[发明专利]虚拟网络构建系统、方法、小型终端及认证服务器

说明书

技术领域

本发明涉及虚拟网络构建系统、方法、小型终端及认证服务器。

背景技术

近年来，作为从外部访问组织等安全的专用网络的系统，人们多使用构建VPN(Virtual Private Network：虚拟专用网络）等虚拟网络的系统代替专用线路。VPN对通信数据进行封装通信，使公共线路的一般用户看不到，通过采用隧道技术得以实现。

以往多使用例如IPSec-VPN（Security Architecture for Internet Protocol-VPN）或SSL-VPN（Secure Socket Layer-VPN）作为VPN系统。IPSec-VPN通过IPSec协议加密IP数据包，进行网络层上的访问控制。另一方面，SSL-VPN利用SSL加密IP数据包，进行应用层上的访问控制。

但是，现有的IPSec-VPN系统，在客户端侧需要安装专用应用程序，管理者负担较大。而且，这如同在安全的专用网络上开了孔洞，存在安全上的风险。

另一方面，当为SSL-VPN时，只需用ID和密码进行认证就能够访问，因此存在安全强度低，而且可使用的应用程序局限于WEB的问题。

专利文献1公开了通过组合IPSec-VPN和SSL-VPN中的访问控制，由SSL/TLS安全地提供向专用网络访问的系统。该系统包括：路由选择要素，用于对计算机系统上保存的路由选择表实施变更；接收器，用于从该计算机系统接收外部发送包；发送器，用于与该接收器通信，将关于该外部发送包的信息发送给VPN客户端应用层；封包改写器，用于与该接收器和该发送器通信，并改写该外部发送包的地址信息。

【现有技术文献】

【专利文献】

【专利文献1】特开2007-202178号公报

发明内容

发明所要解决的技术问题

但是，专利文献1公开的系统，由于公开了进行认证的服务器的URL，有可能受到心存恶意的第三者的非法访问和网络恐怖主义等的攻击。而且，由于使用ID和密码进行认证，因此，如果通过密码破解和窃听等导致密码被盗取，任何人都将能够轻易地进行访问。

因此，本发明是鉴于上述问题而提出的，其目的在于提供一种虚拟网络构建系统、虚拟网络构建方法、虚拟网络构建程序和小型终端。所述虚拟网络构建系统、虚拟网络构建方法、虚拟网络构建程序和小型终端能够对专用网络进行自动访问和认证，而且认证服务器无需搭载WEB功能和VPN路由功能就能构建虚拟网络。

解决技术问题的技术手段

本发明的虚拟网络构建系统，包括：客户终端，通过公共线路访问专用网络；认证服务器，进行客户终端的认证；对象装置，配置在专用网络上，其中小型终端包括：连接单元，连接客户终端；标识发送单元，在连接单元的连接状态下，通过客户终端向认证服务器自动发送标识，认证服务器包括：认证单元，基于小型终端的标识进行认证；通信方法选择单元，在认证单元进行认证时，选择客户终端与认证服务器进行通信的通信协议和加密方式；分配单元，根据选择的通信协议和加密方式，向客户终端分配用于加密通信的软件；加密单元，基于选择的通信协议和加密方式，加密与客户终端的通信；接收单元，用于接收从分配到的软件自动发给对象装置的访问请求信息；重定向单元，根据接收到的访问请求信息，对客户终端与对象装置的访问进行代理响应。

“专用网络”是指企业等组织内网络。也可以是局域网等用防火墙从公共线路隔离的封闭的网络。

“对象装置”是指配置在专用网络上的装置。也可以是电子邮件服务器和WEB服务器等在企业等的组织内部提供服务的装置。

“小型终端”是指用于虚拟网络构建系统的小型的终端，可与客户终端连接，也可以是具有可携带尺寸的物体。

“连接单元”是指与客户终端连接的部分。作为连接接口，可利用USB（Universal Sirial Bus）、IEEE139等串行总线进行连接。

“标识发送单元”是指向认证服务器发送标识的单元。也可以是连接单元与客户终端连接时，自动发送标识的单元。

“标识”是指在小型终端上记录固有信息的符号。具体为，是指小型终端ID、认证用数据等。

而且，小型终端也可以不设置用于记录从客户终端发送的数据的内存。例如，将连接单元和标识发送单元直接写入CMOS线路上加以控制，因此可以不设置内存。

“认证单元”是指对欲进行访问的终端进行认证的单元。也可以是对访问源的小型终端的标识与记录在数据库上的标识进行比较，如果一致则允许访问的单元。