VPNシステム、VPN接続方法
【課題】ユーザ端末を複数拠点の情報サーバにVPN接続させる。
【解決手段】複数の情報サーバに第1のVPN回線を介して接続されたVPN中継サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続し、ユーザ端末からの要求に応じて、ユーザに対応する接続リストをユーザ端末に送信し、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継する。
【解決手段】複数の情報サーバに第1のVPN回線を介して接続されたVPN中継サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続し、ユーザ端末からの要求に応じて、ユーザに対応する接続リストをユーザ端末に送信し、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、VPNを接続する技術に関する。
【背景技術】
【0002】
情報通信ネットワークが発達し、ネットワークを介して様々な情報が通信されている。ここで、ユーザ端末と情報サーバとがネットワークを介して通信する場合、第三者による盗聴等を防いで安全に通信するために、例えばHTTPS(Hypertext Transfer Protocol over Secure Socket Layer)に基づく通信を行うことが考えられる。ただし、この場合はHTTP(Hypertext Transfer Protocol)以外のプロトコルによる通信を安全に行うことができない。そこで、異なるLAN(Local Area Network)等の拠点間をVPN(Virtual Private Network)回線により接続することで、VPN回線を介して多様なプロトコルによる通信を安全に行うことができる。特許文献1には、複数拠点のネットワークをVPN回線により接続することが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2011−166375号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、単一のユーザ端末が複数のVPN回線を介して複数拠点に接続する場合、異なる拠点毎に異なる認証を行って接続することとなる。このため、複数の拠点にVPN回線を介して接続しようとするユーザ端末は、複数拠点毎のアカウントやパスワード等の認証情報や通信処理を管理しなければならず、ユーザ端末におけるVPN回線の管理が煩雑になる。そこで、単一のユーザ端末が複数のVPN回線を介して複数拠点に場合にも、簡単に効率良く接続することが望ましい。
【0005】
本発明は、このような状況に鑑みてなされたもので、ユーザ端末が、複数拠点の情報サーバにVPN接続するVPNシステム、VPN接続方法を提供する。
【課題を解決するための手段】
【0006】
上述した課題を解決するために、本発明は、ユーザのユーザ端末と、ユーザ端末にネットワークを介して接続されたVPN中継サーバとを備えたVPNシステムであって、VPN中継サーバは、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、ユーザと、複数の情報サーバのうち、ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続するユーザ通信部と、ユーザ端末からの要求に応じて、ユーザに対応する接続リストをユーザ端末に送信する接続リスト送信部と、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継する中継部と、を備えることを特徴とする。
【0007】
また、本発明は、ユーザ端末は、入力される通信要求に応じて、通信要求の宛先に通信要求を送信する通信部と、通信部に、情報サーバを宛先とする通信要求が入力されると、通信要求の宛先をVPN中継サーバに書き換えて通信部に送信させる宛先変換部と、を備えることを特徴とする。
【0008】
また、本発明は、ユーザ端末は、自身のハードウェアリソース上において動作するプロセスを識別するプロセス識別情報と、プロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶されるプロセス記憶部を備え、宛先変換部は、通信部に通信要求を入力したプロセスが、接続リストに基づいて起動されたプロセスまたはプロセスの子プロセスであるか否かを判定し、接続リストに基づいて起動されたプロセスまたはプロセスの子プロセスであると判定した場合、通信要求の宛先をVPN中継サーバに書き換えることを特徴とする。
【0009】
また、本発明は、VPN中継サーバは、ユーザと、ユーザ端末が行う処理動作のうち、ユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている第1のセキュリティポリシ記憶部と、ユーザ端末からの要求に応じて、ユーザに対応するセキュリティポリシをユーザ端末に送信するセキュリティポリシ送信部と、を備え、ユーザ端末は、セキュリティポリシが記憶される第2のセキュリティポリシ記憶部と、VPN中継サーバにセキュリティポリシを要求し、要求に応じてVPN中継サーバから送信されるセキュリティポリシを受信して第2のセキュリティポリシ記憶部に記憶させるセキュリティポリシ登録部と、第2のセキュリティポリシ記憶部に記憶されているセキュリティポリシに基づいて、ユーザ端末の動作を制御する動作抑止部と、を備えることを特徴とする。
【0010】
また、本発明は、セキュリティポリシには、ユーザ端末が備えるハードウェアリソース毎に、動作の可否が対応付けられていることを特徴とする。
【0011】
また、本発明は、ユーザ端末は、ユーザ端末を、宛先変換部と動作抑止部との少なくともいずれかとして機能させる制御プログラムが記憶されている記憶媒体から、制御プログラムを読み出し、制御プログラムに基づいて宛先変換部と動作抑止部との少なくともいずれかを構成するインストール制御部を備えることを特徴とする。
【0012】
また、本発明は、ユーザのユーザ端末と、ユーザ端末にネットワークを介して接続され、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、ユーザと、複数の情報サーバのうち、ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、を備えたVPN中継サーバとを備えたVPNシステムの、VPN中継サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続するステップと、ユーザ端末からの要求に応じて、ユーザに対応する接続リストをユーザ端末に送信するステップと、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継するステップと、を備えることを特徴とするVPN接続方法である。
【発明の効果】
【0013】
以上説明したように、本発明によれば、複数の情報サーバに第1のVPN回線を介して接続されたVPN中継サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続し、ユーザ端末からの要求に応じて、ユーザに対応する接続リストを、第2のVPN回線を介してユーザ端末に送信し、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継するようにしたので、ユーザ端末が、複数拠点の情報サーバにVPN接続することが可能となる。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態によるVPNシステムの構成例を示すブロック図である。
【図2】本発明の一実施形態による接続リストのデータ例を示す図である。
【図3】本発明の一実施形態によるセキュリティポリシのデータ例を示す図である。
【図4】本発明の一実施形態による対応関係のデータ例を示す図である。
【図5】本発明の一実施形態によるプロセス情報のデータ例を示す図である。
【図6】本発明の一実施形態によるアプリケーションメニュー画面の例を示す図である。
【図7】本発明の一実施形態によるVPNシステムの動作例を示すシーケンス図である。
【図8】本発明の一実施形態によるユーザ端末による宛先変換処理の動作例を示すフローチャートである。
【図9】本発明の一実施形態によるユーザ端末による動作抑止処理の動作例を示すフローチャートである。
【発明を実施するための形態】
【0015】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態によるVPNシステム1の構成例を示すブロック図である。VPNシステム1は、VPN中継サーバ10と、ユーザ端末20と、VPN中継サーバ10にVPN回線を介して接続された複数の拠点30(拠点30−1、拠点30−2、・・・)を備えている。ここで、複数の拠点30は同様の構成であるので、特に区別しない場合には「−1」、「−2」等を省略して拠点30として説明する。図においては2つの拠点30を示しているが、3以上の拠点30がVPN中継サーバ10に接続されていて良い。それぞれの拠点30には、GW31と、拠点毎のGW31に接続された情報サーバ32(情報サーバ32−1、情報サーバ32−2、・・・)が備えられている。情報サーバ32は、ネットワークを介してアプリケーションを提供するコンピュータ装置であり、提供するアプリケーションは異なるものであって良いが、特に区別しない場合には「−1」、「−2」等を省略して情報サーバ32として説明する。図においては各拠点に1台の情報サーバ32が接続された例を示しているが、GW31に接続された情報サーバ32は2台以上でも良い。
【0016】
VPN中継サーバ10は、ユーザ端末20にネットワークを介して接続されたコンピュータ装置であり、サーバ通信部11と、接続リスト記憶部12と、セキュリティポリシ記憶部13と、ユーザVPN通信部14と、ユーザ制御部15と、対応関係記憶部16と、中継部17と、ユーザ通信部18とを備えている。
サーバ通信部11は、それぞれが情報サーバに接続される複数のGW31にVPN回線を介して接続され、GW31を介して情報サーバと通信を行う。GW31は、VPN回線の終端装置であり、拠点30とVPN中継サーバ10とをVPN接続する。GW31−1のVIP(Virtual-IP(Internet Protocol)アドレス)は「aa.aa.aa.aa」であり、GW31−2のVIPは「bb.bb.bb.bb」であるとする。情報サーバ32は、ユーザ端末20からの通信要求に応答するコンピュータ装置である。情報サーバ32は、例えば、SaaS(Software as a Service)やASP(Application Service Provider)とよばれるような、ネットワークを介して業務アプリ等のアプリケーションを提供するウェブサーバや、リモートデスクトップによる動作を行うコンピュータ端末、SIP(Session Initiation Protocol)に基づく通信を行うアプリケーションを提供するコンピュータ装置等が適用できる。サーバ通信部11は、このような複数の拠点30におけるGW31とそれぞれに異なるVPN回線を接続し、ユーザ端末20と情報サーバ32との間の通信を中継する。
【0017】
接続リスト記憶部12には、ユーザ端末20のユーザと、複数の情報サーバ32のうち、そのユーザのユーザ端末20からの接続を受け付ける情報サーバ32とが対応付けられた接続リストが記憶される。図2は、接続リスト記憶部12に記憶されている接続リストのデータ例を示す図である。接続リストには、ユーザID(IDentifier)と、アプリケーション名と、ユーザ端末側VIPとが対応付けられて記憶される。ユーザIDは、予め定められたユーザを識別する識別情報である。アプリケーション名は、対応するユーザIDに基づいて認証されたユーザ端末20からの利用を許可するアプリケーションを示す情報である。ユーザ端末側VIPは、対応するアプリケーションを利用する際にユーザ端末20から通信要求が送信される宛先であるVPN中継サーバ10のVIPを示す情報である。ここでは、アプリケーションを提供する情報サーバ32毎に、異なるVIPが対応付けられる。
【0018】
セキュリティポリシ記憶部13には、ユーザと、そのユーザのユーザ端末20が行う処理動作のうち、そのユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている。図3は、セキュリティポリシ記憶部13に記憶されているセキュリティポリシのデータ例を示す図である。セキュリティポリシには、ユーザ端末20が行う処理動作毎に、動作の可否が対応付けられている。ここでは、ユーザID毎に、処理動作の種別と、その動作を許可するか否かを示す情報とが対応付けられる。許可の列は、「○」であれば対応する処理動作を許可することを示し、「×」であれば対応する処理動作を許可しないことを示す。例えば、ユーザIDが「ユーザA」であるユーザは、「ローカルストレージへの書き出し」が許可されており、「リムーバブルデバイス」である「外部ストレージへの書き出し」は許可されていないことを示している。本実施形態では、このように、処理動作の種別毎に動作の可否が対応付けられたテーブル形式のデータを用いて説明するが、許可する処理動作のリストであるホワイトリストと、許可しない処理動作のリストであるブラックリストとを記憶するようにしても良い。
【0019】
ユーザ通信部18は、ユーザ端末20との間で通信を行う。例えば、ユーザ通信部18は、ユーザ端末20との間でHTTPS通信を行い、ユーザ認証のための情報やVPN通信のための情報等を送受信する。
ユーザVPN通信部14は、ユーザ端末20からの要求に応じて、ユーザ端末20とユーザVPN通信部14との間にVPN回線を接続し、接続したVPN回線を介して通信を行う。また、ユーザVPN通信部14は、情報サーバ32によって提供されるアプリケーション毎に異なるVIP(「xx.xx.xx.xx」、「yy.yy.yy.yy」、「zz.zz.zz.zz」、・・・)をユーザ端末20に対して公開し、通信する。
【0020】
ユーザ制御部15は、ユーザ通信部18を介してユーザ端末20と通信し、ユーザ毎の情報の制御を行う。例えば、ユーザ制御部15は、ユーザ端末20からの要求に応じて、ユーザ認証を行う。ユーザ制御部15の記憶領域に、ユーザIDとパスワードとを対応付けたアカウント情報を予め記憶し、ユーザ端末20から送信されるユーザIDとパスワードとに一致するデータが存在すれば認証成功と判定し、ユーザ端末20から送信されるユーザアカウントとパスワードとに一致するデータが存在しなければ認証失敗と判定する。
【0021】
また、ユーザ制御部15は、ユーザ認証が成功したと判定すると、そのユーザIDに対応する接続リストを接続リスト記憶部12から読み出し、読み出した接続リストを、ユーザ通信部18を介してユーザ端末20に送信する。
また、ユーザ制御部15は、ユーザ認証が成功したと判定すると、そのユーザIDに対応するセキュリティポリシをセキュリティポリシ記憶部13から読み出し、読み出したセキュリティポリシを、ユーザ通信部18を介してユーザ端末20に送信する。
【0022】
対応関係記憶部16には、ユーザ端末20に対してユーザVPN通信部14が公開しているVPN回線のVIPと、そのVIPに対応するGW31のVIPとが対応付けられた対応関係が記憶されている。図4は、対応関係記憶部16に記憶される対応関係のデータ例を示す図である。例えば、ユーザ端末20に公開しているVIP「xx.xx.xx.xx」は、GW31−1のVIPである「aa.aa.aa.aa」に対応することが示されている。
【0023】
中継部17は、ユーザ端末20から、接続リストに含まれる情報サーバ32に対する通信要求を受信すると、ユーザ端末20との間のVPN回線と、対応する拠点30のVPN回線とを介して、ユーザ端末20と情報サーバ32との通信を中継する。例えば、VPN中継サーバ10は、ユーザVPN通信部14が、ユーザ端末側VIP「xx.xx.xx.xx」を宛先として送信された通信要求を受信すると、VIP「xx.xx.xx.xx」に対応するGW−VIP「aa.aa.aa.aa」を対応関係記憶部16から読み出し、通信要求の宛先をGW−VIP「aa.aa.aa.aa」に変換して、GW31−1に送信する。
【0024】
図1に戻り、ユーザ端末20は、プロセス記憶部21と、セキュリティポリシ記憶部22と、接続リスト記憶部23と、OSカーネル24と、通信部25と、VPNアプリケーション制御部26と、宛先変換部27と、アプリケーション制御部28と、動作抑止部29とを備えたコンピュータ装置であり、カードリーダ40が接続されている。ここでは、1台のユーザ端末20を図示して説明するが、VPN中継サーバ10には複数台のユーザ端末20が接続されて良い。ユーザ端末20は、ディスプレイ等の表示デバイスや、キーボードやマウス等の入力デバイス等を備える。
【0025】
プロセス記憶部21には、ユーザ端末20のハードウェアリソース上で動作するプロセスを識別するプロセス識別情報と、そのプロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶される。図5は、プロセス記憶部21に記憶されているプロセス情報のデータ例を示す図である。プロセス情報には、アプリケーションを識別するプロセス名と、そのプロセスIDと、そのプロセスに基づいて起動されたプロセスであるプロセスを識別する子プロセスIDとが対応付けられて記憶される。ここでは説明の便宜上、プロセス情報はテーブル形式で記憶されていることとして説明するが、実際にはテーブル形式でなくとも良く、ユーザ端末20を動作させるOS(Operating System)が持つプロセス管理機能から、プロセスと子プロセスとの関係が取得できれば良い。
【0026】
セキュリティポリシ記憶部22には、VPN中継サーバ10から送信された、ユーザ端末20のユーザに対応するセキュリティポリシが記憶される。
接続リスト記憶部23には、VPN中継サーバ10から送信された、ユーザ端末20のユーザに対応する接続リストが記憶される。
【0027】
OSカーネル24は、ユーザ端末20が備える各部の処理動作を制御する制御部である。ユーザ端末20において処理動作が行われる際には、OSカーネル24に動作要求が入力され、OSカーネル24によってハードウェア各部が動作される。
通信部25は、VPN中継サーバ10と通信を行う。例えば、通信部25は、OSカーネル24から入力される通信要求に応じて、その通信要求の宛先に通信要求を送信する。
【0028】
VPNアプリケーション制御部26は、VPN中継サーバ10を介して情報サーバ32と行う通信動作を制御する。例えば、VPNアプリケーション制御部26は、カードリーダ40によってICカードから読み出された情報に基づいて、ICカードが予めVPN中継サーバ10を利用することが定められたユーザに発行されたものであるか否かを判定する。また、VPNアプリケーション制御部26は、VPN中継サーバ10に接続するためのユーザIDとユーザアカウントとの入力を受け付け、入力されたユーザIDとユーザアカウントとが含まれる認証要求をVPN中継サーバ10に送信する。そして、VPN中継サーバ10によって認証成功と判定されると、VPN中継サーバ10にセキュリティポリシと接続リストとを要求する。また、送信した要求に応じて、VPN中継サーバ10から送信されるセキュリティポリシと接続リストとを受信し、セキュリティポリシをセキュリティポリシ記憶部22に記憶させ、接続リストを接続リスト記憶部23に記憶させる。
【0029】
また、VPNアプリケーション制御部26は、接続リスト記憶部23に記憶されている接続リストを、ユーザ端末20が備える表示部に表示させる。図6は、ユーザ端末20の表示部に表示させる接続リストの画面例を示す図である。ここでは、接続リストに含まれる接続先はアプリケーションに対応するため、画面には「アプリケーションメニュー」として表示させている。VPNアプリケーション制御部26は、表示させたアプリケーションのうち、いずれかの項目が選択されて押下されると、そのアプリケーションに対応する情報サーバ32を宛先とする通信要求を、OSカーネル24に入力する。これに応じて通信要求が情報サーバ32に送信され、接続されると、ユーザ端末20には、選択されたアプリケーションを動作するプロセスが起動される。このようなプロセスが、例えばウェブサーバである情報サーバ32と通信を行うインターネットブラウザであれば、そのインターネットブラウザに表示されるHTML(HyperText Markup Language)ページに含まれるリンクは、情報サーバ32のIPアドレスを示すものである。しかし、このIPアドレスは、拠点30内におけるIPアドレスであるため、このIPアドレスを宛先として通信要求を送信しても、情報サーバ32には到達しない。そこで、宛先変換部27により宛先を変換する。
【0030】
宛先変換部27は、OSカーネル24に入力される通信要求を監視し、情報サーバ32を宛先とする通信要求がOSカーネル24に入力されると、接続リスト記憶部23の記憶領域に記憶されている接続リストから、対応するユーザ端末側VIPを読み出し、その通信要求の宛先を、対応するVPN中継サーバ10のユーザ端末側VIPに書き換えて、通信部25に送信させる。
ここで、宛先変換部27は、OSカーネル24に通信要求を入力したプロセスが、接続リストに基づいて起動されたプロセスまたはそのプロセスの子プロセスであるか否かを判定する。ここで、接続リストに基づいて起動されたプロセスまたはそのプロセスの子プロセスであると判定した場合、その通信要求の宛先を、対応するVPN中継サーバ10のユーザ端末側VIPに書き換える。
【0031】
アプリケーション制御部28は、ユーザ端末20の記憶領域に記憶されているアプリケーションプログラムに基づいて、ユーザ端末20の動作制御を行う。例えば、ユーザ端末20の記憶領域に記憶されている文章作成プログラム、表計算プログラム等が存在する。
動作抑止部29は、セキュリティポリシ記憶部22に記憶されているセキュリティポリシに基づいて、ユーザ端末20の動作を制御する。例えば、動作抑止部29は、OSカーネル24に入力される動作要求を監視し、動作要求が入力されると、セキュリティポリシ記憶部22に記憶されているセキュリティポリシと比較して、入力された動作要求が許可されていない場合、その動作要求を破棄し、動作させない。これにより、VPN回線を介して利用する情報が、ユーザ端末20の記憶領域に残存することを防ぐことが可能となり、ユーザ端末20をシンクライアント端末として利用することができる。
カードリーダ40は、ICカードに記憶されている情報を読み込む。
【0032】
次に、図面を参照して、本実施形態によるVPNシステム1の動作例を説明する。図7は、ユーザ端末20が情報サーバ32−1と通信を行う動作例を示すシーケンス図である。
ユーザがカードリーダ40にICカードを近接させると、カードリーダ40はICカードに記憶されている情報を読み込む。VPNアプリケーション制御部26は、カードリーダ40が読み込んだICカードの情報に基づいて、ICカードがVPN中継サーバ10のユーザに予め発行されたものであるか否かを判定する。VPNアプリケーション制御部26が、ICカードがVPN中継サーバ10のユーザに予め発行されたものでないと判定すれば、処理を終了する。
【0033】
VPNアプリケーション制御部26が、ICカードがVPN中継サーバ10のユーザに予め発行されたものであると判定すれば、ユーザIDとパスワードとの入力を受け付ける。VPNアプリケーション制御部26は、入力されたユーザIDとパスワードとが含まれる認証要求を、VPN中継サーバ10に送信する(ステップS1)。VPN中継サーバ10のユーザ通信部18が、ユーザ端末20から送信された認証要求を受信すると、ユーザ制御部15が、認証要求に応じて認証処理を行う。VPN中継サーバ10のユーザ制御部15が認証失敗と判定すれば、エラーとして処理を終了する。VPN中継サーバ10のユーザ制御部15が、認証成功と判定すれば、ユーザVPN通信部14が、ユーザ端末20との間でVPN回線を接続する(ステップS2)。
【0034】
VPN中継サーバ10のユーザ制御部15は、認証成功したユーザIDに対応付けられて接続リスト記憶部12に記憶されている接続リストと、セキュリティポリシ記憶部13に記憶されているセキュリティポリシとを読み出し、読み出した接続リストとセキュリティポリシとを、ユーザ通信部18を介してユーザ端末20に送信する(ステップS3)。VPNアプリケーション制御部26は、VPN中継サーバ10から受信した接続リストを接続リスト記憶部23に記憶させ、セキュリティポリシをセキュリティポリシ記憶部22に記憶させる。
【0035】
ユーザ端末20のVPNアプリケーション制御部26は、接続リスト記憶部23に記憶されている接続リストを読み出し、アプリケーションの選択画面を表示部に表示させる。そして、VPNアプリケーション制御部26は、いずれかのアプリケーションの選択を受け付ける(ステップS4)。VPNアプリケーション制御部26は、選択したアプリケーションに応じた情報サーバ32に対する通信要求を、VPN中継サーバ10に送信する(ステップS5)。VPN中継サーバ10の中継部17は、ユーザ端末20から送信された通信要求を受信すると、その情報サーバ32に対応するGW31のVIPを対応関係記憶部16から読み出し(ステップS6)、読み出したVIPを宛先として通信要求を送信する(ステップS7)。情報サーバ32は、通信要求を受信すると、応答を送信する(ステップS8)。VPN中継サーバ10は、通信要求を送信したユーザ端末20に、ユーザVPN通信部14を介して情報サーバ32からの応答を転送し、VPN回線によりユーザ端末20と情報サーバ32との通信を中継する(ステップS9)。
【0036】
ここでは、VPN中継サーバ10のサーバ通信部11と拠点30内のGW31との間には予めVPN接続がなされているものとして説明したが、実施例はこれに限らない。例えば、ステップS5において、VPN中継サーバ10がユーザ端末20から情報サーバ32への通信要求を受信すると、通信要求に対応する情報サーバ32に接続されたGW31との間でのVPN接続の有無を判定し、VPN接続が存在しない場合にはVPN接続を行い、情報サーバ32との通信を行うようにしても良い。
【0037】
次に、図8を参照して、ユーザ端末20において宛先変換部27が行う宛先変換処理の動作例を説明する。
宛先変換部27は、OSカーネル24に入力される要求を監視する(ステップS10)。OSカーネル24に入力された動作要求が通信要求でなければ(ステップS11:NO)、処理を終了する。OSカーネル24に入力された動作要求が通信要求であれば(ステップS11:YES)、宛先変換部27は、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものであるか否かを判定する(ステップS12)。
【0038】
宛先変換部27が、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものでないと判定すると(ステップS12:NO)、ステップS14に進む。宛先変換部27が、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものであると判定すると(ステップS12:YES)、接続リスト記憶部23に記憶されている接続リストを読み出し、通信要求の宛先である情報サーバ32のIPアドレスを、対応するVPN中継サーバ10のユーザ端末側VIPに書き換える(ステップS13)。OSカーネル24は、通信要求を通信部25に送信させる(ステップS14)。
【0039】
次に、図9を参照して、ユーザ端末20において動作抑止部29が行う動作抑止処理の動作例を説明する。
動作抑止部29は、OSカーネル24に入力される要求を監視する(ステップS21)。OSカーネル24に動作要求が入力されなければ(ステップS22:NO)、処理を終了する。OSカーネル24に動作要求が入力されれば(ステップS22:YES)、動作抑止部29は、セキュリティポリシ記憶部22に記憶されているセキュリティポリシを読み出し、動作要求はセキュリティポリシに定められた動作であるか否かを判定する(ステップS23)。
【0040】
動作抑止部29が、入力された動作要求はセキュリティポリシに定められた動作でないと判定すると(ステップS23:NO)、ステップS26に進む。動作抑止部29が、入力された動作要求はセキュリティポリシに定められた動作であると判定すると(ステップS23:YES)、その動作が許可されているか否かを判定する(ステップS24)。動作抑止部29は、動作が許可されていないと判定すると(ステップS24:NO)、その動作要求を破棄し、動作させない(ステップS25)。動作抑止部29は、動作が許可されていると判定すると(ステップS24:YES)、その動作要求をOSカーネル24に実行させ、動作させる(ステップS26)。
【0041】
なお、本実施形態では、1台のコンピュータ装置であるVPN中継サーバ10が、サーバ通信部11から中継部17の機能部の全てを備えるとして説明したが、機能や規模に応じて、異なるコンピュータが機能部を備えるように構成することができる。例えば、ユーザのログイン認証を行う認証サーバ、ログイン認証が成功したユーザに対応する接続リストをユーザ端末20に送信するメニューサーバ、ユーザ端末20と拠点30との通信中継を行う中継サーバとを異なるコンピュータ装置に構成することができる。
【0042】
また、本実施形態では、ユーザ端末20がVPN中継サーバ10と通信を行うためのセキュリティポリシ記憶部22、接続リスト記憶部23、OSカーネル24、VPNアプリケーション制御部26、宛先変換部27、動作抑止部29の機能部は、ユーザ端末20が予め備えることとしたが、これらの機能部を構成する制御プログラムをカードリーダ40の記憶領域に記憶させておき、カードリーダ40がユーザ端末20に接続された際に、ユーザ端末20にインストールされるようにしても良い。この場合、カードリーダ40がユーザ端末20に接続されると、ユーザ端末20のアプリケーション制御部28が、カードリーダ40に記憶された制御プログラムを読み出し、インストールして各機能部を構成する。これにより、ユーザはカードリーダ40を持っていれば、ユーザ端末20が予め各機能部を備えるものでなくとも、カードリーダ40をユーザ端末20に接続させて制御プログラムをインストールさせることにより、VPN中継サーバ10のクライアント端末として動作させることができる。
【0043】
以上説明したように、本実施形態によれば、ユーザ端末20は、VPN中継サーバ10に接続することにより、VPN回線を介して複数のGW31に接続し、複数拠点の情報サーバ32と通信を行うことが可能となる。特に近年では、SaaSやASP等と呼ばれるようなクラウド形式により提供されるアプリケーションが増えてきており、このようなアプリケーションを利用するためにVPN回線により接続する場合がある。このような場合に、ユーザ端末20がアプリケーション毎に対応するVPN回線を接続することなく、VPN中継サーバ10に接続することにより、アプリケーションを利用することができる。また、ユーザ毎にセキュリティポリシや接続リストを定めることが可能であるため、VPN中継サーバ10の接続リスト記憶部12やセキュリティポリシ記憶部13に記憶されている情報を管理することで、VPNシステム1に接続してくるユーザ端末20の動作を一括して管理することが可能となる。
【0044】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりVPN接続を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0045】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0046】
1 VPNシステム
10 VPN中継サーバ
11 サーバ通信部
12 接続リスト記憶部
13 セキュリティポリシ記憶部
14 ユーザVPN通信部
15 ユーザ制御部
16 対応関係記憶部
17 中継部
18 ユーザ通信部
20 ユーザ端末
21 プロセス記憶部
22 セキュリティポリシ記憶部
23 接続リスト記憶部
24 OSカーネル
25 通信部
26 VPNアプリケーション制御部
27 宛先変換部
28 アプリケーション制御部
29 動作抑止部
30 拠点
31 GW
32 情報サーバ
40 カードリーダ
【技術分野】
【0001】
本発明は、VPNを接続する技術に関する。
【背景技術】
【0002】
情報通信ネットワークが発達し、ネットワークを介して様々な情報が通信されている。ここで、ユーザ端末と情報サーバとがネットワークを介して通信する場合、第三者による盗聴等を防いで安全に通信するために、例えばHTTPS(Hypertext Transfer Protocol over Secure Socket Layer)に基づく通信を行うことが考えられる。ただし、この場合はHTTP(Hypertext Transfer Protocol)以外のプロトコルによる通信を安全に行うことができない。そこで、異なるLAN(Local Area Network)等の拠点間をVPN(Virtual Private Network)回線により接続することで、VPN回線を介して多様なプロトコルによる通信を安全に行うことができる。特許文献1には、複数拠点のネットワークをVPN回線により接続することが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2011−166375号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、単一のユーザ端末が複数のVPN回線を介して複数拠点に接続する場合、異なる拠点毎に異なる認証を行って接続することとなる。このため、複数の拠点にVPN回線を介して接続しようとするユーザ端末は、複数拠点毎のアカウントやパスワード等の認証情報や通信処理を管理しなければならず、ユーザ端末におけるVPN回線の管理が煩雑になる。そこで、単一のユーザ端末が複数のVPN回線を介して複数拠点に場合にも、簡単に効率良く接続することが望ましい。
【0005】
本発明は、このような状況に鑑みてなされたもので、ユーザ端末が、複数拠点の情報サーバにVPN接続するVPNシステム、VPN接続方法を提供する。
【課題を解決するための手段】
【0006】
上述した課題を解決するために、本発明は、ユーザのユーザ端末と、ユーザ端末にネットワークを介して接続されたVPN中継サーバとを備えたVPNシステムであって、VPN中継サーバは、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、ユーザと、複数の情報サーバのうち、ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続するユーザ通信部と、ユーザ端末からの要求に応じて、ユーザに対応する接続リストをユーザ端末に送信する接続リスト送信部と、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継する中継部と、を備えることを特徴とする。
【0007】
また、本発明は、ユーザ端末は、入力される通信要求に応じて、通信要求の宛先に通信要求を送信する通信部と、通信部に、情報サーバを宛先とする通信要求が入力されると、通信要求の宛先をVPN中継サーバに書き換えて通信部に送信させる宛先変換部と、を備えることを特徴とする。
【0008】
また、本発明は、ユーザ端末は、自身のハードウェアリソース上において動作するプロセスを識別するプロセス識別情報と、プロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶されるプロセス記憶部を備え、宛先変換部は、通信部に通信要求を入力したプロセスが、接続リストに基づいて起動されたプロセスまたはプロセスの子プロセスであるか否かを判定し、接続リストに基づいて起動されたプロセスまたはプロセスの子プロセスであると判定した場合、通信要求の宛先をVPN中継サーバに書き換えることを特徴とする。
【0009】
また、本発明は、VPN中継サーバは、ユーザと、ユーザ端末が行う処理動作のうち、ユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている第1のセキュリティポリシ記憶部と、ユーザ端末からの要求に応じて、ユーザに対応するセキュリティポリシをユーザ端末に送信するセキュリティポリシ送信部と、を備え、ユーザ端末は、セキュリティポリシが記憶される第2のセキュリティポリシ記憶部と、VPN中継サーバにセキュリティポリシを要求し、要求に応じてVPN中継サーバから送信されるセキュリティポリシを受信して第2のセキュリティポリシ記憶部に記憶させるセキュリティポリシ登録部と、第2のセキュリティポリシ記憶部に記憶されているセキュリティポリシに基づいて、ユーザ端末の動作を制御する動作抑止部と、を備えることを特徴とする。
【0010】
また、本発明は、セキュリティポリシには、ユーザ端末が備えるハードウェアリソース毎に、動作の可否が対応付けられていることを特徴とする。
【0011】
また、本発明は、ユーザ端末は、ユーザ端末を、宛先変換部と動作抑止部との少なくともいずれかとして機能させる制御プログラムが記憶されている記憶媒体から、制御プログラムを読み出し、制御プログラムに基づいて宛先変換部と動作抑止部との少なくともいずれかを構成するインストール制御部を備えることを特徴とする。
【0012】
また、本発明は、ユーザのユーザ端末と、ユーザ端末にネットワークを介して接続され、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、ユーザと、複数の情報サーバのうち、ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、を備えたVPN中継サーバとを備えたVPNシステムの、VPN中継サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続するステップと、ユーザ端末からの要求に応じて、ユーザに対応する接続リストをユーザ端末に送信するステップと、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継するステップと、を備えることを特徴とするVPN接続方法である。
【発明の効果】
【0013】
以上説明したように、本発明によれば、複数の情報サーバに第1のVPN回線を介して接続されたVPN中継サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第2のVPN回線を介して接続し、ユーザ端末からの要求に応じて、ユーザに対応する接続リストを、第2のVPN回線を介してユーザ端末に送信し、ユーザ端末から、接続リストに含まれる情報サーバに対する通信要求を受信すると、第1のVPN回線および第2のVPN回線を介して、ユーザ端末と情報サーバとの通信を中継するようにしたので、ユーザ端末が、複数拠点の情報サーバにVPN接続することが可能となる。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態によるVPNシステムの構成例を示すブロック図である。
【図2】本発明の一実施形態による接続リストのデータ例を示す図である。
【図3】本発明の一実施形態によるセキュリティポリシのデータ例を示す図である。
【図4】本発明の一実施形態による対応関係のデータ例を示す図である。
【図5】本発明の一実施形態によるプロセス情報のデータ例を示す図である。
【図6】本発明の一実施形態によるアプリケーションメニュー画面の例を示す図である。
【図7】本発明の一実施形態によるVPNシステムの動作例を示すシーケンス図である。
【図8】本発明の一実施形態によるユーザ端末による宛先変換処理の動作例を示すフローチャートである。
【図9】本発明の一実施形態によるユーザ端末による動作抑止処理の動作例を示すフローチャートである。
【発明を実施するための形態】
【0015】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態によるVPNシステム1の構成例を示すブロック図である。VPNシステム1は、VPN中継サーバ10と、ユーザ端末20と、VPN中継サーバ10にVPN回線を介して接続された複数の拠点30(拠点30−1、拠点30−2、・・・)を備えている。ここで、複数の拠点30は同様の構成であるので、特に区別しない場合には「−1」、「−2」等を省略して拠点30として説明する。図においては2つの拠点30を示しているが、3以上の拠点30がVPN中継サーバ10に接続されていて良い。それぞれの拠点30には、GW31と、拠点毎のGW31に接続された情報サーバ32(情報サーバ32−1、情報サーバ32−2、・・・)が備えられている。情報サーバ32は、ネットワークを介してアプリケーションを提供するコンピュータ装置であり、提供するアプリケーションは異なるものであって良いが、特に区別しない場合には「−1」、「−2」等を省略して情報サーバ32として説明する。図においては各拠点に1台の情報サーバ32が接続された例を示しているが、GW31に接続された情報サーバ32は2台以上でも良い。
【0016】
VPN中継サーバ10は、ユーザ端末20にネットワークを介して接続されたコンピュータ装置であり、サーバ通信部11と、接続リスト記憶部12と、セキュリティポリシ記憶部13と、ユーザVPN通信部14と、ユーザ制御部15と、対応関係記憶部16と、中継部17と、ユーザ通信部18とを備えている。
サーバ通信部11は、それぞれが情報サーバに接続される複数のGW31にVPN回線を介して接続され、GW31を介して情報サーバと通信を行う。GW31は、VPN回線の終端装置であり、拠点30とVPN中継サーバ10とをVPN接続する。GW31−1のVIP(Virtual-IP(Internet Protocol)アドレス)は「aa.aa.aa.aa」であり、GW31−2のVIPは「bb.bb.bb.bb」であるとする。情報サーバ32は、ユーザ端末20からの通信要求に応答するコンピュータ装置である。情報サーバ32は、例えば、SaaS(Software as a Service)やASP(Application Service Provider)とよばれるような、ネットワークを介して業務アプリ等のアプリケーションを提供するウェブサーバや、リモートデスクトップによる動作を行うコンピュータ端末、SIP(Session Initiation Protocol)に基づく通信を行うアプリケーションを提供するコンピュータ装置等が適用できる。サーバ通信部11は、このような複数の拠点30におけるGW31とそれぞれに異なるVPN回線を接続し、ユーザ端末20と情報サーバ32との間の通信を中継する。
【0017】
接続リスト記憶部12には、ユーザ端末20のユーザと、複数の情報サーバ32のうち、そのユーザのユーザ端末20からの接続を受け付ける情報サーバ32とが対応付けられた接続リストが記憶される。図2は、接続リスト記憶部12に記憶されている接続リストのデータ例を示す図である。接続リストには、ユーザID(IDentifier)と、アプリケーション名と、ユーザ端末側VIPとが対応付けられて記憶される。ユーザIDは、予め定められたユーザを識別する識別情報である。アプリケーション名は、対応するユーザIDに基づいて認証されたユーザ端末20からの利用を許可するアプリケーションを示す情報である。ユーザ端末側VIPは、対応するアプリケーションを利用する際にユーザ端末20から通信要求が送信される宛先であるVPN中継サーバ10のVIPを示す情報である。ここでは、アプリケーションを提供する情報サーバ32毎に、異なるVIPが対応付けられる。
【0018】
セキュリティポリシ記憶部13には、ユーザと、そのユーザのユーザ端末20が行う処理動作のうち、そのユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている。図3は、セキュリティポリシ記憶部13に記憶されているセキュリティポリシのデータ例を示す図である。セキュリティポリシには、ユーザ端末20が行う処理動作毎に、動作の可否が対応付けられている。ここでは、ユーザID毎に、処理動作の種別と、その動作を許可するか否かを示す情報とが対応付けられる。許可の列は、「○」であれば対応する処理動作を許可することを示し、「×」であれば対応する処理動作を許可しないことを示す。例えば、ユーザIDが「ユーザA」であるユーザは、「ローカルストレージへの書き出し」が許可されており、「リムーバブルデバイス」である「外部ストレージへの書き出し」は許可されていないことを示している。本実施形態では、このように、処理動作の種別毎に動作の可否が対応付けられたテーブル形式のデータを用いて説明するが、許可する処理動作のリストであるホワイトリストと、許可しない処理動作のリストであるブラックリストとを記憶するようにしても良い。
【0019】
ユーザ通信部18は、ユーザ端末20との間で通信を行う。例えば、ユーザ通信部18は、ユーザ端末20との間でHTTPS通信を行い、ユーザ認証のための情報やVPN通信のための情報等を送受信する。
ユーザVPN通信部14は、ユーザ端末20からの要求に応じて、ユーザ端末20とユーザVPN通信部14との間にVPN回線を接続し、接続したVPN回線を介して通信を行う。また、ユーザVPN通信部14は、情報サーバ32によって提供されるアプリケーション毎に異なるVIP(「xx.xx.xx.xx」、「yy.yy.yy.yy」、「zz.zz.zz.zz」、・・・)をユーザ端末20に対して公開し、通信する。
【0020】
ユーザ制御部15は、ユーザ通信部18を介してユーザ端末20と通信し、ユーザ毎の情報の制御を行う。例えば、ユーザ制御部15は、ユーザ端末20からの要求に応じて、ユーザ認証を行う。ユーザ制御部15の記憶領域に、ユーザIDとパスワードとを対応付けたアカウント情報を予め記憶し、ユーザ端末20から送信されるユーザIDとパスワードとに一致するデータが存在すれば認証成功と判定し、ユーザ端末20から送信されるユーザアカウントとパスワードとに一致するデータが存在しなければ認証失敗と判定する。
【0021】
また、ユーザ制御部15は、ユーザ認証が成功したと判定すると、そのユーザIDに対応する接続リストを接続リスト記憶部12から読み出し、読み出した接続リストを、ユーザ通信部18を介してユーザ端末20に送信する。
また、ユーザ制御部15は、ユーザ認証が成功したと判定すると、そのユーザIDに対応するセキュリティポリシをセキュリティポリシ記憶部13から読み出し、読み出したセキュリティポリシを、ユーザ通信部18を介してユーザ端末20に送信する。
【0022】
対応関係記憶部16には、ユーザ端末20に対してユーザVPN通信部14が公開しているVPN回線のVIPと、そのVIPに対応するGW31のVIPとが対応付けられた対応関係が記憶されている。図4は、対応関係記憶部16に記憶される対応関係のデータ例を示す図である。例えば、ユーザ端末20に公開しているVIP「xx.xx.xx.xx」は、GW31−1のVIPである「aa.aa.aa.aa」に対応することが示されている。
【0023】
中継部17は、ユーザ端末20から、接続リストに含まれる情報サーバ32に対する通信要求を受信すると、ユーザ端末20との間のVPN回線と、対応する拠点30のVPN回線とを介して、ユーザ端末20と情報サーバ32との通信を中継する。例えば、VPN中継サーバ10は、ユーザVPN通信部14が、ユーザ端末側VIP「xx.xx.xx.xx」を宛先として送信された通信要求を受信すると、VIP「xx.xx.xx.xx」に対応するGW−VIP「aa.aa.aa.aa」を対応関係記憶部16から読み出し、通信要求の宛先をGW−VIP「aa.aa.aa.aa」に変換して、GW31−1に送信する。
【0024】
図1に戻り、ユーザ端末20は、プロセス記憶部21と、セキュリティポリシ記憶部22と、接続リスト記憶部23と、OSカーネル24と、通信部25と、VPNアプリケーション制御部26と、宛先変換部27と、アプリケーション制御部28と、動作抑止部29とを備えたコンピュータ装置であり、カードリーダ40が接続されている。ここでは、1台のユーザ端末20を図示して説明するが、VPN中継サーバ10には複数台のユーザ端末20が接続されて良い。ユーザ端末20は、ディスプレイ等の表示デバイスや、キーボードやマウス等の入力デバイス等を備える。
【0025】
プロセス記憶部21には、ユーザ端末20のハードウェアリソース上で動作するプロセスを識別するプロセス識別情報と、そのプロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶される。図5は、プロセス記憶部21に記憶されているプロセス情報のデータ例を示す図である。プロセス情報には、アプリケーションを識別するプロセス名と、そのプロセスIDと、そのプロセスに基づいて起動されたプロセスであるプロセスを識別する子プロセスIDとが対応付けられて記憶される。ここでは説明の便宜上、プロセス情報はテーブル形式で記憶されていることとして説明するが、実際にはテーブル形式でなくとも良く、ユーザ端末20を動作させるOS(Operating System)が持つプロセス管理機能から、プロセスと子プロセスとの関係が取得できれば良い。
【0026】
セキュリティポリシ記憶部22には、VPN中継サーバ10から送信された、ユーザ端末20のユーザに対応するセキュリティポリシが記憶される。
接続リスト記憶部23には、VPN中継サーバ10から送信された、ユーザ端末20のユーザに対応する接続リストが記憶される。
【0027】
OSカーネル24は、ユーザ端末20が備える各部の処理動作を制御する制御部である。ユーザ端末20において処理動作が行われる際には、OSカーネル24に動作要求が入力され、OSカーネル24によってハードウェア各部が動作される。
通信部25は、VPN中継サーバ10と通信を行う。例えば、通信部25は、OSカーネル24から入力される通信要求に応じて、その通信要求の宛先に通信要求を送信する。
【0028】
VPNアプリケーション制御部26は、VPN中継サーバ10を介して情報サーバ32と行う通信動作を制御する。例えば、VPNアプリケーション制御部26は、カードリーダ40によってICカードから読み出された情報に基づいて、ICカードが予めVPN中継サーバ10を利用することが定められたユーザに発行されたものであるか否かを判定する。また、VPNアプリケーション制御部26は、VPN中継サーバ10に接続するためのユーザIDとユーザアカウントとの入力を受け付け、入力されたユーザIDとユーザアカウントとが含まれる認証要求をVPN中継サーバ10に送信する。そして、VPN中継サーバ10によって認証成功と判定されると、VPN中継サーバ10にセキュリティポリシと接続リストとを要求する。また、送信した要求に応じて、VPN中継サーバ10から送信されるセキュリティポリシと接続リストとを受信し、セキュリティポリシをセキュリティポリシ記憶部22に記憶させ、接続リストを接続リスト記憶部23に記憶させる。
【0029】
また、VPNアプリケーション制御部26は、接続リスト記憶部23に記憶されている接続リストを、ユーザ端末20が備える表示部に表示させる。図6は、ユーザ端末20の表示部に表示させる接続リストの画面例を示す図である。ここでは、接続リストに含まれる接続先はアプリケーションに対応するため、画面には「アプリケーションメニュー」として表示させている。VPNアプリケーション制御部26は、表示させたアプリケーションのうち、いずれかの項目が選択されて押下されると、そのアプリケーションに対応する情報サーバ32を宛先とする通信要求を、OSカーネル24に入力する。これに応じて通信要求が情報サーバ32に送信され、接続されると、ユーザ端末20には、選択されたアプリケーションを動作するプロセスが起動される。このようなプロセスが、例えばウェブサーバである情報サーバ32と通信を行うインターネットブラウザであれば、そのインターネットブラウザに表示されるHTML(HyperText Markup Language)ページに含まれるリンクは、情報サーバ32のIPアドレスを示すものである。しかし、このIPアドレスは、拠点30内におけるIPアドレスであるため、このIPアドレスを宛先として通信要求を送信しても、情報サーバ32には到達しない。そこで、宛先変換部27により宛先を変換する。
【0030】
宛先変換部27は、OSカーネル24に入力される通信要求を監視し、情報サーバ32を宛先とする通信要求がOSカーネル24に入力されると、接続リスト記憶部23の記憶領域に記憶されている接続リストから、対応するユーザ端末側VIPを読み出し、その通信要求の宛先を、対応するVPN中継サーバ10のユーザ端末側VIPに書き換えて、通信部25に送信させる。
ここで、宛先変換部27は、OSカーネル24に通信要求を入力したプロセスが、接続リストに基づいて起動されたプロセスまたはそのプロセスの子プロセスであるか否かを判定する。ここで、接続リストに基づいて起動されたプロセスまたはそのプロセスの子プロセスであると判定した場合、その通信要求の宛先を、対応するVPN中継サーバ10のユーザ端末側VIPに書き換える。
【0031】
アプリケーション制御部28は、ユーザ端末20の記憶領域に記憶されているアプリケーションプログラムに基づいて、ユーザ端末20の動作制御を行う。例えば、ユーザ端末20の記憶領域に記憶されている文章作成プログラム、表計算プログラム等が存在する。
動作抑止部29は、セキュリティポリシ記憶部22に記憶されているセキュリティポリシに基づいて、ユーザ端末20の動作を制御する。例えば、動作抑止部29は、OSカーネル24に入力される動作要求を監視し、動作要求が入力されると、セキュリティポリシ記憶部22に記憶されているセキュリティポリシと比較して、入力された動作要求が許可されていない場合、その動作要求を破棄し、動作させない。これにより、VPN回線を介して利用する情報が、ユーザ端末20の記憶領域に残存することを防ぐことが可能となり、ユーザ端末20をシンクライアント端末として利用することができる。
カードリーダ40は、ICカードに記憶されている情報を読み込む。
【0032】
次に、図面を参照して、本実施形態によるVPNシステム1の動作例を説明する。図7は、ユーザ端末20が情報サーバ32−1と通信を行う動作例を示すシーケンス図である。
ユーザがカードリーダ40にICカードを近接させると、カードリーダ40はICカードに記憶されている情報を読み込む。VPNアプリケーション制御部26は、カードリーダ40が読み込んだICカードの情報に基づいて、ICカードがVPN中継サーバ10のユーザに予め発行されたものであるか否かを判定する。VPNアプリケーション制御部26が、ICカードがVPN中継サーバ10のユーザに予め発行されたものでないと判定すれば、処理を終了する。
【0033】
VPNアプリケーション制御部26が、ICカードがVPN中継サーバ10のユーザに予め発行されたものであると判定すれば、ユーザIDとパスワードとの入力を受け付ける。VPNアプリケーション制御部26は、入力されたユーザIDとパスワードとが含まれる認証要求を、VPN中継サーバ10に送信する(ステップS1)。VPN中継サーバ10のユーザ通信部18が、ユーザ端末20から送信された認証要求を受信すると、ユーザ制御部15が、認証要求に応じて認証処理を行う。VPN中継サーバ10のユーザ制御部15が認証失敗と判定すれば、エラーとして処理を終了する。VPN中継サーバ10のユーザ制御部15が、認証成功と判定すれば、ユーザVPN通信部14が、ユーザ端末20との間でVPN回線を接続する(ステップS2)。
【0034】
VPN中継サーバ10のユーザ制御部15は、認証成功したユーザIDに対応付けられて接続リスト記憶部12に記憶されている接続リストと、セキュリティポリシ記憶部13に記憶されているセキュリティポリシとを読み出し、読み出した接続リストとセキュリティポリシとを、ユーザ通信部18を介してユーザ端末20に送信する(ステップS3)。VPNアプリケーション制御部26は、VPN中継サーバ10から受信した接続リストを接続リスト記憶部23に記憶させ、セキュリティポリシをセキュリティポリシ記憶部22に記憶させる。
【0035】
ユーザ端末20のVPNアプリケーション制御部26は、接続リスト記憶部23に記憶されている接続リストを読み出し、アプリケーションの選択画面を表示部に表示させる。そして、VPNアプリケーション制御部26は、いずれかのアプリケーションの選択を受け付ける(ステップS4)。VPNアプリケーション制御部26は、選択したアプリケーションに応じた情報サーバ32に対する通信要求を、VPN中継サーバ10に送信する(ステップS5)。VPN中継サーバ10の中継部17は、ユーザ端末20から送信された通信要求を受信すると、その情報サーバ32に対応するGW31のVIPを対応関係記憶部16から読み出し(ステップS6)、読み出したVIPを宛先として通信要求を送信する(ステップS7)。情報サーバ32は、通信要求を受信すると、応答を送信する(ステップS8)。VPN中継サーバ10は、通信要求を送信したユーザ端末20に、ユーザVPN通信部14を介して情報サーバ32からの応答を転送し、VPN回線によりユーザ端末20と情報サーバ32との通信を中継する(ステップS9)。
【0036】
ここでは、VPN中継サーバ10のサーバ通信部11と拠点30内のGW31との間には予めVPN接続がなされているものとして説明したが、実施例はこれに限らない。例えば、ステップS5において、VPN中継サーバ10がユーザ端末20から情報サーバ32への通信要求を受信すると、通信要求に対応する情報サーバ32に接続されたGW31との間でのVPN接続の有無を判定し、VPN接続が存在しない場合にはVPN接続を行い、情報サーバ32との通信を行うようにしても良い。
【0037】
次に、図8を参照して、ユーザ端末20において宛先変換部27が行う宛先変換処理の動作例を説明する。
宛先変換部27は、OSカーネル24に入力される要求を監視する(ステップS10)。OSカーネル24に入力された動作要求が通信要求でなければ(ステップS11:NO)、処理を終了する。OSカーネル24に入力された動作要求が通信要求であれば(ステップS11:YES)、宛先変換部27は、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものであるか否かを判定する(ステップS12)。
【0038】
宛先変換部27が、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものでないと判定すると(ステップS12:NO)、ステップS14に進む。宛先変換部27が、通信要求の要求元であるプロセスのプロセスIDが、VPNアプリケーション制御部26によって起動されたものであると判定すると(ステップS12:YES)、接続リスト記憶部23に記憶されている接続リストを読み出し、通信要求の宛先である情報サーバ32のIPアドレスを、対応するVPN中継サーバ10のユーザ端末側VIPに書き換える(ステップS13)。OSカーネル24は、通信要求を通信部25に送信させる(ステップS14)。
【0039】
次に、図9を参照して、ユーザ端末20において動作抑止部29が行う動作抑止処理の動作例を説明する。
動作抑止部29は、OSカーネル24に入力される要求を監視する(ステップS21)。OSカーネル24に動作要求が入力されなければ(ステップS22:NO)、処理を終了する。OSカーネル24に動作要求が入力されれば(ステップS22:YES)、動作抑止部29は、セキュリティポリシ記憶部22に記憶されているセキュリティポリシを読み出し、動作要求はセキュリティポリシに定められた動作であるか否かを判定する(ステップS23)。
【0040】
動作抑止部29が、入力された動作要求はセキュリティポリシに定められた動作でないと判定すると(ステップS23:NO)、ステップS26に進む。動作抑止部29が、入力された動作要求はセキュリティポリシに定められた動作であると判定すると(ステップS23:YES)、その動作が許可されているか否かを判定する(ステップS24)。動作抑止部29は、動作が許可されていないと判定すると(ステップS24:NO)、その動作要求を破棄し、動作させない(ステップS25)。動作抑止部29は、動作が許可されていると判定すると(ステップS24:YES)、その動作要求をOSカーネル24に実行させ、動作させる(ステップS26)。
【0041】
なお、本実施形態では、1台のコンピュータ装置であるVPN中継サーバ10が、サーバ通信部11から中継部17の機能部の全てを備えるとして説明したが、機能や規模に応じて、異なるコンピュータが機能部を備えるように構成することができる。例えば、ユーザのログイン認証を行う認証サーバ、ログイン認証が成功したユーザに対応する接続リストをユーザ端末20に送信するメニューサーバ、ユーザ端末20と拠点30との通信中継を行う中継サーバとを異なるコンピュータ装置に構成することができる。
【0042】
また、本実施形態では、ユーザ端末20がVPN中継サーバ10と通信を行うためのセキュリティポリシ記憶部22、接続リスト記憶部23、OSカーネル24、VPNアプリケーション制御部26、宛先変換部27、動作抑止部29の機能部は、ユーザ端末20が予め備えることとしたが、これらの機能部を構成する制御プログラムをカードリーダ40の記憶領域に記憶させておき、カードリーダ40がユーザ端末20に接続された際に、ユーザ端末20にインストールされるようにしても良い。この場合、カードリーダ40がユーザ端末20に接続されると、ユーザ端末20のアプリケーション制御部28が、カードリーダ40に記憶された制御プログラムを読み出し、インストールして各機能部を構成する。これにより、ユーザはカードリーダ40を持っていれば、ユーザ端末20が予め各機能部を備えるものでなくとも、カードリーダ40をユーザ端末20に接続させて制御プログラムをインストールさせることにより、VPN中継サーバ10のクライアント端末として動作させることができる。
【0043】
以上説明したように、本実施形態によれば、ユーザ端末20は、VPN中継サーバ10に接続することにより、VPN回線を介して複数のGW31に接続し、複数拠点の情報サーバ32と通信を行うことが可能となる。特に近年では、SaaSやASP等と呼ばれるようなクラウド形式により提供されるアプリケーションが増えてきており、このようなアプリケーションを利用するためにVPN回線により接続する場合がある。このような場合に、ユーザ端末20がアプリケーション毎に対応するVPN回線を接続することなく、VPN中継サーバ10に接続することにより、アプリケーションを利用することができる。また、ユーザ毎にセキュリティポリシや接続リストを定めることが可能であるため、VPN中継サーバ10の接続リスト記憶部12やセキュリティポリシ記憶部13に記憶されている情報を管理することで、VPNシステム1に接続してくるユーザ端末20の動作を一括して管理することが可能となる。
【0044】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりVPN接続を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0045】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0046】
1 VPNシステム
10 VPN中継サーバ
11 サーバ通信部
12 接続リスト記憶部
13 セキュリティポリシ記憶部
14 ユーザVPN通信部
15 ユーザ制御部
16 対応関係記憶部
17 中継部
18 ユーザ通信部
20 ユーザ端末
21 プロセス記憶部
22 セキュリティポリシ記憶部
23 接続リスト記憶部
24 OSカーネル
25 通信部
26 VPNアプリケーション制御部
27 宛先変換部
28 アプリケーション制御部
29 動作抑止部
30 拠点
31 GW
32 情報サーバ
40 カードリーダ
【特許請求の範囲】
【請求項1】
ユーザのユーザ端末と、当該ユーザ端末にネットワークを介して接続されたVPN中継サーバとを備えたVPNシステムであって、
前記VPN中継サーバは、
複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、
前記ユーザと、複数の前記情報サーバのうち、当該ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、
前記ユーザ端末からの要求に応じて、当該ユーザ端末と第2のVPN回線を介して接続するユーザ通信部と、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記接続リストを当該ユーザ端末に送信する接続リスト送信部と、
前記ユーザ端末から、前記接続リストに含まれる前記情報サーバに対する通信要求を受信すると、前記第1のVPN回線および前記第2のVPN回線を介して、当該ユーザ端末と当該情報サーバとの通信を中継する中継部と、
を備えることを特徴とするVPNシステム。
【請求項2】
前記ユーザ端末は、
入力される通信要求に応じて、当該通信要求の宛先に当該通信要求を送信する通信部と、
前記通信部に、前記情報サーバを宛先とする通信要求が入力されると、当該通信要求の宛先を前記VPN中継サーバに書き換えて前記通信部に送信させる宛先変換部と、
を備えることを特徴とする請求項1に記載のVPNシステム。
【請求項3】
前記ユーザ端末は、
自身のハードウェアリソース上において動作するプロセスを識別するプロセス識別情報と、当該プロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶されるプロセス記憶部を備え、
前記宛先変換部は、前記通信部に前記通信要求を入力したプロセスが、前記接続リストに基づいて起動されたプロセスまたは当該プロセスの子プロセスであるか否かを判定し、前記接続リストに基づいて起動されたプロセスまたは当該プロセスの子プロセスであると判定した場合、当該通信要求の宛先を前記VPN中継サーバに書き換える
ことを特徴とする請求項2に記載のVPNシステム。
【請求項4】
前記VPN中継サーバは、
前記ユーザと、前記ユーザ端末が行う処理動作のうち、当該ユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている第1のセキュリティポリシ記憶部と、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記セキュリティポリシを当該ユーザ端末に送信するセキュリティポリシ送信部と、を備え、
前記ユーザ端末は、
前記セキュリティポリシが記憶される第2のセキュリティポリシ記憶部と、
前記VPN中継サーバに前記セキュリティポリシを要求し、当該要求に応じて前記VPN中継サーバから送信される前記セキュリティポリシを受信して前記第2のセキュリティポリシ記憶部に記憶させるセキュリティポリシ登録部と、
前記第2のセキュリティポリシ記憶部に記憶されている前記セキュリティポリシに基づいて、当該ユーザ端末の動作を制御する動作抑止部と、
を備えることを特徴とする請求項1から請求項3までのいずれか1項に記載のVPNシステム。
【請求項5】
前記セキュリティポリシには、前記ユーザ端末が備えるハードウェアリソース毎に、動作の可否が対応付けられている
ことを特徴とする請求項4に記載のVPNシステム。
【請求項6】
前記ユーザ端末は、
前記ユーザ端末を、前記宛先変換部と前記動作抑止部との少なくともいずれかとして機能させる制御プログラムが記憶されている記憶媒体から、当該制御プログラムを読み出し、当該制御プログラムに基づいて前記宛先変換部と前記動作抑止部との少なくともいずれかを構成するインストール制御部
を備えることを特徴とする請求項2から請求項5までのいずれか1項に記載のVPNシステム。
【請求項7】
ユーザのユーザ端末と、当該ユーザ端末にネットワークを介して接続され、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、前記ユーザと、複数の前記情報サーバのうち、当該ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、を備えたVPN中継サーバとを備えたVPNシステムの、
前記VPN中継サーバが、
前記ユーザ端末からの要求に応じて、当該ユーザ端末と第2のVPN回線を介して接続するステップと、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記接続リストを当該ユーザ端末に送信するステップと、
前記ユーザ端末から、前記接続リストに含まれる前記情報サーバに対する通信要求を受信すると、前記第1のVPN回線および前記第2のVPN回線を介して、当該ユーザ端末と当該情報サーバとの通信を中継するステップと、
を備えることを特徴とするVPN接続方法。
【請求項1】
ユーザのユーザ端末と、当該ユーザ端末にネットワークを介して接続されたVPN中継サーバとを備えたVPNシステムであって、
前記VPN中継サーバは、
複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、
前記ユーザと、複数の前記情報サーバのうち、当該ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、
前記ユーザ端末からの要求に応じて、当該ユーザ端末と第2のVPN回線を介して接続するユーザ通信部と、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記接続リストを当該ユーザ端末に送信する接続リスト送信部と、
前記ユーザ端末から、前記接続リストに含まれる前記情報サーバに対する通信要求を受信すると、前記第1のVPN回線および前記第2のVPN回線を介して、当該ユーザ端末と当該情報サーバとの通信を中継する中継部と、
を備えることを特徴とするVPNシステム。
【請求項2】
前記ユーザ端末は、
入力される通信要求に応じて、当該通信要求の宛先に当該通信要求を送信する通信部と、
前記通信部に、前記情報サーバを宛先とする通信要求が入力されると、当該通信要求の宛先を前記VPN中継サーバに書き換えて前記通信部に送信させる宛先変換部と、
を備えることを特徴とする請求項1に記載のVPNシステム。
【請求項3】
前記ユーザ端末は、
自身のハードウェアリソース上において動作するプロセスを識別するプロセス識別情報と、当該プロセスの子プロセスを識別する子プロセス識別情報とが対応付けられて記憶されるプロセス記憶部を備え、
前記宛先変換部は、前記通信部に前記通信要求を入力したプロセスが、前記接続リストに基づいて起動されたプロセスまたは当該プロセスの子プロセスであるか否かを判定し、前記接続リストに基づいて起動されたプロセスまたは当該プロセスの子プロセスであると判定した場合、当該通信要求の宛先を前記VPN中継サーバに書き換える
ことを特徴とする請求項2に記載のVPNシステム。
【請求項4】
前記VPN中継サーバは、
前記ユーザと、前記ユーザ端末が行う処理動作のうち、当該ユーザからの要求に応じて動作することが許可されている動作とを対応付けたセキュリティポリシが記憶されている第1のセキュリティポリシ記憶部と、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記セキュリティポリシを当該ユーザ端末に送信するセキュリティポリシ送信部と、を備え、
前記ユーザ端末は、
前記セキュリティポリシが記憶される第2のセキュリティポリシ記憶部と、
前記VPN中継サーバに前記セキュリティポリシを要求し、当該要求に応じて前記VPN中継サーバから送信される前記セキュリティポリシを受信して前記第2のセキュリティポリシ記憶部に記憶させるセキュリティポリシ登録部と、
前記第2のセキュリティポリシ記憶部に記憶されている前記セキュリティポリシに基づいて、当該ユーザ端末の動作を制御する動作抑止部と、
を備えることを特徴とする請求項1から請求項3までのいずれか1項に記載のVPNシステム。
【請求項5】
前記セキュリティポリシには、前記ユーザ端末が備えるハードウェアリソース毎に、動作の可否が対応付けられている
ことを特徴とする請求項4に記載のVPNシステム。
【請求項6】
前記ユーザ端末は、
前記ユーザ端末を、前記宛先変換部と前記動作抑止部との少なくともいずれかとして機能させる制御プログラムが記憶されている記憶媒体から、当該制御プログラムを読み出し、当該制御プログラムに基づいて前記宛先変換部と前記動作抑止部との少なくともいずれかを構成するインストール制御部
を備えることを特徴とする請求項2から請求項5までのいずれか1項に記載のVPNシステム。
【請求項7】
ユーザのユーザ端末と、当該ユーザ端末にネットワークを介して接続され、複数の情報サーバに第1のVPN回線を介して接続されたサーバ通信部と、前記ユーザと、複数の前記情報サーバのうち、当該ユーザのユーザ端末からの接続を受け付ける情報サーバとが対応付けられた接続リストが記憶されている接続リスト記憶部と、を備えたVPN中継サーバとを備えたVPNシステムの、
前記VPN中継サーバが、
前記ユーザ端末からの要求に応じて、当該ユーザ端末と第2のVPN回線を介して接続するステップと、
前記ユーザ端末からの要求に応じて、前記ユーザに対応する前記接続リストを当該ユーザ端末に送信するステップと、
前記ユーザ端末から、前記接続リストに含まれる前記情報サーバに対する通信要求を受信すると、前記第1のVPN回線および前記第2のVPN回線を介して、当該ユーザ端末と当該情報サーバとの通信を中継するステップと、
を備えることを特徴とするVPN接続方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2013−77995(P2013−77995A)
【公開日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願番号】特願2011−216893(P2011−216893)
【出願日】平成23年9月30日(2011.9.30)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願日】平成23年9月30日(2011.9.30)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]