JP2011211306A - Vpn router, communication system, and communication program - Google Patents

Vpn router, communication system, and communication program Download PDF

Info

Publication number
JP2011211306A
JP2011211306A JP2010074642A JP2010074642A JP2011211306A JP 2011211306 A JP2011211306 A JP 2011211306A JP 2010074642 A JP2010074642 A JP 2010074642A JP 2010074642 A JP2010074642 A JP 2010074642A JP 2011211306 A JP2011211306 A JP 2011211306A
Authority
JP
Japan
Prior art keywords
authentication information
authentication
vpn
terminal device
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010074642A
Other languages
Japanese (ja)
Other versions
JP5206720B2 (en
Inventor
Masahiko Hirono
正彦 廣野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Brother Industries Ltd
Original Assignee
Brother Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Brother Industries Ltd filed Critical Brother Industries Ltd
Priority to JP2010074642A priority Critical patent/JP5206720B2/en
Publication of JP2011211306A publication Critical patent/JP2011211306A/en
Application granted granted Critical
Publication of JP5206720B2 publication Critical patent/JP5206720B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a VPN router capable of accessing to a local network easily from an outside environment through a VPN, and limiting an object for the connection of the VPN to a regular terminal.SOLUTION: The VPN router 8 receives a VPN connection request from a portable terminal 7. The VPN router generates and stores an authentication key, and transmits a center authentication instruction to the portable terminal 7 (T1 and T2). The portable terminal 7 transmits a center authentication request to a server 3 (T3). The server 3 transmits an authentication key request to the VPN router 8 to acquire an authentication key stored at the VPN router 8 (T4 and T5). When the authentication key received from the portable terminal 7 is matched with the authentication key received from the VPN router 8, the server 3 transmits a session establishing instruction to the VPN router 8 (T6). Then, the VPN router 8 establishes a VPN session for connecting the portable terminal 7 to a PC (T8).

Description

本発明は、VPNルータ、通信システムおよび通信プログラムに関する。詳細には、複数の端末装置間でVPNセッションを確立するためのVPNルータ、通信システムおよび通信プログラムに関する。   The present invention relates to a VPN router, a communication system, and a communication program. Specifically, the present invention relates to a VPN router, a communication system, and a communication program for establishing a VPN session between a plurality of terminal devices.

従来、ネットワークサービスの一種として、VPN(Virtual Private Network)が知られている。VPNでは、公衆回線網の一部を仮想的な専用線として利用する。VPNセッションが確立された端末装置間では、セキュリティ性の高い通信が行われる。近年では、インターネット上にVPNを構築することが提案されている。例えば、複数の端末装置を、それぞれVPN機能を有するルータ(以下、VPNルータと称する。)を介してインターネットに接続する。各端末装置に接続されたVPNルータが、既定のプロトコルで暗号化通信を行うことで、インターネット上でVPNが実現される。   Conventionally, VPN (Virtual Private Network) is known as a kind of network service. In VPN, a part of the public network is used as a virtual dedicated line. Communication with high security is performed between the terminal devices in which the VPN session is established. In recent years, it has been proposed to construct a VPN on the Internet. For example, a plurality of terminal devices are connected to the Internet via routers (hereinafter referred to as VPN routers) each having a VPN function. A VPN router connected to each terminal device performs encrypted communication using a predetermined protocol, so that VPN is realized on the Internet.

VPNルータの一種として、オンデマンド型のVPNルータが知られている。オンデマンド型のVPNルータには、VPNセッションの終端ノードを特定するIPアドレスがあらかじめ登録されている。VPNルータは、ローカル接続されている端末装置からIPパケットを受信した場合、IPパケットの宛先アドレスが登録済みのIPアドレスと一致するか否かを判断する。宛先アドレスが登録済みのIPアドレスと一致した場合、VPNルータは端末装置と終端ノードとを接続するVPNセッションを自動的に確立する。   An on-demand VPN router is known as a kind of VPN router. In the on-demand type VPN router, an IP address that identifies the end node of the VPN session is registered in advance. When the VPN router receives an IP packet from a locally connected terminal device, the VPN router determines whether the destination address of the IP packet matches the registered IP address. When the destination address matches the registered IP address, the VPN router automatically establishes a VPN session connecting the terminal device and the terminal node.

VPNでは、セキュリティ性を向上させるため、暗号化通信に使用する暗号鍵を定期的に更新することがある。そこで、一方のVPNルータが共通鍵を生成して、その共通鍵を携帯電話網を介して他方のVPNルータに送信する。これにより、共通鍵の受け渡しに必要なデータ通信を簡略化しつつ、高いセキュリティを実現するVPN通信装置が知られている(例えば、特許文献1参照)。   In VPN, in order to improve security, an encryption key used for encrypted communication may be periodically updated. Therefore, one VPN router generates a common key and transmits the common key to the other VPN router via the mobile phone network. As a result, a VPN communication device that realizes high security while simplifying data communication necessary for the exchange of the common key is known (see, for example, Patent Document 1).

特開2006−217275号公報JP 2006-217275 A

近年では、ユーザが外出先で携帯端末(例えば、携帯電話やノート型PCなど)を使用して、社内のネットワークへ接続することがある。このとき、通信時のセキュリティ性を確保するために、ユーザが外出先に設置されたVPNルータを介して、社内のネットワークへVPNで接続することがある。また、オンデマンド型のVPNルータを小型軽量化することで、ユーザがVPNルータを携行可能とすることが考えられる。この場合、ユーザが外出先に携行したVPNルータを介して、携帯端末と社内のネットワークとをVPNで接続することがある。   In recent years, there are cases where a user connects to an in-house network using a mobile terminal (for example, a mobile phone or a notebook PC) on the go. At this time, in order to ensure security during communication, a user may connect to an in-house network via a VPN via a VPN router installed on the go. It is also conceivable that the user can carry the VPN router by reducing the size and weight of the on-demand VPN router. In this case, the mobile terminal and the in-house network may be connected by VPN via a VPN router carried by the user on the go.

このような場合、社内のネットワークとVPNセッションを確立するための通信設定が行われた端末装置であれば、社内のネットワークへアクセス可能となる。言い換えると、第三者が不特定の端末装置を使用して、外部環境からVPNルータを介して社内のネットワークへ不正にアクセスする可能性があった。また、上記の通信設定が残っている携帯端末を、ユーザが紛失したり、第三者が盗難したりすることがありうる。この場合も、第三者が不正取得した携帯端末を使用して、外部環境からVPNルータを介して社内のネットワークへ不正にアクセスするおそれがあった。   In such a case, any terminal device that has been set for communication to establish a VPN session with the internal network can access the internal network. In other words, there is a possibility that a third party may illegally access an in-house network from an external environment via a VPN router using an unspecified terminal device. In addition, the mobile terminal in which the above communication settings remain may be lost by the user or stolen by a third party. In this case as well, there is a possibility that a mobile terminal illegally acquired by a third party may illegally access an in-house network from the external environment via the VPN router.

本発明は、上述した課題を解決するためになされたものであり、外部環境からローカルネットワークへVPNで容易にアクセスすることができ、且つ、VPNの接続対象を正規の端末装置に限定することができるVPNルータ、通信システムおよび通信プログラムを提供することを目的とする。   The present invention has been made to solve the above-described problems, and can easily access a local network from an external environment with a VPN, and limit the VPN connection target to a regular terminal device. An object is to provide a VPN router, a communication system, and a communication program.

本発明の第1態様に係るVPNルータは、一の端末装置とローカル接続され、且つ、ネットワークを介して他の端末装置とVPNセッションを管理するサーバとに接続されるVPNルータであって、前記一の端末装置から、前記他の端末装置に対する接続を要求する指示である接続要求を受信した場合、前記一の端末装置に固有の第1認証情報を生成する認証情報生成手段と、前記認証情報生成手段によって生成された前記第1認証情報を、前記一の端末装置に送信する第1認証情報送信手段と、前記認証情報生成手段によって生成された前記第1認証情報を記憶する第1認証情報記憶手段と、前記一の端末装置から前記サーバに向けて送信された、前記一の端末装置が前記VPNセッションの確立対象であるか否かの認証を要求する指示であって、前記第1認証情報を含む認証要求を中継する認証要求中継手段と、前記サーバから前記第1認証情報を要求する指示である情報要求を受信した場合、前記第1認証情報記憶手段で記憶されている前記第1認証情報を、前記サーバに送信する第2認証情報送信手段と、前記サーバから前記VPNセッションの確立指示を受信した場合、前記ネットワーク上に前記一の端末装置と前記他の端末装置とを接続する前記VPNセッションを確立するセッション確立手段とを備えている。   A VPN router according to a first aspect of the present invention is a VPN router that is locally connected to one terminal device and connected to another terminal device and a server that manages a VPN session via a network, Authentication information generating means for generating first authentication information unique to the one terminal device when receiving a connection request, which is an instruction for requesting connection to the other terminal device, from the one terminal device; and the authentication information First authentication information transmitting means for transmitting the first authentication information generated by the generating means to the one terminal device, and first authentication information for storing the first authentication information generated by the authentication information generating means An instruction for requesting authentication of whether or not the one terminal device is an establishment target of the VPN session, which is transmitted from the one terminal device to the server; When receiving an authentication request relay unit that relays an authentication request including the first authentication information and an information request that is an instruction to request the first authentication information from the server, the first authentication information storage unit A second authentication information transmitting means for transmitting the stored first authentication information to the server; and when receiving an instruction to establish the VPN session from the server, the one terminal device and the other on the network Session establishing means for establishing the VPN session for connecting to the terminal device.

第1態様によれば、一の端末装置からVPNルータへ接続要求が送信された場合、VPNルータで第1認証情報が生成および記憶され、且つ、第1認証情報がVPNルータから一の端末装置へ送信される。一の端末装置から第1認証情報を含む認証要求が送信された場合、認証要求はVPNルータによってサーバに向けて中継される。サーバからVPNルータへ情報要求が送信された場合、VPNルータで記憶済みの第1認証情報がサーバへ送信される。サーバからVPNルータへVPNセッションの確立指示が送信された場合、一の端末装置と他の端末装置とを接続するVPNセッションを確立される。これにより、外部環境からローカルネットワークへVPNで容易にアクセスすることができ、且つ、VPNの接続対象を正規の端末装置に限定することができる。   According to the first aspect, when a connection request is transmitted from one terminal device to the VPN router, the first authentication information is generated and stored in the VPN router, and the first authentication information is transmitted from the VPN router to the one terminal device. Sent to. When an authentication request including the first authentication information is transmitted from one terminal device, the authentication request is relayed toward the server by the VPN router. When the information request is transmitted from the server to the VPN router, the first authentication information stored in the VPN router is transmitted to the server. When a VPN session establishment instruction is transmitted from the server to the VPN router, a VPN session connecting one terminal device and another terminal device is established. Thereby, it is possible to easily access the local network from the external environment with the VPN, and it is possible to limit the VPN connection target to a regular terminal device.

第1態様において、前記第1認証情報記憶手段で記憶されている前記第1認証情報について、前記認証情報生成手段によって生成された時点からの経過時間を計測する経過時間計測手段と、前記VPNセッションに関する前記一の端末装置の状態を示すステータス情報を記憶するステータス情報記憶手段と、前記認証情報生成手段によって前記認証情報が生成された場合、前記ステータス情報を第1状態に設定する状態設定手段と、前記経過時間が所定時間以上である場合、前記ステータス情報を前記第1状態から第2状態に変更する状態変更手段とを備え、前記第2認証情報送信手段は、前記サーバから前記情報要求を受信した時点で、前記ステータス情報が前記第1状態である場合、前記第1認証情報の送信を実行する一方、前記ステータス情報が前記第2状態である場合、前記第1認証情報の送信を中止してもよい。   1st aspect WHEREIN: About the said 1st authentication information memorize | stored in the said 1st authentication information storage means, the elapsed time measurement means which measures the elapsed time from the time produced | generated by the said authentication information generation means, The said VPN session Status information storage means for storing status information indicating the status of the one terminal device, and status setting means for setting the status information to the first state when the authentication information is generated by the authentication information generating means; A status changing unit that changes the status information from the first state to the second state when the elapsed time is equal to or longer than a predetermined time, and the second authentication information transmitting unit sends the information request from the server. When the status information is in the first state at the time of reception, the first authentication information is transmitted while the status information is in the first state. If the scan information is the second state may cancel the transmission of the first authentication information.

これによれば、第1認証情報が生成されてから情報要求を受信するまでの経過時間が所定時間以上である場合、ステータス情報が第1状態から第2状態に変更されることで、第1認証情報の送信が中止される。したがって、VPNルータで実行される処理の遅延を抑制でき、且つ、第三者による不正な操作が介入するおそれを低減することができる。   According to this, when the elapsed time from when the first authentication information is generated until the information request is received is equal to or longer than a predetermined time, the status information is changed from the first state to the second state. Transmission of authentication information is canceled. Therefore, it is possible to suppress a delay in processing executed in the VPN router, and to reduce the possibility of an unauthorized operation by a third party intervening.

第1態様において、前記接続要求は、前記一の端末装置で設定された第2認証情報を含み、前記一の端末装置に対応づけて、あらかじめ登録された前記第2認証情報を記憶する第2認証情報記憶手段と、前記一の端末装置から前記接続要求を受信した場合、前記接続要求に含まれる前記第2認証情報と、前記第2認証情報記憶手段に記憶されている前記第2認証情報とが一致するか否かを判断する端末認証手段とを備え、前記認証情報生成手段は、前記端末認証手段によって前記第2認証情報が一致すると判断された場合、前記第1認証情報の生成を実行する一方、前記端末認証手段によって前記第2認証情報が一致しないと判断された場合、前記第1認証情報の生成を中止してもよい。   In the first aspect, the connection request includes second authentication information set in the one terminal device, and stores the second authentication information registered in advance in association with the one terminal device. When the connection request is received from the authentication information storage means and the one terminal device, the second authentication information included in the connection request and the second authentication information stored in the second authentication information storage means Terminal authentication means for determining whether or not and the authentication information generating means generates the first authentication information when the terminal authentication means determines that the second authentication information matches. On the other hand, if the terminal authentication means determines that the second authentication information does not match, the generation of the first authentication information may be stopped.

これによれば、サーバでは第1認証情報を用いた認証処理が実行され、VPNルータでは第2認証情報を用いた認証処理が実行される。つまり、異なる機器でそれぞれ異なる認証情報を用いた認証処理が実行されるため、セキュリティ性が高まる。第2認証情報を用いた認証処理が失敗した場合には、第1認証情報の生成が中止されるため、VPNルータで実行される処理の遅延を抑制できる。   According to this, an authentication process using the first authentication information is executed in the server, and an authentication process using the second authentication information is executed in the VPN router. That is, since the authentication process using different authentication information is executed by different devices, security is improved. When the authentication process using the second authentication information fails, the generation of the first authentication information is stopped, so that a delay in the process executed by the VPN router can be suppressed.

第1態様において、前記接続要求は、前記一の端末装置が提供を求めるサービスを示す情報を含み、前記サービスを提供可能な前記他の端末装置のアドレスを記憶するアドレス記憶手段と、前記接続要求に含まれる前記サービスを示す情報に基づいて、前記一の端末装置が提供を求める前記サービスを特定し、且つ、特定した前記サービスを提供可能な前記他の端末装置の前記アドレスを、前記アドレス記憶手段を参照して特定するアドレス特定手段とを備え、前記セッション確立手段は、前記アドレス特定手段によって特定された前記アドレスに基づいて、前記VPNセッションを確立してもよい。これによれば、他の端末装置から提供を受けるサービスに応じて、VPNルータがVPNセッションの接続先アドレスを特定することができる。   In the first aspect, the connection request includes information indicating a service that the one terminal device requests to provide, an address storage unit that stores an address of the other terminal device that can provide the service, and the connection request The one terminal device specifies the service that the one terminal device seeks to provide based on the information indicating the service included in the address, and the address of the other terminal device that can provide the specified service is stored in the address storage Address specifying means for specifying with reference to means, and the session establishing means may establish the VPN session based on the address specified by the address specifying means. According to this, the VPN router can specify the connection destination address of the VPN session according to the service received from another terminal device.

第1態様において、前記第1認証情報送信手段は、前記第1認証情報とともに、前記VPNルータに固有の識別情報を前記一の端末装置に送信し、前記認証要求は、前記識別情報を含んでもよい。これによれば、認証要求に含まれるVPNルータの識別情報によって、一の端末装置が接続されているVPNルータを、サーバに特定させることができる。   In the first aspect, the first authentication information transmitting means transmits identification information unique to the VPN router to the one terminal device together with the first authentication information, and the authentication request may include the identification information. Good. According to this, the VPN router to which one terminal device is connected can be specified by the server based on the VPN router identification information included in the authentication request.

第1態様において、前記第1認証情報は、前記接続要求が受信されるごとにランダムに生成される認証鍵であってもよい。これにより、一の端末装置とVPNルータに接続されている端末装置とが同一であるか否かを、サーバに特定させることができる。   In the first aspect, the first authentication information may be an authentication key that is randomly generated every time the connection request is received. Thereby, it is possible to make the server specify whether one terminal device and the terminal device connected to the VPN router are the same.

本発明の第2態様に係る通信システムは、VPNセッションを管理するサーバと、一の端末装置とローカル接続され、且つ、ネットワークを介して他の端末装置および前記サーバに接続されるVPNルータとを含む通信システムであって、前記VPNルータは、前記一の端末装置から、前記他の端末装置に対する接続を要求する指示である接続要求を受信した場合、前記一の端末装置に固有の認証情報を生成する認証情報生成手段と、前記認証情報生成手段によって生成された前記認証情報を、前記一の端末装置に送信する第1認証情報送信手段と、前記認証情報生成手段によって生成された前記認証情報を記憶する認証情報記憶手段と、前記一の端末装置から前記サーバに向けて送信された、前記一の端末装置が前記VPNセッションの確立対象であるか否かの認証を要求する指示であって、前記認証情報を含む認証要求を中継する認証要求中継手段と、前記サーバから前記認証情報を要求する指示である情報要求を受信した場合、前記認証情報記憶手段で記憶されている前記認証情報を、前記サーバに送信する第2認証情報送信手段と、前記サーバから前記VPNセッションの確立指示を受信した場合、前記ネットワーク上に前記一の端末装置と前記他の端末装置とを接続する前記VPNセッションを確立するセッション確立手段とを備え、前記サーバは、前記一の端末装置から前記認証要求を受信した場合、前記VPNルータに前記情報要求を送信する情報要求送信手段と、前記VPNルータから前記認証情報を受信した場合、前記認証要求に含まれる前記認証情報と、前記VPNルータから受信した前記認証情報とが一致するか否かを判断するセッション認証手段と、前記セッション認証手段によって前記認証情報が一致すると判断された場合、前記VPNルータに前記確立指示を送信する確立指示送信手段とを備えている。   A communication system according to a second aspect of the present invention includes a server for managing a VPN session, a local connection with one terminal device, and a VPN router connected to another terminal device and the server via a network. When the VPN router receives a connection request that is an instruction for requesting connection to the other terminal device from the one terminal device, the VPN router transmits authentication information specific to the one terminal device. Authentication information generating means to be generated, first authentication information transmitting means for transmitting the authentication information generated by the authentication information generating means to the one terminal device, and the authentication information generated by the authentication information generating means Authentication information storage means for storing the authentication information, and the one terminal device transmitted from the one terminal device to the server confirms the VPN session. An instruction for requesting authentication as to whether or not the authentication target is received, an authentication request relay means for relaying an authentication request including the authentication information, and an information request which is an instruction for requesting the authentication information from the server A second authentication information transmitting means for transmitting the authentication information stored in the authentication information storage means to the server; and when receiving an instruction for establishing the VPN session from the server, the first information on the network Session establishing means for establishing the VPN session connecting the terminal device and the other terminal device, and when the server receives the authentication request from the one terminal device, the server requests the information request to the VPN router. Information request transmitting means for transmitting the authentication information, and when receiving the authentication information from the VPN router, the authentication information included in the authentication request, A session authentication means for determining whether or not the authentication information received from the PN router matches; and an establishment for transmitting the establishment instruction to the VPN router when the authentication information is determined to match by the session authentication means Instruction transmission means.

第2態様によれば、一の端末装置からVPNルータへ接続要求が送信された場合、VPNルータで第1認証情報が生成および記憶され、且つ、第1認証情報がVPNルータから一の端末装置へ送信される。一の端末装置から第1認証情報を含む認証要求が送信された場合、認証要求はVPNルータによってサーバに向けて中継される。サーバからVPNルータへ情報要求が送信された場合、VPNルータで記憶済みの第1認証情報がサーバへ送信される。サーバからVPNルータへVPNセッションの確立指示が送信された場合、一の端末装置と他の端末装置とを接続するVPNセッションを確立される。これにより、外部環境からローカルネットワークへVPNで容易にアクセスすることができ、且つ、VPNの接続対象を正規の端末装置に限定することができる。   According to the second aspect, when a connection request is transmitted from one terminal device to the VPN router, the first authentication information is generated and stored in the VPN router, and the first authentication information is transmitted from the VPN router to the one terminal device. Sent to. When an authentication request including the first authentication information is transmitted from one terminal device, the authentication request is relayed toward the server by the VPN router. When the information request is transmitted from the server to the VPN router, the first authentication information stored in the VPN router is transmitted to the server. When a VPN session establishment instruction is transmitted from the server to the VPN router, a VPN session connecting one terminal device and another terminal device is established. Thereby, it is possible to easily access the local network from the external environment with the VPN, and it is possible to limit the VPN connection target to a regular terminal device.

本発明の第3態様に係る通信プログラムは、一の端末装置とローカル接続され、且つ、ネットワークを介して他の端末装置とVPNセッションを管理するサーバとに接続されるVPNルータであるコンピュータに、前記一の端末装置から、前記他の端末装置に対する接続を要求する指示である接続要求を受信した場合、前記一の端末装置に固有の認証情報を生成する認証情報生成ステップと、前記認証情報生成ステップによって生成された前記認証情報を、前記一の端末装置に送信する第1認証情報送信ステップと、前記認証情報生成ステップによって生成された前記認証情報を、記憶装置に記憶させる認証情報記憶ステップと、前記一の端末装置から前記サーバに向けて送信された、前記一の端末装置が前記VPNセッションの確立対象であるか否かの認証を要求する指示であって、前記認証情報を含む認証要求を中継する認証要求中継ステップと、前記サーバから前記認証情報を要求する指示である情報要求を受信した場合、前記情報装置で記憶されている前記認証情報を、前記サーバに送信する第2認証情報送信ステップと、前記サーバから前記VPNセッションの確立指示を受信した場合、前記ネットワーク上に前記一の端末装置と前記他の端末装置とを接続する前記VPNセッションを確立するセッション確立ステップとを実行させる。   A communication program according to the third aspect of the present invention is a computer that is a VPN router locally connected to one terminal device and connected to another terminal device and a server that manages a VPN session via a network. An authentication information generating step of generating authentication information unique to the one terminal device when receiving a connection request that is an instruction for requesting connection to the other terminal device from the one terminal device; and generating the authentication information A first authentication information transmitting step for transmitting the authentication information generated by the step to the one terminal device; and an authentication information storing step for storing the authentication information generated by the authentication information generating step in a storage device; The one terminal device transmitted from the one terminal device to the server is the VPN session establishment target. An authentication request relay step for relaying an authentication request including the authentication information, and an information request that is an instruction for requesting the authentication information from the server. A second authentication information transmission step of transmitting the authentication information stored in the information device to the server; and when receiving an instruction to establish the VPN session from the server, the one terminal device and the A session establishing step of establishing the VPN session for connecting to another terminal device.

第3態様によれば、一の端末装置からVPNルータへ接続要求が送信された場合、VPNルータで第1認証情報が生成および記憶され、且つ、第1認証情報がVPNルータから一の端末装置へ送信される。一の端末装置から第1認証情報を含む認証要求が送信された場合、認証要求はVPNルータによってサーバに向けて中継される。サーバからVPNルータへ情報要求が送信された場合、VPNルータで記憶済みの第1認証情報がサーバへ送信される。サーバからVPNルータへVPNセッションの確立指示が送信された場合、一の端末装置と他の端末装置とを接続するVPNセッションを確立される。これにより、外部環境からローカルネットワークへVPNで容易にアクセスすることができ、且つ、VPNの接続対象を正規の端末装置に限定することができる。   According to the third aspect, when a connection request is transmitted from one terminal device to the VPN router, the first authentication information is generated and stored in the VPN router, and the first authentication information is transmitted from the VPN router to the one terminal device. Sent to. When an authentication request including the first authentication information is transmitted from one terminal device, the authentication request is relayed toward the server by the VPN router. When the information request is transmitted from the server to the VPN router, the first authentication information stored in the VPN router is transmitted to the server. When a VPN session establishment instruction is transmitted from the server to the VPN router, a VPN session connecting one terminal device and another terminal device is established. Thereby, it is possible to easily access the local network from the external environment with the VPN, and it is possible to limit the VPN connection target to a regular terminal device.

通信システム1の全体構成を示す図である。1 is a diagram illustrating an overall configuration of a communication system 1. FIG. VPNルータ8の電気的構成を示すブロック図である。2 is a block diagram showing an electrical configuration of a VPN router 8. FIG. セッション管理テーブル110のデータ構成を示す図である。It is a figure which shows the data structure of the session management table. 接続先管理テーブル120のデータ構成を示す図である。4 is a diagram showing a data configuration of a connection destination management table 120. FIG. サーバ3の電気的構成を示すブロック図である。3 is a block diagram showing an electrical configuration of a server 3. FIG. 認証情報管理テーブル130のデータ構成を示す図である。It is a figure which shows the data structure of the authentication information management table. 通信システム1における各種データの流れを示すタイミングチャートである。3 is a timing chart showing the flow of various data in the communication system 1. VPNルータ8で実行されるメイン処理のフローチャートである。7 is a flowchart of main processing executed by the VPN router 8. VPN接続処理のフローチャートである。It is a flowchart of a VPN connection process. 図9に示すフローチャートの続きである。FIG. 10 is a continuation of the flowchart shown in FIG. 9. セッション管理テーブル110のデータ構成を示す他の図である。It is another figure which shows the data structure of the session management table 110. サーバ3で実行されるメイン処理のフローチャートである。4 is a flowchart of main processing executed by the server 3. セッション管理テーブル110のデータ構成を示す他の図である。It is another figure which shows the data structure of the session management table 110.

本発明を具体化した実施の形態について、図面を参照して説明する。参照する図面は、本発明が採用しうる技術的特徴を説明するために用いられるものであり、単なる説明例である。   Embodiments of the present invention will be described with reference to the drawings. The drawings to be referred to are used to explain technical features that can be adopted by the present invention, and are merely illustrative examples.

図1を参照して、本実施形態に係る通信システム1の全体構成について説明する。通信システム1は、特定のローカルネットワークに、外部の端末装置がVPNで接続可能な構成を有する。図1に例示する通信システム1は、PC(Personal Computer)2、サーバ3、LAN(Local Area Network)4、VPNルータ5、インターネット6、携帯端末7、VPNルータ8などを含む。   With reference to FIG. 1, an overall configuration of a communication system 1 according to the present embodiment will be described. The communication system 1 has a configuration in which an external terminal device can be connected to a specific local network via a VPN. A communication system 1 illustrated in FIG. 1 includes a PC (Personal Computer) 2, a server 3, a LAN (Local Area Network) 4, a VPN router 5, the Internet 6, a portable terminal 7, a VPN router 8, and the like.

PC2は、ユーザが所属する企業の本社に設置されている。LAN4は、PC2、サーバ(図示外)、プリンタ(図示外)などの機器が接続された、本社のローカルネットワークである。VPNルータ5は、本社に設置された公知のVPNルータであり、LAN4と外部のネットワークとのデータ通信を中継する。PC2は、VPNルータ5を介してインターネット6にアクセス可能である。   The PC 2 is installed at the head office of the company to which the user belongs. The LAN 4 is a local network of the head office to which devices such as the PC 2, a server (not shown), and a printer (not shown) are connected. The VPN router 5 is a known VPN router installed at the head office, and relays data communication between the LAN 4 and an external network. The PC 2 can access the Internet 6 via the VPN router 5.

携帯端末7は、小型・軽量の端末装置であり、例えばノートPC、PDA(Personal Digital Assistant)、電子ペーパー端末などである。VPNルータ8は、小型・軽量のVPNルータであり、且つ、公知のVPNルータと同様の機能を有する。ユーザは、携帯端末7およびVPNルータ8を携行して外出先で使用することができる。   The portable terminal 7 is a small and lightweight terminal device, such as a notebook PC, a PDA (Personal Digital Assistant), an electronic paper terminal, or the like. The VPN router 8 is a small and lightweight VPN router and has the same function as a known VPN router. The user can carry the portable terminal 7 and the VPN router 8 and use them on the go.

例えば、外出先がインターネット6に接続可能な環境である場合、ユーザは携帯端末7とVPNルータ8とを接続し、且つ、VPNルータ8とインターネット6とを接続する。VPNルータ8は、携帯端末7と外部のネットワーク(つまり、インターネット6)とのデータ通信を中継する。これにより、携帯端末7は、VPNルータ8を介してインターネット6にアクセス可能である。   For example, when the destination is an environment that can connect to the Internet 6, the user connects the mobile terminal 7 and the VPN router 8, and connects the VPN router 8 and the Internet 6. The VPN router 8 relays data communication between the mobile terminal 7 and an external network (that is, the Internet 6). As a result, the mobile terminal 7 can access the Internet 6 via the VPN router 8.

本実施形態では、外出先のユーザが携帯端末7を使用して本社のLAN4にアクセスし、PC2に格納されたファイルを参照する場合を例示する。本社のVPNルータ5は、公知のセキュリティ機能によって、VPNセッションが確立された外部端末に対してのみ、LAN4に接続された機器へのアクセスを許可する。つまり、携帯端末7およびPC2でVPNセッションが確立された場合にのみ、携帯端末7とPC2とがVPNで通信可能となり、ひいてはユーザがPC2に格納されたファイルを参照することができる。   In the present embodiment, a case where a user who is away from home accesses the LAN 4 of the head office using the mobile terminal 7 and refers to a file stored in the PC 2 is illustrated. The VPN router 5 at the head office permits access to the device connected to the LAN 4 only to an external terminal for which a VPN session has been established by a known security function. That is, only when a VPN session is established between the mobile terminal 7 and the PC 2, the mobile terminal 7 and the PC 2 can communicate with each other through the VPN, and the user can refer to a file stored in the PC 2.

サーバ3は、インターネット6に接続された公知のサーバである。サーバ3は、LAN4へのアクセスを要求する外部端末について、VPNセッションの確立を許可すべきか否か(つまり、LAN4へのアクセスを許可すべきか否か)を決定する。VPNセッションの確立に関する処理については、別途後述する。   The server 3 is a known server connected to the Internet 6. The server 3 determines whether or not establishment of a VPN session should be permitted for an external terminal that requests access to the LAN 4 (that is, whether or not access to the LAN 4 should be permitted). Processing related to the establishment of the VPN session will be described later separately.

図2を参照して、VPNルータ8の電気的構成について説明する。説明は省略するが、VPNルータ5の電気的構成も、VPNルータ8の電気的構成と同様である。   The electrical configuration of the VPN router 8 will be described with reference to FIG. Although not described, the electrical configuration of the VPN router 5 is the same as that of the VPN router 8.

VPNルータ8は、VPNルータ8の制御を司るCPU81を備える。CPU81には、ROM82、RAM83、フラッシュメモリ84、LANインタフェイス85、無線LANインタフェイス86、WANインタフェイス87、USBインタフェイス88、およびLED表示部89が、バス80を介して接続されている。図示しないが、VPNルータ8は、電力を供給するバッテリを備えている。ROM82には、CPU80にメイン処理(図8参照)を実行させるプログラムが記憶されている。フラッシュメモリ84には、セッション管理テーブル110および接続先管理テーブル120が記憶されているが、詳細は後述する。   The VPN router 8 includes a CPU 81 that controls the VPN router 8. A ROM 82, a RAM 83, a flash memory 84, a LAN interface 85, a wireless LAN interface 86, a WAN interface 87, a USB interface 88, and an LED display unit 89 are connected to the CPU 81 via a bus 80. Although not shown, the VPN router 8 includes a battery for supplying power. The ROM 82 stores a program that causes the CPU 80 to execute main processing (see FIG. 8). The flash memory 84 stores a session management table 110 and a connection destination management table 120, details of which will be described later.

LANインタフェイス85は、図示外のLANケーブルが接続されるポートを含み、外部機器との間でLANケーブルを介したデータの送受信を行う。無線LANインタフェイス86は、図示外のアンテナを含み、外部機器との間で無線通信によるデータの送受信を行う。WANインタフェイス87は、図示外のWANケーブルが接続されるポートを含み、広域ネットワークとの間でWANケーブルを介したデータの送受信を行う。USBインタフェイス88は、図示外のUSBケーブルが接続されるポートを含み、外部機器との間でUSBケーブルを介したデータの送受信を行う。LED表示部89は、VPNルータ8の動作状態を、LED(図示外)の発光パターンおよび発光色で報知する。   The LAN interface 85 includes a port to which a LAN cable (not shown) is connected, and transmits / receives data to / from an external device via the LAN cable. The wireless LAN interface 86 includes an antenna (not shown) and transmits / receives data to / from an external device by wireless communication. The WAN interface 87 includes a port to which a WAN cable (not shown) is connected, and transmits / receives data to / from the wide area network via the WAN cable. The USB interface 88 includes a port to which a USB cable (not shown) is connected, and transmits / receives data to / from an external device via the USB cable. The LED display unit 89 notifies the operation state of the VPN router 8 by the light emission pattern and light emission color of the LED (not shown).

本実施形態では、ユーザが携帯端末7をVPNルータ8に接続する場合、LANケーブルまたはUSBケーブルを用いて有線接続したり、無線LANで無線接続したりすることができる。例えば携帯端末7の機能および構造に応じて、携帯端末7とVPNルータ8とが好適な態様で接続されればよい。ユーザがVPNルータ8をインターネット6に接続する場合、WANケーブルまたはLANケーブルを用いて有線接続したり、無線LANを用いてアクセスポイント経由で接続したり、3G回線経由で無線接続したりすることができる。例えば外出先の接続環境に応じて、VPNルータ8とインターネット6とが好適な態様で接続されればよい。   In the present embodiment, when the user connects the portable terminal 7 to the VPN router 8, the user can make a wired connection using a LAN cable or a USB cable, or a wireless connection using a wireless LAN. For example, the mobile terminal 7 and the VPN router 8 may be connected in a suitable manner according to the function and structure of the mobile terminal 7. When the user connects the VPN router 8 to the Internet 6, the user may make a wired connection using a WAN cable or a LAN cable, a connection via an access point using a wireless LAN, or a wireless connection via a 3G line. it can. For example, the VPN router 8 and the Internet 6 may be connected in a suitable manner according to the connection environment of the place where the user is away from home.

図3を参照して、セッション管理テーブル110のデータ構成について説明する。セッション管理テーブル110は、正規の端末装置ごとに、VPNセッションに関するデータ項目を含むレコードが登録されている。正規の端末装置は、VPNルータ8への接続が許可されている端末装置である。以下では、セッション管理テーブル110に登録されているレコードを、セッション管理レコードという。図3に示す例では、携帯端末7のセッション管理レコードがセッション管理テーブル110に登録されている。このセッション管理レコードには、データ項目として、携帯端末7が有するMACアドレスおよびIPアドレス、携帯端末7に設定されている端末IDおよびパスワード、セッション状態、認証鍵、鍵生成日時などが含まれている。   The data configuration of the session management table 110 will be described with reference to FIG. In the session management table 110, a record including a data item related to a VPN session is registered for each legitimate terminal device. A legitimate terminal device is a terminal device that is permitted to connect to the VPN router 8. Hereinafter, the record registered in the session management table 110 is referred to as a session management record. In the example illustrated in FIG. 3, the session management record of the mobile terminal 7 is registered in the session management table 110. This session management record includes, as data items, the MAC address and IP address of the mobile terminal 7, the terminal ID and password set in the mobile terminal 7, the session state, the authentication key, the key generation date and time, and the like. .

セッション状態は、VPNセッションに関する処理状態(つまり、後述のVPN接続処理の進捗状況)を、「アイドル」、「認証待ち」、「VPN通信中」、「ロック」のいずれかで示す。具体的には、「アイドル」は、携帯端末7からの要求に応じてVPN接続処理(図9、図10参照)を開始可能な状態を示す。「認証待ち」は、携帯端末7に関する後述の鍵認証が完了するのを待機している状態を示す。「VPN通信中」は、携帯端末7に対するVPNセッションが確立されている状態を示す。「ロック」は、携帯端末7に対するVPNセッションが規制されている状態を示す。   The session state indicates a processing state relating to the VPN session (that is, a progress status of a VPN connection process described later) as one of “idle”, “waiting for authentication”, “during VPN communication”, and “lock”. Specifically, “idle” indicates a state in which VPN connection processing (see FIGS. 9 and 10) can be started in response to a request from the mobile terminal 7. “Waiting for authentication” indicates a state of waiting for completion of later-described key authentication related to the mobile terminal 7. “VPN communication in progress” indicates a state in which a VPN session for the mobile terminal 7 is established. “Lock” indicates a state in which the VPN session for the mobile terminal 7 is restricted.

認証鍵は、VPN接続処理(図9、図10参照)が実行されるごとにランダムに生成される認証情報である。鍵生成日時は、認証鍵が生成された日時を示す。図3に示すように、セッション状態が「アイドル」である場合は、VPN接続処理(図9、図10参照)が開始されていないため、認証鍵および鍵生成日時は未設定である。   The authentication key is authentication information that is randomly generated every time the VPN connection process (see FIGS. 9 and 10) is executed. The key generation date / time indicates the date / time when the authentication key was generated. As shown in FIG. 3, when the session state is “idle”, since the VPN connection processing (see FIGS. 9 and 10) has not started, the authentication key and the key generation date and time are not set.

図4を参照して、接続先管理テーブル120のデータ構成について説明する。接続先管理テーブル120は、正規の端末装置ごとに、VPNセッションの接続先に関するデータ項目を含むレコードが登録されている。以下では、接続先管理テーブル120に登録されているレコードを、接続先管理レコードという。図4に示す例では、携帯端末7の接続先管理レコードが接続先管理テーブル120に登録されている。この接続先管理レコードには、データ項目として、携帯端末7が有するMACアドレスおよびIPアドレス、サービス情報などが含まれている。   The data configuration of the connection destination management table 120 will be described with reference to FIG. In the connection destination management table 120, a record including a data item related to the connection destination of the VPN session is registered for each legitimate terminal device. Hereinafter, the record registered in the connection destination management table 120 is referred to as a connection destination management record. In the example illustrated in FIG. 4, the connection destination management record of the mobile terminal 7 is registered in the connection destination management table 120. This connection destination management record includes, as data items, the MAC address and IP address of the mobile terminal 7, service information, and the like.

サービス情報は、サービス提供機器が提供するサービスに関する情報であり、サービスID、提供元アドレス、証明書をデータ項目として含む。サービス提供機器は、正規の端末装置にVPN通信で各種サービスを提供する機器である。サービスIDは、サービス提供機器が提供するサービスを特定するIDである。提供元アドレスは、サービス提供機器のIPアドレスである。証明書は、サービスの提供を受けるために必要な認証情報である。   The service information is information related to a service provided by the service providing device, and includes a service ID, a provider address, and a certificate as data items. The service providing device is a device that provides various services to a legitimate terminal device through VPN communication. The service ID is an ID that identifies a service provided by the service providing device. The source address is the IP address of the service providing device. The certificate is authentication information necessary for receiving the provision of the service.

本実施形態では、ユーザが携帯端末7を使用してPC2のファイルを閲覧する。そのため、携帯端末7のサービス情報には、PC2のファイル提供サービスに関する情報が設定されている。具体的には、サービスIDは、PC2のファイル提供サービスを特定するIDである。提供元アドレスは、PC2のIPアドレスである。証明書は、PC2のファイル提供サービスを受けるために必要な認証情報である。   In the present embodiment, the user browses the file on the PC 2 using the mobile terminal 7. Therefore, information related to the file providing service of the PC 2 is set in the service information of the mobile terminal 7. Specifically, the service ID is an ID that identifies the file providing service of the PC 2. The source address is the IP address of PC2. The certificate is authentication information necessary for receiving the file providing service of the PC 2.

図5を参照して、サーバ3の電気的構成について説明する。サーバ3は、サーバ3の制御を司るCPU31を備える。CPU31には、ROM32、RAM33、HDD(Hard Disk Drive)34、LANインタフェイス35、および入出力部36が、バス30を介して接続されている。入出力部36には、マウスおよびキーボードに例示される入力装置37と、ディスプレイ38とが接続されている。サーバ3は、LANインタフェイス35に接続されるLANケーブルを介して、インターネット6に接続されている。HDD34には、CPU30にメイン処理(図12参照)を実行させるプログラム、および認証情報管理テーブル130が記憶されている。   The electrical configuration of the server 3 will be described with reference to FIG. The server 3 includes a CPU 31 that controls the server 3. A ROM 32, a RAM 33, an HDD (Hard Disk Drive) 34, a LAN interface 35, and an input / output unit 36 are connected to the CPU 31 via a bus 30. An input device 37 exemplified by a mouse and a keyboard and a display 38 are connected to the input / output unit 36. The server 3 is connected to the Internet 6 via a LAN cable connected to the LAN interface 35. The HDD 34 stores a program for causing the CPU 30 to execute main processing (see FIG. 12) and an authentication information management table 130.

図6を参照して、認証情報管理テーブル130のデータ構成について説明する。認証情報管理テーブル130は、正規のVPNルータごとに、センター認証に関するデータ項目を含むレコードが登録されている。正規のVPNルータは、本社のVPNルータ5との間でVPNを構築することが許可されているVPNルータである。センター認証は、サーバ3で実行される認証処理であって、後述する機器認証および鍵認証を含む。以下では、認証情報管理テーブル130に登録されているレコードを、認証管理レコードという。   The data configuration of the authentication information management table 130 will be described with reference to FIG. In the authentication information management table 130, a record including a data item related to center authentication is registered for each regular VPN router. The regular VPN router is a VPN router that is permitted to establish a VPN with the VPN router 5 at the head office. The center authentication is an authentication process executed by the server 3 and includes device authentication and key authentication described later. Hereinafter, the record registered in the authentication information management table 130 is referred to as an authentication management record.

図6に示す例では、VPNルータ8の認証管理レコードが認証情報管理テーブル130に登録されている。この認証管理レコードには、データ項目として、VPNルータ8に設定されているルータID、携帯端末7に設定されている端末IDおよびパスワード、認証状態、認証鍵などが含まれている。認証状態は、後述のセンター認証に関する状態を、「正常」または「ロック」で示す。具体的には、「正常」は、VPNルータ8に関するセンター認証を実行可能な状態を示す。「ロック」は、VPNルータ8に関するセンター認証が規制されている状態を示す。認証鍵は、VPNルータ8から取得された最新の認証鍵である。   In the example shown in FIG. 6, the authentication management record of the VPN router 8 is registered in the authentication information management table 130. This authentication management record includes, as data items, a router ID set in the VPN router 8, a terminal ID and password set in the mobile terminal 7, an authentication state, an authentication key, and the like. The authentication state indicates a state relating to center authentication described later by “normal” or “locked”. Specifically, “normal” indicates a state in which center authentication relating to the VPN router 8 can be executed. “Lock” indicates a state where center authentication relating to the VPN router 8 is restricted. The authentication key is the latest authentication key acquired from the VPN router 8.

図7を参照して、通信システム1の全体処理の概要について説明する。以下の説明では、VPNセッションの確立を要求する端末装置を、対象端末とよぶ。対象端末が接続されているVPNルータを、対象ルータとよぶ。本実施形態では、携帯端末7が対象端末であり、VPNルータ8が対象ルータである。   With reference to FIG. 7, an outline of the overall processing of the communication system 1 will be described. In the following description, a terminal device that requests establishment of a VPN session is referred to as a target terminal. The VPN router to which the target terminal is connected is called the target router. In this embodiment, the portable terminal 7 is a target terminal, and the VPN router 8 is a target router.

例えばユーザが携帯端末7を使用してPC2のファイルを閲覧する場合、携帯端末7はVPNルータ8へVPN接続要求を送信する(T1)。VPN接続要求は、対象端末とサービス提供機器とを接続するVPNセッションの確立を、対象ルータに対して要求する信号である。VPNルータ8は、VPN接続要求を受信した場合、携帯端末7が正規の端末装置であるか否かを判断するローカル認証を実行する。VPNルータ8は、ローカル認証が成功した場合、携帯端末7の認証鍵を生成および保存する。VPNルータ8は、携帯端末7へセンター認証指示を送信する(T2)。センター認証指示は、対象端末がサーバ3のセンター認証を受けることを、対象端末に対して指示する信号であり、少なくとも携帯端末7の認証鍵を含む。   For example, when the user browses the file on the PC 2 using the mobile terminal 7, the mobile terminal 7 transmits a VPN connection request to the VPN router 8 (T 1). The VPN connection request is a signal for requesting the target router to establish a VPN session for connecting the target terminal and the service providing device. When receiving the VPN connection request, the VPN router 8 executes local authentication for determining whether or not the mobile terminal 7 is a legitimate terminal device. The VPN router 8 generates and stores the authentication key of the mobile terminal 7 when the local authentication is successful. The VPN router 8 transmits a center authentication instruction to the mobile terminal 7 (T2). The center authentication instruction is a signal that instructs the target terminal that the target terminal receives center authentication of the server 3, and includes at least the authentication key of the mobile terminal 7.

携帯端末7は、センター認証指示を受信した場合、サーバ3へセンター認証要求を送信する(T3)。センター認証要求は、対象端末に関するセンター認証の実行を、サーバ3に対して要求する信号であり、少なくともVPNルータ8から受信した認証鍵を含む。VPNルータ8は、携帯端末7から送信されたセンター認証要求を、サーバ3に向けて中継する。   When receiving the center authentication instruction, the portable terminal 7 transmits a center authentication request to the server 3 (T3). The center authentication request is a signal for requesting the server 3 to execute center authentication for the target terminal, and includes at least the authentication key received from the VPN router 8. The VPN router 8 relays the center authentication request transmitted from the mobile terminal 7 toward the server 3.

サーバ3は、センター認証要求を受信した場合、VPNルータ8へ認証鍵要求を送信する(T4)。認証鍵要求は、対象端末の認証鍵を、対象ルータに対して要求する信号である。VPNルータ8は、認証鍵要求を受信した場合、自機に保存されている認証鍵をサーバ3へ送信する(T5)。サーバ3は、携帯端末7から受信した認証鍵と、VPNルータ8から受信した認証鍵とを照合する鍵認証を実行する。   When receiving the center authentication request, the server 3 transmits an authentication key request to the VPN router 8 (T4). The authentication key request is a signal that requests the target router for the authentication key of the target terminal. When the VPN router 8 receives the authentication key request, the VPN router 8 transmits the authentication key stored in itself to the server 3 (T5). The server 3 executes key authentication for collating the authentication key received from the mobile terminal 7 with the authentication key received from the VPN router 8.

サーバ3は、鍵認証が成功した場合、VPNルータ8へセッション確立指示を送信し(T6)、且つ、携帯端末7に認証成功通知を送信する(T7)。セッション確立指示は、対象端末とサービス提供機器とを接続するVPNセッションの確立を、対象ルータに対して指示する信号である。認証成功通知は、対象端末から要求されたセンター認証が成功したことを、対象端末に対して通知する信号である。   When the key authentication is successful, the server 3 transmits a session establishment instruction to the VPN router 8 (T6), and transmits an authentication success notification to the mobile terminal 7 (T7). The session establishment instruction is a signal that instructs the target router to establish a VPN session that connects the target terminal and the service providing device. The authentication success notification is a signal for notifying the target terminal that the center authentication requested from the target terminal is successful.

VPNルータ8は、セッション確立指示を受信すると、携帯端末7とPC2とを接続するVPNセッションを確立する(T8)。VPNルータ5およびVPNルータ8で実行される公知のトンネリング処理によって、携帯端末7とPC2との間でVPN通信が実行される(T9)。これにより、携帯端末7はVPN通信でPC2にアクセスでき、ユーザは外部環境からPC2のファイルを閲覧することができる。   Upon receiving the session establishment instruction, the VPN router 8 establishes a VPN session that connects the portable terminal 7 and the PC 2 (T8). VPN communication is executed between the portable terminal 7 and the PC 2 by a known tunneling process executed by the VPN router 5 and the VPN router 8 (T9). Thereby, the portable terminal 7 can access PC2 by VPN communication, and the user can browse the file of PC2 from an external environment.

図8〜図13を参照して、上記した通信システム1の全体処理のうち、VPNルータ8およびサーバ3でそれぞれ実行される処理の詳細について説明する。以下では、理解を容易にするために、図7に示すタイミングチャートを適宜参照しつつ説明する。   With reference to FIGS. 8-13, the detail of the process respectively performed by the VPN router 8 and the server 3 among the whole processes of the communication system 1 mentioned above is demonstrated. Hereinafter, in order to facilitate understanding, description will be made with reference to the timing chart shown in FIG. 7 as appropriate.

図8を参照して、VPNルータ8で実行されるメイン処理について説明する。メイン処理(図8参照)は、ROM82に記憶されているプログラムに基づいて、VPNルータ8が電源オフとされるまで、CPU81によって継続して実行される。   With reference to FIG. 8, the main process executed by the VPN router 8 will be described. The main process (see FIG. 8) is continuously executed by the CPU 81 based on the program stored in the ROM 82 until the VPN router 8 is turned off.

VPNルータ8のメイン処理では、まず自機宛てのパケットを受信したか否かが判断される(S1)。具体的には、VPNルータ8がパケットを受信し、且つ、受信パケットに含まれる宛先アドレスがVPNルータ8のIPアドレスと一致する場合、自機宛てのパケットを受信したと判断される(S1:YES)。この場合、受信パケットがVPN接続要求であるか否かが判断される(S3)。受信パケットがVPN接続要求である場合(S3:YES)、後述のVPN接続処理(S5)が呼び出されて実行される。   In the main process of the VPN router 8, it is first determined whether or not a packet addressed to itself is received (S1). Specifically, when the VPN router 8 receives the packet and the destination address included in the received packet matches the IP address of the VPN router 8, it is determined that the packet addressed to itself is received (S1: YES). In this case, it is determined whether the received packet is a VPN connection request (S3). When the received packet is a VPN connection request (S3: YES), a VPN connection process (S5) described later is called and executed.

受信パケットがVPN接続要求でない場合(S3:NO)、受信パケットに応じてその他の処理が実行される(S7)。例えば、受信パケットがセッション管理テーブル110の更新指示である場合、その更新指示に応じてセッション管理レコードが更新される。受信パケットが接続先管理テーブル120の更新指示である場合、その更新指示に応じて接続先管理レコードが更新される。   If the received packet is not a VPN connection request (S3: NO), other processing is executed according to the received packet (S7). For example, when the received packet is an update instruction for the session management table 110, the session management record is updated according to the update instruction. When the received packet is an instruction to update the connection destination management table 120, the connection destination management record is updated according to the update instruction.

VPNルータ8がパケットを受信していない場合、または受信パケットに含まれる宛先アドレスがVPNルータ8のIPアドレスと一致しない場合、自機宛てのパケットを受信していないと判断される(S1:NO)。この場合、処理はステップS9に進む。ステップS5またはステップS7の実行後も、処理はステップS9に進む。   If the VPN router 8 has not received the packet, or if the destination address included in the received packet does not match the IP address of the VPN router 8, it is determined that the packet addressed to itself has not been received (S1: NO). ). In this case, the process proceeds to step S9. Even after execution of step S5 or step S7, the process proceeds to step S9.

ステップS9では、他機宛てのパケットを受信したか否かが判断される。具体的には、VPNルータ8がパケットを受信し、且つ、受信パケットに含まれる宛先アドレスがVPNルータ8のIPアドレスと一致しない場合、他機宛てのパケットを受信したと判断される(S9:YES)。この場合、パケット送信元とパケット送信先との間でVPN通信を実行中であるか否かが判断される(S11)。VPNルータ8は、他のVPNルータとの間でVPN通信を実行している場合、VPNセッションの対象機器を把握している。例えば、VPNセッションの対象機器と、パケット送信元およびパケット送信先とが一致するか否かによって、VPN通信の実行中であるか否かを判断可能である。   In step S9, it is determined whether a packet addressed to another device has been received. Specifically, when the VPN router 8 receives the packet and the destination address included in the received packet does not match the IP address of the VPN router 8, it is determined that the packet addressed to another device has been received (S9: YES). In this case, it is determined whether VPN communication is being executed between the packet transmission source and the packet transmission destination (S11). The VPN router 8 grasps the target device of the VPN session when performing VPN communication with other VPN routers. For example, whether or not VPN communication is being performed can be determined based on whether or not the target device of the VPN session matches the packet transmission source and the packet transmission destination.

VPN通信を実行中である場合(S11:YES)、公知のトンネリング処理が実行される(S13)。つまり、受信パケットは、VPNを経由して転送される。一方、VPN通信を実行中でない場合(S11:NO)、公知のパケット中継処理が実行される(S15)。つまり、受信パケットは、公知のルータと同様のルーティング制御によって転送される。   When VPN communication is being executed (S11: YES), a known tunneling process is executed (S13). That is, the received packet is transferred via the VPN. On the other hand, when VPN communication is not being executed (S11: NO), a known packet relay process is executed (S15). That is, the received packet is transferred by the same routing control as a known router.

VPNルータ8がパケットを受信していない場合、または受信パケットに含まれる宛先アドレスがVPNルータ8のIPアドレスと一致する場合、他機宛てのパケットを受信していないと判断される(S9:NO)。この場合、処理はステップS1へ戻る。ステップS13またはステップS15の実行後も、処理はステップS1へ戻る。   If the VPN router 8 has not received a packet, or if the destination address included in the received packet matches the IP address of the VPN router 8, it is determined that a packet addressed to another device has not been received (S9: NO). ). In this case, the process returns to step S1. Even after execution of step S13 or step S15, the process returns to step S1.

本実施形態では、PC2のファイル提供サービスを受けるために、ユーザが携帯端末7を操作して、PC2に対するVPN接続の実行を入力指示する。このとき、ユーザは、携帯端末7の端末ID「000001」およびパスワード「********」と、PC2のファイル提供サービスを示すサービスID「S001」とを入力する。携帯端末7は、ユーザが入力した情報と、携帯端末7のアドレスとを含むVPN接続要求を、VPNルータ8へ送信する(図7のT1参照)。携帯端末7のアドレスは、例えばIPアドレス「202.213.xxx.xxx」またはMACアドレス「00−11−22−33−44−55」である。VPNルータ8は、携帯端末7のVPN接続要求を受信した場合、以下のVPN接続処理を起動する(S1:YES、S3:YES、S5)。   In this embodiment, in order to receive the file providing service of the PC 2, the user operates the portable terminal 7 to input an instruction to execute VPN connection to the PC 2. At this time, the user inputs the terminal ID “000001” and password “******” of the mobile terminal 7 and the service ID “S001” indicating the file providing service of the PC 2. The portable terminal 7 transmits a VPN connection request including the information input by the user and the address of the portable terminal 7 to the VPN router 8 (see T1 in FIG. 7). The address of the mobile terminal 7 is, for example, the IP address “202.213.xxx.xxx” or the MAC address “00-11-22-33-44-55”. When the VPN router 8 receives the VPN connection request of the mobile terminal 7, it starts the following VPN connection processing (S1: YES, S3: YES, S5).

図9および図10を参照して、VPN接続処理(S5)について説明する。VPN接続処理では、まず対象端末がVPNルータ8に登録されているか否かが判断される(S31)。具体的には、VPN接続要求に含まれるアドレスが設定されているレコード(すなわち、対象端末のセッション管理レコード)が、セッション管理テーブル110に登録されているか否かが判断される。対象端末のセッション管理レコードが登録されている場合(S31:YES)、対象端末のセッション管理レコードに含まれるセッション状態が「アイドル」であるか否かが判断される(S33)。セッション状態が「アイドル」である場合(S33:YES)、ローカル認証処理が実行される(S35)。   The VPN connection process (S5) will be described with reference to FIG. 9 and FIG. In the VPN connection process, it is first determined whether or not the target terminal is registered in the VPN router 8 (S31). Specifically, it is determined whether or not a record in which an address included in the VPN connection request is set (that is, a session management record of the target terminal) is registered in the session management table 110. When the session management record of the target terminal is registered (S31: YES), it is determined whether or not the session state included in the session management record of the target terminal is “idle” (S33). When the session state is “idle” (S33: YES), a local authentication process is executed (S35).

ローカル認証処理(S35)では、VPN接続要求に含まれる端末IDおよびパスワードが、対象端末のセッション管理レコードに含まれる端末IDおよびパスワードと照合される。この照合結果に基づいて、ローカル認証が成功したか否かが判断される(S37)。ローカル認証が成功した場合(S37:YES)、公知の手法によってランダムな認証鍵が生成される(S39)。ステップS39で生成された認証鍵は、対象端末のセッション管理レコードに含まれる認証鍵として、フラッシュメモリ84に保存される(S41)。   In the local authentication process (S35), the terminal ID and password included in the VPN connection request are compared with the terminal ID and password included in the session management record of the target terminal. Based on the collation result, it is determined whether or not the local authentication is successful (S37). If the local authentication is successful (S37: YES), a random authentication key is generated by a known method (S39). The authentication key generated in step S39 is stored in the flash memory 84 as an authentication key included in the session management record of the target terminal (S41).

ステップS39で生成された認証鍵と、VPNルータ8のルータIDとを含むセンター認証指示が、対象端末へ送信される(S43)。対象端末のセッション管理レコードに含まれるセッション状態が、「認証待ち」に設定される(S45)。図示外のタイマによって、センター認証指示の送信時から起算した経過時間のカウントが開始される(S47)。   A center authentication instruction including the authentication key generated in step S39 and the router ID of the VPN router 8 is transmitted to the target terminal (S43). The session state included in the session management record of the target terminal is set to “waiting for authentication” (S45). The elapsed time calculated from the time of transmission of the center authentication instruction is started by a timer not shown (S47).

対象端末のセッション管理レコードが登録されていない場合(S31:NO)、またはセッション状態が「アイドル」でない場合(S33:NO)、対象端末へエラーが送信される(S51)。ローカル認証が失敗した場合(S37:NO)、対象端末のセッション管理レコードに含まれるセッション状態が「ロック」に設定される(S49)。対象端末へエラーが送信されて(S51)、VPN接続処理が終了される。ステップS49のエラーを受信した対象端末では、VPNセッションの確立失敗が報知される。   When the session management record of the target terminal is not registered (S31: NO), or when the session state is not “idle” (S33: NO), an error is transmitted to the target terminal (S51). If the local authentication fails (S37: NO), the session state included in the session management record of the target terminal is set to “lock” (S49). An error is transmitted to the target terminal (S51), and the VPN connection process is terminated. The target terminal that has received the error in step S49 is notified of the failure to establish the VPN session.

本実施形態では、携帯端末7のセッション管理レコードがセッション管理テーブル110に登録されており、且つ、セッション状態は「アイドル」である(図4参照)。VPN接続要求に含まれる端末IDおよびパスワードは、携帯端末7のセッション管理レコードに含まれる端末ID「000001」およびパスワード「********」と一致する。そのため、VPN接続要求を受信したVPNルータ8は、認証鍵「qogecsz」を生成する。図11に示すように、携帯端末7のセッション管理レコードでは、認証鍵「qogecsz」が設定され、且つ、セッション状態が「アイドル」から「認証待ち」に更新される。VPNルータ8は、認証鍵「qogecsz」およびルータID「R001」を含むセンター認証指示を、携帯端末7へ送信する(図7のT3参照)。   In the present embodiment, the session management record of the mobile terminal 7 is registered in the session management table 110, and the session state is “idle” (see FIG. 4). The terminal ID and the password included in the VPN connection request match the terminal ID “000001” and the password “******” included in the session management record of the mobile terminal 7. Therefore, the VPN router 8 that has received the VPN connection request generates an authentication key “qegecsz”. As shown in FIG. 11, in the session management record of the portable terminal 7, the authentication key “qegecsz” is set, and the session state is updated from “idle” to “waiting for authentication”. The VPN router 8 transmits a center authentication instruction including the authentication key “qegecsz” and the router ID “R001” to the mobile terminal 7 (see T3 in FIG. 7).

センター認証指示を受信した携帯端末7は、端末ID「000001」、パスワード「********」、認証鍵「qogecsz」、およびルータID「R001」を含むセンター認証要求を、サーバ3へ送信する(図7のT3参照)。センター認証要求に含まれる端末IDおよびパスワードは、ユーザがあらためて携帯端末7に入力してもよいし、VPN接続要求時に入力された端末IDおよびパスワードが自動的に設定されてもよい。このとき、VPNルータ8は、携帯端末7から受信したセンター認証要求を、パケット中継処理でサーバ3に向けて転送する(S9:YES、S11:NO、S15)。   The mobile terminal 7 that has received the center authentication instruction sends a center authentication request including the terminal ID “000001”, the password “******”, the authentication key “qgecsz”, and the router ID “R001” to the server 3. (See T3 in FIG. 7). The terminal ID and password included in the center authentication request may be input again to the mobile terminal 7 by the user, or the terminal ID and password input at the time of the VPN connection request may be automatically set. At this time, the VPN router 8 transfers the center authentication request received from the mobile terminal 7 to the server 3 by packet relay processing (S9: YES, S11: NO, S15).

図12を参照して、サーバ3で実行されるメイン処理について説明する。メイン処理(図12参照)は、HDD34に記憶されているプログラムに基づいて、サーバ3が電源オフとされるまで、CPU31によって継続して実行される。   With reference to FIG. 12, the main process executed by the server 3 will be described. The main process (see FIG. 12) is continuously executed by the CPU 31 until the server 3 is turned off based on a program stored in the HDD 34.

サーバ3のメイン処理では、まずセンター認証要求を受信したか否かが判断される(S101)。センター認証要求を受信した場合(S101:YES)、対象ルータがサーバ3に登録されているか否かが判断される(S103)。具体的には、センター認証要求に含まれるルータIDが設定されているレコード(すなわち、対象ルータの認証管理レコード)が、認証情報管理テーブル130に登録されているか否かが判断される。対象ルータの認証管理レコードが登録されている場合(S103:YES)、対象ルータの認証管理レコードに含まれる認証状態が「正常」であるか否かが判断される(S105)。認証状態が「正常」である場合(S105:YES)、機器認証処理が実行される(S107)。   In the main process of the server 3, it is first determined whether or not a center authentication request has been received (S101). When the center authentication request is received (S101: YES), it is determined whether or not the target router is registered in the server 3 (S103). Specifically, it is determined whether or not a record in which the router ID included in the center authentication request is set (that is, the authentication management record of the target router) is registered in the authentication information management table 130. When the authentication management record of the target router is registered (S103: YES), it is determined whether or not the authentication state included in the authentication management record of the target router is “normal” (S105). If the authentication state is “normal” (S105: YES), device authentication processing is executed (S107).

機器認証処理(S107)では、センター認証要求に含まれる端末IDおよびパスワードが、対象ルータの認証管理レコードに含まれる端末IDおよびパスワードと照合される。この照合結果に基づいて、機器認証が成功したか否かが判断される(S109)。機器認証が成功した場合(S109:YES)、センター認証要求に含まれる認証鍵が、対象サーバの認証管理レコードに含まれる認証鍵として、HDD34に保存される(S111)。対象ルータへ認証鍵要求が送信される(S113)。図示外のタイマによって、センター認証要求の送信時から起算した経過時間のカウントが開始される(S115)。   In the device authentication process (S107), the terminal ID and password included in the center authentication request are checked against the terminal ID and password included in the authentication management record of the target router. Based on the comparison result, it is determined whether the device authentication is successful (S109). When the device authentication is successful (S109: YES), the authentication key included in the center authentication request is stored in the HDD 34 as the authentication key included in the authentication management record of the target server (S111). An authentication key request is transmitted to the target router (S113). The elapsed time calculated from the transmission of the center authentication request is started by a timer not shown (S115).

本実施形態では、VPNルータ8の認証管理レコードが認証情報管理テーブル130に登録されており、且つ、認証状態は「正常」である(図6参照)。センター認証要求に含まれる端末IDおよびパスワードは、VPNルータ8の認証管理レコードに含まれる端末IDおよびパスワードと一致する。そのため、センター認証要求を受信したサーバ3は、VPNルータ8の認証管理レコードに認証鍵「qogecsz」を設定する(図6参照)。さらに、携帯端末7の認証鍵を要求する認証鍵要求をVPNルータ8へ送信する(図7のT4参照)。   In the present embodiment, the authentication management record of the VPN router 8 is registered in the authentication information management table 130, and the authentication state is “normal” (see FIG. 6). The terminal ID and password included in the center authentication request match the terminal ID and password included in the authentication management record of the VPN router 8. Therefore, the server 3 that has received the center authentication request sets the authentication key “qececsz” in the authentication management record of the VPN router 8 (see FIG. 6). Further, an authentication key request for requesting the authentication key of the portable terminal 7 is transmitted to the VPN router 8 (see T4 in FIG. 7).

図9および図10に示すように、VPN接続処理では、ステップS47の実行後、認証鍵要求を受信したか否かが判断される(S53)。認証鍵要求を受信していない場合(S53:NO)、タイムアウトか否かが判断される(S55)。具体的には、ステップS47でカウントが開始された経過時間が所定時間(例えば、10秒)を経過したか否かが判断される。経過時間が所定時間を経過している場合(S55:YES)、対象端末のセッション管理レコードに含まれるセッション状態が「ロック」に設定される(S57)。タイムアウトでない場合(S55:NO)、処理はステップS53へ戻る。   As shown in FIGS. 9 and 10, in the VPN connection process, after execution of step S47, it is determined whether an authentication key request has been received (S53). If an authentication key request has not been received (S53: NO), it is determined whether or not a timeout has occurred (S55). Specifically, it is determined whether or not the elapsed time at which the count was started in step S47 has passed a predetermined time (for example, 10 seconds). When the elapsed time has passed the predetermined time (S55: YES), the session state included in the session management record of the target terminal is set to “lock” (S57). If it is not a timeout (S55: NO), the process returns to step S53.

認証鍵要求を受信した場合(S55:YES)、またはステップS57の実行後、対象端末のセッション管理レコードに含まれるセッション状態が「認証待ち」であるか否かが判断される(S58)。セッション状態が「認証待ち」である場合(S58:YES)、対象端末のセッション管理レコードに含まれる認証鍵が、フラッシュメモリ84から読み出される(S59)。ステップS59で読み出された認証鍵が、サーバ3へ送信される(S61)。   When an authentication key request is received (S55: YES), or after execution of step S57, it is determined whether or not the session state included in the session management record of the target terminal is “waiting for authentication” (S58). When the session state is “waiting for authentication” (S58: YES), the authentication key included in the session management record of the target terminal is read from the flash memory 84 (S59). The authentication key read in step S59 is transmitted to the server 3 (S61).

ステップS57でセッション状態が「ロック」に設定された場合、セッション状態が「認証待ち」でないと判断されて(S58:NO)、VPN接続処理が終了される。本実施形態では、認証鍵要求を受信したVPNルータ8は、認証鍵「qogecsz」およびルータID「R001」をサーバ3へ送信する(図7のT5参照)。   When the session state is set to “lock” in step S57, it is determined that the session state is not “waiting for authentication” (S58: NO), and the VPN connection process is terminated. In the present embodiment, the VPN router 8 that has received the authentication key request transmits the authentication key “qgecsz” and the router ID “R001” to the server 3 (see T5 in FIG. 7).

図12に示すように、サーバ3のメイン処理では、ステップS115の実行後、タイムアウトか否かが判断される(S117)。具体的には、ステップS115でカウントが開始された経過時間が所定時間(例えば、10秒)を経過したか否かが判断される。経過時間が所定時間を経過していない場合(S117:NO)、認証鍵を受信したか否かが判断される(S119)。認証鍵を受信した場合(S119:YES)、ステップ119で受信した認証鍵が、対象ルータの認証管理レコードに含まれる認証鍵と一致するか否かが判断される(S121)。認証鍵が一致する場合(S121:YES)、対象ルータへセッション確立指示が送信され(S123)、且つ、対象端末へ認証成功通知が送信される(S125)。   As shown in FIG. 12, in the main process of the server 3, after execution of step S115, it is determined whether or not a timeout has occurred (S117). Specifically, it is determined whether or not the elapsed time at which the count is started in step S115 has passed a predetermined time (for example, 10 seconds). If the elapsed time has not passed the predetermined time (S117: NO), it is determined whether an authentication key has been received (S119). When the authentication key is received (S119: YES), it is determined whether or not the authentication key received in step 119 matches the authentication key included in the authentication management record of the target router (S121). If the authentication keys match (S121: YES), a session establishment instruction is transmitted to the target router (S123), and an authentication success notification is transmitted to the target terminal (S125).

認証鍵を受信していない場合(S119:NO)、処理はステップS117へ戻る。機器認証が失敗した場合(S109:NO)、経過時間が所定時間を経過している場合(S117:YES)、および認証鍵が一致しない場合(S121:NO)、それぞれ、対象ルータの認証管理レコードに含まれる認証状態が「ロック」に設定される(S127)。対象端末および対象ルータへエラーが送信される(S129)。ステップS129のエラーを受信した対象端末では、VPNセッションの確立失敗が報知される。ステップS125またはステップS129の実行後、処理はステップ101へ戻る。センター認証要求を受信していない場合も(S101:YES)、処理はステップ101へ戻る。   If the authentication key has not been received (S119: NO), the process returns to step S117. When the device authentication has failed (S109: NO), the elapsed time has passed the predetermined time (S117: YES), and the authentication keys do not match (S121: NO), the authentication management record of the target router, respectively Is set to “locked” (S127). An error is transmitted to the target terminal and the target router (S129). The target terminal that has received the error in step S129 is notified of the failure to establish the VPN session. After execution of step S125 or step S129, the process returns to step 101. Even when the center authentication request has not been received (S101: YES), the process returns to step 101.

本実施形態では、VPNルータ8の認証管理レコードに含まれる認証鍵、およびVPNルータ8から受信した認証鍵は、いずれも「qogecsz」で一致する。そのため、認証鍵を受信したサーバ3は、VPNルータ8へセッション確立指示を送信し(図7のT6参照)、且つ、携帯端末7へ認証成功通知を送信する(図7のT7参照)。認証成功通知を受信した携帯端末7では、VPNセッションの確立成功が報知される。   In the present embodiment, the authentication key included in the authentication management record of the VPN router 8 and the authentication key received from the VPN router 8 both match with “qececsz”. Therefore, the server 3 that has received the authentication key transmits a session establishment instruction to the VPN router 8 (see T6 in FIG. 7), and transmits an authentication success notification to the mobile terminal 7 (see T7 in FIG. 7). In the portable terminal 7 that has received the authentication success notification, the establishment success of the VPN session is notified.

図9および図10に示すように、VPN接続処理では、ステップS61の実行後、エラーを受信したか否かが判断される(S63)。エラーを受信していない場合(S63:NO)、セッション確立指示を受信したか否かが判断される(S65)。セッション確立指示を受信した場合(S65:YES)、VPN接続先が特定される(S67)。具体的には、接続先管理テーブル120を参照して、対象端末のアドレスを含むレコード(すなわち、対象端末の接続先管理レコード)からサービス情報が読み出される。このサービス情報に基づいて、VPN接続要求に含まれるサービスIDに対応する提供元アドレスおよび証明書が特定される。   As shown in FIGS. 9 and 10, in the VPN connection process, it is determined whether or not an error has been received after the execution of step S61 (S63). If no error has been received (S63: NO), it is determined whether a session establishment instruction has been received (S65). When a session establishment instruction is received (S65: YES), a VPN connection destination is specified (S67). Specifically, referring to the connection destination management table 120, service information is read from a record including the address of the target terminal (that is, the connection destination management record of the target terminal). Based on this service information, the provider address and certificate corresponding to the service ID included in the VPN connection request are specified.

公知のVPNセッション確立処理によって、対象端末とサービス提供機器とを接続するVPNセッションが確立される(S69)。VPNセッションが確立されると、対象端末のセッション管理レコードに含まれるセッション状態が「VPN通信中」に設定される(S71)。ステップS71の実行後、VPN終了指示を受信したか否かが判断される(S73)。VPN終了指示は、ユーザが対象端末でVPN通信の終了を指示した場合に、対象端末から対象ルータへ送信される信号である。   A VPN session for connecting the target terminal and the service providing device is established by a known VPN session establishment process (S69). When the VPN session is established, the session state included in the session management record of the target terminal is set to “VPN communication in progress” (S71). After execution of step S71, it is determined whether a VPN end instruction has been received (S73). The VPN end instruction is a signal transmitted from the target terminal to the target router when the user instructs the end of VPN communication at the target terminal.

VPN終了指示を受信した場合(S73:YES)、公知のVPNセッション切断処理によって、対象端末とサービス提供機器とを接続するVPNセッションが切断される(S75)。VPNセッションが切断されると、対象端末のセッション管理レコードに含まれるセッション状態が「アイドル」に設定されて(S77)、VPN接続処理が終了される。   When the VPN termination instruction is received (S73: YES), the VPN session connecting the target terminal and the service providing device is disconnected by a known VPN session disconnection process (S75). When the VPN session is disconnected, the session state included in the session management record of the target terminal is set to “idle” (S77), and the VPN connection process is terminated.

VPN終了指示を受信していない場合(S73:NO)、処理はステップS73へ戻る。セッション確立指示を受信していない場合(S65:NO)、処理はステップS63へ戻る。エラーを受信した場合(S63:YES)、サーバ3でセンター認証が失敗したか、またはタイムアウトが発生したことを示す。よって、対象端末のセッション管理レコードに含まれるセッション状態が「ロック」に設定されて(S79)、VPN接続処理が終了される。   If the VPN end instruction has not been received (S73: NO), the process returns to step S73. If the session establishment instruction has not been received (S65: NO), the process returns to step S63. When an error is received (S63: YES), it indicates that the server 3 has failed in center authentication or has timed out. Therefore, the session state included in the session management record of the target terminal is set to “locked” (S79), and the VPN connection process is terminated.

本実施形態では、携帯端末7の接続先管理レコードが接続先管理テーブル120に登録されており、且つ、PC2のファイル提供サービスに関するサービス情報を含む(図4参照)。そのため、セッション確立指示を受信したVPNルータ8は、VPNルータ5との間で行われる通信制御によって、携帯端末7とPC2とを接続するセッションを確立する(図7のT8参照)。図13に示すように、携帯端末7のセッション管理レコードでは、セッション状態が「認証待ち」から「VPN通信中」に更新される。これにより、携帯端末7およびPC2は、VPNルータ5およびVPNルータ8を介してVPN通信を実行可能となる(図7のT9参照)。つまり、携帯端末7は、PC2のファイル提供サービスをVPN経由で受けることができる。   In this embodiment, the connection destination management record of the mobile terminal 7 is registered in the connection destination management table 120, and includes service information related to the file providing service of the PC 2 (see FIG. 4). Therefore, the VPN router 8 that has received the session establishment instruction establishes a session for connecting the mobile terminal 7 and the PC 2 by communication control performed with the VPN router 5 (see T8 in FIG. 7). As shown in FIG. 13, in the session management record of the mobile terminal 7, the session state is updated from “Waiting for authentication” to “VPN communication in progress”. As a result, the portable terminal 7 and the PC 2 can execute VPN communication via the VPN router 5 and the VPN router 8 (see T9 in FIG. 7). That is, the portable terminal 7 can receive the file providing service of the PC 2 via the VPN.

以上説明したように、本実施形態によれば、携帯端末7からVPN接続要求を受信したVPNルータ8は、認証鍵を生成および保存し、且つ、認証鍵を含むセンター認証指示を携帯端末7へ送信する。センター認証指示を受信した携帯端末7は、認証鍵を含むセンター認証要求をVPNルータ8経由でサーバ3へ送信する。センター認証要求を受信したサーバ3は、VPNルータ8に対して携帯端末7の認証鍵を要求して、VPNルータ8に保存された認証鍵を取得する。サーバ3は、携帯端末7から受信した認証鍵とVPNルータ8から取得した認証鍵とが一致した場合、VPNルータ8にセッション確立指示を送信する。セッション確立指示を受信したVPNルータ8は、携帯端末7とPC2とを接続するVPNセッションを確立する。これにより、携帯端末7のユーザは外部環境からPC2へVPNで容易にアクセスすることができ、且つ、VPNの接続対象を正規の端末装置に限定することができる。   As described above, according to the present embodiment, the VPN router 8 that has received the VPN connection request from the mobile terminal 7 generates and stores an authentication key, and sends a center authentication instruction including the authentication key to the mobile terminal 7. Send. The mobile terminal 7 that has received the center authentication instruction transmits a center authentication request including an authentication key to the server 3 via the VPN router 8. The server 3 that has received the center authentication request requests the VPN router 8 for the authentication key of the portable terminal 7 and acquires the authentication key stored in the VPN router 8. When the authentication key received from the mobile terminal 7 matches the authentication key acquired from the VPN router 8, the server 3 transmits a session establishment instruction to the VPN router 8. The VPN router 8 that has received the session establishment instruction establishes a VPN session for connecting the mobile terminal 7 and the PC 2. Thereby, the user of the portable terminal 7 can easily access the PC 2 from the external environment via the VPN, and can limit the VPN connection target to a regular terminal device.

詳細には、VPNルータ8では、正規の端末装置がセッション管理テーブル110で管理されている。VPNルータ8は、不正な端末装置からVPN接続要求を受信した場合、VPNセッションの確立を拒否する(S31:NO)。サーバ3では、正規のVPNルータが認証情報管理テーブル130で管理されている。サーバ3は、不正なVPNルータに接続されている端末装置からセンター認証要求を受信した場合、VPNセッションの確立を拒否する(S103:NO)。   Specifically, in the VPN router 8, regular terminal devices are managed by the session management table 110. When the VPN router 8 receives a VPN connection request from an unauthorized terminal device, the VPN router 8 rejects the establishment of the VPN session (S31: NO). In the server 3, regular VPN routers are managed by the authentication information management table 130. When the server 3 receives the center authentication request from the terminal device connected to the unauthorized VPN router, the server 3 rejects the establishment of the VPN session (S103: NO).

したがって、本社のLAN4に対するVPNの接続対象を、正規のVPNルータに接続された正規の端末装置に限定することができる。例えば、VPNルータ8に接続された不正な端末装置に、VPNセッションが確立されるのを防止できる。不正なVPNルータに接続された携帯端末7に、VPNセッションが確立されるのを防止できる。   Therefore, the VPN connection target to the LAN 4 of the head office can be limited to a regular terminal device connected to a regular VPN router. For example, it is possible to prevent a VPN session from being established in an unauthorized terminal device connected to the VPN router 8. It is possible to prevent a VPN session from being established in the mobile terminal 7 connected to an unauthorized VPN router.

サーバ3では、対象ルータから受信した認証鍵と、対象端末から受信した認証鍵とが一致するか否かが判断される(S121)。これにより、対象端末と対象ルータに接続されている端末装置とが同一であるか否かを、サーバ3が正確に特定することができる。VPNセッションの確立に関する処理の実行中に、例えば第三者が携帯端末7またはVPNルータ8のすり替えや不正操作などを行った場合でも、VPNセッションの確立を規制することができる。   The server 3 determines whether or not the authentication key received from the target router matches the authentication key received from the target terminal (S121). Thereby, the server 3 can specify correctly whether the object terminal and the terminal device connected to the object router are the same. During the execution of the process related to the establishment of the VPN session, for example, even when a third party performs a replacement or unauthorized operation of the mobile terminal 7 or the VPN router 8, the establishment of the VPN session can be restricted.

サーバ3では、機器認証が失敗した場合(S109:NO)、または認証鍵が一致しない場合(S121:NO)、セッション状態が「ロック」に設定され(S127)、且つ、対象ルータへエラーが送信される(S129)。セッション状態が「ロック」に設定された対象ルータに接続中の対象端末からセンター認証要求を受信した場合、処理がステップS101に戻されるため(S105:NO、S129)、VPNセッションは確立されない。これにより、認証に失敗した不正なVPNルータに接続中の端末装置に対して、VPNセッションが確立されるおそれを低減できる。   In the server 3, when the device authentication fails (S109: NO) or the authentication keys do not match (S121: NO), the session state is set to “lock” (S127), and an error is transmitted to the target router. (S129). When the center authentication request is received from the target terminal connected to the target router whose session state is set to “locked”, the process returns to step S101 (S105: NO, S129), and the VPN session is not established. Thereby, the possibility that a VPN session is established for a terminal device connected to an unauthorized VPN router that has failed in authentication can be reduced.

VPNルータ8では、ローカル認証が失敗した場合(S37:NO)、またはサーバ3からエラーを受信した場合(S63:YES)、セッション状態が「ロック」に設定される(S49、S79)。セッション状態が「ロック」に設定された対象端末からVPN接続要求を受信した場合、VPN接続処理が終了されるため(S33:NO、S51)、VPNセッションは確立されない。これにより、認証に失敗した不正な端末装置に対して、VPNセッションが確立されるおそれを低減できる。   In the VPN router 8, when the local authentication fails (S37: NO) or when an error is received from the server 3 (S63: YES), the session state is set to “locked” (S49, S79). When a VPN connection request is received from the target terminal whose session state is set to “locked”, the VPN connection process is terminated (S33: NO, S51), and thus the VPN session is not established. This can reduce the risk of establishing a VPN session for an unauthorized terminal device that has failed authentication.

サーバ3では、タイムアウトが発生した場合(S117:YES)、セッション状態が「ロック」に設定され(S127)、且つ、対象ルータへエラーが送信される(S129)。VPNルータ8では、タイムアウトが発生した場合(S55:YES)、またはサーバ3からエラーを受信した場合(S63:YES)、セッション状態が「ロック」に設定される(S57、S79)。例えば第三者が携帯端末7またはVPNルータ8のすり替えや不正操作などを行った場合、VPNセッションの確立に関する処理に遅延が生じて、上記のようにタイムアウトが発生するおそれがある。よって、タイムアウトが発生した不正な端末装置に対してVPNセッションが確立されるおそれを低減できる。   In the server 3, when a timeout occurs (S117: YES), the session state is set to “locked” (S127), and an error is transmitted to the target router (S129). In the VPN router 8, when a timeout occurs (S55: YES) or an error is received from the server 3 (S63: YES), the session state is set to “locked” (S57, S79). For example, when a third party replaces the portable terminal 7 or the VPN router 8 or performs an illegal operation, a process relating to the establishment of the VPN session is delayed, and the timeout may occur as described above. Therefore, the possibility that a VPN session is established for an unauthorized terminal device that has timed out can be reduced.

サーバ3では、タイムアウトが発生した場合(S117:YES)、処理がステップS101に戻される。VPNルータ8では、タイムアウトが発生した場合(S55:YES)、またはサーバ3からエラーを受信した場合(S63:YES)、VPN接続処理が終了される。つまり、タイムアウトが発生した場合には、VPNセッションが確立されることなく処理が終了する。したがって、VPNセッションの確立に関する処理の遅延を抑制することができ、且つ、第三者による不正な操作が介入するおそれを低減することができる。   In the server 3, when a timeout occurs (S117: YES), the process returns to step S101. In the VPN router 8, when a timeout occurs (S55: YES) or when an error is received from the server 3 (S63: YES), the VPN connection process is terminated. That is, when a timeout occurs, the process ends without establishing a VPN session. Therefore, it is possible to suppress a delay in processing related to establishment of a VPN session, and it is possible to reduce a possibility that an unauthorized operation by a third party intervenes.

VPNルータ8では、端末IDおよびパスワードを用いたローカル認証(S35)が実行される。サーバ3では、認証鍵を用いたセンター認証(S121)が実行される。つまり、異なる機器でそれぞれ異なる認証情報を用いた認証処理が実行されるため、セキュリティ性を向上できる。さらに、ローカル認証が失敗した場合(S37:NO)、認証鍵の生成が行われることなく処理が終了するため、VPNセッションの確立に関する処理を迅速にすることができる。   In the VPN router 8, local authentication (S35) using the terminal ID and password is executed. The server 3 performs center authentication (S121) using an authentication key. That is, since authentication processing using different authentication information is executed by different devices, security can be improved. Furthermore, when the local authentication fails (S37: NO), the process ends without generating an authentication key, so that the process for establishing the VPN session can be speeded up.

例えば携帯端末7とPC2とを接続するVPNセッションを確立する場合、ユーザは携帯端末7で端末IDおよびパスワードを設定するだけでよい。したがって、ユーザは、外部環境から本社のLAN4にVPNで容易にアクセスすることができる。   For example, when establishing a VPN session for connecting the portable terminal 7 and the PC 2, the user only needs to set a terminal ID and a password on the portable terminal 7. Therefore, the user can easily access the LAN 4 of the head office by VPN from the external environment.

上記実施形態において、携帯端末7が、本発明の「一の端末装置」に相当する。PC2が、本発明の「他の端末装置」に相当する。ステップS39を実行するCPU81が、本発明の「認証情報生成手段」に相当する。ステップS43を実行するCPU81が、本発明の「第1認証情報送信手段」に相当する。フラッシュメモリ84が、本発明の「認証情報送信手段」および「第1認証情報記憶手段」に相当する。ステップS15を実行するCPU81が、本発明の「認証要求中継手段」に相当する。ステップS59を実行するCPU81が、本発明の「第2認証情報送信手段」に相当する。ステップS69を実行するCPU81が、本発明の「セッション確立手段」に相当する。ステップS47を実行するCPU81が、本発明の「経過時間計測手段」に相当する。セッション管理テーブル110が、本発明の「ステータス情報記憶手段」および「第2認証情報記憶手段」に相当する。ステップS45を実行するCPU81が、本発明の「状態設定手段」に相当する。ステップS57を実行するCPU81が、本発明の「状態変更手段」に相当する。ステップS35を実行するCPU81が、本発明の「端末認証手段」に相当する。接続先管理テーブル120が、本発明の「アドレス記憶手段」に相当する。ステップS67を実行するCPU81が、本発明の「アドレス特定手段」に相当する。   In the above embodiment, the portable terminal 7 corresponds to “one terminal device” of the present invention. The PC 2 corresponds to “another terminal device” of the present invention. The CPU 81 executing step S39 corresponds to the “authentication information generating unit” of the present invention. The CPU 81 executing step S43 corresponds to the “first authentication information transmitting unit” of the present invention. The flash memory 84 corresponds to the “authentication information transmitting unit” and the “first authentication information storage unit” of the present invention. The CPU 81 executing step S15 corresponds to the “authentication request relay unit” of the present invention. The CPU 81 executing step S59 corresponds to the “second authentication information transmitting unit” of the present invention. The CPU 81 executing step S69 corresponds to the “session establishment means” of the present invention. The CPU 81 executing step S47 corresponds to the “elapsed time measuring means” of the present invention. The session management table 110 corresponds to the “status information storage unit” and the “second authentication information storage unit” of the present invention. The CPU 81 executing step S45 corresponds to the “state setting unit” of the present invention. The CPU 81 executing step S57 corresponds to the “state changing unit” of the present invention. The CPU 81 executing step S35 corresponds to the “terminal authentication unit” of the present invention. The connection destination management table 120 corresponds to the “address storage unit” of the present invention. The CPU 81 executing step S67 corresponds to the “address specifying means” of the present invention.

ステップS113を実行するCPU31が、本発明の「情報要求送信手段」に相当する。ステップS121を実行するCPU31が、本発明の「セッション認証手段」に相当する。ステップS123を実行するCPU31が、本発明の「確立指示送信手段」に相当する。ROM82に記憶されているプログラムが、本発明の「通信プログラム」に相当する。ステップS39が、本発明の「認証情報生成ステップ」に相当する。ステップS43が、本発明の「第1認証情報送信ステップ」に相当する。ステップS41が、本発明の「認証情報記憶ステップ」に相当する。ステップS15が、本発明の「認証要求中継ステップ」に相当する。ステップS59が、本発明の「第2認証情報送信ステップ」に相当する。ステップS69が、本発明の「セッション確立ステップ」に相当する。   The CPU 31 executing step S113 corresponds to the “information request transmitting unit” of the present invention. The CPU 31 executing step S121 corresponds to the “session authentication unit” of the present invention. The CPU 31 executing step S123 corresponds to the “establishment instruction transmission unit” of the present invention. The program stored in the ROM 82 corresponds to the “communication program” of the present invention. Step S39 corresponds to the “authentication information generation step” of the present invention. Step S43 corresponds to the “first authentication information transmission step” of the present invention. Step S41 corresponds to the “authentication information storage step” of the present invention. Step S15 corresponds to the “authentication request relay step” of the present invention. Step S59 corresponds to the “second authentication information transmission step” of the present invention. Step S69 corresponds to the “session establishment step” of the present invention.

なお、本発明は上記実施形態に限定されるものではなく、発明の要旨を変更しない範囲での変更が可能である。上記実施形態では、ユーザが携帯端末7で端末IDおよびパスワードを入力している。これに代えて、端末IDおよびパスワードの少なくとも一方が、携帯端末7にあらかじめ登録されていてもよい。この場合、携帯端末7から送信されるVPN接続要求に、例えば端末IDが自動的に設定されるようにすることができる。   In addition, this invention is not limited to the said embodiment, The change in the range which does not change the summary of invention is possible. In the above embodiment, the user inputs the terminal ID and the password with the mobile terminal 7. Instead, at least one of the terminal ID and the password may be registered in the mobile terminal 7 in advance. In this case, for example, the terminal ID can be automatically set in the VPN connection request transmitted from the mobile terminal 7.

上記実施形態では、携帯端末7のセッション管理レコードのみがセッション管理テーブル110に登録されているが、セッション管理テーブル110に複数のセッション管理レコードが登録されてもよい。例えばVPNルータ8が複数の端末装置で共用される可能性がある場合には、各端末装置ごとのセッション管理レコードがセッション管理テーブル110に登録されればよい。   In the above embodiment, only the session management record of the mobile terminal 7 is registered in the session management table 110, but a plurality of session management records may be registered in the session management table 110. For example, when there is a possibility that the VPN router 8 is shared by a plurality of terminal devices, a session management record for each terminal device may be registered in the session management table 110.

上記実施形態では、携帯端末7の接続先管理レコードのみが接続先管理テーブル120に登録されているが、接続先管理テーブル120に複数の接続先管理レコードが登録されてもよい。例えばVPNルータ8が複数の端末装置で共用される可能性がある場合、各端末装置ごとの接続先管理レコードが接続先管理テーブル120に登録されればよい。接続先管理レコードは、複数のサービス情報を含んでもよい。例えば携帯端末7が多様なサービスの提供を受ける可能性がある場合、接続先管理レコードに各サービスごとのサービス情報が設定されればよい。   In the above embodiment, only the connection destination management record of the portable terminal 7 is registered in the connection destination management table 120, but a plurality of connection destination management records may be registered in the connection destination management table 120. For example, when there is a possibility that the VPN router 8 is shared by a plurality of terminal devices, a connection destination management record for each terminal device may be registered in the connection destination management table 120. The connection destination management record may include a plurality of service information. For example, when there is a possibility that the mobile terminal 7 is provided with various services, service information for each service may be set in the connection destination management record.

上記実施形態では、VPNルータ8の認証管理レコードのみが認証情報管理テーブル130に登録されているが、認証情報管理テーブル130に複数の認証管理レコードが登録されてもよい。例えば正規のVPNルータが複数存在する場合、各VPNルータごとの認証管理レコードが認証情報管理テーブル130に登録されればよい。なお、VPNルータ8が複数の端末装置で共用される場合、各端末ごとにVPNルータ8の認証管理レコードが認証情報管理テーブル130に登録されることが好適である。   In the above embodiment, only the authentication management record of the VPN router 8 is registered in the authentication information management table 130, but a plurality of authentication management records may be registered in the authentication information management table 130. For example, when there are a plurality of regular VPN routers, an authentication management record for each VPN router may be registered in the authentication information management table 130. When the VPN router 8 is shared by a plurality of terminal devices, it is preferable that the authentication management record of the VPN router 8 is registered in the authentication information management table 130 for each terminal.

上記実施形態では、VPNルータ8に携帯端末7のみが接続されているが、VPNルータ8に複数の端末装置が接続されてもよい。この場合、各端末装置ごとにVPN接続処理(図9、図10参照)が実行されることで、各端末装置ごとにVPNセッションを確立することが可能となる。   In the above embodiment, only the mobile terminal 7 is connected to the VPN router 8, but a plurality of terminal devices may be connected to the VPN router 8. In this case, a VPN connection process (see FIGS. 9 and 10) is executed for each terminal device, so that a VPN session can be established for each terminal device.

1 通信システム
2 PC
3 サーバ
4 LAN
5 VPNルータ
6 インターネット
7 携帯端末
8 VPNルータ
31 CPU
34 HDD
81 CPU
82 ROM
83 RAM
84 フラッシュメモリ
85 LANインタフェイス
86 無線LANインタフェイス
87 WANインタフェイス
88 USBインタフェイス
89 LED表示部
110 セッション管理テーブル
120 接続先管理テーブル
130 認証情報管理テーブル 1 Communication system 2 PC
3 Server 4 LAN
5 VPN router 6 Internet 7 Mobile terminal 8 VPN router 31 CPU
34 HDD
81 CPU
82 ROM
83 RAM
84 Flash memory 85 LAN interface 86 Wireless LAN interface 87 WAN interface 88 USB interface 89 LED display unit 110 Session management table 120 Connection management table 130 Authentication information management table

Claims (8)

一の端末装置とローカル接続され、且つ、ネットワークを介して他の端末装置とVPNセッションを管理するサーバとに接続されるVPNルータであって、
前記一の端末装置から、前記他の端末装置に対する接続を要求する指示である接続要求を受信した場合、前記一の端末装置に固有の第1認証情報を生成する認証情報生成手段と、
前記認証情報生成手段によって生成された前記第1認証情報を、前記一の端末装置に送信する第1認証情報送信手段と、
前記認証情報生成手段によって生成された前記第1認証情報を記憶する第1認証情報記憶手段と、
前記一の端末装置から前記サーバに向けて送信された、前記一の端末装置が前記VPNセッションの確立対象であるか否かの認証を要求する指示であって、前記第1認証情報を含む認証要求を中継する認証要求中継手段と、
前記サーバから前記第1認証情報を要求する指示である情報要求を受信した場合、前記第1認証情報記憶手段で記憶されている前記第1認証情報を、前記サーバに送信する第2認証情報送信手段と、
前記サーバから前記VPNセッションの確立指示を受信した場合、前記ネットワーク上に前記一の端末装置と前記他の端末装置とを接続する前記VPNセッションを確立するセッション確立手段と
を備えたことを特徴とするVPNルータ。 A VPN router that is locally connected to one terminal device and connected to a server that manages a VPN session with another terminal device via a network,
An authentication information generating means for generating first authentication information unique to the one terminal device when receiving a connection request which is an instruction to request connection to the other terminal device from the one terminal device;
First authentication information transmitting means for transmitting the first authentication information generated by the authentication information generating means to the one terminal device;
First authentication information storage means for storing the first authentication information generated by the authentication information generation means;
An instruction that is sent from the one terminal device to the server and requests authentication of whether or not the one terminal device is an establishment target of the VPN session, and includes the authentication including the first authentication information An authentication request relay means for relaying the request;
Second authentication information transmission for transmitting the first authentication information stored in the first authentication information storage means to the server when an information request that is an instruction to request the first authentication information is received from the server Means,
Session establishment means for establishing the VPN session for connecting the one terminal device and the other terminal device on the network when receiving an instruction to establish the VPN session from the server. VPN router to do. 前記第1認証情報記憶手段で記憶されている前記第1認証情報について、前記認証情報生成手段によって生成された時点からの経過時間を計測する経過時間計測手段と、
前記VPNセッションに関する前記一の端末装置の状態を示すステータス情報を記憶するステータス情報記憶手段と、
前記認証情報生成手段によって前記認証情報が生成された場合、前記ステータス情報を第1状態に設定する状態設定手段と、
前記経過時間が所定時間以上である場合、前記ステータス情報を前記第1状態から第2状態に変更する状態変更手段とを備え、
前記第2認証情報送信手段は、前記サーバから前記情報要求を受信した時点で、前記ステータス情報が前記第1状態である場合、前記第1認証情報の送信を実行する一方、前記ステータス情報が前記第2状態である場合、前記第1認証情報の送信を中止することを特徴とする請求項1に記載のVPNルータ。 For the first authentication information stored in the first authentication information storage means, an elapsed time measuring means for measuring an elapsed time from the time point generated by the authentication information generating means;
Status information storage means for storing status information indicating the state of the one terminal device related to the VPN session;
State setting means for setting the status information to a first state when the authentication information is generated by the authentication information generating means;
When the elapsed time is equal to or longer than a predetermined time, the status information includes a status change unit that changes the status information from the first status to the second status,
When the status information is in the first state at the time when the information request is received from the server, the second authentication information transmitting means executes transmission of the first authentication information, while the status information is The VPN router according to claim 1, wherein in the second state, the transmission of the first authentication information is stopped. 前記接続要求は、前記一の端末装置で設定された第2認証情報を含み、
前記一の端末装置に対応づけて、あらかじめ登録された前記第2認証情報を記憶する第2認証情報記憶手段と、
前記一の端末装置から前記接続要求を受信した場合、前記接続要求に含まれる前記第2認証情報と、前記第2認証情報記憶手段に記憶されている前記第2認証情報とが一致するか否かを判断する端末認証手段とを備え、
前記認証情報生成手段は、前記端末認証手段によって前記第2認証情報が一致すると判断された場合、前記第1認証情報の生成を実行する一方、前記端末認証手段によって前記第2認証情報が一致しないと判断された場合、前記第1認証情報の生成を中止することを特徴とする請求項1または2に記載のVPNルータ。 The connection request includes second authentication information set in the one terminal device,
Second authentication information storage means for storing the second authentication information registered in advance in association with the one terminal device;
If the connection request is received from the one terminal device, whether or not the second authentication information included in the connection request matches the second authentication information stored in the second authentication information storage unit Terminal authentication means for determining whether or not
The authentication information generating unit generates the first authentication information when the terminal authentication unit determines that the second authentication information matches, while the terminal authentication unit does not match the second authentication information. The VPN router according to claim 1 or 2, wherein when it is determined, the generation of the first authentication information is stopped. 前記接続要求は、前記一の端末装置が提供を求めるサービスを示す情報を含み、
前記サービスを提供可能な前記他の端末装置のアドレスを記憶するアドレス記憶手段と、
前記接続要求に含まれる前記サービスを示す情報に基づいて、前記一の端末装置が提供を求める前記サービスを特定し、且つ、特定した前記サービスを提供可能な前記他の端末装置の前記アドレスを、前記アドレス記憶手段を参照して特定するアドレス特定手段とを備え、
前記セッション確立手段は、前記アドレス特定手段によって特定された前記アドレスに基づいて、前記VPNセッションを確立することを特徴とする請求項1から3のいずれかに記載のVPNルータ。 The connection request includes information indicating a service that the one terminal device requests to provide,
Address storage means for storing an address of the other terminal device capable of providing the service;
Based on information indicating the service included in the connection request, the one terminal device specifies the service to be provided, and the address of the other terminal device capable of providing the specified service is determined. Address specifying means for specifying with reference to the address storage means,
4. The VPN router according to claim 1, wherein the session establishing unit establishes the VPN session based on the address specified by the address specifying unit. 5. 前記第1認証情報送信手段は、前記第1認証情報とともに、前記VPNルータに固有の識別情報を前記一の端末装置に送信し、
前記認証要求は、前記識別情報を含むことを特徴とする請求項1から4のいずれかに記載のVPNルータ。 The first authentication information transmitting means transmits identification information unique to the VPN router to the one terminal device together with the first authentication information,
The VPN router according to claim 1, wherein the authentication request includes the identification information. 前記第1認証情報は、前記接続要求が受信されるごとにランダムに生成される認証鍵であることを特徴とする請求項1から5のいずれかに記載のVPNルータ。   The VPN router according to claim 1, wherein the first authentication information is an authentication key that is randomly generated every time the connection request is received. VPNセッションを管理するサーバと、一の端末装置とローカル接続され、且つ、ネットワークを介して他の端末装置および前記サーバに接続されるVPNルータとを含む通信システムであって、
前記VPNルータは、
前記一の端末装置から、前記他の端末装置に対する接続を要求する指示である接続要求を受信した場合、前記一の端末装置に固有の認証情報を生成する認証情報生成手段と、
前記認証情報生成手段によって生成された前記認証情報を、前記一の端末装置に送信する第1認証情報送信手段と、
前記認証情報生成手段によって生成された前記認証情報を記憶する認証情報記憶手段と、
前記一の端末装置から前記サーバに向けて送信された、前記一の端末装置が前記VPNセッションの確立対象であるか否かの認証を要求する指示であって、前記認証情報を含む認証要求を中継する認証要求中継手段と、
前記サーバから前記認証情報を要求する指示である情報要求を受信した場合、前記認証情報記憶手段で記憶されている前記認証情報を、前記サーバに送信する第2認証情報送信手段と、
前記サーバから前記VPNセッションの確立指示を受信した場合、前記ネットワーク上に前記一の端末装置と前記他の端末装置とを接続する前記VPNセッションを確立するセッション確立手段とを備え、
前記サーバは、
前記一の端末装置から前記認証要求を受信した場合、前記VPNルータに前記情報要求を送信する情報要求送信手段と、
前記VPNルータから前記認証情報を受信した場合、前記認証要求に含まれる前記認証情報と、前記VPNルータから受信した前記認証情報とが一致するか否かを判断するセッション認証手段と、
前記セッション認証手段によって前記認証情報が一致すると判断された場合、前記VPNルータに前記確立指示を送信する確立指示送信手段と
を備えたことを特徴とする通信システム。 A communication system including a server for managing a VPN session, a local connection with one terminal device, and a VPN router connected to another terminal device and the server via a network,
The VPN router
When receiving a connection request, which is an instruction to request connection to the other terminal device, from the one terminal device, authentication information generating means for generating authentication information unique to the one terminal device;
First authentication information transmitting means for transmitting the authentication information generated by the authentication information generating means to the one terminal device;
Authentication information storage means for storing the authentication information generated by the authentication information generation means;
An instruction transmitted from the one terminal device to the server to request authentication of whether or not the one terminal device is an establishment target of the VPN session, and an authentication request including the authentication information Authentication request relay means for relaying;
A second authentication information transmission unit that transmits the authentication information stored in the authentication information storage unit to the server when an information request that is an instruction to request the authentication information is received from the server;
Session establishment means for establishing the VPN session for connecting the one terminal device and the other terminal device on the network when receiving an instruction to establish the VPN session from the server;
The server
An information request transmitting means for transmitting the information request to the VPN router when the authentication request is received from the one terminal device;
Session authentication means for determining whether or not the authentication information included in the authentication request matches the authentication information received from the VPN router when the authentication information is received from the VPN router;
A communication system comprising: an establishment instruction transmission means for transmitting the establishment instruction to the VPN router when the session authentication means determines that the authentication information matches. 一の端末装置とローカル接続され、且つ、ネットワークを介して他の端末装置とVPNセッションを管理するサーバとに接続されるVPNルータであるコンピュータに、
前記一の端末装置から、前記他の端末装置に対する接続を要求する指示である接続要求を受信した場合、前記一の端末装置に固有の認証情報を生成する認証情報生成ステップと、
前記認証情報生成ステップによって生成された前記認証情報を、前記一の端末装置に送信する第1認証情報送信ステップと、
前記認証情報生成ステップによって生成された前記認証情報を、記憶装置に記憶させる認証情報記憶ステップと、
前記一の端末装置から前記サーバに向けて送信された、前記一の端末装置が前記VPNセッションの確立対象であるか否かの認証を要求する指示であって、前記認証情報を含む認証要求を中継する認証要求中継ステップと、
前記サーバから前記認証情報を要求する指示である情報要求を受信した場合、前記情報装置で記憶されている前記認証情報を、前記サーバに送信する第2認証情報送信ステップと、
前記サーバから前記VPNセッションの確立指示を受信した場合、前記ネットワーク上に前記一の端末装置と前記他の端末装置とを接続する前記VPNセッションを確立するセッション確立ステップと
を実行させることを特徴とする通信プログラム。 To a computer that is a VPN router that is locally connected to one terminal device and connected to a server that manages a VPN session with another terminal device via a network,
An authentication information generation step of generating authentication information unique to the one terminal device when receiving a connection request that is an instruction for requesting connection to the other terminal device from the one terminal device;
A first authentication information transmission step of transmitting the authentication information generated by the authentication information generation step to the one terminal device;
An authentication information storage step of storing the authentication information generated by the authentication information generation step in a storage device;
An instruction transmitted from the one terminal device to the server to request authentication of whether or not the one terminal device is an establishment target of the VPN session, and an authentication request including the authentication information An authentication request relay step to relay;
A second authentication information transmission step of transmitting the authentication information stored in the information device to the server when receiving an information request that is an instruction to request the authentication information from the server;
A session establishment step of establishing the VPN session for connecting the one terminal device and the other terminal device on the network when the VPN session establishment instruction is received from the server; Communication program.
JP2010074642A 2010-03-29 2010-03-29 VPN router, communication system and communication program Expired - Fee Related JP5206720B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010074642A JP5206720B2 (en) 2010-03-29 2010-03-29 VPN router, communication system and communication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010074642A JP5206720B2 (en) 2010-03-29 2010-03-29 VPN router, communication system and communication program

Publications (2)

Publication Number Publication Date
JP2011211306A true JP2011211306A (en) 2011-10-20
JP5206720B2 JP5206720B2 (en) 2013-06-12

Family

ID=44941948

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010074642A Expired - Fee Related JP5206720B2 (en) 2010-03-29 2010-03-29 VPN router, communication system and communication program

Country Status (1)

Country Link
JP (1) JP5206720B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020535718A (en) * 2017-09-27 2020-12-03 ユービキティ インコーポレイテッド System for auto-secured remote access to local networks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005141654A (en) * 2003-11-10 2005-06-02 Nippon Telegr & Teleph Corp <Ntt> Information passing control system, information passing controller, service providing apparatus, program and recording medium
JP2005348164A (en) * 2004-06-03 2005-12-15 Nippon Telegr & Teleph Corp <Ntt> Client terminal, gateway apparatus, and network equipped with these
JP2006166028A (en) * 2004-12-07 2006-06-22 Ntt Data Corp Vpn connection construction system
JP2007018081A (en) * 2005-07-05 2007-01-25 Ttt Kk User authentication system, user authentication method, program for achieving the same, and storage medium storing program
JP2008252567A (en) * 2007-03-30 2008-10-16 Nec Corp Communication system with specific relay device authentication function

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005141654A (en) * 2003-11-10 2005-06-02 Nippon Telegr & Teleph Corp <Ntt> Information passing control system, information passing controller, service providing apparatus, program and recording medium
JP2005348164A (en) * 2004-06-03 2005-12-15 Nippon Telegr & Teleph Corp <Ntt> Client terminal, gateway apparatus, and network equipped with these
JP2006166028A (en) * 2004-12-07 2006-06-22 Ntt Data Corp Vpn connection construction system
JP2007018081A (en) * 2005-07-05 2007-01-25 Ttt Kk User authentication system, user authentication method, program for achieving the same, and storage medium storing program
JP2008252567A (en) * 2007-03-30 2008-10-16 Nec Corp Communication system with specific relay device authentication function

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020535718A (en) * 2017-09-27 2020-12-03 ユービキティ インコーポレイテッド System for auto-secured remote access to local networks
JP7157146B2 (en) 2017-09-27 2022-10-19 ユービキティ インコーポレイテッド System for automatically secured remote access to local networks

Also Published As

Publication number Publication date
JP5206720B2 (en) 2013-06-12

Similar Documents

Publication Publication Date Title
JP5364671B2 (en) Terminal connection status management in network authentication
CN100340084C (en) A method for implementing equipment group and intercommunication between grouped equipments
JP5944596B2 (en) Authenticate wireless dockees to wireless docking services
CN100571127C (en) Be used for the more system and method for new access point connection password
JP4977229B2 (en) Apparatus, method, and program for relaying communication
CN101651684A (en) Systems and methods for providing network devices
US20100030346A1 (en) Control system and control method for controlling controllable device such as peripheral device, and computer program for control
US8019879B2 (en) Wireless communications systems and wireless communications methods
JP5002259B2 (en) Authentication system
WO2017080333A1 (en) Online authentication method, authentication server and authentication system therein
JP7459663B2 (en) Computer programs and communication devices for terminal devices
TWI733408B (en) Internet of things networking authentication system and method thereof
WO2012016519A1 (en) Method, apparatus and system for software management
WO2014038820A1 (en) Method for managing access right of terminal to resource by server in wireless communication system, and device for same
JP5206720B2 (en) VPN router, communication system and communication program
JP3731645B2 (en) Agent method and computer system
JP5011314B2 (en) Method and apparatus for incorporating a device into a community of network devices
JP5273078B2 (en) VPN router, server and communication system
JP5915314B2 (en) Communication device
JP2004282321A (en) Network system
JP2009027639A (en) Communication connection program, communication system and communication connection method
JP6398750B2 (en) Communication equipment
JP2013219535A (en) Remote control management device, system, management method, and program
TWI393406B (en) Integrating mobile content sharing and delivery system and its method in integrated network environment
EP4064745A1 (en) Network device management method and apparatus, network management device, and medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130204

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160301

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees