虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)�����、方法��、小型終端及認(rèn)證服務(wù)器的制造方法
【專利摘要】本發(fā)明公開了一種虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)��、方法�����、小型終端及認(rèn)證服務(wù)器���。本發(fā)明的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)包括可裝卸地安裝在客戶終端的小型終端和認(rèn)證服務(wù)器;其中所述小型終端包括:標(biāo)識(shí)發(fā)送單元����,在連接單元的連接狀態(tài)下�,通過客戶終端向認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí)�����,認(rèn)證服務(wù)器包括:認(rèn)證單元�����,基于小型終端的標(biāo)識(shí)進(jìn)行認(rèn)證��;分配單元��,根據(jù)選擇的通信協(xié)議和加密方式�,向客戶終端分配用于加密通信的軟件;接收單元�����,用于接收從分配的軟件自動(dòng)發(fā)送的�、請(qǐng)求訪問對(duì)象裝置的訪問請(qǐng)求信息;重定向單元��,根據(jù)接收到的訪問請(qǐng)求信息��,對(duì)客戶終端與對(duì)象裝置的訪問進(jìn)行代理響應(yīng)����。
【專利說明】虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)、方法�����、小型終端及認(rèn)證服務(wù)器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)����、方法、小型終端及認(rèn)證服務(wù)器�。
【背景技術(shù)】
[0002]近年來,作為從外部訪問組織等安全的專用網(wǎng)絡(luò)的系統(tǒng)�,人們多使用構(gòu)建VPN(Virtual Private Network:虛擬專用網(wǎng)絡(luò))等虛擬網(wǎng)絡(luò)的系統(tǒng)代替專用線路。VPN對(duì)通信數(shù)據(jù)進(jìn)行封裝通信���,使公共線路的一般用戶看不到�����,通過采用隧道技術(shù)得以實(shí)現(xiàn)��。
[0003]以往多使用例如 IPSec-VPN (Security Architecture for InternetProtocol-VPN)或 SSL-VPN (Secure Socket Layer-VPN)作為 VPN 系統(tǒng)�����。IPSec-VPN 通過IPSec協(xié)議加密IP數(shù)據(jù)包���,進(jìn)行網(wǎng)絡(luò)層上的訪問控制�����。另一方面�,SSL-VPN利用SSL加密IP數(shù)據(jù)包���,進(jìn)行應(yīng)用層上的訪問控制�����。
[0004]但是����,現(xiàn)有的IPSec-VPN系統(tǒng)���,在客戶端側(cè)需要安裝專用應(yīng)用程序�,管理者負(fù)擔(dān)較大���。而且���,這如同在安全的專用網(wǎng)絡(luò)上開了孔洞,存在安全上的風(fēng)險(xiǎn)����。
[0005]另一方面,當(dāng)為SSL-VPN時(shí)�����,只需用ID和密碼進(jìn)行認(rèn)證就能夠訪問�����,因此存在安全強(qiáng)度低��,而且可使用的應(yīng)用程序局限于WEB的問題��。
[0006]專利文獻(xiàn)I公開了通過組合IPSec-VPN和SSL-VPN中的訪問控制��,由SSL/TLS安全地提供向?qū)S镁W(wǎng)絡(luò)訪問的系統(tǒng)�����。該系統(tǒng)包括:路由選擇要素,用于對(duì)計(jì)算機(jī)系統(tǒng)上保存的路由選擇表實(shí)施變更��;接收器�����,用于從該計(jì)算機(jī)系統(tǒng)接收外部發(fā)送包�;發(fā)送器,用于與該接收器通信��,將關(guān)于該外部發(fā)送包的信息發(fā)送給VPN客戶端應(yīng)用層����;封包改寫器,用于與該接收器和該發(fā)送器通信�,并改寫該外部發(fā)送包的地址信息。
[0007]【現(xiàn)有技術(shù)文獻(xiàn)】
`[0008]【專利文獻(xiàn)】
[0009]【專利文獻(xiàn)I】特開2007-202178號(hào)公報(bào)
【發(fā)明內(nèi)容】
[0010]發(fā)明所要解決的技術(shù)問題
[0011]但是�����,專利文獻(xiàn)I公開的系統(tǒng)�,由于公開了進(jìn)行認(rèn)證的服務(wù)器的URL,有可能受到心存惡意的第三者的非法訪問和網(wǎng)絡(luò)恐怖主義等的攻擊��。而且����,由于使用ID和密碼進(jìn)行認(rèn)證�,因此����,如果通過密碼破解和竊聽等導(dǎo)致密碼被盜取����,任何人都將能夠輕易地進(jìn)行訪問。
[0012]因此��,本發(fā)明是鑒于上述問題而提出的�����,其目的在于提供一種虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)�、虛擬網(wǎng)絡(luò)構(gòu)建方法、虛擬網(wǎng)絡(luò)構(gòu)建程序和小型終端����。所述虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)、虛擬網(wǎng)絡(luò)構(gòu)建方法�����、虛擬網(wǎng)絡(luò)構(gòu)建程序和小型終端能夠?qū)S镁W(wǎng)絡(luò)進(jìn)行自動(dòng)訪問和認(rèn)證,而且認(rèn)證服務(wù)器無需搭載WEB功能和VPN路由功能就能構(gòu)建虛擬網(wǎng)絡(luò)����。
[0013]解決技術(shù)問題的技術(shù)手段
[0014]本發(fā)明的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng),包括:客戶終端��,通過公共線路訪問專用網(wǎng)絡(luò)�;認(rèn)證服務(wù)器,進(jìn)行客戶終端的認(rèn)證����;對(duì)象裝置,配置在專用網(wǎng)絡(luò)上���,其中小型終端包括:連接單元���,連接客戶終端;標(biāo)識(shí)發(fā)送單元���,在連接單元的連接狀態(tài)下����,通過客戶終端向認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí),認(rèn)證服務(wù)器包括:認(rèn)證單元����,基于小型終端的標(biāo)識(shí)進(jìn)行認(rèn)證;通信方法選擇單元����,在認(rèn)證單元進(jìn)行認(rèn)證時(shí),選擇客戶終端與認(rèn)證服務(wù)器進(jìn)行通信的通信協(xié)議和加密方式�����;分配單元�����,根據(jù)選擇的通信協(xié)議和加密方式���,向客戶終端分配用于加密通信的軟件;力口密單元����,基于選擇的通信協(xié)議和加密方式,加密與客戶終端的通信���;接收單元���,用于接收從分配到的軟件自動(dòng)發(fā)給對(duì)象裝置的訪問請(qǐng)求信息����;重定向單元���,根據(jù)接收到的訪問請(qǐng)求信息�����,對(duì)客戶終端與對(duì)象裝置的訪問進(jìn)行代理響應(yīng)���。
[0015]“專用網(wǎng)絡(luò)”是指企業(yè)等組織內(nèi)網(wǎng)絡(luò)。也可以是局域網(wǎng)等用防火墻從公共線路隔離的封閉的網(wǎng)絡(luò)��。
[0016]“對(duì)象裝置”是指配置在專用網(wǎng)絡(luò)上的裝置��。也可以是電子郵件服務(wù)器和WEB服務(wù)器等在企業(yè)等的組織內(nèi)部提供服務(wù)的裝置����。
[0017]“小型終端”是指用于虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的小型的終端,可與客戶終端連接���,也可以是具有可攜帶尺寸的物體��。
[0018]“連接單元”是指與客戶終端連接的部分���。作為連接接口���,可利用USB (UniversalSirial Bus)、IEEE139等串行總線進(jìn)行連接�。
[0019]“標(biāo)識(shí)發(fā)送單元”是指向認(rèn)證服務(wù)器發(fā)送標(biāo)識(shí)的單元。也可以是連接單元與客戶終端連接時(shí)�����,自動(dòng)發(fā)送標(biāo)識(shí)的單元�����。
[0020]“標(biāo)識(shí)”是指在小型終端上記錄固有信息的符號(hào)���。具體為,是指小型終端ID���、認(rèn)證
用數(shù)據(jù)等�。
[0021]而且,小型終端也可以不設(shè)置用于記錄從客戶終端發(fā)送的數(shù)據(jù)的內(nèi)存�。例如,將連接單元和標(biāo)識(shí)發(fā)送單元直接寫入CMOS線路上加以控制�,因此可以不設(shè)置內(nèi)存。
[0022]“認(rèn)證單元”是指對(duì)欲進(jìn)行訪問的終端進(jìn)行認(rèn)證的單元���。也可以是對(duì)訪問源的小型終端的標(biāo)識(shí)與記錄在數(shù)據(jù)庫(kù)上的標(biāo)識(shí)進(jìn)行比較�,如果一致則允許訪問的單元���。
[0023]“分配單元”是指向客戶終端分配軟件的單元�����。也可以是分配用于加密通信的軟件的單元�。分配單元也可以是根據(jù)小型終端的標(biāo)識(shí)選擇要分配的軟件種類的單元����。
[0024]“通信方法選擇單元”是指選擇客戶終端與認(rèn)證服務(wù)器的通信方法的單元。也可以是根據(jù)小型終端的標(biāo)識(shí)���,選擇通信協(xié)議和加密方式的單元��。例如��,可以選擇AH(Authentication Header),ESP (Encapsulated Security Payload)和 IKE (Internet KeyExchange)等作為通信協(xié)議�����。
[0025]“加密單元”是指加密作為訪問源的終端和認(rèn)證服務(wù)器的通信的單元�����。加密單元也可以是根據(jù)標(biāo)識(shí)����,利用RC4�,3EDS或者AES中的任一加密方式對(duì)通信進(jìn)行加密的單元。
[0026]“接收單元”是指接收向?qū)ο笱b置的訪問請(qǐng)求信息的單元��。
[0027]“訪問請(qǐng)求信息”是指對(duì)認(rèn)證服務(wù)器提出希望訪問哪個(gè)裝置的客戶終端提出的請(qǐng)求信息。也可以是能夠特定期望訪問的對(duì)象裝置的����、包括IP地址等的信息。
[0028]“重定向單元”是指直接代理客戶終端與對(duì)象裝置的連接的單元����。也可以作為代理服務(wù)器發(fā)揮作用����。具體為��,若存在從公共線路訪問對(duì)象裝置的終端��,則使全部終端均訪問重定向單元����,從對(duì)象裝置只獲取緩存中沒有的信息(將從公共線路接收的請(qǐng)求傳達(dá)給對(duì)象裝置)���。
[0029]“軟件”是指從認(rèn)證服務(wù)器分配到客戶終端�����,用于加密認(rèn)證服務(wù)器與客戶終端的通信的軟件��。從分配單元分配到客戶終端的軟件����,既可在客戶終端上作為臨時(shí)文件保存�����,也可以安裝后展開�����。
[0030]另外,軟件可具備根據(jù)選擇的通信協(xié)議����,在客戶終端自動(dòng)變更客戶終端的網(wǎng)絡(luò)設(shè)定的網(wǎng)絡(luò)設(shè)定功能。
[0031]“網(wǎng)絡(luò)設(shè)定功能”是指改寫網(wǎng)絡(luò)設(shè)定的功能��。例如��,可以變更客戶終端的IP地址��、網(wǎng)址��、路由選擇表等的設(shè)定����。
[0032]另外,軟件可以具備判斷連接單元與客戶終端的連接已斷開��,在客戶終端自動(dòng)刪除訪問請(qǐng)求信息和軟件的刪除功能�����。
[0033]“刪除功能”是指刪除記錄在小型終端上的信息的功能��。也可以是刪除訪問請(qǐng)求信息和軟件的功能�����。
[0034]另外�����,軟件可以具有用于在客戶終端上顯示訪問用畫面的畫面顯示功能��。
[0035]“訪問用畫面”是指客戶終端訪問對(duì)象裝置時(shí)��,在客戶終端上顯示的畫面�����。另外�����,軟件可具有當(dāng)判斷連接單元與客戶終端的連接已斷開時(shí)�,不顯示訪問用畫面的功能。具體地�����,訪問用畫面可以為在小型終端與客戶終端連接時(shí)進(jìn)行顯示,斷開連接時(shí)則不進(jìn)行顯示的畫面����。
[0036]“畫面顯示功能”是指在客戶終端顯示訪問用畫面的功能。而且���,畫面顯示功能可以是隱匿表示認(rèn)證服務(wù)器位置的識(shí)別信息的功能�����。例如��,在訪問用畫面上可以不顯示認(rèn)證服務(wù)器和對(duì)象裝置的URL����。
[0037]“客戶終端”是指具有與認(rèn)證服務(wù)器進(jìn)行通信的通信線路的終端�。例如,可以舉出筆記本電腦����,手機(jī)等攜帶終端。
[0038]而且��,本發(fā)明的、包括通過公共線路訪問專用網(wǎng)絡(luò)的客戶終端����、進(jìn)行客戶終端認(rèn)證的認(rèn)證服務(wù)器和配置在專用網(wǎng)絡(luò)上的對(duì)象裝置的虛擬網(wǎng)絡(luò)構(gòu)建方法�����,�����,所述虛擬網(wǎng)絡(luò)構(gòu)建方法能夠?qū)崿F(xiàn)如下步驟:將從客戶終端裝卸可能的小型終端連接到客戶終端的步驟�;在連接單元的連接狀態(tài)下,通過客戶終端向認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí)的步驟�����;認(rèn)證服務(wù)器基于小型終端的標(biāo)識(shí)進(jìn)行認(rèn)證的步驟���;在認(rèn)證單元進(jìn)行認(rèn)證時(shí)�,選擇客戶終端與認(rèn)證服務(wù)器進(jìn)行通信的通信協(xié)議和加密方式的步驟�����;根據(jù)選擇的通信協(xié)議和加密方式,向客戶終端分配用于加密通信的軟件的步驟�;基于選擇的通信協(xié)議和加密方式,加密與客戶終端進(jìn)行的通信的步驟����;接收從分配的軟件自動(dòng)發(fā)送的、請(qǐng)求訪問對(duì)象裝置的訪問請(qǐng)求信息的步驟�;根據(jù)接收到的訪問請(qǐng)求信息,客戶終端與對(duì)象裝置的訪問進(jìn)行代理響應(yīng)的步驟�。
[0039]而且,本發(fā)明的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的小型終端��,位于包括通過公共線路訪問專用網(wǎng)絡(luò)的客戶終端����、進(jìn)行客戶終端的認(rèn)證的認(rèn)證服務(wù)器和配置在專用網(wǎng)絡(luò)上的對(duì)象裝置的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)。所述小型終端包括:連接單元�����,用于連接客戶終端�;標(biāo)識(shí)記錄單元,用于記錄使認(rèn)證服務(wù)器進(jìn)行認(rèn)證的標(biāo)識(shí)��;標(biāo)識(shí)發(fā)送單元���,在連接單元的連接狀態(tài)下����,通過客戶終端,向認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí)�。所述小型終端,為了使客戶終端訪問對(duì)象裝置��,基于標(biāo)識(shí)�����,使認(rèn)證服務(wù)器認(rèn)證客戶終端���,并能夠從客戶終端裝卸。
[0040]而且�����,本發(fā)明的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的認(rèn)證服務(wù)器���,位于包括通過公共線路訪問專用網(wǎng)絡(luò)的客戶終端�����、進(jìn)行客戶終端認(rèn)證認(rèn)證服務(wù)器和配置在專用網(wǎng)絡(luò)上的對(duì)象裝置的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的認(rèn)證服務(wù)器����。所述認(rèn)證服務(wù)器包括:受理單元,用于接收記錄在連接于客戶終端的小型終端上的標(biāo)識(shí)����;認(rèn)證單元,基于標(biāo)識(shí)進(jìn)行認(rèn)證���;通信方法選擇單元���,在認(rèn)證單元進(jìn)行認(rèn)證時(shí),用于選擇客戶終端與認(rèn)證服務(wù)器進(jìn)行通信的通信協(xié)議和加密方式��;分配單元���,根據(jù)選擇的通信協(xié)議和加密方式���,向客戶終端分配用于加密通信的軟件;加密單元�,基于選擇的通信協(xié)議和加密方式,加密與客戶終端的通信�����;接收單元,用于接收從分配的軟件自動(dòng)發(fā)送的���,請(qǐng)求訪問對(duì)象裝置的訪問請(qǐng)求信息�;重定向單元�����,根據(jù)接收到的訪問請(qǐng)求信息���,對(duì)客戶終端與對(duì)象裝置的訪問進(jìn)行代理響應(yīng)。
[0041]本發(fā)明所涉及的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)���,虛擬網(wǎng)絡(luò)構(gòu)建方法能夠?qū)崿F(xiàn)如下步驟:將可裝卸地安裝在客戶終端的小型終端連接到客戶終端的步驟��;在連接單元的連接狀態(tài)下��,通過客戶終端向認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí)的步驟����;認(rèn)證服務(wù)器基于小型終端的標(biāo)識(shí)進(jìn)行認(rèn)證的步驟�����;在認(rèn)證單元進(jìn)行認(rèn)證時(shí),選擇客戶終端與認(rèn)證服務(wù)器進(jìn)行通信的通信協(xié)議和加密方式的步驟����;根據(jù)選擇的通信協(xié)議和加密方式,向客戶終端分配用于加密通信的軟件的步驟����;基于選擇的通信協(xié)議和加密方式,加密與客戶終端的通信的步驟�;接收從分配的軟件自動(dòng)發(fā)送的、請(qǐng)求訪問對(duì)象裝置的訪問請(qǐng)求信息的步驟����;根據(jù)接收到的訪問請(qǐng)求信息,對(duì)客戶終端與對(duì)象裝置的訪問進(jìn)行代理響應(yīng)的步驟���。在虛擬網(wǎng)絡(luò)構(gòu)建方法實(shí)現(xiàn)上述步驟時(shí)�,小型終端可自動(dòng)進(jìn)行與認(rèn)證服務(wù)器的連接��,從而限定對(duì)企業(yè)等的組織內(nèi)專用網(wǎng)絡(luò)能夠進(jìn)行訪問的終端�。而且,認(rèn)證服務(wù)器無需搭載WEB功能和VPN路由器功能����,因此能夠減少來自心存惡意的第三者的攻擊的可能性��。
[0042]另外�����,本發(fā)明所涉及的小型終端包括:連接單元��,用于連接客戶終端��;標(biāo)識(shí)記錄單元���,用于記錄使認(rèn)證服務(wù)器進(jìn)行認(rèn)證的標(biāo)識(shí);標(biāo)識(shí)發(fā)送單元����,在連接單元的連接狀態(tài)下��,通過客戶終端����,向認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí)。小型終端為了使客戶終端訪問對(duì)象裝置�,使認(rèn)證服務(wù)器基于標(biāo)識(shí)對(duì)客戶終端進(jìn)行認(rèn)證�、并可裝卸地安裝在客戶終端���,此時(shí)通過將小型終端連接到客戶終端�,使用者能夠自動(dòng)訪問專用網(wǎng)絡(luò)上的對(duì)象裝置��。
[0043]另外��,本發(fā)明所涉及的認(rèn)證服務(wù)器包括:受理單元�,用于接收記錄在連接于客戶終端的小型終端上的標(biāo)識(shí);認(rèn)證單元���,基于標(biāo)識(shí)進(jìn)行認(rèn)證����;通信方法選擇單元���,在認(rèn)證單元進(jìn)行認(rèn)證時(shí)��,用于選擇客戶終端與認(rèn)證服務(wù)器進(jìn)行通信的通信協(xié)議和加密方式�����;分配單元��,根據(jù)選擇的通信協(xié)議和加密方式����,向客戶終端分配用于加密通信的軟件;加密單元����,基于選擇的通信協(xié)議和加密方式,加密與客戶終端的通信�;接收單元,用于接收從分配到的軟件自動(dòng)發(fā)送的��,向?qū)ο笱b置的訪問請(qǐng)求信息���;重定向單元�,根據(jù)接收到的訪問請(qǐng)求信息�����,代理響應(yīng)客戶終端與對(duì)象裝置的訪問���。當(dāng)認(rèn)證服務(wù)器具備上述單元時(shí),則無需搭載WEB功能,從而能夠減少來自存有惡意的第三者的攻擊的可能���。
[0044]另外���,本發(fā)明的加密單元在根據(jù)標(biāo)識(shí),采用RC4����、3DES或者AES中的任一加密方式對(duì)通信進(jìn)行加密時(shí),可根據(jù)組織內(nèi)網(wǎng)絡(luò)的安全級(jí)別���,選擇適當(dāng)?shù)募用芊绞健?br>
[0045]另外�,本發(fā)明的小型終端為不設(shè)有用于記錄從客戶終端發(fā)送的數(shù)據(jù)的內(nèi)存的終端時(shí)�,能夠防止小型終端上的信息被拷貝,還能夠在小型終端上存儲(chǔ)信息從而防止被盜取����。
[0046]另外,當(dāng)本發(fā)明的軟件具有根據(jù)選擇的通信協(xié)議自動(dòng)變更客戶終端的網(wǎng)絡(luò)設(shè)定的網(wǎng)絡(luò)設(shè)定功能時(shí)���,在使用者訪問企業(yè)內(nèi)的網(wǎng)絡(luò)時(shí)�,無需配置路由器等專用網(wǎng)絡(luò)機(jī)器����,而且能夠省略復(fù)雜的網(wǎng)絡(luò)設(shè)定�。
[0047]而且�,當(dāng)本發(fā)明的軟件具有判斷連接單元與客戶終端的連接已斷開,刪除訪問請(qǐng)求信息和軟件的刪除功能時(shí)�����,能夠從客戶終端刪除有關(guān)連接的信息��,從而能夠防止歷史記錄被惡意利用���。[0048]另外�,當(dāng)本發(fā)明的軟件具有用于在客戶終端顯示訪問用畫面的畫面顯示功能時(shí)��,能夠防止從搭載在客戶終端上的瀏覽器訪問認(rèn)證服務(wù)器��,并能夠使用軟件對(duì)緩存和訪問歷史記錄等信息進(jìn)行管理�。
[0049]另外,本發(fā)明的畫面顯示功能隱匿顯示認(rèn)證服務(wù)器位置的識(shí)別信息時(shí)�,通過對(duì)心存惡意的第三者隱匿認(rèn)證服務(wù)器的位置,從而能夠提高安全性��。
[0050]另外���,本發(fā)明所涉及的軟件具備判斷連接單元與客戶終端的連接已斷開�、不顯示訪問用畫面的功能時(shí)�,通過從客戶終端斷開小型終端,能夠不顯示訪問用畫面�。
【專利附圖】
【附圖說明】
[0051]圖1為本發(fā)明的第一實(shí)施方式的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的處理概略圖。
[0052]圖2為本發(fā)明的第一實(shí)施方式的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的框圖����。
[0053]圖3為表示本發(fā)明的第一實(shí)施方式的小型終端的處理的流程圖。
[0054]圖4為表示本發(fā)明的第一實(shí)施方式的認(rèn)證服務(wù)器的處理的流程圖���。
[0055]圖5為表示本發(fā)明的第一實(shí)施方式的客戶終端訪問時(shí)的處理的流程圖���。
[0056]圖6為表示本發(fā)明的第一實(shí)施方式的客戶終端斷開時(shí)的處理的流程圖。
[0057]圖7為表示本發(fā)明的第二實(shí)施方式的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的框圖���。
[0058]圖8為表示本發(fā)明的第二實(shí)施方式的客戶終端訪問時(shí)的處理的流程圖�。
[0059]圖9為表示本發(fā)明的第二實(shí)施方式的客戶終端斷開時(shí)的處理的流程圖�����。
[0060]附圖標(biāo)記說明
[0061]100 認(rèn)證服務(wù)器
[0062]101 數(shù)據(jù)庫(kù)
[0063]102 認(rèn)證單元
[0064]110 受理單元
[0065]111 分配單元
[0066]112 通信方法選擇單元
[0067]113 加密單元
[0068]114 接收單元
[0069]115 重定向單元
[0070]200 小型終端
[0071]201 標(biāo)識(shí)符存儲(chǔ)單元
[0072]202 連接單元
[0073]203 標(biāo)識(shí)符發(fā)送單元
[0074]250 客戶終端
[0075]251 加密通信單元
[0076]252 畫面顯示單元
[0077]253 刪除單元
[0078]254 網(wǎng)絡(luò)設(shè)定單元
[0079]300 對(duì)象裝置
[0080]301 WEB 服務(wù)器[0081]302電子郵件服務(wù)器
[0082]303業(yè)務(wù)服務(wù)器
[0083]800公用線路
[0084]850防火墻
【具體實(shí)施方式】 [0085]第一實(shí)施方式
[0086]下面���,參照附圖1至圖6說明本發(fā)明的第一實(shí)施方式���。
[0087]在本實(shí)施方式中�����,虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)具備認(rèn)證服務(wù)器100�����、客戶終端250�����、小型終端200和對(duì)象裝置300�����。
[0088]在第一實(shí)施方式中��,虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)包括小型終端200和認(rèn)證服務(wù)器100�。所述小型終端200包括:連接單元202���,與客戶終端250連接�����;標(biāo)識(shí)發(fā)送單元203�����,在連接單元202的連接狀態(tài)下�����,通過客戶終端250向認(rèn)證服務(wù)器100自動(dòng)發(fā)送標(biāo)識(shí)的�,并能夠從客戶終端250裝卸�。所述認(rèn)證服務(wù)器100包括:認(rèn)證單元102,基于小型終端200的標(biāo)識(shí)進(jìn)行認(rèn)證����;通信方法選擇單元112,用于在認(rèn)證單元102進(jìn)行認(rèn)證時(shí)����,選擇客戶終端250與認(rèn)證服務(wù)器100進(jìn)行通信的通信協(xié)議和加密方式;分配單元111���,根據(jù)選擇的通信協(xié)議和加密方式�,向客戶終端250分配用于加密通信的軟件;加密單元113����,基于選擇的通信協(xié)議和加密方式,加密與客戶終端250的通信��;接收單元114���,用于接收從分配的軟件自動(dòng)發(fā)送的����、請(qǐng)求訪問對(duì)象裝置300的訪問請(qǐng)求信息��;重定向單元115��,根據(jù)接收到的訪問請(qǐng)求信息����,對(duì)客戶終端250與對(duì)象裝置300的訪問進(jìn)行代理響應(yīng)。
[0089]虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)包括計(jì)算機(jī)或者服務(wù)器�,CPU通過基于各種輸入實(shí)施記錄在ROM上的程序,從而作為各種功能單元進(jìn)行操作��。該程序被保存在CD-ROM等存儲(chǔ)介質(zhì)中�,或者通過因特網(wǎng)等網(wǎng)絡(luò)被分配����,并安裝于計(jì)算機(jī)��。
[0090]參照?qǐng)D1說明本實(shí)施方式的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的處理概略圖���。
[0091]首先���,小型終端200與客戶終端250連接時(shí)(步驟1)����,向認(rèn)證服務(wù)器100發(fā)送標(biāo)識(shí)(步驟2)。
[0092]標(biāo)識(shí)是指在小型終端200上記錄的固有信息�����。更為具體地���,是指小型終端200的ID和認(rèn)證用數(shù)據(jù)等。
[0093]根據(jù)發(fā)來的標(biāo)識(shí)���,認(rèn)證服務(wù)器100進(jìn)行認(rèn)證(步驟3)��。認(rèn)證服務(wù)器100將從小型終端200自動(dòng)發(fā)送的標(biāo)識(shí)用于認(rèn)證����,因此無需具備訪問用WEB功能,能夠進(jìn)一步提高安全強(qiáng)度���。
[0094]認(rèn)證服務(wù)器100若認(rèn)證成功���,則根據(jù)標(biāo)識(shí)向客戶終端250分配軟件(步驟4)。
[0095]軟件從認(rèn)證服務(wù)器100被分配到客戶終端250����,加密認(rèn)證服務(wù)器100與客戶終端250的通信。從分配單元111分配到客戶終端250的軟件�����,在本實(shí)施方式中作為臨時(shí)文件被保存在客戶終端250����,但也可以安裝后展開。
[0096]軟件具有加密等功能��。認(rèn)證服務(wù)器100在多個(gè)加密方式中,選擇對(duì)應(yīng)標(biāo)識(shí)的加密方式���,分配適當(dāng)?shù)能浖?。在本?shí)施方式中���,客戶終端250與認(rèn)證服務(wù)器100采用3DES進(jìn)行加密�����,通過IPSec-VPN方式進(jìn)行通信��。在本實(shí)施方式中����,將軟件分成一次和二次進(jìn)行分配�����。每個(gè)軟件都對(duì)從客戶終端250向認(rèn)證服務(wù)器100的通信進(jìn)行加密�。一次軟件在認(rèn)證服務(wù)器100對(duì)小型終端200發(fā)送的標(biāo)識(shí)進(jìn)行認(rèn)證后被分配����,并發(fā)送訪問請(qǐng)求信息。第二次軟件是基于一次軟件發(fā)送的訪問請(qǐng)求信息,在認(rèn)證服務(wù)器100進(jìn)行認(rèn)證之后被分配��,并顯示訪問用畫面����。
[0097]客戶終端250將分配的一次軟件作為臨時(shí)文件保存(步驟5)。
[0098]如有必要�����,一次軟件適當(dāng)變更客戶終端250的設(shè)定(步驟6)����。在本實(shí)施方式中,客戶終端250通過IPSec-VPN訪問認(rèn)證服務(wù)器100��,因此有必要變更設(shè)定�����。此時(shí)�,改寫客戶終端250的IP地址、網(wǎng)址�、默認(rèn)網(wǎng)關(guān)等的設(shè)定,以使與設(shè)有對(duì)象裝置300的網(wǎng)絡(luò)屬于相同網(wǎng)絡(luò)�,并在路由選擇表里增加局域網(wǎng)路由器的所在地���。由此,軟件自動(dòng)進(jìn)行客戶終端250的網(wǎng)絡(luò)設(shè)定變更�����,因此不需要配置復(fù)雜的網(wǎng)絡(luò)設(shè)定處理和專用路由器等設(shè)備���。
[0099]當(dāng)客戶終端250的網(wǎng)絡(luò)設(shè)定處于適當(dāng)狀態(tài)時(shí)��,一次軟件加密與認(rèn)證服務(wù)器100的通信(步驟7)��。在本實(shí)施方式中����,通過3DES進(jìn)行加密��。通過被加密的通信�����,一次軟件向認(rèn)證服務(wù)器100發(fā)送訪問請(qǐng)求信息(步驟8)���。
[0100]訪問請(qǐng)求信息是指對(duì)認(rèn)證服務(wù)器100請(qǐng)求期望訪問哪個(gè)對(duì)象裝置的信息。具體為,為了能夠特定期望訪問的對(duì)象裝置300�,所述訪問請(qǐng)求信息包含IP地址等信息。在本實(shí)施方式中��,包含電子郵件服務(wù)器302和業(yè)務(wù)服務(wù)器303的IP地址���。
[0101]認(rèn)證服務(wù)器100根據(jù)一次軟件的ID和分配歷史記錄等認(rèn)證一次軟件是否有效(步驟9)����,對(duì)于認(rèn)證成功的客戶終端250分配二次軟件(步驟9)�。然后,重定向單元115進(jìn)行代理響應(yīng)(步驟11)����。具體為,對(duì)于訪問請(qǐng)求信息中的保存在認(rèn)證服務(wù)器100的緩存上的信息�,響應(yīng)緩存上的信息,而對(duì)于不在緩存上的信息從電子郵件服務(wù)器302或者業(yè)務(wù)服務(wù)器303獲取��,并傳達(dá)給客戶終端250 (步驟10)���。
[0102]二次軟件在客戶終端250上顯示訪問用畫面��,并顯示從認(rèn)證服務(wù)器100獲取的信息(步驟12)���。由此����,使用者能夠從公共線路800獲取企業(yè)內(nèi)電子郵件服務(wù)器302上的電子郵件����,而且,能夠閱覽保存在業(yè)務(wù)服務(wù)器303上的文件等�����。
[0103]訪問用畫面是指�����,通過認(rèn)證服務(wù)器100的傳達(dá)��,當(dāng)客戶終端250訪問對(duì)象裝置300時(shí)�,顯示在客戶終端250上的畫面。在本實(shí)施方式中�,使用者在訪問用畫面上閱覽電子郵件服務(wù)器302的電子郵件和業(yè)務(wù)服務(wù)器303的文件。具體為���,在具有諸如標(biāo)簽(tab)結(jié)構(gòu)的瀏覽器的畫面上�,利用標(biāo)簽切換顯示對(duì)象����,以閱覽電子郵件和文件。
[0104]二次軟件判斷連接單元202與客戶終端250的連接已斷開��,可以下達(dá)不顯示訪問用畫面的指示���。
[0105]訪問用畫面是指�����,通過認(rèn)證服務(wù)器100的傳達(dá)��,在客戶終端250訪問對(duì)象裝置300時(shí)����,在客戶終端250上顯示的畫面�。
[0106]軟件判斷連接單元202與客戶終端250已斷開,可以下達(dá)不顯示訪問用畫面的指
/Jn ο
[0107]在本實(shí)施方式中�����,當(dāng)小型終端200與客戶終端250連接時(shí)顯示訪問用畫面���,而在連接斷開時(shí)則不顯示訪問用畫面���。
[0108]當(dāng)斷開小型終端200與客戶終端250的連接時(shí)(步驟13)����,二次軟件刪除訪問用畫面�����、訪問歷史記錄和軟件(步驟14)�����。而且�,將網(wǎng)絡(luò)設(shè)定恢復(fù)到通信前的狀態(tài)(步驟15)。
[0109]圖2是本實(shí)施方式的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的框圖���。在本實(shí)施方式中����,客戶終端250通過公共線路800訪問專用網(wǎng)絡(luò)上的對(duì)象裝置300�����。[0110]專用網(wǎng)絡(luò)是指企業(yè)等組織內(nèi)的網(wǎng)絡(luò)。在本實(shí)施方式中是指��,用防火墻850隔離公共線路800的企業(yè)的局域網(wǎng)���。
[0111]對(duì)象裝置300是指配置在專用網(wǎng)絡(luò)上的裝置。在本實(shí)施方式中�����,對(duì)象裝置300是電子郵件服務(wù)器302����、WEB服務(wù)器301和業(yè)務(wù)服務(wù)器303。對(duì)象裝置300被設(shè)在防火墻850的內(nèi)側(cè)����。
[0112]若插入小型終端200,客戶終端250可從公共線路800訪問對(duì)象裝置300��。此時(shí)�����,需要通過認(rèn)證服務(wù)器100的認(rèn)證���。認(rèn)證服務(wù)器100被設(shè)在DMZ上�����。另外����,客戶終端250和小型終端200被設(shè)在公共線路800上。
[0113]小型終端200是指用于虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的小型的終端��,可與客戶終端250連接����,并具有可攜帶的尺寸。小型終端200包括標(biāo)識(shí)存儲(chǔ)單元201�,連接單元202和標(biāo)識(shí)發(fā)送單元203。
[0114]標(biāo)識(shí)存儲(chǔ)單元201是指寫入標(biāo)識(shí)的線路上的區(qū)域���。
[0115]小型終端200在連接單元202中���,與客戶終端250連接?���?墒褂肬SB (UniversalSirial Bus)或IEEE1394等串行總線連接的接口作為連接接口���。在本實(shí)施方式中,小型終端200與客戶終端250進(jìn)行USB連接���。
[0116]標(biāo)識(shí)發(fā)送單元203是指向認(rèn)證服務(wù)器100發(fā)送標(biāo)識(shí)的單元。連接單元202與客戶終端250連接時(shí)����,自動(dòng)發(fā)送標(biāo)識(shí)。
[0117]而且�,小型終端200可以不具備內(nèi)存功能。例如����,可通過在CMOS線路上直接寫入標(biāo)識(shí)存儲(chǔ)單元201,連接單元202和標(biāo)識(shí)發(fā)送單元203進(jìn)行控制����,因此可以不具備內(nèi)存功能。此時(shí)����,能夠防止心存惡意的使用者盜取小型終端200的標(biāo)識(shí),并能夠防止客戶終端250上的信息被拷貝到小型終端200上。
[0118]而且�����,如圖2所示�����,認(rèn)證服務(wù)器100包括數(shù)據(jù)庫(kù)101��、認(rèn)證單元102�����、受理單元110�、分配單元111����、通信方法選擇單元112、加密單元113��、接收單元114和重定向單元115�����。
[0119]數(shù)據(jù)庫(kù)101中存有關(guān)于小型終端200的標(biāo)識(shí)的信息。當(dāng)小型終端200發(fā)來標(biāo)識(shí)時(shí)���,認(rèn)證服務(wù)器100與保存在數(shù)據(jù)庫(kù)101上的信息進(jìn)行對(duì)照并進(jìn)行認(rèn)證�����。
[0120]受理單元110是指接收從小型終端200發(fā)送的標(biāo)識(shí)的單元�����。
[0121]認(rèn)證單元102對(duì)于來訪問的終端進(jìn)行認(rèn)證�。本實(shí)施方式中�����,對(duì)訪問源的小型終端200的標(biāo)識(shí)和記錄在數(shù)據(jù)庫(kù)101上的標(biāo)識(shí)進(jìn)行比較��,如果一致則允許訪問���。
[0122]分配單元111向作為訪問源的終端分配軟件。也可以分配用于加密通信的軟件(一次和二次)�。在本實(shí)施方式中,分配單元111根據(jù)小型終端200的標(biāo)識(shí)選擇分配軟件的種類�。
[0123]通信方法選擇單元112選擇作為訪問源的終端與認(rèn)證服務(wù)器100的通信方法�����。通信方法選擇單元112��,基于小型終端200的標(biāo)識(shí)�����,選擇通信協(xié)議和加密方式����。例如����,可以選擇AH (Authentication Header)、ESP (Encapsulated Security Payload)和 IKE (InternetKey Exchange)等作為通信協(xié)議�����。
[0124]加密單元113加密作為訪問源的終端與認(rèn)證服務(wù)器100的通信�。加密單元113也可以是:根據(jù)標(biāo)識(shí),利用RC4�����、3DES或者AES的某種加密方式對(duì)通信進(jìn)行加密的單元。
[0125]接收單元114接收向?qū)ο笱b置300的訪問請(qǐng)求信息���。
[0126]重定向單元115代理客戶終端250與對(duì)象裝置300的連接�,也可以是作為代理服務(wù)器的功能�。具體為,若存在從公共線路800訪問對(duì)象裝置300的終端����,使全部終端均訪問重定向單元115,從對(duì)象裝置300只獲取緩存中沒有的信息(將從公共線路800接收的請(qǐng)求傳達(dá)給對(duì)象裝置300)��。
[0127]如圖2所示�����,客戶終端250通過分配一次和二次軟件�����,提供加密通信單元251�����。進(jìn)一步地����,一次和二次軟件,如本實(shí)施方式����,可具備畫面顯示功能、刪除功能和網(wǎng)絡(luò)設(shè)定功能���。為此�,在本實(shí)施方式中���,當(dāng)客戶終端250被分配到一次和二次軟件時(shí)�,如圖2所示����,從一次和二次軟件提供畫面顯示單元252、刪除單元253和網(wǎng)絡(luò)設(shè)定單元254�。
[0128]加密通信單元251加密從客戶終端250至認(rèn)證服務(wù)器100的通信。本實(shí)施方式中進(jìn)行基于3DES方式的加密�����,通過IPSec-VPN進(jìn)行通信���。
[0129]畫面顯示單元252在客戶終端250上顯示訪問用畫面�。而且,畫面顯示單元252可以隱匿表示認(rèn)證服務(wù)器100的位置的標(biāo)識(shí)信息。例如�,在訪問用畫面上可以不顯示認(rèn)證服務(wù)器100和對(duì)象裝置300的URL。由此����,使用者能夠隱匿認(rèn)證服務(wù)器100的URL,能夠防止心存惡意的第三者根據(jù)認(rèn)證服務(wù)器100的URL進(jìn)行攻擊�����。
[0130]網(wǎng)絡(luò)設(shè)定單元254改寫客戶終端250的網(wǎng)絡(luò)設(shè)定���。在本實(shí)施方式中���,作為通信方法選擇IPSec-VPN,因此有必要變更客戶終端250的IP地址���、網(wǎng)址、路由選擇表等的設(shè)定�。
[0131]刪除單元253刪除記錄在小型終端200上的信息。在本實(shí)施方式中���,從客戶終端250上刪除訪問請(qǐng)求信息和訪問歷史記錄�����、緩存和Cookie��。
[0132]參照附圖3�,詳細(xì)說明小型終端200的處理流程。圖3是表示小型終端200的處理的流程圖�����。
[0133]首先��,訪問對(duì)象裝置300并期待接受業(yè)務(wù)提供的使用者�����,將小型終端200連接到客戶終端250上(步驟111)����。此時(shí),使用者根據(jù)對(duì)象裝置300的安全級(jí)別��,選擇插入的小型終端200。在本實(shí)施方式中����,以使用IPSec-VPN連接時(shí)為例進(jìn)行說明。
[0134]利用IPSec-VPN連接企業(yè)的局域網(wǎng)時(shí)�����,利用與IPSec-VPN對(duì)應(yīng)的小型終端200�����。小型終端200若能夠識(shí)別連接到客戶終端250�,則自動(dòng)實(shí)施內(nèi)部程序,向認(rèn)證服務(wù)器100自動(dòng)發(fā)送標(biāo)識(shí)(步驟112)���。
[0135]其次���,參照附圖4詳細(xì)說明認(rèn)證服務(wù)器100的處理流程。若通過客戶終端250從小型終端200發(fā)送標(biāo)識(shí)����,則根據(jù)該標(biāo)識(shí),認(rèn)證服務(wù)器100對(duì)小型終端200進(jìn)行認(rèn)證(步驟211 )�。若認(rèn)證成功,認(rèn)證服務(wù)器100根據(jù)標(biāo)識(shí)決定通信協(xié)議和加密方式(步驟212)�����。認(rèn)證服務(wù)器100向客戶終端250分配為了實(shí)現(xiàn)確定的通信協(xié)議和加密方式所需要的軟件(步驟213 )���。若從客戶終端250利用加密的通信接收訪問請(qǐng)求信息(步驟214)����,認(rèn)證服務(wù)器100進(jìn)行代理響應(yīng)(步驟215)�。
[0136]其次,參照附圖5和6詳細(xì)說明存有軟件的客戶終端250的處理流程�。
[0137]圖5是表示存有軟件的客戶終端250訪問對(duì)象裝置300時(shí)的處理流程的圖表。若將分配的軟件保存到客戶終端250上(步驟311)���,則網(wǎng)絡(luò)設(shè)定單元254判斷客戶終端250的網(wǎng)絡(luò)設(shè)定是否需要進(jìn)行變更(步驟312)�。在本實(shí)施方式中����,有必要對(duì)客戶終端250的網(wǎng)址、路由選擇表等進(jìn)行變更(步驟312 ;是)�,因此進(jìn)行設(shè)定變更(步驟313)。若客戶終端250的網(wǎng)絡(luò)設(shè)定為與認(rèn)證服務(wù)器100能夠進(jìn)行通信的狀態(tài)�,則加密通信(步驟314),向認(rèn)證服務(wù)器100發(fā)送訪問請(qǐng)求信息(步驟315)。若請(qǐng)求的信息被加密后從認(rèn)證服務(wù)器100被反饋��,在客戶終端250上顯示訪問用畫面�����,顯示收取的信息(步驟316)��。[0138]圖6是表示解除客戶終端250與小型終端200的連接時(shí)的處理流程的圖表�����。若使用者從客戶終端250拔出小型終端200 (步驟411)��,軟件會(huì)檢測(cè)出連接被解除����。此時(shí),畫面顯示單元252刪除在客戶終端250上顯示的訪問用畫面(步驟412)�。由此,使用者無需明確關(guān)閉訪問用畫面���,也能夠結(jié)束與認(rèn)證服務(wù)器100的通信���。刪除單元253刪除客戶終端250上的訪問歷史記錄�、緩存信息�、cookie等歷史記錄(步驟413)。由此���,使用者拔掉小型終端200后,能夠防止利用歷史記錄對(duì)對(duì)象裝置300進(jìn)行非法訪問�。若網(wǎng)絡(luò)設(shè)定單元254變更了客戶終端250的網(wǎng)絡(luò)設(shè)定,則恢復(fù)設(shè)定(步驟414)��,保存在客戶終端250上的軟件被自動(dòng)刪除(步驟415)�。
[0139]第二實(shí)施方式
[0140]下面,參照附圖7至9詳細(xì)說明本發(fā)明的第二實(shí)施方式
[0141]本實(shí)施方式中�,虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)具備認(rèn)證服務(wù)器100,客戶終端250����,小型終端200和對(duì)象裝置300。
[0142]第二實(shí)施方式中����,虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)包括:小型終端200,其具備連接于客戶終端250的連接單元202和��,連接單元202連接的狀態(tài)下�,通過客戶終端250向認(rèn)證服務(wù)器100自動(dòng)發(fā)送標(biāo)識(shí)的標(biāo)識(shí)發(fā)送單元203���,并裝卸可能于客戶終端250 ;認(rèn)證單元102,基于小型終端200的標(biāo)識(shí)進(jìn)行認(rèn)證����;通信方法選擇單元112,在認(rèn)證單元102進(jìn)行認(rèn)證時(shí)����,用于選擇客戶終端250與認(rèn)證服務(wù)器100進(jìn)行通信的通信協(xié)議和加密方式;分配單元111����,根據(jù)選擇的通信協(xié)議和加密方式,向客戶終端250分配用于加密通信的軟件���;加密單元113�����,基于選擇的通信協(xié)議和加密方式�����,加密與客戶終端250的通信�;接收單元114,用于接收從分配到的軟件自動(dòng)發(fā)送的�,向?qū)ο笱b置300的訪問請(qǐng)求信息;重定向單元115��,根據(jù)接收到的訪問請(qǐng)求信息�,代理響應(yīng)客戶終端250與對(duì)象裝置300的訪問。
[0143]在本實(shí)施方式中����,使用者采用SSL-VPN方式訪問專用網(wǎng)絡(luò)�����。因此��,無需變更客戶終端250的網(wǎng)絡(luò)設(shè)定��。
[0144]圖7是本實(shí)施方式的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)的框圖��。在本實(shí)施方式中����,客戶終端250通過公共線路800訪問專用網(wǎng)絡(luò)上的對(duì)象裝置300。
[0145]在本實(shí)施方式中���,小型終端200包括標(biāo)識(shí)存儲(chǔ)單元210���、連接單元202和標(biāo)識(shí)發(fā)送單元203����。
[0146]而且�,認(rèn)證服務(wù)器100包括數(shù)據(jù)庫(kù)101、認(rèn)證單元102�����、受理單元110�、分配單元
111、通信方法選擇單元112��、加密單元113��、接收單元114和重定向單元115�����。
[0147]如圖7所示�,通過分配軟件,客戶終端250提供加密通信單元251����。在本實(shí)施方式中通過SSL加密通信��。進(jìn)一步地����,軟件具有如本實(shí)施方式的畫面顯示功能和刪除功能����。為此,在本實(shí)施方式中��,如果客戶終端250分配到軟件��,則如圖7所示���,獲得軟件提供的畫面顯示單元252和刪除單元253。
[0148]加密通信單元251加密從客戶終端250向認(rèn)證服務(wù)器100的通信��。在本實(shí)施方式中���,是指利用SSL方式的HTTPS通信�。
[0149]畫面顯示單元252在客戶終端250上顯示訪問用畫面����。而且,畫面顯示單元252可以隱匿表示認(rèn)證服務(wù)器100的位置的識(shí)別信息�����。例如�����,訪問用畫面上可以不顯示認(rèn)證服務(wù)器100和對(duì)象裝置300的URL�����。由此�,使用者能夠隱匿認(rèn)證服務(wù)器100的URL�,從而能夠防止心存惡意的第三者基于認(rèn)證服務(wù)器100的URL進(jìn)行攻擊。[0150]網(wǎng)絡(luò)設(shè)定單元254改寫客戶終端250的網(wǎng)絡(luò)設(shè)定�����。在本實(shí)施方式中����,通過SSL-VPN進(jìn)行通信,因此無需變更客戶終端250的網(wǎng)絡(luò)設(shè)定。但是在選擇IPSec-VPN等通信方法時(shí)�����,則有必要變更客戶終端250的IP地址���、網(wǎng)址����、路由選擇表等的設(shè)定�����。
[0151]刪除單元253刪除記錄在小型終端200上的信息�。在本實(shí)施方式中,從客戶終端250刪除訪問請(qǐng)求信息�����、訪問歷史記錄����、緩存和Cookie���。
[0152]其次����,參照附圖8和9詳細(xì)說明保存有軟件的客戶終端250的處理流程。
[0153]圖8是表示保存有軟件的客戶終端250訪問對(duì)象裝置300時(shí)的處理流程的圖表��。當(dāng)保存分配在客戶終端250上的軟件(步驟511)時(shí)��,加密通信(步驟512)���,向認(rèn)證服務(wù)器100發(fā)送訪問請(qǐng)求信息(步驟513)���。如果請(qǐng)求的信息從認(rèn)證服務(wù)器100被加密反饋,在客戶終端250上顯示訪問用畫面,并顯示收到的信息(步驟514)���。
[0154]圖9是表示解除客戶終端250與小型終端200的連接時(shí)的處理流程的圖表��。當(dāng)使用者從客戶終端250拔出小型終端200 (步驟611)�����,軟件檢測(cè)出連接被解除���。此時(shí),畫面顯示單元252刪除在客戶終端250上顯示的訪問用畫面(步驟612)。由此���,使用者無需明確關(guān)閉訪問用畫面�����,也能夠結(jié)束與認(rèn)證服務(wù)器100的通信����。刪除單元253刪除客戶終端250上的訪問歷史記錄���、緩存信息�����、cookie等歷史記錄(步驟613)���。由此,使用者拔掉小型終端200后�,能夠防止利用歷史記錄對(duì)對(duì)象裝置300進(jìn)行非法訪問。之后�����,自動(dòng)刪除保存在客戶終端250上的軟件(步驟614)����。
[0155]其他的結(jié)構(gòu)、功能均與第一實(shí)施方式相同�����。
[0156]虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)�����、虛擬網(wǎng)絡(luò)構(gòu)建方法包括:將可從客戶終端250裝卸的小型終端200連接到客戶終端250的步驟�����;在連接單元202的連接狀態(tài)下����,通過客戶終端250向認(rèn)證服務(wù)器100自動(dòng)發(fā)送標(biāo)識(shí)的步驟;認(rèn)證服務(wù)器100基于小型終端200的標(biāo)識(shí)進(jìn)行認(rèn)證的步驟�����;在認(rèn)證單元102進(jìn)行認(rèn)證時(shí)�����,選擇客戶終端250與認(rèn)證服務(wù)器100進(jìn)行通信的通信協(xié)議和加密方式的步驟;根據(jù)選擇的通信協(xié)議和加密方式���,向客戶終端250分配用于加密通信的軟件的步驟���;基于選擇的通信協(xié)議和加密方式,加密與客戶終端250的通信的步驟���;接收從分配到的軟件自動(dòng)發(fā)送的��、向?qū)ο笱b置300的訪問請(qǐng)求信息的步驟�;根據(jù)接收到的訪問請(qǐng)求信息�����,代理響應(yīng)客戶終端250與對(duì)象裝置300的訪問的步驟����。當(dāng)虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)、虛擬網(wǎng)絡(luò)構(gòu)建方法能夠?qū)崿F(xiàn)上述步驟時(shí)�,小型終端200可自動(dòng)進(jìn)行與認(rèn)證服務(wù)器100的連接,能夠限定可以訪問企業(yè)等組織內(nèi)專用網(wǎng)絡(luò)的終端��,而且認(rèn)證服務(wù)器100無需搭載WEB功能和VPN路由器功能,能夠減少來自心存惡意的第三者的攻擊的可能性��。
[0157]另外����,小型終端200包括:連接單元202����,用于連接客戶終端250 ;標(biāo)識(shí)記錄單元201,用于記錄向認(rèn)證服務(wù)器100進(jìn)行認(rèn)證的標(biāo)識(shí)����;標(biāo)識(shí)發(fā)送單元203,在連接單元202的連接狀態(tài)下�����,通過客戶終端250����,向認(rèn)證服務(wù)器100自動(dòng)發(fā)送標(biāo)識(shí)。所述小型終端200為了使客戶終端250訪問對(duì)象裝置300��,使認(rèn)證服務(wù)器100基于標(biāo)識(shí)認(rèn)證客戶終端250���,并可裝卸地按照在所述客戶終端250�。此時(shí),通過將小型終端200連接到客戶終端250���,使用者能夠自動(dòng)訪問專用網(wǎng)絡(luò)上的對(duì)象裝置300��。
[0158]而且���,認(rèn)證服務(wù)器100包括:受理單元110,用于接收記錄在連接于客戶終端250的小型終端200上的標(biāo)識(shí)���;認(rèn)證單元102�����,基于標(biāo)識(shí)進(jìn)行認(rèn)證�����;通信方法選擇單元112����,在認(rèn)證單元102進(jìn)行認(rèn)證時(shí)��,用于選擇客戶終端250與認(rèn)證服務(wù)器100進(jìn)行通信的通信協(xié)議和加密方式;分配單元111�,根據(jù)選擇的通信協(xié)議和加密方式,向客戶終端250分配用于加密通信的軟件��;加密單元113����,基于選擇的通信協(xié)議和加密方式����,加密與客戶終端250的通信;接收單元114�����,用于接收從分配到的軟件自動(dòng)發(fā)送的�,向?qū)ο笱b置300的訪問請(qǐng)求信息;重定向單元115�����,根據(jù)接收到的訪問請(qǐng)求信息����,代理響應(yīng)客戶終端250與對(duì)象裝置300的訪問��。當(dāng)認(rèn)證服務(wù)器100包括上述單元時(shí)����,則認(rèn)證服務(wù)器100無需搭載WEB功能�����,也能夠減少來自心存惡意的第三者的攻擊的可能性���。
[0159]另外�,加密單元113根據(jù)標(biāo)識(shí)�,通過RC4、3DES或者AES的某種加密方式加密通信時(shí)�,根據(jù)組織內(nèi)網(wǎng)絡(luò)的安全級(jí)別能夠選擇適當(dāng)?shù)募用芊绞健?br>
[0160]另外,當(dāng)小型終端200不設(shè)有記錄從客戶終端250發(fā)送的數(shù)據(jù)的內(nèi)存時(shí)��,能夠防止小型終端200上的信息被拷貝����,還能夠防止因在小型終端200上存儲(chǔ)信息而被盜取。
[0161]另外���,如果軟件具有根據(jù)選擇的通信協(xié)議自動(dòng)變更客戶終端250的網(wǎng)絡(luò)設(shè)定的網(wǎng)絡(luò)設(shè)定功能����,則在使用者訪問企業(yè)內(nèi)網(wǎng)絡(luò)時(shí),無需配置路由器等專用網(wǎng)絡(luò)設(shè)備�,而且能夠省略復(fù)雜的網(wǎng)絡(luò)設(shè)定。
[0162]另外�����,當(dāng)軟件具有判斷連接單元202與客戶終端250的連接已斷開����、刪除訪問請(qǐng)求信息和軟件的刪除功能時(shí)�����,能夠從客戶終端250上刪除有關(guān)連接的信息�,能夠防止歷史記錄被惡意利用。
[0163]另外���,當(dāng)軟件具有在客戶終端250上顯示訪問用畫面的畫面顯示功能時(shí)��,能夠防止搭載在客戶終端250上的瀏覽器訪問認(rèn)證服務(wù)器100��,并能夠使用軟件管理緩存和訪問歷史記錄等的信息�����。
[0164]另外�,當(dāng)畫面顯示功能隱匿顯示認(rèn)證服務(wù)器100的位置的識(shí)別信息時(shí),可對(duì)心存惡意的第三者隱匿認(rèn)證服務(wù)器100的位置��,因此能夠提高安全性���。
[0165]另外��,當(dāng)軟件具有判斷連接單元202與客戶終端250的連接已斷開��、不顯示訪問用畫面的功能時(shí)���,通過從客戶終端250斷開小型終端200,能夠不顯示訪問用畫面�����。
【權(quán)利要求】
1.一種虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)�����,包括通過公共線路訪問專用網(wǎng)絡(luò)的客戶終端、進(jìn)行對(duì)所述客戶終端的認(rèn)證的認(rèn)證服務(wù)器和配置在所述專用網(wǎng)絡(luò)上的對(duì)象裝置�,其特征在于,所述虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)包括小型終端和認(rèn)證服務(wù)器��, 其中��,所述小型終端���,可裝卸地安裝在所述客戶終端���,包括: 連接單元,連接所述客戶終端��; 標(biāo)識(shí)發(fā)送單元����,在所述連接單元的連接狀態(tài)下�����,通過所述客戶終端向所述認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí)���, 所述認(rèn)證服務(wù)器包括: 認(rèn)證單元����,基于所述小型終端的標(biāo)識(shí)進(jìn)行認(rèn)證; 通信方法選擇單元����,在所述認(rèn)證單元進(jìn)行認(rèn)證時(shí),選擇所述客戶終端與所述認(rèn)證服務(wù)器進(jìn)行通信的通信協(xié)議和加密方式��; 分配單元�,根據(jù)所述選擇的通信協(xié)議和加密方式,向所述客戶終端分配用于加密通信的軟件����; 加密單元,基于所述選擇的通信協(xié)議和加密方式�����,對(duì)與所述客戶終端的通信進(jìn)行加密��; 接收單元�,用于接收從所述分配的軟件自動(dòng)發(fā)送的、請(qǐng)求訪問所述對(duì)象裝置的訪問請(qǐng)求信息�; 重定向單元,根據(jù)所述接收到的訪問請(qǐng)求信息��,對(duì)所述客戶終端與所述對(duì)象裝置的訪問進(jìn)行代理響應(yīng)。
2.根據(jù)權(quán)利要求1所述的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)�����,其特征在于:所述加密單元根據(jù)所述標(biāo)識(shí)����,采用RC4、3DES或者AES中的任一加密方式對(duì)通信進(jìn)行加密����。
3.根據(jù)權(quán)利要求1或者2所述的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng),其特征在于:所述小型終端不設(shè)有用于記錄從所述客戶終端發(fā)送的數(shù)據(jù)的內(nèi)存��。
4.根據(jù)權(quán)利要求1至3中的任一項(xiàng)所述的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)��,其特征在于:所述軟件具有在所述客戶終端根據(jù)所述選擇的通信協(xié)議��,自動(dòng)變更所述客戶終端的網(wǎng)絡(luò)設(shè)定的網(wǎng)絡(luò)設(shè)定功能�。
5.根據(jù)權(quán)利要求1至4中的任一項(xiàng)所述的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)����,其特征在于:所述軟件在所述客戶終端提供刪除單元,所述刪除單元在判斷所述連接單元與所述客戶終端的連接已斷開時(shí)���,自動(dòng)刪除所述連接請(qǐng)求信息和所述軟件��。
6.根據(jù)權(quán)利要求1至5中的任一項(xiàng)所述的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)�����,其特征在于:所述軟件具有用于在所述客戶終端上顯示訪問用畫面的畫面顯示功能�。
7.根據(jù)權(quán)利要求6所述的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng),其特征在于:所述畫面顯示功能隱匿表示所述認(rèn)證服務(wù)器的位置的識(shí)別信息�����。
8.根據(jù)權(quán)利要求6或者7所述的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)�����,其特征在于:所述軟件具有當(dāng)判斷所述連接單元與所述客戶終端的連接已斷開時(shí)����,不顯示所述訪問用畫面的功能。
9.一 種虛擬網(wǎng)絡(luò)構(gòu)建方法�����,所述虛擬網(wǎng)絡(luò)包括通過公共線路訪問專用網(wǎng)絡(luò)的客戶終端�、進(jìn)行所述客戶終端的認(rèn)證的認(rèn)證服務(wù)器�����、和配置在所述專用網(wǎng)絡(luò)上的對(duì)象裝置��,其特征在于: 可裝卸地安裝在所述客戶終端的小型終端���,連接到所述客戶終端; 在所述連接單元的連接狀態(tài)下����,通過所述客戶終端向所述認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí); 所述認(rèn)證服務(wù)器��, 基于所述小型終端的標(biāo)識(shí)進(jìn)行認(rèn)證��; 在所述認(rèn)證單元進(jìn)行認(rèn)證時(shí)��,選擇所述客戶終端與所述認(rèn)證服務(wù)器進(jìn)行通信的通信協(xié)議和加密方式��; 根據(jù)所述選擇的通信協(xié)議和加密方式��,對(duì)所述客戶終端分配用于加密通信的軟件�����; 基于所述選擇的通信協(xié)議和加密方式��,加密與所述客戶終端的通信�����; 接收從所述分配的軟件自動(dòng)發(fā)送的�、請(qǐng)求連接所述對(duì)象裝置的連接請(qǐng)求信息; 根據(jù)所述接收到的連接請(qǐng)求信息��,對(duì)所述客戶終端與所述對(duì)象裝置的連接進(jìn)行代理響應(yīng)�����。
10.一種小型終端�,位于包括通過公共線路訪問專用網(wǎng)絡(luò)的客戶終端、進(jìn)行所述客戶終端的認(rèn)證的認(rèn)證服務(wù)器和配置在所述專用網(wǎng)絡(luò)上的對(duì)象裝置的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)���,其特征在于���,所述小型終端包括: 連接單元,用于連接所述客戶終端��; 標(biāo)識(shí)記錄單元,用于記錄使所述認(rèn)證服務(wù)器進(jìn)行認(rèn)證的標(biāo)識(shí)�����; 標(biāo)識(shí)發(fā)送單元�����,在所述連接單元的連接狀態(tài)下����,通過所述客戶終端向所述認(rèn)證服務(wù)器自動(dòng)發(fā)送標(biāo)識(shí), 所述小型終端����,為了使所述客戶終端訪問所述對(duì)象裝置,使所述認(rèn)證服務(wù)器基于所述認(rèn)證所述客戶終端����,并可裝卸地安裝在所述客戶終端。
11.一種認(rèn)證服務(wù)器����,位于包括通過公共線路訪問專用網(wǎng)絡(luò)的客戶終端、進(jìn)行所述客戶終端的認(rèn)證的認(rèn)證服務(wù)器和配置在所述專用網(wǎng)絡(luò)上的對(duì)象裝置的虛擬網(wǎng)絡(luò)構(gòu)建系統(tǒng)�����,其特征在于,所述認(rèn)證服務(wù)器包括: 受理單元����,用于接收記錄在連接于所述客戶終端的小型終端上的標(biāo)識(shí)�; 認(rèn)證單元,基于所述標(biāo)識(shí)進(jìn)行認(rèn)證�; 通信方法選擇單元,在所述認(rèn)證單元進(jìn)行認(rèn)證時(shí)���,選擇所述客戶終端與所述認(rèn)證服務(wù)器通信的通信協(xié)議和加密方式����; 分配單元����,根據(jù)所述選擇的通信協(xié)議和加密方式,對(duì)所述客戶終端分配用于加密通信的軟件���; 加密單元��,基于所述選擇的通信協(xié)議和加密方式����,加密與所述客戶終端的通信; 接收單元�����,用于接收從所述分配的軟件自動(dòng)發(fā)送的�、請(qǐng)求訪問所述對(duì)象裝置的訪問請(qǐng)求信息; 重定向單元�����,根據(jù)所述接收到的訪問請(qǐng)求信息����,對(duì)所述客戶終端與所述對(duì)象裝置的訪問進(jìn)行代理響應(yīng)。
【文檔編號(hào)】H04L9/00GK103731410SQ201310482180
【公開日】2014年4月16日 申請(qǐng)日期:2013年10月15日 優(yōu)先權(quán)日:2012年10月16日
【發(fā)明者】鈴木亨, 渡邊秀樹 申請(qǐng)人:Ukd株式會(huì)社