CN101958822A - 加密通信系统及网关装置 - Google Patents
加密通信系统及网关装置 Download PDFInfo
- Publication number
- CN101958822A CN101958822A CN2010101809388A CN201010180938A CN101958822A CN 101958822 A CN101958822 A CN 101958822A CN 2010101809388 A CN2010101809388 A CN 2010101809388A CN 201010180938 A CN201010180938 A CN 201010180938A CN 101958822 A CN101958822 A CN 101958822A
- Authority
- CN
- China
- Prior art keywords
- address
- terminal
- network
- message
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种加密通信系统及网关装置,实现向经由3GPP系统的企业网的远程VPN接入服务。在3GPP系统中设置成为远程接入的末端部的GW(PDG)(205)。在开设终端-GW(205)之间的IPSec隧道后,开设VPN客户机(601)-企业网GW之间的IPSec隧道,将来自终端的数据通过终端-GW之间、VPN客户机-企业网GW之间的这两个隧道传输给企业网。并且,GW(205)根据从进行了远程VPN接入的终端接收到的消息的目的地IP地址,确认目的地网络是否使用全局地址,在需要全局地址的情况下,将从终端接收到的消息的发送源IP地址,从在被分配了终端的企业网内使用的私有地址转换为全局地址并传输。
Description
技术领域
本发明涉及加密通信系统及网关装置,尤其涉及具有IP地址转换功能的、向经由3GPP系统的企业网提供远程VPN接入服务的加密通信系统及网关装置。
背景技术
远程VPN接入已被广泛普及,该远程VPN接入采用使用了IPSec(Security Architecture for the Internet Protocol:因特网协议用安全体系)的VPN(Virtual Private Network:虚拟专用网)技术,用于使在外出目的地的职员经由因特网安全地连接本公司的企业网。
使用图1说明远程VPN接入系统的概况。在图1中,终端101经由因特网102与企业网104连接。终端101通过通信链路106与企业网104的相向服务器105通信,但由于通信链路106通过因特网102,所以需要安全地进行。终端101对在企业网104中设置在与因特网102的边缘(edge)处的VPN网关装置103设定IPSec隧道107。通过使用IPSec隧道107中的通信链路,确保作为安全的通信路径的通信链路106。如上所述的远程VPN接入系统例如已在专利文献1中公开。
另一方面,作为手机网络的标准化机构的3GPP(3rd GenerationPartnership Project:第三代合作伙伴计划),在非专利文献1中规定了用于在3GPP网中收容经由WLAN(Wireless Local Area Network:无线局域网)的因特网接入的规格。使用图2说明经由3GPP网的因特网接入方法。在图2中,终端101经由WLAN网201与3GPP网202连接。3GPP网202向终端101提供与因特网102连接的服务。其中,终端101为了和与因特网102连接的相向服务器105进行通信,在终端101和相向服务器105之间连接通信链路206。
3GPP网202具有:作为进行加入者的认证的服务器的AAA(Authentication Authorization Accounting:认证授权计费)203;通过WLAN网进行用户数据的传输的WAG(Wireless LAN Access Gateway:无线局域网接入网关)204;和作为分组级别的网关的PDG(Packet Data Gateway:分组数据网关)205。WLAN网201是不安全的网络,为了确保通信链路206的安全性,在终端101和PDG205之间设定IPSec隧道207。
【现有技术文献】
【专利文献】
【专利文献1】日本特开2001-160828号公报
【非专利文献】
【非专利文献1】3GPP TS23.234,3GPP system to Wireless Local AreaNetwork(WLAN)Interworking-System Description
针对利用经由3GPP网的因特网连接服务与因特网连接的企业网,说明终端利用远程VPN接入的情况1。在本情况1中,终端101设定朝向3GPP网202内的PDG205的IPSec隧道、和朝向处于企业网104中的VPN网关103的IPSec隧道这种双重IPSec隧道。在终端101中双重地进行IPSec处理,这将消耗终端的许多CPU资源等,在处理能力低的终端中存在性能方面和功耗方面的问题。
使用图3和图4更具体地说明上述问题。首先,使用图3说明终端101利用由3GPP网202提供的向因特网的连接服务,与处于和因特网102连接的企业网104中的相向服务器105连接的情况。假设终端101通过使用了IPSec的远程VPN与相向服务器105所属的企业网104连接。在终端101和相向服务器105之间动作的应用通过通信链路206进行通信。其中,为了确保来自经由因特网的终端101的接入的安全性,在终端101和VPN网关103之间设定IPSec隧道301,在通过通信链路206的通信时使用IPSec隧道301。另一方面,在3GPP网202中,为了确保经由WLAN网201的通信的安全性,在终端101和PDG205之间建立IPSec隧道207。其中,IPSec隧道207和IPSec隧道301双方都在终端101被终止(terminate)。
参照图4,说明图3中的网络的协议堆栈。在图4中,终端101的协议堆栈401从下位层起依次是L1/L2协议、Transport IP协议、IPSec Tunnel协议、Remote IP协议、IPSec Tunnel协议、IP协议。WAG204的协议堆栈402从下位层起依次是L1/L2协议、Transport IP协议。
PDG205的协议堆栈403从下位层起依次是WAG侧的L1/L2协议、Transport IP协议、IPSec Tunnel协议、Remote IP协议、VPN网关103侧的L1/L2协议、Remote IP协议。VPN网关103的协议堆栈404从下位层起依次是PDG205侧的L1/L2协议、Transport IP协议、IPSec Tunnel协议、RemoteIP协议、相向服务器105侧的L1/L2协议、IP协议。相向服务器105的协议堆栈405从下位层起依次是L1/L2协议、IP协议。
终端101和相向服务器105之间的IP分组在下位层具有在终端101和VPN网关103终止的IPSec隧道。另外,该IPSec隧道在下位层具有在终端101和PDG205之间两者终止的IPSec隧道。
分析终端101的协议堆栈401可知,关于终端101和相向服务器105之间的IP分组被双重处理IPSec,终端101的软件需要双重处理IPSec。即,在终端101中,IPSec处理明显消耗CPU的处理能力。
本发明的第一目的是避免终端的双重的加密处理。
下面针对利用经由3GPP网的因特网连接服务与因特网连接的企业网,考虑情况2,该情况2是利用远程VPN接入的终端在与企业网连接后,保持连接状态不变的情况下来利用因特网。在本情况中,终端在与企业网的VPN网关连接时,需要从VPN网关分配只在企业网内部使用的私有地址(private address)。终端使用所分配的私有地址能够与企业网内部的服务器连接,但是由于终端使用私有地址,所以存在不能接入因特网上的其他服务器的问题。
使用图5具体说明上述问题。
终端101在与企业网104的VPN网关103连接时,需要从VPN网关103分配只在企业网内部使用的私有地址。终端101使用所分配的私有地址能够与企业网104内的相向服务器105连接。在此,考虑接入因特网上的WWW服务器501的情况。在因特网上需要全局地址(global address),但在保持与VPN网关103的连接不变的状态下,终端101只能使用私有地址,所以终端101不能接入WWW服务器501。终端为了获取全局地址,需要暂且切断与VPN网关103的连接,不能无缝地切换。并且,在利用企业网内部的服务器时,不能同时利用因特网,对终端101的使用者造成极大不便。另一方面,正在利用因特网的终端101与企业网104内部的服务器连接时,终端101需要与VPN网关103连接,请求分配只能在企业网内部使用的私有地址。在这种情况下,不能在保持与因特网的连接不变的状态下利用企业网内部的服务器。
本发明的第二目的是终端能够在保持与企业网的连接不变的状态下无缝地利用因特网上的服务器。
最后,说明终端一边移动一边接入因特网上的服务器的情况3。在本情况中,终端通过在各个区域的各个WLAN网中设置的PDG接入因特网上的服务器,但是例如像WWW服务器那样,终端不直接接入、而是经由Proxy服务器间接地接入的服务器也有很多。在这种情况下,采取在PDG的后级设置Proxy服务器,经由Proxy服务器接入WWW服务器的方式。其中,在终端经由Proxy服务器接入WWW服务器的情况下,由于是在移动目的地的区域中接入其他WLAN网,所以在各个区域中需要至少一台Proxy服务器。并且,在经由除Proxy服务器之外的其他装置的情况下,同样也需要在PDG后级设置至少各一台其他装置。该区域往往是按照例如以县(本文中为日本的“县”,大致相当于中国的“省”)为单位的级别(粒度)设定的,在每当增加装置时需要按照各个县单位分散配置,这在考虑到在分散据点的运营的烦杂性及准备多个装置的成本时,服务经营者的负担非常大。
本发明的第三目的是在服务经营者追加终端接入因特网上的服务器时所经由的装置时,能够传输给根据通信条件只集约了所需通信的集约型装置。
发明内容
如上所述,本发明的目的之一在于,避免终端的双重的加密处理。并且,本发明的另一个目的在于,终端能够在保持与企业网的连接不变的状态下无缝地利用因特网上的服务器。并且,本发明的另一个目的在于,在服务经营者追加终端接入因特网上的服务器时所经由的装置时,能够传输给根据通信条件只集约了所需通信的集约型装置。
为了解决上述问题,本发明在3GPP网的PDG后级导入配置了VPN客户机的通信系统。
本通信系统具有:终端;用于进行终端认证的AAA;经由WLAN网通过加密通信与终端连接的PDG;根据PDG的请求进行加密用的隧道设定的VPN客户机;经由企业网通过加密通信与VPN客户机连接的相向服务器;和经由因特网通过非加密通信与PDG连接的服务器。
在本通信系统中,PDG具有:通信阻断处理部,在从终端首次接入时,将终端的通信阻断并请求认证;VLAN设定部,在从AAA通知终端的认证成功后,登记针对终端的VLAN,以便在PDG-VPN客户机之间识别终端;隧道设定部,根据来自终端的请求,在终端-PDG之间设定WLAN网的第1隧道;隧道设定发送部,在设定WLAN网的第1隧道后,发送企业网的第2隧道的设定请求;消息接收部,从终端经由第1隧道接收消息;和消息传输部,将从终端经由第1隧道接收到的消息,经由第2隧道传输给相向服务器,由此能够解决上述问题中、因终端的双重加密处理产生的性能及功耗方面的问题。
并且,在本通信系统中,PDG具有:IP地址转换表,存储用于将消息的发送源IP地址转换为企业网或全局IP地址的信息;地址转换部,根据消息的目的地IP地址和消息的发送源IP地址,检索IP地址转换表,并根据检索结果将消息的发送源IP地址转换为企业网或全局IP地址;和消息传输部,将把发送源IP地址转换为企业网的IP地址后的消息,经由企业网的第2隧道传输给企业网,并将把发送源地址转换为因特网的IP地址后的消息传输给因特网,由此能够解决上述问题中、终端不能在保持与企业网的连接不变的状态下无缝地利用因特网上的服务器的问题。
更具体地讲,在本通信系统中,在所述目的地IP地址是相向服务器的IP地址时,地址转换部将所述发送源IP地址转换为只能在第2网络内使用的私有IP地址,在所述目的地IP地址是所述服务器的目的地时,地址转换部将所述发送源IP地址从私有IP地址转换为全局IP地址。
另外,在本通信系统中,PDG具有传输目的地判断部,所述传输目的地判断部根据从终端接收到的消息的发送源IP地址、目的地端口序号等的通信条件,判断将接收消息的传输目的地设为因特网还是设为Proxy服务器等通信装置,由此能够传输给根据通信条件只集中配置了所需通信的通信装置。
根据本发明的第一解决方案提供一种加密通信系统,具有:网关装置,经由第1网络的第1隧道并通过加密通信与终端进行通信,经由第2网络与第1服务器进行通信;以及VPN客户机装置,用于至少在第2网络上设定第2隧道,利用所述网关装置和第3网络的第2服务器并经由该第2隧道进行加密通信,所述网关装置具有:消息接收部,从以任意的IP地址进行通信的所述终端,经由所述第1隧道接收消息;地址存储部,存储一个或多个分配给所述终端的第2网络的IP地址和第3网络的IP地址;地址转换部,根据接收到的消息的目的地,选择所述地址存储部的一个所述第2网络的IP地址或所述第3网络的IP地址,将所述消息的发送源地址转换为所选择的所述第2网络的IP地址或所述第3网络的IP地址;以及消息传输部,将进行了地址转换后的消息,按照目的地传输至所述第1服务器、或者经由所述VPN客户机装置传输至所述第2服务器。
根据本发明的第二解决方案提供一种系统中的网关装置,所述系统具有:经由第1网络并通过加密通信与终端进行通信的所述网关装置;经由第2网络与所述网关装置进行通信的第1服务器;以及至少经由第2网络中的加密通信与所述网关装置进行通信的第3网络的第2服务器,所述网关装置具有:消息接收部,从以任意的IP地址进行通信的所述终端,经由所述第1隧道接收消息;地址存储部,存储一个或多个分配给所述终端的第2网络的IP地址和第3网络的IP地址;地址转换部,根据接收到的消息的目的地,选择所述地址存储部的一个所述第2网络的IP地址或所述第3网络的IP地址,将所述消息的发送源地址转换为所选择的所述第2网络的IP地址或所述第3网络的IP地址;以及消息传输部,按照目的地地址,传输进行了地址转换后的消息。
发明效果
根据本发明,利用由3GPP网提供的经由WLAN网的因特网接入的终端,在利用企业网的远程VPN时,能够避免因IPSec的双重处理导致的对性能的影响。并且,根据本发明,利用经由3GPP网的因特网连接服务的终端,在利用企业网的远程VPN时,能够在保持与企业网的连接不变的状态下无缝地利用因特网上的服务器。并且,根据本发明,在追加想要使终端经由的通信装置时,不需要按每个区域设置通信装置,能够实现集中配置。
附图说明
图1是说明远程VPN接入的框图。
图2是说明利用了3GPP的因特网接入的框图。
图3是说明利用了3GPP的远程VPN接入的框图。
图4是说明利用了3GPP的远程VPN接入的协议堆栈的图。
图5是说明在利用了3GPP的远程VPN接入中与外部服务器的连接的框图。
图6是说明在采用本发明的远程VPN接入中与相向服务器的通信的框图。
图7是说明采用本发明的远程VPN接入时的协议堆栈的图。
图8是终端、WLAN、AP(接入点)、AAA、WLAN网的DHCP(DynamicHost Configuration Protocol:动态主机配置协议)、DNS(Domain NameServer:域名服务器)、PDG、3GPP网的DHCP、VPN客户机、VPN网关、相向服务器之间的序列图。
图9是PDG内的终端信息表。
图10是在从终端接收数据时由PDG进行的IP地址转换和传输的流程图。
图11是在将企业网内使用的IP地址设为一览表的IP地址表。
图12是将PDG能够使用的全局地址设为一览表的IP地址表。
图13是在从相向服务器接收数据时由PDG进行的IP地址转换和传输的流程图。
图14是说明对利用了3GPP的因特网连接服务的多个企业网进行远程接入的图。
图15是PDG的功能块的结构图。
图16是说明终端进行的经由Proxy服务器接入因特网上的WWW服务器的图。
图17是说明能够将终端经由的装置设为集约设置的通信系统的图。
图18是PDG具有的传输目的地判断表。
图19是PDG的功能块的结构图。
标号说明
101终端;102因特网;103VPN网关;104企业网;105相向服务器;201WLAN网;2023GPP网;203AAA服务器;204WAG;205PDG;501因特网上的WWW服务器;502WLAN AP;503WLAN网的DNS;504WLAN网的DHCP;5053GPP网的DHCP;5063GPP网的DNS;601VPN客户机;901PDG205内的终端信息表;1101将在企业网104内使用的IP地址设为一览表的IP地址表;1201PDG205能够使用的全局地址的表;1401终端;1402终端;1403WLAN AP;1404WLAN AP;1405VPN网关;1406企业网;1407相向服务器;1411VPN网关;1412企业网;1413相向服务器;1501PDG205的通信阻断处理部;1502PDG205的VLAN处理部;1503PDG205的隧道设定发送部;1504PDG205的消息接收部;1505PDG205的地址转换部;1506PDG205的消息传输部;1507PDG207的隧道设定部;1601终端;1602WLAN网;16033GPP网;1604因特网;1605WLAN AP;1607WAG;1608PDG;1609因特网上的WWW服务器;1612WLAN网;16133GPP网;1614WLAN AP;1615WAG;1616PDG;1619Proxy服务器;1620Proxy服务器;17013GPP网;1702Proxy服务器;1705相向服务器;1707PDG;1708PDG;1801传输目的地判断表;1901传输目的地判断部。
具体实施方式
以下,参照附图具体说明本实施方式。另外,对实质上相同的部分标注相同的参照序号,并且不重复说明。
参照图6,说明对利用采用本实施方式时的3GPP网的因特网连接服务的企业网的远程接入。在图6中,网络包括WLAN网(第1网络)201、3GPP网202、因特网(第2网络)102、和企业网(第3网络)104。3GPP网202包括WAG204、PDG(网关装置)205、AAA(认证装置)203、VPN客户机601、HDCP505和DNS506。企业网104包括VPN网关103和相向服务器105。WLAN网201通过WLAN AP(WLAN Access Point:无线局域网接入点)将终端101和3GPP网202连接。因特网102将3GPP网202和企业网104连接。
通过终端101和相向服务器105之间的通信链路206,两者的应用通过IP进行通信。VPN客户机601作为终端101的代理,将与VPN网关103的IPSec终止。由此,VPN客户机601设定与VPN网关103的IPSec隧道(第2隧道)602,确保在因特网102的安全性。并且,终端101为了确保在WLAN网201的安全性,在终端101-PDG 205之间设定IPSec隧道(第1隧道)207。另外,VPN客户机601的功能也可以包含于PDG 205中。
参照图7,说明用于传输终端101和相向服务器105之间的IP分组(packet)的协议堆栈。在图6中,终端101的协议堆栈702从下位层起依次包括L1/L2协议、Transport IP协议、IPSec Tunnel协议、Remote IP协议。WAG 204的协议堆栈402从下位层起依次包括L1/L2协议、Transport IP协议。PDG 205的协议堆栈403从下位层起依次包括WAG 402侧的L1/L2协议、Transport IP协议、IPSec Tunnel协议、Remote IP协议、VPN客户机601侧的L1/L2协议、IP协议。VPN客户机601的协议堆栈703从下位层起依次包括PDG 205侧的L1/L2协议、IP协议、VPN网关103侧的L1/L2协议、Transport IP协议、IPSec Tunnel协议、IP协议。VPN网关103的协议堆栈704从下位层起依次包括VPN客户机601侧的L1/L2协议、TransportIP协议、IPSec Tunnel协议、IP协议、相向服务器105侧的L1/L2协议、IP协议。相向服务器105的协议堆栈405从下位层起依次包括L1/L2协议、IP协议。
在图7中,终端101和PDG 205终止IPSec(对应于图6的IPSec隧道207)。并且,VPN客户机601和VPN网关103也终止IPSec(对应于图6的IPSec隧道602)。终端101的协议堆栈702有一个IPSec Tunnel。
图15表示PDG 205的结构图。在图15中说明PDG 205的各个功能部分。另外,示出对应后面叙述的图8所示的处理的标号。
通信阻断处理部1501在终端101首次接入PDG 205时,PDG 205将终端101的通信阻断(图8:812),并请求认证(813)。并且,通信阻断处理部1501在被通知了来自VPN客户机601的隧道设定完成后(823),解除通信阻断(824)。
VLAN设定部1502在从AAA203通知了终端101的认证成功后(815),登记针对终端101的VLAN,以便在PDG 205-VPN客户机601之间识别用户,并使WLAN网201的隧道和企业网104的隧道相对应(817)。隧道设定发送部1503在设定终端101与PDG 205的隧道后,向VPN客户机601发送VPN客户机601-VPN网关103之间的隧道设定请求(821)。消息接收部1504从终端101经由WLAN网的隧道接收分组数据。作为IP地址转换表(地址存储部),保存存储了用于将分组的发送源IP地址转换为在企业网104内使用的IP地址的信息的企业网用IP地址表1101、和存储了用于将分组的发送源IP地址转换为全局地址的信息的全局IP地址表1201。并且,保存终端信息表(终端信息存储部)901。地址转换部1505根据接收到的分组的目的地IP地址和接收到的分组的发送源IP地址,检索上述的IP地址表,并根据检索结果将接收到的分组的发送源地址转换为在企业网104内使用的IP地址或者全局地址(827)。消息传输部1506将被转换为在企业网104内使用的IP地址的分组传输给VPN客户机601,将被转换为全局地址的分组传输给因特网102。
利用图9说明PDG 205保存的终端信息表901。
终端信息转换表901相对应地存储终端识别符902、终端认证信息903、VPN用户认证信息904、VLAN(VLAN ID)905。在图示的示例中,终端信息转换表901的第一个记录保存userl@operatorl作为终端识别符902,保存0x123456789abcdef作为终端认证信息903,保存0xef123456789abcd作为VPN用户认证信息904,保存corporatel作为VLAN905。
识别用户(或终端)的信息是终端识别符902。终端识别符902是唯一地识别用户的ID。终端认证信息903是对3GPP网202的终端设定的认证信息,终端认证信息903在进行终端的登记时被预先设定。VPN用户认证信息904是在企业网的远程接入时使用的认证信息。其中,VPN用户认证信息904例如是在IPSec的密钥交换协议即IKE(Internet Key Exchange:因特网密钥交换)中使用的认证信息(预共享密钥)。VLAN905用于在PDG205和VPN客户机601之间识别用户。VLAN905在终端认证成功时由PDG205动态地选择,并保存在PDG 205中,并且通知VPN客户机601。另外,这些各个信息也可以预先设定在AAA203中,在认证成功时传输给PDG205,还可以预先设定在PDG 205中。
图11是企业网用IP地址表的说明图。企业网用IP地址表1101例如包括对应于企业网用IP地址1102的使用状态1103和终端的IP地址1104。
图12是全局IP地址表的说明图。全局IP地址表1201例如包括对应于全局IP地址1202的使用状态1203和终端的IP地址1204。
(动作)
参照图8,说明终端、WLAN AP、AAA、WLAN网的DHCP、WLAN网的DNS、PDG、3GPP网的DHCP、VPN客户机、VPN网关、相向服务器之间的动作。
在图8中说明终端101开始向相向服务器105通信的处理。终端101与WLAN AP502之间执行一系列的WLAN association过程(procedure)(801~808),在WLAN网的认证结束后,建立与WLAN AP502的连接。其中,WLAN association过程指按照IEEE802.11规定的新连接的处理步骤。然后,终端101从WLAN网201内的DHCP503获取Transport IP地址(809)。Transport IP地址是只在WLAN网内有效的私有地址。然后,从WLAN网201内的DNS504获取PDG 205的地址(810)。由于能够获取PDG 205的地址,所以终端101接入PDG 205(811)。PDG 205将该通信阻断(block)(812)。PDG 205向终端101请求认证(813)。
终端101与AAA服务器203之间进行3GPP网的终端认证(814)。另外,在3GPP网中,终端的认证能够使用EAP(Extensible AuthenticationProtocol:可扩展身份验证协议)-SIM(Subscriber Identity Module:用户身份模块)或EAP-AKA(Authentication and Key Agreement:身份鉴别与密钥协商)。在此,在认证正常结束时,AAA203通知PDG 205和终端101认证成功(815、816)。另外,向PDG 205的认证成功的通知(815),包括终端101利用企业网104的远程接入所需要的各种信息902~904,PDG205将终端101的各种信息保存在PDG 205内的终端信息表901中(图9)。
在从AAA203通知了认证成功后(815),PDG 205从VLAN ID的池(pool)中选择针对终端101的VLAN的ID,并登记VLAN(817)。另外,在登记VLAN时,在终端信息表901的VLAN905中保存VLAN ID。进行VLAN的设定的PDG 205,向VPN客户机601请求作为针对终端101的VLAN而被选择的VLAN的登记(818),VPN客户机601登记所通知的VLAN(819)。终端101与PDG 205的隧道设定部1507进行隧道设定用的通信,在终端101和PDG 205之间使用认证信息设定IPSec隧道(820)。然后,PDG 205向VPN客户机601请求隧道设定(821)。另外,在隧道设定的请求(821)中包括终端101的VPN认证信息904,VPN客户机601将终端101的VPN认证信息904临时保存在VPN客户机601中。VPN客户机601使用终端101的VPN认证信息904,设定与VPN网关103之间的IPSec隧道(819)。在能够设定VPN客户机601与VPN网关103之间的IPSec隧道后,VPN客户机601向PDG 205应答隧道设定完成(823)。
PDG 205在已设定终端-PDG之间以及VPN客户机-VPN网关之间的IPSec隧道,并且表示两者的IPSec隧道的对应关系的VLAN的设定结束后,解除通信阻断(824)。在解除通信阻断后,在终端101和相向服务器105之间建立通信链路,通信开始。然后,终端101从3GPP网的DHCP505获取Remote IP地址(825),开始与相向服务器105的数据通信(826)。另外,Remote IP地址是企业网用的IP地址。在进行终端101-相向服务器105之间的数据通信时,PDG 205进行IP地址转换及传输(827)。
利用图10说明PDG 205进行的IP地址转换及传输(827)。PDG 205(对于以后的各个步骤也相同)从终端101接收分组数据(有时也称为消息)时(1002),判断接收分组的目的地IP地址是否是在企业网104内使用的IP地址(1003)。另外,PDG 205预先保存将在企业网104内使用的IP地址设为一览表的企业网用IP地址表1101,根据接收分组的目的地IP地址,并参照企业网用IP地址表1101,如果有相应的IP地址,则判断是在企业网104内使用的IP地址。在接收分组的目的地IP地址是在企业网104内使用的IP地址的情况下(1003:是),判断接收分组的发送源IP地址是否是在企业网104内使用的IP地址(1004)。在接收分组的发送源IP地址不是在企业网104内使用的IP地址的情况下(1004:否),转入处理1005。认为是终端101使用全局IP地址向企业网的相向服务器105发送分组数据的情况。在处理1005,从企业网用IP地址表1101中选择使用状态1103为空闲的行(表项:entry),向使用状态1103写入终端101的终端识别符902,向终端101的IP地址1104写入终端101的IP地址(1005)。另外,终端101的IP地址能够使用接收分组的发送源IP地址。然后,将接收分组的发送源IP地址转换为所选择的表项的企业网用IP地址1102(1006),然后向VPN客户机601传输接收分组(1007)。另外,在接收分组的发送源IP地址是在企业网104内使用的IP地址的情况下(1004:是),向VPN客户机601传输接收分组(1007)。这相当于终端101使用企业网的私有IP地址向相向服务器105发送分组数据的情况。
另一方面,在接收分组的目的地IP地址不是在企业网104内使用的IP地址的情况下(1003:否),判断接收分组的发送源IP地址是否是全局地址(1009)。在不是全局地址的情况下(1009:否),转入处理1010。这相当于终端101使用例如企业网等的私有IP地址向WWW服务器501发送分组数据的情况。在处理1010,从PDG 205预先保存的全局IP地址表1201中选择使用状态1203为空闲的表项,向使用状态1203写入终端101的终端识别符902,向终端101的IP地址1204写入终端101的IP地址(1010)。然后,将接收分组的发送源IP地址转换为所选择的表项的全局IP地址1102(1011),然后向因特网102传输接收分组(1012)。并且,在接收分组的发送源IP地址是全局地址的情况下(1009:是),向因特网102传输接收分组(1012)。这相当于终端101使用全局IP地址向WWW服务器501发送分组数据的情况。
另外,关于被写入到将在企业网104内使用的IP地址设为一览表的企业网用IP地址表1101、和PDG 205预先保存的全局IP地址表1201中的使用状态,在终端101切断与PDG 205的通信时,PDG 205恢复为“空闲”。
利用图13说明在从相向服务器接收数据时由PDG进行的IP地址转换及传输。
PDG 205在从相向服务器105或WWW服务器501等的相向的(对方的)装置接收分组数据时(1302),检索全局IP地址表1201,有无与接收分组数据的目的地IP地址一致的IP地址1202(1303)。在具有一致的要素的情况下,判断使用状态是否为空闲(1304),在空闲的情况下,由于不能确定接收分组的目的地,所以将接收分组废弃(1308)。另一方面,如果使用状态1203不是空闲,则能够根据所记述的终端识别符902判断是发给哪个终端的。在使用状态不是空闲的情况下,由于能够确定目的地终端,所以将接收分组的目的地IP地址转换为具有一致的要素的行(表项)的终端的IP地址1204(1305),向VPN客户机601传输接收分组(1007)。
当在全局IP地址表1201中没有发现与接收分组数据的目的地IP地址一致的IP地址1202的情况下,检索企业网用IP地址表1101(1309)。在没有发现与目的地地址一致的IP地址1102的情况下(1309:否),将接收分组废弃(1308)。另外,在这种情况下,也可以视为不需要地址转换,并按照目的地地址传输接收分组即可。在发现了一致的IP地址1102的情况下(1309:是),判断使用状态是否为空闲(1310),在空闲的情况下,由于不能确定接收分组的目的地,所以将接收分组废弃(1308)。在使用状态不是空闲的情况下,由于能够确定目的地终端,所以将接收分组的目的地IP地址转换为具有一致的要素的行(表项)的终端的IP地址1104(1311),向VPN客户机601传输接收分组(1007)。
认为企业网104的网络管理者已经将基于VPN网关103的远程用户管理的规格导入完成,对于使用来自新的WLAN网的3GPP的远程VPN接入,期望能够通过与现有的接入方法相同的接口来利用远程VPN连接。根据上述的实施方式,能够将与以往的远程VPN连接的接口和作用分担设为相同,对于新导入的WLAN接入服务也能够提供远程VPN连接。
参照图14,说明对利用了3GPP网的因特网连接服务的多个企业网的远程接入。
在图14中,网络包括WLAN网201、3GPP网202、因特网102、企业网1406、企业网1412。3GPP网202包括WAG204、PDG205、AAA203、VPN客户机601、HDCP505和DNS506。企业网1406包括VPN网关1405和相向服务器1407。企业网1412包括VPN网关1411和相向服务器1413。WLAN网201将终端1401或终端1402和3GPP网202连接。因特网102将3GPP网202和企业网1406或企业网1412连接。
终端1401是属于企业网1406的终端。终端1402是属于企业网1412的终端。终端1401与相向服务器1407连接。终端1402与相向服务器1413连接。
通信链路1408是终端1401与相向服务器1407之间的通信链路,通信链路1415是终端1402与相向服务器1413之间的通信链路。IPSec隧道1409作为终端1401与PDG205之间的IPSec隧道,是在终端1401的通信为激活(active)状态时被动态设定的IPSec隧道。同样,IPSec隧道1414作为终端1402与PDG205之间的IPSec隧道,是在终端1402的通信为激活状态时被动态设定的IPSec隧道。
另一方面,IPSec隧道1410是VPN客户机601-VPN网关1405之间的IPSec隧道,是在对应于IPSec隧道1410的终端1401-PDG205之间的IPSec隧道为激活状态时被动态设定的IPSec隧道。同样,IPSec隧道1416是VPN客户机601-VPN网关1411之间的IPSec隧道,是在对应于IPSec隧道1416的终端902-PDG205之间的IPSec隧道为激活状态时被动态设定的IPSec隧道。
PDG205和VPN客户机601采用VLAN来识别来自终端1401、1402的流。在设定与终端的IPSec隧道时,PDG205确定终端采用哪个VLAN(VLAN ID)。
在终端与PDG之间以及VPN客户机与VPN网关之间的IPSec隧道中使用的认证信息,被设定在AAA服务器中,能够在AAA服务器中登记终端使用哪个VLAN ID。AAA服务器保存的信息是与图9中的终端信息表901相同的内容。
下面,参照图16说明终端进行的经由Proxy服务器对因特网上的WWW服务器的接入。
在图16中,网络包括处于同一区域1621内(例如同一个县内)的WLAN网1602和3GPP网1603、因特网1604。WLAN网1602包括WLAN AP1605。3GPP网1603包括WAG1607、PDG1608、Proxy服务器1619。WLAN网1602将终端1601和3GPP网1603连接。WWW服务器1609是处于因特网1604上的WWW服务器。并且,WLAN网1612和3GPP网1613处于和WLAN网1602不同的区域1622内(例如另一个县内),WLAN网1612包括WLAN AP1614。3GPP网1613包括WAG1615、PDG1616、Proxy服务器1620。WLAN网1612将终端1601和3GPP网1613连接。Proxy服务器例如能够进行NAT等的IP地址转换、后级处理、代理处理等预先确定的处理。
当终端1601在某个区域1621内通过通信链路1611并经由Proxy服务器1619接入WWW服务器1609后,移动到另一个区域1622的情况下,在移动目的地的区域中经由另一个WLAN网1612进行接入。因此,在另一个区域1622内需要至少一个Proxy服务器1620。并且,在经由除Proxy服务器1620之外的其他装置的情况下,同样需要在各个区域的PDG1608、1616的后级设置至少各一台其他装置。其中,区域往往是按照以县为单位的级别设定的,按照各个县单位分散配置装置,在考虑到在分散据点的运营的烦杂性和准备多个装置的成本时,服务经营者的负担非常大。
参照图17,说明使用本实施方式时的终端进行的经由Proxy服务器对因特网上的WWW服务器的接入。
在图17中,Proxy服务器(通信装置)1702处于和区域1621及区域1622不同的区域1701内,在区域1621和区域1622内不存在Proxy服务器。PDG 1707和PDG 1708在从终端1601接收到分组数据时,判断接收分组的目的地地址是企业网内的地址还是因特网上的服务器的地址。在是企业网内的地址的情况下,按照前面所述向VPN客户机传输接收分组。在是因特网上的服务器的地址的情况下,参照传输目的地判断表1801,检索与接收分组的发送源IP地址1802和接收分组的目的地端口序号1803相对应的经由目的地装置1804,并向经由目的地装置1804传输接收分组。图18是传输目的地判断表的结构图。传输目的地判断表1801例如预先对应地存储发送源IP地址1802、目的地端口序号1803和经由目的地装置1804。例如,在图17中,在终端1601按照目的地端口序号80号接入了WWW服务器1608的情况下,PDG 1707和PDG 1708从传输目的地判断表1801检索Proxy服务器1702作为经由目的地装置1804,将来自终端1601的接收分组传输给Proxy服务器1702。并且,在根据接收分组检索传输目的地判断表1801的结果为选择了“不经由”来作为经由目的地装置1804的情况下,PDG 1707和PDG 1708直接以接收分组的目的地IP地址为目的地,向因特网1604进行传输(例如通信链路1706的情况)。
在本实施方式中,PDG还具有如图19所示的传输目的地判断部1901,该传输目的地判断部1901用于检索传输目的地判断表1801来选择经由目的地1804,通过具有这种传输目的地判断功能,能够实现集约设置,不需要按每个区域设置通信装置。
产业上的可利用性
本发明例如能够应用于提供向经由3GPP系统的企业网的远程VPN接入服务的通信系统等。
Claims (13)
1.一种加密通信系统,具有:
网关装置,经由第1网络的第1隧道并通过加密通信与终端进行通信,经由第2网络与第1服务器进行通信;以及
VPN客户机装置,用于至少在第2网络上设定第2隧道,利用所述网关装置和第3网络的第2服务器并经由该第2隧道进行加密通信,
所述网关装置具有:
消息接收部,从以任意的IP地址进行通信的所述终端,经由所述第1隧道接收消息;
地址存储部,存储一个或多个分配给所述终端的第2网络的IP地址和第3网络的IP地址;
地址转换部,根据接收到的消息的目的地,选择所述地址存储部的一个所述第2网络的IP地址或所述第3网络的IP地址,将所述消息的发送源地址转换为所选择的所述第2网络的IP地址或所述第3网络的IP地址;以及
消息传输部,将进行了地址转换后的消息,按照目的地传输至所述第1服务器、或者经由所述VPN客户机装置传输至所述第2服务器。
2.根据权利要求1所述的加密通信系统,
所述第2网络的IP地址是全局IP地址,
在所述消息接收部从使用私有IP地址的所述终端接收到目的地IP地址为第2网络的所述第1服务器的IP地址的所述消息时,所述地址转换部从所述地址存储部中选择一个所述第2网络的全局IP地址,并将该消息的发送源IP地址从私有IP地址转换为所选择的全局IP地址。
3.根据权利要求1所述的加密通信系统,
所述第3网络的IP地址是在第3网络内使用的私有IP地址,
在所述消息接收部从使用全局IP地址的所述终端接收到目的地IP地址为第3网络的所述第2服务器的IP地址的所述消息时,所述地址转换部从所述地址存储部中选择一个所述第3网络的私有IP地址,并将该消息的发送源IP地址从全局IP地址转换为所选择的私有IP地址。
4.根据权利要求1所述的加密通信系统,
所述终端和所述第2服务器经由所述第1隧道、所述网关装置、所述VPN客户机装置及所述第2隧道,安全地进行通信。
5.根据权利要求4所述的加密通信系统,
所述网关装置还具有VLAN设定部,该VLAN设定部登记针对所述终端的VLAN,以便在所述网关装置和所述VPN客户机装置之间识别所述终端。
6.根据权利要求5所述的加密通信系统,
所述第1隧道和所述第2隧道通过所述VLAN相关联。
7.根据权利要求1所述的加密通信系统,
所述网关装置还具有:
隧道设定部,设定与所述终端之间的第1网络中的第1隧道;以及
隧道设定发送部,将第2网络中的第2隧道的设定请求发送给所述VPN客户机装置。
8.根据权利要求7所述的加密通信系统,
所述网关装置还具有预先存储所述终端的认证信息的终端信息存储部,
发送给所述VPN客户机装置的所述设定请求包含所述终端的认证信息,
所述VPN客户机装置使用该终端的认证信息,设定与所述第2服务器之间的加密通信用的所述第2隧道。
9.根据权利要求8所述的加密通信系统,
该加密通信系统还具有进行所述终端的认证的认证装置,
所述网关装置从所述认证装置获取所述终端的认证信息,并存储在所述终端信息存储部中。
10.根据权利要求1所述的加密通信系统,
所述第2网络的IP地址是全局IP地址,所述第3网络的IP地址是在第3网络内使用的私有IP地址,
所述地址转换部按照接收到的消息的发送源地址,将所述终端的全局IP地址与所选择的私有IP地址相对应地存储到所述地址存储部中,或者,所述地址转换部按照接收到的消息的发送源地址,将所述终端的私有IP地址与所选择的全局IP地址相对应地存储到所述地址存储部中。
11.根据权利要求10所述的加密通信系统,
所述地址转换部从所述第1服务器或所述第2服务器接收将所述所选择的私有IP地址或全局IP地址作为目的地地址的消息,根据该消息的目的地地址,参照所述地址存储部,并获取与该目的地地址相对应的所述终端的全局IP地址或私有IP地址,将接收到的消息的目的地地址转换为所获取的全局IP地址或私有IP地址,
所述消息传输部将进行了地址转换后的该消息传输至所述终端。
12.根据权利要求1所述的加密通信系统,
该加密通信系统还具有通信装置,该通信装置用于对来自所述终端的消息实施预先确定的处理,并传输给所述第1服务器,
所述网关装置具有:
传输目的地判断表,与目的地端口序号和发送源IP地址对应地预先存储消息的经由目的地装置信息;以及
传输目的地判断部,根据从所述终端接收到的发给所述第1服务器的消息中包含的目的地端口序号和发送源IP地址,参照所述传输目的地判断表,并按照对应的经由目的地装置信息来判断该消息的传输目的地,
所述消息传输部按照所述传输目的地判断部的判断,将该消息传输至所述通信装置或所述第1服务器。
13.一种系统中的网关装置,所述系统具有:经由第1网络并通过加密通信与终端进行通信的所述网关装置;经由第2网络与所述网关装置进行通信的第1服务器;以及至少经由第2网络中的加密通信与所述网关装置进行通信的第3网络的第2服务器,
所述网关装置具有:
消息接收部,从以任意的IP地址进行通信的所述终端,经由所述第1隧道接收消息;
地址存储部,存储一个或多个分配给所述终端的第2网络的IP地址和第3网络的IP地址;
地址转换部,根据接收到的消息的目的地,选择所述地址存储部的一个所述第2网络的IP地址或所述第3网络的IP地址,将所述消息的发送源地址转换为所选择的所述第2网络的IP地址或所述第3网络的IP地址;以及
消息传输部,按照目的地地址,传输进行了地址转换后的消息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009168481A JP4802263B2 (ja) | 2009-07-17 | 2009-07-17 | 暗号化通信システム及びゲートウェイ装置 |
| JP168481/2009 | 2009-07-17 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101958822A true CN101958822A (zh) | 2011-01-26 |
Family
ID=43466072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101809388A Pending CN101958822A (zh) | 2009-07-17 | 2010-05-14 | 加密通信系统及网关装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20110016309A1 (zh) |
| JP (1) | JP4802263B2 (zh) |
| CN (1) | CN101958822A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283977A (zh) * | 2013-07-08 | 2015-01-14 | 北京思普崚技术有限公司 | 一种vpn网络中的vpn自动穿越方法 |
| CN104811507A (zh) * | 2014-01-26 | 2015-07-29 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
| CN105519196A (zh) * | 2013-07-03 | 2016-04-20 | 脸谱公司 | 本机应用热点 |
| WO2018098633A1 (zh) * | 2016-11-29 | 2018-06-07 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
| CN110380947A (zh) * | 2019-07-23 | 2019-10-25 | 深圳市启博科创有限公司 | 一种基于p2p技术的二级网络架构vpn组网方法 |
| CN113904868A (zh) * | 2021-11-02 | 2022-01-07 | 北京长焜科技有限公司 | 一种基于IPsec的远程网管的管理方法 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009126083A1 (en) * | 2008-04-11 | 2009-10-15 | Telefonaktiebolaget L M Ericsson (Publ) | Access through non-3gpp access networks |
| CN102263774B (zh) * | 2010-05-24 | 2014-04-16 | 杭州华三通信技术有限公司 | 一种处理源角色信息的方法和装置 |
| JP5614770B2 (ja) * | 2010-07-30 | 2014-10-29 | 西日本電信電話株式会社 | ネットワーク認証方法及びサービス提供システム |
| EP2538721A1 (en) * | 2011-06-22 | 2012-12-26 | Alcatel Lucent | Support of IP connections over trusted non-3GPP access |
| US9131011B1 (en) | 2011-08-04 | 2015-09-08 | Wyse Technology L.L.C. | Method and apparatus for communication via fixed-format packet frame |
| KR101303120B1 (ko) * | 2011-09-28 | 2013-09-09 | 삼성에스디에스 주식회사 | 상호 인증 기반의 가상사설망 서비스 장치 및 방법 |
| US9414223B2 (en) | 2012-02-17 | 2016-08-09 | Nokia Technologies Oy | Security solution for integrating a WiFi radio interface in LTE access network |
| EP2941934B1 (en) | 2013-01-03 | 2019-11-06 | Intel Corporation | Packet data connections in a wireless communication system using a wireless local area network |
| CN103401751B (zh) * | 2013-07-17 | 2016-08-10 | 北京星网锐捷网络技术有限公司 | 因特网安全协议隧道建立方法和装置 |
| US9641551B1 (en) | 2013-08-13 | 2017-05-02 | vIPtela Inc. | System and method for traversing a NAT device with IPSEC AH authentication |
| JP6150137B2 (ja) * | 2014-10-17 | 2017-06-21 | 株式会社網屋 | 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法 |
| EP3094058B1 (en) | 2015-05-13 | 2018-03-21 | ADVA Optical Networking SE | Participation of an intermediary network device between a security gateway communication and a base station |
| CN109861924B (zh) * | 2017-11-30 | 2022-06-21 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置,pe节点,节点 |
| JP2022076669A (ja) * | 2020-11-10 | 2022-05-20 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理プログラム、及び通信システム |
| CN114615080B (zh) * | 2022-03-30 | 2023-12-05 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1525711A (zh) * | 2003-01-21 | 2004-09-01 | ���ǵ�����ʽ���� | 用于在不同的专用网的网络设备之间支持通信的网关 |
| CN1701573A (zh) * | 2003-07-04 | 2005-11-23 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| EP1761082A1 (de) * | 2005-09-02 | 2007-03-07 | Siemens Aktiengesellschaft | Verfahren, Anordnung und Speichermedium zum Anbinden eines zweiten Kommunikationsnetzes mit einem Zugangsknoten an ein erstes Kommunikationsnetz mit einem Kontaktknoten |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6654808B1 (en) * | 1999-04-02 | 2003-11-25 | Lucent Technologies Inc. | Proving quality of service in layer two tunneling protocol networks |
| JP3535440B2 (ja) * | 2000-02-24 | 2004-06-07 | 日本電信電話株式会社 | フレーム転送方法 |
| US7609721B2 (en) * | 2004-07-23 | 2009-10-27 | Citrix Systems, Inc. | Systems and methods for adjusting the maximum transmission unit for encrypted communications |
| JP4737089B2 (ja) * | 2004-10-19 | 2011-07-27 | 日本電気株式会社 | Vpnゲートウェイ装置およびホスティングシステム |
| CN101099357A (zh) * | 2005-01-13 | 2008-01-02 | 松下电器产业株式会社 | 通信系统、终端设备以及通信设备 |
| JP4561983B2 (ja) * | 2005-01-13 | 2010-10-13 | 日本電気株式会社 | ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム |
| GB0612288D0 (en) * | 2006-06-21 | 2006-08-02 | Nokia Corp | Selection of access interface |
| EP2191386A4 (en) * | 2007-08-24 | 2014-01-22 | Cisco Tech Inc | PROVIDING VIRTUAL SERVICES WITH A BUSINESS ACCESS GATEWAY |
-
2009
- 2009-07-17 JP JP2009168481A patent/JP4802263B2/ja not_active Expired - Fee Related
-
2010
- 2010-05-07 US US12/776,001 patent/US20110016309A1/en not_active Abandoned
- 2010-05-14 CN CN2010101809388A patent/CN101958822A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1525711A (zh) * | 2003-01-21 | 2004-09-01 | ���ǵ�����ʽ���� | 用于在不同的专用网的网络设备之间支持通信的网关 |
| CN1701573A (zh) * | 2003-07-04 | 2005-11-23 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| EP1761082A1 (de) * | 2005-09-02 | 2007-03-07 | Siemens Aktiengesellschaft | Verfahren, Anordnung und Speichermedium zum Anbinden eines zweiten Kommunikationsnetzes mit einem Zugangsknoten an ein erstes Kommunikationsnetz mit einem Kontaktknoten |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105519196A (zh) * | 2013-07-03 | 2016-04-20 | 脸谱公司 | 本机应用热点 |
| CN105519196B (zh) * | 2013-07-03 | 2018-10-26 | 脸谱公司 | 本机应用热点的通信方法 |
| CN104283977A (zh) * | 2013-07-08 | 2015-01-14 | 北京思普崚技术有限公司 | 一种vpn网络中的vpn自动穿越方法 |
| CN104283977B (zh) * | 2013-07-08 | 2017-12-19 | 北京思普崚技术有限公司 | 一种vpn网络中的vpn自动穿越方法 |
| CN104811507A (zh) * | 2014-01-26 | 2015-07-29 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
| CN104811507B (zh) * | 2014-01-26 | 2018-05-01 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
| WO2018098633A1 (zh) * | 2016-11-29 | 2018-06-07 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
| CN110380947A (zh) * | 2019-07-23 | 2019-10-25 | 深圳市启博科创有限公司 | 一种基于p2p技术的二级网络架构vpn组网方法 |
| CN113904868A (zh) * | 2021-11-02 | 2022-01-07 | 北京长焜科技有限公司 | 一种基于IPsec的远程网管的管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110016309A1 (en) | 2011-01-20 |
| JP2011024065A (ja) | 2011-02-03 |
| JP4802263B2 (ja) | 2011-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101958822A (zh) | 加密通信系统及网关装置 | |
| US11659385B2 (en) | Method and system for peer-to-peer enforcement | |
| CN1316796C (zh) | 短程无线网络环境中位置独立信息包路由选择和安全访问 | |
| US6701437B1 (en) | Method and apparatus for processing communications in a virtual private network | |
| US20030088787A1 (en) | Method and apparatus to manage address translation for secure connections | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| US8611358B2 (en) | Mobile network traffic management | |
| KR101640209B1 (ko) | 휴대 모바일 가상사설망 서비스 지원장치 및 그 방법 | |
| US20030051132A1 (en) | Electronic device with relay function of wireless data communication | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| US8146144B2 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
| CN1585371A (zh) | 从信息服务器向移动终端推送信息的系统及方法 | |
| KR20040004724A (ko) | 프록시 게이트웨이를 제공하는 무선랜 서비스 시스템 및그 방법 | |
| CN112994928B (zh) | 一种虚拟机的管理方法、装置及系统 | |
| CN105898720B (zh) | 一种短消息的处理方法、装置及系统 | |
| JP3490358B2 (ja) | ネットワーク間通信方法およびサーバ装置並びにネットワーク間通信システム | |
| JP4996514B2 (ja) | ネットワークシステム及び電文の転送方法 | |
| Nishimura | A distributed authentication mechanism for sharing an overlay network among multiple organizations | |
| CN100469073C (zh) | 短程无线网络环境中允许安全网络访问的方法 | |
| JP2011019125A (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
| WO2004082194A2 (en) | Technique for achieving connectivity between wireless devices | |
| CN101662473A (zh) | 用户设备认证方法、认证设备和中继设备 | |
| CN1585387A (zh) | 移动终端透过防火墙获取信息服务器信息的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110126 |