JP5133932B2 - VPN connection control system, authentication server - Google Patents

VPN connection control system, authentication server Download PDF

Info

Publication number
JP5133932B2
JP5133932B2 JP2009097808A JP2009097808A JP5133932B2 JP 5133932 B2 JP5133932 B2 JP 5133932B2 JP 2009097808 A JP2009097808 A JP 2009097808A JP 2009097808 A JP2009097808 A JP 2009097808A JP 5133932 B2 JP5133932 B2 JP 5133932B2
Authority
JP
Japan
Prior art keywords
vpn
connection
client
vpn connection
connection request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009097808A
Other languages
Japanese (ja)
Other versions
JP2010251951A (en
Inventor
弘之 栗田
広和 北見
健一 松井
圭 唐澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009097808A priority Critical patent/JP5133932B2/en
Publication of JP2010251951A publication Critical patent/JP2010251951A/en
Application granted granted Critical
Publication of JP5133932B2 publication Critical patent/JP5133932B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、VPNの接続確立を動的に行うVPN接続制御システム、認証サーバに関するものである。 The present invention, VPN connection control system that dynamically perform the VPN connection establishment, it relates to the authentication server.

専用線を用いることなく、専用線であるかのように利用できるVPN(Virtual Private Network)がある(特許文献1,非特許文献1参照)。このVPNのサービスを提供するVPNサービスプロバイダは、例えば、VPNルータにおいてVPN契約毎にVRF(Virtual Routing and Forwarding)を定義することでVPNサービスを提供している。VRFは、一台のルータ上に複数の独立したルーティングテーブルを保持し、それぞれのルーティングテーブルを独立したIPネットワークとしてルーティングする技術である。   There is a VPN (Virtual Private Network) that can be used as a dedicated line without using a dedicated line (see Patent Document 1 and Non-Patent Document 1). A VPN service provider that provides this VPN service provides a VPN service by defining a virtual routing and forwarding (VRF) for each VPN contract in a VPN router, for example. VRF is a technique for holding a plurality of independent routing tables on a single router and routing each routing table as an independent IP network.

VPNサービスの契約ユーザの端末装置は、PPPoE(PPP over Ethernet)やIPsec(Security Architecture for Internet Protocol)などのプロトコルを用いてVPNサービスプロバイダ網内のVPNルータに接続し、VPNルータは接続ユーザ(端末装置)を認証する。VPNルータは、ユーザが提示するドメイン名などの識別子に予め対応付けられたVRFにユーザの接続セッションを収容することで、ユーザを適切なVPNに接続させることができる。   The terminal device of the VPN service contract user uses a protocol such as PPPoE (PPP over Ethernet) or IPsec (Security Architecture for Internet Protocol) to connect to a VPN router in the VPN service provider network, and the VPN router is a connected user (terminal). Device). The VPN router can connect the user to an appropriate VPN by accommodating the user connection session in a VRF previously associated with an identifier such as a domain name presented by the user.

また、VPNルータはユーザをID/パスワードなどで認証するだけでなく、ユーザがVPNルータへのアクセスに用いている物理的な回線の識別情報を用いてVPN接続を認可することも可能である。例えば、VPNサービスの契約企業は、予め登録している社員の自宅回線からのみ接続を許可することなどができる。   The VPN router not only authenticates the user with an ID / password or the like, but can also authorize a VPN connection using identification information of a physical line used by the user to access the VPN router. For example, a contract company of VPN service can permit connection only from a home line of a registered employee.

特許第3490358号公報Japanese Patent No. 3490358

Chris Metz, "The Latest in Virtual Private Networks: Part I," IEEE Internet Computing, vol.7, no.1, pp.87-91, January/February, 2003.Chris Metz, "The Latest in Virtual Private Networks: Part I," IEEE Internet Computing, vol.7, no.1, pp.87-91, January / February, 2003.

上述したようなVRFを用いたVPNサービスは、拠点間のネットワークを常時接続するような比較的静的な利用に適している。一方で、ユーザが移動先から一時的にVPNに接続し、自拠点のリソースにリモートアクセスするような場合には、移動先から接続しているユーザがいない間も、自拠点とVPNルータ間のVPNセッションを維持しなければならない。   The VPN service using VRF as described above is suitable for relatively static use in which a network between bases is always connected. On the other hand, when the user temporarily connects to the VPN from the destination and remotely accesses the resources of the local site, even if there is no user connected from the destination, the site between the local site and the VPN router A VPN session must be maintained.

このため、利用時間が比較的限定されるリモートアクセス目的のVPNを収容する場合でも、VPNルータに対して、常にVPN契約数以上のVPNセッションが張られることになる。言い換えると、平素は利用されていないVPN接続をVPNルータに対して確立していないと、リモートアクセス目的のVPN接続をすることができない。このため、VPNの収容効率を高めることができないという問題がある。また、複数のVPNサービスを契約しているVPNユーザにとっても、常に全てのVPNとの接続を維持する必要があり、比較的高性能なVPN終端装置が必要となる。   For this reason, even when accommodating a VPN for remote access purposes whose usage time is relatively limited, VPN sessions always exceeding the number of VPN contracts are established for the VPN router. In other words, the VPN connection for the purpose of remote access cannot be made unless the VPN connection that is not used is established to the VPN router. For this reason, there exists a problem that the accommodation efficiency of VPN cannot be raised. Further, it is necessary for VPN users who have contracted a plurality of VPN services to always maintain connections with all VPNs, and a relatively high performance VPN termination device is required.

本発明は、以上のような問題点を解消するためになされたものであり、VPNの収容効率を容易に高めることができるようにすることを目的とする。   The present invention has been made to solve the above problems, and an object of the present invention is to make it possible to easily increase the accommodation efficiency of VPN.

発明に係るVPN接続制御システムは、第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御システムにおいて、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、この第1接続要求受け付け手段が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示手段と、このVPN接続要求送出指示手段が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、この第2接続要求受け付け手段が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、第1VPN接続と第2VPN接続とを中継する中継手段とを備えるVPN接続制御装置と、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線をVPN接続制御装置からの要求によりVPN接続制御装置に提供する回線情報解決手段とを備える認証サーバと、を少なくとも備え、第2VPNクライアントは、VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対して第2VPN接続要求を送出するVPN接続要求送出手段とを少なくとも備え、VPN接続要求送出指示手段は、回線情報解決手段により特定された物理回線により、第2VPNクライアントに通知を行う。 V PN connection control system Ru engagement to the present invention is a VPN connection control system for establishing a VPN connection between the first 1VPN client and the 2VPN client, for connection to a 2VPN client sent from the first 1VPN client first A first connection request accepting means for accepting a first VPN connection request for establishing a VPN connection with the 1VPN client, and a first VPN connection with the first VPN client based on the first VPN connection request accepted by the first connection request accepting means; 1 VPN connection establishment means, a VPN connection request transmission instruction means for notifying the second VPN client of a VPN connection request transmission instruction for establishing a VPN connection, and after the VPN connection request transmission instruction means notifies the transmission instruction, Sent from 2VPN client Second connection request accepting means for accepting the second VPN connection request, second VPN connection establishing means for establishing the second VPN connection with the second VPN client by the second VPN connection request accepted by the second connection request accepting means, and the first VPN A VPN connection control device comprising a relay means for relaying the connection and the second VPN connection, an authentication means for performing authentication based on authentication information sent from the first VPN client and the second VPN client, and a physical connection to the second VPN client. Based on the information of the line information storage unit storing the line information and the second VPN client included in the first VPN connection request, the physical line information to the second VPN client is specified from the line information storage unit, and the specified physical to provide a line by a request from the VPN connection control device to the VPN connection controller Comprising an authentication server and a line information solutions, at least, first 2VPN client, a transmission instruction reception means receives a notification from the VPN connection controller, the transmission instruction of the transmission instruction reception means VPN connection request received And a VPN connection request sending means for sending a second VPN connection request to the VPN connection control device, and the VPN connection request sending instruction means notifies the second VPN client via the physical line specified by the line information resolution means. I do.

上記VPN接続制御システムにおいて、回線情報記憶部には、第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、認証手段は、接続許可ドメイン情報を参照し、接続を許可するユーザをユーザのドメイン名で制限することにより、第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断するようにしてもよい。 In the VPN connection control system, the line information storage unit stores connection permission domain information set for each access line of the connection source of the first VPN client and the second VPN client, and the authentication unit stores the connection permission domain information. It is possible to determine whether to permit domain connection of the first VPN client and the second VPN client by referencing and restricting the users who are permitted to connect by the domain name of the user .

また、本発明に係る認証サーバは、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元に提供する回線情報解決手段とを少なくとも備える。 The authentication server according to the present invention includes an authentication unit that performs authentication based on authentication information sent from the first VPN client and the second VPN client, and a line information storage in which physical line information to the second VPN client is stored. To the second VPN client based on the information of the second VPN client included in the first VPN connection request for establishing the VPN connection with the first VPN client for connecting to the second VPN client sent from the first VPN client. the physical line information identified from the line information storage unit includes at least a that provide specified physical line to the requestor times line information solutions.

上記認証サーバにおいて、回線情報記憶部には、第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、認証手段は、接続許可ドメイン情報を参照し、接続を許可するユーザをユーザのドメイン名で制限することにより、第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断するようにしてもよい。 In the authentication server, the line information storage unit stores connection permission domain information set for each access line of the connection source of the first VPN client and the second VPN client, and the authentication unit refers to the connection permission domain information. The user who is permitted to connect may be restricted by the domain name of the user to determine whether the first VPN client and the second VPN client are allowed to connect to the domain.

以上説明したように、本発明によれば、第1VPNクライアントからの第1VPN接続要求を受けると、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するようにしたので、VPNの収容効率を高めることができるようになるという優れた効果が得られる。   As described above, according to the present invention, when the first VPN connection request is received from the first VPN client, the second VPN client is notified of the VPN connection request transmission instruction for establishing the VPN connection. The excellent effect that the accommodation efficiency of VPN can be improved is obtained.

本発明の実施の形態におけるVPN接続制御装置およびVPNクライアントの構成を示す構成図である。It is a block diagram which shows the structure of the VPN connection control apparatus and VPN client in Embodiment 1 of this invention. 実施の形態1におけるVPN接続制御装置の動作例(VPN接続制御方法)について示すフローチャートである。6 is a flowchart illustrating an operation example (VPN connection control method) of the VPN connection control device according to the first embodiment. 本発明の実施の形態2におけるVPN接続制御装置およびVPNクライアントの構成を示す構成図である。It is a block diagram which shows the structure of the VPN connection control apparatus and VPN client in Embodiment 2 of this invention. 実施の形態2におけるVPN接続制御装置の動作例(VPN接続制御方法)について示す説明図である。FIG. 11 is an explanatory diagram showing an operation example (VPN connection control method) of the VPN connection control device in the second embodiment.

以下、本発明の実施の形態について図を参照して説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

[実施の形態1]
始めに、本発明の実施の形態1について説明する。図1は、本発明の実施の形態1におけるVPN接続制御装置の構成例を示す構成図である。本実施の形態におけるVPN接続制御装置は、まず、VPNクライアントA131より送出されたVPNクライアントB132に接続するためのVPNクライアントA131とのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け部101と、第1接続要求受け付け部101が受け付けた第1VPN接続要求によりVPNクライアントA131との第1VPN接続を確立する第1VPN接続確立部102とを備える。 [Embodiment 1]
First, the first embodiment of the present invention will be described. FIG. 1 is a configuration diagram showing a configuration example of a VPN connection control apparatus according to Embodiment 1 of the present invention. The VPN connection control device according to the present embodiment first receives a first VPN connection request that establishes a VPN connection with the VPN client A131 to connect to the VPN client B132 sent from the VPN client A131. 101 and a first VPN connection establishment unit 102 that establishes a first VPN connection with the VPN client A 131 by a first VPN connection request received by the first connection request reception unit 101.

また、VPN接続制御装置は、VPN接続を確立するためのVPN接続要求の送出指示をVPNクライアントB132に通知するVPN接続要求送出指示部103を備える。また、VPN接続要求送出指示部103が送出指示を通知した後に、VPNクライアントB132より送出された第2VPN接続要求を受け付ける第2接続要求受け付け部104と、第2接続要求受け付け部104が受け付けた第2VPN接続要求によりVPNクライアントB132との第2VPN接続を確立する第2VPN接続確立部105と、第1VPN接続と第2VPN接続とを中継する中継部106とを備える。   In addition, the VPN connection control device includes a VPN connection request transmission instruction unit 103 that notifies the VPN client B 132 of a VPN connection request transmission instruction for establishing a VPN connection. In addition, after the VPN connection request transmission instruction unit 103 notifies the transmission instruction, the second connection request reception unit 104 that receives the second VPN connection request transmitted from the VPN client B 132 and the second connection request reception unit 104 that receives the second connection request reception unit 104. A second VPN connection establishment unit 105 that establishes a second VPN connection with the VPN client B132 by a 2VPN connection request, and a relay unit 106 that relays the first VPN connection and the second VPN connection are provided.

上述したVPN接続制御装置は、VPN接続制御装置の閉域網,公衆回線,およびインターネットなどの網121を介してVPNクライアントA131およびVPNクライアントB132と接続可能とされている。また、VPNクライアントB132は、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け部132aと、受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出部132bとを備える。なお、VPNクライアントは、VPN終端機能を備えたユーザ側の端末装置(パーソナルコンピュータ,サーバ)でもよく、また、VPN終端機能を備えたルータでもよい。   The VPN connection control device described above can be connected to the VPN client A 131 and the VPN client B 132 via a network 121 such as a closed network, a public line, and the Internet of the VPN connection control device. In addition, the VPN client B 132 performs VPN connection control by a transmission instruction reception unit 132 a that receives a transmission instruction of a VPN connection request for establishing a VPN connection notified from the VPN connection control device, and a transmission instruction of the received VPN connection request. A VPN connection request sending unit 132b for sending a VPN connection request to the apparatus. The VPN client may be a terminal device (personal computer or server) on the user side having a VPN termination function, or may be a router having a VPN termination function.

次に、本実施の形態におけるVPN接続制御装置の動作例(VPN接続制御方法)について、図2のフローチャートを用いて説明する。まず、図2(a)に示すように、第1接続要求受け付け部101が、VPNクライアントA131より送出されたVPNクライアントB132に接続するためのVPNクライアントA131とのVPN接続を確立する第1VPN接続要求を受け付けると(ステップS201のY)、第1VPN接続確立部102が、受け付けた第1VPN接続要求によりVPN接続元との第1VPN接続を確立する(ステップS202)。第1VPN接続確立部102は、例えば、PPPoEやIPsecにより第1VPN接続を確立する。   Next, an operation example (VPN connection control method) of the VPN connection control apparatus according to the present embodiment will be described with reference to the flowchart of FIG. First, as shown in FIG. 2A, the first connection request accepting unit 101 establishes a VPN connection with the VPN client A131 for connecting to the VPN client B132 sent from the VPN client A131. Is received (Y in step S201), the first VPN connection establishment unit 102 establishes the first VPN connection with the VPN connection source in accordance with the received first VPN connection request (step S202). The first VPN connection establishment unit 102 establishes the first VPN connection by PPPoE or IPsec, for example.

次に、ステップS203で、VPN接続要求送出指示部103が、VPN接続を確立するためのVPN接続要求の送出指示をVPNクライアントB132に通知する。例えば、VPNクライアントA131が収容されているネットワークの識別情報(契約者の回線を一意に識別可能な情報、例えば、契約者の回線が収容されているNAS(Network Access Server)装置のIPアドレス(NAS-IP-Address)と物理ポート(NAS-Port)のペアなど)より、VPNサービス提供対象の契約者を特定し、特定した契約者の物理回線情報(VPN終端装置のポート番号など)をデータベース(回線情報記憶部)より取得することで、例えば接続が許可されている通知先が特定できる。これにより、特定の来訪者に対してのみVPN接続制御装置へのアクセス回線の利用を許可し、また、来訪者が接続するVPNを制限することも可能になる。   Next, in step S203, the VPN connection request transmission instructing unit 103 notifies the VPN client B 132 of a VPN connection request transmission instruction for establishing a VPN connection. For example, the identification information of the network in which the VPN client A 131 is accommodated (information that can uniquely identify the contractor's line, for example, the IP address (NAS of the NAS (Network Access Server) apparatus in which the contractor's line is accommodated) (IP-Address) and physical port (NAS-Port) pair, etc.) to identify the contractor to whom the VPN service is provided, and the physical line information (such as the port number of the VPN terminating device) of the identified contractor in the database ( By acquiring from the line information storage unit), for example, a notification destination to which connection is permitted can be specified. As a result, only a specific visitor is allowed to use the access line to the VPN connection control device, and the VPN to which the visitor is connected can be restricted.

この後、第2接続要求受け付け部104が、VPNクライアントB132より送出された第2VPN接続要求を受け付けると(ステップS204のY)、第2VPN接続確立部105が、受け付けた第2VPN接続要求によりVPNクライアントB132との第2VPN接続を確立する(ステップS205)。第2VPN接続確立部105は、例えば、PPPoEやIPsecにより第2VPN接続を確立する。ここで、第1VPN接続と第2VPN接続とは、同じプロトコルで接続されている必要はない。最後に、ステップS206で、中継部106が、第1VPN接続と第2VPN接続とを中継する。中継部106は、例えば、VRFを定義することで、第1VPN接続と第2VPN接続とを中継する。   Thereafter, when the second connection request accepting unit 104 accepts the second VPN connection request sent from the VPN client B 132 (Y in step S204), the second VPN connection establishing unit 105 responds to the VPN client by the accepted second VPN connection request. A second VPN connection with B132 is established (step S205). The second VPN connection establishment unit 105 establishes the second VPN connection by PPPoE or IPsec, for example. Here, the first VPN connection and the second VPN connection need not be connected by the same protocol. Finally, in step S206, the relay unit 106 relays the first VPN connection and the second VPN connection. For example, the relay unit 106 relays the first VPN connection and the second VPN connection by defining a VRF.

一方、VPNクライアントB132では、図2(b)に示すように、送出指示受け付け部132aが、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付けると(ステップS221のY)、VPN接続要求送出部132bが、VPN接続制御装置に対してVPN接続要求を送出する(ステップS222)。   On the other hand, in the VPN client B132, as shown in FIG. 2B, when the transmission instruction receiving unit 132a receives a VPN connection request transmission instruction for establishing the VPN connection notified from the VPN connection control device (step). In step S221, the VPN connection request sending unit 132b sends a VPN connection request to the VPN connection control device (step S222).

以上に説明したように、本実施の形態によれば、VPN接続制御装置とVPNクライアントB132との間に、VPN接続(VPNセッション)が確立されていなくても、VPNクライアントA131からのVPNクライアントB132に対するVPN接続の要求で、VPN接続制御装置とVPNクライアントB132との間にVPN接続が確立されるようになる。このように、本実施の形態によれば、予め通信先のVPNクライアントとのVPNセッションが確立されていなくても、要求に基づいてVPN接続が確立できるので、VPNの収容効率を高めることができるようになる。   As described above, according to the present embodiment, even if a VPN connection (VPN session) is not established between the VPN connection control device and the VPN client B132, the VPN client B132 from the VPN client A131. The VPN connection is established between the VPN connection control device and the VPN client B 132 in response to the VPN connection request for. As described above, according to the present embodiment, even if a VPN session with a VPN client as a communication destination is not established in advance, a VPN connection can be established based on a request, so that the VPN accommodation efficiency can be improved. It becomes like this.

[実施の形態2]
次に、本発明の実施の形態2について説明する。図3は、本発明の実施の形態2におけるVPN接続制御装置100の構成例を示す構成図である。VPN接続制御装置100は、まず、ユーザ端末装置A(第1VPNクライアント)334より送出された第2VPN終端装置(第2VPNクライアント)332に接続するための、ユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け部101と、第1接続要求受け付け部101が受け付けた第1VPN接続要求によりユーザ端末装置A334との第1VPN接続を確立する第1VPN接続確立部102とを備える。 [Embodiment 2]
Next, a second embodiment of the present invention will be described. FIG. 3 is a configuration diagram illustrating a configuration example of the VPN connection control apparatus 100 according to the second embodiment of the present invention. The VPN connection control device 100 first establishes a VPN connection with the user terminal device A334 to connect to the second VPN termination device (second VPN client) 332 sent from the user terminal device A (first VPN client) 334. A first connection request accepting unit 101 that accepts a first VPN connection request, and a first VPN connection establishing unit 102 that establishes a first VPN connection with the user terminal device A334 by a first VPN connection request accepted by the first connection request accepting unit 101. Prepare.

また、VPN接続制御装置100は、VPN接続を確立するためのVPN接続要求の送出指示を、第2VPN終端装置332に通知するVPN接続要求送出指示部103を備える。また、VPN接続要求送出指示部103が送出指示を通知した後に、第2VPN終端装置332より送出された第2VPN接続要求を受け付ける第2接続要求受け付け部104と、第2接続要求受け付け部104が受け付けた第2VPN接続要求により第2VPN終端装置332との第2VPN接続を確立する第2VPN接続確立部105とを備える。   The VPN connection control apparatus 100 also includes a VPN connection request transmission instruction unit 103 that notifies the second VPN termination apparatus 332 of a VPN connection request transmission instruction for establishing a VPN connection. In addition, after the VPN connection request transmission instructing unit 103 notifies the transmission instruction, the second connection request receiving unit 104 that receives the second VPN connection request transmitted from the second VPN terminating device 332 and the second connection request receiving unit 104 receive it. And a second VPN connection establishment unit 105 that establishes a second VPN connection with the second VPN termination device 332 in response to the second VPN connection request.

また、VPN接続制御装置100は、VRF管理部(中継手段)306,認証部307,および回線情報特定部308を備える。   The VPN connection control apparatus 100 includes a VRF management unit (relay unit) 306, an authentication unit 307, and a line information identification unit 308.

上述したVPN接続制御装置100は、VPN接続制御装置100の閉域網である網121,第1VPN終端装置331,および無線アクセスポイント333を介してユーザ端末装置A334と接続可能とされている。同様に、VPN接続制御装置100は、網121を介して第2VPN終端装置332と接続可能とされている。また、第2VPN終端装置332には、ユーザ端末装置B335が接続されている。   The above-described VPN connection control device 100 can be connected to the user terminal device A334 via the network 121 that is a closed network of the VPN connection control device 100, the first VPN termination device 331, and the wireless access point 333. Similarly, the VPN connection control device 100 can be connected to the second VPN termination device 332 via the network 121. In addition, a user terminal device B 335 is connected to the second VPN termination device 332.

第1VPN終端装置331は、例えば、PPPoEによるVPN接続機能と、内部ネットワークに接続している端末(ユーザ端末装置A334)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能を備えたVPNルータである。なお、第1VPN終端装置331においては、PPPoEによるVPN接続機能は、あってもよくなくてもよい。   The first VPN termination device 331 includes, for example, a PPPoE VPN connection function, and a PPPoE frame that allows a PPPoE frame to pass when a terminal (user terminal device A334) connected to the internal network makes a PPPoE connection to the VPN connection control device 100. A VPN router having a pass-through function. Note that the first VPN termination device 331 may or may not have a VPN connection function based on PPPoE.

第2VPN終端装置332は、VPN接続制御装置100から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け部332aと、受け付けたVPN接続要求の送出指示により、VPN接続制御装置100に対してVPN接続要求を送出するVPN接続要求送出部332bと、認証部332cとを備える。また、第2VPN終端装置332も、PPPoEによるVPN接続機能と、内部ネットワークに接続している端末(ユーザ端末装置B335)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能を備えている。なお、内部ネットワークに接続している端末(ユーザ端末装置B335)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能は、第2VPN終端装置332が備えていてもよくなくてもよい。   The second VPN terminator 332 receives the VPN connection request from the VPN connection control device 100 according to the sending instruction accepting unit 332a that accepts the sending instruction of the VPN connection request for establishing the VPN connection and the sending instruction of the accepted VPN connection request. A VPN connection request transmission unit 332b that transmits a VPN connection request to the control device 100 and an authentication unit 332c are provided. The second VPN termination device 332 also has a PPPoE VPN connection function, and a PPPoE frame that passes a PPPoE frame when a terminal (user terminal device B 335) connected to the internal network makes a PPPoE connection to the VPN connection control device 100. It has a pass-through function. Note that even if the second VPN termination device 332 has a PPPoE pass-through function for allowing a PPPoE frame to pass when a terminal (user terminal device B 335) connected to the internal network makes a PPPoE connection to the VPN connection control device 100. It doesn't have to be good.

また、VPN接続制御装置100には、認証サーバ310が接続している。認証サーバ310は、認証部307より要求された認証を行うための認証部311と、回線情報特定部308より要求された回線情報を提供する回線情報解決部(回線情報記憶部)312とを備える。回線情報解決部312は、少なくとも第2VPN終端装置332への物理回線情報が記憶されている回線情報記憶部を備え、ユーザ端末装置A334より送出された第2VPN終端装置332に接続するためのユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求に含まれる第2VPN終端装置332の情報をもとに、第2VPN終端装置332への物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元(回線情報特定部308)に提供する。なお、VPN接続制御装置100および認証サーバ310は、各々の機能を同一の装置で実現してもよい。   An authentication server 310 is connected to the VPN connection control apparatus 100. The authentication server 310 includes an authentication unit 311 for performing authentication requested by the authentication unit 307, and a line information resolution unit (line information storage unit) 312 that provides line information requested by the line information specifying unit 308. . The line information resolution unit 312 includes a line information storage unit that stores at least physical line information to the second VPN termination device 332, and is a user terminal for connecting to the second VPN termination device 332 transmitted from the user terminal device A334. Based on the information of the second VPN termination device 332 included in the first VPN connection request for establishing the VPN connection with the device A334, the physical line information to the second VPN termination device 332 is identified from the line information storage unit, and the identified physical The line is provided to the request source (line information specifying unit 308). Note that the VPN connection control device 100 and the authentication server 310 may realize their functions with the same device.

次に、本実施の形態におけるVPN接続制御装置の動作例(VPN接続制御方法)について、図4を用いて説明する。まず、移動しているユーザの操作により、ステップS401で、ユーザ端末装置A334が移動先組織の無線AP333に接続要求を送出する。次いで、ステップS402で、無線AP333が、ユーザ端末装置A334との接続を許可する。これにより、ユーザ端末装置A334は、移動先組織のLANに接続した状態となる。このとき無線AP333は、ユーザ端末装置A334に対して端末認証やユーザ認証を行ってもよい。   Next, an operation example (VPN connection control method) of the VPN connection control apparatus according to the present embodiment will be described with reference to FIG. First, in response to the operation of a moving user, in step S401, the user terminal device A334 sends a connection request to the wireless AP 333 of the destination organization. Next, in step S402, the wireless AP 333 permits connection with the user terminal device A334. As a result, the user terminal device A334 is connected to the LAN of the destination organization. At this time, the wireless AP 333 may perform terminal authentication or user authentication on the user terminal device A334.

次に、ステップS403で、ユーザ端末装置A334は、PPPoEプロトコルを用い、第1VPN終端装置331を介してVPN接続制御装置100に対してVPN接続要求を送出する。次に、ステップS404で、VPN接続制御装置100では、第1接続要求受け付け部101が上述したVPN接続要求を受け付け、認証部307が、VPN接続要求を送出してきたユーザ端末装置A334に対し、認証情報を要求する。次に、ステップS405で、認証情報の要求を受け付けたユーザ端末装置A334は、認証情報として、例えば、ユーザID,ドメイン名,およびパスワードをVPN接続制御装置100に対して送信する。上述した認証情報は、予めユーザ端末装置A334に設定しておいてもよく、また、接続時にユーザ端末装置A334を利用しているユーザが入力してもよい。   Next, in step S403, the user terminal device A334 sends a VPN connection request to the VPN connection control device 100 via the first VPN termination device 331 using the PPPoE protocol. Next, in step S404, in the VPN connection control device 100, the first connection request accepting unit 101 accepts the VPN connection request described above, and the authentication unit 307 authenticates the user terminal device A334 that has transmitted the VPN connection request. Request information. Next, in step S405, the user terminal apparatus A334 that has received the request for authentication information transmits, for example, a user ID, a domain name, and a password to the VPN connection control apparatus 100 as authentication information. The authentication information described above may be set in the user terminal device A334 in advance, or may be input by a user using the user terminal device A334 at the time of connection.

次に、ステップS406で、VPN接続制御装置100では、ユーザ端末装置A334より送出された認証情報を受け付けると、認証部307が、認証サーバ310に対し、ユーザ端末装置A334から受け付けた認証情報とユーザ端末装置A334のアクセス回線の識別情報を送出して認証を要求する。認証サーバ310は、例えば、VPN接続制御装置100のVPNサービスプロバイダ網内に設置され、VPN接続制御装置100は、RADIUSプロトコルを用いて認証サーバ310と通信を行う。   Next, in step S406, when the VPN connection control apparatus 100 receives the authentication information sent from the user terminal apparatus A334, the authentication unit 307 sends the authentication information received from the user terminal apparatus A334 and the user to the authentication server 310. The identification information of the access line of the terminal device A334 is transmitted to request authentication. The authentication server 310 is installed, for example, in the VPN service provider network of the VPN connection control apparatus 100, and the VPN connection control apparatus 100 communicates with the authentication server 310 using the RADIUS protocol.

次に、ステップS407で、認証サーバ310では、認証部311が、送信された認証情報を検証してユーザ認証を行うとともに、ドメイン名毎に予め設定された接続許可アクセス回線リストを参照し、ユーザのアクセス回線からの接続が許可されているかを判断し、この判断結果を認証結果としてVPN接続制御装置100(認証部307)に応答する。   Next, in step S407, in the authentication server 310, the authentication unit 311 verifies the transmitted authentication information and performs user authentication, and refers to a connection-permitted access line list set in advance for each domain name. It is determined whether connection from the access line is permitted, and this determination result is returned as an authentication result to the VPN connection control apparatus 100 (authentication unit 307).

また、接続元アクセス回線毎に予め設定されている接続許可ドメインリスト(回線情報記憶部)を参照し、ユーザ(ユーザ端末装置A334)のドメインの接続が許可されているかを判断して、判断結果を認証結果としてもよい。このようにすることで、「ユーザ端末装置A334が、VPNアクセスに使用する回線(第1VPN終端装置331と網121との間の回線)の回線契約者」による「アクセス回線を貸し出す立場で、貸し出すユーザを制限したいという観点」と、「ユーザ端末装置A334が接続しようとしているVPNサービス(ユーザ端末装置A334のドメインで識別される契約)の契約者」による「VPNサービスにアクセス可能な回線(=アクセス可能な場所)を制限したいという観点」とで、接続許可リストを設定でき、これらの両方の観点に基づいて認証サーバ310が接続判断(認証)を行うことができるようになる。   In addition, referring to a connection permission domain list (line information storage unit) set in advance for each connection source access line, it is determined whether or not the domain connection of the user (user terminal device A334) is permitted. May be the authentication result. By doing so, the user terminal device A334 lends in the position of lending the access line by the “line contractor of the line used for VPN access (the line between the first VPN terminating device 331 and the network 121)”. "A line of access to the VPN service (= access)" by "a user who wants to restrict users" and "a contractor of a VPN service (a contract identified by the domain of the user terminal A334) to which the user terminal A334 is connected" From the viewpoint of “restricting possible locations” ”, a connection permission list can be set, and the authentication server 310 can perform connection determination (authentication) based on both of these viewpoints.

次に、ステップS408で、VPN接続制御装置100では、認証部307が、認証サーバ310からの認証結果が接続可能(許可)の通知を受け付けると、まず、第1VPN接続確立部102が、ユーザ端末装置A334とのVPN接続(第1VPN接続)を確立する。次いで、VRF管理部306が、ユーザ端末装置A334のドメインに対応するVRFが既に存在しているかを調べる。VRFが存在している場合には、第1VPN接続確立部102が、ユーザ端末装置A334のアクセスセッション(VPN接続)を当該VRFに収容する。一方、存在していない場合、VRF管理部306は、ドメインに対応するVRFを新たに作成し、作成したVRFにユーザ端末装置A334のアクセスセッション収容する。また、ステップS409で、認証部307が、認証結果をユーザ端末装置A334に通知する。例えば、認証サーバ310の認証結果が接続不可の場合は、認証失敗をユーザ端末装置A334に通知する。   Next, in step S408, in the VPN connection control device 100, when the authentication unit 307 receives a notification that the authentication result is connectable (permitted) from the authentication server 310, first, the first VPN connection establishment unit 102 determines that the user terminal A VPN connection (first VPN connection) is established with the device A334. Next, the VRF management unit 306 checks whether a VRF corresponding to the domain of the user terminal device A334 already exists. When the VRF exists, the first VPN connection establishment unit 102 accommodates the access session (VPN connection) of the user terminal device A334 in the VRF. On the other hand, if it does not exist, the VRF management unit 306 newly creates a VRF corresponding to the domain, and accommodates the access session of the user terminal device A334 in the created VRF. In step S409, the authentication unit 307 notifies the authentication result to the user terminal device A334. For example, when the authentication result of the authentication server 310 is not connectable, the user terminal device A334 is notified of the authentication failure.

次に、ステップS410で、VPN接続制御装置100では、回線情報特定部308が、認証サーバ310にユーザ端末装置A334のドメイン名を送信し、ユーザ端末装置A334の契約回線の解決を要求する。この要求を受け付けた認証サーバ310では、回線情報解決部312が、予め登録されているドメイン名と契約回線の対応関係を参照し、契約回線(物理回線)情報を応答する(ステップS411)。このように、回線情報解決部312では、ユーザ端末装置A334より送出された第2VPN終端装置332に接続するためのユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求に含まれる第2VPN終端装置332の情報をもとに、第2VPN終端装置332への物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元(回線情報特定部308)に提供する。   Next, in step S410, in the VPN connection control device 100, the line information specifying unit 308 transmits the domain name of the user terminal device A334 to the authentication server 310, and requests the user terminal device A334 to resolve the contracted line. In the authentication server 310 that has received this request, the line information resolution unit 312 refers to the correspondence relationship between the domain name registered in advance and the contracted line, and responds with contracted line (physical line) information (step S411). As described above, the line information resolution unit 312 transmits the second VPN termination included in the first VPN connection request for establishing the VPN connection with the user terminal device A334 for connection to the second VPN termination device 332 sent from the user terminal device A334. Based on the information of the device 332, the physical line information to the second VPN termination device 332 is specified from the line information storage unit, and the specified physical line is provided to the request source (line information specifying unit 308).

次に、ステップS412で、VPN接続制御装置100では、VPN接続要求送出指示部103が、認証サーバ310より取得した契約回線情報をもとに送出先となる第2VPN終端装置332を特定し、第2VPN終端装置332に対してVPN接続を確立するためのVPN接続要求の送出指示を通知する。VPN接続要求送出指示部103は、得られた契約回線情報で特定された回線(物理回線)により第2VPN終端装置332に対して上記通知を行う。   Next, in step S412, in the VPN connection control apparatus 100, the VPN connection request transmission instructing unit 103 specifies the second VPN termination apparatus 332 as the transmission destination based on the contracted line information acquired from the authentication server 310, and the first 2 VPN termination device 332 is notified of a VPN connection request transmission instruction for establishing a VPN connection. The VPN connection request transmission instructing unit 103 performs the above notification to the second VPN terminating device 332 through the line (physical line) specified by the obtained contracted line information.

次に、ステップS413で、第2VPN終端装置332では、上述した通知を送出指示受け付け部332aで受け付け、VPN接続要求送出部332bが、VPN接続制御装置100に対してVPN接続要求を送出する。VPN接続要求送出部332bは、例えば、PPPoEプロトコルを用いてVPN接続要求を送出する。   Next, in step S413, in the second VPN termination device 332, the notification described above is received by the transmission instruction reception unit 332a, and the VPN connection request transmission unit 332b transmits a VPN connection request to the VPN connection control device 100. The VPN connection request sending unit 332b sends a VPN connection request using, for example, the PPPoE protocol.

次に、ステップS414で、VPN接続制御装置100では、第1接続要求受け付け部101が上述したVPN接続要求を受け付け、認証部307が、VPN接続要求を送出してきた第2VPN終端装置332に対し、認証情報を要求する。次に、ステップS415で、認証情報の要求を受け付けた第2VPN終端装置332では、認証部332cが、認証情報として、例えば、ユーザID,ドメイン名,およびパスワードをVPN接続制御装置100に対して送信する。これらは、自動的に処理される。   Next, in step S414, in the VPN connection control device 100, the first connection request accepting unit 101 accepts the VPN connection request described above, and the authentication unit 307 sends the VPN connection request to the second VPN terminating device 332. Request authentication information. Next, in step S415, in the second VPN termination device 332 that has received the request for authentication information, the authentication unit 332c transmits, for example, a user ID, a domain name, and a password to the VPN connection control device 100 as authentication information. To do. These are handled automatically.

次に、ステップS416で、VPN接続制御装置100では、第2VPN終端装置332より送出された認証情報を受け付けると、認証部307が、認証サーバ310に対し、第2VPN終端装置332から受け付けた認証情報と第2VPN終端装置332のアクセス回線の識別情報を送出して認証を要求する。次に、ステップS417で、認証サーバ310では、認証部311が、送信された認証情報を検証してユーザ認証を行うとともに、ドメイン名毎に予め設定された接続許可アクセス回線リストを参照し、ユーザのアクセス回線からの接続が許可されているかを判断し、この判断結果を認証結果としてVPN接続制御装置100に応答する。   Next, in step S416, when the VPN connection control device 100 receives the authentication information sent from the second VPN termination device 332, the authentication unit 307 receives the authentication information received from the second VPN termination device 332 from the authentication server 310. And the identification information of the access line of the second VPN terminator 332 is transmitted to request authentication. Next, in step S417, in the authentication server 310, the authentication unit 311 verifies the transmitted authentication information and performs user authentication, and refers to a connection-permitted access line list set in advance for each domain name. It is determined whether connection from the access line is permitted, and this determination result is returned to the VPN connection control apparatus 100 as an authentication result.

次に、VPN接続制御装置100では、認証部307が受け付けた認証サーバ310からの認証結果が接続可能(許可)の場合、第2VPN接続確立部105が、第2VPN終端装置332とのVPN接続(第2VPN接続)を確立する。次いで、VRF管理部306が、ユーザ端末装置A334のアクセスセッションが収容されているVRFに、新たに確立した第2VPN終端装置332のアクセスセッション(VPN接続)を収容し、各VPN接続が中継された状態とする。   Next, in the VPN connection control device 100, when the authentication result from the authentication server 310 received by the authentication unit 307 is connectable (permitted), the second VPN connection establishment unit 105 performs VPN connection with the second VPN termination device 332 ( 2nd VPN connection) is established. Next, the VRF management unit 306 accommodates the newly established access session (VPN connection) of the second VPN termination device 332 in the VRF in which the access session of the user terminal device A334 is accommodated, and each VPN connection is relayed State.

この後、ステップS418で、VPN接続制御装置100では、認証部307が、認証結果を第2VPN終端装置332に通知し、ステップS419で、ユーザ端末装置A334とユーザ端末装置B335とがVPN接続制御装置100を介したVPN経由による端末間通信が開始されてアクセス可能となる。   Thereafter, in step S418, in the VPN connection control device 100, the authentication unit 307 notifies the authentication result to the second VPN termination device 332, and in step S419, the user terminal device A334 and the user terminal device B335 connect to the VPN connection control device. Communication between terminals via VPN via 100 is started and access is possible.

なお、VPN接続制御装置100が、VPNに接続しているユーザ端末装置A334がすべて切断した場合に、当該ユーザ端末装置A334の契約回線配下のVPN終端装置(第1VPN終端装置331)とのアクセスセッションも切断し、VRFを削除する。これにより、VPN接続に利用されていないVRFが削除され、VPNの収容効率を高めることができるようになる。   When the VPN connection control device 100 disconnects all the user terminal devices A334 connected to the VPN, the access session with the VPN termination device (first VPN termination device 331) under the contracted line of the user terminal device A334. Also disconnect and delete the VRF. Thereby, the VRF that is not used for the VPN connection is deleted, and the accommodation efficiency of the VPN can be improved.

以上に説明したように、本実施の形態においても、VPN接続制御装置100と第2VPN終端装置332との間に、VPN接続が確立されていなくても、ユーザ端末装置A334からの第2VPN終端装置332(ユーザ端末装置B335)に対するVPN接続の要求で、VPN接続制御装置100と第2VPN終端装置332との間にVPN接続が確立されるようになる。このように、本実施の形態によれば、予め通信先のVPNクライアントとのVPNセッションが確立されていなくても、要求に基づいてVPN接続が確立できるので、VPNの収容効率を高めることができるようになる。   As described above, also in the present embodiment, even if the VPN connection is not established between the VPN connection control device 100 and the second VPN termination device 332, the second VPN termination device from the user terminal device A334. A VPN connection is established between the VPN connection control device 100 and the second VPN termination device 332 in response to a VPN connection request to 332 (user terminal device B335). As described above, according to the present embodiment, even if a VPN session with a VPN client as a communication destination is not established in advance, a VPN connection can be established based on a request, so that the VPN accommodation efficiency can be improved. It becomes like this.

また、本実施の形態によれば、例えば、予め登録されているドメイン名と契約回線の対応関係を参照することで得られる契約回線(物理回線)情報をもとに、VPN接続要求の送出指示の通知先を決定している。このため、煩雑なID管理を必要とせず、また、管理コストをかけることなく、特定の来訪者に対してのみVPNサービスプロバイダへのアクセス回線の利用を許可し、来訪者が接続するVPNを制限することも可能になる。   Further, according to the present embodiment, for example, a VPN connection request sending instruction is issued based on contracted line (physical line) information obtained by referring to the correspondence relationship between domain names registered in advance and contracted lines. The notification destination is determined. Therefore, complicated ID management is not required, and the use of an access line to the VPN service provider is permitted only for a specific visitor without incurring management costs, and the VPN to which the visitor is connected is restricted. It is also possible to do.

ところで上述では、認証サーバ310が、ドメイン名毎に予め設定された接続許可アクセス回線リストに基づいて認証を行うようにしているが、これに限るものではない。例えば、アクセス回線毎に予め設定された接続許可ドメインリストを参照し、ユーザ側(第1VPN終端装置331)のドメイン名での接続が許可されているかに基づいて認可するようにしてもよい。第2VPN終端装置332に接続している回線契約者が、来訪ユーザ(第1VPN終端装置331)に対してアクセス回線(第2VPN接続)を提供する際に、接続を許可するユーザをユーザのドメイン名で制限できる。   In the above description, the authentication server 310 performs authentication based on a connection-permitted access line list set in advance for each domain name. However, the present invention is not limited to this. For example, referring to a connection-permitted domain list set in advance for each access line, authorization may be made based on whether or not a connection with a domain name on the user side (first VPN terminating device 331) is permitted. When a line contractor connected to the second VPN termination device 332 provides an access line (second VPN connection) to a visiting user (first VPN termination device 331), a user who is permitted to connect is specified as a user domain name. Can be limited.

また、ユーザ側のドメイン名に紐付けられる契約回線は複数あってもよく、この場合、VPN接続制御装置100は、各々の契約回線の回線配下に対してVPN接続要求の送出指示を通知するようにしてもよい。   In addition, there may be a plurality of contract lines associated with the domain name on the user side. In this case, the VPN connection control apparatus 100 notifies the transmission instruction of the VPN connection request to the subordinates of each contract line. It may be.

また、第2VPN終端装置332において、予めVPN接続制御装置100のIPアドレスを登録しておき、登録されたIPアドレス以外のIPアドレスが送信元となっているVPN接続要求の送出指示の通知を破棄してもよい。このようにすることで、第三者が送信してきたVPN接続要求の送出指示の通知によってVPN接続制御装置100に接続してしまうことを防止できる。なお、IPアドレスの他に、VPN接続制御装置100を識別できる情報を用いるようにしてもよい。   In addition, in the second VPN termination device 332, the IP address of the VPN connection control device 100 is registered in advance, and the notification of the instruction to send out the VPN connection request whose source is an IP address other than the registered IP address is discarded. May be. By doing in this way, it can prevent connecting with the VPN connection control apparatus 100 by the notification of the transmission instruction | indication of the VPN connection request which the third party transmitted. In addition to the IP address, information that can identify the VPN connection control apparatus 100 may be used.

ところで、VPN接続制御装置100のVPNサービスプロバイダ網(網121)と第2VPN終端装置332のユーザ所属組織網との間にファイアウォール機能を持ったゲート制御装置が設置されている場合もある。このような場合、VPN接続制御装置100から第2VPN終端装置332にVPN接続要求の送出指示を通知(送信)するために、ゲート制御装置のフィルタリングルールを更新する必要がある。   Incidentally, a gate control device having a firewall function may be provided between the VPN service provider network (network 121) of the VPN connection control device 100 and the user affiliated organization network of the second VPN termination device 332. In such a case, it is necessary to update the filtering rule of the gate control device in order to notify (transmit) the VPN connection request transmission instruction from the VPN connection control device 100 to the second VPN termination device 332.

例えば、SIP(Session Initiation Protocol )のシグナリングに連動してフィルタリングルールを更新するゲート制御装置は、初期状態ではSIPのパケットのみを通過させ、加えて、SIPでネゴシエーションされたIPアドレスとポート番号のペアを送信元、送信先とするパケットのみを通過させる。   For example, a gate control device that updates filtering rules in conjunction with SIP (Session Initiation Protocol) signaling passes only SIP packets in the initial state, and in addition, a pair of IP address and port number negotiated by SIP. Only packets with the source and destination are passed.

このゲート制御装置が設置されている場合、第2VPN終端装置332からVPN接続制御装置100に接続する際には、第2VPN終端装置332からVPN接続制御装置100にSIPで発呼し、VPN接続に使用するIPアドレスとポート番号のペアをSIPでネゴシエーションする必要がある。さらに、VPN接続制御装置100から第2VPN終端装置332にVPN接続要求の送出指示を送信する際にも、VPN接続制御装置100から第2VPN終端装置332に対してSIPで発呼する必要がある。これらのことにより、ゲート制御装置のフィルタリングルールを更新し、VPN接続要求の送出指示を通過させることができる。   When this gate control device is installed, when the second VPN termination device 332 connects to the VPN connection control device 100, the second VPN termination device 332 makes a call to the VPN connection control device 100 by SIP, and the VPN connection is established. It is necessary to negotiate a pair of IP address and port number to be used by SIP. Furthermore, when transmitting a VPN connection request transmission instruction from the VPN connection control device 100 to the second VPN termination device 332, it is necessary to make a call from the VPN connection control device 100 to the second VPN termination device 332 by SIP. By these things, the filtering rule of a gate control apparatus can be updated and the transmission instruction | indication of a VPN connection request can be passed.

なお、VPN接続制御装置100は、CPUと主記憶装置と外部記憶装置とネットワーク接続装置となどを備えたコンピュータ機器(サーバ)であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。   The VPN connection control device 100 is a computer device (server) including a CPU, a main storage device, an external storage device, a network connection device, and the like, and the CPU is operated by a program developed in the main storage device. Each function described above is realized.

例えば、VPN接続制御装置は、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け機能と、この第1接続要求受け付け機能が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立機能と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示機能と、このVPN接続要求送出指示機能が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け機能と、この第2接続要求受け付け機能が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立機能と、第1VPN接続と第2VPN接続とを中継する中継機能とを備えるプログラムをコンピュータに実行させることで実現できる。   For example, the VPN connection control device includes a first connection request reception function for receiving a first VPN connection request for establishing a VPN connection with the first VPN client for connecting to the second VPN client sent from the first VPN client, and the first connection request receiving function. The first VPN connection establishment function that establishes the first VPN connection with the first VPN client by the first VPN connection request accepted by the connection request acceptance function and the VPN connection request transmission instruction for establishing the VPN connection are notified to the second VPN client. VPN connection request transmission instruction function, a second connection request reception function for receiving a second VPN connection request transmitted from the second VPN client after the VPN connection request transmission instruction function notifies the transmission instruction, and reception of the second connection request Second VPN connection accepted by the function A first 2VPN connection establishment function for establishing the first 2VPN connection between the first 2VPN clients by sought, can be realized by executing a program and a relay function of relaying the 1VPN connected to the first 2VPN connected to the computer.

また、例えばVPNクライアントは、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け機能と、この送出指示受け付け機能が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出機能とを備えるプログラムをコンピュータに実行させることで実現できる。   Further, for example, the VPN client receives a transmission instruction reception function for receiving a VPN connection request transmission instruction for establishing a VPN connection notified from the VPN connection control device, and a VPN connection request transmission instruction received by the transmission instruction reception function. Thus, it can be realized by causing a computer to execute a program having a VPN connection request sending function for sending a VPN connection request to the VPN connection control device.

また、例えば認証サーバは、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証機能と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元に提供する回線情報特定機能とを備えるプログラムをコンピュータに実行させることで実現できる。 Further, for example, the authentication server includes an authentication function for performing authentication based on authentication information sent from the first VPN client and the second VPN client, a line information storage unit in which physical line information for the second VPN client is stored, Physical line information to the second VPN client based on the information of the second VPN client included in the first VPN connection request for establishing the VPN connection with the first VPN client for connecting to the second VPN client sent from the first VPN client was identified from the line information storage unit, can be realized by executing a program and a to that times line information identification provide specific physical line to the requesting the computer.

また、プログラムは、記録媒体に記録されていたものであればよい。また、各機能は、単一のコンピュータ機器で実現してもよく、また、複数のコンピュータ機器に分散させるようにしてもよい。   Moreover, the program should just be what was recorded on the recording medium. Each function may be realized by a single computer device, or may be distributed to a plurality of computer devices.

101…第1接続要求受け付け部、102…第1VPN接続確立部、103…VPN接続要求送出指示部、104…第2接続要求受け付け部、105…第2VPN接続確立部、106…中継部、121…網、131…VPNクライアントA、132…VPNクライアントB、132a…送出指示受け付け部、132b…VPN接続要求送出部。   DESCRIPTION OF SYMBOLS 101 ... 1st connection request reception part, 102 ... 1st VPN connection establishment part, 103 ... VPN connection request transmission instruction | indication part, 104 ... 2nd connection request reception part, 105 ... 2nd VPN connection establishment part, 106 ... Relay part, 121 ... Network 131... VPN client A, 132... VPN client B, 132 a... Sending instruction receiving unit, 132 b.

Claims (4)

第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御システムにおいて、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、
この第1接続要求受け付け手段が受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知するVPN接続要求送出指示手段と、
このVPN接続要求送出指示手段が前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、
この第2接続要求受け付け手段が受け付けた前記第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、
前記第1VPN接続と前記第2VPN接続とを中継する中継手段と
を備えるVPN接続制御装置と、
前記第1VPNクライアントおよび前記第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定し、特定した物理回線を前記VPN接続制御装置からの要求により前記VPN接続制御装置に提供する回線情報解決手段と
を備える認証サーバと、
を少なくとも備え、
前記第2VPNクライアントは、
前記VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、
この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、前記VPN接続制御装置に対して前記第2VPN接続要求を送出するVPN接続要求送出手段と
を少なくとも備え、
前記VPN接続要求送出指示手段は、前記回線情報解決手段により特定された物理回線により、前記第2VPNクライアントに前記通知を行う
ことを特徴とするVPN接続制御システム。 In a VPN connection control system for establishing a VPN connection between a first VPN client and a second VPN client,
First connection request accepting means for accepting a first VPN connection request for establishing a VPN connection with the first VPN client for connecting to the second VPN client sent from the first VPN client;
First VPN connection establishing means for establishing a first VPN connection with the first VPN client by the first VPN connection request received by the first connection request accepting means;
VPN connection request transmission instruction means for notifying the second VPN client of a transmission instruction of a VPN connection request for establishing a VPN connection;
A second connection request accepting means for accepting a second VPN connection request sent from the second VPN client after the VPN connection request sending instructing means notifies the sending instruction;
Second VPN connection establishing means for establishing a second VPN connection with the second VPN client by the second VPN connection request received by the second connection request receiving means;
A VPN connection control device comprising: relay means for relaying the first VPN connection and the second VPN connection;
Authentication means for performing authentication based on authentication information sent from the first VPN client and the second VPN client;
A line information storage unit in which physical line information to the second VPN client is stored;
Based on the information of the second VPN client included in the first VPN connection request, physical line information to the second VPN client is specified from the line information storage unit, and the specified physical line is sent from the VPN connection control device . An authentication server comprising: line information resolution means provided to the VPN connection control device upon request;
Comprising at least
The second VPN client is
Sending instruction receiving means for receiving notification from the VPN connection control device;
VPN connection request sending means for sending the second VPN connection request to the VPN connection control device according to a VPN connection request sending instruction received by the sending instruction receiving means,
The VPN connection request transmission instructing unit performs the notification to the second VPN client through the physical line specified by the line information resolution unit. 請求項記載のVPN接続制御システムにおいて、
前記回線情報記憶部には、前記第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、
前記認証手段は、前記接続許可ドメイン情報を参照し、接続を許可するユーザをユーザのドメイン名で制限することにより、前記第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断する
ことを特徴とするVPN接続制御システム。 The VPN connection control system according to claim 1 ,
The line information storage unit stores connection permission domain information set for each access line of the connection source of the first VPN client and the second VPN client,
The authentication means refers to the connection-permitted domain information, and restricts the users who are permitted to connect with the domain name of the user, thereby determining the domain connection permission of the first VPN client and the second VPN client. VPN connection control system. 第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定し、特定した物理回線を要求元に提供する回線情報解決手段と
を少なくとも備えることを特徴とする認証サーバ。 Authentication means for performing authentication based on authentication information sent from the first VPN client and the second VPN client;
A line information storage unit in which physical line information to the second VPN client is stored;
Based on the information of the second VPN client included in the first VPN connection request for establishing a VPN connection with the first VPN client for connecting to the second VPN client sent from the first VPN client, the second VPN client physical line information identified from the line information storage unit, the authentication server characterized in that it comprises at least a that provide specified physical line to the requestor times line information solutions to. 請求項記載の認証サーバにおいて、
前記回線情報記憶部には、前記第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、
前記認証手段は、前記接続許可ドメイン情報を参照し、接続を許可するユーザをユーザのドメイン名で制限することにより、前記第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断する
ことを特徴とする認証サーバ。 The authentication server according to claim 3 ,
The line information storage unit stores connection permission domain information set for each access line of the connection source of the first VPN client and the second VPN client,
The authentication means refers to the connection-permitted domain information, and restricts the users who are permitted to connect with the domain name of the user, thereby determining the domain connection permission of the first VPN client and the second VPN client. Authentication server to do.
JP2009097808A 2009-04-14 2009-04-14 VPN connection control system, authentication server Expired - Fee Related JP5133932B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009097808A JP5133932B2 (en) 2009-04-14 2009-04-14 VPN connection control system, authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009097808A JP5133932B2 (en) 2009-04-14 2009-04-14 VPN connection control system, authentication server

Publications (2)

Publication Number Publication Date
JP2010251951A JP2010251951A (en) 2010-11-04
JP5133932B2 true JP5133932B2 (en) 2013-01-30

Family

ID=43313813

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009097808A Expired - Fee Related JP5133932B2 (en) 2009-04-14 2009-04-14 VPN connection control system, authentication server

Country Status (1)

Country Link
JP (1) JP5133932B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11397821B2 (en) 2017-09-25 2022-07-26 Kabushiki Kaisha Toshiba Remote access control system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013114294A (en) * 2011-11-25 2013-06-10 Hitachi Information & Control Solutions Ltd Terminal device, terminal authentication method, terminal program and terminal setting storage medium

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100456739C (en) * 2003-07-04 2009-01-28 日本电信电话株式会社 Remote access vpn mediation method and mediation device
WO2007094059A1 (en) * 2006-02-15 2007-08-23 R & W, Inc. Data transmitting and receiving method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11397821B2 (en) 2017-09-25 2022-07-26 Kabushiki Kaisha Toshiba Remote access control system

Also Published As

Publication number Publication date
JP2010251951A (en) 2010-11-04

Similar Documents

Publication Publication Date Title
JP4754964B2 (en) Radio network control apparatus and radio network control system
JP4909277B2 (en) Network communication device, network communication method, address management device
EP1575231A1 (en) Internet connection system and server for routing connection to client device
JP5876877B2 (en) Telecommunication network and method and system for efficient use of connection between telecommunication network and customer premises equipment
WO2014043032A1 (en) System and method for routing selected network traffic to a remote network security device in a network environment
KR20020042305A (en) Method for accessing to home-network using home-gateway and home-portal sever and apparatus thereof
WO2013056585A1 (en) Virtual private cloud access authentication method and related apparatus
JP2011154622A (en) Access control system and access control method
JP5925737B2 (en) Wireless LAN system
JP2008028600A (en) Gateway device, connection controller, and network connection system
WO2008138274A1 (en) A method and corresponding device and system for accessing remote service
JP2009163546A (en) Gateway, repeating method and program
JP2005167646A (en) Connection control system, connection controller and connection manager
JP5697758B2 (en) Control connections between devices
US20100278174A1 (en) Method and Arrangement for Network Roaming of Corporate Extension Identities
JP5133932B2 (en) VPN connection control system, authentication server
US20110258236A1 (en) Secure Hotspot Roaming
JP5261432B2 (en) Communication system, packet transfer method, network switching apparatus, access control apparatus, and program
JP2004153366A (en) Virtual private network (vpn) system and relay node
JP2007049503A (en) Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device
KR101117316B1 (en) Remote access service profile setting method and user authentication method for remote accessing UPNP devices
Cisco Easy VPN Server
WO2018017480A1 (en) Dynamic service provisioning system and method
JP2006229265A (en) Gateway system
JP2008098937A (en) Virtual network communication system and communication terminal

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110824

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20111115

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20111115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120720

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120814

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121106

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121108

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151116

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 5133932

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151116

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees