CN1701573A - 远程访问虚拟专用网络中介方法和中介装置 - Google Patents
远程访问虚拟专用网络中介方法和中介装置 Download PDFInfo
- Publication number
- CN1701573A CN1701573A CNA2004800008120A CN200480000812A CN1701573A CN 1701573 A CN1701573 A CN 1701573A CN A2004800008120 A CNA2004800008120 A CN A2004800008120A CN 200480000812 A CN200480000812 A CN 200480000812A CN 1701573 A CN1701573 A CN 1701573A
- Authority
- CN
- China
- Prior art keywords
- unit
- vpn
- address
- intermediary
- vpn gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种在IP网络上用于存储被存储在VPN网关设备中的访问控制列表(ACL)的中介设备。该中介设备从VPN客户设备接收搜索请求,参考ACL以获取通信设备的专用IP地址,搜索DNS以获取VPN网关设备的IP地址,产生用于认证的公用密钥和加密在VPN客户设备和VPN网关设备之间的通信,向VPN客户设备发送VPN网关设备的IP地址、通信设备的专用IP地址和公用密钥,以及向VPN网关设备发送VPN客户设备的IP地址和公用密钥。
Description
技术领域
本发明涉及在VPN(Virtual Private Network,虚拟专用网络)客户单元和VPN网关单元之间安全地共享用于通过诸如IPsec(IP安全协议)或L2TP(第2层隧道协议)的任意隧道协议来实现远程访问VPN的多条信息的VPN客户单元的全局IP地址、VPN网关单元的全局IP地址、以及用于VPN客户单元和VPN网关单元之间的认证的相互认证信息的技术。
背景技术
在因特网上建立的虚拟闭环网络通常被称为虚拟专用网络(以下缩写为VPN)。使用诸如IPsec、L2TP等的隧道协议来建立VPN,并且VPN被用来经由因特网从移动客户访问在局域网(LAN)中的资源,或者用于经由因特网互连多个物理上分散的局域网。在授权远程用户访问远程访问VPN的情况下,下面设置对于要访问的VPN客户以及要被访问的VPN网关都是需要的:
VPN客户单元:
·VPN网关单元的IP地址(全局)
·在VPN网关单元和VPN客户单元之间的相互认证信息
·VPN客户单元的专用IP地址
·VPN的内网的路由器和名称服务器(诸如DNS、WINS)的专用IP地址(在VPN客户部分上进行静态设置的情况下)
VPN网关单元:
·在VPN网关单元和VPN客户单元之间的相互认证信息
·要递送给已认证的VPN客户单元的专用IP地址和VPN中的路由器和名称服务器的专用IP地址(在VPN客户部分上进行动态设置/邮寄(posting)的情况下)
通常,这些设置影响安全性,所以必须安全可靠地设置它们,而这不仅给VPN客户单元用户,而且给VPN管理者带来沉重的负担。并且,当可以访问该VPN的用户接连地变换时,用户管理的负担也变得极大。此外,当用户访问两个或多个VPN时,对于每一个要被连接的VPN,认证方法、认证信息和用于保存它们的IC卡或类似的认证设备有时都是不同的;为此管理变成了严重的负担。
偶尔,出现如下情况:VPN客户单元想要在另一个VPN客户单元中临时行使其已被授予的VPN访问权限(authority)。此外,当VPN客户单元(A)在NAT(Network Address Translation,网络地址翻译)段内或它是有严格限制功率要求的便携式微型设备的情况下,直接建立用于与VPN网关单元的通信的加密信道是不适当的。在这种情形下,一般由另一个VPN客户单元(D)负责建立到VPN网关的隧道,所述另一个VPN客户单元(D)拥有从有关的NAT段到因特网的网关的功能。在这种情况下,需要对VPN客户单元(A)而不是对VPN客户单元(D)进行访问控制。因此,当被授予访问权限的VPN客户单元不同于隧道开始处的VPN客户单元时,用于委任(delegating)权限的机制是不可缺少的。
而且,根据由VPN提供的服务的性质,VPN客户单元用户有时想要避免将个人识别信息泄漏给VPN服务提供者。另一方面,在许多情况下VPN服务提供者也想使它们自己致力于通过外购复杂的操作,诸如处理客户认证信息或类似的个人信息以及成员允许进入和撤销的管理,来提供其主要的服务。在这种情形下,VPN服务提供者让外购商执行用户认证和访问权限的验证,并只将有效用户介绍给VPN服务提供者。
可以用各种方法来实现公用密钥的安全分配(例如,见专利文件1和2)。在专利文件1中阐述的方法是一种在两个或多个连接到局域网的通信单元之间交换公用密钥的方法;这个方法经由具备DHC服务器功能的网关单元交换公用密钥。更具体地讲,在连接通信单元到局域网时,在通过DHCP获取其IP地址的同时交换公用密钥。这允许交换在局域网中用于加密通信的公用密钥。
在专利文件2中描述的方法是一种方法,其中在连接到因特网的VPN客户单元与连接到在VPN网关单元管理下的局域网的通信单元之间的通信中,在VPN客户单元和VPN网关单元之间交换一个公用密钥,而在VPN网关单元和通信单元之间交换另一个公用密钥。这允许实现VPN客户单元和连接到局域网的通信单元之间的加密通信,而不需要在VPN客户单元和连接到局域网的通信单元之间通过IKE或类似的密钥交换方案来进行密钥交换。
然而,专利文件1的方法将密钥分配范围限于局域网,而专利文件2的方法要求在VPN客户单元和VPN网关单元之间预先交换公用密钥,由于这些原因,例如在频繁地出现社会成员的允许进入和撤销的情况下,管理操作变得很复杂。并且任何一种方法都不提供将访问控制委任给第三方的功能,以及允许VPN客户单元将加密的通信处理委任给另一个可靠的VPN客户单元以访问VPN客户单元被授权连接的VPN网关的功能。已提出了各种方法,其中VPN网关侧动态设置/邮寄配置管理信息,诸如要递送给已认证的VPN客户单元的专用IP地址、VPN中路由器或名称服务器的专用地址(见,例如,专利文件3、专利文件4、非专利文件1、非专利文件2和非专利文件3)。
根据专利文件3,提供一种用于管理设置信息的管理单元,其通过向通信单元展示它的IP地址和登录密码来登录该通信单元以发送设置信息。利用这个方法,诸如专用IP地址等的配置管理信息能够作为设置信息从对应于VPN网关单元的管理单元分配给VPN客户单元。然而,这个方法不对作为接收者的VPN客户单元进行认证-这造成了如下危险:通过冒充IP地址的假冒攻击(impersonation attack)和中间人攻击(intermediator attack)。此外,没有提及当VPN客户单元发出用于获取配置管理信息的请求时,管理单元怎样执行认证/访问控制。
专利文件4、非专利文件1、非专利文件2和非专利文件3都阐述了通过诸如IPsec、PPP、L2TP等的隧道协议来动态设置/邮寄配置管理信息的方法。
本发明还假设:对应于上述动态设置/邮寄的功能是在VPN客户单元和VPN网关单元之间的各种隧道协议的建立阶段中执行的。但是,根据传统系统,用户认证或访问控制以及上述配置管理信息的动态设置/邮寄是在隧道建立时作为单个、完整的操作来执行的;与此相反,根据本发明,用户认证和访问控制在中介装置中执行以允许VPN客户单元和VPN网关单元共享一个公用秘密(common secret),其被用来在VPN客户单元和VPN网关单元之间建立一个隧道,然后从VPN网关单元动态设置/邮寄关于该隧道的配置管理信息。此外,VPN客户单元A将用于加密通信的隧道协议处理委任给另一个可靠的VPN客户单元D,由此可能检查用于源单元B的中介装置中的访问权限。按照管理便利,部分关于隧道的配置管理信息、用于路由到隧道的信息、或关于网络操作的类似信息,可以从中介装置发送到VPN客户单元。在这种情形下,根据信息类型,在隧道建立之前或之后设置从中介装置发送的配置管理信息。
作为使用公共密钥的认证和证书发放方法,提出了SPKI(Simple PublicKey Infrastructure,简单公共密钥基础结构)方案(例如非专利文件4和非专利文件5),但是怎样将该方案应用到远程访问VPN还不清楚。
专利文件1:Pat.Kokai Pub.Gazette 2001-292135
专利文件2:Pat.Kokai Pub.Gazette 2002-271309
专利文件3:Pat.Kokai Pub.Gazette 2001-18163
专利文件4:Pat.Kokai Pub.Gazette 2001-160828
非专利文件1:B.Patel,B.Aboba,S.Kelly,V.Gupta,“Dynamic HostConfiguration Protocol(DHCPv4)Configuration of IPsec Tunnel Model”,[在线],2003年1月出版,RFC3456,Internet工程任务组,[2003年3月17日检索的],因特网<URL:http://www.ietf.org/rfc/rfc.3456.txt>
非专利文件2:IPCP(RFC-1332)
非专利文件3:EAP(RFC-2284)
非专利文件4:C.Ellison,B.Frantz,B.Lampson,R.Rivest,B.Thomas,T.Ylonen,“SPKI Certificate Theory”,[在线],1999年9月出版,RFC2693,Internet工程任务组,因特网<URL:http://www.ietf.org/rfc/rfc2693.txt>非专利文件5:C.Ellison,B.Frantz,B.Lampson,R.Rivest,B.Thomas,T.Ylonen,“Simple Public Key Infrastructure<draft-ieft-spki-cert-structure-0.6.txt>”[在线],1999年7月26日出版,Internet工程任务组,因特网<URL:http://world.std.com/~cme/spki.txt>
发明内容
考虑到上述问题做出本发明,其使得可以在VPN客户单元和VPN网关单元之间安全地共享用于在IP网络中通过诸如IPsec和L2TP的任意隧道协议来实现远程访问VPN的多条信息的VPN客户单元的全局IP地址、VPN网关单元的全局IP地址、在VPN网关单元控制下的局域网中的任意通信单元的专用IP地址、以及用于在VPN客户单元和VPN网关单元之间在IKE阶段1中的认证的公用密钥。此外,本发明使得在远程访问VPN中能够进行用于认证的通信,而不将用户的个人信息泄漏给对方。
根据本发明,提供一种系统中的远程访问VPN中介方法(mediatingmethod),在所述系统中:虚拟专用网络(以下称为VPN)客户单元和VPN网关单元被连接到IP网络;将通信单元连接到在VPN网关单元的管理下的局域网;以及在连接到所述IP网络的VPN客户单元和VPN网关单元的任意一个和连接到在VPN网关单元的管理下的局域网的通信单元的任意一个之间实现通过隧道协议的远程访问VPN;所述方法包括步骤:
(a)从所述VPN网关单元将访问控制列表发送到所述IP网络上的中介装置,所述访问控制列表包含指示分配给所述通信单元的专用IP地址的信息;
(b)对应于所述VPN网关单元由所述中介装置存储所述访问控制列表;
(c)响应于来自所述VPN客户单元的请求检索对应于所述VPN网关单元的IP专用地址,从所述访问控制列表中获取相应通信单元的专用IP地址,将获取的专用IP地址发送到所述VPN客户单元,将所述VPN客户单元的IP地址发送到所述VPN网关单元,产生用于在所述客户VPN单元和所述网关单元之间建立已认证的加密隧道的相互认证信息,并将所述相互认证信息发送给所述VPN客户单元和所述网关单元双方;以及
(d)利用所述相互认证信息,在所述VPN客户单元和所述网关单元之间建立所述已认证的加密隧道,并利用所述通信单元的专用IP地址实现通过所述加密隧道的远程访问。
根据本发明,提供了一种建立在IP网络上的远程访问VPN中介装置(mediating apparatus),以在系统中实现远程访问VPN,在所述系统中:VPN客户单元和VPN网关单元被连接到IP网络;通信单元被连接到在所述VPN网关单元的管理下的局域网;以及在连接到所述IP网络的VPN客户单元和所述VPN网关单元的任意一个和连接到在所述VPN网关单元的管理下的所述局域网的所述通信单元的任意一个之间实现通过隧道协议的远程访问VPN;所述装置包括:
ACL存储装置,用于存储从所述VPN网关单元发送的并且包含指示分配给所述通信单元的专用IP地址的信息的访问控制列表(以下称为ACL);
认证/访问授权(authorization)控制装置,用于认证所述VPN客户单元和所述网关单元,并且用于执行访问授权控制;
IP地址获取装置,用于参照所述访问控制列表来获取分配给所述通信单元的专用IP地址,并且用于搜索域名服务器来获取分配给所述VPN网关单元的IP地址;
认证信息产生装置,用于产生相互认证信息,其用于建立所述VPN客户单元和所述VPN网关单元之间的加密隧道;以及
通信装置,用于向所述VPN客户单元发送所述VPN网关单元的IP地址、所述通信单元的专用IP地址和所述相互认证信息,并且用于向所述VPN网关单元发送所述VPN客户单元的IP地址和所述相互认证信息。
本发明产生了如下所述的效果。第一个效果在于能够在VPN客户单元和VPN网关单元之间安全地共享用于在IP网络中通过诸如IPsec和L2TP的任意隧道协议来实现远程访问VPN的多条信息的VPN客户单元的全局IP地址、VPN网关单元的全局IP地址、在VPN网关单元控制下的局域网中的任意通信单元的专用IP地址、以及用于在VPN客户单元和VPN网关单元之间建立加密隧道的相互认证所需的公用密钥或公用秘密(以下称为相互认证信息)。其原因在于中介装置中的专用IP地址的安全管理和专用IP地址与相互认证信息的安全分配。
具体地讲,在向其中加入(entry)专用IP地址的情况下,中介装置认证VPN网关单元,并且只在该认证成功时才加密通信信道,并经该加密的通信信道接收专用IP地址。在检索专用IP地址的情况下,该中介装置:认证VPN客户单元;并且只在该认证成功时才利用VPN客户单元的公共密钥实施访问授权控制;并且只在该访问授权控制成功时才从域名服务器获取VPN网关单元的全局IP地址;加密在中介装置和VPN客户单元之间的通信信道;在该加密的通信信道上发送VPN网关单元的全局IP地址、通信单元的专用IP地址、以及相互认证信息到VPN客户单元;并且加密在中介装置和VPN网关单元之间的通信信道;发送VPN客户单元的全局IP地址、相互认证信息和VPN客户单元的属性信息到VPN网关单元。
第二个效果是提供能够在远程访问VPN的认证期间进行通信而不将用户的个人信息泄漏给通信对方的手段。其原因在于在通过PKI方案进行认证的情况下,包含个人信息的公用密钥证书被发送给用于认证的中介装置,来代替发送给通信对方。另一个原因在于在通过SPLI方案进行认证的情况下,任何证书的格式能够被定义成不包含个人信息。另一方面,中介装置可以结合下列功能:发送伴随认证结果的属性信息到VPN网关单元以选择包含有关VPN客户单元的VLAN的功能;改变有关的VPN网关单元的分组过滤设置的功能;以及将有关的属性信息加入到对应于VPN客户单元的专用IP地址的项目(entry)中VPN中的DNS的倒排字母表(inverted dictionary)的功能。
附图说明
图1是说明在本发明的第一实施例中的系统配置的例子的图;
图2是用于解释本发明的第一实施例的操作的概要的图;
图3是表示本发明的中介装置(S)104的功能配置的图;
图4A是表示在ACL和散列值之间的对应关系的图,而图4B是表示在图4A中的ACL项目的例子的图;
图5是表示在本发明的第一实施例中的访问控制ACL存储方法的图;
图6是表示在本发明的第一实施例中的发送IP地址和公用密钥的过程的图;
图7是表示在本发明的第一实施例中中介装置中的IP地址获取过程和公用密钥产生过程的具体的流程图;
图8是表示在第一实施例中的访问控制列表ACL的例子的图;
图9是表示在第一实施例中的数据TAG的例子的图;
图10是表示在本发明的第一实施例中计算的结果数据DATA的例子的图;
图11是表示在本发明的第一实施例中证书的例子的图,其程序能够经由网络分配;
图12是说明在本发明的第二实施例中的系统配置的图;
图13是用于解释本发明的第二实施例的操作的概要的图;
图14是表示在本发明的第二实施例中的访问控制ACL存储方法的图;
图15是表示在本发明的第二实施例中中介装置中的访问控制列表ACL存储过程的具体的流程图;
图16是表示在本发明的第二实施例中的IP地址和公用密钥分配过程的图;
图17是表示在本发明的第二实施例中中介装置中的IP地址获取过程和公用密钥产生过程的具体的流程图;
图18是说明在本发明的第三实施例中的VPN客户单元的实施例的图;
图19是说明网络的整体配置的图,在所述网络中使用了本发明的第四实施例中的VPN网关单元;
图20是表示在第四实施例中使用的访问控制列表的例子的图;和
图21是说明在第四实施例中使用的VPN网关单元的功能配置的例子的图。
具体实施方式
下面将参考附图具体描述本发明的实施例。
实施例1
这是一个实施例,其中中介装置通过SPKI(简单公共密钥基础结构)方案认证VPN客户单元和VPN网关单元,并且VPN客户单元发放用于委任权限的证书。这个SPKI方案不需要认证站。
图1说明这个实施例的一般系统配置。在图1中,VPN客户单元(A)101、VPN客户单元(D)102、VPN网关单元(B)103、中介装置(S)104和域名服务器(DNS)105基于IP(因特网协议)分别连接到广域网(WAN)100。通信单元(C)111连接到将VPN网关单元(B)103用作为网关单元的局域网(LAN)110。在WAN上还可以提供VPN网关控制单元(M)112,其具有VPN网关单元(B)103的访问控制列表的管理权限。
图2是用于解释在图1中描述的整个系统的操作的图。粗线指示IPsec隧道模式下的VPN。
现在,用公共密钥PUBLICKEY_A(或者其散列值HASH_A)来表示VPN客户单元(A)101的主机名,并用IPADDRESS_A来表示它的IP地址。用公共密钥PUBLICKEY_D(或者其散列值HASH_D)来表示VPN客户单元(D)102的主机名,并用IPADDRESS_D来表示它的IP地址。以及,用公共密钥PUBLICKEY_B(或者其散列值HASH_B)来表示VPN客户单元(B)103的主机名,并用IPADDRESS_B来表示它的IP地址。因此VPN客户单元和VPN网关单元能够用它们的公共密钥(或它们的散列值)来识别。用IPADDRESS_C来表示通信单元(C)111的专用IP地址。
分配给VPN客户单元(A)101的IP地址IPADDRESS_A、分配给VPN网关单元(B)103的IP地址IPADDRESS_B、以及分配给VPN客户单元(D)102的IP地址IPADDRESS_D在IP网络(WAN)100中都是唯一的,并且它们是由任意装置动态分配的。VPN网关单元(B)103的公共密钥PUBLICKEY_B和IP地址IPADDRESS_B彼此唯一相关,并且在域名服务器(DNS)105的管理下。分配给通信单元111的专用IP地址IPADDRESS_C在局域网(LAN)110中是唯一的,并且是由任意装置动态分配的。
VPN客户单元(A)101、VPN客户单元(D)102、VPN网关单元(B)103、和中介装置(S)104都具有用于通过IPsec传送模式或IPsec隧道模式加密信道的手段。VPN客户单元(A)101将与公共密钥PUBLICKEY_A配对的专用密钥PRIVATEKEY_A与公共密钥PUBLICKEY_A一起保存。VPN网关单元(B)103将与公共密钥PUBLICKEY_B配对的专用密钥PRIVATEKEY_B与公共密钥PUBLICKEY_B一起保存。VPN客户单元(D)102将与公共密钥PUBLICKEY_D配对的专用密钥PRIVATEKEY_D与公共密钥PUBLICKEY_D一起保存。VPN网关单元(B)103保存描述在局域网110上访问通信单元111所需的条件的访问控制列表(ACL)。
图8表示在这个实施例中的访问控制列表(ACL)的例子。在与SPKI有关的上述非专利文件4和5中定义了访问控制列表(ACL)的文法。在图8的例子中,说明了:由写在主体字段(subject)中的hash sha 1指示的访问主体的公共密钥的散列值具有HASH_A—这指示了:该主体被允许访问通信单元111,该通信单元111在与VPN网关单元103相连的局域网110上具有专用IP地址IPADDRESS_C,该VPN网关单元103具有描述在标记字段(tag)中的sha 1散列值HASH_A。属性信息“ATTRIBUTE_A”字段被提供为附加功能,例如通过该功能,随着“非付费用户”和“付费用户”改变要分配的专用地址的范围,由此允许:通过在VPN网关单元(B)103中的分组过滤来改变可访问服务器或者根据源地址改变由网络服务器给客户提供的服务。字段“validity(有效性)”指示ACL的这个项目有效的时期。字段“propagate(传播)”指示访问主体的权限委任的授予,但是由于在这个实施例中没有进行权限委任,所以这个字段与其它字段一起只是被用作用于认证的数据值。
如图3所示,中介装置(S)104包括访问控制列表(ACL)存储装置1041、认证/访问授权控制装置1042、IP地址获取装置1043、担当相互认证信息产生装置的密钥产生装置1044、具有加密装置1045e的通信装置1045、以及用于控制这些装置的操作的操作控制装置1046。IP地址获取装置1043将VPN网关单元(B)103的公共密钥PUBLICKEY_B展示给域名服务器(DNS)105,并从其获取分配给VPN网关单元(B)103的IP地址IPADDRESS_B。ACL存储装置1041将从VPN网关单元(B)103加入的访问控制列表(ACL)存储为一个表。认证/访问授权控制装置1042使用SPKI方案来对VPN客户单元(A)101和VPN网关单元(B)103进行认证,和/或执行访问授权控制。通信单元1045具有加密装置1045e,通过该加密装置1045e来加密通信信道,以便给信息的发送和接收提供安全性。担当相互认证信息产生装置的密钥产生装置104产生作为稍后将描述的相互认证信息的公用密钥KEY_AB和KEY_DB。
上述地址获取装置1043通过公用IP地址检索方案(名称解析方案)从公共密钥PUBLICKEY_B检索IP地址IPADDRESS_B。上述ACL存储装置1041例如以图4A中所示的表1041T的形式管理彼此相关的公共密钥PUBLICKEY_B和访问控制列表(ACL)。在图1中只示出了一个VPN网关单元,但是实际上,多个VPN单元具有连接到WAN 100的其局域网;并且虽然在图1中只示出了一个通信单元,但是多个通信单元应当连接到每一个局域网。在图4A中,相应于各个VPN网关单元的公共密钥的散列值加入访问控制列表。
ACL表1041中的每一个访问控制列表ACL,例如ACL1,如图4B中的表ACL1所示,其中相应于各个通信单元的专用IP地址给出对主体,例如VPN客户单元,唯一的公共密钥的散列值,所述主体访问所述访问主体所属的局域网上的各个通信单元。在图4B的表中的第一行的例子中,它表示散列值为HASH_A的VPN客户单元被授权访问专用IP地址为IPADDRESS_C1的通信单元。实际上,其是以先前提到的图8中所示的形式描述的。在提供给每一个要访问的单元的访问控制列表ACL中的访问主体并不具体限于如图4A和图8的例子中的公共密钥的散列值,也可以是各种其它标识,诸如雇员编号、成员编号、或证明访问主体是某公司的雇员、某组的成员、或有资格的人的编号。
上述认证/访问授权控制装置1042通过SPKI方案认证VPN客户单元(A)101、VPN网关单元(B)103、和VPN客户单元(D)102。具体地讲,当通过VPN客户(A)的专用密钥PRIVATEKEY_A和公共密钥PUBLICKEY_A输入签名SIG_A,认证/访问授权控制装置使用公共密钥来验证签名SIG_A,由此证明具有对应于公共密钥PUBLICKEY_A的专用密钥PRIVATEKEY_A的VPN客户(A)的身份。基于通过专用密钥PRIVATEKEY_B和公共密钥PUBLICKEY_B输入签名SIG_B并验证签名SIG_B,认证/访问授权控制装置证明具有专用密钥PRIVATEKEY_B的VPN网关单元(B)的身份。类似的,基于通过专用密钥PRIVATEKEY_D和公共密钥PUBLICKEY_D输入签名SIG_D并验证签名SIG_D,认证/访问授权控制装置证明具有专用密钥PRIVATEKEY_D的VPN客户(D)的身份。
上述认证/访问授权控制装置1042通过SPKI方案控制VPN客户单元(A)101和VPN客户单元(C)102对VPN网关单元(B)103的访问的授权。在控制VPN客户单元(A)101对VPN网关单元(B)103的访问的授权的情况下,认证/访问授权控制装置向其输入用于检索IP地址IPADDRESS_B的DNS查询QUERY、签名SIG_A和访问控制列表(ACL),使用它们作为数据值,以基于在有关SPKI的非专利文件4和5中定义的5元组归约运算规则(5-tuple reduction operation rules)和/或4元组归约运算规则来执行计算,并输出运算结果。在控制VPN客户单元(D)102对VPN网关单元(B)103的访问的授权的情况下,认证/访问授权控制装置向其输入在有关SPKI的非专利文件4和5中定义的DNS查询QUERY、签名SIG_D、证书CERT,和访问控制列表(ACL),然后基于在有关SPKI的非专利文件4和5中定义的5元组归约运算规则和/或4元组归约运算规则来执行计算,并输出运算结果。稍后将参考图10具体描述运算结果。
上述密钥产生装置1044产生用于在VPN客户单元(A)101和VPN网关单元(B)103之间IKE阶段1中的认证的公用密钥KEY_AB,或产生用于在VPN客户单元(D)102和VPN网关单元(B)103之间IKE阶段1中的认证的KEY_DB。
VPN客户单元(A)101具有将权限委任证书CERT发给VPN客户单元(D)102的功能。在有关SPKI的非专利文件4和5中,定义了两种证书的文法,即授权证书和名称证书。在这个实施例中,为了简洁的目的将证书CERT只限定为授权证书。
图11表示在这个实施例中证书CERT的一个具体的例子。根据有关SPKI的非专利文件4和5,授权证书是用发放者的专用密钥签名的数据(该数据以下称为证书信息INFO),该数据包括:定义了唯一对应于发放者的专用密钥的公用密钥或公共密钥的散列值的发放者字段(issuer);定义了唯一对应于授权者(即,在此情况下的VPN客户(D))的专用密钥的公共密钥或公共密钥的散列值的主体字段;包括定义了授权内容的字符串的标记字段;包含定义了是否授权权限委任的字符串的委任字段;以及包含定义了授权证书的有效期的字符串的有效性字段。
基于这个定义,在这个实施例中的证书CERT的证书信息INFO中的发放者字段的值被定义为证书信息INFO的发放者的公共密钥PUBLICKEY_A的散列值HASH_A,或通过任意散列算法获得的公共密钥PUBLICKEY_A。主体字段的值被定义为被授权者的公共密钥PUBLICKEY_D的散列值HASH_D,或通过任意散列算法获得的公共密钥PUBLICKEY_D。标记字段的值是用于允许用于检索VPN网关单元(B)103的IP地址IPADDRESS_B的DNS查询的数据;该数据包含VPN网关单元(B)103的公共密钥PUBLICKEY_B的散列值HASH_B,或通过任意散列算法获得的公共密钥PUBLICKEY_B。委任字段的值被定义为在非专利文件4中定义的字符串“propagate”。另一方面,由于有效性字段的值不直接对本发明产生影响,所以不定义值。证书信息INFO使用专用密钥PRIVATEKEY_A签名。
下面参考图2,将描述图1系统操作的概要。在加入(存储)访问控制(ACL)期间,VPN网关单元(B)103将它的公共密钥PUBLICKEY_B(或者其散列值HASH_B)发送到中介装置(S)104(步骤S1)。中介装置(S)104存储公共密钥PUBLICKEY_B(或者其散列值HASH_B)和访问控制列表(ACL)。
在以IPsec隧道模式从VPN客户单元(A)101经由VPN网关单元(B)103到通信单元(C)111连接远程VPN的情况下,VPN客户单元(A)101发送公共密钥PUBLICKEY_A和公共密钥PUBLICKEY_B(或它们的散列值HASH_A或HASH_B)到中介装置(S)104,以请求它检索VPN网关单元(B)103和通信单元(C)的IP地址(步骤S2)。
中介装置(S)104通过SPKI方案执行VPN客户单元(A)101的访问授权控制,并且在授权访问的情况下,其搜索域名服务器(DNS)105以获得分配给VPN网关单元(B)103的IP地址IPADDRESS_B(步骤S3)。然后中介装置(S)104参考访问控制(ACL)以获得分配给通信单元(C)111的专用IP地址IPADDRESS_C,所述通信单元(C)111连接到在VPN网关单元(B)103的管理之下的LAN 110。然后中介装置(S)104产生用于VPN客户单元(A)101和VPN网关单元(B)103的相互认证的公用密钥KEY_AB。然后中介装置(S)104使用VPN客户单元(A)101的公共密钥PUBLICKEY_A来加密在中介装置(S)104和VPN客户单元(A)101之间的通信信道,并经由该加密的通信信道将IP地址IPADDRESS_B和IPADDRESS_C和公用密钥KEY_AB发送到VPN客户单元(A)101(步骤S4)。然后中介装置(S)104使用VPN网关单元(B)103的公共密钥PUBLICKEY_B来加密在中介装置(S)104和VPN网关单元(B)103之间的通信信道,并经由该加密的通信信道将IP地址IPADDRESS_A和公用密钥KEY_AB发送到VPN网关单元(B)103(步骤S5)。因此VPN客户单元(A)101和VPN网关单元(B)103能够通过使用公用密钥KEY_AB安全地进行其间的通信。这个实施例使用IPsec隧道模式作为VPN客户单元(A)101和VPN网关单元(B)103之间的隧道协议,并使用公用密钥作为从中介装置(S)104发送到它们的、用于其相互认证的信息。其他诸如L2TP和PPTP的协议也可以用作隧道协议,而相互认证信息也可以是ID、密码、公用秘密、SPKI授权证书、或其他手段的类似信息。
在将用于检索VPN网关单元(B)103的IP地址的权限委任给VPN客户单元(D)102的情况下,VPN客户单元(A)101通过SPKI方案将证书CERT发送到VPN客户单元(D)102(步骤S6)。VPN客户单元(D)102将其公共密钥PUBLICKEY_D和证书CERT,以及公共密钥PUBLICKEY_B(或者其散列值HASH_B)发送到中介装置(S)104,以请求检索VPN网关单元(B)103和通信单元(C)的IP地址(步骤S7)。
中介装置(S)通过SPKI方案对VPN客户单元(D)102行使访问授权控制,并在授权访问的情况下,中介装置搜索域名服务器(DNS)105以获得分配给VPN网关单元(B)103的IP地址IPADDRESS_B(步骤S8)。然后中介装置(S)104参考访问控制列表(ACL)以获得通信单元(C)111的专用IP地址IPADDRESS_C,所述通信单元(C)111连接到在VPN网关单元(B)103的管理之下的LAN 110。然后中介装置(S)104产生用于在VPN网关单元(B)103和VPN客户单元(D)102之间的相互认证的公用密钥KEY_DB。然后中介装置(S)104使用VPN客户单元(D)102的公共密钥PUBLICKEY_D来加密在中介装置(S)104和VPN客户单元(D)102之间的通信信道,并经由该加密的通信信道将IP地址IPADDRESS_B和IPADDRESS_C和公用密钥KEY_DB发送到VPN客户单元(D)102(步骤S9)。然后中介装置(S)104使用VPN网关单元(B)103的公共密钥PUBLICKEY_B来加密在中介装置(S)104和VPN网关单元(B)103之间的通信信道,并将IP地址IPADDRESS_D和公用密钥KEY_DB发送到VPN网关单元(B)103(步骤S10)。因此VPN客户单元(D)102和VPN网关单元(B)能够通过使用公用密钥KEY_DB进行其间的安全通信。
至此已经描述了图1系统的每个单元和装置的配置,以及其整体操作的概要,但是将不会具体描述在域名服务器(DNS)105中的IP地址管理和名称解析方法、通过IPsec传送模式或隧道模式加密通信信道的方法、产生公用密钥KEY_AB和KEY_DB的方法、以及使用公共密钥的签名验证方法,原因在于这些方法是本领域的技术人员所熟知的。此外,在使用名称证书以及授权证书的情况下,通过SPKI方案的访问授权控制也能够通过在这个实施例中的使用的同一方法来实现;因而不再进行具体描述。
下面将具体描述访问控制列表(ACL)存储过程、IP地址的获取、公用密钥的产生、以及发送IP地址和公用密钥的过程。首先参考图5,将具体描述用于在中介装置(S)中存储访问控制列表(ACL)的过程。顺便说一句,假设在这个实施例中VPN网关单元(B)103自己存储和管理访问控制列表。
以IPsec传送模式连接VPN网关单元(B)103和中介装置(S)104(步骤1001)。由此加密在VPN网关单元(B)103和中介装置(S)104之间的通信信道。VPN网关单元(B)103在该加密的通信信道上发送公共密钥PUBLICKEY_B和SPKI格式的访问控制列表(ACL)(图8)(步骤1002)。中介装置(S)104接收从VPN网关单元(B)103发送的公共密钥PUBLICKEY_B和访问控制列表(ACL),并彼此相关地存储所接收的公共密钥PUBLICKEY_B和访问控制列表(ACL)(步骤1003)。VPN网关单元(B)103和中介装置(S)104相互断开(步骤1004)。
顺便说一句,在提供具有管理上述VPN网关单元(B)103的访问控制列表(ACL)的权力的VPN网关管理单元(M)112的情况下,在访问控制列表(ACL)加入过程中VPN网关单元(B)103执行的处理完全由VPN网关管理单元(M)112来执行。
下面参考图6和7描述以下过程,通过该过程,中介装置(S)104:产生在VPN客户单元(A)101和VPN网关单元(B)103之间的公用密钥KEY_AB;向VPN客户单元(A)101发送分配给VPN网关单元(B)103的IP地址IPADDRESS_B、分配给通信单元(C)的专用IP地址IPADDRESS_C、和公用密钥KEY_AB;并向VPN网关单元(B)103发送分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB。
在图6中,以IPsec传送模式相互连接VPN客户单元(A)101和中介装置(S)104(步骤1101)。换句话说,加密在VPN客户单元(A)101和中介装置(S)104之间的通信信道。VPN客户单元(A)101在该加密的通信信道上向中介装置(S)104发送包含VPN网关单元(B)103的公共密钥PUBLICKEY_B和VPN客户单元(A)101的公共密钥PUBLICKEY_A的DNS查询QUERY(步骤1102)。
中介装置(S)104获取分配给VPN客户单元(A)101的IP地址IPADDRESS_A、分配给VPN网关单元(B)103的IP地址IPADDRESS_B、分配给连接到在VPN网关单元(B)103的管理下的LAN 110的通信单元(C)111的专用IP地址IPADDRESS_C、和VPN客户单元(A)101的属性信息ATTRIBUTE_A,并产生用于通过IKE等在VPN客户单元(A)101和VPN网关单元(B)103之间进行的认证的公用密钥KEY_AB(步骤1103)。图7是步骤1103的具体流程图。
在图7中,中介装置(S)104接收并向中介装置(S)104输入从VPN客户单元(A)101发送的DNS查询QUERY和公共密钥PUBLICKEY_A(步骤1201)。然后中介装置参考输入的DNS查询QUERY从中介装置中取得公共密钥PUBLICKEY_B(步骤1202)。然后中介装置使用所取得的公共密钥PUBLICKEY_B以获得与该公共密钥相关联的访问控制列表(ACL)(步骤1203)。该访问控制列表(ACL)具有图8中所示的格式。接下来,中介装置通过使用在步骤1201输入的DNS查询QUERY来产生具有如图9中所示的格式的数据TAG(步骤1204)。
中介装置(S)104使用在步骤1201输入到其中的公共密钥PUBLICKEY_A、在步骤1204产生的数据TAG、以及在步骤1203获取的访问控制列表(ACL)以例如,基于在非专利文件4和5中定义的归约运算规则,进行操作(步骤1205),由此确定中介装置是否操作成功(步骤1206)。当中介装置操作失败时,则在此处及时断开处理。
只有当在步骤1206中确定中介装置(S)104操作成功时,其输出具有图10所示的格式的操作结果数据DATA。图10中所示的操作结果数据DATA是具有在非专利文件4和5中定义的5元组格式的数据。只有当该ACL项目被包含在步骤1203获得的访问控制列表(ACL)中时,其中操作结果数据DATA的主体字段的值完全与在步骤1201中接收的公共密钥PUBLICKEY_A的基于SHA-1算法的散列值HASH_A匹配,图10中的数据DATA的标记字段包含与图9中的数据TAG完全匹配的字符串。
中介装置(S)104参考图10的输出数据DATA的标记字段,并产生DNS查询QUERY’(步骤1207)。然后中介装置向域名服务器(DNS)105展示DNS查询QUERY’,并从其检索IP地址IPADDRESS_B(步骤1208)。然后中介装置基于公共密钥PUBLICKEY_A的散列值HASH_A,搜索访问控制列表ACL,以获得(ACL)项目ENTRY,其在自己的主体字段中包含与散列值HASH_A完全匹配的字符段(步骤1209)。然后中介装置参考在步骤1209中获得的ACL项目ENTRY的标记字段,并获得专用IP地址IPADDRESS_C和属性信息ATTRIBUTE_A(步骤1210)。然后中介装置获得VPN客户单元(A)101的IP地址IPADDRESS_A(步骤1211)。接着是产生公用密钥KEY_AB(步骤1212)。
回到图6,中介装置(S)104经过在步骤1101加密的通信信道,向VPN客户单元(A)101发送如上所述获得的IP地址IPADDRESS_B和专用IP地址IPADDRESS_C以及产生的公用密钥KEY_AB(步骤1104)。然后客户单元(A)101和中介装置(S)104相互断开(步骤1105)。
接下来,以IPsec传送模式相互连接VPN网关单元(B)103和中介装置(S)104(步骤1106)。就是说,加密在VPN网关单元(B)103和中介装置(S)104之间的通信信道。然后中介装置(S)104经过在步骤1106加密的通信信道,向VPN网关单元(B)103发送先前获取的IP地址IPADDRESS_A和属性信息ATTRIBUTE_A以及先前产生的公用密钥KEY_AB(步骤1107)。然后VPN网关单元(B)103和中介装置(S)104相互断开(步骤1108)。
以下,如图2所描述的,经由VPN网关单元(B)103以IPsec隧道模式来实现从客户单元(A)101到通信单元(C)111的远程访问VPN;但是不具体描述这一操作。
接下来,在下面描述VPN客户单元(A)101发放证书CERT并将其发放的证书CERT传递到VPN客户单元(D)102的过程。顺便说一句,不会示出流程图。
(1)VPN客户单元(A)101依照在SPKI方案中定义的文法,产生关于证书CERT的证书信息INFO。图11表示在这个实施例中的证书CERT的例子。在图11中,在证书信息INFO中的发放者字段的值被定义为通过任意散列算法获得的公共密钥PUBLICKEY_A的散列值HASH_A。而主体字段的值被定义为公共密钥PUBLICKEY_D的基于SHA-1算法的散列值HASH_D。此外,标记字段的值被定义为分配给VPN网关单元(B)的IP地址IPADDRESS_B。委任字段的值被定义为在非专利文件5中定义的字符串“propagate”。另一方面,有效性字段的值可以被定义为任意值,原因在于它不直接与本发明相关。(2)VPN客户单元(A)101通过使用专用密钥PRIVATEKEY_A对在(1)中产生的数据签名,来发放证书CERT。(3)VPN客户单元(A)101通过任意手段向VPN客户单元(D)102发送在(2)中发放的证书CERT。(4)VPN客户单元(D)102通过任意手段接收和存储从VPN客户单元(A)101完整发送的证书CERT。
能够以先前参考图6和7描述的过程相同的方式执行如下过程,通过该过程中介装置(S)104:产生用于在VPN客户单元(D)102和VPN网关单元(B)103之间通过IKE等进行的认证的公用密钥KEY_DB;然后向VPN客户单元(D)102发送IP地址IPADDRESS_B、专用IP地址IPADDRESS_C和公用密钥KEY_DB;并且向VPN网关单元(B)103发送分配给VPN客户单元(D)102的IP地址IPADDRESS_D、VPN客户单元(A)101的属性信息ATTRIBUTE_A、和公用密钥KEY_DB,其中通过图6和7中描述的过程中介装置(S)104:产生在VPN客户单元(A)101和VPN网关单元(B)103之间的公用密钥KEY_AB;向VPN客户单元(A)101发送IP地址IPADDRESS_B、专用IP地址IPADDRESS_C和公用密钥KEY_AB;并且向VPN网关单元(B)103发送IP地址IPADDRESS_A、属性信息ATTRIBUTE_A和公用密钥KEY_AB。
因此,也能够以图2中所描述的IPsec隧道模式实现从客户单元(D)102经由VPN网关单元(B)103到通信单元(C)111的远程访问VPN。
如上所述,在这个实施例中,中介装置(S)104存储从VPN网关单元(B)103发送的访问控制列表(ACL),由此存储分配给通信单元(C)111的专用IP地址IPADDRESS_C。这使得中介装置(S)104获悉(learn)分配给VPN网关单元(B)103所知的、连接到局域网(LAN)110的通信单元(C)111的专用IP地址IPADDRESS_C。从而,通过在实现远程访问VPN之前向中介装置(S)104发出一个查询,VPN客户单元(A)101能够获悉以IPsec隧道模式经由VPN网关单元(B)103到通信单元(C)111的远程访问VPN所需的专用IP地址IPADDRESS_C。
并且在这个实施例中,中介装置(S)104产生公用密钥KEY_AB,并向VPN客户单元(A)101和VPN网关单元(B)103二者都发送该公用密钥KEY_AB。结果,VPN客户单元(A)101和VPN网关单元(B)103能够接收公用密钥KEY_AB。从而,VPN客户单元(A)101和VPN网关单元(B)103能够在线共享用于在IKE阶段1中的认证的公用密钥KEY_AB。
并且在这个实施例中,中介装置(S)104对VPN网关单元(B)103进行认证,只有当认证成功时,中介装置(S)104存储从VPN网关单元(B)103发送的通信单元(C)111的专用IP地址IPADDRESS_C。这使得中介装置(S)104存储从非冒充的VPN网关单元(B)103发送的专用IP地址IPADDRESS_C。从而,VPN客户单元(A)101能够获悉从有效VPN网关单元(B)103发送的专用IP地址IPADDRESS_C。
并且,在这个实施例中,中介装置(S)104在认证VPN网关单元(B)103的中介装置(S)104的操作中加密其与VPN网关(B)103之间的通信信道,并且只在认证成功时存储从VPN网关单元(B)103发送的通信单元(C)111的专用IP地址IPADDRESS_C。这保证了中介装置(S)104接收从VPN网关单元(B)103发送的通信单元(C)111的专用IP地址IPADDRESS_C,而没有IP地址的篡改和窃听。从而,VPN客户单元(A)101能够获悉从有效VPN网关单元(B)103发送的通信单元(C)111的有效专用IP地址IPADDRESS_C。此外,VPN网关单元(B)103能够向中介装置(S)104发送通信单元(C)111的有效专用IP地址IPADDRESS_C,而不允许它被不确定数量的公众所知。
并且在这个实施例中,中介装置(S)104:认证VPN客户单元(A)101;并且只在认证成功时,通过向其发出有关查询来从域名服务器(DNS)105获得分配给VPN网关单元(B)103的IP地址IPADDRESS_B,然后产生公用密钥KEY_AB,并向VPN客户单元(A)101发送所有如此获得的IP地址IPADDRESS_B、分配给通信单元(C)111的IP地址IPADDRESS_C、和产生的公用密钥KEY_AB。结果,除非冒充VPN客户单元(A)101,否则允许中介装置(S)104向VPN客户单元(A)101发送所有分配给VPN网关单元(B)103的IP地址IPADDRESS_B、分配给通信单元(C)111的专用IP地址IPADDRESS_C、和公用密钥KEY_AB。从而,只有有效的VPN客户单元(A)101被允许以IPsec隧道模式实现经由VPN网关单元(B)103到通信单元(D)111的远程访问VPN。
并且,在这个实施例中,中介装置(S)104:确定VPN客户单元(A)101是否具有检索分配给VPN网关单元(B)103的IP地址IPADDRESS_B的权利;并且只有在VPN网关单元具有该权利的时候,通过向其发出查询来从域名服务器(DNS)105获得分配给VPN网关单元(B)103的IP地址IPADDRESS_B,然后产生公用密钥KEY_AB,并向VPN客户单元(A)101发送所有如此获得的IP地址IPADDRESS_B、分配给通信单元(C)111的IP地址IPADDRESS_C、和产生的公用密钥KEY_AB。这使得中介装置(S)104只向具有访问通信单元(C)111的权限的VPN网关单元(B)103和VPN客户单元(A)101发送所有分配给网关单元(B)103的IP地址IPADDRESS_B、分配给通信单元(C)111的专用IP地址IPADDRESS_C、和公用密钥KEY_AB。从而,能够保护来自IPsec隧道模式下的远程访问VPN的VPN网关单元(B)103和通信单元(C)111不受来自不确定数量的公众的窃听和篡改。
并且,在这个实施例中,中介装置(S)104加密在中介装置(S)104和VPN客户单元(A)101之间的通信信道。因此,中介装置(S)104能够向VPN客户单元(A)101发送分配给VPN网关单元(B)103的IP地址IPADDRESS_B、分配给通信单元(C)111的专用IP地址IPADDRESS_C和公用密钥KEY_AB,而没有对于它们的篡改和窃听。从而,VPN客户单元(A)101能够以IPsec隧道模式实现经由有效的VPN网关单元(B)103到有效的通信单元(C)111的远程访问VPN。
并且在这个实施例中,中介装置(S)104认证VPN网关单元(B)103,并且只在认证成功时,它向VPN网关单元(B)103发送分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB。结果,除非VPN网关单元(B)103被冒充,否则中介装置(S)104能够向VPN网关单元(B)103发送分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB。这个过程使得VPN客户单元(A)101被允许以IPsec隧道模式经由有效VPN网关单元(B)103实现到通信单元(C)111的远程访问VPN。
并且在这个实施例中,中介装置(S)104在认证VPN网关单元(B)103的中介装置(S)104的操作中加密其与VPN网关(B)103之间的通信信道,并且只在认证成功时发送分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB给VPN网关单元(B)103。这保证了中介装置(S)104向VPN网关单元(B)103发送所有分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB,而没有对于它们的篡改和窃听。从而,VPN网关单元(B)103和通信单元(C)111能够以IPsec隧道模式实现到有效VPN客户单元(A)101的远程访问VPN。
并且在这个实施例中,中介装置(S)104通过SPKI方案认证VPN客户单元(A)101和VPN网关单元(B)103。这允许通过签名验证的身份证明,从而消除了对从VPN客户单元(A)101和VPN网关单元(B)103之一向中介装置(S)104发送公共密钥证书的需要。从而,VPN客户单元(A)101和VPN网关单元(B)103都对中介装置S隐蔽了它们的个人信息。
并且在这个实施例中,VPN客户单元(A)101通过SPKI方案发放证书CERT,并将其发送到VPN客户单元(D)102。由于这使得VPN客户单元(A)101能够向VPN客户单元(D)102委任检索分配给VPN网关单元(B)103的IP地址IPADDRESS_B的权利,所以VPN客户单元(D)102能够检索分配给VPN网关单元(B)103的IP地址IPADDRESS_B。此外,VPN客户单元(D)102能够获得分配给通信单元(C)111的专用IP地址IPADDRESS_C。从而,VPN客户单元(D)102能够以IPsec隧道模式实现经由VPN网关单元(B)103到通信单元(C)111的远程访问VPN。此外,VPN网关单元(B)103能够允许来自VPN客户单元(D)102的远程访问VPN的实现,而不需要将有关VPN客户单元(D)102的信息加入访问控制列表(ACL)。因此,VPN网关单元(B)103减少诸如编辑访问控制列表(ACL)的管理的成本。
顺便说一句,也可以由如下过程以及通过将图6的过程(步骤1102)中的DNS查询改变为包含通过以任意散列算法获得的公共密钥PUBLICKEY_B的散列值HASH_B来达到将公共密钥PUBLICKEY_B的散列值HASH_B和IPADDRESS_B置于图1和2中所示的域名服务器(DNS)105的相关管理下:通过该过程VPN网关单元(B)103产生其公共密钥PUBLICKEY_B的散列值HASH_B,然后将散列值HASH_B及其IP地址IPADDRESS_B加入到域名服务器(DNS)。
并且在图8的访问控制列表(ACL)、图9的数据TAG、图10的操作结果数据DATA和图11的证书CERT中,可以通过利用除了SHA-1算法之外的任意散列算法来计算散列值HASH_A。发放者字段的值可以被定义为公共密钥PUBLICKEY_A,来代替散列值HASH_A。类似的,主体字段的值可以被定义为公共密钥PUBLICKEY_D,来代替散列值HASH_D。即使进行了这些修改,对于通过根据在有关SPKI的非专利文件4和5中定义的归约运算规则进行的操作而进行的访问控制,可以获得与上述相同的结果。将不具体描述:在使用除了SHA-1算法之外的散列算法情况下的证书CERT的格式,以及在将公共密钥指定给发放者字段和主体字段情况下的访问控制列表ACL、数据DATA和证书CERT的格式,原因在于它们在有关SPKI的非专利文件4和5中进行了具体的描述。利用所述修改,图7中所示的过程(步骤1209)能够明显地通过将公共密钥PUBLICKEY_A展示给访问控制列表ACL以从中检索ACL项目的过程来执行。
此外,图2中所示的VPN客户单元(A)101只被分配有全局IP地址IPADDRESS_A,但是通过在VPN客户单元(A)101和VPN网关单元(B)103之间建立IPsec隧道模式时使用专利文件3和非专利文件4中描述的方法,按照来自VPN网关单元(B)103的指令,可以将在局域网LAN中的任意专用IP地址动态地分配给VPN客户单元(A)101。而且,利用专利文件3中描述的这样的方法,按照来自中介装置(S)104的指令,可以将局域网LAN中的任意IP专用地址经由以IPsec传送模式在中介装置(S)104和VPN客户单元(A)101之间建立的通信信道动态地分配给VPN客户单元(A)101。
实施例2
这个实施例还设计了证书CERT,并以0.509型公共密钥证书的形式提供证书CERT。本实施例的基本系统配置与实施例1的相同,但是需要认证站。图12说明这个实施例的一般系统配置。在图12中,VPN客户单元(A)101、VPN网关单元(B)103、认证站(CA)106、域名服务器(DNS)105和中介装置(S)104在IP(因特网协议)控制下分别连接到网络(WAN)100。
图13是用于解释图12中的整个系统的操作的图。粗线指示在IPsec隧道模式下的远程访问VPN,而虚线指示在IKE阶段1中的认证期间向认证站(CA)展示公共密钥证书CERT。在这个实施例中,还用公共密钥PUBLICKEY_A(或者其散列值HASH_A)代表VPN客户单元(A)101的主机名,用IPADDRESS_A代表其IP地址,用公共密钥PUBLICKEY_B(或者其散列值HASH_B)代表VPN网关单元(B)103的主机名,用IPADDRESS_B代表其IP地址,用IPADDRESS_C代表通信单元(C)111的专用IP地址。
分配给VPN客户单元(A)101的IP地址IPADDRESS_A和分配给VPN网关单元(B)103的IP地址IPADDRESS_B在IP网络(WAN)100中都是唯一的,并且它们是用任意手段分配的。VPN网关单元(B)103的公共密钥PUBLICKEY_B(或者其散列值HASH_B)和IP地址IPADDRESS_B彼此唯一相关,并且被置于域名服务器(DNS)105的管理下。分配给通信单元111的专用IP地址IPADDRESS_C只在局域网(LAN)110中是唯一的,并且它是通过诸如DHCP(动态主机配置协议)或IPCP(PPP IP控制协议)的任意手段分配的。
VPN客户单元(A)101、VPN网关单元(B)103和中介装置(S)104每一个都具有用于以IPsec传送模式或IPsec隧道模式加密通信信道的手段。公共密钥PUBLICKEY_A的专用密钥是PRIVATEKEY_A,其被保存在VPN客户单元(A)101中。CERT_A是包含与专用密钥PRIVATEKEY_A成对的公共密钥PUBLICKEY_A的X.509格式的公共密钥证书,并且它是用认证站(CA)的专用密钥PRIVATEKEY_R签名,并被保存在VPN客户单元(A)101中。公共密钥PUBLICKEY_B的专用密钥PRIVATEKEY_B被保存在VPN网关单元(B)103中。CERT_B是包含与专用密钥PRIVATEKEY_B成对的公共密钥PUBLICKEY_B的X.509格式的公共密钥证书,并且它也是用认证站(CA)106的专用密钥PRIVATEKEY_R签名,并被保存在VPN网关单元(B)103中。认证站(CA)106通过PKI(公共密钥基础结构)方案对VPN客户单元(A)101的公共密钥证书CERT_A和VPN网关单元(B)103的公共密钥证书进行认证。访问控制列表(ACL)是这样的数据:VPN客户单元(A)101的专用IP地址IPADDRESS_C和属性信息ATTRIBUTE_A与公共密钥PUBLICKEY_A和公共密钥PUBLICKEY_B的组合相关联,并且该列表具有与图8中所示的相同的结构,并且被保存在VPN网关单元(B)103中。专用密钥PRIVATEKEY_S被保存在中介装置(S)104中。CERT_S是包含与专用密钥PRIVATEKEY_S成对的公共密钥PUBLICKEY_S的X.509格式的公共密钥证书,并且它用认证站(CA)的专用密钥PRIVATEKEY_R签名,并被保存在中介装置(S)104中。
中介装置实质上与实施例1中的中介装置(S)的配置相同,但是不同于后者之处在于:认证/访问授权控制装置1042利用由认证站(CA)106签名的客户单元(A)和网关单元(B)的公共密钥证书CERT_A和CERT_B对客户单元(A)101和网关单元(B)进行认证。从而,不对中介装置(S)104的配置进行描述,并且对于中介装置(S)104,以下将参考图3。
IP地址获取装置1043通过在因特网中常用的、被称为DNS方案的名称解析方案从公共密钥PUBLICKEY_B中检索IP地址IPADDRESS_B。ACL存储装置1041管理与公共密钥PUBLICKEY_B相关的访问控制列表(ACL)。认证/访问授权控制装置1042将包含在公共密钥证书CERT_A中的公共密钥PUBLICKEY_A展示给访问控制列表ACL以搜索它,并输出与公共密钥PUBLICKEY_A和公共密钥PUBLICKEY_B的组合唯一相关的专用IP地址IPADDRESS_C和属性信息ATTRIBUTE_A作为搜索结果。密钥产生装置1044产生用于在VPN客户单元(A)101和VPN网关单元(B)103之间在IKE阶段1进行认证的公用密钥KEY_AB。
接下来,参考图13描述图12实施例的操作的概要。
在加入(entering)(存储)访问控制列表(ACL)时,VPN网关单元(B)103向中介装置(S)104发送公共密钥PUBLICKEY_B(或者其散列值HASH_B)和访问控制列表(ACL)(步骤S21)。中介装置(S)104将访问控制列表(ACL)与公共密钥PUBLICKEY_B(或者其散列值HASH_B)相关地存储为图4A和4B的表。在以IPsec隧道模式实现从VPN客户单元(A)101经由VPN网关单元(B)103到通信单元(C)111的远程访问VPN的情况下,VPN客户单元(A)101向中介装置(S)104发送公共密钥PUBLICKEY_A和公共密钥PUBLICKEY_B(或者其散列值HASH_B),以请求检索VPN网关单元(B)103和通信单元(C)111的IP地址(步骤S22)。
在认证/访问授权控制装置1042通过PKI方案执行对VPN客户单元(A)101的访问授权控制以授予其访问授权的情况下,中介装置(S)104搜索域名服务器(DNS)105并从其检索分配给VPN网关单元(B)103的IP地址IPADDRESS_B(步骤S23)。中介装置(S)104参考访问控制列表(ACL)以从其中获得连接到在VPN网关单元(B)103的管理下的LAN 110的通信单元(C)111的专用IP地址IPADDRESS_C和属性信息ATTRIBUTE_A。此外,中介装置(S)104产生用于在VPN客户单元(A)101和VPN网关单元(B)103之间的认证的公用密钥KEY_AB。并且中介装置(S)104加密在中介装置(S)104和VPN客户单元(A)101之间的通信信道,通过该通信信道向VPN客户单元(A)101发送IP地址IPADDRESS_B、IPADDRESS_C和公用密钥KEY_AB(步骤S24)。而且,中介装置(S)104加密在中介装置(S)104和VPN网关单元(B)103之间的通信信道,通过该通信信道向VPN网关单元(B)103发送IP地址IPADDRESS_A、属性信息ATTRIBUTE_A和公用密钥KEY_AB(步骤S25)。
至此已经描述了图12系统的每个单元和装置的配置及其操作的概要,但是不对在域名服务器(DNS)105中的IP地址管理和名称解析方法、通过IPsec传送模式或隧道模式的通信信道加密方法、产生公用密钥KEY_AB的方法、和对X.509格式的公共密钥证书CERT_A和CERT_B进行认证的方法进行描述,原因在于这些方法为本领域的技术人员所熟知。
下面对实施例2中的访问控制列表(ACL)存储过程和用于获取IP地址、公用密钥的产生以及这些IP地址和公用密钥的发送的过程进行具体描述。
首先参考图14和15,描述一个过程,通过该过程,保存在VPN网关单元(B)103中的访问控制列表(ACL)被存储在中介装置(S)104中。
在图14中,VPN网关单元(B)103和中介装置(S)104以IPsec传送模式相互连接(步骤1301)。通过PKI方案执行在IKE阶段中的认证;VPN网关单元(B)103发送公共密钥证书CERT_B,而中介装置(S)104发送公共密钥证书CERT_S。VPN网关单元(B)103向认证站(CA)106发出一个关于接收的公共密钥证书CERT_S的查询,以便通过PKI方案对公共密钥证书CERT_S的有效性进行认证。类似的,中介装置(S)104向认证站(CA)发出一个关于接收的公共密钥证书CERT_B的查询,以便通过PKI方案对公共密钥证书CERT_B的有效性进行认证。
VPN网关单元(B)103经由在步骤1301加密的通信信道完整地发送访问控制列表(ACL)(步骤1302)。中介装置(S)104向其中加入从VPN网关单元(B)103发送的访问控制列表(ACL)(步骤1303)。之后,VPN网关单元103和中介装置(S)104相互断开(步骤1304)。
图15是具体表示中介装置(S)104向其中加入访问控制列表(ACL)的过程的流程图。首先,中介装置(S)104完整接收从VPN网关单元(B)103发送的访问控制列表(ACL)(步骤1401)。然后中介装置参考在IKE认证中使用的公共密钥证书CERT_B,并获得公共密钥PUBLICKEY_B(步骤1402)。然后中介装置彼此相关地存储如此获得的公共密钥PUBLICKEY_B和在步骤1402中接收的访问控制列表ACL(步骤1403)。
接下来参考图16和17,描述一个过程,通过该过程,中介装置(S)104:产生在VPN客户单元(A)101和VPN网关单元(B)103之间的公用密钥KEY_AB;向VPN客户单元(A)101发送分配给VPN网关单元(B)103的IP地址IPADDRESS_B、专用IP地址IPADDRESS_C和公用密钥KEY_AB;并向VPN网关单元(B)103发送分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属生信息ATTRIBUTE_A和公用密钥KEY_AB。
在图16中,以IPsec传送模式相互连接VPN客户单元(A)101和中介装置(S)104(步骤1501)。通过PKI方案执行在IKE阶段中的认证;VPN客户单元(A)101发送公共密钥证书CERT_A;并且中介装置(S)104发送公共密钥证书CERT_S。VPN客户单元(A)101向认证站(CA)106发出一个关于接收的公共密钥证书CERT_S的查询,以便通过PKI方案对公共密钥证书CERT_S的有效性进行认证。类似的,中介装置(S)104向认证站(CA)发出一个关于接收的公共密钥证书CERT_A的查询,以便通过PKI方案对公共密钥证书CERT_A的有效性进行认证。
VPN客户单元(A)101经由在步骤1501加密的通信信道,发送整个包含VPN网关单元(B)103的公共密钥PUBLICKEY_B的DNS查询QUERY(步骤1502)。中介装置(S)104获取分配给VPN客户单元(A)101的IP地址IPADDRESS_A、分配给VPN网关单元(B)103的IP地址IPADDRESS_B和分配给连接到在VPN网关单元(B)103的管理下的LAN 110的通信单元(C)111的专用IP地址IPADDRESS_C,并产生用于在VPN客户单元(A)101和VPN网关单元(B)103之间通过IKE等进行认证的公用密钥KEY_AB(步骤1503)。图17是具体表示步骤1503的流程图。
在图17中,中介装置(S)104首先完整接收从VPN客户单元(A)101发送的DNS查询(步骤1601)。然后中介装置参考输入到其的DNS查询并从中完整地获取公用密钥KEY_B(步骤1602)。然后中介装置使用公共密钥PUBLICKEY_B以获取与其相关的整个访问控制列表(ACL)(步骤1603)。然后中介装置参考用于步骤1501中的IKE阶段1认证的公共密钥证书CERT_A,并完整地获取公共密钥PUBLICKEY_A(步骤1604)。然后中介装置使用公共密钥PUBLICKEY_A以搜索访问控制列表(ACL),并由此获取专用IP地址IPADDRESS_C(步骤1605)。并且中介装置确定其已经获取了专用IP地址IPADDRESS_C(步骤1606),并且在不能获取任何IP地址的情况下,停止该程序。
当已经获取专用IP地址IPADDRESS_C时,中介装置S向域名服务器(DNS)105展示在步骤1601接收的DNS查询QUERY,以由此获取IP地址IPADDRESS_B(步骤1607)。中介装置获取VPN客户单元A的IP地址IPADDRESS_A(步骤1608)。接着是公用密钥KEY_AB的产生(步骤1609)。
回到图16,中介装置(S)104经由在步骤1501加密的通信信道,向VPN客户单元(A)发送所有在步骤1607获得的IP地址IPADDRESS_B、在步骤1605中获得的专用IP地址IPADDRESS_C和在步骤1609中产生的公用密钥KEY_AB(步骤1504)。接着是相互断开VPN客户单元(A)101和中介装置(S)104(步骤1505)。
然后以IPsec传送模式相互连接VPN网关单元(B)103和中介装置(S)104(步骤1506)。通过PKI方案执行在IKE阶段1中的认证;VPN网关单元(B)103发送公共密钥证书CERT_B,而中介装置(S)104发送公共密钥证书CERT_S。VPN网关单元(B)103向认证站(CA)106发出一个关于接收的公共密钥证书CERT_S的查询,以便通过PKI方案对公共密钥证书CERT_S的有效性进行认证。类似地,中介装置(S)104向认证站(CA)106发出一个关于接收的公共密钥证书CERT_B的查询,以便通过PKI方案对其有效性进行认证。
中介装置(S)104经由在步骤1506加密的通信信道,向VPN网关单元(B)103发送所有在步骤1605中获得的属性信息ATTRIBUTE_A、在步骤1608中获得的IP地址IPADDRESS_A、和在步骤1609中产生的公用密钥KEY_AB(步骤1507)。接着是相互断开VPN网关单元(B)103和中介装置(S)104(步骤1508)。
如上所述,在这个实施例中,通过存储从VPN网关单元(B)103发送给它的、分配给通信单元(C)的专用IP地址IPADDRESS_C,中介装置(S)104能够获悉只被VPN网关单元(B)103所知的、分配给连接到局域网(LAN)的通信单元(C)111的专用IP地址IPADDRESS_C。从而,VPN客户单元(A)101通过在实现远程访问VPN之前向中介装置(S)104发出一个查询,能够获悉以IPsec隧道模式经由VPN网关单元(B)103到通信单元(C)111的远程访问VPN所需的专用IP地址IPADDRESS_C。
并且在这个实施例中,中介装置(S)104产生公用密钥KEY_AB,并向VPN客户单元(A)101和VPN网关单元(B)103二者都发送公用密钥KEY_AB,由此VPN客户单元(A)101和VPN网关单元(B)103被允许接收公用密钥KEY_AB。从而,VPN客户单元(A)101和VPN网关单元(B)103能够在线共享用于在IKE阶段1进行认证的公用密钥KEY_AB。
并且在这个实施例中,中介装置(S)104认证VPN网关单元(B)103,并且只在该认证成功时,中介装置(S)104存储从VPN网关单元(B)103发送的通信单元(C)111的专用IP地址IPADDRESS_C。这使得中介装置(S)104能够单独存储从非冒充VPN网关单元(B)103发送的专用IP地址IPADDRESS_C。从而,VPN客户单元(A)101能够获悉从有效VPN网关单元(B)103发送的专用IP地址IPADDRESS_C。
并且在这个实施例中,中介装置(S)104在中介装置(S)104认证VPN网关单元(B)103的操作中加密在其与VPN网关(B)103之间的通信信道,并且只在该认证成功时存储从VPN网关单元(B)103发送的通信单元(C)111的专用IP地址IPADDRESS_C。这保证中介装置(S)104接收从VPN网关单元(B)103发送的通信单元(C)111的专用IP地址IPADDRESS_C,而没有IP地址的篡改和窃听。从而,VPN客户单元(A)101能够获悉从有效的VPN网关单元(B)103发送的通信单元(C)111的有效专用IP地址IPADDRESS_C。此外,VPN网关单元(B)103能够向中介装置(S)104发送通信单元(C)111的有效专用IP地址IPADDRESS_C,而不允许它被不确定数量的公众所知。
并且在这个实施例中,中介装置(S)104:认证VPN客户单元(A)101;并且只在该认证成功时,通过向域名服务器(DNS)105发出一个查询,从域名服务器(DNS)105获得分配给VPN网关单元(B)103的IP地址IPADDRESS_B;然后产生公用密钥KEY_AB,并向VPN客户单元(A)101发送所有如此获得的IP地址IPADDRESS_B、分配给通信单元(C)111的IP地址IPADDRESS_C和产生的公用密钥KEY_AB。结果,除非VPN客户单元(A)101被冒充,否则允许中介装置(S)104向VPN客户单元(A)101发送所有分配给VPN网关单元(B)103的IP地址IPADDRESS_B、分配给通信单元(C)111的专用IP地址IPADDRESS_C、和公用密钥KEY_AB。从而,只有有效的VPN客户单元(A)101被允许以IPsec隧道模式实现经由VPN网关单元(B)103到通信单元(C)111的远程访问VPN。
并且在这个实施例中,中介装置(S)104:确定VPN客户单元(A)101是否具有检索分配给VPN网关单元(B)103的IP地址IPADDRESS_B的权力;并且只在VPN网关单元具有该权利时,通过向到域名服务器(DNS)105发出一个查询,从域名服务器(DNS)105获得分配给VPN网关单元(B)103的IP地址IPADDRESS_B,然后产生公用密钥KEY_AB,并向VPN客户单元(A)101发送所有如此获得的IP地址IPADDRESS_B、分配给通信单元(C)111的IP地址IPADDRESS_C、和产生的公用密钥KEY_AB。这使得中介装置(S)104只向具有访问通信单元(C)111的权限的VPN网关单元(B)103和VPN客户单元(A)101发送所有分配给网关单元(B)103的IP地址IPADDRESS_B、分配给通信单元(C)111的专用IP地址IPADDRESS_C、和公用密钥KEY_AB。从而,能够保护来自以IPsec隧道模式的远程访问VPN的VPN网关单元(B)103和通信单元(C)111不受不确定数量的公众的窃听和篡改。
并且在这个实施例中,中介单元(S)104加密在中介装置(S)104和VPN客户单元(A)101之间的通信信道。因此,中介装置(S)104能够向VPN客户单元(A)发送分配给VPN网关单元(B)103的IP地址IPADDRESS_B、分配给通信单元(C)111的专用IP地址IPADDRESS_C和公用密钥KEY_AB,而没有篡改和窃听。从而,VPN客户单元(A)101能够以IPsec隧道模式实现经由有效VPN网关单元(B)103到有效通信单元(C)111的远程访问VPN。
并且在这个实施例中,中介装置(S)104认证VPN网关单元(B)103,并且只在该认证成功时,其向VPN网关单元(B)103发送分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB。结果,除非VPN网关单元(B)103被冒充,否则中介装置(S)104能够向VPN网关单元(B)103发送分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB。从而,VPN客户单元(A)101被允许以IPsec隧道模式实现经由有效VPN网关单元(B)103到通信单元(C)111的远程访问VPN。
并且在这个实施例中,中介装置(S)104在认证VPN网关单元(B)103的中介装置(S)104的操作中加密在其与VPN网关(B)103之间的通信信道,并且只在该认证成功时,向VPN网关单元(B)103发送分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB。这保证了中介装置(S)104向VPN网关单元(B)103发送所有分配给VPN客户单元(A)101的IP地址IPADDRESS_A、其属性信息ATTRIBUTE_A、和公用密钥KEY_AB,而没有对它们的篡改和窃听。从而,VPN网关单元(B)103和通信单元(C)111能够以IPsec隧道模式实现到有效VPN客户单元(A)101的远程访问VPN。
并且在这个实施例中,中介装置(S)104通过SPKI方案认证VPN客户单元(A)101和VPN网关单元(B)103。这通过将VPN客户单元(A)101的公共密钥证书CERT_A和VPN网关单元(B)103的公共密钥证书CERT_B发送到中介装置(S)104来允许它们的认证。从而,可以对VPN网关单元(B)103隐蔽关于VPN客户单元(A)101的个人信息。类似的,可以对VPN客户单元(A)101隐蔽关于VPN网关单元(B)103的个人信息。
顺便说一句,在如图12和13所示的这种实施例中在域名服务器(DNS)105中相互关联地管理公共密钥PUBLICKEY_B的散列值HASH_B、任意散列算法、及其IP地址IPADDRESS_B的情况下,VPN网关单元(B)103只需要产生公共密钥PUBLICKEY_B的散列值HASH_B,并将散列值HASH_B和IP地址IPADDRESS_B加入到域名服务器(DNS)105。并且显然的,这也可以通过将在图16过程的步骤1502中的DNS查询改变为包含通过任意散列算法获得的公共密钥PUBLICKEY_B的散列值HASH_B的DNS查询来达到。
并且,可以将通过任意散列算法获得的公共密钥PUBLICKEY_A的散列值HASH_A和IP地址IPADDRESS_C置于访问控制列表的相关管理下,来代替访问控制列表(ACL)中的公共密钥PUBLICKEY_A和IP地址IPADDRESS_C的相关管理。显然地,这一修改可以通过将图14过程的步骤1302改变为如下步骤来进行:其中VPN网关单元(B)103产生公共密钥PUBLICKEY_A的散列值HASH_A,然后将散列值HASH_A和IP地址IPADDRESS_C作为相关数据发送到访问控制列表(ACL)。此外,该修改可以通过将图17过程的步骤1605改变为如下步骤来进行:产生公共密钥PUBLICKEY_A的散列值HASH_A,并将散列值HASH_A展示给访问控制列表ACL以搜索它。
此外,不仅将全局IP地址IPADDRESS_A分配给VPN客户单元(A)101,而且还可以通过如非专利文件4中描述的方法给VPN客户单元(A)101额外分配局域网LAN中的任意专用IP地址。
实施例3
图18说明上述实施例1和2中的VPN客户单元的实际功能配置。给VPN客户单元101提供:DNS查询捕获/代理应答功能部分1011,其从这个单元捕获DNS请求,并向其发出一个代理应答;中介服务VPN客户功能部分1012,其执行本发明的中介服务的VPN客户功能;和隧道协议功能部分1013,用于实现VPN访问。此外,还有:中介服务管理表1014,用于区别普通DNS查询和中介服务,并用于它们的管理;中介服务认证信息表1015,用于与中介服务器进行相互认证;和隧道/协议配置管理信息表1016,用于加密与VPN网关单元的通信。
中介服务管理表1014具有存储在其中的:
a)中介服务的后缀:传送到中介服务的域名(例如*.vpn),
b)中介装置的IP地址或主机名:中介装置的IP地址,
c)与中介装置的认证方案(SPKI方案、PKI方案、询问-响应(challenge-scheme)方案、密钥共享(key-sharing)方案等),
d)用于认证的证书名称(参考相应于认证方案的证书/秘密数据)。
中介服务认证信息表1015具有存储在其中的:
a)用来搜索VPN网关单元的对应于域名的散列值的表,
b)用于由VPN客户单元进行的客户认证的各种证书(SPKI证书、PKI证书、密码、公用密钥等),
c)用于由服务器进行的中介装置的认证的证书(SPKI证书、PKI证书、密码、公用密钥等)。
隧道/协议配置管理表粗略地分为下面两类:
(1)用于建立隧道的配置管理信息;和
(2)关于为虚拟网络接口(Nw.I/F)的建立隧道(set-up tunnel)的配置管理信息。它们的具体例子如下给出。
(1)用于建立隧道的配置管理信息
A)隧道起点的IP地址(来自网络的给VPN客户单元的IP地址)。
B)隧道终点的IP地址(来自网络的给VPN网关单元的IP地址)。
C)用于隧道的协议(IPsec隧道模式、PPP over IPsec等)。
D)认证方案(SPKI方案、PKI方案、询问-响应方案、密钥共享方案等)
E)用于认证的证书的名称等(参考相应于认证方案的证书/秘密数据)。
(2)关于作为网络接口(Nw.I/F)的建立隧道的配置管理信息
a)虚拟Nw.I/F的类型(虚拟PPP、虚拟以太网等)
b)虚拟Nw.I/F的IP地址
c)网关、DNS服务器、WINS服务器等的IP地址
d)关于到虚拟Nw.I/F的路由的信息
从中介装置提供的上述信息是:
(1)中的信息B)。另外,还可以提供了信息C)、D)和E)。
(2)中的信息B)、C)和D),其不是从VPN网关单元动态邮寄的(这些信息可以从中介装置和VPN网关单元的任何一个提供)。
如下执行这个实施例中的中介处理。
首先,在通信之前,应用发放DNS查询请求,其用于查询提供想要访问的VPN服务的VPN网关单元的IP地址(步骤S1)。
一旦通过DNS查询捕获/代理应答功能部分1011捕获这个请求,其参考中介服务管理表1014以确定该请求是否涉及到中介服务。如果该请求与中介服务无关,则它被看作是一个普通的DNS请求,然后为DNS服务器105执行普通DNS处理以获得来自其应答的IP地址,并且使用它来进行普通连接处理(步骤S2)。
如果DNS查询请求涉及中介服务,它被传送到中介服务VPN客户功能部分(步骤S3)。
中介服务VPN客户功能部分1012根据中介服务管理表1014的内容,选择预定中介服务器(步骤S4),并使用中介服务认证信息表1015执行相互认证(步骤S5)。
然后中介服务VPN客户功能部分参考上述实施例,向中介装置104发送该中介请求(步骤S6),并获得其应答(步骤S7)。基于这个信息,中介服务VPN客户功能部分更新诸如在隧道/协议配置管理表1016中的VPN网关地址和公用密钥的信息(步骤S8),并且如果预定隧道还没有建立,则其发送隧道建立请求到隧道/协议部分1013(步骤S9)。
隧道/协议部分1013参考隧道/协议配置管理表1016以识别在隧道另一侧的VPN网关单元103(步骤S10),通过利用本中介功能设置的公用密钥建立用于与VPN网关单元103的加密通信的隧道(步骤S11)。
一旦隧道正常建立,可以通过利用在专利文件4、非专利文件1、非专利文件2、或非专利文件3中描述的方法,从VPN网关单元103动态地传递部分配置管理信息,诸如VPN客户单元101的专用IP地址的、内部DNS和关于路由的信息。在这种情况下,隧道/协议部分使用这些信息更新隧道/协议配置管理表1016(步骤S12),并向中介服务VPN客户功能部分1012发送隧道建立完成的应答(步骤S13)。
当正常完成VPN隧道的建立时,中介服务VPN客户功能部分1012向DNS查询捕获/代理应答功能部分1011发送作为对DNS查询的应答的、在步骤S7获得的通信单元的专用IP地址(步骤S14)。这个应答被原封不动地发送给发放该DNS查询的应用(步骤S15)。该应用经由设置的VPN隧道进行VPN通信(步骤S16)。
实施例4
图19说明了体现本发明的整个系统配置的例子。在这个实施例中,假设:VPN客户单元101和102被分别用于人事部门和会计部门,并且它们分别具有公共密钥散列值A1和A2。假设:置于VPN网关单元103的管理下的VPN是人事部门VLAN 121和会计部门VLAN 122,并且VPN网关单元103通过IEEE 802.IQ VLAN标记复用,经由以太网开关123连接到VLAN 121和122。此外,假设:已经预先向中介装置104上载了用于VPN网关单元103的图20中所示的访问控制列表(ACL)。在这个ACL中显示:具有散列值为HASH_A1的公共密钥的VPN客户单元101具有属性信息“(VLAN人事部门VLAN)”,反之具有散列值为HASH_A2的公共密钥的VPN客户102具有属性信息“(VLAN会计部门VLAN)”。
图21说明在这个实施例中的VPN网关单元103的功能配置。给VPN网关单元102提供有:中介服务VPN网关功能部分1031,其执行与中介装置104的通信及其处理;隧道/协议部分1032,其终止来自多个VPN客户单元的隧道;过滤/VLAN复用功能部分1033,其存储从VPN中的预定VLAN中的隧道提取的数据分组,并滤出引发安全性关注的输入到隧道的分组和从隧道输出的分组。而且,还提供有:具有与中介装置104连接所需的信息的中介服务管理表1034;用于与中介装置104进行认证的中介服务认证信息表1035;持有关于到VPN客户单元101和102的隧道的配置管理信息的隧道/协议配置管理表1036;持有关于在VPN网关单元103的管理下的每个VLAN的配置管理信息的VLAN配置管理表1037。
在中介服务管理表1034中持有对于每个要使用的中介装置的下列信息:
a)中介装置的IP地址或主机名:中介装置的IP地址。
b)与中介装置的认证方案(SPKI方案、PKI方案、询问-应答方案、密钥共享方案等)。
c)用于认证的证书名称等(参考相应于认证方案的证书/秘密数据)。
在中介服务认证信息表103中持有下列这些信息:
a)用于由VPN客户单元进行的客户认证的各种证书(SPKI证书、PKI证书、密码、公用密钥等),
b)用于由服务器进行的中介装置的认证的证书(SPKI证书、PKI证书、密码、公用密钥等)
在隧道/协议配置管理表中持有每个到VPN客户单元的隧道的下列信息:
a)隧道起点的IP地址(来自网络的给VPN客户单元的IP地址)。
b)隧道的协议(IPsec隧道模式、PPP over IPsec等)。
c)认证/加密方案(SPKI1方案、PKI方案、询问-应答方案、密钥共享方案等)。作为中介服务结果的、建立的直到VPN网关单元的隧道使用密钥共享方案。
d)用于认证的证书名称等(参考相应于认证方案的证书/秘密数据)。
e)从中介服务邮寄的公用密钥和属性信息。
f)与隧道连接的VLAN名。“人事部门VLAN”或“会计部门VLAN”。
g)递送到VPN客户单元的专用IP地址(从在VLAN配置管理表中的地址d)中选择的)。
在VLAN配置管理表1037中持有每个VLAN的下列信息:
a)VLAN名(“人事部门VLAN”或“会计部门VLAN”)。
b)VLAN的网络配置管理信息:
i)网关、DNS服务器、WINS服务器等的IP地址。
ii)要邮寄给VPN客户单元的路由信息。
c)分组过滤条件(其限制可访问的服务)
d)可递送到VPN客户单元的专用IP地址的范围。
VPN网关单元103通过利用中介服务管理信息表1034和中介服务认证信息表1035,给中介装置104提供安全通信信道,并发放VPN访问中介请求(步骤S1-S3)。例如,一旦认证VPN客户单元101,中介装置104向VPN网关单元103发送VPN访问中介通知(步骤S4)。通知信息(VPN客户单元101的IP地址IPADDRESS_A1、公用密钥KEY_AB、属性信息ATTRIBUTE_A1等)被存储在隧道/协议配置管理表1036中。基于属性信息确定要被包含的VLAN 121,并且VLAN名“人事部门VLAN”也被存储在这个表中(步骤S5)。在这种情形下,通知VPN客户单元101:它具有如图20所示的属性信息(VLAN人事部门)。从而,确定包含从VPN客户单元101起的隧道的VLAN是“人事部门VLAN”。
当发放来自VPN客户单元101的VPN隧道建立请求时(步骤S6),VPN网关单元参考隧道/协议配置管理表1036(步骤S7),然后执行预定的认证/加密,之后它参考相应VLAN 121的VLAN配置管理表1037(步骤S8),然后选择可递送到VPN客户单元101的一个未使用的专用IP地址,并将其与网络配置管理信息(网关、DNS、WINS服务器等的地址)一起邮寄给VPN客户单元101。在这种情形下,从人事部门VLAN的地址表递送VPN客户单元101的专用IP地址。而且,从人事部门VLAN邮寄关于网关、DNS等的网络配置管理信息。
当以VPN为目的地的数据分组通过上述从VPN客户单元101起的隧道到达VPN网关单元时,基于其中包含隧道的VLAN的过滤条件对其进行过滤,其后将其传送到VLAN(步骤S10)。此外,利用属性信息可以另外设置对每个隧道的过滤。对于来自VPN客户单元102的请求也可以进行类似的处理。
在断开隧道的情况下,从隧道/协议配置管理表1036中去除相应项目,并将分配给VPN客户单元的专用IP地址回收到相关VLAN的地址池。
如上所述,根据本发明,中介装置存储如下信息:其用于通过诸如IPsec或L2TP的任意隧道协议在连接到IP网络的VPN客户单元和VPN网关单元的每一个和连接到在VPN网关单元的管理下的局域网的任意通信单元之间建立远程访问VPN。这个信息包含分配给通信单元的专用IP地址。
在从VPN客户单元接收用于检索分配给VPN网关单元的IP地址的请求时,中介装置验证VPN客户单元是否具有检索分配给VPN网关单元的IP地址的权利。并且只在VPN客户单元具有该权利时,中介装置参考访问控制列表,并从其获取分配给连接到在VPN网关单元的管理下的局域网的通信单元的专用IP地址和VPN客户单元的属性信息,然后搜索域名服务器以获得分配给VPN网关单元的IP地址,并产生用于在VPN客户单元和VPN网关单元之间通过IKE等进行认证的公用密钥。然后中介装置加密其与VPN客户单元之间的通信信道,并在加密的通信信道上向VPN客户单元发送分配给VPN网关单元的IP地址、分配给通信单元的专用IP地址、和公用密钥。此外,中介装置加密其与VPN网关单元之间的通信信道,并在加密的通信信道上向VPN网关单元发送分配给VPN客户单元的IP地址、产生的公用密钥、和关于客户单元的属性信息。顺便说一句,在VPN网关单元的DNS查询中的主机名被看作经由网关单元提供的VPN入口服务(portal service),而不是物理的VPN网关单元。从具有专用IP地址的通信单元提供这个服务。通过向一个VPN网关单元给出多个主机名,并将它们加入到DNS,能够链接多个具有不同专用IP地址的通信单元。例如,当特定消费者(customer-specific)的通信单元和内部(in-house)的通信单元都在VPN网关单元的管理下的VPN中时,通过给它们不同的主机名以及通过不同的访问控制列表管理它们,特定消费者的访问单元和内部的访问单元可以分别连接到对应的通信单元。
并且中介装置利用SPKI方案对VPN客户单元和VPN网关单元进行认证。并且VPN客户单元利用SPKI方案发放证书。此外,中介装置还使得能够利用PKI方案进行PVN客户单元和VPN网关单元的认证。
此外,中介装置还使得能够利用诸如公共密钥、FQDN(Fully QualifiedDistinguished Name,完全合格的特异名)、GUID(Global Unique Identifier,全球唯一标识符)、MAC地址、SPKI(简单公共密钥基础结构)、本地名、X.500特异名等的任意名称格式,对VPN客户单元、VPN网关单元和通信单元进行标识。这允许利用IPsec、L2TP或任意隧道协议和PKI、SPKI、密码或任意认证方案的组合来实现远程访问VPN。
不必说,能够通过对上述实施例1至4的系统中的每个单元或装置的部分或全部的处理功能进行编程,以及通过由计算机执行该程序来实施本发明,或者能够对参考实施例1和2描述的过程进行编程并由计算机执行该程序来实施本发明。用于由计算机实施处理功能的程序,或者用于由计算机执行处理功能的程序,能够通过将该程序记录在诸如FD、MO、ROM、存储卡、CD、DVD、可换式磁盘等的计算机可读记录介质上来进行保存和分发;而且,该程序能够通过因特网或类似网络来分发。
Claims (15)
1.一种在系统中的远程访问VPN中介方法,在所述系统中:以下被称为VPN的虚拟专用网络、客户单元和VPN网关单元连接到IP网络;通信单元连接到在VPN网关单元的管理下的局域网;以及利用隧道协议实现在连接到所述IP网络的VPN客户单元和VPN网关单元的任意一个和连接到在VPN网关单元的管理下的局域网的通信单元的任意一个之间的远程访问VPN;所述方法包括步骤:
(a)在所述IP网络上从所述VPN网关单元向中介装置发送包含指示分配给所述通信单元的专用IP地址的信息的访问控制列表;
(b)对应于所述VPN网关单元由所述中介装置存储所述访问控制列表;
(c)响应于来自所述VPN客户单元的请求检索对应于所述VPN网关单元的IP专用地址,从所述访问控制列表中获取相应通信单元的专用IP地址,向所述VPN客户单元发送获取的专用IP地址,向所述VPN网关单元发送所述VPN客户单元的IP地址,产生用于在所述VPN客户单元和所述网关单元之间建立认证的加密隧道的相互认证信息,并发送所述相互认证信息到所述VPN客户单元和所述网关单元二者;和
(d)通过利用所述相互认证信息建立在所述VPN客户单元和所述网关单元之间的所述认证的加密隧道,并通过利用所述通信单元的专用IP地址通过所述加密隧道实现远程访问。
2.如权利要求1所述的远程访问VPN中介方法,其中所述访问控制列表包含关于所述VPN客户单元的属性信息。
3.如权利要求2所述的远程访问VPN中介方法,其中所述步骤(a)包括加密在所述中介装置和所述VPN网关单元或具有其管理权限的VPN网关管理单元之间的通信信道,并从所述VPN网关单元向所述中介装置发送所述访问控制列表的步骤。
4.如权利要求2或3所述的远程访问VPN中介方法,其中所述步骤(b)包括步骤:由所述中介装置认证所述VPN网关单元;并且当该认证成功时,存储从所述VPN网关单元发送的用于所述VPN客户单元的访问控制列表。
5.如权利要求2或3所述的远程访问VPN中介方法,其中所述步骤(c)包括步骤:
(c-0)在从所述VPN客户单元接收用于检索分配给所述VPN网关单元的IP地址的请求时,验证所述VPN客户单元是否具有访问所述VPN网关单元的权限;并且只在所述VPN客户单元具有所述访问权限时,
(c-1)参考访问控制列表,并获取分配给所述通信单元的专用IP地址;
(c-2)搜索域名服务器以获取分配给所述VPN网关单元的IP地址;
(c-3)加密在所述中介装置和所述VPN客户单元之间的通信信道,并向所述VPN客户单元发送所述VPN网关单元的IP地址和所述通信单元的专用IP地址;
(c-4)加密在所述中介装置和所述VPN网关单元之间的通信信道,并向所述VPN网关单元发送所述VPN网关单元的全局IP地址和在所述访问控制列表中描述的关于所述VPN客户单元的所述属性信息;
所述步骤(d)包括步骤:
(d-1)产生用于在所述VPN客户单元和所述VPN网关单元之间进行认证的所述相互认证信息;
(d-2)加密在所述中介装置和所述VPN客户单元之间的通信信道,并向所述VPN客户单元发送在所述中介装置和所述VPN网关单元之间进行相互认证所需的信息;和
(d-3)加密在所述中介装置和所述VPN网关单元之间的通信信道,并向所述VPN网关单元发送在所述中介装置和所述VPN客户单元之间进行相互认证所需的信息。
6.如权利要求5所述的远程访问VPN中介方法,包括步骤:
其中,在所述VPN客户单元和所述VPN网关单元之间建立加密隧道时,所述VPN网关单元至少执行下列功能之一:基于从所述中介装置发送的关于所述VPN客户单元的所述属性信息,确定要给所述VPN客户单元的专用IP地址并将确定的专用IP地址给所述VPN客户单元的功能;基于关于所述VPN客户单元的所述属性信息、网关地址、内部DNS地址、WINS服务器地址等,确定要包含的VLAN的功能;基于所述属性信息,改变所述VPN网关单元的分组过滤设置的功能;以及
其中当在所述VPN网关单元和所述VPN客户单元之间建立的隧道断开,或在预定时间段内没有经由所述隧道进行通信时,所述VPN网关单元执行隧道清除处理,用于返回分配给所述VPN客户单元的专用IP地址并恢复用于有关的所述VPN客户单元的所述VPN网关单元的分组过滤的设置的处理。
7.如权利要求2或3所述的远程访问VPN中介方法,其中:所述步骤(c)包括:其中所述VPN客户单元捕获从单元内应用或另一个VPN客户单元传送的DNS查询,然后将所述查询的源地址和内容与过滤条件进行核对,并且如果其与条件匹配,将所述查询转换为到所述中介装置的查询;所述步骤(d)包括基于对所述查询的应答,设置/更新隧道协议配置管理信息的步骤;以及所述步骤(e)包括按要求初始化隧道,将由所述中介单元指定的通信单元的专用IP地址作为所述DNS查询的结果传给查询源的应用的步骤。
8.如权利要求5所述的远程访问VPN中介方法,其中所述步骤(c)其中所述VPN客户单元利用SPKI方案发放证书,并且具有所接收的所述证书的另一个VPN客户单元向所述中介装置发送用于检索分配给所述VPN网关单元的IP地址的请求。
9.一种建立在IP网络上以在系统中实现远程访问VPN的远程访问VPN中介装置,在所述系统中:VPN客户单元和VPN网关单元被连接到IP网络;通信单元被连接到在VPN网关单元的管理下的局域网;以及利用隧道协议在连接到所述IP网络的所述VPN客户单元和所述VPN网关单元的任意一个和连接到在所述VPN网关单元的管理下的所述局域网的所述通信单元的任意一个之间实现远程访问VPN;所述装置包括:
ACL存储装置,用于存储从所述VPN网关单元发送的且包含指示分配给所述通信单元的专用IP地址的信息的、以下被称为ACL的访问控制列表;
认证/访问授权控制装置,用于认证所述VPN客户单元和所述网关单元,并用于执行访问授权控制;
IP地址获取装置,用于参考所述访问控制列表以获取分配给所述通信单元的专用IP地址,并且用于搜索域名服务器以获取分配给所述VPN网关单元的IP地址;
认证信息产生装置,用于产生相互认证信息,其用于在所述VPN客户单元和所述VPN网关单元之间建立加密隧道;和
通信装置,用于向所述VPN客户单元发送所述VPN网关单元的IP地址、所述通信单元的专用IP地址和所述相互认证信息,并且用于向所述VPN网关单元发送所述VPN客户单元的IP地址和所述相互认证信息。
10.如权利要求9所述的远程访问VPN中介装置,其中所述通信装置包括加密装置,用于加密在所述中介装置和所述VPN客户单元之间的通信,以及在所述中介装置和所述VPN网关单元之间的通信。
11.如权利要求9所述的远程访问VPN中介装置,其中所述认证/访问授权控制装置:认证所述VPN客户单元;并且只在认证成功时,使所述IP地址获取装置向域名服务器查询关于分配给所述网关单元的IP地址,并获取所述IP地址;使所述相互认证信息产生装置产生所述相互认证信息;并使所述通信装置向所述VPN客户单元发送获取的IP地址、分配给所述通信装置的专用IP地址、和所述产生的相互认证信息。
12.如权利要求9所述的远程访问VPN中介装置,其中所述认证/访问授权控制装置:确定所述VPN客户单元是否具有检索分配给所述VPN网关单元的IP地址的权限;并且只在VPN网关单元具有所述权限时,使所述IP地址获取装置向域名服务器查询关于分配给所述VPN网关单元的IP地址,并获取所述IP地址;使所述相互认证信息产生装置产生所述相互认证信息;并使所述通信装置向所述VPN客户单元发送获取的IP地址、分配给所述通信单元的专用IP地址、和所述产生的相互认证信息。
13.如权利要求11或12所述的远程访问VPN中介装置,其中所述认证/访问授权控制装置:认证所述VPN网关单元;并且只在认证成功时,使所述通信装置向所述VPN网关单元发送分配给所述VPN客户单元的IP地址和所述相互认证信息。
14.如权利要求9到13的任何一个所述的远程访问VPN中介装置,其中所述认证/访问授权控制装置利用SPKI(简单公共密钥基础结构)方案认证所述VPN客户单元和所述VPN网关单元,和/或执行访问授权控制。
15.如权利要求9到13的任何一个所述的远程访问VPN中介装置,其中所述认证/访问授权控制装置利用PKI(公共密钥基础结构)方案认证所述VPN客户单元和所述VPN网关单元。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003271202 | 2003-07-04 | ||
| JP271202/2003 | 2003-07-04 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1701573A true CN1701573A (zh) | 2005-11-23 |
| CN100456739C CN100456739C (zh) | 2009-01-28 |
Family
ID=33562643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800008120A Expired - Fee Related CN100456739C (zh) | 2003-07-04 | 2004-07-02 | 远程访问虚拟专用网络中介方法和中介装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7665132B2 (zh) |
| EP (1) | EP1643691B1 (zh) |
| JP (1) | JP3912609B2 (zh) |
| CN (1) | CN100456739C (zh) |
| DE (1) | DE602004010519T2 (zh) |
| WO (1) | WO2005004418A1 (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026598B (zh) * | 2006-01-18 | 2010-05-26 | 三星电子株式会社 | 提供远程用户界面服务的设备和方法 |
| CN101304388B (zh) * | 2008-06-20 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 解决ip地址冲突的方法、装置及系统 |
| CN101958822A (zh) * | 2009-07-17 | 2011-01-26 | 株式会社日立制作所 | 加密通信系统及网关装置 |
| CN101005454B (zh) * | 2006-01-04 | 2011-04-20 | 阿尔卡特朗讯公司 | 用于优先化通过因特网接入网络的业务的系统和方法 |
| CN103036867A (zh) * | 2011-09-28 | 2013-04-10 | 三星Sds株式会社 | 基于相互认证的虚拟专用网络服务设备和方法 |
| CN101277306B (zh) * | 2008-05-14 | 2013-04-24 | 成都市华为赛门铁克科技有限公司 | 一种处理dns业务的方法、系统及设备 |
| CN103188266A (zh) * | 2013-03-26 | 2013-07-03 | 汉柏科技有限公司 | 一种基于ezvpn的地址分配回收动态控制方法和系统 |
| CN103326876A (zh) * | 2012-03-22 | 2013-09-25 | 纬创资通股份有限公司 | 服务器系统及其管理方法 |
| CN105144642A (zh) * | 2013-03-18 | 2015-12-09 | 雅马哈株式会社 | Dns服务器装置、网络机器、通信系统及通信方法 |
| CN105493453A (zh) * | 2014-12-30 | 2016-04-13 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
| CN103326876B (zh) * | 2012-03-22 | 2016-11-30 | 纬创资通股份有限公司 | 服务器系统及其管理方法 |
| CN113347071A (zh) * | 2021-05-20 | 2021-09-03 | 杭州快越科技有限公司 | 动态虚拟专用网络vpn建立方法、装置及设备 |
| CN113810195A (zh) * | 2021-06-04 | 2021-12-17 | 国网山东省电力公司 | 一种电力培训仿真考核数据的安全传输方法及装置 |
Families Citing this family (106)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8473620B2 (en) * | 2003-04-14 | 2013-06-25 | Riverbed Technology, Inc. | Interception of a cloud-based communication connection |
| JP4208781B2 (ja) * | 2004-07-21 | 2009-01-14 | キヤノン株式会社 | 情報処理装置及びその制御方法 |
| US7890992B2 (en) * | 2004-08-19 | 2011-02-15 | Cisco Technology, Inc. | Method and apparatus for selection of authentication servers based on the authentication mechanisms in supplicant attempts to access network resources |
| US20090043765A1 (en) * | 2004-08-20 | 2009-02-12 | Rhoderick John Kennedy Pugh | Server authentication |
| US9232338B1 (en) | 2004-09-09 | 2016-01-05 | At&T Intellectual Property Ii, L.P. | Server-paid internet access service |
| US20080037557A1 (en) * | 2004-10-19 | 2008-02-14 | Nec Corporation | Vpn Getaway Device and Hosting System |
| US8261341B2 (en) * | 2005-01-27 | 2012-09-04 | Nokia Corporation | UPnP VPN gateway configuration service |
| US20080275992A1 (en) * | 2005-02-09 | 2008-11-06 | Access Systems Americas, Inc. | System and method of managing connections between a computing system and an available network using a connection manager |
| US7801039B2 (en) * | 2005-02-14 | 2010-09-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and nodes for performing bridging of data traffic over an access domain |
| US7849303B2 (en) * | 2005-02-22 | 2010-12-07 | Microsoft Corporation | Peer-to-peer network information storage |
| US8365301B2 (en) * | 2005-02-22 | 2013-01-29 | Microsoft Corporation | Peer-to-peer network communication |
| US20060190715A1 (en) * | 2005-02-22 | 2006-08-24 | Microsoft Corporation | Peer-to-peer network information retrieval |
| CA2605304C (en) * | 2005-03-29 | 2011-10-04 | Research In Motion Limited | Methods and apparatus for use in establishing session initiation protocol communications for virtual private networking |
| US7583662B1 (en) * | 2005-04-12 | 2009-09-01 | Tp Lab, Inc. | Voice virtual private network |
| JP4760122B2 (ja) * | 2005-05-18 | 2011-08-31 | 日本電気株式会社 | 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム |
| US8943304B2 (en) | 2006-08-03 | 2015-01-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
| US9621666B2 (en) | 2005-05-26 | 2017-04-11 | Citrix Systems, Inc. | Systems and methods for enhanced delta compression |
| US9407608B2 (en) * | 2005-05-26 | 2016-08-02 | Citrix Systems, Inc. | Systems and methods for enhanced client side policy |
| US9692725B2 (en) | 2005-05-26 | 2017-06-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
| JP5050849B2 (ja) * | 2005-06-07 | 2012-10-17 | 日本電気株式会社 | リモートアクセスシステム及びそのipアドレス割当方法 |
| US8613071B2 (en) * | 2005-08-10 | 2013-12-17 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
| US8438628B2 (en) * | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
| US8478986B2 (en) * | 2005-08-10 | 2013-07-02 | Riverbed Technology, Inc. | Reducing latency of split-terminated secure communication protocol sessions |
| US20090083537A1 (en) * | 2005-08-10 | 2009-03-26 | Riverbed Technology, Inc. | Server configuration selection for ssl interception |
| JP4648148B2 (ja) * | 2005-09-30 | 2011-03-09 | 富士通株式会社 | 接続支援装置 |
| US7724703B2 (en) | 2005-10-13 | 2010-05-25 | Belden, Inc. | System and method for wireless network monitoring |
| JP2007116281A (ja) * | 2005-10-18 | 2007-05-10 | Dainippon Printing Co Ltd | Dhcp運用システム、dhcp運用方法およびdhcpサーバ |
| US7590761B2 (en) * | 2005-12-06 | 2009-09-15 | Avaya Inc | Secure gateway with alarm manager and support for inbound federated identity |
| US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| CN100454921C (zh) * | 2006-03-29 | 2009-01-21 | 华为技术有限公司 | 一种数字版权保护方法及系统 |
| US7558266B2 (en) * | 2006-05-03 | 2009-07-07 | Trapeze Networks, Inc. | System and method for restricting network access using forwarding databases |
| US8966018B2 (en) | 2006-05-19 | 2015-02-24 | Trapeze Networks, Inc. | Automated network device configuration and network deployment |
| US8775602B2 (en) * | 2006-06-01 | 2014-07-08 | Avaya Inc. | Alarm-driven access control in an enterprise network |
| US8296839B2 (en) * | 2006-06-06 | 2012-10-23 | The Mitre Corporation | VPN discovery server |
| US9258702B2 (en) * | 2006-06-09 | 2016-02-09 | Trapeze Networks, Inc. | AP-local dynamic switching |
| US8818322B2 (en) | 2006-06-09 | 2014-08-26 | Trapeze Networks, Inc. | Untethered access point mesh system and method |
| US8281387B2 (en) * | 2006-06-30 | 2012-10-02 | Intel Corporation | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
| JP4775154B2 (ja) * | 2006-07-25 | 2011-09-21 | 日本電気株式会社 | 通信システム、端末装置、プログラム、及び、通信方法 |
| JP4763560B2 (ja) | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
| US8218435B2 (en) * | 2006-09-26 | 2012-07-10 | Avaya Inc. | Resource identifier based access control in an enterprise network |
| CN101682519A (zh) * | 2007-05-04 | 2010-03-24 | 阿尔卡特朗讯 | 用于对诸如推送邮件之类的服务进行计费的方法 |
| US20080313456A1 (en) * | 2007-06-12 | 2008-12-18 | Andrew John Menadue | Apparatus and method for irrepudiable token exchange |
| NO327765B1 (no) * | 2007-08-29 | 2009-09-21 | Message Man As | Fremgangsmate og et arrangement relatert til sikkerhetsmekanismer for meldingsbaserte elektroniske transaksjoner |
| JP2009086802A (ja) * | 2007-09-28 | 2009-04-23 | Hitachi Ltd | 認証仲介方法およびシステム |
| US8438618B2 (en) * | 2007-12-21 | 2013-05-07 | Intel Corporation | Provisioning active management technology (AMT) in computer systems |
| US7930732B2 (en) * | 2008-02-22 | 2011-04-19 | Novell, Inc. | Techniques for secure transparent switching between modes of a virtual private network (VPN) |
| US20090228576A1 (en) * | 2008-03-06 | 2009-09-10 | Rosenan Avner | System and method for testing software |
| US8291509B2 (en) * | 2008-10-17 | 2012-10-16 | Sap Ag | Searchable encryption for outsourcing data analytics |
| US9425960B2 (en) * | 2008-10-17 | 2016-08-23 | Sap Se | Searchable encryption for outsourcing data analytics |
| WO2010053790A1 (en) * | 2008-10-29 | 2010-05-14 | Dolby Laboratories Licensing Corporation | Internetworking domain and key system |
| KR101358843B1 (ko) * | 2008-11-17 | 2014-02-05 | 퀄컴 인코포레이티드 | 로컬 네트워크에 대한 원격 액세스 |
| KR101358897B1 (ko) * | 2008-11-17 | 2014-02-05 | 퀄컴 인코포레이티드 | 보안 게이트웨이를 통한 로컬 네트워크에 대한 원격 액세스 |
| JP5212913B2 (ja) * | 2009-03-02 | 2013-06-19 | 日本電気株式会社 | Vpn接続システム、及びvpn接続方法 |
| US8707043B2 (en) * | 2009-03-03 | 2014-04-22 | Riverbed Technology, Inc. | Split termination of secure communication sessions with mutual certificate-based authentication |
| KR20100100134A (ko) * | 2009-03-05 | 2010-09-15 | 한국전자통신연구원 | 네트워크 로봇 서비스를 위한 보안 서비스 방법 및 장치 |
| JP5133932B2 (ja) * | 2009-04-14 | 2013-01-30 | 日本電信電話株式会社 | Vpn接続制御システム、認証サーバ |
| US8782086B2 (en) * | 2009-08-27 | 2014-07-15 | Cleversafe, Inc. | Updating dispersed storage network access control information |
| JP5476866B2 (ja) * | 2009-08-28 | 2014-04-23 | コニカミノルタ株式会社 | 通信装置、通信方法、通信用プログラムおよび通信システム |
| US8700892B2 (en) | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| TW201206129A (en) * | 2010-07-20 | 2012-02-01 | Gemtek Technology Co Ltd | Virtual private network system and network device thereof |
| US9094400B2 (en) * | 2011-04-27 | 2015-07-28 | International Business Machines Corporation | Authentication in virtual private networks |
| US9100398B2 (en) | 2011-04-27 | 2015-08-04 | International Business Machines Corporation | Enhancing directory service authentication and authorization using contextual information |
| US8793783B2 (en) * | 2011-12-20 | 2014-07-29 | International Business Machines Corporation | Dynamic allocation of network security credentials for alert notification recipients |
| WO2013125414A1 (ja) * | 2012-02-23 | 2013-08-29 | 日本電気株式会社 | 相互認証システム、相互認証サーバ、相互認証方法および相互認証プログラム |
| WO2013166696A1 (zh) * | 2012-05-11 | 2013-11-14 | 华为技术有限公司 | 数据传输方法、系统及装置 |
| US9071928B2 (en) * | 2012-09-11 | 2015-06-30 | Cellco Partnership | Trusted mode location service for mobile device access to private network based applications |
| US9596271B2 (en) * | 2012-10-10 | 2017-03-14 | International Business Machines Corporation | Dynamic virtual private network |
| CN103905193A (zh) * | 2012-12-26 | 2014-07-02 | 北京合众思壮科技股份有限公司 | 信息交互方法、终端、安全信息接入系统及信息交互系统 |
| US10951688B2 (en) | 2013-02-27 | 2021-03-16 | Pavlov Media, Inc. | Delegated services platform system and method |
| US10264090B2 (en) | 2013-02-27 | 2019-04-16 | Pavlov Media, Inc. | Geographical data storage assignment based on ontological relevancy |
| US9781070B2 (en) * | 2013-02-27 | 2017-10-03 | Pavlov Media, Inc. | Resolver-based data storage and retrieval system and method |
| CN103209107B (zh) * | 2013-04-08 | 2016-08-17 | 汉柏科技有限公司 | 一种实现用户访问控制的方法 |
| US8819127B1 (en) * | 2013-04-12 | 2014-08-26 | Fmr Llc | Ensemble computing |
| WO2015003348A1 (zh) | 2013-07-10 | 2015-01-15 | 华为技术有限公司 | Gre隧道实现方法、接入点和网关 |
| CN106453027B (zh) * | 2013-07-12 | 2019-08-20 | 华为技术有限公司 | Gre隧道实现方法、接入设备和汇聚网关 |
| WO2015008769A1 (ja) * | 2013-07-18 | 2015-01-22 | 日本電信電話株式会社 | ディレクトリサービス装置、クライアント装置、鍵クラウドシステム、それらの方法、およびプログラム |
| JP6149741B2 (ja) * | 2014-01-24 | 2017-06-21 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
| US9807004B2 (en) * | 2014-04-01 | 2017-10-31 | Google Inc. | System and method for software defined routing of traffic within and between autonomous systems with enhanced flow routing, scalability and security |
| JP6168415B2 (ja) * | 2014-05-27 | 2017-07-26 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
| US10127317B2 (en) * | 2014-09-18 | 2018-11-13 | Red Hat, Inc. | Private cloud API |
| US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| US9148408B1 (en) * | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| US9918346B2 (en) * | 2015-04-17 | 2018-03-13 | Barracuda Networks, Inc. | System for connecting, securing and managing network devices with a dedicated private virtual network |
| CN105072213B (zh) * | 2015-08-28 | 2018-12-28 | 迈普通信技术股份有限公司 | 一种IPSec NAT双向穿越方法、系统及VPN网关 |
| US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
| US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
| US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9628444B1 (en) | 2016-02-08 | 2017-04-18 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| US10382562B2 (en) * | 2016-11-04 | 2019-08-13 | A10 Networks, Inc. | Verification of server certificates using hash codes |
| US20180131525A1 (en) * | 2016-11-07 | 2018-05-10 | International Business Machines Corporation | Establishing a secure connection across secured environments |
| US20180131696A1 (en) * | 2016-11-09 | 2018-05-10 | Prosoft Technology, Inc. | Systems and methods for providing dynamic authorization |
| US10887130B2 (en) | 2017-06-15 | 2021-01-05 | At&T Intellectual Property I, L.P. | Dynamic intelligent analytics VPN instantiation and/or aggregation employing secured access to the cloud network device |
| CN109728989B (zh) * | 2017-10-31 | 2021-06-11 | 中国电信股份有限公司 | 用于实现安全接入的方法、装置和系统 |
| FR3076141A1 (fr) * | 2017-12-21 | 2019-06-28 | Orange | Procede de traitement de requetes et serveur proxy |
| CN108073829A (zh) * | 2017-12-29 | 2018-05-25 | 上海唯链信息科技有限公司 | 用于记录对象的运输数据的方法、介质、物联网设备、区块链平台和物联网系统 |
| US10742595B2 (en) * | 2018-04-20 | 2020-08-11 | Pulse Secure, Llc | Fully qualified domain name-based traffic control for virtual private network access control |
| US11190490B2 (en) * | 2018-10-02 | 2021-11-30 | Allstate Insurance Company | Embedded virtual private network |
| WO2020108730A1 (en) * | 2018-11-26 | 2020-06-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Domain name system queries |
| US11115387B2 (en) * | 2019-02-04 | 2021-09-07 | Cisco Technology, Inc. | Method for policy-driven, classifying, and routing traffic using the domain name system |
| US10834053B1 (en) * | 2019-09-24 | 2020-11-10 | Darrien Ventures LLC | Virtual private network for zero trust access control and end to end network encryption |
| US11611536B2 (en) * | 2020-06-10 | 2023-03-21 | 360 It, Uab | Enhanced privacy-preserving access to a VPN service |
| US11601428B2 (en) * | 2020-12-10 | 2023-03-07 | Cisco Technology, Inc. | Cloud delivered access |
| US11489814B1 (en) | 2021-03-10 | 2022-11-01 | Amazon Technologies, Inc. | Customized domain name resolution for virtual private clouds |
| TWI795148B (zh) * | 2021-12-28 | 2023-03-01 | 四零四科技股份有限公司 | 處理存取控制的裝置、方法及系統 |
| US11652800B1 (en) | 2022-10-03 | 2023-05-16 | Uab 360 It | Secure connections between servers in a virtual private network |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH039876U (zh) | 1989-06-15 | 1991-01-30 | ||
| JP3009876B2 (ja) * | 1997-08-12 | 2000-02-14 | 日本電信電話株式会社 | パケット転送方法および該方法に用いる基地局 |
| US6557037B1 (en) * | 1998-05-29 | 2003-04-29 | Sun Microsystems | System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses |
| JP2001160828A (ja) | 1999-12-03 | 2001-06-12 | Matsushita Electric Ind Co Ltd | セキュリティ・ゲートウェイ装置におけるvpn通信方法 |
| JP2001292135A (ja) | 2000-04-07 | 2001-10-19 | Matsushita Electric Ind Co Ltd | 鍵交換システム |
| US20020124090A1 (en) * | 2000-08-18 | 2002-09-05 | Poier Skye M. | Method and apparatus for data communication between a plurality of parties |
| US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| JP3454788B2 (ja) * | 2000-12-14 | 2003-10-06 | 日本電信電話株式会社 | 閉域網間接続切り替え方式 |
| JP3616570B2 (ja) * | 2001-01-04 | 2005-02-02 | 日本電気株式会社 | インターネット中継接続方式 |
| JP2002271309A (ja) | 2001-03-07 | 2002-09-20 | Sharp Corp | 鍵情報管理方法及び機器管理装置 |
| CN1150718C (zh) * | 2001-06-29 | 2004-05-19 | 华为技术有限公司 | 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 |
| JP2003018163A (ja) | 2001-07-02 | 2003-01-17 | Nec Corp | ネットワークコンフィグレーション管理システム及び管理方法 |
| US6847649B2 (en) * | 2001-08-24 | 2005-01-25 | Ericsson Inc. | Methods, systems and computer program products for accessing an embedded web server on a broadband access terminal |
| US7028183B2 (en) * | 2001-11-13 | 2006-04-11 | Symantec Corporation | Enabling secure communication in a clustered or distributed architecture |
| US20030123394A1 (en) * | 2001-11-13 | 2003-07-03 | Ems Technologies, Inc. | Flow control between performance enhancing proxies over variable bandwidth split links |
| EP1523129B1 (en) * | 2002-01-18 | 2006-11-08 | Nokia Corporation | Method and apparatus for access control of a wireless terminal device in a communications network |
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US20040266420A1 (en) * | 2003-06-24 | 2004-12-30 | Nokia Inc. | System and method for secure mobile connectivity |
| US7523484B2 (en) * | 2003-09-24 | 2009-04-21 | Infoexpress, Inc. | Systems and methods of controlling network access |
-
2004
- 2004-07-02 EP EP04746915A patent/EP1643691B1/en not_active Expired - Fee Related
- 2004-07-02 DE DE200460010519 patent/DE602004010519T2/de active Active
- 2004-07-02 WO PCT/JP2004/009446 patent/WO2005004418A1/ja active IP Right Grant
- 2004-07-02 JP JP2005511366A patent/JP3912609B2/ja not_active Expired - Fee Related
- 2004-07-02 CN CNB2004800008120A patent/CN100456739C/zh not_active Expired - Fee Related
- 2004-07-02 US US10/526,935 patent/US7665132B2/en not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005454B (zh) * | 2006-01-04 | 2011-04-20 | 阿尔卡特朗讯公司 | 用于优先化通过因特网接入网络的业务的系统和方法 |
| CN101026598B (zh) * | 2006-01-18 | 2010-05-26 | 三星电子株式会社 | 提供远程用户界面服务的设备和方法 |
| CN101277306B (zh) * | 2008-05-14 | 2013-04-24 | 成都市华为赛门铁克科技有限公司 | 一种处理dns业务的方法、系统及设备 |
| CN101304388B (zh) * | 2008-06-20 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 解决ip地址冲突的方法、装置及系统 |
| CN101958822A (zh) * | 2009-07-17 | 2011-01-26 | 株式会社日立制作所 | 加密通信系统及网关装置 |
| CN103036867B (zh) * | 2011-09-28 | 2016-04-13 | 三星Sds株式会社 | 基于相互认证的虚拟专用网络服务设备和方法 |
| CN103036867A (zh) * | 2011-09-28 | 2013-04-10 | 三星Sds株式会社 | 基于相互认证的虚拟专用网络服务设备和方法 |
| CN103326876B (zh) * | 2012-03-22 | 2016-11-30 | 纬创资通股份有限公司 | 服务器系统及其管理方法 |
| CN103326876A (zh) * | 2012-03-22 | 2013-09-25 | 纬创资通股份有限公司 | 服务器系统及其管理方法 |
| CN105144642A (zh) * | 2013-03-18 | 2015-12-09 | 雅马哈株式会社 | Dns服务器装置、网络机器、通信系统及通信方法 |
| CN105144642B (zh) * | 2013-03-18 | 2018-06-15 | 雅马哈株式会社 | Dns服务器装置、网络机器、通信系统及通信方法 |
| CN103188266B (zh) * | 2013-03-26 | 2015-12-02 | 汉柏科技有限公司 | 一种基于ezvpn的地址分配回收动态控制方法和系统 |
| CN103188266A (zh) * | 2013-03-26 | 2013-07-03 | 汉柏科技有限公司 | 一种基于ezvpn的地址分配回收动态控制方法和系统 |
| CN105493453A (zh) * | 2014-12-30 | 2016-04-13 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
| CN105493453B (zh) * | 2014-12-30 | 2019-02-01 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
| CN113347071A (zh) * | 2021-05-20 | 2021-09-03 | 杭州快越科技有限公司 | 动态虚拟专用网络vpn建立方法、装置及设备 |
| CN113810195A (zh) * | 2021-06-04 | 2021-12-17 | 国网山东省电力公司 | 一种电力培训仿真考核数据的安全传输方法及装置 |
| CN113810195B (zh) * | 2021-06-04 | 2023-08-15 | 国网山东省电力公司 | 一种电力培训仿真考核数据的安全传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1643691A1 (en) | 2006-04-05 |
| DE602004010519D1 (de) | 2008-01-17 |
| US7665132B2 (en) | 2010-02-16 |
| JPWO2005004418A1 (ja) | 2006-08-17 |
| EP1643691A4 (en) | 2007-02-14 |
| WO2005004418A1 (ja) | 2005-01-13 |
| DE602004010519T2 (de) | 2008-11-13 |
| EP1643691B1 (en) | 2007-12-05 |
| JP3912609B2 (ja) | 2007-05-09 |
| CN100456739C (zh) | 2009-01-28 |
| US20060143702A1 (en) | 2006-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1701573A (zh) | 远程访问虚拟专用网络中介方法和中介装置 | |
| CN1452356A (zh) | 公开密钥证书提供装置 | |
| JP4000111B2 (ja) | 通信装置および通信方法 | |
| CN1855847A (zh) | 公共与专用网络服务管理系统和方法 | |
| CN1685689A (zh) | 控制家庭终端的装置、方法和计算机软件产品 | |
| CN1969501A (zh) | 安全地产生共享密钥的系统和方法 | |
| CN1457170A (zh) | 公钥证明书发行装置 | |
| CN1767435A (zh) | 数据通信方法和系统 | |
| CN101064628A (zh) | 家庭网络设备安全管理系统及方法 | |
| CN1615632A (zh) | 用于支持有线和无线客户端和服务器端认证的方法的机制 | |
| CN1759564A (zh) | 访问控制处理方法 | |
| US20060174120A1 (en) | System and method for providing peer-to-peer communication | |
| US20120023325A1 (en) | Virtual private network system and network device thereof | |
| CN1714542A (zh) | 无线局域网互连中的识别信息保护方法 | |
| CN101039182A (zh) | 认证系统及用户标识证书发放方法 | |
| CN1790987A (zh) | 家庭网络中认证装置和用户的系统和方法 | |
| CN1701561A (zh) | 基于地址的验证系统及其装置和程序 | |
| CN1783887A (zh) | 在可信赖网络中实现安全交易的方法和装置 | |
| CN1855817A (zh) | 网络服务基础设施系统和方法 | |
| CN1875598A (zh) | 用于异构ip网络认证的装置和方法 | |
| CN1833403A (zh) | 通信系统、通信装置、通信方法及用于实现这些的通信程序 | |
| CN1679271A (zh) | 基于认证的加密和公共密钥基础结构 | |
| CN1596523A (zh) | 通过生成短期加密密钥进行数字认证、加密和签名的系统、便携式装置和方法 | |
| CN1848766A (zh) | 管理专用网络之间的网络服务的系统和方法 | |
| CN1520123A (zh) | 对地址询问的回答方法、程序、装置和地址通知方法、程序、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090128 Termination date: 20170702 |