JP2009089062A - 仮想ネットワークシステム及び仮想ネットワーク接続装置 - Google Patents

仮想ネットワークシステム及び仮想ネットワーク接続装置 Download PDF

Info

Publication number
JP2009089062A
JP2009089062A JP2007256461A JP2007256461A JP2009089062A JP 2009089062 A JP2009089062 A JP 2009089062A JP 2007256461 A JP2007256461 A JP 2007256461A JP 2007256461 A JP2007256461 A JP 2007256461A JP 2009089062 A JP2009089062 A JP 2009089062A
Authority
JP
Japan
Prior art keywords
information
computer
virtual
virtual network
virtual address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007256461A
Other languages
English (en)
Other versions
JP4835569B2 (ja
Inventor
Kenji Kono
健二 河野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2007256461A priority Critical patent/JP4835569B2/ja
Publication of JP2009089062A publication Critical patent/JP2009089062A/ja
Application granted granted Critical
Publication of JP4835569B2 publication Critical patent/JP4835569B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】複数のプライベートネットワーク(PN)に跨るVPNを構成する場合において、VPNに接続するホストについてのアクセス許可の設定のための仕組みを提供する。
【解決手段】各PN内にVPN管理サーバVS1,VS2とVPN管理モジュールVM1,VM2を設ける。クライアントCL1は、自分自身の固有情報をVPN管理モジュールVM1に提出して接続定義ファイルを得る。VM1は、CL1に対して固定の仮想IPアドレス(VIP)を付与し、CL1とそのVIPの対応関係を他のVPN管理モジュールVM2に通知する。VM1は、VPNに参加したサーバSV1からアクセス許可の設定操作を受けると、その設定の情報と、クライアントとVIPの対応関係とに基づき、SV1に対するパケットフィルタリングの設定を行う。アクセス許可のないVIPからのパケットはSV1には転送されない。
【選択図】図2

Description

本発明は、仮想ネットワークシステム及び仮想ネットワーク接続装置に関する。
近年、VPN(Virtual Private Network:仮想プライベートネットワーク)サービスが普及している。VPNサービスは、ホスト又は拠点と他のホスト又は拠点とがインターネット等の公衆ネットワークを介して専用線のように排他的に通信できるようにするサービスである。また、複数のプライベートネットワーク又はVPNを相互接続して1つのVPNを構成する技術が提案されている。
特許文献1に開示されたシステムでは、VPN接続装置同士が無線により互いのアクセス情報(グローバルIPアドレスとポート番号)を交換し、これらアクセス情報を用いて互いにVPN接続を行う。また、特許文献1には、VPNを構築すべき機器群がグループとして登録され、そのグループの中から通信相手を選択することが開示される。また、グループに対するメンバの参加や離脱を管理することも示される。
特許文献2及び3には、インターネットサービスプロバイダを跨るVPNを構築するための技術が示される。これらの技術では、両インターネットサービスプロバイダのネットワーク接続部分のインターワークゲートウェーにおいて、各パケットの方路を決定する際に、VPNを構成するために導入されるカプセル化ヘッダの領域とIPヘッダ両方の領域の情報を用いて方路を決定し、更に出力側網におけるカプセル化ヘッダも前記情報から構成する。
特許文献4に開示されたシステムでは、プロバイダがプライベートネットワーク間の相互接続のための設定をし、プライベートネットワークの構成要素を選択する。発信元アドレス、送信先アドレス、プロトコル種別による帯域制御を行う手段を有することが可能なルータを設置している。
特許文献5に示されたシステムでは、VPN同士の接続のために、各サービス事業者に、VPNの識別番号を含む内部ネットワーク用データパケットを送受信する内部ネットワークと、VPNの識別番号を含まないデータパケットを送受信し識別番号毎に異なる回線を持つ外部通信回線との間で相互にデータパケットを変換する相互接続装置を設ける。相互接続装置同士は、さらに別の管理用通信回線によって接続され、互いのVPNの変換情報を交換する。
特許文献6に開示されているシステムは、VPN全体にわたる端末間問題を解決するオーバシーアによりサービス品質および信頼性の最低基準を満たす。
特開2006−319873号公報 特開2006−174510号公報 特開2000−341327号公報 特開2002−330160号公報 特開2001−326692号公報 特表2003−508955号公報
複数のプライベートネットワーク(以下PNと略す)を相互接続して1つのVPNを構成する場合を考える。この場合、各PNのネットワーク管理者は、それぞれ自分の管理するPN内のサーバに対するアクセス権を他のPNのクライアントに対して設定しようとすれば、他のPNのネットワーク管理者にそれら各PNに接続しているクライアントの構成を問い合わせる必要がある。また、ネットワークの構成は日々更新されるものであり、更新された情報をPN同士が定期的に交換するのは、膨大な管理コストがかかる。また、各PN内でDHCP(Dynamic Host Configuration Protocol)を導入している場合は、各クライアントとのIPアドレスが接続ごとに変わるため、クライアントを特定することが困難となり、正確なアクセス制御が困難であった。だからといって固定IPアドレスでPNを構成したのではネットワークの管理コストが膨大となってしまう。
本発明は、複数のプライベートネットワークに跨る仮想ネットワークシステムを構成する場合において、その仮想ネットワークシステムに接続するコンピュータについてのアクセス許可の設定のための仕組みを提供する。
本発明の1つの側面では、複数の仮想ネットワーク接続装置を有する仮想ネットワークシステムを提供する。このシステムにおいて、前記複数の仮想ネットワーク接続装置の各々は、前記仮想ネットワークシステムに接続する各コンピュータと当該コンピュータの仮想アドレスとの対応関係の情報を記憶する記憶手段と、登録要求を送信したコンピュータに対して仮想アドレスを割り当てる割当手段と、前記割当手段が割り当てた仮想アドレスとコンピュータとの対応関係を表す対応関係情報を、前記複数の仮想ネットワーク接続装置のうちの他の仮想ネットワーク接続装置に通知する通知手段と、前記複数の仮想ネットワーク接続装置のうちの他の仮想ネットワーク接続装置から通知されてきた対応関係情報と、前記割当手段が割り当てた仮想アドレスとコンピュータとの対応関係情報とを前記記憶手段に登録する登録手段と、前記仮想ネットワークシステムに接続する第1のコンピュータから、当該第1のコンピュータに対するアクセスを許可するコンピュータを特定する情報の入力を受け付け、受け付けた情報と前記記憶手段に記憶された対応関係の情報とに基づき、前記第1のコンピュータの仮想アドレスに対するアクセスが許可される他の仮想アドレスを表すアクセス制御情報を生成する生成手段と、到来した伝送情報を、当該伝送情報の送信元仮想アドレス及び送信先仮想アドレスに従って伝送する伝送手段であって、送信先仮想アドレスが前記第1のコンピュータである伝送情報の送信元仮想アドレスが前記アクセス制御情報に基づき前記第1のコンピュータの仮想アドレスに対するアクセスが許可されないと判定される仮想アドレスである場合、当該伝送情報は前記第1のコンピュータに伝送しないよう制御する伝送制御手段と、を備える。
1つの態様では、前記複数の仮想ネットワーク接続装置の各々は、前記登録要求を送信したコンピュータから当該コンピュータの固有情報を取得する取得手段と、前記取得手段が取得した当該コンピュータの固有情報に対応づけられた鍵情報を含んだ接続定義情報を生成し、前記登録要求を送信した前記コンピュータに送信する手段と、前記取得手段が取得した前記コンピュータの固有情報を、前記割当手段が前記コンピュータに割り当てた仮想アドレスと対応づけて前記記憶手段に登録する手段と、前記コンピュータから前記鍵情報を含んだ接続要求を受けた場合に、前記鍵情報に対応する固有情報と対応づけた前記記憶手段に登録された仮想アドレスを用いて前記仮想ネットワークシステムに接続することを前記コンピュータに許可する許可手段と、を更に備える。
仮想ネットワーク接続装置が割り当てた仮想アドレスとホストとの対応関係を、仮想ネットワーク接続装置間で共有することができ、仮想ネットワークを介するコンピュータへのアクセスをそれら共有された仮想アドレスの情報を用いて設定することができる。
以下、図面を参照して本発明の実施の形態を説明する。
図1に示すネットワークの例では、複数のプライベートネットワークPN1〜PN3が、インターネット150を介して相互接続されている。PN1〜PN3の各々は、外部からアクセスができないネットワークであり、例えば異なる企業の社内ネットワークである。個々のプライベートネットワークは、典型的にはLAN(ローカルエリアネットワーク)として構成されるが、VPN(仮想プライベートネットワーク)技術を用いて構成される場合もある。
この例では、それらPN1〜PN3に参加するクライアントやサーバが、1つの仮想的なネットワークを構成して相互にアクセスできるようにする。このような複数のプライベートネットワークに跨る仮想ネットワークのことを、以下ではコミュニティネットワークと呼ぶことにする。なお、クライアントCL1やサーバSV1はあくまで代表として示したものであり、個々のプライベートネットワーク内には、それぞれ複数のクライアントや複数のサーバが含まれてもよい。
この例では、各PN1〜PN3の中に、コミュニティネットワーク100専用のVPN(すなわちVPN1〜VPN3)をそれぞれ形成する。VPN1〜VPN3の各々は、例えば、プライベートネットワーク内にVPNサーバを設けることにより形成できる。VPNサーバは、VPN装置又はVPNゲートウェイ等とも呼ばれる。
この例では、それらVPN1〜VPN3をそれぞれVPN技術で相互接続することにより、コミュニティネットワーク100を形成する。クライアントCL1〜CL3やサーバSV1は、それぞれ自分の属するプライベートネットワーク内に形成されたVPNに接続することで、コミュニティネットワーク100に参加することができる。例えば、PN1内にあるサーバSV1をコミュニティネットワーク100上に公開したい場合は、SV1がVPN1に対しVPN接続を行えばよい。
なお、VPNを構築する基盤技術としては、OpenVPNやIPSec(IP security)などの様々な技術が知られているが、以下に説明する方式は、そのような基盤技術のいずれに対しても適用可能である。
このシステムでは、例えばサーバSV1がVPN1に参加した場合、SV1にはVPN1上での仮想アドレスが割り当てられる。同様に、あるVPNに参加した装置には、そのVPNでの仮想アドレスが割り当てられる。以下では、仮想アドレスとしてIP(Internet Protocol)アドレスを割り当てる例を説明するが、仮想アドレスにはMAC(Media Access Control)アドレスのような他の種類のアドレスを用いてもよい。なお、仮想のIPアドレスを以下ではVIPと略す。
なお、図1では3つのプライベートネットワークに跨るコミュニティネットワーク100を例示するが、本実施形態の方式は、そのような例に限らず、2以上のプライベートネットワークからコミュニティネットワークを構成する場合一般に適用可能である。
図2に、より詳細なシステム構成を示す。図2は、2つのプライベートネットワークPN1及びPN2内に形成されたVPN1及びVPN2が相互にVPN接続される構成を示している。
この例において、VPNサーバVS1は、PN1内に設置され、VPN1を形成するためのVPN接続サービスを提供する。同様にVPNサーバVS2は、VPN2を形成するためのサービスを提供する。例えば、PN1内のサーバSV1及びクライアントCL1は、VPNサーバVS1に対してVPN接続を行うことでVPN1に参加し、ひいてはコミュニティネットワーク100に参加する。また、VPNサーバVS1及びVS2は、それぞれ予め設定された相手VPNサーバ(この例ではVS2及びVS1)とVPN接続する機能を備える。なお、サーバSV1及びクライアントCL1〜CL3には、VPN接続のためのクライアントプログラムモジュール(VPNクライアント)がインストールされている。後で説明するVPN接続のための処理はそのVPNクライアントにより実行される。
なお、コミュニティネットワーク100を構成するVPNサーバ同士は、お互いのグローバルIPアドレスの情報を有しており、この情報を用いてVPN接続を実現する。
VPN管理モジュールVM1は、PN1内に設置され、VPN1に参加しようとするクライアントCL1及びサーバSV1の情報を管理する。より詳しくは、VPN管理モジュールVM1は、それらクライアントCL1及びサーバSV1の情報を取得し、その情報に基づきCL1用及びSV1用の接続定義ファイル(詳細は後述)をそれぞれ生成する。クライアントCL1及びサーバSV1は、VPN管理モジュールVM1から提供される接続定義ファイルを用いてVPNサーバVS1にVPN接続を行う。同様にVPN管理モジュールVM2は、VPN2に参加しようとするクライアント及びサーバの情報を管理する。
また、VPN管理モジュールVM1及びVM2は、それぞれコミュニティネットワーク100内の他のVPN管理モジュールとの間で情報を交換することで、コミュニティネットワーク100内のクライアントやサーバの情報を得る。
OpenVPNやIPSecなどでは、DHCP(Dynamic Host Configuration Protocol)を利用して、VPN接続を要求したクライアントやサーバに対して動的に仮想IPアドレス(VIP)を割り当てる場合がある。しかし、単なるDHCPでは、基本的には、同じ装置でもアクセスのたびに異なるVIPが割り当てられる。
これに対し、本実施形態では、VPNに接続する可能性のある個々の装置に対してVIPをあらかじめ対応づけておき、それら装置が実際にVPNに接続する際には、対応するVIPが割り当てられるようにする。装置とVIPの対応付けはVPN管理モジュールVM1及びVM2が行う。VPNサーバVS1及びVS2は、VPN管理モジュールVM1及びVM2が管理する対応付けの情報を参照して、実際の装置に対するVIPの割り当てを行う。
また、VPN管理モジュールVM1は、そのような対応付けの情報を用いることで、VPN1内のサーバSV1についてのアクセス制御を行う。VPN管理モジュールVM2も同様の機能を備える。
次に、図3を参照して、クライアントが自分の属するプライベートネットワーク内のVPN管理モジュールに対して接続登録を行う際の処理手順について説明する。以下では、PN1内のクライアントCL1がVPN管理モジュールVM1に接続登録を行う場合を例にとって説明する。なお、以下に説明するクライアントCL1の処理は、CL1にインストールされたVPNクライアントにより実行される。
この手順では、クライアントCL1を操作するユーザが、VPN管理モジュールVM1にアクセスし、認証情報の入力操作を行う(S1)と、VM1はその認証情報を用いてユーザ認証を実行する(S2)。認証情報は、例えば、当該ユーザのアカウント名とパスワードの組合せでもよいし、指紋等の生体情報であってもよい。ユーザの認証情報は、例えば、あらかじめVM1に登録されている。また、ステップS2の認証は、ユーザ固有の秘密情報を記憶したICカードその他のハードウエアトークンを用いて行ってもよい。また、PN1内の認証サーバが、VM1に変わって認証処理を代行してもよい。認証が成功すると、CL1はVM1にログインし、接続定義ファイルを要求することが可能となる。
接続定義ファイルの取得のため、クライアントCL1は、当該クライアントの固有情報を取得する(S3)。固有情報は、クライアントを一意に識別する情報である。ここで用いる固有情報は、容易に改ざんできないものである必要がある。例えば、クライアントが備えるハードウエア要素(例えばネットワークインタフェースカードやハードディスクドライブ)又はオペレーティングシステムの識別情報、或いはそれら識別情報の組合せ、をハッシュ関数等の関数に代入することで固有情報を求める方式が知られている。このシステムではそのような方式を用いればよい。また、認証に用いられるハードウエアトークン内の秘密情報から(例えば所定の関数を用いて)求められる情報を固有情報としてもよい。
固有情報が求められると、クライアントCL1は、接続定義ファイルの発行要求をVPN管理モジュールVM1に送る(S4)。接続定義ファイル発行要求のデータ構造の例を図4に示す。図示のように発行要求には、操作したユーザのアカウント情報(アカウントID、又はアカウントIDとパスワードの組合せ、など)と、当該クライアントCL1の固有情報とが含まれる。また、発行要求には、当該クライアントCL1のホスト名が含まれていてもよい。発行要求にクライアントのホスト名が含まれる場合、そのホスト名がVM1によりコミュニティネットワーク100内に報知されるため、コミュニティネットワーク100内の他のホストからそのクライアントにアクセスすることが可能となる。したがって、ユーザがそのクライアントCL1内のリソースをコミュニティネットワーク100内に公開したい場合にのみ、CL1のホスト名を発行要求のデータに記述する。この場合、VPNクライアントの提供するUI(ユーザインタフェース)に対してユーザが公開のための操作を行えば、VPNクライアントが発行要求のデータにホスト名を組み込む。なお、この発行要求の中の情報、特に固有情報は、暗号化などにより保護しておくことが望ましい。
VPN管理モジュールVM1は、クライアント及びサーバの情報を保持する接続情報DB(データベース)(図示省略)を備える。接続定義ファイル発行要求を受け取ったVM1は、接続情報DB内に、ユーザアカウントとクライアントCL1との組合せに対応する新たなレコードを生成し、発行要求中のユーザアカウント情報、ホスト名(もしあれば)、及び固有情報をそのレコード中の各項目として登録する(S5)。またVM1は、そのクライアントとユーザアカウントとの組合せに対応するVIPを決定し、接続情報DBに登録する。
なお、このとき決定したVIPは、今後、クライアントCL1がVPN1に対してVPN接続する際に、VPNサーバVS1によりそのCL1に割り当てられる。VPN1に対して接続していたCL1がその接続を断ったとしても、与えられたVIPは確保されており、再度CL1がVPN1に参加する際には同じVIPが割り当てられる。
接続情報DBのデータ内容に一例を図5に示す。この例では、1つのレコードには、ユーザアカウント、ホスト名、ドメイン情報、AL(アクセスレベル)、固有情報、及びVIPの各項目が含まれる。これらの内、ドメイン情報とAL以外は既に説明した。ドメイン情報は、コミュニティネットワーク100を構成する個々のVPNのドメイン名であり、これはコミュニティネットワーク100内でのみ有効である。1つのVPNサーバ(及びそれに対応するVPN管理モジュール)が1つのVPNドメインを形成する。レコード中のドメイン情報の欄には、VPN管理モジュールが自分自身の属するVPNドメインを記入する。例えば、VPN1のドメインが"vpn1.com"、VPN2のドメインが"vpn2.com"等と、あらかじめ規定しておけばよい。
このシステムでは、接続情報DBのデータ内容は、コミュニティネットワーク100内の他のVPN管理モジュールとの間で共有される。したがって、コミュニティネットワーク100内の他のVPNからでも、アカウントとドメインの組み合わせでユーザを特定することが可能となる。また、ホスト名とドメインでクライアントコンピュータを特定できる。
また、AL(アクセスレベル)は、そのレコードが表すユーザ又はホスト(クライアント又はサーバ)のアクセス権のレベルを示す。以下の例では、AL「1」は一般ユーザ、「2」はリーダー、「3」はマネージャ、「4」は管理者を示す。アクセスレベルの値は、例えば、システム管理者が割り当てればよい。また、ユーザのアクセスレベルが登録されたユーザデータベースを各プライベートネットワーク内に設けておきステップS1及びS2のユーザ認証により特定されたユーザのアクセスレベルを、VPN管理モジュールVM1がそのデータベースから読み出して接続情報DBに登録してもよい。また、アクセスレベル「0」は当該ホストがサーバであることを示す。例えば、ホストの管理者が、当該ホストをVPN接続のためにVPN管理モジュールに登録する際、そのホストを「サーバとして登録する」ことを指定した場合、その指定情報が接続定義ファイル発行要求に組み込まれる。VPN管理モジュールはその指定情報があれば、そのホストのレコードについてのアクセスレベルを「0」に設定する。
なお、図5の例の最初のレコードは、一般ユーザ"smith"の操作するクライアント(ホスト名"galaxy")が、コミュニティネットワーク100内に自分のリソースを公開する形で登録されていることを示す。一方、2番目のレコードに対応するクライアントは、コミュニティネットワーク100には参加するが、自分のリソースは公開しない。
接続情報DBへの情報登録の後、VPN管理モジュールVM1は、要求元のクライアントCL1のための接続定義ファイルを生成し、CL1に送信する(S6)。接続定義ファイルのデータ内容の一例を図6に示す。図示のように、接続定義ファイルには、ユーザアカウント、ホスト名(もしあれば)、ドメイン、VIP、OpenVPN接続のためのクライアント証明書(及びこれに対応する秘密鍵)が格納される。また、接続定義ファイル中に、CL1に割り当てたVIPの値を組み込んでもよい。
なお、この証明書はVPN1の構築のためにOpenVPNが用いられる場合のものである。他のVPN方式が用いられる場合は、その証明書は必要ない(ただし、その方式に応じた他の情報が必要となる場合はある)。
接続定義ファイルに含まれるクライアント証明書及び秘密鍵は、VM1が認証局(CA)となって発行すればよい。クライアント証明書のうち、主体者のDN(Distinguished Name)は、上述のユーザアカウント(又はクライアントCL1のホスト名)とドメイン情報を用いて生成することができる。当該ユーザの公開鍵と秘密鍵のペアは、VM1が自動生成すればよい。ただし、秘密鍵については、暗号化により保護した上で、クライアントCL1に送信する必要がある。その際の暗号鍵には、例えば、当該クライアントCL1の固有情報、又はこの固有情報から所定の方式で求められる値、を用いればよい。なお、秘密鍵だけでなく、秘密鍵を含む接続定義ファイル全体を、固有情報又はこれに由来する値により暗号化してもよい。また、接続定義ファイルに対し、VM1によるデジタル署名を付加してもよい。
接続定義ファイルを受信したクライアントCL1は、その接続定義ファイルを後の利用に備えて保存する(S7)。固有情報としてハードウエアトークンに由来する情報を用いる場合は、接続定義ファイルはハードウエアトークンに保存してもよい。
なお、VPN管理モジュールVM1は、上述のようにして新たなクライアント(又はサーバ)についてのレコードを接続情報DBに登録すると、そのレコードを追加した旨の通知を、コミュニティネットワーク100内の他のすべてのVPN管理モジュールに通知する(S8)。この通知は、コミュニティネットワーク100内のVPN接続を用いて行えばよい。また、各VPN管理モジュールに、コミュニティネットワーク100内の他のVPN管理モジュールのグローバルIPアドレスを(当該モジュールの管理者などが)事前に登録しておき、それら各モジュールがその情報を用いてインターネット150を介して他のモジュールにその通知を行ってもよい。
また、VPN管理モジュールは、他のVPN管理モジュールからその通知を受け取った場合、その通知に含まれるレコードを、自分の接続情報DBに追加する。このように接続情報のレコードのやりとりすることにより、各VPN管理モジュールは、コミュニティネットワーク100に対して参加(即ちVPN接続)する可能性のあるすべてのクライアントやサーバについて、それを操作するユーザのアカウント、ホスト名(もし登録されていれば)、ドメイン名、VIPなどの情報を自らの接続情報DBに保持する。なお、他のVPN管理モジュールへ通知するレコードの情報には、当該ホストの固有情報は含めない。
図5に例示したVPN管理モジュールVM1の接続情報DBのデータ内容例は、VPN1内のホストのみのレコード群を示したものであった。図7に、他のVPNに属するホストについてのレコードも含んだ例を示す。
図7の例では、レコードに項目「サービス」が追加されている。この項目は、当該レコードに対応するホストが、コミュニティネットワーク100上の他のホストに提供するサービスの種類を示している。サービスの種類は、例えば、当該ホストが受け付けるプロトコル(例えばHTTP,FTP(File Transfer Protocol)、SMB(Server Massage Block)など)で表される。このサービスの種類は、あるホストについての接続定義ファイルの発行要求を指示する際に、ユーザがそのホストの公開の指示と共に入力すればよい。
なお、同じコミュニティネットワーク100に属するあるVPN管理モジュールが割り当てるVIPと、別のVPN管理モジュールが割り当てるVIPとは、重複しないようにする。このための方法としては従来様々なものが提案されており、そのような従来手法を用いればよい。例えば、各VPN管理モジュールが割り当て可能なVIPの範囲を、互いに重複しないよう予め設定しておく。あるいは、各VPN管理モジュールが、接続情報DB(これには、他のVPN管理モジュールが割り当てたVIPの情報も含まれる)を参照して、過去に割り当てられたVIPと重複のないVIPを割り当てるようにしてもよい。
なお、以上の例では、各VPN管理モジュールに新たなホストが登録されるごとに、そのホストについてのレコードを他のVPN管理モジュールに通知したが、これは一例に過ぎない。例えばこの代わりに、各VPN管理モジュールが、定期的に、そのような通知を他のVPN管理モジュールに発してもよい。
次に、VPN管理モジュールVM1に登録済みのクライアントCL1が、コミュニティネットワーク100に参加する際の処理手順を、図8を参照して説明する。
この段階では、クライアントCL1は、VM1から取得した接続定義ファイルを持っている。ユーザからコミュニティネットワーク100への参加の指示を受け取った場合、CL1はその接続定義ファイルと自分自身の固有情報とを用いて、VPNサーバVS1に対してVPN接続を要求する(S11)。VPNサーバVS1のアドレス(URL、又はグローバルIPアドレス又はプライベートIPアドレス)は、ユーザが指定するか、或いはVPN管理モジュールVM1が接続定義ファイルに記述しておけばよい。
ステップS11では、より具体的には、クライアントCL1(より厳密にはVPNクライアント)は、VPNサーバVS1に対し、例えばHTTPS(Hypertext Transfer Protocol Security)を用いてアクセスする。そして、CL1は、自分が保持している接続定義ファイル中のクライアント証明書(及び秘密鍵)を用い、VS1からクライアント認証を受ける。ここで、少なくとも秘密鍵は、CL1の固有情報(又はこれに由来する情報)によって暗号化されているので、CL1は、自分自身(或いはハードウエアトークン内)の固有情報を取得し、その固有情報を用いて秘密鍵を復号する。そして、復号により得られた秘密鍵を用いて、クライアント認証のための電子署名を行う。すなわち、CL1は、例えば、クライアント認証のために、送信メッセージと、当該送信メッセージに対する秘密鍵による電子署名と、クライアント証明書とをVS1に送る。VS1は、そのクライアント証明書に含まれる公開鍵を用いて、その電子署名を検証する。検証が成功すれば、正当なCL1からのアクセスと判定できる。
ここで、例えば接続定義ファイルが別のクライアントにコピーされるなどして、接続定義ファイルの作成の際に用いられた固有情報と、その接続定義ファイルを利用する際の装置(クライアント又はハードウエアトークン)の固有情報とが異なったものとなると、秘密鍵の復号が正しく行われないので、クライアント認証も失敗する。このように、接続定義ファイルを用いたVPN接続は、そのファイルの作成を要求したクライアント(又はそのときに用いられたハードウエアトークン)でしか行うことができない。
以上では、OpenVPNにおけるクライアント証明書を用いたクライアント認証を例示したが、クライアント認証の手法はこれに限らない。クライアント認証では、当該クライアントが、正しい固有情報を保持していることをサーバに対して証明できればよい。
クライアント認証に成功すると、VPNサーバVS1は、対応するVPN管理モジュールVM1の接続情報DBから、当該クライアントCL1(及びユーザ)に対応するレコードを検索し、そのレコード中のVIP(仮想IPアドレス)をCL1に割り当てる(S12)。ここで、VS1は、クライアント認証の際にCL1から送られてきたクライアント証明書の主体名から、接続要求元のユーザアカウント又はホスト名が分かるので、そのアカウント又はホスト名に対応するレコードのVIPを読み出せばよい。そして、VS1は、CL1に対してVPN接続許可の通知を行う。この通知には、割り当てたVIPが含まれる。
この通知を受けたCL1は、そのVIPを自分のIPアドレスとして用いて、コミュニティネットワーク100にアクセスし、該ネットワーク100上の公開中のホスト(サーバ等)と通信する(S13)。このとき、VPNサーバVS1は、対応するVPN管理モジュールVM1の接続情報DBに含まれる公開中のホスト(すなわち、サーバ及びホスト名が公開されているクライアント)のURLのリストを例えばWebページの形でCL1に提供してもよい。この場合、ユーザがそのリストからアクセス先のホストのURLを選択することで、CL1からそのホストにアクセスすることができる。公開中のホストのURLは、接続情報DB中の当該ホストのレコードに含まれるホスト名、ドメイン、及びサービスの種類(HTTP,FTP,SMBなど)から生成すればよい。なお、そのリストに載せるホストを、そのユーザがアクセス権を持つもののみに限定してもよい。これには、後述するアクセス許可設定の情報を利用すればよい。
以上、クライアントがコミュニティネットワーク100に参加するまでの処理を説明した。次に、サーバSV1がコミュニティネットワーク100に参加するまでの処理を説明する。
サーバSV1をコミュニティネットワーク100に参加させようとする場合、そのSV1の管理者が、PN1内のVPN管理モジュールVM1に接続の登録を行う。この登録の際に実行される処理手順は、図3に示した手順と同様である。ただし、サーバの場合、ステップS4で送信する接続定義ファイル発行要求のデータ構造は、図9に示すようなものとなる。すなわち、この場合、サーバSV1のホスト名は必須であり、更にサーバSV1が提供するサービスの種類(すなわち当該サーバが対応するプロトコル)が接続定義ファイル内に記述される。記述すべきサービスの種類は、サーバの管理者が指定すればよい。サーバSV1上で動作するVPNクライアントは、サービスの種類の指定のためのUI画面を提供し、管理者からの指定を受け付ければよい。なお、接続定義ファイル発行要求内のユーザアカウントには管理者のアカウントが記述される。
サーバSV1からこのような接続定義ファイル発行要求を受けたVPN管理モジュールVM1は、接続情報DBにそのSV1のレコードを作成し、その発行要求に含まれる項目をそのレコードに登録する。このレコードには、SV1が提供するサービスの種類の情報も含まれる。例えば図7の例では、サーバ"marine.vpn1.com"はコミュニティネットワーク100内からHTTP要求を受け付ける。レコードのその他の項目については、図5を参照して説明した例と同様である。
なお、VPN管理モジュールは、サーバのレコード中のALの値は「0」に設定する。これによりサーバとして登録されたコンピュータからコミュニティネットワーク100内の他のリソースに対するアクセスが禁止される。ただし、この場合も、コミュニティネットワーク100内のクライアントからそのサーバへのアクセスは可能である。これは、サーバが攻撃を受け踏み台にされることを防ぐためのものである。
VPN管理モジュールVM1は、その発行要求に応じて接続定義ファイルを生成し、サーバSV1に提供する。これを受け取ったSV1の管理者が、SV1を操作してVPNサーバVS1への接続を指示すると、SV1とVS1との間で図8と同様の処理手順が実行されることで、SV1がコミュニティネットワーク100に接続される。
サーバSV1がコミュニティネットワーク100に最初に接続された時点では、SV1はVPN管理モジュールVM1のアクセス許可設定UIへのアクセスを除き、コミュニティネットワーク100からのアクセスを受け付けないようにアクセス制限の設定がなされている。SV1へのアクセス制限は、例えば、VPNサーバVS1が備えるファイアウォールにより行われる(詳細は後述)。SV1の管理者は、コミュニティネットワーク100に接続した後、SV1をサーバとして機能させるたに、図10に示すように、SV1からVPN1を介してVPN管理モジュールVM1にアクセスし、SV1についてのアクセス許可設定を要求する(S21)。この要求に応じ、VM1は、アクセス許可設定用のUIの情報を生成し、SV1に提供する(S22)。SV1は、このUI情報に基づき、アクセス許可設定画面を生成して表示し、管理者からのアクセス許可の設定操作を受け付ける(S23)。
アクセス許可設定用のUI情報の一例を図11に示す。この例では、UI情報は、コミュニティネットワーク100上にある各クライアント(すなわちALが0以外のホスト)について、そのクライアントに対応するユーザアカウント、ホスト名(もしあれば)、VPNドメイン、AL、及びALの値の意味についての「説明」が含まれる。
図11のUI情報に基づき生成される設定画面200の例を図12に示す。図12に例示する設定画面200には、ユーザアカウントごとに、アカウント名及びホスト名202が示され、その右側に「Webアクセス」及び「ファイル共有」という、サーバSV1が提供する2つのサービスについてのチェックボックス204及び206が配置されている。Webアクセスは例えばHTTPに対応し、ファイル共有は例えばFTPに対応する。この例は、SV1がHTTP及びFTPのサービスを提供する場合の例である。一般的には、設定画面200には、当該サーバが提供するサービスごとに、そのサービスの使用を認めるか否かの指定のためのチェックボックスが配置される。管理者は、その設定画面200上で、コミュニティネットワーク100上の各ユーザ(より厳密に言えば、ユーザとクライアント装置の組合せ)に対して許可するサービスのチェックボックスに、チェックマーク210をマウス操作等で入力する。例えば、図示の例では、管理者は、"smith@vpn1.com"に対しては、SV1のWebアクセス及びファイル共有の両方の利用を許可している。なお、設定画面200上に、各ユーザのアクセスレベル(AL)の値又はそれに対応する説明を表示してもよい。管理者は、各ユーザにどのようなアクセス許可を与えるかを決める際にその表示を参考にすることができる。
設定画面200には、コミュニティネットワーク100に属するすべてのVPN上のクライアント(ユーザ)が表示される。管理者はそのそれぞれに対するアクセス許可を設定することができる。
図13に、アクセス許可設定画面の別の例を示す。この例の画面では、個々のユーザごとではなく、ALごとに、当該レベルのユーザに対して許可するサービスの指定を受け付ける。図示例では、例えば一般ユーザにはサーバSV1へのWebアクセスのみが許可され、マネージャにはWebアクセスとアクセス許可設定が許可される。なお、図13の設定画面を用いて各ALに対して与えられたアクセス許可は、VPN管理モジュールVM1にて、接続情報DBに基づき、ユーザアカウントごとのアクセス許可設定へと展開される。例えば、接続情報DBの内容が図7のようなものである場合、"smith@vpn1.com"はAL「1」すなわち一般ユーザなので、図13のような設定がなされた場合、SV1の利用はWebアクセスに限定される。
なお、図12又は図13に例示した設定画面はあくまで一例に過ぎない。
図10の説明に戻り、設定画面を用いて設定されたアクセス許可の設定情報は、VPN管理モジュールVM1に送信される。VM1は、その設定情報をもとに、サーバSV1のためのファイアウォールの設定を行う。このファイアウォールは、例えば、VPNサーバVS1に設けられる。図12の画面の例に示す設定を行った場合のファイアウォール設定のためのコマンド例を図14に示す。この例はファイアウォールモジュールとしてNetfilterを利用した場合のものである。図14に示したそれぞれのコマンドの意味は以下のようになる。この例では、サーバSV1のVIPが"10.0.0.100"、VPN管理モジュールVM1のVIPが"10.0.0.254"である。
(1) 基本的には外部からのパケットの通過を拒否
(2) 基本的には外部へのパケットの通過を拒否
(3) 基本的には他のインタフェースへの転送を拒否
(4) VPN管理モジュールの設定画面へのアクセスを許可
(5) smith@vpn1.comからのWebアクセスを許可
(6)及び(7) smith@vpn1.comからのファイル共有を許可
(8) david@vpn1.comからのWebアクセスを許可
(9)及び(10) ferdinand@vpn1.comからのファイル共有を許可
これらのコマンドは、以後はVPN管理モジュールVM1によって記憶され、以後の接続時には同じコマンドが実行される。コマンドは上から順番に実行されるので、後のコマンドの方が優先的に適用される。
なお、SV1がコミュニティネットワーク100に最初に接続した時点では、SV1に関するファイアウォール設定コマンド列は上述の(1)から(4)のみでなり、SV1とコミュニティネットワーク100間の通信はSV1からVPN管理モジュールVM1へのアクセスのみが許可された状態である。
以上では、サーバについてのアクセス許可設定を例示したが、クライアントのリソースをコミュニティネットワーク100に公開する場合も、そのクライアントに対する他のホストのアクセス許可の設定を、上述と同様にして行うことができる。
また、以上では、サーバに対するクライアントのアクセス許可を設定する場合を説明したが、複数のサーバが連携して1つの処理を実行する場合もあり、このような場合には、サーバに対する他のサーバのアクセス許可を、同様に設定すればよい。この場合、例えば、コミュニティネットワーク50内の他のサーバのリストを含んだアクセス許可設定用の画面を提供し、この画面を用いて管理者が、他のサーバに与えるアクセス許可を設定すればよい。
このように、本実施形態では、VPN管理モジュールがホストに対して固定の仮想アドレスを割り当てるとともに、各VPN管理モジュールが割り当てた仮想アドレスとホストとの対応関係の情報をそれらモジュール間で共有した。そして、個々のホストに対するアクセス制御を、仮想アドレスを用いたパケットフィルタリングにより実現した。
また、本実施形態では、接続登録の際に、ホストの固有情報を取得してその固有情報に対応する情報を含んだ接続定義ファイルをそのホストに提供した。そして、そのホストがコミュニティネットワークに参加する際には、その接続定義ファイルを用いて、そのホストがあらかじめ登録した固有情報に対応する装置であることを証明するようにした。このような構成により、コミュニティネットワークのセキュリティを確保できる。
以上では、VPNサーバとVPN管理モジュールとがプライベートネットワーク上に別々に存在する例を説明したが、両者が1つのコンピュータ上に構築されていてもよい。
また、以上の例において、各ホストに対して割り当てたVIP(仮想IPアドレス)のうち、ホストアドレス部のみを固定とし、ネットワークアドレス部はVPNのネットワークアドレスの変更に応じて変更できるようにしておいてもよい。VPN管理モジュールは、自分が属するVPNのネットワークアドレスが変更された場合、接続情報DB中のそのVPNに属する各ホストのVIPを変更し、その変更後のVIPをコミュニティネットワーク内の他のVIP管理モジュールに通知すればよい。
また、コミュニティネットワークに接続登録を希望するホストに対し、仮想IPアドレスの代わりに仮想MACアドレスを割り当て、これを接続情報DBに登録してもよい。これにより、OSI(Open Systems Interconnection)のデータリンク層のパケット制御で同様のコミュニティネットワークを形成することができる。
また、パケット自体に接続定義ファイルの認証IDを書き込むことでOSIのアプリケーション層でのパケット制御を行うことも可能である。その場合は、パケット制御にはNetfilterではなく、アプリケーション層レベルでパケットの転送制御を行うアプリケーションゲートウエイを利用する。アプリケーションゲートウエアの代表的なものとしてはプロキシサーバーなどがある。
以上に例示したVPNサーバ,VPN管理モジュール、クライアント、及びサーバは、例えば、汎用のコンピュータに上述の各機能モジュールの処理を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとして、図15に示すように、CPU1000等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)1002およびリードオンリメモリ(ROM)1004等のメモリ(一次記憶)、HDD(ハードディスクドライブ)1006を制御するHDDコントローラ1008、各種I/O(入出力)インタフェース1010、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース1012等が、たとえばバス1014を介して接続された回路構成を有する。また、そのバス1014に対し、例えばI/Oインタフェース1010経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ1016、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダ・ライタ1018、などが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAM1002に読み出されCPU1000等のマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。なお、それら機能モジュール群のうちの一部又は全部を、専用LSI(Large Scale Integration)、ASIC(Application Specific Integrated Circuit、特定用途向け集積回路)又はFPGA(Field Programmable Gate Array)等のハードウエア回路として構成してもよい。
コミュニティネットワークを説明するための図である。 コミュニティネットワークを構成する機能モジュール群を説明するための図である。 VPN管理モジュールに対するクライアントの接続登録処理の手順の一例を示すフローチャートである。 接続定義ファイル発行要求が含むデータ内容の一例を示す図である。 VPN管理モジュールが管理する接続情報DBのデータ内容の一例を示す図である。 接続定義ファイルのデータ内容の一例を示す図である。 他のVPN管理モジュールが作成したレコードの情報を含んだ接続情報DBのデータ内容の一例を示す図である。 クライアントがVPNサーバを介してコミュニティネットワークに接続する手順の一例を示すフローチャートである。 サーバが生成する接続定義ファイル発行要求のデータ構造の一例を示す図である。 サーバに対するアクセス許可設定の処理手順の一例を示すフローチャートである。 アクセス許可設定のためのUI情報の一例を示す図である。 アクセス許可設定のためのUI画面の一例を示す図である。 アクセス許可設定のためのUI画面の別の例を示す図である。 サーバに対するアクセス制御のためのファイアウォール設定コマンド群の例を示す図である。 コンピュータのハードウエア構成の一例を示す図である。
符号の説明
100 コミュニティネットワーク、150 インターネット、CL1,CL2,CL3 クライアント、SV1 サーバ、PN1,PN2,PN3 プライベートネットワーク、VPN1,VPN2,VPN3 仮想プライベートネットワーク、VM1,VM2 VPN管理モジュール、VS1,VS2 VPNサーバ。

Claims (5)

  1. 複数の仮想ネットワーク接続装置を有する仮想ネットワークシステムであって、
    前記複数の仮想ネットワーク接続装置の各々は、
    前記仮想ネットワークシステムに接続する各コンピュータと当該コンピュータの仮想アドレスとの対応関係の情報を記憶する記憶手段と、
    登録要求を送信したコンピュータに対して仮想アドレスを割り当てる割当手段と、
    前記割当手段が割り当てた仮想アドレスとコンピュータとの対応関係を表す対応関係情報を、前記複数の仮想ネットワーク接続装置のうちの他の仮想ネットワーク接続装置に通知する通知手段と、
    前記複数の仮想ネットワーク接続装置のうちの他の仮想ネットワーク接続装置から通知されてきた対応関係情報と、前記割当手段が割り当てた仮想アドレスとコンピュータとの対応関係情報とを前記記憶手段に登録する登録手段と、
    前記仮想ネットワークシステムに接続する第1のコンピュータから、当該第1のコンピュータに対するアクセスを許可するコンピュータを特定する情報の入力を受け付け、受け付けた情報と前記記憶手段に記憶された対応関係の情報とに基づき、前記第1のコンピュータの仮想アドレスに対するアクセスが許可される他の仮想アドレスを表すアクセス制御情報を生成する生成手段と、
    到来した伝送情報を、当該伝送情報の送信元仮想アドレス及び送信先仮想アドレスに従って伝送する伝送手段であって、送信先仮想アドレスが前記第1のコンピュータである伝送情報の送信元仮想アドレスが前記アクセス制御情報に基づき前記第1のコンピュータの仮想アドレスに対するアクセスが許可されないと判定される仮想アドレスである場合、当該伝送情報は前記第1のコンピュータに伝送しないよう制御する伝送制御手段と、
    を備える仮想ネットワークシステム。
  2. 前記複数の仮想ネットワーク接続装置の各々は、
    前記登録要求を送信したコンピュータから当該コンピュータの固有情報を取得する取得手段と、
    前記取得手段が取得した当該コンピュータの固有情報に対応づけられた鍵情報を含んだ接続定義情報を生成し、前記登録要求を送信した前記コンピュータに送信する手段と、
    前記取得手段が取得した前記コンピュータの固有情報を、前記割当手段が前記コンピュータに割り当てた仮想アドレスと対応づけて前記記憶手段に登録する手段と、
    前記コンピュータから前記鍵情報を含んだ接続要求を受けた場合に、前記鍵情報に対応する固有情報と対応づけた前記記憶手段に登録された仮想アドレスを用いて前記仮想ネットワークシステムに接続することを前記コンピュータに許可する許可手段と、
    を更に備える、請求項1記載の仮想ネットワークシステム。
  3. 他の仮想ネットワーク接続装置と共に仮想ネットワークシステムを構成する仮想ネットワーク接続装置であって、
    前記仮想ネットワークシステムに接続する各コンピュータと当該コンピュータの仮想アドレスとの対応関係の情報を記憶する記憶手段と、
    登録要求を送信したコンピュータに対して仮想アドレスを割り当てる割当手段と、
    前記割当手段が割り当てた仮想アドレスとコンピュータとの対応関係を表す対応関係情報を、前記複数の仮想ネットワーク接続装置のうちの他の仮想ネットワーク接続装置に通知する通知手段と、
    前記複数の仮想ネットワーク接続装置のうちの他の仮想ネットワーク接続装置から通知されてきた対応関係情報と、前記割当手段が割り当てた仮想アドレスとコンピュータとの対応関係情報とを前記記憶手段に登録する登録手段と、
    前記仮想ネットワークシステムに接続する第1のコンピュータから、当該第1のコンピュータに対するアクセスを許可するコンピュータを特定する情報の入力を受け付け、受け付けた情報と前記記憶手段に記憶された対応関係の情報とに基づき、前記第1のコンピュータの仮想アドレスに対するアクセスが許可される他の仮想アドレスを表すアクセス制御情報を生成する生成手段と、
    到来した伝送情報を、当該伝送情報の送信元仮想アドレス及び送信先仮想アドレスに従って伝送する伝送手段であって、送信先仮想アドレスが前記第1のコンピュータである伝送情報の送信元仮想アドレスが前記アクセス制御情報に基づき前記第1のコンピュータの仮想アドレスに対するアクセスが許可されないと判定される仮想アドレスである場合、当該伝送情報は前記第1のコンピュータに伝送しないよう制御する伝送制御手段と、
    を備える仮想ネットワーク接続装置。
  4. 前記仮想ネットワーク接続装置は、
    前記登録要求を送信したコンピュータから当該コンピュータの固有情報を取得する取得手段と、
    前記取得手段が取得した当該コンピュータの固有情報に対応づけられた鍵情報を含んだ接続定義情報を生成し、前記登録要求を送信した前記コンピュータに送信する手段と、
    前記取得手段が取得した前記コンピュータの固有情報を、前記割当手段が前記コンピュータに割り当てた仮想アドレスと対応づけて前記記憶手段に登録する手段と、
    前記コンピュータから前記鍵情報を含んだ接続要求を受けた場合に、前記鍵情報に対応する固有情報と対応づけた前記記憶手段に登録された仮想アドレスを用いて前記仮想ネットワークシステムに接続することを前記コンピュータに許可する許可手段と、
    を更に備える、請求項3記載の仮想ネットワーク接続装置。
  5. コンピュータを、他の仮想ネットワーク接続装置と共に仮想ネットワークシステムを構成する仮想ネットワーク接続装置、として機能させるためのプログラムであって、
    前記仮想ネットワークシステムに接続する各ホストと当該ホストの仮想アドレスとの対応関係の情報を記憶する記憶手段と、
    登録要求を送信したホストに対して仮想アドレスを割り当てる割当手段と、
    前記割当手段が割り当てた仮想アドレスとホストとの対応関係を表す対応関係情報を、前記複数の仮想ネットワーク接続装置のうちの他の仮想ネットワーク接続装置に通知する通知手段と、
    前記複数の仮想ネットワーク接続装置のうちの他の仮想ネットワーク接続装置から通知されてきた対応関係情報と、前記割当手段が割り当てた仮想アドレスとホストとの対応関係情報とを前記記憶手段に登録する登録手段と、
    前記仮想ネットワークシステムに接続する第1のホストから、当該第1のホストに対するアクセスを許可するホストを特定する情報の入力を受け付け、受け付けた情報と前記記憶手段に記憶された対応関係の情報とに基づき、前記第1のホストの仮想アドレスに対するアクセスが許可される他の仮想アドレスを表すアクセス制御情報を生成する生成手段、
    到来した伝送情報を、当該伝送情報の送信元仮想アドレス及び送信先仮想アドレスに従って伝送する伝送手段であって、送信先仮想アドレスが前記第1のホストである伝送情報の送信元仮想アドレスが前記アクセス制御情報に基づき前記第1のホストの仮想アドレスに対するアクセスが許可されないと判定される仮想アドレスである場合、当該伝送情報は前記第1のホストに伝送しないよう制御する伝送制御手段、
    として機能させるプログラム。
JP2007256461A 2007-09-28 2007-09-28 仮想ネットワークシステム及び仮想ネットワーク接続装置 Expired - Fee Related JP4835569B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007256461A JP4835569B2 (ja) 2007-09-28 2007-09-28 仮想ネットワークシステム及び仮想ネットワーク接続装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007256461A JP4835569B2 (ja) 2007-09-28 2007-09-28 仮想ネットワークシステム及び仮想ネットワーク接続装置

Publications (2)

Publication Number Publication Date
JP2009089062A true JP2009089062A (ja) 2009-04-23
JP4835569B2 JP4835569B2 (ja) 2011-12-14

Family

ID=40661866

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007256461A Expired - Fee Related JP4835569B2 (ja) 2007-09-28 2007-09-28 仮想ネットワークシステム及び仮想ネットワーク接続装置

Country Status (1)

Country Link
JP (1) JP4835569B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012191518A (ja) * 2011-03-11 2012-10-04 Ntt Comware Corp アドレス管理装置、アドレス管理方法、アドレス管理プログラム
JP2013038684A (ja) * 2011-08-10 2013-02-21 Refiner Inc Vpn接続管理システム
JP2013077995A (ja) * 2011-09-30 2013-04-25 Ntt Data Corp Vpnシステム、vpn接続方法
JP2015095855A (ja) * 2013-11-14 2015-05-18 富士通株式会社 Macアドレスの修復方法、macアドレスの修復プログラム
JP2019030015A (ja) * 2015-07-17 2019-02-21 日本電気株式会社 通信システム、通信装置、通信方法、端末、プログラム
WO2023002682A1 (ja) * 2021-07-19 2023-01-26 ソニーグループ株式会社 情報処理装置、通信装置、情報処理方法、通信方法、及び通信システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003101569A (ja) * 2001-09-25 2003-04-04 Mitsubishi Electric Corp Vpn管理装置
JP2004080703A (ja) * 2002-08-22 2004-03-11 Ntt Comware Corp ネットワーク間通信方法およびそれに使用されるゲート装置並びに端末装置
JP2008301165A (ja) * 2007-05-31 2008-12-11 Fuji Xerox Co Ltd 仮想ネットワーク接続装置及びプログラム
JP2008301024A (ja) * 2007-05-30 2008-12-11 Fuji Xerox Co Ltd 仮想ネットワーク接続システム及び装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003101569A (ja) * 2001-09-25 2003-04-04 Mitsubishi Electric Corp Vpn管理装置
JP2004080703A (ja) * 2002-08-22 2004-03-11 Ntt Comware Corp ネットワーク間通信方法およびそれに使用されるゲート装置並びに端末装置
JP2008301024A (ja) * 2007-05-30 2008-12-11 Fuji Xerox Co Ltd 仮想ネットワーク接続システム及び装置
JP2008301165A (ja) * 2007-05-31 2008-12-11 Fuji Xerox Co Ltd 仮想ネットワーク接続装置及びプログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012191518A (ja) * 2011-03-11 2012-10-04 Ntt Comware Corp アドレス管理装置、アドレス管理方法、アドレス管理プログラム
JP2013038684A (ja) * 2011-08-10 2013-02-21 Refiner Inc Vpn接続管理システム
JP2013077995A (ja) * 2011-09-30 2013-04-25 Ntt Data Corp Vpnシステム、vpn接続方法
JP2015095855A (ja) * 2013-11-14 2015-05-18 富士通株式会社 Macアドレスの修復方法、macアドレスの修復プログラム
JP2019030015A (ja) * 2015-07-17 2019-02-21 日本電気株式会社 通信システム、通信装置、通信方法、端末、プログラム
US10764088B2 (en) 2015-07-17 2020-09-01 Nec Corporation Communication system, communication apparatus, communication method, terminal, non-transitory medium
WO2023002682A1 (ja) * 2021-07-19 2023-01-26 ソニーグループ株式会社 情報処理装置、通信装置、情報処理方法、通信方法、及び通信システム

Also Published As

Publication number Publication date
JP4835569B2 (ja) 2011-12-14

Similar Documents

Publication Publication Date Title
US10135827B2 (en) Secure access to remote resources over a network
EP1998506B1 (en) Method for controlling the connection of a virtual network
US9794215B2 (en) Private tunnel network
JP5385403B2 (ja) 設定可能プライベートコンピュータネットワークへのアクセス提供
JP4173866B2 (ja) 通信装置
US20090013063A1 (en) Method for enabling internet access to information hosted on csd
EP2781049B1 (en) Distributing overlay network ingress information
JP2009500757A (ja) 自分の近隣者を介してのコンタクトの捕捉
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
JP4835569B2 (ja) 仮想ネットワークシステム及び仮想ネットワーク接続装置
RU2387089C2 (ru) Способ предоставления ресурсов с ограниченным доступом
US11812273B2 (en) Managing network resource permissions for applications using an application catalog
Wu et al. A gateway-based access control scheme for collaborative clouds
JP2009031896A (ja) リモートアクセスシステム、これに使用する補助記憶装置、リモートアクセス方法
JP6127622B2 (ja) Dnsサーバ装置、ネットワーク機器、および通信システム
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
Müller et al. A secure service infrastructure for interconnecting future home networks based on DPWS and XACML
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
WO2004001630A1 (ja) ネットワークシステムおよびプログラム
Varakliotis et al. The use of Handle to aid IoT security
JP4878043B2 (ja) アクセス制御システム、接続制御装置および接続制御方法
Berzin et al. The IoT Exchange
WO2006096875A1 (en) Smart tunneling to resources in a remote network
JP2007323179A (ja) コンテンツ処理転送システム、及びコンテンツ処理転送方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100818

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110824

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110830

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110912

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141007

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4835569

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees