JP2002330150A - Dynamic delivery device, method, program and recording medium of virtual private network(vpn) environment - Google Patents
Dynamic delivery device, method, program and recording medium of virtual private network(vpn) environmentInfo
- Publication number
- JP2002330150A JP2002330150A JP2001132047A JP2001132047A JP2002330150A JP 2002330150 A JP2002330150 A JP 2002330150A JP 2001132047 A JP2001132047 A JP 2001132047A JP 2001132047 A JP2001132047 A JP 2001132047A JP 2002330150 A JP2002330150 A JP 2002330150A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- virtual lan
- user
- space
- lan space
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明はVPN(Virtual Pri
vate Network)クライアント間で仮想的なLAN(Local
Area Network)空間を生成する装置に利用する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a VPN (Virtual Pri
vate Network) Virtual LAN (Local
(Area Network) Used for devices that generate space.
【0002】[0002]
【従来の技術】NSP(Network Service Provider)が提
供するVPNサービスには、大きく分けて「LAN間接
続VPN」と「リモートアクセスVPN」の二種類があ
る。LAN間接続VPNは、既存のLAN同士を互いに
接続先を固定してVPN接続する形態を指す。リモート
アクセスVPNは、VPNクライアントを被接続VPN
環境に対して動的にVPN接続する形態を指す。2. Description of the Related Art VPN services provided by an NSP (Network Service Provider) are roughly classified into two types, namely, "LAN connection VPN" and "remote access VPN". The LAN-to-LAN connection VPN refers to a form in which existing LANs are connected to each other with a fixed connection destination. The remote access VPN connects the VPN client to the connected VPN.
Refers to a form in which a VPN connection is made dynamically to the environment.
【0003】VPNクライアントは、VPN接続の発呼
の機能を備えたコンピュータ装置やLANを指す。被接
続VPN環境は、VPN接続の着呼を処理する機能を備
えたコンピュータ装置やLANを指す。[0003] A VPN client refers to a computer device or a LAN having a function of calling out a VPN connection. The connected VPN environment refers to a computer device or a LAN having a function of processing an incoming call of the VPN connection.
【0004】VPN接続の発呼の機能は、VPN接続の
開始要求を発する機能、および、VPN接続を確立する
ための機能を指す。VPN接続の着呼を処理する機能
は、VPN接続の開始要求を受付ける機能、および、V
PN接続を確立するための機能を指す。The function of calling a VPN connection refers to a function of issuing a request to start a VPN connection and a function of establishing a VPN connection. The function of processing the incoming call of the VPN connection includes a function of receiving a request to start a VPN connection, and a function of
Refers to a function for establishing a PN connection.
【0005】VPN接続の発呼の機能を備えたコンピュ
ータ装置の例として、VPN機能を備えたソフトウェア
をインストールしたパーソナル・コンピュータ装置が挙
げられる。VPN接続の発呼の機能を備えたLANの例
として、VPN機能を備えたルータを含んだLANが挙
げられる。[0005] As an example of a computer device having a function of calling out a VPN connection, a personal computer device in which software having a VPN function is installed is cited. As an example of a LAN having a function of calling out a VPN connection, a LAN including a router having a VPN function can be cited.
【0006】VPN接続の着呼を処理する機能を備えた
コンピュータ装置の例として、VPN機能を備えたルー
タが挙げられる。VPN接続の着呼を処理する機能を備
えたLANの例として、VPN機能を備えたルータを含
んだLANが挙げられる。[0006] As an example of a computer device having a function of processing an incoming call of a VPN connection, there is a router having a VPN function. An example of a LAN having a function of processing an incoming call of a VPN connection is a LAN including a router having a VPN function.
【0007】VPN機能を実現する技術の例として、P
PTP(Point to Point TunnelingProtocol)やIPse
c(Internet Protocol Security protocol)、MPLS
(Multi Protocol Label Switching)が挙げられる。As an example of a technique for realizing the VPN function, P
PTP (Point to Point Tunneling Protocol) or IPse
c (Internet Protocol Security protocol), MPLS
(Multi Protocol Label Switching).
【0008】VPNクライアントは、VPN接続の発呼
を行う際に接続先を変更することで、接続先となる被接
続VPN環境を切り替えることが可能である。[0008] The VPN client can switch the connected VPN environment as the connection destination by changing the connection destination when making a call for the VPN connection.
【0009】VPNクライアントは、各々のVPNクラ
イアントが同一の被接続VPN環境へVPN接続するこ
とで、VPNクライアント同士の通信が可能となる。The VPN clients can communicate with each other when each VPN client makes a VPN connection to the same connected VPN environment.
【0010】[0010]
【発明が解決しようとする課題】VPN接続の着呼を処
理する機能を備えていないVPNクライアント同士がV
PN接続をする際には、被接続VPN環境が既に存在し
ていることが前提となる。被接続VPN環境は、実在す
るLAN、もしくはVPN接続の着呼を処理する機能を
備えたコンピュータ装置が内部に生成した仮想的なLA
N空間(以降、仮想LAN空間)のいずれかになる。SUMMARY OF THE INVENTION VPN clients that do not have the function of processing incoming calls of a VPN connection
When making a PN connection, it is assumed that a connected VPN environment already exists. The connected VPN environment is a virtual LAN generated inside a real LAN or a computer device having a function of processing an incoming call of a VPN connection.
N space (hereinafter, virtual LAN space).
【0011】NSPは“任意のVPNクライアントをグ
ループのメンバとするVPNサービス”を提供するため
に、“VPN接続の着呼を処理する機能を備え、かつ内
部に仮想LAN空間を生成可能なコンピュータ装置”に
対して、グループ毎に仮想LAN空間をあらかじめ生成
しておくことが必要となる。NSPは、グループ毎に生
成された仮想LAN空間の各々に対して、VPN接続を
許可するVPNクライアントを対応付ける。[0011] The NSP is provided with a function of processing an incoming call of a VPN connection and providing a virtual LAN space therein in order to provide a "VPN service in which an arbitrary VPN client is a member of a group". It is necessary to create a virtual LAN space for each group in advance. The NSP associates each of the virtual LAN spaces created for each group with a VPN client that permits a VPN connection.
【0012】従来の技術では、NSPが提供可能な“V
PNクライアントのグループの上限数”は“VPN接続
の着呼を処理する機能を備えたコンピュータ装置に生成
可能な仮想LAN空間の上限数”によって制限されるた
め、大規模化は困難になる。In the prior art, the "V
Since the "upper limit number of PN client groups" is limited by the "upper limit number of virtual LAN spaces that can be created in a computer device having a function of processing an incoming call of a VPN connection", it is difficult to increase the scale.
【0013】本発明の目的は、NSPが提供可能な“V
PNクライアントのグループの上限数”を、“VPN接
続の着呼を処理する機能を備えたコンピュータ装置に生
成可能な仮想LAN空間の上限数”よりも大きくするこ
とが可能な技術を提供することにある。It is an object of the present invention to provide a “V
A technology capable of making the “upper limit number of PN client groups” larger than “the upper limit number of virtual LAN spaces that can be generated in a computer device having a function of processing an incoming call of a VPN connection”. is there.
【0014】[0014]
【課題を解決するための手段】本発明の第一の観点はV
PN環境の動的提供装置であって、本発明の特徴とする
ところは、VPNクライアントからのVPN接続の着呼
を処理する手段と、複数の前記VPNクライアントがグ
ループ毎に分類され同一グループに属する前記VPNク
ライアント相互間で通信が可能な仮想LAN空間を生成
する手段と、当該仮想LAN空間の状態を管理する手段
と、前記VPNクライアントの当該仮想LAN空間を生
成する権利を管理する手段と、前記VPNクライアント
の当該仮想LAN空間へのアクセス権を管理する手段と
を備えた被接続VPN装置と、前記VPNクライアント
と前記被接続VPN装置との間に構築されたVPN通信
路とを備えたところにある。SUMMARY OF THE INVENTION A first aspect of the present invention is that the V
A dynamic providing device for a PN environment, which is characterized by the present invention, includes a means for processing an incoming call of a VPN connection from a VPN client, and a plurality of the VPN clients being classified into groups and belonging to the same group. Means for generating a virtual LAN space capable of communicating between the VPN clients, means for managing the state of the virtual LAN space, means for managing the right of the VPN client to generate the virtual LAN space, A connected VPN device having means for managing a right of access of the VPN client to the virtual LAN space; and a VPN communication path established between the VPN client and the connected VPN device. is there.
【0015】前記VPN接続の着呼を処理する手段は、
前記VPNクライアントが発呼したVPN接続要求を着
呼するとVPN接続要求の接続先を調べるステップと、
VPN接続要求の接続先が既に生成済みの仮想LAN空
間の場合にはこの仮想LAN空間に対してVPN接続の
処理を行うステップと、VPN接続要求の接続先が未生
成の仮想LAN空間の場合にはVPN接続要求を発呼し
た前記VPNクライアントのユーザに対して前記仮想L
AN空間を生成する権利を管理する手段および前記仮想
LAN空間へのアクセス権を管理する手段を参照しユー
ザ認証および仮想LAN空間生成権限の有無の確認を行
うステップと、当該ユーザに対するユーザ認証が正しく
行われかつ当該ユーザが仮想LAN空間の生成権限を有
している場合には前記仮想LAN空間を生成する手段に
当該ユーザが要求する仮想LAN空間生成を指示し仮想
LAN空間が生成された後にこの仮想LAN空間に対し
て前記VPN接続の処理を行うステップと、当該ユーザ
に対するユーザ認証が正しく行われないかあるいは仮想
LAN空間の生成権限を有していないかのいずれかもし
くはその両方の場合にはVPN接続要求を拒否するステ
ップとを実行する手段を備え、前記仮想LAN空間を生
成する手段は、あらかじめ定義された削除すべき条件が
満たされたときには生成された仮想LAN空間を削除す
る手段を備えることが望ましい。The means for processing an incoming call of the VPN connection includes:
Checking the connection destination of the VPN connection request when the VPN client receives the called VPN connection request;
When the connection destination of the VPN connection request is a virtual LAN space that has already been generated, a step of performing VPN connection processing on this virtual LAN space; and when the connection destination of the VPN connection request is a virtual LAN space that has not been generated. Indicates the virtual L to the user of the VPN client that has issued the VPN connection request.
Referring to the means for managing the right to create the AN space and the means to manage the right to access the virtual LAN space to perform user authentication and confirmation of the presence or absence of the virtual LAN space creation authority; If the user has the right to create a virtual LAN space, the user is instructed to create a virtual LAN space by the means for creating the virtual LAN space, and the virtual LAN space is created after the virtual LAN space is created. Performing the VPN connection process for the virtual LAN space, and if the user authentication is not performed correctly for the user or if the user does not have the authority to create the virtual LAN space or both of them. Rejecting a VPN connection request. The means for generating the virtual LAN space comprises: It is desirable to provide a means for deleting the generated virtual LAN space when the beforehand defined to be deleted condition is satisfied.
【0016】前記削除すべき条件は、“各々ユーザから
の削除要求が発生したとき”あるいは“VPN接続して
いるVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含むことが望まし
い。The conditions to be deleted include conditions when "a deletion request is issued from each user", "when there is no VPN client connected to VPN", or "when a certain period of time has elapsed". Is desirable.
【0017】前記VPN接続の処理にはユーザ認証およ
び暗号鍵の交換の処理を含み、このVPN接続の処理が
正しく行われた場合には前記VPNクライアントと前記
被接続VPN装置との間に前記VPN通信路を構築する
手段を備えることが望ましい。The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, the VPN client is connected between the VPN client and the connected VPN device. It is desirable to have means for establishing a communication path.
【0018】これによりNSPは、被接続VPN装置が
VPNクライアントから未生成の仮想LAN空間への接
続要求を受付けた後に、被接続VPN装置に対して仮想
LAN空間を生成し、不必要になったら削除することに
よって、提供可能な“VPNクライアントのグループの
上限数”を“装置に生成可能な仮想LAN空間の上限
数”以上にすることができる。With this, the NSP generates a virtual LAN space for the connected VPN device after the connected VPN device receives a connection request from the VPN client to the virtual LAN space that has not been generated. By deleting, the “upper limit number of groups of VPN clients” that can be provided can be equal to or more than the “upper limit number of virtual LAN spaces that can be created in the device”.
【0019】本発明の第二の観点はVPN環境の動的提
供方法であって、本発明の特徴とするところは、VPN
クライアントが発呼したVPN接続要求を着呼するとV
PN接続要求の接続先を調べ、VPN接続要求の接続先
が既に生成済みの仮想LAN空間の場合にはこの仮想L
AN空間に対してVPN接続の処理を行い、VPN接続
要求の接続先が未生成の仮想LAN空間の場合にはVP
N接続要求を発呼した前記VPNクライアントのユーザ
に対してユーザ認証および仮想LAN空間生成権限の有
無の確認を行い、当該ユーザに対するユーザ認証が正し
く行われかつ当該ユーザが仮想LAN空間の生成権限を
有している場合には当該ユーザが要求する仮想LAN空
間を生成し仮想LAN空間が生成された後にこの仮想L
AN空間に対して前記VPN接続の処理を行い、当該ユ
ーザに対するユーザ認証が正しく行われないかあるいは
仮想LAN空間の生成権限を有していないかのいずれか
もしくはその両方の場合にはVPN接続要求を拒否し、
あらかじめ定義された削除すべき条件が満たされたとき
には生成された仮想LAN空間を削除するところにあ
る。A second aspect of the present invention is a method for dynamically providing a VPN environment.
When a client receives a VPN connection request that has been called, V
The connection destination of the PN connection request is checked, and if the connection destination of the VPN connection request is a virtual LAN space that has already been generated, this virtual L
A VPN connection process is performed on the AN space, and when the connection destination of the VPN connection request is a virtual LAN space that has not been generated, the VP
The user of the VPN client that has issued the N connection request is checked for user authentication and the presence or absence of the virtual LAN space creation authority, and the user authentication for the user is correctly performed and the user has the virtual LAN space creation authority. If it has, the virtual LAN space requested by the user is generated, and after the virtual LAN space is generated, this virtual L
The VPN connection processing is performed on the AN space, and if either the user authentication is not performed correctly for the user or the user does not have the authority to create the virtual LAN space or both, the VPN connection request is issued. Refuse,
When a predetermined condition to be deleted is satisfied, the generated virtual LAN space is to be deleted.
【0020】前記削除すべき条件は、“各々ユーザから
の削除要求が発生したとき”あるいは“VPN接続して
いるVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含むことが望まし
い。The condition to be deleted includes a condition of "when a deletion request is issued from each user", "when there is no VPN client connected to VPN", or "when a certain time has elapsed". Is desirable.
【0021】前記VPN接続の処理にはユーザ認証およ
び暗号鍵の交換の処理を含み、このVPN接続の処理が
正しく行われた場合には前記VPNクライアントと前記
被接続VPN装置との間に前記VPN通信路を構築する
ことが望ましい。The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is performed correctly, the VPN client is connected between the VPN client and the connected VPN device. It is desirable to build a communication channel.
【0022】本発明の第三の観点はプログラムであっ
て、本発明の特徴とするところは、情報処理装置にイン
ストールすることにより、その情報処理装置に、VPN
クライアントからのVPN接続の着呼を処理する機能
と、複数の前記VPNクライアントがグループ毎に分類
され同一グループに属する前記VPNクライアント相互
間で通信が可能な仮想LAN空間を生成する機能と、当
該仮想LAN空間の状態を管理する機能と、前記VPN
クライアントの当該仮想LAN空間を生成する権利を管
理する機能と、前記VPNクライアントの当該仮想LA
N空間へのアクセス権を管理する機能とを備えた被接続
VPN装置としての機能を実現させるところにある。A third aspect of the present invention is a program. A feature of the present invention is that a VPN is installed in an information processing apparatus so that the information processing apparatus has a VPN.
A function of processing an incoming call of a VPN connection from a client, a function of generating a virtual LAN space in which a plurality of the VPN clients are classified by group and capable of communicating between the VPN clients belonging to the same group, A function of managing the state of the LAN space;
A function of managing a right of the client to create the virtual LAN space, and a function of the virtual LA of the VPN client;
This is to realize a function as a connected VPN device having a function of managing an access right to the N space.
【0023】前記VPN接続の着呼を処理する機能は、
前記VPNクライアントが発呼したVPN接続要求を着
呼するとVPN接続要求の接続先を調べるステップと、
VPN接続要求の接続先が既に生成済みの仮想LAN空
間の場合にはこの仮想LAN空間に対してVPN接続の
処理を行うステップと、VPN接続要求の接続先が未生
成の仮想LAN空間の場合にはVPN接続要求を発呼し
た前記VPNクライアントのユーザに対して前記仮想L
AN空間を生成する権利を管理する機能および前記仮想
LAN空間へのアクセス権を管理する機能を参照しユー
ザ認証および仮想LAN空間生成権限の有無の確認を行
うステップと、当該ユーザに対するユーザ認証が正しく
行われかつ当該ユーザが仮想LAN空間の生成権限を有
している場合には前記仮想LAN空間を生成する機能に
当該ユーザが要求する仮想LAN空間生成を指示し仮想
LAN空間が生成された後にこの仮想LAN空間に対し
て前記VPN接続の処理を行うステップと、当該ユーザ
に対するユーザ認証が正しく行われないかあるいは仮想
LAN空間の生成権限を有していないかのいずれかもし
くはその両方の場合にはVPN接続要求を拒否するステ
ップとを実行する機能を備え、前記仮想LAN空間を生
成する機能は、あらかじめ定義された削除すべき条件が
満たされたときには生成された仮想LAN空間を削除す
る機能を備えて実現されることが望ましい。The function of processing the incoming call of the VPN connection is as follows.
Checking the connection destination of the VPN connection request when the VPN client receives the called VPN connection request;
When the connection destination of the VPN connection request is a virtual LAN space that has already been generated, a step of performing VPN connection processing on this virtual LAN space; and when the connection destination of the VPN connection request is a virtual LAN space that has not been generated. Indicates the virtual L to the user of the VPN client that has issued the VPN connection request.
A step of referring to a function for managing a right to create an AN space and a function to manage an access right to the virtual LAN space to confirm user authentication and the presence or absence of a virtual LAN space creation right; If the virtual LAN space is created and the user has the authority to create the virtual LAN space, the virtual LAN space creation function is instructed to create the virtual LAN space requested by the user, and the virtual LAN space is created after the virtual LAN space is created. Performing the VPN connection process for the virtual LAN space, and if the user authentication is not performed correctly for the user or if the user does not have the authority to create the virtual LAN space or both of them. And rejecting a VPN connection request. The function of generating the virtual LAN space includes: Desirable to be realized a function to remove the generated virtual LAN space when the beforehand defined to be deleted condition is satisfied.
【0024】前記削除すべき条件は、“各々ユーザから
の削除要求が発生したとき”あるいは“VPN接続して
いるVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含むことが望まし
い。The conditions to be deleted include conditions when "a deletion request is issued from each user", "when there is no VPN client connected to VPN", or "when a certain time has elapsed". Is desirable.
【0025】前記VPN接続の処理にはユーザ認証およ
び暗号鍵の交換の処理を含み、このVPN接続の処理が
正しく行われた場合には前記VPNクライアントと前記
被接続VPN装置との間に前記VPN通信路を構築する
機能を実現させることが望ましい。The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, the VPN client is connected between the VPN client and the connected VPN device. It is desirable to realize a function of constructing a communication path.
【0026】あるいは、本発明の第三の観点はプログラ
ムであって、本発明の特徴とするところは、情報処理装
置にインストールすることにより、その情報処理装置
に、VPNクライアントが発呼したVPN接続要求を着
呼するとVPN接続要求の接続先を調べ、VPN接続要
求の接続先が既に生成済みの仮想LAN空間の場合には
この仮想LAN空間に対してVPN接続の処理を行い、
VPN接続要求の接続先が未生成の仮想LAN空間の場
合にはVPN接続要求を発呼した前記VPNクライアン
トのユーザに対してユーザ認証および仮想LAN空間生
成権限の有無の確認を行い、当該ユーザに対するユーザ
認証が正しく行われかつ当該ユーザが仮想LAN空間の
生成権限を有している場合には当該ユーザが要求する仮
想LAN空間を生成し仮想LAN空間が生成された後に
この仮想LAN空間に対して前記VPN接続の処理を行
い、当該ユーザに対するユーザ認証が正しく行われない
かあるいは仮想LAN空間の生成権限を有していないか
のいずれかもしくはその両方の場合にはVPN接続要求
を拒否し、あらかじめ定義された削除すべき条件が満た
されたときには生成された仮想LAN空間を削除する手
順を実行させるところにある。Alternatively, a third aspect of the present invention is a program. A feature of the present invention is that a program installed on an information processing apparatus allows the information processing apparatus to connect to a VPN connection originated by a VPN client. When the request is received, the connection destination of the VPN connection request is checked. If the connection destination of the VPN connection request is a virtual LAN space that has already been generated, a VPN connection process is performed on this virtual LAN space.
If the connection destination of the VPN connection request is a virtual LAN space that has not been generated, the user of the VPN client that has issued the VPN connection request is authenticated for user and confirms whether or not the user has a virtual LAN space generation authority. If the user authentication is performed correctly and the user has the authority to create a virtual LAN space, the virtual LAN space requested by the user is created, and after the virtual LAN space is created, the virtual LAN space is created. The VPN connection processing is performed, and if either the user authentication is not performed correctly for the user or the user does not have the authority to create a virtual LAN space or both, the VPN connection request is rejected. When the defined condition to be deleted is satisfied, a procedure for deleting the generated virtual LAN space is executed. In the filtrate.
【0027】前記削除すべき条件は、“各々ユーザから
の削除要求が発生したとき”あるいは“VPN接続して
いるVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含むことが望まし
い。The condition to be deleted includes a condition of "when a deletion request is issued from each user", "when there is no VPN client connected to VPN", or "when a certain time has elapsed". Is desirable.
【0028】前記VPN接続の処理にはユーザ認証およ
び暗号鍵の交換の処理を含み、このVPN接続の処理が
正しく行われた場合には前記VPNクライアントと前記
被接続VPN装置との間に前記VPN通信路を構築する
手順を実行させることが望ましい。The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, the VPN client is connected between the VPN client and the connected VPN device. It is desirable to execute a procedure for establishing a communication path.
【0029】本発明の第四の観点は、本発明のプログラ
ムが記録された前記情報処理装置読み取り可能な記録媒
体である。According to a fourth aspect of the present invention, there is provided a recording medium readable by the information processing apparatus in which the program of the present invention is recorded.
【0030】[0030]
【発明の実施の形態】本発明実施例のVPN環境の動的
提供装置および方法およびプログラムおよび記録媒体に
ついて図1ないし図8を参照して説明する。図1は本発
明実施例のVPN環境の動的提供装置の全体構成図であ
る。図2は被接続VPN装置の処理手順を示すフローチ
ャートである。図3、図4および図5は仮想LAN空間
管理機構の処理手順を示すフローチャートである。図6
はVPN構成管理機構の処理手順を示すフローチャート
である。図7は仮想LAN空間生成権管理機構の処理手
順を示すフローチャートである。図8はVPNメンバ管
理機構の処理手順を示すフローチャートである。DESCRIPTION OF THE PREFERRED EMBODIMENTS An apparatus and method for dynamically providing a VPN environment, a program and a recording medium according to an embodiment of the present invention will be described with reference to FIGS. FIG. 1 is an overall configuration diagram of an apparatus for dynamically providing a VPN environment according to an embodiment of the present invention. FIG. 2 is a flowchart showing a processing procedure of the connected VPN device. FIGS. 3, 4 and 5 are flowcharts showing the processing procedure of the virtual LAN space management mechanism. FIG.
9 is a flowchart showing a processing procedure of the VPN configuration management mechanism. FIG. 7 is a flowchart showing the processing procedure of the virtual LAN space creation right management mechanism. FIG. 8 is a flowchart showing a processing procedure of the VPN member management mechanism.
【0031】本発明の第一の観点はVPN環境の動的提
供装置であって、本発明の特徴とするところは、図1に
示すように、VPNクライアント1〜4からのVPN接
続の着呼を処理する着呼機構41〜47と、VPNクラ
イアント1〜4がグループ毎に分類され同一グループに
属するVPNクライアント相互間で通信が可能な仮想L
AN空間51〜53を生成する仮想LAN空間管理機構
40と、当該仮想LAN空間51〜53の状態を管理す
るVPN構成管理機構61と、VPNクライアント1〜
4の当該仮想LAN空間51〜53を生成する権利を管
理する仮想LAN空間生成権管理機構62と、VPNク
ライアント1〜4の当該仮想LAN空間51〜53への
アクセス権を管理するVPNメンバ管理機構63とを備
えた被接続VPN装置30と、VPNクライアント1〜
4と被接続VPN装置30との間に構築されたVPN通
信路21〜24とを備えたところにある。なお、VPN
クライアント1〜4には発呼機構11〜14が備えられ
る。A first aspect of the present invention is a device for dynamically providing a VPN environment, and the feature of the present invention is that, as shown in FIG. And a virtual L which allows communication between the VPN clients 1-4 belonging to the same group where the VPN clients 1-4 belong to the same group.
A virtual LAN space management mechanism 40 for generating the AN spaces 51 to 53; a VPN configuration management mechanism 61 for managing the states of the virtual LAN spaces 51 to 53;
4, a virtual LAN space creation right management mechanism 62 that manages the right to create the virtual LAN spaces 51-53, and a VPN member management mechanism that manages the access rights of the VPN clients 1-4 to the virtual LAN spaces 51-53. 63 and the VPN clients 1 to 63
4 and VPN communication paths 21 to 24 constructed between the connected VPN device 30. Note that VPN
The clients 1-4 are provided with calling mechanisms 11-14.
【0032】図3、図4および図5に示すように、着呼
機構41〜47は、VPNクライアント1〜4が発呼し
たVPN接続要求を着呼するとVPN接続要求の接続先
を調べるステップと、VPN接続要求の接続先が既に生
成済みの仮想LAN空間の場合にはこの仮想LAN空間
に対してVPN接続の処理を行うステップと、VPN接
続要求の接続先が未生成の仮想LAN空間の場合にはV
PN接続要求を発呼したVPNクライアントi(iは1
〜4のいずれか)のユーザに対して仮想LAN空間生成
権管理機構62およびVPNメンバ管理機構63を参照
しユーザ認証および仮想LAN空間生成権限の有無の確
認を行うステップと、当該ユーザに対するユーザ認証が
正しく行われかつ当該ユーザが仮想LAN空間の生成権
限を有している場合には仮想LAN空間管理機構40に
当該ユーザが要求する仮想LAN空間生成を指示し仮想
LAN空間5x(xは1〜3のいずれか)が生成された
後にこの仮想LAN空間5xに対して前記VPN接続の
処理を行うステップと、当該ユーザに対するユーザ認証
が正しく行われないかあるいは仮想LAN空間の生成権
限を有していないかのいずれかもしくはその両方の場合
にはVPN接続要求を拒否するステップとを実行し、仮
想LAN空間管理機構40は、あらかじめ定義された削
除すべき条件が満たされたときには生成された仮想LA
N空間5xを削除する。As shown in FIGS. 3, 4 and 5, when the incoming call mechanism 41-47 receives a VPN connection request originated by the VPN clients 1-4, it checks the connection destination of the VPN connection request. Performing a VPN connection process on the virtual LAN space when the connection destination of the VPN connection request is an already generated virtual LAN space; and when the connection destination of the VPN connection request is an ungenerated virtual LAN space. Has V
VPN client i that has issued the PN connection request (i is 1
4) referring to the virtual LAN space creation right management mechanism 62 and the VPN member management mechanism 63 for user authentication and confirming the presence or absence of the virtual LAN space creation right for the user, and user authentication for the user. Is performed correctly and the user has the authority to create a virtual LAN space, the virtual LAN space management mechanism 40 is instructed to create a virtual LAN space requested by the user, and the virtual LAN space 5x (x is 1 to 5). 3), the VPN connection process is performed on the virtual LAN space 5x after the generation of the virtual LAN space 5x, and the user authentication for the user is not performed correctly or the user has authority to generate the virtual LAN space. Rejecting the VPN connection request if either or both of the virtual LAN space management Structure 40, a virtual LA that is generated when the condition to be deleted which is predefined is satisfied
The N space 5x is deleted.
【0033】前記削除すべき条件は、“各々ユーザから
の削除要求が発生したとき”あるいは“VPN接続して
いるVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含む。The conditions to be deleted include a condition "when a deletion request is issued from each user", "when there is no VPN client connected to VPN", or "when a certain time has elapsed".
【0034】前記VPN接続の処理にはユーザ認証およ
び暗号鍵の交換の処理を含み、このVPN接続の処理が
正しく行われた場合にはVPNクライアントiと被接続
VPN装置30との間にVPN通信路2iを構築する。The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, VPN communication between the VPN client i and the connected VPN device 30 is performed. The road 2i is constructed.
【0035】本発明の第二の観点はVPN環境の動的提
供方法であって、本発明の特徴とするところは、VPN
クライアント1〜4が発呼したVPN接続要求を着呼す
るとVPN接続要求の接続先を調べ、VPN接続要求の
接続先が既に生成済みの仮想LAN空間51〜53の場
合にはこの仮想LAN空間51〜53に対してVPN接
続の処理を行い、VPN接続要求の接続先が未生成の仮
想LAN空間の場合にはVPN接続要求を発呼したVP
Nクライアントiのユーザに対してユーザ認証および仮
想LAN空間生成権限の有無の確認を行い、当該ユーザ
に対するユーザ認証が正しく行われかつ当該ユーザが仮
想LAN空間の生成権限を有している場合には当該ユー
ザが要求する仮想LAN空間5xを生成し仮想LAN空
間5xが生成された後にこの仮想LAN空間5xに対し
て前記VPN接続の処理を行い、当該ユーザに対するユ
ーザ認証が正しく行われないかあるいは仮想LAN空間
の生成権限を有していないかのいずれかもしくはその両
方の場合にはVPN接続要求を拒否し、あらかじめ定義
された削除すべき条件が満たされたときには生成された
仮想LAN空間5xを削除するところにある。A second aspect of the present invention is a method for dynamically providing a VPN environment.
When the client 1 to 4 receives the called VPN connection request, the connection destination of the VPN connection request is checked. If the connection destination of the VPN connection request is the already generated virtual LAN spaces 51 to 53, the virtual LAN space 51 is used. When the connection destination of the VPN connection request is a virtual LAN space that has not been generated, the VP that issues the VPN connection request is executed.
The user of the N client i is checked for the user authentication and the presence or absence of the virtual LAN space creation authority. If the user authentication for the user is correctly performed and the user has the virtual LAN space creation authority, A virtual LAN space 5x requested by the user is generated, and after the virtual LAN space 5x is generated, the VPN connection process is performed on the virtual LAN space 5x, and user authentication for the user is not correctly performed or virtual If the user does not have the authority to create a LAN space or both of them, the VPN connection request is rejected, and if a predefined condition to be deleted is satisfied, the generated virtual LAN space 5x is deleted. Where you do it.
【0036】前記削除すべき条件は、“各々ユーザから
の削除要求が発生したとき”あるいは“VPN接続して
いるVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含む。The conditions to be deleted include conditions when "a deletion request is issued from each user", "when there is no VPN client connected to VPN", or "when a certain time has elapsed".
【0037】前記VPN接続の処理にはユーザ認証およ
び暗号鍵の交換の処理を含み、このVPN接続の処理が
正しく行われた場合にはVPNクライアントiと被接続
VPN装置30との間にVPN通信路2iを構築する。The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, VPN communication between the VPN client i and the connected VPN device 30 is performed. The road 2i is constructed.
【0038】本発明の第三の観点はプログラムであっ
て、本発明の特徴とするところは、情報処理装置として
のコンピュータ装置にインストールすることにより、そ
のコンピュータ装置に、VPNクライアント1〜4から
のVPN接続の着呼を処理する機能としての着呼機構4
1と、VPNクライアント1〜4がグループ毎に分類さ
れ同一グループに属するVPNクライアント相互間で通
信が可能な仮想LAN空間51〜53を生成する機能と
しての仮想LAN空間管理機構40と、当該仮想LAN
空間51〜53の状態を管理する機能としてのVPN構
成管理機構61と、VPNクライアント1〜4の当該仮
想LAN空間51〜53を生成する権利を管理する機能
としての仮想LAN空間生成権管理機構62と、VPN
クライアント1〜4の当該仮想LAN空間51〜53へ
のアクセス権を管理する機能としてのVPNメンバ管理
機構63とを備えた被接続VPN装置30としての機能
を実現させるところにある。A third aspect of the present invention is a program. A feature of the present invention is that the program is installed in a computer device as an information processing device so that the computer device receives the program from the VPN clients 1 to 4. Incoming call mechanism 4 as a function for processing incoming calls of VPN connection
1, a virtual LAN space management mechanism 40 as a function of generating virtual LAN spaces 51 to 53 in which the VPN clients 1 to 4 are classified into groups and which can communicate among the VPN clients belonging to the same group;
A VPN configuration management mechanism 61 as a function of managing the state of the spaces 51 to 53, and a virtual LAN space creation right management mechanism 62 as a function of managing the right of the VPN clients 1 to 4 to create the virtual LAN spaces 51 to 53. And VPN
This is to realize a function as a connected VPN device 30 including a VPN member management mechanism 63 as a function of managing access rights of the clients 1 to 4 to the virtual LAN spaces 51 to 53.
【0039】着呼機構41は、VPNクライアント1〜
4が発呼したVPN接続要求を着呼するとVPN接続要
求の接続先を調べるステップと、VPN接続要求の接続
先が既に生成済みの仮想LAN空間の場合にはこの仮想
LAN空間に対してVPN接続の処理を行うステップ
と、VPN接続要求の接続先が未生成の仮想LAN空間
の場合にはVPN接続要求を発呼したVPNクライアン
トiのユーザに対して仮想LAN空間生成権管理機構6
2およびVPNメンバ管理機構63を参照しユーザ認証
および仮想LAN空間生成権限の有無の確認を行うステ
ップと、当該ユーザに対するユーザ認証が正しく行われ
かつ当該ユーザが仮想LAN空間の生成権限を有してい
る場合には仮想LAN空間管理機構40に当該ユーザが
要求する仮想LAN空間生成を指示し仮想LAN空間5
xが生成された後にこの仮想LAN空間5xに対して前
記VPN接続の処理を行うステップと、当該ユーザに対
するユーザ認証が正しく行われないかあるいは仮想LA
N空間の生成権限を有していないかのいずれかもしくは
その両方の場合にはVPN接続要求を拒否するステップ
とを実行する機能を備え、仮想LAN空間管理機構40
は、あらかじめ定義された削除すべき条件が満たされた
ときには生成された仮想LAN空間を削除する機能を備
えて実現される。The call receiving mechanism 41 includes VPN clients 1 to
(4) When the called VPN connection request is received, a step of checking the connection destination of the VPN connection request is performed. If the connection destination of the VPN connection request is a virtual LAN space that has already been generated, a VPN connection is made to this virtual LAN space. And if the connection destination of the VPN connection request is an ungenerated virtual LAN space, the virtual LAN space creation right management mechanism 6 is provided to the user of the VPN client i that has issued the VPN connection request.
2 and referring to the VPN member management mechanism 63 to confirm user authentication and the presence or absence of the virtual LAN space creation authority, and that the user authentication for the user is correctly performed and the user has the virtual LAN space creation authority. If there is, the virtual LAN space management mechanism 40 is instructed to generate a virtual LAN space requested by the user, and the virtual LAN space 5
x is generated, and the VPN connection process is performed on the virtual LAN space 5x. If the user authentication is not correctly performed for the user or the virtual LA
And / or rejecting the VPN connection request if the user does not have the authority to create the N space.
Is implemented with a function of deleting the generated virtual LAN space when a predefined condition to be deleted is satisfied.
【0040】前記削除すべき条件は、“各々ユーザから
の削除要求が発生したとき”あるいは“VPN接続して
いるVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含む。The conditions to be deleted include a condition "when a deletion request is issued from each user", "when there is no VPN client connected to the VPN", or "when a certain time has elapsed".
【0041】前記VPN接続の処理にはユーザ認証およ
び暗号鍵の交換の処理を含み、このVPN接続の処理が
正しく行われた場合にはVPNクライアントiと被接続
VPN装置30との間にVPN通信路2iを構築する機
能を実現させる。The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, the VPN communication between the VPN client i and the connected VPN device 30 is performed. The function of constructing the road 2i is realized.
【0042】あるいは、本発明の第三の観点はプログラ
ムであって、本発明の特徴とするところは、情報処理装
置としてのコンピュータ装置にインストールすることに
より、そのコンピュータ装置に、VPNクライアント1
〜4が発呼したVPN接続要求を着呼するとVPN接続
要求の接続先を調べ、VPN接続要求の接続先が既に生
成済みの仮想LAN空間の場合にはこの仮想LAN空間
に対してVPN接続の処理を行い、VPN接続要求の接
続先が未生成の仮想LAN空間の場合にはVPN接続要
求を発呼したVPNクライアントiのユーザに対してユ
ーザ認証および仮想LAN空間生成権限の有無の確認を
行い、当該ユーザに対するユーザ認証が正しく行われか
つ当該ユーザが仮想LAN空間の生成権限を有している
場合には当該ユーザが要求する仮想LAN空間5xを生
成し仮想LAN空間5xが生成された後にこの仮想LA
N空間5xに対して前記VPN接続の処理を行い、当該
ユーザに対するユーザ認証が正しく行われないかあるい
は仮想LAN空間の生成権限を有していないかのいずれ
かもしくはその両方の場合にはVPN接続要求を拒否
し、あらかじめ定義された削除すべき条件が満たされた
ときには生成された仮想LAN空間5xを削除する手順
を実行させるところにある。Alternatively, a third aspect of the present invention is a program. A feature of the present invention resides in that a VPN client 1 is installed in a computer as an information processing apparatus so as to be installed in the computer.
When the connection destination of the VPN connection request is a virtual LAN space that has already been generated, the connection destination of the VPN connection request is checked when the VPN connection request originated by any of .about.4 is received. If the connection destination of the VPN connection request is a virtual LAN space that has not been generated, the user of the VPN client i that has issued the VPN connection request is authenticated to confirm the user authentication and the presence or absence of the virtual LAN space generation authority. If the user authentication for the user is performed correctly and the user has the authority to create a virtual LAN space, the virtual LAN space 5x requested by the user is created, and the virtual LAN space 5x is created after the virtual LAN space 5x is created. Virtual LA
The VPN connection processing is performed on the N space 5x, and if either the user authentication is not performed correctly for the user or the user does not have the authority to create the virtual LAN space or both, the VPN connection is performed. The procedure is to reject the request and execute a procedure for deleting the generated virtual LAN space 5x when a predefined condition for deletion is satisfied.
【0043】前記削除すべき条件は、“各々ユーザから
の削除要求が発生したとき”あるいは“VPN接続して
いるVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含む。The conditions to be deleted include conditions when "a deletion request is issued from each user", "when there is no VPN client connected to VPN", or "when a certain time has elapsed".
【0044】前記VPN接続の処理にはユーザ認証およ
び暗号鍵の交換の処理を含み、このVPN接続の処理が
正しく行われた場合にはVPNクライアントiと被接続
VPN装置30との間にVPN通信路2iを構築する手
順を実行させる。The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, VPN communication between the VPN client i and the connected VPN device 30 is performed. The procedure for constructing the road 2i is executed.
【0045】本発明の第四の観点は、本発明のプログラ
ムが記録された前記コンピュータ装置読み取り可能な記
録媒体である。本発明の記録媒体によりコンピュータ装
置に本発明のプログラムをインストールすることによ
り、このコンピュータ装置を本発明のVPN環境の動的
提供装置に相応する装置とし、このコンピュータ装置に
本発明のVPN環境の動的提供方法を実行させることが
できる。なお、コンピュータ装置への本発明のプログラ
ムのインストールは、ネットワークを介して本発明のプ
ログラムを保持するサーバから直接インストールするこ
ともできる。A fourth aspect of the present invention is a computer-readable recording medium on which the program of the present invention is recorded. By installing the program of the present invention in a computer device using the recording medium of the present invention, the computer device is made to be a device corresponding to the device for dynamically providing a VPN environment of the present invention, and the computer device is installed in the computer device of the present invention. The target providing method can be executed. Note that the program of the present invention can be installed in a computer device directly from a server holding the program of the present invention via a network.
【0046】以下、本発明の実施の一形態を説明する。Hereinafter, an embodiment of the present invention will be described.
【0047】図1において、符号30は被接続VPN装
置、符号40は仮想LAN空間管理機構、符号41〜4
7は被接続VPN装置の着呼機構、符号51〜53は仮
想LAN空間、符号61はVPN構成管理機構、符号6
2は仮想LAN空間生成権管理機構、符号63はVPN
メンバ管理機構、符号1〜4はVPNクライアント、符
号11〜14はVPNクライアントの発呼機構、符号2
1〜24はVPN通信路である。In FIG. 1, reference numeral 30 denotes a connected VPN device, reference numeral 40 denotes a virtual LAN space management mechanism, and reference numerals 41 to 4
7 is a call receiving mechanism of the connected VPN device, 51 to 53 are virtual LAN spaces, 61 is a VPN configuration management mechanism, and 6 is
2 is a virtual LAN space creation right management mechanism, and 63 is a VPN
Member management mechanism, reference numerals 1 to 4 are VPN clients, reference numerals 11 to 14 are VPN client calling mechanisms, reference numeral 2
1 to 24 are VPN communication paths.
【0048】仮想LAN空間管理機構40は、着呼機構
41と仮想LAN空間51とを対応付けることで、着呼
機構41からVPN通信路21、発呼機構11と接続さ
れるVPNクライアント1を仮想LAN空間51のメン
バとする。着呼機構41と仮想LAN空間51との対応
付け、および、複数の仮想LAN空間同士のネットワー
ク的な分離は、パケットフィルタリングやラベルスイッ
チング等によって実現する。The virtual LAN space management mechanism 40 associates the incoming call mechanism 41 with the virtual LAN space 51 so that the VPN client 1 connected to the VPN communication path 21 and the calling mechanism 11 from the incoming call mechanism 41 can be connected to the virtual LAN. It is a member of the space 51. The association between the incoming call mechanism 41 and the virtual LAN space 51 and the separation of the plurality of virtual LAN spaces from each other in a network are realized by packet filtering, label switching, and the like.
【0049】VPN構成管理機構61は、VPN構成情
報と、その情報管理機構から構成される。VPN構成情
報は、対応する仮想LAN空間の識別子、仮想LAN空
間を生成したユーザの識別子、仮想LAN空間の削除条
件等の項目からなる。仮想LAN空間の削除条件の例と
して、ユーザからの削除要求が発生したとき、VPN接
続しているVPNクライアントがなくなったとき、一定
時間が経過したとき等が挙げられる。The VPN configuration management mechanism 61 is composed of VPN configuration information and its information management mechanism. The VPN configuration information includes items such as the identifier of the corresponding virtual LAN space, the identifier of the user who created the virtual LAN space, and the conditions for deleting the virtual LAN space. Examples of virtual LAN space deletion conditions include when a deletion request is issued from a user, when there are no more VPN clients connected to the VPN, or when a certain time has elapsed.
【0050】仮想LAN空間生成権管理機構62は、仮
想LAN空間生成権情報と、その情報管理機構から構成
される。仮想LAN空間生成権情報は、仮想LAN空間
の生成を許可するユーザの識別子、各ユーザに対する認
証情報等の項目からなる。The virtual LAN space creation right management mechanism 62 includes virtual LAN space creation right information and its information management mechanism. The virtual LAN space creation right information includes items such as an identifier of a user who is permitted to create a virtual LAN space and authentication information for each user.
【0051】VPNメンバ管理機構63は、VPNメン
バ情報と、その情報管理機構から構成される。VPNメ
ンバ情報は、仮想LAN空間の識別子、各仮想LAN空
間に対して接続を許可するユーザの識別子、各ユーザに
与えられる権限の種類等の項目からなる。各ユーザに与
えられる権限の種類の例として、仮想LANを削除する
権限、VPNメンバ情報を編集する権限等が挙げられ
る。The VPN member management mechanism 63 comprises VPN member information and its information management mechanism. The VPN member information includes items such as an identifier of a virtual LAN space, an identifier of a user who is permitted to connect to each virtual LAN space, and a type of authority given to each user. Examples of the type of authority given to each user include authority to delete a virtual LAN, authority to edit VPN member information, and the like.
【0052】図2は、被接続VPN装置30の処理手順
を示している。被接続VPN装置30は、被接続VPN
装置30の外部から、もしくは着呼機構41〜47を経
由したVPNの内部から各種要求をユーザから受付け、
その要求に応じた処理を開始する。FIG. 2 shows a processing procedure of the connected VPN device 30. The connected VPN device 30 is a connected VPN.
Various requests are received from the user from outside the device 30 or from inside the VPN via the call receiving mechanisms 41 to 47,
The processing according to the request is started.
【0053】図3、図4および図5は、仮想LAN空間
管理機構40の処理手順を示している。仮想LAN空間
管理機構40は、まず仮想LAN空間管理機構40に対
する要求を受付け、その要求に応じた処理を開始する。FIGS. 3, 4 and 5 show the processing procedure of the virtual LAN space management mechanism 40. The virtual LAN space management mechanism 40 first receives a request for the virtual LAN space management mechanism 40 and starts processing according to the request.
【0054】仮想LAN空間管理機構40に対する要求
がVPN接続要求の場合には、ユーザ認証を行い、ユー
ザ認証の結果が正しくなければVPN接続要求を拒否す
る。ユーザ認証の結果が正しければ、仮想LAN空間管
理機構40は要求された被接続VPN環境に対応する仮
想LAN空間(5xとする)が既に生成されているかを
調べる。If the request to the virtual LAN space management mechanism 40 is a VPN connection request, user authentication is performed, and if the result of the user authentication is not correct, the VPN connection request is rejected. If the result of the user authentication is correct, the virtual LAN space management mechanism 40 checks whether a virtual LAN space (5x) corresponding to the requested connected VPN environment has already been created.
【0055】仮想LAN空間5xが生成済みである場合
には、VPN接続要求を発したユーザが仮想LAN空間
へ接続する権限を有しているかを調べる。VPN接続要
求を発したユーザが仮想LAN空間へ接続する権限を有
していない場合には、VPN接続要求を拒否する。VP
N接続要求を発したユーザが仮想LAN空間へ接続する
権限を有している場合には、仮想LAN空間への接続処
理を行う。If the virtual LAN space 5x has been created, it is checked whether the user who has issued the VPN connection request has the authority to connect to the virtual LAN space. If the user who has issued the VPN connection request does not have authority to connect to the virtual LAN space, the VPN connection request is rejected. VP
If the user who has issued the N connection request has the authority to connect to the virtual LAN space, a connection process to the virtual LAN space is performed.
【0056】仮想LAN空間5xが未生成の場合には、
VPN接続要求を発したユーザが仮想LAN空間を生成
する権限を有しているかを調べる。VPN接続要求を発
したユーザが仮想LAN空間を生成する権限を有してい
ない場合には、VPN接続要求を拒否する。VPN接続
要求を発したユーザが仮想LAN空間を生成する権限を
有している場合には、仮想LAN空間の生成、VPN構
成情報のVPN構成管理機構61への登録、および生成
した仮想LAN空間への接続処理を行う。When the virtual LAN space 5x has not been created,
It is checked whether the user who has issued the VPN connection request has authority to create a virtual LAN space. If the user who has issued the VPN connection request does not have authority to create a virtual LAN space, the VPN connection request is rejected. If the user who has issued the VPN connection request has the authority to create a virtual LAN space, the virtual LAN space is created, the VPN configuration information is registered in the VPN configuration management mechanism 61, and the created virtual LAN space is created. Perform connection processing.
【0057】この際VPN構成管理機構61へ登録され
るVPN構成情報の内容は、仮想LAN空間の識別子、
VPN接続要求を発したユーザのユーザ識別子に加え、
仮想LAN空間の削除条件の初期値として“接続ユーザ
が0になったら削除”である。ただし、仮想LAN空間
を生成する時点において、既に生成されている仮想LA
N空間の数が仮想LAN空間管理機構40の上限に達し
ている場合にはVPN接続要求を拒否する。At this time, the contents of the VPN configuration information registered in the VPN configuration management mechanism 61 include an identifier of the virtual LAN space,
In addition to the user identifier of the user who issued the VPN connection request,
The initial value of the virtual LAN space deletion condition is “delete when the number of connected users becomes 0”. However, when the virtual LAN space is generated, the already generated virtual LA
If the number of N spaces has reached the upper limit of the virtual LAN space management mechanism 40, the VPN connection request is rejected.
【0058】仮想LAN空間が生成済みの場合には、未
生成の場合に限らず、仮想LAN空間への接続処理は、
ユーザの仮想LAN空間への接続情報をVPNメンバ管
理機構63へ登録する処理も含む。When the virtual LAN space has been created, the connection processing to the virtual LAN space is not limited to the case where the virtual LAN space has not been created.
It also includes a process of registering the connection information of the user to the virtual LAN space in the VPN member management mechanism 63.
【0059】仮想LAN空間管理機構40に対する要求
がVPN切断要求の場合には、仮想LAN空間管理機構
40は、VPN切断要求を発したユーザを、切断要求さ
れた被接続VPN環境に対応する仮想LAN空間5xか
ら切断し、ユーザの仮想LAN空間への接続情報をVP
Nメンバ管理機構63から削除する。次に仮想LAN空
間管理機構40は、仮想LAN空間5xに接続している
ユーザが存在するかを調べる。接続しているユーザが存
在しない場合には、VPN構成管理機構61から仮想L
AN空間5xの削除条件を調べ、接続ユーザが0になっ
たら削除することが記述されていれば仮想LAN空間5
xを削除し、VPN構成管理機構61からVPN構成情
報を削除する。When the request to the virtual LAN space management mechanism 40 is a VPN disconnection request, the virtual LAN space management mechanism 40 sends the user who has issued the VPN disconnection request a virtual LAN corresponding to the connected VPN environment requested to be disconnected. Disconnect from the space 5x and connect the user to the virtual LAN
It is deleted from the N member management mechanism 63. Next, the virtual LAN space management mechanism 40 checks whether there is a user connected to the virtual LAN space 5x. When there is no connected user, the virtual L
The deletion condition of the AN space 5x is checked, and if it is described that deletion is to be performed when the connected user becomes 0, the virtual LAN space 5
x is deleted, and VPN configuration information is deleted from the VPN configuration management mechanism 61.
【0060】仮想LAN空間管理機構40に対する要求
が仮想LAN空間削除要求の場合には、ユーザ認証を行
い、ユーザ認証の結果が正しくなければ仮想LAN空間
削除要求を拒否する。ユーザ認証の結果が正しければ、
仮想LAN空間管理機構40は、仮想LAN空間削除要
求を発したユーザが仮想LAN空間5xを削除する権限
を有しているかを調べる。仮想LAN空間削除要求を発
したユーザが仮想LAN空間5xを削除する権限を有し
ている場合には、仮想LAN空間管理機構40は、仮想
LAN空間5xに接続しているユーザが存在するかを調
べる。接続しているユーザが存在しない場合には仮想L
AN空間5xを削除し、VPN構成管理機構61からV
PN構成情報を削除する。接続しているユーザが存在す
る場合には、VPN構成管理機構61から仮想LAN空
間5xの削除条件を調べ、仮想LAN空間削除要求を受
け付けたら強制的に削除することが記述されていれば、
仮想LAN空間5xを削除し、VPN構成管理機構61
からVPN構成情報を削除する。If the request to the virtual LAN space management mechanism 40 is a virtual LAN space deletion request, user authentication is performed. If the result of the user authentication is not correct, the virtual LAN space deletion request is rejected. If the result of user authentication is correct,
The virtual LAN space management mechanism 40 checks whether the user who has issued the virtual LAN space deletion request has the authority to delete the virtual LAN space 5x. If the user who has issued the virtual LAN space deletion request has the authority to delete the virtual LAN space 5x, the virtual LAN space management mechanism 40 determines whether there is a user connected to the virtual LAN space 5x. Find out. If there is no connected user, virtual L
The AN space 5x is deleted, and the VPN configuration management mechanism 61
Delete the PN configuration information. When there is a connected user, the deletion condition of the virtual LAN space 5x is checked from the VPN configuration management mechanism 61, and if it is described that the virtual LAN space deletion request is forcibly deleted when it is received,
The virtual LAN space 5x is deleted and the VPN configuration management mechanism 61
From the VPN configuration information.
【0061】図6は、VPN構成管理機構61の処理手
順を示している。VPN構成管理機構61は、まずVP
N構成管理機構61に対するユーザからの要求がある
と、ユーザ認証を行い、ユーザ認証の結果が正しくなけ
れば要求を拒否する。ユーザ認証の結果が正しければ、
その要求に応じた処理を開始する。FIG. 6 shows a processing procedure of the VPN configuration management mechanism 61. First, the VPN configuration management mechanism 61
When there is a request from the user to the N configuration management mechanism 61, user authentication is performed, and if the result of the user authentication is not correct, the request is rejected. If the result of user authentication is correct,
The processing according to the request is started.
【0062】VPN構成管理機構61に対する要求が仮
想LAN空間削除条件変更要求の場合には、VPN構成
管理機構61は要求されたVPN構成情報の、仮想LA
N区間の削除条件の変更を行う。If the request to the VPN configuration management mechanism 61 is a virtual LAN space deletion condition change request, the VPN configuration management mechanism 61 transmits the virtual LA space of the requested VPN configuration information.
The deletion condition of the N section is changed.
【0063】VPN構成管理機構61に対する要求がV
PN構成情報削除要求の場合には、VPN構成管理機構
61は要求されたVPN構成情報を削除する。VPN構
成管理機構61に対する要求がVPN構成情報登録要求
の場合には、VPN構成管理機構61は要求を発したユ
ーザの識別子と、新たに生成された仮想LAN空間の識
別子の情報をVPN構成情報として登録する。When the request to the VPN configuration management mechanism 61 is V
In the case of a PN configuration information deletion request, the VPN configuration management mechanism 61 deletes the requested VPN configuration information. When the request to the VPN configuration management mechanism 61 is a VPN configuration information registration request, the VPN configuration management mechanism 61 uses the identifier of the user who issued the request and the information of the newly generated virtual LAN space identifier as VPN configuration information. register.
【0064】図7は、仮想LAN空間生成権管理機構6
2の処理手順を示している。仮想LAN空間生成権管理
機構62は、まず仮想LAN空間生成権管理機構62に
対する要求を受付け、ユーザ認証を行い、ユーザ認証の
結果が正しくなければ仮想LAN空間生成権の変更要求
を拒否する。ユーザ認証の結果が正しければ、要求を発
したユーザが仮想LAN空間生成権を変更する権限を有
しているかを調べる。ここで、仮想LAN空間生成権の
変更とは、あるユーザへ仮想LAN空間生成権を与える
こと、および、あるユーザから仮想LAN空間生成権を
奪うことを指す。要求を発したユーザが仮想LAN空間
生成権を変更する権限を有している場合には仮想LAN
空間生成権の変更処理を行い、要求を発したユーザが仮
想LAN空間生成権を変更する権限を有していない場合
には要求を拒否する。FIG. 7 shows a virtual LAN space creation right management mechanism 6.
2 shows a processing procedure. First, the virtual LAN space creation right management mechanism 62 receives a request to the virtual LAN space creation right management mechanism 62, performs user authentication, and rejects the virtual LAN space creation right change request if the result of the user authentication is incorrect. If the result of the user authentication is correct, it is checked whether the requesting user has the right to change the virtual LAN space creation right. Here, the change of the virtual LAN space creation right refers to giving the virtual LAN space creation right to a certain user and depriving a certain user of the virtual LAN space creation right. If the requesting user has the right to change the virtual LAN space creation right, the virtual LAN
The process of changing the space creation right is performed, and if the requesting user does not have the right to change the virtual LAN space creation right, the request is rejected.
【0065】図8は、VPNメンバ管理機構63の処理
手順を示している。VPNメンバ管理機構63は、まず
VPNメンバ管理機構63に対する要求を受付け、ユー
ザ認証を行い、ユーザ認証の結果が正しくなければVP
Nメンバ情報の変更要求を拒否する。ユーザ認証の結果
が正しければ、要求を発したユーザがVPNメンバ情報
を変更する権限を有しているかを調べる。ここで、VP
Nメンバ情報の変更とは、各仮想LAN空間に対して接
続を許可するメンバリストの変更、あるユーザに対して
VPNメンバ情報を変更する権限を与えること、およ
び、あるユーザからVPNメンバ情報を変更する権限を
奪うことを指す。要求を発したユーザがVPNメンバ情
報を変更する権限を有している場合にはVPNメンバ情
報の変更処理を行い、要求を発したユーザがVPNメン
バ情報を変更する権限を有していない場合には要求を拒
否する。FIG. 8 shows a processing procedure of the VPN member management mechanism 63. The VPN member management mechanism 63 first receives a request to the VPN member management mechanism 63, performs user authentication, and if the result of the user authentication is not correct, the VP
The request for changing the N member information is rejected. If the result of the user authentication is correct, it is checked whether the requesting user has the authority to change the VPN member information. Where VP
Changing the N member information includes changing the member list that permits connection to each virtual LAN space, giving a certain user the authority to change the VPN member information, and changing the VPN member information from a certain user. To deprive you of the authority to do so. If the requesting user has the authority to change the VPN member information, it performs the process of changing the VPN member information, and if the requesting user does not have the authority to change the VPN member information. Rejects the request.
【0066】[0066]
【発明の効果】以上説明したように、本発明によれば、
NSPは被接続VPN装置に対して、仮想LAN空間を
必要に応じて生成し、不必要になったら削除する手段を
加えることにより、提供可能な“VPNクライアントの
グループの上限数”を“装置に生成可能な仮想LAN空
間の上限数”以上にすることが可能になる。これによ
り、NSPは同一の被接続VPN装置に登録可能な“V
PNクライアントのグループの上限数”を大規模化する
ことができる。As described above, according to the present invention,
The NSP generates a virtual LAN space as needed for the connected VPN device and deletes the virtual LAN space when it is no longer necessary. The number of virtual LAN spaces that can be created can be equal to or greater than the upper limit number. As a result, the NSP is able to register “V
The maximum number of PN client groups "can be increased.
【図1】本発明実施例のVPN環境の動的提供装置の全
体構成図。FIG. 1 is an overall configuration diagram of an apparatus for dynamically providing a VPN environment according to an embodiment of the present invention.
【図2】本発明実施例の被接続VPN装置の処理手順を
示すフローチャート。FIG. 2 is a flowchart illustrating a processing procedure of a connected VPN device according to the embodiment of the present invention.
【図3】本発明実施例の仮想LAN空間管理機構の処理
手順を示すフローチャート。FIG. 3 is a flowchart showing a processing procedure of a virtual LAN space management mechanism according to the embodiment of the present invention.
【図4】本発明実施例の仮想LAN空間管理機構の処理
手順を示すフローチャート。FIG. 4 is a flowchart showing a processing procedure of a virtual LAN space management mechanism according to the embodiment of the present invention.
【図5】本発明実施例の仮想LAN空間管理機構の処理
手順を示すフローチャート。FIG. 5 is a flowchart showing a processing procedure of a virtual LAN space management mechanism according to the embodiment of the present invention.
【図6】本発明実施例のVPN構成管理機構の処理手順
を示すフローチャート。FIG. 6 is a flowchart showing a processing procedure of the VPN configuration management mechanism according to the embodiment of the present invention.
【図7】本発明実施例の仮想LAN空間生成権管理機構
の処理手順を示すフローチャート。FIG. 7 is a flowchart showing a processing procedure of a virtual LAN space creation right management mechanism according to the embodiment of the present invention.
【図8】本発明実施例のVPNメンバ管理機構の処理手
順を示すフローチャート。FIG. 8 is a flowchart showing a processing procedure of the VPN member management mechanism according to the embodiment of the present invention.
1〜4 VPNクライアント 11〜14 発呼機構 21〜24 VPN通信路 30 被接続VPN装置 40 仮想LAN空間管理機構 41〜47 着呼機構 51〜53 仮想LAN空間 61 VPN構成管理機構 62 仮想LAN空間生成権管理機構 63 VPNメンバ管理機構 1-4 VPN client 11-14 Calling mechanism 21-24 VPN communication path 30 Connected VPN device 40 Virtual LAN space management mechanism 41-47 Calling mechanism 51-53 Virtual LAN space 61 VPN configuration management mechanism 62 Virtual LAN space generation Rights management mechanism 63 VPN member management mechanism
フロントページの続き (72)発明者 岡田 浩一 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5J104 AA07 AA16 EA15 KA01 NA02 PA07 5K033 AA09 CB01 DA01 DA05 DB12 DB19 EC01 EC03 Continuing from the front page (72) Inventor Koichi Okada 2-3-1 Otemachi, Chiyoda-ku, Tokyo F-term in Nippon Telegraph and Telephone Corporation (reference) 5J104 AA07 AA16 EA15 KA01 NA02 PA07 5K033 AA09 CB01 DA01 DA05 DB12 DB19 EC01 EC03
Claims (15)
イアントからのVPN接続の着呼を処理する手段と、 複数の前記VPNクライアントがグループ毎に分類され
同一グループに属する前記VPNクライアント相互間で
通信が可能な仮想LAN(Local Area Network)空間を生
成する手段と、 当該仮想LAN空間の状態を管理する手段と、 前記VPNクライアントの当該仮想LAN空間を生成す
る権利を管理する手段と、 前記VPNクライアントの当該仮想LAN空間へのアク
セス権を管理する手段とを備えた被接続VPN装置と、 前記VPNクライアントと前記被接続VPN装置との間
に構築されたVPN通信路とを備えたことを特徴とする
VPN環境の動的提供装置。1. A means for processing an incoming call of a VPN connection from a VPN (Virtual Private Network) client, and a plurality of the VPN clients are classified into groups, and communication is possible between the VPN clients belonging to the same group. Means for generating a virtual LAN (Local Area Network) space; means for managing the state of the virtual LAN space; means for managing the right of the VPN client to generate the virtual LAN space; A VPN environment, comprising: a connected VPN device having means for managing access rights to a LAN space; and a VPN communication path established between the VPN client and the connected VPN device. Dynamic offer device.
は、 前記VPNクライアントが発呼したVPN接続要求を着
呼するとVPN接続要求の接続先を調べるステップと、 VPN接続要求の接続先が既に生成済みの仮想LAN空
間の場合にはこの仮想LAN空間に対してVPN接続の
処理を行うステップと、 VPN接続要求の接続先が未生成の仮想LAN空間の場
合にはVPN接続要求を発呼した前記VPNクライアン
トのユーザに対して前記仮想LAN空間を生成する権利
を管理する手段および前記仮想LAN空間へのアクセス
権を管理する手段を参照しユーザ認証および仮想LAN
空間生成権限の有無の確認を行うステップと、 当該ユーザに対するユーザ認証が正しく行われかつ当該
ユーザが仮想LAN空間の生成権限を有している場合に
は前記仮想LAN空間を生成する手段に当該ユーザが要
求する仮想LAN空間生成を指示し仮想LAN空間が生
成された後にこの仮想LAN空間に対して前記VPN接
続の処理を行うステップと、 当該ユーザに対するユーザ認証が正しく行われないかあ
るいは仮想LAN空間の生成権限を有していないかのい
ずれかもしくはその両方の場合にはVPN接続要求を拒
否するステップとを実行する手段を備え、 前記仮想LAN空間を生成する手段は、あらかじめ定義
された削除すべき条件が満たされたときには生成された
仮想LAN空間を削除する手段を備えた請求項1記載の
VPN環境の動的提供装置。2. The method according to claim 1, wherein the step of examining the destination of the VPN connection request is performed when the VPN client receives the VPN connection request originated by the VPN client. In the case of a virtual LAN space that has already been generated, a step of performing VPN connection processing for this virtual LAN space; and in the case that the connection destination of the VPN connection request is a virtual LAN space that has not been generated, a VPN connection request is issued. User authentication and virtual LAN referring to means for managing the right to create the virtual LAN space for the user of the VPN client and means for managing the right to access the virtual LAN space
Confirming whether or not the user has the space generation authority; and, if the user authentication for the user is correctly performed and the user has the virtual LAN space generation authority, the user is provided to the means for generating the virtual LAN space. Instructing the generation of a virtual LAN space requested by the user and performing the VPN connection process on the virtual LAN space after the virtual LAN space has been generated; and Rejecting the VPN connection request if the user does not have the authority to create the virtual LAN space. 2. The VPN environment according to claim 1, further comprising means for deleting the generated virtual LAN space when a power condition is satisfied. Dynamic providing apparatus.
らの削除要求が発生したとき”あるいは“VPN接続し
ているVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含む請求項2記載
のVPN環境の動的提供装置。3. The condition to be deleted includes conditions when “a deletion request is issued from each user”, “when there is no VPN client connected to the VPN”, or “when a certain time has elapsed”. The apparatus for dynamically providing a VPN environment according to claim 2.
よび暗号鍵の交換の処理を含み、 このVPN接続の処理が正しく行われた場合には前記V
PNクライアントと前記被接続VPN装置との間に前記
VPN通信路を構築する手段を備えた請求項1または2
記載のVPN環境の動的提供装置。4. The processing of the VPN connection includes processing of user authentication and exchange of an encryption key.
3. The apparatus according to claim 1, further comprising a unit configured to establish the VPN communication path between a PN client and the connected VPN device.
A device for dynamically providing a VPN environment as described above.
続要求を着呼するとVPN接続要求の接続先を調べ、 VPN接続要求の接続先が既に生成済みの仮想LAN空
間の場合にはこの仮想LAN空間に対してVPN接続の
処理を行い、 VPN接続要求の接続先が未生成の仮想LAN空間の場
合にはVPN接続要求を発呼した前記VPNクライアン
トのユーザに対してユーザ認証および仮想LAN空間生
成権限の有無の確認を行い、 当該ユーザに対するユーザ認証が正しく行われかつ当該
ユーザが仮想LAN空間の生成権限を有している場合に
は当該ユーザが要求する仮想LAN空間を生成し仮想L
AN空間が生成された後にこの仮想LAN空間に対して
前記VPN接続の処理を行い、 当該ユーザに対するユーザ認証が正しく行われないかあ
るいは仮想LAN空間の生成権限を有していないかのい
ずれかもしくはその両方の場合にはVPN接続要求を拒
否し、 あらかじめ定義された削除すべき条件が満たされたとき
には生成された仮想LAN空間を削除することを特徴と
するVPN環境の動的提供方法。5. When a VPN client receives a call for a VPN connection request, the connection destination of the VPN connection request is checked. In the case where the connection destination of the VPN connection request is a virtual LAN space that has not been generated, the user of the VPN client that has issued the VPN connection request has the user authentication and the virtual LAN space generation authority. The presence / absence is confirmed, and if the user authentication for the user is performed correctly and the user has the authority to create a virtual LAN space, a virtual LAN space requested by the user is created and
After the AN space is created, the VPN connection process is performed on this virtual LAN space, and either the user authentication for the user is not correctly performed or the user does not have the authority to create the virtual LAN space, or A method for dynamically providing a VPN environment, characterized by rejecting a VPN connection request in both cases and deleting a generated virtual LAN space when a predefined condition to be deleted is satisfied.
らの削除要求が発生したとき”あるいは“VPN接続し
ているVPNクライアントがなくなったとき”あるいは
“一定時間が経過したとき”の条件を含む請求項5記載
のVPN環境の動的提供方法。6. The condition to be deleted includes the conditions of “when a deletion request is issued from each user”, “when there is no VPN client connected to VPN”, or “when a certain time has elapsed”. The method of dynamically providing a VPN environment according to claim 5.
よび暗号鍵の交換の処理を含み、 このVPN接続の処理が正しく行われた場合には前記V
PNクライアントと前記被接続VPN装置との間に前記
VPN通信路を構築する請求項5または6記載のVPN
環境の動的提供方法。7. The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, the VPN connection processing is performed.
7. The VPN according to claim 5, wherein the VPN communication path is constructed between a PN client and the connected VPN device.
How to dynamically provide an environment.
より、その情報処理装置に、 VPNクライアントからのVPN接続の着呼を処理する
機能と、 複数の前記VPNクライアントがグループ毎に分類され
同一グループに属する前記VPNクライアント相互間で
通信が可能な仮想LAN空間を生成する機能と、 当該仮想LAN空間の状態を管理する機能と、 前記VPNクライアントの当該仮想LAN空間を生成す
る権利を管理する機能と、 前記VPNクライアントの当該仮想LAN空間へのアク
セス権を管理する機能とを備えた被接続VPN装置とし
ての機能を実現させることを特徴とするプログラム。8. The information processing apparatus, when installed in the information processing apparatus, has a function of processing an incoming call of a VPN connection from a VPN client, and the plurality of VPN clients are classified into groups and belong to the same group. A function of creating a virtual LAN space capable of communicating between the VPN clients, a function of managing the state of the virtual LAN space, a function of managing the right of the VPN client to create the virtual LAN space, A program for realizing a function as a connected VPN device having a function of managing an access right of a VPN client to the virtual LAN space.
は、 前記VPNクライアントが発呼したVPN接続要求を着
呼するとVPN接続要求の接続先を調べるステップと、 VPN接続要求の接続先が既に生成済みの仮想LAN空
間の場合にはこの仮想LAN空間に対してVPN接続の
処理を行うステップと、 VPN接続要求の接続先が未生成の仮想LAN空間の場
合にはVPN接続要求を発呼した前記VPNクライアン
トのユーザに対して前記仮想LAN空間を生成する権利
を管理する機能および前記仮想LAN空間へのアクセス
権を管理する機能を参照しユーザ認証および仮想LAN
空間生成権限の有無の確認を行うステップと、 当該ユーザに対するユーザ認証が正しく行われかつ当該
ユーザが仮想LAN空間の生成権限を有している場合に
は前記仮想LAN空間を生成する機能に当該ユーザが要
求する仮想LAN空間生成を指示し仮想LAN空間が生
成された後にこの仮想LAN空間に対して前記VPN接
続の処理を行うステップと、 当該ユーザに対するユーザ認証が正しく行われないかあ
るいは仮想LAN空間の生成権限を有していないかのい
ずれかもしくはその両方の場合にはVPN接続要求を拒
否するステップとを実行させる機能を備え、 前記仮想LAN空間を生成する機能は、あらかじめ定義
された削除すべき条件が満たされたときには生成された
仮想LAN空間を削除する機能を備えて実現される請求
項8記載のプログラム。9. The function of processing an incoming call of the VPN connection includes the steps of: when the VPN client receives the incoming VPN connection request, checking a connection destination of the VPN connection request; In the case of a virtual LAN space that has already been generated, a step of performing VPN connection processing for this virtual LAN space; and in the case that the connection destination of the VPN connection request is a virtual LAN space that has not been generated, a VPN connection request is issued. User authentication and virtual LAN referring to a function of managing a right to create the virtual LAN space and a function of managing an access right to the virtual LAN space for a user of the VPN client
A step of confirming whether or not the user has the space generation authority; and a function for generating the virtual LAN space when the user authentication for the user is correctly performed and the user has the generation authority for the virtual LAN space. Instructing the generation of a virtual LAN space requested by the user and performing the VPN connection process on the virtual LAN space after the virtual LAN space has been generated; and A rejection of a VPN connection request in the case where the user does not have the authority to create a virtual LAN space, and a function to create a virtual LAN space. 9. The system according to claim 8, wherein the virtual LAN space is generated when a power condition is satisfied. Of the program.
からの削除要求が発生したとき”あるいは“VPN接続
しているVPNクライアントがなくなったとき”あるい
は“一定時間が経過したとき”の条件を含む請求項9記
載のプログラム。10. The condition to be deleted includes the conditions of “when a deletion request is issued from each user”, “when there is no VPN client connected to the VPN”, or “when a certain time has elapsed”. The program according to claim 9, comprising:
および暗号鍵の交換の処理を含み、 このVPN接続の処理が正しく行われた場合には前記V
PNクライアントと前記被接続VPN装置との間に前記
VPN通信路を構築する機能を実現させる請求項8また
は9記載のプログラム。11. The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, the VPN connection processing is performed.
10. The non-transitory computer-readable storage medium according to claim 8, wherein a function of constructing the VPN communication path between a PN client and the connected VPN device is realized.
により、その情報処理装置に、 VPNクライアントが発呼したVPN接続要求を着呼す
るとVPN接続要求の接続先を調べ、 VPN接続要求の接続先が既に生成済みの仮想LAN空
間の場合にはこの仮想LAN空間に対してVPN接続の
処理を行い、 VPN接続要求の接続先が未生成の仮想LAN空間の場
合にはVPN接続要求を発呼した前記VPNクライアン
トのユーザに対してユーザ認証および仮想LAN空間生
成権限の有無の確認を行い、 当該ユーザに対するユーザ認証が正しく行われかつ当該
ユーザが仮想LAN空間の生成権限を有している場合に
は当該ユーザが要求する仮想LAN空間を生成し仮想L
AN空間が生成された後にこの仮想LAN空間に対して
前記VPN接続の処理を行い、 当該ユーザに対するユーザ認証が正しく行われないかあ
るいは仮想LAN空間の生成権限を有していないかのい
ずれかもしくはその両方の場合にはVPN接続要求を拒
否し、 あらかじめ定義された削除すべき条件が満たされたとき
には生成された仮想LAN空間を削除する手順を実行さ
せることを特徴とするプログラム。12. When installed in an information processing apparatus, when a VPN connection request originated by a VPN client is received by the information processing apparatus, the connection destination of the VPN connection request is checked, and the connection destination of the VPN connection request is already determined. If the virtual LAN space has already been generated, VPN connection processing is performed on the virtual LAN space. If the connection destination of the VPN connection request is a virtual LAN space that has not been generated, the VPN that has issued the VPN connection request is used. The user of the client is checked for user authentication and the presence or absence of the authority to create a virtual LAN space. If the user authentication for the user is correctly performed and the user has the authority to create a virtual LAN space, the user Generates the virtual LAN space required by
After the AN space is created, the VPN connection process is performed on this virtual LAN space, and either the user authentication for the user is not correctly performed or the user does not have the authority to create the virtual LAN space, or A program for rejecting a VPN connection request in both cases, and executing a procedure for deleting a generated virtual LAN space when a predetermined condition to be deleted is satisfied.
からの削除要求が発生したとき”あるいは“VPN接続
しているVPNクライアントがなくなったとき”あるい
は“一定時間が経過したとき”の条件を含む請求項12
記載のプログラム。13. The condition to be deleted includes the conditions of “when a deletion request is issued from each user”, “when there is no VPN client connected to VPN”, or “when a certain period of time has elapsed”. Claim 12 including
The program described.
および暗号鍵の交換の処理を含み、 このVPN接続の処理が正しく行われた場合には前記V
PNクライアントと前記被接続VPN装置との間に前記
VPN通信路を構築する手順を実行させる請求項12ま
たは13記載のプログラム。14. The VPN connection processing includes user authentication and encryption key exchange processing. If the VPN connection processing is correctly performed, the VPN connection processing is performed.
14. The non-transitory computer-readable storage medium according to claim 12, wherein the program executes a procedure for establishing the VPN communication path between a PN client and the connected VPN device.
が記録された前記情報処理装置読み取り可能な記録媒
体。15. A recording medium readable by the information processing device, wherein the program according to claim 8 is recorded.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001132047A JP2002330150A (en) | 2001-04-27 | 2001-04-27 | Dynamic delivery device, method, program and recording medium of virtual private network(vpn) environment |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001132047A JP2002330150A (en) | 2001-04-27 | 2001-04-27 | Dynamic delivery device, method, program and recording medium of virtual private network(vpn) environment |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002330150A true JP2002330150A (en) | 2002-11-15 |
Family
ID=18980120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001132047A Pending JP2002330150A (en) | 2001-04-27 | 2001-04-27 | Dynamic delivery device, method, program and recording medium of virtual private network(vpn) environment |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002330150A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007243655A (en) * | 2006-03-09 | 2007-09-20 | Ntt Data Corp | Vpn management device, program and vpn management method |
| CN100372386C (en) * | 2002-12-10 | 2008-02-27 | 华为技术有限公司 | Short and long number corresponding method for mobile exchange |
| JP2009049557A (en) * | 2007-08-15 | 2009-03-05 | Yamaha Corp | Vpn topology controller, vpn topology control system, and vpn topology control method and program |
| US8365275B2 (en) | 2007-09-13 | 2013-01-29 | Ricoh Company, Ltd. | Image processing apparatus, session managing method and session managing program |
-
2001
- 2001-04-27 JP JP2001132047A patent/JP2002330150A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100372386C (en) * | 2002-12-10 | 2008-02-27 | 华为技术有限公司 | Short and long number corresponding method for mobile exchange |
| JP2007243655A (en) * | 2006-03-09 | 2007-09-20 | Ntt Data Corp | Vpn management device, program and vpn management method |
| JP4727460B2 (en) * | 2006-03-09 | 2011-07-20 | 株式会社エヌ・ティ・ティ・データ | VPN management apparatus, program, and VPN management method |
| JP2009049557A (en) * | 2007-08-15 | 2009-03-05 | Yamaha Corp | Vpn topology controller, vpn topology control system, and vpn topology control method and program |
| US8365275B2 (en) | 2007-09-13 | 2013-01-29 | Ricoh Company, Ltd. | Image processing apparatus, session managing method and session managing program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1480405B1 (en) | System and implementation method of controlled multicast | |
| FI118619B (en) | Method and system for encrypting and storing information | |
| EP1234411B1 (en) | Access to data networks | |
| JP5143125B2 (en) | Authentication method, system and apparatus for inter-domain information communication | |
| JP2007513528A (en) | Serverless and switchless internet protocol telephone systems and methods | |
| EP2922246B1 (en) | Method and data center network for cross-service zone communication | |
| JP2001356973A (en) | Network system | |
| CA2311843A1 (en) | Virtual private network management system | |
| CN107612931B (en) | Multipoint conversation method and multipoint conversation system | |
| JP4628938B2 (en) | Data communication system, terminal device and VPN setting update method | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| CN110971506B (en) | Decentralized real-time cluster communication method, device, equipment and system | |
| US20060143701A1 (en) | Techniques for authenticating network protocol control messages while changing authentication secrets | |
| EP3595262B1 (en) | Management of subscriber identity in service provision | |
| KR100702288B1 (en) | Mobile communication network system and mobile communication method | |
| JP2002330150A (en) | Dynamic delivery device, method, program and recording medium of virtual private network(vpn) environment | |
| EP1897320B1 (en) | Method and system for call processing | |
| CN100525202C (en) | A method of registration for the private network terminal to the gatekeeper based on the H.323 protocol | |
| EP1909450B1 (en) | Method to route a network initiated message in a complex network using Radius protocol | |
| CN115567440A (en) | Method and device for realizing communication between local area networks | |
| US20200137726A1 (en) | Communications device and communication method | |
| US20040111605A1 (en) | Method for authenticating multiple channels within a single fibre channel link | |
| CN110809033A (en) | Message forwarding method and device and switching server | |
| US20080141343A1 (en) | Method, system and apparatus for access control | |
| JP3973357B2 (en) | Port number convergence, deployment method and gateway server thereof |