JP4339234B2 - VPN connection construction system - Google Patents
VPN connection construction system Download PDFInfo
- Publication number
- JP4339234B2 JP4339234B2 JP2004354632A JP2004354632A JP4339234B2 JP 4339234 B2 JP4339234 B2 JP 4339234B2 JP 2004354632 A JP2004354632 A JP 2004354632A JP 2004354632 A JP2004354632 A JP 2004354632A JP 4339234 B2 JP4339234 B2 JP 4339234B2
- Authority
- JP
- Japan
- Prior art keywords
- vpn connection
- vpn
- information
- network address
- configuration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title claims description 26
- 238000007726 management method Methods 0.000 claims description 137
- 238000012545 processing Methods 0.000 claims description 79
- 238000000034 method Methods 0.000 claims description 43
- 238000004891 communication Methods 0.000 claims description 42
- 230000008569 process Effects 0.000 claims description 35
- 238000006243 chemical reaction Methods 0.000 claims description 20
- 238000013519 translation Methods 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 10
- 238000009434 installation Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信ネットワークを介して各装置がVPN接続を構築するVPN接続構築システムに関する。 The present invention relates to a VPN connection construction system in which each device constructs a VPN connection via a communication network.
現在通信ネットワークを介して遠隔に存在する端末やサーバや中継機の間における、セキュアな通信方法として、VPN(Virtual Private Network)の技術が多く利用されている。このVPNの接続を行なう場合には、ネットワーク管理者などはそれぞれの装置にVPN接続用の各種設定を施し、装置間のVPN接続の構築を行なっており、この作業に多くの労力がかかっている。このような管理者の煩雑な設定の作業を軽減するための技術として、特許文献1、2が公開されている。また、VPNの接続が一旦構築されると、例えば、一方の装置のIPアドレスが変更されてしまった場合には、VPN接続を維持することが不可能となる。このような一方の装置のIPアドレスが変更されてしまった際に、通信を維持する技術として、特許文献3が公開されている。
上述の特許文献1の技術では、VPNが対象で、ネットワーク機器のサポート仕様や相互接続問題等を予め考慮し、ネットワーク機器の設定情報を自動的に生成し設定している。しかしながら、機種依存のデータで共通部分を抽出して相手を特定するIPsecポリシー(SPD)を人が直接設定する方式で、相手を特定せず、相手の属性などをもとに、自動的に接続可否判断することはできない。
また上述の特許文献2の技術では、複数のサイト外通信網に接続するサイト内ユーザが、サイト外通信網ごとの通信ポリシーを満たして接続する際の手続きを簡易化することができ、しかもサイト外通信網において管理する各々の通信ポリシーを簡略化して管理負荷を低減することができ、さらにサイト内ユーザが使用する属性をサイト外通信網に対して隠蔽しつつ複数のサイト外通信網を選択することを可能にする。しかしながら、ポリシーに基づく制御をサイト(本願発明の技術ではルータ)側で行なうもので、(相手の接続条件を知ることなく)接続相手の接続条件を考慮した制御ができない。そして、IP―VPNのようなクライアントとサーバの関係では良いが、P2Pのような関係では両方の属性とポリシーを考慮できる仕組みが望ましい。
また上述の特許文献3の技術では、機器のIPアドレスに変更が生じる都度、機器自体が新しいIPアドレスを外部に通知する機能を備えている。しかしながらこれは、接続相手にIPアドレスを伝えるもので、接続相手が多数の場合に対応できない。またIPアドレスの変化に応じて相手に伝えるのみで、VPNとの連携など複雑な動きは対応できない。
In the technique of the above-mentioned Patent Document 1, VPN is an object, and network device setting information is automatically generated and set in consideration of support specifications of network devices and interconnection problems in advance. However, it is a method in which a person directly sets an IPsec policy (SPD) that identifies a partner by extracting common parts from model-dependent data, and automatically connects based on the attributes of the partner without identifying the partner. It cannot be judged.
Further, in the technique of the above-mentioned
Further, the technique disclosed in
そこでこの発明は、通信ネットワークを介した装置間のVPN接続において、管理者などの作業を軽減することができ、また上述した、VPN接続の際に、接続できる相互の装置のポリシーの設定に関する問題点や、一方の装置がIPアドレスを変更した場合にVPN接続を維持できなくなるという問題点を解決することができる、VPN接続構築システムを提供することを目的としている。 Therefore, the present invention can reduce the work of an administrator or the like in VPN connection between devices via a communication network, and the above-described problem relating to the policy setting of mutual devices that can be connected during VPN connection. Another object of the present invention is to provide a VPN connection construction system that can solve the problem that the VPN connection cannot be maintained when one device changes the IP address.
本発明は、上述の課題を解決すべくなされたもので、VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムであって、前記VPN接続管理装置が、前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信手段と、前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定手段と、前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成手段と、前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信手段とを備え、前記VPN接続要求装置が、前記接続要求を前記VPN接続管理装置へ送信する接続要求手段と、前記第1VPN構成情報の示すVPN接続先装置のネットワーク情報と認証情報を利用して前記VPN接続先装置とのVPN接続の構築の処理を行なうVPN接続実行手段とを備え、前記VPN接続先装置が、前記第2VPN構成情報の示すVPN接続要求装置のネットワーク情報と認証情報を利用して、前記VPN接続要求装置から受付けたVPN接続の構築を処理するVPN接続受付手段とを備え、前記VPN接続要求装置または前記VPN接続先装置の両方が、自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備え、前記VPN接続管理装置が、さらに、前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段と、ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信手段と、前記ネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更手段とを備え、前記VPN構成情報生成手段が、前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成し、前記VPN構成情報配信手段が、前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なうことを特徴とするVPN接続構築システムである。 The present invention has been made to solve the above-described problems, and is a VPN connection construction system comprising a VPN connection requesting device, a VPN connection destination device, and a VPN connection management device, wherein the VPN connection management device is the VPN. A connection request receiving means for receiving a connection request to the connection destination device from the VPN connection request device, a comparison between the device attribute information of the VPN connection request device and the VPN connection destination device, and predetermined policy information stored in advance Based on the VPN connection requesting device and the VPN connection destination device, VPN connection availability determination means for determining whether or not VPN connection is possible, and only when it is determined that VPN connection is possible in the determination of VPN connection availability Based on the stored network information of the VPN connection destination device, the VPN connection requesting device transmits a VPN connection to the VPN connection destination device. First VPN configuration information to be used at the time of building is generated, and is used when the VPN connection destination device establishes a VPN connection requested from the VPN connection request device based on the network information of the VPN connection request device stored in advance. VPN configuration information generating means for generating the second VPN configuration information, and delivering the first VPN configuration information to the VPN connection requesting device, and delivering the second VPN configuration information to the VPN connection destination device Distribution means, wherein the VPN connection requesting device uses the network connection information and authentication information of the VPN connection destination device indicated by the first VPN configuration information, the connection requesting device for transmitting the connection request to the VPN connection management device. VPN connection execution means for performing processing for establishing a VPN connection with the VPN connection destination device, Continued above apparatus, by using the network information and authentication information of the VPN connection request device indicated by the first 2VPN configuration information, and a VPN connection accepting means for processing the construction of the VPN connection received from the VPN connection request device, When both the VPN connection requesting device and the VPN connection destination device have their network address changed, VPN connection disconnection means for disconnecting the VPN connection, and the changed network address as the VPN connection A post-change address notifying means to be transmitted to the management apparatus, and a VPN reconnection means for automatically performing construction of a new VPN connection using the VPN configuration information transmitted from the VPN connection management apparatus after the VPN disconnection The VPN connection management device further includes the VPN connection requesting device and the VPN connection destination device. Network address storage means for storing the identification information and network address information in association with each other, and receiving the changed network address from either the VPN connection requesting device or the VPN connection destination device whose network address has been changed And changing the network address of the VPN connection requesting device or the VPN connection destination device that has transmitted the changed network address to the received changed network address in the changed address receiving unit and the network address storing unit. Network address changing means for generating the first VPN configuration information and the second VPN configuration information based on the network information including the changed network address and the authentication information. The VPN configuration information distribution means distributes the new first VPN configuration information to the VPN connection requesting device that has disconnected the VPN connection, or the new second VPN configuration to the VPN connection destination device that has disconnected the VPN connection. A VPN connection construction system characterized by distributing information .
また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続管理装置が、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続要求装置から受信し、また前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続先装置から受信する、配下端末アドレス受信手段と、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第1仮想アドレス変換テーブル生成手段と、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第2仮想アドレス変換テーブル生成手段と、前記第1仮想アドレス変換テーブルを前記VPN接続要求装置へ配信し、前記第2仮想アドレス変換テーブルを前記VPN接続先装置へ配信する、仮想アドレス変換テーブル配信手段とを備え、接続要求が前記VPN接続要求装置のネットワーク配下に接続された接続要求側端末と前記VPN接続先装置のネットワーク配下に接続された接続先側端末との間のVPN接続の要求を示す場合に、前記VPN接続要求装置の前記VPN接続実行手段は、前記接続要求側端末から送信された通信情報に含まれる当該接続要求側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第1仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理し、前記VPN接続先装置の前記VPN接続受付手段は、前記接続先側端末から送信された通信情報に含まれる当該接続先側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第2仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理することを特徴とする。 According to the present invention, in the VPN connection construction system described above, the VPN connection management device previously receives a network address of a terminal connected under the network of the VPN connection requesting device from the VPN connection requesting device, and the VPN Corresponding to the subordinate terminal address receiving means for receiving in advance the network address of the terminal connected under the network of the connection destination device from the VPN connection destination device, and the network address of the terminal connected under the network of the VPN connection requesting device In addition, a first virtual address conversion table generating means for storing a virtual network address capable of communicating with a network address of a terminal connected under the network of the VPN connection destination device, and a network under the network of the VPN connection destination device The network of the connected terminal A second virtual address conversion table generating means for storing a virtual network address capable of communicating with a network address of a terminal connected under the network of the VPN connection requesting device in association with a work address; and the first virtual address Virtual address translation table delivery means for delivering a translation table to the VPN connection requesting device and delivering the second virtual address translation table to the VPN connection destination device, wherein the connection request is subordinate to the network of the VPN connection requesting device. When indicating a VPN connection request between a connection requesting terminal connected to the network and a connection destination terminal connected under the network of the VPN connection destination device, the VPN connection execution means of the VPN connection requesting device is: , The connection request included in the communication information transmitted from the connection request side terminal Replacing the network address of the terminal with the virtual network address associated with the network address and recorded in the first virtual address conversion table, and encrypting the communication information based on predetermined encryption information; The VPN connection is processed by using the external network address of the VPN connection destination device, and the VPN connection reception unit of the VPN connection destination device includes the network address of the connection destination terminal included in the communication information transmitted from the connection destination terminal. Is replaced with a virtual network address associated with the network address and recorded in the second virtual address conversion table, the communication information is encrypted based on predetermined encryption information, and the external network address of the device itself And processing the VPN connection using The
また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続可否判定手段は、前記装置属性情報と前記ポリシー情報とが合致しない前記VPN接続要求装置または前記VPN接続先装置に、判定伺い情報を送信し、当該判定伺い情報を受信した前記VPN接続要求装置または前記VPN接続先装置の両方から、接続可を示す情報を受信した場合にのみ、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続を可と判定することを特徴とする。 In the VPN connection construction system according to the present invention, the VPN connection availability determination means sends determination inquiry information to the VPN connection requesting device or the VPN connection destination device in which the device attribute information and the policy information do not match. Only when information indicating connection is received from both the VPN connection requesting device or the VPN connection destination device that has transmitted and received the judgment inquiry information, between the VPN connection requesting device and the VPN connection destination device. The VPN connection is determined to be acceptable.
また本発明は、VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなり、前記VPN接続要求装置または前記VPN接続先装置の両方が、自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備えるVPN接続構築システム内の、前記VPN接続管理装置のコンピュータに実行させるプログラムであって、前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信処理と、前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定処理と、前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成処理と、前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信処理と、ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信処理と、前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更処理と、をコンピュータに実行させ、さらに、前記VPN構成情報生成処理において、前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成する処理と、前記VPN構成情報配信処理において、前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なう処理と、をコンピュータに実行させるプログラムである。 The present invention, Ri Do and a VPN connection request device and the VPN connection destination device and the VPN connection management apparatus, wherein when both of the VPN connection request device or the VPN connection destination device, the network address of the own apparatus is changed VPN connection disconnecting means for disconnecting the VPN connection, changed address notification means for transmitting the changed network address to the VPN connection management apparatus, and the VPN connection management apparatus transmitted from the VPN connection management apparatus after the VPN disconnection A program to be executed by a computer of the VPN connection management device in a VPN connection construction system comprising VPN reconnection means for automatically creating a new VPN connection using VPN configuration information, the VPN connection management system comprising: A connection request reception process for receiving a connection request to a connection destination device from the VPN connection request device; Whether or not VPN connection between the VPN connection requesting device and the VPN connection destination device is possible is determined based on a comparison between the device attribute information of the PN connection requesting device and the VPN connection destination device and predetermined policy information stored in advance. The VPN connection requesting device performs the VPN connection based on the network information of the VPN connection destination device stored in advance only when it is determined that VPN connection is possible in the VPN connection feasibility judgment processing and the VPN connection feasibility judgment. First VPN configuration information used when establishing a VPN connection to the connection destination device is generated, and the VPN connection destination device requests from the VPN connection request device based on the network information of the VPN connection request device stored in advance. VPN configuration information generation processing for generating second VPN configuration information to be used when establishing a VPN connection to be performed, and the first Delivers PN configuration information to the VPN connection request device and distributes the first 2VPN configuration information to the VPN connection destination device, and the VPN configuration information distribution processing, the VPN connection request device or the network address was changed A changed address receiving process for receiving a changed network address from any of the VPN connection destination devices, and a network for storing the identification information and network address information of the VPN connection requesting device and the VPN connection destination device in association with each other A network address changing process for changing the network address of the VPN connection requesting device or the VPN connection destination device that transmitted the changed network address to the received changed network address in an address storage means; Let it run Further, in the VPN configuration information generation process, a process of generating new first VPN configuration information and second VPN configuration information based on the network information including the changed network address and the authentication information, and the VPN configuration In the information distribution processing, distribution of the new first VPN configuration information to the VPN connection requesting device that has disconnected the VPN connection or distribution of the new second VPN configuration information to the VPN connection destination device that has disconnected the VPN connection. A program for causing a computer to execute processing to be performed.
本発明によれば、VPN接続管理装置が第1/第2VPN構成情報を生成し、その情報を用いてVPN接続要求装置とVPN接続先装置が自動的にVPN接続を行なうので、VPN接続を行なう機器の設定が必要なくなり、これにより、管理者などの作業を軽減することができる。またVPN接続を行なう一方の装置のIPアドレスが変更になった場合にも、VPN構成情報の再生成によって、新たなVPN接続を構築するので、VPN接続が維持でき、IPアドレスが変更されるようなネットワーク形態においてもVPN接続の構築を容易に行なうことができるという効果が得られる。 According to the present invention, the VPN connection management device generates the first / second VPN configuration information, and the VPN connection requesting device and the VPN connection destination device automatically perform the VPN connection using the information. It is no longer necessary to set up the device, thereby reducing the work of the administrator and the like. In addition, even when the IP address of one device that performs VPN connection is changed, a new VPN connection is established by regenerating the VPN configuration information, so that the VPN connection can be maintained and the IP address can be changed. Even in a simple network configuration, it is possible to easily construct a VPN connection.
以下、本発明の一実施形態によるVPN接続構築システムを図面を参照して説明する。図1は同実施形態によるVPN接続構築システムの概要を示すブロック図である。この図において、符号1はVPN接続を要求するVPN接続要求装置である。また2はVPNの接続先となるVPN接続先装置である。また3は機器管理サーバであり、本システムを利用するVPN接続要求装置1とVPN接続先装置2の情報が登録される。この機器管理サーバ3は基本的に1つだけ存在する。また4はVPN管理サーバ(VPN接続管理装置)であり、VPN接続要求装置1とVPN接続先装置2が相互間でVPN接続を行なう際に、そのVPN接続の可否などを判断する処理を行なう。なお本実施形態においては説明の便宜上、VPN接続要求装置1とVPN接続先装置2に分けて説明するが、本来は1つの中継装置(例えばルータやファイアーウォールなどの)が接続要求側となったり、または接続先となったりするので、VPN接続要求装置1とVPN接続先装置2の両方の機能を有する。
Hereinafter, a VPN connection construction system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing an outline of a VPN connection construction system according to the embodiment. In this figure, reference numeral 1 denotes a VPN connection requesting device that requests a VPN connection.
図2は、本実施形態によるVPN接続構築システムを構成する各装置の機能ブロックを示す図である。
この図が示すように、まずVPN接続要求装置1は、通信ネットワークに接続された他の装置と通信を行なう通信処理部11と、装置内の各処理部を制御する制御部12と、VPNの接続要求を処理するVPN接続要求部(接続要求手段)13と、VPN接続先装置2とVPN接続の構築を処理するVPN接続実行部(VPN接続実行手段、VPN接続切断手段、変更後アドレス通知手段、VPN再接続手段)14と、各種情報を記憶する記憶部15とを備えている。
FIG. 2 is a diagram showing functional blocks of each device constituting the VPN connection construction system according to the present embodiment.
As shown in this figure, first, the VPN connection requesting device 1 includes a
またVPN接続先装置2は、通信ネットワークに接続された他の装置と通信を行なう通信処理部21と、装置内の各処理部を制御する制御部22と、VPN接続要求装置1から受付けたVPN接続の構築を処理するVPN接続受付部(VPN接続受付手段)23と、各種情報を記憶する記憶部24とを備えている。
The VPN
また、機器管理サーバ3は、通信ネットワークに接続された他の装置と通信を行なう通信処理部31と、本システムを利用するVPN接続要求装置1やVPN接続先装置2の登録の受付け処理や、当該登録時に受付けた情報を記録する処理を行なう機器登録処理部32と、登録された情報を記憶するデータベースとを備えている。
In addition, the
またVPN管理サーバ4は、通信ネットワークに接続された他の装置と通信を行なう通信処理部41と、機器管理サーバ3に登録を行なったVPN接続要求装置1からVPN接続を行なう旨の登録を受付けるVPN登録処理部42と、VPN接続要求を受付けるVPN接続要求受付部(接続要求受信手段、変更後アドレス受信手段、ネットワークアドレス変更手段、配下端末アドレス受信手段)43と、VPN接続要求装置1とVPN接続先装置2の間におけるVPN接続の可否を判定するVPN接続可否判定部(VPN接続可否判定手段)44と、VPN接続時にVPN接続要求装置1やVPN接続先装置2で利用されるVPN構成情報を生成するVPN構成情報生成部(VPN構成情報生成手段、第1仮想アドレス変換テーブル生成手段、第2仮想アドレス変換テーブル生成手段)45や、VPN構成情報をVPN接続要求装置1やVPN接続先装置2に配信するVPN接続用情報配信部(VPN構成情報配信手段、仮想アドレス変換テーブル配信手段)46や、登録を受付けた際の各種情報を記憶するデータベース(ネットワークアドレス記憶手段)を備えている。
Further, the
なお、VPN管理サーバ4は、例えば、VPN接続のサービスを管理する各業者それぞれが有するものである。そして、予め各VPN接続要求装置1やVPN接続先装置2のユーザはそれら装置を機器管理サーバ3に登録して、認証局からの認証を受けておくことで、VPN接続のサービスを管理する各業者からサービスを受ける際のVPN管理サーバ4への登録時に再度、認証を受けずに済むようにしておく。ユーザは、ある業者が管理するVPN管理サーバ4に登録することで、そのVPN管理サーバ4に登録されている他の装置とVPN接続の処理が可能となる。
Note that the
図3は中継装置(VPN接続要求装置1、VPN接続先装置2)を機器管理サーバに登録する際の処理フローを示す図である。
次に図3を用いて、VPN接続要求装置1やVPN接続先装置2の機能を備えた中継装置(ルータやファイアーウォールなど)を機器管理サーバ3に登録する際の処理について説明する。
まずユーザは、PCなどの端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末に中継装置登録を行なう為のウェブページ(以下、登録画面という)を送信する機能と、当該登録画面によって入力された情報を受付けて機器管理サーバ3への登録処理を行なう機能を有している(つまり図2のVPN接続要求装置1やVPN接続先装置2の制御部11,21がこの機能を有している)。ユーザは、登録画面において、ID,パスワードを入力してログインする。すると中継装置が認証をして登録の許可を通知する。そしてユーザが当該登録画面を利用して登録要求を行なうと、中継装置の制御部はSSL通信により機器管理サーバ3と接続を行ない、相互認証が行なわれ、登録開始メッセージが中継装置と機器管理サーバ3の間で送受信される(ステップS101)。機器管理サーバ3の機器登録処理部32は登録に必要なデータの要求を行なうと(ステップS102)、中継装置は登録フォーム画面を端末に送信し、当該画面が端末に表示される。
FIG. 3 is a diagram showing a processing flow when registering a relay device (VPN connection requesting device 1, VPN connection destination device 2) in the device management server.
Next, processing when registering a relay device (such as a router or a firewall) having the functions of the VPN connection request device 1 and the VPN
First, the user accesses the relay device using a terminal such as a PC. A relay device transmits a web page (hereinafter referred to as a registration screen) for registering a relay device to a terminal that has received access, and receives information input on the registration screen and performs registration processing on the device management server 3 (That is, the
次に、ユーザは端末に表示された登録フォーム画面において、(ア)自身の住所、氏名、生年月日、(イ)個人認証用の情報(ID、パスワード)、(ウ)用途、設置位置の情報を登録する。すると、端末はア〜ウの情報を中継装置へ送信し、当該情報を中継装置が機器管理サーバ3に送信する(ステップS103)。すると機器管理サーバ3の機器登録処理部32は相互認証を行ない、またSM(セキュアメッセージング)鍵を共有する為に当該SM鍵を中継装置へ送信する(ステップS104)。このSM鍵は、中継装置内のICチップに記録されている各情報を機器管理サーバ3に送信する際に、当該ICチップと機器管理サーバ3との間での通信処理を暗号化するための鍵情報である。なお、ICチップには(エ)中継装置種別,中継装置仕様、(オ)CA公開鍵、(カ)中継装置の仮公開鍵、(キ)中継装置の仮秘密鍵、(ク)中継装置の仮公開鍵証明書(中継装置IDを含む)などが記録されている。またユーザから登録フォーム画面において入力を受付けた後に、中継装置の制御部が(ケ)署名付き依頼文の情報、を生成しICチップに記録しておく。
Next, on the registration form screen displayed on the terminal, the user (a) own address, name, date of birth, (b) personal authentication information (ID, password), (c) use, installation location Register information. Then, the terminal transmits the information of “a” to “c” to the relay device, and the relay device transmits the information to the device management server 3 (step S103). Then, the device
上記相互認証が終了すると、中継装置のICチップ内の暗号処理部がSM鍵を利用して、(エ),(ケ)の情報を暗号化し、登録要求としてICチップから機器管理サーバ3へ送信する(ステップS105)。次に中継装置は中継装置の公開鍵(コ)と秘密鍵(サ)のペアを生成する(ステップS106)。そして中継装置の公開鍵(コ)を機器管理サーバ3へ送信する(ステップS107)。すると、機器管理サーバ3の機器登録処理部32は、中継装置へ中継装置登録完了通知と(シ)中継装置の公開鍵証明書(機器管理サーバ3の管理者により発行される)、とを中継装置へ送信する(ステップS108)。また機器管理サーバ3の機器登録処理部32は、(ス)機器管理サーバ3を管理する管理者のCA(認証局)公開鍵証明書を中継装置へ送信する(ステップS109)。
When the mutual authentication is completed, the encryption processing unit in the IC chip of the relay device encrypts the information (D) and (K) using the SM key, and transmits the information from the IC chip to the
次に中継装置の制御部はICチップ内のメモリへ、受信した(シ)の情報を格納する(ステップS110)。これにより、登録成功通知が中継装置から機器管理サーバ3へ送信される(ステップS111)。また中継装置は中継装置の登録成功を端末に通知する(ステップS112)。この時点で中継装置の保持するICチップに記録される情報は、(オ)CA公開鍵、(エ)中継装置種別,中継装置仕様、(シ)中継装置の公開鍵証明書(鍵情報、中継装置ID、機器管理サーバ3の管理者ID、中継装置の所有者IDが含まれる)、(コ)中継装置の公開鍵、(サ)中継装置の秘密鍵である。なお(ク)中継装置製造者の仮公開鍵証明書は(シ)の情報によって上書きされることで削除され、また(キ)の情報は削除されている。以上の機器管理サーバ3への中継装置(VPN接続要求装置1とVPN接続先装置2の機能を備える装置)の登録によって、当該中継装置の正当性が確保される。
Next, the control unit of the relay apparatus stores the received (S) information in the memory in the IC chip (step S110). Thereby, a registration success notification is transmitted from the relay apparatus to the device management server 3 (step S111). In addition, the relay device notifies the terminal of successful registration of the relay device (step S112). Information recorded on the IC chip held by the relay device at this point includes (e) CA public key, (d) relay device type, relay device specification, and (f) relay device public key certificate (key information, relay). Device ID,
図4は中継装置(VPN接続要求装置1、VPN接続先装置2)のVPN接続管理サーバへの登録の処理フローを示す図である。
上述の機器管理サーバ3への登録後、ユーザは、VPN接続の管理サービスを提供しているVPN接続管理サーバへ中継装置を登録し、これにより、当該VPN接続管理サーバで管理されている他の中継装置とのVPN接続を要求することが可能となる。
以下図4を用いて、VPN接続管理サーバ4への登録の処理について説明する。
まずユーザは、端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末にVPN登録を行なう為のウェブページ(以下、VPN登録画面という)を送信する。するとユーザは、VPN登録画面において、ID,パスワードを入力してログインする。すると中継装置が認証をしてVPN登録の許可を通知する。そしてユーザが当該VPN登録画面を利用してVPN登録要求を行なうと、中継装置の制御部はSSL通信によりVPN管理サーバ4と接続を行ない、相互認証が行なわれ、VPN登録開始メッセージが中継装置とVPN管理サーバ4の間で送受信される(ステップS201)。次にVPN管理サーバ4のVPN登録処理部42はVPN登録に必要なデータの要求を行なうと(ステップS202)、中継装置はVPN登録フォーム画面を端末に送信し、当該画面が端末に表示される。
FIG. 4 is a diagram showing a processing flow of registration of the relay device (VPN connection request device 1, VPN connection destination device 2) in the VPN connection management server.
After registration in the
Hereinafter, the registration process to the VPN
First, a user accesses a relay apparatus using a terminal. The relay apparatus transmits a web page (hereinafter referred to as a VPN registration screen) for performing VPN registration to the terminal that has received access. Then, the user logs in by entering the ID and password on the VPN registration screen. Then, the relay apparatus authenticates and notifies permission of VPN registration. When the user makes a VPN registration request using the VPN registration screen, the control unit of the relay device connects to the
次に、ユーザは端末に表示されたVPN登録フォーム画面において、(ア)自身の住所、氏名、生年月日、(イ)個人認証用の情報(ID、パスワード)、(ウ)用途・設置位置・VPN接続ポリシー(VPN接続を行なうことができる中継装置の仕様や属性を示す情報)の情報を登録する。すると、端末はア〜ウの情報を中継装置へ送信し、中継装置がア〜ウの情報と、(セ)自装置(中継装置)のWAN側のIPアドレス,自装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス、の情報とをVPN管理サーバ4に送信する(ステップS203)。するとVPN管理サーバ4のVPN登録処理部42は(シ)の中継装置の公開鍵証明書の情報を利用して相互認証を行ない、またSM鍵を共有する為に当該SM鍵を中継装置へ送信する(ステップS204)。なおユーザからVPN登録フォーム画面において入力を受付けた後に、中継装置の制御部が(ソ)中継装置の署名付き依頼文の情報、を生成しICチップに記録しておく。
Next, on the VPN registration form screen displayed on the terminal, the user (a) own address, name, date of birth, (b) personal authentication information (ID, password), (c) use / installation position Register information of VPN connection policy (information indicating the specifications and attributes of a relay device that can perform VPN connection). Then, the terminal transmits the information of “a” to “c” to the relay device, and the relay device is connected to the network under the information of “a” to “c”, the IP address on the WAN side of the own device (relay device), and the own device. The information of the IP address of each device (terminal or server) is transmitted to the VPN management server 4 (step S203). Then, the VPN
上記相互認証が終了すると、中継装置のICチップ内の暗号処理部がSM鍵を利用して、(エ),(ソ)を暗号化しICチップからVPN管理サーバ4へその暗号化された情報を送信する(ステップS205)。VPN管理サーバ4では、VPN登録処理部42が(ア),(イ),(ウ),(エ)の情報をデータベース47へ登録する(ステップS206)。またVPN登録処理部42は、VPN管理プログラムのIDを生成し、当該IDをステップS206で登録した情報に対応付けてデータベースへ登録する(ステップS207)。このVPN管理プログラムは、中継装置に配信されるものであり、このプログラムを利用して中継装置は本システムを利用することが可能となる。
When the mutual authentication is completed, the encryption processing unit in the IC chip of the relay device encrypts (d) and (g) using the SM key, and transmits the encrypted information from the IC chip to the
次にVPN管理サーバ4のVPN登録処理部42は、ダウンロード許可依頼を機器管理サーバ3に通知する(ステップS208)。この時VPN登録処理部42は、中継装置ID<(エ)の情報から検出>と、(シ)、(ソ)の情報を機器管理サーバ3へ送信する。すると機器管理サーバ3の機器登録処理部32は中継装置IDと(シ)(ソ)の情報に基づいて、中継装置の正当性を判定し(つまり機器登録の処理において認証されているか否かを判定)し、許可した場合には、VPN管理プログラムのダウンロード許可書を生成する(ステップS209)。そして生成したダウンロード許可書を含むダウンロード許可情報をVPN管理サーバ4へ通知する(ステップS210)。
Next, the VPN
次にVPN管理サーバ4のVPN登録処理部42は、VPN管理プログラムとダウンロード許可書を含む中継装置登録完了通知を中継装置に送信する(ステップS211)。中継装置の制御部は受信したダウンロード許可書が正当な情報か否かを、VPN管理サーバ4の公開鍵を用いて検証し(ステップS212)、ダウンロード許可書が正当な情報である場合には、VPN管理プログラムをICチップ内に格納する(ステップS213)。次に中継装置の制御部は、中継装置の公開鍵(タ)と秘密鍵(チ)のペアを生成し(ステップS214)ICチップに格納する。そして、(タ)の公開鍵をVPN管理サーバ4に送信する(ステップS215)。
Next, the VPN
すると、VPN管理サーバ4のVPN登録処理部42は中継装置の公開鍵証明書(ツ)を生成し(ステップS216)、当該公開鍵証明書(ツ)を中継装置へ送信する(ステップS217)。中継装置の制御部は公開鍵証明書が送信されると、VPN登録成功をVPN管理サーバ4に通知し(ステップS218)、また端末にも通知する(ステップS219)。これにより、機器管理サーバ3で登録した際に付与された認証に基づいて、新たにVPN管理サーバ4で公開鍵証明書が中継装置に付与され、また本システムを利用するVPN管理プログラムが中継装置に記録されるので、同一のVPN管理サーバ4で管理される他の中継装置とVPN接続が可能となる。なお、VPN管理サーバ4は中継装置が利用するVPN管理プログラムのIDによって、当該中継装置の当該システムの利用可否を判断できる。
Then, the VPN
上述したVPN管理サーバ4への中継装置の登録により、VPN管理サーバ4のデータベース47には、登録された中継装置のID、中継装置の所有者ID、中継装置で利用されるVPN管理プログラムID、中継装置の所有者の情報(ア)(イ)、中継装置の用途・設置位置・VPN接続ポリシーの情報(ウ)、中継装置種別,中継装置仕様(エ)、中継装置のWAN側のIPアドレスと中継装置装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス(セ)、の情報が格納される。VPN接続の際にはこれらのVPN管理サーバ4のデータベース47に登録された情報によって生成されるVPN構成情報がVPN接続を行なう各中継装置(つまりVPN接続要求装置1とVPN接続先装置2)に配信され、当該中継装置間でのVPN接続が処理されることとなる。
By registering the relay device in the
図5はVPN管理サーバへのユーザ登録の処理フローを示す図である。
ユーザは中継装置のVPN管理サーバ4への登録をした後にユーザとしての登録もVPN管理サーバ4に対して行なうことが必要となる。
次に図5を用いて、ユーザがVPN管理サーバへ登録する際の処理について説明する。
まずユーザは、PCなどの端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末にVPN利用者登録を行なう為のウェブページ(以下、利用者登録画面という)を送信する機能と、当該利用者登録画面によって入力された情報を受付けてVPN管理サーバ4への登録処理を行なう機能を有している。ユーザは、利用者登録画面において、ID,パスワードを入力して中継装置にログインする。すると中継装置が認証をして利用者登録の許可を通知する。そしてユーザが当該利用者登録画面を利用して利用者登録要求を行なうと、中継装置の制御部はSSL通信によりVPN管理サーバ4と接続を行ない、相互認証が行なわれ、利用者登録開始メッセージが中継装置と機器管理サーバ3の間で送受信される(ステップS301)。VPN管理サーバ4のVPN登録処理部42は登録に必要なデータの要求を行なうと(ステップS302)、中継装置は利用者登録フォーム画面を端末に送信し、当該画面が端末に表示される。
FIG. 5 is a diagram showing a processing flow of user registration in the VPN management server.
After the user registers the relay apparatus in the
Next, a process when the user registers in the VPN management server will be described with reference to FIG.
First, the user accesses the relay device using a terminal such as a PC. The relay device receives a function of transmitting a web page (hereinafter referred to as a user registration screen) for performing VPN user registration to a terminal that has received access, and accepts information input on the user registration screen to receive a
次に、ユーザは端末に表示された利用者登録フォーム画面において、(テ)住所、氏名、生年月日などのユーザ属性情報と、(ト)個人認証用の情報(ID、パスワード)を登録する。すると、端末はテ,トの情報を中継装置へ送信し、当該情報を中継装置がVPN管理サーバ4に送信する(ステップS303)。するとVPN管理サーバ4のVPN登録処理部42は相互認証を行ない、またSM(セキュアメッセージング)鍵を共有する為に当該SM鍵を中継装置へ送信し、利用者登録要求の情報が中継装置からVPN管理サーバ4に通知される(ステップS304)。なおこの段階で中継装置のICチップに記録されている情報は(エ)中継装置種別,中継装置仕様、(オ)CA公開鍵、(ツ)中継装置の公開鍵証明書、(タ)中継装置の公開鍵、(チ)中継装置の秘密鍵である。
Next, on the user registration form screen displayed on the terminal, the user registers (te) user attribute information such as address, name, date of birth, and (g) personal authentication information (ID, password). . Then, the terminal transmits information on the telegram to the relay device, and the relay device transmits the information to the VPN management server 4 (step S303). Then, the VPN
次にVPN管理サーバ4のVPN登録処理部42は利用者登録要求を受付けると、ステップS303で受信した利用者の情報を、当該情報を送信した中継装置に格納されているVPN管理プログラムのIDに対応付けてデータベース47に記録する(ステップS305)。するとVPN管理サーバ4のVPN登録処理部42は、利用者別のVPN設定情報(ナ)を送信する(ステップS306)。中継装置の制御部はVPN設定情報を受信すると利用者別設定情報の設定成功を通知する(ステップS307)。そして、VPN管理サーバ4のVPN登録処理部42は利用者登録成功を中継装置へ通知し(ステップS308)、また中継装置は利用者登録成功を端末へ通知する(ステップS309)。この段階で中継装置のICチップには(ナ)の情報が追加される。これにより、以降、端末を利用するユーザはVPN接続の指示を中継装置にアクセスして制御することができる。
Next, when the VPN
図6はVPN接続の処理フローを示す図である。
次に図6を用いて、VPN接続の処理についてVPN接続要求装置とVPN接続先装置とを用いて説明する。
まず、ユーザは、端末5aを利用してVPN接続要求装置1にアクセスする。VPN接続要求装置1のVPN接続要求部13はアクセスを受付けた端末5aにVPN接続要求を行なう為のウェブページ(以下、接続要求画面という)を送信する機能と、当該接続要求画面によって入力された情報を受付けてVPN管理サーバ4への接続要求を通知する処理を行なう機能を有している。ユーザは、VPN接続要求装置1のアクセス時にID,パスワードを入力してVPN接続要求装置1にログインする。するとVPN接続要求装置1のVPN接続要求部13が認証をして、VPN接続の処理の実行許可を端末5aに通知する。そしてユーザが接続要求画面を利用して接続要求を行なうと、VPN接続要求装置1のVPN接続要求部13はユーザのIDやパスワードと、自装置の公開鍵証明書(ツ)の情報をVPN管理サーバ4へ送信し接続要求を行なう(ステップS401)。
FIG. 6 is a diagram showing a VPN connection processing flow.
Next, a VPN connection process will be described with reference to FIG. 6 using a VPN connection request device and a VPN connection destination device.
First, the user accesses the VPN connection requesting apparatus 1 using the terminal 5a. The VPN
VPN管理サーバ4では接続要求をVPN接続要求装置1から受信すると、VPN接続要求受付部43がデータベース47に記録されているユーザの情報とユーザIDやパスワードに基づいてユーザ認証を行ない(ステップS402)、またVPN接続要求装置1の公開鍵証明書を利用してVPN接続要求装置1の認証を行なう(ステップS403)。またVPN接続要求装置1の公開鍵証明書に含まれるVPN接続要求装置1のIDと、データベース47に登録されている情報とを比較して、当該VPN接続要求装置1がVPN接続サービスの利用権を保持しているか否かの確認を行なう(ステップS404)。そしてVPN接続要求受付部43はステップS402〜S403の処理に基づいて、VPN接続の諾否(OK/NG)をVPN接続要求装置1へ送信する(ステップS405)。VPN接続の諾否の通知を受けたVPN接続要求装置1はその情報を端末5aに転送する(ステップS406)。
When the
端末5aではVPN接続の諾否の通知を受けると、その情報が接続要求画面に表示される。ユーザはVPN接続可の場合には、VPN接続先と端末5aで利用するアプリケーションの情報を接続要求画面から登録し、接続開始を指示する。ここで、VPN接続先は、例えばVPN接続先装置2のホスト名や当該VPN接続先装置2の配下に接続された端末5bの端末名などである。またアプリケーションの情報とは例えば端末5a上で動作させるアプリケーション種類とそのバージョンである。VPN接続要求装置1のVPN接続要求部13は、端末5aから受付けた情報を含む接続要求をVPN管理サーバ4に送信する(ステップS407)。
When the terminal 5a receives notification of acceptance or rejection of VPN connection, the information is displayed on the connection request screen. When the VPN connection is possible, the user registers information on the VPN connection destination and the application used in the terminal 5a from the connection request screen, and instructs the connection start. Here, the VPN connection destination is, for example, the host name of the VPN
次にVPN管理サーバ4が接続要求を受付けるとVPN接続可否判定部44は、VPN接続先装置2のホスト名から当該VPN接続先装置2のIDとIPアドレス<上記(セ)の情報>とをデータベース47から検索し、また接続先の端末名から当該端末5bのIPアドレス<上記(セ)の情報>をデータベース47から検索する。これによりVPN接続先装置2を特定する。そして、VPN接続可否判定部44はVPN接続要求装置1の機器属性情報とVPN接続ポリシー、VPN接続先装置2の機器属性情報とVPN接続ポリシー、VPN管理サーバ4が予め備えている基本VPN接続ポリシーの各情報に基づいて、VPN接続要求装置1とVPN接続先装置2とのVPN接続を行なうためのポリシーが合致しているか否かの判断と、VPN接続要求装置1とVPN接続先装置2とのVPN接続を行なうためのポリシーが基本VPNポリシーに合致しているかの判断とを行ない、VPN接続の可否を判定する(ステップS408)。なお、このVPN接続可否の判定処理の詳細については後述する。このVPN接続可否の判定においては、例えばVPN接続先装置2に接続許可伺いを行なう場合もある。
Next, when the
そして、その結果、VPN接続可と判定した場合には、VPN構成情報生成部45がVPN接続要求装置1に配信するための第1VPN構成情報と、VPN接続先装置2へ配信するための第2VPN構成情報を生成する(ステップS409)。このVPN構成情報はVPN接続要求装置1とVPN接続先装置2がVPN接続の処理を実行する際に利用されるものである。VPN構成情報には、SPD(Security Policy Database),SAD(Security Association Database),アドレス変換テーブル,DNSテーブル情報などの情報が含まれる。これらVPN構成情報に含まれる各情報は、中継装置(VPN接続要求装置1、VPN接続先装置)の登録時に作成されたデータベース47内のデータに基づいて作成されるものである。
As a result, when it is determined that the VPN connection is possible, the VPN configuration
第1VPN構成情報はVPN接続要求装置1に配信されることは上述したが、この第1VPN構成情報には、主にVPN接続先装置2の情報が含まれる。例えばSPDとしてはVPN接続先装置2の関連としてデータベース47に格納されている(セ)<VPN接続先装置2のWAN側のIPアドレスや当該VPN接続先装置2の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス>の情報である。またSADとしてはVPN接続先装置2の関連としてデータベース47に格納されている(エ)<VPN接続先装置2の種別,VPN接続先装置2の仕様>の情報と当該(エ)の情報に基づいた暗号アルゴリズムやVPN有効期間などの情報である。またアドレス変換テーブルとは、VPN接続要求装置1の配下に接続されている端末5aとVPN接続先装置2の配下に接続されている端末5bが接続される場合に(VPN接続自体はVPN接続要求装置1とVPN接続先装置2の間で行なわれる)、端末5aと端末5bが同一ネットワークアドレスとならないよう仮想ネットワークアドレスを割当てる為のテーブルである。このアドレス変換テーブルについては後述する。またDNSテーブルとはVPN接続先装置2のホスト名や当該VPN接続先装置2配下の端末5bの端末名からIPアドレスを検索するためのテーブルである。
As described above, the first VPN configuration information is distributed to the VPN connection requesting device 1, but the first VPN configuration information mainly includes information on the VPN
また第2VPN構成情報はVPN接続先装置2に配信されることは上述したが、この第2VPN構成情報には、主にVPN接続要求先装置1の情報が含まれる。例えばSPDとしてはVPN接続要求装置1の関連としてデータベース47に格納されている(セ)の情報である。またSADとしてはVPN接続要求装置1の関連としてデータベース47に格納されている(エ)の情報と当該(エ)の情報に基づいた暗号アルゴリズムやVPN有効期間などの情報である。また上述同様にアドレス変換テーブルとは、VPN接続先装置2の配下に接続されている端末5bとVPN接続要求装置1の配下に接続されている端末5aが接続される場合に(その際にVPN接続要求装置1とVPN接続先装置2の間でVPN接続が行なわれる)、端末5bと端末5aが同一ネットワークアドレスとならないよう仮想ネットワークアドレスを割当てる為のテーブルである。また上述同様にDNSテーブルとはVPN接続要求装置1のホスト名や当該VPN接続要求装置1配下の端末5aの端末名からIPアドレスを検索するためのテーブルである。
As described above, the second VPN configuration information is distributed to the VPN
そして、第1/第2VPN構成情報が生成されると、VPN管理サーバ4のVPN接続用情報配信部46が、認証情報をVPN接続要求装置1へ配信し(ステップS410)、また第1VPN構成情報をVPN接続要求装置1へ配信する(ステップS411)。またVPN接続用情報配信部46は、認証情報をVPN接続先装置2へ配信し(ステップS412)、また第2VPN構成情報をVPN接続先装置2へ配信する(ステップS413)。ここで認証情報とはVPN管理サーバ4が生成した共通鍵であってもよいし、VPN接続の相手側の中継装置(VPN接続要求装置1またはVPN接続先装置2)の公開鍵であってもよい。また認証情報やVPN構成情報は配信される際に暗号通信を利用して送信される。この処理については詳細を後述する。
When the first / second VPN configuration information is generated, the VPN connection
VPN接続要求装置1はVPN管理サーバ4から認証情報と第1VPN構成情報を受信すると、VPN接続要求部13が当該第1VPN構成情報を自装置の記憶部15に格納し(ステップS414)、端末5aに接続設定OKを通知する(ステップS415)。なおVPN接続可否において接続ができないと判定された場合には、その旨がVPN管理サーバ4からVPN接続要求装置1に通知され、VPN接続要求装置1のVPN接続要求部13は端末5aに接続NGを通知する。またVPN接続先装置2においては、VPN管理サーバ4から第2VPN構成情報を受信すると、当該第2VPN構成情報を自装置の記憶部24に格納し、またVPN接続受付部23がVPN接続要求装置1からのVPN接続を待機する。そして、VPN接続要求装置1のVPN接続実行部14が第1VPN構成情報を用いて、またVPN接続先装置2のVPN接続受付部23が第2VPN構成情報を用いて従来と同様の通常のVPN接続の構築の処理を行なう(ステップS417)。以上の処理により、VPN接続管理サーバ4が第1/第2VPN構成情報を生成し、その情報を用いてVPN接続要求装置1とVPN接続先装置2が自動的にVPN接続を行なうので、VPN接続を行なう機器などの設定などが必要なくなり、これにより、管理者などの作業を軽減することができる。
When the VPN connection requesting device 1 receives the authentication information and the first VPN configuration information from the
図7はVPN接続の可否判定の処理概要を示す図である。
図7を利用してVPN接続の可否判定処理の詳細について説明する。
上記ステップS408のVPN接続可否の判定において、VPN管理サーバ4のVPN可否判定部44は、(1)VPN接続要求装置1のVPN接続ポリシーの情報とVPN接続先装置2の機器属性情報の比較、(2)VPN接続先装置2のVPN接続ポリシーの情報とVPN接続要求装置1の機器属性情報の比較、(3)VPN接続要求装置1の機器属性情報と基本VPN接続ポリシーとの比較、(4)VPN接続先装置2の機器属性情報と基本VPN接続ポリシーとの比較、の(1)〜(4)の処理を行なう。比較においては、条件が一致した場合にはOK、全ての条件が一致しなかった場合にはNG、一部の条件が一致しなかった場合には不定と判定する。そして、(1)〜(4)の処理の全ての比較において、OKとなった場合にのみVPN接続可であると判定する。また1つでもNGとなった場合にはVPN接続はできないと判断する。また不定の判定が出た場合には、VPN接続先装置2に許可伺い電文を送信し、その電文の中でVPN接続要求装置1の情報を通知する。そして例えば、VPN接続先装置2から判断結果(接続のOK/NG)を受信し、これに基づいて、VPN接続可否判定部44はVPN接続の可否を判定する。なお、上述のVPN接続ポリシーは、データベース47に記録されている(ウ)用途・設置位置・VPN接続ポリシーである。また、機器属性情報とは、データベース47に記録されている(エ)中継装置の種別、中継装置の仕様の情報である。
FIG. 7 is a diagram showing an outline of processing for determining whether or not VPN connection is possible.
Details of the VPN connection availability determination process will be described with reference to FIG.
In the determination of whether or not VPN connection is possible in step S408, the VPN
図8はVPN構成情報と認証情報を配信する際の処理概要を示す図である。
次に上述のステップS410〜ステップS413において認証情報やVPN構成情報を配信する際の処理概要について詳細に説明する。
認証情報やVPN構成情報は安全のために暗号化して配信される。ここで、VPN管理サーバ4の通信処理部41は、第1/第2VPN構成情報を配信する際には中継装置(VPN接続要求装置1またはVPN接続先装置2)の制御部とSSLの通信を利用する。またそのSSLの通信処理の中において、さらにSM鍵を利用したセキュアメッセージング通信を利用し、中継装置内に備えられたICチップの通信処理部と連携して、認証情報とそのVPNを識別する情報(VPN管理プログラムIDなど)を配信する。これによってVPN管理サーバ4から配信される情報の耐タンパ性を考慮している。
FIG. 8 is a diagram showing an outline of processing when distributing VPN configuration information and authentication information.
Next, an outline of processing when distributing authentication information and VPN configuration information in the above-described steps S410 to S413 will be described in detail.
Authentication information and VPN configuration information are encrypted and distributed for safety. Here, when distributing the first / second VPN configuration information, the
図9は中継装置のアドレスが変更になった際の処理フローを示す図である。
次に、ステップS417のVPN接続が完了した後に、中継装置のIPアドレスが変更された場合の処理について説明する。何らかの原因により中継装置(VPN接続要求装置1やVPN接続先装置2)の外部(WAN側)のIPアドレスが変更されるとVPN接続は維持できなくなる。従って中継装置の制御部はIPアドレスが変更された場合には、VPN接続を一度切断し、元のIPアドレスと変更後のIPアドレスをVPN管理サーバ4に通知する(A)。VPN管理サーバ4のVPN接続要求受付部43は受信した元のIPアドレスに基づいて、データベース47を検索し、IPアドレスが変更された中継装置を特定する。そして、VPN管理サーバ4のVPN接続要求受付部43は、データベース47で保持している中継装置のIPアドレスの情報を変更後のIPアドレスの情報へ書き換える(B)。またVPN接続要求受付部43は中継装置に対して、切断したVPN接続に利用していたVPN構成情報の削除要求を中継装置に通知する。中継装置では制御部がVPN構成情報を削除する。そして中継装置は削除完了の情報をVPN接続管理サーバ4へ通知する。VPN管理サーバ4では、VPN構成情報生成部45が新たに切断されたVPN接続におけるVPN接続要求装置1とVPN接続先装置2の情報をデータベース47から読み取って、上記ステップS409同様に第1/第2VPN構成情報を生成する(C)。そして、VPN接続用情報配信部46がそれぞれのVPN構成情報をVPN接続要求装置1とVPN接続先装置2へ配信して、これにより新たなVPN接続が処理される(D)。つまり、この処理によれば、中継装置のIPアドレスが変更された場合にも、管理者などがVPNの再設定をすることなく自動的にVPNの再接続が行なわれる。従って管理者などの労力を軽減することができる。
FIG. 9 is a diagram showing a processing flow when the address of the relay apparatus is changed.
Next, a process when the IP address of the relay apparatus is changed after the VPN connection in step S417 is completed will be described. If the external (WAN side) IP address of the relay device (VPN connection requesting device 1 or VPN connection destination device 2) is changed for some reason, the VPN connection cannot be maintained. Therefore, when the IP address is changed, the control unit of the relay apparatus disconnects the VPN connection once and notifies the
図10はアドレス変換テーブルの概要を示す図である。
次に図10を用いて、VPN構成情報に含まれるアドレス変換テーブルを用いてVPN接続する際の処理について詳細に説明する。上述したようにVPN構成情報にはアドレス変換テーブルが含まれる。そして、このアドレス変換テーブルはVPN管理サーバ4のVPN構成情報生成部45が生成したものである。VPN構成情報生成部45は、VPN接続要求装置1の配下にネットワーク接続されている各装置のIPアドレスと、VPN接続先装置2の配下にネットワーク接続されている各装置のIPアドレスを、データベース47に記録されている(セ)<中継装置のWAN側のIPアドレス,中継装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス>の情報から読み取る。そして、VPN接続要求装置1の配下にネットワーク接続されている各装置のIPアドレスと、VPN接続先装置2の配下にネットワーク接続されている各装置のIPアドレスとを比較して、同一のIPアドレスがある場合には、その装置の仮想IPアドレスを生成して、実IPアドレスと仮想IPアドレスとを対応付けたアドレス変換テーブルを生成する。なおこの時アドレスのネットマスクの情報なども考慮に入れて、VPN接続要求装置1の配下にネットワーク接続されている各装置と、VPN接続先装置2の配下にネットワーク接続されている各装置が通信できるような統一的なネットワークアドレスを仮想IPアドレスとするようにしてもよい。
FIG. 10 is a diagram showing an outline of the address conversion table.
Next, with reference to FIG. 10, a detailed description will be given of processing when performing VPN connection using the address conversion table included in the VPN configuration information. As described above, the VPN configuration information includes an address conversion table. This address conversion table is generated by the VPN configuration
次に、VPN管理サーバ4のVPN接続用情報配信部46は、VPN接続要求装置1には、当該VPN接続要求装置1の配下に接続された各装置の実IPアドレスと仮想IPアドレスを対応付けたアドレス変換テーブルを第1VPN構成情報に保持させて配信し、またVPN接続先装置2には、当該VPN接続先装置2の配下に接続された各装置の実IPアドレスと仮想IPアドレスを対応付けたアドレス変換テーブルを第2VPN構成情報に保持させて配信する。
Next, the VPN connection
そして、VPN接続要求装置1やVPN接続先装置2は、VPN接続している通信間に通信データを送出する前に、自装置の配下に接続されている端末などから受信したデータにおいて、端末の実IPアドレスをアドレス変換テーブルに記載されている仮想IPアドレスに書き換えて、カプセリング処理を行ない、相手側のVPN接続先装置2またはVPN接続要求装置1へ通信データを送出する。これにより、VPN接続要求装置1の配下に接続された端末とVPN接続先装置2の配下に接続された端末のネットワークアドレスが同一である場合や、ネットマスクが異なる場合などに、ネットワークアドレスの整合を取るような作業をしなくても、自動的にVPN接続を行なうことができるようになる。
The VPN connection requesting device 1 and the VPN
図11はVPN切断時の処理フローを示す図である。
次に図11を用いて、ユーザがVPN切断を要求する際の処理について説明する。
まず、ユーザが端末を用いてVPN切断要求を登録すると、VPN接続要求装置1はVPN管理サーバ4に認証を依頼し(ステップS501)、当該認証がOKの場合にはその旨が端末5aに通知される(ステップS502)。そしてユーザが画面においてVPN切断を選択すると、それがVPN接続要求装置1に通知され、また当該VPN接続要求装置1からVPN管理サーバ4に通知される(ステップS503)。VPN管理サーバ4では、VPN接続先装置2の認証を行なう(ステップS504)。そして、認証情報を削除するようVPN接続要求装置1に通知する(ステップS505)。またVPN管理サーバ4はVPN接続先装置2にも認証情報を削除するよう通知する(ステップS506)。そして、VPN接続要求装置1とVPN接続先装置2は認証情報を削除して、VPN接続の切断を処理する(ステップS507)。これによりVPN接続の切断が終了する。
FIG. 11 is a diagram showing a processing flow at the time of VPN disconnection.
Next, processing when a user requests VPN disconnection will be described using FIG.
First, when a user registers a VPN disconnection request using a terminal, the VPN connection requesting apparatus 1 requests authentication from the VPN management server 4 (step S501), and if the authentication is OK, notifies the terminal 5a to that effect. (Step S502). When the user selects VPN disconnection on the screen, this is notified to the VPN connection requesting apparatus 1 and from the VPN connection requesting apparatus 1 to the VPN management server 4 (step S503). The
図12はVPN接続監視の処理フローを示す図である。
次に図12を用いてVPN管理サーバ4がVPN接続を監視する際の処理について説明する。VPN管理サーバ4の監視処理部は、VPN接続要求装置1やVPN接続先装置2を常時監視する。図12に示すようにウォッチドッグ・パケットの要求をVPN管理サーバ4がVPN接続要求装置1やVPN接続先装置2などの中継装置へ送信し、ウォッチドッグ・パケットの応答を中継装置がVPN管理サーバ4へ送信する。VPN管理サーバ4の監視処理部は、ウォッチドッグ・パケットの応答が所定の時間返されてこない場合などには、VPN接続要求装置1やVPN接続先装置2が電源断、またはダウンしたと判断する。そして、VPN構成情報を変更する。また、VPN接続要求装置1やVPN接続先装置2から状態の通知を受けて、これに基づいてもVPN構成情報を変更する。
FIG. 12 is a diagram showing a process flow of VPN connection monitoring.
Next, processing when the
なお上述の各装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。また上記「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。 Each of the above devices has a computer system inside. The process described above is stored in a computer-readable recording medium in the form of a program, and the above process is performed by the computer reading and executing this program. Here, the computer-readable recording medium means a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, or the like. Alternatively, the computer program may be distributed to the computer via a communication line, and the computer that has received the distribution may execute the program. The “computer system” includes a WWW system having a homepage providing environment (or display environment).
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
1・・・VPN接続要求装置
2・・・VPN接続先装置
3・・・機器管理サーバ
4・・・VPN管理サーバ
5a,5b・・・端末
DESCRIPTION OF SYMBOLS 1 ... VPN
Claims (4)
前記VPN接続管理装置が、
前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信手段と、
前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定手段と、
前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成手段と、
前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信手段とを備え、
前記VPN接続要求装置が、
前記接続要求を前記VPN接続管理装置へ送信する接続要求手段と、
前記第1VPN構成情報の示すVPN接続先装置のネットワーク情報と認証情報を利用して前記VPN接続先装置とのVPN接続の構築の処理を行なうVPN接続実行手段とを備え、
前記VPN接続先装置が、
前記第2VPN構成情報の示すVPN接続要求装置のネットワーク情報と認証情報を利用して、前記VPN接続要求装置から受付けたVPN接続の構築を処理するVPN接続受付手段とを備え、
前記VPN接続要求装置または前記VPN接続先装置の両方が、
自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、
前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、
前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備え、
前記VPN接続管理装置が、さらに、
前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段と、
ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信手段と、
前記ネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更手段とを備え、
前記VPN構成情報生成手段が、
前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成し、
前記VPN構成情報配信手段が、
前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なう
ことを特徴とするVPN接続構築システム。 A VPN connection construction system comprising a VPN connection request device, a VPN connection destination device, and a VPN connection management device,
The VPN connection management device is
A connection request receiving means for receiving a connection request to the VPN connection destination device from the VPN connection requesting device;
Based on the comparison between the device attribute information of the VPN connection requesting device and the VPN connection destination device and predetermined policy information stored in advance, whether or not VPN connection between the VPN connection requesting device and the VPN connection destination device is possible is determined. VPN connection availability determination means for determining;
Only when it is determined that VPN connection is possible in the determination of whether or not VPN connection is possible, the VPN connection requesting device determines whether the VPN connection to the VPN connection destination device is based on the network information of the VPN connection destination device stored in advance. First VPN configuration information used at the time of construction is generated, and used at the time of construction of a VPN connection requested by the VPN connection destination device from the VPN connection request device based on the network information of the VPN connection request device stored in advance. VPN configuration information generating means for generating second VPN configuration information
VPN configuration information distribution means for distributing the first VPN configuration information to the VPN connection requesting device and distributing the second VPN configuration information to the VPN connection destination device,
The VPN connection requesting device is
Connection request means for transmitting the connection request to the VPN connection management device;
VPN connection executing means for performing processing for establishing a VPN connection with the VPN connection destination device using network information and authentication information of the VPN connection destination device indicated by the first VPN configuration information,
The VPN connection destination device is
VPN connection accepting means for processing construction of a VPN connection accepted from the VPN connection requesting device using network information and authentication information of the VPN connection requesting device indicated by the second VPN configuration information ,
Both the VPN connection requesting device or the VPN connection destination device
VPN connection disconnecting means for disconnecting the VPN connection when the network address of its own device is changed;
An after-change address notification means for transmitting the changed network address to the VPN connection management device;
VPN reconnection means for performing automatic processing for constructing a new VPN connection using the VPN configuration information transmitted from the VPN connection management device after the VPN disconnection,
The VPN connection management device further comprises:
Network address storage means for storing the identification information and network address information of each of the VPN connection requesting device and the VPN connection destination device in association with each other;
A changed address receiving means for receiving the changed network address from either the VPN connection requesting device or the VPN connection destination device whose network address has been changed;
The network address storage means includes network address changing means for changing the network address of the VPN connection requesting device or the VPN connection destination device that has transmitted the changed network address to the received changed network address. ,
The VPN configuration information generating means is
Based on the network information including the changed network address and the authentication information, new first VPN configuration information and second VPN configuration information are generated,
The VPN configuration information distribution means includes:
Distributing the new first VPN configuration information to a VPN connection requesting device that has disconnected the VPN connection, or distributing the new second VPN configuration information to a VPN connection destination device that has disconnected the VPN connection , VPN connection construction system.
前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続要求装置から受信し、また前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続先装置から受信する、配下端末アドレス受信手段と、
前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第1仮想アドレス変換テーブル生成手段と、
前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第2仮想アドレス変換テーブル生成手段と、
前記第1仮想アドレス変換テーブルを前記VPN接続要求装置へ配信し、前記第2仮想アドレス変換テーブルを前記VPN接続先装置へ配信する、仮想アドレス変換テーブル配信手段とを備え、
接続要求が前記VPN接続要求装置のネットワーク配下に接続された接続要求側端末と前記VPN接続先装置のネットワーク配下に接続された接続先側端末との間のVPN接続の要求を示す場合に、
前記VPN接続要求装置の前記VPN接続実行手段は、
前記接続要求側端末から送信された通信情報に含まれる当該接続要求側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第1仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理し、
前記VPN接続先装置の前記VPN接続受付手段は、
前記接続先側端末から送信された通信情報に含まれる当該接続先側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第2仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理する
ことを特徴とする請求項1に記載のVPN接続構築システム。 The VPN connection management device is
A network address of a terminal connected under the network of the VPN connection requesting device is received in advance from the VPN connection requesting device, and a network address of a terminal connected under the network of the VPN connection destination device is previously received as the VPN connection destination. Subordinate terminal address receiving means for receiving from the device,
A virtual network address that can be communicated with the network address of the terminal connected under the network of the VPN connection destination device is stored in association with the network address of the terminal connected under the network of the VPN connection requesting device. 1 virtual address conversion table generating means;
A virtual network address that can communicate with a network address of a terminal connected under the network of the VPN connection requesting device is stored in association with a network address of a terminal connected under the network of the VPN connection destination device. 2 virtual address conversion table generating means;
Virtual address translation table delivery means for delivering the first virtual address translation table to the VPN connection requesting device and delivering the second virtual address translation table to the VPN connection destination device;
When the connection request indicates a VPN connection request between the connection request side terminal connected under the network of the VPN connection requesting device and the connection destination side terminal connected under the network of the VPN connection destination device,
The VPN connection execution means of the VPN connection requesting device is:
Replacing the network address of the connection requesting terminal included in the communication information transmitted from the connection requesting terminal with the virtual network address associated with the network address and recorded in the first virtual address conversion table , Encrypting the communication information based on predetermined encryption information, using the external network address of its own device, processing the VPN connection,
The VPN connection accepting means of the VPN connection destination device is:
The network address of the connection destination side terminal included in the communication information transmitted from the connection destination side terminal is replaced with the virtual network address associated with the network address and recorded in the second virtual address conversion table. , the communication information is encrypted based on a predetermined encryption information, using the external network address of the device, VPN connection construction system of claim 1, wherein the processing the VPN connection.
前記装置属性情報と前記ポリシー情報とが合致しない前記VPN接続要求装置または前記VPN接続先装置に、判定伺い情報を送信し、当該判定伺い情報を受信した前記VPN接続要求装置または前記VPN接続先装置の両方から、接続可を示す情報を受信した場合にのみ、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続を可と判定する
ことを特徴とする請求項1または請求項2に記載のVPN接続構築システム。 The VPN connection availability determination means includes:
The VPN connection requesting device or the VPN connection destination device that has transmitted the determination inquiry information to the VPN connection requesting device or the VPN connection destination device in which the device attribute information and the policy information do not match, and has received the determination inquiry information. from both, only when receiving the information indicating the connectable to claim 1 or claim 2, wherein the determining the variable a VPN connection between the VPN connection request device and the VPN connection destination device The VPN connection construction system described.
前記VPN接続要求装置または前記VPN接続先装置の両方が、
自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、
前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、
前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備えるVPN接続構築システム内の、
前記VPN接続管理装置のコンピュータに実行させるプログラムであって、
前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信処理と、
前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定処理と、
前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成処理と、
前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信処理と、
ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信処理と、
前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更処理と、
をコンピュータに実行させ、
さらに、
前記VPN構成情報生成処理において、前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成する処理と、
前記VPN構成情報配信処理において、前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なう処理と、
をコンピュータに実行させるプログラム。 Ri Do from the VPN connection request apparatus and the VPN connection destination apparatus and the VPN connection management device,
Both the VPN connection requesting device or the VPN connection destination device
VPN connection disconnecting means for disconnecting the VPN connection when the network address of its own device is changed;
An after-change address notification means for transmitting the changed network address to the VPN connection management device;
In a VPN connection construction system comprising a VPN reconnection means for performing automatic processing for constructing a new VPN connection using the VPN configuration information transmitted from the VPN connection management device after the VPN disconnection ,
A program to be executed by a computer of the VPN connection management device,
A connection request reception process for receiving a connection request to the VPN connection destination device from the VPN connection request device;
Based on the comparison between the device attribute information of the VPN connection requesting device and the VPN connection destination device and predetermined policy information stored in advance, whether or not VPN connection between the VPN connection requesting device and the VPN connection destination device is possible is determined. VPN connection availability determination processing for determining,
Only when it is determined that VPN connection is possible in the determination of whether or not VPN connection is possible, the VPN connection requesting device determines whether the VPN connection to the VPN connection destination device is based on the network information of the VPN connection destination device stored in advance. First VPN configuration information used at the time of construction is generated, and used at the time of construction of a VPN connection requested by the VPN connection destination device from the VPN connection request device based on the network information of the VPN connection request device stored in advance. Generating VPN configuration information to generate VPN configuration information,
A VPN configuration information distribution process for distributing the first VPN configuration information to the VPN connection requesting device and distributing the second VPN configuration information to the VPN connection destination device;
A post-change address receiving process for receiving the changed network address from either the VPN connection requesting device or the VPN connection destination device whose network address has been changed;
In the network address storage means for storing the identification information and network address information of each of the VPN connection requesting device and the VPN connection destination device in association with each other, the VPN connection requesting device or the VPN connection that has transmitted the changed network address A network address change process for changing the network address of the destination device to the received changed network address;
To the computer,
further,
In the VPN configuration information generation process, a process of generating new first VPN configuration information and second VPN configuration information based on the network information including the changed network address and the authentication information;
In the VPN configuration information distribution process, the distribution of the new first VPN configuration information to the VPN connection requesting device that has disconnected the VPN connection or the new second VPN configuration information to the VPN connection destination device that has disconnected the VPN connection. The process of delivering
A program that causes a computer to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004354632A JP4339234B2 (en) | 2004-12-07 | 2004-12-07 | VPN connection construction system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004354632A JP4339234B2 (en) | 2004-12-07 | 2004-12-07 | VPN connection construction system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006166028A JP2006166028A (en) | 2006-06-22 |
JP4339234B2 true JP4339234B2 (en) | 2009-10-07 |
Family
ID=36667531
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004354632A Active JP4339234B2 (en) | 2004-12-07 | 2004-12-07 | VPN connection construction system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4339234B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105144642A (en) * | 2013-03-18 | 2015-12-09 | 雅马哈株式会社 | DNS server device, network machine, communication system, and communication method |
US10736178B2 (en) | 2017-09-27 | 2020-08-04 | Grand Mate Co., Ltd. | Connection method for wireless system |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4549180B2 (en) * | 2004-12-27 | 2010-09-22 | 富士通株式会社 | VPN network relay device |
EP2058748A1 (en) * | 2006-08-31 | 2009-05-13 | Fujitsu Limited | Network connected terminal device authenticating method, network connected terminal device authenticating program and network connected terminal device authenticating apparatus |
JP4641301B2 (en) * | 2006-10-11 | 2011-03-02 | 日本電信電話株式会社 | Connection control device, connection control method, and connection control program |
KR101463404B1 (en) * | 2006-10-13 | 2014-11-19 | 쿼파 홀딩스 리미티드 | A private network system and method |
CN101918926B (en) * | 2007-10-24 | 2013-05-01 | 乔纳森·彼得·多伊奇 | Various methods and apparatuses for accessing networked devices without accessible addresses via virtual IP addresses |
JP5239369B2 (en) * | 2008-02-07 | 2013-07-17 | 富士通株式会社 | Connection management system, connection management server, connection management method and program |
JP5131118B2 (en) * | 2008-09-24 | 2013-01-30 | 富士ゼロックス株式会社 | Communication system, management device, relay device, and program |
US8201237B1 (en) | 2008-12-10 | 2012-06-12 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
JP4750869B2 (en) * | 2009-03-30 | 2011-08-17 | セコム株式会社 | Communication control device and monitoring device |
JP5206720B2 (en) * | 2010-03-29 | 2013-06-12 | ブラザー工業株式会社 | VPN router, communication system and communication program |
JP4721082B1 (en) * | 2010-09-28 | 2011-07-13 | 株式会社Csk | VPN connection system |
JP5279860B2 (en) * | 2011-03-25 | 2013-09-04 | 株式会社東芝 | Server apparatus and node connection management method |
US9825759B2 (en) | 2013-07-08 | 2017-11-21 | Alcatel Lucent | Secure service management in a communication network |
JP2015167295A (en) * | 2014-03-03 | 2015-09-24 | 株式会社ネットリソースマネジメント | System and method for vpn connection |
US20180123895A1 (en) * | 2015-03-19 | 2018-05-03 | Zte Corporation | Method and system for establishing and managing multi-domain virtual topology (mdvt) |
WO2018003919A1 (en) | 2016-06-29 | 2018-01-04 | 株式会社プロスパークリエイティブ | Communications system, communications device used in same, management device, and information terminal |
WO2020050243A1 (en) * | 2018-09-03 | 2020-03-12 | 日本電気株式会社 | Communication system and setting change method |
-
2004
- 2004-12-07 JP JP2004354632A patent/JP4339234B2/en active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105144642A (en) * | 2013-03-18 | 2015-12-09 | 雅马哈株式会社 | DNS server device, network machine, communication system, and communication method |
CN105144642B (en) * | 2013-03-18 | 2018-06-15 | 雅马哈株式会社 | Dns server device, net machine, communication system and communication means |
US10736178B2 (en) | 2017-09-27 | 2020-08-04 | Grand Mate Co., Ltd. | Connection method for wireless system |
Also Published As
Publication number | Publication date |
---|---|
JP2006166028A (en) | 2006-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4339234B2 (en) | VPN connection construction system | |
TWI312631B (en) | ||
TWI248273B (en) | Network connection system and connection method using the same, authentication server, client apparatus and connection server | |
CN100571127C (en) | Be used for the more system and method for new access point connection password | |
JP4657619B2 (en) | Information processing apparatus and access right management method | |
JP5494816B2 (en) | COMMUNICATION CONTROL DEVICE, SYSTEM, METHOD, AND PROGRAM | |
JP4252620B1 (en) | Server certificate issuing system | |
KR101202671B1 (en) | Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal | |
KR100950833B1 (en) | Encryption communication method with computer system, and communication system | |
US20060126603A1 (en) | Information terminal remote operation system, remote access terminal, gateway server, information terminal control apparatus, information terminal apparatus, and remote operation method therefor | |
JP2003233589A (en) | Method for safely sharing personal devices among different users | |
JP2005223892A (en) | Digital certificate revocation method, digital certificate revocation apparatus, digital certificate revocation system, program and recording medium | |
JP2016063417A (en) | Vpn access control system, operation method therefor, program, vpn router and server | |
JP2012137975A (en) | Relay processor, control method for the same and program | |
TWI242968B (en) | System for establishing and regulating connectivity from a user's computer | |
US20140108783A1 (en) | Virtual network building system, virtual network building method, small terminal, and authentication server | |
JP2007281622A (en) | Electronic mail system, and electronic mail relaying apparatus, method, and program | |
JP5012574B2 (en) | Common key automatic sharing system and common key automatic sharing method | |
JP2005286783A (en) | Wireless lan connection method and wireless lan client software | |
JP5254909B2 (en) | Setting information distribution system, setting information distribution method, distribution server, and distribution server program | |
JP2012064007A (en) | Information processor, communication relay method and program | |
JP3731645B2 (en) | Agent method and computer system | |
JP4915463B2 (en) | Information processing device | |
JP3974128B2 (en) | Data transfer method and data transfer system | |
JP3741963B2 (en) | Data delivery method and apparatus, program, and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070320 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090331 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090601 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090623 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090701 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4339234 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120710 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120710 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130710 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |