CN1241368C - 假想私设网 - Google Patents
假想私设网 Download PDFInfo
- Publication number
- CN1241368C CN1241368C CNB018202136A CN01820213A CN1241368C CN 1241368 C CN1241368 C CN 1241368C CN B018202136 A CNB018202136 A CN B018202136A CN 01820213 A CN01820213 A CN 01820213A CN 1241368 C CN1241368 C CN 1241368C
- Authority
- CN
- China
- Prior art keywords
- mentioned
- private network
- database
- network
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/50—Circuit switching systems, i.e. systems in which the path is physically permanent during the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在私设网中设有欲访问的数据库的情况下,使用公用网、连接公用网和该私设网的契约提供者、设有数据库的私设网、以及具有访问公用网的IP蜂窝加密功能的用户终端。用户终端10外出前经由公用网200连接在契约提供者300上,由契约提供者取得IP地址,契约提供者300根据该终端的请求,访问私设网100,私设网100认证该终端10的访问,该终端10将通信加密,经由公用网200及契约提供者300进行IP蜂窝化通信。
Description
技术领域
本发明涉及假想私设网(VPN:虚拟私人网络),特别是涉及象电子邮件访问等那样,用户通过因特网从外部访问数据库的假想私设网,涉及使用者即使从不同的多个网络中的哪一个进行访问,也能维持两点之间的秘密进行访问,另外能一维地管理信息,其结果即使是最新的数据库,用户不管从哪里都能经常进行访问的假想私设网(VPN)。
背景技术
移动用户等从任意的地点进行网络访问的用户,一般利用公用网访问服务业工作者即契约提供者提供的网络。这些移动用户除了利用公用网进行访问的方法以外,还访问本公司内的LAN等私设网,使用业务数据库。各个网络环境分别独立运用,所以不能从任意的网络容易且维持隐藏性地访问一个数据库。例如,在电子邮件中,用户事先进行传输给适合于笔记本电脑环境的契约提供者自己的帐户等的处理、利用。在外出前使用自己公司内的文件服务器中的文件的情况下,事先复制在移动时使用的个人计算机(PC)中,或者事先加在邮件中送给上述帐户,或者预先将所需要的文件贴在FTP(因特网的文件传输协议)一侧,外出前进行SOCKS连接(代理连接或プロキシ连接),进行下载。可是,在隐藏和安全上的问题中,上载时有相当的限制。
另外,在契约提供者提供的采用IP蜂窝式通信的VPN服务中,在契约提供者的访问点和契约提供者内的VPN访问服务器之间进行蜂窝式通信。可是,终端和契约提供者的访问点之间,一般说来经由公用网不能进行蜂窝化,在公用网上数据库的IP地址或家用IP地址不能加密,隐藏及安全上有问题。
另外,契约提供者管理能访问数据库的IP地址,在数据库被设置在契约提供者的管理以外等的情况下,由于管理的IP地址数的限制等,所以不得不限制访问数。另外,为了特定能访问的契约提供者,对用户来说很不方便。
另外,契约提供者内的VPN访问服务器和管理数据库的访问的访问服务器之间也不能进行蜂窝式通信,有必要用专用线等物理性地从外部将它们之间阻断。
另一方面,在通信员提供的VPN服务中,在通信终端设定了固有的地址后,在通信网内预先分配确定能否访问作为目标的网络的识别符,该识别符和终端地址等用来进行对目标网络进行访问的认证。在此情况下,为了在通信网中进行对目标网络的访问认证,就不能用该通信网以外的通信网进行访问,而是依赖于该通信网或只在该通信网中才起作用的终端成为必要。用户的自由度低。另外,通信网上的加密依赖于通讯员,另一方面,该通信网和目标网络之间的通信成为通常的IP通信,与契约提供者提供的远程VPN服务相同,存在该部分的隐藏性的问题。另外,由于预先在终端设定能访问目标网络的IP地址或能与其相关联的终端地址,或预先分配识别符,所以通讯员必须从目标网络的使用者收取付款,管理这些地址。其结果,由于地址数的限制,不得不限制访问者人数。
在现有的邮件传输等文件传输技术中,只不过是从传输源向传输对象进行单方向传输,而不能反映事前操作的原因和以后的变更,因此并非用一个数据库进行的一维管理。
另外,在经由公用网接收VPN服务的情况下,用现有的方法不能在两端点之间使包括数据库的IP地址及能访问数据库的IP地址的IP信息包信号加密,隐藏性方面有问题。另外,在通信网上为了在某种程度上保持数据部分的隐藏性,契约提供者或通信网工作者在通信网上进行特殊的控制程序成为必要,所以用户当时不能自由地选择契约提供者和通信网。另外,加密方式和加密密钥限于契约提供者或通信网工作者采用的,所以数据库管理者不能独自地设定加密方式和加密密钥。
发明内容
因此,本发明的目的在于提供这样一种VPN服务:移动用户使用公用网等,外出前利用某契约提供者的访问点,即使不用公用网和契约提供者提供的通信网中特别的隐藏系统,也能保持着隐藏性、安全性,访问置于公司等内的用户欲访问的数据库,以具有能比较高速地访问多个数据通信基本设施的IP蜂窝式通信及加密功能的终端为基础。
解决上述课题用的本发明的假想私设网备有:互相连接的多个独立的网络;能访问上述网络,具有使用新取得的发送源IP地址的IP蜂窝式通信及加密功能的终端;连接上述网络中的某一个的数据库;以及管理控制对上述数据库的访问,具有蜂窝式通信及加密功能的访问服务器,上述终端从任意的网络都能通过IP蜂窝式加密通信,保持着隐藏性地访问上述数据库。
具体地说,本发明的假想私设网(YPN)在由私设网和公用网构成多个互相连接的独立的网络,欲访问的数据库被设置在私设网中的情况下,有:公用网;连接公用网和该私设网的契约提供者;设置数据库的私设网;以及具有访问公用网的IP蜂窝式密码通信功能的用户终端。
另外,本发明的VPN在由私设网和公用网构成多个互相连接的独立的网络,连接公用网的契约提供者一侧也准备了与设置在私设网中的欲访问的数据库同一内容的数据库的情况下,有:公用网;设置数据库的契约提供者;设置数据库的私设网;以及具有访问公用网的IP蜂窝式密码通信功能的用户终端。
另外,本发明的VPN在连接公用网的契约提供者接收设置数据库的私设网的通信、管理等使用的委托,进行使用或服务的提供的情况下,有:公用网;进行数据库的使用管理的契约提供者;以及具有访问公用网的IP蜂窝式密码通信功能的用户终端。
另外,本发明的VPN在用户终端连接未设置包括家庭内LAN等的欲访问的数据库的私设网,并连接设置了经由因特网欲访问的数据库的目标网络的情况下,有:私设网;设置了欲访问的数据库的目标网络;以及连接具有IP蜂窝式密码通信功能的用户终端、私设网和目标网络的因特网。
另外,使用本发明的VPN的用户终端由于以连接多个网络为前提,所以也可以有设定连接的优先顺序的装置。该优先顺序是:(1)有线以太网连接,(2)无线LAN连接,(3)公用网连接。另外在连接公用网的情况下,也可以有这样的装置:在获得用户终端中设定的位置信息、例如用户终端的位置的电话号码的区域码、或作为公用网一侧的服务而获得位置信息的情况下,根据该信息,连接根据用户终端中预先设定的位置信息和能正确且廉价地进行访问的访问点的拨号或与地址相关联的表,能正确且廉价地进行访问的访问点。
附图说明:
图1是本发明的第一实施形态的假想私设网(VPN)的框图
图2是说明本发明的第一实施形态的工作用的顺序图
图3是访问服务器及用户终端的设定参数之一例的表
图4是说明用户终端不能直接访问私设网时的VPN的工作用的顺序图
图5是说明认证顺序用的顺序图
图6是说明IP蜂窝式通信用的顺序图
图7是本发明的第二实施形态的VPN的框图
图8是说明本发明的第二实施形态的VPN的工作用的顺序图
图9是本发明的第三实施形态的VPN的框图
图10是说明本发明的第三实施形态的VPN的工作用的顺序图
图11是本发明的第四实施形态的VPN的框图
图12是说明本发明的第四实施形态的VPN的工作用的顺序图
图13是说明IP信息包的地址用的顺序图
发明的具体实施方式
以下,参照附图说明本发明的实施形态。
[第一实施形态]
图1是第一实施形态的假想私设网(VPN)的框图。该VPN包括:私设网100;公用网200;进行私设网100和公用网200的连接的中介的契约提供者300;以及在能直接访问私设网100的环境中也能使用,外出前连接在公用网200上的用户终端10。
用户终端10由膝上型计算机等具有可携带性的信息处理装置、以及能与公用网200连接的网络卡11构成。用户终端10具有访问公用网200的功能及IP蜂窝式密码通信功能。
用户终端10具有在能直接访问私设网100的环境中,优先访问私设网100,在不能直接访问私设网100的环境中,访问公用网200的功能。通过将安装了该功能的网络卡11的功能限制或基于安装的有无的判断功能装入用户终端10中,或者通过将网络连接中的带有连接的优先顺序的功能装入用户终端10中来执行。该优先顺序为:有线以太网连接为最优先,其次为无线LAN连接,最后是公用移动通信、公用线路等公用网。
私设网100包括:欲进行访问的数据库120;以及管理使用数据库120的工作站·服务器等信息处理装置、对用户终端的访问装置、以及备有与外部的连接的管理、控制及根据需要而与外部进行IP蜂窝式密码通信的功能的访问服务器130。另外私设网100具有契约提供者300和进行因特网通信的功能。
公用网200是包括携带电话或无线LAN等无线通信的通信网,具有提供契约提供者300和用户终端10之间的因特网通信的功能。
契约提供者300由用户终端10的用户等加入者使用,由工作站服务器等信息处理装置构成。该契约提供者300具有经由公用网200与用户终端10通信的功能、与私设网100进行因特网通信的功能、以及进行用户终端10和私设网100之间的因特网通信的中继的功能。
图2是说明第一实施形态的假想私设网(VPN)的工作用的顺序图。在该顺序图中,示出了事先设定必要的ID等的顺序,以便能用用户终端10从外部访问数据库120。
首先,在步骤S1中,用户终端10根据预先设定的连接优先顺序,尝试着连接私设网100。通常,如果连接时为了使用有线以太网或无线LAN连接,而将它们的优先顺序设定得高,则在用户终端10能直接连接私设网100的环境中的情况下,用其中的某一个优先进行直接连接私设网100。用户终端10获得私设网100的管理者的许可,用户终端10要求从外部进行访问时的认证用的参数的设定。如果用户终端是规定中有的终端,则转移到步骤2,如果不是规定中有的终端,则中断工作。
如图3所示,关于访问服务器130的参数,例如是:用户ID、用户口令、用户的连接开始ID、家用IP地址、初期的加密密钥等。另外,关于用户终端10或网络卡11的参数,例如是:用户的连接开始ID、家用IP地址、初期的加密密钥等。
其次,在步骤S2中,为访问服务器130生成用户ID及用户口令。将用户ID及用户口令发送给用户及访问服务器130。
其次,在步骤S3中,访问服务器130、用户终端10或网络卡11生成初期识别用户用的用户的连接开始ID。
其次,在步骤S4中,在事先能设定能访问数据库120的家用IP地址的情况下,为访问服务器130、用户终端10或网络卡11生成该IP地址作为参数。
其次,在步骤S5中,为访问服务器130、用户终端10或网络卡11生成加密密钥。
其次,在步骤S6中,访问服务器130作成用户数据表。
另外,在图2中,步骤S3、S4、S5虽然对网络卡11执行,但也可以对用户终端10执行。另外,在设定时不能将网络卡11安装在用户终端10中的情况下,对用户终端10执行步骤S3至S5,然后,也可以对网络卡11将参数设定为脱机。
图4是说明用户终端不能直接访问私设网的情况下的VPN的工作。
首先,在步骤A1中,用户使用用户终端10,通过公用网200访问提供者300。用户终端10连接公用网200时,如果预先设定连接用户终端10的优先顺序,则在公用网200备有有线以太网连接、无线LAN连接、移动通信网连接等多种连接的情况下,用户终端为了根据优先顺序尝试着进行连接,通过用户放弃用户所不希望的连接,能按照高速连接顺序选择用户最希望的连接。
另外,如果预先在用户终端10中设定用户终端10的位置和能从这里最廉价地访问的提供者300的访问点的拨号或关联访问点的地址的表,则连接时,通过使用该表,而具有连接能进行最廉价地访问的访问点的方法。例如,作为用户终端的位置信息,如果使用电话的区域码,则只要将它输入用户终端10,就能连接能最廉价地访问的访问点。在从公用网200获得位置信息的情况下,通过将它作为位置信息利用,而具有自动地连接能进行最廉价地访问的访问点的方法。
其次,在步骤A2中,契约提供者300在进行了用户终端10的通常的认证后,将契约提供者300进行管理的远程IP地址PPP发送给用户终端10的网络卡11。用户终端10将该远程IP地址PPP作为网络地址使用。
其次,在步骤A3中,用户终端10经由契约提供者300对私设网100的访问服务器130提出认证请求。因此,用户终端10将把用户的连接开始ID作为数据的信息包发送给访问服务器130。
以下,参照图5说明上述认证请求后的认证程序。
首先,在步骤A31中,访问服务器130生成随机数,通过公用网200发送给用户终端10。
其次,在步骤A32中,用户终端10用发送来的随机数和用户口令进行运算。
其次,在步骤A33中,将用户ID附加在该运算结果中,用加密密钥将它加密,,通过公用网200发送给访问服务器130。
另一方面,在步骤A34中,访问服务器130以连接开始ID为线索进行参数设定时从用户数据表读出用户口令,用该用户口令和上述的随机数进行与用户终端10相同的运算。
其次,在步骤A35中,将从用户终端10发送来的运算结果及用户ID译码后与访问服务器130的运算结果及用户数据表中的用户ID进行比较。
其次,在步骤A36中,比较结果在两者一致的情况下,作为认证成功,根据远程IP地址作成参照用户数据表的参照表。另一方面,在运算结果或用户ID任意一者不一致的情况下,作为认证失败,切断呼叫。
另外,连接开始ID及加密密钥也可以定期地更新或每一次用户终端认证时更新。
再参照图4,说明认证程序结束后的处理。
在图5所示的认证程序后的步骤A4中,访问服务器130进行了认证后,为了用户终端10能在私设网100内访问数据库120,将在私设网100内部使用、能访问数据库120的IP地址(IP1)作为用户终端10的内部IP地址,用加密密钥进行加密后发送给用户终端10。用户终端10将它译码后作为内部IP地址设定。
另外,事先在私设网100内部使用、能访问数据库120的IP地址中通过步骤S4或手动等设定用户终端10的内部IP地址的情况下,由于能省略步骤A4,所以隐藏性更高。
其次,在步骤A5中,根据该内部IP地址,在私设网100和用户终端10之间进行IP蜂窝化的IP通信。
以下,参照图6说明IP蜂窝式通信。
首先,在用户终端10的用户软件中,作成从内部IP地址即家用IP地址IP1寄给数据库120的IP地址IP2的IP信息包数据。然后,用户终端10或其中安装的网络卡11将其加密。然后,再通过附加从网络IP地址即远程IP地址PPP寄给访问服务器130的IP地址IP0的标题,使IP信息包数据蜂窝化。
该蜂窝化IP信息包经由契约供应者300,送给作为接收方IP0的访问服务器130。
在访问服务器130中参照认证后作成的参照表,根据远程IP地址PPP取出用户数据表中的加密密钥,将蜂窝除外后进行译码。因此,能确认该信息包是从IP1寄给IP2的信息包数据。因此,访问服务器130通过公司内网络,将译码后的信息包传输给数据库120。
另一方面,在译码后的IP地址与设定的地址不同的情况下,或者在译码后的数据中包含的检验和值或奇偶校验值不是正规值的情况下,作为冒充或篡改的信息包而将信息包放弃,如果需要就强制结束。
能用与上述相反的工作从数据库120给用户终端10通信。即,数据库120作成从IP2给IP1的IP信息包,流入私设网100。
访问服务器130识别IP1现在位于私设网100以外,所以抽出IP信息包,加密后用从IP0寄给PPP的IP标题进行蜂窝化,将IP信息包发送给契约提供者300。
契约提供者300发送给IP地址为PPP的用户终端10的网络卡11。用户终端10或网络卡11解开蜂窝,译码后交给用户软件。
以上,参照图6,说明了IP蜂窝式通信。
再参照图4,说明继步骤A5的IP蜂窝式通信之后,成为通信结束步骤的步骤A6。
在图4所示的步骤A6中,如果从用户终端10或访问服务器130发出了切断请求,访问服务器130更新通信记录,删除参照表,结束通信。
如上所述,在第一实施形态中,用户在任何地方都能安全地访问设置在私设网中的数据库,能一维地管理、使用数据库。对用户来说,具有能经常将进行访问的数据库更新为最新的数据库的优点。另外,在私设网100和用户终端10的两端点之间进行IP蜂窝化,在包含私设网100的内部IP地址的蜂窝内进行加密,即使经由公用网或一般的因特网提供者,也能确保隐藏性。另外,对公用网、契约供应者来说,作为一般的IP信息包能使用两点之间的通信信息包,所以在公用网、契约供应者内不需要该通信用的特殊的装置和软件。
[第二实施形态]
图7是本发明的第二实施形态的VPN的框图。与私设网100中设置的数据库120相同的信息的数据库320被设置在契约提供者300内。连接在公用网200上的用户终端10访问该数据库320,这一点与第一实施形态不同。在位于私设网100内的数据库120和数据库320之间,定期地或根据需要,取得信息的同步。
在契约提供者300内设有访问服务器330,该访问服务器330具有与第一实施形态中位于私设网100内的访问服务器130同样的功能,进行对数据库320的来自外部的访问的管理和控制。除此以外,与第一实施形态相同。
图8是说明第二实施形态的VPN的工作用的顺序图。为了能利用用户终端10从外部访问数据库320,事先在设定必要的ID等的步骤中,在访问服务器330中追加作成用户数据表,只是这一点与第一实施形态不同。除此以外的初始设定与第一实施形态相同。
首先,在步骤B1中,用户利用用户终端10,经由公用网200访问契约提供者300。
其次,在步骤B2中,契约提供者300将IP地址PPP发送给用户终端10。
这样,步骤B1、B2与第一实施形态相同。
其次,在步骤B3中,用户终端10对访问服务器330进行认证请求,认证过程的详细情况与第一实施形态相同。
其次,在步骤B4中,访问服务器330进行了认证后,根据需要,将家用IP地址IP1作为用户终端10的内部IP地址,用加密密钥进行了加密后,发送给用户终端10。用户终端10将其译码后作为自己的内部IP地址设定。但例如,事先使访问服务器330管理的IP地址向用户终端10付款,如果采用连接前固定地设置的方式,则能省略步骤B4,隐藏性更好。
其次,在步骤B5中,在访问服务器330和用户终端10之间进行IP蜂窝式加密通信。
其次,在步骤B6中,将最新的数据或文件从私设网100的数据库120下载到契约提供者300的数据库320中。用户在使用它之前进行该下载,但要根据用户的请求进行。
另外,在步骤B7中,将用户进行了变更、追加、删除等的数据或文件从数据库320上载到数据库120中。在用户的访问结束的时刻、或根据用户的请求进行该上载。
其次,在步骤B8中,与第一实施形态相同,通信结束。
[第三实施形态]
图9是本发明的第三实施形态的VPN的框图。在该实施形态中,契约提供者300接受私设网100的通信、管理等的使用委托。因此,在契约提供者300内设置了数据库320及对它进行访问的访问服务器330。
在用户终端10中安装了连接公用网200的网络卡11,这一点、以及用户终端10访问数据库320这一点与第二实施形态相同。但是,第三实施形态的VPN只具有一个数据库,这一点与第二实施形态不同。
图10是说明第三实施形态的VPN的工作用的顺序图。对契约提供者的访问(步骤C1)、IP地址PPP的设定(步骤C2)、用连接开始ID的认证请求(步骤C3)、以及内部IP地址IP1的设定(步骤C4)分别与第二实施形态的步骤B1、B2、B3、B4相同。但是,如果采用事先分配设定IP1的方式,则能省略步骤C4,隐藏性更好。
另外,IP蜂窝式通信(步骤C5)、以及通信结束(步骤C6)分别与第二实施形态的步骤A5、A6相同。
[第四实施形态]
图11是第四实施形态的VPN的框图。在第四实施形态中,用户终端10连接在分店内的LAN等私设网400上,经由因特网通信网600,访问目标网络500中的数据库520。这样,用户最初访问私设网这一点与用户最初访问公用网的第一至第三实施形态不同。
第四实施形态的VPN包括:安装了网络卡11的用户终端10、用户终端10连接的私设网400、经由私设网400的网关410连接的因特网通信网600、在目标网络500内管理来自因特网通信网600的访问的访问服务器530、以及用户欲访问的数据库520。
用户终端10包括膝上型计算机等信息处理装置和私设网400的接口构成的网络卡11。该用户终端10具有与私设网400通信的功能、以及IP蜂窝式加密通信功能。另外,用户终端10能直接访问数据库520。
因特网通信网600具有与私设网400的网关410、以及目标网络500的访问服务器530通信的功能。
目标网络500包括:数据库520、管理使用数据库520的工作站·访问器等信息处理装置、对用户终端的访问装置、以及具有与外部的连接管理·控制功能和与外部的IP蜂窝化通信功能的访问服务器530。
图12是说明第四实施形态的VPN的工作用的顺序图。为了利用用户终端10能从外部访问数据库520,事先设定必要的ID等的步骤与第一实施形态的初始设定大致相同。在第四实施形态中,必要的ID等事先被设定在目标网络500内,在访问服务器530内作成用户数据表。
首先,在步骤D1中,预先被赋予了对私设网的访问权的用户使用用户终端10对私设网400进行访问。
其次,在步骤D2中,私设网400将由图中未示出的DHCP(dynamichost configuration protocol)服务器等管理的IP地址IP3作为私设网内的网络地址分配。但是,在小规模LAN等中,私设网内网络地址事先被分配给用户终端的情况下,不需要执行该步骤D2。
其次,在步骤D3中,用户终端10经由私设网400的网关410及因特网通信网600,对访问服务器530进行访问认证请求。一般说来,网关410利用NAT(网络地址变换功能)等,将IP3变换成在因特网通信网600内有效的全局地址PPP。可是,如果IP3在因特网通信网600内为有效地址,则即使不进行这样的变换,工作中也没有障碍。因此,将连接开始ID作为数据的访问认证请求IP信息包的发送源地址为PPP或IP3。之所以将该发送源地址作为远程IP地址进行认证,是因为与第一实施形态相同。
其次,在步骤D4中,设定在目标网络500内使用的家用IP地址IP1。该IP1被作为用户终端10在目标网络500内的内部IP地址使用。因此,在还未设定内部IP地址的情况下,将家用IP地址加密,发送给用户终端,用户终端将其译码后作为内部IP地址设定。
这样处理后,在步骤D5中,进行IP蜂窝化的IP加密通信。只要设定了内部IP地址,即使在网关410中进行IP3和PPP的互相变换,也能进行IP蜂窝式加密通信。
图13是说明IP信息包的地址用的顺序图。在用户终端10的用户软件中,作成发送源为IP1(目标网络500内的家庭地址)、接收方为IP2(数据库520的IP地址)的IP信息包数据。
然后,用户终端10或其中安装的网络卡11在将该IP信息包加密后,附加发送源为IP3(私设网内的网络地址)、同时接收方为IP0(访问服务器530的IP地址)的标题,进行蜂窝化,发送给网关410。
然后,如果需要,则网关410将IP3变换成PPP(PPP是在因特网中使用的全局地址,用于以下线索:引出访问服务器530参照作为远程IP地址设定时作成的用户参数的参照表),将IP信息包经由因特网600发送给访问服务器530。
在访问服务器530中,利用认证后作成的参照表、即设定参数的确定值表,取出远程地址PPP或具有IP3的用户的加密密钥,将蜂窝除外,进行译码。因此,确认是从目标网络500以外的IP1给具有IP2的数据库520的信息包,传输给数据库520。另一方面,在译码后的地址不是正规值的情况下,或者在译码后的数据中包含的检验和值或奇偶校验值不是正规值的情况下,作为冒充或篡改的信息包而将信息包放弃,如果需要就强制结束处理。
即使第三者在私设网400或因特网600中试图进行窃听,但由于包括地址在内,全部数据被加密,所以保持数据的隐藏性。在本发明中,加密密钥只归用户终端10及访问服务器530所有。
从数据库520至用户终端10的IP蜂窝式加密通信也可以使以上的顺序沿相反的方向进行。
最后,在步骤D6中,如果从用户终端或访问服务器530提出切断请求,则访问服务器更新通信记录,根据远程IP地址PPP或IP3,删除参照用户表的参照表,结束通信。
以上,虽然说明了本发明的实施形态,但作为用户终端能使用具有无线访问装置的终端,作为该无线访问装置,例如能举出:PHS(personal handyphone system)、GPRS(general packet radioservice)、EDGE(enhanced data rates for GSM evolution)、HDR(high data rate)、WCDMA(wide band code divisionmultiple access)、2.4GHz频带无线LAN或5GHz频带无线LAN等无线LAN、或个人计算机或携带电话等无线连接笔记本机器用的作为标准无线通信技术的蓝牙,另外无线访问装置也可以是使用将来的移动通信技术的高速无线访问装置。
另外,在用户终端向公用网连接的情况下,也可以有根据位置信息连接最廉价的访问点的装置。另外,也可以根据从基站发送的信息判断位置信息。
如果采用以上说明的本发明,则在VPN服务中能提供两点之间隐藏性极高的通信。其理由是因为在两点之间进行IP蜂窝化,包含位于蜂窝内的两者的IP地址在内用独自的密码进行加密容易进行。
另外如果采用本发明,则在VPN服务中能一维地管理数据库,其结果,用户随时都能访问最新的数据库。其理由是因为所有的用户不管在哪里都想访问同一个数据库。
另外采用本发明,则在VPN服务中能直接利用公用网、契约提供者等现在的因特网通信网。其理由是因为在两点之间进行IP蜂窝化通信。
Claims (17)
1.一种假想私设网,其特征在于,备有:
互相连接的多个独立的网络;
能访问上述网络,具有使用新取得的发送源IP地址进行IP蜂窝式通信及加密功能的终端;
能连接在上述网络中的任意一个上的数据库;以及
管理控制对上述数据库的访问,具有IP蜂窝式通信及加密功能的访问服务器,
上述终端从任意的网络都能通过IP蜂窝式加密通信,保持隐藏状态地访问上述数据库。
2.根据权利要求1所述的假想私设网,其特征在于:利用无线访问装置进行从上述终端对上述网络的访问。
3.根据权利要求1所述的假想私设网,其特征在于:上述终端包括无线访问装置,上述无线访问装置是使用PHS、GPRS、EDGE、HDR、WCDMA、无线LAN、或蓝牙装置的无线访问装置。
4.根据权利要求1所述的假想私设网,其特征在于:上述终端或上述访问服务器将上述终端和上述数据库之间的通信加密。
5.根据权利要求1所述的假想私设网,其特征在于:上述终端备有具有适合于各个网络的通信接口的网络卡。
6.根据权利要求5所述的假想私设网,其特征在于:上述网络卡具有IP蜂窝式通信功能。
7.根据权利要求1所述的假想私设网,其特征在于:上述终端有优先使用直接访问拥有上述数据库的上述网络的接口的控制装置。
8.根据权利要求1所述的假想私设网,其特征在于:上述多个独立的网络由私设网和公用网构成,上述数据库设置在上述私设网中,
在上述终端连接上述公用网访问上述数据库的情况下,进行了上述终端的访问认证后,上述终端和上述私设网的访问服务器之间被连接起来,
上述访问服务器进行了上述终端的访问认证后,通过IP蜂窝式通信访问上述数据库。
9.根据权利要求8所述的假想私设网,其特征在于:上述终端具有在进行对上述公用网连接的情况下,根据上述终端的位置信息连接到能够最廉价地进行访问的访问点的装置。
10.根据权利要求9所述的假想私设网,其特征在于:上述终端根据从基站发送的信息,得到上述位置信息。
11.根据权利要求1所述的假想私设网,其特征在于:上述多个独立的网络由私设网和公用网构成,上述访问服务器和上述数据库设置在上述私设网和上述公用网之外,在上述私设网设置与上述数据库信息相同的其它数据库,上述数据库和上述其它数据库之间取得信息的同步,
在上述终端连接到上述公用网,对上述数据库请求访问的情况下,上述终端通过上述访问服务器访问上述数据库。
12.根据权利要求11所述的假想私设网,其特征在于:上述终端具有在进行对上述公用网连接的情况下,根据上述终端的位置信息连接到能够最廉价地进行访问的访问点的装置。
13.根据权利要求12所述的假想私设网,其特征在于:上述终端根据从基站发送的信息,得到上述位置信息。
14.根据权利要求1所述的假想私设网,其特征在于:上述多个独立的网络由私设网和公用网构成,上述数据库设置在上述私设网中,
上述假想私设网具有用以进行上述私设网和上述公用网之间的通信的信息处理装置,
在上述终端连接到上述公用网,请求对上述数据库进行访问的情况下,
使上述终端进行访问认证后,经上述信息处理装置通过IP蜂窝式通信访问上述数据库。
15.根据权利要求14所述的假想私设网,其特征在于:上述终端具有在进行对上述公用网连接的情况下,根据上述终端的位置信息连接到能够最廉价地进行访问的访问点的装置。
16.根据权利要求15所述的假想私设网,其特征在于:上述终端根据从基站发送的信息,得到上述位置信息。
17.根据权利要求1所述的假想私设网,其特征在于:在上述终端为了访问上述数据库而经由不具有上述数据库的私设网进行访问的情况下,
设有欲访问的数据库的目标网络的访问服务器进行了上述终端的访问认证后,使上述终端通过IP蜂窝式通信访问上述数据库。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP371841/00 | 2000-12-06 | ||
| JP2000371841 | 2000-12-06 | ||
| JP371841/2000 | 2000-12-06 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1479987A CN1479987A (zh) | 2004-03-03 |
| CN1241368C true CN1241368C (zh) | 2006-02-08 |
Family
ID=18841497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB018202136A Expired - Fee Related CN1241368C (zh) | 2000-12-06 | 2001-12-03 | 假想私设网 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20040054902A1 (zh) |
| EP (1) | EP1353478A4 (zh) |
| KR (1) | KR100565157B1 (zh) |
| CN (1) | CN1241368C (zh) |
| TW (1) | TW573412B (zh) |
| WO (1) | WO2002047336A1 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020075844A1 (en) * | 2000-12-15 | 2002-06-20 | Hagen W. Alexander | Integrating public and private network resources for optimized broadband wireless access and method |
| US7986937B2 (en) * | 2001-12-20 | 2011-07-26 | Microsoft Corporation | Public access point |
| US7188364B2 (en) * | 2001-12-20 | 2007-03-06 | Cranite Systems, Inc. | Personal virtual bridged local area networks |
| US7120791B2 (en) * | 2002-01-25 | 2006-10-10 | Cranite Systems, Inc. | Bridged cryptographic VLAN |
| US7421736B2 (en) * | 2002-07-02 | 2008-09-02 | Lucent Technologies Inc. | Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network |
| GB0326160D0 (en) | 2003-11-08 | 2003-12-17 | Marconi Comm Ltd | Call set-up systems |
| CN100356756C (zh) * | 2004-03-04 | 2007-12-19 | 上海交通大学 | 实现大规模交互式虚拟专用网教学实验的方法 |
| KR100667348B1 (ko) | 2004-05-07 | 2007-01-10 | 주식회사 케이티프리텔 | 무선랜을 이용한 무선인터넷서비스 제공 방법 및 장치 |
| KR100834270B1 (ko) * | 2005-10-06 | 2008-05-30 | 주식회사 케이티프리텔 | 이동통신 기반의 가상사설망 서비스 제공 방법 및 시스템과이를 위한 이동단말기 |
| JP4764737B2 (ja) * | 2006-02-13 | 2011-09-07 | 富士通株式会社 | ネットワークシステム、端末およびゲートウェイ装置 |
| KR100728750B1 (ko) * | 2006-06-29 | 2007-06-19 | 대전보건대학 산학협력단 | 사설망을 이용한 인터넷전화 단말기의 제어방법 |
| EP1914960B1 (en) * | 2006-10-16 | 2013-01-09 | Nokia Siemens Networks GmbH & Co. KG | Method for transmission of DHCP messages |
| US9177313B1 (en) | 2007-10-18 | 2015-11-03 | Jpmorgan Chase Bank, N.A. | System and method for issuing, circulating and trading financial instruments with smart features |
| KR101000048B1 (ko) | 2008-08-21 | 2010-12-09 | 서울통신기술 주식회사 | 자동 요금 징수 시스템의 관리 방법 및 그 장치 |
| JP5617260B2 (ja) * | 2010-01-29 | 2014-11-05 | セイコーエプソン株式会社 | 情報処理装置 |
| JP2011158971A (ja) * | 2010-01-29 | 2011-08-18 | Seiko Epson Corp | 情報処理装置、通信装置、無線診断方法、および、プログラム |
| CN101841476A (zh) * | 2010-04-22 | 2010-09-22 | 北京星网锐捷网络技术有限公司 | 报文处理方法、装置和网络设备 |
| KR101683292B1 (ko) | 2010-06-18 | 2016-12-07 | 삼성전자주식회사 | Pn 라우팅 테이블을 이용한 개인 네트워크의 구성 장치 및 방법 |
| JP5692367B2 (ja) * | 2010-09-16 | 2015-04-01 | 日本電気株式会社 | ネットワークシステム及びフレーム通信方法 |
| JP5344382B2 (ja) | 2010-11-02 | 2013-11-20 | 日本電気株式会社 | ネットワークシステム及びフレーム通信方法 |
| CN103748861B (zh) * | 2011-07-08 | 2017-07-11 | 威尔耐特斯公司 | 用于动态vpn地址分配的系统和方法 |
| WO2017170690A1 (ja) * | 2016-04-01 | 2017-10-05 | 株式会社Nttドコモ | スライス管理システム及びスライス管理方法 |
| US20180197501A1 (en) * | 2017-01-06 | 2018-07-12 | Intel Corporation | Display connection switching |
| US11736445B2 (en) * | 2021-03-12 | 2023-08-22 | Journey.ai | Personalized secure communication session management |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6055575A (en) * | 1997-01-28 | 2000-04-25 | Ascend Communications, Inc. | Virtual private network system and method |
| JPH10224409A (ja) * | 1997-02-07 | 1998-08-21 | Oki Electric Ind Co Ltd | 通信システム |
| US6167438A (en) * | 1997-05-22 | 2000-12-26 | Trustees Of Boston University | Method and system for distributed caching, prefetching and replication |
| US6151628A (en) * | 1997-07-03 | 2000-11-21 | 3Com Corporation | Network access methods, including direct wireless to internet access |
| JPH1141643A (ja) * | 1997-07-04 | 1999-02-12 | Internatl Business Mach Corp <Ibm> | 無線情報処理端末及びその制御方法 |
| JP3641112B2 (ja) * | 1997-09-05 | 2005-04-20 | 株式会社東芝 | パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法 |
| JPH11126209A (ja) * | 1997-10-23 | 1999-05-11 | Toshiba Corp | 情報処理装置及び方法並びに情報処理プログラムを記録した記録媒体 |
| JPH11203316A (ja) * | 1998-01-16 | 1999-07-30 | Hitachi Ltd | バッチ処理を利用した回線負荷軽減システム |
| US6079020A (en) * | 1998-01-27 | 2000-06-20 | Vpnet Technologies, Inc. | Method and apparatus for managing a virtual private network |
| JP3999360B2 (ja) * | 1998-07-03 | 2007-10-31 | 株式会社東芝 | 移動ipシステムの移動端末及び記録媒体 |
| JP2000032047A (ja) * | 1998-07-14 | 2000-01-28 | Hitachi Ltd | インターネットプロバイダアクセス方式 |
| US6628671B1 (en) * | 1999-01-19 | 2003-09-30 | Vtstarcom, Inc. | Instant activation of point-to point protocol (PPP) connection using existing PPP state |
| US6430619B1 (en) * | 1999-05-06 | 2002-08-06 | Cisco Technology, Inc. | Virtual private data network session count limitation |
| US6694437B1 (en) * | 1999-06-22 | 2004-02-17 | Institute For Information Technology | System and method for on-demand access concentrator for virtual private networks |
| US6591103B1 (en) * | 1999-06-30 | 2003-07-08 | International Business Machine Corp. | Wireless telecommunications system and method of operation providing users′ carrier selection in overlapping hetergenous networks |
| US6931016B1 (en) * | 1999-10-13 | 2005-08-16 | Nortel Networks Limited | Virtual private network management system |
| IL149356A0 (en) * | 1999-11-03 | 2002-11-10 | Wayport Inc | Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure |
| US6563800B1 (en) * | 1999-11-10 | 2003-05-13 | Qualcomm, Inc. | Data center for providing subscriber access to data maintained on an enterprise network |
| US6977929B1 (en) * | 1999-12-10 | 2005-12-20 | Sun Microsystems, Inc. | Method and system for facilitating relocation of devices on a network |
| US6618584B1 (en) * | 2000-08-30 | 2003-09-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Terminal authentication procedure timing for data calls |
-
2001
- 2001-12-03 EP EP01999236A patent/EP1353478A4/en not_active Withdrawn
- 2001-12-03 US US10/433,602 patent/US20040054902A1/en not_active Abandoned
- 2001-12-03 WO PCT/JP2001/010539 patent/WO2002047336A1/ja active IP Right Grant
- 2001-12-03 KR KR1020037006535A patent/KR100565157B1/ko not_active IP Right Cessation
- 2001-12-03 CN CNB018202136A patent/CN1241368C/zh not_active Expired - Fee Related
- 2001-12-05 TW TW090130171A patent/TW573412B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| EP1353478A1 (en) | 2003-10-15 |
| KR100565157B1 (ko) | 2006-03-30 |
| EP1353478A4 (en) | 2008-07-02 |
| WO2002047336A1 (fr) | 2002-06-13 |
| US20040054902A1 (en) | 2004-03-18 |
| CN1479987A (zh) | 2004-03-03 |
| TW573412B (en) | 2004-01-21 |
| KR20030048145A (ko) | 2003-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1241368C (zh) | 假想私设网 | |
| CN1227858C (zh) | 实现对计算机网络中服务的安全访问的系统和方法 | |
| KR101202671B1 (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
| CN100338545C (zh) | 安全认证逻辑到移动电话的集成 | |
| CN1293720C (zh) | 初始化无线设备间安全通信和对其专用配对的方法和装置 | |
| CN1879071A (zh) | 用于认证数据处理系统的用户的方法和系统 | |
| CN1756148A (zh) | 用于网络访问的移动认证 | |
| CN1947450A (zh) | 管理与可用网络的连接的系统和方法 | |
| CN1197297C (zh) | 一种信息交换平台 | |
| CN1744489A (zh) | 在系统中提供证书匹配以及用于搜索和获得证书的方法 | |
| CN1756155A (zh) | 用于网络访问的移动认证 | |
| CN1764296A (zh) | 动态口令认证系统和方法 | |
| CN1951060A (zh) | 处理数据传输的系统和方法 | |
| CN1767438A (zh) | 用于验证证书上的数字签名的系统和方法 | |
| CN1575579A (zh) | 选择用于有线和无线设备的安全格式转换 | |
| CN1910882A (zh) | 保护数据的方法和系统、相关通信网络以及计算机程序产品 | |
| CN1574738A (zh) | 在移动特设网络中分配加密密钥的方法及其网络设备 | |
| CN101621798A (zh) | 支持多个虚拟操作员的公共无线局域网的会话密钥管理 | |
| CN1874226A (zh) | 终端接入方法及系统 | |
| CN1330827A (zh) | 访问服务器计算机 | |
| CN1977559A (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN1860818A (zh) | 经移动终端控制资源的方法和系统、相关网络及其计算机程序产品 | |
| CN1662092A (zh) | 高速分组数据网中接入认证方法以及装置 | |
| CN1744490A (zh) | 用于搜索和获得证书的系统和方法 | |
| CN1917700A (zh) | 移动终端定位信息处理的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060208 Termination date: 20181203 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |