JP4279792B2 - Communication control system and method - Google Patents
Communication control system and method Download PDFInfo
- Publication number
- JP4279792B2 JP4279792B2 JP2005077266A JP2005077266A JP4279792B2 JP 4279792 B2 JP4279792 B2 JP 4279792B2 JP 2005077266 A JP2005077266 A JP 2005077266A JP 2005077266 A JP2005077266 A JP 2005077266A JP 4279792 B2 JP4279792 B2 JP 4279792B2
- Authority
- JP
- Japan
- Prior art keywords
- client terminal
- vpn
- virtual interface
- virtual
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、例えばリモートアクセス時にVPN(Virtual Private Network)接続先のネットワークを変更するために所謂仮想インタフェースをマネジメントする通信制御システム及び方法に関する。 The present invention relates to a communication control system and method for managing a so-called virtual interface in order to change a VPN (Virtual Private Network) connection destination network during remote access, for example.
従来、IPsec(Internet Protocol security)、SSL(Secure Socket Layer)、PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer2 Tunneling Protocol)等といった所謂トンネリングプロトコルを利用したネットワークの接続方式としてのVPN接続を行った場合において、接続先のネットワークを変更するときに、接続先のルーチングテーブルを変更する技術が開発されている。即ち、この技術では、アクセス先のVLAN側のルータのACL(Access Control List)を動的に変更することにより、リモートアクセスユーザの接続先ネットワークを制御することとしている。このほか、IPパケットのヘッダの中に含まれるフィールドの一つであるのTOS(Type Of Service)フィールドに所定の命令を包含させ接続先のネットワークを変更する技術もある。
Conventionally, VPN connection as a network connection method using a so-called tunneling protocol such as IPsec (Internet Protocol security), SSL (Secure Socket Layer), PPTP (Point-to-Point Tunneling Protocol), L2TP (
しかしながら、上記従来技術では、接続先のネットワークとVPNクライアント端末とが1対1で対応しているため、用途に応じて(例えば、セキュリティレベルの高い情報を取り扱うための接続先のネットワークの切り換え等)ネットワークを使い分けることができず、その都度、接続先のネットワークを変更する必要がある。 However, in the above prior art, the connection destination network and the VPN client terminal have a one-to-one correspondence. Therefore, depending on the application (for example, switching of the connection destination network for handling information with a high security level, etc.) ) The network cannot be used properly, and it is necessary to change the connection destination network each time.
本発明の目的とするところは、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とすることにある。 An object of the present invention is to enable simultaneous connection to different connection destinations and to add, delete, and change connection destinations as necessary.
上記目的を達成するために、本発明の第1の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、上記クライアント端末より接続先の変更要求がなされた場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する終端装置、を有することを特徴とする通信制御システムが提供される。 In order to achieve the above object, according to the first aspect of the present invention, a client terminal performs remote access via a physical interface in which virtual interfaces of a plurality of VPNs (Virtual Private Networks) associated with a plurality of applications are mounted. In this case, in the communication control system for controlling the change of the connection destination network, when the connection destination change request is made from the client terminal, whether or not the virtual interface can be updated is determined based on the policy of the user of the client terminal. If it is determined and the virtual interface is allowed to be updated, information on the address of the updated virtual interface of the VPN is acquired, and the address information of the virtual interface of the VPN managed in association with the application in the client terminal is changed. The relevant There is provided a communication control system comprising a termination device for notifying the client terminal of the obtained address information.
本発明の第2の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、所定の場合にトリガを発生するトリガ装置と、上記トリガ装置より接続先の変更に係るトリガを受けた場合に、当該クライアント端末のユーザのポリシに基づいて仮想インタフェースの更新の可否を判断し、更新を認める場合には更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する終端装置と、を有することを特徴とする通信制御システムが提供される。 In the second aspect of the present invention, when a client terminal performs remote access via a physical interface in which virtual interfaces of a plurality of VPNs (Virtual Private Networks) associated with a plurality of applications are mounted, the network of the connection destination is changed. A communication control system that controls a virtual machine based on a policy of a user of the client terminal when a trigger device that generates a trigger in a predetermined case and a trigger related to a change of a connection destination are received from the trigger device. Judgment of whether or not the interface can be updated. If the update is permitted, the information of the virtual interface address of the updated VPN is acquired and the address information of the virtual interface of the VPN managed in association with the application in the client terminal is changed. In order to There is provided a communication control system comprising: a terminal device that notifies the client terminal of address information.
本発明の第3の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、クライアント端末のユーザのポリシを管理するグループスケジューラと、グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、上記クライアント端末より接続先の変更の要求がなされた場合には、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、仮想インタフェース設定情報を取得し、当該取得した設定情報に基づいて上記クライアント管理テーブルを更新し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得した仮想インタフェース設定情報を上記クライアント端末に通知する、ことを特徴とする通信制御システムが提供される。 In the third aspect of the present invention, when a client terminal performs remote access via a physical interface in which virtual interfaces of a plurality of VPNs (Virtual Private Networks) associated with a plurality of applications are mounted, the network of the connection destination is changed. A group scheduler for managing the policy of the user of the client terminal, a group permission table and a client management table, and a termination device for controlling the connection of the client terminal to the network, The terminal device refers to the group permission table to determine whether the virtual interface can be changed or added, and the group scheduler The client terminal The termination device determines whether or not the virtual interface can be changed or added based on the policy of the user, and if the termination device recognizes the change or addition of the virtual interface based on the determination result, acquires the virtual interface setting information, In order to update the client management table based on the acquired setting information and change the address information of the virtual interface of the VPN managed in association with the application in the client terminal, the acquired virtual interface setting information is stored in the client. A communication control system characterized by notifying a terminal is provided.
本発明の第4の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、所定の場合にトリガを発生するトリガ装置と、クライアント端末のユーザのポリシを管理するグループスケジューラと、グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、上記トリガ装置より接続先の変更に係るトリガを受けた場合に、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、VPNの仮想インタフェース設定情報を取得し、当該取得したVPNの仮想インタフェース設定情報に基づいて上記クライアント管理テーブルを更新し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を追加或いは変更するために、当該取得した仮想インタフェース設定情報を上記クライアント端末に通知する、ことを特徴とする通信制御システムが提供される。 In the fourth aspect of the present invention, when a client terminal performs remote access via a physical interface that implements a plurality of VPN (Virtual Private Network) virtual interfaces associated with a plurality of applications, the connection destination network is changed. A communication control system for controlling a client device, which holds a trigger device that generates a trigger in a predetermined case, a group scheduler that manages a user policy of a client terminal, a group permission table, and a client management table, A termination device that controls connection to the network, and when the termination device receives a trigger for changing the connection destination from the trigger device, the termination device refers to the group permission table to change the virtual interface. Alternatively, determine whether or not to add, and -Loop scheduler determines whether to change or add the virtual interface based on the policy of the user of the client terminal, the terminating device, when the acknowledge change or add the virtual interface on the basis of these determination results, VPN virtual Acquires interface setting information, updates the client management table based on the acquired VPN virtual interface setting information, and adds or changes address information of a VPN virtual interface managed in association with an application in the client terminal. For this purpose, a communication control system is provided that notifies the client terminal of the acquired virtual interface setting information.
本発明の第5の態様では、上記第1乃至第4の態様において、上記クライアント端末は、少なくともアプリケーションIDと接続先グループを対応付けて管理するアプリケーション許可テーブルを保持し、アプリケーションの起動時には上記アプリケーション許可テーブルにより当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする通信制御システムが提供される。 According to a fifth aspect of the present invention, in the first to fourth aspects, the client terminal holds an application permission table that manages at least an application ID and a connection destination group in association with each other. There is provided a communication control system further characterized by determining whether or not the application can be associated with a virtual interface based on a permission table.
本発明の第6の態様では、上記第1乃至第4の態様において、上記クライアント端末は、アプリケーションの起動時には、電子証明書の情報に基づいて当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする通信制御システムが提供される。 In a sixth aspect of the present invention, in the first to fourth aspects, the client terminal determines whether or not the application can be associated with the virtual interface based on the information of the electronic certificate when the application is activated. A communication control system is further provided.
本発明の第7の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御方法であって、終端装置が、接続先の変更要求を受理した場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する、ことを特徴とする通信制御方法が提供される。 In the seventh aspect of the present invention, when a client terminal performs remote access via a physical interface in which virtual interfaces of a plurality of VPNs (Virtual Private Networks) associated with a plurality of applications are mounted, the connection destination network is changed. In the communication control method for controlling the network interface, when the terminating device accepts the connection destination change request, it determines whether the virtual interface can be updated based on the policy of the user of the client terminal, and updates the virtual interface. In the case of approval, information on the address of the virtual interface of the updated VPN is obtained, and information on the obtained address is used to change the address information of the virtual interface of the VPN managed in association with the application in the client terminal. The above client terminal A communication control method is provided.
本発明によれば、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とする通信制御システム及び方法を提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the communication control system and method which can be connected to a different connection destination simultaneously, and can add, delete, change a connection destination as needed can be provided.
以下、図面を参照して、本発明の実施の形態について説明する。 Embodiments of the present invention will be described below with reference to the drawings.
先ず、図1には本発明の第1乃至第4の実施の形態に係る通信制御システムに共通する基本構成図を示し説明する。図1に示されるように、VPNクライアント端末1は、センタ側VPN終端装置2を介してリモートアクセス先のL3デバイス3に接続され、当該L3デバイス3を介して各グループ19に接続される。VPNクライアント端末1は仮想インタフェース12を搭載した物理インタフェース13を有する。ここでは、両者を分離して図示しているが、実際にはグループ19のIDを仮想的インタフェース12に対応付けることで、アプリケーション11a,11b,11c…と仮想インタフェース12との紐付けを行っている。
First, FIG. 1 shows a basic configuration diagram common to the communication control systems according to the first to fourth embodiments of the present invention. As shown in FIG. 1, the VPN client terminal 1 is connected to the remote access
センタ側VPN終端装置2は、それぞれVPNクライアント端末1との通信のための物理インタフェース15、L3デバイス3との通信のための物理インタフェース16を有している。L3デバイス3は、このセンタ側VPN終端装置2との通信のための物理インタフェース17とグループ19の各々に対応する仮想インタフェース18とを有している。
The center-side
この他、本システムは、接続ポリシの管理を行うグループスケジューラ4、どのようなタイミングでネットワークを切り換えるかを制御する(例えば検疫システム等)トリガシステム5、後述する各種テーブルを管理するコントローラ6を有する。
In addition, the system includes a
この通信制御システムでは、複数の仮想インタフェース12を1つの物理インタフェース13に搭載しており、当該仮想インタフェース12を通してアプリケーション(例えばブラウザやメーラー等)11a,11b,11c…(以下、符号11で総称する)が用途に応じて仮想インタフェース12を使い分ける。つまり、アプリケーション11a,11b,11c…と仮想インタフェース12とを紐付けている。
In this communication control system, a plurality of
より具体的には、グループ19(狭義にはVLANを指す)のIDを仮想的インタフェース12に対応付けることで、アプリケーション11a,11b,11c…と仮想インタフェース12との紐付けを行う。これを実現するために、本システムでは、アプリケーション11a,11b,11c…の認証、アプリケーション11a,11b,11c…のグループの割り当て、仮想インタフェース12の管理(追加、削除、変更)を行う。
More specifically, by associating the ID of the group 19 (referring to VLAN in a narrow sense) with the
ここで、センタ側VPN終端装置2は、図2に示されるVPNクライアント管理テーブルと、図3に示されるグループ許可テーブルと、を保持している。
Here, the center-side
即ち、VPNクライアント管理テーブルでは、VPNクライアントユーザ名とグループID、VPN用IPアドレス、実IPアドレス等が対応付けられて記憶されている。このVPNクライアント管理テーブルは随時更新される。その一方、グループ許可テーブルでは、ユーザIDと接続可能グループリスト、デフォルトグループが対応付けられて記憶されている。このグループ許可テーブルは、事前に登録されており、センタ側VPN終端装置2で保持もしくは初回認証時にVPNクライアント端末1に当該クライアントに関連する部分が配信される。
That is, in the VPN client management table, a VPN client user name and a group ID, a VPN IP address, a real IP address, and the like are stored in association with each other. This VPN client management table is updated as needed. On the other hand, in the group permission table, a user ID, a connectable group list, and a default group are stored in association with each other. This group permission table is registered in advance, and the portion related to the client is distributed to the VPN client terminal 1 at the time of holding or initial authentication by the center side
グループスケジューラ4は、図4に示されるテーブルを保持している。
The
即ち、このテーブルでは、ユーザIDと時間制約、曜日制約等の制約条件が対応付けられて記憶されている。このテーブルはグループスケジューラ4上で随時更新されるが、その更新の頻度は上記VPNクライアント管理テーブルの更新に比して少ない。このテーブルでは、ユーザ毎の設定のみならず、グループ毎の設定をも管理することができる。
That is, in this table, user IDs are stored in association with constraint conditions such as time constraints and day-of-week constraints. This table is updated on the
VPNクライアント端末1は、図5に示されるような仮想インタフェーステーブルを保持している。即ち、この仮想インタフェーステーブルでは、グループIDとVPN用IPアドレス、接続中アプリケーションの種別(特定)情報が対応付けられている。この仮想インタフェーステーブルは、VPNクライアント端末1上で起動されるアプリケーションの状況等に応じて随時更新されるようになっている。尚、接続中のアプリケーションが存在する場合には、仮想インタフェース12の上書きは禁止される。ただし、仮想インタフェースの削除要求を受信した場合は、アプリケーションの存在に関わらず仮想インタフェースの削除が実行される。
The VPN client terminal 1 holds a virtual interface table as shown in FIG. That is, in this virtual interface table, the group ID, the VPN IP address, and the type (specific) information of the connected application are associated with each other. This virtual interface table is updated at any time according to the status of applications started on the VPN client terminal 1. When there is a connected application, overwriting of the
コントローラ6は、図6に示されるアプリケーション許可テーブルを保持している。 The controller 6 holds the application permission table shown in FIG.
即ち、このアプリケーション許可テーブルでは、ユーザ名とアプリケーションID、接続先グループが対応付けられて記憶されている。このテーブルは事前に登録されるものであり、当該テーブルに登録されているアプリケーション11のみが認証され、認証されたアプリケーション11は接続先グループの仮想インタフェースにバインドされる。 That is, in this application permission table, a user name, an application ID, and a connection destination group are stored in association with each other. This table is registered in advance, and only the application 11 registered in the table is authenticated, and the authenticated application 11 is bound to the virtual interface of the connection destination group.
以上の構成において、VPNクライアント端末1が接続先グループ19と通信するために設ける仮想インタフェース12について接続先を変更する方法は2通りである。
In the above configuration, there are two methods for changing the connection destination for the
(1)仮想インタフェース12を上書きする方法
(2)仮想インタフェース12を新たに追加する方法
(3)仮想インタフェース12を削除する方法
さらに、仮想インタフェース12を利用するアプリケーション11を仮想インタフェース12へ割り当てる方法は2通りである。
(1) Method of overwriting the virtual interface 12 (2) Method of newly adding the virtual interface 12 (3) Method of deleting the
(4)アプリケーション許可テーブル(図6)を用いる方法
(5)電子証明書を用いる方法
以下、上記各場合(1)〜(5)を第1乃至第4の実施の形態として説明する。
(4) Method Using Application Permission Table (FIG. 6) (5) Method Using Electronic Certificate Hereinafter, the above cases (1) to (5) will be described as the first to fourth embodiments.
(第1の実施の形態)
本発明の第1の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、仮想インタフェース12を上書きする。ここで、「仮想インタフェース12の上書き」とは、仮想インタフェース12に割り当てるIPアドレスを再度割り当て直すことをいう。具体的には、アドレス変更のタイプと検疫システムの有無により以下の4つのパターンに分類される。即ち、「Push型(サーバ側から変更)」について、検疫システム無しのパターン1と検疫システム有のパターン2、「Pull型(クライアント側から変更)」について、検疫システム無しのパターン3と検疫システム有のパターン4、の4つである。そして、「検疫システム無」とはIPアドレス変更のトリガを特定しないことを意味し、「検疫システム有」とはトリガを検疫システムに限定することを意味する。アドレス変更について、「Push型」とはVPNクライアント端末1のIPアドレスをセンタ側VPN終端装置2が強制変更することを意味し、「Pull型」とはVPNクライアント端末1がIPアドレス変更を要求することを意味する。
(First embodiment)
In the communication control system according to the first embodiment of the present invention, the
以下、図7のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムによるVPNクライアント端末1の初回接続時の処理を説明する。 Hereinafter, with reference to the flowchart of FIG. 7, the process at the time of the initial connection of the VPN client terminal 1 by the communication control system which concerns on the 1st Embodiment of this invention is demonstrated.
VPNクライアント端末1とセンタ側VPV終端装置2との間でVPN接続が開始されると(ステップS1)、センタ側VPN終端装置2はグループスケジューラ4にポリシの問い合わせを行う(ステップS2)。グループスケジューラ4には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したようなテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS4)。
When the VPN connection is started between the VPN client terminal 1 and the center-side VPN termination device 2 (step S1), the center-side
センタ側VPN終端装置2は、この判定結果がNG(制約に合致)の場合には、VPNクライアント端末1に対してVPN接続を拒否する旨を通知する(ステップS5)。
If the determination result is NG (matches the restriction), the center-side
一方、この判定結果がOK(制約に該当せず)の場合には、センタ側VPN終端装置2は図3に示したグループ許可テーブルを参照し、ユーザIDに対応するデフォルトグループの情報を取得し、例えばDHCPサーバより当該デフォルトグループのネットワーク設定情報を取得する(ステップS7)。ここで、「グループ」とは、接続先のネットワークの一つ一つを意味しており、狭義にはVLANが該当する。「デフォルトグループ」とは、最初にVPN接続された時点で接続されるグループをいう。
On the other hand, if this determination result is OK (not applicable), the center side
続いて、センタ側VPN終端装置2は、コントローラ6よりアプリケーション許可テーブル或いは電子証明書を取得し(ステップS8)、これら情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS9)、更にルーチングテーブルを更新して(ステップS10)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS11)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知し(ステップS12)、VPN接続を完了する(ステップS13)。尚、電子証明書にはユーザ毎のアプリケーション許可テーブルが情報として含められている。
Subsequently, the center side
次に図8のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムにおいてVPNクライアント端末1からの働きかけにより接続先のネットワークを変更する場合(Pull型)の動作を説明する。 Next, with reference to the flowchart of FIG. 8, description will be given of the operation when the network of the connection destination is changed by the action from the VPN client terminal 1 in the communication control system according to the first embodiment of the present invention (Pull type). To do.
センタ側VPN終端装置2がVPNクライアント端末1を特定のグループに接続済みの状況において(ステップS21)、VPNクライアント端末1が仮想インタフェーステーブル(図5)を参照し、どのグループに現在接続されているかを把握した上で変更先を特定し(ステップS22)、センタ側VPN終端装置2に対して接続先の変更要求を行うと(ステップS23)、センタ側VPN終端装置2は、この要求を受け、グループ許可テーブル(図3)を参照し、変更する資格があるか否かを判定し、資格が無い場合には、その旨(NG)をVPNクライアント端末1に通知する。
In a situation where the
一方、資格がある場合には、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS25)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS26,S27)。
On the other hand, if there is a qualification, a policy inquiry is made to the group scheduler 4 (step S25). Since the policy of the VPN client terminal 1 (user) to be connected is registered in the
センタ側VPN終端装置2は、この判定結果をVPNクライアント端末1に対して通知する(ステップS28)。VPNクライアント端末1は、変更が許可された場合、センタ側VPN終端装置2に対して仮想インタフェース設定情報を要求する(ステップS29)。センタ側VPN終端装置2は、この要求を受けると、DHCPサーバより仮想インタフェース設定情報を取得する(ステップS30)。センタ側VPN終端装置2は、この情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS31)、更にルーチングテーブルを更新し(ステップS32)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS33)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知する(ステップS34)。以上で変更の処理を終了する。
The center-side
次に図9のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムにおいてトリガシステム5からの働きかけにより接続先のネットワークを強制変更する場合(Push型)の動作を説明する。 Next, with reference to the flowchart of FIG. 9, description will be given of the operation when the network of the connection destination is forcibly changed by the action from the trigger system 5 in the communication control system according to the first embodiment of the present invention (Push type). To do.
例えば検疫システムとしてのトリガシステム5が、ウィルス感染の疑いを検知したような場合には、グループ変更トリガをコントローラ6に送信する(ステップS40)。 For example, when the trigger system 5 as a quarantine system detects a suspicion of virus infection, a group change trigger is transmitted to the controller 6 (step S40).
このようなトリガが入ると、コントローラ6は、グループ変更要求をセンタ側VPN終端装置2に送信する(ステップS41)。センタ側VPN終端装置2は、この要求を受けると、VPNクライアント管理テーブル(図2)を参照し、変更先の仮想インタフェースを所有している場合には、上書きの必要がないものと判断し、その旨をグループスケジューラ4、更にはトリガシステム5に通知する(ステップS43)。
When such a trigger is entered, the controller 6 transmits a group change request to the center side VPN terminating device 2 (step S41). Upon receiving this request, the center-side
一方、変更先の仮想インタフェースを所有していない場合には、グループ許可テーブル(図3)を参照し、接続可能なグループリストを参照する(ステップS44)。そして、変更先として定めることができないグループである場合には、仮想インタフェース12を変更できない旨(NG)をコントローラ6に通知する(ステップS45)。
On the other hand, when the change destination virtual interface is not owned, the group permission table (FIG. 3) is referred to and the connectable group list is referred to (step S44). If the group cannot be determined as the change destination, the controller 6 is notified that the
これに対して、変更先として定めることができるグループである場合には、センタ側VPN終端装置2はVPNクライアント端末1に対してアプリケーションの接続状況の確認を要求する(ステップS46)。アプリケーションが接続中である場合には仮想インタフェースの接続先を変更すると不具合が生じる可能性があるからである。
On the other hand, if it is a group that can be determined as a change destination, the center side
VPNクライアント端末1は、この要求を受けると、仮想インタフェーステーブル(図5)を参照して、接続中のアプリケーションの存在、状況を確認し(ステップS47)、その確認結果に基づいて、変更先としてよいか否か(OK/NG)をセンタ側VPN終端装置2に通知する(ステップS48)。センタ側VPN終端装置2は、この結果がNGである場合、コントローラ6に変更できない旨を通知する(ステップS49)。
Upon receiving this request, the VPN client terminal 1 refers to the virtual interface table (FIG. 5), confirms the existence and status of the application being connected (step S47), and determines the change destination based on the confirmation result. Whether or not it is acceptable (OK / NG) is notified to the center side VPN terminating device 2 (step S48). If the result is NG, the center side
一方、結果がOK、つまり変更可能である場合には、センタ側VPN終端装置2は、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS50)。
On the other hand, if the result is OK, that is, it can be changed, the center-side
このグループスケジューラ4には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS51,S52)。
Since the policy of the VPN client terminal 1 (user) to be connected is registered in the
センタ側VPN終端装置2は、変更が許可された場合、DHCPサーバより仮想インタフェース設定情報を取得し(ステップS53)、この仮想インタフェース設定情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS54)、ルーチングテーブルを更新し(ステップS55)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS56)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知する(ステップS57)。以上で変更の処理を終了する。
When the change is permitted, the center side
(第2の実施の形態)
本発明の第2の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、仮想インタフェース12を追加する。ここで、「仮想インタフェース12を追加する」とは、新たに仮想インタフェース12を作成し、IPアドレスを割り当てることを意味する。この場合も第1の実施の形態と同様、4パターンに分類される。
(Second embodiment)
In the communication control system according to the second embodiment of the present invention, the
本発明の第2の実施の形態に係る通信制御システムによるVPNクライアント端末1の初回接続時の処理は第1の実施の形態と同様である。 The process at the time of the initial connection of the VPN client terminal 1 by the communication control system according to the second embodiment of the present invention is the same as that of the first embodiment.
次に図10のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてVPNクライアント端末1からの働きかけにより接続先のネットワークを追加する場合(Pull型)の動作を説明する。 Next, with reference to the flowchart of FIG. 10, description will be given of the operation when a network to connect to is added by the action from the VPN client terminal 1 in the communication control system according to the second embodiment of the present invention (Pull type). To do.
前提として、VPNクライアント端末1はVPN接続中である(ステップS80)。そのような状況下、例えばアプリケーション11が起動された場合等に、仮想インタフェースの追加のためのトリガが発生すると(ステップS81)、VPNクライアント端末1はセンタ側VPN終端装置2に仮想インタフェースの追加要求を行う(ステップS82)。
As a premise, the VPN client terminal 1 is in VPN connection (step S80). Under such circumstances, for example, when the application 11 is activated, and a trigger for adding a virtual interface occurs (step S81), the VPN client terminal 1 requests the center-side
センタ側VPN終端装置2は、この要求を受けると、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS83)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS84,S85)。センタ側VPN終端装置2は、この判定結果がNG(制約に合致)である場合には仮想インタフェースの追加ができない旨をVPNクライアント端末1に対して通知する(ステップS86)。一方、判定結果がOK(制約に該当せず)である場合には、センタ側VPN終端装置2は、DHCPサーバより仮想インタフェース設定情報を取得し(ステップS87)、VPNクライアント端末1に当該仮想インタフェース設定情報を通知する(ステップS88)。VPNクライアント端末1は、この仮想インタフェース設定情報に基づいて仮想インタフェーステーブル(図5)を更新する(ステップS92)。
Upon receiving this request, the center side
次いで、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS89)、更にルーチングテーブルを更新し(ステップS90)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS91)。以上で仮想インタフェースの追加処理(Pull型)を終了する。
Next, the center-side
次に図11のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてサーバ側からの働きかけにより接続先のネットワークを強制追加する場合(Push型)の動作を説明する。 Next, with reference to the flowchart of FIG. 11, description will be given of an operation in the case where a connection destination network is forcibly added by an action from the server side in the communication control system according to the second embodiment of the present invention (Push type). .
前提として、VPNクライアント端末1はVPN接続中である(ステップS100)。そのような状況下で、例えば検疫システムとしてのトリガシステム5が、ウィルス感染の疑いを検知したような場合には、仮想インタフェース追加トリガをコントローラ6に送信する(ステップS101,S102)。このようなトリガが入ることにより、コントローラ6は、仮想インタフェース追加要求をセンタ側VPN終端装置2に送信する(ステップS103)。センタ側VPN終端装置2は、この要求を受けると、VPNクライアント管理テーブル(図2)を参照し(ステップS104)、追加先の仮想インタフェースを所有している場合には、追加の必要がないものと判断し、その旨をグループスケジューラ4、更にはトリガシステム5に通知する(ステップS105)。
As a premise, the VPN client terminal 1 is in VPN connection (step S100). Under such circumstances, for example, when the trigger system 5 as a quarantine system detects a suspected virus infection, a virtual interface addition trigger is transmitted to the controller 6 (steps S101 and S102). When such a trigger is entered, the controller 6 transmits a virtual interface addition request to the center side VPN terminating device 2 (step S103). Upon receiving this request, the center-side
一方、変更先の仮想インタフェースを所有していない場合には、グループ許可テーブル(図3)を参照し、接続可能なグループリストを参照する(ステップS106)。 On the other hand, when the change destination virtual interface is not owned, the group permission table (FIG. 3) is referred to and a connectable group list is referred to (step S106).
そして、制約条件より追加先として定めることができないグループである場合には、仮想インタフェースを追加できない旨(NG)をコントローラ6に通知する(ステップS107)。これに対して、追加先として定めることができるグループである場合には、センタ側VPN終端装置2は、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS108)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS109,S110)。
If the group cannot be determined as an addition destination due to the constraint condition, the controller 6 is notified that the virtual interface cannot be added (NG) (step S107). On the other hand, in the case of a group that can be determined as an addition destination, the center-side
センタ側VPN終端装置2は、判定結果がOK(制約に該当せず)である場合には、DHCPサーバより仮想インタフェース追加設定情報を取得し(ステップS111)、VPNクライアント端末1に対して当該仮想インタフェース追加設定情報を通知する(ステップS112)。VPNクライアント端末1は、この仮想インタフェース追加設定情報に基づいて仮想インタフェーステーブル(図5)を更新する(ステップS116)。
When the determination result is OK (does not correspond to the restriction), the center side
次いで、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS113)、ルーチングテーブルを更新し(ステップS114)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS115)。以上で仮想インタフェースの追加処理(Push型)を終了する。
Next, the center-side
次に、図12のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてクライアント側からの働きかけにより仮想インタフェースを削除する場合の動作を説明する。 Next, with reference to the flowchart of FIG. 12, an operation when a virtual interface is deleted by an action from the client side in the communication control system according to the second embodiment of the present invention will be described.
前提として、VPNクライアント端末1はVPN接続中である(ステップS120)。そのような状況下、VPNクライアント端末1により仮想インタフェースの削除要求がなされると(ステップS121)、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS122)、仮想インタフェースが削除済みである旨をVPNクライアント端末1に通知する(ステップS123)。これ以後、VPNクライアント端末1により当該仮想インタフェースのIPアドレスが開放され(ステップS124)、仮想インタフェーステーブル(図5)が更新される(ステップS127)。さらに、センタ側VPN終端装置2がルーチングテーブルを更新し(ステップS125)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS126)。
As a premise, the VPN client terminal 1 is in a VPN connection (step S120). Under such circumstances, when the virtual client deletion request is made by the VPN client terminal 1 (step S121), the center side
次に、図13のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてサーバ側からの働きかけにより仮想インタフェースを削除する場合の動作を説明する。 Next, with reference to the flowchart of FIG. 13, an operation when a virtual interface is deleted by an action from the server side in the communication control system according to the second embodiment of the present invention will be described.
前提として、VPNクライアント端末1はVPN接続中である(ステップS150)。そのような状況下で、例えば検疫システムとしてのトリガシステム5が、ユーザを特定のグループから隔離させたい場合等には、仮想インタフェース削除トリガをコントローラ6に送信する(ステップS151,S152)。このようなトリガが入ることにより、コントローラ6は、仮想インタフェース削除要求をセンタ側VPN終端装置2に送信する(ステップS153)。センタ側VPN終端装置2は、この削除要求を受けると、VPNクライアント管理テーブル(図2)を参照し(ステップS154)、削除すべき仮想インタフェースを所有している場合にはその旨(OK)をコントローラ6に通知し(ステップS155)、所有していない場合にはその旨(NG)をトリガシステム5に通知する(ステップS156)。
As a premise, the VPN client terminal 1 is in VPN connection (step S150). Under such circumstances, for example, when the trigger system 5 as a quarantine system wants to isolate the user from a specific group, a virtual interface deletion trigger is transmitted to the controller 6 (steps S151 and S152). When such a trigger is entered, the controller 6 transmits a virtual interface deletion request to the center-side VPN terminating device 2 (step S153). When the center-side
続いて、センタ側VPN終端装置2は、仮想インタフェースが削除命令をVPNクライアント端末1に通知する(ステップS157)。これ以後、VPNクライアント端末1により当該仮想インタフェースのIPアドレスが開放され(ステップS158、仮想インタフェーステーブル(図5)が更新される(ステップS161)。さらに、センタ側VPN終端装置2がルーチングテーブルを更新し(ステップS159)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS160)。
Subsequently, in the center side
(第3の実施の形態)
本発明の第3の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、アプリケーション許可テーブル(図6)を用いる。ここで、「アプリケーション許可テーブルを用いる場合」とは、アプリケーション起動時にどの仮想インタフェースに紐つけるかを判断するためのデータとして、VPN接続時にコントローラ6から配信されるアプリケーション許可テーブル(図6)を利用することを意味する。
(Third embodiment)
In the communication control system according to the third embodiment of the present invention, an application permission table (FIG. 6) is used to change the connection destination network. Here, “when using an application permission table” refers to using an application permission table (FIG. 6) distributed from the controller 6 during VPN connection as data for determining which virtual interface to associate with when the application is started. It means to do.
以下、図14のフローチャートを参照して、本発明の第3の実施の形態に係る通信制御システムによるアプリケーション認証時の処理を詳細に説明する。 Hereinafter, with reference to the flowchart of FIG. 14, the process at the time of application authentication by the communication control system according to the third embodiment of the present invention will be described in detail.
前提として、VPNクライアント端末1はVPN接続中である(ステップS201)。そのような状況下、VPNクライアント端末1においてアプリケーションが起動されるとアプリケーションIDが取得され(ステップS203)、当該アプリケーションIDにより特定されるアプリケーション11の接続の可否をアプリケーション許可テーブル(図6)を参照して判断する(ステップS204)。その結果、当該アプリケーション11の接続が許可されていない場合には、当該アプリケーション11の利用を不可とするか(ステップS205)、デフォルトの仮想インタフェース12に接続する(ステップS206)。
As a premise, the VPN client terminal 1 is in a VPN connection (step S201). Under such circumstances, when an application is started in the VPN client terminal 1, an application ID is acquired (step S203), and the application permission table (FIG. 6) is referred to as to whether or not the application 11 specified by the application ID can be connected. (Step S204). As a result, when the connection of the application 11 is not permitted, the use of the application 11 is disabled (step S205) or the default
一方、当該アプリケーション11の接続が許可されている場合には、対応する仮想インタフェース12の有無を確認し(ステップS207)、該当する仮想インタフェース12が存在する場合には当該仮想インタフェースにバインドし(ステップS209)、該当する仮想インタフェース12が存在しない場合には、第1及び第2の実施の形態で前述した仮想インタフェース12の追加処理に入る(ステップS208)。
On the other hand, if the connection of the application 11 is permitted, the presence / absence of the corresponding
(第4の実施の形態)
本発明の第4の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、電子証明書を用いる。ここで、「電子証明書を用いる場合」とは、アプリケーション起動時に、どの仮想インタフェース12に紐付けるかを判断するためのデータとしてVPN接続時にコントローラ6から配信されるアプリケーション許可電子証明書を利用することを意味する。このアプリ許可電子証明書のフォーマットは、例えばRF3820 X509 Proxy Certificateに準ずる。この証明書のプロキシポリシ(Proxy Policy)に含める内容は、アプリケーション許可テーブル(図6)を参照し、発行者はコントローラ6とし、有効期限はグループスケジューラ4を参照して決定する。
(Fourth embodiment)
In the communication control system according to the fourth embodiment of the present invention, an electronic certificate is used to change the connection destination network. Here, “when using an electronic certificate” means using an application-permitted electronic certificate distributed from the controller 6 at the time of VPN connection as data for determining which
先ず、図15のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる電子証明書の発行に関する処理を説明する。 First, with reference to the flowchart of FIG. 15, processing related to issuance of an electronic certificate by the communication control system according to the fourth embodiment of the present invention will be described.
VPNクライアント端末1がセンタ側VPN終端装置2とVPN接続すると(ステップS210)、当該センタ側VPN終端装置2はコントローラ(ここでは、証明書発行局として機能する)6に対して証明書発行要求(発行対象者の情報としてユーザIDを含む)を行う(ステップS211)。コントローラ6は、この要求を受けると、グループスケジューラ4に対してユーザポリシを問い合わせ(有効期限の確定)(ステップS212)、アプリケーション許可テーブル(図6)を参照してユーザ権限(ポリシ)を作成し(ステップS213)、当該ポリシの内容を包含した電子証明書を生成し(ステップS214)、当該電子証明書をVPNクライアント端末1に送信する(ステップS215)。
When the VPN client terminal 1 makes a VPN connection with the center-side VPN terminator 2 (step S210), the center-
次に図16のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる電子証明書の利用に関する処理を説明する。 Next, with reference to the flowchart of FIG. 16, processing related to the use of an electronic certificate by the communication control system according to the fourth embodiment of the present invention will be described.
VPNクライアント端末1においてアプリケーション11が起動されると(ステップS220)、アプリケーションIDを取得し(ステップS221)、電子証明書(プロキシ証明書)自体の有効性の検証を行う(ステップS222)。これは、ユーザポリシ、ユーザ権限に変更があった場合には、証明書が失効している為、その確認を行うものである。ついで、VPNクライアント端末1は、アプリケーション11の認証を実行する(ステップS223)。このとき、電子証明書内のプロキシポリシを参照し、使用していいかの認証を行うことになる。ついで、仮想インタフェースの有無を確認し(ステップS224)、該当する仮想インタフェースが存在しない場合には、当該アプリケーションの利用を不可とするか(ステップS225)、デフォルトの仮想インタフェースに接続する(ステップS226)。該当する仮想インタフェースが存在する場合には当該仮想インタフェースにバインドし(ステップS228)、或いは仮層インタフェースの追加処理に入る(ステップS227)。 When the application 11 is activated in the VPN client terminal 1 (step S220), an application ID is acquired (step S221), and the validity of the electronic certificate (proxy certificate) itself is verified (step S222). In this case, when the user policy and the user authority are changed, the certificate is revoked, and the confirmation is performed. Next, the VPN client terminal 1 executes authentication of the application 11 (step S223). At this time, the proxy policy in the electronic certificate is referred to authenticate whether it can be used. Next, the presence / absence of a virtual interface is confirmed (step S224). If the corresponding virtual interface does not exist, the use of the application is disabled (step S225), or the default virtual interface is connected (step S226). . When the corresponding virtual interface exists, the virtual interface is bound to the virtual interface (step S228), or the temporary layer interface addition processing is started (step S227).
次に図17のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる証明書失効に関する処理を説明する。 Next, a process related to certificate revocation by the communication control system according to the fourth embodiment of the present invention will be described with reference to the flowchart of FIG.
先ず、VPN接続が切断された場合には(ステップS230)、VPN切断通知(ユーザIDを含む)をコントローラ6に対して行う(ステップS231)。コントローラ6は、この通知を受信するとCRL(失効通知)の生成を行い(ステップS232)、証明書検証サーバに対してCRLの発行を行う(ステップS233)。一方、ユーザ権限に変更が生じた場合には(ステップS234)、コントローラ6は、同様にCRL(失効通知)の生成を行い(ステップS235)、DVCSに対してCRLの発行を行う(ステップS236)。 First, when the VPN connection is disconnected (step S230), a VPN disconnection notification (including the user ID) is sent to the controller 6 (step S231). Upon receiving this notification, the controller 6 generates a CRL (revocation notification) (step S232), and issues a CRL to the certificate verification server (step S233). On the other hand, when the user authority is changed (step S234), the controller 6 similarly generates a CRL (revocation notice) (step S235) and issues a CRL to the DVCS (step S236). .
次に図18のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる証明書再発行に関する処理を説明する。 Next, processing related to certificate reissue by the communication control system according to the fourth embodiment of the present invention will be described with reference to the flowchart of FIG.
VPNクライアント端末1においてアプリケーション11が起動されると(ステップS240)、アプリケーションIDを取得し(ステップS241)、電子証明書(プロキシ証明書)自体の有効性の検証を行う(ステップS242)。これは、ユーザポリシ、ユーザ権限に変更があった場合には、証明書が失効している為、その確認を行うものである。そして、失効している場合には(ステップS244)、VPNクライアント端末1はコントローラ(ここでは、証明書発行局として機能する)6に対して証明書発行要求(発行対象者の情報としてユーザIDを含む)を行う(ステップS244)。 When the application 11 is activated in the VPN client terminal 1 (step S240), the application ID is acquired (step S241), and the validity of the electronic certificate (proxy certificate) itself is verified (step S242). In this case, when the user policy and the user authority are changed, the certificate is revoked, and the confirmation is performed. If it is revoked (step S244), the VPN client terminal 1 sends a certificate issuance request (user ID as issuance target information) to the controller (here functioning as a certificate issuing authority) 6. (Step S244).
コントローラ6は、この要求を受けると、グループスケジューラ4に対してユーザポリシを問い合わせ(有効期限の確定)(ステップS245)、アプリケーション許可テーブル(図6)を参照してユーザ権限(ポリシ)を作成し(ステップS246)、当該ポリシの内容を包含した電子証明書を生成し(ステップS247)、当該電子証明書をVPNクライアント端末1に送信する(ステップS248)。
Upon receiving this request, the controller 6 inquires of the
以上説明したように、本発明の第1乃至第4の実施の形態によれば、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とする通信制御システム及び方法を提供することができる。 As described above, according to the first to fourth embodiments of the present invention, it is possible to connect to different connection destinations at the same time, and to add, delete, change, etc. connection destinations as necessary. Communication control systems and methods can be provided.
以上、本発明の実施の形態について説明したが、本発明はこれに限定される事なくその趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。 The embodiment of the present invention has been described above, but the present invention is not limited to this, and it is needless to say that various improvements and changes can be made without departing from the spirit of the present invention.
1・・・VPNクライアント、2・・・センタ側VPN終端装置、3・・・L3デバイス、4・・・グループスケジューラ、5・・・トリガシステム、6・・・コントローラ、11・・・アプリケーション、12,18・・・仮想インタフェース、14・・・VPN、13,15〜17・・・物理インタフェース、19・・・VPNグループ。 DESCRIPTION OF SYMBOLS 1 ... VPN client, 2 ... Center side VPN termination device, 3 ... L3 device, 4 ... Group scheduler, 5 ... Trigger system, 6 ... Controller, 11 ... Application, 12, 18 ... Virtual interface, 14 ... VPN, 13, 15-17 ... Physical interface, 19 ... VPN group.
Claims (8)
上記クライアント端末より接続先の変更要求がなされた場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する終端装置、
を有することを特徴とする通信制御システム。 A communication control system for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
When a request for changing the connection destination is made from the client terminal, it is determined whether or not the virtual interface can be updated based on the policy of the user of the client terminal . obtains information of the address of the virtual interface, in order to change the address information of the VPN of the virtual interface that is managed in association with the application in the client terminal, terminating device which notifies the information of the address the acquired said client terminal,
A communication control system comprising:
所定の場合にトリガを発生するトリガ装置と、
上記トリガ装置より接続先の変更に係るトリガを受けた場合に、当該クライアント端末のユーザのポリシに基づいて仮想インタフェースの更新の可否を判断し、更新を認める場合には更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する終端装置と、
を有することを特徴とする通信制御システム。 A communication control system for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
A trigger device for generating a trigger in a predetermined case;
When receiving a trigger related to the change of the connection destination from the trigger device, it is determined whether or not the virtual interface can be updated based on the policy of the user of the client terminal, and if the update is permitted, the virtual interface of the updated VPN A terminal device for notifying the client terminal of the acquired address information, in order to change the address information of the virtual interface of the VPN managed in association with the application in the client terminal,
A communication control system comprising:
クライアント端末のユーザのポリシを管理するグループスケジューラと、
グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、
上記クライアント端末より接続先の変更の要求がなされた場合には、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、仮想インタフェース設定情報を取得し、当該取得した設定情報に基づいて上記クライアント管理テーブルを更新し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得した仮想インタフェース設定情報を上記クライアント端末に通知する、
ことを特徴とする通信制御システム。 A communication control system for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
A group scheduler for managing client terminal user policies;
A termination device that holds a group permission table and a client management table, and controls connection of the client terminal to the network;
When the connection destination is requested from the client terminal, the terminal device refers to the group permission table to determine whether the virtual interface can be changed or added, and the group scheduler determines whether the client terminal determine changes or additional possibility the virtual interface based on the user policy, terminator, if it finds a change or addition of the virtual interface on the basis of these determination results, obtains the virtual interface setting information, the update the client management table based on the obtained setting information, in order to change the address information of the VPN of the virtual interface that is managed in association with the application in the client terminal, said client virtual interface setting information the acquired To notify the end,
A communication control system characterized by that.
所定の場合にトリガを発生するトリガ装置と、
クライアント端末のユーザのポリシを管理するグループスケジューラと、
グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、
上記トリガ装置より接続先の変更に係るトリガを受けた場合に、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、VPNの仮想インタフェース設定情報を取得し、当該取得したVPNの仮想インタフェース設定情報に基づいて上記クライアント管理テーブルを更新し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を追加或いは変更するために、当該取得した仮想インタフェース設定情報を上記クライアント端末に通知する、
ことを特徴とする通信制御システム。 A communication control system for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
A trigger device for generating a trigger in a predetermined case;
A group scheduler for managing client terminal user policies;
A termination device that holds a group permission table and a client management table, and controls connection of the client terminal to the network;
When receiving a trigger related to the change of the connection destination from the trigger device, the termination device refers to the group permission table to determine whether the virtual interface can be changed or added, and the group scheduler determines whether the client terminal Based on the user's policy, it is determined whether or not the virtual interface can be changed or added, and the end device obtains VPN virtual interface setting information when the virtual device is allowed to be changed or added based on these determination results. In order to update the client management table based on the acquired VPN virtual interface setting information and add or change the address information of the VPN virtual interface managed in association with the application in the client terminal, the acquired Virtual Notifying the client terminal of the interface setting information.
A communication control system characterized by that.
終端装置が、接続先の変更要求を受理した場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得し、上記クライアント端末におけるアプリケーションに関連付けて管理されるVPNの仮想インターフェイスのアドレス情報を変更するために、当該取得したアドレスの情報を上記クライアント端末に通知する、
ことを特徴とする通信制御方法。 A communication control method for controlling a change of a connection destination network when a client terminal performs remote access through a physical interface that implements a plurality of virtual interfaces of VPN (Virtual Private Network) associated with a plurality of applications. ,
When the terminal device accepts the connection destination change request, it determines whether or not the virtual interface can be updated based on the policy of the user of the client terminal, and when the virtual interface is permitted to be updated , In order to acquire the address information of the virtual interface and change the address information of the virtual interface of the VPN managed in association with the application in the client terminal, the acquired address information is notified to the client terminal.
A communication control method characterized by the above.
前記物理インターフェイスに実装され、複数のアプリケーションに対応付けられた複数のVPN(Virtual Private Network)の仮想インタフェースと、 A plurality of VPN (Virtual Private Network) virtual interfaces implemented in the physical interface and associated with a plurality of applications;
VPNの仮想インターフェイスのアドレスと、アプリケーションとを関連付けて記憶する仮想インターフェイステーブルと Virtual interface table for storing VPN virtual interface addresses and applications in association with each other
を具備するクライアント端末と、A client terminal comprising:
VPNの仮想インターフェイスのアドレスと、ユーザとを関連付けて記憶するクライアント管理テーブルと、 A client management table for associating and storing VPN virtual interface addresses and users;
前記クライアント端末から接続先の変更要求がなされた場合、前記クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断する手段と、 Means for determining whether or not the virtual interface can be updated based on a policy of a user of the client terminal when a connection destination change request is made from the client terminal;
仮想インタフェースの更新を認めると判断された場合には、更新後のVPNの仮想インターフェイスのアドレスの情報を取得する手段と、 If it is determined that the update of the virtual interface is permitted, a means for acquiring address information of the virtual interface of the VPN after the update,
前記クライアント管理テーブルの対応するユーザのVPNの仮想インターフェイスのアドレスの情報を前記取得した更新後のVPNの仮想インターフェイスのアドレスの情報に変更する手段と、 Means for changing the address information of the virtual interface of the VPN of the corresponding user in the client management table to the information of the address of the virtual interface of the VPN after the acquired update;
前記取得した更新後のVPNの仮想インターフェイスのアドレスの情報を前記クライアント端末に通知する手段と Means for notifying the client terminal of address information of the acquired virtual interface of the VPN after the update;
を具備する終端装置とを具備し、A termination device comprising:
前記クライアント端末は、さらに、 The client terminal further includes:
前記仮想インターフェイステーブルのアプリケーションに関連付けて管理されたアドレスを前記終端装置から通知された更新後のVPNの仮想インターフェイスのアドレスの情報に変更する手段を具備することを特徴とする通信制御システム。 A communication control system comprising: means for changing an address managed in association with an application in the virtual interface table to information on an address of an updated VPN virtual interface notified from the end device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005077266A JP4279792B2 (en) | 2005-03-17 | 2005-03-17 | Communication control system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005077266A JP4279792B2 (en) | 2005-03-17 | 2005-03-17 | Communication control system and method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006262131A JP2006262131A (en) | 2006-09-28 |
JP4279792B2 true JP4279792B2 (en) | 2009-06-17 |
Family
ID=37100864
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005077266A Expired - Fee Related JP4279792B2 (en) | 2005-03-17 | 2005-03-17 | Communication control system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4279792B2 (en) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4724636B2 (en) * | 2006-10-06 | 2011-07-13 | キヤノン株式会社 | Protocol processing system and protocol processing method |
JP2008289040A (en) * | 2007-05-21 | 2008-11-27 | Hitachi Software Eng Co Ltd | Method and system for controlling connection destination of terminal pc |
JP4649465B2 (en) * | 2007-11-30 | 2011-03-09 | 富士通株式会社 | Virtual network construction program, virtual network construction device, and virtual network construction method |
JP5233750B2 (en) * | 2009-03-03 | 2013-07-10 | 日本電気株式会社 | Network system and automatic creation and setting method of virtual network interface |
JP5299152B2 (en) * | 2009-07-31 | 2013-09-25 | ブラザー工業株式会社 | Communication system, communication method, and setting management server |
JP6289879B2 (en) * | 2013-11-21 | 2018-03-07 | 株式会社Nttドコモ | Communication terminal, communication method and program |
US9571457B1 (en) * | 2015-12-15 | 2017-02-14 | International Business Machines Corporation | Dynamically defined virtual private network tunnels in hybrid cloud environments |
US10142293B2 (en) | 2015-12-15 | 2018-11-27 | International Business Machines Corporation | Dynamically defined virtual private network tunnels in hybrid cloud environments |
JP6917482B2 (en) * | 2020-01-14 | 2021-08-11 | 三菱電機株式会社 | Communication control system, master device, communication control method and communication control program |
US11019106B1 (en) | 2020-09-22 | 2021-05-25 | Netskope, Inc. | Remotely accessed controlled contained environment |
CN113438178B (en) * | 2021-06-22 | 2023-04-18 | 北京天融信网络安全技术有限公司 | Message forwarding method and device, computer equipment and storage medium |
-
2005
- 2005-03-17 JP JP2005077266A patent/JP4279792B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2006262131A (en) | 2006-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4279792B2 (en) | Communication control system and method | |
EP1994673B1 (en) | Role aware network security enforcement | |
US7636938B2 (en) | Controlling network access | |
JP5548228B2 (en) | System and method for managing a network | |
JP5862577B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, POLICY MANAGEMENT DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
JP5062967B2 (en) | Network access control method and system | |
KR101143050B1 (en) | Managing access to a network | |
US20060156391A1 (en) | Method and apparatus providing policy-based revocation of network security credentials | |
US8019891B2 (en) | Network connection control technique, network connection technique and authentication apparatus | |
US20070118740A1 (en) | Authentication method and information processor | |
US11799844B2 (en) | Secure communication network | |
JP4915182B2 (en) | Information management method and information processing apparatus | |
US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
JP2008072655A (en) | Service communication control method, service relaying apparatus and service communication control system | |
JP2019220934A (en) | Information processing apparatus, control method of the same, and program of the same | |
JP6076276B2 (en) | Communication system and communication method | |
JP2012070225A (en) | Network relay device and transfer control system | |
KR101628534B1 (en) | VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL | |
JP4302004B2 (en) | Packet filter setting method and packet filter setting system | |
JP2011525765A (en) | Router associated with the secure device | |
JP3887325B2 (en) | Data communication network system and data communication network connection control method | |
JP5497548B2 (en) | COMMUNICATION SYSTEM, TRANSFER CONTROL DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20071112 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080612 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080624 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080808 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090217 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090312 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120319 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |