JP2013077995A - Vpn system and vpn connection method - Google Patents

Vpn system and vpn connection method Download PDF

Info

Publication number
JP2013077995A
JP2013077995A JP2011216893A JP2011216893A JP2013077995A JP 2013077995 A JP2013077995 A JP 2013077995A JP 2011216893 A JP2011216893 A JP 2011216893A JP 2011216893 A JP2011216893 A JP 2011216893A JP 2013077995 A JP2013077995 A JP 2013077995A
Authority
JP
Japan
Prior art keywords
user terminal
vpn
user
unit
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011216893A
Other languages
Japanese (ja)
Inventor
Daisuke Yamashita
乃丞 山下
Shinichi Watabe
伸一 渡部
Yoshiki Ishida
芳樹 石田
Junko Ito
純子 伊藤
Teruaki Hata
照明 畑
Kazuhiro Kuwazoe
和浩 桑添
Toru Kakinuma
徹 柿沼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2011216893A priority Critical patent/JP2013077995A/en
Publication of JP2013077995A publication Critical patent/JP2013077995A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To perform VPN connection of a user terminal to a plurality of foothold information servers.SOLUTION: A VPN relay server connected to the plurality of information servers through a first VPN channel connects to a user terminal through a second VPN channel in response to a request from the user terminal, and transmits to the user terminal a connection list associated with the user in response to a request from the user terminal. On receiving a communication request to an information server included in the connection list from the user terminal, the VPN relay server relays communication between the user terminal and the information server through the first VPN channel and the second VPN channel.

Description

本発明は、VPNを接続する技術に関する。   The present invention relates to a technology for connecting VPNs.

情報通信ネットワークが発達し、ネットワークを介して様々な情報が通信されている。ここで、ユーザ端末と情報サーバとがネットワークを介して通信する場合、第三者による盗聴等を防いで安全に通信するために、例えばHTTPS(Hypertext Transfer Protocol over Secure Socket Layer)に基づく通信を行うことが考えられる。ただし、この場合はHTTP(Hypertext Transfer Protocol)以外のプロトコルによる通信を安全に行うことができない。そこで、異なるLAN(Local Area Network)等の拠点間をVPN(Virtual Private Network)回線により接続することで、VPN回線を介して多様なプロトコルによる通信を安全に行うことができる。特許文献1には、複数拠点のネットワークをVPN回線により接続することが記載されている。   An information communication network has been developed, and various information is communicated via the network. Here, when the user terminal and the information server communicate via a network, for example, communication based on HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) is performed to prevent eavesdropping by a third party and perform secure communication. It is possible. In this case, however, communication using a protocol other than HTTP (Hypertext Transfer Protocol) cannot be performed safely. Therefore, by connecting bases such as different LANs (Local Area Networks) with a VPN (Virtual Private Network) line, communication by various protocols can be safely performed via the VPN line. Japanese Patent Application Laid-Open No. 2004-133867 describes connecting a network of a plurality of bases by a VPN line.

特開2011−166375号公報JP 2011-166375 A

しかしながら、単一のユーザ端末が複数のVPN回線を介して複数拠点に接続する場合、異なる拠点毎に異なる認証を行って接続することとなる。このため、複数の拠点にVPN回線を介して接続しようとするユーザ端末は、複数拠点毎のアカウントやパスワード等の認証情報や通信処理を管理しなければならず、ユーザ端末におけるVPN回線の管理が煩雑になる。そこで、単一のユーザ端末が複数のVPN回線を介して複数拠点に場合にも、簡単に効率良く接続することが望ましい。   However, when a single user terminal connects to a plurality of bases via a plurality of VPN lines, the connection is performed by performing different authentications at different bases. For this reason, a user terminal attempting to connect to a plurality of bases via a VPN line must manage authentication information such as accounts and passwords and communication processing for each of the bases, and management of VPN lines in the user terminal is difficult. It becomes complicated. Therefore, it is desirable to connect simply and efficiently even when a single user terminal is connected to a plurality of bases via a plurality of VPN lines.

本発明は、このような状況に鑑みてなされたもので、ユーザ端末が、複数拠点の情報サーバにVPN接続するVPNシステム、VPN接続方法を提供する。   The present invention has been made in view of such circumstances, and provides a VPN system and a VPN connection method in which a user terminal makes a VPN connection to an information server at a plurality of sites.

上述した課題を解決するために、本発明は、ユーザのユーザ端末と、ユーザ端末にネットワークを介して接続されたVPN中継サーバとを備えたVPNシステムであって、VPN中継サーバは、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、ユーザと、複数の情報サーバのうち、ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続するユーザ通信部と、ユーザ端末からの要求に応じて、ユーザに対応する接続リストをユーザ端末に送信する接続リスト送信部と、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継する中継部と、を備えることを特徴とする。   In order to solve the above-described problem, the present invention is a VPN system including a user terminal of a user and a VPN relay server connected to the user terminal via a network, and the VPN relay server includes a plurality of pieces of information. A connection list in which a server communication unit connected to a server via a first VPN line, a user, and an information server that accepts a connection from the user terminal of the user among a plurality of information servers is stored is stored. A connection list storage unit, a user communication unit connected to the user terminal via the second VPN line in response to a request from the user terminal, and a connection list corresponding to the user in response to a request from the user terminal When a communication request to the information server included in the connection list is received from the user terminal and the connection list transmission unit that transmits the first VPN to the user terminal Through the lines and the second VPN line, characterized in that it comprises a relay unit for relaying communication between the user terminal and the information server.

また、本発明は、ユーザ端末は、入力される通信要求に応じて、通信要求の宛先に通信要求を送信する通信部と、通信部に、情報サーバを宛先とする通信要求が入力されると、通信要求の宛先をVPN中継サーバに書き換えて通信部に送信させる宛先変換部と、を備えることを特徴とする。   In addition, according to the present invention, when a user terminal receives a communication request that transmits a communication request to a destination of the communication request and a communication request that is destined for the information server is input to the communication unit in response to the input communication request A destination conversion unit that rewrites the destination of the communication request to a VPN relay server and transmits the destination to the communication unit.

また、本発明は、ユーザ端末は、自身のハードウェアリソース上において動作するプロセスを識別するプロセス識別情報と、プロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶されるプロセス記憶部を備え、宛先変換部は、通信部に通信要求を入力したプロセスが、接続リストに基づいて起動されたプロセスまたはプロセスの子プロセスであるか否かを判定し、接続リストに基づいて起動されたプロセスまたはプロセスの子プロセスであると判定した場合、通信要求の宛先をVPN中継サーバに書き換えることを特徴とする。   Further, according to the present invention, a process storage in which a user terminal stores process identification information for identifying a process operating on its own hardware resource and child process identification information for identifying a child process of the process in association with each other. The destination conversion unit determines whether the process that has input the communication request to the communication unit is a process activated based on the connection list or a child process of the process, and is activated based on the connection list. If it is determined that the process is a process or a child process of the process, the destination of the communication request is rewritten to the VPN relay server.

また、本発明は、VPN中継サーバは、ユーザと、ユーザ端末が行う処理動作のうち、ユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている第1のセキュリティポリシ記憶部と、ユーザ端末からの要求に応じて、ユーザに対応するセキュリティポリシをユーザ端末に送信するセキュリティポリシ送信部と、を備え、ユーザ端末は、セキュリティポリシが記憶される第2のセキュリティポリシ記憶部と、VPN中継サーバにセキュリティポリシを要求し、要求に応じてVPN中継サーバから送信されるセキュリティポリシを受信して第2のセキュリティポリシ記憶部に記憶させるセキュリティポリシ登録部と、第2のセキュリティポリシ記憶部に記憶されているセキュリティポリシに基づいて、ユーザ端末の動作を制御する動作抑止部と、を備えることを特徴とする。   In the present invention, the VPN relay server stores a security policy that associates a user with an operation that is permitted to operate in response to a request from the user among processing operations performed by the user terminal. A first security policy storage unit and a security policy transmission unit that transmits a security policy corresponding to the user to the user terminal in response to a request from the user terminal. The user terminal stores the security policy. A second security policy storage unit, and a security policy registration unit that requests a security policy from the VPN relay server, receives a security policy transmitted from the VPN relay server in response to the request, and stores the security policy in the second security policy storage unit And the security policy stored in the second security policy storage unit Based on, characterized in that it comprises, an operation inhibiting unit that controls the operation of the user terminal.

また、本発明は、セキュリティポリシには、ユーザ端末が備えるハードウェアリソース毎に、動作の可否が対応付けられていることを特徴とする。   In addition, the present invention is characterized in that the security policy is associated with availability of operation for each hardware resource included in the user terminal.

また、本発明は、ユーザ端末は、ユーザ端末を、宛先変換部と動作抑止部との少なくともいずれかとして機能させる制御プログラムが記憶されている記憶媒体から、制御プログラムを読み出し、制御プログラムに基づいて宛先変換部と動作抑止部との少なくともいずれかを構成するインストール制御部を備えることを特徴とする。   According to the present invention, the user terminal reads a control program from a storage medium storing a control program that causes the user terminal to function as at least one of the destination conversion unit and the operation suppression unit, and based on the control program An installation control unit constituting at least one of a destination conversion unit and an operation suppression unit is provided.

また、本発明は、ユーザのユーザ端末と、ユーザ端末にネットワークを介して接続され、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、ユーザと、複数の情報サーバのうち、ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、を備えたVPN中継サーバとを備えたVPNシステムの、VPN中継サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続するステップと、ユーザ端末からの要求に応じて、ユーザに対応する接続リストをユーザ端末に送信するステップと、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継するステップと、を備えることを特徴とするVPN接続方法である。   The present invention also provides a user terminal of a user, a server communication unit connected to the user terminal via a network, and connected to a plurality of information servers via a first VPN line, a user, and a plurality of information servers. A VPN relay server of a VPN system comprising: a connection list storage unit storing a connection list associated with an information server that accepts a connection from a user terminal of the user; Connecting to the user terminal via the second VPN line in response to a request from the user terminal, and transmitting a connection list corresponding to the user to the user terminal in response to a request from the user terminal; When a communication request is received from the user terminal to the information server included in the connection list, the request is transmitted via the first VPN line and the second VPN line. A step of relaying the communication between the user terminal and the information server, a VPN connection method, characterized in that it comprises a.

以上説明したように、本発明によれば、複数の情報サーバに第1のVPN回線を介して接続されたVPN中継サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続し、ユーザ端末からの要求に応じて、ユーザに対応する接続リストを、第2のVPN回線を介してユーザ端末に送信し、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継するようにしたので、ユーザ端末が、複数拠点の情報サーバにVPN接続することが可能となる。   As described above, according to the present invention, a VPN relay server connected to a plurality of information servers via a first VPN line can receive a user terminal and a second VPN line in response to a request from the user terminal. In response to a request from the user terminal, a connection list corresponding to the user is transmitted to the user terminal via the second VPN line, and communication from the user terminal to the information server included in the connection list is performed. When the request is received, the communication between the user terminal and the information server is relayed via the first VPN line and the second VPN line, so that the user terminal makes a VPN connection to the information server at a plurality of locations. Is possible.

本発明の一実施形態によるVPNシステムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the VPN system by one Embodiment of this invention. 本発明の一実施形態による接続リストのデータ例を示す図である。It is a figure which shows the example of data of the connection list by one Embodiment of this invention. 本発明の一実施形態によるセキュリティポリシのデータ例を示す図である。It is a figure which shows the example of data of the security policy by one Embodiment of this invention. 本発明の一実施形態による対応関係のデータ例を示す図である。It is a figure which shows the example of data of the correspondence by one Embodiment of this invention. 本発明の一実施形態によるプロセス情報のデータ例を示す図である。It is a figure which shows the example of data of the process information by one Embodiment of this invention. 本発明の一実施形態によるアプリケーションメニュー画面の例を示す図である。It is a figure which shows the example of the application menu screen by one Embodiment of this invention. 本発明の一実施形態によるVPNシステムの動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of the VPN system by one Embodiment of this invention. 本発明の一実施形態によるユーザ端末による宛先変換処理の動作例を示すフローチャートである。It is a flowchart which shows the operation example of the destination conversion process by the user terminal by one Embodiment of this invention. 本発明の一実施形態によるユーザ端末による動作抑止処理の動作例を示すフローチャートである。It is a flowchart which shows the operation example of the operation | movement suppression process by the user terminal by one Embodiment of this invention.

以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態によるVPNシステム1の構成例を示すブロック図である。VPNシステム1は、VPN中継サーバ10と、ユーザ端末20と、VPN中継サーバ10にVPN回線を介して接続された複数の拠点30(拠点30−1、拠点30−2、・・・)を備えている。ここで、複数の拠点30は同様の構成であるので、特に区別しない場合には「−1」、「−2」等を省略して拠点30として説明する。図においては2つの拠点30を示しているが、3以上の拠点30がVPN中継サーバ10に接続されていて良い。それぞれの拠点30には、GW31と、拠点毎のGW31に接続された情報サーバ32(情報サーバ32−1、情報サーバ32−2、・・・)が備えられている。情報サーバ32は、ネットワークを介してアプリケーションを提供するコンピュータ装置であり、提供するアプリケーションは異なるものであって良いが、特に区別しない場合には「−1」、「−2」等を省略して情報サーバ32として説明する。図においては各拠点に1台の情報サーバ32が接続された例を示しているが、GW31に接続された情報サーバ32は2台以上でも良い。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram illustrating a configuration example of a VPN system 1 according to the present embodiment. The VPN system 1 includes a VPN relay server 10, a user terminal 20, and a plurality of bases 30 (bases 30-1, bases 30-2,...) Connected to the VPN relay server 10 via VPN lines. ing. Here, since the plurality of bases 30 have the same configuration, “−1”, “−2”, etc. will be omitted and described as the bases 30 unless otherwise distinguished. Although two bases 30 are shown in the figure, three or more bases 30 may be connected to the VPN relay server 10. Each base 30 is provided with a GW 31 and an information server 32 (information server 32-1, information server 32-2,...) Connected to the GW 31 for each base. The information server 32 is a computer device that provides an application via a network. The provided application may be different, but “−1”, “−2”, and the like are omitted unless particularly distinguished. The information server 32 will be described. Although the figure shows an example in which one information server 32 is connected to each site, two or more information servers 32 connected to the GW 31 may be used.

VPN中継サーバ10は、ユーザ端末20にネットワークを介して接続されたコンピュータ装置であり、サーバ通信部11と、接続リスト記憶部12と、セキュリティポリシ記憶部13と、ユーザVPN通信部14と、ユーザ制御部15と、対応関係記憶部16と、中継部17と、ユーザ通信部18とを備えている。
サーバ通信部11は、それぞれが情報サーバに接続される複数のGW31にVPN回線を介して接続され、GW31を介して情報サーバと通信を行う。GW31は、VPN回線の終端装置であり、拠点30とVPN中継サーバ10とをVPN接続する。GW31−1のVIP(Virtual-IP(Internet Protocol)アドレス)は「aa.aa.aa.aa」であり、GW31−2のVIPは「bb.bb.bb.bb」であるとする。情報サーバ32は、ユーザ端末20からの通信要求に応答するコンピュータ装置である。情報サーバ32は、例えば、SaaS(Software as a Service)やASP(Application Service Provider)とよばれるような、ネットワークを介して業務アプリ等のアプリケーションを提供するウェブサーバや、リモートデスクトップによる動作を行うコンピュータ端末、SIP(Session Initiation Protocol)に基づく通信を行うアプリケーションを提供するコンピュータ装置等が適用できる。サーバ通信部11は、このような複数の拠点30におけるGW31とそれぞれに異なるVPN回線を接続し、ユーザ端末20と情報サーバ32との間の通信を中継する。 The VPN relay server 10 is a computer device connected to the user terminal 20 via a network, and includes a server communication unit 11, a connection list storage unit 12, a security policy storage unit 13, a user VPN communication unit 14, and a user. A control unit 15, a correspondence relationship storage unit 16, a relay unit 17, and a user communication unit 18 are provided.
The server communication unit 11 is connected to a plurality of GWs 31 each connected to the information server via a VPN line, and communicates with the information server via the GW 31. The GW 31 is a VPN line termination device, and connects the base 30 and the VPN relay server 10 via VPN. The VIP (Virtual-IP (Internet Protocol) address) of the GW 31-1 is “aa.aa.aa.aa”, and the VIP of the GW 31-2 is “bb.bb.bb.bb”. The information server 32 is a computer device that responds to a communication request from the user terminal 20. The information server 32 is, for example, a web server that provides an application such as a business application via a network, such as SaaS (Software as a Service) or ASP (Application Service Provider), or a computer that operates by a remote desktop. A terminal, a computer device that provides an application for performing communication based on SIP (Session Initiation Protocol), or the like can be applied. The server communication unit 11 connects different VPN lines to the GWs 31 at the plurality of bases 30, and relays communication between the user terminal 20 and the information server 32.

接続リスト記憶部12には、ユーザ端末20のユーザと、複数の情報サーバ32のうち、そのユーザのユーザ端末20からの接続を受け付ける情報サーバ32とが対応付けられた接続リストが記憶される。図2は、接続リスト記憶部12に記憶されている接続リストのデータ例を示す図である。接続リストには、ユーザID(IDentifier)と、アプリケーション名と、ユーザ端末側VIPとが対応付けられて記憶される。ユーザIDは、予め定められたユーザを識別する識別情報である。アプリケーション名は、対応するユーザIDに基づいて認証されたユーザ端末20からの利用を許可するアプリケーションを示す情報である。ユーザ端末側VIPは、対応するアプリケーションを利用する際にユーザ端末20から通信要求が送信される宛先であるVPN中継サーバ10のVIPを示す情報である。ここでは、アプリケーションを提供する情報サーバ32毎に、異なるVIPが対応付けられる。   The connection list storage unit 12 stores a connection list in which a user of the user terminal 20 is associated with an information server 32 that accepts a connection from the user terminal 20 of the user among the plurality of information servers 32. FIG. 2 is a diagram illustrating an example of connection list data stored in the connection list storage unit 12. In the connection list, a user ID (IDentifier), an application name, and a user terminal VIP are stored in association with each other. The user ID is identification information for identifying a predetermined user. The application name is information indicating an application that is permitted to be used from the user terminal 20 that is authenticated based on the corresponding user ID. The user terminal side VIP is information indicating the VIP of the VPN relay server 10 that is a destination to which a communication request is transmitted from the user terminal 20 when the corresponding application is used. Here, a different VIP is associated with each information server 32 that provides an application.

セキュリティポリシ記憶部13には、ユーザと、そのユーザのユーザ端末20が行う処理動作のうち、そのユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている。図3は、セキュリティポリシ記憶部13に記憶されているセキュリティポリシのデータ例を示す図である。セキュリティポリシには、ユーザ端末20が行う処理動作毎に、動作の可否が対応付けられている。ここでは、ユーザID毎に、処理動作の種別と、その動作を許可するか否かを示す情報とが対応付けられる。許可の列は、「○」であれば対応する処理動作を許可することを示し、「×」であれば対応する処理動作を許可しないことを示す。例えば、ユーザIDが「ユーザA」であるユーザは、「ローカルストレージへの書き出し」が許可されており、「リムーバブルデバイス」である「外部ストレージへの書き出し」は許可されていないことを示している。本実施形態では、このように、処理動作の種別毎に動作の可否が対応付けられたテーブル形式のデータを用いて説明するが、許可する処理動作のリストであるホワイトリストと、許可しない処理動作のリストであるブラックリストとを記憶するようにしても良い。   The security policy storage unit 13 stores a security policy that associates a user with an operation permitted to operate in response to a request from the user among processing operations performed by the user terminal 20 of the user. Has been. FIG. 3 is a diagram showing an example of security policy data stored in the security policy storage unit 13. The security policy is associated with whether or not an operation is possible for each processing operation performed by the user terminal 20. Here, for each user ID, a type of processing operation is associated with information indicating whether the operation is permitted. In the permission column, “◯” indicates that the corresponding processing operation is permitted, and “X” indicates that the corresponding processing operation is not permitted. For example, it is indicated that the user whose user ID is “user A” is permitted to “write to local storage” and not “write to external storage” that is “removable device”. . In this embodiment, as described above, description will be made using table format data in which the availability of operations is associated with each type of processing operation. However, a white list that is a list of processing operations that are permitted, and a processing operation that is not permitted. You may make it memorize | store the black list which is a list | wrist.

ユーザ通信部18は、ユーザ端末20との間で通信を行う。例えば、ユーザ通信部18は、ユーザ端末20との間でHTTPS通信を行い、ユーザ認証のための情報やVPN通信のための情報等を送受信する。
ユーザVPN通信部14は、ユーザ端末20からの要求に応じて、ユーザ端末20とユーザVPN通信部14との間にVPN回線を接続し、接続したVPN回線を介して通信を行う。また、ユーザVPN通信部14は、情報サーバ32によって提供されるアプリケーション毎に異なるVIP(「xx.xx.xx.xx」、「yy.yy.yy.yy」、「zz.zz.zz.zz」、・・・)をユーザ端末20に対して公開し、通信する。 The user communication unit 18 communicates with the user terminal 20. For example, the user communication unit 18 performs HTTPS communication with the user terminal 20 and transmits / receives information for user authentication, information for VPN communication, and the like.
In response to a request from the user terminal 20, the user VPN communication unit 14 connects a VPN line between the user terminal 20 and the user VPN communication unit 14, and performs communication via the connected VPN line. In addition, the user VPN communication unit 14 is different for each application provided by the information server 32 (“xx.xx.xx.xx”, “yy.yy.yy.yy”, “zz.zz.zz.zz.zz”). ,...) Are disclosed to the user terminal 20 and communicated.

ユーザ制御部15は、ユーザ通信部18を介してユーザ端末20と通信し、ユーザ毎の情報の制御を行う。例えば、ユーザ制御部15は、ユーザ端末20からの要求に応じて、ユーザ認証を行う。ユーザ制御部15の記憶領域に、ユーザIDとパスワードとを対応付けたアカウント情報を予め記憶し、ユーザ端末20から送信されるユーザIDとパスワードとに一致するデータが存在すれば認証成功と判定し、ユーザ端末20から送信されるユーザアカウントとパスワードとに一致するデータが存在しなければ認証失敗と判定する。   The user control unit 15 communicates with the user terminal 20 via the user communication unit 18 and controls information for each user. For example, the user control unit 15 performs user authentication in response to a request from the user terminal 20. Account information in which a user ID and a password are associated with each other is stored in the storage area of the user control unit 15 in advance. If there is no data matching the user account and password transmitted from the user terminal 20, it is determined that the authentication has failed.

また、ユーザ制御部15は、ユーザ認証が成功したと判定すると、そのユーザIDに対応する接続リストを接続リスト記憶部12から読み出し、読み出した接続リストを、ユーザ通信部18を介してユーザ端末20に送信する。
また、ユーザ制御部15は、ユーザ認証が成功したと判定すると、そのユーザIDに対応するセキュリティポリシをセキュリティポリシ記憶部13から読み出し、読み出したセキュリティポリシを、ユーザ通信部18を介してユーザ端末20に送信する。 If the user control unit 15 determines that the user authentication is successful, the user control unit 15 reads out a connection list corresponding to the user ID from the connection list storage unit 12, and reads the read connection list via the user communication unit 18. Send to.
When the user control unit 15 determines that the user authentication is successful, the user control unit 15 reads the security policy corresponding to the user ID from the security policy storage unit 13, and reads the read security policy via the user communication unit 18. Send to.

対応関係記憶部16には、ユーザ端末20に対してユーザVPN通信部14が公開しているVPN回線のVIPと、そのVIPに対応するGW31のVIPとが対応付けられた対応関係が記憶されている。図4は、対応関係記憶部16に記憶される対応関係のデータ例を示す図である。例えば、ユーザ端末20に公開しているVIP「xx.xx.xx.xx」は、GW31−1のVIPである「aa.aa.aa.aa」に対応することが示されている。   The correspondence relationship storage unit 16 stores a correspondence relationship in which the VIP of the VPN line made public to the user terminal 20 by the user VPN communication unit 14 is associated with the VIP of the GW 31 corresponding to the VIP. Yes. FIG. 4 is a diagram illustrating an example of correspondence data stored in the correspondence storage unit 16. For example, it is indicated that the VIP “xx.xx.xx.xx” disclosed to the user terminal 20 corresponds to “aa.aa.aa.aa” which is the VIP of the GW 31-1.

中継部17は、ユーザ端末20から、接続リストに含まれる情報サーバ32に対する通信要求を受信すると、ユーザ端末20との間のVPN回線と、対応する拠点30のVPN回線とを介して、ユーザ端末20と情報サーバ32との通信を中継する。例えば、VPN中継サーバ10は、ユーザVPN通信部14が、ユーザ端末側VIP「xx.xx.xx.xx」を宛先として送信された通信要求を受信すると、VIP「xx.xx.xx.xx」に対応するGW−VIP「aa.aa.aa.aa」を対応関係記憶部16から読み出し、通信要求の宛先をGW−VIP「aa.aa.aa.aa」に変換して、GW31−1に送信する。   When the relay unit 17 receives a communication request for the information server 32 included in the connection list from the user terminal 20, the relay unit 17 connects the user terminal via the VPN line between the user terminal 20 and the VPN line of the corresponding base 30. 20 and the information server 32 are relayed. For example, when the user VPN communication unit 14 receives a communication request transmitted with the user terminal side VIP “xx.xx.xx.xx” as the destination, the VPN relay server 10 receives the VIP “xx.xx.xx.xx”. GW-VIP “aa.aa.aa.aa” corresponding to the GW-VIP “aa.aa.aa.aa” is converted from the correspondence storage unit 16, and the communication request destination is converted to GW31-1. Send.

図1に戻り、ユーザ端末20は、プロセス記憶部21と、セキュリティポリシ記憶部22と、接続リスト記憶部23と、OSカーネル24と、通信部25と、VPNアプリケーション制御部26と、宛先変換部27と、アプリケーション制御部28と、動作抑止部29とを備えたコンピュータ装置であり、カードリーダ40が接続されている。ここでは、1台のユーザ端末20を図示して説明するが、VPN中継サーバ10には複数台のユーザ端末20が接続されて良い。ユーザ端末20は、ディスプレイ等の表示デバイスや、キーボードやマウス等の入力デバイス等を備える。   Returning to FIG. 1, the user terminal 20 includes a process storage unit 21, a security policy storage unit 22, a connection list storage unit 23, an OS kernel 24, a communication unit 25, a VPN application control unit 26, and a destination conversion unit. 27, an application control unit 28, and an operation suppression unit 29, to which a card reader 40 is connected. Here, one user terminal 20 is illustrated and described, but a plurality of user terminals 20 may be connected to the VPN relay server 10. The user terminal 20 includes a display device such as a display and an input device such as a keyboard and a mouse.

プロセス記憶部21には、ユーザ端末20のハードウェアリソース上で動作するプロセスを識別するプロセス識別情報と、そのプロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶される。図5は、プロセス記憶部21に記憶されているプロセス情報のデータ例を示す図である。プロセス情報には、アプリケーションを識別するプロセス名と、そのプロセスIDと、そのプロセスに基づいて起動されたプロセスであるプロセスを識別する子プロセスIDとが対応付けられて記憶される。ここでは説明の便宜上、プロセス情報はテーブル形式で記憶されていることとして説明するが、実際にはテーブル形式でなくとも良く、ユーザ端末20を動作させるOS(Operating System)が持つプロセス管理機能から、プロセスと子プロセスとの関係が取得できれば良い。   The process storage unit 21 stores process identification information for identifying a process operating on the hardware resource of the user terminal 20 and child process identification information for identifying a child process of the process in association with each other. FIG. 5 is a diagram illustrating a data example of process information stored in the process storage unit 21. In the process information, a process name for identifying an application, its process ID, and a child process ID for identifying a process that is a process activated based on the process are stored in association with each other. Here, for convenience of explanation, it is assumed that the process information is stored in a table format. However, the process information may not actually be in the table format, and from the process management function of the OS (Operating System) that operates the user terminal 20, It is sufficient if the relationship between the process and the child process can be acquired.

セキュリティポリシ記憶部22には、VPN中継サーバ10から送信された、ユーザ端末20のユーザに対応するセキュリティポリシが記憶される。
接続リスト記憶部23には、VPN中継サーバ10から送信された、ユーザ端末20のユーザに対応する接続リストが記憶される。 The security policy storage unit 22 stores a security policy transmitted from the VPN relay server 10 and corresponding to the user of the user terminal 20.
The connection list storage unit 23 stores a connection list corresponding to the user of the user terminal 20 transmitted from the VPN relay server 10.

OSカーネル24は、ユーザ端末20が備える各部の処理動作を制御する制御部である。ユーザ端末20において処理動作が行われる際には、OSカーネル24に動作要求が入力され、OSカーネル24によってハードウェア各部が動作される。
通信部25は、VPN中継サーバ10と通信を行う。例えば、通信部25は、OSカーネル24から入力される通信要求に応じて、その通信要求の宛先に通信要求を送信する。 The OS kernel 24 is a control unit that controls the processing operation of each unit included in the user terminal 20. When a processing operation is performed in the user terminal 20, an operation request is input to the OS kernel 24, and each part of the hardware is operated by the OS kernel 24.
The communication unit 25 communicates with the VPN relay server 10. For example, in response to a communication request input from the OS kernel 24, the communication unit 25 transmits a communication request to the destination of the communication request.

VPNアプリケーション制御部26は、VPN中継サーバ10を介して情報サーバ32と行う通信動作を制御する。例えば、VPNアプリケーション制御部26は、カードリーダ40によってICカードから読み出された情報に基づいて、ICカードが予めVPN中継サーバ10を利用することが定められたユーザに発行されたものであるか否かを判定する。また、VPNアプリケーション制御部26は、VPN中継サーバ10に接続するためのユーザIDとユーザアカウントとの入力を受け付け、入力されたユーザIDとユーザアカウントとが含まれる認証要求をVPN中継サーバ10に送信する。そして、VPN中継サーバ10によって認証成功と判定されると、VPN中継サーバ10にセキュリティポリシと接続リストとを要求する。また、送信した要求に応じて、VPN中継サーバ10から送信されるセキュリティポリシと接続リストとを受信し、セキュリティポリシをセキュリティポリシ記憶部22に記憶させ、接続リストを接続リスト記憶部23に記憶させる。   The VPN application control unit 26 controls communication operations performed with the information server 32 via the VPN relay server 10. For example, is the VPN application control unit 26 issued based on information read from the IC card by the card reader 40 to the user who is determined to use the VPN relay server 10 in advance? Determine whether or not. The VPN application control unit 26 receives an input of a user ID and a user account for connecting to the VPN relay server 10 and transmits an authentication request including the input user ID and user account to the VPN relay server 10. To do. When the VPN relay server 10 determines that the authentication is successful, the VPN relay server 10 is requested for a security policy and a connection list. Also, in response to the transmitted request, the security policy and connection list transmitted from the VPN relay server 10 are received, the security policy is stored in the security policy storage unit 22, and the connection list is stored in the connection list storage unit 23. .

また、VPNアプリケーション制御部26は、接続リスト記憶部23に記憶されている接続リストを、ユーザ端末20が備える表示部に表示させる。図6は、ユーザ端末20の表示部に表示させる接続リストの画面例を示す図である。ここでは、接続リストに含まれる接続先はアプリケーションに対応するため、画面には「アプリケーションメニュー」として表示させている。VPNアプリケーション制御部26は、表示させたアプリケーションのうち、いずれかの項目が選択されて押下されると、そのアプリケーションに対応する情報サーバ32を宛先とする通信要求を、OSカーネル24に入力する。これに応じて通信要求が情報サーバ32に送信され、接続されると、ユーザ端末20には、選択されたアプリケーションを動作するプロセスが起動される。このようなプロセスが、例えばウェブサーバである情報サーバ32と通信を行うインターネットブラウザであれば、そのインターネットブラウザに表示されるHTML(HyperText Markup Language)ページに含まれるリンクは、情報サーバ32のIPアドレスを示すものである。しかし、このIPアドレスは、拠点30内におけるIPアドレスであるため、このIPアドレスを宛先として通信要求を送信しても、情報サーバ32には到達しない。そこで、宛先変換部27により宛先を変換する。   Further, the VPN application control unit 26 displays the connection list stored in the connection list storage unit 23 on the display unit included in the user terminal 20. FIG. 6 is a diagram illustrating a screen example of a connection list displayed on the display unit of the user terminal 20. Here, since the connection destination included in the connection list corresponds to the application, it is displayed on the screen as an “application menu”. When one of the displayed applications is selected and pressed, the VPN application control unit 26 inputs a communication request addressed to the information server 32 corresponding to the application to the OS kernel 24. In response to this, when a communication request is transmitted to the information server 32 and connected, a process for operating the selected application is activated in the user terminal 20. If such a process is, for example, an Internet browser that communicates with an information server 32 that is a web server, the link contained in the HTML (HyperText Markup Language) page displayed on the Internet browser is the IP address of the information server 32. Is shown. However, since this IP address is an IP address in the base 30, even if a communication request is transmitted with this IP address as the destination, the information server 32 is not reached. Therefore, the destination conversion unit 27 converts the destination.

宛先変換部27は、OSカーネル24に入力される通信要求を監視し、情報サーバ32を宛先とする通信要求がOSカーネル24に入力されると、接続リスト記憶部23の記憶領域に記憶されている接続リストから、対応するユーザ端末側VIPを読み出し、その通信要求の宛先を、対応するVPN中継サーバ10のユーザ端末側VIPに書き換えて、通信部25に送信させる。
ここで、宛先変換部27は、OSカーネル24に通信要求を入力したプロセスが、接続リストに基づいて起動されたプロセスまたはそのプロセスの子プロセスであるか否かを判定する。ここで、接続リストに基づいて起動されたプロセスまたはそのプロセスの子プロセスであると判定した場合、その通信要求の宛先を、対応するVPN中継サーバ10のユーザ端末側VIPに書き換える。 The destination conversion unit 27 monitors a communication request input to the OS kernel 24. When a communication request destined for the information server 32 is input to the OS kernel 24, the destination conversion unit 27 stores the communication request in the storage area of the connection list storage unit 23. The corresponding user terminal side VIP is read out from the connected list, and the destination of the communication request is rewritten to the user terminal side VIP of the corresponding VPN relay server 10 and transmitted to the communication unit 25.
Here, the destination conversion unit 27 determines whether the process that has input the communication request to the OS kernel 24 is a process started based on the connection list or a child process of the process. Here, when it is determined that the process is started based on the connection list or a child process of the process, the destination of the communication request is rewritten to the user terminal side VIP of the corresponding VPN relay server 10.

アプリケーション制御部28は、ユーザ端末20の記憶領域に記憶されているアプリケーションプログラムに基づいて、ユーザ端末20の動作制御を行う。例えば、ユーザ端末20の記憶領域に記憶されている文章作成プログラム、表計算プログラム等が存在する。
動作抑止部29は、セキュリティポリシ記憶部22に記憶されているセキュリティポリシに基づいて、ユーザ端末20の動作を制御する。例えば、動作抑止部29は、OSカーネル24に入力される動作要求を監視し、動作要求が入力されると、セキュリティポリシ記憶部22に記憶されているセキュリティポリシと比較して、入力された動作要求が許可されていない場合、その動作要求を破棄し、動作させない。これにより、VPN回線を介して利用する情報が、ユーザ端末20の記憶領域に残存することを防ぐことが可能となり、ユーザ端末20をシンクライアント端末として利用することができる。
カードリーダ40は、ICカードに記憶されている情報を読み込む。 The application control unit 28 controls the operation of the user terminal 20 based on the application program stored in the storage area of the user terminal 20. For example, there are a sentence creation program and a spreadsheet program stored in the storage area of the user terminal 20.
The operation suppression unit 29 controls the operation of the user terminal 20 based on the security policy stored in the security policy storage unit 22. For example, the operation suppression unit 29 monitors an operation request input to the OS kernel 24, and when the operation request is input, the operation suppression unit 29 compares the security policy stored in the security policy storage unit 22 with the input operation. If the request is not permitted, the operation request is discarded and the operation is not performed. As a result, it is possible to prevent information used via the VPN line from remaining in the storage area of the user terminal 20, and the user terminal 20 can be used as a thin client terminal.
The card reader 40 reads information stored in the IC card.

次に、図面を参照して、本実施形態によるVPNシステム1の動作例を説明する。図7は、ユーザ端末20が情報サーバ32−1と通信を行う動作例を示すシーケンス図である。
ユーザがカードリーダ40にICカードを近接させると、カードリーダ40はICカードに記憶されている情報を読み込む。VPNアプリケーション制御部26は、カードリーダ40が読み込んだICカードの情報に基づいて、ICカードがVPN中継サーバ10のユーザに予め発行されたものであるか否かを判定する。VPNアプリケーション制御部26が、ICカードがVPN中継サーバ10のユーザに予め発行されたものでないと判定すれば、処理を終了する。 Next, an operation example of the VPN system 1 according to the present embodiment will be described with reference to the drawings. FIG. 7 is a sequence diagram illustrating an operation example in which the user terminal 20 communicates with the information server 32-1.
When the user brings the IC card close to the card reader 40, the card reader 40 reads information stored in the IC card. The VPN application control unit 26 determines whether or not the IC card has been issued in advance to the user of the VPN relay server 10 based on the IC card information read by the card reader 40. If the VPN application control unit 26 determines that the IC card has not been issued in advance to the user of the VPN relay server 10, the process is terminated.

VPNアプリケーション制御部26が、ICカードがVPN中継サーバ10のユーザに予め発行されたものであると判定すれば、ユーザIDとパスワードとの入力を受け付ける。VPNアプリケーション制御部26は、入力されたユーザIDとパスワードとが含まれる認証要求を、VPN中継サーバ10に送信する(ステップS1)。VPN中継サーバ10のユーザ通信部18が、ユーザ端末20から送信された認証要求を受信すると、ユーザ制御部15が、認証要求に応じて認証処理を行う。VPN中継サーバ10のユーザ制御部15が認証失敗と判定すれば、エラーとして処理を終了する。VPN中継サーバ10のユーザ制御部15が、認証成功と判定すれば、ユーザVPN通信部14が、ユーザ端末20との間でVPN回線を接続する(ステップS2)。   If the VPN application control unit 26 determines that the IC card has been issued in advance to the user of the VPN relay server 10, it accepts input of a user ID and a password. The VPN application control unit 26 transmits an authentication request including the input user ID and password to the VPN relay server 10 (step S1). When the user communication unit 18 of the VPN relay server 10 receives the authentication request transmitted from the user terminal 20, the user control unit 15 performs an authentication process in response to the authentication request. If the user control unit 15 of the VPN relay server 10 determines that the authentication has failed, the process ends as an error. If the user control unit 15 of the VPN relay server 10 determines that the authentication is successful, the user VPN communication unit 14 connects a VPN line with the user terminal 20 (step S2).

VPN中継サーバ10のユーザ制御部15は、認証成功したユーザIDに対応付けられて接続リスト記憶部12に記憶されている接続リストと、セキュリティポリシ記憶部13に記憶されているセキュリティポリシとを読み出し、読み出した接続リストとセキュリティポリシとを、ユーザ通信部18を介してユーザ端末20に送信する(ステップS3)。VPNアプリケーション制御部26は、VPN中継サーバ10から受信した接続リストを接続リスト記憶部23に記憶させ、セキュリティポリシをセキュリティポリシ記憶部22に記憶させる。   The user control unit 15 of the VPN relay server 10 reads the connection list stored in the connection list storage unit 12 in association with the user ID that has been successfully authenticated, and the security policy stored in the security policy storage unit 13. The read connection list and the security policy are transmitted to the user terminal 20 via the user communication unit 18 (step S3). The VPN application control unit 26 stores the connection list received from the VPN relay server 10 in the connection list storage unit 23 and stores the security policy in the security policy storage unit 22.

ユーザ端末20のVPNアプリケーション制御部26は、接続リスト記憶部23に記憶されている接続リストを読み出し、アプリケーションの選択画面を表示部に表示させる。そして、VPNアプリケーション制御部26は、いずれかのアプリケーションの選択を受け付ける(ステップS4)。VPNアプリケーション制御部26は、選択したアプリケーションに応じた情報サーバ32に対する通信要求を、VPN中継サーバ10に送信する(ステップS5)。VPN中継サーバ10の中継部17は、ユーザ端末20から送信された通信要求を受信すると、その情報サーバ32に対応するGW31のVIPを対応関係記憶部16から読み出し(ステップS6)、読み出したVIPを宛先として通信要求を送信する(ステップS7)。情報サーバ32は、通信要求を受信すると、応答を送信する(ステップS8)。VPN中継サーバ10は、通信要求を送信したユーザ端末20に、ユーザVPN通信部14を介して情報サーバ32からの応答を転送し、VPN回線によりユーザ端末20と情報サーバ32との通信を中継する(ステップS9)。   The VPN application control unit 26 of the user terminal 20 reads the connection list stored in the connection list storage unit 23 and causes the display unit to display an application selection screen. Then, the VPN application control unit 26 accepts selection of any application (step S4). The VPN application control unit 26 transmits a communication request to the information server 32 corresponding to the selected application to the VPN relay server 10 (step S5). When receiving the communication request transmitted from the user terminal 20, the relay unit 17 of the VPN relay server 10 reads the VIP of the GW 31 corresponding to the information server 32 from the correspondence storage unit 16 (step S6), and reads the read VIP. A communication request is transmitted as a destination (step S7). When receiving the communication request, the information server 32 transmits a response (step S8). The VPN relay server 10 transfers a response from the information server 32 to the user terminal 20 that has transmitted the communication request via the user VPN communication unit 14 and relays communication between the user terminal 20 and the information server 32 through the VPN line. (Step S9).

ここでは、VPN中継サーバ10のサーバ通信部11と拠点30内のGW31との間には予めVPN接続がなされているものとして説明したが、実施例はこれに限らない。例えば、ステップS5において、VPN中継サーバ10がユーザ端末20から情報サーバ32への通信要求を受信すると、通信要求に対応する情報サーバ32に接続されたGW31との間でのVPN接続の有無を判定し、VPN接続が存在しない場合にはVPN接続を行い、情報サーバ32との通信を行うようにしても良い。   Here, although it has been described that the VPN connection is made in advance between the server communication unit 11 of the VPN relay server 10 and the GW 31 in the base 30, the embodiment is not limited thereto. For example, when the VPN relay server 10 receives a communication request from the user terminal 20 to the information server 32 in step S5, it is determined whether there is a VPN connection with the GW 31 connected to the information server 32 corresponding to the communication request. If there is no VPN connection, a VPN connection may be made to communicate with the information server 32.

次に、図8を参照して、ユーザ端末20において宛先変換部27が行う宛先変換処理の動作例を説明する。
宛先変換部27は、OSカーネル24に入力される要求を監視する(ステップS10)。OSカーネル24に入力された動作要求が通信要求でなければ(ステップS11:NO)、処理を終了する。OSカーネル24に入力された動作要求が通信要求であれば(ステップS11:YES)、宛先変換部27は、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものであるか否かを判定する(ステップS12)。 Next, an operation example of the destination conversion process performed by the destination conversion unit 27 in the user terminal 20 will be described with reference to FIG.
The destination conversion unit 27 monitors a request input to the OS kernel 24 (step S10). If the operation request input to the OS kernel 24 is not a communication request (step S11: NO), the process is terminated. If the operation request input to the OS kernel 24 is a communication request (step S11: YES), the destination conversion unit 27 has the process ID of the process requesting the communication request activated by the VPN application control unit 26. It is determined whether it is a thing (step S12).

宛先変換部27が、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものでないと判定すると(ステップS12:NO)、ステップS14に進む。宛先変換部27が、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものであると判定すると(ステップS12:YES)、接続リスト記憶部23に記憶されている接続リストを読み出し、通信要求の宛先である情報サーバ32のIPアドレスを、対応するVPN中継サーバ10のユーザ端末側VIPに書き換える(ステップS13)。OSカーネル24は、通信要求を通信部25に送信させる(ステップS14)。   If the destination conversion unit 27 determines that the process ID of the process that is the request source of the communication request is not activated by the VPN application control unit 26 (step S12: NO), the process proceeds to step S14. If the destination conversion unit 27 determines that the process ID of the process requesting the communication request is started by the VPN application control unit 26 (step S12: YES), the process is stored in the connection list storage unit 23. And the IP address of the information server 32 that is the destination of the communication request is rewritten to the user terminal side VIP of the corresponding VPN relay server 10 (step S13). The OS kernel 24 transmits a communication request to the communication unit 25 (step S14).

次に、図9を参照して、ユーザ端末20において動作抑止部29が行う動作抑止処理の動作例を説明する。
動作抑止部29は、OSカーネル24に入力される要求を監視する(ステップS21)。OSカーネル24に動作要求が入力されなければ(ステップS22:NO)、処理を終了する。OSカーネル24に動作要求が入力されれば(ステップS22:YES)、動作抑止部29は、セキュリティポリシ記憶部22に記憶されているセキュリティポリシを読み出し、動作要求はセキュリティポリシに定められた動作であるか否かを判定する(ステップS23)。 Next, with reference to FIG. 9, an operation example of the operation suppression process performed by the operation suppression unit 29 in the user terminal 20 will be described.
The operation suppression unit 29 monitors a request input to the OS kernel 24 (step S21). If no operation request is input to the OS kernel 24 (step S22: NO), the process ends. If an operation request is input to the OS kernel 24 (step S22: YES), the operation suppression unit 29 reads the security policy stored in the security policy storage unit 22, and the operation request is an operation defined in the security policy. It is determined whether or not there is (step S23).

動作抑止部29が、入力された動作要求はセキュリティポリシに定められた動作でないと判定すると(ステップS23:NO)、ステップS26に進む。動作抑止部29が、入力された動作要求はセキュリティポリシに定められた動作であると判定すると(ステップS23:YES)、その動作が許可されているか否かを判定する(ステップS24)。動作抑止部29は、動作が許可されていないと判定すると(ステップS24:NO)、その動作要求を破棄し、動作させない(ステップS25)。動作抑止部29は、動作が許可されていると判定すると(ステップS24:YES)、その動作要求をOSカーネル24に実行させ、動作させる(ステップS26)。   If the operation suppression unit 29 determines that the input operation request is not an operation defined in the security policy (step S23: NO), the process proceeds to step S26. If the operation suppression unit 29 determines that the input operation request is an operation defined in the security policy (step S23: YES), it determines whether the operation is permitted (step S24). When determining that the operation is not permitted (step S24: NO), the operation suppression unit 29 discards the operation request and does not operate (step S25). When determining that the operation is permitted (step S24: YES), the operation suppression unit 29 causes the OS kernel 24 to execute the operation request and operate the operation (step S26).

なお、本実施形態では、1台のコンピュータ装置であるVPN中継サーバ10が、サーバ通信部11から中継部17の機能部の全てを備えるとして説明したが、機能や規模に応じて、異なるコンピュータが機能部を備えるように構成することができる。例えば、ユーザのログイン認証を行う認証サーバ、ログイン認証が成功したユーザに対応する接続リストをユーザ端末20に送信するメニューサーバ、ユーザ端末20と拠点30との通信中継を行う中継サーバとを異なるコンピュータ装置に構成することができる。   In the present embodiment, the VPN relay server 10 that is one computer device has been described as including all of the functional units from the server communication unit 11 to the relay unit 17, but different computers may be used depending on functions and scales. It can comprise so that a functional part may be provided. For example, different computers are used as an authentication server that performs user login authentication, a menu server that transmits a connection list corresponding to a user who has successfully performed login authentication to the user terminal 20, and a relay server that relays communication between the user terminal 20 and the base 30 The device can be configured.

また、本実施形態では、ユーザ端末20がVPN中継サーバ10と通信を行うためのセキュリティポリシ記憶部22、接続リスト記憶部23、OSカーネル24、VPNアプリケーション制御部26、宛先変換部27、動作抑止部29の機能部は、ユーザ端末20が予め備えることとしたが、これらの機能部を構成する制御プログラムをカードリーダ40の記憶領域に記憶させておき、カードリーダ40がユーザ端末20に接続された際に、ユーザ端末20にインストールされるようにしても良い。この場合、カードリーダ40がユーザ端末20に接続されると、ユーザ端末20のアプリケーション制御部28が、カードリーダ40に記憶された制御プログラムを読み出し、インストールして各機能部を構成する。これにより、ユーザはカードリーダ40を持っていれば、ユーザ端末20が予め各機能部を備えるものでなくとも、カードリーダ40をユーザ端末20に接続させて制御プログラムをインストールさせることにより、VPN中継サーバ10のクライアント端末として動作させることができる。   In the present embodiment, the security policy storage unit 22, the connection list storage unit 23, the OS kernel 24, the VPN application control unit 26, the destination conversion unit 27, and the operation suppression for the user terminal 20 to communicate with the VPN relay server 10. The functional units of the unit 29 are provided in the user terminal 20 in advance. However, the control program constituting these functional units is stored in the storage area of the card reader 40, and the card reader 40 is connected to the user terminal 20. May be installed in the user terminal 20. In this case, when the card reader 40 is connected to the user terminal 20, the application control unit 28 of the user terminal 20 reads and installs the control program stored in the card reader 40 to configure each functional unit. As a result, if the user has the card reader 40, the VPN relay is performed by connecting the card reader 40 to the user terminal 20 and installing the control program even if the user terminal 20 does not include each function unit in advance. It can be operated as a client terminal of the server 10.

以上説明したように、本実施形態によれば、ユーザ端末20は、VPN中継サーバ10に接続することにより、VPN回線を介して複数のGW31に接続し、複数拠点の情報サーバ32と通信を行うことが可能となる。特に近年では、SaaSやASP等と呼ばれるようなクラウド形式により提供されるアプリケーションが増えてきており、このようなアプリケーションを利用するためにVPN回線により接続する場合がある。このような場合に、ユーザ端末20がアプリケーション毎に対応するVPN回線を接続することなく、VPN中継サーバ10に接続することにより、アプリケーションを利用することができる。また、ユーザ毎にセキュリティポリシや接続リストを定めることが可能であるため、VPN中継サーバ10の接続リスト記憶部12やセキュリティポリシ記憶部13に記憶されている情報を管理することで、VPNシステム1に接続してくるユーザ端末20の動作を一括して管理することが可能となる。   As described above, according to the present embodiment, the user terminal 20 connects to the plurality of GWs 31 via the VPN line by communicating with the VPN relay server 10 and communicates with the information servers 32 at the plurality of bases. It becomes possible. In particular, in recent years, applications provided in a cloud format called SaaS, ASP, and the like are increasing, and there are cases where connection is made through a VPN line in order to use such applications. In such a case, the user terminal 20 can use the application by connecting to the VPN relay server 10 without connecting the VPN line corresponding to each application. Further, since it is possible to define a security policy and a connection list for each user, the VPN system 1 is managed by managing information stored in the connection list storage unit 12 and the security policy storage unit 13 of the VPN relay server 10. It is possible to collectively manage the operations of the user terminals 20 connected to the.

なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりVPN接続を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   The program for realizing the function of the processing unit in the present invention is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into the computer system and executed to make a VPN connection. May be. Here, the “computer system” includes an OS and hardware such as peripheral devices. The “computer system” includes a WWW system having a homepage providing environment (or display environment). The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。   The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

1 VPNシステム
10 VPN中継サーバ
11 サーバ通信部
12 接続リスト記憶部
13 セキュリティポリシ記憶部
14 ユーザVPN通信部
15 ユーザ制御部
16 対応関係記憶部
17 中継部
18 ユーザ通信部
20 ユーザ端末
21 プロセス記憶部
22 セキュリティポリシ記憶部
23 接続リスト記憶部
24 OSカーネル
25 通信部
26 VPNアプリケーション制御部
27 宛先変換部
28 アプリケーション制御部
29 動作抑止部
30 拠点
31 GW
32 情報サーバ
40 カードリーダ DESCRIPTION OF SYMBOLS 1 VPN system 10 VPN relay server 11 Server communication part 12 Connection list memory | storage part 13 Security policy memory | storage part 14 User VPN communication part 15 User control part 16 Correspondence relationship memory | storage part 17 Relay part 18 User communication part 20 User terminal 21 Process memory part 22 Security policy storage unit 23 Connection list storage unit 24 OS kernel 25 Communication unit 26 VPN application control unit 27 Destination conversion unit 28 Application control unit 29 Operation suppression unit 30 Base 31 GW
32 Information server 40 Card reader

Claims (7)

ユーザのユーザ端末と、当該ユーザ端末にネットワークを介して接続されたVPN中継サーバとを備えたVPNシステムであって、
前記VPN中継サーバは、
複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、
前記ユーザと、複数の前記情報サーバのうち、当該ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、
前記ユーザ端末からの要求に応じて、当該ユーザ端末と第2のVPN回線を介して接続するユーザ通信部と、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記接続リストを当該ユーザ端末に送信する接続リスト送信部と、
前記ユーザ端末から、前記接続リストに含まれる前記情報サーバに対する通信要求を受信すると、前記第1のVPN回線および前記第2のVPN回線を介して、当該ユーザ端末と当該情報サーバとの通信を中継する中継部と、
を備えることを特徴とするVPNシステム。 A VPN system comprising a user terminal of a user and a VPN relay server connected to the user terminal via a network,
The VPN relay server is
A server communication unit connected to a plurality of information servers via a first VPN line;
A connection list storage unit storing a connection list in which the user and an information server that accepts a connection from the user terminal among the plurality of information servers are associated;
In response to a request from the user terminal, a user communication unit connected to the user terminal via a second VPN line;
A connection list transmitting unit that transmits the connection list corresponding to the user to the user terminal in response to a request from the user terminal;
When a communication request to the information server included in the connection list is received from the user terminal, the communication between the user terminal and the information server is relayed via the first VPN line and the second VPN line. A relay section to
A VPN system comprising: 前記ユーザ端末は、
入力される通信要求に応じて、当該通信要求の宛先に当該通信要求を送信する通信部と、
前記通信部に、前記情報サーバを宛先とする通信要求が入力されると、当該通信要求の宛先を前記VPN中継サーバに書き換えて前記通信部に送信させる宛先変換部と、
を備えることを特徴とする請求項1に記載のVPNシステム。 The user terminal is
A communication unit that transmits the communication request to a destination of the communication request in response to the input communication request;
When a communication request addressed to the information server is input to the communication unit, a destination conversion unit that rewrites the destination of the communication request to the VPN relay server and transmits the communication request to the communication unit;
The VPN system according to claim 1, comprising: 前記ユーザ端末は、
自身のハードウェアリソース上において動作するプロセスを識別するプロセス識別情報と、当該プロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶されるプロセス記憶部を備え、
前記宛先変換部は、前記通信部に前記通信要求を入力したプロセスが、前記接続リストに基づいて起動されたプロセスまたは当該プロセスの子プロセスであるか否かを判定し、前記接続リストに基づいて起動されたプロセスまたは当該プロセスの子プロセスであると判定した場合、当該通信要求の宛先を前記VPN中継サーバに書き換える
ことを特徴とする請求項2に記載のVPNシステム。 The user terminal is
A process storage unit for storing process identification information for identifying a process operating on its own hardware resource and child process identification information for identifying a child process of the process in association with each other;
The destination conversion unit determines whether the process that has input the communication request to the communication unit is a process started based on the connection list or a child process of the process, and based on the connection list The VPN system according to claim 2, wherein when it is determined that the process is a started process or a child process of the process, the destination of the communication request is rewritten to the VPN relay server. 前記VPN中継サーバは、
前記ユーザと、前記ユーザ端末が行う処理動作のうち、当該ユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている第1のセキュリティポリシ記憶部と、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記セキュリティポリシを当該ユーザ端末に送信するセキュリティポリシ送信部と、を備え、
前記ユーザ端末は、
前記セキュリティポリシが記憶される第2のセキュリティポリシ記憶部と、
前記VPN中継サーバに前記セキュリティポリシを要求し、当該要求に応じて前記VPN中継サーバから送信される前記セキュリティポリシを受信して前記第2のセキュリティポリシ記憶部に記憶させるセキュリティポリシ登録部と、
前記第2のセキュリティポリシ記憶部に記憶されている前記セキュリティポリシに基づいて、当該ユーザ端末の動作を制御する動作抑止部と、
を備えることを特徴とする請求項1から請求項3までのいずれか1項に記載のVPNシステム。 The VPN relay server is
A first security policy storage unit that stores a security policy that associates the user with an operation that is permitted to operate in response to a request from the user among processing operations performed by the user terminal. When,
A security policy transmission unit that transmits the security policy corresponding to the user to the user terminal in response to a request from the user terminal;
The user terminal is
A second security policy storage unit for storing the security policy;
A security policy registration unit that requests the security policy from the VPN relay server, receives the security policy transmitted from the VPN relay server in response to the request, and stores the security policy in the second security policy storage unit;
An operation suppression unit that controls the operation of the user terminal based on the security policy stored in the second security policy storage unit;
The VPN system according to any one of claims 1 to 3, further comprising: 前記セキュリティポリシには、前記ユーザ端末が備えるハードウェアリソース毎に、動作の可否が対応付けられている
ことを特徴とする請求項4に記載のVPNシステム。 The VPN system according to claim 4, wherein the security policy is associated with availability of operation for each hardware resource included in the user terminal. 前記ユーザ端末は、
前記ユーザ端末を、前記宛先変換部と前記動作抑止部との少なくともいずれかとして機能させる制御プログラムが記憶されている記憶媒体から、当該制御プログラムを読み出し、当該制御プログラムに基づいて前記宛先変換部と前記動作抑止部との少なくともいずれかを構成するインストール制御部
を備えることを特徴とする請求項2から請求項5までのいずれか1項に記載のVPNシステム。 The user terminal is
The control program is read from a storage medium storing a control program that causes the user terminal to function as at least one of the destination conversion unit and the operation suppression unit. Based on the control program, the destination conversion unit The VPN system according to any one of claims 2 to 5, further comprising an installation control unit that constitutes at least one of the operation suppression unit. ユーザのユーザ端末と、当該ユーザ端末にネットワークを介して接続され、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、前記ユーザと、複数の前記情報サーバのうち、当該ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、を備えたVPN中継サーバとを備えたVPNシステムの、
前記VPN中継サーバが、
前記ユーザ端末からの要求に応じて、当該ユーザ端末と第2のVPN回線を介して接続するステップと、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記接続リストを当該ユーザ端末に送信するステップと、
前記ユーザ端末から、前記接続リストに含まれる前記情報サーバに対する通信要求を受信すると、前記第1のVPN回線および前記第2のVPN回線を介して、当該ユーザ端末と当該情報サーバとの通信を中継するステップと、
を備えることを特徴とするVPN接続方法。 A user terminal of a user, a server communication unit connected to the user terminal via a network, and connected to a plurality of information servers via a first VPN line; the user; and the plurality of information servers, A VPN system comprising: a connection list storage unit that stores a connection list associated with an information server that accepts a connection from the user terminal of the user;
The VPN relay server is
Connecting to the user terminal via a second VPN line in response to a request from the user terminal;
Transmitting the connection list corresponding to the user to the user terminal in response to a request from the user terminal;
When a communication request to the information server included in the connection list is received from the user terminal, the communication between the user terminal and the information server is relayed via the first VPN line and the second VPN line. And steps to
A VPN connection method comprising:
JP2011216893A 2011-09-30 2011-09-30 Vpn system and vpn connection method Pending JP2013077995A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011216893A JP2013077995A (en) 2011-09-30 2011-09-30 Vpn system and vpn connection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011216893A JP2013077995A (en) 2011-09-30 2011-09-30 Vpn system and vpn connection method

Publications (1)

Publication Number Publication Date
JP2013077995A true JP2013077995A (en) 2013-04-25

Family

ID=48481154

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011216893A Pending JP2013077995A (en) 2011-09-30 2011-09-30 Vpn system and vpn connection method

Country Status (1)

Country Link
JP (1) JP2013077995A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015142227A (en) * 2014-01-28 2015-08-03 富士通株式会社 Communication control device, communication control method, and communication control program

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077275A (en) * 2000-09-04 2002-03-15 Nippon Telegr & Teleph Corp <Ntt> Inter-closed network connection system, inter-closed network connection method, and storage medium with processing program therefor stored thereon, and hosting service system
JP2004153366A (en) * 2002-10-29 2004-05-27 Crc Solutions Corp Virtual private network (vpn) system and relay node
WO2006043463A1 (en) * 2004-10-19 2006-04-27 Nec Corporation Vpn gateway device and hosting system
JP2007202036A (en) * 2006-01-30 2007-08-09 Fujitsu Ltd Packet repeating method and packet repeating system
JP2007281919A (en) * 2006-04-07 2007-10-25 Shinshu Univ Communication system on public line for performing access restriction, terminal connection apparatus, and server connection restriction apparatus
JP2009089062A (en) * 2007-09-28 2009-04-23 Fuji Xerox Co Ltd Virtual network system and virtual network connection device
JP2011100207A (en) * 2009-11-04 2011-05-19 Nippon Yunishisu Kk Remote access device, program, method and system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077275A (en) * 2000-09-04 2002-03-15 Nippon Telegr & Teleph Corp <Ntt> Inter-closed network connection system, inter-closed network connection method, and storage medium with processing program therefor stored thereon, and hosting service system
JP2004153366A (en) * 2002-10-29 2004-05-27 Crc Solutions Corp Virtual private network (vpn) system and relay node
WO2006043463A1 (en) * 2004-10-19 2006-04-27 Nec Corporation Vpn gateway device and hosting system
JP2007202036A (en) * 2006-01-30 2007-08-09 Fujitsu Ltd Packet repeating method and packet repeating system
JP2007281919A (en) * 2006-04-07 2007-10-25 Shinshu Univ Communication system on public line for performing access restriction, terminal connection apparatus, and server connection restriction apparatus
JP2009089062A (en) * 2007-09-28 2009-04-23 Fuji Xerox Co Ltd Virtual network system and virtual network connection device
JP2011100207A (en) * 2009-11-04 2011-05-19 Nippon Yunishisu Kk Remote access device, program, method and system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"「プロキシサーバー」って何のこと?", 日経トレンディネット, JPN6015011816, 9 September 2003 (2003-09-09), ISSN: 0003038391 *
"LGPセキュリティ管理術", WINDOWS SERVER WORLD, vol. 14, no. 8, JPN6014051541, 1 August 2009 (2009-08-01), JP, ISSN: 0002959349 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015142227A (en) * 2014-01-28 2015-08-03 富士通株式会社 Communication control device, communication control method, and communication control program

Similar Documents

Publication Publication Date Title
TWI380663B (en) Method and system for secure binding register name identifier profile
US10063539B2 (en) SSO functionality by means of a temporary password and out-of-band communications
JP4882546B2 (en) Information processing system and control program
JP5296726B2 (en) Web content providing system, web server, content providing method, and programs thereof
US9621559B2 (en) Network apparatus for secure remote access and control
WO2018010146A1 (en) Response method, apparatus and system in virtual network computing authentication, and proxy server
US20130262696A1 (en) Proxy server apparatus, client terminal apparatus, remote access system, transfer control method, access method, and recording medium
KR20080053298A (en) Creating secure interactive connections with remote resources
US9577982B2 (en) Method and apparatus for extending remote network visibility of the push functionality
JP2007310512A (en) Communication system, service providing server, and user authentication server
EP3662643B1 (en) Automated address failover for receivers and browsers using a cloud service
JP6287213B2 (en) Proxy login device, terminal, control method, and program
US7784085B2 (en) Enabling identity information exchange between circles of trust
JP4038684B2 (en) Remote control system using Web and icons
JP2007140975A (en) Service providing system, linkage information providing server, authentication server, service providing server, service providing method and program
US9590990B2 (en) Assigning user requests of different types or protocols to a user by trust association interceptors
JP2013077995A (en) Vpn system and vpn connection method
JP2005157822A (en) Communication control device, application server, communication control method, and program
JP6055546B2 (en) Authentication apparatus, authentication method, and program
JP4389232B2 (en) WEB system, server, proxy server, communication method and program
JP4837060B2 (en) Authentication apparatus and program
JP2011023878A (en) Network connection method and network gateway
JP5613144B2 (en) Network device maintenance method and network device maintenance system
JP2017194771A (en) Authentication management device and program
JP5460493B2 (en) Authentication system, authentication infrastructure device, and authentication program

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20130516

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130816

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150206

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150401