明 細 書
接続方法、通信システム、装置及びプログラム
技術分野
[0001] 本発明は、フアイャウォールの通過技術に関し、特にイントラネット等の特定の内部 ネットワークに外部ネットワークからのアクセスにより VPN (virtual private network)接 続等の接続を行うための接続方法、通信システム、装置及びプログラムに関する。 背景技術
[0002] イントラネット等の内部ネットワークとインターネット等のオープンな外部ネットワーク の間に、データを管理し外部からの攻撃や不正アクセスから内部ネットワークを守りィ ンターネットとイントラネットとを中継するフアイャウォールと専用のルータもしくはブリツ ジ(社外と社外間のコネクションと社内と社内間のコネクションを中継する VPNゲート ウェイ: VPN - GW)を設けるとともに、内部ネットワーク対応のノートバソコン等のパ 一ソナルコンピュータ (持出し PC)により外部ネットワーク上から内部ネットワークにァ クセス可能とすることにより、インターネット等のオープンな外部ネットワークをプライべ ートな専用ネットワークのように利用する VPN接続が知られている(非特許文献 1、 2)
[0003] 図 37は力かる従来技術の例を示す図である。このネットワーク構成は、 A社のイント ラネット (A社イントラネット) 2とインターネット 1との間に設けた認証装置 (認証モジュ ール)を有するフアイャウォール兼 VPNゲートウェイ(Firewall &VPN— GW) 30と、 A社イントラネット上の業務サーバ 23とを備え、更にインターネット側力も専用の VPN ソフトウェア (VPNソフト)を導入した PCであって、 A社社員が会社から持ち出した PC (持出し PC) 102を用いて A社インターネット 2とアクセスする構成でなる。
[0004] 社外側の持出し PC102には社内側の業務サーバ 23等と接続し所定業務等の処 理機能を実現するアプリケーション (業務クライアントアプリケーション)がインストール され、社内側の業務サーバ 23には持出し PC102の前記業務クライアントアプリケー シヨンに対応するアプリケーション(業務サーバアプリケーション)がインストールされる (両者のアプリケーションをまとめて業務アプリケーションともいう)。また、 Firewall&
VPN— GW30は認証モジュールと、持出し PCと業務サーバ等との中継機能を有す るアプリケーション(中継アプリケーション)がインストールされて!/、る。
[0005] 本従来技術の VPN接続の手順は以下のとおりである。
A社社員には持出し PC102に関連して A社イントラネットとアクセスするための所定 の ID及びパスワードが管理レベルの高い管理者から与えられるとともに、 Firewall& VPN— GW30には予め前記 PC102からのアクセスを許可するため前記 ID及びパ スワードに関する認証設定等のデフォルト設定の処理 (a)が行われる。
[0006] A社社員が自宅等、 A社イントラネット外力も持出し PC102により前記 ID及びパス ワードを用いて A社インターネット 2にアクセス操作を行うと、前記持出し PC102は Fir ewall & VPN - GW30に VPN接続、例えば WWWブラウザと WWWサーバ間の喑 号化及び認証機能に関するプロトコル(SSL : secure sockets layer)に基づく暗号ィ匕 を行った VPN接続 (SSL接続)(b)が行われる。
[0007] 一方、 Firewall&VPN— GW30では当該アクセスに対し前記認証モジュールによ り認証の処理 (c)を行い、パスワード等が正しいことを確認すると、 A社インターネット 2への接続を許可して VPN接続を通るパケットのアドレス Zフレーム変換作業等を行 い、持出し PC102と業務サーバ 23の前記業務アプリケーション同士の両方向の通 信が可能となる。
[0008] 図 38は従来技術の他の例を示す図である。このネットワーク構成は A社インターネ ット 2とインターネット 1との間に設けたフアイャウォール(Firewall) 30と、前記 Firewa 1130と接続された VPNゲートウェイ(VPN— GW) 210及び該 VPN—GW210と接続 された業務サーバ 23とを備え、更にインターネット側に VPN— GWを内蔵する持出 し PC102とインターネット 2の VPN接続のために設置した中継サーバ(仮想 HUB、 S IPサーバ等) 101を備える。
[0009] 社外側の持出し PC102には、社内側の業務サーバ 23等と接続し所定業務等の処 理機能を実現する業務クライアントアプリケーションと該業務クライアントアプリケーシ ヨンに対する VPN接続の中継を行う中継アプリケーションと、 VPN— GW210との V PN接続の設定を行うためのアプリケーション (設定アプリケーション)と、がインスト一 ルされる。また、社内側の業務サーバ 23には持出し PC102の前記業務クライアント
アプリケーションに対応するアプリケーション(業務サーバアプリケーション)がインスト ールされる。また、 VPN— GW210には持出し PC102との VPN接続の設定を行うた めの設定アプリケーションと、業務サーバ 23の前記業務サーバアプリケーションに対 する VPN接続の中継を行う中継アプリケーションがインストールされる。更に、仮想ハ ブ 101には認証モジュールと中継アプリケーションとがインストールされる。
[0010] 本従来技術の VPN接続の手順は以下のとおりである。
予め VPN— GW210から中継サーバ 101に VPN接続(a)を行っておく。持出し PC 102から設定アプリケーションおよび中継アプリケーションにより中継サーバ 101に V PN接続のアクセス操作を行うと、中継サーバ 101は当該アクセスに対する認証 (c)を 行!、、正し 、場合に VPN - GW210からの VPN接続と持出し PC 102からの VPN接 続 (b)とを中継して両者を接続し、持出し PC102と VPN— GW210との間の VPN接 続を確立する。これら中継された 2本の VPN接続を使って、中継アプリケーションを 通じて、持出し PC102と業務サーバ 23等の間で業務アプリケーション同士が通信す る。
[0011] 図 39は従来技術の更に他の例を示す図である。このネットワーク構成は図 38と同 様に A社インターネット 2とインターネット 1との間に設けたフアイャウォール(Firewall ) 30と、 A社イントラネット上に Firewall30と接続された UPnP対応の VPNゲートゥェ ィ (VPN— GW) 220及び業務サーバ 23とを備え、更にインターネット側の VPN— G Wを内蔵する持出し PC102と A社インターネット 2の VPN— GW220との間の VPN 接続のためのディレクトリサーバ等の中継サーバ 103を備える。
[0012] 社内側の業務サーバ 23には業務サーバアプリケーションがインストールされ、
VPN— GW220には VPN接続の設定を行うための設定アプリケーション及び接続さ れた機器に対するユニバーサル ·プラグ 'アンド'プレイ (UPnP)広告を受信し必要な 設定情報を取得し、 Firewall30への穴あけ設定等を行う UPnPアプリケーションと、 業務サーバ 23の前記業務サーバアプリケーションに対する VPN接続の中継を行う 中継アプリケーションがインストールされる。ディレクトリサーバ 103には認証モジユー ルがインストールされ、更に社外側の持出し PC102には、 VPN接続の設定を行うた めの設定アプリケーション、前記業務サーバ 23等に対応する業務クライアントアプリ
ケーシヨン、業務アプリケーション同士の接続と VPN接続とを中継する中継アプリケ ーシヨンがインストールされる。
[0013] 本従来技術の VPN接続の手順は以下のとおりである。
Firewall30はイントラネット内に接続された VPN— GW220等の UPnP対応機器 に対し、 Firewall自身のアドレス情報やアクセスの操作手順等の情報を IPブロードキ ャストで送信する UPnP広告を行うように予め設定されて!、る。
[0014] VPN— GW220は A社イントラネットに接続されたとき Firewall30から UPnP広告 を受信(a)し、受信した情報力も Firewall30を設定するための Firewall30自体の設 定用アドレスを取得するとともに、予め VPN— GW220から中継サーバ 103にコネク シヨン (b)を張る。
[0015] 持出し PC102から VPNソフトにより中継サーバ 103にコネクション(c)を張ると、中 継サーバ 103は持出し PC102の認証を行い正しい場合に VPN— GW220からのコ ネクシヨンと持出し PC102からのコネクションとを中継して両者を接続する(d)。
[0016] 次に、持出し PC102から VPN— GW220に対して中継サーバ 103経由で中継さ れた前記コネクション間の接続を介して VPN接続の要求 (VPN接続要求) (e)を行う と、 VPN— GW220は UPnP広告で得られた設定用アドレスを使って、 Firewall30 に穴あけ設定を行う (f)とともに、該設定が完了すると中継された前記コネクション間 の接続を介して持出し PC102側に穴あけ設定の完了を通知する。持出し PC102は 穴あけ設定の完了の通知を受けると、 VPN— GW220に対して前記穴あけ設定の結 果に基づ 、て Firewall30を外部より通過できる新たな VPN接続 (g)を行 、、当該 V PN接続 (g)を介して、業務アプリケーション同士の通信を行う。
[0017] 非特許文献 1:「SSL-VPNアプライアンス マルチ ·アプリケーション 'ポータブル SA FEBORDER AP100」 [平成 16年 6月 8日検索]、インターネットく URL :http:〃 cc sd.biglobe.ne.jp/ security/lineup/ SAFEBORDER/ #top
非特許文献 2 :「SoftEther. com— SoftEther Webページ 安全で簡単'高性能 な VPN SoftEther Virtual Ethernet System」 [平成 16年 6月 8日検索]、ィ ンターネット < URL: http://www.softether.com/jp/ >
発明の開示
発明が解決しょうとする課題
[0018] 図 37に示す従来技術においては、フアイャウォールの管理はイントラネット管理部 門の高い管理レベルの管理者 (フアイャウォール管理者)の厳重な管理下に属するも のであるから、 A社社員といえどもフアイャウォール管理者の許可無しに社外力もの アクセスを可能とするようなフアイャウォールの設定を行うことはできない。つまり、この 設定にはフアイャウォール管理者の承認を得るという厳格で煩雑な承認手続が要求 される。また、この設定には高度な技術を要することもあり作業が困難で手間も力かる
[0019] 一方、図 38に示す従来技術は、厳格な承認手続等を必要とするフアイャウォール の設定を行うことなく簡単に社外との VPN接続 (VPN構築)を行うことが可能である。 しかし、この従来技術では社外に中継サーバを設置しなければならず、かかる中継 サーバの設置においてはグローバル IPアドレスの取得とサーバ設置場所の確保等 が必要となる。
[0020] しかも、 1グローバル IPアドレスの取得には所定機関からの公式の承認を得る必要 があり、申請人確認等を含む申請手続が必要となるという一層困難で煩雑な手続き が要求される。更にまた、中継サーバの利用においては、持出し PC等の VPNアプリ によっては膨大なデータの送受信が必要となる場合が多ぐ中継サーバでのデータ 転送等の負荷が極めて高くなり、また、既存業者の中継サーバを利用する場合には データ転送量に応じた多大な費用がかかると 、う問題もある。
[0021] これに対し、図 39に示す従来技術では、フアイャウォールの穴あけ設定による VP N接続により中継サーバを介することなく本来のデータ転送を実現することが可能で あるから、社外に設置した中継サーバ等のデータ転送量等、負荷を軽くすることが可 能であり近年では普及して 、る通信システムである。し力しながらフアイャウォールに UPnP広告の手順を導入する等の UPnP対応が必要であるのみならず、更に中継サ ーバまでも必要となるという点で問題がある。
[0022] (目的)
本発明の目的は、以上の課題を解決するものであり、フアイャウォールの設定及び 中継サーバの設置等を不要とし、フアイャウォールの外側力も接続を要求して内側と
の通信を可能とする接続方法、通信システム、装置及びプログラムを提供することに ある。
課題を解決するための手段
[0023] 本発明の接続方法は、外部ネットワーク上の情報処理端末と前記外部ネットワーク にフアイャウォールを介して接続される内部ネットワーク上のゲートウェイ装置との間 で接続を行う接続方法であって、前記外部ネットワーク上の情報処理端末から前記 内部ネットワークへアクセス可能な手段で接続を要求するステップと、前記ゲートゥェ ィ装置が、前記接続要求に対して、前記フアイャウォールを介して前記接続要求を行 つた情報処理端末にコールバックにより接続要求を行うステップと、からなる。
[0024] また、外部ネットワークの情報処理端末と該外部ネットワークにフアイャウォールによ り接続された内部ネットワークのゲートウェイ装置 (例えば図 1の 20)との間で接続 (例 えば VPN接続)を行う接続方法であり、外部ネットワークの情報処理端末から内部ネ ットワークのメールサーバに接続を要求する制御メールを送信するステップと、内部 ネットワークのゲートウェイ装置が前記制御メールに対し前記フアイャウォールを介し て前記制御メールの送信元に接続のコールバックを行うステップと、からなる。
[0025] また、ゲートウェイ装置が前記メールサーバに定期的に制御メールの受信を問い合 わせるステップと、受信された制御メールを取得して認証を行うステップと、認証が正 LV、場合に制御メールに基づ 、て情報処理端末に対する接続を行うステップと、を 含む。
[0026] また、外部ネットワークの情報処理端末力も電話回線を介して内部ネットワークの前 記ゲートウェイ装置 (例えば図 1の 20)に接続 (例えば VPN接続)を要求する制御情 報を送信するステップと、内部ネットワークのゲートウェイ装置が制御情報の送信に対 し前記フアイャウォールを介して前記制御情報の送信元に接続 (例えば VPN接続) のコールバックを行うステップと、からなり、又は、外部ネットワークの情報処理端末か ら無線回線を介して内部ネットワークの前記ゲートウェイ装置に接続を要求する制御 情報を送信するステップと、内部ネットワークのゲートウェイ装置が前記制御情報の送 信に対し前記フアイャウォールを介して前記制御情報の送信元に接続のコールバッ クを行うステップと、からなる。
[0027] また、内部ネットワークのゲートウェイ装置が前記制御情報に対し認証を行うステツ プと、認証が正 U、場合に制御情報に基づ!、て情報処理端末に対する接続を行うス テツプと、を含む。
[0028] 更に、前記ゲートウェイ装置は、前記内部ネットワーク上に複数存在し、又は前記 内部ネットワークへのアクセスを許可された者ごとに存在し、又は前記内部ネットヮー クへのアクセスを許可された複数の者に 1台の割合で存在することを特徴とする。
[0029] また、前記フアイャウォールは、前記内部ネットワーク上に複数存在することを特徴 する。
[0030] また、前記制御メールは、 UPnPにより取得した IPアドレスを通知し、前記情報処理 端末は、フアイャウォールにサービス登録を行うことを特徴とする。
[0031] また、前記制御メールは、接続希望先の VLAN情報を通知し、前記ゲートウェイ装 置は、前記制御メールに記載された VLANのタグを挿入削除することを特徴とする。
[0032] 本発明の通信システムは、外部ネットワーク上の情報処理端末と前記外部ネットヮ 一クにフアイャウォールを介して接続される内部ネットワーク上のゲートウェイ装置との 間で接続を行う通信システムであって、前記外部ネットワーク上の情報処理端末から 前記内部ネットワークへアクセス可能な手段で接続を要求し、前記ゲートウェイ装置 力 前記接続要求に対して前記フアイャウォールを介して前記接続要求を行った情 報処理端末にコールバックにより接続要求を行うことにより、前記情報処理端末と前 記ゲートウェイ装置との接続を行う通信システムである。
[0033] また、外部ネットワークの情報処理端末と該外部ネットワークにフアイャウォールによ り接続された内部ネットワークのゲートウェイ装置との間に接続を行う通信システムで あり、前記情報処理端末は内部ネットワークのメールサーバに接続を要求する制御メ ールを送信し、前記ゲートウェイ装置は前記メールサーバから制御メールを取得し、 当該制御メールに基づいて前記フアイャウォールを介して前記情報処理端末に接続 のコールバックを行うことにより、前記情報処理端末と前記ゲートウェイ装置との接続 を行う通信システムである。
[0034] 更に、前記ゲートウェイ装置は、前記内部ネットワーク上に複数存在し、又は前記 内部ネットワークへのアクセスを許可された者ごとに存在し、又は前記内部ネットヮー
クへのアクセスを許可された複数の者に 1台の割合で存在することを特徴とする通信 システムである。
[0035] また、前記フアイャウォールは、前記内部ネットワーク上に複数存在することを特徴 する通信システムである。
[0036] また、前記制御メールは、 UPnPにより取得した IPアドレスを通知し、前記情報処理 端末は、フアイャウォールにサービス登録を行うことを特徴とする通信システムである
[0037] また、前記制御メールは、接続希望先の VLAN情報を通知し、前記ゲートウェイ装 置は、前記制御メールに記載された VLANのタグを挿入削除することを特徴とする 通信システムである。
[0038] また、本発明のゲートウェイ装置及び情報処理端末は、以下の手段 (機能)を有す る。
[0039] つまり、前記ゲートウェイ装置は、外部ネットワーク上の情報処理端末からの接続を 要求するアクセスを受ける機能、前記アクセスに対して前記フアイャウォールを介して 前記接続要求を行った情報処理端末にコールバックにより接続要求を行うことにより
、前記情報処理端末との接続を行う機能を有し、また、前記アクセス手段に関し、前 記ゲートウェイ装置は前記メールサーバに自己宛の電子メールの受信を定期的に問
V、合わせる機能、又は前記ゲートウェイ装置は前記メールサーバとの兼用装置であり メールサーバの電子メールの受信毎に当該電子メールが制御メール力否かを判別 する機能を有し、自己宛の電子メールを取得し制御メール力否かを判別する機能と、 制御メールに対する認証機能と、を有する。制御メール力否かは、あら力じめ定めた 任意の文字列力 メールの本文もしくは見出しに含まれているか否かによって判断す る。
[0040] また、前記情報処理端末は、前記外部ネットワーク上の端末から前記内部ネットヮ ークへアクセス可能な手段で接続を要求し、前記ゲートウェイ装置に前記接続要求 に対して前記フアイャウォールを介して接続のコールバックを行わせることにより前記 ゲートウェイ装置との接続を行う。また、前記情報処理端末は電話回線を介して前記 ゲートウェイ装置に接続を要求する制御情報を送信し、前記ゲートウェイ装置は前記
制御情報に基づいて前記フアイャウォールを介して前記情報処理端末に接続のコー ルバックを行うことにより、前記情報処理端末と前記ゲートウェイ装置との接続を行う、 又は前記情報処理端末は無線回線を介して前記ゲートウェイ装置に接続を要求す る制御情報を送信し、前記ゲートウェイ装置は前記制御情報に基づ 、て前記フアイ ャウォールを介して前記情報処理端末に接続のコールバックを行うことにより、前記 情報処理端末と前記ゲートウェイ装置との接続を行う。前記ゲートウェイ装置は、発信 者番号通知により取得した前記情報処理端末の電話番号、又は前記制御情報によ り認証を行う。
[0041] 本発明の制御プログラムは、外部ネットワークの情報処理端末との間に接続を行う ところの、前記外部ネットワークにフアイャウォールにより接続された内部ネットワーク のゲートウェイ装置の制御プログラムであって、前記ゲートウェイ装置の制御部に、前 記情報処理端末から接続を要求するアクセスを受ける機能と、前記接続要求に対し て前記フアイャウォールを介して前記接続要求を行った情報処理端末にコールバッ クにより接続要求を行う機能と、を実現させるプログラムである。
[0042] また、前記ゲートウェイ装置の制御部に、前記情報処理端末から送信された接続を 要求する制御メールをメールサーバから取得する機能と、該制御メールに基づ 、て 前記フアイャウォールを介して前記情報処理端末に接続のコールバックを行う機能と 、を実現させるプログラムである。
[0043] また、前記メールサーバに自己宛の電子メールの受信を定期的に問い合わせる機 能と、自己宛の電子メールを取得し制御メール力否かを判別する機能と、制御メール に対する認証機能と、を実現させるためのプログラムを含む。
[0044] また、前記メールサーバとの兼用機能としてのメールサーバの電子メールの受信毎 に当該電子メールが制御メール力否かを判別する機能と、制御メールに対する認証 機能と、を実現させるためのプログラムを含む。
[0045] また、外部ネットワークの情報処理端末との間に接続を行うところの、前記外部ネッ トワークにフアイャウォールにより接続された内部ネットワークのゲートウェイ装置の制 御プログラムであって、前記ゲートウェイ装置の制御部に、前記情報処理端末から電 話回線を介して送信された接続を要求する制御情報を受信する機能と、該制御情報
に基づいて前記フアイャウォールを介して前記情報処理端末に接続のコールバック を行う機能と、を実現させるプログラムである。
[0046] また、前記情報処理端末からの発信者番号通知により取得した電話番号に基づい て認証を行う機能を実現するプログラムを含む。
[0047] また、外部ネットワークの情報処理端末との間に接続を行うところの、前記外部ネッ トワークにフアイャウォールにより接続された内部ネットワークのゲートウェイ装置の制 御プログラムであって、前記ゲートウェイ装置の制御部に、前記情報処理端末から無 線回線を介して送信された接続を要求する制御情報を受信する機能と、該制御情報 に基づ!/、て、前記フアイャウォールを介して前記情報処理端末に接続のコールバッ クを行う機能と、を実現させるプログラムである。
[0048] また、前記制御情報により認証を行う機能と、認証が正 U、場合に前記情報処理端 末に対する接続を行う機能と、を実現するプログラムを含む。
[0049] また、外部ネットワークにフアイャウォールにより接続された内部ネットワークのゲー トウエイ装置との間に接続を行うための前記外部ネットワークの情報処理端末の制御 プログラムであって、前記情報処理端末の制御部に、前記内部ネットワークヘアクセ ス可能な手段で接続を要求する機能と、前記ゲートウェイ装置に、前記接続要求に 対して、前記フアイャウォールを介して前記接続要求を行った情報処理端末にコー ルバックにより接続要求を行わせる機能と、を実現させるプログラムである。
[0050] また、前記情報処理端末の制御部に、接続を要求する制御メールをメールサーバ に送信する機能と、前記ゲートウェイ装置に前記メールサーバの制御メールに基づ V、て前記フアイャウォールを介して接続のコールバックを行わせる機能と、を実現さ せるプログラムである。
[0051] また、外部ネットワークにフアイャウォールにより接続された内部ネットワークのゲー トウエイ装置との間に接続を行うための前記外部ネットワークの情報処理端末の制御 プログラムであって、前記情報処理端末の制御部に、電話回線を介して接続を要求 する制御情報を送信する機能と、前記ゲートウェイ装置に前記制御情報に基づ 、て 、前記フアイャウォールを介して接続のコールバックを行わせる機能と、を実現させる プログラムである。
[0052] また、外部ネットワークにフアイャウォールにより接続された内部ネットワークのゲー トウエイ装置との間に接続を行うための前記外部ネットワークの情報処理端末の制御 プログラムであって、前記情報処理端末の制御部に、無線回線を介して接続を要求 する制御情報を送信する機能と、前記ゲートウェイ装置に前記制御情報に基づ 、て 、前記フアイャウォールを介して接続のコールバックを行わせる機能と、を実現させる プログラムである。
[0053] また、前記制御メールは、 UPnPにより取得した IPアドレスを通知し、前記情報処理 端末は、フアイャウォールにサービス登録を行うことを特徴とする。
[0054] また、前記制御メールは、接続希望先の VLAN情報を通知し、前記ゲートウェイ装 置は、前記制御メールに記載された VLANのタグを挿入削除することを特徴とする。
[0055] (作用)
内部ネットワーク上に外部ネットワークとの接続点に設けられたフアイャウォール (Fi rewall)においては、フアイャウォール外(外部ネットワーク)からフアイャウォール内( 内部ネットワーク)のメールサーバへの電子メールによるアクセスゃフアイャウォール を経由しない電話、無線等のアクセスは可能である。また、フアイャウォールは、ファ ィャウォール外力もフアイャウォール内への接続によるアクセスは極めて困難であるも のの、その逆向きの接続によるアクセスは簡単に実施できるという特性を有する。これ らのことからメールサーバ、電話回線又は無線回線等のアクセス手段を利用して、内 部ネットワークにおいて外部ネットワークからの接続を要求する制御用の電子メール や制御情報等のアクセスを受け、内部ネットワークから当該電子メール等の送信元に 接続のコールバックを行うことにより、結果的に外部ネットワークからフアイャウォール を通過(例えば VPN接続)することを可能とする。
発明の効果
[0056] 本発明によれば、フアイャウォール(Firewall)内力 フアイャウォール外への接続 にはフアイャウォール自体の設定操作は不要であり、情報処理端末 (持ち出し PC)と ゲートウェイ装置とはフアイャウォールを介して直接接続されるので、フアイャウォール の設定及び中継サーバの設置等を不要とし、フアイャウォール管理者の承認、グロ 一バル IPアドレスの取得、データ転送量に応じた費用等の問題をすベて解決するこ
とが可能である。
[0057] 制御用の電子メールにより接続要求をフアイャウォール内に送信することにより、結 果的にフアイャウォール外力 フアイャウォール内に接続を実現することが可能であ る。特に、電子メールの利用により接続時に電話回線を使用しないので余分な通信 料金がかからな!/、と 、う顕著な利点を有する。
[0058] また、電子メールに代えて電話回線又は無線回線を利用して接続要求の制御情報 をフアイャウォール内に送信することにより結果的にフアイャウォール外力 フアイャゥ オール内に接続を実現することが可能である。
[0059] 更に、本発明のゲートウェイ装置はイントラネット内で、例えば 1社員毎ないし複数 社員毎(例えば、 2〜50もしくは 2〜: LOO名の社員毎に 1台)に設置可能とし、フアイ ャウォール外からのアクセスに対しては認証を行うように構成し、該認証のための ID 、パスワードの設定は当該ゲートウェイ装置で各社員毎等に書き換え可能とすること により、セキュリティを確保しつつ比較的簡易な形での持ち出し PCによる社外力もの 接続を可能とすると 、う利便性の高 、通信システムを実現することが可能である。 図面の簡単な説明
[0060] [図 1]本発明の第 1の実施の形態のネットワーク構成を示す図である。
[図 2]第 1の実施の形態の動作の手順を示す図である。
[図 3]第 1の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。
[図 4]具体ィ匕した第 2の実施の形態として VPN接続の例を示す図である。
[図 5]具体ィ匕した第 3の実施の形態として IP電話のための VPN接続の例を示す図で ある。
[図 6]本発明の第 4の実施の形態のネットワーク構成を示す図である。
[図 7]第 4の実施の形態に搭載されるソフトウェア等とプロトコル上の通信処理を示す 図である。
[図 8]第 4の実施の形態の動作の手順を示す図である。
[図 9]第 4の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。
[図 10]本発明の第 5の実施の形態のネットワーク構成を示す図である。
[図 11]第 5の実施の形態の各装置に搭載されるソフトウェア等とプロトコル上の通信
処理を示す図である。
圆 12]第 5の実施の形態の動作の手順を示す図である。
圆 13]第 5の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。 圆 14]本発明の第 6の実施の形態のネットワーク構成を示す図である。
圆 15]第 6の実施の形態の各装置に搭載されるソフトウエア等とプロトコル上の通信 処理を示す図である。
圆 16]第 6の実施の形態の動作の手順を示す図である。
圆 17]第 6の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。
[図 18]本発明の第 7の実施の形態のネットワーク構成を示す図である。インターネット [図 19]第 7の実施の形態の個々の装置に搭載されるソフトウェア等とプロトコル上の 通信処理を示す図である。
圆 20]第 7の実施の形態の動作の手順を示す図である。
圆 21]第 7の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。 圆 22]本発明の第 8の実施の形態のネットワーク構成を示す図である。
圆 23]第 8の実施の形態の各装置に搭載されるソフトウエア等とプロトコル上の通信 処理を示す図である。
圆 24]第 8の実施の形態の動作の手順を示す図である。
圆 25]第 8の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。 圆 26]本発明の第 9の実施の形態のネットワーク構成を示す図である。
圆 27]第 9の実施の形態の動作の手順を示す図である。
圆 28]第 9の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。 圆 29]本発明の第 10の実施の形態のネットワーク構成を示す図である。
圆 30]第 10の実施の形態の動作の手順を示す図である。
圆 31]第 10の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。 圆 32]本発明の第 11の実施の形態のネットワーク構成を示す図である。
圆 33]第 11の実施の形態の動作の手順を示す図である。
圆 34]第 11の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。 圆 35]本発明の第 12の実施の形態の持ち出し PCの構成を示す図である。
圆 36]本発明の第 12の実施の形態のゲートウェイ装置の構成を示す図である。
[図 37]従来技術の例を示す図である。
[図 38]従来技術の他の例を示す図である。
[図 39]従来技術の更に他の例を示す図である。
圆 40]本発明の第 13の実施の形態のネットワーク構成を示す図である。
圆 41]第 13の実施の形態に搭載されるソフトウェア等とプロトコル上の通信処理を示 す図の一部である。
圆 42]第 13の実施の形態に搭載されるソフトウェア等とプロトコル上の通信処理を示 す図の一部である。
圆 43]第 13の実施の形態に搭載されるソフトウェア等とプロトコル上の通信処理を示 す図の一部である。
圆 44]第 13の実施の形態の動作の手順を示す図である。
圆 45]本発明の第 14の実施の形態のネットワーク構成を示す図である。
[図 46]第 14の実施の形態に搭載されるソフトウェア等とプロトコル上の通信処理を示 す図の一部である。
圆 47]第 14の実施の形態に搭載されるソフトウェア等とプロトコル上の通信処理を示 す図の一部である。
[図 48]第 14の実施の形態に搭載されるソフトウェア等とプロトコル上の通信処理を示 す図の一部である。
圆 49]第 14の実施の形態の動作の手順を示す図である。
圆 50]本発明の第 15の実施の形態のネットワーク構成を示す図である。
圆 51]第 15の実施の形態に搭載されるソフトウエア等とプロトコル上の通信処理を示 す図の一部である。
圆 52]第 15の実施の形態に搭載されるソフトウエア等とプロトコル上の通信処理を示 す図の一部である。
符号の説明
1 インターネット
2 イントラネット
3 フアイャウォール
フアイャウォール
5 部門イントラネット
6 フアイャウォール
7 家庭内 LAN
10 情報処理端末
11 社外 SMTPサーバ
12 持ち出し PC (情報処理端末の一形態)
13 社外 POPサーバ
20 ゲートウェイ装置
21 社内 POPサーバ
22 ゲートウェイ装置 (IP電話用)
23 業務サーバ
24 社内 POPサーバ兼ゲートウェイ装置
25 ゲートウェイ装置 (電話回線対応)
26 ゲートウェイ装置 (無線回線対応)
27 HUB
28 HUB
30 Firewall&VPN— GW (ゲートウェイ機能付きフアイャゥォ 51 HUB
71 HUB
101 中継サーバ(仮想 HUB)
102 持出し PC (情報処理端末の一形態)
103 中継サーノ (ディレクトリサーノ 、 SIP (シップ)サーバ)
210 VPNゲートウェイ(VPN— GW)
220 VPNゲートウェイ(UPnP対応)
1001 入力部 (持ち出し PC)
1002 記憶部 (持ち出し PC)
1003 アクセス手段 (持ち出し PC)
1004 インターフェース部(持ち出し PC)
1005 記録媒体 (持ち出し PC)
1006 制御部(CPU) (持ち出し PC)
2001 入力部(ゲートウェイ装置)
2002 記憶部(ゲートウェイ装置)
2003 アクセス手段 (ゲートウェイ装置)
2004 インターフェース部(ゲートウェイ装置)
2005 記録媒体 (ゲートウェイ装置)
2006 制御部(CPU) (ゲートウェイ装置)
A1 業務クライアントアプリケーション (持ち出し PC)
A2 中継サーバアプリケーション (持ち出し PC)
A3 制御メール送信アプリケーション (持ち出し PC)
A4 SSL (持ち出し PC)
A5 TCP (持ち出し PC)
A6 IPルーティング(持ち出し PC)
A7 IPスタック(Private IP) (持ち出し PC)
A8 仮想ドライバ (持ち出し PC)
A9 仮想 NIC (持ち出し PC)
A10 SSL (持ち出し PC)
Al l TCP (持ち出し PC)
A12 IPスタック(Global IP) (持ち出し PC)
A13 ドライバ (持ち出し PC)
A14 NIC (持ち出し PC)
A15 SSL (持ち出し PC)
A16 TCP (持ち出し PC)
A21 送受話器 (持ち出し PC)
A22 IP電話サーバアプリケーション (持ち出し PC)
A23 UPnPクライアントアプリケーション(Firewall) A24 TCP (Firewall)
Bl 制御メール受信アプリケーション (ゲートウェイ装置)
B2 中継クライアントアプリケーション (ゲートウェイ装置)
B3 SSL (ゲートゥヱイ装置)
B4 TCP (ゲートウェイ装置)
B5 IPルーティング(ゲートウェイ装置)
B6 IPスタック(Private IP) (ゲートウェイ装置)
B7 ブリッジ (ゲートウェイ装置)
B8 ドライバ (ゲートウェイ装置)
B9 NIC (ゲートウェイ装置)
BIO SSL (ゲートウェイ装置)
Bl l TCP (ゲートウェイ装置)
B12 仮想ドライバ (ゲートゥヱイ装置)
B13 仮想 NIC (ゲートウェイ装置)
B14 認証モジュール (ゲートウェイ装置)
B15 ドライバ (ゲートゥヱイ装置)
B16 NIC (ゲートウェイ装置)
B21 送受話器 (ゲートゥ イ装置)
B22 IP電話クライアントアプリケーション
C1 業務サーバアプリケーション
C2 SSL (業務サーバ)
C3 TCP (業務サーバ)
C4 IPルーティング(業務サーバ)
C5 IPスタック(Private IP) (業務サーバ)
C6 ドライバ(業務サーバ)
C7 NIC (業務サーバ)
Dl SMTPサーバアプリケーション(SMTPサーバ)
D2 SSL (SMTPサーバ)
D3 TCP (SMTPサーバ)
D4 IPルーティング(SMTPサーバ)
D5 IPスタック(Global IP) (SMTPサーバ)
D6 ドライバ(SMTPサーバ)
D7 NIC (SMTPサーバ)
El POPサーバアプリケーション(POPサーノく)
E2 SSL (POPサーバ)
E3 TCP (POPサーバ)
E4 IPルーティング(POPサーバ)
E5 IPスタック(Global IP) (POPサーバ)
E6 ドライバ(POPサーバ)
E7 NIC (POPサーバ)
F 1 IPノレ一ティング(Firewall)
F2 IPスタック(Global IP) (Firewall)
F3 ドライバ(Firewall)
F4 NIC (Firewall)
F5 IPスタック(Private IP) (Firewall)
F6 ドライバ(Firewall)
F7 NIC (Firewall)
F8 UPnPサーバアプリケーション(Firewall)
F9 TCP (Firewall)
PI 接続 (A3→D1)
P2 接続 (D1→E1)
P3 接続 (B1→E1)
P4 VPN接続(B2→A2)
P5 接続 (A1→A2)
P6 接続 (B2→C1)
P7 接続 (B1→B14)
P8 接続 (A23→F8)
発明を実施するための最良の形態
[0062] 次に本発明の接続方法、通信システム、装置及びプログラムの実施の形態にっ ヽ て、 VPN接続を例とする実施の形態により説明する。
[0063] (第 1の実施の形態)
(構成の説明)
図 1は、本発明の第 1の実施の形態のネットワーク構成を示す図である。インターネ ット 1と、イントラネット (A社イントラネット) 2と、インターネット 1と A社イントラネット 2との 間に設置されたフアイャウォール (Firewall) 3と、からなり、 A社イントラネット 2には、 前記 Firewall3と HUBを介して接続され接続要求に従ってインターネット側への接 続を行う対象アプリケーション力 Sインストールされたゲートウェイ装置 20を備え、インタ 一ネット側には A社社員(A社イントラネットへのアクセスを許可された者)が A社から 持ち出し可能であり、ゲートウェイ装置 20との接続を要求する設定アプリケーション( 接続要求アプリケーションとも 、う)及びゲートウェイ装置 20からの接続を受け何らか の処理を行う対象アプリケーション等の専用のソフトウェアがインストールされ、ゲート ウェイ装置 20に接続要求を行うためのアクセス手段を有する情報処理端末 10を備え た構成でなる。なお、本発明における Firwall3としては、 Proxy (プロキシ、プロクシ)サ ーバにより構成することも可能である。これは以下の実施の形態においても同様であ る。
[0064] ここで情報処理端末 10は、ノート PC等の持ち運びできる端末であり、インターネット 1内で使用する場合は、図 1に示す情報処理端末 10の位置に設置することにより使 用できるとともに、 A社イントラネット 2内で使用する場合は、ゲートウェイ装置 20の代 わりとして図 1に示す該ゲートウェイ装置 20位置に設置して使用することができる。 A 社イントラネット 2内での使用時にはハブ (HUB)等を介して前記 Firewall3やイント ラネット内の業務サーバ等との通信に使用し、また、インターネット上 (イントラネット外 )での使用時には前記ゲートウェイ装置 20を該 HUB等を介して A社イントラネット 2内 に設置し、前記 FireWa113等を介して前記ゲートウェイ装置 20と前記情報処理端末 1
0の接続を設定することにより両者間の通信を可能にすることができる。
[0065] 本実施の形態にお!ヽて、社外側の情報処理端末 10に搭載された接続要求アプリ ケーシヨンは、インターネット上からフアイャウォール内へのアクセスが可能な手段(ァ クセス手段)により接続要求を行うソフトウェアであって、例えば、フアイャウォールを 介してアクセス可能な電子メールの送信用のアプリケーションゃフアイャウォールを介 することなくアクセス可能な電話回線、無線回線等の送信用のアプリケーション等が 適用可能である。一方ゲートウェイ装置 20に搭載された対象アプリケーションは社外 側の情報処理端末 10からの接続要求のアクセスに対し、フアイャウォールを介する 接続の確立が可能である。また、対象アプリケーションとしてはインターネットとイント ラネットのフレームの変換処理ソフトである VPN用カプセル化(中継クライアントアプリ ケーシヨン、中継サーバアプリケーション等)の他に、 VPN用アドレス変換、 Webプロ キシ、 IP電話、ビデオストリームミング、ファイルサーノ 、 FTP,ファイル交換等、各種 のアプリケーションが適用可能である。
[0066] 情報処理端末 10の接続要求アプリケーションによりゲートウェイ装置 20に接続要 求(a)のアクセスを行い、当該アクセスに対しゲートウェイ装置 20は対象アプリケーシ ヨンにより情報処理端末 10との接続 (b)を確立する。
[0067] 以下、本発明の各種アプリケーションにおいては、クライアントとは接続を要求する 側のアプリケーションを意味し、サーバとは接続を受ける側のアプリケーションを意味 する。
[0068] (動作の説明)
図 2は、本実施の形態の動作の手順を示す図である。本実施の形態の動作は以下 のとおりである。
(1) A社社員は情報処理端末 10の接続要求アプリケーションにより、電子メールや 電話回線等のアクセス手段を介してゲートウェイ装置 20宛(アクセス手段が電子メー ルである場合は A社社員自身のメールアドレス宛)に接続要求を行う。ここで接続要 求には接続要求のアクセスであることを示す識別用情報、情報処理端末 10の IPアド レス等、 A社イントラネット側に設置されたゲートウェイ装置力も情報処理端末 10への 接続に必要な情報が付加される (a)。
(2)ゲートウェイ装置 20は、接続要求のアクセスを受けると、接続用のアプリケーシ ヨンにより接続要求に含まれる情報に基づいて接続の要求元の IPアドレス等に接続 を確立する(b)。この場合、 A社イントラネット 2内からインターネット 1に向けて接続を 確立するため、 Firewall3は特別な設定なしに通過可能である。
(3)接続の確立後、この接続が切断されるまで、情報処理端末 10は A社イントラネ ット内のゲートウェイ装置 20との間で、対象アプリケーション同士の双方向の通信が 可能となる。
[0069] 図 3は第 1の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。
ゲートウェイ装置 20は、他の機器からのアクセスを待ち受け (ステップ Sl、 S2)、ァク セスを受けると (ステップ S2、 YES)、当該アクセスの識別情報を判断する (ステップ S 3、 S4)。接続要求のアクセスである場合 (ステップ S4、 YES)、ゲートウェイ装置 20 は、接続要求に含まれる情報に基づき接続の要求元である情報処理端末 10の IPァ ドレスに接続を行う(S5)。当該接続がされた後、この接続が切断されるまで、情報処 理端末 10は、ゲートウェイ装置 20又は A社イントラネット内の接続機器との間で対象 アプリケーション同士の通信が可能となる。ステップ S4で接続要求でな 、場合 (NO) 、待ち受け状態となる (ステップ Sl、 S8)。
[0070] 以上のようにして、本発明によれば Firewall3やそのゲートウェイの設定を変更する ことなく、また社外ネットワークに中継サーバを設置することなぐ社外ネットワークのィ ンターネット 1から要求して A社イントラネット 2からのインターネット 1への接続が可能 であるから、フアイャウォール管理者の承認手続きや中継サーバの設置、利用等の 困難を伴うことがない。
[0071] (第 2の実施の形態)
図 4は第 1の実施の形態をより具体ィ匕した実施の形態として、対象アプリケーション として中継接続機能(中継アプリケーション)を有する VPN接続の例を示す図である 。本実施の形態の構成は図 1の示す実施の形態と同様であるが、 A社イントラネット 2 内には、 Firewall3に HUBを介して接続され、インターネット側力もの接続要求に基 づ 、てインターネット側への接続を行う設定アプリケーション、及び A社イントラネット 2 内の機器との中継接続機能を有する中継アプリケーション等の対象アプリケーション
力 Sインストールされたゲートウェイ装置 20と、を備え、情報処理端末 10は前記ゲート ウェイ装置 20によりイントラネット 2内の機器の一つである例えば業務サーバ 23と接 続して両者の業務アプリケーション同士の通信を可能とするものである。
[0072] 情報処理端末 10は接続要求アプリケーション及び業務アプリケーションに加えて、 該業務アプリケーションとゲートウェイ装置側との中継用のアプリケーション(中継サ ーバアプリケーションと 、う)を有し、ゲートウェイ装置 20は情報処理端末 10側と業務 サーバ 21との中継用のアプリケーション(中継クライアントアプリケーションと!/、う)を有 する。
[0073] 本実施の形態の動作は次のとおりである。情報処理端末 10の接続要求アプリケー シヨンによりゲートウェイ装置 20に接続要求 (a)のアクセスを行い、当該アクセスに対 しゲートウェイ装置 20は中継クライアントアプリケーションにより情報処理端末 10に対 して VPN接続 (b)を行う。次に、ゲートウェイ装置 20は中継クライアントアプリケーショ ンにより業務サーバ 23から情報処理端末 10へのパケットと、情報処理端末 10から業 務サーバ 23へのパケットを、 VPN接続 (b)の中を通過させることにより中継し、情報 処理端末 10の業務クライアントアプリケーションと業務サーバ 23の業務サーバアプリ ケーシヨンとの間で業務アプリケーション同士の双方向の通信が可能となる。
[0074] (第 3の実施の形態)
図 5は第 1の実施の形態をより具体ィ匕した実施の形態として、対象アプリケーション として IP電話アプリケーションを用いた場合の、情報処理端末 10とゲートウェイ装置 2 2間の接続例として IP電話のための VPN接続の例を示す図である。ゲートウェイ装 置 22は、図 4に示すゲートウェイ装置 20において送受話器もしくは電話機を接続し たものである。本実施の形態の構成は図 1の示す実施の形態と同様であるが、情報 処理端末 10及びゲートウェイ装置 22はそれぞれ IP電話用の対象アプリケーションを 有するとともに、 IP電話用の送受話機又は電話機 (送受話器という)と接続され、情報 処理端末 10とゲートウェイ装置 22との接続を介して IP電話による通話を可能とするも のである。情報処理端末 10は接続要求アプリケーション及び IP電話用の対象アプリ ケーシヨンを有し、ゲートウェイ装置 22は接続受付アプリケーション (制御メール受信 アプリケーション等)及び情報処理端末 10側との IP電話用の対象アプリケーションを
有する。
[0075] 本実施の形態の動作は次のとおりである。情報処理端末 10の接続要求アプリケー シヨンにより電子メールや電話回線 '無線回線等を通じてゲートウェイ装置 22に接続 要求 (a)のアクセスを行い、当該アクセスに対しゲートウェイ装置 22は IP電話アプリケ ーシヨンにより情報処理端末 10との接続 (b)を行う。情報処理端末 10とゲートウェイ 装置 22との間の接続が確立すると、両者の送受話機間で通話が可能となる。
[0076] (第 4の実施の形態)
(構成の説明)
図 6は、本発明の第 4の実施の形態のネットワーク構成を示す図である。インターネ ット 1と、イントラネット (A社イントラネット) 2と、インターネット 1と A社イントラネット 2との 間に設置されたフアイャウォール (Firewall) 3と、からなり、 A社イントラネット 2には、 前記 Firewall3とそれぞれノ、ブ (HUB)を介して接続された、インターネット側との V PN接続用のゲートウェイ装置 20と、前記ゲートウェイ装置 20とハブ (HUB)を介して 接続された業務サーバ 23と、を備え、インターネット側には電子メール送信用の SM TPサーノ (社外 SMTPサーバ) 11と、電子メール受信用の POPサーノ (社外 POP サーバ) 13と、 A社社員が A社から持ち出し可能なパーソナルコンピュータ等の情報 処理端末 (持ち出し PCという) 12と、を備える。持ち出し PC12は、第 1〜第 3の実施 の形態における情報処理端末 10の一形態である。
[0077] ここで、ゲートウェイ装置 20は、イントラネット内の何れに設置することも可能であり、 代表的には社員のオフィスや部門のサーバラックに社員毎又は複数社員毎 (例えば 、 2〜50もしくは 2〜: L00名の社員毎)に 1台が設置される。また、持ち出し PC12は、 A社イントラネット内での使用時にはハブ (HUB)を介して前記 Firewall3及び前記 業務サーバ 23と接続して使用し、インターネット上 (イントラネット外)での使用時には 、前記ゲートウェイ装置 20を HUBを介して A社イントラネット 2の前記 Firewall3及び 前記業務サーバ 23等と接続し、ゲートウェイ装置 20と持ち出し PC12との間に VPN 接続を設定することにより、前記業務サーバ 23と持ち出し PC12の間での通信を可 能にすることができる。
[0078] 図 7は本実施の形態の各装置に搭載されるソフトウェア等とプロトコル上の通信処
理を示す図である。
[0079] 本実施の形態の持ち出し PC12、ゲートウェイ装置 20、 SMTPサーバ 11、 POPサ ーバ 13、業務サーバ 23及びフアイャウォール 3には、それぞれ、所定の OSと、各種 機能を実現するアプリケーションと、前記それぞれの OS間の通信を行うためのハード ウェアの NIC (network interface card)、ソフトウェアのドライバとを有し、持ち出し PC1 2及びゲートウェイ装置 20は、更にソフトウェアの仮想ドライバ及び仮想 NICとを有す る。
[0080] 図 7は持ち出し PC12とゲートウェイ装置 20とで VPN接続を確立し、持ち出し PC1 2と業務サーバ 23との間で社内業務の通信処理等を行う例を示しており、持ち出し P C 12は前記社内業務のアプリケーション (業務クライアントアプリケーションという) A1 を搭載し、業務サーバ 23は対応するアプリケーション (業務サーバアプリケーションと いう) C1を搭載する。更に、持ち出し PC12及びゲートウェイ装置 22は、インターネッ ト上力 フアイャウォール内へのアクセスを可能とする電子メールの送受信ソフトであ つて、それぞれ電子メールの送信機能を実現するアプリケーション (制御メール送信 アプリケーションという) A3及び電子メールの受信機能を実現するアプリケーション( 制御メール受信アプリケーションという) B1と、それぞれ、業務クライアントアプリケー シヨン A1に対する中継機能を実現するアプリケーション(中継サーバアプリケーショ ンと 、う) A2及び業務サーバアプリケーション C1に対する中継機能を実現するアプリ ケーシヨン(中継クライアントアプリケーションと 、う) B2を搭載する。
[0081] 業務クライアントアプリケーション A1は、業務サーバアプリケーション C1と双方向の 通信を行うアプリケーションである。業務クライアントアプリケーション A1は、代表的に は WEBブラウザソフトが適用される力 この場合業務サーバアプリケーション C1は、 WEBサーバアプリケーションが適用される。業務クライアントアプリケーション A1は、 WEBブラウザソフトの他、 TELNETクライアントソフト、 FTPクライアントソフト、会計ク ライアントソフト、ファイル共有クライアントソフト、データベースクライアントソフト等、各 種のアプリケーションが適用可能である。この場合、業務サーバアプリケーション C1 も、業務アプリケーション A1に対応し、 TELNETサーバソフト、 FTPサーバソフト、会 計サーバソフト、ファイル共有サーバソフト、データベースサーバソフト等が適用され
る。
[0082] 中継サーバアプリケーション A2は、以下に挙げる動作を行う。
(1)仮想 NICA9から到着するフレームを、中継サーバアプリケーション A2と中継ク ライアントアプリケーション B2との間の VPN接続 P4による通信にデータとして乗せ、 SSLA10に転送する。
(2) SSLA10から VPN接続 P4による通信に乗って到着するデータを、フレームと して仮想 NICA9に転送する。
(3)制御メール送信アプリケーション A3より VPN接続 P4による通信の接続待機の 命令を受け、 VPN接続 P4の接続完了後に制御メール送信アプリケーション A3に通 知する。
(4)制御メール送信アプリケーション A3より、 VPN接続 P4による通信の切断命令 を受け、中継クライアントアプリケーション B2に対して切断信号を送信する。
[0083] 制御メール送信アプリケーション A3は、以下に挙げる動作を行う。
(1)ユーザより接続命令を受けると、接続要求のための制御メールを作成して送信 し、 SSLA15に渡す。このメールは接続 P4による通信を経由して、 SMTPサーバァ プリケーシヨン D1に転送される。同時に、中継サーバアプリケーション A2に接続待 機命令を出し、 VPN接続 P4による通信の接続を待機させる。
(2)ユーザより切断命令を受けると、中継サーバアプリケーション A2に対して切断 命令を通知する。
[0084] SMTPサーバアプリケーション D1は、 SMTPプロトコル(Send Mail Transfer Protocol)に従って、到着した電子メールを、適切な SMTPサーバもしくは POPサ ーバに転送する機能を持つ。図 7においては SMTPサーバ D1から直接 POPサーバ E1に対してメールが転送されている力 D1と E1との間に他の SMTPサーバが設置 され、数回の転送を経て POPサーバ E1に到着する場合も存在する。図 7においては 制御メール送信アプリケーション A3から接続 P1による到着したメールを、宛先メール アドレスを参照し、 POPサーバ E1に接続 P2を用いて転送する。
[0085] POPサーバアプリケーション E1は、以下に挙げる動作を行う。
(l) SMTPサーバ D1から接続 P2により到着した電子メールを保管する。
(2)制御メール受信アプリケーション Blから接続 P3により保管している電子メール ( 保管電子メール)のリストを請求された場合に、保管電子メールのリストを接続 P3によ り転送する。
(3)制御メール受信アプリケーション B1から接続 P3により、電子メールの一部を指 定する受信要求を得た場合、指定された電子メール (指定電子メール)を接続 P3に より転送する。
(4)制御メール受信アプリケーション B1から接続 P3により、電子メールの一部を指 定する削除要求を得た場合、指定された電子メールを削除する。
(5)制御メール受信アプリケーション B1から接続 P3により、保管された全ての電子 メール (全保管電子メール)の一括の受信要求を得た場合、全保管電子メールを接 続 P3により転送する。
(6)制御メール受信アプリケーション B1から接続 P3により、全保管電子メールの一 括の削除要求を得た場合、全保管電子メールを削除する。
[0086] 制御メール受信アプリケーション B1は、以下に挙げる動作を行う。
(1) POPサーバアプリケーション E1に対して、定期的に接続 P3を通じて保管電子 メールのリストを請求する。リスト中に制御メールが含まれている場合は、接続 P3を通 じて POPサーバアプリケーション E1に対して指定する電子メールの一部受信要求に より、制御メールの受信要求を行うと同時に、指定電子メールの一部削除要求により 前記制御メールを削除する。
(2)制御メール中に接続要求が含まれて 、た場合、中継クライアントアプリケーショ ン B2に対してメール中に含まれる宛先(図 7では中継サーバアプリケーション A2)に VPN接続 P4による通信を設定するよう命令する。
[0087] 中継クライアントアプリケーション B2は、以下に挙げる動作を行う。
(1)制御メール受信アプリケーション B1より接続命令を受け、接続命令中に含まれ る宛先(図 7では A2)に対して VPN接続 P4による通信を設定する。
(2)仮想 NICB13から到着するフレームを、中継サーバアプリケーション A2と中継 クライアントアプリケーション B2との間の VPN接続 P4による通信にデータとして乗せ 、 SSLB10に転送する。
(3) SSLB10から VPN接続 P4による通信に乗って到着するデータを、フレームとし て仮想 NICB 13に転送する。
(4)中継サーバアプリケーション A2より VPN接続 P4による通信により切断信号を 受信すると、 VPN接続 P4による通信を終了し、制御メール受信アプリケーション B1 に通知する。
[0088] 業務サーバアプリケーション C1は、業務クライアントアプリケーション A1と双方向の 通信を行うアプリケーションである。業務サーバアプリケーション C1は、代表的には WEBサーバアプリケーションが適用される。業務サーバアプリケーション C1は、業務 クライアントアプリケーション A1に対応し、 TELNETサーバソフト、 FTPサーバソフト 、会計サーバソフト、ファイル共有サーバソフト、データベースサーバソフト等、各種の アプリケーションが適用可能である。
[0089] また、本実施の形態では、電子メールの送信側及び受信側のメールサーバである SMTPサーバ 11及び POPサーバ 13は何れも社外サーバとして設置され、それぞれ には、電子メールの中継及び受信の機能を実現するアプリケーションとして、 SMTP サーバアプリケーション、 POPサーバアプリケーションを搭載する。なお、社外サーバ 13としては社外 POPサーバの他に、メール-ユースサーバ、 DNSサーバ、 SIPサー ノ 、掲示板 (WWW)サーバ、 FTPサーバ等も、 Firewall3により社内力ものアクセス が制限されて ヽな 、限り利用可能である。
[0090] 次に OSに含まれるソフトウェアとして、持ち出し PC12は、 SSLA4、 SSLA10、 SS LAI 5, TCPA5、 TCPA11、 TCPA16、 IPルーティング A6、 IPスタック(Private I P)A7、 IPスタック(Global IP) Al 2の各モジュールを備える。
[0091] ゲートウェイ装置 20は、 OSに含まれるソフトウェアとして、 SSLB3、 SSLB10、 TC PB4、 TCPB11、 IPルーティング B5、 IPスタック(Private IP) B6、ブリッジ B7の各 モジュールを備える。
[0092] SMTPサーバ 11は、 OSに含まれるソフトウェアとして、 SSLD2、 TCPD3、 IPルー ティング D4、 IPスタック(Global IP) D5の各モジュールを備える。
[0093] POPサーバ 13は、 OSに含まれるソフトウェアとして、 SSLE2、 TCPE3、 IPルーテ イング E4、 IPスタック(Global IP) E5の各モジュールを備える。
[0094] 業務サーバ 23は、 OSに含まれるソフトウェアとして、 SSLC2、 TCPC3、 IPルーテ イング C4、 IPスタック(Private IP) C5の各モジュールを備え、フアイャウォール 3は 、 IPルーティング Fl、 IPスタック(Global IP) F2、 IPスタック(Private IP) F5、の 各モジュールを備える。
[0095] また、 OS以外のソフトウェアとして、持ち出し PC12は、仮想ドライノく A8、仮想 NIC A9、ドライバ A13を備え、ゲートウェイ装置 20は、仮想ドライバ B12、仮想 NICB13 、ドライバ B8を備え、 SMTPサーバ 11はドライバ D6を備え、 POPサーバ 13はドライ ノ E6を備え、業務サーバ 23はドライバ C6を備え、フアイャウォール 3はドライバ F3、 およびドライバ F6を備える。
[0096] また、ハードウェアとして、持ち出し PC12は NICA14を備え、ゲートウェイ装置 20 は NICB9を備え、 SMTPサーバ 11は及び NICD7を備え、 POPサーバ 13は及び N ICE7を備え、業務サーバ 23は NICC7を備え、フアイャウォール 3は NICF4及び NI CF7を備える。
[0097] 以下、図 7に示す各モジュールの機能の概要を説明する。以下の説明において各 モジュールの機能において述べるアプリケーションには、前述の業務クライアントァプ リケーシヨン、中継サーバアプリケーション、制御メール送信アプリケーション、 SMTP サーバアプリケーション、 POPサーバアプリケーション、制御メール受信アプリケーシ ヨン、中継クライアントアプリケーション、業務サーバアプリケーション等を含むもので ある。
[0098] (SSL)
SSLは、アプリケーションからデータを受け取り暗号化を行って TCPにデータを送り 、 TCPからデータを受け取り復号ィ匕を行ってアプリケーションにデータを送る機能、 及び暗号ィ匕に用いる証明書や秘密鍵'公開鍵等の情報を交換する機能を有する。 S SLを使用するかどうかは、アプリケーション力もの設定により決定され、 SSLを使用し ない場合は、アプリケーションからのデータは暗号化をせず、そのまま TCPに送り、ま た TCPからのデータは復号ィ匕せずに、そのままアプリケーションに送る機能を有する
[0099] (TCP)
TCPは、以下の(1)〜(4)の処理によりデータを一定形式のフレームに整えてパケ ットイ匕し又はパケットからデータを復元する機能を有する。
(1) SSLから、もしくは SSLを使用しない場合はアプリケーション力もデータを受け 取り、パケットの欠落や順序逆転を検知するための TCPヘッダを付カ卩して、 IPルーテ イングに送る。ここで大きなデータの場合は分割(フラグメントとも言う)処理を行う。
(2) IPルーティング力もパケットを受け取り、 TCPヘッダを参照して順序逆転ゃパケ ットの欠落を検知し、順序逆転も欠落も発生していない場合は、前記パケットからへッ ダをはずし、 SSLに、もしくは SSLを使用していない場合はアプリケーションに送る。 この際、パケットが届いたことを知らせる ACKパケットをパケットの送信元に返信する
(3) (2)において、もしパケットの欠落が発生している場合は、再送要求パケットを 送信する。また、順序逆転やフラグメントが発生している場合には、後か届くパケット を待って、データを復元する。
(4) ACKパケットを受け取り、 (1)におけるパケットの送信速度を調整する。
[0100] (IPルーティング)
IPルーティングモジュールは、 TCPからパケットを受け取り、宛先 IPアドレスと宛先 ポート番号を参照して、 IPスタック(Private IP)、 IPスタック(Global IP)、もしくは TCP〖こ、前記パケットを転送する機能を有する。また、 IPスタック(Private IP)から パケットを受け取り、宛先 IPアドレスと宛先ポート番号を参照して、 IPスタック(Global
IP)、もしくは TCPに、前記パケットを転送する機能を有する。また、 IPスタック (Glo bal IP)力 パケットを受け取り、宛先 IPアドレスと宛先ポート番号を参照して、 IPスタ ック (Private IP)、もしくは TCP〖こ、前記パケットを転送する機能を有する。
[0101] (ブリッジ)
ブリッジモジュールは、 IPスタックからフレームを受け取り、宛先 MACアドレスを参 照して、ドライバもしくは仮想ドライバに前記フレームを転送する機能を有する。また、 ドライノくからフレームを受け取り、宛先 MACアドレスを参照して、仮想ドライバもしくは IPスタックに前記フレームを転送する機能を有する。また、仮想ドライバからフレーム を受け取り、宛先 MACアドレスを参照して、ドライバもしくは IPスタックに前記フレー
ムを転送する機能を有する。
[0102] さらに、フレーム受信時に、送信元 MACアドレスを参照し、 MACアドレスの学習を 行い、どの MACアドレスをもつ端末力 どの NIC側に接続されているのかを記録す る機能を有する。もし、フレーム受信時に、宛先 MACアドレスを参照しても、前記 M ACアドレスを学習していない場合は、前記フレームを、フレームが入力された IPスタ ックもしくはドライバ以外のドライバもしくは IPスタックにブロードキャストする機能を有 する。
[0103] (ドライバ)
ドライバは、 NICと OSの仲介をするソフトウェアであり、 NIC力もパケットを受け取り OSに送る機能を有し、さらに、 OSからパケットを受け取り NICに送る機能を有する。
[0104] (NIC)
NIC (Network Interface Card)は、イーサネット(登録商標)等のネットワーク 用ケーブルを接続するために、コンピュータに挿入するハードウェアである。ケープ ルカも受け取ったデータをドライバに送り、また、ドライノ から受け取ったデータを、ケ 一ブルに送信する機能を有する。
[0105] (仮想ドライバ)
仮想ドライバは、仮想 NICと OSの仲介をするソフトウェアであり、仮想 NIC力らフレ ームを受け取り OSに送り、さらに、 OSからフレームを受け取り仮想 NICに送る機能を 有する。
[0106] (仮想 NIC)
仮想 NICは、仮想ドライバと、中継サーバアプリケーションもしくは中継クライアント アプリケーション(以下、まとめて中継アプリケーションという)を仲介するソフトウェア である。仮想 NICは、仮想ドライバからフレームを受け取り、中継アプリケーションに 渡す機能を有する。さらに、中継アプリケーション力 フレームを受け取り、仮想ドライ バに送る機能を有する。本来、 NICはハードウェアで構成される力 仮想 NICはソフ トウエアで構成される。仮想 NICは、 OS力もは、あた力もハードウェアであるかのよう に認識される。
[0107] 以上の各モジュールの機能力も分力るように、各装置はアプリケーションから出力
する下り処理機能として、アプリケーションから出力されたデータは、 SSLで暗号ィ匕を 行って TCPにデータを送り、 TCPではデータをチェックし TCPヘッダを付カ卩して IPル 一ティングに送り、 IPルーティングは TCPから受け取ったパケットを宛先 IPアドレスと 宛先ポート番号を参照して、 IPスタック(Private IP)又は IPスタック(Global IP)に 転送する。更に IPスタック(Private IP)又は IPスタック(Global IP)に格納された データは、ドライバを介し NIC力もイーサネット等のケーブルに送るという通信処理機 能を有する。
[0108] また、各装置の上り処理機能として、イーサネット等のケーブル力も NICにより受信 したフレームをドライバを介して OSの IPスタック(Private IP)又は IPスタック(Globa 1 IP)に格納する。 IPルーティングは、 IPスタック(Private IP)又は IPスタック(Glob al IP)力も受け取ったパケットから IPヘッダを参照して適切な TCPに転送する。 TC Pは IPルーティングから受け取ったパケットの TCPヘッダを参照してパケットをチエツ クし、正常なパケットからヘッダをはずして SSLに送り、 SSLは受け取ったデータの復 号ィ匕を行ってアプリケーションに送るという通信処理機能を有する。
[0109] 但し、図 7に示す各装置において、記載がないモジュール又は当該モジュールを 経由しない通信では当該モジュールの機能の通信処理を行わない。例えば、フアイ ャウォール 3は、アプリケーション自体、 SSL及び TCPは存在せず、 IPスタック(Priv ate IP)と IPスタック(Global IP)間の IPルーティング F1の機能のみを使用する。
[0110] 更に、ゲートウェイ装置 20は、 IPスタック(Private IP) B6とドライバ B8 (仮想ドライ バ B12)間に、どの MACアドレスをもつ端末がどの NIC側に接続されているのかを 記録する、 MACアドレスの学習機能を有するブリッジ B7を備え、仮想ドライバ B12と 、 NICB9と、 IPスタック B6の合計 3つの接続をブリッジする。
[0111] また、 IPスタックに注目すると、 SMTPサーバ 11及び POPサーバ 13はそれぞれ IP スタック(Global IP)のみを備え、業務サーバ 23は IPスタック(Private IP)のみを 備える。
[0112] 以上のように本実施の形態では、対象アプリケーションの一形態である中継サーバ アプリケーション A2及び中継クライアントアプリケーション B2の間の VPN接続 P4に よる通信は、社外と社内の何れにおいても基本的には SSLプロトコルにより暗号ィ匕を
行う(SSLを経由する)ように設定される。これは、 VPN接続 P4がインターネットという 社外設備を経由するため、機密情報の流出を防ぐためである。一般的には社外区間 (Firewall外側)は暗号ィ匕(SSL)を行うが、本発明では暗号ィ匕を必須とするものでは ない。
[0113] また、業務クライアントアプリケーション A1と中継サーバアプリケーション A2の間、 中継クライアントアプリケーション B2と業務サーバアプリケーション C1間は、社内区 間(Firewall内側)であるため、暗号ィ匕を行っても行わなくても良い。この暗号化設定 は、使用の度に決定される。接続 P5は持ち出し PC内部の通信であるから、社内の 機密情報流出の可能性が低いため、暗号ィ匕は必須ではない。また、接続 P6はイント ラネット内の通信であるから、社内の機密情報流出の可能性が低いため、暗号化は 必須ではない。
[0114] (動作の説明)
図 8は、本実施の形態の動作の手順を示す図である。図 7及び図 8を参照して本実 施の形態の動作を以下説明する。
( 1) A社社員は持ち出し PC12の制御メール送信アプリケーション (電子メール送信 ソフト) A3により、社外 SMTPサーバ 11を経由して、 POPサーバ 13に設定されてい る A社社員自身のメールアドレス宛に制御メールを送信する。ここで制御メールには VPN接続要求の識別用情報を含め(例えば、ヘッダに VPN接続要求の識別用情報 を含めても良い)通常の電子メールとの識別を可能とするとともに、持ち出し PC12の IPアドレス等、 A社イントラネット側から持ち出し PC12に対して VPN接続を行う為に 必要な情報が付加される。このメールは、まず SMTPサーバアプリケーション D1に接 続 P1により転送される。
(2)社外 SMTPサーバ 11は、 SMTPサーバアプリケーション D1により接続 P1を通 じて前記制御メールを受信し、ヘッダ情報を参照して前記制御メールを接続 P2を通 じて社外 POPサーバ 13に転送し、社外 POPサーバ 13は社外 SMTPサーバ力 送 信された電子メール (制御メール)を受信すると、 POPサーバアプリケーション E1によ り当該電子メール (制御メール)をメールアドレス別に記憶して蓄積する。
(3)—方、ゲートウェイ装置 20は、制御メール受信アプリケーション B1によりフアイ
ャウォール 3を介して定期的に社外内 POPサーバ 13にアクセスし、 自己宛電子メー ルが到達している力否かを接続 P3により問い合わせ、自己宛電子メールが到達して いる場合には当該電子メールを取り込み、制御メールか否かを判別する。(ヘッダに VPN接続要求の識別用情報を含めている場合は、ヘッダのみを調べる。 )
(4)自己宛電子メールが制御メールである場合、ゲートウェイ装置 20内の制御メー ル受信アプリケーション B1は社外 POPサーバ 13に対し当該制御メールを削除する よう命令し、取得した制御メール内の ID及びパスワード等に基づき、接続 P7を通じて 認証モジュール B14により認証を行う。認証が正しい場合には、 VPN接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A2との VPN接 続 P4を設定するよう、中継クライアントアプリケーション B2に命令する。中継クライァ ントアプリケーション B2は、制御メール受信アプリケーション B1からの命令により、 VP N接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A2との VPN接続 P4を設定する。
(5) VPN接続 P4が確立すると、持ち出し PC12内の中継サーバアプリケーション A 2は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務 サーバアプリケーション C1との間の通信を接続 P4を経由させることにより中継する。 さらに、ゲートウェイ装置 20内の中継クライアントアプリケーション B2は、接続 P6と V PN接続 P4とを中継し、業務サーバ 23の業務サーバアプリケーション C1と業務クライ アントアプリケーション A1との間の通信を VPN接続 P4を経由させることで中継する。
[0115] この結果、持ち出し PC12は、 VPN接続 P4が切断されるまで、 A社イントラネット内 の業務サーバ 23との間で業務アプリケーション同士の通信が可能となる。
[0116] 図 9は第 4の実施の形態のゲートウェイ装置の動作フローチャートを示す図である。
ゲートウェイ装置 20は、社外 POPサーバ 13に自己宛 (A社社員宛)電子メールが到 達して 、るか否かを問!、合わせ (ステップ S 1)、自己宛電子メールが到達して 、る場 合 (ステップ S2、 YES)は当該電子メールのサブジェクト(見出し)一覧等のリストもし くはメール全体を取り込み、制御メール力否かを判別する (ステップ S3、 S4)。 自己 宛電子メールが制御メールである場合 (ステップ S4、 YES)、ゲートウェイ装置 20は
社内 POPサーバ 21から当該制御メールを削除し (ステップ S5)、当該制御メールに 基づき VPN接続の要求元の IPアドレスに VPN接続を行う(S6)。 VPN接続がされた 後、この接続が切断される (ステップ S7)まで、持ち出し PC12は、 A社イントラネット 内の接続機器との間で業務アプリケーション同士の通信が可能となる。ステップ S2で 自己宛 (A社社員宛)メールが存在しない場合 (NO)、ステップ S4で制御メールでな い場合 (NO)は、何れも一定時間後 (ステップ S8)にステップ S1の再度の問い合わ せ動作を繰り返す。
[0117] 以上のようにして、 Firewall3やその VPN— GWの設定を変更することなぐまた社 外ネットワークに中継サーバを設置することなぐ社外ネットワークであるインターネッ ト 1と社内ネットワークである A社イントラネット 2との間で VPN接続が可能であるから、 フアイャウォール管理者の承認手続きや中継サーバの設置、利用等の困難を伴うこ となぐ通信料上有利な電子メールにより簡単に VPN構築を行うことが可能となる。な お、社外 POPサーバ 13や社外 SMTPサーバ 11は、通常の電子メールの交換に用 いているものをそのまま利用できる。 POPサーバ 13のアカウントも、通常の電子メー ルの交換に用いるものを、そのまま利用できる。ただし、会社力 Sイントラネット 2から社 外 POPサーバ 13へのアクセスを許可するよう、 Firewall3を設定している場合に限る
[0118] (第 5の実施の形態)
次に本発明の具体的な実施の形態として、アクセス手段に電子メールを利用し、情 報処理端末と認証機能を有するゲートウェイ装置との間で VPN接続を行う例を説明 する。
[0119] (構成の説明)
図 10は、本発明の第 5の実施の形態のネットワーク構成を示す図である。インター ネット 1と、 A社イントラネット 2と、インターネット 1と A社イントラネット 2との間に設置さ れた Firewall3と、からなり、 A社イントラネット 2には、前記 Firewall3とそれぞれノヽブ (HUB)を介して接続された、インターネット側との VPN接続用の認証機能を有する ゲートウェイ装置 20と、前記ゲートウェイ装置 20とハブ (HUB)を介して接続された接 続された業務サーバ 23と、を備え、インターネット側には社外 SMTPサーバ 11と、社
外 POPサーバ 13と、 A社社員の持ち出し PC12と、を備える。
[0120] ここで、ゲートウェイ装置 20は、イントラネット内の何れに設置することも可能であり、 代表的には社員のオフィスに社員毎又は複数社員毎 (例えば、 2〜50もしくは 2〜1 00名の社員毎)に 1台が設置される。各ゲートウェイ装置 20にはそれぞれの使用者( A社社員)により認証機能の設定が可能であり、持ち出し PC12からのアクセスのため に使用者により認証用の ID及びパスワード等の設定を可能とする。また、持ち出し P C12は、 A社イントラネット内での使用時にはハブ(HUB)を介して前記 Firewall3及 び前記業務サーバ 23と接続して使用し、インターネット 1上 (イントラネット 2の外)で の使用時には前記ゲートウェイ装置 20を HUBを介して A社イントラネット 2の前記 Fir ewall3及び前記業務サーバ 23等と接続することにより、持ち出し PC12と前記ゲート ウェイ装置 20との VPN接続を行 、、前記 VPN接続を用いて持ち出し PC12と業務 サーバ 23との間の通信を中継することで、前記持ち出し PC12と業務サーバ 23との 通信を可能に構成することができる。
[0121] 図 11は本実施の形態の各装置に搭載されるソフトウェア等とプロトコル上の通信処 理を示す図である。
[0122] 本実施の形態の持ち出し PC12、ゲートウェイ装置 20、 SMTPサーバ 11、 POPサ ーバ 13、業務サーバ 23及びフアイャウォール 3には、それぞれ所定の OSと、各種機 能を実現するアプリケーションと、前記それぞれの OS間の通信を行うためのハードウ エアの NICと、ソフトウェアのドライノく、仮想ドライバ及び仮想 NICを備える点で第 4の 実施の形態(図 7)と同様である。但し、本実施の形態の場合、ゲートウェイ装置 20に は持ち出し PC12からの電子メールによるアクセスに対し、前記認証機能を実現する 認証モジュール B 14を備える。
[0123] 図 11は持ち出し PC12とゲートウェイ装置 20とで認証後に VPN接続を確立し、持 ち出し PC12と業務サーバ 23との間で社内業務の通信処理等を行う例を示しており 、持ち出し PC12は前記社内業務の業務クライアントアプリケーション A1を搭載し、 業務サーバ 23は対応する業務サーバアプリケーション C1を搭載する。更に、持ち出 し PC12及びゲートウェイ装置 20は、それぞれインターネット上カもフアイャウォール 3内へのアクセスを可能とする電子メールの送信機能を実現する制御メール送信ァ
プリケーシヨン A3及び電子メールの受信機能を実現する制御メール受信アプリケー シヨン B1と、それぞれ、業務クライアントアプリケーション A1に対する中継機能を実現 する中継サーバアプリケーション A2及び業務サーバアプリケーション C1に対する中 継機能を実現する中継クライアントアプリケーション B2を搭載する。
[0124] なお、中継サーバアプリケーション A2には第 4の実施の形態(図 7)と同様にインタ 一ネットとイントラネットのフレームの変換処理ソフトである VPN用カプセル化等のァ プリケーシヨンが適用される。また、本実施の形態も電子メールの送信側及び受信側 のメールサーバである SMTPサーバ 11及び POPサーバ 13は何れも社外サーバとし て設置され、それぞれには、電子メールの転送及び受信の機能を実現するアプリケ ーシヨンとして、それぞれ SMTPサーバアプリケーション D1及び POPサーバアプリケ ーシヨン E1を搭載する。
[0125] 図 11に示す各モジュール及びその機能の概要は第 4の実施の形態と同様である 力 本実施の形態では、ゲートウェイ装置 20内の制御メール受信アプリケーション B1 が制御メールの取得時に当該制御メールに格納されている ID及びパスワードを抽出 し、認証モジュール B14において使用者により予め設定されている ID及びパスヮー ド等により認証動作を行う機能を有する点で第 4の実施の形態と異なる。
[0126] (動作の説明)
図 12は、本実施の形態の動作の手順を示す図である。図 11及び図 12を参照して 本実施の形態の動作を以下説明する。
( 1) A社社員は持ち出し PC12の制御メール送信アプリケーション (電子メール送信 ソフト) A3により、社外 SMTPサーバ 11を経由して、 POPサーバ 13に設定されてい る A社社員自身のメールアドレス宛に制御メールを送信する。ここで制御メールには VPN接続要求の識別用情報を含め(例えば、ヘッダに VPN接続要求の識別用情報 を含めても良い)通常の電子メールとの識別を可能とするとともに、持ち出し PC12の IPアドレス、 ID及びパスワード等、 A社イントラネット側での認証及び A社イントラネッ ト側カゝら持ち出し PC12に対して VPN接続を行う為に必要な情報が付加される。この メールは、まず SMTPサーバアプリケーション D1に接続 P1により転送される。
(2)社外 SMTPサーバ 11は、 SMTPサーバアプリケーション D1により接続 P1を通
じて前記制御メールを受信し、ヘッダ情報を参照して前記制御メールを接続 P2を通 じて社外 POPサーバ 13に転送し、社外 POPサーバ 13は社外 SMTPサーバ力 送 信された電子メール (制御メール)を受信すると、 POPサーバアプリケーション E1によ り当該電子メール (制御メール)をメールアドレス別に記憶して蓄積する。
(3)—方、ゲートウェイ装置 20は、制御メール受信アプリケーション B1によりフアイ ャウォール 3を介して定期的に社外内 POPサーバ 13に接続 P3によりアクセスし、自 己宛電子メールが到達している力否かを問い合わせ、自己宛電子メールが到達して いる場合には当該電子メールを取り込み、制御メールか否かを判別する。(ヘッダに VPN接続要求の識別用情報を含めている場合は、ヘッダのみを調べる。 )
(4)自己宛電子メールが制御メールである場合、ゲートウェイ装置 20内の制御メー ル受信アプリケーション B1は社外 POPサーバ 13に対し当該制御メールを削除する よう命令し、取得した制御メール内の ID及びパスワード等に基づき、接続 P7を通じて 認証モジュール B14により認証を行う。認証が正しい場合には、 VPN接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A2との VPN接 続 P4を設定するよう、中継クライアントアプリケーション B2に命令する。中継クライァ ントアプリケーション B2は、制御メール受信アプリケーション B1からの命令により、 VP N接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A2との VPN接続 P4を設定する。
(5) VPN接続 P4が確立すると、持ち出し PC12内の中継サーバアプリケーション A 2は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務 サーバアプリケーション C1との間の通信を VPN接続 P4を経由させることにより中継 する。さらに、ゲートウェイ装置 20内の中継クライアントアプリケーション B2は、接続 P 6と VPN接続 P4とを中継し、業務サーバ 23の業務サーバアプリケーション C1と業務 クライアントアプリケーション A1との間の通信を VPN接続 P4を経由させることで中継 する。
[0127] この結果、持ち出し PC12は VPN接続 P4が切断されるまで、 A社イントラネット内の 業務サーバ 23との間で業務アプリケーション同士の通信が可能となる。
[0128] 図 13は第 5の実施の形態のゲートウェイ装置 20の動作フローチャートを示す図で
ある。ゲートウェイ装置 20は、社外 POPサーバ 13に自己宛 (A社社員宛)電子メール が到達して 、る力否かを問 、合わせ (ステップ S1)、 自己宛電子メールが到達して ヽ る場合 (ステップ S2、 YES)は当該電子メールのサブジェクト(見出し)一覧等のリスト もしくはメール全体を取り込み、制御メールか否かを判別する (ステップ S3、 S4)。 自 己宛電子メールが制御メールである場合 (ステップ S4、 YES)、ゲートウェイ装置 20 は社外 POPサーバ 13から当該制御メールを削除し (ステップ S 5)、取得した制御メ ールに基づき認証モジュール B14により認証を行う(ステップ S6)。認証が正しい場 合 (ステップ S6、 Yes)に当該制御メールに基づき VPN接続の要求元の IPアドレスに VPN接続を行う(S7)。 VPN接続がされた後、この接続が切断される (ステップ S8) まで、持ち出し PC12は、 A社イントラネット内の接続機器との間で業務アプリケーショ ン同士の通信が可能となる。ステップ S2で自己宛 (A社社員宛)メールが存在しない 場合 (NO)、ステップ S4で制御メールでな 、場合 (NO)及びステップ S6で認証が不 正の場合 (NO)は、何れも一定時間後 (ステップ S9)にステップ S1の再度の問い合 わせ動作を繰り返す。
[0129] 以上のようにして、 Firewall3やその VPN— GWの設定を変更することなぐまた社 外ネットワークに中継サーバを設置することなぐ社外ネットワークであるインターネッ ト 1と社内ネットワークである A社イントラネット 2との間で VPN接続が可能であるから、 フアイャウォール管理者の承認手続きや中継サーバの設置、利用等の困難を伴うこ となぐ通信料上有利な電子メールにより簡単に VPN構築を行うことが可能となり、特 に、本実施の形態によれば認証によりセキュリティの確保が可能となる。なお、社外 P OPサーバ 13や社外 SMTPサーバ 11は、通常の電子メールの交換に用いて 、るも のをそのまま利用できる。 POPサーバ 13のアカウントも、通常の電子メールの交換に 用いるものを、そのまま利用できる。ただし、会社力イントラネット 2から社外 POPサー バ 13へのアクセスを許可するよう、 Firewall3を設定して!/、る場合に限る。
[0130] (第 6の実施の形態)
次に本発明の具体的な実施の形態として、アクセス手段に電子メールを利用し、情 報処理端末とゲートウェイ装置との間で IP電話のための VPN接続を行う例を説明す る。
[0131] (構成の説明)
図 14は、本発明の第 6の実施の形態のネットワーク構成を示す図である。インター ネット 1と、 A社イントラネット 2と、インターネット 1と A社イントラネット 2との間に設置さ れた Firewall3と、からなり、 A社イントラネット 2には、前記 Firewall3とそれぞれノヽブ (HUB)を介して接続された、インターネット側との IP電話用の送受話器を有するゲ 一トウエイ装置 22を備え、インターネット側には電子メール送信用の社外 SMTPサー バ 11と、電子メール受信用の社外 POPサーバ 13と、 A社社員の送受話器を有する 持ち出し PC12と、を備える。
[0132] ここで、 IP電話用の送受話器を有するゲートウェイ装置 22は、イントラネット内の何 れに設置することも可能であり、代表的には社員のオフィスに社員毎又は複数社員 毎(例えば、 2〜50もしくは 2〜: L00名の社員毎)に 1台が設置される。また、 IP電話 用の送受話器を有する持ち出し PC12は、 A社イントラネット内での使用時にはハブ( HUB)を介して前記 Firewall3と接続して使用し、インターネット上 (イントラネット 2外 )での使用時には前記ゲートウェイ装置 22を HUBを介して A社イントラネット 2の前記 Firewall3と接続することにより、持ち出し PC12と前記ゲートウェイ装置 22との間で VPN接続を使った IP電話を可能に構成することができる。
[0133] 図 15は本実施の形態の各装置に搭載されるソフトウェア等とプロトコル上の通信処 理を示す図である。
本実施の形態の持ち出し PC12、ゲートウェイ装置 22、 SMTPサーバ 11、 POPサ ーバ 13、フアイャウォール 3には、それぞれ所定の OSと、各種機能を実現するアプリ ケーシヨンと、それぞれの OS間の通信を行うためのハードウェアの NICと、ソフトゥェ ァのドライバとを有する。
[0134] 図 15は持ち出し PC12とゲ—トウヱイ装置 22との間で IP電話のための VPN接続を 確立し、持ち出し PC 12とゲ—トウエイ装置 22との間で IP電話の通信等を行う例を示 しており、持ち出し PC12は、送受話器 A21の送話器部分より音声入力を得て、また 送受話器 A21の受話器部分に音声出力を行う IP電話サーバアプリケーション A22 を搭載し、ゲ—トウ イ装置 22は送受話器 B21の送話器部分より音声入力を得て、 また送受話器 B21の受話器部分に音声出力を行う IP電話クライアントアプリケーショ
ン B22を搭載する。前記 IP電話クライアントアプリケーション B22と前記 IP電話サー バアプリケーション A22は、 VPN接続によって接続され、双方向の音声データの通 信を行う。更に、持ち出し PC12及びゲ—トウエイ装置 22は、インターネット上力もファ ィャウォール内へのアクセスを可能とする電子メールの送受信ソフトであって、それぞ れ電子メールの送信機能を実現する制御メール送信アプリケーション A3及び電子メ ールの受信機能を実現する制御メール受信アプリケーション B1を搭載する。
[0135] また、本実施の形態では、 Eメールの送信側及び受信側のメールサーバである SM TPサーバ 11及び POPサーバ 13は何れも社外サーバとして設置され、それぞれに は、電子メールの送信及び受信の機能を実現するアプリケーションとして、 SMTPサ ーバアプリケーション Dl、 POPサーバアプリケーション Elを搭載する。
[0136] 本実施の形態においても OS内及び OS以外のソフトウェアとして、以上の実施の形 態と同様の構成の採用が可能である力 持ち出し PC 12の IPスタックは IPスタック (G1 obal IP)のみでよぐゲートウェイ装置 22は中継処理を必要としないので、ブリッジ の使用は不要となる。なお、本実施の形態では、対象アプリケーションの IP電話サー バアプリケーション A22及び IP電話クライアントアプリケーション B22に基づく IP電話 のための VPN接続による通信に、社外と社内の何れにおいても SSLプロトコルにより 暗号ィ匕を行うように設定された構成について説明するが、 SSLによる暗号化は必ず しも必須ではない。
[0137] (動作の説明)
図 16は、本実施の形態の動作の手順を示す図である。図 15及び図 16を参照して 本実施の形態の動作を以下説明する。
( 1) A社社員は持ち出し PC12の制御メール送信アプリケーション (電子メール送信 ソフト) A3により、社外 SMTPサーバ 11を経由して、 POPサーバ 13に設定されてい る A社社員自身のメールアドレス宛に制御メールを送信する。ここで制御メールには I P電話のための VPN接続要求の識別用情報を含め(例えば、ヘッダに第 4の実施の 形態のようなイントラネット中継のための VPN接続要求の識別用情報を含めても良い )通常の電子メールとの識別を可能とするとともに、持ち出し PC12の IPアドレス等、 A 社イントラネット側力も持ち出し PC 12に対して IP電話のための VPN接続を行う為に
必要な情報が付加される。このメールは、まず SMTPサーバアプリケーション D1に接 続 P1により転送される。
(2)社外 SMTPサーバ 11は、 STMPサーバアプリケーション D1により接続 P1を通 じて前記制御メールを受信し、ヘッダ情報を参照して前記制御メールを接続 P2を通 じて社外 POPサーバ 13に転送し、社外 POPサーバ 13は社外 SMTPサーバ力 送 信された電子メール (制御メール)を受信すると、 POPサーバアプリケーション E1によ り当該電子メール (制御メール)をメールアドレス別に記憶して蓄積する。
(3)—方、ゲートウェイ装置 22は、制御メール受信アプリケーション B1によりフアイ ャウォール 3を介して定期的に社外内 POPサーバ 13に接続 P3によりアクセスし、自 己宛電子メールが到達している力否かを問い合わせ、自己宛電子メールが到達して いる場合には当該電子メールを取り込み、制御メールか否かを判別する。(ヘッダに VPN接続要求の識別用情報を含めている場合は、ヘッダのみを調べる。 )
(4)自己宛電子メールが制御メールである場合、ゲートウェイ装置 22内の制御メー ル受信アプリケーション B 1は社外 POPサーバ 13から当該制御メールを削除するよう 命令し、 VPN接続の要求元(持ち出し PC 12)の IPアドレスに対して中継サーバァプ リケーシヨン A2との VPN接続 P4を設定するよう、 IP電話クライアントアプリケーション B22に命令する。 IP電話クライアントアプリケーション B22は制御メール受信アプリケ ーシヨン B1からの命令により、取得した制御メールに基づき、 IP電話のための VPN 接続の要求元 (持ち出し PC12)の IPアドレスに対して IP電話サーバアプリケーション A22との IP電話のための VPN接続 P4を設定する。
(5) IP電話のための VPN接続 P4が確立すると、持ち出し PC12は IP電話サーバァ プリケーシヨン A22が送受話器 A21による通話を処理する(P5)とともに、ゲ—トウェ ィ装置 22は IP電話クライアントアプリケーション B22が送受話器 B21による通話を処 理し (P6)、 IP電話のための VPN接続が切断されるまで、送受話器 A21、 B21間の 通話が可能となる。
図 17は第 6の実施の形態のゲートウェイ装置の動作フローチャートを示す図である 。ゲ—トウエイ装置 22は、社外 POPサーバ 13に自己宛 (A社社員宛)電子メールが 到達して!/、るか否かを問!、合わせ (ステップ S 1)、自己宛電子メールが到達して 、る
場合 (ステップ S2、 YES)は当該電子メールのサブジェクト(見出し)一覧等のリストも しくはメール全体を取り込み、制御メール力否かを判別する (ステップ S3、 S4)。 自己 宛電子メールが制御メールである場合 (ステップ S4、 YES)、ゲ—トウエイ装置 22は 社内 POPサーバ 21から当該制御メールを削除し (ステップ S5)、当該制御メールに 基づき IP電話のための VPN接続の要求元の IPアドレスに IP電話のための VPN接 続を行う(S6)。 IP電話のための VPN接続がされた後、この接続が切断される (ステツ プ S7)まで、ゲートウェイ装置 22の送受話器 B22と持ち出し PC 12側の送受話器 A2 1との間で IP電話の通話が可能となる。ステップ S 2で自己宛 ( A社社員宛)メールが 存在しない場合 (NO)、ステップ S4で制御メールでない場合 (NO)は、何れも一定 時間後 (ステップ S8)にステップ S1の再度の問い合わせ動作を繰り返す。
[0139] 以上のようにして、 Firewall3やその VPN— GWの設定を変更することなぐまた社 外ネットワークに中継サーバを設置することなぐ社外ネットワークであるインターネッ ト 1と社内ネットワークである A社イントラネット 2との間で IP電話のための VPN接続が 可能であるから、フアイャウォール管理者の承認手続きや中継サーバの設置、利用 等の困難を伴うことなぐ通信料上有利な電子メールにより簡単に IP電話のための V PN接続が可能となる。なお、社外 POPサーバ 13や社外 SMTPサーバ 11は、通常 の電子メールの交換に用いているものをそのまま利用できる。 POPサーバ 13のァカ ゥントも、通常の電子メールの交換に用いるものを、そのまま利用できる。ただし、会 社がイントラネット 2から社外 POPサーバ 13へのアクセスを許可するよう、 Firewall3 を設定している場合に限る。
[0140] なお、 IP電話のための VPN接続の実施の形態においても第 5の実施の形態(図 1 0)と同様にゲートウェイ装置 22に認証モジュールを設け、持ち出し PC12からの制御 メールには IPアドレス等にカ卩え、 ID及びパスワード等、 A社イントラネット側での認証 に必要な情報を付加し、認証モジュールにより認証を行うように構成することにより、 セキュリティの確保を可能とする実施の形態とすることができる。
[0141] (第 7の実施の形態)
以上説明した具体的な実施の形態としては、 POPサーバを社外に設置する例を説 明したが、 POPサーバは社内に設置することも可能である。以下、 POPサーバを社
内に設置する実施の形態は、ゲートウェイ装置として認証機能を有する例により説明 する。(POPPサーバを社内に設置した場合においても、ゲートウェイ装置における 認証機能は必須となるものではなぐ認証機能がなくても動作可能である。 )
[0142] 本発明の具体的な実施の形態として、 POPサーバを社内設置したネットワーク構 成とし、アクセス手段に電子メールを利用し、情報処理端末と認証機能を有するゲー トウエイ装置との間で VPN接続を行う例を説明する。
[0143] (構成の説明)
図 18は、本発明の第 7の実施の形態のネットワーク構成を示す図である。インター ネット 1と、 A社イントラネット 2と、インターネット 1と A社イントラネット 2との間に設置さ れた Firewall3と、からなり、 A社イントラネット 2には、前記 Firewall3とそれぞれノヽブ (HUB)を介して接続された、社内 POPサーバ 21と、インターネット側との VPN接続 用の認証機能を有するゲートウェイ装置 20と、前記ゲートウェイ装置 20と接続された 業務サーバ 23と、を備え、インターネット 1側に社外 SMTPサーバ 11と、 A社社員の 持ち出し PC12と、を備える。
[0144] ここで、ゲートウェイ装置 20は、イントラネット内の何れに設置することも可能であり、 代表的には社員のオフィスに社員毎又は複数社員毎 (例えば、 2〜50もしくは 2〜1 00名の社員毎)に 1台が設置される。各ゲートウェイ装置 20にはそれぞれの使用者( A社社員)により認証機能の設定が可能であり、持ち出し PC12からのアクセスのため に使用者により認証用の ID及びパスワード等の設定を可能とする。また、持ち出し P C12は、 A社イントラネット内での使用時にはハブ(HUB)を介して前記 Firewall3及 び前記業務サーバ 23と接続して使用し、インターネット 1上 (イントラネット 2の外)で の使用時には前記ゲートウェイ装置 20を HUBを介して A社イントラネット 2の前記 Fir ewall3及び前記業務サーバ 23等と接続することにより、持ち出し PC12と前記ゲート ウェイ装置 20との VPN接続を行 、、前記 VPN接続を用いて持ち出し PC12と業務 サーバ 23との間の通信を中継することで、前記持ち出し PC12と業務サーバ 23との 通信を可能に構成することができる。
[0145] 図 19は本実施の形態の個々の装置に搭載されるソフトウェア等とプロトコル上の通 信処理を示す図である。
[0146] 本実施の形態の持ち出し PC12、ゲートウェイ装置 20、 SMTPサーバ 11、 POPサ ーバ 21、業務サーバ 23及びフアイャウォール 3には、それぞれ所定の OSと、各種機 能を実現するアプリケーションと、前記それぞれの OS間の通信を行うためのハードウ エアの NICと、ソフトウェアのドライノく、仮想ドライバ及び仮想 NICを備え、ゲートゥェ ィ装置 20には持ち出し PC 12からの電子メールによるアクセスに対し前記認証機能 を実現する認証モジュール B14を備える。
[0147] 図 19は持ち出し PC12とゲートウェイ装置 20とで認証後に VPN接続を確立し、持 ち出し PC12と業務サーバ 23との間で社内業務の通信処理等を行う例を示しており 、持ち出し PC12は前記社内業務の業務クライアントアプリケーション A1を搭載し、 業務サーバ 23は対応する業務サーバアプリケーション C1を搭載する。更に、持ち出 し PC12及びゲートウェイ装置 22は、それぞれインターネット上カもフアイャウォール 内へのアクセスを可能とする電子メールの送信機能を実現する制御メール送信アブ リケーシヨン A3及び前記電子メールの受信機能を実現する制御メール受信アプリケ ーシヨン B1と、それぞれ、業務クライアントアプリケーション A1に対する中継機能を実 現する中継サーバアプリケーション A2及び業務サーバアプリケーション C1に対する 中継機能を実現する中継クライアントアプリケーション B2を搭載する。
[0148] 業務クライアントアプリケーション A1は、業務サーバアプリケーション C1と双方向の 通信を行うアプリケーションである。業務クライアントアプリケーション A1は、代表的に は WEBブラウザソフトが適用される力 この場合業務サーバアプリケーション C1は、 WEBサーバアプリケーションが適用される。業務クライアントアプリケーション A1は、 WEBブラウザソフトの他、 TELNETクライアントソフト、 FTPクライアントソフト、会計ク ライアントソフト、ファイル共有クライアントソフト、データベースクライアントソフト等、各 種のアプリケーションが適用可能である。この場合、業務サーバアプリケーション C1 も、業務アプリケーション A1に対応し、 TELNETサーバソフト、 FTPサーバソフト、会 計サーバソフト、ファイル共有サーバソフト、データベースサーバソフト等が適用され る。
[0149] 中継サーバアプリケーション A2は、以下に挙げる動作を行う。
(1)仮想 NICA9から到着するフレームを、中継サーバアプリケーション A2と中継ク
ライアントアプリケーション B2との間の VPN接続 P4による通信にデータとして乗せ、 SSLA10に転送する。
(2) SSLA10から VPN接続 P4による通信に乗って到着するデータを、フレームと して仮想 NICA9に転送する。
(3)制御メール送信アプリケーション A3より、 VPN接続 P4による通信の接続待機 の命令を受け、接続完了後に制御メール送信アプリケーション A3に通知する。
(4)制御メール送信アプリケーション A3より、 VPN接続 P4による通信の切断命令 を受け、中継クライアントアプリケーション B2に対して切断信号を送信する。
[0150] 制御メール送信アプリケーション A3は、以下に挙げる動作を行う。
(1)ユーザより接続命令を受けると、接続要求のための制御メールを作成して送信 し、 SSLA15に渡す。このメールは接続 P1による通信を経由して、 SMTPサーバァ プリケーシヨン D1に転送される。同時に、中継サーバアプリケーション A2に接続待 機命令を出し、 VPN接続 P4による通信の接続を待機させる。
(2)ユーザより切断命令を受けると、中継サーバアプリケーション A2に対して切断 命令を通知する。
[0151] SMTPサーバアプリケーション D1は、 SMTPプロトコル(Send Mail Transfer Protocol)に従って、到着した電子メールを、適切な SMTPサーバもしくは POPサ ーバに転送する機能を持つ。図においては SMTPサーバ D1から直接 POPサーバ E1に対してメールが転送されている力 D1と E1との間に他の SMTPサーバが設置 され、数回の転送を経て POPサーバ E1に到着する場合も存在する。図においては、 制御メール送信アプリケーション A3から接続 P1による到着したメールを、宛先メール アドレスを参照し、 POPサーバ E1に接続 P2を用いて転送する。
[0152] POPサーバアプリケーション E1は、以下に挙げる動作を行う。
(1) SMTPサーバ D1から接続 P2により到着した電子メールを保管する。
(2)制御メール受信アプリケーション B1から接続 P3により保管電子メールのリストを 請求された場合に、保管電子メールのリストを接続 P3により転送する。
(3)制御メール受信アプリケーション B1から接続 P3により、指定電子メールの一部 の受信要求を得た場合、指定された電子メールを接続 P3により転送する。
(4)制御メール受信アプリケーション Blから接続 P3により、指定電子メールの一部 の削除要求を得た場合、指定された電子メールを削除する。
(5)制御メール受信アプリケーション B1から接続 P3により、全保管電子メールの一 括の受信要求を得た場合、全保管電子メールを接続 P3により転送する。
(6)制御メール受信アプリケーション B1から接続 P3により、全保管電子メールの一 括の削除要求を得た場合、全保管電子メールを削除する。
[0153] 制御メール受信アプリケーション B1は、以下に挙げる動作を行う。
(1) POPサーバアプリケーション E1に対して、定期的に接続 P3を通じて保管電子 メールのリストを請求する。リスト中に制御メールが含まれている場合は、接続 P3を通 じて POPサーバアプリケーション E1に対して指定電子メールの一部の受信要求によ り、制御メールの受信要求を行うと同時に、指定電子メールの一部の削除要求により 前記制御メールを削除する。
(2)制御メールに含まれる ID及びパスワード等の認証用の情報に基づ 、て、接続 P7を介して認証モジュール B 14により認証を行 、、認証が正 、場合に制御メール 中の接続要求に基づ 、て、中継クライアントアプリケーション B2に対してメール中に 含まれる宛先(図では中継サーバアプリケーション A2)に VPN接続 P4による通信を 設定するよう命令する。
[0154] 中継クライアントアプリケーション B2は、以下に挙げる動作を行う。
(1)制御メール受信アプリケーション B1より接続命令を受け、接続命令中に含まれ る宛先(図では A2)に対して VPN接続 P4による通信を設定する。
(2)仮想 NICB13から到着するフレームを、中継サーバアプリケーション A2と中継 クライアントアプリケーション B2との間の VPN接続 P4による通信にデータとして乗せ 、 SSLB10に転送する。
(3) SSLB10から VPN接続 P4による通信に乗って到着するデータを、フレームとし て仮想 NICB 13に転送する。
(4)中継サーバアプリケーション A2より VPN接続 P4による通信を通じて切断信号 を受信すると、 VPN接続 P4による通信を終了し、制御メール受信アプリケーション B 1に通知する。
[0155] 業務サーバアプリケーション CIは、業務クライアントアプリケーション A1と双方向の 通信を行うアプリケーションである。業務サーバアプリケーション C1は、代表的には WEBサーバアプリケーションが適用される。業務サーバアプリケーション C1は、業務 クライアントアプリケーション A1に対応し、 TELNETサーバソフト、 FTPサーバソフト 、会計サーバソフト、ファイル共有サーバソフト、データベースサーバソフト等、各種の アプリケーションが適用可能である。
[0156] また、本実施の形態の SMTPサーバ 11及び POPサーバ 21には、それぞれ電子メ ールの送信及び受信の機能を実現するアプリケーションとして、 SMTPサーバアプリ ケーシヨン Dl、 POPサーバアプリケーション Elを搭載する。なお、社内サーバ 21と しては POPサーバの他に、メール-ユースサーバ、 DNSサーバ、 SIPサーバ、掲示 板 (WWW)サーノ 、 FTPサーバ等も、 Firewall3により社外からのアクセスが制限さ れていない限り利用可能である。この場合、対応する社外サーバ 11も、メールニュー スサーバ、 DNSサーバ、 SIPサーバ等に置き換える力、もしくは持ち出し PC12より 直接社内サーバ 21にアクセスする。
[0157] 図 19に示すように、本実施の形態の OS内及び OS外のソフトウェア自体は、他の 実施の形態と同様である。また、ゲートウェイ装置 20内の制御メール受信アプリケー シヨン B1が制御メールを取得時に当該制御メールに格納されている ID及びパスヮー ドを抽出し、認証モジュール B14において使用者等により予め設定されている ID及 びパスワード等により認証動作を行う機能を有する点は、第 5の実施の形態と同様で ある。
[0158] (動作の説明)
図 20は、本実施の形態の動作の手順を示す図である。図 19及び図 20を参照して 本実施の形態の動作を以下説明する。
( 1) A社社員は持ち出し PC12の制御メール送信アプリケーション (電子メール送信 ソフト) A3により、社外 SMTPサーバ 11を経由して、 POPサーバ 21に設定されてい る A社社員自身のメールアドレス宛に制御メールを送信する。ここで制御メールには VPN接続要求の識別用情報を含め(例えば、ヘッダに VPN接続要求の識別用情報 を含めても良い)通常の電子メールとの識別を可能とするとともに、持ち出し PC12の
IPアドレス、 ID及びパスワード等、 A社イントラネット側での認証及び A社イントラネッ ト側カゝら持ち出し PC12に対して VPN接続を行う為に必要な情報が付加される。この メールは、まず SMTPサーバアプリケーション D1に接続 P1により転送される。
(2)社外 SMTPサーバ 11は、 SMTPサーバアプリケーション D1により接続 P1を通 じて前記制御メールを受信し、ヘッダ情報を参照して前記制御メールを接続 P2を通 じて社内 POPサーバ 21に転送し、社内 POPサーバ 21は社外 SMTPサーバ力も送 信された電子メール (制御メール)を受信すると、 POPサーバアプリケーション E1によ り当該電子メール (制御メール)をメールアドレス別に記憶して蓄積する。
(3)—方、ゲートウェイ装置 20は、制御メール受信アプリケーション B1によりフアイ ャウォール 3を介して定期的に社内 POPサーバ 21に接続 P3によりアクセスし、自己 宛電子メールが到達している力否かを問い合わせ、自己宛電子メールが到達してい る場合には当該電子メールを取り込み、制御メール力否かを判別する。(ヘッダに VP N接続要求の識別用情報を含めている場合は、ヘッダのみを調べる。 )
(4)自己宛電子メールが制御メールである場合、ゲートウェイ装置 20内の制御メー ル受信アプリケーション B1は社内 POPサーバ 21に対し当該制御メールを削除する よう命令し、取得した制御メール内の ID及びパスワード等に基づき、接続 P7を通じて 認証モジュール B14により認証を行う。認証が正 ヽ場合には VPN接続の要求元( 持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A2との VPN接続 P4を設定するよう、中継クライアントアプリケーション B2に命令する。中継クライアント アプリケーション B2は、制御メール受信アプリケーション B1からの命令により、 VPN 接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A 2との VPN接続 P4を設定する。
(5) VPN接続 P4が確立すると、持ち出し PC12内の中継サーバアプリケーション A 2は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務 サーバアプリケーション C1との間の通信を VPN接続 P4を経由させることにより中継 する。さらに、ゲートウェイ装置 20内の中継クライアントアプリケーション B2は、接続 P 6と VPN接続 P4とを中継し、業務サーバ 23の業務サーバアプリケーション C1と業務 クライアントアプリケーション A1との間の通信を VPN接続 P4を経由させることで中継
する。
[0159] この結果、持ち出し PC12は、 VPN接続 P4が切断されるまで、 A社イントラネット内 の業務サーバ 23との間で業務アプリケーション同士の通信が可能となる。
[0160] 図 21は第 7の実施の形態のゲートウェイ装置 20の動作フローチャートを示す図で ある。ゲートウェイ装置 20は、社内 POPサーバ 21に自己宛(A社社員宛)電子メール が到達して 、る力否かを問 、合わせ (ステップ S1)、 自己宛電子メールが到達して ヽ る場合 (ステップ S2、 YES)は当該電子メールのサブジェクト(見出し)一覧等のリスト もしくはメール全体を取り込み、制御メールか否かを判別する (ステップ S3、 S4)。 自 己宛電子メールが制御メールである場合 (ステップ S4、 YES)、ゲートウェイ装置 20 は社内 POPサーバ 21から当該制御メールを削除し (ステップ S5)、取得した制御メ ールに基づき認証モジュール B14により認証を行う(ステップ S6)。認証が正しい場 合 (ステップ S6、 Yes)に当該制御メールに基づき VPN接続の要求元の IPアドレスに VPN接続を行う(S7)。 VPN接続がされた後、この接続が切断される (ステップ S8) まで、持ち出し PC12は、 A社イントラネット内の業務サーバ 23との間で業務アプリケ ーシヨン同士の通信が可能となる。ステップ S2で自己宛 (A社社員宛)メールが存在 しな 、場合 (NO)、ステップ S4で制御メールでな 、場合 (NO)及びステップ S 6で認 証が不正の場合 (NO)は、何れも一定時間後 (ステップ S9)にステップ S1の再度の 問!ヽ合わせ動作を繰り返す。
[0161] 以上のようにして、 Firewall3やその VPN— GWの設定を変更することなぐまた社 外ネットワークに中継サーバを設置することなぐ社外ネットワークであるインターネッ ト 1と社内ネットワークである A社イントラネット 2との間で 1VPN接続が可能であるから 、フアイャウォール管理者の承認手続きや中継サーバの設置、利用等の困難を伴う ことなぐ通信料上有利な電子メールにより簡単に VPN構築を行うことが可能となり、 更に、認証によりセキュリティの確保が可能となる。なお、社内 POPサーバ 21や社外 SMTPサーバ 11は、通常の電子メールの交換に用いて 、るものをそのまま利用でき る。 POPサーバ 21のアカウントも、通常の電子メールの交換に用いるものを、そのま ま利用できる。この実施の形態は、会社が社内に POPサーバ 21を設置し、 SMTPサ ーバ 11から社内 POPサーバ 21に対してメール転送のための接続を許可するよう、 F
irewall3を設定して 、る場合に利用できる。
[0162] (第 8の実施の形態)
次に、本発明の具体的な実施の形態として、 POPサーバを社内設置したネットヮー ク構成とし、アクセス手段に電子メールを利用し、情報処理端末と認証機能を有する ゲートウェイ装置との間で IP電話のための VPN接続を行う例を説明する。
[0163] (構成の説明)
図 22は、本発明の第 8の実施の形態のネットワーク構成を示す図である。インター ネット 1と、 A社イントラネット 2と、インターネット 1と A社イントラネット 2との間に設置さ れた Firewall3と、からなり、 A社イントラネット 2には、前記 Firewall3とそれぞれノヽブ (HUB)を介して接続された、電子メール受信用の社内 POPサーバ 21と、インターネ ット側との IP電話用の送受話器を有するゲートウェイ装置 22と、を備え、インターネッ ト側には電子メール送信用の社外 SMTPサーバ 11と、 A社社員の送受話器を有す る持ち出し PC12と、を備える。
[0164] ここで、 IP電話用の送受話器を有するゲートウェイ装置 22は、イントラネット内の何 れに設置することも可能であり、代表的には社員のオフィスに社員毎又は複数社員 毎(例えば、 2〜50もしくは 2〜: L00名の社員毎)に 1台が設置される。また、 IP電話 用の送受話器を有する持ち出し PC12は、 A社イントラネット内での使用時にはハブ( HUB)を介して前記 Fire wall3と接続して使用し、インターネット上 (イントラネット 2の 外)での使用時には前記ゲートウェイ装置 22を HUBを介して A社イントラネット 2の前 記 Firewall3と接続することにより、持ち出し PC12と前記ゲートウェイ装置 22との間 で IP電話のための VPN接続を使った IP電話を可能に構成することができる。
[0165] 図 23は本実施の形態の各装置に搭載されるソフトウェア等とプロトコル上の通信処 理を示す図である。
[0166] 本実施の形態の持ち出し PC12、ゲートウェイ装置 22、 SMTPサーバ 11、 POPサ ーバ 21、フアイャウォール 3には、それぞれ所定の OSと、各種機能を実現するアプリ ケーシヨンと、それぞれの OS間の通信を行うためのハードウェアの NICと、ソフトゥェ ァのドライノく、仮想ドライバ及び仮想 NICとを有する。
[0167] 図 23は持ち出し PC12と認証機能を有するゲ一トウエイ装置 22との間で IP電話の
ための VPN接続を確立し、持ち出し PC12とゲ一トウエイ装置 22との間で IP電話の 通信等を行う例を示しており、持ち出し PC12は、送受話器 A21の送話器部分より音 声入力を得て、また送受話器 A21の受話器部分に音声出力を行う IP電話サーバァ プリケーシヨン A22を搭載し、ゲ—トウエイ装置 22は送受話器 B21の送話器部分より 音声入力を得て、また送受話器 B21の受話器部分に音声出力を行う IP電話クライァ ントアプリケーション B22を搭載する。
[0168] 前記 IP電話クライアントアプリケーション B22と前記 IP電話サーバアプリケーション A22は、 VPN接続によって接続され、双方向の音声データの通信を行う。更に、持 ち出し PC12及びゲートウェイ装置 22は、インターネット上からフアイャウォール内へ のアクセスを可能とする電子メールの送受信ソフトであって、それぞれ電子メールの 送信機能を実現する制御メール送信アプリケーション A3及び電子メールの受信機 能を実現する制御メール受信アプリケーション B1を搭載する。
[0169] 本実施の形態では、電子メールの送信側及び受信側のメールサーバである SMT Pサーバ 11は社外サーバとして、 POPサーバ 21は社内サーバとして設置され、それ ぞれには電子メールの送信及び受信の機能を実現する SMTPサーバアプリケーショ ン D1及び POPサーバアプリケーション E1を搭載する。
[0170] 本実施の形態においても OS及び OS以外のソフトウェアとして、以上の実施の形態 と同様の構成が採用可能である力 持ち出し PC12の IPスタックは IPスタック(Global
IP)のみでよぐゲートウェイ装置 22は中継処理を必要としないので、ブリッジの使 用は不要となる。なお、本実施の形態では、対象アプリケーションの IP電話サーバァ プリケーシヨン A22及び IP電話クライアントアプリケーション B22に基づく IP電話のた めの VPN接続による通信に、社外と社内の何れにおいても SSLプロトコルにより暗 号ィ匕を行うように設定された構成について説明するが、 SSLによる暗号ィ匕は必ずしも 必須の構成ではない。
[0171] (動作の説明)
図 24は、本実施の形態の動作の手順を示す図である。図 23及び図 24を参照して 本実施の形態の動作を以下説明する。
( 1) A社社員は持ち出し PC12の制御メール送信アプリケーション (電子メール送信
ソフト) A3により、社外 SMTPサーバ 11及びフアイャウォール 3を経由して、社内 PO Pサーバ 21に設定されて 、る A社社員自身のメールアドレス宛に制御メールを送信 する。ここで制御メールには IP電話のための VPN接続要求の識別用情報を含め(例 えば、ヘッダに第 4の実施の形態のようなイントラネット中継のための VPN接続要求 の識別用情報を含めても良い)通常の電子メールとの識別を可能とするとともに、持 ち出し PC12の IPアドレス等、 A社イントラネット側力も持ち出し PC12に対して IP電 話のための VPN接続を行う為に必要な情報が付加される。このメールは、まず SMT Pサーバアプリケーション D1に接続 P1により転送される。
(2)社外 SMTPサーバ 11は、 STMPサーバアプリケーション D1により接続 P1を通 じて前記制御メールを受信し、社内 POPサーバ 21に転送し、社内 POPサーバ 21は 社外 SMTPサーバから送信された電子メール (制御メール)を受信すると、 POPサー バアプリケーション E1により当該電子メール (制御メール)をメールアドレス別に記憶 して蓄積する。
(3)—方、ゲ—トウエイ装置 22は、制御メール受信アプリケーション B1により定期的 に社内 POPサーバ 21に接続 P3によりアクセスし、自己宛電子メールが到達している か否かを問い合わせ、自己宛電子メールが到達している場合には当該電子メールを 取り込み、制御メールか否かを判別する。 (ヘッダに VPN接続要求の識別用情報を 含めている場合は、ヘッダのみを調べる。 )
(4)自己宛電子メールが制御メールである場合、ゲートウェイ装置 22内の制御メー ル受信アプリケーション B 1は社内 POPサーバ 21から当該制御メールを削除するよう 命令し、取得した制御メール内の ID及びパスワード等に基づき、接続 P7を通じて認 証モジュール B14により認証を行う。認証が正しい場合には、 VPN接続の要求元( 持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A2との VPN接続 P4を設定するよう、 IP電話クライアントアプリケーション B22に命令する。 IP電話クラ イアントアプリケーション B22は、制御メール受信アプリケーション B1からの命令によ り、 IP電話のための VPN接続の要求元(持ち出し PC 12)の IPアドレスに対して IP電 話サーバアプリケーション A22との VPN接続 P4を設定する。
(5) IP電話のための VPN接続 P4が確立すると、持ち出し PC12は IP電話サーバァ
プリケーシヨン A22が送受話器 A21による通話を処理する(P5)とともに、ゲ—トウェ ィ装置 22は IP電話クライアントアプリケーション B22が送受話器 B21による通話を処 理し (P6)、 IP電話のための VPN接続 P4が切断されるまで、送受話器 A21、 B21間 で通話が可能となる。
[0172] 図 25は第 8の実施の形態のゲートウェイ装置の動作フローチャートを示す図である 。ゲ—トウエイ装置 22は、社内 POPサーバ 21に自己宛 (A社社員宛)電子メールが 到達して!/、るか否かを問!、合わせ (ステップ S 1)、自己宛電子メールが到達して 、る 場合 (ステップ S2、 YES)は当該電子メールのサブジェクト(見出し)一覧等のリストも しくはメール全体を取り込み、制御メール力否かを判別する (ステップ S3、 S4)。 自己 宛電子メールが制御メールである場合 (ステップ S4、 YES)、ゲ—トウエイ装置 22は 社内 POPサーバ 21から当該制御メールを削除し (ステップ S5)、当該制御メールに 基づき認証モジュールにより認証を行う(ステップ S6)。認証が正しい場合に当該制 御メールに基づき IP電話のための VPN接続の要求元の IPアドレスに IP電話のため の VPN接続を行う(S6)。 IP電話のための VPN接続がされた後、この接続が切断さ れる (ステップ S7)まで、ゲートウェイ装置 22の送受話器 B22と持ち出し PC12の送 受話器 A21との間で IP電話の通話が可能となる。ステップ S2で自己宛 (A社社員宛 )メールが存在しな 、場合 (NO)、ステップ S4で制御メールでな!、場合 (NO)及びス テツプ S6で認証が不正の場合 (NO)は、何れも一定時間後 (ステップ S8)にステップ S1の再度の問い合わせ動作を繰り返す。
[0173] 以上のようにして、 Firewall3やその VPN— GWの設定を変更することなぐまた社 外ネットワークに中継サーバを設置することなぐ社外ネットワークであるインターネッ ト 1と社内ネットワークである A社イントラネット 2との間で IP電話のための VPN接続が 可能であるから、フアイャウォール管理者の承認手続きや中継サーバの設置、利用 等の困難を伴うことなぐ通信料上有利な電子メールにより簡単に IP電話のための V PN接続が可能となり、且つ認証によりセキュリティが確保される。なお、社内 POPサ ーバ 21や社外 SMTPサーバ 11は、通常の電子メールの交換に用いて 、るちのをそ のまま利用できる。 POPサーバ 21のアカウントも、通常の電子メールの交換に用いる ものを、そのまま利用できる。ただし、会社がイントラネット 2から社内 POPサーバ 21
へのアクセスを許可するよう、 Firewall3を設定している場合に限る。
[0174] (第 9の実施の形態)
以上の実施の形態では、社内 POPサーバとゲートウェイ装置とは独立した装置とし た例であるが、これらを兼用構成とすることが可能である。以下、かかる兼用構成のゲ 一トウエイ装置 (社内 POPサーバ兼ゲートウェイ装置という)を使用した実施の形態と して、認証機能を有する VPN接続の例により説明する。
[0175] (構成の説明)
図 26は本発明の第 9の実施の形態のネットワーク構成を示す図である。インターネ ット 1と、 A社イントラネット 2と、インターネット 1と A社イントラネット 2との間に設置され たフアイャウォール(Firewall) 3と、からなり、 A社イントラネット 2には社内 POPサー バと兼用装置としてのゲートウェイ装置である社内 POPサーバ兼ゲートウェイ装置( 社内 POPサーバ兼認証装置を有するゲートウェイ装置) 24及び業務サーバ 23を備 え、インターネット側には社外 SMTPサーバ 11と、 A社社員が A社から持ち出した情 報処理端末と、を備える。
[0176] ここで社内 POPサーバ兼ゲートウェイ装置 24は、第 7の実施の形態において説明 した POPサーバ 21の機能と、第 7の実施の形態において説明したゲートウェイ装置 2 0の機能を全て有する。つまり、メールサーバとしてのメール受信機能、受信した電子 メールに対する送信先アドレスの識別機能、受信した電子メールの記憶機能を有す るとともに、ゲートウェイ装置としての受信した電子メールが制御メール力否かの識別 機能、認証機能及び要求された接続先への VPN接続機能の各機能を有し、電子メ ールの受信時に各機能による処理をほぼリアルタイムに実行する機能を有する。また 、持ち出し PC12は、 A社イントラネット内での使用時には HUBを介して前記社内 P OPサーバ兼ゲートウェイ装置 24及び業務サーバ 23と接続し、インターネット上での 使用時には A社イントラネット内の前記社内 POPサーバ兼ゲートウェイ装置 24との間 で VPN接続を設定し、この VPN接続に持ち出し PC 12と業務サーバ 23の間の通信 を中継させることで、持ち出し PC12と前記業務サーバ 23等との間で接続するように 構成することができる。
[0177] 図 27は第 9の実施の形態の動作の手順を示す図である。本実施の形態では、持ち
出し PC12と社内 POPサーバ兼ゲートウェイ装置 24とで認証後に VPN接続を確立し 、持ち出し PC12と業務サーバ 23との間で社内業務の通信処理等を行うためのアブ リケーシヨンとして、持ち出し PC12は前記社内業務の業務クライアントアプリケーショ ン A1を搭載し、業務サーバ 23は対応する業務サーバアプリケーション C1を搭載す る。更に、持ち出し PC12及び社内 POPサーバ兼ゲートウェイ装置 24は、それぞれィ ンターネット上からフアイャウォール内へのアクセスを可能とする電子メールの送信機 能を実現する制御メール送信アプリケーション A3及び前記電子メールの受信機能を 実現するゲートウェイ装置内 POPサーバアプリケーション F3、制御メール受信アプリ ケーシヨン F1と、それぞれ、業務クライアントアプリケーション A1に対する中継機能を 実現する中継サーバアプリケーション A2及び業務サーバアプリケーション C1に対す る中継機能を実現する中継クライアントアプリケーション F2を搭載する。
(動作の説明)
図 27を参照して本実施の形態の動作を以下説明する。
( 1) A社社員は持ち出し PC12の制御メール送信アプリケーション A3により、社外 S MTPサーバ 11を経由して POPサーバ兼ゲートウェイ装置 24に設定されている A社 社員自身のメールアドレス宛に VPN接続要求用の制御メールを送信する。ここで制 御メールには VPN接続要求の識別用情報を含め(例えば、ヘッダに VPN接続要求 の識別用情報を含めても良い)通常の電子メールと識別を可能とするとともに、持ち 出し PC12の IPアドレス、 ID及びパスワード等、 A社イントラネット側での認証及び A 社イントラネット側力も持ち出し PC12に対しての VPN接続に必要な情報が付加され る。このメールは、制御メール送信アプリケーション A3から SMTPサーバアプリケー シヨン D1に対して、接続 P1により転送される。
(2)社外 SMTPサーバ 11は、 SMTPサーバアプリケーション D1より接続 P1を通じ て前記制御メールを受信し、ヘッダ等の情報を参照して前記制御メールを接続 P2を 通じて POPサーバ兼ゲートウェイ装置 24に転送する。
(3) POPサーバ兼ゲートウェイ装置 24は、管轄する A社社員のメールアドレス宛の 電子メールを受信すると POPサーバアプリケーション F3により当該電子メールを記 憶して蓄積するとともに、制御メール受信アプリケーション F1に接続 P3を介して転送
する。
(4)制御メール受信アプリケーション Flは、この着信毎に電子メールの情報を識別 し制御メールカゝ否かを判別し (ヘッダに VPN接続要求の識別用情報を含めて ヽる場 合は、ヘッダのみを調べ判別し)、制御メールの場合、 POPサーバアプリケーション F 3に対して当該メールを削除するよう命令し、当該制御メールの認証用の情報に基づ いて接続 P7を通じて認証モジュールにより認証を行う。
(5)制御メール受信アプリケーション F1は接続 P7により認証モジュール B14から前 記制御メールの認証が正し 、との通知を受けると、中継クライアントアプリケーション F 2は当該制御メールに基づき VPN接続の要求元 (持ち出し PC12)の IPアドレスに中 継サーバアプリケーション A2との VPN接続 P4を確立する。
(6) VPN接続 P4が確立すると、持ち出し PC12内の中継サーバアプリケーション A 2は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務 サーバアプリケーション C1との間の通信を VPN接続 P4を経由させることにより中継 する。さらに、 POPサーバ兼ゲートウェイ装置 24内の中継クライアントアプリケーショ ン F2は、接続 P6と VPN接続 P4とを中継し、業務サーバ 23の業務サーバアプリケー シヨン C1と業務クライアントアプリケーション A1との間の通信を VPN接続 P4を経由さ せることで中継する。
[0179] この結果、持ち出し PC12は、 VPN接続 P4が切断されるまで、 A社イントラネット内 の業務サーバ 23との間で業務アプリケーション同士の通信が可能となる。
[0180] 図 28は第 9の実施の形態の社内 POPサーバ兼ゲートウェイ装置の動作フローチヤ ートを示す図である。 POPサーバ兼ゲートウェイ装置 24は電子メール受信機能と受 信した電子メールに対する識別、認証及び要求された接続先への VPN接続の各機 能をほぼ同時に処理する機能により、 POPサーバとして管轄する社員(例えば A社 社員)のメールアドレス宛の電子メールを受信すると (ステップ S1)、制御メール受信 機能として該電子メールの着信時にそのヘッダ等の情報を識別し (ステップ S 2)、制 御メールか否かを判別し (ステップ S3)、該電子メールが制御メールである場合 (ステ ップ S3、 YES)、前記電子メールを削除して制御メールに基づき認証モジュールによ り認証を行い、認証結果が正しい場合に (ステップ S4、 YES)、該制御メールにより
指定された IPアドレスに VPN接続を確立し (ステップ S5)、 VPN接続を終了するまで (ステップ S6)、持ち出し PC12と社内 POPサーバ兼ゲートウェイ装置 24及び業務サ ーバ 23等との間の通信を可能とする。電子メールの識別及び認証のステップ S3、 S 4でそれぞれ制御メール以外又は認証が不正の場合は、電子メールの受信の待機 のステップ S1に戻る。
[0181] 本実施の形態によれば、社内 POPサーバ機能とゲートウェイ装置機能を一体的に し、社内 POPサーバ兼ゲートウェイ装置 24として構成することにより第 7、 8の実施の 形態(図 18、図 20、図 22、図 24)に示すようにゲートウェイ装置(20、 22)力も社内 P OPサーバ 21に定期的な問い合わせを行うような処理を不要とする。なお、本実施の 形態ではメールサーバ (及び DNS)の設定が必要となる。
[0182] 以上のようにして、 Firewall3や Firewall内のルータ(VPN— GW)の設定を変更 することなぐまた社外ネットワークに中継サーバを設置することなぐ社外ネットヮー タカ の VPN接続が可能であり、フアイャウォール管理者の承認手続きや中継サー バの設置、利用等の問題を伴うことなぐ通信料上有利な電子メールにより簡単に V PN構築を行うことが可能となる。また、 POPサーバとゲートウェイ装置の一体ィ匕により 、問い合わせ処理を無くし、制御メール到着後直ちに VPN接続を行い、接続完了ま での時間を短縮することが可能となる。
[0183] 第 7〜9の実施の形態(図 18、 22、 26)では POPサーバをイントラネット内に設置し 、且つゲートウェイ装置に認証機能を有する例を説明したが、更に他の実施の形態と して同様の POPサーバの設置構成でそれぞれ認証機能を有さないゲートウェイ装置 を使用する実施の形態を構成することが可能である。
[0184] (第 10の実施の形態)
次に、フアイャウォール外からフアイャウォール内へのアクセス手段として電子メー ルに代えて電話回線及び無線回線を利用することが可能であり、以下この実施の形 態としてゲートウェイ装置では認証機能を有する例を説明する。
[0185] (構成の説明)
図 29は本発明の第 10の実施の形態のネットワーク構成を示す図である。インター ネット 1と、 A社イントラネット 2と、インターネット 1と A社イントラネット 2との間に設置さ
れたフアイャウォール (Firewall) 3と、からなり、 A社イントラネット 2には認証装置を有 するゲートウェイ装置 25及び業務サーバ 23と、を備え、インターネット側には A社社 員が A社から持ち出した情報処理端末であって、電話通信により VPN接続を要求す るため設定アプリケーション、 VPN用カプセルィ匕等の対象アプリケーション等力 な る専用の VPNソフトがインストールされた持ち出し PC12と、を備え、更に持ち出し P C12側力もゲートウェイ装置 25へ接続可能な電話回線と、を備える。
[0186] ここで持ち出し PC12は、ノート PC等の持ち運びできる端末であり、インターネット 1 内で使用する場合は、図 29に示す持ち出し PC12の位置に設置することにより使用 できるとともに、 A社イントラネット 2内で使用する場合は、ゲートウェイ装置 25の代わ りとして図 29に示す該ゲートウェイ装置 25の位置に設置して使用することができる。 A社イントラネット 2内での使用時にはハブ (HUB)等を介して前記 Firewall3やイン トラネット内の業務サーバ 23等との通信に使用し、また、インターネット上 (イントラネ ット外)での使用時には前記ゲートウェイ装置 25を該 HUB等を介して A社イントラネ ット 2内に設置し、前記 FireWall3等を介して前記ゲートウェイ装置 25と前記持ち出し PC12の接続を設定することにより、持ち出し PC12と業務サーバ 23間の通信を可能 にすることができる
[0187] 更に、持ち出し PC12には前記電話回線に対するモデムを備え、発信者番号通知 を伴う発信及び多周波信号 (プッシュトーン)等により自己の IPアドレスや暗証番号等 を送信する電話通信機能を有し、前記ゲートウェイ装置 25に対する VPN接続のコー ルバックを要求する機能を有する。
[0188] (動作の説明)
図 30は第 10の実施の形態の動作の手順を示す図である。持ち出し PC12は前記 社内業務の業務クライアントアプリケーション A1を搭載し、業務サーバ 23は対応する 業務サーバアプリケーション C1を搭載する。更に、持ち出し PC12及びゲートウェイ 装置 25は、それぞれインターネット上からフアイャウォール内へのアクセスを可能とす る制御情報の送信機能を実現する制御情報送信アプリケーション A3及び制御情報 の受信機能を実現する制御情報受信アプリケーション B1と、それぞれ、業務クライァ ントアプリケーション A1に対する中継機能を実現する中継サーバアプリケーション A
2及び業務サーバアプリケーション CIに対する中継機能を実現する中継クライアント アプリケーション B2を搭載する。
[0189] 本実施の形態の動作は以下のとおりである。
( 1) A社社員は持ち出し PC 12は制御情報送信アプリケーション A3により、 ゲートウェイ装置 25宛の制御情報を、モデムを使用し電話回線の接続 P1に送信す る。ここで持ち出し PC12は発信者番号通知を伴う VPN接続要求の発信を行い (発 信者番号通知は必須ではない)、プッシュトーン等によりゲートウェイ装置 25からの接 続先 IPアドレス (持ち出し PC12の IPアドレス)や暗証番号等を送信する。制御情報 にはヘッダ等に VPN接続要求の識別用情報を含め通常の情報との識別を可能とす るとともに、持ち出し PC12の IPアドレス、 ID及びパスワード等、 A社イントラネット側で の認証及び VPN接続に必要な情報を付加してもよい。
(2)ゲートウェイ装置 25は制御情報受信アプリケーション B1により制御情報を電話 回線から受信すると、ヘッダ等の情報により制御情報か否かを識別し、自己宛の制 御情報の場合に発信者番号通知により取得した発信者の電話番号及びプッシュトー ン等により取得した暗証番号等により認証モジュールにより接続 P2を介して認証を 行う。受信した発信者の電話番号等が予め登録されたものであった場合、ゲートゥェ ィ装置 25は中継クライアントアプリケーション B2により、取得した接続先 IPアドレスに VPN接続 P4を行う。
(3) VPN接続 P4が確立すると、持ち出し PC 12の中継サーバアプリケーション A2 は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務サ ーバアプリケーション C1との間の通信を VPN接続 P4を経由させることにより中継す る。さらに、ゲートウェイ装置 25内の中継クライアントアプリケーション B1は、接続 P6 と VPN接続 P4とを中継し、業務サーバ 23の業務サーバアプリケーション C1と業務ク ライアントアプリケーション A1との間の通信を VPN接続 P4を経由させることで中継す る。
[0190] この結果、持ち出し PC12は、 VPN接続 P4が切断されるまで、 A社イントラネット内 の業務サーバ 23との間で業務アプリケーション同士の通信が可能となる。
[0191] 図 31は第 10の実施の形態のゲートウェイ装置の動作フローチャートを示す図であ
る。ゲートウェイ装置 25は電話の着信を受けると (ステップ SI)、発信者番号通知によ り取得した発信者の電話番号及びプッシュトーン等により取得した暗証番号等を取 得し (ステップ 2)、予め登録されている情報と照合して認証を行う (ステップ S3)、認 証結果が正しければ電話力ものプッシュトーン等により指定された IPアドレスに VPN 接続を確立し (ステップ S5)、 VPN接続が終了するまで、ゲートウェイ装置 25、業務 サーバ 23等との通信を可能とする (ステップ S5)。認証のステップ S3において認証 結果が不正の場合は新たな着信の待機のステップ 1に戻る。
[0192] 本実施の形態によればフアイャウォール 3ゃフアイャウォール内のルータの設定等 を必要とすることなぐイントラネット外力も要求して、イントラネット外とイントラネット内 とを結ぶ VPN接続を簡単に実現することが可能である。第 4〜9 (図 6〜28)の実施 の形態と比べ電子メールの送受信及び制御メールの識別等が不要であり、きわめて 簡易な VPN接続 (VPN構築)が可能である。また、発信者番号通知により、不正使 用も防止できる。
[0193] 本実施の形態の電話回線を介する VPN接続要求の他の例としてモデムを使用す る代わりに携帯電話や一般電話を使用する方法を採用することができる。また、接続 要求の信号として FAX文書上のバーコードや、キャリア信号、テレビ画像信号、音声 信号、モールス符号等が利用可能である。
[0194] (第 11の実施の形態)
図 32本発明の第 11の実施の形態のネットワーク構成を示す図である。インターネッ ト 1と、 A社イントラネット 2と、インターネット 1と A社イントラネット 2との間に設置された フアイャウォール (Firewall) 3と、からなり、 A社イントラネット 2には認証装置を有する ゲートウェイ装置 26及び業務サーバ 23と、を備え、インターネット側には A社社員が A社から持ち出した情報処理端末であって、無線通信により VPN接続を要求するた め設定アプリケーション、 VPN用カプセルィ匕等の対象アプリケーション等力もなる専 用の VPNソフトがインストールされた持ち出し PC12と、持ち出し PC12側からゲート ウェイ装置 26へ接続可能な無線回線と、を備える。
[0195] ここで持ち出し PC12は、ノート PC等の持ち運びできる端末であり、インターネット 1 内で使用する場合は、図 1に示すように持ち出し PC12の位置に設置することにより
使用できるとともに、 A社イントラネット 2内で使用する場合は、ゲートウェイ装置 26の 代わりとして図 1に示す該ゲートウェイ装置 26の位置に設置して使用することができ る。 A社イントラネット 2内での使用時にはハブ (HUB)等を介して前記 Firewall3や イントラネット内の業務サーバ 23等との通信に使用し、また、インターネット上 (イントラ ネット外)での使用時には前記ゲートウェイ装置 26を該 HUB等を介して A社イントラ ネット 2内に設置し、前記 FireWall3等を介して前記ゲートウェイ装置 26と前記持ち 出し PC12の接続を設定することにより、持ち出し PC12と業務サーバ 23間の通信を 可能にすることができる
[0196] 更に、持ち出し PC12には前記無線回線に対する送受信機を備え、無線信号によ り自己の IPアドレスや暗証番号等を送信する無線送信機能を有し、前記ゲートウェイ 装置 26に対する VPN接続のコールバックを要求する機能を有する。
[0197] 図 33は第 11の実施の形態の動作の手順を示す図である。持ち出し PC12は前記 社内業務の業務クライアントアプリケーション A1を搭載し、業務サーバ 23は対応する 業務サーバアプリケーション C1を搭載する。更に、持ち出し PC12及びゲートウェイ 装置 26は、それぞれインターネット上からフアイャウォール内へのアクセスを可能とす る制御情報の送信機能を実現する制御情報送信アプリケーション A3及び制御情報 の受信機能を実現する制御情報受信アプリケーション B1と、それぞれ、業務クライァ ントアプリケーション A1に対する中継機能を実現する中継サーバアプリケーション A 2及び業務サーバアプリケーション C1に対する中継機能を実現する中継クライアント アプリケーション B2を搭載する。
[0198] 本実施の形態の動作は以下のとおりである。
( 1) A社社員は持ち出し PC12は制御情報送信アプリケーション A3により、ゲートゥ エイ装置 26宛の制御情報を無線送信機を使用し無線回線の接続 P1を介して発信を 行い、ゲートウェイ装置 26に対し接続先 IPアドレスや暗証番号等を送信する。ここで 制御情報にはヘッダ等に VPN接続要求の識別用情報を含め通常の情報との識別 を可能とするとともに、持ち出し PC12の IPアドレス、 ID及びパスワード等、 A社イント ラネット側での認証及び VPN接続に必要な情報を付加してもよい。
(2)ゲートウェイ装置 22は制御情報受信アプリケーション B1により無線信号を受信
すると、無線信号のヘッダ等の情報により制御情報か否かを識別し、自己宛の制御 情報の場合に取得した暗証番号等により接続 P2を介して認証モジュールにより認証 を行う。受信した発信者の電話番号等が予め登録されたものであった場合、ゲートゥ エイ装置 26は中継クライアントアプリケーション B2により、取得した接続先 IPアドレス に VPN接続 P4を行う。
(3)VPN接続 P4が確立すると、持ち出し PC 12の中継サーバアプリケーション A2 は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務サ ーバアプリケーション C1との間の通信を VPN接続 P4を経由させることにより中継す る。さらに、ゲートウェイ装置 26内の中継クライアントアプリケーション B1は、接続 P6 と VPN接続 P4とを中継し、業務サーバ 23の業務サーバアプリケーション C1と業務ク ライアントアプリケーション A1との間の通信を VPN接続 P4を経由させることで中継す る。
[0199] この結果、持ち出し PC12は、 VPN接続 P4が切断されるまで、 A社イントラネット内 の業務サーバ 23との間で業務アプリケーション同士の通信が可能となる。
[0200] 図 34は第 11の実施の形態のゲートウェイ装置の動作フローチャートを示す図であ る。ゲートウェイ装置 26は無線機が接続要求の制御情報を受信すると (ステップ S1) 、制御情報力も暗証番号等を取得し (ステップ S2)、予め登録されている情報と照合 して認証を行う(ステップ S3)、認証結果が正しければ制御情報力も指定された IPァ ドレスに VPN接続を確立し (ステップ S5)、 VPN接続が終了するまで、ゲートウェイ装 置 26、業務サーバ 23等との通信を可能とする (ステップ S5)。認証のステップ S3に ぉ 、て認証結果が不正の場合は新たな無線信号の受信の待機のステップ 1に戻る。
[0201] 本実施の形態によればフアイャウォール 3ゃフアイャウォール内のルータの設定等 を必要とすることなく社外と簡単に VPN接続を実現することが可能である。第 4〜9 ( 図 6〜28)の実施の形態と比べ電子メールの送受信及び制御メールの識別等が不 要であり、また、第 10の実施の形態(図 29)に比べ電話回線の使用、設定等の必要 がないので、きわめて簡易な VPN接続 (VPN構築)が可能である。
[0202] 持ち出し PC及びゲートウェイ装置に無線機等を備え、無線回線を利用して伝達す る情報により VPN接続要求及び該要求に対するコールバックを行う際、無線回線と
しては、 CB、 TV、ラジオ、アマチュア無線等が利用可能であり、また、接続要求を行 うために伝達する情報形態としては、第 10の実施の形態と同様なプッシュトーン、 FA X文書上のバーコードの他に、キャリア信号、テレビ画像信号、音声信号、モールス 符号等が利用可能である。
[0203] 次に、本発明の通信システムの実施の形態を構成する持ち出し PC及びゲートゥェ ィ装置の実施の形態について説明する。
[0204] (第 12の実施の形態)
図 35は、本発明の持ち出し PCの構成を示す図である。本実施の形態の持ち出し P Cは、使用者によるキー入力等の入力部 1001と、各種のデータにカ卩えて、持ち出し PC、イントラネット内のゲートウェイ装置及び各種機器との通信用のアプリケーション 及び各種処理を行うための制御プログラムであって、ゲートウェイ装置に対する VPN 接続又は IP電話のための VPN接続等の接続要求を行うための設定アプリケーショ ン及びゲートウェイ装置との接続により所定の業務処理を行う業務アプリケーション及 び業務アプリケーション等に対する中継処理を行うアプリケーションを含む対象アプリ ケーシヨン等を記憶する記憶部 1002と、記憶部 1002に記憶される前記プログラムを 記録した記録媒体 1005と、電子メール、電話モデム又は無線機器等のアクセス手段 1003と、ネットワークケーブルとの接続用の NIC等のインターフェース部 1004と、ゲ 一トウエイ装置との間で所定の機能を実現する中央処理装置 (CPU)を備える制御 部(CPU) 1006と、から構成される。
[0205] 設定アプリケーション及び対象アプリケーション等のプログラムは、当初記録媒体 1 005に格納されており制御部 1006により該記録媒体 1005から読み込まれ制御部 1 006の動作を制御する。また、当該プログラムは、ネットワーク上力もダウンロードして もよい。制御部 1006は前記プログラムにより以下の処理を実行する。
[0206] 使用者が入力部 1001からゲートウェイ装置(20、 22、 24、 25、 26)に対する VPN 接続又は IP電話のための VPN接続等の接続要求操作を行うと、制御部 106は設定 アプリケーション (制御メール送信アプリケーション等)により、接続先のゲートウェイ装 置を接続要求先のアドレス (持ち出し PCの持ち出し時にゲートウェイ装置を代わりに 設置した場合は A社社員自身のアドレス)とし、ヘッダ等に接続要求の識別用情報を
含め、更に持ち出し PC自体のアドレス、必要により ID及びパスワード等、 A社イントラ ネット側での認証及び接続用の情報を付加した制御情報を生成し、前述のインター ネット、電話回線又は無線回線等を介してゲートウェイ装置に送信する。
[0207] また、持ち出し PCのインターフェース 1004がフアイャウォールを介するゲートウェイ 装置(20、 22、 24、 25、 26)から VPN接続又は IP電話のための VPN接続等の接続 のコールバックを受けると、制御部 1006は対象アプリケーション(中継アプリケーショ ン)により、所定の業務処理の中継又は IP電話の通話処理を行うことにより接続を確 立する。
[0208] 持ち出し PCの制御プログラムとしては、外部ネットワークにフアイャウォール 3により 接続された内部ネットワークのゲートウェイ装置との間に接続を行うための制御プログ ラムであって、前記持ち出し PCの制御部 1006に、例えば、前記内部ネットワークへ アクセス可能な手段で接続を要求する機能と、前記ゲートウェイ装置に、前記接続要 求に対して、前記フアイャウォールを介して前記接続要求を行った持ち出し PCにコ ールバックにより接続要求を行わせる機能と、を実現させるプログラムである。また、 接続を要求する制御メールをメールサーバに送信する機能と、前記ゲートウェイ装置 に前記メールサーバの制御メールに基づいて前記フアイャウォール 3を介して接続の コールバックを行わせる機能と、を実現させるプログラムである。また、前記持ち出し P Cの制御部 1006に、電話回線又は無線回線を介して接続を要求する制御情報を送 信する機能と、前記ゲートウェイ装置に前記制御情報に基づいて、前記フアイャゥォ ール 3を介して接続のコールバックを行わせる機能と、を実現させるプログラムである
[0209] 図 36は、本発明のゲートウェイ装置の構成を示す図である。本実施の形態のゲート ウェイ装置は、使用者によるキー入力等の入力部 2001と、各種のデータにカ卩えて、 インターネット上の持ち出し PCとの通信用のアプリケーション及び各種処理を行うた めの制御プログラムであって、持ち出し PCとの接続等を行うための中継処理を行うァ プリケーシヨンを含む対象アプリケーション等を記憶する記憶部 2002と、記憶部 200 2に記憶する前記プログラムを記録した記録媒体 2005と、電子メール、電話モデム 又は無線機器等のアクセス手段 2003と、ネットワークケーブルとの接続用の NIC等
のインターフェース部 2004と、持ち出し PCとの間で所定の機能を実現する中央処 理装置 (CPU)を備える制御部 2006と、力も構成される。認証モジュール (認証プロ グラム)は、必要により記憶媒体 2005から呼び出され、記憶部 202内に設けられる。
[0210] 設定アプリケーション、認証モジュール及び業務アプリケーション等のプログラムは 、最初記録媒体 2005に格納されており制御部 2006により記録媒体 2005から読み 込まれ制御部 2006の動作を制御する。また、当該プログラムは、ネットワーク上から ダウンロードしてもよい。制御部 2006は前記プログラムにより以下の処理を実行する
[0211] 使用者は、持ち出し PCを社外 (インターネット上)に持ち出す場合、セキュリティの 必要に応じて認証の機能を実現可能とし、ゲートウェイ装置又は持ち出し PCの入力 部 2001、 1001から、インターネット上からの接続の要求時に使用する使用者の ID 及び暗証番号等、認証情報を設定する。
[0212] アクセス手段 2003が持ち出し PC力 VPN接続又は IP電話のための VPN接続の 接続要求の制御情報を受信すると、設定アプリケーションは、制御情報から接続要 求の制御情報力も接続元の IPアドレス等を検出し、必要により接続要求元の ID及び 暗証番号等を検出し、当該 ID及び暗証番号により認証を行い、認証が正しい場合に は対象アプリケーション(中継アプリケーション等)により、インターフェース部 2004を 介して、接続の要求元の IPアドレスに接続の制御を行う。
[0213] 接続が確立するとゲートウェイ装置は対象アプリケーション(中継アプリケーション) により業務サーバ等の業務アプリケーションとのコネクションが確立し、業務サーバ等 との間で業務アプリケーション同士の通信を可能とする。
[0214] ゲートウェイ装置の制御プログラムとしては、外部ネットワークの持ち出し PCとの間 に接続を行うところの、前記外部ネットワークにフアイャウォールにより接続された内 部ネットワークのゲートウェイ装置の制御プログラムであって、前記ゲートウェイ装置の 制御部 2006に、例えば、前記持ち出し PC力も接続を要求するアクセスを受ける機 能と、前記接続要求に対して前記フアイャウォールを介して前記接続要求を行った 情報処理端末にコールバックにより接続要求を行う機能と、を実現させるプログラム である。また、前記持ち出し PC力も送信された接続を要求する制御メールをメールサ
ーバから取得する機能と、該制御メールに基づ 、て前記フアイャウォール 3を介して 前記持ち出し PCに接続のコールバックを行う機能と、を実現させるプログラムである 。また、前記メールサーバに自己宛の電子メールの受信を定期的に問い合わせる機 能と、自己宛の電子メールを取得し制御メール力否かを判別する機能と、制御メール に対する認証機能と、を実現させるためのプログラムである。更に、前記メールサー ノ との兼用機能としてのメールサーバの電子メールの受信毎に当該電子メールが制 御メールか否かを判別する機能と、制御メールに対する認証機能と、を実現させるた めのプログラムを含む。
[0215] また、外部ネットワークの持ち出し PCとの間に接続を行うところの、前記外部ネット ワークにフアイャウォールにより接続された内部ネットワークのゲートウェイ装置の制 御プログラムであって、前記ゲートウェイ装置の制御部に、前記持ち出し PCから電話 回線を介して送信された接続を要求する制御情報を受信する機能と、該制御情報に 基づいて前記フアイャウォールを介して前記持ち出し PCに接続のコールバックを行 う機能と、を実現させるプログラムである。前記持ち出し PC力もの発信者番号通知に より取得した電話番号に基づいて認証を行う機能を実現するプログラムを含む。
[0216] また、外部ネットワークの持ち出し PCとの間に接続を行うところの、前記外部ネット ワークにフアイャウォールにより接続された内部ネットワークのゲートウェイ装置の制 御プログラムであって、前記ゲートウェイ装置の制御部に、前記持ち出し PC力も無線 回線を介して送信された接続を要求する制御情報を受信する機能と、該制御情報に 基づいて、前記フアイャウォールを介して前記持ち出し PCに接続のコールバックを 行う機能と、を実現させプログラムである。前記制御情報により認証を行う機能と、認 証が正しい場合に前記持ち出し PCに対する接続を行う機能と、を実現するプロダラ ムを含む。
[0217] (第 13の実施の形態)
次に本発明の具体的な実施の形態として、フアイャウォールが複数存在する場合 に、アクセス手段に電子メールを利用し、情報処理端末とゲートウェイ装置との間で V PN接続を行う例を説明する。
[0218] 本実施の形態は、第 4の実施の形態に対して、 A社イントラネット 2に、フアイャゥォ
ール 4を介して、部門イントラネット 5が接続されており、ゲートウェイ装置 20と、業務 サーバ 23が、それぞれ部門イントラネット 5内に設置されている点が異なる。
[0219] (構成の説明)
図 40は、本発明の第 13の実施の形態のネットワーク構成を示す図である。本実施 の形態におけるネットワークは、インターネット 1と、 A社イントラネット 2と、インターネッ ト 1と A社イントラネット 2との間に設置された Firewall3と、部門イントラネット 5と、 A社 イントラネット 2と部門イントラネット 5との間に設置された Firewall4と、力もなる。
[0220] 部門イントラネット 5には、前記 Firewall4とそれぞれノヽブ (HUB) 51を介して接続 された、インターネット側との VPN接続用のゲートウェイ装置 20と、前記ゲートウェイ 装置 20とハブ (HUB) 51を介して接続された接続された業務サーバ 23とを備える。
[0221] インターネット 1には社外 SMTPサーバ 11と、社外 POPサーバ 13と、 A社社員の 持ち出し PC12と、を備え、それぞれ ISP 14を介して接続されている。
[0222] A社イントラネット 2にお!/、ては、 Firewall3と Firewall4力 HUB27を介して接続さ れている。
[0223] Firewall4は、 A社イントラネット 2 (フアイャウォール外)力も部門イントラネット 5 (ファ ィャウォール内)への通信を制限し、部門イントラネット 5内の機器や通信の秘密等を 保護する動作を行う。具体的には、部門イントラネット 5内部の機器 (ゲートウェイ装置 20や業務サーバ 23等)から A社イントラネット 2側に向力 通信は、特別な場合を除 V、て許可するが、 A社イントラネット 2側力も部門イントラネット 5側への通信は、部門ィ ントラネット 5側力もの通信に対する応答 (返信)の通信を除いて拒否する動作を行う
[0224] なお、 Firewall3は、 A社イントラネット 2 (フアイャウォール内)力らインターネット 1 ( フアイャウォール外)に向かう通信は、特別な場合を除いて許可する力 インターネッ ト 1から A社イントラネット 2への通信は、 A社イントラネット 2側からの通信に対する応 答 (返信)の通信を除 、て拒否する動作を行う。
[0225] したがって、 Firewall3と Firewall4の双方の動作を考慮すると、部門イントラネット 5からインターネット 1に向力 通信は、特別な場合を除いて許可される力 インターネ ット 1から部門イントラネット 5への通信は、部門イントラネット 5側力もの通信に対する
応答 (返信)の通信を除 ヽて拒否される。
[0226] 部門イントラネット 5は、 A社のある部門によって管理されるネットワークであり、 Fire wall4を介して A社イントラネット 2に接続している。部門イントラネット 5は、 A社イント ラネット 2よりも高い秘匿性が必要とされるため、インターネット 1とは、 Firewall3と、 Fi rewall4の双方により、 2重の防護対策がなされている。
[0227] HUB51は、部門イントラネット 5内のハブであり、 MACアドレスによりフレームの宛 先を決定し、ゲートウェイ装置 20、業務サーバ 23、 FirewaMを、それぞれ接続する 働きをする。
[0228] HUB27は、 A社イントラネット 2内のハブであり、 MACアドレスによりフレームの宛 先を決定し、 Firewall3,部門イントラネット 5を、それぞれ接続する働きをする。
[0229] ISP14は、インターネット 1内のインターネットサービスプロバイダであり、 IPアドレス によりパケットの宛先を決定し、持ち出し PC12、社外 SMTPサーバ 11、社外 POPサ ーバ 13をそれぞれ接続する。
[0230] 図 41、図 42、及び図 43は本実施の形態の各装置に搭載されるソフトウェア等とプ ロトコル上の通信処理を示す図である。本実施の形態の持ち出し PC12、ゲートゥェ ィ装置 20、 SMTPサーバ 11、 POPサーバ 13、業務サーバ 23及びフアイャウォール 3には、それぞれ所定の OSと、各種機能を実現するアプリケーションと、前記それぞ れの OS間の通信を行うためのハードウェアの NICと、ソフトウェアのドライノく、仮想ド ライバ及び仮想 NICを備える点で第 4の実施の形態(図 7)と同様である。
[0231] 但し、本実施の形態の場合、フアイャウォール 3とゲートウェイ装置 20との間に、ファ ィャウォール 4を備える点力 第 4の実施の形態における図 7と異なる。 FirewaMの 各モジュール及び機能の概要については、 Firewall3と同様である。その他の図 41 、図 42、及び図 43に示す各モジュール及びその機能の概要も、第 4の実施の形態と 同様である。
尚、図 41の Aと図 42の Aとが、図 41の Bと図 42の Bとが結合されている。同様に、 図 42の Cと図 43の Cとが、図 42の Dと図 43の Dとが結合されて!、る。
[0232] (動作の説明)
図 44は、本実施の形態の動作の手順を示す図である。図 11を参照して本実施の
形態の動作を以下説明する。
( 1) A社社員は持ち出し PC12の制御メール送信アプリケーション (電子メール送信 ソフト) A3により、社外 SMTPサーバ 11を経由して、 POPサーバ 13に設定されてい る A社社員自身のメールアドレス宛に制御メールを送信する。ここで制御メールには VPN接続要求の識別用情報を含め(例えば、ヘッダに VPN接続要求の識別用情報 を含めても良い)通常の電子メールとの識別を可能とするとともに、持ち出し PC12の IPアドレス等、 A社イントラネット側から持ち出し PC12に対して VPN接続を行う為に 必要な情報が付加される。このメールは、まず SMTPサーバアプリケーション D1に接 続 P1により転送される。
(2)社外 SMTPサーバ 11は、 SMTPサーバアプリケーション D1により接続 P1を通 じて前記制御メールを受信し、ヘッダ情報を参照して前記制御メールを接続 P2を通 じて社外 POPサーバ 13に転送し、社外 POPサーバ 13は社外 SMTPサーバ力 送 信された電子メール (制御メール)を受信すると、 POPサーバアプリケーション E1より 当該電子メール (制御メール)をメールアドレス別に記憶して蓄積する。
(3)—方、ゲートウェイ装置 20は、制御メール受信アプリケーション B1によりフアイ ャウォール 4とフアイャウォール 3を介して定期的に社外内 POPサーバ 13にアクセス し、 自己宛電子メールが到達している力否かを接続 P3により問い合わせ、 自己宛電 子メールが到達している場合には接続 P3により当該電子メールを取り込み、制御メ ールか否かを判別する。 (ヘッダに VPN接続要求の識別用情報を含めて ヽる場合は 、ヘッダのみを調べる。 )
(4)自己宛電子メールが制御メールである場合、ゲートウェイ装置 20内の制御メー ル受信アプリケーション B1は、接続 P3により社外 POPサーバ 13に対し当該制御メ ールを削除するように命令し、取得した制御メール内の ID及びパスワード等に基づき 、接続 P7を通じて認モジュール B14により認証を行う。認証が正しい場合には、 VP N接続の要求元(持出し PC12)の IPアドレスに対して中継サーバアプリケーション A 2との VPN接続 P4を設定するよう、中継クライアントアプリケーション B2に命令する。 中継クライアントアプリケーション B2は、制御メール受信アプリケーション B1からの命 令により、 VPN接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバァ
プリケーシヨン A2との VPN接続 P4を設定する。
(5)VPN接続 P4が確立すると、持ち出し PC12内の中継サーバアプリケーション A 2は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務 サーバアプリケーション C1との間の通信を接続 P4を経由させることにより中継する。
[0233] さらに、ゲートウェイ装置 20内の中継クライアントアプリケーション B2は、接続 P6と V PN接続 P4とを中継し、業務サーバ 23の業務サーバアプリケーション C1と業務クライ アントアプリケーション A1との間の通信を VPN接続 P4を経由させることで中継する。 この結果、持ち出し PC12は、 VPN接続 P4が切断されるまで、 A社イントラネット内の 業務サーバ 23との間で業務アプリケーション同士の通信が可能となる。
[0234] 以上のようにして、 Firewall3、 Firewall4やその VPN— GWの設定を変更すること なぐまた社外ネットワークに中継サーバを設置することなぐ社外ネットワークである インターネット 1と社内ネットワークである A社イントラネット 2内の部門イントラネット 5と の間で、 VPN接続が可能である。
[0235] したがって、複数のフアイャウォールの内側に存在する部門イントラネットからでも、 経路上の各フアイャウォール管理者の承認手続きや中継サーバの設置、利用等の 困難を伴うことなぐ通信料上有利な電子メールにより簡単に VPN構築を行うことが 可能となる。
[0236] (第 14の実施の形態)
次に本発明の具体的な実施の形態として、持ち出し PCが、インターネットとフアイャ ウォールを介して接続されている家庭内 LAN内に設置されており、フアイャウォール がユニバーサル ·プラグ ·アンド ·プレイ (UPnP)による設定を受け付ける場合に、ァク セス手段に電子メールを利用し、情報処理端末とゲートウェイ装置との間で VPN接 続を行う例を説明する。
本実施の形態は、第 4の実施の形態に対して、インターネット 1に、フアイャウォール 6を介して、家庭内 LAN7が接続されており、持ち出し PC12が HUB71と共に家庭 内 LAN7内に設置されている点が異なる。
[0237] (構成の説明)
図 45は、本発明の第 14の実施の形態のネットワーク構成を示す図である。本実施
の形態におけるネットワークは、インターネット 1と、 A社イントラネット 2と、インターネッ ト 1と A社イントラネット 2との間に設置された Firewall3と、インターネット 1と家庭内 L AN7との間に設置された Firewall6と、からなる。
[0238] 家庭内 LAN7には、前記 Firewall6とハブ(HUB) 71を介して接続された持ち出し PC 12を備える。
[0239] インターネット 1には社外 SMTPサーバ 11と、社外 POPサーバ 13とを備え、それぞ れ ISP 14を介して接続されて 、る。
[0240] A社イントラネット 2においては、 Firewall3とゲートウェイ装置 20、さらに業務サー バ 23力 HUB27を介して接続されている。
[0241] Firewall6は、インターネット 1 (フアイャウォール外)力 家庭内 LAN7 (フアイャゥ オール内)への通信を制限し、家庭内 LAN7内の機器や通信の秘密等を保護する 動作を行う。具体的には、家庭内 LAN7内部の機器 (持ち出し PC12)からインター ネット 1側に向力 通信は、特別な場合を除いて許可する力 インターネット 1側から 家庭内 LAN7側への通信は、家庭内 LAN7側からの通信に対する応答 (返信)の通 信を除!、て拒否する動作を行う。
[0242] さらに Firewall6は、家庭内 LAN7内部の機器 (持ち出し PC12)
から、接続許可 '不許可の設定等の遠隔操作を可能とするため、ユニバーサル'ブラ グ ·アンド ·プレイ (UPnP)機能を有して!/、る。
[0243] 家庭内 LAN7は、 A社社員の自宅や、出張先のホテル等のネットワークであり、 UP nP機能を有する Firewall6を介してインターネット 1に接続して!/、る。
[0244] HUB71は、家庭内 LAN7内のハブであり、 MACアドレスによりフレームの宛先を 決定し、持ち出し PC 12、 FireWall6を、それぞれ接続する働きをする。
[0245] 図 46、図 47、及び図 48は本実施の形態の各装置に搭載されるソフトウェア等とプ ロトコル上の通信処理を示す図である。本実施の形態のゲートウェイ装置 20、 SMT Pサーバ 11、 POPサーバ 13、業務サーバ 23及びフアイャウォール 3には、それぞれ 所定の OSと、各種機能を実現するアプリケーションと、前記それぞれの OS間の通信 を行うためのハードウェアの NICと、ソフトウェアのドライノく、仮想ドライバ及び仮想 NI Cを備える点で第 4の実施の形態(図 7)と同様である。
[0246] 但し、本実施の形態の場合、持ち出し PC12と SMTPサーバ 11との間に、フアイャ ウォール 6を備え、さらに持ち出し PC12内に UPnPクライアントアプリケーション A23 と、 UPnPクライアントアプリケーション A23の通信を補助する TCPA24を備える点が 、第 4の実施の形態における図 7と異なる。
尚、図 46の Eと図 47の Eとが、図 46の Fと図 47の Fとが、図 46の Gと図 47の Gとが 結合されている。同様に、図 47の Hと図 48の Hとが、図 47の Iと図 48の Iとが結合さ れている。
[0247] Firewall6の各モジュール及び機能の概要については、 Firewall3と基本的に同 様であるが、 Firewall6は Firewall3に対して、 UPnPサーバアプリケーション F8と、 UPnPサーバアプリケーション F8の通信を補助する TCPF9を有する点において、 Fi rewall3と異なる。
[0248] 接続 P8は、 UPnPクライアントアプリケーション A23と UPnPサーバアプリケーション F8との間の接続である。接続 P8は、 UPnPクライアントアプリケーション A23側力も U PnPサーバアプリケーション F8側に対して TCPにて接続を要求し、いったん接続が 完了すると、切断するまで双方向での通信が可能となる。
[0249] その他の図 46、図 47、及び図 48に示す各モジュール及びその機能の概要につい ては、第 4の実施の形態と同様である。
[0250] (動作の説明)
図 49は、本実施の形態の動作の手順を示す図である。図 49を参照して本実施の 形態の動作を以下説明する。
(1) A社社員が、持ち出し PC12の制御メール送信アプリケーション (電子メール送 信ソフト) A3に対して VPN接続の開始を指示すると、制御メール送信アプリケーショ ン A3は、 UPnPクライアントアプリケーション A23に対して、 Firewall6のインターネッ ト 1側の IPアドレス(グローバル IPアドレス)の通知要求と、 Firewall6へのサービス登 録要求(Firewall6が、インターネット 1側力も家庭内 LAN7側に対する VPN接続 P4 を例外的に許可する設定の要求)を行う。 UPnPクライアントアプリケーション A23は 、 Firewall6内の UPnPサーバアプリケーション F8に接続 P8により接続し、インター ネット 1側の IPアドレス(グローバル IPアドレス)の通知要求と、 Firewall6へのサービ
ス登録要求(Firewall6が、インターネット 1側力も家庭内 LAN7側に対する VPN接 続 P4を例外的に許可する設定の要求)を行う。そして IPアドレス(グローバル IPァドレ ス)の通知要求により取得した、 Firewall6のインターネット 1側の IPアドレスを、制御 メール送信アプリケーション (電子メール送信ソフト) A3に通知する。制御メール送信 アプリケーション(電子メール送信ソフト) A3は、社外 SMTPサーバ 11を経由して、 P OPサーバ 13に設定されて!、る A社社員自身のメールアドレス宛に制御メールを送 信する。ここで制御メールには VPN接続要求の識別用情報を含め(例えば、ヘッダ に VPN接続要求の識別用情報を含めても良い)通常の電子メールとの識別を可能と するとともに、 UPnPクライアントアプリケーション A23から通知された Firewall6のィ ンターネット 1側の IPアドレス(グローバル IPアドレス)等、 A社イントラネット側力 持 ち出し PC12に対して VPN接続を行う為に必要な情報が付加される。このメールは、 まず SMTPサーバアプリケーション D1に接続 P1により転送される。
(2)社外 SMTPサーバ 11は、 SMTPサーバアプリケーション D1により接続 P1を通 じて前記制御メールを受信し、ヘッダ情報を参照して前記制御メールを接続 P2を通 じて社外 POPサーバ 13に転送し、社外 POPサーバ 13は社外 SMTPサーバ力 送 信された電子メール (制御メール)を受信すると、 POPサーバアプリケーション E1より 当該電子メール (制御メール)をメールアドレス別に記憶して蓄積する。
(3)—方、ゲートウェイ装置 20は、制御メール受信アプリケーション B1によりフアイ ャウォール 4とフアイャウォール 3を介して定期的に社外内 POPサーバ 13にアクセス し、 自己宛電子メールが到達している力否かを接続 P3により問い合わせ、 自己宛電 子メールが到達している場合には接続 P3により当該電子メールを取り込み、制御メ ールか否かを判別する。 (ヘッダに VPN接続要求の識別用情報を含めて ヽる場合は 、ヘッダのみを調べる。 )
(4)自己宛電子メールが制御メールである場合、ゲートウェイ装置 20内の制御メー ル受信アプリケーション B1は、接続 P3により社外 POPサーバ 13に対し当該制御メ ールを削除するように命令し、取得した制御メール内の ID及びパスワード等に基づき 、接続 P7を通じて認モジュール B14により認証を行う。認証が正しい場合には、 VP N接続の要求元(持出し PC12)の IPアドレスに対して中継サーバアプリケーション A
2との VPN接続 P4を設定するよう、中継クライアントアプリケーション B2に命令する。 中継クライアントアプリケーション B2は、制御メール受信アプリケーション B1からの命 令により、 VPN接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバァ プリケーシヨン A2との VPN接続 P4を設定する。
[0251] (5)VPN接続 P4が確立すると、持ち出し PC12内の中継サーバアプリケーション A2 は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務サ ーバアプリケーション C 1との間の通信を接続 P4を経由させることにより中継する。さ らに、ゲートウェイ装置 20内の中継クライアントアプリケーション B2は、接続 P6と VP N接続 P4とを中継し、業務サーバ 23の業務サーバアプリケーション C1と業務クライ アントアプリケーション A1との間の通信を VPN接続 P4を経由させることで中継する。 この結果、持ち出し PC12は、 VPN接続 P4が切断されるまで、 A社イントラネット内の 業務サーバ 23との間で業務アプリケーション同士の通信が可能となる。
(6) A社社員が、持ち出し PC12の制御メール送信アプリケーション (電子メール送 信ソフト) A3に対して VPN接続の切断を指示すると、制御メール送信アプリケーショ ン A3は、中継サーバアプリケーション A2に対して VPN接続 P4の切断を指示した後 、 UPnPクライアントアプリケーション A23に対して、 Firewall6からのサービス解除要 求(Firewall6が、インターネット 1側力も家庭内 LAN7側に対する VPN接続 P4を例 外的に許可する設定の削除要求)を行う。 UPnPクライアントアプリケーション A23は 、 Firewall6内の UPnPサーバアプリケーション F8に接続 P8により接続し、 Firewall 6へのサービス解除要求(Firewall6力 インターネット 1側から家庭内 LAN7側に対 する VPN接続 P4を例外的に許可する設定の削除要求)を行う。
[0252] 以上のようにして、 Firewall3や Firewall6の設定を手動で変更することなく、また 社外ネットワークに中継サーバを設置することなぐ社外ネットワークである家庭内 LA N7と A社イントラネット 2との間で、 VPN接続が可能である。
[0253] (第 15の実施の形態)
次に本発明の具体的な実施の形態として、 A社イントラネット 2内に HUB28が追カロ され、この HUB28が、ゲートウェイ装置 20内に追加装着された NICと接続され、さら に業務サーバ 23が、 HUB28に接続されている場合に、アクセス手段に電子メール
を利用し、情報処理端末とゲートウェイ装置との間で VPN接続を行う例を説明する。
[0254] 本実施の形態は、第 4の実施の形態に対して、(1)持ち出し PC12内の制御
メール送信アプリケーション A2が VPN接続の要求時に制御メール内に VLAN加入 情報を付加し、(2)ゲートウェイ装置 20内の中継クライアントアプリケーション B2が、 接続 P4により受信したフレームを接続 P6に転送する際、制御メール内の VLANカロ 入情報に基づき VLANタグを付加し、 (3)ゲートウェイ装置 20内の中継クライアント アプリケーション B2力 接続 P6により受信した VLANタグ付きフレームから VLANタ グを削除し、接続 P6に転送する点が異なる。
[0255] (構成の説明)
図 50は、本発明の第 15の実施の形態のネットワーク構成を示す図である。図 50は 第 4の実施の形態における図 6に対して、 A社イントラネット 2内に HUB28が追加さ れ、この HUB28が、ゲートウェイ装置 20内に追加装着された NICと接続され、さらに 業務サーバ 23が、 HUB28に接続されている点において異なる。
[0256] HUB28は、 A社イントラネット 2内のハブであり、 MACアドレスによりフレームの宛 先を決定し、ゲートウェイ装置 20、業務サーバ 23を、それぞれ接続する働きをする。
[0257] 図 51及び図 52は、本発明の第 15の実施の形態の各装置に搭載されるソフトゥェ ァ等とプロトコル上の通信処理を示す図である。第 4の実施の形態における図 7に対 して、ゲートウェイ装置 20内に、ドライバ B15と NICB16がそれぞれ追加されている 点において異なる。
尚、図 51の Jと図 52の Jとが、図 51の Kと図 52の Kとが結合されている。
[0258] ドライバ B15は、ドライバ B8と同様のドライバである。
[0259] NICB16は、 NICB9と同様の NICである。
[0260] ブリッジ B7は、 VLANごとにどの MACアドレスをもつ端末がどの NIC側に接続さ れて 、るのかを記録する MACアドレスの学習機能を有し、 MACアドレスと VLANタ グの双方により、ドライバ B8、ドライバ B12、ドライバ B15, IPスタック B6から到着した フレームの宛先を決定し、ドライバ B8、ドライバ B12、ドライバ B15, IPスタック B6の 何れかに転送する。必要に応じて入力されたフレームをコピーして同報 (ブロードキヤ スト)送信することもある。
(動作の説明)
本実施の形態の動作の手順は、第 4の実施の形態における図 8と同様である。しか しながら、制御メール内に VLAN情報を含めるなど、細部において相違があるため、 図 8を用いて本実施の形態における動作を説明する。
ゲートウェイ装置内のブリッジ B7において、あら力じめドライバ B8、ドライバ B12、そ して IPスタック B6がタグなしのデフォルト VLAN (VLANl)に登録され、ドライバ B12 とドライバ B15が、 VLANタグ付きの VLAN2に登録されているとする。
(1) A社社員が、持ち出し PC12の制御メール送信アプリケーション (電子メール送 信ソフト) A3に対して、 VLAN2への VPN接続の開始を指示すると、制御メール送信 アプリケーション(電子メール送信ソフト) A3は、社外 SMTPサーバ 11を経由して、 P OPサーバ 13に設定されて!、る A社社員自身のメールアドレス宛に制御メールを送 信する。ここで制御メールには VPN接続要求の識別用情報を含め(例えば、ヘッダ に VPN接続要求の識別用情報を含めても良い)通常の電子メールとの識別を可能と するとともに、持ち出し PC12の IPアドレスと、接続希望先の VLAN (ここでは VLAN 2とする)等、 A社イントラネット側カゝら持ち出し PC12に対して VPN接続を行う為に必 要な情報が付加される。このメールは、まず SMTPサーバアプリケーション D1に接続 P1により転送される。
(2)社外 SMTPサーバ 11は、 SMTPサーバアプリケーション D1により接続 P1を通 じて前記制御メールを受信し、ヘッダ情報を参照して前記制御メールを接続 P2を通 じて社外 POPサーバ 13に転送し、社外 POPサーバ 13は社外 SMTPサーバ力 送 信された電子メール (制御メール)を受信すると、 POPサーバアプリケーション E1によ り当該電子メール (制御メール)をメールアドレス別に記憶して蓄積する。
(3)—方、ゲートウェイ装置 20は、制御メール受信アプリケーション B1によりフアイ ャウォール 3を介して定期的に社外内 POPサーバ 13にアクセスし、自己宛電子メー ルが到達している力否かを接続 P3により問い合わせ、自己宛電子メールが到達して いる場合には当該電子メールを取り込み、制御メールか否かを判別する。(ヘッダに VPN接続要求の識別用情報を含めている場合は、ヘッダのみを調べる。 )
(4)自己宛電子メールが制御メールである場合、ゲートウェイ装置 20内の制御メー
ル受信アプリケーション Blは社外 POPサーバ 13に対し当該制御メールを削除する よう命令し、取得した制御メール内の ID及びパスワード等に基づき、接続 P7を通じて 認証モジュール B14により認証を行う。認証が正しい場合には、 VPN接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A2との VPN接 続 P4を設定するよう、中継クライアントアプリケーション B2に命令する。中継クライァ ントアプリケーション B2は、制御メール受信アプリケーション B1からの命令により、 VP N接続の要求元 (持ち出し PC12)の IPアドレスに対して中継サーバアプリケーション A2との VPN接続 P4を設定する。
(5)VPN接続 P4が確立すると、持ち出し PC12内の中継サーバアプリケーション A 2は、接続 P5と VPN接続 P4とを中継し、業務クライアントアプリケーション A1と業務 サーバアプリケーション C1との間の通信を接続 P4を経由させることにより中継する。 さらに、ゲートウェイ装置 20内の中継クライアントアプリケーション B2は、接続 P6と V PN接続 P4とを中継し、業務サーバ 23の業務サーバアプリケーション C1と業務クライ アントアプリケーション A1との間の通信を VPN接続 P4を経由させることで中継する。 この際ゲートウェイ装置 20内の中継クライアントアプリケーション B2は、接続 P4により 受信したフレームを仮想 NICB13に転送する際、制御メール内の VLAN加入情報 に基づき VLAN2の VLANタグを付カ卩し、逆に、仮想 NICB13より VLAN2の VLA Nタグ付きフレームを受信した場合は VLANタグを削除し、接続 P6に転送する。
[0262] 以上のようにして、制御メール内に VLAN情報を付加することで、 VPN接続先の V LANを選択することができる。
[0263] (他の実施の形態)
第 4〜9の実施の形態(図 6〜28)に示す実施の形態においては、制御メールのフ ォーマット、メールサーバに受信された制御メールの取り扱 、及び制御メールに基づ く VPN接続又は IP接続等の制御結果の発信元等への通知等に関する構成の追カロ 又は各種の変更が可能である。
[0264] 例えば、持ち出し PC力ゝらの接続先の情報として、複数の VLAN対応の VPN接続 等を可能とするように制御メールに接続先 VLAN情報や認証情報を入れることにより 、電子メールを利用する認証 VLANを実現することができる。また、制御メールにグロ
一バル IPアドレスと接続希望 VLAN等の情報を挿入し、複数の VLANの何れに接 続するかを制御可能に構成することができる。
[0265] また、例えば持ち出し PCへのユーザのコネクション要求の操作により、持ち出し PC は制御メールに接続要求タイトルを書き込んだり、電子メールの見出し (Subject)に制 御文字を書き込んだり、電子メールのヘッダの拡張領域であるメタ拡張タグ (X— VP N)に制御文字を書き込むことにより、ゲートウェイ装置に対する VPN接続要求を行う ように構成することが可能である。
[0266] 更に、制御文字を書き込んだ制御メールのフォーマットを使用する場合にメールサ ーバに蓄積された電子メールのうち当該制御文字が書き込まれた電子メールのみを メールサーノくから取得したり、メールサーノくから削除するように構成することができる
[0267] ゲートウェイ装置では、制御メールの受信に基づいて当該制御メールにより指定さ れた IPアドレスへの VPN接続又は IP接続等の制御を行うとともに、 VPN接続又は IP 接続等の確立の成否等、通信状態 (Status)を認識して、当該制御メールの送信元に 関連する、例えば携帯電話機の iモード等、別のメールアドレス等へ前記通信状態を 通知するように構成することが可能である。
[0268] 第 10の実施の形態(図 29)においては、持ち出し PC力もゲートウェイ装置側への 電話回線、固定電話又は PHS等の携帯電話により VPN接続又は IP接続等の要求 を行う際の制御用の情報形態として、発信者番号通知及びプッシュトーンの利用例 を示したが、持ち出し PCとゲートウェイ装置側との間で伝達する情報形態を予め登 録しておくことにより、任意の情報形態を利用して VPN接続又は IP接続等のための 認証及び IPアドレスの取得等を行うように構成することが可能である。例えば、持ち 出し PC及びゲートウェイ装置間の電話回線等を介するファクシミリ機能を利用し、 F AX文書によりバーコード等を力かる制御用の情報の伝達に利用することが可能であ り、また、制御用の画像データや音声データ等を送受信することにより、同様な情報 の伝達及び VPN接続又は IP接続等の制御に利用することが可能である。以上の事 項は無線回線を利用する VPN接続又は IP接続等の通信システムにおいても同様に 適用可能であることは明らかである。
[0269] 更に、以上の各実施の形態において、制御メール等の VPN接続又は IP接続等の 要求にシリアル番号の情報を付加し、ゲートウェイ装置は当該シリアル番号を VPN 接続又は IP接続等の時に接続要求元の持ち出し PCに送信することにより、持ち出し PCは送信した VPN接続又は IP接続等の要求のシリアル番号との一致を検出するこ とにより当該 VPN接続又は IP接続等が正常な接続であることを確認できるように構 成することが可能である。
[0270] 以上、発明の実施の形態として VPN接続及び IP電話のための VPN接続について 説明したが、本発明はこれらの接続に限られるものではなぐ TCPコネクションの確立 、その他、各種接続の接続方法、通信システム、装置及びプログラムに適用可能で あることは云うまでもな 、。