虛擬網絡構建系統、方法、小型終端及認證伺服器的製造方法

2023-05-17 00:27:46 1

虛擬網絡構建系統、方法、小型終端及認證伺服器的製造方法
【專利摘要】本發明公開了一種虛擬網絡構建系統、方法、小型終端及認證伺服器。本發明的虛擬網絡構建系統包括可裝卸地安裝在客戶終端的小型終端和認證伺服器；其中所述小型終端包括：標識發送單元，在連接單元的連接狀態下，通過客戶終端向認證伺服器自動發送標識，認證伺服器包括：認證單元，基於小型終端的標識進行認證；分配單元，根據選擇的通信協議和加密方式，向客戶終端分配用於加密通信的軟體；接收單元，用於接收從分配的軟體自動發送的、請求訪問對象裝置的訪問請求信息；重定向單元，根據接收到的訪問請求信息，對客戶終端與對象裝置的訪問進行代理響應。
【專利說明】虛擬網絡構建系統、方法、小型終端及認證伺服器
【技術領域】
[0001]本發明涉及虛擬網絡構建系統、方法、小型終端及認證伺服器。
【背景技術】
[0002]近年來，作為從外部訪問組織等安全的專用網絡的系統，人們多使用構建VPN(Virtual Private Network:虛擬專用網絡)等虛擬網絡的系統代替專用線路。VPN對通信數據進行封裝通信，使公共線路的一般用戶看不到，通過採用隧道技術得以實現。
[0003]以往多使用例如 IPSec-VPN (Security Architecture for InternetProtocol-VPN)或 SSL-VPN (Secure Socket Layer-VPN)作為 VPN 系統。IPSec-VPN 通過IPSec協議加密IP數據包，進行網絡層上的訪問控制。另一方面，SSL-VPN利用SSL加密IP數據包，進行應用層上的訪問控制。
[0004]但是，現有的IPSec-VPN系統，在客戶端側需要安裝專用應用程式，管理者負擔較大。而且，這如同在安全的專用網絡上開了孔洞，存在安全上的風險。
[0005]另一方面，當為SSL-VPN時，只需用ID和密碼進行認證就能夠訪問，因此存在安全強度低，而且可使用的應用程式局限於WEB的問題。
[0006]專利文獻I公開了通過組合IPSec-VPN和SSL-VPN中的訪問控制，由SSL/TLS安全地提供向專用網絡訪問的系統。該系統包括:路由選擇要素，用於對計算機系統上保存的路由選擇表實施變更；接收器，用於從該計算機系統接收外部發送包；發送器，用於與該接收器通信，將關於該外部發送包的信息發送給VPN客戶端應用層；封包改寫器，用於與該接收器和該發送器通信，並改寫該外部發送包的地址信息。
[0007]【現有技術文獻】
`[0008]【專利文獻】
[0009]【專利文獻I】特開2007-202178號公報
【發明內容】

[0010]發明所要解決的技術問題
[0011]但是，專利文獻I公開的系統，由於公開了進行認證的伺服器的URL，有可能受到心存惡意的第三者的非法訪問和網絡恐怖主義等的攻擊。而且，由於使用ID和密碼進行認證，因此，如果通過密碼破解和竊聽等導緻密碼被盜取，任何人都將能夠輕易地進行訪問。
[0012]因此，本發明是鑑於上述問題而提出的，其目的在於提供一種虛擬網絡構建系統、虛擬網絡構建方法、虛擬網絡構建程序和小型終端。所述虛擬網絡構建系統、虛擬網絡構建方法、虛擬網絡構建程序和小型終端能夠對專用網絡進行自動訪問和認證，而且認證伺服器無需搭載WEB功能和VPN路由功能就能構建虛擬網絡。
[0013]解決技術問題的技術手段
[0014]本發明的虛擬網絡構建系統，包括:客戶終端，通過公共線路訪問專用網絡；認證伺服器，進行客戶終端的認證；對象裝置，配置在專用網絡上，其中小型終端包括:連接單元，連接客戶終端；標識發送單元，在連接單元的連接狀態下，通過客戶終端向認證伺服器自動發送標識，認證伺服器包括:認證單元，基於小型終端的標識進行認證；通信方法選擇單元，在認證單元進行認證時，選擇客戶終端與認證伺服器進行通信的通信協議和加密方式；分配單元，根據選擇的通信協議和加密方式，向客戶終端分配用於加密通信的軟體；力口密單元，基於選擇的通信協議和加密方式，加密與客戶終端的通信；接收單元，用於接收從分配到的軟體自動發給對象裝置的訪問請求信息；重定向單元，根據接收到的訪問請求信息，對客戶終端與對象裝置的訪問進行代理響應。
[0015]「專用網絡」是指企業等組織內網絡。也可以是區域網等用防火牆從公共線路隔離的封閉的網絡。
[0016]「對象裝置」是指配置在專用網絡上的裝置。也可以是電子郵件伺服器和WEB伺服器等在企業等的組織內部提供服務的裝置。
[0017]「小型終端」是指用於虛擬網絡構建系統的小型的終端，可與客戶終端連接，也可以是具有可攜帶尺寸的物體。
[0018]「連接單元」是指與客戶終端連接的部分。作為連接接口，可利用USB (UniversalSirial Bus)、IEEE139等串行總線進行連接。
[0019]「標識發送單元」是指向認證伺服器發送標識的單元。也可以是連接單元與客戶終端連接時，自動發送標識的單元。
[0020]「標識」是指在小型終端上記錄固有信息的符號。具體為，是指小型終端ID、認證
用數據等。
[0021]而且，小型終端也可以不設置用於記錄從客戶終端發送的數據的內存。例如，將連接單元和標識發送單元直接寫入CMOS線路上加以控制，因此可以不設置內存。
[0022]「認證單元」是指對欲進行訪問的終端進行認證的單元。也可以是對訪問源的小型終端的標識與記錄在資料庫上的標識進行比較，如果一致則允許訪問的單元。
[0023]「分配單元」是指向客戶終端分配軟體的單元。也可以是分配用於加密通信的軟體的單元。分配單元也可以是根據小型終端的標識選擇要分配的軟體種類的單元。
[0024]「通信方法選擇單元」是指選擇客戶終端與認證伺服器的通信方法的單元。也可以是根據小型終端的標識，選擇通信協議和加密方式的單元。例如，可以選擇AH(Authentication Header),ESP (Encapsulated Security Payload)和 IKE (Internet KeyExchange)等作為通信協議。
[0025]「加密單元」是指加密作為訪問源的終端和認證伺服器的通信的單元。加密單元也可以是根據標識，利用RC4，3EDS或者AES中的任一加密方式對通信進行加密的單元。
[0026]「接收單元」是指接收向對象裝置的訪問請求信息的單元。
[0027]「訪問請求信息」是指對認證伺服器提出希望訪問哪個裝置的客戶終端提出的請求信息。也可以是能夠特定期望訪問的對象裝置的、包括IP位址等的信息。
[0028]「重定向單元」是指直接代理客戶終端與對象裝置的連接的單元。也可以作為代理伺服器發揮作用。具體為，若存在從公共線路訪問對象裝置的終端，則使全部終端均訪問重定向單元，從對象裝置只獲取緩存中沒有的信息(將從公共線路接收的請求傳達給對象裝置)。
[0029]「軟體」是指從認證伺服器分配到客戶終端，用於加密認證伺服器與客戶終端的通信的軟體。從分配單元分配到客戶終端的軟體，既可在客戶終端上作為臨時文件保存，也可以安裝後展開。
[0030]另外，軟體可具備根據選擇的通信協議，在客戶終端自動變更客戶終端的網絡設定的網絡設定功能。
[0031]「網絡設定功能」是指改寫網絡設定的功能。例如，可以變更客戶終端的IP位址、網址、路由選擇表等的設定。
[0032]另外，軟體可以具備判斷連接單元與客戶終端的連接已斷開，在客戶終端自動刪除訪問請求信息和軟體的刪除功能。
[0033]「刪除功能」是指刪除記錄在小型終端上的信息的功能。也可以是刪除訪問請求信息和軟體的功能。
[0034]另外，軟體可以具有用於在客戶終端上顯示訪問用畫面的畫面顯示功能。
[0035]「訪問用畫面」是指客戶終端訪問對象裝置時，在客戶終端上顯示的畫面。另外，軟體可具有當判斷連接單元與客戶終端的連接已斷開時，不顯示訪問用畫面的功能。具體地，訪問用畫面可以為在小型終端與客戶終端連接時進行顯示，斷開連接時則不進行顯示的畫面。
[0036]「畫面顯示功能」是指在客戶終端顯示訪問用畫面的功能。而且，畫面顯示功能可以是隱匿表示認證伺服器位置的識別信息的功能。例如，在訪問用畫面上可以不顯示認證伺服器和對象裝置的URL。
[0037]「客戶終端」是指具有與認證伺服器進行通信的通信線路的終端。例如，可以舉出筆記本電腦，手機等攜帶終端。
[0038]而且，本發明的、包括通過公共線路訪問專用網絡的客戶終端、進行客戶終端認證的認證伺服器和配置在專用網絡上的對象裝置的虛擬網絡構建方法，，所述虛擬網絡構建方法能夠實現如下步驟:將從客戶終端裝卸可能的小型終端連接到客戶終端的步驟；在連接單元的連接狀態下，通過客戶終端向認證伺服器自動發送標識的步驟；認證伺服器基於小型終端的標識進行認證的步驟；在認證單元進行認證時，選擇客戶終端與認證伺服器進行通信的通信協議和加密方式的步驟；根據選擇的通信協議和加密方式，向客戶終端分配用於加密通信的軟體的步驟；基於選擇的通信協議和加密方式，加密與客戶終端進行的通信的步驟；接收從分配的軟體自動發送的、請求訪問對象裝置的訪問請求信息的步驟；根據接收到的訪問請求信息，客戶終端與對象裝置的訪問進行代理響應的步驟。
[0039]而且，本發明的虛擬網絡構建系統的小型終端，位於包括通過公共線路訪問專用網絡的客戶終端、進行客戶終端的認證的認證伺服器和配置在專用網絡上的對象裝置的虛擬網絡構建系統。所述小型終端包括:連接單元，用於連接客戶終端；標識記錄單元，用於記錄使認證伺服器進行認證的標識；標識發送單元，在連接單元的連接狀態下，通過客戶終端，向認證伺服器自動發送標識。所述小型終端，為了使客戶終端訪問對象裝置，基於標識，使認證伺服器認證客戶終端，並能夠從客戶終端裝卸。
[0040]而且，本發明的虛擬網絡構建系統的認證伺服器，位於包括通過公共線路訪問專用網絡的客戶終端、進行客戶終端認證認證伺服器和配置在專用網絡上的對象裝置的虛擬網絡構建系統的認證伺服器。所述認證伺服器包括:受理單元，用於接收記錄在連接於客戶終端的小型終端上的標識；認證單元，基於標識進行認證；通信方法選擇單元，在認證單元進行認證時，用於選擇客戶終端與認證伺服器進行通信的通信協議和加密方式；分配單元，根據選擇的通信協議和加密方式，向客戶終端分配用於加密通信的軟體；加密單元，基於選擇的通信協議和加密方式，加密與客戶終端的通信；接收單元，用於接收從分配的軟體自動發送的，請求訪問對象裝置的訪問請求信息；重定向單元，根據接收到的訪問請求信息，對客戶終端與對象裝置的訪問進行代理響應。
[0041]本發明所涉及的虛擬網絡構建系統，虛擬網絡構建方法能夠實現如下步驟:將可裝卸地安裝在客戶終端的小型終端連接到客戶終端的步驟；在連接單元的連接狀態下，通過客戶終端向認證伺服器自動發送標識的步驟；認證伺服器基於小型終端的標識進行認證的步驟；在認證單元進行認證時，選擇客戶終端與認證伺服器進行通信的通信協議和加密方式的步驟；根據選擇的通信協議和加密方式，向客戶終端分配用於加密通信的軟體的步驟；基於選擇的通信協議和加密方式，加密與客戶終端的通信的步驟；接收從分配的軟體自動發送的、請求訪問對象裝置的訪問請求信息的步驟；根據接收到的訪問請求信息，對客戶終端與對象裝置的訪問進行代理響應的步驟。在虛擬網絡構建方法實現上述步驟時，小型終端可自動進行與認證伺服器的連接，從而限定對企業等的組織內專用網絡能夠進行訪問的終端。而且，認證伺服器無需搭載WEB功能和VPN路由器功能，因此能夠減少來自心存惡意的第三者的攻擊的可能性。
[0042]另外，本發明所涉及的小型終端包括:連接單元，用於連接客戶終端；標識記錄單元，用於記錄使認證伺服器進行認證的標識；標識發送單元，在連接單元的連接狀態下，通過客戶終端，向認證伺服器自動發送標識。小型終端為了使客戶終端訪問對象裝置，使認證伺服器基於標識對客戶終端進行認證、並可裝卸地安裝在客戶終端，此時通過將小型終端連接到客戶終端，使用者能夠自動訪問專用網絡上的對象裝置。
[0043]另外，本發明所涉及的認證伺服器包括:受理單元，用於接收記錄在連接於客戶終端的小型終端上的標識；認證單元，基於標識進行認證；通信方法選擇單元，在認證單元進行認證時，用於選擇客戶終端與認證伺服器進行通信的通信協議和加密方式；分配單元，根據選擇的通信協議和加密方式，向客戶終端分配用於加密通信的軟體；加密單元，基於選擇的通信協議和加密方式，加密與客戶終端的通信；接收單元，用於接收從分配到的軟體自動發送的，向對象裝置的訪問請求信息；重定向單元，根據接收到的訪問請求信息，代理響應客戶終端與對象裝置的訪問。當認證伺服器具備上述單元時，則無需搭載WEB功能，從而能夠減少來自存有惡意的第三者的攻擊的可能。
[0044]另外，本發明的加密單元在根據標識，採用RC4、3DES或者AES中的任一加密方式對通信進行加密時，可根據組織內網絡的安全級別，選擇適當的加密方式。
[0045]另外，本發明的小型終端為不設有用於記錄從客戶終端發送的數據的內存的終端時，能夠防止小型終端上的信息被拷貝，還能夠在小型終端上存儲信息從而防止被盜取。
[0046]另外，當本發明的軟體具有根據選擇的通信協議自動變更客戶終端的網絡設定的網絡設定功能時，在使用者訪問企業內的網絡時，無需配置路由器等專用網絡機器，而且能夠省略複雜的網絡設定。
[0047]而且，當本發明的軟體具有判斷連接單元與客戶終端的連接已斷開，刪除訪問請求信息和軟體的刪除功能時，能夠從客戶終端刪除有關連接的信息，從而能夠防止歷史記錄被惡意利用。[0048]另外，當本發明的軟體具有用於在客戶終端顯示訪問用畫面的畫面顯示功能時，能夠防止從搭載在客戶終端上的瀏覽器訪問認證伺服器，並能夠使用軟體對緩存和訪問歷史記錄等信息進行管理。
[0049]另外，本發明的畫面顯示功能隱匿顯示認證伺服器位置的識別信息時，通過對心存惡意的第三者隱匿認證伺服器的位置，從而能夠提高安全性。
[0050]另外，本發明所涉及的軟體具備判斷連接單元與客戶終端的連接已斷開、不顯示訪問用畫面的功能時，通過從客戶終端斷開小型終端，能夠不顯示訪問用畫面。
【專利附圖】

【附圖說明】
[0051]圖1為本發明的第一實施方式的虛擬網絡構建系統的處理概略圖。
[0052]圖2為本發明的第一實施方式的虛擬網絡構建系統的框圖。
[0053]圖3為表示本發明的第一實施方式的小型終端的處理的流程圖。
[0054]圖4為表示本發明的第一實施方式的認證伺服器的處理的流程圖。
[0055]圖5為表示本發明的第一實施方式的客戶終端訪問時的處理的流程圖。
[0056]圖6為表示本發明的第一實施方式的客戶終端斷開時的處理的流程圖。
[0057]圖7為表示本發明的第二實施方式的虛擬網絡構建系統的框圖。
[0058]圖8為表示本發明的第二實施方式的客戶終端訪問時的處理的流程圖。
[0059]圖9為表示本發明的第二實施方式的客戶終端斷開時的處理的流程圖。
[0060]附圖標記說明
[0061]100 認證伺服器
[0062]101 資料庫
[0063]102 認證單元
[0064]110 受理單元
[0065]111 分配單元
[0066]112 通信方法選擇單元
[0067]113 加密單元
[0068]114 接收單元
[0069]115 重定向單元
[0070]200 小型終端
[0071]201 標識符存儲單元
[0072]202 連接單元
[0073]203 標識符發送單元
[0074]250 客戶終端
[0075]251 加密通信單元
[0076]252 畫面顯示單元
[0077]253 刪除單元
[0078]254 網絡設定單元
[0079]300 對象裝置
[0080]301 WEB 伺服器[0081]302電子郵件伺服器
[0082]303業務伺服器
[0083]800公用線路
[0084]850防火牆
【具體實施方式】 [0085]第一實施方式
[0086]下面，參照附圖1至圖6說明本發明的第一實施方式。
[0087]在本實施方式中，虛擬網絡構建系統具備認證伺服器100、客戶終端250、小型終端200和對象裝置300。
[0088]在第一實施方式中，虛擬網絡構建系統包括小型終端200和認證伺服器100。所述小型終端200包括:連接單元202，與客戶終端250連接；標識發送單元203，在連接單元202的連接狀態下，通過客戶終端250向認證伺服器100自動發送標識的，並能夠從客戶終端250裝卸。所述認證伺服器100包括:認證單元102，基於小型終端200的標識進行認證；通信方法選擇單元112，用於在認證單元102進行認證時，選擇客戶終端250與認證伺服器100進行通信的通信協議和加密方式；分配單元111，根據選擇的通信協議和加密方式，向客戶終端250分配用於加密通信的軟體；加密單元113，基於選擇的通信協議和加密方式，加密與客戶終端250的通信；接收單元114，用於接收從分配的軟體自動發送的、請求訪問對象裝置300的訪問請求信息；重定向單元115，根據接收到的訪問請求信息，對客戶終端250與對象裝置300的訪問進行代理響應。
[0089]虛擬網絡構建系統包括計算機或者伺服器，CPU通過基於各種輸入實施記錄在ROM上的程序，從而作為各種功能單元進行操作。該程序被保存在CD-ROM等存儲介質中，或者通過網際網路等網絡被分配，並安裝於計算機。
[0090]參照圖1說明本實施方式的虛擬網絡構建系統的處理概略圖。
[0091]首先，小型終端200與客戶終端250連接時(步驟1)，向認證伺服器100發送標識(步驟2)。
[0092]標識是指在小型終端200上記錄的固有信息。更為具體地，是指小型終端200的ID和認證用數據等。
[0093]根據發來的標識，認證伺服器100進行認證(步驟3)。認證伺服器100將從小型終端200自動發送的標識用於認證，因此無需具備訪問用WEB功能，能夠進一步提高安全強度。
[0094]認證伺服器100若認證成功，則根據標識向客戶終端250分配軟體(步驟4)。
[0095]軟體從認證伺服器100被分配到客戶終端250，加密認證伺服器100與客戶終端250的通信。從分配單元111分配到客戶終端250的軟體，在本實施方式中作為臨時文件被保存在客戶終端250，但也可以安裝後展開。
[0096]軟體具有加密等功能。認證伺服器100在多個加密方式中，選擇對應標識的加密方式，分配適當的軟體。在本實施方式中，客戶終端250與認證伺服器100採用3DES進行加密，通過IPSec-VPN方式進行通信。在本實施方式中，將軟體分成一次和二次進行分配。每個軟體都對從客戶終端250向認證伺服器100的通信進行加密。一次軟體在認證伺服器100對小型終端200發送的標識進行認證後被分配，並發送訪問請求信息。第二次軟體是基於一次軟體發送的訪問請求信息，在認證伺服器100進行認證之後被分配，並顯示訪問用畫面。
[0097]客戶終端250將分配的一次軟體作為臨時文件保存(步驟5)。
[0098]如有必要，一次軟體適當變更客戶終端250的設定(步驟6)。在本實施方式中，客戶終端250通過IPSec-VPN訪問認證伺服器100，因此有必要變更設定。此時，改寫客戶終端250的IP位址、網址、默認網關等的設定，以使與設有對象裝置300的網絡屬於相同網絡，並在路由選擇表裡增加區域網路由器的所在地。由此，軟體自動進行客戶終端250的網絡設定變更，因此不需要配置複雜的網絡設定處理和專用路由器等設備。
[0099]當客戶終端250的網絡設定處於適當狀態時，一次軟體加密與認證伺服器100的通信(步驟7)。在本實施方式中，通過3DES進行加密。通過被加密的通信，一次軟體向認證伺服器100發送訪問請求信息(步驟8)。
[0100]訪問請求信息是指對認證伺服器100請求期望訪問哪個對象裝置的信息。具體為，為了能夠特定期望訪問的對象裝置300，所述訪問請求信息包含IP位址等信息。在本實施方式中，包含電子郵件伺服器302和業務伺服器303的IP位址。
[0101]認證伺服器100根據一次軟體的ID和分配歷史記錄等認證一次軟體是否有效(步驟9)，對於認證成功的客戶終端250分配二次軟體(步驟9)。然後，重定向單元115進行代理響應(步驟11)。具體為，對於訪問請求信息中的保存在認證伺服器100的緩存上的信息，響應緩存上的信息，而對於不在緩存上的信息從電子郵件伺服器302或者業務伺服器303獲取，並傳達給客戶終端250 (步驟10)。
[0102]二次軟體在客戶終端250上顯示訪問用畫面，並顯示從認證伺服器100獲取的信息(步驟12)。由此，使用者能夠從公共線路800獲取企業內電子郵件伺服器302上的電子郵件，而且，能夠閱覽保存在業務伺服器303上的文件等。
[0103]訪問用畫面是指，通過認證伺服器100的傳達，當客戶終端250訪問對象裝置300時，顯示在客戶終端250上的畫面。在本實施方式中，使用者在訪問用畫面上閱覽電子郵件伺服器302的電子郵件和業務伺服器303的文件。具體為，在具有諸如標籤(tab)結構的瀏覽器的畫面上，利用標籤切換顯示對象，以閱覽電子郵件和文件。
[0104]二次軟體判斷連接單元202與客戶終端250的連接已斷開，可以下達不顯示訪問用畫面的指示。
[0105]訪問用畫面是指，通過認證伺服器100的傳達，在客戶終端250訪問對象裝置300時，在客戶終端250上顯示的畫面。
[0106]軟體判斷連接單元202與客戶終端250已斷開，可以下達不顯示訪問用畫面的指
/Jn ο
[0107]在本實施方式中，當小型終端200與客戶終端250連接時顯示訪問用畫面，而在連接斷開時則不顯示訪問用畫面。
[0108]當斷開小型終端200與客戶終端250的連接時(步驟13)，二次軟體刪除訪問用畫面、訪問歷史記錄和軟體(步驟14)。而且，將網絡設定恢復到通信前的狀態(步驟15)。
[0109]圖2是本實施方式的虛擬網絡構建系統的框圖。在本實施方式中，客戶終端250通過公共線路800訪問專用網絡上的對象裝置300。[0110]專用網絡是指企業等組織內的網絡。在本實施方式中是指，用防火牆850隔離公共線路800的企業的區域網。
[0111]對象裝置300是指配置在專用網絡上的裝置。在本實施方式中，對象裝置300是電子郵件伺服器302、WEB伺服器301和業務伺服器303。對象裝置300被設在防火牆850的內側。
[0112]若插入小型終端200，客戶終端250可從公共線路800訪問對象裝置300。此時，需要通過認證伺服器100的認證。認證伺服器100被設在DMZ上。另外，客戶終端250和小型終端200被設在公共線路800上。
[0113]小型終端200是指用於虛擬網絡構建系統的小型的終端，可與客戶終端250連接，並具有可攜帶的尺寸。小型終端200包括標識存儲單元201，連接單元202和標識發送單元203。
[0114]標識存儲單元201是指寫入標識的線路上的區域。
[0115]小型終端200在連接單元202中，與客戶終端250連接。可使用USB (UniversalSirial Bus)或IEEE1394等串行總線連接的接口作為連接接口。在本實施方式中，小型終端200與客戶終端250進行USB連接。
[0116]標識發送單元203是指向認證伺服器100發送標識的單元。連接單元202與客戶終端250連接時，自動發送標識。
[0117]而且，小型終端200可以不具備內存功能。例如，可通過在CMOS線路上直接寫入標識存儲單元201，連接單元202和標識發送單元203進行控制，因此可以不具備內存功能。此時，能夠防止心存惡意的使用者盜取小型終端200的標識，並能夠防止客戶終端250上的信息被拷貝到小型終端200上。
[0118]而且，如圖2所示，認證伺服器100包括資料庫101、認證單元102、受理單元110、分配單元111、通信方法選擇單元112、加密單元113、接收單元114和重定向單元115。
[0119]資料庫101中存有關於小型終端200的標識的信息。當小型終端200發來標識時，認證伺服器100與保存在資料庫101上的信息進行對照並進行認證。
[0120]受理單元110是指接收從小型終端200發送的標識的單元。
[0121]認證單元102對於來訪問的終端進行認證。本實施方式中，對訪問源的小型終端200的標識和記錄在資料庫101上的標識進行比較，如果一致則允許訪問。
[0122]分配單元111向作為訪問源的終端分配軟體。也可以分配用於加密通信的軟體(一次和二次)。在本實施方式中，分配單元111根據小型終端200的標識選擇分配軟體的種類。
[0123]通信方法選擇單元112選擇作為訪問源的終端與認證伺服器100的通信方法。通信方法選擇單元112，基於小型終端200的標識，選擇通信協議和加密方式。例如，可以選擇AH (Authentication Header)、ESP (Encapsulated Security Payload)和 IKE (InternetKey Exchange)等作為通信協議。
[0124]加密單元113加密作為訪問源的終端與認證伺服器100的通信。加密單元113也可以是:根據標識，利用RC4、3DES或者AES的某種加密方式對通信進行加密的單元。
[0125]接收單元114接收向對象裝置300的訪問請求信息。
[0126]重定向單元115代理客戶終端250與對象裝置300的連接，也可以是作為代理伺服器的功能。具體為，若存在從公共線路800訪問對象裝置300的終端，使全部終端均訪問重定向單元115，從對象裝置300隻獲取緩存中沒有的信息(將從公共線路800接收的請求傳達給對象裝置300)。
[0127]如圖2所示，客戶終端250通過分配一次和二次軟體，提供加密通信單元251。進一步地，一次和二次軟體，如本實施方式，可具備畫面顯示功能、刪除功能和網絡設定功能。為此，在本實施方式中，當客戶終端250被分配到一次和二次軟體時，如圖2所示，從一次和二次軟體提供畫面顯示單元252、刪除單元253和網絡設定單元254。
[0128]加密通信單元251加密從客戶終端250至認證伺服器100的通信。本實施方式中進行基於3DES方式的加密，通過IPSec-VPN進行通信。
[0129]畫面顯示單元252在客戶終端250上顯示訪問用畫面。而且,畫面顯示單元252可以隱匿表示認證伺服器100的位置的標識信息。例如，在訪問用畫面上可以不顯示認證伺服器100和對象裝置300的URL。由此，使用者能夠隱匿認證伺服器100的URL，能夠防止心存惡意的第三者根據認證伺服器100的URL進行攻擊。
[0130]網絡設定單元254改寫客戶終端250的網絡設定。在本實施方式中，作為通信方法選擇IPSec-VPN，因此有必要變更客戶終端250的IP位址、網址、路由選擇表等的設定。
[0131]刪除單元253刪除記錄在小型終端200上的信息。在本實施方式中，從客戶終端250上刪除訪問請求信息和訪問歷史記錄、緩存和Cookie。
[0132]參照附圖3，詳細說明小型終端200的處理流程。圖3是表示小型終端200的處理的流程圖。
[0133]首先，訪問對象裝置300並期待接受業務提供的使用者，將小型終端200連接到客戶終端250上(步驟111)。此時，使用者根據對象裝置300的安全級別，選擇插入的小型終端200。在本實施方式中，以使用IPSec-VPN連接時為例進行說明。
[0134]利用IPSec-VPN連接企業的區域網時，利用與IPSec-VPN對應的小型終端200。小型終端200若能夠識別連接到客戶終端250，則自動實施內部程序，向認證伺服器100自動發送標識(步驟112)。
[0135]其次，參照附圖4詳細說明認證伺服器100的處理流程。若通過客戶終端250從小型終端200發送標識，則根據該標識，認證伺服器100對小型終端200進行認證(步驟211 )。若認證成功，認證伺服器100根據標識決定通信協議和加密方式(步驟212)。認證伺服器100向客戶終端250分配為了實現確定的通信協議和加密方式所需要的軟體(步驟213 )。若從客戶終端250利用加密的通信接收訪問請求信息(步驟214)，認證伺服器100進行代理響應(步驟215)。
[0136]其次，參照附圖5和6詳細說明存有軟體的客戶終端250的處理流程。
[0137]圖5是表示存有軟體的客戶終端250訪問對象裝置300時的處理流程的圖表。若將分配的軟體保存到客戶終端250上(步驟311)，則網絡設定單元254判斷客戶終端250的網絡設定是否需要進行變更(步驟312)。在本實施方式中，有必要對客戶終端250的網址、路由選擇表等進行變更(步驟312 ;是)，因此進行設定變更(步驟313)。若客戶終端250的網絡設定為與認證伺服器100能夠進行通信的狀態，則加密通信(步驟314)，向認證伺服器100發送訪問請求信息(步驟315)。若請求的信息被加密後從認證伺服器100被反饋，在客戶終端250上顯示訪問用畫面，顯示收取的信息(步驟316)。[0138]圖6是表示解除客戶終端250與小型終端200的連接時的處理流程的圖表。若使用者從客戶終端250拔出小型終端200 (步驟411)，軟體會檢測出連接被解除。此時，畫面顯示單元252刪除在客戶終端250上顯示的訪問用畫面(步驟412)。由此，使用者無需明確關閉訪問用畫面，也能夠結束與認證伺服器100的通信。刪除單元253刪除客戶終端250上的訪問歷史記錄、緩存信息、cookie等歷史記錄(步驟413)。由此，使用者拔掉小型終端200後，能夠防止利用歷史記錄對對象裝置300進行非法訪問。若網絡設定單元254變更了客戶終端250的網絡設定，則恢復設定(步驟414)，保存在客戶終端250上的軟體被自動刪除(步驟415)。
[0139]第二實施方式
[0140]下面，參照附圖7至9詳細說明本發明的第二實施方式
[0141]本實施方式中，虛擬網絡構建系統具備認證伺服器100，客戶終端250，小型終端200和對象裝置300。
[0142]第二實施方式中，虛擬網絡構建系統包括:小型終端200，其具備連接於客戶終端250的連接單元202和，連接單元202連接的狀態下，通過客戶終端250向認證伺服器100自動發送標識的標識發送單元203，並裝卸可能於客戶終端250 ;認證單元102，基於小型終端200的標識進行認證；通信方法選擇單元112，在認證單元102進行認證時，用於選擇客戶終端250與認證伺服器100進行通信的通信協議和加密方式；分配單元111，根據選擇的通信協議和加密方式，向客戶終端250分配用於加密通信的軟體；加密單元113，基於選擇的通信協議和加密方式，加密與客戶終端250的通信；接收單元114，用於接收從分配到的軟體自動發送的，向對象裝置300的訪問請求信息；重定向單元115，根據接收到的訪問請求信息，代理響應客戶終端250與對象裝置300的訪問。
[0143]在本實施方式中，使用者採用SSL-VPN方式訪問專用網絡。因此，無需變更客戶終端250的網絡設定。
[0144]圖7是本實施方式的虛擬網絡構建系統的框圖。在本實施方式中，客戶終端250通過公共線路800訪問專用網絡上的對象裝置300。
[0145]在本實施方式中，小型終端200包括標識存儲單元210、連接單元202和標識發送單元203。
[0146]而且，認證伺服器100包括資料庫101、認證單元102、受理單元110、分配單元
111、通信方法選擇單元112、加密單元113、接收單元114和重定向單元115。
[0147]如圖7所示，通過分配軟體，客戶終端250提供加密通信單元251。在本實施方式中通過SSL加密通信。進一步地，軟體具有如本實施方式的畫面顯示功能和刪除功能。為此，在本實施方式中，如果客戶終端250分配到軟體，則如圖7所示，獲得軟體提供的畫面顯示單元252和刪除單元253。
[0148]加密通信單元251加密從客戶終端250向認證伺服器100的通信。在本實施方式中，是指利用SSL方式的HTTPS通信。
[0149]畫面顯示單元252在客戶終端250上顯示訪問用畫面。而且,畫面顯示單元252可以隱匿表示認證伺服器100的位置的識別信息。例如，訪問用畫面上可以不顯示認證伺服器100和對象裝置300的URL。由此，使用者能夠隱匿認證伺服器100的URL，從而能夠防止心存惡意的第三者基於認證伺服器100的URL進行攻擊。[0150]網絡設定單元254改寫客戶終端250的網絡設定。在本實施方式中，通過SSL-VPN進行通信，因此無需變更客戶終端250的網絡設定。但是在選擇IPSec-VPN等通信方法時，則有必要變更客戶終端250的IP位址、網址、路由選擇表等的設定。
[0151]刪除單元253刪除記錄在小型終端200上的信息。在本實施方式中，從客戶終端250刪除訪問請求信息、訪問歷史記錄、緩存和Cookie。
[0152]其次，參照附圖8和9詳細說明保存有軟體的客戶終端250的處理流程。
[0153]圖8是表示保存有軟體的客戶終端250訪問對象裝置300時的處理流程的圖表。當保存分配在客戶終端250上的軟體(步驟511)時，加密通信(步驟512)，向認證伺服器100發送訪問請求信息(步驟513)。如果請求的信息從認證伺服器100被加密反饋，在客戶終端250上顯示訪問用畫面,並顯示收到的信息(步驟514)。
[0154]圖9是表示解除客戶終端250與小型終端200的連接時的處理流程的圖表。當使用者從客戶終端250拔出小型終端200 (步驟611)，軟體檢測出連接被解除。此時，畫面顯示單元252刪除在客戶終端250上顯示的訪問用畫面(步驟612)。由此，使用者無需明確關閉訪問用畫面，也能夠結束與認證伺服器100的通信。刪除單元253刪除客戶終端250上的訪問歷史記錄、緩存信息、cookie等歷史記錄(步驟613)。由此，使用者拔掉小型終端200後，能夠防止利用歷史記錄對對象裝置300進行非法訪問。之後，自動刪除保存在客戶終端250上的軟體(步驟614)。
[0155]其他的結構、功能均與第一實施方式相同。
[0156]虛擬網絡構建系統、虛擬網絡構建方法包括:將可從客戶終端250裝卸的小型終端200連接到客戶終端250的步驟；在連接單元202的連接狀態下，通過客戶終端250向認證伺服器100自動發送標識的步驟；認證伺服器100基於小型終端200的標識進行認證的步驟；在認證單元102進行認證時，選擇客戶終端250與認證伺服器100進行通信的通信協議和加密方式的步驟；根據選擇的通信協議和加密方式，向客戶終端250分配用於加密通信的軟體的步驟；基於選擇的通信協議和加密方式，加密與客戶終端250的通信的步驟；接收從分配到的軟體自動發送的、向對象裝置300的訪問請求信息的步驟；根據接收到的訪問請求信息，代理響應客戶終端250與對象裝置300的訪問的步驟。當虛擬網絡構建系統、虛擬網絡構建方法能夠實現上述步驟時，小型終端200可自動進行與認證伺服器100的連接，能夠限定可以訪問企業等組織內專用網絡的終端，而且認證伺服器100無需搭載WEB功能和VPN路由器功能，能夠減少來自心存惡意的第三者的攻擊的可能性。
[0157]另外，小型終端200包括:連接單元202，用於連接客戶終端250 ;標識記錄單元201，用於記錄向認證伺服器100進行認證的標識；標識發送單元203，在連接單元202的連接狀態下，通過客戶終端250，向認證伺服器100自動發送標識。所述小型終端200為了使客戶終端250訪問對象裝置300，使認證伺服器100基於標識認證客戶終端250，並可裝卸地按照在所述客戶終端250。此時，通過將小型終端200連接到客戶終端250，使用者能夠自動訪問專用網絡上的對象裝置300。
[0158]而且，認證伺服器100包括:受理單元110，用於接收記錄在連接於客戶終端250的小型終端200上的標識；認證單元102，基於標識進行認證；通信方法選擇單元112，在認證單元102進行認證時，用於選擇客戶終端250與認證伺服器100進行通信的通信協議和加密方式；分配單元111，根據選擇的通信協議和加密方式，向客戶終端250分配用於加密通信的軟體；加密單元113，基於選擇的通信協議和加密方式，加密與客戶終端250的通信；接收單元114，用於接收從分配到的軟體自動發送的，向對象裝置300的訪問請求信息；重定向單元115，根據接收到的訪問請求信息，代理響應客戶終端250與對象裝置300的訪問。當認證伺服器100包括上述單元時，則認證伺服器100無需搭載WEB功能，也能夠減少來自心存惡意的第三者的攻擊的可能性。
[0159]另外，加密單元113根據標識，通過RC4、3DES或者AES的某種加密方式加密通信時，根據組織內網絡的安全級別能夠選擇適當的加密方式。
[0160]另外，當小型終端200不設有記錄從客戶終端250發送的數據的內存時，能夠防止小型終端200上的信息被拷貝，還能夠防止因在小型終端200上存儲信息而被盜取。
[0161]另外，如果軟體具有根據選擇的通信協議自動變更客戶終端250的網絡設定的網絡設定功能，則在使用者訪問企業內網絡時，無需配置路由器等專用網絡設備，而且能夠省略複雜的網絡設定。
[0162]另外，當軟體具有判斷連接單元202與客戶終端250的連接已斷開、刪除訪問請求信息和軟體的刪除功能時，能夠從客戶終端250上刪除有關連接的信息，能夠防止歷史記錄被惡意利用。
[0163]另外，當軟體具有在客戶終端250上顯示訪問用畫面的畫面顯示功能時，能夠防止搭載在客戶終端250上的瀏覽器訪問認證伺服器100，並能夠使用軟體管理緩存和訪問歷史記錄等的信息。
[0164]另外，當畫面顯示功能隱匿顯示認證伺服器100的位置的識別信息時，可對心存惡意的第三者隱匿認證伺服器100的位置，因此能夠提高安全性。
[0165]另外，當軟體具有判斷連接單元202與客戶終端250的連接已斷開、不顯示訪問用畫面的功能時，通過從客戶終端250斷開小型終端200，能夠不顯示訪問用畫面。
【權利要求】
1.一種虛擬網絡構建系統，包括通過公共線路訪問專用網絡的客戶終端、進行對所述客戶終端的認證的認證伺服器和配置在所述專用網絡上的對象裝置，其特徵在於，所述虛擬網絡構建系統包括小型終端和認證伺服器， 其中，所述小型終端，可裝卸地安裝在所述客戶終端，包括: 連接單元，連接所述客戶終端； 標識發送單元，在所述連接單元的連接狀態下，通過所述客戶終端向所述認證伺服器自動發送標識， 所述認證伺服器包括: 認證單元，基於所述小型終端的標識進行認證； 通信方法選擇單元，在所述認證單元進行認證時，選擇所述客戶終端與所述認證伺服器進行通信的通信協議和加密方式； 分配單元，根據所述選擇的通信協議和加密方式，向所述客戶終端分配用於加密通信的軟體； 加密單元，基於所述選擇的通信協議和加密方式，對與所述客戶終端的通信進行加密； 接收單元，用於接收從所述分配的軟體自動發送的、請求訪問所述對象裝置的訪問請求信息； 重定向單元，根據所述接收到的訪問請求信息，對所述客戶終端與所述對象裝置的訪問進行代理響應。
2.根據權利要求1所述的虛擬網絡構建系統，其特徵在於:所述加密單元根據所述標識，採用RC4、3DES或者AES中的任一加密方式對通信進行加密。
3.根據權利要求1或者2所述的虛擬網絡構建系統，其特徵在於:所述小型終端不設有用於記錄從所述客戶終端發送的數據的內存。
4.根據權利要求1至3中的任一項所述的虛擬網絡構建系統，其特徵在於:所述軟體具有在所述客戶終端根據所述選擇的通信協議，自動變更所述客戶終端的網絡設定的網絡設定功能。
5.根據權利要求1至4中的任一項所述的虛擬網絡構建系統，其特徵在於:所述軟體在所述客戶終端提供刪除單元，所述刪除單元在判斷所述連接單元與所述客戶終端的連接已斷開時，自動刪除所述連接請求信息和所述軟體。
6.根據權利要求1至5中的任一項所述的虛擬網絡構建系統，其特徵在於:所述軟體具有用於在所述客戶終端上顯示訪問用畫面的畫面顯示功能。
7.根據權利要求6所述的虛擬網絡構建系統，其特徵在於:所述畫面顯示功能隱匿表示所述認證伺服器的位置的識別信息。
8.根據權利要求6或者7所述的虛擬網絡構建系統，其特徵在於:所述軟體具有當判斷所述連接單元與所述客戶終端的連接已斷開時，不顯示所述訪問用畫面的功能。
9.一 種虛擬網絡構建方法，所述虛擬網絡包括通過公共線路訪問專用網絡的客戶終端、進行所述客戶終端的認證的認證伺服器、和配置在所述專用網絡上的對象裝置，其特徵在於: 可裝卸地安裝在所述客戶終端的小型終端，連接到所述客戶終端； 在所述連接單元的連接狀態下，通過所述客戶終端向所述認證伺服器自動發送標識； 所述認證伺服器， 基於所述小型終端的標識進行認證； 在所述認證單元進行認證時，選擇所述客戶終端與所述認證伺服器進行通信的通信協議和加密方式； 根據所述選擇的通信協議和加密方式，對所述客戶終端分配用於加密通信的軟體； 基於所述選擇的通信協議和加密方式，加密與所述客戶終端的通信； 接收從所述分配的軟體自動發送的、請求連接所述對象裝置的連接請求信息； 根據所述接收到的連接請求信息，對所述客戶終端與所述對象裝置的連接進行代理響應。
10.一種小型終端，位於包括通過公共線路訪問專用網絡的客戶終端、進行所述客戶終端的認證的認證伺服器和配置在所述專用網絡上的對象裝置的虛擬網絡構建系統，其特徵在於，所述小型終端包括: 連接單元，用於連接所述客戶終端； 標識記錄單元，用於記錄使所述認證伺服器進行認證的標識； 標識發送單元，在所述連接單元的連接狀態下，通過所述客戶終端向所述認證伺服器自動發送標識， 所述小型終端，為了使所述客戶終端訪問所述對象裝置，使所述認證伺服器基於所述認證所述客戶終端，並可裝卸地安裝在所述客戶終端。
11.一種認證伺服器，位於包括通過公共線路訪問專用網絡的客戶終端、進行所述客戶終端的認證的認證伺服器和配置在所述專用網絡上的對象裝置的虛擬網絡構建系統，其特徵在於，所述認證伺服器包括: 受理單元，用於接收記錄在連接於所述客戶終端的小型終端上的標識； 認證單元，基於所述標識進行認證； 通信方法選擇單元，在所述認證單元進行認證時，選擇所述客戶終端與所述認證伺服器通信的通信協議和加密方式； 分配單元，根據所述選擇的通信協議和加密方式，對所述客戶終端分配用於加密通信的軟體； 加密單元，基於所述選擇的通信協議和加密方式，加密與所述客戶終端的通信； 接收單元，用於接收從所述分配的軟體自動發送的、請求訪問所述對象裝置的訪問請求信息； 重定向單元，根據所述接收到的訪問請求信息，對所述客戶終端與所述對象裝置的訪問進行代理響應。
【文檔編號】H04L9/00GK103731410SQ201310482180
【公開日】2014年4月16日 申請日期:2013年10月15日 優先權日:2012年10月16日
【發明者】鈴木亨, 渡邊秀樹 申請人:Ukd株式會社