JP4279792B2 - Communication control system and method - Google Patents

Communication control system and method Download PDF

Info

Publication number
JP4279792B2
JP4279792B2 JP2005077266A JP2005077266A JP4279792B2 JP 4279792 B2 JP4279792 B2 JP 4279792B2 JP 2005077266 A JP2005077266 A JP 2005077266A JP 2005077266 A JP2005077266 A JP 2005077266A JP 4279792 B2 JP4279792 B2 JP 4279792B2
Authority
JP
Japan
Prior art keywords
client terminal
vpn
virtual interface
virtual
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005077266A
Other languages
Japanese (ja)
Other versions
JP2006262131A (en
Inventor
誠 村上
英樹 吉井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Telecom Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Telecom Corp filed Critical SoftBank Telecom Corp
Priority to JP2005077266A priority Critical patent/JP4279792B2/en
Publication of JP2006262131A publication Critical patent/JP2006262131A/en
Application granted granted Critical
Publication of JP4279792B2 publication Critical patent/JP4279792B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、例えばリモートアクセス時にVPN(Virtual Private Network)接続先のネットワークを変更するために所謂仮想インタフェースをマネジメントする通信制御システム及び方法に関する。   The present invention relates to a communication control system and method for managing a so-called virtual interface in order to change a VPN (Virtual Private Network) connection destination network during remote access, for example.

従来、IPsec(Internet Protocol security)、SSL(Secure Socket Layer)、PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer2 Tunneling Protocol)等といった所謂トンネリングプロトコルを利用したネットワークの接続方式としてのVPN接続を行った場合において、接続先のネットワークを変更するときに、接続先のルーチングテーブルを変更する技術が開発されている。即ち、この技術では、アクセス先のVLAN側のルータのACL(Access Control List)を動的に変更することにより、リモートアクセスユーザの接続先ネットワークを制御することとしている。このほか、IPパケットのヘッダの中に含まれるフィールドの一つであるのTOS(Type Of Service)フィールドに所定の命令を包含させ接続先のネットワークを変更する技術もある。   Conventionally, VPN connection as a network connection method using a so-called tunneling protocol such as IPsec (Internet Protocol security), SSL (Secure Socket Layer), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), etc. In the case where the connection destination network is changed, a technique for changing the connection destination routing table has been developed. That is, in this technique, the access destination network of the remote access user is controlled by dynamically changing the ACL (Access Control List) of the router on the VLAN side of the access destination. In addition, there is a technique for changing a connection destination network by including a predetermined command in a TOS (Type Of Service) field, which is one of the fields included in the header of an IP packet.

しかしながら、上記従来技術では、接続先のネットワークとVPNクライアント端末とが1対1で対応しているため、用途に応じて(例えば、セキュリティレベルの高い情報を取り扱うための接続先のネットワークの切り換え等)ネットワークを使い分けることができず、その都度、接続先のネットワークを変更する必要がある。   However, in the above prior art, the connection destination network and the VPN client terminal have a one-to-one correspondence. Therefore, depending on the application (for example, switching of the connection destination network for handling information with a high security level, etc.) ) The network cannot be used properly, and it is necessary to change the connection destination network each time.

本発明の目的とするところは、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とすることにある。   An object of the present invention is to enable simultaneous connection to different connection destinations and to add, delete, and change connection destinations as necessary.

上記目的を達成するために、本発明の第1の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、上記クライアント端末より接続先の変更要求がなされた場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する終端装置、を有することを特徴とする通信制御システムが提供される。 In order to achieve the above object, according to the first aspect of the present invention, a client terminal performs remote access via a physical interface in which virtual interfaces of a plurality of VPNs (Virtual Private Networks) associated with a plurality of applications are mounted. In this case, in the communication control system for controlling the change of the connection destination network, when the connection destination change request is made from the client terminal, whether or not the virtual interface can be updated is determined based on the policy of the user of the client terminal. If it is determined and the virtual interface is allowed to be updated, information on the address of the updated virtual interface of the VPN is acquired, and the address information of the virtual interface of the VPN managed in association with the application in the client terminal is changed. The relevant There is provided a communication control system comprising a termination device for notifying the client terminal of the obtained address information.

本発明の第2の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、所定の場合にトリガを発生するトリガ装置と、上記トリガ装置より接続先の変更に係るトリガを受けた場合に、当該クライアント端末のユーザのポリシに基づいて仮想インタフェースの更新の可否を判断し、更新を認める場合には更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する終端装置と、を有することを特徴とする通信制御システムが提供される。 In the second aspect of the present invention, when a client terminal performs remote access via a physical interface in which virtual interfaces of a plurality of VPNs (Virtual Private Networks) associated with a plurality of applications are mounted, the network of the connection destination is changed. A communication control system that controls a virtual machine based on a policy of a user of the client terminal when a trigger device that generates a trigger in a predetermined case and a trigger related to a change of a connection destination are received from the trigger device. Judgment of whether or not the interface can be updated. If the update is permitted, the information of the virtual interface address of the updated VPN is acquired and the address information of the virtual interface of the VPN managed in association with the application in the client terminal is changed. In order to There is provided a communication control system comprising: a terminal device that notifies the client terminal of address information.

本発明の第3の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、クライアント端末のユーザのポリシを管理するグループスケジューラと、グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、上記クライアント端末より接続先の変更の要求がなされた場合には、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、仮想インタフェース設定情報を取得し、当該取得した設定情報に基づいて上記クライアント管理テーブルを更新し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得した仮想インタフェース設定情報を上記クライアント端末に通知する、ことを特徴とする通信制御システムが提供される。 In the third aspect of the present invention, when a client terminal performs remote access via a physical interface in which virtual interfaces of a plurality of VPNs (Virtual Private Networks) associated with a plurality of applications are mounted, the network of the connection destination is changed. A group scheduler for managing the policy of the user of the client terminal, a group permission table and a client management table, and a termination device for controlling the connection of the client terminal to the network, The terminal device refers to the group permission table to determine whether the virtual interface can be changed or added, and the group scheduler The client terminal The termination device determines whether or not the virtual interface can be changed or added based on the policy of the user, and if the termination device recognizes the change or addition of the virtual interface based on the determination result, acquires the virtual interface setting information, In order to update the client management table based on the acquired setting information and change the address information of the virtual interface of the VPN managed in association with the application in the client terminal, the acquired virtual interface setting information is stored in the client. A communication control system characterized by notifying a terminal is provided.

本発明の第4の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、所定の場合にトリガを発生するトリガ装置と、クライアント端末のユーザのポリシを管理するグループスケジューラと、グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、上記トリガ装置より接続先の変更に係るトリガを受けた場合に、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、VPNの仮想インタフェース設定情報を取得し、当該取得したVPNの仮想インタフェース設定情報に基づいて上記クライアント管理テーブルを更新し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を追加或いは変更するために、当該取得した仮想インタフェース設定情報を上記クライアント端末に通知する、ことを特徴とする通信制御システムが提供される。 In the fourth aspect of the present invention, when a client terminal performs remote access via a physical interface that implements a plurality of VPN (Virtual Private Network) virtual interfaces associated with a plurality of applications, the connection destination network is changed. A communication control system for controlling a client device, which holds a trigger device that generates a trigger in a predetermined case, a group scheduler that manages a user policy of a client terminal, a group permission table, and a client management table, A termination device that controls connection to the network, and when the termination device receives a trigger for changing the connection destination from the trigger device, the termination device refers to the group permission table to change the virtual interface. Alternatively, determine whether or not to add, and -Loop scheduler determines whether to change or add the virtual interface based on the policy of the user of the client terminal, the terminating device, when the acknowledge change or add the virtual interface on the basis of these determination results, VPN virtual Acquires interface setting information, updates the client management table based on the acquired VPN virtual interface setting information, and adds or changes address information of a VPN virtual interface managed in association with an application in the client terminal. For this purpose, a communication control system is provided that notifies the client terminal of the acquired virtual interface setting information.

本発明の第5の態様では、上記第1乃至第4の態様において、上記クライアント端末は、少なくともアプリケーションIDと接続先グループを対応付けて管理するアプリケーション許可テーブルを保持し、アプリケーションの起動時には上記アプリケーション許可テーブルにより当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする通信制御システムが提供される。   According to a fifth aspect of the present invention, in the first to fourth aspects, the client terminal holds an application permission table that manages at least an application ID and a connection destination group in association with each other. There is provided a communication control system further characterized by determining whether or not the application can be associated with a virtual interface based on a permission table.

本発明の第6の態様では、上記第1乃至第4の態様において、上記クライアント端末は、アプリケーションの起動時には、電子証明書の情報に基づいて当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする通信制御システムが提供される。   In a sixth aspect of the present invention, in the first to fourth aspects, the client terminal determines whether or not the application can be associated with the virtual interface based on the information of the electronic certificate when the application is activated. A communication control system is further provided.

本発明の第7の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御方法であって、終端装置が、接続先の変更要求を受理した場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する、ことを特徴とする通信制御方法が提供される。 In the seventh aspect of the present invention, when a client terminal performs remote access via a physical interface in which virtual interfaces of a plurality of VPNs (Virtual Private Networks) associated with a plurality of applications are mounted, the connection destination network is changed. In the communication control method for controlling the network interface, when the terminating device accepts the connection destination change request, it determines whether the virtual interface can be updated based on the policy of the user of the client terminal, and updates the virtual interface. In the case of approval, information on the address of the virtual interface of the updated VPN is obtained, and information on the obtained address is used to change the address information of the virtual interface of the VPN managed in association with the application in the client terminal. The above client terminal A communication control method is provided.

本発明によれば、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とする通信制御システム及び方法を提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, the communication control system and method which can be connected to a different connection destination simultaneously, and can add, delete, change a connection destination as needed can be provided.

以下、図面を参照して、本発明の実施の形態について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

先ず、図1には本発明の第1乃至第4の実施の形態に係る通信制御システムに共通する基本構成図を示し説明する。図1に示されるように、VPNクライアント端末1は、センタ側VPN終端装置2を介してリモートアクセス先のL3デバイス3に接続され、当該L3デバイス3を介して各グループ19に接続される。VPNクライアント端末1は仮想インタフェース12を搭載した物理インタフェース13を有する。ここでは、両者を分離して図示しているが、実際にはグループ19のIDを仮想的インタフェース12に対応付けることで、アプリケーション11a,11b,11c…と仮想インタフェース12との紐付けを行っている。   First, FIG. 1 shows a basic configuration diagram common to the communication control systems according to the first to fourth embodiments of the present invention. As shown in FIG. 1, the VPN client terminal 1 is connected to the remote access destination L3 device 3 via the center side VPN terminator 2 and connected to each group 19 via the L3 device 3. The VPN client terminal 1 has a physical interface 13 on which a virtual interface 12 is mounted. Here, both are illustrated separately, but in practice, the application 11a, 11b, 11c,... And the virtual interface 12 are linked by associating the ID of the group 19 with the virtual interface 12. .

センタ側VPN終端装置2は、それぞれVPNクライアント端末1との通信のための物理インタフェース15、L3デバイス3との通信のための物理インタフェース16を有している。L3デバイス3は、このセンタ側VPN終端装置2との通信のための物理インタフェース17とグループ19の各々に対応する仮想インタフェース18とを有している。   The center-side VPN termination device 2 includes a physical interface 15 for communication with the VPN client terminal 1 and a physical interface 16 for communication with the L3 device 3. The L3 device 3 has a physical interface 17 for communication with the center side VPN terminating device 2 and a virtual interface 18 corresponding to each of the groups 19.

この他、本システムは、接続ポリシの管理を行うグループスケジューラ4、どのようなタイミングでネットワークを切り換えるかを制御する(例えば検疫システム等)トリガシステム5、後述する各種テーブルを管理するコントローラ6を有する。   In addition, the system includes a group scheduler 4 that manages connection policies, a trigger system 5 that controls when the network is switched (for example, a quarantine system), and a controller 6 that manages various tables described later. .

この通信制御システムでは、複数の仮想インタフェース12を1つの物理インタフェース13に搭載しており、当該仮想インタフェース12を通してアプリケーション(例えばブラウザやメーラー等)11a,11b,11c…(以下、符号11で総称する)が用途に応じて仮想インタフェース12を使い分ける。つまり、アプリケーション11a,11b,11c…と仮想インタフェース12とを紐付けている。   In this communication control system, a plurality of virtual interfaces 12 are mounted on one physical interface 13, and applications (for example, browsers, mailers, etc.) 11a, 11b, 11c,. ) Use the virtual interface 12 in accordance with the application. That is, the applications 11a, 11b, 11c,...

より具体的には、グループ19(狭義にはVLANを指す)のIDを仮想的インタフェース12に対応付けることで、アプリケーション11a,11b,11c…と仮想インタフェース12との紐付けを行う。これを実現するために、本システムでは、アプリケーション11a,11b,11c…の認証、アプリケーション11a,11b,11c…のグループの割り当て、仮想インタフェース12の管理(追加、削除、変更)を行う。   More specifically, by associating the ID of the group 19 (referring to VLAN in a narrow sense) with the virtual interface 12, the application 11a, 11b, 11c,. In order to realize this, in this system, authentication of the applications 11a, 11b, 11c..., Assignment of the groups of the applications 11a, 11b, 11c.

ここで、センタ側VPN終端装置2は、図2に示されるVPNクライアント管理テーブルと、図3に示されるグループ許可テーブルと、を保持している。   Here, the center-side VPN termination device 2 holds the VPN client management table shown in FIG. 2 and the group permission table shown in FIG.

即ち、VPNクライアント管理テーブルでは、VPNクライアントユーザ名とグループID、VPN用IPアドレス、実IPアドレス等が対応付けられて記憶されている。このVPNクライアント管理テーブルは随時更新される。その一方、グループ許可テーブルでは、ユーザIDと接続可能グループリスト、デフォルトグループが対応付けられて記憶されている。このグループ許可テーブルは、事前に登録されており、センタ側VPN終端装置2で保持もしくは初回認証時にVPNクライアント端末1に当該クライアントに関連する部分が配信される。   That is, in the VPN client management table, a VPN client user name and a group ID, a VPN IP address, a real IP address, and the like are stored in association with each other. This VPN client management table is updated as needed. On the other hand, in the group permission table, a user ID, a connectable group list, and a default group are stored in association with each other. This group permission table is registered in advance, and the portion related to the client is distributed to the VPN client terminal 1 at the time of holding or initial authentication by the center side VPN terminating device 2.

グループスケジューラ4は、図4に示されるテーブルを保持している。   The group scheduler 4 holds the table shown in FIG.

即ち、このテーブルでは、ユーザIDと時間制約、曜日制約等の制約条件が対応付けられて記憶されている。このテーブルはグループスケジューラ4上で随時更新されるが、その更新の頻度は上記VPNクライアント管理テーブルの更新に比して少ない。このテーブルでは、ユーザ毎の設定のみならず、グループ毎の設定をも管理することができる。   That is, in this table, user IDs are stored in association with constraint conditions such as time constraints and day-of-week constraints. This table is updated on the group scheduler 4 at any time, but the frequency of the update is less than that of the VPN client management table. In this table, not only the setting for each user but also the setting for each group can be managed.

VPNクライアント端末1は、図5に示されるような仮想インタフェーステーブルを保持している。即ち、この仮想インタフェーステーブルでは、グループIDとVPN用IPアドレス、接続中アプリケーションの種別(特定)情報が対応付けられている。この仮想インタフェーステーブルは、VPNクライアント端末1上で起動されるアプリケーションの状況等に応じて随時更新されるようになっている。尚、接続中のアプリケーションが存在する場合には、仮想インタフェース12の上書きは禁止される。ただし、仮想インタフェースの削除要求を受信した場合は、アプリケーションの存在に関わらず仮想インタフェースの削除が実行される。   The VPN client terminal 1 holds a virtual interface table as shown in FIG. That is, in this virtual interface table, the group ID, the VPN IP address, and the type (specific) information of the connected application are associated with each other. This virtual interface table is updated at any time according to the status of applications started on the VPN client terminal 1. When there is a connected application, overwriting of the virtual interface 12 is prohibited. However, when a virtual interface deletion request is received, the virtual interface deletion is executed regardless of the presence of the application.

コントローラ6は、図6に示されるアプリケーション許可テーブルを保持している。   The controller 6 holds the application permission table shown in FIG.

即ち、このアプリケーション許可テーブルでは、ユーザ名とアプリケーションID、接続先グループが対応付けられて記憶されている。このテーブルは事前に登録されるものであり、当該テーブルに登録されているアプリケーション11のみが認証され、認証されたアプリケーション11は接続先グループの仮想インタフェースにバインドされる。   That is, in this application permission table, a user name, an application ID, and a connection destination group are stored in association with each other. This table is registered in advance, and only the application 11 registered in the table is authenticated, and the authenticated application 11 is bound to the virtual interface of the connection destination group.

以上の構成において、VPNクライアント端末1が接続先グループ19と通信するために設ける仮想インタフェース12について接続先を変更する方法は2通りである。   In the above configuration, there are two methods for changing the connection destination for the virtual interface 12 provided for the VPN client terminal 1 to communicate with the connection destination group 19.

(1)仮想インタフェース12を上書きする方法
(2)仮想インタフェース12を新たに追加する方法
(3)仮想インタフェース12を削除する方法
さらに、仮想インタフェース12を利用するアプリケーション11を仮想インタフェース12へ割り当てる方法は2通りである。 (1) Method of overwriting the virtual interface 12 (2) Method of newly adding the virtual interface 12 (3) Method of deleting the virtual interface 12 Further, a method of assigning the application 11 that uses the virtual interface 12 to the virtual interface 12 There are two ways.

(4)アプリケーション許可テーブル(図6)を用いる方法
(5)電子証明書を用いる方法
以下、上記各場合(1)〜(5)を第1乃至第4の実施の形態として説明する。 (4) Method Using Application Permission Table (FIG. 6) (5) Method Using Electronic Certificate Hereinafter, the above cases (1) to (5) will be described as the first to fourth embodiments.

(第1の実施の形態)
本発明の第1の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、仮想インタフェース12を上書きする。ここで、「仮想インタフェース12の上書き」とは、仮想インタフェース12に割り当てるIPアドレスを再度割り当て直すことをいう。具体的には、アドレス変更のタイプと検疫システムの有無により以下の4つのパターンに分類される。即ち、「Push型(サーバ側から変更)」について、検疫システム無しのパターン1と検疫システム有のパターン2、「Pull型(クライアント側から変更)」について、検疫システム無しのパターン3と検疫システム有のパターン4、の4つである。そして、「検疫システム無」とはIPアドレス変更のトリガを特定しないことを意味し、「検疫システム有」とはトリガを検疫システムに限定することを意味する。アドレス変更について、「Push型」とはVPNクライアント端末1のIPアドレスをセンタ側VPN終端装置2が強制変更することを意味し、「Pull型」とはVPNクライアント端末1がIPアドレス変更を要求することを意味する。 (First embodiment)
In the communication control system according to the first embodiment of the present invention, the virtual interface 12 is overwritten in order to change the connection destination network. Here, “overwriting the virtual interface 12” means reassigning the IP address assigned to the virtual interface 12. Specifically, it is classified into the following four patterns depending on the type of address change and the presence or absence of a quarantine system. That is, for “Push type (change from the server side)”, pattern 1 without the quarantine system and pattern 2 with the quarantine system, and for “Pull type (change from the client side)”, pattern 3 without the quarantine system and with the quarantine system Pattern 4. “No quarantine system” means that the trigger for changing the IP address is not specified, and “with quarantine system” means that the trigger is limited to the quarantine system. Regarding the address change, “Push type” means that the center-side VPN terminating device 2 forcibly changes the IP address of the VPN client terminal 1, and “Pull type” means that the VPN client terminal 1 requests the IP address change. Means that.

以下、図7のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムによるVPNクライアント端末1の初回接続時の処理を説明する。   Hereinafter, with reference to the flowchart of FIG. 7, the process at the time of the initial connection of the VPN client terminal 1 by the communication control system which concerns on the 1st Embodiment of this invention is demonstrated.

VPNクライアント端末1とセンタ側VPV終端装置2との間でVPN接続が開始されると(ステップS1)、センタ側VPN終端装置2はグループスケジューラ4にポリシの問い合わせを行う(ステップS2)。グループスケジューラ4には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したようなテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS4)。   When the VPN connection is started between the VPN client terminal 1 and the center-side VPN termination device 2 (step S1), the center-side VPN termination device 2 inquires of the group scheduler 4 about the policy (step S2). Since the policy of the VPN client terminal 1 (user) to be connected is registered in the group scheduler 4 in the table as shown in FIG. 4, whether or not the connection by the VPN client terminal 1 is determined based on the constraint condition of the table. The determination is made and the determination result (OK / NG) is transmitted to the center-side VPN terminating device 2 (step S4).

センタ側VPN終端装置2は、この判定結果がNG(制約に合致)の場合には、VPNクライアント端末1に対してVPN接続を拒否する旨を通知する(ステップS5)。   If the determination result is NG (matches the restriction), the center-side VPN terminating device 2 notifies the VPN client terminal 1 that the VPN connection is rejected (step S5).

一方、この判定結果がOK(制約に該当せず)の場合には、センタ側VPN終端装置2は図3に示したグループ許可テーブルを参照し、ユーザIDに対応するデフォルトグループの情報を取得し、例えばDHCPサーバより当該デフォルトグループのネットワーク設定情報を取得する(ステップS7)。ここで、「グループ」とは、接続先のネットワークの一つ一つを意味しており、狭義にはVLANが該当する。「デフォルトグループ」とは、最初にVPN接続された時点で接続されるグループをいう。   On the other hand, if this determination result is OK (not applicable), the center side VPN terminating device 2 refers to the group permission table shown in FIG. 3 and acquires information on the default group corresponding to the user ID. For example, the network setting information of the default group is acquired from a DHCP server (step S7). Here, the “group” means each of the connection destination networks, and the VLAN corresponds to the narrow sense. The “default group” refers to a group that is connected when the VPN connection is first made.

続いて、センタ側VPN終端装置2は、コントローラ6よりアプリケーション許可テーブル或いは電子証明書を取得し(ステップS8)、これら情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS9)、更にルーチングテーブルを更新して(ステップS10)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS11)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知し(ステップS12)、VPN接続を完了する(ステップS13)。尚、電子証明書にはユーザ毎のアプリケーション許可テーブルが情報として含められている。   Subsequently, the center side VPN terminating device 2 acquires an application permission table or an electronic certificate from the controller 6 (step S8), and updates the VPN client management table shown in FIG. 2 based on these information (step S9). Further, the routing table is updated (step S10), the routing information is notified to the L3 device 3 using a protocol such as OSPF (step S11), and the virtual interface setting information (eg IP address, subnet mask, etc.) is sent to the VPN client. The terminal 1 is notified (step S12), and the VPN connection is completed (step S13). The electronic certificate includes an application permission table for each user as information.

次に図8のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムにおいてVPNクライアント端末1からの働きかけにより接続先のネットワークを変更する場合(Pull型)の動作を説明する。   Next, with reference to the flowchart of FIG. 8, description will be given of the operation when the network of the connection destination is changed by the action from the VPN client terminal 1 in the communication control system according to the first embodiment of the present invention (Pull type). To do.

センタ側VPN終端装置2がVPNクライアント端末1を特定のグループに接続済みの状況において(ステップS21)、VPNクライアント端末1が仮想インタフェーステーブル(図5)を参照し、どのグループに現在接続されているかを把握した上で変更先を特定し(ステップS22)、センタ側VPN終端装置2に対して接続先の変更要求を行うと(ステップS23)、センタ側VPN終端装置2は、この要求を受け、グループ許可テーブル(図3)を参照し、変更する資格があるか否かを判定し、資格が無い場合には、その旨(NG)をVPNクライアント端末1に通知する。   In a situation where the VPN end device 2 on the center side has already connected the VPN client terminal 1 to a specific group (step S21), the VPN client terminal 1 refers to the virtual interface table (FIG. 5) and to which group is currently connected. When the change destination is specified (step S22) and a connection destination change request is made to the center side VPN termination device 2 (step S23), the center side VPN termination device 2 receives this request, Referring to the group permission table (FIG. 3), it is determined whether or not there is a qualification to be changed. If there is no qualification, the VPN client terminal 1 is notified of this (NG).

一方、資格がある場合には、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS25)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS26,S27)。   On the other hand, if there is a qualification, a policy inquiry is made to the group scheduler 4 (step S25). Since the policy of the VPN client terminal 1 (user) to be connected is registered in the group scheduler 3 in the table shown in FIG. 4, it is determined whether or not the connection by the VPN client terminal 1 is possible based on the constraint conditions of the table. Then, the determination result (OK / NG) is transmitted to the center side VPN terminating device 2 (steps S26 and S27).

センタ側VPN終端装置2は、この判定結果をVPNクライアント端末1に対して通知する(ステップS28)。VPNクライアント端末1は、変更が許可された場合、センタ側VPN終端装置2に対して仮想インタフェース設定情報を要求する(ステップS29)。センタ側VPN終端装置2は、この要求を受けると、DHCPサーバより仮想インタフェース設定情報を取得する(ステップS30)。センタ側VPN終端装置2は、この情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS31)、更にルーチングテーブルを更新し(ステップS32)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS33)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知する(ステップS34)。以上で変更の処理を終了する。   The center-side VPN termination device 2 notifies this determination result to the VPN client terminal 1 (step S28). When the change is permitted, the VPN client terminal 1 requests virtual interface setting information from the center side VPN terminating device 2 (step S29). Upon receiving this request, the center-side VPN terminating device 2 acquires virtual interface setting information from the DHCP server (step S30). The center-side VPN terminating device 2 updates the VPN client management table shown in FIG. 2 based on this information (step S31), further updates the routing table (step S32), and updates the routing information using a protocol such as OSPF, for example. The L3 device 3 is notified (step S33), and the virtual interface setting information (for example, IP address, subnet mask, etc.) is notified to the VPN client terminal 1 (step S34). This completes the change process.

次に図9のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムにおいてトリガシステム5からの働きかけにより接続先のネットワークを強制変更する場合(Push型)の動作を説明する。   Next, with reference to the flowchart of FIG. 9, description will be given of the operation when the network of the connection destination is forcibly changed by the action from the trigger system 5 in the communication control system according to the first embodiment of the present invention (Push type). To do.

例えば検疫システムとしてのトリガシステム5が、ウィルス感染の疑いを検知したような場合には、グループ変更トリガをコントローラ6に送信する(ステップS40)。   For example, when the trigger system 5 as a quarantine system detects a suspicion of virus infection, a group change trigger is transmitted to the controller 6 (step S40).

このようなトリガが入ると、コントローラ6は、グループ変更要求をセンタ側VPN終端装置2に送信する(ステップS41)。センタ側VPN終端装置2は、この要求を受けると、VPNクライアント管理テーブル(図2)を参照し、変更先の仮想インタフェースを所有している場合には、上書きの必要がないものと判断し、その旨をグループスケジューラ4、更にはトリガシステム5に通知する(ステップS43)。   When such a trigger is entered, the controller 6 transmits a group change request to the center side VPN terminating device 2 (step S41). Upon receiving this request, the center-side VPN terminating device 2 refers to the VPN client management table (FIG. 2) and determines that there is no need for overwriting when the virtual interface of the change destination is owned. This is notified to the group scheduler 4 and further to the trigger system 5 (step S43).

一方、変更先の仮想インタフェースを所有していない場合には、グループ許可テーブル(図3)を参照し、接続可能なグループリストを参照する(ステップS44)。そして、変更先として定めることができないグループである場合には、仮想インタフェース12を変更できない旨(NG)をコントローラ6に通知する(ステップS45)。   On the other hand, when the change destination virtual interface is not owned, the group permission table (FIG. 3) is referred to and the connectable group list is referred to (step S44). If the group cannot be determined as the change destination, the controller 6 is notified that the virtual interface 12 cannot be changed (NG) (step S45).

これに対して、変更先として定めることができるグループである場合には、センタ側VPN終端装置2はVPNクライアント端末1に対してアプリケーションの接続状況の確認を要求する(ステップS46)。アプリケーションが接続中である場合には仮想インタフェースの接続先を変更すると不具合が生じる可能性があるからである。   On the other hand, if it is a group that can be determined as a change destination, the center side VPN terminating device 2 requests the VPN client terminal 1 to confirm the connection status of the application (step S46). This is because if the connection destination of the virtual interface is changed when the application is connected, a problem may occur.

VPNクライアント端末1は、この要求を受けると、仮想インタフェーステーブル(図5)を参照して、接続中のアプリケーションの存在、状況を確認し(ステップS47)、その確認結果に基づいて、変更先としてよいか否か(OK/NG)をセンタ側VPN終端装置2に通知する(ステップS48)。センタ側VPN終端装置2は、この結果がNGである場合、コントローラ6に変更できない旨を通知する(ステップS49)。   Upon receiving this request, the VPN client terminal 1 refers to the virtual interface table (FIG. 5), confirms the existence and status of the application being connected (step S47), and determines the change destination based on the confirmation result. Whether or not it is acceptable (OK / NG) is notified to the center side VPN terminating device 2 (step S48). If the result is NG, the center side VPN terminating device 2 notifies the controller 6 that the change cannot be made (step S49).

一方、結果がOK、つまり変更可能である場合には、センタ側VPN終端装置2は、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS50)。   On the other hand, if the result is OK, that is, it can be changed, the center-side VPN terminating device 2 makes a policy inquiry to the group scheduler 4 (step S50).

このグループスケジューラ4には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS51,S52)。   Since the policy of the VPN client terminal 1 (user) to be connected is registered in the group scheduler 4 in the table shown in FIG. 4, it is determined whether or not the connection by the VPN client terminal 1 is possible based on the constraint condition of the table. Then, the determination result (OK / NG) is transmitted to the center side VPN terminating device 2 (steps S51 and S52).

センタ側VPN終端装置2は、変更が許可された場合、DHCPサーバより仮想インタフェース設定情報を取得し(ステップS53)、この仮想インタフェース設定情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS54)、ルーチングテーブルを更新し(ステップS55)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS56)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知する(ステップS57)。以上で変更の処理を終了する。   When the change is permitted, the center side VPN terminating device 2 acquires the virtual interface setting information from the DHCP server (step S53), and updates the VPN client management table shown in FIG. 2 based on the virtual interface setting information. (Step S54), the routing table is updated (Step S55), the routing information is notified to the L3 device 3 by a protocol such as OSPF (Step S56), and the virtual interface setting information (for example, IP address, subnet mask, etc.) The VPN client terminal 1 is notified (step S57). This completes the change process.

(第2の実施の形態)
本発明の第2の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、仮想インタフェース12を追加する。ここで、「仮想インタフェース12を追加する」とは、新たに仮想インタフェース12を作成し、IPアドレスを割り当てることを意味する。この場合も第1の実施の形態と同様、4パターンに分類される。 (Second embodiment)
In the communication control system according to the second embodiment of the present invention, the virtual interface 12 is added in order to change the connection destination network. Here, “adding a virtual interface 12” means creating a new virtual interface 12 and assigning an IP address. In this case as well, the patterns are classified into four patterns as in the first embodiment.

本発明の第2の実施の形態に係る通信制御システムによるVPNクライアント端末1の初回接続時の処理は第1の実施の形態と同様である。   The process at the time of the initial connection of the VPN client terminal 1 by the communication control system according to the second embodiment of the present invention is the same as that of the first embodiment.

次に図10のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてVPNクライアント端末1からの働きかけにより接続先のネットワークを追加する場合(Pull型)の動作を説明する。   Next, with reference to the flowchart of FIG. 10, description will be given of the operation when a network to connect to is added by the action from the VPN client terminal 1 in the communication control system according to the second embodiment of the present invention (Pull type). To do.

前提として、VPNクライアント端末1はVPN接続中である(ステップS80)。そのような状況下、例えばアプリケーション11が起動された場合等に、仮想インタフェースの追加のためのトリガが発生すると(ステップS81)、VPNクライアント端末1はセンタ側VPN終端装置2に仮想インタフェースの追加要求を行う(ステップS82)。   As a premise, the VPN client terminal 1 is in VPN connection (step S80). Under such circumstances, for example, when the application 11 is activated, and a trigger for adding a virtual interface occurs (step S81), the VPN client terminal 1 requests the center-side VPN terminating device 2 to add a virtual interface. Is performed (step S82).

センタ側VPN終端装置2は、この要求を受けると、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS83)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS84,S85)。センタ側VPN終端装置2は、この判定結果がNG(制約に合致)である場合には仮想インタフェースの追加ができない旨をVPNクライアント端末1に対して通知する(ステップS86)。一方、判定結果がOK(制約に該当せず)である場合には、センタ側VPN終端装置2は、DHCPサーバより仮想インタフェース設定情報を取得し(ステップS87)、VPNクライアント端末1に当該仮想インタフェース設定情報を通知する(ステップS88)。VPNクライアント端末1は、この仮想インタフェース設定情報に基づいて仮想インタフェーステーブル(図5)を更新する(ステップS92)。   Upon receiving this request, the center side VPN terminating device 2 makes a policy inquiry to the group scheduler 4 (step S83). Since the policy of the VPN client terminal 1 (user) to be connected is registered in the group scheduler 3 in the table shown in FIG. 4, it is determined whether or not the connection by the VPN client terminal 1 is possible based on the constraint conditions of the table. Then, the determination result (OK / NG) is transmitted to the center side VPN terminating device 2 (steps S84 and S85). The center-side VPN terminating device 2 notifies the VPN client terminal 1 that the virtual interface cannot be added if the determination result is NG (matches the constraint) (step S86). On the other hand, if the determination result is OK (not applicable), the center side VPN terminating device 2 acquires virtual interface setting information from the DHCP server (step S87), and the virtual client terminal 1 receives the virtual interface. The setting information is notified (step S88). The VPN client terminal 1 updates the virtual interface table (FIG. 5) based on the virtual interface setting information (step S92).

次いで、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS89)、更にルーチングテーブルを更新し(ステップS90)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS91)。以上で仮想インタフェースの追加処理(Pull型)を終了する。   Next, the center-side VPN terminating device 2 updates the VPN client management table shown in FIG. 2 (step S89), further updates the routing table (step S90), and sends the routing information to the L3 device 3 using a protocol such as OSPF, for example. (Step S91). This completes the virtual interface addition processing (Pull type).

次に図11のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてサーバ側からの働きかけにより接続先のネットワークを強制追加する場合(Push型)の動作を説明する。   Next, with reference to the flowchart of FIG. 11, description will be given of an operation in the case where a connection destination network is forcibly added by an action from the server side in the communication control system according to the second embodiment of the present invention (Push type). .

前提として、VPNクライアント端末1はVPN接続中である(ステップS100)。そのような状況下で、例えば検疫システムとしてのトリガシステム5が、ウィルス感染の疑いを検知したような場合には、仮想インタフェース追加トリガをコントローラ6に送信する(ステップS101,S102)。このようなトリガが入ることにより、コントローラ6は、仮想インタフェース追加要求をセンタ側VPN終端装置2に送信する(ステップS103)。センタ側VPN終端装置2は、この要求を受けると、VPNクライアント管理テーブル(図2)を参照し(ステップS104)、追加先の仮想インタフェースを所有している場合には、追加の必要がないものと判断し、その旨をグループスケジューラ4、更にはトリガシステム5に通知する(ステップS105)。   As a premise, the VPN client terminal 1 is in VPN connection (step S100). Under such circumstances, for example, when the trigger system 5 as a quarantine system detects a suspected virus infection, a virtual interface addition trigger is transmitted to the controller 6 (steps S101 and S102). When such a trigger is entered, the controller 6 transmits a virtual interface addition request to the center side VPN terminating device 2 (step S103). Upon receiving this request, the center-side VPN terminating device 2 refers to the VPN client management table (FIG. 2) (step S104), and if the destination virtual interface is owned, there is no need for addition. And the fact is notified to the group scheduler 4 and further to the trigger system 5 (step S105).

一方、変更先の仮想インタフェースを所有していない場合には、グループ許可テーブル(図3)を参照し、接続可能なグループリストを参照する(ステップS106)。   On the other hand, when the change destination virtual interface is not owned, the group permission table (FIG. 3) is referred to and a connectable group list is referred to (step S106).

そして、制約条件より追加先として定めることができないグループである場合には、仮想インタフェースを追加できない旨(NG)をコントローラ6に通知する(ステップS107)。これに対して、追加先として定めることができるグループである場合には、センタ側VPN終端装置2は、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS108)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS109,S110)。   If the group cannot be determined as an addition destination due to the constraint condition, the controller 6 is notified that the virtual interface cannot be added (NG) (step S107). On the other hand, in the case of a group that can be determined as an addition destination, the center-side VPN terminating device 2 makes a policy inquiry to the group scheduler 4 (step S108). Since the policy of the VPN client terminal 1 (user) to be connected is registered in the group scheduler 3 in the table shown in FIG. 4, it is determined whether or not the connection by the VPN client terminal 1 is possible based on the constraint conditions of the table. The determination result (OK / NG) is transmitted to the center side VPN terminating device 2 (steps S109 and S110).

センタ側VPN終端装置2は、判定結果がOK(制約に該当せず)である場合には、DHCPサーバより仮想インタフェース追加設定情報を取得し(ステップS111)、VPNクライアント端末1に対して当該仮想インタフェース追加設定情報を通知する(ステップS112)。VPNクライアント端末1は、この仮想インタフェース追加設定情報に基づいて仮想インタフェーステーブル(図5)を更新する(ステップS116)。   When the determination result is OK (does not correspond to the restriction), the center side VPN terminating device 2 acquires the virtual interface additional setting information from the DHCP server (step S111), and sends the virtual client additional information to the VPN client terminal 1. The interface additional setting information is notified (step S112). The VPN client terminal 1 updates the virtual interface table (FIG. 5) based on this virtual interface additional setting information (step S116).

次いで、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS113)、ルーチングテーブルを更新し(ステップS114)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS115)。以上で仮想インタフェースの追加処理(Push型)を終了する。   Next, the center-side VPN terminating device 2 updates the VPN client management table shown in FIG. 2 (step S113), updates the routing table (step S114), and sends the routing information to the L3 device 3 using a protocol such as OSPF, for example. Notification is made (step S115). This completes the virtual interface addition processing (Push type).

次に、図12のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてクライアント側からの働きかけにより仮想インタフェースを削除する場合の動作を説明する。   Next, with reference to the flowchart of FIG. 12, an operation when a virtual interface is deleted by an action from the client side in the communication control system according to the second embodiment of the present invention will be described.

前提として、VPNクライアント端末1はVPN接続中である(ステップS120)。そのような状況下、VPNクライアント端末1により仮想インタフェースの削除要求がなされると(ステップS121)、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS122)、仮想インタフェースが削除済みである旨をVPNクライアント端末1に通知する(ステップS123)。これ以後、VPNクライアント端末1により当該仮想インタフェースのIPアドレスが開放され(ステップS124)、仮想インタフェーステーブル(図5)が更新される(ステップS127)。さらに、センタ側VPN終端装置2がルーチングテーブルを更新し(ステップS125)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS126)。   As a premise, the VPN client terminal 1 is in a VPN connection (step S120). Under such circumstances, when the virtual client deletion request is made by the VPN client terminal 1 (step S121), the center side VPN terminating device 2 updates the VPN client management table shown in FIG. 2 (step S122). The VPN client terminal 1 is notified that the virtual interface has been deleted (step S123). Thereafter, the VPN client terminal 1 releases the IP address of the virtual interface (step S124), and the virtual interface table (FIG. 5) is updated (step S127). Further, the center side VPN terminating device 2 updates the routing table (step S125), and notifies the routing information to the L3 device 3 by using a protocol such as OSPF (step S126).

次に、図13のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてサーバ側からの働きかけにより仮想インタフェースを削除する場合の動作を説明する。   Next, with reference to the flowchart of FIG. 13, an operation when a virtual interface is deleted by an action from the server side in the communication control system according to the second embodiment of the present invention will be described.

前提として、VPNクライアント端末1はVPN接続中である(ステップS150)。そのような状況下で、例えば検疫システムとしてのトリガシステム5が、ユーザを特定のグループから隔離させたい場合等には、仮想インタフェース削除トリガをコントローラ6に送信する(ステップS151,S152)。このようなトリガが入ることにより、コントローラ6は、仮想インタフェース削除要求をセンタ側VPN終端装置2に送信する(ステップS153)。センタ側VPN終端装置2は、この削除要求を受けると、VPNクライアント管理テーブル(図2)を参照し(ステップS154)、削除すべき仮想インタフェースを所有している場合にはその旨(OK)をコントローラ6に通知し(ステップS155)、所有していない場合にはその旨(NG)をトリガシステム5に通知する(ステップS156)。   As a premise, the VPN client terminal 1 is in VPN connection (step S150). Under such circumstances, for example, when the trigger system 5 as a quarantine system wants to isolate the user from a specific group, a virtual interface deletion trigger is transmitted to the controller 6 (steps S151 and S152). When such a trigger is entered, the controller 6 transmits a virtual interface deletion request to the center-side VPN terminating device 2 (step S153). When the center-side VPN terminating device 2 receives this deletion request, it refers to the VPN client management table (FIG. 2) (step S154), and if the virtual interface to be deleted is owned (OK), The controller 6 is notified (step S155), and if it is not owned, the fact (NG) is notified to the trigger system 5 (step S156).

続いて、センタ側VPN終端装置2は、仮想インタフェースが削除命令をVPNクライアント端末1に通知する(ステップS157)。これ以後、VPNクライアント端末1により当該仮想インタフェースのIPアドレスが開放され(ステップS158、仮想インタフェーステーブル(図5)が更新される(ステップS161)。さらに、センタ側VPN終端装置2がルーチングテーブルを更新し(ステップS159)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS160)。   Subsequently, in the center side VPN terminating device 2, the virtual interface notifies the VPN client terminal 1 of a deletion command (step S157). Thereafter, the IP address of the virtual interface is released by the VPN client terminal 1 (step S158, the virtual interface table (FIG. 5) is updated (step S161). Further, the center side VPN terminating device 2 updates the routing table. Then, the routing information is notified to the L3 device 3 by a protocol such as OSPF (step S160).

(第3の実施の形態)
本発明の第3の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、アプリケーション許可テーブル(図6)を用いる。ここで、「アプリケーション許可テーブルを用いる場合」とは、アプリケーション起動時にどの仮想インタフェースに紐つけるかを判断するためのデータとして、VPN接続時にコントローラ6から配信されるアプリケーション許可テーブル(図6)を利用することを意味する。 (Third embodiment)
In the communication control system according to the third embodiment of the present invention, an application permission table (FIG. 6) is used to change the connection destination network. Here, “when using an application permission table” refers to using an application permission table (FIG. 6) distributed from the controller 6 during VPN connection as data for determining which virtual interface to associate with when the application is started. It means to do.

以下、図14のフローチャートを参照して、本発明の第3の実施の形態に係る通信制御システムによるアプリケーション認証時の処理を詳細に説明する。   Hereinafter, with reference to the flowchart of FIG. 14, the process at the time of application authentication by the communication control system according to the third embodiment of the present invention will be described in detail.

前提として、VPNクライアント端末1はVPN接続中である(ステップS201)。そのような状況下、VPNクライアント端末1においてアプリケーションが起動されるとアプリケーションIDが取得され(ステップS203)、当該アプリケーションIDにより特定されるアプリケーション11の接続の可否をアプリケーション許可テーブル(図6)を参照して判断する(ステップS204)。その結果、当該アプリケーション11の接続が許可されていない場合には、当該アプリケーション11の利用を不可とするか(ステップS205)、デフォルトの仮想インタフェース12に接続する(ステップS206)。   As a premise, the VPN client terminal 1 is in a VPN connection (step S201). Under such circumstances, when an application is started in the VPN client terminal 1, an application ID is acquired (step S203), and the application permission table (FIG. 6) is referred to as to whether or not the application 11 specified by the application ID can be connected. (Step S204). As a result, when the connection of the application 11 is not permitted, the use of the application 11 is disabled (step S205) or the default virtual interface 12 is connected (step S206).

一方、当該アプリケーション11の接続が許可されている場合には、対応する仮想インタフェース12の有無を確認し(ステップS207)、該当する仮想インタフェース12が存在する場合には当該仮想インタフェースにバインドし(ステップS209)、該当する仮想インタフェース12が存在しない場合には、第1及び第2の実施の形態で前述した仮想インタフェース12の追加処理に入る(ステップS208)。   On the other hand, if the connection of the application 11 is permitted, the presence / absence of the corresponding virtual interface 12 is confirmed (step S207). If the corresponding virtual interface 12 exists, the virtual interface 12 is bound (step S207). S209) If the corresponding virtual interface 12 does not exist, the virtual interface 12 adding process described in the first and second embodiments is started (step S208).

(第4の実施の形態)
本発明の第4の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、電子証明書を用いる。ここで、「電子証明書を用いる場合」とは、アプリケーション起動時に、どの仮想インタフェース12に紐付けるかを判断するためのデータとしてVPN接続時にコントローラ6から配信されるアプリケーション許可電子証明書を利用することを意味する。このアプリ許可電子証明書のフォーマットは、例えばRF3820 X509 Proxy Certificateに準ずる。この証明書のプロキシポリシ(Proxy Policy)に含める内容は、アプリケーション許可テーブル(図6)を参照し、発行者はコントローラ6とし、有効期限はグループスケジューラ4を参照して決定する。 (Fourth embodiment)
In the communication control system according to the fourth embodiment of the present invention, an electronic certificate is used to change the connection destination network. Here, “when using an electronic certificate” means using an application-permitted electronic certificate distributed from the controller 6 at the time of VPN connection as data for determining which virtual interface 12 is associated with the application when the application is activated. Means that. The format of the application-permitted electronic certificate conforms to, for example, RF3820 X509 Proxy Certificate. The contents to be included in the proxy policy of this certificate are determined by referring to the application permission table (FIG. 6), the issuer is the controller 6, and the expiration date is determined by referring to the group scheduler 4.

先ず、図15のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる電子証明書の発行に関する処理を説明する。   First, with reference to the flowchart of FIG. 15, processing related to issuance of an electronic certificate by the communication control system according to the fourth embodiment of the present invention will be described.

VPNクライアント端末1がセンタ側VPN終端装置2とVPN接続すると(ステップS210)、当該センタ側VPN終端装置2はコントローラ(ここでは、証明書発行局として機能する)6に対して証明書発行要求(発行対象者の情報としてユーザIDを含む)を行う(ステップS211)。コントローラ6は、この要求を受けると、グループスケジューラ4に対してユーザポリシを問い合わせ(有効期限の確定)(ステップS212)、アプリケーション許可テーブル(図6)を参照してユーザ権限(ポリシ)を作成し(ステップS213)、当該ポリシの内容を包含した電子証明書を生成し(ステップS214)、当該電子証明書をVPNクライアント端末1に送信する(ステップS215)。   When the VPN client terminal 1 makes a VPN connection with the center-side VPN terminator 2 (step S210), the center-side VPN terminator 2 requests a certificate issuance request (here, functions as a certificate issuing authority) 6 ( The user ID is included as information on the person to be issued) (step S211). Upon receiving this request, the controller 6 inquires of the group scheduler 4 about the user policy (determining the expiration date) (step S212), and creates the user authority (policy) with reference to the application permission table (FIG. 6). (Step S213), an electronic certificate including the contents of the policy is generated (Step S214), and the electronic certificate is transmitted to the VPN client terminal 1 (Step S215).

次に図16のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる電子証明書の利用に関する処理を説明する。   Next, with reference to the flowchart of FIG. 16, processing related to the use of an electronic certificate by the communication control system according to the fourth embodiment of the present invention will be described.

VPNクライアント端末1においてアプリケーション11が起動されると(ステップS220)、アプリケーションIDを取得し(ステップS221)、電子証明書(プロキシ証明書)自体の有効性の検証を行う(ステップS222)。これは、ユーザポリシ、ユーザ権限に変更があった場合には、証明書が失効している為、その確認を行うものである。ついで、VPNクライアント端末1は、アプリケーション11の認証を実行する(ステップS223)。このとき、電子証明書内のプロキシポリシを参照し、使用していいかの認証を行うことになる。ついで、仮想インタフェースの有無を確認し(ステップS224)、該当する仮想インタフェースが存在しない場合には、当該アプリケーションの利用を不可とするか(ステップS225)、デフォルトの仮想インタフェースに接続する(ステップS226)。該当する仮想インタフェースが存在する場合には当該仮想インタフェースにバインドし(ステップS228)、或いは仮層インタフェースの追加処理に入る(ステップS227)。   When the application 11 is activated in the VPN client terminal 1 (step S220), an application ID is acquired (step S221), and the validity of the electronic certificate (proxy certificate) itself is verified (step S222). In this case, when the user policy and the user authority are changed, the certificate is revoked, and the confirmation is performed. Next, the VPN client terminal 1 executes authentication of the application 11 (step S223). At this time, the proxy policy in the electronic certificate is referred to authenticate whether it can be used. Next, the presence / absence of a virtual interface is confirmed (step S224). If the corresponding virtual interface does not exist, the use of the application is disabled (step S225), or the default virtual interface is connected (step S226). . When the corresponding virtual interface exists, the virtual interface is bound to the virtual interface (step S228), or the temporary layer interface addition processing is started (step S227).

次に図17のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる証明書失効に関する処理を説明する。   Next, a process related to certificate revocation by the communication control system according to the fourth embodiment of the present invention will be described with reference to the flowchart of FIG.

先ず、VPN接続が切断された場合には(ステップS230)、VPN切断通知(ユーザIDを含む)をコントローラ6に対して行う(ステップS231)。コントローラ6は、この通知を受信するとCRL(失効通知)の生成を行い(ステップS232)、証明書検証サーバに対してCRLの発行を行う(ステップS233)。一方、ユーザ権限に変更が生じた場合には(ステップS234)、コントローラ6は、同様にCRL(失効通知)の生成を行い(ステップS235)、DVCSに対してCRLの発行を行う(ステップS236)。   First, when the VPN connection is disconnected (step S230), a VPN disconnection notification (including the user ID) is sent to the controller 6 (step S231). Upon receiving this notification, the controller 6 generates a CRL (revocation notification) (step S232), and issues a CRL to the certificate verification server (step S233). On the other hand, when the user authority is changed (step S234), the controller 6 similarly generates a CRL (revocation notice) (step S235) and issues a CRL to the DVCS (step S236). .

次に図18のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる証明書再発行に関する処理を説明する。   Next, processing related to certificate reissue by the communication control system according to the fourth embodiment of the present invention will be described with reference to the flowchart of FIG.

VPNクライアント端末1においてアプリケーション11が起動されると(ステップS240)、アプリケーションIDを取得し(ステップS241)、電子証明書(プロキシ証明書)自体の有効性の検証を行う(ステップS242)。これは、ユーザポリシ、ユーザ権限に変更があった場合には、証明書が失効している為、その確認を行うものである。そして、失効している場合には(ステップS244)、VPNクライアント端末1はコントローラ(ここでは、証明書発行局として機能する)6に対して証明書発行要求(発行対象者の情報としてユーザIDを含む)を行う(ステップS244)。   When the application 11 is activated in the VPN client terminal 1 (step S240), the application ID is acquired (step S241), and the validity of the electronic certificate (proxy certificate) itself is verified (step S242). In this case, when the user policy and the user authority are changed, the certificate is revoked, and the confirmation is performed. If it is revoked (step S244), the VPN client terminal 1 sends a certificate issuance request (user ID as issuance target information) to the controller (here functioning as a certificate issuing authority) 6. (Step S244).

コントローラ6は、この要求を受けると、グループスケジューラ4に対してユーザポリシを問い合わせ(有効期限の確定)(ステップS245)、アプリケーション許可テーブル(図6)を参照してユーザ権限(ポリシ)を作成し(ステップS246)、当該ポリシの内容を包含した電子証明書を生成し(ステップS247)、当該電子証明書をVPNクライアント端末1に送信する(ステップS248)。   Upon receiving this request, the controller 6 inquires of the group scheduler 4 about the user policy (determining the expiration date) (step S245), and creates the user authority (policy) with reference to the application permission table (FIG. 6). (Step S246), an electronic certificate including the contents of the policy is generated (Step S247), and the electronic certificate is transmitted to the VPN client terminal 1 (Step S248).

以上説明したように、本発明の第1乃至第4の実施の形態によれば、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とする通信制御システム及び方法を提供することができる。   As described above, according to the first to fourth embodiments of the present invention, it is possible to connect to different connection destinations at the same time, and to add, delete, change, etc. connection destinations as necessary. Communication control systems and methods can be provided.

以上、本発明の実施の形態について説明したが、本発明はこれに限定される事なくその趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。   The embodiment of the present invention has been described above, but the present invention is not limited to this, and it is needless to say that various improvements and changes can be made without departing from the spirit of the present invention.

本発明の第1乃至第4の実施の形態に係る通信制御システムに共通する基本構成図である。It is a basic composition figure common to the communication control system which concerns on the 1st thru | or 4th embodiment of this invention. VPNクライアント管理テーブルの一例を示す図である。It is a figure which shows an example of a VPN client management table. グループ許可テーブルの一例を示す図である。It is a figure which shows an example of a group permission table. グループスケジューラの保持するテーブルの一例を示す図である。It is a figure which shows an example of the table which a group scheduler hold | maintains. 仮想インタフェーステーブルの一例を示す図である。It is a figure which shows an example of a virtual interface table. アプリケーション許可テーブルの一例を示す図である。It is a figure which shows an example of an application permission table. 本発明の第1の実施の形態に係る通信制御システムによるVPNクライアント端末1の初回接続時の処理を説明するフローチャートである。It is a flowchart explaining the process at the time of the first connection of the VPN client terminal 1 by the communication control system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態に係る通信制御システムにおいてVPNクライアント端末1からの働きかけにより接続先のネットワークを変更する場合(Pull型)の動作を説明するフローチャートである。5 is a flowchart for explaining an operation when a connection destination network is changed by an action from the VPN client terminal 1 in the communication control system according to the first exemplary embodiment of the present invention (Pull type). 本発明の第1の実施の形態に係る通信制御システムにおいてトリガシステム5からの働きかけにより接続先のネットワークを強制変更する場合(Push型)の動作を説明するフローチャートである。7 is a flowchart for explaining the operation when the network at the connection destination is forcibly changed by the action from the trigger system 5 in the communication control system according to the first embodiment of the present invention (Push type). 本発明の第2の実施の形態に係る通信制御システムにおいてVPNクライアント端末1からの働きかけにより接続先のネットワークを追加する場合(Pull型)の動作を説明するフローチャートである。It is a flowchart explaining operation | movement when adding the network of a connection destination by the action from the VPN client terminal 1 in the communication control system which concerns on the 2nd Embodiment of this invention (Pull type). 本発明の第2の実施の形態に係る通信制御システムにおいてサーバ側からの働きかけにより接続先のネットワークを強制追加する場合(Push型)の動作を説明するフローチャートである。It is a flowchart explaining the operation | movement in the case of forcibly adding the network of a connection destination by the action from the server side in the communication control system which concerns on the 2nd Embodiment of this invention (Push type). 本発明の第2の実施の形態に係る通信制御システムによる仮想インタフェースの削除時の動作を説明するフローチャートである。It is a flowchart explaining the operation | movement at the time of deletion of the virtual interface by the communication control system which concerns on the 2nd Embodiment of this invention. 本発明の第2の実施の形態に係る通信制御システムにおいてサーバ側からの働きかけにより仮想インタフェースを削除する場合の動作を説明するフローチャートである。It is a flowchart explaining the operation | movement in the case of deleting a virtual interface by the action from the server side in the communication control system which concerns on the 2nd Embodiment of this invention. 本発明の第3の実施の形態に係る通信制御システムによるアプリケーション認証時の処理を詳細に説明するフローチャートである。It is a flowchart explaining in detail the process at the time of application authentication by the communication control system according to the third embodiment of the present invention. 本発明の第4の実施の形態に係る通信制御システムによる電子証明書の発行に関する処理を説明するフローチャートである。It is a flowchart explaining the process regarding issuance of the electronic certificate by the communication control system which concerns on the 4th Embodiment of this invention. 本発明の第4の実施の形態に係る通信制御システムによる電子証明書の利用に関する処理を説明するフローチャートである。It is a flowchart explaining the process regarding utilization of the electronic certificate by the communication control system which concerns on the 4th Embodiment of this invention. 本発明の第4の実施の形態に係る通信制御システムによる証明書失効に関する処理を説明するフローチャートである。It is a flowchart explaining the process regarding the certificate revocation by the communication control system which concerns on the 4th Embodiment of this invention. 本発明の第4の実施の形態に係る通信制御システムによる証明書再発行に関する処理を説明するフローチャートである。It is a flowchart explaining the process regarding the certificate reissue by the communication control system which concerns on the 4th Embodiment of this invention.

符号の説明Explanation of symbols

1・・・VPNクライアント、2・・・センタ側VPN終端装置、3・・・L3デバイス、4・・・グループスケジューラ、5・・・トリガシステム、6・・・コントローラ、11・・・アプリケーション、12,18・・・仮想インタフェース、14・・・VPN、13,15〜17・・・物理インタフェース、19・・・VPNグループ。   DESCRIPTION OF SYMBOLS 1 ... VPN client, 2 ... Center side VPN termination device, 3 ... L3 device, 4 ... Group scheduler, 5 ... Trigger system, 6 ... Controller, 11 ... Application, 12, 18 ... Virtual interface, 14 ... VPN, 13, 15-17 ... Physical interface, 19 ... VPN group.

Claims (8)

クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、
上記クライアント端末より接続先の変更要求がなされた場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する終端装置、
を有することを特徴とする通信制御システム。 A communication control system for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
When a request for changing the connection destination is made from the client terminal, it is determined whether or not the virtual interface can be updated based on the policy of the user of the client terminal . obtains information of the address of the virtual interface, in order to change the address information of the VPN of the virtual interface that is managed in association with the application in the client terminal, terminating device which notifies the information of the address the acquired said client terminal,
A communication control system comprising: クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、
所定の場合にトリガを発生するトリガ装置と、
上記トリガ装置より接続先の変更に係るトリガを受けた場合に、当該クライアント端末のユーザのポリシに基づいて仮想インタフェースの更新の可否を判断し、更新を認める場合には更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する終端装置と、
を有することを特徴とする通信制御システム。 A communication control system for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
A trigger device for generating a trigger in a predetermined case;
When receiving a trigger related to the change of the connection destination from the trigger device, it is determined whether or not the virtual interface can be updated based on the policy of the user of the client terminal, and if the update is permitted, the virtual interface of the updated VPN A terminal device for notifying the client terminal of the acquired address information, in order to change the address information of the virtual interface of the VPN managed in association with the application in the client terminal,
A communication control system comprising: クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、
クライアント端末のユーザのポリシを管理するグループスケジューラと、
グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、
上記クライアント端末より接続先の変更の要求がなされた場合には、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、仮想インタフェース設定情報を取得し、当該取得した設定情報に基づいて上記クライアント管理テーブルを更新し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得した仮想インタフェース設定情報を上記クライアント端末に通知する、
ことを特徴とする通信制御システム。 A communication control system for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
A group scheduler for managing client terminal user policies;
A termination device that holds a group permission table and a client management table, and controls connection of the client terminal to the network;
When the connection destination is requested from the client terminal, the terminal device refers to the group permission table to determine whether the virtual interface can be changed or added, and the group scheduler determines whether the client terminal determine changes or additional possibility the virtual interface based on the user policy, terminator, if it finds a change or addition of the virtual interface on the basis of these determination results, obtains the virtual interface setting information, the update the client management table based on the obtained setting information, in order to change the address information of the VPN of the virtual interface that is managed in association with the application in the client terminal, said client virtual interface setting information the acquired To notify the end,
A communication control system characterized by that. クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、
所定の場合にトリガを発生するトリガ装置と、
クライアント端末のユーザのポリシを管理するグループスケジューラと、
グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、
上記トリガ装置より接続先の変更に係るトリガを受けた場合に、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、VPNの仮想インタフェース設定情報を取得し、当該取得したVPNの仮想インタフェース設定情報に基づいて上記クライアント管理テーブルを更新し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を追加或いは変更するために、当該取得した仮想インタフェース設定情報を上記クライアント端末に通知する、
ことを特徴とする通信制御システム。 A communication control system for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
A trigger device for generating a trigger in a predetermined case;
A group scheduler for managing client terminal user policies;
A termination device that holds a group permission table and a client management table, and controls connection of the client terminal to the network;
When receiving a trigger related to the change of the connection destination from the trigger device, the termination device refers to the group permission table to determine whether the virtual interface can be changed or added, and the group scheduler determines whether the client terminal Based on the user's policy, it is determined whether or not the virtual interface can be changed or added, and the end device obtains VPN virtual interface setting information when the virtual device is allowed to be changed or added based on these determination results. In order to update the client management table based on the acquired VPN virtual interface setting information and add or change the address information of the VPN virtual interface managed in association with the application in the client terminal, the acquired Virtual Notifying the client terminal of the interface setting information.
A communication control system characterized by that. 上記クライアント端末は、少なくともアプリケーションIDと接続先グループを対応付けて管理するアプリケーション許可テーブルを保持し、アプリケーションの起動時には上記アプリケーション許可テーブルにより当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする請求項1乃至4のいずれかに記載の通信制御システム。   The client terminal holds at least an application permission table for managing an application ID and a connection destination group in association with each other, and determines whether the application can be associated with a virtual interface based on the application permission table when the application is activated. The communication control system according to claim 1, further comprising: 上記クライアント端末は、アプリケーションの起動時には、電子証明書の情報に基づいて当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする請求項1乃至4のいずれかに記載の通信制御システム。   5. The client terminal according to claim 1, wherein the client terminal determines whether or not the application can be associated with a virtual interface based on information of an electronic certificate when the application is started. Communication control system. クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御方法であって、
終端装置が、接続先の変更要求を受理した場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する、
ことを特徴とする通信制御方法。 A communication control method for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
When the terminal device accepts the connection destination change request, it determines whether or not the virtual interface can be updated based on the policy of the user of the client terminal, and when the virtual interface is permitted to be updated , In order to acquire the address information of the virtual interface and change the address information of the virtual interface of the VPN managed in association with the application in the client terminal, the acquired address information is notified to the client terminal.
A communication control method characterized by the above. 複数のVPN(Virtual Private Network)の物理インターフェイスと、  Multiple VPN (Virtual Private Network) physical interfaces,
前記物理インターフェイスに実装され、複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースと、  A plurality of VPN (Virtual Private Network) virtual interfaces implemented in the physical interface and associated with a plurality of applications;
VPNの仮想インターフェイスのアドレスと、アプリケーションとを関連付けて記憶する仮想インターフェイステーブルと  Virtual interface table for storing VPN virtual interface addresses and applications in association with each other
を具備するクライアント端末と、A client terminal comprising:
VPNの仮想インターフェイスのアドレスと、ユーザとを関連付けて記憶するクライアント管理テーブルと、  A client management table for associating and storing VPN virtual interface addresses and users;
前記クライアント端末から接続先の変更要求がなされた場合、前記クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断する手段と、  Means for determining whether or not the virtual interface can be updated based on a policy of a user of the client terminal when a connection destination change request is made from the client terminal;
仮想インタフェースの更新を認めると判断された場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得する手段と、  If it is determined that the update of the virtual interface is permitted, a means for acquiring address information of the virtual interface of the VPN after the update,
前記クライアント管理テーブルの対応するユーザのVPNの仮想インターフェイスのアドレスの情報を前記取得した更新後のVPNの仮想インターフェイスのアドレスの情報に変更する手段と、  Means for changing the address information of the virtual interface of the VPN of the corresponding user in the client management table to the information of the address of the virtual interface of the VPN after the acquired update;
前記取得した更新後のVPNの仮想インターフェイスのアドレスの情報を前記クライアント端末に通知する手段と  Means for notifying the client terminal of address information of the acquired virtual interface of the VPN after the update;
を具備する終端装置とを具備し、A termination device comprising:
前記クライアント端末は、さらに、  The client terminal further includes:
前記仮想インターフェイステーブルのアプリケーションに関連付けて管理されたアドレスを前記終端装置から通知された更新後のVPNの仮想インターフェイスのアドレスの情報に変更する手段を具備することを特徴とする通信制御システム。  A communication control system comprising: means for changing an address managed in association with an application in the virtual interface table to information on an address of an updated VPN virtual interface notified from the end device.
JP2005077266A 2005-03-17 2005-03-17 Communication control system and method Expired - Fee Related JP4279792B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005077266A JP4279792B2 (en) 2005-03-17 2005-03-17 Communication control system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005077266A JP4279792B2 (en) 2005-03-17 2005-03-17 Communication control system and method

Publications (2)

Publication Number Publication Date
JP2006262131A JP2006262131A (en) 2006-09-28
JP4279792B2 true JP4279792B2 (en) 2009-06-17

Family

ID=37100864

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005077266A Expired - Fee Related JP4279792B2 (en) 2005-03-17 2005-03-17 Communication control system and method

Country Status (1)

Country Link
JP (1) JP4279792B2 (en)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4724636B2 (en) * 2006-10-06 2011-07-13 キヤノン株式会社 Protocol processing system and protocol processing method
JP2008289040A (en) * 2007-05-21 2008-11-27 Hitachi Software Eng Co Ltd Method and system for controlling connection destination of terminal pc
JP4649465B2 (en) * 2007-11-30 2011-03-09 富士通株式会社 Virtual network construction program, virtual network construction device, and virtual network construction method
JP5233750B2 (en) * 2009-03-03 2013-07-10 日本電気株式会社 Network system and automatic creation and setting method of virtual network interface
JP5299152B2 (en) * 2009-07-31 2013-09-25 ブラザー工業株式会社 Communication system, communication method, and setting management server
JP6289879B2 (en) * 2013-11-21 2018-03-07 株式会社Nttドコモ Communication terminal, communication method and program
US9571457B1 (en) * 2015-12-15 2017-02-14 International Business Machines Corporation Dynamically defined virtual private network tunnels in hybrid cloud environments
US10142293B2 (en) 2015-12-15 2018-11-27 International Business Machines Corporation Dynamically defined virtual private network tunnels in hybrid cloud environments
JP6917482B2 (en) * 2020-01-14 2021-08-11 三菱電機株式会社 Communication control system, master device, communication control method and communication control program
US11019106B1 (en) 2020-09-22 2021-05-25 Netskope, Inc. Remotely accessed controlled contained environment
CN113438178B (en) * 2021-06-22 2023-04-18 北京天融信网络安全技术有限公司 Message forwarding method and device, computer equipment and storage medium

Also Published As

Publication number Publication date
JP2006262131A (en) 2006-09-28

Similar Documents

Publication Publication Date Title
JP4279792B2 (en) Communication control system and method
EP1994673B1 (en) Role aware network security enforcement
US7636938B2 (en) Controlling network access
JP5548228B2 (en) System and method for managing a network
JP5862577B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, POLICY MANAGEMENT DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP5062967B2 (en) Network access control method and system
KR101143050B1 (en) Managing access to a network
US20060156391A1 (en) Method and apparatus providing policy-based revocation of network security credentials
US8019891B2 (en) Network connection control technique, network connection technique and authentication apparatus
US20070118740A1 (en) Authentication method and information processor
US11799844B2 (en) Secure communication network
JP4915182B2 (en) Information management method and information processing apparatus
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
JP2008072655A (en) Service communication control method, service relaying apparatus and service communication control system
JP2019220934A (en) Information processing apparatus, control method of the same, and program of the same
JP6076276B2 (en) Communication system and communication method
JP2012070225A (en) Network relay device and transfer control system
KR101628534B1 (en) VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL
JP4302004B2 (en) Packet filter setting method and packet filter setting system
JP2011525765A (en) Router associated with the secure device
JP3887325B2 (en) Data communication network system and data communication network connection control method
JP5497548B2 (en) COMMUNICATION SYSTEM, TRANSFER CONTROL DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20071112

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080612

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080624

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080808

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090217

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090312

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120319

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees