JP2009033215A - Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム - Google Patents

Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム Download PDF

Info

Publication number
JP2009033215A
JP2009033215A JP2007191816A JP2007191816A JP2009033215A JP 2009033215 A JP2009033215 A JP 2009033215A JP 2007191816 A JP2007191816 A JP 2007191816A JP 2007191816 A JP2007191816 A JP 2007191816A JP 2009033215 A JP2009033215 A JP 2009033215A
Authority
JP
Japan
Prior art keywords
vpn
user
connection server
packet
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007191816A
Other languages
English (en)
Other versions
JP4946692B2 (ja
Inventor
Kunio Namito
邦夫 波戸
Takeshi Yagi
毅 八木
Junichi Murayama
純一 村山
Makoto Imase
真 今瀬
Hiroyuki Osaki
博之 大崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Osaka University NUC
Original Assignee
Nippon Telegraph and Telephone Corp
Osaka University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Osaka University NUC filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007191816A priority Critical patent/JP4946692B2/ja
Publication of JP2009033215A publication Critical patent/JP2009033215A/ja
Application granted granted Critical
Publication of JP4946692B2 publication Critical patent/JP4946692B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】情報の受信者にとって信頼性が高い送信者の識別情報の付与と情報の送信者にとって柔軟な送信者の識別情報の付与とを両立させる。
【解決手段】送信側のVPN接続サーバ111は、ユーザ端末101のユーザを識別するユーザ識別手順と、識別したユーザをVPN161に接続可能か否かを判定する接続可否判定手順と、VPN161への接続が可能と判定された場合に、ユーザ端末101から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、VPN161を示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与する識別子付与手順と、VPNサービスを提供するWANの境界に設置されたVPN転送装置121にパケットを送信する送信手順とを実行する。
【選択図】 図1

Description

本発明は、VPN(Virtual Private Network )サービスに加入するユーザを管理するVPNユーザ管理方法、VPNサービスネットワークシステム、VPN接続サーバ、VPN転送装置およびプログラムに関するものである。
VPNサービスを提供するWAN(Wide Area Network )において、ある特定のVPNに接続可能か否かを識別するためには物理回線の識別子、またはVLAN(Virtual Local Area Network)やATM(Asynchronous Transfer Mode)などの回線多重化技術やIPsec(IP Security Protocol)などの暗号化技術によって生成された論理回線の識別子が用いられる。
VPNサービスに加入するユーザのユーザ端末から送信されたパケットは、物理回線または論理回線を経由してVPNサービスを提供するWANに転送される。そして、これらの物理回線又は論理回線がWANとの境界においてVPNに接続可能な場合のみ、それぞれの回線が持つ識別子がVPN内に転送される。物理回線の識別子や論理回線の識別子は、VPNサービスの管理者のみが設定可能な値である。
一方、ユーザ識別子として、IP(Internet Protocol )アドレスまたはメールアドレスが存在する。ユーザ端末から送信されるパケットまたはメッセージには、送信元ユーザを示す送信元IPアドレスまたは送信元メールアドレスを付与可能である。パケットまたはメッセージの受信者は、パケットまたはメッセージに付与された送信元IPアドレスまたは送信元メールアドレスにより、情報の送信元ユーザを識別することが可能である。送信元IPアドレスや送信元メールアドレスは、ユーザが設定可能である(例えば、非特許文献1参照)。
白神彰則他,「条件付URIによる認証方式の検討」,社団法人電子情報通信学会,信学技報,NS2004-268,IN2004-268,2005
VPNサービスを提供するWANにおいては、物理回線の識別子や論理回線の識別子を用いてWANの境界において送信元のユーザを識別することが可能であるが、情報を受信するユーザまで、物理回線の識別子や論理回線の識別子が伝達されないという問題点があった。
また、物理回線の識別子や論理回線の識別子は情報を送信するユーザには変更不可能なため、同一の物理回線または論理回線から複数のユーザが情報を送信した場合には、ユーザ毎に識別子を使い分けることができず、複数のユーザに同一の識別子が割り当てられる可能性があるため、受信側の装置で送信元のユーザを識別できないという問題点があった。
また、パケットに付与する送信元IPアドレス、またはメッセージに付与する送信元メールアドレスは、情報を送信するユーザが自由に設定可能なため、他のユーザのIPアドレスまたはメールアドレスの詐称が容易であり、情報を受信したユーザはパケットに付与された送信元IPアドレス、またはメッセージに付与された送信元メールアドレスが示す送信元ユーザの正当性を信頼できないという問題点があった。
以上のように、従来技術では、情報の受信者にとって信頼性が高い送信者の識別情報の付与と情報の送信者にとって柔軟な送信者の識別情報の付与とを両立できないという問題点があった。
本発明は、上記課題を解決するためになされたもので、情報の受信者にとって信頼性が高い送信者の識別情報の付与と情報の送信者にとって柔軟な送信者の識別情報の付与とを両立させることができるVPNユーザ管理方法、VPNサービスネットワークシステム、VPN接続サーバ、VPN転送装置およびプログラムを提供することを目的とする。
本発明は、VPNサービスを提供するWANの境界に設置され、このWANが提供するVPNとの間でパケットを送受信するVPN転送装置と、VPNサービスに加入するユーザが使用するユーザ端末と前記VPN転送装置との間でパケットを中継するVPN接続サーバとを含むVPNサービスネットワークシステムにおけるVPNユーザ管理方法であって、送信側のVPN接続サーバが、このVPN接続サーバに接続したユーザ端末のユーザを識別する第1のユーザ識別手順と、ユーザごとに接続可能なVPNが予め登録されたユーザ管理テーブルを参照し、前記識別したユーザをVPNに接続可能か否かを判定する第1の接続可否判定手順と、前記VPNへの接続が可能と判定された場合に、前記識別したユーザのユーザ端末から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、接続可能と判定されたVPNを示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与する識別子付与手順と、この識別子付与手順で識別子が付与されたパケットを自装置のVPN接続サーバに接続されたVPN転送装置に送信する第1の送信手順とを、実行するようにしたものである。
また、本発明のVPNユーザ管理方法の1構成例は、前記VPN接続サーバから送信されたパケットを受信したVPN転送装置が、受信したパケットに付与されたVPN端末識別子またはVPN識別子からこのパケットが属するVPNを識別する転送先VPN識別手順と、VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録されたVPN接続テーブルを参照し、前記送信側のVPN接続サーバを前記転送先VPN識別手順で識別したVPNに接続可能か否かを判定する第2の接続可否判定手順と、前記VPN接続テーブルを参照し、前記受信したパケットに付与されたVPN端末識別子と前記VPNにおいて前記送信側のVPN接続サーバを識別するためのVPN端末識別子とが一致するか否かを判定するVPN端末識別子一致判定手順と、前記第2の接続可否判定手順で前記送信側のVPN接続サーバをVPNに接続可能と判定され、かつ前記VPN端末識別子一致判定手順でVPN端末識別子が一致すると判定された場合に、前記受信したパケットを前記転送先VPN識別手順で識別したVPNに転送する転送手順とを、実行するようにしたものである。
また、本発明のVPNユーザ管理方法の1構成例は、前記VPN転送装置から送信されたパケットを受信した受信側のVPN接続サーバが、前記受信したパケットに付与されたユーザ識別子またはユーザ名に基づき、このパケットの送信元のユーザを識別する第2のユーザ識別手順と、前記受信したパケットに付与されたVPN端末識別子に基づき、このパケットを送信した送信側のVPN接続サーバを識別するVPN接続サーバ識別手順と、前記受信したパケットに付与されたVPN端末識別子またはVPN識別子に基づき、このパケットを伝送したVPNを識別する伝送VPN識別手順と、前記受信したパケットを受信側のユーザ端末に送信する第2の送信手順と、前記第2のユーザ識別手順で識別した送信元のユーザ、前記VPN接続サーバ識別手順で識別した送信側のVPN接続サーバ、前記伝送VPN識別手順で識別したVPNのうち少なくとも1つを、前記受信側のユーザ端末に通知する通知手順とを、実行するようにしたものである。
また、本発明は、VPN転送装置とVPN接続サーバとを含むVPNサービスネットワークシステムであって、前記VPN接続サーバは、このVPN接続サーバに接続したユーザ端末のユーザを識別する第1のユーザ識別手段と、ユーザごとに接続可能なVPNが予め登録されたユーザ管理テーブルと、VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録された第1のVPN接続テーブルと、前記ユーザ管理テーブルを参照し、前記識別したユーザをVPNに接続可能か否かを判定する第1の接続可否判定手段と、前記VPNへの接続が可能と判定された場合に、前記識別したユーザのユーザ端末から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、接続可能と判定されたVPNを示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与する識別子付与手段と、この識別子付与手段で識別子が付与されたパケットを自装置のVPN接続サーバに接続されたVPN転送装置に送信する第1の送信手段と、前記VPN転送装置からパケットを受信したときに、このパケットに付与されたユーザ識別子またはユーザ名に基づき、このパケットの送信元のユーザを識別する第2のユーザ識別手段と、前記VPN転送装置から受信したパケットに付与されたVPN端末識別子に基づき、このパケットを送信した送信側のVPN接続サーバを識別するVPN接続サーバ識別手段と、前記VPN転送装置から受信したパケットに付与されたVPN端末識別子またはVPN識別子に基づき、このパケットを伝送したVPNを識別する伝送VPN識別手段と、前記VPN転送装置から受信したパケットを受信側のユーザ端末に送信する第2の送信手段と、前記第2のユーザ識別手段で識別した送信元のユーザ、前記VPN接続サーバ識別手段で識別した送信側のVPN接続サーバ、前記伝送VPN識別手段で識別したVPNのうち少なくとも1つを、前記受信側のユーザ端末に通知する通知手段とを備えることを特徴とするものである。
また、本発明のVPNサービスネットワークシステムの1構成例において、前記VPN転送装置は、送信側の前記VPN接続サーバから受信したパケットに付与されたVPN端末識別子またはVPN識別子からこのパケットが属するVPNを識別する転送先VPN識別手段と、VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録された第2のVPN接続テーブルと、前記第2のVPN接続テーブルを参照し、前記送信側のVPN接続サーバを前記転送先VPN識別手段で識別したVPNに接続可能か否かを判定する第2の接続可否判定手段と、前記第2のVPN接続テーブルを参照し、前記VPN接続サーバから受信したパケットに付与されたVPN端末識別子と前記VPNにおいて前記送信側のVPN接続サーバを識別するためのVPN端末識別子とが一致するか否かを判定するVPN端末識別子一致判定手段と、前記第2の接続可否判定手段で前記送信側のVPN接続サーバをVPNに接続可能と判定され、かつ前記VPN端末識別子一致判定手段でVPN端末識別子が一致すると判定された場合に、前記受信したパケットを前記転送先VPN識別手段で識別したVPNに転送する転送手段とを備えることを特徴とするものである。
また、本発明のVPN接続サーバは、自装置に接続したユーザ端末のユーザを識別する第1のユーザ識別手段と、ユーザごとに接続可能なVPNが予め登録されたユーザ管理テーブルと、VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録されたVPN接続テーブルと、前記ユーザ管理テーブルを参照し、前記識別したユーザをVPNに接続可能か否かを判定する接続可否判定手段と、前記VPNへの接続が可能と判定された場合に、前記識別したユーザのユーザ端末から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、接続可能と判定されたVPNを示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与する識別子付与手段と、この識別子付与手段で識別子が付与されたパケットを自装置に接続されたVPN転送装置に送信する第1の送信手段とを備えることを特徴とするものである。
また、本発明のVPN接続サーバの1構成例は、さらに、前記VPN転送装置からパケットを受信したときに、このパケットに付与されたユーザ識別子またはユーザ名に基づき、このパケットの送信元のユーザを識別する第2のユーザ識別手段と、前記VPN転送装置から受信したパケットに付与されたVPN端末識別子に基づき、このパケットを送信した送信側のVPN接続サーバを識別するVPN接続サーバ識別手段と、前記VPN転送装置から受信したパケットに付与されたVPN端末識別子またはVPN識別子に基づき、このパケットを伝送したVPNを識別する伝送VPN識別手段と、前記VPN転送装置から受信したパケットを受信側のユーザ端末に送信する第2の送信手段と、前記第2のユーザ識別手段で識別した送信元のユーザ、前記VPN接続サーバ識別手段で識別した送信側のVPN接続サーバ、前記伝送VPN識別手段で識別したVPNのうち少なくとも1つを、前記受信側のユーザ端末に通知する通知手段とを備えることを特徴とするものである。
また、本発明のVPN転送装置は、VPNサービスに加入するユーザが使用するユーザ端末とVPN転送装置との間でパケットを中継するVPN接続サーバから受信したパケットに付与されたVPN端末識別子またはVPN識別子からこのパケットが属するVPNを識別する転送先VPN識別手段と、VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録されたVPN接続テーブルと、前記VPN接続テーブルを参照し、送信側の前記VPN接続サーバを前記転送先VPN識別手段で識別したVPNに接続可能か否かを判定する接続可否判定手段と、前記VPN接続テーブルを参照し、前記VPN接続サーバから受信したパケットに付与されたVPN端末識別子と前記VPNにおいて前記送信側のVPN接続サーバを識別するためのVPN端末識別子とが一致するか否かを判定するVPN端末識別子一致判定手段と、前記接続可否判定手段で前記送信側のVPN接続サーバをVPNに接続可能と判定され、かつ前記VPN端末識別子一致判定手段でVPN端末識別子が一致すると判定された場合に、前記受信したパケットを前記転送先VPN識別手段で識別したVPNに転送する転送手段とを備えることを特徴とするものである。
また、本発明は、VPN接続サーバとしてコンピュータを動作させるVPN接続サーバプログラムであって、送信側のVPN接続サーバとして動作する場合に、第1のユーザ識別手順と、接続可否判定手順と、識別子付与手順と、第1の送信手順とを、コンピュータに実行させ、前記VPN転送装置から送信されたパケットを受信した受信側のVPN接続サーバとして動作する場合に、第2のユーザ識別手順と、VPN接続サーバ識別手順と、伝送VPN識別手順と、第2の送信手順と、通知手順とを、コンピュータに実行させることを特徴とするものである。
また、本発明は、VPN転送装置としてコンピュータを動作させるVPN転送装置プログラムであって、転送先VPN識別手順と、接続可否判定手順と、VPN端末識別子一致判定手順と、転送手順とを、コンピュータに実行させることを特徴とするものである。
本発明によれば、送信側のVPN接続サーバにおいて、ユーザ端末のユーザを識別し、このユーザをVPNに接続可能か否かを判定し、VPNへの接続が可能と判定した場合に、ユーザ端末から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、接続可能と判定したVPNを示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与するようにしたので、このパケットを受信したVPN転送装置では、受信したパケットに付与されたVPN端末識別子またはVPN識別子からパケットが属するVPNを識別し、送信側のVPN接続サーバをVPNに接続可能か否かを判定し、受信したパケットに付与されたVPN端末識別子とVPNにおいて送信側のVPN接続サーバを識別するためのVPN端末識別子とが一致するか否かを判定し、送信側のVPN接続サーバをVPNに接続できない場合や、VPN端末識別子が一致しない場合には、パケットを廃棄することができる。また、受信側のVPN接続サーバでは、VPN転送装置からパケットを受信した場合、このパケットに付与されたVPN端末識別子が詐称されている可能性がないため、このパケットを送信した送信側のVPN接続サーバを正しく識別できると同時に、このパケットに付与されたユーザ識別子またはユーザ名に基づき、当該パケットを送信したユーザを識別することができる。ユーザ識別子とユーザ名はVPN接続サーバの管理者が管理するものであり、VPN識別子、VPN端末識別子はVPNサービスを提供するWANの管理者が管理するものである。したがって、本発明では、情報の受信者にとって信頼性が高い送信者の識別情報の付与と情報の送信者にとって柔軟な送信者の識別情報の付与とを両立させることができる。
以下、本発明の実施の形態について図面を参照して説明する。図1は本発明の実施の形態に係るVPNサービスネットワークシステムの構成を示すブロック図である。
本実施の形態のVPNサービスネットワークシステムは、ユーザ端末101〜108と、VPN接続サーバ111〜114と、VPN転送装置121,122と、物理回線141,142,145と、VPN管理サーバ151と、WAN171と、LAN(Local Area Network)181〜184とから構成される。
後述のように、VPN転送装置121は、VPN転送機能部131,132を有し、VPN転送装置122は、VPN転送機能部133,134を有する。物理回線145内には、論理回線143,144が設定されている。
WAN171は、ブリッジによるネットワーク、MPLS(Multiprotocol Label Switching)ネットワーク、IPネットワーク等のVPNサービスが提供可能なデータネットワークであれば良く、またこれらの例に限定されるものではない。
VPN接続サーバ111は、LAN181を介してユーザ端末101,102と接続され、物理回線141を介してVPN転送装置121内のVPN転送機能部131と接続される。
VPN接続サーバ112は、LAN182を介してユーザ端末103,104と接続され、物理回線142を介してVPN転送装置121内のVPN転送機能部132と接続される。
VPN接続サーバ113は、LAN183を介してユーザ端末105,106と接続され、物理回線145内の論理回線143を介してVPN転送装置122内のVPN転送機能部133と接続される。
VPN接続サーバ114は、LAN184を介してユーザ端末107,108と接続され、物理回線145内の論理回線144を介してVPN転送装置122内のVPN転送機能部134と接続される。
論理回線143,144は、IPsec、SSL(Secure Sockets Layer)、VLAN、IPinIP、GRE(Generic Routing Encapsulation)、MPLS、ATM等、論理的に多重可能な回線であればよく、またこれらの例に限定されるものではない。
VPN転送装置121,122は、WAN171と接続され、WAN171が提供するVPN161〜163と論理的に接続される。
VPN転送装置121内のVPN転送機能部131はVPN161,162と論理的に接続され、VPN転送装置121内のVPN転送機能部132はVPN162,163と論理的に接続される。VPN転送装置122内のVPN転送機能部133はVPN161,162と論理的に接続され、VPN転送装置122内のVPN転送機能部134はVPN162,163と論理的に接続される。VPN管理サーバ151は、WAN171と接続される。
本実施の形態におけるVPN接続サーバ111の構成例を図2に示す。VPN接続サーバ111は、パケット送受信機能部201と、ユーザ識別機能部202と、VPN接続機能部203と、識別子付与機能部204と、識別判定機能部205と、VPN接続テーブル206と、ユーザ管理テーブル207とを有する。
ユーザ識別機能部202は第1のユーザ識別手段を構成し、VPN接続機能部203は接続可否判定手段を構成し、識別子付与機能部204は識別子付与手段を構成し、識別判定機能部205は第2のユーザ識別手段とVPN接続サーバ識別手段と伝送VPN識別手段とを構成し、パケット送受信機能部201は第1の送信手段と第2の送信手段と通知手段とを構成している。
パケット送受信機能部201は、LANを介してユーザ端末と接続され、物理回線または論理回線を介してVPN転送装置と接続され、ユーザ端末またはVPN転送装置との間でパケットを送受信する。
ユーザ識別機能部202は、VPN接続サーバ111に接続したユーザ端末を利用するユーザを識別する。ユーザの識別方法は、パスワードによる識別方法、証明書による識別方法や、IPsec、SSL、VLAN、IPinIP、GRE、MPLS、ATM等の論理回線による識別方法など、ユーザを識別可能な方法であればよい。また、ユーザの識別方法はこれらの例に限定されるものではない。
VPN接続機能部203は、ユーザ端末を利用してVPN接続サーバ111にアクセスしたユーザをVPNに接続することが可能かどうか判断し、接続可能である場合のみそのユーザ端末からのパケットの転送を許可する。
識別子付与機能部204は、VPN接続サーバ111と接続されたVPN転送装置121へ送信するパケットに対して、ユーザ識別子、ユーザ名、VPN識別子、VPN端末識別子のいずれか1つを付与するか、これらの任意の組み合わせを付与するか、あるいはこれらの全てを付与する。
ユーザ識別子、ユーザ名、VPN識別子およびVPN端末識別子の付与方法としては、パケット内へ書き込む方法や、パケットにヘッダー情報を追加する方法等がある。ユーザ識別子、ユーザ名、VPN識別子、VPN端末識別子は、パケットを送受信する装置において識別可能であればよい。また、付与方法はこれらの例に限定されるものではない。
識別判定機能部205は、VPN接続サーバ111と接続されたVPN転送装置121から受信したパケットに付与されたユーザ識別子、ユーザ名、VPN識別子、VPN端末識別子を識別し、これらのユーザ識別子、ユーザ名、VPN識別子、VPN端末識別子をパケットの送信元を示す情報としてユーザに通知可能な状態で保持する。
VPN接続テーブル206は、VPN接続サーバ111が接続可能なVPNのVPN識別子と、このVPNにおいて当該VPN接続サーバ111を示すVPN端末識別子との組を1つ以上保持する。
ユーザ管理テーブル207は、VPN接続サーバ111にアクセス可能なユーザのユーザ識別子と、ユーザ名と、このユーザがアクセス可能なVPNのVPN識別子との組を1つ以上保持する。
なお、図2の例では、VPN接続サーバ111の構成のみを示しているが、他のVPN接続サーバ112〜114の構成もVPN接続サーバ111と同様である。
本実施の形態におけるVPN転送装置121の構成例を図3に示す。VPN転送装置121は、パケット送受信機能部301と、VPN転送機能部302(図1のVPN転送機能部131〜134)と、VPN転送機能選択テーブル305とを有する。
パケット送受信機能部301は、WAN171を介してVPN管理サーバ151および他のVPN転送装置122と接続され、物理回線または論理回線を介してVPN接続サーバ111,112と接続され、VPN管理サーバ151、他のVPN転送装置122またはVPN接続サーバ111,112との間でパケットを送受信する。
VPN転送機能部302は、VPN転送装置121と接続されたVPN接続サーバ111,112毎に対応して設けられる。各VPN転送機能部302は、それぞれVPN接続テーブル303と、識別判定廃棄機能部304とを有する。
識別判定廃棄機能部304は、転送先VPN識別手段と接続可否判定手段とVPN端末識別子一致判定手段とを構成し、パケット送受信機能部301は転送手段を構成している。
VPN接続テーブル303は、VPN転送機能部に対応するVPN接続サーバが接続可能なVPNのVPN識別子と、このVPNにおいて当該VPN接続サーバを示すVPN端末識別子との組を1つ以上保持する。
識別判定廃棄機能部304は、VPN転送機能部に対応するVPN接続サーバから受信したパケットに付与されたVPN端末識別子、VPN識別子を識別し、VPN接続サーバが利用可能なVPN端末識別子、およびVPNかを判定し、利用不可能な場合は受信したパケットを廃棄する。
VPN転送機能選択テーブル305は、VPN転送装置121と接続されたVPN接続サーバ111,112から受信したパケットの経路(物理回線または論理回線)に基づいて送信元のVPN接続サーバを特定し、受信したパケットを送信元のVPN接続サーバに対応するVPN転送機能部302ヘ転送する。
なお、図3の例では、VPN転送装置121の構成のみを示しているが、他のVPN転送装置122の構成もVPN転送装置121と同様である。
本実施の形態におけるVPN管理サーバ151の構成例を図4に示す。VPN管理サーバ151は、パケット送受信機能部401と、VPN接続サーバ設定機能部402と、VPN転送装置設定機能部403とを有する。
パケット送受信機能部401は、WAN171を介してVPN転送装置121,122と接続し、VPN転送装置121,122との間でパケットを送受信する。
VPN接続サーバ設定機能部402は、WAN171及びVPN転送装置121,122を介してVPN接続サーバ111〜114の設定を行う。
VPN転送装置設定機能部403は、WAN171を介してVPN転送装置121,122の設定を行う。
次に、本実施の形態のVPNユーザ管理方法を図1に示したVPNサービスネットワークシステムによって説明する。
まず、VPN管理サーバ151のVPN接続サーバ設定機能部402は、VPN接続サーバ111〜114の各VPN接続テーブル206に対して、VPN接続サーバ111〜114に接続可能なVPN毎に、VPN接続サーバを示すVPN端末識別子をあらかじめ誤定する。図5にVPN接続テーブル206の例を示す。VPN接続テーブル206は、自装置のVPN接続サーバが接続可能なVPNのVPN識別子と、このVPNにおいて当該VPN接続サーバを示すVPN端末識別子とを対応付けたものである。
VPN管理サーバ151のVPN転送装置設定機能部403は、VPN転送装置121,122の各VPN転送機能選択テーブル305をあらかじめ設定する。図6にVPN転送機能選択テーブル305の例を示す。VPN転送機能選択テーブル305は、物理回線または論理回線の識別子と、VPN転送機能部(VPN接続サーバ)とを対応付けたものである。
また、VPN転送装置設定機能部403は、VPN転送装置121,122の各VPN接続テーブル303をあらかじめ設定する。図7にVPN接続テーブル303の例を示す。VPN接続テーブル303は、このテーブル303を含むVPN転送機能部に対応するVPN接続サーバが接続可能なVPNのVPN識別子と、このVPNにおいて当該VPN接続サーバを示すVPN端末識別子とを対応付けたものである。
なお、VPN接続テーブル206、VPN転送機能選択テーブル305およびVPN接続テーブル303の設定は、VPNサービスを管理する、WAN171の管理者がVPN管理サーバ151を通じて行う。また、VPN接続テーブル206の設定は、VPN接続サーバ111〜114の管理者が行ってもよい。
次に、VPN接続サーバ111〜114の管理者は、VPN接続サーバ111〜114の各ユーザ管理テーブル207をあらかじめ設定する。図8にユーザ管理テーブル207の例を示す。ユーザ管理テーブル207は、自装置のVPN接続サーバにアクセス可能なユーザのユーザ識別子と、ユーザ名と、自装置が接続可能なVPNのうちユーザがアクセス可能なVPNのVPN識別子とを対応付けたものである。
パケットの送信時に、ユーザはユーザ端末101からVPN接続サーバ111に対してユーザの識別を要求する。
図9はVPN接続サーバ111の動作を示すフローチャートである。VPN接続サーバ111のユーザ識別機能部202は、VPN接続サーバ111に接続したユーザ端末101のユーザを識別する(図9ステップS1)。
次に、ユーザは、ユーザ端末101からVPN接続サーバ111に対してVPN161への接続を要求する。
VPN接続サーバ111のVPN接続機能部203は、ユーザ管理テーブル207を参照し、ユーザ端末101を利用してVPN接続サーバ111にアクセスしたユーザを、要求されたVPN161に接続可能か否かを判定する(ステップS2)。
VPN接続機能部203は、ユーザ管理テーブル207に当該ユーザの識別子とVPN161の識別子とが対応付けて登録されている場合、ユーザが利用するユーザ端末101をVPN161に接続可能と判定し、当該ユーザの識別子とVPN161の識別子とが対応付けて登録されていない場合、ユーザ端末101をVPN161に接続することはできないと判定する。
VPN接続機能部203は、ステップS1で識別したユーザが利用するユーザ端末101をVPN161に接続できないと判定した場合、このユーザ端末101から送信された、VPN161に属するパケットを破棄して、VPN161への接続を拒否する(ステップS3)。
以下、ユーザが利用するユーザ端末101をVPN161に接続可能と判定された場合の動作を説明する。
ユーザは、VPN接続サーバ111に対して、VPN161を経由したVPN接続サーバ113へのパケット送信を要求する。ここで、パケットの宛先は、VPN接続サーバ113ではなく、特定のユーザ、特定のユーザ端末、VPN161に属する全ユーザ、VPN161に属する全ユーザ端末、VPN161に属する全VPN接続サーバ、またはそれらの組み合わせであってもよい。
VPN接続サーバ111の識別子付与機能部204は、ユーザ端末101からパケットを受信すると、VPN接続テーブル206およびユーザ管理テーブル207を参照し、ステップS1で識別したユーザの識別子とユーザ名とVPN161の識別子とをユーザ管理テーブル207から取得すると共に、VPN161におけるVPN接続サーバ111のVPN端末識別子をVPN接続テーブル206から取得し、ユーザ端末101から送信されVPN161を経由して宛先に向かうパケットに対して、ユーザ識別子とユーザ名とVPN161のVPN識別子とVPN接続サーバ111のVPN端末識別子とを付与する(ステップS4)。パケットに対しては、ユーザ識別子、ユーザ名、VPN識別子、VPN端末識別子の全てを付与する必要はなく、これらのうちいずれか1つを付与してもよいし、これらの任意の組み合わせを付与してもよい。
次に、VPN接続サーバ111のパケット送受信機能部201は、識別子付与機能部204が処理したパケットを物理回線141を介してVPN転送装置121に送信する(ステップS5)。
図10はVPN転送装置121の動作を示すフローチャートである。VPN転送装置121のパケット送受信機能部301は、VPN接続サーバ111からパケットを受信すると(図10ステップS10においてYES)、VPN転送機能選択テープル305を参照し、パケットを受信した物理回線141に対応するVPN転送機能部302(図1のVPN転送機能部131)を確認して、このVPN転送機能部302に受信したパケットを転送する(ステップS11)。
パケットを受信したVPN転送機能部302の識別判定廃棄機能部304は、受信したパケットに付与されたVPN端末識別子またはVPN識別子から受信パケットが属するVPN161を識別し、同じVPN転送機能部302内のVPN接続テーブル303を参照して、このVPN転送機能部302に対応する送信側のVPN接続サーバ111をVPN161に接続可能か否かを判定する(ステップS12)。VPN端末識別子からVPNを識別する場合には、VPN接続テーブル303を参照して、VPN端末識別子に対応するVPN識別子を確認すればよい。
識別判定廃棄機能部304は、同じVPN転送機能部302内のVPN接続テーブル303にVPN161の識別子が登録されている場合、VPN接続サーバ111をVPN161に接続可能と判定し、VPN接続テーブル303にVPN161の識別子が登録されていない場合、VPN接続サーバ111をVPN161に接続することはできないと判定する。識別判定廃棄機能部304は、VPN接続サーバ111をVPN161に接続できないと判定した場合、受信したパケットを廃棄する(ステップS13)。
VPN接続サーバ111をVPN161に接続可能と判定した場合、識別判定廃棄機能部304は、同じVPN転送機能部302内のVPN接続テーブル303を参照して、受信パケットに付与されたVPN端末識別子とVPN161においてVPN接続サーバ111を識別するためのVPN端末識別子とが一致するか否かを判定する(ステップS14)。
識別判定廃棄機能部304は、VPN接続テーブル303にVPN161の識別子と対応付けて登録されているVPN端末識別子と、受信パケットに付与されたVPN端末識別子とが同一である場合、VPN端末識別子が一致すると判定する。識別判定廃棄機能部304は、受信パケットに付与されたVPN端末識別子とVPN161においてVPN接続サーバ111を識別するためのVPN端末識別子とが一致しないと判定した場合、受信したパケットを廃棄する(ステップS13)。
以下、VPN接続サーバ111をVPN161に接続可能と判定され、かつ受信パケットに付与されたVPN端末識別子とVPN161においてVPN接続サーバ111を識別するためのVPN端末識別子とが一致すると判定された場合の動作を説明する。
この場合、VPN転送機能部302の識別判定廃棄機能部304は、受信したパケットをVPN転送装置121のパケット送受信機能部301に転送する。パケット送受信機能部301は、このパケットをWAN171内のVPN161を介してVPN転送装置122に送信する(ステップS15)。
図11はVPN転送装置122の動作を示すフローチャートである。VPN転送装置122のパケット送受信機能部301は、VPN161からパケットを受信すると(図11ステップS20においてYES)、受信したパケットをVPN161と論理的に接続されたVPN転送機能部302(図1のVPN転送機能部133)に転送する(ステップS21)。
パケットを受信したVPN転送機能部302は、VPN転送機能選択テープル305を参照し、自身のVPN転送機能部302に対応する論理回線143を確認して、受信したパケットを論理回線143を介してVPN接続サーバ113に送信する(ステップS22)。
図12はVPN接続サーバ113の動作を示すフローチャートである。VPN接続サーバ113のパケット送受信機能部201は、論理回線143からパケットを受信すると(図12ステップS30においてYES)、このパケットを識別判定機能部205に転送する(ステップS31)。
識別判定機能部205は、受信したパケットに付与されたユーザ識別子に基づき、このパケットの送信元のユーザを識別する(ステップS32)。そして、識別判定機能部205は、このパケットをパケット送受信機能部201に転送し、識別した送信元のユーザの情報を宛先のユーザ端末に通知可能な状態で保持する。
また、識別判定機能部205は、受信したパケットに付与されたユーザ名に基づき、このパケットの送信元のユーザを識別するようにしてもよい(ステップS32)。
また、識別判定機能部205は、受信したパケットに付与されたVPN端末識別子に基づき、このパケットを送信した送信側のVPN接続サーバ111を識別するようにしてもよい(ステップS32)。識別判定機能部205は、識別したVPN接続サーバ111の情報を宛先のユーザ端末に通知可能な状態で保持する。
さらに、識別判定機能部205は、受信したパケットに付与されたVPN端末識別子またはVPN識別子に基づき、このパケットを伝送したVPN161を識別するようにしてもよい(ステップS32)。VPN端末識別子からVPNを識別する場合には、VPN接続テーブル206を参照して、VPN端末識別子に対応するVPN識別子を確認すればよい。識別判定機能部205は、識別したVPN161の情報を宛先のユーザ端末に通知可能な状態で保持する。
パケット送受信機能部201は、識別判定機能部205から受信したパケットを宛先のユーザ端末105に送信する(ステップS33)。
ユーザ端末105は、VPN接続サーバ113から送信されたパケットをLAN183を介して受信する。
このとき、VPN接続サーバ113のパケット送受信機能部201は、識別判定機能部205で識別した送信元のユーザ、送信側のVPN接続サーバ111およびVPN161を示す情報をユーザ端末105に通知することが可能であり、ユーザ端末105では、これらの情報をパケットと共に受信することが可能である。
情報を通知する方法としては、ユーザ識別子、ユーザ名、VPN識別子、VPN端末識別子をパケット内へ書き込む方法、ユーザ識別子、ユーザ名、VPN識別子、VPN端末識別子を含むヘッダー情報をパケットに追加する方法、IPsec、SSL、VLAN、IPinIP、GRE、MPLS、ATM等の論理回線による方法、ユーザ端末からアクセス可能なWebページに表示する方法など、受信するユーザ端末において識別可能な方法であればよく、またこれらの例に限定されるものではない。また、送信元のユーザ、送信側のVPN接続サーバ111およびVPN161を示す情報のいずれか1つを通知してもよいし、これらの任意の組み合わせを通知してもよいし、これらの全てを通知してもよい。
以上のように、本実施の形態では、送信側のVPN接続サーバにおいて、ユーザ端末から受信したパケットに、ユーザ識別子、ユーザ名、接続可能と判定したVPNを示すVPN識別子、送信側のVPN接続サーバを示すVPN端末識別子を付与するようにしたので、情報の受信者にとって信頼性が高い送信者の識別情報の付与と情報の送信者にとって柔軟な送信者の識別情報の付与とを両立させることができる。
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において主々変更可能であることは勿論である。
なお、前記実施の形態におけるユーザ端末101〜108、VPN接続サーバ111〜114、VPN転送装置121,122、VPN管理サーバ151の各々は、それぞれCPU、記憶装置及びインタフェースを備えたコンピュータとこれらのハードウェア資源を制御するプログラムによって実現することができる。
これらのコンピュータを動作させるためのプログラムは、フレキシブルディスク、CD−ROM、DVD−ROM、メモリカードなどの記録媒体に記録された状態で提供される。それぞれのコンピュータのCPUは、読み込んだプログラムを記憶装置に書き込み、このプログラムに従って前記実施の形態で説明した処理を実行する。
本発明は、VPNサービスネットワークシステムにおいてVPNサービスに加入するユーザを管理する技術に適用することができる。
本発明の実施の形態に係るVPNサービスネットワークシステムの構成を示すブロック図である。 図1のVPNサービスネットワークシステムにおけるVPN接続サーバの構成例を示すブロック図である。 図1のVPNサービスネットワークシステムにおけるVPN転送装置の構成例を示すブロック図である。 図1のVPNサービスネットワークシステムにおけるVPN管理サーバの構成例を示すブロック図である。 図1のVPNサービスネットワークシステムにおけるVPN接続サーバのVPN接続テーブルの例を示す図である。 図1のVPNサービスネットワークシステムにおけるVPN転送装置のVPN転送機能選択テーブルの例を示す図である。 図1のVPNサービスネットワークシステムにおけるVPN転送装置のVPN接続テーブルの例を示す図である。 図1のVPNサービスネットワークシステムにおけるVPN接続サーバのユーザ管理テーブルの例を示す図である。 図1のVPNサービスネットワークシステムにおける送信側のVPN接続サーバの動作を示すフローチャートである。 図1のVPNサービスネットワークシステムにおける送信側のVPN転送装置の動作を示すフローチャートである。 図1のVPNサービスネットワークシステムにおける受信側のVPN転送装置の動作を示すフローチャートである。 図1のVPNサービスネットワークシステムにおける受信側のVPN接続サーバの動作を示すフローチャートである。
符号の説明
101〜108…ユーザ端末、111〜114…VPN接続サーバ、121,122…VPN転送装置、131〜134…VPN転送機能部、141,142,145…物理回線、143,144…論理回線、151…VPN管理サーバ、161〜163…VPN、171…WAN、181〜184…LAN、201…パケット送受信機能部、202…ユーザ識別機能部、203…VPN接続機能部、204…識別子付与機能部、205…識別判定機能部、206…VPN接続テーブル、207…ユーザ管理テーブル、301…パケット送受信機能部、302…VPN転送機能部、303…VPN接続テーブル、304…識別判定廃棄機能部、305…VPN転送機能選択テーブル、401…パケット送受信機能部、402…VPN接続サーバ設定機能部、403…VPN転送装置設定機能部。

Claims (10)

  1. VPNサービスを提供するWANの境界に設置され、このWANが提供するVPNとの間でパケットを送受信するVPN転送装置と、VPNサービスに加入するユーザが使用するユーザ端末と前記VPN転送装置との間でパケットを中継するVPN接続サーバとを含むVPNサービスネットワークシステムにおけるVPNユーザ管理方法であって、
    送信側のVPN接続サーバが、
    このVPN接続サーバに接続したユーザ端末のユーザを識別する第1のユーザ識別手順と、
    ユーザごとに接続可能なVPNが予め登録されたユーザ管理テーブルを参照し、前記識別したユーザをVPNに接続可能か否かを判定する第1の接続可否判定手順と、
    前記VPNへの接続が可能と判定された場合に、前記識別したユーザのユーザ端末から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、接続可能と判定されたVPNを示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与する識別子付与手順と、
    この識別子付与手順で識別子が付与されたパケットを自装置のVPN接続サーバに接続されたVPN転送装置に送信する第1の送信手順とを、実行することを特徴とするVPNユーザ管理方法。
  2. 請求項1記載のVPNユーザ管理方法において、
    前記VPN接続サーバから送信されたパケットを受信したVPN転送装置が、
    受信したパケットに付与されたVPN端末識別子またはVPN識別子からこのパケットが属するVPNを識別する転送先VPN識別手順と、
    VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録されたVPN接続テーブルを参照し、前記送信側のVPN接続サーバを前記転送先VPN識別手順で識別したVPNに接続可能か否かを判定する第2の接続可否判定手順と、
    前記VPN接続テーブルを参照し、前記受信したパケットに付与されたVPN端末識別子と前記VPNにおいて前記送信側のVPN接続サーバを識別するためのVPN端末識別子とが一致するか否かを判定するVPN端末識別子一致判定手順と、
    前記第2の接続可否判定手順で前記送信側のVPN接続サーバをVPNに接続可能と判定され、かつ前記VPN端末識別子一致判定手順でVPN端末識別子が一致すると判定された場合に、前記受信したパケットを前記転送先VPN識別手順で識別したVPNに転送する転送手順とを、実行することを特徴とするVPNユーザ管理方法。
  3. 請求項1記載のVPNユーザ管理方法において、
    前記VPN転送装置から送信されたパケットを受信した受信側のVPN接続サーバが、
    前記受信したパケットに付与されたユーザ識別子またはユーザ名に基づき、このパケットの送信元のユーザを識別する第2のユーザ識別手順と、
    前記受信したパケットに付与されたVPN端末識別子に基づき、このパケットを送信した送信側のVPN接続サーバを識別するVPN接続サーバ識別手順と、
    前記受信したパケットに付与されたVPN端末識別子またはVPN識別子に基づき、このパケットを伝送したVPNを識別する伝送VPN識別手順と、
    前記受信したパケットを受信側のユーザ端末に送信する第2の送信手順と、
    前記第2のユーザ識別手順で識別した送信元のユーザ、前記VPN接続サーバ識別手順で識別した送信側のVPN接続サーバ、前記伝送VPN識別手順で識別したVPNのうち少なくとも1つを、前記受信側のユーザ端末に通知する通知手順とを、実行することを特徴とするVPNユーザ管理方法。
  4. VPNサービスを提供するWANの境界に設置され、このWANが提供するVPNとの間でパケットを送受信するVPN転送装置と、VPNサービスに加入するユーザが使用するユーザ端末と前記VPN転送装置との間でパケットを中継するVPN接続サーバとを含むVPNサービスネットワークシステムであって、
    前記VPN接続サーバは、
    このVPN接続サーバに接続したユーザ端末のユーザを識別する第1のユーザ識別手段と、
    ユーザごとに接続可能なVPNが予め登録されたユーザ管理テーブルと、
    VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録された第1のVPN接続テーブルと、
    前記ユーザ管理テーブルを参照し、前記識別したユーザをVPNに接続可能か否かを判定する第1の接続可否判定手段と、
    前記VPNへの接続が可能と判定された場合に、前記識別したユーザのユーザ端末から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、接続可能と判定されたVPNを示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与する識別子付与手段と、
    この識別子付与手段で識別子が付与されたパケットを自装置のVPN接続サーバに接続されたVPN転送装置に送信する第1の送信手段と、
    前記VPN転送装置からパケットを受信したときに、このパケットに付与されたユーザ識別子またはユーザ名に基づき、このパケットの送信元のユーザを識別する第2のユーザ識別手段と、
    前記VPN転送装置から受信したパケットに付与されたVPN端末識別子に基づき、このパケットを送信した送信側のVPN接続サーバを識別するVPN接続サーバ識別手段と、
    前記VPN転送装置から受信したパケットに付与されたVPN端末識別子またはVPN識別子に基づき、このパケットを伝送したVPNを識別する伝送VPN識別手段と、
    前記VPN転送装置から受信したパケットを受信側のユーザ端末に送信する第2の送信手段と、
    前記第2のユーザ識別手段で識別した送信元のユーザ、前記VPN接続サーバ識別手段で識別した送信側のVPN接続サーバ、前記伝送VPN識別手段で識別したVPNのうち少なくとも1つを、前記受信側のユーザ端末に通知する通知手段とを備えることを特徴とするVPNサービスネットワークシステム。
  5. 請求項4記載のVPNサービスネットワークシステムにおいて、
    前記VPN転送装置は、
    送信側の前記VPN接続サーバから受信したパケットに付与されたVPN端末識別子またはVPN識別子からこのパケットが属するVPNを識別する転送先VPN識別手段と、
    VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録された第2のVPN接続テーブルと、
    前記第2のVPN接続テーブルを参照し、前記送信側のVPN接続サーバを前記転送先VPN識別手段で識別したVPNに接続可能か否かを判定する第2の接続可否判定手段と、
    前記第2のVPN接続テーブルを参照し、前記VPN接続サーバから受信したパケットに付与されたVPN端末識別子と前記VPNにおいて前記送信側のVPN接続サーバを識別するためのVPN端末識別子とが一致するか否かを判定するVPN端末識別子一致判定手段と、
    前記第2の接続可否判定手段で前記送信側のVPN接続サーバをVPNに接続可能と判定され、かつ前記VPN端末識別子一致判定手段でVPN端末識別子が一致すると判定された場合に、前記受信したパケットを前記転送先VPN識別手段で識別したVPNに転送する転送手段とを備えることを特徴とするVPNサービスネットワークシステム。
  6. VPNサービスに加入するユーザが使用するユーザ端末とVPNサービスを提供するWANの境界に設置されたVPN転送装置との間でパケットを中継するVPN接続サーバであって、
    自装置に接続したユーザ端末のユーザを識別する第1のユーザ識別手段と、
    ユーザごとに接続可能なVPNが予め登録されたユーザ管理テーブルと、
    VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録されたVPN接続テーブルと、
    前記ユーザ管理テーブルを参照し、前記識別したユーザをVPNに接続可能か否かを判定する接続可否判定手段と、
    前記VPNへの接続が可能と判定された場合に、前記識別したユーザのユーザ端末から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、接続可能と判定されたVPNを示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与する識別子付与手段と、
    この識別子付与手段で識別子が付与されたパケットを自装置に接続されたVPN転送装置に送信する第1の送信手段とを備えることを特徴とするVPN接続サーバ。
  7. 請求項6記載のVPN接続サーバにおいて、
    さらに、前記VPN転送装置からパケットを受信したときに、このパケットに付与されたユーザ識別子またはユーザ名に基づき、このパケットの送信元のユーザを識別する第2のユーザ識別手段と、
    前記VPN転送装置から受信したパケットに付与されたVPN端末識別子に基づき、このパケットを送信した送信側のVPN接続サーバを識別するVPN接続サーバ識別手段と、
    前記VPN転送装置から受信したパケットに付与されたVPN端末識別子またはVPN識別子に基づき、このパケットを伝送したVPNを識別する伝送VPN識別手段と、
    前記VPN転送装置から受信したパケットを受信側のユーザ端末に送信する第2の送信手段と、
    前記第2のユーザ識別手段で識別した送信元のユーザ、前記VPN接続サーバ識別手段で識別した送信側のVPN接続サーバ、前記伝送VPN識別手段で識別したVPNのうち少なくとも1つを、前記受信側のユーザ端末に通知する通知手段とを備えることを特徴とするVPN接続サーバ。
  8. VPNサービスを提供するWANの境界に設置され、このWANが提供するVPNとの間でパケットを送受信するVPN転送装置であって、
    VPNサービスに加入するユーザが使用するユーザ端末とVPN転送装置との間でパケットを中継するVPN接続サーバから受信したパケットに付与されたVPN端末識別子またはVPN識別子からこのパケットが属するVPNを識別する転送先VPN識別手段と、
    VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録されたVPN接続テーブルと、
    前記VPN接続テーブルを参照し、送信側の前記VPN接続サーバを前記転送先VPN識別手段で識別したVPNに接続可能か否かを判定する接続可否判定手段と、
    前記VPN接続テーブルを参照し、前記VPN接続サーバから受信したパケットに付与されたVPN端末識別子と前記VPNにおいて前記送信側のVPN接続サーバを識別するためのVPN端末識別子とが一致するか否かを判定するVPN端末識別子一致判定手段と、
    前記接続可否判定手段で前記送信側のVPN接続サーバをVPNに接続可能と判定され、かつ前記VPN端末識別子一致判定手段でVPN端末識別子が一致すると判定された場合に、前記受信したパケットを前記転送先VPN識別手段で識別したVPNに転送する転送手段とを備えることを特徴とするVPN転送装置。
  9. VPNサービスに加入するユーザが使用するユーザ端末とVPNサービスを提供するWANの境界に設置されたVPN転送装置との間でパケットを中継するVPN接続サーバとしてコンピュータを動作させるVPN接続サーバプログラムであって、
    送信側のVPN接続サーバとして動作する場合に、
    このVPN接続サーバに接続したユーザ端末のユーザを識別する第1のユーザ識別手順と、
    ユーザごとに接続可能なVPNが予め登録されたユーザ管理テーブルを参照し、前記識別したユーザをVPNに接続可能か否かを判定する接続可否判定手順と、
    前記VPNへの接続が可能と判定された場合に、前記識別したユーザのユーザ端末から受信したパケットに、ユーザ識別子およびユーザ名のうち少なくとも1つと、接続可能と判定されたVPNを示すVPN識別子と、自装置のVPN接続サーバを示すVPN端末識別子とを付与する識別子付与手順と、
    この識別子付与手順で識別子が付与されたパケットを自装置のVPN接続サーバに接続されたVPN転送装置に送信する第1の送信手順とを、コンピュータに実行させ、
    前記VPN転送装置から送信されたパケットを受信した受信側のVPN接続サーバとして動作する場合に、
    前記VPN転送装置から受信したパケットに付与されたユーザ識別子またはユーザ名に基づき、このパケットの送信元のユーザを識別する第2のユーザ識別手順と、
    前記VPN転送装置から受信したパケットに付与されたVPN端末識別子に基づき、このパケットを送信した送信側のVPN接続サーバを識別するVPN接続サーバ識別手順と、
    前記VPN転送装置から受信したパケットに付与されたVPN端末識別子またはVPN識別子に基づき、このパケットを伝送したVPNを識別する伝送VPN識別手順と、
    前記VPN転送装置から受信したパケットを受信側のユーザ端末に送信する第2の送信手順と、
    前記第2のユーザ識別手順で識別した送信元のユーザ、前記VPN接続サーバ識別手順で識別した送信側のVPN接続サーバ、前記伝送VPN識別手順で識別したVPNのうち少なくとも1つを、前記受信側のユーザ端末に通知する通知手順とを、コンピュータに実行させることを特徴とするVPN接続サーバプログラム。
  10. VPNサービスを提供するWANの境界に設置され、このWANが提供するVPNとの間でパケットを送受信するVPN転送装置としてコンピュータを動作させるVPN転送装置プログラムであって、
    VPNサービスに加入するユーザが使用するユーザ端末とVPN転送装置との間でパケットを中継するVPN接続サーバから受信したパケットに付与されたVPN端末識別子またはVPN識別子からこのパケットが属するVPNを識別する転送先VPN識別手順と、
    VPN接続サーバが接続可能なVPNとこのVPN接続サーバのVPN端末識別子とが対応付けて予め登録されたVPN接続テーブルを参照し、送信側の前記VPN接続サーバを前記転送先VPN識別手順で識別したVPNに接続可能か否かを判定する接続可否判定手順と、
    前記VPN接続テーブルを参照し、前記受信したパケットに付与されたVPN端末識別子と前記VPNにおいて前記送信側のVPN接続サーバを識別するためのVPN端末識別子とが一致するか否かを判定するVPN端末識別子一致判定手順と、
    前記接続可否判定手順で前記送信側のVPN接続サーバをVPNに接続可能と判定され、かつ前記VPN端末識別子一致判定手順でVPN端末識別子が一致すると判定された場合に、前記受信したパケットを前記転送先VPN識別手順で識別したVPNに転送する転送手順とを、コンピュータに実行させることを特徴とするVPN転送装置プログラム。
JP2007191816A 2007-07-24 2007-07-24 Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム Expired - Fee Related JP4946692B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007191816A JP4946692B2 (ja) 2007-07-24 2007-07-24 Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007191816A JP4946692B2 (ja) 2007-07-24 2007-07-24 Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム

Publications (2)

Publication Number Publication Date
JP2009033215A true JP2009033215A (ja) 2009-02-12
JP4946692B2 JP4946692B2 (ja) 2012-06-06

Family

ID=40403283

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007191816A Expired - Fee Related JP4946692B2 (ja) 2007-07-24 2007-07-24 Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム

Country Status (1)

Country Link
JP (1) JP4946692B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011055305A (ja) * 2009-09-02 2011-03-17 Nippon Telegr & Teleph Corp <Ntt> Vpn設定システム、vpn設定方法及びvpn設定プログラム
JP2011199796A (ja) * 2010-03-24 2011-10-06 Hitachi Ltd 通信システムおよび通信システムの制御方法
WO2024111088A1 (ja) * 2022-11-24 2024-05-30 日本電信電話株式会社 分析装置、分析方法及び分析プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004080272A (ja) * 2002-08-14 2004-03-11 Nippon Telegr & Teleph Corp <Ntt> 通信ネットワークシステム、サービス処理制御方法、プロバイダサーバおよびサービス処理装置
JP2004242161A (ja) * 2003-02-07 2004-08-26 Nippon Telegr & Teleph Corp <Ntt> データ通信網システムおよびデータ通信網接続制御方法
JP2005341167A (ja) * 2004-05-26 2005-12-08 Toshiba Corp パケットフィルタリング装置、パケットフィルタリング方法、パケットフィルタリングを行うプログラム及び記録媒体

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004080272A (ja) * 2002-08-14 2004-03-11 Nippon Telegr & Teleph Corp <Ntt> 通信ネットワークシステム、サービス処理制御方法、プロバイダサーバおよびサービス処理装置
JP2004242161A (ja) * 2003-02-07 2004-08-26 Nippon Telegr & Teleph Corp <Ntt> データ通信網システムおよびデータ通信網接続制御方法
JP2005341167A (ja) * 2004-05-26 2005-12-08 Toshiba Corp パケットフィルタリング装置、パケットフィルタリング方法、パケットフィルタリングを行うプログラム及び記録媒体

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011055305A (ja) * 2009-09-02 2011-03-17 Nippon Telegr & Teleph Corp <Ntt> Vpn設定システム、vpn設定方法及びvpn設定プログラム
JP2011199796A (ja) * 2010-03-24 2011-10-06 Hitachi Ltd 通信システムおよび通信システムの制御方法
US8724641B2 (en) 2010-03-24 2014-05-13 Hitachi, Ltd. Communication system and control method for communication system
WO2024111088A1 (ja) * 2022-11-24 2024-05-30 日本電信電話株式会社 分析装置、分析方法及び分析プログラム

Also Published As

Publication number Publication date
JP4946692B2 (ja) 2012-06-06

Similar Documents

Publication Publication Date Title
JP4664143B2 (ja) パケット転送装置、通信網及びパケット転送方法
US9154512B2 (en) Transparently proxying transport protocol connections using an external server
US7978714B2 (en) Methods and systems for securing access to private networks using encryption and authentication technology built in to peripheral devices
US8285875B2 (en) Synchronizing resource bindings within computer network
JP4142014B2 (ja) ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラム
US20160337372A1 (en) Network system, controller and packet authenticating method
EP2978174B1 (en) Interest return control message
EP2731313B1 (en) Distributed cluster processing system and message processing method thereof
US20150143501A1 (en) Path selection in a multi-service and multi-tenant secure cloud environment
CN105917689A (zh) 以信息为中心的网络中的安全的点对点组
JP6364106B2 (ja) DiameterシグナリングルータにおいてDiameterメッセージをルーティングするための方法、システムおよびコンピュータ読取可能媒体
KR20150076041A (ko) 가상 사설 클라우드망에서 사설 ip 주소 기반의 멀티 테넌트를 지원하기 위한 시스템 및 그 방법
WO2017133647A1 (zh) 一种报文处理方法、流分类器和业务功能实例
WO2015070755A1 (zh) 网络安全方法和设备
JP2007096666A (ja) 通信システム
WO2009149646A1 (zh) 端口切换方法、网络设备及网络系统
JP4946692B2 (ja) Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム
WO2017028391A1 (zh) 虚拟网络通信的方法及装置
JP2010239591A (ja) ネットワークシステム、中継装置、およびネットワーク制御方法
JP2013134711A (ja) 医療クラウドシステム
US11595367B2 (en) Selectively disclosing content of data center interconnect encrypted links
JP2004134855A (ja) パケット通信網における送信元認証方法
JP5497548B2 (ja) 通信システム、転送制御装置、通信方法および通信プログラム
JP2005086700A (ja) 名前解決・認証方法及び装置
KR20180007898A (ko) 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100709

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100709

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111014

TRDD Decision of grant or rejection written
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20120208

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120220

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120208

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees