JP6229368B2 - アクセス制御方法、アクセス制御システム及びアクセス制御装置 - Google Patents

アクセス制御方法、アクセス制御システム及びアクセス制御装置 Download PDF

Info

Publication number
JP6229368B2
JP6229368B2 JP2013166779A JP2013166779A JP6229368B2 JP 6229368 B2 JP6229368 B2 JP 6229368B2 JP 2013166779 A JP2013166779 A JP 2013166779A JP 2013166779 A JP2013166779 A JP 2013166779A JP 6229368 B2 JP6229368 B2 JP 6229368B2
Authority
JP
Japan
Prior art keywords
communication
network
management terminal
request
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013166779A
Other languages
English (en)
Other versions
JP2015035771A (ja
Inventor
智之 曾根
智之 曾根
一峰 的場
一峰 的場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013166779A priority Critical patent/JP6229368B2/ja
Priority to US14/221,705 priority patent/US20150047009A1/en
Priority to EP20140179652 priority patent/EP2835950A3/en
Publication of JP2015035771A publication Critical patent/JP2015035771A/ja
Application granted granted Critical
Publication of JP6229368B2 publication Critical patent/JP6229368B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

この発明は、アクセス制御方法に関する。
企業の拠点には、他の装置と通信が可能な機器が設置されることがある。これらの機器は例えば、プリンタ、センサ、空調機などであり、いずれも通信装置を搭載している。これらの通信装置は、ファイヤーウォールなどのセキュリティーで保護されたデータネットワーク内に含まれている。そのため、外部から通信装置にアクセスしようとしても、ファイヤーウォールにより直接アクセスすることはできないようになっている。
リモート環境から通信装置にアクセスする方法として、SSL−VPN(Secure Socket Layer−Virtual Private Network)が用いられる。SSL−VPNは、暗号化にSSLを用いた仮想ネットワークを拠点間で設置する技術である。
図1は、SSL−VPNを用いた管理端末から拠点へのアクセス方法の例を説明する図である。管理センター110には、管理端末111と、VPN−GW(Virtual Private Network Gate Way)120が設置されている。管理端末111は、拠点1(140−1)に設置されている機器を管理する際に用いられる端末である。VPN−GW120は、管理端末111から拠点140にSSL−VPNを用いてアクセスする際に使用されるゲートウェイ装置である。拠点1のネットワークは、ファイヤーウォール130で保護されており、SGW(Service Gate Way)141、通信装置142a、通信装置142bを含む。例えば、ユーザが、管理端末111から通信装置142bに直接アクセスを試みた場合、アクセスは、ファイヤーウォール130によってブロックされる。ファイヤーウォール130を回避するためのSSL−VPNを用いたアクセス方法では、SGW141とVPN−GW120との間にVPNトンネル150を予め設置する。VPNトンネル150が設置されることにより、管理端末111は、ファイヤーウォール130によるブロックを回避することができる。ユーザが通信装置142bにアクセスしたい場合、管理端末111は、VPNトンネル150を使用した経路でSGW141にアクセスする。その後、管理端末111は、SGW141を介して通信装置142bにアクセスする。なお、拠点は、拠点1(140−1)〜拠点2(140−n)のように複数あってもよく、拠点の数にあわせて、VPNトンネル150−1〜150−nが設置される。通信装置は、サーバやPC(Personal Computer)であってもよい。
ファイヤーウォールを回避するためのアクセス方法として、次のような技術が知られている。第1のゲートウェイとのアクセス情報を持つクライアントに対して、第1のゲートウェイは、稼働率が低く、クライアントに近い位置に配置されている第2のゲートウェイから接続する命令を送信する。第1のゲートウェイ及び第2のゲートウェイは、情報を交換しているため、クライアントは、第2のゲートウェイを利用する際に設定変更を行わずに特定のサーバにアクセスできる(例えば特許文献1参照)。
特許公表2012−519416号
上述した背景技術では以下のような問題がある。
VPNトンネルは拠点側から形成するものであって、管理端末側からVPNトンネルを形成することができない。このため、管理端末が任意のタイミングでVPNトンネルを利用できるようにするには、VPNトンネルをVPN−GWとSGWの間でVPNトンネルを常時通信路として使用し続けることになる。しかし、VPN−GWと同時に使用できるVPNトンネルの数は、ライセンスにより制限される。
1つの側面においては、本発明の目的は、管理端末から拠点の通信端末へのアクセスに応じて、VPNトンネルを形成することである。
第1のネットワークに属する管理端末は、第2のネットワークに属する通信端末の情報の登録要求を第2のネットワークに属するゲートウェイ装置から定期的に受信する。第1のネットワークに属する制御装置は、管理端末と通信端末との間の通信路を確保するための通信要求を、管理端末から受信する。制御装置は、ゲートウェイ装置から定期的に受信した登録要求に対する最新の応答に、管理端末と通信端末との間の通信路を確保する通信要求含めてゲートウェイ装置に送信する。ゲートウェイ装置は、通信要求に応じて形成したトンネルを介した管理端末から通信端末へのアクセスを許可させる。
管理端末から拠点の通信端末へのアクセスに応じて、トンネルを動的に形成することができる。
SSL−VPNを用いた管理端末から拠点へのアクセス方法の例を説明する図である。 VPNトンネルを形成する方法の例を説明する図である。 第1の実施形態に係るVPNトンネルの形成方法の処理の例を説明するシーケンス図である。 SGWから送信されてくる定期的なリクエストに関する処理の例を説明するシーケンス図である。 SGWから送信されてくる定期的なリクエストに関する処理の例を説明するシーケンス図である。 通信装置を撤去した場合の機器情報削除の例を説明するシーケンス図である。 管理端末、GW制御装置、VPN−GW、SGWのハードウェア構成の例を示す図である。 機器登録の処理の例を説明するフローチャートである。 機器登録の処理の例を説明するフローチャートである。 VPNトンネルを形成する処理の例を説明するフローチャートである。 VPNトンネルを形成する処理の例を説明するフローチャートである。 登録されている機器情報の削除処理の例を説明するフローチャートである。 登録されている機器情報の削除処理の例を説明するフローチャートである。 GW制御装置を用いたリクエスト信号に関する処理の例を説明するシーケンス図である。 GW制御装置を用いたリクエスト信号に関する処理の例を説明するシーケンス図である。 第2の実施形態に係るVPNトンネルの形成方法の処理の例を説明するシーケンス図である。
以下、本実施形態について、図面を参照しながら詳細に説明する。
図2は、VPNトンネルを形成する方法の例を説明する図である。管理センター210は、管理端末211、GW制御装置212、VPN−GW213を備えるネットワークである。拠点220は、SGW221、通信装置222を備えるネットワークである。VPNトンネルを管理センター側から形成させ、管理端末211から通信装置222にアクセスする処理を順番に説明する。
(1)管理端末211は、通信装置222にアクセスするため、VPN−GW213にアクセスする(矢印201)。
(2)SGW221とVPN−GW213間にVPNトンネル250が既に形成されている場合、管理端末211は、既に形成されているVPNトンネルを利用して通信装置222にアクセスできる(矢印202)。
(3)VPNトンネル250がまだ形成されていない場合、管理端末211は、VPNトンネル250を形成する要求を含む要求信号をGW制御装置212に対して出力する(矢印203)。
(4)GW制御装置212は、SGW221から送信されてくる定期的なリクエスト信号を受信する(矢印204)。定期的なリクエスト信号は、拠点に設置されている通信装置222の情報を、管理センター側に登録するために送信される信号である。これにより、拠点に設置されている通信装置222に関する情報を、管理センター側で知ることができる。
(5)GW制御装置212は、受信したリクエスト信号に対する応答として、VPNトンネル250を形成する要求を含む要求信号及び暗号化鍵、証明書を含むレスポンス信号をSGW221に返す(矢印205)。レスポンス信号は、リクエスト信号に対する応答信号である。
(6)SGW221は、レスポンス信号を受信すると、VPNトンネル250をVPN−GW213との間に形成する。
(7)管理端末211は、通信装置222にアクセスできる(矢印202)。
(4)のリクエスト信号は、例えば、HTTPリクエストである。(5)のレスポンス信号は、HTTPリクエストに対するHTTPレスポンスである。(4)のリクエスト信号がなく、(5)のVPNトンネルを形成する要求信号を通知した場合、GW制御装置からの信号は、ファイヤーウォールによってブロックされ、VPNトンネルを形成することはできない。そのため、(5)では、SGW221からのリクエスト信号に対するレスポンス信号に、VPNトンネルを形成する要求を付与することで、ファイヤーウォールによるブロックを回避している。(1)〜(7)に示すVPNトンネルの形成方法によって、管理端末から拠点の通信装置へのアクセスに応じて、VPNトンネルが形成される。VPN−GW213は、VPNトンネルの起点となる起点装置である。
図3は、第1の実施形態に係るVPNトンネルの形成方法の処理の例を説明するシーケンス図である。図2と同一の装置には、同一の番号を付す。管理端末211は、通信装置222にアクセスするため、VPN−GW213にアクセスする(矢印301)。VPNトンネルが形成されていない場合、VPN−GW213は、管理端末211に対してVPNトンネルが形成されていないという情報を通知する(矢印302)。管理端末211は、GW制御装置212に対してVPNトンネルを形成する依頼信号を送信する(矢印303)。依頼信号には、管理端末211がアクセスをしたい通信装置222のIDやアドレスが含まれる。SGW221は、定期的なリクエスト信号をGW制御装置212に送信する(矢印304)。定期的なリクエスト信号については、図4で後述する。GW制御装置212は、SGW221からのリクエスト信号に対するレスポンス信号に、VPNトンネルを形成する要求とVPNトンネルを形成するために用いられる情報を付与し、SGW221に通知する(矢印305)。VPNトンネルを形成するために用いられる情報には、VPN−GW213の暗号化鍵、証明書、IP情報、管理端末211がアクセスをしたい通信装置222のIDやアドレス、通信装置222に形成するためのGWのIDなどが含まれる。また、GW制御装置212が、SGW側のNIC(Network Interface Card)に対応したIPアドレスをVPNトンネルに対して割り当てる。SGW221は、GW制御装置212から受け取った情報を使用して、VPNトンネルをVPN−GW213との間に形成する(矢印306)。SGW221は、VPNトンネルが形成されると、形成が完了したことをGW制御装置212に通知する(矢印307)。GW制御装置212は、VPNトンネルが形成されたことを、管理端末211に通知する(矢印308)。管理端末211は、VPNトンネルを経由して、SGW221に対して、通信装置222を操作するための制御メッセージを通知する(矢印309)。制御メッセージには、通信装置222を制御するための操作情報、ID・アドレス情報などが含まれる。SGW221は、NAT(Network Address Translation)やNAPT(Netowork Address Port Translation)などの方式で、アドレス変換を行い、通信装置222に制御信号を出力する(矢印310)。通信装置222は、受信した制御信号の処理を実行し、完了したことをSGW221に通知する(矢印311)。SGW221は、通信装置222の処理が完了したことを管理端末211に通知する(矢印312)。第1の実施形態に係るVPNトンネルの形成方法では、管理端末から拠点の通信装置へのアクセスに応じて、VPNトンネルが形成される。
図4は、SGWから送信されてくる定期的なリクエストに関する処理の例を説明するシーケンス図である。図3と同一のものには、同一の番号を付す。定期的なリクエスト信号は、拠点に設置されている通信装置222の情報を、管理センター側に登録するために送信される信号である。通信装置は、1台でも複数台であってもよい。レスポンス信号は、通信装置を登録するためのリクエスト信号に対する、登録完了信号である。図4Aは、定期的なリクエストに関する処理の例を説明するシーケンス図である。SGW221は、記憶している全ての機器に関する機器情報を管理センター側に登録するためのリクエスト信号を、GW制御装置212に送信する(矢印401)。GW制御装置212は、受信した機器に関する情報を記憶し、機器のID情報を、管理端末211に保存させる(矢印402)。管理端末211は、機器のID情報を保存したことをGW制御装置212に通知する(矢印403)。GW制御装置212はリクエスト信号に対するレスポンス信号として、機器に関する情報を記憶したことをSGW221に返信する(矢印404)。管理端末211は、記憶している機器IDに対応するアドレスをGW制御装置212に要求する(矢印405)。GW制御装置212は、機器IDに対応するアドレスを管理端末211に通知する(矢印406)。
矢印401に示すリクエスト信号は、ユーザによって変更可能なタイミングで定期的にSGWから送信されればよい。定期的なリクエスト信号がSGW221からGW制御装置212に送られることで、機器のIPアドレスが動的に変更される環境であっても、自動的に機器に関する情報が、管理センター側に登録される。なお、SGW221は、動的に変更された機器のIPアドレスを記憶している。自動的に機器に関する情報が管理センター側に登録されるため、ユーザは、機器の情報を予め知らずともよい。機器のID情報は、機器のID情報、MACアドレスなどである。SGW221からのリクエスト信号には、機器のアドレス・IDやGWのIDが含まれる。GWのIDは、VPNトンネルを形成する際に用いられるVPN−GWのIDである。
図4Bは、通信装置を新たに追加した場合のリクエスト信号に関する処理の例を説明するシーケンス図である。通信装置が拠点に新たに追加された場合、追加された機器に関する情報はSGW、管理センター側に登録される。SGWが新たに追加された機器を検知してもよく、機器側から新しくネットワークに参加したことを通知してもよい。通信装置222がネットワークに追加されると、通信装置222は、新しく拠点に追加された機器のID情報をSGW222に通知する(矢印407)。SGW221は、新しく追加された機器にIPアドレスを割り当て、追加された機器のIDとIPアドレスとを対応付けた情報を記憶する。SGW221は、記憶している全ての機器に関する機器情報を管理センター側に登録するためのリクエスト信号を、GW制御装置212に送信する(矢印401)。GW制御装置212は、受信した機器に関する情報を記憶し、機器のID情報を、管理端末211に保存させる(矢印402)。管理端末211は、機器のID情報を保存したことをGW制御装置212に通知する(矢印403)。GW制御装置212はリクエスト信号に対するレスポンス信号として、機器に関する情報を記憶したことをSGW221に返信する(矢印404)。管理端末211は、記憶している機器IDに対応するアドレスをGW制御装置212に要求する(矢印405)。GW制御装置212は、機器IDに対応するアドレスを管理端末211に通知する(矢印406)。SGW221は、機器に関する情報の登録が完了したことを、通信装置222に通知する(矢印408)。
管理センター側では、拠点側の機器が追加されたことや撤去されたことを知ることができなかった。しかし、図4Bのように通信を行うことで、新たに追加された機器に関する情報は、自動的に管理センター側に登録される。また、ユーザは、機器の情報を知るために問い合わせなくともよい。
図5は、通信装置を撤去した場合の機器情報削除の例を説明するシーケンス図である。図3と同一のものには、同一の番号を付す。機器情報の削除は、管理センター側に登録されている機器情報を削除するための処理である。機器が撤去されると、通信装置222は、SGW221に対して機器情報を削除する要求を通知する(矢印501)。SGW221は、登録されている通信装置222に関する情報を削除し、GW制御装置212に通信装置222に関する情報を削除する命令を含むリクエスト信号を送信する(矢印502)。GW制御装置212は、登録されている通信装置222に関する情報を削除し、管理端末211に通信装置222に関する情報を削除する命令を送信する(矢印503)。管理端末211は、削除処理が完了したことをGW制御装置212に通知する(矢印504)。GW制御装置212は、管理端末211から通信装置222へのアクセスに使用される通信路としてVPNトンネルが形成されていた場合、VPNトンネルの切断する命令をVPN−GW213に通知する(矢印505)。GW制御装置212は、VPNトンネルの切断が完了したことをVPN−GW213から通知される(矢印506)。GW制御装置212は、削除完了の通知をSGW221に通知する(矢印507)。SGW221は、通信装置222に削除完了を通知する(矢印508)。
このように、使用しなくなった機器の情報は、適宜管理端末211から削除される。VPNトンネルは、タイムアウトなどの設定によって切断されるような環境では、矢印505、矢印506に該当する処理はなくてもよい。また、矢印505において、複数の通信装置とのアクセスにVPNトンネルが使用されている場合は、管理端末211から全通信装置を削除する場合に、GW制御装置は、VPNトンネルの切断命令を出力する。複数の通信装置とのアクセスにVPNトンネルが使用されている場合で、一台の通信装置に関する情報を管理端末から削除する場合は、VPNトンネルの切断は行わない。
図6は、管理端末、GW制御装置、VPN−GW、SGWのハードウェア構成の例を示す図である。管理端末211、GW制御装置212、VPN−GW213、SGW221は、プロセッサ11、メモリ12、バス13、外部記憶装置14、ネットワーク接続装置15を備える。さらにオプションとして、管理端末211、GW制御装置212、VPN−GW213、SGW221は、入力装置16、出力装置17、媒体駆動装置18を備えても良い。管理端末211、GW制御装置212、VPN−GW213、SGW221は、例えば、コンピュータなどで実現されることがある。
プロセッサ11は、Central Processing Unit(CPU)を含む任意の処理回路とすることができる。プロセッサ11は、管理端末211、GW制御装置212、VPN−GW213、SGW221で実行される各処理を行う。なお、プロセッサ11は、例えば、外部記憶装置14に記憶されたプログラムを実行することができる。メモリ12は、記憶領域として動作し、プロセッサ11の動作により得られたデータや、プロセッサ11の処理に用いられるデータも、適宜、記憶する。ネットワーク接続装置15は、他の装置との通信に使用され、信号の受信を行う受信部20と送信部21とを備える。
入力装置16は、例えば、ボタン、キーボード、マウス等として実現され、出力装置17は、ディスプレイなどとして実現される。バス13は、プロセッサ11、メモリ12、入力装置16、出力装置17、外部記憶装置14、媒体駆動装置18、ネットワーク接続装置15の間を相互にデータの受け渡しが行えるように接続する。外部記憶装置14は、プログラムやデータなどを格納し、格納している情報を、適宜、プロセッサ11などに提供する。媒体駆動装置18は、メモリ12や外部記憶装置14のデータを可搬記憶媒体19に出力することができ、また、可搬記憶媒体19からプログラムやデータ等を読み出すことができる。ここで、可搬記憶媒体19は、フロッピイディスク、Magnet-Optical(MO)ディスク、Compact Disc Recordable(CD−R)やDigital Versatile Disk Recordable(DVD−R)を含む、持ち運びが可能な任意の記憶媒体とすることができる。
図7は、機器登録の処理の例を説明するフローチャートである。図7Aは、機器登録に関するSGWの処理の例を説明するフローチャートである。SGW221は、新たに追加された機器または、変更のあった通信装置があったかをチェックし、全台チェックしたか判定する(ステップS101)。通信装置を全台チェックしていない場合、S101を繰り返す。SGW221は、新たに追加・変更された機器があった場合、通信装置222から機器のID情報を取得する(ステップS102、ステップS101でYES)。SGW221は、新しく追加・変更された機器にIPアドレスを割り当て、追加・変更された機器のIDとIPアドレスとを対応付けた情報を記憶する(ステップS103)。SGW221は、記憶している全ての機器に関する機器情報を管理センター側に登録するためのリクエスト信号を、GW制御装置212に送信する(ステップS104)。SGW221は、リクエスト信号に含まれる情報が管理センター側に登録されたことを通知するレスポンス信号を受信する(ステップS105)。SGW221は、通信装置に、登録が完了したことを通知する(ステップS106)。SGW221は、処理を終了する。
図7Bは、機器登録に関するGW制御装置の処理の例を説明するフローチャートである。GW制御装置212は、リクエスト信号を受信すると、リクエスト信号に含まれる情報を記憶する(ステップS201、図6AのステップS104のリクエスト信号に対応)。GW制御装置212は、追加・変更された機器のID情報を管理端末211に保存する命令を出力する(ステップS202)。GW制御装置212は、管理端末211から機器のIDの登録完了の通知を受信する(ステップS203)。GW制御装置212は、リクエスト信号に対するレスポンス信号として、機器に関する情報を記憶したことをSGW221に返信する(ステップS204)。GW制御装置212は、管理端末211が記憶している機器IDに対応するアドレス情報の要求信号を受信する(ステップS205)。GW制御装置212は、管理端末211から要求された機器に関するアドレス情報を管理端末211に送信する(ステップS206)。
SGW221が、通信装置の追加を検知しない環境では、ステップS101の処理はスキップされる。定期的なリクエスト信号に関する処理は、図7のステップS104〜S105及びステップS201〜S206である。
図8は、VPNトンネルを形成する処理の例を説明するフローチャートである。図8Aは、VPNトンネルの形成に関するGW制御装置の処理の例を説明するフローチャートである。GW制御装置212は、管理端末211からVPNトンネルを形成する依頼信号を受信する(ステップS301)。GW制御装置212は、リクエスト信号をSGWから受信したかを判定する(ステップS302)。リクエスト信号を受信していない場合は、S302を繰り返す。GW制御装置212は、VPN−GW213の暗号化鍵・証明書・IP情報、管理端末211がアクセスをしたい通信装置222のIDやアドレスを付加したレスポンス信号をSGW221に送信する(ステップS303)。GW制御装置212は、VPNトンネルの形成完了通知をSGW221から受信する(ステップS304)。GW制御装置212は、VPNトンネルの形成完了通知を管理端末211に送信する(ステップS305)。
図8Bは、VPNトンネルの形成に関するSGWの処理の例を説明するフローチャートである。SGW221は、定期的なリクエスト信号をGW制御装置212に送信する(ステップS401)。SGW221は、リクエスト信号に対応するレスポンス信号を受信する(ステップS402)。SGW221は、レスポンス信号にVPNトンネルを形成する依頼が含まれているか判定する(ステップS403)。SGW221は、GW制御装置212から受け取った暗号化鍵・証明書、GW−IDなどの情報を用いて、VPNトンネルをVPN−GW213との間に形成する(ステップS404、ステップS403でYES)。SGW221は、VPNトンネルの形成が完了したことをGW制御装置212に通知する(ステップS405)。SGW221は、一定時間待機する(ステップS406、ステップS403でNO)。SGW221は、一定時間待機すると、S401から処理を繰り返す。
図9は、登録されている機器情報の削除処理の例を説明するフローチャートである。図9Aは、登録されている機器情報の削除に関するSGWの処理の例を説明するフローチャートである。SGW221は、通信装置222から削除依頼と削除する機器のID情報を受信する(ステップS501)。SGW221は、登録している通信装置222に関する情報を削除する(ステップS502)。SGW221は、削除命令と削除する機器のID情報をGW制御装置212に通知する(ステップS503)。SGW221は、GW制御装置212から削除処理が完了した通知を受信する(ステップS504)。SGW221は、通信装置222に削除処理が完了したことを通知する(ステップS505)。SGW221は、処理を終了する。
図9Bは、登録されている機器情報の削除に関するGW制御装置の処理の例を説明するフローチャートである。GW制御装置212は、SGW221から削除命令と削除対象の機器のID情報を受信する(ステップ601)。GW制御装置212は、登録している通信装置222に関する情報を削除する(ステップ602)。GW制御装置212は、管理端末211に通信装置222に関する情報を削除する命令を送信する(ステップS603)。GW制御装置212は、管理端末211から削除処理が完了したという情報を受信する(ステップS604)。GW制御装置212は、SGW221の設置している拠点の機器に関する情報をすべて削除するものか判定する(ステップS605)。拠点の機器に関する情報をすべて削除するものである場合、GW制御装置212は、VPNトンネルをVPN−GW213に切断させる(ステップS606、ステップS605でYES)。GW制御装置212は、VPNトンネルが切断されたことをVPN−GW213から通知される(ステップS607)。GW制御装置212は、削除処理が完了したことをSGW221に通知する(ステップS608、ステップS605でNO)。GW制御装置212は、処理を終了する。
以上、説明したように、実施形態にかかる方法では、管理端末から拠点の通信装置へのアクセスに応じて、VPNトンネルが形成される。また、拠点で追加・撤去された機器に関する情報が、管理センター側に通知及び登録される。
<その他>
なお、実施形態は上記に限られるものではなく、様々に変形可能である。以下にその例をいくつか述べる。
管理端末、GW制御装置、VPN−GWは、仮想サーバなどにより、統合した環境であってもよい。図10〜図11には、管理端末、GW制御装置、VPN−GWを統合した装置を単にGW制御装置と記載する。
図10は、制御装置を用いたリクエスト信号に関する処理の例を説明するシーケンス図である。図10Aは、機器追加におけるリクエスト信号の処理の例を説明するシーケンス図である。通信装置601がネットワークに参加すると、通信装置601は、新しく拠点に追加された機器のID情報をSGW602に通知する(矢印701)。SGW602は、新しく追加された機器にIPアドレスを割り当て、追加された機器のIDとIPアドレスとを対応付けた情報を記憶する。SGW602は、記憶している全ての機器に関する機器情報を管理センター側に登録するためのリクエスト信号を、GW制御装置603に送信する(矢印702)。GW制御装置603は、受信した機器に関する情報を記憶し、リクエスト信号に対するレスポンス信号として、機器に関する情報を記憶したことをSGW602に返信する(矢印703)。SGW602は、機器に関する情報の登録が完了したことを、通信装置601に通知する(矢印704)。
図10Bは、SGWから機器追加を行うリクエスト信号の処理の例を説明するシーケンス図である。SGWが新たに追加された機器を検知する環境では、SGWが通信装置にID及びIPアドレスを割り当ててもよい。通信装置601がネットワークに参加したことを、SGW602が検知すると、SGW602は、通信装置601にID及びアドレスを割り当てる。SGW602は、通信装置601に割り当てたIDを通信装置601に通知する(矢印705)。通信装置601は、通知されたIDを記憶し、ID情報を記憶したことをSGW602に返信する(矢印706)。SGW602は、記憶している全ての機器に関する機器情報を管理センター側に登録するためのリクエスト信号を、GW制御装置603に送信する(矢印707)。GW制御装置603は、受信した機器に関する情報を記憶し、リクエスト信号に対するレスポンス信号として、機器に関する情報を記憶したことをSGW602に返信する(矢印708)。
図11は、第2の実施形態に係るVPNトンネルの形成方法の処理の例を説明するシーケンス図である。図9と同一のものには、同一の番号を付す。SGW602は、定期的なリクエスト信号をGW制御装置603に送信する(矢印801)。SGW602への通信路を確保するための通信要求があった場合、GW制御装置603は、SGW602からのリクエスト信号に対するレスポンス信号に、VPNトンネルを形成する要求とVPNトンネルを形成するために用いられる情報を付与し、SGW602に通知する(矢印802)。通信要求は、例えば、ユーザの操作によって、指示されるものである。VPNトンネルを形成するために用いられる情報は、暗号化鍵・証明書・IP情報、アクセスをしたい通信装置のIDやアドレス、GWのIDなどが含まれる。SGW602は、GW制御装置603から受け取った情報を使用して、VPNトンネルをGW制御装置603との間に形成する(矢印803)。SGW602は、VPNトンネルが形成されると、形成が完了したことをGW制御装置603に通知する(矢印804)。GW制御装置603は、VPNトンネルを経由して、SGW602に対して、通信装置601を操作するための制御メッセージを通知する(矢印805)。SGW602は、NATやNAPTなどの方式で、アドレス変換を行い、通信装置601に制御信号を出力する(矢印806)。通信装置601は、受信した制御信号の処理を実行し、完了したことをSGW602に通知する(矢印807)。SGW602は、通信装置601の処理が完了したことをGW制御装置603に通知する(矢印808)。第2の実施形態に係るVPNトンネルの形成方法においても、ユーザが、GW制御装置から拠点の通信装置へのアクセスに応じて、VPNトンネルを形成できる。
11 プロセッサ
12 メモリ
13 バス
14 外部記憶装置
15 ネットワーク接続装置
16 入力装置
17 出力装置
18 媒体駆動装置
19 可搬記憶媒体
20 受信部
21 送信部
110 管理センター
111 管理端末
120 VPN−GW
130 ファイヤーウォール
140−1〜140−n 拠点
141 SGW
142a、142b 通信装置
150−1〜150−n VPNトンネル
210 管理センター
211 管理端末
212 GW制御装置
213 VPN−GW
220 拠点
221 SGW
222 通信装置
601 通信装置
602 SGW
603 GW制御装置

Claims (9)

  1. 第1のネットワークと第2のネットワークとの間のアクセスを制御するアクセス制御方法であって、
    前記第1のネットワークに属する管理端末は、
    記第2のネットワークに属するゲートウェイ装置から定期的に送信されてくる前記第2のネットワークに属する通信端末に関する情報の登録要求に基づいて、前記通信端末に関する情報を保存し、
    前記第1のネットワークに属する制御装置は、
    前記管理端末と前記通信端末との間の通信路を確保するための通信要求を、前記管理端末から受信すると、前記ゲートウェイ装置から定期的に受信した登録要求に対する最新の応答に、前記通信要求含めて前記ゲートウェイ装置に送信し、
    前記ゲートウェイ装置は、前記通信要求に応じて形成したトンネルを介した前記管理端末から前記通信端末へのアクセスを許可させる
    ことを特徴とするアクセス制御方法。
  2. 前記制御装置は、所定の時間間隔ごとに通知される前記通信端末の識別情報を含む前記登録要求を受信し、
    前記識別情報を前記管理端末に通知することにより、前記第2のネットワークに属する全ての前記通信端末の情報を前記管理端末に通知する
    ことを特徴とする請求項1記載のアクセス制御方法。
  3. 前記制御装置は、
    前記登録要求を受信すると、前記トンネルの形成に使用する暗号化鍵と証明書データを選択し、
    選択した暗号化鍵と証明書データを、前記トンネルの形成要求に含めた前記応答を生成する
    ことを特徴とする請求項1又は2に記載のアクセス制御方法。
  4. 第1のネットワークと第2のネットワークとの間のアクセスを制御するアクセス制御システムであって、
    前記第2のネットワークに属する通信端末と、
    前記第2のネットワークに属するゲートウェイ装置と、
    前記第1のネットワークに属し、前記ゲートウェイ装置から定期的に送信されてくる前記第2のネットワークに属する通信端末に関する情報の登録要求に基づいて、前記通信端末に関する情報を保存する管理端末と、
    前記第1のネットワークに属する制御装置と、を備え、
    前記制御装置は、前記管理端末と前記通信端末との間の通信路を確保するための通信要求を、前記管理端末から受信すると、前記ゲートウェイ装置から定期的に受信した登録要求に対する最新の応答に、前記通信要求含めて前記ゲートウェイ装置に送信し、
    前記ゲートウェイ装置は、前記通信要求に応じて形成したトンネルを介した前記管理端末から前記通信端末へのアクセスを許可させる
    ことを特徴とするアクセス制御システム。
  5. 前記制御装置は、所定の時間間隔ごとに通知される前記通信端末の識別情報を含む前記登録要求を受信し、
    前記識別情報を前記管理端末に通知することにより、前記第2のネットワークに属する全ての前記通信端末の情報を前記管理端末に通知する
    ことを特徴とする請求項4記載のアクセス制御システム。
  6. 前記制御装置は、
    前記登録要求を受信すると、前記トンネルの形成に使用する暗号化鍵と証明書データを選択し、
    選択した暗号化鍵と証明書データを、前記トンネルの形成要求に含めた前記応答を生成する
    ことを特徴とする請求項4又は5に記載のアクセス制御システム。
  7. 第1のネットワークと第2のネットワークとの間のアクセスを制御する制御装置であって、
    前記アクセス制御に係る処理を実行するプロセッサを有し、
    前記プロセッサは、
    前記第2のネットワークに属するゲートウェイ装置から定期的に送信されてくる前記第2のネットワークに属する通信端末に関する情報の登録要求に基づいて前記通信端末に関する情報を保存する前記第1のネットワークに属する管理端末と前記第2のネットワークに属する通信端末との間の通信路を確保するための通信要求を、前記管理端末から受信し、
    前記ゲートウェイ装置から定期的に受信する前記登録要求に対応する最新の応答に、前記通信要求を含めて前記ゲートウェイ装置へ送信して、
    前記ゲートウェイ装置に、前記通信要求に応じて形成したトンネルを介した前記管理端末から前記通信端末へのアクセスを許可させる
    ことを特徴とするアクセス制御装置。
  8. 前記制御装置は、
    前記登録要求を受信すると、前記トンネルの形成に使用する暗号化鍵と証明書データを選択し、
    選択した暗号化鍵と証明書データを、前記トンネルの形成要求に含めた前記応答を生成する
    ことを特徴とする請求項7に記載のアクセス制御装置。
  9. 前記登録要求は、
    前記第2のネットワークに属する通信端末の追加、又は削除に伴い更新される通信端末に関する情報を含む
    ことを特徴とする請求項1に記載のアクセス制御方法。
JP2013166779A 2013-08-09 2013-08-09 アクセス制御方法、アクセス制御システム及びアクセス制御装置 Active JP6229368B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013166779A JP6229368B2 (ja) 2013-08-09 2013-08-09 アクセス制御方法、アクセス制御システム及びアクセス制御装置
US14/221,705 US20150047009A1 (en) 2013-08-09 2014-03-21 Access control method, access control system and access control device
EP20140179652 EP2835950A3 (en) 2013-08-09 2014-08-04 Access control method, access control system and access control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013166779A JP6229368B2 (ja) 2013-08-09 2013-08-09 アクセス制御方法、アクセス制御システム及びアクセス制御装置

Publications (2)

Publication Number Publication Date
JP2015035771A JP2015035771A (ja) 2015-02-19
JP6229368B2 true JP6229368B2 (ja) 2017-11-15

Family

ID=51453568

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013166779A Active JP6229368B2 (ja) 2013-08-09 2013-08-09 アクセス制御方法、アクセス制御システム及びアクセス制御装置

Country Status (3)

Country Link
US (1) US20150047009A1 (ja)
EP (1) EP2835950A3 (ja)
JP (1) JP6229368B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6568002B2 (ja) * 2016-03-29 2019-08-28 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信システム、及び通信方法
JP6841128B2 (ja) * 2017-03-30 2021-03-10 ブラザー工業株式会社 サーバ、及び、サーバのためのコンピュータプログラム
KR102455515B1 (ko) * 2018-05-09 2022-10-14 주식회사 케이티 홈 네트워크 보안 시스템 및 방법
EP4024667A4 (en) * 2019-08-26 2023-09-27 Nidec Corporation MOTOR WITH INTERNAL PERMANENT MAGNET

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4104799B2 (ja) * 1999-11-25 2008-06-18 株式会社山武 ネットワークシステム及び通信方法
US7099957B2 (en) * 2001-08-23 2006-08-29 The Directtv Group, Inc. Domain name system resolution
KR100485769B1 (ko) * 2002-05-14 2005-04-28 삼성전자주식회사 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법
US20040255037A1 (en) * 2002-11-27 2004-12-16 Corvari Lawrence J. System and method for authentication and security in a communication system
US7260841B2 (en) * 2003-02-27 2007-08-21 Nortel Networks Limited System and method for maintaining access to content in an encrypted network environment
WO2005008954A1 (ja) * 2003-06-19 2005-01-27 Nippon Telegraph And Telephone Corporation セッション制御サーバ及び通信システム
JP2006277752A (ja) * 2006-04-10 2006-10-12 Horizon Digital Enterprise Inc コンピュータ遠隔管理方法
JP4916227B2 (ja) * 2006-06-14 2012-04-11 キヤノン株式会社 デバイスの管理装置及びその管理装置の制御方法
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US8613072B2 (en) * 2009-02-26 2013-12-17 Microsoft Corporation Redirection of secure data connection requests
US20100272115A1 (en) * 2009-04-22 2010-10-28 Rajesh Ramankutty Gateway-based management in a communication network
KR101215191B1 (ko) * 2009-09-18 2012-12-24 엔이씨 유럽 리미티드 통신 시스템과 통신 제어 방법
WO2012112719A2 (en) * 2011-02-15 2012-08-23 Zte Corporation Internet protocol mapping resolution in fixed mobile convergence networks
JP5673216B2 (ja) * 2011-03-01 2015-02-18 株式会社リコー 通信制御装置、通信制御システム、及び通信制御プログラム
WO2012142437A1 (en) * 2011-04-13 2012-10-18 Interdigital Patent Holdings, Inc Methods, systems and apparatus for managing and/or enforcing policies for managing internet protocol ("ip") traffic among multiple accesses of a network
WO2012147270A1 (en) * 2011-04-28 2012-11-01 Panasonic Corporation Communication system, mobile terminal, router, and mobility management entity
EP2716132A2 (en) * 2011-06-02 2014-04-09 Interdigital Patent Holdings, Inc. Methods, apparatus, and systems for managing converged gateway communications
JP5904206B2 (ja) * 2011-09-30 2016-04-13 日本電気株式会社 通信システム、通信方法及び通信プログラム
US9143530B2 (en) * 2011-10-11 2015-09-22 Citrix Systems, Inc. Secure container for protecting enterprise data on a mobile device
US9788188B2 (en) * 2012-12-14 2017-10-10 Ibasis, Inc. Method and system for hub breakout roaming

Also Published As

Publication number Publication date
US20150047009A1 (en) 2015-02-12
JP2015035771A (ja) 2015-02-19
EP2835950A3 (en) 2015-03-25
EP2835950A2 (en) 2015-02-11

Similar Documents

Publication Publication Date Title
JP4001297B2 (ja) 情報処理システム及びその管理サーバ
JP6611810B2 (ja) 制御システム、設備機器管理装置、方法、およびプログラム
JP2022020946A (ja) 情報処理装置、情報処理システム、通信形式決定方法およびプログラム
JP6193185B2 (ja) 通信装置、端末装置およびプログラム
JP2013048398A (ja) ネットワーク接続装置および方法
JP6229368B2 (ja) アクセス制御方法、アクセス制御システム及びアクセス制御装置
JP6162821B2 (ja) リモートメンテナンスシステム
JP2006166028A (ja) Vpn接続構築システム
JP5937709B1 (ja) 通信制御装置、通信制御方法及び通信制御プログラム
CN105490995A (zh) 一种在nvo3网络中nve转发报文的方法和设备
JP5945735B2 (ja) 情報処理装置
KR102351795B1 (ko) 클라우드 환경에서 네트워크 장비들을 원격으로 관리하는 방법 및 이를 이용한 클라우드 터미널 컨트롤 서버
JP6200033B2 (ja) 中継装置、中継方法及び中継プログラム
JP4550857B2 (ja) 情報処理装置の割当て方法、この方法を実行する管理サーバ及び端末
JP5937708B1 (ja) 通信制御装置、通信制御方法及び通信制御プログラム
JP6989457B2 (ja) 外部情報受配信装置、データ送信方法、及びプログラム
JP6426118B2 (ja) 中継装置、中継方法及び中継プログラム
US10542082B2 (en) Communication control apparatus, communication control method and communication control program
JP6330534B2 (ja) ネットワークシステム、無線lanアクセスポイント装置、管理装置、および方法
US11864090B2 (en) Communication system, communication management method, and non-transitory recording medium
JP6916126B2 (ja) 通信システム、通信制御装置、通信方法、及びプログラム
JP6419309B2 (ja) 通信システム、設備管理装置、通信方法及びプログラム
JP6604244B2 (ja) 内線電話システム及び内線電話システムにおける端末接続許可方法
JP5359597B2 (ja) 機器制御装置、機器制御装置の制御方法および制御プログラムならびに機器制御プログラム実行システム
JP2005242547A (ja) リモートサービス実行方法、リモートクライアント及びリモートサービスサーバ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160510

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170314

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170919

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171002

R150 Certificate of patent or registration of utility model

Ref document number: 6229368

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150