インターネット接続システム、方法およびプログラム
【課題】 不特定多数の端末装置がインターネットに接続可能な任意の利用者環境からのインターネットの利用において、端末装置にセキュアな通信環境を提供する。
【解決手段】 利用者PC120との間にVPNトンネル30を形成するVPNゲートウェイ220を含むセキュアアクセスポイント200を備え、セキュアアクセスポイント200は、利用者PC120からVPN通信によって受信した暗号データを含むパケットをVPNゲートウェイ220に出力し、VPNゲートウェイ220から出力された暗号データを含むパケットを利用者PC120に宛ててインターネット40に送出する入力側ファイアウォール210と、VPNゲートウェイ220から出力されたパケットを利用者PC120の通信相手に宛ててインターネット40に送出し、通信相手から受信した応答のパケットをVPNゲートウェイ220に出力する出力側ファイアウォール230とを含む。
【解決手段】 利用者PC120との間にVPNトンネル30を形成するVPNゲートウェイ220を含むセキュアアクセスポイント200を備え、セキュアアクセスポイント200は、利用者PC120からVPN通信によって受信した暗号データを含むパケットをVPNゲートウェイ220に出力し、VPNゲートウェイ220から出力された暗号データを含むパケットを利用者PC120に宛ててインターネット40に送出する入力側ファイアウォール210と、VPNゲートウェイ220から出力されたパケットを利用者PC120の通信相手に宛ててインターネット40に送出し、通信相手から受信した応答のパケットをVPNゲートウェイ220に出力する出力側ファイアウォール230とを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、モバイル環境にある携帯端末がインターネットを介して安全性の高い通信を行うことができるインターネット接続システム、方法およびプログラムに関する。
【背景技術】
【0002】
ホテル、ファーストフード店、駅構内などに設けられたホットスポット(登録商標)等の公衆無線LANシステムを介するインターネットの利用が増えつつある。公衆無線LAN環境は、比較的機密性が低い環境であり、不正アクセスやコンピュータウィルス(以下、ウィルスという。)感染の危険性が高くなる。
【0003】
インターネットを介するセキュアな通信を実現するための方法としてVPN(Virtual Private Network )がある(例えば、特許文献1,2参照。)。通信網としてインターネットを用いるVPNでは、通信を行う一の装置と他の装置と間でトンネル化が図られるのであるが、システム内に、一の装置と他の装置と間の通信を中継する監視装置が設置されることがある。
【0004】
その場合、一の装置は、監視装置とVPN通信(VPNとしてトンネル化された通信)を行い、さらに、監視装置と他の装置とがVPN通信を行う。
【0005】
【特許文献1】特開2003−304289号公報(段落0026−0027、図1)
【特許文献2】特開2002−358259号公報(段落0044−0049、図11)
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、特許文献1に記載された方式では、監視装置が、一の装置のIPアドレスが固定的あることが前提になっている(特許文献1の段落0026参照)。また、特許文献2に記載された方式では、セキュリティサーバが、ルータの固有情報(シリアル番号、特許文献2の段落0044参照)をもとに認証を行ってVPN通信を実現している。
【0007】
一般に、公衆無線LANシステムでは、公衆無線LAN環境内にある携帯端末が無線LANアクセスポイントおよびインターネットを介する通信を行う場合に、無線LANアクセスポイントが、携帯端末にIPアドレスを割り当てる。従って、IPアドレスが固定的あることが前提になっている方式を、公衆無線LANシステムを介するインターネットの利用に適用することは困難である。
【0008】
公衆無線LANシステムを介するインターネットの利用においてVPN通信を実現するために、ルータの固有情報という概念を無線LANアクセスポイントに適用し、無線LANアクセスポイントによってセキュリティサーバが認証を行うことが考えられる。しかし、そのような考え方のもとでは、無線LANアクセスポイントが、セキュリティサーバが認証を行うシステムに参加していないと、携帯端末は、VPN通信によるセキュアな通信環境を得ることができない。
【0009】
そこで、本発明は、不特定多数の端末装置がインターネットに接続可能な任意の利用者環境からのインターネットの利用において、端末装置が、VPN通信によるセキュアな通信環境を得ることができるインターネット接続システム、方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明によるインターネット接続システムは、端末装置がVPN通信機能を有し、インターネットに接続可能であって、端末装置との間にVPNトンネルを形成するVPNゲートウェイを含むセキュアアクセスポイントを備えたことを特徴とする。
【0011】
不特定多数の端末装置がインターネットに接続可能な利用者環境は、例えば、無線LANアクセスポイントが設置された公衆無線LAN環境である。
【0012】
セキュアアクセスポイントは、例えば、端末装置からVPN通信によって受信した暗号データを含むパケットをVPNゲートウェイに出力するとともに、VPNゲートウェイから出力された暗号データを含むパケットを端末装置に宛ててインターネットに送出する入力側ファイアウォールと、VPNゲートウェイから出力されたパケットを端末装置の通信相手に宛ててインターネットに送出するとともに、通信相手から受信した応答のパケットをVPNゲートウェイに出力する出力側ファイアウォールとを含むように構成される。
【0013】
端末装置が、送信元IPアドレスとして自装置のIPアドレスを設定し宛先IPアドレスとしてVPNゲートウェイのIPアドレスを設定したIPヘッダが、暗号化されたデータに対して付加されたパケットを送信し、入力側ファイアウォールが、端末装置から受信したパケットのIPヘッダにおける送信元IPアドレスを入力側ファイアウォールのIPアドレスに変換するとともに、VPNゲートウェイから入力したパケットのIPヘッダにおける宛先IPアドレスを入力側ファイアウォールのIPアドレスから端末装置のIPアドレスに変換するアドレス変換部を含み、VPNゲートウェイが、出力側ファイアウォールから入力したパケットを暗号化し、送信元IPアドレスとしてVPNゲートウェイのIPアドレスを設定し宛先IPアドレスとして入力側ファイアウォールのIPアドレスを設定したIPヘッダが付加されたパケットを作成するVPN通信部と、VPN通信部が作成したパケットを入力側ファイアウォールに出力するアクセス制御部とを含むように構成されていてもよい。
【0014】
VPN通信部が、入力側ファイアウォールから入力したパケットについて復号を行い、VPNゲートウェイが、VPN通信部の復号によって得られたパケットにおけるIPヘッダに設定されている送信元IPアドレスを端末装置のIPアドレスからVPNゲートウェイのIPアドレスに変換するとともに、出力側ファイアウォールから入力したパケットにおけるIPヘッダに設定されている宛先IPアドレスをVPNゲートウェイのIPアドレスから端末装置のIPアドレスに変換するアドレス変換部を含むように構成されていてもよい。
【0015】
出力側ファイアウォールは、入出力するデータのウィルスチェックを行うウィルスチェック部を含むことが好ましい。
【0016】
本発明によるインターネット接続方法は、端末装置が、VPN通信機能を実現するためのVPN通信ソフトウェアをインストールし、端末装置が、VPN通信ソフトウェアに従って、宛先アドレスとしての通信相手のIPアドレスを含むデータを暗号化したデータに対して、宛先アドレスとしてのVPNゲートウェイのIPアドレスを付加したパケットをインターネットに送出し、VPNゲートウェイが、端末装置から受信されたパケットについて復号を行い、復号して得られた通信相手のIPアドレスに宛てて、復号して得られたパケットをインターネットに送出することを特徴とする。
【0017】
本発明によるインターネット接続プログラムは、端末装置との間にVPNトンネルを形成するサーバに、端末装置から受信した暗号化されたデータを復号させ、復号して得られた通信相手のIPアドレスに宛てて、復号して得られたパケットをインターネットに送出させることを特徴とする。
【発明の効果】
【0018】
本発明によれば、不特定多数の端末装置がインターネットに接続可能な任意の利用者環境からのインターネットの利用において、端末装置が、VPN通信によるセキュアな通信環境を得ることができる。
【発明を実施するための最良の形態】
【0019】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明によるインターネット接続システムの構成例を示すブロック図である。図1に示すシステムでは、公衆無線LANの無線通信可能領域(以下、利用者環境ともいう。)10に存在する利用者パーソナルコンピュータ(PC)120が、インターネット40を利用する場合、無線LANアクセスポイント11と無線通信を行う。無線LANアクセスポイント11は、ルータ機能も有し、インターネット40と接続可能である。利用者PC120は、ユーザ(利用者)が使用するパーソナルコンピュータであり、VPN通信機能が実装されている。
【0020】
また、高安全なインターネット接続環境を提供するサービス提供会社が運営するセキュアアクセスポイント200が設置されている。セキュアアクセスポイント200には、入力側ファイアウォール210、利用者PC120とのVPN通信を実現するVPNゲートウェイ220および出力側ファイアウォール230が設けられている。
【0021】
入力側ファイアウォール210は、インターネット40側からVPN通信によるパケットのみを通過させるとともに、VPNゲートウェイ220が出力する利用者PC120宛ての応答のパケットを利用者PC120に宛てて送信する。出力側ファイアウォール230は、VPNゲートウェイ220から出力されるパケットについてウィルスチェックを行ってインターネット40を介して送信するとともに、VPNゲートウェイ220宛てのパケットについてウィルスチェックを行う。
【0022】
図2は、利用者PC120の構成例を示すブロック図である。利用者PC120において、制御部(CPU)121が記憶部122に記憶されているプログラムに従って制御を行うのであるが、記憶部122には、VPN通信ソフトウェア123が含まれている。また、利用者PC120には、アンテナを含む無線LAN通信部124が実装されている。
【0023】
図3は、入力側ファイアウォール210の構成例を示すブロック図である。図3に示す構成では、入力側ファイアウォール210において、アクセス制御部211は、通信部215を介してインターネット40と通信可能に接続され、アクセス制御リスト212の記載に従って通信制御を行う。アクセス制御リスト212には、VPNゲートウェイ220宛てのVPN通信のデータのみを通過させる旨が記載されている。アドレス変換部213は、VPNゲートウェイ220宛てのパケットのIPヘッダに記載されている送信元IPアドレスを、利用者PC120のIPアドレスから入力側ファイアウォール210のIPアドレスに変換してVPNゲートウェイ220に出力する。また、VPNゲートウェイ220から出力された応答のパケットのIPヘッダに記載されている送信先IPアドレス(宛先IPアドレス)を利用者PC120に変換する。
【0024】
図4は、VPNゲートウェイ220の構成例を示すブロック図である。図4に示す構成では、VPNゲートウェイ220において、利用者認証部221は、利用者認証データベース222に登録されている利用者毎の認証情報にもとづいて、利用者(具体的には利用者PC120)が正当なものか否か認証する。この実施の形態では、利用者認証データベース222には、図5に例示するように、利用者毎のIDとパスワードとが登録されている。
【0025】
VPN通信部223は、利用者PC120との間にVPNトンネル30を構成してVPN通信を実現する。具体的には、IETF(Internet Engineering Task Force )によってVPN標準プロトコルとして定義されたIPSec(IP Security protocol)にもとづく暗号化/復号や通信データの認証を行う。利用者PCアドレス変換部224は、VPNトンネル30によって受信され利用者PC120の通信相手に転送するパケットにおけるIPヘッダの送信元IPアドレスを、利用者PC120のIPアドレスからVPNゲートウェイ220のIPアドレスに変換する。また、出力側ファイアウォール230から出力された応答のパケットのIPヘッダに記載されている送信先IPアドレス(宛先IPアドレス)を利用者PC120に変換する。
【0026】
図6は、出力側ファイアウォール230の構成例を示すブロック図である。図6に示す構成では、出力側ファイアウォール230において、アクセス制御部231は、通信部235を介してインターネット40と通信可能に接続され、アクセス制御リスト232の記載に従って通信制御を行う。アクセス制御リスト232には、VPNゲートウェイ220から発信されたデータ、およびそのデータに対する応答のデータのみを通過させる旨が記載されている。また、ウィルスチェック部233は、ウィルスパターンデータベース(ウィルスパターンDB)234に記載されているパターンデータにもとづいてウィルスチェックを実行する。ウィルスパターンDB234には、図7に例示されているように、ウィルス毎のパターンデータが記載されている。
【0027】
なお、入力側ファイアウォール210、VPNゲートウェイ220および出力側ファイアウォール230は、それぞれ、サーバ装置などの情報処理装置(コンピュータ)で実現される。入力側ファイアウォール210およびVPNゲートウェイ220を通信機能を有する1つの情報処理装置で実現してもよく、入力側ファイアウォール210、VPNゲートウェイ220および出力側ファイアウォール230を通信機能を有する1つの情報処理装置で実現してもよい。
【0028】
入力側ファイアウォール210において、アクセス制御部211およびアドレス変換部213は、例えば、情報処理装置のCPUが実行するソフトウェアで実現される。VPNゲートウェイ220において、利用者認証部221、VPN通信部223および利用者PCアドレス変換部224は、例えば、情報処理装置のCPUが実行するソフトウェアで実現される。出力側ファイアウォール230において、アクセス制御部231およびウィルスチェック部233は、例えば、情報処理装置のCPUが実行するソフトウェアで実現される。
【0029】
図8および図9を参照して、パケットのフォーマットについて説明する。図8における(1)に示すように、利用者PC120は、VPN通信時に、通信相手に対して送信されるべきデータ(IPヘッダとデータ部)を暗号化し、VPNヘッダでカプセル化し、さらに、送信元IPアドレスとして自装置に割り当てられたIPアドレスを設定し宛先アドレスとしてVPNゲートウェイ220のIPアドレスを設定したIPヘッダがトンネル化のために付加されたパケットを、インターネット40を介して送信する。VPNヘッダは、例えば、IPSecで規定されているAH(Authentication header )である。
【0030】
図8における(2)に示すように、入力側ファイアウォール210は、IPヘッダにおける送信元IPアドレスを入力側ファイアウォール210のIPアドレスに変換して、パケットをVPNゲートウェイ220に出力する。
【0031】
図8における(3)に示すように、VPNゲートウェイ220は、暗号化データを復号してデータ(IPヘッダとデータ部)を得て、得られたIPヘッダにおける送信元IPアドレスを、利用者PC120のIPアドレスからVPNゲートウェイ220のIPアドレスに変換して、復号して得られたパケットを、出力側ファイアウォール220およびインターネット40を介して利用者PC120の通信相手に宛てて送信する。
【0032】
利用者PC120の通信相手は、図9における(4)に示すような応答のパケットをVPNゲートウェイ220に宛てて送信する。図9における(5)に示すように、VPNゲートウェイ220は、受信したデータ(IPヘッダとデータ部)における宛先IPアドレスを利用者PCのIPアドレスに変換してからデータ(IPヘッダとデータ部)を暗号化し、VPNヘッダでカプセル化し、さらに、送信元IPアドレスとしてVPNゲートウェイ220を設定し宛先アドレスとして入力側ファイアウォール210のIPアドレスを設定したIPヘッダが付加されたパケットを、入力側ファイアウォール210に出力する。
【0033】
図9における(6)に示すように、入力側ファイアウォール210は、IPヘッダにおける宛先アドレスを利用者PC120のIPアドレスに変換して、パケットを、インターネット40を介して利用者PC120に宛てて送信する。
【0034】
次に、インターネット接続システムの動作を説明する。まず、図10のフローチャートを参照して、セキュアなインターネット接続サービスが開始されるまでの動作を説明する。ユーザは、まず、サービス提供会社とインターネット接続サービスの契約を行う(ステップS1)。契約は、例えば、サービス提供会社が公開する契約用のWebページに利用者が必要事項を記入することによってなされる。
【0035】
契約が成立すると、サービス提供会社において、VPNゲートウェイ220における利用者認証データベース222に、利用者の認証情報が登録される(ステップS2)。利用者の認証情報は、図5に例示されたような利用者IDとパスワードである。また、サービス提供会社は、VPN通信ソフトウェア123を記録したCD−ROMなどの記憶媒体と、利用者の認証情報とを、郵送などの手段によって利用者に配布する(ステップS3)。利用者は、利用者PC120に搭載されているCD−ROM読取装置などの記憶媒体読取装置で記憶媒体に記録されているVPN通信ソフトウェア123を読み取らせ、利用者PC120にインストールする(ステップS4)。
【0036】
図1に例示したシステムで、利用者が、利用者環境10において、インターネットを利用する場合、利用者PC120の無線LAN通信部124および無線LANアクセスポイント11を介してインターネット40に接続される。利用者PC120のIPアドレスは、無線LANアクセスポイント11によって付与される。また、VPN通信ソフトウェア123に従って、利用者PC120は、まず、セキュアアクセスポイント200におけるVPNゲートウェイ220に接続する(ステップS5)。VPNゲートウェイ220は、インターネット40に接続され公開されている。すなわち、VPNトンネル30が形成されていないときには、全ての利用者は、入力側ファイアウォール210を介さずにVPNゲートウェイ220をアクセスすることができる。
【0037】
VPNゲートウェイ220において、利用者認証部221は、利用者の正当性を確認するために、アクセスした利用者PC120に対して認証情報を要求する。ユーザが認証情報を利用者PC120に入力すると、利用者PC120は、入力された認証情報をVPNゲートウェイ220に宛てて送信する。VPNゲートウェイ220は、利用者PC120から受信した認証情報と利用者認証データベース222に登録されている利用者情報とを比較し(ステップS6)、それらが一致しない場合には接続を拒否する。一致した場合には、VPNトンネル30を確立する(ステップS7)。すなわち、VPNゲートウェイ220は、利用者PC120に対して、以後、VPN通信を行うように指示する。
【0038】
その後、利用者PC120は、インターネット40を介する通信相手(サーバ等)との通信を、VPNゲートウェイ220経由でセキュアな通信によって実行することができる。すなわち、サービス提供会社は、利用者PC120の利用者に、高安全性インターネット接続サービスを提供する(ステップS8)。
【0039】
次に、図11のフローチャートを参照して、高安全性インターネット接続サービス提供時の送信動作を説明する。
【0040】
VPN通信時に、利用者PC120は、VPN通信ソフトウェア123に従ってデータを暗号化し、VPNヘッダを付加する(ステップS11)。また、図8(1)に示すように、パケットには、送信元IPアドレスとして利用者PC120のIPアドレスが設定され、宛先アドレスとしてVPNゲートウェイ220のIPアドレスが設定されたIPヘッダが付加される。よって、利用者PC120から送信されるデータは、VPNゲートウェイ220に宛てて配信される(ステップS11)。
【0041】
なお、以下の説明では、トンネル化のために付加されたIPヘッダと、暗号化されているデータ中のIPヘッダとを区別するために、トンネル化のために付加されたIPヘッダに設定されているIPアドレスを、VPNヘッダに関する(または、「VPNヘッダに含まれる」)IPアドレスといい、データ中のIPヘッダに設定されているIPアドレスを通信のIPアドレスという。
【0042】
VPNゲートウェイ220宛てのデータは、セキュアアクセスポイント200において、入力側ファイアウォール210に入力する。入力側ファイアウォール210において、アクセス制御部211は、入力されたパケットがVPN通信によるものであるか否かチェックする(ステップS12)。そして、VPN通信によるものであることを確認したら、入力されたパケットをアドレス変換部213に引き渡す。アクセス制御部211は、VPN通信によるものでないことを確認したら、入力されたパケットを破棄する。すなわち、通信を遮断する。なお、アクセス制御部211は、VPN通信によるものであるか否かを、例えば、AHが使用されているか否かによって判断することができる。
【0043】
アドレス変換部213は、VPNヘッダに関する送信元IPアドレスを、利用者PC120のIPアドレスから、入力側ファイアウォール210のIPアドレスに変換してVPNゲートウェイ220に出力する(ステップS13)。IPアドレスを変換することによって、入力側ファイアウォール210経由、および出力側ファイアウォール230経由でインターネット40に接続しているVPNゲートウェイ220は、いずれの経路でパケットを受信したのか判別できる。
【0044】
VPNゲートウェイ220において、VPN通信部223は、VPNヘッダを外してから暗号化されたデータを復号する(ステップS14)。利用者PCアドレス変換部224は、通信の送信元IPアドレスを、利用者PC120のIPアドレスから、VPNゲートウェイ220のIPアドレスに変換する(ステップS15)。そして、復号されたパケットを出力側ファイアウォール230に出力する。IPアドレスを変換することによって、通信相手は、利用者PC120に返送すべきパケットを、VPNゲートウェイ220に送信することになる。
【0045】
出力側ファイアウォール230において、ウィルスチェック部233は、VPNゲートウェイ220が出力したパケットのデータについて、ウィルスパターンデータベース234に記載されているパターンデータにもとづいてウィルスチェックを実行する。ウィルスを発見した場合には、通信を切断し、利用者PC120に対して、ウィルスを発見した旨の電子メールを送信する(ステップS16)。アクセス制御部231は、パケットがVPNゲートウェイ220が出力したパケットであるか否かチェックし、VPNゲートウェイ220が出力したパケットであれば、それをインターネット40に送出する(ステップS17)。
【0046】
次に、図11のフローチャートを参照して、高安全性インターネット接続サービス提供時の受信動作を説明する。利用者PC120の通信相手は、応答のパケットをVPNゲートウェイ220に宛てて送信する。セキュアアクセスポイント200において、応答のパケットは、出力側ファイアウォール230に入力する。出力側ファイアウォール230において、アクセス制御部231は、入力されたパケットが、VPNゲートウェイ220が送信したパケットの応答であるか否か確認する(ステップS21)。アクセス制御部231は、例えば、IPヘッダにおける送信元IPアドレスやポート番号が、既にVPNゲートウェイ220が送信したパケットのIPヘッダにおける宛先IPアドレスやポート番号と一致するか否かによって、VPNゲートウェイ220が送信したパケットの応答であるか否か確認することができる。アクセス制御部231は、VPNゲートウェイ220が送信したパケットの応答でないことを確認したら、そのパケットを破棄する。すなわち、通信を遮断する。
【0047】
次いで、ウィルスチェック部233は、パケットのデータについて、ウィルスパターンデータベース234に記載されているパターンデータにもとづいてウィルスチェックを実行する(ステップS22)。ウィルスを発見した場合には、通信を切断する。ウィルスを発見しない場合には、パケットをVPNゲートウェイ220に引き渡す。
【0048】
VPNゲートウェイ220において、利用者PCアドレス変換部224は、通信のIPヘッダにおける宛先IPアドレスを、VPNゲートウェイ220のIPアドレスから、利用者PC120のIPアドレスに変換する(ステップS23)。VPN通信部223は、パケットのデータを暗号化し、VPNヘッダを付加して、入力側ファイアウォール210に出力する(ステップS24)。なお、VPNヘッダに関する宛先IPアドレスとして入力側ファイアウォール210のIPアドレスが設定される。
【0049】
入力側ファイアウォール210において、アドレス変換部213は、VPNヘッダに関する宛先IPアドレスを、入力側ファイアウォール210のIPアドレスから利用者PC120のIPアドレスに変換する(ステップS25)。アクセス制御部211は、入力したパケットがVPN通信によるものであるか否かチェックする(ステップS26)。そして、VPN通信によるものであることを確認したら、パケットをインターネット40に送出する。
【0050】
入力側ファイアウォール210から送出されたパケットは、インターネット40および無線LANアクセスポイント11を介して利用者PC120に到達する。利用者PC120はVPN通信ソフトウェア123に従って、パケットのVPNヘッダを外し、データを復号する(ステップS27)。
【0051】
以上に説明したように、上記の実施の形態のインターネット接続システムによれば、利用者が特に意識することなく、VPN通信ソフトウェア123によってセキュアアクセスポイント200経由で通信が行われ、セキュアアクセスポイント200において、不正アクセスやウィルスが混入した通信を遮断する。従って、利用者が意識することなく安全性が高いインターネット接続を行うことができる。
【0052】
また、パーソナルコンピュータのOSの中にはVPN通信機能を持つものもあるが、OS毎に仕様が異なって、そのようなVPN通信機能を使用するとVPNゲートウェイト220と通信できないという可能性もある。しかし、上記の実施の形態では、VPN通信ソフトウェア123がセキュアアクセスポイント200を運営するサービス会社等から配布されるので、接続仕様を一定にすることができ、どのような利用者環境からもVPNゲートウェイト220と通信できる。
【0053】
なお、上記の実施の形態では、不特定多数の端末装置がインターネットに接続可能な利用者環境として無線LANアクセスポイント11が設置された公衆無線LAN環境を例示したが、不特定多数の端末装置がインターネットに接続可能な利用者環境は公衆無線LAN環境に限られず、他の形態のモバイル環境でも本発明を適用することができる。さらには、モバイル環境ではなく、固定的なインターネット接続環境でも本発明を適用することができる。
【0054】
また、上記の実施の形態では、インターネットを利用する端末装置としてパーソナルコンピュータを例示したが、端末装置はパーソナルコンピュータに限られず、PDA等の他の端末装置であってもよい。
【産業上の利用可能性】
【0055】
本発明は、VPN通信によるセキュアな通信環境を端末装置に提供できるシステムであって、特に、不特定多数の端末装置がインターネットに接続可能な利用者環境から端末装置がインターネットを介して通信を行う際のセキュリティを確保する場合に効果的に適用できる。
【図面の簡単な説明】
【0056】
【図1】本発明によるインターネット接続システムの構成例を示すブロック図である。
【図2】利用者PCの構成例を示すブロック図である。
【図3】入力側ファイアウォールの構成例を示すブロック図である。
【図4】VPNゲートウェイの構成例を示すブロック図である。
【図5】利用者認証データベースの登録データ例を示す説明図である。
【図6】出力側ファイアウォールの構成例を示すブロック図である。
【図7】ウィルスパターンデータベースの登録データ例を示す説明図である。
【図8】パケットのフォーマットを示す説明図である。
【図9】パケットのフォーマットを示す説明図である。
【図10】セキュアなインターネット接続サービスが開始されるまでの動作を示すフローチャートである。
【図11】インターネット接続サービス提供時の送信動作を示すフローチャートである。
【図12】インターネット接続サービス提供時の受信動作を示すフローチャートである。
【符号の説明】
【0057】
10 利用者環境
11 無線LANアクセスポイント
30 VPNトンネル
40 インターネット
120 利用者PC
123 VPN通信ソフトウェア
200 セキュアアクセスポイント
210 入力側ファイアウォール
220 VPNゲートウェイ
230 出力側ファイアウォール
211 アクセス制御部
212 アクセス制御リスト
213 アドレス変換部
221 利用者認証部
222 利用者認証データベース
223 VPN通信部
224 利用者PCアドレス変換部
231 アクセス制御部
232 アクセス制御リスト
233 ウィルスチェック部
234 ウィルスパターンデータベース
【技術分野】
【0001】
本発明は、モバイル環境にある携帯端末がインターネットを介して安全性の高い通信を行うことができるインターネット接続システム、方法およびプログラムに関する。
【背景技術】
【0002】
ホテル、ファーストフード店、駅構内などに設けられたホットスポット(登録商標)等の公衆無線LANシステムを介するインターネットの利用が増えつつある。公衆無線LAN環境は、比較的機密性が低い環境であり、不正アクセスやコンピュータウィルス(以下、ウィルスという。)感染の危険性が高くなる。
【0003】
インターネットを介するセキュアな通信を実現するための方法としてVPN(Virtual Private Network )がある(例えば、特許文献1,2参照。)。通信網としてインターネットを用いるVPNでは、通信を行う一の装置と他の装置と間でトンネル化が図られるのであるが、システム内に、一の装置と他の装置と間の通信を中継する監視装置が設置されることがある。
【0004】
その場合、一の装置は、監視装置とVPN通信(VPNとしてトンネル化された通信)を行い、さらに、監視装置と他の装置とがVPN通信を行う。
【0005】
【特許文献1】特開2003−304289号公報(段落0026−0027、図1)
【特許文献2】特開2002−358259号公報(段落0044−0049、図11)
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、特許文献1に記載された方式では、監視装置が、一の装置のIPアドレスが固定的あることが前提になっている(特許文献1の段落0026参照)。また、特許文献2に記載された方式では、セキュリティサーバが、ルータの固有情報(シリアル番号、特許文献2の段落0044参照)をもとに認証を行ってVPN通信を実現している。
【0007】
一般に、公衆無線LANシステムでは、公衆無線LAN環境内にある携帯端末が無線LANアクセスポイントおよびインターネットを介する通信を行う場合に、無線LANアクセスポイントが、携帯端末にIPアドレスを割り当てる。従って、IPアドレスが固定的あることが前提になっている方式を、公衆無線LANシステムを介するインターネットの利用に適用することは困難である。
【0008】
公衆無線LANシステムを介するインターネットの利用においてVPN通信を実現するために、ルータの固有情報という概念を無線LANアクセスポイントに適用し、無線LANアクセスポイントによってセキュリティサーバが認証を行うことが考えられる。しかし、そのような考え方のもとでは、無線LANアクセスポイントが、セキュリティサーバが認証を行うシステムに参加していないと、携帯端末は、VPN通信によるセキュアな通信環境を得ることができない。
【0009】
そこで、本発明は、不特定多数の端末装置がインターネットに接続可能な任意の利用者環境からのインターネットの利用において、端末装置が、VPN通信によるセキュアな通信環境を得ることができるインターネット接続システム、方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明によるインターネット接続システムは、端末装置がVPN通信機能を有し、インターネットに接続可能であって、端末装置との間にVPNトンネルを形成するVPNゲートウェイを含むセキュアアクセスポイントを備えたことを特徴とする。
【0011】
不特定多数の端末装置がインターネットに接続可能な利用者環境は、例えば、無線LANアクセスポイントが設置された公衆無線LAN環境である。
【0012】
セキュアアクセスポイントは、例えば、端末装置からVPN通信によって受信した暗号データを含むパケットをVPNゲートウェイに出力するとともに、VPNゲートウェイから出力された暗号データを含むパケットを端末装置に宛ててインターネットに送出する入力側ファイアウォールと、VPNゲートウェイから出力されたパケットを端末装置の通信相手に宛ててインターネットに送出するとともに、通信相手から受信した応答のパケットをVPNゲートウェイに出力する出力側ファイアウォールとを含むように構成される。
【0013】
端末装置が、送信元IPアドレスとして自装置のIPアドレスを設定し宛先IPアドレスとしてVPNゲートウェイのIPアドレスを設定したIPヘッダが、暗号化されたデータに対して付加されたパケットを送信し、入力側ファイアウォールが、端末装置から受信したパケットのIPヘッダにおける送信元IPアドレスを入力側ファイアウォールのIPアドレスに変換するとともに、VPNゲートウェイから入力したパケットのIPヘッダにおける宛先IPアドレスを入力側ファイアウォールのIPアドレスから端末装置のIPアドレスに変換するアドレス変換部を含み、VPNゲートウェイが、出力側ファイアウォールから入力したパケットを暗号化し、送信元IPアドレスとしてVPNゲートウェイのIPアドレスを設定し宛先IPアドレスとして入力側ファイアウォールのIPアドレスを設定したIPヘッダが付加されたパケットを作成するVPN通信部と、VPN通信部が作成したパケットを入力側ファイアウォールに出力するアクセス制御部とを含むように構成されていてもよい。
【0014】
VPN通信部が、入力側ファイアウォールから入力したパケットについて復号を行い、VPNゲートウェイが、VPN通信部の復号によって得られたパケットにおけるIPヘッダに設定されている送信元IPアドレスを端末装置のIPアドレスからVPNゲートウェイのIPアドレスに変換するとともに、出力側ファイアウォールから入力したパケットにおけるIPヘッダに設定されている宛先IPアドレスをVPNゲートウェイのIPアドレスから端末装置のIPアドレスに変換するアドレス変換部を含むように構成されていてもよい。
【0015】
出力側ファイアウォールは、入出力するデータのウィルスチェックを行うウィルスチェック部を含むことが好ましい。
【0016】
本発明によるインターネット接続方法は、端末装置が、VPN通信機能を実現するためのVPN通信ソフトウェアをインストールし、端末装置が、VPN通信ソフトウェアに従って、宛先アドレスとしての通信相手のIPアドレスを含むデータを暗号化したデータに対して、宛先アドレスとしてのVPNゲートウェイのIPアドレスを付加したパケットをインターネットに送出し、VPNゲートウェイが、端末装置から受信されたパケットについて復号を行い、復号して得られた通信相手のIPアドレスに宛てて、復号して得られたパケットをインターネットに送出することを特徴とする。
【0017】
本発明によるインターネット接続プログラムは、端末装置との間にVPNトンネルを形成するサーバに、端末装置から受信した暗号化されたデータを復号させ、復号して得られた通信相手のIPアドレスに宛てて、復号して得られたパケットをインターネットに送出させることを特徴とする。
【発明の効果】
【0018】
本発明によれば、不特定多数の端末装置がインターネットに接続可能な任意の利用者環境からのインターネットの利用において、端末装置が、VPN通信によるセキュアな通信環境を得ることができる。
【発明を実施するための最良の形態】
【0019】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明によるインターネット接続システムの構成例を示すブロック図である。図1に示すシステムでは、公衆無線LANの無線通信可能領域(以下、利用者環境ともいう。)10に存在する利用者パーソナルコンピュータ(PC)120が、インターネット40を利用する場合、無線LANアクセスポイント11と無線通信を行う。無線LANアクセスポイント11は、ルータ機能も有し、インターネット40と接続可能である。利用者PC120は、ユーザ(利用者)が使用するパーソナルコンピュータであり、VPN通信機能が実装されている。
【0020】
また、高安全なインターネット接続環境を提供するサービス提供会社が運営するセキュアアクセスポイント200が設置されている。セキュアアクセスポイント200には、入力側ファイアウォール210、利用者PC120とのVPN通信を実現するVPNゲートウェイ220および出力側ファイアウォール230が設けられている。
【0021】
入力側ファイアウォール210は、インターネット40側からVPN通信によるパケットのみを通過させるとともに、VPNゲートウェイ220が出力する利用者PC120宛ての応答のパケットを利用者PC120に宛てて送信する。出力側ファイアウォール230は、VPNゲートウェイ220から出力されるパケットについてウィルスチェックを行ってインターネット40を介して送信するとともに、VPNゲートウェイ220宛てのパケットについてウィルスチェックを行う。
【0022】
図2は、利用者PC120の構成例を示すブロック図である。利用者PC120において、制御部(CPU)121が記憶部122に記憶されているプログラムに従って制御を行うのであるが、記憶部122には、VPN通信ソフトウェア123が含まれている。また、利用者PC120には、アンテナを含む無線LAN通信部124が実装されている。
【0023】
図3は、入力側ファイアウォール210の構成例を示すブロック図である。図3に示す構成では、入力側ファイアウォール210において、アクセス制御部211は、通信部215を介してインターネット40と通信可能に接続され、アクセス制御リスト212の記載に従って通信制御を行う。アクセス制御リスト212には、VPNゲートウェイ220宛てのVPN通信のデータのみを通過させる旨が記載されている。アドレス変換部213は、VPNゲートウェイ220宛てのパケットのIPヘッダに記載されている送信元IPアドレスを、利用者PC120のIPアドレスから入力側ファイアウォール210のIPアドレスに変換してVPNゲートウェイ220に出力する。また、VPNゲートウェイ220から出力された応答のパケットのIPヘッダに記載されている送信先IPアドレス(宛先IPアドレス)を利用者PC120に変換する。
【0024】
図4は、VPNゲートウェイ220の構成例を示すブロック図である。図4に示す構成では、VPNゲートウェイ220において、利用者認証部221は、利用者認証データベース222に登録されている利用者毎の認証情報にもとづいて、利用者(具体的には利用者PC120)が正当なものか否か認証する。この実施の形態では、利用者認証データベース222には、図5に例示するように、利用者毎のIDとパスワードとが登録されている。
【0025】
VPN通信部223は、利用者PC120との間にVPNトンネル30を構成してVPN通信を実現する。具体的には、IETF(Internet Engineering Task Force )によってVPN標準プロトコルとして定義されたIPSec(IP Security protocol)にもとづく暗号化/復号や通信データの認証を行う。利用者PCアドレス変換部224は、VPNトンネル30によって受信され利用者PC120の通信相手に転送するパケットにおけるIPヘッダの送信元IPアドレスを、利用者PC120のIPアドレスからVPNゲートウェイ220のIPアドレスに変換する。また、出力側ファイアウォール230から出力された応答のパケットのIPヘッダに記載されている送信先IPアドレス(宛先IPアドレス)を利用者PC120に変換する。
【0026】
図6は、出力側ファイアウォール230の構成例を示すブロック図である。図6に示す構成では、出力側ファイアウォール230において、アクセス制御部231は、通信部235を介してインターネット40と通信可能に接続され、アクセス制御リスト232の記載に従って通信制御を行う。アクセス制御リスト232には、VPNゲートウェイ220から発信されたデータ、およびそのデータに対する応答のデータのみを通過させる旨が記載されている。また、ウィルスチェック部233は、ウィルスパターンデータベース(ウィルスパターンDB)234に記載されているパターンデータにもとづいてウィルスチェックを実行する。ウィルスパターンDB234には、図7に例示されているように、ウィルス毎のパターンデータが記載されている。
【0027】
なお、入力側ファイアウォール210、VPNゲートウェイ220および出力側ファイアウォール230は、それぞれ、サーバ装置などの情報処理装置(コンピュータ)で実現される。入力側ファイアウォール210およびVPNゲートウェイ220を通信機能を有する1つの情報処理装置で実現してもよく、入力側ファイアウォール210、VPNゲートウェイ220および出力側ファイアウォール230を通信機能を有する1つの情報処理装置で実現してもよい。
【0028】
入力側ファイアウォール210において、アクセス制御部211およびアドレス変換部213は、例えば、情報処理装置のCPUが実行するソフトウェアで実現される。VPNゲートウェイ220において、利用者認証部221、VPN通信部223および利用者PCアドレス変換部224は、例えば、情報処理装置のCPUが実行するソフトウェアで実現される。出力側ファイアウォール230において、アクセス制御部231およびウィルスチェック部233は、例えば、情報処理装置のCPUが実行するソフトウェアで実現される。
【0029】
図8および図9を参照して、パケットのフォーマットについて説明する。図8における(1)に示すように、利用者PC120は、VPN通信時に、通信相手に対して送信されるべきデータ(IPヘッダとデータ部)を暗号化し、VPNヘッダでカプセル化し、さらに、送信元IPアドレスとして自装置に割り当てられたIPアドレスを設定し宛先アドレスとしてVPNゲートウェイ220のIPアドレスを設定したIPヘッダがトンネル化のために付加されたパケットを、インターネット40を介して送信する。VPNヘッダは、例えば、IPSecで規定されているAH(Authentication header )である。
【0030】
図8における(2)に示すように、入力側ファイアウォール210は、IPヘッダにおける送信元IPアドレスを入力側ファイアウォール210のIPアドレスに変換して、パケットをVPNゲートウェイ220に出力する。
【0031】
図8における(3)に示すように、VPNゲートウェイ220は、暗号化データを復号してデータ(IPヘッダとデータ部)を得て、得られたIPヘッダにおける送信元IPアドレスを、利用者PC120のIPアドレスからVPNゲートウェイ220のIPアドレスに変換して、復号して得られたパケットを、出力側ファイアウォール220およびインターネット40を介して利用者PC120の通信相手に宛てて送信する。
【0032】
利用者PC120の通信相手は、図9における(4)に示すような応答のパケットをVPNゲートウェイ220に宛てて送信する。図9における(5)に示すように、VPNゲートウェイ220は、受信したデータ(IPヘッダとデータ部)における宛先IPアドレスを利用者PCのIPアドレスに変換してからデータ(IPヘッダとデータ部)を暗号化し、VPNヘッダでカプセル化し、さらに、送信元IPアドレスとしてVPNゲートウェイ220を設定し宛先アドレスとして入力側ファイアウォール210のIPアドレスを設定したIPヘッダが付加されたパケットを、入力側ファイアウォール210に出力する。
【0033】
図9における(6)に示すように、入力側ファイアウォール210は、IPヘッダにおける宛先アドレスを利用者PC120のIPアドレスに変換して、パケットを、インターネット40を介して利用者PC120に宛てて送信する。
【0034】
次に、インターネット接続システムの動作を説明する。まず、図10のフローチャートを参照して、セキュアなインターネット接続サービスが開始されるまでの動作を説明する。ユーザは、まず、サービス提供会社とインターネット接続サービスの契約を行う(ステップS1)。契約は、例えば、サービス提供会社が公開する契約用のWebページに利用者が必要事項を記入することによってなされる。
【0035】
契約が成立すると、サービス提供会社において、VPNゲートウェイ220における利用者認証データベース222に、利用者の認証情報が登録される(ステップS2)。利用者の認証情報は、図5に例示されたような利用者IDとパスワードである。また、サービス提供会社は、VPN通信ソフトウェア123を記録したCD−ROMなどの記憶媒体と、利用者の認証情報とを、郵送などの手段によって利用者に配布する(ステップS3)。利用者は、利用者PC120に搭載されているCD−ROM読取装置などの記憶媒体読取装置で記憶媒体に記録されているVPN通信ソフトウェア123を読み取らせ、利用者PC120にインストールする(ステップS4)。
【0036】
図1に例示したシステムで、利用者が、利用者環境10において、インターネットを利用する場合、利用者PC120の無線LAN通信部124および無線LANアクセスポイント11を介してインターネット40に接続される。利用者PC120のIPアドレスは、無線LANアクセスポイント11によって付与される。また、VPN通信ソフトウェア123に従って、利用者PC120は、まず、セキュアアクセスポイント200におけるVPNゲートウェイ220に接続する(ステップS5)。VPNゲートウェイ220は、インターネット40に接続され公開されている。すなわち、VPNトンネル30が形成されていないときには、全ての利用者は、入力側ファイアウォール210を介さずにVPNゲートウェイ220をアクセスすることができる。
【0037】
VPNゲートウェイ220において、利用者認証部221は、利用者の正当性を確認するために、アクセスした利用者PC120に対して認証情報を要求する。ユーザが認証情報を利用者PC120に入力すると、利用者PC120は、入力された認証情報をVPNゲートウェイ220に宛てて送信する。VPNゲートウェイ220は、利用者PC120から受信した認証情報と利用者認証データベース222に登録されている利用者情報とを比較し(ステップS6)、それらが一致しない場合には接続を拒否する。一致した場合には、VPNトンネル30を確立する(ステップS7)。すなわち、VPNゲートウェイ220は、利用者PC120に対して、以後、VPN通信を行うように指示する。
【0038】
その後、利用者PC120は、インターネット40を介する通信相手(サーバ等)との通信を、VPNゲートウェイ220経由でセキュアな通信によって実行することができる。すなわち、サービス提供会社は、利用者PC120の利用者に、高安全性インターネット接続サービスを提供する(ステップS8)。
【0039】
次に、図11のフローチャートを参照して、高安全性インターネット接続サービス提供時の送信動作を説明する。
【0040】
VPN通信時に、利用者PC120は、VPN通信ソフトウェア123に従ってデータを暗号化し、VPNヘッダを付加する(ステップS11)。また、図8(1)に示すように、パケットには、送信元IPアドレスとして利用者PC120のIPアドレスが設定され、宛先アドレスとしてVPNゲートウェイ220のIPアドレスが設定されたIPヘッダが付加される。よって、利用者PC120から送信されるデータは、VPNゲートウェイ220に宛てて配信される(ステップS11)。
【0041】
なお、以下の説明では、トンネル化のために付加されたIPヘッダと、暗号化されているデータ中のIPヘッダとを区別するために、トンネル化のために付加されたIPヘッダに設定されているIPアドレスを、VPNヘッダに関する(または、「VPNヘッダに含まれる」)IPアドレスといい、データ中のIPヘッダに設定されているIPアドレスを通信のIPアドレスという。
【0042】
VPNゲートウェイ220宛てのデータは、セキュアアクセスポイント200において、入力側ファイアウォール210に入力する。入力側ファイアウォール210において、アクセス制御部211は、入力されたパケットがVPN通信によるものであるか否かチェックする(ステップS12)。そして、VPN通信によるものであることを確認したら、入力されたパケットをアドレス変換部213に引き渡す。アクセス制御部211は、VPN通信によるものでないことを確認したら、入力されたパケットを破棄する。すなわち、通信を遮断する。なお、アクセス制御部211は、VPN通信によるものであるか否かを、例えば、AHが使用されているか否かによって判断することができる。
【0043】
アドレス変換部213は、VPNヘッダに関する送信元IPアドレスを、利用者PC120のIPアドレスから、入力側ファイアウォール210のIPアドレスに変換してVPNゲートウェイ220に出力する(ステップS13)。IPアドレスを変換することによって、入力側ファイアウォール210経由、および出力側ファイアウォール230経由でインターネット40に接続しているVPNゲートウェイ220は、いずれの経路でパケットを受信したのか判別できる。
【0044】
VPNゲートウェイ220において、VPN通信部223は、VPNヘッダを外してから暗号化されたデータを復号する(ステップS14)。利用者PCアドレス変換部224は、通信の送信元IPアドレスを、利用者PC120のIPアドレスから、VPNゲートウェイ220のIPアドレスに変換する(ステップS15)。そして、復号されたパケットを出力側ファイアウォール230に出力する。IPアドレスを変換することによって、通信相手は、利用者PC120に返送すべきパケットを、VPNゲートウェイ220に送信することになる。
【0045】
出力側ファイアウォール230において、ウィルスチェック部233は、VPNゲートウェイ220が出力したパケットのデータについて、ウィルスパターンデータベース234に記載されているパターンデータにもとづいてウィルスチェックを実行する。ウィルスを発見した場合には、通信を切断し、利用者PC120に対して、ウィルスを発見した旨の電子メールを送信する(ステップS16)。アクセス制御部231は、パケットがVPNゲートウェイ220が出力したパケットであるか否かチェックし、VPNゲートウェイ220が出力したパケットであれば、それをインターネット40に送出する(ステップS17)。
【0046】
次に、図11のフローチャートを参照して、高安全性インターネット接続サービス提供時の受信動作を説明する。利用者PC120の通信相手は、応答のパケットをVPNゲートウェイ220に宛てて送信する。セキュアアクセスポイント200において、応答のパケットは、出力側ファイアウォール230に入力する。出力側ファイアウォール230において、アクセス制御部231は、入力されたパケットが、VPNゲートウェイ220が送信したパケットの応答であるか否か確認する(ステップS21)。アクセス制御部231は、例えば、IPヘッダにおける送信元IPアドレスやポート番号が、既にVPNゲートウェイ220が送信したパケットのIPヘッダにおける宛先IPアドレスやポート番号と一致するか否かによって、VPNゲートウェイ220が送信したパケットの応答であるか否か確認することができる。アクセス制御部231は、VPNゲートウェイ220が送信したパケットの応答でないことを確認したら、そのパケットを破棄する。すなわち、通信を遮断する。
【0047】
次いで、ウィルスチェック部233は、パケットのデータについて、ウィルスパターンデータベース234に記載されているパターンデータにもとづいてウィルスチェックを実行する(ステップS22)。ウィルスを発見した場合には、通信を切断する。ウィルスを発見しない場合には、パケットをVPNゲートウェイ220に引き渡す。
【0048】
VPNゲートウェイ220において、利用者PCアドレス変換部224は、通信のIPヘッダにおける宛先IPアドレスを、VPNゲートウェイ220のIPアドレスから、利用者PC120のIPアドレスに変換する(ステップS23)。VPN通信部223は、パケットのデータを暗号化し、VPNヘッダを付加して、入力側ファイアウォール210に出力する(ステップS24)。なお、VPNヘッダに関する宛先IPアドレスとして入力側ファイアウォール210のIPアドレスが設定される。
【0049】
入力側ファイアウォール210において、アドレス変換部213は、VPNヘッダに関する宛先IPアドレスを、入力側ファイアウォール210のIPアドレスから利用者PC120のIPアドレスに変換する(ステップS25)。アクセス制御部211は、入力したパケットがVPN通信によるものであるか否かチェックする(ステップS26)。そして、VPN通信によるものであることを確認したら、パケットをインターネット40に送出する。
【0050】
入力側ファイアウォール210から送出されたパケットは、インターネット40および無線LANアクセスポイント11を介して利用者PC120に到達する。利用者PC120はVPN通信ソフトウェア123に従って、パケットのVPNヘッダを外し、データを復号する(ステップS27)。
【0051】
以上に説明したように、上記の実施の形態のインターネット接続システムによれば、利用者が特に意識することなく、VPN通信ソフトウェア123によってセキュアアクセスポイント200経由で通信が行われ、セキュアアクセスポイント200において、不正アクセスやウィルスが混入した通信を遮断する。従って、利用者が意識することなく安全性が高いインターネット接続を行うことができる。
【0052】
また、パーソナルコンピュータのOSの中にはVPN通信機能を持つものもあるが、OS毎に仕様が異なって、そのようなVPN通信機能を使用するとVPNゲートウェイト220と通信できないという可能性もある。しかし、上記の実施の形態では、VPN通信ソフトウェア123がセキュアアクセスポイント200を運営するサービス会社等から配布されるので、接続仕様を一定にすることができ、どのような利用者環境からもVPNゲートウェイト220と通信できる。
【0053】
なお、上記の実施の形態では、不特定多数の端末装置がインターネットに接続可能な利用者環境として無線LANアクセスポイント11が設置された公衆無線LAN環境を例示したが、不特定多数の端末装置がインターネットに接続可能な利用者環境は公衆無線LAN環境に限られず、他の形態のモバイル環境でも本発明を適用することができる。さらには、モバイル環境ではなく、固定的なインターネット接続環境でも本発明を適用することができる。
【0054】
また、上記の実施の形態では、インターネットを利用する端末装置としてパーソナルコンピュータを例示したが、端末装置はパーソナルコンピュータに限られず、PDA等の他の端末装置であってもよい。
【産業上の利用可能性】
【0055】
本発明は、VPN通信によるセキュアな通信環境を端末装置に提供できるシステムであって、特に、不特定多数の端末装置がインターネットに接続可能な利用者環境から端末装置がインターネットを介して通信を行う際のセキュリティを確保する場合に効果的に適用できる。
【図面の簡単な説明】
【0056】
【図1】本発明によるインターネット接続システムの構成例を示すブロック図である。
【図2】利用者PCの構成例を示すブロック図である。
【図3】入力側ファイアウォールの構成例を示すブロック図である。
【図4】VPNゲートウェイの構成例を示すブロック図である。
【図5】利用者認証データベースの登録データ例を示す説明図である。
【図6】出力側ファイアウォールの構成例を示すブロック図である。
【図7】ウィルスパターンデータベースの登録データ例を示す説明図である。
【図8】パケットのフォーマットを示す説明図である。
【図9】パケットのフォーマットを示す説明図である。
【図10】セキュアなインターネット接続サービスが開始されるまでの動作を示すフローチャートである。
【図11】インターネット接続サービス提供時の送信動作を示すフローチャートである。
【図12】インターネット接続サービス提供時の受信動作を示すフローチャートである。
【符号の説明】
【0057】
10 利用者環境
11 無線LANアクセスポイント
30 VPNトンネル
40 インターネット
120 利用者PC
123 VPN通信ソフトウェア
200 セキュアアクセスポイント
210 入力側ファイアウォール
220 VPNゲートウェイ
230 出力側ファイアウォール
211 アクセス制御部
212 アクセス制御リスト
213 アドレス変換部
221 利用者認証部
222 利用者認証データベース
223 VPN通信部
224 利用者PCアドレス変換部
231 アクセス制御部
232 アクセス制御リスト
233 ウィルスチェック部
234 ウィルスパターンデータベース
【特許請求の範囲】
【請求項1】
不特定多数の端末装置がインターネットに接続可能な利用者環境から端末装置がインターネットを介して通信を行う際のセキュリティを確保するインターネット接続システムであって、
前記端末装置はVPN通信機能を有し、
インターネットに接続可能であって、前記端末装置との間にVPNトンネルを形成するVPNゲートウェイを含むセキュアアクセスポイントを備えた
ことを特徴とするインターネット接続システム。
【請求項2】
不特定多数の端末装置がインターネットに接続可能な利用者環境は、無線LANアクセスポイントが設置された公衆無線LAN環境である
請求項1記載のインターネット接続システム。
【請求項3】
セキュアアクセスポイントは、
端末装置からVPN通信によって受信した暗号データを含むパケットをVPNゲートウェイに出力するとともに、前記VPNゲートウェイから出力された暗号データを含むパケットを前記端末装置に宛ててインターネットに送出する入力側ファイアウォールと、
前記VPNゲートウェイから出力されたパケットを前記端末装置の通信相手に宛ててインターネットに送出するとともに、前記通信相手から受信した応答のパケットを前記VPNゲートウェイに出力する出力側ファイアウォールとを含む
請求項1または請求項2記載のインターネット接続システム。
【請求項4】
端末装置は、送信元IPアドレスとして自装置のIPアドレスを設定し宛先IPアドレスとしてVPNゲートウェイのIPアドレスを設定したIPヘッダが、暗号化されたデータに対して付加されたパケットを送信し、
入力側ファイアウォールは、前記端末装置から受信したパケットのIPヘッダにおける送信元IPアドレスを入力側ファイアウォールのIPアドレスに変換するとともに、前記VPNゲートウェイから入力したパケットのIPヘッダにおける宛先IPアドレスを入力側ファイアウォールのIPアドレスから端末装置のIPアドレスに変換するアドレス変換部を含み、
前記VPNゲートウェイは、出力側ファイアウォールから入力したパケットを暗号化し、送信元IPアドレスとしてVPNゲートウェイのIPアドレスを設定し宛先IPアドレスとして入力側ファイアウォールのIPアドレスを設定したIPヘッダが付加されたパケットを作成するVPN通信部と、VPN通信部が作成したパケットを前記入力側ファイアウォールに出力するアクセス制御部とを含む
請求項3記載のインターネット接続システム。
【請求項5】
VPN通信部は、入力側ファイアウォールから入力したパケットについて復号を行い、
VPNゲートウェイは、前記VPN通信部の復号によって得られたパケットにおけるIPヘッダに設定されている送信元IPアドレスを端末装置のIPアドレスからVPNゲートウェイのIPアドレスに変換するとともに、出力側ファイアウォールから入力したパケットにおけるIPヘッダに設定されている宛先IPアドレスをVPNゲートウェイのIPアドレスから端末装置のIPアドレスに変換するアドレス変換部を含む
請求項4記載のインターネット接続システム。
【請求項6】
出力側ファイアウォールは、入出力するデータのウィルスチェックを行うウィルスチェック部を含む
請求項3から請求項5のうちのいずれか1項に記載のインターネット接続システム。
【請求項7】
不特定多数の端末装置がインターネットに接続可能な利用者環境から端末装置がインターネットを介して通信を行う際のセキュリティを確保するインターネット接続方法であって、
前記端末装置が、VPN通信機能を実現するためのVPN通信ソフトウェアをインストールし、
前記端末装置が、前記VPN通信ソフトウェアに従って、宛先アドレスとしての通信相手のIPアドレスを含むデータを暗号化したデータに対して、宛先アドレスとしてのVPNゲートウェイのIPアドレスを付加したパケットをインターネットに送出し、
前記VPNゲートウェイが、前記端末装置から受信されたパケットについて復号を行い、復号して得られた通信相手のIPアドレスに宛てて、復号して得られたパケットをインターネットに送出する
ことを特徴とするインターネット接続方法。
【請求項8】
不特定多数の端末装置がインターネットに接続可能な利用者環境からの、端末装置がインターネットを介して通信を行う際のセキュリティを確保するためのインターネット接続プログラムであって、
前記端末装置との間にVPNトンネルを形成するサーバに、
前記端末装置から受信した暗号化されたデータを復号させ、
復号して得られた通信相手のIPアドレスに宛てて、復号して得られたパケットをインターネットに送出させる
インターネット接続プログラム。
【請求項1】
不特定多数の端末装置がインターネットに接続可能な利用者環境から端末装置がインターネットを介して通信を行う際のセキュリティを確保するインターネット接続システムであって、
前記端末装置はVPN通信機能を有し、
インターネットに接続可能であって、前記端末装置との間にVPNトンネルを形成するVPNゲートウェイを含むセキュアアクセスポイントを備えた
ことを特徴とするインターネット接続システム。
【請求項2】
不特定多数の端末装置がインターネットに接続可能な利用者環境は、無線LANアクセスポイントが設置された公衆無線LAN環境である
請求項1記載のインターネット接続システム。
【請求項3】
セキュアアクセスポイントは、
端末装置からVPN通信によって受信した暗号データを含むパケットをVPNゲートウェイに出力するとともに、前記VPNゲートウェイから出力された暗号データを含むパケットを前記端末装置に宛ててインターネットに送出する入力側ファイアウォールと、
前記VPNゲートウェイから出力されたパケットを前記端末装置の通信相手に宛ててインターネットに送出するとともに、前記通信相手から受信した応答のパケットを前記VPNゲートウェイに出力する出力側ファイアウォールとを含む
請求項1または請求項2記載のインターネット接続システム。
【請求項4】
端末装置は、送信元IPアドレスとして自装置のIPアドレスを設定し宛先IPアドレスとしてVPNゲートウェイのIPアドレスを設定したIPヘッダが、暗号化されたデータに対して付加されたパケットを送信し、
入力側ファイアウォールは、前記端末装置から受信したパケットのIPヘッダにおける送信元IPアドレスを入力側ファイアウォールのIPアドレスに変換するとともに、前記VPNゲートウェイから入力したパケットのIPヘッダにおける宛先IPアドレスを入力側ファイアウォールのIPアドレスから端末装置のIPアドレスに変換するアドレス変換部を含み、
前記VPNゲートウェイは、出力側ファイアウォールから入力したパケットを暗号化し、送信元IPアドレスとしてVPNゲートウェイのIPアドレスを設定し宛先IPアドレスとして入力側ファイアウォールのIPアドレスを設定したIPヘッダが付加されたパケットを作成するVPN通信部と、VPN通信部が作成したパケットを前記入力側ファイアウォールに出力するアクセス制御部とを含む
請求項3記載のインターネット接続システム。
【請求項5】
VPN通信部は、入力側ファイアウォールから入力したパケットについて復号を行い、
VPNゲートウェイは、前記VPN通信部の復号によって得られたパケットにおけるIPヘッダに設定されている送信元IPアドレスを端末装置のIPアドレスからVPNゲートウェイのIPアドレスに変換するとともに、出力側ファイアウォールから入力したパケットにおけるIPヘッダに設定されている宛先IPアドレスをVPNゲートウェイのIPアドレスから端末装置のIPアドレスに変換するアドレス変換部を含む
請求項4記載のインターネット接続システム。
【請求項6】
出力側ファイアウォールは、入出力するデータのウィルスチェックを行うウィルスチェック部を含む
請求項3から請求項5のうちのいずれか1項に記載のインターネット接続システム。
【請求項7】
不特定多数の端末装置がインターネットに接続可能な利用者環境から端末装置がインターネットを介して通信を行う際のセキュリティを確保するインターネット接続方法であって、
前記端末装置が、VPN通信機能を実現するためのVPN通信ソフトウェアをインストールし、
前記端末装置が、前記VPN通信ソフトウェアに従って、宛先アドレスとしての通信相手のIPアドレスを含むデータを暗号化したデータに対して、宛先アドレスとしてのVPNゲートウェイのIPアドレスを付加したパケットをインターネットに送出し、
前記VPNゲートウェイが、前記端末装置から受信されたパケットについて復号を行い、復号して得られた通信相手のIPアドレスに宛てて、復号して得られたパケットをインターネットに送出する
ことを特徴とするインターネット接続方法。
【請求項8】
不特定多数の端末装置がインターネットに接続可能な利用者環境からの、端末装置がインターネットを介して通信を行う際のセキュリティを確保するためのインターネット接続プログラムであって、
前記端末装置との間にVPNトンネルを形成するサーバに、
前記端末装置から受信した暗号化されたデータを復号させ、
復号して得られた通信相手のIPアドレスに宛てて、復号して得られたパケットをインターネットに送出させる
インターネット接続プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2006−33443(P2006−33443A)
【公開日】平成18年2月2日(2006.2.2)
【国際特許分類】
【出願番号】特願2004−209756(P2004−209756)
【出願日】平成16年7月16日(2004.7.16)
【出願人】(000232140)NECフィールディング株式会社 (373)
【Fターム(参考)】
【公開日】平成18年2月2日(2006.2.2)
【国際特許分類】
【出願日】平成16年7月16日(2004.7.16)
【出願人】(000232140)NECフィールディング株式会社 (373)
【Fターム(参考)】
[ Back to top ]