VPN接続構築システム
【課題】 通信ネットワークを介した装置間のVPN接続において、管理者などの作業を軽減することができるVPN接続構築システムを提供する。
【解決手段】 VPN管理サーバ4が、VPN接続要求装置1とVPN接続先装置2の間のVPN接続可否を判定し、VPN接続可と判定された場合にのみ、第1VPN構成情報と第2VPN構成情報を生成する。そして第1VPN構成情報をVPN接続要求装置1へ配信し、また第2VPN構成情報をVPN接続先装置2へ配信する。VPN接続要求装置1は第1VPN構成情報を用いてVPN接続先装置2とのVPN接続の構築の処理を行なう。またVPN接続先装置2が第2VPN構成情報を用いてVPN接続要求装置1から受付けたVPN接続の構築を処理する。
【解決手段】 VPN管理サーバ4が、VPN接続要求装置1とVPN接続先装置2の間のVPN接続可否を判定し、VPN接続可と判定された場合にのみ、第1VPN構成情報と第2VPN構成情報を生成する。そして第1VPN構成情報をVPN接続要求装置1へ配信し、また第2VPN構成情報をVPN接続先装置2へ配信する。VPN接続要求装置1は第1VPN構成情報を用いてVPN接続先装置2とのVPN接続の構築の処理を行なう。またVPN接続先装置2が第2VPN構成情報を用いてVPN接続要求装置1から受付けたVPN接続の構築を処理する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークを介して各装置がVPN接続を構築するVPN接続構築システムに関する。
【背景技術】
【0002】
現在通信ネットワークを介して遠隔に存在する端末やサーバや中継機の間における、セキュアな通信方法として、VPN(Virtual Private Network)の技術が多く利用されている。このVPNの接続を行なう場合には、ネットワーク管理者などはそれぞれの装置にVPN接続用の各種設定を施し、装置間のVPN接続の構築を行なっており、この作業に多くの労力がかかっている。このような管理者の煩雑な設定の作業を軽減するための技術として、特許文献1、2が公開されている。また、VPNの接続が一旦構築されると、例えば、一方の装置のIPアドレスが変更されてしまった場合には、VPN接続を維持することが不可能となる。このような一方の装置のIPアドレスが変更されてしまった際に、通信を維持する技術として、特許文献3が公開されている。
【特許文献1】特開2004−40433号公報
【特許文献2】特開2004−260470号公報
【特許文献3】特開2003−60672号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述の特許文献1の技術では、VPNが対象で、ネットワーク機器のサポート仕様や相互接続問題等を予め考慮し、ネットワーク機器の設定情報を自動的に生成し設定している。しかしながら、機種依存のデータで共通部分を抽出して相手を特定するIPsecポリシー(SPD)を人が直接設定する方式で、相手を特定せず、相手の属性などをもとに、自動的に接続可否判断することはできない。
また上述の特許文献2の技術では、複数のサイト外通信網に接続するサイト内ユーザが、サイト外通信網ごとの通信ポリシーを満たして接続する際の手続きを簡易化することができ、しかもサイト外通信網において管理する各々の通信ポリシーを簡略化して管理負荷を低減することができ、さらにサイト内ユーザが使用する属性をサイト外通信網に対して隠蔽しつつ複数のサイト外通信網を選択することを可能にする。しかしながら、ポリシーに基づく制御をサイト(本願発明の技術ではルータ)側で行なうもので、(相手の接続条件を知ることなく)接続相手の接続条件を考慮した制御ができない。そして、IP―VPNのようなクライアントとサーバの関係では良いが、P2Pのような関係では両方の属性とポリシーを考慮できる仕組みが望ましい。
また上述の特許文献3の技術では、機器のIPアドレスに変更が生じる都度、機器自体が新しいIPアドレスを外部に通知する機能を備えている。しかしながらこれは、接続相手にIPアドレスを伝えるもので、接続相手が多数の場合に対応できない。またIPアドレスの変化に応じて相手に伝えるのみで、VPNとの連携など複雑な動きは対応できない。
【0004】
そこでこの発明は、通信ネットワークを介した装置間のVPN接続において、管理者などの作業を軽減することができ、また上述した、VPN接続の際に、接続できる相互の装置のポリシーの設定に関する問題点や、一方の装置がIPアドレスを変更した場合にVPN接続を維持できなくなるという問題点を解決することができる、VPN接続構築システムを提供することを目的としている。
【課題を解決するための手段】
【0005】
本発明は、上述の課題を解決すべくなされたもので、VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムであって、前記VPN接続管理装置が、前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信手段と、前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定手段と、前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成手段と、前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信手段とを備え、前記VPN接続要求装置が、前記接続要求を前記VPN接続管理装置へ送信する接続要求手段と、前記第1VPN構成情報の示すVPN接続先装置のネットワーク情報と認証情報を利用して前記VPN接続先装置とのVPN接続の構築の処理を行なうVPN接続実行手段とを備え、前記VPN接続先装置が、前記第2VPN構成情報の示すVPN接続要求装置のネットワーク情報と認証情報を利用して、前記VPN接続要求装置から受付けたVPN接続の構築を処理するVPN接続受付手段とを備えることを特徴とするVPN接続構築システムである。
【0006】
また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続可否判定手段は、前記装置属性情報と前記ポリシー情報とが合致しない前記VPN接続要求装置または前記VPN接続先装置に、判定伺い情報を送信し、当該判定伺い情報を受信した前記VPN接続要求装置または前記VPN接続先装置の両方から、接続可を示す情報を受信した場合にのみ、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続を可と判定することを特徴とする。
【0007】
また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続要求装置または前記VPN接続先装置の両方が、自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備え、前記VPN接続管理装置が、前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段と、ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信手段と、前記ネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更手段とを備え、前記VPN構成情報生成手段が、前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成し、前記VPN構成情報配信手段が、前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なうことを特徴とする。
【0008】
また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続管理装置が、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続要求装置から受信し、また前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続先装置から受信する、配下端末アドレス受信手段と、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第1仮想アドレス変換テーブル生成手段と、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第2仮想アドレス変換テーブル生成手段と、前記第1仮想アドレス変換テーブルを前記VPN接続要求装置へ配信し、前記第2仮想アドレス変換テーブルを前記VPN接続先装置へ配信する、仮想アドレス変換テーブル配信手段とを備え、接続要求が前記VPN接続要求装置のネットワーク配下に接続された接続要求側端末と前記VPN接続先装置のネットワーク配下に接続された接続先側端末との間のVPN接続の要求を示す場合に、前記VPN接続要求装置の前記VPN接続実行手段は、前記接続要求側端末から送信された通信情報に含まれる当該接続要求側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第1仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理し、前記VPN接続先装置の前記VPN接続受付手段は、前記接続先側端末から送信された通信情報に含まれる当該接続先側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第2仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理することを特徴とする。
【0009】
また本発明は、VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムの前記VPN接続管理装置のコンピュータに実行させるプログラムであって、前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信処理と、前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定処理と、前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成処理と、前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信処理と、をコンピュータに実行させるプログラムである。
【発明の効果】
【0010】
本発明によれば、VPN接続管理装置が第1/第2VPN構成情報を生成し、その情報を用いてVPN接続要求装置とVPN接続先装置が自動的にVPN接続を行なうので、VPN接続を行なう機器の設定が必要なくなり、これにより、管理者などの作業を軽減することができる。またVPN接続を行なう一方の装置のIPアドレスが変更になった場合にも、VPN構成情報の再生成によって、新たなVPN接続を構築するので、VPN接続が維持でき、IPアドレスが変更されるようなネットワーク形態においてもVPN接続の構築を容易に行なうことができるという効果が得られる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の一実施形態によるVPN接続構築システムを図面を参照して説明する。図1は同実施形態によるVPN接続構築システムの概要を示すブロック図である。この図において、符号1はVPN接続を要求するVPN接続要求装置である。また2はVPNの接続先となるVPN接続先装置である。また3は機器管理サーバであり、本システムを利用するVPN接続要求装置1とVPN接続先装置2の情報が登録される。この機器管理サーバ3は基本的に1つだけ存在する。また4はVPN管理サーバ(VPN接続管理装置)であり、VPN接続要求装置1とVPN接続先装置2が相互間でVPN接続を行なう際に、そのVPN接続の可否などを判断する処理を行なう。なお本実施形態においては説明の便宜上、VPN接続要求装置1とVPN接続先装置2に分けて説明するが、本来は1つの中継装置(例えばルータやファイアーウォールなどの)が接続要求側となったり、または接続先となったりするので、VPN接続要求装置1とVPN接続先装置2の両方の機能を有する。
【0012】
図2は、本実施形態によるVPN接続構築システムを構成する各装置の機能ブロックを示す図である。
この図が示すように、まずVPN接続要求装置1は、通信ネットワークに接続された他の装置と通信を行なう通信処理部11と、装置内の各処理部を制御する制御部12と、VPNの接続要求を処理するVPN接続要求部(接続要求手段)13と、VPN接続先装置2とVPN接続の構築を処理するVPN接続実行部(VPN接続実行手段、VPN接続切断手段、変更後アドレス通知手段、VPN再接続手段)14と、各種情報を記憶する記憶部15とを備えている。
【0013】
またVPN接続先装置2は、通信ネットワークに接続された他の装置と通信を行なう通信処理部21と、装置内の各処理部を制御する制御部22と、VPN接続要求装置1から受付けたVPN接続の構築を処理するVPN接続受付部(VPN接続受付手段)23と、各種情報を記憶する記憶部24とを備えている。
【0014】
また、機器管理サーバ3は、通信ネットワークに接続された他の装置と通信を行なう通信処理部31と、本システムを利用するVPN接続要求装置1やVPN接続先装置2の登録の受付け処理や、当該登録時に受付けた情報を記録する処理を行なう機器登録処理部32と、登録された情報を記憶するデータベースとを備えている。
【0015】
