[go: up one dir, main page]

JP4878043B2 - アクセス制御システム、接続制御装置および接続制御方法 - Google Patents

アクセス制御システム、接続制御装置および接続制御方法 Download PDF

Info

Publication number
JP4878043B2
JP4878043B2 JP2008205555A JP2008205555A JP4878043B2 JP 4878043 B2 JP4878043 B2 JP 4878043B2 JP 2008205555 A JP2008205555 A JP 2008205555A JP 2008205555 A JP2008205555 A JP 2008205555A JP 4878043 B2 JP4878043 B2 JP 4878043B2
Authority
JP
Japan
Prior art keywords
access control
user
user terminal
file server
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008205555A
Other languages
English (en)
Other versions
JP2010039994A (ja
Inventor
公彦 深見
伸太郎 水野
靖 岡野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008205555A priority Critical patent/JP4878043B2/ja
Publication of JP2010039994A publication Critical patent/JP2010039994A/ja
Application granted granted Critical
Publication of JP4878043B2 publication Critical patent/JP4878043B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

この発明は、利用者端末がアクセスするリソースを保持するファイルサーバと、前記利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システム、接続制御装置および接続制御方法に関する。
従来より、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)などの各種ネットワークや、持ち運びが容易なノートパソコンが普及してきたことにより、会社のLAN内にあるファイルサーバを会社外からアクセスすることのできるファイル共有環境が求められている。
このようなファイル共有環境を実現する手法として、最近では、HTTP(Hypertext Transfer Protocol)を拡張したWebDAV(Web-based Distributed Authoring and Versioning)が利用され始めている。
このWebDAVは、Webサーバ(ファイルサーバ)上のファイル管理を目的とした分散ファイルシステムを実現するRFC4918に定義されたプロトコルであり、FTP(File Transfer Protocol)といったファイル転送用のプロトコルを用いることなく、Webサーバ上でファイルやコンテンツの更新、削除、取得などを行うことができる。
このように、インターネットを介してLAN内のファイルサーバなどに容易にアクセスできるような環境が普及すると、悪意のある第三者による不正なアクセスを原因としたファイルや機密情報などが漏洩する問題が発生する。
そこで、最近では、上記したWebDAVとSSL−VPN(Secure Socket Layer−Virtual Private Network)とを組み合わせることにより、悪意のある第三者によるアクセスを拒否するセキュリティの高いファイル共有環境の実現手法が開示されている(例えば、非特許文献1参照)。
"特集:SambaとWebDAVで作る究極のファイルサーバ"、Nikkei Linux、2004.8、p45-p53
しかしながら、上記した従来の技術は、VPN接続を行った後、WebDAVを用いてファイルサーバのリソースにアクセスするのに際して、「ユーザID」と「パスワード」を入力するユーザ認証が必要であり、ユーザは、VPN接続を行うための認証と、ファイルサーバへアクセスするための認証との二つの認証を実行した後でしか、ファイルサーバのリソースへアクセスすることができないので、セキュリティは向上するものの、ユーザの利便性が悪いという課題があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能であるアクセス制御システム、接続制御装置および接続制御方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、利用者端末がアクセスするリソースを保持するファイルサーバと、前記利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システムであって、前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成するアクセス制御情報作成手段と、前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成手段と、前記アクセス制御情報作成手段により作成されたアクセス制御情報に従って、前記リソース生成手段により生成されたリソースへのアクセス制御を行うアクセス制御手段と、を備えたことを特徴とする。
本発明によれば、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能である。
以下に添付図面を参照して、この発明に係るアクセス制御システム、接続制御装置および接続制御方法の実施例を詳細に説明する。なお、以下では、本実施例に係るアクセス制御システムの概要、アクセス制御システムの構成および処理の流れを順に説明し、最後に本実施例に対する種々の変形例を説明する。
[アクセス制御システムの概要]
最初に、図1を用いて、実施例1に係るアクセス制御システムの概要を説明する。図1は、実施例1に係るアクセス制御システムの全体構成を示すシステム構成図である。
図1に示すように、実施例1に係るアクセス制御システムは、社員宅端末がアクセスするリソースを保持するファイルサーバと、社員宅端末との間を仮想的な通信路(VPN)で接続するVPN装置とを有し、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能である。
具体的には、このアクセス制御システムでは、当該会社の社員である「鈴木(suzuki)」と「田中(tanaka)」とは自宅にいてインターネット常時接続サービスを利用しており、社内LANには、インターネットとイントラネットに接続されるVPN装置とイントラネット内にファイルサーバとを有する。なお、ここでは、VPN装置とファイルサーバとが別の筐体で実現されている例を図示しているが、同じ筐体で実現されていてもよい。
また、各社員宅と会社LANとは、異なるネットワークであり、ルータを介したインターネットで接続されている。もっとも、ここで示した各社員宅はあくまで例示であり、これに限定されるものではなく、他の社員も同様に接続されている。なお、VPN接続では、一般的にはVPN接続と同様、アクセスが登録されているユーザであるか(VPN接続を許可することができるユーザであるか)否かを認証する認証処理が実行されるOSS(Open Source Software)のミドルウエア(例えば、OpenVPNなど)を利用する。また、ファイルサーバは、WebDAVが利用可能なサーバソフトウエアを実行しており、イントラネット外に存在する社員宅端末は、WebDAVを用いてファイルサーバにアクセスする。
このような構成を有するアクセス制御システムは、VPNを接続する際に得られた社員宅端末の利用者を識別する識別情報に基づいて、社員宅端末のアクセスを制御するための情報を示すアクセス制御情報を作成し、当該識別情報に基づいて、社員宅端末の利用者に対応するリソースをファイルサーバ上に生成する。その後、アクセス制御システムは、作成されたアクセス制御情報に従って、ファイルサーバ上に生成されたリソースへのアクセス制御を行う。
具体的には、アクセス制御システムのVPN装置は、図1の(1)に示すように、「鈴木(suzuki)」、「田中(tanaka)」それぞれとVPNトンネルを接続する際に用いる、それぞれの社員から識別情報である「ユーザID」と「IPアドレス」を取得する。そして、VPN装置は、図1の(2)に示すように、得られた「ユーザID」のフォルダ作成および、「ユーザID」に対応する「IPアドレス」を持つ端末からのアクセスのみを許可するアクセス制御情報を作成する。
続いて、VPN装置は、図1の(3)に示すように、社員宅端末の利用者を識別する「ユーザID」に対応するフォルダをファイルサーバに作成し、アクセス制御情報をファイルサーバにコピーする。その後、ファイルサーバは、コピーされたアクセス制御情報に従ったアクセス制御、つまり、「suzuki」から「フォルダ(suzuki)」へのアクセスは許可し、「suzuki」から「フォルダ(tanaka)」へのアクセスを拒否、同様に、「tanaka」から「フォルダ(tanaka)」へのアクセスは許可し、「tanaka」から「フォルダ(suzuki)」へのアクセスを拒否するアクセス制御を実施する。
このように、実施例1に係るアクセス制御システムは、VPN接続時に使用した識別情報を用いてアクセス制御を実施することができるため、VPN接続後のファイルサーバアクセス時にユーザ認証をする必要がなく、つまり、VPN接続時とファイルサーバアクセス時との2回ユーザ認証を実施する必要がないので、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能である。
[アクセス制御システムの構成]
次に、図2を用いて、図1に示したアクセス制御システムの構成を説明する。図2は、実施例1に係るアクセス制御システムの構成を示すブロック図である。ここでは、アクセス制御システムにおけるVPN装置とファイルサーバとについて説明する。
(VPN装置の構成)
図2に示すように、かかるVPN装置10は、LANアダプターA11と、LANアダプターB12と、記憶部20と、制御部30とを有する。
LANアダプターA11は、インターネットを介して送受信される各種通信を制御するNIC(Network Interface Card)である。具体的には、LANアダプターA11は、インターネット上の社員宅端末からVPN接続要求やVPN切断要求、ファイルサーバ50へのアクセス要求などを受信し、後述する制御部30に出力する。また、LANアダプターA11は、ファイルサーバ50から出力されてLANアダプターB12により受信されたアクセス要求の応答やデータをインターネット上の社員宅端末に出力する。
LANアダプターB12は、イントラネット(社内LAN)内で送受信される各種通信を制御するNICである。具体的には、LANアダプターB12は、LANアダプターA11により受信されたファイルサーバ50へのアクセス要求などをファイルサーバ50に出力したり、ファイルサーバ50から出力されたアクセス要求の応答やデータなどを受信してLANアダプターA11に出力したり、制御部30によりファイルサーバ50へ実行された各種制御処理をファイルサーバ50に出力したりする。
記憶部20は、制御部30による各種処理に必要なデータおよびプログラム、ネットワーク通信を実行するためのルーティング情報、VPN接続時に取得された認証ログを格納するとともに、特に本発明に密接に関連するものとしては、アドレス情報DB21と、認証情報DB22と、サーバ情報DB23とを備える。
記憶部20が記憶する認証ログとは、後述するVPN接続部31により、VPN接続を確立した際に取得される通信ログである。この認証ログは、例えば、VPNが確立された「時刻」、VPNが確立された社員宅端末の「ルータ側IPアドレス(グローバルIPアドレス)」、VPNが確立された社員宅端末が社内LANで使用する「イントラネット側IPアドレス(プライベートIPアドレス)」、VPN接続時の認証情報である「ユーザID」と「パスワード」などである。
アドレス情報DB21は、利用者端末である社員宅端末がインターネット上で使用するグローバルアドレスと社員宅端末がVPNで使用するプライベートアドレスとを対応付けて記憶するデータベース管理システム(DBMS)上のテーブルである。具体的には、アドレス情報DB21は、図3に示すように、『インターネット上で使用する「グローバルアドレス(ルータ側IPアドレス)」、社員宅端末がVPNで使用する「プライベートアドレス(イントラネット側IPアドレス)」』として「129.xxx.yyy.zzz、172.168.0.Y」や「150.aaa.bbb.ccc、172.168.0.Z」などと記憶する。なお、図3は、アドレス情報DBに記憶される情報の例を示す図である。
認証情報DB22は、VPN接続する社員宅端末を認証するための情報を記憶するデータベース管理システム上のテーブルである。具体的には、認証情報DB22は、図4に示すように、「ルータ側IPアドレス、イントラネット側IPアドレス、ユーザID、パスワード」として「129.xxx.yyy.zzz、172.168.0.Y Suzuki、ikuzusu」などと記憶する。
ここで記憶される「ルータ側IPアドレス」とは、VPN接続された社員宅LAN内のルータに割り当てられたIPアドレス、つまり、VPN接続された社員宅端末がインターネット上で使用するIPアドレスであり、「イントラネット側IPアドレス」とは、VPN接続された社員宅端末が社内LAN(イントラネット)で使用するIPアドレスである。また、「ユーザID」と「パスワード」とは、社員宅端末がVPN接続するためのユーザ認証情報である。つまり、VPN装置10は、VPN接続時に「ユーザID」と「パスワード」とを社員宅端末から受け付けて、記憶している情報と一致するか否かの認証処理を行った上で、一致する場合にのみ、VPNセッションを確立する。なお、図4は、認証情報DBに記憶される情報の例を示す図である。
サーバ情報DB23は、ファイルサーバ50に対して管理者権限で各種処理を実行するためのファイルサーバ50の管理者情報を記憶するデータベース管理システム上のテーブルである。具体的には、サーバ情報DB23は、図5に示すように、「IPアドレス、管理者ID、パスワード、HomeDir」として「192.168.1.11、yamazaki、11231123、/var/www/html」などと記憶する。
ここで記憶される「IPアドレス」とは、社内LAN上にあるファイルサーバ50のIPアドレスであり、「管理者ID」とは、ファイルサーバ50の管理者権限を有する利用者を識別するための識別子であり、「パスワード」とは、管理者IDに対応する管理者を特定するための情報であり、「HomeDir」とは、ファイルサーバ50上で管理者が自由に利用できるホームディレクトリである。なお、図5は、サーバ情報DBに記憶される情報の例を示す図である。
制御部30は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、これらによって種々の処理を実行する処理部であり、特に本発明に密接に関連するものとしては、VPN接続部31と、認証ログ抽出部32と、アクセス制御情報作成部33と、リソース生成部34とを有する。
かかるVPN接続部31は、VPN接続要求を送信した社員宅端末とVPNセッションを確立し、VPN接続を行った際の認証ログを記憶部20に格納する。具体的には、VPN接続部31は、社員宅端末からインターネットを介してVPN接続要求を受信した場合に、当該社員宅端末に対して「ユーザID」と「パスワード」とを要求し、受け付けた「ユーザID」と「パスワード」が認証情報DB22に記憶されているか否かを認証する。そして、VPN接続部31は、受け付けた「ユーザID」と「パスワード」が認証情報DB22に記憶されている場合に、認証許可と判定して、当該社員宅端末との間にVPNを確立する。
そして、VPN接続部31は、VPN接続を確立した社員宅端末が使用する「ルータ側IPアドレス」と「イントラネット側IPアドレス」とをVPNセッションから取得し、取得した「ルータ側IPアドレス、イントラネット側IPアドレス」と「ユーザID、パスワード」とを対応付けて記憶部20に格納する。一方、受け付けた「ユーザID」と「パスワード」が認証情報DB22に記憶されていない場合には、VPN接続部31は、認証拒否と判定して接続を拒否する。
例えば、VPN接続部31は、社員の「suzuki」が使用する端末からインターネットを介してVPN接続要求を受信した場合に、当該「suzuki」に対して、「ユーザID」と「パスワード」とを要求して受け付け、「ユーザID=suzuki」と「パスワード=ikuzusu」が認証情報DB22に記憶されているか否かを認証する。この場合、VPN接続部31は、受け付けた「ユーザID=suzuki」と「パスワード=ikuzusu」が認証情報DB22に記憶されているので、認証許可と判定して、当該「suzuki」端末との間にVPNを確立する。そして、VPN接続部31は、VPN接続を確立した「suzuki」端末が使用する「ルータ側IPアドレス=129.xxx.yyy.zzz、イントラネット側IPアドレス=172.168.0.Y」をVPNセッションから取得し、取得した「ルータ側IPアドレス、イントラネット側IPアドレス」と「ユーザID、パスワード」とを対応付けて記憶部20に格納する。
なお、「イントラネット側IPアドレス」の割り当て手法としては、アドレス情報DB21から割り当てたり、自動的に空いているアドレスを割り当てたりすることができる。つまり、VPN接続部31は、VPNセッションから「ルータ側IPアドレス」を取得し、取得した「ルータ側IPアドレス」に対応する「イントラネット側IPアドレス」をアドレス情報DB21から取得するようにしてもよく。「ルータ側IPアドレス」に対応する「イントラネット側IPアドレス」がアドレス情報DB21にない場合には、VPN接続部31は、自動的に空いている「イントラネット側IPアドレス」を割り当てるようにしてもよい。
認証ログ抽出部32は、記憶部20に記憶される認証ログを定期的に監視して、社員宅端末の利用者を識別する識別情報を取得し、後述するアクセス制御情報作成部33とリソース生成部34に出力する。具体的には、認証ログ抽出部32は、VPN接続部31により取得されて記憶部20に格納された認証ログ「時刻、ルータ側IPアドレス、イントラネット側IPアドレス、ユーザID、パスワード」のうち「イントラネット側IPアドレスとユーザID」を抽出する。そして、認証ログ抽出部32は、抽出した「イントラネット側IPアドレス」をアクセス制御情報作成依頼とともにアクセス制御情報作成部33に出力し、抽出した「ユーザID」をリソース生成部34に出力する。
アクセス制御情報作成部33は、VPNを接続する際に得られた社員宅端末の利用者を識別する識別情報に基づいて、利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成する。具体的には、アクセス制御情報作成部33は、認証ログ抽出部32から取得された「イントラネット側IPアドレスとユーザID」とを用いて、Apache+mod_davによるWebDAVを実行するファイルサーバ50でのみ適用可能な、図6に示すアクセス制御情報(アクセス設定情報)を作成する。
ここで作成されるアクセス制御情報は、図6に示すように、社員宅端末「Suzuki」が使用するイントラ側IPアドレス「172.168.0.Y」からのアクセスを許可し、その他からのアクセスを拒否する情報を作成する。なお、ここでは、アクセス制御情報として、IPアドレスを設定する例について説明したが、ネットワークアドレスを設定するようにしてもよい。また、VPN装置10は、ファイルサーバ50とは同じネットワークに存在するため、ファイルサーバ50のIPアドレスを認識することができる。また、図6は、アクセス制御情報の例を示す図である。
リソース生成部34は、社員宅端末の利用者を識別する識別情報に基づいて、VPN接続された社員宅端末の利用者に対応するリソースをファイルサーバ50上に生成する。具体的には、リソース生成部34は、認証ログ抽出部32からVPN接続された社員宅端末の「ユーザID」とアクセス制御情報作成部33により生成された「アクセス制御情報」とを取得すると、サーバ情報DB23からファイルサーバ50の管理者情報「IPアドレス、ユーザID、パスワード、HomeDir」を取得する。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスする。
そして、リソース生成部34は、「remote shell」や「secure shell」を用いてファイルサーバ50へ遠隔操作を行い、認証ログ抽出部32から取得した「ユーザID」の名称をもつフォルダをHomeDirに作成する。そして、リソース生成部34は、アクセス制御情報作成部33により生成されたアクセス制御情報を作成した「ユーザID」フォルダにコピー(格納)する。
例えば、リソース生成部34は、認証ログ抽出部32からVPN接続された社員宅端末の「ユーザID=suzuki」とアクセス制御情報作成部33により生成されたアクセス制御情報とを取得すると、サーバ情報DB23からファイルサーバ50の管理者情報「IPアドレス=192.168.0.20、ユーザID=yamazaki、パスワード=11231123、HomeDir=/var/www/html」を取得する。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、認証ログ抽出部32から取得した「suzuki」の名称をもつフォルダとして「/var/www/html/suzuki」を作成する。そして、リソース生成部34は、アクセス制御情報作成部33により生成されたアクセス制御情報をフォルダ「/var/www/html/suzuki」にコピー(格納)する。
(ファイルサーバの構成)
次に、実施例1に係るアクセス制御システムにおけるファイルサーバの構成について説明する。かかるファイルサーバ50は、LANアダプター51と、リソース52と、制御部60とを有する。
LANアダプター51は、社内LAN(イントラネット)でやり取りする各種情報に関する通信を制御する。具体的には、LANアダプター51は、VPN装置10からリソース作成要求、アクセス制御情報などを受信したり、社員宅端末からVPN装置10を介してアクセス要求を受信したり、社員宅端末に対してアクセス応答などを送信したりする。
リソース52は、ファイルサーバ50上に作成されたディレクトリ、フォルダ、ファイルなどである。このリソース52は、VPN装置10により作成され、社員宅端末の「ユーザID」の名称を持つフォルダなどがこれに該当する。また、各リソース52は、自身に設定されているアクセス制御情報(図6参照)を記憶する。
制御部60は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、アクセス制御部61を有し、これらによって種々の処理を実行する。
アクセス制御部61は、各リソースに記憶されるアクセス制御情報に従って、アクセス制御を実行する。具体的には、リソース「/var/www/html/suzuki」に図6に示すアクセス制御情報が記憶されており、VPN接続されている社員宅端末「ユーザID=suzuki」と「ユーザID=tanaka」からそれぞれアクセス要求を受信したとする。この場合、アクセス制御部61は、VPNセッションから「イントラネット側IPアドレス」を取得してアクセス制御を実施する。
つまり、アクセス制御部61は、社員宅端末「ユーザID=suzuki」の場合、「イントラネット側IPアドレス=172.168.0.Y」を取得し、このアドレスが図6のアクセス制御情報に「許可」と設定されていることから、社員宅端末「ユーザID=suzuki」からリソース「/var/www/html/suzuki」へのアクセスを許可する。一方、アクセス制御部61は、社員宅端末「ユーザID=takana」の場合、「イントラネット側IPアドレス=172.168.0.Z」を取得し、このアドレスがアクセス制御情報に「許可」と設定されていないことから、社員宅端末からリソース「/var/www/html/suzuki」へのアクセスを拒否する。
[アクセス制御システムによる処理]
次に、図7と図8を用いて、アクセス制御システムによる処理を説明する。図7は、実施例1に係るアクセス制御システムにおけるフォルダ作成およびフォルダアクセス処理の流れを示すフローチャートであり、図8は、実施例1に係るアクセス制御システムにおけるフォルダおよびアクセス設定削除処理の流れを示すフローチャートである。
(フォルダ作成およびフォルダアクセス処理の流れ)
図7に示すように、社員宅の端末は、VPNソフトウエアを実行して、社員宅LANのRouterに対して社内LANへの接続要求(ユーザID、パスワード)を送信すると(ステップS101)、Routerは、この接続要求を中継して、VPN接続のログイン処理要求(ユーザID、パスワード)をVPN装置10に送信する(ステップS102)。
このログイン処理要求を受け付けたVPN装置10のVPN接続部31は、受信した「ユーザID、パスワード」が認証情報DB22に記憶されているか否かを判定する(ステップS103とステップS104)。
そして、受信した「ユーザID、パスワード」が認証情報DB22に記憶されており、接続要求を送信した社員宅端末の認証を許可すると判定したVPN装置10のVPN接続部31は、認証を許可する旨の応答であり、VPNセッション情報であるセッション情報をRouterを介して社員宅端末に送信し、社員宅端末との間にVPNを確立する(ステップS105〜ステップS107)。なお、VPN接続部31は、VPNを確立すると、社員宅端末を認証した認証ログを抽出する。
続いて、VPN装置10の認証ログ抽出部32は、VPN接続部31によりVPN接続時に取得された認証ログを定期的に監視し、認証ログから「イントラネット側IPアドレスとユーザID」を抽出し、アクセス制御情報作成依頼をアクセス制御情報作成部33に出力する(ステップS108〜ステップS111)。
そして、VPN装置10のアクセス制御情報作成部33は、認証ログ抽出部32により抽出された「イントラネット側IPアドレスとユーザID」に基づいて、社内LANの外にある社員宅端末のアクセスを制御するための情報を示すアクセス制御情報を作成する(ステップS112)。続いて、アクセス制御情報作成部33は、抽出された「ユーザID」をリソース生成部34に通知し、アクセス設定依頼を送信する(ステップS113)。
アクセス設定依頼を受信したリソース生成部34は、サーバ情報DB23に記憶されるファイルサーバ50の管理者情報を取得する(ステップS114とステップS115)。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、通知された「ユーザID」の名称をもつフォルダをHomeDirに作成するとともに、アクセス制御情報作成部33から受信したアクセス制御情報を作成した「ユーザID」フォルダにコピー(格納)する(ステップS116とステップS117)。なお、VPN装置10とファイルサーバ50とが同じ筐体で実現される場合には、ステップS114とステップS115を実施する必要はない。
その後、VPN接続が確立された社員宅端末は、ファイルサーバ50にアクセス要求を送信し(ステップS118)、これを受け付けたVPN装置10は、当該要求をファイルサーバ50に転送する(ステップS119)。
すると、ファイルサーバ50は、接続要求やVPNセッションから要求を送信した社員宅端末の「イントラネット側IPアドレス、ユーザID」を特定し、特定した「ユーザID」に対応するリソースに記憶されるアクセス制御情報に基づいて、特定した「イントラネット側IPアドレス」をもつ端末のアクセスを許可するか否かを判定する(ステップS120)。
そして、ファイルサーバ50は、VPN装置10とRouterとを介して、当該アクセスを許可または拒否を示すアクセス応答をアクセス要求送信元の社員宅端末に送信する(ステップS121〜ステップS123)。
(フォルダおよびアクセス設定削除処理の流れ)
図8に示すように、社員宅の端末は、社員宅LANのRouterに対して社内LANとの接続を切断する接続切断要求を送信すると(ステップS201)、Routerは、この接続切断要求を中継して、VPN装置10に送信する(ステップS202)。
この接続切断要求を受信したVPN装置10のVPN接続部31は、Routerを介して、接続切断を許可する応答を社員宅端末に送信する(ステップS203とステップS204)。なお、この際、VPN接続部31は、VPNセッションから「イントラネット側IPアドレス」や「ユーザID」などを認証ログとして取得する。
続いて、VPN装置10の認証ログ抽出部32は、VPN接続部31によりVPN切断時に取得された認証ログを定期的に監視し、認証ログから「イントラネット側IPアドレスとユーザID」を抽出し、抽出した「イントラネット側IPアドレスとユーザID」とともにアクセス制御情報削除依頼をリソース生成部34に出力する(ステップS205〜ステップS208)。
アクセス制御情報削除依頼を受信したリソース生成部34は、サーバ情報DB23に記憶されるファイルサーバ50の管理者情報を取得する(ステップS209とステップS210)。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、通知された「ユーザID」の名称をもつフォルダおよびアクセス制御情報の削除依頼をファイルサーバ50に送信し(ステップS211)、ファイルサーバ50は、通知された「ユーザID」の名称をもつフォルダおよびアクセス制御情報を削除する削除処理を実行する(ステップS212)。なお、VPN装置10とファイルサーバ50とが同じ筐体で実現される場合には、ステップS209とステップS210を実施する必要はない。
[実施例1による効果]
このように、実施例1によれば、VPN装置10は、VPNを接続する際に得られた社員宅端末の利用者を識別する識別情報に基づいて、社員宅端末のアクセスを制御するための情報を示すアクセス制御情報を作成し、社員宅端末を識別する識別情報に基づいて、社員宅端末の利用者に対応するリソースをファイルサーバ50上に生成する。そして、ファイルサーバ50は、VPN装置10により作成されたアクセス制御情報に従って、VPN装置10により生成されたリソースへのアクセス制御を行う。このようにすることで、VPN接続時に使用した識別情報を用いてアクセス制御を実施することができるため、VPN接続後のファイルサーバアクセス時にユーザ認証をする必要がなく、つまり、VPN接続時とファイルサーバアクセス時との2回ユーザ認証を実施する必要がないので、セキュリティを向上させつつ、ユーザの利便性を向上させることが可能である。
また、実施例1によれば、VPN装置10は、リソースの名前に識別情報を用いることもできる。このようにすることで、利用者は、自分のフォルダを容易に認識することができるので、ユーザの利便性がさらに向上し、会社側は、VPN接続を行って社内LANにアクセスする利用者を容易に特定することができるので、不正な第三者を容易に発見することができ、セキュリティをさらに向上させることが可能である。
また、実施例1によれば、VPN装置10は、ファイルサーバ50と同じネットワークに存在する端末に対しては、リソースへのアクセスを許可することができる。このようにすることで、社内LANなどの管理者は、VPN接続で作成された各リソースを監視することができ、セキュリティをさらに向上させることが可能である。
ところで、実施例1では、VPN接続時の認証ログ(通信ログ)から識別情報である「ルータ側IPアドレスとユーザID」を抽出して、フォルダ作成およびアクセス制御情報生成を行う例について説明したが、本発明はこれに限定されるものではなく、VPNセッションから識別情報を取得することもできる。
そこで、実施例2では、図9と図10とを用いて、VPNセッションから識別情報を取得して、フォルダ作成およびアクセス制御情報生成を行う例について説明する。
まず、図9を用いて、フォルダ作成およびフォルダアクセス処理の流れを説明する。図9は、実施例2に係るアクセス制御システムにおけるフォルダ作成およびフォルダアクセス処理の流れを示すフローチャートである。図9に示すように、社員宅の端末は、VPNソフトウエアを実行して、社員宅LANのRouterに対して社内LANへの接続要求(ユーザID、パスワード)を送信すると(ステップS301)、Routerは、この接続要求を中継して、VPN接続のログイン処理要求(ユーザID、パスワード)をVPN装置10に送信する(ステップS302)。
このログイン処理要求を受け付けたVPN装置10のVPN接続部31は、受信した「ユーザID、パスワード」が認証情報DB22に記憶されているか否かを判定する(ステップS303とステップS304)。
そして、受信した「ユーザID、パスワード」が認証情報DB22に記憶されており、接続要求を送信した社員宅端末の認証を許可すると判定したVPN装置10のVPN接続部31は、認証を許可する旨の応答であり、VPNセッション情報であるセッション情報をRouterを介して社員宅端末に送信し、社員宅端末との間にVPNを確立する(ステップS305〜ステップS307)。
続いて、VPN接続部31は、受信した接続要求や接続確立したVPNセッションから「イントラネット側IPアドレスとユーザID」を抽出して、アクセス制御情報作成部33に出力する(ステップS308)。
そして、実施例1と同様に、アクセス制御情報作成部33は、受信した「イントラネット側IPアドレスとユーザID」に基づいて、アクセス制御情報を作成してアクセス設定依頼を送信する(ステップS309)。
その後、リソース生成部34は、サーバ情報DB23に記憶されるファイルサーバ50の管理者情報を取得する(ステップS310とステップS311)。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、通知された「ユーザID」の名称をもつフォルダをHomeDirに作成するとともに、アクセス制御情報作成部33から受信したアクセス制御情報を作成した「ユーザID」フォルダにコピー(格納)する(ステップS312とステップS313)。
その後の処理は、実施例1のステップS118〜ステップS123と同様であるので、ここでは詳細な説明は省略する。
次に、図10を用いて、フォルダおよびアクセス設定削除処理の流れを説明する。図10は、実施例2に係るアクセス制御システムにおけるフォルダおよびアクセス設定削除処理の流れを示すフローチャートである。
図10に示すように、社員宅の端末は、社員宅LANのRouterに対して社内LANとの接続を切断する接続切断要求を送信すると(ステップS401)、Routerは、この接続切断要求を中継して、VPN装置10に送信する(ステップS402)。
この接続切断要求を受信したVPN装置10のVPN接続部31は、Routerを介して、接続切断を許可する応答を社員宅端末に送信する(ステップS403とステップS404)。
続いて、VPN接続部31は、VPN切断時にVPNセッションから「イントラネット側IPアドレスとユーザID」を取得し、取得した「イントラネット側IPアドレスとユーザID」とともにアクセス制御情報削除依頼をリソース生成部34に出力する(ステップS405)。
その後、リソース生成部34は、サーバ情報DB23に記憶されるファイルサーバ50の管理者情報を取得する(ステップS406とステップS407)。続いて、リソース生成部34は、取得した管理者情報を用いてファイルサーバ50に管理者権限でアクセスし、通知された「ユーザID」の名称をもつフォルダおよびアクセス制御情報の削除依頼をファイルサーバ50に送信し(ステップS408)、ファイルサーバ50は、通知された「ユーザID」の名称をもつフォルダおよびアクセス制御情報を削除する削除処理を実行する(ステップS409)。
このようにすることで、認証ログを確保する領域を削除することができ、資源を有効的に活用することができる。また、認証ログを定期的に監視する必要がないので、CPUの負荷を軽減することもでき、さらには、認証ログから抽出する処理を省略することができるので、処理の高速化が図れる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)アドレス対応表、(2)SIP(Session Initiation Protocol)、(3)システム構成等、(4)プログラムにそれぞれ区分けして異なる実施例を説明する。
(1)アドレス対応表
例えば、実施例1では、アクセス制御システムは、VPN接続を確立する場合に、VPN接続を行う社員宅端末用イントラネット側IPアドレスを自動的に割り当てた後に、アクセス制御情報を作成する例について説明したが本発明はこれに限定されるものではない。
本願が開示するアクセス制御システムは、社員宅端末がインターネット上で使用するグローバルアドレス(ルータ側IPアドレス)と社員宅端末がVPNで使用するプライベートアドレス(イントラネット側IPアドレス)とを対応付けて記憶しておき、VPNで接続される社員宅端末のグローバルアドレスに対応するプライベートアドレスを記憶している場合にのみアクセス制御情報を作成するようにしてもよい。
(2)SIP
また、実施例1と2では、インターネットを利用したVPNによって認証した場合について述べたが、本発明はこれに限定されるものではなく、本願が開示するアクセス制御システムは、SIPを利用したダイアルアップVPNの接続技術(参考文献1:広帯域でセキュアな家庭LAN間を接続するVPN接続方式、2007年、電子情報通信学会BS-5-6、参考文献2:電話機をインタフェースとした家庭内LAN間接続システム、2007年、電子情報通信学会B-6-31)を適用することもできる。
この場合、実施例1と2で説明した「イントラネット側IPアドレス」の変わりに「電話番号」や「SIP−URI(Session Initiation Protocol−Uniform Resource Identifier)」を用いたアクセス制御情報を作成することにより、実施例1や2と同様の処理を実行することができる。このようにすることにより、音声などのデータ通信に関しても本発明を適用することができ、利用者のニーズに合わせた幅広いサービスを提供することができる。
(3)システム構成等
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、認証ログ抽出処理など)の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理(例えば、VPN接続時のユーザIDとパスワード入力処理など)の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3〜図6など)については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、アクセス制御情報作成部とリソース生成部とを統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(4)プログラム
なお、本実施例で説明した接続制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係るアクセス制御システム、接続制御装置および接続制御方法は、利用者端末がアクセスするリソースを保持するファイルサーバと、利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システムに有用であり、特に、セキュリティを向上させつつ、ユーザの利便性を向上させることに適する。
実施例1に係るアクセス制御システムの全体構成を示すシステム構成図である。 実施例1に係るアクセス制御システムの構成を示すブロック図である。 アドレス情報DBに記憶される情報の例を示す図である。 認証情報DBに記憶される情報の例を示す図である。 サーバ情報DBに記憶される情報の例を示す図である。 アクセス制御情報の例を示す図である。 実施例1に係るアクセス制御システムにおけるフォルダ作成およびフォルダアクセス処理の流れを示すフローチャートである。 実施例1に係るアクセス制御システムにおけるフォルダおよびアクセス設定削除処理の流れを示すフローチャートである。 実施例2に係るアクセス制御システムにおけるフォルダ作成およびフォルダアクセス処理の流れを示すフローチャートである。 実施例2に係るアクセス制御システムにおけるフォルダおよびアクセス設定削除処理の流れを示すフローチャートである。
符号の説明
10 VPN装置
11 LANアダプターA
12 LANアダプターB
20 記憶部
21 アドレス情報DB
22 認証情報DB
23 サーバ情報DB
30 制御部
31 VPN接続部
32 認証ログ抽出部
33 アクセス制御情報作成部
34 リソース生成部
50 ファイルサーバ
51 LANアダプター
52 リソース
60 制御部
61 アクセス制御部

Claims (8)

  1. 利用者端末がアクセスするリソースを保持するファイルサーバと、前記利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システムであって、
    前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成するアクセス制御情報作成手段と、
    前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成手段と、
    前記アクセス制御情報作成手段により作成されたアクセス制御情報に従って、前記リソース生成手段により生成されたリソースへのアクセス制御を行うアクセス制御手段と、
    を備えたことを特徴とするアクセス制御システム。
  2. 前記利用者端末がインターネット上で使用するグローバルアドレスと前記利用者端末が前記仮想的な通信路で使用するプライベートアドレスとを対応付けて記憶するアドレス情報記憶手段をさらに備え、
    前記アクセス制御情報作成手段は、前記仮想的な通信路で接続される利用者端末のグローバルアドレスに対応するプライベートアドレスが前記アドレス情報記憶手段に記憶される場合に、前記アクセス制御情報を作成することを特徴とする請求項1に記載のアクセス制御システム。
  3. 前記リソース生成手段は、前記リソースの名前に前記識別情報を用いることを特徴とする請求項1または2に記載のアクセス制御システム。
  4. 前記アクセス制御情報作成手段は、前記ファイルサーバと同じネットワークに存在する端末に対しては、前記リソースへのアクセスを許可するアクセス制御情報を作成することを特徴とする請求項1〜3のいずれか一つに記載のアクセス制御システム。
  5. 前記仮想的な通信路は、SIPを用いて接続されたものであって、
    前記アクセス制御情報作成手段は、前記仮想的な通信路を接続する際に得られた前記利用者端末の発電話番号に基づいて、前記アクセス制御情報を作成することを特徴とする請求項1に記載のアクセス制御システム。
  6. 利用者端末がアクセスするリソースを保持するファイルサーバと、前記利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システムであって、
    前記接続制御装置は、
    前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成して、前記ファイルサーバに格納するアクセス制御情報作成手段と、
    前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成手段と、を有し、
    前記ファイルサーバは、
    前記アクセス制御情報作成手段により作成されたアクセス制御情報に従って、前記リソース生成手段により生成されたリソースへのアクセス制御を行うアクセス制御手段、
    を備えたことを特徴とするアクセス制御システム。
  7. 利用者端末がアクセスするリソースを保持するファイルサーバと、、前記利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システムにおける前記接続制御装置であって、
    前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成して、前記ファイルサーバに格納するアクセス制御情報作成手段と、
    前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成手段と、
    を備えたことを特徴とする接続制御装置。
  8. 利用者端末がアクセスするリソースを保持するファイルサーバと、前記利用者端末と前記ファイルサーバが属するネットワークとの間を仮想的な通信路で接続する接続制御装置とを有するアクセス制御システムにおける前記接続制御装置に適した接続制御方法であって、
    前記仮想的な通信路を接続する際に得られた前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末のアクセスを制御するための情報を示すアクセス制御情報を作成して、前記ファイルサーバに格納するアクセス制御情報作成工程と、
    前記利用者端末の利用者を識別する識別情報に基づいて、前記利用者端末の利用者に対応するリソースを前記ファイルサーバ上に生成するリソース生成工程と、
    を含んだことを特徴とする接続制御方法。
JP2008205555A 2008-08-08 2008-08-08 アクセス制御システム、接続制御装置および接続制御方法 Expired - Fee Related JP4878043B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008205555A JP4878043B2 (ja) 2008-08-08 2008-08-08 アクセス制御システム、接続制御装置および接続制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008205555A JP4878043B2 (ja) 2008-08-08 2008-08-08 アクセス制御システム、接続制御装置および接続制御方法

Publications (2)

Publication Number Publication Date
JP2010039994A JP2010039994A (ja) 2010-02-18
JP4878043B2 true JP4878043B2 (ja) 2012-02-15

Family

ID=42012429

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008205555A Expired - Fee Related JP4878043B2 (ja) 2008-08-08 2008-08-08 アクセス制御システム、接続制御装置および接続制御方法

Country Status (1)

Country Link
JP (1) JP4878043B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2924925A4 (en) * 2012-11-22 2016-10-05 Nec Corp COMMUNICATION SYSTEM, VIRTUAL NETWORK MANAGEMENT DEVICE, COMMUNICATION NODES AND COMMUNICATION PROCESS AND PROGRAM
MY167995A (en) * 2014-10-17 2018-10-10 Mimos Berhad System for improving security in a vpn workflow

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041453A (ja) * 2000-07-31 2002-02-08 Mitsubishi Heavy Ind Ltd 通信回線を利用した計算方法
JP2002342144A (ja) * 2001-05-21 2002-11-29 Toshiba Corp ファイル共有システム、プログラムおよびファイル受渡し方法
JP4152753B2 (ja) * 2003-01-09 2008-09-17 日本電信電話株式会社 ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム

Also Published As

Publication number Publication date
JP2010039994A (ja) 2010-02-18

Similar Documents

Publication Publication Date Title
US7698388B2 (en) Secure access to remote resources over a network
US9258308B1 (en) Point to multi-point connections
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
JP4708376B2 (ja) プライベートネットワークへのアクセスを安全にする方法およびシステム
JP5375976B2 (ja) 認証方法、認証システムおよび認証プログラム
WO2018095416A1 (zh) 信息处理方法、装置及系统
WO2017161706A1 (zh) 一种局域网内网资源的访问控制方法、装置及网关设备
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
TW201312370A (zh) 與一公用雲端網路一同使用之方法及系統
JPH103420A (ja) アクセス制御システムおよびその方法
JP2003204338A (ja) 無線lanシステム、アクセス制御方法およびプログラム
CN113595847B (zh) 远程接入方法、系统、设备和介质
CN107800695A (zh) 基于Samba协议的文件访问方法、装置、系统
CN108600207B (zh) 基于802.1x与savi的网络认证与访问方法
CN115694960A (zh) 一种应用代理方法、装置、设备及可读存储介质
JP2005501354A (ja) 単一ipアドレスを介して複数のウェブ・ドメインによりウェブ・サービスを提供する方法およびシステム
RU2387089C2 (ru) Способ предоставления ресурсов с ограниченным доступом
JP4878043B2 (ja) アクセス制御システム、接続制御装置および接続制御方法
CN111628960B (zh) 用于连接至专用网络上的网络服务的方法和装置
EP1039724A2 (en) Method and apparatus providing for internet protocol address authentication
JP2015505626A (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
JP3953963B2 (ja) 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム
CN118432957B (zh) 一种网络通信的管控方法、可读存储介质、设备及产品
JP2018110012A (ja) 認証システム及び認証方法
WO2006096875A1 (en) Smart tunneling to resources in a remote network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100723

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111122

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111124

R150 Certificate of patent or registration of utility model

Ref document number: 4878043

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141209

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees