JP2012019455A - Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体 - Google Patents

Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体 Download PDF

Info

Publication number
JP2012019455A
JP2012019455A JP2010156807A JP2010156807A JP2012019455A JP 2012019455 A JP2012019455 A JP 2012019455A JP 2010156807 A JP2010156807 A JP 2010156807A JP 2010156807 A JP2010156807 A JP 2010156807A JP 2012019455 A JP2012019455 A JP 2012019455A
Authority
JP
Japan
Prior art keywords
vpn
communication
data
terminal
adapter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2010156807A
Other languages
English (en)
Inventor
Akira Miyajima
晃 宮嶋
Koichi Hayata
弘一 早田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Original Assignee
Panasonic Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp filed Critical Panasonic Corp
Priority to JP2010156807A priority Critical patent/JP2012019455A/ja
Publication of JP2012019455A publication Critical patent/JP2012019455A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】単一の経路リソースで高セキュリティにVPN通信経路を確立することが可能なVPN装置を提供する。
【解決手段】本VPN装置は、ネットワーク上で、VPNアダプタ101との間でVPNを構築してVPN通信を行うVPN装置301であって、VPNを構築するための第1認証処理を行い、第1認証処理の後に、VPNにおける音声通信確立手順で用いられるデータ及び音声データ以外の通信を禁止するフィルタ処理を行い、第1認証処理の後に、フィルタ処理中のVPNを介して通信される音声データを用いて第2認証処理を行い、第2認証処理の後に、フィルタ処理を停止する。
【選択図】図5

Description

本発明は、ネットワーク通信において通信相手の固定された専用通信回線(専用線)の代わりに、多数の加入者で帯域を共用する通信網を利用してネットワーク間などを接続するVPN(Virtual Private Network:仮想プライベートネットワーク)技術におけるVPN装置、VPNネットワーキング方法、VPNプログラム、及び記憶媒体に関するものである。
仮想プライベートネットワーク(以下、VPNと記載する)は、たとえば、企業内等の2以上の拠点のローカルエリアネットワーク(LAN)相互間などのような、一般に、異なるネットワークセグメントを、広域ネットワーク(WAN)などを介して互いに接続する。そして、通信の秘匿性を担保することで、仮想的に全体が1つのプライベートネットワーク(専用線)であるように構成する。これにより、専用線を利用する場合と同様の通信サービスを可能にする。
このようなVPNは、インターネット等のWANや公衆回線網を利用して構築するいわゆるインターネットVPNと、通信事業者閉域網などのインターネット等とは異なる通信網を使用して構築するIP−VPNと、に大別される。特に、インターネットVPNは、昨今のネットワークインフラのブロードバンド化と、インターネットを利用することで安価にVPNを構築可能であるために、利用者が増加している。
VPNを構築するにあたり、例えば異なる拠点間で通信を行う場合に、通信経路の途中にインターネット等の共用の通信網が介在するので、通信の漏洩、盗聴、改竄などの危険性がある。そこで、VPN技術においては、通信の秘匿性を担保するために、ネットワークのいずれかの階層において、データを暗号化しカプセリングすることを基本的な技術思想としている。ここで、ある通信プロトコルを他の通信プロトコルのパケットで包んで送ることを「カプセル化(カプセリング)」という。
VPN技術で用いられる暗号化プロトコルの具体例としては、IP(Internet Protocol)層で暗号化を施すIPsec(Security Architecture for Internet Protocol)や、TCP(Transmission Control Protocol)層(特にHTTP:Hyper Text Transfer Protocolで使用)で暗号化を施すSSL(Secure Sockets Layer)などが知られている。また、他のVPN技術の例として、SSH、TLS、SoftEther、PPTP、L2TP、L2F、MPLSなどが知られている。ソフトウェアによってVPNを構築するソフトウェアVPNでは、上記のIPsecやSSLを使用したトンネリング技術を使用する。ここで、ある通信プロトコルを、同じまたはより上位の階層のプロトコルのデータとして通信することを「トンネリング」という。VPNを構築する場合は、ネットワークの中継装置または通信を行う端末等(以降、これらを「ピア」とも称する)に設けたVPN装置によって、パケットを暗号化及びカプセル化して仮想トンネルを構築する。これにより、ピア間を結ぶ閉じられた通信経路を確立する。
また、一般的に、複数の通信装置で構成される通信システムにおいて、セキュリティを向上させるためには、通信装置や通信者を識別するための認証処理を行う必要がある。
ネット取引やインターネットバンキングのセキュリティを強化するための技術として、IDやパスワードによる認証(通常認証)に、ワンタイムパスワードや生体認証による追加認証を加えて行うシステムが知られている。また、ワンタイムパスワードや生体認証による追加認証には特別な装置の導入を必要とするが、追加認証のために特別な装置の導入を必要としないシステムとして、電話をかけることによって追加認証を行うシステムも知られている(例えば、特許文献1参照)。このシステムでは、利用者が端末からネットワークを介して投入したIDと利用者が電話をすることにより携帯電話から送られる発呼者番号とが、システム内のデータベースに登録されていれば、所定の認証処理に成功し、その利用者にサービスを提供することができる。
また、IP電話を用いたセキュリティを強化するための技術として、IP電話ユーザ向けのオンデマンドLAN間接続方式が知られている(例えば、非特許文献1参照)。この接続方式では、(1)電話機による通話の確立、(2)SIPによるVPN接続の確立、(3)アプリケーションの起動、の順に処理が実行される。この接続方式によれば、IP電話網で用いられているSIPによって確立したセッション上でVPN通信を行うことにより、ネットワークによるセッションの管理や通信の制御を、柔軟かつ安全に行うことが可能である。
特開2001−350724号公報
水野伸太郎、外4名、「IP電話ユーザ向けオンデマンドLAN間接続方式」、NTT技術ジャーナル、2007年12月、P.79−82
しかしながら、特許文献1の技術では、通常認証及び追加認証を行うためには、無線網と公衆電話網などの2つの経路リソースが必要であった。
また、非特許文献1の技術では、(1)電話機による通話の確立とは独立の呼として(2)SIPによるVPN接続の確立を行う。したがって、特許文献1と同様に、VPN通信のセキュリティを強化するために2つの経路リソースが必要であった。
さらに、従来のVPN装置は、企業内など限定的なネットワーク内で使用されることが主であったが、VPN装置が小型化されることで、今後は外部ネットワークに持ち出して使用されることが想定される。VPN装置が持ち出して使用される場合には、紛失や盗難に備えて、一層セキュリティを向上させる必要がある。
本発明は、上記事情に鑑みてなされたものであって、単一の経路リソースで高セキュリティにVPN通信経路を確立することが可能なVPN装置、VPNネットワーキング方法、VPNプログラム、及び記憶媒体を提供することを目的とする。
本発明のVPN装置は、ネットワーク上で、他のVPN装置との間でVPNを構築してVPN通信を行うVPN装置であって、前記VPNを構築するための第1認証処理を行う認証処理部と、前記第1認証処理の後に、前記VPNにおける音声通信確立手順で用いられるデータ及び音声データ以外の通信を禁止するフィルタ処理を行うフィルタ制御部と、を備え、前記認証処理部は、前記第1認証処理の後に、前記フィルタ処理中の前記VPNを介して通信される音声データを用いて第2認証処理を行い、前記フィルタ制御部は、前記第2認証処理の後に、前記フィルタ処理を停止する。
この構成により、単一の経路リソースで高セキュリティにVPN通信経路を段階的に確立することが可能である。
また、本発明のVPN装置は、前記フィルタ制御部が、前記VPNにおける音声データ及び所定のアプリケーションで通信されるデータ以外の通信を禁止するフィルタ処理を行う。
この構成により、単一の経路リソースで高セキュリティに、かつ、VPNにおいて全データの通過を許可する前に必要なアプリケーションの実行が可能な状態で、VPN通信経路を確立することが可能である。
また、本発明のVPN装置は、前記フィルタ制御部が、前記第1認証処理の完了前に、他のVPN装置からの接続要求が受信された場合、前記VPNを構築するとともに前記フィルタ処理を行う。
この構成により、VPNを構築するとともに特定のデータ以外の通過を禁止するフィルタ処理を行うことで、高セキュリティにVPN通信経路を確立することが可能である。
また、本発明のVPN装置は、前記フィルタ制御部が、前記フィルタ処理中に、前記フィルタ処理を停止するか否かを指示するオペレータ端末から接続許可データが受信された場合、前記フィルタ処理を停止する。
この構成により、仮に携帯型のVPN装置(VPNアダプタ)を紛失してしまった場合であっても、オペレータ端末から接続許可がされない限りフィルタ処理が停止されないので、高セキュリティにVPN通信経路を確立することが可能である。
また、本発明のVPN装置は、前記認証処理部が、SSLプロトコルのデータを用いて前記第1認証処理を行う。
この構成により、SSLプロトコルの接続要求、接続応答等のデータを用いて、VPN通信経路を構築することができる。
また、本発明のVPN装置は、前記認証処理部が、SIPプロトコルのデータ及びRTPプロトコルのデータを用いて前記第2認証処理を行う。
この構成により、SIPプロトコルのINVITEメッセージ、200OKメッセージ等のデータ、通話等で用いられるRTPのデータを用いて、VPN通信経路におけるフィルタ処理を停止することができ、フィルタ処理の停止後には、全てのデータを安全に通信することができる。
また、本発明のVPNネットワーキング方法は、ネットワーク上で、他のVPN装置との間でVPNを構築してVPN通信を行うためのVPNネットワーキング方法であって、前記VPNを構築するための第1認証処理を行うステップと、前記第1認証処理の後に、前記VPNにおける音声通信確立手順で用いられるデータ及び音声データ以外の通信を禁止するフィルタ処理を行うステップと、前記第1認証処理の後に、前記フィルタ処理中の前記VPNを介して通信される音声データを用いて第2認証処理を行うステップと、前記第2認証処理の後に、前記フィルタ処理を停止するステップと、を有する。
また、本発明のVPNプログラムは、上記VPNネットワーキング方法の各ステップを実行させるためのプログラムである。
また、本発明の記憶媒体は、上記VPNネットワーキング方法の各ステップを実行させるためのVPNプログラムを記録したコンピュータ読み取り可能な記憶媒体である。
このような方法、プログラム、記憶媒体により、単一の経路リソースで高セキュリティにVPN通信経路を段階的に確立することが可能である。
本発明によれば、単一の経路リソースで高セキュリティにVPN通信経路を確立することが可能である。
本発明の実施形態に係るVPNシステムの構成例を示す図 本発明の実施形態のVPNアダプタ及びVPN装置のハードウェア構成の構成例を示すブロック図 本発明の実施形態のVPNアダプタの機能的な構成例を示すブロック図 本発明の実施形態のVPN装置の機能的な構成例を示すブロック図 本発明の実施形態のVPNシステムにおける段階的なVPN通信経路の確立シーケンスの第1例を示すシーケンス図 本発明の実施形態のVPNシステムにおける段階的なVPN通信経路の確立シーケンスの第2例を示すシーケンス図 本発明の実施形態のVPNアダプタのVPN通信経路の構築時の動作の一例を示すフローチャート 本発明の実施形態のVPN装置のVPN通信経路の構築時の動作の一例を示すフローチャート 本発明の実施形態のVPNトンネルの一例のイメージ図であり、(a)はフィルタがONのとき、(b)はフィルタがOFFのとき、を示す図 本発明の実施形態に係るVPNシステムの構成の変形例を示す図
以下に、本発明の実施形態に係るVPN装置、VPNネットワーキング方法、VPNプログラム、及び記憶媒体について、図面を参照しながら説明する。
ここでは、広域ネットワーク(WAN、グローバルネットワーク)を介して2つのローカルエリアネットワークの経路(LAN、ローカルネットワーク)を経路接続して仮想プライベートネットワーク(VPN)システムを構築する場合の構成例を示す。LANとしては、有線LANまたは無線LANなどが用いられる。WANとしては、インターネット等が用いられる。
図1は本発明の実施形態に係るVPNシステムの構成例を示す図である。本実施形態のVPNシステムは、一つの拠点に設けられたLAN100と、他の拠点に設けられたLAN300とを、インターネット等のWAN200を介して通信経路を接続する。そして、LAN100の配下に接続された端末103とLAN300の配下に接続された端末303との間で、VPNによる秘匿性を担保した通信(「VPN通信」とも称する)を可能にしている。具体的なVPN通信の用途(アプリケーションプログラム等)としては、IP電話(音声通話)、ネットミーティング(動画&音声通信)、ネットワークカメラ(ビデオ伝送)、などが想定される。
LAN100とWAN200との境界にはルータ102が配設され、WAN200とLAN300との境界にはルータ302が配設されている。また、本実施形態では、VPNの構築を可能にするために、LAN100にはVPNアダプタ101が接続され、LAN300にはVPN装置301が接続されている。そして、VPNアダプタ101には配下の端末103が接続され、VPN装置301には配下の端末303及びオペレータ端末304が接続されている。
VPNアダプタ101は、例えば小型で持ち運びが可能な装置であり、様々なLANに接続される。VPN装置301は、例えば所定のLANに接続されて固定的に配置され、持ち運びは想定されていない。なお、本発明のVPN装置には、VPNアダプタ101及びVPN装置301の双方が含まれる。オペレータ端末304は、オペレータによって操作され、後述するフィルタ処理を停止するか否かを指示するものである。
また、WAN200上には、VPNアダプタ101とVPN装置301との間のVPNによる接続(以下、「VPN接続」と称する)を可能にするために、STUNサーバ201と呼制御サーバ202とが接続されている。STUNサーバ201は、STUN(Simple Traversal of User Datagram Protocol (UDP) through Network Address Translators (NATs))プロトコルを実行するために用いられるサーバである。呼制御サーバ202は、VPNアダプタ、VPN装置や端末等のピア間の発呼、被呼のために用いられるサーバである。
図1において、破線は外部アドレス(グローバルIPアドレス)とポートの情報を含む外部アドレス・ポート情報の流れを示している。また、一点鎖線は発呼及び被呼の制御に関する呼制御信号の流れを示している。また、実線はピア間で伝送される通信データに関するピア間通信(P2P通信)の流れを示している。さらに、P2P通信のためにVPN接続された通信経路を仮想トンネルとして、図1中に表す。なお、ここではVPN接続された通信経路として、ピア間で直接通信を行う場合を示しているが、呼制御サーバ202や別途設けられる中継サーバを介してVPN接続を行ってもよい。
各機器がWAN200を介して通信する場合、WAN200上では、伝送するパケットの送信元や送信先を特定するためのアドレス情報として、WANにおいて特定可能なグローバルなアドレス情報が用いられる。一般にはIPネットワークが用いられるため、グローバルIPアドレス及びポート番号が用いられる。しかし、各LAN100、300内の通信においては、送信元や送信先を特定するためのアドレス情報として、LAN内のみで特定可能なローカルなアドレス情報が用いられる。一般にはIPネットワークが用いられるため、ローカルIPアドレス及びポート番号が用いられる。したがって、各LAN100、300とWAN200との間の通信を可能にするために、ローカルなアドレス情報とグローバルなアドレス情報との相互変換を行うNAT(Network Address Translation)機能が各ルータ102、302に搭載されている。なお、IPネットワーク以外の場合には、グローバルIPアドレス以外のグローバルなアドレス情報であってもよい。
ただし、LAN100、300の配下の各端末においては、外部からアクセス可能なグローバルIPアドレス情報を自身で持っていない。また、特別な設定を行わない限り、LAN100配下の端末103が他のLAN300配下の端末303と直接通信することはできない。また、各ルータ102、302のNAT機能のため、普通の状態ではWAN200側から各LAN100、300内の各端末にアクセスすることもできない。
このような状況であっても、本実施形態では、各拠点のLANにVPNアダプタ101及びVPN装置301を設けることにより、図1において実線で示すP2P通信の経路のように、LAN間をVPN接続して端末103と端末303との間で仮想的な閉じられた通信経路を通じて直接通信することが可能になる。本実施形態のVPNアダプタ及びVPN装置の構成、機能、及び動作について以下に順を追って説明する。
STUNサーバ201は、STUNプロトコルの実行に関するサービスを行うもので、いわゆるNAT越えの通信を行うために必要な情報を提供するアドレス情報サーバである。STUNは、音声、映像、文章などの双方向リアルタイムIP通信を行うアプリケーションにおいて、NAT通過の方法の1つとして使われる標準化されたクライアントサーバ型のインターネットプロトコルである。STUNサーバ201は、アクセス元からの要求に応じて、外部からアクセス可能な当該アクセス元のグローバルなアドレス情報として、外部ネットワークから見えるグローバルIPアドレス、ポートの情報の少なくとも一方を含む外部アドレス・ポート情報を返信する。外部アドレス・ポート情報としては、IPネットワークにおいてはIPネットワーク層のグローバルIPアドレス及びトランスポート層のポート番号が用いられる。
VPNアダプタ101及びVPN装置301は、STUNサーバ201との間で所定のテスト手順の通信を実行し、STUNサーバ201から自装置のグローバルIPアドレス及びポート番号が含まれる応答パケットを受信する。これにより、VPNアダプタ101及びVPN装置301は、自装置のグローバルIPアドレス及びポート番号を取得することができる。また、自装置の位置するLANとWANとの間にルータが複数存在する場合等であっても、これらのルータ等がUPnP(Universal Plug and Play)の機能を有していない場合であっても、確実にグローバルIPアドレス及びポート番号を取得できるという効果もある。
呼制御サーバ202は、特定の相手先を呼び出して通信経路を確立するための通信装置間の呼制御に関するサービスを行う呼管理サーバである。呼制御サーバ202は、登録されたVPNアダプタ、VPN装置または端末の識別情報を保持しており、例えばIP電話の機能を有する通信システムの場合には、接続相手の電話番号に基づいて特定の相手先を呼び出すことも考えられる。また、呼制御サーバ202は、信号やデータを中継する機能を有しており、発呼側の装置から送出されたパケットを被呼側の装置に転送したり、被呼側の装置から送出されたパケットを発呼側の装置に転送したりすることも可能である。
なお、STUNサーバ201及び呼制御サーバ202は、ここでは別個のサーバによる構成例を示しているが、1つのサーバにこれらのアドレス情報サーバと中継サーバの2つのサーバの機能を搭載して構成してもよいし、WAN上の他のいずれかのサーバに同様の機能を搭載して構成することも可能である。
次に、本実施形態のVPNアダプタ101及びVPN装置301の構成について説明する。なお、VPNアダプタ101とVPN装置301の構成は同様であり、ここではVPNアダプタ101によって説明する。図2は本実施形態のVPNアダプタ及びVPN装置のハードウェア構成の構成例を示すブロック図である。
VPNアダプタ101は、中央演算処理装置(CPU)111、フラッシュRAM等による不揮発性メモリ112、SD RAM等によるメモリ113、ネットワークインタフェース114、ネットワークインタフェース115、LAN側ネットワーク制御部116、WAN側ネットワーク制御部117、通信中継部118、表示制御部119、表示部120を有して構成される。
CPU111は、所定のプログラムを実行することによりVPNアダプタ101全体の制御を実施する。不揮発性メモリ112は、CPU111が実行するプログラムを保持している。このプログラムの中には、VPNアダプタ101がVPN通信経路(VPNトンネル)を段階的に確立するためのVPNプログラムも含まれている。
なお、CPU111が実行するプログラムについては、任意の通信経路を経由してオンラインで外部のサーバから取得することもできるし、例えばメモリカードやCD−ROMのような記録媒体から読み込んで取得することもできる。換言すれば、汎用のコンピュータにVPNアダプタ101の機能を実現するプログラムを記録媒体から読み込むことによってVPNアダプタ101の機能、およびVPNネットワーキング方法を実現することができる。
なお、CPU111がプログラムを実行する時には、不揮発性メモリ112上のプログラムの一部がメモリ113上に展開され、メモリ113上のプログラムが実行される場合もある。
メモリ113は、VPNアダプタ101の運用中のデータ管理や、各種設定情報などを一時的に記憶するためのものである。設定情報としては、自端末の外部アドレス・ポート取得要求の応答に含まれる外部アドレス・ポート情報等、通信に必要なあて先アドレス情報などが含まれる。
ネットワークインタフェース114は、VPNアダプタ101と自装置が管理する配下の端末103とを通信可能な状態で接続するためのインタフェースである。ネットワークインタフェース115は、VPNアダプタ101とLAN100とを通信可能な状態で接続するためのインタフェースである。LAN側ネットワーク制御部116は、LAN側のネットワークインタフェース114に関する通信制御を行うものである。WAN側ネットワーク制御部117は、WAN側のネットワークインタフェース115に関する通信制御を行うものである。
通信中継部118は、VPNアダプタ101配下の端末103から外部のVPN接続先(VPN装置301配下の端末303)へ送出するパケットデータと、反対に、外部のVPN接続先(VPN装置301配下の端末303)からVPNアダプタ101配下の端末103宛に到着したパケットデータをそれぞれ中継する。
表示部120は、VPNアダプタ101としての動作状態の表示等を行う表示器により構成され、各種状態をユーザあるいは管理者に通知する。表示部120は、複数の発光ダイオード(LED)や液晶表示器(LCD)等により構成される。表示制御部119は、表示部120の表示制御を行うもので、CPU111からの表示信号に従って表示部120に表示する内容等を制御する。
次に、VPNアダプタ101及びVPN装置301の機能的な構成について説明する。
図3は本実施形態のVPNアダプタ101の機能的な構成例を示すブロック図である。
VPNアダプタ101は、機能構成として、システム制御部130、配下端末管理部131、メモリ部132、データ中継部133、設定用インタフェース部(設定用I/F部)134、通信制御部140を有して構成される。メモリ部132は、情報記憶部135を有する。データ中継部133は、判定部136を有する。通信制御部140は、外部アドレス・ポート取得部141、VPN機能部142、呼制御機能部143を有する。これらの各機能は、図2に示した各ブロックのハードウェアの動作、またはCPU111が所定のプログラムを実行することにより実現する。
なお、VPNアダプタ101のLAN側のネットワークインタフェース114は、配下の端末103と接続され、WAN側のネットワークインタフェース115は、LAN100及びルータ102を経由してWAN200と接続される。
システム制御部130は、VPNアダプタ101の全体の制御を行う。配下端末管理部131は、VPNアダプタ101配下の端末103の管理を行う。メモリ部132は、例えば、外部アドレス(WAN200上でのグローバルIPアドレス)とポート(IPネットワークのポート番号)の情報を含む外部アドレス・ポート情報を記憶する。外部アドレス・ポート情報としては、接続元である配下の端末103に割り当てられたグローバルIPアドレス及びポート番号の情報や、接続先の端末303に割り当てられたグローバルIPアドレス及びポート番号の情報などを記憶する。
データ中継部133は、接続元の端末103から接続先の端末303に向かって転送されるパケットや、逆に接続先の端末303から接続元の端末103に向かって転送されるパケットをそれぞれ中継(受信/送信)する。すなわち、データ中継部133は、配下端末又はVPN装置301からの通信データを受信したり、配下端末又はVPN装置301へ通信データを送信したりする。設定用インタフェース部134は、ユーザあるいは管理者がVPNアダプタ101に対する設定操作等の各種操作を行うためのユーザインタフェースである。このユーザインタフェースの具体例として、端末上で動作するブラウザによって表示するWebページなどが用いられる。
データ中継部133の判定部136は、各種判定を行う。例えば、受信メッセージの有無、VPN通信経路が確立された状態であるか否か、VPN通信を終了するか否か、などを判定する。また、送受信される各種のデータから、音声データ、映像データ、その他のパケットを抽出し、抽出されたパケットの種別を判定する。
通信制御部140の外部アドレス・ポート取得部141は、VPNアダプタ101の配下の端末103に割り当てられた外部アドレス・ポート情報をSTUNサーバ201から取得する。また、接続先の端末303の外部アドレス・ポート情報を含むパケットを呼制御サーバ202を経由して受信し、接続先の端末303に割り当てられた外部アドレス・ポート情報を取得する。外部アドレス・ポート取得部141が取得した情報は、メモリ部132の情報記憶部135に保持される。
通信制御部140のVPN機能部142は、VPN通信のために必要な暗号処理を行う。すなわち、VPN機能部142は、送信するパケットをカプセリングして暗号化したり、受信したパケットをアンカプセリングして復号化して元のパケットを抽出したりする。なお、VPN通信は、図1に示したようなP2P通信ではなく、WAN200上に設けられる図示しない中継サーバでパケットの中継を行い、クライアント/サーバ方式でVPN通信を行うことも可能である。この場合には、サーバ側で暗号処理を行うようにしてもよい。また、カプセリングされたパケット中には、発呼側の端末103を特定するための情報や、被呼側の端末303を特定するための情報が含まれる。この特定情報に基づいて、データ中継部133により通信データが中継される。
通信制御部140の呼制御機能部143は、目的の接続先に接続するための接続要求を呼制御サーバ202に送信したり、接続先からの接続応答を呼制御サーバ202を経由して受信するための処理を実施したりするなど、呼制御に関する処理を行う。
図4は本実施形態のVPN装置301の機能的な構成例を示すブロック図である。
VPN装置301は、機能構成として、システム制御部330、配下端末管理部331、メモリ部332、データ中継部333、設定用インタフェース部(設定用I/F部)334、通信制御部340を有して構成される。メモリ部332は、情報記憶部335を有する。データ中継部133は、判定部336、オペレータ操作情報受信部337を有する。通信制御部340は、外部アドレス・ポート取得部341、VPN機能部342、呼制御機能部343を有する。VPN機能部342は、フィルタ制御部344を有する。これらの各機能は、図2に示したVPNアダプタ101と同様の各ブロックのハードウェアの動作、またはCPUが所定のプログラムを実行することにより実現する。
なお、VPN装置301のLAN側のネットワークインタフェースは、配下の端末303と接続され、WAN側のネットワークインタフェースは、LAN300及びルータ302を経由してWAN200と接続される。
システム制御部330は、VPN装置301の全体の制御を行う。配下端末管理部331は、VPN装置301配下の端末303及びオペレータ端末304の管理を行う。メモリ部332は、例えば、外部アドレス(WAN200上でのグローバルIPアドレス)とポート(IPネットワークのポート番号)の情報を含む外部アドレス・ポート情報を記憶する。外部アドレス・ポート情報としては、接続元である配下の端末303に割り当てられたグローバルIPアドレス及びポート番号の情報や、接続先の端末103に割り当てられたグローバルIPアドレス及びポート番号の情報などを記憶する。
データ中継部333は、接続元の端末303から接続先の端末103に向かって転送されるパケットや、逆に接続先の端末103から接続元の端末303に向かって転送されるパケットをそれぞれ中継(受信/送信)する。すなわち、データ中継部333は、配下端末又はVPNアダプタ101からの通信データを受信したり、配下端末又はVPNアダプタ101へ通信データを送信したりする。設定用インタフェース部334は、ユーザあるいは管理者がVPN装置301に対する設定操作等の各種操作を行うためのユーザインタフェースである。このユーザインタフェースの具体例として、端末上で動作するブラウザによって表示するWebページなどが用いられる。
データ中継部333の判定部336は、各種判定を行う。例えば、受信メッセージの有無、受信メッセージが接続要求であるか否か、VPN通信経路が確立された状態であるか否か、VPN通信を終了するか否か、などを判定する。また、送受信される各種のデータから、音声データ、映像データ、その他のデータを抽出し、抽出されたデータの種別を判定する。
データ中継部333のオペレータ操作情報受信部337は、オペレータ端末304からの、オペレータ端末304への操作入力に基づくオペレータ操作情報を受信する。オペレータ操作情報には、例えば、フィルタ制御部344によるフィルタ処理を解除するための接続許可メッセージを含まれる。
通信制御部340の外部アドレス・ポート取得部341は、VPN装置301の配下の端末303に割り当てられた外部アドレス・ポート情報をSTUNサーバ201から取得する。また、接続先の端末103の外部アドレス・ポート情報を含むパケットを呼制御サーバ202を経由して受信し、接続先の端末103に割り当てられた外部アドレス・ポート情報を取得する。外部アドレス・ポート取得部341が取得した情報は、メモリ部332の情報記憶部335に保持される。
通信制御部340のVPN機能部342は、VPN通信のために必要な暗号処理を行う。すなわち、VPN機能部342は、送信するパケットをカプセリングして暗号化したり、受信したパケットをアンカプセリングして復号化して元のパケットを抽出したりする。なお、VPN通信は、図1に示したようなP2P通信ではなく、WAN200上に設けられる図示しない中継サーバでパケットの中継を行い、クライアント/サーバ方式でVPN通信を行うことも可能である。この場合には、サーバ側で暗号処理を行うようにしてもよい。また、カプセリングされたパケット中には、端末303を特定するための情報や、端末103を特定するための情報が含まれる。この特定情報に基づいて、データ中継部333により通信データが中継される。また、VPN機能部342は、フィルタ処理が行われているVPN通信経路を介して通信される音声データを用いて第2認証処理を行う認証処理部としての機能を有する。
VPN機能部342のフィルタ制御部344は、VPN通信経路において、音声通信確立手順で用いられるデータ(例えば、SIPプロトコルで用いられるデータ)及び音声データ(例えば、RTPプロトコルで用いられるデータ)以外の通信を禁止する音声外データ通信禁止状態とすべく、フィルタ処理を行う。これにより、音声通信確立手順で用いられるデータ及び音声データ以外の映像データ等がVPN通信経路を通過することを禁止することができ、セキュリティが向上する。また、音声外データ通信禁止状態を解除すべく、フィルタ処理を停止する。これにより、全てのデータについてVPN通信経路(VPNトンネル)を介して通信を行うことができる。なお、フィルタ処理の実施の有無に応じたVPN通信経路の様子については、後述する図9に示す。
通信制御部340の呼制御機能部343は、目的の接続先に接続するための接続要求を呼制御サーバ202から受信したり、接続先への接続応答を呼制御サーバ202を経由して送信するための処理を実施したりするなど、呼制御に関する処理を行う。つまり、呼制御機能部343は、VPN通信経路を構築するための第1認証処理を行う認証処理部としての機能を有する。
次に、本実施形態のVPNシステムにおけるVPN構築時のシーケンスについて説明する。
図5は、本実施形態のVPNシステムにおけるVPN構築時のシーケンスの第1例を示すシーケンス図である。この図5では、図1に示したVPNシステムにおいて、VPNアダプタ101の配下の端末103からWAN200を経由してVPN装置301の配下の端末303に接続しようとする場合の処理を示している。また、VPNアダプタ101を社外へ持ち出し、VPN装置301は社内に配置されている場合の処理を想定している。
まず、図5に示す処理に先立ち、VPNアダプタ101は呼制御サーバ202にログインしてユーザ認証を受けるようにする。VPNアダプタ101がユーザ認証に成功した場合、呼制御サーバ202において、VPNアダプタ101の識別情報(MACアドレス、ユーザID、電話番号など)やネットワーク上の位置情報(グローバルIPアドレス)等の登録、設定が行われる。以降、VPNアダプタ101と呼制御サーバ202との間で通信可能となる。なお、VPNアダプタ101は発呼側であるが、被呼側であるVPN装置301についても同様に、呼制御サーバ202にログインしてユーザ認証を受け、呼制御サーバ202においてVPN装置301の識別情報等の登録、設定が行われる。
まず、VPNアダプタ101は、配下の端末103からオペレータ端末304の音声通話の要求(SIPプロトコルのINVITEメッセージ)を受けると(ステップS101)、呼制御サーバ202に対して、接続先のオペレータ端末304を配下に持つVPN装置301へのVPN通信経路を構築するための接続要求を行う(ステップS102)。この接続要求は、SSLプロトコルによる接続要求であり、発呼側(VPNアダプタ101)の識別情報、被呼側(VPN装置301)の識別情報も含まれる。呼制御サーバ202は、この接続要求を中継してVPN接続の接続先となるVPN装置301へ送信する(ステップS103)。この接続要求により、呼制御サーバ202は、VPNアダプタ101がVPN装置301へVPN通信経路構築のためのVPN接続をしたいという要求を接続先となる被呼側に通知する。
また、図示はしないが、VPNアダプタ101は、外部アドレス・ポート取得部141の機能により、STUNサーバ201との間で外部アドレス・ポート取得手順を行う。このとき、VPNアダプタ101は、自装置に割り当てられた外部アドレス・ポート情報(WAN200側からみたグローバルIPアドレス及びポート番号)を取得するため、STUNサーバ201に対して、外部アドレス・ポート取得要求としてバインディングリクエスト(Binding Request、RFC3489参照;以下同じ)パケットを送出する。一方、STUNサーバ201は、外部アドレス・ポート取得要求に対して応答し、VPNアダプタ101に外部アドレス・ポート情報返信として外部アドレス・ポート情報を含むバインディングレスポンス(Binding Response、RFC3489参照;以下同じ)パケットを返送する。そして、VPNアダプタ101は、外部アドレス・ポート情報返信により得られた外部アドレス・ポート情報を記憶する。なお、外部アドレス・ポート情報の取得については、本出願人による別出願に係るVPN関連の技術(特願2009−102108「VPN装置」)にも示されている。
被呼側のVPN装置301は、呼制御サーバ202からの接続要求を受けると、呼制御サーバ202に対して、接続要求に対する接続応答を行う(ステップS104)。この接続応答は、SSLプロトコルによる接続応答であり、発呼側(VPNアダプタ101)の識別情報、被呼側(VPN装置301)の識別情報も含まれる。呼制御サーバ202は、この接続応答を中継してVPN接続の接続要求元となるVPNアダプタ101へ送信する(ステップS105)。この接続応答により、呼制御サーバ202は、接続要求に対するVPN装置301からVPNアダプタ101への応答を接続要求元となる発呼側に通知する。
また、図示はしないが、VPN装置301は、STUNサーバ201との間で外部アドレス・ポート取得手順を行う。このとき、VPN装置301は、発呼側のVPNアダプタ101と同様、自装置に割り当てられた外部アドレス・ポート情報(WAN200側からみたグローバルIPアドレス及びポート番号)を取得するため、STUNサーバ201に対して、外部アドレス・ポート取得要求としてバインディングリクエストパケットを送出する。一方、STUNサーバ201は、外部アドレス・ポート取得要求に対して応答し、VPN装置301に外部アドレス・ポート情報返信として外部アドレス・ポート情報を含むバインディングレスポンスパケットを返送する。そして、VPN装置301は、外部アドレス・ポート情報返信により得られた外部アドレス・ポート情報を記憶する。なお、外部アドレス・ポート情報の取得については、本出願人による別出願に係るVPN関連の技術(特願2009−102108「VPN装置」)にも示されている。
続いて、VPNアダプタ101は、呼制御サーバ202を介して、STUNサーバ201から取得したVPNアダプタ101の外部アドレス・ポート情報をVPN装置301へ送信する。そして、VPN装置301は、このVPNアダプタ101の外部アドレス・ポート情報を発呼側アドレス・ポート情報として受信し、記憶する。同様に、VPN装置301は、呼制御サーバ202を介して、STUNサーバ201から取得したVPN装置301の外部アドレス・ポート情報をVPNアダプタ101へ送信する。そして、VPNアダプタ101は、このVPN装置301の外部アドレス・ポート情報を被呼側アドレス・ポート情報として受信し、記憶する。この段階で、発呼側のVPNアダプタ101と被呼側のVPN装置301とは、お互いに相手の外部アドレス・ポート情報を取得している。
VPNアダプタ101がVPN装置301からの接続応答を受信すると、VPN通信経路の確立が可能であると判断し、VPNアダプタ101及びVPN装置301は、VPNアダプタ101とVPN装置301との間でVPN通信経路を確立する(ステップS106)。
このようなVPN通信経路を構築するための第1認証処理が終了した時点では、VPN通信経路は構築されるが、全てのデータをこのVPN通信経路を介して送受信可能な状態とはならない。すなわち、VPN装置301は、ステップS102〜S105の第1認証処理が終了すると、フィルタ制御部344により、VPN通信経路において、音声通信確立手順で用いられるデータ及び音声データ以外の通信を禁止する音声外データ通信禁止状態とすべく、フィルタ処理を行う。これにより、音声通信確立手順で用いられるデータ及び音声データ以外の通信を行うことが不可能な状態となる。この状態を図5では、「フィルタON」と示している。
音声通信確立手順で用いられるデータ及び音声データ以外のデータ通信を禁止するフィルタ処理がされたVPN通信経路の確立後、VPNアダプタ101は、呼制御サーバ202を介して、接続先のオペレータ端末304を管理するVPN装置301へ、端末103からのSIPプロトコルのINVITEメッセージを送信する(ステップS107〜S108)。VPN装置301は、VPNアダプタ101からのINVITEメッセージを中継し、接続先のオペレータ端末304へ送信する(ステップS109)。なお、SIPプロトコルの各種メッセージは音声通信確立手順で用いられるデータの一例であるので、フィルタ処理がされたVPN通信経路を通過することが可能である。
VPNアダプタ101からのINVITEメッセージを受信したオペレータ端末304は、接続元の端末103との間で音声通話を行う場合には、VPN装置301及びVPN通信経路を介して、端末103を管理するVPNアダプタ101へ、呼制御サーバ202を介して、SIPプロトコルの200OKメッセージを返答する(ステップS110〜S111)。VPNアダプタ101は、オペレータ端末304からの200OKメッセージを中継し、接続元の端末103へ送信する(ステップS112)。
オペレータ端末304からの200OKメッセージを受信した端末103は、オペレータ端末304との間で通話すべく、VPNアダプタ101、VPN通信経路、及びVPN装置301を介して、RTPプロトコルを用いた音声データの送受信を行う(ステップS113〜S115)。同様に、オペレータ端末304は、接続元の103との間で通話すべく、VPN装置301、VPN通信経路、及びVPNアダプタ101を介して、RTPプロトコルを用いた音声データの送受信を行う(ステップS116〜S118)。
この音声通話は、確立されているVPN通信経路のフィルタ処理を解除してもよいか否かを判断するための処理である。オペレータ端末304を操作するオペレータは、接続元の端末103の所有者と通話を行い、端末103のMACアドレスや電話番号など、端末103を特定することが可能な識別情報を取得する。オペレータが取得した端末103の識別情報がオペレータ端末304等に記憶された端末103の識別情報と一致している場合には、オペレータの指示により、オペレータ端末304はフィルタ処理を解除するための接続許可メッセージを含むオペレータ操作情報をVPN装置301へ送信する(ステップS119)。VPN装置301は、フィルタ処理を解除するための接続許可メッセージを含むオペレータ操作情報を受信すると、確立されたVPN通信経路において音声通信確立手順で用いられるデータ及び音声データ以外のデータ通信を禁止するフィルタ処理を解除する。この状態を図5では、「フィルタOFF」と示している。このようなステップS107〜S119のVPN通信経路におけるフィルタ処理を解除するための第2認証処理が終了すると、VPN通信経路におけるフィルタ処理が解除され、全てのデータVPN通信経路を経由して送受信できるようになる。第2認証処理は、VPN通信経路を介して送受信される音声データを用いて行われる。
なお、オペレータによる操作の代わりに、発呼者番号等の識別情報をホワイトリストに登録し、このホワイトリストを用いるようにすれば、オペレータ端末304を操作するオペレータが不在のときであっても、VPN通信経路におけるフィルタ処理を解除することができる。
このように、通信制限のないVPN通信経路が確立された後、接続元の端末103は、VPNアダプタ101、VPN通信経路、及びVPN装置301を介して、接続先の端末303に対してデータ要求を行う(ステップS120〜S122)。端末103からのデータ要求を受信した端末303は、VPN装置301、VPN通信経路、VPNアダプタ101を介して、端末103へデータ要求に対する応答データを送信する(ステップS123〜S125)。
このような図5に示したVPN構築によれば、段階的にデータ通信を許可するVPN通信経路を構築することができる。すなわち、まずは第1認証処理によりフィルタ処理がされたVPN通信経路を構築し、続いて第2認証処理によりフィルタ処理が解除されたVPN通信経路とすることができる。つまり、第1認証処理後には最小限のデータ通信(第2認証処理に必要な音声データによる通信)を許可し、第2認証処理後に全てのデータの通信を許可することで、単一の通信経路のみを使用するという最小限の経路リソースで、高セキュリティのVPN通信経路を確立することができる。
図6は、本実施形態のVPNシステムにおけるVPN構築時のシーケンスの第2例を示すシーケンス図である。この図6では、図1に示したVPNシステムにおいて、VPNアダプタ101の配下の端末103からWAN200を経由してVPN装置301の配下の端末303に接続しようとする場合の処理を示している。また、VPNアダプタ101を社外へ持ち出し、VPN装置301は社内に配置されている場合の処理を想定している。
なお、ログイン処理、外部アドレス・ポート情報の取得のための処理は、図5で示した処理と同様であるので、説明を省略する。
まず、VPNアダプタ101は、配下の端末103から端末303へのデータ要求を受けると(ステップS201)、呼制御サーバ202に対して、接続先の端末303を配下に持つVPN装置301へのVPN通信経路を構築するための接続要求を行う(ステップS202)。この接続要求には、発呼側(VPNアダプタ101)の識別情報、被呼側(VPN装置301)の識別情報も含まれる。呼制御サーバ202は、この接続要求を中継してVPN接続の接続先となるVPN装置301へ送信する(ステップS203)。この接続要求により、呼制御サーバ202は、VPNアダプタ101がVPN装置301へVPN通信経路構築のためのVPN接続をしたいという要求を接続先となる被呼側に通知する。
被呼側のVPN装置301は、呼制御サーバ202からの接続要求を受けると、呼制御サーバ202に対して、接続要求に対する接続応答を行う(ステップS204)。この接続応答には、発呼側(VPNアダプタ101)の識別情報、被呼側(VPN装置301)の識別情報も含まれる。呼制御サーバ202は、この接続応答を中継してVPN接続の接続要求元となるVPNアダプタ101へ送信する(ステップS205)。この接続応答により、呼制御サーバ202は、接続要求に対するVPN装置301からVPNアダプタ101への応答を接続要求元となる発呼側に通知する。
続いて、VPNアダプタ101がVPN装置301からの接続応答を受信すると、VPN通信経路の確立が可能であることと判断し、VPNアダプタ101及びVPN装置301は、VPNアダプタ101とVPN装置301との間でVPN通信経路を確立する(ステップS206)。
このようなVPN通信経路を構築するための第1認証処理が終了した時点では、VPN通信経路は構築されるが、全てのデータをこのVPN通信経路を介して送受信可能な状態とはならない。すなわち、VPN装置301は、ステップS202〜S205の第1認証処理が終了すると、VPN通信経路において、音声通信確立手順で用いられるデータ及び音声データ以外の通信を禁止する音声外データ通信禁止状態とすべく、フィルタ処理を行う。これにより、音声通信確立手順で用いられるデータ及び音声データ以外の通信を行うことが不可能な状態となる。この状態を図6では、「フィルタON」と示している。
音声通信確立手順で用いられるデータ及び音声データ以外のデータ通信を禁止するフィルタ処理がされたVPN通信経路の確立後、VPNアダプタ101は、呼制御サーバ202を介して、接続先の端末303を管理するVPN装置301へ、端末103からのデータ要求を送信する(ステップS207)。しかしながら、フィルタ処理されたVPN通信経路では、音声通信確立手順で用いられるデータ及び音声データ以外のデータ通信は通過することができないので、VPN通信経路を介したデータ要求はVPN装置301へは到達しない。
そこで、端末103は、接続先の端末303への音声通話の要求を行うべく、VPNアダプタ101へSIPプロトコルのINVITEメッセージを送信する(ステップS208)。VPNアダプタ101は、端末103からのINVITEメッセージを受信すると、呼制御サーバ202を介して、接続先の端末303を管理するVPN装置301へ、このINVITEメッセージを送信する(ステップS209〜S210)。VPN装置301は、VPNアダプタ101からのINVITEメッセージを中継し、接続先の端末303と同一のLAN内に属するオペレータ端末304へ送信する(ステップS211)。なお、SIPプロトコルの各種メッセージは音声データの1つであるので、フィルタ処理がされたVPN通信経路を通過することが可能である。
VPNアダプタ101からのINVITEメッセージを受信したオペレータ端末304は、接続元の端末103との間で音声通話を行う場合には、VPN装置301及びVPN通信経路を介して、端末103を管理するVPNアダプタ101へ、呼制御サーバ202を介して、SIPプロトコルの200OKメッセージを返答する(ステップS212〜S213)。VPNアダプタ101は、オペレータ端末304からの200OKメッセージを中継し、接続元の端末103へ送信する(ステップS214)。
オペレータ端末304からの200OKメッセージを受信した端末103は、オペレータ端末304との間で通話すべく、VPNアダプタ101、VPN通信経路、及びVPN装置301を介して、RTPプロトコルを用いた音声データの送受信を行う(ステップS215〜S217)。同様に、オペレータ端末304は、接続元の103との間で通話すべく、VPN装置301、VPN通信経路、及びVPNアダプタ101を介して、RTPプロトコルを用いた音声データの送受信を行う(ステップS218〜S220)。
この音声通話は、図5で示した処理と同様に、確立されているVPN通信経路のフィルタ処理を解除してもよいか否かを判断するための処理である。VPN通信経路におけるフィルタ解除の処理も、図5の処理と同様に、VPN装置301が、オペレータ操作情報をオペレータ端末304から受信し(ステップS221)、このオペレータ操作情報に基づいて行う。ここでは詳細な説明を省略する。
このように、通信制限のないVPN通信経路が確立された後、接続元の端末103は、VPNアダプタ101、VPN通信経路、及びVPN装置301を介して、接続先の端末303に対して再度データ要求を行う(ステップS222〜S224)。端末103からのデータ要求を受信した端末303は、VPN装置301、VPN通信経路、VPNアダプタ101を介して、端末103へデータ要求に対する応答データを送信する(ステップS225〜S227)。
このような図6に示したVPN構築によれば、段階的にデータ通信を許可するVPN通信経路を構築することができる。すなわち、まずは第1認証処理によりフィルタ処理がされたVPN通信経路を構築し、続いて第2認証処理によりフィルタ処理が解除されたVPN通信経路とすることができる。つまり、第1認証処理後には最小限のデータ通信(第2認証処理に必要な音声データによる通信)を許可し、第2認証処理後に全てのデータの通信を許可することで、単一の通信経路のみを使用するという最小限の経路リソースで、高セキュリティのVPN通信経路を確立することができる。
次に、VPNアダプタ101のVPN構築時の動作について説明する。
図7は、VPNアダプタ101のVPN構築時の動作の一例を示すフローチャートである。
まず、VPNアダプタ101のデータ中継部133の判定部136は、何らかのメッセージを受信したか否かを判定する(ステップS301)。
何らかのメッセージを受信した場合には、判定部136は、VPN通信経路が確立済みであるか否かを判定する(ステップS302)。例えば、図5のステップS102〜S105の一連のVPN通信経路の確立に必要なデータの送受信を行ったか否かに基づいて判断する。VPN通信経路を確立済みである場合には、データ中継部133は、メッセージを中継する(ステップS303)。例えば、接続先の端末303からのデータについては、接続元の端末103へ送信する。また、接続元の端末103からのデータについては、VPN通信経路を介して、接続先の端末303を管理するVPN装置301へ送信する。このメッセージの中継の後、再度メッセージを受信すべくステップS301に戻る。
一方、VPN通信経路が確立されていない場合には、呼制御機能部143は、VPN装置301へ接続要求の送信等を行い、VPN通信経路を確立する(ステップS304)。ステップS304においてVPN通信経路を確立すると、ステップS303の処理に進む。
また、ステップS301においてメッセージを受信しなかった場合には、判定部136は、VPN通信を終了するか否かを判定する(ステップS305)。例えば、所定期間にわたってVPN通信を継続するための所定のデータの送受信が行われなかった場合には、VPN通信を終了すると判定する。VPN通信を終了する場合には図7の処理を終了し、VPN通信を終了せず、メッセージを引き続き待機する場合にはステップS301に戻る。
次に、VPN装置301のVPN構築時の動作について説明する。
図8は、VPN装置301のVPN構築時の動作の一例を示すフローチャートである。
まず、VPN装置301のデータ中継部333の判定部336は、何らかのメッセージを受信したか否かを判定する(ステップS401)。メッセージを受信しなかった場合には、判定部336は、VPN通信を終了するか否かを判定する(ステップS402)。例えば、所定期間にわたってVPN通信を継続するための所定のデータの送受信が行われなかった場合には、VPN通信を終了すると判定する。VPN通信を終了する場合には図8の処理を終了し、VPN通信を終了せず、メッセージを引き続き待機する場合にはステップS401に戻る。
一方、何らかのメッセージを受信した場合には、判定部336は、VPN通信経路が確立済みであるか否かを判定する(ステップS403)。例えば、図5のステップS102〜S105の一連のVPN通信経路の確立に必要なデータの送受信を行ったか否かに基づいて判断する。
VPN通信経路が確立されていない場合には、判定部336は、受信したメッセージが接続要求であるか否かを判定する(ステップS404)。受信メッセージが接続要求である場合には、呼制御機能部342は、この接続要求に応答して、VPN通信経路を確立する(ステップS405)。ただし、VPN通信経路の確立当初においては、VPN機能部342のフィルタ制御部344は、音声通信確立手順で用いられるデータ及び音声データ以外のデータの通過を禁止するフィルタ処理を行う(フィルタをONにする)(ステップS406)。VPN通信経路におけるフィルタ処理を行った後、再度メッセージを受信すべくステップS401に戻る。一方、受信メッセージが接続要求でない場合には、そのメッセージを破棄する(ステップS407)。
一方、VPN通信経路が確立済みである場合には、フィルタ制御部344は、VPN通信経路におけるフィルタ処理が解除されているか、つまりフィルタがOFFであるか否かを判定する(ステップS408)。フィルタがOFFである場合には、全てのデータをVPN通信経路を介して送受信ができる状態である。この場合、データ中継部333は、受信したメッセージを中継する(ステップS409)。例えば、接続先の端末303からのデータについては、接続元の端末103を管理するVPNアダプタ101へVPN通信経路を介して送信する。また、接続元の端末103からのデータについては、接続先の端末30へ送信する。そして、再度メッセージを受信すべくステップS401に戻る。
一方、フィルタがOFFでない場合、つまりVPN通信経路におけるフィルタ処理が行われている場合(フィルタがONの場合)、判定部336は、受信メッセージが音声データ(SIPプロトコルのメッセージ、RTPプロトコルのメッセージ等)であるか否かを判定する(ステップS410)。受信メッセージが音声データである場合には、ステップS409に進む。
一方、受信メッセージが音声データでない場合には、判定部336は、受信メッセージがオペレータ端末304からの接続許可メッセージであるか否かを判定する(ステップS411)。受信メッセージが接続許可メッセージである場合には、フィルタ制御部344は、VPN通信経路におけるフィルタ処理を解除する、つまりフィルタをOFFにする(ステップS412)。一方、受信メッセージが接続許可メッセージでない場合には、VPN機能部343は、受信メッセージを破棄する(ステップS413)。
このようなVPN装置301のVPN通信経路の構築時の動作によれば、VPNアダプタ101が携帯されて様々なLANに接続された場合であっても、VPNアダプタ101を用いたVPN通信経路の構築を安全性高く実現することが可能である。
次に、VPN通信経路(VPNトンネル)について説明する。
図9はVPN通信経路のイメージ図である。
第1認証処理が行われてフィルタ処理が行われたVPN通信経路を構築した場合には、VPNアダプタ101及びVPN装置301は、図9(A)に示す通信を行う。つまり、フィルタがONとされた状態では、VPNアダプタ101とVPN装置301との間で送受信される音声データについては、制限なくVPN通信経路を通過する。一方、VPNアダプタ101からVPN装置301へ送信される音声以外のデータについては、VPN通信経路を通過することができない。これにより、高セキュリティを確保しつつ、必要な認証処理(第2認証処理)を行うことが可能である。
さらに第2認証処理が行われてフィルタ処理が解除されたVPN通信経路を構築した場合には、VPNアダプタ101及びVPN装置301は、図9(B)に示す通信を行う。つまり、フィルタがOFFとされた状態では、VPNアダプタ101とVPN装置301との間で送受信される音声データ及び音声以外のデータのいずれについても、制限なくVPN通信経路を通過することができる。このように、段階的にVPN通信経路を通過することができるデータを調整することができるので、単一の経路リソースで、高セキュリティを確保しつつVPN通信経路を構築することが可能である。
このような本実施形態のVPNシステムによれば、単一の経路リソースで高セキュリティにVPN通信経路を確立することが可能である。本実施形態では、VPN通信経路を構築するための第1認証処理を行うことで、VPNアダプタ101が正当なアダプタであるかを接続先が判断することができる。また、第1認証処理後の音声通信確立手順で用いられるデータ及び音声データ以外のデータの通信を行うための第2認証処理を行うことで、接続元の端末103の所有者が正当なユーザであるかを判断することができる。このように、VPN通信経路の使用を段階的に許可することで、VPN通信経路の構築時に安全性の高い通信を行うことができる。また、第2認証処理を行うためのデータの送受信は、限定的にデータを通過させるVPN通信経路を用いて行われるので、必要最低限のリソースで高セキュリティを確保した状態で通信を行うことができる。さらに、仮にVPNアダプタ101を紛失してしまった場合であっても、事前にオペレータ端末304へその旨通知し、オペレータ端末304が有するVPNアダプタ101に係る識別情報を削除しておくことで、安全性を保つことができる。
なお、VPNアダプタ101の構成及び機能をVPN装置301と同様にしても、先に説明した本実施形態のVPNシステムを実現することができる。
また、本実施形態では、フィルタ処理として、音声通信確立手順で用いられるデータ及び音声データ以外のデータの通過を禁止することを主に説明したが、これに限られるものではない。例えば、音声データ及び特定のデータ(HTTPプロトコルのデータやメールに関するデータなど所定のアプリケーションで使用されるデータ)のみを通過させるフィルタ処理とすることも考えられる。これにより、VPN通信経路において全データの通過を許可する前に、必要なアプリケーションを実行することが可能である。また、特定の端末(所定のアドレスを有する端末)と通信される音声データを含むデータのみを通過させるフィルタ処理、とすることも考えられる。
(変形例)
先の説明ではVPN機能を有するVPN装置が独立した装置として配置され、その配下に端末が配置されることを示したが、図10に示すように、VPNアダプタ105(VPNアダプタの機能を有する端末)及びVPN装置305(VPN装置の機能を有する端末)のみが配置されるようにしてもよい。
本発明は、単一の経路リソースで高セキュリティにVPN通信経路を確立することが可能なVPN装置、VPNネットワーキング方法、VPNプログラム、及び記憶媒体に有用である。
100、300 LAN
101 VPNアダプタ
301 VPN装置
102、302 ルータ
103、303 端末
304 オペレータ端末
105、305 VPN装置(端末)
111 マイクロコンピュータ(CPU)
112 不揮発性メモリ
113 メモリ
114、115 ネットワークインタフェース
116 LAN側ネットワーク制御部
117 WAN側ネットワーク制御部
118 通信中継部
119 表示制御部
120 表示部
130 システム制御部
131 配下端末管理部
132 メモリ部
133 データ中継部
134 設定用インタフェース部
135 情報記憶部
136 判定部
140 通信制御部
141 外部アドレス・ポート取得部
142 VPN機能部
143 呼制御機能部
200 WAN
201 STUNサーバ
202 呼制御サーバ
330 システム制御部
331 配下端末管理部
332 メモリ部
333 データ中継部
334 設定用インタフェース部
335 情報記憶部
336 判定部
337 オペレータ操作情報受信部
340 通信制御部
341 外部アドレス・ポート取得部
342 VPN機能部
343 呼制御機能部
344 フィルタ制御部

Claims (9)

  1. ネットワーク上で、他のVPN装置との間でVPNを構築してVPN通信を行うVPN装置であって、
    前記VPNを構築するための第1認証処理を行う認証処理部と、
    前記第1認証処理の後に、前記VPNにおける音声通信確立手順で用いられるデータ及び音声データ以外の通信を禁止するフィルタ処理を行うフィルタ制御部と、
    を備え、
    前記認証処理部は、前記第1認証処理の後に、前記フィルタ処理中の前記VPNを介して通信される音声データを用いて第2認証処理を行い、
    前記フィルタ制御部は、前記第2認証処理の後に、前記フィルタ処理を停止するVPN装置。
  2. 請求項1に記載のVPN装置であって、
    前記フィルタ制御部は、前記VPNにおける音声データ及び所定のアプリケーションで通信されるデータ以外の通信を禁止するフィルタ処理を行うVPN装置。
  3. 請求項1または2に記載のVPN装置であって、
    前記フィルタ制御部は、前記第1認証処理の完了前に、他のVPN装置からの接続要求が受信された場合、前記VPNを構築するとともに前記フィルタ処理を行うVPN装置。
  4. 請求項1または2に記載のVPN装置であって、
    前記フィルタ制御部は、前記フィルタ処理中に、前記フィルタ処理を停止するか否かを指示するオペレータ端末から接続許可データが受信された場合、前記フィルタ処理を停止するVPN装置。
  5. 請求項1ないし4のいずれか1項に記載のVPN装置であって、
    前記認証処理部は、SSLプロトコルのデータを用いて前記第1認証処理を行うVPN装置。
  6. 請求項1ないし4のいずれか1項に記載のVPN装置であって、
    前記認証処理部は、SIPプロトコルのデータ及びRTPプロトコルのデータを用いて前記第2認証処理を行うVPN装置。
  7. ネットワーク上で、他のVPN装置との間でVPNを構築してVPN通信を行うためのVPNネットワーキング方法であって、
    前記VPNを構築するための第1認証処理を行うステップと、
    前記第1認証処理の後に、前記VPNにおける音声通信確立手順で用いられるデータ及び音声データ以外の通信を禁止するフィルタ処理を行うステップと、
    前記第1認証処理の後に、前記フィルタ処理中の前記VPNを介して通信される音声データを用いて第2認証処理を行うステップと、
    前記第2認証処理の後に、前記フィルタ処理を停止するステップと、
    を有するVPNネットワーキング方法。
  8. 請求項7に記載のVPNネットワーキング方法の各ステップを実行させるためのVPNプログラム。
  9. 請求項7に記載のVPNネットワーキング方法の各ステップを実行させるためのVPNプログラムを記録したコンピュータ読み取り可能な記憶媒体。
JP2010156807A 2010-07-09 2010-07-09 Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体 Withdrawn JP2012019455A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010156807A JP2012019455A (ja) 2010-07-09 2010-07-09 Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010156807A JP2012019455A (ja) 2010-07-09 2010-07-09 Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体

Publications (1)

Publication Number Publication Date
JP2012019455A true JP2012019455A (ja) 2012-01-26

Family

ID=45604334

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010156807A Withdrawn JP2012019455A (ja) 2010-07-09 2010-07-09 Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体

Country Status (1)

Country Link
JP (1) JP2012019455A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014101841A1 (en) * 2012-12-28 2014-07-03 Huawei Technologies Co., Ltd. Electronic rendezvous-based two stage access control for private networks
JP5940671B2 (ja) * 2012-09-14 2016-06-29 株式会社東芝 Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム
JP2017108252A (ja) * 2015-12-08 2017-06-15 エヌ・ティ・ティ・コミュニケーションズ株式会社 映像提供システム、映像提供方法、端末装置、情報提供方法及びコンピュータプログラム
JP2020005050A (ja) * 2018-06-26 2020-01-09 コニカミノルタ株式会社 画像形成装置および画像形成システム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5940671B2 (ja) * 2012-09-14 2016-06-29 株式会社東芝 Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム
WO2014101841A1 (en) * 2012-12-28 2014-07-03 Huawei Technologies Co., Ltd. Electronic rendezvous-based two stage access control for private networks
US8925045B2 (en) 2012-12-28 2014-12-30 Futurewei Technologies, Inc. Electronic rendezvous-based two stage access control for private networks
JP2017108252A (ja) * 2015-12-08 2017-06-15 エヌ・ティ・ティ・コミュニケーションズ株式会社 映像提供システム、映像提供方法、端末装置、情報提供方法及びコンピュータプログラム
JP2020005050A (ja) * 2018-06-26 2020-01-09 コニカミノルタ株式会社 画像形成装置および画像形成システム
JP7099080B2 (ja) 2018-06-26 2022-07-12 コニカミノルタ株式会社 画像形成装置および画像形成システム

Similar Documents

Publication Publication Date Title
US9369491B2 (en) Inspection of data channels and recording of media streams
US9497127B2 (en) System and method for a reverse invitation in a hybrid peer-to-peer environment
US10506082B2 (en) High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client
US9172559B2 (en) Method, apparatus, and network system for terminal to traverse private network to communicate with server in IMS core network
CA2792634C (en) System and method for providing a virtual peer-to-peer environment
TWI549452B (zh) 用於對虛擬私人網路之特定應用程式存取之系統及方法
WO2017181894A1 (zh) 终端连接虚拟专用网的方法、系统及相关设备
US20110145426A1 (en) Networking method of communication apparatus, communication apparatus and storage medium
CA2793924C (en) System and method for peer-to-peer media routing using a third party instant messaging system for signaling
US20120113977A1 (en) Vpn device and vpn networking method
JPWO2008146395A1 (ja) ネットワーク中継装置、通信端末及び暗号化通信方法
CN111726366A (zh) 设备通信方法、装置、系统、介质和电子设备
CN103430506B (zh) 网络通信系统和方法
CN106332070B (zh) 一种安全通信方法、装置及系统
JP2012019455A (ja) Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体
US9088542B2 (en) Firewall traversal driven by proximity
JP2010283762A (ja) 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体
CN106537885A (zh) 接入节点
JP2010283761A (ja) Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体
JP2010252261A (ja) Vpn装置、vpnネットワーキング方法、及び記憶媒体
CN112333088B (zh) 一种兼容性即时通信传输方法
KR100660123B1 (ko) Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기
JP2011160286A (ja) 呼制御サーバ、中継サーバ、vpn装置、vpn通信システム、vpnネットワーキング方法、プログラム、及び記憶媒体
JP2011239277A (ja) Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体
JP2010283594A (ja) 通信装置及び通信可能性判定方法

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20131001