JP2016066298A - 中継装置、通信システム、情報処理方法、及び、プログラム - Google Patents
中継装置、通信システム、情報処理方法、及び、プログラム Download PDFInfo
- Publication number
- JP2016066298A JP2016066298A JP2014195552A JP2014195552A JP2016066298A JP 2016066298 A JP2016066298 A JP 2016066298A JP 2014195552 A JP2014195552 A JP 2014195552A JP 2014195552 A JP2014195552 A JP 2014195552A JP 2016066298 A JP2016066298 A JP 2016066298A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- data
- relay
- relay device
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】インターネット等の通信網へのアクセスに関し、アクセス元の通信アドレスが変動しても、アクセス先が、アクセス元に基づくアクセス制限を行うことを可能にする情報通信技術を提供することを課題とする。【解決手段】インターネットNの通信を中継する中継装置1に、インターネットNと通信可能なローカルネットワークLに設置されたVPNサービスアダプタ5と関連付けて、当該VPNサービスアダプタ5を経由した通信を他の通信と識別するグローバルIPアドレスを記憶する中継データベースD11と、VPNサービスアダプタ5から転送されたIPパケットを受信した場合に、転送元のVPNサービスアダプタ5に関連付けられたグローバルIPアドレスを送信元IPアドレスとしたIPパケットを、当該受信したIPパケットの宛先へ送信して中継する中継部F12を備えた。【選択図】図5
Description
本発明は、中継装置、通信システム、情報処理方法、及び、プログラムに関する。
インターネット等の広域の通信網を介して、オンラインバンキングや電子商取引等の各種オンラインサービスが提供されている。オンラインサービスのユーザを認証するために、例えば、パスワード等の認証情報が用いられている。
近年、キーボードからの入力を監視して記録するキーロガーや、正規のオンラインサービスを提供するサイト等を装う偽装サイト等が用いられて、パスワード等の認証情報が詐取されることがある。そして、詐取された認証情報が悪用され、なりすましによるオンラインサービスの不正利用等が行われることがある。
従来、上述のなりすましを抑制するための技術として、トークンと呼ばれる専用機器により生成された、一度限り有効な認証情報であるワンタイムパスワードを用いた認証技術が提案されている(例えば特許文献1を参照)。また、予め登録されたIP(Internet Protocol)アドレスをアクセス元とするアクセスがあった場合に、オンラインバンキングサービスの取引の実行を許可する認証方法が提案されている(例えば非特許文献1を参照)。ワンタイムパスワードを用いた認証技術では、例えば、オンラインサービスの利用の都度、ワンタイムパスワードの生成操作や入力操作が求められるため、ユーザの操作負担が生じ得る。予め登録されたIPアドレスを用いた認証技術では、このようなユーザの操作負担を軽減することができる。
"IP制限サービス|セキュリティ|楽天銀行"、[online]、楽天銀行株式会社、[平成26年9月9日検索]、インターネット<URL:http://www.rakuten-bank.co.jp/security/howto/enhanced/ip_limit/>
いわゆるホームネットワーク等における一般的なインターネットの接続環境では、ISP(Internet Service Provider)等により割り当てられるグローバルIPアドレスが変動し得る。そのため、上述の予め登録されたIPアドレスを用いた認証方法が有効に機能しない場合がある。例えば、正規のユーザが操作する端末であっても、予め登録されたIPアドレスと異なったグローバルIPアドレスがインターネットの通信に割り当てられてしまうと、認証が失敗してオンラインサービスが利用不可能となる。
このような状況に鑑み、本発明は、インターネット等の通信網へのアクセスに関し、アクセス元の通信アドレスが変動しても、アクセス先が、アクセス元に基づくアクセス制限を行うことを可能にする情報通信技術を提供することを課題とする。
本発明では、上記課題を解決するために、以下の手段を採用した。すなわち、本発明は、通信網の通信を中継する中継装置によって例示できる。この中継装置は、通信網と通信可能なローカルネットワークに設置された転送装置と関連付けて、当該転送装置を経由した通信を他の通信と識別する通信識別情報を記憶する通信識別情報記憶手段と、転送装置から転送されたデータを受信した場合に、受信したデータとともに、転送元の転送装置に関連付けられた通信識別情報を、受信したデータの宛先へ送信して、データを中継する中継手段とを備える。
このような中継装置によれば、通信網へのアクセスに関し、宛先であるアクセス先が、アクセスに係るデータの転送をした転送装置に関連付けられた通信識別情報を取得できる。そのため、アクセス先は、アクセスに係るデータが、転送装置が設置された、アクセスの許可されたローカルネットワークからのものであるか否かを取得した通信識別情報により判別できる。よって、アクセス元のローカルネットワークで通信アドレスが変動する通信網の接続環境が用いられても、アクセス先が、アクセス元に基づくアクセス制限を行うことが可能となる。
また、本発明に係る中継装置は、次の特徴を有するものであってもよい。通信識別情報は、中継装置に割り当てられた、通信網において通信ノードそれぞれを識別する論理アドレスであり、中継手段は、中継するデータを含む、転送元の転送装置に関連付けられた論理アドレスが送信元アドレスの値に設定された通信網の通信データを、宛先へ送信する。
このような中継装置によれば、通信網で用いられる論理アドレスに基づいてアクセス制限を行うことが可能となる。アクセス制限にあたり、アクセスの起点となる端末及びそのアクセス先は、通信網のプロトコルによる通信機能を備えれば足り、特別なプロトコルの通信機能を備えることを要さない。よって、より導入しやすい、アクセス元に基づくアクセス制限を行うことが可能な通信環境を提供できる。
また、本発明に係る中継装置は、次の特徴を有するものであってもよい。中継装置は、通信網を介して転送装置を認証し、認証された転送装置と中継装置との間で、データに制御情報を付加して、データを通信網を経由して伝送する第1伝送路を確立する第1伝送路確立手段を更に備え、中継手段は、確立された第1伝送路を介して転送装置から転送されたデータを受信した場合に、データを中継する。
このような中継装置では、論理的な伝送路が、新たな物理回線の敷設等なく、通信網を隔てて認証された転送装置との間で確立され、中継されるデータの送受に用いられる。そのため、中継先がより正確にアクセス元を識別してアクセス制限を行うことが可能な通信環境を簡易迅速に構築できる。
また、本発明に係る中継装置は、次の特徴を有するものであってもよい。中継装置は、転送装置から転送されたデータを受信した場合に、転送装置を識別する転送装置識別情報を含む伝送路確立要求をデータの宛先へ送信して、宛先と中継装置との間で通信網を経由してデータを伝送する第2伝送路を確立する第2伝送路確立手段を更に備え、通信識別情報は、確立された第2伝送路による通信を他の通信と識別する第2伝送路識別情報であり、第2伝送路における伝送では、第2伝送路による通信を識別する第2伝送路識別情報が伝送されるデータに付加され、中継手段は、第2伝送路を介して、データを宛先へ送信する。
このような中継装置では、宛先であるアクセス先が、データを受信する際に、第2伝送路の通信を識別する第2伝送路識別情報を取得できる。第2伝送路の確立の際には、伝送路確立要求によってデータを転送する転送装置を識別する転送装置識別情報が当該中継先
に送信されている。そのため、アクセス先は、受信したデータが、何れの転送装置を経由したか否かを第2伝送路識別情報により判別できる。よって、アクセス先が、アクセスの経由に基づくアクセス制限を行うことが可能となる。
に送信されている。そのため、アクセス先は、受信したデータが、何れの転送装置を経由したか否かを第2伝送路識別情報により判別できる。よって、アクセス先が、アクセスの経由に基づくアクセス制限を行うことが可能となる。
また、本発明に係る中継装置は、次の特徴を有するものであってもよい。確立される第2伝送路は、データリンク層より上位層の通信により通信網を経由してデータリンク層のフレームを伝送する伝送路であり、中継装置は、転送装置と中継装置との間で、データリンク層より上位層の通信により通信網を経由してデータリンク層のフレームを伝送する第1伝送路を確立する第1伝送路確立手段を更に備え、転送装置は、データを、データの送信元の物理アドレスが付加されたデータリンク層のフレームとして確立された第1伝送路を介して転送し、中継手段は、データを、第1伝送路からデータリンク層のフレームとして受信して、第2伝送路を介して宛先へ転送する。
ここで、データリンク層とは、OSI(Open Systems Interconnection)基本参照モデルにおける、レイヤ2の層である。データリンク層のフレームは、物理アドレスを用いた物理層の通信で運ばれる。このような中継装置によれば、中継先が、アクセス元により送信されたデータリンク層のフレームを受信するため、アクセス元の物理アドレスを参照してアクセス制限を行うことができる。
また、本発明に係る中継装置は、次の特徴を有するものであってもよい。中継手段によって中継が行われた場合に、宛先へのアクセスがあったことを報知するデータを、転送元の転送装置に関連付けられて記憶された通知先へ通知する通知手段を更に備える。
このような中継装置によれば、アクセスを報知するデータが通知されるため、通知を受けた者が意図しないアクセスがあった場合に、その事実を知得することができる。例えば、マルウェアに感染した端末から、端末のユーザの意図しない不正なアクセスが発生した場合に、当該アクセスをユーザ等が早期に把握して、被害等の拡大を抑制できる。
また、本発明は、通信システムによっても例示できる。この通信システムは、通信網に接続されたサーバと、サーバを宛先とする通信を中継する中継装置と、通信網と通信可能なローカルネットワークに設置される転送装置とを有する通信システムであって、中継装置は、転送装置と関連付けて、転送装置を経由した通信を他の通信と識別する通信識別情報を記憶する通信識別情報記憶手段と、転送装置から転送されたデータを受信した場合に、受信したデータとともに、転送元の転送装置に関連付けられた通信識別情報を、受信したデータの宛先へ送信して、データを中継する中継手段とを備え、サーバは、データとともに中継装置から受信した通信識別情報に基づいて、認証処理を実行する。
このような通信システムによれば、アクセス元のローカルネットワークで通信アドレスが変動する通信網の接続環境が用いられても、サーバが、転送装置に関連付けられた通信識別情報によって、アクセス元に基づく認証処理を行うことが可能となる。
また、本発明に係る通信システムは、次の特徴を有するものであってもよい。サーバは、第1の認証方式及び第2の認証方式による認証処理を実行し、第2の認証方式の認証処理では、中継装置から受信された通信識別情報が、ユーザごとに登録されている通信識別情報のうち、第1の認証方式により認証されたユーザに対して登録されている通信識別情報と一致した場合に、認証が成功したと判定される。
このような通信システムによれば、サーバにおいて、第1の認証方式に加えて、アクセス元に基づく認証が行われるため、より強固な認証を行うことができる。
また、本発明は、コンピュータその他の装置、機械等(以下、「コンピュータ等」とも表記する)によって実行される情報処理方法、または情報処理方法をコンピュータ等に実行させるためのプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータ等が読み取り可能な記録媒体に記録したものとしても把握できる。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
本発明によれば、インターネット等の通信網へのアクセスに関し、アクセス元の通信アドレスが変動しても、アクセス先が、アクセス元に基づくアクセス制限を行うことができる。
以下、本発明の実施の形態を、図面に基づいて説明する。実施の形態では、「通信網」は、インターネットとして説明され、「転送装置」は、VPN(Virtual Private Network)サービスアダプタ(図面等において「SA」と表記することがある)として説明される。なお、以下に説明する実施の形態は、本発明を実施する一例を示すものであって、本発明を以下に説明する具体的な構成に限定するものではない。
説明は、次の順序で記載される。
1.実施形態1
概要
システム構成
ハードウェア構成
ネットワーク構成
機能構成
処理の流れ
作用効果
変形例
その他
2.実施形態2
ハードウェア構成
機能構成
通信の中継の流れ
作用効果
1.実施形態1
概要
システム構成
ハードウェア構成
ネットワーク構成
機能構成
処理の流れ
作用効果
変形例
その他
2.実施形態2
ハードウェア構成
機能構成
通信の中継の流れ
作用効果
≪1.実施形態1≫
<概要>
実施形態1(以下、「本実施形態」とも表記する)について説明する。本実施形態では、「通信識別情報」は、グローバルIPアドレスとして説明される。ここで、グローバルIPアドレスは、インターネットの通信に用いられ、ICANN(The Internet Corporation for Assigned Names and Numbers)やJPNIC(Japan Network Information Center)等の調整機関によって全世界的に割り当てや管理がされるIPアドレスである。IPアドレスは、IP通信網において通信ノードそれぞれを識別し、ハードウェアに固定されずに割り当てられる論理アドレスである。
<概要>
実施形態1(以下、「本実施形態」とも表記する)について説明する。本実施形態では、「通信識別情報」は、グローバルIPアドレスとして説明される。ここで、グローバルIPアドレスは、インターネットの通信に用いられ、ICANN(The Internet Corporation for Assigned Names and Numbers)やJPNIC(Japan Network Information Center)等の調整機関によって全世界的に割り当てや管理がされるIPアドレスである。IPアドレスは、IP通信網において通信ノードそれぞれを識別し、ハードウェアに固定されずに割り当てられる論理アドレスである。
本実施形態における通信システムでは、インターネットを介してオンラインサービスを提供するサーバにおいて、アクセス元のグローバルIPアドレスに基づく認証が行われる。また、当該通信システムでは、同一の拠点のローカルネットワークを経由したサーバへのアクセスに対して、アクセスの時点に依存しない不変のアクセス元のグローバルIPアドレスが割り当てられ、当該認証が適切に実施されることが支援される。ここで、拠点は、例えば住居やオフィスである。拠点の詳細については、後述する。
図1は、本実施形態における認証の概要を説明する説明図である。図1には、中継装置1、オンラインサービスを提供するサーバ2、サーバ2にアクセスする端末3A、3B、オンラインサービスの正規のユーザがいる拠点B1、オンラインサービスの正規のユーザではない悪意ある者がいる拠点BN、拠点B1に設置されたVPNサービスアダプタ5A、及びインターネットNが示されている。図1には、正規のユーザ及び悪意ある者のそれぞれが、拠点B1にある端末3A、拠点BNにある3Bそれぞれを用いてインターネットNを介してサーバ2へログインする際の通信データの流れが矢印DF11〜DF13を用いて例示されている。
正規のユーザがオンラインサービスの提供を受けようとする場合、まず、当該正規のユーザによって操作される端末3Aが、サーバ2宛てのユーザID及びパスワードを含むログインを要求するIPパケットを拠点B1に設置されたローカルネットワークへ送信する。当該IPパケットは、拠点B1に設置されたVPNサービスアダプタ5Aと中継装置1との間でインターネットNを介して確立された仮想的な回線であるトンネルT(「第1伝送路」の一例)を通って中継装置1へ到達する(DF11)。トンネルTの詳細は後述する。中継装置1では、IPパケットの送信元IPアドレスが、VPNサービスアダプタ5Aに関連付けられたグローバルIPアドレスに書き換えられる。次に、書き換えられた送信元IPアドレスを有するIPパケットが、インターネットNへ送信され、サーバ2へ到達する(DF12)。
サーバ2では、ログインの処理として2方式の認証処理が実行される。1つは、受信されたIPパケットに含まれたパスワードによる認証処理(「第1の認証方式」の一例)である。もう1つは、当該パケットに含まれる送信元IPアドレスを、事前に登録されたI
Pアドレスと照合するアクセス元による認証処理(「第2の認証方式」の一例)である。ここでは両方式の認証処理が成功し、ログインが許可されると、サーバ2が端末3Aのユーザに対してオンラインサービスを提供するようになる。
Pアドレスと照合するアクセス元による認証処理(「第2の認証方式」の一例)である。ここでは両方式の認証処理が成功し、ログインが許可されると、サーバ2が端末3Aのユーザに対してオンラインサービスを提供するようになる。
一方、悪意ある者によって操作された端末3Bが、サーバ2にログインを要求するIPパケットを拠点BNからインターネットNを介してサーバ2へ送信し、当該IPパケットがサーバ2に到達したとする(DF13)。ここでは、当該IPパケットに、悪意者によって詐取された正規のユーザのユーザIDとパスワードが含まれているとする。サーバ2では、上述のように2方式の認証処理が実行されるが、受信されたIPパケットの送信元IPアドレスが、正規のユーザのアクセス用のグローバルIPアドレスと異なり、登録された送信元IPアドレスと一致しない。そのため、パスワードによる認証が成功したとしても、アクセス元による認証処理が失敗し、サーバ2では、端末3Bからのログインが不許可とされ、オンラインサービスの不正な利用が抑制される。
以下では、このような通信システムの詳細について説明する。
<システム構成>
図2は、本実施形態における通信システムを例示する図である。図2には、中継装置1、サーバ2、端末3、L2中継装置4、インターネットN、及び拠点B1、B2(Bと総称する)が示されている。拠点B1、B2それぞれには、ローカルネットワークL1、L2(Lと総称する)が設置されている。ローカルネットワークL1、L2それぞれには、端末3、VPNサービスアダプタ5、及びルータ6が接続されている。
図2は、本実施形態における通信システムを例示する図である。図2には、中継装置1、サーバ2、端末3、L2中継装置4、インターネットN、及び拠点B1、B2(Bと総称する)が示されている。拠点B1、B2それぞれには、ローカルネットワークL1、L2(Lと総称する)が設置されている。ローカルネットワークL1、L2それぞれには、端末3、VPNサービスアダプタ5、及びルータ6が接続されている。
中継装置1は、ローカルネットワークLに接続される端末3とそのアクセス先たるサーバ2との間のインターネットNの通信を中継するコンピュータである。中継装置1は、データセンタ等に設置される。中継装置1には、インターネットNへのアクセスのためのグローバルIPアドレスが複数割り当てられている。
サーバ2は、オンラインバンキング、電子商取引、SNS(Social Networking Service)、eラーニング等のオンラインサービスを、インターネットNを介して正規のユーザに提供するコンピュータである。本実施形態のサーバ2は、端末3等のWebクライアントのリクエストに応じて、取引処理やコンテンツの送信処理等を実行するWebサーバである。
端末3は、LAN(Local Area Network)の通信を行う通信部、ディスプレイ等の情報表示を行う表示部、及び、ポインティングデバイスやキーボード等の操作部を有する情報機器である。端末3は、例えば、パーソナルコンピュータ、タブレット端末、スマートフォン、Webブラウザを搭載したテレビジョン受像機やゲーム機、スマートグラス等である。端末3は、拠点B1に示されるように、VPNサービスアダプタ5に有線で接続され、VPNサービスアダプタ5を介してローカルネットワークL(L1)に接続される。また、端末3は、拠点B2に示されるように、VPNサービスアダプタ5を介さずにローカルネットワークL(L2)に直接に接続されてもよい。この場合、端末3のデフォルトゲートウェイには、拠点B2のVPNサービスアダプタ5に割り当てられたIPアドレスが設定され、端末3から送出されたインターネットNへ向かうIPパケットは、VPNサービスアダプタ5へ誘導される。この設定は、例えば、DHCP(Dynamic Host Configuration Protocol)により端末3にIPアドレスが割り当てられる際に、VPNサービスアダプタ5のIPアドレスがデフォルトゲートウェイのIPアドレスとして提供されることで実現できる。なお、端末3は、無線LANを介してVPNサービスアダプタ5やローカルネットワークLに接続されてもよい。
L2中継装置4は、中継装置1とVPNサービスアダプタ5との間でMAC(Media Access Control)フレームを中継する機能を有し、データリンク層のVPNの接続サービスを提供するコンピュータである。L2中継装置4は、データセンタ等に設置される。L2中継装置4における中継の詳細については後述する。
VPNサービスアダプタ5は、ローカルネットワークLに設置される通信装置である。VPNサービスアダプタ5は、中継装置1との間でMACフレームを伝送するデータリンク層のトンネルを確立する機能を有する。VPNサービスアダプタ5は、設置されると、特別な操作を受け付けなくても自動的に当該トンネルを確立する。当該トンネルの詳細については後述する。また、VPNサービスアダプタ5は、ローカルネットワークLまたは接続された端末3と、確立されたトンネルとの間で、MACフレームを中継する機能を有する。このようなVPNサービスアダプタ5の通信機能によって、中継装置1とローカルネットワークLとの間のデータリンク層のVPN接続が可能となる。このVPNはL2VPN(レイヤ2 VPN)とも呼ばれる。また、VPNサービスアダプタ5には、当該VPNサービスアダプタ5を他のVPNサービスアダプタ5と識別する固有のアダプタIDが割り当てられ、記憶されている。また、VPNサービスアダプタ5には、中継装置1に自装置を認証させるための認証キーが記憶されている。また、VPNサービスアダプタ5は、LANのハブ機能を有し、ハブのポートには、端末3が接続できる。
ルータ6は、ローカルネットワークLに接続され、ローカルネットワークLとインターネットNとを接続するためのゲートウェイの機能を持つルータである。ルータ6は、例えば、ブロードバンドルータである。ルータ6は、例えば、NAPT(Network Address and Port Translation)やNAT(Network
Address Translator)の機能を備え、インターネットNにおけるグローバルIPアドレスとローカルネットワークにおけるプライベートIPアドレスとを相互に変換して、ローカルネットワークLとインターネットNとの間でIPパケットによる通信を中継する。ルータ6が利用するグローバルIPアドレスは、ISP等によって割り当てられる。ここで割り当てられるグローバルIPアドレスは、インターネットNとの接続の都度変動する、いわゆる動的IPアドレスである。
Address Translator)の機能を備え、インターネットNにおけるグローバルIPアドレスとローカルネットワークにおけるプライベートIPアドレスとを相互に変換して、ローカルネットワークLとインターネットNとの間でIPパケットによる通信を中継する。ルータ6が利用するグローバルIPアドレスは、ISP等によって割り当てられる。ここで割り当てられるグローバルIPアドレスは、インターネットNとの接続の都度変動する、いわゆる動的IPアドレスである。
インターネットNは、世界規模の公衆パケット通信網であり、中継装置1、サーバ2、L2中継装置4、各ローカルネットワークL等を接続する。なお、インターネットNの代わりに、WAN(Wide Area Network)やその他の通信網が採用されてもよい。
拠点Bは、インターネットNへのアクセスのための通信環境を端末3へ提供する施設であり、端末3が接続可能なローカルネットワークLが設置される。拠点Bは、例えば、ホームネットワークを有する一軒家やマンション等の住居や、LANを有するオフィスである。拠点Bは、出入り口が施錠される施設や出入りが監視される施設等、出入り可能な者が限定される施設であることが好ましい。
ローカルネットワークLは、拠点Bに設置されるEthernet(登録商標)のネットワークである。本実施形態のローカルネットワークLでは、プライベートIPアドレスを用いた通信が行われる。なお、ローカルネットワークLは、無線の通信ネットワークであってもよい。この場合、WPA(Wi−Fi Protected Access)等によりローカルネットワークLにアクセス可能な端末3が限定されることが好ましい。
<ハードウェア構成>
図3は、本実施形態における各装置のハードウェア構成を例示する図である。図3には
、中継装置1、サーバ2、L2中継装置4、及びVPNサービスアダプタ5のハードウェア構成が示されている。
図3は、本実施形態における各装置のハードウェア構成を例示する図である。図3には
、中継装置1、サーバ2、L2中継装置4、及びVPNサービスアダプタ5のハードウェア構成が示されている。
中継装置1は、CPU(Central Processing Unit)11、RAM(Random Access Memory)12、ROM(Read Only
Memory)13、HDD(Hard Disk Drive)等の補助記憶装置14、データセンタ等内においてL2中継装置4と接続されるNIC(Network Interface Controller)15A、及びゲートウェイ等を介してインターネットNに接続される15Bを備えたコンピュータである。CPU11は、中央処理装置であり、RAM12等に展開された命令及びデータを処理することで、RAM12、補助記憶装置14等を制御する。RAM12は、主記憶装置であり、CPU11によって制御され、各種命令やデータが書き込まれ、読み出される。補助記憶装置14は、不揮発性の記憶装置であり、各種プログラム、永続的な保存が求められるデータ等が記憶される。図3では、中継装置1が1台のコンピュータで例示されているが、中継装置1は、例えば、ネットワークで接続された複数台のコンピュータであってもよい。
Memory)13、HDD(Hard Disk Drive)等の補助記憶装置14、データセンタ等内においてL2中継装置4と接続されるNIC(Network Interface Controller)15A、及びゲートウェイ等を介してインターネットNに接続される15Bを備えたコンピュータである。CPU11は、中央処理装置であり、RAM12等に展開された命令及びデータを処理することで、RAM12、補助記憶装置14等を制御する。RAM12は、主記憶装置であり、CPU11によって制御され、各種命令やデータが書き込まれ、読み出される。補助記憶装置14は、不揮発性の記憶装置であり、各種プログラム、永続的な保存が求められるデータ等が記憶される。図3では、中継装置1が1台のコンピュータで例示されているが、中継装置1は、例えば、ネットワークで接続された複数台のコンピュータであってもよい。
サーバ2は、CPU21、RAM22、ROM23、HDD等の補助記憶装置24、及びゲートウェイ等を介してインターネットNに接続されるNIC25を備えるコンピュータである。
L2中継装置4は、CPU41、RAM42、ROM43、補助記憶装置44、NIC45A、NIC45B等を備えたコンピュータである。NIC45Aは、中継装置1と接続され、NIC45Bはゲートウェイ等を介してインターネットNと接続される。なお、本実施形態では、L2中継装置4が1台のコンピュータであるが、L2中継装置4の代わりに、中継装置1に論理的に接続されるコンピュータ、及び、VPNサービスアダプタ5にインターネットNを介して論理的に接続されるコンピュータの2台のコンピュータを含む中継システムが採用されてもよい。
VPNサービスアダプタ5は、CPU51、RAM52、ROM53、EEPROM(Electrically Erasable Programmable Read−Only Memory)等の補助記憶装置54、ルータ6と接続されたNIC55A、端末3と接続されたNIC55B等を備えたコンピュータである。なお、汎用のCPU51の代わりに、専用プロセッサやその他の回路が採用されてよい。
<ネットワーク構成>
図4は、本実施形態における通信システムの論理的なネットワーク構成を例示する図である。図4には、拠点B1に設置されたローカルネットワークL1、及び、拠点B2に設置されたローカルネットワークL2に関するネットワーク構成が示されている。ローカルネットワークL1、L2それぞれは、独立したネットワークであり、ローカルネットワークL1、L2それぞれに設置されたVPNサービスアダプタ5A、5BのアダプタIDにより識別可能である。なお、図4では、結線によって接続が示されているが、これらの接続は論理的なものであり、物理的な通信線等による接続を示しているとは限らない。
図4は、本実施形態における通信システムの論理的なネットワーク構成を例示する図である。図4には、拠点B1に設置されたローカルネットワークL1、及び、拠点B2に設置されたローカルネットワークL2に関するネットワーク構成が示されている。ローカルネットワークL1、L2それぞれは、独立したネットワークであり、ローカルネットワークL1、L2それぞれに設置されたVPNサービスアダプタ5A、5BのアダプタIDにより識別可能である。なお、図4では、結線によって接続が示されているが、これらの接続は論理的なものであり、物理的な通信線等による接続を示しているとは限らない。
ローカルネットワークL1は、データリンク層のトンネルT1、及び、中継装置1内でトンネルT1と繋がるインターネット回線C1を介してインターネットNに論理的に接続される。この接続では、中継装置1がローカルネットワークL1とインターネットNとを接続するゲートウェイの役割を担う。また、ローカルネットワークL1は、ゲートウェイの役割を担うルータ6Aを介してインターネットNに接続される。ローカルネットワークL1からインターネットNへ向かうIPパケットは、VPNサービスアダプタ5Aによる進路の振り分けによって、中継装置1またはルータ6Aをゲートウェイとして、インター
ネットNへ送出されることになる。VPNサービスアダプタ5Aによる進路の振り分けの詳細は、後述する。同様に、ローカルネットワークL2は、データリンク層のトンネルT2及びインターネット回線C2を介して、インターネットNに論理的に接続され、更に、ルータ6Bを介して、インターネットNに接続される。以下、データリンク層のトンネルT1、T2、及びインターネット回線C1、C2を介したインターネットNとの接続について、詳細を説明する。
ネットNへ送出されることになる。VPNサービスアダプタ5Aによる進路の振り分けの詳細は、後述する。同様に、ローカルネットワークL2は、データリンク層のトンネルT2及びインターネット回線C2を介して、インターネットNに論理的に接続され、更に、ルータ6Bを介して、インターネットNに接続される。以下、データリンク層のトンネルT1、T2、及びインターネット回線C1、C2を介したインターネットNとの接続について、詳細を説明する。
中継装置1には、仮想ネットワークアダプタが構築されている。図3において、仮想ネットワークアダプタは、仮想ネットワークアダプタV1及びV2として示されている。仮想ネットワークアダプタは、中継装置1のOS(Operating System)上でEthernet(登録商標)のNICをシミュレートするネットワークドライバである。仮想ネットワークアダプタは、物理インタフェースとしてのNIC15Aを介してL2中継装置4と通信し、所定プロトコルのトンネリングによってMACフレームを伝送するトンネルを、L2中継装置4との間で確立する。図4において、L2中継装置4との間で確立されるトンネルは、トンネルT1A及びT2Aとして示されている。これらのトンネルは、データリンク層より上位層のネットワーク層のプロトコルであるIPにより、MACフレームをカプセル化するトンネルである。トンネルT1A、T2Aは、例えば、GRE(Generic Routing Encapsulation)[RFC1701]により実現される。
中継装置1の仮想ネットワークアダプタV1及びV2は、中継装置1に搭載されたプログラムによって生成され、OSにインストールされる。中継装置1が新たな拠点Bの端末3からの通信の中継を提供する場合には、当該拠点BのローカルネットワークLに接続するための新たな仮想ネットワークアダプタが生成される。そのため、物理的なNICを新たに準備することを要さずに、中継装置1が、新たな拠点BのローカルネットワークLと通信可能になる。
L2中継装置4にも、同様にNICをシミュレートする仮想ネットワークアダプタが構築されている。仮想ネットワークアダプタV41A、V42Aそれぞれは、物理インタフェースとしてのNIC45Aを介して中継装置1と通信し、上述のトンネルT1A及びT2Aを中継装置1の仮想ネットワークアダプタV1、V2それぞれとの間で確立する。
また、仮想ネットワークアダプタV41B、V42Bそれぞれは、NIC45Bを介して、インターネットNを経由して各拠点B1、B2のVPNサービスアダプタ5A、5Bそれぞれと通信してトンネルT1B、T2Bそれぞれを確立する。トンネルT1B及びT2Bは、トンネルT1A、T2Aと同様に、IPによってMACフレームをカプセル化するトンネルであり、通信データが暗号化される伝送路である。トンネルT1B、T2Bは、例えば、L2TP(Layer 2 Tunneling Protocol)/IPsec[RFC3193]によるトンネリングや、IPsec及びEtherIP[RFC3378]によるトンネリングによって実現される。
L2中継装置4は、中継装置1との間で確立されたトンネルT1A及びT2Aと、VPNサービスアダプタ5A、5Bとの間で確立されたトンネルT1B及びT2Bとを繋げるように、MACフレームを中継する仮想的なブリッジBR1、BR2を構築している。図4では、L2中継装置4は、トンネルT1AとT1Bとの間、及び、トンネルT2AとT2Bとの間で、MACフレームを中継する。L2中継装置4は、設定に従ってこのような中継を行う。このようなMACフレームの中継は、例えば、仮想ネットワークアダプタV41A、V42A、V41B、V42BをポートとしたOpenFlow技術による経路制御により実現される。
VPNサービスアダプタ5A、5Bそれぞれは、L2中継装置4との間でトンネルT1B、T2Bそれぞれを確立し、トンネルT1B、T2BそれぞれとローカルネットワークL1、L2それぞれとの間でMACフレームを中継する。
このような仕組みによって、中継装置1とローカルネットワークL(L1、L2)との間で、L2中継装置4、インターネットN、及びVPNサービスアダプタ5(5A、5B)を経由してMACフレームを伝送するトンネルT(T1、T2)が、論理的に構築されることになる。そして、トンネルT(T1、T2)によって、中継装置1がローカルネットワークL(L1、L2)に直接に接続された通信ノードのように振る舞うことが可能なL2VPNが構築されることになる。なお、構築されるL2VPNそれぞれは、互いに独立しており、データが混在されずに通信可能である。
更に、中継装置1は、ローカルネットワークL1、L2それぞれを、物理インタフェースとしてのNIC15Bを用いてインターネットNと接続する論理的なインターネット回線C1、C2(Cと総称する)を構築する。インターネット回線C1、C2それぞれのIP通信には、互いに異なるグローバルIPアドレスが用いられ、中継装置1では、各インターネット回線の通信が、混在しないように処理される。
以上の仕組みによって、中継装置1がローカルネットワークL1、L2それぞれとインターネットNとを接続するゲートウェイとして振る舞うことできる。中継装置1とローカルネットワークL1、L2とのL2VPNの接続は、インターネットNを経由した、物理的に敷設等された回線に依存しないものである。そのため、様々な場所の拠点BのローカルネットワークLとインターネットNとを接続するゲートウェイの通信環境を簡易、迅速に構築できる。なお、本実施形態では、L2VPNが構築されたが、L2VPNの代わりに、レイヤ3のパケットのトンネリングを行うVPNが構築され、IPパケットが中継されてもよい。
<機能構成>
図5は、本実施形態に係る各装置の機能構成を例示する図である。図5には、中継装置1、サーバ2、及びVPNサービスアダプタ5の主な機能が示されている。各装置の機能について、順に説明する。
図5は、本実施形態に係る各装置の機能構成を例示する図である。図5には、中継装置1、サーバ2、及びVPNサービスアダプタ5の主な機能が示されている。各装置の機能について、順に説明する。
(中継装置1の機能)
中継装置1は、補助記憶装置14に記憶されているプログラムが、RAM12に読み出され、CPU11によって実行されることで、中継データベースD11、第1伝送路確立部F11、中継部F12、及び、アクセス通知部F13を備えるコンピュータとして機能する。中継データベースD11は、実行されるDBMS(データベース管理システム)のプログラムが、補助記憶装置14に記憶されるデータを管理することで構築される。中継データベースD11、第1伝送路確立部F11、中継部F12、及び、アクセス通知部F13は、それぞれ、「通信識別情報記憶手段」、「第1伝送路確立手段」、「中継手段」、「アクセス通知手段」の一例である。
中継装置1は、補助記憶装置14に記憶されているプログラムが、RAM12に読み出され、CPU11によって実行されることで、中継データベースD11、第1伝送路確立部F11、中継部F12、及び、アクセス通知部F13を備えるコンピュータとして機能する。中継データベースD11は、実行されるDBMS(データベース管理システム)のプログラムが、補助記憶装置14に記憶されるデータを管理することで構築される。中継データベースD11、第1伝送路確立部F11、中継部F12、及び、アクセス通知部F13は、それぞれ、「通信識別情報記憶手段」、「第1伝送路確立手段」、「中継手段」、「アクセス通知手段」の一例である。
なお、本実施形態において、中継装置1の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい。ここで、ハードウェアの演算回路とは、例えば、論理ゲートを組み合わせた加算回路、乗算回路、フリップフロップ等をいう。また、これらの機能の一部は、別途のコンピュータにおいて実行されてもよい。
中継データベースD11は、インターネットNの通信の中継に関する情報を格納するデ
ータベースである。中継データベースD11は、例えば、リレーショナルデータベースとして構築される。中継データベースD11は、アクセス元情報テーブル及びアクセス通知先テーブルを有する。アクセス元情報テーブルは、VPNサービスアダプタ5を経由したローカルネットワークLからインターネットNへのアクセスを他のアクセスと識別するグローバルIPアドレスを格納する。また、アクセス通知先テーブルは、アクセスがあったことを報知するメッセージデータの通知先を格納する。なお、中継データベースD11は、中継装置1とネットワークで接続されるデータベースサーバに構築されてもよい。
ータベースである。中継データベースD11は、例えば、リレーショナルデータベースとして構築される。中継データベースD11は、アクセス元情報テーブル及びアクセス通知先テーブルを有する。アクセス元情報テーブルは、VPNサービスアダプタ5を経由したローカルネットワークLからインターネットNへのアクセスを他のアクセスと識別するグローバルIPアドレスを格納する。また、アクセス通知先テーブルは、アクセスがあったことを報知するメッセージデータの通知先を格納する。なお、中継データベースD11は、中継装置1とネットワークで接続されるデータベースサーバに構築されてもよい。
図6Aは、アクセス元情報テーブルを例示する図である。アクセス元情報テーブルに格納されるレコード1件は、1台のVPNサービスアダプタ5に関連付けられたグローバルIPアドレスの設定情報1件を表す。図6Aの例が示すように、アクセス元情報テーブルのレコードは、アダプタID、及びグローバルIPアドレスのフィールドを有する。
アダプタIDのフィールドは、グローバルIPアドレスと関連付けられたVPNサービスアダプタ5を表し、当該VPNサービスアダプタ5を識別するアダプタIDの値をとる。グローバルIPアドレスのフィールドは、関連付けられたVPNサービスアダプタ5を経由したアクセスに対して設定された、アクセス元のグローバルIPアドレスを表し、中継装置1に割り当てられた複数のグローバルIPアドレスのうちの何れか1つの値をとる。
図6Bは、アクセス通知先テーブルを例示する図である。アクセス通知先テーブルに格納されるレコード1件は、1台のVPNサービスアダプタ5に関連付けられた通知先の情報1件を表す。図6Bの例が示すように、アクセス通知先テーブルのレコードは、アダプタID、及び通知先メールアドレスのフィールドを有する。
アダプタIDのフィールドは、通知先メールアドレスと関連付けられたVPNサービスアダプタ5を表し、当該VPNサービスアダプタ5を識別するアダプタIDの値をとる。通知先メールアドレスのフィールドは、関連付けられたVPNサービスアダプタ5を経由したアクセスに対して設定された、通知先の電子メールのアドレスを表す。通知先メールアドレスには、例えば、拠点BのVPNサービスアダプタ5を管理する者による申請に従った、サーバ2の正規のユーザが受信可能な電子メールのアドレスが設定される。通知先メールアドレスは、メールアドレスが設定されていないことを示す「未設定」の値をとることができる。
第1伝送路確立部F11は、ローカルネットワークLに設置されたVPNサービスアダプタ5を認証し、認証したVPNサービスアダプタ5と中継装置1との間で、IP通信によりインターネットNを経由してMACフレームを伝送するトンネルTを確立する。伝送されるMACフレームには、トンネリングプロトコルのヘッダ等の制御情報が付加される。上述のように、トンネルTの中継装置1側の終端は、仮想ネットワークアダプタである。第1伝送路確立部F11は、終端となる仮想ネットワークアダプタが未生成である場合は、新たに仮想ネットワークアダプタを生成した上でトンネルTを確立する。
中継部F12は、トンネルTで中継装置1と接続されたローカルネットワークL側と、インターネット回線Cで中継装置1と接続されたインターネットN側との間で、IPによる通信を中継する。ローカルネットワークL側からVPNサービスアダプタ5によって転送されたIPパケットを受信すると、受信したIPパケットをインターネットNへ送信する。この際、送信元IPアドレスは、転送元のVPNサービスアダプタ5に関連付けられたグローバルIPアドレスに書き換えられる。IPパケットとともに、送信元IPアドレスとしてのグローバルIPアドレスが送信されることになる。また、中継部F12は、VPNサービスアダプタ5に関連付けられたグローバルIPアドレス宛てのIPパケットを
インターネットNから受信すると、受信したIPパケットを、当該VPNサービスアダプタ5が設置されたローカルネットワークLへ送信する。
インターネットNから受信すると、受信したIPパケットを、当該VPNサービスアダプタ5が設置されたローカルネットワークLへ送信する。
アクセス通知部F13は、中継部F12によるインターネットN側への中継が行われた場合に、中継先へのアクセスがあったことを報知するメッセージを含む電子メールを、アクセス元のVPNサービスアダプタ5に関連付けられた通知先のメールアドレスへ通知する。
(サーバ2の機能)
サーバ2は、補助記憶装置24に記憶されているプログラムが、RAM22に読み出され、CPU21によって実行されることで、ユーザデータベースD21、及び認証部F21を備えるコンピュータとして機能する。なお、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい
サーバ2は、補助記憶装置24に記憶されているプログラムが、RAM22に読み出され、CPU21によって実行されることで、ユーザデータベースD21、及び認証部F21を備えるコンピュータとして機能する。なお、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい
ユーザデータベースD21は、オンラインサービスを提供するユーザに関する情報を格納するデータベースであり、例えば、リレーショナルデータベースとして構築される。ユーザデータベースD21は、ユーザ認証情報テーブルを有する。ユーザ認証情報テーブルは、オンラインサービスを提供するユーザごとに登録される認証情報を格納する。
図7は、ユーザ認証情報テーブルを例示する図である。ユーザ認証情報テーブルに格納されるレコード1件は、1名のユーザを認証するために登録される認証情報を表す。図7の例が示すように、ユーザ認証情報テーブルのレコードは、ユーザID、パスワード、及び許可IPアドレスのフィールドを有する。なお、パスワードと許可IPアドレスとは、別々のテーブルに格納されてもよい。
ユーザIDのフィールドは、オンラインサービスの正規のユーザそれぞれを識別する識別情報を表す。パスワードのフィールドは、ユーザ本人であることを認証するために用いられるパスワードを表す。許可IPアドレスのフィールドは、ユーザに対して許可されるアクセス元を表し、グローバルIPアドレスの値をとる。なお、本実施形態では、許可IPアドレスのフィールドに、1つの許可IPアドレスが格納されるが、複数の許可IPアドレスの集合を示す情報が格納され、複数の許可IPアドレスが設定されてもよい。
認証部F21は、アクセス元のユーザがオンラインサービスの正規のユーザであるか否かを確認する認証処理を実行する。本実施形態の認証部F21は、パスワードによる認証処理と送信元IPアドレスを照合するアクセス元による認証処理との2方式の認証処理を実行する。
(VPNサービスアダプタ5の機能)
VPNサービスアダプタ5は、ROM53や補助記憶装置54に記憶されているプログラムが、CPU51によって実行されることで、伝送路確立部F51及び振分部F52を備えるコンピュータとして機能する。なお、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい。
VPNサービスアダプタ5は、ROM53や補助記憶装置54に記憶されているプログラムが、CPU51によって実行されることで、伝送路確立部F51及び振分部F52を備えるコンピュータとして機能する。なお、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい。
伝送路確立部F51は、VPNサービスアダプタ5と中継装置1との間で、IP通信によりインターネットNを経由してMACフレームを伝送するトンネルTを確立する。
振分部F52は、端末3から受信したIPパケットを、当該IPパケットの宛先IPアドレスに基づいて、中継装置1またはルータ6へ転送して、転送先の中継装置1またはルータ6に、転送したIPパケットをインターネットNへ中継させる。
<処理の流れ>
本実施形態の通信システムの主な処理の流れを説明する。なお、説明される処理の内容及び順序は一例であり、処理の内容及び順序には、実施の形態に適したものが適宜採用されることが好ましい。
本実施形態の通信システムの主な処理の流れを説明する。なお、説明される処理の内容及び順序は一例であり、処理の内容及び順序には、実施の形態に適したものが適宜採用されることが好ましい。
(L2VPNの構築)
アクセス元に基づく認証が行われる前提として、ローカルネットワークLに設置されたVPNサービスアダプタ5と中継装置1との間で、トンネルTが確立されて、L2VPNが構築される。まず、VPNサービスアダプタ5とL2中継装置4との間でトンネル(図4のT1BまたはT2B)が確立され、次に、L2中継装置4と中継装置2との間でトンネル(図4のT1AまたはT2A)が確立される。そして、両トンネルがL2中継装置4によって論理的に接続され、VPNサービスアダプタ5と中継装置1との間が接続されたL2VPNが構築される。
アクセス元に基づく認証が行われる前提として、ローカルネットワークLに設置されたVPNサービスアダプタ5と中継装置1との間で、トンネルTが確立されて、L2VPNが構築される。まず、VPNサービスアダプタ5とL2中継装置4との間でトンネル(図4のT1BまたはT2B)が確立され、次に、L2中継装置4と中継装置2との間でトンネル(図4のT1AまたはT2A)が確立される。そして、両トンネルがL2中継装置4によって論理的に接続され、VPNサービスアダプタ5と中継装置1との間が接続されたL2VPNが構築される。
図8は、VPNサービスアダプタ5とL2中継装置4との間のトンネル確立の処理の流れを例示する図である。この処理の流れは、ユーザが、VPNサービスアダプタ5をローカルネットワークLに設置したことを契機に開始する。
ステップS101では、VPNサービスアダプタ5が起動する。ステップS102では、VPNサービスアダプタ5が、自装置の自動設定を行う。VPNサービスアダプタ5は、インターネットNを介して、各種設定を含む設定情報をL2中継装置4へ要求し、L2中継装置4が要求に応じて設定情報を応答する。設定情報には、アクセス元に基づく認証を行う対象となるサーバのIPアドレスの集合である認証対象サーバIPアドレスリストが含まれる。VPNサービスアダプタ5は、設定情報を受信して、自装置内に記憶された設定を更新する。
ステップS103では、VPNサービスアダプタ5の伝送路確立部F51が、L2中継装置4との間でトンネルを確立するVPNの接続処理を実行する。当該処理は、ユーザの操作等を介さずに自動的に実行される。具体的には、まず、伝送路確立部F51が、インターネット6を介してL2中継装置4に接続要求を通知する。接続要求には、通知元のVPNサービスアダプタ5を識別するアダプタID及び認証キーが含まれる。次に、L2中継装置4が、通知された接続要求に含まれるアダプタID及び認証キーに基づいて、接続要求元のVPNサービスアダプタ5がトンネルを確立する権限を有することを確認する認証処理を実行する。当該認証処理が成功すると、L2中継装置4と接続要求元のVPNサービスアダプタ5との間で、トンネル(図4のT1BまたはT2B)が確立される。
その後、中継装置1の第1伝送路確立部F11は、拠点BのローカルネットワークLと接続するためのインタフェースを作成する要求であるインタフェース作成要求を、L2中継装置4へ通知する。当該インタフェース作成要求には、接続先のローカルネットワークLに設置されたVPNサービスアダプタ5を識別するアダプタIDが含まれる。中継装置1の第1伝送路確立部F11及びL2中継装置4は、互いに協調して、アダプタIDが示すVPNサービスアダプタ5と中継装置1との間を接続するトンネルTを確立する。
具体的には、まず、中継装置1上及びL2中継装置4上のそれぞれに、仮想ネットワークアダプタが作成され、両仮想ネットワークアダプタを終端とするトンネル(図4のT1AまたはT2A)が確立される。次に、L2中継装置4は、当該確立されたトンネルと、ステップS103で確立されたトンネルとの間を論理的に接続する仮想的なブリッジを構築し、VPNサービスアダプタ5と中継装置1との間を接続するL2VPNが構築される。
(アクセス元の登録)
図9は、アクセス元の登録処理の流れを例示する図である。図9は、ユーザに対して許可されるアクセス元を示す許可IPアドレスを登録する処理の流れを例示している。この処理の流れは、例えば、端末3で動作するWebブラウザが、サーバ2に対して許可IPアドレスを登録する申請情報を送信するための操作を、ユーザから受け付けたことを契機に開始する。
図9は、アクセス元の登録処理の流れを例示する図である。図9は、ユーザに対して許可されるアクセス元を示す許可IPアドレスを登録する処理の流れを例示している。この処理の流れは、例えば、端末3で動作するWebブラウザが、サーバ2に対して許可IPアドレスを登録する申請情報を送信するための操作を、ユーザから受け付けたことを契機に開始する。
ステップS201では、端末3が、許可IPアドレスを登録する申請情報を、インターネットNを介してサーバ2へ送信する。申請情報には、サーバ2が提供するオンラインサービスのユーザID、及びユーザが利用する拠点Bに設置されたVPNサービスアダプタ5のアダプタIDが含まれる。当該ユーザID及びアダプタIDは、例えば、ユーザが、サーバ2により提供された申請画面のWebページに対して、端末3を操作して入力したものである。
ステップS202では、サーバ2が、申請情報を受信し、アクセス元となるローカルネットワークLからのアクセスに割り当てられるアクセス元のIPアドレスの情報を要求するアクセス元情報要求を中継装置1へ送信する。当該アクセス元情報要求には、サーバ2によって受信された申請情報のアダプタIDが含まれる。
ステップS203では、中継装置1が、アクセス元情報要求を受け付ける。なお、この際、中継装置1が、アクセス元情報要求の要求元が、オンラインサービスを提供する正規のサーバ2であることを電子証明書や認証技術等により確認してもよい。このようにすることで、アクセスに用いられるIPアドレスが、悪意ある者等に知得されることが抑制される。
ステップS204では、中継装置1が、アクセス元情報要求に含まれるアダプタIDが識別するVPNサービスアダプタ5に関連付けられたグローバルIPアドレスを、アクセス元情報として、要求元のサーバ2へ応答する。この際、中継装置1は、中継データベースD11のアクセス元情報テーブルを参照して、当該グローバルIPアドレスを取得する。
ステップS205では、サーバ2が、当該グローバルIPアドレスをアクセス元情報として、受領する。ステップS206では、サーバ2が、アクセス元情報としての当該グローバルIPアドレスを、ユーザデータベースD21のユーザ認証情報テーブルに登録する。当該グローバルIPアドレスは、ステップS202で受信した申請情報に含まれるユーザIDの値を有するレコードの許可IPアドレスのフィールドに格納される。
(通信の中継)
図10は、中継処理の流れを例示する図である。図10は、UML(Unified Modeling Language)のアクティビティ図として記載されている。図10は、VPNサービスアダプタ5が設置された拠点Bの端末3からサーバ2にログインを行うためのWebアクセスに関する通信の中継処理の流れを例示している。この処理の流れは、例えば、端末3で動作するWebブラウザが、インターネットN上のサーバ2に対してログイン要求を行うための操作を受け付けたことを契機に開始する。当該操作は、例えば、ユーザが、インターネットN上のサーバ2が提供したログイン画面のためのWebページに対して、ユーザID及びパスワードを入力し、ログインの実行ボタンを押下する操作である。なお、Webアクセス以外のIP通信に対して通信の中継処理が行われてもよい。
図10は、中継処理の流れを例示する図である。図10は、UML(Unified Modeling Language)のアクティビティ図として記載されている。図10は、VPNサービスアダプタ5が設置された拠点Bの端末3からサーバ2にログインを行うためのWebアクセスに関する通信の中継処理の流れを例示している。この処理の流れは、例えば、端末3で動作するWebブラウザが、インターネットN上のサーバ2に対してログイン要求を行うための操作を受け付けたことを契機に開始する。当該操作は、例えば、ユーザが、インターネットN上のサーバ2が提供したログイン画面のためのWebページに対して、ユーザID及びパスワードを入力し、ログインの実行ボタンを押下する操作である。なお、Webアクセス以外のIP通信に対して通信の中継処理が行われてもよい。
ステップS301では、端末3が、ログイン要求を行う。具体的には、端末3は、サー
バ2を宛先としたHTTP(Hypertext Transfer Protocol)のリクエストメッセージを送信する。リクエストメッセージには、ログインの実行を要求するURL(Uniform Resource Locator)、ユーザによって入力されたユーザID及びパスワードが含まれる。送信されるリクエストメッセージを運ぶIPパケットにおける宛先IPアドレスには、サーバ2のグローバルIPアドレスが設定され、送信元IPアドレスには、ローカルネットワークLで端末3に割り当てられたプライベートIPアドレスが設定される。送信されたリクエストメッセージは、VPNサービスアダプタ5に到達する。ここで、端末3とVPNサービスアダプタ5とがローカルネットワークLを介して接続されている通信環境(図4の拠点B2を参照)では、リクエストメッセージを運ぶMACフレームの宛先MACアドレスに、端末3のデフォルトゲートウェイであるVPNサービスアダプタ5のMACアドレスが設定される。このような宛先MACアドレスの設定によって、リクエストメッセージがVPNサービスアダプタ5へ誘導される。なお、ログイン要求には、HTTPS(HTTP Secure)等のセキュアな通信プロトコルが用いられてもよい。
バ2を宛先としたHTTP(Hypertext Transfer Protocol)のリクエストメッセージを送信する。リクエストメッセージには、ログインの実行を要求するURL(Uniform Resource Locator)、ユーザによって入力されたユーザID及びパスワードが含まれる。送信されるリクエストメッセージを運ぶIPパケットにおける宛先IPアドレスには、サーバ2のグローバルIPアドレスが設定され、送信元IPアドレスには、ローカルネットワークLで端末3に割り当てられたプライベートIPアドレスが設定される。送信されたリクエストメッセージは、VPNサービスアダプタ5に到達する。ここで、端末3とVPNサービスアダプタ5とがローカルネットワークLを介して接続されている通信環境(図4の拠点B2を参照)では、リクエストメッセージを運ぶMACフレームの宛先MACアドレスに、端末3のデフォルトゲートウェイであるVPNサービスアダプタ5のMACアドレスが設定される。このような宛先MACアドレスの設定によって、リクエストメッセージがVPNサービスアダプタ5へ誘導される。なお、ログイン要求には、HTTPS(HTTP Secure)等のセキュアな通信プロトコルが用いられてもよい。
ステップS302〜S304では、IPパケットの上述の進路の振り分けが行われる。ステップS302では、VPNサービスアダプタ5が、リクエストメッセージをMACフレームとして受信し、当該リクエストメッセージの転送先を決定する。ここで、VPNサービスアダプタ5の振分部F52は、当該リクエストメッセージを運ぶIPパケットの宛先IPアドレスが認証対象サーバIPアドレスリストに含まれるか否かを判定する。当該宛先IPアドレスが認証対象サーバIPアドレスリストに含まれると判定された場合、振分部F52は、転送先を中継装置1に決定する。この場合、処理はステップS303へ進む。ステップS303では、振分部F52が、当該リクエストメッセージを運ぶMACフレームを、中継装置1との間で確立されたトンネルT(図4のT1、T2)を介して転送する。
一方、当該宛先IPアドレスが認証対象サーバIPアドレスリストに含まれると判定されなかった場合、振分部F52は、転送先をルータ6に決定する。この場合、処理はステップS304へ進む。ステップS304では、振分部F52が、リクエストメッセージを運ぶMACフレームを、ローカルネットワークLを介してルータ6へ転送する。ルータ6は、MACフレームに含まれるIPパケットの宛先IPアドレスがローカルネットワークL外のホストを示すグローバルIPアドレスであると判定すると、当該IPパケットをインターネットNへ送信する。ここで、インターネットNへ送信されるIPパケットの送信元アドレスには、ISPによって提供された、ローカルネットワークLからインターネットNへアクセスするためのグローバルIPアドレスが設定される。
ステップS303でVPNサービスアダプタ5から転送されたリクエストメッセージを運ぶMACフレームは、インターネットN及びL2中継装置4を経由して中継装置1に到達し、中継装置1の中継部F12によって受信される。ステップS305では、中継装置1の中継部F12が、受信したMACフレームからIPパケットを抽出し、当該IPパケットの送信元IPアドレスを書き換える。まず、中継部F12は、MACフレームを受信したトンネルTが何れのVPNサービスアダプタ5との間で確立されたものであるかに基づいて、転送元のVPNサービスアダプタ5のアダプタIDを割り出す。次に、中継部F12は、当該アダプタIDに関連付けられたグローバルIPアドレスを、中継データベースD11のアクセス元情報テーブルから抽出する。次に、中継部F12は、上述のIPパケットの送信元アドレスを、抽出されたグローバルIPアドレスに書き換える。ここで、書き換え前の送信元IPアドレスは、後述するインターネットN側からの応答に関する中継処理のために、RAM12に記憶される。
ステップS306では、中継装置1の中継部F12が、送信元IPアドレスを書き換え
たIPパケットを、インターネット回線Cを介してインターネットNへ送信する。インターネットNに送信されたIPパケットは、ログインの実行を要求するリクエストメッセージを運ぶものであり、サーバ2に到達し、処理はステップS307へ進む。なお、ステップS305及びS306は、「中継ステップ」の一例である。
たIPパケットを、インターネット回線Cを介してインターネットNへ送信する。インターネットNに送信されたIPパケットは、ログインの実行を要求するリクエストメッセージを運ぶものであり、サーバ2に到達し、処理はステップS307へ進む。なお、ステップS305及びS306は、「中継ステップ」の一例である。
一方、ステップS306の処理の実行後、ステップS307と並行して、ステップS351の処理も実行される。ステップS351では、中継装置1のアクセス通知部F13が、サーバ2へのアクセスがあった旨を示すメッセージを含む電子メールを、転送元のVPNサービスアダプタ5に関連付けられて登録されている通知先のメールアドレスへ通知する。この際、アクセス通知部F13は、中継データベースD11のアクセス通知先テーブルを参照して、通知先のメールアドレスを割り出す。また、電子メールのメッセージには、サーバ2のグローバルIPアドレスやドメイン名、ステップS306の送信処理が実施された日時等も含まれる。なお、アクセス通知部F13は、通知先メールアドレスの値が「未設定」の場合は、当該メッセージを通知しない。また、電子メールに限らず、電子的に情報を伝える他の通知方式が採用されてもよい。また、通知のタイミングは、ステップS306の直後に限らず、所定の時刻や時間帯であってもよい。
ステップS307〜S309では、ログインの処理が実行される。まず、ステップS307では、サーバ2が、ログインの実行を要求するリクエストメッセージを受け付ける。
ステップS308では、サーバ2がパスワードによる認証処理を実行する。サーバ2は、リクエストメッセージに含まれるユーザID及びパスワードを抽出し、抽出されたユーザID及びパスワードの組とユーザ認証情報テーブルに含まれるユーザID及びパスワードの組とを照合して、パスワードによる認証の成否を判定する。パスワードに基づく認証に成功したと判定された場合、処理はステップS309へ進む。パスワードに基づく認証に成功したと判定されなかった場合、処理はステップS311へ進む。
ステップS309では、サーバ2がアクセス元による認証の処理を実行する。サーバ2は、受け付けられたリクエストメッセージを運んだIPパケットの送信元IPアドレスと、パスワードによる認証により認証されたユーザに対して登録された許可IPアドレスとを照合してアクセス元による認証の成否を判定する。ここで、照合される許可IPアドレスは、ユーザデータベースD21のユーザ認証情報テーブルのレコードのうち、受け付けられたリクエストメッセージに含まれたユーザIDを有するレコードの許可IPアドレスである。送信元IPアドレスと許可IPアドレスとが一致した場合に、当該送信元IPアドレスによる認証が成功したと判定される。送信元IPアドレスを用いたアクセス元による認証が成功したと判定された場合、処理はステップS310へ進む。送信元IPアドレスによる認証が成功したと判定されなかった場合、処理はステップS313へ進む。
ステップS310〜S312では、ログインの成功を示すレスポンスメッセージが端末3へ送信される。
まず、ステップS310では、サーバ2が、ログインの成功の応答を送信する。サーバ2は、ユーザとのセッションの開始処理等の所定処理によりユーザへのオンラインサービスの提供を許可した上で、ログインの成功を示すメッセージを含むレスポンスメッセージを生成する。本実施形態のレスポンスメッセージには開始されたセッションを識別するセッションIDが含まれる。サーバ2は、生成したレスポンスメッセージを、受け付けられたリクエストメッセージを運んだIPパケットの送信元IPアドレスを宛先としてインターネットNへ送信する。送信されるレスポンスメッセージは、その宛先が中継装置1に割り当てられたグローバルIPアドレスであるため、中継装置1に到達する。
次に、ステップS311では、中継装置1の中継部F12が、当該レスポンスメッセージを運ぶIPパケットを受信し、端末3へ中継する。中継先の端末3は、中継部F12がステップS305及びS306で中継したリクエストメッセージの送信元の端末3である。まず、中継部F12は、中継データベースD11のアクセス元情報テーブルを参照し、受信したIPパケットの宛先IPアドレスと関連付けられたVPNサービスアダプタ5を割り出す。中継部F12は、割り出されたVPNサービスアダプタ5と繋がるトンネルTを用いて、当該レスポンスメッセージを送信する。ここで、レスポンスメッセージを運ぶIPパケットの宛先IPアドレスには、ステップS305で記憶された、書き換え前のリクエストメッセージを運んだIPパケットの送信元IPアドレスが設定される。送信されたレスポンスメッセージは、VPNサービスアダプタ5を経由して端末3へ到達する。
次に、ステップS312では、端末3が、ログインの成功を示すレスポンスメッセージを受信し、当該レスポンスメッセージの含むメッセージを表すWebページを表示する。端末3が当該レスポンスメッセージに含まれるセッションIDを用いてサーバ2へアクセスすることで、端末3のユーザは、サーバ2から所定のサービスを受けることができるようになる。
ステップS313〜S315では、ログインの失敗を示すレスポンスメッセージが端末3へ送信される。まず、ステップS313では、サーバ2が、受け付けられたリクエストメッセージに対する応答として、ログインの失敗を示すメッセージを含むレスポンスメッセージを生成してインターネットNを介して送信する。次に、ステップS314では、中継装置1の中継部F12が、当該レスポンスメッセージを受信し、端末3へ中継する。レスポンスメッセージは、トンネルT、VPNサービスアダプタ5を経由して端末3へ到達する。ステップS315では、端末3が、ログインの失敗を示すレスポンスメッセージを受信し、当該レスポンスメッセージの含むメッセージを表すWebページを表示する。
<作用効果>
以上説明した本実施形態では、端末3からのインターネットNへのアクセスに関し、アクセス先のサーバ2が、アクセスに関するIPパケットを転送したVPNサービスアダプタ5に関連付けられたグローバルIPアドレスを、送信元IPアドレスとして取得できた。そのため、サーバ2は、アクセスに関するIPパケットが、VPNサービスアダプタ5が設置され、アクセスの許可されたローカルネットワークLからのものであるか否かを、送信元IPアドレスにより判別できる。よって、アクセス元のローカルネットワークLでグローバルIPアドレスが変動するインターネットNの接続環境が用いられても、サーバ2が、アクセス元のIPアドレスに基づくアクセス制限や認証を行うことができる。
以上説明した本実施形態では、端末3からのインターネットNへのアクセスに関し、アクセス先のサーバ2が、アクセスに関するIPパケットを転送したVPNサービスアダプタ5に関連付けられたグローバルIPアドレスを、送信元IPアドレスとして取得できた。そのため、サーバ2は、アクセスに関するIPパケットが、VPNサービスアダプタ5が設置され、アクセスの許可されたローカルネットワークLからのものであるか否かを、送信元IPアドレスにより判別できる。よって、アクセス元のローカルネットワークLでグローバルIPアドレスが変動するインターネットNの接続環境が用いられても、サーバ2が、アクセス元のIPアドレスに基づくアクセス制限や認証を行うことができる。
また、本実施形態では、サーバ2において、パスワードによる認証処理と、送信元IPアドレスを照合するアクセス元による認証処理との2方式の認証処理が行われた。アクセス元による認証は、VPNサービスアダプタ5という物理的な機器に依拠している。そのため、アクセス元による認証は、パスワード等の認証情報と異なり、詐取に対して耐性がある。よって、より強固な認証が実現可能となる。
また、本実施形態では、ローカルネットワークLと中継装置1との間が、L2VPNのトンネルで結ばれ、VPNサービスアダプタ5と関連付けられたグローバルIPアドレスによるインターネットNへのアクセスが、インターネットNを介したクラウド型で提供された。そのため、各拠点Bと接続する物理回線等を敷設等せずに、簡易迅速に、グローバルIPアドレスを用いた各ローカルネットワークLからインターネットNへのアクセスを可能とする通信環境を構築できる。
また、本実施形態では、対象サーバIPアドレスリストに含まれない宛先IPアドレス
のIPパケットを、中継装置1へ転送せずに、ルータ6に、インターネットNへ送信させた。そのため、このようなIPパケットでは、VPNサービスアダプタ5に関連付けられたグローバルIPアドレスが送信元IPアドレスに設定されない。よって、端末3からのインターネットNへの全てのアクセスに対して当該グローバルIPアドレスが設定される場合と比べ、当該グローバルIPアドレスの値が悪意ある者等に知得されて悪用されるリスクを低減できる。
のIPパケットを、中継装置1へ転送せずに、ルータ6に、インターネットNへ送信させた。そのため、このようなIPパケットでは、VPNサービスアダプタ5に関連付けられたグローバルIPアドレスが送信元IPアドレスに設定されない。よって、端末3からのインターネットNへの全てのアクセスに対して当該グローバルIPアドレスが設定される場合と比べ、当該グローバルIPアドレスの値が悪意ある者等に知得されて悪用されるリスクを低減できる。
<変形例>
以上説明した実施形態1の通信システムでは、拠点BにおいてローカルネットワークLに接続された端末3からのサーバ2へのアクセスについて、中継装置1がグローバルIPアドレスの書き換えを伴った中継を行った。別の例として、拠点B外部にあり、ローカルネットワークLにVPN接続された端末3からのアクセスについても、中継装置1がグローバルIPアドレスの書き換えを伴って中継を行ってもよい。
以上説明した実施形態1の通信システムでは、拠点BにおいてローカルネットワークLに接続された端末3からのサーバ2へのアクセスについて、中継装置1がグローバルIPアドレスの書き換えを伴った中継を行った。別の例として、拠点B外部にあり、ローカルネットワークLにVPN接続された端末3からのアクセスについても、中継装置1がグローバルIPアドレスの書き換えを伴って中継を行ってもよい。
この例のL2VPNの構成について説明する。まず、L2中継装置4が、VPN接続要求を、インターネットNを介して拠点B外にある端末3から受け付ける。VPN接続要求には、接続先のローカルネットワークLに設置されたVPNサービスアダプタ5を識別するアダプタIDが含まれる。次に、L2中継装置4が、当該端末3が接続先のローカルネットワークLへの接続権限を有することを認証処理により確認した上で、L2中継装置4と当該端末3との間でデータリンク層のトンネルを確立する。次に、L2中継装置4は、VPN接続要求に含まれたアダプタIDが識別するVPNサービスアダプタ5との間で確立されたトンネル(例えば図4のT1B)が接続されるブリッジ(例えば図4のBR1)に、当該端末3との間で確立されたトンネルを接続する。このような接続により、拠点B外にある端末3がローカルネットワークLとL2VPNで接続されるとともに、当該端末3と中継装置1とがデータリンク層の通信を行うことが可能となる。
中継装置1では、上述の図10のステップS305、S306の例と同様に、端末3からサーバ2へのアクセスに関する通信の中継処理が行われる。中継装置1の中継部F12は、サーバ2を宛先としたリクエストメッセージを運ぶMACフレームを、確立されたトンネルを介して受信する。そして、中継部F12は、MACフレームから抽出したIPパケットを、送信元IPアドレスを書き換えた上で、サーバ2へ送信する。
このような通信システムによれば、アクセス先のサーバ3が、アクセスの許可されたローカルネットワークLにVPNで接続された端末3からのアクセスについても、送信元IPアドレスにより判別し、アクセス元に基づく認証を行うことができる。
<その他>
実施形態1では、課題を解決するための手段における「中継装置」が、中継装置として実施されたが、「中継装置」は、中継装置1及びL2中継装置4を含むシステムや、中継装置1の機能及びL2中継装置4の機能を兼ね備えた1台の装置として実施されてもよい。
実施形態1では、課題を解決するための手段における「中継装置」が、中継装置として実施されたが、「中継装置」は、中継装置1及びL2中継装置4を含むシステムや、中継装置1の機能及びL2中継装置4の機能を兼ね備えた1台の装置として実施されてもよい。
また、実施形態1では、ログインの際の認証処理において、送信元IPアドレスが照合されたが、ログインの際の処理に限らず、端末3からのIPパケットを用いたアクセスの都度、送信元IPアドレスが照合され、アクセス制限の処理が行われてもよい。
また、例えば、個人を識別することを要さないオンラインサービスを適用するサーバ等では、パスワードによる認証を実行せずに、アクセス元による認証処理のみが行われてもよい。このような認証処理は、例えば、特定の学校の教室に設置された複数台の端末全てに対してオンライン教材へのアクセスを許可するサーバに採用できる。
≪2.実施形態2≫
上述の実施形態1の通信システムでは、「通信識別情報」が、グローバルIPアドレスとして説明され、オンラインサービスを提供するサーバ2において、アクセス元のグローバルIPアドレスを用いた認証が行われた。これに対し、実施形態2の通信システムでは、「通信識別情報」が、確立されたトンネルによる通信を他の通信と識別するトンネルIDとして説明され、サーバにおいて、アクセス元のアダプタID(「転送装置識別情報」の一例)に基づくアクセス経路に関する認証が行われる。更に、実施形態2では、サーバにおいて、アクセス元のMACアドレス(「物理アドレス」の一例)に基づく認証も行われる。実施形態2では、課題を解決するための手段における「中継装置」が、L2中継装置として実施される。以下、実施形態2について、実施形態1と異なる点を中心に説明する。
上述の実施形態1の通信システムでは、「通信識別情報」が、グローバルIPアドレスとして説明され、オンラインサービスを提供するサーバ2において、アクセス元のグローバルIPアドレスを用いた認証が行われた。これに対し、実施形態2の通信システムでは、「通信識別情報」が、確立されたトンネルによる通信を他の通信と識別するトンネルIDとして説明され、サーバにおいて、アクセス元のアダプタID(「転送装置識別情報」の一例)に基づくアクセス経路に関する認証が行われる。更に、実施形態2では、サーバにおいて、アクセス元のMACアドレス(「物理アドレス」の一例)に基づく認証も行われる。実施形態2では、課題を解決するための手段における「中継装置」が、L2中継装置として実施される。以下、実施形態2について、実施形態1と異なる点を中心に説明する。
<ハードウェア構成>
L2中継装置は、実施形態1のL2中継装置4と同様に、CPU41、RAM42、ROM43、補助記憶装置44、NIC45A、NIC45B等を備えたコンピュータである。実施形態2では、NIC45A及びNIC45Bは、何れも、ゲートウェイ等を介してインターネットNと接続される。実施形態2では、実施形態1と異なり、通信システムは中継装置1を含まない。サーバ2、端末3、VPNサービスアダプタ5、及びルータ6のハードウェアは、実施形態1と同様である。
L2中継装置は、実施形態1のL2中継装置4と同様に、CPU41、RAM42、ROM43、補助記憶装置44、NIC45A、NIC45B等を備えたコンピュータである。実施形態2では、NIC45A及びNIC45Bは、何れも、ゲートウェイ等を介してインターネットNと接続される。実施形態2では、実施形態1と異なり、通信システムは中継装置1を含まない。サーバ2、端末3、VPNサービスアダプタ5、及びルータ6のハードウェアは、実施形態1と同様である。
<機能構成>
図11は、実施形態2に係る各装置の機能構成を例示する図である。図11には、L2中継装置4A及びサーバ2の主な機能構成が示されている。各装置の機能について、順に説明する。
図11は、実施形態2に係る各装置の機能構成を例示する図である。図11には、L2中継装置4A及びサーバ2の主な機能構成が示されている。各装置の機能について、順に説明する。
(L2中継装置4Aの機能)
L2中継装置4Aは、補助記憶装置44に記憶されているプログラムが、RAM42に読み出され、CPU41によって実行されることで、中継データベースD41、第1伝送路確立部F41、中継部F42、及び、第2伝送路確立部F43を備えるコンピュータとして機能する。中継データベースD41、第1伝送路確立部F41、中継部F42、及び、第2伝送路確立部F43は、それぞれ、「通信識別情報記憶手段」、「第1伝送路確立手段」、「中継手段」、「第2伝送路確立手段」の一例である。なお、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい。
L2中継装置4Aは、補助記憶装置44に記憶されているプログラムが、RAM42に読み出され、CPU41によって実行されることで、中継データベースD41、第1伝送路確立部F41、中継部F42、及び、第2伝送路確立部F43を備えるコンピュータとして機能する。中継データベースD41、第1伝送路確立部F41、中継部F42、及び、第2伝送路確立部F43は、それぞれ、「通信識別情報記憶手段」、「第1伝送路確立手段」、「中継手段」、「第2伝送路確立手段」の一例である。なお、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい。
図12は、実施形態2におけるアクセス元情報テーブルを例示する図である。アクセス元情報テーブルは、中継データベースD41が有するテーブルである。アクセス元情報テーブルに格納されるレコード1件は、1台のVPNサービスアダプタ5に関連付けられたトンネルIDの設定情報1件を表す。アクセス元情報テーブルのレコードは、アダプタID、及びトンネルIDのフィールドを有する。アダプタIDのフィールドは、トンネルIDと関連付けられたVPNサービスアダプタ5を表し、当該VPNサービスアダプタ5を識別するアダプタIDの値をとる。トンネルIDのフィールドは、関連付けられたVPNサービスアダプタ5を経由したアクセスに対して確立されたトンネルを識別するトンネルID(「第2伝送路識別情報」の一例)を表す。確立されたトンネルが存在しない場合、トンネルIDのフィールドは、未設定値となる。
第1伝送路確立部F41は、実施形態1の第1伝送路確立部F14と同様に、ローカルネットワークLに設置されたVPNサービスアダプタ5とL2中継装置4Aとの間で、IP通信によりインターネットNを経由してMACフレームを伝送する第1トンネル(「第
1伝送路」の一例)を確立する。
1伝送路」の一例)を確立する。
中継部F42は、VPNサービスアダプタ5との間で確立された第1トンネルとサーバ2との間で確立された第2トンネル(「第2伝送路」の一例)との間でMACフレームを中継して通信を中継する。
第2伝送路確立部F43は、VPNサービスアダプタ5から転送されたIPパケットを運ぶMACフレームを受信した場合に、IPパケットの宛先のサーバ2とL2中継装置4Aとの間で、インターネットNを経由してMACフレームを伝送する第2トンネルを確立する。
(サーバ2の機能)
サーバ2は、補助記憶装置24に記憶されているプログラムが、RAM22に読み出され、CPU21によって実行されることで、ユーザデータベースD21、認証部F21及び伝送路確立部F22として備えるコンピュータとして機能する。なお、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい。
サーバ2は、補助記憶装置24に記憶されているプログラムが、RAM22に読み出され、CPU21によって実行されることで、ユーザデータベースD21、認証部F21及び伝送路確立部F22として備えるコンピュータとして機能する。なお、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい。
ユーザデータベースD21は、実施形態1同様に、ユーザ認証情報テーブルを有する。図13は、実施形態2におけるユーザ認証情報テーブルを例示する図である。実施形態2のユーザ認証情報テーブルのレコードは、ユーザID、パスワード、許可アダプタID及び許可MACアドレスのフィールドを有する。
ユーザID及びパスワードのフィールドは、実施形態1と同様である。許可アダプタIDのフィールドは、ユーザに対して許可されるアクセスの経路を表し、経由を要するVPNサービスアダプタ5を識別するアダプタIDの値をとる。許可MACアドレスのフィールドは、許可されるアクセス元の端末3のMACアドレスを表す。許可アダプタID、許可MACアドレスのフィールドの値は、ユーザの申請に従って設定される。この申請は、例えば、ユーザがサーバ2により提供される申請画面のWebページに、アダプタID及び許可MACアドレスの値を入力することによって行われる。
認証部F21は、実施形態1と同様に、アクセス元のユーザがオンラインサービスの正規のユーザであるか否かを確認する認証処理を行う。実施形態2の認証部F21は、パスワードによる認証処理と、アクセス元のアダプタIDに基づくアクセス経路に関する認証処理と、アクセス元のMACアドレスによる認証処理との3方式の認証処理を行う。
伝送路確立部F22は、サーバ2とL2中継装置4Aとの間で、IP通信によりインターネットNを経由してMACフレームを伝送する第2トンネルを確立する。
<通信の中継の流れ>
図14は、実施形態2における認証の流れを説明する説明図である。図14には、サーバ2、サーバ2にアクセスする端末3A、3B、L2中継装置4A、VPNサービスアダプタ5A、オンラインサービスの正規のユーザがいる拠点B1、オンラインサービスの正規のユーザではない悪意ある者がいる拠点BN、及びインターネットNが示されている。図14には、正規のユーザ及び悪意ある者のそれぞれが、端末3A、3Bを用いてインターネットNを介してサーバ2へログインする際の通信データの流れが矢印DF21〜DF23を用いて例示されている。なお、この認証の流れが行われる前提として、許可アダプタID及び許可MACアドレスを含む正規のユーザに関する認証情報が、サーバ2のユーザ認証情報テーブルに登録されていることを要する。
図14は、実施形態2における認証の流れを説明する説明図である。図14には、サーバ2、サーバ2にアクセスする端末3A、3B、L2中継装置4A、VPNサービスアダプタ5A、オンラインサービスの正規のユーザがいる拠点B1、オンラインサービスの正規のユーザではない悪意ある者がいる拠点BN、及びインターネットNが示されている。図14には、正規のユーザ及び悪意ある者のそれぞれが、端末3A、3Bを用いてインターネットNを介してサーバ2へログインする際の通信データの流れが矢印DF21〜DF23を用いて例示されている。なお、この認証の流れが行われる前提として、許可アダプタID及び許可MACアドレスを含む正規のユーザに関する認証情報が、サーバ2のユーザ認証情報テーブルに登録されていることを要する。
正規のユーザがオンラインサービスの提供を受けようとする場合、まず、当該正規のユーザによって操作される端末3Aが、サーバ2宛てのユーザID及びパスワードを含んだログインを要求するIPパケットを、拠点B1に設置されたローカルネットワークへ送信する。ここで、端末3のNIC35からローカルネットワークLへ送信されるIPパケットを運ぶMACフレームの送信元MACアドレスには、端末3に割り当てられたMACアドレス、すなわち、端末3が備えるNICに固有に割り当てられたMACアドレスが設定される。当該MACフレームは、拠点B1に設置されたVPNサービスアダプタ5AとL2中継装置4Aとの間でインターネットNを介して確立された第1トンネルTを通ってL2中継装置4Aへ到達する(DF21)。ここで、第1トンネルTは、例えばL2TP/IPsecによるトンネリングによって実現される。
L2中継装置4Aは、当該MACフレームを第1トンネルTから受信する。そして、L2中継装置4Aの第2伝送路確立部F43は、受信元の第1トンネルTを終端するVPNサービスアダプタ5を識別するアダプタIDを含む伝送路確立要求を、当該MACフレームを運ぶIPパケットの宛先のサーバ2へインターネットNを介して送信する。L2中継装置4Aの第2伝送路確立部F43と、伝送路確立要求を受信したサーバ2の伝送路確立F22とが協調して、両者の間で第2トンネルTSを確立する。第2トンネルTSは、具体的には、L2TP/IPsecによるトンネリングによって実現される。
第2トンネルTSが確立されると、確立された第2トンネルTSを識別するためのトンネルIDが新たに割り振られ、当該トンネルIDは、L2TPの通信メッセージにおけるヘッダに付加されることになる。サーバ2は、受信した伝送路確立要求に含まれたアダプタIDと当該割り当てられたトンネルIDとを関連付けて記憶する。サーバ2は、第2トンネルTSと当該アダプタIDが識別するVPNサービスアダプタ5Aとの関連付けを記憶したことになる。一方、L2中継装置4Aは、当該トンネルIDを、アクセス元情報テーブルのレコードのうち、当該アダプタIDの値を有するレコードに格納する。L2中継装置4Aも、第2トンネルTSとVPNサービスアダプタ5Aとの関連付けを記憶したことになる。
次に、L2中継装置4Aの中継手段F42は、DF21でL2中継装置4Aに到達したMACフレームを、確立された第2トンネルTSを介してサーバ2へ送信する(DF22)。このとき、送信されるMACフレームには、上述のトンネルIDを含むヘッダがL2TPのプロトコルに従って付加される。当該MACフレームはサーバ2へ到達し、サーバ2では、認証部F21によって、ログインの処理として3方式の認証処理が順に実行される。1つ目は、受信されたIPパケットに含まれたパスワードによる認証処理である。2つ目は、アクセス元のアダプタIDに基づくアクセス経路に関する認証処理である。3つ目は、アクセス元のMACアドレスによる認証処理である。これら3方式の認証処理が成功し、ログインが許可されると、サーバ2が端末3Aのユーザにオンラインサービスを提供するようになる。
認証処理の各方式の詳細順に説明する。パスワードによる認証処理は、実施形態1と同様である(図10のステップS309を参照)。
アクセス元のアダプタIDに基づくアクセス経路に関する認証処理では、まず、サーバ2の認証部F21が、受信されたMACフレームを運んだL2TPのメッセージのトンネルIDを抽出する。次に、認証部F21は、抽出したトンネルIDと関連付けられて記憶されたアダプタIDが割り出す。次に、認証部F21は、ユーザデータベースD21のユーザ認証情報テーブルを参照して、当該割り出されたアダプタIDと、パスワードによる認証により認証されたユーザに対して登録された許可アダプタIDとを照合して認証の成否を判定する。ここでは、第2トンネルを経由したか否かが判定されており、アクセス経
路が認証されることになる。
路が認証されることになる。
アクセス元のMACアドレスによる認証処理では、まず、サーバ2の認証部F21が、受信されたMACフレームの送信元MACアドレスを抽出する。次に、認証部F21は、ユーザデータベースD21のユーザ認証情報テーブルを参照して、抽出した送信元MACアドレスと、パスワードによる認証により認証されたユーザに対して登録された許可MACアドレスとを照合して認証の成否を判定する。
正規のユーザをアクセス元としたログインの要求については、このような3方式の認証処理が全て成功することになる。一方、悪意ある者によって操作された端末3Bが、サーバ2にログインを要求するIPパケットを拠点BNからインターネットNを介してサーバ2へ送信し、当該IPパケットがサーバ2に到達したとする(DF23)。このとき、当該IPパケットには、詐取された正規のユーザのユーザIDとパスワードが含まれていたとする。この場合、当該IPパケットは、第2トンネルTSを経由しないため、サーバ2において、アクセス元のアダプタIDに基づくアクセス経路に関する認証処理が失敗することになる。また、仮に、悪意ある者が、拠点B1に進入して、拠点B1のローカルネットワークLに接続された端末3Bを操作したとしても、正規のユーザの端末3AのMACアドレスと悪意ある者の端末3BのMACアドレスが異なるため、アクセス元のMACアドレスによる認証処理が失敗することになる。サーバ2は、端末3Bからのログインの要求を不許可とし、アクセスを拒否することができる。
なお、本実施形態では、L2中継装置4Aの中継手段F42は、所定時間経過しても第2トンネルTSを用いて中継するMACフレームを受信しない場合、確立された第2トンネルTSを破棄してもよい。このようにすることで、ログイン等が許可されるアクセス経路となる第2トンネルTSが確立されている時間を制限して、セキュリティリスクを軽減するとともに、第2トンネルTSを維持することに伴うサーバ2の処理負荷の軽減を図ることができる。特に、サーバ2が、より多くの正規のユーザに対してオンラインサービスを提供する場合には、より多くの処理負荷の軽減が期待できる。
<作用効果>
以上説明した実施形態2では、サーバ2が、MACフレームを受信した第2トンネルのトンネルID及びトンネルIDに関連付けられたアダプタIDを用いて、MACフレームによるアクセスが、許可されたVPNサービスアダプタ5を経由したか否かを判別できた。よって、アクセス先のサーバ2が、アクセス元のローカルネットワークLに設置されたVPNサービスアダプタ5に基づくアクセス制限や認証を行うことができる。
以上説明した実施形態2では、サーバ2が、MACフレームを受信した第2トンネルのトンネルID及びトンネルIDに関連付けられたアダプタIDを用いて、MACフレームによるアクセスが、許可されたVPNサービスアダプタ5を経由したか否かを判別できた。よって、アクセス先のサーバ2が、アクセス元のローカルネットワークLに設置されたVPNサービスアダプタ5に基づくアクセス制限や認証を行うことができる。
更に、実施形態2では、サーバ2が、アクセスの起点である端末3から送信されたMACフレームを受信するため、送信元MACアドレスによるアクセス元の認証が行われた。この際、サーバ2へアクセスを行う端末3のユーザは、当該認証のための特別な操作を要しなかった。そのため、簡単な操作で、アクセスが許可される端末を限定した、よりセキュリティ強度の高い認証を行うことができる。
1 中継装置
2 サーバ
3、3A、3B 端末
4 L2中継装置
4A L2中継装置(中継装置)
5、5A、5B VPNサービスアダプタ
6、6A、6B ルータ
D11 中継データベース
D21 ユーザデータベース
D41 中継データベース
B、B1、B2、BN 拠点
L、L1、L2 ローカルネットワーク
N インターネット(通信網)
2 サーバ
3、3A、3B 端末
4 L2中継装置
4A L2中継装置(中継装置)
5、5A、5B VPNサービスアダプタ
6、6A、6B ルータ
D11 中継データベース
D21 ユーザデータベース
D41 中継データベース
B、B1、B2、BN 拠点
L、L1、L2 ローカルネットワーク
N インターネット(通信網)
Claims (10)
- 通信網の通信を中継する中継装置であって、
前記通信網と通信可能なローカルネットワークに設置された転送装置と関連付けて、前記転送装置を経由した通信を他の通信と識別する通信識別情報を記憶する通信識別情報記憶手段と、
前記転送装置から転送されたデータを受信した場合に、前記受信したデータとともに、前記転送元の転送装置に関連付けられた通信識別情報を、前記受信したデータの宛先へ送信して、前記データを中継する中継手段と
を備える中継装置。 - 前記通信識別情報は、前記中継装置に割り当てられた、前記通信網において通信ノードそれぞれを識別する論理アドレスであり、
前記中継手段は、前記中継するデータを含む、前記転送元の転送装置に関連付けられた論理アドレスが送信元アドレスの値に設定された前記通信網の通信データを、前記宛先へ送信する、
請求項1に記載の中継装置。 - 前記中継装置は、
前記通信網を介して転送装置を認証し、前記認証された転送装置と前記中継装置との間で、データに制御情報を付加して、前記データを前記通信網を経由して伝送する第1伝送路を確立する第1伝送路確立手段を更に備え、
前記中継手段は、前記確立された第1伝送路を介して前記転送装置から転送されたデータを受信した場合に、前記データを中継する、
請求項1または2に記載の中継装置。 - 前記中継装置は、
前記転送装置から転送されたデータを受信した場合に、前記転送装置を識別する転送装置識別情報を含む伝送路確立要求を前記データの宛先へ送信して、前記宛先と前記中継装置との間で前記通信網を経由してデータを伝送する第2伝送路を確立する第2伝送路確立手段を更に備え、
前記通信識別情報は、確立された第2伝送路による通信を他の通信と識別する第2伝送路識別情報であり、
第2伝送路における伝送では、前記第2伝送路による通信を識別する第2伝送路識別情報が伝送されるデータに付加され、
前記中継手段は、前記第2伝送路を介して、前記データを前記宛先へ送信する、
請求項1に記載の中継装置。 - 前記確立される第2伝送路は、データリンク層より上位層の通信により前記通信網を経由してデータリンク層のフレームを伝送する伝送路であり、
前記中継装置は、
前記転送装置と前記中継装置との間で、データリンク層より上位層の通信により前記通信網を経由してデータリンク層のフレームを伝送する第1伝送路を確立する第1伝送路確立手段を更に備え、
前記転送装置は、前記データを、前記データの送信元の物理アドレスが付加されたデータリンク層のフレームとして前記確立された第1伝送路を介して転送し、
前記中継手段は、前記データを、前記第1伝送路からデータリンク層のフレームとして受信して、前記第2伝送路を介して前記宛先へ転送する、
請求項4に記載の中継装置。 - 前記中継手段によって中継が行われた場合に、前記宛先へのアクセスがあったことを報知するデータを、前記転送元の転送装置に関連付けられて記憶された通知先へ通知する通知手段を更に備える、
請求項1から5の何れか一項に記載の中継装置。 - 通信網に接続されたサーバと、
前記サーバを宛先とする通信を中継する中継装置と、
前記通信網と通信可能なローカルネットワークに設置される転送装置と
を有する通信システムであって、
前記中継装置は、
前記転送装置と関連付けて、前記転送装置を経由した通信を他の通信と識別する通信識別情報を記憶する通信識別情報記憶手段と、
前記転送装置から転送されたデータを受信した場合に、前記受信したデータとともに、前記転送元の転送装置に関連付けられた通信識別情報を、前記受信したデータの宛先へ送信して、前記データを中継する中継手段と
を備え、
前記サーバは、前記データとともに前記中継装置から受信した通信識別情報に基づいて、認証処理を実行する、
通信システム。 - 前記サーバは、第1の認証方式及び第2の認証方式による認証処理を実行し、
前記第2の認証方式の認証処理では、前記中継装置から受信された通信識別情報が、ユーザごとに登録されている通信識別情報のうち、前記第1の認証方式により認証されたユーザに対して登録されている通信識別情報と一致した場合に、認証が成功したと判定される、
請求項7に記載の通信システム。 - 通信網の通信を中継する中継装置であって、
前記通信網と通信可能なローカルネットワークに設置された転送装置と関連付けて、前記転送装置を経由した通信を他の通信と識別する通信識別情報を記憶する通信識別情報記憶手段を有する中継装置が、
前記転送装置から転送されたデータを受信した場合に、前記受信したデータとともに、前記転送元の転送装置に関連付けられた通信識別情報を、前記受信したデータの宛先へ送信して、前記データを中継する中継ステップを実行する、
情報処理方法。 - 通信網の通信を中継する中継装置であって、
前記通信網と通信可能なローカルネットワークに設置された転送装置と関連付けて、前記転送装置を経由した通信を他の通信と識別する通信識別情報を記憶する通信識別情報記憶手段を有する中継装置に、
前記転送装置から転送されたデータを受信した場合に、前記受信したデータとともに、前記転送元の転送装置に関連付けられた通信識別情報を、前記受信したデータの宛先へ送信して、前記データを中継する中継ステップを実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014195552A JP2016066298A (ja) | 2014-09-25 | 2014-09-25 | 中継装置、通信システム、情報処理方法、及び、プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014195552A JP2016066298A (ja) | 2014-09-25 | 2014-09-25 | 中継装置、通信システム、情報処理方法、及び、プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016066298A true JP2016066298A (ja) | 2016-04-28 |
Family
ID=55804182
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014195552A Pending JP2016066298A (ja) | 2014-09-25 | 2014-09-25 | 中継装置、通信システム、情報処理方法、及び、プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016066298A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018160843A (ja) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | アドレス変換装置、情報処理システム及び情報処理システムの制御方法 |
JP7205958B1 (ja) | 2022-03-18 | 2023-01-17 | アイティオール株式会社 | 通信管理装置、通信管理方法、通信管理プログラムおよび通信管理システム |
JP7315270B1 (ja) | 2022-06-28 | 2023-07-26 | アイティオール株式会社 | 通信管理装置、通信管理方法、通信管理プログラムおよび通信管理システム |
JP7359477B2 (ja) | 2017-06-07 | 2023-10-11 | コネクトフリー株式会社 | ネットワークシステムおよび情報処理方法 |
-
2014
- 2014-09-25 JP JP2014195552A patent/JP2016066298A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018160843A (ja) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | アドレス変換装置、情報処理システム及び情報処理システムの制御方法 |
JP7359477B2 (ja) | 2017-06-07 | 2023-10-11 | コネクトフリー株式会社 | ネットワークシステムおよび情報処理方法 |
JP7205958B1 (ja) | 2022-03-18 | 2023-01-17 | アイティオール株式会社 | 通信管理装置、通信管理方法、通信管理プログラムおよび通信管理システム |
JP2023138230A (ja) * | 2022-03-18 | 2023-10-02 | アイティオール株式会社 | 通信管理装置、通信管理方法、通信管理プログラムおよび通信管理システム |
JP7315270B1 (ja) | 2022-06-28 | 2023-07-26 | アイティオール株式会社 | 通信管理装置、通信管理方法、通信管理プログラムおよび通信管理システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6255091B2 (ja) | プライベートデータを保護するセキュアプロキシ | |
US9729514B2 (en) | Method and system of a secure access gateway | |
JP4803116B2 (ja) | 仮想ネットワーク接続装置及びプログラム | |
CA2914426C (en) | Method for authenticating a user, corresponding server, communications terminal and programs | |
KR101966574B1 (ko) | 멀티-터널링 가상 네트워크 어댑터 | |
CN102356620B (zh) | 网络应用访问 | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
JP6337642B2 (ja) | パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント | |
US11405378B2 (en) | Post-connection client certificate authentication | |
JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
JP2019515608A (ja) | アクセス制御 | |
CN105592180B (zh) | 一种Portal认证的方法和装置 | |
CN106027565A (zh) | 一种基于pppoe的内外网统一认证的方法和装置 | |
CN110401641A (zh) | 用户认证方法、装置、电子设备 | |
US10171506B2 (en) | Network security management via social media network | |
JP2016066298A (ja) | 中継装置、通信システム、情報処理方法、及び、プログラム | |
JP2023162313A (ja) | 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法 | |
CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
CN111726328B (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
CN109067729A (zh) | 一种认证方法及装置 | |
KR102558821B1 (ko) | 사용자 및 디바이스 통합 인증 시스템 및 그 방법 | |
CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 | |
JP2016162278A (ja) | アクセス中継装置、情報処理方法、及びプログラム | |
KR101319570B1 (ko) | 중계장치에 의한 pc와 서버간의 접속 인증 방법, 이를 적용한 중계장치 및 컴퓨터로 읽을 수 있는 기록매체 | |
Hauser et al. | xRAC: Execution and Access Control for Restricted Application Containers on Managed Hosts |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20170508 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20170421 |