VPN接続制御装置、システム、方法、認証サーバ、およびVPNクライアント、ならびにプログラム
【課題】VPNの収容効率を高めることができるようにする。
【解決手段】第1VPN接続確立部102が、受け付けた第1VPN接続要求によりVPN接続元との第1VPN接続を確立する。第1VPN接続確立部102は、例えば、PPPoEやIPsecにより第1VPN接続を確立する。次に、VPN接続要求送出指示部103が、VPN接続を確立するためのVPN接続要求の送出指示をVPNクライアントB132に通知する。
【解決手段】第1VPN接続確立部102が、受け付けた第1VPN接続要求によりVPN接続元との第1VPN接続を確立する。第1VPN接続確立部102は、例えば、PPPoEやIPsecにより第1VPN接続を確立する。次に、VPN接続要求送出指示部103が、VPN接続を確立するためのVPN接続要求の送出指示をVPNクライアントB132に通知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、VPNの接続確立を動的に行うVPN接続制御装置、システム、方法、認証サーバ、およびVPNクライアント、ならびにプログラムに関するものである。
【背景技術】
【0002】
専用線を用いることなく、専用線であるかのように利用できるVPN(Virtual Private Network)がある(特許文献1,非特許文献1参照)。このVPNのサービスを提供するVPNサービスプロバイダは、例えば、VPNルータにおいてVPN契約毎にVRF(Virtual Routing and Forwarding)を定義することでVPNサービスを提供している。VRFは、一台のルータ上に複数の独立したルーティングテーブルを保持し、それぞれのルーティングテーブルを独立したIPネットワークとしてルーティングする技術である。
【0003】
VPNサービスの契約ユーザの端末装置は、PPPoE(PPP over Ethernet)やIPsec(Security Architecture for Internet Protocol)などのプロトコルを用いてVPNサービスプロバイダ網内のVPNルータに接続し、VPNルータは接続ユーザ(端末装置)を認証する。VPNルータは、ユーザが提示するドメイン名などの識別子に予め対応付けられたVRFにユーザの接続セッションを収容することで、ユーザを適切なVPNに接続させることができる。
【0004】
また、VPNルータはユーザをID/パスワードなどで認証するだけでなく、ユーザがVPNルータへのアクセスに用いている物理的な回線の識別情報を用いてVPN接続を認可することも可能である。例えば、VPNサービスの契約企業は、予め登録している社員の自宅回線からのみ接続を許可することなどができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許第3490358号公報
【非特許文献】
【0006】
【非特許文献1】Chris Metz, "The Latest in Virtual Private Networks: Part I," IEEE Internet Computing, vol.7, no.1, pp.87-91, January/February, 2003.
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述したようなVRFを用いたVPNサービスは、拠点間のネットワークを常時接続するような比較的静的な利用に適している。一方で、ユーザが移動先から一時的にVPNに接続し、自拠点のリソースにリモートアクセスするような場合には、移動先から接続しているユーザがいない間も、自拠点とVPNルータ間のVPNセッションを維持しなければならない。
【0008】
このため、利用時間が比較的限定されるリモートアクセス目的のVPNを収容する場合でも、VPNルータに対して、常にVPN契約数以上のVPNセッションが張られることになる。言い換えると、平素は利用されていないVPN接続をVPNルータに対して確立していないと、リモートアクセス目的のVPN接続をすることができない。このため、VPNの収容効率を高めることができないという問題がある。また、複数のVPNサービスを契約しているVPNユーザにとっても、常に全てのVPNとの接続を維持する必要があり、比較的高性能なVPN終端装置が必要となる。
【0009】
本発明は、以上のような問題点を解消するためになされたものであり、VPNの収容効率を容易に高めることができるようにすることを目的とする。
【課題を解決するための手段】
【0010】
本発明に係るVPN接続制御装置は、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、この第1接続要求受け付け手段が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示手段と、このVPN接続要求送出指示手段が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、この第2接続要求受け付け手段が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、第1VPN接続と第2VPN接続とを中継する中継手段とを少なくとも備える。
【0011】
上記VPN接続制御装置において、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定する回線情報特定手段とを備え、VPN接続要求送出指示手段は、回線情報特定手段により特定された物理回線により、第2VPNクライアントに通知を行うようにすればよい。
【0012】
また、本発明に係るVPNクライアントは、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け手段と、この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出手段とを少なくとも備える。
【0013】
また、本発明に係るVPN接続制御システムは、第1VPNクライアントと第2VPNクライアントとの間のVPN接続をVPN接続制御装置により確立するVPN接続制御システムにおいて、VPN接続制御装置は、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、この第1接続要求受け付け手段が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示手段と、このVPN接続要求送出指示手段が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、この第2接続要求受け付け手段が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、第1VPN接続と第2VPN接続とを中継する中継手段とを少なくとも備え、第2VPNクライアントは、VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対して第2VPN接続要求を送出するVPN接続要求送出手段とを少なくとも備える。
【0014】
上記VPN接続制御システムにおいて、VPN接続制御装置は、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定する回線情報特定手段とを備え、VPN接続要求送出指示手段は、回線情報特定手段により特定された物理回線により、第2VPNクライアントに通知を行うようにすればよい。
【0015】
また、本発明に係る他のVPN接続制御システムは、第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御システムにおいて、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、この第1接続要求受け付け手段が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示手段と、このVPN接続要求送出指示手段が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、この第2接続要求受け付け手段が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、第1VPN接続と第2VPN接続とを中継する中継手段とを備えるVPN接続制御装置と、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線をVPN接続制御装置からのからの要求によりVPN接続制御装置に提供する回線情報特定手段とを備える認証サーバと、を少なくとも備え、第2VPNクライアントは、VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対して第2VPN接続要求を送出するVPN接続要求送出手段とを少なくとも備え、VPN接続要求送出指示手段は、回線情報特定手段により特定された物理回線により、第2VPNクライアントに通知を行う。
【0016】
上記VPN接続制御システムにおいて、回線情報記憶部には、第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、認証手段は、接続許可ドメイン情報を参照して第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断するようにしてもよい。
【0017】
また、本発明に係る認証サーバは、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元に提供するする回線情報特定手段とを少なくとも備える。
【0018】
上記認証サーバにおいて、回線情報記憶部には、第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、認証手段は、接続許可ドメイン情報を参照して第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断するようにしてもよい。
【0019】
また、本発明に係るVPN接続制御方法は、VPN接続制御装置を介して第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御方法において、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1ステップと、受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第2ステップと、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知する第3ステップと、送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第4ステップと、受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第5ステップと、第1VPN接続と第2VPN接続とを中継する第6ステップとを少なくとも備える。
【0020】
上記VPN接続制御方法において、第1VPN接続要求を受け付けて、この第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定する回線特定ステップを備え、第3ステップでは、回線特定ステップで特定された物理回線により、第2VPNクライアントに通知を行えばよい。
【0021】
また、本発明に係る他のVPN接続制御方法は、VPN接続制御装置を介して第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御方法において、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける第1ステップと、送出指示の受け付けにより、VPN接続制御装置に対してVPN接続要求を送出する第2ステップとを少なくとも備える。
【0022】
また、本発明に係るプログラムは、上述した方法の各ステップをコンピュータに実現させるためのプログラムである。
【発明の効果】
【0023】
以上説明したように、本発明によれば、第1VPNクライアントからの第1VPN接続要求を受けると、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するようにしたので、VPNの収容効率を高めることができるようになるという優れた効果が得られる。
【図面の簡単な説明】
【0024】
【図1】本発明の実施の形態2におけるVPN接続制御装置およびVPNクライアントの構成を示す構成図である。
【図2】実施の形態1におけるVPN接続制御装置の動作例(VPN接続制御方法)について示すフローチャートである。
【図3】本発明の実施の形態2におけるVPN接続制御装置およびVPNクライアントの構成を示す構成図である。
【図4】実施の形態2におけるVPN接続制御装置の動作例(VPN接続制御方法)について示す説明図である。
【発明を実施するための形態】
【0025】
以下、本発明の実施の形態について図を参照して説明する。
【0026】
[実施の形態1]
始めに、本発明の実施の形態1について説明する。図1は、本発明の実施の形態1におけるVPN接続制御装置の構成例を示す構成図である。本実施の形態におけるVPN接続制御装置は、まず、VPNクライアントA131より送出されたVPNクライアントB132に接続するためのVPNクライアントA131とのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け部101と、第1接続要求受け付け部101が受け付けた第1VPN接続要求によりVPNクライアントA131との第1VPN接続を確立する第1VPN接続確立部102とを備える。
【0027】
また、VPN接続制御装置は、VPN接続を確立するためのVPN接続要求の送出指示をVPNクライアントB132に通知するVPN接続要求送出指示部103を備える。また、VPN接続要求送出指示部103が送出指示を通知した後に、VPNクライアントB132より送出された第2VPN接続要求を受け付ける第2接続要求受け付け部104と、第2接続要求受け付け部104が受け付けた第2VPN接続要求によりVPNクライアントB132との第2VPN接続を確立する第2VPN接続確立部105と、第1VPN接続と第2VPN接続とを中継する中継部106とを備える。
【0028】
上述したVPN接続制御装置は、VPN接続制御装置の閉域網,公衆回線,およびインターネットなどの網121を介してVPNクライアントA131およびVPNクライアントB132と接続可能とされている。また、VPNクライアントB132は、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け部132aと、受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出部132bとを備える。なお、VPNクライアントは、VPN終端機能を備えたユーザ側の端末装置(パーソナルコンピュータ,サーバ)でもよく、また、VPN終端機能を備えたルータでもよい。
【0029】
次に、本実施の形態におけるVPN接続制御装置の動作例(VPN接続制御方法)について、図2のフローチャートを用いて説明する。まず、図2(a)に示すように、第1接続要求受け付け部101が、VPNクライアントA131より送出されたVPNクライアントB132に接続するためのVPNクライアントA131とのVPN接続を確立する第1VPN接続要求を受け付けると(ステップS201のY)、第1VPN接続確立部102が、受け付けた第1VPN接続要求によりVPN接続元との第1VPN接続を確立する(ステップS202)。第1VPN接続確立部102は、例えば、PPPoEやIPsecにより第1VPN接続を確立する。
【0030】
次に、ステップS203で、VPN接続要求送出指示部103が、VPN接続を確立するためのVPN接続要求の送出指示をVPNクライアントB132に通知する。例えば、VPNクライアントA131が収容されているネットワークの識別情報(契約者の回線を一意に識別可能な情報、例えば、契約者の回線が収容されているNAS(Network Access Server)装置のIPアドレス(NAS-IP-Address)と物理ポート(NAS-Port)のペアなど)より、VPNサービス提供対象の契約者を特定し、特定した契約者の物理回線情報(VPN終端装置のポート番号など)をデータベース(回線情報記憶部)より取得することで、例えば接続が許可されている通知先が特定できる。これにより、特定の来訪者に対してのみVPN接続制御装置へのアクセス回線の利用を許可し、また、来訪者が接続するVPNを制限することも可能になる。
【0031】
この後、第2接続要求受け付け部104が、VPNクライアントB132より送出された第2VPN接続要求を受け付けると(ステップS204のY)、第2VPN接続確立部105が、受け付けた第2VPN接続要求によりVPNクライアントB132との第2VPN接続を確立する(ステップS205)。第2VPN接続確立部105は、例えば、PPPoEやIPsecにより第2VPN接続を確立する。ここで、第1VPN接続と第2VPN接続とは、同じプロトコルで接続されている必要はない。最後に、ステップS206で、中継部106が、第1VPN接続と第2VPN接続とを中継する。中継部106は、例えば、VRFを定義することで、第1VPN接続と第2VPN接続とを中継する。
【0032】
一方、VPNクライアントB132では、図2(b)に示すように、送出指示受け付け部132aが、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付けると(ステップS221のY)、VPN接続要求送出部132bが、VPN接続制御装置に対してVPN接続要求を送出する(ステップS222)。
【0033】
以上に説明したように、本実施の形態によれば、VPN接続制御装置とVPNクライアントB132との間に、VPN接続(VPNセッション)が確立されていなくても、VPNクライアントA131からのVPNクライアントB132に対するVPN接続の要求で、VPN接続制御装置とVPNクライアントB132との間にVPN接続が確立されるようになる。このように、本実施の形態によれば、予め通信先のVPNクライアントとのVPNセッションが確立されていなくても、要求に基づいてVPN接続が確立できるので、VPNの収容効率を高めることができるようになる。
【0034】
[実施の形態2]
次に、本発明の実施の形態2について説明する。図3は、本発明の実施の形態2におけるVPN接続制御装置100の構成例を示す構成図である。VPN接続制御装置100は、まず、ユーザ端末装置A(第1VPNクライアント)334より送出された第2VPN終端装置(第2VPNクライアント)332に接続するための、ユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け部101と、第1接続要求受け付け部101が受け付けた第1VPN接続要求によりユーザ端末装置A334との第1VPN接続を確立する第1VPN接続確立部102とを備える。
【0035】
また、VPN接続制御装置100は、VPN接続を確立するためのVPN接続要求の送出指示を、第2VPN終端装置332に通知するVPN接続要求送出指示部103を備える。また、VPN接続要求送出指示部103が送出指示を通知した後に、第2VPN終端装置332より送出された第2VPN接続要求を受け付ける第2接続要求受け付け部104と、第2接続要求受け付け部104が受け付けた第2VPN接続要求により第2VPN終端装置332との第2VPN接続を確立する第2VPN接続確立部105とを備える。
【0036】
また、VPN接続制御装置100は、VRF管理部(中継手段)306,認証部307,および回線情報特定部308を備える。
【0037】
上述したVPN接続制御装置100は、VPN接続制御装置100の閉域網である網121,第1VPN終端装置331,および無線アクセスポイント333を介してユーザ端末装置A334と接続可能とされている。同様に、VPN接続制御装置100は、網121を介して第2VPN終端装置332と接続可能とされている。また、第2VPN終端装置332には、ユーザ端末装置B335が接続されている。
【0038】
第1VPN終端装置331は、例えば、PPPoEによるVPN接続機能と、内部ネットワークに接続している端末(ユーザ端末装置A334)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能を備えたVPNルータである。なお、第1VPN終端装置331においては、PPPoEによるVPN接続機能は、あってもよくなくてもよい。
【0039】
第2VPN終端装置332は、VPN接続制御装置100から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け部332aと、受け付けたVPN接続要求の送出指示により、VPN接続制御装置100に対してVPN接続要求を送出するVPN接続要求送出部332bと、認証部332cとを備える。また、第2VPN終端装置332も、PPPoEによるVPN接続機能と、内部ネットワークに接続している端末(ユーザ端末装置B335)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能を備えている。なお、内部ネットワークに接続している端末(ユーザ端末装置B335)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能は、第2VPN終端装置332が備えていてもよくなくてもよい。
【0040】
また、VPN接続制御装置100には、認証サーバ310が接続している。認証サーバ310は、認証部307より要求された認証を行うための認証部311と、回線情報特定部308より要求された回線情報を提供する回線情報解決部(回線情報記憶部)312とを備える。回線情報解決部312は、少なくとも第2VPN終端装置332への物理回線情報が記憶されている回線情報記憶部を備え、ユーザ端末装置A334より送出された第2VPN終端装置332に接続するためのユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求に含まれる第2VPN終端装置332の情報をもとに、第2VPN終端装置332への物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元(回線情報特定部308)に提供する。なお、VPN接続制御装置100および認証サーバ310は、各々の機能を同一の装置で実現してもよい。
【0041】
次に、本実施の形態におけるVPN接続制御装置の動作例(VPN接続制御方法)について、図4を用いて説明する。まず、移動しているユーザの操作により、ステップS401で、ユーザ端末装置A334が移動先組織の無線AP333に接続要求を送出する。次いで、ステップS402で、無線AP333が、ユーザ端末装置A334との接続を許可する。これにより、ユーザ端末装置A334は、移動先組織のLANに接続した状態となる。このとき無線AP333は、ユーザ端末装置A334に対して端末認証やユーザ認証を行ってもよい。
【0042】
次に、ステップS403で、ユーザ端末装置A334は、PPPoEプロトコルを用い、第1VPN終端装置331を介してVPN接続制御装置100に対してVPN接続要求を送出する。次に、ステップS404で、VPN接続制御装置100では、第1接続要求受け付け部101が上述したVPN接続要求を受け付け、認証部307が、VPN接続要求を送出してきたユーザ端末装置A334に対し、認証情報を要求する。次に、ステップS405で、認証情報の要求を受け付けたユーザ端末装置A334は、認証情報として、例えば、ユーザID,ドメイン名,およびパスワードをVPN接続制御装置100に対して送信する。上述した認証情報は、予めユーザ端末装置A334に設定しておいてもよく、また、接続時にユーザ端末装置A334を利用しているユーザが入力してもよい。
【0043】
次に、ステップS406で、VPN接続制御装置100では、ユーザ端末装置A334より送出された認証情報を受け付けると、認証部307が、認証サーバ310に対し、ユーザ端末装置A334から受け付けた認証情報とユーザ端末装置A334のアクセス回線の識別情報を送出して認証を要求する。認証サーバ310は、例えば、VPN接続制御装置100のVPNサービスプロバイダ網内に設置され、VPN接続制御装置100は、RADIUSプロトコルを用いて認証サーバ310と通信を行う。
【0044】
次に、ステップS407で、認証サーバ310では、認証部311が、送信された認証情報を検証してユーザ認証を行うとともに、ドメイン名毎に予め設定された接続許可アクセス回線リストを参照し、ユーザのアクセス回線からの接続が許可されているかを判断し、この判断結果を認証結果としてVPN接続制御装置100(認証部307)に応答する。
【0045】
また、接続元アクセス回線毎に予め設定されている接続許可ドメインリスト(回線情報記憶部)を参照し、ユーザ(ユーザ端末装置A334)のドメインの接続が許可されているかを判断して、判断結果を認証結果としてもよい。このようにすることで、「ユーザ端末装置A334が、VPNアクセスに使用する回線(第1VPN終端装置331と網121との間の回線)の回線契約者」による「アクセス回線を貸し出す立場で、貸し出すユーザを制限したいという観点」と、「ユーザ端末装置A334が接続しようとしているVPNサービス(ユーザ端末装置A334のドメインで識別される契約)の契約者」による「VPNサービスにアクセス可能な回線(=アクセス可能な場所)を制限したいという観点」とで、接続許可リストを設定でき、これらの両方の観点に基づいて認証サーバ310が接続判断(認証)を行うことができるようになる。
【0046】
次に、ステップS408で、VPN接続制御装置100では、認証部307が、認証サーバ310からの認証結果が接続可能(許可)の通知を受け付けると、まず、第1VPN接続確立部102が、ユーザ端末装置A334とのVPN接続(第1VPN接続)を確立する。次いで、VRF管理部306が、ユーザ端末装置A334のドメインに対応するVRFが既に存在しているかを調べる。VRFが存在している場合には、第1VPN接続確立部102が、ユーザ端末装置A334のアクセスセッション(VPN接続)を当該VRFに収容する。一方、存在していない場合、VRF管理部306は、ドメインに対応するVRFを新たに作成し、作成したVRFにユーザ端末装置A334のアクセスセッション収容する。また、ステップS409で、認証部307が、認証結果をユーザ端末装置A334に通知する。例えば、認証サーバ310の認証結果が接続不可の場合は、認証失敗をユーザ端末装置A334に通知する。
【0047】
次に、ステップS410で、VPN接続制御装置100では、回線情報特定部308が、認証サーバ310にユーザ端末装置A334のドメイン名を送信し、ユーザ端末装置A334の契約回線の解決を要求する。この要求を受け付けた認証サーバ310では、回線情報解決部312が、予め登録されているドメイン名と契約回線の対応関係を参照し、契約回線(物理回線)情報を応答する(ステップS411)。このように、回線情報解決部312では、ユーザ端末装置A334より送出された第2VPN終端装置332に接続するためのユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求に含まれる第2VPN終端装置332の情報をもとに、第2VPN終端装置332への物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元(回線情報特定部308)に提供する。
【0048】
次に、ステップS412で、VPN接続制御装置100では、VPN接続要求送出指示部103が、認証サーバ310より取得した契約回線情報をもとに送出先となる第2VPN終端装置332を特定し、第2VPN終端装置332に対してVPN接続を確立するためのVPN接続要求の送出指示を通知する。VPN接続要求送出指示部103は、得られた契約回線情報で特定された回線(物理回線)により第2VPN終端装置332に対して上記通知を行う。
【0049】
次に、ステップS413で、第2VPN終端装置332では、上述した通知を送出指示受け付け部332aで受け付け、VPN接続要求送出部332bが、VPN接続制御装置100に対してVPN接続要求を送出する。VPN接続要求送出部332bは、例えば、PPPoEプロトコルを用いてVPN接続要求を送出する。
【0050】
次に、ステップS414で、VPN接続制御装置100では、第1接続要求受け付け部101が上述したVPN接続要求を受け付け、認証部307が、VPN接続要求を送出してきた第2VPN終端装置332に対し、認証情報を要求する。次に、ステップS415で、認証情報の要求を受け付けた第2VPN終端装置332では、認証部332cが、認証情報として、例えば、ユーザID,ドメイン名,およびパスワードをVPN接続制御装置100に対して送信する。これらは、自動的に処理される。
【0051】
次に、ステップS416で、VPN接続制御装置100では、第2VPN終端装置332より送出された認証情報を受け付けると、認証部307が、認証サーバ310に対し、第2VPN終端装置332から受け付けた認証情報と第2VPN終端装置332のアクセス回線の識別情報を送出して認証を要求する。次に、ステップS417で、認証サーバ310では、認証部311が、送信された認証情報を検証してユーザ認証を行うとともに、ドメイン名毎に予め設定された接続許可アクセス回線リストを参照し、ユーザのアクセス回線からの接続が許可されているかを判断し、この判断結果を認証結果としてVPN接続制御装置100に応答する。
【0052】
次に、VPN接続制御装置100では、認証部307が受け付けた認証サーバ310からの認証結果が接続可能(許可)の場合、第2VPN接続確立部105が、第2VPN終端装置332とのVPN接続(第2VPN接続)を確立する。次いで、VRF管理部306が、ユーザ端末装置A334のアクセスセッションが収容されているVRFに、新たに確立した第2VPN終端装置332のアクセスセッション(VPN接続)を収容し、各VPN接続が中継された状態とする。
【0053】
この後、ステップS418で、VPN接続制御装置100では、認証部307が、認証結果を第2VPN終端装置332に通知し、ステップS419で、ユーザ端末装置A334とユーザ端末装置B335とがVPN接続制御装置100を介したVPN経由による端末間通信が開始されてアクセス可能となる。
【0054】
なお、VPN接続制御装置100が、VPNに接続しているユーザ端末装置A334がすべて切断した場合に、当該ユーザ端末装置A334の契約回線配下のVPN終端装置(第1VPN終端装置331)とのアクセスセッションも切断し、VRFを削除する。これにより、VPN接続に利用されていないVRFが削除され、VPNの収容効率を高めることができるようになる。
【0055】
以上に説明したように、本実施の形態においても、VPN接続制御装置100と第2VPN終端装置332との間に、VPN接続が確立されていなくても、ユーザ端末装置A334からの第2VPN終端装置332(ユーザ端末装置B335)に対するVPN接続の要求で、VPN接続制御装置100と第2VPN終端装置332との間にVPN接続が確立されるようになる。このように、本実施の形態によれば、予め通信先のVPNクライアントとのVPNセッションが確立されていなくても、要求に基づいてVPN接続が確立できるので、VPNの収容効率を高めることができるようになる。
【0056】
また、本実施の形態によれば、例えば、予め登録されているドメイン名と契約回線の対応関係を参照することで得られる契約回線(物理回線)情報をもとに、VPN接続要求の送出指示の通知先を決定している。このため、煩雑なID管理を必要とせず、また、管理コストをかけることなく、特定の来訪者に対してのみVPNサービスプロバイダへのアクセス回線の利用を許可し、来訪者が接続するVPNを制限することも可能になる。
【0057】
ところで上述では、認証サーバ310が、ドメイン名毎に予め設定された接続許可アクセス回線リストに基づいて認証を行うようにしているが、これに限るものではない。例えば、アクセス回線毎に予め設定された接続許可ドメインリストを参照し、ユーザ側(第1VPN終端装置331)のドメイン名での接続が許可されているかに基づいて認可するようにしてもよい。第2VPN終端装置332に接続している回線契約者が、来訪ユーザ(第1VPN終端装置331)に対してアクセス回線(第2VPN接続)を提供する際に、接続を許可するユーザをユーザのドメイン名で制限できる。
【0058】
また、ユーザ側のドメイン名に紐付けられる契約回線は複数あってもよく、この場合、VPN接続制御装置100は、各々の契約回線の回線配下に対してVPN接続要求の送出指示を通知するようにしてもよい。
【0059】
また、第2VPN終端装置332において、予めVPN接続制御装置100のIPアドレスを登録しておき、登録されたIPアドレス以外のIPアドレスが送信元となっているVPN接続要求の送出指示の通知を破棄してもよい。このようにすることで、第三者が送信してきたVPN接続要求の送出指示の通知によってVPN接続制御装置100に接続してしまうことを防止できる。なお、IPアドレスの他に、VPN接続制御装置100を識別できる情報を用いるようにしてもよい。
【0060】
ところで、VPN接続制御装置100のVPNサービスプロバイダ網(網121)と第2VPN終端装置332のユーザ所属組織網との間にファイアウォール機能を持ったゲート制御装置が設置されている場合もある。このような場合、VPN接続制御装置100から第2VPN終端装置332にVPN接続要求の送出指示を通知(送信)するために、ゲート制御装置のフィルタリングルールを更新する必要がある。
【0061】
例えば、SIP(Session Initiation Protocol )のシグナリングに連動してフィルタリングルールを更新するゲート制御装置は、初期状態ではSIPのパケットのみを通過させ、加えて、SIPでネゴシエーションされたIPアドレスとポート番号のペアを送信元、送信先とするパケットのみを通過させる。
【0062】
このゲート制御装置が設置されている場合、第2VPN終端装置332からVPN接続制御装置100に接続する際には、第2VPN終端装置332からVPN接続制御装置100にSIPで発呼し、VPN接続に使用するIPアドレスとポート番号のペアをSIPでネゴシエーションする必要がある。さらに、VPN接続制御装置100から第2VPN終端装置332にVPN接続要求の送出指示を送信する際にも、VPN接続制御装置100から第2VPN終端装置332に対してSIPで発呼する必要がある。これらのことにより、ゲート制御装置のフィルタリングルールを更新し、VPN接続要求の送出指示を通過させることができる。
【0063】
なお、VPN接続制御装置100は、CPUと主記憶装置と外部記憶装置とネットワーク接続装置となどを備えたコンピュータ機器(サーバ)であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。
【0064】
例えば、VPN接続制御装置は、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け機能と、この第1接続要求受け付け機能が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立機能と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示機能と、このVPN接続要求送出指示機能が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け機能と、この第2接続要求受け付け機能が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立機能と、第1VPN接続と第2VPN接続とを中継する中継機能とを備えるプログラムをコンピュータに実行させることで実現できる。
【0065】
また、例えばVPNクライアントは、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け機能と、この送出指示受け付け機能が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出機能とを備えるプログラムをコンピュータに実行させることで実現できる。
【0066】
また、例えば認証サーバは、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証機能と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元に提供するする回線情報特定機能とを備えるプログラムをコンピュータに実行させることで実現できる。
【0067】
また、プログラムは、記録媒体に記録されていたものであればよい。また、各機能は、単一のコンピュータ機器で実現してもよく、また、複数のコンピュータ機器に分散させるようにしてもよい。
【符号の説明】
【0068】
101…第1接続要求受け付け部、102…第1VPN接続確立部、103…VPN接続要求送出指示部、104…第2接続要求受け付け部、105…第2VPN接続確立部、106…中継部、121…網、131…VPNクライアントA、132…VPNクライアントB、132a…送出指示受け付け部、132b…VPN接続要求送出部。
【技術分野】
【0001】
本発明は、VPNの接続確立を動的に行うVPN接続制御装置、システム、方法、認証サーバ、およびVPNクライアント、ならびにプログラムに関するものである。
【背景技術】
【0002】
専用線を用いることなく、専用線であるかのように利用できるVPN(Virtual Private Network)がある(特許文献1,非特許文献1参照)。このVPNのサービスを提供するVPNサービスプロバイダは、例えば、VPNルータにおいてVPN契約毎にVRF(Virtual Routing and Forwarding)を定義することでVPNサービスを提供している。VRFは、一台のルータ上に複数の独立したルーティングテーブルを保持し、それぞれのルーティングテーブルを独立したIPネットワークとしてルーティングする技術である。
【0003】
VPNサービスの契約ユーザの端末装置は、PPPoE(PPP over Ethernet)やIPsec(Security Architecture for Internet Protocol)などのプロトコルを用いてVPNサービスプロバイダ網内のVPNルータに接続し、VPNルータは接続ユーザ(端末装置)を認証する。VPNルータは、ユーザが提示するドメイン名などの識別子に予め対応付けられたVRFにユーザの接続セッションを収容することで、ユーザを適切なVPNに接続させることができる。
【0004】
また、VPNルータはユーザをID/パスワードなどで認証するだけでなく、ユーザがVPNルータへのアクセスに用いている物理的な回線の識別情報を用いてVPN接続を認可することも可能である。例えば、VPNサービスの契約企業は、予め登録している社員の自宅回線からのみ接続を許可することなどができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許第3490358号公報
【非特許文献】
【0006】
【非特許文献1】Chris Metz, "The Latest in Virtual Private Networks: Part I," IEEE Internet Computing, vol.7, no.1, pp.87-91, January/February, 2003.
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述したようなVRFを用いたVPNサービスは、拠点間のネットワークを常時接続するような比較的静的な利用に適している。一方で、ユーザが移動先から一時的にVPNに接続し、自拠点のリソースにリモートアクセスするような場合には、移動先から接続しているユーザがいない間も、自拠点とVPNルータ間のVPNセッションを維持しなければならない。
【0008】
このため、利用時間が比較的限定されるリモートアクセス目的のVPNを収容する場合でも、VPNルータに対して、常にVPN契約数以上のVPNセッションが張られることになる。言い換えると、平素は利用されていないVPN接続をVPNルータに対して確立していないと、リモートアクセス目的のVPN接続をすることができない。このため、VPNの収容効率を高めることができないという問題がある。また、複数のVPNサービスを契約しているVPNユーザにとっても、常に全てのVPNとの接続を維持する必要があり、比較的高性能なVPN終端装置が必要となる。
【0009】
本発明は、以上のような問題点を解消するためになされたものであり、VPNの収容効率を容易に高めることができるようにすることを目的とする。
【課題を解決するための手段】
【0010】
本発明に係るVPN接続制御装置は、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、この第1接続要求受け付け手段が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示手段と、このVPN接続要求送出指示手段が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、この第2接続要求受け付け手段が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、第1VPN接続と第2VPN接続とを中継する中継手段とを少なくとも備える。
【0011】
上記VPN接続制御装置において、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定する回線情報特定手段とを備え、VPN接続要求送出指示手段は、回線情報特定手段により特定された物理回線により、第2VPNクライアントに通知を行うようにすればよい。
【0012】
また、本発明に係るVPNクライアントは、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け手段と、この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出手段とを少なくとも備える。
【0013】
また、本発明に係るVPN接続制御システムは、第1VPNクライアントと第2VPNクライアントとの間のVPN接続をVPN接続制御装置により確立するVPN接続制御システムにおいて、VPN接続制御装置は、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、この第1接続要求受け付け手段が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示手段と、このVPN接続要求送出指示手段が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、この第2接続要求受け付け手段が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、第1VPN接続と第2VPN接続とを中継する中継手段とを少なくとも備え、第2VPNクライアントは、VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対して第2VPN接続要求を送出するVPN接続要求送出手段とを少なくとも備える。
【0014】
上記VPN接続制御システムにおいて、VPN接続制御装置は、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定する回線情報特定手段とを備え、VPN接続要求送出指示手段は、回線情報特定手段により特定された物理回線により、第2VPNクライアントに通知を行うようにすればよい。
【0015】
また、本発明に係る他のVPN接続制御システムは、第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御システムにおいて、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、この第1接続要求受け付け手段が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示手段と、このVPN接続要求送出指示手段が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、この第2接続要求受け付け手段が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、第1VPN接続と第2VPN接続とを中継する中継手段とを備えるVPN接続制御装置と、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線をVPN接続制御装置からのからの要求によりVPN接続制御装置に提供する回線情報特定手段とを備える認証サーバと、を少なくとも備え、第2VPNクライアントは、VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対して第2VPN接続要求を送出するVPN接続要求送出手段とを少なくとも備え、VPN接続要求送出指示手段は、回線情報特定手段により特定された物理回線により、第2VPNクライアントに通知を行う。
【0016】
上記VPN接続制御システムにおいて、回線情報記憶部には、第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、認証手段は、接続許可ドメイン情報を参照して第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断するようにしてもよい。
【0017】
また、本発明に係る認証サーバは、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元に提供するする回線情報特定手段とを少なくとも備える。
【0018】
上記認証サーバにおいて、回線情報記憶部には、第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、認証手段は、接続許可ドメイン情報を参照して第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断するようにしてもよい。
【0019】
また、本発明に係るVPN接続制御方法は、VPN接続制御装置を介して第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御方法において、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1ステップと、受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第2ステップと、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知する第3ステップと、送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第4ステップと、受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第5ステップと、第1VPN接続と第2VPN接続とを中継する第6ステップとを少なくとも備える。
【0020】
上記VPN接続制御方法において、第1VPN接続要求を受け付けて、この第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定する回線特定ステップを備え、第3ステップでは、回線特定ステップで特定された物理回線により、第2VPNクライアントに通知を行えばよい。
【0021】
また、本発明に係る他のVPN接続制御方法は、VPN接続制御装置を介して第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御方法において、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける第1ステップと、送出指示の受け付けにより、VPN接続制御装置に対してVPN接続要求を送出する第2ステップとを少なくとも備える。
【0022】
また、本発明に係るプログラムは、上述した方法の各ステップをコンピュータに実現させるためのプログラムである。
【発明の効果】
【0023】
以上説明したように、本発明によれば、第1VPNクライアントからの第1VPN接続要求を受けると、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するようにしたので、VPNの収容効率を高めることができるようになるという優れた効果が得られる。
【図面の簡単な説明】
【0024】
【図1】本発明の実施の形態2におけるVPN接続制御装置およびVPNクライアントの構成を示す構成図である。
【図2】実施の形態1におけるVPN接続制御装置の動作例(VPN接続制御方法)について示すフローチャートである。
【図3】本発明の実施の形態2におけるVPN接続制御装置およびVPNクライアントの構成を示す構成図である。
【図4】実施の形態2におけるVPN接続制御装置の動作例(VPN接続制御方法)について示す説明図である。
【発明を実施するための形態】
【0025】
以下、本発明の実施の形態について図を参照して説明する。
【0026】
[実施の形態1]
始めに、本発明の実施の形態1について説明する。図1は、本発明の実施の形態1におけるVPN接続制御装置の構成例を示す構成図である。本実施の形態におけるVPN接続制御装置は、まず、VPNクライアントA131より送出されたVPNクライアントB132に接続するためのVPNクライアントA131とのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け部101と、第1接続要求受け付け部101が受け付けた第1VPN接続要求によりVPNクライアントA131との第1VPN接続を確立する第1VPN接続確立部102とを備える。
【0027】
また、VPN接続制御装置は、VPN接続を確立するためのVPN接続要求の送出指示をVPNクライアントB132に通知するVPN接続要求送出指示部103を備える。また、VPN接続要求送出指示部103が送出指示を通知した後に、VPNクライアントB132より送出された第2VPN接続要求を受け付ける第2接続要求受け付け部104と、第2接続要求受け付け部104が受け付けた第2VPN接続要求によりVPNクライアントB132との第2VPN接続を確立する第2VPN接続確立部105と、第1VPN接続と第2VPN接続とを中継する中継部106とを備える。
【0028】
上述したVPN接続制御装置は、VPN接続制御装置の閉域網,公衆回線,およびインターネットなどの網121を介してVPNクライアントA131およびVPNクライアントB132と接続可能とされている。また、VPNクライアントB132は、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け部132aと、受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出部132bとを備える。なお、VPNクライアントは、VPN終端機能を備えたユーザ側の端末装置(パーソナルコンピュータ,サーバ)でもよく、また、VPN終端機能を備えたルータでもよい。
【0029】
次に、本実施の形態におけるVPN接続制御装置の動作例(VPN接続制御方法)について、図2のフローチャートを用いて説明する。まず、図2(a)に示すように、第1接続要求受け付け部101が、VPNクライアントA131より送出されたVPNクライアントB132に接続するためのVPNクライアントA131とのVPN接続を確立する第1VPN接続要求を受け付けると(ステップS201のY)、第1VPN接続確立部102が、受け付けた第1VPN接続要求によりVPN接続元との第1VPN接続を確立する(ステップS202)。第1VPN接続確立部102は、例えば、PPPoEやIPsecにより第1VPN接続を確立する。
【0030】
次に、ステップS203で、VPN接続要求送出指示部103が、VPN接続を確立するためのVPN接続要求の送出指示をVPNクライアントB132に通知する。例えば、VPNクライアントA131が収容されているネットワークの識別情報(契約者の回線を一意に識別可能な情報、例えば、契約者の回線が収容されているNAS(Network Access Server)装置のIPアドレス(NAS-IP-Address)と物理ポート(NAS-Port)のペアなど)より、VPNサービス提供対象の契約者を特定し、特定した契約者の物理回線情報(VPN終端装置のポート番号など)をデータベース(回線情報記憶部)より取得することで、例えば接続が許可されている通知先が特定できる。これにより、特定の来訪者に対してのみVPN接続制御装置へのアクセス回線の利用を許可し、また、来訪者が接続するVPNを制限することも可能になる。
【0031】
この後、第2接続要求受け付け部104が、VPNクライアントB132より送出された第2VPN接続要求を受け付けると(ステップS204のY)、第2VPN接続確立部105が、受け付けた第2VPN接続要求によりVPNクライアントB132との第2VPN接続を確立する(ステップS205)。第2VPN接続確立部105は、例えば、PPPoEやIPsecにより第2VPN接続を確立する。ここで、第1VPN接続と第2VPN接続とは、同じプロトコルで接続されている必要はない。最後に、ステップS206で、中継部106が、第1VPN接続と第2VPN接続とを中継する。中継部106は、例えば、VRFを定義することで、第1VPN接続と第2VPN接続とを中継する。
【0032】
一方、VPNクライアントB132では、図2(b)に示すように、送出指示受け付け部132aが、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付けると(ステップS221のY)、VPN接続要求送出部132bが、VPN接続制御装置に対してVPN接続要求を送出する(ステップS222)。
【0033】
以上に説明したように、本実施の形態によれば、VPN接続制御装置とVPNクライアントB132との間に、VPN接続(VPNセッション)が確立されていなくても、VPNクライアントA131からのVPNクライアントB132に対するVPN接続の要求で、VPN接続制御装置とVPNクライアントB132との間にVPN接続が確立されるようになる。このように、本実施の形態によれば、予め通信先のVPNクライアントとのVPNセッションが確立されていなくても、要求に基づいてVPN接続が確立できるので、VPNの収容効率を高めることができるようになる。
【0034】
[実施の形態2]
次に、本発明の実施の形態2について説明する。図3は、本発明の実施の形態2におけるVPN接続制御装置100の構成例を示す構成図である。VPN接続制御装置100は、まず、ユーザ端末装置A(第1VPNクライアント)334より送出された第2VPN終端装置(第2VPNクライアント)332に接続するための、ユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け部101と、第1接続要求受け付け部101が受け付けた第1VPN接続要求によりユーザ端末装置A334との第1VPN接続を確立する第1VPN接続確立部102とを備える。
【0035】
また、VPN接続制御装置100は、VPN接続を確立するためのVPN接続要求の送出指示を、第2VPN終端装置332に通知するVPN接続要求送出指示部103を備える。また、VPN接続要求送出指示部103が送出指示を通知した後に、第2VPN終端装置332より送出された第2VPN接続要求を受け付ける第2接続要求受け付け部104と、第2接続要求受け付け部104が受け付けた第2VPN接続要求により第2VPN終端装置332との第2VPN接続を確立する第2VPN接続確立部105とを備える。
【0036】
また、VPN接続制御装置100は、VRF管理部(中継手段)306,認証部307,および回線情報特定部308を備える。
【0037】
上述したVPN接続制御装置100は、VPN接続制御装置100の閉域網である網121,第1VPN終端装置331,および無線アクセスポイント333を介してユーザ端末装置A334と接続可能とされている。同様に、VPN接続制御装置100は、網121を介して第2VPN終端装置332と接続可能とされている。また、第2VPN終端装置332には、ユーザ端末装置B335が接続されている。
【0038】
第1VPN終端装置331は、例えば、PPPoEによるVPN接続機能と、内部ネットワークに接続している端末(ユーザ端末装置A334)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能を備えたVPNルータである。なお、第1VPN終端装置331においては、PPPoEによるVPN接続機能は、あってもよくなくてもよい。
【0039】
第2VPN終端装置332は、VPN接続制御装置100から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け部332aと、受け付けたVPN接続要求の送出指示により、VPN接続制御装置100に対してVPN接続要求を送出するVPN接続要求送出部332bと、認証部332cとを備える。また、第2VPN終端装置332も、PPPoEによるVPN接続機能と、内部ネットワークに接続している端末(ユーザ端末装置B335)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能を備えている。なお、内部ネットワークに接続している端末(ユーザ端末装置B335)がVPN接続制御装置100に対してPPPoE接続する際にPPPoEフレームを通過させるPPPoEパススルー機能は、第2VPN終端装置332が備えていてもよくなくてもよい。
【0040】
また、VPN接続制御装置100には、認証サーバ310が接続している。認証サーバ310は、認証部307より要求された認証を行うための認証部311と、回線情報特定部308より要求された回線情報を提供する回線情報解決部(回線情報記憶部)312とを備える。回線情報解決部312は、少なくとも第2VPN終端装置332への物理回線情報が記憶されている回線情報記憶部を備え、ユーザ端末装置A334より送出された第2VPN終端装置332に接続するためのユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求に含まれる第2VPN終端装置332の情報をもとに、第2VPN終端装置332への物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元(回線情報特定部308)に提供する。なお、VPN接続制御装置100および認証サーバ310は、各々の機能を同一の装置で実現してもよい。
【0041】
次に、本実施の形態におけるVPN接続制御装置の動作例(VPN接続制御方法)について、図4を用いて説明する。まず、移動しているユーザの操作により、ステップS401で、ユーザ端末装置A334が移動先組織の無線AP333に接続要求を送出する。次いで、ステップS402で、無線AP333が、ユーザ端末装置A334との接続を許可する。これにより、ユーザ端末装置A334は、移動先組織のLANに接続した状態となる。このとき無線AP333は、ユーザ端末装置A334に対して端末認証やユーザ認証を行ってもよい。
【0042】
次に、ステップS403で、ユーザ端末装置A334は、PPPoEプロトコルを用い、第1VPN終端装置331を介してVPN接続制御装置100に対してVPN接続要求を送出する。次に、ステップS404で、VPN接続制御装置100では、第1接続要求受け付け部101が上述したVPN接続要求を受け付け、認証部307が、VPN接続要求を送出してきたユーザ端末装置A334に対し、認証情報を要求する。次に、ステップS405で、認証情報の要求を受け付けたユーザ端末装置A334は、認証情報として、例えば、ユーザID,ドメイン名,およびパスワードをVPN接続制御装置100に対して送信する。上述した認証情報は、予めユーザ端末装置A334に設定しておいてもよく、また、接続時にユーザ端末装置A334を利用しているユーザが入力してもよい。
【0043】
次に、ステップS406で、VPN接続制御装置100では、ユーザ端末装置A334より送出された認証情報を受け付けると、認証部307が、認証サーバ310に対し、ユーザ端末装置A334から受け付けた認証情報とユーザ端末装置A334のアクセス回線の識別情報を送出して認証を要求する。認証サーバ310は、例えば、VPN接続制御装置100のVPNサービスプロバイダ網内に設置され、VPN接続制御装置100は、RADIUSプロトコルを用いて認証サーバ310と通信を行う。
【0044】
次に、ステップS407で、認証サーバ310では、認証部311が、送信された認証情報を検証してユーザ認証を行うとともに、ドメイン名毎に予め設定された接続許可アクセス回線リストを参照し、ユーザのアクセス回線からの接続が許可されているかを判断し、この判断結果を認証結果としてVPN接続制御装置100(認証部307)に応答する。
【0045】
また、接続元アクセス回線毎に予め設定されている接続許可ドメインリスト(回線情報記憶部)を参照し、ユーザ(ユーザ端末装置A334)のドメインの接続が許可されているかを判断して、判断結果を認証結果としてもよい。このようにすることで、「ユーザ端末装置A334が、VPNアクセスに使用する回線(第1VPN終端装置331と網121との間の回線)の回線契約者」による「アクセス回線を貸し出す立場で、貸し出すユーザを制限したいという観点」と、「ユーザ端末装置A334が接続しようとしているVPNサービス(ユーザ端末装置A334のドメインで識別される契約)の契約者」による「VPNサービスにアクセス可能な回線(=アクセス可能な場所)を制限したいという観点」とで、接続許可リストを設定でき、これらの両方の観点に基づいて認証サーバ310が接続判断(認証)を行うことができるようになる。
【0046】
次に、ステップS408で、VPN接続制御装置100では、認証部307が、認証サーバ310からの認証結果が接続可能(許可)の通知を受け付けると、まず、第1VPN接続確立部102が、ユーザ端末装置A334とのVPN接続(第1VPN接続)を確立する。次いで、VRF管理部306が、ユーザ端末装置A334のドメインに対応するVRFが既に存在しているかを調べる。VRFが存在している場合には、第1VPN接続確立部102が、ユーザ端末装置A334のアクセスセッション(VPN接続)を当該VRFに収容する。一方、存在していない場合、VRF管理部306は、ドメインに対応するVRFを新たに作成し、作成したVRFにユーザ端末装置A334のアクセスセッション収容する。また、ステップS409で、認証部307が、認証結果をユーザ端末装置A334に通知する。例えば、認証サーバ310の認証結果が接続不可の場合は、認証失敗をユーザ端末装置A334に通知する。
【0047】
次に、ステップS410で、VPN接続制御装置100では、回線情報特定部308が、認証サーバ310にユーザ端末装置A334のドメイン名を送信し、ユーザ端末装置A334の契約回線の解決を要求する。この要求を受け付けた認証サーバ310では、回線情報解決部312が、予め登録されているドメイン名と契約回線の対応関係を参照し、契約回線(物理回線)情報を応答する(ステップS411)。このように、回線情報解決部312では、ユーザ端末装置A334より送出された第2VPN終端装置332に接続するためのユーザ端末装置A334とのVPN接続を確立する第1VPN接続要求に含まれる第2VPN終端装置332の情報をもとに、第2VPN終端装置332への物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元(回線情報特定部308)に提供する。
【0048】
次に、ステップS412で、VPN接続制御装置100では、VPN接続要求送出指示部103が、認証サーバ310より取得した契約回線情報をもとに送出先となる第2VPN終端装置332を特定し、第2VPN終端装置332に対してVPN接続を確立するためのVPN接続要求の送出指示を通知する。VPN接続要求送出指示部103は、得られた契約回線情報で特定された回線(物理回線)により第2VPN終端装置332に対して上記通知を行う。
【0049】
次に、ステップS413で、第2VPN終端装置332では、上述した通知を送出指示受け付け部332aで受け付け、VPN接続要求送出部332bが、VPN接続制御装置100に対してVPN接続要求を送出する。VPN接続要求送出部332bは、例えば、PPPoEプロトコルを用いてVPN接続要求を送出する。
【0050】
次に、ステップS414で、VPN接続制御装置100では、第1接続要求受け付け部101が上述したVPN接続要求を受け付け、認証部307が、VPN接続要求を送出してきた第2VPN終端装置332に対し、認証情報を要求する。次に、ステップS415で、認証情報の要求を受け付けた第2VPN終端装置332では、認証部332cが、認証情報として、例えば、ユーザID,ドメイン名,およびパスワードをVPN接続制御装置100に対して送信する。これらは、自動的に処理される。
【0051】
次に、ステップS416で、VPN接続制御装置100では、第2VPN終端装置332より送出された認証情報を受け付けると、認証部307が、認証サーバ310に対し、第2VPN終端装置332から受け付けた認証情報と第2VPN終端装置332のアクセス回線の識別情報を送出して認証を要求する。次に、ステップS417で、認証サーバ310では、認証部311が、送信された認証情報を検証してユーザ認証を行うとともに、ドメイン名毎に予め設定された接続許可アクセス回線リストを参照し、ユーザのアクセス回線からの接続が許可されているかを判断し、この判断結果を認証結果としてVPN接続制御装置100に応答する。
【0052】
次に、VPN接続制御装置100では、認証部307が受け付けた認証サーバ310からの認証結果が接続可能(許可)の場合、第2VPN接続確立部105が、第2VPN終端装置332とのVPN接続(第2VPN接続)を確立する。次いで、VRF管理部306が、ユーザ端末装置A334のアクセスセッションが収容されているVRFに、新たに確立した第2VPN終端装置332のアクセスセッション(VPN接続)を収容し、各VPN接続が中継された状態とする。
【0053】
この後、ステップS418で、VPN接続制御装置100では、認証部307が、認証結果を第2VPN終端装置332に通知し、ステップS419で、ユーザ端末装置A334とユーザ端末装置B335とがVPN接続制御装置100を介したVPN経由による端末間通信が開始されてアクセス可能となる。
【0054】
なお、VPN接続制御装置100が、VPNに接続しているユーザ端末装置A334がすべて切断した場合に、当該ユーザ端末装置A334の契約回線配下のVPN終端装置(第1VPN終端装置331)とのアクセスセッションも切断し、VRFを削除する。これにより、VPN接続に利用されていないVRFが削除され、VPNの収容効率を高めることができるようになる。
【0055】
以上に説明したように、本実施の形態においても、VPN接続制御装置100と第2VPN終端装置332との間に、VPN接続が確立されていなくても、ユーザ端末装置A334からの第2VPN終端装置332(ユーザ端末装置B335)に対するVPN接続の要求で、VPN接続制御装置100と第2VPN終端装置332との間にVPN接続が確立されるようになる。このように、本実施の形態によれば、予め通信先のVPNクライアントとのVPNセッションが確立されていなくても、要求に基づいてVPN接続が確立できるので、VPNの収容効率を高めることができるようになる。
【0056】
また、本実施の形態によれば、例えば、予め登録されているドメイン名と契約回線の対応関係を参照することで得られる契約回線(物理回線)情報をもとに、VPN接続要求の送出指示の通知先を決定している。このため、煩雑なID管理を必要とせず、また、管理コストをかけることなく、特定の来訪者に対してのみVPNサービスプロバイダへのアクセス回線の利用を許可し、来訪者が接続するVPNを制限することも可能になる。
【0057】
ところで上述では、認証サーバ310が、ドメイン名毎に予め設定された接続許可アクセス回線リストに基づいて認証を行うようにしているが、これに限るものではない。例えば、アクセス回線毎に予め設定された接続許可ドメインリストを参照し、ユーザ側(第1VPN終端装置331)のドメイン名での接続が許可されているかに基づいて認可するようにしてもよい。第2VPN終端装置332に接続している回線契約者が、来訪ユーザ(第1VPN終端装置331)に対してアクセス回線(第2VPN接続)を提供する際に、接続を許可するユーザをユーザのドメイン名で制限できる。
【0058】
また、ユーザ側のドメイン名に紐付けられる契約回線は複数あってもよく、この場合、VPN接続制御装置100は、各々の契約回線の回線配下に対してVPN接続要求の送出指示を通知するようにしてもよい。
【0059】
また、第2VPN終端装置332において、予めVPN接続制御装置100のIPアドレスを登録しておき、登録されたIPアドレス以外のIPアドレスが送信元となっているVPN接続要求の送出指示の通知を破棄してもよい。このようにすることで、第三者が送信してきたVPN接続要求の送出指示の通知によってVPN接続制御装置100に接続してしまうことを防止できる。なお、IPアドレスの他に、VPN接続制御装置100を識別できる情報を用いるようにしてもよい。
【0060】
ところで、VPN接続制御装置100のVPNサービスプロバイダ網(網121)と第2VPN終端装置332のユーザ所属組織網との間にファイアウォール機能を持ったゲート制御装置が設置されている場合もある。このような場合、VPN接続制御装置100から第2VPN終端装置332にVPN接続要求の送出指示を通知(送信)するために、ゲート制御装置のフィルタリングルールを更新する必要がある。
【0061】
例えば、SIP(Session Initiation Protocol )のシグナリングに連動してフィルタリングルールを更新するゲート制御装置は、初期状態ではSIPのパケットのみを通過させ、加えて、SIPでネゴシエーションされたIPアドレスとポート番号のペアを送信元、送信先とするパケットのみを通過させる。
【0062】
このゲート制御装置が設置されている場合、第2VPN終端装置332からVPN接続制御装置100に接続する際には、第2VPN終端装置332からVPN接続制御装置100にSIPで発呼し、VPN接続に使用するIPアドレスとポート番号のペアをSIPでネゴシエーションする必要がある。さらに、VPN接続制御装置100から第2VPN終端装置332にVPN接続要求の送出指示を送信する際にも、VPN接続制御装置100から第2VPN終端装置332に対してSIPで発呼する必要がある。これらのことにより、ゲート制御装置のフィルタリングルールを更新し、VPN接続要求の送出指示を通過させることができる。
【0063】
なお、VPN接続制御装置100は、CPUと主記憶装置と外部記憶装置とネットワーク接続装置となどを備えたコンピュータ機器(サーバ)であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。
【0064】
例えば、VPN接続制御装置は、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け機能と、この第1接続要求受け付け機能が受け付けた第1VPN接続要求により第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立機能と、VPN接続を確立するためのVPN接続要求の送出指示を第2VPNクライアントに通知するVPN接続要求送出指示機能と、このVPN接続要求送出指示機能が送出指示を通知した後に、第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け機能と、この第2接続要求受け付け機能が受け付けた第2VPN接続要求により第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立機能と、第1VPN接続と第2VPN接続とを中継する中継機能とを備えるプログラムをコンピュータに実行させることで実現できる。
【0065】
また、例えばVPNクライアントは、VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け機能と、この送出指示受け付け機能が受け付けたVPN接続要求の送出指示により、VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出機能とを備えるプログラムをコンピュータに実行させることで実現できる。
【0066】
また、例えば認証サーバは、第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証機能と、第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、第1VPNクライアントより送出された第2VPNクライアントに接続するための第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる第2VPNクライアントの情報をもとに、第2VPNクライアントへの物理回線情報を回線情報記憶部より特定し、特定した物理回線を要求元に提供するする回線情報特定機能とを備えるプログラムをコンピュータに実行させることで実現できる。
【0067】
また、プログラムは、記録媒体に記録されていたものであればよい。また、各機能は、単一のコンピュータ機器で実現してもよく、また、複数のコンピュータ機器に分散させるようにしてもよい。
【符号の説明】
【0068】
101…第1接続要求受け付け部、102…第1VPN接続確立部、103…VPN接続要求送出指示部、104…第2接続要求受け付け部、105…第2VPN接続確立部、106…中継部、121…網、131…VPNクライアントA、132…VPNクライアントB、132a…送出指示受け付け部、132b…VPN接続要求送出部。
【特許請求の範囲】
【請求項1】
第1VPNクライアントより送出された第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、
この第1接続要求受け付け手段が受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知するVPN接続要求送出指示手段と、
このVPN接続要求送出指示手段が前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、
この第2接続要求受け付け手段が受け付けた前記第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、
前記第1VPN接続と前記第2VPN接続とを中継する中継手段と
を少なくとも備えることを特徴とするVPN接続制御装置。
【請求項2】
請求項1記載のVPN接続制御装置において、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定する回線情報特定手段と
を備え、
前記VPN接続要求送出指示手段は、前記回線情報特定手段により特定された物理回線により、前記第2VPNクライアントに前記通知を行うことを特徴とするVPN接続制御装置。
【請求項3】
VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け手段と、
この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、前記VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出手段と
を少なくとも備えることを特徴とするVPNクライアント。
【請求項4】
第1VPNクライアントと第2VPNクライアントとの間のVPN接続をVPN接続制御装置により確立するVPN接続制御システムにおいて、
前記VPN接続制御装置は、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、
この第1接続要求受け付け手段が受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知するVPN接続要求送出指示手段と、
このVPN接続要求送出指示手段が前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、
この第2接続要求受け付け手段が受け付けた前記第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、
前記第1VPN接続と前記第2VPN接続とを中継する中継手段と
を少なくとも備え、
前記第2VPNクライアントは、
前記VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、
この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、前記VPN接続制御装置に対して前記第2VPN接続要求を送出するVPN接続要求送出手段と
を少なくとも備えることを特徴とするVPN接続制御システム。
【請求項5】
請求項4記載のVPN接続制御システムにおいて、
前記VPN接続制御装置は、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定する回線情報特定手段と
を備え、
前記VPN接続要求送出指示手段は、前記回線情報特定手段により特定された物理回線により、前記第2VPNクライアントに前記通知を行うことを特徴とするVPN接続制御システム。
【請求項6】
第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御システムにおいて、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、
この第1接続要求受け付け手段が受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知するVPN接続要求送出指示手段と、
このVPN接続要求送出指示手段が前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、
この第2接続要求受け付け手段が受け付けた前記第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、
前記第1VPN接続と前記第2VPN接続とを中継する中継手段と
を備えるVPN接続制御装置と、
前記第1VPNクライアントおよび前記第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定し、特定した物理回線を前記VPN接続制御装置からのからの要求により前記VPN接続制御装置に提供する回線情報特定手段と
を備える認証サーバと、
を少なくとも備え、
前記第2VPNクライアントは、
前記VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、
この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、前記VPN接続制御装置に対して前記第2VPN接続要求を送出するVPN接続要求送出手段と
を少なくとも備え、
前記VPN接続要求送出指示手段は、前記回線情報特定手段により特定された物理回線により、前記第2VPNクライアントに前記通知を行う
ことを特徴とするVPN接続制御システム。
【請求項7】
請求項6記載のVPN接続制御システムにおいて、
前記回線情報記憶部には、前記第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、
前記認証手段は、前記接続許可ドメイン情報を参照して前記第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断する
ことを特徴とするVPN接続制御システム。
【請求項8】
第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定し、特定した物理回線を要求元に提供するする回線情報特定手段と
を少なくとも備えることを特徴とする認証サーバ。
【請求項9】
請求項8記載の認証サーバにおいて、
前記回線情報記憶部には、前記第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、
前記認証手段は、前記接続許可ドメイン情報を参照して前記第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断する
ことを特徴とする認証サーバ。
【請求項10】
VPN接続制御装置を介して第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御方法において、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1ステップと、
受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第2ステップと、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知する第3ステップと、
前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第4ステップと、
受け付けた第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第5ステップと、
前記第1VPN接続と前記第2VPN接続とを中継する第6ステップと
を少なくとも備えることを特徴とするVPN接続制御方法。
【請求項11】
請求項10記載のVPN接続制御方法において、
第1VPN接続要求を受け付けて、この第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を回線情報記憶部より特定する回線特定ステップを備え、
前記第3ステップでは、前記回線特定ステップで特定された物理回線により、前記第2VPNクライアントに前記通知を行うことを特徴とするVPN接続制御方法。
【請求項12】
VPN接続制御装置を介して第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御方法において、
前記VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける第1ステップと、
前記送出指示の受け付けにより、前記VPN接続制御装置に対してVPN接続要求を送出する第2ステップと
を少なくとも備えるVPN接続制御方法。
【請求項13】
請求項10〜12のいずれか1項に記載のVPN接続制御方法の各ステップをコンピュータに機能させるためのプログラム。
【請求項1】
第1VPNクライアントより送出された第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、
この第1接続要求受け付け手段が受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知するVPN接続要求送出指示手段と、
このVPN接続要求送出指示手段が前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、
この第2接続要求受け付け手段が受け付けた前記第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、
前記第1VPN接続と前記第2VPN接続とを中継する中継手段と
を少なくとも備えることを特徴とするVPN接続制御装置。
【請求項2】
請求項1記載のVPN接続制御装置において、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定する回線情報特定手段と
を備え、
前記VPN接続要求送出指示手段は、前記回線情報特定手段により特定された物理回線により、前記第2VPNクライアントに前記通知を行うことを特徴とするVPN接続制御装置。
【請求項3】
VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける送出指示受け付け手段と、
この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、前記VPN接続制御装置に対してVPN接続要求を送出するVPN接続要求送出手段と
を少なくとも備えることを特徴とするVPNクライアント。
【請求項4】
第1VPNクライアントと第2VPNクライアントとの間のVPN接続をVPN接続制御装置により確立するVPN接続制御システムにおいて、
前記VPN接続制御装置は、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、
この第1接続要求受け付け手段が受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知するVPN接続要求送出指示手段と、
このVPN接続要求送出指示手段が前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、
この第2接続要求受け付け手段が受け付けた前記第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、
前記第1VPN接続と前記第2VPN接続とを中継する中継手段と
を少なくとも備え、
前記第2VPNクライアントは、
前記VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、
この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、前記VPN接続制御装置に対して前記第2VPN接続要求を送出するVPN接続要求送出手段と
を少なくとも備えることを特徴とするVPN接続制御システム。
【請求項5】
請求項4記載のVPN接続制御システムにおいて、
前記VPN接続制御装置は、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定する回線情報特定手段と
を備え、
前記VPN接続要求送出指示手段は、前記回線情報特定手段により特定された物理回線により、前記第2VPNクライアントに前記通知を行うことを特徴とするVPN接続制御システム。
【請求項6】
第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御システムにおいて、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1接続要求受け付け手段と、
この第1接続要求受け付け手段が受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第1VPN接続確立手段と、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知するVPN接続要求送出指示手段と、
このVPN接続要求送出指示手段が前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第2接続要求受け付け手段と、
この第2接続要求受け付け手段が受け付けた前記第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第2VPN接続確立手段と、
前記第1VPN接続と前記第2VPN接続とを中継する中継手段と
を備えるVPN接続制御装置と、
前記第1VPNクライアントおよび前記第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定し、特定した物理回線を前記VPN接続制御装置からのからの要求により前記VPN接続制御装置に提供する回線情報特定手段と
を備える認証サーバと、
を少なくとも備え、
前記第2VPNクライアントは、
前記VPN接続制御装置からの通知を受け付ける送出指示受け付け手段と、
この送出指示受け付け手段が受け付けたVPN接続要求の送出指示により、前記VPN接続制御装置に対して前記第2VPN接続要求を送出するVPN接続要求送出手段と
を少なくとも備え、
前記VPN接続要求送出指示手段は、前記回線情報特定手段により特定された物理回線により、前記第2VPNクライアントに前記通知を行う
ことを特徴とするVPN接続制御システム。
【請求項7】
請求項6記載のVPN接続制御システムにおいて、
前記回線情報記憶部には、前記第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、
前記認証手段は、前記接続許可ドメイン情報を参照して前記第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断する
ことを特徴とするVPN接続制御システム。
【請求項8】
第1VPNクライアントおよび第2VPNクライアントより送出された認証情報をもとに認証を行う認証手段と、
前記第2VPNクライアントへの物理回線情報が記憶されている回線情報記憶部と、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を前記回線情報記憶部より特定し、特定した物理回線を要求元に提供するする回線情報特定手段と
を少なくとも備えることを特徴とする認証サーバ。
【請求項9】
請求項8記載の認証サーバにおいて、
前記回線情報記憶部には、前記第1VPNクライアントおよび第2VPNクライアントの接続元のアクセス回線毎に設定されている接続許可ドメイン情報が記憶され、
前記認証手段は、前記接続許可ドメイン情報を参照して前記第1VPNクライアントおよび第2VPNクライアントのドメイン接続の許可を判断する
ことを特徴とする認証サーバ。
【請求項10】
VPN接続制御装置を介して第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御方法において、
前記第1VPNクライアントより送出された前記第2VPNクライアントに接続するための前記第1VPNクライアントとのVPN接続を確立する第1VPN接続要求を受け付ける第1ステップと、
受け付けた前記第1VPN接続要求により前記第1VPNクライアントとの第1VPN接続を確立する第2ステップと、
VPN接続を確立するためのVPN接続要求の送出指示を前記第2VPNクライアントに通知する第3ステップと、
前記送出指示を通知した後に、前記第2VPNクライアントより送出された第2VPN接続要求を受け付ける第4ステップと、
受け付けた第2VPN接続要求により前記第2VPNクライアントとの第2VPN接続を確立する第5ステップと、
前記第1VPN接続と前記第2VPN接続とを中継する第6ステップと
を少なくとも備えることを特徴とするVPN接続制御方法。
【請求項11】
請求項10記載のVPN接続制御方法において、
第1VPN接続要求を受け付けて、この第1VPN接続要求に含まれる前記第2VPNクライアントの情報をもとに、前記第2VPNクライアントへの物理回線情報を回線情報記憶部より特定する回線特定ステップを備え、
前記第3ステップでは、前記回線特定ステップで特定された物理回線により、前記第2VPNクライアントに前記通知を行うことを特徴とするVPN接続制御方法。
【請求項12】
VPN接続制御装置を介して第1VPNクライアントと第2VPNクライアントとの間のVPN接続を確立するVPN接続制御方法において、
前記VPN接続制御装置から通知されたVPN接続を確立するためのVPN接続要求の送出指示を受け付ける第1ステップと、
前記送出指示の受け付けにより、前記VPN接続制御装置に対してVPN接続要求を送出する第2ステップと
を少なくとも備えるVPN接続制御方法。
【請求項13】
請求項10〜12のいずれか1項に記載のVPN接続制御方法の各ステップをコンピュータに機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2010−251951(P2010−251951A)
【公開日】平成22年11月4日(2010.11.4)
【国際特許分類】
【出願番号】特願2009−97808(P2009−97808)
【出願日】平成21年4月14日(2009.4.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成22年11月4日(2010.11.4)
【国際特許分類】
【出願日】平成21年4月14日(2009.4.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]