またVPN管理サーバ4は、通信ネットワークに接続された他の装置と通信を行なう通信処理部41と、機器管理サーバ3に登録を行なったVPN接続要求装置1からVPN接続を行なう旨の登録を受付けるVPN登録処理部42と、VPN接続要求を受付けるVPN接続要求受付部(接続要求受信手段、変更後アドレス受信手段、ネットワークアドレス変更手段、配下端末アドレス受信手段)43と、VPN接続要求装置1とVPN接続先装置2の間におけるVPN接続の可否を判定するVPN接続可否判定部(VPN接続可否判定手段)44と、VPN接続時にVPN接続要求装置1やVPN接続先装置2で利用されるVPN構成情報を生成するVPN構成情報生成部(VPN構成情報生成手段、第1仮想アドレス変換テーブル生成手段、第2仮想アドレス変換テーブル生成手段)45や、VPN構成情報をVPN接続要求装置1やVPN接続先装置2に配信するVPN接続用情報配信部(VPN構成情報配信手段、仮想アドレス変換テーブル配信手段)46や、登録を受付けた際の各種情報を記憶するデータベース(ネットワークアドレス記憶手段)を備えている。
【0016】
なお、VPN管理サーバ4は、例えば、VPN接続のサービスを管理する各業者それぞれが有するものである。そして、予め各VPN接続要求装置1やVPN接続先装置2のユーザはそれら装置を機器管理サーバ3に登録して、認証局からの認証を受けておくことで、VPN接続のサービスを管理する各業者からサービスを受ける際のVPN管理サーバ4への登録時に再度、認証を受けずに済むようにしておく。ユーザは、ある業者が管理するVPN管理サーバ4に登録することで、そのVPN管理サーバ4に登録されている他の装置とVPN接続の処理が可能となる。
【0017】
図3は中継装置(VPN接続要求装置1、VPN接続先装置2)を機器管理サーバに登録する際の処理フローを示す図である。
次に図3を用いて、VPN接続要求装置1やVPN接続先装置2の機能を備えた中継装置(ルータやファイアーウォールなど)を機器管理サーバ3に登録する際の処理について説明する。
まずユーザは、PCなどの端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末に中継装置登録を行なう為のウェブページ(以下、登録画面という)を送信する機能と、当該登録画面によって入力された情報を受付けて機器管理サーバ3への登録処理を行なう機能を有している(つまり図2のVPN接続要求装置1やVPN接続先装置2の制御部11,21がこの機能を有している)。ユーザは、登録画面において、ID,パスワードを入力してログインする。すると中継装置が認証をして登録の許可を通知する。そしてユーザが当該登録画面を利用して登録要求を行なうと、中継装置の制御部はSSL通信により機器管理サーバ3と接続を行ない、相互認証が行なわれ、登録開始メッセージが中継装置と機器管理サーバ3の間で送受信される(ステップS101)。機器管理サーバ3の機器登録処理部32は登録に必要なデータの要求を行なうと(ステップS102)、中継装置は登録フォーム画面を端末に送信し、当該画面が端末に表示される。
【0018】
次に、ユーザは端末に表示された登録フォーム画面において、(ア)自身の住所、氏名、生年月日、(イ)個人認証用の情報(ID、パスワード)、(ウ)用途、設置位置の情報を登録する。すると、端末はア〜ウの情報を中継装置へ送信し、当該情報を中継装置が機器管理サーバ3に送信する(ステップS103)。すると機器管理サーバ3の機器登録処理部32は相互認証を行ない、またSM(セキュアメッセージング)鍵を共有する為に当該SM鍵を中継装置へ送信する(ステップS104)。このSM鍵は、中継装置内のICチップに記録されている各情報を機器管理サーバ3に送信する際に、当該ICチップと機器管理サーバ3との間での通信処理を暗号化するための鍵情報である。なお、ICチップには(エ)中継装置種別,中継装置仕様、(オ)CA公開鍵、(カ)中継装置の仮公開鍵、(キ)中継装置の仮秘密鍵、(ク)中継装置の仮公開鍵証明書(中継装置IDを含む)などが記録されている。またユーザから登録フォーム画面において入力を受付けた後に、中継装置の制御部が(ケ)署名付き依頼文の情報、を生成しICチップに記録しておく。
【0019】
上記相互認証が終了すると、中継装置のICチップ内の暗号処理部がSM鍵を利用して、(エ),(ケ)の情報を暗号化し、登録要求としてICチップから機器管理サーバ3へ送信する(ステップS105)。次に中継装置は中継装置の公開鍵(コ)と秘密鍵(サ)のペアを生成する(ステップS106)。そして中継装置の公開鍵(コ)を機器管理サーバ3へ送信する(ステップS107)。すると、機器管理サーバ3の機器登録処理部32は、中継装置へ中継装置登録完了通知と(シ)中継装置の公開鍵証明書(機器管理サーバ3の管理者により発行される)、とを中継装置へ送信する(ステップS108)。また機器管理サーバ3の機器登録処理部32は、(ス)機器管理サーバ3を管理する管理者のCA(認証局)公開鍵証明書を中継装置へ送信する(ステップS109)。
【0020】
次に中継装置の制御部はICチップ内のメモリへ、受信した(シ)の情報を格納する(ステップS110)。これにより、登録成功通知が中継装置から機器管理サーバ3へ送信される(ステップS111)。また中継装置は中継装置の登録成功を端末に通知する(ステップS112)。この時点で中継装置の保持するICチップに記録される情報は、(オ)CA公開鍵、(エ)中継装置種別,中継装置仕様、(シ)中継装置の公開鍵証明書(鍵情報、中継装置ID、機器管理サーバ3の管理者ID、中継装置の所有者IDが含まれる)、(コ)中継装置の公開鍵、(サ)中継装置の秘密鍵である。なお(ク)中継装置製造者の仮公開鍵証明書は(シ)の情報によって上書きされることで削除され、また(キ)の情報は削除されている。以上の機器管理サーバ3への中継装置(VPN接続要求装置1とVPN接続先装置2の機能を備える装置)の登録によって、当該中継装置の正当性が確保される。
【0021】
図4は中継装置(VPN接続要求装置1、VPN接続先装置2)のVPN接続管理サーバへの登録の処理フローを示す図である。
上述の機器管理サーバ3への登録後、ユーザは、VPN接続の管理サービスを提供しているVPN接続管理サーバへ中継装置を登録し、これにより、当該VPN接続管理サーバで管理されている他の中継装置とのVPN接続を要求することが可能となる。
以下図4を用いて、VPN接続管理サーバ4への登録の処理について説明する。
まずユーザは、端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末にVPN登録を行なう為のウェブページ(以下、VPN登録画面という)を送信する。するとユーザは、VPN登録画面において、ID,パスワードを入力してログインする。すると中継装置が認証をしてVPN登録の許可を通知する。そしてユーザが当該VPN登録画面を利用してVPN登録要求を行なうと、中継装置の制御部はSSL通信によりVPN管理サーバ4と接続を行ない、相互認証が行なわれ、VPN登録開始メッセージが中継装置とVPN管理サーバ4の間で送受信される(ステップS201)。次にVPN管理サーバ4のVPN登録処理部42はVPN登録に必要なデータの要求を行なうと(ステップS202)、中継装置はVPN登録フォーム画面を端末に送信し、当該画面が端末に表示される。
【0022】
次に、ユーザは端末に表示されたVPN登録フォーム画面において、(ア)自身の住所、氏名、生年月日、(イ)個人認証用の情報(ID、パスワード)、(ウ)用途・設置位置・VPN接続ポリシー(VPN接続を行なうことができる中継装置の仕様や属性を示す情報)の情報を登録する。すると、端末はア〜ウの情報を中継装置へ送信し、中継装置がア〜ウの情報と、(セ)自装置(中継装置)のWAN側のIPアドレス,自装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス、の情報とをVPN管理サーバ4に送信する(ステップS203)。するとVPN管理サーバ4のVPN登録処理部42は(シ)の中継装置の公開鍵証明書の情報を利用して相互認証を行ない、またSM鍵を共有する為に当該SM鍵を中継装置へ送信する(ステップS204)。なおユーザからVPN登録フォーム画面において入力を受付けた後に、中継装置の制御部が(ソ)中継装置の署名付き依頼文の情報、を生成しICチップに記録しておく。
【0023】
上記相互認証が終了すると、中継装置のICチップ内の暗号処理部がSM鍵を利用して、(エ),(ソ)を暗号化しICチップからVPN管理サーバ4へその暗号化された情報を送信する(ステップS205)。VPN管理サーバ4では、VPN登録処理部42が(ア),(イ),(ウ),(エ)の情報をデータベース47へ登録する(ステップS206)。またVPN登録処理部42は、VPN管理プログラムのIDを生成し、当該IDをステップS206で登録した情報に対応付けてデータベースへ登録する(ステップS207)。このVPN管理プログラムは、中継装置に配信されるものであり、このプログラムを利用して中継装置は本システムを利用することが可能となる。
【0024】
次にVPN管理サーバ4のVPN登録処理部42は、ダウンロード許可依頼を機器管理サーバ3に通知する(ステップS208)。この時VPN登録処理部42は、中継装置ID<(エ)の情報から検出>と、(シ)、(ソ)の情報を機器管理サーバ3へ送信する。すると機器管理サーバ3の機器登録処理部32は中継装置IDと(シ)(ソ)の情報に基づいて、中継装置の正当性を判定し(つまり機器登録の処理において認証されているか否かを判定)し、許可した場合には、VPN管理プログラムのダウンロード許可書を生成する(ステップS209)。そして生成したダウンロード許可書を含むダウンロード許可情報をVPN管理サーバ4へ通知する(ステップS210)。
【0025】
次にVPN管理サーバ4のVPN登録処理部42は、VPN管理プログラムとダウンロード許可書を含む中継装置登録完了通知を中継装置に送信する(ステップS211)。中継装置の制御部は受信したダウンロード許可書が正当な情報か否かを、VPN管理サーバ4の公開鍵を用いて検証し(ステップS212)、ダウンロード許可書が正当な情報である場合には、VPN管理プログラムをICチップ内に格納する(ステップS213)。次に中継装置の制御部は、中継装置の公開鍵(タ)と秘密鍵(チ)のペアを生成し(ステップS214)ICチップに格納する。そして、(タ)の公開鍵をVPN管理サーバ4に送信する(ステップS215)。
【0026】
すると、VPN管理サーバ4のVPN登録処理部42は中継装置の公開鍵証明書(ツ)を生成し(ステップS216)、当該公開鍵証明書(ツ)を中継装置へ送信する(ステップS217)。中継装置の制御部は公開鍵証明書が送信されると、VPN登録成功をVPN管理サーバ4に通知し(ステップS218)、また端末にも通知する(ステップS219)。これにより、機器管理サーバ3で登録した際に付与された認証に基づいて、新たにVPN管理サーバ4で公開鍵証明書が中継装置に付与され、また本システムを利用するVPN管理プログラムが中継装置に記録されるので、同一のVPN管理サーバ4で管理される他の中継装置とVPN接続が可能となる。なお、VPN管理サーバ4は中継装置が利用するVPN管理プログラムのIDによって、当該中継装置の当該システムの利用可否を判断できる。
【0027】
上述したVPN管理サーバ4への中継装置の登録により、VPN管理サーバ4のデータベース47には、登録された中継装置のID、中継装置の所有者ID、中継装置で利用されるVPN管理プログラムID、中継装置の所有者の情報(ア)(イ)、中継装置の用途・設置位置・VPN接続ポリシーの情報(ウ)、中継装置種別,中継装置仕様(エ)、中継装置のWAN側のIPアドレスと中継装置装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス(セ)、の情報が格納される。VPN接続の際にはこれらのVPN管理サーバ4のデータベース47に登録された情報によって生成されるVPN構成情報がVPN接続を行なう各中継装置(つまりVPN接続要求装置1とVPN接続先装置2)に配信され、当該中継装置間でのVPN接続が処理されることとなる。
【0028】
図5はVPN管理サーバへのユーザ登録の処理フローを示す図である。
ユーザは中継装置のVPN管理サーバ4への登録をした後にユーザとしての登録もVPN管理サーバ4に対して行なうことが必要となる。
次に図5を用いて、ユーザがVPN管理サーバへ登録する際の処理について説明する。
まずユーザは、PCなどの端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末にVPN利用者登録を行なう為のウェブページ(以下、利用者登録画面という)を送信する機能と、当該利用者登録画面によって入力された情報を受付けてVPN管理サーバ4への登録処理を行なう機能を有している。ユーザは、利用者登録画面において、ID,パスワードを入力して中継装置にログインする。すると中継装置が認証をして利用者登録の許可を通知する。そしてユーザが当該利用者登録画面を利用して利用者登録要求を行なうと、中継装置の制御部はSSL通信によりVPN管理サーバ4と接続を行ない、相互認証が行なわれ、利用者登録開始メッセージが中継装置と機器管理サーバ3の間で送受信される(ステップS301)。VPN管理サーバ4のVPN登録処理部42は登録に必要なデータの要求を行なうと(ステップS302)、中継装置は利用者登録フォーム画面を端末に送信し、当該画面が端末に表示される。
【0029】
次に、ユーザは端末に表示された利用者登録フォーム画面において、(テ)住所、氏名、生年月日などのユーザ属性情報と、(ト)個人認証用の情報(ID、パスワード)を登録する。すると、端末はテ,トの情報を中継装置へ送信し、当該情報を中継装置がVPN管理サーバ4に送信する(ステップS303)。するとVPN管理サーバ4のVPN登録処理部42は相互認証を行ない、またSM(セキュアメッセージング)鍵を共有する為に当該SM鍵を中継装置へ送信し、利用者登録要求の情報が中継装置からVPN管理サーバ4に通知される(ステップS304)。なおこの段階で中継装置のICチップに記録されている情報は(エ)中継装置種別,中継装置仕様、(オ)CA公開鍵、(ツ)中継装置の公開鍵証明書、(タ)中継装置の公開鍵、(チ)中継装置の秘密鍵である。
【0030】
次にVPN管理サーバ4のVPN登録処理部42は利用者登録要求を受付けると、ステップS303で受信した利用者の情報を、当該情報を送信した中継装置に格納されているVPN管理プログラムのIDに対応付けてデータベース47に記録する(ステップS305)。するとVPN管理サーバ4のVPN登録処理部42は、利用者別のVPN設定情報(ナ)を送信する(ステップS306)。中継装置の制御部はVPN設定情報を受信すると利用者別設定情報の設定成功を通知する(ステップS307)。そして、VPN管理サーバ4のVPN登録処理部42は利用者登録成功を中継装置へ通知し(ステップS308)、また中継装置は利用者登録成功を端末へ通知する(ステップS309)。この段階で中継装置のICチップには(ナ)の情報が追加される。これにより、以降、端末を利用するユーザはVPN接続の指示を中継装置にアクセスして制御することができる。
【0031】
図6はVPN接続の処理フローを示す図である。
次に図6を用いて、VPN接続の処理についてVPN接続要求装置とVPN接続先装置とを用いて説明する。
まず、ユーザは、端末5aを利用してVPN接続要求装置1にアクセスする。VPN接続要求装置1のVPN接続要求部13はアクセスを受付けた端末5aにVPN接続要求を行なう為のウェブページ(以下、接続要求画面という)を送信する機能と、当該接続要求画面によって入力された情報を受付けてVPN管理サーバ4への接続要求を通知する処理を行なう機能を有している。ユーザは、VPN接続要求装置1のアクセス時にID,パスワードを入力してVPN接続要求装置1にログインする。するとVPN接続要求装置1のVPN接続要求部13が認証をして、VPN接続の処理の実行許可を端末5aに通知する。そしてユーザが接続要求画面を利用して接続要求を行なうと、VPN接続要求装置1のVPN接続要求部13はユーザのIDやパスワードと、自装置の公開鍵証明書(ツ)の情報をVPN管理サーバ4へ送信し接続要求を行なう(ステップS401)。
【0032】
VPN管理サーバ4では接続要求をVPN接続要求装置1から受信すると、VPN接続要求受付部43がデータベース47に記録されているユーザの情報とユーザIDやパスワードに基づいてユーザ認証を行ない(ステップS402)、またVPN接続要求装置1の公開鍵証明書を利用してVPN接続要求装置1の認証を行なう(ステップS403)。またVPN接続要求装置1の公開鍵証明書に含まれるVPN接続要求装置1のIDと、データベース47に登録されている情報とを比較して、当該VPN接続要求装置1がVPN接続サービスの利用権を保持しているか否かの確認を行なう(ステップS404)。そしてVPN接続要求受付部43はステップS402〜S403の処理に基づいて、VPN接続の諾否(OK/NG)をVPN接続要求装置1へ送信する(ステップS405)。VPN接続の諾否の通知を受けたVPN接続要求装置1はその情報を端末5aに転送する(ステップS406)。
【0033】
端末5aではVPN接続の諾否の通知を受けると、その情報が接続要求画面に表示される。ユーザはVPN接続可の場合には、VPN接続先と端末5aで利用するアプリケーションの情報を接続要求画面から登録し、接続開始を指示する。ここで、VPN接続先は、例えばVPN接続先装置2のホスト名や当該VPN接続先装置2の配下に接続された端末5bの端末名などである。またアプリケーションの情報とは例えば端末5a上で動作させるアプリケーション種類とそのバージョンである。VPN接続要求装置1のVPN接続要求部13は、端末5aから受付けた情報を含む接続要求をVPN管理サーバ4に送信する(ステップS407)。
【0034】
次にVPN管理サーバ4が接続要求を受付けるとVPN接続可否判定部44は、VPN接続先装置2のホスト名から当該VPN接続先装置2のIDとIPアドレス<上記(セ)の情報>とをデータベース47から検索し、また接続先の端末名から当該端末5bのIPアドレス<上記(セ)の情報>をデータベース47から検索する。これによりVPN接続先装置2を特定する。そして、VPN接続可否判定部44はVPN接続要求装置1の機器属性情報とVPN接続ポリシー、VPN接続先装置2の機器属性情報とVPN接続ポリシー、VPN管理サーバ4が予め備えている基本VPN接続ポリシーの各情報に基づいて、VPN接続要求装置1とVPN接続先装置2とのVPN接続を行なうためのポリシーが合致しているか否かの判断と、VPN接続要求装置1とVPN接続先装置2とのVPN接続を行なうためのポリシーが基本VPNポリシーに合致しているかの判断とを行ない、VPN接続の可否を判定する(ステップS408)。なお、このVPN接続可否の判定処理の詳細については後述する。このVPN接続可否の判定においては、例えばVPN接続先装置2に接続許可伺いを行なう場合もある。
【0035】
そして、その結果、VPN接続可と判定した場合には、VPN構成情報生成部45がVPN接続要求装置1に配信するための第1VPN構成情報と、VPN接続先装置2へ配信するための第2VPN構成情報を生成する(ステップS409)。このVPN構成情報はVPN接続要求装置1とVPN接続先装置2がVPN接続の処理を実行する際に利用されるものである。VPN構成情報には、SPD(Security Policy Database),SAD(Security Association Database),アドレス変換テーブル,DNSテーブル情報などの情報が含まれる。これらVPN構成情報に含まれる各情報は、中継装置(VPN接続要求装置1、VPN接続先装置)の登録時に作成されたデータベース47内のデータに基づいて作成されるものである。
【0036】
第1VPN構成情報はVPN接続要求装置1に配信されることは上述したが、この第1VPN構成情報には、主にVPN接続先装置2の情報が含まれる。例えばSPDとしてはVPN接続先装置2の関連としてデータベース47に格納されている(セ)<VPN接続先装置2のWAN側のIPアドレスや当該VPN接続先装置2の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス>の情報である。またSADとしてはVPN接続先装置2の関連としてデータベース47に格納されている(エ)<VPN接続先装置2の種別,VPN接続先装置2の仕様>の情報と当該(エ)の情報に基づいた暗号アルゴリズムやVPN有効期間などの情報である。またアドレス変換テーブルとは、VPN接続要求装置1の配下に接続されている端末5aとVPN接続先装置2の配下に接続されている端末5bが接続される場合に(VPN接続自体はVPN接続要求装置1とVPN接続先装置2の間で行なわれる)、端末5aと端末5bが同一ネットワークアドレスとならないよう仮想ネットワークアドレスを割当てる為のテーブルである。このアドレス変換テーブルについては後述する。またDNSテーブルとはVPN接続先装置2のホスト名や当該VPN接続先装置2配下の端末5bの端末名からIPアドレスを検索するためのテーブルである。
【0037】
また第2VPN構成情報はVPN接続先装置2に配信されることは上述したが、この第2VPN構成情報には、主にVPN接続要求先装置1の情報が含まれる。例えばSPDとしてはVPN接続要求装置1の関連としてデータベース47に格納されている(セ)の情報である。またSADとしてはVPN接続要求装置1の関連としてデータベース47に格納されている(エ)の情報と当該(エ)の情報に基づいた暗号アルゴリズムやVPN有効期間などの情報である。また上述同様にアドレス変換テーブルとは、VPN接続先装置2の配下に接続されている端末5bとVPN接続要求装置1の配下に接続されている端末5aが接続される場合に(その際にVPN接続要求装置1とVPN接続先装置2の間でVPN接続が行なわれる)、端末5bと端末5aが同一ネットワークアドレスとならないよう仮想ネットワークアドレスを割当てる為のテーブルである。また上述同様にDNSテーブルとはVPN接続要求装置1のホスト名や当該VPN接続要求装置1配下の端末5aの端末名からIPアドレスを検索するためのテーブルである。
【0038】
そして、第1/第2VPN構成情報が生成されると、VPN管理サーバ4のVPN接続用情報配信部46が、認証情報をVPN接続要求装置1へ配信し(ステップS410)、また第1VPN構成情報をVPN接続要求装置1へ配信する(ステップS411)。またVPN接続用情報配信部46は、認証情報をVPN接続先装置2へ配信し(ステップS412)、また第2VPN構成情報をVPN接続先装置2へ配信する(ステップS413)。ここで認証情報とはVPN管理サーバ4が生成した共通鍵であってもよいし、VPN接続の相手側の中継装置(VPN接続要求装置1またはVPN接続先装置2)の公開鍵であってもよい。また認証情報やVPN構成情報は配信される際に暗号通信を利用して送信される。この処理については詳細を後述する。
【0039】
VPN接続要求装置1はVPN管理サーバ4から認証情報と第1VPN構成情報を受信すると、VPN接続要求部13が当該第1VPN構成情報を自装置の記憶部15に格納し(ステップS414)、端末5aに接続設定OKを通知する(ステップS415)。なおVPN接続可否において接続ができないと判定された場合には、その旨がVPN管理サーバ4からVPN接続要求装置1に通知され、VPN接続要求装置1のVPN接続要求部13は端末5aに接続NGを通知する。またVPN接続先装置2においては、VPN管理サーバ4から第2VPN構成情報を受信すると、当該第2VPN構成情報を自装置の記憶部24に格納し、またVPN接続受付部23がVPN接続要求装置1からのVPN接続を待機する。そして、VPN接続要求装置1のVPN接続実行部14が第1VPN構成情報を用いて、またVPN接続先装置2のVPN接続受付部23が第2VPN構成情報を用いて従来と同様の通常のVPN接続の構築の処理を行なう(ステップS417)。以上の処理により、VPN接続管理サーバ4が第1/第2VPN構成情報を生成し、その情報を用いてVPN接続要求装置1とVPN接続先装置2が自動的にVPN接続を行なうので、VPN接続を行なう機器などの設定などが必要なくなり、これにより、管理者などの作業を軽減することができる。
【0040】
図7はVPN接続の可否判定の処理概要を示す図である。
図7を利用してVPN接続の可否判定処理の詳細について説明する。
上記ステップS408のVPN接続可否の判定において、VPN管理サーバ4のVPN可否判定部44は、(1)VPN接続要求装置1のVPN接続ポリシーの情報とVPN接続先装置2の機器属性情報の比較、(2)VPN接続先装置2のVPN接続ポリシーの情報とVPN接続要求装置1の機器属性情報の比較、(3)VPN接続要求装置1の機器属性情報と基本VPN接続ポリシーとの比較、(4)VPN接続先装置2の機器属性情報と基本VPN接続ポリシーとの比較、の(1)〜(4)の処理を行なう。比較においては、条件が一致した場合にはOK、全ての条件が一致しなかった場合にはNG、一部の条件が一致しなかった場合には不定と判定する。そして、(1)〜(4)の処理の全ての比較において、OKとなった場合にのみVPN接続可であると判定する。また1つでもNGとなった場合にはVPN接続はできないと判断する。また不定の判定が出た場合には、VPN接続先装置2に許可伺い電文を送信し、その電文の中でVPN接続要求装置1の情報を通知する。そして例えば、VPN接続先装置2から判断結果(接続のOK/NG)を受信し、これに基づいて、VPN接続可否判定部44はVPN接続の可否を判定する。なお、上述のVPN接続ポリシーは、データベース47に記録されている(ウ)用途・設置位置・VPN接続ポリシーである。また、機器属性情報とは、データベース47に記録されている(エ)中継装置の種別、中継装置の仕様の情報である。
【0041】
図8はVPN構成情報と認証情報を配信する際の処理概要を示す図である。
次に上述のステップS410〜ステップS413において認証情報やVPN構成情報を配信する際の処理概要について詳細に説明する。
認証情報やVPN構成情報は安全のために暗号化して配信される。ここで、VPN管理サーバ4の通信処理部41は、第1/第2VPN構成情報を配信する際には中継装置(VPN接続要求装置1またはVPN接続先装置2)の制御部とSSLの通信を利用する。またそのSSLの通信処理の中において、さらにSM鍵を利用したセキュアメッセージング通信を利用し、中継装置内に備えられたICチップの通信処理部と連携して、認証情報とそのVPNを識別する情報(VPN管理プログラムIDなど)を配信する。これによってVPN管理サーバ4から配信される情報の耐タンパ性を考慮している。
【0042】
図9は中継装置のアドレスが変更になった際の処理フローを示す図である。
次に、ステップS417のVPN接続が完了した後に、中継装置のIPアドレスが変更された場合の処理について説明する。何らかの原因により中継装置(VPN接続要求装置1やVPN接続先装置2)の外部(WAN側)のIPアドレスが変更されるとVPN接続は維持できなくなる。従って中継装置の制御部はIPアドレスが変更された場合には、VPN接続を一度切断し、元のIPアドレスと変更後のIPアドレスをVPN管理サーバ4に通知する(A)。VPN管理サーバ4のVPN接続要求受付部43は受信した元のIPアドレスに基づいて、データベース47を検索し、IPアドレスが変更された中継装置を特定する。そして、VPN管理サーバ4のVPN接続要求受付部43は、データベース47で保持している中継装置のIPアドレスの情報を変更後のIPアドレスの情報へ書き換える(B)。またVPN接続要求受付部43は中継装置に対して、切断したVPN接続に利用していたVPN構成情報の削除要求を中継装置に通知する。中継装置では制御部がVPN構成情報を削除する。そして中継装置は削除完了の情報をVPN接続管理サーバ4へ通知する。VPN管理サーバ4では、VPN構成情報生成部45が新たに切断されたVPN接続におけるVPN接続要求装置1とVPN接続先装置2の情報をデータベース47から読み取って、上記ステップS409同様に第1/第2VPN構成情報を生成する(C)。そして、VPN接続用情報配信部46がそれぞれのVPN構成情報をVPN接続要求装置1とVPN接続先装置2へ配信して、これにより新たなVPN接続が処理される(D)。つまり、この処理によれば、中継装置のIPアドレスが変更された場合にも、管理者などがVPNの再設定をすることなく自動的にVPNの再接続が行なわれる。従って管理者などの労力を軽減することができる。
【0043】
図10はアドレス変換テーブルの概要を示す図である。
次に図10を用いて、VPN構成情報に含まれるアドレス変換テーブルを用いてVPN接続する際の処理について詳細に説明する。上述したようにVPN構成情報にはアドレス変換テーブルが含まれる。そして、このアドレス変換テーブルはVPN管理サーバ4のVPN構成情報生成部45が生成したものである。VPN構成情報生成部45は、VPN接続要求装置1の配下にネットワーク接続されている各装置のIPアドレスと、VPN接続先装置2の配下にネットワーク接続されている各装置のIPアドレスを、データベース47に記録されている(セ)<中継装置のWAN側のIPアドレス,中継装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス>の情報から読み取る。そして、VPN接続要求装置1の配下にネットワーク接続されている各装置のIPアドレスと、VPN接続先装置2の配下にネットワーク接続されている各装置のIPアドレスとを比較して、同一のIPアドレスがある場合には、その装置の仮想IPアドレスを生成して、実IPアドレスと仮想IPアドレスとを対応付けたアドレス変換テーブルを生成する。なおこの時アドレスのネットマスクの情報なども考慮に入れて、VPN接続要求装置1の配下にネットワーク接続されている各装置と、VPN接続先装置2の配下にネットワーク接続されている各装置が通信できるような統一的なネットワークアドレスを仮想IPアドレスとするようにしてもよい。
【0044】
次に、VPN管理サーバ4のVPN接続用情報配信部46は、VPN接続要求装置1には、当該VPN接続要求装置1の配下に接続された各装置の実IPアドレスと仮想IPアドレスを対応付けたアドレス変換テーブルを第1VPN構成情報に保持させて配信し、またVPN接続先装置2には、当該VPN接続先装置2の配下に接続された各装置の実IPアドレスと仮想IPアドレスを対応付けたアドレス変換テーブルを第2VPN構成情報に保持させて配信する。
【0045】
そして、VPN接続要求装置1やVPN接続先装置2は、VPN接続している通信間に通信データを送出する前に、自装置の配下に接続されている端末などから受信したデータにおいて、端末の実IPアドレスをアドレス変換テーブルに記載されている仮想IPアドレスに書き換えて、カプセリング処理を行ない、相手側のVPN接続先装置2またはVPN接続要求装置1へ通信データを送出する。これにより、VPN接続要求装置1の配下に接続された端末とVPN接続先装置2の配下に接続された端末のネットワークアドレスが同一である場合や、ネットマスクが異なる場合などに、ネットワークアドレスの整合を取るような作業をしなくても、自動的にVPN接続を行なうことができるようになる。
【0046】
図11はVPN切断時の処理フローを示す図である。
次に図11を用いて、ユーザがVPN切断を要求する際の処理について説明する。
まず、ユーザが端末を用いてVPN切断要求を登録すると、VPN接続要求装置1はVPN管理サーバ4に認証を依頼し(ステップS501)、当該認証がOKの場合にはその旨が端末5aに通知される(ステップS502)。そしてユーザが画面においてVPN切断を選択すると、それがVPN接続要求装置1に通知され、また当該VPN接続要求装置1からVPN管理サーバ4に通知される(ステップS503)。VPN管理サーバ4では、VPN接続先装置2の認証を行なう(ステップS504)。そして、認証情報を削除するようVPN接続要求装置1に通知する(ステップS505)。またVPN管理サーバ4はVPN接続先装置2にも認証情報を削除するよう通知する(ステップS506)。そして、VPN接続要求装置1とVPN接続先装置2は認証情報を削除して、VPN接続の切断を処理する(ステップS507)。これによりVPN接続の切断が終了する。
【0047】
図12はVPN接続監視の処理フローを示す図である。
次に図12を用いてVPN管理サーバ4がVPN接続を監視する際の処理について説明する。VPN管理サーバ4の監視処理部は、VPN接続要求装置1やVPN接続先装置2を常時監視する。図12に示すようにウォッチドッグ・パケットの要求をVPN管理サーバ4がVPN接続要求装置1やVPN接続先装置2などの中継装置へ送信し、ウォッチドッグ・パケットの応答を中継装置がVPN管理サーバ4へ送信する。VPN管理サーバ4の監視処理部は、ウォッチドッグ・パケットの応答が所定の時間返されてこない場合などには、VPN接続要求装置1やVPN接続先装置2が電源断、またはダウンしたと判断する。そして、VPN構成情報を変更する。また、VPN接続要求装置1やVPN接続先装置2から状態の通知を受けて、これに基づいてもVPN構成情報を変更する。
【0048】
なお上述の各装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。また上記「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。
【0049】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0050】
【図1】本発明の一実施形態によるVPN接続構築システムの概要を示すブロック図である。
【図2】本発明の一実施形態によるVPN接続構築システムを構成する各装置の機能ブロックを示す図である。
【図3】本発明の一実施形態による中継装置を機器管理サーバに登録する際の処理フローを示す図である。
【図4】本発明の一実施形態による中継装置のVPN接続管理サーバへの登録の処理フローを示す図である。
【図5】本発明の一実施形態によるVPN管理サーバへのユーザ登録の処理フローを示す図である。
【図6】本発明の一実施形態によるVPN接続の処理フローを示す図である。
【図7】本発明の一実施形態によるVPN接続の可否判定の処理概要を示す図である。
【図8】本発明の一実施形態によるVPN構成情報と認証情報を配信する際の処理概要を示す図である。
【図9】本発明の一実施形態による中継装置のアドレスが変更になった際の処理フローを示す図である。
【図10】本発明の一実施形態によるアドレス変換テーブルの概要を示す図である。
【図11】本発明の一実施形態によるVPN切断時の処理フローを示す図である。
【図12】本発明の一実施形態によるVPN接続監視の処理フローを示す図である。
【符号の説明】
【0051】
1・・・VPN接続要求装置
2・・・VPN接続先装置
3・・・機器管理サーバ
4・・・VPN管理サーバ
5a,5b・・・端末
【技術分野】
【0001】
本発明は、通信ネットワークを介して各装置がVPN接続を構築するVPN接続構築システムに関する。
【背景技術】
【0002】
現在通信ネットワークを介して遠隔に存在する端末やサーバや中継機の間における、セキュアな通信方法として、VPN(Virtual Private Network)の技術が多く利用されている。このVPNの接続を行なう場合には、ネットワーク管理者などはそれぞれの装置にVPN接続用の各種設定を施し、装置間のVPN接続の構築を行なっており、この作業に多くの労力がかかっている。このような管理者の煩雑な設定の作業を軽減するための技術として、特許文献1、2が公開されている。また、VPNの接続が一旦構築されると、例えば、一方の装置のIPアドレスが変更されてしまった場合には、VPN接続を維持することが不可能となる。このような一方の装置のIPアドレスが変更されてしまった際に、通信を維持する技術として、特許文献3が公開されている。
【特許文献1】特開2004−40433号公報
【特許文献2】特開2004−260470号公報
【特許文献3】特開2003−60672号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述の特許文献1の技術では、VPNが対象で、ネットワーク機器のサポート仕様や相互接続問題等を予め考慮し、ネットワーク機器の設定情報を自動的に生成し設定している。しかしながら、機種依存のデータで共通部分を抽出して相手を特定するIPsecポリシー(SPD)を人が直接設定する方式で、相手を特定せず、相手の属性などをもとに、自動的に接続可否判断することはできない。
また上述の特許文献2の技術では、複数のサイト外通信網に接続するサイト内ユーザが、サイト外通信網ごとの通信ポリシーを満たして接続する際の手続きを簡易化することができ、しかもサイト外通信網において管理する各々の通信ポリシーを簡略化して管理負荷を低減することができ、さらにサイト内ユーザが使用する属性をサイト外通信網に対して隠蔽しつつ複数のサイト外通信網を選択することを可能にする。しかしながら、ポリシーに基づく制御をサイト(本願発明の技術ではルータ)側で行なうもので、(相手の接続条件を知ることなく)接続相手の接続条件を考慮した制御ができない。そして、IP―VPNのようなクライアントとサーバの関係では良いが、P2Pのような関係では両方の属性とポリシーを考慮できる仕組みが望ましい。
また上述の特許文献3の技術では、機器のIPアドレスに変更が生じる都度、機器自体が新しいIPアドレスを外部に通知する機能を備えている。しかしながらこれは、接続相手にIPアドレスを伝えるもので、接続相手が多数の場合に対応できない。またIPアドレスの変化に応じて相手に伝えるのみで、VPNとの連携など複雑な動きは対応できない。
【0004】
そこでこの発明は、通信ネットワークを介した装置間のVPN接続において、管理者などの作業を軽減することができ、また上述した、VPN接続の際に、接続できる相互の装置のポリシーの設定に関する問題点や、一方の装置がIPアドレスを変更した場合にVPN接続を維持できなくなるという問題点を解決することができる、VPN接続構築システムを提供することを目的としている。
【課題を解決するための手段】
【0005】
本発明は、上述の課題を解決すべくなされたもので、VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムであって、前記VPN接続管理装置が、前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信手段と、前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定手段と、前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成手段と、前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信手段とを備え、前記VPN接続要求装置が、前記接続要求を前記VPN接続管理装置へ送信する接続要求手段と、前記第1VPN構成情報の示すVPN接続先装置のネットワーク情報と認証情報を利用して前記VPN接続先装置とのVPN接続の構築の処理を行なうVPN接続実行手段とを備え、前記VPN接続先装置が、前記第2VPN構成情報の示すVPN接続要求装置のネットワーク情報と認証情報を利用して、前記VPN接続要求装置から受付けたVPN接続の構築を処理するVPN接続受付手段とを備えることを特徴とするVPN接続構築システムである。
【0006】
また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続可否判定手段は、前記装置属性情報と前記ポリシー情報とが合致しない前記VPN接続要求装置または前記VPN接続先装置に、判定伺い情報を送信し、当該判定伺い情報を受信した前記VPN接続要求装置または前記VPN接続先装置の両方から、接続可を示す情報を受信した場合にのみ、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続を可と判定することを特徴とする。
【0007】
また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続要求装置または前記VPN接続先装置の両方が、自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備え、前記VPN接続管理装置が、前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段と、ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信手段と、前記ネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更手段とを備え、前記VPN構成情報生成手段が、前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成し、前記VPN構成情報配信手段が、前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なうことを特徴とする。
【0008】
また本発明は、上述のVPN接続構築システムにおいて、前記VPN接続管理装置が、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続要求装置から受信し、また前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続先装置から受信する、配下端末アドレス受信手段と、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第1仮想アドレス変換テーブル生成手段と、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第2仮想アドレス変換テーブル生成手段と、前記第1仮想アドレス変換テーブルを前記VPN接続要求装置へ配信し、前記第2仮想アドレス変換テーブルを前記VPN接続先装置へ配信する、仮想アドレス変換テーブル配信手段とを備え、接続要求が前記VPN接続要求装置のネットワーク配下に接続された接続要求側端末と前記VPN接続先装置のネットワーク配下に接続された接続先側端末との間のVPN接続の要求を示す場合に、前記VPN接続要求装置の前記VPN接続実行手段は、前記接続要求側端末から送信された通信情報に含まれる当該接続要求側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第1仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理し、前記VPN接続先装置の前記VPN接続受付手段は、前記接続先側端末から送信された通信情報に含まれる当該接続先側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第2仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理することを特徴とする。
【0009】
また本発明は、VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムの前記VPN接続管理装置のコンピュータに実行させるプログラムであって、前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信処理と、前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定処理と、前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成処理と、前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信処理と、をコンピュータに実行させるプログラムである。
【発明の効果】
【0010】
本発明によれば、VPN接続管理装置が第1/第2VPN構成情報を生成し、その情報を用いてVPN接続要求装置とVPN接続先装置が自動的にVPN接続を行なうので、VPN接続を行なう機器の設定が必要なくなり、これにより、管理者などの作業を軽減することができる。またVPN接続を行なう一方の装置のIPアドレスが変更になった場合にも、VPN構成情報の再生成によって、新たなVPN接続を構築するので、VPN接続が維持でき、IPアドレスが変更されるようなネットワーク形態においてもVPN接続の構築を容易に行なうことができるという効果が得られる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の一実施形態によるVPN接続構築システムを図面を参照して説明する。図1は同実施形態によるVPN接続構築システムの概要を示すブロック図である。この図において、符号1はVPN接続を要求するVPN接続要求装置である。また2はVPNの接続先となるVPN接続先装置である。また3は機器管理サーバであり、本システムを利用するVPN接続要求装置1とVPN接続先装置2の情報が登録される。この機器管理サーバ3は基本的に1つだけ存在する。また4はVPN管理サーバ(VPN接続管理装置)であり、VPN接続要求装置1とVPN接続先装置2が相互間でVPN接続を行なう際に、そのVPN接続の可否などを判断する処理を行なう。なお本実施形態においては説明の便宜上、VPN接続要求装置1とVPN接続先装置2に分けて説明するが、本来は1つの中継装置(例えばルータやファイアーウォールなどの)が接続要求側となったり、または接続先となったりするので、VPN接続要求装置1とVPN接続先装置2の両方の機能を有する。
【0012】
図2は、本実施形態によるVPN接続構築システムを構成する各装置の機能ブロックを示す図である。
この図が示すように、まずVPN接続要求装置1は、通信ネットワークに接続された他の装置と通信を行なう通信処理部11と、装置内の各処理部を制御する制御部12と、VPNの接続要求を処理するVPN接続要求部(接続要求手段)13と、VPN接続先装置2とVPN接続の構築を処理するVPN接続実行部(VPN接続実行手段、VPN接続切断手段、変更後アドレス通知手段、VPN再接続手段)14と、各種情報を記憶する記憶部15とを備えている。
【0013】
またVPN接続先装置2は、通信ネットワークに接続された他の装置と通信を行なう通信処理部21と、装置内の各処理部を制御する制御部22と、VPN接続要求装置1から受付けたVPN接続の構築を処理するVPN接続受付部(VPN接続受付手段)23と、各種情報を記憶する記憶部24とを備えている。
【0014】
また、機器管理サーバ3は、通信ネットワークに接続された他の装置と通信を行なう通信処理部31と、本システムを利用するVPN接続要求装置1やVPN接続先装置2の登録の受付け処理や、当該登録時に受付けた情報を記録する処理を行なう機器登録処理部32と、登録された情報を記憶するデータベースとを備えている。
【0015】
またVPN管理サーバ4は、通信ネットワークに接続された他の装置と通信を行なう通信処理部41と、機器管理サーバ3に登録を行なったVPN接続要求装置1からVPN接続を行なう旨の登録を受付けるVPN登録処理部42と、VPN接続要求を受付けるVPN接続要求受付部(接続要求受信手段、変更後アドレス受信手段、ネットワークアドレス変更手段、配下端末アドレス受信手段)43と、VPN接続要求装置1とVPN接続先装置2の間におけるVPN接続の可否を判定するVPN接続可否判定部(VPN接続可否判定手段)44と、VPN接続時にVPN接続要求装置1やVPN接続先装置2で利用されるVPN構成情報を生成するVPN構成情報生成部(VPN構成情報生成手段、第1仮想アドレス変換テーブル生成手段、第2仮想アドレス変換テーブル生成手段)45や、VPN構成情報をVPN接続要求装置1やVPN接続先装置2に配信するVPN接続用情報配信部(VPN構成情報配信手段、仮想アドレス変換テーブル配信手段)46や、登録を受付けた際の各種情報を記憶するデータベース(ネットワークアドレス記憶手段)を備えている。
【0016】
なお、VPN管理サーバ4は、例えば、VPN接続のサービスを管理する各業者それぞれが有するものである。そして、予め各VPN接続要求装置1やVPN接続先装置2のユーザはそれら装置を機器管理サーバ3に登録して、認証局からの認証を受けておくことで、VPN接続のサービスを管理する各業者からサービスを受ける際のVPN管理サーバ4への登録時に再度、認証を受けずに済むようにしておく。ユーザは、ある業者が管理するVPN管理サーバ4に登録することで、そのVPN管理サーバ4に登録されている他の装置とVPN接続の処理が可能となる。
【0017】
図3は中継装置(VPN接続要求装置1、VPN接続先装置2)を機器管理サーバに登録する際の処理フローを示す図である。
次に図3を用いて、VPN接続要求装置1やVPN接続先装置2の機能を備えた中継装置(ルータやファイアーウォールなど)を機器管理サーバ3に登録する際の処理について説明する。
まずユーザは、PCなどの端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末に中継装置登録を行なう為のウェブページ(以下、登録画面という)を送信する機能と、当該登録画面によって入力された情報を受付けて機器管理サーバ3への登録処理を行なう機能を有している(つまり図2のVPN接続要求装置1やVPN接続先装置2の制御部11,21がこの機能を有している)。ユーザは、登録画面において、ID,パスワードを入力してログインする。すると中継装置が認証をして登録の許可を通知する。そしてユーザが当該登録画面を利用して登録要求を行なうと、中継装置の制御部はSSL通信により機器管理サーバ3と接続を行ない、相互認証が行なわれ、登録開始メッセージが中継装置と機器管理サーバ3の間で送受信される(ステップS101)。機器管理サーバ3の機器登録処理部32は登録に必要なデータの要求を行なうと(ステップS102)、中継装置は登録フォーム画面を端末に送信し、当該画面が端末に表示される。
【0018】
次に、ユーザは端末に表示された登録フォーム画面において、(ア)自身の住所、氏名、生年月日、(イ)個人認証用の情報(ID、パスワード)、(ウ)用途、設置位置の情報を登録する。すると、端末はア〜ウの情報を中継装置へ送信し、当該情報を中継装置が機器管理サーバ3に送信する(ステップS103)。すると機器管理サーバ3の機器登録処理部32は相互認証を行ない、またSM(セキュアメッセージング)鍵を共有する為に当該SM鍵を中継装置へ送信する(ステップS104)。このSM鍵は、中継装置内のICチップに記録されている各情報を機器管理サーバ3に送信する際に、当該ICチップと機器管理サーバ3との間での通信処理を暗号化するための鍵情報である。なお、ICチップには(エ)中継装置種別,中継装置仕様、(オ)CA公開鍵、(カ)中継装置の仮公開鍵、(キ)中継装置の仮秘密鍵、(ク)中継装置の仮公開鍵証明書(中継装置IDを含む)などが記録されている。またユーザから登録フォーム画面において入力を受付けた後に、中継装置の制御部が(ケ)署名付き依頼文の情報、を生成しICチップに記録しておく。
【0019】
上記相互認証が終了すると、中継装置のICチップ内の暗号処理部がSM鍵を利用して、(エ),(ケ)の情報を暗号化し、登録要求としてICチップから機器管理サーバ3へ送信する(ステップS105)。次に中継装置は中継装置の公開鍵(コ)と秘密鍵(サ)のペアを生成する(ステップS106)。そして中継装置の公開鍵(コ)を機器管理サーバ3へ送信する(ステップS107)。すると、機器管理サーバ3の機器登録処理部32は、中継装置へ中継装置登録完了通知と(シ)中継装置の公開鍵証明書(機器管理サーバ3の管理者により発行される)、とを中継装置へ送信する(ステップS108)。また機器管理サーバ3の機器登録処理部32は、(ス)機器管理サーバ3を管理する管理者のCA(認証局)公開鍵証明書を中継装置へ送信する(ステップS109)。
【0020】
次に中継装置の制御部はICチップ内のメモリへ、受信した(シ)の情報を格納する(ステップS110)。これにより、登録成功通知が中継装置から機器管理サーバ3へ送信される(ステップS111)。また中継装置は中継装置の登録成功を端末に通知する(ステップS112)。この時点で中継装置の保持するICチップに記録される情報は、(オ)CA公開鍵、(エ)中継装置種別,中継装置仕様、(シ)中継装置の公開鍵証明書(鍵情報、中継装置ID、機器管理サーバ3の管理者ID、中継装置の所有者IDが含まれる)、(コ)中継装置の公開鍵、(サ)中継装置の秘密鍵である。なお(ク)中継装置製造者の仮公開鍵証明書は(シ)の情報によって上書きされることで削除され、また(キ)の情報は削除されている。以上の機器管理サーバ3への中継装置(VPN接続要求装置1とVPN接続先装置2の機能を備える装置)の登録によって、当該中継装置の正当性が確保される。
【0021】
図4は中継装置(VPN接続要求装置1、VPN接続先装置2)のVPN接続管理サーバへの登録の処理フローを示す図である。
上述の機器管理サーバ3への登録後、ユーザは、VPN接続の管理サービスを提供しているVPN接続管理サーバへ中継装置を登録し、これにより、当該VPN接続管理サーバで管理されている他の中継装置とのVPN接続を要求することが可能となる。
以下図4を用いて、VPN接続管理サーバ4への登録の処理について説明する。
まずユーザは、端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末にVPN登録を行なう為のウェブページ(以下、VPN登録画面という)を送信する。するとユーザは、VPN登録画面において、ID,パスワードを入力してログインする。すると中継装置が認証をしてVPN登録の許可を通知する。そしてユーザが当該VPN登録画面を利用してVPN登録要求を行なうと、中継装置の制御部はSSL通信によりVPN管理サーバ4と接続を行ない、相互認証が行なわれ、VPN登録開始メッセージが中継装置とVPN管理サーバ4の間で送受信される(ステップS201)。次にVPN管理サーバ4のVPN登録処理部42はVPN登録に必要なデータの要求を行なうと(ステップS202)、中継装置はVPN登録フォーム画面を端末に送信し、当該画面が端末に表示される。
【0022】
次に、ユーザは端末に表示されたVPN登録フォーム画面において、(ア)自身の住所、氏名、生年月日、(イ)個人認証用の情報(ID、パスワード)、(ウ)用途・設置位置・VPN接続ポリシー(VPN接続を行なうことができる中継装置の仕様や属性を示す情報)の情報を登録する。すると、端末はア〜ウの情報を中継装置へ送信し、中継装置がア〜ウの情報と、(セ)自装置(中継装置)のWAN側のIPアドレス,自装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス、の情報とをVPN管理サーバ4に送信する(ステップS203)。するとVPN管理サーバ4のVPN登録処理部42は(シ)の中継装置の公開鍵証明書の情報を利用して相互認証を行ない、またSM鍵を共有する為に当該SM鍵を中継装置へ送信する(ステップS204)。なおユーザからVPN登録フォーム画面において入力を受付けた後に、中継装置の制御部が(ソ)中継装置の署名付き依頼文の情報、を生成しICチップに記録しておく。
【0023】
上記相互認証が終了すると、中継装置のICチップ内の暗号処理部がSM鍵を利用して、(エ),(ソ)を暗号化しICチップからVPN管理サーバ4へその暗号化された情報を送信する(ステップS205)。VPN管理サーバ4では、VPN登録処理部42が(ア),(イ),(ウ),(エ)の情報をデータベース47へ登録する(ステップS206)。またVPN登録処理部42は、VPN管理プログラムのIDを生成し、当該IDをステップS206で登録した情報に対応付けてデータベースへ登録する(ステップS207)。このVPN管理プログラムは、中継装置に配信されるものであり、このプログラムを利用して中継装置は本システムを利用することが可能となる。
【0024】
次にVPN管理サーバ4のVPN登録処理部42は、ダウンロード許可依頼を機器管理サーバ3に通知する(ステップS208)。この時VPN登録処理部42は、中継装置ID<(エ)の情報から検出>と、(シ)、(ソ)の情報を機器管理サーバ3へ送信する。すると機器管理サーバ3の機器登録処理部32は中継装置IDと(シ)(ソ)の情報に基づいて、中継装置の正当性を判定し(つまり機器登録の処理において認証されているか否かを判定)し、許可した場合には、VPN管理プログラムのダウンロード許可書を生成する(ステップS209)。そして生成したダウンロード許可書を含むダウンロード許可情報をVPN管理サーバ4へ通知する(ステップS210)。
【0025】
次にVPN管理サーバ4のVPN登録処理部42は、VPN管理プログラムとダウンロード許可書を含む中継装置登録完了通知を中継装置に送信する(ステップS211)。中継装置の制御部は受信したダウンロード許可書が正当な情報か否かを、VPN管理サーバ4の公開鍵を用いて検証し(ステップS212)、ダウンロード許可書が正当な情報である場合には、VPN管理プログラムをICチップ内に格納する(ステップS213)。次に中継装置の制御部は、中継装置の公開鍵(タ)と秘密鍵(チ)のペアを生成し(ステップS214)ICチップに格納する。そして、(タ)の公開鍵をVPN管理サーバ4に送信する(ステップS215)。
【0026】
すると、VPN管理サーバ4のVPN登録処理部42は中継装置の公開鍵証明書(ツ)を生成し(ステップS216)、当該公開鍵証明書(ツ)を中継装置へ送信する(ステップS217)。中継装置の制御部は公開鍵証明書が送信されると、VPN登録成功をVPN管理サーバ4に通知し(ステップS218)、また端末にも通知する(ステップS219)。これにより、機器管理サーバ3で登録した際に付与された認証に基づいて、新たにVPN管理サーバ4で公開鍵証明書が中継装置に付与され、また本システムを利用するVPN管理プログラムが中継装置に記録されるので、同一のVPN管理サーバ4で管理される他の中継装置とVPN接続が可能となる。なお、VPN管理サーバ4は中継装置が利用するVPN管理プログラムのIDによって、当該中継装置の当該システムの利用可否を判断できる。
【0027】
上述したVPN管理サーバ4への中継装置の登録により、VPN管理サーバ4のデータベース47には、登録された中継装置のID、中継装置の所有者ID、中継装置で利用されるVPN管理プログラムID、中継装置の所有者の情報(ア)(イ)、中継装置の用途・設置位置・VPN接続ポリシーの情報(ウ)、中継装置種別,中継装置仕様(エ)、中継装置のWAN側のIPアドレスと中継装置装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス(セ)、の情報が格納される。VPN接続の際にはこれらのVPN管理サーバ4のデータベース47に登録された情報によって生成されるVPN構成情報がVPN接続を行なう各中継装置(つまりVPN接続要求装置1とVPN接続先装置2)に配信され、当該中継装置間でのVPN接続が処理されることとなる。
【0028】
図5はVPN管理サーバへのユーザ登録の処理フローを示す図である。
ユーザは中継装置のVPN管理サーバ4への登録をした後にユーザとしての登録もVPN管理サーバ4に対して行なうことが必要となる。
次に図5を用いて、ユーザがVPN管理サーバへ登録する際の処理について説明する。
まずユーザは、PCなどの端末を利用して中継装置にアクセスする。中継装置はアクセスを受付けた端末にVPN利用者登録を行なう為のウェブページ(以下、利用者登録画面という)を送信する機能と、当該利用者登録画面によって入力された情報を受付けてVPN管理サーバ4への登録処理を行なう機能を有している。ユーザは、利用者登録画面において、ID,パスワードを入力して中継装置にログインする。すると中継装置が認証をして利用者登録の許可を通知する。そしてユーザが当該利用者登録画面を利用して利用者登録要求を行なうと、中継装置の制御部はSSL通信によりVPN管理サーバ4と接続を行ない、相互認証が行なわれ、利用者登録開始メッセージが中継装置と機器管理サーバ3の間で送受信される(ステップS301)。VPN管理サーバ4のVPN登録処理部42は登録に必要なデータの要求を行なうと(ステップS302)、中継装置は利用者登録フォーム画面を端末に送信し、当該画面が端末に表示される。
【0029】
次に、ユーザは端末に表示された利用者登録フォーム画面において、(テ)住所、氏名、生年月日などのユーザ属性情報と、(ト)個人認証用の情報(ID、パスワード)を登録する。すると、端末はテ,トの情報を中継装置へ送信し、当該情報を中継装置がVPN管理サーバ4に送信する(ステップS303)。するとVPN管理サーバ4のVPN登録処理部42は相互認証を行ない、またSM(セキュアメッセージング)鍵を共有する為に当該SM鍵を中継装置へ送信し、利用者登録要求の情報が中継装置からVPN管理サーバ4に通知される(ステップS304)。なおこの段階で中継装置のICチップに記録されている情報は(エ)中継装置種別,中継装置仕様、(オ)CA公開鍵、(ツ)中継装置の公開鍵証明書、(タ)中継装置の公開鍵、(チ)中継装置の秘密鍵である。
【0030】
次にVPN管理サーバ4のVPN登録処理部42は利用者登録要求を受付けると、ステップS303で受信した利用者の情報を、当該情報を送信した中継装置に格納されているVPN管理プログラムのIDに対応付けてデータベース47に記録する(ステップS305)。するとVPN管理サーバ4のVPN登録処理部42は、利用者別のVPN設定情報(ナ)を送信する(ステップS306)。中継装置の制御部はVPN設定情報を受信すると利用者別設定情報の設定成功を通知する(ステップS307)。そして、VPN管理サーバ4のVPN登録処理部42は利用者登録成功を中継装置へ通知し(ステップS308)、また中継装置は利用者登録成功を端末へ通知する(ステップS309)。この段階で中継装置のICチップには(ナ)の情報が追加される。これにより、以降、端末を利用するユーザはVPN接続の指示を中継装置にアクセスして制御することができる。
【0031】
図6はVPN接続の処理フローを示す図である。
次に図6を用いて、VPN接続の処理についてVPN接続要求装置とVPN接続先装置とを用いて説明する。
まず、ユーザは、端末5aを利用してVPN接続要求装置1にアクセスする。VPN接続要求装置1のVPN接続要求部13はアクセスを受付けた端末5aにVPN接続要求を行なう為のウェブページ(以下、接続要求画面という)を送信する機能と、当該接続要求画面によって入力された情報を受付けてVPN管理サーバ4への接続要求を通知する処理を行なう機能を有している。ユーザは、VPN接続要求装置1のアクセス時にID,パスワードを入力してVPN接続要求装置1にログインする。するとVPN接続要求装置1のVPN接続要求部13が認証をして、VPN接続の処理の実行許可を端末5aに通知する。そしてユーザが接続要求画面を利用して接続要求を行なうと、VPN接続要求装置1のVPN接続要求部13はユーザのIDやパスワードと、自装置の公開鍵証明書(ツ)の情報をVPN管理サーバ4へ送信し接続要求を行なう(ステップS401)。
【0032】
VPN管理サーバ4では接続要求をVPN接続要求装置1から受信すると、VPN接続要求受付部43がデータベース47に記録されているユーザの情報とユーザIDやパスワードに基づいてユーザ認証を行ない(ステップS402)、またVPN接続要求装置1の公開鍵証明書を利用してVPN接続要求装置1の認証を行なう(ステップS403)。またVPN接続要求装置1の公開鍵証明書に含まれるVPN接続要求装置1のIDと、データベース47に登録されている情報とを比較して、当該VPN接続要求装置1がVPN接続サービスの利用権を保持しているか否かの確認を行なう(ステップS404)。そしてVPN接続要求受付部43はステップS402〜S403の処理に基づいて、VPN接続の諾否(OK/NG)をVPN接続要求装置1へ送信する(ステップS405)。VPN接続の諾否の通知を受けたVPN接続要求装置1はその情報を端末5aに転送する(ステップS406)。
【0033】
端末5aではVPN接続の諾否の通知を受けると、その情報が接続要求画面に表示される。ユーザはVPN接続可の場合には、VPN接続先と端末5aで利用するアプリケーションの情報を接続要求画面から登録し、接続開始を指示する。ここで、VPN接続先は、例えばVPN接続先装置2のホスト名や当該VPN接続先装置2の配下に接続された端末5bの端末名などである。またアプリケーションの情報とは例えば端末5a上で動作させるアプリケーション種類とそのバージョンである。VPN接続要求装置1のVPN接続要求部13は、端末5aから受付けた情報を含む接続要求をVPN管理サーバ4に送信する(ステップS407)。
【0034】
次にVPN管理サーバ4が接続要求を受付けるとVPN接続可否判定部44は、VPN接続先装置2のホスト名から当該VPN接続先装置2のIDとIPアドレス<上記(セ)の情報>とをデータベース47から検索し、また接続先の端末名から当該端末5bのIPアドレス<上記(セ)の情報>をデータベース47から検索する。これによりVPN接続先装置2を特定する。そして、VPN接続可否判定部44はVPN接続要求装置1の機器属性情報とVPN接続ポリシー、VPN接続先装置2の機器属性情報とVPN接続ポリシー、VPN管理サーバ4が予め備えている基本VPN接続ポリシーの各情報に基づいて、VPN接続要求装置1とVPN接続先装置2とのVPN接続を行なうためのポリシーが合致しているか否かの判断と、VPN接続要求装置1とVPN接続先装置2とのVPN接続を行なうためのポリシーが基本VPNポリシーに合致しているかの判断とを行ない、VPN接続の可否を判定する(ステップS408)。なお、このVPN接続可否の判定処理の詳細については後述する。このVPN接続可否の判定においては、例えばVPN接続先装置2に接続許可伺いを行なう場合もある。
【0035】
そして、その結果、VPN接続可と判定した場合には、VPN構成情報生成部45がVPN接続要求装置1に配信するための第1VPN構成情報と、VPN接続先装置2へ配信するための第2VPN構成情報を生成する(ステップS409)。このVPN構成情報はVPN接続要求装置1とVPN接続先装置2がVPN接続の処理を実行する際に利用されるものである。VPN構成情報には、SPD(Security Policy Database),SAD(Security Association Database),アドレス変換テーブル,DNSテーブル情報などの情報が含まれる。これらVPN構成情報に含まれる各情報は、中継装置(VPN接続要求装置1、VPN接続先装置)の登録時に作成されたデータベース47内のデータに基づいて作成されるものである。
【0036】
第1VPN構成情報はVPN接続要求装置1に配信されることは上述したが、この第1VPN構成情報には、主にVPN接続先装置2の情報が含まれる。例えばSPDとしてはVPN接続先装置2の関連としてデータベース47に格納されている(セ)<VPN接続先装置2のWAN側のIPアドレスや当該VPN接続先装置2の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス>の情報である。またSADとしてはVPN接続先装置2の関連としてデータベース47に格納されている(エ)<VPN接続先装置2の種別,VPN接続先装置2の仕様>の情報と当該(エ)の情報に基づいた暗号アルゴリズムやVPN有効期間などの情報である。またアドレス変換テーブルとは、VPN接続要求装置1の配下に接続されている端末5aとVPN接続先装置2の配下に接続されている端末5bが接続される場合に(VPN接続自体はVPN接続要求装置1とVPN接続先装置2の間で行なわれる)、端末5aと端末5bが同一ネットワークアドレスとならないよう仮想ネットワークアドレスを割当てる為のテーブルである。このアドレス変換テーブルについては後述する。またDNSテーブルとはVPN接続先装置2のホスト名や当該VPN接続先装置2配下の端末5bの端末名からIPアドレスを検索するためのテーブルである。
【0037】
また第2VPN構成情報はVPN接続先装置2に配信されることは上述したが、この第2VPN構成情報には、主にVPN接続要求先装置1の情報が含まれる。例えばSPDとしてはVPN接続要求装置1の関連としてデータベース47に格納されている(セ)の情報である。またSADとしてはVPN接続要求装置1の関連としてデータベース47に格納されている(エ)の情報と当該(エ)の情報に基づいた暗号アルゴリズムやVPN有効期間などの情報である。また上述同様にアドレス変換テーブルとは、VPN接続先装置2の配下に接続されている端末5bとVPN接続要求装置1の配下に接続されている端末5aが接続される場合に(その際にVPN接続要求装置1とVPN接続先装置2の間でVPN接続が行なわれる)、端末5bと端末5aが同一ネットワークアドレスとならないよう仮想ネットワークアドレスを割当てる為のテーブルである。また上述同様にDNSテーブルとはVPN接続要求装置1のホスト名や当該VPN接続要求装置1配下の端末5aの端末名からIPアドレスを検索するためのテーブルである。
【0038】
そして、第1/第2VPN構成情報が生成されると、VPN管理サーバ4のVPN接続用情報配信部46が、認証情報をVPN接続要求装置1へ配信し(ステップS410)、また第1VPN構成情報をVPN接続要求装置1へ配信する(ステップS411)。またVPN接続用情報配信部46は、認証情報をVPN接続先装置2へ配信し(ステップS412)、また第2VPN構成情報をVPN接続先装置2へ配信する(ステップS413)。ここで認証情報とはVPN管理サーバ4が生成した共通鍵であってもよいし、VPN接続の相手側の中継装置(VPN接続要求装置1またはVPN接続先装置2)の公開鍵であってもよい。また認証情報やVPN構成情報は配信される際に暗号通信を利用して送信される。この処理については詳細を後述する。
【0039】
VPN接続要求装置1はVPN管理サーバ4から認証情報と第1VPN構成情報を受信すると、VPN接続要求部13が当該第1VPN構成情報を自装置の記憶部15に格納し(ステップS414)、端末5aに接続設定OKを通知する(ステップS415)。なおVPN接続可否において接続ができないと判定された場合には、その旨がVPN管理サーバ4からVPN接続要求装置1に通知され、VPN接続要求装置1のVPN接続要求部13は端末5aに接続NGを通知する。またVPN接続先装置2においては、VPN管理サーバ4から第2VPN構成情報を受信すると、当該第2VPN構成情報を自装置の記憶部24に格納し、またVPN接続受付部23がVPN接続要求装置1からのVPN接続を待機する。そして、VPN接続要求装置1のVPN接続実行部14が第1VPN構成情報を用いて、またVPN接続先装置2のVPN接続受付部23が第2VPN構成情報を用いて従来と同様の通常のVPN接続の構築の処理を行なう(ステップS417)。以上の処理により、VPN接続管理サーバ4が第1/第2VPN構成情報を生成し、その情報を用いてVPN接続要求装置1とVPN接続先装置2が自動的にVPN接続を行なうので、VPN接続を行なう機器などの設定などが必要なくなり、これにより、管理者などの作業を軽減することができる。
【0040】
図7はVPN接続の可否判定の処理概要を示す図である。
図7を利用してVPN接続の可否判定処理の詳細について説明する。
上記ステップS408のVPN接続可否の判定において、VPN管理サーバ4のVPN可否判定部44は、(1)VPN接続要求装置1のVPN接続ポリシーの情報とVPN接続先装置2の機器属性情報の比較、(2)VPN接続先装置2のVPN接続ポリシーの情報とVPN接続要求装置1の機器属性情報の比較、(3)VPN接続要求装置1の機器属性情報と基本VPN接続ポリシーとの比較、(4)VPN接続先装置2の機器属性情報と基本VPN接続ポリシーとの比較、の(1)〜(4)の処理を行なう。比較においては、条件が一致した場合にはOK、全ての条件が一致しなかった場合にはNG、一部の条件が一致しなかった場合には不定と判定する。そして、(1)〜(4)の処理の全ての比較において、OKとなった場合にのみVPN接続可であると判定する。また1つでもNGとなった場合にはVPN接続はできないと判断する。また不定の判定が出た場合には、VPN接続先装置2に許可伺い電文を送信し、その電文の中でVPN接続要求装置1の情報を通知する。そして例えば、VPN接続先装置2から判断結果(接続のOK/NG)を受信し、これに基づいて、VPN接続可否判定部44はVPN接続の可否を判定する。なお、上述のVPN接続ポリシーは、データベース47に記録されている(ウ)用途・設置位置・VPN接続ポリシーである。また、機器属性情報とは、データベース47に記録されている(エ)中継装置の種別、中継装置の仕様の情報である。
【0041】
図8はVPN構成情報と認証情報を配信する際の処理概要を示す図である。
次に上述のステップS410〜ステップS413において認証情報やVPN構成情報を配信する際の処理概要について詳細に説明する。
認証情報やVPN構成情報は安全のために暗号化して配信される。ここで、VPN管理サーバ4の通信処理部41は、第1/第2VPN構成情報を配信する際には中継装置(VPN接続要求装置1またはVPN接続先装置2)の制御部とSSLの通信を利用する。またそのSSLの通信処理の中において、さらにSM鍵を利用したセキュアメッセージング通信を利用し、中継装置内に備えられたICチップの通信処理部と連携して、認証情報とそのVPNを識別する情報(VPN管理プログラムIDなど)を配信する。これによってVPN管理サーバ4から配信される情報の耐タンパ性を考慮している。
【0042】
図9は中継装置のアドレスが変更になった際の処理フローを示す図である。
次に、ステップS417のVPN接続が完了した後に、中継装置のIPアドレスが変更された場合の処理について説明する。何らかの原因により中継装置(VPN接続要求装置1やVPN接続先装置2)の外部(WAN側)のIPアドレスが変更されるとVPN接続は維持できなくなる。従って中継装置の制御部はIPアドレスが変更された場合には、VPN接続を一度切断し、元のIPアドレスと変更後のIPアドレスをVPN管理サーバ4に通知する(A)。VPN管理サーバ4のVPN接続要求受付部43は受信した元のIPアドレスに基づいて、データベース47を検索し、IPアドレスが変更された中継装置を特定する。そして、VPN管理サーバ4のVPN接続要求受付部43は、データベース47で保持している中継装置のIPアドレスの情報を変更後のIPアドレスの情報へ書き換える(B)。またVPN接続要求受付部43は中継装置に対して、切断したVPN接続に利用していたVPN構成情報の削除要求を中継装置に通知する。中継装置では制御部がVPN構成情報を削除する。そして中継装置は削除完了の情報をVPN接続管理サーバ4へ通知する。VPN管理サーバ4では、VPN構成情報生成部45が新たに切断されたVPN接続におけるVPN接続要求装置1とVPN接続先装置2の情報をデータベース47から読み取って、上記ステップS409同様に第1/第2VPN構成情報を生成する(C)。そして、VPN接続用情報配信部46がそれぞれのVPN構成情報をVPN接続要求装置1とVPN接続先装置2へ配信して、これにより新たなVPN接続が処理される(D)。つまり、この処理によれば、中継装置のIPアドレスが変更された場合にも、管理者などがVPNの再設定をすることなく自動的にVPNの再接続が行なわれる。従って管理者などの労力を軽減することができる。
【0043】
図10はアドレス変換テーブルの概要を示す図である。
次に図10を用いて、VPN構成情報に含まれるアドレス変換テーブルを用いてVPN接続する際の処理について詳細に説明する。上述したようにVPN構成情報にはアドレス変換テーブルが含まれる。そして、このアドレス変換テーブルはVPN管理サーバ4のVPN構成情報生成部45が生成したものである。VPN構成情報生成部45は、VPN接続要求装置1の配下にネットワーク接続されている各装置のIPアドレスと、VPN接続先装置2の配下にネットワーク接続されている各装置のIPアドレスを、データベース47に記録されている(セ)<中継装置のWAN側のIPアドレス,中継装置の配下にネットワーク接続されている各装置(端末やサーバ)のIPアドレス>の情報から読み取る。そして、VPN接続要求装置1の配下にネットワーク接続されている各装置のIPアドレスと、VPN接続先装置2の配下にネットワーク接続されている各装置のIPアドレスとを比較して、同一のIPアドレスがある場合には、その装置の仮想IPアドレスを生成して、実IPアドレスと仮想IPアドレスとを対応付けたアドレス変換テーブルを生成する。なおこの時アドレスのネットマスクの情報なども考慮に入れて、VPN接続要求装置1の配下にネットワーク接続されている各装置と、VPN接続先装置2の配下にネットワーク接続されている各装置が通信できるような統一的なネットワークアドレスを仮想IPアドレスとするようにしてもよい。
【0044】
次に、VPN管理サーバ4のVPN接続用情報配信部46は、VPN接続要求装置1には、当該VPN接続要求装置1の配下に接続された各装置の実IPアドレスと仮想IPアドレスを対応付けたアドレス変換テーブルを第1VPN構成情報に保持させて配信し、またVPN接続先装置2には、当該VPN接続先装置2の配下に接続された各装置の実IPアドレスと仮想IPアドレスを対応付けたアドレス変換テーブルを第2VPN構成情報に保持させて配信する。
【0045】
そして、VPN接続要求装置1やVPN接続先装置2は、VPN接続している通信間に通信データを送出する前に、自装置の配下に接続されている端末などから受信したデータにおいて、端末の実IPアドレスをアドレス変換テーブルに記載されている仮想IPアドレスに書き換えて、カプセリング処理を行ない、相手側のVPN接続先装置2またはVPN接続要求装置1へ通信データを送出する。これにより、VPN接続要求装置1の配下に接続された端末とVPN接続先装置2の配下に接続された端末のネットワークアドレスが同一である場合や、ネットマスクが異なる場合などに、ネットワークアドレスの整合を取るような作業をしなくても、自動的にVPN接続を行なうことができるようになる。
【0046】
図11はVPN切断時の処理フローを示す図である。
次に図11を用いて、ユーザがVPN切断を要求する際の処理について説明する。
まず、ユーザが端末を用いてVPN切断要求を登録すると、VPN接続要求装置1はVPN管理サーバ4に認証を依頼し(ステップS501)、当該認証がOKの場合にはその旨が端末5aに通知される(ステップS502)。そしてユーザが画面においてVPN切断を選択すると、それがVPN接続要求装置1に通知され、また当該VPN接続要求装置1からVPN管理サーバ4に通知される(ステップS503)。VPN管理サーバ4では、VPN接続先装置2の認証を行なう(ステップS504)。そして、認証情報を削除するようVPN接続要求装置1に通知する(ステップS505)。またVPN管理サーバ4はVPN接続先装置2にも認証情報を削除するよう通知する(ステップS506)。そして、VPN接続要求装置1とVPN接続先装置2は認証情報を削除して、VPN接続の切断を処理する(ステップS507)。これによりVPN接続の切断が終了する。
【0047】
図12はVPN接続監視の処理フローを示す図である。
次に図12を用いてVPN管理サーバ4がVPN接続を監視する際の処理について説明する。VPN管理サーバ4の監視処理部は、VPN接続要求装置1やVPN接続先装置2を常時監視する。図12に示すようにウォッチドッグ・パケットの要求をVPN管理サーバ4がVPN接続要求装置1やVPN接続先装置2などの中継装置へ送信し、ウォッチドッグ・パケットの応答を中継装置がVPN管理サーバ4へ送信する。VPN管理サーバ4の監視処理部は、ウォッチドッグ・パケットの応答が所定の時間返されてこない場合などには、VPN接続要求装置1やVPN接続先装置2が電源断、またはダウンしたと判断する。そして、VPN構成情報を変更する。また、VPN接続要求装置1やVPN接続先装置2から状態の通知を受けて、これに基づいてもVPN構成情報を変更する。
【0048】
なお上述の各装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。また上記「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。
【0049】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0050】
【図1】本発明の一実施形態によるVPN接続構築システムの概要を示すブロック図である。
【図2】本発明の一実施形態によるVPN接続構築システムを構成する各装置の機能ブロックを示す図である。
【図3】本発明の一実施形態による中継装置を機器管理サーバに登録する際の処理フローを示す図である。
【図4】本発明の一実施形態による中継装置のVPN接続管理サーバへの登録の処理フローを示す図である。
【図5】本発明の一実施形態によるVPN管理サーバへのユーザ登録の処理フローを示す図である。
【図6】本発明の一実施形態によるVPN接続の処理フローを示す図である。
【図7】本発明の一実施形態によるVPN接続の可否判定の処理概要を示す図である。
【図8】本発明の一実施形態によるVPN構成情報と認証情報を配信する際の処理概要を示す図である。
【図9】本発明の一実施形態による中継装置のアドレスが変更になった際の処理フローを示す図である。
【図10】本発明の一実施形態によるアドレス変換テーブルの概要を示す図である。
【図11】本発明の一実施形態によるVPN切断時の処理フローを示す図である。
【図12】本発明の一実施形態によるVPN接続監視の処理フローを示す図である。
【符号の説明】
【0051】
1・・・VPN接続要求装置
2・・・VPN接続先装置
3・・・機器管理サーバ
4・・・VPN管理サーバ
5a,5b・・・端末
【特許請求の範囲】
【請求項1】
VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムであって、
前記VPN接続管理装置が、
前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信手段と、
前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定手段と、
前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成手段と、
前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信手段とを備え、
前記VPN接続要求装置が、
前記接続要求を前記VPN接続管理装置へ送信する接続要求手段と、
前記第1VPN構成情報の示すVPN接続先装置のネットワーク情報と認証情報を利用して前記VPN接続先装置とのVPN接続の構築の処理を行なうVPN接続実行手段とを備え、
前記VPN接続先装置が、
前記第2VPN構成情報の示すVPN接続要求装置のネットワーク情報と認証情報を利用して、前記VPN接続要求装置から受付けたVPN接続の構築を処理するVPN接続受付手段とを備える
ことを特徴とするVPN接続構築システム。
【請求項2】
前記VPN接続可否判定手段は、
前記装置属性情報と前記ポリシー情報とが合致しない前記VPN接続要求装置または前記VPN接続先装置に、判定伺い情報を送信し、当該判定伺い情報を受信した前記VPN接続要求装置または前記VPN接続先装置の両方から、接続可を示す情報を受信した場合にのみ、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続を可と判定する
ことを特徴とする請求項1に記載のVPN接続構築システム。
【請求項3】
前記VPN接続要求装置または前記VPN接続先装置の両方が、
自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、
前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、
前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備え、
前記VPN接続管理装置が、
前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段と、
ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信手段と、
前記ネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更手段とを備え、
前記VPN構成情報生成手段が、
前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成し、
前記VPN構成情報配信手段が、
前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なう
ことを特徴とする請求項1または請求項2に記載のVPN接続構築システム。
【請求項4】
前記VPN接続管理装置が、
前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続要求装置から受信し、また前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続先装置から受信する、配下端末アドレス受信手段と、
前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第1仮想アドレス変換テーブル生成手段と、
前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第2仮想アドレス変換テーブル生成手段と、
前記第1仮想アドレス変換テーブルを前記VPN接続要求装置へ配信し、前記第2仮想アドレス変換テーブルを前記VPN接続先装置へ配信する、仮想アドレス変換テーブル配信手段とを備え、
接続要求が前記VPN接続要求装置のネットワーク配下に接続された接続要求側端末と前記VPN接続先装置のネットワーク配下に接続された接続先側端末との間のVPN接続の要求を示す場合に、
前記VPN接続要求装置の前記VPN接続実行手段は、
前記接続要求側端末から送信された通信情報に含まれる当該接続要求側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第1仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理し、
前記VPN接続先装置の前記VPN接続受付手段は、
前記接続先側端末から送信された通信情報に含まれる当該接続先側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第2仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理する
ことを特徴とする請求項1から請求項3のいずれかに記載のVPN接続構築システム。
【請求項5】
VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムの前記VPN接続管理装置のコンピュータに実行させるプログラムであって、
前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信処理と、
前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定処理と、
前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成処理と、
前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信処理と、
をコンピュータに実行させるプログラム。
【請求項1】
VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムであって、
前記VPN接続管理装置が、
前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信手段と、
前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定手段と、
前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成手段と、
前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信手段とを備え、
前記VPN接続要求装置が、
前記接続要求を前記VPN接続管理装置へ送信する接続要求手段と、
前記第1VPN構成情報の示すVPN接続先装置のネットワーク情報と認証情報を利用して前記VPN接続先装置とのVPN接続の構築の処理を行なうVPN接続実行手段とを備え、
前記VPN接続先装置が、
前記第2VPN構成情報の示すVPN接続要求装置のネットワーク情報と認証情報を利用して、前記VPN接続要求装置から受付けたVPN接続の構築を処理するVPN接続受付手段とを備える
ことを特徴とするVPN接続構築システム。
【請求項2】
前記VPN接続可否判定手段は、
前記装置属性情報と前記ポリシー情報とが合致しない前記VPN接続要求装置または前記VPN接続先装置に、判定伺い情報を送信し、当該判定伺い情報を受信した前記VPN接続要求装置または前記VPN接続先装置の両方から、接続可を示す情報を受信した場合にのみ、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続を可と判定する
ことを特徴とする請求項1に記載のVPN接続構築システム。
【請求項3】
前記VPN接続要求装置または前記VPN接続先装置の両方が、
自装置のネットワークアドレスが変更になった場合に、前記VPN接続を切断するVPN接続切断手段と、
前記変更後のネットワークアドレスを前記VPN接続管理装置へ送信する変更後アドレス通知手段と、
前記VPN切断後に前記VPN接続管理装置から送信された前記VPN構成情報を利用して、新たなVPN接続の構築の自動処理を行なうVPN再接続手段とを備え、
前記VPN接続管理装置が、
前記VPN接続要求装置と前記VPN接続先装置それぞれの識別情報とネットワークアドレス情報とを対応付けて記憶するネットワークアドレス記憶手段と、
ネットワークアドレスが変更となった前記VPN接続要求装置または前記VPN接続先装置のいずれかから変更後のネットワークアドレスを受信する変更後アドレス受信手段と、
前記ネットワークアドレス記憶手段において、前記変更後のネットワークアドレスを送信した前記VPN接続要求装置または前記VPN接続先装置のネットワークアドレスを、前記受信した変更後のネットワークアドレスに変更するネットワークアドレス変更手段とを備え、
前記VPN構成情報生成手段が、
前記変更後のネットワークアドレスを含む前記ネットワーク情報と前記認証情報に基づいて、新たな第1VPN構成情報および第2VPN構成情報を生成し、
前記VPN構成情報配信手段が、
前記VPN接続を切断したVPN接続要求装置への前記新たな第1VPN構成情報の配信または、前記VPN接続を切断したVPN接続先装置への前記新たな第2VPN構成情報の配信を行なう
ことを特徴とする請求項1または請求項2に記載のVPN接続構築システム。
【請求項4】
前記VPN接続管理装置が、
前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続要求装置から受信し、また前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスを予め前記VPN接続先装置から受信する、配下端末アドレス受信手段と、
前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第1仮想アドレス変換テーブル生成手段と、
前記VPN接続先装置のネットワーク配下に接続された端末のネットワークアドレスに対応付けて、前記VPN接続要求装置のネットワーク配下に接続された端末のネットワークアドレスとの通信処理ができる仮想ネットワークアドレスを記憶する第2仮想アドレス変換テーブル生成手段と、
前記第1仮想アドレス変換テーブルを前記VPN接続要求装置へ配信し、前記第2仮想アドレス変換テーブルを前記VPN接続先装置へ配信する、仮想アドレス変換テーブル配信手段とを備え、
接続要求が前記VPN接続要求装置のネットワーク配下に接続された接続要求側端末と前記VPN接続先装置のネットワーク配下に接続された接続先側端末との間のVPN接続の要求を示す場合に、
前記VPN接続要求装置の前記VPN接続実行手段は、
前記接続要求側端末から送信された通信情報に含まれる当該接続要求側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第1仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理し、
前記VPN接続先装置の前記VPN接続受付手段は、
前記接続先側端末から送信された通信情報に含まれる当該接続先側端末のネットワークアドレスを、当該ネットワークアドレスに対応付けられて前記第2仮想アドレス変換テーブルに記録されている仮想ネットワークアドレスに置き換えて、前記通信情報を所定の暗号化情報に基づいて暗号化し、自装置の外部ネットワークアドレスを用いて、前記VPN接続を処理する
ことを特徴とする請求項1から請求項3のいずれかに記載のVPN接続構築システム。
【請求項5】
VPN接続要求装置とVPN接続先装置とVPN接続管理装置とからなるVPN接続構築システムの前記VPN接続管理装置のコンピュータに実行させるプログラムであって、
前記VPN接続先装置への接続要求を前記VPN接続要求装置から受信する接続要求受信処理と、
前記VPN接続要求装置と前記VPN接続先装置の各装置属性情報と、予め記憶した所定のポリシー情報との比較に基づいて、前記VPN接続要求装置と前記VPN接続先装置の間のVPN接続可否を判定するVPN接続可否判定処理と、
前記VPN接続可否の判定においてVPN接続可と判定された場合にのみ、予め記憶している前記VPN接続先装置のネットワーク情報に基づいて前記VPN接続要求装置が前記VPN接続先装置へのVPN接続の構築時に利用する第1VPN構成情報を生成し、また予め記憶している前記VPN接続要求装置のネットワーク情報に基づいて前記VPN接続先装置が前記VPN接続要求装置から要求されるVPN接続の構築時に利用する第2VPN構成情報を生成する、VPN構成情報生成処理と、
前記第1VPN構成情報を前記VPN接続要求装置へ配信し、また前記第2VPN構成情報を前記VPN接続先装置へ配信する、VPN構成情報配信処理と、
をコンピュータに実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2006−166028(P2006−166028A)
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願番号】特願2004−354632(P2004−354632)
【出願日】平成16年12月7日(2004.12.7)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、総務省、高度ネットワーク認証基盤技術(オンデマンドVPN技術)の委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願日】平成16年12月7日(2004.12.7)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、総務省、高度ネットワーク認証基盤技術(オンデマンドVPN技術)の委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]