JP2004295166A - リモートアクセスシステムおよびリモートアクセス方法 - Google Patents

リモートアクセスシステムおよびリモートアクセス方法 Download PDF

Info

Publication number
JP2004295166A
JP2004295166A JP2003082678A JP2003082678A JP2004295166A JP 2004295166 A JP2004295166 A JP 2004295166A JP 2003082678 A JP2003082678 A JP 2003082678A JP 2003082678 A JP2003082678 A JP 2003082678A JP 2004295166 A JP2004295166 A JP 2004295166A
Authority
JP
Japan
Prior art keywords
internal
relay server
access
external client
dmz
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003082678A
Other languages
English (en)
Other versions
JP4340848B2 (ja
Inventor
Naoto Yoshimura
直人 吉村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003082678A priority Critical patent/JP4340848B2/ja
Publication of JP2004295166A publication Critical patent/JP2004295166A/ja
Application granted granted Critical
Publication of JP4340848B2 publication Critical patent/JP4340848B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】部外者による内部ネットワークへのアクセスを確実に防することのできるリモートアクセスシステムを提供する。
【解決手段】外部ネットワーク2に接続された外部クライアント1から内部ネットワーク7に接続された少なくとも1つの内部Webサーバ9へのアクセスを制御するリモートアクセスシステムであって、ファイアウォール3、6により外部ネットワーク2および内部ネットワーク7から隔離されたDMZ4と、DMZ4に接続されたDMZ中継サーバ5と、内部ネットワーク7に接続された少なくとも1つの内部中継サーバ8とを有する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、外部から例えばLAN(Local Area Network)などの内部ネットワークへアクセスするシステムおよび方法に関する。
【0002】
【従来の技術】
外部から内部ネットワークへアクセスするシステムとして、例えば特許文献1に記載されているようなシステムがある。このシステムは、ファイアウォールの内部にと外部にそれぞれサーバを備える。内部サーバは、ファイアウォール内部のネットワーク(例えばLAN)に接続され、外部サーバはファイアウォール外部のネットワーク(例えばインターネット)に接続されている。このシステムでは、内部サーバから外部サーバに向けての接続を予め確保しておき、外部から内部ネットワークへのアクセス要求が外部サーバにあった場合に、アクセスの宛先の有効性を確認した上で、その確保した接続を使って内部サーバを経由して内部ネットワークへのアクセスが行われる。
【0003】
上記の他、特許文献2に記載されているようなイントラネットアクセスシステムもある。このイントラネットアクセスシステムでは、外部クライアントと専用線を介して接続されたVPNゲートウェイが、インターネット、ルータ部を順次介して内部ネットワークであるイントラネットと接続されている。VPNゲートウェイがルータ部との間に設定したVPNトンネルを使用して、イントラネットに接続されている機器との接続を行うことにより、外部クライアントから内部ネットワークへのアクセスが行われる。
【0004】
また、リバースプロキシと呼称される製品を使用したシステムもある。このシステムでは、外部ネットワークあるいはDMZに接続されたリバースプロキシを導入したサーバ(リバースプロキシサーバ)が、外部クライアントからの要求に応じて、ファイアウォールを介して、内部ネットワークに接続されたWebサーバにアクセスすることにより、外部クライアントから内部ネットワークへのアクセスが行われる。
【0005】
さらに、特許文献3に記載されているようなシステムもある。このシステムでは、外部ネットワークと内部ネットワークとの間を中継するネットワーク接続機器が、内部ネットワークへのアクセスを要求した外部クライアントに対してユーザIDやパスワードによる認証処理を行うとともに、認証に成功した場合には、アクセス可能なサービス情報のリストを外部クライアントに提示する。そして、外部クライアントが、その提示したサービス情報のリストからサービスを選択すると、ネットワーク接続機器が、その選択されたサービスに対するアクセスに必要なアドレス(ULR)を外部クライアントに提供する。これにより、外部クライアントからの内部ネットワークへのアクセスが可能となる。なお、ネットワーク接続機器は、外部クライアントが選択したサービスに対してアドレス変換も行う。
【0006】
また、特許文献4には、フィルタリングの方式を変更することでファイアウォールの利便性を格段に向上させ、さらにユーザの認証チェックと社内リソース(内部ネットワーク)へのアクセス制御とを個別に行うことでセキュリティを2重化したものが記載されている。
【0007】
さらに、ファイアウォールにより保護されたセグメントであるDMZ(DeMilitarized Zone)を設けて、そこに公開サーバを接続するようにしたものもある。特許文献5には、DMZを簡易に構築する手法が記載されている。
【0008】
【特許文献1】
特表2000−505270
【特許文献2】
特開2002−232460
【特許文献3】
特開2002−141953
【特許文献4】
特開平11−338799
【特許文献5】
特開2002−344530
【0009】
【発明が解決しようとする課題】
しかしながら、上述した従来のものには以下のような問題がある。
【0010】
特許文献1に記載のものにおいては、内部ネットワークに接続されたサーバにて利用者認証が行われない場合に、アクセスの宛先を知っている部外者による内部ネットワークへのアクセスを防ぐことができない。加えて、内部ネットワークに接続されたサーバが暗号化されていないHTTPを使用していた場合に、外部ネットワークを暗号化されていないデータが流れるため、部外者によってデータが盗聴される恐れもある。このように、セキュリティを確保できないという問題がある。
【0011】
また、外部からのアクセスの有無に関わらず、内部サーバから外部サーバに対して接続を確保する必要があるため、恒常的にネットワークおよびファイアウォールに対して負荷が発生する。このように、ネットワーク負荷が高くなるという問題がある。
【0012】
さらに、接続が切断された場合に、それを内部サーバ側で検知して再接続するまで、外部から内部ネットワークのアクセスが不能となる、という問題もある。
【0013】
特許文献2に記載のものにおいては、VPNトンネルを使用してインターネットを介して接続するため、VPNゲートウェイおよびそれに外部クライアントが接続するための専用線が必要である。このため、利用者側に特別な機構が必要となるという問題がある。
【0014】
リバースプロキシを用いる従来の手法においては、外部クライアントからアクセスさせたい内部Webサーバに変更があった場合に、リバースプロキシサーバから内部Webサーバにアクセスできるようにするには、リバースプロキシサーバだけでなく、ファイアウォールの設定を変更する必要がある。このように、ファイアウォールの設定が煩雑になるという問題がある。
【0015】
また、リバースプロキシサーバから内部Webサーバに対する接続が、内部Webサーバが応答を返すまで維持されている必要があり、ネットワークおよびファイアウォールに対して負荷が発生する。このように、ネットワーク負荷が高くなるという問題もある。
【0016】
特許文献3に記載のものにおいては、ユーザIDやパスワードによる認証処理が行われるだけでは、部外者による内部ネットワークへの不正なアクセスを確実に防止することはできない。
【0017】
特許文献4に記載のものにおいては、内外のネットワークを維持しておく必要があるため、上述の特許文献1に記載のものやリバースプロキシを用いる従来の手法のように、ネットワーク負荷が高くなるという問題もある。加えて、クライアント側に認証を管理するための特殊なアプリケーションを必要とするため、クライアント側への負担が大きくなるという問題もある。
【0018】
特許文献5に記載のものにおいては、DMZを簡易に構築することができるものの、部外者による内部ネットワークへのアクセスを確実に防することはできない。
【0019】
上述した各従来の手法は方式の異なるものであり、これらの特徴部のみを組み合せて採用することは非常に困難である。
【0020】
本発明の目的は、部外者による内部ネットワークへのアクセスを確実に防することのでき、かつ、クライアント側への負担およびネットワーク負荷を抑えることのできる、リモートアクセスシステムおよびリモートアクセス方法を提供することにある。
【0021】
【課題を解決するための手段】
上記目的を達成するため、本発明のリモートアクセスシステムは、外部ネットワークに接続された外部クライアントから内部ネットワークに接続された少なくとも1つの内部Webサーバへのアクセスを制御するリモートアクセスシステムであって、
ファイアウォールにより前記外部ネットワークおよび内部ネットワークから隔離されたDMZと、
前記DMZに接続されたDMZ中継サーバと、
前記内部ネットワークに接続された少なくとも1つの内部中継サーバとを有し、
前記DMZ中継サーバは、前記外部クライアントの利用者によるアクセスが可能な内部Webサーバとその接続を中継する内部中継サーバとの情報が関連付けられて予め格納された第1のアクセス制御情報記憶手段を有しており、前記内部Webサーバへのアクセス要求を前記外部クライアントから受信すると、前記外部クライアントの利用者の正当性を確認した上で、前記第1のアクセス制御情報記憶手段の格納情報を参照して、前記外部クライアントの利用者によるアクセスが許可されているかどうかを判断し、許可されていると判断した場合に、前記外部クライアントからのアクセス要求を該当する内部中継サーバへ送信し、
前記内部中継サーバは、前記外部クライアントの利用者によるアクセスが可能な内部Webサーバとその接続情報が関連付けられて予め格納された第2のアクセス制御情報記憶手段を有しており、前記外部クライアント端末からのアクセス要求を前記DMZ中継サーバから受信すると、前記第2のアクセス制御情報記憶手段の格納情報を参照して、前記利用者によるアクセスが許可されているかどうかを判断し、許可されていると判断した場合に、前記外部クライアント端末からのアクセス要求を該当する内部Webサーバへ送信することを特徴とする。
【0022】
本発明のリモートアクセス方法は、ファイアウォールにより外部ネットワークおよび内部ネットワークから隔離されたDMZと、該DMZに接続されたDMZ中継サーバと、前記内部ネットワークに接続された少なくとも1つの内部中継サーバとを有し、前記外部ネットワークに接続された外部クライアントから前記内部ネットワークに接続された少なくとも1つの内部Webサーバへのアクセスを制御するシステムにおいて行われるリモートアクセス方法であって、
前記DMZ中継サーバが、前記内部Webサーバへのアクセス要求を前記外部クライアントから受信すると、前記外部クライアントの利用者の正当性を確認する第1のステップと、
前記第1のステップで、前記外部クライアントの利用者が正当であると判断した場合に、前記DMZ中継サーバが、前記外部クライアントの利用者によるアクセスが可能な内部Webサーバとその接続を中継する内部中継サーバとの情報が関連付けられて予め格納された第1のアクセス制御情報記憶手段を参照して、前記外部クライアントの利用者によるアクセスが許可されているかどうかを判断する第2のステップと、
前記第2のステップで、前記外部クライアントの利用者によるアクセスが許可されていると判断した場合に、前記DMZ中継サーバが、前記外部クライアントからのアクセス要求を該当する内部中継サーバへ送信する第3のステップと、
前記内部中継サーバが、前記外部クライアント端末からのアクセス要求を前記DMZ中継サーバから受信すると、前記外部クライアントの利用者によるアクセスが可能な内部Webサーバとその接続情報が関連付けられて予め格納された第2のアクセス制御情報記憶手段を参照して、前記利用者によるアクセスが許可されているかどうかを判断する第4のステップと、
前記第4のステップで、前記外部クライアントの利用者によるアクセスが許可されていると判断した場合に、前記内部中継サーバが、前記外部クライアント端末からのアクセス要求を該当する内部Webサーバへ送信する第5のステップとを含むことを特徴とする。
【0023】
上記のとおりの本発明によれば、ファイアウォールによって外部ネットワークから内部ネットワークへは直接アクセスできなくなっており、しかも、外部クライアントから内部Webサーバへアクセスする場合には、DMZ中継サーバで利用者認証が行われ、さらにDMZ中継サーバおよび内部中継サーバの両方でアクセスが許可されているかどうかの確認が行われるようになっている。このため、第三者が外部から内部Webサーバに対して不正にアクセスすることは、極めて困難なものとなっている。例えば、第三者による攻撃によりファイアウォールが破られ、DMZ中継サーバ内の第1のアクセス制御情報記憶手段の格納情報が改ざんされたとしても、内部中継サーバによるアクセス制御によって不正アクセスが排除される。
【0024】
また、外部クライアントに特別な機構を持たせる必要がないので、利用者への負担が少ない。
【0025】
さらに、DMZ中継サーバと内部中継サーバとの間の接続を確保できれば、アクセス要求とその応答を送受信することが可能である。この場合、内部ファイアウォール、DMZおよび内部ネットワークの負荷が低くなる。
【0026】
また、VPNトンネルなどの専用線も必要ないので、コストの面でも有利なものとなる。
【0027】
さらに、DMZ中継サーバと内部中継サーバの間の通信が可能であるようにファイアウォールを設定しておけば、内部Webサーバを追加、削除、変更する場合でも、DMZ中継サーバおよび内部中継サーバの設定を変更する事で対応ができ、従来のような内部ファイアウォールの設定変更は必要ない。
【0028】
また、外部クライアントとDMZの間の通信を暗号化することで、その通信内容が第三者によって盗聴されることはない。これにより、より一層高いセキュリティが確保される。
【0029】
外部クライアントとDMZの間の暗号化通信に例えばSSLを使用することで、外部クライアントとして既存の端末を用いることができ、利用者への負担がより一層少なくなる。
【0030】
【発明の実施の形態】
次に、本発明の実施形態について図面を参照して説明する。
【0031】
図1に、本発明の一実施形態であるリモートアクセスシステムの概略構成を示す。このリモートアクセスシステムは、外部クライアント1、外部ネットワーク2、外部ファイアウォール3、DMZ4、DMZ中継サーバ5、内部ファイアウォール6、内部ネットワーク7、内部中継サーバ8、内部Webサーバ9からなる。
【0032】
外部ネットワーク2は、インターネットおよびそれにダイアルアップで接続するための公衆網等である。内部ネットワーク7は、企業内に構築されるネットワークであって、例えばLANやWAN(Wide Area Network)などである。外部ネットワーク2は外部ファイアウォール3を介してDMZ4に接続され、内部ネットワーク7は内部ファイアウォール6を介してDMZ4に接続されている。
【0033】
外部ファイアウォール3は、外部ネットワーク2とDMZ4との間の通信を制御し、内部ファイアウォール6は内部ネットワーク7とDMZ4との間の通信を制御する。外部ネットワーク2と内部ネットワーク7との通信は、DMZ4を経由して行われる。
【0034】
DMZ4は、外部ネットワーク2と内部ネットワーク7を中継するネットワークセグメントであって、ファイアウォールによって外部ネットワーク3からも内部ネットワーク6からも隔離されている。このDMZ4は、内部ネットワークに対する外部ネットワークからの不正なアクセスを抑制する目的で、一般に広く導入されているものである。
【0035】
DMZ4にはDMZ中継サーバ5が接続されており、内部ネットワーク7には内部中継サーバ8および内部Webサーバ9が接続されている。外部クライアント1は、HTTPS(SSL(Secure Sockets Layer)で保護されたHTTP(HyperText Transfer Protocol))に対応したWebブラウザを搭載する利用者端末(携帯電話機や携帯情報端末などを含む)であって、例えば従業員等が外出先あるいは自宅等で使用することができる。この外部クライアント1は、外部ネットワーク2への接続が可能である。
【0036】
内部Webサーバ9は、内部ネットワーク7に接続されたWebブラウザを搭載する不図示の利用者端末(以下、内部クライアントと呼ぶ)から、受発注処理や在庫管理等の企業内業務を遂行する業務システムへのアクセス機能を提供する。具体的には、内部Webサーバ9は、内部クライアントからのHTTPまたはHTTPSでの要求に基づき、業務システムに対して必要な処理を実行させ、その結果を内部クライアントに返す。
【0037】
DMZ中継サーバ5は、外部クライアント1からの内部Webサーバ9へのHTTPSでのアクセス要求を受け付けると、アクセス要求をした利用者の正当性を判断した上で、受け付けた要求の宛先である内部Webサーバがその利用者によるアクセスが許可されたものであるかどうかを判断し、許可されている場合にのみ、該当する内部中継サーバへ外部クライアント1からのアクセス要求を送信する。また、DMZ中継サーバ5は、送信したアクセス要求に対する内部中継サーバからの処理結果を受けて、外部クライアント1への応答を行う。
【0038】
内部中継サーバ8は、DMZ中継サーバ5から外部クライアント1からのアクセス要求を受け取ると、受け取った要求の宛先である内部Webサーバがその要求をした利用者によるアクセスが許可されたものであるかどうかを再度判断し、許可されている場合にのみ、該当する内部Webサーバに対して外部クライアント1からのアクセス要求を送信する。また、内部中継サーバ8は、送信したアクセス要求に対する内部Webサーバからの応答に対して必要な変換処理を行い、その結果をDMZ中継サーバ5に送信する。
【0039】
上述した本実施形態のリモートアクセスシステムにおいて、外部クライアント1は、内部Webサーバ9に対してアクセスを行う場合は、まずHTTPSでDMZ中継サーバ5に要求を出す。DMZ中継サーバ5では、外部クライアント1からの要求を受け付けると、認証されたユーザからのアクセスであるか、また許可されたアクセスであるのかが判断される。認証されたユーザからのアクセスで、かつ、許可されたアクセスであった場合は、DMZ中継サーバ5は、外部クライアント1からの要求を内部中継サーバ8に送信する。
【0040】
内部中継サーバ8では、再度、許可されたアクセスであるのかが判断される。許可されたアクセスであった場合は、内部中継サーバ8は、外部クライアント1からの要求を内部Webサーバ9にHTTPまたはHTTPSで送信する。そして、内部Webサーバ9からの応答に対して必要な変換処理を行い、その結果をDMZ中継サーバ5に送信する。DMZ中継サーバ5は、変換処理された内部Webサーバ9からの応答外部クライアント1に送信する。
【0041】
以上の一連の処理により、セキュリティを確保しつつ、内部ネットワーク7に接続された内部Webサーバ9への外部からのアクセスを実現する。
【0042】
次に、DMZ中継サーバ5および内部中継サーバ8の具体的な構成について説明する。
【0043】
(1)DMZ中継サーバ5の構成:
図2に、DMZ中継サーバ5の概略構成を示す。図2を参照すると、DMZ中継サーバ5は、データ処理装置51と記憶装置52を有する。データ処理装置51は、要求処理部511、通信部512、セッション管理部513、認証部514、アクセス制御部515を有する。記憶装置52は、アクセス制御情報記憶部521を有する。
【0044】
要求処理部511は、外部ネットワーク2、外部ファイアウォール3、DMZ4を介して外部クライアント1からのアクセス要求を受け付けるとともに、その受け付けた要求をセッション管理部513へ渡す。セッション管理部513は、要求処理部511から受け取った要求に含まれているCookie等を元に有効なセッション情報を取得し、その取得したセッション情報の内容を要求処理部511に返す。もし、外部クライアント1からの要求に有効なセッション情報が含まれていない場合は、セッション管理部513は、新規にセッションを生成する。
【0045】
セッション管理部513から有効なセッション情報を受け取った場合は、要求処理部511は、そのセッション情報を認証部514に渡す。セッション管理部513が新規なセッションを生成した場合は、要求処理部511は、外部クライアント1に対して認証画面への遷移を行うように応答する。
【0046】
認証部514は、要求処理部511から受け取ったセッション情報に基づいて認証済み利用者からの要求かどうかを判断し、その結果を要求処理部511へ返す。認証済み利用者からの要求であった場合は、要求処理部511は、外部クライアント1からのアクセス要求をアクセス制御部515に渡す。もし、認証済み利用者からの要求でなければ、認証部514は改めて利用者認証を行う。この利用者認証の方式としては、例えば固定パスワード方式やワンタイムパスワード方式等を用いることができる。この利用者認証で正当でないと判断された場合は、要求処理部511は、外部クライアント1に対して認証画面への遷移を行うように応答する。
【0047】
アクセス制御部515は、外部クライアント1からのアクセス要求を要求処理部511から受け取ると、アクセス制御情報記憶部521に予め格納されている情報を参照し、受け取った要求の宛先である内部Webサーバが、認証部514で正当と判断された利用者によるアクセスが許可されているものである否かを判断する。
【0048】
図3に、アクセス制御情報記憶部521に格納されている情報の一例を示す。アクセス制御情報記憶部521には、利用者のID番号、利用者によるアクセスが許可されている内部Webサーバを特定する番号(又は名称)およびその内部Webサーバへの接続を中継する内部中継サーバを特定する番号(又は名称)が関連付けられて予め格納されている。図3に示した例では、「000001」の利用者IDを持つ利用者は、「A1」、「A2」、「B」という内部Webサーバにアクセスすることができ、「A1」、「A2」の内部Webサーバにアクセスする場合は、内部中継サーバ「a」を、「B」の内部Webサーバにアクセスする場合は、内部中継サーバ「b」を使用するというような設定になっている。このようなアクセス制御情報記憶部521の情報を参照することで、受け付けた要求の宛先となっている内部Webサーバが、認証された利用者によるアクセスが許可されているものであるか否かを判断することができる。
【0049】
宛先の内部Webサーバが認証された利用者によるアクセスが許可されているものである場合は、アクセス制御部515は、アクセス制御情報記憶部521から対応する内部中継サーバ情報を取得してそれを要求処理部511へ渡す。例えば、宛先の内部Webサーバが「A1」で、利用者IDが「00001」である場合は、アクセス制御部515は、対応する内部中継サーバ情報として内部中継サーバ「a」の情報を取得し、それを要求処理部511へ渡す。宛先の内部Webサーバが認証された利用者によるアクセスが許可されていないものである場合は、アクセス制御部515は、その旨を要求処理部511へ渡す。
【0050】
アクセス制御部515から内部中継サーバ情報を受け取った場合は、要求処理部511は、通信部512からDMZ4、内部ファイアウォール6、内部ネットワーク7を順次介して該当する内部中継サーバ8に対して外部クライアント1からのアクセス要求を利用者情報と共に送信する。
【0051】
送信したアクセス要求に対する内部中継サーバ8からの処理結果は、内部ネットワーク7、内部ファイアウォール6、DMZ4、通信部512を順次介して要求処理部511に供給される。要求処理部511は、受け取った処理結果に応じた外部クライアント1への応答処理を行う。
【0052】
(2)内部中継サーバ8の構成:
図4に、内部中継サーバ8の概略構成を示す。図4を参照すると、内部中継サーバ8は、データ処理装置81と記憶装置82を有する。データ処理装置81は、通信部811、要求処理部812、アクセス制御部813、URL等変換部814を有する。記憶装置82は、アクセス制御情報記憶部821、URL等変換情報記憶部822を有する。
【0053】
通信部811は、DMZ4、内部ファイアウォール6および内部ネットワーク7を介して上述したDMZ中継サーバ5の通信部512との間で相互通信が可能に構成されている。
【0054】
要求処理部812は、通信部811を介してDMZ中継サーバ5からの要求を受け付けると、その要求をアクセス制御部813へ渡す。アクセス制御部813は、アクセス制御情報記憶部821の情報を参照し、受け取った要求の宛先となっている内部Webサーバが、認証部514で正当と判断された利用者によるアクセスが許可されているものである否かを再度判断する。
【0055】
図5に、アクセス制御情報記憶部821に格納されている情報の一例を示す。アクセス制御情報記憶部821には、利用者のID番号、利用者によるアクセスが許可されている内部Webサーバを特定する番号(又は名称)およびその内部Webサーバへの接続を行うための接続情報が関連付けられて予め格納されている。図5の例では、「000001」の利用者IDを持つ利用者は、「A1」、「A2」という内部Webサーバに、「000003」の利用者IDを持つ利用者は、「A1」、「A2」、「C」という内部Webサーバにアクセスすることができ、「A1」にアクセスする場合は、「http://A/」、「A2」にアクセスする場合は、「https://A/」、「C」にアクセスする場合は、「http://C:8080/」を使用するというような設定になっている。このようなアクセス制御情報記憶部821の情報を参照することで、受け付けた要求の宛先となっている内部Webサーバが、認証された利用者によるアクセスが許可されているものであるか否かを判断することができるとともに、許可されている内部Webサーバへ接続情報を取得することができる。
【0056】
宛先の内部Webサーバが認証された利用者によるアクセスが許可されているものである場合は、アクセス制御部813は、アクセス制御情報記憶部821から宛先の内部Webサーバに関する接続情報を取得してそれを要求処理部812へ渡す。例えば、宛先の内部Webサーバが「A1」で、利用者IDが「00001」である場合は、アクセス制御部813は、宛先の内部Webサーバに関する接続情報として「http://A/」を取得し、それを要求処理部812へ渡す。宛先の内部Webサーバが認証された利用者によるアクセスが許可されていないものである場合は、アクセス制御部813は、その旨を要求処理部812へ渡す。
【0057】
アクセス制御部813から内部Webサーバへの接続情報を受け取った場合は、要求処理部812は、DZM中継サーバ5から受け取った外部クライアント1からの要求に問題(例えばフォーマット異常など)がないかを調べる。要求に問題がなければ、要求処理部812は、アクセス制御部813から受け取った内部Webサーバへの接続情報に基づいて、外部クライアント1からの要求を利用者情報と共にHTTPまたはHTTPSで内部ネットワーク7を介して該当する内部Webサーバへ送信し、その応答を待つ。
【0058】
内部Webサーバから応答があった場合は、要求処理部812は、その応答内容をURL等変換部814に渡す。URL等変換部814は、URL等変換情報記憶部822に予め格納されている情報を参照して、内部Webサーバからの応答内容に対して変換処理を行う。変換処理された内容は、要求処理部812に渡される。
【0059】
図6に、URL等変換情報記憶部822に格納されている情報の一例を示す。図6を参照すると、URL等変換情報記憶部822には、内部Webサーバ毎に応答に対する変換情報を保持している。この例では、例えば内部Webサーバ「A1」からの応答に「<A HREF=”/」という文字列が含まれていた場合は、「<A HREF=”/access/A1/」という文字列に変換するというような設定になっている。このようなURL等変換情報記憶部822の情報を参照することで、内部Webサーバからの応答内容に対して変換処理を行うことができる。
【0060】
要求処理部812は、URL等変換部814によって変換処理された応答を、通信部811から内部ネットワーク7、内部ファイアウォール6、DMZ4を順次介してDMZ中継サーバ5へ送信する。
【0061】
利用者によるアクセスが許可されていなかった場合、要求に問題があった場合、内部Webサーバから応答がなかった場合のいずれかの場合は、要求処理部812は、通信部811から内部ネットワーク7、内部ファイアウォール6、DZM4を順次介してエラーを生じた旨の情報をDMZ中継サーバ5に送信する。
【0062】
次に、本実施形態のリモートアクセスシステムにおいて行われるリモートアクセスの一連の動作について詳細に説明する。
【0063】
図7は、DMZ中継サーバ5の動作を示すフローチャートである。以下、図2および図7を参照してDMZ中継サーバ5における動作を説明する。
【0064】
DMZ中継サーバ5が起動されると、要求処理部511は、外部クライアント1からのHTTPSによるアクセス要求を待つ(ステップS101)。要求処理部511にて外部クライアント1からのアクセス要求を受け取ると、セッション管理部513が、そのアクセス要求に有効なセッション情報が含まれているかどうかを判断する(ステップS102)。この判断で「No」となった場合は、セッション管理部513が新規にセッションを生成し(ステップS108)、これを受けて、要求処理部511が外部クライアント1に対して認証画面に遷移するように指示する(ステップS114)。指示後は、上記ステップS101へ戻る。
【0065】
上記ステップS102の判断で「Yes」となった場合は、認証部514が、外部クライアント1からのアクセス要求が認証済み利用者からの要求であるかどうかを、セッション管理部513で所得された有効なセッション情報から判断する(ステップS103)。この判断で「No」となった場合は、要求処理部511が、外部クライアント1からのアクセス要求が認証画面へのアクセス要求であるかどうかを判断する(ステップS109)。この判断で「Yes」となった場合は、要求処理部511が、外部クライアント1に対して認証画面を送信する(ステップS110)。認証画面の送信後は、上記ステップS101に戻る。
【0066】
上記ステップS109の判断で「No」となった場合は、要求処理部511が、外部クライアント1からのアクセス要求が認証情報の入力要求であるかどうかを判断する(ステップS111)。この判断で「Yes」となった場合は、認証部514が、入力された認証情報が正当であるかどうかを判断する(ステップS112)。この認証判断で「Yes」となった場合は、要求処理部511が、外部クライアント1に対して要求画面へ遷移するように指示する(ステップS110)。指示後は、上記ステップS101に戻る。
【0067】
上記ステップS111、S112のいずれかの判断で「No」となった場合には、上記ステップS114へ移行する。
【0068】
上記ステップS103の判断で「Yes」となった場合は、アクセス制御部515が、外部クライアント1からのアクセス要求とそこに含まれている利用者情報とから、アクセス制御情報記憶部521の情報を参照して、要求の宛先となっている内部Webサーバが認証された利用者によるアクセスが許可されているものであるかどうかを判断する(ステップS104)。この判断で「No」となった場合は、要求処理部511が、エラーを生じた旨の情報を外部クライアント1に送信する(ステップS115)。エラー送信後は、上記ステップS101に戻る。
【0069】
上記ステップS104の判断で「Yes」となった場合は、アクセス制御部515がアクセス制御情報記憶部521から対応する内部中継サーバ情報を取得し、要求処理部511が、その取得した内部中継サーバ情報に基づいて該当する内部中継サーバへ外部クライアント1からのアクセス要求を利用者情報と一緒に送信する(ステップS105)。アクセス要求の送信後は、DMZ中継サーバ5は、内部中継サーバからの応答待ちの状態となり、要求処理部511が、内部中継サーバから正常な応答があるか否かを判断する(ステップS106)。この判断で「No」となった場合は、上記ステップS115へ移行し、「Yes」となった場合は、要求処理部511が、内部中継サーバからの応答を外部クライアント1へ送信する(ステップS107)。応答の送信後は、上記ステップS101に戻る。
【0070】
図8は、内部中継サーバ8の動作を示すフローチャートである。以下、図4および図8を参照して内部中継サーバ8の動作を説明する。
【0071】
内部中継サーバ8が起動されると、要求処理部812は、DMZ中継サーバ5からのアクセス要求(外部クライアント1からのアクセス要求)を待つ(ステップS201)。要求処理部812にてDMZ中継サーバ5からのアクセス要求を受け取ると、アクセス制御部813が、アクセス制御情報記憶部821の情報を参照して、その受け取った要求の宛先となっている内部Webサーバが認証された利用者によるアクセスが許可されているものであるかどうかを再度判断する(ステップS202)。この判断で「No」となった場合は、要求処理部812が、エラーを生じた旨の情報をDMZ中継サーバ5に送信する(ステップS208)。エラー送信後は、上記ステップS201に戻る。
【0072】
上記ステップS202の判断で「Yes」となった場合は、要求処理部812が、DMZ中継サーバ5から受け取ったアクセス要求の内容に問題がないかどうかを調べる(ステップS203)。問題があった場合は、上記ステップS108へ移行する。問題がなかった場合は、アクセス制御部813がアクセス制御情報記憶部821から対応する内部Webサーバへの接続情報を取得し、要求処理部812が、その取得した接続情報に基づいて該当する内部WebサーバへDMZ中継サーバ5から受け取ったアクセス要求を送信する(ステップS204)。
【0073】
アクセス要求の送信後は、内部中継サーバ8は、内部Webサーバからの応答待ちの状態となり、要求処理部812が、内部Webサーバから応答があるか否かを確認する(ステップS205)。この確認で「No」となった場合は、上記ステップS208へ移行する。「Yes」となった場合は、URL等変換部814が、URL等変換情報記憶部822に格納された情報を参照して、内部Webサーバからの応答に対して変換処理を行い(ステップS206)、要求処理部812が、その変換処理結果をDMZ中継サーバ5に送信する(ステップS207)。変換処理結果の送信後は、上記ステップS201に戻る。
【0074】
次に、上述したアクセス制御動作について、具体例を挙げてさらに詳細に説明する。
【0075】
図9は、本実施形態のリモートアクセスシステムの具体的な動作の一例を示すシーケンス図である。以下、図2、図4、図7、図8および図9を参照して動作を説明する。
【0076】
ここでは、DMZ中継サーバ5および内部中継サーバ8が要求待ち状態(ステップS101、S201に対応する)にあり、利用者が外部クライアント1を使用してDMZ中継サーバ5に対して初めて画面要求を送信した場合の動作を説明する。
【0077】
DMZ中継サーバ5では、セッション管理部513が、外部クライアント1からの要求のセッション情報を取得しようとするが、この受け取った要求は最初の要求であるため、セッション情報は存在しない。このため、セッション管理部513が新規にセッションを生成し(ステップS108に対応する)、要求処理部511が外部クライアント1に対して認証画面へ遷移するように指示する(ステップS114に対応する)。指示後、DMZ中継サーバ5は要求待ち状態に戻る(ステップS101に対応する)。
【0078】
認証画面への遷移を指示された外部クライアント1では、認証画面へ遷移するための入力を要求するメッセージまたは画面が表示される。この表示に応じて利用者が外部クライアント1上で所定の入力操作を行うことで、外部クライアント1からDMZ中継サーバ5へ認証画面要求が送信される。
【0079】
認証画面要求を受け取ったDMZ中継サーバ5では、セッション管理部513が、受け取った認証画面要求からセッション情報を取得し、認証部514が、その取得したセッション情報に基づいて認証済み利用者からのアクセスであるかどうかを判断する(ステップS103に対応する)。認証済み利用者からのアクセスではないため、続いて、認証部514が、認証画面の要求であるかどうかを判断する(ステップS109に対応する)。認証画面要求であるので、続いて、要求処理部511が、外部クライアント1に対して認証画面を返す(ステップS110に対応する)。
【0080】
認証画面を受け取った外部クライアント1では、その受け取った認証画面が表示され、その表示に応じて利用者が認証情報を入力することで、外部クライアント1からDMZ中継サーバ5へ認証情報を含む認証要求が送信される。
【0081】
認証要求を受け取ったDMZ中継サーバ5では、セッション管理部513がその受け取った認証要求からセッション情報を取得し、認証部514が、その取得したセッション情報に基づいて認証済み利用者からのアクセスであるかどうかを判断する(ステップS103に対応する)。認証済みでないため、続いて、要求処理部511が、認証画面の要求であるかどうかを判断する(ステップS109に対応する)。認証画面の要求でないため、続いて、要求処理部511が、認証情報の入力であるかどうかを判断する(ステップS111に対応する)。認証情報の入力であるため、続いて、認証部514が、入力された認証情報の正当性を確認し(ステップS112に対応する)、要求処理部511が、外部クライアント1に対して要求画面へ遷移するように指示する(ステップS113に対応する)。
【0082】
要求画面への遷移を指示された外部クライアント1では、要求画面へ遷移するための入力を要求するメッセージまたは画面が表示される。この表示に応じて利用者が外部クライアント1上で所定の入力操作を行うことで、外部クライアント1からDMZ中継サーバ5へ画面要求が送信される。
【0083】
画面要求を受け取ったDMZ中継サーバ5では、セッション管理部513が、その受け取った画面要求からセッション情報を取得し、認証部514が、その取得したセッション情報に基づいて認証済み利用者からのアクセスであるかどうかを判断する(ステップS103に対応する)。認証済みであるため、続いて、アクセス制御部515が、認証された利用者のアクセス許可の有無を確認する(ステップS104に対応する)。ここでは、認証された利用者のアクセスが許可されているものと仮定する。アクセスが許可されているので、続いて、アクセス制御部515が、対応する内部中継サーバ情報を取得し、要求処理部511が、その取得した内部中継サーバ情報にしたがって通信部512から該当する内部中継サーバ8へ受け取った画面要求を利用者情報と共に送信する(ステップS105に対応する)。
【0084】
画面要求を受け取った内部中継サーバ8では、アクセス制御部813が、認証部514で認証された利用者のアクセス許可の有無を確認する(ステップS104に対応する)。ここでは、認証された利用者のアクセスが許可されているものと仮定する。アクセスが許可されているので、続いて、要求処理部812が、DMZ中継サーバ5から受け取った画面要求の内容に問題がないかどうかを調べる(ステップS203に対応する)。ここでは、画面要求の内容に問題がないと仮定する。問題がないので、続いて、アクセス制御部813が、対応する内部Webサーバへの接続情報を取得し、要求処理部812が、その取得した接続情報にしたがって該当する内部Webサーバ9に対してDMZ中継サーバ5から受け取った画面要求を送信する(ステップS204)。
【0085】
画面要求を受け取った内部Webサーバ9は、その受け取った画面要求に対して必要な処理を実行し、その応答として、所定の画面のURLを内部中継サーバ8へ返す。ここで、必要な処理とは、例えば利用者認証である。この利用者認証に失敗した場合は、その旨を示すエラー情報を応答として返す。ここでは、所定の画面のURLが返されるものと仮定する。
【0086】
画面要求を送信した内部中継サーバ8では、要求処理部812が、内部Webサーバ9から応答があるかどうかを確認する(ステップS205に対応する)。内部Webサーバ9から応答を受け取っているので、続いて、URL等変換部814が、内部Webサーバ9からの応答(URL)に対して変換処理を行い(ステップS206対応する)、要求処理部812が、その変換処理結果(変換後のURL)をDMZ中継サーバ5に返す(ステップS207に対応する)。その後、内部中継サーバ8は、要求待ち状態に戻る(ステップS201に対応する)。
【0087】
画面要求を送信したDMZ中継サーバ5では、要求処理部511が、内部中継サーバ8から応答があるかどうかを確認する(ステップS106に対応する)。内部中継サーバ8から応答(変換後のURL)を受け取っているので、続いて、要求処理部511が、その受け取った応答(変換後のURL)を外部クライアント1に返す(ステップS107に対応する)。その後、DMZ中継サーバ5は、要求待ち状態に戻る(ステップS101に対応する)。
【0088】
以上の動作により、外部クライアント1上で、内部Webサーバ9から提示された所定の画面が表示される。利用者が、その表示画面上でなんらかの入力を行うと、これに応じて、外部クライアント1が、DMZ中継サーバ5に対して新たな画面要求を送信する。こうして送信された画面要求に対しても、上述した動作が実行され、結果、外部クライアント1上で新たな要求画面が表示される。
【0089】
以上説明した本実施形態のリモートアクセスシステムによれば、ファイアウォールによって外部ネットワーク2から内部ネットワーク7へは直接アクセスできなくなっており、しかも、外部クライアント1からの内部Webサーバ9へのアクセスに対して、DMZ中継サーバ5での利用者認証が行われるとともに、DMZ中継サーバ5および内部中継サーバ8の2箇所でアクセス制御が行われるようになっている。このため、例えば第三者による攻撃により外部ファイアウォール5が破られ、DMZ中継サーバ5内のアクセス制御情報記憶部521の格納情報が改ざんされたとしても、内部中継サーバ8によるアクセス制御によって不正アクセスが排除される。このように、第三者が外部から内部Webサーバ9に対して不正にアクセスすることは極めて困難である。
【0090】
加えて、外部クライアント1とDMZ中継サーバ5の間の通信はSSLによって暗号化されているので、通信内容が第三者によって盗聴されることはない。これにより、セキュリティが確保される。
【0091】
本実施形態のリモートアクセスシステムにおいては、外部クライアント1は、HTTPSに対応したWebブラウザが利用可能なものであればどのような端末を用いてもよく、例えば、既存のパーソナルコンピュータ(PC)等を使用することができる。このように特別な機構が不要であるので、利用者への負担が少ない。
【0092】
また、内部中継サーバ8にてURL変換が行われるので、内部Webサーバ9から外部クライアントへの応答(URL)は、本来、行われている内部クライアント向けの応答(URL)と同じでよく、外部クライアント向けの応答に変換するために内部Webサーバのコンテンツ自体を外部クライアント向けに修正する必要はない。よって、内部Webサーバの設定変更は最小限で済む事になる。
【0093】
さらに、DMZ中継サーバ5と内部中継サーバ8との間で実際に要求と応答のデータを送受信する際に接続を確保すればよいので、内部ファイアウォール6、DMZ4および内部ネットワーク7の負荷が低くなる。このように、ネットワーク負荷の軽減が可能である。
【0094】
また、DMZ中継サーバ5と内部中継サーバ8の間の通信が可能であるように内部ファイアウォール6を設定しておけば、内部Webサーバ9を追加、削除、変更する場合でも、DMZ中継サーバ5および内部中継サーバ8の設定を変更する事で対応ができ、内部ファイアウォールの設定を変更する必要がない。このように、ファイアウォールの設定も容易である。
【0095】
また、外部ファイアウォール3と内部ファイアウォール6を同一装置とすることも可能である。
【0096】
(他の実施形態)
上述した実施形態のシステムにおいて、外部クライアント1から内部Webサーバ9への接続が行われると、接続先のWebサーバ9において、利用者認証が行われる。この認証動作は、Webサーバ9毎に行われ、通常は、利用者による手動入力を必要とする。ここでは、これらWebサーバ毎に行われる利用者認証を、一括して行うシステムについて説明する。
【0097】
本他の実施形態のリモートアクセスシステムは、基本的な構成は図1に示したシステム構成と同じであるが、内部中継サーバアクセス制御情報記憶部821に、内部Webサーバのそれぞれに対する認証情報を利用者毎に記憶しておき、内部中継サーバ8が、内部Webサーバ9にアクセスする際に、その認証情報を用いて利用者認証を行うようになっている。ここで、内部Webサーバに対する認証情報は、内部Webサーバのそれぞれで行われる認証方式(基本認証(RFC2617)または画面フォーム入力のいずれかの方式)および利用者の認証情報(ユーザネームおよびパスワード)を含む。画面フォーム入力方式の場合は、認証処理用URLやフォームフィールド(ユーザネームおよびパスワードに該当するフィールド)の情報を含む。
【0098】
内部中継サーバ8による利用者認証は、図8に示した手順のステップS203とS204の間で実行される。この場合、利用者はDMZ中継サーバ5に対して、利用者認証を1回行えば、各内部Webサーバ9に対して利用者認証を行うことなくアクセスする事ができ、その分だけ利便性が向上する。
【0099】
以上説明した各実施形態のリモートアクセスシステムの構成は、図示した構成に限定されるものではなく、発明の趣旨を逸脱しない範囲で適宜変更することができる。例えば、外部ファイアウォール3と内部ファイアウォール6は同一の装置であってもよい。
【0100】
また、外部ネットワーク2には1つの外部クライアントが接続されるようになっているが、複数の外部クライアントが接続されるようにし、それぞれの外部クライアントから内部Webサーバへアクセスするようにしてもよい。
【0101】
さらに、内部ネットワーク7には1つの内部中継サーバ8が接続されるようになっているが、複数の内部中継サーバが接続されるようにしてもよい。これにより、負荷分散ができるので、ネットワーク負荷をより軽減することが可能となる。
【0102】
さらに、内部ネットワーク7には1つの内部Webサーバが接続されるようになっているが、複数の内部Webサーバが接続されるようにしてもよい。
【0103】
さらに、外部クライアント1とDMZ中継サーバ5の間の通信の暗号化は、SSLに限られるものではなく、他の既存の暗号化方式を使用することができる。
【0104】
【発明の効果】
以上説明したように、本発明によれば、内部Webサーバにアクセスするためには、DMZ中継サーバでの利用者認証と、DMZ中継サーバと内部中継サーバの2箇所でアクセス制御を受ける必要があり、また、ファイアウォールにより外部ネットワークから内部ネットワークへの直接のアクセスができなくなっているため、部外者による内部Webサーバへのアクセスをより確実に防止することができる、という効果がある。
【0105】
また、外部クライアントからDMZ中継サーバまでの通信は例えばSSLにより暗号化されているので、部外者による盗聴を抑止することができる、という効果がある。
【0106】
さらに、DMZ中継サーバと内部中継サーバとの間で、実際に要求と応答データを送受信する際の接続を確保すればよいため、内部ファイアウォール、DMZ、内部ネットワークの負荷が低くなり、その分だけネットワーク負荷を軽減することができる、という効果がある。
【0107】
さらに、内部中継サーバを複数にすることで負荷を分散することができ、ネットワーク負荷をさらに軽減することができる、という効果がある。
【0108】
また、DMZ中継サーバと内部中継サーバ間の通信が可能であるように、内部ファイアウォールを設定しておけば、内部Webサーバを追加、削除、変更する場合であっても、DMZ中継サーバおよび内部中継サーバの設定を変更することで対応することができ、内部ファイアウォールの設定変更は不要である。このように、ファイアウォールの設定が容易であるという効果もある。
【0109】
さらに、外部クライアントはHTTPSに対応したWebブラウザが利用可能であればよいので、一般的に使用されているPC(パーソナルコンピュータ)等を外部クライアントとして使用することができる。このように、利用者側に特別な機構が不要であり、利用者への負担がないという効果がある。
【0110】
また、内部Webサーバの本来内部クライアント向けの応答を、内部中継サーバでURL等変換を行うことにより、外部クライアント向けの応答に変換するため、内部Webサーバのコンテンツ自体を外部クライアント向けに修正する必要がない。このため、内部Webサーバの設定変更が最小限で済むという効果がある。
【図面の簡単な説明】
【図1】本発明の一実施形態であるリモートアクセスシステムの概略構成を示すブロック図である。
【図2】図1に示すDMZ中継サーバの概略構成を示すブロック図である。
【図3】図2に示すアクセス制御情報記憶部に格納されている情報の一例を示す図である。
【図4】図1に示す内部中継サーバの概略構成を示すブロック図である。
【図5】図4に示すアクセス制御情報記憶部に格納されている情報の一例を示す図である。
【図6】図4に示すURL等変換情報記憶部に格納されている情報の一例を示す図である。
【図7】図2に示すDMZ中継サーバの動作を示すフローチャートである。
【図8】図4に示す内部中継サーバの動作を示すフローチャートである。
【図9】図1に示すリモートアクセスシステムの動作を説明するためのシーケンス図である。
【符号の説明】
1 外部クライアント
2 外部ネットワーク
3 外部ファイアウォール
4 DMZ
5 DMZ中継サーバ
6 内部ファイアウォール
7 内部ネットワーク
8 内部中継サーバ
9 内部Webサーバ
51、81 データ処理装置
52、82 記憶装置
511、812 要求処理部
512、811 通信部
513 セッション管理部
514 認証部
515、813 アクセス制御部
521、821 アクセス制御情報記憶部
814 URL等変換部
822 URL等変換情報記憶部

Claims (7)

  1. 外部ネットワークに接続された外部クライアントから内部ネットワークに接続された少なくとも1つの内部Webサーバへのアクセスを制御するリモートアクセスシステムであって、
    ファイアウォールにより前記外部ネットワークおよび内部ネットワークから隔離されたDMZと、
    前記DMZに接続されたDMZ中継サーバと、
    前記内部ネットワークに接続された少なくとも1つの内部中継サーバとを有し、
    前記DMZ中継サーバは、前記外部クライアントの利用者によるアクセスが可能な内部Webサーバとその接続を中継する内部中継サーバとの情報が関連付けられて予め格納された第1のアクセス制御情報記憶手段を有しており、前記内部Webサーバへのアクセス要求を前記外部クライアントから受信すると、前記外部クライアントの利用者の正当性を確認した上で、前記第1のアクセス制御情報記憶手段の格納情報を参照して、前記外部クライアントの利用者によるアクセスが許可されているかどうかを判断し、許可されていると判断した場合に、前記外部クライアントからのアクセス要求を該当する内部中継サーバへ送信し、
    前記内部中継サーバは、前記外部クライアントの利用者によるアクセスが可能な内部Webサーバとその接続情報が関連付けられて予め格納された第2のアクセス制御情報記憶手段を有しており、前記外部クライアント端末からのアクセス要求を前記DMZ中継サーバから受信すると、前記第2のアクセス制御情報記憶手段の格納情報を参照して、前記利用者によるアクセスが許可されているかどうかを判断し、許可されていると判断した場合に、前記外部クライアント端末からのアクセス要求を該当する内部Webサーバへ送信することを特徴とするリモートアクセスシステム。
  2. 前記内部中継サーバは、前記外部クライアント端末からのアクセス要求を送信した内部Webサーバから応答を受信すると、該受信した応答に対して所定の変換処理を施し、該変換処理結果を前記DMZ中継サーバへ送信することを特徴とする請求項1に記載のリモートアクセスシステム。
  3. 前記内部Webサーバを複数有し、
    第2のアクセス制御情報記憶手段は、前記複数の内部Webサーバのそれぞれにおいて行われる利用者認証に必要な前記外部クライアントの利用者の認証情
    報が予め格納されており、
    前記内部中継サーバは、前記利用者によるアクセスが許可されていると判断した場合に、前記認証情報を参照して前記外部クライアントの利用者の正当性を確認することを特徴とする請求項1に記載のリモートアクセスシステム。
  4. 前記外部クライアントと前記DMZの間の通信がHTTPSにより行われることを特徴とする請求項1に記載のリモートアクセスシステム。
  5. ファイアウォールにより外部ネットワークおよび内部ネットワークから隔離されたDMZと、該DMZに接続されたDMZ中継サーバと、前記内部ネットワークに接続された少なくとも1つの内部中継サーバとを有し、前記外部ネットワークに接続された外部クライアントから前記内部ネットワークに接続された少なくとも1つの内部Webサーバへのアクセスを制御するシステムにおいて行われるリモートアクセス方法であって、
    前記DMZ中継サーバが、前記内部Webサーバへのアクセス要求を前記外部クライアントから受信すると、前記外部クライアントの利用者の正当性を確認する第1のステップと、
    前記第1のステップで、前記外部クライアントの利用者が正当であると判断した場合に、前記DMZ中継サーバが、前記外部クライアントの利用者によるアクセスが可能な内部Webサーバとその接続を中継する内部中継サーバとの情報が関連付けられて予め格納された第1のアクセス制御情報記憶手段を参照して、前記外部クライアントの利用者によるアクセスが許可されているかどうかを判断する第2のステップと、
    前記第2のステップで、前記外部クライアントの利用者によるアクセスが許可されていると判断した場合に、前記DMZ中継サーバが、前記外部クライアントからのアクセス要求を該当する内部中継サーバへ送信する第3のステップと、
    前記内部中継サーバが、前記外部クライアント端末からのアクセス要求を前記DMZ中継サーバから受信すると、前記外部クライアントの利用者によるアクセスが可能な内部Webサーバとその接続情報が関連付けられて予め格納された第2のアクセス制御情報記憶手段を参照して、前記利用者によるアクセスが許可されているかどうかを判断する第4のステップと、
    前記第4のステップで、前記外部クライアントの利用者によるアクセスが許可されていると判断した場合に、前記内部中継サーバが、前記外部クライアント端末からのアクセス要求を該当する内部Webサーバへ送信する第5のステップとを含むリモートアクセス方法。
  6. 前記内部中継サーバが、前記外部クライアント端末からのアクセス要求を送信した内部Webサーバから応答を受信すると、該受信した応答に対して所定の変換処理を施し、該変換処理結果を前記DMZ中継サーバへ送信するステップをさらに含むことを特徴とする請求項に記載のリモートアクセス方法。
  7. 前記システムは前記内部Webサーバを複数有し、
    前記第2のアクセス制御情報記憶手段は、前記複数の内部Webサーバのそれぞれにおいて行われる利用者認証に必要な前記外部クライアントの利用者の認証情報が予め格納されており、
    前記内部中継サーバが、前記利用者によるアクセスが許可されていると判断した場合に、前記認証情報を参照して前記外部クライアントの利用者の正当性を確認するステップをさらに含むことを特徴とする請求項5に記載のリモートアクセス方法。
JP2003082678A 2003-03-25 2003-03-25 リモートアクセスシステムおよびリモートアクセス方法 Expired - Fee Related JP4340848B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003082678A JP4340848B2 (ja) 2003-03-25 2003-03-25 リモートアクセスシステムおよびリモートアクセス方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003082678A JP4340848B2 (ja) 2003-03-25 2003-03-25 リモートアクセスシステムおよびリモートアクセス方法

Publications (2)

Publication Number Publication Date
JP2004295166A true JP2004295166A (ja) 2004-10-21
JP4340848B2 JP4340848B2 (ja) 2009-10-07

Family

ID=33398366

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003082678A Expired - Fee Related JP4340848B2 (ja) 2003-03-25 2003-03-25 リモートアクセスシステムおよびリモートアクセス方法

Country Status (1)

Country Link
JP (1) JP4340848B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100856409B1 (ko) 2006-10-09 2008-09-04 삼성전자주식회사 로컬 네트워크 장치의 원격 제어 방법 및 그 장치
JP2009520406A (ja) * 2005-12-15 2009-05-21 リーマン・ブラザーズ・インコーポレーテッド セキュアなリモートデスクトップアクセスのためのシステム及び方法
JP2010055200A (ja) * 2008-08-26 2010-03-11 Nippon Telegr & Teleph Corp <Ntt> サーバ明示選択型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム
JP2010166410A (ja) * 2009-01-16 2010-07-29 Toshiba Corp Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム
JP2011100207A (ja) * 2009-11-04 2011-05-19 Nippon Yunishisu Kk リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム
JP2011166312A (ja) * 2010-02-05 2011-08-25 Nec Corp 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム
JP2011186912A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 中継処理方法、プログラム及び装置
JP2014123864A (ja) * 2012-12-21 2014-07-03 Sumitomo Electric System Solutions Co Ltd 情報通信機器の管理システム、管理サーバ、情報通信機器、及びコンピュータプログラム
JP2016058842A (ja) * 2014-09-08 2016-04-21 インフォコム株式会社 通信方法及び通信システム
JP2019179446A (ja) * 2018-03-30 2019-10-17 ブラザー工業株式会社 プログラム及び通信システム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009520406A (ja) * 2005-12-15 2009-05-21 リーマン・ブラザーズ・インコーポレーテッド セキュアなリモートデスクトップアクセスのためのシステム及び方法
US8272045B2 (en) 2005-12-15 2012-09-18 Barclays Capital Inc. System and method for secure remote desktop access
KR100856409B1 (ko) 2006-10-09 2008-09-04 삼성전자주식회사 로컬 네트워크 장치의 원격 제어 방법 및 그 장치
JP2010055200A (ja) * 2008-08-26 2010-03-11 Nippon Telegr & Teleph Corp <Ntt> サーバ明示選択型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム
JP2010166410A (ja) * 2009-01-16 2010-07-29 Toshiba Corp Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム
JP2011100207A (ja) * 2009-11-04 2011-05-19 Nippon Yunishisu Kk リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム
JP2011166312A (ja) * 2010-02-05 2011-08-25 Nec Corp 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム
JP2011186912A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 中継処理方法、プログラム及び装置
JP2014123864A (ja) * 2012-12-21 2014-07-03 Sumitomo Electric System Solutions Co Ltd 情報通信機器の管理システム、管理サーバ、情報通信機器、及びコンピュータプログラム
JP2016058842A (ja) * 2014-09-08 2016-04-21 インフォコム株式会社 通信方法及び通信システム
JP2019179446A (ja) * 2018-03-30 2019-10-17 ブラザー工業株式会社 プログラム及び通信システム
JP7081273B2 (ja) 2018-03-30 2022-06-07 ブラザー工業株式会社 プログラム及び通信システム

Also Published As

Publication number Publication date
JP4340848B2 (ja) 2009-10-07

Similar Documents

Publication Publication Date Title
US10791506B2 (en) Adaptive ownership and cloud-based configuration and control of network devices
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
JP4362132B2 (ja) アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置
JP4260116B2 (ja) 安全な仮想プライベート・ネットワーク
US8537841B2 (en) Connection support apparatus and gateway apparatus
JP3526435B2 (ja) ネットワークシステム
US7707628B2 (en) Network system, internal server, terminal device, storage medium and packet relay method
US7725589B2 (en) System, method, apparatus, and computer program product for facilitating digital communications
KR100563907B1 (ko) 원격제어 시스템 및 방법
US20050277434A1 (en) Access controller
US20050160161A1 (en) System and method for managing a proxy request over a secure network using inherited security attributes
US20050081045A1 (en) System, method, apparatus and computer program product for facilitating digital communications
US20080072312A1 (en) Connection supporting apparatus
JP2002523973A (ja) コンピュータ・ネットワークにおけるサービスへの安全なアクセスを可能にするシステムおよび方法
TW200307439A (en) Mechanism for supporting wired and wireless methods for client and server side authentication
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
JP2008252456A (ja) 通信装置、及び通信方法
JP2006166028A (ja) Vpn接続構築システム
JP4340848B2 (ja) リモートアクセスシステムおよびリモートアクセス方法
JP5260467B2 (ja) アクセス制御システムおよびアクセス制御方法
US11064544B2 (en) Mobile communication system and pre-authentication filters
JP2008227626A (ja) ネットワークカメラの通信システムおよび通信方法
KR100958098B1 (ko) 가상사설망 서비스방법 및 그 시스템
JP2004302555A (ja) ユーザ認証システム、ログイン管理装置、電子装置およびプログラム
JP2016213801A (ja) 通信システム、ゲートウェイサーバ、及びプログラム

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050111

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050111

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070905

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080910

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090610

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120717

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees