JP2008028899A - 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法 - Google Patents

通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法 Download PDF

Info

Publication number
JP2008028899A
JP2008028899A JP2006201815A JP2006201815A JP2008028899A JP 2008028899 A JP2008028899 A JP 2008028899A JP 2006201815 A JP2006201815 A JP 2006201815A JP 2006201815 A JP2006201815 A JP 2006201815A JP 2008028899 A JP2008028899 A JP 2008028899A
Authority
JP
Japan
Prior art keywords
server
network
vpn server
vpn
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006201815A
Other languages
English (en)
Other versions
JP4775154B2 (ja
Inventor
Tomohiro Ikakura
知広 猪鹿倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006201815A priority Critical patent/JP4775154B2/ja
Publication of JP2008028899A publication Critical patent/JP2008028899A/ja
Application granted granted Critical
Publication of JP4775154B2 publication Critical patent/JP4775154B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】端末から所属ネットワーク中の情報が外部に漏洩する事態を防止できる通信システムを提供する。
【解決手段】VPNサーバ認証部202は、通信部205を通じて、接続したネットワーク上に存在するVPNサーバ100に、認証要求を送信する。VPNサーバ認証部202は、送信した認証要求に対する、認証応答部101からの応答を受信すると、VPNサーバ100が正規のVPNサーバであり、かつ、所属ネットワークのVPNサーバであるか否かを判断する。正規のVPNサーバであり、かつ、所属ネットワークのVPNサーバであると判断した場合には、ファイアウォール機能204により、全ての通信を許可する。正規のVPNサーバでないと判断したときには、ファイアウォール機能204により、全ての通信を禁止する。
【選択図】図1

Description

本発明は、通信システム、端末装置、VPNサーバ、プログラム、及び、通信方法に関し、更に詳しくは、端末装置とサーバ装置とを含む通信システム、並びに、そのような通信システムにおける端末装置、VPNサーバ、プログラム、及び、通信方法に関する。
VPN(Virtual Private Network)とは、複数のLANを他の通信路を用いて接続し、仮想的に1つのLANとして動作させる技術である。例えば、あるLANに属する機器を外部に持ち出し、その機器をLAN中の他の機器と接続させる場合を考える。この場合、まず、その機器を、LAN中に設置したVPNサーバに接続する。その後、VPNサーバとの間に張った通信路を用いて、LAN内の機器と、VPNサーバに接続した機器との間で通信を行う。
VPN技術に関し、外部に持ち出した機器を外部ネットワークに接続した際に、自動的に所属するLANへとVPNを接続するシステムとして、VPN自動接続システムがある。従来のVPN自動接続システムの一例が、特許文献1に記載されている。特許文献1では、機器をネットワークに接続したときに、その接続したネットワークのアドレス体系を検知し、検知したアドレス体系が、自身が属するLANアドレス体系と異なるときには、外部に持ち出されたと判断して、所属LANに、自動的にVPN接続する。
ところで、VPN接続で所属LANと接続している機器は、所属LAN以外の通信路を通じて所属LANに接続しているため、所属LAN内の機器と直接に通信できることに加えて、そのVPNを接続するために使用している通信路を通じて、所属LAN以外の外部の機器と、直接に通信することが可能である。このような状態では、VPNに接続している機器から、所属LAN中に保存されている情報が外部に漏れる危険性がある。そこで、特許文献1では、VPN接続中は、アプリケーションに対してVPN以外の通信路の使用を禁じることで、情報の漏洩を防ぐ仕組みを用いている。
特開2006−20089号公報
ここで、特許文献1を含めた従来技術では、接続したLANが、所属LANであるか否かを、ネットワークアドレスを用いて判断している。しかしながら、ネットワークのアドレスは、ネットワーク管理者であれば容易に変更することが可能であり、所属LANと同じネットワークアドレスを設定することも容易である。このため、端末が接続したネットワークが、あたかも所属LANであるかのように詐称されたときには、端末は、そのネットワークに接続された任意の機器との間で通信可能であるから、端末から、所属LAN以外の機器に情報が漏洩するおそれがあるという問題がある。
また、従来技術では、端末が接続したネットワークが所属ネットワークであるか否かを、ネットワークアドレスのみで判断するため、判定すべきネットワークが複数ある場合で、ネットワークアドレスが等しいネットワークが存在する場合には、接続したネットワークがどこであるかを判定することが困難である。更に、新たなネットワークを構築した場合にはその情報を、全ての端末に設定する必要があり、設定が手間であるという問題もある。
本発明は、上記従来技術の問題点を解消し、端末を外部に持ち出した場合でも、その端末から所属ネットワーク中の情報が外部に漏洩する事態を防止できる通信システム及び方法、並びに、そのような通信システムで用いられる端末装置、VPNサーバ、及び、プログラムを提供することを目的とする。
また、本発明は、接続したネットワークに応じた通信フィルタリングが実行できる通信システム及び方法、並びに、そのような通信システムで用いられる端末装置、VPNサーバを提供することを目的とする。
上記目的を達成するために、本発明の通信システムは、端末装置と、該端末装置に対してVPN(Virtual Private Network)機能を提供するVPNサーバとを用いた通信システムであって、前記端末装置が接続したネットワーク上に発見したVPNサーバとの間で認証を行い、前記発見したVPNサーバが、正規のVPNサーバであるか否かを判断するサーバ認証部と、前記サーバ認証部によって正規のVPNサーバであると判断されると、前記端末装置に対して、前記接続したネットワークとの間の通信を全て許可するファイアウォール手段とを備えることを特徴とする。
本発明の通信システムでは、端末装置が接続したネットワークを、サーバ認証部が、接続したネットワーク上に発見したVPNサーバが正規のVPNサーバであると判断するか否かによって判断し、正規のVPNサーバであると判断すると、接続したネットワークが端末装置が接続すべきネットワークであると判断して、ファイアウォール手段により、接続したネットワークとの間の通信を許可する。このようにすることで、端末装置が接続したネットワークが、接続すべきネットワークであると確認されたときに、端末装置に対して、接続したネットワーク中の他の機器との間の通信を許可することができ、端末装置から、接続すべきネットワーク外に情報が漏洩する事態を防止できる。
本発明の通信システムでは、前記サーバ認証部は、前記発見したVPNサーバに対して認証を要求し、該認証要求に対する前記VPNサーバからの認証応答を受信すると、該受信した認証応答に基づいて、前記発見したVPNサーバが正規のVPNサーバであるか否かを判断する構成を採用できる。この場合、前記認証応答には、所定の情報を、正規のVPNサーバのみが知り得る情報を用いて暗号化した情報が含まれており、前記VPNサーバ認証部は、前記認証応答に含まれる暗号化された情報を、正規のVPNサーバのみが知り得る情報を用いて正しく解くことができるときには、前記発見したVPNサーバが正規のVPNサーバであると判断する構成を採用できる。正規のVPNサーバのみが知り得る情報としては、VPNサーバが接続する内部側のネットワークのネットワークIDや、システムに共通のIDなどを用いることができる。また、所定の情報には、例えば、端末装置側で発生させたランダムな数値を用いることができる。
本発明の通信システムでは、前記VPNサーバは、外部ネットワークと内部ネットワークとに接続されており、前記外部ネットワークに接続された端末装置に対して、前記内部ネットワークに接続された機器との間の通信を可能にするVPN機能を提供する構成を採用することができる。
本発明の通信システムは、前記端末装置が接続したネットワーク上に存在するVPNサーバを探索するサーバ探索手段を更に備え、前記サーバ認証部は、前記サーバ探索部が発見したVPNサーバに対して認証要求を送信する構成を採用できる。この場合、前記サーバ探索手段は、前記接続したネットワークにサーバ探索のためのメッセージを送信し、該サーバ探索メッセージに対する探索応答メッセージを受信すると、前記探索応答メッセージの送信元のVPNサーバを、前記接続したネットワーク上に存在するVPNサーバとして発見する構成を採用できる。このようにすることで、端末装置は、接続したネットワーク上に存在するVPNサーバを見つけ出すことができる。
本発明の通信システムでは、前記VPNサーバが、前記内部ネットワークを介して前記サーバ探索メッセージを受信すると、該サーバ探索メッセージの送信元の端末装置に、前記探索応答メッセージを送信する探索応答部を備える構成を採用できる。
本発明の通信システムでは、前記サーバ探索部が、前記接続したネットワーク上にVPNサーバを発見できないと判断すると、前記接続したネットワークとは異なるネットワーク上に存在するVPNサーバとの間で仮想通信路を生成し、該生成した仮想通信路を用いて、当該VPNサーバが接続する内部ネットワークに接続するVPN接続部を更に備える構成を採用できる。端末装置が接続したネットワーク上にVPNサーバが存在しない場合には、接続したネットワークは接続すべきネットワークとは異なるネットワークであることを意味している。この場合には、VPNサーバに接続し、VPNサーバの内部ネットワークである、端末装置が接続すべきネットワークに接続することで、端末装置は、接続すべきネットワーク中の他の機器との間で通信を行うことができる。
本発明の通信システムでは、前記VPN接続部は、前記サーバ認証手段が正規のVPNサーバではないと判断すると、前記接続したネットワークとは異なるネットワーク上に存在するVPNサーバにアクセスして、該VPNサーバとの間で仮想通信路を生成し、該生成した仮想通信路を用いて、当該VPNサーバが接続する前記内部ネットワークに接続する構成を採用できる。接続したネットワーク上のVPNサーバが正規のVPNサーバでないということは、端末装置は、接続すべきネットワークとは異なるネットワークに接続していることを意味する。この場合には、VPNサーバに接続し、VPNサーバの内部ネットワークである、端末装置が接続すべきネットワークに接続することで、端末装置は、接続すべきネットワーク中の他の機器との間で通信を行うことができる。
本発明の通信システムでは、前記VPN接続部は、前記サーバ認証手段が正規のVPNサーバであると判断すると、該正規のVPNサーバが前記端末装置に対してあらかじめ設定された所属ネットワーク上に存在するVPNサーバであるか否かを判断し、前記所属ネットワーク上に存在するVPNサーバではないと判断すると、前記接続したネットワーク上に存在するVPNサーバとの間で仮想通信路を生成すると共に、前記所属ネットワーク上のVPNサーバにアクセスして、該所属ネットワーク上のVPNサーバと、前記接続したネットワークに存在するVPNサーバとの間で仮想通信路を生成し、前記生成した双方の仮想通信路を用いて、前記所属ネットワークに接続する構成を採用できる。接続したネットワーク上のVPNサーバが、正規のVPNサーバではあるが、所属ネットワークのVPNサーバでない場合には、接続したネットワーク上のVPNサーバを介して、所属ネットワーク上のVPNサーバに接続し、所属ネットワークに接続する。このようにすることで、端末装置は、所属ネットワーク中の他の機器との間で通信を行うことができる。
本発明の通信システムでは、前記ファイアウォール手段は、前記端末装置に対して、前記VPNサーバとの間で生成された仮想通信路を用いた通信のみを許可し、その他の通信を禁止する構成を採用できる。この場合、接続したネットワークに対する通信が禁止されることで、端末装置から、VPNサーバを介して接続したネットワーク中の情報が漏洩する事態を防止できる。
本発明の通信システムでは、ファイアウォール手段は、前記サーバ認証手段が正規のVPNサーバではないと判断すると、前記端末装置に対して、全ての通信を禁止する構成を採用できる。接続したネットワーク上にVPNサーバが存在するが、そのVPNサーバが正規のVPNサーバでないということは、接続したネットワークは、端末装置が接続すべきネットワークであると詐称されていると考えられる。この場合、ファイアウォール手段により、全ての通信を禁止することで、接続したネットワークに端末装置内の情報が漏洩する事態を防止することができる。
本発明の端末装置は、端末装置に対してVPN(Virtual Private Network)機能を提供するVPNサーバを含む通信システムで使用される端末装置であって、前記端末装置が接続したネットワーク上に発見したVPNサーバとの間で認証を行い、前記発見したVPNサーバが、正規のVPNサーバか否かを判断するサーバ認証部と、前記サーバ認証部によって正規のVPNサーバであると判断されると、前記端末装置に対して、前記接続したネットワークとの間の通信を全て許可するファイアウォール手段とを備えることを特徴とする。
本発明の端末装置では、接続したネットワークを、サーバ認証部が、接続したネットワーク上に発見したVPNサーバが正規のVPNサーバであると判断するか否かによって判断し、正規のVPNサーバであると判断すると、接続したネットワークが端末装置が接続すべきネットワークであると判断して、ファイアウォール手段により、接続したネットワークとの間の通信を許可する。このようにすることで、端末装置が接続したネットワークが、接続すべきネットワークであると確認されたときに、接続したネットワーク中の他の機器との間の通信を開始することができ、端末装置から、接続すべきネットワーク外に情報が漏洩する事態を防止できる。
本発明の端末装置では、前記サーバ認証部は、前記接続したネットワーク上に発見したVPNサーバに対して認証を要求し、該認証要求に対する前記VPNサーバからの認証応答を受信すると、該受信した認証応答に基づいて、前記発見したVPNサーバが正規のVPNサーバであるか否かを判断する構成を採用できる。この場合、前記認証応答には、所定の情報を、正規のVPNサーバのみが知り得る情報を用いて暗号化した情報が含まれており、前記VPNサーバ認証部は、前記認証応答に含まれる暗号化された情報を、正規のVPNサーバのみが知り得る情報を用いて正しく解くことができるときには、前記発見したVPNサーバが正規のVPNサーバであると判断する構成を採用できる。正規のVPNサーバのみが知り得る情報としては、VPNサーバが接続する内部側のネットワークのネットワークIDや、システムに共通のIDなどを用いることができる。また、所定の情報には、例えば、端末装置側で発生させたランダムな数値を用いることができる。
本発明の端末装置は、前記端末装置が接続したネットワーク上に存在するVPNサーバを探索するサーバ探索手段を更に備え、前記サーバ認証部は、前記サーバ探索部が発見したVPNサーバに対して認証要求を送信する構成を採用できる。
本発明の端末装置は、前記サーバ探索部が、前記接続したネットワーク上にVPNサーバが存在しないと判断すると、前記接続したネットワークとは異なるネットワーク上に存在するVPNサーバとの間で仮想通信路を生成し、該生成した仮想通信路を用いて、前記VPNサーバとの間でVPN通信を行うVPN接続部を更に備える構成を採用できる。端末装置が接続したネットワーク上にVPNサーバが存在しない場合には、接続したネットワークは接続すべきネットワークとは異なるネットワークであることを意味している。この場合には、VPNサーバに接続し、VPNサーバの内部側のネットワークである、端末装置が接続すべきネットワークに接続することで、端末装置は、接続すべきネットワーク中の他の機器との間で通信を行うことができる。
本発明の端末装置では、前記VPN接続部は、前記サーバ認証手段が正規のVPNサーバであると判断すると、該正規のVPNサーバが前記端末装置に対してあらかじめ設定された所属ネットワーク上に存在するVPNサーバであるか否かを判断し、前記所属ネットワーク上に存在するVPNサーバではないと判断すると、前記接続したネットワーク上に存在するVPNサーバとの間で仮想通信路を生成すると共に、前記所属ネットワーク上のVPNサーバにアクセスして、該所属ネットワーク上のVPNサーバと、前記接続したネットワークに存在するVPNサーバとの間で仮想通信路を生成し、前記生成した双方の仮想通信路を用いて、前記所属ネットワークに接続する構成を採用できる。接続したネットワーク上のVPNサーバが、正規のVPNサーバではあるが、所属ネットワークのVPNサーバでない場合には、接続したネットワーク上のVPNサーバを介して、所属ネットワーク上のVPNサーバに接続し、所属ネットワークに接続する。このようにすることで、端末装置は、所属ネットワーク中の他の機器との間で通信を行うことができる。
本発明の端末装置では、前記ファイアウォール手段は、前記端末装置に対して、前記生成された仮想通信路を用いた通信のみを許可し、その他の通信を禁止する構成を採用できる。この場合、接続したネットワークに対する通信が禁止されることで、端末装置から、VPNサーバを介して接続したネットワーク中の情報が漏洩する事態を防止できる。
本発明の端末装置では、ファイアウォール手段は、前記サーバ認証手段が正規のVPNサーバではないと判断すると、前記端末装置に対して、全ての通信を禁止する構成を採用できる。接続したネットワーク上にVPNサーバが存在するが、そのVPNサーバが正規のVPNサーバでないということは、接続したネットワークは、端末装置が接続すべきネットワークであると詐称されていると考えられる。この場合、ファイアウォール手段により、全ての通信を禁止することで、接続したネットワークに端末装置内の情報が漏洩する事態を防止することができる。
本発明のVPNサーバは、外部ネットワークと内部ネットワークとに接続され、前記外部ネットワークに接続された端末装置に対して、前記内部ネットワークに接続された機器との間の通信を可能にするVPN(Virtual Private Network)機能を提供するVPNサーバであって、前記内部ネットワークを介して、端末装置によって送信された認証要求を受信すると、該受信した認証要求の端末装置に、前記認証要求に対する認証応答を送信する認証応答部を備えることを特徴とする。
本発明のVPNサーバは、内部ネットワーク側に接続された端末装置からの認証要求に対して認証応答を送信し、端末装置に対して、端末装置が接続した内部ネットワークが、正規のVPNサーバが接続されたネットワークであることを保証する。このようにすることで、端末装置側は、接続したネットワークが、正規のVPNサーバが存在するネットワーク、つまりは接続すべきネットワークであることを確認でき、その後、接続したネットワークとの通信を開始することで、接続すべきネットワークであることが確認されたネットワーク中の他の機器との間で通信を行うことができる。
本発明のVPNサーバでは、前記認証応答部は、正規のVPNサーバのみが知り得る情報を用いて暗号化した情報を、前記認証応答に含めて送信する構成を採用できる。この場合、端末装置側は、認証応答に含まれる暗号化された情報を、正規のVPNサーバのみが知り得る情報を用いて解くことができるか否かによって、VPNサーバが正規のVPNサーバであるか否かを判段できる。
本発明のVPNサーバは、前記内部ネットワークを介して、端末装置によって送信されたサーバ探索のためのメッセージを受信すると、該サーバ探索メッセージの送信元の端末装置に、前記サーバ探索メッセージに対する応答である探索応答メッセージを送信する探索応答部を更に備える構成を採用できる。この場合、端末装置側は、探索応答部からの応答を受信することで、接続したネットワーク上に存在するVPNサーバを見つけ出すことができる。
本発明の通信方法は、サーバ装置と、ファイアウォール手段を有する端末装置とを用いた通信方法であって、前記端末装置が、接続したネットワークに発見したサーバ装置に対して、認証を要求するステップと、前記サーバ装置が、前記認証の要求に対する応答を返信するステップと、前記端末装置が、前記サーバ装置からの応答に基づいて、前記応答を返信したサーバ装置が正規のサーバ装置であるか否かを判断するステップと、前記端末装置が、前記応答を返信したサーバ装置が正規のサーバ装置であると判断すると、前記ファイアウォール手段に対して、前記端末装置と該端末装置が接続したネットワークとの間の全ての通信を許可するように指示するステップとを有することを特徴とする。
本発明の通信システムでは、端末装置とネットワーク上に発見したサーバ装置との間で認証を行い、その認証の結果、発見したサーバ装置が正規のサーバ装置であると判断されるか否かによって、端末装置が接続したネットワークを判断する。正規のサーバ装置であると判断されたときには、接続したネットワークが、端末装置が接続すべきネットワークであると判断して、ファイアウォール手段により、接続したネットワークとの間の通信を許可する。このようにすることで、端末装置が接続したネットワークが、接続すべきネットワークであると確認されたときに、端末装置に対して、接続したネットワーク中の他の機器との間の通信を許可することができ、端末装置から、接続すべきネットワーク外に情報が漏洩する事態を防止できる。
本発明の通信方法では、前記サーバ装置が、外部ネットワークと内部ネットワークとに接続され、前記外部ネットワークに接続された端末装置に対して、前記内部ネットワークに接続された機器との間の通信を可能にするVPN(Virtual Private Network)機能を提供するVPNサーバである構成を採用できる。
本発明の通信方法は、前記認証を要求するステップに先立って、前記端末装置が、接続したネットワーク中に存在するサーバ装置を探索するステップを有する構成を採用できる。この場合、端末装置は、接続したネットワーク上に存在するVPNサーバを見つけ出すことができる。
本発明の通信方法は、接続したネットワーク中に前記サーバ装置が発見されないとき、前記端末装置が、前記接続したネットワークとは異なるネットワーク上に存在するサーバ装置との間で仮想通信路を生成し、該生成した仮想通信路を用いて、当該サーバ装置が接続している前記内部ネットワークに接続するステップと、前記端末装置が、前記ファイアウォール手段に対して、前記生成した仮想通信路による通信のみを許可するように指示するステップとを有する構成を採用できる。端末装置が接続したネットワーク上にVPNサーバが存在しない場合には、接続したネットワークは接続すべきネットワークとは異なるネットワークであることを意味している。この場合には、端末装置から、接続したネットワーク外のVPNサーバに接続し、VPNサーバの内部ネットワークである、端末装置が接続すべきネットワークに接続することで、端末装置と、接続すべきネットワーク中の他の機器との間の通信を可能とすることができる。また、その際、ファイアウォール手段によって、仮想通信路に対する通信のみを許可し、接続したネットワークに対するその他の通信を禁止することで、端末装置から、VPNサーバを介して接続したネットワーク中の情報が漏洩する事態を防止できる。
本発明の通信方法は、前記端末装置が、前記発見したサーバ装置が正規のサーバ装置でないと判断すると、前記ファイアウォール手段に対して、前記端末装置と該端末装置が接続したネットワークとの間の全ての通信を禁止するように指示するステップを有する構成を採用できる。接続したネットワーク上にVPNサーバが存在するが、そのVPNサーバが正規のVPNサーバでないということは、接続したネットワークは、端末装置が接続すべきネットワークであると詐称されていると考えられる。この場合、ファイアウォール手段により、全ての通信を禁止することで、接続したネットワークに端末装置内の情報が漏洩する事態を防止することができる。
本発明の通信方法は、前記端末装置が、前記発見したサーバ装置が正規のサーバ装置でないと判断すると、前記接続したネットワークとは異なるネットワーク上に存在するサーバ装置にアクセスし、該サーバ装置との間で仮想通信路を生成し、該生成した仮想通信路を用いて、当該サーバ装置の前記内部ネットワークに接続するステップと、前記端末装置が、前記ファイアウォール手段に対して、前記生成した仮想通信路による通信のみを許可するように指示するステップとを有する構成を採用できる。接続したネットワーク上のVPNサーバが正規のVPNサーバでないということは、端末装置は、接続すべきネットワークとは異なるネットワークに接続していることを意味する。この場合には、端末装置が接続したネットワーク外のVPNサーバに接続し、VPNサーバの内部ネットワークである、端末装置が接続すべきネットワークに接続することで、端末装置は、接続すべきネットワーク中の他の機器との間で通信を行うことができる。また、その際、ファイアウォール手段によって、仮想通信路に対する通信のみを許可し、接続したネットワークに対するその他の通信を禁止することで、端末装置から、VPNサーバを介して接続したネットワーク中の情報が漏洩する事態を防止できる。
本発明の通信方法は、前記端末装置が、前記発見したサーバ装置が正規のサーバ装置であり、かつ、該サーバ装置が端末装置に対してあらかじめ設定された所属ネットワークに接続されたサーバ装置ではないと判断すると、前記接続したネットワークに存在するサーバ装置との間で仮想通信路を生成するステップと、前記端末装置が、前記所属ネットワークに存在するサーバ装置にアクセスし、該所属ネットワークのサーバ装置と、前記接続したネットワークに存在するサーバ装置との間で仮想通信路を生成するステップと、前記端末装置が、前記生成した仮想通信路を用いて、前記所属ネットワークに接続するステップと、前記端末装置が、前記ファイアウォール手段に対して、前記生成した仮想通信路による通信のみを許可するように指示するステップとを有する構成を採用できる。接続したネットワーク上のVPNサーバが、正規のVPNサーバではあるが、所属ネットワークのVPNサーバでない場合には、接続したネットワーク上のVPNサーバを介して、所属ネットワーク上のVPNサーバに接続し、所属ネットワークに接続する。このようにすることで、端末装置は、所属ネットワーク中の他の機器との間で通信を行うことができる。また、その際、ファイアウォール手段によって、仮想通信路に対する通信のみを許可し、接続したネットワークに対するその他の通信を禁止することで、端末装置から、VPNサーバを介して接続したネットワーク中の情報が漏洩する事態を防止できる。
本発明の第1の視点のプログラムは、端末装置に対してVPN(Virtual Private Network)機能を提供するVPNサーバを含む通信システムで使用されるプログラムであって、前記端末装置に、前記端末装置が接続したネットワーク上に発見された存在するVPNサーバが正規のVPNサーバか否かを判断する処理と、前記VPNサーバが正規のVPNサーバであると判断すると、前記端末装置に対して、前記接続したネットワークとの間の通信を全て許可する処理とを実行させることを特徴とする。
本発明の第1の視点のプログラムでは、前記VPNサーバの認証処理が、前記接続したネットワーク上に存在するVPNサーバに対して認証を要求する処理と、前記認証要求に対する前記VPNサーバからの認証応答を受信し、該受信した認証応答に基づいて、前記VPNサーバが正規のVPNサーバであるか否かを判断する処理とを含む構成を採用できる。
本発明の第1の視点のプログラムでは、前記VPNサーバの認証処理に先立って、前記端末装置に、前記端末装置が接続したネットワーク上に存在するVPNサーバを探索する処理を実行させる構成を採用できる。
本発明の第1の視点のプログラムは、前記VPNサーバを探索する処理で、前記接続したネットワーク上にVPNサーバが発見できないと判断すると、前記端末装置に、前記接続したネットワーク外に存在するVPNサーバとの間で仮想通信路を生成し、該生成した仮想通信路を用いて、前記VPNサーバとの間でVPN通信を行う処理を更に実行させる構成を採用できる。
本発明の第1の視点のプログラムは、前記VPNサーバの認証処理で、正規のVPNサーバであると判断した場合には、前記端末装置に、前記正規のVPNサーバが前記端末装置に対してあらかじめ設定された所属ネットワーク上に存在するVPNサーバであるか否かを判断する処理と、前記所属ネットワーク上に存在するVPNサーバではないと判断したときには、前記接続したネットワーク上に存在するVPNサーバとの間で仮想通信路を生成すると共に、前記所属ネットワーク上のVPNサーバにアクセスして、該所属ネットワーク上のVPNサーバと、前記接続したネットワークに存在するVPNサーバとの間で仮想通信路を生成し、前記生成した双方の仮想通信路を用いて、前記所属ネットワークに接続する処理を更に実行させる構成を採用できる。
本発明の第1の視点のプログラムでは、前記仮想通信路の生成後、前記コンピュータに、前記端末装置に対して、前記生成された仮想通信路を用いた通信のみを許可し、その他の通信を禁止する処理を実行させる構成を採用できる。
本発明の第1の視点のプログラムでは、前記VPNサーバの認証処理で、正規のVPNサーバではないと判断した場合には、前記端末装置に、該端末装置と、前記接続したネットワークとの間の全ての通信を禁止する処理を実行させる構成を採用できる。
本発明の第2の視点のプログラムは、外部ネットワークと内部ネットワークとに接続され、前記外部ネットワークに接続された端末装置に対して、前記内部ネットワークに接続された機器との間の通信を可能にするVPN(Virtual Private Network)機能を提供するVPNサーバを含む通信システムで用いられるプログラムであって、前記VPNサーバに、前記内部ネットワークを介して、端末装置によって送信されたサーバ探索のためのメッセージを受信すると、該サーバ探索メッセージの送信元の端末装置に、前記サーバ探索メッセージに対する応答である探索応答メッセージを送信する処理と、前記内部ネットワークを介して、端末装置によって送信された認証要求を受信すると、該受信した認証要求の端末装置に、前記認証要求に対する認証応答を送信する処理を実行させることを特徴とする。
本発明の第2の視点のプログラムは、前記認証応答を送信する処理では、所定の情報を、正規のVPNサーバのみが知り得る情報を用いて暗号化し、該暗号化した情報を認証応答に含める構成を採用できる。
本発明の通信システム、端末装置、プログラム、及び、通信方法では、VPNサーバ(サーバ装置)が正規のサーバであると判断されるか否かによって、端末装置が接続したネットワークを判断し、正規のサーバであると判断されたときには、接続したネットワークが、端末装置が接続すべきネットワークであると判断して、ファイアウォール手段により、接続したネットワークとの間の通信を許可する。このようにすることで、端末装置が接続したネットワークが、接続すべきネットワークであると確認されたときに、端末装置に対して、接続したネットワーク中の他の機器との間の通信を許可することができ、端末装置から、接続すべきネットワーク外に情報が漏洩する事態を防止できる。
本発明のVPNサーバ、及び、プログラムは、内部ネットワーク側に接続された端末装置からの認証要求に対して認証応答を送信し、端末装置に対して、端末装置が接続した内部ネットワークが、正規のVPNサーバが接続されたネットワークであることを保証する。このようにすることで、端末装置側は、接続したネットワークが、正規のVPNサーバが存在するネットワーク、つまりは接続すべきネットワークであることを確認でき、その後、接続したネットワークとの通信を開始することで、接続すべきネットワークであることが確認されたネットワーク中の他の機器との間で通信を行うことができる。
以下、図面を参照し、本発明の実施の形態を詳細に説明する。図1は、本発明の第1実施形態のVPN自動接続システムの構成を示している。VPN自動接続システム10は、VPN通信を実現するVPNサーバ100と、移動端末200とを有する。VPNサーバ100は、例えば、ワークステーションやパーソナルコンピュータ等のコンピュータシステムとして構成され、移動端末200は、例えばノート型PCや携帯型端末装置として構成される。VPNサーバ100は、システムの管理対象となる内部ネットワーク400と、外部ネットワーク401とに接続されている。内部ネットワークとは、ある組織、例えば会社などによって管理され、外部と隔離されたネットワークである。外部ネットワークは、例えばインターネットである。内部ネットワーク400には、VPNサーバ100以外にもプリンタ、DHCPサーバ、その他各種サーバ、PCなどの内部機器300が接続されている。
移動端末200は、VPNサーバ探索部201、VPNサーバ認証部202、VPN接続部203、ファイアウォール機能204、通信部205、及び、通信隠蔽部206を有する。また、アプリケーション207を動作させる機能を有する。ファイアウォール機能204は、通信の可否を、宛先のアドレスやポート番号によって制限する機能を持つ。通信部205は、ネットワークに接続し、ネットワークに接続された他の機器、例えばVPNサーバ100や内部機器300と実際に通信する機能を有する。通信隠蔽部206は、アプリケーション207が通信機能を使うためのインタフェースを提供する機能を持つ。例えば、PCを例にとると、通信部205は、イーサカード等に対応し、通信隠蔽部206は、OSの通信機能に対応する。アプリケーション207は、移動端末200上の機能を利用して動作するアプリケーションであり、通信隠蔽部206を通じて、ネットワークに接続された機器と通信する。
VPNサーバ探索部201は、移動端末200が接続するネットワーク(LAN)に、VPNサーバ100が接続されているか否かを探索する。VPNサーバ探索部201は、例えば、LAN中にサーバ探索のメッセージを送信し、このメッセージに対するVPNサーバ100からの応答の有無により、VPNサーバ100がLAN中に存在するか否かを判定する。VPNサーバ認証部202は、VPNサーバ探索部201によって発見されたVPNサーバ100に対して、認証要求のメッセージを送信する。VPNサーバ認証部202は、送信したメッセージに対する応答を受け取ると、その内容をチェックして、応答が正規のVPNサーバからなされたことや、応答に含まれるVPNサーバ情報が正規のものであることを確認する。
VPN接続部203は、移動端末200が外部に持ち出されて外部ネットワーク401に接続されているときに、VPNサーバ100を介して、内部ネットワーク400に接続する機能を持つ。具体的には、VPN接続部203は、VPNサーバ100と接続して、移動端末200と内部ネットワーク400との通信を中継するトンネルを生成し、通信隠蔽部206に生成したトンネルを登録することで、アプリケーション207が、通常の通信部205の代わりとして利用できるようにする。
VPNサーバ100は、認証応答部101、通信中継部102、探索応答部103、外部接続部104、及び、内部接続部105を有する。探索応答部103は、移動端末200のVPNサーバ探索部201が発行するサーバ探索のメッセージを受信すると、VPNサーバであることを示す情報を含む応答メッセージを移動端末200に送信する機能を持つ。認証応答部101は、移動端末200に対して、VPNサーバ100の素性を保障する機能を提供する。具体的には、認証応答部101は、移動端末200のVPNサーバ認証部202から認証要求のメッセージを受信すると、VPNサーバ100以外が作成できない形式で暗号化された、あらかじめVPNサーバ100に対して設定されたVPNサーバ情報を含む応答メッセージを、VPNサーバ認証部202に返信する。通信中継部102は、外部接続部104と内部接続部105との中継を行い、外部ネットワーク401に接続された移動端末200と、内部ネットワーク400に接続された移動端末200又は内部機器300との通信を中継する機能を持つ。
図2は、VPN自動接続システムの動作手順を示している。移動端末200は、通信部205の状態を調査し、ネットワークに接続されているか否かをチェックする(ステップA01)。ネットワークに接続されていないときには、引き続き、通信部205の状態の調査を行う。ネットワークに接続されているときには、ネットワークからDHCP等によりIPアドレスを取得するなどして、ネットワークとの間で通信を行うための準備を行う。ファイアウォール機能204は、ネットワーク接続後、VPNサーバ探索のための通信以外の通信を禁止する(ステップA02)。
VPNサーバ探索部201は、VPNサーバ探索用のメッセージを、通信部205を通じてネットワークに向けて送信し、VPNサーバ100からの応答メッセージの到着を待つ(ステップA03)。VPNサーバ100が同一ネットワーク内に存在する場合、そのVPNサーバの探索応答部103は、応答メッセージを返信する。VPNサーバ探索部201は、VPNサーバ100からの応答メッセージの有無により、同一ネットワーク内にVPNサーバ100が存在するか否かを判断する(ステップA04)。ステップA04では、VPNサーバ探索部201は、VPNサーバ100からの応答メッセージを受信すると、同一ネットワーク内にVPNサーバ100が設置されていると判断する。また、所定時間内に、VPNサーバ100からの応答メッセージを受信できない場合には、同一ネットワーク内にVPNサーバ100が設置されていないと判断する。
ステップA04で、同一ネットワーク内にVPNサーバ100が存在すると判断された場合、VPNサーバ認証部202は、応答メッセージを送信したVPNサーバ100に対して、認証メッセージを送信する(ステップA05)。VPNサーバ100の認証応答部101は、移動端末200からの認証メッセージを受信すると、受信したメッセージと、VPNサーバ自身が持つキーに基づいて、自身の情報を暗号化し、その暗号化された情報を含む認証応答メッセージを、VPNサーバ認証部202に向けて送信する。VPNサーバ認証部202は、認証応答メッセージを受信すると、受信した認証応答メッセージに含まれる暗号化された情報の復号化し、認証応答メッセージを送信したVPNサーバ100が、正規のVPNサーバであるか否かを判断する(ステップA06)。
ステップA06では、暗号化された情報が正しく復号化でき、かつ、その内容が暗号化方法と正しく合っていれば、認証応答メッセージを送信したVPNサーバ100が、正規のVPNサーバであると判断する。VPNサーバ認証部202は、正規のVPNサーバであると判断すると、メッセージの内容を参照して、VPNサーバ100の設置場所が、あらかじめ移動端末200に対して設定された所属ネットワークと一致するか否かを判断する(ステップA07)。ステップA06で正規のVPNサーバであると判断され、かつ、ステップA07で、VPNサーバ100の設置場所が、所属ネットワークと一致すると判断された場合には、ファイアウォール機能204は、全ての通信を許可する(ステップA08)。ステップA06で正規のVPNサーバでないと判断され、或いは、ステップA07で所属ネットワークと一致しないと判断された場合には、ファイアウォール機能204は、全ての通信を禁止する(ステップA14)。
ステップA04で、接続したネットワーク内にVPNサーバ100が存在しないと判断された場合には、あらかじめ設定された、所属ネットワーク内のVPNサーバ100に対して遠隔での接続を試みる。この処理では、まず、ファイアウォール機能204により、所属ネットワークに接続されたVPNサーバ100の外部接続部104に対するVPN接続部203の通信のみを許可し、それ以外の通信を禁止する(ステップA09)。次いで、VPN接続部203により、インターネット等の公衆網(図1における外部ネットワーク401)を通じて、VPNサーバ100への通信を試みる(ステップA10)。所属ネットワークに接続されているVPNサーバ100へ接続するための情報、例えばインターネットであればIPアドレス等の情報は、あらかじめ移動端末200に設定されているものとする。
移動端末200は、所属ネットワークのVPNサーバ100に接続できたか否かを判断する(ステップA11)。接続できた場合には、認証等を行って、認証に成功すると、VPN接続部203と、VPNサーバ100の通信中継部102との間に、仮想通信路(中継トンネル通信路)を生成し、通信隠蔽部206から利用可能な状態とする(ステップA12)。その後、ファイアウォール機能204は、仮想通信路による通信のみを通信可能とする(ステップA13)。アプリケーション207は、仮想通信路を通じて、所属ネットワーク(図1における内部ネットワーク400)に接続された他の移動端末200や内部機器300と通信を行う。ステップA11で、所属ネットワークのVPNサーバ100に接続できないと判断された場合には、ステップA14へ移行して、ファイアウォール機能204により、全ての通信を禁止する。
本実施形態では、移動端末200は、VPNサーバ100との間で認証を行うことにより、接続したネットワークが、所属ネットワークと一致するか否かを判定し、接続したネットワークが所属ネットワーク(内部ネットワーク400)と判定されたときには、ファイアウォール機能204により、アプリケーション207によるネットワークに対する通信を許可する。接続したネットワークが所属ネットワークでないときには、外部ネットワーク401を通じて所属ネットワーク上に設置されたVPNサーバ100へ接続し、仮想通信路を用いて所属ネットワークに接続することを試みる。この接続に成功した場合には、ファイアウォール機能204によって、仮想通信路に対する通信のみを許可し、接続に失敗したときには、ファイアウォール機能204により、全ての通信を禁止する。このように、ファイアウォール機能204により、接続したネットワークに応じた通信フィルタリングを実行することで、移動端末200に対して、所属ネットワーク内に機器に対する通信のみが許可される状態を実現することができ、所属ネットワーク外の機器と通信することで情報漏洩が起こる事態を防ぐことができる。
また、本実施形態では、移動端末200が接続したネットワーク内にVPNサーバ100が存在した場合には、暗号化技術を用いて、そのVPNサーバ100が正規のものであり、かつ、その設置場所が所属ネットワークであることを確認し、接続したネットワークが、所属ネットワークであることを確認した後に、アプリケーション207に対して通信を許可する。このようにすることで、所属ネットワーク以外のネットワークを、所属ネットワークと詐称することを防ぐことができ、情報漏洩を防止できる。
以下、実施例を用いて説明する。図3は、第1実施例のVPN自動接続システムの構成を示している。ノートPC510、VPNサーバ530、サーバ540、及び、プリンタ550は、スイッチ560に接続されている。スイッチ560は、図1における内部ネットワーク400に相当するネットワークAを実現する。ノートPC510は、図1における移動端末200に相当し、VPNサーバ530は、図1におけるVPNサーバ100に相当する。また、サーバ540及びプリンタ550は、それぞれ図1における内部機器300に相当する。
VPNサーバ530上では、VPNサーバ用ソフトウェア531が動作している。VPNサーバ用ソフトウェア531は、図1の認証応答部101、通信中継部102、及び、探索応答部103に相当する認証応答機能、探索応答機能、及び、通信中継機能を実現する。VPNサーバ530は、2つのイーサ端子を有し、そのうちの一方(図1の内部接続部105に相当)は内部ネットワークであるネットワークAに接続され、他方(外部接続部104に相当)は外部ネットワークであるインターネット570に接続される。VPNサーバ用ソフトウェア531は、内部ネットワークに接続されたイーサ端子側に、探索応答機能を提供するためのポートを開いている。
ノートPCは、移動端末として、システム中に複数存在する。ノートPC510は、内部ネットワークであるネットワークAに接続されたノートPCである。ノートPC520は、外部に持ち出されてインターネット570に直接に接続されたノートPCである。ノートPC510、520は、VPNクライアント用ソフトウェア511、521と、アプリケーションA512、522と、アプリケーションB513、523とを有する。ノートPC510、520は、自身に割り振られるIPアドレスとして、固定的なアドレスを持つのではなく、接続したネットワークに設置されたDHCPサーバから自動的に取得する。
VPNクライアント用ソフトウェア511、521は、図1のVPNサーバ探索部201、VPNサーバ認証部202、VPN接続部203、及び、ファイアウォール機能204に相当するVPNサーバ探索機能、VPNサーバ認証機能、VPN接続機能、及び、ファイアウォール機能を持つ。VPNクライアント用ソフトウェア511、521のファイアウォール機能は、ネットワーク初期化時では、DHCP通信のみを許可する。DHCPによるIPアドレスの取得後は、DHCP通信も禁止状態とし、VPNサーバ探索機能が用いる通信のみを許可する。
VPNクライアント用ソフトウェア511、521は、ネットワークが利用できる状態となると、ブロードキャストを用いて、ネットワークに接続された全ての機器に対して、VPNサーバ探索メッセージを送信する。ネットワーク内のVPNサーバ530以外の機器は、VPNサーバ探索メッセージを受信しても、このメッセージを無視し、特に何もしない。VPNサーバ530は、内部ネットワーク側からVPNサーバ探索メッセージを受信すると、VPNサーバ用ソフトウェア531の探索応答機能により、受信したメッセージの発行元に対して、探索応答メッセージを送信する。
ノートPC510は、ネットワークAに接続されているため、送信したVPNサーバ探索メッセージに対するVPNサーバ530の探索応答メッセージを受信する。ノートPC510のVPNクライアント用ソフトウェア511は、探索応答メッセージを受信すると、VPNサーバ認証機能により、応答メッセージの発行元に対して、認証用メッセージを送信する。この認証用メッセージは、ランダムに生成した数値を含む。VPNサーバ用ソフトウェア531は、認証用メッセージを受信すると、受信した認証用メッセージに含まれる数値を、自身が所属するネットワークが持つ固有のIDを用いて暗号化し、その暗号化した情報を、認証応答メッセージとしてVPNクライアント用ソフトウェア511に通知する。
VPNクライアント用ソフトウェア511は、認証応答メッセージに含まれる暗号化された情報を、自身が所属するネットワークが持つ固有IDを用いて復号化する。復号化した数値が、認証用メッセージとして送信した数値と一致すれば、認証応答メッセージを送信したVPNサーバ530が、正規、かつ、ノートPCが所属するネットワークに接続されたものであると判断できる。このことは、ノートPCが接続したネットワークが、ノートPCが所属するネットワーク、すなわち内部ネットワークであるということを意味している。この場合には、VPN接続の必要はなく、VPNクライアント用ソフトウェア511のファイアウォール機能は、全ての通信を許可する。これにより、ノートPC510上で動作するアプリケーションA512及びアプリケーションB513は、ネットワーク接続された他の機器、図3ではサーバ540及びプリンタ550との間で通信を行うことができる。
一方、インターネット570に接続されたノートPC520は、VPNサーバ530が探索要求メッセージを受信できないため、それに対する探索応答メッセージを受信しない。探索応答メッセージが受信できない場合には、ノートPCは、VPNサーバが存在しない、所属ネットワーク外の外部ネットワークに接続しているので、所属ネットワークのVPNサーバにアクセスし、そのVPNサーバを経由して、所属ネットワークに接続する必要がある。ノートPC520のVPNクライアント用ソフトウェア521は、あらかじめ設定されたアドレス等の情報を用いて、所属ネットワークのVPNサーバ530に対して直接に接続することを試みる。具体的には、あらかじめ設定されたVPNサーバ530のアドレス「252.32.10.100」に対して、NATサーバを通じて、VPNクライアント用ソフトウェア521のVPN接続機能が通信を行う。
VPNクライアント用ソフトウェア521は、VPNサーバ530からの応答があったときには、上記と同様の方式で、VPNサーバの認証を行う。すなわち、ランダムの数値を送り、それに対する応答を所属ネットワークの固有IDで暗号化を解き、送った数値と一致することを確認する。VPNクライアント用ソフトウェア521は、一致することを確認した後に、VPN接続機能により、VPNサーバ530との間に、仮想通信路を作成する。VPN接続機能は、作成した仮想通信路を、OSに対して、ネットワークの通信用デバイスとして登録する。
仮想通信路が作成・登録されると、ファイアウォールは、この仮想通信路のみの通信を許可する。これにより、ノートPC520上で動作するアプリケーションA522及びアプリケーションB523は、仮想通信路を用いた通信のみが可能となり、NATを通じてインターネット570に存在するサーバにアクセスすることや、インターネット570に接続された他のLAN中に接続されている機器との間でデータのやり取りをすることができなくなる。このようにすることで、インターネット570に接続したノートPC520が、所属ネットワーク外の機器と通信することで情報漏洩が起こることを防止できる。
VPNサーバの認証の結果、正規のVPNサーバでないと判断された場合、又は、VPNサーバが所属するLANがノートPCが所属するLANとは異なると判断された場合には、VPNクライアント用ソフトウェア521のファイアウォール機能により、全ての通信を禁止する。この場合には、ノートPC520で動作するアプリケーションA522及びアプリケーションB523が、外部と通信することができなくなることで、情報の漏洩を防止できる。
図4は、本発明の第2実施形態のVPN自動接続システムの構成を示している。本実施形態のVPN自動接続システム10aは、複数のVPNサーバ100を備える。各VPNサーバ100は、それぞれの内部ネットワーク400、402に接続されている。本実施形態では、移動端末200が、所属するネットワークとは異なるネットワークに接続されたVPNサーバ100を介して、所属するネットワークに接続されたVPNサーバ100との間で通信を行い、所属ネットワーク内の内部機器300との間の通信を実現する。
本実施形態では、VPNサーバの認証応答部101は、認証要求メッセージに含まれる情報を、システムに共通の暗号キーで暗号化し、認証応答メッセージに含める。また、認証応答メッセージに、VPNサーバ100の設置場所を特定するための情報を含める。VPNサーバ認証部202は、認証応答部101から受信した認証応答メッセージの暗号化された情報を、システムに共通の暗号キーを用いて解き、正しく解けるか否かによって、正規のVPNサーバであるか否かを判断する。また、VPNサーバ認証部202は、移動端末200が所属するネットワークを特定するための情報を記憶しており、その情報と、認証応答メッセージに含まれるVPNサーバ100の設置場所とを比較することで、VPNサーバ100が接続するネットワークが、移動端末200が所属するネットワークと一致するか否かを判断する。
例えば、VPNサーバ認証部202は、認証応答メッセージに含まれる暗号化された情報を、システムに共通の暗号キーを用いて解くことができたときには、その認証応答メッセージを送信したVPNサーバ100は、正規のVPNサーバであると判断する。正しく解くことができなかったときには、正規のVPNサーバではないと判断する。また、正規のVPNサーバと判断したときには、認証応答メッセージに含まれるVPNサーバの設置場所を特定する情報と、移動端末200が所属するネットワークを特定する情報とを比較し、両者が一致する場合には、VPNサーバは、正規、かつ、所属ネットワークのVPNサーバであると判断する。VPNサーバの設置場所を特定する情報と、移動端末200が所属するネットワークを特定する情報とが一致しないときには、正規ではあるが、所属ネットワークのVPNサーバではないと判断する。
図5は、本実施形態のVPN自動接続システム10aの動作手順を示す。ネットワーク接続から、VPNサーバ探索までの手順は、図2に示すステップA01からA04までの手順と同じである(ステップB01〜B04)。また、ステップB04でVPNサーバを発見できたと判断した後の動作は、図2のステップA09からステップA13の動作手順と同じである(ステップB09〜B13)。ステップB04で、VPNサーバ100が発見できたと判断した場合には、図2のステップA05及びA06と同様に、発見したVPNサーバ100に対して認証要求メッセージを発行し、その認証要求メッセージに対するVPNサーバ100の応答メッセージを受信し、応答メッセージを送信したVPNサーバ100が正規のVPNサーバであるか否かを判断する(ステップB05、B06)。
本実施形態では、VPNサーバ100の認証応答部101は、移動端末200から認証要求メッセージに含まれる情報を、システムに共通の暗号キーを用いて暗号化し、暗号化された情報と、VPNサーバ100が接続されたネットワークを特定するための情報とを含む認証応答メッセージを、移動端末200に送信する。移動端末200のVPNサーバ認証部202は、ステップB06で、受信した応答メッセージを、システムに共通の暗号キーを用いて復号化し、認証要求メッセージとして送信した情報が正しく復号できたか否かを判断する。正しく復号できなかったときには、正規のVPNサーバでないと判断して、ファイアウォール機能204により、全ての通信を禁止する(ステップB14)。
ステップB06で正規のVPNサーバと判断したときには、VPNサーバ認証部202は、認証応答メッセージに含まれるVPNサーバが接続されたネットワークを特定するための情報を参照して、接続したネットワークが、所属ネットワークであるか否かを判断する(ステップB07)。接続したネットワークが、所属ネットワークであると判断された場合には、ファイアウォール機能204は、全ての通信を許可し(ステップB08)、移動端末200内のアプリケーション207に対して、ネットワークに接続された内部機器300との間の通信を許可する。
ステップB07で、VPNサーバ100が、移動端末200が所属するネットワークに設置されたものではないと判断された場合には、まず、ファイアウォール機能204により、VPN接続部203による、移動端末200が接続したネットワーク上に存在するVPNサーバ100の内部接続部105に対する通信のみを許可し、その他の通信を禁止する(ステップB15)。次いで、VPN接続部203は、接続したネットワーク上に存在するVPNサーバ100に接続し、正しく接続できたか否かを判断する(ステップB16、B17)。接続に成功した場合には、VPN接続部203と、VPNサーバ100の通信中継部102との間に、仮想通信路を生成し(ステップB18)、この仮想通信路を、通信隠蔽部206から利用可能な状態にする。接続に失敗した場合には、ステップB14に移行して、ファイアウォール機能204により、全ての通信を禁止する。
移動端末200は、接続したネットワーク上のVPNサーバ100との間に仮想通信路を生成すると、接続したネットワーク上のVPNサーバ100に対して、通信中継部102と、所属ネットワーク上のVPNサーバ100の通信中継部102との間に、仮想通信路を生成するように指示する(ステップB19)。接続ネットワーク上のVPNサーバ100と、所属ネットワーク上のVPNサーバ100との間に、仮想通信路が生成されると、ファイアウォール機能204は、接続ネットワーク上のVPNサーバとの間で生成された仮想通信路に対する通信のみを許可する(ステップB20)。これにより、移動端末200で動作するアプリケーションは、接続したネットワーク上のVPNサーバ100と、所属ネットワーク上のVPNサーバ100とを介して、所属ネットワーク内の内部機器300との間で通信を行うことができる。
本実施形態では、VPNサーバ100の設置場所の判断、つまりは、移動端末200が接続したネットワークがどのネットワークであるかの判断を、VPNサーバ100の認証を通じて行う。このようにすることで、移動端末200が接続するネットワークが複数ある場合でも、複数のネットワークを正しく識別することができ、接続したネットワークに応じて、ファイアウォール機能204を適切に設定することで、所属ネットワーク内の機器との通信のみを許可することができ、情報の漏洩を防止できる。その他の効果は、第1実施形態と同様である。
以下、実施例を用いて説明する。図6は、第2実施例のVPN自動接続システムの構成を示している。本実施形態では、VPNサーバを介してインターネット570に接続された2つの独立したネットワークが存在する。すなわち、ノートPC510、VPNサーバ530、サーバ540、及び、プリンタ550がスイッチ560によって接続されたネットワークAと、ノートPC520、VPNサーバ630、サーバ640、及び、プリンタ650がスイッチ660によって接続されたネットワークBとが存在する。
ノートPCは、図4の移動端末200に相当し、何れかのネットワーク、又は、インターネット570に、直接に、或いは、NAT等を介して接続される。ノートPCは、VPNサーバを有するネットワークのうちの何れかを所属ネットワークとする。本実施例では、ノートPC510及び520の所属ネットワークは、共にネットワークAであるとする。ノートPC510及び520は、所属ネットワークであるネットワークAに固有のネットワークID「ida」を、所属ネットワーク情報として持っている。
ノートPC510がネットワークAに接続した場合を考える。この場合の動作は、第1実施例において、ノートPC510が所属ネットワークであるネットワークAに接続した場合の動作と同様である。すなわち、ノートPC510のVPNクライアント用ソフトウェア511は、接続したネットワークに向けて、VPNサーバ探索メッセージを送信し、その探索メッセージに対する探索メッセージを受信し、接続したネットワークA上に存在するVPNサーバ530を発見する。その後、ノートPC510は、ランダムに生成した数値を含む認証要求メッセージを、発見したVPNサーバ530に向けて送信する。
VPNサーバ530は、認証要求メッセージに含まれる数値と、自身の設置場所を示すID「ida」とを含む情報を、システムに共通の暗号キーを用いて暗号化し、暗号化した情報を認証応答メッセージに含めて、ノートPC510に送信する。ノートPC510は、システムに共通の暗号キーを用いて認証応答メッセージの暗号化を解き、認証応答メッセージに含まれる数値と、認証要求メッセージに含めた数値と一致することを確認して、VPNサーバ530が正規のVPNサーバであることを確認する。
ノートPC510は、正規のVPNサーバであることを確認すると、認証応答メッセージに含まれるVPNサーバ530の設置場所IDを参照し、VPNサーバ530が接続されたネットワークが、自身の所属ネットワークと一致するか否かを判断する。認証応答メッセージに含まれるVPNサーバ530の設置場所IDは「ida」であり、これは、ノートPC510の所属ネットワークのID「ida」と一致するので、ノートPC510は、VPNサーバ530が、所属ネットワーク上に存在するVPNサーバであると判断する。
ノートPC510が接続したネットワーク上に存在するVPNサーバ530が、正規のVPNサーバであり、かつ、VPNサーバ530が接続するネットワークが所属ネットワークであるということは、ノートPC510が接続したネットワークは、自身の所属ネットワークであるということを意味している。ネットワークA内では、通信を禁止する必要はないので、ファイアウォールは、全ての通信を許可する。よって、ノートPC510で動作する各アプリケーション512、513は、プリンタ530やサーバ550といったネットワークA内の内部機器との間で通信が可能となる。ノートPC510が、VPNサーバを持たないネットワークに接続した際の動作については、第1実施例において、ノートPC520がインターネット570に直接に接続した際の動作と同様である。
所属ネットワークをネットワークAとするノートPC520が、ネットワークBに接続した場合を考える。この場合、ネットワーク接続後、VPNサーバ630が、接続ネットワーク上に存在するVPNサーバとして発見される。このVPNサーバ630に対して認証要求メッセージを送信すると、VPNサーバ630は、認証要求メッセージに含まれる数値と、自身の設置場所を示すID「idb」とを含む情報を、システムに共通の暗号キーを用い暗号化し、暗号化した情報を認証応答メッセージに含めて、ノートPC520に送信する。
ノートPC520は、まず、システムに共通の暗号キーを用いて認証応答メッセージの暗号化を解き、認証応答メッセージに含まれる数値と、認証要求メッセージに含めた数値と一致することを確認して、VPNサーバ630が正規のVPNサーバであることを確認する。次いで、認証応答メッセージに含まれるVPNサーバ630の設置場所IDを参照すると、設置場所IDは「idb」であり、これは、ノートPC520の所属ネットワークのID「ida」と一致しないので、ノートPC520は、VPNサーバ630は、所属ネットワーク以外のネットワーク上に存在するVPNサーバであると判断する。
ノートPC520は、VPNサーバ630が正規のVPNサーバであるが、その設置場所が自身の所属ネットワークと一致しないときには、ネットワークB上のVPNサーバ630を経由して、ネットワークAに対するVPN接続を行う。この処理では、ノートPC520は、まず、発見したネットワークB上のVPNサーバ630に対してVPN接続要求を発行し、VPNサーバ630との間で、仮想通信路を作成する。その後、VPNサーバ630に対して、所属ネットワーク、つまり、ネットワークA上のVPNサーバ530への接続要求を行う。VPNサーバ630は、この要求に従って、ネットワークA上のVPNサーバ530との間で、仮想通信路を生成する。
ノートPC520とVPNサーバ630との間に仮想通信路が生成され、VPNサーバ630と、ネットワークA上のVPNサーバ530との間に仮想通信路が生成されると、ノートPC520のVPNクライアント用ソフトウェア521は、ノートPC520からネットワークB上のVPNサーバ630への通信のみを許可するように、ファイアウォールを設定する。各アプリケーション522、523が発行する通信パケットは、ネットワークB上のVPNサーバ630、ネットワークA上のVPNサーバ530を通じて、ネットワークA内のサーバ540やプリンタ550等の内部機器へと送られる。このとき、ノートPC520では、VPNサーバ630との間の仮想通信路に対する通信のみが許可されるので、ネットワークBに設置されたサーバ640やプリンタ650など、VPNサーバ630以外の機器への通信は、禁止される。
以上、本発明をその好適な実施形態に基づいて説明したが、本発明の通信システム、端末装置、VPNサーバ、プログラム、及び、通信方法は、上記実施形態にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。
本発明は、企業や団体において、外部に持ち出すノートPC等の端末からネットワークを通じて情報を漏洩することを防ぐ情報漏洩防止システムといった用途に適用できる。また、移動端末を家庭に持ち出したり、協力会社に持ち込んだりした場合にも、社内にいるときと同じ環境で作業するための環境ポータビリティシステムといった用途にも適用できる。
本発明の第1実施形態のVPN自動接続システムの構成を示すブロック図。 VPN自動接続システムの動作手順を示すフローチャート。 第1実施例のVPN自動接続システムの構成を示すブロック図。 本発明の第2実施形態のVPN自動接続システムの構成を示すブロック図。 第2実施形態のVPN自動接続システムの動作手順を示すフローチャート。 第2実施例のVPN自動接続システムの構成を示すブロック図。
符号の説明
10:VPN自動接続システム
100:VPNサーバ
101:認証応答部
102:通信中継部
103:探索応答部
104:外部接続部
105:内部接続部
200:移動端末
201:VPNサーバ探索部
202:VPNサーバ認証部
203:VPN接続部
204:ファイアウォール機能
205:通信部
206:通信隠蔽部
207:アプリケーション
300:内部機器
400、402:内部ネットワーク
401:外部ネットワーク

Claims (39)

  1. 端末装置と、該端末装置に対してVPN(Virtual Private Network)機能を提供するVPNサーバとを用いた通信システムであって、
    前記端末装置が接続したネットワーク上に発見したVPNサーバとの間で認証を行い、前記発見したVPNサーバが、正規のVPNサーバであるか否かを判断するサーバ認証部と、
    前記サーバ認証部によって正規のVPNサーバであると判断されると、前記端末装置に対して、前記接続したネットワークとの間の通信を全て許可するファイアウォール手段とを備えることを特徴とする通信システム。
  2. 前記サーバ認証部は、前記発見したVPNサーバに対して認証を要求し、該認証要求に対する前記VPNサーバからの認証応答を受信すると、該受信した認証応答に基づいて、前記発見したVPNサーバが正規のVPNサーバであるか否かを判断する、請求項1に記載の通信システム。
  3. 前記認証応答には、所定の情報を、正規のVPNサーバのみが知り得る情報を用いて暗号化した情報が含まれており、前記VPNサーバ認証部は、前記認証応答に含まれる暗号化された情報を、正規のVPNサーバのみが知り得る情報を用いて正しく解くことができるときには、前記発見したVPNサーバが正規のVPNサーバであると判断する、請求項2に記載の通信システム。
  4. 前記VPNサーバは、外部ネットワークと内部ネットワークとに接続されており、前記外部ネットワークに接続された端末装置に対して、前記内部ネットワークに接続された機器との間の通信を可能にするVPN機能を提供する、請求項1〜3の何れか一に記載の通信システム。
  5. 前記端末装置が接続したネットワーク上に存在するVPNサーバを探索するサーバ探索手段を更に備え、前記サーバ認証部は、前記サーバ探索部が発見したVPNサーバに対して認証要求を送信する、請求項4に記載の通信システム。
  6. 前記サーバ探索手段は、前記接続したネットワークにサーバ探索のためのメッセージを送信し、該サーバ探索メッセージに対する探索応答メッセージを受信すると、前記探索応答メッセージの送信元のVPNサーバを、前記接続したネットワーク上に存在するVPNサーバとして発見する、請求項5に記載の通信システム。
  7. 前記VPNサーバが、前記内部ネットワークを介して前記サーバ探索メッセージを受信すると、該サーバ探索メッセージの送信元の端末装置に、前記探索応答メッセージを送信する探索応答部を備えている、請求項6に記載の通信システム。
  8. 前記サーバ探索部が、前記接続したネットワーク上にVPNサーバを発見できないと判断すると、前記接続したネットワークとは異なるネットワーク上に存在するVPNサーバとの間で仮想通信路を生成し、該生成した仮想通信路を用いて、当該VPNサーバが接続する内部ネットワークに接続するVPN接続部を更に備える、請求項5〜7の何れか一に記載の通信システム。
  9. 前記VPN接続部は、前記サーバ認証手段が正規のVPNサーバではないと判断すると、前記接続したネットワークとは異なるネットワーク上に存在するVPNサーバにアクセスして、該VPNサーバとの間で仮想通信路を生成し、該生成した仮想通信路を用いて、当該VPNサーバが接続する前記内部ネットワークに接続する、請求項8に記載の通信システム。
  10. 前記VPN接続部は、前記サーバ認証手段が正規のVPNサーバであると判断すると、該正規のVPNサーバが前記端末装置に対してあらかじめ設定された所属ネットワーク上に存在するVPNサーバであるか否かを判断し、前記所属ネットワーク上に存在するVPNサーバではないと判断すると、前記接続したネットワーク上に存在するVPNサーバとの間で仮想通信路を生成すると共に、前記所属ネットワーク上のVPNサーバにアクセスして、該所属ネットワーク上のVPNサーバと、前記接続したネットワークに存在するVPNサーバとの間で仮想通信路を生成し、前記生成した双方の仮想通信路を用いて、前記所属ネットワークに接続する、請求項8に記載の通信システム。
  11. 前記ファイアウォール手段は、前記端末装置に対して、前記VPNサーバとの間で生成された仮想通信路を用いた通信のみを許可し、その他の通信を禁止する、請求項8〜10の何れか一に記載の通信システム。
  12. 前記ファイアウォール手段は、前記サーバ認証手段が正規のVPNサーバではないと判断すると、前記端末装置に対して、全ての通信を禁止する、請求項1〜7の何れか一に記載の通信システム。
  13. 端末装置に対してVPN(Virtual Private Network)機能を提供するVPNサーバを含む通信システムで使用される端末装置であって、
    前記端末装置が接続したネットワーク上に発見したVPNサーバとの間で認証を行い、前記発見したVPNサーバが、正規のVPNサーバか否かを判断するサーバ認証部と、
    前記サーバ認証部によって正規のVPNサーバであると判断されると、前記端末装置に対して、前記接続したネットワークとの間の通信を全て許可するファイアウォール手段とを備えることを特徴とする端末装置。
  14. 前記サーバ認証部は、前記接続したネットワーク上に発見したVPNサーバに対して認証を要求し、該認証要求に対する前記VPNサーバからの認証応答を受信すると、該受信した認証応答に基づいて、前記発見したVPNサーバが正規のVPNサーバであるか否かを判断する、請求項13に記載の端末装置。
  15. 前記認証応答には、所定の情報を、正規のVPNサーバのみが知り得る情報を用いて暗号化した情報が含まれており、前記VPNサーバ認証部は、前記認証応答に含まれる暗号化された情報を、正規のVPNサーバのみが知り得る情報を用いて正しく解くことができるときには、前記発見したVPNサーバが正規のVPNサーバであると判断する、請求項14に記載の端末装置。
  16. 前記端末装置が接続したネットワーク上に存在するVPNサーバを探索するサーバ探索手段を更に備え、前記サーバ認証部は、前記サーバ探索部が発見したVPNサーバに対して認証要求を送信する、請求項13〜15の何れか一に記載の端末装置。
  17. 前記サーバ探索部が、前記接続したネットワーク上にVPNサーバが存在しないと判断すると、前記接続したネットワークとは異なるネットワーク上に存在するVPNサーバとの間で仮想通信路を生成し、該生成した仮想通信路を用いて、前記VPNサーバとの間でVPN通信を行うVPN接続部を更に備える、請求項16に記載の端末装置。
  18. 前記VPN接続部は、前記サーバ認証手段が正規のVPNサーバであると判断すると、該正規のVPNサーバが前記端末装置に対してあらかじめ設定された所属ネットワーク上に存在するVPNサーバであるか否かを判断し、前記所属ネットワーク上に存在するVPNサーバではないと判断すると、前記接続したネットワーク上に存在するVPNサーバとの間で仮想通信路を生成すると共に、前記所属ネットワーク上のVPNサーバにアクセスして、該所属ネットワーク上のVPNサーバと、前記接続したネットワークに存在するVPNサーバとの間で仮想通信路を生成し、前記生成した双方の仮想通信路を用いて、前記所属ネットワークに接続する、請求項17に記載の端末装置。
  19. 前記ファイアウォール手段は、前記端末装置に対して、前記生成された仮想通信路を用いた通信のみを許可し、その他の通信を禁止する、請求項17又は18に記載の端末装置。
  20. 前記ファイアウォール手段は、前記サーバ認証手段が正規のVPNサーバではないと判断すると、前記端末装置に対して、全ての通信を禁止する、請求項13〜16の何れか一に記載の端末装置。
  21. 外部ネットワークと内部ネットワークとに接続され、前記外部ネットワークに接続された端末装置に対して、前記内部ネットワークに接続された機器との間の通信を可能にするVPN(Virtual Private Network)機能を提供するVPNサーバであって、
    前記内部ネットワークを介して、端末装置によって送信された認証要求を受信すると、該受信した認証要求の端末装置に、前記認証要求に対する認証応答を送信する認証応答部を備えることを特徴とするVPNサーバ。
  22. 前記認証応答部は、正規のVPNサーバのみが知り得る情報を用いて暗号化した情報を、前記認証応答に含めて送信する、請求項21に記載のVPNサーバ。
  23. 前記内部ネットワークを介して、端末装置によって送信されたサーバ探索のためのメッセージを受信すると、該サーバ探索メッセージの送信元の端末装置に、前記サーバ探索メッセージに対する応答である探索応答メッセージを送信する探索応答部を更に備える、請求項21又は22に記載のVPNサーバ。
  24. サーバ装置と、ファイアウォール手段を有する端末装置とを用いた通信方法であって、
    前記端末装置が、接続したネットワークに発見したサーバ装置に対して、認証を要求するステップと、
    前記サーバ装置が、前記認証の要求に対する応答を返信するステップと、
    前記端末装置が、前記サーバ装置からの応答に基づいて、前記応答を返信したサーバ装置が正規のサーバ装置であるか否かを判断するステップと、
    前記端末装置が、前記応答を返信したサーバ装置が正規のサーバ装置であると判断すると、前記ファイアウォール手段に対して、前記端末装置と該端末装置が接続したネットワークとの間の全ての通信を許可するように指示するステップとを有することを特徴とする通信方法。
  25. 前記サーバ装置が、外部ネットワークと内部ネットワークとに接続され、前記外部ネットワークに接続された端末装置に対して、前記内部ネットワークに接続された機器との間の通信を可能にするVPN(Virtual Private Network)機能を提供するVPNサーバである、請求項24に記載の通信方法。
  26. 前記認証を要求するステップに先立って、前記端末装置が、接続したネットワーク中に存在するサーバ装置を探索するステップを有する、請求項25に記載の通信方法。
  27. 接続したネットワーク中に前記サーバ装置が発見されないとき、前記端末装置が、前記接続したネットワークとは異なるネットワーク上に存在するサーバ装置との間で仮想通信路を生成し、該生成した仮想通信路を用いて、当該サーバ装置が接続している前記内部ネットワークに接続するステップと、
    前記端末装置が、前記ファイアウォール手段に対して、前記生成した仮想通信路による通信のみを許可するように指示するステップとを有する、請求項25又は26に記載の通信方法。
  28. 前記端末装置が、前記発見したサーバ装置が正規のサーバ装置でないと判断すると、前記ファイアウォール手段に対して、前記端末装置と該端末装置が接続したネットワークとの間の全ての通信を禁止するように指示するステップを有する、請求項25又は26に記載の通信方法。
  29. 前記端末装置が、前記発見したサーバ装置が正規のサーバ装置でないと判断すると、前記接続したネットワークとは異なるネットワーク上に存在するサーバ装置にアクセスし、該サーバ装置との間で仮想通信路を生成し、該生成した仮想通信路を用いて、当該サーバ装置の前記内部ネットワークに接続するステップと、
    前記端末装置が、前記ファイアウォール手段に対して、前記生成した仮想通信路による通信のみを許可するように指示するステップとを有する、請求項25又は26に記載の通信方法。
  30. 前記端末装置が、前記発見したサーバ装置が正規のサーバ装置であり、かつ、該サーバ装置が端末装置に対してあらかじめ設定された所属ネットワークに接続されたサーバ装置ではないと判断すると、前記接続したネットワークに存在するサーバ装置との間で仮想通信路を生成するステップと、
    前記端末装置が、前記所属ネットワークに存在するサーバ装置にアクセスし、該所属ネットワークのサーバ装置と、前記接続したネットワークに存在するサーバ装置との間で仮想通信路を生成するステップと、
    前記端末装置が、前記生成した仮想通信路を用いて、前記所属ネットワークに接続するステップと、
    前記端末装置が、前記ファイアウォール手段に対して、前記生成した仮想通信路による通信のみを許可するように指示するステップとを有する、請求項25又は26に記載の通信方法。
  31. 端末装置に対してVPN(Virtual Private Network)機能を提供するVPNサーバを含む通信システムで使用されるプログラムであって、前記端末装置に、
    前記端末装置が接続したネットワーク上に発見された存在するVPNサーバが正規のVPNサーバか否かを判断する処理と、
    前記VPNサーバが正規のVPNサーバであると判断すると、前記端末装置に対して、前記接続したネットワークとの間の通信を全て許可する処理とを実行させることを特徴とするプログラム。
  32. 前記VPNサーバの認証処理が、
    前記接続したネットワーク上に存在するVPNサーバに対して認証を要求する処理と、
    前記認証要求に対する前記VPNサーバからの認証応答を受信し、該受信した認証応答に基づいて、前記VPNサーバが正規のVPNサーバであるか否かを判断する処理とを含む、請求項31に記載のプログラム。
  33. 前記VPNサーバの認証処理に先立って、前記端末装置に、前記端末装置が接続したネットワーク上に存在するVPNサーバを探索する処理を実行させる、請求項31又は32に記載のプログラム。
  34. 前記VPNサーバを探索する処理で、前記接続したネットワーク上にVPNサーバが発見できないと判断すると、前記端末装置に、前記接続したネットワーク外に存在するVPNサーバとの間で仮想通信路を生成し、該生成した仮想通信路を用いて、前記VPNサーバとの間でVPN通信を行う処理を更に実行させる、請求項33に記載のプログラム。
  35. 前記VPNサーバの認証処理で、正規のVPNサーバであると判断した場合には、前記端末装置に、
    前記正規のVPNサーバが前記端末装置に対してあらかじめ設定された所属ネットワーク上に存在するVPNサーバであるか否かを判断する処理と、
    前記所属ネットワーク上に存在するVPNサーバではないと判断したときには、前記接続したネットワーク上に存在するVPNサーバとの間で仮想通信路を生成すると共に、前記所属ネットワーク上のVPNサーバにアクセスして、該所属ネットワーク上のVPNサーバと、前記接続したネットワークに存在するVPNサーバとの間で仮想通信路を生成し、前記生成した双方の仮想通信路を用いて、前記所属ネットワークに接続する処理を更に実行させる、請求項31又は32に記載のプログラム。
  36. 前記仮想通信路の生成後、前記コンピュータに、前記端末装置に対して、前記生成された仮想通信路を用いた通信のみを許可し、その他の通信を禁止する処理を実行させる、請求項34又は35に記載のプログラム。
  37. 前記VPNサーバの認証処理で、正規のVPNサーバではないと判断した場合には、前記端末装置に、該端末装置と、前記接続したネットワークとの間の全ての通信を禁止する処理を実行させる、請求項31〜36の何れか一に記載のプログラム。
  38. 外部ネットワークと内部ネットワークとに接続され、前記外部ネットワークに接続された端末装置に対して、前記内部ネットワークに接続された機器との間の通信を可能にするVPN(Virtual Private Network)機能を提供するVPNサーバを含む通信システムで用いられるプログラムであって、前記VPNサーバに、
    前記内部ネットワークを介して、端末装置によって送信されたサーバ探索のためのメッセージを受信すると、該サーバ探索メッセージの送信元の端末装置に、前記サーバ探索メッセージに対する応答である探索応答メッセージを送信する処理と、
    前記内部ネットワークを介して、端末装置によって送信された認証要求を受信すると、該受信した認証要求の端末装置に、前記認証要求に対する認証応答を送信する処理を実行させることを特徴とするプログラム。
  39. 前記認証応答を送信する処理では、所定の情報を、正規のVPNサーバのみが知り得る情報を用いて暗号化し、該暗号化した情報を認証応答に含める、請求項38に記載のプログラム。
JP2006201815A 2006-07-25 2006-07-25 通信システム、端末装置、プログラム、及び、通信方法 Expired - Fee Related JP4775154B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006201815A JP4775154B2 (ja) 2006-07-25 2006-07-25 通信システム、端末装置、プログラム、及び、通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006201815A JP4775154B2 (ja) 2006-07-25 2006-07-25 通信システム、端末装置、プログラム、及び、通信方法

Publications (2)

Publication Number Publication Date
JP2008028899A true JP2008028899A (ja) 2008-02-07
JP4775154B2 JP4775154B2 (ja) 2011-09-21

Family

ID=39119058

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006201815A Expired - Fee Related JP4775154B2 (ja) 2006-07-25 2006-07-25 通信システム、端末装置、プログラム、及び、通信方法

Country Status (1)

Country Link
JP (1) JP4775154B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012222678A (ja) * 2011-04-12 2012-11-12 Nippon Telegr & Teleph Corp <Ntt> アクセス制御システム、およびアクセス制御方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9986040B2 (en) 2015-07-21 2018-05-29 Amadeus S.A.S. Communications management system with a separate peripherals server
CN107426184A (zh) * 2017-06-22 2017-12-01 国网浙江海盐县供电公司 电力系统移动应用信息安全系统及其传输方法
CN110677313A (zh) * 2019-08-25 2020-01-10 北京亚鸿世纪科技发展有限公司 一种vpn软件后台服务器的发现方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10145360A (ja) * 1996-11-01 1998-05-29 Yamaha Corp 不正コピー防止システム、監視ノード及び送受信ノード
WO2002042861A2 (en) * 2000-11-13 2002-05-30 Ecutel, Inc. System and method for secure network mobility
JP2002271309A (ja) * 2001-03-07 2002-09-20 Sharp Corp 鍵情報管理方法及び機器管理装置
JP2004139434A (ja) * 2002-10-18 2004-05-13 Toyota Motor Corp 情報通信端末、通信契約方法、及び情報通信システム
JP2004274448A (ja) * 2003-03-10 2004-09-30 Sustainable Community Center Japan 公衆ネットワークアクセス方式
WO2005004418A1 (ja) * 2003-07-04 2005-01-13 Nippon Telegraph And Telephone Corporation リモートアクセスvpn仲介方法及び仲介装置
JP2005229436A (ja) * 2004-02-13 2005-08-25 Ntt Communications Kk 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム
WO2006043463A1 (ja) * 2004-10-19 2006-04-27 Nec Corporation Vpnゲートウェイ装置およびホスティングシステム

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10145360A (ja) * 1996-11-01 1998-05-29 Yamaha Corp 不正コピー防止システム、監視ノード及び送受信ノード
WO2002042861A2 (en) * 2000-11-13 2002-05-30 Ecutel, Inc. System and method for secure network mobility
JP2002271309A (ja) * 2001-03-07 2002-09-20 Sharp Corp 鍵情報管理方法及び機器管理装置
JP2004139434A (ja) * 2002-10-18 2004-05-13 Toyota Motor Corp 情報通信端末、通信契約方法、及び情報通信システム
JP2004274448A (ja) * 2003-03-10 2004-09-30 Sustainable Community Center Japan 公衆ネットワークアクセス方式
WO2005004418A1 (ja) * 2003-07-04 2005-01-13 Nippon Telegraph And Telephone Corporation リモートアクセスvpn仲介方法及び仲介装置
JP2005229436A (ja) * 2004-02-13 2005-08-25 Ntt Communications Kk 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム
WO2006043463A1 (ja) * 2004-10-19 2006-04-27 Nec Corporation Vpnゲートウェイ装置およびホスティングシステム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012222678A (ja) * 2011-04-12 2012-11-12 Nippon Telegr & Teleph Corp <Ntt> アクセス制御システム、およびアクセス制御方法

Also Published As

Publication number Publication date
JP4775154B2 (ja) 2011-09-21

Similar Documents

Publication Publication Date Title
US11165604B2 (en) Method and system used by terminal to connect to virtual private network, and related device
US9654453B2 (en) Symmetric key distribution framework for the Internet
US8429403B2 (en) Systems and methods for provisioning network devices
US8166534B2 (en) Incorporating network connection security levels into firewall rules
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
US20090193503A1 (en) Network access control
JP4879643B2 (ja) ネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラム
JP4492248B2 (ja) ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
CN103095861A (zh) 确定设备是否处于网络内部
JP2015536061A (ja) クライアントをサーバに登録するための方法および装置
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
US20210136106A1 (en) Ssl/tls spoofing using tags
JP4720576B2 (ja) ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
JP2006109152A (ja) ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム
US11888898B2 (en) Network configuration security using encrypted transport
KR101584986B1 (ko) 네트워크 접속 인증 방법
JP2006216014A (ja) メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体
Baugher et al. Home-network threats and access controls
JP2018011191A (ja) 機器リスト作成システムおよび機器リスト作成方法
JP2008227626A (ja) ネットワークカメラの通信システムおよび通信方法
JP2006197094A (ja) 通信システム
US11825306B2 (en) Peer-to-peer secure communication system, apparatus, and method
JP2009017471A (ja) 情報通信方法
JP2005242547A (ja) リモートサービス実行方法、リモートクライアント及びリモートサービスサーバ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080310

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20100223

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100921

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110531

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110613

R150 Certificate of patent or registration of utility model

Ref document number: 4775154

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140708

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees