数台の筐体のVPN終端装置50と複数台の筐体の集合仮想ルータ10とが組み合わせて設置される構成にも本発明を同様に適用することができる。また、例えば、VPN終端装置50が有する機能(VPNを収容するとともに収容したVPN側と広域ネットワーク側との間でVPNを終端する機能)と、集合仮想ルータ10が有する機能(広域ネットワーク内のパケット転送を制御する機能)とが1台の筐体に収まった装置が設置される構成にも本発明を同様に適用することができる。
FIG. 1 illustrates a configuration in which a plurality of
また、図1においては、VPN間接続管理システム20が広域ネットワークに設置される構成を例示するが、本発明はこれに限られるものではない。VPN間接続管理システム20は、集合仮想ルータ10やVPN終端装置50との間で通信を行うことが可能な構成であればよく、必ずしも広域ネットワークに設置されていなければならないわけではない。例えば、VPN間接続管理システム20が、VPN終端装置50及び集合仮想ルータ10と監視用のネットワークで接続されている構成にも本発明を同様に適用することができる。
1 illustrates a configuration in which the inter-VPN
さて、このような構成の下、VPN間接続管理システム20は、VPN間接続要求を受け付け、受け付けたVPN間接続要求に基づいて、VPN間接続に必要な設定情報の設定対象となる装置を特定する。具体的には、VPN間接続管理システム20は、VPN間接続要求にて指定されたVPNそれぞれを収容するVPN終端装置50を特定し、かつ、集合仮想ルータ10を特定する。
Now, under such a configuration, the inter-VPN
次に、VPN間接続管理システム20は、特定したVPN終端装置50に設定すべき設定情報であってVPN間接続要求にて指定されたVPNそれぞれに対応する設定情報それぞれを、特定したVPN終端装置50に応じて生成する。また、VPN間接続管理システム20は、特定した集合仮想ルータ10に設定すべき設定情報を、特定した集合仮想ルータ10に応じて生成する。そして、VPN間接続管理システム20は、生成した設定情報を、特定したVPN終端装置50及び集合仮想ルータ10に対して反映する。なお、設定情報の反映は、例えば、事前に予約設定されたサービス開始時刻などに併せて行われる。
Next, the inter-VPN
こうして、VPN間接続管理システム20によって、VPN間接続システムに、VPN間接続要求に基づくVPN間接続が構築された。また、構築されたVPN間接続は、VPN間接続サービスとして、VPN間接続管理システム20によって提供される。
Thus, the inter-VPN
図1に戻り、ASP(Application Service Provider)30は、広域ネットワークに設置されたサーバである。例えば、VPN間接続サービスの提供を受けるユーザ端末が、HTTP(Hyper Text Transfer Protocol)などのプロトコルでASP30にアクセスする。また、ハブ11は、例えばLayer2のスイッチングハブであり、VPN終端装置50などを収容する。
Returning to FIG. 1, an ASP (Application Service Provider) 30 is a server installed in a wide area network. For example, a user terminal that is provided with an inter-VPN connection service accesses the
なお、図1においては、説明の便宜上、ゲートウェイ装置200とVPN終端装置50とが1対1の関係にある構成を例示するが、本発明はこれに限られるものではない。ゲートウェイ装置200とVPN終端装置50との構成は、M対Nの関係でもよい。また、図1においては、例えばゲートウェイ装置200として、「ゲートウェイ装置1」、「ゲートウェイ装置2」、及び「ゲートウェイ装置3」を示すが、これらを区別する場合には、それぞれ「ゲートウェイ装置200(1)」、「ゲートウェイ装置200(2)」、「ゲートウェイ装置200(3)」と表記する。他の装置も同様である。
1 illustrates a configuration in which the
また、実施例1においては、図1に例示するように、ユーザ「UserA」が利用するユーザ端末が、VPN終端装置50(1)及びゲートウェイ装置200(1)に収容され、ユーザ「UserB」が利用するユーザ端末が、VPN終端装置50(2)及びゲートウェイ装置200(2)に収容され、ユーザ「UserC」が利用するユーザ端末が、VPN終端装置50(3)及びゲートウェイ装置200(3)に収容される例を説明するが、本発明はこれに限られるものではない。例えば、ユーザ「UserA」が利用するユーザ端末、ユーザ「UserB」が利用するユーザ端末、及びユーザ「UserC」が利用するユーザ端末の全てが、同一のVPN終端装置50及びゲートウェイ装置200(例えば、VPN終端装置50(1)及びゲートウェイ装置200(1))に収容される構成にも、本発明を同様に適用することができる。
In the first embodiment, as illustrated in FIG. 1, the user terminal used by the user “UserA” is accommodated in the VPN terminal device 50 (1) and the gateway device 200 (1), and the user “UserB” The user terminal to be used is accommodated in the VPN terminating device 50 (2) and the gateway device 200 (2), and the user terminal used by the user “UserC” is in the VPN terminating device 50 (3) and the gateway device 200 (3). Although the example accommodated is demonstrated, this invention is not limited to this. For example, the user terminal used by the user “UserA”, the user terminal used by the user “UserB”, and the user terminal used by the user “UserC” are all the same
上記構成の下、実施例1に係る統合AAA装置100は、VPN間接続管理システム20によってVPN間接続サービスが提供されるにあたり、VPN間接続サービスの提供を受ける各VPN配下のユーザ端末毎に、ユーザ端末を利用するユーザを認証する。また、統合AAA装置100は、VPN間のアクセスがユーザ端末を利用するユーザ毎の認証結果に応じて段階的に許可されるように、VPN間のアクセスを制御する。すなわち、統合AAA装置100は、VPN間のアクセスがユーザ端末毎の認証結果に応じて段階的に許可されるように、ゲートウェイ装置200に対してアクセス制御情報を設定する。
Under the above configuration, the
[実施例1に係る統合AAA装置100の構成]
次に、図2〜8を用いて、実施例1に係る統合AAA装置100(アクセス制御設定装置とも称する)の構成を説明する。図2は、実施例1に係る統合AAA装置100の構成を示すブロック図である。図2に例示するように、実施例1に係る統合AAA装置100は、通信I/F部110を備える。例えば、通信I/F部110は、IP(Internet Protocol)通信用の一般的なインタフェースなどである。
[Configuration of
Next, the configuration of the integrated AAA device 100 (also referred to as an access control setting device) according to the first embodiment will be described with reference to FIGS. FIG. 2 is a block diagram illustrating the configuration of the
また、実施例1に係る統合AAA装置100は、特に、VPN間接続システム認証情報記憶部120と、認証結果記憶部121と、サービス情報記憶部122と、VPN間接続システム認証部130と、アクセス制御設定部131とを備える。
Further, the
VPN間接続システム認証情報記憶部120は、VPN間接続サービスの提供を受けるユーザを認証するための認証情報を記憶する。具体的には、VPN間接続システム認証情報記憶部120は、例えば、VPN間接続サービスの契約時などに、VPN間接続サービスの運用担当者などによって予め登録されることで、認証情報を記憶する。また、VPN間接続システム認証情報記憶部120が記憶する認証情報は、VPN間接続システム認証部130による処理に利用される。
The inter-VPN connection system authentication
図3は、VPN間接続システム認証情報記憶部120が記憶する認証情報の一例を示す図である。例えば、図3に例示するように、実施例1に係るVPN間接続システム認証情報記憶部120は、VPN間接続システムのユーザ名と、パスワードと、リモートIPアドレスとを対応付けて記憶する。
FIG. 3 is a diagram illustrating an example of authentication information stored in the inter-VPN connection system authentication
VPN間接続システムのユーザ名とは、VPN間接続サービスの提供を受けるユーザをVPN間接続管理システム20にて識別するための名称である。また、パスワードとは、ユーザ名で識別されるユーザが正当なユーザであるか否かを認証するための情報であり、例えば、Base64によってエンコードされた文字列などである。また、リモートIPアドレスとは、ユーザが利用するユーザ端末に割り当てられたプライベートアドレスである。なお、図3においては、「リモートIPアドレスA」などと表記するが、実際は、例えば「192.168.1.10」といったIPアドレスである。
The user name of the inter-VPN connection system is a name for identifying, in the inter-VPN
認証結果記憶部121は、ユーザの認証結果を記憶する。具体的には、認証結果記憶部121は、VPN間接続システム認証部130によって格納されることで、認証結果を記憶する。また、認証結果記憶部121が記憶する認証結果は、アクセス制御設定部131による処理に利用される。
The authentication
図4は、認証結果記憶部121が記憶する認証結果の一例を示す図である。例えば、図4に例示するように、実施例1に係る認証結果記憶部121は、VPN間接続システムのユーザ名と、認証結果と、認証完了時刻とを対応付けて記憶する。認証結果とは、認証が成功したか否かの結果であり、「OK」は認証に成功したことを示し、「NG」は認証に失敗したことを示す。なお、実施例1においては、成功するまで繰り返し認証が行われることを想定し、認証が成功した場合に「認証完了」という。また、認証完了時刻とは、認証処理が行われた時刻であり、実施例1においては、認証が成功したか否かに係らず記録される。
FIG. 4 is a diagram illustrating an example of the authentication result stored in the authentication
サービス情報記憶部122は、VPN間接続サービスに関するサービス情報を記憶する。具体的には、サービス情報記憶部122は、例えば、VPN間接続サービスが提供されるサービス開始時刻までに、VPN間接続サービスの運用担当者や、あるいはVPN間接続管理システム20によって予め登録されることで、サービス情報を記憶する。また、サービス情報記憶部122が記憶するサービス情報は、アクセス制御設定部131による処理に利用される。
The service
図5は、サービス情報記憶部122が記憶するサービス情報の一例を示す図である。例えば、図5に例示するように、サービス情報記憶部122は、サービス開始時刻と、サービス終了時刻と、仮想ルータ名と、VPN間接続システムのユーザ名と、ゲートウェイ装置と、VPN終端装置とを対応付けて記憶する。サービス開始時刻は、VPN間接続管理システム20によって提供されるVPN間接続サービスの開始時刻である。また、サービス終了時刻は、VPN間接続管理システム20によって提供されるVPN間接続サービスの終了時刻である。また、仮想ルータ名は、VPN間接続管理システム20によって提供されるVPN間接続サービスを、VPN間接続管理システム20にて識別するための名称である。また、ゲートウェイ装置は、ユーザ名で識別されるユーザが利用するユーザ端末を収容するゲートウェイ装置の名称である。また、VPN終端装置は、同じくユーザ端末を収容するVPN終端装置の名称である。
FIG. 5 is a diagram illustrating an example of service information stored in the service
例えば、仮想ルータ名『vrf1』によって識別されるVPN間接続サービスのサービス開始時刻は『t1』、サービス終了時刻は『t3』であり、このVPN間接続サービスの提供を受けるユーザは、『UserA』、『UserB』、及び『UserC』であること、それぞれのユーザが利用するユーザ端末は、それぞれ、『ゲートウェイ装置1』、『ゲートウェイ装置2』、『ゲートウェイ装置3』に収容され、それぞれ、『VPN終端装置1』、『VPN終端装置2』、『VPN終端装置3』に収容されることを示す。
For example, the service start time of the inter-VPN connection service identified by the virtual router name “vrf1” is “t1”, the service end time is “t3”, and the user who receives this inter-VPN connection service is “UserA”. , “UserB”, and “UserC”, the user terminals used by the respective users are accommodated in “
なお、実施例1においては、統合AAA装置100がサービス情報記憶部122を備え、サービス情報記憶部122がサービス情報を記憶する例を説明するが、本発明はこれに限られるものではない。例えば、統合AAA装置100が、必要に応じてVPN間接続管理システム20にアクセスし、VPN間接続管理システム20から必要なサービス情報の提供を受けてもよい。
In the first embodiment, an example in which the
VPN間接続システム認証部130は、VPN間接続管理システム20によってVPN間接続サービスが提供されるにあたり、VPN間接続サービスの提供を受ける各VPN配下のユーザ端末毎に、ユーザ端末を利用するユーザを認証する。具体的には、VPN間接続システム認証部130は、通信I/F部110を介してゲートウェイ装置200から接続要求の転送を受け付け、ユーザ端末から送信された認証情報及びVPN間接続システム認証情報記憶部120に記憶された認証情報を用いて、認証処理を行う。また、VPN間接続システム認証部130は、認証結果を認証結果記憶部121に格納する。また、VPN間接続システム認証部130は、認証結果を認証結果記憶部121に格納した旨をアクセス制御設定部131に通知する。
When the inter-VPN
図6は、VPN間接続システム認証部130による処理手順を示すフローチャートである。図6に例示するように、VPN間接続システム認証部130は、ゲートウェイ装置200から接続要求の転送を受け付けたか否かを判定し(ステップS101)、受け付けた場合には(ステップS101肯定)、認証結果記憶部121を参照する(ステップS102)。
FIG. 6 is a flowchart showing a processing procedure performed by the inter-VPN connection
VPN間接続システム認証部130は、認証結果記憶部121を参照した結果、該当するユーザが認証済みである場合には(ステップS103肯定)、ゲートウェイ装置200に対してその旨を応答し(ステップS104)、処理を終了する。
As a result of referring to the authentication
一方、VPN間接続システム認証部130は、認証結果記憶部121を参照した結果、該当するユーザが認証済みでない場合には(ステップS103否定)、該当するユーザが利用するユーザ端末に対して認証情報を送信するように要求する(ステップS105)。
On the other hand, if the corresponding user is not authenticated as a result of referring to the authentication result storage unit 121 (No in step S103), the inter-VPN connection
そして、VPN間接続システム認証部130は、ステップS105において認証情報を要求したユーザ端末から認証情報を受信すると(ステップS106)、VPN間接続システム認証情報記憶部120に記憶された認証情報を用いて認証処理を行う(ステップS107)。続いて、VPN間接続システム認証部130は、認証結果を認証結果記憶部121に格納する(ステップS108)。
When the authentication information is received from the user terminal that requested the authentication information in step S105 (step S106), the inter-VPN connection
例えば、VPN間接続システム認証部130は、ユーザ端末から、VPN間接続システムのユーザ名とパスワードとの組合せを受信すると、受信した組合せと、VPN間接続システム認証情報記憶部120に記憶された組合せとが一致するか否かを判定する。そして、VPN間接続システム認証部130は、一致すると判定した場合には、認証結果「OK」を認証結果記憶部121に格納し、一致しないと判定した場合には、認証結果「NG」を認証結果記憶部121に格納する。
For example, when the VPN connection
その後、VPN間接続システム認証部130は、認証が完了であるか否か、すなわち、認証に成功したか否かを判定し(ステップS109)、認証が完了した場合には(ステップS109肯定)、そのまま処理を終了する。一方、認証が完了していない場合には(ステップS109否定)、VPN間接続システム認証部130は、再び、該当するユーザが利用するユーザ端末に対して認証情報を送信するように要求し(ステップS105)、その後の処理を繰り返し行う。
Thereafter, the inter-VPN connection
図2に戻り、アクセス制御設定部131は、VPN間のアクセスがユーザ端末毎の認証結果に応じて段階的に許可されるように、VPN間のアクセスを制御する。具体的には、アクセス制御設定部131は、VPN間接続システム認証部130から、認証結果を認証結果記憶部121に格納した旨の通知(例えば、認証結果に該当するユーザ端末のリモートIPアドレスなど)を受け付けると、認証結果記憶部121及びサービス情報記憶部122を参照する。また、アクセス制御設定部131は、ゲートウェイ装置200に対してアクセス制御情報の設定を指示する。
Returning to FIG. 2, the access
図7は、実施例1におけるアクセス制御設定部131による処理手順を示すフローチャートである。図7に例示するように、アクセス制御設定部131は、認証結果を認証結果記憶部121に格納した旨の通知を受け付けたか否か、すなわち、認証結果記憶部121が記憶する認証結果が更新されたか否かを判定する(ステップS201)。
FIG. 7 is a flowchart illustrating a processing procedure performed by the access
アクセス制御設定部131は、認証結果が更新されたと判定した場合には(ステップS201肯定)、更新された認証結果とともにサービス情報記憶部122を参照する(ステップS202)。例えば、アクセス制御設定部131は、図4に例示するように、『UserA』について『OK』との認証結果が更新されたと判定した場合には、『UserA』を用いてサービス情報記憶部122を参照し、『UserA』に対応付けて記憶されている『ゲートウェイ装置1』を特定する。
If the access
次に、アクセス制御設定部131は、認証されたユーザ端末に関するVPN→VPN間接続システム方向のアクセスを開通するように、該当するゲートウェイ装置に対して指示する(ステップS203)。例えば、アクセス制御設定部131は、ステップS202において特定した『ゲートウェイ装置1』に対して、『UserA』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスを開通するように、指示する。
Next, the access
ここで、VPN→VPN間接続システム方向のアクセスの意味について説明する。『UserA』が利用するユーザ端末は、『ゲートウェイ装置1』に収容されている。ここで、例えば、『UserA』が利用するユーザ端末と『UserB』が利用するユーザ端末と『UserC』が利用するユーザ端末との間でVPN間接続サービスが提供される場合、図1から明らかであるように、『UserA』が利用するユーザ端末から『UserB』宛に送信されたパケットは、『ゲートウェイ装置1』及び集合仮想ルータ10を経由し、さらに、『ゲートウェイ装置2』を経由して、『UserB』が利用するユーザ端末に到達する。同様に、『UserA』が利用するユーザ端末から『UserC』宛に送信されたパケットは、『ゲートウェイ装置1』及び集合仮想ルータ10を経由し、さらに、『ゲートウェイ装置3』を経由して、『UserC』が利用するユーザ端末に到達する。
Here, the meaning of access in the VPN-to-VPN connection system direction will be described. User terminals used by “UserA” are accommodated in “
一方、『UserB』が利用するユーザ端末から『UserA』宛に送信されたパケットは、『ゲートウェイ装置2』及び集合仮想ルータ10を経由し、さらに、『ゲートウェイ装置1』を経由して、『UserA』が利用するユーザ端末に到達する。同様に、『UserC』が利用するユーザ端末から『UserA』宛に送信されたパケットは、『ゲートウェイ装置3』及び集合仮想ルータ10を経由し、さらに、『ゲートウェイ装置1』を経由して、『UserA』が利用するユーザ端末に到達する。
On the other hand, a packet transmitted from the user terminal used by “UserB” to “UserA” passes through “
このようなことから、例えば『ゲートウェイ装置1』には、少なくとも、『UserA』が利用するユーザ端末から『UserB』又は『UserC』宛に送信されたパケットが集合仮想ルータ10に到達するための経路(経路1)、『UserB』又は『UserC』が利用するユーザ端末から送信されたパケットであって集合仮想ルータ10から転送されたパケットが『UserA』が利用するユーザ端末に到達するための経路(経路2)が必要になる。また、広域ネットワークには、図1に例示するように、ASP30も接続されている。このため、例えば、『UserA』が広域ネットワークのASP30を利用するためには、『UserA』が利用するユーザ端末とASP30との間でパケットを送受信するための経路(経路3)が必要になる。
For this reason, for example, the “
ゲートウェイ装置200において実行されるべきアクセス制御は、VPN間接続サービスの運用などに応じて変化し、また任意に変更し得るものであるが、ここでは、概念的に、『UserA』が利用するユーザ端末から『UserB』又は『UserC』宛に送信されたパケットが集合仮想ルータ10に到達するための経路(経路1)と、『UserA』が利用するユーザ端末とASP30との間でパケットを送受信するための経路(経路3)とが開通される状態を、「VPN→VPN間接続システム方向のアクセス」を開通すると表現する。
The access control to be executed in the
続いて、アクセス制御設定部131は、全ユーザの認証が完了したか否かを判定する(ステップS204)。例えば、アクセス制御設定部131は、サービス情報記憶部122を参照し、『UserA』とともにVPN間接続サービスを利用するユーザであって『UserA』以外のユーザである『UserB』及び『UserC』を特定する。そして、アクセス制御設定部131は、特定した『UserB』及び『UserC』を用いて認証結果記憶部121を参照し、『UserB』及び『UserC』に対応付けて『OK』が格納済みであるか否かを判定する。
Subsequently, the access
アクセス制御設定部131は、全ユーザの認証が完了していないと判定した場合には(ステップS204否定)、再び、ステップS201の処理に戻る。一方、全ユーザの認証が完了したと判定した場合には(ステップS204肯定)、アクセス制御設定部131は、通信相手に関するVPN間接続システム→VPN方向のアクセスを開通するように、各ゲートウェイ装置に対して指示する(ステップS205)。
If the access
例えば、アクセス制御設定部131は、サービス情報記憶部122を参照して『ゲートウェイ装置1』を特定し、特定した『ゲートウェイ装置1』に対して、『UserA』の通信相手である『UserB』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスを開通するように、指示する。なお、ここでは、概念的に、『UserB』又は『UserC』が利用するユーザ端末から送信されたパケットであって集合仮想ルータ10から転送されたパケットが『UserA』が利用するユーザ端末に到達するための経路(経路2)が開通される状態を、「VPN間接続システム→VPN方向のアクセス」を開通すると表現する。
For example, the access
また、例えば、アクセス制御設定部131は、サービス情報記憶部122を参照して『ゲートウェイ装置2』を特定し、特定した『ゲートウェイ装置2』に対して、『UserB』の通信相手である『UserA』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスを開通するように、指示する。
Further, for example, the access
また、例えば、アクセス制御設定部131は、サービス情報記憶部122を参照して『ゲートウェイ装置3』を特定し、特定した『ゲートウェイ装置3』に対して、『UserC』の通信相手である『UserA』及び『UserB』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスを開通するように、指示する。
Further, for example, the access
ここで、図8は、実施例1における段階的なアクセス開通を説明するための図である。図8においては、『UserA』、『UserB』、『UserC』の順序で段階的に認証が完了したことを想定する。なお、各ゲートウェイ装置200のデフォルトの設定は、アクセス不許可の設定となっている。
Here, FIG. 8 is a diagram for explaining the stepwise access opening in the first embodiment. In FIG. 8, it is assumed that the authentication is completed step by step in the order of “UserA”, “UserB”, and “UserC”. Note that the default setting of each
例えば、図8の(1)に例示するように、『UserA』のみ認証が完了した場合、『UserA』が収容される『ゲートウェイ装置1』に対してのみ、アクセスの開通が指示される。また、アクセスの開通が許可されるのは、『UserA』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスのみである。このとき、『UserA』のみが、VPN間接続システム側のリソース(例えば、ASP30)へのアクセスが可能となるが、そのリソースを介して他のユーザ側へのアクセスは不可能である。
For example, as illustrated in (1) of FIG. 8, when only “UserA” is authenticated, access opening is instructed only to “
次に、例えば、図8の(2)に例示するように、『UserB』の認証も完了した場合、『UserB』が収容される『ゲートウェイ装置2』に対してのみ、アクセスの開通が指示される。また、アクセスの開通が許可されるのは、『UserB』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスのみである。
Next, for example, as illustrated in (2) of FIG. 8, when the authentication of “UserB” is also completed, an instruction to open access is instructed only to “
次に、例えば、図8の(3)に例示するように、『UserC』の認証も完了し、全ユーザの認証が完了した場合、『UserA』が収容される『ゲートウェイ装置1』、『UserB』が収容される『ゲートウェイ装置2』、『UserC』が収容される『ゲートウェイ装置3』の全てに対して、アクセスの開通が指示される。まず、『ゲートウェイ装置1』においてアクセスの開通が許可されるのは、『UserB』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスである。また、『ゲートウェイ装置2』においてアクセスの開通が許可されるのは、『UserA』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスである。
Next, as illustrated in (3) of FIG. 8, for example, when authentication of “UserC” is completed and authentication of all users is completed, “
また、『ゲートウェイ装置3』においてアクセスの開通が許可されるのは、『UserC』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセス、及び、『UserA』及び『UserB』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスである。
In addition, access is permitted in the “
なお、実施例1に係るアクセス制御設定部131は、VPN間接続サービスの終了時刻であることを検知すると、VPN間のアクセスを閉塞するように、ゲートウェイ装置200を制御する。例えば、アクセス制御設定部131は、定期的にサービス情報記憶部122を参照し、VPN間接続サービスの終了時刻であることを検知すると、該当するゲートウェイ装置200に対して、該当するユーザによるアクセスを不許可とするようにアクセス制御情報の解除を指示する。また、アクセス制御設定部131は、該当するユーザについて、認証結果記憶部121に記憶されている認証結果「OK」を、「NG」や空欄に更新するなどする。
When the access
[実施例1に係るゲートウェイ装置200の構成]
次に、図9及び10を用いて、実施例1に係るゲートウェイ装置200(アクセス制御装置とも称する)の構成を説明する。図9は、実施例1に係るゲートウェイ装置200の構成を示すブロック図である。図9に例示するように、実施例1に係るゲートウェイ装置200は、通信I/F部210を備える。例えば、通信I/F部210は、IP通信用の一般的なインタフェースなどである。
[Configuration of
Next, the configuration of the gateway device 200 (also referred to as an access control device) according to the first embodiment will be described with reference to FIGS. FIG. 9 is a block diagram illustrating the configuration of the
また、実施例1に係るゲートウェイ装置200は、特に、アクセス制御情報記憶部220と、接続要求受付部230と、アクセス制御設定受付部231と、アクセス制御部232とを備える。なお、アクセス制御情報記憶部220及びアクセス制御部232は、公知のファイアウォールソフトウェアなどによって実現される。
Further, the
アクセス制御情報記憶部220は、VPN間接続サービスにおいてユーザ端末のアクセスを制御するためのアクセス制御情報を記憶する。具体的には、アクセス制御情報記憶部220は、アクセス制御設定受付部231によって格納されることで、アクセス制御情報を記憶する。また、アクセス制御情報記憶部220が記憶するアクセス制御情報は、アクセス制御部232による処理に利用される。
The access control
図10は、アクセス制御情報記憶部220が記憶するアクセス制御情報の一例を示す図である。例えば、図10に例示するように、実施例1に係るアクセス制御情報記憶部220は、送信元のIPアドレスと、宛先のIPアドレスと、VPN間接続システムのユーザ名とを対応付けて記憶する。なお、図10に例示するアクセス制御情報は、アクセス制御情報を概念的に表現するものにすぎず、実際は、ポート番号などより細かい情報も指定される場合や、1つの経路のアクセスを開通するために、複数行のアクセス制御情報が設定される場合などもある。いずれも、公知の技術によって実現可能である。
FIG. 10 is a diagram illustrating an example of access control information stored in the access control
接続要求受付部230は、VPN間接続サービスを利用するための接続要求をユーザ端末から受け付ける。具体的には、接続要求受付部230は、通信I/F部210を介してユーザ端末から接続要求を受け付け、受け付けた接続要求を、通信I/F部210を介して統合AAA装置100に転送する。
The connection
アクセス制御設定受付部231は、アクセス制御情報の設定指示を受け付ける。具体的には、アクセス制御設定受付部231は、通信I/F部210を介して統合AAA装置100からアクセス制御情報の設定指示を受け付けると、アクセス制御情報を生成し、生成したアクセス制御情報をアクセス制御情報記憶部220に格納する。
The access control setting receiving
例えば、『ゲートウェイ装置1』のアクセス制御設定受付部231が、『UserA』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスを開通するように、との指示を受け付けたとする。例えば、アクセス制御設定受付部231は、通信I/F部210を介してVPN間接続管理システム20にアクセスし、アクセス制御情報の生成に必要な情報、例えば、『UserA』が利用するユーザ端末が収容されるVPN終端装置50のIPアドレスなどを取得する。そして、アクセス制御設定受付部231は、取得した情報を用いてアクセス制御情報を生成する。
For example, it is assumed that the access control setting
なお、『ゲートウェイ装置1』に設定するアクセス制御情報としてどのようなアクセス制御情報を生成すべきか、という点については、公知の技術を用いて任意に選択することができる。例えば、『ゲートウェイ装置1』の場合、『UserA』が利用するユーザ端末から『UserB』又は『UserC』宛に送信されたパケットが集合仮想ルータ10に到達するための経路(経路1)と、『UserB』又は『UserC』が利用するユーザ端末から送信されたパケットであって集合仮想ルータ10から転送されたパケットが『UserA』が利用するユーザ端末に到達するための経路(経路2)と、『UserA』が利用するユーザ端末とASP30との間でパケットを送受信するための経路(経路3)とが開通されるようなアクセス制御情報であれば、どのようなアクセス制御情報であってもよい。
Note that what kind of access control information should be generated as the access control information set in the “
例えば、どのIPアドレスを送信元アドレスとして設定するか、どのIPアドレスを宛先アドレスとして設定するか、IPアドレスは、Single−NAT(Network Address Translation)後のものとするか、あるいはTwice−NAT後のものとするか、ポート番号は指定するか否か、といった選択も、公知の技術を用い、また運用の形態に応じて、適したアクセス制御情報が選択されればよい。 For example, which IP address is set as the source address, which IP address is set as the destination address, the IP address is after Single-NAT (Network Address Translation), or after Twice-NAT The selection of whether to specify the port number or not should be done by using a known technique and selecting appropriate access control information according to the form of operation.
アクセス制御部232は、アクセス制御情報に従ってVPN間のアクセスを制御する。具体的には、アクセス制御部232は、アクセス制御情報記憶部220に記憶されたアクセス制御情報を参照し、アクセス制御情報に従ってアクセスを制御する。なお、実施例1に係るアクセス制御部232は、統合AAA装置100からアクセス制御情報の解除を指示されると、アクセス制御情報記憶部220に記憶されたアクセス制御情報を参照し、該当するアクセス制御情報を削除する。アクセス制御情報が削除されると、VPN間のアクセスは、初期の状態、すなわち、アクセスが許可されない状態となる。
The
なお、アクセス制御部232によるアクセス制御情報の解除は、上記手法に限られるものではない。例えば、アクセス制御部232は、アクセス期間の制御を行ってもよい。例えば、アクセス制御部232は、統合AAA装置100から、アクセス制御情報に含めてアクセス期間も通知されていたとする。この場合、アクセス制御部232は、例えばUNIX(登録商標)のCronコマンドを用いて例えば1分間隔でアクセス期間切れを検知し、アクセス期間切れを検知すると、統合AAA装置100に対して、該当するユーザの認証結果を無効化するように指示する情報を送信する。なお、統合AAA装置100側では、無効化するように指示する情報を受信すると、例えば、該当するユーザについて、認証結果記憶部121に記憶されている認証結果「OK」を、「NG」や空欄に更新する。
Note that the release of the access control information by the
[実施例1に係るアクセス制御設定システムにおける処理手順]
続いて、図11を用いて、実施例1に係るアクセス制御設定システムにおける処理手順を説明する。図11は、実施例1に係るアクセス制御設定システムにおける処理手順を示すシーケンス図である。
[Processing Procedure in Access Control Setting System According to Embodiment 1]
Subsequently, a processing procedure in the access control setting system according to the first embodiment will be described with reference to FIG. FIG. 11 is a sequence diagram illustrating a processing procedure in the access control setting system according to the first embodiment.
図11に例示するように、VPN間接続サービスの提供を受けるユーザのユーザ端末は、自ユーザ端末が属するゲートウェイ装置200に対して、VPN間接続サービスを利用するための接続要求を送信する(ステップS1)。なお、一般的に、ユーザは、自身が利用するユーザ端末が属するゲートウェイ装置200のアドレスを、例えばメールや郵便などで予め通知されるので、通知されたアドレス(ASP30のURL(Uniform Resource Locator)など)をユーザ端末のソフトウェアに設定し、VPN間接続サービス利用時には、このソフトウェアを起動する。すると、ユーザ端末は、設定されたURLにアクセスを試み接続要求を送信するが、この接続要求は、強制的にゲートウェイ装置200において受け付けられる。
As illustrated in FIG. 11, the user terminal of the user who receives the provision of the inter-VPN connection service transmits a connection request for using the inter-VPN connection service to the
一方、ゲートウェイ装置200は、接続要求をユーザ端末から受け付けると、受け付けた接続要求を、統合AAA装置100に転送する(ステップS2)。例えば、ゲートウェイ装置200は、VPN間接続システムのユーザ名『UserA』からの接続要求を、統合AAA装置100に転送する。
On the other hand, when receiving the connection request from the user terminal, the
すると、統合AAA装置100は、ユーザ端末に対して認証情報を送信するように要求する(ステップS3)。例えば、統合AAA装置100は、VPN間接続システム認証情報記憶部120を参照し、VPN間接続システムのユーザ名『UserA』が利用するユーザ端末のリモートIPアドレス『リモートIPアドレスA』を取得する。そして、統合AAA装置100は、取得したリモートIPアドレス『リモートIPアドレスA』に対して、例えばID及びパスワードの入力画面を送信する。
Then, the
ユーザ端末は、認証情報を送信するように統合AAA装置100から要求されると、統合AAA装置100に対して、認証情報を送信する(ステップS4)。例えば、ユーザ端末は、統合AAA装置100から送信された入力画面に対して、ID『UserA』及びパスワード『*****・・・』を入力し、入力後の入力画面を統合AAA装置100に対して送信する。
When the
すると、統合AAA装置100は、認証処理を行う(ステップS5)。例えば、統合AAA装置100は、ユーザ端末から送信されたID『UserA』を用いてVPN間接続システム認証情報記憶部120を参照し、VPN間接続システムのユーザ名『UserA』に対応付けて記憶されているパスワード『*****・・・』を取得する。そして、統合AAA装置100は、VPN間接続システム認証情報記憶部120から取得したパスワード『*****・・・』と、ユーザ端末から送信されたパスワード『*****・・・』とが一致するか否かを照合することで、認証処理を行う。
Then, the
次に、統合AAA装置100は、認証結果を認証結果記憶部121に格納する(ステップS6)。例えば、統合AAA装置100は、VPN間接続システム認証情報記憶部120から取得したパスワード『*****・・・』と、ユーザ端末から送信されたパスワード『*****・・・』とが一致する場合には、認証結果「OK」を認証結果記憶部121に格納する。また、例えば、統合AAA装置100は、VPN間接続システム認証情報記憶部120から取得したパスワード『*****・・・』と、ユーザ端末から送信されたパスワード『*****・・・』とが一致しない場合には、認証結果「NG」を認証結果記憶部121に格納する。
Next, the
ところで、統合AAA装置100は、新たな認証結果が認証結果記憶部121に格納されると、認証結果に応じたアクセス制御を行う。具体的には、統合AAA装置100は、認証結果とともにサービス情報記憶部122を参照する(ステップS7)。例えば、統合AAA装置100は、『UserA』について『OK』との認証結果が認証結果記憶部121に格納されると、『UserA』を用いてサービス情報記憶部122を参照し、『UserA』に対応付けて記憶されている『ゲートウェイ装置1』を特定する。
Meanwhile, when the new authentication result is stored in the authentication
次に、統合AAA装置100は、認証されたユーザ端末に関するVPN→VPN間接続システム方向のアクセスを開通するように、該当するゲートウェイ装置に対して指示する(ステップS8)。例えば、統合AAA装置100は、ステップS7において特定した『ゲートウェイ装置1』に対して、『UserA』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスを開通するように、指示する。
Next, the
ここで、ステップS8において、統合AAA装置100は、全ユーザの認証が完了したか否かについても判定し、全ユーザの認証が完了したと判定した場合には、通信相手に関するVPN間接続システム→VPN方向のアクセスも開通するように、各ゲートウェイ装置に対して指示する。
Here, in step S8, the
例えば、統合AAA装置100は、『ゲートウェイ装置1』に対して、『UserA』の通信相手である『UserB』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスを開通するように、指示する。また、統合AAA装置100は、『ゲートウェイ装置2』に対して、『UserB』の通信相手である『UserA』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスを開通するように、指示する。また、統合AAA装置100は、『ゲートウェイ装置3』に対して、『UserC』の通信相手である『UserA』及び『UserB』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスを開通するように、指示する。
For example, the
さて、ゲートウェイ装置200は、統合AAA装置100からアクセス制御情報の設定指示を受け付けると、アクセス制御情報を生成し、生成したアクセス制御情報を設定する(ステップS9)。
When the
例えば、ゲートウェイ装置200(1)が、『UserA』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスを開通するようにとの設定指示を統合AAA装置100から受け付けたとする。すると、ゲートウェイ装置200(1)は、アクセス制御情報をアクセス制御情報記憶部220に格納するためのコマンドを生成し、生成したコマンドを用いてアクセス制御情報をアクセス制御情報記憶部220に格納する。
For example, it is assumed that the gateway device 200 (1) receives a setting instruction from the
そして、ゲートウェイ装置200は、アクセス制御情報の設定を完了した旨を、統合AAA装置100に対して応答する(ステップS10)。すると、統合AAA装置100は、ユーザ端末に対して接続完了通知を送信する(ステップS11)。
Then, the
統合AAA装置100から接続完了通知を受け取ったユーザ端末は、自ユーザ端末においてユーザによって例えばASP30のURLが入力されると、図11に例示するように、ゲートウェイ装置200を介してASP30に対してアクセスする。すなわち、ユーザ端末からゲートウェイ装置200に対するアクセス(ステップS12)は、ゲートウェイ装置200によってアクセス制御され(ステップS13)、ASP30に到達する(ステップS14)。
The user terminal that has received the connection completion notification from the
[実施例1の効果]
上述したように、実施例1に係る統合AAA装置100は、広域ネットワークを介して複数のVPN間がVPN間接続される場合に、各VPN配下のユーザ端末毎に、該ユーザ端末を利用するユーザを認証する。また、統合AAA装置100は、ユーザ端末毎の認証結果に応じてVPN間のアクセスが段階的に許可されるように制御するためのアクセス制御情報を、VPN間接続に属する各ユーザ端末を収容する各ゲートウェイ装置200に対して設定指示する。
[Effect of Example 1]
As described above, the
具体的には、VPN間接続システム認証部130が、各VPN配下のユーザ端末毎に、該ユーザ端末を利用するユーザを認証する。また、アクセス制御設定部131が、VPN間接続システム認証部130による認証成功の認証結果が所定のVPN間接続に属するユーザ端末のうち所定のユーザ端末について取得されると、該所定のユーザ端末を送信元として広域ネットワークを宛先とするアクセスを許可するように、所定のユーザ端末を収容するゲートウェイ装置200に対してアクセス制御情報を設定する。また、アクセス制御設定部131は、予め設定された所定の条件を満たすと、アクセスが許可された所定のユーザ端末以外のユーザ端末であって所定のVPN間接続に属する各ユーザ端末を送信元として該所定のユーザ端末を宛先とするアクセスを許可するように、該所定のユーザ端末を収容するゲートウェイ装置200に対してアクセス制御情報を設定する。一方、各ゲートウェイ装置200は、アクセス制御情報の設定指示を受け付け、受け付けたアクセス制御情報に従って、該ゲートウェイ装置200を介して行われるVPN間のアクセスを制御する。
Specifically, the inter-VPN connection
このようなことから、実施例1によれば、VPN間接続により生じたネットワークドメインにおける到達性を適切に制御することが可能になる。すなわち、実施例1によれば、ユーザ認証の認証結果に応じてVPN間のアクセスが段階的に許可されるので、従来のような、例えば、ユーザ認証に成功したユーザが、ユーザ認証を行っていない他方のユーザに到達することができてしまうといった事態を防止することも可能になる。 For this reason, according to the first embodiment, it is possible to appropriately control the reachability in the network domain caused by the connection between VPNs. That is, according to the first embodiment, access between VPNs is allowed in stages according to the authentication result of user authentication, so that, for example, a user who has succeeded in user authentication is performing user authentication as in the prior art. It is also possible to prevent a situation where the other user who is not present can be reached.
また、実施例1に係る統合AAA装置100は、VPN間接続に属する各ユーザ端末を収容する各ゲートウェイ装置200に対してアクセスを制御するためのアクセス制御情報を設定する。
Further, the
具体的には、統合AAA装置100は、VPN間接続に属するユーザ端末のうち所定のユーザ端末について認証成功の認証結果を取得した場合に、該所定のユーザ端末を送信元として広域ネットワークを宛先とするアクセスを許可するようにアクセス制御情報を設定する。また、統合AAA装置100は、VPN間接続に属する全てのユーザ端末について認証成功の認証結果を取得した場合に、VPN間接続に属するユーザ端末のうち所定のユーザ端末以外の各ユーザ端末を送信元として所定のユーザ端末を宛先とするアクセスを許可するようにアクセス制御情報を設定する。
Specifically, when the
このようなことから、実施例1によれば、VPN間接続に属するユーザ全員のユーザ認証が成功しない限り、ユーザ同士の到達性は制限され、その一方で、ユーザ認証に成功したユーザについては、VPN間接続システムのリソース(例えば、ASP30など)の利用が認められる。 For this reason, according to the first embodiment, the reachability between users is limited unless the user authentication of all users belonging to the connection between VPNs is successful. On the other hand, for users who have succeeded in user authentication, Use of resources (for example, ASP 30) of the inter-VPN connection system is permitted.
次に、実施例2に係るアクセス制御設定システムを説明する。実施例2に係るアクセス制御設定システムは、アクセス制御設定の手順が、実施例1に係るアクセス制御設定システムと異なる。このため、以下では、図12及び13を用いて、アクセス制御設定部131による処理手順を説明する。
Next, an access control setting system according to the second embodiment will be described. The access control setting system according to the second embodiment is different from the access control setting system according to the first embodiment in the procedure of access control setting. Therefore, hereinafter, the processing procedure by the access
図12は、実施例2におけるアクセス制御設定部131による処理手順を示すフローチャートである。図12に例示するように、アクセス制御設定部131は、実施例1と同様、認証結果を認証結果記憶部121に格納した旨の通知を受け付けたか否か、すなわち、認証結果記憶部121が記憶する認証結果が更新されたか否かを判定する(ステップS301)。
FIG. 12 is a flowchart illustrating a processing procedure performed by the access
アクセス制御設定部131は、認証結果が更新されたと判定した場合には(ステップS301肯定)、実施例1と同様、更新された認証結果とともにサービス情報記憶部122を参照する(ステップS302)。例えば、アクセス制御設定部131は、図4に例示するように、『UserA』について『OK』との認証結果が更新されたと判定した場合には、『UserA』を用いてサービス情報記憶部122を参照し、『UserA』に対応付けて記憶されている『ゲートウェイ装置1』を特定する。
When it is determined that the authentication result has been updated (Yes at Step S301), the access
次に、アクセス制御設定部131は、実施例1とは異なり、認証されたユーザ端末に関するVPN→VPN間接続システム方向のアクセスのみならず、通信相手に関するVPN間接続システム→VPN方向のアクセスも開通するように、該当するゲートウェイ装置に対して指示する(ステップS303)。例えば、アクセス制御設定部131は、ステップS302において特定した『ゲートウェイ装置1』に対して、『UserA』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスを開通するように指示する他、『UserB』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスを開通するように、指示する。
Next, unlike the first embodiment, the access
実施例2に係るアクセス制御設定部131は、ステップS301〜S303の処理を繰り返すことで、VPN間接続サービスを利用する全ユーザのユーザ端末について、VPN間のアクセスを段階的に開通する。
The access
ここで、図13は、実施例2における段階的なアクセス開通を説明するための図である。図13においては、『UserA』、『UserB』、『UserC』の順序で段階的に認証が完了したことを想定する。なお、各ゲートウェイ装置200のデフォルトの設定は、アクセス不許可の設定となっている。
Here, FIG. 13 is a diagram for explaining the stepwise access opening in the second embodiment. In FIG. 13, it is assumed that authentication is completed step by step in the order of “UserA”, “UserB”, and “UserC”. Note that the default setting of each
例えば、図13の(1)に例示するように、『UserA』のみ認証が完了した場合、『UserA』が収容される『ゲートウェイ装置1』に対してのみ、アクセスの開通が指示される。ここで、アクセスの開通が許可されるのは、『UserA』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスのみならず、『UserB』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスである。これは、『UserB』及び『UserC』が『UserA』側にアクセスするためには、『UserA』が認証済みであることを要件とする考えに基づく。ただし、『UserB』及び『UserC』の認証が成功していないと、『UserB』及び『UserC』は『UserA』側にアクセスできない。
For example, as illustrated in (1) of FIG. 13, when only “User A” is authenticated, access opening is instructed only to “
次に、例えば、図13の(2)に例示するように、『UserB』の認証も完了した場合、『UserB』が収容される『ゲートウェイ装置2』に対してのみ、アクセスの開通が指示される。ここで、アクセスの開通が許可されるのは、『UserB』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスのみならず、『UserA』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスである。なお、この段階において、『UserA』が利用するユーザ端末と『UserB』が利用するユーザ端末との間で相互にアクセスすることが可能になる。
Next, for example, as illustrated in (2) of FIG. 13, when the authentication of “User B” is also completed, an instruction to open access is instructed only to “
次に、例えば、図13の(3)に例示するように、『UserC』の認証も完了した場合、『UserC』が収容される『ゲートウェイ装置3』に対してのみ、アクセスの開通が指示される。ここで、アクセスの開通が許可されるのは、『UserC』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスのみならず、『UserA』及び『UserB』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスである。
Next, for example, as illustrated in (3) of FIG. 13, when the authentication of “UserC” is also completed, an access opening instruction is issued only to “
[実施例2の効果]
上述したように、実施例2によれば、統合AAA装置100は、VPN間接続に属するユーザ端末のうち所定のユーザ端末について認証成功の認証結果を取得した場合に、所定のユーザ端末を送信元として広域ネットワークを宛先とするアクセスを許可するようにアクセス制御情報を設定するとともに、VPN間接続に属するユーザ端末のうち所定のユーザ端末以外の各ユーザ端末を送信元として所定のユーザ端末を宛先とするアクセスを許可するようにアクセス制御情報を設定する。
[Effect of Example 2]
As described above, according to the second embodiment, the
このようなことから、実施例2によれば、少なくとも、相互にアクセスし合うユーザ双方のユーザ認証が成功しない限り、ユーザ同士の到達性は制限される。その一方で、ユーザ認証に成功したユーザについては、VPN間接続システムのリソース(例えば、ASP30など)の利用が認められる。 For this reason, according to the second embodiment, reachability between users is limited at least unless user authentication of both users who access each other succeeds. On the other hand, use of resources (for example, ASP 30) of the inter-VPN connection system is permitted for users who have succeeded in user authentication.
次に、実施例3に係るアクセス制御設定システムを説明する。実施例1及び実施例2においては、統合AAA装置100が、VPN間接続サービスの提供を受けるユーザのユーザ認証を自ら実行していた。ここで、VPN間接続サービスを利用するユーザ端末の中には、VPN間接続サービスのためのユーザ認証とは別に、自ユーザ端末が所属するVPNサービスに接続する際にもユーザ認証が必要となるユーザ端末がある。そうであるとすると、実施例1及び実施例2において、このようなユーザ端末は、VPNサービスに接続するためのユーザ認証と、VPN間接続サービスのためのユーザ認証との両方を行わなければならない。
Next, an access control setting system according to the third embodiment will be described. In the first embodiment and the second embodiment, the
この点、実施例3に係るアクセス制御設定システムは、VPNサービスに接続するためのユーザ認証の認証結果を取得することで、VPN間接続サービスのためのユーザ認証に替える。すなわち、実施例3に係るアクセス制御設定システムは、VPNサービスに接続する際にもユーザ認証が必要となるユーザ端末については、ユーザ端末と認証サーバとの間の認証を中継することで認証結果を取得し、VPNサービスに接続するためのユーザ認証の認証結果をもって、VPN間接続サービスのためのユーザ認証の認証結果とする。一方、アクセス制御設定システムは、VPNサービスに接続する際にもユーザ認証が必要でないユーザ端末については、実施例1及び実施例2と同様、ユーザ認証を自ら実行する。 In this regard, the access control setting system according to the third embodiment obtains the authentication result of the user authentication for connecting to the VPN service, and changes to the user authentication for the inter-VPN connection service. In other words, the access control setting system according to the third embodiment relays the authentication result between the user terminal and the authentication server for the user terminal that requires user authentication even when connecting to the VPN service. The authentication result of the user authentication for acquiring and connecting to the VPN service is used as the authentication result of the user authentication for the inter-VPN connection service. On the other hand, as in the first and second embodiments, the access control setting system performs user authentication by itself for user terminals that do not require user authentication when connecting to the VPN service.
図14〜18を用いて、実施例3に係るアクセス制御設定システムを説明する。図14は、実施例3に係るアクセス制御設定システムを説明するための図である。図14に例示するように、実施例3に係る統合AAA装置100は、認証サーバ40との間で通信を行う。
The access control setting system according to the third embodiment will be described with reference to FIGS. FIG. 14 is a diagram for explaining the access control setting system according to the third embodiment. As illustrated in FIG. 14, the
[実施例3に係る統合AAA装置100の構成]
図15は、実施例3に係る統合AAA装置100の構成を示すブロック図である。図15に例示するように、実施例3に係る統合AAA装置100は、実施例1に係る統合AAA装置100に加え、認証サーバ情報記憶部123と、認証種別識別部132と、認証中継部133とをさらに備える。
[Configuration of
FIG. 15 is a block diagram illustrating the configuration of the
認証サーバ情報記憶部123は、認証サーバに関する情報を記憶する。具体的には、認証サーバ情報記憶部123は、例えば、VPN間接続サービスの契約時などに、VPN間接続サービスの運用担当者などによって予め登録されることで、認証サーバに関する情報を記憶する。また、認証サーバ情報記憶部123が記憶する情報は、認証中継部133による処理に利用される。
The authentication server
図16は、認証サーバ情報記憶部123が記憶する情報の一例を示す図である。例えば、図16に例示するように、実施例3に係る認証サーバ情報記憶部123は、VPN終端装置のIPアドレスと、認証サーバのIPアドレスとを対応付けて記憶する。なお、図16においては、「VPN−IPアドレス1」や「SVR−IPアドレス1」などと表記するが、実際は、例えば「10.0.0.10」といったIPアドレスである。
FIG. 16 is a diagram illustrating an example of information stored in the authentication server
また、実施例3に係るVPN間接続システム認証情報記憶部120は、実施例1に係るVPN間接続システム認証情報記憶部120が記憶する情報の他に、ユーザ名として、VPNサービスにおけるユーザ名を併せて記憶する。言い換えると、実施例3に係るVPN間接続システム認証情報記憶部120は、VPN間接続システムにおけるユーザ名と、VPNサービスにおけるユーザ名とを対応付けて記憶する。
Further, the inter-VPN connection system authentication
図17は、実施例3に係るVPN間接続システム認証情報記憶部120が記憶する情報の一例を示す図である。例えば、図17に例示するように、実施例3に係るVPN間接続システム認証情報記憶部120は、VPN間接続システムのユーザ名と、パスワードと、VPNサービスのユーザ名と、リモートIPアドレスとを対応付けて記憶する。
FIG. 17 is a diagram illustrating an example of information stored in the inter-VPN connection system authentication
認証種別識別部132は、接続要求の送信元であるユーザについて、認証の種別を識別する。ここで、認証の種別とは、VPNサービスに接続するためのユーザ認証を必要とするユーザであるのか、あるいはVPNサービスに接続するためのユーザ認証を必要としないユーザであるのかといった種別である。具体的には、認証種別識別部132は、通信I/F部110を介して、ゲートウェイ装置200又はVPN終端装置50から接続要求の転送を受け付け、認証の種別を識別する。また、認証種別識別部132は、識別した認証の種別に応じて、VPN間接続システム認証部130又は認証中継部133のいずれかに、接続要求を振り分ける。
The authentication
例えば、認証種別識別部132は、接続要求の転送元がVPN終端装置50である場合には、この接続要求の送信元であるユーザは、VPNサービスに接続するためのユーザ認証を必要とするユーザであると識別する。そして、認証種別識別部132は、この接続要求を、認証中継部133に転送する。
For example, when the connection request transfer source is the
一方、認証種別識別部132は、接続要求の転送元がゲートウェイ装置200である場合には、この接続要求の送信元であるユーザは、VPNサービスに接続するためのユーザ認証を必要としないユーザであると識別する。そして、認証種別識別部132は、この接続要求を、VPN間接続システム認証部130に転送する。
On the other hand, when the connection request transfer source is the
なお、ユーザ認証を必要とするVPNサービスであるか、必要としないVPNサービスであるかは、例えばVPNに用いられるプロトコルの違いとして現れる。例えば、L2VPNやIP−VPNなどは、ユーザ認証を必要としない。一方、IPsec、RADIUS(Remote Authentication Dial In User Service)、LDAP(Lightweight Directory Access Protocol)などは、ユーザ認証を必要とする。このため、実施例3においては、認証種別識別部132が、接続要求の転送元によって認証の種別を識別する例を説明したが、例えば、VPNサービスに用いられているプロトコルを識別することによって認証の種別を識別してもよい。
Whether it is a VPN service that requires user authentication or a VPN service that does not require user authentication, for example, appears as a difference in protocols used for VPN. For example, L2VPN and IP-VPN do not require user authentication. On the other hand, IPsec, RADIUS (Remote Authentication Dial In User Service), LDAP (Lightweight Directory Access Protocol), and the like require user authentication. For this reason, in the third embodiment, an example in which the authentication
認証中継部133は、認証サーバを認証サーバ40に対して中継し、認証結果を取得する。具体的には、認証中継部133は、認証種別識別部132から接続要求の転送を受け付けると、該当するユーザが利用するユーザ端末に対して認証情報を送信するように要求する。また、認証中継部133は、ユーザ端末から認証情報を受信すると、受信した認証情報(クレデンシャルなど)を認証サーバ40に中継する。また、認証中継部133は、認証結果を認証サーバ40から受信すると、受信した認証結果を認証結果記憶部121に格納する。
The
なお、認証中継部133は、接続要求の転送元であるVPN終端装置50のIPアドレスを用いて認証サーバ情報記憶部123を参照し、対応付けて記憶されている認証サーバのIPアドレスを取得する。そして、認証中継部133は、取得したIPアドレスを宛先として、認証情報を中継する。
The
[実施例3に係るアクセス制御設定システムにおける処理手順]
続いて、図18を用いて、実施例3に係るアクセス制御設定システムにおける処理手順を説明する。図18は、実施例3に係るアクセス制御設定システムにおける処理手順を示すシーケンス図である。なお、図18においては、説明の便宜上、接続要求の送信元であるユーザが、VPNサービスに接続するためのユーザ認証を必要とするユーザである場合のみを説明する。すなわち、図18には図示されていないが、実施例3に係るアクセス制御設定システムは、図11のステップS1〜S4に示した処理手順(VPNサービスに接続するためのユーザ認証を必要としないユーザを認証する手順)も実行する。
[Processing Procedure in Access Control Setting System According to Embodiment 3]
Subsequently, a processing procedure in the access control setting system according to the third embodiment will be described with reference to FIG. FIG. 18 is a sequence diagram illustrating the processing procedure in the access control setting system according to the third embodiment. In FIG. 18, for convenience of explanation, only the case where the user who is the transmission source of the connection request is a user who needs user authentication for connecting to the VPN service will be described. That is, although not shown in FIG. 18, the access control setting system according to the third embodiment performs the processing procedure shown in steps S <b> 1 to S <b> 4 in FIG. 11 (users that do not require user authentication to connect to the VPN service). (Procedure for authenticating).
図18に例示するように、VPN間接続サービスの提供を受けるユーザのユーザ端末は、自ユーザ端末が属するVPN終端装置50に対して、VPNサービスを利用するための接続要求を送信する(ステップS20)。なお、一般的に、ユーザは、自身が利用するユーザ端末が属するVPN終端装置50のアドレスを、例えばメールや郵便などで予め通知されるので、通知されたアドレスをユーザ端末のソフトウェアに設定し、VPNサービス利用時には、このソフトウェアを起動する。すると、ユーザ端末は、設定されたアドレスにアクセスし、接続要求を送信する。
As illustrated in FIG. 18, the user terminal of the user who receives the provision of the inter-VPN connection service transmits a connection request for using the VPN service to the
一方、VPN終端装置50は、接続要求をユーザ端末から受け付けると、受け付けた接続要求を、統合AAA装置100に転送する(ステップS21)。例えば、VPN終端装置50は、VPNサービスのユーザ名『User100』からの接続要求を、統合AAA装置100に転送する。
On the other hand, when receiving the connection request from the user terminal, the
すると、統合AAA装置100は、ユーザ端末に対して認証情報を送信するように要求する(ステップS22)。例えば、統合AAA装置100は、VPN間接続システム認証情報記憶部120を参照し、VPNサービスのユーザ名『User100』が利用するユーザ端末のリモートIPアドレス『192.168.1.10』を取得する。そして、統合AAA装置100は、取得したリモートIPアドレス『192.168.1.10』に対して、例えばID及びパスワードの入力画面を送信する。
Then, the
ユーザ端末は、認証情報を送信するように統合AAA装置100から要求されると、統合AAA装置100に対して、認証情報を送信する(ステップS23)。例えば、ユーザ端末は、統合AAA装置100から送信された入力画面に対して、ID『User100』及びパスワード『*****・・・』を入力し、入力後の入力画面を統合AAA装置100に対して送信する。
When the
すると、統合AAA装置100は、ユーザ端末から送信された認証情報を、認証サーバ40に対して中継する(ステップS24)。例えば、統合AAA装置100は、ステップS21において接続要求を転送した転送元のVPN終端装置50のIPアドレスを特定し、特定したIPアドレスを用いて認証サーバ情報記憶部123を参照し、認証サーバ40のIPアドレスを特定する。そして、統合AAA装置100は、特定したIPアドレスに対して、認証情報を中継する。
Then, the
一方、認証サーバ40は、認証処理を行い(ステップS25)、認証結果を統合AAA装置100に対して送信する(ステップS26)。例えば、認証サーバ40は、統合AAA装置100から送信されたID『User100』を用いて記憶部(図示を省略)を参照し、VPNサービスのユーザ名『User100』に対応付けて記憶されているパスワード『*****・・・』を取得する。そして、認証サーバ40は、記憶部から取得したパスワード『*****・・・』と、統合AAA装置100から送信されたパスワード『*****・・・』とが一致するか否かを照合することで、認証処理を行う。
On the other hand, the
次に、統合AAA装置100は、認証結果を認証結果記憶部121に格納する(ステップS27)。例えば、統合AAA装置100は、認証サーバ40から送信された認証結果が成功を示すものである場合には、『User100』を用いてVPN間接続システム認証情報記憶部120を参照し、『User100』に対応付けて記憶されている『UserA』を特定する。そして、統合AAA装置100は、特定した『UserA』に対応付けて、認証結果「OK」を認証結果記憶部121に格納する。
Next, the
なお、その後の処理手順は、実施例1に係るアクセス制御設定システムと同様である。すなわち、統合AAA装置100は、認証結果とともにサービス情報記憶部122を参照し(ステップS28)、認証されたユーザ端末に関するVPN→VPN間接続システム方向のアクセスを開通するように、該当するゲートウェイ装置に対して指示する(ステップS29)。ゲートウェイ装置200は、統合AAA装置100からアクセス制御情報の設定指示を受け付けると、アクセス制御情報を生成し、生成したアクセス制御情報を設定し(ステップS30)、アクセス制御情報の設定を完了した旨を、統合AAA装置100に対して応答する(ステップS31)。
The subsequent processing procedure is the same as that of the access control setting system according to the first embodiment. That is, the
すると、統合AAA装置100は、ユーザ端末に対して接続完了通知を送信し(ステップS32)、統合AAA装置100から接続完了通知を受け取ったユーザ端末は、自ユーザ端末においてユーザによって例えばASP30のURLが入力されると、図18に例示するように、ゲートウェイ装置200を介してASP30に対してアクセスする。すなわち、ユーザ端末からゲートウェイ装置200に対するアクセス(ステップS33)は、ゲートウェイ装置200によってアクセス制御され(ステップS34)、ASP30に到達する(ステップS35)。
Then, the
なお、上記実施例3においては、統合AAA装置100が認証情報を認証サーバ40に中継し、統合AAA装置100が認証結果を認証サーバ40から取得することで、ユーザ認証の認証結果を、VPN終端装置50と統合AAA装置100とでいわば共有する手法を採った。しかしながら本発明はこれに限られるものではない。例えば、VPN終端装置50が認証処理を行い(あるいは、VPN終端装置50が認証情報を認証サーバ40に中継し、VPN終端装置50が認証結果を認証サーバ40から取得し)、その認証結果を、VPN終端装置50が統合AAA装置100に対して送信することで、ユーザ認証の認証結果を、VPN終端装置50と統合AAA装置100とで共有する手法でもよい。
In the third embodiment, the
[実施例3の効果]
上述したように、実施例3に係る統合AAA装置100は、広域ネットワークを介して複数のVPN間がVPN間接続される場合に、VPNに接続するための認証が必要なユーザ端末については、所定の認証サーバ40に認証のための認証情報を中継することで認証結果を取得し、VPNに接続するための認証が不要なユーザ端末については、該ユーザ端末のユーザを自装置にて認証することで認証結果を取得する。
[Effect of Example 3]
As described above, the
このようなことから、実施例3によれば、認証処理の回数を低減することが可能になる。すなわち、VPN間接続サービスを利用するためには、ユーザ認証が行われることが前提となるが、VPNに接続するための認証が必要なユーザにとっては、VPNに接続するための認証と、VPN間接続サービスを利用するための認証との2回の認証行為を行わなければならないことになる。この点、実施例3によれば、VPNに接続するための認証が必要なユーザについては、その認証を統合AAA装置100が中継し、認証結果を自ら取得することで、VPN間接続サービスを利用するための認証に替える。一方、VPNに接続するための認証を必要としないユーザについては、統合AAA装置100が独自に認証を行う。こうして、VPNに接続するための認証が必要なユーザについては、認証処理の回数を低減することが可能になるのである。
For this reason, according to the third embodiment, the number of authentication processes can be reduced. That is, in order to use the inter-VPN connection service, it is assumed that user authentication is performed. However, for users who need authentication for connecting to the VPN, authentication for connecting to the VPN and between VPNs are required. Two authentication actions, that is, authentication for using the connection service must be performed. In this regard, according to the third embodiment, for a user who needs authentication for connecting to the VPN, the
さて、これまで本発明の実施例1〜3について説明したが、本発明は、上記実施例以外にも種々の異なる形態にて実施されてよいものである。 Although the first to third embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the above-described embodiments.
[ネットワーク構成]
上記実施例では、スター型のネットワーク構成を想定したが、本発明はこれに限られるものではなく、例えばフルメッシュ型のネットワーク構成の場合にも、同様に適用することができる。
[Network configuration]
In the above embodiment, a star-type network configuration is assumed, but the present invention is not limited to this. For example, the present invention can be similarly applied to a full-mesh network configuration.
[拠点の態様]
また、上記実施例では、拠点が、電気通信事業者などによって提供されたVPNサービスに接続するローカルエリアネットワークである場合を想定したが、本発明はこれに限られるものではない。拠点は、いわゆるネットワークではなく一端末であってもよい。例えば、拠点に設置されるルータが、物理的なルータではなく端末内のソフトウェアで実現される場合などである。また、拠点は、電気通信事業者などによって提供されたVPNサービスによって接続された複数のローカルエリアネットワーク群による社内網のようなものであってもよい。
[Mode of the base]
In the above embodiment, it is assumed that the base is a local area network connected to a VPN service provided by a telecommunications carrier or the like, but the present invention is not limited to this. The base may be one terminal instead of a so-called network. For example, there is a case where a router installed at a base is realized by software in a terminal instead of a physical router. The base may be an in-house network with a plurality of local area networks connected by a VPN service provided by a telecommunications carrier or the like.
図19〜21は、VPNサービスによって接続された複数のローカルエリアネットワーク群としての拠点を説明するための図である。なお、図19〜21においては、2種類の点線を用いて示す。一方は、通常の点線であり、他方は、破線(短い線と長い線との組合せ)である。破線は、同じVPNサービスに属する複数の拠点であって、かつ、例えば同じ社内(例えばC社内)の拠点間でVPNを形成していることを示す。一方、点線は、VPN間を接続することを示す。例えば、異なるVPNサービスに属する複数の拠点間を接続することや、同じVPNサービスに属する複数の拠点間であっても、異なる会社のVPN間を接続することを示す。 19 to 21 are diagrams for explaining bases as a plurality of local area network groups connected by a VPN service. In FIGS. 19 to 21, two types of dotted lines are used. One is a normal dotted line, and the other is a broken line (a combination of a short line and a long line). The broken lines indicate that a plurality of bases belonging to the same VPN service and a VPN is formed between bases in the same company (for example, C company). On the other hand, the dotted line indicates that the VPNs are connected. For example, connection between a plurality of bases belonging to different VPN services, or connection between VPNs of different companies, even between a plurality of bases belonging to the same VPN service.
図19に示すように、例えば、C社は、VPNサービス1に属する拠点群を有し、また、VPNサービス3に属する拠点を有する。一方、D社は、VPNサービス2に属する拠点を有し、また、VPNサービス4に属する拠点を有する。本発明に係るアクセス制御装置は、このような、異なるVPNサービスに属するC社の拠点群とD社の拠点群との拠点間接続について、拠点間のアクセスを制御することができる。
As shown in FIG. 19, for example, Company C has a base group belonging to the
また、図20に示すように、例えば、C社は、VPNサービス3でグループ化された拠点群を有する。一方、D社は、VPNサービス4でグループ化された拠点群を有する。本発明に係るアクセス制御装置は、このような、異なるVPNサービスに属するC社の拠点群とD社の拠点群との拠点間接続についても、拠点間のアクセスを制御することができる。
As shown in FIG. 20, for example, Company C has a group of bases grouped by the
また、図21に示すように、例えば、C社及びD社は、いずれも、VPNサービス2でグループ化された拠点群を有する。本発明に係るアクセス制御装置は、このような、同じVPNサービスに属するC社の拠点群とD社の拠点群との拠点間接続、言い換えると、同じVPN終端装置に属する複数の拠点群間の拠点間接続についても、拠点間のアクセスを制御することができる。
Further, as shown in FIG. 21, for example, Company C and Company D both have base groups grouped by
[アクセス制御の閉塞]
上記実施例1〜3においては、統合AAA装置100が、VPN間接続サービスの終了時刻に従ってアクセス制御情報の解除を指示し、この指示を受けて、ゲートウェイ装置200が、VPN間のアクセスを閉塞するものであった。しかしながら、本発明はこれに限られるものではない。例えば、アクセス制御設定システムは、ユーザがVPN間接続サービスからログアウトしたことを検知し、VPN間のアクセスが、ユーザ毎のログアウトに応じて段階的に閉塞されるように、VPN間のアクセスを制御してもよい。
[Block access control]
In the first to third embodiments, the
例えば、実施例1における図8を用いて、アクセス閉塞を説明する。以下、『UserC』、『UserB』、『UserA』の順序で段階的にログアウトすることを想定する。なお、各ゲートウェイ装置200は、現時点において、図8の(3)の設定がなされている。
For example, access blockage will be described with reference to FIG. 8 in the first embodiment. Hereinafter, it is assumed that logout is performed in stages in the order of “UserC”, “UserB”, and “UserA”. Each
例えば、『UserC』のみログアウトした場合、『UserA』が収容される『ゲートウェイ装置1』、『UserB』が収容される『ゲートウェイ装置2』、『UserC』が収容される『ゲートウェイ装置3』の全てに対して、アクセスの閉塞が指示される。まず、『ゲートウェイ装置1』においてアクセスが解除されるのは、『UserB』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスである。また、『ゲートウェイ装置2』においてアクセスが解除されるのは、『UserA』及び『UserC』が利用するユーザ端末に関するVPN間接続システム→VPN方向のアクセスである。また、『ゲートウェイ装置3』においては、『UserA』、『UserB』、及び『UserC』が利用するユーザ端末に関する全てのアクセスが解除される。こうして、例えば、図8の(2)に示す状態となる。
For example, when only “UserC” is logged out, all of “
次に、例えば、『UserB』もログアウトした場合、『UserB』が収容される『ゲートウェイ装置2』に対して、アクセスの閉塞が指示される。『ゲートウェイ装置2』においてアクセスが解除されるのは、『UserB』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスである。こうして、例えば、図8の(1)に示す状態となる。
Next, for example, when “User B” also logs out, the “
次に、例えば、『UserA』もログアウトした場合、『UserA』が収容される『ゲートウェイ装置1』に対して、アクセスの閉塞が指示される。『ゲートウェイ装置1』においてアクセスが解除されるのは、『UserA』が利用するユーザ端末に関するVPN→VPN間接続システム方向のアクセスである。こうして、各ゲートウェイ装置200において、『UserA』、『UserB』、及び『UserC』が利用するユーザ端末に関する全てのアクセスが解除される。
Next, for example, when “User A” also logs out, the “
同様に、例えば、実施例2における図13を用いて、アクセス閉塞を説明する。以下、『UserC』、『UserB』、『UserA』の順序で段階的にログアウトすることを想定する。なお、各ゲートウェイ装置200は、現時点において、図13の(3)の設定がなされている。
Similarly, access blockage will be described with reference to FIG. 13 in the second embodiment, for example. Hereinafter, it is assumed that the user logs out step by step in the order of “UserC”, “UserB”, and “UserA”. Each
例えば、『UserC』のみログアウトした場合、『UserC』が収容される『ゲートウェイ装置3』に対して、アクセスの閉塞が指示される。『ゲートウェイ装置3』において、『UserA』、『UserB』、及び『UserC』が利用するユーザ端末に関する全てのアクセスが解除される。こうして、例えば、図13の(2)に示す状態となる。
For example, when only “UserC” is logged out, the “
次に、例えば、『UserB』もログアウトした場合、『UserB』が収容される『ゲートウェイ装置2』に対して、アクセスの閉塞が指示される。『ゲートウェイ装置2』において、『UserA』、『UserB』、及び『UserC』が利用するユーザ端末に関する全てのアクセスが解除される。こうして、例えば、図13の(1)に示す状態となる。
Next, for example, when “User B” also logs out, the “
次に、例えば、『UserA』もログアウトした場合、『UserA』が収容される『ゲートウェイ装置1』に対して、アクセスの閉塞が指示される。『ゲートウェイ装置1』において、『UserA』、『UserB』、及び『UserC』が利用するユーザ端末に関する全てのアクセスが解除される。こうして、各ゲートウェイ装置200において、『UserA』、『UserB』、及び『UserC』が利用するユーザ端末に関する全てのアクセスが解除される。
Next, for example, when “User A” also logs out, the “
[その他]
また、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[Others]
In addition, among the processes described in the above embodiment, all or a part of the processes described as being automatically performed can be manually performed, or the processes described as being performed manually can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedures, specific names, and information including various data and parameters shown in the document and drawings can be arbitrarily changed unless otherwise specified.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、集合仮想ルータの一例としてVRF(VPN routing and forwarding table)を適用してもよく、これにより、1つの集合仮想ルータ内で仮想的に複数の集合仮想ルータが稼動しているようにみなすことができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPU(Central Processing Unit)および該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. For example, a VRF (VPN routing and forwarding table) may be applied as an example of a collective virtual router, and as a result, a plurality of collective virtual routers are virtually operated in one collective virtual router. Can do. Further, all or any part of each processing function performed in each device is realized by a CPU (Central Processing Unit) and a program analyzed and executed by the CPU, or hardware by wired logic Can be realized as
なお、上記実施例で説明したアドレス制御方法は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのIPネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM(Compact Disk Read Only Memory)、MO(Magneto-Optical disk)、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。 The address control method described in the above embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program can be distributed via an IP network such as the Internet. The program is recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM (Compact Disk Read Only Memory), an MO (Magneto-Optical disk), a DVD (Digital Versatile Disk), etc. It can also be executed by reading from the recording medium.
100 統合AAA装置
110 通信I/F部
120 VPN間接続システム認証情報記憶部
121 認証結果記憶部
122 サービス情報記憶部
130 VPN間接続システム認証部
131 アクセス制御設定部
200 ゲートウェイ装置
210 通信I/F部
220 アクセス制御情報記憶部
230 接続要求受付部
231 アクセス制御設定受付部
232 アクセス制御部
DESCRIPTION OF
Claims (8)
前記各拠点配下の端末毎に、該端末を利用する利用者を認証する認証手段と、
前記認証手段による認証成功の認証結果が前記所定の拠点間接続に属する端末のうち所定の端末について取得されると、該所定の端末を送信元として前記広域ネットワークを宛先とするアクセスを許可するように、該所定の端末を収容するアクセス制御装置に対してアクセス制御情報を設定する第一アクセス制御手段と、
予め設定された所定の条件を満たすと、前記第一アクセス制御手段によってアクセスが許可された所定の端末以外の端末であって前記所定の拠点間接続に属する各端末を送信元として該所定の端末を宛先とするアクセスを許可するように、該所定の端末を収容するアクセス制御装置に対してアクセス制御情報を設定する第二アクセス制御手段と
を備えたことを特徴とするアクセス制御設定装置。 An access control device that accommodates terminals under each base and controls access performed between terminals belonging to the connection between predetermined bases when a connection between predetermined bases is formed via a wide area network for a plurality of bases An access control setting device for setting access control information for controlling the access,
Authentication means for authenticating a user who uses the terminal for each terminal under each of the bases;
When an authentication result of successful authentication by the authentication unit is acquired for a predetermined terminal among the terminals belonging to the predetermined inter-base connection, access to the wide area network with the predetermined terminal as a transmission source is permitted. A first access control means for setting access control information for an access control apparatus accommodating the predetermined terminal;
When a predetermined condition set in advance is satisfied, a terminal other than the predetermined terminal permitted to be accessed by the first access control means and each terminal belonging to the predetermined inter-base connection as a transmission source An access control setting device comprising: second access control means for setting access control information for an access control device that accommodates the predetermined terminal so as to permit access to the destination.
コンピュータが、
前記各拠点配下の端末毎に、該端末を利用する利用者を認証する認証工程と、
前記認証工程による認証成功の認証結果が前記所定の拠点間接続に属する端末のうち所定の端末について取得されると、該所定の端末を送信元として前記広域ネットワークを宛先とするアクセスを許可するように、該所定の端末を収容するアクセス制御装置に対してアクセス制御情報を設定する第一アクセス制御工程と、
予め設定された所定の条件を満たすと、前記第一アクセス制御工程によってアクセスが許可された所定の端末以外の端末であって前記所定の拠点間接続に属する各端末を送信元として該所定の端末を宛先とするアクセスを許可するように、該所定の端末を収容するアクセス制御装置に対してアクセス制御情報を設定する第二アクセス制御工程と
を含むことを特徴とするアクセス制御設定方法。 An access control device that accommodates terminals under each base and controls access performed between terminals belonging to the connection between predetermined bases when a connection between predetermined bases is formed via a wide area network for a plurality of bases An access control setting method for setting access control information for controlling the access,
Computer
For each terminal under each base, an authentication step for authenticating a user who uses the terminal;
When an authentication result of successful authentication by the authentication step is acquired for a predetermined terminal among the terminals belonging to the predetermined inter-base connection, an access destined for the wide area network with the predetermined terminal as a transmission source is permitted. A first access control step of setting access control information for an access control apparatus accommodating the predetermined terminal;
When a predetermined condition set in advance is satisfied, a terminal other than the predetermined terminal permitted to be accessed by the first access control step and each terminal belonging to the predetermined inter-base connection as a transmission source is the predetermined terminal. A second access control step of setting access control information for an access control apparatus that accommodates the predetermined terminal so as to permit access to the destination.
前記アクセス制御設定装置は、
前記各拠点配下の端末毎に、該端末を利用する利用者を認証する認証手段と、
前記認証手段による認証成功の認証結果が前記所定の拠点間接続に属する端末のうち所定の端末について取得されると、該所定の端末を送信元として前記広域ネットワークを宛先とするアクセスを許可するように、該所定の端末を収容するアクセス制御装置に対してアクセス制御情報を設定する第一アクセス制御手段と、
予め設定された所定の条件を満たすと、前記第一アクセス制御手段によってアクセスが許可された所定の端末以外の端末であって前記所定の拠点間接続に属する各端末を送信元として該所定の端末を宛先とするアクセスを許可するように、該所定の端末を収容するアクセス制御装置に対してアクセス制御情報を設定する第二アクセス制御手段とを備え、
前記各アクセス制御装置は、
前記第一アクセス制御手段および前記第二アクセス制御手段によるアクセス制御情報の設定指示を受け付けるアクセス制御設定受付手段と、
前記アクセス制御設定受付手段によって受け付けられたアクセス制御情報に従って、該アクセス制御装置を介して行われる前記拠点間のアクセスを制御するアクセス制御手段と
を備えたことを特徴とするアクセス制御設定システム。 An access control device that accommodates terminals under each base and controls access performed between terminals belonging to the connection between predetermined bases when a connection between predetermined bases is formed via a wide area network for a plurality of bases In contrast, the access control setting device is an access control setting system for setting access control information for controlling the access,
The access control setting device includes:
Authentication means for authenticating a user who uses the terminal for each terminal under each of the bases;
When an authentication result of successful authentication by the authentication unit is acquired for a predetermined terminal among the terminals belonging to the predetermined inter-base connection, access to the wide area network with the predetermined terminal as a transmission source is permitted. A first access control means for setting access control information for an access control apparatus accommodating the predetermined terminal;
When a predetermined condition set in advance is satisfied, a terminal other than the predetermined terminal permitted to be accessed by the first access control means and each terminal belonging to the predetermined inter-base connection as a transmission source A second access control means for setting access control information for an access control apparatus that accommodates the predetermined terminal so as to permit access to the destination,
Each of the access control devices is
Access control setting accepting means for accepting an instruction to set access control information by the first access control means and the second access control means;
An access control setting system comprising: access control means for controlling access between the bases performed via the access control device in accordance with access control information received by the access control setting receiving means.
各拠点配下の端末を利用する利用者毎の認証結果が前記所定の拠点間接続に属する端末のうち所定の端末について取得されると、該所定の端末を送信元として前記広域ネットワークを宛先とするアクセスを許可するように制御するためのアクセス制御情報の設定指示を受け付け、予め設定された所定の条件を満たすと、該所定の端末以外の端末であって該所定の拠点間接続に属する各端末を送信元として該所定の端末を宛先とするアクセスを許可するように制御するためのアクセス制御情報の設定指示を受け付けるアクセス制御設定受付手段と、
前記アクセス制御設定受付手段によって受け付けられたアクセス制御情報に従って、該アクセス制御装置を介して行われる前記拠点間のアクセスを制御するアクセス制御手段と
を備えたことを特徴とするアクセス制御装置。 An access control device that accommodates terminals under each base and controls access performed between terminals belonging to the connection between predetermined bases when a connection between predetermined bases is formed via a wide area network for a plurality of bases Because
When an authentication result for each user who uses a terminal under each base is acquired for a predetermined terminal among the terminals belonging to the predetermined inter-base connection, the wide area network is destined for the predetermined terminal as a transmission source Each terminal that is a terminal other than the predetermined terminal and that belongs to the predetermined inter-base connection when receiving a setting instruction of access control information for controlling to permit access and satisfying a predetermined condition set in advance Access control setting accepting means for accepting an instruction to set access control information for controlling access to the predetermined terminal as a transmission source
An access control apparatus comprising: access control means for controlling access between the bases performed via the access control apparatus in accordance with access control information received by the access control setting receiving means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010025841A JP2011166375A (en) | 2010-02-08 | 2010-02-08 | Device, method, program and system for setting access control, and access control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010025841A JP2011166375A (en) | 2010-02-08 | 2010-02-08 | Device, method, program and system for setting access control, and access control device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011166375A true JP2011166375A (en) | 2011-08-25 |
Family
ID=44596562
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010025841A Pending JP2011166375A (en) | 2010-02-08 | 2010-02-08 | Device, method, program and system for setting access control, and access control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011166375A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020096275A (en) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | Information communication method and information communication system |
-
2010
- 2010-02-08 JP JP2010025841A patent/JP2011166375A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020096275A (en) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | Information communication method and information communication system |
WO2020121942A1 (en) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | Information communication method, information communication system and method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
JP4237754B2 (en) | Personal remote firewall | |
JP4260116B2 (en) | Secure virtual private network | |
US10178095B2 (en) | Relayed network access control systems and methods | |
KR101093902B1 (en) | Method and system for controlling the access authorisation for a user in a local administrative domain when said user connects to an ip network | |
JP5239341B2 (en) | Gateway, relay method and program | |
JP5002337B2 (en) | Communication system for authenticating or relaying network access, relay device, authentication device, and communication method | |
CN102763394A (en) | Monitoring method and device | |
RU2387089C2 (en) | Method of allocating resources with limited access | |
JP2005167646A (en) | Connection control system, connection controller and connection manager | |
EP2850861B1 (en) | Method and system for accessing service/data of a first network from a second network for service/data access via the second network | |
JP2012070225A (en) | Network relay device and transfer control system | |
JP5261432B2 (en) | Communication system, packet transfer method, network switching apparatus, access control apparatus, and program | |
JP4950095B2 (en) | Service providing system, service providing method, and service providing program | |
JP4950096B2 (en) | Service providing system, service providing method, and service providing program | |
JP4667473B2 (en) | Data relay apparatus, data relay method, and data relay program | |
JP2011166375A (en) | Device, method, program and system for setting access control, and access control device | |
JP5367386B2 (en) | IP telephone terminal apparatus, VPN server apparatus, IP telephone server apparatus, and IP telephone system using them | |
JP5982706B2 (en) | Secure tunneling platform system and method | |
RU2316126C2 (en) | Personal remote inter-network screen | |
JP4878043B2 (en) | Access control system, connection control device, and connection control method | |
JP4608466B2 (en) | Communication system and communication method | |
JP2002237814A (en) | Virtual private network | |
JP5415388B2 (en) | Virtual channel connection system, control method, control program, first terminal, and second terminal | |
CN114143788B (en) | Method and system for realizing authentication control of 5G private network based on MSISDN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |