DE602004010519T2 - Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung - Google Patents

Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung Download PDF

Info

Publication number
DE602004010519T2
DE602004010519T2 DE200460010519 DE602004010519T DE602004010519T2 DE 602004010519 T2 DE602004010519 T2 DE 602004010519T2 DE 200460010519 DE200460010519 DE 200460010519 DE 602004010519 T DE602004010519 T DE 602004010519T DE 602004010519 T2 DE602004010519 T2 DE 602004010519T2
Authority
DE
Germany
Prior art keywords
vpn
unit
address
gateway unit
vpn gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE200460010519
Other languages
English (en)
Other versions
DE602004010519D1 (de
Inventor
Yusuke Musashino-shi HISADA
Yukio Musashino-shi TSURUOKA
Satoshi Musashino-shi Ono
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of DE602004010519D1 publication Critical patent/DE602004010519D1/de
Application granted granted Critical
Publication of DE602004010519T2 publication Critical patent/DE602004010519T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich auf Techniken, durch die über Informationsstücke zur Realisierung eines Fernzugriffs-VPN durch ein beliebiges Tunnelprotokoll wie IPsec (IP Sicherheitsprotokoll) oder L2TP (Lager 2 Tunnelprotokoll) eine globale IP-Adresse einer VPN-Clienteinheit, eine globale IP-Adresse einer VPN-Gatewayeinheit und gegenseitige Authentisierungsinformation, die zur Authentisierung zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit verwendet wird, in sicherer Weise von ihnen gemeinsam benutzt werden.
  • STAND DER TECHNIK
  • Ein virtuelles geschlossenes Netz, das auf dem Internet aufbaut, wird allgemein als Virtuelles Privates Netz (nachstehend als VPN abgekürzt) bezeichnet. Das VPN wird unter Nutzung eines Tunnelprotokolls wie IPsec, L2TP oder ähnlichem aufgebaut, und es wird verwendet, um von einem beweglichen Client über das Internet auf eine Ressource in einem lokalen Netz (LAN) zuzugreifen oder um mehrere physikalisch verstreute lokale Netze über das Internet zu verbinden. Im Falle der Autorisierung eines fernen Nutzers für den Zugriff auf das Fernzugriffs-VPN werden die folgenden Einstellungen sowohl vom VPN-Client, der zugreifen soll, als auch vom VPN-Gateway, auf das zugegriffen werden soll, benötigt.
  • VPN-Clienteinheit:
    • • IP-Adresse (global) einer VPN-Gatewayeinheit Gegenseitige Authentisierungsinformation zwischen der VPN-Gatewayeinheit und einer VPN-Clienteinheit
    • • Private IP-Adresse der VPN-Clienteinheit
    • • Private IP-Adressen eines Routers und eines Nameservers (wie DNS, WINS) eines internen Netzes des VPN (im Falle von statischer Einstellung auf Seiten des VPN-Client) VPN-Gatewayeinheit:
    • • Gegenseitige Authentisierungsinformation zwischen der VPN-Gatewayeinheit und der VPN-Clienteinheit
    • • Private IP-Adresse, die an eine authentisierte VPN-Clienteinheit zu übergeben ist, und private IP-Adressen des Routers und des Nameservers im VPN (im Falle einer dynamischen Einstellung/Übermittlung auf Seiten des VPN-Client)
  • Im Allgemeinen beeinflussen diese Einstellungen die Sicherheit und deshalb müssen sie sicher und zuverlässig ausgeführt werden, was nicht nur dem Nutzer einer VPN-Clienteinheit, sondern auch einem VPN-Verwalter eine starke Belastung auferlegt. Und wenn Nutzer, die zu diesem VPN Zugang haben, einer nach dem anderen wechseln, wird auch die Last der Nutzerverwaltung gewaltig. Ferner können, wenn ein Nutzer auf zwei oder mehr VPNs zugreift, das Authentisierungs verfahren, die Authentisierungsinformation und eine IC-Karte oder ähnliche Authentisierungseinrichtung, die diese speichern, manchmal für jedes zu verbindende VPN unterschiedlich sein; die Verwaltung hierfür wird eine erhebliche Last. Dies ist im Dokument US-2002/069278 der Fall.
  • Gelegentlich tritt eine Situation auf, bei der die VPN-Clienteinheit die ihr gewährte VPN-Zugriffsberechtigung zeitweise in einer anderen VPN-Clienteinheit ausüben will. Ferner ist es nicht sachgerecht, im dem Fall, in dem die VPN-Clienteinheit (A) innerhalb eines NAT-(Netzwerkadressumsetzung)Segmentes ist oder in dem sie eine tragbare Miniaturvorrichtung mit streng begrenzten Leistungsvorgaben ist, direkt einen verschlüsselten Kanal zur Kommunikation mit der VPN-Gatewayeinheit aufzubauen. In diesem Fall ist es typisch, dass eine andere VPN-Clienteinheit (D), die über die Funktion eines Gateways vom betreffenden NAT-Segment zum Internet verfügt, sich um die Aufgabe des Aufbaus eines Tunnels zum VPN-Gateway kümmert. In diesem Fall muss die Zugriffssteuerung für die VPN-Clienteinheit (A) und nicht für die VPN-Clienteinheit (D) durchgeführt werden. Daher ist ein Mechanismus zur Übertragung der Berechtigung unverzichtbar, wenn sich die VPN-Clienteinheit, der die Zugriffsberechtigung erteilt wurde, von der VPN-Clienteinheit unterscheidet, von der aus der Tunnel beginnt.
  • Weiterhin kann manchmal der Nutzer der VPN-Clienteinheit abhängig von der Eigenschaft des vom VPN angebotenen Dienstes wünschen, die Verbreitung von personenbezogener Information an den VPN-Dienstanbieter zu verhindern. Andererseits will sich auch der VPN-Dienstanbieter in vielen Fällen auf das Angebot seiner Hauptdienste konzentrieren, indem er komplexe Tätigkeiten auslagert, wie die Behandlung der Authentisierungsinformation des Clients oder ähnlicher persönlicher Information und das Verwalten des Zugangs und der Kündigung der Teilnehmer. In diesem Fall verpflichtet der VPN-Dienstanbieter das externe Dienstleistungsunternehmen, die Nutzerauthentisierung und die Prüfung der Zugriffsberechtigung durchzuführen und nur zulässige Nutzer an den VPN-Dienstanbieter durchzulassen.
  • Eine sichere Verteilung des gemeinsamen Schlüssels kann durch verschiedene Verfahren erzielt werden (siehe beispielsweise die Patentdokumente 1 und 2). Das in Patentdokument 1 dargelegte Verfahren ist ein Verfahren, das den gemeinsamen Schlüssel zwischen zwei oder mehr Kommunikationseinheiten austauscht, die an ein lokales Netz angeschlossen sind; dieses Verfahren tauscht den gemeinsamen Schlüssel über eine Gatewayeinheit aus, die mit einer DHC-Serverfunktion ausgerüstet ist. Im Besonderen wird der gemeinsame Schlüssel bei der Verbindung der Kommunikationseinheiten mit dem lokalen Netz zeitgleich mit dem Bezug ihrer IP-Adressen durch DHCP ausgetauscht. Dies erlaubt es, den gemeinsamen Schlüssel zur Verschlüsselung der Kommunikation im lokalen Netz auszutauschen.
  • Das in Patentdokument 2 beschriebene Verfahren ist ein Verfahren, durch das in der Kommunikation zwischen der an das Internet angeschlossenen VPN-Clienteinheit und der Kommunikationseinheit, die an das unter Verwaltung der VPN-Gatewayeinheit gestellte lokale Netz angeschlossenen ist, ein gemeinsamer Schlüssel zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit ausgetauscht wird, und ein anderer gemeinsamer Schlüssel zwischen der VPN-Gatewayeinheit und der Kommunikationseinheit ausgetauscht wird. Dies erlaubt die Realisierung von verschlüsselter Kommunikation zwischen der VPN-Clienteinheit und der an das lokale Netz angeschlossenen Kommunikationseinheit ohne die Notwendigkeit eines Schlüsselaustauschs zwischen der VPN-Clienteinheit und der mit dem lokalen Netz verbundenen Kommunikationseinheit durch IKE oder einem ähnlichen Schlüsselaustausch-Schema.
  • Jedoch beschränkt das Verfahren des Patentdokuments 1 die Schlüsselverteilung auf das lokale Netz und, das Verfahren des Patentdokuments 2 erfordert einen Voraustausch des gemeinsamen Schlüssels zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit, und deswegen werden die Verwaltungstätigkeiten zum Beispiel für den Fall komplex, dass der Zugang und die Kündigung von Teilnehmern einer Gruppe häufig auftreten. Und keines dieser Verfahren bietet eine Funktion der Übertragung der Zugriffssteuerung an einen Dritten und eine Funktion, die es der VPN-Clienteinheit erlaubt, die Verarbeitung der verschlüsselten Kommunikation für den Zugriff auf das VPN-Gateway, zu dem verbunden zu werden die VPN-Clienteinheit berechtigt ist, an eine andere sichere VPN-Clienteinheit zu übertragen. Verschiedene Verfahren sind vorgeschlagen, durch die die Seite des VPN-Gateways die Konfigurationsverwaltungs-Information, wie die an die authentisierte VPN-Clienteinheit zu liefernde private IP-Adresse, private Adressen eines Routers oder eines Nameservers im VPN, dynamisch setzt/übermittelt (siehe beispielsweise Patentdokument 3, Patentdokument 4, Nichtpatentdokument 1, Nichtpatentdokument 2 und Nichtpatentdokument 3).
  • Gemäß Patentdokument 3 wird eine Verwaltungseinheit zur Verwaltung der Einstellungsinformation zur Verfügung gestellt, die sich zur Übertragung der Einstellungsinformation in eine Kommunikationseinheit einloggt, indem sie dazu ihre IP-Adresse und ein Log-in Passwort übergibt. Mit diesem Verfahren kann Konfigurationsverwaltungs-Information, wie die private IP-Adresse und so weiter, als Einstellungsinformation von der zur VPN-Gatewayeinheit gehörigen Verwaltungseinheit zur VPN-Clienteinheit verteilt werden. Jedoch authentisiert dieses Verfahren nicht die VPN-Clienteinheit, die ein Empfänger ist – dies birgt die Gefahr eines Angriffs mit falscher Identität durch Maskierung mit der IP-Adresse und Angriff auf den Vermittler. Ferner wird nicht erwähnt, wie die Verwaltungseinheit die Authentisierung/Zugriffssteuerung durchführt, wenn die VPN-Clienteinheit eine Aufforderung zur Erfassung der Konfigurationsverwaltungs-Information stellt.
  • Patentdokument 4, das Nichtpatentdokument 1, das Nichtpatentdokument 2 und das Nichtpatentdokument 3 legen alle Verfahren der dynamischen Einstellung/Übermittlung der Konfigurationsmanagement-Information durch Tunnelprotokolle wie IPsec, PPP, L2TP und ähnliche dar.
  • Die vorliegende Erfindung geht auch von der Annahme aus, dass die der oben erwähnten dynamischen Einstellung/Übermittlung entsprechende Funktion in der Aufbauphase der verschiedenen Tunnelprotokolle zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit durchgeführt wird. Aber gemäß den üblichen Systemen werden Nutzer-Authentisierung oder Zugriffssteuerung und die dynamische Einstellung/Übermittlung der oben erwähnten Konfigurationsmanagement-Information als eine einzelne, integrale Operation zum Zeitpunkt des Tunnelaufbaus durchgeführt; im Gegensatz dazu wird gemäß der vorliegenden Erfindung die Nutzer-Authentisierung und die Zugriffssteuerung in einer Vermittlungsvorrichtung durchgeführt, um es der VPN-Clienteinheit und der VPN-Gatewayeinheit zu erlauben, eine gemeinsame geheime Information zu teilen, die genutzt wird, einen Tunnel zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit aufzubauen, und dann wird die Konfigurationsmanagement-Information über den Tunnel von der VPN-Gatewayeinheit dynamisch eingestellt/zugewiesen. Außerdem überträgt die VPN-Clienteinheit A die Tunnelprotokoliverarbeitung für die verschlüsselte Kommunikation an eine andere sichere VPN-Clienteinheit D, wodurch es möglich ist, eine Überprüfung der Zugriffsberechtigung für die Ursprungseinheit B in der Vermittlungsvorrichtung durchzuführen. Je nachdem, wie es für die Verwaltung günstiger ist, kann ein Teil der Konfigurationsmanagement-Information über den Tunnel, Information zum Routen zum Tunnel oder ähnliche Information über den Netzbetrieb von der Vermittlungsvorrichtung zur VPN-Clienteinheit gesendet werden. In diesem Fall wird die von der Vermittlungsvorrichtung gesendete Konfigurationsmanagement-Information vor oder nach dem Tunnelaufbau entsprechend der Art der Information eingestellt.
  • Als ein Authentisierungs- und ein Zertifikatsausgabe-Verfahren, das einen öffentlichen Schlüssel benutzt, wird ein SPKI(Simple Public Key Infrastructure)-Schema (zum Beispiel Nichtpatentdokument 4 und Nichtpatentdokument 5) vorgeschlagen, aber es ist nicht klar, wie dieses Schema auf das Fernzugriffs-VPN anzuwenden ist.
    • Patentdokument 1: Japanische Patentanmeldung Kokai-Veröffentlichung Nr.2001-292135
    • Patentdokument 2: Japanische Patentanmeldung Kokai-Veröffentlichung Nr.2002-271309
    • Patentdokument 3: Japanische Patentanmeldung Kokai-Veröffentlichung Nr.2003-18163
    • Patentdokument 4: Japanische Patentanmeldung Kokai-Veröffentlichung Nr.2001-160828
    • Nichtpatentdokument 1: B. Patel, B. Aboda, S. Kelly, V. Gupta, „Dynamic Host Configuration Protocol (DHCPv4) Configuration of IPsec Tunnel Model", [online], veröffentlicht Januar 2003. RFC3456, Internet Engineering Task Force, [Abgerufen 17. März 2003], Internet <URL:http://www.ietf.org/rfc/rfc3456.txt>
    • Nichtpatentdokument 2: IPCP (RFC-1332)
    • Nichtpatentdokument 3: EAP (RFC-2284)
    • Nichtpatentdokument 4: C. Ellison, B. Frantz, B. Lampson, R. Rivest, B. Thomas, T. Ylonen, „SPKI Certificate Theory", [online], veröffentlicht September 1999, RFC2693, Internet Engineering Task Force, Internet <URL:http://www.ietf.org/rfc/rfc2693.txt>
    • Nichtpatentdokument 5: C. Ellison, B. Frantz, B. Lampson, R. Rivest, B. Thomas, T. Ylonen, „Simple Public Key Infrastructure <draft-ieft-spki-cert-structure-0.6.txt>", [online], veröffentlicht 26. Juli 1999, Internet Engineering Task Force, Internet <URL:http://world.std.com/cme/spki.txt>
  • OFFENBARUNG DER ERFINDUNG
  • DURCH DIE ERFINDUNG ZU LÖSENDES PROBLEM
  • Im Hinblick auf die oben beschriebenen Probleme wurde die vorliegende Erfindung geschaffen, durch die über Informationsstücke, die zur Realisierung eines Fernzugriffs-VPN durch ein beliebiges Tunnelprotokoll wie IPsec (IP Sicherheitsprotokoll) oder L2TP (Lager 2 Tunnelprotokoll) benutzt werden sollen, in einem IP-Netz eine globale IP-Adresse einer VPN-Clienteinheit, eine globale IP-Adresse einer VPN-Gatewayeinheit, eine private IP-Adresse einer beliebigen Kommuni kationseinheit in dem unter Kontrolle der VPN-Gatewayeinheit gestellten lokalen Netz und ein gemeinsamer Schlüssel, der zur Authentisierung in einer IKE Phase 1 zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit benutzt werden soll, in sicherer Weise zwischen ihnen gemeinsam benutzt werden kann. Weiterhin soll die Erfindung Kommunikation zur Authentisierung in einem Fernzugriffs-VPN ohne Verlust der persönlichen Information des Nutzers an den anderen Teilnehmer ermöglichen.
  • MITTEL ZUR LÖSUNG DES PROBLEMS
  • Gemäß der vorliegenden Erfindung wird ein Fernzugriffs-VPN-Vermittlungsverfahren in einem System bereitgestellt, bei welchem: ein nachstehend als VPN bezeichnetes Virtuelles Privates Netz, Clienteinheiten und eine VPN-Gatewayeinheit an ein IP-Netz angeschlossen sind; Kommunikationseinheiten an ein unter Verwaltung der VPN-Gatewayeinheit gestelltes lokales Netz angeschlossen sind; und ein Fernzugriffs-VPN über ein Tunnelprotokoll zwischen einer beliebigen der VPN-Clienteinheiten und der an das die IP-Netz angeschlossenen VPN-Gatewayeinheit und einer beliebigen der Kommunikationseinheiten, die an das unter Verwaltung der VPN-Gatewayeinheit gestellte lokale Netz angeschlossenen ist, realisiert ist. Das genannte Verfahren umfasst die Schritte des:
    • a) Sendens einer Zugriffssteuerungsliste, die auf eine private, der Kommunikationseinheit zugewiesene IP-Adresse hinweisende Information enthält, von der VPN-Gatewayeinheit an eine Vermittlungsvorrichtung in dem IP-Netz;
    • b) Speicherns der Zugriffssteuerungsliste durch die Vermittlungsvorrichtung, die in Verbindung mit der VPN-Gatewayeinheit steht;
    • c) Abrufens einer der VPN-Gatewayeinheit zugehörigen privaten IP-Adresse als Antwort auf eine Aufforderung von der VPN-Clienteinheit, Erfassens der privaten IP-Adresse der zugehörigen Kommunikationseinheit von der Zugriffssteuerungsliste, Sendens der erfassten privaten IP-Adresse an die VPN-Clienteinheit, Sendens der IP-Adresse der VPN-Clienteinheit an die VPN-Gatewayeinheit, Erzeugens von gegenseitiger Authentisierungsinformation zum Aufbau eines authentisierten, verschlüsselten Tunnels zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit, und Sendens der gegenseitigen Authentisierungsinformation an sowohl die VPN-Clienteinheit als auch die Gatewayeinheit; und
    • d) Aufbaus des authentisierten, verschlüsselten Tunnels zwischen der VPN-Clienteinheit und der Gatewayeinheit unter Verwendung der gegenseitigen Authentisierungsinformation, und Realisierung eines Fernzugriffs durch den verschlüsselten Tunnel unter Verwendung der privaten IP-Adresse der Kommunikationseinheit.
  • Gemäß der vorliegenden Erfindung wird eine Fernzugriffs-VPN-Vermittlungsvorrichtung, die auf einem IP-Netz aufbaut, um ein Fernzugriffs-VPN zu realisieren, in einem System bereitgestellt, bei welchem: VPN-Clienteinheiten und eine VPN-Gatewayeinheit an das IP-Netz angeschlossen sind; Kommunikationseinheiten an ein unter die Verwaltung der VPN-Gatewayeinheit gestelltes lokales Netz angeschlossen sind; und ein Fernzugriffs-VPN über ein Tunnelprotokoll zwischen einer beliebigen der VPN-Clienteinheiten und der an das IP-Netz angeschlossenen VPN-Gatewayeinheit und einer beliebigen der Kommunikationseinheiten, die an das unter die Verwaltung der VPN-Gatewayeinheit gestellte lokale Netz angeschlossenen sind, realisiert ist; welche Vorrichtung enthält:
    ein ACL-Speichermittel zur Speicherung einer nachstehend als ACL bezeichneten Zugriffssteuerungsliste, die von der VPN-Gatewayeinheit gesendet wurde und auf die private, der Kommunikationseinheit zugewiesene IP-Adresse hinweisende Information enthält;
    ein Authentisierungs-/Zugriffsberechtigungssteuerungsmittel zur Authentisierung der VPN-Clienteinheit und der VPN-Gatewayeinheit und zur Durchführung der Zugriffsberechtigungssteuerung;
    ein IP-Adresserfassungsmittel zum Bezug auf die Zugriffssteuerungsliste, um die der Kommunikationseinheit zugewiesene private IP-Adresse zu erfassen, und zum Durchsuchen eines Domain-Nameservers, um die der VPN-Gatewayeinheit zugewiesene IP-Adresse zu erfassen;
    ein Authentisierungsinformations-Erzeugungsmittel zur Erzeugung gegenseitiger Authentisierungsinformation für den Aufbau eines verschlüsselten Tunnels zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit; und
    ein Kommunikationsmittel zum Senden der IP-Adresse der VPN-Gatewayeinheit, der privaten IP-Adresse der Kommunikationseinheit und der gegenseitigen Authentisierungsinformation an die VPN-Clienteinheit, und zum Senden der IP-Adresse der VPN-Clienteinheit und der gegenseitigen Authentisierungsinformation an die VPN-Gatewayeinheit.
  • ERGEBNIS DER ERFINDUNG
  • Die vorliegende Erfindung erzielt die nachfolgend beschriebenen Ergebnisse. Ein erstes Ergebnis liegt darin, dass über Informationsstücke, die zur Realisierung eines Fernzugriffs-VPN durch ein beliebiges Tunnelprotokoll wie IPsec oder L2TP benutzt werden sollen, in einem IP-Netz eine globale IP-Adresse einer VPN-Clienteinheit, eine globale IP-Adresse einer VPN-Gatewayeinheit, eine private IP-Adresse einer beliebigen Kommunikationseinheit im unter die Steuerung der VPN-Gatewayeinheit gestellten lokalen Netz und ein gemeinsamer Schlüssel oder eine gemeinsame Geheiminformation (nachstehend als gegenseitige Authentisierungsinformation bezeichnet), die zur gegenseitigen Authentisierung für den Aufbau eines verschlüsselten Tunnels zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit notwendig sind, in sicherer Weise zwischen ihnen gemeinsam benutzt werden können. Der Grund hierfür ist die sichere Verwaltung der privaten IP-Adresse in der Vermittlungsvorrichtung und die sichere Verteilung der privaten IP-Adresse und der gegenseitigen Authentisierungsinformation.
  • Genauer ausgedrückt authentisiert, im Falle des Eintragens der privaten IP-Adresse in sie, die Vermittlungsvorrichtung die VPN-Gatewayeinheit und verschlüsselt, nur falls die Authentisierung erfolgreich ist, den Kommunikationskanal und empfängt die private IP-Adresse über den verschlüsselten Kommunikationskanal. Im Falle des Abrufs der privaten IP-Adresse authentisiert die Vermittlungsvorrichtung die VPN-Clienteinheit; und führt, nur falls die Authentisierung erfolgreich ist, die Zugriffsberechtigungssteuerung unter Nutzung des öffentlichen Schlüssels der VPN-Clienteinheit durch; und erfasst, nur falls die Zugriffsberechtigungssteuerung erfolgreich ist, die globale IP-Adresse der VPN-Gatewayeinheit vom Domain-Nameserver; und verschlüsselt den Kommunikationskanal zwischen der Vermittlungsvorrichtung und der VPN-Clienteinheit; sendet die globale IP-Adresse der VPN-Gatewayeinheit, die private IP-Adresse der Kommunikationseinheit und die gegenseitige Authentisierungsinformation über den verschlüsselten Kommunikationskanal an die VPN-Clienteinheit; und verschlüsselt den Kommunikationskanal zwischen der Vermittlungsvorrichtung und der VPN-Gatewayeinheit; sendet die globale IP-Adresse der VPN-Clienteinheit, die gegenseitige Authentisierungsinformation und Attributinformation der VPN-Clienteinheit an die VPN-Gatewayeinheit.
  • Ein zweites Ergebnis ist es, Mittel bereitzustellen, durch die die Kommunikation in der Authentisierung für ein Fernzugriffs-VPN ohne Verlust der privaten Information des Nutzers an den anderen Kommunikationsteilnehmer durchgeführt werden kann. Der Grund hierfür ist, dass im Falle der Authentisierung durch das PKI-Schema ein persönliche Information enthaltendes gemeinsames Schlüsselzertifikat zur Authentisierung an die Vermittlungsvorrichtung anstatt an den anderen Kommunikationsteilnehmer gesendet wird. Ein anderer Grund liegt darin, dass im Falle der Authentisierung durch das SPKI-Schema das Format jedes beliebigen Zertifikats so definiert werden kann, dass es keine persönliche Information enthält. Andererseits kann die Vermittlungsvorrichtung verbunden werden mit: einer Funktion des Sendens der das Authentisierungsergebnis begleitenden Attributinformation an die VPN-Gatewayeinheit, um das VLAN für die Aufnahme der betreffenden VPN-Clienteinheit auszuwählen; einer Funktion zur Änderung der Paketfiltereinstellung der beteiligten VPN-Gatewayeinheit; und einer Funktion des Hinzufügens der betreffenden Attributinformation zu einem invertierten Verzeichnis der DNS im VPN in dem der privaten IP-Adresse der VPN-Clienteinheit entsprechenden Eintrag.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Diagramm, das ein Beispiel eines Systemaufbaus in einer ersten Ausführungsform der vorliegenden Erfindung veranschaulicht.
  • 2 ist ein Diagramm zur Erklärung der allgemeingültigen Kurzdarstellung des Betriebs der ersten Ausführungsform der vorliegenden Erfindung.
  • 3 ist ein Diagramm, das den Funktionsaufbau einer Vermittlungsvorrichtung (S) 104 der vorliegenden Erfindung zeigt.
  • 4 A ist eine Tabelle, die die Entsprechung zwischen ACL und Hash-Werten zeigt, und B ist ein Diagramm, das ein Beispiel eines ACL-Eintrags in 4A zeigt.
  • 5 ist ein Diagramm, das Speichermittel der Zugriffssteuerung ACL in der ersten Ausführungsform der vorliegenden Erfindung zeigt.
  • 6 ist ein Diagramm, das den Ablauf für das Senden einer IP-Adresse und eines gemeinsamen Schlüssels in der ersten Ausführungsform der vorliegenden Erfindung zeigt.
  • 7 ist ein detailliertes Flussdiagramm, das einen Ablauf der Erfassung einer IP-Adresse und einen Ablauf der Erzeugung eines gemeinsamen Schlüssels in der Vermittlungsvorrichtung in der ersten Ausführungsform der vorliegenden Erfindung zeigt.
  • 8 ist ein Diagramm, das ein Beispiel der Zugriffssteuerungsliste ACL in der ersten Ausführungsform zeigt.
  • 9 ist ein Diagramm, das ein Beispiel von Daten TAG in der ersten Ausführungsform der vorliegenden Erfindung zeigt.
  • 10 ist ein Diagramm, das ein Beispiel von berechneten Ergebnisdaten DATA in der ersten Ausführungsform der vorliegenden Erfindung zeigt.
  • 11 ist ein Diagramm, das ein Beispiel eines Zertifikates in der ersten Ausführungsform der vorliegenden Erfindung zeigt. Sein Programm kann über ein Netz verteilt werden.
  • 12 ist ein Diagramm, das einen Systemaufbau in einer zweiten Ausführungsform der vorliegenden Erfindung veranschaulicht.
  • 13 ist ein Diagramm zur Erklärung der allgemeingültigen Kurzdarstellung des Betriebs der zweiten Ausführungsform der vorliegenden Erfindung.
  • 14 ist ein Diagramm, das Speichermittel der Zugriffssteuerung ACL in der zweiten Ausführungsform der vorliegenden Erfindung zeigt.
  • 15 ist ein detailliertes Flussdiagramm, das den Ablauf der Speicherung der Zugriffssteuerungsliste ACL in der Vermittlungsvorrichtung in der zweiten Ausführungsform der vorliegenden Erfindung zeigt.
  • 16 ist ein Diagramm, das die Abläufe der Verteilung der IP-Adresse und des gemeinsamen Schlüssels in der zweiten Ausführungsform der vorliegenden Erfindung zeigt.
  • 17 ist ein detailliertes Flussdiagramm, das einen Ablauf der Erfassung einer IP-Adresse und einen Ablauf der Erzeugung eines gemeinsamen Schlüssels in der Vermittlungsvorrichtung in der zweiten Ausführungsform der vorliegenden Erfindung zeigt.
  • 18 ist ein Diagramm, das eine Ausführungsform der VPN-Clienteinheit in einer dritten Ausführungsform der vorliegenden Erfindung veranschaulicht.
  • 19 ist ein Diagramm, das den Gesamtaufbau eines Netzes veranschaulicht, in dem die VPN-Gatewayeinheit in einer vierten Ausführungsform der vorliegenden Erfindung benutzt wird.
  • 20 ist ein Diagramm, das ein Beispiel einer Zugriffssteuerungsliste zur Verwendung in der vierten Ausführungsform zeigt.
  • 21 ist ein Diagramm, das ein Beispiel des Funktionsaufbaus der VPN-Gatewayeinheit zur Verwendung in der vierten Ausführungsform veranschaulicht.
  • BESTE AUSFÜHRUNGSWEISE DER ERFINDUNG
  • Ausführungsformen der vorliegenden Erfindung werden nachstehend mit Bezug auf die beigefügten Zeichnungen detailliert beschrieben.
  • AUSFÜHRUNGSFORM 1
  • Dies ist eine Ausführungsform, in der eine Vermittlungsvorrichtung eine VPN-Clienteinheit und eine VPN-Gatewayeinheit durch ein SPKI (Simple Public Key Infrastructure)-Schema authentisiert, und die VPN-Clienteinheit zur Übertragung der Berechtigung ein Zertifikat ausgibt. Dieses SPKI-Schema erfordert keine Authentisierungsstelle.
  • 1 veranschaulicht einen allgemeingültigen Systemaufbau dieser Ausführungsform. In 1 sind eine VPN-Clienteinheit (A) 101, eine VPN-Clienteinheit (D) 102, eine VPN-Gatewayeinheit (B) 103, eine Vermittlungsvorrichtung (S) 104 und ein Domain-Nameserver (DNS) 105 jeweils an ein großräumiges Netz (WAN) 100 unter IP (Internetprotokoll) angeschlossen. Eine Kommunikationseinheit (C) 111 ist an ein lokales Netz (LAN) 110 angeschlossen, das die VPN-Gatewayeinheit (B) 103 als eine Gatewayeinheit nutzt. Am WAN kann auch eine VPN-Gatewaysteuerungseinheit (M) 112 zur Verfügung gestellt werden, die die Berechtigung hat, eine Zugriffssteuerungsliste für die VPN-Gatewayeinheit (B) 103 zu verwalten.
  • 2 ist ein Diagramm zur Erklärung des Betriebs des in 1 dargestellten Gesamtsystems. Die dicken Linien bezeichnen VPNs in einem IPsec Tunnelmodus.
  • Es sei nun der Hostname der VPN-Clienteinheit (A) 101 durch einen öffentlichen Schlüssel PUBLICKEY_A (oder seinen Hash-Wert HASH_A) und seine IP-Adresse durch IPADDRESS_A repräsentiert. Es sei der Hostname der VPN-Clienteinheit (D) 102 durch einen öffentlichen Schlüssel PUBLICKEY_D (oder seinen Hash-Wert HASH_D) und seine IP-Adresse durch IPADDRESS_D repräsentiert. Und es sei der Hostname der VPN-Gatewayeinheit (B) 103 durch einen öffentlichen Schlüssel PUBLICKEY_B (oder seinen Hash-Wert HASH_B) und seine IP-Adresse durch IPADDRESS_B repräsentiert. Dadurch können die VPN-Clienteinheit und die VPN-Gatewayeinheit durch ihre öffentlichen Schlüssel (oder ihre Hash-Werte) bestimmt werden. Es sei die private IP-Adresse der Kommunikationseinheit (C) 111 durch IP-ADDRESS_C repräsentiert.
  • Die der VPN-Clienteinheit (A) 101 zugewiesene IP-Adresse IPADDRESS_A, die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B und die der VPN-Clienteinheit (D) 102 zugewiesene IP-Adresse IPADDRESS_D sind alle im IP-Netz (WAN) 100 eindeutig, und sie werden durch beliebige Mittel dynamisch zugewiesen. Der öffentliche Schlüssel PUBLICKEY_B und die IP-Adresse IPADDRESS_B der VPN-Gatewayeinheit (B) 103 sind eindeutig einander zugeordnet und unter die Verwaltung des Domain-Nameservers (DNS) 105 gestellt. Die an die Kommunikationseinheit 111 zugewiesene private IP-Adresse IPADDRESS_C ist im lokalen Netz (LAN) 110 eindeutig, und sie wird durch beliebige Mittel dynamisch zugewiesen.
  • Die VPN-Clienteinheit (A) 101, die VPN-Clienteinheit (D) 102, die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 haben jeweils Mittel zur Verschlüsselung eines Kanals durch einen IPsec Transportmodus oder IPsec Tunnelmodus. Die VPN-Clienteinheit (A) 101 speichert zusammen mit dem öffentlichen Schlüssel PUBLICKEY_A einen privaten Schlüssel PRIVATEKEY_A, der zusammen mit dem öffentlichen Schlüssel PUBLICKEY_A ein Paar bildet. Die VPN-Gatewayeinheit (B) 103 speichert zusammen mit dem öffentlichen Schlüssel PUBLICKEY_B einen privaten Schlüssel PRIVATEKEY_B, der zusammen mit dem öffentlichen Schlüssel PUBLICKEY_B ein Paar bildet. Die VPN-Clienteinheit (D) 102 speichert zusammen mit dem öffentlichen Schlüssel PUBLICKEY_D einen privaten Schlüssel PRIVATEKEY_D, der zusammen mit dem öffentlichen Schlüssel PUBLICKEY_D ein Paar bildet. Die VPN-Gatewayeinheit (B) 103 speichert eine Zugriffssteuerungsliste (ACL), die Bedingungen beschreibt, die für den Zugriff auf die Kommunikationseinheit 111 im lokalen Netz 110 notwendig sind.
  • 8 zeigt ein Beispiel der Zugriffssteuerungsliste (ACL) in dieser Ausführungsform. Die Grammatik der Zugriffssteuerungsliste (ACL) ist in den vorher erwähnten, SPKI betreffenden Nichtpatentdokumenten 4 und 5 definiert. In dem Beispiel von 8 ist angegeben, dass der Hash-Wert des öffentlichen Schlüssels eines Zugriffssubjektes durch ein in das Subjektfeld (subject) geschriebenes Hash SHA-1 HASH_A hat – dies zeigt an, dass das Subjekt auf die Kommunikationseinheit 111 zugreifen darf, die im lokalen Netz 110, das an die VPN-Gatewayeinheit 103 angeschlossen ist, die einen in einem Tag-Feld (tag) beschriebenen SHA-1 Hash-Wert HASH_B hat, die private IP-Adresse IPADDRESS_C hat. Das Feld der Attributinformation „ATTRIBUTE_A" wird als zusätzliche Funktion bereitgestellt, durch die beispielsweise der Bereich der zuzuweisenden privaten Adressen bei einem „nichtzahlenden Nutzer" und einem „zahlenden Nutzer" geändert wird, wodurch es ermöglicht wird, den zugänglichen Server durch Paketfilterung in der VPN-Gatewayeinheit (B) 103 zu ändern, oder den Dienst durch einen Webserver an einen Client gemäß der Quelladresse zu verändern. Das Feld „validity" zeigt die Zeitdauer, für den dieser ACL-Eintrag gültig ist. Das Feld „propagate" zeigt die Befugnis zur Übertragung der Berechtigung des Zugriffssubjektes an, aber nachdem in dieser Ausführungsform keine Übertragung der Berechtigung vorgenommen wird, wird dieses Feld zusammen mit anderen Feldern als reiner Datenwert für die Authentisierung benutzt.
  • Wie in 3 gezeigt, umfasst die Vermittlungsvorrichtung (S) 104 ein Zugriffssteuerungslisten- (ACL-)Speichermittel 1041, ein Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042, ein IP-Adresserfassungsmittel 1043, ein Schlüsselerzeugungsmittel 1044, das als Mittel zur Erzeugung der gegenseitigen Authentisierungsinformation dient, ein Kommunikationsmittel 1045, das Verschlüsselungsmittel 1045e hat, und ein Betriebssteuerungsmittel 1046 für die Steuerung des Betriebs dieser Mittel. Das IP-Adresserfassungsmittel 1043 legt dem Domain-Nameserver (DNS) 105 den öffentlichen Schlüssel PUBLICKEY_B der VPN-Gatewayeinheit (B) 103 vor und erfasst von dort die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B. Das ACL-Speichermittel 1041 speichert die von der VPN-Gatewayeinheit (B) 103 eingegebene Zugriffssteuerungsliste (ACL) als Tabelle. Das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 verwendet das SPKI-Schema zur Authentisierung der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 durch das SPKI-Schema und/oder führt die Zugriffsberechtigungssteuerung aus. Die Kommunikationseinheit 1045 hat das Verschlüsselungsmittel 1045e, durch das der Kommunikationskanal verschlüsselt wird, um für Sicherheit für das Senden und Empfangen von Information zu sorgen. Das als Mittel zur Erzeugung der gegenseitigen Authentisierungsinformation. dienende Schlüsselerzeugungsmittel 1044 erzeugt die gemeinsamen Schlüssel KEY_AB und KEY_DB als später beschriebene gegenseitige Authentisierungsinformation.
  • Das oben erwähnte IP-Adresserfassungsmittel 1043 ruft die IP-Adresse IPADDRESS_B vom öffentlichen Schlüssel PUBLICKEY_B über ein übliches IP-Adressabrufschema (Namensauflösungs-Schema) ab. Das oben erwähnte ACL-Speichermittel 1041 verwaltet den öffentlichen Schlüssel PUBLICKEY_B und die Zugriffssteuerungsliste (ACL) in Verbindung miteinander, zum Beispiel in Form einer Tabelle 1041T, wie in 4A dargestellt. In 1 ist nur eine VPN-Gatewayeinheit gezeigt, aber in Wirklichkeit haben mehrere VPN-Einheiten ihre lokalen Netze an das WAN 100 angeschlossen; und während in 1 nur eine Kommunikationseinheit gezeigt ist, sind mehrere Kommunikationseinheiten zum Anschluss an jedes lokale Netz vorgesehen. In 4A sind Zugriffssteuerungslisten in Verbindung mit Hash-Werten von öffentlichen Schlüsseln der zugehörigen VPN-Gatewayeinheit eingetragen.
  • Jede Zugriffssteuerungsliste ACL in der ACL-Tabelle 1041, beispielsweise ACL 1, ist als Tabelle ACL1 in 48 gezeigt, worin Hash-Werte von öffentlichen Schlüsseln, die für Subjekte, beispielsweise VPN-Clienteinheiten, eindeutig sind, die auf die zugehörigen Kommunikationseinheiten an den lokalen Netzen zugreifen, zu denen die Zugriffssubjekte gehören, in Verbindung mit den privaten IP-Adressen der zugehörigen Kommunikationseinheiten aufgeführt werden. Im Beispiel der ersten Zeile in der Tabelle von 46 wird angezeigt, dass die VPN-Clienteinheit mit dem Hash-Wert HASH_A berechtigt ist, auf die Kommunikationseinheit mit der privaten Adresse IPADDRESS_C1 zuzugreifen. In der Praxis ist es in der in 8 gezeigten Form beschrieben, auf die vorher Bezug genommen wurde. Das Zugriffssubjekt in der Zugriffssteuerungsliste ACL, die für jede Einheit bereitgestellt wird, auf die zugegriffen werden soll, ist nicht ausdrücklich auf den Hash-Wert des öffentlichen Schlüssels, wie in den Beispielen von 4A und 8, beschränkt, sondern es können auch verschiedene andere Kennungen sein, wie eine Personalnummer, eine Mitgliedsnummer oder eine Nummer, die bestätigt, dass das Zugriffssubjekt ein Angestellter einer bestimmten Firma, Mitglied einer bestimmten Gruppe oder eine berechtigte Person ist.
  • Das oben erwähnte Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 authentisiert die VPN-Clienteinheit (A) 101, die VPN-Gatewayeinheit (B) 103 und die VPN-Clienteinheit (D) 102 durch das SPKI-Schema. Genauer gesagt nutzt das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel, nachdem dazu eine Signatur SIG_A von einem privaten Schlüssel PRIVATEKEY_A und ein öffentlicher Schlüssel PUBLICKEY_A des VPN-Client (A) eingegeben wurde, den öffentlichen Schlüssel, um die Signatur SIG_A zu verifizieren, wodurch die Identität des VPN-Client (A), der den dem öffentlichen Schlüssel PUBLICKEY_A zugehörigen privaten Schlüssel PRIVATEKEY_A hat, geprüft wird. Das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel prüft die Identität der VPN-Gatewayeinheit (B), die den privaten Schlüssel PRIVATEKEY_B hat, indem dazu eine Signatur SIG_B von einem privaten Schlüssel PRIVATEKEY_B und ein öffentlicher Schlüssel PUBLICKEY_B eingegeben wird und die Signatur SIG_B verifiziert wird. Auf ähnliche Weise prüft das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel die Identität der VPN-Clienteinheit (D), die den privaten Schlüssel PRIVATEKEY_D hat, indem dazu eine Signatur SIG_D von einem privaten Schlüssel PRIVATEKEY_D und ein öffentlicher Schlüssel PUBLICKEY_D eingegeben wird und die Signatur SIG_D verifiziert wird.
  • Das oben erwähnte Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 steuert die Berechtigung des Zugriffs der VPN-Clienteinheit (A) 101 und der VPN-Clienteinheit (D) 102 auf die VPN-Gatewayeinheit (B) 103 durch das SPKI-Schema. Im Falle der Steuerung der Berechtigung des Zugriffs der VPN-Clienteinheit (A) 101 auf die VPN-Gatewayeinheit (B) 103 liest das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel dazu eine DNS-Abfrage QUERY, eine Signatur SIG_A und eine Zugriffssteuerungsliste (ACL) für den Abruf der IP-Adresse IPADDRESS_B ein, benutzt sie als Datenwerte zur Ausführung von Berechnungen, die auf den in den auf SPKI bezogenen Nichtpatentdokumenten 4 und 5 definierten Regeln zur 5-Tupel-Reduktionsoperation und/oder Regeln zur 4-Tupel-Reduktionsoperation beruhen, und gibt die Ergebnisse der Operation aus. Im Falle der Steuerung der Berechtigung des Zugriffs der VPN-Clienteinheit (D) 102 auf die VPN-Gatewayeinheit (B) 103 liest das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel dazu eine DNS-Abfrage QUERY, eine Signatur SIG_D, ein in den auf SPKI bezogenen Nichtpatentdokumenten 4 und 5 definiertes Zertifikat CERT und eine Zugriffssteuerungsliste (ACL) ein, führt dann Berechnungen durch, die auf den in den auf SPKI bezogenen Nichtpatentdokumenten 4 und 5 definierten Regeln zur 5-Tupel-Reduktionsoperation und/oder Regeln zur 4-Tupel-Reduktionsoperation basieren, und gibt die Ergebnisse der Operation aus. Die Ergebnisse der Operation werden später mit Bezug auf 10 konkret beschrieben.
  • Das oben erwähnte Schlüsselerzeugungsmittel 1044 erzeugt einen gemeinsamen Schlüssel KEY_AB, der zur Authentisierung in einer. IKE Phase 1 zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 verwendet wird, oder KEY_DB, der zur Authentisierung in einer IKE Phase 1 zwischen der VPN-Clienteinheit (D) 102 und der VPN-Gatewayeinheit (B) 103 verwendet wird.
  • Die VPN-Clienteinheit (A) 101 besitzt eine Funktion, die ein Berechtigungsübergabezertifikat CERT an die VPN-Clienteinheit (D) 102 ausgibt. In den auf SPKI bezogenen Nichtpatentdokumenten 4 und 5 werden Grammatiken für zwei Arten von Zertifikaten, nämlich Autorisierungszertifikat und Namenszertifikat, definiert. Um sich kurz zu halten ist in dieser Ausführungsform das Zertifikat CERT nur auf das Autorisierungszertifikat beschränkt.
  • 11 zeigt ein konkretes Beispiel eines Zertifikates CERT in dieser Ausführungsform. Gemäß den auf SPKI bezogenen Nichtpatentdokumenten 4 und 5 wird das Autorisierungszertifikat mit einem privaten Schlüssel des Ausgebenden datensigniert, wobei diese Daten nachstehend als Zertifikatinformation INFO bezeichnet werden, und die Daten aufgebaut sind aus: einem Ausgebenderfeld, das den einem privaten Schlüssel des Ausgebenden eindeutig entsprechenden öffentlichen Schlüssel oder den Hash-Wert des öffentlichen Schlüssels definiert; einem Subjektfeld, das den öffentlichen Schlüssel, der einem privaten Schlüssel des Berechtigten, beispielsweise ist das in diesem Fall die VPN-Clienteinheit (D), eindeutig entspricht, oder den Hash-Wert des öffentlichen Schlüssels definiert; einem Tagfeld, das eine die Inhalte der Berechtigung definierende Zeichenkette enthält; einem Übertragungsfeld, das eine Zeichenkette enthält, die definiert, ob die Berechtigungsübertragung autorisiert wird oder ob nicht; und einem Gültigkeitsfeld, das eine Zeichenkette enthält, die den Gültigkeitsbereich des Autorisierungszertifikates definiert.
  • Basierend auf dieser Definition ist der Wert des Ausgebenderfeldes in der Zertifikatinformation INFO des Zertifikates CERT in dieser Ausführungsform definiert als der Hash-Wert HASH_A des öffentliches Schlüssels PUBLICKEY_A des die Zertifikatinformation INFO Ausgebenden oder des öffentlichen Schlüssels PUBLICKEY_A, der durch einen beliebigen Hashing-Algorithmus erhalten wurde. Der Wert des Subjektfeldes ist definiert als der Hash-Wert HASH_D des öffentlichen Schlüssels PUBLICKEY_D des Berechtigten oder eines öffentlichen Schlüssels PUBLICKEY_D, der durch einen beliebigen Hashing-Algorithmus erhalten wurde. Der Wert des Tagfeldes sind Daten für die Erlaubnis einer DNS-Abfrage zum Abruf der IP-Adresse IPADDRESS_B der VPN-Gatewayeinheit (B) 103; die Daten enthalten den Hash-Wert HASH_B des öffentliches Schlüssels PUBLICKEY_B der VPN-Gatewayeinheit (B) 103 oder eines öffentlichen Schlüssels PUBLICKEY_B, der durch einen beliebigen Hashing-Algorithmus erhalten wurde. Der Wert des Übertragungsfeldes ist als Zeichenkette „propagate" definiert, die im Nichtpatentdokument 4 definiert ist. Andererseits ist, da der Wert des Gültigkeitsfeldes keine unmittelbare Bedeutung für die vorliegende Erfindung hat, kein Wert dafür definiert. Die Zertifikatinformation INFO ist mit dem privaten Schlüssel PRIVATEKEY_A signiert.
  • Unter Bezug auf 2 wird nachfolgend die allgemeingültige Kurzdarstellung des Betriebs des Systems von 1 beschrieben. Während des Eintrags (Speicherung) der Zugriffssteuerungsliste (ACL) sendet die VPN-Gatewayeinheit (B) 103 ihren öffentlichen Schlüssel PUBLICKEY_B (oder seinen Hash-Wert HASH_B) an die Vermittlungsvorrichtung (S) 104 (Schritt S1). Die Vermittlungsvorrichtung (S) 104 speichert den öffentlichen Schlüssel PUBLICKEY_B (oder seinen Hash-Wert HASH_B) und die Zugriffssteuerungsliste (ACL).
  • Im Falle des Anschlusses eines Fern-VPN von der VPN-Clienteinheit (A) 101 an die Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus sendet die VPN-Clienteinheit (A) 101 den öffentlichen Schlüssel PUBLICKEY_A und den öffentlichen Schlüssel PUBLICKEY_B (oder ihre Hash-Werte HASH_A und HASH_B) an die Vermittlungsvorrichtung (S) 104, um sie aufzufordern, die IP-Adressen der VPN-Gatewayeinheit (B) 103 und der Kommunikationseinheit (C) abzurufen (Schritt S2).
  • Die Vermittlungsvorrichtung (S) 104 führt die Zugriffsberechtigungssteuerung der VPN-Clienteinheit (A) 101 durch das SPKI-Schema durch, und im Falle der Bewilligung des Zugriffs durchsucht sie den Domain-Nameserver (DNS) 105, um die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B zu erhalten (Schritt S3). Dann nimmt die Vermittlungsvorrichtung (S) 104 Bezug auf die Zugriffssteuerung (ACL), um die private IP-Adresse IPADDRESS_C zu erhalten, die der Kommunikationseinheit (C) 111 zugewiesen ist, die an das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte LAN 110 angeschlossen ist. Dann erzeugt die Vermittlungsvorrichtung (S) 104 einen gemeinsamen Schlüssel KEY_AB, der zur gegenseitigen Authentisierung der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 verwendet wird. Dann verwendet die Vermittlungsvorrichtung (S) 104 den öffentlichen Schlüssel PUBLICKEY_A der VPN-Clienteinheit (A) 101, um den Kommunikationskanal zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit (A) 101 zu verschlüsseln, und sendet die IP-Adressen IPADDRESS_B und IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB über den verschlüsselten Kommunikationskanal an die VPN-Clienteinheit (A) 101 (Schritt S4). Dann verwendet die Vermittlungsvorrichtung (S) 104 den öffentlichen Schlüssel PUBLICKEY_B der VPN-Gatewayeinheit (B) 103, um den Kommunikationskanal zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Gatewayeinheit (B) 103 zu verschlüsseln, und sendet die IP-Adresse IPADDRESS_A und den gemeinsamen Schlüssel KEY_AB über den verschlüsselten Kommunikationskanal an die VPN-Gatewayeinheit (B) 103 (Schritt S5). Dadurch sind die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit (B) 103 in die Lage versetzt, durch Verwendung des gemeinsamen Schlüssels KEY_AB miteinander auf sichere Weise zu kommunizieren. Diese Ausführungsform verwendet den IPsec Tunnelmodus als ein Tunnelprotokoll zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 und den gemeinsamen Schlüssel als Information, die für ihre gegenseitige Authentisierung von der Vermittlungsvorrichtung (S) 104 an sie gesendet wird. Als Tunnelprotokoll können andere Protokolle als L2TP und PPTP verwendet werden, und die gegenseitige Authentisierungsinformation kann auch eine ID, ein Passwort, eine gemeinsame Geheiminformation, ein SPKI Autorisierungszertifikat oder ähnliche Information von anderen Mitteln sein.
  • Im Falle der Übertragung der Berechtigung zum Abruf der IP-Adresse der VPN-Gatewayeinheit (B) 103 an die VPN-Clienteinheit (D) 102 sendet die VPN-Clienteinheit (A) 101 über das SPKI-Schema ein Zertifikat CERT an die VPN-Clienteinheit (D) 102 (Schritt S6). Die VPN-Clienteinheit (D) 102 sendet ihren öffentlichen Schlüssel PUBLICKEY_D und das Zertifikat CERT und den öffentlichen Schlüssel PUBLICKEY_B (oder seinen Hash-Wert HASH_B) an die Vermittlungsvorrichtung (S) 104, um den Abruf der IP-Adresse der VPN-Gatewayeinheit (B) 103 und der Kommunikationseinheit (C) anzufordern (Schritt S7).
  • Die Vermittlungsvorrichtung (S) 104 führt die Zugriffsberechtigungssteuerung für die VPN-Clienteinheit (D) 102 über das SPKI-Schema durch, und im Falle der Bewilligung des Zugriffs durchsucht die Vermittlungsvorrichtung den Domain-Nameserver (DNS) 105, um die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B zu erhalten (Schritt S8). Dann nimmt die Vermittlungsvorrichtung (S) 104 Bezug auf die Zugriffssteuerungsliste (ACL), um die private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 zu erhalten, die an das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte LAN 110 angeschlossen ist. Dann erzeugt die Vermittlungsvorrichtung (S) 104 einen gemeinsamen Schlüssel KEY_DB, der zur gegenseitigen Authentisierung zwischen der VPN-Gatewayeinheit (B) 103 und der VPN-Clienteinheit (D) 102 verwendet wird. Dann verwendet die Vermittlungsvorrichtung (S) 104 den öffentlichen Schlüssel PUBLICKEY_D der VPN-Clienteinheit (D) 102, um den Kommunikationskanal zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit (D) 102 zu verschlüsseln, und sendet die IP-Adressen IPADDRESS_B und IPADDRESS_C und den gemeinsamen Schlüssel KEY_DB über den verschlüsselten Kommunikationskanal an die VPN-Clienteinheit (D) 102 (Schritt S9). Dann verwendet die Vermittlungsvorrichtung (S) 104 den öffentlichen Schlüssel PUBLICKEY_B der VPN-Gatewayeinheit (B) 103, um den Kommunikationskanal zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Gatewayeinheit (B) 103 zu verschlüsseln, und sendet die IP-Adresse IPADDRESS_D und den gemeinsamen Schlüssel KEY_DB über den verschlüsselten Kommunikationskanal an die VPN-Gatewayeinheit (B) 103 (Schritt S10). Dadurch sind die VPN-Clienteinheit (D) 102 und die VPN-Gatewayeinheit (B) in die Lage versetzt, durch Verwendung des gemeinsamen Schlüssels KEY_DB miteinander auf sichere Weise zu kommunizieren.
  • Bis zu diesem Punkt ist der Aufbau jeder Einheit und jeder Vorrichtung des Systems von 1 und ein allgemeingültige Kurzdarstellung seines gesamten Betriebs dargestellt worden, aber die IP-Adressverwaltung und Verfahren zur Namensauflösung im Domain-Namensserver (DNS) 105, das Verfahren der Verschlüsselung des Kommunikationskanals durch den IPsec Transportmodus oder Tunnelmodus, das Verfahren zur Erzeugung der gemeinsamen Schüssel KEY_AB und KEY_DB und das Verfahren zur Verifikation der Signatur mit Hilfe von öffentlichen Schlüsseln werden nicht genau dargestellt werden, weil diese Verfahren Fachleuten gut bekannt sind. Außerdem kann, im Falle der Verwendung sowohl des Namenszertifikates als auch des Autorisierungszertifikates, die Zugriffsberechtigungssteuerung über das SPKI-Schema ebenfalls durch dasselbe Verfahren durchgeführt werden, wie es in dieser Ausführungsform verwendet ist; deshalb wird keine genaue Beschreibung durchgeführt.
  • Im Folgenden wird der Ablauf der Speicherung der Zugriffssteuerungsliste (ACL), die Erfassung der IP-Adresse, die Erzeugung des gemeinsamen Schlüssels und der Ablauf des Sendens der IP-Adresse und des gemeinsamen Schlüssels genau dargestellt. Als erstes auf 5 bezugnehmend wird der Ablauf der Speicherung der Zugriffssteuerungsliste (ACL) in der Vermittlungsvorrichtung (S) genau beschrieben. Im übrigen wird in dieser Ausführungsform angenommen, dass die Zugriffssteuerungsliste in der VPN-Gatewayeinheit (B) 103 selbst gespeichert und verwaltet wird.
  • Die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 werden im IPsec Transportmodus verbunden (Schritt 1001). Dadurch ist der Kommunikationskanal zwischen der VPN-Gatewayeinheit (B) 103 und der Vermittlungsvorrichtung (S) 104 verschlüsselt. Die VPN-Gatewayeinheit (B) 103 sendet über den verschlüsselten Kommunikationskanal den öffentlichen Schlüssel PUBLICKEY_B und die SPKI formatierte Zugriffssteuerungsliste (ACL) (8) (Schritt 1002). Die Vermittlungsvorrichtung (S) 104 empfängt den öffentlichen Schlüssel PUBLICKEY_B und die Zugriffssteuerungsliste (ACL), die von der VPN-Gatewayeinheit (B) 103 gesendet wurden, und speichert den empfangenen öffentlichen Schlüssel PUBLICKEY_B und die Zugriffssteuerungsliste (ACL) in Verbindung miteinander (Schritt 1003). Die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 werden voneinander getrennt (Schritt 1004).
  • Im übrigen wird, falls eine VPN-Gatewayverwaltungseinheit (M) 112 bereitgestellt wird, die ein Recht zur Verwaltung der Zugriffssteuerungsliste (ACL) für die oben erwähnte VPN-Gatewayeinheit (B) 103 hat, die Verarbeitung durch die Gatewayeinheit (B) 103 im Ablauf des Eintrags in die Zugriffssteuerungsliste (ACL) vollständig durch die VPN-Gatewayverwaltungseinheit (M) 112 ausgeführt.
  • Als nächstes wird unter Bezug auf 6 und 7 der Ablauf dargestellt, durch den die Vermittlungsvorrichtung (S) 104: den gemeinsamen Schlüssel KEY_AB zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 erzeugt; die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B, die der Kommunikationseinheit (C) zugewiesene private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB an die VPN-Clienteinheit (A) 101 sendet; und die der VPN-Clienteinheit (A) 101 zugewiesene IP-Adresse IPADDRESS_A, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103 sendet.
  • In 6 werden die VPN-Clienteinheit (A) 101 und die Vermittlungsvorrichtung (S) 104 miteinander im IPsec Transportmodus verbunden (Schritt 1101). In anderen Worten, der Kommunikationskanal zwischen der VPN-Clienteinheit (A) 101 und der Vermittlungsvorrichtung (S) 104 ist verschlüsselt. Die VPN-Clienteinheit (A) 101 sendet über den verschlüsselten Kommunikationskanal eine den öffentlichen Schlüssel PUBLICKEY_B der VPN-Gatewayeinheit (B) 103 und den öffentlichen Schlüssel PUBLICKEY_A der VPN-Clienteinheit (A) 101 enthaltende DNS-Abfrage QUERY an die Vermittlungsvorrichtung (S) 104 (Schritt 1102).
  • Die Vermittlungsvorrichtung (S) 104 erfasst die der VPN-Clienteinheit (A) 101 zugewiesene IP-Adresse IPADDRESS_A, die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B, die private IP-Adresse IPADDRESS_C, die der Kommunikationseinheit (C) 111 zugewiesen ist, die an das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte LAN 110 angeschlossenen ist, und die Attributinformation ATTRIBUTE_A der VPN-Clienteinheit (A) 101, und erzeugt den gemeinsamen Schlüssel KEY_AB, der zur Authentisierung zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 durch IKE oder ähnliches verwendet wird (Schritt 1103). 7 ist ein detailliertes Flussdiagramm von Schritt 1103.
  • In 7 empfängt die Vermittlungsvorrichtung (S) 104 die DNS-Abfrage QUERY und den öffentlichen Schlüssel PUBLICKEY_A, die von der VPN-Clienteinheit (A) 101 gesendet wurden, und liest sie dazu ein (Schritt 1201). Dann nimmt die Vermittlungsvorrichtung Bezug auf die eingelesene DNS-Abfrage QUERY, um davon den öffentlichen Schlüssel PUBLICKEY_B abzurufen (Schritt 1202). Dann verwendet die Vermittlungsvorrichtung den abgerufenen öffentlichen Schlüssel PUBLICKEY_B, um die mit dem öffentlichen Schlüssel verbundene Zugriffssteuerungsliste (ACL) zu erhalten (Schritt 1203). Die Zugriffssteuerungsliste (ACL) hat das in 8 gezeigte Format. Als Nächstes erzeugt die Vermittlungsvorrichtung die Daten TAG in dem in 9 gezeigten Format unter Verwendung der dazu in Schritt 1201 eingelesenen DNS-Abfrage QUERY (Schritt 1204).
  • Die Vermittlungsvorrichtung (S) 104 verwendet den dazu in Schritt 1201 eingelesenen öffentlichen Schlüssel PUBLICKEY_A, die in Schritt 1204 erzeugten Daten TAG und die in Schritt 1203 erfasste Zugriffssteuerungsliste (ACL), um eine Operation durchzuführen, die zum Beispiel auf den in den Nichtpatentdokumenten 4 und 5 definierten Regeln zur Reduktionsoperation basiert (Schritt 1205), um dadurch zu entscheiden, ob die Vermittlungsvorrichtung bei der Operation erfolgreich war oder nicht (Schritt 1206). Falls die Vermittlungsvorrichtung bei der Operation keinen Erfolg hat, bricht sie zu diesem Zeitpunkt den Arbeitsablauf ab.
  • Nur falls in Schritt 1206 entschieden wird, dass die Vermittlungsvorrichtung (S) 104 bei der Operation erfolgreich war, gibt es die Operationsergebnisdaten DATA im in 10 gezeigten Format aus. Die in 10 gezeigten Operationsergebnisdaten DATA sind Daten eines in den Nichtpatentdokumenten 4 und 5 definierten 5-Tupel Formats. Nur falls der ACL-Eintrag, in dem der Wert des Subjektfeldes der Operationsergebnisdaten DATA vollständig mit dem auf dem SHA-1 Algorithmus basierenden Hash-Wert HASH_A des in Schritt 1201 empfangenen öffentlichen Schlüssels PUBLICKEY_A übereinstimmt, in der in Schritt 1203 erhaltenen Zugriffssteuerungsliste (ACL) enthalten ist, enthält das Tagfeld der Daten DATA in 10 eine Zeichenkette, die vollständig den Daten TAG in 9 entspricht.
  • Die Vermittlungsvorrichtung (S) 104 nimmt Bezug auf das Tagfeld der Ausgabedaten DATA von 10 und erzeugt eine DNS-Abfrage QUERY' (Schritt 1207). Dann legt die Vermittlungsvorrichtung die DNS-Abfrage QUERY' dem Domain-Nameserver (DNS) 105 vor und ruft von ihm die IP-Adresse IPADDRESS_B ab (Schritt 1208). Dann durchsucht die Vermittlungsvorrichtung die Zugriffssteuerungsliste ACL auf Basis des Hash-Wertes HASH_A des öffentlichen Schlüssels PUBLICKEY_A, um einen ACL-Eintrag ENTRY zu erhalten, der in seinem Subjektfeld eine Zeichenkette enthält, die vollständig dem Hash-Wert HASH_A entspricht (Schritt 1209). Dann nimmt die Vermittlungsvorrichtung Bezug auf das Tagfeld des in Schritt 1209 erhaltenen ACL-Eintrags ENTRY und erhält die private IP-Adresse IPADDRESS_C und die Attributinformation ATTRIBUTE_A (Schritt 1210). Dann erhält die Vermittlungsvorrichtung die IP-Adresse IPADDRESS_A der VPN-Clienteinheit (A) 101 (Schritt 1211). Auf dies folgt die Erzeugung des gemeinsamen Schlüssels KEY_AB (Schritt 1212).
  • Zurückkehrend zu 6 sendet die Vermittlungsvorrichtung (S) 104 die IP-Adresse IPADDRESS_B und die wie oben erwähnt erhaltene private IP-Adresse IPADDRESS_C und den erzeugten gemeinsamen Schlüssel KEY_AB über den in Schritt 1101 verschlüsselten Kommunikationskanal an die VPN-Clienteinheit (A) 101 (Schritt 1104). Dann werden die Clienteinheit (A) 101 und die Vermittlungsvorrichtung (S) 104 voneinander getrennt (Schritt 1105).
  • Als nächstes werden die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 miteinander im IPsec Transportmodus verbunden (Schritt 1106). Das heißt, dass der Kommunikationskanal zwischen der VPN-Gatewayeinheit (B) 103 und der Vermittlungsvorrichtung (S) 104 verschlüsselt ist. Dann sendet die Vermittlungsvorrichtung (S) 104 die vorher erfasste IP-Adresse IPADDRESS_A und Attributinformation ATTRIBUTE_A und den vorher erzeugten gemeinsamen Schlüssel KEY AB über den in Schritt 1106 verschlüsselten Kommunikationskanal an die VPN-Gatewayeinheit (B) 103 (Schritt 1107). Dann werden die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 voneinander getrennt (Schritt 1108).
  • Danach wird, wie in 2 dargestellt, das Fernzugriffs-VPN von der Clienteinheit (A) 101 zur Kommunikationseinheit (C) 111 im IPsec Tunnelmodus über die VPN-Gatewayeinheit (B) 103 realisiert; aber diese Operation wird nicht genauer beschrieben.
  • Als nächstes wird unten der Ablauf beschrieben, durch den die VPN-Clienteinheit (A) 101 das Zertifikat CERT ausgibt und ihr ausgegebenes Zertifikat CERT an die VPN-Clienteinheit (D) 102 weitergibt. Übrigens wird kein Flussdiagramm gezeigt.
    • (1) Die VPN-Clienteinheit (A) 101 erzeugt die Zertifikatinformation INFO in dem Zertifikat CERT in Übereinstimmung mit der im SPKI-Schema definierten Grammatik. 11 zeigt ein Beispiel des Zertifikates CERT in dieser Ausführungsform. In 11 ist der Wert des Ausgebenderfeldes in der Zertifikatinformation INFO als der Hash-Wert HASH_A des öffentlichen Schlüssels PUBLICKEY_A definiert, der durch einen beliebigen Hashing-Algorithmus erhalten wird. Und der Wert des Subjektfeldes ist als ein auf dem SHA-1 Algorithmus basierenden Hash-Wert HASH_D des öffentlichen Schlüssels PUBLICKEY_D definiert. Ferner ist der Wert des Tagfeldes als die an die VPN-Gatewayeinheit (B) zugewiesene IP-Adresse IPADDRESS_B definiert. Der Wert des Übertragungsfeldes ist als die im Nichtpatentdokument 5 definierte Zeichenkette „propagate" definiert. Andererseits kann der Wert des Gültigkeitsfeldes als ein beliebiger Wert definiert werden, da es nicht direkt mit der vorliegenden Erfindung in Beziehung steht.
    • (2) Die VPN-Clienteinheit (A) 101 gibt das Zertifikat CERT dadurch aus, dass es die in (1) erzeugten Daten durch Verwendung des privaten Schlüssels PRIVATEKEY_A signiert.
    • (3) Die VPN-Clienteinheit (A) 101 sendet das in (2) ausgegebene Zertifikat CERT durch beliebige Mittel an die VPN-Clienteinheit (D) 102.
    • (4) Die VPN-Clienteinheit (D) 102 erfasst und speichert das in seiner Gesamtheit von der VPN-Clienteinheit (A) 101 gesendete Zertifikat CERT durch beliebige Mittel.
  • Der Ablauf, durch den die Vermittlungsvorrichtung (S) 104: den gemeinsamen Schlüssel KEY_DB erzeugt, der zur Authentisierung zwischen der VPN-Clienteinheit (D) 102 und der VPN-Gatewayeinheit (B) 103 durch IKE oder ähnlichem verwendet wird; dann die IP-Adresse IPADDRESS_B, die private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_DB an die VPN-Clienteinheit (D) 102 sendet; und die an die VPN-Clienteinheit (D) 102 zugewiesene IP-Adresse IPADDRESS_D, die Attributinformation ATTRIBUTE_A der VPN-Clienteinheit (A) 101 und den ge meinsamen Schlüssel KEY_DB an die VPN-Gatewayeinheit (B) 103 sendet, kann in derselben Weise ausgeführt werden wie der vorher unter Bezug auf 6 und 7 beschriebene Ablauf, bei dem die Vermittlungsvorrichtung (S) 104: den gemeinsamen Schlüssel KEY_AB zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 erzeugt; die IP-Adresse IPADDRESS_B, die private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB an die VPN-Clienteinheit (A) 101 sendet; und die IP-Adresse IPADDRESS_A, die Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103 sendet.
  • Folglich kann das Fernzugriffs-VPN auch wie in 2 dargestellt von der Clienteinheit (D) 102 zur Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus realisiert werden.
  • Wie oben beschrieben speichert die Vermittlungsvorrichtung (S) 104 in dieser Ausführungsform die von der VPN-Gatewayeinheit (B) 103 gesendete Zugriffssteuerungsliste (ACL) und speichert dabei die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse IPADDRESS_C. Dies ermöglicht es der Vermittlungsvorrichtung (S) 104, die private IP-Adresse IPADDRESS_C der an das lokale Netz (LAN) 110 angeschlossenen Kommunikationseinheit (C) 111 zu erfahren, die der VPN-Gatewayeinheit (B) 103 bekannt ist. Folglich kann die VPN-Clienteinheit (A) 101 die für das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus notwendige private IP-Adresse IPADDRESS_C erfahren, indem sie vor Realisierung des Fernzugriffs-VPN eine Abfrage nach ihr an die Vermittlungsvorrichtung (S) 104 stellt.
  • In dieser Ausführungsform erzeugt die Vermittlungsvorrichtung (S) 104 den gemeinsamen Schlüssel KEY_AB und sendet den gemeinsamen Schlüssel KEY_AB an sowohl die VPN-Clienteinheit (A) 101 wie auch die VPN-Gatewayeinheit (B) 103. Als Ergebnis davon können die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit (B) 103 den gemeinsamen Schlüssel KEY_AB empfangen. Folglich können die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit (B) 103 den zur Authentisierung in der IKE Phase 1 verwendeten gemeinsamen Schlüssel KEY_AB online gemeinsam nutzen.
  • In dieser Ausführungsform authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 speichert, nur dann wenn die Authentisierung erfolgreich ist, die von der VPN-Gatewayeinheit (B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111. Dies ermöglicht es der Vermittlungsvorrichtung (S) 104 eine von einer nicht maskierten VPN-Gatewayeinheit (B) 103 gesendete private IP-Adresse IPADDRESS_C zu speichern. Folglich kann die VPN-Clienteinheit (A) 101 die von einer zulässigen VPN-Gatewayeinheit (B) 103 gesendete IP-Adresse IPADDRESS_C erfahren.
  • In dieser Ausführungsform verschlüsselt die Vermittlungsvorrichtung (S) 104 den Kommunikationskanal zwischen sich und dem VPN-Gateway (B) 103 in der die VPN-Gatewayeinheit (B) 103 authentisierenden Operation der Vermittlungsvorrichtung (S) 104 und speichert die von der VPN- Gatewayeinheit (B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111, nur falls die Authentisierung erfolgreich ist. Dies stellt sicher, dass die Vermittlungsvorrichtung (S) 104 die von der VPN-Gatewayeinheit (B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 ohne Verfälschung und Abhören der IP-Adresse empfängt. Folglich kann die VPN-Clienteinheit (A) 101 die von einer zulässigen VPN-Gatewayeinheit (B) 103 gesendete gültige private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 erfahren. Außerdem kann die VPN-Gatewayeinheit (B) 103 eine gültige private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 an die Vermittlungsvorrichtung (S) 104 senden, ohne zuzulassen, dass sie einer unbestimmten breiten Öffentlichkeit bekannt wird.
  • In dieser Ausführungsform authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Clienteinheit (A) 101; und erhält, nur falls die Authentisierung erfolgreich ist, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B vom Domain-Nameserver (DNS) 105 indem sie dazu eine Abfrage nach ihr stellt, erzeugt dann den gemeinsamen Schlüssel KEY_AB, und sendet die dadurch erhaltene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse IPADDRESS_C und den erzeugten gemeinsamen Schlüssel KEY_AB allesamt an die VPN-Clienteinheit (A) 101. Als Ergebnis wird, falls die VPN-Clienteinheit (A) 101 nicht maskiert ist, der Vermittlungsvorrichtung (S) 104 erlaubt, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB allesamt an die VPN-Clienteinheit (A) 101 zu senden. Folglich ist es nur der zulässigen VPN-Clienteinheit (A) 101 erlaubt, das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus zu realisieren.
  • In dieser Ausführungsform entscheidet die Vermittlungsvorrichtung (S) 104, ob die VPN-Clienteinheit (A) 101 das Recht zum Abruf der an die VPN-Gatewayeinheit (B) 103 zugewiesenen IP-Adresse IPADDRESS_B hat oder nicht; und erhält, nur falls die VPN-Gatewayeinheit das Recht hat, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B vom Domain-Nameserver (DNS) 105, indem sie dazu eine Abfrage stellt, erzeugt dann den gemeinsamen Schlüssel KEY_AB, und sendet die dadurch erhaltene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse IPADDRESS_C und den erzeugten gemeinsamen Schlüssel KEY_AB allesamt an die VPN-Clienteinheit (A) 101. Dies ermöglicht es der Vermittlungsvorrichtung (S) 104, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB allesamt einzig an die VPN-Gatewayeinheit (B) 103 und die VPN-Clienteinheit (A) 101 zu senden, die die Berechtigung zum Zugriff auf die Kommunikationseinheit (C) 111 haben. Folglich ist es möglich, die VPN-Gatewayeinheit (B) 103 und die Kommunikationseinheit (C) 111 vom Fernzugriffs-VPN im IPsec Tunnelmodus vor einer unbestimmten breiten Öffentlichkeit zu schützen.
  • In dieser Ausführungsform verschlüsselt die Vermittlungsvorrichtung (S) 104 den Kommunikationskanal zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit (A) 101. Daher kann die Vermittlungsvorrichtung (S) 104 die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP- Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB an die VPN-Clienteinheit (A) 101 senden, ohne dass sie verfälscht und abgehört werden. Folglich kann die VPN-Clienteinheit (A) 101 das Fernzugriffs-VPN zur zulässigen Kommunikationseinheit (C) 111 über die zulässige VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus realisieren.
  • In dieser Ausführungsform authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Gatewayeinheit (B) 103 und sendet, nur falls die Authentisierung erfolgreich ist, die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103. Als Ergebnis kann die Vermittlungsvorrichtung (S) 104, falls die VPN-Gatewayeinheit (B) 103 nicht maskiert ist, die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103 senden. Dies führt zu dem Ergebnis, dass es der VPN-Clienteinheit (A) 101 erlaubt ist, das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die zulässige VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus zu realisieren.
  • In dieser Ausführungsform verschlüsselt die Vermittlungsvorrichtung (S) 104 in der die Gatewayeinheit (B) 103 authentisierenden Operation der Vermittlungsvorrichtung (S) 104 den Kommunikationskanal zwischen sich und der VPN-Gatewayeinheit (B) 103 und sendet, nur falls die Authentisierung erfolgreich ist, die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103. Dies stellt sicher, dass die Vermittlungsvorrichtung (S) 104 die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB allesamt an die Gatewayeinheit (B) 103 sendet, ohne dass sie verfälscht und abgehört werden. Folglich können die VPN-Gatewayeinheit (B) 103 und die Kommunikationseinheit (C) 111 das Fernzugriffs-VPN zur gültigen VPN-Clienteinheit (A) 101 im IPsec Tunnelmodus realisieren.
  • In dieser Ausführungsform authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit (B) 103 durch das SPKI-Schema. Dies erlaubt Identitätsbestätigung durch Signaturverifizierung, was die Notwendigkeit beseitigt, ein öffentliches Schlüssel- zertifikat von entweder der VPN-Clienteinheit (A) 101 oder der VPN-Gatewayeinheit (B) 103 an die Vermittlungsvorrichtung (S) 104 zu senden. Folglich können sowohl die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit (B) 103 ihre persönliche Information vor der Vermittlungsvorrichtung S verbergen.
  • In dieser Ausführungsform gibt die VPN-Clienteinheit (A) 101 das Zertifikat CERT durch das SPKI-Schema aus und sendet es an die VPN-Clienteinheit (D) 102. Da dies es der VPN-Clienteinheit (A) 101 ermöglicht, ein Recht zum Abruf der an die VPN-Gatewayeinheit (B) 103 zugewiesenen IP-Adresse IPADDRESS_B an die VPN-Clienteinheit (D) 102 zu übertragen, kann die VPN-Clienteinheit (D) 102 die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B abrufen. Ferner kann die VPN-Clienteinheit (D) 102 die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse IPADDRESS_C erhalten. Folglich kann auch die VPN-Clienteinheit (D) 102 das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus realisieren. Außerdem ist die VPN-Gatewayeinheit (B) 103 in der Lage, die Realisierung des Fernzugriffs-VPN von der VPN-Clienteinheit (D) 102 zu erlauben, ohne dass es notwendig ist, Informationen über die VPN-Clienteinheit (D) 102 zur Zugriffssteuerungsliste (ACL) hinzuzufügen. Infolgedessen verringert die VPN-Gatewayeinheit (B) 103 den Verwaltungsaufwand, wie zum Beispiel das Editieren der Zugriffssteuerungsliste (ACL).
  • Im übrigen kann die Platzierung des Hash-Wertes HASH_B des öffentlichen Schlüssels PUBLICKEY_B und IPADDRESS_B unter zugehöriger Verwaltung des in den 1 und 2 gezeigten Domain-Nameservers (DNS) 105 auch durch einen Ablauf erreicht werden, durch den die VPN-Gatewayeinheit (B) 103 den Hash-Wert HASH_B ihres öffentlichen Schlüssels PUBLICKEY_B erzeugt, dann den Hash-Wert HASH_B und ihre IP-Adresse IPADDRESS_B in den Domain-Nameserver (DNS) einträgt, und durch Änderung der DNS-Abfrage im Ablauf (Schritt 1102) in 6 in eine DNS-Abfrage, die den Hash-Wert HASH_B des öffentlichen Schlüssels PUBLICKEY_B durch einem beliebigen Hashing-Algorithmus enthält.
  • In der Zugriffssteuerungsliste (ACL) in 8, den Daten TAG in 9, den Operationsergebnisdaten DATA in 10 und dem Zertifikat CERT in 11 kann der Hash-Wert HASH_A durch einen beliebigen, vom SHA-1 Algorithmus verschiedenen Hashing-Algorithmus berechnet werden. Der Wert des Ausgebenderfeldes kann als der öffentliche Schlüssel PUBLICKEY_A anstatt des Hash-Wertes HASH_A definiert werden. Auf ähnliche Weise kann der Wert des Subjektfeldes als der öffentliche Schlüssel PUBLICKEY_D anstatt des Hash-Wertes HASH_D definiert werden. Selbst wenn diese Änderungen durchgeführt werden, können durch Ausführung der Operationen in Übereinstimmung mit den in den auf SPKI bezogenen Nichtpatentdokumenten 4 und 5 definierten Regeln zur Reduktionsoperation hinsichtlich der Zugriffssteuerung dieselben Ergebnisse erzielt werden wie sie oben beschrieben sind. Das Format des Zertifikates CERT, im Falle der Verwendung eines anderen Hashing-Algorithmus als des SHA-1 Algorithmus, und die Formate der Zugriffssteuerungsliste (ACL), der Daten DATA und des Zertifikates CERT, im Falle der Zuordnung des öffentlichen Schlüssels an das Ausgebenderfeld und an das Subjektfeld, werden nicht genau beschrieben, da sie in den SPKI betreffenden Nichtpatentdokumenten 4 und 5 genau beschrieben werden. Mit der Änderung kann der in 7 gezeigte Ablauf (Schritt 1209) offensichtlich durch einen Ablauf ausgeführt werden, bei dem der öffentliche Schlüssel PUBLICKEY_A der Zugriffssteuerungsliste (ACL) vorgelegt wird, um von daher den ACL-Eintrag abzurufen.
  • Ferner ist der in 2 gezeigten VPN-Clienteinheit (A) 101 nur die globale IP-Adresse IPADDRESS_A zugewiesen, jedoch kann nach Anweisungen von der VPN-Gatewayeinheit (B) 103 unter Verwendung der in Patentdokument 4 und Nichtpatentdokument 4 dargelegten Verfahren, der VPN-Clienteinheit (A) 101 zum Zeitpunkt des Aufbaus des IPsec Tunnelmodus zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 dynamisch eine beliebige private IP-Adresse im lokalen Netz zugewiesen werden. Ferner kann der VPN-Clienteinheit (A) 101 über den im IPsec Transportmodus zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit (A) 101 aufgebauten Kommunikationskanal nach Anweisungen von der Vermittlungsvorrichtung (S) 104 unter Verwendung eines Verfahrens, wie etwa in Patentdokument 3 dargelegt, eine beliebige private IP-Adresse im lokalen Netz dynamisch zugewiesen werden.
  • AUSFÜHRUNGSFORM 2
  • Diese Ausführungsform entwickelt das Zertifikat CERT weiter und stellt das Zertifikat CERT in Form eines öffentlichen Schlüsselzertifikates vom X.509 Typ bereit. Der grundsätzliche Systemaufbau dieser Ausführungsform ist derselbe wie der von Ausführungsform 1, aber eine Authentisierungsstelle wird benötigt. 12 veranschaulicht den allgemeingültigen Systemaufbau dieser Ausführungsform. In 12 sind die VPN-Clienteinheit (A) 101, die VPN-Gatewayeinheit (B) 103, eine Authentisierungsstelle (CA) 106, der Domain-Nameserver (DNS) 105 und die Vermittlungsvorrichtung (S) 104 jeweils unter IP-(Internetprotokoll-)Steuerung an das Netzwerk (WAN) 100 angeschlossen.
  • 13 ist ein Diagramm zur Erklärung des Betriebs des Gesamtsystems in 12. Die dicken Linien kennzeichnen das Fernzugriffs-VPN im IPsec Tunnelmodus, und die unterbrochenen Linien kennzeichnen das Übermitteln des öffentlichen Schlüsselzertifikates CERT an die Authentisierungsstelle (CA) in der Authentisierung in der IKE Phase 1. Auch in dieser Ausführungsform sind der Hostname der VPN-Clienteinheit (A) 101 durch den öffentlichen Schlüssel PUBLICKEY_A (oder seinen Hash-Wert HASH_A), ihre IP-Adresse durch IPADDRESS_A, der Hostname der VPN-Gatewayeinheit (B) 103 durch den öffentlichen Schlüssel PUBLICKEY_B (oder seinen Hash-Wert HASH_B), ihre IP-Adresse durch IPADDRESS_B und die private IP-Adresse der Kommunikationseinheit (C) 111 durch IPADDRESS_C repräsentiert.
  • Die der VPN-Clienteinheit (A) 101 zugewiesene IP-Adresse IPADDRESS_A und die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B sind beide im IP-Netz (WAN) 100 eindeutig, und sie werden durch beliebige Mittel zugewiesen. Der öffentliche Schlüssel PUBLICKEY_B (oder sein Hash-Wert HASH_B) und die IP-Adresse IPADDRESS_B der VPN-Gatewayeinheit (B) 103 sind eindeutig zueinander zugehörig und unter die Verwaltung des Domain-Nameserver (DNS) 105 gestellt. Die der Kommunikationseinheit 111 zugewiesene private IP-Adresse IPADDRESS_C ist nur im lokalen Netz (LAN) 110 eindeutig, und sie wird dynamisch über beliebige Mittel wie DHCP (Dynamic Host Configuration Protocol) oder IPCP (PPP IP control protocol) zugewiesen.
  • Die VPN-Clienteinheit (A) 101, die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 haben jeweils Mittel für die Verschlüsselung des Kommunikationskanals im IPsec Transportmodus oder IPsec Tunnelmodus. Der private Schlüssel des öffentlichen Schlüssels PUBLICKEY_A ist PRIVATEKEY_A, der in der VPN-Clienteinheit (A) 101 gespeichert ist. CERT_A ist ein öffentliches Schlüsselzertifikat im X.509 Format, das den mit dem privaten Schlüssel PRIVATEKEY_A ein Paar bildenden öffentlichen Schlüssel PUBLICKEY_A enthält, und es ist mit dem privaten Schlüssel PRIVATEKEY_R der Authentisierungsstelle (CA) signiert und in der VPN-Clienteinheit (A) 101 gespeichert. Ein privater Schlüssel PRIVATEKEY_B des öffentlichen Schlüssels PUBLICKEY_B ist in der VPN-Gatewayeinheit (B) 103 gespeichert. CERT_B ist ein öffentli ches Schlüsselzertifikat im X.509 Format, das den mit dem privaten Schlüssel PRIVATEKEY_B ein Paar bildenden öffentlichen Schlüssel PUBLICKEY_B enthält, und es ist auch mit dem privaten Schlüssel PRIVATEKEY_R der Authentisierungsstelle (CA) 106 signiert und in der VPN-Gatewayeinheit (B) 103 gespeichert. Die Authentisierungsstelle (CA) 106 authentisiert das öffentliche Schlüsselzertifikat CERT_A der VPN-Clienteinheit (A) 101 und das öffentliche Schlüsselzertifikat CERT_B der VPN-Gatewayeinheit (B) 103 durch das PKI-(Public-Key-Infrastructure-)Schema. Die Zugriffssteuerungsliste (ACL) sind Daten, die die private IP-Adresse IPADDRESS_C und die Attributinformation ATTRIBUTE_A der VPN-Clienteinheit (A) 101 mit einer Kombination des öffentlichen Schlüssels PUBLICKEY_A und des öffentlichen Schlüssels PUBLICKEY_B verbinden, und die Liste hat dieselbe Struktur, wie sie in 8 gezeigt ist, und ist in der VPN-Gatewayeinheit (B) 103 gespeichert. Ein privater Schlüssel PRIVATEKEY_S ist in der Vermittlungsvorrichtung (S) 104 gespeichert. CERT_S ist ein öffentliches Schlüsselzertifikat im X.509 Format, das den mit dem privaten Schlüssel PRIVATEKEY_S ein Paar bildenden öffentlichen Schlüssel PUBLICKEY_S enthält, und es ist mit dem privaten Schlüssel PRIVATEKEY_R der Authentisierungsstelle (CA) 106 signiert und in der Vermittlungsvorrichtung (S) 104 gespeichert.
  • Die Vermittlungsvorrichtung hat im wesentlichen denselben Aufbau wie die Vermittlungsvorrichtung (S) 104 in Ausführungsform 1, aber unterscheidet sich von Letzterer darin, dass das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 die Clienteinheit (A) 101 und die Gatewayeinheit (B) durch die von der Authentisierungsstelle (CA) 106 signierten öffentlichen Schlüsselzertifikate CERT_A und CERT_B der Clienteinheit (A) und der Gatewayeinheit (B) authentisiert. Deshalb wird der Aufbau der Vermittlungsvorrichtung (S) 104 nicht beschrieben und für die Vermittlungsvorrichtung (S) 104 wird nachstehend auf 3 verwiesen.
  • Das IP-Adresserfassungsmittel 1043 ruft die IP-Adresse IPADDRESS_B aus dem öffentlichen Schlüssel PUBLICKEY_B durch das im Internet übliche, DNS-Schema genannte, Namensauflösungs-Schema ab. Das ACL-Speichermittel 1041 verwaltet die Zugriffssteuerungsliste (ACL) in Verbindung mit dem öffentlichen Schlüssel PUBLICKEY_B. Das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 legt den im öffentlichen Schlüsselzertifikat CERT_A enthaltenen öffentlichen Schlüssel PUBLICKEY_A der Zugriffssteuerungsliste ACL vor, um ihn zu suchen, und gibt als Suchergebnis die private IP-Adresse IPADDRESS_C und die Attributinformation ATTRIBUTE_A aus, die eindeutig mit der Kombination des öffentlichen Schlüssels PUBLICKEY_A und des öffentlichen Schlüssels PUBLICKEY_B verbunden sind. Das Schlüsselerzeugungsmittel 1044 erzeugt den gemeinsamen Schlüssel KEY_AB, der zur Authentisierung in der IKE Phase 1 zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 verwendet wird.
  • Als Nächstes wird mit Bezug auf 13 eine allgemeingültige Kurzdarstellung des Betriebs der Ausführungsform von 12 beschrieben.
  • Zu der Zeit der Eingabe (Speicherung) der Zugriffssteuerungsliste (ACL) sendet die VPN-Gatewayeinheit (B) 103 den öffentlichen Schlüssel PUBLICKEY_B (oder seinen Hash-Wert HASH_B) und die Zugriffssteuerungsliste (ACL) an die Vermittlungsvorrichtung (S) 104 (Schritt S21). Die Vermittlungsvorrichtung (S) 104 speichert die Zugriffssteuerungsliste (ACL) als die Tabellen von 4A und 4B in Verbindung mit dem öffentlichen Schlüssel PUBLICKEY_B (oder seinem Hash-Wert HASH_B). Im Falle der Realisierung eines Fernzugriffs-VPN von der VPN-Clienteinheit (A) 101 zur Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus sendet die VPN-Clienteinheit (A) 101 den öffentlichen Schlüssel PUBLICKEY_A und den öffentlichen Schlüssel PUBLICKEY_B (oder seinen Hash-Wert HASH_B) an die Vermittlungsvorrichtung (S) 104, um zum Abruf der IP-Adressen der VPN-Gatewayeinheit (B) 103 und der Kommunikationseinheit (C) 111 aufzufordern (Schritt S22).
  • In dem Fall, in dem das Authentisierungs-/Zugrlffsberechtigungssteuerungsmittel 1042 die Zugriffsberechtigungssteuerung der VPN-Clienteinheit (A) 101 durch das PKI-Schema durchführt, um ihr Zugriffsberechtigung zu gewähren, durchsucht die Vermittlungsvorrichtung (S) 104 den Domain-Nameserver (DNS) 105 und ruft von dort die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B ab (Schritt S23). Die Vermittlungsvorrichtung (S) 104 nimmt Bezug auf die Zugriffssteuerungsliste (ACL), um von dort die private IP-Adresse IPADDRESS_C und Attributinformation ATTRIBUTE_A der Kommunikationseinheit (C) 111 zu erhalten, die an das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte LAN 110 angeschlossenen ist. Außerdem erzeugt die Vermittlungsvorrichtung (S) 104 den gemeinsamen Schlüssel KEY_AB, der zur Authentisierung zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 verwendet wird. Und die Vermittlungsvorrichtung (S) 104 verschlüsselt den Kommunikationskanal zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit (A) 101, durch den sie die IP-Adressen IPADDRESS_B, IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB an die VPN-Clienteinheit (A) 101 sendet (Schritt S24). Ferner verschlüsselt die Vermittlungsvorrichtung (S) 104 den Kommunikationskanal zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Gatewayeinheit (B) 103, durch den sie die IP-Adresse IPADDRESS_A, die Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103 sendet (Schritt S25).
  • Bis zu diesem Punkt sind der Aufbau von jeder Einheit und jeder Vorrichtung des Systems von 12 und die allgemeingültige Kurzdarstellung seines Betriebs beschrieben worden, aber die IP-Adressverwaltungs- und Namensauflösungsverfahren im Domain-Nameserver (DNS) 105, das Verfahren zur Verschlüsselung des Kommunikationskanals durch den IPsec Transportmodus oder Tunnelmodus, das Verfahren zur Erzeugung der gemeinsamen Schlüssel KEY_AB und das Verfahren zur Authentisierung öffentlichen Schlüsselzertifikate CERT_A und CERT_B im X.509 Format werden nicht genau beschrieben, da diese Verfahren Fachleuten gut bekannt sind.
  • Unten wird der Ablauf der Speicherung der Zugriffssteuerungsliste (ACL), die Abläufe zur Erfassung der IP-Adressen, der Erzeugung der gemeinsamen Schlüssel und des Sendens dieser IP-Adressen und gemeinsamer Schlüssel in Ausführungsform 2 genau beschrieben.
  • Als erstes auf 14 und 15 bezugnehmend wird der Ablauf beschrieben, durch den die in der VPN-Gatewayeinheit (B) 103 gespeicherte Zugriffssteuerungsliste (ACL) in der Vermittlungsvorrichtung (S) 104 abgespeichert wird.
  • In 14 werden die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 im IPsec Transportmodus miteinander verbunden (Schritt 1301). Die Authentisierung in der IKE Phase 1 wird durch das PKI-Schema durchgeführt; die VPN-Gatewayeinheit (B) 103 sendet das öffentliche Schlüsselzertifikat CERT_B, und die Vermittlungsvorrichtung (S) 104 sendet das öffentliche Schlüsselzertifikat CERT_S. Die VPN-Gatewayeinheit (B) 103 stellt eine Abfrage über das empfangene öffentliche Schlüsselzertifikat CERT_S an die Authentisierungsstelle (CA) 106, um die Gültigkeit des öffentlichen Schlüsselzertifikates CERT_S durch das PKI-Schema zu authentisieren. In ähnlicher Weise stellt die Vermittlungsvorrichtung (S) 104 eine Abfrage über das empfangene öffentliche Schlüsselzertifikat CERT_B an die Authentisierungsstelle (CA) 106, um die Gültigkeit des öffentlichen Schlüsselzertifikates CERT_B durch das PKI-Schema zu authentisieren.
  • Die VPN-Gatewayeinheit (B) 103 sendet die Zugriffssteuerungsliste (ACL) als Ganzes über den in Schritt 1301 verschlüsselten Kommunikationskanal (Schritt 1302). Die Vermittlungsvorrichtung (S) 104 liest die von der VPN-Gatewayeinheit (B) 103 gesendete Zugriffssteuerungsliste (ACL) ein (Schritt 1303). Danach werden die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 voneinander getrennt (Schritt 1304).
  • 15 ist ein Flussdiagramm, welches im Detail den Ablauf zeigt, durch den die Vermittlungsvorrichtung (S) 104 die Zugriffssteuerungsliste (ACL) einliest. Zuerst empfängt die Vermittlungsvorrichtung (S) 104 die als Ganzes von der VPN-Gatewayeinheit (B) 103 gesendete Zugriffssteuerungsliste (ACL) (Schritt 1401). Dann nimmt die Vermittlungsvorrichtung Bezug auf das in der IKE Authentisierung verwendete öffentliche Schlüsselzertifikat CERT_B und erhält den öffentlichen Schlüssel PUBLICKEY_B (Schritt 1402). Dann speichert die Vermittlungsvorrichtung den so erhaltenen öffentlichen Schlüssel PUBLICKEY_B und die in Schritt 1402 empfangene Zugriffssteuerungsliste ACL in Verbindung miteinander ab (Schritt 1403).
  • Als Nächstes wird unter Bezug auf 16 und 17 der Ablauf beschrieben, durch den die Vermittlungsvorrichtung (S) 104: den gemeinsamen Schlüssel KEY_AB zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 erzeugt; die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B, die private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB an die VPN-Clienteinheit (A) 101 sendet; und die IP-Adresse IPADDRESS_A, die der VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103 sendet.
  • In 16 werden die VPN-Clienteinheit (A) 101 und die Vermittlungsvorrichtung (S) 104 miteinander im IPsec Transportmodus verbunden (Schritt 1501). Die Authentisierung in der IKE Phase 1 wird durch das PKI-Schema durchgeführt; die VPN-Clienteinheit (A) 101 sendet das öffentliche Schlüsselzertifikat CERT_A; und die Vermittlungsvorrichtung (S) 104 sendet das öffentliche Schlüsselzertifikat CERT_S. Die VPN-Clienteinheit (A) 101 stellt eine Abfrage über das empfangene öffentliche Schlüsselzertifikat CERT_S an die Authentisierungsstelle (CA) 106, um die Gültigkeit des öffentlichen Schlüsselzertifikates CERT_S durch das PKI-Schema zu authentisieren.
  • In ähnlicher Weise stellt die Vermittlungsvorrichtung (S) 104 stellt eine Abfrage über das empfangene öffentliche Schlüsselzertifikat CERT_A an die Authentisierungsstelle (CA), um die Gültigkeit des öffentlichen Schlüsselzertifikates CERT_A durch das PKI-Schema zu authentisieren.
  • Die VPN-Clienteinheit (A) 101 sendet die ganze, den öffentlichen Schlüssel PUBLICKEY_B der VPN-Gatewayeinheit (B) 103 enthaltende DNS-Abfrage QUERY über den in Schritt 1501 verschlüsselten Kommunikationskanal (Schritt 1502). Die Vermittlungsvorrichtung (S) 104 erfasst die an die VPN-Clienteinheit (A) 101 zugewiesene IP-Adresse IPADDRESS_A, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B und die private IP-Adresse IPADDRESS_C, die an die Kommunikationseinheit (C) 111 zugewiesen ist, die an das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte LAN 110 angeschlossenen ist, und erzeugt den gemeinsamen Schlüssel KEY_AB, der zur Authentisierung zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 durch IKE oder ähnlichem verwendet wird (Schritt 1503). 17 ist ein Flussdiagramm, das Schritt 1503 genau zeigt.
  • In 17 empfängt die Vermittlungsvorrichtung (S) 104 zuerst die als Ganzes von der VPN-Clienteinheit (A) 101 gesendete DNS-Abfrage (Schritt 1601). Dann nimmt die Vermittlungsvorrichtung Bezug auf die dazu eingegebene DNS-Abfrage und erfasst von ihr den öffentlichen Schlüssel PUBLICKEY_B als Ganzes (Schritt 1602). Dann verwendet die Vermittlungsvorrichtung den öffentlichen Schlüssel PUBLICKEY_B, um die gesamte damit verbundene Zugriffssteuerungsliste (ACL) zu erfassen (Schritt 1603). Dann nimmt die Vermittlungsvorrichtung Bezug auf das zur IKE Phase 1 Authentisierung in Schritt 1501 verwendete öffentliche Schlüsselzertifikat CERT_A und erfasst den öffentlichen Schlüssel PUBLICKEY_A als Ganzes (Schritt 1604). Dann verwendet die Vermittlungsvorrichtung den öffentlichen Schlüssel PUBLICKEY_A, um die Zugriffssteuerungsliste (ACL) zu durchsuchen, und erfasst von ihr die private IP-Adresse IPADDRESS_C (Schritt 1605). Und die Vermittlungsvorrichtung stellt fest, dass sie die private IP-Adresse IPADDRESS_C erfasst hat (Schritt 1606), und falls sie keine IP-Adresse erfassen konnte, wird der Ablauf abgebrochen.
  • Wenn sie die private IP-Adresse IPADDRESS_C erfasst hat, legt die Vermittlungsvorrichtung S die in Schritt 1601 empfangene DNS-Abfrage QUERY dem Domain-Namensserver (DNS) 105 vor, um von ihm die IP-Adresse IPADDRESS_B zu erfassen (Schritt 1607). Die Vermittlungsvorrichtung erfasst die IP-Adresse IPADDRESS_A der VPN-Clienteinheit A (Schritt 1608). Darauf folgt die Erzeugung des gemeinsamen Schlüssels KEY_AB (Schritt 1609).
  • Zurückkehrend zu 16 sendet die Vermittlungsvorrichtung (S) 104 die in Schritt 1607 erhaltene IP-Adresse IPADDRESS_B, die in Schritt 1605 erhaltene private IP-Adresse IPADDRESS_C und den in Schritt 1609 erzeugten gemeinsamen Schlüssel KEY_AB allesamt über den in Schritt 1501 verschlüsselten Kommunikationskanal an die VPN-Clienteinheit (A) (Schritt 1504). Darauf folgt, dass die VPN-Clienteinheit (A) 101 und die Vermittlungsvorrichtung (S) 104 voneinander getrennt werden (Schritt 1505).
  • Dann werden die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 miteinander im IPsec Transportmodus verbunden (Schritt 1506). Die Authentisierung in der IKE Phase 1 wird durch das PKI-Schema durchgeführt; die VPN-Gatewayeinheit (B) 103 sendet das öffentliche Schlüsselzertifikat CERT_B und die Vermittlungsvorrichtung (S) 104 sendet das öffentliche Schlüsselzertifikat CERT_S. Die VPN-Gatewayeinheit (B) 103 stellt eine Abfrage über das empfangene öffentliche Schlüsselzertifikat CERT_S an die Authentisierungsstelle (CA) 106, um die Gültigkeit des öffentlichen Schlüsselzertifikates CERT_S durch das PKI-Schema zu authentisieren. In ähnlicher Weise stellt die Vermittlungsvorrichtung (S) 104 eine Abfrage über das empfangene öffentliche Schlüsselzertifikat CERT_B an die Authentisierungsstelle (CA) 106, um seine Gültigkeit durch das PKI-Schema zu authentisieren.
  • Die Vermittlungsvorrichtung (S) 104 sendet die in Schritt 1605 erhaltene Attributinformation ATTRIBUTE_A, die in Schritt 1608 erhaltene IP-Adresse IPADDRESS_A und den in Schritt 1609 erzeugten gemeinsamen Schlüssel KEY_AB allesamt über den in Schritt 1506 verschlüsselten Kommunikationskanal an die VPN-Gatewayeinheit (B) 103 (Schritt 1507). Darauf folgt, dass die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 voneinander getrennt werden (Schritt 1508).
  • Wie oben beschrieben kann die Vermittlungsvorrichtung (S) 104 in dieser Ausführungsform durch Abspeichern der an die Kommunikationseinheit (C) zugewiesenen privaten IP-Adresse IPADDRESS_C, die dazu von der VPN-Gatewayeinheit (B) 103 gesendet wurde, die private IP-Adresse IPADDRESS_C der an das lokale Netz (LAN) angeschlossenen Kommunikationseinheit (C) 111 erfahren, die nur der VPN-Gatewayeinheit (B) 103 bekannt ist. Folglich kann die VPN-Clienteinheit (A) 101 die für das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus erforderliche private IP-Adresse IPADDRESS_C erfahren, indem sie vor Realisierung des Fernzugriffs-VPN eine Abfrage an die Vermittlungsvorrichtung (S) 104 stellt.
  • In dieser Ausführungsform erzeugt die Vermittlungsvorrichtung (S) 104 den gemeinsamen Schlüssel KEY_AB und sendet den gemeinsamen Schlüssel KEY_AB sowohl an die VPN-Clienteinheit (A) 101 als auch an die VPN-Gatewayeinheit (B) 103, wodurch es der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 ermöglicht wird, den gemeinsamen Schlüssel KEY_AB zu empfangen. Folglich können die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit (B) 103 den zur Authentisierung in der IKE Phase 1 verwendeten gemeinsamen Schlüssel KEY_AB online gemeinsam nutzen.
  • In dieser Ausführungsform authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung (S) 104 speichert, nur wenn die Authentisierung erfolgreich ist, die von der VPN-Gatewayeinheit (B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111. Dies ermöglicht es der Vermittlungsvorrichtung (S) 104, einzig die von einer nicht maskierten VPN-Gatewayeinheit (B) 103 gesendete private IP-Adresse IPADDRESS_C zu speichern. Folglich kann die VPN-Clienteinheit (A) 101 die von einer zulässigen VPN-Gatewayeinheit (B) 103 gesendete IP-Adresse IPADDRESS_C erfahren.
  • In dieser Ausführungsform verschlüsselt die Vermittlungsvorrichtung (S) 104 den Kommunikations kanal zwischen sich und dem VPN-Gateway (B) 103 in der die VPN-Gatewayeinheit (B) 103 authentisierenden Operation der Vermittlungsvorrichtung (S) 104 und speichert die von der VPN-Gatewayeinheit (B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111, nur falls die Authentisierung erfolgreich ist. Dies stellt sicher, dass die Vermittlungsvorrichtung (S) 104 die von der VPN-Gatewayeinheit (B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 ohne Verfälschung und Abhören der IP-Adresse empfängt. Folglich kann die VPN-Clienteinheit (A) 101 die von einer zulässigen VPN-Gatewayeinheit (B) 103 gesendete gültige private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 erfahren. Außerdem kann die VPN-Gatewayeinheit (B) 103 die gültige private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 an die Vermittlungsvorrichtung (S) 104 senden, ohne zuzulassen, dass sie einer unbestimmten breiten Öffentlichkeit bekannt wird.
  • In dieser Ausführungsform authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Clienteinheit (A) 101; und erhält, nur falls die Authentisierung erfolgreich ist, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B vom Domain-Nameserver (DNS) 105 indem sie dazu eine Abfrage stellt, erzeugt dann den gemeinsamen Schlüssel KEY_AB, und sendet die dadurch erhaltene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse IPADDRESS_C und den erzeugten gemeinsamen Schlüssel KEY_AB allesamt an die VPN-Clienteinheit (A) 101. Als Ergebnis wird, falls die VPN-Clienteinheit (A) 101 nicht maskiert ist, der Vermittlungsvorrichtung (S) 104 erlaubt, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB allesamt an die VPN-Clienteinheit (A) 101 zu senden. Folglich ist es nur der zulässigen VPN-Clienteinheit (A) 101 erlaubt, das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus zu realisieren.
  • In dieser Ausführungsform entscheidet die Vermittlungsvorrichtung (S) 104, ob die VPN-Clienteinheit (A) 101 das Recht zum Abruf der an die VPN-Gatewayeinheit (B) 103 zugewiesenen IP-Adresse IPADDRESS_B hat oder nicht; und erhält, nur falls die VPN-Gatewayeinheit das Recht hat, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B vom Domain-Nameserver (DNS) 105, indem sie dazu eine Abfrage stellt, erzeugt dann den gemeinsamen Schlüssel KEY_AB, und sendet die dadurch erhaltene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse IPADDRESS_C und den erzeugten gemeinsamen Schlüssel KEY_AB allesamt an die VPN-Clienteinheit (A) 101. Dies ermöglicht es der Vermittlungsvorrichtung (S) 104, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB allesamt einzig an die VPN-Gatewayeinheit (B) 103 und die VPN-Clienteinheit (A) 101 zu senden, die die Berechtigung zum Zugriff auf die Kommunikationseinheit (C) 111 hat. Folglich ist es möglich, die VPN-Gatewayeinheit (B) 103 und die Kommunikationseinheit (C) 111 vom Fernzugriffs-VPN im IPsec Tunnelmodus vor einer unbestimmten breiten Öffentlichkeit zu schützen.
  • In dieser Ausführungsform verschlüsselt die Vermittlungsvorrichtung (S) 104 den Kommunikations kanal zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit (A) 101. Daher kann die Vermittlungsvorrichtung (S) 104 die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB an die VPN-Clienteinheit (A) senden, ohne dass sie verfälscht und abgehört werden. Folglich kann die VPN-Clienteinheit (A) 101 das Fernzugriffs-VPN zur zulässigen Kommunikationseinheit (C) 111 über die zulässige VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus realisieren.
  • In dieser Ausführungsform authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Gatewayeinheit (B) 103 und sendet, nur falls die Authentisierung erfolgreich ist, die IP-Adresse IPADDRESS_A die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103. Als Ergebnis kann die Vermittlungsvorrichtung (S) 104, falls die VPN-Gatewayeinheit (B) 103 nicht maskiert ist, die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103 senden. Folglich ist es der VPN-Clienteinheit (A) 101 erlaubt, das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die zulässige VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus zu realisieren.
  • In dieser Ausführungsform verschlüsselt die Vermittlungsvorrichtung (S) 104 in der die Gatewayeinheit (B) 103 authentisierenden Operation der Vermittlungsvorrichtung (S) 104 den Kommunikationskanal zwischen sich und der VPN-Gatewayeinheit (B) 103 und sendet die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit (B) 103, nur falls die Authentisierung erfolgreich ist. Dies stellt sicher, dass die Vermittlungsvorrichtung (S) 104 die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB allesamt an die Gatewayeinheit (B) 103 sendet, ohne dass sie verfälscht und abgehört werden. Folglich können die VPN-Gatewayeinheit (B) 103 und die Kommunikationseinheit (C) 111 das Fernzugriffs-VPN zur gültigen VPN-Clienteinheit (A) 101 im IPsec Tunnelmodus realisieren.
  • In dieser Ausführungsform authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit (B) 103 durch das SPKI-Schema. Dies erlaubt die Authentisierung des öffentlichen Schlüsselzertifikates CERT_A der VPN-Clienteinheit (A) 101 und des öffentlichen Schlüsselzertifikates CERT_B der VPN-Gatewayeinheit (B) 103 dadurch, dass sie zur Vermittlungsvorrichtung (S) 104 gesendet werden. Folglich kann persönliche Information über die VPN-Clienteinheit (A) 101 vor der VPN-Gatewayeinheit (B) 103 verborgen werden. In ähnlicher Weise kann persönliche Information über die VPN-Gatewayeinheit (B) 103 vor der VPN-Clienteinheit (A) 101 verborgen werden.
  • Im übrigen muss in dem Fall, in dem der Hash-Wert HASH_B des öffentlichen Schlüssels PUBLICKEY_B, ein beliebiger Hashing-Algorithmus und ihre IP-Adresse IPADDRESS_B in dieser in 12 und 13 gezeigten Ausführungsform in Verbindung miteinander im Domgin-Name server (DNS) 105 verwaltet werden, die VPN-Gatewayeinheit (B) 103 nur den Hash-Wert HASH_B des öffentlichen Schlüssels PUBLICKEY_B erzeugen und den Hash-Wert HASH_B und die IP-Adresse IPADDRESS_B in den Domain-Nameserver (DNS) 105 eintragen. Und offensichtlich kann dies auch dadurch erreicht werden, dass die DNS-Abfrage in Schritt 1502 im Ablauf von 16 in eine DNS-Abfrage geändert wird, die den Hash-Wert HASH_B des öffentlichen Schlüssels PUBLICKEY_B durch einen beliebigen Hashing-Algorithmus enthält.
  • Und anstelle gemeinsamer Verwaltung des öffentlichen Schlüssels PUBLICKEY_A und der IP-Adresse IPADDRESS_C in der Zugriffssteuerungsliste (ACL) kann auch der Hash-Wert HASH_A des öffentlichen Schlüssels PUBLICKEY_A durch einen beliebigen Hashing-Algorithmus und die IP-Adresse IPADDRESS_C unter gemeinsamer Verwaltung der Zugriffssteuerungsliste gestellt werden. Offensichtlich kann diese Abänderung dadurch durchgeführt werden, dass Schritt 1302 des Ablaufs von 14 in einen Schritt geändert wird, bei welchem die VPN-Gatewayeinheit (B) 103 den Hash-Wert HASH_A des öffentlichen Schlüssels PUBLICKEY_A erzeugt und dann den Hash-Wert HASH_A und die IP-Adresse IPADDRESS_C als verbundene Daten an die Zugriffssteuerungsliste (ACL) sendet. Ferner kann diese Abänderung dadurch durchgeführt werden, dass Schritt 1605 des Ablaufs von 17 in einen Schritt geändert wird, der den Hash-Wert HASH_A des öffentlichen Schlüssels PUBLICKEY_A erzeugt und den Hash-Wert HASH_A der Zugriffssteuerungsliste ACL vorlegt, um nach ihm zu suchen.
  • Ferner ist nur die globale IP-Adresse IPADDRESS_A an die VPN-Clienteinheit (A) 101 zugewiesen, aber der VPN-Clienteinheit (A) 101 kann eine beliebige private IP-Adresse im lokalen Netz LAN durch ein Verfahren, wie es in Nichtpatentdokument 4 dargelegt ist, zusätzlich zugewiesen werden.
  • AUSFÜHRUNGSFORM 3
  • 18 veranschaulicht einen praxisnahen Funktionsaufbau der VPN-Clienteinheit in den oben beschriebenen Ausführungsformen 1 und 2. Die VPN-Clienteinheit 101 ist versehen mit: einem DNS-Abfrageerfassungs-/Proxyantwortfunktionsteil 1011, das eine DNS-Abfrage von dieser Einheit erfasst und eine Proxyantwort dazu gibt; einem Vermittlungsdienst-VPN-Clientfunktionsteil 1012, das eine VPN-Clientfunktion des Vermittlungsdienstes der vorliegenden Erfindung ausführt; und einem Tunnel-/Protokollfunktionsteil 1013 zur Realisierung des VPN Zugriffs. Ferner sind bereitgestellt: ein Vermittlungsdienst-Verwaltungsverzeichnis 1014 für die Unterscheidung zwischen normalen DNS-Abfragen und Vermittlungsdiensten und für ihre Verwaltung; ein Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1015 zur gegenseitigen Authentisierung mit einem Vermittlungsserver; und ein Tunnel-/Protokoll-Konfigurationsverwaltungsinformationsverzeichnis 1016 für verschlüsselte Kommunikation mit der VPN-Gatewayeinheit.
  • In dem Vermittlungsdienst-Verwaltungsverzeichnis 1014 sind gespeichert:
    • a) Postfix für den Vermittlungsdienst: Domain-Name, der dem Vermittlungsdienst übermittelt wird (z. B. *.vpn),
    • b) IP-Adresse oder Hostname der Vermittlungsvorrichtung: IP-Adresse der Vermittlungsvorrichtung,
    • c) Authentisierungs-Schema mit der Vermittlungsvorrichtung (SPKI-Schema, PKI-Schema, Challenge-Response-Schema, Key-Sharing-Schema, usw.),
    • d) Name des Zertifikates für die Authentisierung (beziehen sich auf das Zertifikat/die geheimen Daten, die dem Authentisierungs-Schema entsprechen)
  • In dem Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1015 sind gespeichert:
    • a) Verzeichnis der den Domain-Namen zugehörigen Hash-Werte, die zur Suche der VPN-Gatewayeinheit verwendet werden,
    • b) Verschiedene Zertifikate, die zur Authentisierung des Client durch die VPN-Clienteinheit verwendet werden (SPKI-Zertifikat, PKI-Zertifikat, Passwort, gemeinsamer Schlüssel, usw.),
    • c) Zertifikate, die zur Authentisierung der Vermittlungsvorrichtung durch den Server verwendet werden (SPKI-Zertifikat, PKI-Zertifikat, Passwort, gemeinsamer Schlüssel, usw.).
  • Das Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis ist grob in die folgenden zwei Kategorien unterteilt:
    • (1) Konfigurationsverwaltungsinformation für den Aufbau eines Tunnels; und
    • (2) Konfigurationsverwaltungsinformation über den aufgebauten Tunnel als eine virtuelle Netzschnittstelle (Nw.I/F).
  • Ausführliche Beispiele für sie werden unten aufgeführt.
  • (1) Konfigurationsverwaltungsinformation für den Aufbau eines Tunnels
    • A) IP-Adresse des Ausgangspunktes des Tunnels (vom Netzwerk an die VPN-Clienteinheit vergebene IP-Adresse).
    • B) IP-Adresse des Endpunktes des Tunnels (vom Netzwerk an die VPN-Gatewayeinheit vergebene IP-Adresse).
    • C) Protokoll zum Tunneln (IPsec Tunnelmodus, PPP über IPsec, usw.).
    • D) Authentisierungs-Schema (SPKI-Schema, PKI-Schema, Challenge-Response-Schema, Key-Sharing-Schema, usw.).
    • E) Name oder ähnliches des Zertifikates zur Authentisierung (beziehen sich auf das Zertifikat/die geheimen Daten, die dem Authentisierungs-Schema entsprechen).
  • (2) Konfigurationsverwaltungsinformation über den aufgebauten Tunnel als eine virtuelle Netzschnittstelle (Nw.I/F).
    • A) Art der virtuellen Nw.I/F (virtuelles PPP, virtuelles Ethernet, usw.),
    • B) IP-Adresse der virtuellen Nw.I/F,
    • C) IP-Adressen des Gateways, DNS-Servers, WIN-Servers, usw.,
    • D) Information über das Routen zur virtuellen Nw.I/F.
  • Diejenigen der oben genannten Informationen, die von der Vermittlungsvorrichtung geliefert werden, sind:
    die Information B) in Punkt (1). Zusätzlich können auch die Informationen C), D) und E) bereitgestellt werden.
    diejenigen der Informationsstücke B), C) und D) in Punkt (2), die nicht dynamisch von der VPN-Gatewayeinheit übermittelt werden (diese Informationen können entweder von der Vermittlungsvorrichtung oder der VPN-Gatewayeinheit bereitgestellt werden).
  • Die Vermittlungsverarbeitung in dieser Ausführungsform wird wie unten beschrieben ausgeführt.
  • Als Erstes gibt die Anwendung, vor der Kommunikation, eine DNS-Abfrageaufforderung zur Abfrage nach der IP-Adresse der VPN-Gatewayeinheit heraus, die einen VPN-Dienst anbietet, der für den Zugriff gewünscht wird (Schritt S1).
  • Diese Abfrage wird durch das DNS-Abfrageerfassungs-/Proxyantwortfunktionsteil 1011 einmal erfasst, das auf das Vermittlungsdienst-Verwaltungsverzeichnis 1014 Bezug nimmt, um zu entscheiden, ob die Abfrage den Vermittlungsdienst betrifft oder nicht. Falls die Abfrage nichts mit dem Vermittlungsdienst zu tun hat, wird sie als gewöhnliche DNS-Abfrage betrachtet, dann wird für den DNS-Server 105 normale DNS-Verarbeitung durchgeführt, um von seiner Antwort die IP-Adresse zu erhalten, und es wird unter ihrer Verwendung normale Verbindungsverarbeitung ausgeführt (Schritt S2).
  • Wenn die DNS-Ermittlungsaufforderung den Vermittlungsdienst betrifft, wird sie zum Vermittlungsdienst-VPN-Clientfunktionsteil 1012 weitergeleitet (Schritt S3).
  • Das Vermittlungsdienst-VPN-Clientfunktionsteil 1012 wählt einen vorher festgelegten Vermittlungsserver gemäß des Inhalts des Vermittlungsdienst-Verwaltungsverzeichnis 1014 aus (Schritt S4) und führt die gegenseitige Authentisierung unter Verwendung des Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1015 durch (Schritt S5).
  • Dann sendet das Vermittlungsdienst-VPN-Clientfunktionsteil die im Hinblick auf oben beschriebene Ausführungsform so bezeichnete Vermittlungsaufforderung an die Vermittlungsvorrichtung 104 (Schritt S6) und erhält ihre Antwort (Schritt S7). Aufbauend auf dieser Information aktualisiert das Vermittlungsdienst-VPN-Clientfunktionsteil Information wie die VPN-Gatewayadressen und gemeinsame Schlüssel in dem Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1016 (Schritt S8) und sendet, falls ein vorher festgelegter Tunnel noch nicht aufgebaut ist, eine Aufforderung zum Aufbau eines Tunnels an das Tunnel-/Protokollteil 1013 (Schritt S9).
  • Das Tunnel-/Protokollteil 1013 nimmt Bezug auf das Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1016, um die VPN-Gatewayeinheit 103 zu ermitteln, die auf der entgegengesetzten Seite des Tunnel ist (Schritt S10), und baut unter Verwendung des von der vorliegenden Vermittlungsfunktion festgelegten gemeinsamen Schlüssels einen Tunnel für die verschlüsselte Kommuni kation mit der VPN-Gatewayeinheit 103 auf (Schritt S11).
  • Sobald der Tunnel normal aufgebaut ist, kann ein Teil der Konfigurationsverwaltungsinformation, wie die private IP-Adresse der VPN-Clienteinheit 101, interne DNS- und routingbezogene Information, dynamisch unter Verwendung des in Patentdokument 4, Nichtpatentdokument 1, Nichtpatentdokument 2 oder Nichtpatentdokument 3 dargestellten Verfahrens von der VPN-Gatewayeinheit 103 übergeben werden. In diesem Fall verwendet das Tunnel-/Protokollteil diese Informationsstücke, um das Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1016 zu aktualisieren (Schritt S12), und sendet eine Nachricht über den Abschluss des Tunnelaufbaus an das Vermittlungsdienst-VPN-Clientfunktionsteil 1012 (Schritt S13).
  • Falls der Aufbau des VPN-Tunnel normal abgeschlossen wird, sendet das Vermittlungsdienst-VPN-Clientfunktionsteil 1012 die in Schritt S7 erhaltene private IP-Adresse der Kommunikationseinheit als eine Antwort auf die DNS-Abfrage an das DNS-Abfrageerfassungs-/Proxyantwortfunktionsteil 1011 (Schritt S14). Diese Antwort wird unberührt an die Anwendung gesendet, die die DNS-Abfrage ausgab (Schritt S15). Die Anwendung führt die VPN-Kommunikation über den festgelegten VPN-Tunnel durch (Schritt S16).
  • AUSFÜHRUNGSFORM 4
  • 19 veranschaulicht ein Beispiel des Gesamtsystemaufbaus, das die vorliegende Erfindung verkörpert. In dieser Ausführungsform sei angenommen, dass die VPN-Clienteinheiten 101 und 102 für eine Personalabteilung und eine Buchhaltungsabteilung verwendet werden, und dass sie die Hashwerte der öffentlichen Schlüssel A1 beziehungsweise A2 haben. Es sei angenommen, dass die unter Verwaltung der VPN-Gatewayeinheit 103 gestellten VPNs ein Personalabteilung-VLAN 121 und ein Buchhaltungsabteilung-VLAN 122 sind, und dass die VPN-Gatewayeinheit 103 über einen Ethernet-Switch 123 mit beiden VLANs 121 und 122 durch IEEE 802.IQ VLAN-Tag-Multiplexing verbunden ist. Ferner sein angenommen, dass die Vermittlungsvorrichtung 104 dazu vorher die in 20 gezeigte Zugriffssteuerungsliste (ACL) für die VPN-Gatewayeinheit 103 hochgeladen hat. In dieser ACL ist ausgewiesen, dass die VPN-Clienteinheit 101, die einen öffentlichen Schlüssel mit Hash-Wert HASH_A1 hat, Attributinformation „(VLAN Personalabteilung VLAN)" hat, wohingegen die VPN-Clienteinheit 102, die einen öffentlichen Schlüssel mit Hash-Wert HASH_A2 hat, Attributinformation „(VLAN Buchhaltungsabteilung VLAN)" hat.
  • 21 veranschaulicht den Funktionsaufbau der VPN-Gatewayeinheit 103 in dieser Ausführungsform. Die VPN-Gatewayeinheit 103 ist versehen mit: einem Vermittlungsdienst-VPN-Gatewayfunktionsteil 1031, das die Kommunikation mit der Vermittlungsvorrichtung 104 und die Verarbeitung dafür durchführt; einem Tunnel-/Protokollteil 1032, das Tunnel von verschiedenen VPN-Clienteinheiten abschließt; einem Filter-/VLAN-Multiplex-Funktionsteil 1033, das Datenpakete speichert, die aus den Tunneln in vorher bestimmten VLANs in den VPNs extrahiert wurden, und diejenigen der in die Tunnel eingegebenen und aus den Tunneln ausgegebenen Pakete ausfiltert, die Sicherheitsbedenken aufkommen lassen. Weiterhin werden bereitgestellt: ein Vermittlungsdienst-Verwaltungsverzeichnis 1034, das Informationen hat, die zur Verbindung mit der Vermitt lungsvorrichtung 104 notwendig sind; ein Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1035 zur Authentisierung mit der Vermittlungsvorrichtung 104; ein Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1036, das Konfigurationsverwaltungsinformation über Tunnel zu den VPN-Clienteinheiten 101 und 102 bereithält; und ein VLAN-Konfigurationsverwaltungsverzeichnis 1037, das Konfigurationsverwaltungsinformation über jedes unter Verwaltung der VPN-Gatewayeinheit 103 gestellte VLAN bereithält.
  • In dem Vermittlungsdienst-Verwaltungsverzeichnis 1034 werden für jede zu verwendende Vermittlungsvorrichtung die folgenden Informationsstücke bereitgehalten.
    • a) IP-Adresse oder Hostname der Vermittlungsvorrichtung: IP-Adresse der Vermittlungsvorrichtung
    • b) Authentisierungs-Schema mit der Vermittlungsvorrichtung (SPKI-Schema, PKI-Schema, Challenge-Response-Schema, Key-Sharing-Schema, usw.).
    • c) Name des Zertifikates oder ähnliches zur Authentisierung (beziehen sich auf das Zertifikat/die geheimen Daten, die dem Authentisierungs-Schema entsprechen).
  • In dem Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1035 werden Informationsstücke wie unten aufgeführt bereitgehalten.
    • a) Verschiedene Zertifikate, die zur Authentisierung des Client durch die VPN-Clienteinheit verwendet werden (SPKI-Zertifikat, PKI-Zertifikat, Passwort, gemeinsamer Schlüssel, usw.),
    • b) Zertifikate, die zur Authentisierung der Vermittlungsvorrichtung durch den Server verwendet werden (SPKI-Zertifikat, PKI-Zertifikat, Passwort, gemeinsamer Schlüssel, usw.).
  • In dem Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis werden für jeden Tunnel zur VPN-Clienteinheit die folgenden Informationsstücke bereitgehalten.
    • a) IP-Adresse des Ausgangspunktes des Tunnels (vom Netzwerk an die VPN-Clienteinheit vergebene IP-Adresse).
    • b) Tunnelprotokoll (IPsec Tunnelmodus, PPP über IPsec, usw.).
    • c) Authentisierungs-/Verschlüsselungs-Schema (SPKI-Schema, PKI-Schema, Challenge-Response-Schema, Key-Sharing-Schema, usw.). Der Tunnel, der als Ergebnis des Vermittlungsdienstes zur VPN-Gatewayeinheit aufgebaut ist, ist vom Key-Sharing-Schema.
    • d) Name des Zertifikates oder ähnliches zur Authentisierung (beziehen sich auf das Zertifikat/die geheimen Daten, die dem Authentisierungs-Schema entsprechen).
    • e) Gemeinsamer Schlüssel und Attributinformation, die vom Vermittlungsdienst bereitgestellt werden.
    • f) Name des VLAN an das der Tunnel angeschlossen ist. „Personalabteilung VLAN" oder „Buchhaltungsabteilung VLAN".
    • g) Private IP-Adresse, die der VPN-Clienteinheit übermittelt wurde (ausgewählt unter den Adressen
    • d) in dem VLAN-Konfigurationsverwaltungsverzeichnis).
  • In dem VLAN-Konfigurationsverwaltungsverzeichnis 1037 werden für jedes VLAN die folgenden Informationsstücke bereitgehalten.
    • a) Name des VLAN („Personalabteilung VLAN” oder „Buchhaltungsabteilung VLAN").
    • b) Netzwerkkonfigurationsverwaltungsinformation des VLAN.
    • i) IP-Adressen von Gateway, DNS-Server, WINS-Server, usw.
    • ii) Routinginformation, die an die VPN-Clienteinheit übermittelt werden soll.
    • c) Paketfilterbedingung (die die zugreifbaren Dienste beschränkt)
    • d) Bereich der privaten IP-Adressen, die der VPN-Clienteinheit übermittelt werden können.
  • Die VPN-Gatewayeinheit 103 stellt durch Verwendung des Vermittlungsdienst-Verwaltungsverzeichnis 1034 und des Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1035 einen sicheren Kommunikationskanal zur Vermittlungsvorrichtung 104 bereit und gibt eine VPN-Zugriffsvermittlungsaufforderung aus (Schritte S1–S3). Zum Beispiel sendet die Vermittlungsvorrichtung 104 nach Authentisierung der VPN-Clienteinheit 101 eine VPN-Zugriffsvermittlungsmitteilung an die VPN-Gatewayeinheit 103 (Schritt S4). Die Mitteilungsinformation (IP-Adresse IPADDRESS_A1 der VPN-Clienteinheit 101, gemeinsamer Schlüssel KEY_AB, Attributinformation ATTRIBUTE_A1, usw.) wird in dem Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1036 gespeichert. Ausgehend von der Attributinformation wird das VLAN 121 bestimmt, das aufgenommen werden soll, und der Name des VLAN „Personalabteilung VLAN" wird ebenso in diesem Verzeichnis gespeichert (Schritt S5). In diesem Fall wird der VPN-Clienteinheit 101 mitgeteilt, dass sie die Attributinformation (VLAN Personalabteilung) hat, wie in 20 gezeigt. Folglich ist bestimmt, dass das den Tunnel von der VPN-Clienteinheit 101 aufnehmende VLAN das „Personalabteilung VLAN" ist.
  • Nach Ausgabe einer VPN-Tunnelaufbauaufforderung von der VPN-Clienteinheit 101 (Schritt S6), nimmt die VPN-Gatewayeinheit Bezug auf das Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1036 (Schritt S7), führt dann die vorher festgelegte Authentisierung/Verschlüsselung durch, nach der sie Bezug auf das VLAN-Konfigurationsverwaltungsverzeichnis 1037 des zugehörigen VLAN 121 nimmt (Schritt S8), wählt dann eine der an die VPN-Clienteinheit übermittelbaren privaten Adressen aus, die nicht verwendet ist, und übermittelt sie zusammen mit Netzkonfigurationsverwaltungsinformation (Adressen des Gateway, des DNS, des WINS-Server, usw.) an die VPN-Clienteinheit 101. In diesem Fall wird die private IP-Adresse der VPN-Clienteinheit 101 von dem Adressverzeichnis des Personalabteilung-VLAN übermittelt. Ebenso wird die Netzkonfigurationsverwaltungsinformation über das Gateway, den DNS usw. vom Personalabteilung-VLAN übermittelt.
  • Nach Eintreffen eines für das VPN bestimmten Datenpaketes an der VPN-Gatewayeinheit durch den oben erwähnten Tunnel von der VPN-Clienteinheit 101, unterliegt es Filterung basierend auf der Filterbedingung des VLAN, welches den Tunnel in sich aufgenommen hat, wonach es zum VLAN weitergeleitet wird (Schritt S10). Außerdem kann durch Verwendung von Attributinformation eine Filterung jedes Tunnels zusätzlich festgelegt werden. Eine ähnliche Verarbeitung wird auch für die Aufforderung von der VPN-Clienteinheit 102 ausgeführt.
  • Im Falle der Unterbrechung des Tunnels wird der zugehörige Eintrag aus dem Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1036 entfernt und die an die VPN-Clienteinheit zugewiesene private IP-Adresse wird an den Adresspool des beteiligten VLAN zurückgegeben.
  • Wie oben beschrieben speichert die Vermittlungsvorrichtung gemäß der vorliegenden Erfindung Information (Zugriffssteuerungsliste), die benutzt wird, um ein Fernzugriffs-VPN durch ein beliebiges Tunnelprotokoll wie IPsec oder L2TP zwischen jeder an das IP-Netz und der VPN-Gatewayeinheit angeschlossenen VPN-Clienteinheit und einer beliebigen Kommunikationseinheit aufzubauen, die an das unter Verwaltung der VPN-Gatewayeinheit gestellte lokale Netz angeschlossenen ist. Diese Information enthält die der Kommunikationseinheit zugewiesene private IP-Adresse.
  • Beim Empfang einer Aufforderung zum Abruf der an die VPN-Gatewayeinheit zugewiesenen IP-Adresse von der VPN-Clienteinheit überprüft die Vermittlungsvorrichtung, ob die VPN-Clienteinheit das Recht zum Beziehen der an die VPN-Gatewayeinheit zugewiesenen IP-Adresse hat. Und die Vermittlungsvorrichtung nimmt, nur falls die VPN-Clienteinheit das Recht hat, Bezug auf die Zugriffssteuerungsliste und erfasst von ihr die private IP-Adresse, die an die Kommunikationseinheit zugewiesen ist, die an das unter Verwaltung der VPN-Gatewayeinheit gestellte lokale Netz angeschlossenen ist, und die Attributinformation der VPN-Clienteinheit, durchsucht dann den Domain-Nameserver, um die an die VPN-Gatewayeinheit zugewiesene IP-Adresse zu erhalten, und erzeugt den gemeinsamen Schlüssel, der zur Authentisierung zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit durch IKE oder ähnlichem verwendet wird. Dann verschlüsselt die Vermittlungsvorrichtung den Kommunikationskanal zwischen sich und der VPN-Clienteinheit und sendet die an die VPN-Gatewayeinheit zugewiesene IP-Adresse, die an die Kommunikationseinheit zugewiesene private IP-Adresse und den gemeinsamen Schlüssel über den verschlüsselten Kommunikationskanal an die VPN-Clienteinheit. Ferner verschlüsselt die Vermittlungsvorrichtung den Kommunikationskanal zwischen sich und der VPN-Gatewayeinheit und sendet die an die VPN-Clienteinheit zugewiesene IP-Adresse, den erzeugten gemeinsamen Schlüssel und die Attributinformation der Clienteinheit über den verschlüsselten Kommunikationskanal an die VPN-Gatewayeinheit. Im übrigen kann der Hostname in der DNS-Abfrage der VPN-Gatewayeinheit als über die Gatewayeinheit zur Verfügung gestellter VPN-Zugangsdienst betrachtet werden, und nicht als eine physische VPN-Gatewayeinheit. Dieser Dienst wird von der Kommunikationseinheit zur Verfügung gestellt, die eine private IP-Adresse hat. Durch Vergabe verschiedener Hostnamen an eine VPN- Gatewayeinheit und ihren Eintrag in den DNS ist es möglich, verschiedene Kommunikationseinheiten, die verschiedene private IP-Adressen haben, zu vernetzen. Zum Beispiel können, falls eine kundenspezifische und eine interne Kommunikationseinheit im VPN sind, das unter Verwaltung der VPN-Gatewayeinheit gestellt ist, eine kundenspezifische und eine interne Zugriffseinheit jeweils an die zugehörigen Kommunikationseinheiten angeschlossen werden, indem ihnen verschiedene Hostnamen gegeben werden und sie durch verschiedene Zugriffssteuerungslisten verwaltet werden.
  • Die Vermittlungsvorrichtung authentisiert die VPN-Clienteinheit und die VPN-Gatewayeinheit durch das SPKI-Schema. Und die VPN-Clienteinheit gibt Zertifikate durch das SPKI-Schema aus. Ferner ermöglicht die Vermittlungsvorrichtung auch die Authentisierung der VPN-Clienteinheit und der VPN-Gatewayeinheit durch das PKI-Schema.
  • Ferner ermöglicht die Vermittlungsvorrichtung die Erkennung der VPN-Clienteinheit, der VPN-Gatewayeinheit und der Kommunikationseinheit durch beliebige Namensformate, wie öffentlicher Schlüssel, FQDN (Fully Qualified Distinguished Name), GUID (Globally Unique Identifier), MAC-Adresse, SPKI (Simple Public Key Infrastructure), lokaler Namen, X.500 Distinguished Name, usw. Dies erlaubt die Realisierung des Fernzugriffs-VPN durch eine Kombination von IPsec, L2TP oder beliebiger Tunnelprotokolle und PKI, SPKI, Passwort oder beliebiger Authentisierungs-Schema.
  • Es ist unnötig zu sagen, dass es möglich ist, die vorliegende Erfindung durch teilweise oder ganze Programmierung der Verarbeitungsfunktion jeder Einheit oder Vorrichtung in den oben beschriebenen Ausführungsformen 1 bis 4 und durch Ausführung des Programms durch einen Computer auszuführen, oder dass es möglich ist, die mit Bezug auf Ausführungsformen 1 und 2 beschriebenen Abläufe zu programmieren und das Programm durch einen Computer auszuführen. Das Programm zur Realisierung der Verarbeitungsfunktion durch einen Computer oder ein Programm zur Ausführung der Verarbeitungsfunktion durch einen Computer kann durch Aufzeichnung des Programms auf einem computerlesbaren Aufzeichnungsmedium wie FD, MO, ROM, Speicherkarte, CD, DVD, austauschbarer Festplatte oder ähnlichem gespeichert oder verteilt werden; ferner kann das Programm über das Internet oder ähnliche Netze verteilt werden.

Claims (15)

  1. Fernzugriffs-VPN-(Virtuelles Privates Netz)Vermittlungsverfahren in einem System, bei welchem: VPN-Clienteinheiten (101) und eine VPN-Gatewayeinheit (103) an ein IP-(Internet Protokoll)Netz (110) angeschlossen sind; Kommunikationseinheiten (111) an ein unter Verwaltung der VPN-Gatewayeinheit (103) gestelltes lokales Netz (110) angeschlossen sind; und ein Fernzugriffs-VPN durch ein Tunnelprotokoll implementiert wird zwischen einer beliebigen der VPN-Clienteinheiten (101) und der an das IP-Netz angeschlossenen VPN-Gatewayeinheit (103) und einer beliebigen der Kommunikationseinheiten (111), die an das unter Verwaltung der VPN-Gatewayeinheit (103) gestellte lokale Netz (110) angeschlossen ist; welches Verfahren die Schritte enthält: a) Senden einer Zugriffssteuerungsliste (S1), die auf eine der Kommunikationseinheit (111) zugewiesene private IP Adresse hinweisende Information enthält, von der VPN-Gatewayeinheit (103) an eine Vermittlungsvorrichtung in dem IP-Netz; b) Speichern der Zugriffssteuerungsliste durch die Vermittlungsvorrichtung in Zuordnung zu der VPN-Gatewayeinheit (103); c) Abrufen (S3) einer der VPN-Gatewayeinheit (103) entsprechenden IP-Adresse als Antwort auf eine Anforderung (S2) von der VPN-Clienteinheit (101), Erfassen der der privaten IP-Adresse der entsprechenden Kommunikationseinheit (111) von genannter Zugriffssteuerungsliste, Senden (S4) der erfassten privaten IP-Adresse an die VPN-Clienteinheit (101), Senden (S5) der IP-Adresse der VPN-Clienteinheit (101) an die VPN-Gatewayeinheit (103), Erzeugen gegenseitiger Authentisierungsinformation zum Aufbau eines authentisierten verschlüsselten Tunnels zwischen der VPN-Clienteinheit (101) und der VPN-Gatewayeinheit (103), und Senden (S6) der gegenseitigen Authentisierungsinformation an sowohl die VPN-Clienteinheit (101) als auch die VPN-Gatewayeinheit (103); und d) Aufbauen des authentisierten verschlüsselten Tunnels zwischen der VPN-Clienteinheit (101) und der VPN-Gatewayeinheit (103) unter Verwendung der Authentisierungsinformation und Realisieren des Fernzugriffs durch den verschlüsselten Tunnel unter Verwendung der privaten IP-Adresse von der Kommunikationseinheit (111).
  2. Fernzugriffs-Vermittlungsverfahren nach Anspruch 1, bei welchem die Zugriffssteuerungsliste Attributinformation über die VPN-Clienteinheit enthält.
  3. Fernzugriffs-VPN-Vermittlungsverfahren nach Anspruch 2, bei welchem Schritt a) einen Schritt des Verschlüsselns eines Kommunikationskanals zwischen der Vermittlungsvorrichtung und der VPN-Gatewayeinheit (103) oder einer VPN-Gatewayverwaltungseinheit, die die Berechtigung hat, sie zu verwalten, und des Sendens der Zugriffssteuerungsliste von der VPN-Gatewayeinheit (103) zu der Vermittlungsvorrichtung einschließt.
  4. Fernzugriffs-VPN-Vermittlungsverfahren nach Anspruch 2 oder 3, bei welchem Schritt b) die Schritte einschließt: Authentisieren der VPN-Gatewayeinheit durch die Vermittlungsvorrichtung; und Speichern einer Zugriffssteuerungsliste für die VPN-Clienteinheit, die von der VPN-Gatewayeinheit gesendet wird, falls die Authentisierung erfolgreich ist.
  5. Fernzugriffs-VPN-Vermittlungsverfahren nach Anspruch 2 oder 3, bei welchem Schritt c) die Schritte einschließt: c-0) Überprüfen, ob die VPN-Clienteinheit die Berechtigung des Zugriffs auf die VPN-Gatewayeinheit hat, nachdem eine Anforderung zum Abruf einer der VPN-Gatewayeinheit zugewiesenen IP-Adresse von genannter VPN-Clienteinheit empfangen wurde; und, nur falls die VPN-Clienteinheit die Zugriffsberechtigung hat, c-1) Bezugnehmen auf eine Zugriffssteuerungsliste, und Erfassen der der Kommunikationseinheit zugewiesenen privaten IP-Adresse; c-2) Durchsuchen eines Domain-Nameservers, um die der VPN-Gatewayeinheit zugewiesene IP-Adresse zu erfassen; c-3) Verschlüsseln eines Kommunikationskanals zwischen der Vermittlungsvorrichtung und der VPN-Clienteinheit und Senden der IP-Adresse der VPN-Gatewayeinheit und der privaten IP-Adresse der Kommunikationseinheit an die VPN-Clienteinheit; c-4) Verschlüsseln eines Kommunikationskanals zwischen der Vermittlungsvorrichtung und der VPN-Gatewayeinheit und Senden einer globalen IP-Adresse der VPN-Clienteinheit und der in der Zugriffssteuerungsliste beschriebener Attributinformation über die VPN-Clienteinheit an die VPN-Gatewayeinheit; Schritt d) die Schritte einschließt: d-1) Erzeugen der gegenseitigen Authentisierungsinformation zur Authentisierung zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit; d-2) Verschlüsseln des Kommunikationskanals zwischen der Vermittlungsvorrichtung und der VPN-Clienteinheit und Senden von Information, die zur gegenseitigen Authentisierung zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit notwendig ist, an die VPN-Clienteinheit; und d-3) Verschlüsseln des Kommunikationskanals zwischen der Vermittlungsvorrichtung und der VPN-Gatewayeinheit und Senden von Information, die zur gegenseitigen Authentisierung zwischen der VPN-Gatewayeinheit und der VPN-Clienteinheit notwendig ist, an die VPN-Gatewayeinheit.
  6. Fernzugriffs-VPN-Vermittlungsverfahren nach Anspruch 5, enthaltend die Schritte: bei welchen zum Zeitpunkt des Aufbaus des verschlüsselten Tunnels zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit die VPN-Gatewayeinheit mindestens eine von: einer Funktion des Bestimmens der an die VPN-Clienteinheit zu übergebenden privaten IP-Adresse auf Basis der von der Vermittlungsvorrichtung gesendeten Attributinformation über die VPN-Clienteinheit und des Übergebens der bestimmten privaten IP-Adresse an die VPN-Clienteinheit; einer Funktion des Bestimmens des aufzunehmenden VLAN auf Basis der Attributinformation über die VPN-Clienteinheit, einer Gatewayadresse, einer internen DNS-Adresse, einer WINS-Server adresse; und einer Funktion des Änderns der Paketfiltereinstellung der VPN-Gatewayeinheit auf Basis der Attributinformation, durchführt; und bei welchen, wenn der zwischen der VPN-Gatewayeinheit und der VPN-Clienteinheit aufgebaute Tunnel unterbrochen wird oder innerhalb eines vorher festgelegten Zeitraums keine Kommunikation über den Tunnel durchgeführt wurde, die VPN-Gatewayeinheit Tunnelaufräumverarbeitung, Verarbeitung zur Rückgabe der der VPN-Clienteinheit zugewiesenen privaten IP-Adresse und die Wiederherstellung der Einstellung der Paketfilterung der VPN-Gatewayeinheit, die für die beteiligte VPN-Clienteinheit verwendet wurde, durchführt.
  7. Fernzugriffs-VPN-Vermittlungsverfahren nach Anspruch 2 oder 3, bei welchem: Schritt c) einen Schritt einschließt, worin die VPN-Clienteinheit eine DNS-Abfrage erfasst, die von einer Anwendung innerhalb der Einheit oder von einer anderen VPN-Clienteinheit übermittelt wurde, dann die Quelladresse und den Inhalt der Abfrage mit Filterbedingungen abgleicht und, falls sie die Bedingungen erfüllen, die Abfrage in eine Abfrage an die Vermittlungsvorrichtung umwandelt; Schritt d) einen Schritt des Einstellen/Aktualisierens der Tunnel-/Protokollkonfigurationsverwaltungsinformation auf Basis einer Antwort auf die Abfrage einschließt; und Schritt e) einen Schritt des Initialisierens des Tunnels bei Bedarf, des Weitergebens der privaten IP-Adresse der Kommunikationseinheit, die als Ergebnis der DNS-Abfrage durch die Vermittlungseinheit bestimmt wurde, an die Anwendung aus der Abfragequelle einschließt.
  8. Fernzugriffs-VPN-Vermittlungsverfahren nach Anspruch 5, bei welchem Schritt c) einen Schritt einschließt, worin die VPN-Clienteinheit ein Zertifikat nach dem SPKI-Schema ausgibt und eine andere VPN-Clienteinheit, die das Zertifikat empfangen hat, der Vermittlungsvorrichtung eine Aufforderung zum Abruf der der VPN-Gatewayeinheit zugewiesenen IP-Adresse zusendet.
  9. Fernzugriffs-VPN-(Virtuelles Privates Netz)Vermittlungsvorrichtung, welche auf einem IP-(Internet Protokoll)Netz aufbaut, um ein Fernzugriffs-VPN zu realisieren, in einem System, bei welchem: VPN-Clienteinheiten (101) und eine VPN-Gatewayeinheit (103) an das IP-Netz angeschlossen sind; Kommunikationseinheiten (111) an ein unter Verwaltung der VPN-Gatewayeinheit (103) gestelltes lokales Netz (110) angeschlossen sind; und ein Fernzugriffs-VPN über ein Tunnelprotokoll zwischen einer beliebigen der VPN-Clienteinheiten (101) und der an das IP-Netz angeschlossenen VPN-Gatewayeinheit (103) und einer beliebigen der Kommunikationseinheiten (111), die an ein unter Verwaltung der VPN-Gatewayeinheit (103) gestelltes lokale Netz (110) angeschlossen sind, realisiert wird; welche Vorrichtung enthält: ein Ad-(Zugriffssteuerungsliste)Speichermittel zur Speicherung einer Zugriffssteuerungsliste, die von der VPN-Gatewayeinheit (103) gesendet wurde und Information enthält, die auf die der Kommunikationseinheit (111) zugewiesene private IP-Adresse hinweist; ein Authentisierungs-/Zugriffsberechtigungssteuerungsmittel zur Authentisierung der VPN-Clienteinheit (101) und der VPN-Gatewayeinheit (103) und zur Durchführung der Zugriffsberechtigungssteuerung; ein IP-Adresserfassungsmittel zum Bezugnehmen auf die Zugriffssteuerungsliste, um die der Kommunikationseinheit (111) zugewiesene private IP-Adresse zu erfassen, und zum Durchsuchen eines Domain-Nameservers, um die der VPN-Gatewayeinheit (103) zugewiesene IP- Adresse zu erfassen; ein Authentisierungsinformations-Erzeugungsmittel zur Erzeugung gegenseitiger Authentisierungsinformation für den Aufbau eines verschlüsselten Tunnels zwischen der VPN-Clienteinheit (101) und der VPN-Gatewayeinheit (103); und ein Kommunikationsmittel zum Senden der IP-Adresse der VPN-Gatewayeinheit (103), der privaten IP-Adresse der Kommunikationseinheit (111) und der gegenseitigen Authentisierungsinformation an die VPN-Clienteinheit (101), und zum Senden der IP-Adresse der VPN-Clienteinheit (101) und der gegenseitigen Authentisierungsinformation an die VPN-Gatewayeinheit (103).
  10. Vermittlungsvorrichtung nach Anspruch 9, bei welcher das Kommunikationsmittel ein Verschlüsselungsmittel zur Verschlüsselung der Kommunikation zwischen der Vermittlungsvorrichtung und der VPN-Clienteinheit und der Kommunikation zwischen der Vermittlungsvorrichtung und der VPN-Gatewayeinheit enthält.
  11. Vermittlungsvorrichtung nach Anspruch 9, bei welcher das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel: die VPN-Clienteinheit authentisiert; und, nur falls die Authentisierung erfolgreich ist, das IP-Adresserfassungsmittel veranlasst, den Domain-Nameserver nach der der VPN-Gatewayeinheit zugewiesenen IP-Adresse abzufragen, und die IP-Adresse erfasst; das Authentisierungsinformations-Erzeugungsmittel veranlasst, die gegenseitige Authentisierungsinformation zu erzeugen; und das Kommunikationsmittel veranlasst, die erfasste IP-Adresse, die der Kommunikationseinheit zugewiesene private IP-Adresse und die erzeugte gegenseitige Authentisierungsinformation an die VPN-Clienteinheit zu senden.
  12. Vermittlungsvorrichtung nach Anspruch 9, bei welcher das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel: entscheidet, ob die VPN-Clienteinheit die Berechtigung hat, die der VPN-Gatewayeinheit zugewiesene IP-Adresse abzurufen; und, nur falls die VPN-Clienteinheit die Berechtigung hat, das IP-Adresserfassungsmittel veranlasst, den Domain-Nameserver nach der der VPN-Gatewayeinheit zugewiesenen IP-Adresse abzufragen, und die IP-Adresse zu erfassen; das Authentisierungsinformations-Erzeugungsmittel veranlasst, die gegenseitige Authentisierungsinformation zu erzeugen; und das Kommunikationsmittel veranlasst, die erfasste IP-Adresse, die der Kommunikationseinheit zugewiesene private IP-Adresse und die erzeugte gegenseitige Authentisierungsinformation an die VPN-Clienteinheit zu senden.
  13. Vermittlungsvorrichtung nach Anspruch 11 oder 12, bei welcher das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel: die VPN-Gatewayeinheit authentisiert; und, nur falls die Authentisierung erfolgreich ist, das Kommunikationsmittel veranlasst, die der VPN-Clienteinheit zugewiesene IP-Adresse und die gegenseitige Authentisierungsinformation an die VPN-Gatewayeinheit zu senden.
  14. Vermittlungsvorrichtung nach einem der Ansprüche 9 bis 13, bei welcher das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel die VPN-Clienteinheit und die VPN-Gatewayeinheit durch ein SPKI-(Simple Public Key Infrastructure)Schema authentisiert und/oder Zugriffsberechtigungssteuerung durchführt.
  15. Vermittlungsvorrichtung nach einem der Ansprüche 9 bis 13, bei welcher das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel die VPN-Clienteinheit und die VPN-Gatewayeinheit durch ein PKI-(Public Key Infrastructure)Schema authentisiert.
DE200460010519 2003-07-04 2004-07-02 Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung Active DE602004010519T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2003271202 2003-07-04
JP2003271202 2003-07-04
PCT/JP2004/009446 WO2005004418A1 (ja) 2003-07-04 2004-07-02 リモートアクセスvpn仲介方法及び仲介装置

Publications (2)

Publication Number Publication Date
DE602004010519D1 DE602004010519D1 (de) 2008-01-17
DE602004010519T2 true DE602004010519T2 (de) 2008-11-13

Family

ID=33562643

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200460010519 Active DE602004010519T2 (de) 2003-07-04 2004-07-02 Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung

Country Status (6)

Country Link
US (1) US7665132B2 (de)
EP (1) EP1643691B1 (de)
JP (1) JP3912609B2 (de)
CN (1) CN100456739C (de)
DE (1) DE602004010519T2 (de)
WO (1) WO2005004418A1 (de)

Families Citing this family (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8473620B2 (en) * 2003-04-14 2013-06-25 Riverbed Technology, Inc. Interception of a cloud-based communication connection
JP4208781B2 (ja) * 2004-07-21 2009-01-14 キヤノン株式会社 情報処理装置及びその制御方法
US7890992B2 (en) * 2004-08-19 2011-02-15 Cisco Technology, Inc. Method and apparatus for selection of authentication servers based on the authentication mechanisms in supplicant attempts to access network resources
US20090043765A1 (en) * 2004-08-20 2009-02-12 Rhoderick John Kennedy Pugh Server authentication
US9232338B1 (en) * 2004-09-09 2016-01-05 At&T Intellectual Property Ii, L.P. Server-paid internet access service
JP4737089B2 (ja) * 2004-10-19 2011-07-27 日本電気株式会社 Vpnゲートウェイ装置およびホスティングシステム
US8261341B2 (en) * 2005-01-27 2012-09-04 Nokia Corporation UPnP VPN gateway configuration service
US20080275992A1 (en) * 2005-02-09 2008-11-06 Access Systems Americas, Inc. System and method of managing connections between a computing system and an available network using a connection manager
CA2594432C (en) * 2005-02-14 2014-08-19 Sylvain Monette Method and nodes for performing bridging of data traffic over an access domain
US20060190715A1 (en) * 2005-02-22 2006-08-24 Microsoft Corporation Peer-to-peer network information retrieval
US7849303B2 (en) * 2005-02-22 2010-12-07 Microsoft Corporation Peer-to-peer network information storage
US8365301B2 (en) * 2005-02-22 2013-01-29 Microsoft Corporation Peer-to-peer network communication
DE602005015366D1 (de) * 2005-03-29 2009-08-20 Research In Motion Ltd Verfahren und vorrichtungen zur verwendung bei der herstellung von sitzungseinleitungsprotokoll-übermittlungen für virtuelle private vernetzung
US7583662B1 (en) * 2005-04-12 2009-09-01 Tp Lab, Inc. Voice virtual private network
JP4760122B2 (ja) * 2005-05-18 2011-08-31 日本電気株式会社 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム
US9407608B2 (en) * 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US8943304B2 (en) 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
JP5050849B2 (ja) * 2005-06-07 2012-10-17 日本電気株式会社 リモートアクセスシステム及びそのipアドレス割当方法
US8478986B2 (en) * 2005-08-10 2013-07-02 Riverbed Technology, Inc. Reducing latency of split-terminated secure communication protocol sessions
US20090083537A1 (en) * 2005-08-10 2009-03-26 Riverbed Technology, Inc. Server configuration selection for ssl interception
US8613071B2 (en) * 2005-08-10 2013-12-17 Riverbed Technology, Inc. Split termination for secure communication protocols
US8438628B2 (en) * 2005-08-10 2013-05-07 Riverbed Technology, Inc. Method and apparatus for split-terminating a secure network connection, with client authentication
JP4648148B2 (ja) 2005-09-30 2011-03-09 富士通株式会社 接続支援装置
US7724703B2 (en) 2005-10-13 2010-05-25 Belden, Inc. System and method for wireless network monitoring
JP2007116281A (ja) * 2005-10-18 2007-05-10 Dainippon Printing Co Ltd Dhcp運用システム、dhcp運用方法およびdhcpサーバ
US7590761B2 (en) * 2005-12-06 2009-09-15 Avaya Inc Secure gateway with alarm manager and support for inbound federated identity
US7881199B2 (en) * 2006-01-04 2011-02-01 Alcatel Lucent System and method for prioritization of traffic through internet access network
KR100678966B1 (ko) * 2006-01-18 2007-02-06 삼성전자주식회사 Rui 서비스 제공 장치 및 방법
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
CN100454921C (zh) * 2006-03-29 2009-01-21 华为技术有限公司 一种数字版权保护方法及系统
US7558266B2 (en) * 2006-05-03 2009-07-07 Trapeze Networks, Inc. System and method for restricting network access using forwarding databases
US8966018B2 (en) 2006-05-19 2015-02-24 Trapeze Networks, Inc. Automated network device configuration and network deployment
US8775602B2 (en) * 2006-06-01 2014-07-08 Avaya Inc. Alarm-driven access control in an enterprise network
US8296839B2 (en) * 2006-06-06 2012-10-23 The Mitre Corporation VPN discovery server
US8818322B2 (en) 2006-06-09 2014-08-26 Trapeze Networks, Inc. Untethered access point mesh system and method
US9258702B2 (en) 2006-06-09 2016-02-09 Trapeze Networks, Inc. AP-local dynamic switching
US8281387B2 (en) * 2006-06-30 2012-10-02 Intel Corporation Method and apparatus for supporting a virtual private network architecture on a partitioned platform
JP4775154B2 (ja) * 2006-07-25 2011-09-21 日本電気株式会社 通信システム、端末装置、プログラム、及び、通信方法
JP4763560B2 (ja) * 2006-09-14 2011-08-31 富士通株式会社 接続支援装置
US8218435B2 (en) * 2006-09-26 2012-07-10 Avaya Inc. Resource identifier based access control in an enterprise network
CN101682519A (zh) * 2007-05-04 2010-03-24 阿尔卡特朗讯 用于对诸如推送邮件之类的服务进行计费的方法
US20080313456A1 (en) * 2007-06-12 2008-12-18 Andrew John Menadue Apparatus and method for irrepudiable token exchange
NO327765B1 (no) * 2007-08-29 2009-09-21 Message Man As Fremgangsmate og et arrangement relatert til sikkerhetsmekanismer for meldingsbaserte elektroniske transaksjoner
JP2009086802A (ja) * 2007-09-28 2009-04-23 Hitachi Ltd 認証仲介方法およびシステム
US8438618B2 (en) * 2007-12-21 2013-05-07 Intel Corporation Provisioning active management technology (AMT) in computer systems
US7930732B2 (en) * 2008-02-22 2011-04-19 Novell, Inc. Techniques for secure transparent switching between modes of a virtual private network (VPN)
US20090228576A1 (en) * 2008-03-06 2009-09-10 Rosenan Avner System and method for testing software
CN101277306B (zh) * 2008-05-14 2013-04-24 成都市华为赛门铁克科技有限公司 一种处理dns业务的方法、系统及设备
CN101304388B (zh) * 2008-06-20 2010-08-04 成都市华为赛门铁克科技有限公司 解决ip地址冲突的方法、装置及系统
US8291509B2 (en) * 2008-10-17 2012-10-16 Sap Ag Searchable encryption for outsourcing data analytics
US9425960B2 (en) * 2008-10-17 2016-08-23 Sap Se Searchable encryption for outsourcing data analytics
EP2345231B1 (de) * 2008-10-29 2013-01-02 Dolby Laboratories Licensing Corporation Vernetzungsdomänen- und schlüsselsystem
US9345065B2 (en) 2008-11-17 2016-05-17 Qualcomm Incorporated Remote access to local network
EP2448184A1 (de) * 2008-11-17 2012-05-02 Qualcomm Incorporated Fernzugriff auf ein lokales Netzwerk über ein Sicherheitsgateway
JP5212913B2 (ja) * 2009-03-02 2013-06-19 日本電気株式会社 Vpn接続システム、及びvpn接続方法
US8707043B2 (en) * 2009-03-03 2014-04-22 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
KR20100100134A (ko) * 2009-03-05 2010-09-15 한국전자통신연구원 네트워크 로봇 서비스를 위한 보안 서비스 방법 및 장치
JP5133932B2 (ja) * 2009-04-14 2013-01-30 日本電信電話株式会社 Vpn接続制御システム、認証サーバ
JP4802263B2 (ja) * 2009-07-17 2011-10-26 株式会社日立製作所 暗号化通信システム及びゲートウェイ装置
US8560855B2 (en) * 2009-08-27 2013-10-15 Cleversafe, Inc. Verification of dispersed storage network access control information
JP5476866B2 (ja) * 2009-08-28 2014-04-23 コニカミノルタ株式会社 通信装置、通信方法、通信用プログラムおよび通信システム
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
TW201206129A (en) * 2010-07-20 2012-02-01 Gemtek Technology Co Ltd Virtual private network system and network device thereof
US9100398B2 (en) 2011-04-27 2015-08-04 International Business Machines Corporation Enhancing directory service authentication and authorization using contextual information
US9094400B2 (en) * 2011-04-27 2015-07-28 International Business Machines Corporation Authentication in virtual private networks
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
US8793783B2 (en) * 2011-12-20 2014-07-29 International Business Machines Corporation Dynamic allocation of network security credentials for alert notification recipients
WO2013125414A1 (ja) * 2012-02-23 2013-08-29 日本電気株式会社 相互認証システム、相互認証サーバ、相互認証方法および相互認証プログラム
WO2013166696A1 (zh) * 2012-05-11 2013-11-14 华为技术有限公司 数据传输方法、系统及装置
US9071928B2 (en) * 2012-09-11 2015-06-30 Cellco Partnership Trusted mode location service for mobile device access to private network based applications
US9596271B2 (en) * 2012-10-10 2017-03-14 International Business Machines Corporation Dynamic virtual private network
CN103905193A (zh) * 2012-12-26 2014-07-02 北京合众思壮科技股份有限公司 信息交互方法、终端、安全信息接入系统及信息交互系统
US9781070B2 (en) * 2013-02-27 2017-10-03 Pavlov Media, Inc. Resolver-based data storage and retrieval system and method
US10951688B2 (en) 2013-02-27 2021-03-16 Pavlov Media, Inc. Delegated services platform system and method
US10601943B2 (en) 2013-02-27 2020-03-24 Pavlov Media, Inc. Accelerated network delivery of channelized content
JP6127622B2 (ja) * 2013-03-18 2017-05-17 ヤマハ株式会社 Dnsサーバ装置、ネットワーク機器、および通信システム
CN103188266B (zh) * 2013-03-26 2015-12-02 汉柏科技有限公司 一种基于ezvpn的地址分配回收动态控制方法和系统
CN103209107B (zh) * 2013-04-08 2016-08-17 汉柏科技有限公司 一种实现用户访问控制的方法
US8819127B1 (en) * 2013-04-12 2014-08-26 Fmr Llc Ensemble computing
ES2804676T3 (es) 2013-07-10 2021-02-09 Huawei Tech Co Ltd Método para implementar un túnel de GRE, un punto de acceso y una puerta de enlace
ES2757505T3 (es) * 2013-07-12 2020-04-29 Huawei Tech Co Ltd Método para implementar túnel de GRE, dispositivo de acceso y puerta de agregación
WO2015008769A1 (ja) * 2013-07-18 2015-01-22 日本電信電話株式会社 ディレクトリサービス装置、クライアント装置、鍵クラウドシステム、それらの方法、およびプログラム
JP6149741B2 (ja) * 2014-01-24 2017-06-21 富士ゼロックス株式会社 情報処理装置及びプログラム
US9807004B2 (en) * 2014-04-01 2017-10-31 Google Inc. System and method for software defined routing of traffic within and between autonomous systems with enhanced flow routing, scalability and security
JP6168415B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
US10127317B2 (en) * 2014-09-18 2018-11-13 Red Hat, Inc. Private cloud API
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
CN105493453B (zh) * 2014-12-30 2019-02-01 华为技术有限公司 一种实现远程接入的方法、装置及系统
US9918346B2 (en) * 2015-04-17 2018-03-13 Barracuda Networks, Inc. System for connecting, securing and managing network devices with a dedicated private virtual network
CN105072213B (zh) * 2015-08-28 2018-12-28 迈普通信技术股份有限公司 一种IPSec NAT双向穿越方法、系统及VPN网关
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
US9736120B2 (en) 2015-10-16 2017-08-15 Cryptzone North America, Inc. Client network access provision by a network traffic manager
US9628444B1 (en) 2016-02-08 2017-04-18 Cryptzone North America, Inc. Protecting network devices by a firewall
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US10382562B2 (en) * 2016-11-04 2019-08-13 A10 Networks, Inc. Verification of server certificates using hash codes
US20180131525A1 (en) * 2016-11-07 2018-05-10 International Business Machines Corporation Establishing a secure connection across secured environments
US20180131696A1 (en) * 2016-11-09 2018-05-10 Prosoft Technology, Inc. Systems and methods for providing dynamic authorization
US10887130B2 (en) * 2017-06-15 2021-01-05 At&T Intellectual Property I, L.P. Dynamic intelligent analytics VPN instantiation and/or aggregation employing secured access to the cloud network device
CN109728989B (zh) * 2017-10-31 2021-06-11 中国电信股份有限公司 用于实现安全接入的方法、装置和系统
FR3076141A1 (fr) 2017-12-21 2019-06-28 Orange Procede de traitement de requetes et serveur proxy
CN108073829A (zh) * 2017-12-29 2018-05-25 上海唯链信息科技有限公司 用于记录对象的运输数据的方法、介质、物联网设备、区块链平台和物联网系统
US10742595B2 (en) * 2018-04-20 2020-08-11 Pulse Secure, Llc Fully qualified domain name-based traffic control for virtual private network access control
US11190490B2 (en) 2018-10-02 2021-11-30 Allstate Insurance Company Embedded virtual private network
US11888828B2 (en) * 2018-11-26 2024-01-30 Telefonaktiebolaget Lm Ericsson (Publ) Domain name system queries
US11115387B2 (en) * 2019-02-04 2021-09-07 Cisco Technology, Inc. Method for policy-driven, classifying, and routing traffic using the domain name system
US10834053B1 (en) * 2019-09-24 2020-11-10 Darrien Ventures LLC Virtual private network for zero trust access control and end to end network encryption
US11611536B2 (en) * 2020-06-10 2023-03-21 360 It, Uab Enhanced privacy-preserving access to a VPN service
US11601428B2 (en) * 2020-12-10 2023-03-07 Cisco Technology, Inc. Cloud delivered access
US11489814B1 (en) 2021-03-10 2022-11-01 Amazon Technologies, Inc. Customized domain name resolution for virtual private clouds
CN113347071B (zh) * 2021-05-20 2022-07-05 杭州快越科技有限公司 动态虚拟专用网络vpn建立方法、装置及设备
CN113810195B (zh) * 2021-06-04 2023-08-15 国网山东省电力公司 一种电力培训仿真考核数据的安全传输方法及装置
TWI795148B (zh) * 2021-12-28 2023-03-01 四零四科技股份有限公司 處理存取控制的裝置、方法及系統
US11652800B1 (en) * 2022-10-03 2023-05-16 Uab 360 It Secure connections between servers in a virtual private network

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH039876U (de) 1989-06-15 1991-01-30
JP3009876B2 (ja) * 1997-08-12 2000-02-14 日本電信電話株式会社 パケット転送方法および該方法に用いる基地局
US6557037B1 (en) * 1998-05-29 2003-04-29 Sun Microsystems System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
JP2001160828A (ja) 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd セキュリティ・ゲートウェイ装置におけるvpn通信方法
JP2001292135A (ja) 2000-04-07 2001-10-19 Matsushita Electric Ind Co Ltd 鍵交換システム
US20020124090A1 (en) * 2000-08-18 2002-09-05 Poier Skye M. Method and apparatus for data communication between a plurality of parties
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
JP3454788B2 (ja) 2000-12-14 2003-10-06 日本電信電話株式会社 閉域網間接続切り替え方式
JP3616570B2 (ja) * 2001-01-04 2005-02-02 日本電気株式会社 インターネット中継接続方式
JP2002271309A (ja) 2001-03-07 2002-09-20 Sharp Corp 鍵情報管理方法及び機器管理装置
CN1150718C (zh) * 2001-06-29 2004-05-19 华为技术有限公司 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法
JP2003018163A (ja) 2001-07-02 2003-01-17 Nec Corp ネットワークコンフィグレーション管理システム及び管理方法
US6847649B2 (en) * 2001-08-24 2005-01-25 Ericsson Inc. Methods, systems and computer program products for accessing an embedded web server on a broadband access terminal
US7028183B2 (en) 2001-11-13 2006-04-11 Symantec Corporation Enabling secure communication in a clustered or distributed architecture
US20030131079A1 (en) * 2001-11-13 2003-07-10 Ems Technologies, Inc. Performance enhancing proxy techniques for internet protocol traffic
ES2258134T3 (es) * 2002-01-18 2006-08-16 Nokia Corporation Metodo y aparato para el control del acceso de un dispositivo terminal inalambrico en una red de comunicaciones.
US7574738B2 (en) * 2002-11-06 2009-08-11 At&T Intellectual Property Ii, L.P. Virtual private network crossovers based on certificates
US20040266420A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
US7523484B2 (en) * 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access

Also Published As

Publication number Publication date
JP3912609B2 (ja) 2007-05-09
EP1643691A4 (de) 2007-02-14
CN1701573A (zh) 2005-11-23
WO2005004418A1 (ja) 2005-01-13
EP1643691A1 (de) 2006-04-05
CN100456739C (zh) 2009-01-28
US20060143702A1 (en) 2006-06-29
US7665132B2 (en) 2010-02-16
JPWO2005004418A1 (ja) 2006-08-17
EP1643691B1 (de) 2007-12-05
DE602004010519D1 (de) 2008-01-17

Similar Documents

Publication Publication Date Title
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE60029217T2 (de) Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE60031878T2 (de) Schlüsselaustausch für eine netzwerkarchitektur
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
DE60308251T2 (de) Vorrichtung zur Bereitstellung von öffentlichen Schlüsselzertifikaten
DE69833605T2 (de) Sichere virtuelle LANS
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE60121101T2 (de) Gesichtertes Kommunikationsverfahren, gesichtertes Kommunikationssystem und Gerät
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE60313910T2 (de) Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung
DE60121755T2 (de) Ipsec-verarbeitung
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE102009041805A1 (de) SIP-Signalisierung ohne ständige Neu-Authentifizierung
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
EP2289222B1 (de) Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client
CN101087236B (zh) Vpn接入方法和设备
EP3078177A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
DE112008002860T5 (de) Verfahren und Vorrichtung für das Bereitstellen einer sicheren Verknüpfung mit einer Benutzeridentität in einem System für digitale Rechteverwaltung
CN106685785A (zh) 一种基于IPsec VPN代理的Intranet接入系统
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
EP1128615A2 (de) Verfahren und Kommunikationseinrichtung zur Verschlüsselung von E-Mail

Legal Events

Date Code Title Description
8381 Inventor (new situation)

Inventor name: TSURUOKA, YUKIO, MUSASHINO-SHI, TOKYO, JP

Inventor name: ONO, SATOSHI, MUSASHINO-SHI, TOKYO, JP

Inventor name: HISADA, YUSUKE, MUSASHINO-SHI, TOKYO, JP

8364 No opposition during term of opposition