アクセス制御システム、これに用いる端末及びゲートウェイ装置
【課題】 ネットワークを介して所定のサーバへのアクセスを適切に制御すること。
【解決手段】 端末1が、内部ネットワークに接続された状態でアクセス可能なサーバ31を検出するサーバ検出手段と、検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、外部に持ち運ばれ外部ネットワークを介してサーバへのアクセスを要求する際に記憶されたアクセス制御用データをゲートウェイ装置2に送信するアクセス要求手段と、を備え、ゲートウェイ装置2が、端末1にて生成されたアクセス制御用データを記憶するアクセスデータ記憶手段と、端末1からアクセス要求手段によるアクセス要求時に送信されたアクセス制御用データとアクセスデータ記憶手段に記憶されたアクセス制御用データとに基づいて端末のサーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、を備えた。
【解決手段】 端末1が、内部ネットワークに接続された状態でアクセス可能なサーバ31を検出するサーバ検出手段と、検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、外部に持ち運ばれ外部ネットワークを介してサーバへのアクセスを要求する際に記憶されたアクセス制御用データをゲートウェイ装置2に送信するアクセス要求手段と、を備え、ゲートウェイ装置2が、端末1にて生成されたアクセス制御用データを記憶するアクセスデータ記憶手段と、端末1からアクセス要求手段によるアクセス要求時に送信されたアクセス制御用データとアクセスデータ記憶手段に記憶されたアクセス制御用データとに基づいて端末のサーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御システムにかかり、特に、端末が外部からゲートウェイを介してサーバにアクセスするといったリモートアクセスを制御するシステムに関する。
【背景技術】
【0002】
システム内のサーバにアクセスする従来方式としては、サーバへのアクセス端末自体を認証する端末認証方式と、アクセス端末のIPアドレスに基づきアクセス先サーバを制限するIPアドレスによる制限方式がある。前者の方式は、端末のハードウェア固有の情報から作成した暗号情報をアクセス端末とゲートウェイに記録し、端末がリモートアクセスした際に、ゲートウェイが端末からハードウェア固有の情報を収集し、動的に暗号情報を作成し、事前に記録した暗号情報と一致した場合にアクセスを許可する方式である。また、後者の方式は、アクセス端末のIPアドレス毎にアクセス可能なサーバIPアドレスの組み合わせ表をゲートウェイが記録しておき、端末がリモートアクセスした際に、ゲートウェイが端末のIPアドレスをチェックし、組み合わせ表に記載のサーバIPアドレス宛のパケットのみ転送する方式である。このようなリモートアクセス制御システムは、その詳細な構成は異なるが、例えば、下記の特許文献1,2に開示されている。
【0003】
【特許文献1】特開2000−59416号公報
【特許文献2】特開2003−87332号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した端末認証方式では、イントラネットへのアクセスを正規のユーザと当該ユーザに利用が許可された端末のみに制限することは可能であるものの、インターネットからイントラネットへのリモートアクセスにおいて、サーバ毎に対するアクセスを制限する場合に利用することができない。すなわち、イントラネット内に複数のサーバが存在している場合に、どのサーバへのアクセスを許可/不許可するか、といった詳細なアクセス制御を実現することは困難である。
【0005】
また、上述したIPアドレスによる制限方式では、IPアドレスが固定のグローバルIPアドレスの場合でしか利用できず、端末がDHCP(Dynamic Host Configuration Protocol)やIPCP(ppp Internet Protocol
Control Protocol)等の動的にグローバルIPアドレスが割り当てられるインターネット接続環境や、LAN等のプライベートIPアドレスで運用され、NATやプロキシサーバ経由でインターネットアクセスするような送信元IPアドレスが変更される環境では利用できない、という問題が生じる。
【0006】
このため、本発明では、上記従来例の有する不都合を改善し、特に、ネットワークを介して所定のサーバへのアクセスを適切に制御することができるアクセス制御システムを提供することをその目的とする。
【課題を解決するための手段】
【0007】
そこで、本発明の一形態であるアクセス制御システムは、
内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末と、内部ネットワークに接続された外部ネットワークとの間に設置されたゲートウェイ装置と、を備え、外部ネットワークからゲートウェイ装置を介した端末による前記サーバへのアクセスを制御するアクセス制御システムであって、
端末が、内部ネットワークに接続された状態でアクセス可能なサーバを検出するサーバ検出手段と、検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、外部に持ち運ばれ外部ネットワークを介してサーバへのアクセスを要求する際に記憶されたアクセス制御用データをゲートウェイ装置に送信するアクセス要求手段と、を備え、
ゲートウェイ装置が、端末にて生成されたアクセス制御用データを記憶するアクセスデータ記憶手段と、端末からアクセス要求手段によるアクセス要求時に送信されたアクセス制御用データとアクセスデータ記憶手段に記憶されたアクセス制御用データとに基づいて端末のサーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、を備えた、
ことを特徴としている。
【0008】
上記発明によると、まず、端末が内部ネットワークに接続された状態で、当該内部ネットワークに設置されたサーバと通信を行い、アクセス可能なサーバの検出を行う。そして端末は、アクセス可能であると検出されたサーバに対応する固有のアクセス制御用データを生成して、端末内に記憶する。同時に、この生成されたアクセス制御用データは、内部ネットワークと外部ネットワークとの間に設置されたゲートウェイ装置に記憶される。その後、端末が外部に持ち出され、外部ネットワークからゲートウェイ装置を介して内部ネットワーク内のサーバにアクセスする際には、端末は、アクセス制御用データをゲートウェイ装置に送信する。すると、ゲートウェイ装置は、受信したアクセス制御用データと、記憶されているアクセス制御用データとを比較して、アクセスしてきた端末がアクセス可能なサーバを判別し、そのアクセスを許可あるいは不許可する。これにより、外部ネットワークから端末による特定のサーバへのアクセス制御を適切に行うことができ、セキュリティの向上を図ることができる。
【0009】
また、端末が、アクセスデータ生成手段にて生成されたアクセス制御用データをゲートウェイ装置に記憶するよう当該ゲートウェイ装置に送信するアクセスデータ通知手段を備えると共に、ゲートウェイ装置が、端末から送信されたアクセス制御用データを受信してアクセスデータ記憶手段に記憶するアクセスデータ登録手段を備えた、ことを特徴としている。これにより、自動的にアクセス制御用データがゲートウェイ装置に記憶され、オペレータなどの手間を省くことができる。
【0010】
また、アクセスデータ通知手段は、アクセス制御用データと共にサーバ検出手段にて検出されたサーバを特定するサーバ情報をゲートウェイ装置に送信し、アクセスデータ登録手段は、端末から送信されたアクセス制御用データとサーバ情報とを関連付けてアクセスデータ記憶手段に記憶する、ことを特徴としている。これにより、ゲートウェイ装置は、アクセスしてきた端末から送信されたアクセス制御用データに基づいて、アクセスを許可するサーバをサーバ情報に基づいて容易に特定することができ、アクセス制御処理の容易化を図ることができる。
【0011】
また、アクセスデータ生成装置は、サーバ検出手段にて検出された複数のサーバに基づく固有のアクセス制御用データを生成する、ことを特徴としている。これにより、1つのアクセス制御用データを生成することで複数のサーバに対するアクセス制御が可能となり、サーバ後とのアクセス制御用データを生成する必要が無く、アクセス制御処理の複雑化を抑制することができる。
【0012】
また、アクセスデータ生成装置は、サーバ検出手段にて検出されたサーバと端末とに基づく固有のアクセス制御用データを生成する、ことを特徴としている。また、アクセスデータ生成装置は、生成したアクセス制御用データを暗号化する、ことを特徴としている。これにより、アクセス制御用データを端末に応じて固有のものとしたり、暗号化することによりそのセキュリティを高めることができ、アクセス制御自体のセキュリティの強化を図ることができる。
【0013】
さらに、アクセス許可手段は、端末から受信したアクセス制御用データとアクセスデータ記憶手段に記憶されたアクセス制御用データとが一致した場合に端末からのデータ通信を特定する情報とアドレス制御用データとを関連付けたセッション情報を生成してゲートウェイ装置に記憶するセッション情報登録手段と、以後の端末からのデータ通信に対して記憶されたセッション情報に基づいてサーバへのデータ通信を制御するデータ通信制御手段と、を備えたことを特徴としている。これにより、端末から一度アクセス制御用データが送信されると、当該端末からのデータ通信を特定する情報が登録され、これに基づいて以後のサーバに対するデータ通信がゲートウェイ装置にて制御される。従って、ゲートウェイ装置による端末とサーバとの間におけるデータ通信制御の容易化を図ることができる。
【0014】
また、本発明の他の形態である端末は、内部ネットワークに設置されたサーバに接続されると共に、外部に持ち運び可能であり、外部ネットワークからゲートウェイ装置を介してサーバへアクセスを行う端末であって、
内部ネットワークに接続された状態でアクセス可能なサーバを検出するサーバ検出手段と、
検出されたサーバに基づく固有のデータであって、ゲートウェイ装置に記憶されるアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、
外部に持ち運ばれ外部ネットワークを介してサーバへのアクセスを要求する際に自己の端末に記憶されたアクセス制御用データをゲートウェイ装置に送信するアクセス要求手段と、
を備えたことを特徴としている。
【0015】
さらに、本発明の他の形態であるゲートウェイ装置は、
内部ネットワークと外部ネットワークとの間に設置され、内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末による外部ネットワークからサーバへのアクセスを制御するゲートウェイ装置であって、
端末が内部ネットワークにおいてアクセス可能なサーバに基づいて端末にて生成された固有のアクセス制御データが記憶されるアクセスデータ記憶手段と、
外部ネットワークから端末による前記サーバに対するアクセス要求時に当該端末から送信されたアクセス制御用データとアクセスデータ記憶手段に記憶されたアクセス制御用データとに基づいて端末の前記サーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、
を備えたことを特徴としている。
【0016】
また、本発明の他の形態であるプログラムは、上記端末あるいはゲートウェイ装置に、それぞれが備える上述した各手段を実現する、ことを特徴としている。
【0017】
さらに、本発明の他の形態であるアクセス制御方法は、
内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末と、内部ネットワークに接続された外部ネットワークとの間に設置されたゲートウェイ装置と、を用いて、外部ネットワークからゲートウェイ装置を介した端末によるサーバへのアクセスを制御するアクセス制御方法であって、
端末が、内部ネットワークに接続された状態でアクセス可能なサーバを検出し、当該検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶すると共に、この生成されたアクセス制御用データをゲートウェイ装置が記憶し、
その後、外部に持ち運ばれた端末が、外部ネットワークを介してサーバへのアクセスを要求する際にゲートウェイ装置に記憶されたアクセス制御用データを送信し、当該アクセス制御用データ受信したゲートウェイ装置が、自己が記憶しているアクセス制御用データに基づいて端末のサーバに対するアクセスを許可あるいは不許可する、
ことを特徴としている。
【0018】
上記構成の端末、ゲートウェイ装置、プログラム、方法であっても、上述したアクセス制御システムと同様に作用するため、上記本発明の目的を達成することができる。
【発明の効果】
【0019】
本発明は、以上のように構成され機能するので、これによると、予め端末がアクセス可能なサーバに基づくアクセス制御用データが生成され、端末とゲートウェイ装置に記憶されるため、外部ネットワークから端末による特定のサーバへのアクセス制御を適切に行うことができ、セキュリティの向上を図ることができる、という従来にない優れた効果を有する。
【発明を実施するための最良の形態】
【0020】
本発明は、予め端末がアクセス可能なサーバに基づくアクセス制御用データを生成し、これを端末とゲートウェイ装置に記憶しておくことに特徴を有する。そして、外部ネットワークから端末によって送信されたデータと、ゲートウェイ装置に記憶されたデータと、に基づいて特定のサーバへのアクセス制御を行う、というシステムである。以下、具体的な構成及び動作を、実施例にて説明する。
【実施例1】
【0021】
本発明の第1の実施例を、図1乃至図6を参照して説明する。図1乃至図3は、構成を示す図であり、図4乃至図6は、動作を示す図である。
【0022】
[構成]
本発明であるアクセス制御システムは、図1に示すように、イントラネットN2(内部ネットワーク)に設置されたイントラネット専用のサーバ31等に接続された端末1と、このイントラネットN2に接続されたインターネット網N1(外部ネットワーク)との間に接続されたゲートウェイ2(ゲートウェイ装置)と、を備えている。そして、この端末1が外部に持ち運びだされた場合に(矢印Y1参照)、インターネット網N1を介した端末1によるイントラネットN2内へのサーバ31等にアクセスすることを制御するためのシステムである。以下、端末1及びゲートウェイ2について詳述する。
【0023】
<端末>
端末1は、ノートパソコンなどの一般的なコンピュータであって、持ち運びが可能な端末である。そして、会社内などの所定の組織内においてはイントラネットN2に接続することが可能であり、かつ、外部に持ち出された場合にはインターネット網N1にアクセス可能に構成されており、それぞれのネットワークN1,N2に対する通信機能を搭載している。
【0024】
端末1は、図2に示すように、CPUなどの演算装置1Aと、ハードディスクなどの記憶装置1Bと、その他、一般的なコンピュータが装備する諸機能を備えている。そして、演算装置1Aには、端末用プログラムが組み込まれることで、サーバ調査処理部11と、ラベルフレーズ生成処理部12と、ラベルフレーズ通知処理部13と、リモートアクセス処理部14と、が構築されている。また、記憶装置1Bには、ラベルフレーズ記憶部15が形成されている。以下、各処理部11〜14、及び、上記記憶部15について詳述する。
【0025】
サーバ調査処理部11(サーバ検出手段)は、端末1がイントラネットN2内に設置されて接続された状態で、当該イントラネットN2内に設置された複数のサーバ31等と通信を行い、通信可能なサーバ31等を調査し検出する。なお、ここでは、例えば、符号31,32に示すサーバがアクセス可能なサーバとして検出されたこととする。この検出されたサーバ31,32を特定して、ラベルフレーズ生成処理部12に通知する。
【0026】
ラベルフレーズ生成処理部12(アクセスデータ生成手段)は、検出された上記サーバ31,32に基づく固有のラベル(アクセス制御用データ)を生成する。このとき、端末1は、上記2つの検出されたサーバ31,32を特定する情報(例えば、サーバ名など)に基づいたラベル(例えば、「AB00」(図1参照))を生成する。さらに、ラベルフレーズ生成処理部12は、生成したラベルを予め定められた暗号化ルールにて暗号化してラベルフレーズとし(例えば、「Qlda/REJfgna#$EG」(図1参照))、端末1のラベルフレーズ記憶部15(予め規定されたディレクトリあるいはレジストリ)に記憶する。また、このラベルフレーズをラベルフレーズ通知処理部13に通知する。
【0027】
ここで、上記ラベルフレーズ生成処理部12は、ラベルの生成を、検出されたサーバ31,32の情報のみならず、端末1の情報(例えば、当該端末1を特定するための識別情報など)に基づいて生成してもよい。また、上記では2つのサーバ31,32に基づくラベルの生成例を挙げたが、ラベル生成時に参照されるサーバの数は検出されたサーバ数によって決まるため、その数は単数でも複数でもよい。また、ラベルを必ずしも暗号化することに限定されない。
【0028】
ラベルフレーズ通知処理部13(ラベルフレーズ通知手段)は、生成されたラベルフレーズと、上記サーバ調査処理部11にて端末1がアクセス可能であると検出されたサーバ名とを、ゲートウェイ2に通知する。なお、ゲートウェイ2に通知するサーバ名は、検出されたサーバ31,32を特定できる他の情報であってもよい。これより、後述するように、ゲートウェイ2には、ラベルフレーズとサーバ名とが関連付けられて記憶される(サーバアクセス表)。
【0029】
また、リモートアクセス処理部14(アクセス要求手段)は、端末1が外部に持ち運ばれたときであって、インターネット網N1に接続し、ゲートウェイ2を介してイントラネットN2内のサーバ31等にアクセス(リモートアクセス)を要求する際に作動する。具体的には、端末1がインターネット網N1を介してゲートウェイ2に対してサーバ31,32へのアクセス要求を行う場合には、まず、ユーザ認証データ(認証ID,パスワード)をゲートウェイ2に送信し、ユーザ認証を受ける。ユーザ認証に成功すると、続いて、ゲートウェイ2にラベルフレーズ記憶部15に記憶されているラベルフレーズを送信する。そして、後述するように、所定のサーバ31,32にゲートウェイ2にてアクセスが許可された後に、サーバ31,32に対する通信データを送信する。
【0030】
<ゲートウェイ>
ゲートウェイ2は、ネットワークN1,N2間に配置された一般的なゲートウェイであって、図3に示すように、CPUなどの演算装置2Bと、メモリなどの記憶装置2Bと、が備えられている。そして、演算装置2Bには、ゲートウェイ用プログラムが組み込まれることにより、ラベルフレーズ登録処理部21と、アクセス受付処理部22と、ラベルフレーズ判定処理部23と、セッションID登録処理部24と、アクセス許可処理部25と、が構築されている。また、記憶装置2Bには、ラベルフレーズ記憶部26と、セッションID記憶部27と、が形成されている。
【0031】
ラベルフレーズ登録処理部21は、イントラネットN2内に設置された状態の端末1から送信されたラベルフレーズを受信してラベルフレーズ記憶部26(予め規定されたディレクトリ)に記憶する。このとき、同時に送信されたサーバ31,32のホスト名をラベルフレーズに関連付けた対応表(サーバアクセス表(図1(a)参照))として格納する。
【0032】
アクセス受付処理部22(アクセスデータ登録手段)は、外部に持ち出されインターネット網N1に接続された端末1からのアクセスを受け付け、まず、端末1から送信されたユーザ認証データ(認証ID,パスワード)と、予めにイントラネットN2内の所定のサーバに蓄積されている照合用データに基づいて、ユーザ認証を行う。このとき、ユーザ認証データと照合されるデータは、ゲートウェイ2に蓄積されていてもよい。また、アクセス受付処理部22は、ユーザ認証が成功すると、端末1からラベルフレーズを受信し、ラベルフレーズ判定処理部23に通知する。
【0033】
ラベルフレーズ判定処理部23は、端末1から送信されたラベルフレーズと、ゲートウェイ2のラベルフレーズ記憶部26に記憶されているラベルフレーズと、が一致するか否かを判定する。一致していない場合には、端末1とのセッションを切断するが、一致している場合には、セッションID登録処理部24に通知する。
【0034】
セッションID登録処理部24(セッション情報登録手段)は、SSLセッションに一意なIDを割り当て(送信元IPアドレスと送信元ポート番号から生成、あるいはTCP/IP
APIのソケットIDを流用)、ラベルフレーズとSSLセッションID関連付けたSSLセッションID表を生成し、セッションID記憶部27に登録する。
【0035】
アクセス許可処理部25(データ通信制御手段)は、以降、ゲートウェイ2が端末1からパケット受信すると、パケットを受信したSSLセッションIDと、SSLセッションID表と、サーバアクセス表とから、アクセス可能なサーバ31,32を判別し、当該アクセス可能なサーバ31,32へのパケットのみをこれらのサーバ31,32に転送する。すなわち、図1に示す例では、端末1から受信したパケットのセッションIDが「0000001」である場合に、SSLセッションID表(b)を参照して対応するラベルフレーズを特定し、さらに、このラベルフレーズに対応するサーバを、サーバアクセス表(a)を参照して特定する。これにより、端末1は、サーバ31,32とデータ通信が可能となり、一方で、他のサーバ33,34とのデータ通信は不許可となる。
【0036】
このように、ゲートウェイ2は、アクセス受付処理部22、ラベルフレーズ判定処理部23、セッションID登録処理部24、アクセス許可処理部25に示すように、端末1のサーバ31等に対するアクセスを許可あるいは不許可するアクセス許可手段を備えている。
【0037】
[動作]
次に、本実施例の動作について、図4乃至図6を参照して説明する。図4は、端末1の動作を示し、図5は、ゲートウェイの動作を示すフローチャートであり、図6は、その動作の一部を詳細に示すフローチャートである。
【0038】
まず、ラベルフレーズを設定するためのソフトウェアを、リモートアクセスを利用する利用者に配布し、当該利用者の端末1にソフトウェアがインストールされる。すると、上述した構成の端末1が構築される。
【0039】
そして、端末1がイントラネットN2内に設置され接続された状態でインストールされたソフトウェアを実行すると、端末1は、イントラネットN2の複数のサーバ31等と通信を行い(ステップS1)、通信可能なサーバ31,32を調査する(ステップS2)。このとき、図1に示すように、符号31,32に示すサーバが、アクセス可能なサーバとして検出されたこととする。
【0040】
続いて、アクセス可能なサーバ31,32に応じたラベル「AB00」を生成し、このラベルを暗号化してラベルフレーズ「Qlda/REJfgna#$EG」を生成する(ステップS3)。そして、生成したラベルフレーズを端末1のレジストリに書き込む(ステップS4)。また、同時に、この生成したラベルフレーズ「Qlda/REJfgna#$EG」とサーバのホスト名「サーバA(31),サーバB(32)」を、をゲートウェイ2に通知する(ステップS5)。
【0041】
すると、ゲートウェイ2では、送信されたラベルフレーズとサーバのホスト名から構成されたサーバアクセス表(a)が、予め規定されたディレクトリに登録される。このとき、上記ラベルフレーズ等は、ラベルフレーズが生成された端末1にて自動的にゲートウェイに通知されることに限定されず、例えば、オペレータにて端末1から読み出されて、当該オペレータの操作によりゲートウェイ2に登録されてもよい。
【0042】
続いて、図5を参照して、端末1が利用者によって外部に持ち出されたときの動作を説明する。まず、利用者は、外部から端末を用いて、インターネット接続環境からイントラネットアクセスするためにゲートウェイ2にアクセスする。そして、ゲートウェイ2と端末1間でSSLセッションを確立し、認証IDとパスワードによるユーザ認証が行われる(ステップS11,S12)。このとき、ユーザ認証で失敗した場合には(ステップS12にて否定判断)、SSLセッションを切断する(ステップS18)。
【0043】
一方、ユーザ認証で成功した場合(ステップS12にて肯定判断)、ゲートウェイ2は端末1のレジストリに記録されたラベルフレーズをチェックすべく、端末1からラベルフレーズを受信し(ステップS13)、ゲートウェイ2が保持するサーバアクセス対応表(a)内のラベルフレーズと一致するかをチェックする(ステップS14)。ここで、ラベルフレーズが一致しない場合は(ステップS15にて否定判断)、SSLセッションを切断する(ステップS18)。
【0044】
一方、ラベルフレーズが一致した場合には(ステップS15にて肯定判断)、送信元である端末1の送信元IPアドレスと送信元ポート番号から一意なSSLセッションIDを生成し、ラベルフレーズとSSLセッションIDを対応付けて、SSLセッションID表(b)に登録する(ステップS16、図1参照)。その後、端末1からのアクセス要求に応じて、送信されたパケットのアクセス許可処理を実行する(ステップS17)。その動作の様子を、図6のフローチャートに示す。
【0045】
端末1からサーバ31,32へゲートウェイ2を介してアクセスがあり、パケットを受信すると(ステップS21)、当該パケットを受信したSSLセッションID、SSLセッションID表(b)とサーバアクセス表(a)を参照し(ステップS22)、端末1にアクセスが許可されているか否かを判定する(ステップS23)。アクセスが許可されている場合には(ステップS23にて肯定判断)、その許可されているサーバ31,32に対してのみパケットを透過する(ステップS24)。一方、アクセスが許可されていないサーバへのアクセスであった場合には(ステップS23にて否定判断)、端末1にエラー通知を行い(ステップS25)、パケットを破棄する(ステップS26)。その後、セッション切断まで、上述したように、受信したパケットの透過/破棄の処理を繰り返す(ステップS27)。
【0046】
このようにすることにより、IPアドレスを動的に割り当てるインターネット接続環境や、NATやプロキシ経由でインターネットにアクセスする環境であっても、イントラネットN2内のサーバ31等にアクセスする端末1を適切に制限することができる。
【産業上の利用可能性】
【0047】
本発明は、リモートアクセスを制御するシステムとして利用することができ、産業上の利用可能性を有する。
【図面の簡単な説明】
【0048】
【図1】本発明の全体構成を示す概略図である。
【図2】端末の構成を示す機能ブロック図である。
【図3】ゲートウェイの構成を示す機能ブロック図である。
【図4】端末の動作を示すフローチャートである。
【図5】ゲートウェイの動作を示すフローチャートである。
【図6】ゲートウェイの動作の一部を示すフローチャートである。
【符号の説明】
【0049】
1 端末
2 ゲートウェイ(ゲートウェイ装置)
11 サーバ調査処理部(サーバ検出手段)
12 ラベルフレーズ生成処理部(アクセスデータ生成手段)
13 ラベルフレーズ通知処理部(アクセスデータ通知手段)
14 リモートアクセス処理部(アクセス要求手段)
15 ラベルフレーズ記憶部
21 ラベルフレーズ登録処理部(アクセスデータ登録手段)
22 アクセス受付処理部(アクセス許可手段)
23 ラベルフレーズ判定処理部(アクセス許可手段)
24 セッションID登録処理部(セッション情報登録手段、アクセス許可手段)
25 アクセス許可処理部(データ通信制御手段、アクセス許可手段)
26 ラベルフレーズ記憶部(アクセスデータ記憶手段)
27 セッションID記憶部
31,32,33,34 サーバ
N1 インターネット網(外部ネットワーク)
N2 イントラネット(内部ネットワーク)
【技術分野】
【0001】
本発明は、アクセス制御システムにかかり、特に、端末が外部からゲートウェイを介してサーバにアクセスするといったリモートアクセスを制御するシステムに関する。
【背景技術】
【0002】
システム内のサーバにアクセスする従来方式としては、サーバへのアクセス端末自体を認証する端末認証方式と、アクセス端末のIPアドレスに基づきアクセス先サーバを制限するIPアドレスによる制限方式がある。前者の方式は、端末のハードウェア固有の情報から作成した暗号情報をアクセス端末とゲートウェイに記録し、端末がリモートアクセスした際に、ゲートウェイが端末からハードウェア固有の情報を収集し、動的に暗号情報を作成し、事前に記録した暗号情報と一致した場合にアクセスを許可する方式である。また、後者の方式は、アクセス端末のIPアドレス毎にアクセス可能なサーバIPアドレスの組み合わせ表をゲートウェイが記録しておき、端末がリモートアクセスした際に、ゲートウェイが端末のIPアドレスをチェックし、組み合わせ表に記載のサーバIPアドレス宛のパケットのみ転送する方式である。このようなリモートアクセス制御システムは、その詳細な構成は異なるが、例えば、下記の特許文献1,2に開示されている。
【0003】
【特許文献1】特開2000−59416号公報
【特許文献2】特開2003−87332号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した端末認証方式では、イントラネットへのアクセスを正規のユーザと当該ユーザに利用が許可された端末のみに制限することは可能であるものの、インターネットからイントラネットへのリモートアクセスにおいて、サーバ毎に対するアクセスを制限する場合に利用することができない。すなわち、イントラネット内に複数のサーバが存在している場合に、どのサーバへのアクセスを許可/不許可するか、といった詳細なアクセス制御を実現することは困難である。
【0005】
また、上述したIPアドレスによる制限方式では、IPアドレスが固定のグローバルIPアドレスの場合でしか利用できず、端末がDHCP(Dynamic Host Configuration Protocol)やIPCP(ppp Internet Protocol
Control Protocol)等の動的にグローバルIPアドレスが割り当てられるインターネット接続環境や、LAN等のプライベートIPアドレスで運用され、NATやプロキシサーバ経由でインターネットアクセスするような送信元IPアドレスが変更される環境では利用できない、という問題が生じる。
【0006】
このため、本発明では、上記従来例の有する不都合を改善し、特に、ネットワークを介して所定のサーバへのアクセスを適切に制御することができるアクセス制御システムを提供することをその目的とする。
【課題を解決するための手段】
【0007】
そこで、本発明の一形態であるアクセス制御システムは、
内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末と、内部ネットワークに接続された外部ネットワークとの間に設置されたゲートウェイ装置と、を備え、外部ネットワークからゲートウェイ装置を介した端末による前記サーバへのアクセスを制御するアクセス制御システムであって、
端末が、内部ネットワークに接続された状態でアクセス可能なサーバを検出するサーバ検出手段と、検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、外部に持ち運ばれ外部ネットワークを介してサーバへのアクセスを要求する際に記憶されたアクセス制御用データをゲートウェイ装置に送信するアクセス要求手段と、を備え、
ゲートウェイ装置が、端末にて生成されたアクセス制御用データを記憶するアクセスデータ記憶手段と、端末からアクセス要求手段によるアクセス要求時に送信されたアクセス制御用データとアクセスデータ記憶手段に記憶されたアクセス制御用データとに基づいて端末のサーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、を備えた、
ことを特徴としている。
【0008】
上記発明によると、まず、端末が内部ネットワークに接続された状態で、当該内部ネットワークに設置されたサーバと通信を行い、アクセス可能なサーバの検出を行う。そして端末は、アクセス可能であると検出されたサーバに対応する固有のアクセス制御用データを生成して、端末内に記憶する。同時に、この生成されたアクセス制御用データは、内部ネットワークと外部ネットワークとの間に設置されたゲートウェイ装置に記憶される。その後、端末が外部に持ち出され、外部ネットワークからゲートウェイ装置を介して内部ネットワーク内のサーバにアクセスする際には、端末は、アクセス制御用データをゲートウェイ装置に送信する。すると、ゲートウェイ装置は、受信したアクセス制御用データと、記憶されているアクセス制御用データとを比較して、アクセスしてきた端末がアクセス可能なサーバを判別し、そのアクセスを許可あるいは不許可する。これにより、外部ネットワークから端末による特定のサーバへのアクセス制御を適切に行うことができ、セキュリティの向上を図ることができる。
【0009】
また、端末が、アクセスデータ生成手段にて生成されたアクセス制御用データをゲートウェイ装置に記憶するよう当該ゲートウェイ装置に送信するアクセスデータ通知手段を備えると共に、ゲートウェイ装置が、端末から送信されたアクセス制御用データを受信してアクセスデータ記憶手段に記憶するアクセスデータ登録手段を備えた、ことを特徴としている。これにより、自動的にアクセス制御用データがゲートウェイ装置に記憶され、オペレータなどの手間を省くことができる。
【0010】
また、アクセスデータ通知手段は、アクセス制御用データと共にサーバ検出手段にて検出されたサーバを特定するサーバ情報をゲートウェイ装置に送信し、アクセスデータ登録手段は、端末から送信されたアクセス制御用データとサーバ情報とを関連付けてアクセスデータ記憶手段に記憶する、ことを特徴としている。これにより、ゲートウェイ装置は、アクセスしてきた端末から送信されたアクセス制御用データに基づいて、アクセスを許可するサーバをサーバ情報に基づいて容易に特定することができ、アクセス制御処理の容易化を図ることができる。
【0011】
また、アクセスデータ生成装置は、サーバ検出手段にて検出された複数のサーバに基づく固有のアクセス制御用データを生成する、ことを特徴としている。これにより、1つのアクセス制御用データを生成することで複数のサーバに対するアクセス制御が可能となり、サーバ後とのアクセス制御用データを生成する必要が無く、アクセス制御処理の複雑化を抑制することができる。
【0012】
また、アクセスデータ生成装置は、サーバ検出手段にて検出されたサーバと端末とに基づく固有のアクセス制御用データを生成する、ことを特徴としている。また、アクセスデータ生成装置は、生成したアクセス制御用データを暗号化する、ことを特徴としている。これにより、アクセス制御用データを端末に応じて固有のものとしたり、暗号化することによりそのセキュリティを高めることができ、アクセス制御自体のセキュリティの強化を図ることができる。
【0013】
さらに、アクセス許可手段は、端末から受信したアクセス制御用データとアクセスデータ記憶手段に記憶されたアクセス制御用データとが一致した場合に端末からのデータ通信を特定する情報とアドレス制御用データとを関連付けたセッション情報を生成してゲートウェイ装置に記憶するセッション情報登録手段と、以後の端末からのデータ通信に対して記憶されたセッション情報に基づいてサーバへのデータ通信を制御するデータ通信制御手段と、を備えたことを特徴としている。これにより、端末から一度アクセス制御用データが送信されると、当該端末からのデータ通信を特定する情報が登録され、これに基づいて以後のサーバに対するデータ通信がゲートウェイ装置にて制御される。従って、ゲートウェイ装置による端末とサーバとの間におけるデータ通信制御の容易化を図ることができる。
【0014】
また、本発明の他の形態である端末は、内部ネットワークに設置されたサーバに接続されると共に、外部に持ち運び可能であり、外部ネットワークからゲートウェイ装置を介してサーバへアクセスを行う端末であって、
内部ネットワークに接続された状態でアクセス可能なサーバを検出するサーバ検出手段と、
検出されたサーバに基づく固有のデータであって、ゲートウェイ装置に記憶されるアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、
外部に持ち運ばれ外部ネットワークを介してサーバへのアクセスを要求する際に自己の端末に記憶されたアクセス制御用データをゲートウェイ装置に送信するアクセス要求手段と、
を備えたことを特徴としている。
【0015】
さらに、本発明の他の形態であるゲートウェイ装置は、
内部ネットワークと外部ネットワークとの間に設置され、内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末による外部ネットワークからサーバへのアクセスを制御するゲートウェイ装置であって、
端末が内部ネットワークにおいてアクセス可能なサーバに基づいて端末にて生成された固有のアクセス制御データが記憶されるアクセスデータ記憶手段と、
外部ネットワークから端末による前記サーバに対するアクセス要求時に当該端末から送信されたアクセス制御用データとアクセスデータ記憶手段に記憶されたアクセス制御用データとに基づいて端末の前記サーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、
を備えたことを特徴としている。
【0016】
また、本発明の他の形態であるプログラムは、上記端末あるいはゲートウェイ装置に、それぞれが備える上述した各手段を実現する、ことを特徴としている。
【0017】
さらに、本発明の他の形態であるアクセス制御方法は、
内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末と、内部ネットワークに接続された外部ネットワークとの間に設置されたゲートウェイ装置と、を用いて、外部ネットワークからゲートウェイ装置を介した端末によるサーバへのアクセスを制御するアクセス制御方法であって、
端末が、内部ネットワークに接続された状態でアクセス可能なサーバを検出し、当該検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶すると共に、この生成されたアクセス制御用データをゲートウェイ装置が記憶し、
その後、外部に持ち運ばれた端末が、外部ネットワークを介してサーバへのアクセスを要求する際にゲートウェイ装置に記憶されたアクセス制御用データを送信し、当該アクセス制御用データ受信したゲートウェイ装置が、自己が記憶しているアクセス制御用データに基づいて端末のサーバに対するアクセスを許可あるいは不許可する、
ことを特徴としている。
【0018】
上記構成の端末、ゲートウェイ装置、プログラム、方法であっても、上述したアクセス制御システムと同様に作用するため、上記本発明の目的を達成することができる。
【発明の効果】
【0019】
本発明は、以上のように構成され機能するので、これによると、予め端末がアクセス可能なサーバに基づくアクセス制御用データが生成され、端末とゲートウェイ装置に記憶されるため、外部ネットワークから端末による特定のサーバへのアクセス制御を適切に行うことができ、セキュリティの向上を図ることができる、という従来にない優れた効果を有する。
【発明を実施するための最良の形態】
【0020】
本発明は、予め端末がアクセス可能なサーバに基づくアクセス制御用データを生成し、これを端末とゲートウェイ装置に記憶しておくことに特徴を有する。そして、外部ネットワークから端末によって送信されたデータと、ゲートウェイ装置に記憶されたデータと、に基づいて特定のサーバへのアクセス制御を行う、というシステムである。以下、具体的な構成及び動作を、実施例にて説明する。
【実施例1】
【0021】
本発明の第1の実施例を、図1乃至図6を参照して説明する。図1乃至図3は、構成を示す図であり、図4乃至図6は、動作を示す図である。
【0022】
[構成]
本発明であるアクセス制御システムは、図1に示すように、イントラネットN2(内部ネットワーク)に設置されたイントラネット専用のサーバ31等に接続された端末1と、このイントラネットN2に接続されたインターネット網N1(外部ネットワーク)との間に接続されたゲートウェイ2(ゲートウェイ装置)と、を備えている。そして、この端末1が外部に持ち運びだされた場合に(矢印Y1参照)、インターネット網N1を介した端末1によるイントラネットN2内へのサーバ31等にアクセスすることを制御するためのシステムである。以下、端末1及びゲートウェイ2について詳述する。
【0023】
<端末>
端末1は、ノートパソコンなどの一般的なコンピュータであって、持ち運びが可能な端末である。そして、会社内などの所定の組織内においてはイントラネットN2に接続することが可能であり、かつ、外部に持ち出された場合にはインターネット網N1にアクセス可能に構成されており、それぞれのネットワークN1,N2に対する通信機能を搭載している。
【0024】
端末1は、図2に示すように、CPUなどの演算装置1Aと、ハードディスクなどの記憶装置1Bと、その他、一般的なコンピュータが装備する諸機能を備えている。そして、演算装置1Aには、端末用プログラムが組み込まれることで、サーバ調査処理部11と、ラベルフレーズ生成処理部12と、ラベルフレーズ通知処理部13と、リモートアクセス処理部14と、が構築されている。また、記憶装置1Bには、ラベルフレーズ記憶部15が形成されている。以下、各処理部11〜14、及び、上記記憶部15について詳述する。
【0025】
サーバ調査処理部11(サーバ検出手段)は、端末1がイントラネットN2内に設置されて接続された状態で、当該イントラネットN2内に設置された複数のサーバ31等と通信を行い、通信可能なサーバ31等を調査し検出する。なお、ここでは、例えば、符号31,32に示すサーバがアクセス可能なサーバとして検出されたこととする。この検出されたサーバ31,32を特定して、ラベルフレーズ生成処理部12に通知する。
【0026】
ラベルフレーズ生成処理部12(アクセスデータ生成手段)は、検出された上記サーバ31,32に基づく固有のラベル(アクセス制御用データ)を生成する。このとき、端末1は、上記2つの検出されたサーバ31,32を特定する情報(例えば、サーバ名など)に基づいたラベル(例えば、「AB00」(図1参照))を生成する。さらに、ラベルフレーズ生成処理部12は、生成したラベルを予め定められた暗号化ルールにて暗号化してラベルフレーズとし(例えば、「Qlda/REJfgna#$EG」(図1参照))、端末1のラベルフレーズ記憶部15(予め規定されたディレクトリあるいはレジストリ)に記憶する。また、このラベルフレーズをラベルフレーズ通知処理部13に通知する。
【0027】
ここで、上記ラベルフレーズ生成処理部12は、ラベルの生成を、検出されたサーバ31,32の情報のみならず、端末1の情報(例えば、当該端末1を特定するための識別情報など)に基づいて生成してもよい。また、上記では2つのサーバ31,32に基づくラベルの生成例を挙げたが、ラベル生成時に参照されるサーバの数は検出されたサーバ数によって決まるため、その数は単数でも複数でもよい。また、ラベルを必ずしも暗号化することに限定されない。
【0028】
ラベルフレーズ通知処理部13(ラベルフレーズ通知手段)は、生成されたラベルフレーズと、上記サーバ調査処理部11にて端末1がアクセス可能であると検出されたサーバ名とを、ゲートウェイ2に通知する。なお、ゲートウェイ2に通知するサーバ名は、検出されたサーバ31,32を特定できる他の情報であってもよい。これより、後述するように、ゲートウェイ2には、ラベルフレーズとサーバ名とが関連付けられて記憶される(サーバアクセス表)。
【0029】
また、リモートアクセス処理部14(アクセス要求手段)は、端末1が外部に持ち運ばれたときであって、インターネット網N1に接続し、ゲートウェイ2を介してイントラネットN2内のサーバ31等にアクセス(リモートアクセス)を要求する際に作動する。具体的には、端末1がインターネット網N1を介してゲートウェイ2に対してサーバ31,32へのアクセス要求を行う場合には、まず、ユーザ認証データ(認証ID,パスワード)をゲートウェイ2に送信し、ユーザ認証を受ける。ユーザ認証に成功すると、続いて、ゲートウェイ2にラベルフレーズ記憶部15に記憶されているラベルフレーズを送信する。そして、後述するように、所定のサーバ31,32にゲートウェイ2にてアクセスが許可された後に、サーバ31,32に対する通信データを送信する。
【0030】
<ゲートウェイ>
ゲートウェイ2は、ネットワークN1,N2間に配置された一般的なゲートウェイであって、図3に示すように、CPUなどの演算装置2Bと、メモリなどの記憶装置2Bと、が備えられている。そして、演算装置2Bには、ゲートウェイ用プログラムが組み込まれることにより、ラベルフレーズ登録処理部21と、アクセス受付処理部22と、ラベルフレーズ判定処理部23と、セッションID登録処理部24と、アクセス許可処理部25と、が構築されている。また、記憶装置2Bには、ラベルフレーズ記憶部26と、セッションID記憶部27と、が形成されている。
【0031】
ラベルフレーズ登録処理部21は、イントラネットN2内に設置された状態の端末1から送信されたラベルフレーズを受信してラベルフレーズ記憶部26(予め規定されたディレクトリ)に記憶する。このとき、同時に送信されたサーバ31,32のホスト名をラベルフレーズに関連付けた対応表(サーバアクセス表(図1(a)参照))として格納する。
【0032】
アクセス受付処理部22(アクセスデータ登録手段)は、外部に持ち出されインターネット網N1に接続された端末1からのアクセスを受け付け、まず、端末1から送信されたユーザ認証データ(認証ID,パスワード)と、予めにイントラネットN2内の所定のサーバに蓄積されている照合用データに基づいて、ユーザ認証を行う。このとき、ユーザ認証データと照合されるデータは、ゲートウェイ2に蓄積されていてもよい。また、アクセス受付処理部22は、ユーザ認証が成功すると、端末1からラベルフレーズを受信し、ラベルフレーズ判定処理部23に通知する。
【0033】
ラベルフレーズ判定処理部23は、端末1から送信されたラベルフレーズと、ゲートウェイ2のラベルフレーズ記憶部26に記憶されているラベルフレーズと、が一致するか否かを判定する。一致していない場合には、端末1とのセッションを切断するが、一致している場合には、セッションID登録処理部24に通知する。
【0034】
セッションID登録処理部24(セッション情報登録手段)は、SSLセッションに一意なIDを割り当て(送信元IPアドレスと送信元ポート番号から生成、あるいはTCP/IP
APIのソケットIDを流用)、ラベルフレーズとSSLセッションID関連付けたSSLセッションID表を生成し、セッションID記憶部27に登録する。
【0035】
アクセス許可処理部25(データ通信制御手段)は、以降、ゲートウェイ2が端末1からパケット受信すると、パケットを受信したSSLセッションIDと、SSLセッションID表と、サーバアクセス表とから、アクセス可能なサーバ31,32を判別し、当該アクセス可能なサーバ31,32へのパケットのみをこれらのサーバ31,32に転送する。すなわち、図1に示す例では、端末1から受信したパケットのセッションIDが「0000001」である場合に、SSLセッションID表(b)を参照して対応するラベルフレーズを特定し、さらに、このラベルフレーズに対応するサーバを、サーバアクセス表(a)を参照して特定する。これにより、端末1は、サーバ31,32とデータ通信が可能となり、一方で、他のサーバ33,34とのデータ通信は不許可となる。
【0036】
このように、ゲートウェイ2は、アクセス受付処理部22、ラベルフレーズ判定処理部23、セッションID登録処理部24、アクセス許可処理部25に示すように、端末1のサーバ31等に対するアクセスを許可あるいは不許可するアクセス許可手段を備えている。
【0037】
[動作]
次に、本実施例の動作について、図4乃至図6を参照して説明する。図4は、端末1の動作を示し、図5は、ゲートウェイの動作を示すフローチャートであり、図6は、その動作の一部を詳細に示すフローチャートである。
【0038】
まず、ラベルフレーズを設定するためのソフトウェアを、リモートアクセスを利用する利用者に配布し、当該利用者の端末1にソフトウェアがインストールされる。すると、上述した構成の端末1が構築される。
【0039】
そして、端末1がイントラネットN2内に設置され接続された状態でインストールされたソフトウェアを実行すると、端末1は、イントラネットN2の複数のサーバ31等と通信を行い(ステップS1)、通信可能なサーバ31,32を調査する(ステップS2)。このとき、図1に示すように、符号31,32に示すサーバが、アクセス可能なサーバとして検出されたこととする。
【0040】
続いて、アクセス可能なサーバ31,32に応じたラベル「AB00」を生成し、このラベルを暗号化してラベルフレーズ「Qlda/REJfgna#$EG」を生成する(ステップS3)。そして、生成したラベルフレーズを端末1のレジストリに書き込む(ステップS4)。また、同時に、この生成したラベルフレーズ「Qlda/REJfgna#$EG」とサーバのホスト名「サーバA(31),サーバB(32)」を、をゲートウェイ2に通知する(ステップS5)。
【0041】
すると、ゲートウェイ2では、送信されたラベルフレーズとサーバのホスト名から構成されたサーバアクセス表(a)が、予め規定されたディレクトリに登録される。このとき、上記ラベルフレーズ等は、ラベルフレーズが生成された端末1にて自動的にゲートウェイに通知されることに限定されず、例えば、オペレータにて端末1から読み出されて、当該オペレータの操作によりゲートウェイ2に登録されてもよい。
【0042】
続いて、図5を参照して、端末1が利用者によって外部に持ち出されたときの動作を説明する。まず、利用者は、外部から端末を用いて、インターネット接続環境からイントラネットアクセスするためにゲートウェイ2にアクセスする。そして、ゲートウェイ2と端末1間でSSLセッションを確立し、認証IDとパスワードによるユーザ認証が行われる(ステップS11,S12)。このとき、ユーザ認証で失敗した場合には(ステップS12にて否定判断)、SSLセッションを切断する(ステップS18)。
【0043】
一方、ユーザ認証で成功した場合(ステップS12にて肯定判断)、ゲートウェイ2は端末1のレジストリに記録されたラベルフレーズをチェックすべく、端末1からラベルフレーズを受信し(ステップS13)、ゲートウェイ2が保持するサーバアクセス対応表(a)内のラベルフレーズと一致するかをチェックする(ステップS14)。ここで、ラベルフレーズが一致しない場合は(ステップS15にて否定判断)、SSLセッションを切断する(ステップS18)。
【0044】
一方、ラベルフレーズが一致した場合には(ステップS15にて肯定判断)、送信元である端末1の送信元IPアドレスと送信元ポート番号から一意なSSLセッションIDを生成し、ラベルフレーズとSSLセッションIDを対応付けて、SSLセッションID表(b)に登録する(ステップS16、図1参照)。その後、端末1からのアクセス要求に応じて、送信されたパケットのアクセス許可処理を実行する(ステップS17)。その動作の様子を、図6のフローチャートに示す。
【0045】
端末1からサーバ31,32へゲートウェイ2を介してアクセスがあり、パケットを受信すると(ステップS21)、当該パケットを受信したSSLセッションID、SSLセッションID表(b)とサーバアクセス表(a)を参照し(ステップS22)、端末1にアクセスが許可されているか否かを判定する(ステップS23)。アクセスが許可されている場合には(ステップS23にて肯定判断)、その許可されているサーバ31,32に対してのみパケットを透過する(ステップS24)。一方、アクセスが許可されていないサーバへのアクセスであった場合には(ステップS23にて否定判断)、端末1にエラー通知を行い(ステップS25)、パケットを破棄する(ステップS26)。その後、セッション切断まで、上述したように、受信したパケットの透過/破棄の処理を繰り返す(ステップS27)。
【0046】
このようにすることにより、IPアドレスを動的に割り当てるインターネット接続環境や、NATやプロキシ経由でインターネットにアクセスする環境であっても、イントラネットN2内のサーバ31等にアクセスする端末1を適切に制限することができる。
【産業上の利用可能性】
【0047】
本発明は、リモートアクセスを制御するシステムとして利用することができ、産業上の利用可能性を有する。
【図面の簡単な説明】
【0048】
【図1】本発明の全体構成を示す概略図である。
【図2】端末の構成を示す機能ブロック図である。
【図3】ゲートウェイの構成を示す機能ブロック図である。
【図4】端末の動作を示すフローチャートである。
【図5】ゲートウェイの動作を示すフローチャートである。
【図6】ゲートウェイの動作の一部を示すフローチャートである。
【符号の説明】
【0049】
1 端末
2 ゲートウェイ(ゲートウェイ装置)
11 サーバ調査処理部(サーバ検出手段)
12 ラベルフレーズ生成処理部(アクセスデータ生成手段)
13 ラベルフレーズ通知処理部(アクセスデータ通知手段)
14 リモートアクセス処理部(アクセス要求手段)
15 ラベルフレーズ記憶部
21 ラベルフレーズ登録処理部(アクセスデータ登録手段)
22 アクセス受付処理部(アクセス許可手段)
23 ラベルフレーズ判定処理部(アクセス許可手段)
24 セッションID登録処理部(セッション情報登録手段、アクセス許可手段)
25 アクセス許可処理部(データ通信制御手段、アクセス許可手段)
26 ラベルフレーズ記憶部(アクセスデータ記憶手段)
27 セッションID記憶部
31,32,33,34 サーバ
N1 インターネット網(外部ネットワーク)
N2 イントラネット(内部ネットワーク)
【特許請求の範囲】
【請求項1】
内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末と、前記内部ネットワークに接続された外部ネットワークとの間に設置されたゲートウェイ装置と、を備え、前記外部ネットワークから前記ゲートウェイ装置を介した前記端末による前記サーバへのアクセスを制御するアクセス制御システムであって、
前記端末が、前記内部ネットワークに接続された状態でアクセス可能な前記サーバを検出するサーバ検出手段と、検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、外部に持ち運ばれ前記外部ネットワークを介して前記サーバへのアクセスを要求する際に前記記憶されたアクセス制御用データを前記ゲートウェイ装置に送信するアクセス要求手段と、を備え、
前記ゲートウェイ装置が、前記端末にて生成された前記アクセス制御用データを記憶するアクセスデータ記憶手段と、前記端末から前記アクセス要求手段によるアクセス要求時に送信された前記アクセス制御用データと前記アクセスデータ記憶手段に記憶された前記アクセス制御用データとに基づいて前記端末の前記サーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、を備えた、
ことを特徴とするアクセス制御システム。
【請求項2】
前記端末が、前記アクセスデータ生成手段にて生成された前記アクセス制御用データを前記ゲートウェイ装置に記憶するよう当該ゲートウェイ装置に送信するアクセスデータ通知手段を備えると共に、
前記ゲートウェイ装置が、前記端末から送信された前記アクセス制御用データを受信して前記アクセスデータ記憶手段に記憶するアクセスデータ登録手段を備えた、
ことを特徴とする請求項1記載のアクセス制御システム。
【請求項3】
前記アクセスデータ通知手段は、前記アクセス制御用データと共に前記サーバ検出手段にて検出された前記サーバを特定するサーバ情報を前記ゲートウェイ装置に送信し、
前記アクセスデータ登録手段は、前記端末から送信された前記アクセス制御用データと前記サーバ情報とを関連付けて前記アクセスデータ記憶手段に記憶する、
ことを特徴とする請求項2記載のアクセス制御システム。
【請求項4】
前記アクセスデータ生成装置は、前記サーバ検出手段にて検出された複数のサーバに基づく固有の前記アクセス制御用データを生成する、ことを特徴とする請求項1,2又は3記載のアクセス制御システム。
【請求項5】
前記アクセスデータ生成装置は、前記サーバ検出手段にて検出された前記サーバと前記端末とに基づく固有の前記アクセス制御用データを生成する、ことを特徴とする請求項1,2,3又は4記載のアクセス制御システム。
【請求項6】
前記アクセスデータ生成装置は、前記生成したアクセス制御用データを暗号化する、ことを特徴とする請求項1,2,3,4又は5記載のアクセス制御システム。
【請求項7】
前記アクセス許可手段は、前記端末から受信したアクセス制御用データと前記アクセスデータ記憶手段に記憶されたアクセス制御用データとが一致した場合に前記端末からのデータ通信を特定する情報と前記アドレス制御用データとを関連付けたセッション情報を生成して前記ゲートウェイ装置に記憶するセッション情報登録手段と、以後の前記端末からのデータ通信に対して前記記憶されたセッション情報に基づいて前記サーバへのデータ通信を制御するデータ通信制御手段と、を備えたことを特徴とする請求項1,2,3,4,5又は6記載のアクセス制御システム。
【請求項8】
内部ネットワークに設置されたサーバに接続されると共に、外部に持ち運び可能であり、外部ネットワークからゲートウェイ装置を介して前記サーバへアクセスを行う端末であって、
前記内部ネットワークに接続された状態でアクセス可能な前記サーバを検出するサーバ検出手段と、
検出されたサーバに基づく固有のデータであって、前記ゲートウェイ装置に記憶されるアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、
外部に持ち運ばれ前記外部ネットワークを介して前記サーバへのアクセスを要求する際に自己の端末に記憶された前記アクセス制御用データを前記ゲートウェイ装置に送信するアクセス要求手段と、
を備えたことを特徴とする端末。
【請求項9】
前記請求項1乃至7のいずれかに記載のアクセス制御システムを構成する端末。
【請求項10】
内部ネットワークと外部ネットワークとの間に設置され、前記内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末による前記外部ネットワークから前記サーバへのアクセスを制御するゲートウェイ装置であって、
前記端末が前記内部ネットワークにおいて前記アクセス可能なサーバに基づいて前記端末にて生成された固有のアクセス制御データが記憶されるアクセスデータ記憶手段と、
前記外部ネットワークから前記端末による前記サーバに対するアクセス要求時に当該端末から送信された前記アクセス制御用データと前記アクセスデータ記憶手段に記憶された前記アクセス制御用データとに基づいて前記端末の前記サーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、
を備えたことを特徴とするゲートウェイ装置。
【請求項11】
前記請求項1乃至7のいずれかに記載のアクセス制御システムを構成するゲートウェイ装置。
【請求項12】
内部ネットワークに設置されたサーバに接続されると共に、外部に持ち運び可能であり、外部ネットワークからゲートウェイ装置を介して前記サーバへアクセスを行う端末に、
前記内部ネットワークに接続された状態でアクセス可能な前記サーバを検出するサーバ検出手段と、
検出されたサーバに基づく固有のデータであって、前記ゲートウェイ装置に記憶されるアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、
外部に持ち運ばれ前記外部ネットワークを介して前記サーバへのアクセスを要求する際に自己の端末に記憶された前記アクセス制御用データを前記ゲートウェイ装置に送信するアクセス要求手段と、
を実現するためのプログラム。
【請求項13】
内部ネットワークと外部ネットワークとの間に設置され、前記内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末による前記外部ネットワークから前記サーバへのアクセスを制御するゲートウェイ装置に、
前記端末が前記内部ネットワークにおいて前記アクセス可能なサーバに基づいて前記端末にて生成された固有のアクセス制御データの入力を受け付けてアクセスデータ記憶手段に記憶するアクセスデータ登録手段と、
前記外部ネットワークから前記端末による前記サーバに対するアクセス要求時に当該端末から送信された前記アクセス制御用データと前記アクセスデータ記憶手段に記憶された前記アクセス制御用データとに基づいて前記端末の前記サーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、
を実現するためのプログラム。
【請求項14】
内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末と、前記内部ネットワークに接続された外部ネットワークとの間に設置されたゲートウェイ装置と、を用いて、前記外部ネットワークから前記ゲートウェイ装置を介した前記端末による前記サーバへのアクセスを制御するアクセス制御方法であって、
前記端末が、前記内部ネットワークに接続された状態でアクセス可能な前記サーバを検出し、当該検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶すると共に、この生成された前記アクセス制御用データを前記ゲートウェイ装置が記憶し、
その後、外部に持ち運ばれた前記端末が、前記外部ネットワークを介して前記サーバへのアクセスを要求する際に前記ゲートウェイ装置に前記記憶されたアクセス制御用データを送信し、当該アクセス制御用データ受信した前記ゲートウェイ装置が、自己が記憶している前記アクセス制御用データに基づいて前記端末の前記サーバに対するアクセスを許可あるいは不許可する、
ことを特徴とするアクセス制御方法。
【請求項1】
内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末と、前記内部ネットワークに接続された外部ネットワークとの間に設置されたゲートウェイ装置と、を備え、前記外部ネットワークから前記ゲートウェイ装置を介した前記端末による前記サーバへのアクセスを制御するアクセス制御システムであって、
前記端末が、前記内部ネットワークに接続された状態でアクセス可能な前記サーバを検出するサーバ検出手段と、検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、外部に持ち運ばれ前記外部ネットワークを介して前記サーバへのアクセスを要求する際に前記記憶されたアクセス制御用データを前記ゲートウェイ装置に送信するアクセス要求手段と、を備え、
前記ゲートウェイ装置が、前記端末にて生成された前記アクセス制御用データを記憶するアクセスデータ記憶手段と、前記端末から前記アクセス要求手段によるアクセス要求時に送信された前記アクセス制御用データと前記アクセスデータ記憶手段に記憶された前記アクセス制御用データとに基づいて前記端末の前記サーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、を備えた、
ことを特徴とするアクセス制御システム。
【請求項2】
前記端末が、前記アクセスデータ生成手段にて生成された前記アクセス制御用データを前記ゲートウェイ装置に記憶するよう当該ゲートウェイ装置に送信するアクセスデータ通知手段を備えると共に、
前記ゲートウェイ装置が、前記端末から送信された前記アクセス制御用データを受信して前記アクセスデータ記憶手段に記憶するアクセスデータ登録手段を備えた、
ことを特徴とする請求項1記載のアクセス制御システム。
【請求項3】
前記アクセスデータ通知手段は、前記アクセス制御用データと共に前記サーバ検出手段にて検出された前記サーバを特定するサーバ情報を前記ゲートウェイ装置に送信し、
前記アクセスデータ登録手段は、前記端末から送信された前記アクセス制御用データと前記サーバ情報とを関連付けて前記アクセスデータ記憶手段に記憶する、
ことを特徴とする請求項2記載のアクセス制御システム。
【請求項4】
前記アクセスデータ生成装置は、前記サーバ検出手段にて検出された複数のサーバに基づく固有の前記アクセス制御用データを生成する、ことを特徴とする請求項1,2又は3記載のアクセス制御システム。
【請求項5】
前記アクセスデータ生成装置は、前記サーバ検出手段にて検出された前記サーバと前記端末とに基づく固有の前記アクセス制御用データを生成する、ことを特徴とする請求項1,2,3又は4記載のアクセス制御システム。
【請求項6】
前記アクセスデータ生成装置は、前記生成したアクセス制御用データを暗号化する、ことを特徴とする請求項1,2,3,4又は5記載のアクセス制御システム。
【請求項7】
前記アクセス許可手段は、前記端末から受信したアクセス制御用データと前記アクセスデータ記憶手段に記憶されたアクセス制御用データとが一致した場合に前記端末からのデータ通信を特定する情報と前記アドレス制御用データとを関連付けたセッション情報を生成して前記ゲートウェイ装置に記憶するセッション情報登録手段と、以後の前記端末からのデータ通信に対して前記記憶されたセッション情報に基づいて前記サーバへのデータ通信を制御するデータ通信制御手段と、を備えたことを特徴とする請求項1,2,3,4,5又は6記載のアクセス制御システム。
【請求項8】
内部ネットワークに設置されたサーバに接続されると共に、外部に持ち運び可能であり、外部ネットワークからゲートウェイ装置を介して前記サーバへアクセスを行う端末であって、
前記内部ネットワークに接続された状態でアクセス可能な前記サーバを検出するサーバ検出手段と、
検出されたサーバに基づく固有のデータであって、前記ゲートウェイ装置に記憶されるアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、
外部に持ち運ばれ前記外部ネットワークを介して前記サーバへのアクセスを要求する際に自己の端末に記憶された前記アクセス制御用データを前記ゲートウェイ装置に送信するアクセス要求手段と、
を備えたことを特徴とする端末。
【請求項9】
前記請求項1乃至7のいずれかに記載のアクセス制御システムを構成する端末。
【請求項10】
内部ネットワークと外部ネットワークとの間に設置され、前記内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末による前記外部ネットワークから前記サーバへのアクセスを制御するゲートウェイ装置であって、
前記端末が前記内部ネットワークにおいて前記アクセス可能なサーバに基づいて前記端末にて生成された固有のアクセス制御データが記憶されるアクセスデータ記憶手段と、
前記外部ネットワークから前記端末による前記サーバに対するアクセス要求時に当該端末から送信された前記アクセス制御用データと前記アクセスデータ記憶手段に記憶された前記アクセス制御用データとに基づいて前記端末の前記サーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、
を備えたことを特徴とするゲートウェイ装置。
【請求項11】
前記請求項1乃至7のいずれかに記載のアクセス制御システムを構成するゲートウェイ装置。
【請求項12】
内部ネットワークに設置されたサーバに接続されると共に、外部に持ち運び可能であり、外部ネットワークからゲートウェイ装置を介して前記サーバへアクセスを行う端末に、
前記内部ネットワークに接続された状態でアクセス可能な前記サーバを検出するサーバ検出手段と、
検出されたサーバに基づく固有のデータであって、前記ゲートウェイ装置に記憶されるアクセス制御用データを生成して当該端末内に記憶するアクセスデータ生成手段と、
外部に持ち運ばれ前記外部ネットワークを介して前記サーバへのアクセスを要求する際に自己の端末に記憶された前記アクセス制御用データを前記ゲートウェイ装置に送信するアクセス要求手段と、
を実現するためのプログラム。
【請求項13】
内部ネットワークと外部ネットワークとの間に設置され、前記内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末による前記外部ネットワークから前記サーバへのアクセスを制御するゲートウェイ装置に、
前記端末が前記内部ネットワークにおいて前記アクセス可能なサーバに基づいて前記端末にて生成された固有のアクセス制御データの入力を受け付けてアクセスデータ記憶手段に記憶するアクセスデータ登録手段と、
前記外部ネットワークから前記端末による前記サーバに対するアクセス要求時に当該端末から送信された前記アクセス制御用データと前記アクセスデータ記憶手段に記憶された前記アクセス制御用データとに基づいて前記端末の前記サーバに対するアクセスを許可あるいは不許可するアクセス許可手段と、
を実現するためのプログラム。
【請求項14】
内部ネットワークに設置されたサーバに接続され外部に持ち運び可能な端末と、前記内部ネットワークに接続された外部ネットワークとの間に設置されたゲートウェイ装置と、を用いて、前記外部ネットワークから前記ゲートウェイ装置を介した前記端末による前記サーバへのアクセスを制御するアクセス制御方法であって、
前記端末が、前記内部ネットワークに接続された状態でアクセス可能な前記サーバを検出し、当該検出されたサーバに基づく固有のアクセス制御用データを生成して当該端末内に記憶すると共に、この生成された前記アクセス制御用データを前記ゲートウェイ装置が記憶し、
その後、外部に持ち運ばれた前記端末が、前記外部ネットワークを介して前記サーバへのアクセスを要求する際に前記ゲートウェイ装置に前記記憶されたアクセス制御用データを送信し、当該アクセス制御用データ受信した前記ゲートウェイ装置が、自己が記憶している前記アクセス制御用データに基づいて前記端末の前記サーバに対するアクセスを許可あるいは不許可する、
ことを特徴とするアクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−279579(P2006−279579A)
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願番号】特願2005−96226(P2005−96226)
【出願日】平成17年3月29日(2005.3.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願日】平成17年3月29日(2005.3.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]