JP4339234B2 - VPN connection construction system - Google Patents

VPN connection construction system Download PDF

Info

Publication number
JP4339234B2
JP4339234B2 JP2004354632A JP2004354632A JP4339234B2 JP 4339234 B2 JP4339234 B2 JP 4339234B2 JP 2004354632 A JP2004354632 A JP 2004354632A JP 2004354632 A JP2004354632 A JP 2004354632A JP 4339234 B2 JP4339234 B2 JP 4339234B2
Authority
JP
Japan
Prior art keywords
vpn connection
vpn
information
network address
configuration information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004354632A
Other languages
Japanese (ja)
Other versions
JP2006166028A (en
Inventor
知之 星川
誠 國分
裕久 鎌仲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2004354632A priority Critical patent/JP4339234B2/en
Publication of JP2006166028A publication Critical patent/JP2006166028A/en
Application granted granted Critical
Publication of JP4339234B2 publication Critical patent/JP4339234B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信ネットワークを介して各装置がVPN接続を構築するVPN接続構築システムに関する。   The present invention relates to a VPN connection construction system in which each device constructs a VPN connection via a communication network.

現在通信ネットワークを介して遠隔に存在する端末やサーバや中継機の間における、セキュアな通信方法として、VPN(Virtual Private Network)の技術が多く利用されている。このVPNの接続を行なう場合には、ネットワーク管理者などはそれぞれの装置にVPN接続用の各種設定を施し、装置間のVPN接続の構築を行なっており、この作業に多くの労力がかかっている。このような管理者の煩雑な設定の作業を軽減するための技術として、特許文献1、2が公開されている。また、VPNの接続が一旦構築されると、例えば、一方の装置のIPアドレスが変更されてしまった場合には、VPN接続を維持することが不可能となる。このような一方の装置のIPアドレスが変更されてしまった際に、通信を維持する技術として、特許文献3が公開されている。
特開2004−40433号公報 特開2004−260470号公報 特開2003−60672号公報
Currently, VPN (Virtual Private Network) technology is widely used as a secure communication method between terminals, servers, and repeaters that exist remotely via a communication network. When this VPN connection is made, the network administrator etc. makes various settings for VPN connection to each device and constructs a VPN connection between the devices, and this work takes a lot of effort. . Patent Documents 1 and 2 are disclosed as techniques for reducing such complicated setting work by the administrator. Also, once a VPN connection is established, for example, if the IP address of one device has been changed, it becomes impossible to maintain the VPN connection. As a technique for maintaining communication when the IP address of such one device has been changed, Patent Document 3 is disclosed.
JP 2004-40433 A JP 2004-260470 A JP 2003-60672 A

上述の特許文献1の技術では、VPNが対象で、ネットワーク機器のサポート仕様や相互接続問題等を予め考慮し、ネットワーク機器の設定情報を自動的に生成し設定している。しかしながら、機種依存のデータで共通部分を抽出して相手を特定するIPsecポリシー(SPD)を人が直接設定する方式で、相手を特定せず、相手の属性などをもとに、自動的に接続可否判断することはできない。
また上述の特許文献2の技術では、複数のサイト外通信網に接続するサイト内ユーザが、サイト外通信網ごとの通信ポリシーを満たして接続する際の手続きを簡易化することができ、しかもサイト外通信網において管理する各々の通信ポリシーを簡略化して管理負荷を低減することができ、さらにサイト内ユーザが使用する属性をサイト外通信網に対して隠蔽しつつ複数のサイト外通信網を選択することを可能にする。しかしながら、ポリシーに基づく制御をサイト(本願発明の技術ではルータ)側で行なうもので、(相手の接続条件を知ることなく)接続相手の接続条件を考慮した制御ができない。そして、IP―VPNのようなクライアントとサーバの関係では良いが、P2Pのような関係では両方の属性とポリシーを考慮できる仕組みが望ましい。
また上述の特許文献3の技術では、機器のIPアドレスに変更が生じる都度、機器自体が新しいIPアドレスを外部に通知する機能を備えている。しかしながらこれは、接続相手にIPアドレスを伝えるもので、接続相手が多数の場合に対応できない。またIPアドレスの変化に応じて相手に伝えるのみで、VPNとの連携など複雑な動きは対応できない。
In the technique of the above-mentioned Patent Document 1, VPN is an object, and network device setting information is automatically generated and set in consideration of support specifications of network devices and interconnection problems in advance. However, it is a method in which a person directly sets an IPsec policy (SPD) that identifies a partner by extracting common parts from model-dependent data, and automatically connects based on the attributes of the partner without identifying the partner. It cannot be judged.
Further, in the technique of the above-mentioned Patent Document 2, a user in a site connected to a plurality of off-site communication networks can simplify a procedure when connecting by satisfying a communication policy for each off-site communication network. Each communication policy managed in the external communication network can be simplified to reduce the management load, and more than one external communication network can be selected while hiding the attributes used by users in the site from the external communication network Make it possible to do. However, the control based on the policy is performed on the site (router in the technology of the present invention), and the control considering the connection condition of the connection partner (without knowing the connection condition of the partner) cannot be performed. A relationship between a client and a server such as IP-VPN is good, but a mechanism such that both attributes and policies can be considered in a relationship such as P2P is desirable.
Further, the technique disclosed in Patent Document 3 has a function of notifying a new IP address to the outside when the IP address of the device is changed. However, this is to convey the IP address to the connection partner, and cannot cope with a large number of connection partners. In addition, it is not possible to deal with complicated movements such as cooperation with VPN simply by telling the other party according to the change of the IP address.

そこでこの発明は、通信ネットワークを介した装置間のVPN接続において、管理者などの作業を軽減することができ、また上述した、VPN接続の際に、接続できる相互の装置のポリシーの設定に関する問題点や、一方の装置がIPアドレスを変更した場合にVPN接続を維持できなくなるという問題点を解決することができる、VPN接続構築システムを提供することを目的としている。   Therefore, the present invention can reduce the work of an administrator or the like in VPN connection between devices via a communication network, and the above-described problem relating to the policy setting of mutual devices that can be connected during VPN connection. Another object of the present invention is to provide a VPN connection construction system that can solve the problem that the VPN connection cannot be maintained when one device changes the IP address.

本発明は、上述の課題を解決すべくなされたもので、VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムであって、前記VPN接続管理装置が、前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信手段と、前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定手段と、前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成手段と、前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信手段とを備え、前記VPN接続要求装置が、前記接続要求を前記VPN接続管理装置へ送信する接続要求手段と、前記第1VPN構成情報の示すVPN接続先装置のネットワーク情報と認証情報を利用して前記VPN接続先装置とのVPN接続の構築の処理を行なうVPN接続実行手段とを備え、前記VPN接続先装置が、前記第2VPN構成情報の示すVPN接続要求装置のネットワーク情報と認証情報を利用して、前記VPN接続要求装置から受付けたVPN接続の構築を処理するVPN接続受付手段とを備え、前記VPN接続要求装置または前記VPN接続先装置の両方が、自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備え、前記VPN接続管理装置が、さらに、前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段と、ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信手段と、前記ネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更手段とを備え、前記VPN構成情報生成手段が、前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成し、前記VPN構成情報配信手段が、前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なうことを特徴とするVPN接続構築システムである。 The present invention has been made to solve the above-described problems, and is a VPN connection construction system comprising a VPN connection requesting device, a VPN connection destination device, and a VPN connection management device, wherein the VPN connection management device is the VPN. A connection request receiving means for receiving a connection request to the connection destination device from the VPN connection request device, a comparison between the device attribute information of the VPN connection request device and the VPN connection destination device, and predetermined policy information stored in advance Based on the VPN connection requesting device and the VPN connection destination device, VPN connection availability determination means for determining whether or not VPN connection is possible, and only when it is determined that VPN connection is possible in the determination of VPN connection availability Based on the stored network information of the VPN connection destination device, the VPN connection requesting device transmits a VPN connection to the VPN connection destination device. First VPN configuration information to be used at the time of building is generated, and is used when the VPN connection destination device establishes a VPN connection requested from the VPN connection request device based on the network information of the VPN connection request device stored in advance. VPN configuration information generating means for generating the second VPN configuration information, and delivering the first VPN configuration information to the VPN connection requesting device, and delivering the second VPN configuration information to the VPN connection destination device Distribution means, wherein the VPN connection requesting device uses the network connection information and authentication information of the VPN connection destination device indicated by the first VPN configuration information, the connection requesting device for transmitting the connection request to the VPN connection management device. VPN connection execution means for performing processing for establishing a VPN connection with the VPN connection destination device, Continued above apparatus, by using the network information and authentication information of the VPN connection request device indicated by the first 2VPN configuration information, and a VPN connection accepting means for processing the construction of the VPN connection received from the VPN connection request device, When both the VPN connection requesting device and the VPN connection destination device have their network address changed, VPN connection disconnection means for disconnecting the VPN connection, and the changed network address as the VPN connection A post-change address notifying means to be transmitted to the management apparatus, and a VPN reconnection means for automatically performing construction of a new VPN connection using the VPN configuration information transmitted from the VPN connection management apparatus after the VPN disconnection The VPN connection management device further includes the VPN connection requesting device and the VPN connection destination device. Network address storage means for storing the identification information and network address information in association with each other, and receiving the changed network address from either the VPN connection requesting device or the VPN connection destination device whose network address has been changed And changing the network address of the VPN connection requesting device or the VPN connection destination device that has transmitted the changed network address to the received changed network address in the changed address receiving unit and the network address storing unit. Network address changing means for generating the first VPN configuration information and the second VPN configuration information based on the network information including the changed network address and the authentication information. The VPN configuration information distribution means distributes the new first VPN configuration information to the VPN connection requesting device that has disconnected the VPN connection, or the new second VPN configuration to the VPN connection destination device that has disconnected the VPN connection. A VPN connection construction system characterized by distributing information .

また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続管理装置が、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続要求装置から受信し、また前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続先装置から受信する、配下端末アドレス受信手段と、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第1仮想アドレス変換テーブル生成手段と、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第2仮想アドレス変換テーブル生成手段と、前記第1仮想アドレス変換テーブルを前記VPN接続要求装置へ配信し、前記第2仮想アドレス変換テーブルを前記VPN接続先装置へ配信する、仮想アドレス変換テーブル配信手段とを備え、接続要求が前記VPN接続要求装置のネットワーク配下に接続された接続要求側端末と前記VPN接続先装置のネットワーク配下に接続された接続先側端末との間のVPN接続の要求を示す場合に、前記VPN接続要求装置の前記VPN接続実行手段は、前記接続要求側端末から送信された通信情報に含まれる当該接続要求側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第1仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理し、前記VPN接続先装置の前記VPN接続受付手段は、前記接続先側端末から送信された通信情報に含まれる当該接続先側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第2仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理することを特徴とする。 According to the present invention, in the VPN connection construction system described above, the VPN connection management device previously receives a network address of a terminal connected under the network of the VPN connection requesting device from the VPN connection requesting device, and the VPN Corresponding to the subordinate terminal address receiving means for receiving in advance the network address of the terminal connected under the network of the connection destination device from the VPN connection destination device, and the network address of the terminal connected under the network of the VPN connection requesting device In addition, a first virtual address conversion table generating means for storing a virtual network address capable of communicating with a network address of a terminal connected under the network of the VPN connection destination device, and a network under the network of the VPN connection destination device The network of the connected terminal A second virtual address conversion table generating means for storing a virtual network address capable of communicating with a network address of a terminal connected under the network of the VPN connection requesting device in association with a work address; and the first virtual address Virtual address translation table delivery means for delivering a translation table to the VPN connection requesting device and delivering the second virtual address translation table to the VPN connection destination device, wherein the connection request is subordinate to the network of the VPN connection requesting device. When indicating a VPN connection request between a connection requesting terminal connected to the network and a connection destination terminal connected under the network of the VPN connection destination device, the VPN connection execution means of the VPN connection requesting device is: , The connection request included in the communication information transmitted from the connection request side terminal Replacing the network address of the terminal with the virtual network address associated with the network address and recorded in the first virtual address conversion table, and encrypting the communication information based on predetermined encryption information; The VPN connection is processed by using the external network address of the VPN connection destination device, and the VPN connection reception unit of the VPN connection destination device includes the network address of the connection destination terminal included in the communication information transmitted from the connection destination terminal. Is replaced with a virtual network address associated with the network address and recorded in the second virtual address conversion table, the communication information is encrypted based on predetermined encryption information, and the external network address of the device itself And processing the VPN connection using The

また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続可否判定手段は、前記装置属性情報と前記ポリシー情報とが合致しない前記VPN接続要求装置または前記VPN接続先装置に、判定伺い情報を送信し、当該判定伺い情報を受信した前記VPN接続要求装置または前記VPN接続先装置の両方から、接続可を示す情報を受信した場合にのみ、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続を可と判定することを特徴とする。 In the VPN connection construction system according to the present invention, the VPN connection availability determination means sends determination inquiry information to the VPN connection requesting device or the VPN connection destination device in which the device attribute information and the policy information do not match. Only when information indicating connection is received from both the VPN connection requesting device or the VPN connection destination device that has transmitted and received the judgment inquiry information, between the VPN connection requesting device and the VPN connection destination device. The VPN connection is determined to be acceptable.

また本発明は、VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなり、前記VPN接続要求装置または前記VPN接続先装置の両方が、自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備えるVPN接続構築システム内の、前記VPN接続管理装置のコンピュータに実行させるプログラムであって、前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信処理と、前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定処理と、前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成処理と、前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信処理と、ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信処理と、前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更処理と、をコンピュータに実行させ、さらに、前記VPN構成情報生成処理において、前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成する処理と、前記VPN構成情報配信処理において、前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なう処理と、をコンピュータに実行させるプログラムである。 The present invention, Ri Do and a VPN connection request device and the VPN connection destination device and the VPN connection management apparatus, wherein when both of the VPN connection request device or the VPN connection destination device, the network address of the own apparatus is changed VPN connection disconnecting means for disconnecting the VPN connection, changed address notification means for transmitting the changed network address to the VPN connection management apparatus, and the VPN connection management apparatus transmitted from the VPN connection management apparatus after the VPN disconnection A program to be executed by a computer of the VPN connection management device in a VPN connection construction system comprising VPN reconnection means for automatically creating a new VPN connection using VPN configuration information, the VPN connection management system comprising: A connection request reception process for receiving a connection request to a connection destination device from the VPN connection request device; Whether or not VPN connection between the VPN connection requesting device and the VPN connection destination device is possible is determined based on a comparison between the device attribute information of the PN connection requesting device and the VPN connection destination device and predetermined policy information stored in advance. The VPN connection requesting device performs the VPN connection based on the network information of the VPN connection destination device stored in advance only when it is determined that VPN connection is possible in the VPN connection feasibility judgment processing and the VPN connection feasibility judgment. First VPN configuration information used when establishing a VPN connection to the connection destination device is generated, and the VPN connection destination device requests from the VPN connection request device based on the network information of the VPN connection request device stored in advance. VPN configuration information generation processing for generating second VPN configuration information to be used when establishing a VPN connection to be performed, and the first Delivers PN configuration information to the VPN connection request device and distributes the first 2VPN configuration information to the VPN connection destination device, and the VPN configuration information distribution processing, the VPN connection request device or the network address was changed A changed address receiving process for receiving a changed network address from any of the VPN connection destination devices, and a network for storing the identification information and network address information of the VPN connection requesting device and the VPN connection destination device in association with each other A network address changing process for changing the network address of the VPN connection requesting device or the VPN connection destination device that transmitted the changed network address to the received changed network address in an address storage means; Let it run Further, in the VPN configuration information generation process, a process of generating new first VPN configuration information and second VPN configuration information based on the network information including the changed network address and the authentication information, and the VPN configuration In the information distribution processing, distribution of the new first VPN configuration information to the VPN connection requesting device that has disconnected the VPN connection or distribution of the new second VPN configuration information to the VPN connection destination device that has disconnected the VPN connection. A program for causing a computer to execute processing to be performed.

本発明によれば、VPN接続管理装置が第1/第2VPN構成情報を生成し、その情報を用いてVPN接続要求装置とVPN接続先装置が自動的にVPN接続を行なうので、VPN接続を行なう機器の設定が必要なくなり、これにより、管理者などの作業を軽減することができる。またVPN接続を行なう一方の装置のIPアドレスが変更になった場合にも、VPN構成情報の再生成によって、新たなVPN接続を構築するので、VPN接続が維持でき、IPアドレスが変更されるようなネットワーク形態においてもVPN接続の構築を容易に行なうことができるという効果が得られる。   According to the present invention, the VPN connection management device generates the first / second VPN configuration information, and the VPN connection requesting device and the VPN connection destination device automatically perform the VPN connection using the information. It is no longer necessary to set up the device, thereby reducing the work of the administrator and the like. In addition, even when the IP address of one device that performs VPN connection is changed, a new VPN connection is established by regenerating the VPN configuration information, so that the VPN connection can be maintained and the IP address can be changed. Even in a simple network configuration, it is possible to easily construct a VPN connection.

以下、本発明の一実施形態によるVPN接続構築システムを図面を参照して説明する。図1は同実施形態によるVPN接続構築システムの概要を示すブロック図である。この図において、符号1はVPN接続を要求するVPN接続要求装置である。また2はVPNの接続先となるVPN接続先装置である。また3は機器管理サーバであり、本システムを利用するVPN接続要求装置1とVPN接続先装置2の情報が登録される。この機器管理サーバ3は基本的に1つだけ存在する。また4はVPN管理サーバ(VPN接続管理装置)であり、VPN接続要求装置1とVPN接続先装置2が相互間でVPN接続を行なう際に、そのVPN接続の可否などを判断する処理を行なう。なお本実施形態においては説明の便宜上、VPN接続要求装置1とVPN接続先装置2に分けて説明するが、本来は1つの中継装置(例えばルータやファイアーウォールなどの)が接続要求側となったり、または接続先となったりするので、VPN接続要求装置1とVPN接続先装置2の両方の機能を有する。   Hereinafter, a VPN connection construction system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing an outline of a VPN connection construction system according to the embodiment. In this figure, reference numeral 1 denotes a VPN connection requesting device that requests a VPN connection. Reference numeral 2 denotes a VPN connection destination device which is a VPN connection destination. Reference numeral 3 denotes a device management server, in which information on the VPN connection requesting device 1 and the VPN connection destination device 2 using this system is registered. There is basically only one device management server 3. Reference numeral 4 denotes a VPN management server (VPN connection management device), which performs a process of determining whether or not the VPN connection is possible when the VPN connection requesting device 1 and the VPN connection destination device 2 make a VPN connection with each other. In this embodiment, for convenience of explanation, the VPN connection requesting device 1 and the VPN connection destination device 2 will be described separately. However, originally one relay device (such as a router or a firewall) may be the connection requesting side. Or the connection destination, the VPN connection requesting device 1 and the VPN connection destination device 2 have both functions.

図2は、本実施形態によるVPN接続構築システムを構成する各装置の機能ブロックを示す図である。
この図が示すように、まずVPN接続要求装置1は、通信ネットワークに接続された他の装置と通信を行なう通信処理部11と、装置内の各処理部を制御する制御部12と、VPNの接続要求を処理するVPN接続要求部(接続要求手段)13と、VPN接続先装置2とVPN接続の構築を処理するVPN接続実行部(VPN接続実行手段、VPN接続切断手段、変更後アドレス通知手段、VPN再接続手段)14と、各種情報を記憶する記憶部15とを備えている。
FIG. 2 is a diagram showing functional blocks of each device constituting the VPN connection construction system according to the present embodiment.
As shown in this figure, first, the VPN connection requesting device 1 includes a communication processing unit 11 that communicates with other devices connected to a communication network, a control unit 12 that controls each processing unit in the device, and a VPN VPN connection request unit (connection request unit) 13 for processing connection requests, and VPN connection execution unit (VPN connection execution unit, VPN connection disconnection unit, changed address notification unit) for processing VPN connection with VPN connection destination device 2 VPN reconnection means) 14 and a storage unit 15 for storing various information.

またVPN接続先装置2は、通信ネットワークに接続された他の装置と通信を行なう通信処理部21と、装置内の各処理部を制御する制御部22と、VPN接続要求装置1から受付けたVPN接続の構築を処理するVPN接続受付部(VPN接続受付手段)23と、各種情報を記憶する記憶部24とを備えている。   The VPN connection destination device 2 includes a communication processing unit 21 that communicates with other devices connected to the communication network, a control unit 22 that controls each processing unit in the device, and a VPN received from the VPN connection requesting device 1. A VPN connection accepting unit (VPN connection accepting unit) 23 for processing connection construction and a storage unit 24 for storing various information are provided.

また、機器管理サーバ3は、通信ネットワークに接続された他の装置と通信を行なう通信処理部31と、本システムを利用するVPN接続要求装置1やVPN接続先装置2の登録の受付け処理や、当該登録時に受付けた情報を記録する処理を行なう機器登録処理部32と、登録された情報を記憶するデータベースとを備えている。   In addition, the device management server 3 includes a communication processing unit 31 that communicates with other devices connected to the communication network, a registration reception process for the VPN connection requesting device 1 and the VPN connection destination device 2 that use this system, A device registration processing unit 32 that performs a process of recording information received at the time of registration and a database that stores the registered information are provided.

またVPN管理サーバ4は、通信ネットワークに接続された他の装置と通信を行なう通信処理部41と、機器管理サーバ3に登録を行なったVPN接続要求装置1からVPN接続を行なう旨の登録を受付けるVPN登録処理部42と、VPN接続要求を受付けるVPN接続要求受付部(接続要求受信手段、変更後アドレス受信手段、ネットワークアドレス変更手段、配下端末アドレス受信手段)43と、VPN接続要求装置1とVPN接続先装置2の間におけるVPN接続の可否を判定するVPN接続可否判定部(VPN接続可否判定手段)44と、VPN接続時にVPN接続要求装置1やVPN接続先装置2で利用されるVPN構成情報を生成するVPN構成情報生成部(VPN構成情報生成手段、第1仮想アドレス変換テーブル生成手段、第2仮想アドレス変換テーブル生成手段)45や、VPN構成情報をVPN接続要求装置1やVPN接続先装置2に配信するVPN接続用情報配信部(VPN構成情報配信手段、仮想アドレス変換テーブル配信手段)46や、登録を受付けた際の各種情報を記憶するデータベース(ネットワークアドレス記憶手段)を備えている。   Further, the VPN management server 4 accepts registration for VPN connection from the communication processing unit 41 for communicating with other devices connected to the communication network and the VPN connection requesting device 1 registered in the device management server 3. VPN registration processing unit 42, VPN connection request accepting unit (connection request receiving means, changed address receiving means, network address changing means, subordinate terminal address receiving means) 43 for accepting VPN connection requests, VPN connection requesting device 1 and VPN A VPN connection availability determination unit (VPN connection availability determination means) 44 that determines whether or not VPN connection between the connection destination devices 2 is possible, and VPN configuration information that is used by the VPN connection requesting device 1 and the VPN connection destination device 2 during the VPN connection. VPN configuration information generation unit (VPN configuration information generation means, first virtual address translation table generation means (Second virtual address conversion table generating means) 45 and VPN connection information distribution unit (VPN configuration information distribution means, virtual address conversion table distribution means) for distributing the VPN configuration information to the VPN connection requesting device 1 and the VPN connection destination device 2 46 and a database (network address storage means) for storing various information when registration is accepted.

なお、VPN管理サーバ4は、例えば、VPN接続のサービスを管理する各業者それぞれが有するものである。そして、予め各VPN接続要求装置1やVPN接続先装置2のユーザはそれら装置を機器管理サーバ3に登録して、認証局からの認証を受けておくことで、VPN接続のサービスを管理する各業者からサービスを受ける際のVPN管理サーバ4への登録時に再度、認証を受けずに済むようにしておく。ユーザは、ある業者が管理するVPN管理サーバ4に登録することで、そのVPN管理サーバ4に登録されている他の装置とVPN接続の処理が可能となる。   Note that the VPN management server 4 is provided, for example, by each vendor that manages VPN connection services. Each user of the VPN connection requesting device 1 and the VPN connection destination device 2 registers these devices in the device management server 3 and receives authentication from the certificate authority, thereby managing each VPN connection service. When registering with the VPN management server 4 when receiving a service from a vendor, it is not necessary to receive authentication again. A user registers in the VPN management server 4 managed by a certain trader, so that the VPN connection processing with other devices registered in the VPN management server 4 becomes possible.

図3は中継装置(VPN接続要求装置1、VPN接続先装置2)を機器管理サーバに登録する際の処理フローを示す図である。
次に図3を用いて、VPN接続要求装置1やVPN接続先装置2の機能を備えた中継装置(ルータやファイアーウォールなど)を機器管理サーバ3に登録する際の処理について説明する。
まずユーザは、PCなどの端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末に中継装置登録を行なう為のウェブページ(以下、登録画面という)を送信する機能と、当該登録画面によって入力された情報を受付けて機器管理サーバ3への登録処理を行なう機能を有している(つまり図2のVPN接続要求装置1やVPN接続先装置2の制御部11,21がこの機能を有している)。ユーザは、登録画面において、ID,パスワードを入力してログインする。すると中継装置が認証をして登録の許可を通知する。そしてユーザが当該登録画面を利用して登録要求を行なうと、中継装置の制御部はSSL通信により機器管理サーバ3と接続を行ない、相互認証が行なわれ、登録開始メッセージが中継装置と機器管理サーバ3の間で送受信される(ステップS101)。機器管理サーバ3の機器登録処理部32は登録に必要なデータの要求を行なうと(ステップS102)、中継装置は登録フォーム画面を端末に送信し、当該画面が端末に表示される。
FIG. 3 is a diagram showing a processing flow when registering a relay device (VPN connection requesting device 1, VPN connection destination device 2) in the device management server.
Next, processing when registering a relay device (such as a router or a firewall) having the functions of the VPN connection request device 1 and the VPN connection destination device 2 in the device management server 3 will be described with reference to FIG.
First, the user accesses the relay device using a terminal such as a PC. A relay device transmits a web page (hereinafter referred to as a registration screen) for registering a relay device to a terminal that has received access, and receives information input on the registration screen and performs registration processing on the device management server 3 (That is, the control units 11 and 21 of the VPN connection requesting device 1 and the VPN connection destination device 2 in FIG. 2 have this function). The user logs in by entering the ID and password on the registration screen. Then, the relay device authenticates and notifies registration permission. When the user makes a registration request using the registration screen, the control unit of the relay device connects to the device management server 3 by SSL communication, mutual authentication is performed, and a registration start message is sent to the relay device and the device management server. 3 is transmitted / received between the three (step S101). When the device registration processing unit 32 of the device management server 3 requests data necessary for registration (step S102), the relay device transmits a registration form screen to the terminal, and the screen is displayed on the terminal.

次に、ユーザは端末に表示された登録フォーム画面において、(ア)自身の住所、氏名、生年月日、(イ)個人認証用の情報(ID、パスワード)、(ウ)用途、設置位置の情報を登録する。すると、端末はア〜ウの情報を中継装置へ送信し、当該情報を中継装置が機器管理サーバ3に送信する(ステップS103)。すると機器管理サーバ3の機器登録処理部32は相互認証を行ない、またSM(セキュアメッセージング)鍵を共有する為に当該SM鍵を中継装置へ送信する(ステップS104)。このSM鍵は、中継装置内のICチップに記録されている各情報を機器管理サーバ3に送信する際に、当該ICチップと機器管理サーバ3との間での通信処理を暗号化するための鍵情報である。なお、ICチップには(エ)中継装置種別,中継装置仕様、(オ)CA公開鍵、(カ)中継装置の仮公開鍵、(キ)中継装置の仮秘密鍵、(ク)中継装置の仮公開鍵証明書(中継装置IDを含む)などが記録されている。またユーザから登録フォーム画面において入力を受付けた後に、中継装置の制御部が(ケ)署名付き依頼文の情報、を生成しICチップに記録しておく。   Next, on the registration form screen displayed on the terminal, the user (a) own address, name, date of birth, (b) personal authentication information (ID, password), (c) use, installation location Register information. Then, the terminal transmits the information of “a” to “c” to the relay device, and the relay device transmits the information to the device management server 3 (step S103). Then, the device registration processing unit 32 of the device management server 3 performs mutual authentication and transmits the SM key to the relay device in order to share the SM (secure messaging) key (step S104). This SM key is used to encrypt communication processing between the IC chip and the device management server 3 when transmitting each piece of information recorded on the IC chip in the relay device to the device management server 3. Key information. The IC chip includes (d) relay device type, relay device specification, (e) CA public key, (f) relay device temporary public key, (g) relay device temporary secret key, and (k) relay device name. A temporary public key certificate (including a relay device ID) is recorded. In addition, after receiving an input from the user on the registration form screen, the control unit of the relay apparatus generates (a) information on the request text with a signature and records it on the IC chip.

上記相互認証が終了すると、中継装置のICチップ内の暗号処理部がSM鍵を利用して、(エ),(ケ)の情報を暗号化し、登録要求としてICチップから機器管理サーバ3へ送信する(ステップS105)。次に中継装置は中継装置の公開鍵(コ)と秘密鍵(サ)のペアを生成する(ステップS106)。そして中継装置の公開鍵(コ)を機器管理サーバ3へ送信する(ステップS107)。すると、機器管理サーバ3の機器登録処理部32は、中継装置へ中継装置登録完了通知と(シ)中継装置の公開鍵証明書(機器管理サーバ3の管理者により発行される)、とを中継装置へ送信する(ステップS108)。また機器管理サーバ3の機器登録処理部32は、(ス)機器管理サーバ3を管理する管理者のCA(認証局)公開鍵証明書を中継装置へ送信する(ステップS109)。   When the mutual authentication is completed, the encryption processing unit in the IC chip of the relay device encrypts the information (D) and (K) using the SM key, and transmits the information from the IC chip to the device management server 3 as a registration request. (Step S105). Next, the relay device generates a pair of the public key (co) and secret key (sa) of the relay device (step S106). Then, the public key (C) of the relay device is transmitted to the device management server 3 (step S107). Then, the device registration processing unit 32 of the device management server 3 relays the relay device registration completion notification and (g) the public key certificate of the relay device (issued by the administrator of the device management server 3) to the relay device. It transmits to the apparatus (step S108). The device registration processing unit 32 of the device management server 3 transmits (S) the CA (certificate authority) public key certificate of the administrator who manages the device management server 3 to the relay device (step S109).

次に中継装置の制御部はICチップ内のメモリへ、受信した(シ)の情報を格納する(ステップS110)。これにより、登録成功通知が中継装置から機器管理サーバ3へ送信される(ステップS111)。また中継装置は中継装置の登録成功を端末に通知する(ステップS112)。この時点で中継装置の保持するICチップに記録される情報は、(オ)CA公開鍵、(エ)中継装置種別,中継装置仕様、(シ)中継装置の公開鍵証明書(鍵情報、中継装置ID、機器管理サーバ3の管理者ID、中継装置の所有者IDが含まれる)、(コ)中継装置の公開鍵、(サ)中継装置の秘密鍵である。なお(ク)中継装置製造者の仮公開鍵証明書は(シ)の情報によって上書きされることで削除され、また(キ)の情報は削除されている。以上の機器管理サーバ3への中継装置(VPN接続要求装置1とVPN接続先装置2の機能を備える装置)の登録によって、当該中継装置の正当性が確保される。   Next, the control unit of the relay apparatus stores the received (S) information in the memory in the IC chip (step S110). Thereby, a registration success notification is transmitted from the relay apparatus to the device management server 3 (step S111). In addition, the relay device notifies the terminal of successful registration of the relay device (step S112). Information recorded on the IC chip held by the relay device at this point includes (e) CA public key, (d) relay device type, relay device specification, and (f) relay device public key certificate (key information, relay). Device ID, device management server 3 administrator ID, and relay device owner ID are included), (K) relay device public key, and (S) relay device secret key. In addition, (g) the temporary public key certificate of the relay device manufacturer is deleted by being overwritten by the information of (G), and the information of (G) is deleted. By registering the relay device (the device having the functions of the VPN connection requesting device 1 and the VPN connection destination device 2) to the device management server 3 as described above, the validity of the relay device is ensured.

図4は中継装置(VPN接続要求装置1、VPN接続先装置2)のVPN接続管理サーバへの登録の処理フローを示す図である。
上述の機器管理サーバ3への登録後、ユーザは、VPN接続の管理サービスを提供しているVPN接続管理サーバへ中継装置を登録し、これにより、当該VPN接続管理サーバで管理されている他の中継装置とのVPN接続を要求することが可能となる。
以下図4を用いて、VPN接続管理サーバ4への登録の処理について説明する。
まずユーザは、端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末にVPN登録を行なう為のウェブページ(以下、VPN登録画面という)を送信する。するとユーザは、VPN登録画面において、ID,パスワードを入力してログインする。すると中継装置が認証をしてVPN登録の許可を通知する。そしてユーザが当該VPN登録画面を利用してVPN登録要求を行なうと、中継装置の制御部はSSL通信によりVPN管理サーバ4と接続を行ない、相互認証が行なわれ、VPN登録開始メッセージが中継装置とVPN管理サーバ4の間で送受信される(ステップS201)。次にVPN管理サーバ4のVPN登録処理部42はVPN登録に必要なデータの要求を行なうと(ステップS202)、中継装置はVPN登録フォーム画面を端末に送信し、当該画面が端末に表示される。
FIG. 4 is a diagram showing a processing flow of registration of the relay device (VPN connection request device 1, VPN connection destination device 2) in the VPN connection management server.
After registration in the device management server 3 described above, the user registers the relay device in the VPN connection management server that provides the VPN connection management service, and thus the other managed by the VPN connection management server. It becomes possible to request a VPN connection with the relay apparatus.
Hereinafter, the registration process to the VPN connection management server 4 will be described with reference to FIG.
First, a user accesses a relay apparatus using a terminal. The relay apparatus transmits a web page (hereinafter referred to as a VPN registration screen) for performing VPN registration to the terminal that has received access. Then, the user logs in by entering the ID and password on the VPN registration screen. Then, the relay apparatus authenticates and notifies permission of VPN registration. When the user makes a VPN registration request using the VPN registration screen, the control unit of the relay device connects to the VPN management server 4 by SSL communication, mutual authentication is performed, and a VPN registration start message is sent to the relay device. Transmission / reception is performed between the VPN management servers 4 (step S201). Next, when the VPN registration processing unit 42 of the VPN management server 4 requests data necessary for VPN registration (step S202), the relay apparatus transmits a VPN registration form screen to the terminal, and the screen is displayed on the terminal. .

次に、ユーザは端末に表示されたVPN登録フォーム画面において、(ア)自身の住所、氏名、生年月日、(イ)個人認証用の情報(ID、パスワード)、(ウ)用途・設置位置・VPN接続ポリシー(VPN接続を行なうことができる中継装置の仕様や属性を示す情報)の情報を登録する。すると、端末はア〜ウの情報を中継装置へ送信し、中継装置がア〜ウの情報と、(セ)自装置(中継装置)のWAN側のIPアドレス,自装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス、の情報とをVPN管理サーバ4に送信する(ステップS203)。するとVPN管理サーバ4のVPN登録処理部42は(シ)の中継装置の公開鍵証明書の情報を利用して相互認証を行ない、またSM鍵を共有する為に当該SM鍵を中継装置へ送信する(ステップS204)。なおユーザからVPN登録フォーム画面において入力を受付けた後に、中継装置の制御部が(ソ)中継装置の署名付き依頼文の情報、を生成しICチップに記録しておく。   Next, on the VPN registration form screen displayed on the terminal, the user (a) own address, name, date of birth, (b) personal authentication information (ID, password), (c) use / installation position Register information of VPN connection policy (information indicating the specifications and attributes of a relay device that can perform VPN connection). Then, the terminal transmits the information of “a” to “c” to the relay device, and the relay device is connected to the network under the information of “a” to “c”, the IP address on the WAN side of the own device (relay device), and the own device. The information of the IP address of each device (terminal or server) is transmitted to the VPN management server 4 (step S203). Then, the VPN registration processing unit 42 of the VPN management server 4 performs mutual authentication using the information of the public key certificate of (i) the relay device, and transmits the SM key to the relay device in order to share the SM key. (Step S204). Note that after receiving an input from the user on the VPN registration form screen, the control unit of the relay device generates (SO) information on the request statement with the signature of the relay device and records it in the IC chip.

上記相互認証が終了すると、中継装置のICチップ内の暗号処理部がSM鍵を利用して、(エ),(ソ)を暗号化しICチップからVPN管理サーバ4へその暗号化された情報を送信する(ステップS205)。VPN管理サーバ4では、VPN登録処理部42が(ア),(イ),(ウ),(エ)の情報をデータベース47へ登録する(ステップS206)。またVPN登録処理部42は、VPN管理プログラムのIDを生成し、当該IDをステップS206で登録した情報に対応付けてデータベースへ登録する(ステップS207)。このVPN管理プログラムは、中継装置に配信されるものであり、このプログラムを利用して中継装置は本システムを利用することが可能となる。   When the mutual authentication is completed, the encryption processing unit in the IC chip of the relay device encrypts (d) and (g) using the SM key, and transmits the encrypted information from the IC chip to the VPN management server 4. Transmit (step S205). In the VPN management server 4, the VPN registration processing unit 42 registers the information (a), (b), (c), and (d) in the database 47 (step S206). The VPN registration processing unit 42 generates an ID of the VPN management program and registers the ID in the database in association with the information registered in step S206 (step S207). This VPN management program is distributed to the relay device, and the relay device can use this system by using this program.

次にVPN管理サーバ4のVPN登録処理部42は、ダウンロード許可依頼を機器管理サーバ3に通知する(ステップS208)。この時VPN登録処理部42は、中継装置ID<(エ)の情報から検出>と、(シ)、(ソ)の情報を機器管理サーバ3へ送信する。すると機器管理サーバ3の機器登録処理部32は中継装置IDと(シ)(ソ)の情報に基づいて、中継装置の正当性を判定し(つまり機器登録の処理において認証されているか否かを判定)し、許可した場合には、VPN管理プログラムのダウンロード許可書を生成する(ステップS209)。そして生成したダウンロード許可書を含むダウンロード許可情報をVPN管理サーバ4へ通知する(ステップS210)。   Next, the VPN registration processing unit 42 of the VPN management server 4 notifies the device management server 3 of a download permission request (step S208). At this time, the VPN registration processing unit 42 transmits the relay device ID <detected from the information of (d)> and the information of (g) and (g) to the device management server 3. Then, the device registration processing unit 32 of the device management server 3 determines the validity of the relay device based on the relay device ID and the information of (G) (G) (that is, whether or not it is authenticated in the device registration process). If it is permitted, a download permission document for the VPN management program is generated (step S209). Then, the VPN management server 4 is notified of download permission information including the generated download permission document (step S210).

次にVPN管理サーバ4のVPN登録処理部42は、VPN管理プログラムとダウンロード許可書を含む中継装置登録完了通知を中継装置に送信する(ステップS211)。中継装置の制御部は受信したダウンロード許可書が正当な情報か否かを、VPN管理サーバ4の公開鍵を用いて検証し(ステップS212)、ダウンロード許可書が正当な情報である場合には、VPN管理プログラムをICチップ内に格納する(ステップS213)。次に中継装置の制御部は、中継装置の公開鍵(タ)と秘密鍵(チ)のペアを生成し(ステップS214)ICチップに格納する。そして、(タ)の公開鍵をVPN管理サーバ4に送信する(ステップS215)。   Next, the VPN registration processing unit 42 of the VPN management server 4 transmits a relay device registration completion notification including the VPN management program and the download permission document to the relay device (step S211). The control unit of the relay apparatus verifies whether or not the received download permission document is valid information using the public key of the VPN management server 4 (step S212). If the download permission document is valid information, A VPN management program is stored in the IC chip (step S213). Next, the control unit of the relay device generates a pair of the public key (t) and the secret key (h) of the relay device (step S214) and stores them in the IC chip. Then, the public key of (T) is transmitted to the VPN management server 4 (step S215).

すると、VPN管理サーバ4のVPN登録処理部42は中継装置の公開鍵証明書(ツ)を生成し(ステップS216)、当該公開鍵証明書(ツ)を中継装置へ送信する(ステップS217)。中継装置の制御部は公開鍵証明書が送信されると、VPN登録成功をVPN管理サーバ4に通知し(ステップS218)、また端末にも通知する(ステップS219)。これにより、機器管理サーバ3で登録した際に付与された認証に基づいて、新たにVPN管理サーバ4で公開鍵証明書が中継装置に付与され、また本システムを利用するVPN管理プログラムが中継装置に記録されるので、同一のVPN管理サーバ4で管理される他の中継装置とVPN接続が可能となる。なお、VPN管理サーバ4は中継装置が利用するVPN管理プログラムのIDによって、当該中継装置の当該システムの利用可否を判断できる。   Then, the VPN registration processing unit 42 of the VPN management server 4 generates a public key certificate (tu) of the relay device (step S216), and transmits the public key certificate (tu) to the relay device (step S217). When the public key certificate is transmitted, the control unit of the relay apparatus notifies the VPN management server 4 of the VPN registration success (step S218) and also notifies the terminal (step S219). As a result, based on the authentication given at the time of registration in the device management server 3, a public key certificate is newly given to the relay device by the VPN management server 4, and a VPN management program that uses this system is added to the relay device. Therefore, VPN connection with other relay apparatuses managed by the same VPN management server 4 becomes possible. The VPN management server 4 can determine whether the relay device can use the system based on the ID of the VPN management program used by the relay device.

上述したVPN管理サーバ4への中継装置の登録により、VPN管理サーバ4のデータベース47には、登録された中継装置のID、中継装置の所有者ID、中継装置で利用されるVPN管理プログラムID、中継装置の所有者の情報(ア)(イ)、中継装置の用途・設置位置・VPN接続ポリシーの情報(ウ)、中継装置種別,中継装置仕様(エ)、中継装置のWAN側のIPアドレスと中継装置装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス(セ)、の情報が格納される。VPN接続の際にはこれらのVPN管理サーバ4のデータベース47に登録された情報によって生成されるVPN構成情報がVPN接続を行なう各中継装置(つまりVPN接続要求装置1とVPN接続先装置2)に配信され、当該中継装置間でのVPN接続が処理されることとなる。   By registering the relay device in the VPN management server 4 described above, the database 47 of the VPN management server 4 stores the registered relay device ID, the relay device owner ID, the VPN management program ID used in the relay device, Relay device owner information (a) (b), relay device application / installation location / VPN connection policy information (c), relay device type, relay device specification (d), WAN IP address of the relay device And the IP address of each device (terminal or server) connected to the network under the relay device. At the time of VPN connection, VPN configuration information generated by information registered in the database 47 of the VPN management server 4 is sent to each relay device (that is, the VPN connection requesting device 1 and the VPN connection destination device 2) that performs the VPN connection. The VPN connection is distributed and the VPN connection between the relay devices is processed.

図5はVPN管理サーバへのユーザ登録の処理フローを示す図である。
ユーザは中継装置のVPN管理サーバ4への登録をした後にユーザとしての登録もVPN管理サーバ4に対して行なうことが必要となる。
次に図5を用いて、ユーザがVPN管理サーバへ登録する際の処理について説明する。
まずユーザは、PCなどの端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末にVPN利用者登録を行なう為のウェブページ(以下、利用者登録画面という)を送信する機能と、当該利用者登録画面によって入力された情報を受付けてVPN管理サーバ4への登録処理を行なう機能を有している。ユーザは、利用者登録画面において、ID,パスワードを入力して中継装置にログインする。すると中継装置が認証をして利用者登録の許可を通知する。そしてユーザが当該利用者登録画面を利用して利用者登録要求を行なうと、中継装置の制御部はSSL通信によりVPN管理サーバ4と接続を行ない、相互認証が行なわれ、利用者登録開始メッセージが中継装置と機器管理サーバ3の間で送受信される(ステップS301)。VPN管理サーバ4のVPN登録処理部42は登録に必要なデータの要求を行なうと(ステップS302)、中継装置は利用者登録フォーム画面を端末に送信し、当該画面が端末に表示される。
FIG. 5 is a diagram showing a processing flow of user registration in the VPN management server.
After the user registers the relay apparatus in the VPN management server 4, the user must also register as a user in the VPN management server 4.
Next, a process when the user registers in the VPN management server will be described with reference to FIG.
First, the user accesses the relay device using a terminal such as a PC. The relay device receives a function of transmitting a web page (hereinafter referred to as a user registration screen) for performing VPN user registration to a terminal that has received access, and accepts information input on the user registration screen to receive a VPN management server 4 is registered. The user logs in to the relay device by entering the ID and password on the user registration screen. Then, the relay device authenticates and notifies permission of user registration. When the user makes a user registration request using the user registration screen, the control unit of the relay apparatus connects to the VPN management server 4 by SSL communication, mutual authentication is performed, and a user registration start message is displayed. Transmission / reception is performed between the relay device and the device management server 3 (step S301). When the VPN registration processing unit 42 of the VPN management server 4 requests data necessary for registration (step S302), the relay device transmits a user registration form screen to the terminal, and the screen is displayed on the terminal.

次に、ユーザは端末に表示された利用者登録フォーム画面において、(テ)住所、氏名、生年月日などのユーザ属性情報と、(ト)個人認証用の情報(ID、パスワード)を登録する。すると、端末はテ,トの情報を中継装置へ送信し、当該情報を中継装置がVPN管理サーバ4に送信する(ステップS303)。するとVPN管理サーバ4のVPN登録処理部42は相互認証を行ない、またSM(セキュアメッセージング)鍵を共有する為に当該SM鍵を中継装置へ送信し、利用者登録要求の情報が中継装置からVPN管理サーバ4に通知される(ステップS304)。なおこの段階で中継装置のICチップに記録されている情報は(エ)中継装置種別,中継装置仕様、(オ)CA公開鍵、(ツ)中継装置の公開鍵証明書、(タ)中継装置の公開鍵、(チ)中継装置の秘密鍵である。   Next, on the user registration form screen displayed on the terminal, the user registers (te) user attribute information such as address, name, date of birth, and (g) personal authentication information (ID, password). . Then, the terminal transmits information on the telegram to the relay device, and the relay device transmits the information to the VPN management server 4 (step S303). Then, the VPN registration processing unit 42 of the VPN management server 4 performs mutual authentication and transmits the SM key to the relay device in order to share the SM (Secure Messaging) key, and the user registration request information is sent from the relay device to the VPN. The management server 4 is notified (step S304). Information recorded on the IC chip of the relay device at this stage includes (d) relay device type, relay device specification, (e) CA public key, (iv) public key certificate of relay device, and (t) relay device. Public key, and (h) the secret key of the relay device.

次にVPN管理サーバ4のVPN登録処理部42は利用者登録要求を受付けると、ステップS303で受信した利用者の情報を、当該情報を送信した中継装置に格納されているVPN管理プログラムのIDに対応付けてデータベース47に記録する(ステップS305)。するとVPN管理サーバ4のVPN登録処理部42は、利用者別のVPN設定情報(ナ)を送信する(ステップS306)。中継装置の制御部はVPN設定情報を受信すると利用者別設定情報の設定成功を通知する(ステップS307)。そして、VPN管理サーバ4のVPN登録処理部42は利用者登録成功を中継装置へ通知し(ステップS308)、また中継装置は利用者登録成功を端末へ通知する(ステップS309)。この段階で中継装置のICチップには(ナ)の情報が追加される。これにより、以降、端末を利用するユーザはVPN接続の指示を中継装置にアクセスして制御することができる。   Next, when the VPN registration processing unit 42 of the VPN management server 4 accepts the user registration request, the user information received in step S303 is set to the ID of the VPN management program stored in the relay device that transmitted the information. The data are recorded in the database 47 in association with each other (step S305). Then, the VPN registration processing unit 42 of the VPN management server 4 transmits VPN setting information (NA) for each user (step S306). When receiving the VPN setting information, the control unit of the relay apparatus notifies the setting success of the user-specific setting information (step S307). The VPN registration processing unit 42 of the VPN management server 4 notifies the user registration success to the relay apparatus (step S308), and the relay apparatus notifies the user registration success to the terminal (step S309). At this stage, the information (N) is added to the IC chip of the relay device. Thereby, the user using the terminal can access and control the VPN connection instruction to the relay device.

図6はVPN接続の処理フローを示す図である。
次に図6を用いて、VPN接続の処理についてVPN接続要求装置とVPN接続先装置とを用いて説明する。
まず、ユーザは、端末5aを利用してVPN接続要求装置1にアクセスする。VPN接続要求装置1のVPN接続要求部13はアクセスを受付けた端末5aにVPN接続要求を行なう為のウェブページ(以下、接続要求画面という)を送信する機能と、当該接続要求画面によって入力された情報を受付けてVPN管理サーバ4への接続要求を通知する処理を行なう機能を有している。ユーザは、VPN接続要求装置1のアクセス時にID,パスワードを入力してVPN接続要求装置1にログインする。するとVPN接続要求装置1のVPN接続要求部13が認証をして、VPN接続の処理の実行許可を端末5aに通知する。そしてユーザが接続要求画面を利用して接続要求を行なうと、VPN接続要求装置1のVPN接続要求部13はユーザのIDやパスワードと、自装置の公開鍵証明書(ツ)の情報をVPN管理サーバ4へ送信し接続要求を行なう(ステップS401)。
FIG. 6 is a diagram showing a VPN connection processing flow.
Next, a VPN connection process will be described with reference to FIG. 6 using a VPN connection request device and a VPN connection destination device.
First, the user accesses the VPN connection requesting apparatus 1 using the terminal 5a. The VPN connection requesting unit 13 of the VPN connection requesting apparatus 1 has a function of transmitting a web page (hereinafter referred to as a connection request screen) for making a VPN connection request to the terminal 5a that has received access, and the connection request screen is inputted. It has a function of performing processing for receiving information and notifying a connection request to the VPN management server 4. The user logs in to the VPN connection requesting apparatus 1 by entering an ID and password when accessing the VPN connection requesting apparatus 1. Then, the VPN connection requesting unit 13 of the VPN connection requesting apparatus 1 authenticates and notifies the terminal 5a of permission to execute the VPN connection process. When the user makes a connection request using the connection request screen, the VPN connection request unit 13 of the VPN connection requesting apparatus 1 manages the user ID and password, and information on the public key certificate (tu) of the own apparatus in the VPN management. A transmission request is sent to the server 4 (step S401).

VPN管理サーバ4では接続要求をVPN接続要求装置1から受信すると、VPN接続要求受付部43がデータベース47に記録されているユーザの情報とユーザIDやパスワードに基づいてユーザ認証を行ない(ステップS402)、またVPN接続要求装置1の公開鍵証明書を利用してVPN接続要求装置1の認証を行なう(ステップS403)。またVPN接続要求装置1の公開鍵証明書に含まれるVPN接続要求装置1のIDと、データベース47に登録されている情報とを比較して、当該VPN接続要求装置1がVPN接続サービスの利用権を保持しているか否かの確認を行なう(ステップS404)。そしてVPN接続要求受付部43はステップS402〜S403の処理に基づいて、VPN接続の諾否(OK/NG)をVPN接続要求装置1へ送信する(ステップS405)。VPN接続の諾否の通知を受けたVPN接続要求装置1はその情報を端末5aに転送する(ステップS406)。   When the VPN management server 4 receives a connection request from the VPN connection requesting device 1, the VPN connection request receiving unit 43 performs user authentication based on the user information, user ID, and password recorded in the database 47 (step S402). The VPN connection requesting apparatus 1 is authenticated using the public key certificate of the VPN connection requesting apparatus 1 (step S403). Further, the VPN connection requesting device 1 compares the ID of the VPN connection requesting device 1 included in the public key certificate of the VPN connection requesting device 1 with the information registered in the database 47, and the VPN connection requesting device 1 uses the right to use the VPN connection service. Is confirmed (step S404). Then, the VPN connection request accepting unit 43 transmits a VPN connection approval / disapproval (OK / NG) to the VPN connection requesting apparatus 1 based on the processing of steps S402 to S403 (step S405). The VPN connection requesting apparatus 1 that has received the notification of acceptance or rejection of the VPN connection transfers the information to the terminal 5a (step S406).

端末5aではVPN接続の諾否の通知を受けると、その情報が接続要求画面に表示される。ユーザはVPN接続可の場合には、VPN接続先と端末5aで利用するアプリケーションの情報を接続要求画面から登録し、接続開始を指示する。ここで、VPN接続先は、例えばVPN接続先装置2のホスト名や当該VPN接続先装置2の配下に接続された端末5bの端末名などである。またアプリケーションの情報とは例えば端末5a上で動作させるアプリケーション種類とそのバージョンである。VPN接続要求装置1のVPN接続要求部13は、端末5aから受付けた情報を含む接続要求をVPN管理サーバ4に送信する(ステップS407)。   When the terminal 5a receives notification of acceptance or rejection of VPN connection, the information is displayed on the connection request screen. When the VPN connection is possible, the user registers information on the VPN connection destination and the application used in the terminal 5a from the connection request screen, and instructs the connection start. Here, the VPN connection destination is, for example, the host name of the VPN connection destination device 2 or the terminal name of the terminal 5 b connected under the VPN connection destination device 2. The application information is, for example, the type of application to be operated on the terminal 5a and its version. The VPN connection requesting unit 13 of the VPN connection requesting apparatus 1 transmits a connection request including information received from the terminal 5a to the VPN management server 4 (step S407).

次にVPN管理サーバ4が接続要求を受付けるとVPN接続可否判定部44は、VPN接続先装置2のホスト名から当該VPN接続先装置2のIDとIPアドレス<上記(セ)の情報>とをデータベース47から検索し、また接続先の端末名から当該端末5bのIPアドレス<上記(セ)の情報>をデータベース47から検索する。これによりVPN接続先装置2を特定する。そして、VPN接続可否判定部44はVPN接続要求装置1の機器属性情報とVPN接続ポリシー、VPN接続先装置2の機器属性情報とVPN接続ポリシー、VPN管理サーバ4が予め備えている基本VPN接続ポリシーの各情報に基づいて、VPN接続要求装置1とVPN接続先装置2とのVPN接続を行なうためのポリシーが合致しているか否かの判断と、VPN接続要求装置1とVPN接続先装置2とのVPN接続を行なうためのポリシーが基本VPNポリシーに合致しているかの判断とを行ない、VPN接続の可否を判定する(ステップS408)。なお、このVPN接続可否の判定処理の詳細については後述する。このVPN接続可否の判定においては、例えばVPN接続先装置2に接続許可伺いを行なう場合もある。   Next, when the VPN management server 4 accepts the connection request, the VPN connection availability determination unit 44 obtains the ID and IP address of the VPN connection destination device 2 from the host name of the VPN connection destination device 2 <information on (C)>. The database 47 is searched, and the IP address of the terminal 5b <information on (C)> is searched from the database 47 from the connection destination terminal name. Thereby, the VPN connection destination device 2 is specified. Then, the VPN connection availability determination unit 44 includes the device attribute information and VPN connection policy of the VPN connection requesting device 1, the device attribute information and VPN connection policy of the VPN connection destination device 2, and the basic VPN connection policy provided in advance in the VPN management server 4. On the basis of each of the above information, it is determined whether or not the policy for VPN connection between the VPN connection requesting device 1 and the VPN connection destination device 2 is matched, and the VPN connection requesting device 1 and the VPN connection destination device 2 It is determined whether the policy for performing the VPN connection matches the basic VPN policy, and whether or not the VPN connection is possible is determined (step S408). The details of the VPN connection determination process will be described later. In the determination of whether or not VPN connection is possible, for example, a connection permission inquiry may be made to the VPN connection destination device 2.

そして、その結果、VPN接続可と判定した場合には、VPN構成情報生成部45がVPN接続要求装置1に配信するための第1VPN構成情報と、VPN接続先装置2へ配信するための第2VPN構成情報を生成する(ステップS409)。このVPN構成情報はVPN接続要求装置1とVPN接続先装置2がVPN接続の処理を実行する際に利用されるものである。VPN構成情報には、SPD(Security Policy Database),SAD(Security Association Database),アドレス変換テーブル,DNSテーブル情報などの情報が含まれる。これらVPN構成情報に含まれる各情報は、中継装置(VPN接続要求装置1、VPN接続先装置)の登録時に作成されたデータベース47内のデータに基づいて作成されるものである。   As a result, when it is determined that the VPN connection is possible, the VPN configuration information generating unit 45 first VPN configuration information for distributing to the VPN connection requesting device 1 and a second VPN for distributing to the VPN connection destination device 2. Configuration information is generated (step S409). This VPN configuration information is used when the VPN connection requesting apparatus 1 and the VPN connection destination apparatus 2 execute a VPN connection process. The VPN configuration information includes information such as SPD (Security Policy Database), SAD (Security Association Database), address translation table, DNS table information. Each piece of information included in the VPN configuration information is created based on data in the database 47 created at the time of registration of the relay device (VPN connection requesting device 1, VPN connection destination device).

第1VPN構成情報はVPN接続要求装置1に配信されることは上述したが、この第1VPN構成情報には、主にVPN接続先装置2の情報が含まれる。例えばSPDとしてはVPN接続先装置2の関連としてデータベース47に格納されている(セ)<VPN接続先装置2のWAN側のIPアドレスや当該VPN接続先装置2の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス>の情報である。またSADとしてはVPN接続先装置2の関連としてデータベース47に格納されている(エ)<VPN接続先装置2の種別,VPN接続先装置2の仕様>の情報と当該(エ)の情報に基づいた暗号アルゴリズムやVPN有効期間などの情報である。またアドレス変換テーブルとは、VPN接続要求装置1の配下に接続されている端末5aとVPN接続先装置2の配下に接続されている端末5bが接続される場合に(VPN接続自体はVPN接続要求装置1とVPN接続先装置2の間で行なわれる)、端末5aと端末5bが同一ネットワークアドレスとならないよう仮想ネットワークアドレスを割当てる為のテーブルである。このアドレス変換テーブルについては後述する。またDNSテーブルとはVPN接続先装置2のホスト名や当該VPN接続先装置2配下の端末5bの端末名からIPアドレスを検索するためのテーブルである。   As described above, the first VPN configuration information is distributed to the VPN connection requesting device 1, but the first VPN configuration information mainly includes information on the VPN connection destination device 2. For example, the SPD is stored in the database 47 as a relation to the VPN connection destination device 2 (C) <the IP address on the WAN side of the VPN connection destination device 2 and each network connection under the VPN connection destination device 2 Information on IP address of device (terminal or server)>. The SAD is stored in the database 47 in relation to the VPN connection destination device 2 based on the information of (d) <the type of the VPN connection destination device 2, the specification of the VPN connection destination device 2> and the information on the (d). Information such as encryption algorithm and VPN validity period. The address conversion table is used when the terminal 5a connected under the VPN connection requesting device 1 and the terminal 5b connected under the VPN connection destination device 2 are connected (the VPN connection itself is a VPN connection request). This is a table for assigning virtual network addresses so that the terminal 5a and the terminal 5b do not have the same network address. This address conversion table will be described later. The DNS table is a table for retrieving an IP address from the host name of the VPN connection destination device 2 or the terminal name of the terminal 5b under the VPN connection destination device 2.

また第2VPN構成情報はVPN接続先装置2に配信されることは上述したが、この第2VPN構成情報には、主にVPN接続要求先装置1の情報が含まれる。例えばSPDとしてはVPN接続要求装置1の関連としてデータベース47に格納されている(セ)の情報である。またSADとしてはVPN接続要求装置1の関連としてデータベース47に格納されている(エ)の情報と当該(エ)の情報に基づいた暗号アルゴリズムやVPN有効期間などの情報である。また上述同様にアドレス変換テーブルとは、VPN接続先装置2の配下に接続されている端末5bとVPN接続要求装置1の配下に接続されている端末5aが接続される場合に(その際にVPN接続要求装置1とVPN接続先装置2の間でVPN接続が行なわれる)、端末5bと端末5aが同一ネットワークアドレスとならないよう仮想ネットワークアドレスを割当てる為のテーブルである。また上述同様にDNSテーブルとはVPN接続要求装置1のホスト名や当該VPN接続要求装置1配下の端末5aの端末名からIPアドレスを検索するためのテーブルである。   As described above, the second VPN configuration information is distributed to the VPN connection destination device 2, but the second VPN configuration information mainly includes information on the VPN connection request destination device 1. For example, the SPD is the information of (C) stored in the database 47 as the association with the VPN connection requesting apparatus 1. The SAD is information on (d) stored in the database 47 in association with the VPN connection requesting apparatus 1, and information such as an encryption algorithm based on the information (d) and a VPN validity period. Similarly to the above, the address conversion table is used when the terminal 5b connected under the VPN connection destination device 2 and the terminal 5a connected under the VPN connection requesting device 1 are connected (in this case, the VPN This is a table for assigning a virtual network address so that the terminal 5b and the terminal 5a do not have the same network address). As described above, the DNS table is a table for searching for an IP address from the host name of the VPN connection requesting apparatus 1 and the terminal name of the terminal 5a under the VPN connection requesting apparatus 1.

そして、第1/第2VPN構成情報が生成されると、VPN管理サーバ4のVPN接続用情報配信部46が、認証情報をVPN接続要求装置1へ配信し(ステップS410)、また第1VPN構成情報をVPN接続要求装置1へ配信する(ステップS411)。またVPN接続用情報配信部46は、認証情報をVPN接続先装置2へ配信し(ステップS412)、また第2VPN構成情報をVPN接続先装置2へ配信する(ステップS413)。ここで認証情報とはVPN管理サーバ4が生成した共通鍵であってもよいし、VPN接続の相手側の中継装置(VPN接続要求装置1またはVPN接続先装置2)の公開鍵であってもよい。また認証情報やVPN構成情報は配信される際に暗号通信を利用して送信される。この処理については詳細を後述する。   When the first / second VPN configuration information is generated, the VPN connection information distribution unit 46 of the VPN management server 4 distributes the authentication information to the VPN connection requesting apparatus 1 (step S410), and the first VPN configuration information. Is distributed to the VPN connection requesting apparatus 1 (step S411). The VPN connection information distribution unit 46 distributes the authentication information to the VPN connection destination device 2 (step S412), and distributes the second VPN configuration information to the VPN connection destination device 2 (step S413). Here, the authentication information may be a common key generated by the VPN management server 4 or a public key of a relay device (VPN connection requesting device 1 or VPN connection destination device 2) on the other side of the VPN connection. Good. Authentication information and VPN configuration information are transmitted using encrypted communication when distributed. Details of this process will be described later.

VPN接続要求装置1はVPN管理サーバ4から認証情報と第1VPN構成情報を受信すると、VPN接続要求部13が当該第1VPN構成情報を自装置の記憶部15に格納し(ステップS414)、端末5aに接続設定OKを通知する(ステップS415)。なおVPN接続可否において接続ができないと判定された場合には、その旨がVPN管理サーバ4からVPN接続要求装置1に通知され、VPN接続要求装置1のVPN接続要求部13は端末5aに接続NGを通知する。またVPN接続先装置2においては、VPN管理サーバ4から第2VPN構成情報を受信すると、当該第2VPN構成情報を自装置の記憶部24に格納し、またVPN接続受付部23がVPN接続要求装置1からのVPN接続を待機する。そして、VPN接続要求装置1のVPN接続実行部14が第1VPN構成情報を用いて、またVPN接続先装置2のVPN接続受付部23が第2VPN構成情報を用いて従来と同様の通常のVPN接続の構築の処理を行なう(ステップS417)。以上の処理により、VPN接続管理サーバ4が第1/第2VPN構成情報を生成し、その情報を用いてVPN接続要求装置1とVPN接続先装置2が自動的にVPN接続を行なうので、VPN接続を行なう機器などの設定などが必要なくなり、これにより、管理者などの作業を軽減することができる。   When the VPN connection requesting device 1 receives the authentication information and the first VPN configuration information from the VPN management server 4, the VPN connection requesting unit 13 stores the first VPN configuration information in the storage unit 15 of the own device (step S414), and the terminal 5a. Is notified of the connection setting OK (step S415). If it is determined that connection is not possible due to the availability of VPN connection, the VPN management server 4 notifies the VPN connection requesting device 1 to that effect, and the VPN connection requesting unit 13 of the VPN connection requesting device 1 connects to the terminal 5a NG. To be notified. When the VPN connection destination device 2 receives the second VPN configuration information from the VPN management server 4, the VPN connection destination device 2 stores the second VPN configuration information in the storage unit 24 of the own device, and the VPN connection reception unit 23 receives the VPN connection requesting device 1. Wait for VPN connection from. Then, the VPN connection executing unit 14 of the VPN connection requesting apparatus 1 uses the first VPN configuration information, and the VPN connection accepting unit 23 of the VPN connection destination apparatus 2 uses the second VPN configuration information, so that a normal VPN connection similar to the conventional one is used. Is constructed (step S417). With the above processing, the VPN connection management server 4 generates the first / second VPN configuration information, and the VPN connection requesting device 1 and the VPN connection destination device 2 automatically perform the VPN connection using the information. This eliminates the need for setting up a device for performing the operation, thereby reducing the work of an administrator or the like.

図7はVPN接続の可否判定の処理概要を示す図である。
図7を利用してVPN接続の可否判定処理の詳細について説明する。
上記ステップS408のVPN接続可否の判定において、VPN管理サーバ4のVPN可否判定部44は、(1)VPN接続要求装置1のVPN接続ポリシーの情報とVPN接続先装置2の機器属性情報の比較、(2)VPN接続先装置2のVPN接続ポリシーの情報とVPN接続要求装置1の機器属性情報の比較、(3)VPN接続要求装置1の機器属性情報と基本VPN接続ポリシーとの比較、(4)VPN接続先装置2の機器属性情報と基本VPN接続ポリシーとの比較、の(1)〜(4)の処理を行なう。比較においては、条件が一致した場合にはOK、全ての条件が一致しなかった場合にはNG、一部の条件が一致しなかった場合には不定と判定する。そして、(1)〜(4)の処理の全ての比較において、OKとなった場合にのみVPN接続可であると判定する。また1つでもNGとなった場合にはVPN接続はできないと判断する。また不定の判定が出た場合には、VPN接続先装置2に許可伺い電文を送信し、その電文の中でVPN接続要求装置1の情報を通知する。そして例えば、VPN接続先装置2から判断結果(接続のOK/NG)を受信し、これに基づいて、VPN接続可否判定部44はVPN接続の可否を判定する。なお、上述のVPN接続ポリシーは、データベース47に記録されている(ウ)用途・設置位置・VPN接続ポリシーである。また、機器属性情報とは、データベース47に記録されている(エ)中継装置の種別、中継装置の仕様の情報である。
FIG. 7 is a diagram showing an outline of processing for determining whether or not VPN connection is possible.
Details of the VPN connection availability determination process will be described with reference to FIG.
In the determination of whether or not VPN connection is possible in step S408, the VPN availability determination unit 44 of the VPN management server 4 (1) compares the VPN connection policy information of the VPN connection requesting device 1 and the device attribute information of the VPN connection destination device 2; (2) Comparison of VPN connection policy information of VPN connection destination device 2 and device attribute information of VPN connection requesting device 1, (3) Comparison of device attribute information of VPN connection requesting device 1 and basic VPN connection policy, (4 ) The processing of (1) to (4) of comparison between the device attribute information of the VPN connection destination device 2 and the basic VPN connection policy is performed. In the comparison, it is determined that the conditions are OK, NG is determined if all the conditions are not matched, and NG is determined if some of the conditions are not matched. Then, in all the comparisons of the processes (1) to (4), it is determined that the VPN connection is possible only when the result is OK. If even one of them is NG, it is determined that VPN connection is not possible. If an indefinite determination is made, a permission inquiry message is transmitted to the VPN connection destination device 2, and information on the VPN connection requesting device 1 is notified in the message. For example, a determination result (connection OK / NG) is received from the VPN connection destination device 2, and based on this, the VPN connection availability determination unit 44 determines whether VPN connection is possible. The VPN connection policy described above is (c) usage / installation location / VPN connection policy recorded in the database 47. The device attribute information is (d) relay device type and relay device specification information recorded in the database 47.

図8はVPN構成情報と認証情報を配信する際の処理概要を示す図である。
次に上述のステップS410〜ステップS413において認証情報やVPN構成情報を配信する際の処理概要について詳細に説明する。
認証情報やVPN構成情報は安全のために暗号化して配信される。ここで、VPN管理サーバ4の通信処理部41は、第1/第2VPN構成情報を配信する際には中継装置(VPN接続要求装置1またはVPN接続先装置2)の制御部とSSLの通信を利用する。またそのSSLの通信処理の中において、さらにSM鍵を利用したセキュアメッセージング通信を利用し、中継装置内に備えられたICチップの通信処理部と連携して、認証情報とそのVPNを識別する情報(VPN管理プログラムIDなど)を配信する。これによってVPN管理サーバ4から配信される情報の耐タンパ性を考慮している。
FIG. 8 is a diagram showing an outline of processing when distributing VPN configuration information and authentication information.
Next, an outline of processing when distributing authentication information and VPN configuration information in the above-described steps S410 to S413 will be described in detail.
Authentication information and VPN configuration information are encrypted and distributed for safety. Here, when distributing the first / second VPN configuration information, the communication processing unit 41 of the VPN management server 4 performs SSL communication with the control unit of the relay device (VPN connection requesting device 1 or VPN connection destination device 2). Use. Further, in the SSL communication processing, the secure messaging communication using the SM key is used, and the authentication information and the information for identifying the VPN are linked with the communication processing unit of the IC chip provided in the relay device. (VPN management program ID etc.) is distributed. Thereby, the tamper resistance of information distributed from the VPN management server 4 is taken into consideration.

図9は中継装置のアドレスが変更になった際の処理フローを示す図である。
次に、ステップS417のVPN接続が完了した後に、中継装置のIPアドレスが変更された場合の処理について説明する。何らかの原因により中継装置(VPN接続要求装置1やVPN接続先装置2)の外部(WAN側)のIPアドレスが変更されるとVPN接続は維持できなくなる。従って中継装置の制御部はIPアドレスが変更された場合には、VPN接続を一度切断し、元のIPアドレスと変更後のIPアドレスをVPN管理サーバ4に通知する(A)。VPN管理サーバ4のVPN接続要求受付部43は受信した元のIPアドレスに基づいて、データベース47を検索し、IPアドレスが変更された中継装置を特定する。そして、VPN管理サーバ4のVPN接続要求受付部43は、データベース47で保持している中継装置のIPアドレスの情報を変更後のIPアドレスの情報へ書き換える(B)。またVPN接続要求受付部43は中継装置に対して、切断したVPN接続に利用していたVPN構成情報の削除要求を中継装置に通知する。中継装置では制御部がVPN構成情報を削除する。そして中継装置は削除完了の情報をVPN接続管理サーバ4へ通知する。VPN管理サーバ4では、VPN構成情報生成部45が新たに切断されたVPN接続におけるVPN接続要求装置1とVPN接続先装置2の情報をデータベース47から読み取って、上記ステップS409同様に第1/第2VPN構成情報を生成する(C)。そして、VPN接続用情報配信部46がそれぞれのVPN構成情報をVPN接続要求装置1とVPN接続先装置2へ配信して、これにより新たなVPN接続が処理される(D)。つまり、この処理によれば、中継装置のIPアドレスが変更された場合にも、管理者などがVPNの再設定をすることなく自動的にVPNの再接続が行なわれる。従って管理者などの労力を軽減することができる。
FIG. 9 is a diagram showing a processing flow when the address of the relay apparatus is changed.
Next, a process when the IP address of the relay apparatus is changed after the VPN connection in step S417 is completed will be described. If the external (WAN side) IP address of the relay device (VPN connection requesting device 1 or VPN connection destination device 2) is changed for some reason, the VPN connection cannot be maintained. Therefore, when the IP address is changed, the control unit of the relay apparatus disconnects the VPN connection once and notifies the VPN management server 4 of the original IP address and the changed IP address (A). The VPN connection request accepting unit 43 of the VPN management server 4 searches the database 47 based on the received original IP address, and identifies the relay device whose IP address has been changed. Then, the VPN connection request accepting unit 43 of the VPN management server 4 rewrites the IP address information of the relay device held in the database 47 to the changed IP address information (B). In addition, the VPN connection request receiving unit 43 notifies the relay device of a request for deleting the VPN configuration information used for the disconnected VPN connection. In the relay device, the control unit deletes the VPN configuration information. Then, the relay device notifies the VPN connection management server 4 of deletion completion information. In the VPN management server 4, the VPN configuration information generation unit 45 reads the information of the VPN connection requesting device 1 and the VPN connection destination device 2 in the newly disconnected VPN connection from the database 47, and the first / first as in step S 409. 2VPN configuration information is generated (C). Then, the VPN connection information distribution unit 46 distributes the respective VPN configuration information to the VPN connection requesting apparatus 1 and the VPN connection destination apparatus 2, thereby processing a new VPN connection (D). That is, according to this process, even when the IP address of the relay device is changed, the VPN reconnection is automatically performed without the administrator or the like resetting the VPN. Therefore, labor of an administrator etc. can be reduced.

図10はアドレス変換テーブルの概要を示す図である。
次に図10を用いて、VPN構成情報に含まれるアドレス変換テーブルを用いてVPN接続する際の処理について詳細に説明する。上述したようにVPN構成情報にはアドレス変換テーブルが含まれる。そして、このアドレス変換テーブルはVPN管理サーバ4のVPN構成情報生成部45が生成したものである。VPN構成情報生成部45は、VPN接続要求装置1の配下にネットワーク接続されている各装置のIPアドレスと、VPN接続先装置2の配下にネットワーク接続されている各装置のIPアドレスを、データベース47に記録されている(セ)<中継装置のWAN側のIPアドレス,中継装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス>の情報から読み取る。そして、VPN接続要求装置1の配下にネットワーク接続されている各装置のIPアドレスと、VPN接続先装置2の配下にネットワーク接続されている各装置のIPアドレスとを比較して、同一のIPアドレスがある場合には、その装置の仮想IPアドレスを生成して、実IPアドレスと仮想IPアドレスとを対応付けたアドレス変換テーブルを生成する。なおこの時アドレスのネットマスクの情報なども考慮に入れて、VPN接続要求装置1の配下にネットワーク接続されている各装置と、VPN接続先装置2の配下にネットワーク接続されている各装置が通信できるような統一的なネットワークアドレスを仮想IPアドレスとするようにしてもよい。
FIG. 10 is a diagram showing an outline of the address conversion table.
Next, with reference to FIG. 10, a detailed description will be given of processing when performing VPN connection using the address conversion table included in the VPN configuration information. As described above, the VPN configuration information includes an address conversion table. This address conversion table is generated by the VPN configuration information generation unit 45 of the VPN management server 4. The VPN configuration information generation unit 45 stores the IP address of each device connected to the network under the VPN connection requesting device 1 and the IP address of each device connected to the network under the VPN connection destination device 2 in the database 47. Is recorded from the information of (cell) <IP address on the WAN side of the relay device, IP address of each device (terminal or server) connected to the network under the relay device>. Then, the IP address of each device connected to the network under the VPN connection requesting device 1 is compared with the IP address of each device connected to the network under the VPN connection destination device 2 to obtain the same IP address. If there is, a virtual IP address of the device is generated, and an address conversion table in which the real IP address is associated with the virtual IP address is generated. At this time, taking into account information such as the netmask of the address, each device connected to the network under the VPN connection requesting device 1 and each device connected to the network under the VPN connection destination device 2 communicate with each other. A uniform network address that can be used may be used as a virtual IP address.

次に、VPN管理サーバ4のVPN接続用情報配信部46は、VPN接続要求装置1には、当該VPN接続要求装置1の配下に接続された各装置の実IPアドレスと仮想IPアドレスを対応付けたアドレス変換テーブルを第1VPN構成情報に保持させて配信し、またVPN接続先装置2には、当該VPN接続先装置2の配下に接続された各装置の実IPアドレスと仮想IPアドレスを対応付けたアドレス変換テーブルを第2VPN構成情報に保持させて配信する。   Next, the VPN connection information distribution unit 46 of the VPN management server 4 associates the VPN connection requesting device 1 with the real IP address and virtual IP address of each device connected under the VPN connection requesting device 1. The first VPN configuration information is held and distributed, and the VPN connection destination device 2 is associated with the real IP address and virtual IP address of each device connected under the VPN connection destination device 2 The address translation table stored in the second VPN configuration information is distributed.

そして、VPN接続要求装置1やVPN接続先装置2は、VPN接続している通信間に通信データを送出する前に、自装置の配下に接続されている端末などから受信したデータにおいて、端末の実IPアドレスをアドレス変換テーブルに記載されている仮想IPアドレスに書き換えて、カプセリング処理を行ない、相手側のVPN接続先装置2またはVPN接続要求装置1へ通信データを送出する。これにより、VPN接続要求装置1の配下に接続された端末とVPN接続先装置2の配下に接続された端末のネットワークアドレスが同一である場合や、ネットマスクが異なる場合などに、ネットワークアドレスの整合を取るような作業をしなくても、自動的にVPN接続を行なうことができるようになる。   The VPN connection requesting device 1 and the VPN connection destination device 2 use the data received from the terminal connected to their own device before sending the communication data during the VPN-connected communication. The real IP address is rewritten to the virtual IP address described in the address conversion table, the encapsulation process is performed, and the communication data is transmitted to the VPN connection destination device 2 or the VPN connection requesting device 1 on the other side. Thereby, when the network address of the terminal connected under the VPN connection requesting device 1 and the terminal connected under the VPN connection destination device 2 are the same, or when the netmask is different, the network address is matched. The VPN connection can be automatically made without performing the work of taking the steps.

図11はVPN切断時の処理フローを示す図である。
次に図11を用いて、ユーザがVPN切断を要求する際の処理について説明する。
まず、ユーザが端末を用いてVPN切断要求を登録すると、VPN接続要求装置1はVPN管理サーバ4に認証を依頼し(ステップS501)、当該認証がOKの場合にはその旨が端末5aに通知される(ステップS502)。そしてユーザが画面においてVPN切断を選択すると、それがVPN接続要求装置1に通知され、また当該VPN接続要求装置1からVPN管理サーバ4に通知される(ステップS503)。VPN管理サーバ4では、VPN接続先装置2の認証を行なう(ステップS504)。そして、認証情報を削除するようVPN接続要求装置1に通知する(ステップS505)。またVPN管理サーバ4はVPN接続先装置2にも認証情報を削除するよう通知する(ステップS506)。そして、VPN接続要求装置1とVPN接続先装置2は認証情報を削除して、VPN接続の切断を処理する(ステップS507)。これによりVPN接続の切断が終了する。
FIG. 11 is a diagram showing a processing flow at the time of VPN disconnection.
Next, processing when a user requests VPN disconnection will be described using FIG.
First, when a user registers a VPN disconnection request using a terminal, the VPN connection requesting apparatus 1 requests authentication from the VPN management server 4 (step S501), and if the authentication is OK, notifies the terminal 5a to that effect. (Step S502). When the user selects VPN disconnection on the screen, this is notified to the VPN connection requesting apparatus 1 and from the VPN connection requesting apparatus 1 to the VPN management server 4 (step S503). The VPN management server 4 authenticates the VPN connection destination device 2 (step S504). Then, the VPN connection requesting apparatus 1 is notified to delete the authentication information (step S505). The VPN management server 4 also notifies the VPN connection destination device 2 to delete the authentication information (step S506). Then, the VPN connection requesting device 1 and the VPN connection destination device 2 delete the authentication information and process the disconnection of the VPN connection (step S507). Thereby, the disconnection of the VPN connection is completed.

図12はVPN接続監視の処理フローを示す図である。
次に図12を用いてVPN管理サーバ4がVPN接続を監視する際の処理について説明する。VPN管理サーバ4の監視処理部は、VPN接続要求装置1やVPN接続先装置2を常時監視する。図12に示すようにウォッチドッグ・パケットの要求をVPN管理サーバ4がVPN接続要求装置1やVPN接続先装置2などの中継装置へ送信し、ウォッチドッグ・パケットの応答を中継装置がVPN管理サーバ4へ送信する。VPN管理サーバ4の監視処理部は、ウォッチドッグ・パケットの応答が所定の時間返されてこない場合などには、VPN接続要求装置1やVPN接続先装置2が電源断、またはダウンしたと判断する。そして、VPN構成情報を変更する。また、VPN接続要求装置1やVPN接続先装置2から状態の通知を受けて、これに基づいてもVPN構成情報を変更する。
FIG. 12 is a diagram showing a process flow of VPN connection monitoring.
Next, processing when the VPN management server 4 monitors the VPN connection will be described with reference to FIG. The monitoring processing unit of the VPN management server 4 constantly monitors the VPN connection requesting device 1 and the VPN connection destination device 2. As shown in FIG. 12, the VPN management server 4 sends a watchdog packet request to a relay device such as the VPN connection requesting device 1 or the VPN connection destination device 2, and the relay device sends a watchdog packet response to the VPN management server. 4 to send. The monitoring processing unit of the VPN management server 4 determines that the VPN connection requesting device 1 and the VPN connection destination device 2 are powered off or down when the response of the watchdog packet is not returned for a predetermined time. . Then, the VPN configuration information is changed. In addition, the VPN configuration information is changed based on the notification of the state from the VPN connection requesting device 1 or the VPN connection destination device 2.

なお上述の各装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。また上記「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。   Each of the above devices has a computer system inside. The process described above is stored in a computer-readable recording medium in the form of a program, and the above process is performed by the computer reading and executing this program. Here, the computer-readable recording medium means a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, or the like. Alternatively, the computer program may be distributed to the computer via a communication line, and the computer that has received the distribution may execute the program. The “computer system” includes a WWW system having a homepage providing environment (or display environment).

また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。   The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

本発明の一実施形態によるVPN接続構築システムの概要を示すブロック図である。It is a block diagram which shows the outline | summary of the VPN connection construction system by one Embodiment of this invention. 本発明の一実施形態によるVPN接続構築システムを構成する各装置の機能ブロックを示す図である。It is a figure which shows the functional block of each apparatus which comprises the VPN connection construction system by one Embodiment of this invention. 本発明の一実施形態による中継装置を機器管理サーバに登録する際の処理フローを示す図である。It is a figure which shows the processing flow at the time of registering the relay apparatus by one Embodiment of this invention with an apparatus management server. 本発明の一実施形態による中継装置のVPN接続管理サーバへの登録の処理フローを示す図である。It is a figure which shows the processing flow of registration to the VPN connection management server of the relay apparatus by one Embodiment of this invention. 本発明の一実施形態によるVPN管理サーバへのユーザ登録の処理フローを示す図である。It is a figure which shows the processing flow of the user registration to the VPN management server by one Embodiment of this invention. 本発明の一実施形態によるVPN接続の処理フローを示す図である。It is a figure which shows the processing flow of the VPN connection by one Embodiment of this invention. 本発明の一実施形態によるVPN接続の可否判定の処理概要を示す図である。It is a figure which shows the process outline | summary of the possibility determination of VPN connection by one Embodiment of this invention. 本発明の一実施形態によるVPN構成情報と認証情報を配信する際の処理概要を示す図である。It is a figure which shows the process outline | summary at the time of distributing VPN structure information and authentication information by one Embodiment of this invention. 本発明の一実施形態による中継装置のアドレスが変更になった際の処理フローを示す図である。It is a figure which shows the processing flow when the address of the relay apparatus by one Embodiment of this invention is changed. 本発明の一実施形態によるアドレス変換テーブルの概要を示す図である。It is a figure which shows the outline | summary of the address conversion table by one Embodiment of this invention. 本発明の一実施形態によるVPN切断時の処理フローを示す図である。It is a figure which shows the processing flow at the time of VPN cutting | disconnection by one Embodiment of this invention. 本発明の一実施形態によるVPN接続監視の処理フローを示す図である。It is a figure which shows the processing flow of VPN connection monitoring by one Embodiment of this invention.

符号の説明Explanation of symbols

1・・・VPN接続要求装置
2・・・VPN接続先装置
3・・・機器管理サーバ
4・・・VPN管理サーバ
5a,5b・・・端末
DESCRIPTION OF SYMBOLS 1 ... VPN connection request apparatus 2 ... VPN connection destination apparatus 3 ... Equipment management server 4 ... VPN management server 5a, 5b ... Terminal

Claims (4)

VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムであって、
前記VPN接続管理装置が、
前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信手段と、
前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定手段と、
前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成手段と、
前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信手段とを備え、
前記VPN接続要求装置が、
前記接続要求を前記VPN接続管理装置へ送信する接続要求手段と、
前記第1VPN構成情報の示すVPN接続先装置のネットワーク情報と認証情報を利用して前記VPN接続先装置とのVPN接続の構築の処理を行なうVPN接続実行手段とを備え、
前記VPN接続先装置が、
前記第2VPN構成情報の示すVPN接続要求装置のネットワーク情報と認証情報を利用して、前記VPN接続要求装置から受付けたVPN接続の構築を処理するVPN接続受付手段とを備え
前記VPN接続要求装置または前記VPN接続先装置の両方が、
自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、
前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、
前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備え、
前記VPN接続管理装置が、さらに、
前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段と、
ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信手段と、
前記ネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更手段とを備え、
前記VPN構成情報生成手段が、
前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成し、
前記VPN構成情報配信手段が、
前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なう
ことを特徴とするVPN接続構築システム。
A VPN connection construction system comprising a VPN connection request device, a VPN connection destination device, and a VPN connection management device,
The VPN connection management device is
A connection request receiving means for receiving a connection request to the VPN connection destination device from the VPN connection requesting device;
Based on the comparison between the device attribute information of the VPN connection requesting device and the VPN connection destination device and predetermined policy information stored in advance, whether or not VPN connection between the VPN connection requesting device and the VPN connection destination device is possible is determined. VPN connection availability determination means for determining;
Only when it is determined that VPN connection is possible in the determination of whether or not VPN connection is possible, the VPN connection requesting device determines whether the VPN connection to the VPN connection destination device is based on the network information of the VPN connection destination device stored in advance. First VPN configuration information used at the time of construction is generated, and used at the time of construction of a VPN connection requested by the VPN connection destination device from the VPN connection request device based on the network information of the VPN connection request device stored in advance. VPN configuration information generating means for generating second VPN configuration information
VPN configuration information distribution means for distributing the first VPN configuration information to the VPN connection requesting device and distributing the second VPN configuration information to the VPN connection destination device,
The VPN connection requesting device is
Connection request means for transmitting the connection request to the VPN connection management device;
VPN connection executing means for performing processing for establishing a VPN connection with the VPN connection destination device using network information and authentication information of the VPN connection destination device indicated by the first VPN configuration information,
The VPN connection destination device is
VPN connection accepting means for processing construction of a VPN connection accepted from the VPN connection requesting device using network information and authentication information of the VPN connection requesting device indicated by the second VPN configuration information ,
Both the VPN connection requesting device or the VPN connection destination device
VPN connection disconnecting means for disconnecting the VPN connection when the network address of its own device is changed;
An after-change address notification means for transmitting the changed network address to the VPN connection management device;
VPN reconnection means for performing automatic processing for constructing a new VPN connection using the VPN configuration information transmitted from the VPN connection management device after the VPN disconnection,
The VPN connection management device further comprises:
Network address storage means for storing the identification information and network address information of each of the VPN connection requesting device and the VPN connection destination device in association with each other;
A changed address receiving means for receiving the changed network address from either the VPN connection requesting device or the VPN connection destination device whose network address has been changed;
The network address storage means includes network address changing means for changing the network address of the VPN connection requesting device or the VPN connection destination device that has transmitted the changed network address to the received changed network address. ,
The VPN configuration information generating means is
Based on the network information including the changed network address and the authentication information, new first VPN configuration information and second VPN configuration information are generated,
The VPN configuration information distribution means includes:
Distributing the new first VPN configuration information to a VPN connection requesting device that has disconnected the VPN connection, or distributing the new second VPN configuration information to a VPN connection destination device that has disconnected the VPN connection , VPN connection construction system.
前記VPN接続管理装置が、
前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続要求装置から受信し、また前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続先装置から受信する、配下端末アドレス受信手段と、
前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第1仮想アドレス変換テーブル生成手段と、
前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第2仮想アドレス変換テーブル生成手段と、
前記第1仮想アドレス変換テーブルを前記VPN接続要求装置へ配信し、前記第2仮想アドレス変換テーブルを前記VPN接続先装置へ配信する、仮想アドレス変換テーブル配信手段とを備え、
接続要求が前記VPN接続要求装置のネットワーク配下に接続された接続要求側端末と前記VPN接続先装置のネットワーク配下に接続された接続先側端末との間のVPN接続の要求を示す場合に、
前記VPN接続要求装置の前記VPN接続実行手段は、
前記接続要求側端末から送信された通信情報に含まれる当該接続要求側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第1仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理し、
前記VPN接続先装置の前記VPN接続受付手段は、
前記接続先側端末から送信された通信情報に含まれる当該接続先側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第2仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理する
ことを特徴とする請求項1記載のVPN接続構築システム。
The VPN connection management device is
A network address of a terminal connected under the network of the VPN connection requesting device is received in advance from the VPN connection requesting device, and a network address of a terminal connected under the network of the VPN connection destination device is previously received as the VPN connection destination. Subordinate terminal address receiving means for receiving from the device,
A virtual network address that can be communicated with the network address of the terminal connected under the network of the VPN connection destination device is stored in association with the network address of the terminal connected under the network of the VPN connection requesting device. 1 virtual address conversion table generating means;
A virtual network address that can communicate with a network address of a terminal connected under the network of the VPN connection requesting device is stored in association with a network address of a terminal connected under the network of the VPN connection destination device. 2 virtual address conversion table generating means;
Virtual address translation table delivery means for delivering the first virtual address translation table to the VPN connection requesting device and delivering the second virtual address translation table to the VPN connection destination device;
When the connection request indicates a VPN connection request between the connection request side terminal connected under the network of the VPN connection requesting device and the connection destination side terminal connected under the network of the VPN connection destination device,
The VPN connection execution means of the VPN connection requesting device is:
Replacing the network address of the connection requesting terminal included in the communication information transmitted from the connection requesting terminal with the virtual network address associated with the network address and recorded in the first virtual address conversion table , Encrypting the communication information based on predetermined encryption information, using the external network address of its own device, processing the VPN connection,
The VPN connection accepting means of the VPN connection destination device is:
The network address of the connection destination side terminal included in the communication information transmitted from the connection destination side terminal is replaced with the virtual network address associated with the network address and recorded in the second virtual address conversion table. , the communication information is encrypted based on a predetermined encryption information, using the external network address of the device, VPN connection construction system of claim 1, wherein the processing the VPN connection.
前記VPN接続可否判定手段は、
前記装置属性情報と前記ポリシー情報とが合致しない前記VPN接続要求装置または前記VPN接続先装置に、判定伺い情報を送信し、当該判定伺い情報を受信した前記VPN接続要求装置または前記VPN接続先装置の両方から、接続可を示す情報を受信した場合にのみ、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続を可と判定する
ことを特徴とする請求項1または請求項2に記載のVPN接続構築システム。
The VPN connection availability determination means includes:
The VPN connection requesting device or the VPN connection destination device that has transmitted the determination inquiry information to the VPN connection requesting device or the VPN connection destination device in which the device attribute information and the policy information do not match, and has received the determination inquiry information. from both, only when receiving the information indicating the connectable to claim 1 or claim 2, wherein the determining the variable a VPN connection between the VPN connection request device and the VPN connection destination device The VPN connection construction system described.
VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなり、
前記VPN接続要求装置または前記VPN接続先装置の両方が、
自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、
前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、
前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備えるVPN接続構築システム内の、
前記VPN接続管理装置のコンピュータに実行させるプログラムであって、
前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信処理と、
前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定処理と、
前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成処理と、
前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信処理と、
ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信処理と、
前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更処理と、
をコンピュータに実行させ、
さらに、
前記VPN構成情報生成処理において、前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成する処理と、
前記VPN構成情報配信処理において、前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なう処理と、
をコンピュータに実行させるプログラム。
Ri Do from the VPN connection request apparatus and the VPN connection destination apparatus and the VPN connection management device,
Both the VPN connection requesting device or the VPN connection destination device
VPN connection disconnecting means for disconnecting the VPN connection when the network address of its own device is changed;
An after-change address notification means for transmitting the changed network address to the VPN connection management device;
In a VPN connection construction system comprising a VPN reconnection means for performing automatic processing for constructing a new VPN connection using the VPN configuration information transmitted from the VPN connection management device after the VPN disconnection ,
A program to be executed by a computer of the VPN connection management device,
A connection request reception process for receiving a connection request to the VPN connection destination device from the VPN connection request device;
Based on the comparison between the device attribute information of the VPN connection requesting device and the VPN connection destination device and predetermined policy information stored in advance, whether or not VPN connection between the VPN connection requesting device and the VPN connection destination device is possible is determined. VPN connection availability determination processing for determining,
Only when it is determined that VPN connection is possible in the determination of whether or not VPN connection is possible, the VPN connection requesting device determines whether the VPN connection to the VPN connection destination device is based on the network information of the VPN connection destination device stored in advance. First VPN configuration information used at the time of construction is generated, and used at the time of construction of a VPN connection requested by the VPN connection destination device from the VPN connection request device based on the network information of the VPN connection request device stored in advance. Generating VPN configuration information to generate VPN configuration information,
A VPN configuration information distribution process for distributing the first VPN configuration information to the VPN connection requesting device and distributing the second VPN configuration information to the VPN connection destination device;
A post-change address receiving process for receiving the changed network address from either the VPN connection requesting device or the VPN connection destination device whose network address has been changed;
In the network address storage means for storing the identification information and network address information of each of the VPN connection requesting device and the VPN connection destination device in association with each other, the VPN connection requesting device or the VPN connection that has transmitted the changed network address A network address change process for changing the network address of the destination device to the received changed network address;
To the computer,
further,
In the VPN configuration information generation process, a process of generating new first VPN configuration information and second VPN configuration information based on the network information including the changed network address and the authentication information;
In the VPN configuration information distribution process, the distribution of the new first VPN configuration information to the VPN connection requesting device that has disconnected the VPN connection or the new second VPN configuration information to the VPN connection destination device that has disconnected the VPN connection. The process of delivering
A program that causes a computer to execute.
JP2004354632A 2004-12-07 2004-12-07 VPN connection construction system Active JP4339234B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004354632A JP4339234B2 (en) 2004-12-07 2004-12-07 VPN connection construction system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004354632A JP4339234B2 (en) 2004-12-07 2004-12-07 VPN connection construction system

Publications (2)

Publication Number Publication Date
JP2006166028A JP2006166028A (en) 2006-06-22
JP4339234B2 true JP4339234B2 (en) 2009-10-07

Family

ID=36667531

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004354632A Active JP4339234B2 (en) 2004-12-07 2004-12-07 VPN connection construction system

Country Status (1)

Country Link
JP (1) JP4339234B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105144642A (en) * 2013-03-18 2015-12-09 雅马哈株式会社 DNS server device, network machine, communication system, and communication method
US10736178B2 (en) 2017-09-27 2020-08-04 Grand Mate Co., Ltd. Connection method for wireless system

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4549180B2 (en) * 2004-12-27 2010-09-22 富士通株式会社 VPN network relay device
EP2058748A1 (en) * 2006-08-31 2009-05-13 Fujitsu Limited Network connected terminal device authenticating method, network connected terminal device authenticating program and network connected terminal device authenticating apparatus
JP4641301B2 (en) * 2006-10-11 2011-03-02 日本電信電話株式会社 Connection control device, connection control method, and connection control program
KR101463404B1 (en) * 2006-10-13 2014-11-19 쿼파 홀딩스 리미티드 A private network system and method
CN101918926B (en) * 2007-10-24 2013-05-01 乔纳森·彼得·多伊奇 Various methods and apparatuses for accessing networked devices without accessible addresses via virtual IP addresses
JP5239369B2 (en) * 2008-02-07 2013-07-17 富士通株式会社 Connection management system, connection management server, connection management method and program
JP5131118B2 (en) * 2008-09-24 2013-01-30 富士ゼロックス株式会社 Communication system, management device, relay device, and program
US8201237B1 (en) 2008-12-10 2012-06-12 Amazon Technologies, Inc. Establishing secure remote access to private computer networks
US9524167B1 (en) 2008-12-10 2016-12-20 Amazon Technologies, Inc. Providing location-specific network access to remote services
US9137209B1 (en) 2008-12-10 2015-09-15 Amazon Technologies, Inc. Providing local secure network access to remote services
US8230050B1 (en) 2008-12-10 2012-07-24 Amazon Technologies, Inc. Providing access to configurable private computer networks
JP4750869B2 (en) * 2009-03-30 2011-08-17 セコム株式会社 Communication control device and monitoring device
JP5206720B2 (en) * 2010-03-29 2013-06-12 ブラザー工業株式会社 VPN router, communication system and communication program
JP4721082B1 (en) * 2010-09-28 2011-07-13 株式会社Csk VPN connection system
JP5279860B2 (en) * 2011-03-25 2013-09-04 株式会社東芝 Server apparatus and node connection management method
US9825759B2 (en) 2013-07-08 2017-11-21 Alcatel Lucent Secure service management in a communication network
JP2015167295A (en) * 2014-03-03 2015-09-24 株式会社ネットリソースマネジメント System and method for vpn connection
US20180123895A1 (en) * 2015-03-19 2018-05-03 Zte Corporation Method and system for establishing and managing multi-domain virtual topology (mdvt)
WO2018003919A1 (en) 2016-06-29 2018-01-04 株式会社プロスパークリエイティブ Communications system, communications device used in same, management device, and information terminal
WO2020050243A1 (en) * 2018-09-03 2020-03-12 日本電気株式会社 Communication system and setting change method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105144642A (en) * 2013-03-18 2015-12-09 雅马哈株式会社 DNS server device, network machine, communication system, and communication method
CN105144642B (en) * 2013-03-18 2018-06-15 雅马哈株式会社 Dns server device, net machine, communication system and communication means
US10736178B2 (en) 2017-09-27 2020-08-04 Grand Mate Co., Ltd. Connection method for wireless system

Also Published As

Publication number Publication date
JP2006166028A (en) 2006-06-22

Similar Documents

Publication Publication Date Title
JP4339234B2 (en) VPN connection construction system
TWI312631B (en)
TWI248273B (en) Network connection system and connection method using the same, authentication server, client apparatus and connection server
CN100571127C (en) Be used for the more system and method for new access point connection password
JP4657619B2 (en) Information processing apparatus and access right management method
JP5494816B2 (en) COMMUNICATION CONTROL DEVICE, SYSTEM, METHOD, AND PROGRAM
JP4252620B1 (en) Server certificate issuing system
KR101202671B1 (en) Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal
KR100950833B1 (en) Encryption communication method with computer system, and communication system
US20060126603A1 (en) Information terminal remote operation system, remote access terminal, gateway server, information terminal control apparatus, information terminal apparatus, and remote operation method therefor
JP2003233589A (en) Method for safely sharing personal devices among different users
JP2005223892A (en) Digital certificate revocation method, digital certificate revocation apparatus, digital certificate revocation system, program and recording medium
JP2016063417A (en) Vpn access control system, operation method therefor, program, vpn router and server
JP2012137975A (en) Relay processor, control method for the same and program
TWI242968B (en) System for establishing and regulating connectivity from a user&#39;s computer
US20140108783A1 (en) Virtual network building system, virtual network building method, small terminal, and authentication server
JP2007281622A (en) Electronic mail system, and electronic mail relaying apparatus, method, and program
JP5012574B2 (en) Common key automatic sharing system and common key automatic sharing method
JP2005286783A (en) Wireless lan connection method and wireless lan client software
JP5254909B2 (en) Setting information distribution system, setting information distribution method, distribution server, and distribution server program
JP2012064007A (en) Information processor, communication relay method and program
JP3731645B2 (en) Agent method and computer system
JP4915463B2 (en) Information processing device
JP3974128B2 (en) Data transfer method and data transfer system
JP3741963B2 (en) Data delivery method and apparatus, program, and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070320

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090601

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090623

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090701

R150 Certificate of patent or registration of utility model

Ref document number: 4339234

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120710

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120710

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130710

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350