JP3909289B2 - ポータブルデバイスと企業ネットワークとの間の自発的仮想専用ネットワーク - Google Patents
ポータブルデバイスと企業ネットワークとの間の自発的仮想専用ネットワーク Download PDFInfo
- Publication number
- JP3909289B2 JP3909289B2 JP2002551723A JP2002551723A JP3909289B2 JP 3909289 B2 JP3909289 B2 JP 3909289B2 JP 2002551723 A JP2002551723 A JP 2002551723A JP 2002551723 A JP2002551723 A JP 2002551723A JP 3909289 B2 JP3909289 B2 JP 3909289B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- network
- user
- remote
- data center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
(発明の背景)
1.発明の分野
本発明は、ユーザが仮想専用ネットワークを介してデータにアクセスできるようにするための方法およびシステムに関する。より詳細に言えば、本発明は、自発的仮想専用ネットワークを介したネットワークデータへの制御されたモバイルリモートアクセスをユーザに提供するための方法およびシステムに関する。
【0002】
2.背景および関連分野
今日のビジネス世界では、多くの企業が自社のネットワークインフラストラクチャにファイアウォール(firewall)を導入することにより、自社のデータへの未許可アクセスを防止している。典型的にファイアウォールは、識別されないユーザがリモート位置からネットワークデータにアクセスするのを防止するように構成される。ファイアウォールは一般に、企業が自社のネットワークデータにアクセスする人物をより適切に管理できるようにするのに非常に有益であるが、モバイル職業人が事務所を離れているか、そうでなければネットワークデータへのローカルアクセスが得られない場合に、彼らが重要かつ緊急のビジネス情報から切り離されてしまうという望ましくない結果を招くものでもある。
【0003】
モバイル職業人がリモート位置からビジネス情報にアクセスできるようにするために、一部の企業では職業人の自宅またはサテライトオフィスからなどの、企業と指定のリモート位置との間に、仮想専用ネットワーク(VPN)を導入している。VPNの機能は、企業ネットワークと指定のリモート位置との間に、企業ファイアウォールを介したセキュア接続を開くことである。VPNは、ネットワークデータへのリモートアクセスを提供するのには有益であるが、企業ネットワークにおいておよび時にはリモート位置において、費用のかかるハードウェアおよび/またはソフトウェアを導入しなければならない。
【0004】
図1には、VPNを介したネットワークデータへのリモートアクセスを可能にするための、従来技術のシステムおよび方法の一実施形態が示されている。図に示されるように、ユーザ10は、リモート位置からVPNトンネル14を介して企業ネットワーク12と通信する。VPNトンネル14の各端にはVPNノード16、18がある。企業ネットワーク12では、VPNノード16は企業ネットワークのファイアウォール20をまたいでいる。ネットワークデータ22はVPNノード16にあるファイアウォール20およびVPNトンネル14を介してユーザ10に伝送される。従来技術によれば、リモート企業23は、VPNノード16とVPNノード26との間に示されるVPNトンネル24を介して企業ネットワーク12と通信することも可能である。
【0005】
VPNのハードウェアおよびソフトウェアは、VPNトンネルを介して伝送されるデータが傍受されないこと、およびユーザまたはリモート企業に企業ネットワークデータへのアクセスが許可されることを保証するために、VPNノードで暗号化技術および他のセキュリティ機能を使用する。ただし、VPNの利点は、適切なVPNソフトウェアおよび/またはハードウェアが導入されたリモート位置が離散的である場合に限定される。したがって、現在のところVPNは、企業ファイアウォールの背後に格納されたネットワークデータへのモバイルリモートアクセスはユーザに提供していない。具体的に言えば、従来技術のVPNでは、移動車両で通勤中のユーザが電話からネットワークデータにアクセスすることはできない。
【0006】
従来技術のVPNの確立に関連付けられた必然的な結果もある。具体的に言えば、VPNは、企業ネットワークとリモートVPNノードとの間でデータを伝送できるように、企業ファイアウォールにポートまたはホールを開ける必要がある。VPNポートでは、許可されたユーザのみがネットワークデータへのアクセスを与えられることを保証するためのハードウェアまたはソフトウェアを導入しなければならない。ただし、VPNにはユーザのアイデンティティを認証するためのセキュリティメカニズムがあるにもかかわらず、ハッカーが企業ネットワークへの未許可のアクセスを取得する可能性が増加している。たとえば、ハッカーは企業VPNノードのファイアウォールを攻撃するか、またはリモートVPNノード位置にあるリモートユーザのコンピューティングデバイスに侵入することによって、ネットワークデータへの未許可のアクセスを取得する場合がある。ハッカーがネットワークデータへのアクセスを取得できないようにするために、多くの企業では2次ファイアウォールをインストールしており、ハッカーが第1のファイアウォールを通って入ってきた場合、2次ファイアウォールに突入する前で止められる可能性が高い。
【0007】
図1は、ネットワークデータへの未許可のアクセスを防ぐための典型的なファイアウォール構成を示す図である。このファイアウォール構成には、1次ファイアウォール20、2次ファイアウォール28、および、1次ファイアウォール20と2次ファイアウォール28との間の領域である非武装地帯(DMZ)30が含まれる。
【0008】
多くの企業は、企業のファイアウォールインフラストラクチャを介して伝送されるデータを傍受およびフィルタリングするために、プロキシ(proxy)サーバを導入している。プロキシサーバは、他の多くの理由でも有益であり、その1つが、アクセス可能なインターネットサイトを企業が制限できるようにする一方で、企業ファイアウォールの背後からユーザがインターネットにアクセスできるようにすることである。さらにプロキシサーバは、ユーザ要求を伝送する際にプロキシとして働くことによって、インターネットユーザの真のアイデンティティを隠す。ユーザ要求を伝送する際にプロキシとして働くことにより、プロキシサーバはユーザ要求をフィルタリングすることが可能であり、その結果、認定された要求のみが受け付けられる。本質的には、プロキシサーバは、未許可の要求が受け付けられるのを禁止することによって、ファイアウォールインフラストラクチャの保護を強化することができる。インターネットアクセスのためにはファイアウォールインフラストラクチャに追加のホールまたはポートを開けなければならないため、従業員がインターネットにアクセスするのを許可している企業にとって、プロキシサーバは特に重要である。典型的には、これらのポートには「ポート80」および「ポート443」が含まれる。ファイアウォールおよびプロキシサーバは協働して、ポートを介して伝送されるデータを定義済みプロトコルに必ず準拠させることにより、インターネット上の未許可のユーザが企業ネットワークを介した制御を取得しないようにする働きをする。企業内から開始されるインターネットアクセスは、典型的にはファイアウォールに「ポート80」および「ポート443」を開ける必要があるが、適切なファイアウォールおよびプロキシサーバ構成を使用することによって、ハッカーが「ポート80」および「ポート443」を介して企業ネットワークへの未許可のリモートアクセスを取得する可能性を大幅に制限することができる。
【0009】
ただし、VPNによってファイアウォール内に作成されたホールは、たとえ有効なVPNハードウェアおよびソフトウェアを使用しても警備するのは困難である。VPNは、企業ファイアウォール内に新しく開かれたVPNポートおよびそれぞれのリモートVPNノードを含み、監視しなければならないフロントの数も増加させる。したがって、VPNは許可されたユーザがリモート位置からネットワークデータにアクセスできるようにするのに有益ではあるが、同様に、リモート位置からのネットワークデータへの未許可のアクセスを容易にするので好ましくない。VPNは、企業ファイアウォールの警備を困難にし、プロキシサーバの使用を困難にするものであり、したがってファイアウォールを弱体化し、許可未許可にかかわらず、ユーザにネットワークデータについての過剰な管理を与えるものである。さらにVPNは、導入および維持にかなりの費用がかかる。にもかかわらず、今日の企業はモバイル職業人がオフィスから離れた重要かつ緊急な情報にアクセスできるようにする必要があるため、多くの企業はリソースに対する出費や、VPNの確立に関連付けられたリスクを負うことをいとわない。
【0010】
前述の内容に鑑みて、当分野では現在、企業ファイアウォールの背後に格納されたネットワークデータへの管理されたアクセスを、関連付けられたファイアウォールインフラストラクチャを弱体化させることなく、経済的な方法で、モバイル職業人に提供することが求められている。さらに、VPNを介したネットワークデータへのモバイルリモートアクセスをユーザに提供し、その結果、離散的な事前に定義されるリモートVPNノード位置からネットワークデータを取得する必要がないようにすることも求められている。たとえば、モバイル職業人が移動車両で通勤中であっても、携帯電話デバイスからVPNを介して電子メールメッセージにアクセスできるようにすることも、当分野での進歩となろう。
【0011】
(発明の概要)
本発明は、企業ファイアウォールで費用のかかるソフトウェアまたはハードウェアを導入する必要なしに、またファイアウォールインフラストラクチャを弱体化させることになる企業のファイアウォールでの追加のポートまたはホールを開けることなしに、むしろ事前に開けられた(pre-opened)インターネットポートを介してセキュアなデータトンネルを確立することにより、仮想専用ネットワーク(VPN)を介した企業ネットワークデータへの制御されたモバイルリモートアクセスをユーザに提供するための方法およびシステムに関する。
【0012】
本発明は、モバイル職業人が、絶えず移動しながらも、費用のかかるVPNソフトウェアおよびハードウェアで構成しなければならない事前に定義される離散的なVPNノード位置からリモートアクセスを取得する必要なしに、電子メールなどの重要かつ緊急なビジネス情報に企業ファイアウォールの背後からリモートにアクセスできるようにするものである。
【0013】
リモートユーザは、企業ネットワークとの確立されたデータトンネルを有するデータセンタと通信することにより、ビジネスまたは企業の位置からネットワークデータにアクセスすることができる。企業ネットワークが初期データ要求をデータセンタに送信し、データセンタが回答データの進行中の送信で回答すると、データトンネルが確立される。企業ネットワークは、インターネット「ポート80」または「ポート443」などの事前に開かれたネットワークポートを介して、初期データ要求を送信し、回答データを受信する。データセンタはWebサーバを使用して企業ネットワークと通信し、企業ネットワークは自発的仮想専用ネットワーク(SVPN)モジュールを使用してデータセンタと通信する。
【0014】
一実施形態では、SVPNモジュールは企業ネットワーク内からデータ要求を開始し、結果として生じる通信チャネルが確実に開いたままであるようにこのチャネルを監視する。チャネルが何らかの理由で閉じた場合、SVPNモジュールは再度データ要求を開始し、新しいチャネルを開く。データ要求には、統一資源識別子(URI/Uniform Resource Identifier)、またはデータセンタのWebサーバに関連付けられたリソースにアクセスするための要求が含まれる。データセンタのWebサーバは、この要求に応答してURLに関連付けられた回答データを進行中の方式で企業ネットワークに返送し、その結果データセンタと企業ネットワークとの間の通信チャネルが開かれたままになる。実際には、データセンタが企業ネットワークへの回答データの送信を完了することは決してない。Webサーバは、任意の開かれた通信チャネルの状況に関するデータセンタのデータベースも更新する。データベースは、データセンタが複数のWebサーバを含み、そのうちの1つのみが企業ネットワークとの開かれた通信チャネルを有する場合に、特に有用である。
【0015】
データセンタと企業ネットワークとの間の通信のチャネルは、VPNトンネルとして動作するデータトンネルである。データは、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、セキュアソケットレイヤプロトコルを備えたハイパーテキスト転送プロトコル(HTTPS)、およびIPセキュリティプロトコル(IPsec)を使用してパケットで暗号化され、企業ネットワークの「ポート443」を使用してデータトンネルを介して伝送される。他の実施形態では、データトンネルは「ポート80」を介して確立され、データはTCP/IP、IPsec、および、セキュアソケットレイヤプロトコル(SSL)を使用しないハイパーテキスト転送プロトコル(HTTP)を使用して暗号化される。一実施形態では、プロキシサーバが、ポートを介して伝送されるデータをスクリーニングして、定義済みプロトコルに確実に準拠させる。
【0016】
企業ネットワークからのネットワークデータにアクセスしようとするリモートユーザは、インターネットに接続された電話デバイスまたはコンピュータデバイスなどの通信デバイスを使用して、データセンタとの通信回線を開く。次にユーザは、ネットワークデータにアクセスするための要求を生成し、この要求をデータセンタに伝送する。電話デバイスが使用される場合は、次にデータセンタがアクセス要求を電話ノードで受け取り、電話ノードがデータセンタ内に含まれるWebサーバのうちの1つにアクセス要求を伝送する。Webサーバが企業ネットワークとの確立されたデータトンネルを有する場合は、次にアクセス要求がデータトンネルを介してWebサーバから企業ネットワークのSVPNモジュールへと伝送される。ただし、Webサーバと企業ネットワークとの間に開かれたデータトンネルがない場合、Webサーバはデータベースをチェックして、確立されたデータトンネルを介して回答データを企業ネットワークに伝送している他のサーバがデータセンタにあるかどうかを調べる。企業ネットワークとの開かれたデータトンネルを維持している他のWebサーバがある場合、次に電話ノードに通知され、アクセス要求が他方のWebサーバに転送され、続いて他方のWebサーバから企業ネットワークのSVPNモジュールに伝送される。
【0017】
企業ネットワークは、ネットワークデータに関してSVPNモジュールが許可するように構成された任意の動作を実行することにより、SVPNモジュールで受け取られたアクセス要求を処理する。一実施形態では、アクセス要求の処理には、電子メールデータまたはWebページデータの受信およびユーザへのデータの返信が含まれる。他の実施形態では、SVPNモジュールは、リモートユーザがアクセスおよび操作できるデータに対して企業の管理を保持しながら、事前に定義される機能がネットワークデータに関して実行できるように構成される。事前に定義される機能には、電子メールメッセージの削除および電子メールメッセージのユーザへのファックス送信が含まれるが、これらに限定されるものではない。
【0018】
SVPNモジュールは、任意の要求されたデータをデータセンタに伝送することによって、データセンタとの第2のデータトンネルを確立する。第2のデータトンネルは一時データトンネルであり、企業ネットワークと、第1のデータトンネルを介して企業ネットワークと通信しているものと同じWebサーバとの間に確立される。データセンタによってネットワークデータが受け取られるとすぐに、第2のデータトンネルは閉じられ、リモートユーザにネットワークデータへのアクセスが提供される。ユーザがデータセンタとの通信に電話デバイスを使用する場合、要求されたネットワークデータは、デジタル表示形式または音声形式などのわかりやすい形式で、Webサーバからデータセンタの電話ノードを介してユーザの電話デバイスに伝送される。たとえば、ネットワークデータが電子メールメッセージを含む場合、電子メールのテキストをユーザの電話デバイスの液晶ディスプレイ(LCD)上に表示するか、または電話デバイスを介してユーザに読み上げることができる。あるいはユーザは、データセンタのWebサーバとの直接のインターネット通信リンクを開くことによって、インターネットを介してネットワークデータに直接アクセスすることができる。
【0019】
一実施形態では、データセンタがユーザのアイデンティティを認証した後に、ユーザは要求されたネットワークデータにアクセスできるようになる。これは、ユーザに秘密の個人識別番号を入力するように要求することによって達成される。
【0020】
前記内容に鑑みて、本発明は従来技術を超える改良であることを理解されたい。具体的に言えば、本発明は、企業がデータトンネルを介したネットワークデータへのアクセス許容量を制限する機能を保持しながら、ユーザがセキュアデータトンネルを介したネットワークデータへのモバイルリモートアクセスを有することができるようにするものである。
【0021】
本発明の追加の特徴および利点については以下の説明で述べるものとし、一部は説明から明らかとなるか、または本発明の実施によって習得することができる。本発明の特徴および利点は、添付の特許請求の範囲で具体的に指摘された手段および組合せによって、理解および取得することができる。本発明のこれらおよび他の特徴は、以下の説明および添付の特許請求の範囲からより完全に明らかになるか、または以下で述べる本発明の実施によって習得することができる。
【0022】
本発明の前述および他の利点および特徴が取得できる方法について記載するために、上記で簡単に述べた本発明について、添付の図面に示された特定の実施形態を参照しながらより具体的に説明する。これらの図面は本発明の典型的な実施形態のみを示したものであり、したがって本発明の範囲を限定するものとはみなされないことを理解した上で、添付の図面を使用して、本発明の追加の特性および詳細について記述および説明する。
【0023】
(発明の詳細な説明)
本発明は、ユーザがポータブルデバイスを使用して、モバイルリモート位置から自発的仮想専用ネットワークを介して企業ネットワークのネットワークデータにアクセスできるようにするための方法およびシステムの両方に及ぶものである。
【0024】
ユーザは、電話またはコンピュータデバイスを使用して電子メールなどのネットワークデータへのアクセス要求を生成し、このアクセス要求をデータセンタに伝送する。データセンタはユーザのアイデンティティを認証し、仮想専用ネットワーク(VPN)として動作する確立されたデータトンネルを介してアクセス要求を適切な企業ネットワークへ伝送する。データトンネルは、企業ネットワークからデータセンタに伝送されたデータ要求に応答して開かれる。アクセス要求が受信されると、企業ネットワークはネットワークデータを取り出し、このネットワークデータを第2のデータトンネルを介してデータセンタに伝送し、次にこのデータがユーザに伝送される。
【0025】
本発明の実施形態は、コンピュータ実行可能命令またはデータ構造を格納したコンピュータ読取り可能媒体を含むか、またはこれに組み込まれる。コンピュータ読取り可能媒体の例には、RAM、ROM、EEPROM、CD−ROM、または他の光ディスク記憶装置、磁気ディスク記憶装置または他の磁気記憶デバイス、あるいは、コンピュータ実行可能命令またはデータ構造の形で所望のプログラムコード手段を搬送または格納するために使用可能であり、汎用コンピュータまたは専用コンピュータがアクセス可能な、任意の他の媒体が含まれる。情報がネットワーク、トンネル、チャネル、または他の通信接続(ハードワイヤード、ワイヤレス、あるいは、ハードワイヤードまたはワイヤレスの組合せのいずれか)を介してコンピュータに転送または提供されるときに、コンピュータは接続をコンピュータ読取り可能媒体として適切にみなす。したがって任意のこうした接続は、厳密にコンピュータ読取り可能媒体と呼ばれる。前述の組合せも、コンピュータ読取り可能媒体の範囲内に含まれるものとする。コンピュータ実行可能命令は、たとえば、汎用コンピュータ、専用コンピュータ、または専用処理デバイスに一定の機能または機能グループを実行させる、命令およびデータを含む。コンピュータ実行可能命令および関連するデータ構造またはモジュールは、本明細書で開示された本発明のステップを実行するためのプログラムコード手段の一例を表す。
【0026】
さらに本発明は、企業ネットワークファイアウォールの背後に格納された企業ネットワークのネットワークデータにリモートユーザがアクセスできるようにするための、コンピュータシステムにも及ぶ。これには、企業ネットワークとデータセンタとの間の仮想専用ネットワークとして動作するデータトンネルを開くこと、およびデータトンネルを介してネットワークデータを伝送することも含まれるが、これらに限定されるものではない。当分野の技術者であれば、本発明が、ポータブルコンピュータ、電話、ワイヤレス電話、PDA、パーソナルコンピュータ、マルチプロセッサシステム、ネットワークPC、ミニコンピュータ、メインフレームコンピュータなどを含む、多くのタイプのコンピュータおよび電話システムを備えた、多くの環境で実施可能であることを理解されよう。
【0027】
1.システム環境
図2は、ユーザ10が、データセンタ44と企業ネットワーク40との間の仮想専用ネットワーク(VPN)として動作するデータトンネル42を介して企業ネットワーク40のネットワークデータ22にアクセスできるようにするための、本発明のシステムおよび方法の一実施形態を示す図である。一実施形態では、企業ネットワーク40は、ファイアウォール20および28の背後で未許可のアクセスから保護されたネットワークデータ22を含む、企業のコンピュータネットワークである。
【0028】
本明細書で使用される場合、「企業ネットワーク」という用語は、相互にリンクされた処理デバイスによってタスクが実行される任意のコンピューティング環境を含むように、広義に解釈されるものとする。たとえば企業ネットワーク40は、任意の企業、組合、個人、または他の団体のコンピューティング環境を含むことができる。企業ネットワーク40では、本発明の機能を実行するためのコンピュータ実行可能命令およびプログラムモジュールを、ローカルおよびリモートのメモリ記憶デバイス内に配置することができる。
【0029】
「ネットワークデータ」および「企業ネットワークデータ」という用語は、ローカルおよびリモートのメモリ記憶デバイスに格納され、企業ネットワーク40にアクセス可能な、任意のデータを含むように解釈されるものとする。たとえばネットワークデータ22は、電子メールデータまたはWebページデータを含むことができる。一実施形態では、ネットワークデータ22は、ファイアウォール20および28を含むファイアウォールインフラストラクチャの背後で保護される。ただし、ネットワークデータ22は、たとえファイアウォールインフラストラクチャの背後で保護されていない場合でも、企業ネットワーク40にアクセス可能な任意のデータを含むことができる。
【0030】
「トンネル」という用語は、データがセキュアに伝送可能な任意のチャネルまたは他の通信回線を含むように解釈されるものとする。当分野の技術者であれば、トンネルを介して伝送されるデータが前記データへのアクセスを許可された識別済みユーザにのみ送達されるように、トンネルを介したセキュアな通信を可能にするために使用できる暗号化および認証の多数のプロトコルおよび方法があることを理解されよう。さらに、「トンネル」、「データトンネル」、および「チャネル」という用語は、本明細書で使用される場合は相互に交換可能であることも理解されたい。トンネルは、企業のファイアウォールインフラストラクチャを介したネットワークデータへのセキュアリモートアクセスを可能にすることによって、仮想専用ネットワークとして動作する。
【0031】
本発明によれば、図3に示されるように、データトンネル42は企業ネットワーク40とデータセンタ44との間に確立される。企業ネットワーク40がデータ要求50をデータセンタ44に伝送し、データセンタ44が回答データ53の進行中の伝送で回答すると、データトンネル42が開かれる。本明細書で使用される場合、「データ要求」という用語は、データセンタからのデータに関する要求を含むように広義に解釈されるものとし、Webページ、ハイパーテキストマークアップ言語(HTML)データ、拡張可能マークアップ言語(XML)データ、またはWebサーバ60の他のデータリソースへのアクセスを提供するためのデータセンタへの要求を表す、統一資源識別子(URI)を含むことができる。
【0032】
図に示されるように、データ要求50および回答データ53は、企業ネットワーク40のファイアウォール20および28を介して伝送される。当分野の技術者であれば、ファイアウォール20および28がハードウェア、ソフトウェア、またはその両方の組合せを含むことができることを理解されよう。本来ファイアウォールとは、ネットワークの指定されたポートを介したアクセスを禁止し、ネットワークデータが未許可のユーザによってファイアウォールの外部からアクセスされないことを保証する、セキュリティメカニズムである。
【0033】
図3にも示されているように、データセンタ44は、この実施形態ではWebサーバ60を含むサーバでデータ要求50を受信する。図2に示されるように、データセンタ44は複数のWebサーバ60、60a、および60bを含むことができることを理解されたい。複数のWebサーバ60、60a、および60bは、データセンタ44が複数の企業ネットワークと通信し、図示されていない複数のデータトンネルを維持できるようにするものである。本発明によれば、単一の企業ネットワークと単一のWebサーバとの間、または単一の企業ネットワークと複数のWebサーバとの間に、複数のデータトンネルを確立することができることを理解されたい。
【0034】
ここで図3に戻ると、企業ネットワーク40は自発的仮想専用ネットワーク(SVPN)モジュール52を使用して、実際にデータ要求50をデータセンタ44に伝送し、これに応答して回答データ53を受信する。回答データ53は、データ要求50の受信に応答してデータセンタによって伝送され、データセンタ44と企業ネットワーク40との間のトンネル42を開いたままにしておくように進行中の方法で伝送される、任意のデータを含むように解釈されるものとする。一実施形態では、これは企業ネットワーク40がWebサーバ60にWebページを開くように要求したときに達成され、Webページは、HTML文書またはXML文書などのWebサーバ60によって提供される任意のタイプのデータリソースであってよい。これに応答して、Webサーバ60はWebページの伝送を開始し、データの伝送が無期限の長い持続時間を有するような速度で、進行中の方法で伝送する。これにより、回答データ53を企業ネットワーク40に連続して伝送することによって、トンネル42は開かれたままとなる。
【0035】
SVPNモジュール52は、トンネル42が確実に開いたままであるように監視する。何らかの理由でトンネル42が閉じると、SVPNモジュールは、新しいデータ要求をデータセンタ44に伝送することによって、データセンタ44との新しいデータトンネルを開く。本明細書では、具体的にはSVPNモジュール52によって実行されるものとしていくつかの動作について述べるが、企業ネットワーク40がSVPNモジュール52を含む限りは、SVPNモジュール52によって実行される動作は、いずれも企業ネットワーク40によって実行される動作でもあることを理解されたい。
【0036】
ここで図2に戻ると、データセンタ44はデータベース62を含む。データベース62は、Webサーバ60によって維持される任意のデータトンネル42を追跡する。Webサーバ60はデータベース62と通信し、データトンネル42の状況をデータベース62に通知する。これにより、データセンタ44は、ネットワークデータ22に関するユーザの要求を適切なWebサーバ60に伝送することができる。ネットワークデータ22に関するユーザ要求は、本明細書ではアクセス要求70と呼ばれる。アクセス要求70は、ユーザ10によって開始された通信回線84を介して、データセンタ44によって受信される。
【0037】
一実施形態では、ユーザ10はアクセス要求70を生成し、電話デバイスを使用してこのアクセス要求70をデータセンタ44に伝送する。この実施形態によれば、データセンタ44の電話ノード80がユーザ10からのアクセス要求70を受信する。アクセス要求70を受信すると、電話ノード80はWebサーバ60と通信する。Webサーバ60が、ネットワークデータ22の要求元である適切な企業ネットワーク40との確立されたデータトンネル42を有する場合、アクセス要求70はWebサーバ60に伝送される。ただし、Webサーバ60が適切な企業ネットワーク40とのトンネル42を確立していない場合、Webサーバ60は、任意のWebサーバがあれば、どのWebサーバが適切な企業ネットワーク40とのトンネル42を確立しているかを判別するためにデータベース62と通信し、この場合アクセス要求70は適切なWebサーバに転送される。
【0038】
代替実施形態では、電話ノード80がデータベース62と直接通信して、どのWebサーバが、アクセス要求70がネットワークデータ22へのアクセスを要求する適切な企業ネットワーク40との確立されたトンネルを有するかを確認する。他の実施形態では、ユーザはWebサーバ60との直接の通信回線84を開始する。これはたとえば、ユーザがインターネットを介してWebサーバ60にアクセスしたとき、またはWebサーバ60のWebページが、パーソナルコンピュータまたはデータへのグラフィカルアクセスを提供できる他のデバイスを使用して、ユーザによってインターネットを介して開かれたときに達成される。
【0039】
データセンタ44と企業ネットワーク40との間のデータトンネル42は、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、セキュアソケットレイヤプロトコルを備えたハイパーテキスト転送プロトコル(HTTPS)、およびIPセキュリティプロトコル(IPsec)を使用する。これらのプロトコルを使用して、データ要求、ネットワークデータ、回答データ、およびアクセス要求はパケットで暗号化され、企業ネットワークの図示されていない「ポート443」を使用してデータトンネル42を介して伝送される。「ポート443」は、ユーザがファイアウォール20および28内の企業ネットワーク40からインターネットにアクセスできるようにするために、すでに開かれている。
【0040】
他の実施形態では、データトンネル42が企業ネットワークの「ポート80」を介して確立され、その結果、データ要求、ネットワークデータ、回答データ、およびアクセス要求はTCP/IP、IPsec、およびセキュアソケットレイヤプロトコル(SSL)を使用しないハイパーテキスト転送プロトコル(HTTP)を使用して暗号化される。本発明は、レイヤ2転送(L2F/Layer Two Forwarding)およびレイヤ2トンネリングプロトコル(L2TP/Layer Two Tunneling Protocol)を含む、任意のインターネットトンネリングプロトコルを使用できることを理解されたい。「ポート80」も、企業ネットワーク40のファイアウォールインフラストラクチャ内からのインターネットアクセスを可能にするために、すでに開かれている。この実施形態によれば、図3〜4に示されるように、プロキシサーバ82はデータパケットが定義済みのプロトコルに準拠していることを検証するために、データパケットをフィルタリングする。データ要求50、ネットワークデータ22、回答データ53、またはアクセス要求10が適切にパケット化されていない場合、プロキシサーバ82はデータトンネル42を通過させない。この方法では、プロキシサーバ82が、許可されたデータ伝送および要求のみがデータトンネル42を介して企業ネットワーク40から外へまたは企業ネットワーク40内部に確実に伝送されるようにすることにより、ファイアウォールインフラストラクチャの保護を強化する。
【0041】
前述のように、本発明はファイアウォールインフラストラクチャ内に以前から存在する開かれたポートを使用して、リモートモバイル位置からのセキュアなVPNタイプ通信を実行可能にする。したがって、本発明は、高度かつ費用のかかるVPNハードウェアおよびソフトウェアを設置する必要が生じるような、ファイアウォールインフラストラクチャ内で追加ポートを開く必要がないため、従来技術を超える改良であることを理解されたい。さらに本発明は、プロキシサーバが、ポートを介して伝送されるどんなデータパケットも定義済みプロトコルに確実に準拠するようにフィルタリングできるようにするものである。
【0042】
上記で述べたシステムおよび環境は、ユーザがポータブルデバイスを使用して、リモート位置から仮想専用ネットワークを介して企業ネットワークのネットワークデータにアクセスできるようにするための、本発明の方法を実施するための好適な環境およびシステムである。
【0043】
2.ネットワークデータへのユーザアクセス
ユーザがリモート位置からネットワークデータにアクセスできるようにするための本発明の方法の一実施形態が、図4および5に示されている。ここで図4を見ると、リモート位置から企業ネットワーク40のネットワークデータ22にアクセスしようとするユーザ10は、インターネットに接続された電話デバイスまたはコンピューティングデバイスなどの通信デバイスを使用して、データセンタ44との通信回線84を開く。データセンタ44は、ユーザ10が企業ネットワーク40のネットワークデータ22にアクセスする権限を有することを検証するために、ユーザ10のアイデンティティを認証する。一実施形態では、ユーザが電話デバイスまたはインターネットコンピューティングデバイスを使用して個人識別番号を入力すると、ユーザのアイデンティティが認証される。他の実施形態では、ユーザ10に割り当てられた対応する公開鍵および秘密鍵を有する対鍵(twin−key)暗号化などの暗号化技術を使用し、インターネットを介してユーザのアイデンティティが確認される。当分野の技術者であれば、いずれも本発明に従って使用可能な、ユーザのアイデンティティを認証するためのさまざまな方法があることを理解されよう。ユーザのアイデンティティを認証するための他のこうした方法にはトークンおよびスマートカードが含まれるが、これらに限定されるものではない。
【0044】
いったんユーザ10のアイデンティティが認証されると、ユーザは、データセンタ44にアクセス要求を伝送し、ここでWebサーバ60によって受信される。アクセス要求70は、ネットワークデータ22へのアクセスを要求する任意の要求を含むことができる。たとえば、アクセス要求70は、ファイアウォールインフラストラクチャの背後に保護されたかまたは企業ネットワークにアクセス可能な、電子メールメッセージ、Webページ、または企業ネットワークの他のデータへのアクセスを受信する要求を含むことができる。一実施形態では、ユーザ10はコンピュータデバイスを使用して、インターネットを介してWebサーバ60との通信回線84を開く。この実施形態では、アクセス要求70はWebサーバ60によって直接受信される。他の実施形態では、ユーザ10は電話デバイスを使用してデータセンタ44にアクセス要求70を伝送する。この代替実施形態によれば、図2を参照して上記で説明したように、アクセス要求は電話ノード80を介してWebサーバ60によって間接的に受信される。
【0045】
アクセス要求70を受信すると、Webサーバ60は、図2および3を参照しながら上記で説明したように、企業ネットワーク40の初期要求で開かれた確立されたデータトンネル42を介してアクセス要求70を企業ネットワーク40に伝送する。アクセス要求70は、回答データ53と共にパケット化される。
【0046】
アクセス要求70は、SVPNモジュール52で企業ネットワーク40によって受信される。企業ネットワーク40は、アクセス要求70によって要求されたネットワークデータ22に関して任意の動作を実行することによって、アクセス要求70を処理する。一実施形態では、ネットワークデータに関して実行可能な動作が、SVPNモジュール52の構成に従って事前に定義される動作に限定される。事前に定義される動作は、企業ネットワークがSVPNモジュール52に実行可能にさせたい任意の動作を含むことができる。ネットワークデータ22に関してどの動作が実行されるかをSVPNモジュール52が制御できるようにすることによって、企業ネットワーク40はネットワークデータ22へのアクセス制御を維持し、ネットワークデータ22が企業ネットワーク40内でどのように操作されるかを制御することができる。事前に定義される動作は、電子メールヘッダの取出し、電子メールメッセージ本体の取出し、Webページデータの取出し、電子メールの削除、電子メールデータまたはWebページデータのユーザへのファックス送信、ネットワークデータ22のデータセンタ44への送信を含むことができるが、これらに限定されるものではない。SVPNモジュール52は、Post Office Protocol(POP)またはSimple Mail Transfer Protocol(SMTP)を含むことができるがこれらに限定されることのない適切な手段を使用して、企業ネットワークからネットワークデータを取得する。
【0047】
SVPNモジュール52は、第2のデータトンネル90を介してネットワークデータ22をデータセンタ44に返信する。第2のデータトンネル90は、企業ネットワーク40とデータセンタ44との間の一時仮想専用ネットワークとして動作する。データトンネル90は、データトンネル42に使用されるものと同じポート、インターネット「ポート443」を介して確立され、上記と同じプロトコルを使用して、データ伝送のセキュリティを保証する。他の実施形態では、対応するプロトコルと共に「ポート80」が使用される。プロキシサーバ82は、所望のプロトコルが確実に準拠されるようにする。
【0048】
データトンネル90は、回答データ53を企業ネットワーク40に送信しているものと同じWebサーバ60で確立されるか、またはデータセンタ44の表示されていない別のWebサーバで確立される。データトンネル90は閉じられ、ネットワークデータ22がデータセンタ44によって受信されると同時に、ネットワークデータ22へのアクセスがユーザ10に提供される。ユーザ10によってデータセンタ44と通信するために電話デバイスが使用される場合、ネットワークデータ22は図2に示された電話ノード80を介してWebサーバ60からユーザに送信される。
【0049】
本発明は、ユーザがネットワークデータへの音声アクセスを受け取れるようにするために、音声インターフェースを電子文書に提供するための方法と組み合わせて実施できることを理解されたい。一実施形態では、ネットワークデータ22は電子メールメッセージを含み、データセンタ44はユーザの電話デバイスを介して電子メールメッセージのテキストをユーザ10に対して読み上げるか、あるいは電子メールメッセージをユーザの電話デバイス上に表示する。他の実施形態では、ユーザ10は、Webサーバ60と直接確立された通信回線84からインターネットを介してネットワークデータ22に直接アクセスする。
【0050】
ユーザは、それぞれが別々に処理されるアクセス要求をいくつでも生成することができる。ユーザ要求を別々のトランザクションに分けることにより、本発明は、許可されたユーザまたは未許可のユーザのネットワークデータに関する管理が多くなり過ぎないようにすることで、ネットワークデータのセキュリティおよび管理を強化する。
【0051】
図5は、本発明の一実施形態を示す流れ図である。図に示されるように、ステップ100では、企業ネットワークがデータ要求をデータセンタに送信する。ステップ102でデータ要求を受信すると、データセンタはステップ104で進行中の回答データを企業ネットワークに返信する。一実施形態では、回答データにHTMLデータおよびXMLデータなどのマークアップ言語データが含まれる。ステップ106では、企業ネットワークが進行中の回答データを受信する。ステップ100〜106で、企業ネットワークとデータセンタとの間にデータトンネルが確立される。一実施形態では、「ポート443」を介してデータトンネルが確立される。他の実施形態では、「ポート80」を介してデータトンネルが確立される。
【0052】
ユーザは、ステップ108でデータセンタへ最初に接続することによって、企業ネットワークのネットワークデータにアクセスする。次にユーザは、ステップ110でアクセス要求を生成し、データセンタに送信する。一実施形態では、アクセス要求はユーザによって電話デバイスを使用して生成される。代替の実施形態では、ユーザはコンピュータを使用してインターネットを介してアクセス要求を生成する。ステップ112でアクセス要求を受信すると、データセンタはステップ114で、ステップ100〜106で確立されたデータトンネルを介してアクセス要求を企業ネットワークに送信する。
【0053】
企業ネットワークは、ステップ116でアクセス要求を受信し、ステップ118でアクセス要求が有効なアクセス要求であるかどうかを判別する。これは、アクセス要求が事前に定義される許可された動作のみがネットワークデータ上で実行されるように要求することの検証を含むことができる。ユーザのアイデンティティの妥当性検査動作を含むこともできる。限定的ではなく例示的なものとして、ステップ118では、意思決定の結果、電子メールメッセージの取出しが有効な要求であること、および添付の実行可能プログラムが有効な要求でないものとする。有効なアクセス要求の構成内容は事前に決定しておくことが可能であり、SVPNモジュールによって制御される。アクセス要求が有効でない場合、企業ネットワークは要求を処理せず、ステップ120で有効な要求が受信されるまで待機する。
【0054】
アクセス要求が有効であり、ネットワークデータをユーザに返信するように要求する場合、ステップ124でネットワークデータが取り出され、その後、ステップ126に示された企業ネットワークとデータセンタの間に開かれた一時データトンネルを介して、ステップ128でデータセンタに送信される。この実施形態では、ステップ126で開かれる一時データトンネルは、ステップ100〜106で確立されたデータトンネルとは異なる。ただし、どちらのトンネルも、企業ネットワークの同じポートを介して確立できることを理解されたい。
【0055】
ネットワークデータがデータセンタに送信された後、ステップ130で一時データトンネルが閉じられ、ステップ120で企業ネットワークは後続の有効な要求が受信されるまで待機する。アクセス要求が、電子メールの削除、電子メールメッセージのファックス送信、および電子メールの転送などの動作を実行するように要求するものであれば、企業ネットワークはステップ138で要求されたタスクを実行し、ステップ120で後続の有効な要求が受信されるまで待機する。
【0056】
データセンタは、要求されたネットワークデータをステップ132で企業ネットワークから受信すると同時に、要求されたネットワークデータをステップ134でユーザに送信する。一実施形態では、これは要求されたデータをユーザが見ているWebページ上に表示することによって達成される。他の実施形態では、要求されたネットワークデータは、ユーザが使用している電話デバイスにデジタル形式または音声形式のいずれかで送信される。ユーザは要求されたネットワークデータをステップ136で受信し、ステップ138でデータセンタから切り離すか、またはステップ110で後続のアクセス要求をデータセンタに送信する。
【0057】
本発明によれば、ユーザは、データセンタのデータベースにキャッシュされたネットワークデータにアクセスすることもできる。図2を参照しながら説明されるこの実施形態によれば、たとえユーザ10がネットワークデータ22に関するアクセス要求70を生成する前であっても、ネットワークデータ22はデータベース62にキャッシュされる。この実施形態は、ネットワークデータ22が切り離されているときに、ユーザ10がネットワークデータ22に即時にアクセスできるようにする場合に特に有用である。ネットワークデータ22は、企業ネットワーク40によって容易にまたは即時に取出し可能でない場合は必ず切り離される。たとえば、ネットワークデータ22が企業ネットワーク40内のかなりの大容量リモートメモリデバイスに格納される場合、ネットワークデータ22を取り出すには数分かかる場合がある。切り離されている他のネットワークデータ22には、電源が切断されているコンピュータのデスクトップまたはローカルコンピュータドライブに格納されたデータも含まれる。切り離されたネットワークデータの他の例には、ラップトップコンピュータまたはPDAなどの、企業ネットワーク40から定期的に切り離されるポータブルコンピュータまたは記憶デバイス上に格納された任意のデータもある。
【0058】
この実施形態によれば、企業ネットワーク40は、SVPN 52とWebサーバ60との間に新しい一時データトンネルを確立する。一時データトンネルは、図4を参照しながら説明したデータトンネル90と同様の様式で確立される。一時データトンネルがいったん確立されると、ネットワークデータ22が一時データトンネルを介してデータセンタ44のデータベース62にアップロードされる。ネットワークデータ22のアップロードプロセスには、前述の確立されたプロトコルに従ってネットワークデータをパケット化する動作が含まれる。いったんネットワークデータ22が受信されると、データセンタ44はネットワークデータ22のコピーをデータベース62にキャッシュする。キャッシュされたネットワークデータ22のコピーは、データベース60がネットワークデータ22の新しいバージョンを受信すると必ず更新される。ネットワークデータ22の新しいバージョンが受信される頻度は、企業ネットワーク40の許可および構成によって事前に決定される。
【0059】
例示的なものであって限定的でない一例では、企業ネットワークは、企業ネットワークのすべてのユーザが受信する通知を生成する。この通知は、ユーザが自分の電子メール連絡、アドレスリスト、会社ファイル、および他の指定のネットワークデータ22をアップロードすることを想起させるものであって、その結果、更新されたデータを企業ネットワーク40から離れたオフサイトで取り出すことができる。この実施形態によれば、ユーザ10は、どのネットワークデータ22をデータセンタ44に送信するか、およびユーザ10がどのように応答するかによってどのネットワークデータ22をデータベース62にキャッシュするかを制御する。ユーザ10は、たとえば通知を無視することによって応答することができる。あるいはユーザ10は、SVPN 52モジュールが指定されたネットワークデータ22をデータセンタ44のデータベース62にアップロードできるようにするコマンドを開始することによって、応答することができる。前述のように、ネットワークデータの更新は、SVPN 52モジュールとWebサーバ60との間に確立された一時データトンネルを介して送信される。データパケットが受信されると、Webサーバ60はユーザのネットワークデータ22を復号し、これをデータベース62に送信して、ここでキャッシュされる。
【0060】
この実施形態は、ユーザが仮想専用ネットワークとして動作する一時データトンネルを介して切り離されたデータの同期をとれるようにするものであり、その結果、後でリモート位置からアクセスできるようにするものであることを理解されたい。この実施形態は、ネットワークデータが企業ネットワークから切り離されている場合、ユーザがデータセンタのデータベースにキャッシュされたネットワークデータのコピーに即時にアクセスできるようにするものでもある。たとえば、ネットワークデータが、ポータブルで物理的に切り離されたコンピュータ上に格納される場合、使用不能なネットワーク記憶ドライブに格納される場合、ネットワークの問題によってネットワークデータの取出しが困難な場合、および接続および処理の速度が遅いためにネットワークデータの取出しに長時間かかる場合などに、ネットワークデータが切り離される。
【0061】
本実施形態によれば、ユーザ10は、電話システムを使用してデータセンタ44を呼び出すこと、およびネットワークデータ22に関するアクセス要求70を生成することにより、電子メール連絡などのネットワークデータ22にアクセスする。データセンタ44の電話ノード80は、ユーザの呼出しおよび付随するアクセス要求70を受信する。さらに電話ノード80は、データベース62からアップロードされたネットワークデータ22を取り出し、アップロードされたネットワークデータ22をユーザ10に返信する。代替実施形態によれば、ユーザ10はインターネットを介してデータセンタ44に直接アクセスし、この場合、Webサーバ60はユーザのアップロードされたネットワークデータ22をデータベース62から取り出して、ユーザ10に返信する。
【0062】
本実施形態は、ユーザ10とデータセンタ44との間に確立された通信回線84を介して、データセンタ44に直接コマンドを発行することによって、ユーザ10がネットワークデータ22を更新できるようにするものでもある。例示的なものとして、ユーザは、データセンタのデータベースに格納されたネットワークデータのキャッシュ済みコピーから、電子メール連絡を削除するコマンドを発行することができる。この例によれば、データセンタ44は電子メール連絡を削除することによって応答し、これによって、データセンタでネットワークデータのキャッシュされたコピーを効率的に更新する。次にデータセンタ44は、更新に関する情報を企業ネットワーク40に送信する。これは、データトンネル42などの確立されたデータトンネルを介して企業ネットワーク40に送信される更新情報を、回答データ53に埋め込むことによって達成される。回答データ53の送信は、図3および4を参照してより詳細に図示および記載される。
【0063】
SVPNモジュールはネットワークデータの更新を受信し、これに応じて企業ネットワークデータを更新する。これで、企業ネットワークデータ22を、データセンタ44のデータベース62に格納されたネットワークデータのキャッシュされたコピーと同期させる。この実施形態は、リモートユーザが、データセンタのデータベースに格納されたネットワークデータを更新し、さらに企業ネットワークのネットワークデータをデータセンタに格納されたネットワークデータの更新済みキャッシュコピーと同期させることによって、企業ネットワークに格納されたネットワークデータを更新できるようにするものであることを理解されたい。
【0064】
前述の内容に鑑みて、本発明は従来の技術を超える改良であることを理解されたい。具体的に言えば、本発明は、企業がデータチャネルを介したネットワークデータへのアクセス許容量を制限する機能を保持しながら、ユーザがセキュアデータチャネルを介したネットワークデータへのモバイルリモートアクセスを有することができるようにするものである。さらに本発明は、リモートユーザが企業ネットワークから切り離されたネットワークデータにアクセスできるようにするものでもある。さらに本発明は、ユーザがリモート位置から仮想専用ネットワークデータトンネルを介してネットワークデータを更新できるようにするものでもある。
【0065】
本発明は、その精神または本来の特性を逸脱することなく、他の特有の形式で実施することができる。記載された実施形態は、すべての点において、限定的なものではなく単に例示的なものとみなされる。したがって本発明の範囲は、前述の説明によってではなく、添付の特許請求の範囲によって示される。特許請求の範囲と等価の意味および範囲内でのすべての変更は、その範囲内に包含されるものである。
【図面の簡単な説明】
【図1】 ユーザおよびリモート企業ネットワークが、仮想専用ネットワークトンネルを介して企業のデータにアクセスできるようにするための、従来技術のシステムを示す図である。
【図2】 本発明に好適なオペレーティング環境を提供する例示的システムにおいて、データセンタのWebサーバと通信する企業ネットワークと、データセンタの電話ノードと通信するユーザとを示す図である。
【図3】 企業ネットワークからデータセンタへデータ要求を送信することと、企業ネットワークがデータセンタから回答データを受信することを含む、企業ネットワークとデータセンタとの間にデータトンネルを確立するための方法を示す図である。
【図4】 ユーザがネットワークデータにアクセスできるようにするために企業ネットワークからデータセンタへネットワークデータを送信するための方法を示す図であって、ネットワークデータは企業ネットワークとデータセンタとの間のデータトンネルを介して伝送される。
【図5】 ユーザが企業ネットワークからのネットワークデータにアクセスできるようにするための本発明の方法の一実施形態を示す流れ図である。
(発明の背景)
1.発明の分野
本発明は、ユーザが仮想専用ネットワークを介してデータにアクセスできるようにするための方法およびシステムに関する。より詳細に言えば、本発明は、自発的仮想専用ネットワークを介したネットワークデータへの制御されたモバイルリモートアクセスをユーザに提供するための方法およびシステムに関する。
【0002】
2.背景および関連分野
今日のビジネス世界では、多くの企業が自社のネットワークインフラストラクチャにファイアウォール(firewall)を導入することにより、自社のデータへの未許可アクセスを防止している。典型的にファイアウォールは、識別されないユーザがリモート位置からネットワークデータにアクセスするのを防止するように構成される。ファイアウォールは一般に、企業が自社のネットワークデータにアクセスする人物をより適切に管理できるようにするのに非常に有益であるが、モバイル職業人が事務所を離れているか、そうでなければネットワークデータへのローカルアクセスが得られない場合に、彼らが重要かつ緊急のビジネス情報から切り離されてしまうという望ましくない結果を招くものでもある。
【0003】
モバイル職業人がリモート位置からビジネス情報にアクセスできるようにするために、一部の企業では職業人の自宅またはサテライトオフィスからなどの、企業と指定のリモート位置との間に、仮想専用ネットワーク(VPN)を導入している。VPNの機能は、企業ネットワークと指定のリモート位置との間に、企業ファイアウォールを介したセキュア接続を開くことである。VPNは、ネットワークデータへのリモートアクセスを提供するのには有益であるが、企業ネットワークにおいておよび時にはリモート位置において、費用のかかるハードウェアおよび/またはソフトウェアを導入しなければならない。
【0004】
図1には、VPNを介したネットワークデータへのリモートアクセスを可能にするための、従来技術のシステムおよび方法の一実施形態が示されている。図に示されるように、ユーザ10は、リモート位置からVPNトンネル14を介して企業ネットワーク12と通信する。VPNトンネル14の各端にはVPNノード16、18がある。企業ネットワーク12では、VPNノード16は企業ネットワークのファイアウォール20をまたいでいる。ネットワークデータ22はVPNノード16にあるファイアウォール20およびVPNトンネル14を介してユーザ10に伝送される。従来技術によれば、リモート企業23は、VPNノード16とVPNノード26との間に示されるVPNトンネル24を介して企業ネットワーク12と通信することも可能である。
【0005】
VPNのハードウェアおよびソフトウェアは、VPNトンネルを介して伝送されるデータが傍受されないこと、およびユーザまたはリモート企業に企業ネットワークデータへのアクセスが許可されることを保証するために、VPNノードで暗号化技術および他のセキュリティ機能を使用する。ただし、VPNの利点は、適切なVPNソフトウェアおよび/またはハードウェアが導入されたリモート位置が離散的である場合に限定される。したがって、現在のところVPNは、企業ファイアウォールの背後に格納されたネットワークデータへのモバイルリモートアクセスはユーザに提供していない。具体的に言えば、従来技術のVPNでは、移動車両で通勤中のユーザが電話からネットワークデータにアクセスすることはできない。
【0006】
従来技術のVPNの確立に関連付けられた必然的な結果もある。具体的に言えば、VPNは、企業ネットワークとリモートVPNノードとの間でデータを伝送できるように、企業ファイアウォールにポートまたはホールを開ける必要がある。VPNポートでは、許可されたユーザのみがネットワークデータへのアクセスを与えられることを保証するためのハードウェアまたはソフトウェアを導入しなければならない。ただし、VPNにはユーザのアイデンティティを認証するためのセキュリティメカニズムがあるにもかかわらず、ハッカーが企業ネットワークへの未許可のアクセスを取得する可能性が増加している。たとえば、ハッカーは企業VPNノードのファイアウォールを攻撃するか、またはリモートVPNノード位置にあるリモートユーザのコンピューティングデバイスに侵入することによって、ネットワークデータへの未許可のアクセスを取得する場合がある。ハッカーがネットワークデータへのアクセスを取得できないようにするために、多くの企業では2次ファイアウォールをインストールしており、ハッカーが第1のファイアウォールを通って入ってきた場合、2次ファイアウォールに突入する前で止められる可能性が高い。
【0007】
図1は、ネットワークデータへの未許可のアクセスを防ぐための典型的なファイアウォール構成を示す図である。このファイアウォール構成には、1次ファイアウォール20、2次ファイアウォール28、および、1次ファイアウォール20と2次ファイアウォール28との間の領域である非武装地帯(DMZ)30が含まれる。
【0008】
多くの企業は、企業のファイアウォールインフラストラクチャを介して伝送されるデータを傍受およびフィルタリングするために、プロキシ(proxy)サーバを導入している。プロキシサーバは、他の多くの理由でも有益であり、その1つが、アクセス可能なインターネットサイトを企業が制限できるようにする一方で、企業ファイアウォールの背後からユーザがインターネットにアクセスできるようにすることである。さらにプロキシサーバは、ユーザ要求を伝送する際にプロキシとして働くことによって、インターネットユーザの真のアイデンティティを隠す。ユーザ要求を伝送する際にプロキシとして働くことにより、プロキシサーバはユーザ要求をフィルタリングすることが可能であり、その結果、認定された要求のみが受け付けられる。本質的には、プロキシサーバは、未許可の要求が受け付けられるのを禁止することによって、ファイアウォールインフラストラクチャの保護を強化することができる。インターネットアクセスのためにはファイアウォールインフラストラクチャに追加のホールまたはポートを開けなければならないため、従業員がインターネットにアクセスするのを許可している企業にとって、プロキシサーバは特に重要である。典型的には、これらのポートには「ポート80」および「ポート443」が含まれる。ファイアウォールおよびプロキシサーバは協働して、ポートを介して伝送されるデータを定義済みプロトコルに必ず準拠させることにより、インターネット上の未許可のユーザが企業ネットワークを介した制御を取得しないようにする働きをする。企業内から開始されるインターネットアクセスは、典型的にはファイアウォールに「ポート80」および「ポート443」を開ける必要があるが、適切なファイアウォールおよびプロキシサーバ構成を使用することによって、ハッカーが「ポート80」および「ポート443」を介して企業ネットワークへの未許可のリモートアクセスを取得する可能性を大幅に制限することができる。
【0009】
ただし、VPNによってファイアウォール内に作成されたホールは、たとえ有効なVPNハードウェアおよびソフトウェアを使用しても警備するのは困難である。VPNは、企業ファイアウォール内に新しく開かれたVPNポートおよびそれぞれのリモートVPNノードを含み、監視しなければならないフロントの数も増加させる。したがって、VPNは許可されたユーザがリモート位置からネットワークデータにアクセスできるようにするのに有益ではあるが、同様に、リモート位置からのネットワークデータへの未許可のアクセスを容易にするので好ましくない。VPNは、企業ファイアウォールの警備を困難にし、プロキシサーバの使用を困難にするものであり、したがってファイアウォールを弱体化し、許可未許可にかかわらず、ユーザにネットワークデータについての過剰な管理を与えるものである。さらにVPNは、導入および維持にかなりの費用がかかる。にもかかわらず、今日の企業はモバイル職業人がオフィスから離れた重要かつ緊急な情報にアクセスできるようにする必要があるため、多くの企業はリソースに対する出費や、VPNの確立に関連付けられたリスクを負うことをいとわない。
【0010】
前述の内容に鑑みて、当分野では現在、企業ファイアウォールの背後に格納されたネットワークデータへの管理されたアクセスを、関連付けられたファイアウォールインフラストラクチャを弱体化させることなく、経済的な方法で、モバイル職業人に提供することが求められている。さらに、VPNを介したネットワークデータへのモバイルリモートアクセスをユーザに提供し、その結果、離散的な事前に定義されるリモートVPNノード位置からネットワークデータを取得する必要がないようにすることも求められている。たとえば、モバイル職業人が移動車両で通勤中であっても、携帯電話デバイスからVPNを介して電子メールメッセージにアクセスできるようにすることも、当分野での進歩となろう。
【0011】
(発明の概要)
本発明は、企業ファイアウォールで費用のかかるソフトウェアまたはハードウェアを導入する必要なしに、またファイアウォールインフラストラクチャを弱体化させることになる企業のファイアウォールでの追加のポートまたはホールを開けることなしに、むしろ事前に開けられた(pre-opened)インターネットポートを介してセキュアなデータトンネルを確立することにより、仮想専用ネットワーク(VPN)を介した企業ネットワークデータへの制御されたモバイルリモートアクセスをユーザに提供するための方法およびシステムに関する。
【0012】
本発明は、モバイル職業人が、絶えず移動しながらも、費用のかかるVPNソフトウェアおよびハードウェアで構成しなければならない事前に定義される離散的なVPNノード位置からリモートアクセスを取得する必要なしに、電子メールなどの重要かつ緊急なビジネス情報に企業ファイアウォールの背後からリモートにアクセスできるようにするものである。
【0013】
リモートユーザは、企業ネットワークとの確立されたデータトンネルを有するデータセンタと通信することにより、ビジネスまたは企業の位置からネットワークデータにアクセスすることができる。企業ネットワークが初期データ要求をデータセンタに送信し、データセンタが回答データの進行中の送信で回答すると、データトンネルが確立される。企業ネットワークは、インターネット「ポート80」または「ポート443」などの事前に開かれたネットワークポートを介して、初期データ要求を送信し、回答データを受信する。データセンタはWebサーバを使用して企業ネットワークと通信し、企業ネットワークは自発的仮想専用ネットワーク(SVPN)モジュールを使用してデータセンタと通信する。
【0014】
一実施形態では、SVPNモジュールは企業ネットワーク内からデータ要求を開始し、結果として生じる通信チャネルが確実に開いたままであるようにこのチャネルを監視する。チャネルが何らかの理由で閉じた場合、SVPNモジュールは再度データ要求を開始し、新しいチャネルを開く。データ要求には、統一資源識別子(URI/Uniform Resource Identifier)、またはデータセンタのWebサーバに関連付けられたリソースにアクセスするための要求が含まれる。データセンタのWebサーバは、この要求に応答してURLに関連付けられた回答データを進行中の方式で企業ネットワークに返送し、その結果データセンタと企業ネットワークとの間の通信チャネルが開かれたままになる。実際には、データセンタが企業ネットワークへの回答データの送信を完了することは決してない。Webサーバは、任意の開かれた通信チャネルの状況に関するデータセンタのデータベースも更新する。データベースは、データセンタが複数のWebサーバを含み、そのうちの1つのみが企業ネットワークとの開かれた通信チャネルを有する場合に、特に有用である。
【0015】
データセンタと企業ネットワークとの間の通信のチャネルは、VPNトンネルとして動作するデータトンネルである。データは、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、セキュアソケットレイヤプロトコルを備えたハイパーテキスト転送プロトコル(HTTPS)、およびIPセキュリティプロトコル(IPsec)を使用してパケットで暗号化され、企業ネットワークの「ポート443」を使用してデータトンネルを介して伝送される。他の実施形態では、データトンネルは「ポート80」を介して確立され、データはTCP/IP、IPsec、および、セキュアソケットレイヤプロトコル(SSL)を使用しないハイパーテキスト転送プロトコル(HTTP)を使用して暗号化される。一実施形態では、プロキシサーバが、ポートを介して伝送されるデータをスクリーニングして、定義済みプロトコルに確実に準拠させる。
【0016】
企業ネットワークからのネットワークデータにアクセスしようとするリモートユーザは、インターネットに接続された電話デバイスまたはコンピュータデバイスなどの通信デバイスを使用して、データセンタとの通信回線を開く。次にユーザは、ネットワークデータにアクセスするための要求を生成し、この要求をデータセンタに伝送する。電話デバイスが使用される場合は、次にデータセンタがアクセス要求を電話ノードで受け取り、電話ノードがデータセンタ内に含まれるWebサーバのうちの1つにアクセス要求を伝送する。Webサーバが企業ネットワークとの確立されたデータトンネルを有する場合は、次にアクセス要求がデータトンネルを介してWebサーバから企業ネットワークのSVPNモジュールへと伝送される。ただし、Webサーバと企業ネットワークとの間に開かれたデータトンネルがない場合、Webサーバはデータベースをチェックして、確立されたデータトンネルを介して回答データを企業ネットワークに伝送している他のサーバがデータセンタにあるかどうかを調べる。企業ネットワークとの開かれたデータトンネルを維持している他のWebサーバがある場合、次に電話ノードに通知され、アクセス要求が他方のWebサーバに転送され、続いて他方のWebサーバから企業ネットワークのSVPNモジュールに伝送される。
【0017】
企業ネットワークは、ネットワークデータに関してSVPNモジュールが許可するように構成された任意の動作を実行することにより、SVPNモジュールで受け取られたアクセス要求を処理する。一実施形態では、アクセス要求の処理には、電子メールデータまたはWebページデータの受信およびユーザへのデータの返信が含まれる。他の実施形態では、SVPNモジュールは、リモートユーザがアクセスおよび操作できるデータに対して企業の管理を保持しながら、事前に定義される機能がネットワークデータに関して実行できるように構成される。事前に定義される機能には、電子メールメッセージの削除および電子メールメッセージのユーザへのファックス送信が含まれるが、これらに限定されるものではない。
【0018】
SVPNモジュールは、任意の要求されたデータをデータセンタに伝送することによって、データセンタとの第2のデータトンネルを確立する。第2のデータトンネルは一時データトンネルであり、企業ネットワークと、第1のデータトンネルを介して企業ネットワークと通信しているものと同じWebサーバとの間に確立される。データセンタによってネットワークデータが受け取られるとすぐに、第2のデータトンネルは閉じられ、リモートユーザにネットワークデータへのアクセスが提供される。ユーザがデータセンタとの通信に電話デバイスを使用する場合、要求されたネットワークデータは、デジタル表示形式または音声形式などのわかりやすい形式で、Webサーバからデータセンタの電話ノードを介してユーザの電話デバイスに伝送される。たとえば、ネットワークデータが電子メールメッセージを含む場合、電子メールのテキストをユーザの電話デバイスの液晶ディスプレイ(LCD)上に表示するか、または電話デバイスを介してユーザに読み上げることができる。あるいはユーザは、データセンタのWebサーバとの直接のインターネット通信リンクを開くことによって、インターネットを介してネットワークデータに直接アクセスすることができる。
【0019】
一実施形態では、データセンタがユーザのアイデンティティを認証した後に、ユーザは要求されたネットワークデータにアクセスできるようになる。これは、ユーザに秘密の個人識別番号を入力するように要求することによって達成される。
【0020】
前記内容に鑑みて、本発明は従来技術を超える改良であることを理解されたい。具体的に言えば、本発明は、企業がデータトンネルを介したネットワークデータへのアクセス許容量を制限する機能を保持しながら、ユーザがセキュアデータトンネルを介したネットワークデータへのモバイルリモートアクセスを有することができるようにするものである。
【0021】
本発明の追加の特徴および利点については以下の説明で述べるものとし、一部は説明から明らかとなるか、または本発明の実施によって習得することができる。本発明の特徴および利点は、添付の特許請求の範囲で具体的に指摘された手段および組合せによって、理解および取得することができる。本発明のこれらおよび他の特徴は、以下の説明および添付の特許請求の範囲からより完全に明らかになるか、または以下で述べる本発明の実施によって習得することができる。
【0022】
本発明の前述および他の利点および特徴が取得できる方法について記載するために、上記で簡単に述べた本発明について、添付の図面に示された特定の実施形態を参照しながらより具体的に説明する。これらの図面は本発明の典型的な実施形態のみを示したものであり、したがって本発明の範囲を限定するものとはみなされないことを理解した上で、添付の図面を使用して、本発明の追加の特性および詳細について記述および説明する。
【0023】
(発明の詳細な説明)
本発明は、ユーザがポータブルデバイスを使用して、モバイルリモート位置から自発的仮想専用ネットワークを介して企業ネットワークのネットワークデータにアクセスできるようにするための方法およびシステムの両方に及ぶものである。
【0024】
ユーザは、電話またはコンピュータデバイスを使用して電子メールなどのネットワークデータへのアクセス要求を生成し、このアクセス要求をデータセンタに伝送する。データセンタはユーザのアイデンティティを認証し、仮想専用ネットワーク(VPN)として動作する確立されたデータトンネルを介してアクセス要求を適切な企業ネットワークへ伝送する。データトンネルは、企業ネットワークからデータセンタに伝送されたデータ要求に応答して開かれる。アクセス要求が受信されると、企業ネットワークはネットワークデータを取り出し、このネットワークデータを第2のデータトンネルを介してデータセンタに伝送し、次にこのデータがユーザに伝送される。
【0025】
本発明の実施形態は、コンピュータ実行可能命令またはデータ構造を格納したコンピュータ読取り可能媒体を含むか、またはこれに組み込まれる。コンピュータ読取り可能媒体の例には、RAM、ROM、EEPROM、CD−ROM、または他の光ディスク記憶装置、磁気ディスク記憶装置または他の磁気記憶デバイス、あるいは、コンピュータ実行可能命令またはデータ構造の形で所望のプログラムコード手段を搬送または格納するために使用可能であり、汎用コンピュータまたは専用コンピュータがアクセス可能な、任意の他の媒体が含まれる。情報がネットワーク、トンネル、チャネル、または他の通信接続(ハードワイヤード、ワイヤレス、あるいは、ハードワイヤードまたはワイヤレスの組合せのいずれか)を介してコンピュータに転送または提供されるときに、コンピュータは接続をコンピュータ読取り可能媒体として適切にみなす。したがって任意のこうした接続は、厳密にコンピュータ読取り可能媒体と呼ばれる。前述の組合せも、コンピュータ読取り可能媒体の範囲内に含まれるものとする。コンピュータ実行可能命令は、たとえば、汎用コンピュータ、専用コンピュータ、または専用処理デバイスに一定の機能または機能グループを実行させる、命令およびデータを含む。コンピュータ実行可能命令および関連するデータ構造またはモジュールは、本明細書で開示された本発明のステップを実行するためのプログラムコード手段の一例を表す。
【0026】
さらに本発明は、企業ネットワークファイアウォールの背後に格納された企業ネットワークのネットワークデータにリモートユーザがアクセスできるようにするための、コンピュータシステムにも及ぶ。これには、企業ネットワークとデータセンタとの間の仮想専用ネットワークとして動作するデータトンネルを開くこと、およびデータトンネルを介してネットワークデータを伝送することも含まれるが、これらに限定されるものではない。当分野の技術者であれば、本発明が、ポータブルコンピュータ、電話、ワイヤレス電話、PDA、パーソナルコンピュータ、マルチプロセッサシステム、ネットワークPC、ミニコンピュータ、メインフレームコンピュータなどを含む、多くのタイプのコンピュータおよび電話システムを備えた、多くの環境で実施可能であることを理解されよう。
【0027】
1.システム環境
図2は、ユーザ10が、データセンタ44と企業ネットワーク40との間の仮想専用ネットワーク(VPN)として動作するデータトンネル42を介して企業ネットワーク40のネットワークデータ22にアクセスできるようにするための、本発明のシステムおよび方法の一実施形態を示す図である。一実施形態では、企業ネットワーク40は、ファイアウォール20および28の背後で未許可のアクセスから保護されたネットワークデータ22を含む、企業のコンピュータネットワークである。
【0028】
本明細書で使用される場合、「企業ネットワーク」という用語は、相互にリンクされた処理デバイスによってタスクが実行される任意のコンピューティング環境を含むように、広義に解釈されるものとする。たとえば企業ネットワーク40は、任意の企業、組合、個人、または他の団体のコンピューティング環境を含むことができる。企業ネットワーク40では、本発明の機能を実行するためのコンピュータ実行可能命令およびプログラムモジュールを、ローカルおよびリモートのメモリ記憶デバイス内に配置することができる。
【0029】
「ネットワークデータ」および「企業ネットワークデータ」という用語は、ローカルおよびリモートのメモリ記憶デバイスに格納され、企業ネットワーク40にアクセス可能な、任意のデータを含むように解釈されるものとする。たとえばネットワークデータ22は、電子メールデータまたはWebページデータを含むことができる。一実施形態では、ネットワークデータ22は、ファイアウォール20および28を含むファイアウォールインフラストラクチャの背後で保護される。ただし、ネットワークデータ22は、たとえファイアウォールインフラストラクチャの背後で保護されていない場合でも、企業ネットワーク40にアクセス可能な任意のデータを含むことができる。
【0030】
「トンネル」という用語は、データがセキュアに伝送可能な任意のチャネルまたは他の通信回線を含むように解釈されるものとする。当分野の技術者であれば、トンネルを介して伝送されるデータが前記データへのアクセスを許可された識別済みユーザにのみ送達されるように、トンネルを介したセキュアな通信を可能にするために使用できる暗号化および認証の多数のプロトコルおよび方法があることを理解されよう。さらに、「トンネル」、「データトンネル」、および「チャネル」という用語は、本明細書で使用される場合は相互に交換可能であることも理解されたい。トンネルは、企業のファイアウォールインフラストラクチャを介したネットワークデータへのセキュアリモートアクセスを可能にすることによって、仮想専用ネットワークとして動作する。
【0031】
本発明によれば、図3に示されるように、データトンネル42は企業ネットワーク40とデータセンタ44との間に確立される。企業ネットワーク40がデータ要求50をデータセンタ44に伝送し、データセンタ44が回答データ53の進行中の伝送で回答すると、データトンネル42が開かれる。本明細書で使用される場合、「データ要求」という用語は、データセンタからのデータに関する要求を含むように広義に解釈されるものとし、Webページ、ハイパーテキストマークアップ言語(HTML)データ、拡張可能マークアップ言語(XML)データ、またはWebサーバ60の他のデータリソースへのアクセスを提供するためのデータセンタへの要求を表す、統一資源識別子(URI)を含むことができる。
【0032】
図に示されるように、データ要求50および回答データ53は、企業ネットワーク40のファイアウォール20および28を介して伝送される。当分野の技術者であれば、ファイアウォール20および28がハードウェア、ソフトウェア、またはその両方の組合せを含むことができることを理解されよう。本来ファイアウォールとは、ネットワークの指定されたポートを介したアクセスを禁止し、ネットワークデータが未許可のユーザによってファイアウォールの外部からアクセスされないことを保証する、セキュリティメカニズムである。
【0033】
図3にも示されているように、データセンタ44は、この実施形態ではWebサーバ60を含むサーバでデータ要求50を受信する。図2に示されるように、データセンタ44は複数のWebサーバ60、60a、および60bを含むことができることを理解されたい。複数のWebサーバ60、60a、および60bは、データセンタ44が複数の企業ネットワークと通信し、図示されていない複数のデータトンネルを維持できるようにするものである。本発明によれば、単一の企業ネットワークと単一のWebサーバとの間、または単一の企業ネットワークと複数のWebサーバとの間に、複数のデータトンネルを確立することができることを理解されたい。
【0034】
ここで図3に戻ると、企業ネットワーク40は自発的仮想専用ネットワーク(SVPN)モジュール52を使用して、実際にデータ要求50をデータセンタ44に伝送し、これに応答して回答データ53を受信する。回答データ53は、データ要求50の受信に応答してデータセンタによって伝送され、データセンタ44と企業ネットワーク40との間のトンネル42を開いたままにしておくように進行中の方法で伝送される、任意のデータを含むように解釈されるものとする。一実施形態では、これは企業ネットワーク40がWebサーバ60にWebページを開くように要求したときに達成され、Webページは、HTML文書またはXML文書などのWebサーバ60によって提供される任意のタイプのデータリソースであってよい。これに応答して、Webサーバ60はWebページの伝送を開始し、データの伝送が無期限の長い持続時間を有するような速度で、進行中の方法で伝送する。これにより、回答データ53を企業ネットワーク40に連続して伝送することによって、トンネル42は開かれたままとなる。
【0035】
SVPNモジュール52は、トンネル42が確実に開いたままであるように監視する。何らかの理由でトンネル42が閉じると、SVPNモジュールは、新しいデータ要求をデータセンタ44に伝送することによって、データセンタ44との新しいデータトンネルを開く。本明細書では、具体的にはSVPNモジュール52によって実行されるものとしていくつかの動作について述べるが、企業ネットワーク40がSVPNモジュール52を含む限りは、SVPNモジュール52によって実行される動作は、いずれも企業ネットワーク40によって実行される動作でもあることを理解されたい。
【0036】
ここで図2に戻ると、データセンタ44はデータベース62を含む。データベース62は、Webサーバ60によって維持される任意のデータトンネル42を追跡する。Webサーバ60はデータベース62と通信し、データトンネル42の状況をデータベース62に通知する。これにより、データセンタ44は、ネットワークデータ22に関するユーザの要求を適切なWebサーバ60に伝送することができる。ネットワークデータ22に関するユーザ要求は、本明細書ではアクセス要求70と呼ばれる。アクセス要求70は、ユーザ10によって開始された通信回線84を介して、データセンタ44によって受信される。
【0037】
一実施形態では、ユーザ10はアクセス要求70を生成し、電話デバイスを使用してこのアクセス要求70をデータセンタ44に伝送する。この実施形態によれば、データセンタ44の電話ノード80がユーザ10からのアクセス要求70を受信する。アクセス要求70を受信すると、電話ノード80はWebサーバ60と通信する。Webサーバ60が、ネットワークデータ22の要求元である適切な企業ネットワーク40との確立されたデータトンネル42を有する場合、アクセス要求70はWebサーバ60に伝送される。ただし、Webサーバ60が適切な企業ネットワーク40とのトンネル42を確立していない場合、Webサーバ60は、任意のWebサーバがあれば、どのWebサーバが適切な企業ネットワーク40とのトンネル42を確立しているかを判別するためにデータベース62と通信し、この場合アクセス要求70は適切なWebサーバに転送される。
【0038】
代替実施形態では、電話ノード80がデータベース62と直接通信して、どのWebサーバが、アクセス要求70がネットワークデータ22へのアクセスを要求する適切な企業ネットワーク40との確立されたトンネルを有するかを確認する。他の実施形態では、ユーザはWebサーバ60との直接の通信回線84を開始する。これはたとえば、ユーザがインターネットを介してWebサーバ60にアクセスしたとき、またはWebサーバ60のWebページが、パーソナルコンピュータまたはデータへのグラフィカルアクセスを提供できる他のデバイスを使用して、ユーザによってインターネットを介して開かれたときに達成される。
【0039】
データセンタ44と企業ネットワーク40との間のデータトンネル42は、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、セキュアソケットレイヤプロトコルを備えたハイパーテキスト転送プロトコル(HTTPS)、およびIPセキュリティプロトコル(IPsec)を使用する。これらのプロトコルを使用して、データ要求、ネットワークデータ、回答データ、およびアクセス要求はパケットで暗号化され、企業ネットワークの図示されていない「ポート443」を使用してデータトンネル42を介して伝送される。「ポート443」は、ユーザがファイアウォール20および28内の企業ネットワーク40からインターネットにアクセスできるようにするために、すでに開かれている。
【0040】
他の実施形態では、データトンネル42が企業ネットワークの「ポート80」を介して確立され、その結果、データ要求、ネットワークデータ、回答データ、およびアクセス要求はTCP/IP、IPsec、およびセキュアソケットレイヤプロトコル(SSL)を使用しないハイパーテキスト転送プロトコル(HTTP)を使用して暗号化される。本発明は、レイヤ2転送(L2F/Layer Two Forwarding)およびレイヤ2トンネリングプロトコル(L2TP/Layer Two Tunneling Protocol)を含む、任意のインターネットトンネリングプロトコルを使用できることを理解されたい。「ポート80」も、企業ネットワーク40のファイアウォールインフラストラクチャ内からのインターネットアクセスを可能にするために、すでに開かれている。この実施形態によれば、図3〜4に示されるように、プロキシサーバ82はデータパケットが定義済みのプロトコルに準拠していることを検証するために、データパケットをフィルタリングする。データ要求50、ネットワークデータ22、回答データ53、またはアクセス要求10が適切にパケット化されていない場合、プロキシサーバ82はデータトンネル42を通過させない。この方法では、プロキシサーバ82が、許可されたデータ伝送および要求のみがデータトンネル42を介して企業ネットワーク40から外へまたは企業ネットワーク40内部に確実に伝送されるようにすることにより、ファイアウォールインフラストラクチャの保護を強化する。
【0041】
前述のように、本発明はファイアウォールインフラストラクチャ内に以前から存在する開かれたポートを使用して、リモートモバイル位置からのセキュアなVPNタイプ通信を実行可能にする。したがって、本発明は、高度かつ費用のかかるVPNハードウェアおよびソフトウェアを設置する必要が生じるような、ファイアウォールインフラストラクチャ内で追加ポートを開く必要がないため、従来技術を超える改良であることを理解されたい。さらに本発明は、プロキシサーバが、ポートを介して伝送されるどんなデータパケットも定義済みプロトコルに確実に準拠するようにフィルタリングできるようにするものである。
【0042】
上記で述べたシステムおよび環境は、ユーザがポータブルデバイスを使用して、リモート位置から仮想専用ネットワークを介して企業ネットワークのネットワークデータにアクセスできるようにするための、本発明の方法を実施するための好適な環境およびシステムである。
【0043】
2.ネットワークデータへのユーザアクセス
ユーザがリモート位置からネットワークデータにアクセスできるようにするための本発明の方法の一実施形態が、図4および5に示されている。ここで図4を見ると、リモート位置から企業ネットワーク40のネットワークデータ22にアクセスしようとするユーザ10は、インターネットに接続された電話デバイスまたはコンピューティングデバイスなどの通信デバイスを使用して、データセンタ44との通信回線84を開く。データセンタ44は、ユーザ10が企業ネットワーク40のネットワークデータ22にアクセスする権限を有することを検証するために、ユーザ10のアイデンティティを認証する。一実施形態では、ユーザが電話デバイスまたはインターネットコンピューティングデバイスを使用して個人識別番号を入力すると、ユーザのアイデンティティが認証される。他の実施形態では、ユーザ10に割り当てられた対応する公開鍵および秘密鍵を有する対鍵(twin−key)暗号化などの暗号化技術を使用し、インターネットを介してユーザのアイデンティティが確認される。当分野の技術者であれば、いずれも本発明に従って使用可能な、ユーザのアイデンティティを認証するためのさまざまな方法があることを理解されよう。ユーザのアイデンティティを認証するための他のこうした方法にはトークンおよびスマートカードが含まれるが、これらに限定されるものではない。
【0044】
いったんユーザ10のアイデンティティが認証されると、ユーザは、データセンタ44にアクセス要求を伝送し、ここでWebサーバ60によって受信される。アクセス要求70は、ネットワークデータ22へのアクセスを要求する任意の要求を含むことができる。たとえば、アクセス要求70は、ファイアウォールインフラストラクチャの背後に保護されたかまたは企業ネットワークにアクセス可能な、電子メールメッセージ、Webページ、または企業ネットワークの他のデータへのアクセスを受信する要求を含むことができる。一実施形態では、ユーザ10はコンピュータデバイスを使用して、インターネットを介してWebサーバ60との通信回線84を開く。この実施形態では、アクセス要求70はWebサーバ60によって直接受信される。他の実施形態では、ユーザ10は電話デバイスを使用してデータセンタ44にアクセス要求70を伝送する。この代替実施形態によれば、図2を参照して上記で説明したように、アクセス要求は電話ノード80を介してWebサーバ60によって間接的に受信される。
【0045】
アクセス要求70を受信すると、Webサーバ60は、図2および3を参照しながら上記で説明したように、企業ネットワーク40の初期要求で開かれた確立されたデータトンネル42を介してアクセス要求70を企業ネットワーク40に伝送する。アクセス要求70は、回答データ53と共にパケット化される。
【0046】
アクセス要求70は、SVPNモジュール52で企業ネットワーク40によって受信される。企業ネットワーク40は、アクセス要求70によって要求されたネットワークデータ22に関して任意の動作を実行することによって、アクセス要求70を処理する。一実施形態では、ネットワークデータに関して実行可能な動作が、SVPNモジュール52の構成に従って事前に定義される動作に限定される。事前に定義される動作は、企業ネットワークがSVPNモジュール52に実行可能にさせたい任意の動作を含むことができる。ネットワークデータ22に関してどの動作が実行されるかをSVPNモジュール52が制御できるようにすることによって、企業ネットワーク40はネットワークデータ22へのアクセス制御を維持し、ネットワークデータ22が企業ネットワーク40内でどのように操作されるかを制御することができる。事前に定義される動作は、電子メールヘッダの取出し、電子メールメッセージ本体の取出し、Webページデータの取出し、電子メールの削除、電子メールデータまたはWebページデータのユーザへのファックス送信、ネットワークデータ22のデータセンタ44への送信を含むことができるが、これらに限定されるものではない。SVPNモジュール52は、Post Office Protocol(POP)またはSimple Mail Transfer Protocol(SMTP)を含むことができるがこれらに限定されることのない適切な手段を使用して、企業ネットワークからネットワークデータを取得する。
【0047】
SVPNモジュール52は、第2のデータトンネル90を介してネットワークデータ22をデータセンタ44に返信する。第2のデータトンネル90は、企業ネットワーク40とデータセンタ44との間の一時仮想専用ネットワークとして動作する。データトンネル90は、データトンネル42に使用されるものと同じポート、インターネット「ポート443」を介して確立され、上記と同じプロトコルを使用して、データ伝送のセキュリティを保証する。他の実施形態では、対応するプロトコルと共に「ポート80」が使用される。プロキシサーバ82は、所望のプロトコルが確実に準拠されるようにする。
【0048】
データトンネル90は、回答データ53を企業ネットワーク40に送信しているものと同じWebサーバ60で確立されるか、またはデータセンタ44の表示されていない別のWebサーバで確立される。データトンネル90は閉じられ、ネットワークデータ22がデータセンタ44によって受信されると同時に、ネットワークデータ22へのアクセスがユーザ10に提供される。ユーザ10によってデータセンタ44と通信するために電話デバイスが使用される場合、ネットワークデータ22は図2に示された電話ノード80を介してWebサーバ60からユーザに送信される。
【0049】
本発明は、ユーザがネットワークデータへの音声アクセスを受け取れるようにするために、音声インターフェースを電子文書に提供するための方法と組み合わせて実施できることを理解されたい。一実施形態では、ネットワークデータ22は電子メールメッセージを含み、データセンタ44はユーザの電話デバイスを介して電子メールメッセージのテキストをユーザ10に対して読み上げるか、あるいは電子メールメッセージをユーザの電話デバイス上に表示する。他の実施形態では、ユーザ10は、Webサーバ60と直接確立された通信回線84からインターネットを介してネットワークデータ22に直接アクセスする。
【0050】
ユーザは、それぞれが別々に処理されるアクセス要求をいくつでも生成することができる。ユーザ要求を別々のトランザクションに分けることにより、本発明は、許可されたユーザまたは未許可のユーザのネットワークデータに関する管理が多くなり過ぎないようにすることで、ネットワークデータのセキュリティおよび管理を強化する。
【0051】
図5は、本発明の一実施形態を示す流れ図である。図に示されるように、ステップ100では、企業ネットワークがデータ要求をデータセンタに送信する。ステップ102でデータ要求を受信すると、データセンタはステップ104で進行中の回答データを企業ネットワークに返信する。一実施形態では、回答データにHTMLデータおよびXMLデータなどのマークアップ言語データが含まれる。ステップ106では、企業ネットワークが進行中の回答データを受信する。ステップ100〜106で、企業ネットワークとデータセンタとの間にデータトンネルが確立される。一実施形態では、「ポート443」を介してデータトンネルが確立される。他の実施形態では、「ポート80」を介してデータトンネルが確立される。
【0052】
ユーザは、ステップ108でデータセンタへ最初に接続することによって、企業ネットワークのネットワークデータにアクセスする。次にユーザは、ステップ110でアクセス要求を生成し、データセンタに送信する。一実施形態では、アクセス要求はユーザによって電話デバイスを使用して生成される。代替の実施形態では、ユーザはコンピュータを使用してインターネットを介してアクセス要求を生成する。ステップ112でアクセス要求を受信すると、データセンタはステップ114で、ステップ100〜106で確立されたデータトンネルを介してアクセス要求を企業ネットワークに送信する。
【0053】
企業ネットワークは、ステップ116でアクセス要求を受信し、ステップ118でアクセス要求が有効なアクセス要求であるかどうかを判別する。これは、アクセス要求が事前に定義される許可された動作のみがネットワークデータ上で実行されるように要求することの検証を含むことができる。ユーザのアイデンティティの妥当性検査動作を含むこともできる。限定的ではなく例示的なものとして、ステップ118では、意思決定の結果、電子メールメッセージの取出しが有効な要求であること、および添付の実行可能プログラムが有効な要求でないものとする。有効なアクセス要求の構成内容は事前に決定しておくことが可能であり、SVPNモジュールによって制御される。アクセス要求が有効でない場合、企業ネットワークは要求を処理せず、ステップ120で有効な要求が受信されるまで待機する。
【0054】
アクセス要求が有効であり、ネットワークデータをユーザに返信するように要求する場合、ステップ124でネットワークデータが取り出され、その後、ステップ126に示された企業ネットワークとデータセンタの間に開かれた一時データトンネルを介して、ステップ128でデータセンタに送信される。この実施形態では、ステップ126で開かれる一時データトンネルは、ステップ100〜106で確立されたデータトンネルとは異なる。ただし、どちらのトンネルも、企業ネットワークの同じポートを介して確立できることを理解されたい。
【0055】
ネットワークデータがデータセンタに送信された後、ステップ130で一時データトンネルが閉じられ、ステップ120で企業ネットワークは後続の有効な要求が受信されるまで待機する。アクセス要求が、電子メールの削除、電子メールメッセージのファックス送信、および電子メールの転送などの動作を実行するように要求するものであれば、企業ネットワークはステップ138で要求されたタスクを実行し、ステップ120で後続の有効な要求が受信されるまで待機する。
【0056】
データセンタは、要求されたネットワークデータをステップ132で企業ネットワークから受信すると同時に、要求されたネットワークデータをステップ134でユーザに送信する。一実施形態では、これは要求されたデータをユーザが見ているWebページ上に表示することによって達成される。他の実施形態では、要求されたネットワークデータは、ユーザが使用している電話デバイスにデジタル形式または音声形式のいずれかで送信される。ユーザは要求されたネットワークデータをステップ136で受信し、ステップ138でデータセンタから切り離すか、またはステップ110で後続のアクセス要求をデータセンタに送信する。
【0057】
本発明によれば、ユーザは、データセンタのデータベースにキャッシュされたネットワークデータにアクセスすることもできる。図2を参照しながら説明されるこの実施形態によれば、たとえユーザ10がネットワークデータ22に関するアクセス要求70を生成する前であっても、ネットワークデータ22はデータベース62にキャッシュされる。この実施形態は、ネットワークデータ22が切り離されているときに、ユーザ10がネットワークデータ22に即時にアクセスできるようにする場合に特に有用である。ネットワークデータ22は、企業ネットワーク40によって容易にまたは即時に取出し可能でない場合は必ず切り離される。たとえば、ネットワークデータ22が企業ネットワーク40内のかなりの大容量リモートメモリデバイスに格納される場合、ネットワークデータ22を取り出すには数分かかる場合がある。切り離されている他のネットワークデータ22には、電源が切断されているコンピュータのデスクトップまたはローカルコンピュータドライブに格納されたデータも含まれる。切り離されたネットワークデータの他の例には、ラップトップコンピュータまたはPDAなどの、企業ネットワーク40から定期的に切り離されるポータブルコンピュータまたは記憶デバイス上に格納された任意のデータもある。
【0058】
この実施形態によれば、企業ネットワーク40は、SVPN 52とWebサーバ60との間に新しい一時データトンネルを確立する。一時データトンネルは、図4を参照しながら説明したデータトンネル90と同様の様式で確立される。一時データトンネルがいったん確立されると、ネットワークデータ22が一時データトンネルを介してデータセンタ44のデータベース62にアップロードされる。ネットワークデータ22のアップロードプロセスには、前述の確立されたプロトコルに従ってネットワークデータをパケット化する動作が含まれる。いったんネットワークデータ22が受信されると、データセンタ44はネットワークデータ22のコピーをデータベース62にキャッシュする。キャッシュされたネットワークデータ22のコピーは、データベース60がネットワークデータ22の新しいバージョンを受信すると必ず更新される。ネットワークデータ22の新しいバージョンが受信される頻度は、企業ネットワーク40の許可および構成によって事前に決定される。
【0059】
例示的なものであって限定的でない一例では、企業ネットワークは、企業ネットワークのすべてのユーザが受信する通知を生成する。この通知は、ユーザが自分の電子メール連絡、アドレスリスト、会社ファイル、および他の指定のネットワークデータ22をアップロードすることを想起させるものであって、その結果、更新されたデータを企業ネットワーク40から離れたオフサイトで取り出すことができる。この実施形態によれば、ユーザ10は、どのネットワークデータ22をデータセンタ44に送信するか、およびユーザ10がどのように応答するかによってどのネットワークデータ22をデータベース62にキャッシュするかを制御する。ユーザ10は、たとえば通知を無視することによって応答することができる。あるいはユーザ10は、SVPN 52モジュールが指定されたネットワークデータ22をデータセンタ44のデータベース62にアップロードできるようにするコマンドを開始することによって、応答することができる。前述のように、ネットワークデータの更新は、SVPN 52モジュールとWebサーバ60との間に確立された一時データトンネルを介して送信される。データパケットが受信されると、Webサーバ60はユーザのネットワークデータ22を復号し、これをデータベース62に送信して、ここでキャッシュされる。
【0060】
この実施形態は、ユーザが仮想専用ネットワークとして動作する一時データトンネルを介して切り離されたデータの同期をとれるようにするものであり、その結果、後でリモート位置からアクセスできるようにするものであることを理解されたい。この実施形態は、ネットワークデータが企業ネットワークから切り離されている場合、ユーザがデータセンタのデータベースにキャッシュされたネットワークデータのコピーに即時にアクセスできるようにするものでもある。たとえば、ネットワークデータが、ポータブルで物理的に切り離されたコンピュータ上に格納される場合、使用不能なネットワーク記憶ドライブに格納される場合、ネットワークの問題によってネットワークデータの取出しが困難な場合、および接続および処理の速度が遅いためにネットワークデータの取出しに長時間かかる場合などに、ネットワークデータが切り離される。
【0061】
本実施形態によれば、ユーザ10は、電話システムを使用してデータセンタ44を呼び出すこと、およびネットワークデータ22に関するアクセス要求70を生成することにより、電子メール連絡などのネットワークデータ22にアクセスする。データセンタ44の電話ノード80は、ユーザの呼出しおよび付随するアクセス要求70を受信する。さらに電話ノード80は、データベース62からアップロードされたネットワークデータ22を取り出し、アップロードされたネットワークデータ22をユーザ10に返信する。代替実施形態によれば、ユーザ10はインターネットを介してデータセンタ44に直接アクセスし、この場合、Webサーバ60はユーザのアップロードされたネットワークデータ22をデータベース62から取り出して、ユーザ10に返信する。
【0062】
本実施形態は、ユーザ10とデータセンタ44との間に確立された通信回線84を介して、データセンタ44に直接コマンドを発行することによって、ユーザ10がネットワークデータ22を更新できるようにするものでもある。例示的なものとして、ユーザは、データセンタのデータベースに格納されたネットワークデータのキャッシュ済みコピーから、電子メール連絡を削除するコマンドを発行することができる。この例によれば、データセンタ44は電子メール連絡を削除することによって応答し、これによって、データセンタでネットワークデータのキャッシュされたコピーを効率的に更新する。次にデータセンタ44は、更新に関する情報を企業ネットワーク40に送信する。これは、データトンネル42などの確立されたデータトンネルを介して企業ネットワーク40に送信される更新情報を、回答データ53に埋め込むことによって達成される。回答データ53の送信は、図3および4を参照してより詳細に図示および記載される。
【0063】
SVPNモジュールはネットワークデータの更新を受信し、これに応じて企業ネットワークデータを更新する。これで、企業ネットワークデータ22を、データセンタ44のデータベース62に格納されたネットワークデータのキャッシュされたコピーと同期させる。この実施形態は、リモートユーザが、データセンタのデータベースに格納されたネットワークデータを更新し、さらに企業ネットワークのネットワークデータをデータセンタに格納されたネットワークデータの更新済みキャッシュコピーと同期させることによって、企業ネットワークに格納されたネットワークデータを更新できるようにするものであることを理解されたい。
【0064】
前述の内容に鑑みて、本発明は従来の技術を超える改良であることを理解されたい。具体的に言えば、本発明は、企業がデータチャネルを介したネットワークデータへのアクセス許容量を制限する機能を保持しながら、ユーザがセキュアデータチャネルを介したネットワークデータへのモバイルリモートアクセスを有することができるようにするものである。さらに本発明は、リモートユーザが企業ネットワークから切り離されたネットワークデータにアクセスできるようにするものでもある。さらに本発明は、ユーザがリモート位置から仮想専用ネットワークデータトンネルを介してネットワークデータを更新できるようにするものでもある。
【0065】
本発明は、その精神または本来の特性を逸脱することなく、他の特有の形式で実施することができる。記載された実施形態は、すべての点において、限定的なものではなく単に例示的なものとみなされる。したがって本発明の範囲は、前述の説明によってではなく、添付の特許請求の範囲によって示される。特許請求の範囲と等価の意味および範囲内でのすべての変更は、その範囲内に包含されるものである。
【図面の簡単な説明】
【図1】 ユーザおよびリモート企業ネットワークが、仮想専用ネットワークトンネルを介して企業のデータにアクセスできるようにするための、従来技術のシステムを示す図である。
【図2】 本発明に好適なオペレーティング環境を提供する例示的システムにおいて、データセンタのWebサーバと通信する企業ネットワークと、データセンタの電話ノードと通信するユーザとを示す図である。
【図3】 企業ネットワークからデータセンタへデータ要求を送信することと、企業ネットワークがデータセンタから回答データを受信することを含む、企業ネットワークとデータセンタとの間にデータトンネルを確立するための方法を示す図である。
【図4】 ユーザがネットワークデータにアクセスできるようにするために企業ネットワークからデータセンタへネットワークデータを送信するための方法を示す図であって、ネットワークデータは企業ネットワークとデータセンタとの間のデータトンネルを介して伝送される。
【図5】 ユーザが企業ネットワークからのネットワークデータにアクセスできるようにするための本発明の方法の一実施形態を示す流れ図である。
Claims (23)
- リモート企業ネットワークと通信可能なデータセンタにおいて、前記データセンタは前記リモート企業ネットワークと関連付けられたファイアウォールの外部に位置し、ユーザが、前記データセンタと前記リモート企業ネットワークとの間の仮想専用ネットワークとして動作するデータトンネルを介して前記リモート企業ネットワークのネットワークデータにアクセスできるようにするための方法であって、
前記リモート企業ネットワークからデータ要求を受信する動作と、
前記データ要求に応答して、前記ファイアウォールを介して前記データセンタと前記リモート企業ネットワークとの間に、仮想専用ネットワークとして動作する前記データトンネルが確立されるように、進行中の回答データを前記リモート企業ネットワークに送信する動作と、
前記リモート企業ネットワークのネットワークデータにアクセスするための前記ユーザからのアクセス要求を受信する動作と、
前記アクセス要求を、前記データトンネルを使用して前記リモート企業ネットワークに送信する動作と、
前記ネットワークデータを、前記アクセス要求に応答して前記リモート企業ネットワークから受信する動作と、
前記ネットワークデータを前記ユーザに送信する動作とを含むことを特徴とする方法。 - 前記データ要求が指定サーバによって受信され、当該指定サーバは前記データセンタの複数のサーバのうちの1つであることを特徴とする請求項1に記載の方法。
- 前記データセンタのデータベースに、前記複数のサーバのうちのいずれが前記指定サーバであるかが通知され、前記指定サーバはデータトンネルが確立されたときにデータベースに通知することを特徴とする請求項2に記載の方法。
- 前記アクセス要求は、前記データセンタの指定された電話ノードによって受信され、前記ユーザは電話システムを使用して前記アクセス要求を生成することを特徴とする請求項3に記載の方法。
- 前記アクセス要求は、インターネットを介して前記データセンタの複数のサーバのうちの1つによって受信され、前記アクセス要求は、インターネットに接続されたデバイスを使用して前記ユーザによって生成されることを特徴とする請求項3に記載の方法。
- 前記データセンタの前記指定された電話ノードは、前記アクセス要求を前記指定サーバに送信することを特徴とする請求項4に記載の方法。
- 前記指定された電話ノードは、前記複数サーバのうち少なくとも1つと通信することによって、前記複数のサーバのうちのいずれが前記指定サーバであるかを判別することを特徴とする請求項6に記載の方法。
- 前記指定された電話ノードは、前記データベースと通信することによって、前記複数サーバのうちのいずれが前記指定サーバであるかを判別することを特徴とする請求項6に記載の方法。
- 前記ユーザから前記リモート企業ネットワークのネットワークデータにアクセスするためのアクセス要求を受信する前記動作は、前記ユーザのアイデンティティを認証する動作をさらに含むことを特徴とする請求項1に記載の方法。
- 前記ネットワークデータを前記ユーザに送信する前記動作は、
前記ネットワークデータを前記指定サーバから前記指定された電話ノードに送信する動作と、
前記ネットワークデータを前記指定された電話ノードから前記ユーザによって使用される前記電話システムに送信する動作とを含むことを特徴とする請求項4に記載の方法。 - 企業ネットワークと関連付けられたファイアウォールの外部に位置するリモートデータセンタネットワークと通信可能な前記企業ネットワークにおいて、ユーザが、前記リモートデータセンタと前記企業ネットワークとの間の仮想専用ネットワークとして動作するデータトンネルを介して前記企業ネットワークのネットワークデータにアクセスできるようにするための方法であって、
データ要求を前記リモートデータセンタに送信する動作と、
前記ファイアウォールを介して前記リモートデータセンタと前記企業ネットワークとの間に、仮想専用ネットワークとして動作する前記データトンネルが確立されるように、前記データ要求に応答して進行中の回答データを前記リモートデータセンタから受信する動作と、
前記リモートデータセンタから、前記企業ネットワークのネットワークデータにアクセスするためのアクセス要求を受信する動作とを含み、当該アクセス要求が前記ユーザから前記リモートデータセンタによって受信され、その後前記リモートデータセンタによって前記データトンネルを介して前記企業ネットワークに送信されるものであって、
さらに前記方法は、前記ユーザが前記ネットワークデータにアクセスできるようにするために、前記アクセス要求に応答して、前記ネットワークデータを前記リモートデータセンタに送信する動作を含むことを特徴とする方法。 - 前記データ要求はファイアウォールを介して送信されることを特徴とする請求項11に記載の方法。
- 前記データ要求はプロキシサーバを介して送信されることを特徴とする請求項12に記載の方法。
- 前記回答データはポート443を介して受信されることを特徴とする請求項12に記載の方法。
- 前記回答データはセキュアソケットレイヤ(Secure Sockets Layer)プロトコルを使用して受信されることを特徴とする請求項14に記載の方法。
- 前記回答データはポート80を介して受信されることを特徴とする請求項11に記載の方法。
- 前記ネットワークデータを前記リモートデータセンタに送信する前記動作は、
前記ネットワークデータをセキュアソケットレイヤ(Secure Sockets Layer)プロトコルに準拠するように暗号化する動作と、
前記ネットワークデータの送信が一時仮想専用ネットワークとして動作するように、前記ネットワークデータを第2のデータトンネルを介して前記リモートデータセンタに送信する動作と、
前記第2のデータトンネルを閉じる動作とを含むことを特徴とする請求項11に記載の方法。 - データセンタにおいて、ユーザが、前記データセンタとリモート企業ネットワークとの間の仮想専用ネットワークとして動作するデータトンネルを介して前記リモート企業ネットワークのネットワークデータにアクセスできるようにするための方法を実施するためのコンピュータプログラム製品であって、前記データセンタは前記リモート企業ネットワークと関連付けられたファイアウォールの外部に位置し、前記コンピュータプログラム製品は、
前記方法を実施するためのコンピュータ実行可能命令を搬送するコンピュータ読取り可能媒体を含み、前記コンピュータ実行可能命令は、
前記リモート企業ネットワークからデータ要求を受信するためのプログラムコード手段と、
前記データ要求に応答して、前記ファイアウォールを介して前記データセンタと前記リモート企業ネットワークとの間に、仮想専用ネットワークとして動作する前記データトンネルが確立されるように、進行中の回答データをリモート企業ネットワークに送信するためのプログラムコード手段と、
前記リモート企業ネットワークのネットワークデータにアクセスするための前記ユーザからのアクセス要求を受信するためのプログラムコード手段と、
前記アクセス要求を、前記データトンネルを使用して前記リモート企業ネットワークに送信するためのプログラムコード手段と、
前記ネットワークデータを、前記アクセス要求に応答して前記リモート企業ネットワークから受信するためのプログラムコード手段と、
前記ネットワークデータを前記ユーザに送信するためのプログラムコード手段とを含むことを特徴とするコンピュータプログラム製品。 - 前記コンピュータ実行可能命令は、前記ユーザのアイデンティティを認証するためのプログラムコード手段をさらに含むことを特徴とする請求項18に記載のコンピュータプログラム製品。
- 前記コンピュータ実行可能命令は、前記データセンタの電話ノードが前記アクセス要求を受信し前記アクセス要求を指定サーバに送信できるようにするためのプログラムコード手段をさらに含み、前記指定サーバは前記進行中の回答データを前記リモート企業ネットワークに送信するものであることを特徴とする請求項18に記載のコンピュータプログラム製品。
- 前記指定サーバは前記データセンタの複数のサーバのうちの1つであって、前記ユーザは電話システムを使用して前記アクセス要求を生成することを特徴とする請求項20に記載のコンピュータプログラム製品。
- 前記コンピュータ実行可能命令は、前記データセンタのデータベースにネットワークデータのコピーをキャッシュするためのプログラムコード手段をさらに含むことを特徴とする請求項18に記載のコンピュータプログラム製品。
- 前記コンピュータ実行可能命令は、前記ユーザからの前記アクセス要求の受信に応答して、前記ネットワークデータの前記キャッシュ済みコピーを前記ユーザに送信するためのプログラムコード手段をさらに含むことを特徴とする請求項18に記載のコンピュータプログラム製品。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US25748000P | 2000-12-20 | 2000-12-20 | |
| US09/767,465 US7124189B2 (en) | 2000-12-20 | 2001-01-22 | Spontaneous virtual private network between portable device and enterprise network |
| PCT/US2001/048993 WO2002050695A1 (en) | 2000-12-20 | 2001-12-19 | Spontaneous virtual private network between portable device and enterprise network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005501432A JP2005501432A (ja) | 2005-01-13 |
| JP3909289B2 true JP3909289B2 (ja) | 2007-04-25 |
Family
ID=56290225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002551723A Expired - Fee Related JP3909289B2 (ja) | 2000-12-20 | 2001-12-19 | ポータブルデバイスと企業ネットワークとの間の自発的仮想専用ネットワーク |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP3909289B2 (ja) |
| AU (1) | AU2002231001A1 (ja) |
| CA (1) | CA2430266A1 (ja) |
| WO (1) | WO2002050695A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1381190A1 (en) * | 2002-07-12 | 2004-01-14 | Alcatel | Method for accessing a virtual private network resource based on uniform resource identifiers |
| WO2005022838A1 (en) * | 2003-08-29 | 2005-03-10 | Nokia Corporation | Personal remote firewall |
| CN103095543B (zh) * | 2011-11-07 | 2016-10-05 | 华为技术有限公司 | 用于域间虚拟专用网络对接的方法和设备 |
| JP2014098981A (ja) * | 2012-11-13 | 2014-05-29 | Oki Electric Ind Co Ltd | データ管理装置およびプログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3591996B2 (ja) * | 1996-08-29 | 2004-11-24 | Kddi株式会社 | 帯域確保型vpn構築方法 |
| US6092200A (en) * | 1997-08-01 | 2000-07-18 | Novell, Inc. | Method and apparatus for providing a virtual private network |
| US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
-
2001
- 2001-12-19 WO PCT/US2001/048993 patent/WO2002050695A1/en active Search and Examination
- 2001-12-19 AU AU2002231001A patent/AU2002231001A1/en not_active Abandoned
- 2001-12-19 JP JP2002551723A patent/JP3909289B2/ja not_active Expired - Fee Related
- 2001-12-19 CA CA002430266A patent/CA2430266A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| AU2002231001A1 (en) | 2002-07-01 |
| CA2430266A1 (en) | 2002-06-27 |
| WO2002050695A1 (en) | 2002-06-27 |
| JP2005501432A (ja) | 2005-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7124189B2 (en) | Spontaneous virtual private network between portable device and enterprise network | |
| US7673133B2 (en) | Virtual private network between computing network and remote device | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| US6959393B2 (en) | System and method for secure message-oriented network communications | |
| US8312064B1 (en) | Method and apparatus for securing documents using a position dependent file system | |
| US8543808B2 (en) | Trusted intermediary for network data processing | |
| US7565526B1 (en) | Three component secure tunnel | |
| US7287271B1 (en) | System and method for enabling secure access to services in a computer network | |
| JP4648148B2 (ja) | 接続支援装置 | |
| US7392537B2 (en) | Managing a network security application | |
| CA2341213C (en) | System and method for enabling secure access to services in a computer network | |
| US6823462B1 (en) | Virtual private network with multiple tunnels associated with one group name | |
| US8838965B2 (en) | Secure remote support automation process | |
| US6351810B2 (en) | Self-contained and secured access to remote servers | |
| EP1854243B1 (en) | Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server | |
| CN105556894A (zh) | 网络连接自动化 | |
| EP1775903A2 (en) | A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor | |
| Zhipeng et al. | VPN: a boon or trap?: a comparative study of MPLs, IPSec, and SSL virtual private networks | |
| TWI242968B (en) | System for establishing and regulating connectivity from a user's computer | |
| CA2347834A1 (en) | Secure messaging system and method | |
| JP2014082638A (ja) | 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ | |
| CN111327634B (zh) | 网站访问监管方法、安全套接层代理装置、终端及系统 | |
| JP3909289B2 (ja) | ポータブルデバイスと企業ネットワークとの間の自発的仮想専用ネットワーク | |
| JP2002521970A (ja) | セキュリティを施したメッセージの管理システム | |
| Antovski et al. | E-Banking–Developing Future with Advanced Technologies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041111 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060707 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20061010 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20061109 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061201 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20061222 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070122 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3909289 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110126 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110126 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120126 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130126 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130126 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |