JP4878043B2 - Access control system, connection control device, and connection control method - Google Patents
Access control system, connection control device, and connection control method Download PDFInfo
- Publication number
- JP4878043B2 JP4878043B2 JP2008205555A JP2008205555A JP4878043B2 JP 4878043 B2 JP4878043 B2 JP 4878043B2 JP 2008205555 A JP2008205555 A JP 2008205555A JP 2008205555 A JP2008205555 A JP 2008205555A JP 4878043 B2 JP4878043 B2 JP 4878043B2
- Authority
- JP
- Japan
- Prior art keywords
- access control
- user
- user terminal
- file server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
この発明は、利用者端末がアクセスするリソースを保持するファイルサーバと、前記利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システム、接続制御装置および接続制御方法に関する。 The present invention relates to an access control system comprising: a file server that holds resources accessed by a user terminal; and a connection control device that connects the user terminal and a network to which the file server belongs via a virtual communication path. The present invention relates to a connection control device and a connection control method.
従来より、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)などの各種ネットワークや、持ち運びが容易なノートパソコンが普及してきたことにより、会社のLAN内にあるファイルサーバを会社外からアクセスすることのできるファイル共有環境が求められている。 Conventionally, various types of networks such as the Internet, LAN (Local Area Network), and WAN (Wide Area Network), and laptop computers that are easy to carry, have become popular. There is a need for a file sharing environment that can do this.
このようなファイル共有環境を実現する手法として、最近では、HTTP(Hypertext Transfer Protocol)を拡張したWebDAV(Web-based Distributed Authoring and Versioning)が利用され始めている。 Recently, WebDAV (Web-based Distributed Authoring and Versioning), which is an extension of HTTP (Hypertext Transfer Protocol), has begun to be used as a method for realizing such a file sharing environment.
このWebDAVは、Webサーバ(ファイルサーバ)上のファイル管理を目的とした分散ファイルシステムを実現するRFC4918に定義されたプロトコルであり、FTP(File Transfer Protocol)といったファイル転送用のプロトコルを用いることなく、Webサーバ上でファイルやコンテンツの更新、削除、取得などを行うことができる。 This WebDAV is a protocol defined in RFC4918 that realizes a distributed file system for the purpose of file management on a Web server (file server), and without using a file transfer protocol such as FTP (File Transfer Protocol). Update, deletion, acquisition, etc. of files and contents can be performed on the Web server.
このように、インターネットを介してLAN内のファイルサーバなどに容易にアクセスできるような環境が普及すると、悪意のある第三者による不正なアクセスを原因としたファイルや機密情報などが漏洩する問題が発生する。 As described above, when an environment in which a file server in a LAN can be easily accessed via the Internet becomes widespread, there is a problem that files or confidential information leaked due to unauthorized access by a malicious third party. appear.
そこで、最近では、上記したWebDAVとSSL−VPN(Secure Socket Layer−Virtual Private Network)とを組み合わせることにより、悪意のある第三者によるアクセスを拒否するセキュリティの高いファイル共有環境の実現手法が開示されている(例えば、非特許文献1参照)。 Therefore, recently, a method for realizing a high-security file sharing environment that denies access by a malicious third party by combining the above-described WebDAV and SSL-VPN (Secure Socket Layer-Virtual Private Network) has been disclosed. (For example, refer nonpatent literature 1).
しかしながら、上記した従来の技術は、VPN接続を行った後、WebDAVを用いてファイルサーバのリソースにアクセスするのに際して、「ユーザID」と「パスワード」を入力するユーザ認証が必要であり、ユーザは、VPN接続を行うための認証と、ファイルサーバへアクセスするための認証との二つの認証を実行した後でしか、ファイルサーバのリソースへアクセスすることができないので、セキュリティは向上するものの、ユーザの利便性が悪いという課題があった。 However, the above-described conventional technology requires user authentication to input a “user ID” and a “password” when accessing a file server resource using WebDAV after performing a VPN connection. Since the access to the file server resource can be accessed only after executing the authentication for performing the VPN connection and the authentication for accessing the file server, the security of the user is improved. There was a problem that convenience was bad.
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能であるアクセス制御システム、接続制御装置および接続制御方法を提供することを目的とする。 Therefore, the present invention has been made to solve the above-described problems of the prior art, and an access control system, a connection control device, and a connection that can improve user convenience while improving security. An object is to provide a control method.
上述した課題を解決し、目的を達成するため、本発明は、利用者端末がアクセスするリソースを保持するファイルサーバと、前記利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システムであって、前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成するアクセス制御情報作成手段と、前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成手段と、前記アクセス制御情報作成手段により作成されたアクセス制御情報に従って、前記リソース生成手段により生成されたリソースへのアクセス制御を行うアクセス制御手段と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention provides a virtual communication between a file server holding resources accessed by a user terminal and a network to which the user terminal and the file server belong. An access control system having a connection control device connected by a route, wherein the user is based on identification information for identifying a user of the user terminal obtained when the virtual communication route is connected Corresponding to the user of the user terminal based on the access control information creating means for creating access control information indicating information for controlling the access of the terminal and identification information for identifying the user of the user terminal The resource generation means for generating resources on the file server and the access control information created by the access control information creation means And access control means for controlling access to resources that are generated by over scan generation means, characterized by comprising a.
本発明によれば、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能である。 According to the present invention, it is possible to improve user convenience while improving security.
以下に添付図面を参照して、この発明に係るアクセス制御システム、接続制御装置および接続制御方法の実施例を詳細に説明する。なお、以下では、本実施例に係るアクセス制御システムの概要、アクセス制御システムの構成および処理の流れを順に説明し、最後に本実施例に対する種々の変形例を説明する。 Exemplary embodiments of an access control system, a connection control device, and a connection control method according to the present invention will be explained below in detail with reference to the accompanying drawings. In the following, the outline of the access control system according to the present embodiment, the configuration of the access control system, and the flow of processing will be described in order, and finally various modifications to the present embodiment will be described.
[アクセス制御システムの概要]
最初に、図1を用いて、実施例1に係るアクセス制御システムの概要を説明する。図1は、実施例1に係るアクセス制御システムの全体構成を示すシステム構成図である。
[Outline of access control system]
First, the outline of the access control system according to the first embodiment will be described with reference to FIG. FIG. 1 is a system configuration diagram illustrating the overall configuration of the access control system according to the first embodiment.
図1に示すように、実施例1に係るアクセス制御システムは、社員宅端末がアクセスするリソースを保持するファイルサーバと、社員宅端末との間を仮想的な通信路(VPN)で接続するVPN装置とを有し、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能である。 As shown in FIG. 1, the access control system according to the first embodiment is a VPN that connects a file server holding resources accessed by an employee home terminal and the employee home terminal via a virtual communication path (VPN). It is possible to improve user convenience while improving security.
具体的には、このアクセス制御システムでは、当該会社の社員である「鈴木(suzuki)」と「田中(tanaka)」とは自宅にいてインターネット常時接続サービスを利用しており、社内LANには、インターネットとイントラネットに接続されるVPN装置とイントラネット内にファイルサーバとを有する。なお、ここでは、VPN装置とファイルサーバとが別の筐体で実現されている例を図示しているが、同じ筐体で実現されていてもよい。 Specifically, in this access control system, “suzuki” and “tanaka” who are employees of the company are at home and always use the Internet connection service. A VPN apparatus connected to the Internet and the intranet, and a file server in the intranet. Note that, here, an example in which the VPN device and the file server are realized in different housings is shown, but they may be realized in the same housing.
また、各社員宅と会社LANとは、異なるネットワークであり、ルータを介したインターネットで接続されている。もっとも、ここで示した各社員宅はあくまで例示であり、これに限定されるものではなく、他の社員も同様に接続されている。なお、VPN接続では、一般的にはVPN接続と同様、アクセスが登録されているユーザであるか(VPN接続を許可することができるユーザであるか)否かを認証する認証処理が実行されるOSS(Open Source Software)のミドルウエア(例えば、OpenVPNなど)を利用する。また、ファイルサーバは、WebDAVが利用可能なサーバソフトウエアを実行しており、イントラネット外に存在する社員宅端末は、WebDAVを用いてファイルサーバにアクセスする。 Each employee's house and the company LAN are different networks and are connected via the Internet via a router. However, each employee house shown here is merely an example, and the present invention is not limited to this, and other employees are also connected in the same manner. Note that, in the VPN connection, generally, as in the VPN connection, an authentication process for authenticating whether the user is a registered user (whether the user can permit the VPN connection) or not is executed. OSS (Open Source Software) middleware (for example, OpenVPN) is used. The file server executes server software that can use WebDAV, and an employee's home terminal that exists outside the intranet accesses the file server using WebDAV.
このような構成を有するアクセス制御システムは、VPNを接続する際に得られた社員宅端末の利用者を識別する識別情報に基づいて、社員宅端末のアクセスを制御するための情報を示すアクセス制御情報を作成し、当該識別情報に基づいて、社員宅端末の利用者に対応するリソースをファイルサーバ上に生成する。その後、アクセス制御システムは、作成されたアクセス制御情報に従って、ファイルサーバ上に生成されたリソースへのアクセス制御を行う。 The access control system having such a configuration is an access control indicating information for controlling access to the employee home terminal based on identification information for identifying the user of the employee home terminal obtained when connecting the VPN. Information is created, and a resource corresponding to the user of the employee home terminal is generated on the file server based on the identification information. Thereafter, the access control system performs access control to the resources generated on the file server according to the created access control information.
具体的には、アクセス制御システムのVPN装置は、図1の(1)に示すように、「鈴木(suzuki)」、「田中(tanaka)」それぞれとVPNトンネルを接続する際に用いる、それぞれの社員から識別情報である「ユーザID」と「IPアドレス」を取得する。そして、VPN装置は、図1の(2)に示すように、得られた「ユーザID」のフォルダ作成および、「ユーザID」に対応する「IPアドレス」を持つ端末からのアクセスのみを許可するアクセス制御情報を作成する。 Specifically, as shown in (1) of FIG. 1, the VPN device of the access control system uses each of “Suzuki” and “Tanaka” to connect the VPN tunnels. The identification information “user ID” and “IP address” are acquired from the employee. Then, as shown in (2) of FIG. 1, the VPN device permits only the creation of the obtained “user ID” folder and the access from the terminal having the “IP address” corresponding to the “user ID”. Create access control information.
続いて、VPN装置は、図1の(3)に示すように、社員宅端末の利用者を識別する「ユーザID」に対応するフォルダをファイルサーバに作成し、アクセス制御情報をファイルサーバにコピーする。その後、ファイルサーバは、コピーされたアクセス制御情報に従ったアクセス制御、つまり、「suzuki」から「フォルダ(suzuki)」へのアクセスは許可し、「suzuki」から「フォルダ(tanaka)」へのアクセスを拒否、同様に、「tanaka」から「フォルダ(tanaka)」へのアクセスは許可し、「tanaka」から「フォルダ(suzuki)」へのアクセスを拒否するアクセス制御を実施する。 Subsequently, as shown in (3) of FIG. 1, the VPN device creates a folder corresponding to the “user ID” for identifying the user of the employee home terminal in the file server, and copies the access control information to the file server. To do. Thereafter, the file server permits access control according to the copied access control information, that is, access from “suzuki” to “folder (suzuki)”, and access from “suzuki” to “folder (tanaka)”. Similarly, access from “tanaka” to “folder (tanaka)” is permitted, and access control is performed to deny access from “tanaka” to “folder (suzuki)”.
このように、実施例1に係るアクセス制御システムは、VPN接続時に使用した識別情報を用いてアクセス制御を実施することができるため、VPN接続後のファイルサーバアクセス時にユーザ認証をする必要がなく、つまり、VPN接続時とファイルサーバアクセス時との2回ユーザ認証を実施する必要がないので、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能である。 As described above, since the access control system according to the first embodiment can perform access control using the identification information used at the time of VPN connection, it is not necessary to perform user authentication when accessing the file server after the VPN connection. That is, since it is not necessary to perform user authentication twice for VPN connection and file server access, it is possible to improve user convenience while improving security.
[アクセス制御システムの構成]
次に、図2を用いて、図1に示したアクセス制御システムの構成を説明する。図2は、実施例1に係るアクセス制御システムの構成を示すブロック図である。ここでは、アクセス制御システムにおけるVPN装置とファイルサーバとについて説明する。
[Configuration of access control system]
Next, the configuration of the access control system shown in FIG. 1 will be described with reference to FIG. FIG. 2 is a block diagram illustrating the configuration of the access control system according to the first embodiment. Here, a VPN device and a file server in the access control system will be described.
(VPN装置の構成)
図2に示すように、かかるVPN装置10は、LANアダプターA11と、LANアダプターB12と、記憶部20と、制御部30とを有する。
(Configuration of VPN device)
As illustrated in FIG. 2, the
LANアダプターA11は、インターネットを介して送受信される各種通信を制御するNIC(Network Interface Card)である。具体的には、LANアダプターA11は、インターネット上の社員宅端末からVPN接続要求やVPN切断要求、ファイルサーバ50へのアクセス要求などを受信し、後述する制御部30に出力する。また、LANアダプターA11は、ファイルサーバ50から出力されてLANアダプターB12により受信されたアクセス要求の応答やデータをインターネット上の社員宅端末に出力する。
The LAN adapter A11 is a NIC (Network Interface Card) that controls various communications transmitted and received via the Internet. Specifically, the LAN adapter A11 receives a VPN connection request, a VPN disconnection request, an access request to the
LANアダプターB12は、イントラネット(社内LAN)内で送受信される各種通信を制御するNICである。具体的には、LANアダプターB12は、LANアダプターA11により受信されたファイルサーバ50へのアクセス要求などをファイルサーバ50に出力したり、ファイルサーバ50から出力されたアクセス要求の応答やデータなどを受信してLANアダプターA11に出力したり、制御部30によりファイルサーバ50へ実行された各種制御処理をファイルサーバ50に出力したりする。
The LAN adapter B12 is a NIC that controls various communications transmitted and received within an intranet (in-house LAN). Specifically, the LAN adapter B12 outputs an access request to the
記憶部20は、制御部30による各種処理に必要なデータおよびプログラム、ネットワーク通信を実行するためのルーティング情報、VPN接続時に取得された認証ログを格納するとともに、特に本発明に密接に関連するものとしては、アドレス情報DB21と、認証情報DB22と、サーバ情報DB23とを備える。
The
記憶部20が記憶する認証ログとは、後述するVPN接続部31により、VPN接続を確立した際に取得される通信ログである。この認証ログは、例えば、VPNが確立された「時刻」、VPNが確立された社員宅端末の「ルータ側IPアドレス(グローバルIPアドレス)」、VPNが確立された社員宅端末が社内LANで使用する「イントラネット側IPアドレス(プライベートIPアドレス)」、VPN接続時の認証情報である「ユーザID」と「パスワード」などである。
The authentication log stored in the
アドレス情報DB21は、利用者端末である社員宅端末がインターネット上で使用するグローバルアドレスと社員宅端末がVPNで使用するプライベートアドレスとを対応付けて記憶するデータベース管理システム(DBMS)上のテーブルである。具体的には、アドレス情報DB21は、図3に示すように、『インターネット上で使用する「グローバルアドレス(ルータ側IPアドレス)」、社員宅端末がVPNで使用する「プライベートアドレス(イントラネット側IPアドレス)」』として「129.xxx.yyy.zzz、172.168.0.Y」や「150.aaa.bbb.ccc、172.168.0.Z」などと記憶する。なお、図3は、アドレス情報DBに記憶される情報の例を示す図である。
The
認証情報DB22は、VPN接続する社員宅端末を認証するための情報を記憶するデータベース管理システム上のテーブルである。具体的には、認証情報DB22は、図4に示すように、「ルータ側IPアドレス、イントラネット側IPアドレス、ユーザID、パスワード」として「129.xxx.yyy.zzz、172.168.0.Y Suzuki、ikuzusu」などと記憶する。
The
ここで記憶される「ルータ側IPアドレス」とは、VPN接続された社員宅LAN内のルータに割り当てられたIPアドレス、つまり、VPN接続された社員宅端末がインターネット上で使用するIPアドレスであり、「イントラネット側IPアドレス」とは、VPN接続された社員宅端末が社内LAN(イントラネット)で使用するIPアドレスである。また、「ユーザID」と「パスワード」とは、社員宅端末がVPN接続するためのユーザ認証情報である。つまり、VPN装置10は、VPN接続時に「ユーザID」と「パスワード」とを社員宅端末から受け付けて、記憶している情報と一致するか否かの認証処理を行った上で、一致する場合にのみ、VPNセッションを確立する。なお、図4は、認証情報DBに記憶される情報の例を示す図である。
The “router-side IP address” stored here is an IP address assigned to a router in a VPN-connected employee's home LAN, that is, an IP address used on the Internet by a VPN-connected employee's home terminal. The “intranet-side IP address” is an IP address used by the employee's home terminal connected via VPN in the in-house LAN (intranet). The “user ID” and “password” are user authentication information for the employee home terminal to make a VPN connection. In other words, when the
サーバ情報DB23は、ファイルサーバ50に対して管理者権限で各種処理を実行するためのファイルサーバ50の管理者情報を記憶するデータベース管理システム上のテーブルである。具体的には、サーバ情報DB23は、図5に示すように、「IPアドレス、管理者ID、パスワード、HomeDir」として「192.168.1.11、yamazaki、11231123、/var/www/html」などと記憶する。
The
ここで記憶される「IPアドレス」とは、社内LAN上にあるファイルサーバ50のIPアドレスであり、「管理者ID」とは、ファイルサーバ50の管理者権限を有する利用者を識別するための識別子であり、「パスワード」とは、管理者IDに対応する管理者を特定するための情報であり、「HomeDir」とは、ファイルサーバ50上で管理者が自由に利用できるホームディレクトリである。なお、図5は、サーバ情報DBに記憶される情報の例を示す図である。
The “IP address” stored here is the IP address of the
制御部30は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、これらによって種々の処理を実行する処理部であり、特に本発明に密接に関連するものとしては、VPN接続部31と、認証ログ抽出部32と、アクセス制御情報作成部33と、リソース生成部34とを有する。
The
かかるVPN接続部31は、VPN接続要求を送信した社員宅端末とVPNセッションを確立し、VPN接続を行った際の認証ログを記憶部20に格納する。具体的には、VPN接続部31は、社員宅端末からインターネットを介してVPN接続要求を受信した場合に、当該社員宅端末に対して「ユーザID」と「パスワード」とを要求し、受け付けた「ユーザID」と「パスワード」が認証情報DB22に記憶されているか否かを認証する。そして、VPN接続部31は、受け付けた「ユーザID」と「パスワード」が認証情報DB22に記憶されている場合に、認証許可と判定して、当該社員宅端末との間にVPNを確立する。
The
そして、VPN接続部31は、VPN接続を確立した社員宅端末が使用する「ルータ側IPアドレス」と「イントラネット側IPアドレス」とをVPNセッションから取得し、取得した「ルータ側IPアドレス、イントラネット側IPアドレス」と「ユーザID、パスワード」とを対応付けて記憶部20に格納する。一方、受け付けた「ユーザID」と「パスワード」が認証情報DB22に記憶されていない場合には、VPN接続部31は、認証拒否と判定して接続を拒否する。
Then, the
例えば、VPN接続部31は、社員の「suzuki」が使用する端末からインターネットを介してVPN接続要求を受信した場合に、当該「suzuki」に対して、「ユーザID」と「パスワード」とを要求して受け付け、「ユーザID=suzuki」と「パスワード=ikuzusu」が認証情報DB22に記憶されているか否かを認証する。この場合、VPN接続部31は、受け付けた「ユーザID=suzuki」と「パスワード=ikuzusu」が認証情報DB22に記憶されているので、認証許可と判定して、当該「suzuki」端末との間にVPNを確立する。そして、VPN接続部31は、VPN接続を確立した「suzuki」端末が使用する「ルータ側IPアドレス=129.xxx.yyy.zzz、イントラネット側IPアドレス=172.168.0.Y」をVPNセッションから取得し、取得した「ルータ側IPアドレス、イントラネット側IPアドレス」と「ユーザID、パスワード」とを対応付けて記憶部20に格納する。
For example, when the
なお、「イントラネット側IPアドレス」の割り当て手法としては、アドレス情報DB21から割り当てたり、自動的に空いているアドレスを割り当てたりすることができる。つまり、VPN接続部31は、VPNセッションから「ルータ側IPアドレス」を取得し、取得した「ルータ側IPアドレス」に対応する「イントラネット側IPアドレス」をアドレス情報DB21から取得するようにしてもよく。「ルータ側IPアドレス」に対応する「イントラネット側IPアドレス」がアドレス情報DB21にない場合には、VPN接続部31は、自動的に空いている「イントラネット側IPアドレス」を割り当てるようにしてもよい。
As an assignment method of the “intranet-side IP address”, it is possible to assign from the
認証ログ抽出部32は、記憶部20に記憶される認証ログを定期的に監視して、社員宅端末の利用者を識別する識別情報を取得し、後述するアクセス制御情報作成部33とリソース生成部34に出力する。具体的には、認証ログ抽出部32は、VPN接続部31により取得されて記憶部20に格納された認証ログ「時刻、ルータ側IPアドレス、イントラネット側IPアドレス、ユーザID、パスワード」のうち「イントラネット側IPアドレスとユーザID」を抽出する。そして、認証ログ抽出部32は、抽出した「イントラネット側IPアドレス」をアクセス制御情報作成依頼とともにアクセス制御情報作成部33に出力し、抽出した「ユーザID」をリソース生成部34に出力する。
The authentication
アクセス制御情報作成部33は、VPNを接続する際に得られた社員宅端末の利用者を識別する識別情報に基づいて、利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成する。具体的には、アクセス制御情報作成部33は、認証ログ抽出部32から取得された「イントラネット側IPアドレスとユーザID」とを用いて、Apache+mod_davによるWebDAVを実行するファイルサーバ50でのみ適用可能な、図6に示すアクセス制御情報(アクセス設定情報)を作成する。
The access control
ここで作成されるアクセス制御情報は、図6に示すように、社員宅端末「Suzuki」が使用するイントラ側IPアドレス「172.168.0.Y」からのアクセスを許可し、その他からのアクセスを拒否する情報を作成する。なお、ここでは、アクセス制御情報として、IPアドレスを設定する例について説明したが、ネットワークアドレスを設定するようにしてもよい。また、VPN装置10は、ファイルサーバ50とは同じネットワークに存在するため、ファイルサーバ50のIPアドレスを認識することができる。また、図6は、アクセス制御情報の例を示す図である。
As shown in FIG. 6, the access control information created here permits access from the intra-side IP address “172.168.0.Y” used by the employee's home terminal “Suzuki” and denies access from others. Create information to be used. Although an example in which an IP address is set as the access control information has been described here, a network address may be set. Further, since the
リソース生成部34は、社員宅端末の利用者を識別する識別情報に基づいて、VPN接続された社員宅端末の利用者に対応するリソースをファイルサーバ50上に生成する。具体的には、リソース生成部34は、認証ログ抽出部32からVPN接続された社員宅端末の「ユーザID」とアクセス制御情報作成部33により生成された「アクセス制御情報」とを取得すると、サーバ情報DB23からファイルサーバ50の管理者情報「IPアドレス、ユーザID、パスワード、HomeDir」を取得する。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスする。
The
そして、リソース生成部34は、「remote shell」や「secure shell」を用いてファイルサーバ50へ遠隔操作を行い、認証ログ抽出部32から取得した「ユーザID」の名称をもつフォルダをHomeDirに作成する。そして、リソース生成部34は、アクセス制御情報作成部33により生成されたアクセス制御情報を作成した「ユーザID」フォルダにコピー(格納)する。
Then, the
例えば、リソース生成部34は、認証ログ抽出部32からVPN接続された社員宅端末の「ユーザID=suzuki」とアクセス制御情報作成部33により生成されたアクセス制御情報とを取得すると、サーバ情報DB23からファイルサーバ50の管理者情報「IPアドレス=192.168.0.20、ユーザID=yamazaki、パスワード=11231123、HomeDir=/var/www/html」を取得する。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、認証ログ抽出部32から取得した「suzuki」の名称をもつフォルダとして「/var/www/html/suzuki」を作成する。そして、リソース生成部34は、アクセス制御情報作成部33により生成されたアクセス制御情報をフォルダ「/var/www/html/suzuki」にコピー(格納)する。
For example, when the
(ファイルサーバの構成)
次に、実施例1に係るアクセス制御システムにおけるファイルサーバの構成について説明する。かかるファイルサーバ50は、LANアダプター51と、リソース52と、制御部60とを有する。
(File server configuration)
Next, the configuration of the file server in the access control system according to the first embodiment will be described. The
LANアダプター51は、社内LAN(イントラネット)でやり取りする各種情報に関する通信を制御する。具体的には、LANアダプター51は、VPN装置10からリソース作成要求、アクセス制御情報などを受信したり、社員宅端末からVPN装置10を介してアクセス要求を受信したり、社員宅端末に対してアクセス応答などを送信したりする。
The
リソース52は、ファイルサーバ50上に作成されたディレクトリ、フォルダ、ファイルなどである。このリソース52は、VPN装置10により作成され、社員宅端末の「ユーザID」の名称を持つフォルダなどがこれに該当する。また、各リソース52は、自身に設定されているアクセス制御情報(図6参照)を記憶する。
The
制御部60は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、アクセス制御部61を有し、これらによって種々の処理を実行する。
The
アクセス制御部61は、各リソースに記憶されるアクセス制御情報に従って、アクセス制御を実行する。具体的には、リソース「/var/www/html/suzuki」に図6に示すアクセス制御情報が記憶されており、VPN接続されている社員宅端末「ユーザID=suzuki」と「ユーザID=tanaka」からそれぞれアクセス要求を受信したとする。この場合、アクセス制御部61は、VPNセッションから「イントラネット側IPアドレス」を取得してアクセス制御を実施する。
The
つまり、アクセス制御部61は、社員宅端末「ユーザID=suzuki」の場合、「イントラネット側IPアドレス=172.168.0.Y」を取得し、このアドレスが図6のアクセス制御情報に「許可」と設定されていることから、社員宅端末「ユーザID=suzuki」からリソース「/var/www/html/suzuki」へのアクセスを許可する。一方、アクセス制御部61は、社員宅端末「ユーザID=takana」の場合、「イントラネット側IPアドレス=172.168.0.Z」を取得し、このアドレスがアクセス制御情報に「許可」と設定されていないことから、社員宅端末からリソース「/var/www/html/suzuki」へのアクセスを拒否する。
That is, in the case of the employee home terminal “user ID = suzuki”, the
[アクセス制御システムによる処理]
次に、図7と図8を用いて、アクセス制御システムによる処理を説明する。図7は、実施例1に係るアクセス制御システムにおけるフォルダ作成およびフォルダアクセス処理の流れを示すフローチャートであり、図8は、実施例1に係るアクセス制御システムにおけるフォルダおよびアクセス設定削除処理の流れを示すフローチャートである。
[Processing by access control system]
Next, processing by the access control system will be described with reference to FIGS. FIG. 7 is a flowchart illustrating the flow of folder creation and folder access processing in the access control system according to the first embodiment. FIG. 8 illustrates the flow of folder and access setting deletion processing in the access control system according to the first embodiment. It is a flowchart.
(フォルダ作成およびフォルダアクセス処理の流れ)
図7に示すように、社員宅の端末は、VPNソフトウエアを実行して、社員宅LANのRouterに対して社内LANへの接続要求(ユーザID、パスワード)を送信すると(ステップS101)、Routerは、この接続要求を中継して、VPN接続のログイン処理要求(ユーザID、パスワード)をVPN装置10に送信する(ステップS102)。
(Flow of folder creation and folder access processing)
As shown in FIG. 7, when the terminal at the employee's home executes VPN software and transmits a connection request (user ID, password) to the corporate LAN to the router at the employee's home LAN (step S101), the router Relays this connection request and transmits a VPN connection login processing request (user ID, password) to the VPN apparatus 10 (step S102).
このログイン処理要求を受け付けたVPN装置10のVPN接続部31は、受信した「ユーザID、パスワード」が認証情報DB22に記憶されているか否かを判定する(ステップS103とステップS104)。
The
そして、受信した「ユーザID、パスワード」が認証情報DB22に記憶されており、接続要求を送信した社員宅端末の認証を許可すると判定したVPN装置10のVPN接続部31は、認証を許可する旨の応答であり、VPNセッション情報であるセッション情報をRouterを介して社員宅端末に送信し、社員宅端末との間にVPNを確立する(ステップS105〜ステップS107)。なお、VPN接続部31は、VPNを確立すると、社員宅端末を認証した認証ログを抽出する。
The received “user ID, password” is stored in the
続いて、VPN装置10の認証ログ抽出部32は、VPN接続部31によりVPN接続時に取得された認証ログを定期的に監視し、認証ログから「イントラネット側IPアドレスとユーザID」を抽出し、アクセス制御情報作成依頼をアクセス制御情報作成部33に出力する(ステップS108〜ステップS111)。
Subsequently, the authentication
そして、VPN装置10のアクセス制御情報作成部33は、認証ログ抽出部32により抽出された「イントラネット側IPアドレスとユーザID」に基づいて、社内LANの外にある社員宅端末のアクセスを制御するための情報を示すアクセス制御情報を作成する(ステップS112)。続いて、アクセス制御情報作成部33は、抽出された「ユーザID」をリソース生成部34に通知し、アクセス設定依頼を送信する(ステップS113)。
Then, the access control
アクセス設定依頼を受信したリソース生成部34は、サーバ情報DB23に記憶されるファイルサーバ50の管理者情報を取得する(ステップS114とステップS115)。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、通知された「ユーザID」の名称をもつフォルダをHomeDirに作成するとともに、アクセス制御情報作成部33から受信したアクセス制御情報を作成した「ユーザID」フォルダにコピー(格納)する(ステップS116とステップS117)。なお、VPN装置10とファイルサーバ50とが同じ筐体で実現される場合には、ステップS114とステップS115を実施する必要はない。
The
その後、VPN接続が確立された社員宅端末は、ファイルサーバ50にアクセス要求を送信し(ステップS118)、これを受け付けたVPN装置10は、当該要求をファイルサーバ50に転送する(ステップS119)。
Thereafter, the employee home terminal with the established VPN connection transmits an access request to the file server 50 (step S118), and the
すると、ファイルサーバ50は、接続要求やVPNセッションから要求を送信した社員宅端末の「イントラネット側IPアドレス、ユーザID」を特定し、特定した「ユーザID」に対応するリソースに記憶されるアクセス制御情報に基づいて、特定した「イントラネット側IPアドレス」をもつ端末のアクセスを許可するか否かを判定する(ステップS120)。
Then, the
そして、ファイルサーバ50は、VPN装置10とRouterとを介して、当該アクセスを許可または拒否を示すアクセス応答をアクセス要求送信元の社員宅端末に送信する(ステップS121〜ステップS123)。
Then, the
(フォルダおよびアクセス設定削除処理の流れ)
図8に示すように、社員宅の端末は、社員宅LANのRouterに対して社内LANとの接続を切断する接続切断要求を送信すると(ステップS201)、Routerは、この接続切断要求を中継して、VPN装置10に送信する(ステップS202)。
(Flow of folder and access setting deletion process)
As shown in FIG. 8, when the terminal at the employee's home transmits a connection disconnection request for disconnecting the connection with the corporate LAN to the router at the employee's home LAN (step S201), the router relays the connection disconnection request. To the VPN device 10 (step S202).
この接続切断要求を受信したVPN装置10のVPN接続部31は、Routerを介して、接続切断を許可する応答を社員宅端末に送信する(ステップS203とステップS204)。なお、この際、VPN接続部31は、VPNセッションから「イントラネット側IPアドレス」や「ユーザID」などを認証ログとして取得する。
The
続いて、VPN装置10の認証ログ抽出部32は、VPN接続部31によりVPN切断時に取得された認証ログを定期的に監視し、認証ログから「イントラネット側IPアドレスとユーザID」を抽出し、抽出した「イントラネット側IPアドレスとユーザID」とともにアクセス制御情報削除依頼をリソース生成部34に出力する(ステップS205〜ステップS208)。
Subsequently, the authentication
アクセス制御情報削除依頼を受信したリソース生成部34は、サーバ情報DB23に記憶されるファイルサーバ50の管理者情報を取得する(ステップS209とステップS210)。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、通知された「ユーザID」の名称をもつフォルダおよびアクセス制御情報の削除依頼をファイルサーバ50に送信し(ステップS211)、ファイルサーバ50は、通知された「ユーザID」の名称をもつフォルダおよびアクセス制御情報を削除する削除処理を実行する(ステップS212)。なお、VPN装置10とファイルサーバ50とが同じ筐体で実現される場合には、ステップS209とステップS210を実施する必要はない。
The
[実施例1による効果]
このように、実施例1によれば、VPN装置10は、VPNを接続する際に得られた社員宅端末の利用者を識別する識別情報に基づいて、社員宅端末のアクセスを制御するための情報を示すアクセス制御情報を作成し、社員宅端末を識別する識別情報に基づいて、社員宅端末の利用者に対応するリソースをファイルサーバ50上に生成する。そして、ファイルサーバ50は、VPN装置10により作成されたアクセス制御情報に従って、VPN装置10により生成されたリソースへのアクセス制御を行う。このようにすることで、VPN接続時に使用した識別情報を用いてアクセス制御を実施することができるため、VPN接続後のファイルサーバアクセス時にユーザ認証をする必要がなく、つまり、VPN接続時とファイルサーバアクセス時との2回ユーザ認証を実施する必要がないので、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能である。
[Effects of Example 1]
As described above, according to the first embodiment, the
また、実施例1によれば、VPN装置10は、リソースの名前に識別情報を用いることもできる。このようにすることで、利用者は、自分のフォルダを容易に認識することができるので、ユーザの利便性がさらに向上し、会社側は、VPN接続を行って社内LANにアクセスする利用者を容易に特定することができるので、不正な第三者を容易に発見することができ、セキュリティをさらに向上させることが可能である。
Further, according to the first embodiment, the
また、実施例1によれば、VPN装置10は、ファイルサーバ50と同じネットワークに存在する端末に対しては、リソースへのアクセスを許可することができる。このようにすることで、社内LANなどの管理者は、VPN接続で作成された各リソースを監視することができ、セキュリティをさらに向上させることが可能である。
In addition, according to the first embodiment, the
ところで、実施例1では、VPN接続時の認証ログ(通信ログ)から識別情報である「ルータ側IPアドレスとユーザID」を抽出して、フォルダ作成およびアクセス制御情報生成を行う例について説明したが、本発明はこれに限定されるものではなく、VPNセッションから識別情報を取得することもできる。 In the first embodiment, an example has been described in which “router side IP address and user ID”, which is identification information, is extracted from an authentication log (communication log) at the time of VPN connection, and folder creation and access control information generation are performed. The present invention is not limited to this, and identification information can also be acquired from a VPN session.
そこで、実施例2では、図9と図10とを用いて、VPNセッションから識別情報を取得して、フォルダ作成およびアクセス制御情報生成を行う例について説明する。 Therefore, in the second embodiment, an example in which identification information is acquired from a VPN session and folder creation and access control information generation are performed will be described with reference to FIGS. 9 and 10.
まず、図9を用いて、フォルダ作成およびフォルダアクセス処理の流れを説明する。図9は、実施例2に係るアクセス制御システムにおけるフォルダ作成およびフォルダアクセス処理の流れを示すフローチャートである。図9に示すように、社員宅の端末は、VPNソフトウエアを実行して、社員宅LANのRouterに対して社内LANへの接続要求(ユーザID、パスワード)を送信すると(ステップS301)、Routerは、この接続要求を中継して、VPN接続のログイン処理要求(ユーザID、パスワード)をVPN装置10に送信する(ステップS302)。 First, the flow of folder creation and folder access processing will be described with reference to FIG. FIG. 9 is a flowchart illustrating the flow of folder creation and folder access processing in the access control system according to the second embodiment. As shown in FIG. 9, the employee's home terminal executes VPN software and transmits a connection request (user ID, password) to the in-house LAN to the router of the employee's home LAN (step S301). Relays this connection request and transmits a VPN connection login processing request (user ID, password) to the VPN apparatus 10 (step S302).
このログイン処理要求を受け付けたVPN装置10のVPN接続部31は、受信した「ユーザID、パスワード」が認証情報DB22に記憶されているか否かを判定する(ステップS303とステップS304)。
Upon receiving this login processing request, the
そして、受信した「ユーザID、パスワード」が認証情報DB22に記憶されており、接続要求を送信した社員宅端末の認証を許可すると判定したVPN装置10のVPN接続部31は、認証を許可する旨の応答であり、VPNセッション情報であるセッション情報をRouterを介して社員宅端末に送信し、社員宅端末との間にVPNを確立する(ステップS305〜ステップS307)。
The received “user ID, password” is stored in the
続いて、VPN接続部31は、受信した接続要求や接続確立したVPNセッションから「イントラネット側IPアドレスとユーザID」を抽出して、アクセス制御情報作成部33に出力する(ステップS308)。
Subsequently, the
そして、実施例1と同様に、アクセス制御情報作成部33は、受信した「イントラネット側IPアドレスとユーザID」に基づいて、アクセス制御情報を作成してアクセス設定依頼を送信する(ステップS309)。
Then, as in the first embodiment, the access control
その後、リソース生成部34は、サーバ情報DB23に記憶されるファイルサーバ50の管理者情報を取得する(ステップS310とステップS311)。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、通知された「ユーザID」の名称をもつフォルダをHomeDirに作成するとともに、アクセス制御情報作成部33から受信したアクセス制御情報を作成した「ユーザID」フォルダにコピー(格納)する(ステップS312とステップS313)。
Thereafter, the
その後の処理は、実施例1のステップS118〜ステップS123と同様であるので、ここでは詳細な説明は省略する。 Since the subsequent processing is the same as steps S118 to S123 of the first embodiment, detailed description thereof is omitted here.
次に、図10を用いて、フォルダおよびアクセス設定削除処理の流れを説明する。図10は、実施例2に係るアクセス制御システムにおけるフォルダおよびアクセス設定削除処理の流れを示すフローチャートである。 Next, the flow of folder and access setting deletion processing will be described with reference to FIG. FIG. 10 is a flowchart illustrating a flow of folder and access setting deletion processing in the access control system according to the second embodiment.
図10に示すように、社員宅の端末は、社員宅LANのRouterに対して社内LANとの接続を切断する接続切断要求を送信すると(ステップS401)、Routerは、この接続切断要求を中継して、VPN装置10に送信する(ステップS402)。 As shown in FIG. 10, when the terminal at the employee's home transmits a connection disconnection request for disconnecting the connection with the corporate LAN to the router of the employee's home LAN (step S401), the router relays the connection disconnection request. To the VPN device 10 (step S402).
この接続切断要求を受信したVPN装置10のVPN接続部31は、Routerを介して、接続切断を許可する応答を社員宅端末に送信する(ステップS403とステップS404)。
The
続いて、VPN接続部31は、VPN切断時にVPNセッションから「イントラネット側IPアドレスとユーザID」を取得し、取得した「イントラネット側IPアドレスとユーザID」とともにアクセス制御情報削除依頼をリソース生成部34に出力する(ステップS405)。
Subsequently, the
その後、リソース生成部34は、サーバ情報DB23に記憶されるファイルサーバ50の管理者情報を取得する(ステップS406とステップS407)。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、通知された「ユーザID」の名称をもつフォルダおよびアクセス制御情報の削除依頼をファイルサーバ50に送信し(ステップS408)、ファイルサーバ50は、通知された「ユーザID」の名称をもつフォルダおよびアクセス制御情報を削除する削除処理を実行する(ステップS409)。
Thereafter, the
このようにすることで、認証ログを確保する領域を削除することができ、資源を有効的に活用することができる。また、認証ログを定期的に監視する必要がないので、CPUの負荷を軽減することもでき、さらには、認証ログから抽出する処理を省略することができるので、処理の高速化が図れる。 By doing so, the area for securing the authentication log can be deleted, and resources can be used effectively. Further, since it is not necessary to monitor the authentication log regularly, the load on the CPU can be reduced, and furthermore, the processing extracted from the authentication log can be omitted, so that the processing speed can be increased.
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)アドレス対応表、(2)SIP(Session Initiation Protocol)、(3)システム構成等、(4)プログラムにそれぞれ区分けして異なる実施例を説明する。 Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. Therefore, as shown below, (1) address correspondence table, (2) SIP (Session Initiation Protocol), (3) system configuration, etc., (4) different embodiments will be described by being divided into programs.
(1)アドレス対応表
例えば、実施例1では、アクセス制御システムは、VPN接続を確立する場合に、VPN接続を行う社員宅端末用イントラネット側IPアドレスを自動的に割り当てた後に、アクセス制御情報を作成する例について説明したが本発明はこれに限定されるものではない。
(1) Address correspondence table For example, in the first embodiment, when establishing an VPN connection, the access control system automatically assigns the IP address on the intranet side for the employee home terminal that performs the VPN connection, and then assigns the access control information. Although the example to produce was demonstrated, this invention is not limited to this.
本願が開示するアクセス制御システムは、社員宅端末がインターネット上で使用するグローバルアドレス(ルータ側IPアドレス)と社員宅端末がVPNで使用するプライベートアドレス(イントラネット側IPアドレス)とを対応付けて記憶しておき、VPNで接続される社員宅端末のグローバルアドレスに対応するプライベートアドレスを記憶している場合にのみアクセス制御情報を作成するようにしてもよい。 The access control system disclosed in the present application stores a global address (router-side IP address) used by the employee's home terminal on the Internet and a private address (intranet-side IP address) used by the employee's home terminal in the VPN. The access control information may be created only when a private address corresponding to the global address of the employee's home terminal connected by VPN is stored.
(2)SIP
また、実施例1と2では、インターネットを利用したVPNによって認証した場合について述べたが、本発明はこれに限定されるものではなく、本願が開示するアクセス制御システムは、SIPを利用したダイアルアップVPNの接続技術(参考文献1:広帯域でセキュアな家庭LAN間を接続するVPN接続方式、2007年、電子情報通信学会BS-5-6、参考文献2:電話機をインタフェースとした家庭内LAN間接続システム、2007年、電子情報通信学会B-6-31)を適用することもできる。
(2) SIP
In the first and second embodiments, the case where authentication is performed by VPN using the Internet has been described. However, the present invention is not limited to this, and the access control system disclosed in the present application is a dial-up VPN using SIP. Connection technology (Reference 1: VPN connection method for connecting broadband and secure home LANs, 2007, BS-5-6, IEICE BS-5-6, Reference 2: Home LAN connection system with telephone interface In 2007, the Institute of Electronics, Information and Communication Engineers B-6-31) can be applied.
この場合、実施例1と2で説明した「イントラネット側IPアドレス」の変わりに「電話番号」や「SIP−URI(Session Initiation Protocol−Uniform Resource Identifier)」を用いたアクセス制御情報を作成することにより、実施例1や2と同様の処理を実行することができる。このようにすることにより、音声などのデータ通信に関しても本発明を適用することができ、利用者のニーズに合わせた幅広いサービスを提供することができる。 In this case, by creating access control information using a “telephone number” or “SIP-URI (Session Initiation Protocol-Uniform Resource Identifier)” instead of the “intranet-side IP address” described in the first and second embodiments. The same processing as in the first and second embodiments can be executed. By doing so, the present invention can be applied to data communication such as voice, and a wide range of services can be provided in accordance with user needs.
(3)システム構成等
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、認証ログ抽出処理など)の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理(例えば、VPN接続時のユーザIDとパスワード入力処理など)の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3〜図6など)については、特記する場合を除いて任意に変更することができる。
(3) System configuration etc. In addition, among the processes described in the present embodiment, all or a part of the processes (for example, the authentication log extraction process) described as being automatically performed may be manually performed. Alternatively, all or part of the processing described as being manually performed (for example, user ID and password input processing at the time of VPN connection) can be automatically performed by a known method. In addition, the processing procedures, control procedures, specific names, and information including various data and parameters (for example, FIG. 3 to FIG. 6) shown in the above documents and drawings are optional unless otherwise specified. Can be changed.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、アクセス制御情報作成部とリソース生成部とを統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. It can be configured by integrating (for example, integrating the access control information creating unit and the resource generating unit). Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
(4)プログラム
なお、本実施例で説明した接続制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
(4) Program The connection control method described in the present embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program can be distributed via a network such as the Internet. The program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD and being read from the recording medium by the computer.
以上のように、本発明に係るアクセス制御システム、接続制御装置および接続制御方法は、利用者端末がアクセスするリソースを保持するファイルサーバと、利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システムに有用であり、特に、セキュリティを向上させつつ、ユーザの利便性を向上させることに適する。 As described above, the access control system, the connection control device, and the connection control method according to the present invention provide a connection between a file server that holds resources accessed by a user terminal and a network to which the user terminal belongs. This is useful for an access control system having a connection control device connected via a virtual communication path, and is particularly suitable for improving user convenience while improving security.
10 VPN装置
11 LANアダプターA
12 LANアダプターB
20 記憶部
21 アドレス情報DB
22 認証情報DB
23 サーバ情報DB
30 制御部
31 VPN接続部
32 認証ログ抽出部
33 アクセス制御情報作成部
34 リソース生成部
50 ファイルサーバ
51 LANアダプター
52 リソース
60 制御部
61 アクセス制御部
10
12 LAN adapter B
20
22 Authentication information DB
23 Server information DB
DESCRIPTION OF
Claims (8)
前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成するアクセス制御情報作成手段と、
前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成手段と、
前記アクセス制御情報作成手段により作成されたアクセス制御情報に従って、前記リソース生成手段により生成されたリソースへのアクセス制御を行うアクセス制御手段と、
を備えたことを特徴とするアクセス制御システム。 An access control system comprising: a file server that holds resources accessed by a user terminal; and a connection control device that connects the user terminal and a network to which the file server belongs via a virtual communication path,
Create access control information indicating information for controlling access of the user terminal based on identification information for identifying the user of the user terminal obtained when connecting the virtual communication path Access control information creation means;
Based on identification information for identifying the user of the user terminal, resource generation means for generating a resource corresponding to the user of the user terminal on the file server;
Access control means for controlling access to the resource generated by the resource generating means according to the access control information created by the access control information creating means;
An access control system comprising:
前記アクセス制御情報作成手段は、前記仮想的な通信路で接続される利用者端末のグローバルアドレスに対応するプライベートアドレスが前記アドレス情報記憶手段に記憶される場合に、前記アクセス制御情報を作成することを特徴とする請求項1に記載のアクセス制御システム。 An address information storage means for storing a global address used by the user terminal on the Internet and a private address used by the user terminal on the virtual communication path in association with each other;
The access control information creation means creates the access control information when a private address corresponding to a global address of a user terminal connected through the virtual communication path is stored in the address information storage means. The access control system according to claim 1.
前記アクセス制御情報作成手段は、前記仮想的な通信路を接続する際に得られた前記利用者端末の発電話番号に基づいて、前記アクセス制御情報を作成することを特徴とする請求項1に記載のアクセス制御システム。 The virtual communication path is connected using SIP,
The access control information creating means creates the access control information based on a calling telephone number of the user terminal obtained when connecting the virtual communication path. The described access control system.
前記接続制御装置は、
前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成して、前記ファイルサーバに格納するアクセス制御情報作成手段と、
前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成手段と、を有し、
前記ファイルサーバは、
前記アクセス制御情報作成手段により作成されたアクセス制御情報に従って、前記リソース生成手段により生成されたリソースへのアクセス制御を行うアクセス制御手段、
を備えたことを特徴とするアクセス制御システム。 An access control system comprising: a file server that holds resources accessed by a user terminal; and a connection control device that connects the user terminal and a network to which the file server belongs via a virtual communication path,
The connection control device includes:
Based on identification information for identifying the user of the user terminal obtained when connecting the virtual communication path, access control information indicating information for controlling access of the user terminal is created. Access control information creating means for storing in the file server;
Resource generating means for generating, on the file server, a resource corresponding to the user of the user terminal, based on identification information for identifying the user of the user terminal;
The file server is
Access control means for controlling access to the resource generated by the resource generating means in accordance with the access control information created by the access control information creating means;
An access control system comprising:
前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成して、前記ファイルサーバに格納するアクセス制御情報作成手段と、
前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成手段と、
を備えたことを特徴とする接続制御装置。 The connection in an access control system comprising: a file server that holds resources accessed by a user terminal; and a connection control device that connects the user terminal and a network to which the file server belongs via a virtual communication path. A control device,
Based on identification information for identifying the user of the user terminal obtained when connecting the virtual communication path, access control information indicating information for controlling access of the user terminal is created. Access control information creating means for storing in the file server;
Based on identification information for identifying the user of the user terminal, resource generation means for generating a resource corresponding to the user of the user terminal on the file server;
A connection control device comprising:
前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成して、前記ファイルサーバに格納するアクセス制御情報作成工程と、
前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成工程と、
を含んだことを特徴とする接続制御方法。 The connection control in an access control system comprising: a file server that holds resources accessed by a user terminal; and a connection control device that connects the user terminal and a network to which the file server belongs via a virtual communication path. A connection control method suitable for a device,
Based on identification information for identifying the user of the user terminal obtained when connecting the virtual communication path, access control information indicating information for controlling access of the user terminal is created. An access control information creation step to be stored in the file server;
Based on identification information for identifying a user of the user terminal, a resource generation step of generating a resource corresponding to the user of the user terminal on the file server;
The connection control method characterized by including.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008205555A JP4878043B2 (en) | 2008-08-08 | 2008-08-08 | Access control system, connection control device, and connection control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008205555A JP4878043B2 (en) | 2008-08-08 | 2008-08-08 | Access control system, connection control device, and connection control method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010039994A JP2010039994A (en) | 2010-02-18 |
| JP4878043B2 true JP4878043B2 (en) | 2012-02-15 |
Family
ID=42012429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008205555A Expired - Fee Related JP4878043B2 (en) | 2008-08-08 | 2008-08-08 | Access control system, connection control device, and connection control method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4878043B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2924925A4 (en) * | 2012-11-22 | 2016-10-05 | Nec Corp | Communication system, virtual-network management device, communication node, and communication method and program |
| MY167995A (en) * | 2014-10-17 | 2018-10-10 | Mimos Berhad | System for improving security in a vpn workflow |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002041453A (en) * | 2000-07-31 | 2002-02-08 | Mitsubishi Heavy Ind Ltd | Calculating method utilizing communication line |
| JP2002342144A (en) * | 2001-05-21 | 2002-11-29 | Toshiba Corp | File sharing system, program and file transferring method |
| JP4152753B2 (en) * | 2003-01-09 | 2008-09-17 | 日本電信電話株式会社 | Network authentication access control server, application authentication access control server, and integrated authentication access control system |
-
2008
- 2008-08-08 JP JP2008205555A patent/JP4878043B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010039994A (en) | 2010-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7698388B2 (en) | Secure access to remote resources over a network | |
| US9258308B1 (en) | Point to multi-point connections | |
| WO2018095416A1 (en) | Information processing method, device and system | |
| WO2017161706A1 (en) | Method of controlling access to network resource in local area network, device, and gateway equipment | |
| JP4708376B2 (en) | Method and system for securing access to a private network | |
| CN103001999B (en) | For privately owned Cloud Server, intelligent apparatus client and the method for public cloud network | |
| JP5375976B2 (en) | Authentication method, authentication system, and authentication program | |
| CN113949573A (en) | Zero-trust service access control system and method | |
| WO2022247751A1 (en) | Method, system and apparatus for remotely accessing application, device, and storage medium | |
| JP5239341B2 (en) | Gateway, relay method and program | |
| KR20080053298A (en) | Creating secure interactive connections with remote resources | |
| JPH103420A (en) | Access control system and method | |
| RU2387089C2 (en) | Method of allocating resources with limited access | |
| CN108600207B (en) | Network authentication and access method based on 802.1X and SAVI | |
| CN113595847A (en) | Remote access method, system, device and medium | |
| JP2005501354A (en) | Method and system for providing web services with multiple web domains via a single IP address | |
| JP4878043B2 (en) | Access control system, connection control device, and connection control method | |
| JP2015505626A (en) | Integrate server applications with many authentication providers | |
| EP1039724A2 (en) | Method and apparatus providing for internet protocol address authentication | |
| CN111628960B (en) | Method and apparatus for connecting to network services on a private network | |
| JP3953963B2 (en) | Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system | |
| JP2018110012A (en) | Authentication system and authentication method | |
| CN116074125B (en) | End-to-end password middle station zero trust security gateway system | |
| WO2006096875A1 (en) | Smart tunneling to resources in a remote network | |
| JP2011166375A (en) | Device, method, program and system for setting access control, and access control device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100723 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111116 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111122 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111124 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4878043 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |