JP2002232460A - イントラネットリモートアクセス方法並びにイントラネットリモートアクセス処理プログラム及び該処理プログラムを記録した記録媒体 - Google Patents

イントラネットリモートアクセス方法並びにイントラネットリモートアクセス処理プログラム及び該処理プログラムを記録した記録媒体

Info

Publication number
JP2002232460A
JP2002232460A JP2001030156A JP2001030156A JP2002232460A JP 2002232460 A JP2002232460 A JP 2002232460A JP 2001030156 A JP2001030156 A JP 2001030156A JP 2001030156 A JP2001030156 A JP 2001030156A JP 2002232460 A JP2002232460 A JP 2002232460A
Authority
JP
Japan
Prior art keywords
terminal
vpn
gateway
intranet
management server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001030156A
Other languages
English (en)
Other versions
JP3701206B2 (ja
Inventor
Keishin Yamada
敬信 山田
Kiyoshi Nakahama
清志 中濱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001030156A priority Critical patent/JP3701206B2/ja
Publication of JP2002232460A publication Critical patent/JP2002232460A/ja
Application granted granted Critical
Publication of JP3701206B2 publication Critical patent/JP3701206B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】Web対応携帯電話などの端末によるイントラ
ネットへのリモートアクセスを、端末単体でありながら
高いセキュリティを確保した上で行うことの可能なイン
トラネットリモートアクセス方法並びにイントラネット
リモートアクセス処理プログラム及び該処理プログラム
を記録した記録媒体の提供。 【解決手段】イントラネット5上の機器(機器1,…,
機器N)に対応して割り当てられたWeb対応携帯電話
4からの端末IDの入力に伴い、インターネット6上の
VPNセッション管理サーバ2からのコマンド制御に応
じてVPNゲートウェイ3とゲートウェイ機器1との間
にVPNトンネル9を設定し、Web対応携帯電話4か
ら端末ID及び機器名が入力されて、該当する機器に対
して所要のアクセスが発生するのに伴い、そのWeb対
応携帯電話4に代わり、VPNセッション管理サーバ2
に、VPNトンネル9を経由した代理アクセスを行わせ
る特徴。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、イントラネットリ
モートアクセス方法並びにイントラネットリモートアク
セス処理プログラム及び該処理プログラムを記録した記
録媒体に関し、詳しくは、VPN機能を有するゲートウ
ェイ機器を介してインターネットに接続されたイントラ
ネット上の機器を、所定のインターネットゲートウェイ
を通じて前記インターネットにアクセス可能な端末から
リモートアクセスするためのイントラネットリモートア
クセス方法、並びに当該イントラネットリモートアクセ
ス方法を実施するためのイントラネットリモートアクセ
ス処理プログラム、及び当該イントラネットリモートア
クセス処理プログラムを記録した記録媒体に係わる。
【従来の技術】
【0002】近年、パケット網やPDC網などの公衆網
から、携帯電話サービスを提供する通信キャリアにより
設置されたインターネットゲートウェイ経由で、HTT
PによるWebページの閲覧を可能にする携帯電話(以
下、「Web対応携帯電話」という)が登場している。
【0003】このWeb対応携帯電話によれば、インタ
ーネット上のWWWサーバにアクセスして、様々な情報
を得たりサービスを受けることが可能になる他、例え
ば、企業等に設置されたLAN上のWebサーバに、外
出先からリモートアクセスすることなども可能となる。
【0004】上記の例のように、企業等におけるLAN
上のWebサーバに、外出先からリモートアクセスする
場合、本人の成りすまし、或いは通信データの盗聴や改
竄(ざん)などの脅威に対処するため、セキュリティ面
に対する十分な配慮が必要となる。
【0005】そのセキュリティ確保のための具体策に
は、従来、第1の方法として、携帯電話通信キャリアの
インターネットゲートウェイと、被リモートアクセス先
であるイントラネット(インターネットとの境界域)と
のゲートウェイ機器間を、専用線やIP閉域網などセキ
ュリティの保証されたネットワークで接続し、事前に登
録されたWeb対応携帯電話のみに、当該イントラネッ
トへのリモートアクセスを許可する「CUGサービス
(CUG:クローズドユーザグループ)」を利用する方
法がある。
【0006】また、第2の方法として、被リモートアク
セス先のイントラネットとインターネットとの境界域に
認証用サーバを設置し、所要の認証を行うためのトーク
ンを正規ユーザに配布すると同時に、当該認証用サーバ
に適切な設定を施すといった方法があり、そのトークン
の具体例としては、ICカードや端末登録用パスワード
発生装置などがある。
【0007】このうち、ICカードによるセキュリティ
方式は、Web対応携帯電話に接続されたICカードリ
ーダに認証用のICカードを接続し、そのICカードに
よって本人か否かを認証する方式であり、実際の認証に
は、通常、ユーザ名とパスワードとが用いられる。この
方式によれば、ICカードを所持していれば本人である
ことが確認できるため、完璧なセキュリティが期待でき
るとされている。
【0008】これに対し、端末登録用パスワード発生装
置を用いたセキュリティ方式は、遠隔地におけるコンピ
ュータのユーザに当該装置を配布し、割り当てられた端
末登録用パスワードをユーザに直接入力させる方式であ
り、コンピュータのRAS(リモートアクセスサービ
ス)には、当該装置の固有コードを登録し、一定の計算
式によりパスワードを解読するようにしている。
【0009】
【発明が解決しようとする課題】しかしながら、従来の
セキュリティ確保の方法には、以下に示すような種々の
問題があった。
【0010】即ち、第1の方法では、専用線など高価な
回線をイントラネットまで引き込む必要があり、加え
て、汎用のWeb対応携帯端末をイントラネットへのリ
モートアクセス端末とする際には、CUGサービスを提
供する企業等に対し主に書類で申請作業を行う必要があ
るため、リモートアクセス端末の追加や変更を迅速に行
うことが困難であった。
【0011】一方、第2の方法のうち、ICカード方式
は、完璧なセキュリティを望む場合には相応しいが、こ
の方式では、Web対応携帯電話にICカードリーダを
接続するための拡張スロットを必要とする上、被リモー
トアクセス先のイントラネット上の機器側にも何らかの
プログラムを追加する必要があり、しかも、プログラム
やOSによる機種依存があった。
【0012】これに対し、端末登録用パスワード方式で
は、Web対応携帯電話のユーザにパスワード発生装置
を配布する必要がある上、パスワード解読のための計算
式が装置の製造元により異なり、この方式の場合も、I
Cカード方式の場合と同様、イントラネット上の機器側
に何らかのプログラムを追加する必要があり、プログラ
ムやOSによる機種依存があった。
【0013】また、以上の第2の方法では、何れの方式
にしても、ユーザは、Web対応携帯電話の他に、認証
のためのトークンを常に持ち運ばなければならないとう
決定的な不便さがあった。
【0014】これでは、Web対応携帯電話及びインタ
ーネットの普及に伴って、爆発的な増加が予想されるW
eb対応携帯電話からイントラネットへのリモートアク
セスに、セキュリティや利便性の面において十分に対応
できない。
【0015】ここにおいて、本発明の解決すべき主要な
目的は、次のとおりである。
【0016】即ち、本発明の第1の目的は、Web対応
携帯電話などの端末によるイントラネットへのリモート
アクセスを、端末単体でありながら高いセキュリティを
確保した上で行うことの可能なイントラネットリモート
アクセス方法並びにイントラネットリモートアクセス処
理プログラム及び該処理プログラムを記録した記録媒体
を提供せんとするものである。
【0017】本発明の第2の目的は、イントラネット上
の機器に追加や変更が生じた場合にも、これに迅速に対
応することが可能であり、システムへの適用に際し高い
利便性を得ることの可能なイントラネットリモートアク
セス方法並びにイントラネットリモートアクセス処理プ
ログラム及び該処理プログラムを記録した記録媒体を提
供せんとするものである。
【0018】本発明の第3の目的は、専用線などの高価
な回線を必要とせず、システムへの適用に際しコストの
増加を招くことのないイントラネットリモートアクセス
方法並びにイントラネットリモートアクセス処理プログ
ラム及び該処理プログラムを記録した記録媒体を提供せ
んとするものである。
【0019】本発明の他の目的は、明細書、図面、特に
特許請求の範囲の各請求項の記載から自ずと明らかとな
ろう。
【0020】
【課題を解決するための手段】本発明方法においては、
イントラネット上の機器に対応して割り当てられた端末
からの端末IDの入力に伴い、インターネット上のVP
Nセッション管理サーバからのコマンド制御に応じてV
PNゲートウェイとゲートウェイ機器との間にVPNト
ンネルを設定し、該当する端末から端末ID及び機器名
が入力されて、該当する機器に対して所要のアクセスが
発生するのに伴い、その端末に代わり、VPNセッショ
ン管理サーバに、VPNトンネルを経由した代理アクセ
スを行わせる手法を実施する、という特徴を有する。
【0021】一方、本発明プログラムにおいては、コン
ピュータを構成するインターネット上のVPNセッショ
ン管理サーバに実行させるプログラムに、イントラネッ
ト上の機器に対応して割り当てられた端末からの端末I
Dの入力に伴い、VPNセッション管理サーバからのコ
マンド制御に応じてVPNゲートウェイとゲートウェイ
機器との間にVPNトンネルを設定するステップと、該
当する端末から端末ID及び機器名が入力されて、該当
する機器に対して所要のアクセスが発生するのに伴い、
その端末に代わり、VPNセッション管理サーバに、V
PNトンネルを経由した代理アクセスを行わせるステッ
プとを有する手順を実行する、という特徴を有する。
【0022】また、本発明記録媒体においては、コンピ
ュータを構成するインターネット上のVPNセッション
管理サーバに実行させるプログラムを記録した記録媒体
に、イントラネット上の機器に対応して割り当てられた
端末からの端末IDの入力に伴い、VPNセッション管
理サーバからのコマンド制御に応じてVPNゲートウェ
イとゲートウェイ機器との間にVPNトンネルを設定す
る手順と、該当する端末から端末ID及び機器名が入力
されて、該当する機器に対して所要のアクセスが発生す
るのに伴い、その端末に代わり、VPNセッション管理
サーバに、VPNトンネルを経由した代理アクセスを行
わせる手順とが記述される手続を実録する、という特徴
を有する。
【0023】さらに具体的詳細に述べると、当該課題の
解決では、本発明が次に列挙する新規な特徴的構成手
法、手順又は手続を採用することにより、前記目的を達
成するよう為される。
【0024】即ち、本発明方法の第1の特徴は、VPN
機能を有するゲートウェイ機器を介してインターネット
に接続されたイントラネット上の機器に、所定のインタ
ーネットゲートウェイを通じて前記インターネットにア
クセス可能な端末からリモートアクセスするためのイン
トラネットリモートアクセス方法であって、前記インタ
ーネット上に、前記インターネットゲートウェイと専用
線で接続されたVPNセッション管理サーバと、OSI
参照モデルのネットワーク層においてVPNセッション
を実現する機能を有し、前記VPNセッション管理サー
バからのコマンド制御に応じて前記ゲートウェイ機器と
の間にVPNトンネルを設定するVPNゲートウェイと
を配置し、前記イントラネット上の任意の機器からの要
求に伴い、その機器に付与された機器名及び機器アドレ
スを前記VPNセッション管理サーバに登録すると共
に、当該VPNセッション管理サーバ内で端末登録用パ
スワードをランダムに一時生成し、この生成された前記
端末登録用パスワードを、前記VPNセッション管理サ
ーバから前記インターネットを経由して、該当する前記
機器に通知するCUG作成処理と、該当する前記機器に
対応して割り当てられた所定の端末から、前記端末登録
用パスワード及び当該端末に付与された端末IDが入力
されるのに伴い、その端末IDを前記VPNセッション
管理サーバに登録すると共に、当該端末IDが登録され
た旨を、前記VPNセッション管理サーバから前記専用
線を経由して、該当する前記端末に通知する端末登録処
理と、該当する前記端末からの前記端末IDの入力に伴
い、前記VPNセッション管理サーバからの前記コマン
ド制御に応じて前記VPNゲートウェイと前記ゲートウ
ェイ機器との間に前記VPNトンネルを設定し、この設
定によりVPNセッションが開始された旨を、前記VP
Nセッション管理サーバから前記VPNトンネルを経由
して、該当する前記端末に通知するVPNセッション確
立処理と、該当する前記端末から前記端末ID及び前記
機器名が入力されて、該当する前記機器に対して所要の
アクセスが発生するのに伴い、その端末に代わり、前記
VPNセッション管理サーバに、前記VPNトンネルを
経由した代理アクセスを行わせる代理アクセス処理とを
順次実施してなる、イントラネットリモートアクセス方
法の構成採用にある。
【0025】本発明方法の第2の特徴は、上記本発明方
法の第1の特徴における前記ゲートウェイ機器及び前記
VPNセッション管理サーバが、両者の間で所定の共有
秘密情報を共有し、前記CUG作成処理が、前記ゲート
ウェイ機器において、公開鍵暗号方式の暗号アルゴリズ
ムを用いて秘密鍵及び公開鍵を生成する処理と、所定の
原文に対し前記共有秘密情報を用いてメッセージ認証子
を生成する処理と、前記機器名及び前記機器アドレスを
前記共有秘密情報を用いて暗号化する処理と、当該ゲー
トウェイ機器に付与された機器ID、前記公開鍵、前記
原文、前記メッセージ認証子、並びに暗号化後の前記機
器名及び前記機器アドレスを前記VPNセッション管理
サーバに送信する処理とを順次実施し、前記VPNセッ
ション管理サーバにおいて、受信した前記原文に対し、
受信した前記機器IDに対応する前記共有秘密情報を用
いてメッセージ認証子を生成する処理と、この生成され
た前記メッセージ認証子と受信した前記メッセージ認証
子とが一致したことを以って、前記ゲートウェイ機器の
正当性を認証する処理と、受信した暗号化後の前記機器
名及び前記機器アドレスを前記共有秘密情報を用いて復
号化する処理と、これら復号化された前記機器名及び前
記機器アドレスを、前記端末登録用パスワードと共に前
記機器IDと対応させて保持する処理と、受信した前記
公開鍵を用いて前記端末登録用パスワードを暗号化する
処理と、暗号化後の前記端末登録用パスワードを前記ゲ
ートウェイ機器に送信する処理とを順次実施し、再び前
記ゲートウェイ機器において、受信した暗号化後の前記
端末登録用パスワードを前記秘密鍵を用いて復号化する
処理を実施してなる、イントラネットリモートアクセス
方法の構成採用にある。
【0026】本発明方法の第3の特徴は、上記本発明方
法の第2の特徴における端末登録処理が、前記VPNセ
ッション管理サーバにおいて、前記端末から入力された
前記端末登録用パスワードが、対応保持されている前記
端末登録用パスワードと一致したことを以って、当該端
末の正当性を認証する処理と、前記端末IDを前記機器
IDと対応させて保持する処理と、対応保持されている
前記端末登録用パスワードを削除する処理とを順次実施
してなる、イントラネットリモートアクセス方法の構成
採用にある。
【0027】本発明方法の第4の特徴は、上記本発明方
法の第3の特徴における前記ゲートウェイ機器及び前記
VPNセッション管理サーバが、両者の間で共有認証鍵
を共有し、前記VPNセッション確立処理が、前記VP
Nセッション管理サーバにおいて、前記端末から入力さ
れた前記端末IDが、対応保持されている前記端末ID
と一致したことを以って、当該端末の正当性を認証する
処理と、前記ゲートウェイ機器を対象ホストとした前記
共有認証鍵の設定を、前記VPNゲートウェイに書き込
む処理とを順次実施してなる、イントラネットリモート
アクセス方法の構成採用にある。
【0028】本発明方法の第5の特徴は、上記本発明方
法の第4の特徴における前記代理アクセス処理が、前記
VPNセッション管理サーバにおいて、前記端末から入
力された前記端末ID及び前記機器名が、対応保持され
ている前記端末ID及び前記機器名と一致したことを以
って、前記端末の正当性を認証する処理と、対応保持さ
れている前記機器アドレスを取得する処理と、所定のリ
バースプロキシプログラムを起動して、その取得された
前記機器アドレス向けの代理アクセスが行われるよう、
当該リバースプロキシプログラムに対し指示を与える処
理とを順次実施してなる、イントラネットリモートアク
セス方法の構成採用にある。
【0029】本発明方法の第6の特徴は、上記本発明方
法の第4又は第5の特徴における前記ゲートウェイ機器
及び前記VPNセッション管理サーバにおける前記共有
認証鍵及び前記共有秘密情報の共有が、前記ゲートウェ
イ機器が新たに設置されて、当該ゲートウェイ機器から
前記機器IDが入力されるのに伴い、その機器IDを前
記VPNセッション管理サーバに登録すると共に、当該
VPNセッション管理サーバ内でランダムに生成した前
記共有認証鍵及び前記共有秘密情報を、前記VPNセッ
ション管理サーバから前記インターネットを経由して、
前記ゲートウェイ機器に通知する設置通知処理を実施す
ることにより行われてなる、イントラネットリモートア
クセス方法の構成採用にある。
【0030】本発明方法の第7の特徴は、上記本発明方
法の第6の特徴における前記設置通知処理が、前記ゲー
トウェイ機器において、公開鍵暗号方式の暗号アルゴリ
ズムを用いて秘密鍵及び公開鍵を生成する処理と、所定
の原文に対し、当該ゲートウェイ機器の設置時において
前記VPNセッション管理サーバと間で共有される初期
共有秘密情報を用いてメッセージ認証子を生成する処理
と、当該ゲートウェイ機器に付与された前記機器ID、
前記公開鍵、前記原文、及び前記メッセージ認証子を前
記VPNセッション管理サーバに送信する処理とを順次
実施し、前記VPNセッション管理サーバにおいて、受
信した前記原文に対し、受信した前記機器IDに対応す
る前記初期共有秘密情報を用いてメッセージ認証子を生
成する処理と、この生成された前記メッセージ認証子と
受信した前記メッセージ認証子とが一致したことを以っ
て、前記ゲートウェイ機器の正当性を認証する処理と、
前記共有認証鍵及び前記共有秘密情報を前記機器IDと
対応させて保持する処理と、受信した前記公開鍵を用い
て前記共有認証鍵及び前記共有秘密情報を暗号化する処
理と、暗号化後の前記共有認証鍵及び前記共有秘密情報
を前記ゲートウェイ機器に送信する処理とを順次実施
し、再び前記ゲートウェイ機器において、受信した暗号
化後の前記共有認証鍵及び前記共有秘密情報を前記秘密
鍵を用いて復号化する処理と、これら復号化された前記
共有認証鍵及び前記共有秘密情報を保持する処理とを順
次実施してなる、イントラネットリモートアクセス方法
の構成採用にある。
【0031】本発明方法の第8の特徴は、上記本発明方
法の第7の特徴における前記設置通知処理が、前記ゲー
トウェイ機器において、前記VPNゲートウェイを対象
ホストとした前記共有認証鍵の設定を、自身のルータ部
に書き込む認証鍵設定処理を含んでなる、イントラネッ
トリモートアクセス方法の構成採用にある。
【0032】本発明方法の第9の特徴は、上記本発明方
法の第2、第3、第4、第5、第6、第7又は第8の特
徴における前記原文に、前記機器IDにタイムスタンプ
を付加してなるものを採用してなる、イントラネットリ
モートメアクセス方法の構成採用にある。
【0033】本発明方法の第10の特徴は、上記本発明
方法の第1、第2、第3、第4、第5、第6、第7、第
8又は第9の特徴における前記端末が、Web対応携帯
電話であり、前記インターネットゲートウェイが、前記
Web対応携帯電話のサービスを提供する通信キャリア
により設置されたものである、イントラネットリモート
アクセス方法の構成採用にある。
【0034】一方、本発明プログラムの第1の特徴は、
VPN機能を有するゲートウェイ機器を介してインター
ネットに接続されたイントラネット上の機器に、所定の
インターネットゲートウェイを通じて前記インターネッ
トにアクセス可能な端末からリモートアクセスをするに
際し、前記ゲートウェイ機器において、前記インターネ
ットゲートウェイと専用線で接続されたVPNセッショ
ン管理サーバに対するCUG作成要求処理を実行するた
めのイントラネットリモートアクセス処理プログラムで
あって、公開鍵暗号方式の暗号アルゴリズムを用いて秘
密鍵及び公開鍵を生成するステップと、所定の原文に対
し、前記VPNセッション管理サーバとの間で共有され
る所定の共有秘密情報を用いてメッセージ認証子を生成
するステップと、前記ユーザグループに参加しようとす
る前記イントラネット上の所定の機器に付与された機器
名及び機器アドレスを、前記共有秘密情報を用いて暗号
化するステップと、当該ゲートウェイ機器に付与された
機器ID、前記公開鍵、前記原文、前記メッセージ認証
子、並びに暗号化後の前記機器名及び前記機器アドレス
を前記VPNセッション管理サーバに送信するステップ
と、前記VPNセッション管理サーバから受信した暗号
化後の端末登録用パスワードを前記秘密鍵を用いて復号
化するステップとを有してなる、イントラネットリモー
トアクセス処理プログラムの構成採用にある。
【0035】本発明プログラムの第2の特徴は、VPN
機能を有するゲートウェイ機器を介してインターネット
に接続されたイントラネット上の機器に、所定のインタ
ーネットゲートウェイを通じて前記インターネットにア
クセス可能な端末からリモートアクセスするに当り、前
記インターネットゲートウェイと専用線で接続されたV
PNセッション管理サーバにおいて、前記ゲートウェイ
機器からのユーザグループ作成要求に応じたCUG作成
受付処理を実行するためのイントラネットリモートアク
セス処理プログラムであって、前記ゲートウェイ機器か
ら受信した所定の原文に対し、前記ゲートウェイ機器か
ら受信した機器IDに対応して前記ゲートウェイ機器と
の間で共有される共有秘密情報を用いてメッセージ認証
子を生成するステップと、この生成された前記メッセー
ジ認証子と、前記ゲートウェイ機器から受信したメッセ
ージ認証子とが一致したことを以って、前記ゲートウェ
イ機器の正当性を認証するステップと、前記ユーザグル
ープに参加しようとする前記イントラネット上の所定の
機器に付与され、前記ゲートウェイ機器から受信した暗
号化後の機器名及び機器アドレスを、前記共有秘密情報
を用いて復号化するステップと、端末登録用パスワード
をランダムに一時生成すると共に、復号化された前記機
器名及び前記機器アドレスを前記端末登録用パスワード
と共に保持するステップと、前記ゲートウェイ機器から
受信した公開鍵を用いて前記端末登録用パスワードを暗
号化するステップと、暗号化後の前記端末登録用パスワ
ードを前記ゲートウェイ機器に送信するステップとを有
してなる、イントラネットリモートアクセス処理プログ
ラムの構成採用にある。
【0036】本発明プログラムの第3の特徴は、VPN
機能を有するゲートウェイ機器を介してインターネット
に接続されたイントラネット上の機器に、所定のインタ
ーネットゲートウェイを通じて前記インターネットにア
クセス可能な端末からリモートアクセスするに当り、前
記インターネットゲートウェイと専用線で接続されたV
PNセッション管理サーバにおいて、前記イントラネッ
ト上の所定の機器に対応して割り当てられた所定の端末
に係る端末登録処理を実行するためのイントラネットリ
モートアクセス処理プログラムであって、該当する前記
端末から入力された端末登録用パスワードが、対応保持
されている端末登録用パスワードと一致したことを以っ
て、当該端末の正当性を認証するステップと、前記端末
から入力された端末IDを保持するステップと、対応保
持されている前記端末登録用パスワードを削除するステ
ップとを有してなる、イントラネットリモートアクセス
処理プログラムの構成採用にある。
【0037】本発明プログラムの第4の特徴は、VPN
機能を有するゲートウェイ機器を介してインターネット
に接続されたイントラネット上の機器に、所定のインタ
ーネットゲートウェイを通じて前記インターネットにア
クセス可能な端末からリモートアクセスするに当り、前
記インターネットゲートウェイと専用線で接続されたV
PNセッション管理サーバにおいて、OSI参照モデル
のネットワーク層においてVPNセッションを実現する
機能を有するVPNゲートウェイを、前記イントラネッ
ト上の所定の機器に対応して割り当てられた所定の端末
を通じてコマンド制御することにより、前記ゲートウェ
イ機器との間にVPNトンネルを設定するVPNセッシ
ョン確立処理を実行するためのイントラネットリモート
アクセス処理プログラムであって、該当する前記端末か
ら入力された端末IDが、対応保持されている端末ID
と一致したことを以って、当該端末の正当性を認証する
ステップと、前記ゲートウェイ機器を対象ホストとした
前記共有認証鍵の設定を、前記VPNゲートウェイに書
き込むステップとを有してなる、イントラネットリモー
トアクセス処理プログラムの構成採用にある。
【0038】本発明プログラムの第5の特徴は、VPN
機能を有するゲートウェイ機器を介してインターネット
に接続されたイントラネット上の機器に、所定のインタ
ーネットゲートウェイを通じて前記インターネットにア
クセス可能な端末からリモートアクセスするに当り、前
記インターネットゲートウェイと専用線で接続されたV
PNセッション管理サーバにおいて、OSI参照モデル
のネットワーク層においてVPNセッションを実現する
機能を有するVPNゲートウェイを、前記イントラネッ
ト上の所定の機器に対応して割り当てられた所定の端末
を通じてコマンド制御することにより、その端末に代わ
り、VPNトンネルを経由した代理アクセスを行わせる
代理アクセス処理を実行するためのイントラネットリモ
ートアクセス処理プログラムであって、該当する前記端
末から入力された端末ID及び機器名が、対応保持され
ている端末ID及び機器名と一致したことを以って、前
記端末の正当性を認証するステップと、対応保持されて
いる機器アドレスを取得するステップと、所定のリバー
スプロキシプログラムを起動して、その取得された前記
機器アドレス向けの代理アクセスが行われるよう、当該
リバースプロキシプログラムに対し指示を与えるステッ
プとを有してなる、イントラネットリモートアクセス処
理プログラムの構成採用にある。
【0039】また、本発明記録媒体の第1の特徴は、V
PN機能を有するゲートウェイ機器を介してインターネ
ットに接続されたイントラネット上の機器に、所定のイ
ンターネットゲートウェイを通じて前記インターネット
にアクセス可能な端末からリモートアクセスするに当
り、コンピュータを構成する前記ゲートウェイ機器に、
前記インターネットゲートウェイと専用線で接続された
VPNセッション管理サーバに対するCUG作成要求処
理を実行させるためのイントラネットリモートアクセス
処理プログラムを記録した記録媒体であって、当該イン
トラネットリモートアクセス処理プログラムが、前記ゲ
ートウェイ機器に、公開鍵暗号方式の暗号アルゴリズム
を用いて秘密鍵及び公開鍵を生成させる手順と、所定の
原文に対し、前記VPNセッション管理サーバとの間で
共有される所定の共有秘密情報を用いてメッセージ認証
子を生成させる手順と、前記ユーザグループに参加しよ
うとする前記イントラネット上の所定の機器に付与され
た機器名及び機器アドレスを、前記共有秘密情報を用い
て暗号化させる手順と、当該ゲートウェイ機器に付与さ
れた機器ID、前記公開鍵、前記原文、前記メッセージ
認証子、並びに暗号化後の前記機器名及び前記機器アド
レスを前記VPNセッション管理サーバに送信させる手
順と、前記VPNセッション管理サーバから受信した暗
号化後の端末登録用パスワードを前記秘密鍵を用いて復
号化させる手順とを順次実行させてなる、イントラネッ
トリモートアクセス処理プログラムを記録した記録媒体
の構成採用にある。
【0040】本発明記録媒体の第2の特徴は、VPN機
能を有するゲートウェイ機器を介してインターネットに
接続されたイントラネット上の機器に、所定のインター
ネットゲートウェイを通じて前記インターネットにアク
セス可能な端末からリモートアクセスするに当り、前記
インターネットゲートウェイと専用線で接続された、コ
ンピュータを構成するVPNセッション管理サーバに、
前記ゲートウェイ機器からのユーザグループ作成要求に
応じたCUG作成受付処理を実行させるためのイントラ
ネットリモートアクセス処理プログラムを記録した記録
媒体であって、当該イントラネットリモートアクセス処
理プログラムが、前記VPNセッション管理サーバに、
前記ゲートウェイ機器から受信した所定の原文に対し、
前記ゲートウェイ機器から受信した機器IDに対応して
前記ゲートウェイ機器との間で共有される共有秘密情報
を用いてメッセージ認証子を生成させる手順と、この生
成された前記メッセージ認証子と、前記ゲートウェイ機
器から受信したメッセージ認証子とが一致したことを以
って、前記ゲートウェイ機器の正当性を認証させる手順
と、前記ユーザグループに参加しようとする前記イント
ラネット上の所定の機器に付与され、前記ゲートウェイ
機器から受信した暗号化後の機器名及び機器アドレス
を、前記共有秘密情報を用いて復号化させる手順と、端
末登録用パスワードをランダムに一時生成させると共
に、復号化された前記機器名及び前記機器アドレスを前
記端末登録用パスワードと共に保持させる手順と、前記
ゲートウェイ機器から受信した公開鍵を用いて前記端末
登録用パスワードを暗号化させる手順と、暗号化後の前
記端末登録用パスワードを前記ゲートウェイ機器に送信
させる手順とを順次実行させてなる、イントラネットリ
モートアクセス処理プログラムを記録した記録媒体の構
成採用にある。
【0041】本発明記録媒体の第3の特徴は、VPN機
能を有するゲートウェイ機器を介してインターネットに
接続されたイントラネット上の機器に、所定のインター
ネットゲートウェイを通じて前記インターネットにアク
セス可能な端末からリモートアクセスするに当り、前記
インターネットゲートウェイと専用線で接続された、コ
ンピュータを構成するVPNセッション管理サーバに、
前記イントラネット上の所定の機器に対応して割り当て
られた所定の端末に係る端末登録処理を実行させるため
のイントラネットリモートアクセス処理プログラムを記
録した記録媒体であって、当該イントラネットリモート
アクセス処理プログラムが、前記VPNセッション管理
サーバに、該当する前記端末から入力された端末登録用
パスワードが、対応保持されている端末登録用パスワー
ドと一致したことを以って、当該端末の正当性を認証さ
せる手順と、前記端末から入力された端末IDを保持さ
せる手順と、対応保持されている前記端末登録用パスワ
ードを削除させる手順とを順次実行させてなる、イント
ラネットリモートアクセス処理プログラムを記録した記
録媒体の構成採用にある。
【0042】本発明記録媒体の第4の特徴は、VPN機
能を有するゲートウェイ機器を介してインターネットに
接続されたイントラネット上の機器に、所定のインター
ネットゲートウェイを通じて前記インターネットにアク
セス可能な端末からリモートアクセスするに当り、前記
インターネットゲートウェイと専用線で接続された、コ
ンピュータを構成するVPNセッション管理サーバに、
OSI参照モデルのネットワーク層においてVPNセッ
ションを実現する機能を有するVPNゲートウェイを、
前記イントラネット上の所定の機器に対応して割り当て
られた所定の端末を通じてコマンド制御させることによ
り、前記ゲートウェイ機器との間にVPNトンネルを設
定するVPNセッション確立処理を実行させるためのイ
ントラネットリモートアクセス処理プログラムを記録し
た記録媒体であって、当該イントラネットリモートアク
セス処理プログラムが、前記VPNセッション管理サー
バに、該当する前記端末から入力された端末IDが、対
応保持されている端末IDと一致したことを以って、当
該端末の正当性を認証させる手順と、前記ゲートウェイ
機器を対象ホストとした前記共有認証鍵の設定を、前記
VPNゲートウェイに書き込ませる手順とを順次実行さ
せてなる、イントラネットリモートアクセス処理プログ
ラムを記録した記録媒体の構成採用にある。
【0043】本発明記録媒体の第5の特徴は、VPN機
能を有するゲートウェイ機器を介してインターネットに
接続されたイントラネット上の機器に、所定のインター
ネットゲートウェイを通じて前記インターネットにアク
セス可能な端末からリモートアクセスするに当り、前記
インターネットゲートウェイと専用線で接続された、コ
ンピュータを構成するVPNセッション管理サーバに、
OSI参照モデルのネットワーク層においてVPNセッ
ションを実現する機能を有するVPNゲートウェイを、
前記イントラネット上の所定の機器に対応して割り当て
られた所定の端末を通じてコマンド制御させることによ
り、その端末に代わり、VPNトンネルを経由した代理
アクセスを行わせる代理アクセス処理を実行させるため
のイントラネットリモートアクセス処理プログラムを記
録した記録媒体であって、当該イントラネットリモート
アクセス処理プログラムが、前記VPNセッション管理
サーバに、該当する前記端末から入力された端末ID及
び機器名が、対応保持されている端末ID及び機器名と
一致したことを以って、前記端末の正当性を認証させる
手順と、対応保持されている機器アドレスを取得させる
手順と、所定のリバースプロキシプログラムを起動させ
て、その取得された前記機器アドレス向けの代理アクセ
スが行われるよう、当該リバースプロキシプログラムに
対し指示を与えさせる手順とを順次実行させてなる、イ
ントラネットリモートアクセス処理プログラムを記録し
た記録媒体の構成採用にある。
【0044】
【発明の実施の形態】以下、本発明の実施の形態を、添
付図面を参照しつつ、まず、本発明の適用を受ける適用
システムの構成例につき説明し、次いで、当該適用シス
テムで用いられるプログラム例及びそのプログラムを記
録した記録媒体例につき説明し、最後に、当該適用シス
テムにおいて実施される方法例につき説明する。
【0045】(適用システム構成例)図1は、本発明の
適用システムであるイントラネットリモートアクセスシ
ステムの構成を示す図である。
【0046】同図に示すように、このイントラネットリ
モートアクセスシステムαは、4つのノード、即ち、ゲ
ートウェイ機器1、VPNセッション管理サーバ2、V
PNゲートウェイ3、及びWeb対応携帯電話4とでシ
ステム構築される。
【0047】ゲートウェイ機器1は、イントラネット5
とインターネット6との境界域に設置されて、Web対
応携帯電話4の被リモートアクセス先となるものであ
り、その要素として、IPルータ処理を制御するルータ
部11と、HTTPサーバ処理を行うHTTPサーバ部
12、及びこのHTTPサーバ21から呼ばれて内部処
理及びコマンド送信処理を行うプログラム(詳細は後
述)を格納するCGI処理部13からなるサーバ部14
とで構築される。
【0048】VPNセッション管理サーバ2は、携帯電
話通信キャリア(図示せず)により設置されたインター
ネットゲートウェイ7と専用線8で接続された状態で、
インターネット6上に設置され、その要素として、HT
TPコマンドを受信するHTTPサーバ部21と、この
HTTPサーバ部21から呼ばれて内部処理及びコマン
ド送信処理を行うプログラム(詳細は後述)を格納する
CGI処理部22とを有して構成される。
【0049】VPNゲートウェイ3は、インターネット
6上に設置され、その要素として、ゲートウェイ機器1
のルータ部11との間にVPNトンネル9を設定してV
PNセッションを行うVPN処理部31と、VPNセッ
ション管理サーバ2との間でコマンドを送受信する設定
コマンド受信処理部32とで構成される。
【0050】Web対応携帯電話4は、ユーザ(図示せ
ず)の随意により、携帯電話専用回線10を介してイン
ターネットゲートウェイ7に接続され、その要素とし
て、イントラネット5上の複数の機器(「機器1」,
…,「機器N」と表記)にリモートアクセスするための
ブラウザ41を有して構成される。
【0051】なお、イントラネット5上の複数の機器に
も、特に図示はしていないが、各種HTMLデータを参
照可能なブラウザが、それぞれ導入されている。
【0052】ここで、以上の構成を有するイントラネッ
トリモートアクセスシステムαの機能の概要について説
明すれば、以下のようになる。
【0053】まず、ユーザからのアクションにより、ゲ
ートウェイ機器1のCGI処理部13は、VPNセッシ
ョン管理サーバ2のHTTPサーバ部21へ設置通知コ
マンドを送信し、共有秘密情報(詳細は後述)及びIP
secの共有認証鍵を、ゲートウェイ機器1とVPNセ
ッション管理サーバ2との間で共有する。その際、共有
する情報は、本人の成りすまし、或いはやデータの盗聴
や改竄などの脅威から保護されて共有される。(以上、
図示ののルート。後述の「設置通知処理」に対応)
【0054】ゲートウェイ機器1のCGI処理部13
は、上記共有情報であるIPsecの共有認証鍵を、ゲ
ートウェイ機器1のルータ部11に設定する。(以上、
図示ののルート。後述の方法例における「認証鍵設定
処理」に対応)
【0055】次に、ユーザからのアクションにより、ゲ
ートウェイ機器1のCGI処理部13は、VPNセッシ
ョン管理サーバ2のHTTPサーバ部21へCUG作成
要求コマンドを送信し、そのレスポンスとして端末登録
用パスワードを受信する。(以上、図示ののルート。
後述の方法例における「CUG作成処理」に対応)
【0056】ユーザは、リモートアクセス端末とするW
eb対応携帯電話4に、受信した端末登録用パスワード
を入力し、携帯電話通信キャリアのパケット網(携帯電
話専用回線10)経由で、端末登録用パスワードをVP
Nセッション管理サーバ2に送信する。ここで、VPN
セッション管理サーバ2は、所定の認証を行った後、W
eb対応携帯電話4の端末IDとゲートウェイ機器1の
機器IDを対応付けて、端末登録完了とする。(以上、
図示ののルート。後述の方法例における「端末登録処
理」に対応)
【0057】次に、登録済みのWeb対応携帯電話4を
用いて、VPNセッション管理サーバ2へアクセスする
と、当該VPNセッション管理サーバ2は、所定の認証
を行った後、端末登録時に対応付けられたゲートウェイ
機器1との間でIPsecを確立するためのコマンドを
VPNゲートウェイ3に送信し、IPsecによるVP
Nを確立する。(以上、図示ののルート。後述の方法
例における「VPNセッション確立処理」に対応)
【0058】そして、VPNセッション管理サーバ2
は、Web対応携帯電話4からのイントラネット5への
アクセスに対し、そのWeb対応携帯電話4に代わっ
て、代理アクセス(リバースプロキシ)を行う。(以
上、図示ののルート。後述の方法例における「代理ア
クセス処理」に対応)
【0059】次に、以上の各処理(プログラム処理)を
実行するためにVPNセッション管理サーバ2に設定さ
れ、後述の各プログラムにより参照されるテーブルにつ
いて説明する。
【0060】図2は、図1に示したVPNセッション管
理サーバ2に設定されるVPNセッション管理テーブル
の構成を示す図である。
【0061】同図に示すように、VPNセッション管理
テーブル23は、ゲートウェイ機器1からそれぞれ通知
される「機器ID」、「PresharedKey」、「Secret-ID
2」、「機器名」、「機器アドレス」、「端末登録用パ
スワード」、「端末ID」を保持するための7つのフィ
ールドから構成される。
【0062】ここで、「機器ID」フィールドは、ゲー
トウェイ機器1にユニークに振られているIDを格納す
るためのフィールドであり、「PresharedKey」フィール
ドは、設置通知処理時にゲートウェイ機器1に通知され
るPresharedKey(IPsecの共有認証鍵)を格納する
ためのフィールド、「Secret-ID2」フィールドは、同設
置通知処理時にゲートウェイ機器1に通知されるSecret
-ID2(共有秘密情報)を格納するためのフィールドであ
る。
【0063】また、「機器名」フィールドは、CUG作
成処理時にゲートウェイ機器1から通知されるアクセス
可能機器名を格納するためのフィールドであり、「機器
アドレス」フィールドは、機器名で表される機器の実際
のIPアドレスを格納するためのフィールドである。
【0064】さらに、「端末登録用パスワード」フィー
ルドは、CUG作成処理時にVPNセッション管理サー
バ2から発行される端末登録用のパスワードを格納する
ためのフィールドであり、「端末ID」フィールドは、
インターネットゲートウェイ7から通知されるWeb対
応携帯電話4に付与されたユニークなIDを格納するた
めのフィールドである。
【0065】(プログラム例及び記録媒体例)続いて、
以上に説明したゲートウェイ機器1のCGI処理部1
3、及びVPNセッション管理サーバ2のCGI処理部
22にそれぞれ格納されるプログラムの実例、及び各プ
ログラムを記録した記録媒体の実例について説明する。
【0066】<CUG作成要求処理プログラム(記録媒
体)>まず、ゲートウェイ機器1のCGI処理部13に
格納されるイントラネットリモートアクセス処理用のプ
ログラムとして、VPNセッション管理サーバ2に対
し、イントラネットにアクセス可能なWeb対応携帯電
話4を安全に登録するための端末登録用パスワードを発
行する「CUG作成要求処理プログラム」について説明
する。
【0067】図3は、図1に示したゲートウェイ機器1
のCGI処理部13に格納されるCUG作成要求処理プ
ログラムを説明するためのフローチャートである。
【0068】本プログラムは、ユーザのアクションによ
り、ゲートウェイ機器1のHTTPサーバ部12に対
し、コマンド名、イントラネット上にある機器の名称
(機器名)、及び同機器のIPアドレス(機器アドレ
ス)が通知されたときに、当該HTTPサーバ部12に
より起動される。
【0069】同図に示すように、ゲートウェイ機器1の
CGI処理部13は、まず、HTTPサーバ部12が受
信した機器名及び機器アドレスを、パラメータとして受
信し(ST11)、次いで、RSAなど公開鍵暗号方式
の暗号アルゴリズムを用いて秘密鍵及び暗号鍵を生成す
る(ST12)。
【0070】次に、CGI処理部13は、ゲートウェイ
機器1に付与された機器IDにタイムスタンプを付加し
てなる、認証のための原文を生成する(ST13)と共
に、その原文に対して、VPNセッション管理サーバ2
との間で事前に共有される共有秘密情報(Secret-ID2)
を用いたメッセージ認証子(MAC)を生成する(ST
14)。(メッセージ認証子の生成は、ISO9797
−1,ISO9797−2に準拠することが望ましい。
以下、メッセージ認証子生成につき同じ)
【0071】次に、CGI処理部13は、先にパラメー
タとして受信した機器名及び機器アドレスを、VPNセ
ッション管理サーバ2との共有秘密情報(Secret-ID2)
を用いて暗号化する(ST15)。
【0072】次に、CGI処理部13は、これまでに取
得又は生成した機器ID、公開鍵、原文、MAC、並び
に暗号化後の機器名及び機器アドレスの組をパラメータ
とした所要のCUG作成要求コマンドを、ゲートウェイ
機器1(サーバ部14のCGI処理部13)からVPN
セッション管理サーバ2(HTTPサーバ部21)への
HTTPコマンドとして送信する(ST16)。
【0073】次に、CGI処理部13は、以上のように
して送信したHTTPコマンドのレスポンスであるCU
G作成要求レスポンスを、VPNセッション管理サーバ
2から受信する(ST17)。
【0074】ここで、CGI処理部13は、受信したレ
スポンスが正常であるか否かを判断し(ST18)、そ
れが異常(エラー)であった場合(ST18;N)に
は、受信したエラーメッセージの内容を、本プログラム
を呼び出したHTTPサーバ部12への返り値として
(ST19)渡す。
【0075】これに対し、受信したレスポンスが正常で
あった場合(ST18;Y)には、CGI処理部13
は、受信した暗号化後の端末登録用パスワードを、先に
生成した秘密鍵を用いて復号化し(ST20)、その復
号化された端末登録用パスワードを、本プログラムを呼
び出したHTTPサーバ部12への返り値として(ST
21)渡す。
【0076】なお、受信したレスポンスが正常であるか
否かを判断する手法としては、当該レスポンスにおい
て、受信ステータスを示すエリアを確保し、例えば、正
常ならば「0」、エラーならば「0」以外の値を表記す
るようにフォーマットを事前に決めておき、そのエリア
を本プログラムに読み取らせるなどすればよい。
【0077】そして、以上のCUG作成要求処理プログ
ラムは、任意の記録媒体に記録することが可能であり、
その場合には、当該CUG作成要求処理プログラムが、
ゲートウェイ機器1に、公開鍵暗号方式の暗号アルゴリ
ズムを用いて秘密鍵及び公開鍵を生成させる手順と、所
定の原文に対し、VPNセッション管理サーバ2との間
で共有される共有秘密情報(Secret-ID2)を用いてメッ
セージ認証子(MAC)を生成させる手順と、ユーザグ
ループに参加しようとするイントラネット5上の機器に
付与された機器名及び機器アドレスを、共有秘密情報
(Secret-ID2)を用いて暗号化させる手順と、当該ゲー
トウェイ機器1に付与された機器ID、公開鍵、原文、
メッセージ認証子(MAC)、並びに暗号化後の機器名
及び機器アドレスをVPNセッション管理サーバ2に送
信させる手順と、VPNセッション管理サーバ2から受
信した暗号化後の端末登録用パスワードを秘密鍵を用い
て復号化させる手順とを記録すればよい。
【0078】<CUG作成受付処理プログラム(記録媒
体)>次に、VPNセッション管理サーバ2のCGI処
理部22に格納されるイントラネットリモートアクセス
処理用のプログラムとして、上述の「CUG作成要求処
理プログラム」によりゲートウェイ機器1から送信され
たCUG作成要求コマンドを受信して、所要の端末登録
用パスワードを発行する「CUG作成要求処理プログラ
ム」について説明する。
【0079】図4は、図1に示したVPNセッション管
理サーバ2のCGI処理部22に格納されるCUG作成
受付処理プログラムを説明するためのフローチャートで
ある。
【0080】本プログラムは、ゲートウェイ機器1のC
GI処理部13における「CUG作成要求処理プログラ
ム」により送信された本プログラム起動要求コマンド
と、そのパラメータである機器ID、公開鍵、原文、M
AC、並びに暗号化後の機器名及び機器アドレスの組を
VPNセッション管理サーバ2が受信したときに、当該
VPNセッション管理サーバ2のHTTPサーバ部21
より、その受信した機器ID、公開鍵、原文、MAC、
並びに暗号化後の機器名及び機器アドレスの組をパラメ
ータとして起動される。
【0081】同図に示すように、VPNセッション管理
サーバ2のCGI処理部22は、まず、パラメータとし
て与えられた原文に対し、共有秘密情報(Secret-ID2)
を用いたメッセージ認証子(MAC)を、ゲートウェイ
機器1におけるのと同様な手法により演算する(ST3
1)。
【0082】ここで、CGI処理部22は、そのメッセ
ージ認証子(MAC)の演算結果がゲートウェイ機器1
から受信したメッセージ認証子(MAC)と一致するか
否かを判断し(ST32)、それが一致しなかった場合
(ST32;N)には、機器認証ステータスとしてのエ
ラーコードを、本プログラムを呼び出したHTTPサー
バ部21への返り値として(ST33)渡す。
【0083】これに対し、メッセージ認証子(MAC)
が一致した場合(ST32;Y)には、CGI処理部2
2は、パラメータとして与えらえた暗号化後の機器名及
び機器アドレスの組を共有秘密情報(Secret-ID2)を用
いて復号化し、VPNセッション管理テーブル23の
「機器名」及び「機器アドレス」の各フィールドに保持
する(ST34)。
【0084】次に、CGI処理部22は、Web対応携
帯電話4を登録するための端末登録用パスワードをラン
ダムに生成し、これを、VPNセッション管理テーブル
23における該当レコードの「端末登録用パスワード」
フィールドに保持する(ST34)。(本端末登録用パ
スワードは、後に、Web対応携帯電話4を登録する際
に使用されるが、セキュリティを確保するため、例え
ば、1分程度の有効期間を設けるのが望ましい)
【0085】そして、CGI処理部22は、上記端末登
録用パスワードを、パラメータとして与えられたゲート
ウェイ機器1の公開鍵を用いて暗号化し(ST36)、
先の機器認証ステータスとしての正常終了コードと、そ
の暗号化後の端末登録用パスワードとを、本プログラム
を呼び出したHTTPサーバ部21への返り値として
(ST37)渡す。
【0086】そして、以上のCUG作成受付処理プログ
ラムは、任意の記録媒体に記録することが可能であり、
その場合には、当該CUG作成受付処理プログラムが、
VPNセッション管理サーバ2に、ゲートウェイ機器1
から受信した所定の原文に対し、ゲートウェイ機器1か
ら受信した機器IDに対応してゲートウェイ機器1との
間で共有される共有秘密情報(Secret-ID2)を用いてメ
ッセージ認証子(MAC)を生成させる手順と、この生
成されたメッセージ認証子(MAC)と、ゲートウェイ
機器1から受信したメッセージ認証子(MAC)とが一
致したことを以って、ゲートウェイ機器1の正当性を認
証させる手順と、ユーザグループに参加しようとするイ
ントラネット5上の機器に付与され、ゲートウェイ機器
1から受信した暗号化後の機器名及び機器アドレスを、
共有秘密情報(Secret-ID2)を用いて復号化させる手順
と、端末登録用パスワードをランダムに一時生成させる
と共に、復号化された機器名及び機器アドレスを端末登
録用パスワードと共に保持させる手順と、ゲートウェイ
機器1から受信した公開鍵を用いて端末登録用パスワー
ドを暗号化させる手順と、暗号化後の端末登録用パスワ
ードをゲートウェイ機器1に送信させる手順とを記録す
ればよい。
【0087】<端末登録処理プログラム(記録媒体)>
次に、VPNセッション管理サーバ2のCGI処理部2
2に格納されるイントラネットリモートアクセス処理用
のプログラムとして、リモートアクセス端末となるWe
b対応携帯電話4から送信される端末登録用パスワード
を受信し、上述の「CUG作成受付処理プログラム」に
端末登録用パスワードの発行を要求したゲートウェイ機
器1との対応付けを行う「端末登録処理プログラム」に
ついて説明する。
【0088】図5は、図1に示したVPNセッション管
理サーバ2のCGI処理部22に格納される端末登録処
理プログラムを説明するためのフローチャートである。
【0089】本プログラムは、Web対応携帯電話4か
ら送信される本プログラム起動要求コマンドと端末登録
用パスワード及び端末IDとを、VPNセッション管理
サーバ2が受信したときに、当該VPNセッション管理
サーバ2のHTTPサーバ部21より、その受信した端
末登録用パスワード及び機器IDをパラメータとして起
動される。
【0090】同図に示すように、VPNセッション管理
サーバ2のCGI処理部22は、まず、パラメータとし
て与えられた端末登録用パスワードが、VPNセッショ
ン管理テーブル23に保持されているか否かを検索する
(ST41)。
【0091】ここで、CGI処理部22は、全ての「端
末登録用パスワード」フィールドを走査し、パラメータ
として与えられた端末登録用パスワードと同一の値が存
在しない場合(ST41;N)には、端末登録用パスワ
ード認証ステータスとしてのエラーコードを、本プログ
ラムを呼び出したHTTPサーバ部21への返り値とし
て(ST42)渡す。
【0092】これに対し、与えられた端末登録用パスワ
ードと同一の値が存在する場合(ST41;Y)には、
CGI処理部22は、パラメータとして与えらえた端末
IDを、VPNセッション管理テーブル23の「端末I
D」フィールドに保持する(ST43)。
【0093】次に、CGI処理部22は、VPNセッシ
ョン管理テーブルの「端末登録用パスワード」フィール
ドから、その端末登録用パスワードを削除し(ST4
4)、先の端末登録用パスワード認証ステータスとして
の正常終了コードを、本プログラムを呼び出したHTT
Pサーバ部21への返り値として(ST45)渡す。
【0094】そして、以上の端末登録処理プログラム
は、任意の記録媒体に記録することが可能であり、その
場合には、当該端末登録処理プログラムが、VPNセッ
ション管理サーバ2に、Web対応携帯電話4から入力
された端末登録用パスワードが、対応保持されている端
末登録用パスワードと一致したことを以って、当該We
b対応携帯電話4の正当性を認証させる手順と、Web
対応携帯電話4から入力された端末IDを保持させる手
順と、対応保持されている端末登録用パスワードを削除
させる手順とを記録すればよい。
【0095】<VPNセッション確立処理プログラム
(記録媒体)>次に、VPNセッション管理サーバ2の
CGI処理部22に格納されるイントラネットリモート
アクセス処理用のプログラムとして、上述の「端末登録
処理プログラム」により登録されたWeb対応携帯電話
4からのイントラネットアクセス要求を受信し、対応付
けられたゲートウェイ機器1とVPNゲートウェイ3と
の間でVPNを確立するためのコマンドを当該VPNゲ
ートウェイ3に送信する、対ゲートウェイ機器1向けの
「VPNセッション確立処理プログラム」について説明
する。
【0096】図6は、図1に示したVPNセッション管
理サーバ2のCGI処理部22に格納されるVPNセッ
ション確立処理プログラムを説明するためのフローチャ
ートである。
【0097】本プログラムは、Web対応携帯電話4か
ら送信される本プログラム起動要求コマンドとパラメー
タである機器IDとを、VPNセッション管理サーバ2
が受信したときに、当該VPNセッション管理サーバ2
のHTTPサーバ部21より、その受信した機器IDを
パラメータとして起動される。
【0098】同図に示すように、VPNセッション管理
サーバ2のCGI処理部22は、まず、パラメータとし
て与えられた端末IDが、VPNセッション管理テーブ
ル23に保持されているか否かを検索する(ST5
1)。
【0099】ここで、CGI処理部22は、全ての「端
末ID」フィールドを走査し、パラメータとして与えら
れた端末IDと同一の値が存在しない場合(ST51;
N)には、端末未登録を示すステータスを、本プログラ
ムを呼び出したHTTPサーバ部21への返り値として
(ST52)渡す。
【0100】これに対し、与えられた端末IDと同一の
値が存在する場合(ST51;Y)には、CGI処理部
22は、先に検索されたVPNセッション管理テーブル
23の該当レコードから、IPsecの共有認証鍵(Pr
esharedKey)及びゲートウェイ機器1のルータ部11の
グローバルIPアドレスを取得し、VPNセッション確
立のためのVPN設定コマンドを生成する(ST5
3)。
【0101】次に、CGI処理部22は、上記VPN設
定コマンドを、VPNゲートウェイ3の設定コマンド受
信処理部32に送信する(ST54)と共に、そのVP
N設定コマンドのレスポンスを、当該設定コマンド受信
処理部32から受信し(ST55)、さらに、VPN設
定に関する正常終了コードを、本プログラムを呼び出し
たHTTPサーバ部21への返り値として(ST55)
渡す。
【0102】そして、以上のVPNセッション確立処理
プログラムは、任意の記録媒体に記録することが可能で
あり、その場合には、当該VPNセッション確立処理プ
ログラムが、VPNセッション管理サーバ2に、Web
対応携帯電話4から入力された端末IDが、対応保持さ
れている端末IDと一致したことを以って、当該Web
対応携帯電話4の正当性を認証させる手順と、ゲートウ
ェイ機器1をIPsecの対象ホストとした共有認証鍵
(PresharedKey)の設定を、VPNゲートウェイ3に書
き込ませる手順とを記録すればよい。
【0103】<代理アクセス処理プログラム(記録媒
体)>次に、VPNセッション管理サーバ2のCGI処
理部22に格納されるイントラネットリモートアクセス
処理用のプログラムとして、上述の「VPNセッション
確立処理プログラム」により確立されたVPN経由で、
登録済みWeb対応携帯電話からのイントラネットアク
セスを代理でアクセスする、対イントラネット5向けの
「代理アクセス処理プログラム」について説明する。
【0104】図7は、図1に示したVPNセッション管
理サーバ2のCGI処理部22に格納される代理アクセ
ス処理プログラムを説明するためのフローチャートであ
る。
【0105】本プログラムは、Web対応携帯電話4か
ら送信される本プログラム起動要求コマンドとパラメー
タである機器ID及び機器名を、VPNセッション管理
サーバ2が受信したときに、当該VPNセッション管理
サーバ2のHTTPサーバ部21より、その受信した機
器ID及び機器名をパラメータとして起動される。
【0106】同図に示すように、VPNセッション管理
サーバ2のCGI処理部22は、まず、パラメータとし
て与えられた端末IDが、VPNセッション管理テーブ
ル23に保持されているか否かを検索する(ST6
1)。
【0107】ここで、CGI処理部22は、全ての「端
末ID」フィールドを走査し、パラメータとして与えら
れた端末IDと同一の値が存在しない場合(ST61;
N)には、端末未登録を示すステータスを、本プログラ
ムを呼び出したHTTPサーバ部21への返り値として
(ST62)渡す。
【0108】これに対し、与えられた端末IDと同一の
値が存在する場合(ST61;Y)には、CGI処理部
22は、さらに、パラメータとして与えられた機器名
が、先に検索されたVPNセッション管理テーブル23
の該当レコードに保持されているか否かを検索し(ST
63)、パラメータとして与えられた機器名と同一の値
が存在しない場合(ST63;N)には、アクセス不可
を示すステータスを、本プログラムを呼び出したHTT
Pサーバ部21への返り値として(ST64)渡す。
【0109】これに対し、与えられた機器名と同一の値
が存在する場合(ST63;Y)には、CGI処理部2
2は、先に検索されたVPNセッション管理テーブル2
3の該当レコードから機器アドレス(IPアドレス)を
取得し(ST64)、さらに、公知のリバースプロキシ
プログラム(アクセス要求を受け付け、そのアクセス要
求の代理でアクセスを行うプログラム。図示せず)を起
動して(ST66)、当該リバースプロキシプログラム
に、その取得したIPアドレス向けの代理アクセスを行
うよう指示する。
【0110】次に、CGI処理部22は、上記リバース
プロキシプログラムから返り値データを受信し(ST6
7)、当該リバースプロキシプログラムの返り値データ
を、本プログラムを呼び出したHTTPサーバ部21へ
の返り値として(ST68)渡す。
【0111】そして、以上の代理アクセス処理プログラ
ムは、任意の記録媒体に記録することが可能であり、そ
の場合には、当該代理アクセス処理プログラムが、VP
Nセッション管理サーバ2に、Web対応携帯電話4か
ら入力された端末ID及び機器名が、対応保持されてい
る端末ID及び機器名と一致したことを以って、Web
対応携帯電話4の正当性を認証させる手順と、対応保持
されている機器アドレスを取得させる手順と、リバース
プロキシプログラムを起動させて、その取得された機器
アドレス向けの代理アクセスが行われるよう、当該リバ
ースプロキシプログラムに対し指示を与えさせる手順と
を記録すればよい。
【0112】なお、以上のプログラム例及び記録媒体例
の説明では、各ノード間の通信プロトコルとしてHTT
P等の適用を前提に述べたが、各処理部間の通信が円滑
に行うことができれば、何ら通信プログラムの種別は問
わない。但し、インターネット間の通信であるため、T
CP/IP上のプロトコルであることは必要である(但
し、汎用性を考慮した場合、HTTPからCGIを起動
する形態であることが望ましい)。
【0113】また、本発明の実施に際しては、以下に示
す前提条件が必要とされる。
【0114】(1)ゲートウェイ機器1とVPNセッシ
ョン管理サーバ2とが、初期共有秘密情報(Secret-ID
)を事前に共有していること。この初期共有秘密情報
(Secret-ID )は、出荷時にゲートウェイ機器1のRO
M(図示せず)等に埋め込んでおき、これをVPNセッ
ション管理サーバ2と共有することで対応する。なお、
ROMに埋め込まれる初期共有秘密情報(Secret-ID )
は、全てのゲートウェイ機器1において共通でもよい。
【0115】(2)ゲートウェイ機器1のルータ部11
がVPN機能を有していること。また、VPNセッショ
ンについて、セッション待受け側の設定が事前に完了し
ていること。本実施形態例では、VPNで使用するプロ
トコルとして、IPsecを用いて説明を行うが、SS
L等のプロトコルを用いても差し支えない。
【0116】(3)VPNゲートウェイ3が、ゲートウ
ェイ機器1のルータ部11と通信互換性のあるVPN機
能を有すること。
【0117】(4)携帯電話通信キャリアにより運営さ
れるインターネットゲートウェイ7から、Web対応携
帯電話4の端末IDがVPNセッション管理サーバ2に
通知されること。(以上、実施前提条件)
【0118】(方法例)続いて、以上のイントラネット
リモートアクセスシステムαに適用される方法例を、図
8〜図13に示す各処理のシーケンス図、及び図14に
示すVPNセッション管理テーブル23の遷移図に基づ
いて説明する。
【0119】<設置通知処理>本設置通知処理は、ゲ
ートウェイ機器1が設置されたことをVPNセッション
管理サーバ2に通知し、当該VPNセッション管理サー
バ2から、イントラネットリモートアクセスのための共
有情報であるIPsecの共有認証鍵(PresharedKey)
及び共有秘密情報(Secret-ID2)を受け取ることが目的
である。
【0120】なお、初期共有秘密情報(Secret-ID )の
代わりに共有秘密情報(Secret-ID2)を用いるのは、ゲ
ートウェイ機器1の全てに共通している可能性がある初
期共有秘密情報(Secret-ID )を用いるよりも、その共
有秘密情報(Secret-ID2)を用いる方が、セキュリティ
が強化されるためである。以下、図面により、本設置通
知処理の詳細を説明する。
【0121】図8は、本発明の方法例に係る設置通知処
理を説明するためのシーケンス図である。
【0122】同図に示すように、本設置通知処理は、ゲ
ートウェイ機器1の設置終了後、当該ゲートウェイ機器
1のルータ部11のインターネット6への接続設定が完
了した時点で、ボタン等のアクションにより、ゲートウ
ェイ機器1のサーバ部14にコマンドが通知されたとき
に実行される。なお、この設置通知処理は、サーバ部1
4において一度だけ実行される。
【0123】即ち、サーバ部14は、図示の「設置通知
コマンド送信処理」において、まず、RSAなど公開鍵
暗号化方式の暗号アルゴリズムを用いて、秘密鍵及び公
開鍵を生成する(SP11)と共に、機器IDに現在の
タイムスタンプを付加してなる原文を生成し(SP1
2)、さらに、その原文に対し、出荷時情報である初期
共有秘密情報(Secret-ID )を用いたメッセージ認証子
(MAC)を生成する(SP13)。
【0124】そして、サーバ部14は、同処理におい
て、設置通知を示すコード、機器ID、原文、MAC、
及び公開鍵をパラメータとして、ゲートウェイ機器1
(サーバ部14のCGI処理部13)からVPNセッシ
ョン管理サーバ2(HTTPサーバ部21)へのHTT
Pコマンドとして、所要の設置通知コマンドを、<非I
Psecセッション(グローバル)>で送信する(SP
14)。
【0125】次に、VPNセッション管理サーバ2は、
図示の「設置通知コマンド受信及び処理」において、ゲ
ートウェイ機器1のサーバ部14から送信された設置通
知コマンドを受信して(SP15)、パラメータとして
与えられた原文に対し、機器共通情報である初期共有秘
密情報(Secret-ID )を用いたメッセージ認証子(MA
C)を生成し、これが、受信したメッセージ認証子(M
AC)と一致することを確認して、ゲートウェイ機器1
の認証を行う(SP16)。
【0126】次に、VPNセッション管理サーバ2は、
同処理において、IPsecの共有認証鍵(PresharedK
ey)及び共有秘密情報(Secret-ID2)をランダムに生成
し、これらを、図14(a)に示すように、機器IDと
対応付けてVPNセッション管理テーブル23に保持す
る(SP17,SP18)と共に、上記共有認証鍵(Pr
esharedKey)及び共有秘密情報(Secret-ID2)を、先に
パラメータとして与えられたゲートウェイ機器1の公開
鍵を用いて暗号化する(SP19)。
【0127】そして、VPNセッション管理サーバ2
は、同処理において、正常又はエラーを示すステータ
ス、並びに暗号化後の共有認証鍵(PresharedKey)及び
共有秘密情報(Secret-ID2)をパラメータとした所要の
設置通知レスポンスを、VPNセッション管理サーバ2
(HTTPサーバ部21)からゲートウェイ機器1(サ
ーバ部14のCGI処理部13)へのHTTPレスポン
スとして、<非IPsecセッション>で送信する(S
P20)。
【0128】次に、ゲートウェイ機器1のサーバ部14
は、図示の「設置通知レスポンス受信後処理」におい
て、VPNセッション管理サーバ2から設置通知レスポ
ンスを受信し(SP21)、与えられた暗号化後の共有
認証鍵(PresharedKey)及び共有秘密情報(Secret-ID
2)を、当該ゲートウェイ機器1の秘密鍵を用いて復号
化して、その復号化された共有認証鍵(PresharedKey)
及び共有秘密情報(Secret-ID2)を設置通知後情報とし
て保持し(SP22,SP23)、さらに、処理をの
認証鍵設定処理へと受け渡し(図示の記号「A」により
図9へ連続)、以上により、本設置通知処理が完了す
る。
【0129】<認証鍵設定処理>本認証鍵設定処理
は、上述の設置通知処理の完了後、ゲートウェイ機器1
のルータ部11に対し、共有認証鍵(PresharedKey)を
設定することを目的とする。以下、図面により、本認証
鍵設定処理の詳細を説明する。
【0130】図9は、本発明の方法例に係る認証鍵設定
処理を説明するためのシーケンス図である。
【0131】同図に示すように、本認証鍵設定処理は、
上述の設置通知処理の完了を契機(図示の「A」により
図8から連続)に、これに引き続いて自動的に一度だけ
実行される。
【0132】即ち、ゲートウェイ機器1のサーバ部14
は、図示の「ルータ設定コマンド設定送信処理」におい
て、VPNゲートウェイ3をIPsecの対象ホストと
した共有認証鍵(PresharedKey)の設定コマンドを生成
し(SP31)、当該設定コマンドをパラメータとした
所要のルータ設定コマンドを、ゲートウェイ機器1のサ
ーバ部14から同ゲートウェイ機器のルータ部11への
コマンドとして、<ローカルネットワークセッション>
で送信する(SP32)。
【0133】次に、ゲートウェイ機器1のルータ部11
は、図示の「ルータ設定コマンド受信及び処理」におい
て、サーバ部14から送信されたルータ設定コマンドを
受信し(SP33)、受信した共有認証鍵(PresharedK
ey)を自身に書き込んで、当該共有認証鍵(PresharedK
ey)の設定を行う(SP34)。
【0134】そして、ルータ部11は、同処理におい
て、正常又はエラーを示すステータスをパラメータとし
て、ゲートウェイ機器のルータ部11から同ゲートウェ
イ機器1のサーバ部14へのレスポンスとして、所要の
ルータ設定レスポンスを、<ローカルネットワークセッ
ション>で送信する(SP35)。
【0135】次に、ゲートウェイ機器1のサーバ部14
は、図示の「ルータ設定レスポンス受信」において、ル
ータ部11から送信されたルータ設定レスポンスを受信
し(SP36)、以上により、本認証鍵設定処理が完了
する。
【0136】<CUG作成処理>本CUG作成処理
は、ゲートウェイ機器1にアクセス可能なWeb対応携
帯電話4を登録するための端末登録用パスワードを、V
PNセッション管理サーバ2に発行させることを目的と
する。
【0137】また、ゲートウェイ機器1配下のイントラ
ネット5には様々な機器が存在するが、その所有者は機
器ごとに異なることが考えられるため、ユーザの所有物
であるWeb対応携帯電話4ごとに各機器へのアクセス
が可能か否かをVPNセッション管理サーバ2に通知
し、当該VPNセッション管理サーバ2に、イントラネ
ット5上の各機器へのアクセス制御を行わせる情報(機
器名及び機器アドレスの組)を通知することを目的とす
る。
【0138】図10は、本発明の方法例に係るCUG作
成処理を説明するためのシーケンス図である。
【0139】同図に示すように、本CUG作成処理は、
図示の「CUG作成要求起動コマンド送信処理」におい
て、ユーザが、イントラネット5上における任意の機器
のブラウザによりゲートウェイ機器1のサーバ部14に
アクセスして、イントラネット5上の機器名の一覧を表
示するための「機器一覧画面(図示せず)」を表示さ
せ、この機器一覧画面おいて、後に、Web対応携帯電
話4で操作しようとする機器(ゲートウェイ機器1を含
む)を選択して(SP41)、コマンド押下等のアクシ
ョンを起こすことにより開始される。
【0140】そして、イントラネット5上における任意
の機器のブラウザは、同処理において、前述したCUG
作成要求処理プログラムを起動するためのCUG作成要
求処理プログラム起動コマンド、並びに機器名及び機器
アドレスの組をパラメータとした所要のCUG作成要求
コマンドを、当該ブラウザからゲートウェイ機器1(サ
ーバ部14のHTTPサーバ部12)へのHTTPコマ
ンドとして、<ローカルネットワークセッション>で送
信する(SP42)。
【0141】なお、上述の機器一覧画面に表示される機
器名は、予め、ユーザが登録可能なものであり、ゲート
ウェイ機器1のサーバ部14は、イントラネット5上に
存在する各機器の名称(機器名)と、そのイントラネッ
ト5上の各機器に付与されたIPアドレス(機器アドレ
ス)との組のリストを、CUG作成要求処理プログラム
が起動される前の段階で保持しているものとする(当該
リストを取得する手法は、特に問わない)。
【0142】次に、ゲートウェイ機器1のサーバ部14
は、図示の「CUG作成受付起動コマンド送信処理」に
おいて、イントラネット5上における任意の機器のブラ
ウザから送信されたCUG作成要求起動コマンドを受信
して(SP43)、パラメータとして与えられたCUG
作成要求処理プログラム起動コマンドにより、所要のC
UG作成要求処理プログラムを起動する共に、同パラメ
ータとして与えれた機器名及び機器アドレスを取得する
(SP44)。
【0143】次に、サーバ部14は、同処理において、
RSAなど公開鍵暗号方式の暗号アルゴリズムを用いた
秘密鍵及び暗号鍵と、機器IDにタイムスタンプを付加
してなる認証のための原文と、前述の設置通知処理時に
保持した共有秘密情報(Secret-ID2)を用いたメッセー
ジ認証子(MAC)とを順次生成し(SP45,SP4
6,SP47)、さらに、取得された機器名及び機器ア
ドレスを上記共有秘密情報(Secret-ID2)を用いて暗号
化する(SP48)。
【0144】そして、サーバ部14は、同処理におい
て、これまでに取得又は生成した機器ID、公開鍵、原
文、MAC、並びに暗号化後の機器名及び機器アドレス
の組をパラメータとした所要のCUG作成受付起動コマ
ンド(前述した「CUG作成受付処理プログラム」を起
動するためのコマンドであり、図3に示した「CUG作
成要求コマンド」と同義)を、ゲートウェイ機器1(サ
ーバ部14のCGI処理部13)からVPNセッション
管理サーバ2(HTTPサーバ部21)へのHTTPコ
マンドとして、<非IPsecセッション(グローバ
ル)>で送信する(SP49)。
【0145】次に、VPNセッション管理サーバ2は、
図示の「CUG作成受付起動コマンド受信及び処理」に
おいて、ゲートウェイ機器1のサーバ部14から送信さ
れたCUG作成受付起動コマンドを受信して(SP5
0)、パラメータとして与えられた原文に対し、VPN
セッション管理テーブル23(図14(a)参照)に保
持されている共有秘密情報(Secret-ID2)を用いたメッ
セージ認証子(MAC)を生成し、これが、受信したメ
ッセージ認証子(MAC)と一致することを確認して、
ゲートウェイ機器1の認証を行う(SP51)。
【0146】次に、VPNセッション管理サーバ2は、
同処理において、パラメータとして与えられた暗号化後
の機器名及び機器アドレスを復号化すると共に、端末登
録用パスワード(有効期間:1分程度)をランダムに生
成して、これらを、図14(b)に示すように、機器I
Dと対応付けてVPNセッション管理テーブル23に保
持し(SP52,SP53)、さらに、上記端末登録用
パスワードを、先にパラメータとして与えられたゲート
ウェイ機器1の公開鍵を用いて暗号化する(SP5
4)。
【0147】そして、VPNセッション管理サーバ2
は、同処理において、正常又はエラーを示すステータ
ス、及び暗号化後の端末登録用パスワードをパラメータ
とした所要のCUG作成受付起動レスポンスを、VPN
セッション管理サーバ2(HTTPサーバ部21)から
ゲートウェイ機器1(サーバ部14のCGI処理部1
3)へのHTTPレスポンスとして、<非IPsecセ
ッション>で送信する(SP55)。
【0148】次に、ゲートウェイ機器1のサーバ部14
は、図示の「CUG作成受付起動レスポンス受信後処
理」において、VPNセッション管理サーバ2から送信
されたCUG作成受付起動レスポンスを受信して(SP
56)、パラメータとして与えられた暗号化後の端末登
録用パスワードを、先に生成した秘密鍵を用いて復号化
し(SP57)、さらに、その復号化された端末登録用
パスワードを表示するHTML画面データをパラメータ
とした所要のCUG作成要求起動レスポンスを、ゲート
ウェイ機器1(HTTPサーバ部12)からイントラネ
ット5上における該当機器のブラウザへのHTTPレス
ポンスとして、<ローカルネットワークセッション>で
送信する(SP58)。
【0149】次に、イントラネット5上における該当機
器のブラウザは、図示の「CUG作成要求起動レスポン
ス受信処理」において、ゲートウェイ機器1のサーバ部
11から送信されたCUG作成要求起動レスポンスを受
信して(SP59)、そのパラメータである端末登録用
パスワードを表示したHTML画面データを画面表示し
(SP60)、以上により、本CUG作成処理が完了す
る。
【0150】<端末登録処理>本端末登録処理は、ゲ
ートウェイ機器1にアクセス可能なWeb対応携帯電話
4を、実際にVPNセッション管理サーバ2に登録する
ことを目的とする。
【0151】図11は、本発明の方法例に係る端末登録
処理を説明するためのシーケンス図である。
【0152】同図に示すように、本端末登録処理は、ユ
ーザが、自身のWeb対応携帯電話4のブラウザ41か
ら、VPNセッション管理サーバ2(HTTPサーバ部
21)にアクセスし、端末登録用パスワードを有効期間
内に入力するための「Web対応携帯電話登録画面」を
通じて実行される。
【0153】即ち、Web対応携帯電話4のブラウザ4
1は、図示の「Web対応携帯電話登録コマンド送信処
理」において、Web対応携帯電話登録コマンドを示す
コード、上記Web対応携帯電話登録画面においてユー
ザから入力された端末登録用パスワード、及びWeb対
応携帯電話4に付与された端末IDをパラメータとした
所要のWeb対応携帯電話登録コマンド(前述した「端
末登録処理プログラム」を起動するためのコマンド)
を、ユーザからの送信ボタンの押下に伴い、Web対応
携帯電話4(ブラウザ41)からVPNセッション管理
サーバ2(HTTPサーバ部21)へのHTTPコマン
ドとして、専用線8を経由して送信する(SP61)。
(本コマンドは、専用線8を経由して送信されるため、
盗聴や改竄が生じる可能性は極めて低く、セキュリティ
は高いといえる)
【0154】次に、VPNセッション管理サーバ2は、
図示の「Web対応携帯電話登録コマンド受信及び処
理」において、Web対応携帯電話4から送信されたW
eb対応携帯電話登録コマンドを受信して(SP6
2)、パラメータとして与えられたコードにより所要の
端末登録処理プログラムを起動すると共に、同パラメー
タとして与えられた端末登録用パスワードと同一の値が
VPNセッション管理テーブル23の該当レコードに存
在している(図14(b)参照)ことを以って、Web
対応携帯電話4を認証する(SP63)。
【0155】次に、VPNセッション管理サーバ2は、
同処理において、パラメータとして与えられた端末ID
を、図14(c)に示すように、機器IDと対応付けて
VPNセッション管理テーブル23に保持する(SP6
4)と共に、Web対応携帯電話4の認証に伴って不要
となった端末登録用パスワードを、当該VPNセッショ
ン管理テーブル23から削除する(SP65)。
【0156】なお、上記端末IDは、実際は、携帯電話
通信キャリアのインターネットゲートウェイ7に保持さ
れており、当該インターネットゲートウェイ7から送信
されるため、Web対応携帯電話4からユーザ自身が送
信する必要がなく、ユーザに入力操作等の負担をかける
ことがない。また、この端末IDは、ユーザ自身は送信
できず、改竄することが不可能なことから、第三者が不
正な操作をすることができず、これを認証の鍵として用
いることによって、セキュリティを大幅に強化すること
が可能となる。
【0157】そして、VPNセッション管理サーバ2
は、同処理において、正常又はエラーを示すステータ
ス、及び端末登録用パスワードの登録が完了した旨を表
示するHTML画面データをパラメータとした所要のW
eb対応携帯電話登録レスポンスを、VPNセッション
管理サーバ2(HTTPサーバ部21)からWeb対応
携帯電話4(ブラウザ41)へのHTTPレスポンスと
して、専用線8を経由して送信する(SP66)。
【0158】次に、Web対応携帯電話4のブラウザ4
1は、図示の「Web対応携帯電話登録レスポンス受信
後処理」において、VPNセッション管理サーバ2から
送信されたWeb対応携帯電話登録レスポンスを受信し
て(SP67)、そのパラメータである端末登録用パス
ワードの登録完了を表示するHTML画面データを「登
録完了画面」として画面表示し(SP68)、以上によ
り、本端末登録処理が完了する。
【0159】<VPNセッション確立処理>
【0160】本VPNセッション確立処理は、Web対
応携帯電話4からゲートウェイ機器1及びその配下のイ
ントラネット5上の機器へのセキュリティをもったリモ
ートアクセスを実現するために、両者間にVPNセッシ
ョンを確立することを目的とする。
【0161】図12は、本発明の方法例に係るVPNセ
ッション確立処理を説明するためのシーケンス図であ
る。
【0162】同図に示すように、本VPNセッション確
立処理は、図示の「対ゲートウェイ機器向けVPNセッ
ション起動要求コマンド」において、ユーザが、上述の
端末登録処理で登録したWeb対応携帯電話4を用い
て、VPNセッション管理サーバ2(HTTPサーバ部
21)にアクセスして、リモートアクセスを要求するた
めの「リモートアクセス要求画面(図示せず)」をブラ
ウザ41表示させ、当該画面において送信ボタンを押下
することにより開始される。
【0163】即ち、Web対応携帯電話4のブラウザ4
1は、同処理において、前述したVPNセッション確立
処理プログラムを起動するための対ゲートウェイ機器向
けVPNセッション確立処理プログラム起動コマンド、
及び端末Idをパラメータとした所要の対ゲートウェイ
機器向けVPNセッション起動要求コマンドを、Web
対応携帯電話4(ブラウザ41)からVPNセッション
管理サーバ2(HTTPサーバ部21)へのHTTPコ
マンドとして、専用線8を経由して送信する(SP7
1)。
【0164】次に、VPNセッション管理サーバ2は、
図示の「対ゲートウェイ機器向けVPNセッション起動
要求コマンド受信及び処理」において、Web対応携帯
電話4から送信された対ゲートウェイ機器向けVPNセ
ッション起動要求コマンドを受信して(SP72)、パ
ラメータとして与えられたコマンドにより所要のVPN
セッション確立処理プログラムを起動すると共に、同パ
ラメータとして与えられた端末IDと同一の値がVPN
セッション管理テーブル23の該当レコードに存在して
いる(図14(c)参照)ことを以って、Web対応携
帯電話4を認証する(SP73)。
【0165】次に、VPNセッション管理サーバ2は、
同処理において、VPNセッション管理テーブル23の
該当レコードからIPsecの共有認証鍵(PresharedK
ey)を取得すると共に、ゲートウェイ機器1のルータ部
11のグローバルIPアドレスを取得して、VPN設定
コマンドを生成する(SP74)。
【0166】なお、以上のグローバルIPアドレスを取
得する手法としては、例えば、ゲートウェイ機器1が固
定のグローバルIPアドレスを、予めVPNセッション
管理サーバ2に通知するようにしてもよいし、或いは、
そのグローバルIPアドレスが可変な場合には、定期的
にVPNセッション管理サーバ2に通知してもよい(グ
ローバルIPアドレスを定期的に通知する場合には、そ
の間隔が短いほど、リモートアクセスの成功確率が高く
なるといえる)。
【0167】そして、VPNセッション管理サーバ2
は、同処理において、ゲートウェイ機器1のルータ部1
1のグローバルIPアドレスをIPsecの対象ホスト
とした共有認証鍵(PresharedKey)の設定(VPNゲー
トウェイ3のコマンドの実装により異なる)、及びVP
Nトンネル9を確立するための設定(同じくVPNゲー
トウェイ3のコマンドの実装により異なる)をパラメー
タとした上記VPN設定コマンドを、VPNセッション
管理サーバ2(CGI処理部22)からVPNゲートウ
ェイ3(設定コマンド受信処理部32)へのコマンドと
して、<ローカルネットワークセッション>で送信する
(SP75)。
【0168】次に、VPNゲートウェイ3は、図示の
「VPN設定コマンド受信及び処理」において、VPN
セッション管理サーバ2から送信されたVPN設定コマ
ンドを受信して(SP76)、パラメータとして与えら
れた各設定を自身に書き込んで反映させる(SP77)
ことにより、ゲートウェイ機器1との間で、IPsec
のネゴシエーションを自動的に開始してVPNトンネル
9を確立する。
【0169】そして、VPNゲートウェイ3は、同処理
において、正常又はエラーを示すステータスをパラメー
タとした所要のVPN設定レスポンスを、VPNゲート
ウェイ3(設定コマンド受信処理部32)からVPNセ
ッション管理サーバ2(CGI処理部22)へのレスポ
ンスとして、<ローカルネットワークセッション>で送
信する(SP78)。
【0170】次に、VPNセッション管理サーバ2は、
図示の「VPN設定処理レスポンス受信」において、V
PNゲートウェイ3から送信されたVPN設定レスポン
スを受信して(SP79)、正常又はエラーを示すステ
ータス、及びVPNセッションの確立が完了した旨を表
示するHTML画面データをパラメータとした所要の対
ゲートウェイ機器向けVPNセッション起動要求レスポ
ンスを、VPNセッション管理サーバ2(HTTPサー
バ部21)からWeb対応携帯電話4(ブラウザ41)
へのHTTPレスポンスとして、専用線8を経由して送
信する(SP80)。
【0171】次に、Web対応携帯電話4は、図示の
「対ゲートウェイ機器向けVPNセッション起動要求レ
スポンス受信」において、VPNセッション管理サーバ
2から送信された対ゲートウェイ機器向けVPNセッシ
ョン起動要求レスポンスを受信して(SP81)、その
パラメータであるVPNセッションの確立完了を表示す
るHTML画面データを「VPNセッション確立画面」
として画面表示し(SP82)、以上により、本VPN
セッション確立処理が完了する。
【0172】<代理アクセス処理>本代理アクセス処
理は、Web対応携帯電話4からゲートウェイ機器1及
びその配下のイントラネット5上の機器へのセキュリテ
ィをもったリモートアクセスを実現するために、ゲート
ウェイ機器1にアクセス可能なWeb対応携帯電話4か
らのアクセスに代わり、上述のVPNセッション確立処
理により確立されたVPN経由で、VPNセッション管
理サーバ2が代理アクセス(リバースプロキシ)を行う
ことを目的とする。
【0173】図13は、本発明の方法例に係る代理アク
セス処理を説明するためのシーケンス図である。
【0174】同図に示すように、本代理アクセス処理の
開始に際しては、まず、図示の「対イントラネット向け
代理アクセス起動要求コマンド送信」において、Web
対応携帯電話4のブラウザ41が、前述した代理アクセ
ス処理プログラムを起動するための対イントラネット向
け代理アクセス処理プログラム起動コマンド、端末I
D、及び機器名をパラメータとした所要の対イントラネ
ット向け代理アクセス起動要求コマンドを、Web対応
携帯電話4(ブラウザ41)からVPNセッション管理
サーバ2(HTTPサーバ部21)へのHTTPコマン
ドとして、専用線8を経由して送信する(SP91)。
【0175】次に、VPNセッション管理サーバ2は、
図示の「対イントラネット向け代理アクセス起動要求コ
マンド受信及び処理」において、ウェブ対応携帯電話4
から送信された対イントラネット向け代理アクセス起動
要求コマンドを受信して(SP92)、パラメータとし
て与えられたコマンドにより所要の代理アクセス処理プ
ログラムを起動すると共に、同パラメータとして与えら
れた端末ID及び機器名と同一の値がVPNセッション
管理テーブル23の該当レコードに存在している(図1
4(c)参照)ことを以って、Web対応携帯電話4を
認証する(SP93,SP94)。
【0176】次に、VPNセッション管理サーバ2は、
同処理において、VPNセッション管理テーブル23の
該当レコードから機器アドレスを取得する(SP95)
と共に、リバースプロキシプログラムを起動して(SP
96)、その取得した機器アドレスにより表されるIP
アドレス向けの代理アクセスを行うよう指示し、ゲート
ウェイ機器1のサーバ部11及びイントラネット5上の
機器との間で、VPNトンネル9を経由したWebサー
バコマンドの送受信を行う。
【0177】即ち、ゲートウェイ機器1のサーバ部11
及びイントラネット5上の機器は、図示の「HTTPコ
マンド受信及び処理」において、VPNセッション管理
サーバ2のリバースプロキシプログラムから送信される
アクセス要求などのWebサーバコマンドを受信し(S
P97)、そのVPNセッション管理サーバ2のリバー
スプロキシプログラムに対し、HTMLデータ等のWe
bサーバレスポンスをVPNトンネル9を経由して送信
する(SP98)。
【0178】次に、VPNセッション管理サーバ2のリ
バースプロキシプログラムは、図示の「リバースプロキ
シレスポンス受信」において、そのリバースプロキシプ
ログラムの返り値であるHTMLデータ等(リバースプ
ロキシプログラムレスポンス)を、ゲートウェイ機器1
のサーバ部11及びイントラネット5上の機器からVP
Nトンネル9を経由して受信し(SP99)、その受信
したHTMLデータ等をパラメータとした所要の対イン
トラネット向け代理アクセス起動要求レスポンスを、V
PNセッション管理サーバ2(HTTPサーバ部21)
からWeb対応携帯電話4(ブラウザ41)へのHTT
Pレスポンスとして、専用線8を経由して送信する(S
P100)。
【0179】そして、Web対応携帯電話4は、図示の
「対イントラネット向け代理アクセス起動要求レスポン
ス受信」において、VPNセッション管理サーバ2から
送信された対イントラネット向け代理アクセス起動要求
レスポンスを受信する(SP101)。
【0180】そして以下、ユーザがWeb対応携帯電話
4を通じたリモートアクセスを完了するまで、本代理ア
クセス処理を繰り返して実行する。
【0181】以上、本発明の実施の形態を、その適用シ
ステム構成例、プログラム例及び記録媒体例、並びに方
法例につき説明したが、本発明は、必ずしも上述した手
段及び手法にのみ限定されるものではなく、本発明にい
う目的を達成し、後述の効果を有する範囲内において、
適宜変更実施することが可能なものである。
【0182】
【発明の効果】以上、詳細に説明したように、本発明に
よれば、端末単体でありながら、セキュリティを確保し
たイントラネットへのリモートアクセスがインターネッ
ト経由で可能となり、また、リモートアクセス用に専用
線等を必要としないので、システム適用に際しコストの
増加を招くことがない。
【0183】また、本発明によれば、他人が改竄できな
い端末IDを端末認証の鍵として用いたことから、セキ
ュリティを大幅に強化することが可能になると共に、当
該端末IDは、通信キャリアが提供するインターネット
ゲートウェイから送信されるため、ユーザの認証情報入
力の手間を省くことができる。
【0184】さらに、本発明によれば、イントラネット
へのアクセスが可能な端末の追加や変更を、CUGサー
ビスを提供している企業等に書類で提出することなくユ
ーザ自身が外部から行うことができるため、非常に利便
性が高い。
【図面の簡単な説明】
【図1】本発明の適用システムであるイントラネットリ
モートアクセスシステムの構成を示す図である。
【図2】図1に示したVPNセッション管理サーバに設
定されるVPNセッション管理テーブルの構成を示す図
である。
【図3】図1に示したゲートウェイ機器のCGI処理部
に格納されるCUG作成要求処理プログラムを説明する
ためのフローチャートである。
【図4】図1に示したVPNセッション管理サーバのC
GI処理部に格納されるCUG作成受付処理プログラム
を説明するためのフローチャートである。
【図5】図1に示したVPNセッション管理サーバのC
GI処理部に格納される端末登録処理プログラムを説明
するためのフローチャートである。
【図6】図1に示したVPNセッション管理サーバのC
GI処理部に格納されるVPNセッション確立処理プロ
グラムを説明するためのフローチャートである。
【図7】図1に示したVPNセッション管理サーバのC
GI処理部に格納される代理アクセス処理プログラムを
説明するためのフローチャートである。
【図8】本発明の方法例に係る設置通知処理を説明する
ためのシーケンス図である。
【図9】本発明の方法例に係る認証鍵設定処理を説明す
るためのシーケンス図である。
【図10】本発明の方法例に係るCUG作成処理を説明
するためのシーケンス図である。
【図11】本発明の方法例に係る端末登録処理を説明す
るためのシーケンス図である。
【図12】本発明の方法例に係るVPNセッション確立
処理を説明するためのシーケンス図である。
【図13】本発明の方法例に係る代理アクセス処理を説
明するためのシーケンス図である。
【図14】本発明の方法例において参照されるVPN管
理テーブルの遷移図である。
【符号の説明】
α…イントラネットリモートアクセスシステム(適用シ
ステム) 1…ゲートウェイ機器 11…ルータ部 12…HTTPサーバ部 13…CGI処理部 14…サーバ部 2…VPNセッション管理サーバ 21…HTTPサーバ部 22…CGI処理部 23…VPNセッション管理テーブル 3…VPNゲートウェイ 31…VPN処理部 32…設定コマンド受信処理部 4…Web対応携帯電話 41…ブラウザ 5…イントラネット 6…インターネット 7…インターネットゲートウェイ 8…専用線 9…VPNトンネル 10…携帯電話専用回線
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5K030 GA20 HA08 HC01 HD03 JL01 JL07 5K033 AA04 BA08 CB01 DA01 DA19 DB19 EA03

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】VPN機能を有するゲートウェイ機器を介
    してインターネットに接続されたイントラネット上の機
    器に、所定のインターネットゲートウェイを通じて前記
    インターネットにアクセス可能な端末からリモートアク
    セスするためのイントラネットリモートアクセス方法で
    あって、 前記インターネット上に、前記インターネットゲートウ
    ェイと専用線で接続されたVPNセッション管理サーバ
    と、OSI参照モデルのネットワーク層においてVPN
    セッションを実現する機能を有し、前記VPNセッショ
    ン管理サーバからのコマンド制御に応じて前記ゲートウ
    ェイ機器との間にVPNトンネルを設定するVPNゲー
    トウェイと、を配置し、 前記イントラネット上の任意の機器からの要求に伴い、
    その機器に付与された機器名及び機器アドレスを前記V
    PNセッション管理サーバに登録すると共に、当該VP
    Nセッション管理サーバ内で端末登録用パスワードをラ
    ンダムに一時生成し、この生成された前記端末登録用パ
    スワードを、前記VPNセッション管理サーバから前記
    インターネットを経由して、該当する前記機器に通知す
    るCUG作成処理と、 該当する前記機器に対応して割り当てられた所定の端末
    から、前記端末登録用パスワード及び当該端末に付与さ
    れた端末IDが入力されるのに伴い、その端末IDを前
    記VPNセッション管理サーバに登録すると共に、当該
    端末IDが登録された旨を、前記VPNセッション管理
    サーバから前記専用線を経由して、該当する前記端末に
    通知する端末登録処理と、 該当する前記端末からの前記端末IDの入力に伴い、前
    記VPNセッション管理サーバからの前記コマンド制御
    に応じて前記VPNゲートウェイと前記ゲートウェイ機
    器との間に前記VPNトンネルを設定し、この設定によ
    りVPNセッションが開始された旨を、前記VPNセッ
    ション管理サーバから前記VPNトンネルを経由して、
    該当する前記端末に通知するVPNセッション確立処理
    と、 該当する前記端末から前記端末ID及び前記機器名が入
    力されて、該当する前記機器に対して所要のアクセスが
    発生するのに伴い、その端末に代わり、前記VPNセッ
    ション管理サーバに、前記VPNトンネルを経由した代
    理アクセスを行わせる代理アクセス処理と、を順次実施
    する、 ことを特徴とするイントラネットリモートアクセス方
    法。
  2. 【請求項2】前記ゲートウェイ機器及び前記VPNセッ
    ション管理サーバは、 両者の間で所定の共有秘密情報を共有し、 前記CUG作成処理は、 前記ゲートウェイ機器において、 公開鍵暗号方式の暗号アルゴリズムを用いて秘密鍵及び
    公開鍵を生成する処理と、所定の原文に対し前記共有秘
    密情報を用いてメッセージ認証子を生成する処理と、前
    記機器名及び前記機器アドレスを前記共有秘密情報を用
    いて暗号化する処理と、当該ゲートウェイ機器に付与さ
    れた機器ID、前記公開鍵、前記原文、前記メッセージ
    認証子、並びに暗号化後の前記機器名及び前記機器アド
    レスを前記VPNセッション管理サーバに送信する処理
    と、を順次実施し、 前記VPNセッション管理サーバにおいて、 受信した前記原文に対し、受信した前記機器IDに対応
    する前記共有秘密情報を用いてメッセージ認証子を生成
    する処理と、この生成された前記メッセージ認証子と受
    信した前記メッセージ認証子とが一致したことを以っ
    て、前記ゲートウェイ機器の正当性を認証する処理と、
    受信した暗号化後の前記機器名及び前記機器アドレスを
    前記共有秘密情報を用いて復号化する処理と、これら復
    号化された前記機器名及び前記機器アドレスを、前記端
    末登録用パスワードと共に前記機器IDと対応させて保
    持する処理と、受信した前記公開鍵を用いて前記端末登
    録用パスワードを暗号化する処理と、暗号化後の前記端
    末登録用パスワードを前記ゲートウェイ機器に送信する
    処理と、を順次実施し、 再び前記ゲートウェイ機器において、 受信した暗号化後の前記端末登録用パスワードを前記秘
    密鍵を用いて復号化する処理を実施する、 ことを特徴とする請求項1に記載のイントラネットリモ
    ートアクセス方法。
  3. 【請求項3】端末登録処理は、 前記VPNセッション管理サーバにおいて、 前記端末から入力された前記端末登録用パスワードが、
    対応保持されている前記端末登録用パスワードと一致し
    たことを以って、当該端末の正当性を認証する処理と、
    前記端末IDを前記機器IDと対応させて保持する処理
    と、対応保持されている前記端末登録用パスワードを削
    除する処理と、を順次実施する、 ことを特徴とする請求項2に記載のイントラネットリモ
    ートアクセス方法。
  4. 【請求項4】前記ゲートウェイ機器及び前記VPNセッ
    ション管理サーバは、 両者の間で共有認証鍵を共有し、 前記VPNセッション確立処理は、 前記VPNセッション管理サーバにおいて、 前記端末から入力された前記端末IDが、対応保持され
    ている前記端末IDと一致したことを以って、当該端末
    の正当性を認証する処理と、前記ゲートウェイ機器を対
    象ホストとした前記共有認証鍵の設定を、前記VPNゲ
    ートウェイに書き込む処理と、を順次実施する、 ことを特徴とする請求項3に記載のイントラネットリモ
    ートアクセス方法。
  5. 【請求項5】前記代理アクセス処理は、 前記VPNセッション管理サーバにおいて、 前記端末から入力された前記端末ID及び前記機器名
    が、対応保持されている前記端末ID及び前記機器名と
    一致したことを以って、前記端末の正当性を認証する処
    理と、対応保持されている前記機器アドレスを取得する
    処理と、所定のリバースプロキシプログラムを起動し
    て、その取得された前記機器アドレス向けの代理アクセ
    スが行われるよう、当該リバースプロキシプログラムに
    対し指示を与える処理と、を順次実施する、 ことを特徴とする請求項4に記載のイントラネットリモ
    ートアクセス方法。
  6. 【請求項6】前記ゲートウェイ機器及び前記VPNセッ
    ション管理サーバにおける前記共有認証鍵及び前記共有
    秘密情報の共有は、 前記ゲートウェイ機器が新たに設置されて、当該ゲート
    ウェイ機器から前記機器IDが入力されるのに伴い、そ
    の機器IDを前記VPNセッション管理サーバに登録す
    ると共に、当該VPNセッション管理サーバ内でランダ
    ムに生成した前記共有認証鍵及び前記共有秘密情報を、
    前記VPNセッション管理サーバから前記インターネッ
    トを経由して、前記ゲートウェイ機器に通知する設置通
    知処理を実施することにより行われる、 ことを特徴とする請求項4又は5に記載のイントラネッ
    トリモートアクセス方法。
  7. 【請求項7】前記設置通知処理は、 前記ゲートウェイ機器において、 公開鍵暗号方式の暗号アルゴリズムを用いて秘密鍵及び
    公開鍵を生成する処理と、所定の原文に対し、当該ゲー
    トウェイ機器の設置時において前記VPNセッション管
    理サーバと間で共有される初期共有秘密情報を用いてメ
    ッセージ認証子を生成する処理と、当該ゲートウェイ機
    器に付与された前記機器ID、前記公開鍵、前記原文、
    及び前記メッセージ認証子を前記VPNセッション管理
    サーバに送信する処理と、を順次実施し、 前記VPNセッション管理サーバにおいて、 受信した前記原文に対し、受信した前記機器IDに対応
    する前記初期共有秘密情報を用いてメッセージ認証子を
    生成する処理と、この生成された前記メッセージ認証子
    と受信した前記メッセージ認証子とが一致したことを以
    って、前記ゲートウェイ機器の正当性を認証する処理
    と、前記共有認証鍵及び前記共有秘密情報を前記機器I
    Dと対応させて保持する処理と、受信した前記公開鍵を
    用いて前記共有認証鍵及び前記共有秘密情報を暗号化す
    る処理と、暗号化後の前記共有認証鍵及び前記共有秘密
    情報を前記ゲートウェイ機器に送信する処理と、を順次
    実施し、 再び前記ゲートウェイ機器において、 受信した暗号化後の前記共有認証鍵及び前記共有秘密情
    報を前記秘密鍵を用いて復号化する処理と、これら復号
    化された前記共有認証鍵及び前記共有秘密情報を保持す
    る処理と、を順次実施する、 ことを特徴とする請求項6に記載のイントラネットリモ
    ートアクセス方法。
  8. 【請求項8】前記設置通知処理は、 前記ゲートウェイ機器において、 前記VPNゲートウェイを対象ホストとした前記共有認
    証鍵の設定を、自身のルータ部に書き込む認証鍵設定処
    理を含む、 ことを特徴とする請求項7に記載のイントラネットリモ
    ートアクセス方法。
  9. 【請求項9】前記原文は、 前記機器IDにタイムスタンプを付加してなるものを採
    用する、 ことを特徴とする請求項2、3、4、5、6、7又は8
    に記載のイントラネットリモートアクセス方法。
  10. 【請求項10】前記端末は、 Web対応携帯電話であり、 前記インターネットゲートウェイは、 前記Web対応携帯電話のサービスを提供する通信キャ
    リアにより設置されたものである、 ことを特徴とする請求項1、2、3、4、5、6、7、
    8又は9に記載のイントラネットリモートアクセス方
    法。
  11. 【請求項11】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスをするに際し、前記ゲートウェイ機器において、
    前記インターネットゲートウェイと専用線で接続された
    VPNセッション管理サーバに対するCUG作成要求処
    理を実行するためのイントラネットリモートアクセス処
    理プログラムであって、 公開鍵暗号方式の暗号アルゴリズムを用いて秘密鍵及び
    公開鍵を生成するステップと、 所定の原文に対し、前記VPNセッション管理サーバと
    の間で共有される所定の共有秘密情報を用いてメッセー
    ジ認証子を生成するステップと、 前記ユーザグループに参加しようとする前記イントラネ
    ット上の所定の機器に付与された機器名及び機器アドレ
    スを、前記共有秘密情報を用いて暗号化するステップ
    と、 当該ゲートウェイ機器に付与された機器ID、前記公開
    鍵、前記原文、前記メッセージ認証子、並びに暗号化後
    の前記機器名及び前記機器アドレスを前記VPNセッシ
    ョン管理サーバに送信するステップと、 前記VPNセッション管理サーバから受信した暗号化後
    の端末登録用パスワードを前記秘密鍵を用いて復号化す
    るステップと、を有する、 ことを特徴とするイントラネットリモートアクセス処理
    プログラム。
  12. 【請求項12】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、前記インターネットゲートウェイと
    専用線で接続されたVPNセッション管理サーバにおい
    て、前記ゲートウェイ機器からのユーザグループ作成要
    求に応じたCUG作成受付処理を実行するためのイント
    ラネットリモートアクセス処理プログラムであって、 前記ゲートウェイ機器から受信した所定の原文に対し、
    前記ゲートウェイ機器から受信した機器IDに対応して
    前記ゲートウェイ機器との間で共有される共有秘密情報
    を用いてメッセージ認証子を生成するステップと、 この生成された前記メッセージ認証子と、前記ゲートウ
    ェイ機器から受信したメッセージ認証子とが一致したこ
    とを以って、前記ゲートウェイ機器の正当性を認証する
    ステップと、 前記ユーザグループに参加しようとする前記イントラネ
    ット上の所定の機器に付与され、前記ゲートウェイ機器
    から受信した暗号化後の機器名及び機器アドレスを、前
    記共有秘密情報を用いて復号化するステップと、 端末登録用パスワードをランダムに一時生成すると共
    に、復号化された前記機器名及び前記機器アドレスを前
    記端末登録用パスワードと共に保持するステップと、 前記ゲートウェイ機器から受信した公開鍵を用いて前記
    端末登録用パスワードを暗号化するステップと、 暗号化後の前記端末登録用パスワードを前記ゲートウェ
    イ機器に送信するステップと、を有する、 ことを特徴とするイントラネットリモートアクセス処理
    プログラム。
  13. 【請求項13】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、前記インターネットゲートウェイと
    専用線で接続されたVPNセッション管理サーバにおい
    て、前記イントラネット上の所定の機器に対応して割り
    当てられた所定の端末に係る端末登録処理を実行するた
    めのイントラネットリモートアクセス処理プログラムで
    あって、 該当する前記端末から入力された端末登録用パスワード
    が、対応保持されている端末登録用パスワードと一致し
    たことを以って、当該端末の正当性を認証するステップ
    と、 前記端末から入力された端末IDを保持するステップ
    と、 対応保持されている前記端末登録用パスワードを削除す
    るステップと、を有する、 ことを特徴とするイントラネットリモートアクセス処理
    プログラム。
  14. 【請求項14】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、前記インターネットゲートウェイと
    専用線で接続されたVPNセッション管理サーバにおい
    て、OSI参照モデルのネットワーク層においてVPN
    セッションを実現する機能を有するVPNゲートウェイ
    を、前記イントラネット上の所定の機器に対応して割り
    当てられた所定の端末を通じてコマンド制御することに
    より、前記ゲートウェイ機器との間にVPNトンネルを
    設定するVPNセッション確立処理を実行するためのイ
    ントラネットリモートアクセス処理プログラムであっ
    て、 該当する前記端末から入力された端末IDが、対応保持
    されている端末IDと一致したことを以って、当該端末
    の正当性を認証するステップと、 前記ゲートウェイ機器を対象ホストとした前記共有認証
    鍵の設定を、前記VPNゲートウェイに書き込むステッ
    プと、を有する、 ことを特徴とするイントラネットリモートアクセス処理
    プログラム。
  15. 【請求項15】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、前記インターネットゲートウェイと
    専用線で接続されたVPNセッション管理サーバにおい
    て、OSI参照モデルのネットワーク層においてVPN
    セッションを実現する機能を有するVPNゲートウェイ
    を、前記イントラネット上の所定の機器に対応して割り
    当てられた所定の端末を通じてコマンド制御することに
    より、その端末に代わり、VPNトンネルを経由した代
    理アクセスを行わせる代理アクセス処理を実行するため
    のイントラネットリモートアクセス処理プログラムであ
    って、 該当する前記端末から入力された端末ID及び機器名
    が、対応保持されている端末ID及び機器名と一致した
    ことを以って、前記端末の正当性を認証するステップ
    と、 対応保持されている機器アドレスを取得するステップ
    と、 所定のリバースプロキシプログラムを起動して、その取
    得された前記機器アドレス向けの代理アクセスが行われ
    るよう、当該リバースプロキシプログラムに対し指示を
    与えるステップと、を有する、 ことを特徴とするイントラネットリモートアクセス処理
    プログラム。
  16. 【請求項16】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、コンピュータを構成する前記ゲート
    ウェイ機器に、前記インターネットゲートウェイと専用
    線で接続されたVPNセッション管理サーバに対するC
    UG作成要求処理を実行させるためのイントラネットリ
    モートアクセス処理プログラムを記録した記録媒体であ
    って、 当該イントラネットリモートアクセス処理プログラム
    は、 前記ゲートウェイ機器に、 公開鍵暗号方式の暗号アルゴリズムを用いて秘密鍵及び
    公開鍵を生成させる手順と、 所定の原文に対し、前記VPNセッション管理サーバと
    の間で共有される所定の共有秘密情報を用いてメッセー
    ジ認証子を生成させる手順と、 前記ユーザグループに参加しようとする前記イントラネ
    ット上の所定の機器に付与された機器名及び機器アドレ
    スを、前記共有秘密情報を用いて暗号化させる手順と、 当該ゲートウェイ機器に付与された機器ID、前記公開
    鍵、前記原文、前記メッセージ認証子、並びに暗号化後
    の前記機器名及び前記機器アドレスを前記VPNセッシ
    ョン管理サーバに送信させる手順と、 前記VPNセッション管理サーバから受信した暗号化後
    の端末登録用パスワードを前記秘密鍵を用いて復号化さ
    せる手順と、を順次実行させる、 ことを特徴とするイントラネットリモートアクセス処理
    プログラムを記録した記録媒体。
  17. 【請求項17】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、前記インターネットゲートウェイと
    専用線で接続された、コンピュータを構成するVPNセ
    ッション管理サーバに、前記ゲートウェイ機器からのユ
    ーザグループ作成要求に応じたCUG作成受付処理を実
    行させるためのイントラネットリモートアクセス処理プ
    ログラムを記録した記録媒体であって、 当該イントラネットリモートアクセス処理プログラム
    は、 前記VPNセッション管理サーバに、 前記ゲートウェイ機器から受信した所定の原文に対し、
    前記ゲートウェイ機器から受信した機器IDに対応して
    前記ゲートウェイ機器との間で共有される共有秘密情報
    を用いてメッセージ認証子を生成させる手順と、 この生成された前記メッセージ認証子と、前記ゲートウ
    ェイ機器から受信したメッセージ認証子とが一致したこ
    とを以って、前記ゲートウェイ機器の正当性を認証させ
    る手順と、 前記ユーザグループに参加しようとする前記イントラネ
    ット上の所定の機器に付与され、前記ゲートウェイ機器
    から受信した暗号化後の機器名及び機器アドレスを、前
    記共有秘密情報を用いて復号化させる手順と、 端末登録用パスワードをランダムに一時生成させると共
    に、復号化された前記機器名及び前記機器アドレスを前
    記端末登録用パスワードと共に保持させる手順と、 前記ゲートウェイ機器から受信した公開鍵を用いて前記
    端末登録用パスワードを暗号化させる手順と、 暗号化後の前記端末登録用パスワードを前記ゲートウェ
    イ機器に送信させる手順と、を順次実行させる、 ことを特徴とするイントラネットリモートアクセス処理
    プログラムを記録した記録媒体。
  18. 【請求項18】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、前記インターネットゲートウェイと
    専用線で接続された、コンピュータを構成するVPNセ
    ッション管理サーバに、前記イントラネット上の所定の
    機器に対応して割り当てられた所定の端末に係る端末登
    録処理を実行させるためのイントラネットリモートアク
    セス処理プログラムを記録した記録媒体であって、 当該イントラネットリモートアクセス処理プログラム
    は、 前記VPNセッション管理サーバに、 該当する前記端末から入力された端末登録用パスワード
    が、対応保持されている端末登録用パスワードと一致し
    たことを以って、当該端末の正当性を認証させる手順
    と、 前記端末から入力された端末IDを保持させる手順と、 対応保持されている前記端末登録用パスワードを削除さ
    せる手順と、を順次実行させる、 ことを特徴とするイントラネットリモートアクセス処理
    プログラムを記録した記録媒体。
  19. 【請求項19】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、前記インターネットゲートウェイと
    専用線で接続された、コンピュータを構成するVPNセ
    ッション管理サーバに、OSI参照モデルのネットワー
    ク層においてVPNセッションを実現する機能を有する
    VPNゲートウェイを、前記イントラネット上の所定の
    機器に対応して割り当てられた所定の端末を通じてコマ
    ンド制御させることにより、前記ゲートウェイ機器との
    間にVPNトンネルを設定するVPNセッション確立処
    理を実行させるためのイントラネットリモートアクセス
    処理プログラムを記録した記録媒体であって、 当該イントラネットリモートアクセス処理プログラム
    は、 前記VPNセッション管理サーバに、 該当する前記端末から入力された端末IDが、対応保持
    されている端末IDと一致したことを以って、当該端末
    の正当性を認証させる手順と、 前記ゲートウェイ機器を対象ホストとした前記共有認証
    鍵の設定を、前記VPNゲートウェイに書き込ませる手
    順と、を順次実行させる、 ことを特徴とするイントラネットリモートアクセス処理
    プログラムを記録した記録媒体。
  20. 【請求項20】VPN機能を有するゲートウェイ機器を
    介してインターネットに接続されたイントラネット上の
    機器に、所定のインターネットゲートウェイを通じて前
    記インターネットにアクセス可能な端末からリモートア
    クセスするに当り、前記インターネットゲートウェイと
    専用線で接続された、コンピュータを構成するVPNセ
    ッション管理サーバに、OSI参照モデルのネットワー
    ク層においてVPNセッションを実現する機能を有する
    VPNゲートウェイを、前記イントラネット上の所定の
    機器に対応して割り当てられた所定の端末を通じてコマ
    ンド制御させることにより、その端末に代わり、VPN
    トンネルを経由した代理アクセスを行わせる代理アクセ
    ス処理を実行させるためのイントラネットリモートアク
    セス処理プログラムを記録した記録媒体であって、 当該イントラネットリモートアクセス処理プログラム
    は、 前記VPNセッション管理サーバに、 該当する前記端末から入力された端末ID及び機器名
    が、対応保持されている端末ID及び機器名と一致した
    ことを以って、前記端末の正当性を認証させる手順と、 対応保持されている機器アドレスを取得させる手順と、 所定のリバースプロキシプログラムを起動させて、その
    取得された前記機器アドレス向けの代理アクセスが行わ
    れるよう、当該リバースプロキシプログラムに対し指示
    を与えさせる手順と、を順次実行させる、 ことを特徴とするイントラネットリモートアクセス処理
    プログラムを記録した記録媒体。
JP2001030156A 2001-02-06 2001-02-06 イントラネットリモートアクセス方法並びにイントラネットリモートアクセス処理プログラム及び該処理プログラムを記録した記録媒体 Expired - Fee Related JP3701206B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001030156A JP3701206B2 (ja) 2001-02-06 2001-02-06 イントラネットリモートアクセス方法並びにイントラネットリモートアクセス処理プログラム及び該処理プログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001030156A JP3701206B2 (ja) 2001-02-06 2001-02-06 イントラネットリモートアクセス方法並びにイントラネットリモートアクセス処理プログラム及び該処理プログラムを記録した記録媒体

Publications (2)

Publication Number Publication Date
JP2002232460A true JP2002232460A (ja) 2002-08-16
JP3701206B2 JP3701206B2 (ja) 2005-09-28

Family

ID=18894413

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001030156A Expired - Fee Related JP3701206B2 (ja) 2001-02-06 2001-02-06 イントラネットリモートアクセス方法並びにイントラネットリモートアクセス処理プログラム及び該処理プログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JP3701206B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100602629B1 (ko) 2003-04-29 2006-07-20 삼성전자주식회사 사설 무선 고속 데이터 시스템 및 이를 이용한 데이터서비스 방법
JP2010016685A (ja) * 2008-07-04 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> トンネル通信システムおよび制御装置
WO2013175539A1 (ja) * 2012-05-24 2013-11-28 富士通株式会社 ネットワークシステム、ノード、および通信方法。
CN113094719A (zh) * 2020-01-08 2021-07-09 钉钉控股(开曼)有限公司 访问控制方法、装置、设备
JP2022111684A (ja) * 2021-01-20 2022-08-01 Necプラットフォームズ株式会社 通信システム、ホームゲートウェイ装置、方法及びプログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100602629B1 (ko) 2003-04-29 2006-07-20 삼성전자주식회사 사설 무선 고속 데이터 시스템 및 이를 이용한 데이터서비스 방법
JP2010016685A (ja) * 2008-07-04 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> トンネル通信システムおよび制御装置
WO2013175539A1 (ja) * 2012-05-24 2013-11-28 富士通株式会社 ネットワークシステム、ノード、および通信方法。
CN113094719A (zh) * 2020-01-08 2021-07-09 钉钉控股(开曼)有限公司 访问控制方法、装置、设备
CN113094719B (zh) * 2020-01-08 2023-08-08 钉钉控股(开曼)有限公司 访问控制方法、装置、设备
JP2022111684A (ja) * 2021-01-20 2022-08-01 Necプラットフォームズ株式会社 通信システム、ホームゲートウェイ装置、方法及びプログラム
JP7338883B2 (ja) 2021-01-20 2023-09-05 Necプラットフォームズ株式会社 通信システム及び方法

Also Published As

Publication number Publication date
JP3701206B2 (ja) 2005-09-28

Similar Documents

Publication Publication Date Title
JP3605501B2 (ja) 通信システム、メッセージ処理方法及びコンピュータ・システム
JP4907895B2 (ja) プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム
JP4173866B2 (ja) 通信装置
US10567370B2 (en) Certificate authority
JP4265479B2 (ja) 通信システム
US20020144119A1 (en) Method and system for network single sign-on using a public key certificate and an associated attribute certificate
JPH11174956A (ja) 臨時署名認証の方法及びそのシステム
JP2004288169A (ja) ネットワーク接続システム
TW200828944A (en) Simplified management of authentication credientials for unattended applications
JP6609788B1 (ja) 情報通信機器、情報通信機器用認証プログラム及び認証方法
JP2004513420A (ja) レベル化された機密保護があるアクセス制御のための方法及び装置
JP2001313636A (ja) 認証システム、認証方法、認証装置及びその方法
US20050120211A1 (en) Server apparatus, client apparatus, object administration system, object administration method, computer program, and storage medium
JP4533935B2 (ja) ライセンス認証システム及び認証方法
JP2003244122A (ja) 情報処理システム、情報処理装置および方法、記録媒体、並びにプログラム
Sabadello et al. Introduction to did auth
JP5495194B2 (ja) アカウント発行システム、アカウントサーバ、サービスサーバおよびアカウント発行方法
CN113676478B (zh) 一种数据处理方法及相关设备
JPH10336172A (ja) 電子認証用公開鍵の管理方法
JP2003030157A (ja) 情報提供方法、情報提供装置、情報提供方法のプログラム及び情報提供方法のプログラムを記録した記録媒体
JP2020120173A (ja) 電子署名システム、証明書発行システム、証明書発行方法及びプログラム
JP3701206B2 (ja) イントラネットリモートアクセス方法並びにイントラネットリモートアクセス処理プログラム及び該処理プログラムを記録した記録媒体
US20050021469A1 (en) System and method for securing content copyright
WO2006033150A1 (ja) データ通信方法
JP2007060581A (ja) 情報管理システム及び方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050201

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050712

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080722

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090722

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090722

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100722

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100722

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110722

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees