JP2014082638A - 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ - Google Patents

仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ Download PDF

Info

Publication number
JP2014082638A
JP2014082638A JP2012229236A JP2012229236A JP2014082638A JP 2014082638 A JP2014082638 A JP 2014082638A JP 2012229236 A JP2012229236 A JP 2012229236A JP 2012229236 A JP2012229236 A JP 2012229236A JP 2014082638 A JP2014082638 A JP 2014082638A
Authority
JP
Japan
Prior art keywords
client terminal
unit
authentication server
identifier
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012229236A
Other languages
English (en)
Inventor
Toru Suzuki
亨 鈴木
Hideki Watanabe
秀樹 渡辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
UKD KK
Original Assignee
UKD KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by UKD KK filed Critical UKD KK
Priority to JP2012229236A priority Critical patent/JP2014082638A/ja
Priority to CN201310482180.7A priority patent/CN103731410A/zh
Priority to US14/055,858 priority patent/US20140108783A1/en
Priority to TW102137275A priority patent/TW201417542A/zh
Publication of JP2014082638A publication Critical patent/JP2014082638A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】プライベートネットワークへのアクセスと認証を自動化し、また、認証サーバにWEB機能およびVPNルータ機能を必要とすることなく仮想ネットワークを構築可能とする。
【解決手段】接続部が接続した状態で、クライアント端末を介して、認証サーバに識別子を自動送信する識別子送信部とを備える、クライアント端末から着脱可能な小型端末と、小型端末の識別子に基づいて認証を行う認証部と、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末に対して、通信を暗号化するためのソフトウェアを配布する配布部と、配布されたソフトウェアから自動送信された、対象装置へのアクセス要求情報を受信する受信部と、受信したアクセス要求情報に応じてクライアント端末と対象装置とのアクセスを代理応答するリダイレクト部とを備える認証サーバとを備える。
【選択図】図2

Description

本発明は、仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバに関するものである。
近年、組織などのセキュアなプライベートネットワークに外部からアクセスするシステムとして、専用線に代えてVPN(Virtual Private Network;仮想プライベートネットワーク)のような仮想ネットワークを構築するシステムが多く用いられている。VPNは、通信データをカプセル化して、公衆回線の一般ユーザから見えないようにして通信する、トンネリングという技術を用いて実現されている。
VPNシステムとして従来多く利用されているものとして、IPSec−VPN(Security Architecture for Internet Protocol−VPN)やSSL−VPN(Secure Socket Layer−VPN)が挙げられる。IPSec−VPNは、IPパケットをIPSecプロトコルによって暗号化し、ネットワーク層でのアクセス制御を行っているものである。一方で、SSL−VPNは、SSLを利用して暗号化し、アプリケーション層でのアクセス制御を行っているものである。
しかし、従来のIPSec−VPNシステムでは、クライアント側に専用アプリのインストールが必要で管理者の負担が大きかった。また、セキュアなプライベートネットワークに穴をあけてしまうことになり、セキュリティ上のリスクがあった。
一方でSSL−VPNの場合、IDとパスワードによって認証を行うだけで、アクセスできてしまい、セキュリティ強度が低く、また、使用できるアプリケーションがWEBに限定される、という課題があった。
特許文献1には、IPSec−VPNとSSL−VPNでのアクセス制御を組み合わせることで、プライベートネットワークへのアクセスがSSL/TLSからセキュアに提供されるシステムについて開示されている。これは、コンピュータシステム上に格納されたルーティングテーブルに変更を実施するルーティング要素と、該コンピュータシステムから外部送信パケットを受信する受信機と、該受信機と通信して、該外部送信パケットに関する情報をVPNクライアントアプリケーションへ送信する送信機と、該受信機と該送信機と通信するパケット書換機であって、該外部送信パケットのアドレス情報を書き換えるパケット書換機とを備えることで実現している。
特開2007−202178号公報
しかし、特許文献1に開示されているシステムでは、認証を行うサーバのURLを公開しているため、悪意のある第三者から不正アクセスやサーバーテロなどの攻撃を受けるおそれがあった。また、認証をID及びパスワードで行っているため、パスワードクラッキングや盗聴等によって、パスワードが盗まれてしまうと、誰でも簡単にアクセスできるという問題があった。
そこで、本発明は、上記事情に鑑み、プライベートネットワークへのアクセスと認証を自動化し、また、認証サーバにWEB機能およびVPNルータ機能を必要とすることなく仮想ネットワークを構築可能な、仮想ネットワーク構築システム、仮想ネットワーク構築方法、仮想ネットワーク構築プログラム並びに小型端末を提供することを目的とするものである。
本発明に係る仮想ネットワーク構築システムは、公衆回線を通じてプライベートなネットワークにアクセスするクライアント端末と、クライアント端末の認証を行う認証サーバと、プライベートなネットワーク上に配置された対象装置とを含む仮想ネットワーク構築システムにおいて、クライアント端末に接続する接続部と、接続部が接続した状態で、クライアント端末を介して、認証サーバに識別子を自動送信する識別子送信部とを備える、クライアント端末から着脱可能な小型端末と、小型端末の識別子に基づいて認証を行う認証部と、認証部にて認証した際に、クライアント端末と認証サーバとが通信する通信プロトコル及び暗号化方式を選択する通信方法選択部と、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末に対して、通信を暗号化するためのソフトウェアを配布する配布部と、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末との通信を暗号化する暗号化部と、配布されたソフトウェアから自動送信された、対象装置へのアクセス要求情報を受信する受信部と、受信したアクセス要求情報に応じてクライアント端末と対象装置とのアクセスを代理応答するリダイレクト部とを備える認証サーバとを備える。
「プライベートなネットワーク」は、企業等の組織内のネットワークをいう。イントラネットのような公衆回線からファイヤーウォールで隔離された閉ざされたネットワークであってもよい。
「対象装置」は、プライベートなネットワーク上に配置された装置をいう。メールサーバやWEBサーバ等、企業等の組織内でサービスを提供する装置を指してもよい。
「小型端末」は、仮想ネットワーク構築システムに用いられる小型な端末をいう。クライアント端末と接続可能であり、携帯可能なサイズのものを指してもよい。
「接続部」は、クライアント端末と接続する箇所をいう。接続インタフェースとして、USB(Universal Sirial Bus)やIEEE1394等のシリアルバスを用いて接続するものとしてもよい。
「識別子送信部」は、認証サーバに識別子を送信するものをいう。接続部がクライアント端末と接続した際に、自動で識別子を送信するものとしてもよい。
「識別子」は、小型端末に固有の情報を記したものをいう。具体的には、小型端末のIDや認証用のデータ等のことをいう。
また、小型端末は、クライアント端末から送信されるデータを記録するためのメモリを有さないものとしてもよい。例えば、接続部及び識別子送信部を、CMOS回路上に直接書き込んで制御することで、メモリ機能を有さないものとしてもよい。
「認証部」は、アクセスしてきた端末に対して、認証を行うものをいう。アクセス元の小型端末の識別子をデータベース上に記録された識別子と比較し、一致した場合に、アクセスを許可するものとしてもよい。
「配布部」は、クライアント端末にソフトウェアを配布するものをいう。通信を暗号化するためのソフトウェアを配布するものとしてもよい。配布部は、小型端末の識別子に応じて配布するソフトウェアの種類を選択するものとしてもよい。
「通信方法選択部」は、クライアント端末と認証サーバとの通信方法を選択するものをいう。小型端末の識別子に基づいて、通信プロトコル及び暗号化方式を選択するものとしてもよい。例えば、AH(Authentication Header)、ESP(Encapsulated Security Payload)やIKE(Internet Key Exchange)などを通信プロトコルとして選択してもよい。
「暗号化部」は、アクセス元である端末と認証サーバとの通信を暗号化するものをいう。暗号化部は、識別子に応じて、RC4、3DES又はAESのいずれかの暗号化方式で通信を暗号化するものとしてもよい。
「受信部」は、対象装置へのアクセス要求情報を受信するものをいう。
「アクセス要求情報」は、認証サーバに対して、どの装置にアクセスしたいか、クライアント端末が要求するものをいう。アクセスしたい対象装置を特定できる、IPアドレス等の情報を含むものとしてもよい。
「リダイレクト部」は、クライアント端末と対象装置との接続を代理するものをいう。プロキシサーバとしての機能のことを指してもよい。具体的には、公衆回線から対象装置にアクセスする端末がある際に、すべてリダイレクト部にアクセスさせ、キャッシュにない情報だけを対象装置から取得する(公衆回線から受け取ったリクエストを対象装置に中継する)。
「ソフトウェア」は、認証サーバからクライアント端末に配布され、認証サーバとクライアント端末との通信を暗号化するものをいう。配布部からクライアント端末に配布されたソフトウェアは、クライアント端末上で、一時ファイルとして保存されてもよいし、インストールして展開されるものとしてもよい。
また、ソフトウェアは、クライアント端末に、選択された通信プロトコルに応じて、クライアント端末のネットワーク設定を自動で変更するネットワーク設定機能を有するものとしてもよい。
「ネットワーク設定機能」は、ネットワークの設定を書き換えるものをいう。例えば、クライアント端末のIPアドレス、ネットワークアドレス、ルーティングテーブル等の設定を変更するものをいってもよい。
また、ソフトウェアは、クライアント端末に、接続部とクライアント端末との接続が切断されたことを判定し、アクセス要求情報及びソフトウェアを自動消去する消去機能を有するものとしてもよい。
「消去機能」は、小型端末に記録された情報を消去するものをいう。アクセス要求情報やソフトウェアを消去するものとしてもよい。
また、ソフトウェアは、クライアント端末にアクセス用画面を表示させるための画面表示機能を有するものとしてもよい。
「アクセス用画面」は、クライアント端末が対象装置にアクセスする際に、クライアント端末上に表示される画面をいう。また、ソフトウェアは、接続部とクライアント端末との接続が切断されたことを判定し、アクセス用画面を表示しない機能を有してもよい。具体的には、アクセス用画面は、小型端末がクライアント端末と接続中に表示され、接続が切断されると表示されなくなるものとしてもよい。
「画面表示機能」は、クライアント端末にアクセス用画面を表示させるものをいう。また、画面表示機能は、認証サーバの位置を示す識別情報を秘匿するものとしてもよい。例えば、アクセス用画面に認証サーバや対象装置のURLを表示しないようにしてもよい。
「クライアント端末」は、認証サーバとの通信回路を有する端末をいう。例えば、ノートPC、携帯電話等の携帯端末等が挙げられる。
また、本発明に係る、仮想ネットワーク構築方法は、公衆回線を通じてプライベートなネットワークにアクセスするクライアント端末と、クライアント端末の認証を行う認証サーバと、プライベートなネットワーク上に配置された対象装置とを含む仮想ネットワーク構築方法において、クライアント端末から着脱可能な小型端末が、クライアント端末に接続するステップと、接続部が接続した状態で、クライアント端末を介して、認証サーバに識別子を自動送信するステップと、認証サーバが、小型端末の識別子に基づいて認証を行うステップと、認証部にて認証した際に、クライアント端末と認証サーバとが通信する通信プロトコル及び暗号化方式を選択するステップと、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末に対して、通信を暗号化するためのソフトウェアを配布するステップと、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末との通信を暗号化するステップと、配布されたソフトウェアから自動送信された、対象装置へのアクセス要求情報を受信するステップと、受信したアクセス要求情報に応じてクライアント端末と対象装置とのアクセスを、代理応答するステップとを実現する。
また、本発明に係る仮想ネットワーク構築システムの小型端末は、公衆回線を通じてプライベートなネットワークにアクセスするクライアント端末と、クライアント端末の認証を行う認証サーバと、プライベートなネットワーク上に配置された対象装置とを含む仮想ネットワーク構築システムの小型端末において、クライアント端末に接続する接続部と、認証サーバに認証を行わせるための識別子を記録する識別子記録部と、接続部が接続した状態で、クライアント端末を介して、認証サーバに識別子を自動送信する識別子送信部とを有するものであって、識別子に基づいて、クライアント端末が対象装置にアクセスするために、クライアント端末を認証サーバに認証させクライアント端末から着脱可能なものである。
また、本発明に係る、仮想ネットワーク構築システムの認証サーバは、公衆回線を通じてプライベートなネットワークにアクセスするクライアント端末と、クライアント端末の認証を行う認証サーバと、プライベートなネットワーク上に配置された対象装置とを含む仮想ネットワーク構築システムの認証サーバにおいて、クライアント端末に接続された小型端末に記録された識別子を受け付ける受付部と、識別子に基づいて認証を行う認証部と、認証部にて認証した際に、クライアント端末と認証サーバとが通信する通信プロトコル及び暗号化方式を選択する通信方法選択部と、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末に対して、通信を暗号化するためのソフトウェアを配布する配布部と、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末との通信を暗号化する暗号化部と、配布されたソフトウェアから自動送信された、対象装置へのアクセス要求情報を受信する受信部と、受信したアクセス要求情報に応じてクライアント端末と対象装置とのアクセスを、代理応答するリダイレクト部とを備える。
本発明に係る仮想ネットワーク構築システム、仮想ネットワーク構築方法は、クライアント端末から着脱可能な小型端末が、クライアント端末に接続するステップと、接続部が接続した状態で、クライアント端末を介して、認証サーバに識別子を自動送信するステップと、認証サーバが、小型端末の識別子に基づいて認証を行うステップと、認証部にて認証した際に、クライアント端末と認証サーバとが通信する通信プロトコル及び暗号化方式を選択するステップと、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末に対して、通信を暗号化するためのソフトウェアを配布するステップと、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末との通信を暗号化するステップと、配布されたソフトウェアから自動送信された、対象装置へのアクセス要求情報を受信するステップと、受信したアクセス要求情報に応じてクライアント端末と対象装置とのアクセスを、代理応答するステップとを実現する際には、認証サーバとの接続を小型端末が自動で行うことができ、企業等の組織内のプライベートなネットワークへアクセス可能な端末を限定することが可能となり、また認証サーバにWEB機能およびVPNルータ機能を搭載する必要がなくなり、悪意のある第三者から攻撃を受ける可能性を低減することが可能となる。
また、本発明に係る小型端末は、クライアント端末に接続する接続部と、認証サーバに認証を行わせるための識別子を記録する識別子記録部と、接続部が接続した状態で、クライアント端末を介して、認証サーバに識別子を自動送信する識別子送信部とを有するものであって、識別子に基づいて、クライアント端末が対象装置にアクセスするために、クライアント端末を認証サーバに認証させる、クライアント端末から着脱可能なものである際においては、小型端末をクライアント端末に接続することで、利用者は自動的にプライベートネットワーク上の対象装置にアクセスすることが可能となる。
また、本発明に係る認証サーバは、クライアント端末に接続された小型端末に記録された識別子を受け付ける受付部と、識別子に基づいて認証を行う認証部と、認証部にて認証した際に、クライアント端末と認証サーバとが通信する通信プロトコル及び暗号化方式を選択する通信方法選択部と、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末に対して、通信を暗号化するためのソフトウェアを配布する配布部と、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末との通信を暗号化する暗号化部と、配布されたソフトウェアから自動送信された、対象装置へのアクセス要求情報を受信する受信部と、受信したアクセス要求情報に応じてクライアント端末と対象装置とのアクセスを、代理応答するリダイレクト部とを備える際においては、認証サーバにWEB機能を搭載する必要がなくなり、悪意のある第三者から攻撃を受ける可能性を低減することが可能となる。
また、本発明に係る暗号化部が、識別子に応じて、RC4、3DES又はAESのいずれかの暗号化方式で通信を暗号化する際においては、組織内のネットワークのセキュリティレベルに応じて適切な暗号化方式を選択することが可能となる。
また、本発明に係る小型端末が、クライアント端末から送信されるデータを記録するためのメモリを有さないものである際においては、小型端末上の情報をコピーされることを防げ、また、小型端末に情報を記憶させて盗みだされることを防ぐことが可能となる。
また、本発明に係るソフトウェアが、選択された通信プロトコルに応じて、クライアント端末のネットワーク設定を自動で変更するネットワーク設定機能を有する際においては、利用者が企業内のネットワークにアクセスする際に、ルータ等の専用のネットワーク機器が不要になり、また、複雑なネットワーク設定を省略することが可能となる。
また、本発明に係るソフトウェアが、接続部とクライアント端末との接続が切断されたことを判定し、アクセス要求情報及びソフトウェアを消去する消去機能を有する際においては、クライアント端末上から、接続に関する情報を消去することが可能となり、履歴を悪用されることを防ぐことが可能となる。
また、本発明に係るソフトウェアが、クライアント端末にアクセス用画面を表示させるための画面表示機能を有する際においては、クライアント端末に搭載されているブラウザから認証サーバにアクセスすることを防ぐことが可能となり、キャッシュやアクセス履歴等の情報をソフトウェアで管理することが可能となる。
また、本発明に係る画面表示機能が、認証サーバの位置を示す識別情報を秘匿する際においては、悪意のある第三者から認証サーバの位置を秘匿することでセキュリティを高めることが可能となる。
また、本発明に係るソフトウェアが、接続部とクライアント端末との接続が切断されたことを判定し、アクセス用画面を表示しない機能を有する際においては、小型端末をクライアント端末から切断することでアクセス用画面を表示しないようにすることが可能となる。
本発明の第1の実施形態に係る仮想ネットワーク構築システムの処理の概略図 本発明の第1の実施形態に係る仮想ネットワーク構築システムのブロック図 本発明の第1の実施形態に係る小型端末の処理を表すフローチャート 本発明の第1の実施形態に係る認証サーバの処理を表すフローチャート 本発明の第1の実施形態に係るクライアント端末のアクセス時の処理を表すフローチャート 本発明の第1の実施形態に係るクライアント端末の切断時の処理を表すフローチャート 本発明の第2の実施形態に係る仮想ネットワーク構築システムのブロック図 本発明の第2の実施形態に係るクライアント端末のアクセス時の処理を表すフローチャート 本発明の第2の実施形態に係るクライアント端末の切断時の処理を表すフローチャート
[第1の実施形態]
以下、本発明の第1の実施の形態を図1乃至図6を用いて説明する。
本実施形態において、仮想ネットワーク構築システムは、認証サーバ100と、クライアント端末250と、小型端末200と、対象装置300とを備えている。
第1の実施形態において、仮想ネットワーク構築システムは、クライアント端末250に接続する接続部202と、接続部202が接続した状態で、クライアント端末250を介して、認証サーバ100に識別子を自動送信する識別子送信部203とを備える、クライアント端末250から着脱可能な小型端末200と、小型端末200の識別子に基づいて認証を行う認証部102と、認証部102にて認証した際に、クライアント端末250と認証サーバ100とが通信する通信プロトコル及び暗号化方式を選択する通信方法選択部112と、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末250に対して、通信を暗号化するためのソフトウェアを配布する配布部111と、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末250との通信を暗号化する暗号化部113と、配布されたソフトウェアから自動送信される、対象装置300へのアクセス要求情報を受信する受信部114と、受信したアクセス要求情報に応じてクライアント端末250と対象装置300とのアクセスを、代理応答するリダイレクト部115とを備える認証サーバ100とを備える。
仮想ネットワーク構築システムは、コンピュータまたはサーバを備え、各種入力に基づきCPUがROMに記録されたプログラムを実行することで、各種機能部として動作する。該プログラムは、CD−ROM等の記憶媒体に記憶され、もしくはインターネット等のネットワークを介して配布され、コンピュータにインストールされるものであってもよい。
図1を用いて本実施形態に係る仮想ネットワーク構築システムの処理の概略について説明する。
まず、小型端末200は、クライアント端末250と接続すると(STEP1)、認証サーバ100に識別子を送信する(STEP2)。
識別子は、小型端末200に固有の情報を記したものをいう。具体的には、小型端末200のIDや認証用のデータ等のことをいう。
送信された識別子に応じて、認証サーバ100が認証を行う(STEP3)。認証サーバ100は、小型端末200から自動送信される識別子を認証に用いるため、アクセス用のWEB機能を有する必要がなく、よりセキュリティ強度を上げることが可能となる。
認証サーバ100は、認証に成功すると、識別子に応じて、ソフトウェアをクライアント端末250に配布する(STEP4)。
ソフトウェアは、認証サーバ100からクライアント端末250に配布され、認証サーバ100とクライアント端末250との通信を暗号化する。配布部111からクライアント端末250に配布されたソフトウェアは、本実施形態では、一時ファイルとしてクライアント端末250に保存されるが、インストールして展開されるものとしてもよい。
ソフトウェアは暗号化等の機能を有している。認証サーバ100は複数の暗号化方式のうち、識別子に応じた暗号化方式を選択し、適切なソフトウェアを配布する。本実施形態において、クライアント端末250と認証サーバ100は、3DESにて暗号化を行い、IPSec−VPN方式にて通信を行う。本実施形態では、ソフトウェアを一次と二次に分けて配布を行う。どちらもクライアント端末250から認証サーバ100への通信を暗号化するものである。一次ソフトウェアは、小型端末200が送信した識別子を認証サーバ100が認証した後に配布され、アクセス要求情報を送信する。二次ソフトウェアは、一次ソフトウェアが送信したアクセス要求情報をもとに、認証サーバ100が認証した後に配布され、そのアクセス用画面を表示する。
クライアント端末250は、配布された一次ソフトウェアを一時ファイルとして保存する(STEP5)。
一次ソフトウェアは、クライアント端末250のネットワーク設定を必要があれば適切に変更する(STEP6)。本実施形態では、クライアント端末250が認証サーバ100にIPSec−VPNでアクセスするため、設定を変更する必要がある。この場合、対象装置300が配置されているイントラネットと同一のネットワークに属するように、クライアント端末250のIPアドレス、ネットワークアドレス、デフォルトゲートウェイ等の設定を書き換え、ルーティングテーブルにイントラネットのルータの所在地を追加する。このように、クライアント端末250のネットワーク設定の変更をソフトウェアが自動で行うため、複雑なネットワーク設定処理や、専用のルータ等の設備が不要となる。
クライアント端末250のネットワーク設定が適切な状態になると、一次ソフトウェアは、認証サーバ100との通信を暗号化する(STEP7)。本実施形態では3DESによって暗号化を行う。暗号化された通信で、一次ソフトウェアは認証サーバ100に対して、アクセス要求情報を送信する(STEP8)。
アクセス要求情報は、認証サーバ100に対して、どの装置にアクセスしたいか要求するものをいう。具体的には、アクセスしたい対象装置300を特定できるようにIPアドレス等の情報を含んでいる。本実施形態では、メールサーバ302及び業務サーバ303のIPアドレスを含んでいる。
認証サーバ100は、一次ソフトウェアが有効なものであるかを、一次ソフトウェアのID及び配布履歴等から認証し(STEP9)、認証に成功したクライアント端末250に対して、二次ソフトウェアを配布する(STEP9)。そして、リダイレクト部115が、代理応答を行う(STEP11)。具体的には、アクセス要求情報のうち、認証サーバ100のキャッシュにある情報については、キャッシュ上の情報を応答し、キャッシュにない情報についてはメールサーバ302あるいは業務サーバ303から取得し、クライアント端末250に中継する(STEP10)。
二次ソフトウェアは、クライアント端末250にアクセス用画面を表示し、認証サーバ100から取得した情報を表示する(STEP12)。これにより、利用者は公衆回線800から、企業内のメールサーバ302上のメールを取得でき、また業務サーバ303上に保管されたファイル等を閲覧可能となる。
アクセス用画面は、認証サーバ100の中継を介して、クライアント端末250が対象装置300にアクセスする際に、クライアント端末250上に表示される画面をいう。本実施形態においては、アクセス用画面上で、利用者は、メールサーバ302のメールや、業務サーバ303のファイルの閲覧を行う。具体的には、タブ構造をもつブラウザのような画面で、表示対象をタブによって切り替えて、メールやファイルの閲覧を行う。
二次ソフトウェアは、接続部202とクライアント端末250との接続が切断されたことを判定し、アクセス用画面を表示しないよう指示をだしてもよい。
アクセス用画面は、認証サーバ100の中継を介して、クライアント端末250が対象装置300にアクセスする際に、クライアント端末250上に表示される画面をいう。
ソフトウェアは、接続部202とクライアント端末250との接続が切断されたことを判定し、アクセス用画面を表示しないよう指示をだしてもよい。
本実施形態では、アクセス用画面は、小型端末200がクライアント端末250と接続中に表示され、接続が切断されると表示されなくなる。
小型端末200とクライアント端末250との接続が切断される(STEP13)と、二次ソフトウェアがアクセス用画面、アクセス履歴、及びソフトウェアを消去する(STEP14)。また、ネットワーク設定を通信前の状況に回復する(STEP15)。
図2は、本実施形態に係る仮想ネットワーク構築システムのブロック図である。本実施形態では、クライアント端末250は、プライベートなネットワーク上の対象装置300に、公衆回線800を介してアクセスを行う。
プライベートなネットワークは、企業等の組織内のネットワークをいう。本実施形態では、公衆回線800からファイヤーウォール850で隔離された、企業のイントラネットを指す。
対象装置300は、プライベートなネットワーク上に配置された装置をいう。本実施形態においては、対象装置300は、メールサーバ302、WEBサーバ301、業務サーバ303である。対象装置300は、ファイヤーウォール850の内側に設置されている。
クライアント端末250は、小型端末200が挿入されると、公衆回線800から対象装置300にアクセス可能となる。この際、認証サーバ100による認証を通過する必要がある。認証サーバ100は、DMZ上に設置されている。一方でクライアント端末250及び小型端末200は、公衆回線800上に設置されている。
小型端末200は、仮想ネットワーク構築システムに用いられる小型な端末をいう。クライアント端末250と接続可能であり、携帯可能なサイズである。小型端末200は、識別子記憶部201と、接続部202と、識別子送信部203とを備えている。
識別子記憶部201は、識別子が書き込まれた回路上の領域をいう。
小型端末200は、接続部202において、クライアント端末250と接続する。接続インタフェースとして、USB(Universal Sirial Bus)やIEEE1394等のシリアルバスを用いて接続するものとしてもよい。本実施形態では小型端末200はクライアント端末250とUSB接続をする。
識別子送信部203は、認証サーバ100に識別子を送信するものをいう。接続部202がクライアント端末250と接続した際に、自動で識別子を送信する。
また、小型端末200はメモリ機能を有さないものとしてもよい。例えば、識別子記憶部201、接続部202及び識別子送信部203を、CMOS回路上に直接書き込んで制御することで、メモリ機能を有さないものとしてもよい。この場合、悪意のある利用者に小型端末200の識別子を盗まれることや、クライアント端末250上の情報を小型端末200にコピーされることを防ぐことが可能となる。
また、図2に示すように、認証サーバ100は、データベース101と、認証部102と、受付部110と、配布部111と、通信方法選択部112と、暗号化部113と、受信部114と、リダイレクト部115とを備えている。
データベース101には、小型端末200の識別子に関する情報が保存されている。小型端末200が、識別子を送信してきた際に、認証サーバ100は、データベース101に保存されている情報と照合し、認証を行う。
受付部110は、小型端末200から送信される識別子を受け付けるものをいう。
認証部102は、アクセスしてきた端末に対して、認証を行う。本実施形態では、アクセス元の小型端末200の識別子をデータベース101上に記録された識別子と比較し、一致した場合に、アクセスを許可する。
配布部111は、アクセス元である端末にソフトウェアを配布する。通信を暗号化するためのソフトウェア(一次及び二次)を配布するものとしてもよい。本実施形態では、配布部111は、小型端末200の識別子に応じて配布するソフトウェアの種類を選択する。
通信方法選択部112は、アクセス元である端末と認証サーバ100との通信方法を選択する。通信方法選択部112は、小型端末200の識別子に基づいて、通信プロトコル及び暗号化方式を選択する。例えば、AH(Authentication Header)、ESP(Encapsulated Security Payload)やIKE(Internet Key Exchange)などを通信プロトコルとして選択することが可能である。
暗号化部113は、アクセス元である端末と認証サーバ100との通信を暗号化する。暗号化部113は、識別子に応じて、RC4、3DES又はAESのいずれかの暗号化方式で通信を暗号化するものとしてもよい。
受信部114は、対象装置300へのアクセス要求情報を受信する。
リダイレクト部115は、クライアント端末250と対象装置300との接続を代理する。プロキシサーバとしての機能のことを指してもよい。具体的には、公衆回線800から対象装置300にアクセスする端末がある際に、すべてリダイレクト部115にアクセスさせ、キャッシュにない情報だけを対象装置300から取得する(公衆回線800から受け取ったリクエストを対象装置300に中継する)。
クライアント端末250は、一次及び二次ソフトウェアを配布されることで、図2に示すように、暗号化通信部251を提供される。更に、一次及び二次ソフトウェアは、本実施形態のように画面表示機能と消去機能とネットワーク設定機能を有してもよい。本実施形態では、そのため、クライアント端末250は、一次及び二次ソフトウェアを配布された場合、図2のように、画面表示部252と、消去部253と、ネットワーク設定部254が一次及び二次ソフトウェアから提供される。
暗号化通信部251は、クライアント端末250から認証サーバ100への通信を暗号化する。本実施形態では3DES方式による暗号化を行い、IPSec−VPNで通信する。
画面表示部252は、クライアント端末250にアクセス用画面を表示させる。また、画面表示部252は、認証サーバ100の位置を示す識別情報を秘匿するものとしてもよい。例えば、アクセス用画面に認証サーバ100や対象装置300のURLを表示しないようにしてもよい。これにより、利用者から認証サーバ100のURLを秘匿することが可能になり、悪意のある第三者が認証サーバ100のURLをもとに攻撃を行うことを防ぐことができる。
ネットワーク設定部254は、クライアント端末250のネットワークの設定を書き換える。本実施形態では、IPSec−VPNが通信方法として選択されているため、クライアント端末250のIPアドレス、ネットワークアドレス、ルーティングテーブル等の設定を変更する必要がある。
消去部253は、小型端末200に記録された情報を消去する。本実施形態では、アクセス要求情報及びアクセスの履歴、キャッシュ、Cookieをクライアント端末250上から消去する。
図3を用いて小型端末200の処理フローについて詳細に説明する。図3は小型端末200の処理を表すフローチャートである。
まず、対象装置300にアクセスしてサービスの提供を受けたい利用者は、クライアント端末250に小型端末200を接続する(STEP111)。このとき、利用者は対象装置300のセキュリティレベルに応じて、挿入する小型端末200を選択する。本実施例では、IPSec−VPNで接続する場合を例にとって説明する。
IPSec−VPNで、企業のイントラネットに接続するには、IPSec−VPNに対応した小型端末200を利用する。小型端末200はクライアント端末250に接続したことを認識すると、内部のプログラムを自動的に実行させ、識別子を認証サーバ100に自動で送信する(STEP112)。
次に、認証サーバ100の処理フローについて、図4を用いて説明する。クライアント端末250を介して、小型端末200から識別子が送信されると、該識別子によって、小型端末200を認証サーバ100が認証する(STEP211)。認証が成功すると、認証サーバ100は、識別子に応じて通信プロトコル及び暗号化方式を決定する(STEP212)。決定された通信プロトコル及び暗号化方式を実現するために必要なソフトウェアを、認証サーバ100は、クライアント端末250に配布する(SEP213)。クライアント端末250から、暗号化された通信でアクセス要求情報を受信する(STEP214)と、認証サーバ100は、代理応答を行う(STEP215)。
次に、ソフトウェアを保存したクライアント端末250の処理フローを、図5及び図6を用いて説明する。
図5はソフトウェアを保存したクライアント端末250が、対象装置300にアクセスする際の処理フローを示したチャートである。クライアント端末250上に配布されたソフトウェアを保存する(STEP311)と、ネットワーク設定部254がクライアント端末250のネットワーク設定に変更が必要か判定する(STEP312)。本実施形態では、クライアント端末250のネットワークアドレス、ルーティングテーブル等の変更を行う必要があるため(STEP312;YES)、設定変更を行う(STEP313)。クライアント端末250のネットワーク設定が認証サーバ100と通信可能な状態となると、通信を暗号化し(STEP314)、アクセス要求情報を認証サーバ100に送信する(STEP315)。認証サーバ100から要求した情報が暗号化されて返ってくると、クライアント端末250にアクセス用画面を表示させ、受け取った情報を表示する(STEP316)。
図6は、クライアント端末250と小型端末200との接続を解除した場合の処理フローを示すチャートである。利用者がクライアント端末250から小型端末200を抜くと(STEP411)、ソフトウェアは、接続が解除されたことを検知する。このとき、画面表示部252は、クライアント端末250に表示していたアクセス用画面を消去する(STEP412)。これにより、利用者が明示的にアクセス用画面を閉じる必要なく、認証サーバ100との通信を終了することが可能となる。消去部253がクライアント端末250上のアクセス履歴、キャッシュ情報、クッキー等の履歴を削除する(STEP413)。これによって、利用者が小型端末200を抜いた後に、履歴を用いて対象装置300に不正アクセスすることを防ぐことが可能となる。ネットワーク設定部254が、クライアント端末250のネットワーク設定を変更していた場合には、設定を復元し(STEP414)、クライアント端末250上に保存されていたソフトウェアが自動で削除される(STEP415)。
[第2の実施形態]
以下、本発明の第2の実施の形態を図7乃至図9を用いて説明する。
本実施形態において、仮想ネットワーク構築システムは、認証サーバ100と、クライアント端末250と、小型端末200と、対象装置300とを備えている。
第2の実施形態において、仮想ネットワーク構築システムは、クライアント端末250に接続する接続部202と、接続部202が接続した状態で、クライアント端末250を介して、認証サーバ100に識別子を自動送信する識別子送信部203とを備える、クライアント端末250から着脱可能な小型端末200と、小型端末200の識別子に基づいて認証を行う認証部102と、認証部102にて認証した際に、クライアント端末250と認証サーバ100とが通信する通信プロトコル及び暗号化方式を選択する通信方法選択部112と、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末250に対して、通信を暗号化するためのソフトウェアを配布する配布部111と、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末250との通信を暗号化する暗号化部113と、配布されたソフトウェアから自動送信される、対象装置300へのアクセス要求情報を受信する受信部114と、受信したアクセス要求情報に応じてクライアント端末250と対象装置300とのアクセスを、代理応答するリダイレクト部115とを備える認証サーバ100とを備える。
本実施形態では、利用者はSSL−VPN方式でプライベートなネットワークにアクセスを行う。そのため、クライアント端末250のネットワーク設定を変更する必要はない。
図7は、本実施形態に係る仮想ネットワーク構築システムのブロック図である。本実施形態では、クライアント端末250は、プライベートなネットワーク上の対象装置300に、公衆回線800を介してアクセスを行う。
本実施形態において、小型端末200は、識別子記憶部201と、接続部202と、識別子送信部203とを備えている。
また、認証サーバ100は、データベース101と、認証部102と、受付部110と、配布部111と、通信方法選択部112と、暗号化部113と、受信部114と、リダイレクト部115とを備えている。
クライアント端末250は、ソフトウェアを配布されることで、図7に示すように、暗号化通信部251を提供される。本実施形態においてはSSLによって通信を暗号化する。更に、ソフトウェアは、本実施形態のように画面表示機能と消去機能とを有している。本実施形態では、そのため、クライアント端末250は、ソフトウェアを配布された場合、図7のように、画面表示部252と、消去部253とがソフトウェアから提供される。
暗号化通信部251は、クライアント端末250から認証サーバ100への通信を暗号化する。本実施形態ではSSL方式を用いたHTTPS通信を行う。
画面表示部252は、クライアント端末250にアクセス用画面を表示させる。また、画面表示部252は、認証サーバ100の位置を示す識別情報を秘匿するものとしてもよい。例えば、アクセス用画面に認証サーバ100や対象装置300のURLを表示しないようにしてもよい。これにより、利用者から認証サーバ100のURLを秘匿することが可能になり、悪意のある第三者が認証サーバ100のURLをもとに攻撃を行うことを防ぐことができる。
ネットワーク設定部254は、クライアント端末250のネットワークの設定を書き換える。本実施形態では、SSL−VPNによる通信を行うため、クライアント端末250のネットワーク設定を変更する必要はない。しかし、IPSec−VPN等の通信方法が選択された場合、クライアント端末250のIPアドレス、ネットワークアドレス、ルーティングテーブル等の設定を変更する必要がある。
消去部253は、小型端末200に記録された情報を消去する。本実施形態では、アクセス要求情報及びアクセスの履歴、キャッシュ、Cookieをクライアント端末250上から消去する。
次に、ソフトウェアを保存したクライアント端末250の処理フローを、図8及び図9を用いて説明する。
図8はソフトウェアを保存したクライアント端末250が、対象装置300にアクセスする際の処理フローを示したチャートである。クライアント端末250上に配布されたソフトウェアを保存する(STEP511)と、通信を暗号化し(STEP512)、アクセス要求情報を認証サーバ100に送信する(STEP513)。認証サーバ100から要求した情報が暗号化されて返ってくると、クライアント端末250にアクセス用画面を表示させ、受け取った情報を表示する(STEP514)。
図9は、クライアント端末250と小型端末200との接続を解除した場合に処理フローを示すチャートである。利用者がクライアント端末250から小型端末200を抜くと(STEP611)、ソフトウェアは、接続が解除されたことを検知する。このとき、画面表示部252は、クライアント端末250に表示していたアクセス用画面を消去する(STEP612)。これにより、利用者が明示的にアクセス用画面を閉じる必要なく、認証サーバ100との通信を終了することが可能となる。消去部253がクライアント端末250上のアクセス履歴、キャッシュ情報、クッキー等の履歴を削除する(STEP613)。これによって、利用者が小型端末200を抜いた後に、履歴を用いて対象装置300に不正アクセスすることを防ぐことが可能となる。その後、クライアント端末250上に保存されていたソフトウェアが自動で削除される(STEP614)。
その他の構成、機能については第1の実施形態と同様である。
仮想ネットワーク構築システム、仮想ネットワーク構築方法は、クライアント端末250から着脱可能な小型端末200が、クライアント端末250に接続するステップと、接続部202が接続した状態で、クライアント端末250を介して、認証サーバ100に識別子を自動送信するステップと、認証サーバ100が、小型端末200の識別子に基づいて認証を行うステップと、認証部102にて認証した際に、クライアント端末250と認証サーバ100とが通信する通信プロトコル及び暗号化方式を選択するステップと、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末250に対して、通信を暗号化するためのソフトウェアを配布するステップと、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末250との通信を暗号化するステップと、配布されたソフトウェアから自動送信された、対象装置300へのアクセス要求情報を受信するステップと、受信したアクセス要求情報に応じてクライアント端末250と対象装置300とのアクセスを、代理応答するステップとを実現する際には、認証サーバ100との接続を小型端末200が自動で行うことができ、企業等の組織内のプライベートなネットワークへアクセス可能な端末を限定することが可能となり、また認証サーバ100にWEB機能およびVPNルータ機能を搭載する必要がなくなり、悪意のある第三者から攻撃を受ける可能性を低減することが可能となる。
また、小型端末200が、クライアント端末250に接続する接続部202と、認証サーバ100に認証を行わせるための識別子を記録する識別子記録部201と、接続部202が接続した状態で、クライアント端末250を介して、認証サーバ100に識別子を自動送信する識別子送信部203とを有するものであって、識別子に基づいて、クライアント端末250が対象装置300にアクセスするために、クライアント端末250を認証サーバ100に認証させる、クライアント端末250から着脱可能なものである際においては、小型端末200をクライアント端末250に接続することで、利用者は自動的にプライベートネットワーク上の対象装置300にアクセスすることが可能となる。
また、認証サーバ100が、クライアント端末250に接続された小型端末200に記録された識別子を受け付ける受付部110と、識別子に基づいて認証を行う認証部102と、認証部102にて認証した際に、クライアント端末250と認証サーバ100とが通信する通信プロトコル及び暗号化方式を選択する通信方法選択部112と、選択された通信プロトコル及び暗号化方式に応じて、クライアント端末250に対して、通信を暗号化するためのソフトウェアを配布する配布部111と、選択された通信プロトコル及び暗号化方式に基づいて、クライアント端末との通信を暗号化する暗号化部113と、配布されたソフトウェアから自動送信された、対象装置300へのアクセス要求情報を受信する受信部114と、受信したアクセス要求情報に応じてクライアント端末250と対象装置300とのアクセスを、代理応答するリダイレクト部115とを備える際においては、認証サーバ100にWEB機能を搭載する必要がなくなり、悪意のある第三者から攻撃を受ける可能性を低減することが可能となる。
また、暗号化部113が、識別子に応じて、RC4、3DES又はAESのいずれかの暗号化方式で通信を暗号化する際においては、組織内のネットワークのセキュリティレベルに応じて適切な暗号化方式を選択することが可能となる。
また、小型端末200が、クライアント端末250から送信されるデータを記録するためのメモリを有さないものである際においては、小型端末200上の情報をコピーされることを防げ、また、小型端末200に情報を記憶させて盗みだされることを防ぐことが可能となる。
また、ソフトウェアが、選択された通信プロトコルに応じて、クライアント端末250のネットワーク設定を自動で変更するネットワーク設定機能を有する際においては、利用者が企業内のネットワークにアクセスする際に、ルータ等の専用のネットワーク機器が不要になり、また、複雑なネットワーク設定を省略することが可能となる。
また、ソフトウェアが、接続部202とクライアント端末250との接続が切断されたことを判定し、アクセス要求情報及びソフトウェアを消去する消去機能を有する際においては、クライアント端末250上から、接続に関する情報を消去することが可能となり、履歴を悪用されることを防ぐことが可能となる。
また、ソフトウェアが、クライアント端末250にアクセス用画面を表示させるための画面表示機能を有する際においては、クライアント端末250に搭載されているブラウザから認証サーバ100にアクセスすることを防ぐことが可能となり、キャッシュやアクセス履歴等の情報をソフトウェアで管理することが可能となる。
また、画面表示機能が、認証サーバ100の位置を示す識別情報を秘匿する際においては、悪意のある第三者から認証サーバ100の位置を秘匿することでセキュリティを高めることが可能となる。
また、ソフトウェアが、接続部202とクライアント端末250との接続が切断されたことを判定し、アクセス用画面を表示しない機能を有する際においては、小型端末200をクライアント端末250から切断することでアクセス用画面を表示しないようにすることが可能となる。
100 認証サーバ
101 データベース
102 認証部
110 受付部
111 配布部
112 通信方法選択部
113 暗号化部
114 受信部
115 リダイレクト部
200 小型端末
201 識別子記憶部
202 接続部
203 識別子送信部
250 クライアント端末
251 暗号化通信部
252 画面表示部
253 消去部
254 ネットワーク設定部
300 対象装置
301 WEBサーバ
302 メールサーバ
303 業務サーバ
800 公衆回線
850 ファイヤーウォール

Claims (11)

  1. 公衆回線を通じてプライベートなネットワークにアクセスするクライアント端末と、前記クライアント端末の認証を行う認証サーバと、前記プライベートなネットワーク上に配置された対象装置とを含む仮想ネットワーク構築システムにおいて、
    前記クライアント端末に接続する接続部と、
    前記接続部が接続した状態で、前記クライアント端末を介して、前記認証サーバに識別子を自動送信する識別子送信部とを備える、前記クライアント端末から着脱可能な小型端末と、
    前記小型端末の識別子に基づいて認証を行う認証部と、
    前記認証部にて認証した際に、前記クライアント端末と前記認証サーバとが通信する通信プロトコル及び暗号化方式を選択する通信方法選択部と、
    前記選択された通信プロトコル及び暗号化方式に応じて、前記クライアント端末に対して、通信を暗号化するためのソフトウェアを配布する配布部と、
    前記選択された通信プロトコル及び暗号化方式に基づいて、前記クライアント端末との通信を暗号化する暗号化部と、
    前記配布されたソフトウェアから自動送信された、前記対象装置へのアクセス要求情報を受信する受信部と、
    前記受信したアクセス要求情報に応じて前記クライアント端末と前記対象装置とのアクセスを、代理応答するリダイレクト部とを備える認証サーバとを有する仮想ネットワーク構築システム。
  2. 前記暗号化部は、
    前記識別子に応じて、RC4、3DES又はAESのいずれかの暗号化方式で、通信を暗号化することを特徴とする請求項1記載の仮想ネットワーク構築システム。
  3. 前記小型端末は、前記クライアント端末から送信されるデータを記録するための
    メモリを有さないことを特徴とする請求項1または2記載の仮想ネットワーク構築システム。
  4. 前記ソフトウェアは、
    前記クライアント端末に、
    前記選択された通信プロトコルに応じて、前記クライアント端末のネットワーク設定を自動で変更するネットワーク設定機能を有することを特徴とする請求項1から3いずれか1項記載の仮想ネットワーク構築システム。
  5. 前記ソフトウェアは、
    前記クライアント端末に、
    前記接続部と前記クライアント端末との接続が切断されたことを判定し、
    前記接続要求情報及び前記ソフトウェアを自動消去する消去部を提供することを特徴とする請求項1から4いずれか1項記載の仮想ネットワーク構築システム。
  6. 前記ソフトウェアは、
    前記クライアント端末にアクセス用画面を表示させるための画面表示機能を有することを特徴とする請求項1から5いずれか1項記載の仮想ネットワーク構築システム。
  7. 前記画面送信機能は、
    前記認証サーバの位置を示す識別情報を秘匿することを特徴とする請求項6記載の仮想ネットワーク構築システム。
  8. 前記ソフトウェアは、
    前記接続部と前記クライアント端末との接続が切断されたことを判定し、
    前記アクセス用画面を表示しない機能を有することを特徴とする請求項6または7記載の仮想ネットワーク構築システム。
  9. 公衆回線を通じてプライベートなネットワークにアクセスするクライアント端末と、前記クライアント端末の認証を行う認証サーバと、前記プライベートなネットワーク上に配置された対象装置とを含む仮想ネットワーク構築方法において、
    前記クライアント端末から着脱可能な小型端末が、
    前記クライアント端末に接続するステップと、
    前記接続部が接続した状態で、前記クライアント端末を介して、前記認証サーバに識別子を自動送信するステップと、
    前記認証サーバが、
    前記小型端末の識別子に基づいて認証を行うステップと、
    前記認証部にて認証した際に、前記クライアント端末と前記認証サーバとが通信する通信プロトコル及び暗号化方式を選択するステップと、
    前記選択された通信プロトコル及び暗号化方式に応じて、前記クライアント端末に対して、通信を暗号化するためのソフトウェアを配布するステップと、
    前記選択された通信プロトコル及び暗号化方式に基づいて、前記クライアント端末との通信を暗号化するステップと、
    前記配布されたソフトウェアから自動送信された、前記対象装置への接続要求情報を受信するステップと、
    前記受信した接続要求情報に応じて前記クライアント端末と前記対象装置との接続を、代理応答するステップとを実現する仮想ネットワーク構築方法。
  10. 公衆回線を通じてプライベートなネットワークにアクセスするクライアント端末と、前記クライアント端末の認証を行う認証サーバと、前記プライベートなネットワーク上に配置された対象装置とを含む仮想ネットワーク構築システムの小型端末において、
    前記クライアント端末に接続する接続部と、
    前記認証サーバに認証を行わせるための識別子を記録する識別子記録部と、
    前記接続部が接続した状態で、前記クライアント端末を介して、前記認証サーバに識別子を自動送信する識別子送信部とを有するものであって、
    前記識別子に基づいて、前記クライアント端末が前記対象装置にアクセスするために、前記クライアント端末を前記認証サーバに認証させる、前記クライアント端末から着脱可能な小型端末。
  11. 公衆回線を通じてプライベートなネットワークにアクセスするクライアント端末と、前記クライアント端末の認証を行う認証サーバと、前記プライベートなネットワーク上に配置された対象装置とを含む仮想ネットワーク構築システムの認証サーバにおいて、
    前記クライアント端末に接続された小型端末に記録された識別子を受け付ける受付部と、
    前記識別子に基づいて認証を行う認証部と、
    前記認証部にて認証した際に、前記クライアント端末と前記認証サーバとが通信する通信プロトコル及び暗号化方式を選択する通信方法選択部と、
    前記選択された通信プロトコル及び暗号化方式に応じて、前記クライアント端末に対して、通信を暗号化するためのソフトウェアを配布する配布部と、
    前記選択された通信プロトコル及び暗号化方式に基づいて、前記クライアント端末との通信を暗号化する暗号化部と、
    前記配布されたソフトウェアから自動送信された、前記対象装置へのアクセス要求情報を受信する受信部と、
    前記受信したアクセス要求情報に応じて前記クライアント端末と前記対象装置とのアクセスを、代理応答するリダイレクト部とを備える認証サーバ。
JP2012229236A 2012-10-16 2012-10-16 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ Pending JP2014082638A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2012229236A JP2014082638A (ja) 2012-10-16 2012-10-16 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ
CN201310482180.7A CN103731410A (zh) 2012-10-16 2013-10-15 虚拟网络构建系统、方法、小型终端及认证服务器
US14/055,858 US20140108783A1 (en) 2012-10-16 2013-10-16 Virtual network building system, virtual network building method, small terminal, and authentication server
TW102137275A TW201417542A (zh) 2012-10-16 2013-10-16 虛擬網路構建系統、虛擬網路構建方法、小型終端及認證伺服器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012229236A JP2014082638A (ja) 2012-10-16 2012-10-16 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ

Publications (1)

Publication Number Publication Date
JP2014082638A true JP2014082638A (ja) 2014-05-08

Family

ID=50455338

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012229236A Pending JP2014082638A (ja) 2012-10-16 2012-10-16 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ

Country Status (4)

Country Link
US (1) US20140108783A1 (ja)
JP (1) JP2014082638A (ja)
CN (1) CN103731410A (ja)
TW (1) TW201417542A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018173921A (ja) * 2017-03-31 2018-11-08 西日本電信電話株式会社 ネットワークデバイス、認証管理システム、これらの制御方法及び制御プログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10375043B2 (en) * 2014-10-28 2019-08-06 International Business Machines Corporation End-to-end encryption in a software defined network
CN107579948B (zh) * 2016-07-05 2022-05-10 华为技术有限公司 一种网络安全的管理系统、方法及装置
CN107017834A (zh) * 2017-05-27 2017-08-04 南京泛和电力自动化有限公司 一种光伏发电监控方法及系统
CN111431778B (zh) * 2020-05-11 2021-08-31 深圳市吉祥腾达科技有限公司 一种基于广域网服务器实现的上网认证方法
CN111866995B (zh) * 2020-07-26 2021-01-19 广云物联网科技(广州)有限公司 一种基于微信小程序的智能设备配网方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7748031B2 (en) * 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
JP4932413B2 (ja) * 2006-09-29 2012-05-16 株式会社日立製作所 環境移行システム、端末装置、情報処理装置、管理サーバ、可搬型記憶媒体
EP2326057A1 (en) * 2009-11-20 2011-05-25 British Telecommunications public limited company Detecting malicious behaviour on a network
US8650565B2 (en) * 2009-12-14 2014-02-11 Citrix Systems, Inc. Servicing interrupts generated responsive to actuation of hardware, via dynamic incorporation of ACPI functionality into virtual firmware
US20110258657A1 (en) * 2010-04-17 2011-10-20 Allan Casilao System and method for secured digital video broadcasting of instantaneous testimony

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018173921A (ja) * 2017-03-31 2018-11-08 西日本電信電話株式会社 ネットワークデバイス、認証管理システム、これらの制御方法及び制御プログラム

Also Published As

Publication number Publication date
US20140108783A1 (en) 2014-04-17
TW201417542A (zh) 2014-05-01
CN103731410A (zh) 2014-04-16

Similar Documents

Publication Publication Date Title
US11652792B2 (en) Endpoint security domain name server agent
US8312064B1 (en) Method and apparatus for securing documents using a position dependent file system
US6804777B2 (en) System and method for application-level virtual private network
US9674173B2 (en) Automatic certificate enrollment in a special-purpose appliance
JP4648148B2 (ja) 接続支援装置
EP2820792B1 (en) Method of operating a computing device, computing device and computer program
US9356994B2 (en) Method of operating a computing device, computing device and computer program
US7707628B2 (en) Network system, internal server, terminal device, storage medium and packet relay method
US10503918B2 (en) Process to access a data storage device of a cloud computer system
US20060005008A1 (en) Security gateway utilizing ssl protocol protection and related method
WO2004107646A1 (en) System and method for application-level virtual private network
JP2016530814A (ja) 大量のvpn接続を遮断するためのゲートウェイデバイス
JP4339234B2 (ja) Vpn接続構築システム
US20150121076A1 (en) Simplifying ike process in a gateway to enable datapath scaling using a two tier cache configuration
EP2625643A1 (en) Methods and systems for providing and controlling cryptographically secure communications across unsecured networks between a secure virtual terminal and a remote system
US10050944B2 (en) Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS)
JP2014082638A (ja) 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ
US20120278611A1 (en) Vpn-based method and system for mobile communication terminal to access data securely
CN105429962B (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
US20160261576A1 (en) Method, an apparatus, a computer program product and a server for secure access to an information management system
CN103916394A (zh) 公共wifi环境下的数据传输方法及系统
EP2706717A1 (en) Method and devices for registering a client to a server
JP2012137975A (ja) 中継処理装置、及びその制御方法、プログラム
JP2007281919A (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
US20060122936A1 (en) System and method for secure publication of online content