JP2004274448A - 公衆ネットワークアクセス方式 - Google Patents
公衆ネットワークアクセス方式 Download PDFInfo
- Publication number
- JP2004274448A JP2004274448A JP2003063338A JP2003063338A JP2004274448A JP 2004274448 A JP2004274448 A JP 2004274448A JP 2003063338 A JP2003063338 A JP 2003063338A JP 2003063338 A JP2003063338 A JP 2003063338A JP 2004274448 A JP2004274448 A JP 2004274448A
- Authority
- JP
- Japan
- Prior art keywords
- access
- terminal
- public
- server
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】利用者が盗聴されたり、不正アクセスをしない公衆ネットワークアクセス方式を提供する。
【解決手段】所定ポイントに設けられる不特定多数の者が端末を接続可能なアクセスLAN1に、接続される利用権者(利用許諾を受けた)の端末2−1、2−2、……、2−nとサービス提供者のシステムサーバ(VPNサーバ)6間に、公衆アクセスルータ3を設け、この公衆アクセスルータ3とVPNサーバ6間に、アクセス制限されたパス8を構築し、端末2−1、2−2、……、2−nのいずれからでも、インターネット5にアクセスする場合に、公衆アクセスルータ3、パス8を介してVPNサーバ6にのみアクセスする。
【選択図】 図2
【解決手段】所定ポイントに設けられる不特定多数の者が端末を接続可能なアクセスLAN1に、接続される利用権者(利用許諾を受けた)の端末2−1、2−2、……、2−nとサービス提供者のシステムサーバ(VPNサーバ)6間に、公衆アクセスルータ3を設け、この公衆アクセスルータ3とVPNサーバ6間に、アクセス制限されたパス8を構築し、端末2−1、2−2、……、2−nのいずれからでも、インターネット5にアクセスする場合に、公衆アクセスルータ3、パス8を介してVPNサーバ6にのみアクセスする。
【選択図】 図2
Description
【0001】
【発明の属する技術分野】
この発明は、公衆インターネット接続サービスを安全に提供するための公衆ネットワークアクセス方式に関する。
【0002】
【従来の技術】
一般に、インターネット等の公衆ネットワークを介して、種々の情報の授受が行われる。公衆IPネットワークを利用した情報の伝達では、専用線を設けなくても良いという反面、秘密の保護(セキュリティ)の面で問題がある。セキュリティの問題については、専用線を設けるか、Webで広く用いられるSSL(secure socket layer)による暗号化、PGPなどメールの暗号化という方法が採用されている。更に、公衆IPネットワーク上に仮想的なプライベートネットワーク(VPN:Virtual Private Network)が作られ、そのサービスが実施されるに至っている。また、機密や有償、個人情報保護などを理由にアクセス制限をかけ、情報提供を行う場合に、要求された情報を公衆IPネットワークを介して情報要求元に提供する場合は暗号化して送出し、秘匿性の確保されるネットワークを介して、情報要求元に提供する場合には、平文の状態で送出する技術も提案されている(例えば、特許文献1参照)。
【0003】
一方、インターネット接続サービスを、不特定多数の者が端末を接続できるアクセス回線を介して提供する公衆インターネット接続サービスにおいては、端末とシステムサーバの所定の認証手順により、利用許諾を持つ者の端末を識別符号を用いて認証し、利用許諾を持たない者の不正利用を防止することが必要である。従来のサービス方式では、利用者の端末とシステムサーバとの間のアクセス回線として、電話網を用いるダイヤルアップPPP(point−to−point Protocol)方式や、専用のアクセスLANを用いるPPPoE(PPPover Ether)方式が用いられている。
【0004】
【特許文献1】
特開2000−138703号公報
【0005】
【発明が解決しようとする課題】
従来は、上記したように、公衆IPネットワークを利用して、特定の企業、個人が情報を授受する場合には、暗号化、VPN採用等により、セキュリティを確保することが可能であるが、例えば無線インターネットで提供されるホットスポットサービスや有線で提供される情報コンセント(例えば、ホテルの居室や公衆電話機の横に設置されたのデータポート)などの公衆インターネット接続において、利用者が非特定の相手方と情報を授受する際の通信データの盗聴や改ざん、乗っ取りなどを避けることはできない。また、それら不特定多数の者が端末を接続しうる環境において、利用者権者以外の不正利用を簡単な手順で防ぐことは困難であるという問題がある。
【0006】
一方、端末とシステムサーバとの間で所定の認証手順を経て接続するために、利用者の端末とシステムサーバとの間にアクセス回線が必要である。このアクセス回線は不特定多数の者が端末を接続し得るため、これに接続された端末から、認証を経ずしては、システムサーバへの認証に必要な所定のプロトコルによる通信以外の通信ができないようなアクセス制限が必要である。このためのアクセス回線として低速な電話回線を用いるか、外部のネットワークと隔離された専用のアクセスLAN回線を用いるかの方法が採られていたが、いずれも高コストの要因であった。
【0007】
この発明は上記問題点に着目してなされたものであって、盗聴されたり、利用権者以外の不正利用のない、安全で、低コストに実現し得る公衆ネットワークアクセス方式を提供することを目的とする。
【0008】
【課題を解決するための手段】
この出願の請求項1に係る公衆ネットワークアクセス方式は、所定のアクセスLANに接続された利用権者(利用許諾を受けた者)の端末から公衆IPネットワークにアクセスするためのアクセス方式であって、所定ポイントにアクセスルータを設け、かつアクセスLANの端末から見て論理的な接続点となるシステムサーバと前記アクセスルータ間に、前記アクセスルータ配下の端末からは、ここを通してシステムサーバへのみ接続可能とさせるアクセス制限されたパスを構築したものである。
【0009】
ここで、アクセスLANとは、不特定多数の者が端末を接続可能なLANであって、利用権者の端末が所定の利用者認証手順を経て行う場合を除き、それに接続された端末が公衆IPネットワークと通信できないように設定されているものを称している。アクセスLANの対象となるメディアは、IEEE802.3(イーサネット〔登録商標〕)や、IEEE802.5(トークンリング)、FDDI、IEEE802.11b(無線LAN)などのLAN型メディアである。有線・無線は問わない。ATM、LANエミュレーションなどLAN型メディアと同等の機能を提供する方法も含まれる。
【0010】
請求項2に係る公衆ネットワークアクセス方式は、請求項1に係るものにおいて、システムサーバとアクセスルータとの間にトンネルサーバを設置し、アクセスサーバからトンネルサーバにVPNトンネルを張り、アクセスルータにおいて経路制御を行うことで、アクセス制限されたパスを実現する。
【0011】
また、請求項3に係る公衆ネットワークアクセス方式は、請求項1に係るものにおいて、アクセスルータとVPNシステムサーバとの間に、物理的あるいは(PPPoEなどで実現される)論理的に専用のネットワークを使用してアクセス制限されたパスを実現するものである。
【0012】
請求項4に係る公衆ネットワークアクセス方式は、請求項1係るものにおいて、アクセスルータにおける所定のシステムサーバに対する所定のプロトコルによる通信のみを通過させる制限機能により、アクセス制限されたパスを実現するものである。
【0013】
また、請求項5に係る公衆ネットワークアクセス方式は、請求項1、請求項2、請求項3又は請求項4に係るものにおいて、更に、前記システムサーバと前記端末間を、各端末毎に利用権者の識別符号を用いてVPNトンネルにより接続する。
【0014】
また、請求項6に係る公衆ネットワークアクセス方式は、請求項5に係るものにおいて、前記アクセス制限されたパスの中を、前記システムサーバと前記各端末間を個別にVPN化し、同時に所定個数のVPN接続ができるようにしている。
【0015】
また、請求項7に係る公衆ネットワークアクセス方式は、請求項5又は請求項6に係るものにおいて、請求項4の方式によりパスが実現され、かつ前記アクセスLANに接続された各端末に対応する各ポイントのサーバに、前記アクセスルータを付設している。
【0016】
【発明の実施の形態】
以下、実施の形態により、この発明をさらに詳細に説明する。図1は、この発明が実施されるネットワーク全体の構成を示すブロック図である。図1のネットワークにおいて、アクセスLAN1は、ポイントAにおいて、不特定多数の者の端末2−1、2−2、……、2−nが任意に接続可能であり、接続された端末のうち、利用許諾を受けた者の端末は、公衆アクセスルータ3より、既存のルートとして設けられているA社のLAN4、インターネット5を介して、VPNサーバ(論理的な接続点となるシステムサーバ)6をアクセスでき、VPNサーバ6を経て、所望の情報提供サーバ等と通信できるようにしている。
【0017】
端末2−1、2−2、……、2−nは、例えばPDA、ノートPC、インターネット電話、インターネット機器などの端末であり、アクセスLAN1は、有線、無線いずれでも良い。
【0018】
公衆アクセスルータ3と、VPNサーバ6間は、既存の公衆ネットワークを活用するが、実質的には、アクセス制限されたパス8を構築し、公衆アクセスルータ3からは、VPNサーバ6にしかアクセスできないようになっている。アクセスパス8に着目した模式図を図2に示している。アクセス制限されたパス8のため、配下の端末2−1、2−2、……、2−nからは公衆アクセスルータ3を通してVPNサーバ6のみに接続可能であり、端末2−1、2−2、……、2−nから他にアクセスできず、既設のリソース、つまりA社LAN4中の機器には一切アクセスすることができない。これにより、既設のリソースが完全に保護されることが実現される。
【0019】
アクセス制限されたパス8を構築する方法としては、公衆アクセスルータ3と、VPNサーバ6との間でVPNトンネルを張る(Vtumなど)。専用のネットワークを使う方法(PPP0 Eなど)がある。
【0020】
更に、この実施形態ネットワークでは、各端末2−1、2−2、……、2−nとVPNサーバ6間を、各端末毎に利用者の識別符号を用いてVPNトンネル9−1、9−2、……、9−nにより接続している。この場合のVPNサーバ6は、各端末に対してVPNサーバであるが、上記した公衆アクセスルータ3とVPNサーバ6間で制限されたパスを張る場合のサーバと同一のものでも良いし、別に用意しても良い。アクセス制限されたパス8上、もしくはその先にあれば良い。
【0021】
この各端末2−1、2−2、……、2−nとVPNサーバ6間の個別のトンネル化により、PDA、ノートPC、インターネット電話、インターネット機器などの端末と公衆アクセスルータ3間の通信に対して盗聴を防ぐことができる。また、各端末からは、VPNサーバ6にしかアクセスできないため、既設のリソースにアクセスすることは一切できない。そのため、既設のリソースが完全に保護される。
【0022】
また、この実施形態ネットワークでは、公衆アクセスルータ3とVPNサーバ6間の制限されたパス8の中を、各端末2−1、2−2、……、2−nとVPNサーバ6間を個別にVPN化(VPN−n)し、同時にn個のVPN接続9−1、……、9−nができるようにしている。これにより、多人数が同時に1つの公衆アクセスルータを経由して、通信できる。
【0023】
図3は、この発明の他の実施形態のネットワークを説明する模式図である。図2のアクセス制限されたパス8を構築するために、図2のVPNサーバ6がなくても、実現可能である。図3には、この場合の実施形態を示している。図3においては、公衆アクセスルータ3に、VPNプロトコルによる通信しかできない機能を持たせ、アクセス制限されたパス8を構築している。次に、このアクセスルータ3を経由して、VPNサーバ(1)10−1、VPNサーバ(2)10−nと端末2−1、2−n間を利用者の識別符号を用いて張られるVPNトンネル9−1、9−2、……、9−nにより接続する。このVPNサーバ(1)10−1、VPNサーバ(2)10−nは、各端末毎に端末2−1、2−2、……、2−nの所有者である利用者の自宅等に設置されたサーバが想定できる。あるいは、グループ(例えば、会社)毎に、あるいは図2のように1つに集中させて用意しても良い。つまり、このVPNサーバ(1)10−1、VPNサーバ(2)10−nは、何らかの方法で各端末に対応したサーバを用意すれば良い。この実施形態では、各端末2−1、2−2、……、2−nからは、公衆アクセスルータ3の中を、利用者の識別符号を用いて張られる各VPNトンネル9−1、9−2、……、9−nにより、各端末に対応するVPNサーバ(1)10−1、VPNサーバ(2)10−nにしか、アクセスできない。 このVPNトンネル9−1、9−2、……、9−nによる各端末に対応するVPNサーバ10−1、10−2、……、10−nへの接続により、PDA、ノートPC、インターネット電話、インターネット機器などの各端末から公衆アクセスルータ8と経由して、VPNサーバ間までの通信に対して、盗聴を防ぐことができる。また、各端末からは、VPNサーバにしかアクセスできないため、既設のリソースにアクセスすることは一切できないので、既設のリソースが完全に保護される。
【0024】
この実施形態では、公衆アクセスルータ3が同時にn個のVPN接続9−1、……、9−nを通すことができるようにしている。そのため、多人数は同時に1つの公衆アクセスルータを経由して、通信できる。
【0025】
この実施形態ネットワークでは、各端末からは、各利用者の識別符号を用いて公衆アクセスルータ3、各VPN接続9−1、……、9−nを経由して、自己の対応するVPNサーバ(1)10等にしかアクセスできないので、原理的に匿名利用できないので、アカウント発行や認証サーバを必要としない。
【0026】
図4は、この発明の更に他の実施形態ネットワークを模式的に示す図である。図3に示すネットワークでは、ポイントAにおいてのみ、公衆アクセスルータ8を設けているが、図4に示すように、各端末2−1、2−2、……、2−nに対応するVPNサーバ(1)10−1、VPNサーバ(2)10−nにも、それぞれ公衆アクセスルータ8−1、8−2を設ければ、それぞれVPNサーバ(1)10−1の設置ポイントB、VPNサーバ(2)10−nの設置ポイントCからも、このネットワークにアクセスできることができるようになり、ネットワークの利用の活性化が期待できる。
【0027】
この発明の公衆ネットワークを実施すると、事業者側/基地局設置者側のメリットとして、
(1)認証を受けていないユーザには利用させないので、不正使用を防止できる。課金を確実にする。匿名利用防止(プロバイダ責任法など法的責任)がVPN接続により保証できる。
【0028】
(2)端末とVPNサーバ間をVPNにより暗号化するので、サービス提供者は、その区間のセキュリティ上の問題について考慮しなくて良くなる。特に、アクセスLAN部分には、認証機能や暗号化機能等は不要で、通常のLANで用いられている機器をそのまま利用でき、低コストである(特に、アクセスLANとして無線LANを用いる場合にも、通常の無線LANアクセスポイントで良い)。
【0029】
(3)認証を受けた利用者も、アクセスルータからはサーバを介してしかアクセスできない。その区間の途中から外へ抜け出して既存リソースへのアクセスは一切できない。既存インターネット環境にアクセスルータを設置しても安全である。そのため、既存インターネット環境の空き帯域を利用してサービスを行うことができるので、低価格で公衆インターネットサービスを提供することができる。
【0030】
(4)VPNプロトコルとして標準的に用いられているものをそのまま利用できるので、高性能なVPNサーバの構築と運用が比較的低コストで実現できる。
【0031】
また、利用者側のメリットとして、
(1)端末とVPNサーバ間(有線・無線)での盗聴やデータ改ざんのおそれがない。安全性は採用するVPNプロトコルの強度に依存し、有線/無線のアクセスLANのセキュリティレベルに依存しない。
【0032】
(2)広く用いられているVPNプロトコルを用いることができる。特に、端末側に標準で組み込まれているVPNプロトコルを用いる場合には、端末側に専用ドライバソフトウェアの組み込みが不要となる。
【0033】
【発明の効果】
この発明によれば、所定ポイントにアクセスルータを設け、かつアクセスLANに接続された端末から見て論理的な接続点となるシステムサーバと前記アクセスルータ間に、前記アクセスルータ配下の端末からは、ここを通してシステムサーバへのみアクセス接続可能とさせるアクセス制限されたパスを構築しているので、不特定多数の者が端末を接続し得るアクセスLANにおいて、利用許諾を受けた者の端末を識別符号による利用認証を経て接続するのに必要なシステムサーバを、アクセスLAN内に設置する必要がなくなり、公衆ネットワーク接続サービスのためのアクセスLANを分散して、多数の箇所に設置することが低コストで可能となった。
【0034】
また、請求項2又は請求項4に係る発明によれば、既設のインターネット回線あるいはイントラネット回線にアクセスルータを接続しても、アクセスLAN配下の端末からは既設の回線上にあるリソースファイル、CPUなどにはアクセスすることが一切できない。そのため、新たに専用の回線を用意する必要がなくなり、更に簡便で低コストに公衆ネットワーク接続サービスのためのアクセスLAN環境が構築できる。
【0035】
また、この発明によれば、所定ポイントにアクセスルータを設置し、所定のVPNプロトコルによる通信のみを可能とさせるアクセス制限されたパスを構築して、利用者の端末をそれぞれの端末に対応するシステムサーバと前記アクセス制限されたパスを経由して、識別符号による認証を経て、VPNトンネル接続で接続しているので、公衆インターネット接続区間では、匿名利用や利用許諾を受けていないものの不正利用を原理的に排除できる。すなわち、アクセスルータの設置者は、利用者に対して利用許諾を与え、識別符号を発行する用務や、端末からシステムサーバへVONトンネルを確立する際に必要となる認証サーバの運用を運用する用務を行う必要はない。また、アクセスLANに接続された端末に起因する全てのトラフィックがアクセスルータにより構築されたアクセス制限されたパスを通るように制限されていることから、アクセスルータ設置者がそれに対して負荷見積もりや経路制御、帯域制限を行うことが容易である。
【0036】
また、請求項5又は請求項6に係る発明によれば、端末とシステムサーバとの間の安全性は、端末とシステムサーバとの間のVPNトンネルで使用されるVPNプロトコルのセキュリティレベルに依存する。
【0037】
特に請求項6に係る発明によれば、利用するVPNプロトコルは端末毎に異なるものを用いることができる。すなわち、端末の性能や用途に応じてVPNプロトコルを使い分け、厳重な安全性が必要とされない用途においては、暗号化の強度を若干低くすることで、高い通信性能を得るような調整も可能である。
【0038】
また、請求項7に係る発明によれば、アクセスルータにシステムサーバの機能を持たせ、アクセスルータを設置した者が他地点のアクセスLANから公衆インターネット接続を行おうとするとき、自らが設置したアクセスルータをシステムサーバとしてVPNトンネルによる接続を行って通信を行うことができる。すなわち、自らが設置したシステムサーバに対する利用許諾を有すれば良く、他地点のアクセスLANの管理者あるいは第三者から利用許諾を受ける必要がなくなる。このことは、利用許諾を与え、識別符号を発行する用務、並びにシステムサーバにおける識別符号を用いた認証に係る用務を自らに対してのみ行えば良いことになり、システムサーバの運用に係る識別符号を用いた認証に係る用務を自らに対してのみ行えば良いことになり、システムサーバの運用に係るコストが分散化され軽減される。すなわち、お互いにシステムサーバの機能を持つアクセスルータを設置し、アクセスLANを相互に開放して行くことで、システム管理のコストをなしに、急速に公衆インターネットサービスの普及を進めることができる。
【図面の簡単な説明】
【図1】この発明が実施されるネットワーク全体の構成を示すブロック図である。
【図2】同実施形態ネットワークを制限パスに着目して模式的に示す図である。
【図3】この発明の他の実施形態ネットワークを模式的に示す図である。
【図4】この発明の更に他の実施形態ネットワークを模式的に示す図である。
【符号の説明】
1 アクセスLAN
2−1、2−2、……、2−n 端末
3、3−1、3−2 公衆アクセスルータ
4 A社LAN
5 インターネット
6 VPNサーバ
7A 、7B 情報提供サーバ
8、8−1、8−2 アクセス制限付きのパス
10−1 VPNサーバ(1)
10−2 VPNサーバ(2)
【発明の属する技術分野】
この発明は、公衆インターネット接続サービスを安全に提供するための公衆ネットワークアクセス方式に関する。
【0002】
【従来の技術】
一般に、インターネット等の公衆ネットワークを介して、種々の情報の授受が行われる。公衆IPネットワークを利用した情報の伝達では、専用線を設けなくても良いという反面、秘密の保護(セキュリティ)の面で問題がある。セキュリティの問題については、専用線を設けるか、Webで広く用いられるSSL(secure socket layer)による暗号化、PGPなどメールの暗号化という方法が採用されている。更に、公衆IPネットワーク上に仮想的なプライベートネットワーク(VPN:Virtual Private Network)が作られ、そのサービスが実施されるに至っている。また、機密や有償、個人情報保護などを理由にアクセス制限をかけ、情報提供を行う場合に、要求された情報を公衆IPネットワークを介して情報要求元に提供する場合は暗号化して送出し、秘匿性の確保されるネットワークを介して、情報要求元に提供する場合には、平文の状態で送出する技術も提案されている(例えば、特許文献1参照)。
【0003】
一方、インターネット接続サービスを、不特定多数の者が端末を接続できるアクセス回線を介して提供する公衆インターネット接続サービスにおいては、端末とシステムサーバの所定の認証手順により、利用許諾を持つ者の端末を識別符号を用いて認証し、利用許諾を持たない者の不正利用を防止することが必要である。従来のサービス方式では、利用者の端末とシステムサーバとの間のアクセス回線として、電話網を用いるダイヤルアップPPP(point−to−point Protocol)方式や、専用のアクセスLANを用いるPPPoE(PPPover Ether)方式が用いられている。
【0004】
【特許文献1】
特開2000−138703号公報
【0005】
【発明が解決しようとする課題】
従来は、上記したように、公衆IPネットワークを利用して、特定の企業、個人が情報を授受する場合には、暗号化、VPN採用等により、セキュリティを確保することが可能であるが、例えば無線インターネットで提供されるホットスポットサービスや有線で提供される情報コンセント(例えば、ホテルの居室や公衆電話機の横に設置されたのデータポート)などの公衆インターネット接続において、利用者が非特定の相手方と情報を授受する際の通信データの盗聴や改ざん、乗っ取りなどを避けることはできない。また、それら不特定多数の者が端末を接続しうる環境において、利用者権者以外の不正利用を簡単な手順で防ぐことは困難であるという問題がある。
【0006】
一方、端末とシステムサーバとの間で所定の認証手順を経て接続するために、利用者の端末とシステムサーバとの間にアクセス回線が必要である。このアクセス回線は不特定多数の者が端末を接続し得るため、これに接続された端末から、認証を経ずしては、システムサーバへの認証に必要な所定のプロトコルによる通信以外の通信ができないようなアクセス制限が必要である。このためのアクセス回線として低速な電話回線を用いるか、外部のネットワークと隔離された専用のアクセスLAN回線を用いるかの方法が採られていたが、いずれも高コストの要因であった。
【0007】
この発明は上記問題点に着目してなされたものであって、盗聴されたり、利用権者以外の不正利用のない、安全で、低コストに実現し得る公衆ネットワークアクセス方式を提供することを目的とする。
【0008】
【課題を解決するための手段】
この出願の請求項1に係る公衆ネットワークアクセス方式は、所定のアクセスLANに接続された利用権者(利用許諾を受けた者)の端末から公衆IPネットワークにアクセスするためのアクセス方式であって、所定ポイントにアクセスルータを設け、かつアクセスLANの端末から見て論理的な接続点となるシステムサーバと前記アクセスルータ間に、前記アクセスルータ配下の端末からは、ここを通してシステムサーバへのみ接続可能とさせるアクセス制限されたパスを構築したものである。
【0009】
ここで、アクセスLANとは、不特定多数の者が端末を接続可能なLANであって、利用権者の端末が所定の利用者認証手順を経て行う場合を除き、それに接続された端末が公衆IPネットワークと通信できないように設定されているものを称している。アクセスLANの対象となるメディアは、IEEE802.3(イーサネット〔登録商標〕)や、IEEE802.5(トークンリング)、FDDI、IEEE802.11b(無線LAN)などのLAN型メディアである。有線・無線は問わない。ATM、LANエミュレーションなどLAN型メディアと同等の機能を提供する方法も含まれる。
【0010】
請求項2に係る公衆ネットワークアクセス方式は、請求項1に係るものにおいて、システムサーバとアクセスルータとの間にトンネルサーバを設置し、アクセスサーバからトンネルサーバにVPNトンネルを張り、アクセスルータにおいて経路制御を行うことで、アクセス制限されたパスを実現する。
【0011】
また、請求項3に係る公衆ネットワークアクセス方式は、請求項1に係るものにおいて、アクセスルータとVPNシステムサーバとの間に、物理的あるいは(PPPoEなどで実現される)論理的に専用のネットワークを使用してアクセス制限されたパスを実現するものである。
【0012】
請求項4に係る公衆ネットワークアクセス方式は、請求項1係るものにおいて、アクセスルータにおける所定のシステムサーバに対する所定のプロトコルによる通信のみを通過させる制限機能により、アクセス制限されたパスを実現するものである。
【0013】
また、請求項5に係る公衆ネットワークアクセス方式は、請求項1、請求項2、請求項3又は請求項4に係るものにおいて、更に、前記システムサーバと前記端末間を、各端末毎に利用権者の識別符号を用いてVPNトンネルにより接続する。
【0014】
また、請求項6に係る公衆ネットワークアクセス方式は、請求項5に係るものにおいて、前記アクセス制限されたパスの中を、前記システムサーバと前記各端末間を個別にVPN化し、同時に所定個数のVPN接続ができるようにしている。
【0015】
また、請求項7に係る公衆ネットワークアクセス方式は、請求項5又は請求項6に係るものにおいて、請求項4の方式によりパスが実現され、かつ前記アクセスLANに接続された各端末に対応する各ポイントのサーバに、前記アクセスルータを付設している。
【0016】
【発明の実施の形態】
以下、実施の形態により、この発明をさらに詳細に説明する。図1は、この発明が実施されるネットワーク全体の構成を示すブロック図である。図1のネットワークにおいて、アクセスLAN1は、ポイントAにおいて、不特定多数の者の端末2−1、2−2、……、2−nが任意に接続可能であり、接続された端末のうち、利用許諾を受けた者の端末は、公衆アクセスルータ3より、既存のルートとして設けられているA社のLAN4、インターネット5を介して、VPNサーバ(論理的な接続点となるシステムサーバ)6をアクセスでき、VPNサーバ6を経て、所望の情報提供サーバ等と通信できるようにしている。
【0017】
端末2−1、2−2、……、2−nは、例えばPDA、ノートPC、インターネット電話、インターネット機器などの端末であり、アクセスLAN1は、有線、無線いずれでも良い。
【0018】
公衆アクセスルータ3と、VPNサーバ6間は、既存の公衆ネットワークを活用するが、実質的には、アクセス制限されたパス8を構築し、公衆アクセスルータ3からは、VPNサーバ6にしかアクセスできないようになっている。アクセスパス8に着目した模式図を図2に示している。アクセス制限されたパス8のため、配下の端末2−1、2−2、……、2−nからは公衆アクセスルータ3を通してVPNサーバ6のみに接続可能であり、端末2−1、2−2、……、2−nから他にアクセスできず、既設のリソース、つまりA社LAN4中の機器には一切アクセスすることができない。これにより、既設のリソースが完全に保護されることが実現される。
【0019】
アクセス制限されたパス8を構築する方法としては、公衆アクセスルータ3と、VPNサーバ6との間でVPNトンネルを張る(Vtumなど)。専用のネットワークを使う方法(PPP0 Eなど)がある。
【0020】
更に、この実施形態ネットワークでは、各端末2−1、2−2、……、2−nとVPNサーバ6間を、各端末毎に利用者の識別符号を用いてVPNトンネル9−1、9−2、……、9−nにより接続している。この場合のVPNサーバ6は、各端末に対してVPNサーバであるが、上記した公衆アクセスルータ3とVPNサーバ6間で制限されたパスを張る場合のサーバと同一のものでも良いし、別に用意しても良い。アクセス制限されたパス8上、もしくはその先にあれば良い。
【0021】
この各端末2−1、2−2、……、2−nとVPNサーバ6間の個別のトンネル化により、PDA、ノートPC、インターネット電話、インターネット機器などの端末と公衆アクセスルータ3間の通信に対して盗聴を防ぐことができる。また、各端末からは、VPNサーバ6にしかアクセスできないため、既設のリソースにアクセスすることは一切できない。そのため、既設のリソースが完全に保護される。
【0022】
また、この実施形態ネットワークでは、公衆アクセスルータ3とVPNサーバ6間の制限されたパス8の中を、各端末2−1、2−2、……、2−nとVPNサーバ6間を個別にVPN化(VPN−n)し、同時にn個のVPN接続9−1、……、9−nができるようにしている。これにより、多人数が同時に1つの公衆アクセスルータを経由して、通信できる。
【0023】
図3は、この発明の他の実施形態のネットワークを説明する模式図である。図2のアクセス制限されたパス8を構築するために、図2のVPNサーバ6がなくても、実現可能である。図3には、この場合の実施形態を示している。図3においては、公衆アクセスルータ3に、VPNプロトコルによる通信しかできない機能を持たせ、アクセス制限されたパス8を構築している。次に、このアクセスルータ3を経由して、VPNサーバ(1)10−1、VPNサーバ(2)10−nと端末2−1、2−n間を利用者の識別符号を用いて張られるVPNトンネル9−1、9−2、……、9−nにより接続する。このVPNサーバ(1)10−1、VPNサーバ(2)10−nは、各端末毎に端末2−1、2−2、……、2−nの所有者である利用者の自宅等に設置されたサーバが想定できる。あるいは、グループ(例えば、会社)毎に、あるいは図2のように1つに集中させて用意しても良い。つまり、このVPNサーバ(1)10−1、VPNサーバ(2)10−nは、何らかの方法で各端末に対応したサーバを用意すれば良い。この実施形態では、各端末2−1、2−2、……、2−nからは、公衆アクセスルータ3の中を、利用者の識別符号を用いて張られる各VPNトンネル9−1、9−2、……、9−nにより、各端末に対応するVPNサーバ(1)10−1、VPNサーバ(2)10−nにしか、アクセスできない。 このVPNトンネル9−1、9−2、……、9−nによる各端末に対応するVPNサーバ10−1、10−2、……、10−nへの接続により、PDA、ノートPC、インターネット電話、インターネット機器などの各端末から公衆アクセスルータ8と経由して、VPNサーバ間までの通信に対して、盗聴を防ぐことができる。また、各端末からは、VPNサーバにしかアクセスできないため、既設のリソースにアクセスすることは一切できないので、既設のリソースが完全に保護される。
【0024】
この実施形態では、公衆アクセスルータ3が同時にn個のVPN接続9−1、……、9−nを通すことができるようにしている。そのため、多人数は同時に1つの公衆アクセスルータを経由して、通信できる。
【0025】
この実施形態ネットワークでは、各端末からは、各利用者の識別符号を用いて公衆アクセスルータ3、各VPN接続9−1、……、9−nを経由して、自己の対応するVPNサーバ(1)10等にしかアクセスできないので、原理的に匿名利用できないので、アカウント発行や認証サーバを必要としない。
【0026】
図4は、この発明の更に他の実施形態ネットワークを模式的に示す図である。図3に示すネットワークでは、ポイントAにおいてのみ、公衆アクセスルータ8を設けているが、図4に示すように、各端末2−1、2−2、……、2−nに対応するVPNサーバ(1)10−1、VPNサーバ(2)10−nにも、それぞれ公衆アクセスルータ8−1、8−2を設ければ、それぞれVPNサーバ(1)10−1の設置ポイントB、VPNサーバ(2)10−nの設置ポイントCからも、このネットワークにアクセスできることができるようになり、ネットワークの利用の活性化が期待できる。
【0027】
この発明の公衆ネットワークを実施すると、事業者側/基地局設置者側のメリットとして、
(1)認証を受けていないユーザには利用させないので、不正使用を防止できる。課金を確実にする。匿名利用防止(プロバイダ責任法など法的責任)がVPN接続により保証できる。
【0028】
(2)端末とVPNサーバ間をVPNにより暗号化するので、サービス提供者は、その区間のセキュリティ上の問題について考慮しなくて良くなる。特に、アクセスLAN部分には、認証機能や暗号化機能等は不要で、通常のLANで用いられている機器をそのまま利用でき、低コストである(特に、アクセスLANとして無線LANを用いる場合にも、通常の無線LANアクセスポイントで良い)。
【0029】
(3)認証を受けた利用者も、アクセスルータからはサーバを介してしかアクセスできない。その区間の途中から外へ抜け出して既存リソースへのアクセスは一切できない。既存インターネット環境にアクセスルータを設置しても安全である。そのため、既存インターネット環境の空き帯域を利用してサービスを行うことができるので、低価格で公衆インターネットサービスを提供することができる。
【0030】
(4)VPNプロトコルとして標準的に用いられているものをそのまま利用できるので、高性能なVPNサーバの構築と運用が比較的低コストで実現できる。
【0031】
また、利用者側のメリットとして、
(1)端末とVPNサーバ間(有線・無線)での盗聴やデータ改ざんのおそれがない。安全性は採用するVPNプロトコルの強度に依存し、有線/無線のアクセスLANのセキュリティレベルに依存しない。
【0032】
(2)広く用いられているVPNプロトコルを用いることができる。特に、端末側に標準で組み込まれているVPNプロトコルを用いる場合には、端末側に専用ドライバソフトウェアの組み込みが不要となる。
【0033】
【発明の効果】
この発明によれば、所定ポイントにアクセスルータを設け、かつアクセスLANに接続された端末から見て論理的な接続点となるシステムサーバと前記アクセスルータ間に、前記アクセスルータ配下の端末からは、ここを通してシステムサーバへのみアクセス接続可能とさせるアクセス制限されたパスを構築しているので、不特定多数の者が端末を接続し得るアクセスLANにおいて、利用許諾を受けた者の端末を識別符号による利用認証を経て接続するのに必要なシステムサーバを、アクセスLAN内に設置する必要がなくなり、公衆ネットワーク接続サービスのためのアクセスLANを分散して、多数の箇所に設置することが低コストで可能となった。
【0034】
また、請求項2又は請求項4に係る発明によれば、既設のインターネット回線あるいはイントラネット回線にアクセスルータを接続しても、アクセスLAN配下の端末からは既設の回線上にあるリソースファイル、CPUなどにはアクセスすることが一切できない。そのため、新たに専用の回線を用意する必要がなくなり、更に簡便で低コストに公衆ネットワーク接続サービスのためのアクセスLAN環境が構築できる。
【0035】
また、この発明によれば、所定ポイントにアクセスルータを設置し、所定のVPNプロトコルによる通信のみを可能とさせるアクセス制限されたパスを構築して、利用者の端末をそれぞれの端末に対応するシステムサーバと前記アクセス制限されたパスを経由して、識別符号による認証を経て、VPNトンネル接続で接続しているので、公衆インターネット接続区間では、匿名利用や利用許諾を受けていないものの不正利用を原理的に排除できる。すなわち、アクセスルータの設置者は、利用者に対して利用許諾を与え、識別符号を発行する用務や、端末からシステムサーバへVONトンネルを確立する際に必要となる認証サーバの運用を運用する用務を行う必要はない。また、アクセスLANに接続された端末に起因する全てのトラフィックがアクセスルータにより構築されたアクセス制限されたパスを通るように制限されていることから、アクセスルータ設置者がそれに対して負荷見積もりや経路制御、帯域制限を行うことが容易である。
【0036】
また、請求項5又は請求項6に係る発明によれば、端末とシステムサーバとの間の安全性は、端末とシステムサーバとの間のVPNトンネルで使用されるVPNプロトコルのセキュリティレベルに依存する。
【0037】
特に請求項6に係る発明によれば、利用するVPNプロトコルは端末毎に異なるものを用いることができる。すなわち、端末の性能や用途に応じてVPNプロトコルを使い分け、厳重な安全性が必要とされない用途においては、暗号化の強度を若干低くすることで、高い通信性能を得るような調整も可能である。
【0038】
また、請求項7に係る発明によれば、アクセスルータにシステムサーバの機能を持たせ、アクセスルータを設置した者が他地点のアクセスLANから公衆インターネット接続を行おうとするとき、自らが設置したアクセスルータをシステムサーバとしてVPNトンネルによる接続を行って通信を行うことができる。すなわち、自らが設置したシステムサーバに対する利用許諾を有すれば良く、他地点のアクセスLANの管理者あるいは第三者から利用許諾を受ける必要がなくなる。このことは、利用許諾を与え、識別符号を発行する用務、並びにシステムサーバにおける識別符号を用いた認証に係る用務を自らに対してのみ行えば良いことになり、システムサーバの運用に係る識別符号を用いた認証に係る用務を自らに対してのみ行えば良いことになり、システムサーバの運用に係るコストが分散化され軽減される。すなわち、お互いにシステムサーバの機能を持つアクセスルータを設置し、アクセスLANを相互に開放して行くことで、システム管理のコストをなしに、急速に公衆インターネットサービスの普及を進めることができる。
【図面の簡単な説明】
【図1】この発明が実施されるネットワーク全体の構成を示すブロック図である。
【図2】同実施形態ネットワークを制限パスに着目して模式的に示す図である。
【図3】この発明の他の実施形態ネットワークを模式的に示す図である。
【図4】この発明の更に他の実施形態ネットワークを模式的に示す図である。
【符号の説明】
1 アクセスLAN
2−1、2−2、……、2−n 端末
3、3−1、3−2 公衆アクセスルータ
4 A社LAN
5 インターネット
6 VPNサーバ
7A 、7B 情報提供サーバ
8、8−1、8−2 アクセス制限付きのパス
10−1 VPNサーバ(1)
10−2 VPNサーバ(2)
Claims (7)
- 不特定多数の者が端末を接続可能なアクセスLANから、利用許諾を受けた者の端末を公衆IPネットワークに接続させるためのアクセス方式であって、
所定ポイントにアクセスルータを設け、かつアクセスLANに接続された端末から見て論理的な接続点となるシステムサーバと前記アクセスルータ間に、前記アクセスルータ配下の端末からは、ここを通してシステムサーバへのみ接続可能とさせるアクセス制限されたパスを構築したことを特徴とする公衆ネットワークアクセス方式。 - 前記パスは、前記アクセスルータからVPNトンネルを張るものであることを特徴とする請求項1記載の公衆ネットワークアクセス方式。
- 前記パスは、専用のネットワークを使用するものであることを特徴とする請求項1記載の公衆ネットワークアクセス方式。
- 前記パスは、前記アクセスルータにおける所定のシステムサーバに対する所定のプロトコルによる通信のみを通過させる制限機能により実現されるものであることを特徴とする請求項1記載の公衆ネットワークアクセス方式。
- 前記システムサーバと前記端末間を、各端末毎に利用権者の識別符号を用いてVPNトンネルにより接続することを特徴とする請求項1、請求項2、請求項3又は請求項4記載の公衆ネットワークアクセス方式。
- 前記アクセス制限されたパスの中を、前記システムサーバと前記各端末間を個別にVPN化し、同時に所定個数のVPN接続ができるようにしたことを特徴とする請求項5記載の公衆ネットワークアクセス方式。
- 前記アクセスLANに接続された各端末に対応する各ポイントのサーバに、前記アクセスルータを付設したことを特徴とする請求項4、請求項5又は請求項6記載の公衆ネットワークアクセス方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003063338A JP2004274448A (ja) | 2003-03-10 | 2003-03-10 | 公衆ネットワークアクセス方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003063338A JP2004274448A (ja) | 2003-03-10 | 2003-03-10 | 公衆ネットワークアクセス方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004274448A true JP2004274448A (ja) | 2004-09-30 |
Family
ID=33124941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003063338A Pending JP2004274448A (ja) | 2003-03-10 | 2003-03-10 | 公衆ネットワークアクセス方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004274448A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008028899A (ja) * | 2006-07-25 | 2008-02-07 | Nec Corp | 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法 |
| US7461148B1 (en) * | 2001-02-16 | 2008-12-02 | Swsoft Holdings, Ltd. | Virtual private server with isolation of system components |
| JP2009049557A (ja) * | 2007-08-15 | 2009-03-05 | Yamaha Corp | Vpnトポロジ制御装置、vpnトポロジ制御システム、vpnトポロジ制御方法およびプログラム |
| EP4064091A1 (en) | 2021-03-25 | 2022-09-28 | FUJIFILM Business Innovation Corp. | Information processing system, server, information processing apparatus, program, and information processing method |
-
2003
- 2003-03-10 JP JP2003063338A patent/JP2004274448A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7461148B1 (en) * | 2001-02-16 | 2008-12-02 | Swsoft Holdings, Ltd. | Virtual private server with isolation of system components |
| US8694637B1 (en) | 2001-02-16 | 2014-04-08 | Parallels IP Holdings GmbH | Virtual private server with CPU time scheduler and isolation of system components |
| JP2008028899A (ja) * | 2006-07-25 | 2008-02-07 | Nec Corp | 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法 |
| JP2009049557A (ja) * | 2007-08-15 | 2009-03-05 | Yamaha Corp | Vpnトポロジ制御装置、vpnトポロジ制御システム、vpnトポロジ制御方法およびプログラム |
| EP4064091A1 (en) | 2021-03-25 | 2022-09-28 | FUJIFILM Business Innovation Corp. | Information processing system, server, information processing apparatus, program, and information processing method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4071966B2 (ja) | 無線ネットワーククライアントに対し認証されたアクセスを提供する有線ネットワークとその方法 | |
| CN1719834B (zh) | 防火墙系统、加入系统的设备以及更新防火墙规则的方法 | |
| US7448081B2 (en) | Method and system for securely scanning network traffic | |
| US8607301B2 (en) | Deploying group VPNS and security groups over an end-to-end enterprise network | |
| CN100525304C (zh) | 网络系统、内部服务器、终端设备、存储介质和分组中继方法 | |
| US20030167410A1 (en) | System for providing firewall to a communication device and method and device of same | |
| CA2228687A1 (en) | Secured virtual private networks | |
| Hole et al. | Securing wi-fi networks | |
| JP2006109449A (ja) | 認証された無線局に暗号化キーを無線で提供するアクセスポイント | |
| Harmening | Virtual private networks | |
| CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
| KR20150053912A (ko) | 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들 | |
| Erten et al. | A layered security architecture for corporate 802.11 wireless networks | |
| CN101166093A (zh) | 一种认证方法和系统 | |
| US20090271852A1 (en) | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment | |
| US20040181663A1 (en) | Forced encryption for wireless local area networks | |
| JP2004274448A (ja) | 公衆ネットワークアクセス方式 | |
| KR20070009490A (ko) | 아이피 주소 기반 사용자 인증 시스템 및 방법 | |
| KR101816582B1 (ko) | 차량 및 그 제어방법 | |
| KR20170017860A (ko) | 네트워크 vpn 기반의 네트워크 가상화 시스템 | |
| Raiyn | INFORMATION SECURITY AND SAFETY IN CYBERPARKS | |
| JP2007243806A (ja) | 公衆無線ネットワークシステムのルータ制御方法 | |
| KR20160119549A (ko) | 네트워크 vpn 기반의 네트워크 가상화 시스템 | |
| Krebs et al. | Secure communications for ancillary services | |
| Tabassum et al. | Network capability analysis and related implementations improvements recommendations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041018 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061011 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070109 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070515 |