-
TECHNISCHES GEBIET
-
Die
vorliegende Erfindung bezieht sich auf Techniken, durch die über Informationsstücke zur Realisierung
eines Fernzugriffs-VPN durch ein beliebiges Tunnelprotokoll wie
IPsec (IP Sicherheitsprotokoll) oder L2TP (Lager 2 Tunnelprotokoll)
eine globale IP-Adresse einer VPN-Clienteinheit, eine globale IP-Adresse
einer VPN-Gatewayeinheit und gegenseitige Authentisierungsinformation,
die zur Authentisierung zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit
verwendet wird, in sicherer Weise von ihnen gemeinsam benutzt werden.
-
STAND DER TECHNIK
-
Ein
virtuelles geschlossenes Netz, das auf dem Internet aufbaut, wird
allgemein als Virtuelles Privates Netz (nachstehend als VPN abgekürzt) bezeichnet.
Das VPN wird unter Nutzung eines Tunnelprotokolls wie IPsec, L2TP
oder ähnlichem
aufgebaut, und es wird verwendet, um von einem beweglichen Client über das
Internet auf eine Ressource in einem lokalen Netz (LAN) zuzugreifen
oder um mehrere physikalisch verstreute lokale Netze über das
Internet zu verbinden. Im Falle der Autorisierung eines fernen Nutzers
für den
Zugriff auf das Fernzugriffs-VPN werden die folgenden Einstellungen
sowohl vom VPN-Client, der zugreifen soll, als auch vom VPN-Gateway,
auf das zugegriffen werden soll, benötigt.
-
VPN-Clienteinheit:
-
- • IP-Adresse
(global) einer VPN-Gatewayeinheit Gegenseitige Authentisierungsinformation
zwischen der VPN-Gatewayeinheit und einer VPN-Clienteinheit
- • Private
IP-Adresse der VPN-Clienteinheit
- • Private
IP-Adressen eines Routers und eines Nameservers (wie DNS, WINS)
eines internen Netzes des VPN (im Falle von statischer Einstellung
auf Seiten des VPN-Client) VPN-Gatewayeinheit:
- • Gegenseitige
Authentisierungsinformation zwischen der VPN-Gatewayeinheit und
der VPN-Clienteinheit
- • Private
IP-Adresse, die an eine authentisierte VPN-Clienteinheit zu übergeben
ist, und private IP-Adressen
des Routers und des Nameservers im VPN (im Falle einer dynamischen
Einstellung/Übermittlung
auf Seiten des VPN-Client)
-
Im
Allgemeinen beeinflussen diese Einstellungen die Sicherheit und
deshalb müssen
sie sicher und zuverlässig
ausgeführt
werden, was nicht nur dem Nutzer einer VPN-Clienteinheit, sondern
auch einem VPN-Verwalter eine starke Belastung auferlegt. Und wenn
Nutzer, die zu diesem VPN Zugang haben, einer nach dem anderen wechseln,
wird auch die Last der Nutzerverwaltung gewaltig. Ferner können, wenn
ein Nutzer auf zwei oder mehr VPNs zugreift, das Authentisierungs verfahren,
die Authentisierungsinformation und eine IC-Karte oder ähnliche Authentisierungseinrichtung,
die diese speichern, manchmal für
jedes zu verbindende VPN unterschiedlich sein; die Verwaltung hierfür wird eine
erhebliche Last. Dies ist im Dokument
US-2002/069278 der Fall.
-
Gelegentlich
tritt eine Situation auf, bei der die VPN-Clienteinheit die ihr
gewährte
VPN-Zugriffsberechtigung zeitweise in einer anderen VPN-Clienteinheit
ausüben
will. Ferner ist es nicht sachgerecht, im dem Fall, in dem die VPN-Clienteinheit
(A) innerhalb eines NAT-(Netzwerkadressumsetzung)Segmentes ist oder
in dem sie eine tragbare Miniaturvorrichtung mit streng begrenzten
Leistungsvorgaben ist, direkt einen verschlüsselten Kanal zur Kommunikation
mit der VPN-Gatewayeinheit
aufzubauen. In diesem Fall ist es typisch, dass eine andere VPN-Clienteinheit
(D), die über
die Funktion eines Gateways vom betreffenden NAT-Segment zum Internet
verfügt,
sich um die Aufgabe des Aufbaus eines Tunnels zum VPN-Gateway kümmert. In
diesem Fall muss die Zugriffssteuerung für die VPN-Clienteinheit (A)
und nicht für
die VPN-Clienteinheit (D) durchgeführt werden. Daher ist ein Mechanismus
zur Übertragung
der Berechtigung unverzichtbar, wenn sich die VPN-Clienteinheit,
der die Zugriffsberechtigung erteilt wurde, von der VPN-Clienteinheit
unterscheidet, von der aus der Tunnel beginnt.
-
Weiterhin
kann manchmal der Nutzer der VPN-Clienteinheit abhängig von
der Eigenschaft des vom VPN angebotenen Dienstes wünschen,
die Verbreitung von personenbezogener Information an den VPN-Dienstanbieter
zu verhindern. Andererseits will sich auch der VPN-Dienstanbieter
in vielen Fällen
auf das Angebot seiner Hauptdienste konzentrieren, indem er komplexe
Tätigkeiten
auslagert, wie die Behandlung der Authentisierungsinformation des
Clients oder ähnlicher
persönlicher
Information und das Verwalten des Zugangs und der Kündigung
der Teilnehmer. In diesem Fall verpflichtet der VPN-Dienstanbieter
das externe Dienstleistungsunternehmen, die Nutzerauthentisierung
und die Prüfung
der Zugriffsberechtigung durchzuführen und nur zulässige Nutzer
an den VPN-Dienstanbieter durchzulassen.
-
Eine
sichere Verteilung des gemeinsamen Schlüssels kann durch verschiedene
Verfahren erzielt werden (siehe beispielsweise die Patentdokumente
1 und 2). Das in Patentdokument 1 dargelegte Verfahren ist ein Verfahren,
das den gemeinsamen Schlüssel
zwischen zwei oder mehr Kommunikationseinheiten austauscht, die
an ein lokales Netz angeschlossen sind; dieses Verfahren tauscht
den gemeinsamen Schlüssel über eine
Gatewayeinheit aus, die mit einer DHC-Serverfunktion ausgerüstet ist.
Im Besonderen wird der gemeinsame Schlüssel bei der Verbindung der
Kommunikationseinheiten mit dem lokalen Netz zeitgleich mit dem
Bezug ihrer IP-Adressen durch DHCP ausgetauscht. Dies erlaubt es,
den gemeinsamen Schlüssel
zur Verschlüsselung
der Kommunikation im lokalen Netz auszutauschen.
-
Das
in Patentdokument 2 beschriebene Verfahren ist ein Verfahren, durch
das in der Kommunikation zwischen der an das Internet angeschlossenen
VPN-Clienteinheit und der Kommunikationseinheit, die an das unter
Verwaltung der VPN-Gatewayeinheit gestellte lokale Netz angeschlossenen
ist, ein gemeinsamer Schlüssel
zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit ausgetauscht
wird, und ein anderer gemeinsamer Schlüssel zwischen der VPN-Gatewayeinheit
und der Kommunikationseinheit ausgetauscht wird. Dies erlaubt die
Realisierung von verschlüsselter Kommunikation zwischen
der VPN-Clienteinheit und der an das lokale Netz angeschlossenen
Kommunikationseinheit ohne die Notwendigkeit eines Schlüsselaustauschs zwischen
der VPN-Clienteinheit
und der mit dem lokalen Netz verbundenen Kommunikationseinheit durch
IKE oder einem ähnlichen
Schlüsselaustausch-Schema.
-
Jedoch
beschränkt
das Verfahren des Patentdokuments 1 die Schlüsselverteilung auf das lokale
Netz und, das Verfahren des Patentdokuments 2 erfordert einen Voraustausch
des gemeinsamen Schlüssels
zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit, und deswegen
werden die Verwaltungstätigkeiten
zum Beispiel für
den Fall komplex, dass der Zugang und die Kündigung von Teilnehmern einer
Gruppe häufig
auftreten. Und keines dieser Verfahren bietet eine Funktion der Übertragung
der Zugriffssteuerung an einen Dritten und eine Funktion, die es
der VPN-Clienteinheit
erlaubt, die Verarbeitung der verschlüsselten Kommunikation für den Zugriff
auf das VPN-Gateway, zu dem verbunden zu werden die VPN-Clienteinheit
berechtigt ist, an eine andere sichere VPN-Clienteinheit zu übertragen.
Verschiedene Verfahren sind vorgeschlagen, durch die die Seite des
VPN-Gateways die Konfigurationsverwaltungs-Information, wie die
an die authentisierte VPN-Clienteinheit zu liefernde private IP-Adresse,
private Adressen eines Routers oder eines Nameservers im VPN, dynamisch
setzt/übermittelt
(siehe beispielsweise Patentdokument 3, Patentdokument 4, Nichtpatentdokument
1, Nichtpatentdokument 2 und Nichtpatentdokument 3).
-
Gemäß Patentdokument
3 wird eine Verwaltungseinheit zur Verwaltung der Einstellungsinformation
zur Verfügung
gestellt, die sich zur Übertragung der
Einstellungsinformation in eine Kommunikationseinheit einloggt,
indem sie dazu ihre IP-Adresse und ein Log-in Passwort übergibt.
Mit diesem Verfahren kann Konfigurationsverwaltungs-Information,
wie die private IP-Adresse und so weiter, als Einstellungsinformation
von der zur VPN-Gatewayeinheit gehörigen Verwaltungseinheit zur
VPN-Clienteinheit verteilt werden. Jedoch authentisiert dieses Verfahren
nicht die VPN-Clienteinheit, die ein Empfänger ist – dies birgt die Gefahr eines
Angriffs mit falscher Identität durch
Maskierung mit der IP-Adresse und Angriff auf den Vermittler. Ferner
wird nicht erwähnt,
wie die Verwaltungseinheit die Authentisierung/Zugriffssteuerung
durchführt,
wenn die VPN-Clienteinheit eine Aufforderung zur Erfassung der Konfigurationsverwaltungs-Information
stellt.
-
Patentdokument
4, das Nichtpatentdokument 1, das Nichtpatentdokument 2 und das
Nichtpatentdokument 3 legen alle Verfahren der dynamischen Einstellung/Übermittlung
der Konfigurationsmanagement-Information durch Tunnelprotokolle
wie IPsec, PPP, L2TP und ähnliche
dar.
-
Die
vorliegende Erfindung geht auch von der Annahme aus, dass die der
oben erwähnten
dynamischen Einstellung/Übermittlung
entsprechende Funktion in der Aufbauphase der verschiedenen Tunnelprotokolle
zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit durchgeführt wird.
Aber gemäß den üblichen
Systemen werden Nutzer-Authentisierung oder Zugriffssteuerung und
die dynamische Einstellung/Übermittlung
der oben erwähnten
Konfigurationsmanagement-Information als eine einzelne, integrale
Operation zum Zeitpunkt des Tunnelaufbaus durchgeführt; im
Gegensatz dazu wird gemäß der vorliegenden
Erfindung die Nutzer-Authentisierung und die Zugriffssteuerung in
einer Vermittlungsvorrichtung durchgeführt, um es der VPN-Clienteinheit
und der VPN-Gatewayeinheit
zu erlauben, eine gemeinsame geheime Information zu teilen, die
genutzt wird, einen Tunnel zwischen der VPN-Clienteinheit und der
VPN-Gatewayeinheit aufzubauen, und dann wird die Konfigurationsmanagement-Information über den
Tunnel von der VPN-Gatewayeinheit dynamisch eingestellt/zugewiesen.
Außerdem überträgt die VPN-Clienteinheit
A die Tunnelprotokoliverarbeitung für die verschlüsselte Kommunikation
an eine andere sichere VPN-Clienteinheit D, wodurch es möglich ist,
eine Überprüfung der
Zugriffsberechtigung für
die Ursprungseinheit B in der Vermittlungsvorrichtung durchzuführen. Je
nachdem, wie es für die
Verwaltung günstiger
ist, kann ein Teil der Konfigurationsmanagement-Information über den
Tunnel, Information zum Routen zum Tunnel oder ähnliche Information über den
Netzbetrieb von der Vermittlungsvorrichtung zur VPN-Clienteinheit
gesendet werden. In diesem Fall wird die von der Vermittlungsvorrichtung
gesendete Konfigurationsmanagement-Information vor oder nach dem
Tunnelaufbau entsprechend der Art der Information eingestellt.
-
Als
ein Authentisierungs- und ein Zertifikatsausgabe-Verfahren, das
einen öffentlichen
Schlüssel benutzt,
wird ein SPKI(Simple Public Key Infrastructure)-Schema (zum Beispiel
Nichtpatentdokument 4 und Nichtpatentdokument 5) vorgeschlagen,
aber es ist nicht klar, wie dieses Schema auf das Fernzugriffs-VPN
anzuwenden ist.
- Patentdokument 1: Japanische Patentanmeldung Kokai-Veröffentlichung
Nr.2001-292135
- Patentdokument 2: Japanische
Patentanmeldung Kokai-Veröffentlichung
Nr.2002-271309
- Patentdokument 3: Japanische
Patentanmeldung Kokai-Veröffentlichung
Nr.2003-18163
- Patentdokument 4: Japanische
Patentanmeldung Kokai-Veröffentlichung
Nr.2001-160828
- Nichtpatentdokument 1: B. Patel, B. Aboda, S. Kelly, V. Gupta, „Dynamic
Host Configuration Protocol (DHCPv4) Configuration of IPsec Tunnel
Model", [online],
veröffentlicht
Januar 2003. RFC3456, Internet Engineering Task Force, [Abgerufen
17. März
2003], Internet <URL:http://www.ietf.org/rfc/rfc3456.txt>
- Nichtpatentdokument 2: IPCP (RFC-1332)
- Nichtpatentdokument 3: EAP (RFC-2284)
- Nichtpatentdokument 4: C. Ellison, B. Frantz, B. Lampson, R.
Rivest, B. Thomas, T. Ylonen, „SPKI Certificate
Theory", [online],
veröffentlicht
September 1999, RFC2693, Internet Engineering Task Force, Internet <URL:http://www.ietf.org/rfc/rfc2693.txt>
- Nichtpatentdokument 5: C. Ellison, B. Frantz, B. Lampson, R.
Rivest, B. Thomas, T. Ylonen, „Simple Public
Key Infrastructure <draft-ieft-spki-cert-structure-0.6.txt>", [online], veröffentlicht 26. Juli 1999, Internet
Engineering Task Force, Internet <URL:http://world.std.com/cme/spki.txt>
-
OFFENBARUNG DER ERFINDUNG
-
DURCH DIE ERFINDUNG ZU LÖSENDES PROBLEM
-
Im
Hinblick auf die oben beschriebenen Probleme wurde die vorliegende
Erfindung geschaffen, durch die über
Informationsstücke,
die zur Realisierung eines Fernzugriffs-VPN durch ein beliebiges Tunnelprotokoll
wie IPsec (IP Sicherheitsprotokoll) oder L2TP (Lager 2 Tunnelprotokoll)
benutzt werden sollen, in einem IP-Netz eine globale IP-Adresse
einer VPN-Clienteinheit, eine globale IP-Adresse einer VPN-Gatewayeinheit,
eine private IP-Adresse einer beliebigen Kommuni kationseinheit in
dem unter Kontrolle der VPN-Gatewayeinheit gestellten lokalen Netz
und ein gemeinsamer Schlüssel,
der zur Authentisierung in einer IKE Phase 1 zwischen der VPN-Clienteinheit
und der VPN-Gatewayeinheit benutzt werden soll, in sicherer Weise
zwischen ihnen gemeinsam benutzt werden kann. Weiterhin soll die Erfindung
Kommunikation zur Authentisierung in einem Fernzugriffs-VPN ohne
Verlust der persönlichen Information
des Nutzers an den anderen Teilnehmer ermöglichen.
-
MITTEL ZUR LÖSUNG DES
PROBLEMS
-
Gemäß der vorliegenden
Erfindung wird ein Fernzugriffs-VPN-Vermittlungsverfahren in einem System
bereitgestellt, bei welchem: ein nachstehend als VPN bezeichnetes
Virtuelles Privates Netz, Clienteinheiten und eine VPN-Gatewayeinheit
an ein IP-Netz angeschlossen sind; Kommunikationseinheiten an ein
unter Verwaltung der VPN-Gatewayeinheit gestelltes lokales Netz
angeschlossen sind; und ein Fernzugriffs-VPN über ein Tunnelprotokoll zwischen einer
beliebigen der VPN-Clienteinheiten und der an das die IP-Netz angeschlossenen
VPN-Gatewayeinheit und einer beliebigen der Kommunikationseinheiten,
die an das unter Verwaltung der VPN-Gatewayeinheit gestellte lokale
Netz angeschlossenen ist, realisiert ist. Das genannte Verfahren
umfasst die Schritte des:
- a) Sendens einer
Zugriffssteuerungsliste, die auf eine private, der Kommunikationseinheit
zugewiesene IP-Adresse hinweisende Information enthält, von
der VPN-Gatewayeinheit an eine Vermittlungsvorrichtung in dem IP-Netz;
- b) Speicherns der Zugriffssteuerungsliste durch die Vermittlungsvorrichtung,
die in Verbindung mit der VPN-Gatewayeinheit steht;
- c) Abrufens einer der VPN-Gatewayeinheit zugehörigen privaten
IP-Adresse als Antwort auf eine Aufforderung von der VPN-Clienteinheit,
Erfassens der privaten IP-Adresse der zugehörigen Kommunikationseinheit
von der Zugriffssteuerungsliste, Sendens der erfassten privaten IP-Adresse
an die VPN-Clienteinheit, Sendens der IP-Adresse der VPN-Clienteinheit
an die VPN-Gatewayeinheit, Erzeugens von gegenseitiger Authentisierungsinformation
zum Aufbau eines authentisierten, verschlüsselten Tunnels zwischen der
VPN-Clienteinheit und der VPN-Gatewayeinheit, und Sendens der gegenseitigen
Authentisierungsinformation an sowohl die VPN-Clienteinheit als
auch die Gatewayeinheit; und
- d) Aufbaus des authentisierten, verschlüsselten Tunnels zwischen der
VPN-Clienteinheit und der Gatewayeinheit unter Verwendung der gegenseitigen
Authentisierungsinformation, und Realisierung eines Fernzugriffs
durch den verschlüsselten Tunnel
unter Verwendung der privaten IP-Adresse
der Kommunikationseinheit.
-
Gemäß der vorliegenden
Erfindung wird eine Fernzugriffs-VPN-Vermittlungsvorrichtung, die
auf einem IP-Netz aufbaut, um ein Fernzugriffs-VPN zu realisieren,
in einem System bereitgestellt, bei welchem: VPN-Clienteinheiten
und eine VPN-Gatewayeinheit an das IP-Netz angeschlossen sind; Kommunikationseinheiten
an ein unter die Verwaltung der VPN-Gatewayeinheit gestelltes lokales
Netz angeschlossen sind; und ein Fernzugriffs-VPN über ein Tunnelprotokoll
zwischen einer beliebigen der VPN-Clienteinheiten und der an das
IP-Netz angeschlossenen VPN-Gatewayeinheit und einer beliebigen
der Kommunikationseinheiten, die an das unter die Verwaltung der
VPN-Gatewayeinheit
gestellte lokale Netz angeschlossenen sind, realisiert ist; welche Vorrichtung
enthält:
ein
ACL-Speichermittel zur Speicherung einer nachstehend als ACL bezeichneten
Zugriffssteuerungsliste, die von der VPN-Gatewayeinheit gesendet
wurde und auf die private, der Kommunikationseinheit zugewiesene
IP-Adresse hinweisende Information enthält;
ein Authentisierungs-/Zugriffsberechtigungssteuerungsmittel
zur Authentisierung der VPN-Clienteinheit und der VPN-Gatewayeinheit
und zur Durchführung
der Zugriffsberechtigungssteuerung;
ein IP-Adresserfassungsmittel
zum Bezug auf die Zugriffssteuerungsliste, um die der Kommunikationseinheit
zugewiesene private IP-Adresse zu erfassen, und zum Durchsuchen
eines Domain-Nameservers, um
die der VPN-Gatewayeinheit zugewiesene IP-Adresse zu erfassen;
ein
Authentisierungsinformations-Erzeugungsmittel zur Erzeugung gegenseitiger
Authentisierungsinformation für
den Aufbau eines verschlüsselten
Tunnels zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit;
und
ein Kommunikationsmittel zum Senden der IP-Adresse der
VPN-Gatewayeinheit, der privaten IP-Adresse der Kommunikationseinheit und
der gegenseitigen Authentisierungsinformation an die VPN-Clienteinheit,
und zum Senden der IP-Adresse der VPN-Clienteinheit und der gegenseitigen
Authentisierungsinformation an die VPN-Gatewayeinheit.
-
ERGEBNIS DER ERFINDUNG
-
Die
vorliegende Erfindung erzielt die nachfolgend beschriebenen Ergebnisse.
Ein erstes Ergebnis liegt darin, dass über Informationsstücke, die
zur Realisierung eines Fernzugriffs-VPN durch ein beliebiges Tunnelprotokoll
wie IPsec oder L2TP benutzt werden sollen, in einem IP-Netz eine
globale IP-Adresse einer VPN-Clienteinheit, eine globale IP-Adresse
einer VPN-Gatewayeinheit, eine private IP-Adresse einer beliebigen
Kommunikationseinheit im unter die Steuerung der VPN-Gatewayeinheit gestellten
lokalen Netz und ein gemeinsamer Schlüssel oder eine gemeinsame Geheiminformation
(nachstehend als gegenseitige Authentisierungsinformation bezeichnet),
die zur gegenseitigen Authentisierung für den Aufbau eines verschlüsselten
Tunnels zwischen der VPN-Clienteinheit
und der VPN-Gatewayeinheit notwendig sind, in sicherer Weise zwischen ihnen
gemeinsam benutzt werden können.
Der Grund hierfür
ist die sichere Verwaltung der privaten IP-Adresse in der Vermittlungsvorrichtung
und die sichere Verteilung der privaten IP-Adresse und der gegenseitigen
Authentisierungsinformation.
-
Genauer
ausgedrückt
authentisiert, im Falle des Eintragens der privaten IP-Adresse in
sie, die Vermittlungsvorrichtung die VPN-Gatewayeinheit und verschlüsselt, nur
falls die Authentisierung erfolgreich ist, den Kommunikationskanal
und empfängt
die private IP-Adresse über
den verschlüsselten
Kommunikationskanal. Im Falle des Abrufs der privaten IP-Adresse
authentisiert die Vermittlungsvorrichtung die VPN-Clienteinheit;
und führt,
nur falls die Authentisierung erfolgreich ist, die Zugriffsberechtigungssteuerung
unter Nutzung des öffentlichen Schlüssels der
VPN-Clienteinheit
durch; und erfasst, nur falls die Zugriffsberechtigungssteuerung
erfolgreich ist, die globale IP-Adresse der VPN-Gatewayeinheit vom
Domain-Nameserver; und verschlüsselt den
Kommunikationskanal zwischen der Vermittlungsvorrichtung und der
VPN-Clienteinheit; sendet die globale IP-Adresse der VPN-Gatewayeinheit,
die private IP-Adresse der Kommunikationseinheit und die gegenseitige
Authentisierungsinformation über den
verschlüsselten
Kommunikationskanal an die VPN-Clienteinheit; und verschlüsselt den
Kommunikationskanal zwischen der Vermittlungsvorrichtung und der
VPN-Gatewayeinheit; sendet die globale IP-Adresse der VPN-Clienteinheit,
die gegenseitige Authentisierungsinformation und Attributinformation der
VPN-Clienteinheit an die VPN-Gatewayeinheit.
-
Ein
zweites Ergebnis ist es, Mittel bereitzustellen, durch die die Kommunikation
in der Authentisierung für
ein Fernzugriffs-VPN ohne Verlust der privaten Information des Nutzers
an den anderen Kommunikationsteilnehmer durchgeführt werden kann. Der Grund
hierfür
ist, dass im Falle der Authentisierung durch das PKI-Schema ein
persönliche
Information enthaltendes gemeinsames Schlüsselzertifikat zur Authentisierung
an die Vermittlungsvorrichtung anstatt an den anderen Kommunikationsteilnehmer gesendet
wird. Ein anderer Grund liegt darin, dass im Falle der Authentisierung
durch das SPKI-Schema das Format jedes beliebigen Zertifikats so
definiert werden kann, dass es keine persönliche Information enthält. Andererseits
kann die Vermittlungsvorrichtung verbunden werden mit: einer Funktion
des Sendens der das Authentisierungsergebnis begleitenden Attributinformation
an die VPN-Gatewayeinheit, um das VLAN für die Aufnahme der betreffenden VPN-Clienteinheit
auszuwählen;
einer Funktion zur Änderung
der Paketfiltereinstellung der beteiligten VPN-Gatewayeinheit; und
einer Funktion des Hinzufügens
der betreffenden Attributinformation zu einem invertierten Verzeichnis
der DNS im VPN in dem der privaten IP-Adresse der VPN-Clienteinheit entsprechenden
Eintrag.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1 ist
ein Diagramm, das ein Beispiel eines Systemaufbaus in einer ersten
Ausführungsform der
vorliegenden Erfindung veranschaulicht.
-
2 ist
ein Diagramm zur Erklärung
der allgemeingültigen
Kurzdarstellung des Betriebs der ersten Ausführungsform der vorliegenden
Erfindung.
-
3 ist
ein Diagramm, das den Funktionsaufbau einer Vermittlungsvorrichtung
(S) 104 der vorliegenden Erfindung zeigt.
-
4 A ist eine Tabelle, die die Entsprechung
zwischen ACL und Hash-Werten zeigt, und B ist ein Diagramm, das
ein Beispiel eines ACL-Eintrags in 4A zeigt.
-
5 ist
ein Diagramm, das Speichermittel der Zugriffssteuerung ACL in der
ersten Ausführungsform
der vorliegenden Erfindung zeigt.
-
6 ist
ein Diagramm, das den Ablauf für das
Senden einer IP-Adresse und eines gemeinsamen Schlüssels in
der ersten Ausführungsform
der vorliegenden Erfindung zeigt.
-
7 ist
ein detailliertes Flussdiagramm, das einen Ablauf der Erfassung
einer IP-Adresse und einen Ablauf der Erzeugung eines gemeinsamen Schlüssels in
der Vermittlungsvorrichtung in der ersten Ausführungsform der vorliegenden
Erfindung zeigt.
-
8 ist
ein Diagramm, das ein Beispiel der Zugriffssteuerungsliste ACL in
der ersten Ausführungsform
zeigt.
-
9 ist
ein Diagramm, das ein Beispiel von Daten TAG in der ersten Ausführungsform
der vorliegenden Erfindung zeigt.
-
10 ist
ein Diagramm, das ein Beispiel von berechneten Ergebnisdaten DATA
in der ersten Ausführungsform
der vorliegenden Erfindung zeigt.
-
11 ist
ein Diagramm, das ein Beispiel eines Zertifikates in der ersten
Ausführungsform
der vorliegenden Erfindung zeigt. Sein Programm kann über ein
Netz verteilt werden.
-
12 ist
ein Diagramm, das einen Systemaufbau in einer zweiten Ausführungsform
der vorliegenden Erfindung veranschaulicht.
-
13 ist
ein Diagramm zur Erklärung
der allgemeingültigen
Kurzdarstellung des Betriebs der zweiten Ausführungsform der vorliegenden
Erfindung.
-
14 ist
ein Diagramm, das Speichermittel der Zugriffssteuerung ACL in der
zweiten Ausführungsform
der vorliegenden Erfindung zeigt.
-
15 ist
ein detailliertes Flussdiagramm, das den Ablauf der Speicherung
der Zugriffssteuerungsliste ACL in der Vermittlungsvorrichtung in
der zweiten Ausführungsform
der vorliegenden Erfindung zeigt.
-
16 ist
ein Diagramm, das die Abläufe
der Verteilung der IP-Adresse und des gemeinsamen Schlüssels in
der zweiten Ausführungsform
der vorliegenden Erfindung zeigt.
-
17 ist
ein detailliertes Flussdiagramm, das einen Ablauf der Erfassung
einer IP-Adresse und einen Ablauf der Erzeugung eines gemeinsamen Schlüssels in
der Vermittlungsvorrichtung in der zweiten Ausführungsform der vorliegenden
Erfindung zeigt.
-
18 ist
ein Diagramm, das eine Ausführungsform
der VPN-Clienteinheit in einer dritten Ausführungsform der vorliegenden
Erfindung veranschaulicht.
-
19 ist
ein Diagramm, das den Gesamtaufbau eines Netzes veranschaulicht,
in dem die VPN-Gatewayeinheit in einer vierten Ausführungsform
der vorliegenden Erfindung benutzt wird.
-
20 ist
ein Diagramm, das ein Beispiel einer Zugriffssteuerungsliste zur
Verwendung in der vierten Ausführungsform
zeigt.
-
21 ist
ein Diagramm, das ein Beispiel des Funktionsaufbaus der VPN-Gatewayeinheit
zur Verwendung in der vierten Ausführungsform veranschaulicht.
-
BESTE AUSFÜHRUNGSWEISE DER ERFINDUNG
-
Ausführungsformen
der vorliegenden Erfindung werden nachstehend mit Bezug auf die
beigefügten
Zeichnungen detailliert beschrieben.
-
AUSFÜHRUNGSFORM
1
-
Dies
ist eine Ausführungsform,
in der eine Vermittlungsvorrichtung eine VPN-Clienteinheit und eine
VPN-Gatewayeinheit durch ein SPKI (Simple Public Key Infrastructure)-Schema
authentisiert, und die VPN-Clienteinheit zur Übertragung der Berechtigung
ein Zertifikat ausgibt. Dieses SPKI-Schema erfordert keine Authentisierungsstelle.
-
1 veranschaulicht
einen allgemeingültigen
Systemaufbau dieser Ausführungsform.
In 1 sind eine VPN-Clienteinheit (A) 101,
eine VPN-Clienteinheit (D) 102, eine VPN-Gatewayeinheit
(B) 103, eine Vermittlungsvorrichtung (S) 104 und
ein Domain-Nameserver (DNS) 105 jeweils an ein großräumiges Netz
(WAN) 100 unter IP (Internetprotokoll) angeschlossen. Eine
Kommunikationseinheit (C) 111 ist an ein lokales Netz (LAN) 110 angeschlossen,
das die VPN-Gatewayeinheit (B) 103 als eine Gatewayeinheit
nutzt. Am WAN kann auch eine VPN-Gatewaysteuerungseinheit (M) 112 zur
Verfügung
gestellt werden, die die Berechtigung hat, eine Zugriffssteuerungsliste
für die
VPN-Gatewayeinheit (B) 103 zu verwalten.
-
2 ist
ein Diagramm zur Erklärung
des Betriebs des in 1 dargestellten Gesamtsystems. Die
dicken Linien bezeichnen VPNs in einem IPsec Tunnelmodus.
-
Es
sei nun der Hostname der VPN-Clienteinheit (A) 101 durch
einen öffentlichen
Schlüssel PUBLICKEY_A
(oder seinen Hash-Wert HASH_A) und seine IP-Adresse durch IPADDRESS_A
repräsentiert.
Es sei der Hostname der VPN-Clienteinheit (D) 102 durch
einen öffentlichen
Schlüssel PUBLICKEY_D
(oder seinen Hash-Wert HASH_D) und seine IP-Adresse durch IPADDRESS_D
repräsentiert.
Und es sei der Hostname der VPN-Gatewayeinheit (B) 103 durch
einen öffentlichen
Schlüssel
PUBLICKEY_B (oder seinen Hash-Wert HASH_B) und seine IP-Adresse durch IPADDRESS_B
repräsentiert.
Dadurch können
die VPN-Clienteinheit und die VPN-Gatewayeinheit durch ihre öffentlichen
Schlüssel
(oder ihre Hash-Werte) bestimmt werden. Es sei die private IP-Adresse
der Kommunikationseinheit (C) 111 durch IP-ADDRESS_C repräsentiert.
-
Die
der VPN-Clienteinheit (A) 101 zugewiesene IP-Adresse IPADDRESS_A,
die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B
und die der VPN-Clienteinheit (D) 102 zugewiesene IP-Adresse
IPADDRESS_D sind alle im IP-Netz (WAN) 100 eindeutig, und
sie werden durch beliebige Mittel dynamisch zugewiesen. Der öffentliche
Schlüssel
PUBLICKEY_B und die IP-Adresse
IPADDRESS_B der VPN-Gatewayeinheit (B) 103 sind eindeutig
einander zugeordnet und unter die Verwaltung des Domain-Nameservers
(DNS) 105 gestellt. Die an die Kommunikationseinheit 111 zugewiesene
private IP-Adresse IPADDRESS_C ist im lokalen Netz (LAN) 110 eindeutig,
und sie wird durch beliebige Mittel dynamisch zugewiesen.
-
Die
VPN-Clienteinheit (A) 101, die VPN-Clienteinheit (D) 102,
die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung
(S) 104 haben jeweils Mittel zur Verschlüsselung
eines Kanals durch einen IPsec Transportmodus oder IPsec Tunnelmodus.
Die VPN-Clienteinheit (A) 101 speichert zusammen mit dem öffentlichen
Schlüssel
PUBLICKEY_A einen privaten Schlüssel
PRIVATEKEY_A, der zusammen mit dem öffentlichen Schlüssel PUBLICKEY_A
ein Paar bildet. Die VPN-Gatewayeinheit (B) 103 speichert
zusammen mit dem öffentlichen
Schlüssel
PUBLICKEY_B einen privaten Schlüssel
PRIVATEKEY_B, der zusammen mit dem öffentlichen Schlüssel PUBLICKEY_B
ein Paar bildet. Die VPN-Clienteinheit (D) 102 speichert
zusammen mit dem öffentlichen
Schlüssel
PUBLICKEY_D einen privaten Schlüssel
PRIVATEKEY_D, der zusammen mit dem öffentlichen Schlüssel PUBLICKEY_D
ein Paar bildet. Die VPN-Gatewayeinheit (B) 103 speichert
eine Zugriffssteuerungsliste (ACL), die Bedingungen beschreibt,
die für
den Zugriff auf die Kommunikationseinheit 111 im lokalen Netz 110 notwendig
sind.
-
8 zeigt
ein Beispiel der Zugriffssteuerungsliste (ACL) in dieser Ausführungsform.
Die Grammatik der Zugriffssteuerungsliste (ACL) ist in den vorher
erwähnten,
SPKI betreffenden Nichtpatentdokumenten 4 und 5 definiert. In dem
Beispiel von 8 ist angegeben, dass der Hash-Wert
des öffentlichen
Schlüssels
eines Zugriffssubjektes durch ein in das Subjektfeld (subject) geschriebenes
Hash SHA-1 HASH_A hat – dies
zeigt an, dass das Subjekt auf die Kommunikationseinheit 111 zugreifen
darf, die im lokalen Netz 110, das an die VPN-Gatewayeinheit 103 angeschlossen
ist, die einen in einem Tag-Feld (tag) beschriebenen SHA-1 Hash-Wert HASH_B
hat, die private IP-Adresse IPADDRESS_C hat. Das Feld der Attributinformation „ATTRIBUTE_A" wird als zusätzliche
Funktion bereitgestellt, durch die beispielsweise der Bereich der
zuzuweisenden privaten Adressen bei einem „nichtzahlenden Nutzer" und einem „zahlenden
Nutzer" geändert wird,
wodurch es ermöglicht
wird, den zugänglichen
Server durch Paketfilterung in der VPN-Gatewayeinheit (B) 103 zu ändern, oder
den Dienst durch einen Webserver an einen Client gemäß der Quelladresse
zu verändern.
Das Feld „validity" zeigt die Zeitdauer,
für den
dieser ACL-Eintrag gültig
ist. Das Feld „propagate" zeigt die Befugnis
zur Übertragung der
Berechtigung des Zugriffssubjektes an, aber nachdem in dieser Ausführungsform
keine Übertragung
der Berechtigung vorgenommen wird, wird dieses Feld zusammen mit
anderen Feldern als reiner Datenwert für die Authentisierung benutzt.
-
Wie
in 3 gezeigt, umfasst die Vermittlungsvorrichtung
(S) 104 ein Zugriffssteuerungslisten- (ACL-)Speichermittel 1041,
ein Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042, ein
IP-Adresserfassungsmittel 1043, ein Schlüsselerzeugungsmittel 1044,
das als Mittel zur Erzeugung der gegenseitigen Authentisierungsinformation
dient, ein Kommunikationsmittel 1045, das Verschlüsselungsmittel 1045e hat,
und ein Betriebssteuerungsmittel 1046 für die Steuerung des Betriebs
dieser Mittel. Das IP-Adresserfassungsmittel 1043 legt
dem Domain-Nameserver (DNS) 105 den öffentlichen Schlüssel PUBLICKEY_B
der VPN-Gatewayeinheit (B) 103 vor und erfasst von dort
die der VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B.
Das ACL-Speichermittel 1041 speichert
die von der VPN-Gatewayeinheit (B) 103 eingegebene Zugriffssteuerungsliste
(ACL) als Tabelle. Das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 verwendet
das SPKI-Schema zur Authentisierung der VPN-Clienteinheit (A) 101 und der
VPN-Gatewayeinheit
(B) 103 durch das SPKI-Schema und/oder führt die
Zugriffsberechtigungssteuerung aus. Die Kommunikationseinheit 1045 hat das
Verschlüsselungsmittel 1045e,
durch das der Kommunikationskanal verschlüsselt wird, um für Sicherheit
für das
Senden und Empfangen von Information zu sorgen. Das als Mittel zur
Erzeugung der gegenseitigen Authentisierungsinformation. dienende
Schlüsselerzeugungsmittel 1044 erzeugt
die gemeinsamen Schlüssel
KEY_AB und KEY_DB als später
beschriebene gegenseitige Authentisierungsinformation.
-
Das
oben erwähnte
IP-Adresserfassungsmittel 1043 ruft die IP-Adresse IPADDRESS_B
vom öffentlichen
Schlüssel
PUBLICKEY_B über
ein übliches
IP-Adressabrufschema (Namensauflösungs-Schema)
ab. Das oben erwähnte
ACL-Speichermittel 1041 verwaltet den öffentlichen Schlüssel PUBLICKEY_B
und die Zugriffssteuerungsliste (ACL) in Verbindung miteinander,
zum Beispiel in Form einer Tabelle 1041T, wie in 4A dargestellt. In 1 ist
nur eine VPN-Gatewayeinheit
gezeigt, aber in Wirklichkeit haben mehrere VPN-Einheiten ihre lokalen
Netze an das WAN 100 angeschlossen; und während in 1 nur
eine Kommunikationseinheit gezeigt ist, sind mehrere Kommunikationseinheiten
zum Anschluss an jedes lokale Netz vorgesehen. In 4A sind
Zugriffssteuerungslisten in Verbindung mit Hash-Werten von öffentlichen
Schlüsseln der
zugehörigen
VPN-Gatewayeinheit eingetragen.
-
Jede
Zugriffssteuerungsliste ACL in der ACL-Tabelle 1041, beispielsweise
ACL 1, ist als Tabelle ACL1 in 48 gezeigt,
worin Hash-Werte von öffentlichen
Schlüsseln,
die für
Subjekte, beispielsweise VPN-Clienteinheiten, eindeutig sind, die
auf die zugehörigen
Kommunikationseinheiten an den lokalen Netzen zugreifen, zu denen
die Zugriffssubjekte gehören,
in Verbindung mit den privaten IP-Adressen der zugehörigen Kommunikationseinheiten
aufgeführt
werden. Im Beispiel der ersten Zeile in der Tabelle von 46 wird angezeigt, dass die VPN-Clienteinheit
mit dem Hash-Wert HASH_A berechtigt ist, auf die Kommunikationseinheit
mit der privaten Adresse IPADDRESS_C1 zuzugreifen. In der Praxis ist
es in der in 8 gezeigten Form beschrieben, auf
die vorher Bezug genommen wurde. Das Zugriffssubjekt in der Zugriffssteuerungsliste
ACL, die für
jede Einheit bereitgestellt wird, auf die zugegriffen werden soll,
ist nicht ausdrücklich
auf den Hash-Wert des öffentlichen
Schlüssels,
wie in den Beispielen von 4A und 8,
beschränkt,
sondern es können
auch verschiedene andere Kennungen sein, wie eine Personalnummer,
eine Mitgliedsnummer oder eine Nummer, die bestätigt, dass das Zugriffssubjekt ein
Angestellter einer bestimmten Firma, Mitglied einer bestimmten Gruppe
oder eine berechtigte Person ist.
-
Das
oben erwähnte
Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 authentisiert
die VPN-Clienteinheit (A) 101, die VPN-Gatewayeinheit (B) 103 und
die VPN-Clienteinheit (D) 102 durch das SPKI-Schema. Genauer
gesagt nutzt das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel,
nachdem dazu eine Signatur SIG_A von einem privaten Schlüssel PRIVATEKEY_A
und ein öffentlicher
Schlüssel PUBLICKEY_A
des VPN-Client (A) eingegeben wurde, den öffentlichen Schlüssel, um
die Signatur SIG_A zu verifizieren, wodurch die Identität des VPN-Client
(A), der den dem öffentlichen
Schlüssel PUBLICKEY_A
zugehörigen
privaten Schlüssel PRIVATEKEY_A
hat, geprüft
wird. Das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel
prüft die
Identität
der VPN-Gatewayeinheit (B), die den privaten Schlüssel PRIVATEKEY_B
hat, indem dazu eine Signatur SIG_B von einem privaten Schlüssel PRIVATEKEY_B
und ein öffentlicher
Schlüssel PUBLICKEY_B
eingegeben wird und die Signatur SIG_B verifiziert wird. Auf ähnliche
Weise prüft
das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel die
Identität
der VPN-Clienteinheit (D), die den privaten Schlüssel PRIVATEKEY_D hat, indem
dazu eine Signatur SIG_D von einem privaten Schlüssel PRIVATEKEY_D und ein öffentlicher
Schlüssel PUBLICKEY_D
eingegeben wird und die Signatur SIG_D verifiziert wird.
-
Das
oben erwähnte
Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 steuert
die Berechtigung des Zugriffs der VPN-Clienteinheit (A) 101 und
der VPN-Clienteinheit (D) 102 auf die VPN-Gatewayeinheit
(B) 103 durch das SPKI-Schema. Im Falle der Steuerung der
Berechtigung des Zugriffs der VPN-Clienteinheit (A) 101 auf
die VPN-Gatewayeinheit (B) 103 liest das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel
dazu eine DNS-Abfrage QUERY, eine Signatur SIG_A und eine Zugriffssteuerungsliste
(ACL) für
den Abruf der IP-Adresse IPADDRESS_B ein, benutzt sie als Datenwerte
zur Ausführung
von Berechnungen, die auf den in den auf SPKI bezogenen Nichtpatentdokumenten
4 und 5 definierten Regeln zur 5-Tupel-Reduktionsoperation und/oder
Regeln zur 4-Tupel-Reduktionsoperation beruhen, und gibt die Ergebnisse der
Operation aus. Im Falle der Steuerung der Berechtigung des Zugriffs
der VPN-Clienteinheit (D) 102 auf die VPN-Gatewayeinheit
(B) 103 liest das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel
dazu eine DNS-Abfrage QUERY, eine Signatur SIG_D, ein in den auf
SPKI bezogenen Nichtpatentdokumenten 4 und 5 definiertes Zertifikat
CERT und eine Zugriffssteuerungsliste (ACL) ein, führt dann
Berechnungen durch, die auf den in den auf SPKI bezogenen Nichtpatentdokumenten
4 und 5 definierten Regeln zur 5-Tupel-Reduktionsoperation
und/oder Regeln zur 4-Tupel-Reduktionsoperation basieren, und gibt
die Ergebnisse der Operation aus. Die Ergebnisse der Operation werden
später
mit Bezug auf 10 konkret beschrieben.
-
Das
oben erwähnte
Schlüsselerzeugungsmittel 1044 erzeugt
einen gemeinsamen Schlüssel KEY_AB,
der zur Authentisierung in einer. IKE Phase 1 zwischen der VPN-Clienteinheit
(A) 101 und der VPN-Gatewayeinheit (B) 103 verwendet
wird, oder KEY_DB, der zur Authentisierung in einer IKE Phase 1
zwischen der VPN-Clienteinheit (D) 102 und der VPN-Gatewayeinheit
(B) 103 verwendet wird.
-
Die
VPN-Clienteinheit (A) 101 besitzt eine Funktion, die ein
Berechtigungsübergabezertifikat CERT
an die VPN-Clienteinheit (D) 102 ausgibt. In den auf SPKI
bezogenen Nichtpatentdokumenten 4 und 5 werden Grammatiken
für zwei
Arten von Zertifikaten, nämlich
Autorisierungszertifikat und Namenszertifikat, definiert. Um sich
kurz zu halten ist in dieser Ausführungsform das Zertifikat CERT
nur auf das Autorisierungszertifikat beschränkt.
-
11 zeigt
ein konkretes Beispiel eines Zertifikates CERT in dieser Ausführungsform.
Gemäß den auf
SPKI bezogenen Nichtpatentdokumenten 4 und 5 wird das Autorisierungszertifikat
mit einem privaten Schlüssel
des Ausgebenden datensigniert, wobei diese Daten nachstehend als
Zertifikatinformation INFO bezeichnet werden, und die Daten aufgebaut
sind aus: einem Ausgebenderfeld, das den einem privaten Schlüssel des
Ausgebenden eindeutig entsprechenden öffentlichen Schlüssel oder den
Hash-Wert des öffentlichen
Schlüssels
definiert; einem Subjektfeld, das den öffentlichen Schlüssel, der
einem privaten Schlüssel
des Berechtigten, beispielsweise ist das in diesem Fall die VPN-Clienteinheit
(D), eindeutig entspricht, oder den Hash-Wert des öffentlichen
Schlüssels
definiert; einem Tagfeld, das eine die Inhalte der Berechtigung
definierende Zeichenkette enthält;
einem Übertragungsfeld,
das eine Zeichenkette enthält,
die definiert, ob die Berechtigungsübertragung autorisiert wird
oder ob nicht; und einem Gültigkeitsfeld,
das eine Zeichenkette enthält,
die den Gültigkeitsbereich
des Autorisierungszertifikates definiert.
-
Basierend
auf dieser Definition ist der Wert des Ausgebenderfeldes in der
Zertifikatinformation INFO des Zertifikates CERT in dieser Ausführungsform
definiert als der Hash-Wert HASH_A des öffentliches Schlüssels PUBLICKEY_A
des die Zertifikatinformation INFO Ausgebenden oder des öffentlichen Schlüssels PUBLICKEY_A,
der durch einen beliebigen Hashing-Algorithmus erhalten wurde. Der
Wert des Subjektfeldes ist definiert als der Hash-Wert HASH_D des öffentlichen
Schlüssels PUBLICKEY_D
des Berechtigten oder eines öffentlichen
Schlüssels
PUBLICKEY_D, der durch einen beliebigen Hashing-Algorithmus erhalten
wurde. Der Wert des Tagfeldes sind Daten für die Erlaubnis einer DNS-Abfrage
zum Abruf der IP-Adresse IPADDRESS_B der VPN-Gatewayeinheit (B) 103; die
Daten enthalten den Hash-Wert HASH_B des öffentliches Schlüssels PUBLICKEY_B
der VPN-Gatewayeinheit (B) 103 oder eines öffentlichen
Schlüssels PUBLICKEY_B,
der durch einen beliebigen Hashing-Algorithmus erhalten wurde. Der
Wert des Übertragungsfeldes
ist als Zeichenkette „propagate" definiert, die im
Nichtpatentdokument 4 definiert ist. Andererseits ist, da der Wert
des Gültigkeitsfeldes
keine unmittelbare Bedeutung für
die vorliegende Erfindung hat, kein Wert dafür definiert. Die Zertifikatinformation
INFO ist mit dem privaten Schlüssel PRIVATEKEY_A
signiert.
-
Unter
Bezug auf 2 wird nachfolgend die allgemeingültige Kurzdarstellung
des Betriebs des Systems von 1 beschrieben.
Während
des Eintrags (Speicherung) der Zugriffssteuerungsliste (ACL) sendet
die VPN-Gatewayeinheit (B) 103 ihren öffentlichen Schlüssel PUBLICKEY_B
(oder seinen Hash-Wert HASH_B) an die Vermittlungsvorrichtung (S) 104 (Schritt
S1). Die Vermittlungsvorrichtung (S) 104 speichert den öffentlichen
Schlüssel PUBLICKEY_B
(oder seinen Hash-Wert HASH_B) und die Zugriffssteuerungsliste (ACL).
-
Im
Falle des Anschlusses eines Fern-VPN von der VPN-Clienteinheit (A) 101 an
die Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit (B) 103 im
IPsec Tunnelmodus sendet die VPN-Clienteinheit
(A) 101 den öffentlichen
Schlüssel PUBLICKEY_A
und den öffentlichen
Schlüssel PUBLICKEY_B
(oder ihre Hash-Werte HASH_A und HASH_B) an die Vermittlungsvorrichtung
(S) 104, um sie aufzufordern, die IP-Adressen der VPN-Gatewayeinheit
(B) 103 und der Kommunikationseinheit (C) abzurufen (Schritt
S2).
-
Die
Vermittlungsvorrichtung (S) 104 führt die Zugriffsberechtigungssteuerung
der VPN-Clienteinheit (A) 101 durch das SPKI-Schema durch,
und im Falle der Bewilligung des Zugriffs durchsucht sie den Domain-Nameserver
(DNS) 105, um die der VPN-Gatewayeinheit (B) 103 zugewiesene
IP-Adresse IPADDRESS_B
zu erhalten (Schritt S3). Dann nimmt die Vermittlungsvorrichtung
(S) 104 Bezug auf die Zugriffssteuerung (ACL), um die private
IP-Adresse IPADDRESS_C zu erhalten, die der Kommunikationseinheit
(C) 111 zugewiesen ist, die an das unter Verwaltung der
VPN-Gatewayeinheit (B) 103 gestellte LAN 110 angeschlossen
ist. Dann erzeugt die Vermittlungsvorrichtung (S) 104 einen
gemeinsamen Schlüssel
KEY_AB, der zur gegenseitigen Authentisierung der VPN-Clienteinheit (A) 101 und
der VPN-Gatewayeinheit (B) 103 verwendet wird. Dann verwendet
die Vermittlungsvorrichtung (S) 104 den öffentlichen
Schlüssel
PUBLICKEY_A der VPN-Clienteinheit (A) 101, um den Kommunikationskanal zwischen
der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit (A) 101 zu
verschlüsseln,
und sendet die IP-Adressen IPADDRESS_B und IPADDRESS_C und den gemeinsamen
Schlüssel KEY_AB über den
verschlüsselten
Kommunikationskanal an die VPN-Clienteinheit (A) 101 (Schritt
S4). Dann verwendet die Vermittlungsvorrichtung (S) 104 den öffentlichen
Schlüssel
PUBLICKEY_B der VPN-Gatewayeinheit (B) 103, um den Kommunikationskanal
zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Gatewayeinheit
(B) 103 zu verschlüsseln,
und sendet die IP-Adresse IPADDRESS_A und den gemeinsamen Schlüssel KEY_AB über den
verschlüsselten
Kommunikationskanal an die VPN-Gatewayeinheit (B) 103 (Schritt S5).
Dadurch sind die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit
(B) 103 in die Lage versetzt, durch Verwendung des gemeinsamen
Schlüssels KEY_AB
miteinander auf sichere Weise zu kommunizieren. Diese Ausführungsform
verwendet den IPsec Tunnelmodus als ein Tunnelprotokoll zwischen
der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit
(B) 103 und den gemeinsamen Schlüssel als Information, die für ihre gegenseitige
Authentisierung von der Vermittlungsvorrichtung (S) 104 an
sie gesendet wird. Als Tunnelprotokoll können andere Protokolle als
L2TP und PPTP verwendet werden, und die gegenseitige Authentisierungsinformation
kann auch eine ID, ein Passwort, eine gemeinsame Geheiminformation,
ein SPKI Autorisierungszertifikat oder ähnliche Information von anderen
Mitteln sein.
-
Im
Falle der Übertragung
der Berechtigung zum Abruf der IP-Adresse der VPN-Gatewayeinheit (B) 103 an
die VPN-Clienteinheit (D) 102 sendet die VPN-Clienteinheit
(A) 101 über
das SPKI-Schema ein Zertifikat CERT an die VPN-Clienteinheit (D) 102 (Schritt
S6). Die VPN-Clienteinheit (D) 102 sendet ihren öffentlichen
Schlüssel
PUBLICKEY_D und das Zertifikat CERT und den öffentlichen Schlüssel PUBLICKEY_B
(oder seinen Hash-Wert HASH_B) an die Vermittlungsvorrichtung (S) 104,
um den Abruf der IP-Adresse der VPN-Gatewayeinheit (B) 103 und der
Kommunikationseinheit (C) anzufordern (Schritt S7).
-
Die
Vermittlungsvorrichtung (S) 104 führt die Zugriffsberechtigungssteuerung
für die
VPN-Clienteinheit (D) 102 über das SPKI-Schema durch,
und im Falle der Bewilligung des Zugriffs durchsucht die Vermittlungsvorrichtung
den Domain-Nameserver (DNS) 105, um die an die VPN-Gatewayeinheit (B) 103 zugewiesene
IP-Adresse IPADDRESS_B zu erhalten (Schritt S8). Dann nimmt die
Vermittlungsvorrichtung (S) 104 Bezug auf die Zugriffssteuerungsliste
(ACL), um die private IP-Adresse IPADDRESS_C der Kommunikationseinheit
(C) 111 zu erhalten, die an das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte
LAN 110 angeschlossen ist. Dann erzeugt die Vermittlungsvorrichtung
(S) 104 einen gemeinsamen Schlüssel KEY_DB, der zur gegenseitigen
Authentisierung zwischen der VPN-Gatewayeinheit (B) 103 und
der VPN-Clienteinheit (D) 102 verwendet wird. Dann verwendet
die Vermittlungsvorrichtung (S) 104 den öffentlichen
Schlüssel PUBLICKEY_D
der VPN-Clienteinheit (D) 102, um den Kommunikationskanal
zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit (D) 102 zu
verschlüsseln,
und sendet die IP-Adressen IPADDRESS_B und IPADDRESS_C und den gemeinsamen
Schlüssel
KEY_DB über
den verschlüsselten
Kommunikationskanal an die VPN-Clienteinheit (D) 102 (Schritt
S9). Dann verwendet die Vermittlungsvorrichtung (S) 104 den öffentlichen
Schlüssel PUBLICKEY_B
der VPN-Gatewayeinheit (B) 103, um den Kommunikationskanal
zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Gatewayeinheit
(B) 103 zu verschlüsseln,
und sendet die IP-Adresse IPADDRESS_D und den gemeinsamen Schlüssel KEY_DB über den
verschlüsselten
Kommunikationskanal an die VPN-Gatewayeinheit (B) 103 (Schritt
S10). Dadurch sind die VPN-Clienteinheit
(D) 102 und die VPN-Gatewayeinheit (B) in die Lage versetzt,
durch Verwendung des gemeinsamen Schlüssels KEY_DB miteinander auf
sichere Weise zu kommunizieren.
-
Bis
zu diesem Punkt ist der Aufbau jeder Einheit und jeder Vorrichtung
des Systems von 1 und ein allgemeingültige Kurzdarstellung
seines gesamten Betriebs dargestellt worden, aber die IP-Adressverwaltung
und Verfahren zur Namensauflösung
im Domain-Namensserver (DNS) 105, das Verfahren der Verschlüsselung
des Kommunikationskanals durch den IPsec Transportmodus oder Tunnelmodus,
das Verfahren zur Erzeugung der gemeinsamen Schüssel KEY_AB und KEY_DB und
das Verfahren zur Verifikation der Signatur mit Hilfe von öffentlichen
Schlüsseln
werden nicht genau dargestellt werden, weil diese Verfahren Fachleuten
gut bekannt sind. Außerdem
kann, im Falle der Verwendung sowohl des Namenszertifikates als
auch des Autorisierungszertifikates, die Zugriffsberechtigungssteuerung über das
SPKI-Schema ebenfalls durch dasselbe Verfahren durchgeführt werden,
wie es in dieser Ausführungsform
verwendet ist; deshalb wird keine genaue Beschreibung durchgeführt.
-
Im
Folgenden wird der Ablauf der Speicherung der Zugriffssteuerungsliste
(ACL), die Erfassung der IP-Adresse, die Erzeugung des gemeinsamen Schlüssels und
der Ablauf des Sendens der IP-Adresse
und des gemeinsamen Schlüssels
genau dargestellt. Als erstes auf 5 bezugnehmend
wird der Ablauf der Speicherung der Zugriffssteuerungsliste (ACL)
in der Vermittlungsvorrichtung (S) genau beschrieben. Im übrigen wird
in dieser Ausführungsform
angenommen, dass die Zugriffssteuerungsliste in der VPN-Gatewayeinheit
(B) 103 selbst gespeichert und verwaltet wird.
-
Die
VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung
(S) 104 werden im IPsec Transportmodus verbunden (Schritt 1001).
Dadurch ist der Kommunikationskanal zwischen der VPN-Gatewayeinheit
(B) 103 und der Vermittlungsvorrichtung (S) 104 verschlüsselt. Die
VPN-Gatewayeinheit
(B) 103 sendet über
den verschlüsselten Kommunikationskanal
den öffentlichen
Schlüssel PUBLICKEY_B
und die SPKI formatierte Zugriffssteuerungsliste (ACL) (8)
(Schritt 1002). Die Vermittlungsvorrichtung (S) 104 empfängt den öffentlichen
Schlüssel
PUBLICKEY_B und die Zugriffssteuerungsliste (ACL), die von der VPN-Gatewayeinheit (B) 103 gesendet
wurden, und speichert den empfangenen öffentlichen Schlüssel PUBLICKEY_B
und die Zugriffssteuerungsliste (ACL) in Verbindung miteinander
(Schritt 1003). Die VPN-Gatewayeinheit (B) 103 und
die Vermittlungsvorrichtung (S) 104 werden voneinander
getrennt (Schritt 1004).
-
Im übrigen wird,
falls eine VPN-Gatewayverwaltungseinheit (M) 112 bereitgestellt
wird, die ein Recht zur Verwaltung der Zugriffssteuerungsliste (ACL)
für die
oben erwähnte
VPN-Gatewayeinheit (B) 103 hat, die Verarbeitung durch
die Gatewayeinheit (B) 103 im Ablauf des Eintrags in die
Zugriffssteuerungsliste (ACL) vollständig durch die VPN-Gatewayverwaltungseinheit
(M) 112 ausgeführt.
-
Als
nächstes
wird unter Bezug auf 6 und 7 der Ablauf
dargestellt, durch den die Vermittlungsvorrichtung (S) 104:
den gemeinsamen Schlüssel
KEY_AB zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit
(B) 103 erzeugt; die der VPN-Gatewayeinheit (B) 103 zugewiesene
IP-Adresse IPADDRESS_B, die der Kommunikationseinheit (C) zugewiesene
private IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB
an die VPN-Clienteinheit (A) 101 sendet; und die der VPN-Clienteinheit
(A) 101 zugewiesene IP-Adresse IPADDRESS_A, ihre Attributinformation ATTRIBUTE_A
und den gemeinsamen Schlüssel KEY_AB
an die VPN-Gatewayeinheit (B) 103 sendet.
-
In 6 werden
die VPN-Clienteinheit (A) 101 und die Vermittlungsvorrichtung
(S) 104 miteinander im IPsec Transportmodus verbunden (Schritt 1101).
In anderen Worten, der Kommunikationskanal zwischen der VPN-Clienteinheit
(A) 101 und der Vermittlungsvorrichtung (S) 104 ist
verschlüsselt.
Die VPN-Clienteinheit (A) 101 sendet über den verschlüsselten
Kommunikationskanal eine den öffentlichen
Schlüssel
PUBLICKEY_B der VPN-Gatewayeinheit (B) 103 und den öffentlichen
Schlüssel PUBLICKEY_A
der VPN-Clienteinheit (A) 101 enthaltende DNS-Abfrage QUERY
an die Vermittlungsvorrichtung (S) 104 (Schritt 1102).
-
Die
Vermittlungsvorrichtung (S) 104 erfasst die der VPN-Clienteinheit
(A) 101 zugewiesene IP-Adresse
IPADDRESS_A, die der VPN-Gatewayeinheit (B) 103 zugewiesene
IP-Adresse IPADDRESS_B, die private IP-Adresse IPADDRESS_C, die
der Kommunikationseinheit (C) 111 zugewiesen ist, die an
das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte
LAN 110 angeschlossenen ist, und die Attributinformation ATTRIBUTE_A
der VPN-Clienteinheit (A) 101, und erzeugt den gemeinsamen
Schlüssel
KEY_AB, der zur Authentisierung zwischen der VPN-Clienteinheit (A) 101 und der
VPN-Gatewayeinheit (B) 103 durch IKE oder ähnliches
verwendet wird (Schritt 1103). 7 ist ein
detailliertes Flussdiagramm von Schritt 1103.
-
In 7 empfängt die
Vermittlungsvorrichtung (S) 104 die DNS-Abfrage QUERY und
den öffentlichen
Schlüssel
PUBLICKEY_A, die von der VPN-Clienteinheit (A) 101 gesendet
wurden, und liest sie dazu ein (Schritt 1201). Dann nimmt
die Vermittlungsvorrichtung Bezug auf die eingelesene DNS-Abfrage
QUERY, um davon den öffentlichen Schlüssel PUBLICKEY_B
abzurufen (Schritt 1202). Dann verwendet die Vermittlungsvorrichtung
den abgerufenen öffentlichen
Schlüssel
PUBLICKEY_B, um die mit dem öffentlichen
Schlüssel
verbundene Zugriffssteuerungsliste (ACL) zu erhalten (Schritt 1203). Die
Zugriffssteuerungsliste (ACL) hat das in 8 gezeigte
Format. Als Nächstes
erzeugt die Vermittlungsvorrichtung die Daten TAG in dem in 9 gezeigten
Format unter Verwendung der dazu in Schritt 1201 eingelesenen
DNS-Abfrage QUERY (Schritt 1204).
-
Die
Vermittlungsvorrichtung (S) 104 verwendet den dazu in Schritt 1201 eingelesenen öffentlichen
Schlüssel
PUBLICKEY_A, die in Schritt 1204 erzeugten Daten TAG und
die in Schritt 1203 erfasste Zugriffssteuerungsliste (ACL),
um eine Operation durchzuführen,
die zum Beispiel auf den in den Nichtpatentdokumenten 4 und 5 definierten
Regeln zur Reduktionsoperation basiert (Schritt 1205),
um dadurch zu entscheiden, ob die Vermittlungsvorrichtung bei der
Operation erfolgreich war oder nicht (Schritt 1206). Falls
die Vermittlungsvorrichtung bei der Operation keinen Erfolg hat,
bricht sie zu diesem Zeitpunkt den Arbeitsablauf ab.
-
Nur
falls in Schritt 1206 entschieden wird, dass die Vermittlungsvorrichtung
(S) 104 bei der Operation erfolgreich war, gibt es die
Operationsergebnisdaten DATA im in 10 gezeigten
Format aus. Die in 10 gezeigten Operationsergebnisdaten
DATA sind Daten eines in den Nichtpatentdokumenten 4 und 5 definierten
5-Tupel Formats. Nur falls der ACL-Eintrag, in dem der Wert des
Subjektfeldes der Operationsergebnisdaten DATA vollständig mit dem
auf dem SHA-1 Algorithmus basierenden Hash-Wert HASH_A des in Schritt 1201 empfangenen öffentlichen
Schlüssels
PUBLICKEY_A übereinstimmt,
in der in Schritt 1203 erhaltenen Zugriffssteuerungsliste
(ACL) enthalten ist, enthält
das Tagfeld der Daten DATA in 10 eine
Zeichenkette, die vollständig
den Daten TAG in 9 entspricht.
-
Die
Vermittlungsvorrichtung (S) 104 nimmt Bezug auf das Tagfeld
der Ausgabedaten DATA von 10 und
erzeugt eine DNS-Abfrage QUERY' (Schritt 1207).
Dann legt die Vermittlungsvorrichtung die DNS-Abfrage QUERY' dem Domain-Nameserver (DNS) 105 vor
und ruft von ihm die IP-Adresse IPADDRESS_B
ab (Schritt 1208). Dann durchsucht die Vermittlungsvorrichtung
die Zugriffssteuerungsliste ACL auf Basis des Hash-Wertes HASH_A
des öffentlichen
Schlüssels
PUBLICKEY_A, um einen ACL-Eintrag ENTRY zu erhalten, der in seinem
Subjektfeld eine Zeichenkette enthält, die vollständig dem
Hash-Wert HASH_A entspricht (Schritt 1209). Dann nimmt
die Vermittlungsvorrichtung Bezug auf das Tagfeld des in Schritt 1209 erhaltenen
ACL-Eintrags ENTRY
und erhält
die private IP-Adresse IPADDRESS_C und die Attributinformation ATTRIBUTE_A
(Schritt 1210). Dann erhält die Vermittlungsvorrichtung
die IP-Adresse IPADDRESS_A der VPN-Clienteinheit (A) 101 (Schritt 1211).
Auf dies folgt die Erzeugung des gemeinsamen Schlüssels KEY_AB
(Schritt 1212).
-
Zurückkehrend
zu 6 sendet die Vermittlungsvorrichtung (S) 104 die
IP-Adresse IPADDRESS_B und die wie oben erwähnt erhaltene private IP-Adresse
IPADDRESS_C und den erzeugten gemeinsamen Schlüssel KEY_AB über den
in Schritt 1101 verschlüsselten
Kommunikationskanal an die VPN-Clienteinheit (A) 101 (Schritt 1104).
Dann werden die Clienteinheit (A) 101 und die Vermittlungsvorrichtung
(S) 104 voneinander getrennt (Schritt 1105).
-
Als
nächstes
werden die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung
(S) 104 miteinander im IPsec Transportmodus verbunden (Schritt 1106).
Das heißt,
dass der Kommunikationskanal zwischen der VPN-Gatewayeinheit (B) 103 und der
Vermittlungsvorrichtung (S) 104 verschlüsselt ist. Dann sendet die
Vermittlungsvorrichtung (S) 104 die vorher erfasste IP-Adresse
IPADDRESS_A und Attributinformation ATTRIBUTE_A und den vorher erzeugten
gemeinsamen Schlüssel
KEY AB über
den in Schritt 1106 verschlüsselten Kommunikationskanal
an die VPN-Gatewayeinheit
(B) 103 (Schritt 1107). Dann werden die VPN-Gatewayeinheit
(B) 103 und die Vermittlungsvorrichtung (S) 104 voneinander
getrennt (Schritt 1108).
-
Danach
wird, wie in 2 dargestellt, das Fernzugriffs-VPN
von der Clienteinheit (A) 101 zur Kommunikationseinheit
(C) 111 im IPsec Tunnelmodus über die VPN-Gatewayeinheit
(B) 103 realisiert; aber diese Operation wird nicht genauer
beschrieben.
-
Als
nächstes
wird unten der Ablauf beschrieben, durch den die VPN-Clienteinheit
(A) 101 das Zertifikat CERT ausgibt und ihr ausgegebenes
Zertifikat CERT an die VPN-Clienteinheit (D) 102 weitergibt. Übrigens
wird kein Flussdiagramm gezeigt.
- (1) Die VPN-Clienteinheit
(A) 101 erzeugt die Zertifikatinformation INFO in dem Zertifikat
CERT in Übereinstimmung
mit der im SPKI-Schema definierten Grammatik. 11 zeigt
ein Beispiel des Zertifikates CERT in dieser Ausführungsform.
In 11 ist der Wert des Ausgebenderfeldes in der Zertifikatinformation
INFO als der Hash-Wert HASH_A des öffentlichen Schlüssels PUBLICKEY_A
definiert, der durch einen beliebigen Hashing-Algorithmus erhalten
wird. Und der Wert des Subjektfeldes ist als ein auf dem SHA-1 Algorithmus
basierenden Hash-Wert HASH_D des öffentlichen Schlüssels PUBLICKEY_D
definiert. Ferner ist der Wert des Tagfeldes als die an die VPN-Gatewayeinheit
(B) zugewiesene IP-Adresse IPADDRESS_B definiert. Der Wert des Übertragungsfeldes
ist als die im Nichtpatentdokument 5 definierte Zeichenkette „propagate" definiert. Andererseits
kann der Wert des Gültigkeitsfeldes
als ein beliebiger Wert definiert werden, da es nicht direkt mit
der vorliegenden Erfindung in Beziehung steht.
- (2) Die VPN-Clienteinheit (A) 101 gibt das Zertifikat
CERT dadurch aus, dass es die in (1) erzeugten Daten durch Verwendung
des privaten Schlüssels
PRIVATEKEY_A signiert.
- (3) Die VPN-Clienteinheit (A) 101 sendet das in (2)
ausgegebene Zertifikat CERT durch beliebige Mittel an die VPN-Clienteinheit
(D) 102.
- (4) Die VPN-Clienteinheit (D) 102 erfasst und speichert
das in seiner Gesamtheit von der VPN-Clienteinheit (A) 101 gesendete
Zertifikat CERT durch beliebige Mittel.
-
Der
Ablauf, durch den die Vermittlungsvorrichtung (S) 104:
den gemeinsamen Schlüssel KEY_DB
erzeugt, der zur Authentisierung zwischen der VPN-Clienteinheit
(D) 102 und der VPN-Gatewayeinheit (B) 103 durch
IKE oder ähnlichem
verwendet wird; dann die IP-Adresse IPADDRESS_B, die private IP-Adresse
IPADDRESS_C und den gemeinsamen Schlüssel KEY_DB an die VPN-Clienteinheit (D) 102 sendet;
und die an die VPN-Clienteinheit (D) 102 zugewiesene IP-Adresse IPADDRESS_D,
die Attributinformation ATTRIBUTE_A der VPN-Clienteinheit (A) 101 und den
ge meinsamen Schlüssel
KEY_DB an die VPN-Gatewayeinheit (B) 103 sendet, kann in
derselben Weise ausgeführt
werden wie der vorher unter Bezug auf 6 und 7 beschriebene
Ablauf, bei dem die Vermittlungsvorrichtung (S) 104: den
gemeinsamen Schlüssel
KEY_AB zwischen der VPN-Clienteinheit
(A) 101 und der VPN-Gatewayeinheit (B) 103 erzeugt;
die IP-Adresse IPADDRESS_B, die private IP-Adresse IPADDRESS_C und
den gemeinsamen Schlüssel
KEY_AB an die VPN-Clienteinheit
(A) 101 sendet; und die IP-Adresse IPADDRESS_A, die Attributinformation ATTRIBUTE_A
und den gemeinsamen Schlüssel KEY_AB
an die VPN-Gatewayeinheit (B) 103 sendet.
-
Folglich
kann das Fernzugriffs-VPN auch wie in 2 dargestellt
von der Clienteinheit (D) 102 zur Kommunikationseinheit
(C) 111 über
die VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus realisiert werden.
-
Wie
oben beschrieben speichert die Vermittlungsvorrichtung (S) 104 in
dieser Ausführungsform die
von der VPN-Gatewayeinheit (B) 103 gesendete Zugriffssteuerungsliste
(ACL) und speichert dabei die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse
IPADDRESS_C. Dies ermöglicht
es der Vermittlungsvorrichtung (S) 104, die private IP-Adresse
IPADDRESS_C der an das lokale Netz (LAN) 110 angeschlossenen
Kommunikationseinheit (C) 111 zu erfahren, die der VPN-Gatewayeinheit (B) 103 bekannt
ist. Folglich kann die VPN-Clienteinheit (A) 101 die für das Fernzugriffs-VPN
zur Kommunikationseinheit (C) 111 über die VPN-Gatewayeinheit
(B) 103 im IPsec Tunnelmodus notwendige private IP-Adresse
IPADDRESS_C erfahren, indem sie vor Realisierung des Fernzugriffs-VPN
eine Abfrage nach ihr an die Vermittlungsvorrichtung (S) 104 stellt.
-
In
dieser Ausführungsform
erzeugt die Vermittlungsvorrichtung (S) 104 den gemeinsamen Schlüssel KEY_AB
und sendet den gemeinsamen Schlüssel
KEY_AB an sowohl die VPN-Clienteinheit (A) 101 wie auch
die VPN-Gatewayeinheit (B) 103. Als Ergebnis davon können die
VPN-Clienteinheit
(A) 101 und die VPN-Gatewayeinheit (B) 103 den
gemeinsamen Schlüssel
KEY_AB empfangen. Folglich können
die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit
(B) 103 den zur Authentisierung in der IKE Phase 1 verwendeten
gemeinsamen Schlüssel
KEY_AB online gemeinsam nutzen.
-
In
dieser Ausführungsform
authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Gatewayeinheit
(B) 103 und die Vermittlungsvorrichtung (S) 104 speichert,
nur dann wenn die Authentisierung erfolgreich ist, die von der VPN-Gatewayeinheit
(B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit
(C) 111. Dies ermöglicht
es der Vermittlungsvorrichtung (S) 104 eine von einer nicht
maskierten VPN-Gatewayeinheit (B) 103 gesendete private
IP-Adresse IPADDRESS_C
zu speichern. Folglich kann die VPN-Clienteinheit (A) 101 die
von einer zulässigen
VPN-Gatewayeinheit (B) 103 gesendete IP-Adresse IPADDRESS_C
erfahren.
-
In
dieser Ausführungsform
verschlüsselt
die Vermittlungsvorrichtung (S) 104 den Kommunikationskanal
zwischen sich und dem VPN-Gateway (B) 103 in der die VPN-Gatewayeinheit
(B) 103 authentisierenden Operation der Vermittlungsvorrichtung
(S) 104 und speichert die von der VPN- Gatewayeinheit (B) 103 gesendete
private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111, nur
falls die Authentisierung erfolgreich ist. Dies stellt sicher, dass
die Vermittlungsvorrichtung (S) 104 die von der VPN-Gatewayeinheit
(B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit
(C) 111 ohne Verfälschung
und Abhören der
IP-Adresse empfängt. Folglich
kann die VPN-Clienteinheit (A) 101 die von einer zulässigen VPN-Gatewayeinheit (B) 103 gesendete
gültige
private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 erfahren.
Außerdem
kann die VPN-Gatewayeinheit (B) 103 eine gültige private IP-Adresse
IPADDRESS_C der Kommunikationseinheit (C) 111 an die Vermittlungsvorrichtung
(S) 104 senden, ohne zuzulassen, dass sie einer unbestimmten
breiten Öffentlichkeit
bekannt wird.
-
In
dieser Ausführungsform
authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Clienteinheit
(A) 101; und erhält,
nur falls die Authentisierung erfolgreich ist, die an die VPN-Gatewayeinheit
(B) 103 zugewiesene IP-Adresse IPADDRESS_B vom Domain-Nameserver
(DNS) 105 indem sie dazu eine Abfrage nach ihr stellt,
erzeugt dann den gemeinsamen Schlüssel KEY_AB, und sendet die
dadurch erhaltene IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit
(C) 111 zugewiesene IP-Adresse IPADDRESS_C und den erzeugten
gemeinsamen Schlüssel
KEY_AB allesamt an die VPN-Clienteinheit (A) 101. Als Ergebnis
wird, falls die VPN-Clienteinheit (A) 101 nicht maskiert
ist, der Vermittlungsvorrichtung (S) 104 erlaubt, die an
die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B,
die an die Kommunikationseinheit (C) 111 zugewiesene private
IP-Adresse IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB allesamt an die
VPN-Clienteinheit
(A) 101 zu senden. Folglich ist es nur der zulässigen VPN-Clienteinheit
(A) 101 erlaubt, das Fernzugriffs-VPN zur Kommunikationseinheit
(C) 111 über die
VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus zu realisieren.
-
In
dieser Ausführungsform
entscheidet die Vermittlungsvorrichtung (S) 104, ob die
VPN-Clienteinheit (A) 101 das Recht zum Abruf der an die VPN-Gatewayeinheit
(B) 103 zugewiesenen IP-Adresse
IPADDRESS_B hat oder nicht; und erhält, nur falls die VPN-Gatewayeinheit
das Recht hat, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse
IPADDRESS_B vom Domain-Nameserver
(DNS) 105, indem sie dazu eine Abfrage stellt, erzeugt
dann den gemeinsamen Schlüssel
KEY_AB, und sendet die dadurch erhaltene IP-Adresse IPADDRESS_B,
die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse
IPADDRESS_C und den erzeugten gemeinsamen Schlüssel KEY_AB allesamt an die
VPN-Clienteinheit (A) 101. Dies ermöglicht es der Vermittlungsvorrichtung
(S) 104, die an die VPN-Gatewayeinheit (B) 103 zugewiesene
IP-Adresse IPADDRESS_B,
die an die Kommunikationseinheit (C) 111 zugewiesene private IP-Adresse IPADDRESS_C
und den gemeinsamen Schlüssel
KEY_AB allesamt einzig an die VPN-Gatewayeinheit (B) 103 und
die VPN-Clienteinheit (A) 101 zu senden, die die Berechtigung
zum Zugriff auf die Kommunikationseinheit (C) 111 haben.
Folglich ist es möglich,
die VPN-Gatewayeinheit (B) 103 und die Kommunikationseinheit
(C) 111 vom Fernzugriffs-VPN im IPsec Tunnelmodus vor einer
unbestimmten breiten Öffentlichkeit
zu schützen.
-
In
dieser Ausführungsform
verschlüsselt
die Vermittlungsvorrichtung (S) 104 den Kommunikationskanal
zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit
(A) 101. Daher kann die Vermittlungsvorrichtung (S) 104 die
an die VPN-Gatewayeinheit (B) 103 zugewiesene IP- Adresse IPADDRESS_B,
die an die Kommunikationseinheit (C) 111 zugewiesene private
IP-Adresse IPADDRESS_C
und den gemeinsamen Schlüssel KEY_AB
an die VPN-Clienteinheit (A) 101 senden, ohne dass sie
verfälscht
und abgehört
werden. Folglich kann die VPN-Clienteinheit (A) 101 das
Fernzugriffs-VPN zur zulässigen
Kommunikationseinheit (C) 111 über die zulässige VPN-Gatewayeinheit (B) 103 im
IPsec Tunnelmodus realisieren.
-
In
dieser Ausführungsform
authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Gatewayeinheit
(B) 103 und sendet, nur falls die Authentisierung erfolgreich
ist, die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen
ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB
an die VPN-Gatewayeinheit (B) 103. Als Ergebnis kann die
Vermittlungsvorrichtung (S) 104, falls die VPN-Gatewayeinheit
(B) 103 nicht maskiert ist, die IP-Adresse IPADDRESS_A,
die an die VPN-Clienteinheit (A) 101 zugewiesen ist, ihre
Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB
an die VPN-Gatewayeinheit
(B) 103 senden. Dies führt
zu dem Ergebnis, dass es der VPN-Clienteinheit (A) 101 erlaubt
ist, das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die
zulässige
VPN-Gatewayeinheit
(B) 103 im IPsec Tunnelmodus zu realisieren.
-
In
dieser Ausführungsform
verschlüsselt
die Vermittlungsvorrichtung (S) 104 in der die Gatewayeinheit
(B) 103 authentisierenden Operation der Vermittlungsvorrichtung
(S) 104 den Kommunikationskanal zwischen sich und der VPN-Gatewayeinheit
(B) 103 und sendet, nur falls die Authentisierung erfolgreich
ist, die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen
ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB
an die VPN-Gatewayeinheit (B) 103. Dies stellt sicher,
dass die Vermittlungsvorrichtung (S) 104 die IP-Adresse
IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen
ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB
allesamt an die Gatewayeinheit (B) 103 sendet, ohne dass
sie verfälscht
und abgehört
werden. Folglich können
die VPN-Gatewayeinheit
(B) 103 und die Kommunikationseinheit (C) 111 das
Fernzugriffs-VPN zur gültigen
VPN-Clienteinheit (A) 101 im IPsec Tunnelmodus realisieren.
-
In
dieser Ausführungsform
authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Clienteinheit
(A) 101 und die VPN-Gatewayeinheit (B) 103 durch
das SPKI-Schema. Dies erlaubt Identitätsbestätigung durch Signaturverifizierung,
was die Notwendigkeit beseitigt, ein öffentliches Schlüssel- zertifikat
von entweder der VPN-Clienteinheit (A) 101 oder der VPN-Gatewayeinheit
(B) 103 an die Vermittlungsvorrichtung (S) 104 zu
senden. Folglich können sowohl
die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit
(B) 103 ihre persönliche
Information vor der Vermittlungsvorrichtung S verbergen.
-
In
dieser Ausführungsform
gibt die VPN-Clienteinheit (A) 101 das Zertifikat CERT
durch das SPKI-Schema
aus und sendet es an die VPN-Clienteinheit (D) 102. Da
dies es der VPN-Clienteinheit (A) 101 ermöglicht,
ein Recht zum Abruf der an die VPN-Gatewayeinheit (B) 103 zugewiesenen IP-Adresse IPADDRESS_B
an die VPN-Clienteinheit (D) 102 zu übertragen, kann die VPN-Clienteinheit (D) 102 die
an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse
IPADDRESS_B abrufen. Ferner kann die VPN-Clienteinheit (D) 102 die
an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse
IPADDRESS_C erhalten. Folglich kann auch die VPN-Clienteinheit (D) 102 das
Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die
VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus realisieren.
Außerdem
ist die VPN-Gatewayeinheit (B) 103 in der Lage, die Realisierung
des Fernzugriffs-VPN von der VPN-Clienteinheit (D) 102 zu erlauben,
ohne dass es notwendig ist, Informationen über die VPN-Clienteinheit (D) 102 zur
Zugriffssteuerungsliste (ACL) hinzuzufügen. Infolgedessen verringert
die VPN-Gatewayeinheit (B) 103 den Verwaltungsaufwand,
wie zum Beispiel das Editieren der Zugriffssteuerungsliste (ACL).
-
Im übrigen kann
die Platzierung des Hash-Wertes HASH_B des öffentlichen Schlüssels PUBLICKEY_B
und IPADDRESS_B unter zugehöriger
Verwaltung des in den 1 und 2 gezeigten
Domain-Nameservers (DNS) 105 auch durch einen Ablauf erreicht
werden, durch den die VPN-Gatewayeinheit (B) 103 den Hash-Wert
HASH_B ihres öffentlichen
Schlüssels
PUBLICKEY_B erzeugt, dann den Hash-Wert HASH_B und ihre IP-Adresse IPADDRESS_B
in den Domain-Nameserver
(DNS) einträgt,
und durch Änderung
der DNS-Abfrage im Ablauf (Schritt 1102) in 6 in
eine DNS-Abfrage, die den Hash-Wert HASH_B des öffentlichen Schlüssels PUBLICKEY_B
durch einem beliebigen Hashing-Algorithmus enthält.
-
In
der Zugriffssteuerungsliste (ACL) in 8, den Daten
TAG in 9, den Operationsergebnisdaten DATA in 10 und
dem Zertifikat CERT in 11 kann der Hash-Wert HASH_A
durch einen beliebigen, vom SHA-1 Algorithmus verschiedenen Hashing-Algorithmus
berechnet werden. Der Wert des Ausgebenderfeldes kann als der öffentliche Schlüssel PUBLICKEY_A
anstatt des Hash-Wertes HASH_A definiert werden. Auf ähnliche
Weise kann der Wert des Subjektfeldes als der öffentliche Schlüssel PUBLICKEY_D
anstatt des Hash-Wertes HASH_D definiert werden. Selbst wenn diese Änderungen
durchgeführt
werden, können
durch Ausführung
der Operationen in Übereinstimmung
mit den in den auf SPKI bezogenen Nichtpatentdokumenten 4 und 5
definierten Regeln zur Reduktionsoperation hinsichtlich der Zugriffssteuerung
dieselben Ergebnisse erzielt werden wie sie oben beschrieben sind. Das
Format des Zertifikates CERT, im Falle der Verwendung eines anderen
Hashing-Algorithmus als des SHA-1 Algorithmus, und die Formate der
Zugriffssteuerungsliste (ACL), der Daten DATA und des Zertifikates
CERT, im Falle der Zuordnung des öffentlichen Schlüssels an
das Ausgebenderfeld und an das Subjektfeld, werden nicht genau beschrieben,
da sie in den SPKI betreffenden Nichtpatentdokumenten 4 und 5 genau
beschrieben werden. Mit der Änderung
kann der in 7 gezeigte Ablauf (Schritt 1209) offensichtlich
durch einen Ablauf ausgeführt
werden, bei dem der öffentliche
Schlüssel
PUBLICKEY_A der Zugriffssteuerungsliste (ACL) vorgelegt wird, um
von daher den ACL-Eintrag abzurufen.
-
Ferner
ist der in 2 gezeigten VPN-Clienteinheit
(A) 101 nur die globale IP-Adresse IPADDRESS_A zugewiesen,
jedoch kann nach Anweisungen von der VPN-Gatewayeinheit (B) 103 unter
Verwendung der in Patentdokument 4 und Nichtpatentdokument 4 dargelegten
Verfahren, der VPN-Clienteinheit (A) 101 zum Zeitpunkt
des Aufbaus des IPsec Tunnelmodus zwischen der VPN-Clienteinheit (A) 101 und
der VPN-Gatewayeinheit (B) 103 dynamisch eine beliebige
private IP-Adresse
im lokalen Netz zugewiesen werden. Ferner kann der VPN-Clienteinheit
(A) 101 über
den im IPsec Transportmodus zwischen der Vermittlungsvorrichtung
(S) 104 und der VPN-Clienteinheit (A) 101 aufgebauten Kommunikationskanal
nach Anweisungen von der Vermittlungsvorrichtung (S) 104 unter
Verwendung eines Verfahrens, wie etwa in Patentdokument 3 dargelegt,
eine beliebige private IP-Adresse im lokalen Netz dynamisch zugewiesen
werden.
-
AUSFÜHRUNGSFORM
2
-
Diese
Ausführungsform
entwickelt das Zertifikat CERT weiter und stellt das Zertifikat
CERT in Form eines öffentlichen
Schlüsselzertifikates
vom X.509 Typ bereit. Der grundsätzliche
Systemaufbau dieser Ausführungsform
ist derselbe wie der von Ausführungsform
1, aber eine Authentisierungsstelle wird benötigt. 12 veranschaulicht
den allgemeingültigen
Systemaufbau dieser Ausführungsform.
In 12 sind die VPN-Clienteinheit (A) 101,
die VPN-Gatewayeinheit (B) 103, eine Authentisierungsstelle
(CA) 106, der Domain-Nameserver (DNS) 105 und
die Vermittlungsvorrichtung (S) 104 jeweils unter IP-(Internetprotokoll-)Steuerung
an das Netzwerk (WAN) 100 angeschlossen.
-
13 ist
ein Diagramm zur Erklärung
des Betriebs des Gesamtsystems in 12. Die
dicken Linien kennzeichnen das Fernzugriffs-VPN im IPsec Tunnelmodus,
und die unterbrochenen Linien kennzeichnen das Übermitteln des öffentlichen
Schlüsselzertifikates
CERT an die Authentisierungsstelle (CA) in der Authentisierung in
der IKE Phase 1. Auch in dieser Ausführungsform sind der Hostname
der VPN-Clienteinheit (A) 101 durch den öffentlichen Schlüssel PUBLICKEY_A
(oder seinen Hash-Wert HASH_A), ihre IP-Adresse durch IPADDRESS_A, der
Hostname der VPN-Gatewayeinheit
(B) 103 durch den öffentlichen
Schlüssel
PUBLICKEY_B (oder seinen Hash-Wert HASH_B), ihre IP-Adresse durch
IPADDRESS_B und die private IP-Adresse der Kommunikationseinheit
(C) 111 durch IPADDRESS_C repräsentiert.
-
Die
der VPN-Clienteinheit (A) 101 zugewiesene IP-Adresse IPADDRESS_A
und die der VPN-Gatewayeinheit
(B) 103 zugewiesene IP-Adresse IPADDRESS_B sind beide im
IP-Netz (WAN) 100 eindeutig, und sie werden durch beliebige
Mittel zugewiesen. Der öffentliche
Schlüssel
PUBLICKEY_B (oder sein Hash-Wert HASH_B) und die IP-Adresse IPADDRESS_B
der VPN-Gatewayeinheit
(B) 103 sind eindeutig zueinander zugehörig und unter die Verwaltung
des Domain-Nameserver
(DNS) 105 gestellt. Die der Kommunikationseinheit 111 zugewiesene
private IP-Adresse
IPADDRESS_C ist nur im lokalen Netz (LAN) 110 eindeutig,
und sie wird dynamisch über
beliebige Mittel wie DHCP (Dynamic Host Configuration Protocol)
oder IPCP (PPP IP control protocol) zugewiesen.
-
Die
VPN-Clienteinheit (A) 101, die VPN-Gatewayeinheit (B) 103 und
die Vermittlungsvorrichtung (S) 104 haben jeweils Mittel
für die
Verschlüsselung
des Kommunikationskanals im IPsec Transportmodus oder IPsec Tunnelmodus.
Der private Schlüssel
des öffentlichen
Schlüssels PUBLICKEY_A
ist PRIVATEKEY_A, der in der VPN-Clienteinheit (A) 101 gespeichert
ist. CERT_A ist ein öffentliches
Schlüsselzertifikat
im X.509 Format, das den mit dem privaten Schlüssel PRIVATEKEY_A ein Paar
bildenden öffentlichen Schlüssel PUBLICKEY_A
enthält,
und es ist mit dem privaten Schlüssel
PRIVATEKEY_R der Authentisierungsstelle (CA) signiert und in der
VPN-Clienteinheit (A) 101 gespeichert.
Ein privater Schlüssel PRIVATEKEY_B
des öffentlichen
Schlüssels PUBLICKEY_B
ist in der VPN-Gatewayeinheit (B) 103 gespeichert. CERT_B
ist ein öffentli ches
Schlüsselzertifikat
im X.509 Format, das den mit dem privaten Schlüssel PRIVATEKEY_B ein Paar
bildenden öffentlichen
Schlüssel
PUBLICKEY_B enthält,
und es ist auch mit dem privaten Schlüssel PRIVATEKEY_R der Authentisierungsstelle
(CA) 106 signiert und in der VPN-Gatewayeinheit (B) 103 gespeichert.
Die Authentisierungsstelle (CA) 106 authentisiert das öffentliche
Schlüsselzertifikat
CERT_A der VPN-Clienteinheit (A) 101 und das öffentliche
Schlüsselzertifikat
CERT_B der VPN-Gatewayeinheit (B) 103 durch das PKI-(Public-Key-Infrastructure-)Schema.
Die Zugriffssteuerungsliste (ACL) sind Daten, die die private IP-Adresse
IPADDRESS_C und die Attributinformation ATTRIBUTE_A der VPN-Clienteinheit
(A) 101 mit einer Kombination des öffentlichen Schlüssels PUBLICKEY_A
und des öffentlichen
Schlüssels PUBLICKEY_B
verbinden, und die Liste hat dieselbe Struktur, wie sie in 8 gezeigt
ist, und ist in der VPN-Gatewayeinheit (B) 103 gespeichert.
Ein privater Schlüssel
PRIVATEKEY_S ist in der Vermittlungsvorrichtung (S) 104 gespeichert.
CERT_S ist ein öffentliches
Schlüsselzertifikat
im X.509 Format, das den mit dem privaten Schlüssel PRIVATEKEY_S ein Paar
bildenden öffentlichen
Schlüssel PUBLICKEY_S
enthält,
und es ist mit dem privaten Schlüssel
PRIVATEKEY_R der Authentisierungsstelle (CA) 106 signiert
und in der Vermittlungsvorrichtung (S) 104 gespeichert.
-
Die
Vermittlungsvorrichtung hat im wesentlichen denselben Aufbau wie
die Vermittlungsvorrichtung (S) 104 in Ausführungsform
1, aber unterscheidet sich von Letzterer darin, dass das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 die
Clienteinheit (A) 101 und die Gatewayeinheit (B) durch
die von der Authentisierungsstelle (CA) 106 signierten öffentlichen
Schlüsselzertifikate
CERT_A und CERT_B der Clienteinheit (A) und der Gatewayeinheit (B)
authentisiert. Deshalb wird der Aufbau der Vermittlungsvorrichtung
(S) 104 nicht beschrieben und für die Vermittlungsvorrichtung
(S) 104 wird nachstehend auf 3 verwiesen.
-
Das
IP-Adresserfassungsmittel 1043 ruft die IP-Adresse IPADDRESS_B
aus dem öffentlichen Schlüssel PUBLICKEY_B
durch das im Internet übliche,
DNS-Schema genannte, Namensauflösungs-Schema
ab. Das ACL-Speichermittel 1041 verwaltet die Zugriffssteuerungsliste
(ACL) in Verbindung mit dem öffentlichen
Schlüssel
PUBLICKEY_B. Das Authentisierungs-/Zugriffsberechtigungssteuerungsmittel 1042 legt
den im öffentlichen
Schlüsselzertifikat
CERT_A enthaltenen öffentlichen
Schlüssel PUBLICKEY_A
der Zugriffssteuerungsliste ACL vor, um ihn zu suchen, und gibt
als Suchergebnis die private IP-Adresse IPADDRESS_C und die Attributinformation
ATTRIBUTE_A aus, die eindeutig mit der Kombination des öffentlichen
Schlüssels PUBLICKEY_A
und des öffentlichen
Schlüssels PUBLICKEY_B
verbunden sind. Das Schlüsselerzeugungsmittel 1044 erzeugt
den gemeinsamen Schlüssel
KEY_AB, der zur Authentisierung in der IKE Phase 1 zwischen der
VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit (B) 103 verwendet wird.
-
Als
Nächstes
wird mit Bezug auf 13 eine allgemeingültige Kurzdarstellung
des Betriebs der Ausführungsform
von 12 beschrieben.
-
Zu
der Zeit der Eingabe (Speicherung) der Zugriffssteuerungsliste (ACL)
sendet die VPN-Gatewayeinheit (B) 103 den öffentlichen
Schlüssel PUBLICKEY_B
(oder seinen Hash-Wert HASH_B) und die Zugriffssteuerungsliste (ACL)
an die Vermittlungsvorrichtung (S) 104 (Schritt S21). Die Vermittlungsvorrichtung
(S) 104 speichert die Zugriffssteuerungsliste (ACL) als
die Tabellen von 4A und 4B in
Verbindung mit dem öffentlichen
Schlüssel PUBLICKEY_B
(oder seinem Hash-Wert
HASH_B). Im Falle der Realisierung eines Fernzugriffs-VPN von der
VPN-Clienteinheit (A) 101 zur Kommunikationseinheit (C) 111 über die
VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus sendet
die VPN-Clienteinheit (A) 101 den öffentlichen Schlüssel PUBLICKEY_A und
den öffentlichen
Schlüssel
PUBLICKEY_B (oder seinen Hash-Wert HASH_B) an die Vermittlungsvorrichtung
(S) 104, um zum Abruf der IP-Adressen der VPN-Gatewayeinheit
(B) 103 und der Kommunikationseinheit (C) 111 aufzufordern
(Schritt S22).
-
In
dem Fall, in dem das Authentisierungs-/Zugrlffsberechtigungssteuerungsmittel 1042 die
Zugriffsberechtigungssteuerung der VPN-Clienteinheit (A) 101 durch
das PKI-Schema durchführt, um
ihr Zugriffsberechtigung zu gewähren,
durchsucht die Vermittlungsvorrichtung (S) 104 den Domain-Nameserver
(DNS) 105 und ruft von dort die an die VPN-Gatewayeinheit
(B) 103 zugewiesene IP-Adresse IPADDRESS_B ab (Schritt
S23). Die Vermittlungsvorrichtung (S) 104 nimmt Bezug auf
die Zugriffssteuerungsliste (ACL), um von dort die private IP-Adresse IPADDRESS_C
und Attributinformation ATTRIBUTE_A der Kommunikationseinheit (C) 111 zu
erhalten, die an das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte
LAN 110 angeschlossenen ist. Außerdem erzeugt die Vermittlungsvorrichtung
(S) 104 den gemeinsamen Schlüssel KEY_AB, der zur Authentisierung
zwischen der VPN-Clienteinheit (A) 101 und der VPN-Gatewayeinheit
(B) 103 verwendet wird. Und die Vermittlungsvorrichtung
(S) 104 verschlüsselt
den Kommunikationskanal zwischen der Vermittlungsvorrichtung (S) 104 und
der VPN-Clienteinheit (A) 101, durch den sie die IP-Adressen
IPADDRESS_B, IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB
an die VPN-Clienteinheit (A) 101 sendet (Schritt S24).
Ferner verschlüsselt
die Vermittlungsvorrichtung (S) 104 den Kommunikationskanal
zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Gatewayeinheit (B) 103,
durch den sie die IP-Adresse IPADDRESS_A, die Attributinformation ATTRIBUTE_A
und den gemeinsamen Schlüssel KEY_AB
an die VPN-Gatewayeinheit (B) 103 sendet (Schritt S25).
-
Bis
zu diesem Punkt sind der Aufbau von jeder Einheit und jeder Vorrichtung
des Systems von 12 und die allgemeingültige Kurzdarstellung
seines Betriebs beschrieben worden, aber die IP-Adressverwaltungs-
und Namensauflösungsverfahren
im Domain-Nameserver (DNS) 105, das Verfahren zur Verschlüsselung
des Kommunikationskanals durch den IPsec Transportmodus oder Tunnelmodus,
das Verfahren zur Erzeugung der gemeinsamen Schlüssel KEY_AB und das Verfahren
zur Authentisierung öffentlichen
Schlüsselzertifikate CERT_A
und CERT_B im X.509 Format werden nicht genau beschrieben, da diese
Verfahren Fachleuten gut bekannt sind.
-
Unten
wird der Ablauf der Speicherung der Zugriffssteuerungsliste (ACL),
die Abläufe
zur Erfassung der IP-Adressen, der Erzeugung der gemeinsamen Schlüssel und
des Sendens dieser IP-Adressen und
gemeinsamer Schlüssel
in Ausführungsform
2 genau beschrieben.
-
Als
erstes auf 14 und 15 bezugnehmend
wird der Ablauf beschrieben, durch den die in der VPN-Gatewayeinheit
(B) 103 gespeicherte Zugriffssteuerungsliste (ACL) in der
Vermittlungsvorrichtung (S) 104 abgespeichert wird.
-
In 14 werden
die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung
(S) 104 im IPsec Transportmodus miteinander verbunden (Schritt 1301).
Die Authentisierung in der IKE Phase 1 wird durch das PKI-Schema
durchgeführt;
die VPN-Gatewayeinheit (B) 103 sendet das öffentliche Schlüsselzertifikat
CERT_B, und die Vermittlungsvorrichtung (S) 104 sendet
das öffentliche
Schlüsselzertifikat
CERT_S. Die VPN-Gatewayeinheit (B) 103 stellt eine Abfrage über das
empfangene öffentliche Schlüsselzertifikat
CERT_S an die Authentisierungsstelle (CA) 106, um die Gültigkeit
des öffentlichen Schlüsselzertifikates
CERT_S durch das PKI-Schema zu authentisieren. In ähnlicher
Weise stellt die Vermittlungsvorrichtung (S) 104 eine Abfrage über das
empfangene öffentliche
Schlüsselzertifikat CERT_B
an die Authentisierungsstelle (CA) 106, um die Gültigkeit
des öffentlichen
Schlüsselzertifikates CERT_B
durch das PKI-Schema zu authentisieren.
-
Die
VPN-Gatewayeinheit (B) 103 sendet die Zugriffssteuerungsliste
(ACL) als Ganzes über
den in Schritt 1301 verschlüsselten Kommunikationskanal (Schritt 1302).
Die Vermittlungsvorrichtung (S) 104 liest die von der VPN-Gatewayeinheit
(B) 103 gesendete Zugriffssteuerungsliste (ACL) ein (Schritt 1303). Danach
werden die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung
(S) 104 voneinander getrennt (Schritt 1304).
-
15 ist
ein Flussdiagramm, welches im Detail den Ablauf zeigt, durch den
die Vermittlungsvorrichtung (S) 104 die Zugriffssteuerungsliste
(ACL) einliest. Zuerst empfängt
die Vermittlungsvorrichtung (S) 104 die als Ganzes von
der VPN-Gatewayeinheit (B) 103 gesendete Zugriffssteuerungsliste
(ACL) (Schritt 1401). Dann nimmt die Vermittlungsvorrichtung
Bezug auf das in der IKE Authentisierung verwendete öffentliche
Schlüsselzertifikat
CERT_B und erhält
den öffentlichen
Schlüssel
PUBLICKEY_B (Schritt 1402). Dann speichert die Vermittlungsvorrichtung
den so erhaltenen öffentlichen
Schlüssel PUBLICKEY_B
und die in Schritt 1402 empfangene Zugriffssteuerungsliste
ACL in Verbindung miteinander ab (Schritt 1403).
-
Als
Nächstes
wird unter Bezug auf 16 und 17 der
Ablauf beschrieben, durch den die Vermittlungsvorrichtung (S) 104:
den gemeinsamen Schlüssel
KEY_AB zwischen der VPN-Clienteinheit (A) 101 und
der VPN-Gatewayeinheit (B) 103 erzeugt; die der VPN-Gatewayeinheit
(B) 103 zugewiesene IP-Adresse IPADDRESS_B, die private IP-Adresse
IPADDRESS_C und den gemeinsamen Schlüssel KEY_AB an die VPN-Clienteinheit
(A) 101 sendet; und die IP-Adresse IPADDRESS_A, die der VPN-Clienteinheit
(A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A
und den gemeinsamen Schlüssel
KEY_AB an die VPN-Gatewayeinheit (B) 103 sendet.
-
In 16 werden
die VPN-Clienteinheit (A) 101 und die Vermittlungsvorrichtung
(S) 104 miteinander im IPsec Transportmodus verbunden (Schritt 1501).
Die Authentisierung in der IKE Phase 1 wird durch das PKI-Schema
durchgeführt;
die VPN-Clienteinheit (A) 101 sendet das öffentliche
Schlüsselzertifikat
CERT_A; und die Vermittlungsvorrichtung (S) 104 sendet
das öffentliche
Schlüsselzertifikat CERT_S.
Die VPN-Clienteinheit (A) 101 stellt eine Abfrage über das
empfangene öffentliche
Schlüsselzertifikat
CERT_S an die Authentisierungsstelle (CA) 106, um die Gültigkeit
des öffentlichen
Schlüsselzertifikates
CERT_S durch das PKI-Schema zu authentisieren.
-
In ähnlicher
Weise stellt die Vermittlungsvorrichtung (S) 104 stellt
eine Abfrage über
das empfangene öffentliche
Schlüsselzertifikat
CERT_A an die Authentisierungsstelle (CA), um die Gültigkeit
des öffentlichen
Schlüsselzertifikates
CERT_A durch das PKI-Schema zu authentisieren.
-
Die
VPN-Clienteinheit (A) 101 sendet die ganze, den öffentlichen
Schlüssel
PUBLICKEY_B der VPN-Gatewayeinheit (B) 103 enthaltende DNS-Abfrage
QUERY über
den in Schritt 1501 verschlüsselten Kommunikationskanal
(Schritt 1502). Die Vermittlungsvorrichtung (S) 104 erfasst
die an die VPN-Clienteinheit (A) 101 zugewiesene IP-Adresse IPADDRESS_A,
die an die VPN-Gatewayeinheit
(B) 103 zugewiesene IP-Adresse IPADDRESS_B und die private
IP-Adresse IPADDRESS_C, die an die Kommunikationseinheit (C) 111 zugewiesen
ist, die an das unter Verwaltung der VPN-Gatewayeinheit (B) 103 gestellte
LAN 110 angeschlossenen ist, und erzeugt den gemeinsamen
Schlüssel
KEY_AB, der zur Authentisierung zwischen der VPN-Clienteinheit (A) 101 und
der VPN-Gatewayeinheit (B) 103 durch IKE oder ähnlichem
verwendet wird (Schritt 1503). 17 ist
ein Flussdiagramm, das Schritt 1503 genau zeigt.
-
In 17 empfängt die
Vermittlungsvorrichtung (S) 104 zuerst die als Ganzes von
der VPN-Clienteinheit
(A) 101 gesendete DNS-Abfrage (Schritt 1601).
Dann nimmt die Vermittlungsvorrichtung Bezug auf die dazu eingegebene
DNS-Abfrage und erfasst von ihr den öffentlichen Schlüssel PUBLICKEY_B
als Ganzes (Schritt 1602). Dann verwendet die Vermittlungsvorrichtung
den öffentlichen Schlüssel PUBLICKEY_B,
um die gesamte damit verbundene Zugriffssteuerungsliste (ACL) zu
erfassen (Schritt 1603). Dann nimmt die Vermittlungsvorrichtung
Bezug auf das zur IKE Phase 1 Authentisierung in Schritt 1501 verwendete öffentliche
Schlüsselzertifikat
CERT_A und erfasst den öffentlichen Schlüssel PUBLICKEY_A
als Ganzes (Schritt 1604). Dann verwendet die Vermittlungsvorrichtung
den öffentlichen
Schlüssel
PUBLICKEY_A, um die Zugriffssteuerungsliste (ACL) zu durchsuchen,
und erfasst von ihr die private IP-Adresse IPADDRESS_C (Schritt 1605).
Und die Vermittlungsvorrichtung stellt fest, dass sie die private
IP-Adresse IPADDRESS_C erfasst hat (Schritt 1606), und
falls sie keine IP-Adresse erfassen konnte, wird der Ablauf abgebrochen.
-
Wenn
sie die private IP-Adresse IPADDRESS_C erfasst hat, legt die Vermittlungsvorrichtung
S die in Schritt 1601 empfangene DNS-Abfrage QUERY dem
Domain-Namensserver (DNS) 105 vor, um von ihm die IP-Adresse
IPADDRESS_B zu erfassen (Schritt 1607). Die Vermittlungsvorrichtung
erfasst die IP-Adresse IPADDRESS_A der VPN-Clienteinheit A (Schritt 1608).
Darauf folgt die Erzeugung des gemeinsamen Schlüssels KEY_AB (Schritt 1609).
-
Zurückkehrend
zu 16 sendet die Vermittlungsvorrichtung (S) 104 die
in Schritt 1607 erhaltene IP-Adresse IPADDRESS_B, die in
Schritt 1605 erhaltene private IP-Adresse IPADDRESS_C und den
in Schritt 1609 erzeugten gemeinsamen Schlüssel KEY_AB
allesamt über
den in Schritt 1501 verschlüsselten Kommunikationskanal
an die VPN-Clienteinheit (A) (Schritt 1504). Darauf folgt,
dass die VPN-Clienteinheit (A) 101 und die Vermittlungsvorrichtung
(S) 104 voneinander getrennt werden (Schritt 1505).
-
Dann
werden die VPN-Gatewayeinheit (B) 103 und die Vermittlungsvorrichtung
(S) 104 miteinander im IPsec Transportmodus verbunden (Schritt 1506).
Die Authentisierung in der IKE Phase 1 wird durch das PKI-Schema
durchgeführt;
die VPN-Gatewayeinheit (B) 103 sendet das öffentliche
Schlüsselzertifikat
CERT_B und die Vermittlungsvorrichtung (S) 104 sendet das öffentliche
Schlüsselzertifikat CERT_S.
Die VPN-Gatewayeinheit (B) 103 stellt eine Abfrage über das
empfangene öffentliche
Schlüsselzertifikat
CERT_S an die Authentisierungsstelle (CA) 106, um die Gültigkeit
des öffentlichen
Schlüsselzertifikates
CERT_S durch das PKI-Schema zu authentisieren. In ähnlicher
Weise stellt die Vermittlungsvorrichtung (S) 104 eine Abfrage über das
empfangene öffentliche
Schlüsselzertifikat
CERT_B an die Authentisierungsstelle (CA) 106, um seine
Gültigkeit durch
das PKI-Schema zu authentisieren.
-
Die
Vermittlungsvorrichtung (S) 104 sendet die in Schritt 1605 erhaltene
Attributinformation ATTRIBUTE_A, die in Schritt 1608 erhaltene IP-Adresse
IPADDRESS_A und den in Schritt 1609 erzeugten gemeinsamen
Schlüssel
KEY_AB allesamt über
den in Schritt 1506 verschlüsselten Kommunikationskanal
an die VPN-Gatewayeinheit (B) 103 (Schritt 1507).
Darauf folgt, dass die VPN-Gatewayeinheit (B) 103 und die
Vermittlungsvorrichtung (S) 104 voneinander getrennt werden
(Schritt 1508).
-
Wie
oben beschrieben kann die Vermittlungsvorrichtung (S) 104 in
dieser Ausführungsform durch
Abspeichern der an die Kommunikationseinheit (C) zugewiesenen privaten
IP-Adresse IPADDRESS_C, die dazu von der VPN-Gatewayeinheit (B) 103 gesendet
wurde, die private IP-Adresse IPADDRESS_C
der an das lokale Netz (LAN) angeschlossenen Kommunikationseinheit
(C) 111 erfahren, die nur der VPN-Gatewayeinheit (B) 103 bekannt ist.
Folglich kann die VPN-Clienteinheit
(A) 101 die für
das Fernzugriffs-VPN zur Kommunikationseinheit (C) 111 über die
VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus erforderliche
private IP-Adresse IPADDRESS_C erfahren, indem sie vor Realisierung des
Fernzugriffs-VPN eine Abfrage an die Vermittlungsvorrichtung (S) 104 stellt.
-
In
dieser Ausführungsform
erzeugt die Vermittlungsvorrichtung (S) 104 den gemeinsamen Schlüssel KEY_AB
und sendet den gemeinsamen Schlüssel
KEY_AB sowohl an die VPN-Clienteinheit (A) 101 als auch
an die VPN-Gatewayeinheit (B) 103, wodurch es der VPN-Clienteinheit
(A) 101 und der VPN-Gatewayeinheit (B) 103 ermöglicht wird,
den gemeinsamen Schlüssel
KEY_AB zu empfangen. Folglich können
die VPN-Clienteinheit (A) 101 und die VPN-Gatewayeinheit
(B) 103 den zur Authentisierung in der IKE Phase 1 verwendeten
gemeinsamen Schlüssel
KEY_AB online gemeinsam nutzen.
-
In
dieser Ausführungsform
authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Gatewayeinheit
(B) 103 und die Vermittlungsvorrichtung (S) 104 speichert,
nur wenn die Authentisierung erfolgreich ist, die von der VPN-Gatewayeinheit
(B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit
(C) 111. Dies ermöglicht
es der Vermittlungsvorrichtung (S) 104, einzig die von einer
nicht maskierten VPN-Gatewayeinheit (B) 103 gesendete private
IP-Adresse IPADDRESS_C zu speichern. Folglich kann die VPN-Clienteinheit
(A) 101 die von einer zulässigen VPN-Gatewayeinheit (B) 103 gesendete
IP-Adresse IPADDRESS_C erfahren.
-
In
dieser Ausführungsform
verschlüsselt
die Vermittlungsvorrichtung (S) 104 den Kommunikations kanal
zwischen sich und dem VPN-Gateway (B) 103 in der die VPN-Gatewayeinheit
(B) 103 authentisierenden Operation der Vermittlungsvorrichtung
(S) 104 und speichert die von der VPN-Gatewayeinheit (B) 103 gesendete
private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111, nur
falls die Authentisierung erfolgreich ist. Dies stellt sicher, dass
die Vermittlungsvorrichtung (S) 104 die von der VPN-Gatewayeinheit
(B) 103 gesendete private IP-Adresse IPADDRESS_C der Kommunikationseinheit
(C) 111 ohne Verfälschung
und Abhören der
IP-Adresse empfängt. Folglich
kann die VPN-Clienteinheit (A) 101 die von einer zulässigen VPN-Gatewayeinheit (B) 103 gesendete
gültige
private IP-Adresse IPADDRESS_C der Kommunikationseinheit (C) 111 erfahren.
Außerdem
kann die VPN-Gatewayeinheit (B) 103 die gültige private IP-Adresse
IPADDRESS_C der Kommunikationseinheit (C) 111 an die Vermittlungsvorrichtung
(S) 104 senden, ohne zuzulassen, dass sie einer unbestimmten
breiten Öffentlichkeit
bekannt wird.
-
In
dieser Ausführungsform
authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Clienteinheit
(A) 101; und erhält,
nur falls die Authentisierung erfolgreich ist, die an die VPN-Gatewayeinheit
(B) 103 zugewiesene IP-Adresse IPADDRESS_B vom Domain-Nameserver
(DNS) 105 indem sie dazu eine Abfrage stellt, erzeugt dann
den gemeinsamen Schlüssel
KEY_AB, und sendet die dadurch erhaltene IP-Adresse IPADDRESS_B,
die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse IPADDRESS_C
und den erzeugten gemeinsamen Schlüssel KEY_AB allesamt an die
VPN-Clienteinheit (A) 101. Als Ergebnis wird, falls die
VPN-Clienteinheit (A) 101 nicht maskiert ist, der Vermittlungsvorrichtung
(S) 104 erlaubt, die an die VPN-Gatewayeinheit (B) 103 zugewiesene
IP-Adresse IPADDRESS_B, die an die Kommunikationseinheit (C) 111 zugewiesene
private IP-Adresse IPADDRESS_C
und den gemeinsamen Schlüssel KEY_AB
allesamt an die VPN-Clienteinheit (A) 101 zu senden. Folglich
ist es nur der zulässigen VPN-Clienteinheit
(A) 101 erlaubt, das Fernzugriffs-VPN zur Kommunikationseinheit
(C) 111 über die
VPN-Gatewayeinheit (B) 103 im IPsec Tunnelmodus zu realisieren.
-
In
dieser Ausführungsform
entscheidet die Vermittlungsvorrichtung (S) 104, ob die
VPN-Clienteinheit (A) 101 das Recht zum Abruf der an die VPN-Gatewayeinheit
(B) 103 zugewiesenen IP-Adresse
IPADDRESS_B hat oder nicht; und erhält, nur falls die VPN-Gatewayeinheit
das Recht hat, die an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse
IPADDRESS_B vom Domain-Nameserver
(DNS) 105, indem sie dazu eine Abfrage stellt, erzeugt
dann den gemeinsamen Schlüssel
KEY_AB, und sendet die dadurch erhaltene IP-Adresse IPADDRESS_B,
die an die Kommunikationseinheit (C) 111 zugewiesene IP-Adresse
IPADDRESS_C und den erzeugten gemeinsamen Schlüssel KEY_AB allesamt an die
VPN-Clienteinheit (A) 101. Dies ermöglicht es der Vermittlungsvorrichtung
(S) 104, die an die VPN-Gatewayeinheit (B) 103 zugewiesene
IP-Adresse IPADDRESS_B,
die an die Kommunikationseinheit (C) 111 zugewiesene private IP-Adresse IPADDRESS_C
und den gemeinsamen Schlüssel
KEY_AB allesamt einzig an die VPN-Gatewayeinheit (B) 103 und
die VPN-Clienteinheit (A) 101 zu senden, die die Berechtigung
zum Zugriff auf die Kommunikationseinheit (C) 111 hat.
Folglich ist es möglich,
die VPN-Gatewayeinheit (B) 103 und die Kommunikationseinheit
(C) 111 vom Fernzugriffs-VPN im IPsec Tunnelmodus vor einer
unbestimmten breiten Öffentlichkeit
zu schützen.
-
In
dieser Ausführungsform
verschlüsselt
die Vermittlungsvorrichtung (S) 104 den Kommunikations kanal
zwischen der Vermittlungsvorrichtung (S) 104 und der VPN-Clienteinheit
(A) 101. Daher kann die Vermittlungsvorrichtung (S) 104 die
an die VPN-Gatewayeinheit (B) 103 zugewiesene IP-Adresse IPADDRESS_B,
die an die Kommunikationseinheit (C) 111 zugewiesene private
IP-Adresse IPADDRESS_C
und den gemeinsamen Schlüssel KEY_AB
an die VPN-Clienteinheit (A) senden, ohne dass sie verfälscht und
abgehört
werden. Folglich kann die VPN-Clienteinheit (A) 101 das
Fernzugriffs-VPN zur zulässigen
Kommunikationseinheit (C) 111 über die zulässige VPN-Gatewayeinheit (B) 103 im IPsec
Tunnelmodus realisieren.
-
In
dieser Ausführungsform
authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Gatewayeinheit
(B) 103 und sendet, nur falls die Authentisierung erfolgreich
ist, die IP-Adresse IPADDRESS_A die an die VPN-Clienteinheit (A) 101 zugewiesen
ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB
an die VPN-Gatewayeinheit (B) 103. Als Ergebnis kann die
Vermittlungsvorrichtung (S) 104, falls die VPN-Gatewayeinheit
(B) 103 nicht maskiert ist, die IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit
(A) 101 zugewiesen ist, ihre Attributinformation ATTRIBUTE_A
und den gemeinsamen Schlüssel KEY_AB
an die VPN-Gatewayeinheit (B) 103 senden. Folglich ist
es der VPN-Clienteinheit (A) 101 erlaubt, das Fernzugriffs-VPN
zur Kommunikationseinheit (C) 111 über die zulässige VPN-Gatewayeinheit (B) 103 im
IPsec Tunnelmodus zu realisieren.
-
In
dieser Ausführungsform
verschlüsselt
die Vermittlungsvorrichtung (S) 104 in der die Gatewayeinheit
(B) 103 authentisierenden Operation der Vermittlungsvorrichtung
(S) 104 den Kommunikationskanal zwischen sich und der VPN-Gatewayeinheit
(B) 103 und sendet die IP-Adresse IPADDRESS_A, die an die
VPN-Clienteinheit (A) 101 zugewiesen ist, ihre Attributinformation
ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB an die VPN-Gatewayeinheit
(B) 103, nur falls die Authentisierung erfolgreich ist.
Dies stellt sicher, dass die Vermittlungsvorrichtung (S) 104 die
IP-Adresse IPADDRESS_A, die an die VPN-Clienteinheit (A) 101 zugewiesen
ist, ihre Attributinformation ATTRIBUTE_A und den gemeinsamen Schlüssel KEY_AB
allesamt an die Gatewayeinheit (B) 103 sendet, ohne dass
sie verfälscht
und abgehört
werden. Folglich können
die VPN-Gatewayeinheit
(B) 103 und die Kommunikationseinheit (C) 111 das
Fernzugriffs-VPN zur gültigen
VPN-Clienteinheit (A) 101 im IPsec Tunnelmodus realisieren.
-
In
dieser Ausführungsform
authentisiert die Vermittlungsvorrichtung (S) 104 die VPN-Clienteinheit
(A) 101 und die VPN-Gatewayeinheit (B) 103 durch
das SPKI-Schema. Dies erlaubt die Authentisierung des öffentlichen
Schlüsselzertifikates CERT_A
der VPN-Clienteinheit (A) 101 und des öffentlichen Schlüsselzertifikates
CERT_B der VPN-Gatewayeinheit (B) 103 dadurch, dass sie
zur Vermittlungsvorrichtung (S) 104 gesendet werden. Folglich
kann persönliche
Information über
die VPN-Clienteinheit (A) 101 vor der VPN-Gatewayeinheit
(B) 103 verborgen werden. In ähnlicher Weise kann persönliche Information über die
VPN-Gatewayeinheit (B) 103 vor der VPN-Clienteinheit (A) 101 verborgen
werden.
-
Im übrigen muss
in dem Fall, in dem der Hash-Wert HASH_B des öffentlichen Schlüssels PUBLICKEY_B,
ein beliebiger Hashing-Algorithmus und ihre IP-Adresse IPADDRESS_B
in dieser in 12 und 13 gezeigten
Ausführungsform
in Verbindung miteinander im Domgin-Name server (DNS) 105 verwaltet
werden, die VPN-Gatewayeinheit (B) 103 nur den Hash-Wert
HASH_B des öffentlichen
Schlüssels
PUBLICKEY_B erzeugen und den Hash-Wert HASH_B und die IP-Adresse IPADDRESS_B
in den Domain-Nameserver (DNS) 105 eintragen. Und offensichtlich
kann dies auch dadurch erreicht werden, dass die DNS-Abfrage in Schritt 1502 im
Ablauf von 16 in eine DNS-Abfrage geändert wird,
die den Hash-Wert HASH_B des öffentlichen
Schlüssels
PUBLICKEY_B durch einen beliebigen Hashing-Algorithmus enthält.
-
Und
anstelle gemeinsamer Verwaltung des öffentlichen Schlüssels PUBLICKEY_A
und der IP-Adresse
IPADDRESS_C in der Zugriffssteuerungsliste (ACL) kann auch der Hash-Wert
HASH_A des öffentlichen
Schlüssels
PUBLICKEY_A durch einen beliebigen Hashing-Algorithmus und die IP-Adresse
IPADDRESS_C unter gemeinsamer Verwaltung der Zugriffssteuerungsliste
gestellt werden. Offensichtlich kann diese Abänderung dadurch durchgeführt werden,
dass Schritt 1302 des Ablaufs von 14 in
einen Schritt geändert
wird, bei welchem die VPN-Gatewayeinheit (B) 103 den Hash-Wert
HASH_A des öffentlichen
Schlüssels PUBLICKEY_A
erzeugt und dann den Hash-Wert HASH_A und die IP-Adresse IPADDRESS_C
als verbundene Daten an die Zugriffssteuerungsliste (ACL) sendet.
Ferner kann diese Abänderung
dadurch durchgeführt
werden, dass Schritt 1605 des Ablaufs von 17 in
einen Schritt geändert
wird, der den Hash-Wert HASH_A des öffentlichen Schlüssels PUBLICKEY_A
erzeugt und den Hash-Wert HASH_A der Zugriffssteuerungsliste ACL
vorlegt, um nach ihm zu suchen.
-
Ferner
ist nur die globale IP-Adresse IPADDRESS_A an die VPN-Clienteinheit
(A) 101 zugewiesen, aber der VPN-Clienteinheit (A) 101 kann eine
beliebige private IP-Adresse im lokalen Netz LAN durch ein Verfahren,
wie es in Nichtpatentdokument 4 dargelegt ist, zusätzlich zugewiesen
werden.
-
AUSFÜHRUNGSFORM
3
-
18 veranschaulicht
einen praxisnahen Funktionsaufbau der VPN-Clienteinheit in den oben beschriebenen
Ausführungsformen
1 und 2. Die VPN-Clienteinheit 101 ist versehen mit: einem DNS-Abfrageerfassungs-/Proxyantwortfunktionsteil 1011,
das eine DNS-Abfrage von dieser Einheit erfasst und eine Proxyantwort
dazu gibt; einem Vermittlungsdienst-VPN-Clientfunktionsteil 1012,
das eine VPN-Clientfunktion des Vermittlungsdienstes der vorliegenden
Erfindung ausführt;
und einem Tunnel-/Protokollfunktionsteil 1013 zur Realisierung
des VPN Zugriffs. Ferner sind bereitgestellt: ein Vermittlungsdienst-Verwaltungsverzeichnis 1014 für die Unterscheidung
zwischen normalen DNS-Abfragen und Vermittlungsdiensten und für ihre Verwaltung;
ein Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1015 zur
gegenseitigen Authentisierung mit einem Vermittlungsserver; und
ein Tunnel-/Protokoll-Konfigurationsverwaltungsinformationsverzeichnis 1016 für verschlüsselte Kommunikation
mit der VPN-Gatewayeinheit.
-
In
dem Vermittlungsdienst-Verwaltungsverzeichnis 1014 sind
gespeichert:
- a) Postfix für den Vermittlungsdienst: Domain-Name,
der dem Vermittlungsdienst übermittelt
wird (z. B. *.vpn),
- b) IP-Adresse oder Hostname der Vermittlungsvorrichtung: IP-Adresse
der Vermittlungsvorrichtung,
- c) Authentisierungs-Schema mit der Vermittlungsvorrichtung (SPKI-Schema,
PKI-Schema, Challenge-Response-Schema, Key-Sharing-Schema, usw.),
- d) Name des Zertifikates für
die Authentisierung (beziehen sich auf das Zertifikat/die geheimen Daten,
die dem Authentisierungs-Schema entsprechen)
-
In
dem Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1015 sind
gespeichert:
- a) Verzeichnis der den Domain-Namen
zugehörigen
Hash-Werte, die zur Suche der VPN-Gatewayeinheit verwendet werden,
- b) Verschiedene Zertifikate, die zur Authentisierung des Client
durch die VPN-Clienteinheit verwendet werden (SPKI-Zertifikat, PKI-Zertifikat, Passwort,
gemeinsamer Schlüssel,
usw.),
- c) Zertifikate, die zur Authentisierung der Vermittlungsvorrichtung
durch den Server verwendet werden (SPKI-Zertifikat, PKI-Zertifikat,
Passwort, gemeinsamer Schlüssel,
usw.).
-
Das
Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis ist grob
in die folgenden zwei Kategorien unterteilt:
- (1)
Konfigurationsverwaltungsinformation für den Aufbau eines Tunnels;
und
- (2) Konfigurationsverwaltungsinformation über den aufgebauten Tunnel
als eine virtuelle Netzschnittstelle (Nw.I/F).
-
Ausführliche
Beispiele für
sie werden unten aufgeführt.
-
(1) Konfigurationsverwaltungsinformation
für den Aufbau
eines Tunnels
-
- A) IP-Adresse des Ausgangspunktes des Tunnels (vom
Netzwerk an die VPN-Clienteinheit vergebene IP-Adresse).
- B) IP-Adresse des Endpunktes des Tunnels (vom Netzwerk an die
VPN-Gatewayeinheit vergebene IP-Adresse).
- C) Protokoll zum Tunneln (IPsec Tunnelmodus, PPP über IPsec,
usw.).
- D) Authentisierungs-Schema (SPKI-Schema, PKI-Schema, Challenge-Response-Schema, Key-Sharing-Schema, usw.).
- E) Name oder ähnliches
des Zertifikates zur Authentisierung (beziehen sich auf das Zertifikat/die geheimen
Daten, die dem Authentisierungs-Schema entsprechen).
-
(2) Konfigurationsverwaltungsinformation über den aufgebauten
Tunnel als eine virtuelle Netzschnittstelle (Nw.I/F).
-
- A) Art der virtuellen Nw.I/F (virtuelles PPP,
virtuelles Ethernet, usw.),
- B) IP-Adresse der virtuellen Nw.I/F,
- C) IP-Adressen des Gateways, DNS-Servers, WIN-Servers, usw.,
- D) Information über
das Routen zur virtuellen Nw.I/F.
-
Diejenigen
der oben genannten Informationen, die von der Vermittlungsvorrichtung
geliefert werden, sind:
die Information B) in Punkt (1). Zusätzlich können auch
die Informationen C), D) und E) bereitgestellt werden.
diejenigen
der Informationsstücke
B), C) und D) in Punkt (2), die nicht dynamisch von der VPN-Gatewayeinheit übermittelt
werden (diese Informationen können
entweder von der Vermittlungsvorrichtung oder der VPN-Gatewayeinheit
bereitgestellt werden).
-
Die
Vermittlungsverarbeitung in dieser Ausführungsform wird wie unten beschrieben
ausgeführt.
-
Als
Erstes gibt die Anwendung, vor der Kommunikation, eine DNS-Abfrageaufforderung
zur Abfrage nach der IP-Adresse der VPN-Gatewayeinheit heraus, die
einen VPN-Dienst anbietet, der für
den Zugriff gewünscht
wird (Schritt S1).
-
Diese
Abfrage wird durch das DNS-Abfrageerfassungs-/Proxyantwortfunktionsteil 1011 einmal erfasst,
das auf das Vermittlungsdienst-Verwaltungsverzeichnis 1014 Bezug
nimmt, um zu entscheiden, ob die Abfrage den Vermittlungsdienst
betrifft oder nicht. Falls die Abfrage nichts mit dem Vermittlungsdienst
zu tun hat, wird sie als gewöhnliche
DNS-Abfrage betrachtet, dann wird für den DNS-Server 105 normale
DNS-Verarbeitung durchgeführt,
um von seiner Antwort die IP-Adresse
zu erhalten, und es wird unter ihrer Verwendung normale Verbindungsverarbeitung
ausgeführt
(Schritt S2).
-
Wenn
die DNS-Ermittlungsaufforderung den Vermittlungsdienst betrifft,
wird sie zum Vermittlungsdienst-VPN-Clientfunktionsteil 1012 weitergeleitet (Schritt
S3).
-
Das
Vermittlungsdienst-VPN-Clientfunktionsteil 1012 wählt einen
vorher festgelegten Vermittlungsserver gemäß des Inhalts des Vermittlungsdienst-Verwaltungsverzeichnis 1014 aus
(Schritt S4) und führt
die gegenseitige Authentisierung unter Verwendung des Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1015 durch
(Schritt S5).
-
Dann
sendet das Vermittlungsdienst-VPN-Clientfunktionsteil die im Hinblick
auf oben beschriebene Ausführungsform
so bezeichnete Vermittlungsaufforderung an die Vermittlungsvorrichtung 104 (Schritt
S6) und erhält
ihre Antwort (Schritt S7). Aufbauend auf dieser Information aktualisiert das
Vermittlungsdienst-VPN-Clientfunktionsteil Information wie die VPN-Gatewayadressen
und gemeinsame Schlüssel
in dem Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1016 (Schritt
S8) und sendet, falls ein vorher festgelegter Tunnel noch nicht aufgebaut
ist, eine Aufforderung zum Aufbau eines Tunnels an das Tunnel-/Protokollteil 1013 (Schritt S9).
-
Das
Tunnel-/Protokollteil 1013 nimmt Bezug auf das Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1016,
um die VPN-Gatewayeinheit 103 zu ermitteln, die auf der
entgegengesetzten Seite des Tunnel ist (Schritt S10), und baut unter
Verwendung des von der vorliegenden Vermittlungsfunktion festgelegten
gemeinsamen Schlüssels
einen Tunnel für
die verschlüsselte
Kommuni kation mit der VPN-Gatewayeinheit 103 auf (Schritt
S11).
-
Sobald
der Tunnel normal aufgebaut ist, kann ein Teil der Konfigurationsverwaltungsinformation,
wie die private IP-Adresse der VPN-Clienteinheit 101, interne
DNS- und routingbezogene Information, dynamisch unter Verwendung
des in Patentdokument 4, Nichtpatentdokument 1, Nichtpatentdokument
2 oder Nichtpatentdokument 3 dargestellten Verfahrens von der VPN-Gatewayeinheit 103 übergeben
werden. In diesem Fall verwendet das Tunnel-/Protokollteil diese
Informationsstücke,
um das Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1016 zu
aktualisieren (Schritt S12), und sendet eine Nachricht über den
Abschluss des Tunnelaufbaus an das Vermittlungsdienst-VPN-Clientfunktionsteil 1012 (Schritt
S13).
-
Falls
der Aufbau des VPN-Tunnel normal abgeschlossen wird, sendet das
Vermittlungsdienst-VPN-Clientfunktionsteil 1012 die
in Schritt S7 erhaltene private IP-Adresse der Kommunikationseinheit
als eine Antwort auf die DNS-Abfrage an das DNS-Abfrageerfassungs-/Proxyantwortfunktionsteil 1011 (Schritt
S14). Diese Antwort wird unberührt
an die Anwendung gesendet, die die DNS-Abfrage ausgab (Schritt S15). Die Anwendung
führt die VPN-Kommunikation über den
festgelegten VPN-Tunnel durch (Schritt S16).
-
AUSFÜHRUNGSFORM
4
-
19 veranschaulicht
ein Beispiel des Gesamtsystemaufbaus, das die vorliegende Erfindung verkörpert. In
dieser Ausführungsform
sei angenommen, dass die VPN-Clienteinheiten 101 und 102 für eine Personalabteilung
und eine Buchhaltungsabteilung verwendet werden, und dass sie die
Hashwerte der öffentlichen
Schlüssel
A1 beziehungsweise A2 haben. Es sei angenommen, dass die unter Verwaltung
der VPN-Gatewayeinheit 103 gestellten VPNs ein Personalabteilung-VLAN 121 und
ein Buchhaltungsabteilung-VLAN 122 sind, und dass die VPN-Gatewayeinheit 103 über einen
Ethernet-Switch 123 mit beiden VLANs 121 und 122 durch IEEE
802.IQ VLAN-Tag-Multiplexing verbunden ist. Ferner sein angenommen,
dass die Vermittlungsvorrichtung 104 dazu vorher die in 20 gezeigte
Zugriffssteuerungsliste (ACL) für
die VPN-Gatewayeinheit 103 hochgeladen hat. In dieser ACL
ist ausgewiesen, dass die VPN-Clienteinheit 101, die einen öffentlichen
Schlüssel
mit Hash-Wert HASH_A1 hat, Attributinformation „(VLAN Personalabteilung VLAN)" hat, wohingegen
die VPN-Clienteinheit 102, die einen öffentlichen Schlüssel mit
Hash-Wert HASH_A2 hat, Attributinformation „(VLAN Buchhaltungsabteilung
VLAN)" hat.
-
21 veranschaulicht
den Funktionsaufbau der VPN-Gatewayeinheit 103 in dieser
Ausführungsform.
Die VPN-Gatewayeinheit 103 ist versehen mit: einem Vermittlungsdienst-VPN-Gatewayfunktionsteil 1031,
das die Kommunikation mit der Vermittlungsvorrichtung 104 und
die Verarbeitung dafür
durchführt;
einem Tunnel-/Protokollteil 1032, das Tunnel von verschiedenen
VPN-Clienteinheiten abschließt;
einem Filter-/VLAN-Multiplex-Funktionsteil 1033, das Datenpakete
speichert, die aus den Tunneln in vorher bestimmten VLANs in den
VPNs extrahiert wurden, und diejenigen der in die Tunnel eingegebenen
und aus den Tunneln ausgegebenen Pakete ausfiltert, die Sicherheitsbedenken
aufkommen lassen. Weiterhin werden bereitgestellt: ein Vermittlungsdienst-Verwaltungsverzeichnis 1034,
das Informationen hat, die zur Verbindung mit der Vermitt lungsvorrichtung 104 notwendig
sind; ein Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1035 zur
Authentisierung mit der Vermittlungsvorrichtung 104; ein
Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1036,
das Konfigurationsverwaltungsinformation über Tunnel zu den VPN-Clienteinheiten 101 und 102 bereithält; und
ein VLAN-Konfigurationsverwaltungsverzeichnis 1037, das
Konfigurationsverwaltungsinformation über jedes unter Verwaltung
der VPN-Gatewayeinheit 103 gestellte
VLAN bereithält.
-
In
dem Vermittlungsdienst-Verwaltungsverzeichnis 1034 werden
für jede
zu verwendende Vermittlungsvorrichtung die folgenden Informationsstücke bereitgehalten.
- a) IP-Adresse oder Hostname der Vermittlungsvorrichtung:
IP-Adresse der Vermittlungsvorrichtung
- b) Authentisierungs-Schema mit der Vermittlungsvorrichtung (SPKI-Schema,
PKI-Schema, Challenge-Response-Schema, Key-Sharing-Schema, usw.).
- c) Name des Zertifikates oder ähnliches zur Authentisierung
(beziehen sich auf das Zertifikat/die geheimen Daten, die dem Authentisierungs-Schema
entsprechen).
-
In
dem Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1035 werden
Informationsstücke
wie unten aufgeführt
bereitgehalten.
- a) Verschiedene Zertifikate,
die zur Authentisierung des Client durch die VPN-Clienteinheit verwendet
werden (SPKI-Zertifikat, PKI-Zertifikat, Passwort, gemeinsamer Schlüssel, usw.),
- b) Zertifikate, die zur Authentisierung der Vermittlungsvorrichtung
durch den Server verwendet werden (SPKI-Zertifikat, PKI-Zertifikat,
Passwort, gemeinsamer Schlüssel,
usw.).
-
In
dem Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis werden
für jeden
Tunnel zur VPN-Clienteinheit
die folgenden Informationsstücke bereitgehalten.
- a) IP-Adresse des Ausgangspunktes des Tunnels (vom
Netzwerk an die VPN-Clienteinheit vergebene IP-Adresse).
- b) Tunnelprotokoll (IPsec Tunnelmodus, PPP über IPsec, usw.).
- c) Authentisierungs-/Verschlüsselungs-Schema (SPKI-Schema,
PKI-Schema, Challenge-Response-Schema,
Key-Sharing-Schema, usw.). Der Tunnel, der als Ergebnis des Vermittlungsdienstes
zur VPN-Gatewayeinheit aufgebaut ist, ist vom Key-Sharing-Schema.
- d) Name des Zertifikates oder ähnliches zur Authentisierung
(beziehen sich auf das Zertifikat/die geheimen Daten, die dem Authentisierungs-Schema
entsprechen).
- e) Gemeinsamer Schlüssel
und Attributinformation, die vom Vermittlungsdienst bereitgestellt
werden.
- f) Name des VLAN an das der Tunnel angeschlossen ist. „Personalabteilung
VLAN" oder „Buchhaltungsabteilung
VLAN".
- g) Private IP-Adresse, die der VPN-Clienteinheit übermittelt
wurde (ausgewählt
unter den Adressen
- d) in dem VLAN-Konfigurationsverwaltungsverzeichnis).
-
In
dem VLAN-Konfigurationsverwaltungsverzeichnis 1037 werden
für jedes
VLAN die folgenden Informationsstücke bereitgehalten.
- a) Name des VLAN („Personalabteilung VLAN” oder „Buchhaltungsabteilung
VLAN").
- b) Netzwerkkonfigurationsverwaltungsinformation des VLAN.
- i) IP-Adressen von Gateway, DNS-Server, WINS-Server, usw.
- ii) Routinginformation, die an die VPN-Clienteinheit übermittelt
werden soll.
- c) Paketfilterbedingung (die die zugreifbaren Dienste beschränkt)
- d) Bereich der privaten IP-Adressen, die der VPN-Clienteinheit übermittelt
werden können.
-
Die
VPN-Gatewayeinheit 103 stellt durch Verwendung des Vermittlungsdienst-Verwaltungsverzeichnis 1034 und
des Vermittlungsdienst-Authentisierungsinformationsverzeichnis 1035 einen
sicheren Kommunikationskanal zur Vermittlungsvorrichtung 104 bereit
und gibt eine VPN-Zugriffsvermittlungsaufforderung aus (Schritte S1–S3). Zum
Beispiel sendet die Vermittlungsvorrichtung 104 nach Authentisierung
der VPN-Clienteinheit 101 eine VPN-Zugriffsvermittlungsmitteilung
an die VPN-Gatewayeinheit 103 (Schritt S4). Die Mitteilungsinformation
(IP-Adresse IPADDRESS_A1 der VPN-Clienteinheit 101, gemeinsamer
Schlüssel KEY_AB,
Attributinformation ATTRIBUTE_A1, usw.) wird in dem Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1036 gespeichert.
Ausgehend von der Attributinformation wird das VLAN 121 bestimmt, das
aufgenommen werden soll, und der Name des VLAN „Personalabteilung VLAN" wird ebenso in diesem
Verzeichnis gespeichert (Schritt S5). In diesem Fall wird der VPN-Clienteinheit 101 mitgeteilt,
dass sie die Attributinformation (VLAN Personalabteilung) hat, wie
in 20 gezeigt. Folglich ist bestimmt, dass das den
Tunnel von der VPN-Clienteinheit 101 aufnehmende VLAN das „Personalabteilung
VLAN" ist.
-
Nach
Ausgabe einer VPN-Tunnelaufbauaufforderung von der VPN-Clienteinheit 101 (Schritt
S6), nimmt die VPN-Gatewayeinheit Bezug auf das Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1036 (Schritt
S7), führt
dann die vorher festgelegte Authentisierung/Verschlüsselung
durch, nach der sie Bezug auf das VLAN-Konfigurationsverwaltungsverzeichnis 1037 des
zugehörigen
VLAN 121 nimmt (Schritt S8), wählt dann eine der an die VPN-Clienteinheit übermittelbaren
privaten Adressen aus, die nicht verwendet ist, und übermittelt
sie zusammen mit Netzkonfigurationsverwaltungsinformation (Adressen
des Gateway, des DNS, des WINS-Server, usw.) an die VPN-Clienteinheit 101.
In diesem Fall wird die private IP-Adresse der VPN-Clienteinheit 101 von dem
Adressverzeichnis des Personalabteilung-VLAN übermittelt. Ebenso wird die
Netzkonfigurationsverwaltungsinformation über das Gateway, den DNS usw.
vom Personalabteilung-VLAN übermittelt.
-
Nach
Eintreffen eines für
das VPN bestimmten Datenpaketes an der VPN-Gatewayeinheit durch den
oben erwähnten
Tunnel von der VPN-Clienteinheit 101, unterliegt es Filterung
basierend auf der Filterbedingung des VLAN, welches den Tunnel in
sich aufgenommen hat, wonach es zum VLAN weitergeleitet wird (Schritt
S10). Außerdem
kann durch Verwendung von Attributinformation eine Filterung jedes Tunnels
zusätzlich
festgelegt werden. Eine ähnliche Verarbeitung
wird auch für
die Aufforderung von der VPN-Clienteinheit 102 ausgeführt.
-
Im
Falle der Unterbrechung des Tunnels wird der zugehörige Eintrag
aus dem Tunnel-/Protokoll-Konfigurationsverwaltungsverzeichnis 1036 entfernt
und die an die VPN-Clienteinheit zugewiesene private IP-Adresse
wird an den Adresspool des beteiligten VLAN zurückgegeben.
-
Wie
oben beschrieben speichert die Vermittlungsvorrichtung gemäß der vorliegenden
Erfindung Information (Zugriffssteuerungsliste), die benutzt wird,
um ein Fernzugriffs-VPN durch ein beliebiges Tunnelprotokoll wie
IPsec oder L2TP zwischen jeder an das IP-Netz und der VPN-Gatewayeinheit
angeschlossenen VPN-Clienteinheit und einer beliebigen Kommunikationseinheit
aufzubauen, die an das unter Verwaltung der VPN-Gatewayeinheit gestellte
lokale Netz angeschlossenen ist. Diese Information enthält die der
Kommunikationseinheit zugewiesene private IP-Adresse.
-
Beim
Empfang einer Aufforderung zum Abruf der an die VPN-Gatewayeinheit
zugewiesenen IP-Adresse
von der VPN-Clienteinheit überprüft die Vermittlungsvorrichtung,
ob die VPN-Clienteinheit das Recht zum Beziehen der an die VPN-Gatewayeinheit
zugewiesenen IP-Adresse hat. Und die Vermittlungsvorrichtung nimmt,
nur falls die VPN-Clienteinheit das Recht hat, Bezug auf die Zugriffssteuerungsliste
und erfasst von ihr die private IP-Adresse, die an die Kommunikationseinheit
zugewiesen ist, die an das unter Verwaltung der VPN-Gatewayeinheit
gestellte lokale Netz angeschlossenen ist, und die Attributinformation
der VPN-Clienteinheit, durchsucht dann den Domain-Nameserver, um
die an die VPN-Gatewayeinheit zugewiesene IP-Adresse zu erhalten,
und erzeugt den gemeinsamen Schlüssel,
der zur Authentisierung zwischen der VPN-Clienteinheit und der VPN-Gatewayeinheit
durch IKE oder ähnlichem
verwendet wird. Dann verschlüsselt
die Vermittlungsvorrichtung den Kommunikationskanal zwischen sich
und der VPN-Clienteinheit und sendet die an die VPN-Gatewayeinheit
zugewiesene IP-Adresse, die an die Kommunikationseinheit zugewiesene private
IP-Adresse und den gemeinsamen Schlüssel über den verschlüsselten
Kommunikationskanal an die VPN-Clienteinheit. Ferner verschlüsselt die
Vermittlungsvorrichtung den Kommunikationskanal zwischen sich und
der VPN-Gatewayeinheit und sendet die an die VPN-Clienteinheit zugewiesene IP-Adresse,
den erzeugten gemeinsamen Schlüssel
und die Attributinformation der Clienteinheit über den verschlüsselten
Kommunikationskanal an die VPN-Gatewayeinheit. Im übrigen kann
der Hostname in der DNS-Abfrage der VPN-Gatewayeinheit als über die
Gatewayeinheit zur Verfügung
gestellter VPN-Zugangsdienst betrachtet werden, und nicht als eine
physische VPN-Gatewayeinheit. Dieser Dienst wird von der Kommunikationseinheit
zur Verfügung gestellt,
die eine private IP-Adresse hat. Durch Vergabe verschiedener Hostnamen
an eine VPN- Gatewayeinheit
und ihren Eintrag in den DNS ist es möglich, verschiedene Kommunikationseinheiten,
die verschiedene private IP-Adressen haben, zu vernetzen. Zum Beispiel
können,
falls eine kundenspezifische und eine interne Kommunikationseinheit
im VPN sind, das unter Verwaltung der VPN-Gatewayeinheit gestellt
ist, eine kundenspezifische und eine interne Zugriffseinheit jeweils
an die zugehörigen Kommunikationseinheiten
angeschlossen werden, indem ihnen verschiedene Hostnamen gegeben
werden und sie durch verschiedene Zugriffssteuerungslisten verwaltet
werden.
-
Die
Vermittlungsvorrichtung authentisiert die VPN-Clienteinheit und
die VPN-Gatewayeinheit durch das SPKI-Schema. Und die VPN-Clienteinheit gibt
Zertifikate durch das SPKI-Schema aus. Ferner ermöglicht die
Vermittlungsvorrichtung auch die Authentisierung der VPN-Clienteinheit
und der VPN-Gatewayeinheit durch das PKI-Schema.
-
Ferner
ermöglicht
die Vermittlungsvorrichtung die Erkennung der VPN-Clienteinheit,
der VPN-Gatewayeinheit
und der Kommunikationseinheit durch beliebige Namensformate, wie öffentlicher Schlüssel, FQDN
(Fully Qualified Distinguished Name), GUID (Globally Unique Identifier),
MAC-Adresse, SPKI
(Simple Public Key Infrastructure), lokaler Namen, X.500 Distinguished
Name, usw. Dies erlaubt die Realisierung des Fernzugriffs-VPN durch eine
Kombination von IPsec, L2TP oder beliebiger Tunnelprotokolle und
PKI, SPKI, Passwort oder beliebiger Authentisierungs-Schema.
-
Es
ist unnötig
zu sagen, dass es möglich
ist, die vorliegende Erfindung durch teilweise oder ganze Programmierung
der Verarbeitungsfunktion jeder Einheit oder Vorrichtung in den
oben beschriebenen Ausführungsformen
1 bis 4 und durch Ausführung des
Programms durch einen Computer auszuführen, oder dass es möglich ist,
die mit Bezug auf Ausführungsformen
1 und 2 beschriebenen Abläufe
zu programmieren und das Programm durch einen Computer auszuführen. Das
Programm zur Realisierung der Verarbeitungsfunktion durch einen
Computer oder ein Programm zur Ausführung der Verarbeitungsfunktion
durch einen Computer kann durch Aufzeichnung des Programms auf einem
computerlesbaren Aufzeichnungsmedium wie FD, MO, ROM, Speicherkarte,
CD, DVD, austauschbarer Festplatte oder ähnlichem gespeichert oder verteilt
werden; ferner kann das Programm über das Internet oder ähnliche
Netze verteilt werden.