JP2005286802A - 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 - Google Patents
通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 Download PDFInfo
- Publication number
- JP2005286802A JP2005286802A JP2004099495A JP2004099495A JP2005286802A JP 2005286802 A JP2005286802 A JP 2005286802A JP 2004099495 A JP2004099495 A JP 2004099495A JP 2004099495 A JP2004099495 A JP 2004099495A JP 2005286802 A JP2005286802 A JP 2005286802A
- Authority
- JP
- Japan
- Prior art keywords
- server
- vpn
- address
- application gateway
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】
セキュアな通信を適切に行う。
【解決手段】
VPNサーバがVPN接続を行う特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにより実行される通信制御方法であって、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを受信し、記憶装置に格納するステップと、VPNサーバと特定のVPNクライアント装置との間でVPN接続が確立している状態において、VPN接続とは異なる通信手段による、特定のサーバへのアクセス要求データを受信した場合、アクセス要求データの送信元のIPアドレスと記憶装置に格納されているIPアドレスとに基づき、VPN接続とは異なる通信手段による特定のサーバへのアクセスを許可するか判定する判定ステップとを含む。
【選択図】図1
セキュアな通信を適切に行う。
【解決手段】
VPNサーバがVPN接続を行う特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにより実行される通信制御方法であって、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを受信し、記憶装置に格納するステップと、VPNサーバと特定のVPNクライアント装置との間でVPN接続が確立している状態において、VPN接続とは異なる通信手段による、特定のサーバへのアクセス要求データを受信した場合、アクセス要求データの送信元のIPアドレスと記憶装置に格納されているIPアドレスとに基づき、VPN接続とは異なる通信手段による特定のサーバへのアクセスを許可するか判定する判定ステップとを含む。
【選択図】図1
Description
本発明は、セキュアな通信を可能にするための通信制御技術に関するものである。
近年、インターネットを介した通信において、トンネリング(例えばVPN(Virtual Private Network:仮想私設通信網)技術によってセキュアな通信を実現させるケースが増えている。VPNは一般的に専用線の代用として利用されることが多く、接続認証、カプセル化及び暗号化といった技術によってインターネットを経由する通信データの秘密性及び完全性を保持する。
図13に、一般的なVPN接続システム構成図を示す。例えばインターネットであるネットワーク1には、1又は複数のVPNサーバ5と、例えばパーソナル・コンピュータである1又は複数のユーザ端末3と、1又は複数のゲートウェイ7とが無線又は有線により接続されている。VPNサーバ5は、例えば企業内ネットワークである社内LAN21に接続しており、社内LAN21には、1又は複数の認証サーバ23と1又は複数のメール・サーバ25と1又は複数のウェブ(Web)サーバ27と1又は複数のアプリケーション・サーバ29と図示しない他のサーバとが接続されている。
また、ゲートウェイ7は、例えば拠点内ネットワークである拠点LAN9に接続しており、拠点LAN9には、例えばパーソナル・コンピュータである1又は複数のユーザ端末11及び13が接続されている。また、ゲートウェイ7には、VPNクライアント71とアドレス変換部73とが含まれている。VPNクライアント71は、VPNサーバ5とのVPN接続を確立する。アドレス変換部73は、例えばNAT(Network Address Translation)であり、ユーザ端末11やユーザ端末13のIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)とを透過的に相互変換する。これにより、ユーザ端末11やユーザ端末13は、ネットワーク1を介した通信が可能となっている。また、ユーザ端末3にはVPNクライアント33が含まれており、VPNサーバ5とのVPN接続が可能となっている。なお、VPNサーバ5、VPNクライアント33及びVPNクライアント71は、例えばPPTP(Point-to-Point Tunneling Protocol)やL2TP(Layer 2 Tunneling Protocol)、IPSec(Security Architecture for Internet Protocol)等の通信方式によりVPN接続を実現する。
このように、従来の一般的なVPN接続システムでは、ユーザ端末3、ユーザ端末11又はユーザ端末13から、社内LAN21に接続されたいずれかのサーバにアクセスする際には、VPNサーバ5を必ず経由するようになっている。すなわち、社内LAN21に接続されたどのサーバと通信する場合であっても、VPN接続を行うことによるカプセル化や暗号化が行われる。
ケー・ラーイ(K. Lahey)、"RFC2923(Request for Comments:2923),パスMTU探索におけるTCP問題(TCP Problems with Path MTU Discovery)"、[online]、平成12年9月、インターネット・エンジニアリング・タスク・フォース(Internet Engineering Task Force)、[平成15年12月16日検索]、インターネット<URL:http://www.faqs.org/rfcs/rfc2923.html>
ケー・ラーイ(K. Lahey)、"RFC2923(Request for Comments:2923),パスMTU探索におけるTCP問題(TCP Problems with Path MTU Discovery)"、[online]、平成12年9月、インターネット・エンジニアリング・タスク・フォース(Internet Engineering Task Force)、[平成15年12月16日検索]、インターネット<URL:http://www.faqs.org/rfcs/rfc2923.html>
しかしながら、上で述べたような技術によると、カプセル化や暗号化に伴う処理の負荷が比較的高く、回線速度に対して十分なスループットが得られないことが多い。また、カプセル化や暗号化によって通信データのサイズが大きくなると、最大転送サイズ(MTU:Maximum Transmission Unit)の制限と最大転送サイズを検出するアルゴリズム(Path MTU Discovery Protocol)における通信障害(非特許文献1参照)の問題を引き起こす可能性が高くなる。
また、TCPの通信においてはパケットの到達性が保証されているため、タイムアウトが発生した場合には再送が行われるが、利用するトンネリング技術とシステム構成の組み合わせによっては、TCPによる再送と、カプセル化を行うプロトコルによる再送とが多重に発生し、必要以上に再送パケットが発生してしまうこともある。
一方、インターネットを介して利用されるアプリケーション・プログラムの一部は、HTTPS(Hypertext Transfer Protocol Security)やSSH(Secure SHell)などのようにSSL(Secure Socket Layer)を使い、アプリケーション・プログラム毎に暗号化しているケースも多く、VPN通信のための暗号化を全ての通信に対して行うのは非効率である。
そのため、本発明の目的は、セキュアな通信を適切に行うための通信制御技術を提供することである。
本発明の第1の態様に係る通信制御方法は、VPNサーバがVPN接続を行う特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにより実行される通信制御方法であって、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを受信し、記憶装置に格納する許可IPアドレス受信ステップと、VPNサーバと特定のVPNクライアント装置との間でVPN接続が確立している状態において、VPN接続とは異なる通信手段による、特定のサーバへのアクセス要求データを受信した場合、アクセス要求データの送信元のIPアドレスと記憶装置に格納されているIPアドレスとに基づき、VPN接続とは異なる通信手段による特定のサーバへのアクセスを許可するか判定する判定ステップとを含む。
これにより、特定のサーバへのアクセスを許可されたVPNクライアント装置は、VPN接続とは異なる通信手段で特定のサーバとの通信を行うことができるようになる。例えば、特定のサーバがSSLを用いた通信を行っている場合、SSLとVPNにより2重の暗号化がなされて通信データのサイズが大きくなってしまうのを回避することができる。また、特定のサーバへのアクセス許可は、VPNサーバとVPNクライアント装置との間でVPN接続が確立している状態においてなされるため、VPN接続がなされていないアクセス要求元からのアクセスを不許可にする等、適切なアクセス制限が可能となる。
また、上記許可IPアドレス受信ステップにおいて、VPNサーバとの間のVPN接続について所定の認証処理サーバによって認証されたVPNクライアント装置のIPアドレスを、所定の認証処理サーバから受信し、記憶装置に格納するようにしてもよい。これにより、VPN接続における認証がなされたVPNクライアント装置について、特定のサーバへのアクセスが許可されるようになる。
本発明の第2の態様に係る通信制御方法は、VPNサーバがVPN接続を行う特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにより実行される通信制御方法であって、VPNサーバと特定のVPNクライアント装置との間でVPN接続が確立している状態において、VPN接続とは異なる通信手段による、特定のサーバへのアクセス要求データを受信した場合、当該アクセス要求データの送信元のIPアドレスを所定の認証サーバに送信するステップと、アクセス要求データの送信元のIPアドレスが特定のサーバへのアクセスを許可されるべきVPNクライアント装置のIPアドレスであるか否かの判定結果を所定の認証サーバから受信し、記憶装置に格納するステップとを含む。
これにより、特定のサーバへのアクセスを許可されたVPNクライアント装置は、VPN接続とは異なる通信手段で特定のサーバとの通信を行うことができるようになる。また、アプリケーション・ゲートウェイ・サーバは、特定のサーバへのアクセス要求データを受信した場合に当該アクセス要求データの送信元のIPアドレスを認証サーバに送信し、認証サーバから認証結果を受信するため、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを予め保持しておく必要がない。
また、本発明の第1の態様において、上記許可IPアドレス受信ステップにおいてアプリケーション・ゲートウェイ・サーバへの接続要求データをVPNを介して受信した所定のアクセス管理サーバから、当該接続要求データの送信元のIPアドレスを受信した場合、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスとして記憶装置に格納するようにしてもよい。このように、例えば専用のアクセス管理サーバを設け、当該アクセス管理サーバから受信したIPアドレスに基づき、特定のサーバへのアクセスの許可又は不許可を判定することも可能である。この場合、接続要求データの送信元が既にVPN接続を認証されており且つVPNを介してアクセス管理サーバに接続要求データを送信していることから、アプリケーション・ゲートウェイ・サーバにおいて接続要求データの送信元がVPNクライアントであるかを改めてチェックする必要はない。
また、本発明の第1の態様において、上記許可IPアドレス受信ステップにおいてアプリケーション・ゲートウェイ・サーバへの接続要求データをVPN接続とは異なる通信手段により受信し且つ当該接続要求データの送信元の認証を行った所定の認証サーバから、当該接続要求データの送信元のIPアドレスを受信した場合、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスとして記憶装置に格納するようにしてもよい。このように、認証サーバがVPN接続とは異なる通信手段により接続要求データを受信し且つ認証した接続要求データの送信元のIPアドレスに基づき、特定のサーバへのアクセスの許可又は不許可を判定するようにしてもよい。この場合、接続要求データの送信元がVPNクライアントであるか否かのチェックは認証サーバによりなされるため、アプリケーション・ゲートウェイ・サーバにおいてチェックする必要はない。
また、本発明の第1の態様において、上記判定ステップにおいてアクセス要求データの送信元についてVPN接続とは異なる通信手段による特定のサーバへのアクセスを許可すると判定された場合、アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、アプリケーション・ゲートウェイ・サーバのIPアドレス及びアプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータのうち少なくともいずれかを、アクセス要求データの送信元に送信するステップをさらに含むようにしてもよい。これにより、アプリケーション・ゲートウェイ・サーバに対して適切な中継処理を行わせるためのデータが、アクセス要求データの送信元に送信される。
また、本発明の第1及び第2の態様において、VPN接続の切断要求及びVPN接続の状態が切断状態であることのいずれかを検知した場合、VPN接続が切断状態となる当該VPNクライアント装置について、特定のサーバへのアクセスを不許可に設定するステップをさらに含むようにしてもよい。このように、VPN接続が切断された場合には、当該VPNクライアント装置についてはVPN接続とは異なる通信手段による接続もできないようにすることにより、セキュアな通信が実現できる。なお、VPN接続の状態は、VPNサーバが切断要求を検知した際にアプリケーション・ゲートウェイ・サーバに対して通知する方法、VPNのコネクション・ステータスが切断状態になった場合に、VPNサーバがアプリケーション・ゲートウェイ・サーバに対して通知する方法、及びアプリケーション・ゲートウェイ・サーバがVPNサーバに対して状態確認を行う方法の少なくともいずれかの方法を用いて把握する。
本発明の第3の態様に係る通信制御方法は、VPNサーバがVPN接続を行う特定のVPNクライアント装置についての認証を行う認証サーバにより実行される通信制御方法であって、特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、アプリケーション・ゲートウェイ・サーバのIPアドレス及びアプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータのうち少なくともいずれかを受信した場合、ゲートウェイ関連データとして記憶装置に格納するステップと、VPN接続を要求する特定のVPNクライアント装置の認証がなされた場合、記憶装置に格納されているゲートウェイ関連データをVPN接続とは異なる通信手段により特定のVPNクライアント装置に送信するステップとを含む。
このように、VPN接続を要求する特定のVPNクライアント装置の認証がなされた場合、VPN接続とは異なる通信手段により、認証サーバから当該特定のVPNクライアント装置に対してゲートウェイ関連データを送信するようにしてもよい。なお、認証サーバがゲートウェイ関連データを取得するために、アプリケーション・ゲートウェイ・サーバに問い合わせを行う場合もある。
また、本発明の第3の態様において、ゲートウェイ関連データの要求を受信した場合、ゲートウェイ関連データの要求元の認証可否を判定する認証ステップと、認証ステップにおいて、ゲートウェイ関連データの要求元が認証された場合、記憶装置に格納されているゲートウェイ関連データをVPN接続とは異なる通信手段によりゲートウェイ関連データの要求元に送信するステップとをさらに含むようにしてもよい。このように、ゲートウェイ関連データの要求があった場合に、要求元を認証し、ゲートウェイ関連データを送信するようにしてもよい。
本発明の第4の態様に係る通信制御方法は、ユーザ端末と接続し且つVPNサーバとVPN接続可能なVPNクライアント装置により実行される通信制御方法であって、所定の認証サーバ、VPNサーバ及びアプリケーション・ゲートウェイ・サーバのいずれかから、アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、アプリケーション・ゲートウェイ・サーバのIPアドレス、アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータ及び中継不可能な宛先IPアドレスを受信した場合、ゲートウェイ関連データとして記憶装置に格納するステップと、VPNサーバとの間でVPN接続が確立している状態において、ユーザ端末から、特定のサーバへのアクセス要求データを受信した場合、ゲートウェイ関連データを用いて、VPNサーバを経由する通信経路とアプリケーション・ゲートウェイ・サーバを経由する通信経路とその他の通信経路とのうち、いずれかの通信経路を設定する経路設定ステップと、通信経路がアプリケーション・ゲートウェイ・サーバを経由する通信経路に設定された場合、ゲートウェイ関連データを用いて、アプリケーション・ゲートウェイ・サーバが中継可能な態様の特定のサーバへのアクセス要求データをアプリケーション・ゲートウェイ・サーバに送信するステップとを含む。
これにより、VPNクライアント装置は、適切な経路選択が可能となり且つアプリケーション・ゲートウェイ・サーバに対して適切な中継処理を行わせることができるようになる。具体的には、アクセスするサーバに応じて適切なポート番号やプロトコルを選択し、例えばターゲット・ホストの指定が必要な場合にはターゲット・ホストのデータも付加して特定のサーバへのアクセスを要求することができるようになる。
また、上記経路設定ステップにおいて、特定のサーバへのアクセス要求データの宛先IPアドレスが所定のIPアドレスに合致する場合については経路設定の処理対象から除外するようにしてもよい。これにより、例えばネットワーク管理者等が、ユーザにアクセスさせたくないサーバについて、アクセスできないように設定することができる。
なお、本発明に係る方法をコンピュータに実行させるためのプログラムを作成することも可能であって、当該プログラムは、例えばフレキシブル・ディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。また、ネットワークを介してデジタル信号として配信される場合もある。なお、処理途中のデータについては、コンピュータのメモリ等の記憶装置に一時保管される。
本発明によれば、セキュアな通信を適切に行うことが可能となる。
[実施の形態1]
本発明の第1の実施の形態に係るシステム構成図を図1に示す。なお、図13で示したシステムの構成要素と同様の構成要素については、同じ番号を付しており、以下、冗長な説明を省略する場合がある。
本発明の第1の実施の形態に係るシステム構成図を図1に示す。なお、図13で示したシステムの構成要素と同様の構成要素については、同じ番号を付しており、以下、冗長な説明を省略する場合がある。
例えばインターネットであるネットワーク1には、1又は複数のVPNサーバ5と、1又は複数のアプリケーション・ゲートウェイ30と、1又は複数のゲートウェイ7とが無線又は有線により接続されている。VPNサーバ5は社内LAN21に接続しており、社内LAN21には、1又は複数の認証サーバ23と1又は複数のメール・サーバ25と1又は複数のWebサーバ27と1又は複数のアプリケーション・サーバ29と図示しない他のサーバとが接続されている。認証サーバ23にはIPアドレス格納部230が接続されている。IPアドレス格納部230には、例えばVPN接続の確立について認証されたゲートウェイ7のIPアドレスが格納される。
アプリケーション・ゲートウェイ30には、中継処理部31とアクセス制御部32とが含まれている。中継処理部31は、通信データに含まれる宛先アドレスやターゲット・ホスト等の付加データに基づき、サーバ接続の中継処理を行う。アクセス制御部32は、サーバ接続要求元に対してサーバへのアクセスの許可又は不許可の判定を行う。例えばサーバ接続要求元のIPアドレスに基づきアクセスを許可するか否か判定する。不許可と判定された場合には、中継処理を行わないようにする。
ゲートウェイ7は拠点LAN9に接続しており、拠点LAN9には、1又は複数のユーザ端末11及び13が接続されている。また、ゲートウェイ7には、VPNクライアント71と通信制御部72とアドレス変換部73とが含まれている。VPNクライアント71は、VPNサーバ5とのVPN接続を確立する。通信制御部72は、ユーザ端末11又は13から特定のサーバへのアクセス要求を受信すると、宛先のIPアドレスに応じて、VPNサーバ5を経由する通信経路とアプリケーション・ゲートウェイ30を経由する通信経路とその他の通信経路とのうち、いずれかの通信経路を設定する。また、通信経路がアプリケーション・ゲートウェイ30を経由する通信経路に設定された場合、アプリケーション・ゲートウェイ30が中継可能な態様でアクセス要求データを送信する。具体的には、アクセスするサーバに応じて適切なポート番号やプロトコルを選択し、例えばターゲット・ホストの指定が必要な場合にはターゲット・ホストのデータも付加する。アドレス変換部73は、例えば周知のNAPT(Network Address Port Translation)であり、ユーザ端末11やユーザ端末13のIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)とを透過的に相互変換する。NAPTは、TCPやUDPのポート番号を動的に変換するため、一つのグローバルアドレスで複数のユーザ端末からの同時接続を実現することが可能である。これにより、ユーザ端末11やユーザ端末13は、ネットワーク1を介した通信が可能となっている。
なお、VPNサーバ5及びVPNクライアント71は、例えばPPTPやL2TP、IPSec等の通信方式によりVPN接続を実現する。また、Webサーバ27は、SSLを利用した通信を行う。ユーザ端末11及びユーザ端末13はSSL対応のWebブラウザを有しており、ユーザ端末11又は13とWebサーバ27との間では、VPNを介さなくとも、セキュアな通信が可能である。
図2及び図3に、図1に示したシステムの処理フローを示す。以下、各ステップに従い説明する。まず、例えば管理者用の端末であるユーザ端末11は、管理者等のユーザからの操作に従い、VPN接続要求をゲートウェイ7に送信する(図2:ステップS1)。ゲートウェイ7のVPNクライアント71は、VPN接続要求をユーザ端末11から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS3)。そして、VPNクライアント71は、VPN接続を確立するための認証データをVPNサーバ5に送信する(ステップS5)。認証データは、例えばユーザから受け付けたパスワードである。
VPNサーバ5は、認証データをゲートウェイ7から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS7)。そして、VPNサーバ5は、認証サーバ23と協働して、VPN接続の要求元であるゲートウェイ7の認証処理を行う(ステップS9)。認証がなされると、認証サーバ23は、ゲートウェイ7のIPアドレスを許可IPアドレスとしてアプリケーション・ゲートウェイ30に送信する(ステップS11)。アプリケーション・ゲートウェイ30は、許可IPアドレスを認証サーバ23から受信し、ワーク・メモリ領域等に生成された例えば許可IPアドレステーブルに格納する(ステップS13)。許可IPアドレスとは、アプリケーション・ゲートウェイ30のアクセス制御部32がアクセス制御を行う際に用いるIPアドレスであり、例えば許可IPアドレスを有するゲートウェイ7からWebサーバ27へのアクセス要求があった場合には、アクセスを許可するという判定がなされる。なお、ステップS9における認証処理後、VPNサーバ5からアプリケーション・ゲートウェイ30に許可IPアドレスが送信されるような場合もある。
VPNサーバ5は、ステップS9における認証がなされると、予め保持しているアプリケーション・ゲートウェイ関連データと、VPN接続応答とをゲートウェイ7に送信する(ステップS15)。ゲートウェイ7のVPNクライアント71は、アプリケーション・ゲートウェイ関連データとVPN接続応答とをVPNサーバ5から受信し、ワーク・メモリ領域等における例えばアプリケーション・ゲートウェイ関連データ格納部に格納する(ステップS17)。アプリケーション・ゲートウェイ関連データには、アプリケーション・ゲートウェイ30において中継可能なサーバ・サービスに関するデータ、アプリケーション・ゲートウェイ30のIPアドレス、アプリケーション・ゲートウェイ30における処理方法に関するデータ及び中継不可能な宛先IPアドレス等が含まれている。アプリケーション・ゲートウェイ30における処理方法に関するデータとは、例えばターゲット・ホストの指定を別途必要とする通信プロトコルを用いる場合には、ターゲット・ホストのデータも付加した態様でのアクセス要求データを受け付けるということを示すデータである。識別子が用いられる場合もある。
なお、VPNサーバ5がアプリケーション・ゲートウェイ関連データを予め保持していない場合もある。このような場合には、VPNサーバ5はアプリケーション・ゲートウェイ関連データの要求をアプリケーション・ゲートウェイ30に対して送信し、アプリケーション・ゲートウェイ30から受信したアプリケーション・ゲートウェイ関連データをゲートウェイ7に送信する。また、アプリケーション・ゲートウェイ関連データをVPN接続応答に併せて送信しない場合もある。このような場合には、例えばゲートウェイ7のVPNクライアント71は、VPNサーバ5に対してアプリケーション・ゲートウェイ関連データを要求し、要求に応じてVPNサーバ5から送信されたデータを受信する。
そして、ゲートウェイ7のVPNクライアント71は、VPN接続完了通知データを生成し、ユーザ端末11に送信する(ステップS19)。ユーザ端末11は、VPN接続完了通知データをゲートウェイ7から受信し、表示装置に表示する(ステップS21)。
また、VPNサーバ5は、VPNの接続状態を示すデータをアプリケーション・ゲートウェイ30に送信する(ステップS23)。アプリケーション・ゲートウェイ30のアクセス制御部32は、VPNの接続状態を示すデータをVPNサーバ5から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS25)。VPNの接続状態を示すデータは、例えば接続状態が変化した際にVPNサーバ5からアプリケーション・ゲートウェイ30に送信される。なお、アプリケーション・ゲートウェイ30からVPNサーバ5に対して定期的にVPNの接続状態を示すデータの要求を送信する場合もある。また、VPNサーバ5からのデータ受信がない状態が所定期間以上続いた場合に、アプリケーション・ゲートウェイ30からVPNサーバ5に対してデータ要求を送信する場合もある。
このようにしてVPN接続が確立され、アプリケーション・ゲートウェイ30に許可IPアドレス及びVPNの接続状態が保持される。
そして、例えばユーザ端末13は、一般ユーザ等からの操作に従い、例えばWebサーバ27へのアクセス要求をゲートウェイ7に送信する(図3:ステップS31)。ゲートウェイ7の通信制御部72は、Webサーバ27へのアクセス要求をユーザ端末13から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS33)。そして、ゲートウェイ7のアドレス変換部73は、ローカルアドレスからグローバルアドレスへのアドレス変換を行う(ステップS35)。そして、ゲートウェイ7の通信制御部72は、アプリケーション・ゲートウェイ関連データに基づき、当該アクセス要求の通信ルートを判定する(ステップS37)。具体的には、VPN(VPNサーバ5)経由の通信ルート、アプリケーション・ゲートウェイ30経由の通信ルート及びその他のルートのうち、いずれかのルートを選択する。本実施の形態においては、Webサーバ27宛てのデータについてはアプリケーション・ゲートウェイ30経由の通信ルートが選択される。
図4−1及び図4−2に、通信ルート設定の概要図を示す。まず、図4−1には、図13に示した従来の一般的なVPN接続システムにおけるゲートウェイ7での通信ルート設定の概要が示されている。
VPNルート416及びデフォルト・ルート(Default Route)419は、イーサネット(Ethernet)(登録商標)・ルート414に含まれている。イーサネット・ルート414は、例えばTCP/IPによる通信ルートを表しており、インターネットを介す通信ルートは、全てこのイーサネット・ルート414に含まれている。VPNルート416は、VPN接続による通信ルートを表しており、このVPNルート416を通るデータはカプセル化及び暗号化された後、インターネットに送信される。カプセル化により、宛先IPアドレスがVPNサーバ5のIPアドレスに一旦変換される。デフォルト・ルート419は、データを加工せずにインターネットに送信するルートを示している。通信ルート418は、例えば拠点LAN9を経由してゲートウェイ7に到達したデータがまず始めに通るルートを示している。
データは図の左から右に向かって進んでいくものとする。まず、例えばユーザ端末13から送信されたサーバ宛データは、通信ルート418を通り、アドレス変換部処理範囲410に入る。ここで、データ送信元であるユーザ端末13のIPアドレスがローカルアドレスからグローバルアドレスに変換される。そしてサーバ宛データはさらに右に進み、VPNクライアント処理範囲412に入る。ここで、サーバ宛データは、まずデフォルト・ルート419を通り、VPN接続が確立している場合には、デフォルト・ルート419の途中から切り替わっているVPNルート416を通り、VPN接続が確立していない場合には、そのままデフォルト・ルート419を通る。なお、VPN接続が確立している場合においても、IPアドレスが所定の範囲外であるサーバ(例えば社内LAN21に接続されていないサーバ)宛のデータについては、デフォルト・ルート419をそのまま通るような設定がなされている場合もある。一方、例えば社内LAN21に接続されているサーバ宛のデータについては、全てVPNルート416を通るようになっている。すなわち、例えばHTTPSによりカプセル化や暗号化された通信データに対しても2重にカプセル化や暗号化がなされるようになっている。
図4−2には、図1に示したような本実施の形態におけるゲートウェイ7での通信ルート設定の概要が示されている。VPNルート416、デフォルト・ルート419及びHTTPSルート420は、イーサネット・ルート414に含まれている。なお、図4−1と同様の構成要素については同じ番号を付しており、以下、冗長な説明を省略する。
例えばユーザ端末13から送信されたサーバ宛データは、通信ルート418を通り、VPNクライアント処理範囲412に入る。ここで、サーバ宛データは、例えば宛先のサーバが用いる通信プロトコルに対応付けられたポート番号によって、VPNルート416、デフォルト・ルート419及びHTTPSルート420のいずれかを通るように振り分けられる。この処理は、ゲートウェイ7の通信制御部72によって実施される。例えば、HTTPS(ポート番号443)を用いた通信を行うサーバ(例えばWebサーバ27)宛のデータは、HTTPSルート420を通りアプリケーション・ゲートウェイ30が中継可能な態様でインターネットに送信される。なお、HTTPSルート420を通るデータはカプセル化され、宛先IPアドレスがアプリケーション・ゲートウェイ30のIPアドレスに一旦変換される。また、POP3(ポート番号110)やSMTP(ポート番号25)を用いたサーバ(例えばメール・サーバ25)宛のデータは、VPNルート416を通りインターネットに送信される。また、IPアドレスが所定の範囲外であるサーバ(例えば社内LAN21に接続されていないサーバ)宛のデータについては、デフォルト・ルート419を通り、そのままインターネットに送信される。このように、2重のカプセル化や暗号化がなされないようになっている。
図3の説明に戻り、ゲートウェイ7の通信制御部72は、Webサーバ27へのアクセス要求をアプリケーション・ゲートウェイ30に送信する(図3:ステップS39)。アプリケーション・ゲートウェイ関連データに基づき、ターゲット・ホスト等の付加データが必要な場合には併せて送信する。アプリケーション・ゲートウェイ30のアクセス制御部32は、Webサーバ27へのアクセス要求をゲートウェイ7から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS41)。そして、アクセス制御部32は、ゲートウェイ7のIPアドレスが、ステップS13(図2)において受信した許可IPアドレスと合致しているか確認する(ステップS43)。アクセス制御部32はステップS25(図2)においてワーク・メモリ領域等の記憶装置に格納されたVPN接続の状態も併せて確認し、VPN接続が確立されている状態において、許可IPアドレスを有するゲートウェイ7からのアクセス要求である場合には「アクセスを許可する」と判定する。
なお、VPN接続が確立されていない場合や、IPアドレスが合致しない場合には、「アクセスを許可しない」と判定する。「アクセスを許可しない」と判定された場合、アプリケーション・ゲートウェイ30は処理を終了するが、例えば接続拒否通知をゲートウェイ7を経由してユーザ端末13に送信するような場合もある。以下、「アクセスを許可する」と判定されたものとして説明を続ける。
そして、アプリケーション・ゲートウェイ30の中継処理部31は、アクセス要求データをWebサーバ27に送信する(ステップS45)。この際、中継処理部31は、アクセス要求の宛先IPアドレスをアプリケーション・ゲートウェイ30のIPアドレスからWebサーバ27のIPアドレスへと変換して送信する。Webサーバ27は、アクセス要求データをアプリケーション・ゲートウェイ30から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS47)。Webサーバ27は、通信プロトコルに例えばHTTPSを用いており、HTTPSによる通信を確立するためのアクセス応答データを生成し、アプリケーション・ゲートウェイ30に送信する(ステップS49)。
アプリケーション・ゲートウェイ30の中継処理部31は、アクセス応答データをWebサーバ27から受信し、ゲートウェイ7に転送する(ステップS51)。ゲートウェイ7の通信制御部72は、アクセス応答データをアプリケーション・ゲートウェイ30から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS53)。そして、ゲートウェイ7のアドレス変換部73は、アクセス応答データの宛先アドレスをグローバルアドレスからローカルアドレスに変換する(ステップS55)。そして、通信制御部72は、アクセス応答データをユーザ端末13に送信する(ステップS57)。ユーザ端末13はアクセス応答データを受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS59)。以降、ユーザ端末13及びWebサーバ27は、HTTPSに従ったデータ通信を行う。
このようにして、アプリケーション・ゲートウェイ30経由でのサーバ・アクセスが行われる。これにより、カプセル化や暗号化が2重に行われないようにすることができ、通信データのサイズを不必要に大きくしてしまうことがなくなる。
[実施の形態2]
本発明の第2の実施の形態に係る処理フローを図5及び図6に示す。なお、システム構成は第1の実施の形態と同様であり、以下、図1に示した構成要素を用いて説明する。まず、図5に示す処理フローは、図2に示した処理フローのステップS11及びステップS13の処理をステップS81の処理に変更したものであり、他の処理については同様であるため説明を省略する。ステップS81の処理は、ステップS79の認証処理がなされた後に認証サーバ23によって実行される。図2の処理フローでは、許可IPアドレスがアプリケーション・ゲートウェイ30に送信され、アプリケーション・ゲートウェイ30が許可IPアドレスを保持していたが、本実施の形態においては、認証サーバ23は、許可IPアドレスをIPアドレス格納部230に格納する(図5:ステップS81)。
本発明の第2の実施の形態に係る処理フローを図5及び図6に示す。なお、システム構成は第1の実施の形態と同様であり、以下、図1に示した構成要素を用いて説明する。まず、図5に示す処理フローは、図2に示した処理フローのステップS11及びステップS13の処理をステップS81の処理に変更したものであり、他の処理については同様であるため説明を省略する。ステップS81の処理は、ステップS79の認証処理がなされた後に認証サーバ23によって実行される。図2の処理フローでは、許可IPアドレスがアプリケーション・ゲートウェイ30に送信され、アプリケーション・ゲートウェイ30が許可IPアドレスを保持していたが、本実施の形態においては、認証サーバ23は、許可IPアドレスをIPアドレス格納部230に格納する(図5:ステップS81)。
このようにしてVPN接続が確立され、IPアドレス格納部230に許可IPアドレスが格納される。また、アプリケーション・ゲートウェイ30にVPNの接続状態が保持される。
図6に示す処理フローは、図3に示した処理フローのステップS43の処理をステップS113の処理に変更したものであり、他の処理については同様であるため説明を省略する。ステップS113の許可IPアドレス確認処理は、アプリケーション・ゲートウェイ30のアクセス制御部32がWebサーバ27へのアクセス要求をゲートウェイ7から受信した(ステップS111)後、アプリケーション・ゲートウェイ30のアクセス制御部32と認証サーバ23とによって実行される。具体的には、まず、アプリケーション・ゲートウェイ30のアクセス制御部32が、アクセス要求元であるゲートウェイ7のIPアドレスを認証サーバ23に送信する。認証サーバ23は、受信したIPアドレスが、IPアドレス格納部230に格納されている許可IPアドレスと合致するか照合し、照合結果をアプリケーション・ゲートウェイ30に送信する。アプリケーション・ゲートウェイ30のアクセス制御部32は、照合結果を受信すると、VPN接続の状態を確認し、受信した照合結果とVPN接続状態とに基づき、VPN接続が確立されている状態において、許可IPアドレスを有するゲートウェイ7からのアクセス要求である場合には「アクセスを許可する」と判定する。
このようにして、アプリケーション・ゲートウェイ30経由でのサーバ・アクセスが行われる。本実施の形態においては、アプリケーション・ゲートウェイ30が許可IPアドレスを保持しておく必要がない代わりに、認証サーバ23への問い合わせが行われる。
[実施の形態3]
本発明の第3の実施の形態に係るシステム構成図を図7に示す。図7に示すシステム構成は、図1に示したシステム構成からIPアドレス格納部230を除外し、新たにアクセス管理サーバ22を加えたものである。その他、図1で示したシステムの構成要素と同様の構成要素については同じ番号を付しており、以下、冗長な説明を省略する。アクセス管理サーバ22は1又は複数存在し、社内LAN21に無線又は有線により接続している。アクセス管理サーバ22の処理内容については、以下の処理フローの説明において述べる。
本発明の第3の実施の形態に係るシステム構成図を図7に示す。図7に示すシステム構成は、図1に示したシステム構成からIPアドレス格納部230を除外し、新たにアクセス管理サーバ22を加えたものである。その他、図1で示したシステムの構成要素と同様の構成要素については同じ番号を付しており、以下、冗長な説明を省略する。アクセス管理サーバ22は1又は複数存在し、社内LAN21に無線又は有線により接続している。アクセス管理サーバ22の処理内容については、以下の処理フローの説明において述べる。
図8に、図7に示したシステムの処理フローを示す。図8に示す処理フローは、図5に示した処理フローからステップS81の処理を除外し、新たにステップS163乃至ステップS171の処理を追加したものである。他の処理については同様であるため説明を省略する。ステップS163乃至ステップS171の処理は、ゲートウェイ7とVPNサーバ5との間でVPN接続が確立した後に実行される。
まず、ゲートウェイ7の通信制御部72は、アプリケーション・ゲートウェイ接続要求をVPNサーバ5に送信する(ステップS163)。VPNサーバ5は、アプリケーション・ゲートウェイ接続要求をゲートウェイ7から受信し、アクセス管理サーバ22に転送する(ステップS165)。アクセス管理サーバ22は、アプリケーション・ゲートウェイ接続要求をVPNサーバ5から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS167)。そして、アクセス管理サーバ22は、ゲートウェイ7のIPアドレスを許可IPアドレスとしてアプリケーション・ゲートウェイ30に送信する(ステップS169)。アプリケーション・ゲートウェイ30は、許可IPアドレスをアクセス管理サーバ22から受信し、ワーク・メモリ領域等に生成された例えば許可IPアドレステーブルに格納する(ステップS171)。
このようにして、VPN接続が確立された後、ゲートウェイ7からの要求により、アクセス管理サーバ22からアプリケーション・ゲートウェイ30に許可IPアドレスが送信されることにより、許可IPアドレスがアプリケーション・ゲートウェイ30に保持される。なお、アクセス管理サーバ22は、許可IPアドレスをアプリケーション・ゲートウェイ30が受信したことを確認すると、許可IPアドレス設定応答をVPNサーバ5経由でゲートウェイ7に送信するような場合もある。また、この許可IPアドレス設定応答の送信に併せて、VPNサーバ5がアプリケーション・ゲートウェイ関連データをゲートウェイ7に送信する場合もある。
そして、ユーザ端末からの要求に従い、アプリケーション・ゲートウェイ30経由でのサーバ・アクセス処理が行われるが、第1の実施の形態における処理(図3の処理フロー)と同様であるため、説明を省略する。
[実施の形態4]
本発明の第4の実施の形態に係るシステム構成図を図9に示す。図9に示すシステム構成は、図1に示したシステム構成からIPアドレス格納部230を除外し、認証サーバ23の設置場所を変更したものである。その他、図1で示したシステムの構成要素と同様の構成要素については同じ番号を付しており、以下、冗長な説明を省略する。本実施の形態においては、認証サーバ23は、社内LAN21に無線又は有線により接続しており且つネットワーク1に無線又は有線により接続している。本実施の形態における認証サーバ23の処理内容については、以下の処理フローの説明において述べる。
本発明の第4の実施の形態に係るシステム構成図を図9に示す。図9に示すシステム構成は、図1に示したシステム構成からIPアドレス格納部230を除外し、認証サーバ23の設置場所を変更したものである。その他、図1で示したシステムの構成要素と同様の構成要素については同じ番号を付しており、以下、冗長な説明を省略する。本実施の形態においては、認証サーバ23は、社内LAN21に無線又は有線により接続しており且つネットワーク1に無線又は有線により接続している。本実施の形態における認証サーバ23の処理内容については、以下の処理フローの説明において述べる。
図10に、図9に示したシステムの処理フローを示す。図10に示す処理フローは、図8に示した処理フローにおけるステップS163乃至ステップS171の処理をステップS203乃至ステップS213の処理に変更したものである。他の処理については同様であるため説明を省略する。ステップS203乃至ステップS213の処理は、ゲートウェイ7とVPNサーバ5との間でVPN接続が確立した後に実行される。
まず、ゲートウェイ7の通信制御部72は、アプリケーション・ゲートウェイ接続要求を認証サーバ23に送信する(ステップS203)。認証サーバ23は、アプリケーション・ゲートウェイ接続要求をゲートウェイ7から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS205)。そして、認証サーバ23は、ゲートウェイ7のIPアドレスを許可IPアドレスとしてアプリケーション・ゲートウェイ30に送信する(ステップS207)。
なおこの際、認証サーバ23は、ゲートウェイ7の認証処理を行う。認証されなかった場合、許可IPアドレスの送信処理は行われない。上で述べた第3の実施の形態においては、アクセス管理サーバ22がVPN(VPNサーバ5)を介してアプリケーション・ゲートウェイ接続要求を受信するため、VPN接続について既に認証されているゲートウェイ7の再認証処理は不要であった。一方、本実施の形態においては、認証サーバ23がインターネット(ネットワーク1)から直接、アプリケーション・ゲートウェイ接続要求を受信するため、改めてデータ送信元(ここではゲートウェイ7)の認証処理を行うようにしている。
そして、アプリケーション・ゲートウェイ30は、許可IPアドレスを認証サーバ23から受信し、ワーク・メモリ領域等に生成された例えば許可IPアドレステーブルに格納する(ステップS209)。また、認証サーバ23は、例えば許可IPアドレスをアプリケーション・ゲートウェイ30が受信したことを確認すると、許可IPアドレス設定応答をゲートウェイ7に送信する(ステップS211)。ゲートウェイ7の通信制御部72は、許可IPアドレス設定応答を認証サーバ23から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS213)。
このようにして、VPN接続が確立された後、ゲートウェイ7からの要求により、認証サーバ23からアプリケーション・ゲートウェイ30に許可IPアドレスが送信されることにより、許可IPアドレスがアプリケーション・ゲートウェイ30に保持される。
そして、ユーザ端末からの要求に従い、アプリケーション・ゲートウェイ30経由でのサーバ・アクセス処理が行われるが、第1の実施の形態における処理(図3の処理フロー)と同様であるため、説明を省略する。
[実施の形態5]
本発明の第5の実施の形態に係る処理フローを図11に示す。なお、システム構成は第4の実施の形態と同様であり、以下、図9に示した構成要素を用いて説明する。まず、図11に示す処理フローは、図10に示した処理フローのステップS191及びステップS193の処理をステップS231及びステップS233の処理に変更し且つステップS211及びステップS213(図10)の処理をステップS251及びステップS253の処理に変更したものであり、他の処理については同様であるため説明を省略する。
本発明の第5の実施の形態に係る処理フローを図11に示す。なお、システム構成は第4の実施の形態と同様であり、以下、図9に示した構成要素を用いて説明する。まず、図11に示す処理フローは、図10に示した処理フローのステップS191及びステップS193の処理をステップS231及びステップS233の処理に変更し且つステップS211及びステップS213(図10)の処理をステップS251及びステップS253の処理に変更したものであり、他の処理については同様であるため説明を省略する。
まず、ステップS231の処理において、VPNサーバ5は、VPN接続応答をゲートウェイ7に送信する。ステップS191(図10)では、アプリケーション・ゲートウェイ関連データも併せて送信するようにしていたが、ここではアプリケーション・ゲートウェイ関連データは送信しない。そして、ゲートウェイ7のVPNクライアント71は、VPN接続応答データをVPNサーバ5から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS233)。
そしてステップS235乃至ステップS249の処理が行われ、ステップS251の処理において、認証サーバ23は、アプリケーション・ゲートウェイ関連データと許可IPアドレス設定応答とを、ゲートウェイ7に送信する。すなわち、ステップS231において、VPNサーバ5がアプリケーション・ゲートウェイ関連データをゲートウェイ7に送信していないため、この時点で認証サーバ23が送信する。なお、認証サーバ23がアプリケーション・ゲートウェイ関連データを予め保持していない場合もある。このような場合には、認証サーバ23はアプリケーション・ゲートウェイ関連データの要求をアプリケーション・ゲートウェイ30に対して送信し、アプリケーション・ゲートウェイ30から受信したアプリケーション・ゲートウェイ関連データをゲートウェイ7に送信する。
そして、ゲートウェイ7の通信制御部72は、アプリケーション・ゲートウェイ関連データと許可IPアドレス設定応答とを認証サーバ23から受信し、ワーク・メモリ領域等における例えばアプリケーション・ゲートウェイ関連データ格納部に格納する(ステップS253)。
このようにして、ゲートウェイ7にアプリケーション・ゲートウェイ関連データが保持される。そして、ユーザ端末からの要求に従い、アプリケーション・ゲートウェイ30経由でのサーバ・アクセス処理が行われるが、第1の実施の形態における処理(図3の処理フロー)と同様であるため、説明を省略する。
以上のようにして、セキュアな通信において、2重にカプセル化や暗号化を行わないような適切な経路制御が行われる。
また、認証サーバ23、メール・サーバ25、Webサーバ27、アプリケーション・サーバ29、アクセス管理サーバ22(図7)、VPNサーバ5、アプリケーション・ゲートウェイ30、ゲートウェイ7、ユーザ端末11及びユーザ端末13は、図12に示すようなコンピュータ装置であって、メモリ201とCPU203とハードディスク・ドライブ(HDD)205と表示装置209に接続される表示制御部207とリムーバブル・ディスク211用のドライブ装置213と入力装置215とネットワークに接続するための通信制御部217とがバス219で接続されている。オペレーティング・システム(OS:Operating System)及び本実施の形態における処理を実現するためのプログラムを含むアプリケーション・プログラムは、HDD205に格納されており、CPU203により実行される際にはHDD205からメモリ201に読み出される。必要に応じてCPU203は、表示制御部207、通信制御部217、ドライブ装置213を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ201に格納され、必要があればHDD205に格納される。本発明の実施の形態における処理を実現するためのプログラムは例えばリムーバブル・ディスク211に格納されて頒布されドライブ装置213から、又はネットワーク及び通信制御部217を介して受信し、HDD205にインストールされる。このようなコンピュータ装置は、CPU203、メモリ201などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で説明したような各種機能を実現する。なお、ゲートウェイ7は、メモリ及びプロセッサを有するルータ等の専用の装置である場合もある。
以上本発明の実施の形態について説明したが、本発明はこれに限定されるものではない。例えば、図1、図7及び図9に示したアプリケーション・ゲートウェイ30の機能ブロック構成及びゲートウェイ7の機能ブロック構成は一例であって、実際のプログラム・モジュール構成とは異なる場合がある。また、各サーバが複数のコンピュータによって構成されていてもよいし、1つのサーバが複数のサーバ機能を有するような場合もある。また、図4−1及び図4−2に示した通信ルート設定の概要図は一例であって、適用する通信プロトコルは図中に示したものに限られない。また、図2、図3、図5、図6、図8、図10及び図11に示した処理フローも一例であって、同様の処理結果が得られる範囲において処理の順序を入れ替えてもよいし、必要に応じてステップを追加又は削除してもよい。また、図12に示したコンピュータの機能ブロック図も一例であって、実際のハードウェア構成とは異なる場合もある。
1 ネットワーク 5 VPNサーバ
7 ゲートウェイ 9 拠点LAN
3,11,13 ユーザ端末 21 社内LAN
22 アクセス管理サーバ 23 認証サーバ
25 メール・サーバ 27 Webサーバ
29 アプリケーション・サーバ
30 アプリケーション・ゲートウェイ
31 中継処理部 32 アクセス制御部
33,71 VPNクライアント 72 通信制御部
73 アドレス変換部 230 IPアドレス格納部
7 ゲートウェイ 9 拠点LAN
3,11,13 ユーザ端末 21 社内LAN
22 アクセス管理サーバ 23 認証サーバ
25 メール・サーバ 27 Webサーバ
29 アプリケーション・サーバ
30 アプリケーション・ゲートウェイ
31 中継処理部 32 アクセス制御部
33,71 VPNクライアント 72 通信制御部
73 アドレス変換部 230 IPアドレス格納部
Claims (16)
- VPNサーバがVPN接続を行う特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにより実行される通信制御方法であって、
前記特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを受信し、記憶装置に格納する許可IPアドレス受信ステップと、
前記VPNサーバと前記特定のVPNクライアント装置との間で前記VPN接続が確立している状態において、前記VPN接続とは異なる通信手段による、前記特定のサーバへのアクセス要求データを受信した場合、前記アクセス要求データの送信元のIPアドレスと前記記憶装置に格納されているIPアドレスとに基づき、前記VPN接続とは異なる通信手段による前記特定のサーバへのアクセスを許可するか判定する判定ステップと、
を含み、アプリケーション・ゲートウェイ・サーバにより実行される通信制御方法。 - 前記許可IPアドレス受信ステップにおいて、
前記VPNサーバとの間の前記VPN接続について所定の認証処理サーバによって認証されたVPNクライアント装置のIPアドレスを、前記所定の認証処理サーバから受信し、前記記憶装置に格納することを特徴とする
請求項1記載の通信制御方法。 - VPNサーバがVPN接続を行う特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにより実行される通信制御方法であって、
前記VPNサーバと前記特定のVPNクライアント装置との間で前記VPN接続が確立している状態において、前記VPN接続とは異なる通信手段による、前記特定のサーバへのアクセス要求データを受信した場合、当該アクセス要求データの送信元のIPアドレスを所定の認証サーバに送信するステップと、
前記アクセス要求データの送信元のIPアドレスが前記特定のサーバへのアクセスを許可されるべきVPNクライアント装置のIPアドレスであるか否かの判定結果を前記所定の認証サーバから受信し、記憶装置に格納するステップと、
を含み、アプリケーション・ゲートウェイ・サーバにより実行される通信制御方法。 - 前記許可IPアドレス受信ステップにおいて、
前記アプリケーション・ゲートウェイ・サーバへの接続要求データを前記VPNを介して受信した所定のアクセス管理サーバから、当該接続要求データの送信元のIPアドレスを受信した場合、前記特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスとして前記記憶装置に格納することを特徴とする
請求項1記載の通信制御方法。 - 前記許可IPアドレス受信ステップにおいて、
前記アプリケーション・ゲートウェイ・サーバへの接続要求データを前記VPN接続とは異なる通信手段により受信し且つ当該接続要求データの送信元の認証を行った所定の認証サーバから、当該接続要求データの送信元のIPアドレスを受信した場合、前記特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスとして前記記憶装置に格納することを特徴とする
請求項1記載の通信制御方法。 - 前記判定ステップにおいて、前記アクセス要求データの送信元について前記VPN接続とは異なる通信手段による前記特定のサーバへのアクセスを許可すると判定された場合、前記アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス及び前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータのうち少なくともいずれかを、前記アクセス要求データの送信元に送信するステップ
をさらに含む請求項5記載の通信制御方法。 - 前記VPN接続の切断要求及び前記VPN接続の状態が切断状態であることのいずれかを検知した場合、VPN接続が切断状態となる当該VPNクライアント装置について、前記特定のサーバへのアクセスを不許可に設定するステップをさらに含む請求項1乃至6のいずれか1つに記載の通信制御方法。
- VPNサーバがVPN接続を行う特定のVPNクライアント装置についての認証を行う認証サーバにより実行される通信制御方法であって、
前記特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス及び前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータのうち少なくともいずれかを受信した場合、ゲートウェイ関連データとして記憶装置に格納するステップと、
前記VPN接続を要求する前記特定のVPNクライアント装置の認証がなされた場合、前記記憶装置に格納されている前記ゲートウェイ関連データを前記VPN接続とは異なる通信手段により前記特定のVPNクライアント装置に送信するステップと、
を含み、認証サーバにより実行される通信制御方法。 - 前記ゲートウェイ関連データの要求を受信した場合、前記ゲートウェイ関連データの要求元の認証可否を判定する認証ステップと、
前記認証ステップにおいて、前記ゲートウェイ関連データの要求元が認証された場合、前記記憶装置に格納されている前記ゲートウェイ関連データを前記VPN接続とは異なる通信手段により前記ゲートウェイ関連データの要求元に送信するステップと、
をさらに含む請求項8記載の通信制御方法。 - ユーザ端末と接続し且つVPNサーバとVPN接続可能なVPNクライアント装置により実行される通信制御方法であって、
所定の認証サーバ、前記VPNサーバ及びアプリケーション・ゲートウェイ・サーバのいずれかから、前記アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス、前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータ及び中継不可能な宛先IPアドレスを受信した場合、ゲートウェイ関連データとして記憶装置に格納するステップと、
前記VPNサーバとの間で前記VPN接続が確立している状態において、前記ユーザ端末から、特定のサーバへのアクセス要求データを受信した場合、前記ゲートウェイ関連データを用いて、前記VPNサーバを経由する通信経路と前記アプリケーション・ゲートウェイ・サーバを経由する通信経路とその他の通信経路とのうち、いずれかの通信経路を設定する経路設定ステップと、
前記通信経路が前記アプリケーション・ゲートウェイ・サーバを経由する通信経路に設定された場合、前記ゲートウェイ関連データを用いて、前記アプリケーション・ゲートウェイ・サーバが中継可能な態様の前記特定のサーバへのアクセス要求データを前記アプリケーション・ゲートウェイ・サーバに送信するステップと、
を含み、VPNクライアント装置により実行される通信制御方法。 - 前記経路設定ステップにおいて、前記特定のサーバへのアクセス要求データの宛先IPアドレスが所定のIPアドレスに合致する場合については経路設定の処理対象から除外することを特徴とする請求項10記載の通信制御方法。
- 請求項1乃至11のいずれか1つに記載の通信制御方法をコンピュータに実行させるためのプログラム。
- VPN接続手段を有するVPNサーバと、
前記VPNサーバとVPN接続するVPNクライアント装置と、
前記VPNクライアント装置との通信が可能であり且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバと、
前記VPNサーバを経由することなく前記VPNクライアント装置と通信が可能となっており、前記VPNサーバと前記VPNクライアント装置との間でVPN接続が確立している状態において、前記特定のサーバへのアクセスを要求する特定のVPNクライアント装置からの認証要求を受け付け且つ前記特定のVPNクライアント装置を認証した場合、認証された前記特定のVPNクライアント装置のIPアドレスを前記アプリケーション・ゲートウェイ・サーバに送信する認証サーバと、
を有する通信制御システム。 - VPNサーバがVPN接続を行う特定のVPNクライアント装置からの、特定のサーバに対するアクセスを制御するためのアプリケーション・ゲートウェイ・サーバであって、
前記特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを受信し、記憶装置に格納する手段と、
前記VPNサーバと前記特定のVPNクライアント装置との間で前記VPN接続が確立している状態において、前記VPN接続とは異なる通信手段による、前記特定のサーバへのアクセス要求データを受信した場合、前記アクセス要求データの送信元のIPアドレスと前記記憶装置に格納されているIPアドレスとに基づき、前記VPN接続とは異なる通信手段による前記特定のサーバへのアクセスを許可するか判定する手段と、
を有するアプリケーション・ゲートウェイ・サーバ。 - ユーザ端末と接続し且つVPNサーバとの通信においてVPN接続を実現するためのVPNクライアント装置であって、
所定の認証サーバ、前記VPNサーバ及びアプリケーション・ゲートウェイ・サーバのいずれかから、前記アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス、前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータ及び中継不可能な宛先IPアドレスを受信した場合、ゲートウェイ関連データとして記憶装置に格納する手段と、
前記VPNサーバとの間で前記VPN接続が確立している状態において、前記ユーザ端末から、特定のサーバへのアクセス要求データを受信した場合、前記ゲートウェイ関連データを用いて、前記VPNサーバを経由する通信経路と前記アプリケーション・ゲートウェイ・サーバを経由する通信経路とその他の通信経路とのうち、いずれかの通信経路を設定する手段と、
前記通信経路が前記アプリケーション・ゲートウェイ・サーバを経由する通信経路に設定された場合、前記ゲートウェイ関連データを用いて、前記アプリケーション・ゲートウェイ・サーバが中継可能な態様の前記特定のサーバへのアクセス要求データを前記アプリケーション・ゲートウェイ・サーバに送信する手段と、
を有するVPNクライアント装置。 - VPNクライアント装置との通信においてVPN接続を実現するためのVPNサーバであって、
前記VPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバから、前記アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス及び前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータの少なくともいずれかを受信した場合、ゲートウェイ関連データとして記憶装置に格納する手段と、
前記VPNクライアント装置との間でVPN接続を確立する場合、VPN接続応答と前記ゲートウェイ関連データとを前記VPNクライアント装置に送信する手段と、
を有するVPNサーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004099495A JP4429059B2 (ja) | 2004-03-30 | 2004-03-30 | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004099495A JP4429059B2 (ja) | 2004-03-30 | 2004-03-30 | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005286802A true JP2005286802A (ja) | 2005-10-13 |
| JP4429059B2 JP4429059B2 (ja) | 2010-03-10 |
Family
ID=35184706
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004099495A Expired - Fee Related JP4429059B2 (ja) | 2004-03-30 | 2004-03-30 | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4429059B2 (ja) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007228294A (ja) * | 2006-02-23 | 2007-09-06 | Hitachi Ltd | 情報処理システム |
| JP2007281918A (ja) * | 2006-04-07 | 2007-10-25 | Shinshu Univ | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP2007281919A (ja) * | 2006-04-07 | 2007-10-25 | Shinshu Univ | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP2007281917A (ja) * | 2006-04-07 | 2007-10-25 | Shinshu Univ | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP2009225273A (ja) * | 2008-03-18 | 2009-10-01 | Ricoh Co Ltd | 情報処理装置、通信制御方法及び通信制御プログラム |
| JP2010192947A (ja) * | 2009-02-13 | 2010-09-02 | Fuji Xerox Co Ltd | 通信システム、中継装置、末端装置、及びプログラム |
| CN102143292A (zh) * | 2010-10-20 | 2011-08-03 | 华为软件技术有限公司 | 虚拟专用网的呼叫方法和设备 |
| JP2013141146A (ja) * | 2012-01-05 | 2013-07-18 | Murata Mach Ltd | 中継サーバ |
| JP2017105309A (ja) * | 2015-12-09 | 2017-06-15 | 株式会社オートネットワーク技術研究所 | 車載通信装置、車載通信システム及び車両特定処理禁止方法 |
| WO2020153133A1 (ja) * | 2019-01-22 | 2020-07-30 | 日本電気株式会社 | 通信管理システム、管理サーバ、vpnサーバ、端末、通信管理方法、及びプログラム |
| CN113196250A (zh) * | 2018-12-10 | 2021-07-30 | 飞比特网络股份有限公司 | 信息通信设备用的互联网连接管理系统及其方法、安装于信息通信设备的互联网连接管理程序 |
| CN114650471A (zh) * | 2022-03-28 | 2022-06-21 | 洛阳萃泽信息科技有限公司 | 一种数控机床采集系统、采集模块及机床数据采集方法 |
-
2004
- 2004-03-30 JP JP2004099495A patent/JP4429059B2/ja not_active Expired - Fee Related
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007228294A (ja) * | 2006-02-23 | 2007-09-06 | Hitachi Ltd | 情報処理システム |
| JP2007281918A (ja) * | 2006-04-07 | 2007-10-25 | Shinshu Univ | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP2007281919A (ja) * | 2006-04-07 | 2007-10-25 | Shinshu Univ | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP2007281917A (ja) * | 2006-04-07 | 2007-10-25 | Shinshu Univ | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP2009225273A (ja) * | 2008-03-18 | 2009-10-01 | Ricoh Co Ltd | 情報処理装置、通信制御方法及び通信制御プログラム |
| JP2010192947A (ja) * | 2009-02-13 | 2010-09-02 | Fuji Xerox Co Ltd | 通信システム、中継装置、末端装置、及びプログラム |
| CN102143292A (zh) * | 2010-10-20 | 2011-08-03 | 华为软件技术有限公司 | 虚拟专用网的呼叫方法和设备 |
| JP2013141146A (ja) * | 2012-01-05 | 2013-07-18 | Murata Mach Ltd | 中継サーバ |
| JP2017105309A (ja) * | 2015-12-09 | 2017-06-15 | 株式会社オートネットワーク技術研究所 | 車載通信装置、車載通信システム及び車両特定処理禁止方法 |
| CN113196250A (zh) * | 2018-12-10 | 2021-07-30 | 飞比特网络股份有限公司 | 信息通信设备用的互联网连接管理系统及其方法、安装于信息通信设备的互联网连接管理程序 |
| US11979377B2 (en) | 2018-12-10 | 2024-05-07 | Freebit Co., Ltd. | Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device |
| WO2020153133A1 (ja) * | 2019-01-22 | 2020-07-30 | 日本電気株式会社 | 通信管理システム、管理サーバ、vpnサーバ、端末、通信管理方法、及びプログラム |
| JP2020120216A (ja) * | 2019-01-22 | 2020-08-06 | 日本電気株式会社 | 通信管理システム、管理サーバ、vpnサーバ、端末、通信管理方法、及びプログラム |
| JP7243211B2 (ja) | 2019-01-22 | 2023-03-22 | 日本電気株式会社 | 通信管理システム、管理サーバ、vpnサーバ、通信管理方法、及びプログラム |
| CN114650471A (zh) * | 2022-03-28 | 2022-06-21 | 洛阳萃泽信息科技有限公司 | 一种数控机床采集系统、采集模块及机床数据采集方法 |
| CN114650471B (zh) * | 2022-03-28 | 2023-12-26 | 洛阳萃泽信息科技有限公司 | 一种数控机床采集系统、集中采集模块及机床数据采集方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4429059B2 (ja) | 2010-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4708376B2 (ja) | プライベートネットワークへのアクセスを安全にする方法およびシステム | |
| JP4237754B2 (ja) | パーソナルリモートファイヤウォール | |
| JP3492865B2 (ja) | 移動計算機装置及びパケット暗号化認証方法 | |
| US8862684B2 (en) | Method and apparatus for remotely controlling a computer with peer-to-peer command and data transfer | |
| JP4362132B2 (ja) | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 | |
| JP2007520797A (ja) | 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 | |
| US8811397B2 (en) | System and method for data communication between a user terminal and a gateway via a network node | |
| US20070124489A1 (en) | Nat access control with ipsec | |
| KR20070045282A (ko) | 네트워크 노드 간의 통신을 최적화하기 위한 시스템 및방법 | |
| JP4429059B2 (ja) | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 | |
| US11736516B2 (en) | SSL/TLS spoofing using tags | |
| JP2010081109A (ja) | 通信システム、管理装置、中継装置、及びプログラム | |
| JP6762735B2 (ja) | 端末間通信システム及び端末間通信方法及びコンピュータプログラム | |
| JP5415388B2 (ja) | 仮想通信路接続システム、制御方法、制御プログラム、第1の端末及び第2の端末 | |
| JP2016046625A (ja) | 通信中継装置、情報処理方法、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070312 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090623 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090710 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091215 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091215 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4429059 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131225 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |