JP2007006248A - リモートアクセス方法、およびリモートアクセスシステム - Google Patents
リモートアクセス方法、およびリモートアクセスシステム Download PDFInfo
- Publication number
- JP2007006248A JP2007006248A JP2005185249A JP2005185249A JP2007006248A JP 2007006248 A JP2007006248 A JP 2007006248A JP 2005185249 A JP2005185249 A JP 2005185249A JP 2005185249 A JP2005185249 A JP 2005185249A JP 2007006248 A JP2007006248 A JP 2007006248A
- Authority
- JP
- Japan
- Prior art keywords
- network
- address
- subscriber
- remote access
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】第三者よる送信元IPアドレスの詐称および不正侵入を防止し、遠隔ネットワークへのセキュアなアクセスを実現する。
【解決手段】設定装置21は、IPネットワークの通信端末12に割り当てられたリモートアクセス用のIPアドレスを取得し、当該IPアドレスを送信元とする通信のみ許可するフィルタリングを網終端装置25に設定する第1の設定ステップを行い、IPsec終端装置22は、通信端末12が遠隔ネットワーク30にリモートアクセスする際に、通信端末12の認証を行う認証ステップと、認証に成功した場合、通信端末12との間でIPsecによる接続を確立する接続ステップと、通信端末12が送信したパケットの送信元アドレスに、当該通信端末12に割り当てられたIPアドレスを設定して、遠隔ネットワーク30に送信する送信ステップと、を行う。
【選択図】 図1
【解決手段】設定装置21は、IPネットワークの通信端末12に割り当てられたリモートアクセス用のIPアドレスを取得し、当該IPアドレスを送信元とする通信のみ許可するフィルタリングを網終端装置25に設定する第1の設定ステップを行い、IPsec終端装置22は、通信端末12が遠隔ネットワーク30にリモートアクセスする際に、通信端末12の認証を行う認証ステップと、認証に成功した場合、通信端末12との間でIPsecによる接続を確立する接続ステップと、通信端末12が送信したパケットの送信元アドレスに、当該通信端末12に割り当てられたIPアドレスを設定して、遠隔ネットワーク30に送信する送信ステップと、を行う。
【選択図】 図1
Description
本発明は、IPネットワークを利用したリモートアクセス技術に関する。
通信端末がネットワーク間を移動しても、常に同じIPアドレスを使用可能なモバイルIP(Mobile IP)技術がある。すなわち、モバイルIP技術では、ホームエージェントが、通信端末のホームネットワーク内において割り当てられたIPアドレス(ホームアドレス、HoA)と、フォーリンネットワーク(在圏網)へ移動した際にフォーリンネットワークから払い出されるIPアドレス(気付アドレス、CoA)との対応関係を管理する。これにより、通信端末と他のノード(通信端末)間との通信を、通信端末の場所に依存することなくシームレスに行うことができる。
通信端末は、フォーリンネットワークから他のネットワークに存在する他のノードに向けてパケットを送信する際、ホームエージェントとの間でセッションを確立する。そして、ホームエージェントは、通信端末が送信するパケットの送信元IPアドレスを、気付アドレスからホームアドレスに変換する。これにより、あるネットワークから他のネットワークに通信する際に、通信端末は同一のIPアドレスを送信元アドレスとして用いることができる。
なお、モバイルIP技術については、例えば、非特許文献1に記載されている。
"Mobility for IPv6(mip6)"、[online]、[2005年3月22日検索]、インターネット<URL:http:// www.ietf.org/html.charters/mip6-charter.html>
"Mobility for IPv6(mip6)"、[online]、[2005年3月22日検索]、インターネット<URL:http:// www.ietf.org/html.charters/mip6-charter.html>
しかしながら、モバイルIP技術のみを用いてリモートアクセスする場合、リモートアクセス先である遠隔ネットワークに対する第三者の不正侵入、またはDoS攻撃等の不正なアクセスが行われる懸念がある。例えば、通信端末のホームアドレスが属するアドレス空間が、加入者の通信端末を直接収容するルータから払い出されるアドレス空間の場合、第三者が不正にホームアドレスを詐称し、正当な加入者になりすまして遠隔ネットワークへアクセスする危険性がある。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、第三者よる送信元IPアドレスの詐称および不正侵入を防止し、遠隔ネットワークへのセキュアなアクセスを実現することにある。
上記課題を解決するために、本発明は、例えば、リモートアクセスシステムが行う、通信事業者のIPネットワークを利用したリモートアクセス方法であって、前記リモードアクセスシステムは、フィルタリングの設定を行う設定装置と、IPsec終端装置と、遠隔ネットワークに配置された網終端装置と、を有する。前記設定装置は、前記IPネットワークの加入者端末に割り当てられたリモートアクセス用のIPアドレスを取得し、当該IPアドレスを送信元とする通信のみ許可するフィルタリングを、前記網終端装置に設定する第1の設定ステップを行い、前記IPsec終端装置は、前記加入者端末が前記遠隔ネットワークにリモートアクセスする際に、前記加入者端末の認証を行う認証ステップと、前記認証に成功した場合、前記加入者端末との間でIPsecによる接続を確立する接続ステップと、前記加入者端末が送信したパケットの送信元アドレスに、当該加入者端末に割り当てられた前記IPアドレスを設定して、前記遠隔ネットワークに送信する送信ステップと、を行う。
また、本発明は、通信事業者のIPネットワークを利用したリモートアクセスシステムであって、フィルタリングの設定を行う設定装置と、IPsec終端装置と、遠隔ネットワークに配置された網終端装置と、を有する。前記設定装置は、前記IPネットワークの加入者端末に割り当てられたリモートアクセス用のIPアドレスを取得し、当該IPアドレスを送信元とする通信のみ許可するフィルタリングを、前記網終端装置に設定する第1の設定手段を有し、前記IPsec終端装置は、前記加入者端末が前記遠隔ネットワークにリモートアクセスする際に、前記加入者端末の認証を行う認証手段と、前記認証に成功した場合、前記加入者端末との間でIPsecによる接続を確立する接続手段と、前記加入者端末が送信したパケットの送信元アドレスに、当該加入者端末に割り当てられた前記IPアドレスを設定して、前記遠隔ネットワークに送信する送信手段と、を有する。
本発明では、第三者による送信元IPアドレスの詐称および不正侵入をより高い精度で防止し、遠隔ネットワークへのよりセキュアなアクセスを実現することができる。
以下、本発明の実施の形態について説明する。
図1は、本発明の一実施形態が適用されたリモートアクセスシステムの全体構成図である。
図示するリモートアクセスシステムは、加入者11が使用する通信端末12と、通信事業者が所有する通信事業者ネットワーク20と、通信端末12がリモートアクセスを行う遠隔ネットワーク30とを有する。
通信事業者ネットワーク20は、遠隔ネットワーク30に配置された網終端装置25と、網終端装置25に対してフィルタリングの設定を行う設定装置21と、当該ネットワーク20内に配置されるIPsec終端装置22と、加入者11の通信端末12を収容するエッジルータ23と、他事業者ネットワーク40との接続点に配置されるボーダルータ24と、を有する。なお、通信事業者ネットワーク20は、IPネットワークであって、本実施形態ではIPv6(Internet Protocol Version 6)を用いるものとする。しかしながら、本発明はこれに限定されるものではない。
IPsec終端装置22は、暗号通信を行うプロトコルであるIPsec(Security Architecture for Internet Protocol)を実装したネットワーク機器であって、例えば、ゲートウェイ、または、モバイルIPにおけるホームエージェントなどを用いることができる。
エッジルータ23およびボーダルータ24は、パケットの送信元IPアドレスによるフィルタリング機能(Ingress Filtering)を備えるものとする。すなわち、エッジルータ23は、自らが払い出したアドレス空間以外のIPアドレスを送信元IPアドレスとするパケットの通過を遮断(拒否)する。また、ボーダルータ24は、通信事業者ネットワーク20のアドレス空間を送信元IPアドレスとするパケットの通過を遮断(拒否)する。これにより、第三者による送信元IPアドレスの詐称を防止することができる。すなわち、第三者による不正侵入を防止することができる。
遠隔ネットワーク30は、少なくとも1つの遠隔端末31を有し、遠隔端末31は網終端装置25を介して通信事業者ネットワーク20と接続することができる。なお、リモートアクセスシステムは、複数の遠隔ネットワーク30を有することとしてもよい。
通信端末12および遠隔端末31は、本実施形態ではIPv6に対応する通信機器(コンピュータ装置)であって、例えば、パソコン(Personal Computer)、PDA(Personal Digital Assistance)、携帯電話などを用いることができる。なお、通信端末12は、無線通信により通信事業者ネットワーク20に接続する場合は、図示しないアクセスポイントを介して、通信事業者ネットワーク20に接続するものとする。
本実施形態において、加入者11の通信端末12は、IPsec終端装置22を経由して、遠隔ネットワーク30の遠隔端末31に対してリモートアクセスを行うものとする。網終端装置25は、送信元IPアドレスによるフィルタリングを行い、加入者11の通信端末12以外の第三者による遠隔ネットワーク30への不正アクセスや攻撃を防止する。
次に、設定装置21の機能について説明する。
図2は、設定装置21の機能を示すブロック図である。設定装置21は、加入者情報登録部211と、加入者情報蓄積部212と、加入者情報取得部213と、設定部214と、 失効情報登録部215と、失効情報蓄積部216と、失効情報取得部217と、を有する。
加入者情報登録部211は、通信端末12(または加入者11)からリモートアクセスサービスを利用するために必要な加入者情報(登録情報)を受け付け、加入者情報蓄積部212に蓄積する。加入者情報取得部213は、加入者情報蓄積部212に蓄積された加入者情報を読み出し、設定部214に受け渡す。設定部214は、加入者情報に基づいて、加入者11が所望する遠隔ネットワーク30の回線情報を取得し、当該遠隔ネットワーク30の網終端装置25にフィルタリング設定を行う。
失効情報登録部215は、通信端末12からアクセス権限の危殆通知を受け付け、失効情報蓄積部216に危殆化したIPアドレスを記憶する。失効情報取得部217は、失効情報蓄積部216から危殆化したIPアドレスを取得し、設定部214に送出する。設定部214は、危殆化したIPアドレスに基づいて、IPsec終端装置22にフィルタリング設定を行う
なお、設定装置21は、加入者情報取得部213、設定部214および失効情報取得部217のみを有することとしてもよい。この場合、設定装置21以外の他の装置が、加入者情報登録部211、加入者情報蓄積部212、失効情報登録部215および失効情報蓄積部216を有するものとする。
なお、設定装置21は、加入者情報取得部213、設定部214および失効情報取得部217のみを有することとしてもよい。この場合、設定装置21以外の他の装置が、加入者情報登録部211、加入者情報蓄積部212、失効情報登録部215および失効情報蓄積部216を有するものとする。
上記説明した、通信端末12、設定装置21、IPsec終端装置22、および網終端装置25は、いずれも、例えばCPUと、メモリと、HDD等の外部記憶装置と、キーボードやマウスなどの入力装置と、ディスプレイやプリンタなどの出力装置と、ネットワークと接続するための通信制御装置と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
例えば、通信端末12、設定装置21、IPsec終端装置22、および網終端装置25の各機能は、通信端末12用のプログラムの場合は通信端末12のCPUが、設定装置21用のプログラムの場合は設定装置21のCPUが、IPsec終端装置22用のプログラムの場合はIPsec終端装置22のCPUが、そして、網終端装置25用のプログラムの場合は網終端装置25のCPUが、それぞれ実行することにより実現される。なお、設定装置21の加入者情報蓄積部212、失効情報蓄積部216には、設定装置21のメモリまたは外部記憶装置が用いられる。また、入力装置、出力装置および外部記憶装置については、各装置が必要に応じて備えるものとする。
次に、遠隔ネットワークへのリモートアクセス時に、通信端末12の送信元アドレスとして通信事業者(設定装置21)により割り当てられるIPv6アドレスについて説明する。
図3は、本実施形態で割り当てられるIPv6アドレスの構成を示す構成図である。本実施形態において、加入者11または当該加入者の所有する通信端末12に対して割り当てられるIPv6アドレスは、図3(a)に示すように、IPv6アドレスを割り当てる組織のネットワークを一意に示すネットワーク識別部31aと、加入者毎に一意に割り当てられる加入者識別部32aと、加入者の使用する通信端末毎に一意に割り当てられる端末識別部33aとを有する。なお、ネットワーク識別部31aはルーティングプリフィクスに相当し、加入者識別部32aおよび端末識別部33aはインターフェースID相当する。
このような構成のIPv6アドレスをリモートアクセス時に用いることにより、各加入者一意のIPv6アドレスが生成されるとともに、通信端末12を直接収容するエッジルータ23から払い出されるアドレス空間には属さないIPv6アドレスを生成することができる。また、加入者識別部32aを有することにより加入者の回線を容易に特定可能であるため、通信事業者(または、設定装置21)は、加入者の回線に対して遠隔操作による設定を容易に行うことができる。例えば、加入者識別部32aには加入者の電話番号(携帯電話番号を含む)を使用し、端末識別部33aには電話番号の通番と通信端末に割り当てられた機体番号とを使用することなどが考えられる。
また、本実施形態で割り当てられるIPv6アドレスは、加入者識別部32aおよび端末識別部33a各々のビット長を可変長とし、柔軟性を持たせることとしてもよい。例えば、個人や小規模オフィスに対して割り当てるIPv6アドレスは、図3(b)に示すように、加入者識別部32bに用いるビット長を比較的長く設定し、端末識別部33bに用いるビット長を比較的短く設定することが考えられる。
一方、大規模組織や企業に対して割り当てるIPv6アドレスは、図3(c)に示すように、加入者識別部32cに用いるビット長を比較的短く設定し、端末識別部33cに用いるビット長を比較的長く設定することが考えられる。これにより、より多くの通信端末12に対してIPv6アドレスの割り当てを可能にすることできる。
次に、通信端末12が遠隔ネットワーク30にリモートアクセスする処理について説明する。
図4は、リモートアクセスのシーケンス図である。まず、通信端末12は、加入者の指示を受け付けて、所望の遠隔ネットワーク30へのリモートアクセスサービスを利用するために必要な登録情報を設定装置21に送信する。設定装置21の加入者情報登録部211は、通信端末12から登録情報を受け付け、通信端末12(または加入者)に対して、リモートアクセス時に送信元IPアドレスとして使用する固有のIPv6アドレス(図3参照)を割り当てる。そして、加入者情報登録部211は、通信端末12から受け付けた登録情報に含まれるリモートアクセスを所望する遠隔ネットワークの情報およびフィルタリングポリシーと、割り当てたIPv6アドレスとを含む加入者情報を、加入者情報蓄積部212に登録する(S11)。
そして、設定装置21の加入者情報取得部213は、S11で登録された加入者情報を取得し、設定部214に送出する(S12)。そして、設定部214は、加入者情報に基づいて、所望する遠隔ネットワーク30の網終端装置25のフィルタリング設定に必要な遠隔ネットワークの回線情報およびフィルタリングポリシーを取得する。すなわち、設定部214は、取得したIPv6アドレスが図3に示すIPv6アドレス構成の場合、加入者識別部をキーとして、アクセスを所望する遠隔ネットワーク30の網終端装置25の回線情報を取得する。そして、設定部214は、所望の遠隔ネットワーク30の網終端装置25に対して、遠隔操作によりフィルタリング設定を行う(S13)。
すなわち、設定部214は、網終端装置25に対し、加入者情報のIPv6アドレスを送信元IPアドレスとするパケットの通過を許可するフィルタリング設定を行う。なお、設定部214は、加入者情報に含まれるフィルタリングポリシーに基づいて、当該IPv6アドレスのネットワーク識別部および加入者識別部までが一致するか否かを判別して加入者単位でのフィルタリング設定を行う場合、または、ネットワーク識別部、加入者識別部および端末識別部までが一致するか否かを判別して通信端末単位でのフィルタリング設定を行う場合が考えられる。なお、設定部214はオフラインで網終端装置25のフィルタリング設定をすることとしてもよい。
そして、通信端末12は、加入者の指示を受け付けて、遠隔ネットワーク30にリモートアクセスを行う。すなわち、通信端末12は、エッジルータ23から払い出されたIPv6アドレスを送信元IPアドレスとして、エッジルータ23を介してIPsec終端装置22に、所定のパケットを送信する。
そして、IPsec終端装置22は、パケットとともに送信された所定の認証情報に基づいて、IPsec技術を用いた認証処理を行う(S14)。なお、IPsec終端装置22は、IPsec技術の1つである電子署名を用いたPKI(Public Key Infrastructure)認証を適用することとしてもよい。なお、PKI認証に用いる加入者の認証情報は、USBキーまたはCD−ROM等の記録媒体に格納し、加入者が携帯して使用することが望ましい。
そして、IPsec終端装置22は、認証に成功した場合、通信端末12とのIPsecによるセションを確立し、S11で割り当てられたIPv6アドレスを通信端末12に払い出す(S15)。なお、IPsec終端装置22は、S11で割り当てられたIPv6アドレスをメモリまたは外部記憶装置に記憶しており、認証後に通信端末12に払い出す(通知する)ものとする。
そして、通信装置12は、払い出されたIPv6アドレスを送信元IPアドレスとするパケットをカプセル化(暗号化)し、IPsec終端装置22に送信する。なお、通信装置12は、カプセル化されたパケットの外側ヘッダの送信元IPアドレスに、エッジルータ23が払い出したIPアドレスを設定する。これにより、カプセル化されたパケットは、エッジルータ23を通過することができる。そして、IPsec終端装置22は、カプセル化されたパケットを、通信端末12から受信する。そして、IPsec終端装置22は、受信したパケットのカプセル化を解除し、網終端装置25にカプセル化を解除したパケットを送信する。これにより、カプセル化を解除したパケットの送信元IPアドレスには、S15で払い出されたIPv6アドレス(カプセル化されたパケットの内側ヘッダの送信元IPアドレス)が設定されることになる。
なお、通信装置12は、パケットをカプセル化することなく、送信元IPアドレスにエッジルータ23が払い出したIPアドレスを設定したパケットを、IPsec終端置22に送信することにしてもよい。この場合、IPsec終端置22は、送信元IPアドレスをS15で払い出されるIPv6アドレスに書き換える。そして、IPsec終端置22は、書き換えたパケットを、網終端装置25に送信する。
これにより、通信端末12は、S15で払い出されたIPv6アドレスを送信元IPアドレスとして遠隔ネットワーク30の網終端装置25へアクセスすることができる(S16)。なお、網終端装置25には、当該IPv6アドレスを送信元IPアドレスとする通信のみを許可するフィルタリング設定が、S13においてなされている。このため、網終端装置25は、通信端末12が送信したパケットの通過を許可する。
以上説明したリモートアクセスにより、通信端末12は、設定装置21が割り当てた固有のIPv6アドレスを送信元IPアドレスとして遠隔ネットワーク30にアクセスすることができる。また、割り当てられたIPv6アドレスは、エッジルータ23が払い出したアドレス空間に属さず、かつ、IPsec終端装置22との認証を経て初めて払い出されるものである。このため、第三者による送信元IPアドレスの詐称は困難になる。また、網終端装置25における送信元IPアドレスによるフィルタリングにより、遠隔ネットワーク30に対する第三者の不正侵入を防止することができる。
また、本実施形態におけるエッジルータ23は、フィルタリングを行って、自らが払い出したアドレス空間のIPアドレスを送信元IPアドレスとするパケットのみを許可する。したがって、第三者が、S11で割り当てたIPv6アドレスを詐称して、エッジルータ23を経由してリモートアクセスする場合、当該IPv6アドレスはエッジルータ23が払い出したアドレス空間に属さないため、エッジルータ23はパケットの通過を遮断(拒否、破棄)する。これにより、第三者による不正侵入を防止することができる。
また、ボーダルータ24は、フィルタリングを行って、通信事業者ネットワーク20のアドレス空間を送信元IPアドレスとするパケットの通過を遮断する。これにより、第三者が、S11で割り当てたIPv6アドレスを詐称して、他事業者ネットワーク40からボーダルータ24を経由してリモートアクセスする場合、当該IPv6アドレスは通信事業者ネットワーク20のアドレス空間に属するため、ボーダルータ24は、当該パケットの通過を遮断する。これにより、第三者による不正侵入を防止することができる。
次に、リモートアクセス時に割り当てたIPv6アドレスを失効させる失効処理について説明する。PKI認証に必要な加入者の認証情報が漏洩した場合など、加入者のアクセス権限が危殆した場合、以下に説明する失効処理により当該加入者に割り当てたIPv6アドレスを失効させ、第三者が当該加入者を詐称すること(なりすまし)を、即時に防止する。
図5は、失効処理のシーケンス図である。まず、通信端末12は、アクセス権限が危殆化した加入者の指示を受け付けて、アクセス権限の危殆通知を設定装置21に送信する(S21)。なお、危殆通知には、危殆化したIPv6アドレスが含まれるものとする。
設定装置21の失効情報登録部215は、危殆通知を受け付けて、当該危殆通知に含まれるIPv6アドレス(以下、「失効IPアドレス」)を失効情報蓄積部216に記憶する(S22)。そして、失効情報取得部217は、失効情報蓄積部216に記憶された失効IPアドレスを取得し、設定部214に送出する(S23)。
そして、設定部214は、IPsec終端装置22の出力側インタフェースのアクセスリストに、失効IPアドレスを送信元IPアドレスとするパケットを遮断するフィルタリング設定を行う(S24a)。なお、設定部214は、S24aの替わりに、網終端装置25および所定のネットワーク機器26(ルータなど)に、失効IPアドレスを送信元IPアドレスとするパケットを遮断するフィルタリング設定を行うこととしてもよい(S24b)。そして、IPsec終端装置22は、電子証明書の失効が確認されると、S24aで設定したフィルタリングの設定を解除する(S25)。
以上説明した失効処理により、S25の電子証明書の失効までの間に行われる第三者の不正アクセスを防止することができる。すなわち、一般的なPKI認証では、電子証明書の失効確認を一定の間隔で行っているため、IPsec終端装置22が電子証明書の失効を反映するまでにはある程度の時間を要する。しかしながら、図5に示す失効処理を行うことにより、電子証明書の失効が反映されるまでの間、IPsec終端装置22が危殆化した失効IPアドレスに対してフィルタリングを行うことにより、即時に危殆化した失効IPアドレスを用いた第三者の不正アクセスを防止することができる。
また、電子証明書の失効が反映された時点で、S24で設定したフィルタリングの設定を解除することにより(S25)、性能面での劣化を防止することができる。
次に、図1に示すリモートアクセスシステムの実施例について説明する。
図6は、第1の実施例の全体構成図である。第1の実施例は、図1に示すIPsec終端装置22にIPsecゲートウェイ64を用いて、オフィスネットワーク61または公衆無線LAN62の通信端末12から、加入者11の自宅ネットワーク65(遠隔ネットワーク)へリモートアクセスする場合の実施例である。
自宅ネットワーク65には遠隔端末31が接続されている。そして、遠隔端末31上ではリモート管理ソフトウェア66が動作し、加入者が携帯する通信端末12に対して遠隔端末31の画面情報を送信できるものとする。なお、通信端末12上においても、リモート管理ソフトウェア(不図示)が動作しているものとする。設定装置21は、あらかじめ加入者情報蓄積部212に登録された当該加入者または通信端末12固有のIPv6アドレスのみを送信元アドレスとするパケットのみを通過するフィルタリング設定を、網終端装置25に設定する(図4参照)。
通信端末12は、加入者の指示を受け付けて、オフィスネットワーク61または公衆無線LAN62から、自宅ネットワーク65の遠隔端末31にリモートアクセスする。そして、通信端末12は、遠隔端末31の画面の閲覧、遠隔端末31の操作、遠隔端末31に備え付けられたカメラ67の画像の閲覧、または周辺機器(不図示)の操作などを行うことができる。
第1の実施例により、加入者は、自宅ネットワーク65にリモートアクセスを行い、オフィスネットワーク61または公衆無線LAN62にいながらにして、遠隔端末31の操作を行うことができる。
また、通信事業者ネットワーク20のエッジルータ23は、自らが払い出したアドレス空間に属さないIPv6アドレスを送信元IPアドレスとする通信を遮断するフィルタリング機能を備える。また、ボータルータ(不図示)は、通信事業者が使用するIPv6アドレスのアドレス空間に属するIPv6アドレスを送信元IPアドレスとする通信を遮断するフィルタリング機能を備える。これにより、第三者が、加入者または通信端末12に割り当てられたIPv6アドレスを詐称して自宅ネットワークに65に不正にアクセすることを防止することができる。
また、加入者または通信端末12に割り当てられたIPv6アドレスはIPsecゲートウェイ64との間の認証成立後に払い出されること、また、網終端装置25にフィルタリング設定がなされていることにより、第三者による詐称および外部からの不正アクセスを防止し、セキュリティを確保することができる。
また、IPsecゲートウェイ64のPKI認証に用いられる加入者の認証情報を、USBキーまたはCD−ROM等の記録媒体に格納しておき、当該記録媒体を通信端末12に接続することにより、いずれの場所においても同じ通信環境を再現することができる。
図7は、第2の実施例の全体構成図である。
第2の実施例は、モバイルIPv6技術を用いた場合の実施例である。第2の実施例は、第1の実施例と同様に、オフィスネットワーク71または公衆無線LAN72の通信端末12から、加入者11の自宅ネットワーク75(遠隔ネットワーク)へリモートアクセスする場合の実施例である。なお、第2の実施例では、図1に示すIPsec終端装置22にホームエージェント(Home Agent)74を用いる。ホームエージェント74は、通信端末12の送信元IPアドレスを、ホームアドレス(HoA)に変換して、自宅ネットワーク75に接続する。
自宅ネットワーク75に配置された網終端装置25は、外部から受信したパケットのうちホームアドレスを送信元IPアドレスとするパケットのみ通過を許可する。これにより、通信端末12のホームアドレス以外を送信元IPアドレスとするパケットはフィルタリング(遮断)される。また、モバイルIPv6技術により、通信端末12が収容されるエッジルータ23から払い出されるIPv6アドレスと、通信事業者(設定装置21)が割り当てたIPv6アドレス(ホームアドレス)との対応関係は、ホームエージェント74が管理する。このため、通信端末12は、ホームエージェント74を経由することにより、通信事業者が割り当てたIPv6アドレスを送信元IPアドレスとして、自宅ネットワーク75へアクセスすることができる。
また、第1の実施例と同様に、ホームエージェント74のPKI認証に用いられる加入者の認証情報を、USBキーまたはCD−ROM等の記録媒体に格納しておき、加入者が携帯して使用することが望ましい。
図8は、第3の実施例の全体構成図である。
第3の実施例は、加入者11の自宅ネットワーク81から、オフィスネットワーク82(遠隔ネットワーク)へリモートアクセスする場合の実施例である。加入者11は、自宅ネットワーク81内の通信端末12を用いて、オフィスネットワーク82に設置された遠隔端末31にアクセスする。
そして、遠隔端末31上ではリモート管理ソフトウェア83が動作し、通信端末12に対して遠隔端末31の画面情報を送信できるものとする。これにより、加入者11は、自宅にいながらオフィスネットワーク82内の遠隔端末31を操作することができる。
また、通信事業者ネットワークで、リモートアクセスを実現することにより、例えばインターネット80への接続も同時に行いながら、オフィスネットワーク82内の遠隔端末31を操作することができる。また、リモート管理ソフトウェア83を利用するため、遠隔端末31のデータが直接通信事業者ネットワーク上を流れることがない点も、本実施例のメリットの1つである。
また、第1の実施例と同様に、ホームエージェント84のPKI認証に用いられる加入者の認証情報を、USBキーまたはCD−ROM等の記録媒体に格納しておき、加入者が携帯して使用することが望ましい。
図9は、第4の実施例の全体構成図である。
第4の実施例は、図1に示す通信端末12としてシンクライアント端末92を用いた場合の実施例である。第4の実施例では、企業ネットワーク91のシンクライアント端末92は、データセンタ93に配置されたストレージシステム94にアクセスする。そして、加入者11は、ストレージシステム94に格納されたデータのイメージを、あたかもシンクライアント端末92に存在するデータを扱うかのように使用することができる。なお、ストレージシステム94上では、リモート管理ソフトウェア95が動作しているものとする。
また、データセンタ93の網終端装置25は、設定装置21によりフィルタリング設定がなされ、所定の加入者以外の第三者による不正アクセスを防止する。この場合、シンクライアント端末92側にはデータは記憶されないため、企業における情報漏洩防止の一手段として適用することができる。
また、第1の実施例と同様に、IPsec終端装置22のPKI認証に用いられる加入者の認証情報を、USBキーまたはCD−ROM等の記録媒体に格納しておき、加入者が携帯して使用することが望ましい。
図10は、第5の実施例の全体構成図である。
第5の実施例は、オンラインバンクへの適用事例である。第5の実施例では、加入者11は、事前にオンラインバンク事業者に対し、オンラインバンクサーバ102へのアクセスに使用するIPアドレスの登録を行うものとする。オンラインバンクサーバ102は、通信端末12からのアクセスを受け付けると、ユーザIDおよびパスワードによる認証を行う。また、オンラインバンクサーバ102は、必要に応じて、送信元IPアドレスによる認証を行うこととしてもよい。
IPsec終端装置22は、認証に成功すると通信端末12から送信されたパケットの送信元アドレスを、事前に登録したIPアドレスに変換する。そのため、オンラインバンクサーバ102が送信元IPアドレスによる認証を行うことにより、ユーザID・パスワードが漏洩した場合であっても、第三者の不正アクセスを防止することができる。
また、第1の実施例と同様に、IPsec終端装置22のPKI認証に用いられる加入者の認証情報を、USBキーまたはCD−ROM等の記録媒体に格納しておき、加入者が携帯して使用することが望ましい。
以上、本発明の実施形態を説明した。
本実施形態では、加入者または通信端末に、リモートアクセスの際に用いるIPv6アドレスを割り当て、IPsec終端装置における認証の成立に基づいて、割り当てたIPv6アドレスを払い出す。これにより、第三者の不正アクセスや詐称を防止し、よりセキュア環境下でのリモートアクセスを実現することができる。
また、本実施形態では、アクセス権限の危殆通知を受け付けて、IPアドレスの失効処理(図5参照)を行う。これにより、電子証明書の失効まで間に行われる第三者の不正アクセスを防止し、加入者の認証情報が漏洩した場合における加入者の安全性を確保することができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
11:加入者、12:通信端末、20:通信事業者ネットワーク、21:設定装置、22:IPsec終端装置、23:エッジルータ、24:ボーダルータ、25:網終端装置、30:遠隔ネットワーク、31:遠隔端末、40:他事業者ネットワーク
Claims (16)
- リモートアクセスシステムが行う、通信事業者のIPネットワークを利用したリモートアクセス方法であって、
前記リモードアクセスシステムは、フィルタリングの設定を行う設定装置と、IPsec終端装置と、遠隔ネットワークに配置された網終端装置と、を有し、
前記設定装置は、
前記IPネットワークの加入者端末に割り当てられたリモートアクセス用のIPアドレスを取得し、当該IPアドレスを送信元とする通信のみ許可するフィルタリングを、前記網終端装置に設定する第1の設定ステップを行い、
前記IPsec終端装置は、
前記加入者端末が前記遠隔ネットワークにリモートアクセスする際に、前記加入者端末の認証を行う認証ステップと、
前記認証に成功した場合、前記加入者端末との間でIPsecによる接続を確立する接続ステップと、
前記加入者端末が送信したパケットの送信元アドレスに、当該加入者端末に割り当てられた前記IPアドレスを設定して、前記遠隔ネットワークに送信する送信ステップと、を行うこと、
を特徴とするリモートアクセス方法。 - 請求項1記載のリモートアクセス方法であって、
前記IPsec終端装置の認証ステップは、電子証明書を用いたPKI認証を行うこと
を特徴とするリモートアクセス方法。 - 請求項1または請求項2記載のリモートアクセス方法であって、
前記リモートアクセスシステムは、前記加入者端末を収容するルータを、さらに有し、
前記加入者端末に割り当てられるIPアドレスは、前記ルータが保有するアドレス空間以外のIPアドレスであること
を特徴とするリモートアクセス方法。 - 請求項1から請求項3のいずれか1項に記載のリモートアクセス方法であって、
前記加入者端末に割り当てられるIPアドレスは、IPv6アドレスであって、前記IPネットワークを識別するためのネットワーク識別部と、前記IPネットワークの加入者を識別する加入者識別部と、前記加入者端末各々を識別するための端末識別部と、を有すること
を特徴とするリモートアクセス方法。 - 請求項1から請求項4のいずれか1項に記載のリモートアクセス方法であって、
前記設定装置は、
前記加入者端末から、アクセス権限の危殆通知を受け付ける受付ステップと、
前記加入者端末に割り当てられたIPアドレスに基づいて、前記IPsec終端装置にフィルタリングの設定を行う第2の設定ステップと、をさらに行い、
前記IPsec終端装置は、
前記設定装置のフィルタリング設定を受け付けて、前記加入者端末に割り当てられたIPアドレスを送信元アドレスとするパケットの通過を遮断する制御ステップを、さらに行うこと
を特徴とするリモートアクセス方法。 - 請求項4記載のリモートアクセス方法であって、
前記網終端装置は、
送信元アドレスが前記IPv6アドレスのパケットを受信し、前記送信元アドレスの前記ネットワーク識別部および前記加入者識別部に基づいた加入者単位のフィルタリング、または、前記ネットワーク識別部、前記加入者識別部および前記端末識別部に基づいた加入者端末単位のフィルタリングを行うこと
を特徴とするリモートアクセス方法。 - 請求項4または請求項6記載のリモートアクセス方法であって、
前記設定装置は、
前記加入者端末に割り当てられたIPアドレスの前記ネットワーク識別部および前記加入者識別部に基づいて、前記フィルタリングの設定を行う前記網終端装置を特定する特定ステップと、をさらに行うこと
を特徴とするリモートアクセス方法。 - 請求項1から請求項7のいずれか1項に記載のリモートアクセス方法であって、
前記設定装置は、
前記第1の設定ステップにおいて、前記加入者端末に割り当てられたIPアドレスと、所定のセキュリティポリシーとに基づいて、前記網終端装置にフィルタリングの設定を行うこと
を特徴とするリモートアクセス方法。 - 通信事業者のIPネットワークを利用したリモートアクセスシステムであって、
フィルタリングの設定を行う設定装置と、IPsec終端装置と、遠隔ネットワークに配置された網終端装置と、を有し、
前記設定装置は、
前記IPネットワークの加入者端末に割り当てられたリモートアクセス用のIPアドレスを取得し、当該IPアドレスを送信元とする通信のみ許可するフィルタリングを、前記網終端装置に設定する第1の設定手段を有し、
前記IPsec終端装置は、
前記加入者端末が前記遠隔ネットワークにリモートアクセスする際に、前記加入者端末の認証を行う認証手段と、
前記認証に成功した場合、前記加入者端末との間でIPsecによる接続を確立する接続手段と、
前記加入者端末が送信したパケットの送信元アドレスに、当該加入者端末に割り当てられた前記IPアドレスを設定して、前記遠隔ネットワークに送信する送信手段と、を有すること
を特徴とするリモートアクセスシステム。 - 請求項9記載のリモートアクセスシステムであって、
前記IPsec終端装置の認証手段は、電子証明書を用いたPKI認証を行うこと
を特徴とするリモートアクセスシステム。 - 請求項9または請求項10記載のリモートアクセスシステムであって、
前記加入者端末を収容するルータを、さらに有し、
前記加入者端末に割り当てられるIPアドレスは、前記ルータが保有するアドレス空間以外のIPアドレスであること
を特徴とするリモートアクセスシステム。 - 請求項9から請求項11のいずれか1項に記載のリモートアクセスシステムであって、
前記加入者端末に割り当てられるIPアドレスは、IPv6アドレスであって、前記IPネットワークを識別するためのネットワーク識別部と、前記IPネットワークの加入者を識別する加入者識別部と、前記加入者端末各々を識別するための端末識別部と、を有すること
を特徴とするリモートアクセスシステム。 - 請求項9から請求項12のいずれか1項に記載のリモートアクセスシステムであって、
前記設定装置は、
前記加入者端末から、アクセス権限の危殆通知を受け付ける受付手段と、
前記加入者端末に割り当てられたIPアドレスに基づいて、前記IPsec終端装置にフィルタリングの設定を行う第2の設定手段と、をさらに有し、
前記IPsec終端装置は、
前記設定装置のフィルタリング設定を受け付けて、前記加入者端末に割り当てられたIPアドレスを送信元アドレスとするパケットの通過を遮断する制御手段を、さらに有すること
を特徴とするリモートアクセスシステム。 - 請求項12記載のリモートアクセスシステムであって、
前記網終端装置は、
送信元アドレスが前記IPv6アドレスのパケットを受信し、前記送信元アドレスの前記ネットワーク識別部および前記加入者識別部に基づいた加入者単位のフィルタリング、または、前記ネットワーク識別部、前記加入者識別部および前記端末識別部に基づいた加入者端末単位のフィルタリングを行うこと
を特徴とするリモートアクセスシステム。 - 請求項12または請求項14記載のリモートアクセスシステムであって、
前記設定装置は、
前記加入者端末に割り当てられたIPアドレスの前記ネットワーク識別部および前記加入者識別部に基づいて、前記フィルタリングの設定を行う前記網終端装置を特定する特定手段をさらに有すること
を特徴とするリモートアクセスシステム。 - 請求項9から請求項15のいずれか1項に記載のリモートアクセスシステムであって、
前記設定装置の前記第1の設定手段は、前記加入者端末に割り当てられたIPアドレスと、所定のセキュリティポリシーとに基づいて、前記網終端装置にフィルタリングの設定を行うこと
を特徴とするリモートアクセスシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005185249A JP2007006248A (ja) | 2005-06-24 | 2005-06-24 | リモートアクセス方法、およびリモートアクセスシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005185249A JP2007006248A (ja) | 2005-06-24 | 2005-06-24 | リモートアクセス方法、およびリモートアクセスシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007006248A true JP2007006248A (ja) | 2007-01-11 |
Family
ID=37691403
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005185249A Pending JP2007006248A (ja) | 2005-06-24 | 2005-06-24 | リモートアクセス方法、およびリモートアクセスシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007006248A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008269198A (ja) * | 2007-04-19 | 2008-11-06 | Ize:Kk | シンクライアント用オペレーティングシステム、シンクライアント装置、サーバ・シンクライアントシステム、及びシンクライアント用オペレーティングシステムの実行方法 |
JP2009294799A (ja) * | 2008-06-03 | 2009-12-17 | Sony Corp | 認証用プログラム、認証方法、及び端末装置 |
JP2011119947A (ja) * | 2009-12-02 | 2011-06-16 | Nec Access Technica Ltd | アクセスポイントおよびアクセスポイントのパケット中継制御方法 |
JP2017510197A (ja) * | 2014-04-01 | 2017-04-06 | グーグル インコーポレイテッド | フロールーティング、スケーラビリティおよびセキュリティの向上を伴う、自律システム内および自律システム間のトラフィックのソフトウェア定義ルーティングのためのシステムならびに方法 |
JP2019062248A (ja) * | 2017-09-22 | 2019-04-18 | 東芝テック株式会社 | 制御装置及び制御方法 |
US10834595B2 (en) | 2016-07-15 | 2020-11-10 | Ricoh Company, Ltd. | Service providing apparatus configured to control communication mode between communication terminals, service communicating system, service providing method and recording medium configured to perform same |
JP2021190971A (ja) * | 2020-06-04 | 2021-12-13 | イニシャル・ポイント株式会社 | セルラー通信端末のネットワークへの接続方式 |
-
2005
- 2005-06-24 JP JP2005185249A patent/JP2007006248A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008269198A (ja) * | 2007-04-19 | 2008-11-06 | Ize:Kk | シンクライアント用オペレーティングシステム、シンクライアント装置、サーバ・シンクライアントシステム、及びシンクライアント用オペレーティングシステムの実行方法 |
JP2009294799A (ja) * | 2008-06-03 | 2009-12-17 | Sony Corp | 認証用プログラム、認証方法、及び端末装置 |
JP2011119947A (ja) * | 2009-12-02 | 2011-06-16 | Nec Access Technica Ltd | アクセスポイントおよびアクセスポイントのパケット中継制御方法 |
JP2017510197A (ja) * | 2014-04-01 | 2017-04-06 | グーグル インコーポレイテッド | フロールーティング、スケーラビリティおよびセキュリティの向上を伴う、自律システム内および自律システム間のトラフィックのソフトウェア定義ルーティングのためのシステムならびに方法 |
US10834595B2 (en) | 2016-07-15 | 2020-11-10 | Ricoh Company, Ltd. | Service providing apparatus configured to control communication mode between communication terminals, service communicating system, service providing method and recording medium configured to perform same |
JP2019062248A (ja) * | 2017-09-22 | 2019-04-18 | 東芝テック株式会社 | 制御装置及び制御方法 |
JP7130361B2 (ja) | 2017-09-22 | 2022-09-05 | 東芝テック株式会社 | 制御装置及び制御方法 |
JP2021190971A (ja) * | 2020-06-04 | 2021-12-13 | イニシャル・ポイント株式会社 | セルラー通信端末のネットワークへの接続方式 |
JP7240356B2 (ja) | 2020-06-04 | 2023-03-15 | イニシャル・ポイント株式会社 | セルラー通信端末のネットワークへの接続方式 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7929528B2 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
CA2482648C (en) | Transitive authentication authorization accounting in interworking between access networks | |
EP1779589B1 (en) | Arrangement for tracking ip address usage based on authenticated link identifier | |
US7130286B2 (en) | System and method for resource authorizations during handovers | |
US8566590B2 (en) | Encryption information transmitting terminal | |
JPWO2008146395A1 (ja) | ネットワーク中継装置、通信端末及び暗号化通信方法 | |
WO2004015958A2 (en) | Fine grained access control for wireless networks | |
JP2006086907A (ja) | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム | |
JP2005204086A (ja) | 移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバ | |
JP2007006248A (ja) | リモートアクセス方法、およびリモートアクセスシステム | |
JPWO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
JP2003218954A (ja) | 安全なネットワークアクセス方法 | |
US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
US20090239534A1 (en) | Apparatus and a system for registering profile information of a terminal | |
JP4253520B2 (ja) | ネットワーク認証装置及びネットワーク認証システム | |
JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
CN1980231B (zh) | 一种在移动IPv6中更新防火墙的方法 | |
CN109547470B (zh) | 保护网络空间安全的电子隔离墙方法、装置及系统 | |
JP5326815B2 (ja) | パケット送受信装置およびパケット送受信方法 | |
JP2012060357A (ja) | 移動体システムのリモートアクセス制御方法 | |
JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
KR20150060050A (ko) | 네트워크 장치 및 네트워크 장치의 터널 형성 방법 | |
JP2004072633A (ja) | IPv6ノード収容方法およびIPv6ノード収容システム | |
JP2006229265A (ja) | ゲートウェイシステム | |
JP3825773B2 (ja) | 認証判定ブリッジ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070808 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090729 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090811 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091208 |