TOP > 国内特許検索 > アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置

アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 新技術説明会

国内特許コード P07P005793
整理番号 NI0600011
掲載日 2007年12月21日
出願番号 特願2006-106084
公開番号 特開2007-281919
登録番号 特許第4752064号
出願日 平成18年4月7日(2006.4.7)
公開日 平成19年10月25日(2007.10.25)
登録日 平成23年6月3日(2011.6.3)
発明者
  • 不破 泰
  • 新村 正明
  • 松原 幸祐
  • 犬飼 哲之
  • 下瀬 達也
  • 中村 智
出願人
  • 国立大学法人信州大学
発明の名称 アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 新技術説明会
発明の概要

【課題】公衆回線を用いたLAN間ネットワークは、設立コストや使い勝手はよいものの、セキュリティの面では課題があった。VPNはトンネリングによってそれをある程度解決はするものの、LANに多くのサービスが集まり、使用者の数が多くなると不必要なデータにアクセスできる人が増え、セキュリティに課題が発生する。
【解決手段】端末接続装置(12)はユーザAが許可されたサービスだけをサーバー接続制限装置器(20)に送り、サーバー接続制限装置(20)は、ユーザーAが許可されたサービスを提供するサーバーのサービスポートにだけ、接続を許可する。LAN間だけでなく、サーバーの提供するサービス毎のトンネリングを行うことで、アクセスをサービスごとに制限する。
【選択図】 図1

従来技術、競合技術の概要


公衆回線を用いたインターネットの普及によって、さまざまな場所からインターネットへ接続する事が可能になった。例えば、オフィスのように特定のネットワークが敷設された場所だけでなく、個人の自宅や旅行先のホテル、移動中の車両の中からでさえ、人々はインターネットを利用することができる。



この事は、自分のために設置した固定端末以外の場所からでもサーバー中のデータにアクセスできる事を意味する。そしてこれは、ビジネスやサービスの環境と機会を一気に拡大させる事になる。



一方で、インターネットにアクセスできるサーバーにデータを置くということは、以下のような危険性もある。



公衆回線を用いたインターネットは、どこからでも接続できるという特徴を有すると共に、誰でも接続が可能であるという特徴も有する。従って、公衆回線上を流れるデータは、容易に盗聴され、内容を改ざんされる危険性がある。また送り主や受け取り主に成りすまして、データを受けたり流したりもできる。



つまり、秘匿性の高いデータをインターネット上でアクセス可能な状態にするのは、情報漏えいという見地からは、決して安全とは言えない。



一般に秘匿性の高いデータは他人からの侵入が困難な専用回線や限定された端末からのアクセスしか許さないようにして取り扱う。しかし、そのように融通性や冗長性のないネットワークでは、上記に記載したアクセスの容易性という御利益を享受できない。結果、ビジネスやサービスの環境と機会の拡大を逸する事となる。



そこで、誰でもアクセスできる公衆回線を用いて、特定者にだけアクセスが可能なアクセス制限の技術が必要となる(例えば特許文献1参照)。



VPNとは、インターネットや通信事業者のもつ公衆回線を用いて、ユーザーの拠点LAN間を仮想的に接続する技術をいう。すなわち、多数のユーザーが使用する通信回線の中にあたかも専用回線を引いたようにする技術のことである。



図20には、VPNの概略を示す。公衆回線(500)には、VPN端末である(502)と(504)が接続されている。VPN端末(502)と(504)には、それぞれのLANが接続されるが、簡単のためにクライアント(10)とサーバー(30)だけが繋がっている場合を説明する。クライアント(10)は、サーバー(30)に対して、通信を行うために、サーバー(30)のアドレスを記載したヘッダ(510)にペイロード(512)をつけてパケット(560)を作り送出する。これを受け取ったVPN端末(502)は、ヘッダ(510)とペイロード(512)を予め決められた鍵によって暗号化パケット(564)にする。



さらに、送信先である相手のVPN端末(504)のアドレス(514)と、送信元である自分のアドレス(516)を記載したヘッダをつけてパケット(566)とする。これはカプセル化と呼ばれる。パケット(566)はインターネット上を流れて、VPN(504)にたどり着く。



VPN端末(504)では、ヘッダをはずした後、暗号化パケット(564)を得る。さらに、決められた鍵で暗号を解きパケット(560)を得る。その後、サーバー(30)に対して送信する。



ここで、暗号化はRSA方式などの公開鍵暗号方式やDH(Differ-Hellman)交換による共通鍵方式などが使われる。クライアント(10)の作ったパケット(560)が暗号化されることで、公衆回線上を送信中での盗聴から通信内容を保護することができる。



また、秘匿性の高い鍵の管理方法を実施することによって、データの送信中での、盗聴・改ざんを防止するとともに、通信相手や通信内容の認証も行える。通信相手の認証はいわゆる「なりすまし」によって通信相手を騙す行為を防止することができる。



さらに、カプセル化によって擬似的な専用回線が確立される。これは、VPNの内側(クライアントやサーバーがいる側)には、公衆回線から自由には侵入できないので、クライアントやサーバーから見るとあたかも専用回線のように見えるということである。これはトンネリングとも呼ばれる技術である。




【特許文献1】特開2001-203690号公報

産業上の利用分野


本発明は、インターネットを用いたコンピューター装置間の通信に関し、特にVPN(Virtual Private Network)における接続制限を行う事で、LAN(Local Area Network)内に保有するサーバー内のデータの安全性を高める技術に関するものである。

特許請求の範囲 【請求項1】
端末装置とサーバーが公衆回線上で通信パケットを用いて行う通信システムにおいて、
公衆回線と接続され、認証書を発行する認証局と、
端末装置と公衆回線の間に設置された端末接続装置と
アドレス取得要求があった前記端末接続装置にアドレスを付与する通信管理サーバーと、
公衆回線とサーバーの間に設置されたサーバー接続制限装置とを有し、
前記端末接続装置は、
前記通信管理サーバーからアドレスを取得し、
前記端末装置のアドレスを含む情報に基づく認証書を前記認証局から取得し、
前記通信管理サーバーからアドレスを取得する毎に前記サーバー接続制限装置に認証要求と前記認証書を送付し、
前記端末装置が利用を許可されたサービスに対応するポートを前記端末装置に対して開き、
前記端末装置が前記ポートに対して送信した前記通信パケットに自らのアドレスとサービスを提供するサーバーを管轄する前記サーバー接続制限装置のアドレスを付加してカプセル通信パケットとし、
前記カプセル通信パケットを公衆回線に送り出し、
前記通信管理サーバーは、
アドレス要求のあった前記端末接続装置に使用できるアドレスを与え、
前記認証局は、
前記端末接続装置から送られた前記端末を識別し、
前記端末が利用可能なサービスの一覧と前記端末のアドレスを含む認証書を前記端末接続装置に送信し、
前記サーバー接続制限装置は、
前記端末接続装置から認証要求があった時は前記端末接続装置に接続されている前記端末装置との間ですでに通信が行われているか否かを判断し、
すでに通信を行っている場合は前記端末装置に接続されていると記録されている前記端末接続装置のアドレスを、前記認証要求を行った端末接続装置のアドレスに書き換え、
前記端末接続装置から受信した前記カプセル通信パケットから、サービスを要求した前記端末装置を識別し、
前記端末装置が要求してきたサービスを受けることができると判断した場合は、前記付加されたアドレスを削除して通信パケットとし、
前記サービスを提供するサーバーの対応ポートにのみ前記通信パケットを送信する通信システム。

【請求項2】
端末接続装置を介して端末装置との間で通信パケットを用いた通信が行われる公衆回線と、1台以上のサーバーの集まりの間に設置され、
前記端末接続装置が送信した認証要求を認識する認証要求判断部と、
前記認証要求と共に送られた認証書に基づいて前記端末接続装置に接続された前記端末装置がすでに通信を行っているか否かを判断する通信記録確認部と、
前記通信記録確認部によりすでに通信を行っていると判断された前記端末接続装置のアドレスを更新するアドレス更新部と、
通信パケットにアドレスが付加されたカプセル通信パケットを受信する受信部と、
前記サーバーが提供するサービス毎に、利用できる端末装置を記載した許可端末リストと、
前記カプセル通信パケットからサービス提供を要求してきた端末装置を識別する識別部と、
前記端末装置との通信を記録する端末装置通信記録部と、
前記許可端末リストに基づいて前記端末装置は要求してきた前記サービスを受けられるか否かを判断する判断部と、
前記判断部によって前記サービスを受けられると判断された場合は前記カプセル通信パケットから前記通信パケットを取り出す通信パケット取り出し部と、
前記通信パケットを前記サービスを提供するサーバーの該当ポートに送信するポート接続部とを有するサーバー接続制限装置。

【請求項3】
前記許可端末リストに記載されたサービスは、前記サービスを提供するサーバーのアドレスとポート番号で区別される請求項2記載のサーバー接続制限装置。

【請求項4】
前記通信パケット取り出し部が取り出した前記通信パケットを復号化するトンネリング暗号復号部を有する請求項2または3のいずれか1項に記載のサーバー接続制限装置。

【請求項5】
前記許可端末リストはサービス毎の暗号方式および暗号鍵の情報をさらに有し、
前記通信カプセル取り出し部が取り出した前記通信パケットの中で前記暗号方式および暗号鍵によって暗号化された部分を復号化するサービス暗号復号部を有する請求項2または3のいずれか1項に記載のサーバー接続制限装置。

【請求項6】
前記許可端末リストは、サービスを特定するシンボルとサービスを提供するサーバーのアドレスとポート番号が記載され、
前記許可端末リストに基づいて前記受信したパケットの前記シンボルをサーバーのアドレスとポート番号に書き換えるシンボルアドレス書換部を有する請求項2または3のいずれか1項に記載のサーバー接続制限装置。

【請求項7】
前記識別部は、前記カプセル通信パケットで送られた認証書に基づいて前記端末装置を識別する請求項2または3のいずれか1項に記載のサーバー接続制限装置。

【請求項8】
端末装置に接続され
通信管理サーバーからアドレスを取得するアドレス取得部と、
前記端末装置のアドレスを含む情報に基づいて認証局から認証書及び
前記端末装置が利用可能なサービスを提供するサーバーおよびポート番号とサーバーを管轄するサーバー接続制限装置のアドレスを記載した利用可能サービスリストを取得する認証書取得部と、
前記アドレス取得部が新たなアドレスを取得する毎に前記認証書を前記サーバー接続制限装置に送信する認証要求通知部と、
前記端末装置が許可されるサービスに該当するポートを端末に対して開くサービスポート開設部と、
前記端末装置が前記ポートに対して送信した前記通信パケットに自らのアドレスとサービスを提供するサーバーを管轄するサーバー接続制限装置のアドレスを付加してカプセル通信パケットを得るカプセル通信パケット作成部と、
前記カプセル通信パケットを公衆回線に送信するポートを開く接続ポート開設部を有する端末接続装置。

【請求項9】
前記利用可能サービスリストに記載されたサービスは、前記サービスを提供するサーバーおよびポート番号で区別される請求項8記載の端末接続装置。

【請求項10】
前記端末装置が送信した前記通信パケットを暗号化するトンネリング暗号化部を有する請求項8または9のいずれか1項に記載の端末接続装置。

【請求項11】
前記端末装置が送信した前記通信パケットのヘッダ以外の部分を暗号化するサービス暗号化部を有する請求項8または9のいずれか1項に記載の端末接続装置。

【請求項12】
前記利用可能サービスリストはサービスを特定するシンボルとサービスを提供するサーバーを管轄するサーバー接続制限装置のアドレスが記載されており、
前記サービスポート開設部は、前記端末装置に前記シンボルに対応したポートを開く請求項8または9のいずれか1項に記載の端末接続装置。

【請求項13】
前記利用可能サービスリストと認証書を前記公衆回線上にある認証局から取得する認証書取得部を有する請求項またはのいずれか1項に記載の端末接続装置。

【請求項14】
公衆回線に接続され、
認証書を発行できる端末装置および前記端末装置の公開鍵を記載した認証可能リストと、
前記端末装置が利用可能なサービスを記載した利用可能サービスリストと、
認証を求めてきた端末装置の通信パケットを前記端末装置の公開鍵で復号し、認証を求めてきたのが前記端末装置であることを確認する端末装置確認部と、
前記端末装置のアドレスを含む情報により認証書を作成する認証書作成部と、
前記認証書と前記端末装置に割り当てられた利用可能サービスリストを前記端末装置の公開鍵で暗号化する認証パック作成部とを有する認証局。
産業区分
  • 電信
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2006106084thum.jpg
出願権利状態 権利存続中
ライセンスをご希望の方、特許の内容に興味を持たれた方は、下記「問合せ先」まで直接お問い合わせください。


PAGE TOP

close
close
close
close
close
close
close