接続支援装置
【課題】情報の管理が容易であり、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスが可能である接続支援装置を提供することを課題とする。
【解決手段】端末装置が認証された場合に端末装置からのアクセスの支援対象とする複数のゲートウェイ装置を示す情報を記憶する記憶手段と、記憶手段に記憶された情報に示される複数のゲートウェイ装置のうちのいずれかへのアクセス要求を、認証された端末装置から受信した場合に、端末装置及びアクセス要求の対象となるゲートウェイ装置に対して、アクセス要求の対象となるゲートウェイ装置が端末装置からのアクセスの許可の判定に用いる識別情報を指定する指定手段と、を含むことにより上記課題を解決する。
【解決手段】端末装置が認証された場合に端末装置からのアクセスの支援対象とする複数のゲートウェイ装置を示す情報を記憶する記憶手段と、記憶手段に記憶された情報に示される複数のゲートウェイ装置のうちのいずれかへのアクセス要求を、認証された端末装置から受信した場合に、端末装置及びアクセス要求の対象となるゲートウェイ装置に対して、アクセス要求の対象となるゲートウェイ装置が端末装置からのアクセスの許可の判定に用いる識別情報を指定する指定手段と、を含むことにより上記課題を解決する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、接続支援装置に係り、特にユーザ端末と、ユーザ端末から接続(リモートアクセス)されるゲートウェイ装置との接続を支援する接続支援装置に関する。
【背景技術】
【0002】
近年、ユーザがインターネット等のネットワークを経由して、LAN(Local Area Network)等の家庭内ネットワークや企業内ネットワークのゲートウェイ装置に接続し、デジタル家電機器などの機器を制御する図1のようなリモートアクセスシステムが知られている。
【0003】
例えばインターネット上でのセキュアなリモートアクセスシステムの一例としてはVPN(Virtual Private Network)がある。VPNとは、リモートアクセスを行なうユーザ端末(クライアント)と、そのユーザ端末からの接続を受けるゲートウェイ装置(サーバ)との間を流れるデータを暗号化することによって、ユーザ端末とゲートウェイ装置との間で送受信されるデータを第三者が盗聴できないようにする技術である。
【0004】
従来、リモートアクセスに関する文献としては、以下の特許文献1〜2、非特許文献1〜3が知られている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−135867号公報
【特許文献2】特開2004−266562号公報
【非特許文献】
【0006】
【非特許文献1】RFC2637 PPTP(Point to Point Tunneling Protocol)
【非特許文献2】RFC2409 The Internet Key Exchange(IKE)
【非特許文献3】RFC2246 The TLS Protocol Version 1.0
【発明の概要】
【発明が解決しようとする課題】
【0007】
上記の文献に記載されているように、遠隔にある機器へリモートアクセスを行なう技術は従来から知られている。しかしながら、従来のリモートアクセスシステムではユーザ端末とゲートウェイ装置とが一対一となるケースがほとんどである。
【0008】
従って、ゲートウェイ装置の数が増加すると、ユーザ端末は接続するゲートウェイ装置の数だけ接続情報やユーザのセキュリティ情報などを保持する必要があるため、情報の管理が煩雑になってしまうという問題があった。
【0009】
また、図2に示すように、SSL(Secure Sockets Layer)によって暗号化を行うVPN(SSL-VPN)などのケースにおいては、ゲートウェイ装置がユーザ端末の接続するポートを常に開放しておく必要があるため、DoS攻撃(Denial of Service Attack)などにさらされる危険性や、不正ユーザにリモートアクセスされてしまう可能性があるという問題があった。
【0010】
本発明は、上記の点に鑑みなされたもので、情報の管理が容易であり、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスが可能である接続支援装置を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記課題を解決するため、本発明の接続支援装置は、端末装置が認証された場合に前記端末装置からのアクセスの支援対象とする複数のゲートウェイ装置を示す情報を記憶する記憶手段と、前記記憶手段に記憶された前記情報に示される前記複数のゲートウェイ装置のうちのいずれかへのアクセス要求を、認証された前記端末装置から受信した場合に、前記端末装置及び前記アクセス要求の対象となるゲートウェイ装置に対して、前記アクセス要求の対象となるゲートウェイ装置が前記端末装置からのアクセスの許可の判定に用いる識別情報を指定する指定手段と、を含むことを特徴とする。
【0012】
本発明では、ユーザ端末がゲートウェイ装置に接続する為の支援を行なう接続支援装置を導入している。接続支援装置は、認証が成功したユーザ端末からの接続を許可するように、ゲートウェイ装置に対して制御を行なうことで、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスを可能とする。
【0013】
また、接続支援装置は認証が成功したユーザ端末に対して、ゲートウェイ装置に接続する為の接続情報を提供することで、情報の管理を容易としている。
【発明の効果】
【0014】
本発明によれば、情報の管理が容易であり、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスが可能な接続支援装置を提供できる。
【図面の簡単な説明】
【0015】
【図1】従来のリモートアクセスシステムを示す一例の構成図である。
【図2】従来のリモートアクセスシステムを示す他の一例の構成図である。
【図3】本発明によるリモートアクセスシステムの一例の概略図である。
【図4】本発明によるリモートアクセスシステムの一例の構成図である。
【図5A】接続支援装置が管理するユーザ認証データベースの一例のイメージ図である。
【図5B】接続支援装置が管理するユーザ接続先アドレス管理データベースの一例のイメージ図である。
【図5C】接続支援装置が管理するゲートウェイ装置アドレス管理データベースの一例のイメージ図である。
【図5D】接続支援装置が管理するユーザセッション管理データベースの一例のイメージ図である。
【図6】ユーザ端末個体IDを利用するリモートアクセスシステムの一例の概略図である。
【図7】暗号化された通信路の一例の構成図である。
【図8】乱数を利用するリモートアクセスシステムの一例の概略図である。
【図9】接続支援装置にて行なうゲートウェイ装置アドレス管理処理の一例の説明図である。
【図10】端末種別判定なしの場合の接続支援装置の処理を表す一例のシーケンス図である。
【図11】端末種別判定ありの場合の接続支援装置の処理を表す一例のシーケンス図である。
【図12】端末種別管理データベースの一例の構成図である。
【図13】端末種別判定あり且つユーザ端末個体IDを付与する場合の接続支援装置の処理を表す一例のシーケンス図である。
【図14】端末種別判定あり且つ乱数を付与する場合の接続支援装置の処理を表す一例のシーケンス図である。
【図15】セッション終了の場合の接続支援装置の処理を表す一例のシーケンス図である。
【図16】本発明によるリモートアクセスシステムを示す第1実施例の構成図である。
【図17】ユーザ認証メッセージの一例の構成図である。
【図18】ファイアウォール制御メッセージの一例の構成図である。
【図19】ファイアウォール制御応答メッセージの一例の構成図である。
【図20】応答メッセージの一例の構成図である。
【図21】リダイレクトメッセージの一例の構成図である。
【図22】本発明によるリモートアクセスシステムのユーザログアウト処理を示す説明図である。
【図23】本発明によるリモートアクセスシステムを示す第2実施例の構成図である。
【図24】本発明によるリモートアクセスシステムを示す第3実施例の構成図である。
【図25】ファイアウォール制御メッセージの一例の構成図である。
【図26】本発明によるリモートアクセスシステムを示す第4実施例の構成図である。
【図27】セッション開始の場合の接続支援装置の処理を表す一例のシーケンス図である。
【図28】セッション終了の場合の接続支援装置の処理を表す一例のシーケンス図である。
【図29】セッション終了通知メッセージの一例の構成図である。
【図30】セッション終了応答メッセージの一例の構成図である。
【図31】本発明によるリモートアクセスシステムを示す第5実施例の構成図である。
【図32】乱数を利用するリモートアクセスシステムの全体シーケンスである。
【図33】乱数を利用するリモートアクセスシステムの全体シーケンスである。
【図34】乱数を利用するリモートアクセスシステムの全体シーケンスである。
【発明を実施するための形態】
【0016】
図3は、本発明によるリモートアクセスシステムの一例の概略図である。図3のリモートアクセスシステムは、接続支援装置1,ゲートウェイ装置2,ユーザ端末3が所定のネットワークを介して接続された構成である。
【0017】
接続支援装置1は、ユーザ端末3がゲートウェイ装置2に接続する為の支援を行なう装置である。ステップS1では、ユーザ端末3が、ユーザ認証情報を接続支援装置1に送信する。接続支援装置1は、受信したユーザ認証情報を利用して認証を行なう。
【0018】
認証が成功すると、接続支援装置1はステップS2に進み、ユーザ端末3からの接続を許可するように、ゲートウェイ装置2に対して制御の要求を行なう。ゲートウェイ装置2は、接続支援装置1からの制御の要求に応じて、ユーザ端末3に接続許可を与える。ステップS3に進み、ゲートウェイ装置2は制御の要求に対する応答を接続支援装置1に対して行なう。
【0019】
ステップS4に進み、接続支援装置1はゲートウェイ装置2に接続する為の接続情報をユーザ端末3に提供する。ステップS5に進み、ユーザ端末3は提供された接続情報を利用してゲートウェイ装置2に接続の要求を行なう。ゲートウェイ装置2は、ユーザ端末3に接続許可を与えているため、ユーザ端末3からの接続を許可する。
【0020】
図3のリモートアクセスシステムでは、認証が成功したユーザ端末3からの接続を許可するように、接続支援装置1がゲートウェイ装置2に対して制御を行なうことができる。したがって、図3のリモートアクセスシステムでは、認証が成功した後でユーザ端末3からの接続を許可するように、接続支援装置1がゲートウェイ装置2に対して制御を行なうことで、簡易かつセキュアにユーザ端末3からゲートウェイ装置2に対するリモートアクセスを可能としている。
【0021】
また、図3のリモートアクセスシステムでは、接続支援装置1から認証が成功したユーザ端末3に対して、ゲートウェイ装置2に接続する為の接続情報を提供することができる。したがって、図3のリモートアクセスシステムでは、ゲートウェイ装置2に接続する為の接続情報を接続支援装置1で管理している為、ゲートウェイ装置2の数が増加したとしても、情報の管理が容易である。
【0022】
更に、本発明によるリモートアクセスシステムについて説明する。図4は、本発明によるリモートアクセスシステムの一例の構成図である。図4では、接続支援装置1及びゲートウェイ装置2の機能ブロックと、接続支援装置1,ゲートウェイ装置2及びユーザ端末3間のインターフェースを示している。
【0023】
接続支援装置1は、ユーザ要求受付機能11,ユーザ認証機能12,ユーザ接続先管理機能13,ファイアウォール制御機能14,ユーザ−ゲートウェイ装置セッション管理機能15を含む構成である。ユーザ要求受付機能11は、ユーザ端末3からの要求を受け付ける。ユーザ認証機能12は、ユーザの認証を行なう。ユーザ接続先管理機能13は、ユーザ端末3の接続先のアドレス情報を管理する。
【0024】
ファイアウォール制御機能14は、ユーザ端末3をゲートウェイ装置2に接続する為に、ゲートウェイ装置2のファイアウォール制御を行なう。ユーザ−ゲートウェイ装置セッション管理機能15は、ゲートウェイ装置2とユーザ端末3との間のセッションを管理する。
【0025】
ゲートウェイ装置2は、ファイアウォール設定機能21,ユーザ要求受付機能22を含む構成である。ファイアウォール設定機能21は、接続支援装置1からの要求に応じてファイアウォール設定を行なう。ユーザ要求受付機能22は、ユーザ端末3からの要求を受け付ける。
【0026】
ゲートウェイ装置2及びユーザ端末3間は、接続支援装置1を介するインターフェースと、直接接続を行なうインターフェースとが存在している。接続支援装置1は図5に示すようなデータベースを有している。
【0027】
図5は、接続支援装置が管理するデータベースの一例のイメージ図である。図5(a)は、ユーザ認証データベースを示している。図5(b)は、ユーザ接続先アドレス管理データベースを示している。図5(c)は、ゲートウェイ装置アドレス管理データベースを示している。また、図5(d)はユーザセッション管理データベースを示している。
【0028】
図5(a)のユーザ認証データベースは、ユーザIDとユーザ認証情報とを関連付けて管理するものである。図5(b)のユーザ接続先アドレス管理データベースは、ユーザIDと、ゲートウェイ装置2の識別子であるHGW識別子と、ユーザ端末3の接続先アドレスとを関連付けて管理するものである。図5(c)のゲートウェイ装置アドレス管理データベースは、HGW識別子と、ゲートウェイ装置2のIPアドレス(HGW IPアドレス)とを関連付けて管理するものである。
【0029】
図5(d)のユーザセッション管理データベースは、ユーザIDと、HGW識別子と、ユーザ端末3が接続しているポートを表すアプリケーションポート番号とを関連付けて管理するものである。なお、ポートはユーザ端末3が接続しているアプリケーションを識別する為の識別子である。
【0030】
図6は、ユーザ端末個体IDを利用するリモートアクセスシステムの一例の概略図である。ステップS11では、ユーザ端末3がユーザ認証情報およびユーザ端末個体IDを接続支援装置1に送信する。
【0031】
認証が成功すると、接続支援装置1はステップS12に進み、ユーザ端末3からの接続を許可するように、ユーザ端末個体IDを含むファイアウォール制御信号をゲートウェイ装置2に送信する。例えばユーザ端末個体IDは、ユーザ端末3から送信されるHTTPメッセージ内のユーザエージェント(User Agent)値に含まれる情報を用いることができる。
【0032】
ゲートウェイ装置2は、ファイアウォール制御信号に応じてユーザ端末3に接続許可を与える為の設定を行なう。ステップS13に進み、ゲートウェイ装置2はファイアウォール制御信号に対する応答を接続支援装置1に対して行なう。ステップS14に進み、接続支援装置1はゲートウェイ装置2に接続する為のゲートウェイ装置接続情報を含むメッセージをユーザ端末3に送信する。
【0033】
接続支援装置1からゲートウェイ装置接続情報を含むメッセージを受信するとステップS15に進み、ユーザ端末3はゲートウェイ装置2に直接、ユーザ端末個体IDを含むHTTPメッセージを送信する。ゲートウェイ装置2は、ステップS12において接続支援装置1から受信したユーザ端末個体IDと、ステップS15においてユーザ端末3から受信したユーザ端末個体IDとを照合することで、正規のユーザが正規のユーザ端末3を利用して接続してきたことを認証できる。
【0034】
本発明によるリモートアクセスシステムでは、ユーザ端末個体IDをユーザ個体IDに置き換えた場合や、ユーザ端末個体ID及びユーザ個体IDの両方によって認証を行なうようなケースにおいても適用可能である。ユーザ個体IDは、ユーザ端末3への装着型メモリ等で構成されているようなケースを想定している。ユーザ個体IDによって認証を行なう場合、本発明によるリモートアクセスシステムは装着型メモリを利用できる様々な端末に適用可能である。
【0035】
なお、実際の通信においては、ユーザ端末個体ID,ユーザ個体IDが平文でインターネット上を流れると、ユーザプライバシ漏洩の危険性がある。そこで、本発明によるリモートアクセスシステムは、単一事業者内のネットワーク又は暗号化された通信路上での適用を想定している。
【0036】
例えばHTTPS(Hypertext Transfer Protocol Security)にて通信を行なうような場合、ユーザ端末3はHTTPSヘッダのユーザエージェント値にユーザ端末個体ID,ユーザ個体IDを含ませることにより、ユーザ端末個体ID,ユーザ個体IDを暗号化して接続支援装置1やゲートウェイ装置2に送信可能となる。
【0037】
図7は、暗号化された通信路の一例の構成図である。例えばユーザ端末3は、Webブラウザのユーザエージェントにユーザ端末個体ID,ユーザ個体IDを含ませることにより、HTTPSにて接続支援装置1とゲートウェイ装置2とにユーザ端末個体ID,ユーザ個体IDを送信することが可能となる。さらに、接続支援装置1及びゲートウェイ装置2間で送信されるファイアウォール制御信号は、SSLやIPsecにより暗号化することができる。
【0038】
図8は、乱数を利用するリモートアクセスシステムの一例の概略図である。ステップS21では、ユーザ端末3がユーザ認証情報を接続支援装置1に送信する。認証が成功すると、接続支援装置1は一意な乱数を発行する。乱数は、セキュリティ保護上、32ビットのランダムな二進文字列など、容易に特定されないような方法に基づいて発行される必要がある。ステップS22に進み、接続支援装置1は乱数を含むファイアウォール制御信号をゲートウェイ装置2に送信する。
【0039】
ゲートウェイ装置2は、ファイアウォール制御信号に応じてユーザ端末3に接続許可を与える為の設定を行なう。ステップS23に進み、ゲートウェイ装置2はファイアウォール制御信号に対する応答を接続支援装置1に対して行なう。ステップS24に進み、接続支援装置1は乱数を含むゲートウェイ装置接続情報をユーザ端末3に送信する。
【0040】
接続支援装置1から乱数を含むゲートウェイ装置接続情報を受信するとステップS25に進み、ユーザ端末3はゲートウェイ装置2に直接、乱数を含むHTTPメッセージを送信する。ゲートウェイ装置2は、ステップS22において接続支援装置1から受信した乱数と、ステップS25においてユーザ端末3から受信した乱数とを照合することで、正規のユーザが正規のユーザ端末3を利用して接続してきたことを認証できる。乱数を利用するリモートアクセスシステムは、ユーザ端末3の端末種別に依存しない為、ユーザ端末個体IDが付与されていない様々な端末に適用可能である。
【0041】
なお、実際の通信においては、前述したユーザ端末個体IDを利用するリモートアクセスシステムと同様、SSLやIPsecにより暗号化された通信路を利用して送信することにより、秘匿性を維持できる。本発明によるリモートアクセスシステムは、用途に応じてユーザ端末個体ID又は乱数を利用する二通りの接続支援が可能である。
【0042】
本発明によるリモートアクセスシステムでは、リモートアクセスサービス事業者が接続支援装置1を保有し、インターネット等のネットワークを経由して接続される家庭内ネットワークや企業内ネットワーク等にゲートウェイ装置2が配置されるようなケースを想定している。
【0043】
現状において、多くの家庭に割り当てられているIPv4アドレスは固定的な値でなく、ISP(Internet Service Provider)が動的に割り当てるケースが大半となっている。
【0044】
図9は、接続支援装置にて行なうゲートウェイ装置アドレス管理処理の一例の説明図である。図9のリモートアクセスシステムは、接続支援装置1,ゲートウェイ装置2a,2b,ユーザ端末3が所定のネットワークを介して接続された構成である。
【0045】
ゲートウェイ装置2a,2bは、IPアドレス取得機能23a,23bを含む構成であり、IPアドレスが新たに割り当てられた場合に、予め接続支援装置識別子および接続支援装置IPアドレスが登録されている接続支援装置1に対して、変更されたIPアドレス(HGW IPアドレス)およびHGW識別子を接続支援装置1に送信する。
【0046】
接続支援装置1は、ゲートウェイ装置2a,2bから受信したIPアドレスおよびHGW識別子に基づき、上記したゲートウェイ装置アドレス管理データベースを更新する。このように、ゲートウェイ装置2a,2bのIPアドレスが動的に割り当てられる場合であっても、接続支援装置1はゲートウェイ装置2a,2bのアドレス解決が可能となる。
【0047】
次に、本発明によるリモートアクセスシステムの処理について、接続支援装置1の処理を中心に説明する。図10は、端末種別判定なしの場合の接続支援装置の処理を表す一例のシーケンス図である。
【0048】
ステップS31では、ユーザ端末3がユーザ認証情報を接続支援装置1のユーザ要求受付機能11に送信する。ユーザ要求受付機能11は、ユーザ認証機能12を利用して認証を行う。認証が成功すると、ユーザ要求受付機能11はステップS32に進み、ユーザ接続先管理機能13に接続先リスト検索を要求する。
【0049】
ステップS33に進み、ユーザ接続先管理機能13は、ユーザ接続先アドレス管理データベースを利用してユーザ端末3の接続先リストを検索し、その接続先リストを応答としてユーザ要求受付機能11に送信する。また、ユーザ要求受付機能11はステップS34に進み、受信した接続先リストをユーザ端末3に送信する。
【0050】
接続支援装置1から接続先リストを受信すると、ユーザ端末3は表示画面に接続先リストを表示する。ユーザは、ユーザ端末3を操作して接続先リストから1つのゲートウェイ装置2を選択する。ステップS35に進み、ユーザ端末3はユーザにより選択された接続先を接続支援装置1のユーザ要求受付機能11に送信する。
【0051】
ステップS36に進み、ユーザ要求受付機能11はファイアウォール制御機能14に対して接続先のゲートウェイ装置2を通知する。ファイアウォール制御機能14は、ゲートウェイ装置アドレス管理データベースを利用してゲートウェイ装置2のIPアドレスを検索する。
【0052】
ステップS37に進み、ファイアウォール制御機能14はゲートウェイ装置2のIPアドレスを利用してゲートウェイ装置2に制御の要求を行なう。ステップS38に進み、ゲートウェイ装置2はユーザ端末3に接続許可を与えたあと、制御の要求に対応する応答を、接続支援装置1のファイアウォール制御機能14に対して行なう。ステップS39に進み、ユーザ−ゲートウェイ装置セッション管理機能15はゲートウェイ装置2とユーザ端末3との間のセッションを、ユーザセッション管理データベースに登録して管理する。
【0053】
ステップS40に進み、ファイアウォール制御機能14はユーザ接続先管理機能13に対して応答を行なう。ユーザ接続先管理機能13は、ユーザ接続先アドレス管理データベースを利用して接続先のアドレス情報(ゲートウェイ装置2の接続アドレス)を検索し、そのアドレス情報をユーザ要求受付機能11に送信する。ステップS42に進み、ユーザ要求受付機能11は接続先のアドレス情報をゲートウェイ装置接続情報としてユーザ端末3に送信する。
【0054】
ゲートウェイ装置接続情報を受信すると、ユーザ端末3はゲートウェイ装置接続情報を利用してゲートウェイ装置2に接続することができる。
【0055】
図11は、端末種別判定ありの場合の接続支援装置の処理を表す一例のシーケンス図である。なお、図11のシーケンス図は一部を除いて図10のシーケンス図と同様であるため、適宜説明を省略する。
【0056】
ステップS51〜S55の処理は、図10のステップS31〜S35と同様であるため、説明を省略する。ステップS56に進み、ユーザ要求受付機能11はファイアウォール制御機能14に対して接続先のゲートウェイ装置2及びユーザ端末3の端末種別を通知する。なお、ユーザ要求受付機能11はユーザ端末3の端末種別を抽出可能である。
【0057】
ファイアウォール制御機能14は、図12のような端末種別管理データベースを有している。図12は、端末種別管理データベースの一例の構成図である。図12の端末種別管理データベースは、端末種別と、後述する携帯電話IPゲートウェイ装置又はユーザ端末3のIPアドレスとが関連付けられて管理されている。
【0058】
ファイアウォール制御機能14は、端末種別管理データベースを利用して、携帯電話IPゲートウェイ装置又はユーザ端末3のIPアドレスを検索する。また、ファイアウォール制御機能14は、ゲートウェイ装置アドレス管理データベースを利用してゲートウェイ装置2のIPアドレスを検索する。
【0059】
ステップS57に進み、ファイアウォール制御機能14はゲートウェイ装置2のIPアドレスを利用して、ユーザ端末3の端末種別に応じた制御の要求をゲートウェイ装置2に行なう。ステップS58に進み、ゲートウェイ装置2はユーザ端末3に接続許可を与えたあと、制御の要求に対応する応答を、接続支援装置1のファイアウォール制御機能14に対して行なう。ステップS59に進み、ユーザ−ゲートウェイ装置セッション管理機能15はゲートウェイ装置2と、携帯電話IPゲートウェイ装置又はユーザ端末3との間のセッションを、ユーザセッション管理データベースに登録して管理する。
【0060】
ステップS60〜S62の処理は、図10のステップS40〜S42と同様であるため、説明を省略する。
【0061】
図13は、端末種別判定あり且つユーザ端末個体IDを付与するの場合の接続支援装置の処理を表す一例のシーケンス図である。なお、図13のシーケンス図は一部を除いて図11のシーケンス図と同様であるため、適宜説明を省略する。
【0062】
ステップS71〜S75の処理は、図11のステップS51〜S55と同様であるため、説明を省略する。ステップS76に進み、ユーザ要求受付機能11はファイアウォール制御機能14に対して接続先のゲートウェイ装置2,ユーザ端末3の端末種別およびユーザ端末個体IDを通知する。なお、ユーザ要求受付機能11はユーザ端末3の端末種別およびユーザ端末個体IDを抽出可能である。
【0063】
ファイアウォール制御機能14は、図12のような端末種別管理データベースを利用して携帯電話IPゲートウェイ装置又はユーザ端末3のIPアドレスを検索する。また、ファイアウォール制御機能14はゲートウェイ装置アドレス管理データベースを利用してゲートウェイ装置2のIPアドレスを検索する。
【0064】
ステップS77に進み、ファイアウォール制御機能14はゲートウェイ装置2のIPアドレスを利用して、ユーザ端末3の端末種別に応じた制御の要求をゲートウェイ装置2に行なう。なお、ステップS77ではユーザ端末個体IDがゲートウェイ装置2に対して通知される。
【0065】
ステップS78〜S82の処理は、図11のステップS58〜S62と同様であるため、説明を省略する。
【0066】
図14は、端末種別判定あり且つ乱数を付与するの場合の接続支援装置の処理を表す一例のシーケンス図である。なお、図14のシーケンス図は一部を除いて図13のシーケンス図と同様であるため、適宜説明を省略する。
【0067】
ステップS85〜S89の処理は、図13のステップS71〜S75と同様であるため、説明を省略する。ステップS90に進み、ユーザ要求受付機能11はファイアウォール制御機能14に対して接続先のゲートウェイ装置2,ユーザ端末3の端末種別および乱数を通知する。なお、ユーザ要求受付機能11はユーザ端末3の端末種別を抽出可能である。また、ユーザ要求受付機能11は一意な乱数を発行可能である。
【0068】
ファイアウォール制御機能14は、図12のような端末種別管理データベースを利用して携帯電話IPゲートウェイ装置又はユーザ端末3のIPアドレスを検索する。また、ファイアウォール制御機能14はゲートウェイ装置アドレス管理データベースを利用してゲートウェイ装置2のIPアドレスを検索する。
【0069】
ステップS91に進み、ファイアウォール制御機能14はゲートウェイ装置2のIPアドレスを利用して、ユーザ端末3の端末種別に応じた制御の要求をゲートウェイ装置2に行なう。なお、ステップS91では乱数がゲートウェイ装置2に対して通知される。
【0070】
ステップS92〜S95の処理は、図13のステップS78〜S81と同様であるため、説明を省略する。ステップS96に進み、ユーザ要求受付機能11は接続先のアドレス情報および乱数をゲートウェイ装置接続情報としてユーザ端末3に送信する。
【0071】
図15は、セッション終了の場合の接続支援装置の処理を表す一例のシーケンス図である。ユーザ端末3から例えばログアウト要求があると、ゲートウェイ装置2はステップS97に進み、接続支援装置1のユーザ−ゲートウェイ装置セッション管理機能15にセッション終了を通知する。
【0072】
セッション終了を通知されると、ユーザ−ゲートウェイ装置セッション管理機能15はステップS98に進み、ゲートウェイ装置2とユーザ端末3との間のセッションをユーザセッション管理データベースから削除する。そして、ステップS99に進み、ユーザ−ゲートウェイ装置セッション管理機能15はユーザ接続先管理機能13に対して応答を行なう。
【0073】
以下、本発明によるリモートアクセスシステムの実施例について、接続支援装置1とゲートウェイ装置2との連携により行なうファイアウォール制御を中心に説明していく。
【実施例1】
【0074】
図16は、本発明によるリモートアクセスシステムを示す第1実施例の構成図である。実施例1のリモートアクセスシステムでは、ユーザ端末3がIPアドレスを保有している例を説明する。
【0075】
ステップS100に進み、ユーザ端末3は例えば図17のユーザ認証メッセージを利用して、ベーシック(Basic)認証の為のユーザID,パスワード及びユーザ端末個体IDを接続支援装置1に送信する。なお、SSLにより暗号化された通信路を利用して送信することにより、ユーザID,パスワード及びユーザ端末個体IDは暗号化されて接続支援装置1に送信される。
【0076】
認証が成功したあと、接続支援装置1は図5(b)に示したユーザ接続先アドレス管理データベースを参照し、ユーザ端末3に接続先リストを通知するようにしてもよい。この場合、ユーザは接続先リストから1つのゲートウェイ装置2を選択可能である。
【0077】
なお、ユーザ接続先アドレス管理データベースを参照した結果、ユーザIDに対応付けられているゲートウェイ装置2が1つである場合、ユーザ端末3に接続先リストを通知しないようにしてもよい。
【0078】
ステップS101に進み、接続支援装置1は例えば図18のファイアウォール制御メッセージを利用して、ファイアウォール制御信号をゲートウェイ装置2に送信する。なお、SIPS(Session Initiation Protocol Security)は暗号化が可能な通信プロトコルの一例である。
【0079】
ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたポート番号(ファイアウォール制御ポート番号)を開放する。例えばゲートウェイ装置2はHTTPS443番のポートを開放する。また、ゲートウェイ装置2はユーザ端末3のIPアドレスが透過するように、IPフィルタ25に対してファイアウォール透過設定を行なう。さらに、ゲートウェイ装置2はファイアウォール制御信号によって通知されたユーザ端末個体IDが透過するように、IDフィルタ26に対してファイアウォール透過設定を行なう。
【0080】
ステップS102に進み、ゲートウェイ装置2は例えば図19のようなファイアウォール制御応答メッセージを接続支援装置1に送信する。なお、接続支援装置1はSIPSプロトコルによる一例のシーケンスを用いてSIPS応答メッセージの受信に対する確認応答(ACK)をゲートウェイ装置2に返答してもよい。
【0081】
ステップS103に進み、接続支援装置1は例えば図20の応答メッセージを利用して、ユーザ端末3がゲートウェイ装置2に接続する為の接続情報(URLリンク情報)をユーザ端末3に通知する。
【0082】
URLリンク情報がユーザにより選択された場合、ユーザ端末3はステップS104に進み、接続支援装置1から通知されたURLリンク情報にユーザ端末個体IDを付加して、ユーザ端末個体IDを含むHTTPSメッセージをゲートウェイ装置2に送信する。ゲートウェイ装置2に送信されたユーザ端末個体IDを含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ25及びIDフィルタ26を透過し、Webアプリケーション24に送信される。
【0083】
即ち、ユーザ端末3はゲートウェイ装置2のWebアプリケーション24と接続可能になる。なお、接続支援装置1は図20に示す応答メッセージの代わりに、図21に示すようなリダイレクトメッセージを用いることも可能である。図21のようなリダイレクトメッセージを用いた場合、ユーザ端末3はゲートウェイ装置2を一度選択することによりゲートウェイ装置2に接続可能である。
【0084】
図22は、本発明によるリモートアクセスシステムのユーザログアウト処理を示す説明図である。ユーザがWebアプリケーション24に対してログアウトを行った場合、ゲートウェイ装置2は開放していたポートを閉じる。例えばゲートウェイ装置2はHTTPS443番のポートを閉じる。
【0085】
また、ゲートウェイ装置2はIPフィルタ25およびIDフィルタ26に対して行ったファイアウォール透過設定を解除する。そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。
【実施例2】
【0086】
図23は、本発明によるリモートアクセスシステムを示す第2実施例の構成図である。実施例2のリモートアクセスシステムでは、ユーザ端末3がIPアドレスを保有している例を説明する。
【0087】
なお、図23のリモートアクセスシステムの処理は図16のリモートアクセスシステムの処理と一部を除いて同様であるため、適宜説明を省略する。ステップS110に進み、ユーザ端末3はユーザ認証メッセージを利用して、ベーシック認証の為のユーザID,パスワードを接続支援装置1に送信する。なお、実施例2で利用されるユーザ認証メッセージは、図17のユーザ認証メッセージからユーザ端末個体IDを除いたものとなる。
【0088】
認証が成功したあと、接続支援装置1は一意な乱数を発行する。ステップS111に進み、接続支援装置1はファイアウォール制御メッセージを利用して、ファイアウォール制御信号をゲートウェイ装置2に送信する。なお、実施例2で利用されるファイアウォール制御メッセージは、図18のファイアウォール制御メッセージのユーザ端末個体IDを乱数に置き換えたものとなる。
【0089】
ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたポート番号を開放する。また、ゲートウェイ装置2はユーザ端末3のIPアドレスが透過するように、IPフィルタ25に対してファイアウォール透過設定を行なう。さらにゲートウェイ装置2は、ファイアウォール制御信号によって通知された乱数が透過するように、乱数フィルタ27に対してファイアウォール透過設定を行なう。
【0090】
ステップS112に進み、ゲートウェイ装置2は例えば図19のようなファイアウォール制御応答メッセージを接続支援装置1に送信する。ステップS113に進み、接続支援装置1は応答メッセージを利用して、ユーザ端末3がゲートウェイ装置2に接続する為の接続情報(URLリンク情報)をユーザ端末3に通知する。
【0091】
なお、実施例2で利用される応答メッセージは、図20の応答メッセージに含まれるURLの後ろに乱数を付加したものとなる。ステップS114に進み、ユーザ端末3は、接続支援装置1から通知されたURLリンク情報を含むHTTPSメッセージをゲートウェイ装置2に送信する。
【0092】
ゲートウェイ装置2に送信されたURLリンク情報を含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ25及び乱数フィルタ27を透過し、Webアプリケーション24に送信される。
【0093】
即ち、ユーザ端末3はゲートウェイ装置2のWebアプリケーション24と接続可能になる。なお、接続支援装置1は応答メッセージの代わりに、リダイレクトメッセージを用いることも可能である。実施例2で利用されるリダイレクトメッセージは、図21のリダイレクトメッセージのユーザ端末個体IDを乱数に置き換えたものとなる。
【0094】
ユーザがWebアプリケーション24に対してログアウトを行った場合、ゲートウェイ装置2は開放していたポートを閉じる。また、ゲートウェイ装置2はIPフィルタ25および乱数フィルタ27に対して行ったファイアウォール透過設定を解除する。そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。
【実施例3】
【0095】
図24は、本発明によるリモートアクセスシステムを示す第3実施例の構成図である。実施例3のリモートアクセスシステムでは、ユーザ端末3がIPアドレスを保有していない、例えば携帯電話などである例を説明する。
【0096】
ステップS120に進み、ユーザ端末3は例えば図17のユーザ認証メッセージを利用して、ベーシック認証の為のユーザID及びパスワードと、ユーザ端末個体IDおよび端末収容事業者名とを接続支援装置1に送信する。
【0097】
接続支援装置1は、ユーザ認証メッセージのユーザエージェント値に含まれる端末収容事業者名を抽出する。接続支援装置1は、端末収容事業者名と携帯電話IPゲートウェイ装置4の保有するIPアドレスとが対応付けられたアドレスリストを保持している。
【0098】
認証が成功したあと、接続支援装置1はステップS121に進み、図25のファイアウォール制御メッセージを利用して、ファイアウォール制御信号をゲートウェイ装置2に送信する。図25のファイアウォール制御メッセージは、アドレスリスト及びユーザ端末個体IDを含んでいる。
【0099】
ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたポート番号を開放する。また、ゲートウェイ装置2はアドレスリストに含まれる携帯電話IPゲートウェイ装置4の保有する1つ以上のIPアドレスが透過するように、IPフィルタ25に対してファイアウォール透過設定を行なう。
【0100】
さらに、ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたユーザ端末個体IDが透過するように、IDフィルタ26に対してファイアウォール透過設定を行なう。
【0101】
ステップS122に進み、ゲートウェイ装置2は例えば図19のようなファイアウォール制御応答メッセージを接続支援装置1に送信する。ステップS123に進み、接続支援装置1は例えば図20の応答メッセージを利用して、ユーザ端末3がゲートウェイ装置2に接続する為のURLリンク情報をユーザ端末3に通知する。
【0102】
URLリンク情報がユーザにより選択された場合、ユーザ端末3はステップS124に進み、接続支援装置1から通知されたURLリンク情報にユーザ端末個体IDを付加して、ユーザ端末個体IDを含むHTTPSメッセージをゲートウェイ装置2に送信する。なお、ユーザ端末3はIPアドレスを保有していないため、携帯電話IPゲートウェイ装置4が保有するIPアドレスの1つを用いてゲートウェイ装置2に接続する。
【0103】
そして、ゲートウェイ装置2に送信されたユーザ端末個体IDを含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ25及びIDフィルタ26を透過し、Webアプリケーション24に送信される。
【0104】
即ち、ユーザ端末3は携帯電話IPゲートウェイ装置4を介してゲートウェイ装置2のWebアプリケーション24と接続可能になる。なお、接続支援装置1は図20の応答メッセージの代わりに、図21のリダイレクトメッセージを用いることも可能である。
【0105】
ユーザがWebアプリケーション24に対してログアウトを行った場合、ゲートウェイ装置2は開放していたポートを閉じる。また、ゲートウェイ装置2はIPフィルタ25およびIDフィルタ26に対して行ったファイアウォール透過設定を解除する。そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。
【0106】
なお、ゲートウェイ装置2はユーザ端末3が通信に用いているIPアドレスを確認すると、アドレスリストに含まれるユーザ端末3が通信に用いていないIPアドレスについてファイアウォール透過設定を解除する。
【実施例4】
【0107】
図26は、本発明によるリモートアクセスシステムを示す第4実施例の構成図である。実施例4のリモートアクセスシステムでは、ユーザ端末3がIPアドレスを保有していない、例えば携帯電話などである例を説明する。
【0108】
なお、図24のリモートアクセスシステムの処理は図23のリモートアクセスシステムの処理と一部を除いて同様であるため、適宜説明を省略する。ステップS130に進み、ユーザ端末3はユーザ認証メッセージを利用して、ベーシック認証の為のユーザID及びパスワードと、端末収容事業者名とを接続支援装置1に送信する。
【0109】
接続支援装置1は、ユーザ認証メッセージのユーザエージェント値に含まれる端末収容事業者名を抽出する。接続支援装置1は、端末収容事業者名と携帯電話IPゲートウェイ装置4の保有するIPアドレスとが対応付けられたアドレスリストを保持している。
【0110】
認証が成功したあと、接続支援装置1は一意な乱数を発行する。接続支援装置1はステップS131に進み、ファイアウォール制御メッセージを利用して、ファイアウォール制御信号をゲートウェイ装置2に送信する。なお、実施例4で利用されるファイアウォール制御メッセージは、図25のファイアウォール制御メッセージのユーザ端末個体IDを乱数に置き換えたものとなる。
【0111】
ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたポート番号を開放する。また、ゲートウェイ装置2はアドレスリストに含まれる携帯電話IPゲートウェイ装置4の保有する1つ以上のIPアドレスが透過するように、IPフィルタ25に対してファイアウォール透過設定を行なう。
【0112】
さらに、ゲートウェイ装置2は、ファイアウォール制御信号によって通知された乱数が透過するように、乱数フィルタ27に対してファイアウォール透過設定を行なう。
【0113】
ステップS132に進み、ゲートウェイ装置2は例えば図19のようなファイアウォール制御応答メッセージを接続支援装置1に送信する。ステップS133に進み、接続支援装置1は応答メッセージを利用して、ユーザ端末3がゲートウェイ装置2に接続する為のURLリンク情報をユーザ端末3に通知する。
【0114】
なお、実施例4で利用される応答メッセージは、図20の応答メッセージに含まれるURLの後ろに乱数を付加したものとなる。ステップS134に進み、ユーザ端末3は、接続支援装置1から通知されたURLリンク情報を含むHTTPSメッセージをゲートウェイ装置2に送信する。
【0115】
そして、ゲートウェイ装置2に送信されたURLリンク情報を含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ25及び乱数フィルタ27を透過し、Webアプリケーション24に送信される。
【0116】
即ち、ユーザ端末3は携帯電話IPゲートウェイ装置4を介してゲートウェイ装置2のWebアプリケーション24と接続可能になる。なお、接続支援装置1は応答メッセージの代わりに、リダイレクトメッセージを用いることも可能である。実施例4で利用されるリダイレクトメッセージは、図21のリダイレクトメッセージのユーザ端末個体IDを乱数に置き換えたものとなる。
【0117】
ユーザがWebアプリケーション24に対してログアウトを行った場合、ゲートウェイ装置2は開放していたポートを閉じる。また、ゲートウェイ装置2はIPフィルタ25および乱数フィルタ27に対して行ったファイアウォール透過設定を解除する。そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。
【0118】
なお、ゲートウェイ装置2はユーザ端末3が通信に用いているIPアドレスを確認すると、アドレスリストに含まれるユーザ端末3が通信に用いていないIPアドレスについてファイアウォール透過設定を解除する。
【実施例5】
【0119】
ここでは、上記した第3実施例のリモートアクセスシステムを例として、ゲートウェイ装置2とユーザ端末3との間のセッションを管理する処理について説明していく。図27は、セッション開始の場合の接続支援装置の処理を表す一例のシーケンス図である。なお、図27のリモートアクセスシステムの処理は図24の処理と一部を除いて同様であるため、適宜説明を省略する。
【0120】
ステップS140〜S142の処理は、図24のステップS120〜S122の処理と同様である。ステップS142においてゲートウェイ装置2から図19のようなファイアウォール制御応答メッセージを受信したあと、ファイアウォール制御の対象となるユーザのユーザID、ゲートウェイ装置2のHGW識別子、ユーザ端末3が接続するポートを表すポート番号を新規なセッションとしてユーザセッション管理データベースに登録する。
【0121】
本実施例では、ファイアウォール制御応答メッセージの受信を契機にセッション開始としているが、ユーザ端末3からゲートウェイ装置2への接続を契機にゲートウェイ装置2から接続支援装置1に通知することによって、セッション開始としてもよい。以降の処理は、図24と同様である。
【0122】
図28は、セッション終了の場合の接続支援装置の処理を表す一例のシーケンス図である。ユーザ端末3から例えばログアウト要求があると、ゲートウェイ装置2は接続支援装置1に図29のようなセッション終了通知メッセージを送信する。
【0123】
接続支援装置1は、受信したセッション終了通知メッセージに含まれるユーザID,HGW識別子およびポート番号に基づき、ゲートウェイ装置2とユーザ端末3との間のセッションをユーザセッション管理データベースから削除する。
【0124】
ゲートウェイ装置2とユーザ端末3との間のセッションをユーザセッション管理データベースから削除したあと、接続支援装置1は図30のようなセッション終了応答メッセージをゲートウェイ装置2に送信する。
【0125】
なお、実施例5のようにセッションを管理する場合、ゲートウェイ装置2が強制終了し、接続支援装置1が誤ってセッションを管理し続けるケースを回避する必要がある。
【0126】
そこで、接続支援装置1はゲートウェイ装置2に対してユーザID,ユーザ端末個体ID,ファイアウォール制御ポート番号などを含むファイアウォール更新メッセージを定期的に送信してセッションの状態を確認するようにしてもよい。
【0127】
ゲートウェイ装置2からファイアウォール更新応答メッセージがあった場合、接続支援装置1はセッションが保持されていると見なす。一方、ファイアウォール更新応答メッセージがない場合、接続支援装置1はセッションが終了していると見なし、ゲートウェイ装置2とユーザ端末3との間のセッションをユーザセッション管理データベースから削除する。このように、接続支援装置1はセッションの管理を確実に行なうことができる。
【0128】
なお、ファイアウォール更新メッセージやファイアウォール更新応答メッセージは、ファイアウォール制御メッセージやファイアウォール制御応答メッセージと同等なものを用いて実現可能である。ゲートウェイ装置2は、最初に同メッセージを受信したときファイアウォール制御と見なし、再度受信したときファイアウォール更新と見なす。
【0129】
このような接続支援装置1でのセッションの管理によって、本実施例のリモートアクセスシステムではユーザ毎のリモートアクセス時間に応じた課金なども実現可能である。
【実施例6】
【0130】
図31は、本発明によるリモートアクセスシステムを示す第5実施例の構成図である。実施例5のリモートアクセスシステムでは、端末種別や端末収容事業者種別に応じたファイアウォール制御を行なう例を説明する。
【0131】
接続支援装置1は、ユーザエージェント管理データベースを有している。接続支援装置1はユーザ認証情報を含むメッセージを受信し、ユーザが接続先のゲートウェイ装置を選択した際に、受信したメッセージに含まれるユーザエージェント値を検索する。
【0132】
本実施例において、ユーザエージェント値がA事業者又はB事業者の携帯電話である場合に、接続支援装置1は携帯電話IPゲートウェイ装置が保有するIPアドレスを含むファイアウォール制御メッセージを、ゲートウェイ装置2に対して送信する。一方、ユーザエージェント値がA事業者又はB事業者の携帯電話の何れでもない場合に、接続支援装置1はユーザ端末3がIPアドレスを保有していると判断し、ユーザ端末3のIPアドレスを含むファイアウォール制御メッセージをゲートウェイ装置2に対して送信する。
【0133】
したがって、実施例5のリモートアクセスシステムでは、端末種別や端末収容事業者種別に応じたファイアウォール制御を単一の接続支援装置1で実現することができる。
(本発明によるリモートアクセスシステムの全体シーケンス)
図32〜図34は、乱数を利用するリモートアクセスシステムの全体シーケンスである。なお、図32〜図34において、接続支援装置1のWebサーバ部が図4のユーザ要求受付機能11,ユーザ認証機能12,ユーザ接続先管理機能13に相当し、FW制御部がファイアウォール制御機能14,ユーザ−ゲートウェイ装置セッション管理機能15に相当する。また、図32〜図34において、ゲートウェイ装置2のFW設定部がファイアウォール設定機能21に相当し、Webサーバ部がユーザ要求受付機能22に相当する。さらに、図32〜図34において、デバイス5が上記したリモートアクセスを行なう機器に相当する。
【0134】
図32は、接続支援装置での乱数割り当てまでの処理を表したシーケンス図である。ステップS200〜S203では、ユーザ端末3の認証が行われる。ステップS204〜S205では、接続先リストがユーザ端末3に送信され、ユーザにより選択された接続先が接続支援装置1に通知される。ステップS206では、一意の乱数(例えばセッションID)が割り当てられる。
【0135】
図33は、ユーザ端末がIPアドレスを保有している場合の乱数割り当て後の処理を表したシーケンス図である。ステップS207〜S209では、接続支援装置1からゲートウェイ装置2にファイアウォール制御メッセージが送信される。
【0136】
ステップS210〜S212では、ユーザ端末3からの接続を許可するようにファイアウォール透過設定を行なう。ステップS213では、ゲートウェイ装置2から接続支援装置1にファイアウォール制御応答メッセージが送信される。ステップS214では、接続支援装置1からゲートウェイ装置2にSIPS応答メッセージの受信に対するACKが送信される。
【0137】
ステップS215〜S216では、接続支援装置1からユーザ端末3にURLリンク情報が送信される。なお、URLリンク情報には、乱数が付加されている。ステップS217〜S219では、ユーザ端末3からゲートウェイ装置2にURLリンク情報を含むHTTPSメッセージが送信される。
【0138】
ゲートウェイ装置2に送信されたURLリンク情報を含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ及び乱数フィルタを透過し、Webサーバ部に到達する。
【0139】
ステップS220〜S222では、デバイス5に対するリモートアクセスが行われる。ステップS223〜S227では、ログアウトが行われたため、ゲートウェイ装置2が開放していたポートを閉じ、IPフィルタおよび乱数フィルタに対して行ったファイアウォール透過設定を解除する。
【0140】
そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。また、接続支援装置1からゲートウェイ装置2にセッション終了に対するACKが送信される。
【0141】
図34は、ユーザ端末が携帯電話の場合の乱数割り当て後の処理を表したシーケンス図である。ステップS307〜S309では、接続支援装置1からゲートウェイ装置2にファイアウォール制御メッセージが送信される。なお、GWプレフィクスリストは、上記したアドレスリストに相当する。
【0142】
ステップS310〜S312では、ユーザ端末3からの接続を許可するようにファイアウォール透過設定を行なう。ステップS313では、ゲートウェイ装置2から接続支援装置1にファイアウォール制御応答メッセージが送信される。ステップS314では、接続支援装置1からゲートウェイ装置2にSIPS応答メッセージの受信に対するACKが送信される。
【0143】
ステップS315〜S316では、接続支援装置1からユーザ端末3にURLリンク情報が送信される。なお、URLリンク情報には、乱数が付加されている。ステップS317〜S319では、ユーザ端末3からゲートウェイ装置2にURLリンク情報を含むHTTPSメッセージが送信される。
【0144】
ゲートウェイ装置2に送信されたURLリンク情報を含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ及び乱数フィルタを透過し、Webサーバ部に到達する。
【0145】
ステップS320〜S324では、デバイス5に対するリモートアクセスが行われる。なお、ステップS321,S322では、ユーザ端末3が通信に用いているIPアドレスを確認すると、GWプレフィクスリストに含まれる通信に用いていないIPアドレスについてファイアウォール透過設定を解除する。
【0146】
ステップS325〜S329では、ログアウトが行われたため、ゲートウェイ装置2が開放していたポートを閉じ、IPフィルタおよび乱数フィルタに対して行ったファイアウォール透過設定を解除する。
【0147】
そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。また、接続支援装置1からゲートウェイ装置2にセッション終了に対するACKが送信される。
(本発明によるリモートアクセスシステムの効果)
本発明によるリモートアクセスシステムでは、ゲートウェイ装置2がユーザ端末3の接続するポートを常に開放しておく必要がないため、DoS攻撃などにさらされる危険性や、不正ユーザにリモートアクセスされてしまう可能性を大幅に低減することができる。
【0148】
また、ユーザ端末3がゲートウェイ装置2に接続する為の接続情報を接続支援装置1で管理するため、ゲートウェイ装置の数が増加しても、ユーザ端末3側で情報の管理が煩雑になることがない。また、ユーザ端末3がIPアドレスを保有していない場合であっても、上記したアドレスリストを利用することで、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスが可能である
このように、本発明によるリモートアクセスシステムによれば、ユーザは様々なユーザ端末を用いて簡易かつセキュアなリモートアクセスが可能となる。
【0149】
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
【符号の説明】
【0150】
1 接続支援装置
2,2a,2b ゲートウェイ装置
3 ユーザ端末
4 携帯電話IPゲートウェイ
11 ユーザ要求受付機能
12 ユーザ認容機能
13 ユーザ接続先管理機能
14 ファイアウォール制御機能
15 ユーザ−ゲートウェイ装置セッション管理機能
21 ファイアウォール設定機能
22 ユーザ要求受付機能
23a,23b IPアドレス取得機能
24 Webアプリケーション
25 IPフィルタ
26 IDフィルタ
27 乱数フィルタ
【技術分野】
【0001】
本発明は、接続支援装置に係り、特にユーザ端末と、ユーザ端末から接続(リモートアクセス)されるゲートウェイ装置との接続を支援する接続支援装置に関する。
【背景技術】
【0002】
近年、ユーザがインターネット等のネットワークを経由して、LAN(Local Area Network)等の家庭内ネットワークや企業内ネットワークのゲートウェイ装置に接続し、デジタル家電機器などの機器を制御する図1のようなリモートアクセスシステムが知られている。
【0003】
例えばインターネット上でのセキュアなリモートアクセスシステムの一例としてはVPN(Virtual Private Network)がある。VPNとは、リモートアクセスを行なうユーザ端末(クライアント)と、そのユーザ端末からの接続を受けるゲートウェイ装置(サーバ)との間を流れるデータを暗号化することによって、ユーザ端末とゲートウェイ装置との間で送受信されるデータを第三者が盗聴できないようにする技術である。
【0004】
従来、リモートアクセスに関する文献としては、以下の特許文献1〜2、非特許文献1〜3が知られている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−135867号公報
【特許文献2】特開2004−266562号公報
【非特許文献】
【0006】
【非特許文献1】RFC2637 PPTP(Point to Point Tunneling Protocol)
【非特許文献2】RFC2409 The Internet Key Exchange(IKE)
【非特許文献3】RFC2246 The TLS Protocol Version 1.0
【発明の概要】
【発明が解決しようとする課題】
【0007】
上記の文献に記載されているように、遠隔にある機器へリモートアクセスを行なう技術は従来から知られている。しかしながら、従来のリモートアクセスシステムではユーザ端末とゲートウェイ装置とが一対一となるケースがほとんどである。
【0008】
従って、ゲートウェイ装置の数が増加すると、ユーザ端末は接続するゲートウェイ装置の数だけ接続情報やユーザのセキュリティ情報などを保持する必要があるため、情報の管理が煩雑になってしまうという問題があった。
【0009】
また、図2に示すように、SSL(Secure Sockets Layer)によって暗号化を行うVPN(SSL-VPN)などのケースにおいては、ゲートウェイ装置がユーザ端末の接続するポートを常に開放しておく必要があるため、DoS攻撃(Denial of Service Attack)などにさらされる危険性や、不正ユーザにリモートアクセスされてしまう可能性があるという問題があった。
【0010】
本発明は、上記の点に鑑みなされたもので、情報の管理が容易であり、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスが可能である接続支援装置を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記課題を解決するため、本発明の接続支援装置は、端末装置が認証された場合に前記端末装置からのアクセスの支援対象とする複数のゲートウェイ装置を示す情報を記憶する記憶手段と、前記記憶手段に記憶された前記情報に示される前記複数のゲートウェイ装置のうちのいずれかへのアクセス要求を、認証された前記端末装置から受信した場合に、前記端末装置及び前記アクセス要求の対象となるゲートウェイ装置に対して、前記アクセス要求の対象となるゲートウェイ装置が前記端末装置からのアクセスの許可の判定に用いる識別情報を指定する指定手段と、を含むことを特徴とする。
【0012】
本発明では、ユーザ端末がゲートウェイ装置に接続する為の支援を行なう接続支援装置を導入している。接続支援装置は、認証が成功したユーザ端末からの接続を許可するように、ゲートウェイ装置に対して制御を行なうことで、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスを可能とする。
【0013】
また、接続支援装置は認証が成功したユーザ端末に対して、ゲートウェイ装置に接続する為の接続情報を提供することで、情報の管理を容易としている。
【発明の効果】
【0014】
本発明によれば、情報の管理が容易であり、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスが可能な接続支援装置を提供できる。
【図面の簡単な説明】
【0015】
【図1】従来のリモートアクセスシステムを示す一例の構成図である。
【図2】従来のリモートアクセスシステムを示す他の一例の構成図である。
【図3】本発明によるリモートアクセスシステムの一例の概略図である。
【図4】本発明によるリモートアクセスシステムの一例の構成図である。
【図5A】接続支援装置が管理するユーザ認証データベースの一例のイメージ図である。
【図5B】接続支援装置が管理するユーザ接続先アドレス管理データベースの一例のイメージ図である。
【図5C】接続支援装置が管理するゲートウェイ装置アドレス管理データベースの一例のイメージ図である。
【図5D】接続支援装置が管理するユーザセッション管理データベースの一例のイメージ図である。
【図6】ユーザ端末個体IDを利用するリモートアクセスシステムの一例の概略図である。
【図7】暗号化された通信路の一例の構成図である。
【図8】乱数を利用するリモートアクセスシステムの一例の概略図である。
【図9】接続支援装置にて行なうゲートウェイ装置アドレス管理処理の一例の説明図である。
【図10】端末種別判定なしの場合の接続支援装置の処理を表す一例のシーケンス図である。
【図11】端末種別判定ありの場合の接続支援装置の処理を表す一例のシーケンス図である。
【図12】端末種別管理データベースの一例の構成図である。
【図13】端末種別判定あり且つユーザ端末個体IDを付与する場合の接続支援装置の処理を表す一例のシーケンス図である。
【図14】端末種別判定あり且つ乱数を付与する場合の接続支援装置の処理を表す一例のシーケンス図である。
【図15】セッション終了の場合の接続支援装置の処理を表す一例のシーケンス図である。
【図16】本発明によるリモートアクセスシステムを示す第1実施例の構成図である。
【図17】ユーザ認証メッセージの一例の構成図である。
【図18】ファイアウォール制御メッセージの一例の構成図である。
【図19】ファイアウォール制御応答メッセージの一例の構成図である。
【図20】応答メッセージの一例の構成図である。
【図21】リダイレクトメッセージの一例の構成図である。
【図22】本発明によるリモートアクセスシステムのユーザログアウト処理を示す説明図である。
【図23】本発明によるリモートアクセスシステムを示す第2実施例の構成図である。
【図24】本発明によるリモートアクセスシステムを示す第3実施例の構成図である。
【図25】ファイアウォール制御メッセージの一例の構成図である。
【図26】本発明によるリモートアクセスシステムを示す第4実施例の構成図である。
【図27】セッション開始の場合の接続支援装置の処理を表す一例のシーケンス図である。
【図28】セッション終了の場合の接続支援装置の処理を表す一例のシーケンス図である。
【図29】セッション終了通知メッセージの一例の構成図である。
【図30】セッション終了応答メッセージの一例の構成図である。
【図31】本発明によるリモートアクセスシステムを示す第5実施例の構成図である。
【図32】乱数を利用するリモートアクセスシステムの全体シーケンスである。
【図33】乱数を利用するリモートアクセスシステムの全体シーケンスである。
【図34】乱数を利用するリモートアクセスシステムの全体シーケンスである。
【発明を実施するための形態】
【0016】
図3は、本発明によるリモートアクセスシステムの一例の概略図である。図3のリモートアクセスシステムは、接続支援装置1,ゲートウェイ装置2,ユーザ端末3が所定のネットワークを介して接続された構成である。
【0017】
接続支援装置1は、ユーザ端末3がゲートウェイ装置2に接続する為の支援を行なう装置である。ステップS1では、ユーザ端末3が、ユーザ認証情報を接続支援装置1に送信する。接続支援装置1は、受信したユーザ認証情報を利用して認証を行なう。
【0018】
認証が成功すると、接続支援装置1はステップS2に進み、ユーザ端末3からの接続を許可するように、ゲートウェイ装置2に対して制御の要求を行なう。ゲートウェイ装置2は、接続支援装置1からの制御の要求に応じて、ユーザ端末3に接続許可を与える。ステップS3に進み、ゲートウェイ装置2は制御の要求に対する応答を接続支援装置1に対して行なう。
【0019】
ステップS4に進み、接続支援装置1はゲートウェイ装置2に接続する為の接続情報をユーザ端末3に提供する。ステップS5に進み、ユーザ端末3は提供された接続情報を利用してゲートウェイ装置2に接続の要求を行なう。ゲートウェイ装置2は、ユーザ端末3に接続許可を与えているため、ユーザ端末3からの接続を許可する。
【0020】
図3のリモートアクセスシステムでは、認証が成功したユーザ端末3からの接続を許可するように、接続支援装置1がゲートウェイ装置2に対して制御を行なうことができる。したがって、図3のリモートアクセスシステムでは、認証が成功した後でユーザ端末3からの接続を許可するように、接続支援装置1がゲートウェイ装置2に対して制御を行なうことで、簡易かつセキュアにユーザ端末3からゲートウェイ装置2に対するリモートアクセスを可能としている。
【0021】
また、図3のリモートアクセスシステムでは、接続支援装置1から認証が成功したユーザ端末3に対して、ゲートウェイ装置2に接続する為の接続情報を提供することができる。したがって、図3のリモートアクセスシステムでは、ゲートウェイ装置2に接続する為の接続情報を接続支援装置1で管理している為、ゲートウェイ装置2の数が増加したとしても、情報の管理が容易である。
【0022】
更に、本発明によるリモートアクセスシステムについて説明する。図4は、本発明によるリモートアクセスシステムの一例の構成図である。図4では、接続支援装置1及びゲートウェイ装置2の機能ブロックと、接続支援装置1,ゲートウェイ装置2及びユーザ端末3間のインターフェースを示している。
【0023】
接続支援装置1は、ユーザ要求受付機能11,ユーザ認証機能12,ユーザ接続先管理機能13,ファイアウォール制御機能14,ユーザ−ゲートウェイ装置セッション管理機能15を含む構成である。ユーザ要求受付機能11は、ユーザ端末3からの要求を受け付ける。ユーザ認証機能12は、ユーザの認証を行なう。ユーザ接続先管理機能13は、ユーザ端末3の接続先のアドレス情報を管理する。
【0024】
ファイアウォール制御機能14は、ユーザ端末3をゲートウェイ装置2に接続する為に、ゲートウェイ装置2のファイアウォール制御を行なう。ユーザ−ゲートウェイ装置セッション管理機能15は、ゲートウェイ装置2とユーザ端末3との間のセッションを管理する。
【0025】
ゲートウェイ装置2は、ファイアウォール設定機能21,ユーザ要求受付機能22を含む構成である。ファイアウォール設定機能21は、接続支援装置1からの要求に応じてファイアウォール設定を行なう。ユーザ要求受付機能22は、ユーザ端末3からの要求を受け付ける。
【0026】
ゲートウェイ装置2及びユーザ端末3間は、接続支援装置1を介するインターフェースと、直接接続を行なうインターフェースとが存在している。接続支援装置1は図5に示すようなデータベースを有している。
【0027】
図5は、接続支援装置が管理するデータベースの一例のイメージ図である。図5(a)は、ユーザ認証データベースを示している。図5(b)は、ユーザ接続先アドレス管理データベースを示している。図5(c)は、ゲートウェイ装置アドレス管理データベースを示している。また、図5(d)はユーザセッション管理データベースを示している。
【0028】
図5(a)のユーザ認証データベースは、ユーザIDとユーザ認証情報とを関連付けて管理するものである。図5(b)のユーザ接続先アドレス管理データベースは、ユーザIDと、ゲートウェイ装置2の識別子であるHGW識別子と、ユーザ端末3の接続先アドレスとを関連付けて管理するものである。図5(c)のゲートウェイ装置アドレス管理データベースは、HGW識別子と、ゲートウェイ装置2のIPアドレス(HGW IPアドレス)とを関連付けて管理するものである。
【0029】
図5(d)のユーザセッション管理データベースは、ユーザIDと、HGW識別子と、ユーザ端末3が接続しているポートを表すアプリケーションポート番号とを関連付けて管理するものである。なお、ポートはユーザ端末3が接続しているアプリケーションを識別する為の識別子である。
【0030】
図6は、ユーザ端末個体IDを利用するリモートアクセスシステムの一例の概略図である。ステップS11では、ユーザ端末3がユーザ認証情報およびユーザ端末個体IDを接続支援装置1に送信する。
【0031】
認証が成功すると、接続支援装置1はステップS12に進み、ユーザ端末3からの接続を許可するように、ユーザ端末個体IDを含むファイアウォール制御信号をゲートウェイ装置2に送信する。例えばユーザ端末個体IDは、ユーザ端末3から送信されるHTTPメッセージ内のユーザエージェント(User Agent)値に含まれる情報を用いることができる。
【0032】
ゲートウェイ装置2は、ファイアウォール制御信号に応じてユーザ端末3に接続許可を与える為の設定を行なう。ステップS13に進み、ゲートウェイ装置2はファイアウォール制御信号に対する応答を接続支援装置1に対して行なう。ステップS14に進み、接続支援装置1はゲートウェイ装置2に接続する為のゲートウェイ装置接続情報を含むメッセージをユーザ端末3に送信する。
【0033】
接続支援装置1からゲートウェイ装置接続情報を含むメッセージを受信するとステップS15に進み、ユーザ端末3はゲートウェイ装置2に直接、ユーザ端末個体IDを含むHTTPメッセージを送信する。ゲートウェイ装置2は、ステップS12において接続支援装置1から受信したユーザ端末個体IDと、ステップS15においてユーザ端末3から受信したユーザ端末個体IDとを照合することで、正規のユーザが正規のユーザ端末3を利用して接続してきたことを認証できる。
【0034】
本発明によるリモートアクセスシステムでは、ユーザ端末個体IDをユーザ個体IDに置き換えた場合や、ユーザ端末個体ID及びユーザ個体IDの両方によって認証を行なうようなケースにおいても適用可能である。ユーザ個体IDは、ユーザ端末3への装着型メモリ等で構成されているようなケースを想定している。ユーザ個体IDによって認証を行なう場合、本発明によるリモートアクセスシステムは装着型メモリを利用できる様々な端末に適用可能である。
【0035】
なお、実際の通信においては、ユーザ端末個体ID,ユーザ個体IDが平文でインターネット上を流れると、ユーザプライバシ漏洩の危険性がある。そこで、本発明によるリモートアクセスシステムは、単一事業者内のネットワーク又は暗号化された通信路上での適用を想定している。
【0036】
例えばHTTPS(Hypertext Transfer Protocol Security)にて通信を行なうような場合、ユーザ端末3はHTTPSヘッダのユーザエージェント値にユーザ端末個体ID,ユーザ個体IDを含ませることにより、ユーザ端末個体ID,ユーザ個体IDを暗号化して接続支援装置1やゲートウェイ装置2に送信可能となる。
【0037】
図7は、暗号化された通信路の一例の構成図である。例えばユーザ端末3は、Webブラウザのユーザエージェントにユーザ端末個体ID,ユーザ個体IDを含ませることにより、HTTPSにて接続支援装置1とゲートウェイ装置2とにユーザ端末個体ID,ユーザ個体IDを送信することが可能となる。さらに、接続支援装置1及びゲートウェイ装置2間で送信されるファイアウォール制御信号は、SSLやIPsecにより暗号化することができる。
【0038】
図8は、乱数を利用するリモートアクセスシステムの一例の概略図である。ステップS21では、ユーザ端末3がユーザ認証情報を接続支援装置1に送信する。認証が成功すると、接続支援装置1は一意な乱数を発行する。乱数は、セキュリティ保護上、32ビットのランダムな二進文字列など、容易に特定されないような方法に基づいて発行される必要がある。ステップS22に進み、接続支援装置1は乱数を含むファイアウォール制御信号をゲートウェイ装置2に送信する。
【0039】
ゲートウェイ装置2は、ファイアウォール制御信号に応じてユーザ端末3に接続許可を与える為の設定を行なう。ステップS23に進み、ゲートウェイ装置2はファイアウォール制御信号に対する応答を接続支援装置1に対して行なう。ステップS24に進み、接続支援装置1は乱数を含むゲートウェイ装置接続情報をユーザ端末3に送信する。
【0040】
接続支援装置1から乱数を含むゲートウェイ装置接続情報を受信するとステップS25に進み、ユーザ端末3はゲートウェイ装置2に直接、乱数を含むHTTPメッセージを送信する。ゲートウェイ装置2は、ステップS22において接続支援装置1から受信した乱数と、ステップS25においてユーザ端末3から受信した乱数とを照合することで、正規のユーザが正規のユーザ端末3を利用して接続してきたことを認証できる。乱数を利用するリモートアクセスシステムは、ユーザ端末3の端末種別に依存しない為、ユーザ端末個体IDが付与されていない様々な端末に適用可能である。
【0041】
なお、実際の通信においては、前述したユーザ端末個体IDを利用するリモートアクセスシステムと同様、SSLやIPsecにより暗号化された通信路を利用して送信することにより、秘匿性を維持できる。本発明によるリモートアクセスシステムは、用途に応じてユーザ端末個体ID又は乱数を利用する二通りの接続支援が可能である。
【0042】
本発明によるリモートアクセスシステムでは、リモートアクセスサービス事業者が接続支援装置1を保有し、インターネット等のネットワークを経由して接続される家庭内ネットワークや企業内ネットワーク等にゲートウェイ装置2が配置されるようなケースを想定している。
【0043】
現状において、多くの家庭に割り当てられているIPv4アドレスは固定的な値でなく、ISP(Internet Service Provider)が動的に割り当てるケースが大半となっている。
【0044】
図9は、接続支援装置にて行なうゲートウェイ装置アドレス管理処理の一例の説明図である。図9のリモートアクセスシステムは、接続支援装置1,ゲートウェイ装置2a,2b,ユーザ端末3が所定のネットワークを介して接続された構成である。
【0045】
ゲートウェイ装置2a,2bは、IPアドレス取得機能23a,23bを含む構成であり、IPアドレスが新たに割り当てられた場合に、予め接続支援装置識別子および接続支援装置IPアドレスが登録されている接続支援装置1に対して、変更されたIPアドレス(HGW IPアドレス)およびHGW識別子を接続支援装置1に送信する。
【0046】
接続支援装置1は、ゲートウェイ装置2a,2bから受信したIPアドレスおよびHGW識別子に基づき、上記したゲートウェイ装置アドレス管理データベースを更新する。このように、ゲートウェイ装置2a,2bのIPアドレスが動的に割り当てられる場合であっても、接続支援装置1はゲートウェイ装置2a,2bのアドレス解決が可能となる。
【0047】
次に、本発明によるリモートアクセスシステムの処理について、接続支援装置1の処理を中心に説明する。図10は、端末種別判定なしの場合の接続支援装置の処理を表す一例のシーケンス図である。
【0048】
ステップS31では、ユーザ端末3がユーザ認証情報を接続支援装置1のユーザ要求受付機能11に送信する。ユーザ要求受付機能11は、ユーザ認証機能12を利用して認証を行う。認証が成功すると、ユーザ要求受付機能11はステップS32に進み、ユーザ接続先管理機能13に接続先リスト検索を要求する。
【0049】
ステップS33に進み、ユーザ接続先管理機能13は、ユーザ接続先アドレス管理データベースを利用してユーザ端末3の接続先リストを検索し、その接続先リストを応答としてユーザ要求受付機能11に送信する。また、ユーザ要求受付機能11はステップS34に進み、受信した接続先リストをユーザ端末3に送信する。
【0050】
接続支援装置1から接続先リストを受信すると、ユーザ端末3は表示画面に接続先リストを表示する。ユーザは、ユーザ端末3を操作して接続先リストから1つのゲートウェイ装置2を選択する。ステップS35に進み、ユーザ端末3はユーザにより選択された接続先を接続支援装置1のユーザ要求受付機能11に送信する。
【0051】
ステップS36に進み、ユーザ要求受付機能11はファイアウォール制御機能14に対して接続先のゲートウェイ装置2を通知する。ファイアウォール制御機能14は、ゲートウェイ装置アドレス管理データベースを利用してゲートウェイ装置2のIPアドレスを検索する。
【0052】
ステップS37に進み、ファイアウォール制御機能14はゲートウェイ装置2のIPアドレスを利用してゲートウェイ装置2に制御の要求を行なう。ステップS38に進み、ゲートウェイ装置2はユーザ端末3に接続許可を与えたあと、制御の要求に対応する応答を、接続支援装置1のファイアウォール制御機能14に対して行なう。ステップS39に進み、ユーザ−ゲートウェイ装置セッション管理機能15はゲートウェイ装置2とユーザ端末3との間のセッションを、ユーザセッション管理データベースに登録して管理する。
【0053】
ステップS40に進み、ファイアウォール制御機能14はユーザ接続先管理機能13に対して応答を行なう。ユーザ接続先管理機能13は、ユーザ接続先アドレス管理データベースを利用して接続先のアドレス情報(ゲートウェイ装置2の接続アドレス)を検索し、そのアドレス情報をユーザ要求受付機能11に送信する。ステップS42に進み、ユーザ要求受付機能11は接続先のアドレス情報をゲートウェイ装置接続情報としてユーザ端末3に送信する。
【0054】
ゲートウェイ装置接続情報を受信すると、ユーザ端末3はゲートウェイ装置接続情報を利用してゲートウェイ装置2に接続することができる。
【0055】
図11は、端末種別判定ありの場合の接続支援装置の処理を表す一例のシーケンス図である。なお、図11のシーケンス図は一部を除いて図10のシーケンス図と同様であるため、適宜説明を省略する。
【0056】
ステップS51〜S55の処理は、図10のステップS31〜S35と同様であるため、説明を省略する。ステップS56に進み、ユーザ要求受付機能11はファイアウォール制御機能14に対して接続先のゲートウェイ装置2及びユーザ端末3の端末種別を通知する。なお、ユーザ要求受付機能11はユーザ端末3の端末種別を抽出可能である。
【0057】
ファイアウォール制御機能14は、図12のような端末種別管理データベースを有している。図12は、端末種別管理データベースの一例の構成図である。図12の端末種別管理データベースは、端末種別と、後述する携帯電話IPゲートウェイ装置又はユーザ端末3のIPアドレスとが関連付けられて管理されている。
【0058】
ファイアウォール制御機能14は、端末種別管理データベースを利用して、携帯電話IPゲートウェイ装置又はユーザ端末3のIPアドレスを検索する。また、ファイアウォール制御機能14は、ゲートウェイ装置アドレス管理データベースを利用してゲートウェイ装置2のIPアドレスを検索する。
【0059】
ステップS57に進み、ファイアウォール制御機能14はゲートウェイ装置2のIPアドレスを利用して、ユーザ端末3の端末種別に応じた制御の要求をゲートウェイ装置2に行なう。ステップS58に進み、ゲートウェイ装置2はユーザ端末3に接続許可を与えたあと、制御の要求に対応する応答を、接続支援装置1のファイアウォール制御機能14に対して行なう。ステップS59に進み、ユーザ−ゲートウェイ装置セッション管理機能15はゲートウェイ装置2と、携帯電話IPゲートウェイ装置又はユーザ端末3との間のセッションを、ユーザセッション管理データベースに登録して管理する。
【0060】
ステップS60〜S62の処理は、図10のステップS40〜S42と同様であるため、説明を省略する。
【0061】
図13は、端末種別判定あり且つユーザ端末個体IDを付与するの場合の接続支援装置の処理を表す一例のシーケンス図である。なお、図13のシーケンス図は一部を除いて図11のシーケンス図と同様であるため、適宜説明を省略する。
【0062】
ステップS71〜S75の処理は、図11のステップS51〜S55と同様であるため、説明を省略する。ステップS76に進み、ユーザ要求受付機能11はファイアウォール制御機能14に対して接続先のゲートウェイ装置2,ユーザ端末3の端末種別およびユーザ端末個体IDを通知する。なお、ユーザ要求受付機能11はユーザ端末3の端末種別およびユーザ端末個体IDを抽出可能である。
【0063】
ファイアウォール制御機能14は、図12のような端末種別管理データベースを利用して携帯電話IPゲートウェイ装置又はユーザ端末3のIPアドレスを検索する。また、ファイアウォール制御機能14はゲートウェイ装置アドレス管理データベースを利用してゲートウェイ装置2のIPアドレスを検索する。
【0064】
ステップS77に進み、ファイアウォール制御機能14はゲートウェイ装置2のIPアドレスを利用して、ユーザ端末3の端末種別に応じた制御の要求をゲートウェイ装置2に行なう。なお、ステップS77ではユーザ端末個体IDがゲートウェイ装置2に対して通知される。
【0065】
ステップS78〜S82の処理は、図11のステップS58〜S62と同様であるため、説明を省略する。
【0066】
図14は、端末種別判定あり且つ乱数を付与するの場合の接続支援装置の処理を表す一例のシーケンス図である。なお、図14のシーケンス図は一部を除いて図13のシーケンス図と同様であるため、適宜説明を省略する。
【0067】
ステップS85〜S89の処理は、図13のステップS71〜S75と同様であるため、説明を省略する。ステップS90に進み、ユーザ要求受付機能11はファイアウォール制御機能14に対して接続先のゲートウェイ装置2,ユーザ端末3の端末種別および乱数を通知する。なお、ユーザ要求受付機能11はユーザ端末3の端末種別を抽出可能である。また、ユーザ要求受付機能11は一意な乱数を発行可能である。
【0068】
ファイアウォール制御機能14は、図12のような端末種別管理データベースを利用して携帯電話IPゲートウェイ装置又はユーザ端末3のIPアドレスを検索する。また、ファイアウォール制御機能14はゲートウェイ装置アドレス管理データベースを利用してゲートウェイ装置2のIPアドレスを検索する。
【0069】
ステップS91に進み、ファイアウォール制御機能14はゲートウェイ装置2のIPアドレスを利用して、ユーザ端末3の端末種別に応じた制御の要求をゲートウェイ装置2に行なう。なお、ステップS91では乱数がゲートウェイ装置2に対して通知される。
【0070】
ステップS92〜S95の処理は、図13のステップS78〜S81と同様であるため、説明を省略する。ステップS96に進み、ユーザ要求受付機能11は接続先のアドレス情報および乱数をゲートウェイ装置接続情報としてユーザ端末3に送信する。
【0071】
図15は、セッション終了の場合の接続支援装置の処理を表す一例のシーケンス図である。ユーザ端末3から例えばログアウト要求があると、ゲートウェイ装置2はステップS97に進み、接続支援装置1のユーザ−ゲートウェイ装置セッション管理機能15にセッション終了を通知する。
【0072】
セッション終了を通知されると、ユーザ−ゲートウェイ装置セッション管理機能15はステップS98に進み、ゲートウェイ装置2とユーザ端末3との間のセッションをユーザセッション管理データベースから削除する。そして、ステップS99に進み、ユーザ−ゲートウェイ装置セッション管理機能15はユーザ接続先管理機能13に対して応答を行なう。
【0073】
以下、本発明によるリモートアクセスシステムの実施例について、接続支援装置1とゲートウェイ装置2との連携により行なうファイアウォール制御を中心に説明していく。
【実施例1】
【0074】
図16は、本発明によるリモートアクセスシステムを示す第1実施例の構成図である。実施例1のリモートアクセスシステムでは、ユーザ端末3がIPアドレスを保有している例を説明する。
【0075】
ステップS100に進み、ユーザ端末3は例えば図17のユーザ認証メッセージを利用して、ベーシック(Basic)認証の為のユーザID,パスワード及びユーザ端末個体IDを接続支援装置1に送信する。なお、SSLにより暗号化された通信路を利用して送信することにより、ユーザID,パスワード及びユーザ端末個体IDは暗号化されて接続支援装置1に送信される。
【0076】
認証が成功したあと、接続支援装置1は図5(b)に示したユーザ接続先アドレス管理データベースを参照し、ユーザ端末3に接続先リストを通知するようにしてもよい。この場合、ユーザは接続先リストから1つのゲートウェイ装置2を選択可能である。
【0077】
なお、ユーザ接続先アドレス管理データベースを参照した結果、ユーザIDに対応付けられているゲートウェイ装置2が1つである場合、ユーザ端末3に接続先リストを通知しないようにしてもよい。
【0078】
ステップS101に進み、接続支援装置1は例えば図18のファイアウォール制御メッセージを利用して、ファイアウォール制御信号をゲートウェイ装置2に送信する。なお、SIPS(Session Initiation Protocol Security)は暗号化が可能な通信プロトコルの一例である。
【0079】
ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたポート番号(ファイアウォール制御ポート番号)を開放する。例えばゲートウェイ装置2はHTTPS443番のポートを開放する。また、ゲートウェイ装置2はユーザ端末3のIPアドレスが透過するように、IPフィルタ25に対してファイアウォール透過設定を行なう。さらに、ゲートウェイ装置2はファイアウォール制御信号によって通知されたユーザ端末個体IDが透過するように、IDフィルタ26に対してファイアウォール透過設定を行なう。
【0080】
ステップS102に進み、ゲートウェイ装置2は例えば図19のようなファイアウォール制御応答メッセージを接続支援装置1に送信する。なお、接続支援装置1はSIPSプロトコルによる一例のシーケンスを用いてSIPS応答メッセージの受信に対する確認応答(ACK)をゲートウェイ装置2に返答してもよい。
【0081】
ステップS103に進み、接続支援装置1は例えば図20の応答メッセージを利用して、ユーザ端末3がゲートウェイ装置2に接続する為の接続情報(URLリンク情報)をユーザ端末3に通知する。
【0082】
URLリンク情報がユーザにより選択された場合、ユーザ端末3はステップS104に進み、接続支援装置1から通知されたURLリンク情報にユーザ端末個体IDを付加して、ユーザ端末個体IDを含むHTTPSメッセージをゲートウェイ装置2に送信する。ゲートウェイ装置2に送信されたユーザ端末個体IDを含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ25及びIDフィルタ26を透過し、Webアプリケーション24に送信される。
【0083】
即ち、ユーザ端末3はゲートウェイ装置2のWebアプリケーション24と接続可能になる。なお、接続支援装置1は図20に示す応答メッセージの代わりに、図21に示すようなリダイレクトメッセージを用いることも可能である。図21のようなリダイレクトメッセージを用いた場合、ユーザ端末3はゲートウェイ装置2を一度選択することによりゲートウェイ装置2に接続可能である。
【0084】
図22は、本発明によるリモートアクセスシステムのユーザログアウト処理を示す説明図である。ユーザがWebアプリケーション24に対してログアウトを行った場合、ゲートウェイ装置2は開放していたポートを閉じる。例えばゲートウェイ装置2はHTTPS443番のポートを閉じる。
【0085】
また、ゲートウェイ装置2はIPフィルタ25およびIDフィルタ26に対して行ったファイアウォール透過設定を解除する。そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。
【実施例2】
【0086】
図23は、本発明によるリモートアクセスシステムを示す第2実施例の構成図である。実施例2のリモートアクセスシステムでは、ユーザ端末3がIPアドレスを保有している例を説明する。
【0087】
なお、図23のリモートアクセスシステムの処理は図16のリモートアクセスシステムの処理と一部を除いて同様であるため、適宜説明を省略する。ステップS110に進み、ユーザ端末3はユーザ認証メッセージを利用して、ベーシック認証の為のユーザID,パスワードを接続支援装置1に送信する。なお、実施例2で利用されるユーザ認証メッセージは、図17のユーザ認証メッセージからユーザ端末個体IDを除いたものとなる。
【0088】
認証が成功したあと、接続支援装置1は一意な乱数を発行する。ステップS111に進み、接続支援装置1はファイアウォール制御メッセージを利用して、ファイアウォール制御信号をゲートウェイ装置2に送信する。なお、実施例2で利用されるファイアウォール制御メッセージは、図18のファイアウォール制御メッセージのユーザ端末個体IDを乱数に置き換えたものとなる。
【0089】
ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたポート番号を開放する。また、ゲートウェイ装置2はユーザ端末3のIPアドレスが透過するように、IPフィルタ25に対してファイアウォール透過設定を行なう。さらにゲートウェイ装置2は、ファイアウォール制御信号によって通知された乱数が透過するように、乱数フィルタ27に対してファイアウォール透過設定を行なう。
【0090】
ステップS112に進み、ゲートウェイ装置2は例えば図19のようなファイアウォール制御応答メッセージを接続支援装置1に送信する。ステップS113に進み、接続支援装置1は応答メッセージを利用して、ユーザ端末3がゲートウェイ装置2に接続する為の接続情報(URLリンク情報)をユーザ端末3に通知する。
【0091】
なお、実施例2で利用される応答メッセージは、図20の応答メッセージに含まれるURLの後ろに乱数を付加したものとなる。ステップS114に進み、ユーザ端末3は、接続支援装置1から通知されたURLリンク情報を含むHTTPSメッセージをゲートウェイ装置2に送信する。
【0092】
ゲートウェイ装置2に送信されたURLリンク情報を含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ25及び乱数フィルタ27を透過し、Webアプリケーション24に送信される。
【0093】
即ち、ユーザ端末3はゲートウェイ装置2のWebアプリケーション24と接続可能になる。なお、接続支援装置1は応答メッセージの代わりに、リダイレクトメッセージを用いることも可能である。実施例2で利用されるリダイレクトメッセージは、図21のリダイレクトメッセージのユーザ端末個体IDを乱数に置き換えたものとなる。
【0094】
ユーザがWebアプリケーション24に対してログアウトを行った場合、ゲートウェイ装置2は開放していたポートを閉じる。また、ゲートウェイ装置2はIPフィルタ25および乱数フィルタ27に対して行ったファイアウォール透過設定を解除する。そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。
【実施例3】
【0095】
図24は、本発明によるリモートアクセスシステムを示す第3実施例の構成図である。実施例3のリモートアクセスシステムでは、ユーザ端末3がIPアドレスを保有していない、例えば携帯電話などである例を説明する。
【0096】
ステップS120に進み、ユーザ端末3は例えば図17のユーザ認証メッセージを利用して、ベーシック認証の為のユーザID及びパスワードと、ユーザ端末個体IDおよび端末収容事業者名とを接続支援装置1に送信する。
【0097】
接続支援装置1は、ユーザ認証メッセージのユーザエージェント値に含まれる端末収容事業者名を抽出する。接続支援装置1は、端末収容事業者名と携帯電話IPゲートウェイ装置4の保有するIPアドレスとが対応付けられたアドレスリストを保持している。
【0098】
認証が成功したあと、接続支援装置1はステップS121に進み、図25のファイアウォール制御メッセージを利用して、ファイアウォール制御信号をゲートウェイ装置2に送信する。図25のファイアウォール制御メッセージは、アドレスリスト及びユーザ端末個体IDを含んでいる。
【0099】
ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたポート番号を開放する。また、ゲートウェイ装置2はアドレスリストに含まれる携帯電話IPゲートウェイ装置4の保有する1つ以上のIPアドレスが透過するように、IPフィルタ25に対してファイアウォール透過設定を行なう。
【0100】
さらに、ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたユーザ端末個体IDが透過するように、IDフィルタ26に対してファイアウォール透過設定を行なう。
【0101】
ステップS122に進み、ゲートウェイ装置2は例えば図19のようなファイアウォール制御応答メッセージを接続支援装置1に送信する。ステップS123に進み、接続支援装置1は例えば図20の応答メッセージを利用して、ユーザ端末3がゲートウェイ装置2に接続する為のURLリンク情報をユーザ端末3に通知する。
【0102】
URLリンク情報がユーザにより選択された場合、ユーザ端末3はステップS124に進み、接続支援装置1から通知されたURLリンク情報にユーザ端末個体IDを付加して、ユーザ端末個体IDを含むHTTPSメッセージをゲートウェイ装置2に送信する。なお、ユーザ端末3はIPアドレスを保有していないため、携帯電話IPゲートウェイ装置4が保有するIPアドレスの1つを用いてゲートウェイ装置2に接続する。
【0103】
そして、ゲートウェイ装置2に送信されたユーザ端末個体IDを含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ25及びIDフィルタ26を透過し、Webアプリケーション24に送信される。
【0104】
即ち、ユーザ端末3は携帯電話IPゲートウェイ装置4を介してゲートウェイ装置2のWebアプリケーション24と接続可能になる。なお、接続支援装置1は図20の応答メッセージの代わりに、図21のリダイレクトメッセージを用いることも可能である。
【0105】
ユーザがWebアプリケーション24に対してログアウトを行った場合、ゲートウェイ装置2は開放していたポートを閉じる。また、ゲートウェイ装置2はIPフィルタ25およびIDフィルタ26に対して行ったファイアウォール透過設定を解除する。そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。
【0106】
なお、ゲートウェイ装置2はユーザ端末3が通信に用いているIPアドレスを確認すると、アドレスリストに含まれるユーザ端末3が通信に用いていないIPアドレスについてファイアウォール透過設定を解除する。
【実施例4】
【0107】
図26は、本発明によるリモートアクセスシステムを示す第4実施例の構成図である。実施例4のリモートアクセスシステムでは、ユーザ端末3がIPアドレスを保有していない、例えば携帯電話などである例を説明する。
【0108】
なお、図24のリモートアクセスシステムの処理は図23のリモートアクセスシステムの処理と一部を除いて同様であるため、適宜説明を省略する。ステップS130に進み、ユーザ端末3はユーザ認証メッセージを利用して、ベーシック認証の為のユーザID及びパスワードと、端末収容事業者名とを接続支援装置1に送信する。
【0109】
接続支援装置1は、ユーザ認証メッセージのユーザエージェント値に含まれる端末収容事業者名を抽出する。接続支援装置1は、端末収容事業者名と携帯電話IPゲートウェイ装置4の保有するIPアドレスとが対応付けられたアドレスリストを保持している。
【0110】
認証が成功したあと、接続支援装置1は一意な乱数を発行する。接続支援装置1はステップS131に進み、ファイアウォール制御メッセージを利用して、ファイアウォール制御信号をゲートウェイ装置2に送信する。なお、実施例4で利用されるファイアウォール制御メッセージは、図25のファイアウォール制御メッセージのユーザ端末個体IDを乱数に置き換えたものとなる。
【0111】
ゲートウェイ装置2は、ファイアウォール制御信号によって通知されたポート番号を開放する。また、ゲートウェイ装置2はアドレスリストに含まれる携帯電話IPゲートウェイ装置4の保有する1つ以上のIPアドレスが透過するように、IPフィルタ25に対してファイアウォール透過設定を行なう。
【0112】
さらに、ゲートウェイ装置2は、ファイアウォール制御信号によって通知された乱数が透過するように、乱数フィルタ27に対してファイアウォール透過設定を行なう。
【0113】
ステップS132に進み、ゲートウェイ装置2は例えば図19のようなファイアウォール制御応答メッセージを接続支援装置1に送信する。ステップS133に進み、接続支援装置1は応答メッセージを利用して、ユーザ端末3がゲートウェイ装置2に接続する為のURLリンク情報をユーザ端末3に通知する。
【0114】
なお、実施例4で利用される応答メッセージは、図20の応答メッセージに含まれるURLの後ろに乱数を付加したものとなる。ステップS134に進み、ユーザ端末3は、接続支援装置1から通知されたURLリンク情報を含むHTTPSメッセージをゲートウェイ装置2に送信する。
【0115】
そして、ゲートウェイ装置2に送信されたURLリンク情報を含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ25及び乱数フィルタ27を透過し、Webアプリケーション24に送信される。
【0116】
即ち、ユーザ端末3は携帯電話IPゲートウェイ装置4を介してゲートウェイ装置2のWebアプリケーション24と接続可能になる。なお、接続支援装置1は応答メッセージの代わりに、リダイレクトメッセージを用いることも可能である。実施例4で利用されるリダイレクトメッセージは、図21のリダイレクトメッセージのユーザ端末個体IDを乱数に置き換えたものとなる。
【0117】
ユーザがWebアプリケーション24に対してログアウトを行った場合、ゲートウェイ装置2は開放していたポートを閉じる。また、ゲートウェイ装置2はIPフィルタ25および乱数フィルタ27に対して行ったファイアウォール透過設定を解除する。そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。
【0118】
なお、ゲートウェイ装置2はユーザ端末3が通信に用いているIPアドレスを確認すると、アドレスリストに含まれるユーザ端末3が通信に用いていないIPアドレスについてファイアウォール透過設定を解除する。
【実施例5】
【0119】
ここでは、上記した第3実施例のリモートアクセスシステムを例として、ゲートウェイ装置2とユーザ端末3との間のセッションを管理する処理について説明していく。図27は、セッション開始の場合の接続支援装置の処理を表す一例のシーケンス図である。なお、図27のリモートアクセスシステムの処理は図24の処理と一部を除いて同様であるため、適宜説明を省略する。
【0120】
ステップS140〜S142の処理は、図24のステップS120〜S122の処理と同様である。ステップS142においてゲートウェイ装置2から図19のようなファイアウォール制御応答メッセージを受信したあと、ファイアウォール制御の対象となるユーザのユーザID、ゲートウェイ装置2のHGW識別子、ユーザ端末3が接続するポートを表すポート番号を新規なセッションとしてユーザセッション管理データベースに登録する。
【0121】
本実施例では、ファイアウォール制御応答メッセージの受信を契機にセッション開始としているが、ユーザ端末3からゲートウェイ装置2への接続を契機にゲートウェイ装置2から接続支援装置1に通知することによって、セッション開始としてもよい。以降の処理は、図24と同様である。
【0122】
図28は、セッション終了の場合の接続支援装置の処理を表す一例のシーケンス図である。ユーザ端末3から例えばログアウト要求があると、ゲートウェイ装置2は接続支援装置1に図29のようなセッション終了通知メッセージを送信する。
【0123】
接続支援装置1は、受信したセッション終了通知メッセージに含まれるユーザID,HGW識別子およびポート番号に基づき、ゲートウェイ装置2とユーザ端末3との間のセッションをユーザセッション管理データベースから削除する。
【0124】
ゲートウェイ装置2とユーザ端末3との間のセッションをユーザセッション管理データベースから削除したあと、接続支援装置1は図30のようなセッション終了応答メッセージをゲートウェイ装置2に送信する。
【0125】
なお、実施例5のようにセッションを管理する場合、ゲートウェイ装置2が強制終了し、接続支援装置1が誤ってセッションを管理し続けるケースを回避する必要がある。
【0126】
そこで、接続支援装置1はゲートウェイ装置2に対してユーザID,ユーザ端末個体ID,ファイアウォール制御ポート番号などを含むファイアウォール更新メッセージを定期的に送信してセッションの状態を確認するようにしてもよい。
【0127】
ゲートウェイ装置2からファイアウォール更新応答メッセージがあった場合、接続支援装置1はセッションが保持されていると見なす。一方、ファイアウォール更新応答メッセージがない場合、接続支援装置1はセッションが終了していると見なし、ゲートウェイ装置2とユーザ端末3との間のセッションをユーザセッション管理データベースから削除する。このように、接続支援装置1はセッションの管理を確実に行なうことができる。
【0128】
なお、ファイアウォール更新メッセージやファイアウォール更新応答メッセージは、ファイアウォール制御メッセージやファイアウォール制御応答メッセージと同等なものを用いて実現可能である。ゲートウェイ装置2は、最初に同メッセージを受信したときファイアウォール制御と見なし、再度受信したときファイアウォール更新と見なす。
【0129】
このような接続支援装置1でのセッションの管理によって、本実施例のリモートアクセスシステムではユーザ毎のリモートアクセス時間に応じた課金なども実現可能である。
【実施例6】
【0130】
図31は、本発明によるリモートアクセスシステムを示す第5実施例の構成図である。実施例5のリモートアクセスシステムでは、端末種別や端末収容事業者種別に応じたファイアウォール制御を行なう例を説明する。
【0131】
接続支援装置1は、ユーザエージェント管理データベースを有している。接続支援装置1はユーザ認証情報を含むメッセージを受信し、ユーザが接続先のゲートウェイ装置を選択した際に、受信したメッセージに含まれるユーザエージェント値を検索する。
【0132】
本実施例において、ユーザエージェント値がA事業者又はB事業者の携帯電話である場合に、接続支援装置1は携帯電話IPゲートウェイ装置が保有するIPアドレスを含むファイアウォール制御メッセージを、ゲートウェイ装置2に対して送信する。一方、ユーザエージェント値がA事業者又はB事業者の携帯電話の何れでもない場合に、接続支援装置1はユーザ端末3がIPアドレスを保有していると判断し、ユーザ端末3のIPアドレスを含むファイアウォール制御メッセージをゲートウェイ装置2に対して送信する。
【0133】
したがって、実施例5のリモートアクセスシステムでは、端末種別や端末収容事業者種別に応じたファイアウォール制御を単一の接続支援装置1で実現することができる。
(本発明によるリモートアクセスシステムの全体シーケンス)
図32〜図34は、乱数を利用するリモートアクセスシステムの全体シーケンスである。なお、図32〜図34において、接続支援装置1のWebサーバ部が図4のユーザ要求受付機能11,ユーザ認証機能12,ユーザ接続先管理機能13に相当し、FW制御部がファイアウォール制御機能14,ユーザ−ゲートウェイ装置セッション管理機能15に相当する。また、図32〜図34において、ゲートウェイ装置2のFW設定部がファイアウォール設定機能21に相当し、Webサーバ部がユーザ要求受付機能22に相当する。さらに、図32〜図34において、デバイス5が上記したリモートアクセスを行なう機器に相当する。
【0134】
図32は、接続支援装置での乱数割り当てまでの処理を表したシーケンス図である。ステップS200〜S203では、ユーザ端末3の認証が行われる。ステップS204〜S205では、接続先リストがユーザ端末3に送信され、ユーザにより選択された接続先が接続支援装置1に通知される。ステップS206では、一意の乱数(例えばセッションID)が割り当てられる。
【0135】
図33は、ユーザ端末がIPアドレスを保有している場合の乱数割り当て後の処理を表したシーケンス図である。ステップS207〜S209では、接続支援装置1からゲートウェイ装置2にファイアウォール制御メッセージが送信される。
【0136】
ステップS210〜S212では、ユーザ端末3からの接続を許可するようにファイアウォール透過設定を行なう。ステップS213では、ゲートウェイ装置2から接続支援装置1にファイアウォール制御応答メッセージが送信される。ステップS214では、接続支援装置1からゲートウェイ装置2にSIPS応答メッセージの受信に対するACKが送信される。
【0137】
ステップS215〜S216では、接続支援装置1からユーザ端末3にURLリンク情報が送信される。なお、URLリンク情報には、乱数が付加されている。ステップS217〜S219では、ユーザ端末3からゲートウェイ装置2にURLリンク情報を含むHTTPSメッセージが送信される。
【0138】
ゲートウェイ装置2に送信されたURLリンク情報を含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ及び乱数フィルタを透過し、Webサーバ部に到達する。
【0139】
ステップS220〜S222では、デバイス5に対するリモートアクセスが行われる。ステップS223〜S227では、ログアウトが行われたため、ゲートウェイ装置2が開放していたポートを閉じ、IPフィルタおよび乱数フィルタに対して行ったファイアウォール透過設定を解除する。
【0140】
そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。また、接続支援装置1からゲートウェイ装置2にセッション終了に対するACKが送信される。
【0141】
図34は、ユーザ端末が携帯電話の場合の乱数割り当て後の処理を表したシーケンス図である。ステップS307〜S309では、接続支援装置1からゲートウェイ装置2にファイアウォール制御メッセージが送信される。なお、GWプレフィクスリストは、上記したアドレスリストに相当する。
【0142】
ステップS310〜S312では、ユーザ端末3からの接続を許可するようにファイアウォール透過設定を行なう。ステップS313では、ゲートウェイ装置2から接続支援装置1にファイアウォール制御応答メッセージが送信される。ステップS314では、接続支援装置1からゲートウェイ装置2にSIPS応答メッセージの受信に対するACKが送信される。
【0143】
ステップS315〜S316では、接続支援装置1からユーザ端末3にURLリンク情報が送信される。なお、URLリンク情報には、乱数が付加されている。ステップS317〜S319では、ユーザ端末3からゲートウェイ装置2にURLリンク情報を含むHTTPSメッセージが送信される。
【0144】
ゲートウェイ装置2に送信されたURLリンク情報を含むHTTPSメッセージは、開放されたポート、ファイアウォール透過設定されたIPフィルタ及び乱数フィルタを透過し、Webサーバ部に到達する。
【0145】
ステップS320〜S324では、デバイス5に対するリモートアクセスが行われる。なお、ステップS321,S322では、ユーザ端末3が通信に用いているIPアドレスを確認すると、GWプレフィクスリストに含まれる通信に用いていないIPアドレスについてファイアウォール透過設定を解除する。
【0146】
ステップS325〜S329では、ログアウトが行われたため、ゲートウェイ装置2が開放していたポートを閉じ、IPフィルタおよび乱数フィルタに対して行ったファイアウォール透過設定を解除する。
【0147】
そして、ゲートウェイ装置2は、ユーザ端末3とのセッション終了を接続支援装置1に通知する。また、接続支援装置1からゲートウェイ装置2にセッション終了に対するACKが送信される。
(本発明によるリモートアクセスシステムの効果)
本発明によるリモートアクセスシステムでは、ゲートウェイ装置2がユーザ端末3の接続するポートを常に開放しておく必要がないため、DoS攻撃などにさらされる危険性や、不正ユーザにリモートアクセスされてしまう可能性を大幅に低減することができる。
【0148】
また、ユーザ端末3がゲートウェイ装置2に接続する為の接続情報を接続支援装置1で管理するため、ゲートウェイ装置の数が増加しても、ユーザ端末3側で情報の管理が煩雑になることがない。また、ユーザ端末3がIPアドレスを保有していない場合であっても、上記したアドレスリストを利用することで、簡易かつセキュアにユーザ端末からゲートウェイ装置に対するリモートアクセスが可能である
このように、本発明によるリモートアクセスシステムによれば、ユーザは様々なユーザ端末を用いて簡易かつセキュアなリモートアクセスが可能となる。
【0149】
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
【符号の説明】
【0150】
1 接続支援装置
2,2a,2b ゲートウェイ装置
3 ユーザ端末
4 携帯電話IPゲートウェイ
11 ユーザ要求受付機能
12 ユーザ認容機能
13 ユーザ接続先管理機能
14 ファイアウォール制御機能
15 ユーザ−ゲートウェイ装置セッション管理機能
21 ファイアウォール設定機能
22 ユーザ要求受付機能
23a,23b IPアドレス取得機能
24 Webアプリケーション
25 IPフィルタ
26 IDフィルタ
27 乱数フィルタ
【特許請求の範囲】
【請求項1】
端末装置が認証された場合に前記端末装置からのアクセスの支援対象とする複数のゲートウェイ装置を示す情報を記憶する記憶手段と、
前記記憶手段に記憶された前記情報に示される前記複数のゲートウェイ装置のうちのいずれかへのアクセス要求を、認証された前記端末装置から受信した場合に、前記端末装置及び前記アクセス要求の対象となるゲートウェイ装置に対して、前記アクセス要求の対象となるゲートウェイ装置が前記端末装置からのアクセスの許可の判定に用いる識別情報を指定する指定手段と、
を含むことを特徴とする接続支援装置。
【請求項2】
前記端末装置と前記ゲートウェイ装置との間で通信されるデータの通信単位は、送信元及び送信先を特定する情報を含むヘッダ部と、前記指定手段により指定された前記識別情報を含むデータ部と、を含む通信単位である、
ことを特徴とする請求項1に記載の接続支援装置。
【請求項3】
前記指定手段が、
前記アクセス要求を受信した場合に、前記アクセス要求の対象となるゲートウェイ装置に対して、前記識別情報を指定するとともに、前記アクセス要求の対象となるゲートウェイ装置のポートを開放させる指示を行ない、前記端末装置に対して、前記識別情報を指定するとともに、開放された前記アクセス要求の対象となるゲートウェイ装置のポートを通知する、
ことを特徴とする請求項1又は請求項2に記載の接続支援装置。
【請求項1】
端末装置が認証された場合に前記端末装置からのアクセスの支援対象とする複数のゲートウェイ装置を示す情報を記憶する記憶手段と、
前記記憶手段に記憶された前記情報に示される前記複数のゲートウェイ装置のうちのいずれかへのアクセス要求を、認証された前記端末装置から受信した場合に、前記端末装置及び前記アクセス要求の対象となるゲートウェイ装置に対して、前記アクセス要求の対象となるゲートウェイ装置が前記端末装置からのアクセスの許可の判定に用いる識別情報を指定する指定手段と、
を含むことを特徴とする接続支援装置。
【請求項2】
前記端末装置と前記ゲートウェイ装置との間で通信されるデータの通信単位は、送信元及び送信先を特定する情報を含むヘッダ部と、前記指定手段により指定された前記識別情報を含むデータ部と、を含む通信単位である、
ことを特徴とする請求項1に記載の接続支援装置。
【請求項3】
前記指定手段が、
前記アクセス要求を受信した場合に、前記アクセス要求の対象となるゲートウェイ装置に対して、前記識別情報を指定するとともに、前記アクセス要求の対象となるゲートウェイ装置のポートを開放させる指示を行ない、前記端末装置に対して、前記識別情報を指定するとともに、開放された前記アクセス要求の対象となるゲートウェイ装置のポートを通知する、
ことを特徴とする請求項1又は請求項2に記載の接続支援装置。
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【公開番号】特開2011−150704(P2011−150704A)
【公開日】平成23年8月4日(2011.8.4)
【国際特許分類】
【出願番号】特願2011−26438(P2011−26438)
【出願日】平成23年2月9日(2011.2.9)
【分割の表示】特願2007−504599(P2007−504599)の分割
【原出願日】平成17年2月24日(2005.2.24)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成23年8月4日(2011.8.4)
【国際特許分類】
【出願日】平成23年2月9日(2011.2.9)
【分割の表示】特願2007−504599(P2007−504599)の分割
【原出願日】平成17年2月24日(2005.2.24)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]