リモートアクセスシステム、方法及びプログラム
【課題】セキュリティを確保しつつ、アクセス端末の収容数が増加しても性能が低下することのないリモートアクセスシステムを提供すること。
【解決手段】リモートアクセスシステムは、リモート端末30と、リモート端末30からの接続を収容するアクセスサーバ40と、リモート端末30とアクセスサーバ40とを論理的に接続する第1及び第2の論理回線51、52とを備える。リモート端末30は、フローを分類するフロー検索処理部31を備える。アクセスサーバ40は、フローの通過の可否を判定する通過判定処理部42と、フローを分類するフロー検索処理部41とを備える。第1の論理回線51は、アクセスサーバ40による通過の可否の判定を要するフローに含まれるパケットの転送に用いられる。第2の論理回線52は、アクセスサーバ40によって通過の許可がされたフローに含まれるパケットの転送に用いられる。
【解決手段】リモートアクセスシステムは、リモート端末30と、リモート端末30からの接続を収容するアクセスサーバ40と、リモート端末30とアクセスサーバ40とを論理的に接続する第1及び第2の論理回線51、52とを備える。リモート端末30は、フローを分類するフロー検索処理部31を備える。アクセスサーバ40は、フローの通過の可否を判定する通過判定処理部42と、フローを分類するフロー検索処理部41とを備える。第1の論理回線51は、アクセスサーバ40による通過の可否の判定を要するフローに含まれるパケットの転送に用いられる。第2の論理回線52は、アクセスサーバ40によって通過の許可がされたフローに含まれるパケットの転送に用いられる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、リモートアクセスシステム、方法及びプログラムに関し、特に、公衆回線を利用したVPN(Virtual Private Network)接続によってリモート端末から私設網へアクセスする際のアクセス制御を行なうリモートアクセスシステム、方法及びプログラムに関する。
【背景技術】
【0002】
特許文献1は、従来のファイアウォール処理の一例を示している。かかる従来技術においては、プレ・フィルタリング・モジュールを設けてファイアウォールの負荷を軽減させている。プレ・フィルタリング・モジュールは、ファイアウォールによって以前に可能
となった接続からパケットが受信されるかどうかに従って、パケットに関し制限された一連のアクションを実行する。パケットがそのように可能となった接続から受信されるならば、プレ・フィルタリング・モジュールは、パケット上で随意に1又はそれ以上のアクションを実行して、それらの宛先へパケットを転送する。そうでなければ、パケットは処理のためにファイアウォールへ転送される。1度ファイアウォールが、プレ・フィルタリング・モジュールの接続に対する責任を移す、あるいは接続を「オフロードされる」ならば、接続の間にタイムアウトが生じるまで、もしくはセッションが終了したことを示す特定のセッション制御フィールド値で受信されるまで、ファイアウォールがさらなるパケッ
トを受信しない、つまりパケットは接続が閉じられる。
【0003】
従来のVPN接続におけるアクセス制御の一例を説明する。図10は、従来のリモートアクセスシステムの構成を示すブロック図である。ファイアウォールを設置することによって、リモートからVPNアクセスサーバ410を介してLAN20にアクセスするトラヒックが特定のサーバ300へのアクセスすることを制限する。かかるシステム(図10)は、一般的なVPNアクセス手段と市販のファイアウォール装置とを組み合わせることによって構成することができる。図10においては、フィルタ装置500がファイアウォール装置に相当する。フィルタ装置500は、ファイアウォール機能によってポリシーを参照し、トラヒックの通過の可否を判定する。ここで、フィルタ装置500の構成は、例えば、特許文献1に示す構成とすることもできる。
【0004】
【特許文献1】特表2003−525557号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
以下の分析は、本発明者によってなされたものである。図10のリモートアクセスシステムの構成における問題点について説明する。図10を参照すると、VPNリモート端末400−1〜400−Nのアクセスが集中する箇所にフィルタ装置500が設けられている。したがって、フィルタ装置500がアクセス制御において行うポリシーテーブルの照合処理の負荷が高くなり、アクセス性能が低下するという問題がある。このフィルタ処理における性能を向上させる上で、特許文献1の方法は有効であるものの、フィルタ処理が1箇所に集中する点は改善されていない。したがって、VPNリモート端末400−1〜400−Nの数が増加した場合又は多数のアクセストラヒックが集中した場合には、性能がスケーラブルでないという問題がある。そこで、VPNアクセス数に対してスケーラブルなアクセス制御が望まれる。
【0006】
一方、フィルタ機能をVPNリモート端末400−1〜400−Nに配置する構成を採用した場合には、フィルタ処理が一箇所に集中しないため、アクセスサーバ側での処理負荷は軽減される。しかしながら、VPNリモート端末400−1〜400−Nがポリシーを勝手に書き換え、管理者によるポリシー設定を無視してトラヒックを送信してくるおそれもあるため、ネットワークセキュリティの観点から望ましくないという問題がある。
【0007】
そこで、セキュリティを確保しつつ、アクセス端末の収容数が増加しても性能が低下することのないリモートアクセスシステム、方法及びプログラムを提供することが課題となる。特に、VPNアクセストラヒックに対して、セキュリティを確保しつつ、アクセス端末の収容数が増加しても性能を低下させることなくLANへのアクセス制御を実現するリモートアクセスシステム、方法及びプログラムを提供することが課題となる。
【課題を解決するための手段】
【0008】
本発明の第1の視点に係るリモートアクセスシステムは、
リモート端末と、
前記リモート端末からの接続を収容するアクセスサーバと、
前記リモート端末と前記アクセスサーバとを論理的に接続する第1及び第2の論理回線とを備えるリモートアクセスシステムであって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、
前記第1の論理回線は、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットの転送に用いられ、
前記第2の論理回線は、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットの転送に用いられることを特徴とする。
【0009】
第1の展開形態のリモートアクセスシステムは、
前記リモート端末における前記フロー検索処理部が、フローを分類し、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されることが好ましい。
【0010】
第2の展開形態のリモートアクセスシステムは、
前記アクセスサーバが、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、
前記アクセスサーバにおける前記通過判定処理部が、前記第1の論理回線を介して受信したパケットに対して通過の可否を判定し、通過を許可する場合には、該パケットが属するフローの情報を前記アクセスサーバにおける前記フロー検索処理部に登録するように構成されることが好ましい。
【0011】
第3の展開形態のリモートアクセスシステムは、
前記アクセスサーバにおける前記フロー検索処理部が、前記リモート端末に送信すべきパケットが属するフローを分類し、通過の可否の判定が不要である場合には、該フローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、通過の可否の判定が必要である場合には、前記通過判定処理部によって該フローに対する通過の判定を行なった後に前記第1の論理回線を介して前記リモート端末に送信するように構成されることが好ましい。
【0012】
第4の展開形態のリモートアクセスシステムは、
前記リモート端末における前記フロー検索処理部によって参照されるフロー情報が、前記第2の論理回線を介して受信したパケットが属するフロー情報に基づいて、前記リモート端末に設けたフローテーブルに自動登録されることが好ましい。
【0013】
第5の展開形態のリモートアクセスシステムは、
前記アクセスサーバにおける前記フロー検索処理部によって参照されるフロー情報が、前記通過判定処理部によって通過が許可された場合に、前記アクセスサーバに設けたフローテーブルに登録されることが好ましい。
【0014】
本発明の第2の視点に係るリモート端末は、
アクセスサーバによって接続を収容され、該アクセスサーバと第1及び第2の論理回線によって論理的に接続されたリモート端末であって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されたことを特徴とする。
【0015】
本発明の第3の視点に係るアクセスサーバは、
リモート端末からの接続を収容し、該リモート端末と第1及び第2の論理回線によって論理的に接続されたアクセスサーバであって、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、自身によって通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線介して前記リモート端末に送信し、自身によって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記リモート端末に送信するように構成されたことを特徴とする。
【0016】
本発明の第4の視点に係るリモートアクセス方法は、
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス方法であって、
前記リモート端末によって、フローを分類する工程と、
前記リモート端末によって、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバによって、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とする。
【0017】
本発明の第5の視点に係るリモートアクセス方法は、
リモート端末からアクセスサーバへのリモートアクセス方法であって、
フローを分類する工程と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、を含むことを特徴とする。
【0018】
本発明の第6の視点に係るリモートアクセス方法は、
アクセスサーバからリモート端末へのリモートアクセス方法であって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とする。
【0019】
本発明の第7の視点に係るリモートアクセスプログラムは、
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス処理を、該リモート端末及び該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させるとともに、
前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とする。
【0020】
本発明の第8の視点に係るリモートアクセスプログラムは、
リモート端末からアクセスサーバへのリモートアクセス処理を、該リモート端末に備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させることを特徴とする。
【0021】
本発明の第9の視点に係るリモートアクセスプログラムは、
アクセスサーバからリモート端末へのリモートアクセス処理を、該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とする。
【発明の効果】
【0022】
本発明によって、セキュリティを確保しつつ、アクセス端末の収容数が増加しても性能が低下することのないリモートアクセスシステム、方法及びプログラムを提供することができる。リモート端末と、該リモート端末から受信したフローをフィルタ処理するアクセスサーバと、を備えるリモートアクセスシステムであって、
前記リモート端末及び前記アクセスサーバは、前記アクセスサーバによって前記端末から受信したフローの通過の許可がされた場合には、前記許可がされたフローのフィルタ処理を負荷分散するように構成されたことを特徴とするリモートアクセスシステム。
【発明を実施するための最良の形態】
【0023】
(実施形態1)
本発明の第1の実施形態に係るリモートアクセスシステムについて図面を参照して説明する。図1は、本実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
【0024】
リモートアクセスシステムは、図1を参照すると、リモート端末30と、リモート端末30からの接続を収容するアクセスサーバ40と、リモート端末30とアクセスサーバ40とを論理的に接続する第1及び第2の論理回線51、52とを備える。リモート端末30は、フローを分類するフロー検索処理部31を備える。アクセスサーバ40は、フローの通過の可否を判定する通過判定処理部42と、フローを分類するフロー検索処理部41とを備える。第1の論理回線51は、アクセスサーバ40による通過の可否の判定を要するフローに含まれるパケットの転送に用いられる。第2の論理回線52は、アクセスサーバ40によって通過の許可がされたフローに含まれるパケットの転送に用いられる。
【0025】
リモート端末30におけるフロー検索処理部31は、フローを分類し、アクセスサーバ40による通過の可否の判定を要するフローに含まれるパケットを第1の論理回線51を介してアクセスサーバ40に送信し、アクセスサーバ40によって通過の許可がされたフローに含まれるパケットを第2の論理回線52を介してアクセスサーバ40に送信することが好ましい。
【0026】
アクセスサーバ40は、第2の論理回線52を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、
通過判定処理部42は、第1の論理回線51を介して受信したパケットに対して通過の可否を判定し、通過を許可する場合には、該パケットが属するフローの情報をフロー検索処理部41に登録することが好ましい。
【0027】
アクセスサーバ40におけるフロー検索処理部41は、リモート端末30に送信すべきパケットが属するフローを分類し、通過の可否の判定が不要である場合には、該フローに属するパケットを第2の論理回線52を介してリモート端末30に送信し、通過の可否の判定が必要である場合には、通過判定処理部42によって該フローに対する通過の判定を行なった後に第1の論理回線51を介してリモート端末30に送信することが好ましい。
【0028】
リモート端末30におけるフロー検索処理部31によって参照されるフロー情報は、第2の論理回線52を介して受信したパケットが属するフロー情報に基づいて、リモート端末30に設けたフローテーブルに自動登録されることが好ましい。
【0029】
アクセスサーバ40におけるフロー検索処理部41によって参照されるフロー情報は、通過判定処理部42によって通過が許可された場合に、アクセスサーバ40に設けたフローテーブルに登録されることが好ましい。
【0030】
また、本実施形態に係るリモートアクセスシステムにおける上記の各部の処理を、リモートアクセスプログラムによって、コンピュータに実行させてもよい。かかる場合のリモートシステムの構成図を図11に示す。すなわち、リモートアクセスプログラムは、図11を参照すると、リモート端末60と、リモート端末60からの接続を収容するアクセスサーバ70と、リモート端末60とアクセスサーバ70とを論理的に接続する第1及び第2の論理回線51、52とを備えるリモートアクセスシステムにおけるリモートアクセス処理をリモート端末60及びアクセスサーバ70に備えたCPU61、71に実行させるリモートアクセスプログラムである。リモートアクセスプログラムは、リモート端末60において、フローを分類する処理をリモート端末60に備えたCPU61に実行させる。また、リモートアクセスプログラムは、リモート端末60において、アクセスサーバ70による通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介してアクセスサーバ70に送信するとともに、アクセスサーバ70によって通過の許可がされたフローに含まれるパケットを第2の論理回線52を介してアクセスサーバ70に送信する処理と、をリモート端末60に備えたCPU61に実行させる。さらに、リモートアクセスプログラムは、アクセスサーバ70において、第2の論理回線52を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、アクセスサーバ70に備えたCPU71に実行させる。
【0031】
(実施形態2)
本発明の第2の実施形態にリモートアクセスシステムについて図面を参照して説明する。本実施形態は、VPNを用いたリモートアクセスに関するものである。図2は、本実施形態のリモートアクセスシステムの構成を示すブロック図である。リモートアクセスシステムは、VPNリモート端末100−1〜100〜NとVPNアクセスサーバ200とを備え、これらは、公衆回線10を介して相互に接続される。
【0032】
VPNアクセスサーバ200に設けたアクセス制御部は、フローの通過の判定を行なうとともに、一旦通過可と判定したフローについては、VPNリモート端末100−i(i=1〜N)及びVPNアクセスサーバ200に設けたフローテーブルにフロー情報を登録する。通過判定済のフローは、通過判定済みであるに応じて、VPN12−iを利用して転送することによって、VPNリモート端末100−iとVPNアクセスサーバ200とが協調して通過判定処理を行う。
【0033】
VPNアクセスサーバ200において通過判定と判断されたフローは、VPNリモート端末100−i内のフローエントリにしたがって、VPN12−iを使ってVPNアクセスサーバ200に転送する。一方、VPNアクセスサーバ200は、VPN12−iからトラヒックを受信した場合には、通過判定済みであるとして通過判定処理をスキップ(省略)する。一方、LAN20から受信したトラヒックに対しては、VPNアクセスサーバ200は、通過判定済みのフローであるか否かを検索し、判定済みのフローであれば、VPN12−iを使ってVPNリモート端末100−iに転送し、通過判定済みであることを通知する。以上により、VPNアクセスサーバ200内のポリシーテーブルとの比較処理(通過判定処理)の処理回数を削減し、VPNリモート端末100−i及びVPNアクセスサーバ200のそれぞれに設けたフロー検索処理部によって通過判定処理を分散処理することでVPNアクセスサーバ200の処理負荷を軽減する。
【0034】
本実施形態によれば、VPNアクセスサーバ200の通過判定処理において、ポリシーテーブルの参照による判定処理を最初の数パケットに対してのみ行い、通過判定済みのフローについてはVPNリモート端末100−1〜100−N及びVPNアクセスサーバ200に設けたフローテーブルを参照して転送されるため、VPNアクセスサーバ200におけるポリシーテーブルの検索に要する処理負荷を軽減することができ、アクセス処理が集中した場合であってもアクセス性能の低下を防ぐことができる。
【0035】
(実施形態3)
次に、本発明の第3の実施形態について図面を参照して詳細に説明する。図2は、本実施形態に係るVPNリモートアクセスシステムの構成を示す。VPNアクセスサーバ200は、LAN20と公衆回線10とに接続される。VPNアクセスサーバ200は、公衆回線(インターネット等を含む)10を介してVPNリモート端末100−1〜100−Nとの間に、VPN11−1〜11−NとVPN12−1〜12−Nとを確立している。VPNリモート端末100−1〜100−Nは、このVPNを介して、LAN20に接続されたサーバ300のサービスを利用することが可能になる。なお、Nはリモート端末の個数を表し、本実施形態においてNは任意の数である。
【0036】
図3は、本実施形態におけるVPNリモート端末100とVPNアクセスサーバ200の構成を示す。VPNリモート端末100は、VPN終端処理部110、アクセス制御部120、プロトコル処理部130、アプリケーション140を備える。VPNアクセスサーバ200は、VPN終端処理部210、アクセス制御部220を備える。VPNリモート端末100−1とVPNアクセスサーバ200は、VPN11−1及び12−1を介して接続されている。また、VPNアクセスサーバ200は、他のVPNリモート端末100−i(i=2〜N)とVPN11−i及び12−iを介して接続されている。また、VPNアクセスサーバ200はLAN21によってLAN20に接続されている。
【0037】
図4は、本実施形態のVPNリモート端末100の構成を示すブロック図である。アクセス制御部120は、フロー情報抽出処理部121、多重処理部123、フロー検索処理部124、フローテーブル125を備える。アクセス制御部120は、VPN終端処理部110によって終端される2本のVPN11、12と接続される。
【0038】
フロー情報抽出処理部121はVPN12からフロー情報を抽出し、フローテーブル125に登録する。フロー検索処理部124は、フローテーブル125を参照し、プロトコル処理部130から受信するデータを検索して、VPN11宛又はVPN12宛のいずれであるかの判定を行なう。多重処理部123はフロー情報抽出処理部121からの出力データとVPN11からの受信データとを多重してプロトコル処理部130へ出力する。
【0039】
図5に本実施形態におけるVPNアクセスサーバ200のアクセス制御部220の構成を示す。アクセス制御部220は、通過判定処理221、ポリシーテーブル222、多重処理部223、フロー検索処理部224、フローテーブル225を備える。
【0040】
通過判定処理部221は、VPN11からのデータを受信し、ポリシーテーブル222に従って、通過の判定を行なう。通過の判定は、パケットヘッダ(IP、TCP、UDPなど)の情報に基づいて行なう。通過判定の結果、通過するものと判定し、かつリモート端末100との間で分担してアクセス制御をすると判断したフローについては、フローテーブル225にフロー情報を登録する。多重処理部223は、通過判定処理221の出力とVPN12からの受信データを多重してLAN21に出力する。フロー検索処理部224は、LAN21からの受信データのヘッダに基づいてフロー検索を実施する。フロー検索はフローテーブル225を参照して行なわれる。検索の結果、リモート端末100と分担してアクセス制御をすると判断した場合にはVPN12へ受信データを送信し、通過判定処理221でパケットを参照する場合又はリモート端末100と分担を行なわない場合にはVPN11へ受信データを送信する。
【0041】
図6は、フローテーブル125、225のエントリの一例を示す。リモート端末100のフローテーブル125の内容は、リモート端末100自身のIPアドレスを示す送信元IPアドレス、通信先のIPアドレスを示す宛先IPアドレス、レイヤ4のプロトコル種別、レイヤ4の宛先及び送信元ポート番号をキーとして格納しており、対応するアクションとして、VPN12に渡すか又はVPN11に渡すかが記載されている。また、有効期限欄には、そのエントリがいつまで有効であるのかを示す時刻情報(時刻変数)が記録されている。
【0042】
VPNアクセスサーバ200のフローテーブル225の内容もほぼ同様である。LAN側のトラヒックに対して検索するので、宛先IPアドレスはリモート端末100のIPアドレスを示し、送信元IPアドレスはトラヒック送信元であるサーバ300、レイヤ4の送信元ポート番号はサーバ300のポート番号、宛先ポート番号はリモート端末100によって割り当てられたポート番号となる。また、出力アクションにおいてVPN12か11に渡すか否かの情報が格納され、有効期限も記録される。
【0043】
なお、VPNリモート端末100、VPNアクセスサーバ200の機能は、CPU上で動作するプログラム(ソフトウェア)として実現されてもよく、また、ハードウェア回路として実現されてもよい。
【0044】
さらに、本説明ではVPN11、VPN12のように2本の回線を利用しているが、これらは物理的に異なる回線である必要はなく、論理的に識別できる複数の回線であればよい。たとえばIPSecやSSL−VPNにより確立される1本のVPN上に多重された二種類のVLAN(仮想LAN)回線や、MPLS(MultiProtocol Label Switching)回線や、あるいはIPヘッダのTOSフィールドと呼ばれる付加情報ビットを用いた識別でもよい。このような、論理的に区分できる回線を利用することでVPN終端処理110、120の間に2本の論理回線を確立することができ、本実施形態に係るリモートアクセスシステムにおいては、かかる論理回線を利用するものとする。
【0045】
VPNリモート端末100とVPNアクセスサーバ200の動作について、図7のシーケンス図を参照して説明する。ここでは、VPNリモート端末100内のアプリケーション140(図3)が、新たなフローのデータをVPNを介してサーバ300(図2)に送信する場合を考える。このとき、アプリケーション140は、プロトコル処理部130を介してアクセス制御部120にデータを渡す(S301)。まず、フロー検索処理部124は、パケットヘッダ情報に基づいて検索を行なう。フロー検索処理部124は、検索の結果、新規のフローであると判定するため、ミスヒットとなる。そこで、フロー検索処理部124は、VPN終端処理部110に対してVPN11を選択するよう指示する(S302)。VPN終端処理部110は、本データに対して、VPN終端処理を施した後、VPN11を介してVPNアクセスサーバ200に送信する(S303)。VPN終端処理部110は、例えば、オリジナルのLANパケットに対し、リモート端末100とサーバ300との間で利用する付加情報(ヘッダ)を付加し、さらにIPSecやSSLなどの暗号化を施し、公衆回線(インターネット等)で転送可能なIPアドレスを付加して送信する。
【0046】
VPNアクセスサーバ200のVPN終端処理部210は、VPNデータを終端してオリジナルのLANパケットを抽出し、通過判定処理部221に送信する(S304)。次に、通過判定処理部221は、パケットを検査して通過させるか否かを判定する。通過判定は、ポリシーテーブル222を参照して行われる。通過判定処理部221は、パケットの情報(ヘッダ、ペイロード)とポリシーテーブル222に登録されている通過条件とを比較することによって判定を行う。通過判定処理部221は、例えば、IPアドレスの送信元、宛先アドレスと、プロトコルフィールド(TCP、UDPなど)、レイヤ4のポート番号(TCPの場合は宛先、送信元ポート番号)によって通過判定を行う。通過判定処理部221は、通過と判定した場合には、多重処理部223に対してパケットを送信し(S305)、多重処理部223は、受信したパケットをLANに出力する(S307)。さらに、本実施形態の方式によって、リモート端末100との間でアクセス制御を分担する場合には、フロー識別情報をフローテーブル225に登録する(S306)。
【0047】
次に、逆向きのトラヒックをLAN20から受信した場合の動作ついて図面を参照して説明する。VPNアクセスサーバ200は、LAN20からパケットを入力すると、フロー検索処理部224によってフロー検索を行なう(S308)。ステップS306においてフローテーブル225にフローエントリが登録されている。したがって、フロー検索処理部224における検索の結果はヒットとなるため、フロー検索処理部224はVPN12を選択する(S309)。VPN終端処理部210は、カプセル化、暗号化を行い、VPN12を介してVPNリモート端末100にパケットを送信する(S310)。
【0048】
VPNリモート端末100のVPN終端処理部110は、VPN12からデータを受信すると、フロー情報抽出処理部121によってパケットヘッダのフロー情報を抽出し、そのフロー情報がフローテーブル125に未登録である場合には登録処理を行う(S312)。また、VPN終端処理部110によってVPN終端をすることによって取り出されたオリジナルパケットデータは、プロトコル処理部130を経由してアプリケーションに渡される(S311)。
【0049】
次に、この状態において、リモート端末100からVPNアクセスサーバ200へ向けて送出された同一フローに属するパケットの処理について説明する。VPNリモート端末100は、プロトコル処理部130からLAN20に向かうパケットを受信すると(S313)、フロー検索処理部124によってフロー検索を行なう。ステップS312において、フローの登録を行なっているため、フロー検索処理部124におけるフロー検索はヒットする(S314)。ここで、フロー検索がヒットしたということは、かかるフローはVPNアクセスサーバ200によって通過を許可されているフローであり、VPNアクセスサーバ200によって通過判定処理を行う必要がないフローである、ということを示す。フロー検索処理部124は、パケットをVPN終端処理部110に送信する(S314)。このヒットしたパケットについては、VPN終端処理部110は、VPN終端処理によってカプセル化、暗号化を行なった後、VPN12に送信する(S315)。この点において、上記のステップS303とは異なっている。
【0050】
VPNアクセスサーバ200のVPN終端処理部210は、本パケットのカプセル処理、暗号データの復号処理を行ってオリジナルのパケットを取り出す。さらに、VPN終端処理部210は、VPN12から受信したデータについては通過判定処理部221に送信することなく、直接多重処理部223へ送信する(S316)。多重処理部223は、受信したパケットをLANに送信する(S317)。
【0051】
一方、LAN20からVPNリモート端末100に向かうデータの処理、すなわち、ステップS318〜S321の処理は、上記のステップS308〜S311の処理と同様である。ただし、VPNリモート端末100のフロー情報抽出処理部121がフローテーブル125を確認するときに、すでに登録済みであるため、新たな登録を行なわない点のみが異なる。
【0052】
以上のように、VPNアクセスサーバ200とVPNリモート端末100とが動作することによって、通過判定に必要なポリシーテーブル222はVPNアクセスサーバ200に置いたまま、通過判定されたパケットについてはフロー検索処理部124とフロー検索処理部224との間で分担することでアクセス制御を実施することが可能になる。
【0053】
次に、図8のシーケンス図を参照してエントリの削除動作について説明する。図8のシーケンス図は、図7のシーケンス図の続きとする。すなわち、フローテーブル125にはフロー情報がすでに登録されている状態を考える。この状態において、VPNリモート端末100のアプリケーション140からLAN20の方向へ送出されたパケットは、ステップS313〜S317と同様の処理によってLAN20まで転送される(S331〜S335)。一方、逆向きのパケットは、ステップS318〜S321と同様なシーケンスによりLAN20からVPNリモート端末100まで転送される(S336〜S340)。
【0054】
ここで、フローテーブルエントリには有効期限が示されており、有効期限に示される時刻が到来するまで一度も参照されなかった場合には、フローテーブル125から削除される。一方、一度でも参照された場合には、有効期限を更新する。VPNアクセスサーバ200からVPN12を介して受信したフローがフローテーブル125に登録されているか否かを参照するようにしてもよい。また、VPNリモート端末100からVPNアクセスサーバ200に向けて送信されるトラヒックに対してフロー検索処理部124においてヒットした場合に、参照されたものと判定し、有効期限を更新するようにしてもよい。有効期限が過ぎた場合には、フローテーブル125から該当フローのエントリは削除される(S341)。
【0055】
後続の同一フローに属するデータを受信した場合(S342)、フローテーブル125にエントリがないため、フロー検索処理部124による検索はミスヒットとなる(S343)。この場合には、フロー検索処理部124はVPN11を選択する。フロー検索処理部124は、パケットをVPN終端処理部110に送信する(S344)。VPN終端処理部110は、パケットのカプセル化、暗号化を行ない、VPN11を利用してVPNアクセスサーバ200に対して送信する(S344)。
【0056】
VPNアクセスサーバ200のVPN終端処理部210は、VPN11を介して受信したデータについては、通過判定処理部221に送信する(S345)。通過判定処理部221は、アクセス制御の判定を行う。通過判定処理部221は、受信したフローを通過させるものと判定し、かつ、リモート端末100との間でアクセス制御を分担するものと判定した場合には、フローテーブル225に対してフロー情報を登録する(S347)。また、通過判定処理部221は、多重処理部223を経由して(S346)、パケットをLAN20に送信する(S348)。
【0057】
フロー検索処理部225は、LAN20からリモート端末100のアプリケーション140に向かう同一フローのパケットを受信する(S349)。かかるパケットはフローテーブル225にヒットするため(S349)、フロー検索処理部225は、VPN12を介してVPNリモート端末100にパケットを送信する(S350、S351)。
【0058】
VPNリモート端末100は、VPN12を介してパケットを受信すると、フロー情報抽出処理部121によってフロー情報を取り出し、フローテーブル125に登録する(S353)。また、パケットはプロトコル処理部130を経由してアプリケーション140に転送される(S352)。
【0059】
以上の動作によって、VPNリモート端末100はポリシー情報を明示的に保持することなく、VPNアクセスサーバ200からのデータのみに基づいて、アクセス制御を実施することができる。
【実施例】
【0060】
本発明の実施例に係るリモートアクセスシステムについて図面を参照して説明する。図9は、具体的なポリシーテーブル222の例を示す。図9のテーブルを参照しつつ、本実施例に係るリモートアクセスシステムの動作について説明する。
【0061】
図9のポリシーテーブル222においては、3つのエントリが記載されている。ポリシーテーブル222は優先度(priority)の順に参照され、最初に一致したポリシーが適用される。いま、リモート端末が10.1.1.100であるとし、この端末からIPアドレスが10.1.3.1であるホストに対してTCP通信により、宛先TCPポート番号80、送信元ポート番号1234によってアクセスすることを考える。
【0062】
図7のシーケンス図を参照して転送処理を説明する。フロー検索処理部124におけるフロー検索がミスヒットとなり、パケットは、VPN11を介してVPNアクセスサーバ200へ送られる。VPNアクセスサーバ200の通過判定処理部221は、ポリシーテーブル222を参照する。このとき、優先度=10のエントリに条件がマッチし、アクション(action)に基づいて、「通過」させる(allow)と判定する。
【0063】
通過判定処理部221は、「通過」と判定すると、フローテーブル225にエントリを登録する(S306)。図9のフローテーブルに示すように、リモート端末100のIPアドレス10.1.1.100、ホスト側のIPアドレス10.1.3.1、L4プロトコル(protocol)=TCP、ホスト側のTCPポート番号(dport)80、送信元ポート番号(sport)1234、というキーで構成されるエントリを作成する。さらに、このキーに対応して、出力としてVPN12が選択され、有効期限として、一例として0:15が格納される。
【0064】
さらに、VPN12を介して転送されたパケットは、VPNリモート端末100にわたされ、フローテーブル125に登録される(S312)。後続のパケットが同一のフロー情報(IPSA=10.1.1.100、IPDA=10.1.3.1、L4プロトコル=TCP、宛先ポート=80、送信元ポート=1234)を備えたパケットである場合には、フロー検索処理部124における検索処理が、フローテーブルにヒットして(S313)、VPN12が選択される。VPN12を介して転送されたパケットは、VPN終端処理部210を経由した後、通過判定処理221を経由することなく多重処理部223を介してLAN20に送信される。
【0065】
このように、フローテーブルに登録されたフローについて、VPNリモート端末100とVPNアクセスサーバ200とが連携して処理を行うことによって、負荷の高い通過判定処理をスキップ(省略)することができ、システム全体でのアクセス性能の向上を図ることができる。
【図面の簡単な説明】
【0066】
【図1】本発明の実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
【図2】本発明の実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
【図3】本発明の実施形態に係るリモートアクセスシステムの構成の詳細を示すブロック図である。
【図4】本発明の実施形態に係るVPNリモート端末の構成を示すブロック図である。
【図5】本発明の実施形態に係るVPNアクセスサーバの構成を示すブロック図である。
【図6】本発明の実施形態に係るVPNリモート端末及びVPNアクセスサーバに備えるフローテーブルのフォーマットを示す図である。
【図7】発明の実施形態に係るリモートアクセスシステムの動作を示すシーケンス図である。
【図8】発明の実施形態に係るリモートアクセスシステムの動作を示すシーケンス図である。
【図9】本発明の実施例におけるポリシーテーブルを示す図である。
【図10】従来のリモートアクセスシステムの構成を示すブロック図である。
【図11】本発明の実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
【符号の説明】
【0067】
10 公衆回線
11、12、11−1〜11−N、12−N VPN
20、21 LAN
30、60 リモート端末
31、41 フロー検索処理部
42 通過判定処理部
40、70 アクセスサーバ
51、52 論理回線
61、71 CPU
100、100−1〜100−N、400−1〜400−N VPNリモート端末
110、210、411 VPN終端処理部
120、220 アクセス制御部
121 フロー情報抽出処理部
123、223 多重処理部
124、224 フロー検索処理部
125、225 フローテーブル
130 プロトコル処理部
140 アプリケーション
200、200−1〜200−N、410 VPNアクセスサーバ
221 通過判定処理
222 ポリシーテーブル
300 サーバ
500 フィルタ装置
【技術分野】
【0001】
本発明は、リモートアクセスシステム、方法及びプログラムに関し、特に、公衆回線を利用したVPN(Virtual Private Network)接続によってリモート端末から私設網へアクセスする際のアクセス制御を行なうリモートアクセスシステム、方法及びプログラムに関する。
【背景技術】
【0002】
特許文献1は、従来のファイアウォール処理の一例を示している。かかる従来技術においては、プレ・フィルタリング・モジュールを設けてファイアウォールの負荷を軽減させている。プレ・フィルタリング・モジュールは、ファイアウォールによって以前に可能
となった接続からパケットが受信されるかどうかに従って、パケットに関し制限された一連のアクションを実行する。パケットがそのように可能となった接続から受信されるならば、プレ・フィルタリング・モジュールは、パケット上で随意に1又はそれ以上のアクションを実行して、それらの宛先へパケットを転送する。そうでなければ、パケットは処理のためにファイアウォールへ転送される。1度ファイアウォールが、プレ・フィルタリング・モジュールの接続に対する責任を移す、あるいは接続を「オフロードされる」ならば、接続の間にタイムアウトが生じるまで、もしくはセッションが終了したことを示す特定のセッション制御フィールド値で受信されるまで、ファイアウォールがさらなるパケッ
トを受信しない、つまりパケットは接続が閉じられる。
【0003】
従来のVPN接続におけるアクセス制御の一例を説明する。図10は、従来のリモートアクセスシステムの構成を示すブロック図である。ファイアウォールを設置することによって、リモートからVPNアクセスサーバ410を介してLAN20にアクセスするトラヒックが特定のサーバ300へのアクセスすることを制限する。かかるシステム(図10)は、一般的なVPNアクセス手段と市販のファイアウォール装置とを組み合わせることによって構成することができる。図10においては、フィルタ装置500がファイアウォール装置に相当する。フィルタ装置500は、ファイアウォール機能によってポリシーを参照し、トラヒックの通過の可否を判定する。ここで、フィルタ装置500の構成は、例えば、特許文献1に示す構成とすることもできる。
【0004】
【特許文献1】特表2003−525557号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
以下の分析は、本発明者によってなされたものである。図10のリモートアクセスシステムの構成における問題点について説明する。図10を参照すると、VPNリモート端末400−1〜400−Nのアクセスが集中する箇所にフィルタ装置500が設けられている。したがって、フィルタ装置500がアクセス制御において行うポリシーテーブルの照合処理の負荷が高くなり、アクセス性能が低下するという問題がある。このフィルタ処理における性能を向上させる上で、特許文献1の方法は有効であるものの、フィルタ処理が1箇所に集中する点は改善されていない。したがって、VPNリモート端末400−1〜400−Nの数が増加した場合又は多数のアクセストラヒックが集中した場合には、性能がスケーラブルでないという問題がある。そこで、VPNアクセス数に対してスケーラブルなアクセス制御が望まれる。
【0006】
一方、フィルタ機能をVPNリモート端末400−1〜400−Nに配置する構成を採用した場合には、フィルタ処理が一箇所に集中しないため、アクセスサーバ側での処理負荷は軽減される。しかしながら、VPNリモート端末400−1〜400−Nがポリシーを勝手に書き換え、管理者によるポリシー設定を無視してトラヒックを送信してくるおそれもあるため、ネットワークセキュリティの観点から望ましくないという問題がある。
【0007】
そこで、セキュリティを確保しつつ、アクセス端末の収容数が増加しても性能が低下することのないリモートアクセスシステム、方法及びプログラムを提供することが課題となる。特に、VPNアクセストラヒックに対して、セキュリティを確保しつつ、アクセス端末の収容数が増加しても性能を低下させることなくLANへのアクセス制御を実現するリモートアクセスシステム、方法及びプログラムを提供することが課題となる。
【課題を解決するための手段】
【0008】
本発明の第1の視点に係るリモートアクセスシステムは、
リモート端末と、
前記リモート端末からの接続を収容するアクセスサーバと、
前記リモート端末と前記アクセスサーバとを論理的に接続する第1及び第2の論理回線とを備えるリモートアクセスシステムであって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、
前記第1の論理回線は、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットの転送に用いられ、
前記第2の論理回線は、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットの転送に用いられることを特徴とする。
【0009】
第1の展開形態のリモートアクセスシステムは、
前記リモート端末における前記フロー検索処理部が、フローを分類し、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されることが好ましい。
【0010】
第2の展開形態のリモートアクセスシステムは、
前記アクセスサーバが、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、
前記アクセスサーバにおける前記通過判定処理部が、前記第1の論理回線を介して受信したパケットに対して通過の可否を判定し、通過を許可する場合には、該パケットが属するフローの情報を前記アクセスサーバにおける前記フロー検索処理部に登録するように構成されることが好ましい。
【0011】
第3の展開形態のリモートアクセスシステムは、
前記アクセスサーバにおける前記フロー検索処理部が、前記リモート端末に送信すべきパケットが属するフローを分類し、通過の可否の判定が不要である場合には、該フローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、通過の可否の判定が必要である場合には、前記通過判定処理部によって該フローに対する通過の判定を行なった後に前記第1の論理回線を介して前記リモート端末に送信するように構成されることが好ましい。
【0012】
第4の展開形態のリモートアクセスシステムは、
前記リモート端末における前記フロー検索処理部によって参照されるフロー情報が、前記第2の論理回線を介して受信したパケットが属するフロー情報に基づいて、前記リモート端末に設けたフローテーブルに自動登録されることが好ましい。
【0013】
第5の展開形態のリモートアクセスシステムは、
前記アクセスサーバにおける前記フロー検索処理部によって参照されるフロー情報が、前記通過判定処理部によって通過が許可された場合に、前記アクセスサーバに設けたフローテーブルに登録されることが好ましい。
【0014】
本発明の第2の視点に係るリモート端末は、
アクセスサーバによって接続を収容され、該アクセスサーバと第1及び第2の論理回線によって論理的に接続されたリモート端末であって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されたことを特徴とする。
【0015】
本発明の第3の視点に係るアクセスサーバは、
リモート端末からの接続を収容し、該リモート端末と第1及び第2の論理回線によって論理的に接続されたアクセスサーバであって、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、自身によって通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線介して前記リモート端末に送信し、自身によって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記リモート端末に送信するように構成されたことを特徴とする。
【0016】
本発明の第4の視点に係るリモートアクセス方法は、
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス方法であって、
前記リモート端末によって、フローを分類する工程と、
前記リモート端末によって、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバによって、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とする。
【0017】
本発明の第5の視点に係るリモートアクセス方法は、
リモート端末からアクセスサーバへのリモートアクセス方法であって、
フローを分類する工程と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、を含むことを特徴とする。
【0018】
本発明の第6の視点に係るリモートアクセス方法は、
アクセスサーバからリモート端末へのリモートアクセス方法であって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とする。
【0019】
本発明の第7の視点に係るリモートアクセスプログラムは、
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス処理を、該リモート端末及び該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させるとともに、
前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とする。
【0020】
本発明の第8の視点に係るリモートアクセスプログラムは、
リモート端末からアクセスサーバへのリモートアクセス処理を、該リモート端末に備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させることを特徴とする。
【0021】
本発明の第9の視点に係るリモートアクセスプログラムは、
アクセスサーバからリモート端末へのリモートアクセス処理を、該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とする。
【発明の効果】
【0022】
本発明によって、セキュリティを確保しつつ、アクセス端末の収容数が増加しても性能が低下することのないリモートアクセスシステム、方法及びプログラムを提供することができる。リモート端末と、該リモート端末から受信したフローをフィルタ処理するアクセスサーバと、を備えるリモートアクセスシステムであって、
前記リモート端末及び前記アクセスサーバは、前記アクセスサーバによって前記端末から受信したフローの通過の許可がされた場合には、前記許可がされたフローのフィルタ処理を負荷分散するように構成されたことを特徴とするリモートアクセスシステム。
【発明を実施するための最良の形態】
【0023】
(実施形態1)
本発明の第1の実施形態に係るリモートアクセスシステムについて図面を参照して説明する。図1は、本実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
【0024】
リモートアクセスシステムは、図1を参照すると、リモート端末30と、リモート端末30からの接続を収容するアクセスサーバ40と、リモート端末30とアクセスサーバ40とを論理的に接続する第1及び第2の論理回線51、52とを備える。リモート端末30は、フローを分類するフロー検索処理部31を備える。アクセスサーバ40は、フローの通過の可否を判定する通過判定処理部42と、フローを分類するフロー検索処理部41とを備える。第1の論理回線51は、アクセスサーバ40による通過の可否の判定を要するフローに含まれるパケットの転送に用いられる。第2の論理回線52は、アクセスサーバ40によって通過の許可がされたフローに含まれるパケットの転送に用いられる。
【0025】
リモート端末30におけるフロー検索処理部31は、フローを分類し、アクセスサーバ40による通過の可否の判定を要するフローに含まれるパケットを第1の論理回線51を介してアクセスサーバ40に送信し、アクセスサーバ40によって通過の許可がされたフローに含まれるパケットを第2の論理回線52を介してアクセスサーバ40に送信することが好ましい。
【0026】
アクセスサーバ40は、第2の論理回線52を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、
通過判定処理部42は、第1の論理回線51を介して受信したパケットに対して通過の可否を判定し、通過を許可する場合には、該パケットが属するフローの情報をフロー検索処理部41に登録することが好ましい。
【0027】
アクセスサーバ40におけるフロー検索処理部41は、リモート端末30に送信すべきパケットが属するフローを分類し、通過の可否の判定が不要である場合には、該フローに属するパケットを第2の論理回線52を介してリモート端末30に送信し、通過の可否の判定が必要である場合には、通過判定処理部42によって該フローに対する通過の判定を行なった後に第1の論理回線51を介してリモート端末30に送信することが好ましい。
【0028】
リモート端末30におけるフロー検索処理部31によって参照されるフロー情報は、第2の論理回線52を介して受信したパケットが属するフロー情報に基づいて、リモート端末30に設けたフローテーブルに自動登録されることが好ましい。
【0029】
アクセスサーバ40におけるフロー検索処理部41によって参照されるフロー情報は、通過判定処理部42によって通過が許可された場合に、アクセスサーバ40に設けたフローテーブルに登録されることが好ましい。
【0030】
また、本実施形態に係るリモートアクセスシステムにおける上記の各部の処理を、リモートアクセスプログラムによって、コンピュータに実行させてもよい。かかる場合のリモートシステムの構成図を図11に示す。すなわち、リモートアクセスプログラムは、図11を参照すると、リモート端末60と、リモート端末60からの接続を収容するアクセスサーバ70と、リモート端末60とアクセスサーバ70とを論理的に接続する第1及び第2の論理回線51、52とを備えるリモートアクセスシステムにおけるリモートアクセス処理をリモート端末60及びアクセスサーバ70に備えたCPU61、71に実行させるリモートアクセスプログラムである。リモートアクセスプログラムは、リモート端末60において、フローを分類する処理をリモート端末60に備えたCPU61に実行させる。また、リモートアクセスプログラムは、リモート端末60において、アクセスサーバ70による通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介してアクセスサーバ70に送信するとともに、アクセスサーバ70によって通過の許可がされたフローに含まれるパケットを第2の論理回線52を介してアクセスサーバ70に送信する処理と、をリモート端末60に備えたCPU61に実行させる。さらに、リモートアクセスプログラムは、アクセスサーバ70において、第2の論理回線52を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、アクセスサーバ70に備えたCPU71に実行させる。
【0031】
(実施形態2)
本発明の第2の実施形態にリモートアクセスシステムについて図面を参照して説明する。本実施形態は、VPNを用いたリモートアクセスに関するものである。図2は、本実施形態のリモートアクセスシステムの構成を示すブロック図である。リモートアクセスシステムは、VPNリモート端末100−1〜100〜NとVPNアクセスサーバ200とを備え、これらは、公衆回線10を介して相互に接続される。
【0032】
VPNアクセスサーバ200に設けたアクセス制御部は、フローの通過の判定を行なうとともに、一旦通過可と判定したフローについては、VPNリモート端末100−i(i=1〜N)及びVPNアクセスサーバ200に設けたフローテーブルにフロー情報を登録する。通過判定済のフローは、通過判定済みであるに応じて、VPN12−iを利用して転送することによって、VPNリモート端末100−iとVPNアクセスサーバ200とが協調して通過判定処理を行う。
【0033】
VPNアクセスサーバ200において通過判定と判断されたフローは、VPNリモート端末100−i内のフローエントリにしたがって、VPN12−iを使ってVPNアクセスサーバ200に転送する。一方、VPNアクセスサーバ200は、VPN12−iからトラヒックを受信した場合には、通過判定済みであるとして通過判定処理をスキップ(省略)する。一方、LAN20から受信したトラヒックに対しては、VPNアクセスサーバ200は、通過判定済みのフローであるか否かを検索し、判定済みのフローであれば、VPN12−iを使ってVPNリモート端末100−iに転送し、通過判定済みであることを通知する。以上により、VPNアクセスサーバ200内のポリシーテーブルとの比較処理(通過判定処理)の処理回数を削減し、VPNリモート端末100−i及びVPNアクセスサーバ200のそれぞれに設けたフロー検索処理部によって通過判定処理を分散処理することでVPNアクセスサーバ200の処理負荷を軽減する。
【0034】
本実施形態によれば、VPNアクセスサーバ200の通過判定処理において、ポリシーテーブルの参照による判定処理を最初の数パケットに対してのみ行い、通過判定済みのフローについてはVPNリモート端末100−1〜100−N及びVPNアクセスサーバ200に設けたフローテーブルを参照して転送されるため、VPNアクセスサーバ200におけるポリシーテーブルの検索に要する処理負荷を軽減することができ、アクセス処理が集中した場合であってもアクセス性能の低下を防ぐことができる。
【0035】
(実施形態3)
次に、本発明の第3の実施形態について図面を参照して詳細に説明する。図2は、本実施形態に係るVPNリモートアクセスシステムの構成を示す。VPNアクセスサーバ200は、LAN20と公衆回線10とに接続される。VPNアクセスサーバ200は、公衆回線(インターネット等を含む)10を介してVPNリモート端末100−1〜100−Nとの間に、VPN11−1〜11−NとVPN12−1〜12−Nとを確立している。VPNリモート端末100−1〜100−Nは、このVPNを介して、LAN20に接続されたサーバ300のサービスを利用することが可能になる。なお、Nはリモート端末の個数を表し、本実施形態においてNは任意の数である。
【0036】
図3は、本実施形態におけるVPNリモート端末100とVPNアクセスサーバ200の構成を示す。VPNリモート端末100は、VPN終端処理部110、アクセス制御部120、プロトコル処理部130、アプリケーション140を備える。VPNアクセスサーバ200は、VPN終端処理部210、アクセス制御部220を備える。VPNリモート端末100−1とVPNアクセスサーバ200は、VPN11−1及び12−1を介して接続されている。また、VPNアクセスサーバ200は、他のVPNリモート端末100−i(i=2〜N)とVPN11−i及び12−iを介して接続されている。また、VPNアクセスサーバ200はLAN21によってLAN20に接続されている。
【0037】
図4は、本実施形態のVPNリモート端末100の構成を示すブロック図である。アクセス制御部120は、フロー情報抽出処理部121、多重処理部123、フロー検索処理部124、フローテーブル125を備える。アクセス制御部120は、VPN終端処理部110によって終端される2本のVPN11、12と接続される。
【0038】
フロー情報抽出処理部121はVPN12からフロー情報を抽出し、フローテーブル125に登録する。フロー検索処理部124は、フローテーブル125を参照し、プロトコル処理部130から受信するデータを検索して、VPN11宛又はVPN12宛のいずれであるかの判定を行なう。多重処理部123はフロー情報抽出処理部121からの出力データとVPN11からの受信データとを多重してプロトコル処理部130へ出力する。
【0039】
図5に本実施形態におけるVPNアクセスサーバ200のアクセス制御部220の構成を示す。アクセス制御部220は、通過判定処理221、ポリシーテーブル222、多重処理部223、フロー検索処理部224、フローテーブル225を備える。
【0040】
通過判定処理部221は、VPN11からのデータを受信し、ポリシーテーブル222に従って、通過の判定を行なう。通過の判定は、パケットヘッダ(IP、TCP、UDPなど)の情報に基づいて行なう。通過判定の結果、通過するものと判定し、かつリモート端末100との間で分担してアクセス制御をすると判断したフローについては、フローテーブル225にフロー情報を登録する。多重処理部223は、通過判定処理221の出力とVPN12からの受信データを多重してLAN21に出力する。フロー検索処理部224は、LAN21からの受信データのヘッダに基づいてフロー検索を実施する。フロー検索はフローテーブル225を参照して行なわれる。検索の結果、リモート端末100と分担してアクセス制御をすると判断した場合にはVPN12へ受信データを送信し、通過判定処理221でパケットを参照する場合又はリモート端末100と分担を行なわない場合にはVPN11へ受信データを送信する。
【0041】
図6は、フローテーブル125、225のエントリの一例を示す。リモート端末100のフローテーブル125の内容は、リモート端末100自身のIPアドレスを示す送信元IPアドレス、通信先のIPアドレスを示す宛先IPアドレス、レイヤ4のプロトコル種別、レイヤ4の宛先及び送信元ポート番号をキーとして格納しており、対応するアクションとして、VPN12に渡すか又はVPN11に渡すかが記載されている。また、有効期限欄には、そのエントリがいつまで有効であるのかを示す時刻情報(時刻変数)が記録されている。
【0042】
VPNアクセスサーバ200のフローテーブル225の内容もほぼ同様である。LAN側のトラヒックに対して検索するので、宛先IPアドレスはリモート端末100のIPアドレスを示し、送信元IPアドレスはトラヒック送信元であるサーバ300、レイヤ4の送信元ポート番号はサーバ300のポート番号、宛先ポート番号はリモート端末100によって割り当てられたポート番号となる。また、出力アクションにおいてVPN12か11に渡すか否かの情報が格納され、有効期限も記録される。
【0043】
なお、VPNリモート端末100、VPNアクセスサーバ200の機能は、CPU上で動作するプログラム(ソフトウェア)として実現されてもよく、また、ハードウェア回路として実現されてもよい。
【0044】
さらに、本説明ではVPN11、VPN12のように2本の回線を利用しているが、これらは物理的に異なる回線である必要はなく、論理的に識別できる複数の回線であればよい。たとえばIPSecやSSL−VPNにより確立される1本のVPN上に多重された二種類のVLAN(仮想LAN)回線や、MPLS(MultiProtocol Label Switching)回線や、あるいはIPヘッダのTOSフィールドと呼ばれる付加情報ビットを用いた識別でもよい。このような、論理的に区分できる回線を利用することでVPN終端処理110、120の間に2本の論理回線を確立することができ、本実施形態に係るリモートアクセスシステムにおいては、かかる論理回線を利用するものとする。
【0045】
VPNリモート端末100とVPNアクセスサーバ200の動作について、図7のシーケンス図を参照して説明する。ここでは、VPNリモート端末100内のアプリケーション140(図3)が、新たなフローのデータをVPNを介してサーバ300(図2)に送信する場合を考える。このとき、アプリケーション140は、プロトコル処理部130を介してアクセス制御部120にデータを渡す(S301)。まず、フロー検索処理部124は、パケットヘッダ情報に基づいて検索を行なう。フロー検索処理部124は、検索の結果、新規のフローであると判定するため、ミスヒットとなる。そこで、フロー検索処理部124は、VPN終端処理部110に対してVPN11を選択するよう指示する(S302)。VPN終端処理部110は、本データに対して、VPN終端処理を施した後、VPN11を介してVPNアクセスサーバ200に送信する(S303)。VPN終端処理部110は、例えば、オリジナルのLANパケットに対し、リモート端末100とサーバ300との間で利用する付加情報(ヘッダ)を付加し、さらにIPSecやSSLなどの暗号化を施し、公衆回線(インターネット等)で転送可能なIPアドレスを付加して送信する。
【0046】
VPNアクセスサーバ200のVPN終端処理部210は、VPNデータを終端してオリジナルのLANパケットを抽出し、通過判定処理部221に送信する(S304)。次に、通過判定処理部221は、パケットを検査して通過させるか否かを判定する。通過判定は、ポリシーテーブル222を参照して行われる。通過判定処理部221は、パケットの情報(ヘッダ、ペイロード)とポリシーテーブル222に登録されている通過条件とを比較することによって判定を行う。通過判定処理部221は、例えば、IPアドレスの送信元、宛先アドレスと、プロトコルフィールド(TCP、UDPなど)、レイヤ4のポート番号(TCPの場合は宛先、送信元ポート番号)によって通過判定を行う。通過判定処理部221は、通過と判定した場合には、多重処理部223に対してパケットを送信し(S305)、多重処理部223は、受信したパケットをLANに出力する(S307)。さらに、本実施形態の方式によって、リモート端末100との間でアクセス制御を分担する場合には、フロー識別情報をフローテーブル225に登録する(S306)。
【0047】
次に、逆向きのトラヒックをLAN20から受信した場合の動作ついて図面を参照して説明する。VPNアクセスサーバ200は、LAN20からパケットを入力すると、フロー検索処理部224によってフロー検索を行なう(S308)。ステップS306においてフローテーブル225にフローエントリが登録されている。したがって、フロー検索処理部224における検索の結果はヒットとなるため、フロー検索処理部224はVPN12を選択する(S309)。VPN終端処理部210は、カプセル化、暗号化を行い、VPN12を介してVPNリモート端末100にパケットを送信する(S310)。
【0048】
VPNリモート端末100のVPN終端処理部110は、VPN12からデータを受信すると、フロー情報抽出処理部121によってパケットヘッダのフロー情報を抽出し、そのフロー情報がフローテーブル125に未登録である場合には登録処理を行う(S312)。また、VPN終端処理部110によってVPN終端をすることによって取り出されたオリジナルパケットデータは、プロトコル処理部130を経由してアプリケーションに渡される(S311)。
【0049】
次に、この状態において、リモート端末100からVPNアクセスサーバ200へ向けて送出された同一フローに属するパケットの処理について説明する。VPNリモート端末100は、プロトコル処理部130からLAN20に向かうパケットを受信すると(S313)、フロー検索処理部124によってフロー検索を行なう。ステップS312において、フローの登録を行なっているため、フロー検索処理部124におけるフロー検索はヒットする(S314)。ここで、フロー検索がヒットしたということは、かかるフローはVPNアクセスサーバ200によって通過を許可されているフローであり、VPNアクセスサーバ200によって通過判定処理を行う必要がないフローである、ということを示す。フロー検索処理部124は、パケットをVPN終端処理部110に送信する(S314)。このヒットしたパケットについては、VPN終端処理部110は、VPN終端処理によってカプセル化、暗号化を行なった後、VPN12に送信する(S315)。この点において、上記のステップS303とは異なっている。
【0050】
VPNアクセスサーバ200のVPN終端処理部210は、本パケットのカプセル処理、暗号データの復号処理を行ってオリジナルのパケットを取り出す。さらに、VPN終端処理部210は、VPN12から受信したデータについては通過判定処理部221に送信することなく、直接多重処理部223へ送信する(S316)。多重処理部223は、受信したパケットをLANに送信する(S317)。
【0051】
一方、LAN20からVPNリモート端末100に向かうデータの処理、すなわち、ステップS318〜S321の処理は、上記のステップS308〜S311の処理と同様である。ただし、VPNリモート端末100のフロー情報抽出処理部121がフローテーブル125を確認するときに、すでに登録済みであるため、新たな登録を行なわない点のみが異なる。
【0052】
以上のように、VPNアクセスサーバ200とVPNリモート端末100とが動作することによって、通過判定に必要なポリシーテーブル222はVPNアクセスサーバ200に置いたまま、通過判定されたパケットについてはフロー検索処理部124とフロー検索処理部224との間で分担することでアクセス制御を実施することが可能になる。
【0053】
次に、図8のシーケンス図を参照してエントリの削除動作について説明する。図8のシーケンス図は、図7のシーケンス図の続きとする。すなわち、フローテーブル125にはフロー情報がすでに登録されている状態を考える。この状態において、VPNリモート端末100のアプリケーション140からLAN20の方向へ送出されたパケットは、ステップS313〜S317と同様の処理によってLAN20まで転送される(S331〜S335)。一方、逆向きのパケットは、ステップS318〜S321と同様なシーケンスによりLAN20からVPNリモート端末100まで転送される(S336〜S340)。
【0054】
ここで、フローテーブルエントリには有効期限が示されており、有効期限に示される時刻が到来するまで一度も参照されなかった場合には、フローテーブル125から削除される。一方、一度でも参照された場合には、有効期限を更新する。VPNアクセスサーバ200からVPN12を介して受信したフローがフローテーブル125に登録されているか否かを参照するようにしてもよい。また、VPNリモート端末100からVPNアクセスサーバ200に向けて送信されるトラヒックに対してフロー検索処理部124においてヒットした場合に、参照されたものと判定し、有効期限を更新するようにしてもよい。有効期限が過ぎた場合には、フローテーブル125から該当フローのエントリは削除される(S341)。
【0055】
後続の同一フローに属するデータを受信した場合(S342)、フローテーブル125にエントリがないため、フロー検索処理部124による検索はミスヒットとなる(S343)。この場合には、フロー検索処理部124はVPN11を選択する。フロー検索処理部124は、パケットをVPN終端処理部110に送信する(S344)。VPN終端処理部110は、パケットのカプセル化、暗号化を行ない、VPN11を利用してVPNアクセスサーバ200に対して送信する(S344)。
【0056】
VPNアクセスサーバ200のVPN終端処理部210は、VPN11を介して受信したデータについては、通過判定処理部221に送信する(S345)。通過判定処理部221は、アクセス制御の判定を行う。通過判定処理部221は、受信したフローを通過させるものと判定し、かつ、リモート端末100との間でアクセス制御を分担するものと判定した場合には、フローテーブル225に対してフロー情報を登録する(S347)。また、通過判定処理部221は、多重処理部223を経由して(S346)、パケットをLAN20に送信する(S348)。
【0057】
フロー検索処理部225は、LAN20からリモート端末100のアプリケーション140に向かう同一フローのパケットを受信する(S349)。かかるパケットはフローテーブル225にヒットするため(S349)、フロー検索処理部225は、VPN12を介してVPNリモート端末100にパケットを送信する(S350、S351)。
【0058】
VPNリモート端末100は、VPN12を介してパケットを受信すると、フロー情報抽出処理部121によってフロー情報を取り出し、フローテーブル125に登録する(S353)。また、パケットはプロトコル処理部130を経由してアプリケーション140に転送される(S352)。
【0059】
以上の動作によって、VPNリモート端末100はポリシー情報を明示的に保持することなく、VPNアクセスサーバ200からのデータのみに基づいて、アクセス制御を実施することができる。
【実施例】
【0060】
本発明の実施例に係るリモートアクセスシステムについて図面を参照して説明する。図9は、具体的なポリシーテーブル222の例を示す。図9のテーブルを参照しつつ、本実施例に係るリモートアクセスシステムの動作について説明する。
【0061】
図9のポリシーテーブル222においては、3つのエントリが記載されている。ポリシーテーブル222は優先度(priority)の順に参照され、最初に一致したポリシーが適用される。いま、リモート端末が10.1.1.100であるとし、この端末からIPアドレスが10.1.3.1であるホストに対してTCP通信により、宛先TCPポート番号80、送信元ポート番号1234によってアクセスすることを考える。
【0062】
図7のシーケンス図を参照して転送処理を説明する。フロー検索処理部124におけるフロー検索がミスヒットとなり、パケットは、VPN11を介してVPNアクセスサーバ200へ送られる。VPNアクセスサーバ200の通過判定処理部221は、ポリシーテーブル222を参照する。このとき、優先度=10のエントリに条件がマッチし、アクション(action)に基づいて、「通過」させる(allow)と判定する。
【0063】
通過判定処理部221は、「通過」と判定すると、フローテーブル225にエントリを登録する(S306)。図9のフローテーブルに示すように、リモート端末100のIPアドレス10.1.1.100、ホスト側のIPアドレス10.1.3.1、L4プロトコル(protocol)=TCP、ホスト側のTCPポート番号(dport)80、送信元ポート番号(sport)1234、というキーで構成されるエントリを作成する。さらに、このキーに対応して、出力としてVPN12が選択され、有効期限として、一例として0:15が格納される。
【0064】
さらに、VPN12を介して転送されたパケットは、VPNリモート端末100にわたされ、フローテーブル125に登録される(S312)。後続のパケットが同一のフロー情報(IPSA=10.1.1.100、IPDA=10.1.3.1、L4プロトコル=TCP、宛先ポート=80、送信元ポート=1234)を備えたパケットである場合には、フロー検索処理部124における検索処理が、フローテーブルにヒットして(S313)、VPN12が選択される。VPN12を介して転送されたパケットは、VPN終端処理部210を経由した後、通過判定処理221を経由することなく多重処理部223を介してLAN20に送信される。
【0065】
このように、フローテーブルに登録されたフローについて、VPNリモート端末100とVPNアクセスサーバ200とが連携して処理を行うことによって、負荷の高い通過判定処理をスキップ(省略)することができ、システム全体でのアクセス性能の向上を図ることができる。
【図面の簡単な説明】
【0066】
【図1】本発明の実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
【図2】本発明の実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
【図3】本発明の実施形態に係るリモートアクセスシステムの構成の詳細を示すブロック図である。
【図4】本発明の実施形態に係るVPNリモート端末の構成を示すブロック図である。
【図5】本発明の実施形態に係るVPNアクセスサーバの構成を示すブロック図である。
【図6】本発明の実施形態に係るVPNリモート端末及びVPNアクセスサーバに備えるフローテーブルのフォーマットを示す図である。
【図7】発明の実施形態に係るリモートアクセスシステムの動作を示すシーケンス図である。
【図8】発明の実施形態に係るリモートアクセスシステムの動作を示すシーケンス図である。
【図9】本発明の実施例におけるポリシーテーブルを示す図である。
【図10】従来のリモートアクセスシステムの構成を示すブロック図である。
【図11】本発明の実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
【符号の説明】
【0067】
10 公衆回線
11、12、11−1〜11−N、12−N VPN
20、21 LAN
30、60 リモート端末
31、41 フロー検索処理部
42 通過判定処理部
40、70 アクセスサーバ
51、52 論理回線
61、71 CPU
100、100−1〜100−N、400−1〜400−N VPNリモート端末
110、210、411 VPN終端処理部
120、220 アクセス制御部
121 フロー情報抽出処理部
123、223 多重処理部
124、224 フロー検索処理部
125、225 フローテーブル
130 プロトコル処理部
140 アプリケーション
200、200−1〜200−N、410 VPNアクセスサーバ
221 通過判定処理
222 ポリシーテーブル
300 サーバ
500 フィルタ装置
【特許請求の範囲】
【請求項1】
リモート端末と、
前記リモート端末からの接続を収容するアクセスサーバと、
前記リモート端末と前記アクセスサーバとを論理的に接続する第1及び第2の論理回線とを備えるリモートアクセスシステムであって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、
前記第1の論理回線は、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットの転送に用いられ、
前記第2の論理回線は、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットの転送に用いられることを特徴とするリモートアクセスシステム。
【請求項2】
前記リモート端末における前記フロー検索処理部は、フローを分類し、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されたことを特徴とする、請求項1に記載のリモートアクセスシステム。
【請求項3】
前記アクセスサーバは、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、
前記アクセスサーバにおける前記通過判定処理部は、前記第1の論理回線を介して受信したパケットに対して通過の可否を判定し、通過を許可する場合には、該パケットが属するフローの情報を前記アクセスサーバにおける前記フロー検索処理部に登録するように構成されたことを特徴とする、請求項1又は2に記載のリモートアクセスシステム。
【請求項4】
前記アクセスサーバにおける前記フロー検索処理部は、前記リモート端末に送信すべきパケットが属するフローを分類し、通過の可否の判定が不要である場合には、該フローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、通過の可否の判定が必要である場合には、前記通過判定処理部によって該フローに対する通過の判定を行なった後に前記第1の論理回線を介して前記リモート端末に送信するように構成されたことを特徴とする、請求項1ないし3のいずれか一に記載のリモートアクセスシステム。
【請求項5】
前記リモート端末における前記フロー検索処理部によって参照されるフロー情報は、前記第2の論理回線を介して受信したパケットが属するフロー情報に基づいて、前記リモート端末に設けたフローテーブルに登録されることを特徴とする、請求項1ないし4のいずれか一に記載のリモートアクセスシステム。
【請求項6】
前記アクセスサーバにおける前記フロー検索処理部によって参照されるフロー情報は、前記通過判定処理部によって通過が許可された場合に、前記アクセスサーバに設けたフローテーブルに登録されることを特徴とする、請求項1ないし5のいずれか一に記載のリモートアクセスシステム。
【請求項7】
アクセスサーバによって接続を収容され、該アクセスサーバと第1及び第2の論理回線によって論理的に接続されたリモート端末であって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されたことを特徴とするリモート端末。
【請求項8】
リモート端末からの接続を収容し、該リモート端末と第1及び第2の論理回線によって論理的に接続されたアクセスサーバであって、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、自身によって通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記リモート端末に送信し、自身によって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記リモート端末に送信するように構成されたことを特徴とするアクセスサーバ。
【請求項9】
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス方法であって、
前記リモート端末によって、フローを分類する工程と、
前記リモート端末によって、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバによって、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とするリモートアクセス方法。
【請求項10】
リモート端末からアクセスサーバへのリモートアクセス方法であって、
フローを分類する工程と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、を含むことを特徴とするリモートアクセス方法。
【請求項11】
アクセスサーバによるリモート端末へのリモートアクセス方法であって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とするリモートアクセス方法。
【請求項12】
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス処理を、該リモート端末及び該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させるとともに、
前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とするリモートアクセスプログラム。
【請求項13】
リモート端末からアクセスサーバへのリモートアクセス処理を、該リモート端末に備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させることを特徴とするリモートアクセスプログラム。
【請求項14】
アクセスサーバからリモート端末へのリモートアクセス処理を、該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とするリモートアクセスプログラム。
【請求項1】
リモート端末と、
前記リモート端末からの接続を収容するアクセスサーバと、
前記リモート端末と前記アクセスサーバとを論理的に接続する第1及び第2の論理回線とを備えるリモートアクセスシステムであって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、
前記第1の論理回線は、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットの転送に用いられ、
前記第2の論理回線は、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットの転送に用いられることを特徴とするリモートアクセスシステム。
【請求項2】
前記リモート端末における前記フロー検索処理部は、フローを分類し、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されたことを特徴とする、請求項1に記載のリモートアクセスシステム。
【請求項3】
前記アクセスサーバは、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、
前記アクセスサーバにおける前記通過判定処理部は、前記第1の論理回線を介して受信したパケットに対して通過の可否を判定し、通過を許可する場合には、該パケットが属するフローの情報を前記アクセスサーバにおける前記フロー検索処理部に登録するように構成されたことを特徴とする、請求項1又は2に記載のリモートアクセスシステム。
【請求項4】
前記アクセスサーバにおける前記フロー検索処理部は、前記リモート端末に送信すべきパケットが属するフローを分類し、通過の可否の判定が不要である場合には、該フローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、通過の可否の判定が必要である場合には、前記通過判定処理部によって該フローに対する通過の判定を行なった後に前記第1の論理回線を介して前記リモート端末に送信するように構成されたことを特徴とする、請求項1ないし3のいずれか一に記載のリモートアクセスシステム。
【請求項5】
前記リモート端末における前記フロー検索処理部によって参照されるフロー情報は、前記第2の論理回線を介して受信したパケットが属するフロー情報に基づいて、前記リモート端末に設けたフローテーブルに登録されることを特徴とする、請求項1ないし4のいずれか一に記載のリモートアクセスシステム。
【請求項6】
前記アクセスサーバにおける前記フロー検索処理部によって参照されるフロー情報は、前記通過判定処理部によって通過が許可された場合に、前記アクセスサーバに設けたフローテーブルに登録されることを特徴とする、請求項1ないし5のいずれか一に記載のリモートアクセスシステム。
【請求項7】
アクセスサーバによって接続を収容され、該アクセスサーバと第1及び第2の論理回線によって論理的に接続されたリモート端末であって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されたことを特徴とするリモート端末。
【請求項8】
リモート端末からの接続を収容し、該リモート端末と第1及び第2の論理回線によって論理的に接続されたアクセスサーバであって、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、自身によって通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記リモート端末に送信し、自身によって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記リモート端末に送信するように構成されたことを特徴とするアクセスサーバ。
【請求項9】
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス方法であって、
前記リモート端末によって、フローを分類する工程と、
前記リモート端末によって、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバによって、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とするリモートアクセス方法。
【請求項10】
リモート端末からアクセスサーバへのリモートアクセス方法であって、
フローを分類する工程と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、を含むことを特徴とするリモートアクセス方法。
【請求項11】
アクセスサーバによるリモート端末へのリモートアクセス方法であって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とするリモートアクセス方法。
【請求項12】
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス処理を、該リモート端末及び該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させるとともに、
前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とするリモートアクセスプログラム。
【請求項13】
リモート端末からアクセスサーバへのリモートアクセス処理を、該リモート端末に備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させることを特徴とするリモートアクセスプログラム。
【請求項14】
アクセスサーバからリモート端末へのリモートアクセス処理を、該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とするリモートアクセスプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−207094(P2009−207094A)
【公開日】平成21年9月10日(2009.9.10)
【国際特許分類】
【出願番号】特願2008−50173(P2008−50173)
【出願日】平成20年2月29日(2008.2.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年9月10日(2009.9.10)
【国際特許分類】
【出願日】平成20年2月29日(2008.2.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]