TOP > 国内特許検索 > アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置

アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置 新技術説明会

国内特許コード P07P005791
整理番号 NI0600009
掲載日 2007年12月21日
出願番号 特願2006-106082
公開番号 特開2007-281917
登録番号 特許第4752062号
出願日 平成18年4月7日(2006.4.7)
公開日 平成19年10月25日(2007.10.25)
登録日 平成23年6月3日(2011.6.3)
発明者
  • 不破 泰
  • 新村 正明
  • 松原 幸祐
  • 犬飼 哲之
  • 下瀬 達也
  • 中村 智
出願人
  • 国立大学法人信州大学
発明の名称 アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置 新技術説明会
発明の概要

【課題】公衆回線を用いたLAN間ネットワークは、設立コストや使い勝手はよいものの、セキュリティの面では課題があった。VPNはトンネリングによってそれをある程度解決はするものの、LANに多くのサービスが集まり、使用者の数が多くなると不必要なデータにアクセスできる人が増え、セキュリティに課題が発生する。
【解決手段】端末接続装置(12)はユーザAが許可されたサービスだけをサーバー接続制限装置器(20)に送り、サーバー接続制限装置(20)は、ユーザーAが許可されたサービスを提供するサーバーのサービスポートにだけ、接続を許可する。LAN間だけでなく、サーバーの提供するサービス毎のトンネリングを行うことで、アクセスをサービスごとに制限する。
【選択図】 図1

従来技術、競合技術の概要


公衆回線を用いたインターネットの普及によって、さまざまな場所からインターネットへ接続する事が可能になった。例えば、オフィスのように特定のネットワークが敷設された場所だけでなく、個人の自宅や旅行先のホテル、移動中の車両の中からでさえ、人々はインターネットを利用することができる。



この事は、自分のために設置した固定端末以外の場所からでもサーバー中のデータにアクセスできる事を意味する。そしてこれは、ビジネスやサービスの環境と機会を一気に拡大させる事になる。



一方で、インターネットにアクセスできるサーバーにデータを置くということは、以下のような危険性もある。



公衆回線を用いたインターネットは、どこからでも接続できるという特徴を有すると共に、誰でも接続が可能であるという特徴も有する。従って、公衆回線上を流れるデータは、容易に盗聴され、内容を改ざんされる危険性がある。また送り主や受け取り主に成りすまして、データを受けたり流したりもできる。



つまり、秘匿性の高いデータをインターネット上でアクセス可能な状態にするのは、情報漏えいという見地からは、決して安全とは言えない。



一般に秘匿性の高いデータは他人からの侵入が困難な専用回線や限定された端末からのアクセスしか許さないようにして取り扱う。しかし、そのように融通性や冗長性のないネットワークでは、上記に記載したアクセスの容易性という御利益を享受できない。結果、ビジネスやサービスの環境と機会の拡大を逸する事となる。



そこで、誰でもアクセスできる公衆回線を用いて、特定者にだけアクセスが可能なアクセス制限の技術が必要となる(例えば特許文献1参照)。



VPNとは、インターネットや通信事業者のもつ公衆回線を用いて、ユーザーの拠点LAN間を仮想的に接続する技術をいう。すなわち、多数のユーザーが使用する通信回線の中にあたかも専用回線を引いたようにする技術のことである。



図20には、VPNの概略を示す。公衆回線(500)には、VPN端末である(502)と(504)が接続されている。VPN端末(502)と(504)には、それぞれのLANが接続されるが、簡単のためにクライアント(10)とサーバー(30)だけが繋がっている場合を説明する。クライアント(10)は、サーバー(30)に対して、通信を行うために、サーバー(30)のアドレスを記載したヘッダ(510)にペイロード(512)をつけてパケット(560)を作り送出する。これを受け取ったVPN端末(502)は、ヘッダ(510)とペイロード(512)を予め決められた鍵によって暗号化パケット(564)にする。



さらに、送信先である相手のVPN端末(504)のアドレス(514)と、送信元である自分のアドレス(516)を記載したヘッダをつけてパケット(566)とする。これはカプセル化と呼ばれる。パケット(566)はインターネット上を流れて、VPN(504)にたどり着く。



VPN端末(504)では、ヘッダをはずした後、暗号化パケット(564)を得る。さらに、決められた鍵で暗号を解きパケット(560)を得る。その後、サーバー(30)に対して送信する。



ここで、暗号化はRSA方式などの公開鍵暗号方式やDH(Differ-Hellman)交換による共通鍵方式などが使われる。クライアント(10)の作ったパケット(560)が暗号化されることで、公衆回線上を送信中での盗聴から通信内容を保護することができる。



また、秘匿性の高い鍵の管理方法を実施することによって、データの送信中での、盗聴・改ざんを防止するとともに、通信相手や通信内容の認証も行える。通信相手の認証はいわゆる「なりすまし」によって通信相手を騙す行為を防止することができる。



さらに、カプセル化によって擬似的な専用回線が確立される。これは、VPNの内側(クライアントやサーバーがいる側)には、公衆回線から自由には侵入できないので、クライアントやサーバーから見るとあたかも専用回線のように見えるということである。これはトンネリングとも呼ばれる技術である。




【特許文献1】特開2001-203690号公報

産業上の利用分野


本発明は、インターネットを用いたコンピューター装置間の通信に関し、特にVPN(Virtual Private Network)における接続制限を行う事で、LAN(Local Area Network)内に保有するサーバー内のデータの安全性を高める技術に関するものである。

特許請求の範囲 【請求項1】
端末接続装置を介して端末装置との間で通信パケットを用いた通信が行われる公衆回線と、1台以上のサーバーの集まりの間に設置され、
通信パケットにアドレスが付加されたカプセル通信パケットを受信する受信部と
前記サーバーが提供するサービス毎に、利用できる端末装置を記載した許可端末リストと、
受信した前記カプセル通信パケットからサービス提供を要求してきた端末装置を識別する識別部と、
前記リストに基づいて前記端末装置は要求してきた前記サービスを受けられるか否かを判断する判断部と、
前記判断部によって前記サービスを受けられると判断された場合は前記カプセル通信パケットから不要なヘッダを削除し前記通信パケットを取り出す通信パケット取出し部と、
前記通信パケットを前記サービスを提供するサーバーの該当ポートに送信するポート接続部とを有し、前記許可端末リストは、サービスを特定するシンボルとサービスを提供するサーバーのアドレスおよびポート番号が記載され、
前記許可端末リストに基づいて前記通信パケット取り出し部が取り出した前記通信パケット中の前記シンボルをサーバーのアドレスとポート番号に書き換えるシンボルアドレス書換部を有するサーバー接続制限装置。

【請求項2】
前記許可端末リストに記載されたサービスは、前記サービスを提供するサーバーのアドレスとポート番号で区別される請求項1記載のサーバー接続制限装置。

【請求項3】
前記通信パケット取り出し部が取り出した前記通信パケットを復号化するトンネリング暗号復号部を有する請求項1または2のいずれか1項に記載のサーバー接続制限装置。

【請求項4】
前記許可端末リストはサービス毎の暗号方式および暗号鍵の情報をさらに有し、
前記通信パケット取り出し部が取り出した前記通信パケットの中で前記暗号方式および暗号鍵によって暗号化された部分を復号化するサービス暗号復号部を有する請求項1または2のいずれか1項に記載のサーバー接続制限装置。

【請求項5】
前記識別部は、前記カプセル通信パケットで送られた認証書に基づいて前記端末装置を識別する請求項1または2のいずれか1項に記載のサーバー接続制限装置。

【請求項6】
端末装置に接続され、
サービスを提供するサーバーおよびポート番号とサーバーを管轄する接続制限装置のアドレスを記載した利用可能サービスリストと、
前記端末装置が許可されるサービスに該当するポートを端末に対して開くサービスポート開設部と、
前記端末装置が前記ポートに対して送信した通信パケットに、自らのアドレスとサービスを提供するサーバーを管轄するサーバー接続制限装置のアドレスを付加してカプセル通信パケットを作成するカプセル通信パケット作成部と、
前記カプセル通信パケットを公衆回線に送信するポートを開く接続ポート開設部を有し、前記利用可能サービスリストはサービスを特定するシンボルとサービスを提供するサーバーを管轄するサーバー接続制限装置のアドレスが記載されており、
前記サービスポート開設部は、前記端末装置に前記シンボルに対応したポートを開く端末接続装置。

【請求項7】
前記利用可能サービスリストに記載されたサービスは、前記サービスを提供するサーバーおよびポート番号で区別される請求項6記載の端末接続装置。

【請求項8】
前記端末装置が送信した前記通信パケットを暗号化するトンネリング暗号化部を有する請求項6または7のいずれか1項に記載の端末接続装置。

【請求項9】
前記端末装置が送信した前記通信パケットのヘッダ以外の部分を暗号化するサービス暗号化部を有する請求項6または7のいずれか1項に記載の端末接続装置。

【請求項10】
前記利用可能サービスリストと認証書を前記公衆回線上にある認証局から取得する認証書取得部を有する請求項6または7のいずれか1項に記載の端末接続装置。
産業区分
  • 電信
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2006106082thum.jpg
出願権利状態 権利存続中
ライセンスをご希望の方、特許の内容に興味を持たれた方は、下記「問合せ先」まで直接お問い合わせください。


PAGE TOP

close
close
close
close
close
close
close