JP2011100207A - Remote access device, program, method and system - Google Patents

Remote access device, program, method and system Download PDF

Info

Publication number
JP2011100207A
JP2011100207A JP2009253214A JP2009253214A JP2011100207A JP 2011100207 A JP2011100207 A JP 2011100207A JP 2009253214 A JP2009253214 A JP 2009253214A JP 2009253214 A JP2009253214 A JP 2009253214A JP 2011100207 A JP2011100207 A JP 2011100207A
Authority
JP
Japan
Prior art keywords
access
server
user
permission list
user agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009253214A
Other languages
Japanese (ja)
Other versions
JP4914479B2 (en
Inventor
Haruyuki Kawabe
治之 川辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nihon Unisys Ltd
Original Assignee
Nihon Unisys Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nihon Unisys Ltd filed Critical Nihon Unisys Ltd
Priority to JP2009253214A priority Critical patent/JP4914479B2/en
Publication of JP2011100207A publication Critical patent/JP2011100207A/en
Application granted granted Critical
Publication of JP4914479B2 publication Critical patent/JP4914479B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To allow access without rewriting URL even when URL is dynamically generated, and to perform access to a server in a remote network by a simple method. <P>SOLUTION: A remote access device includes: a reception setting part 50 for putting data from a user agent which performs data communication based on a prescribed communication protocol, in a receivable state; a user agent management part 54 for creating the other proxy setting which is different from the proxy setting of a user agent, and for making the user agent refer to the other proxy setting; an access management part 52 for downloading and storing an access permission list including URL whose access is permitted for each user from a connection server; and an access control part 53 for determining whether connection destination included in a communication request generated based on the operation of a user is included in the access permission list, and for, when the connection destination is included in the access permission list, transmitting the request to an internal server. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、インターネットに接続したクライアント装置から、隔離ネットワークで稼働するサーバに対するアクセスを提供するリモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステムに関する。   The present invention relates to a remote access device, a remote access program, a remote access method, and a remote access system that provide access from a client device connected to the Internet to a server operating in an isolated network.

従来より、企業内イントラネットなどの隔離ネットワークからインターネットを経由してWebサーバ群に対して選択的にアクセスするリモートアクセス技術が知られている。   Conventionally, a remote access technology for selectively accessing a web server group from an isolated network such as an intranet in a company via the Internet is known.

このようなリモートアクセス技術として、例えば特許文献1に示すようなリバースプロキシサーバ方式がある。この方式では、隔離ネットワークとインターネットの境界にリバースプロキシサーバを設置し、クライアントPCはインターネットを経由してリバースプロキシサーバのURLにアクセスする。隔離ネットワークの管理者は、インターネットを介してアクセスを許すWEBサーバをリバースプロキシサーバに登録する。リバースプロキシサーバへの登録は、インターネットを介してアクセスを許可するWEBサーバのURLと、それをリバースプロキシサーバ経由でアクセスするためのリバースプロキシサーバのURLの対によって行う。リバースプロキシサーバは、クライアントPCからのHTTP要求を、隔離ネットワークで稼働するWEBサーバに転送し、そのWEBサーバによるHTTP応答を、クライアントPCに転送する。リバースプロキシサーバとクライアントPCの間はHTTPSを用いて暗号化通信を使用することにより、インターネットを使用して安全に通信する。   As such a remote access technology, for example, there is a reverse proxy server method as shown in Patent Document 1. In this method, a reverse proxy server is installed at the boundary between the isolated network and the Internet, and the client PC accesses the URL of the reverse proxy server via the Internet. The administrator of the isolated network registers a WEB server that allows access via the Internet with the reverse proxy server. The registration to the reverse proxy server is performed by a pair of a URL of a WEB server that permits access via the Internet and a URL of the reverse proxy server for accessing the URL via the reverse proxy server. The reverse proxy server transfers the HTTP request from the client PC to the WEB server operating in the isolated network, and transfers the HTTP response from the WEB server to the client PC. The reverse proxy server and the client PC communicate securely using the Internet by using encrypted communication using HTTPS.

また、他の従来のリモートアクセス技術として、特許文献2に記載されているようなVPN接続方式がある。このVPN接続方式では、隔離ネットワークとインターネットの境界にVPNルータを設置し、クライアントPCにはVPNクライアントをインストールして、VPNルータとVPNクライアントの間で(インターネットを介して)仮想的なネットワークを構成することにより、隔離ネットワークの一部にクライアントPCを接続したのと同じ状態を実現する。   As another conventional remote access technique, there is a VPN connection method as described in Patent Document 2. In this VPN connection method, a VPN router is installed at the boundary between the isolated network and the Internet, a VPN client is installed on the client PC, and a virtual network is configured between the VPN router and the VPN client (via the Internet). By doing so, the same state as when the client PC is connected to a part of the isolated network is realized.

VPNクライアントは、クライアントPCからWEBサーバ宛てのHTTP要求となるIPデータグラムを暗号化して別のIPデータグラムまたはTCPストリームとしてインターネット経由でVPNルータに送信する。VPNルータは受け取ったIPデータグラムまたはTCPストリームからWEBサーバ宛てのIPデータグラムを取り出し、それをWEBサーバに送信する。WEBサーバからのHTTP応答は、これとは逆の経路によってクライアントPCに送信される。   The VPN client encrypts an IP datagram serving as an HTTP request addressed to the WEB server from the client PC, and transmits it as another IP datagram or a TCP stream to the VPN router via the Internet. The VPN router extracts the IP datagram addressed to the WEB server from the received IP datagram or TCP stream, and transmits it to the WEB server. The HTTP response from the WEB server is transmitted to the client PC through the reverse route.

また、他の従来のリモートアクセス技術として、TCPトンネル方式がある。このTCPトンネル方式では、隔離ネットワークとインターネットの境界にトンネリングサーバを設置し、クライアントPCでトンネリングクライアントを稼働させることで、トンネリングクライアントとトンネリングサーバ間のTCPストリームを使用して、クライアントPCからのHTTP要求および隔離ネットワークで稼働するWEBサーバからのHTTP応答を相互に転送する。   Another conventional remote access technology is a TCP tunnel method. In this TCP tunnel method, a tunneling server is installed at the boundary between the isolated network and the Internet, and the tunneling client is operated on the client PC, so that an HTTP request from the client PC is used using a TCP stream between the tunneling client and the tunneling server. And HTTP responses from WEB servers running in the quarantine network.

クライアントPCが、自ノード内で稼働するトンネリングソフトウェアが提供するサービスポートに対してHTTP要求を送信すると、トンネリングクライアントは、そのHTTP要求のTCPストリームの内容を暗号化し、別のTCPストリームによってトンネリングサーバ宛てに送信する。トンネリングサーバは、トンネリングクライアントからの通信を受けて、その内容を復号し、別のTCPストリームによってWEBサーバに転送する。
特開2004−295166号公報 特開2002−232460号公報 When the client PC sends an HTTP request to the service port provided by the tunneling software running in its own node, the tunneling client encrypts the contents of the TCP stream of the HTTP request and sends it to the tunneling server using another TCP stream. Send to. The tunneling server receives communication from the tunneling client, decrypts the content, and transfers it to the WEB server by another TCP stream.
JP 2004-295166 A JP 2002-232460 A

しかしながら、特許文献1に記載されたリバースプロキシサーバ方式では、以下のような問題があった。
リバースプロキシサーバ方式では、WEBサーバのURLを公開せず、クライアントPCはリバースプロキシサーバが提供するURLにアクセスする。リバースプロキシサーバは、そのクライアントPCからのHTTP要求を、WEBサーバに転送する。例えば、リバースプロキシサーバのURLが、「http://reverse.proxy.server/path1」であり、WebサーバのURLが「http://a.server/path2」である場合、クライアントPCは、http://reverse.proxy.server/path1に対するHTTP要求を送信する。リバースプロキシサーバは、このHTTP要求をhttp://a.server/path2宛てに送信する。逆に、WEBサーバからのHTTP応答にWEBサーバのホスト名を含んだURLがあるとき、リバースプロキシサーバはそれをリバースプロキシサーバのURLに書き換える。クライアントPCは、隔離ネットワーク上のホスト名を含むhttp://a.server/path2のようなURLを受け取とっても、そのURLにはアクセスできないからである。 However, the reverse proxy server method described in Patent Document 1 has the following problems.
In the reverse proxy server method, the URL of the WEB server is not disclosed, and the client PC accesses the URL provided by the reverse proxy server. The reverse proxy server transfers the HTTP request from the client PC to the WEB server. For example, when the URL of the reverse proxy server is “http: //reverse.proxy.server/path1” and the URL of the Web server is “http: //a.server/path2”, the client PC Send an HTTP request to: //reverse.proxy.server/path1. The reverse proxy server transmits this HTTP request to http: //a.server/path2. Conversely, when there is a URL including the host name of the WEB server in the HTTP response from the WEB server, the reverse proxy server rewrites it with the URL of the reverse proxy server. This is because the client PC cannot access the URL even if it receives a URL such as http: //a.server/path2 including the host name on the isolated network.

しかし現在のWebサーバでは、動的にURLを変える場合などに、HTTP応答にJavaScript(登録商標)プログラムを含め、このJavaScript(登録商標)プログラムの実行によりURLを生成する方法が一般的に行なわれている。この場合、JavaScript(登録商標)プログラムはHTTP応答を受け取ったクライアントPC上のWebブラウザで実行されるので、当該HTTP応答を転送するリバースプロキシサーバではURLを書換えることができず、利用者はWebサーバにアクセスすることができないという問題があった。仮に、利用者がインターネット経由でリバースプロキシサーバを介してアクセスすることを可能とするには、Webサーバ上のJavaScript(登録商標)プログラムを変更しなければならず、運用時の負荷が増える。また、このWebサーバが第3者から提供されている製品であった場合は、そもそもそのような変更ができない場合がある。   However, in the current Web server, when a URL is dynamically changed, a method of generating a URL by executing a JavaScript (registered trademark) program by including a JavaScript (registered trademark) program in an HTTP response is generally performed. ing. In this case, since the JavaScript (registered trademark) program is executed by the Web browser on the client PC that has received the HTTP response, the URL cannot be rewritten by the reverse proxy server that transfers the HTTP response. There was a problem that the server could not be accessed. If the user can access via the reverse proxy server via the Internet, the JavaScript (registered trademark) program on the Web server must be changed, which increases the load during operation. In addition, if this Web server is a product provided by a third party, such a change may not be made in the first place.

また、特許文献2に記載されたVPN接続方式では、以下のような問題があった。
クライアントPCにVPNクライアントをインストールし、VPNルータとの接続設定を予め行っておく必要があり、設定が面倒であるという問題があった。また、ネットワーク環境によっては、クライアントPC自身が別の隔離ネットワークに接続していて、プロキシサーバを介してインターネットに接続する場合もあるが、そのようにクライアントPCがプロキシサーバを介してインターネットに接続している場合、プロキシサーバはアプリケーションゲートウェイ(HTTPゲートウェイ)として動作するため、VPNプロトコルを処理できず、したがってVPNクライアントはVPNルータと通信できないという問題があった。 In addition, the VPN connection method described in Patent Document 2 has the following problems.
There is a problem that it is necessary to install a VPN client on the client PC and set connection with the VPN router in advance, which is troublesome. Depending on the network environment, the client PC may be connected to another isolated network and connected to the Internet via a proxy server. In such a case, the client PC connects to the Internet via a proxy server. In this case, since the proxy server operates as an application gateway (HTTP gateway), it cannot process the VPN protocol, so that the VPN client cannot communicate with the VPN router.

さらに、VPNクライアントおよびVPNルータはネットワーク層の転送機構であるため、URL単位で選択的にアクセスを許可したり、利用者ごとにアクセスを許可するURLを設定したりする等の、ネットワーク層より上位の階層でのみ制御可能な処理を行うには、VPNルータとWEBサーバの間に別途ファイアーウォールなどのセキュリティ装置を設置しなければならず、ハードウェアの設置の手間がかかるという問題があった。   Further, since the VPN client and the VPN router are network layer transfer mechanisms, they are higher than the network layer, such as selectively permitting access in units of URLs or setting URLs permitting access for each user. In order to perform a process that can be controlled only in the hierarchy, a security device such as a firewall must be separately installed between the VPN router and the WEB server, and there is a problem that it takes time and labor to install hardware.

さらに、VPNクライアントの稼働中は、クライアントPCから送信されるIPデータグラムのデフォルト経路がこのVPNクライアントによって実装される仮想インタフェースとなっており、すべてのIPデータグラムは隔離ネットワークに転送される。このため、VPNクライアント稼働中は、クライアントPCからインターネットで稼働するWEBサーバに直接アクセスすることができないという問題があった。   Furthermore, during the operation of the VPN client, the default route of the IP datagram transmitted from the client PC is a virtual interface implemented by the VPN client, and all IP datagrams are transferred to the isolated network. For this reason, there is a problem that the WEB server operating on the Internet cannot be directly accessed from the client PC while the VPN client is operating.

また、TCPトンネル方式では、以下の問題があった。
TCPトンネル方式では、クライアントPCがプロキシサーバを介してトンネリングサーバに接続する場合、プロキシサーバの一般的な設定では、HTTPS以外の暗号化されたTCPストリームの中継は許可せず、したがってクライアントPCはトンネリングサーバにアクセスができないという問題があった。 The TCP tunnel method has the following problems.
In the TCP tunnel method, when a client PC connects to a tunneling server via a proxy server, the general setting of the proxy server does not allow relaying of an encrypted TCP stream other than HTTPS. There was a problem that the server could not be accessed.

また、クライアントPCがプロキシサーバを介さず直接インターネットに接続する場合でも、クライアントPC上で稼働するWEBブラウザは、http://127.0.0.1/pathまたはhttp://localhost/pathという形式のURLを使用してトンネリングクライアントに対してHTTP要求を送信するため、リバースプロキシサーバ方式と同様に、WebサーバへのアクセスにはURL書換えが必要となってしまい、運用時の負荷の増加またはアクセスができないという問題があった。   Also, even when the client PC connects directly to the Internet without going through a proxy server, the WEB browser running on the client PC uses a URL in the format http://127.0.0.1/path or http: // localhost / path. Since the HTTP request is transmitted to the tunneling client using the same method as in the reverse proxy server method, it is necessary to rewrite the URL for accessing the Web server, and the load during operation cannot be increased or accessed. There was a problem.

そこで、本発明は、URLが動的に生成される場合であっても、URLの書き換えをせずにアクセスを可能とし、且つクライアントソフトのインストール等をすることなしに簡易な方法で、隔離ネットワーク内のサーバにアクセスを行なわせるリモートアクセス装置を提供することを目的とする。   Therefore, the present invention makes it possible to access without rewriting the URL even if the URL is dynamically generated, and in a simple manner without installing client software, etc. It is an object of the present invention to provide a remote access device that allows an internal server to access.

本発明のリモートアクセス装置は、ネットワーク及び非武装地帯に設置された接続サーバを通じて内部サーバへのアクセスを行うものであって、所定の通信プロトコルに基づいてデータ通信を行うユーザエージェントからのデータを受信可能な状態にする受信設定手段と、
前記ユーザエージェントのプロキシ設定とは異なる他のプロキシ設定を作成し、 前記ユーザエージェントに前記他のプロキシ設定を参照させるためのユーザエージェント管理手段と、前記接続サーバから、利用者ごとにアクセスが許可されているURLを含むアクセス許可リストをダウンロードし、保持するアクセス管理手段と、前記利用者の操作に基づいて生成された通信要求に含まれた接続先が前記アクセス許可リストに含まれているか否かを判断し、前記接続先が前記アクセス許可リストに含まれる場合は、前記要求を前記内部サーバに送信するアクセス制御手段とを備えることを特徴とする。 The remote access device of the present invention accesses an internal server through a connection server installed in a network and a demilitarized zone, and can receive data from a user agent that performs data communication based on a predetermined communication protocol. A reception setting means for setting
Create another proxy setting different from the proxy setting of the user agent, and allow access to each user from the user agent management means for allowing the user agent to refer to the other proxy setting and the connection server. Whether or not the access permission list includes the access management means that downloads and holds the access permission list including the URL, and the connection destination included in the communication request generated based on the operation of the user. Access control means for transmitting the request to the internal server when the connection destination is included in the access permission list.

また、本発明のリモートアクセス装置は、さらに、前記受信設定手段が、使用されていないポートを検索し、検索の結果見つかった、使用されていないポートを使用してユーザエージェントからのデータを受信可能な状態にすることを特徴とする。   In the remote access device of the present invention, the reception setting means can also search for an unused port, and receive data from a user agent using an unused port found as a result of the search. It is characterized by making it a state.

また、本発明のリモートアクセス装置は、前記アクセス管理手段が、利用者の認証情報を前記接続サーバに送信し、前記接続サーバによる認証がされた場合、前記アクセス許可リストをダウンロードすることを特徴とする。   In the remote access device of the present invention, the access management means transmits user authentication information to the connection server, and downloads the access permission list when the connection server authenticates. To do.

また、本発明のリモートアクセス装置は、前記アクセス制御手段が、前記接続サーバとの通信をHTTPSで行うことを特徴とする。   The remote access device according to the present invention is characterized in that the access control means performs communication with the connection server using HTTPS.

また、本発明のリモートアクセス装置は、前記他のプロキシ設定において、前記ユーザエージェントが使用するIPアドレスがループバックアドレスにされていることを特徴とする。   In the remote access device of the present invention, the IP address used by the user agent is a loopback address in the other proxy setting.

本発明によれば、アクセス許可リストを使用して通信要求の接続先を、接続サーバを経由して接続される内部サーバと、それ以外のインターネット等のネットワーク上のサーバ、のいずれかへ切り替えることが可能であるため、リモートアクセス装置は、どちらのサーバにもアクセスすることができるという効果がある。   According to the present invention, the connection destination of a communication request is switched to either an internal server connected via a connection server or another server on a network such as the Internet using an access permission list. Therefore, the remote access device can access either server.

また、本発明によれば、クライアントPCと接続サーバ間の通信はHTTPSを用いるので、リモートアクセス装置がプロキシサーバ(一般的な設定ではHTTPS以外の暗号化通信を中継しない)を介してインターネットに接続している場合にも利用できるという効果がある。   Further, according to the present invention, since communication between the client PC and the connection server uses HTTPS, the remote access device connects to the Internet via a proxy server (in general settings, it does not relay encrypted communication other than HTTPS). There is an effect that it can be used even if it is.

また、本発明によれば、VPNのようなネットワーク層でのデータ送受信ではなく、アプリケーション層でHTTP通信の転送を行なうため、VPNクライアントをインストールしなくてよい。また、本発明によれば、設定管理部は動作のための設定を自動で行なうので、手動による設定の手間も不要となるという効果がある。   Further, according to the present invention, since the HTTP communication is transferred in the application layer, not in the data transmission / reception in the network layer like VPN, it is not necessary to install the VPN client. In addition, according to the present invention, since the setting management unit automatically performs setting for operation, there is an effect that manual setting is not required.

本発明の実施形態であるリモートアクセスシステムの構成を示す図である。It is a figure which shows the structure of the remote access system which is embodiment of this invention. 本発明の実施形態の通信処理部の構成を示す図である。It is a figure which shows the structure of the communication processing part of embodiment of this invention. 本発明の実施形態のアクセス許可リストを示す図である。It is a figure which shows the access permission list | wrist of embodiment of this invention. 本発明の実施形態の処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process of embodiment of this invention. 本発明の実施形態におけるプロキシ設定の変更前の例と変更後の例を示す図である。It is a figure which shows the example before the change of the proxy setting in the embodiment of this invention, and the example after a change.

以下、本発明の実施形態について、図面を参照して詳細に説明する。
図1は、本発明の実施形態であるリモートアクセスシステムの全体構成を示す。リモートアクセスシステム100は、クライアントPC1と、プロキシサーバ2と、ネットワーク3と、ファイアーウォール11と、接続サーバ12と、ファイアーウォール21と、Webサーバ22、23とから構成されている。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 1 shows the overall configuration of a remote access system according to an embodiment of the present invention. The remote access system 100 includes a client PC 1, a proxy server 2, a network 3, a firewall 11, a connection server 12, a firewall 21, and Web servers 22 and 23.

クライアントPC1は、プロキシサーバ2を経由して、ネットワーク3、例えばインターネットに接続されており、利用者の操作に応じてWebサーバ22、23にアクセスを行う汎用コンピュータである。クライアントPC1は、通信処理部31とWebブラウザ32を含む。利用者は、クライアントPC1を操作して、Webブラウザ32を通じてWebサーバ22、23に接続を行う。クライアントPC1は、例えば利用者が自宅や外出先で利用するパーソナルコンピュータであってもよいし、携帯電話や携帯情報端末であってもよい。   The client PC 1 is a general-purpose computer that is connected to the network 3, for example, the Internet via the proxy server 2, and accesses the Web servers 22 and 23 according to user operations. The client PC 1 includes a communication processing unit 31 and a web browser 32. The user operates the client PC 1 to connect to the Web servers 22 and 23 through the Web browser 32. The client PC 1 may be, for example, a personal computer used by a user at home or on the go, or may be a mobile phone or a portable information terminal.

Webブラウザ32は、所定のプロトコルを用いてネットワークを通じてデータの送受信するユーザエージェントの一例であり、後述するプロキシ設定にしたがってHTTP(HyperText
Transfer Protocol)通信又はSSL(Secure Sockets Layer)で暗号化されたいわゆるHTTPS通信を行う。なお、本実施形態ではWebブラウザ32を用いて説明するが、他の通信プロトコルを用いたユーザエージェントであってもよい。 The Web browser 32 is an example of a user agent that transmits and receives data through a network using a predetermined protocol, and HTTP (HyperText) according to proxy settings described later.
The so-called HTTPS communication encrypted by Transfer Protocol (Transfer Protocol) or SSL (Secure Sockets Layer) is performed. In the present embodiment, the Web browser 32 is used for explanation, but a user agent using another communication protocol may be used.

通信処理部31は、クライアントPC1の未使用のTCPポートを使用して、接続サーバ12を介して、Webブラウザ32との間でHTTP通信を行なう。HTTP通信に際して、通信処理部31は、後述するように、Webブラウザ32がHTTP要求を通信処理部31に送信するようにするためのプロキシ設定(プロキシ設定2)を作成し、Webブラウザ32の起動時に、Webブラウザ32がプロキシ設定2を参照するようにするとともに、自身はもとのプロキシ設定(プロキシ設定1)を参照して、HTTP通信を行う。通信処理部31は、利用者が必要なファイルをダウンロードして導入されてもよいし、USBメモリ等の記録媒体をクライアントPC1に接続することによって導入されてもよい。なお、通信処理部31は、接続サーバのURLをあらかじめ記憶しているか、もしくは利用者が適宜設定する。   The communication processing unit 31 performs HTTP communication with the Web browser 32 via the connection server 12 using an unused TCP port of the client PC 1. During HTTP communication, the communication processing unit 31 creates a proxy setting (proxy setting 2) for causing the Web browser 32 to transmit an HTTP request to the communication processing unit 31 and starts the Web browser 32, as will be described later. Sometimes, the Web browser 32 refers to the proxy setting 2 and itself performs HTTP communication with reference to the original proxy setting (proxy setting 1). The communication processing unit 31 may be introduced by downloading a file necessary for the user, or may be introduced by connecting a recording medium such as a USB memory to the client PC 1. Note that the communication processing unit 31 stores the URL of the connection server in advance, or is set as appropriate by the user.

ネットワーク3は、例えば、インターネットおよびそれにダイアルアップ又は光ファイバー等で接続するための公衆網である。   The network 3 is, for example, the Internet and a public network for connecting to it by dial-up or optical fiber.

接続サーバ12は、ファイアーウォール11を経由してネットワーク3に接続されており、アクセス許可リスト13に基づいて、クライアントPC1からのアクセスを許可する。アクセス許可リスト13は、接続サーバ12の図示しない記憶装置に記録され、必要に応じて参照される。接続サーバ12及びファイアーウォール11は、隔離ネットワーク42とネットワーク3との境界に位置する非武装地帯41(DMZ:DeMilitarized Zone)に設置されている。   The connection server 12 is connected to the network 3 via the firewall 11 and permits access from the client PC 1 based on the access permission list 13. The access permission list 13 is recorded in a storage device (not shown) of the connection server 12 and is referred to as necessary. The connection server 12 and the firewall 11 are installed in a demilitarized zone 41 (DMZ) located at the boundary between the isolated network 42 and the network 3.

接続サーバ12は、クライアントPC1からWebサーバ22、23へのHTTP要求を受け付けると、その要求の先であるWebサーバがその利用者によるアクセスが許可されたものであるかどうかを判断する。そのアクセスが許可されている場合にのみ、接続サーバ12はWebサーバ22、23へHTTP要求を送信する。また、接続サーバ12は、送信したHTTP要求に対するWebサーバ22,23からの処理結果を受けて、これをクライアントPC1へ応答を行う。   When the connection server 12 receives an HTTP request from the client PC 1 to the Web servers 22 and 23, the connection server 12 determines whether or not the Web server that is the request destination is permitted to be accessed by the user. Only when the access is permitted, the connection server 12 transmits an HTTP request to the Web servers 22 and 23. Further, the connection server 12 receives the processing results from the Web servers 22 and 23 in response to the transmitted HTTP request and responds to this to the client PC 1.

非武装地帯41は、ネットワーク3と隔離ネットワーク42とを中継するネットワークセグメントである。非武装地帯41は、ファイアーウォール11及び21によって、ネットワーク3からも隔離ネットワーク42からも独立している。この非武装地帯41は、外部のネットワーク3から不正なアクセスを遮断する目的で設けられているものである。   The demilitarized zone 41 is a network segment that relays between the network 3 and the isolated network 42. The demilitarized zone 41 is independent of the network 3 and the isolated network 42 by the firewalls 11 and 21. This demilitarized zone 41 is provided for the purpose of blocking unauthorized access from the external network 3.

Webサーバ22、23は、ファイアーウォール21を介して接続サーバ12及びファイアーウォール11に接続されており、クライアントPC1からのHTTPまたはHTTPSでの要求に基づき、必要な処理を実行し、その結果をクライアントPC1に返す。Webサーバ22、23及びファイアーウォール21は、共に隔離ネットワーク42の内部に設置されている。隔離ネットワーク42は、例えば、企業内に構築されるネットワークであって、LANやWAN等で構成されている。   The Web servers 22 and 23 are connected to the connection server 12 and the firewall 11 via the firewall 21, execute necessary processing based on an HTTP or HTTPS request from the client PC 1, and send the result to the client Return to PC1. Both the Web servers 22 and 23 and the firewall 21 are installed inside the isolation network 42. The isolation network 42 is, for example, a network constructed in a company, and is configured by a LAN, a WAN, or the like.

図2に、クライアントPC1の通信処理部31のモジュール構成を示す。通信処理部31は、設定管理部51と、アクセス管理部52と、アクセス制御部53の各モジュールから構成されている。   FIG. 2 shows a module configuration of the communication processing unit 31 of the client PC 1. The communication processing unit 31 includes modules of a setting management unit 51, an access management unit 52, and an access control unit 53.

設定管理部51は、Webブラウザ32がHTTP要求を通信処理部31に送信するようにするためのプロキシ設定を作成し、Webブラウザ32の起動時にWebブラウザ32がそのプロキシ設定を参照するようにするユーザエージェント管理部54と、通信処理部31がそのHTTP要求を受信可能な状態にする受信設定部50からなる。アクセス管理部52は、接続サーバ12から、利用者ごとにアクセスが許可されているURLを含むアクセス許可リスト13をダウンロードし、これを保持・管理している。アクセス制御部53は、利用者の操作に基づいて生成されたHTTP要求に含まれた接続先のURLがアクセス許可リスト13に含まれているか否かを判断し、接続先URLがアクセス許可リスト13に含まれる場合は、HTTP要求を前記内部サーバに送信する。   The setting management unit 51 creates proxy settings for allowing the Web browser 32 to transmit an HTTP request to the communication processing unit 31, and causes the Web browser 32 to refer to the proxy settings when the Web browser 32 is activated. It comprises a user agent management unit 54 and a reception setting unit 50 that enables the communication processing unit 31 to receive the HTTP request. The access management unit 52 downloads, from the connection server 12, the access permission list 13 including URLs that are permitted to be accessed for each user, and holds and manages this. The access control unit 53 determines whether or not the access destination URL included in the HTTP request generated based on the user operation is included in the access permission list 13, and the connection destination URL is included in the access permission list 13. If it is included, the HTTP request is transmitted to the internal server.

図3に、接続サーバ12が保持しているアクセス許可リスト13の一例を示す。図2のアクセス許可リスト13において、例えば、利用者IDが「aaaaa1」である利用者に対して、「http://web1.service1.net:8080/path1.html」及び「http://web1.service2.net:8080/dir1/」へのアクセスが許可される。同様に、利用者IDが「bbbbb1」である利用者に対しては、「http://web1.service1.net:8080/path1.html」へのアクセスが許可される。同様に、利用者IDが「bbbbb2」である利用者に対して、「http://web1.service1.net:8080/path1.html」及び「http://web1.service3.net:8080/dir1」へのアクセスが許可される。   FIG. 3 shows an example of the access permission list 13 held by the connection server 12. In the access permission list 13 of FIG. 2, for example, for a user whose user ID is “aaaaa1”, “http://web1.service1.net:8080/path1.html” and “http: // web1 .service2.net: 8080 / dir1 / "is allowed access. Similarly, access to “http://web1.service1.net:8080/path1.html” is permitted for a user whose user ID is “bbbbb1”. Similarly, for a user whose user ID is “bbbbb2”, “http://web1.service1.net:8080/path1.html” and “http://web1.service3.net:8080/dir1 ”Is permitted.

図4は、本実施形態のリモートアクセスシステム100の動作を説明するフローチャートである。まず、利用者が、クライアントPC1において通信処理部31を起動する。通信処理部31は、利用者がクライアントPC1に接続されたディスプレイ上のアイコンをクリックして起動しても良いし、利用者がUSBメモリ等の記録媒体をクライアントPC1に接続することよって起動しても良い。   FIG. 4 is a flowchart for explaining the operation of the remote access system 100 of this embodiment. First, the user activates the communication processing unit 31 in the client PC 1. The communication processing unit 31 may be activated by a user clicking on an icon on a display connected to the client PC 1 or may be activated by a user connecting a recording medium such as a USB memory to the client PC 1. Also good.

ステップ401において通信処理部31が起動すると、ステップ402において、通信処理部31は、利用者に認証情報、例えばID及びパスワードの入力を要求する。利用者は、IDおよびパスワードを入力する。通信処理部31は入力された認証情報を、接続サーバ12に送信する。   When the communication processing unit 31 is activated in step 401, in step 402, the communication processing unit 31 requests the user to input authentication information such as an ID and a password. The user inputs the ID and password. The communication processing unit 31 transmits the input authentication information to the connection server 12.

ステップ420において、接続サーバ12は、認証情報を受信すると認証を行い、認証結果を通信処理部31に送信する。   In step 420, the connection server 12 performs authentication when receiving the authentication information, and transmits an authentication result to the communication processing unit 31.

ステップ403において、通信処理部31は、認証結果が適正であったか否かの判断を行い、認証結果が適正ではなかった場合は、エラーを通知して処理を終了する。一方、認証結果が適正であった場合には、処理はステップ404に進む。   In step 403, the communication processing unit 31 determines whether or not the authentication result is appropriate. If the authentication result is not appropriate, an error is notified and the process is terminated. On the other hand, if the authentication result is appropriate, the process proceeds to step 404.

ステップ404において、通信処理部31の受信設定部50は未使用のTCPポートを検索し、そのポートとIPアドレスを用いて、通信処理部31がWebブラウザ32からの通信要求を受信可能な状態にする。IPアドレスは、通信処理部31が稼動するクライアントPC1に割り当てられたIPアドレスか、自分自身を表す仮想的なIPアドレス(ループバックアドレス)を用いることができる。
セキュリティ上、他のコンピュータからの通信要求を受信できないループバックアドレスを用いるのが望ましい。したがって以降はループバックアドレスを使用するものとして説明する。 In step 404, the reception setting unit 50 of the communication processing unit 31 searches for an unused TCP port, and uses the port and the IP address so that the communication processing unit 31 can receive a communication request from the web browser 32. To do. As the IP address, an IP address assigned to the client PC 1 on which the communication processing unit 31 operates or a virtual IP address (loopback address) representing itself can be used.
For security reasons, it is desirable to use a loopback address that cannot receive a communication request from another computer. Therefore, the following description will be made assuming that a loopback address is used.

ステップ406において、通信処理部31のユーザエージェント管理部54は、Webブラウザ32がHTTP要求を通信処理部31に送信するようにするためのプロキシ設定を作成する。具体的には、ユーザエージェント管理部54は、ステップ404でWebブラウザ32からの通信要求を受信可能な状態にするのに用いた値(未使用のTCPポート番号とループバックアドレス)を使って、図5(b)に示すプロキシ設定2を作成する。ここでは、使用するプロキシのIPアドレスを「127.0.0.1」に設定し、ポート番号をnnnnに設定する。「127.0.0.1」は、IPv4におけるループバックアドレスであり、nnnnはステップ404で見つかった未使用のTCPポートの番号である。
In step 406, the user agent management unit 54 of the communication processing unit 31 creates a proxy setting for causing the Web browser 32 to transmit an HTTP request to the communication processing unit 31. Specifically, the user agent management unit 54 uses the values (unused TCP port number and loopback address) used to make the communication request from the Web browser 32 receivable in step 404, Proxy setting 2 shown in FIG. 5B is created. Here, the IP address of the proxy to be used is set to “127.0.0.1”, and the port number is set to nnnn. “127.0.0.1” is a loopback address in IPv4, and nnnn is an unused TCP port number found in step 404.

後述するように、通信処理部31はWebブラウザ32を起動する際に、起動時パラメタにより、Webブラウザ32が上記作成したプロキシ設定2を参照するようにする。これにより、従来、Webブラウザ32はプロキシサーバ「proxy.tokyobbb.co.jp」の8080番ポートを使用してHTTP通信を行なっていたが、代わって、nnnn番ポートを使用して、通信処理部31を通じてすべてのHTTP通信を行うようになる。すなわち、Webブラウザ32に対しては、通信処理部31がプロキシサーバとして動作することになる。   As will be described later, when the communication processing unit 31 starts up the Web browser 32, the Web browser 32 refers to the created proxy setting 2 according to the startup parameters. As a result, the Web browser 32 has conventionally performed HTTP communication using the 8080 port of the proxy server “proxy.tokyobbb.co.jp”. Instead, the communication processing unit uses the nnnn number port. All HTTP communications are performed through 31. That is, for the Web browser 32, the communication processing unit 31 operates as a proxy server.

なお、本実施形態では、プロキシ設定2のIPアドレスを「127.0.0.1」に設定したが、「localhost」であってもよいし、IPv6においては「::1」(0:0:0:0:0:0:0:1)としてもよい。また、OSによって他のループバックアドレスが定められているのであれば、その値であってもよい。   In this embodiment, the IP address of proxy setting 2 is set to “127.0.0.1”, but may be “localhost”, or “:: 1” (0: 0: 0: 0) in IPv6. : 0: 0: 0: 1). Further, if another loopback address is determined by the OS, that value may be used.

ステップ407において、通信処理部31のアクセス管理部52は、さらに、接続サーバ12からアクセス許可リスト13をダウンロードする。このとき、接続サーバ12によって認証された利用者のみに関するアクセス許可リストがダウンロードされる。例えば、図3に示すように、利用者IDが「aaaaa1」である利用者に対して、「http://web1.service1.net:8080/path1.html」及び「http://web1.service2.net:8080/dir1/」というURLがダウンロードされる。   In step 407, the access management unit 52 of the communication processing unit 31 further downloads the access permission list 13 from the connection server 12. At this time, an access permission list relating only to the user authenticated by the connection server 12 is downloaded. For example, as shown in FIG. 3, for a user whose user ID is “aaaaa1”, “http://web1.service1.net:8080/path1.html” and “http: //web1.service2” .net: 8080 / dir1 / "is downloaded.

ステップ408において、通信処理部31のユーザエージェント管理部54はWebブラウザ32を起動する。このとき起動時パラメタを与えることにより、Webブラウザ32がプロキシ設定1に代わりプロキシ設定2を参照するようにする。Webブラウザ32は、利用者の処理に応じて、HTTP要求を通信処理部31に送信する。このHTTP要求は、その利用者の利用者IDを含む。   In step 408, the user agent management unit 54 of the communication processing unit 31 activates the web browser 32. At this time, by giving a startup parameter, the Web browser 32 refers to the proxy setting 2 instead of the proxy setting 1. The web browser 32 transmits an HTTP request to the communication processing unit 31 according to the user's processing. This HTTP request includes the user ID of the user.

ステップ409において、通信処理部31のアクセス制御部53は、Webブラウザ32からHTTP要求を受け取ると、ステップ410において、ダウンロードしたアクセス許可リスト13を参照し、そのHTTP要求に含まれる接続先URLがダウンロードしたアクセス許可リスト13に含まれているか否かを判断する。   In step 409, when the access control unit 53 of the communication processing unit 31 receives the HTTP request from the web browser 32, in step 410, the access control unit 53 refers to the downloaded access permission list 13, and the connection destination URL included in the HTTP request is downloaded. It is determined whether or not it is included in the access permission list 13.

図3を参照しながら具体例を挙げると、利用者IDが「aaaaa1」であるとき、HTTP要求に含まれた接続先URLが「http://web1.service1.net:8080/path1.html」であるときは、アクセス許可リスト13に含まれていると判断する。   To give a specific example with reference to FIG. 3, when the user ID is “aaaaa1”, the connection destination URL included in the HTTP request is “http://web1.service1.net:8080/path1.html”. Is determined to be included in the access permission list 13.

このとき、アクセス許可リストのURLとHTTP要求に含まれるURLを頭から比較し、前者が後者に含まれる関係にあれば(完全一致を含む)、アクセス許可リストに含まれると判断する。   At this time, the URL of the access permission list is compared with the URL included in the HTTP request from the beginning, and if the former is included in the latter (including complete match), it is determined that it is included in the access permission list.

具体的には、利用者IDが「aaaaa1」であるとき、HTTP要求に含まれた接続先URLが「http://web1.service1.net:8080/dir1/path2.html」であるときは、図3によれば、アクセス許可リスト13に含まれていると判断する。これは、「http://web1.service1.net:8080/dir1」の部分が一致しているため、それ以降の値が何であってもそのURLはアクセス許可リスト13にあるものと判断する。   Specifically, when the user ID is “aaaaa1” and the connection destination URL included in the HTTP request is “http://web1.service1.net:8080/dir1/path2.html”, According to FIG. 3, it is determined that it is included in the access permission list 13. This is because the part of “http://web1.service1.net:8080/dir1” matches, so that the URL is determined to be in the access permission list 13 regardless of the value thereafter.

他の具体例として、利用者IDが「bbbbb2」であるとき、HTTP要求に含まれた接続先URLが「http://web1.service1.net:8080/path1.html」であるときは、図3によれば、アクセス許可リスト13に含まれていると判断する。一方、HTTP要求に含まれた接続先URLが「http://web1.service1.net:8080/path2.html」や「http://web1.service1.net:8080/dir1/path1.html」は、アクセス許可リスト13にないものと判断する。なお、アクセス許可リストのURLがファイル名まで指定してある場合は、完全一致の場合のみアクセス許可リストに含まれると判断することとなる。   As another specific example, when the user ID is “bbbbb2”, the connection destination URL included in the HTTP request is “http://web1.service1.net:8080/path1.html”. 3, it is determined that it is included in the access permission list 13. On the other hand, the connection destination URL included in the HTTP request is “http://web1.service1.net:8080/path2.html” or “http://web1.service1.net:8080/dir1/path1.html” It is determined that the access permission list 13 does not exist. When the URL of the access permission list specifies up to the file name, it is determined that it is included in the access permission list only when there is a complete match.

なお、Webブラウザ32は、隔離ネットワーク42内で稼働するWebサーバ22,23のURLに対してそのままアクセスすることができる。すなわち、Webサーバ22、23がJavaScript(登録商標)などのスクリプトエンジンによりURLがクライアントPC1上で生成されるようなサービスを提供する場合であっても、Webサーバ側を修正することなく利用者がアクセスすることができる。   The Web browser 32 can directly access the URLs of the Web servers 22 and 23 operating in the isolated network 42. That is, even when the Web servers 22 and 23 provide a service in which a URL is generated on the client PC 1 by a script engine such as JavaScript (registered trademark), the user can modify the Web server without correcting it. Can be accessed.

ステップ410において、通信処理部31のアクセス制御部53は、HTTP要求に含まれる接続先URLがアクセス許可リスト13に含まれる場合は、ステップ412において当該HTTP要求をHTTPSプロトコルにより暗号化し、接続サーバ12にアクセスし、HTTP要求および利用者IDを接続サーバに送信する。   In step 410, when the access destination URL included in the HTTP request is included in the access permission list 13 in step 410, the access control unit 53 of the communication processing unit 31 encrypts the HTTP request in accordance with the HTTPS protocol in step 412. To send an HTTP request and a user ID to the connection server.

一方、ステップ410において、HTTP要求の接続先URLがアクセス許可リスト13に含まれない場合、ステップ411において、通信処理部はHTTP要求をそのまま、HTTP要求に含まれる接続先URLへ送信する。このとき、送信されるHTTP要求には、利用者IDは含まれない。   On the other hand, when the connection destination URL of the HTTP request is not included in the access permission list 13 in step 410, in step 411, the communication processing unit transmits the HTTP request as it is to the connection destination URL included in the HTTP request. At this time, the user ID is not included in the transmitted HTTP request.

ステップ421において、接続サーバ12は、通信処理部から暗号化されたHTTP要求を受信すると、これを復号し、ステップ422において、そこに含まれる利用者IDによってアクセス許可リストを検索・参照し、ステップ410と同様の方法でHTTP要求に含まれる接続先URLがアクセス許可リストにあるか否かを判断する。   In step 421, the connection server 12 receives the encrypted HTTP request from the communication processing unit, decrypts it, and in step 422, searches and references the access permission list by the user ID included therein, In the same manner as in 410, it is determined whether or not the connection destination URL included in the HTTP request is in the access permission list.

ステップ422において、HTTP要求に利用者IDが含まれない場合、または利用者IDがアクセス許可リスト13にない場合、不正なHTTP要求としてアクセスできない旨を通信処理部31に返す。   In step 422, when the user ID is not included in the HTTP request, or when the user ID is not in the access permission list 13, it is returned to the communication processing unit 31 that it cannot be accessed as an unauthorized HTTP request.

ステップ422において、利用者IDがアクセス許可リスト13にある場合、ステップ424において、接続サーバ12は、当該HTTP要求を、当該HTTP要求に含まれる接続先URL、すなわちWebサーバ22又は23に送信する。従って、クライアントPC1から送信されたHTTP要求は、通信処理部31、ネットワーク3、非武装地帯41、ファイアーウォール21、Webサーバ22又は23に送信される。受信されたHTTP要求に対して、Webサーバ22又は23から処理結果が、ファイアーウォール21、非武装地帯41、ネットワーク3を通じて通信処理部31に返される。   In step 422, when the user ID is in the access permission list 13, in step 424, the connection server 12 transmits the HTTP request to the connection destination URL included in the HTTP request, that is, the Web server 22 or 23. Accordingly, the HTTP request transmitted from the client PC 1 is transmitted to the communication processing unit 31, the network 3, the demilitarized zone 41, the firewall 21, and the Web server 22 or 23. In response to the received HTTP request, the processing result is returned from the Web server 22 or 23 to the communication processing unit 31 through the firewall 21, the demilitarized zone 41, and the network 3.

以上述べたように、本発明によれば、Webブラウザは、隔離ネットワーク内で稼働するWebサーバのURLに対してそのままアクセスすることができる。すなわち、WebサーバがJavaScript(登録商標)などのスクリプトエンジンによりURLがクライアントPC上で生成されるようなサービスを提供する場合であっても、Webサーバ側を修正することなく利用者がアクセスすることができる。   As described above, according to the present invention, the Web browser can directly access the URL of the Web server operating in the isolated network. That is, even when the Web server provides a service in which a URL is generated on the client PC by a script engine such as JavaScript (registered trademark), the user can access without correcting the Web server side. Can do.

また、本発明によれば、アクセス許可リストを使用してHTTP要求の送信先を、接続サーバを経由して接続されるWebサーバと、それ以外のインターネット等のネットワーク上のWebサーバ、のいずれかへ切り替えることが可能であるため、クライアントPCは、どちらのWebサーバにもアクセスすることができる。   According to the present invention, the transmission destination of the HTTP request using the access permission list is any one of the Web server connected via the connection server and the other Web server on the network such as the Internet. The client PC can access either Web server.

また、本発明によれば、通信処理部と接続サーバ間の通信はHTTPSを用いるので、クライアントPCがプロキシサーバを介してインターネットに接続している場合にも利用できる。   Further, according to the present invention, since communication between the communication processing unit and the connection server uses HTTPS, it can be used even when the client PC is connected to the Internet via a proxy server.

また、本発明によれば、VPNのようなネットワーク層でのデータ送受信ではなく、アプリケーション層でHTTP通信の転送を行なうため、VPNクライアントのようなプログラムをクライアントPCにインストールしなくてよい。すなわち、本発明は通信制御部に該当する実行ファイル及び必要なライブラリ類をクライアントPCに配置して実行するだけでよい。従って、利用者が管理者権限を持たない場合であっても、本発明を利用することができる。また、本発明では、通信処理部は動作のための設定を自動で行なうので、手動による設定の手間も不要となる。   Further, according to the present invention, since the HTTP communication is transferred in the application layer, not in the data transmission / reception in the network layer like VPN, it is not necessary to install a program like a VPN client in the client PC. That is, according to the present invention, the execution file corresponding to the communication control unit and necessary libraries may be arranged on the client PC and executed. Therefore, the present invention can be used even when the user does not have administrator authority. Further, in the present invention, since the communication processing unit automatically performs setting for operation, manual setting is not required.

上述の実施形態は一例であり、本発明の実施形態はこれに限定されない。例えばプロキシ設定1のプロキシサーバがJavaScript(登録商標)プログラムとして設定されていてもよい。また、プロキシサーバ2がない環境でも本発明は実施可能である。その場合、プロキシ設定1にはプロキシサーバに関する値は設定されておらず、プロキシ設定1を参照する通信処理部31は直接ネットワーク3に接続する。   The above-described embodiment is an example, and the embodiment of the present invention is not limited to this. For example, a proxy server with proxy setting 1 may be set as a JavaScript (registered trademark) program. Further, the present invention can be implemented even in an environment without the proxy server 2. In this case, no value related to the proxy server is set in the proxy setting 1, and the communication processing unit 31 that refers to the proxy setting 1 directly connects to the network 3.

また、通信処理部31とWebブラウザ32が別のコンピュータにあってもよい。この場合、Webブラウザ32を実行するコンピュータに通信管理部31のユーザエージェント管理部54の機能を導入する。   Further, the communication processing unit 31 and the web browser 32 may be in different computers. In this case, the function of the user agent management unit 54 of the communication management unit 31 is introduced into the computer that executes the Web browser 32.

図4のステップ404で受信設定部50は、それが稼働するクライアントPCに割り当てられたIPアドレス(192.68.0.1等)と空きTCPポートを用いて通信要求の受信設定を行い、その値をWebブラウザのコンピュータ上のユーザエージェント管理部54に送信する。ユーザエージェント管理部54はそれを用いてプロキシ設定2を作成するとともに、Webブラウザ32の起動時、起動時パラメタにより、Webブラウザ32がプロキシ設定2を参照するようにする。   In step 404 of FIG. 4, the reception setting unit 50 performs reception setting of the communication request using the IP address (192.68.0.1 etc.) assigned to the client PC on which it operates and a free TCP port. The value is transmitted to the user agent management unit 54 on the computer of the Web browser. The user agent management unit 54 creates the proxy setting 2 using it, and causes the Web browser 32 to refer to the proxy setting 2 according to the startup parameters when the Web browser 32 is started.

1 クライアントPC(リモートアクセス装置)
12 接続サーバ
13 アクセス許可リスト
31 通信処理部
32 Webブラウザ
50 受信設定部
51 設定管理部
52 アクセス管理部
53 アクセス制御部
54 ユーザエージェント管理部 1 Client PC (Remote Access Device)
DESCRIPTION OF SYMBOLS 12 Connection server 13 Access permission list 31 Communication processing part 32 Web browser 50 Reception setting part 51 Setting management part 52 Access management part 53 Access control part 54 User agent management part

Claims (8)

ネットワーク及び非武装地帯に設置された接続サーバを通じて内部サーバへのアクセスを行うリモートアクセス装置であって、
所定の通信プロトコルに基づいてデータ通信を行うユーザエージェントからのデータを受信可能な状態にする受信設定手段と、
前記ユーザエージェントのプロキシ設定とは異なる他のプロキシ設定を作成し、前記ユーザエージェントに前記他のプロキシ設定を参照させるためのユーザエージェント管理手段と、
前記接続サーバから、利用者ごとにアクセスが許可されているURLを含むアクセス許可リストをダウンロードし、保持するアクセス管理手段と、
前記利用者の操作に基づいて生成された通信要求に含まれた接続先が前記アクセス許可リストに含まれているか否かを判断し、前記接続先が前記アクセス許可リストに含まれる場合は、前記要求を前記内部サーバに送信するアクセス制御手段と
を備えることを特徴とするリモートアクセス装置。 A remote access device that accesses an internal server through a connection server installed in a network and a demilitarized zone,
A reception setting means for enabling reception of data from a user agent that performs data communication based on a predetermined communication protocol;
User agent management means for creating another proxy setting different from the proxy setting of the user agent and making the user agent refer to the other proxy setting;
An access management means for downloading and holding an access permission list including URLs that are permitted to be accessed for each user from the connection server;
It is determined whether or not a connection destination included in a communication request generated based on an operation of the user is included in the access permission list. When the connection destination is included in the access permission list, An access control means for transmitting a request to the internal server. 前記受信設定手段は、使用されていないポートを検索し、検索の結果見つかった使用されていないポートを使用してユーザエージェントからのデータを受信可能な状態にすることを特徴とする請求項1記載のリモートアクセス装置。   2. The reception setting unit searches for an unused port, and sets a state in which data from a user agent can be received using an unused port found as a result of the search. Remote access device. 前記アクセス管理手段は、利用者の認証情報を前記接続サーバに送信し、前記接続サーバによる認証がされた場合、前記アクセス許可リストをダウンロードすることを特徴とする請求項1又は2記載のリモートアクセス装置。   3. The remote access according to claim 1, wherein the access management means transmits user authentication information to the connection server, and downloads the access permission list when the connection server authenticates. apparatus. 前記アクセス制御手段は、前記接続サーバとの通信をHTTPSで行うことを特徴とする請求項1から3記載のリモートアクセス装置。   4. The remote access apparatus according to claim 1, wherein the access control means performs communication with the connection server using HTTPS. 前記他のプロキシ設定において、前記ユーザエージェントがプロキシサーバとして使用するIPアドレスがループバックアドレスにされていることを特徴とする請求項1〜4のいずれかに記載のリモートアクセス装置。   5. The remote access device according to claim 1, wherein, in the other proxy setting, an IP address used by the user agent as a proxy server is set as a loopback address. 6. ネットワーク及び非武装地帯に設置された接続サーバを通じて内部サーバへのアクセスを行うリモートアクセスプログラムであって、
所定の通信プロトコルに基づいてデータ通信を行うユーザエージェントからのデータを受信可能な状態にする受信設定手段と、
前記ユーザエージェントのプロキシ設定とは異なる他のプロキシ設定を作成し、前記ユーザエージェントに前記他のプロキシ設定を参照させるためのユーザエージェント管理手段と、
前記接続サーバから、利用者ごとにアクセスが許可されているURLを含むアクセス許可リストをダウンロードし、保持するアクセス管理手段と、
前記利用者の操作に基づいて生成された通信要求に含まれた接続先が前記アクセス許可リストに含まれているか否かを判断し、前記接続先が前記アクセス許可リストに含まれる場合は、前記要求を前記内部サーバに送信するアクセス制御手段と
を備えることを特徴とするリモートアクセスプログラム。 A remote access program for accessing an internal server through a connection server installed in a network and a demilitarized zone,
A reception setting means for enabling reception of data from a user agent that performs data communication based on a predetermined communication protocol;
User agent management means for creating another proxy setting different from the proxy setting of the user agent and making the user agent refer to the other proxy setting;
An access management means for downloading and holding an access permission list including URLs that are permitted to be accessed for each user from the connection server;
It is determined whether or not a connection destination included in a communication request generated based on an operation of the user is included in the access permission list. When the connection destination is included in the access permission list, An access control means for transmitting a request to the internal server. ネットワーク及び非武装地帯に設置された接続サーバを通じて内部サーバへのアクセスを行うリモートアクセス方法であって、
所定の通信プロトコルに基づいてデータ通信を行うユーザエージェントからのデータを受信可能な状態にする受信設定工程と、
前記ユーザエージェントのプロキシ設定とは異なる他のプロキシ設定を作成し、前記ユーザエージェントに前記他のプロキシ設定を参照させるためのユーザエージェント管理工程と、
前記接続サーバから、利用者ごとにアクセスが許可されているURLを含むアクセス許可リストをダウンロードし、保持するアクセス管理工程と、
前記利用者の操作に基づいて生成された通信要求に含まれた接続先が前記アクセス許可リストに含まれているか否かを判断し、前記接続先が前記アクセス許可リストに含まれる場合は、前記要求を前記内部サーバに送信するアクセス制御工程と
を備えることを特徴とするリモートアクセス方法。 A remote access method for accessing an internal server through a connection server installed in a network and a demilitarized zone,
A reception setting step for enabling reception of data from a user agent that performs data communication based on a predetermined communication protocol;
A user agent management step for creating another proxy setting different from the proxy setting of the user agent and causing the user agent to refer to the other proxy setting;
An access management step of downloading and holding an access permission list including URLs permitted to be accessed for each user from the connection server;
It is determined whether or not a connection destination included in a communication request generated based on an operation of the user is included in the access permission list. When the connection destination is included in the access permission list, An access control step of transmitting a request to the internal server. クライアントからネットワーク及び非武装地帯に設置された接続サーバを通じて、隔離ネットワークに設置された内部サーバへのアクセスを行うリモートアクセスシステムであって、
前記クライアントは、
所定の通信プロトコルに基づいてデータ通信を行うユーザエージェントからのデータを受信可能な状態にする受信設定手段と、
前記ユーザエージェントのプロキシ設定とは異なる他のプロキシ設定を作成し、前記ユーザエージェントに前記他のプロキシ設定を参照させるためのユーザエージェント管理手段と、
前記接続サーバから、利用者ごとにアクセスが許可されているURLを含むアクセス許可リストをダウンロードし、保持するアクセス管理手段と、
前記利用者の操作に基づいて生成された通信要求に含まれた接続先が前記アクセス許可リストに含まれているか否かを判断し、前記接続先が前記アクセス許可リストに含まれる場合は、前記要求を前記内部サーバに送信するアクセス制御手段を備え、
前記接続サーバは、
前記アクセス許可リストを保持し、前記クライアントの要求に応じて利用者ごとに前記アクセス許可リストを前記クライアントに送信する手段を備え、
前記接続先が前記アクセス許可リストに含まれる場合に送信された前記クライアントからの通信要求を、前記接続サーバに保持された前記アクセス許可リストに基づいて、前記内部サーバに送信することを特徴とするリモートアクセスシステム。
A remote access system for accessing an internal server installed in an isolated network from a client through a connection server installed in a network and a demilitarized zone,
The client
A reception setting means for enabling reception of data from a user agent that performs data communication based on a predetermined communication protocol;
User agent management means for creating another proxy setting different from the proxy setting of the user agent and making the user agent refer to the other proxy setting;
An access management means for downloading and holding an access permission list including URLs that are permitted to be accessed for each user from the connection server;
It is determined whether or not a connection destination included in a communication request generated based on an operation of the user is included in the access permission list. When the connection destination is included in the access permission list, Access control means for transmitting a request to the internal server;
The connection server is
Means for holding the access permission list and transmitting the access permission list to the client for each user in response to a request from the client;
The communication request from the client transmitted when the connection destination is included in the access permission list is transmitted to the internal server based on the access permission list held in the connection server. Remote access system.
JP2009253214A 2009-11-04 2009-11-04 Remote access device, remote access program, remote access method, and remote access system Active JP4914479B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009253214A JP4914479B2 (en) 2009-11-04 2009-11-04 Remote access device, remote access program, remote access method, and remote access system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009253214A JP4914479B2 (en) 2009-11-04 2009-11-04 Remote access device, remote access program, remote access method, and remote access system

Publications (2)

Publication Number Publication Date
JP2011100207A true JP2011100207A (en) 2011-05-19
JP4914479B2 JP4914479B2 (en) 2012-04-11

Family

ID=44191346

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009253214A Active JP4914479B2 (en) 2009-11-04 2009-11-04 Remote access device, remote access program, remote access method, and remote access system

Country Status (1)

Country Link
JP (1) JP4914479B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013077995A (en) * 2011-09-30 2013-04-25 Ntt Data Corp Vpn system and vpn connection method
JP5222427B1 (en) * 2012-09-28 2013-06-26 株式会社 ディー・エヌ・エー Network system and program
JP2013182396A (en) * 2012-03-01 2013-09-12 Nec Corp Reverse proxy device, and reverse proxy processing method and program in the same device
JP2014102568A (en) * 2012-11-16 2014-06-05 Nintendo Co Ltd Information processing system, information processing device, information processing program, and information processing method
JP2016058842A (en) * 2014-09-08 2016-04-21 インフォコム株式会社 Communication method and communication system
JP2016057789A (en) * 2014-09-08 2016-04-21 インフォコム株式会社 Network system, communication method and application program
CN110071972A (en) * 2019-04-19 2019-07-30 国网甘肃省电力公司电力科学研究院 A method of identification controls network channel based on TeamViewer remote software
CN114666130A (en) * 2022-03-23 2022-06-24 北京从云科技有限公司 WEB security reverse proxy method

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06324978A (en) * 1993-05-14 1994-11-25 Sumitomo Electric Ind Ltd Allocating system for port number of server program
JP2000010890A (en) * 1998-06-23 2000-01-14 Fujitsu Ltd Terminal, connection controller, server-client system, and its program storage medium
JP2001005714A (en) * 1999-06-23 2001-01-12 Mitsubishi Electric Corp Proxy server changing device
JP2001326696A (en) * 2000-05-18 2001-11-22 Nec Corp Method for controlling access
JP2004295166A (en) * 2003-03-25 2004-10-21 Nec Corp Remote access system and remote access method
JP2004302963A (en) * 2003-03-31 2004-10-28 Ntt Docomo Inc Terminal device, control method of terminal device, program, and communication method
JP2004536407A (en) * 2001-07-16 2004-12-02 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Personalized filters for web browsing
JP2004355471A (en) * 2003-05-30 2004-12-16 Canon Inc Method for preventing unauthorized access
JP2007520797A (en) * 2003-12-29 2007-07-26 ノキア インコーポレイテッド System and method for managing proxy requests on a secure network using inherited security attributes

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06324978A (en) * 1993-05-14 1994-11-25 Sumitomo Electric Ind Ltd Allocating system for port number of server program
JP2000010890A (en) * 1998-06-23 2000-01-14 Fujitsu Ltd Terminal, connection controller, server-client system, and its program storage medium
JP2001005714A (en) * 1999-06-23 2001-01-12 Mitsubishi Electric Corp Proxy server changing device
JP2001326696A (en) * 2000-05-18 2001-11-22 Nec Corp Method for controlling access
JP2004536407A (en) * 2001-07-16 2004-12-02 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Personalized filters for web browsing
JP2004295166A (en) * 2003-03-25 2004-10-21 Nec Corp Remote access system and remote access method
JP2004302963A (en) * 2003-03-31 2004-10-28 Ntt Docomo Inc Terminal device, control method of terminal device, program, and communication method
JP2004355471A (en) * 2003-05-30 2004-12-16 Canon Inc Method for preventing unauthorized access
JP2007520797A (en) * 2003-12-29 2007-07-26 ノキア インコーポレイテッド System and method for managing proxy requests on a secure network using inherited security attributes

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013077995A (en) * 2011-09-30 2013-04-25 Ntt Data Corp Vpn system and vpn connection method
JP2013182396A (en) * 2012-03-01 2013-09-12 Nec Corp Reverse proxy device, and reverse proxy processing method and program in the same device
JP5222427B1 (en) * 2012-09-28 2013-06-26 株式会社 ディー・エヌ・エー Network system and program
JP2014102568A (en) * 2012-11-16 2014-06-05 Nintendo Co Ltd Information processing system, information processing device, information processing program, and information processing method
US9654457B2 (en) 2012-11-16 2017-05-16 Nintendo Co., Ltd. Information processing system, information processing apparatus, storage medium and information processing method
JP2016058842A (en) * 2014-09-08 2016-04-21 インフォコム株式会社 Communication method and communication system
JP2016057789A (en) * 2014-09-08 2016-04-21 インフォコム株式会社 Network system, communication method and application program
CN110071972A (en) * 2019-04-19 2019-07-30 国网甘肃省电力公司电力科学研究院 A method of identification controls network channel based on TeamViewer remote software
CN114666130A (en) * 2022-03-23 2022-06-24 北京从云科技有限公司 WEB security reverse proxy method
CN114666130B (en) * 2022-03-23 2024-06-07 北京从云科技有限公司 WEB security reverse proxy method

Also Published As

Publication number Publication date
JP4914479B2 (en) 2012-04-11

Similar Documents

Publication Publication Date Title
JP4914479B2 (en) Remote access device, remote access program, remote access method, and remote access system
US11652792B2 (en) Endpoint security domain name server agent
KR100758733B1 (en) System and method for managing a proxy request over a secure network using inherited security attributes
US8332464B2 (en) System and method for remote network access
US7333990B1 (en) Dynamic reverse proxy
JP3819295B2 (en) Public network access server with user configurable firewall
JP4734592B2 (en) Method and system for providing secure access to private network by client redirection
EP1676418B1 (en) Methods and devices for sharing content on a network
US20150113172A1 (en) Deploying and managing networked devices
JP3782981B2 (en) Session relay system, client terminal, session relay method, remote access method, session relay program, and client program
US7685316B2 (en) System and method for coordinated network configuration
JP3831364B2 (en) Communication system and security policy distribution method in the communication system
JP2016530814A (en) Gateway device to block a large number of VPN connections
US20050135269A1 (en) Automatic configuration of a virtual private network
US10505902B2 (en) Securely identifying a device using a DNS-controlled proxy
JP4429059B2 (en) Communication control method and program, communication control system, and communication control related apparatus
KR100779259B1 (en) Method and system for unified session control of multiple management servers on network appliances
Keijser OpenVPN Cookbook
US11736516B2 (en) SSL/TLS spoofing using tags
Graham Ethical Hacking: A Hands-on Introduction to Breaking In
US20230199055A1 (en) Non-http layer 7 protocol applications running in the browser
Cisco CTE-1400 Configuration Note
Cisco Release Note for the Cisco 11000 Series Secure Content Accelerator (Software Version 3.1.0)
Cisco Setting Up Devices for the VPN Solutions Center IPsec Environment
Cisco Setting Up Devices in the VPN Solutions Center IPsec Environment

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111227

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120120

R150 Certificate of patent or registration of utility model

Ref document number: 4914479

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150127

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250