JP2004133804A - リモートアクセス方法及びリモートアクセスシステム - Google Patents
リモートアクセス方法及びリモートアクセスシステム Download PDFInfo
- Publication number
- JP2004133804A JP2004133804A JP2002299528A JP2002299528A JP2004133804A JP 2004133804 A JP2004133804 A JP 2004133804A JP 2002299528 A JP2002299528 A JP 2002299528A JP 2002299528 A JP2002299528 A JP 2002299528A JP 2004133804 A JP2004133804 A JP 2004133804A
- Authority
- JP
- Japan
- Prior art keywords
- gateway device
- internet
- client device
- remote access
- mutual authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】導入コスト及び運営コストが安価であって、堅牢で、安全性が高く、かつ利便性が高いリモートアクセスシステム及びリモートアクセス方法を提供する。
【解決手段】イントラネットをインターネットに接続し、インターネットに接続したクライアント装置から、イントラネットに接続した業務用Webサーバに接続可能に構成したリモートアクセスシステムにおいて、インターネットに接続した相互認証システムサーバと、同相互認証システムサーバと接続した入口側ゲートウェイ装置と、同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットと接続した出口側ゲートウェイ装置とによりインターネットとイントラネットとを接続し、入口側ゲートウェイ装置と出口側ゲートウェイ装置とを、ファイアウォールを透過させて接続可能としたリモートアクセス方法及びリモートアクセスシステムとする。
【選択図】 図1
【解決手段】イントラネットをインターネットに接続し、インターネットに接続したクライアント装置から、イントラネットに接続した業務用Webサーバに接続可能に構成したリモートアクセスシステムにおいて、インターネットに接続した相互認証システムサーバと、同相互認証システムサーバと接続した入口側ゲートウェイ装置と、同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットと接続した出口側ゲートウェイ装置とによりインターネットとイントラネットとを接続し、入口側ゲートウェイ装置と出口側ゲートウェイ装置とを、ファイアウォールを透過させて接続可能としたリモートアクセス方法及びリモートアクセスシステムとする。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、業務用Webサーバを接続したイントラネットを、ファイアウォールを介してインターネット等の汎用のネットワークに接続し、インターネットに接続した携帯端末等のクライアント装置から業務用Webサーバに安全にアクセスして、業務用Webサーバ内の情報を利用可能としたリモートアクセス方法及びリモートアクセスシステムに関するものである。
【0002】
【従来の技術】
昨今、例えば営業担当者が営業担当先において営業活動を行なう場合等において、ノート型パーソナルコンピュータや、PDA(Personal Digital Assistants)、あるいは携帯電話などのモバイルコンピューティングを可能とした携帯端末を用いて営業先からインターネットに接続し、所要の情報を格納したインターネット上のWeb端末にアクセスし、所要の情報を引出したり、あるいは即座に所要の情報を入力したりすることがよく行なわれている。
【0003】
このようなことを行なうためには、所要の情報を格納したWeb端末をインターネットに接続して公開しておく必要があり、この場合、悪意をもった利用者によって情報の盗聴、あるいは情報の破壊などの行為が行なわれるおそれがあるため、従来では、個人情報や機密情報等のような秘匿性を有する情報は、かかるWebサーバには格納していなかった。
【0004】
したがって、利用できる情報には限界が生じ、十分なサービスの提供が図られない場合があるので、高い秘匿性を有する情報を扱う必要がある場合には、予め専用回線からなる通信設備を設け、かかる専用回線にWebサーバを接続し、外部からの侵入を完全に遮断して安全性を高めることにより利便性を高めたものが知られている(例えば、特許文献1参照。)。
【0005】
【特許文献1】
特開2002−232460号公報
【0006】
【発明が解決しようとする課題】
しかしながら、専用回線からなる通信設備を設ける場合には、設備投資のコスト負担が大きく、さらには設備の維持管理のコストも大きいという問題があることによって、簡単に導入できるものではなく、容易に利用できるものではなかった。
【0007】
そこで、より低コストで、かつできるだけ安全にWebサーバをインターネットに接続して利便性を高めるために、ファイアウォールを介してWebサーバをインターネットに接続することが行なわれているが、悪意をもった利用者によって行なわれる盗聴やなりすまし等の不正を完全に防止できるものではなく、秘匿性の高い情報の漏洩を完全に防止できるものではなかった。
【0008】
特に、ファイアウォールにより悪意をもった利用者による不正をできる限り防止しようとした場合、使用を許諾する利用者の認証を厳密に行なう必要があり、かかる利用者の認証処理が複雑化することとなって使いにくくなるとともに、イントラネット側からインターネット側に送出される情報に制限が加えられることとなって、利便性が低下するという問題もあった。
【0009】
本発明者は、かかる現状に鑑み、利用者の認証処理を簡便化する一方で秘匿情報の漏洩を完全に防止可能とするリモートネットワークシステムを開発すべく研究を行ない、本発明をなすに至ったものである。
【0010】
【課題を解決するための手段】
本発明のリモートアクセス方法では、ファイアウォールを介してインターネットに接続したイントラネット上の業務用Webサーバに、インターネットに接続したクライアント装置から接続を行なうリモートアクセス方法において、クライアント装置には予め認証キーを格納し、同認証キーを用いてワンタイムパスワードによる相互認証を行ない、認証されたクライアント装置のみをファイアウォールを透過させ、業務用Webサーバに接続可能とした。
【0011】
また、本発明のリモートアクセスシステムでは、イントラネットをインターネットに接続し、インターネットに接続したクライアント装置から、イントラネットに接続した業務用Webサーバに接続可能に構成したリモートアクセスシステムにおいて、インターネットに接続した相互認証システムサーバと、同相互認証システムサーバと接続した入口側ゲートウェイ装置と、同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットと接続した出口側ゲートウェイ装置とによりインターネットとイントラネットとを接続し、入口側ゲートウェイ装置と出口側ゲートウェイ装置とを、ファイアウォールを透過させて接続可能に構成した。
【0012】
さらに、相互認証システムサーバにおいて認証されたクライアント装置に対して、入口側ゲートウェイ装置において、転送先サーバとして出口側ゲートウェイ装置を設定することにより、ファイアウォールを透過させて入口側ゲートウェイ装置と出口側ゲートウェイ装置とを接続すべく構成したことにも特徴を有するものである。
【0013】
しかも、クライアント装置には予め認証キーを格納しておき、相互認証システムサーバは、インターネットを介して接続してきたクライアント装置に対して認証キーを用いたワンタイムパスワードによる相互認証を行なってクライアント装置の認証を行なうべく構成したことにも特徴を有するものである。
【0014】
【発明の実施の形態】
本発明のリモートアクセス方法及びリモートアクセスシステムでは、ファイアウォールを介してインターネットに接続したイントラネット上の業務用Webサーバに、インターネットに接続したクライアント装置からリモートアクセスを極めて安全に行なうことができるものである。
【0015】
特に、クライアント装置には予め認証キーを格納し、同認証キーを用いてワンタイムパスワードによる相互認証を行ない、認証されたクライアント装置のみをファイアウォールを透過させ、業務用Webサーバに接続可能としているものである。
【0016】
すなわち、インターネットとイントラネットとは、インターネットに接続した相互認証システムサーバと、同相互認証システムサーバと接続した入口側ゲートウェイ装置と、同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットに接続した出口側ゲートウェイ装置とにより接続し、相互認証システムサーバにおいて正しく認証された場合のみ入口側ゲートウェイ装置と出口側ゲートウェイ装置とを1対1で接続することによりファイアウォールを透過可能としているものである。
【0017】
したがって、悪意をもった利用者がイントラネット上の業務用Webサーバにアクセスすることを完全に防止でき、かかる利用者の行為等による情報の漏洩を完全に防止することができるとともに、相互認証システムサーバにより認証された利用者は、ファイアウォールの制限を受けることなくイントラネット上の業務用Webサーバから所要の情報を引き出すことが可能であり、利便性を極めて向上させることができる。
【0018】
特に、相互認証システムサーバにおいて認証された利用者のクライアント装置に対してのみ、入口側ゲートウェイ装置において、転送先サーバとして出口側ゲートウェイ装置を設定することによって、入口側ゲートウェイ装置と出口側ゲートウェイ装置との1対1の接続が可能であり、ファイアウォールにセキュリティー上の孔が開くことを防止でき、悪意をもった利用者がイントラネット側に進入することを完全に防止できる。
【0019】
しかも、相互認証システムサーバは、インターネットを介して接続してきたクライアント装置に対して、予めクライアント装置に対して付与した認証キーに基づいてワンタイムパスワードによる相互認証を実行するので、クライアント装置から相互認証システムサーバまでの間において、悪意をもった利用者による盗聴やなりすまし等の不正を完全に防止でき、全体的な機密性を極めて向上させることができる。
【0020】
以下において、図面に基づいて本発明をさらに詳細に説明する。図1は、本発明のリモートアクセスシステムのシステム構成図である。
【0021】
本発明のリモートアクセスシステムでは、LAN(Local Area Network)あるいはWAN(Wide Area Network)等により構築したイントラネット1に業務用Webサーバ2を接続し、このイントラネット1を、ファイアウォール3を介してインターネット4に接続し、インターネット4に接続したクライアント装置5からイントラネット1上の業務用Webサーバ2にアクセス可能に構成しているものである。
【0022】
イントラネット1には、業務用Webサーバ2だけでなく所要のWebサーバ2’や、メールサーバ(図示せず)、プリンタサーバ(図示せず)等を適宜接続可能としており、所要のシステムを構成している。本実施形態では、説明の便宜上、かかるイントラネット1は一つの企業の基幹システムAにおけるネットワークを想定しているが、これに限定するものではなく、ファイアウォール3を介してインターネット4と接続するネットワークであればよく、そのようなネットワークをここではイントラネット1と呼ぶことにする。
【0023】
また、イントラネット1には出口側ゲートウェイ装置6を接続しており、本実施の形態の場合には、この出口側ゲートウェイ装置6によってファイアウォール3を制御している。すなわち、イントラネット1は出口側ゲートウェイ装置6を介してファイアウォール3と接続し、さらにインターネット4に接続すべく構成している。
【0024】
一方、インターネット4は、「インターネット」の名称で既知のネットワークであり、電話回線や無線LANをはじめとする無線通信によって、クライアント装置5から接続可能なネットワークである。
【0025】
クライアント装置5は、ノート型パーソナルコンピュータや、PDA、あるいは携帯電話などのモバイルコンピューティングを可能とした携帯端末、さらには、インターネット4と有線接続したデスクトップ型のパーソナルコンピュータ等である。
【0026】
かかるクライアント装置5には、後述するように業務用Webサーバ2と接続して所要の作業を実施可能とするアプリケーションソフトをインストールしているとともに、後述するように相互認証に用いる認証キーを格納している。本実施の形態では、認証キーは基幹システムAを管理しているシステム管理者が発行しており、クライアント装置5を用いて業務用Webサーバ2にアクセスする利用者からの認証キー発行要求に基づいて予め発行している。図1においては、クライアント装置5を2台記載しているが、これは業務用Webサーバ2には複数のクライアント装置5がアクセス可能となっていることを示しているものである。
【0027】
ファイアウォール3を介してインターネット4と接続するイントラネット1は、ファイアウォール3の外側のDMZ(DeMilitarized Zone)と呼ばれる緩衝域Bに相互認証システムサーバ7を設けており、この相互認証システムサーバ7を介してインターネット4と接続している。
【0028】
そしてさらに、相互認証システムサーバ7とファイアウォール3との間には入口側ゲートウェイ装置8を設け、この入口側ゲートウェイ装置8を介して相互認証システムサーバ7とファイアウォール3とを接続している。なお、入口側ゲートウェイ装置8と相互認証システムサーバ7とを別々の装置とするのではなく、1台のサーバで構成してもよい。
【0029】
入口側ゲートウェイ装置8は、相互認証システムサーバ7からの命令に基づいて後述するように出口側ゲートウェイ装置6と直接接続回線9で接続可能としている。すなわち、相互認証システムサーバ7からの命令に基づいて直接接続回線9の開閉を制御している。
【0030】
直接接続回線9を開状態とした場合には、ファイアウォール3を透過して入口側ゲートウェイ装置8と出口側ゲートウェイ装置6とが接続された状態となり、ファイアウォール3による制限を受けることなく入口側ゲートウェイ装置8と出口側ゲートウェイ装置6との間で情報の送受信を可能としている。
【0031】
なお、直接接続回線9は1本だけでなく、複本設けており、1本の直接接続回線9ごとに、業務用Webサーバ2へのアクセスを要求する1人の利用者を割り当てるべく構成している。
【0032】
以下において、図2のフローチャートを用いて本発明のリモートアクセスシステムのシステムフローを説明する。
【0033】
まず、クライアント装置5を操作している利用者は、業務用Webサーバ2からの情報の引出し、あるいは業務用Webサーバ2への情報の書込みが必要となった場合には、クライアント装置5をインターネット4に接続する(ステップS1)。
【0034】
そして、利用者はクライアント装置5を用いて相互認証システムサーバ7にアクセスし、クライアント装置5の表示画面に、業務用Webサーバ2にログインするための所要のログイン画面を表示させ、同ログイン画面において予め付与されている利用者識別のための利用者IDを入力し、ログインの要求を行なう(ステップS2)。
【0035】
相互認証システムサーバ7は、クライアント装置5に対してパスワードの入力を要求し、クライアント装置5は、予め格納した認証キーに基づいてパスワードを生成して入力する。そして、相互認証システムサーバ7は、入力されたパスワードに基づいて照合を行ない、相互認証を行なう(ステップS3)。すなわち、相互認証システムサーバ7は、予めクライアント装置5に付与した認証キーに基づくワンタイムパスワードにより利用者の認証を行なっている。
【0036】
相互認証システムサーバ7は、相互認証に基づいて認証キーの有無を判断し(ステップS4)、認証キーを有していないと判断された場合にはログインを拒否し、クライアント装置5から相互認証システムサーバ7への通信を切断する(ステップS5)。利用者は、クライアント装置5によってログインが拒否されたことを認識可能としている(ステップS6)。
【0037】
相互認証システムサーバ7において認証キーを有していると判断された場合には(ステップS4)、相互認証システムサーバ7はクライアント装置5との通信を継続し、入口側ゲートウェイ装置8に対して、認証した利用者のクライアント装置5に対するファイアウォール3の透過権限を設定させる命令を送信する(ステップS7)。
【0038】
入口側ゲートウェイ装置8は、相互認証システムサーバ7からの命令に基づいて、認証した利用者のクライアント装置5の転送先サーバとして出口側ゲートウェイ装置6を設定する。特に、使用する1つの直接接続回線9を指定することにより、1対1の接続を行なっている(ステップS8)。従って、ファイアウォール3にはそれ以外に透過可能な穴が開くおそれがなく、ファイアウォール3の堅牢性を維持することができる。
【0039】
また、入口側ゲートウェイ装置8と出口側ゲートウェイ装置6との間は、情報を暗号化して通信することにより、安全性を高めることができる。
【0040】
入口側ゲートウェイ装置8と出口側ゲートウェイ装置6との接続が行なわれることにより、利用者のクライアント装置5はイントラネット1に接続された状態となり、イントラネット1上の業務用Webサーバ2へのアクセスが可能となる。
【0041】
なお、本実施の形態の場合、業務用Webサーバ2にアクセするために業務用Webサーバ2においてさらに利用者情報の入力を行なわせて利用者の認証を行ない(ステップS9)、業務用Webサーバ2の正当な利用者でない場合には(ステップS10)、業務用Webサーバ2へのログインを拒否し、クライアント装置5から相互認証システムサーバ7への通信を切断している(ステップS5)。利用者は、クライアント装置5によってログインが拒否されたことを認識可能としている(ステップS6)。
【0042】
一方、利用者が正当な利用者であった場合には(ステップS10)、業務用Webサーバ2は利用者のログインを許可し、クライアント装置5を業務用Webサーバ2に接続させている(ステップS11)。
【0043】
なお、業務用Webサーバ2への利用者情報の入力は、相互認証システムサーバ7が行なうことにより利用者による入力の手間を省き、利用者によるログイン手続きを簡略化して利便性を高めることができる。
【0044】
利用者は、クライアント装置5によって業務用Webサーバ2にログインできたことを認識し(ステップS12)、業務用Webサーバ2からの情報の引出し、あるいは業務用Webサーバ2への情報の書込み等の所定処理を要求する(ステップS13)。
【0045】
業務用Webサーバ2は、クライアント装置5からの要求に基づいて所要の処理を実行する(ステップS14)。
【0046】
利用者は、所要の処理が終了すると業務用Webサーバ2に対してログアウトを要求する(ステップS15)。
【0047】
業務用Webサーバ2は、クライアント装置5からのログアウトの要求に基づいてログアウト処理を実行し、クライアント装置5との通信を切断している(ステップS16)。
【0048】
上記したように、相互認証システムサーバ7において認証されたクライアント装置5に対して、入口側ゲートウェイ装置8において、転送先サーバとして出口側ゲートウェイ装置6を設定することにより、ファイアウォールを透過させて入口側ゲートウェイ装置8と出口側ゲートウェイ装置6とを接続することによって、悪意をもった利用者による攻撃に対して堅牢とすることができ、悪意をもった利用者による攻撃を考慮する必要がなく、イントラネット側のシステム開発の生産性を向上させることができる。
【0049】
しかも、クライアント装置5から相互認証システムサーバ7までのインターネット域C(図1参照)は、クライアント装置5に予め格納した認証キーに基づいて相互認証システムサーバによりワンタイムパスワードによる相互認証を行なうことによりインターネット域Cでの機密性を向上させることができ、クライアント装置5から業務用Webサーバ2までの全経路において機密性を向上させることができるので、極めて安全なリモートアクセスシステムを提供することができる。
【0050】
上記の説明では、クライアント装置5がイントラネット1上の業務用Webサーバ2にアクセスするとして説明を行なっており、業務用Webサーバ2が業務上の利用にのみ限定されているかのようになっているが、業務用Webサーバ2は業務上の利用に限定しているものではなく、リモートアクセスされるイントラネット1内のWebサーバであればよい。
【0051】
【発明の効果】
請求項1記載の発明によれば、クライアント装置には予め認証キーを格納し、同認証キーを用いてワンタイムパスワードによる相互認証を行ない、認証されたクライアント装置のみをファイアウォールを透過させ、業務用Webサーバに接続可能としたリモートアクセス方法としたことによって、悪意をもった利用者による攻撃に対して堅牢であり、安全性が高いリモートアクセス方法とすることができる。
【0052】
請求項2記載の発明によれば、インターネットに接続した相互認証システムサーバと、同相互認証システムサーバと接続した入口側ゲートウェイ装置と、同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットと接続した出口側ゲートウェイ装置とによりインターネットとイントラネットとを接続し、入口側ゲートウェイ装置と出口側ゲートウェイ装置とを、ファイアウォールを透過させて接続可能にリモートアクセスシステムを構成したことによって、請求項1記載の発明と同様に、悪意をもった利用者による攻撃に対して堅牢であり、安全性が高いリモートアクセスシステムとすることができる。しかも、ファイアウォールを透過させてイントラネット上の業務用Webサーバからクライアント装置に所要の情報を出入可能であるので利便性が高く、極めて利用価値の高いリモートアクセスシステムを極めて安価で導入でき、かつ、低コストで維持管理することができる。
【0053】
請求項3記載の発明によれば、相互認証システムサーバにおいて認証されたクライアント装置に対して、入口側ゲートウェイ装置において、転送先サーバとして出口側ゲートウェイ装置を設定することにより、ファイアウォールを透過させて入口側ゲートウェイ装置と出口側ゲートウェイ装置とを接続すべく構成したことによって、悪意をもった利用者による攻撃に対して堅牢とすることができ、悪意をもった利用者による攻撃を考慮する必要がなく、イントラネット側のシステム開発の生産性を向上させることができる。
【0054】
請求項4記載の発明によれば、クライアント装置には予め認証キーを格納しておき、相互認証システムサーバは、インターネットを介して接続してきたクライアント装置に対して認証キーを用いたワンタイムパスワードによる相互認証を行なってクライアント装置の認証を行なうべく構成したことによって、クライアント装置と相互認証システムサーバとの間のインターネット域において、悪意をもった利用者による盗聴やなりすまし等の不正を完全に防止できる。したがって、クライアント装置から業務用Webサーバまでの全体の機密性を向上させることができ、極めて安全なリモートアクセスシステムを提供することができるので、業務用に用いるだけでなく、認証キーを取得した個人のインターネット加入者や公共施設からでも業務用Webサーバにアクセスして、所要のサービスを受けることができる。
【図面の簡単な説明】
【図1】本発明にかかるリモートアクセスシステムのシステム構成図である。
【図2】本発明にかかるリモートアクセスシステムのシステムフロー説明図である。
【符号の説明】
A 基幹システム
B 緩衝域
C インターネット域
1 イントラネット
2 業務用Webサーバ
3 ファイアウォール
4 インターネット
5 クライアント装置
6 出口側ゲートウェイ装置
7 相互認証システムサーバ
8 入口側ゲートウェイ装置
9 直接接続回線
【発明の属する技術分野】
本発明は、業務用Webサーバを接続したイントラネットを、ファイアウォールを介してインターネット等の汎用のネットワークに接続し、インターネットに接続した携帯端末等のクライアント装置から業務用Webサーバに安全にアクセスして、業務用Webサーバ内の情報を利用可能としたリモートアクセス方法及びリモートアクセスシステムに関するものである。
【0002】
【従来の技術】
昨今、例えば営業担当者が営業担当先において営業活動を行なう場合等において、ノート型パーソナルコンピュータや、PDA(Personal Digital Assistants)、あるいは携帯電話などのモバイルコンピューティングを可能とした携帯端末を用いて営業先からインターネットに接続し、所要の情報を格納したインターネット上のWeb端末にアクセスし、所要の情報を引出したり、あるいは即座に所要の情報を入力したりすることがよく行なわれている。
【0003】
このようなことを行なうためには、所要の情報を格納したWeb端末をインターネットに接続して公開しておく必要があり、この場合、悪意をもった利用者によって情報の盗聴、あるいは情報の破壊などの行為が行なわれるおそれがあるため、従来では、個人情報や機密情報等のような秘匿性を有する情報は、かかるWebサーバには格納していなかった。
【0004】
したがって、利用できる情報には限界が生じ、十分なサービスの提供が図られない場合があるので、高い秘匿性を有する情報を扱う必要がある場合には、予め専用回線からなる通信設備を設け、かかる専用回線にWebサーバを接続し、外部からの侵入を完全に遮断して安全性を高めることにより利便性を高めたものが知られている(例えば、特許文献1参照。)。
【0005】
【特許文献1】
特開2002−232460号公報
【0006】
【発明が解決しようとする課題】
しかしながら、専用回線からなる通信設備を設ける場合には、設備投資のコスト負担が大きく、さらには設備の維持管理のコストも大きいという問題があることによって、簡単に導入できるものではなく、容易に利用できるものではなかった。
【0007】
そこで、より低コストで、かつできるだけ安全にWebサーバをインターネットに接続して利便性を高めるために、ファイアウォールを介してWebサーバをインターネットに接続することが行なわれているが、悪意をもった利用者によって行なわれる盗聴やなりすまし等の不正を完全に防止できるものではなく、秘匿性の高い情報の漏洩を完全に防止できるものではなかった。
【0008】
特に、ファイアウォールにより悪意をもった利用者による不正をできる限り防止しようとした場合、使用を許諾する利用者の認証を厳密に行なう必要があり、かかる利用者の認証処理が複雑化することとなって使いにくくなるとともに、イントラネット側からインターネット側に送出される情報に制限が加えられることとなって、利便性が低下するという問題もあった。
【0009】
本発明者は、かかる現状に鑑み、利用者の認証処理を簡便化する一方で秘匿情報の漏洩を完全に防止可能とするリモートネットワークシステムを開発すべく研究を行ない、本発明をなすに至ったものである。
【0010】
【課題を解決するための手段】
本発明のリモートアクセス方法では、ファイアウォールを介してインターネットに接続したイントラネット上の業務用Webサーバに、インターネットに接続したクライアント装置から接続を行なうリモートアクセス方法において、クライアント装置には予め認証キーを格納し、同認証キーを用いてワンタイムパスワードによる相互認証を行ない、認証されたクライアント装置のみをファイアウォールを透過させ、業務用Webサーバに接続可能とした。
【0011】
また、本発明のリモートアクセスシステムでは、イントラネットをインターネットに接続し、インターネットに接続したクライアント装置から、イントラネットに接続した業務用Webサーバに接続可能に構成したリモートアクセスシステムにおいて、インターネットに接続した相互認証システムサーバと、同相互認証システムサーバと接続した入口側ゲートウェイ装置と、同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットと接続した出口側ゲートウェイ装置とによりインターネットとイントラネットとを接続し、入口側ゲートウェイ装置と出口側ゲートウェイ装置とを、ファイアウォールを透過させて接続可能に構成した。
【0012】
さらに、相互認証システムサーバにおいて認証されたクライアント装置に対して、入口側ゲートウェイ装置において、転送先サーバとして出口側ゲートウェイ装置を設定することにより、ファイアウォールを透過させて入口側ゲートウェイ装置と出口側ゲートウェイ装置とを接続すべく構成したことにも特徴を有するものである。
【0013】
しかも、クライアント装置には予め認証キーを格納しておき、相互認証システムサーバは、インターネットを介して接続してきたクライアント装置に対して認証キーを用いたワンタイムパスワードによる相互認証を行なってクライアント装置の認証を行なうべく構成したことにも特徴を有するものである。
【0014】
【発明の実施の形態】
本発明のリモートアクセス方法及びリモートアクセスシステムでは、ファイアウォールを介してインターネットに接続したイントラネット上の業務用Webサーバに、インターネットに接続したクライアント装置からリモートアクセスを極めて安全に行なうことができるものである。
【0015】
特に、クライアント装置には予め認証キーを格納し、同認証キーを用いてワンタイムパスワードによる相互認証を行ない、認証されたクライアント装置のみをファイアウォールを透過させ、業務用Webサーバに接続可能としているものである。
【0016】
すなわち、インターネットとイントラネットとは、インターネットに接続した相互認証システムサーバと、同相互認証システムサーバと接続した入口側ゲートウェイ装置と、同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットに接続した出口側ゲートウェイ装置とにより接続し、相互認証システムサーバにおいて正しく認証された場合のみ入口側ゲートウェイ装置と出口側ゲートウェイ装置とを1対1で接続することによりファイアウォールを透過可能としているものである。
【0017】
したがって、悪意をもった利用者がイントラネット上の業務用Webサーバにアクセスすることを完全に防止でき、かかる利用者の行為等による情報の漏洩を完全に防止することができるとともに、相互認証システムサーバにより認証された利用者は、ファイアウォールの制限を受けることなくイントラネット上の業務用Webサーバから所要の情報を引き出すことが可能であり、利便性を極めて向上させることができる。
【0018】
特に、相互認証システムサーバにおいて認証された利用者のクライアント装置に対してのみ、入口側ゲートウェイ装置において、転送先サーバとして出口側ゲートウェイ装置を設定することによって、入口側ゲートウェイ装置と出口側ゲートウェイ装置との1対1の接続が可能であり、ファイアウォールにセキュリティー上の孔が開くことを防止でき、悪意をもった利用者がイントラネット側に進入することを完全に防止できる。
【0019】
しかも、相互認証システムサーバは、インターネットを介して接続してきたクライアント装置に対して、予めクライアント装置に対して付与した認証キーに基づいてワンタイムパスワードによる相互認証を実行するので、クライアント装置から相互認証システムサーバまでの間において、悪意をもった利用者による盗聴やなりすまし等の不正を完全に防止でき、全体的な機密性を極めて向上させることができる。
【0020】
以下において、図面に基づいて本発明をさらに詳細に説明する。図1は、本発明のリモートアクセスシステムのシステム構成図である。
【0021】
本発明のリモートアクセスシステムでは、LAN(Local Area Network)あるいはWAN(Wide Area Network)等により構築したイントラネット1に業務用Webサーバ2を接続し、このイントラネット1を、ファイアウォール3を介してインターネット4に接続し、インターネット4に接続したクライアント装置5からイントラネット1上の業務用Webサーバ2にアクセス可能に構成しているものである。
【0022】
イントラネット1には、業務用Webサーバ2だけでなく所要のWebサーバ2’や、メールサーバ(図示せず)、プリンタサーバ(図示せず)等を適宜接続可能としており、所要のシステムを構成している。本実施形態では、説明の便宜上、かかるイントラネット1は一つの企業の基幹システムAにおけるネットワークを想定しているが、これに限定するものではなく、ファイアウォール3を介してインターネット4と接続するネットワークであればよく、そのようなネットワークをここではイントラネット1と呼ぶことにする。
【0023】
また、イントラネット1には出口側ゲートウェイ装置6を接続しており、本実施の形態の場合には、この出口側ゲートウェイ装置6によってファイアウォール3を制御している。すなわち、イントラネット1は出口側ゲートウェイ装置6を介してファイアウォール3と接続し、さらにインターネット4に接続すべく構成している。
【0024】
一方、インターネット4は、「インターネット」の名称で既知のネットワークであり、電話回線や無線LANをはじめとする無線通信によって、クライアント装置5から接続可能なネットワークである。
【0025】
クライアント装置5は、ノート型パーソナルコンピュータや、PDA、あるいは携帯電話などのモバイルコンピューティングを可能とした携帯端末、さらには、インターネット4と有線接続したデスクトップ型のパーソナルコンピュータ等である。
【0026】
かかるクライアント装置5には、後述するように業務用Webサーバ2と接続して所要の作業を実施可能とするアプリケーションソフトをインストールしているとともに、後述するように相互認証に用いる認証キーを格納している。本実施の形態では、認証キーは基幹システムAを管理しているシステム管理者が発行しており、クライアント装置5を用いて業務用Webサーバ2にアクセスする利用者からの認証キー発行要求に基づいて予め発行している。図1においては、クライアント装置5を2台記載しているが、これは業務用Webサーバ2には複数のクライアント装置5がアクセス可能となっていることを示しているものである。
【0027】
ファイアウォール3を介してインターネット4と接続するイントラネット1は、ファイアウォール3の外側のDMZ(DeMilitarized Zone)と呼ばれる緩衝域Bに相互認証システムサーバ7を設けており、この相互認証システムサーバ7を介してインターネット4と接続している。
【0028】
そしてさらに、相互認証システムサーバ7とファイアウォール3との間には入口側ゲートウェイ装置8を設け、この入口側ゲートウェイ装置8を介して相互認証システムサーバ7とファイアウォール3とを接続している。なお、入口側ゲートウェイ装置8と相互認証システムサーバ7とを別々の装置とするのではなく、1台のサーバで構成してもよい。
【0029】
入口側ゲートウェイ装置8は、相互認証システムサーバ7からの命令に基づいて後述するように出口側ゲートウェイ装置6と直接接続回線9で接続可能としている。すなわち、相互認証システムサーバ7からの命令に基づいて直接接続回線9の開閉を制御している。
【0030】
直接接続回線9を開状態とした場合には、ファイアウォール3を透過して入口側ゲートウェイ装置8と出口側ゲートウェイ装置6とが接続された状態となり、ファイアウォール3による制限を受けることなく入口側ゲートウェイ装置8と出口側ゲートウェイ装置6との間で情報の送受信を可能としている。
【0031】
なお、直接接続回線9は1本だけでなく、複本設けており、1本の直接接続回線9ごとに、業務用Webサーバ2へのアクセスを要求する1人の利用者を割り当てるべく構成している。
【0032】
以下において、図2のフローチャートを用いて本発明のリモートアクセスシステムのシステムフローを説明する。
【0033】
まず、クライアント装置5を操作している利用者は、業務用Webサーバ2からの情報の引出し、あるいは業務用Webサーバ2への情報の書込みが必要となった場合には、クライアント装置5をインターネット4に接続する(ステップS1)。
【0034】
そして、利用者はクライアント装置5を用いて相互認証システムサーバ7にアクセスし、クライアント装置5の表示画面に、業務用Webサーバ2にログインするための所要のログイン画面を表示させ、同ログイン画面において予め付与されている利用者識別のための利用者IDを入力し、ログインの要求を行なう(ステップS2)。
【0035】
相互認証システムサーバ7は、クライアント装置5に対してパスワードの入力を要求し、クライアント装置5は、予め格納した認証キーに基づいてパスワードを生成して入力する。そして、相互認証システムサーバ7は、入力されたパスワードに基づいて照合を行ない、相互認証を行なう(ステップS3)。すなわち、相互認証システムサーバ7は、予めクライアント装置5に付与した認証キーに基づくワンタイムパスワードにより利用者の認証を行なっている。
【0036】
相互認証システムサーバ7は、相互認証に基づいて認証キーの有無を判断し(ステップS4)、認証キーを有していないと判断された場合にはログインを拒否し、クライアント装置5から相互認証システムサーバ7への通信を切断する(ステップS5)。利用者は、クライアント装置5によってログインが拒否されたことを認識可能としている(ステップS6)。
【0037】
相互認証システムサーバ7において認証キーを有していると判断された場合には(ステップS4)、相互認証システムサーバ7はクライアント装置5との通信を継続し、入口側ゲートウェイ装置8に対して、認証した利用者のクライアント装置5に対するファイアウォール3の透過権限を設定させる命令を送信する(ステップS7)。
【0038】
入口側ゲートウェイ装置8は、相互認証システムサーバ7からの命令に基づいて、認証した利用者のクライアント装置5の転送先サーバとして出口側ゲートウェイ装置6を設定する。特に、使用する1つの直接接続回線9を指定することにより、1対1の接続を行なっている(ステップS8)。従って、ファイアウォール3にはそれ以外に透過可能な穴が開くおそれがなく、ファイアウォール3の堅牢性を維持することができる。
【0039】
また、入口側ゲートウェイ装置8と出口側ゲートウェイ装置6との間は、情報を暗号化して通信することにより、安全性を高めることができる。
【0040】
入口側ゲートウェイ装置8と出口側ゲートウェイ装置6との接続が行なわれることにより、利用者のクライアント装置5はイントラネット1に接続された状態となり、イントラネット1上の業務用Webサーバ2へのアクセスが可能となる。
【0041】
なお、本実施の形態の場合、業務用Webサーバ2にアクセするために業務用Webサーバ2においてさらに利用者情報の入力を行なわせて利用者の認証を行ない(ステップS9)、業務用Webサーバ2の正当な利用者でない場合には(ステップS10)、業務用Webサーバ2へのログインを拒否し、クライアント装置5から相互認証システムサーバ7への通信を切断している(ステップS5)。利用者は、クライアント装置5によってログインが拒否されたことを認識可能としている(ステップS6)。
【0042】
一方、利用者が正当な利用者であった場合には(ステップS10)、業務用Webサーバ2は利用者のログインを許可し、クライアント装置5を業務用Webサーバ2に接続させている(ステップS11)。
【0043】
なお、業務用Webサーバ2への利用者情報の入力は、相互認証システムサーバ7が行なうことにより利用者による入力の手間を省き、利用者によるログイン手続きを簡略化して利便性を高めることができる。
【0044】
利用者は、クライアント装置5によって業務用Webサーバ2にログインできたことを認識し(ステップS12)、業務用Webサーバ2からの情報の引出し、あるいは業務用Webサーバ2への情報の書込み等の所定処理を要求する(ステップS13)。
【0045】
業務用Webサーバ2は、クライアント装置5からの要求に基づいて所要の処理を実行する(ステップS14)。
【0046】
利用者は、所要の処理が終了すると業務用Webサーバ2に対してログアウトを要求する(ステップS15)。
【0047】
業務用Webサーバ2は、クライアント装置5からのログアウトの要求に基づいてログアウト処理を実行し、クライアント装置5との通信を切断している(ステップS16)。
【0048】
上記したように、相互認証システムサーバ7において認証されたクライアント装置5に対して、入口側ゲートウェイ装置8において、転送先サーバとして出口側ゲートウェイ装置6を設定することにより、ファイアウォールを透過させて入口側ゲートウェイ装置8と出口側ゲートウェイ装置6とを接続することによって、悪意をもった利用者による攻撃に対して堅牢とすることができ、悪意をもった利用者による攻撃を考慮する必要がなく、イントラネット側のシステム開発の生産性を向上させることができる。
【0049】
しかも、クライアント装置5から相互認証システムサーバ7までのインターネット域C(図1参照)は、クライアント装置5に予め格納した認証キーに基づいて相互認証システムサーバによりワンタイムパスワードによる相互認証を行なうことによりインターネット域Cでの機密性を向上させることができ、クライアント装置5から業務用Webサーバ2までの全経路において機密性を向上させることができるので、極めて安全なリモートアクセスシステムを提供することができる。
【0050】
上記の説明では、クライアント装置5がイントラネット1上の業務用Webサーバ2にアクセスするとして説明を行なっており、業務用Webサーバ2が業務上の利用にのみ限定されているかのようになっているが、業務用Webサーバ2は業務上の利用に限定しているものではなく、リモートアクセスされるイントラネット1内のWebサーバであればよい。
【0051】
【発明の効果】
請求項1記載の発明によれば、クライアント装置には予め認証キーを格納し、同認証キーを用いてワンタイムパスワードによる相互認証を行ない、認証されたクライアント装置のみをファイアウォールを透過させ、業務用Webサーバに接続可能としたリモートアクセス方法としたことによって、悪意をもった利用者による攻撃に対して堅牢であり、安全性が高いリモートアクセス方法とすることができる。
【0052】
請求項2記載の発明によれば、インターネットに接続した相互認証システムサーバと、同相互認証システムサーバと接続した入口側ゲートウェイ装置と、同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットと接続した出口側ゲートウェイ装置とによりインターネットとイントラネットとを接続し、入口側ゲートウェイ装置と出口側ゲートウェイ装置とを、ファイアウォールを透過させて接続可能にリモートアクセスシステムを構成したことによって、請求項1記載の発明と同様に、悪意をもった利用者による攻撃に対して堅牢であり、安全性が高いリモートアクセスシステムとすることができる。しかも、ファイアウォールを透過させてイントラネット上の業務用Webサーバからクライアント装置に所要の情報を出入可能であるので利便性が高く、極めて利用価値の高いリモートアクセスシステムを極めて安価で導入でき、かつ、低コストで維持管理することができる。
【0053】
請求項3記載の発明によれば、相互認証システムサーバにおいて認証されたクライアント装置に対して、入口側ゲートウェイ装置において、転送先サーバとして出口側ゲートウェイ装置を設定することにより、ファイアウォールを透過させて入口側ゲートウェイ装置と出口側ゲートウェイ装置とを接続すべく構成したことによって、悪意をもった利用者による攻撃に対して堅牢とすることができ、悪意をもった利用者による攻撃を考慮する必要がなく、イントラネット側のシステム開発の生産性を向上させることができる。
【0054】
請求項4記載の発明によれば、クライアント装置には予め認証キーを格納しておき、相互認証システムサーバは、インターネットを介して接続してきたクライアント装置に対して認証キーを用いたワンタイムパスワードによる相互認証を行なってクライアント装置の認証を行なうべく構成したことによって、クライアント装置と相互認証システムサーバとの間のインターネット域において、悪意をもった利用者による盗聴やなりすまし等の不正を完全に防止できる。したがって、クライアント装置から業務用Webサーバまでの全体の機密性を向上させることができ、極めて安全なリモートアクセスシステムを提供することができるので、業務用に用いるだけでなく、認証キーを取得した個人のインターネット加入者や公共施設からでも業務用Webサーバにアクセスして、所要のサービスを受けることができる。
【図面の簡単な説明】
【図1】本発明にかかるリモートアクセスシステムのシステム構成図である。
【図2】本発明にかかるリモートアクセスシステムのシステムフロー説明図である。
【符号の説明】
A 基幹システム
B 緩衝域
C インターネット域
1 イントラネット
2 業務用Webサーバ
3 ファイアウォール
4 インターネット
5 クライアント装置
6 出口側ゲートウェイ装置
7 相互認証システムサーバ
8 入口側ゲートウェイ装置
9 直接接続回線
Claims (4)
- ファイアウォールを介してインターネットに接続したイントラネット上の業務用Webサーバに、インターネットに接続したクライアント装置から接続を行なうリモートアクセス方法において、
クライアント装置には予め認証キーを格納し、同認証キーを用いてワンタイムパスワードによる相互認証を行ない、認証されたクライアント装置のみをファイアウォールを透過させ、業務用Webサーバに接続可能としたことを特徴とするリモートアクセス方法。 - イントラネットをインターネットに接続し、インターネットに接続したクライアント装置から、イントラネットに接続した業務用Webサーバに接続可能に構成したリモートアクセスシステムにおいて、
インターネットに接続した相互認証システムサーバと、
同相互認証システムサーバと接続した入口側ゲートウェイ装置と、
同入口側ゲートウェイ装置とファイアウォールを介して接続するとともにイントラネットと接続した出口側ゲートウェイ装置とによりインターネットとイントラネットとを接続し、
入口側ゲートウェイ装置と出口側ゲートウェイ装置とを、ファイアウォールを透過させて接続可能に構成したことを特徴とするリモートアクセスシステム。 - 相互認証システムサーバにおいて認証されたクライアント装置に対して、入口側ゲートウェイ装置において、転送先サーバとして出口側ゲートウェイ装置を設定することにより、ファイアウォールを透過させて入口側ゲートウェイ装置と出口側ゲートウェイ装置とを接続すべく構成したことを特徴とする請求項2記載のリモートアクセスシステム。
- クライアント装置には予め認証キーを格納しておき、相互認証システムサーバは、インターネットを介して接続してきたクライアント装置に対して認証キーを用いたワンタイムパスワードによる相互認証を行なってクライアント装置の認証を行なうべく構成したことを特徴とする請求項3記載のリモートアクセスシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002299528A JP2004133804A (ja) | 2002-10-11 | 2002-10-11 | リモートアクセス方法及びリモートアクセスシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002299528A JP2004133804A (ja) | 2002-10-11 | 2002-10-11 | リモートアクセス方法及びリモートアクセスシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004133804A true JP2004133804A (ja) | 2004-04-30 |
Family
ID=32288634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002299528A Pending JP2004133804A (ja) | 2002-10-11 | 2002-10-11 | リモートアクセス方法及びリモートアクセスシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004133804A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008109454A (ja) * | 2006-10-26 | 2008-05-08 | Fujitsu Ltd | 遠隔制御プログラム、携帯端末装置およびゲートウェイ装置 |
JPWO2014002138A1 (ja) * | 2012-06-27 | 2016-05-26 | 株式会社アイ・ピー・エス | 携帯端末管理サーバ、および携帯端末管理プログラム |
-
2002
- 2002-10-11 JP JP2002299528A patent/JP2004133804A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008109454A (ja) * | 2006-10-26 | 2008-05-08 | Fujitsu Ltd | 遠隔制御プログラム、携帯端末装置およびゲートウェイ装置 |
JPWO2014002138A1 (ja) * | 2012-06-27 | 2016-05-26 | 株式会社アイ・ピー・エス | 携帯端末管理サーバ、および携帯端末管理プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5619007B2 (ja) | サーバ・オペレーションの認可を行うための装置、システムおよびコンピュータ・プログラム | |
US9185096B2 (en) | Identity verification | |
US7519986B2 (en) | Method and apparatus for network security using a router based authentication system | |
CN109417553A (zh) | 经由内部网络监视来检测使用泄漏证书的攻击 | |
US9112879B2 (en) | Location determined network access | |
US11245526B2 (en) | Full-duplex password-less authentication | |
CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
US20090313691A1 (en) | Identity verification system applicable to virtual private network architecture and method of the same | |
MXPA06002182A (es) | Prevencion del acceso no autorizado de recursos de red de computadora. | |
US20220116385A1 (en) | Full-Duplex Password-less Authentication | |
CN107534664A (zh) | 针对使能ieee 802.1x的网络的多因素授权 | |
ES2241275T3 (es) | Metodo, disposicion y aparato para autentificacion. | |
US8635454B2 (en) | Authentication systems and methods using a packet telephony device | |
CN104753886B (zh) | 一种对远程用户的加锁方法、解锁方法及装置 | |
CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
Boonkrong et al. | Methods and threats of authentication | |
US9686270B2 (en) | Authentication systems and methods using a packet telephony device | |
JPH11203248A (ja) | 認証装置、および、そのプログラムを記録した記録媒体 | |
US10205745B2 (en) | Method for addressing, authentication, and secure data storage in computer systems | |
JP2004206258A (ja) | 多重認証システム、コンピュータプログラムおよび多重認証方法 | |
KR20110128371A (ko) | 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법 | |
JP2004133804A (ja) | リモートアクセス方法及びリモートアクセスシステム | |
JP2005165418A (ja) | ログイン認証システム。 | |
WO2016030832A1 (en) | Method and system for mobile data and communication security | |
Prasad | A Comparative Study of Passwordless Authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040830 |