JP2007158793A - リモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体 - Google Patents
リモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体 Download PDFInfo
- Publication number
- JP2007158793A JP2007158793A JP2005352066A JP2005352066A JP2007158793A JP 2007158793 A JP2007158793 A JP 2007158793A JP 2005352066 A JP2005352066 A JP 2005352066A JP 2005352066 A JP2005352066 A JP 2005352066A JP 2007158793 A JP2007158793 A JP 2007158793A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- remote
- router
- connection
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】システム全体のハードウェア規模を増大させることなく、高いセキュリティ性を得る。
【解決手段】接続管理サーバ4により、IP網9を介してVPNルータ3と接続制御ルータ5との間でホスト側VPN92を予め構築するとともに、リモート端末1からの接続要求に応じてIP網9を介して当該リモート端末1とVPNルータ3と間でリモート側VPN91を構築し、リモート端末1からの接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを記憶部から取得し、リモート側VPN91およびホスト側VPN92を介したリモート端末1とホスト装置6との通信経路をVPNルータ3および接続制御ルータ5に設定する。
【選択図】 図1
【解決手段】接続管理サーバ4により、IP網9を介してVPNルータ3と接続制御ルータ5との間でホスト側VPN92を予め構築するとともに、リモート端末1からの接続要求に応じてIP網9を介して当該リモート端末1とVPNルータ3と間でリモート側VPN91を構築し、リモート端末1からの接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを記憶部から取得し、リモート側VPN91およびホスト側VPN92を介したリモート端末1とホスト装置6との通信経路をVPNルータ3および接続制御ルータ5に設定する。
【選択図】 図1
Description
本発明は、パケット通信技術に関し、特に閉域ネットワーク内のホスト装置に外部からリモート端末を接続させるリモートアクセス技術に関する。
近年、ブロードバンド回線の普及や自宅でのPC利用環境の定着により、自宅から社内ネットワークに接続するニーズも高まっており、これらリモート端末を社外から社内イントラネット内のホスト装置に接続させるリモートアクセスシステムが注目を浴びている。
このようなリモートアクセスシステムでは、外部のリモート端末を社内イントラネットなどの閉域ネットワーク内のホスト装置に接続した場合の機密情報や重要情報の漏洩、さらには不正アクセスを防止するための高いセキュリティ性が要求される。
このようなリモートアクセスシステムでは、外部のリモート端末を社内イントラネットなどの閉域ネットワーク内のホスト装置に接続した場合の機密情報や重要情報の漏洩、さらには不正アクセスを防止するための高いセキュリティ性が要求される。
従来、このようリモートアクセスシステムとして、ICカード機能などのインターフェースを介してリモート端末に接続可能な認証デバイスを個人認証キーとして用い、この認証デバイスを接続したリモート端末から社内のセンタ装置へ接続してユーザ認証を行うとともに、ユーザが社内外で使用するホスト装置の計算処理などをセンタ装置で集約化・一元管理して供給し、ユーザが作成したデータファイルのほか、全てのデータをセンタ側のIPストレージに集約化・一元管理するものとなっている(例えば、非特許文献1など参照)。
http://www.hitachi.co.jp/products/secure_ubiquitous_office/dokodemo_mydeskpc/、日立製作所
しかしながら、このような従来技術では、センタ装置の接続先アドレスをリモート端末から指定する必要があるため、接続先アドレス情報の漏洩、さらにはこの漏洩による不正アクセスが発生する可能性があり、システム全体としてのセキュリティ性が低下するという問題点があった。また、このようなセキュリティ性の低下をハードウェア構成の堅牢化により回避する場合には、システム構成の増大やコスト増加の要因となるという問題点があった。
通常、外部から閉域ネットワーク内のホスト装置へ個別に接続する場合、そのホスト装置のアドレス情報を外部から指定する必要があり、接続先アドレス情報の漏洩による不正アクセスが懸念される。従来技術では、この接続アドレス情報などの制御情報については耐タンパ記憶機能を有する認証デバイスを用いるというハードウェア構成の堅牢化によりセキュリティ性を確保している。このため、ユーザごとに耐タンパ記憶機能を有する認証デバイスを配布する必要があり、リモートアクセスシステム全体のハードウェアが増大するとともにコスト増加の要因となる。
また、従来技術では、各ホスト装置の計算処理やデータファイルをセンタ装置で集約化・一元管理して、外部のリモート端末からの接続を一括管理することにより、高いセキュリティ性を得ているものの、各ホスト装置とは別個にこれらを集約化・一元管理するための大規模な処理システムを導入する必要があり、リモートアクセスシステム全体のハードウェア構成が極めて増大するとともにコスト増加の要因となる。
本発明はこのような課題を解決するためのものであり、システム全体のハードウェア規模を増大させることなく、高いセキュリティ性が得られるリモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体を提供することを目的としている。
このような目的を達成するために、本発明にかかるリモートアクセスシステムは、接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、IP網に接続されているリモート端末を外部から接続させるリモートアクセスシステムであって、VPNルータを介してIP網に接続された接続管理サーバとを備え、接続管理サーバは、ユーザの識別情報とその接続先となるホスト装置のホストIPアドレスを組として予め記憶する記憶部と、リモート端末からの接続要求に応じてIP網を介して当該リモート端末とVPNルータと間でリモート側VPNを構築するVPN管理手段と、接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを記憶部から取得し、リモート側VPNを介したリモート端末とホスト装置との通信経路をVPNルータおよび接続制御ルータに設定する通信経路設定手段とを有している。
この際、VPN管理手段で、VPNルータと接続制御ルータとの間でホスト側VPNを予め構築し、通信経路設定手段で、通信経路を設定する際、リモート側VPNおよびホスト側VPNを介して通信経路を設定するようにしてもよい。
また、接続ルータをVPNルータを介してIP網に接続してもよい。
また、VPNルータを接続制御ルータで構成し、接続管理サーバを接続制御ルータを介してIP網に接続してもよい。
また、接続ルータをVPNルータを介してIP網に接続してもよい。
また、VPNルータを接続制御ルータで構成し、接続管理サーバを接続制御ルータを介してIP網に接続してもよい。
また、本発明にかかるリモートアクセス方法は、接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、IP網に接続されているリモート端末を外部から接続させるリモートアクセス方法であって、VPNルータを介してIP網に接続された接続管理サーバにより、ユーザの識別情報とその接続先となるホスト装置のホストIPアドレスを組として予め記憶部で記憶する記憶ステップと、リモート端末からの接続要求に応じてIP網を介して当該リモート端末とVPNルータと間でリモート側VPNを構築するVPN管理ステップと、接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを記憶部から取得し、リモート側VPNを介したリモート端末とホスト装置との通信経路をVPNルータおよび接続制御ルータに設定する通信経路設定ステップとを備えている。
この際、VPN管理ステップで、VPNルータと接続制御ルータとの間でホスト側VPNを予め構築し、通信経路設定ステップで、通信経路を設定する際、リモート側VPNおよびホスト側VPNを介して通信経路を設定するようにしてもよい。
また、本発明にかかる接続管理サーバは、接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、IP網に接続されているリモート端末を外部から接続させるリモートアクセスシステムで用いられ、VPNルータを介してIP網に接続された接続管理サーバであって、ユーザの識別情報とその接続先となるホスト装置のホストIPアドレスを組として予め記憶する記憶部と、リモート端末からの接続要求に応じてIP網を介して当該リモート端末とVPNルータと間でリモート側VPNを構築するVPN管理手段と、接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを記憶部から取得し、リモート側VPNを介したリモート端末とホスト装置との通信経路をVPNルータおよび接続制御ルータに設定する通信経路設定手段とを備えている。
この際、VPN管理手段で、VPNルータと接続制御ルータとの間でホスト側VPNを予め構築し、通信経路設定手段で、通信経路を設定する際、リモート側VPNおよびホスト側VPNを介して通信経路を設定するようにしてもよい。
また、本発明にかかるプログラムは、接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、IP網に接続されているリモート端末を外部から接続させるリモートアクセスシステムで用いられ、VPNルータを介してIP網に接続された接続管理サーバのコンピュータに、ユーザの識別情報とその接続先となるホスト装置のホストIPアドレスを組として予め記憶部で記憶する記憶ステップと、リモート端末からの接続要求に応じてIP網を介して当該リモート端末とVPNルータと間でリモート側VPNを構築するVPN管理ステップと、接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを記憶部から取得し、リモート側VPNを介したリモート端末とホスト装置との通信経路をVPNルータおよび接続制御ルータに設定する通信経路設定ステップとを実行させる。
この際、VPN管理ステップで、VPNルータと接続制御ルータとの間でホスト側VPNを予め構築し、通信経路設定ステップで、通信経路を設定する際、リモート側VPNおよびホスト側VPNを介して通信経路を設定するようにしてもよい。
また、本発明にかかる記録媒体は、接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、IP網に接続されているリモート端末を外部から接続させるリモートアクセスシステムのリモート端末で用いられる記録媒体であって、VPNルータを介してIP網に接続された接続管理サーバのIPアドレスと、ユーザに固有のユーザIDを含むユーザ情報と、リモート端末のコンピュータで実行されて、接続管理サーバIPアドレスを用いて接続管理サーバへ接続要求を送信し、VPNルータとの間でリモート側VPNを構築する接続制御プログラムと、リモート端末のコンピュータで実行されて、リモート側VPNを介してホスト装置との間でリモート通信を行うリモート通信プログラムとが記録されている。
この際、リモート端末のコンピュータで実行されて、当該リモート端末で通常用いるOSプログラムとは別個に当該リモート端末全体を制御するOSプログラムがさらに記録されており、OSプログラムに、少なくともホスト装置から受信した各種データに対する当該リモート端末での保存を禁止するステップを設けてもよい。
本発明によれば、接続管理サーバにより、IP網を介してVPNルータと接続制御ルータとの間でリモート側VPNが予め構築されるとともに、リモート端末からの接続要求に応じてIP網を介して当該リモート端末とVPNルータと間でリモート側VPNが構築され、リモート端末からの接続要求に含まれるユーザ識別情報に対応するホストIPアドレスが記憶部から取得されて、リモート側VPNおよびホスト側VPNを介したリモート端末とホスト装置との通信経路がVPNルータおよび接続制御ルータに設定される。
これにより、接続管理サーバでユーザIDとホストIPアドレスが組として予め管理されており、リモート端末の接続先となるホスト装置のホストIPアドレスは、ユーザIDから取得できる。このため、リモート端末からホスト装置への接続要求を行う場合、ホスト装置のホストIPアドレスをリモート端末から直接指定する必要がなく、接続先アドレス情報の漏洩を抑止できる。また、誤ってユーザIDが漏洩したとしてもユーザIDからホストIPアドレスを導出することは不可能であり、閉域ネットワークの外部からホスト装置へ不正アクセスできず、高いセキュリティ性が得られる。
したがって、従来のように、各ユーザに耐タンパ記憶機能を有する認証デバイスを配布したり、外部のリモート端末からの接続を一括管理するセンタ装置を設ける必要がなくなり、システム全体のハードウェア規模を増大させることなく、高いセキュリティ性が得られる。
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムについて説明する。図1は、本発明の第1の実施の形態にかかるリモートアクセスシステムの構成を示すブロック図である。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムについて説明する。図1は、本発明の第1の実施の形態にかかるリモートアクセスシステムの構成を示すブロック図である。
このリモートアクセスシステムは、ユーザの自宅などのリモート(遠隔地)10に設置されているリモート端末1を、インターネットなどのIP網9を介して、社内イントラネットなどの閉域ネットワーク60内の所望ホスト装置6に接続させるための通信システムである。
このうち、閉域ネットワーク60には、ホスト装置6とIP網9との間に接続制御ルータ5が設けられている。また、リモート端末1とホスト装置6との間の通信経路上に、VPNルータ3と接続管理サーバ4からなるデータセンタ40が設けられている。
このうち、閉域ネットワーク60には、ホスト装置6とIP網9との間に接続制御ルータ5が設けられている。また、リモート端末1とホスト装置6との間の通信経路上に、VPNルータ3と接続管理サーバ4からなるデータセンタ40が設けられている。
本実施の形態は、接続管理サーバ4により、IP網9を介してVPNルータ3と接続制御ルータ5との間でホスト側VPN92を予め構築するとともに、リモート端末1からの接続要求に応じてIP網9を介して当該リモート端末1とVPNルータ3と間でリモート側VPN91を構築し、リモート端末1からの接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを取得し、リモート側VPN91およびホスト側VPN92を介したリモート端末1とホスト装置6との通信経路をVPNルータ3および接続制御ルータ5に設定するようにしたものである。
[リモート端末]
次に、図2を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いるリモート端末の構成について詳細に説明する。図2は、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いるリモート端末の構成を示すブロック図である。
次に、図2を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いるリモート端末の構成について詳細に説明する。図2は、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いるリモート端末の構成を示すブロック図である。
このリモート端末1は、全体としてPC(パーソナルコンピュータ)などの情報通信端末からなり、機能部として、通信インターフェース部(以下、通信I/F部という)11、操作入力部12、画面表示部13、入出力インターフェース部(以下、入出力I/F部という)14、記憶部15、および制御部16が設けられている。
通信I/F部11は、データ通信回路部からなり、IP網9を介してデータセンタ40のVPNルータ3や接続管理サーバ4とパケット通信を行う機能を有している。
操作入力部12は、キーボードやマウスなどの操作入力装置からなり、ユーザの操作を検出して制御部16へ出力する機能を有している。
画面表示部13は、LCDやPDPなどの画面表示装置からなり、制御部16からの指示に応じて各種情報を画面表示する機能を有している。
操作入力部12は、キーボードやマウスなどの操作入力装置からなり、ユーザの操作を検出して制御部16へ出力する機能を有している。
画面表示部13は、LCDやPDPなどの画面表示装置からなり、制御部16からの指示に応じて各種情報を画面表示する機能を有している。
入出力I/F部14は、入出力回路部からなり、CD−ROMなどの記録媒体2からプログラムや処理情報などの各種データを読み込んで制御部16へ出力する機能を有している。記録媒体2に予め格納されている主な情報としては、OSプログラム21、接続制御プログラム22、リモート通信プログラム23、接続管理サーバIPアドレス24、およびユーザ情報25がある。
OSプログラム21は、制御部16で実行されることにより、記憶部15に格納されている本来のOSプログラムとは別個にリモート端末1全体の制御を行うプログラムである。
接続制御プログラム22は、制御部16で実行されることにより、リモート端末1を接続管理サーバ4に接続してVPNルータ3との間でリモート側VPN91を構築するプログラムである。
接続制御プログラム22は、制御部16で実行されることにより、リモート端末1を接続管理サーバ4に接続してVPNルータ3との間でリモート側VPN91を構築するプログラムである。
リモート通信プログラム23は、リモート側VPN91が構築した後、リモート側VPN91とホスト側VPN92を介して、ホスト装置6とリモート通信を行うプログラムである。
接続管理サーバIPアドレス24は、接続制御プログラム22においてリモート側VPN91の構築要求の送信先となる接続管理サーバ4のアドレス情報である。
ユーザ情報25は、接続制御プログラム22においてリモート側VPN91の構築の際に接続管理サーバ4行われるユーザ認証のためのユーザIDやパスワードからなる認証情報である。
接続管理サーバIPアドレス24は、接続制御プログラム22においてリモート側VPN91の構築要求の送信先となる接続管理サーバ4のアドレス情報である。
ユーザ情報25は、接続制御プログラム22においてリモート側VPN91の構築の際に接続管理サーバ4行われるユーザ認証のためのユーザIDやパスワードからなる認証情報である。
記憶部15は、メモリやハードディスクなどの記憶装置からなり、制御部16での各種処理に用いる一時的な制御情報を記憶する機能を有している。
制御部16は、CPUなどのマイクロプロセッサとその周辺回路を有し、記録媒体2から各種プログラムを読み込んで実行することにより、上記ハードウェアとプログラムとを協働させて各種機能手段を実現する。
制御部16は、CPUなどのマイクロプロセッサとその周辺回路を有し、記録媒体2から各種プログラムを読み込んで実行することにより、上記ハードウェアとプログラムとを協働させて各種機能手段を実現する。
[VPNルータ]
次に、図3を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いるVPNルータの構成について詳細に説明する。図3は、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いるVPNルータの構成を示すブロック図である。
次に、図3を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いるVPNルータの構成について詳細に説明する。図3は、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いるVPNルータの構成を示すブロック図である。
このVPNルータ3は、全体としてパケット転送装置からなり、機能部として、通信インターフェース部(以下、通信I/F部という)31,32、転送制御部34、記憶部35、および転送処理部36が設けられている。
通信I/F部31は、データ通信回路部からなり、接続管理サーバ4とのパケット通信を行う機能を有している。
通信I/F部32は、データ通信回路部からなり、IP網9を介してリモート10のリモート端末1や閉域ネットワーク60の接続制御ルータ5と接続管理サーバ4とのパケット通信を行う機能と、IP網9を介してリモート端末1との間でリモート側VPN91を構築する機能と、IP網9を介して接続制御ルータ5との間でホスト側VPN92を構築する機能とを有している。
通信I/F部32は、データ通信回路部からなり、IP網9を介してリモート10のリモート端末1や閉域ネットワーク60の接続制御ルータ5と接続管理サーバ4とのパケット通信を行う機能と、IP網9を介してリモート端末1との間でリモート側VPN91を構築する機能と、IP網9を介して接続制御ルータ5との間でホスト側VPN92を構築する機能とを有している。
転送制御部34は、制御回路からなり、通信I/F部31を介して受信した接続管理サーバ4からの指示に応じて記憶部35内の転送テーブル(図示せず)を更新することにより、転送処理部36でのパケット転送処理を制御する機能を有している。
記憶部35は、メモリなどの記憶装置からなり、転送処理部36でのパケット転送処理を規定する転送テーブルを記憶する機能を有している。
転送処理部36は、データ通信回路からなり、記憶部35の転送テーブルの内容に基づき通信I/F部31,32に接続された任意の送信元からのパケットを対応する送信先へ転送する機能を有している。
記憶部35は、メモリなどの記憶装置からなり、転送処理部36でのパケット転送処理を規定する転送テーブルを記憶する機能を有している。
転送処理部36は、データ通信回路からなり、記憶部35の転送テーブルの内容に基づき通信I/F部31,32に接続された任意の送信元からのパケットを対応する送信先へ転送する機能を有している。
[接続管理サーバ]
次に、図4を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いる接続管理サーバの構成について詳細に説明する。図4は、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いる接続管理サーバの構成を示すブロック図である。
次に、図4を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いる接続管理サーバの構成について詳細に説明する。図4は、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いる接続管理サーバの構成を示すブロック図である。
この接続管理サーバ4は、全体としてサーバなどの情報処理装置からなり、機能部として、通信インターフェース部(以下、通信I/F部という)41、操作入力部42、画面表示部43、記憶部45、および制御部46が設けられている。
通信I/F部41は、データ通信回路部からなり、データセンタ40のVPNルータ3とパケット通信を行う機能を有している。
操作入力部42は、キーボードやマウスなどの操作入力装置からなり、ユーザの操作を検出して制御部46へ出力する機能を有している。
画面表示部43は、LCDやPDPなどの画面表示装置からなり、制御部46からの指示に応じて各種情報を画面表示する機能を有している。
操作入力部42は、キーボードやマウスなどの操作入力装置からなり、ユーザの操作を検出して制御部46へ出力する機能を有している。
画面表示部43は、LCDやPDPなどの画面表示装置からなり、制御部46からの指示に応じて各種情報を画面表示する機能を有している。
記憶部45は、ハードディスクやメモリなどの記憶装置からなり、制御部46での各種処理に用いる処理情報やプログラム45Pを記憶する機能を有している。主な処理情報としては、ユーザ管理情報45Aがある。
図5は、ユーザ管理情報の構成例である。ここでは、ユーザ管理情報として、各ユーザを識別するためのユーザIDに対して、パスワード、リモートIPアドレス、ホストIPアドレス、アクセス停止情報などの各種情報が組として登録されている。
図5は、ユーザ管理情報の構成例である。ここでは、ユーザ管理情報として、各ユーザを識別するためのユーザIDに対して、パスワード、リモートIPアドレス、ホストIPアドレス、アクセス停止情報などの各種情報が組として登録されている。
このうち、パスワードは、ユーザ認証に用いる情報である。リモートIPアドレスは、ホスト装置6とのパケット通信の際にリモート端末1が用いるIPアドレスとして割り当てたアドレス情報である。ホストIPアドレスは、当該ユーザがアクセス可能なホスト装置6のIPアドレスを示すアドレス情報である。アクセス停止情報は、当該ユーザの記録媒体2の紛失時などにアクセス停止を設定して不正アクセスを防止できる。
制御部46は、CPUなどのマイクロプロセッサとその周辺回路を有し、記憶部45からプログラム45Pを読み込んで実行することにより、上記ハードウェアとプログラム45Pとを協働させて各種機能手段を実現する。
主な機能手段としては、VPN管理手段46A、ユーザ認証手段46B、アドレス割当手段46C、および通信経路設定手段46Dがある。
主な機能手段としては、VPN管理手段46A、ユーザ認証手段46B、アドレス割当手段46C、および通信経路設定手段46Dがある。
VPN管理手段46Aは、IP網9およびVPNルータ3を介して受信したリモート端末1からの接続要求に応じてリモート端末1とVPNルータ3との間のリモート側VPN91の構築および管理を行う機能と、閉域ネットワーク60の接続制御ルータ5とVPNルータ3との間のホスト側VPN92を管理する機能とを有している。
ユーザ認証手段46Bは、リモート端末1からの接続要求時に、ユーザ管理情報45Aを参照して当該ユーザのユーザ認証を行う機能を有している。
ユーザ認証手段46Bは、リモート端末1からの接続要求時に、ユーザ管理情報45Aを参照して当該ユーザのユーザ認証を行う機能を有している。
アドレス割当手段46Cは、リモート端末1からの接続要求時に、ホスト装置6とのパケット通信に用いるIPアドレスをリモート端末1に割り当てる機能を有している。
通信経路設定手段46Dは、リモート端末1からの接続要求時に、接続制御ルータ5およびVPNルータ3へアクセスして、リモート側VPN91とホスト側VPN92を介したリモート端末1とホスト装置6との通信経路の設定を制御する機能とを有している。
通信経路設定手段46Dは、リモート端末1からの接続要求時に、接続制御ルータ5およびVPNルータ3へアクセスして、リモート側VPN91とホスト側VPN92を介したリモート端末1とホスト装置6との通信経路の設定を制御する機能とを有している。
[接続制御ルータ]
次に、図6を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いる接続制御ルータの構成について詳細に説明する。図6は、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いる接続制御ルータの構成を示すブロック図である。
次に、図6を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いる接続制御ルータの構成について詳細に説明する。図6は、本発明の第1の実施の形態にかかるリモートアクセスシステムで用いる接続制御ルータの構成を示すブロック図である。
この接続制御ルータ5は、全体としてパケット転送装置からなり、機能部として、通信インターフェース部(以下、通信I/F部という)51,52、転送制御部54、記憶部55、および転送処理部56が設けられている。
通信I/F部51は、データ通信回路部からなり、ホスト装置6とのパケット通信を行う機能を有している。
通信I/F部52は、データ通信回路部からなり、IP網9を介してデータセンタ40のVPNルータ3とホスト装置6のパケット通信を行う機能と、IP網9を介してVPNルータ3との間でホスト側VPN92を構築する機能とを有している。
通信I/F部52は、データ通信回路部からなり、IP網9を介してデータセンタ40のVPNルータ3とホスト装置6のパケット通信を行う機能と、IP網9を介してVPNルータ3との間でホスト側VPN92を構築する機能とを有している。
転送制御部54は、制御回路からなり、通信I/F部52を介して受信した接続管理サーバ4からの指示に応じて記憶部55内の転送テーブル(図示せず)を更新することにより、転送処理部56でのパケット転送処理を制御する機能を有している。
記憶部55は、メモリなどの記憶装置からなり、転送処理部56でのパケット転送処理を規定する転送テーブルを記憶する機能を有している。
転送処理部56は、データ通信回路からなり、記憶部55の転送テーブルの内容に基づき通信I/F部51,52に接続された任意の送信元からのパケットを対応する送信先へ転送する機能を有している。
記憶部55は、メモリなどの記憶装置からなり、転送処理部56でのパケット転送処理を規定する転送テーブルを記憶する機能を有している。
転送処理部56は、データ通信回路からなり、記憶部55の転送テーブルの内容に基づき通信I/F部51,52に接続された任意の送信元からのパケットを対応する送信先へ転送する機能を有している。
[第1の実施の形態の動作]
次に、図7および図8を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムの動作について説明する。図7は、本発明の第1の実施の形態にかかるリモートアクセスシステムの動作を示すシーケンス図である。図8は、本発明の第1の実施の形態にかかるリモートアクセスシステムの動作(続き)を示すシーケンス図である。
ここでは、リモート端末1からの要求に応じて、VPNルータ3とリモート端末1との間にリモート側VPN91を構築し、このリモート側VPN91と予めIPsec(IP Security)などのVPNプロトコルに従って構築してあるホスト側VPN92とを用いて、リモート端末1とホスト装置6とのパケット通信を実現する場合について説明する。
次に、図7および図8を参照して、本発明の第1の実施の形態にかかるリモートアクセスシステムの動作について説明する。図7は、本発明の第1の実施の形態にかかるリモートアクセスシステムの動作を示すシーケンス図である。図8は、本発明の第1の実施の形態にかかるリモートアクセスシステムの動作(続き)を示すシーケンス図である。
ここでは、リモート端末1からの要求に応じて、VPNルータ3とリモート端末1との間にリモート側VPN91を構築し、このリモート側VPN91と予めIPsec(IP Security)などのVPNプロトコルに従って構築してあるホスト側VPN92とを用いて、リモート端末1とホスト装置6とのパケット通信を実現する場合について説明する。
まず、ユーザは、リモート10にあるリモート端末1からIP網9を介して閉域ネットワーク60のホスト装置6へアクセスする際、リモート端末1に記録媒体2を挿入した状態でリモート端末1を起動(電源投入またはリセット)する。
これに応じて、リモート端末1の制御部16は起動し、挿入されている記録媒体2から入出力I/F部14を介してOSプログラム21を読み込んで実行する。これにより、記憶部15に格納されている元OSプログラムとは別個のOSプログラム21による処理動作が開始される。
これに応じて、リモート端末1の制御部16は起動し、挿入されている記録媒体2から入出力I/F部14を介してOSプログラム21を読み込んで実行する。これにより、記憶部15に格納されている元OSプログラムとは別個のOSプログラム21による処理動作が開始される。
制御部16は、このOSプログラム21に基づき、まず、記録媒体2から接続制御プログラム22を読み込んで実行する(ステップ100)。
これに応じて、制御部16は、接続制御プログラム22に基づき、記録媒体2から接続先情報として接続管理サーバIPアドレス24を取得し(ステップ101)、この接続管理サーバIPアドレス24を用いてホスト側へのVPN接続要求を通信I/F部11からIP網9へ送信する(ステップ102)。
これに応じて、制御部16は、接続制御プログラム22に基づき、記録媒体2から接続先情報として接続管理サーバIPアドレス24を取得し(ステップ101)、この接続管理サーバIPアドレス24を用いてホスト側へのVPN接続要求を通信I/F部11からIP網9へ送信する(ステップ102)。
接続管理サーバ4の制御部46は、VPNルータ3から転送されたリモート端末1のVPN接続要求を通信I/F部41を介して受信し、VPN管理手段46Aにより、通信I/F部41からVPNルータ3へ、リモート端末1との間のリモート側VPN91の構築を指示する(ステップ103)。
VPNルータ3の転送制御部34は、通信I/F部31を介して接続管理サーバ4からのVPN構築指示を受信し、通信I/F部32とリモート端末1との間で、例えばPPTP(Point to Point Tunneling Protocol)などのVPNプロトコルに従って各種制御パケットをやり取りすることにより、リモート側VPN91を構築する(ステップ104)。
VPNルータ3の転送制御部34は、通信I/F部31を介して接続管理サーバ4からのVPN構築指示を受信し、通信I/F部32とリモート端末1との間で、例えばPPTP(Point to Point Tunneling Protocol)などのVPNプロトコルに従って各種制御パケットをやり取りすることにより、リモート側VPN91を構築する(ステップ104)。
リモート側VPN91が構築された後、リモート端末1の制御部16は、接続制御プログラム22に基づき、記録媒体2からユーザIDやパスワードなどのユーザ情報25を取得し(ステップ110)、ホスト側への認証要求を通信I/F部11からIP網9へ送信する(ステップ111)。
接続管理サーバ4の制御部46は、VPNルータ3から転送されたリモート端末1の認証要求を通信I/F部41を介して受信し、ユーザ認証手段46Bにより、記憶部45のユーザ管理情報を参照し(ステップ112)、認証要求に含まれているユーザ情報の正当性を確認することによりユーザ認証を行う(ステップ113)。そして、その認証結果を通信I/F部41からリモート端末1へ返送する(ステップ114)。
リモート端末1の制御部16は、VPNルータ3から転送された認証結果を、IP網9および通信I/F部11を介して受信し、接続制御プログラム22に基づき、認証結果の内容を画面表示部13へ表示する。
ここで、認証結果が認証成功を示す場合には、その後、接続管理サーバ4から割り当てられたIPアドレスの通知待ちとなり、認証結果が認証失敗を示す場合は、接続制御プログラム22に基づく再接続などのエラー処理へ移行する。
ここで、認証結果が認証成功を示す場合には、その後、接続管理サーバ4から割り当てられたIPアドレスの通知待ちとなり、認証結果が認証失敗を示す場合は、接続制御プログラム22に基づく再接続などのエラー処理へ移行する。
接続管理サーバ4の制御部46は、認証成功に応じてアドレス割当手段46Cにより、ホスト装置6とのパケット通信に用いるリモート端末1のIPアドレスを生成し(ステップ120)、このIPアドレスを記憶部45のユーザ管理情報45Aに当該ユーザIDのリモートIPアドレスとして登録する。次に、記憶部45のユーザ管理情報45Aから当該ユーザIDのホストIPアドレスを取得し(ステップ121)、これらユーザIDのリモートIPアドレスとホストIPアドレスを含むIPアドレス通知を、通信I/F部41からリモート端末1へ通知する(ステップ122)。
リモート端末1の制御部16は、VPNルータ3から転送されたIPアドレス通知を、IP網9および通信I/F部11を介して受信し、接続制御プログラム22に基づき、このIPアドレス通知に含まれているリモートIPアドレスをホスト装置6とのパケット通信に用いる自端末のIPアドレスとして記憶部15に格納するとともに、このIPアドレス通知に含まれているホストIPアドレスを通信相手となるホスト装置6の接続先IPアドレスとして記憶部15に格納する(ステップ123)。
また、接続管理サーバ4の制御部46は、通信経路設定手段46Dにより、リモート端末1のリモートIPアドレスとホストIPアドレスを含む接続要求を、通信I/F部41から接続制御ルータ5へ送信する(ステップ124)。
接続制御ルータ5の転送制御部54は、VPNルータ3で転送された接続管理サーバ4からの接続要求を、IP網9および通信I/F部52を介して受信し、この接続要求に含まれるホストIPアドレスに対応するホスト装置6との接続確認した後(ステップ125)、この接続要求に含まれるリモートIPアドレスとホストIPアドレスとを用いて記憶部55内の転送テーブル(図示せず)を更新することにより、ホスト側VPN92を介したリモート端末1とホスト装置6との通信経路を設定する(ステップ126)。
接続制御ルータ5の転送制御部54は、VPNルータ3で転送された接続管理サーバ4からの接続要求を、IP網9および通信I/F部52を介して受信し、この接続要求に含まれるホストIPアドレスに対応するホスト装置6との接続確認した後(ステップ125)、この接続要求に含まれるリモートIPアドレスとホストIPアドレスとを用いて記憶部55内の転送テーブル(図示せず)を更新することにより、ホスト側VPN92を介したリモート端末1とホスト装置6との通信経路を設定する(ステップ126)。
また、接続管理サーバ4の制御部46は、通信経路設定手段46Dにより、記憶部45のユーザ管理情報45Aからリモート端末1のリモートIPアドレスとホストIPアドレスを含む通信経路設定指示を、通信I/F部41からVPNルータ3へ送信する(ステップ127)。
VPNルータ3の転送制御部34は、通信I/F部31を介して接続管理サーバ4からのVPN構築指示を受信し、この通信経路設定指示に含まれるリモートIPアドレスとホストIPアドレスとを用いて記憶部35内の転送テーブル(図示せず)を更新することにより、リモート側VPN91とホスト側VPN92とを介したリモート端末1とホスト装置6との通信経路を設定する(ステップ128)。
VPNルータ3の転送制御部34は、通信I/F部31を介して接続管理サーバ4からのVPN構築指示を受信し、この通信経路設定指示に含まれるリモートIPアドレスとホストIPアドレスとを用いて記憶部35内の転送テーブル(図示せず)を更新することにより、リモート側VPN91とホスト側VPN92とを介したリモート端末1とホスト装置6との通信経路を設定する(ステップ128)。
一方、リモート端末1の制御部16は接続管理サーバ4からのIPアドレスの通知を受けた後、記録媒体2からリモート通信プログラム23を読み込んで実行する(ステップ130)。
これに応じて、制御部16は、リモート通信プログラム23に基づき、記憶部15に格納されているリモートIPアドレスとホストIPアドレスに基づいて、通信I/F部11からリモート側VPN91を介してホスト装置6へリモートログイン要求を送信する(ステップ131)。
これに応じて、制御部16は、リモート通信プログラム23に基づき、記憶部15に格納されているリモートIPアドレスとホストIPアドレスに基づいて、通信I/F部11からリモート側VPN91を介してホスト装置6へリモートログイン要求を送信する(ステップ131)。
VPNルータ3の転送処理部36は、リモート側VPN91を介して通信I/F部32で受信されたリモート端末1からのリモートログイン要求を、記憶部35の転送テーブルに基づき、通信I/F部32からホスト側VPN92を介して接続制御ルータ5へ転送する。
接続制御ルータ5の転送処理部56は、ホスト側VPN92を介して通信I/F部52で受信されたリモート端末1からのリモートログイン要求を、記憶部55の転送テーブルに基づき、通信I/F部51からホスト装置6へ転送する。
接続制御ルータ5の転送処理部56は、ホスト側VPN92を介して通信I/F部52で受信されたリモート端末1からのリモートログイン要求を、記憶部55の転送テーブルに基づき、通信I/F部51からホスト装置6へ転送する。
ホスト装置6は、接続制御ルータを介して受信したリモート端末1からのリモートログイン要求を受信して、そのリモートログイン要求に含まれるユーザ情報に基づきログイン可否を判断し、その判断結果をリモートログイン応答によりリモート端末1へ返送する。
リモート端末1の制御部は、前述のリモートログイン要求とは逆方向のルートで転送されたホスト装置6からのリモートログイン応答を受信し、このリモートログイン応答がログイン可を示す場合は、リモート通信プログラム23に基づき、リモート側VPN91およびホスト側VPN92を介してホスト装置6とのリモート通信を開始する(ステップ133)。
リモート端末1の制御部は、前述のリモートログイン要求とは逆方向のルートで転送されたホスト装置6からのリモートログイン応答を受信し、このリモートログイン応答がログイン可を示す場合は、リモート通信プログラム23に基づき、リモート側VPN91およびホスト側VPN92を介してホスト装置6とのリモート通信を開始する(ステップ133)。
このように、本実施の形態は、接続管理サーバ4において、VPN管理手段46Aにより、IP網9を介してVPNルータ3と接続制御ルータ5との間でホスト側VPN92を予め構築するとともに、リモート端末1からの接続要求に応じてIP網9を介して当該リモート端末1とVPNルータ3と間でリモート側VPN91を構築し、通信経路設定手段46Dにより、リモート端末1からの接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを記憶部45から取得し、リモート側VPN91およびホスト側VPN92を介したリモート端末1とホスト装置6との通信経路をVPNルータ3および接続制御ルータ5に設定するようにしたものである。
これにより、接続管理サーバ4でユーザIDとホストIPアドレスが組として予め管理されており、リモート端末1の接続先となるホスト装置6のホストIPアドレスは、ユーザIDから取得できる。このため、リモート端末1からホスト装置6への接続要求を行う場合、ホスト装置6のホストIPアドレスをリモート端末1から直接指定する必要がなく、接続先アドレス情報の漏洩を抑止できる。また、誤ってユーザIDが漏洩したとしてもユーザIDからホストIPアドレスを導出することは不可能であり、閉域ネットワーク60の外部からホスト装置6へ不正アクセスできず、高いセキュリティ性が得られる。
したがって、従来のように、各ユーザに耐タンパ記憶機能を有する認証デバイスを配布したり、外部のリモート端末からの接続を一括管理するセンタ装置を設ける必要がなくなり、システム全体のハードウェア規模を増大させることなく、高いセキュリティ性が得られる。
なお、本実施の形態では、VPNルータ3と接続制御ルータ5との間にホスト側VPN92を構築しておき、リモート側VPN91およびホスト側VPN92を介したリモート端末1とホスト装置6との通信経路をVPNルータ3および接続制御ルータ5に設定する場合について説明したが、VPNルータ3と接続制御ルータ5との間については固定的に通信経路を構築できることから、例えば一般的な専用回線などを利用して、所望のセキュリティ性が確保される場合、ホスト側VPN92を用いる必要はない。
また、本実施の形態において、リモート端末1で実行されるOSプログラム21に、ホスト装置6から受信した各種データに対するリモート端末1での保存を禁止するステップを設けてもよい。
具体的には、リモート端末の制御部16でOSプログラム21を実行することにより、リモート端末1の記憶部15を構成するハードディスクやメモリカードなどの不揮発性記憶装置や、フレキシブルディスクやCD−Rなどの記録媒体へのデータ保存可能なインターフェース回路部を、リモート端末1の起動時に予め使用不可としたり、これら不揮発性記憶装置やインターフェース回路部へのアクセスを禁止するなど、公知の技術を用いればよい。
具体的には、リモート端末の制御部16でOSプログラム21を実行することにより、リモート端末1の記憶部15を構成するハードディスクやメモリカードなどの不揮発性記憶装置や、フレキシブルディスクやCD−Rなどの記録媒体へのデータ保存可能なインターフェース回路部を、リモート端末1の起動時に予め使用不可としたり、これら不揮発性記憶装置やインターフェース回路部へのアクセスを禁止するなど、公知の技術を用いればよい。
これにより、ユーザの故意または過失による機密情報や重要情報の保存(コピー)を完全に回避でき、ホスト装置内の機密情報や重要情報の漏洩を抑止できる。
なお、データ保存の禁止対象となるデータについては、送信元に依存せず全てのデータの保存を禁止してもよく、その送信元がホスト装置である場合にのみデータ保存を禁止してもよい。
なお、データ保存の禁止対象となるデータについては、送信元に依存せず全てのデータの保存を禁止してもよく、その送信元がホスト装置である場合にのみデータ保存を禁止してもよい。
[第2の実施の形態]
次に、図9を参照して、本発明の第2の実施の形態にかかるリモートアクセスシステムについて説明する。図9は、本発明の第2の実施の形態にかかるリモートアクセスシステムの構成を示すブロック図である。
次に、図9を参照して、本発明の第2の実施の形態にかかるリモートアクセスシステムについて説明する。図9は、本発明の第2の実施の形態にかかるリモートアクセスシステムの構成を示すブロック図である。
第1の実施の形態では、データセンタ40の接続管理サーバ4と閉域ネットワーク60内のホスト装置6とが、IP網9を介して接続されている場合を例として説明した。本実施の形態では、データセンタ40内にホスト装置6が設けられ、ホスト装置6が接続制御ルータ5を介してVPNルータ3に直接接続されている場合について説明する。
この際、VPNルータ3と接続制御ルータ5が、IP網9ではなくデータセンタ内のネットワークを介して直接接続されているものの、他の構成は前述した第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
この際、VPNルータ3と接続制御ルータ5が、IP網9ではなくデータセンタ内のネットワークを介して直接接続されているものの、他の構成は前述した第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
一般に、ホスト装置として高セキュリティ性や高アクセス性能を得るには、管理や設備に多くの費用が必要となるため、ホスト装置の設置や管理を外部委託する、いわゆるホスティングサービスが数多く利用されている。
このような場合、ホスト装置6がデータセンタ40内に設けられるため、図9のようなシステム構成となる場合があるが、このようなシステム構成であっても、第1の実施の形態と同様に本発明を適用でき、前述と同様の作用効果が得られる。
このような場合、ホスト装置6がデータセンタ40内に設けられるため、図9のようなシステム構成となる場合があるが、このようなシステム構成であっても、第1の実施の形態と同様に本発明を適用でき、前述と同様の作用効果が得られる。
なお、データセンタ40内のネットワークとして高セキュリティ性や高アクセス性能が得られている場合には、VPNルータ3と接続制御ルータ5との間でホスト側VPNを構築する必要はない。
[第3の実施の形態]
次に、図10を参照して、本発明の第3の実施の形態にかかるリモートアクセスシステムについて説明する。図10は、本発明の第3の実施の形態にかかるリモートアクセスシステムの構成を示すブロック図である。
次に、図10を参照して、本発明の第3の実施の形態にかかるリモートアクセスシステムについて説明する。図10は、本発明の第3の実施の形態にかかるリモートアクセスシステムの構成を示すブロック図である。
第2の実施の形態では、ホスト装置6および接続制御ルータ5をデータセンタ40内に設けた場合を例として説明した。本実施の形態では、閉域ネットワーク60内に接続管理サーバ4が設けられ、接続管理サーバ4が接続制御ルータ5を介してIP網9に接続されている場合について説明する。
本実施の形態では、接続制御ルータ5は、第1の実施の形態で説明したVPNルータ3の各機能を有しており、前述した図3の通信I/F部31,32、転送制御部34、記憶部35、および転送処理部36の各機能が、図6の通信I/F部51,52、転送制御部54、記憶部55、および転送処理部56の各機能部で実現され、例えば転送制御部54により、IP網9を介してリモート端末1との間でリモート側VPN91が構築される。
この際、VPNルータ3の転送処理部36が接続制御ルータ5の転送処理部56で実現されるため、ホスト側VPN92が不要となる。他の構成は前述した第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
この際、VPNルータ3の転送処理部36が接続制御ルータ5の転送処理部56で実現されるため、ホスト側VPN92が不要となる。他の構成は前述した第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
このように、接続管理サーバ4が閉域ネットワーク60内に設けられたシステム構成であっても、第1の実施の形態と同様に本発明を適用でき、前述と同様の作用効果が得られる。
以上の各実施の形態では、発明の理解を容易とするため、リモート端末1やホスト装置6が1つの場合を例として説明したが、これに限定されるものではなく、リモート端末1が複数ある場合でも、ホスト装置6が複数ある場合でも、前述した各実施の形態を適用でき、同様の作用効果が得られる。
また、リモート端末1の接続先としてホスト装置6が1つの場合を例として説明したが、接続管理サーバ4のユーザ管理情報45Aにおいて、複数のホストIPアドレスを登録すれば複数のホスト装置6に接続できる。なお、ユーザ管理情報45AのホストIPアドレスとして、個々のホスト装置6のIPアドレスを設定してもよいが、サブネットマスクを利用して、接続先となるホストIPアドレスを範囲指定してもよい。
また、第1および第2の実施の形態では、VPNルータ3と接続管理サーバ4とが、別個の装置から構成した場合を例として説明したが、これに限定されるものではなく、例えばVPNルータ3を1つの機能部として接続管理サーバ4内に設けてもよく、逆に接続管理サーバ4を1つの機能としてVPNルータ3内に設けてもよい。また、第3の実施の形態において、接続制御ルータ5を1つの機能部として接続管理サーバ4内に設けてもよく、逆に接続管理サーバ4を1つの機能として接続制御ルータ5内に設けてもよい。
1…リモート端末、11…通信I/F部、12…操作入力部、13…画面表示部、14…入出力I/F部、15…記憶部、16…制御部、2…記録媒体、21…OSプログラム、22…接続制御プログラム、23…リモート通信プログラム、24…接続管理サーバIPアドレス、25…ユーザ情報、3…VPNルータ、31,32…通信I/F部、34…転送制御部、35…記憶部、36…転送処理部、4…接続管理サーバ、41…通信I/F部、42…操作入力部、43…画面表示部、45…記憶部、45A…ユーザ管理情報、45P…プログラム、46…制御部、46A…VPN管理手段、46B…ユーザ認証手段、46C…アドレス割当手段、46D…通信経路設定手段、5…接続制御ルータ、51,52…通信I/F部、54…転送制御部、55…記憶部、56…転送処理部、9…IPネットワーク、91…リモート側VPN、92…ホスト側VPN。
Claims (12)
- 接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、前記IP網に接続されているリモート端末を外部から接続させるリモートアクセスシステムであって、
VPNルータを介して前記IP網に接続された接続管理サーバを備え、
前記接続管理サーバは、
ユーザの識別情報とその接続先となるホスト装置のホストIPアドレスを組として予め記憶する記憶部と、
前記リモート端末からの接続要求に応じて前記IP網を介して当該リモート端末と前記VPNルータと間でリモート側VPNを構築するVPN管理手段と、
前記接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを前記記憶部から取得し、前記リモート側VPNを介した前記リモート端末と前記ホスト装置との通信経路を前記VPNルータおよび前記接続制御ルータに設定する通信経路設定手段と
を有することを特徴とするリモートアクセスシステム。 - 請求項1に記載のリモートアクセスシステムにおいて、
前記VPN管理手段は、前記VPNルータと前記接続制御ルータとの間でホスト側VPNを予め構築し、
通信経路設定手段は、前記通信経路を設定する際、前記リモート側VPNおよび前記ホスト側VPNを介して前記通信経路を設定する
ことを特徴とするリモートアクセスシステム。 - 請求項1に記載のリモートアクセスシステムにおいて、
前記接続ルータは、前記VPNルータを介して前記IP網に接続されている
ことを特徴とするリモートアクセスシステム。 - 請求項1に記載のリモートアクセスシステムにおいて、
前記VPNルータは、前記接続制御ルータからなり、
前記接続管理サーバは、前記接続制御ルータを介して前記IP網に接続されている
ことを特徴とするリモートアクセスシステム。 - 接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、前記IP網に接続されているリモート端末を外部から接続させるリモートアクセス方法であって、
VPNルータを介して前記IP網に接続された接続管理サーバにより、
ユーザの識別情報とその接続先となるホスト装置のホストIPアドレスを組として予め記憶部で記憶する記憶ステップと、
前記リモート端末からの接続要求に応じて前記IP網を介して当該リモート端末と前記VPNルータと間でリモート側VPNを構築するVPN管理ステップと、
前記接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを前記記憶部から取得し、前記リモート側VPNを介した前記リモート端末と前記ホスト装置との通信経路を前記VPNルータおよび前記接続制御ルータに設定する通信経路設定ステップと
を備えることを特徴とするリモートアクセス方法。 - 請求項5に記載のリモートアクセス方法であって、
前記VPN管理ステップは、前記VPNルータと前記接続制御ルータとの間でホスト側VPNを予め構築し、
通信経路設定ステップは、前記通信経路を設定する際、前記リモート側VPNおよび前記ホスト側VPNを介して前記通信経路を設定する
ことを特徴とするリモートアクセス方法。 - 接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、前記IP網に接続されているリモート端末を外部から接続させるリモートアクセスシステムで用いられ、VPNルータを介して前記IP網に接続された接続管理サーバであって、
ユーザの識別情報とその接続先となるホスト装置のホストIPアドレスを組として予め記憶する記憶部と、
前記リモート端末からの接続要求に応じて前記IP網を介して当該リモート端末と前記VPNルータと間でリモート側VPNを構築するVPN管理手段と、
前記接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを前記記憶部から取得し、前記リモート側VPNを介した前記リモート端末と前記ホスト装置との通信経路を前記VPNルータおよび前記接続制御ルータに設定する通信経路設定手段と
を備えることを特徴とする接続管理サーバ。 - 請求項7に記載の接続管理サーバにおいて、
前記VPN管理手段は、前記VPNルータと前記接続制御ルータとの間でホスト側VPNを予め構築し、
通信経路設定手段は、前記通信経路を設定する際、前記リモート側VPNおよび前記ホスト側VPNを介して前記通信経路を設定する
ことを特徴とする接続管理サーバ。 - 接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、前記IP網に接続されているリモート端末を外部から接続させるリモートアクセスシステムで用いられ、VPNルータを介して前記IP網に接続された接続管理サーバのコンピュータに、
ユーザの識別情報とその接続先となるホスト装置のホストIPアドレスを組として予め記憶部で記憶する記憶ステップと、
前記リモート端末からの接続要求に応じて前記IP網を介して当該リモート端末と前記VPNルータと間でリモート側VPNを構築するVPN管理ステップと、
前記接続要求に含まれるユーザ識別情報に対応するホストIPアドレスを前記記憶部から取得し、前記リモート側VPNを介した前記リモート端末と前記ホスト装置との通信経路を前記VPNルータおよび前記接続制御ルータに設定する通信経路設定ステップと
を実行させるプログラム。 - 請求項9に記載のプログラムであって、
前記VPN管理ステップは、前記VPNルータと前記接続制御ルータとの間でホスト側VPNを予め構築し、
通信経路設定ステップは、前記通信経路を設定する際、前記リモート側VPNおよび前記ホスト側VPNを介して前記通信経路を設定する
ことを特徴とするプログラム。 - 接続制御ルータを介してIP網に接続されている閉域ネットワーク内のホスト装置に対して、前記IP網に接続されているリモート端末を外部から接続させる請求項1に記載のリモートアクセスシステムのリモート端末で用いられる記録媒体であって、
VPNルータを介して前記IP網に接続された接続管理サーバのIPアドレスと、
ユーザに固有のユーザIDを含むユーザ情報と、
前記リモート端末のコンピュータで実行されて、前記接続管理サーバIPアドレスを用いて前記接続管理サーバへ接続要求を送信し、前記VPNルータとの間でリモート側VPNを構築する接続制御プログラムと、
前記リモート端末のコンピュータで実行されて、前記リモート側VPNを介して前記ホスト装置との間でリモート通信を行うリモート通信プログラムと
が記録された記録媒体。 - 請求項11に記載の記録媒体において、
前記リモート端末のコンピュータで実行されて、当該リモート端末で通常用いるOSプログラムとは別個に当該リモート端末全体を制御するOSプログラムがさらに記録されており、
前記OSプログラムは、少なくとも前記ホスト装置から受信した各種データに対する当該リモート端末での保存を禁止するステップを有する
ことを特徴とする記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005352066A JP2007158793A (ja) | 2005-12-06 | 2005-12-06 | リモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005352066A JP2007158793A (ja) | 2005-12-06 | 2005-12-06 | リモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007158793A true JP2007158793A (ja) | 2007-06-21 |
Family
ID=38242567
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005352066A Pending JP2007158793A (ja) | 2005-12-06 | 2005-12-06 | リモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007158793A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009031962A (ja) * | 2007-07-26 | 2009-02-12 | Yamaha Corp | ネットワーク管理支援装置およびプログラム |
| JP2011035678A (ja) * | 2009-07-31 | 2011-02-17 | Brother Industries Ltd | 通信システム、通信方法、及び設定管理サーバ |
| JP2011211307A (ja) * | 2010-03-29 | 2011-10-20 | Brother Industries Ltd | Vpnルータ、サーバおよび通信システム |
| JP2012222678A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御システム、およびアクセス制御方法 |
| JP2016029765A (ja) * | 2014-07-25 | 2016-03-03 | 富士ゼロックス株式会社 | 通信システムおよびルーター |
| JP2017076888A (ja) * | 2015-10-15 | 2017-04-20 | 村田機械株式会社 | 中継装置及び中継通信システム |
| JP2020154651A (ja) * | 2019-03-19 | 2020-09-24 | 富士ゼロックス株式会社 | 情報処理装置 |
-
2005
- 2005-12-06 JP JP2005352066A patent/JP2007158793A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009031962A (ja) * | 2007-07-26 | 2009-02-12 | Yamaha Corp | ネットワーク管理支援装置およびプログラム |
| JP2011035678A (ja) * | 2009-07-31 | 2011-02-17 | Brother Industries Ltd | 通信システム、通信方法、及び設定管理サーバ |
| JP2011211307A (ja) * | 2010-03-29 | 2011-10-20 | Brother Industries Ltd | Vpnルータ、サーバおよび通信システム |
| JP2012222678A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御システム、およびアクセス制御方法 |
| JP2016029765A (ja) * | 2014-07-25 | 2016-03-03 | 富士ゼロックス株式会社 | 通信システムおよびルーター |
| JP2017076888A (ja) * | 2015-10-15 | 2017-04-20 | 村田機械株式会社 | 中継装置及び中継通信システム |
| JP2020154651A (ja) * | 2019-03-19 | 2020-09-24 | 富士ゼロックス株式会社 | 情報処理装置 |
| JP7255258B2 (ja) | 2019-03-19 | 2023-04-11 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5090408B2 (ja) | ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 | |
| JP5043455B2 (ja) | 画像形成装置、その制御方法、システム、プログラム及び記憶媒体 | |
| JP4879643B2 (ja) | ネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラム | |
| JP2007158793A (ja) | リモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体 | |
| US7913258B2 (en) | Information processing device and process control method | |
| JP2008098792A (ja) | コンピュータシステムとの暗号化通信方法及びシステム | |
| JP2007156587A (ja) | 電源制御方法およびこれを実現するシステム | |
| JP2008287614A (ja) | 画面出力設定方法、情報処理装置及び情報処理システム | |
| US9118686B2 (en) | Per process networking capabilities | |
| JP2007140956A (ja) | 情報処理システム、管理サーバ、端末、情報処理装置 | |
| CN111049946B (zh) | 一种Portal认证方法、系统及电子设备和存储介质 | |
| JP2006333103A (ja) | 携帯型記憶装置、制御プログラム、及び接続設定方法 | |
| JPWO2008026288A1 (ja) | ネットワーク接続端末認証方法、ネットワーク接続端末認証プログラム及びネットワーク接続端末認証装置 | |
| JP2008090494A (ja) | 環境移行システム、端末装置、情報処理装置、管理サーバ、可搬型記憶媒体 | |
| JP2007025812A (ja) | 端末セキュリティチェックサービス提供方法及びそのシステム | |
| JP2010117855A (ja) | シンクライアントシステム、シンクライアントシステム構成方法、シンクライアントシステムを構成する周辺機器接続装置および計算機 | |
| US20070199065A1 (en) | Information processing system | |
| CN103227804B (zh) | 使用帐户代理模块连接超级用户帐户命令解译器的方法 | |
| JP2009277024A (ja) | 接続制御方法、通信システムおよび端末 | |
| JP2019153913A (ja) | ホームゲートウェイ装置、接続端末アクセス管理方法および接続端末アクセス管理プログラム | |
| JP5554946B2 (ja) | シンクライアントシステム、セッション管理方法、及びプログラム | |
| JP6911723B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
| JP6958176B2 (ja) | 情報処理装置、情報処理システム、制御方法およびプログラム | |
| JP2006324994A (ja) | ネットワークアクセス制御システム | |
| JP2006243828A (ja) | 認証設定情報通知システム |