JP2004280595A - コールバックvpnシステム及び接続方法 - Google Patents
コールバックvpnシステム及び接続方法 Download PDFInfo
- Publication number
- JP2004280595A JP2004280595A JP2003072542A JP2003072542A JP2004280595A JP 2004280595 A JP2004280595 A JP 2004280595A JP 2003072542 A JP2003072542 A JP 2003072542A JP 2003072542 A JP2003072542 A JP 2003072542A JP 2004280595 A JP2004280595 A JP 2004280595A
- Authority
- JP
- Japan
- Prior art keywords
- client
- vpn
- server
- user information
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】インターネット上の二つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、VPNサーバをプライベートネットワークの内部に設置できる構成を提供する。
【解決手段】データ処理装置1は、VPNクライアントであり、VPN接続要求を認証情報と共にデータ処理装置3へ送信する。データ処理装置3はVPNサーバであり、受け取った電子メールに含まれる認証情報をもとにVPN接続を確立するか否か判断する。VPN接続を確立する場合、データ処理装置3はデータ処理装置1に対して接続要求を出す。データ処理装置1はデータ処理装置3からの接続要求を受け付け、VPN接続を確立する。
【選択図】 図1
【解決手段】データ処理装置1は、VPNクライアントであり、VPN接続要求を認証情報と共にデータ処理装置3へ送信する。データ処理装置3はVPNサーバであり、受け取った電子メールに含まれる認証情報をもとにVPN接続を確立するか否か判断する。VPN接続を確立する場合、データ処理装置3はデータ処理装置1に対して接続要求を出す。データ処理装置1はデータ処理装置3からの接続要求を受け付け、VPN接続を確立する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、ファイアウォールの内側にVPNサーバを有し、該VPNサーバに電子メールにより認証情報を送信するコールバックVPNシステム及び接続方法に関する。
【0002】
【従来の技術】
VPN(Virtual Private Network )は、公衆ネットワーク上において、複数サイト間の接続を、プライベートネットワークと同等のアクセスやセキュリティと共に提供する。
従来のVPNシステムでは、クライアントからサーバにネットワーク接続をし、VPN接続要求をすることでVPN接続を確立していた。
【0003】
コールバック(callback)とは、通信相手を確認する方法の一つである。着信した接続要求から発信者を確認し、着信側から発信側へ折り返し接続要求を行うことで発信者の認証が行われる。
【0004】
コールバック認証方式に関する文献を以下に挙げる。
特許文献1では、コールバックのトリガとなる回線とダイアルバックを行う回線を独立にすることで、高いセキュリティを有するコールバックリモートアクセスを提供する。
【0005】
特許文献2では、コールバックを電子メールで行うことで、コールバック要求発信者は相手先アドレスを入力する手間を省略することができ、使い勝手の向上が図れるとしている。
【0006】
【特許文献1】
特開2000−10920号公報
【特許文献2】
特開2001−308910号公報
【0007】
【発明が解決しようとする課題】
従来VPNシステムでは、次のような問題点があった。
第1の問題点は、クライアントが外部のネットワークに存在する場合、サーバにグローバルIPアドレスを使用させる必要があるということである。つまり、クライアントの数だけグローバルIPアドレスが必要になる。その理由は、クライアントからサーバに直接接続する必要があるためである。
【0008】
第2の問題点は、VPNを経由した内部ネットワークへのアクセス制限が難しいことである。その理由は、VPNの端点となるサーバが単一もしくは少ないため、複数のVPNの反対側ネットワークが同一のVPN機器を共有し、内部ネットワークから見ると区別できないためである。
【0009】
第3の問題点は、VPNサーバがセキュリティ的に危険な位置にさらされるということである。その理由は、VPNサーバが外部のネットワークに直接設置されるためである。
【0010】
上記問題点に鑑み、本発明は、インターネット上の2つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、VPNサーバをプライベートネットワークの内部に設置できる構成を提供することを目的とする。
【0011】
【課題を解決するための手段】
上記問題を解決するために、請求項1に記載の発明であるコールバックVPNシステムは、インターネット上の2つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、クライアントからサーバへの接続要求は電子メールにて行われることを特徴とする。
【0012】
請求項2に記載の発明は、請求項1に記載のコールバックVPNシステムであって、上記サーバはファイアウォール内に設置されることを特徴とする。
【0013】
請求項3に記載の発明は、請求項2に記載のコールバックVPNシステムであって、上記クライアントは、認証用のデータを作成し、暗号化する認証データ作成手段と、上記認証データ作成手段によって作成された認証用データと利用者名とを1つの組にして格納するユーザ情報蓄積手段と、電子メールを送信する電子メール送信手段と、上記サーバから接続要求があった場合に接続を確立する接続受付手段とを有することを特徴とする。
【0014】
請求項4に記載の発明は、請求項2に記載のコールバックVPNシステムであって、上記サーバは、電子メールを受信する電子メール受信手段と、接続可能な利用者名とクライアントとなる端末名とを格納するクライアント情報蓄積手段と、復号化と認証を行うクライアント認証手段と、クライアントに対してネットワーク接続要求を発行する接続要求手段とを有することを特徴とする。
【0015】
請求項5に記載の発明であるコールバックVPN接続方法は、インターネット上の2つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、クライアントがサーバにユーザ情報を含む電子メールを送信する電子メール送信工程と、上記サーバがユーザの認証を行う認証工程と、上記クライアントと上記サーバ間に接続を確立する接続確立工程とを有することを特徴とする。
【0016】
請求項6に記載の発明は、請求項5に記載のコールバックVPN接続方法であって、上記電子メール送信工程は、ユーザ情報を作成するユーザ情報作成工程と、ユーザ情報を暗号化する暗号化工程とを更に有することを特徴とする。
【0017】
請求項7に記載の発明は、請求項6に記載のコールバックVPN接続方法であって、上記ユーザ情報作成工程は、乱数を発生させる工程と、上記乱数とユーザ名とからユーザ情報を作成する工程と、ユーザ情報を登録する工程とを更に有することを特徴とする。
【0018】
請求項8に記載の発明は、請求項5に記載のコールバックVPN接続方法であって、上記認証工程は、暗号化された電子メールの内容を復号化する工程と、電子署名が有効であるか確認する工程と、既に登録がある利用者であるか確認する工程とを更に有することを特徴とする。
【0019】
【発明の実施の形態】
<構成>
図1に本実施例の構成を示す。
本実施例は、データ処理装置1、電子メール配送機構2及びデータ処理装置3を有する。
ここで、データ処理装置1からデータ処理装置3に対しては、ファイアウォールの存在により、ネットワーク接続が行えないとする。
【0020】
データ処理装置1は、VPNクライアントであり、VPN接続要求を認証情報と共に電子メールで送信する。データ処理装置1は更に認証データ作成部11、ユーザ情報蓄積装置12、電子メール送信部13及び接続受付部14を有する。
認証データ作成部11は、乱数発生部111、ユーザ情報作成部112、電子署名部113及び暗号化部114とを有する。
【0021】
乱数発生部111は、ランダムな文字列を発生させる。ここで発生させられる文字列は、VPNの接続要求毎に異なるといえる程度の乱雑さである。
ユーザ情報作成部112は、利用者名とランダム文字列とから構成される組を作成し、ユーザ情報蓄積装置12に格納する。同一の利用者名を含む組が既に存在する場合、既に存在するものは削除する。
電子署名部113は、与えられたデータに対して電子署名を施す。
暗号化部114は、与えられたデータを暗号化する。公開鍵暗号方式などを利用しても良い。
【0022】
ユーザ情報蓄積装置12は、利用者名と乱数発生部111によって生成されたランダム文字列とを1つの組として格納する。
電子メール送信部13は、暗号化されたユーザ情報をデータ処理装置3宛てに電子メールとして送信する。
【0023】
接続受付部14は、他のデータ処理装置からのネットワーク接続要求に対して、送信されたパスワードに一致するものがユーザ情報蓄積装置12に存在するかどうか確認し、一致するものがある場合、VPN接続を確立する。
【0024】
電子メール配送機構2は、指定された宛先に電子メールを送信する。
データ処理装置3はVPNサーバであり、外部ネットワークからの接続を全く受け付けない。データ処理装置3は更に電子メール受信部31、クライアント情報蓄積装置32、クライアント認証部33及び接続要求部34を有する。
【0025】
電子メール受信部31は、電子メール配送機構2から配送されたメールを受け取る。
クライアント情報蓄積装置32は、接続可能な利用者名と、その場合にVPNクライアントとなるデータ処理装置の名前とを格納している。
クライアント認証部33は、暗号解読部331、電子署名確認部332及びユーザ情報読込部333を有している。
【0026】
暗号解読部331は、暗号化されたデータを暗号化される前の状態に戻す。
電子署名確認部332は、与えられたデータに含まれる電子署名が有効なものであるかどうかを確認する。
クライアント情報読込部333は、電子メールを解読した内容に含まれる利用者名に一致するものをクライアント情報蓄積部32から読み込む。
接続要求部34は、指定されたデータ処理装置に対してネットワーク接続要求を発行する。この時パスワードとして、電子メールを解読した内容に含まれる利用者名とランダム文字列の組を送信する。
【0027】
<動作>
次に、図2、図3及び図4のフローチャートを参照して、本実施例の動作について詳細に説明する。
まず、図2を用いて、データ処理装置1がメール送信を行うまでの動作を説明する。
データ処理装置1は、乱数発生部111によってランダムな文字列を発生させる(ステップA1)。
ユーザ情報作成部112は、発生させたランダム文字列と利用者名からユーザ情報を作成する(ステップA2)。
ユーザ情報作成部112は、作成したユーザ情報と同一の利用者のものがユーザ情報蓄積装置12の中にあるかどうかを調べ、同一のものがある場合、ユーザ情報蓄積装置12の該当ユーザ情報を削除する。作成したユーザ情報は、ユーザ情報蓄積装置12に格納される(ステップA3からA5)。
【0028】
作成したユーザ情報は、電子署名部113によって電子署名が施され、暗号化部114によって暗号化される(ステップA6からA7)。
暗号化されたユーザ情報は、電子メール送信部13によって、電子メールとしてデータ処理装置3に送信される(ステップA8)。
送信された電子メールは、電子メール配送機構2によって、データ処理装置3に配送される。
【0029】
次に図3を用いて、データ処理装置3の電子メール受信後の動作を説明する。
データ処理装置3は、電子メール受信部31によって、配送された電子メールを受信する(ステップA9)。
電子メールの内容は、暗号解読部331により解読され、暗号化される前の状態に戻される(ステップA10)。
電子署名確認部332によって、解読された内容に含まれる電子署名が有効であるかを判断する(ステップA11)。
【0030】
電子署名が有効であれば、クライアント情報読込部333によって、クライアント情報蓄積装置32から利用者名の一覧を読み込み、解読されたメールに含まれる利用者名と一致するものがあるか否かを確認する(ステップA12及びA13)。
【0031】
暗号解読できない、または電子署名が有効でない、またはクライアント情報蓄積装置32に一致する利用者名が存在しない場合には、データ処理装置3は、接続要求を拒否して終了する(ステップA14)。
【0032】
クライアント情報蓄積装置32から読み込んだ利用者名一覧に、解読されたメールに含まれる利用者名と一致するものが存在する場合には、データ処理装置3は、データ処理装置1に対して、説測要求部33によって、電子メールの内容に含まれる文字列の組をパスワードとしてネットワークの接続要求を行う(ステップA15)。
【0033】
最後に図4を用いて、データ処理装置1の接続要求受付後の動作を説明する。
データ処理装置1は、データ処理装置3からのネットワーク接続要求を、接続受付部14によって受け付ける(ステップA16)。
接続受付部14は、接続要求のパスワードとして送信された文字列の組と、ユーザ情報蓄積装置12に格納されている文字列の組とが一致するかを確認する(ステップA17及びA18)。
一致する場合、要求されたネットワーク接続を確立する(ステップA19)。
一致しない場合、要求されたネットワーク接続を拒否する(ステップA20)。
【0034】
<具体的な例>
次に具体的な例を用いて実施例を説明する。
データ処理装置1の名前をclient、データ処理装置3の名前をserverとする。
clientからserverに対する直接の接続はできないが、serverからclientにはプロキシー(proxy server)を利用して接続できるとする。
【0035】
データ処理装置3用のメールアカウントをvpn@serverとし、電子メール配送機構はvpn@server宛のメールをデータ処理装置3に配送するとする。
clientを利用するユーザfoo がVPN接続の要求を出すとき、まず乱数発生部111によってasdfjlpkweという文字列を発生させたとする。
ユーザ情報作成部112は、ユーザ情報蓄積装置12に(foo, asdfjlpkwe )という組を格納する。(foo, asdfjlpkwe )という文字列に対して電子署名部113及び暗号化部114によって、電子署名と暗号化を施す。
暗号化の結果生成された文字列がjf102389hjfdier であるとする。
電子メール送信部13は、jf102389hjfdier という文字列を内容に持つ電子メールをfoo@server宛てに送信する。
【0036】
serverは、送信されたメールを受信する。
電子メールの内容である、jf102389hjfdier を解読すると、(foo, asdfjlpkwe )という文字列と電子署名が取得できる。電子署名が有効なものであるか否かを確認できた場合、foo と利用者名が一致する組がクライアント情報蓄積装置32に存在するか確認する。
【0037】
クライアント情報蓄積装置32には、(foo, client )という組が格納されているので、serverはclientに対してネットワーク接続要求を行う。このとき、パスワードとして(foo, asdfjlpkwe )を送信する。
clientは、接続を受け付け、(foo, asdfjlpkwe )と一致する組がユーザ情報蓄積装置12に存在するか確認する。この場合、存在するため、clientはserverとの間にVPN接続を確立する。
【0038】
【発明の効果】
以上説明したように、本願発明によれば以下の効果が得られる。
第1の効果は、VPNサーバをファイアウォール内に設置することができることにある。その理由は、VPNサーバがVPNクライアントからの直接接続を必要としないためである。
【0039】
第2の効果は、VPNサーバに対してプライベートIPアドレスを使用できることにある。その理由は、第1の効果と同様である。
【0040】
第3の効果は、内部ネットワークでのアクセス制限が容易になるということにある。その理由は、VPNサーバをVPNクライアント(の一群)に応じて複数用意することで、内部のネットワークからもVPNクライアント(の一群)を特定できるためである。
【0041】
第4の効果は、VPNサーバがセキュリティ的に強固になるということである。その理由は、第1の効果と同じである。
【図面の簡単な説明】
【図1】本発明の実施例の構成を示すブロック図である。
【図2】本発明の実施例におけるデータ処理装置1の電子メール送信までの動作を示すフローチャートである。
【図3】本発明の実施例におけるデータ処理装置3の電子メール受信後の動作を示すフローチャートである。
【図4】本発明の実施例におけるデータ処理装置1の接続受付後の動作を示すフローチャートである。
【符号の説明】
1 データ処理装置
2 電子メール配送機構
3 データ処理装置
11 認証データ作成部
12 ユーザ情報蓄積装置
13 電子メール送信部
14 接続受付部
31 電子メール受信部
32 クライアント情報蓄積装置
33 クライアント認証部
34 接続要求部
【発明の属する技術分野】
本発明は、ファイアウォールの内側にVPNサーバを有し、該VPNサーバに電子メールにより認証情報を送信するコールバックVPNシステム及び接続方法に関する。
【0002】
【従来の技術】
VPN(Virtual Private Network )は、公衆ネットワーク上において、複数サイト間の接続を、プライベートネットワークと同等のアクセスやセキュリティと共に提供する。
従来のVPNシステムでは、クライアントからサーバにネットワーク接続をし、VPN接続要求をすることでVPN接続を確立していた。
【0003】
コールバック(callback)とは、通信相手を確認する方法の一つである。着信した接続要求から発信者を確認し、着信側から発信側へ折り返し接続要求を行うことで発信者の認証が行われる。
【0004】
コールバック認証方式に関する文献を以下に挙げる。
特許文献1では、コールバックのトリガとなる回線とダイアルバックを行う回線を独立にすることで、高いセキュリティを有するコールバックリモートアクセスを提供する。
【0005】
特許文献2では、コールバックを電子メールで行うことで、コールバック要求発信者は相手先アドレスを入力する手間を省略することができ、使い勝手の向上が図れるとしている。
【0006】
【特許文献1】
特開2000−10920号公報
【特許文献2】
特開2001−308910号公報
【0007】
【発明が解決しようとする課題】
従来VPNシステムでは、次のような問題点があった。
第1の問題点は、クライアントが外部のネットワークに存在する場合、サーバにグローバルIPアドレスを使用させる必要があるということである。つまり、クライアントの数だけグローバルIPアドレスが必要になる。その理由は、クライアントからサーバに直接接続する必要があるためである。
【0008】
第2の問題点は、VPNを経由した内部ネットワークへのアクセス制限が難しいことである。その理由は、VPNの端点となるサーバが単一もしくは少ないため、複数のVPNの反対側ネットワークが同一のVPN機器を共有し、内部ネットワークから見ると区別できないためである。
【0009】
第3の問題点は、VPNサーバがセキュリティ的に危険な位置にさらされるということである。その理由は、VPNサーバが外部のネットワークに直接設置されるためである。
【0010】
上記問題点に鑑み、本発明は、インターネット上の2つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、VPNサーバをプライベートネットワークの内部に設置できる構成を提供することを目的とする。
【0011】
【課題を解決するための手段】
上記問題を解決するために、請求項1に記載の発明であるコールバックVPNシステムは、インターネット上の2つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、クライアントからサーバへの接続要求は電子メールにて行われることを特徴とする。
【0012】
請求項2に記載の発明は、請求項1に記載のコールバックVPNシステムであって、上記サーバはファイアウォール内に設置されることを特徴とする。
【0013】
請求項3に記載の発明は、請求項2に記載のコールバックVPNシステムであって、上記クライアントは、認証用のデータを作成し、暗号化する認証データ作成手段と、上記認証データ作成手段によって作成された認証用データと利用者名とを1つの組にして格納するユーザ情報蓄積手段と、電子メールを送信する電子メール送信手段と、上記サーバから接続要求があった場合に接続を確立する接続受付手段とを有することを特徴とする。
【0014】
請求項4に記載の発明は、請求項2に記載のコールバックVPNシステムであって、上記サーバは、電子メールを受信する電子メール受信手段と、接続可能な利用者名とクライアントとなる端末名とを格納するクライアント情報蓄積手段と、復号化と認証を行うクライアント認証手段と、クライアントに対してネットワーク接続要求を発行する接続要求手段とを有することを特徴とする。
【0015】
請求項5に記載の発明であるコールバックVPN接続方法は、インターネット上の2つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、クライアントがサーバにユーザ情報を含む電子メールを送信する電子メール送信工程と、上記サーバがユーザの認証を行う認証工程と、上記クライアントと上記サーバ間に接続を確立する接続確立工程とを有することを特徴とする。
【0016】
請求項6に記載の発明は、請求項5に記載のコールバックVPN接続方法であって、上記電子メール送信工程は、ユーザ情報を作成するユーザ情報作成工程と、ユーザ情報を暗号化する暗号化工程とを更に有することを特徴とする。
【0017】
請求項7に記載の発明は、請求項6に記載のコールバックVPN接続方法であって、上記ユーザ情報作成工程は、乱数を発生させる工程と、上記乱数とユーザ名とからユーザ情報を作成する工程と、ユーザ情報を登録する工程とを更に有することを特徴とする。
【0018】
請求項8に記載の発明は、請求項5に記載のコールバックVPN接続方法であって、上記認証工程は、暗号化された電子メールの内容を復号化する工程と、電子署名が有効であるか確認する工程と、既に登録がある利用者であるか確認する工程とを更に有することを特徴とする。
【0019】
【発明の実施の形態】
<構成>
図1に本実施例の構成を示す。
本実施例は、データ処理装置1、電子メール配送機構2及びデータ処理装置3を有する。
ここで、データ処理装置1からデータ処理装置3に対しては、ファイアウォールの存在により、ネットワーク接続が行えないとする。
【0020】
データ処理装置1は、VPNクライアントであり、VPN接続要求を認証情報と共に電子メールで送信する。データ処理装置1は更に認証データ作成部11、ユーザ情報蓄積装置12、電子メール送信部13及び接続受付部14を有する。
認証データ作成部11は、乱数発生部111、ユーザ情報作成部112、電子署名部113及び暗号化部114とを有する。
【0021】
乱数発生部111は、ランダムな文字列を発生させる。ここで発生させられる文字列は、VPNの接続要求毎に異なるといえる程度の乱雑さである。
ユーザ情報作成部112は、利用者名とランダム文字列とから構成される組を作成し、ユーザ情報蓄積装置12に格納する。同一の利用者名を含む組が既に存在する場合、既に存在するものは削除する。
電子署名部113は、与えられたデータに対して電子署名を施す。
暗号化部114は、与えられたデータを暗号化する。公開鍵暗号方式などを利用しても良い。
【0022】
ユーザ情報蓄積装置12は、利用者名と乱数発生部111によって生成されたランダム文字列とを1つの組として格納する。
電子メール送信部13は、暗号化されたユーザ情報をデータ処理装置3宛てに電子メールとして送信する。
【0023】
接続受付部14は、他のデータ処理装置からのネットワーク接続要求に対して、送信されたパスワードに一致するものがユーザ情報蓄積装置12に存在するかどうか確認し、一致するものがある場合、VPN接続を確立する。
【0024】
電子メール配送機構2は、指定された宛先に電子メールを送信する。
データ処理装置3はVPNサーバであり、外部ネットワークからの接続を全く受け付けない。データ処理装置3は更に電子メール受信部31、クライアント情報蓄積装置32、クライアント認証部33及び接続要求部34を有する。
【0025】
電子メール受信部31は、電子メール配送機構2から配送されたメールを受け取る。
クライアント情報蓄積装置32は、接続可能な利用者名と、その場合にVPNクライアントとなるデータ処理装置の名前とを格納している。
クライアント認証部33は、暗号解読部331、電子署名確認部332及びユーザ情報読込部333を有している。
【0026】
暗号解読部331は、暗号化されたデータを暗号化される前の状態に戻す。
電子署名確認部332は、与えられたデータに含まれる電子署名が有効なものであるかどうかを確認する。
クライアント情報読込部333は、電子メールを解読した内容に含まれる利用者名に一致するものをクライアント情報蓄積部32から読み込む。
接続要求部34は、指定されたデータ処理装置に対してネットワーク接続要求を発行する。この時パスワードとして、電子メールを解読した内容に含まれる利用者名とランダム文字列の組を送信する。
【0027】
<動作>
次に、図2、図3及び図4のフローチャートを参照して、本実施例の動作について詳細に説明する。
まず、図2を用いて、データ処理装置1がメール送信を行うまでの動作を説明する。
データ処理装置1は、乱数発生部111によってランダムな文字列を発生させる(ステップA1)。
ユーザ情報作成部112は、発生させたランダム文字列と利用者名からユーザ情報を作成する(ステップA2)。
ユーザ情報作成部112は、作成したユーザ情報と同一の利用者のものがユーザ情報蓄積装置12の中にあるかどうかを調べ、同一のものがある場合、ユーザ情報蓄積装置12の該当ユーザ情報を削除する。作成したユーザ情報は、ユーザ情報蓄積装置12に格納される(ステップA3からA5)。
【0028】
作成したユーザ情報は、電子署名部113によって電子署名が施され、暗号化部114によって暗号化される(ステップA6からA7)。
暗号化されたユーザ情報は、電子メール送信部13によって、電子メールとしてデータ処理装置3に送信される(ステップA8)。
送信された電子メールは、電子メール配送機構2によって、データ処理装置3に配送される。
【0029】
次に図3を用いて、データ処理装置3の電子メール受信後の動作を説明する。
データ処理装置3は、電子メール受信部31によって、配送された電子メールを受信する(ステップA9)。
電子メールの内容は、暗号解読部331により解読され、暗号化される前の状態に戻される(ステップA10)。
電子署名確認部332によって、解読された内容に含まれる電子署名が有効であるかを判断する(ステップA11)。
【0030】
電子署名が有効であれば、クライアント情報読込部333によって、クライアント情報蓄積装置32から利用者名の一覧を読み込み、解読されたメールに含まれる利用者名と一致するものがあるか否かを確認する(ステップA12及びA13)。
【0031】
暗号解読できない、または電子署名が有効でない、またはクライアント情報蓄積装置32に一致する利用者名が存在しない場合には、データ処理装置3は、接続要求を拒否して終了する(ステップA14)。
【0032】
クライアント情報蓄積装置32から読み込んだ利用者名一覧に、解読されたメールに含まれる利用者名と一致するものが存在する場合には、データ処理装置3は、データ処理装置1に対して、説測要求部33によって、電子メールの内容に含まれる文字列の組をパスワードとしてネットワークの接続要求を行う(ステップA15)。
【0033】
最後に図4を用いて、データ処理装置1の接続要求受付後の動作を説明する。
データ処理装置1は、データ処理装置3からのネットワーク接続要求を、接続受付部14によって受け付ける(ステップA16)。
接続受付部14は、接続要求のパスワードとして送信された文字列の組と、ユーザ情報蓄積装置12に格納されている文字列の組とが一致するかを確認する(ステップA17及びA18)。
一致する場合、要求されたネットワーク接続を確立する(ステップA19)。
一致しない場合、要求されたネットワーク接続を拒否する(ステップA20)。
【0034】
<具体的な例>
次に具体的な例を用いて実施例を説明する。
データ処理装置1の名前をclient、データ処理装置3の名前をserverとする。
clientからserverに対する直接の接続はできないが、serverからclientにはプロキシー(proxy server)を利用して接続できるとする。
【0035】
データ処理装置3用のメールアカウントをvpn@serverとし、電子メール配送機構はvpn@server宛のメールをデータ処理装置3に配送するとする。
clientを利用するユーザfoo がVPN接続の要求を出すとき、まず乱数発生部111によってasdfjlpkweという文字列を発生させたとする。
ユーザ情報作成部112は、ユーザ情報蓄積装置12に(foo, asdfjlpkwe )という組を格納する。(foo, asdfjlpkwe )という文字列に対して電子署名部113及び暗号化部114によって、電子署名と暗号化を施す。
暗号化の結果生成された文字列がjf102389hjfdier であるとする。
電子メール送信部13は、jf102389hjfdier という文字列を内容に持つ電子メールをfoo@server宛てに送信する。
【0036】
serverは、送信されたメールを受信する。
電子メールの内容である、jf102389hjfdier を解読すると、(foo, asdfjlpkwe )という文字列と電子署名が取得できる。電子署名が有効なものであるか否かを確認できた場合、foo と利用者名が一致する組がクライアント情報蓄積装置32に存在するか確認する。
【0037】
クライアント情報蓄積装置32には、(foo, client )という組が格納されているので、serverはclientに対してネットワーク接続要求を行う。このとき、パスワードとして(foo, asdfjlpkwe )を送信する。
clientは、接続を受け付け、(foo, asdfjlpkwe )と一致する組がユーザ情報蓄積装置12に存在するか確認する。この場合、存在するため、clientはserverとの間にVPN接続を確立する。
【0038】
【発明の効果】
以上説明したように、本願発明によれば以下の効果が得られる。
第1の効果は、VPNサーバをファイアウォール内に設置することができることにある。その理由は、VPNサーバがVPNクライアントからの直接接続を必要としないためである。
【0039】
第2の効果は、VPNサーバに対してプライベートIPアドレスを使用できることにある。その理由は、第1の効果と同様である。
【0040】
第3の効果は、内部ネットワークでのアクセス制限が容易になるということにある。その理由は、VPNサーバをVPNクライアント(の一群)に応じて複数用意することで、内部のネットワークからもVPNクライアント(の一群)を特定できるためである。
【0041】
第4の効果は、VPNサーバがセキュリティ的に強固になるということである。その理由は、第1の効果と同じである。
【図面の簡単な説明】
【図1】本発明の実施例の構成を示すブロック図である。
【図2】本発明の実施例におけるデータ処理装置1の電子メール送信までの動作を示すフローチャートである。
【図3】本発明の実施例におけるデータ処理装置3の電子メール受信後の動作を示すフローチャートである。
【図4】本発明の実施例におけるデータ処理装置1の接続受付後の動作を示すフローチャートである。
【符号の説明】
1 データ処理装置
2 電子メール配送機構
3 データ処理装置
11 認証データ作成部
12 ユーザ情報蓄積装置
13 電子メール送信部
14 接続受付部
31 電子メール受信部
32 クライアント情報蓄積装置
33 クライアント認証部
34 接続要求部
Claims (8)
- インターネット上の2つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、
クライアントからサーバへの接続要求は電子メールにて行われることを特徴とするコールバックVPNシステム。 - 前記サーバはファイアウォール内に設置されることを特徴とする請求項1に記載のコールバックVPNシステム。
- 前記クライアントは、
認証用のデータを作成し、暗号化する認証データ作成手段と、
前記認証データ作成手段によって作成された認証用データと利用者名とを1つの組にして格納するユーザ情報蓄積手段と、
電子メールを送信する電子メール送信手段と、
前記サーバから接続要求があった場合に接続を確立する接続受付手段とを有することを特徴とする請求項2に記載のコールバックVPNシステム。 - 前記サーバは、
電子メールを受信する電子メール受信手段と、
接続可能な利用者名とクライアントとなる端末名とを格納するクライアント情報蓄積手段と、
復号化と認証を行うクライアント認証手段と、
前記クライアントに対してネットワーク接続要求を発行する接続要求手段とを有することを特徴とする請求項2に記載のコールバックVPNシステム。 - インターネット上の2つの機器間で暗号化された通信経路を開き、仮想的なネットワークを作成するVPNシステムにおいて、
クライアントがサーバにユーザ情報を含む電子メールを送信する電子メール送信工程と、
前記サーバがユーザの認証を行う認証工程と、
前記クライアントと前記サーバ間に接続を確立する接続確立工程とを有することを特徴とするコールバックVPN接続方法。 - 前記電子メール送信工程は、
ユーザ情報を作成するユーザ情報作成工程と、
ユーザ情報を暗号化する暗号化工程とを更に有することを特徴とする請求項5に記載のコールバックVPN接続方法。 - 前記ユーザ情報作成工程は、
乱数を発生させる工程と、
前記乱数とユーザ名とからユーザ情報を作成する工程と、
ユーザ情報を登録する工程とを更に有することを特徴とする請求項6に記載のコールバックVPN接続方法。 - 前記認証工程は、
暗号化された電子メールの内容を復号化する工程と、
電子署名が有効であるか確認する工程と、
既に登録がある利用者であるか確認する工程とを更に有することを特徴とする請求項5に記載のコールバックVPN接続方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003072542A JP2004280595A (ja) | 2003-03-17 | 2003-03-17 | コールバックvpnシステム及び接続方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003072542A JP2004280595A (ja) | 2003-03-17 | 2003-03-17 | コールバックvpnシステム及び接続方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004280595A true JP2004280595A (ja) | 2004-10-07 |
Family
ID=33288714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003072542A Pending JP2004280595A (ja) | 2003-03-17 | 2003-03-17 | コールバックvpnシステム及び接続方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004280595A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006129474A1 (ja) * | 2005-05-31 | 2006-12-07 | Pioneer Corporation | データ転送方法、転送指示用通信端末装置、転送制御用通信端末装置、転送指示用プログラムおよび転送制御用プログラム |
| JP2007110387A (ja) * | 2005-10-13 | 2007-04-26 | Nippon Telegraph & Telephone East Corp | Vpn接続システム及びvpn接続方法 |
| JP2007259384A (ja) * | 2006-03-27 | 2007-10-04 | Nec Corp | 通信制御システム、通信制御装置、端末、通信制御方法、およびそのプログラム |
| JP2008090731A (ja) * | 2006-10-04 | 2008-04-17 | Ricoh Co Ltd | 情報処理装置、通信方法およびプログラム |
| US8769262B2 (en) | 2009-03-02 | 2014-07-01 | Nec Corporation | VPN connection system and VPN connection method |
-
2003
- 2003-03-17 JP JP2003072542A patent/JP2004280595A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006129474A1 (ja) * | 2005-05-31 | 2006-12-07 | Pioneer Corporation | データ転送方法、転送指示用通信端末装置、転送制御用通信端末装置、転送指示用プログラムおよび転送制御用プログラム |
| JP2007110387A (ja) * | 2005-10-13 | 2007-04-26 | Nippon Telegraph & Telephone East Corp | Vpn接続システム及びvpn接続方法 |
| JP4762662B2 (ja) * | 2005-10-13 | 2011-08-31 | 東日本電信電話株式会社 | Vpn接続システム及びvpn接続方法 |
| JP2007259384A (ja) * | 2006-03-27 | 2007-10-04 | Nec Corp | 通信制御システム、通信制御装置、端末、通信制御方法、およびそのプログラム |
| JP2008090731A (ja) * | 2006-10-04 | 2008-04-17 | Ricoh Co Ltd | 情報処理装置、通信方法およびプログラム |
| US8769262B2 (en) | 2009-03-02 | 2014-07-01 | Nec Corporation | VPN connection system and VPN connection method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10313135B2 (en) | Secure instant messaging system | |
| US9917828B2 (en) | Secure message delivery using a trust broker | |
| US8144874B2 (en) | Method for obtaining key for use in secure communications over a network and apparatus for providing same | |
| US6826395B2 (en) | System and method for secure trading mechanism combining wireless communication and wired communication | |
| US7328351B2 (en) | Mail processing apparatus and method | |
| US20030182553A1 (en) | End-to end protection of media stream encryption keys for voice-over-IP systems | |
| JP2002024147A (ja) | セキュアメールプロキシシステム及び方法並びに記録媒体 | |
| WO2010078755A1 (zh) | 电子邮件的传送方法、系统及wapi终端 | |
| GB2418112A (en) | Device providing encryption services for Internet fax machines | |
| US20070288746A1 (en) | Method of providing key containers | |
| EP1151573A1 (en) | Secure messaging system and method | |
| WO2006046548A1 (ja) | Url認証システム及びurl認証方法 | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| JP2006217446A (ja) | 遠隔会議システム | |
| US20050209975A1 (en) | System, method and computer program product for conducting a secure transaction via a network | |
| JP4709470B2 (ja) | インターネットユーザの識別方法およびインターネットアクセスポイント装置 | |
| JP2006244318A (ja) | 電子メール中継装置 | |
| JP3431745B2 (ja) | ゲートウェイシステム | |
| JP2004280595A (ja) | コールバックvpnシステム及び接続方法 | |
| WO2001030016A2 (en) | A method for non-repudiation using a trusted third party | |
| JP2007334753A (ja) | アクセス管理システムおよび方法 | |
| US20040133499A1 (en) | Method for paying paid offers made on a network | |
| JP7116972B1 (ja) | ファイル転送システム | |
| US20070079114A1 (en) | Method and system for the communication of a message as well as a suitable key generator for this | |
| JP4346900B2 (ja) | 電子メール送信方法及び電子メール受信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060516 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060718 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060822 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060921 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060921 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20060921 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20061212 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070118 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20070223 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080604 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20090508 |