JP2002026988A - Vpn接続のセキュリティ - Google Patents

Vpn接続のセキュリティ

Info

Publication number
JP2002026988A
JP2002026988A JP2001142733A JP2001142733A JP2002026988A JP 2002026988 A JP2002026988 A JP 2002026988A JP 2001142733 A JP2001142733 A JP 2001142733A JP 2001142733 A JP2001142733 A JP 2001142733A JP 2002026988 A JP2002026988 A JP 2002026988A
Authority
JP
Japan
Prior art keywords
nat
vpn
address
connection
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001142733A
Other languages
English (en)
Other versions
JP3636095B2 (ja
Inventor
B Borden Edward
エドワード・ビー・ボーデン
Mark J Melville
マーク・ジェイ・メルヴィル
A Monroe Todd
トッド・エー・モンロー
Frank V Paxhir
フランク・ブイ・パックスヒア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US09/578,215 external-priority patent/US7107614B1/en
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2002026988A publication Critical patent/JP2002026988A/ja
Application granted granted Critical
Publication of JP3636095B2 publication Critical patent/JP3636095B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 VPN(仮想私設網)において、NAT(ネ
ットワーク・アドレス変換)とIPセキュリティ(IP
Sec)との双方を並行して実現する。 【解決手段】 VPN NATタイプ「a送信元−アウ
トバウンド」IP NAT、VPN NATタイプ「b
送信先−アウトバウンド」IP NAT、VPNNAT
タイプ「cインバウンド−送信元」IP NAT、VP
N NATタイプ「dインバウンド−送信先」IP N
ATから成る4タイプのVPN NATのうちの1つま
たは組み合わせを実行することにより、VPN NAT
において、IPセキュリティを実現する。これは、動的
にNAT規則128、130を生成し、それらと人手で
または動的に生成した(IKE)セキュリティ連合とを
関連付けた後に、このセキュリティ連合を使うIPセキ
ュリティを開始することを含む。そして、アウトバウン
ド・データグラムとインバウンド・データグラムに対し
てIPセキュリティを実行するときに、NAT機能も実
行する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、VPN接続のセキ
ュリティに関する。本発明は,特に、VPN NAT、
すなわちNATとIPSecプロトコルとを並行して使
用することに関する。VPN(virtual private networ
k:仮想私設網)とは公衆網の中に仮想的に構築した私設
網のことである。NAT(network address translatio
n)とは少ないグローバル・アドレスで利用することので
きる端末の数を増やすために、プライベート・アドレス
とグローバル・アドレスとを変換することであり、RF
C1631で規定されている。RFC(request for co
mments)とはインターネット関連技術の標準化団体であ
るIETF(Internet Engineering Task Force)が取り
まとめている一連の文書のことである。IPSecプロ
トコル(Internet Protocol Security protocols)とは
TCP/IP(Transmission Control Protocol / Inte
rnet Protocol)にセキュリティ機能を付加するプロトコ
ルの枠組みのことである。
【0002】
【従来の技術】VPN(仮想私設網)は、インターネッ
トとコンピューティングの産業を通じて技術的な発展が
盛んな分野である。これは、VPNによって初めて大部
分の形態のeビジネス(e-buisiness)が成り立ちうるよ
うになるからである。VPNではプロトコル・トンネリ
ングと暗号化・復号化技術(IPSecプロトコル)を
使っているので、クライアントとサーバ、支店、あるい
は独立機関が、専用線を購入するよりもはるかに少ない
費用で、専用線の主要な便益であるプライバシーを損な
うことなく、インターネットを自分たちのTCP/IP
通信用に利用することが可能になる。
【0003】VPNが使っているトンネリング(途中に
ある別のネットワークを経由してデータを送信するこ
と)には、以前は直接通信していなかった、サブネット
や企業など2つのユーザが通信を始めることに起因し
て、IPアドレスが衝突する可能性が非常に大きくな
る、という問題を引き起こす副作用がある。
【0004】IPアドレスの衝突を克服するために、イ
ンターネット、およびインターネットに接続している企
業ではNATが広く使われている。これらIPアドレス
の衝突は、一般に、指定された「専用(private)」のI
Pアドレス空間(たとえば10.*.*.*)同士の間
で起こる。
【0005】しかしながら、NATとIPSec(IP
セキュリティ)とは、アーキテクチャ上矛盾対立する関
係にある。実際、NATは、IPSecを破ってしま
う。すなわち、NATは「ロケータ(locator)および終
点識別子(end-point identifier)双方としてのIPア
ドレスの意味上の過負荷を最終的には破ってしまう機能
である」(「NATのアーキテクチャ上の意味」〔draf
t-iab-nat-implication-00.txt, 1998年3月〕〔"a
rchitectural Implications of NAT", draft-iab-nat-i
mplication-00.txt, March 1998.〕参照。IPSec
は、ケントとアトキンソン「IPのためのセキュリティ
・アーキテクチャ」〔RFC2401、1998年11
月〕〔Kent, S., and Atkinson, "Securuty Architectu
re for the Internet Protocol", RFC 2401, November
1998〕、ケントとアトキンソン「IP認証プロトコル」
〔PFC2402、1998年11月〕〔Kent, S., an
d Atkinson, "IP Authentication Protocol", RFC 240
2, November 1998 〕、および、ケントとアトキンソン
「IPカプセル化セキュリティ・ペイロード」〔RFC
2406、1998年11月〕〔Kent, S., and Atkins
on, "IP Encapsulation Security Payload", RFC 2406,
November 1998. 〕に記載されている)。この結果、2
つのホストは、中間にNATシステムがあると、IPS
ec接続を確立することができない。これには、以下に
示す2つの理由がある。その前に、(IPSec接続の
場合、)2つのホストの間を流れるIPデータには、A
H(authentication header:認証用ヘッダー)とESP
(encapsulation security payload:IPパケットの暗
号化プロトコル)とが適用されることになる。(上掲R
FC2402、RFC2406参照)。
【0006】第1に、トンネル・モードにおけるESP
に関しては、変換する必要のあるIPアドレスは、ES
Pトンネルの内部にあるとともに、暗号化されている。
したがって、上記IPアドレスは、NATには入手不可
能である(トンネル・モードにおけるESPではIPパ
ケットをヘッダーを含めて暗号化する)。トランスポー
ト・モードまたはトンネル・モードにおけるAHに関し
ては、変換する必要のあるIPアドレスは、NATで見
ることができる。しかし、AH認証には、上記IPアド
レスが含まれいてる。したがって、IPアドレスを変更
することにより、IPSec接続のリモート側における
認証を破ることができる。トランスポート・モードにお
けるESPに関しては、ESPを認証とともに使ったと
しても、IPアドレスは、NATにとって入手可能であ
る(トランスポート・モードにおけるESPではIPパ
ケットのデータ部だけしか暗号化しない)。したがっ
て、IPアドレスを変更すると、IPSec接続のリモ
ート側での認証が破れるのに起因してIPSec接続が
破れてしまう。
【0007】第2に、IPSec接続用のIP通信デー
タを変換することがたとえできたとしても、IPSec
接続は2つのホストIPアドレスを含むセキュリティ・
アソシエーション(Security Association: SA、相互
に認証しあったネットワーク上の実体〔コンピュータや
そのユーザ、ソフトウェア・コンポーネントなど〕の一
群)に基づいているので、それはうまくゆかないだろ
う。これらの事柄は、セキュリティ・アソシエーション
アーキテクチャ(上掲RFC2401参照)にとって重
要である。というのは、暗号化(または認証)がなされ
るべきホストでは、インバウンドIPSecは、次に示
す3要素によって一意に決定される必要があるからであ
る。 {送信先IPアドレス,SPI,IPSecプロトコ
ル}ただし、SPIとはセキュリティ・プロトコル・イ
ンデックス(security protocol index)のことである
(上掲RFC2401参照)。
【0008】たとえば、いま2つのホストA、Wがある
ものとして、ホストAからホストWへ流れる、トランス
ポート・モードにおけるESPが施されたIPデータグ
ラム(電線を流れるディジタル・データに対する一般用
語〔正確には、データグラムとは、非コネクション型の
経路を流れるパケットのことである。TCP/IPは非
コネクション型の経路制御を行なう〕)にNATが適用
されている、と仮定する。したがって、IP送信元アド
レスは、変更されている。パケットは、ホストWに到着
すると、恐らく首尾よく復号化される。なぜなら、パケ
ットは、IP送信元アドレスに依存していないからであ
る(パケットはトンネル化されず、平文のままであ
る)。しかし、実装が厳密である場合には、復号化に続
くインバウンドSPDチェックは、IP送信元アドレス
が変更されたことに起因して、失敗する(なぜなら、変
更されたIP送信元アドレスは、セキュリティ・アソシ
エーションとネゴシエーションするのに使ったアドレス
ではないからである)。以上のように、トランスポート
・モードのESPの場合であるにもかかわらず、失敗す
る。
【0009】NATとIPSecとを相互に排他的にす
るだけでは、当技術分野で捜し求めている解決策にはな
らない。NATは、グローバルなアドレス変更を実現す
る、アドレスの利用率を低減する、ISP(Internet s
ervice provider:インターネット接続業者)のサポート
負担を低減する、仮想ホストとして負荷の分担を可能に
する、というように多くの問題を解決することができる
ので、NATは、広く配置されている。
【0010】しかし、今日では、NATは、インターネ
ットに配置されているセキュリティ統合にとって、唯一
最大の脅威であるとみなされている。この「NAT問
題」(いつも決まってこのように呼ばれる)は、アーキ
テクチャ上重要である。しかし、レガシーなアプリケー
ションおよびサービス(たとえば、IPバージョン4
〔IPv2〕用に開発されたもの)は、IPバージョン
6〔IPv6〕用に開発されたアプリケーションおよび
サービスと長く共存してゆくことになる。したがって、
NATとIPSecとの共存を実現する技術が、少なく
とも選ばれた状況では、大いに必要とされている。しか
も、深刻な構成上の問題を引き起こさずに、NATとI
PSecとの共存を実現する技術が必要とされている。
(IPバージョン4は、「インターネット・プロトコ
ル」〔RFC791、1981年9月〕〔"Internet Pr
otocol", RFC791, September 1981.〕に記載されてい
る。IPバージョン6は、ディアリングとヒンデンの
「インターネット・プロトコル、バージョン6(IPv
6)仕様」〔RFC2460、1998年12月〕〔De
ering,S., Hindrn, R., "Internet Protocol, Version
6 (IPv6) Specification", RFC2460, December 1998.
〕に記載されている)。
【0011】2つのアドレス・ドメインの間をVPNで
接続すると、接続する予定がない2つのアドレス・ドメ
インを直接接続することができる、という効果が得られ
る。したがって、VPNの使用が増大すると、アドレス
の衝突が増大しやすくなる(なぜなら、接続する予定が
ない2つのアドレス・ドメインの間では、アドレスの重
複を避ける方策がとられないからである)。また、VP
Nはネットワークの可視性を再定義するものであるか
ら、VPNがNATを横切ると、アドレスが衝突する可
能性が増大する、ということが分かる。今後、NATの
陰に隠れたアドレス空間においてアドレスを管理するこ
とが、多大な負担になるであろう。したがって、この負
担を軽減する技術が必要とされている。
【0012】米国特許出願第09/240720号に
は、IPSecとNATとを統合する際に生じる一般的
な問題に対する解決策が述べられている。そこでは、N
ATを使うVPNにおけるIPセキュリティ(IPSe
c)を、4種類のVPN NATのうちの1つまたはそ
れらの組み合わせを実行することによって実現してい
る。(3種類のVPN NATは後述する。第4のVP
N NATはこの出願の出願人の出願に係る米国特許出
願に記載さている)。上記米国特許出願は、NAT規則
を動的に生成し、それらと、セキュリティ・アソシエー
ションを使うIPセキュリティを開始する前に、人手で
あるいは動的に生成したIKE(Internet key exchang
e:インターネット鍵交換) セキュリティ・アソシエーシ
ョンとを関連付ける点を含んでいる。(ハーキンスとキ
ャレルの「インターネット鍵交換(IKE)」〔RFC
2409、1998年11月〕〔Harkins, D., Carrel,
D., "The Internet Key Exchange (IKE)", RFC2409, N
ovemner 1998. 〕参照。セキュリティ・アソシエーショ
ン(Security Association) は、上掲RFC2401で
定義されている用語である)。したがって、アウトバウ
ンド・データグラムとインバウンド・データグラムとの
双方でIPSecを実行しているので、NAT機能も実
行している。「IPSecを実行」なる記載は、上掲し
たIPSecに関する3つのRFC(および他のRF
C)によって定義されているように、IPSecアウト
バウンド処理またはIPSecインバウンド処理から成
るステップを実行することを意味している。「NATを
実行」なる記載は、後述するVPNNAT処理から成る
ステップを実行することを意味している。
【0013】上記米国特許出願第09/240720号
では、利用者は、個別のVPN NAT規則を個別のV
PN接続として構成しなければならない。これは、時間
の無駄であるとともに、間違いを犯しやすい。したがっ
て、VPN接続は、実際には通信を保護することになっ
ており、また、特定のVPN NATとは無関係である
べきである。すなわち、VPN NAT規則は、今まで
1対1であった。これでは、NATを利用することによ
って、必要なVPN接続の数が増大してしまう。
【0014】
【発明が解決しようとする課題】本発明の目的は、NA
T(Network address Translation )とIPセキュリテ
ィ(IP Security:IPSec)との双方を並行して実現
する、改良され、かつ大幅に簡易化されたシステムと方
法とを提供することである。
【0015】本発明の他の目的は、VPN(virtual Pr
ivate netwrk)の使用に内在する、IPアドレスの衝突
の可能性が増大するという問題を解決するシステムと方
法とを提供することである。
【0016】本発明の他の目的は、ドメインの再アドレ
ス指定(高価な代替手段)を必要とすることなく、VP
Nを利用することができるようにするシステムと方法と
を提供することである。
【0017】本発明の他の目的は、ドメイン・ホストに
おける変更を必要とすることなく、IPSecゲートウ
エイで全て実現される、VPN NAT用のシステムと
方法とを提供することである。
【0018】本発明の他の目的は、接続された各ドメイ
ンにおけるルーティングの変更を全く、あるいは少しし
か必要としない、VPN NAT用のシステムと方法と
を提供することである。
【0019】本発明の他の目的は、単純な構成をした、
VPN NAT用のシステムと方法とを提供することで
ある。
【0020】本発明の他の目的は、VPNが引き起こす
アドレス衝突の問題の解決策を提供することである。
【0021】本発明の他の目的は、利用者がVPN接続
を構成するのを支援する簡単化した解決策を提供するこ
とである。
【0022】本発明の他の目的は、単一のVPN接続が
複数のVPN NAT規則をサポートすることができる
ようにすることである。
【0023】本発明の他の目的は、暗黙的にすなわち動
的に割り当てられたVPN NAT規則内の衝突を、シ
ステム全体の観点から避けることのできるシステムと方
法とを提供することである。
【0024】本発明の他の目的は、各NAT規則に対す
る多数の別々のVPN接続を管理する必要を無くすこと
により、動的NAT規則に要するシステムのオーバーヘ
ッドを低減することのできるシステムと方法とを提供す
ることである。
【0025】本発明の他の目的は、ネットワークの監視
とトラフィックの分析とを簡単化することのできるVP
N NATシステムと方法とを提供することである。
【0026】
【課題を解決するための手段】本発明によると、仮想私
設網(VPN)ネットワーク・アドレス変換(NAT)
の複数のタイプのうちの1つまたは組み合わせを実行す
ることにより、NATを使ったVPNでIPセキュリテ
ィ(IPSec)を実現することができる。これには、
NAT規則の集合を動的に生成し、このNAT規則の集
合と人手でまたは動的に生成した(IKE)セキュリテ
ィ・アソシエーションとを関連付けた後に、このセキュ
リティ・アソシエーションを使うIPセキュリティを開
始することが含まれる。アウトバウンド・データグラム
に対してIPSecを実行する直前に、接続(connecti
on: コネクション)に関連付けられたNAT規則の集合
から特定の規則を選んで、NAT機能を実行し、その
後、IPSecが続く。インバウンド・データグラムに
対してIPSecを実行した直後に、接続に関連付けら
れたNAT規則の集合から特定の規則を選んで、NAT
機能を実行する。
【0027】本発明の他の特徴と利点は、次に述べる本
発明の好適な実施形態の詳細な説明および添付図面から
明らかになる。
【0028】
【発明の実施の形態】本発明の好適な実施形態に従っ
て、単一のNAT変換規則ではなく、単一のVPN接続
に適用される複数のNAT変換規則を備えたVPN N
AT機能を通じてNAT問題に焦点を当てる。これによ
り、利用者がVPN接続を構成するのが非常に簡単にな
る。従来、NATとVPNとを必要とする各アドレス
は、別々に構成しなければならなかった。本発明による
新たな機能は、上掲米国特許出願第09/240720
号を参照すると、「タイプa送信元−アウト(type a s
ource-out )」・「タイプd送信先−イン(type d des
tination-in)」VPN NATを備えている。HIDE
NAT規則とMAP NAT規則(既存のNATとも
呼ばれる)が誤って使用され、IPSecがこの誤使用
と結びついてしまう、という機能不全を避けるために、
既存のNATの間にAHまたはESPをチェックする。
HIDE NAT規則とMAP NAT規則は、図3と
図4に関連して後述する既存のNATの基本的な2つの
形態である。AHヘッダーまたはESPヘッダー以外の
IPパケットに所定のNAT規則を適用しても、アドレ
ス変換は行なわれない。このことは、インバウンドNA
TとアウトバウンドNATの双方に当てはまる。したが
って、この結果は、既存のNAT(対IPSec用VP
NNATすなわち対IPSec NAT)の場合には、
IPSecが選ばれる、ということである。すなわち、
IPSecは、既存のNATに優先する。
【0029】NAT規則がロードされた時点では、IP
Sec接続が(たとえば動的IPと)衝突するか否かは
分からないので、このような問題のチェックは、オペレ
ーティング・システムのカーネルで実際にNAT処理が
行なわれるまで、行なうことができない。これらの処置
に対するユーザ可視性は、NAT規則に対してジャーナ
リングがオンの場合、NAT規則がデータグラムに適合
している旨をジャーナル・エントリに表示することによ
り、提供される。しかし、これは、IPSec用には実
行されていなかった。さらに、オペレーティング・シス
テムのカーネルによるこれらの処置の情報ロギングは、
既存のNAT規則1つ当たり限定された数のオカレンス
(実現値)を備えることができる。同様に、1つのオカ
レンス当たりではなく、1つの接続当たりに1つのメッ
セージを、接続マネージャのジョブ・ログすなわち接続
ジャーナルに提供することができる。「ジャーナリン
グ」、「ジャーナル」なる用語は、当技術分野では、通
常、それぞれ「ロギング」、「ログ・エントリ」とも呼
ばれている。
【0030】VPN NATと呼ばれているが、IPS
ecゲートウエイでNATをIPSecと一緒に使うこ
とができるようにするために、利用者は、専用のIPア
ドレスを保持している。そして、IPSec接続の開始
と終了をIPSecゲートウエイで行なうことにより、
アドレスの衝突が増大するのを避けている。IPSec
ゲートウエイは、上掲RFC2401で定義されている
用語である。「VPN接続」は、一般に「IPSecト
ンネル」と呼ばれているものを指す別の用語である。
「IPSecトンネル」は、上掲RFC2401で定義
されている。
【0031】VPNは、統合NAT機能を備えたイニシ
エータ・モードとレスポンダ・モードの双方で実現され
ている。セキュリティ・アソシエーションは、適切な外
部(NAT RHS)IPアドレスを使ってネゴシエー
ションされる。対応する内部(NAT LHS)IPア
ドレスのNAT処理は、IPSecへの接続のロードと
オペレーティング・システムのカーネルにおけるIPS
ec処理とに同期して、生成されたNAT規則によって
行なわれる。アウトバウンドでは、通常の送信元IPア
ドレスのほかに、インバウンド送信元IPアドレスを変
換する(インバウンドでは、送信先IPアドレスの対応
する変換をする)。「VPN NAT規則」は、図5の
ブロック126、124によって表されている。すなわ
ち、LHSアドレスとRHSアドレスとの2つの組は、
1つのVPN NAT規則から成る。
【0032】本発明では、VPN接続に関連付けられた
NAT規則のクラスを利用者が指定することができるよ
うにするとともに、システムがこの指定されたクラスか
ら特定のNATバインディング(規則)を動的に生成す
ることができるようにして、単一のVPN接続が複数の
VPN NAT規則をサポートしている。さらに、シス
テム全体を基礎として、VPN NATのタイプが送信
元インバウンドである場合には、利用者が構成したNA
TアドレスのプールとローカルIPアドレスとを関連付
けることにより、暗黙的にすなわち動的に割り当てられ
たVPN NAT規則の間における衝突を回避してい
る。また、この出願にとって重要なVPNNATの3つ
の型は、下に示すテーブル1によって定義されている。
【0033】図1は、本発明の好適な実施形態の方法を
示す図である。ステップ20でNATを必要とする接続
を構成する。ステップ22でIPSec NATアドレ
ス・プールを定義する。ステップ24でイニシエータ・
モードの接続を開始する。ステップ26でレスポンダ・
モードの接続を開始する(これらは接続の反対側で開始
される)。ステップ28でSA(セキュリティ・アソシ
エーション)対の更新を処理する。そして、ステップ3
0で接続を終了する。(NATプールとは、IPアドレ
スの集合である)。これらのステップは、それぞれ、下
でさらに説明する。
【0034】ステップ20では、ユーザは、NATが必
要になる接続をすることに決め、それらを構成する。こ
れは、論理的には、NAT規則を書くのと等価である。
このようにする際に考慮される4つの場合をテーブル1
に示す。
【0035】 〔テーブル1:VPN NATのタイプ〕 −−−−−−−−−−−−−−−−−−−−−−−−−−−− IDci(送信元) IDcr(送信先) −−−−−− −−−−−−−−− −−−−−−−−− イニシエータ 送信元−アウト 送信先−アウト モード タイプa.NAT タイプb.NAT 内部アドレス アウトバウンドでの 送信元IP インバウンドでの 送信先IP レスポンダ 送信元−イン 送信先−イン モード タイプc.NAT タイプd.NAT 外部アドレス 内部アドレス インバウンドでの インバウンドでの 送信元IP 送信先IP アウトバウンドでの アウトバウンドでの 送信先IP 送信元IP −−−−−−−−−−−−−−−−−−−−−−−−−−−− ただし、IDci=「クライアント・イニシエータの識別子」 IDcr=「クライアント・レスポンダの識別子」
【0036】VPN接続は、4つの終点、すなわち2つ
の「接続終点」と2つの「データ終点」を有するものと
して定義されている。(したがって、トランスポート・
モードは、接続の各終わりで、接続終点がデータ終点と
等しい、ということを意味する)。IDciなる用語と
IDcrなる用語とは、特にどれがイニシエータであ
り、どれがレスポンダであるかを示すことにより、2つ
のデータ終点を指している(上掲RFC2409参
照)。また、これらの識別子は、IDcr定義とIDc
i定義の一部を成す約6つの異なった形態のうちの1つ
をとることができる。この出願の場合、識別子の型は、
特に関係はない。
【0037】たとえばIPSecポリシー・データベー
スでNATの特定のインスタンスを指定するとき、ユー
ザは、たとえばチェック・ボックスでYes/Noを決
める。IPSecポリシーとは、ここで使っているよう
に、システムで構成されたIPSec情報の完全な集合
のことである。この情報は、いわゆるIPSecデータ
ベースすなわちIPSec・ポリシー・データベースに
格納されている。レスポンダ・モードのNATフラグI
Dci、IDcrには、接続定義の一部を用いることが
できる。イニシエータ・モードのフラグには、「ローカ
ル・クライアントID」(だけ)に関連付けられたユー
ザ−クライアント対の一部を用いることができる。レス
ポンダIDci NATフラグとレスポンダIDcr
NATフラグとは、独立に設定することができる。両者
は、接続定義が外部開始モードを有する場合にしか関係
しない。
【0038】今までは、全ての場合で、NATフラグが
「オン」のときには、対応する細分値は、接続定義で
「s」(スカラー)であることが必要であった。しか
し、本発明によれば、これは、もはや動的VPN NA
Tに対する制約とはならない。すなわち、「s」(スカ
ラー)の細分度、「f」(フィルタ〕の細分度、「c」
(クライアント)の細分度が全てサポートされている。
「細分度(granuality)」は、上掲RFC2401の第
15〜16頁に記載されている。本発明の典型的な実施
形態、たとえばIBM AS/400によれば、「細分
度」は次のように実現されている。すなわち、各VPN
接続は、データグラム中に、当該VPN接続中に通信が
あるべきか否かを判断するのにチェックされうる5つの
セレクタ(フィールド)を備えている。これら5つのセ
レクタは、送信元IP、送信先IP、送信元ポート、送
信先ポート、プロトコルである。この典型的な実施形態
によれば、各セレクタは、(1)当該VPN接続用のポ
リシー・フィルタ(セレクタ細分度「f」の場合)、
(2)IKEからの単一の値(セレクタ細分度「s」の
場合)、(3)IKEからの連続した範囲の値(セレク
タ細分度「c」の場合)のうちのいずれかからその値を
取得する。
【0039】図2は、VPN NAT IPプールがネ
ットワークのシナリオに関係する形態を示す図である。
線34、36は、インターネット40におけるゲートウ
エイ(GW)42、44、46間のIPSec接続を表
わしている。タイプ「a送信元−アウト」と「c送信元
−イン」用のNATプール52、54は、各リモートI
D(ゲートウエイ44、46)に独立に関連付けられて
いる。タイプ「d送信先−イン」のVPN NATの場
合には、VPN NATゲートウエイ42が保持してい
るグローバルIPアドレス用に単一のNATプール50
を定義することができる。この典型的な実施形態では、
NATプール50、52、54用のIPSecポリシー
は、IPSecデータベース48に格納されている。こ
の例では、3つの内部ネットワーク56、58、60
は、全て、同じ10.*.*.*というアドレス空間を
使っている。これは、VPN NATに対して初期値と
契機とを与える。すなわち、これら3つの内部ネットワ
ーク56、58、60の間のIPSecトンネル(接続
とも呼ばれる)は、それらを組み合わせる論理的な効果
を有している。これは、一般に、アドレスの衝突なくし
て行なうことができない。VPN NATは、ゲートウ
エイ(Gw1)42が内部ネットワーク60、58上の
ゲートウエイ(GwQ)44およびゲートウエイ(Gw
Y)46の後ろのホストとそれぞれ取引をする必要があ
る場合にゲートウエイ(Gw1)42に招来する問題の
解決策を提供する。
【0040】ステップ22で、ユーザは、VPN NA
T機能が排他的に使用するのに使用可能なIPアドレス
の集合を(NATプール50、52、54に)定義す
る。各NATプールは、IPアドレスのある範囲として
定義可能であるのが望ましいが、しかし、不連続なIP
アドレスのリストであってもかまわない。また、各NA
Tプールは、リモートID IPSecポリシー・デー
タベースのエンティティとローカルID IPSecポ
リシー・データベースのエンティティとに自然に関連付
けられている。
【0041】テーブル2に、様々なNATプールの動機
付けを行なうVPN NATの各特徴の様々な意味を示
す。リモートIDまたはローカルIDごとに特定してあ
るけれども、NATプールは、はっきり区別のできる3
つのIPアドレスのグループとして管理することができ
る。これにより、ユーザは、たとえば、複数のリモート
IDに対して同じ範囲を指定することが可能になる。文
字a、c、dは、VPN NATのタイプ(テーブル
1)に対応している。「ロ」の列は、ローカルにルーテ
ィング可能(locally routable)であることを意味して
いる(これは、グローバルにルーティング可能(global
ly routable)と区別したものである)。
【0042】 〔テーブル2:IPSec NATプール〕 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− IPSec プールの目的 有効に生成された ロ NATプール アウトバウンドNAT規則 −−−−−−−− −−−−−−−−−−− −−−−−−−−−−−− − aローカルで 1自身のIP変換アドレ "MAP srcIP TO <value ○ 開始された スをリモート・ホストか from pool >" 接続 ら隠す 「送信元IPを<プールか 2リモートのゲートウエ らの値>にマップする」 イとのIPアドレスの衝 突を避ける 故に、プールは各リモー トIDに関連付けうる。 cリモート側で アドレスの衝突を避ける "MAP destIP TO<value ○ 開始された from pool >" 接続 「送信先IDを<プールか 故に、プールは各リモー らの値>にマップする」 トIDに関連付けうる。 dリモート側で 1一種の負荷共用を提供 "MAP srcIP TO <value ○ 開始された する from pool >" 接続 「送信元IDを<プールか 2自身のIPアドレスを らの値>にマップする」 外部アドレスから隠す。 故に、プールはグローバ ルにルーティング可能な IPアドレス(IDcr) に関連付けうる。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
【0043】ステップ24でイニシエータ・モードの接
続が開始する。イニシエータ・モードの接続が開始する
と、接続マネージャが、ローカルIDを変換すべきか否
かを調べる。変換する必要がある場合、接続マネージャ
は、データベース中でリモートIDに関連付けられてい
るNATプール(たとえば52)から使用可能なIPア
ドレスを捜し出す。IPアドレスが使用可能であるか否
かは、接続マネージャが次のようにして判断する。接続
マネージャは、常時動作しており、VPN接続を開始・
終了させるとともに、状態を知らせるサーバである。こ
のサーバ(接続マネージャ)は、任意のタイプ「a送信
元−アウト」プール(テーブル1参照)からの、あるア
クティブな接続(状態:開始、動作中、終了)で使われ
ているIPアドレスの単一のリストを保持している。シ
ステム当り1つの接続マネージャしか動作していないか
ら、「単一」はシステム全体で1つを意味する。接続マ
ネージャは、使用済みのリストに載っていない、上記プ
ールの最初のIPアドレスを選んで、使用済みのリスト
に付加する。使用可能なIPアドレスを見つけ出すこと
ができない場合には、接続は開始せず、適切なエラー・
メッセージ(およびOP NAV GUIへの戻りコー
ド)を生成する。ポリシー・データベースは、IPアド
レスが使用中であることを示すためには更新しない。そ
うではなく、ポリシー・データベースの更新は、アクテ
ィブな接続の集合だけに基づいて、接続マネージャが動
的に決める。「OP NAV GUI」とは、「AS/
400操作ナビゲータ・グラフィカル・ユーザ・インタ
フェース(GUI)(AS/400 Operations Navigator gr
aphical user interface) 」のことであり、VPNを含
むAS/400の様々な側面を構成するのに使うPC
(パーソナル・コンピュータ)ベースのGUIである。
【0044】接続マネージャがIKEに送る開始メッセ
ージ(msg)は、プールから選択されたNAT RH
S IPアドレスを持つことになる。このNAT RH
SIPアドレスは、セキュリティ・アソシエーション
(SA)対に付加される。これは、IKEからの戻りS
Aが完了させる。次いで、接続マネージャは、接続をI
PSecにロードする。SA対は、2つのセキュリティ
・アソシエーションであり(上掲RFC2401で定義
されている)、1つはインバウンド用であり、他の1つ
はアウトバウンド用である。
【0045】この2つのSA用のNAT規則を、IPS
ecが生成する。アウトバウンドでは、フィルタリング
後でIPSec前にNATが行なわれる。インバウンド
では、IPSec後に(要すればフィルタリング前に)
NATが行なわれる。この意味で、NATは、IPSe
c接続のローカル接続終点に対する「ラッピング(wrap
ping)」である。
【0046】図3および図4は、本発明によるVPN
NATタイプを示す後続する図面の背景および対照をな
すものとして、既存のNAT機能を説明する図である。
【0047】図3は、最も簡単な形である静的なNAT
を示す図である。既存のNATの両方のタイプとも、ユ
ーザがOpNav GUIで対応するNAT規則文を書
くことにより、明示的に構成する。これは、実際のNA
T規則すなわちNAT文をシステムが生成するIPSe
c NATと対照的である。このような文の例として、
図3のMAP文<MAP lhs TO rhs>、図4のHIDE文
<HIDE ip addr set BEHIND rhs >が挙げられる。
【0048】再び図3を参照すると、インバウンド処理
では、送信元IP70が<MAP lhsTO rhs>文のLHS
72と一致する場合、送信元IP70をRHS76に変
換する。アウトバウンド処理では、送信先IP74がR
HS76と一致する場合、送信先IP74をLHS72
に変換する。
【0049】図4を参照すると、マスカレードNAT
(NAPT〔network address and port translation〕
とも呼ばれる)は、上掲HIDE文<HIDE ip addr set
BEHIND rhs >を使い、自身のポート・プール118
(UDP、TCP)を使ってインバウンド通信の変換方
法を思い起こすことにより、多対1のアドレス変換を実
現している。静的NAT(図3)と異なり、マスカレー
ドNATの会話<CONVERSATION src ip, src port, rhs
ip, rhs port, ...>は、内部(LHS)アドレスしか
開始させることができない。VPN NAT(これは、
後述するように、本発明の好適な実施形態を識別するの
に使う名前である)は、ポート変換を備えていないの
で、静的NATに近い。
【0050】さらに図4を参照すると、アウトバウンド
・データグラムの処理では、ステップ<1>で送信元I
Pアドレス90がHIDE文のIPアドレス・セット9
2中にあると判断された場合、ステップ<2>で送信元
IPアドレス90をCONVERSATIONフィールド94に、ス
テップ<3>でポート98をフィールド96に、ステッ
プ<4>でRHS104をフィールド100に、ステッ
プ<5>でポート・プール群118の正しいプールから
RHSポートをフィールド102に、それぞれコピーす
ることによってCONVERSATIONを構成する。次いで、ステ
ップ<6>で送信元IP90はRHS104に変換さ
れ、ステップ<7>で送信元ポート98はRHSポート
102に変更される。インバウンド・データグラムに対
する処理では、ステップ<8>で送信先IPアドレス1
06および送信先ポート108がCONVERSATIONフィール
ドのRHS IP100およびRHSポート102とそ
れぞれ一致する場合、ステップ<9>で送信先IPアド
レス106はCONVERSATIONの送信元IPアドレス94に
変換され、ステップ<10>で送信先ポート108はCO
NVERSATIONの送信元ポート96に変換される。
【0051】以上の他にもNATによって処理される特
別な状況がいくつかあるが、それらは、本発明にとって
興味がないので、説明しない。それらには、FTPやI
CMPが生成する特別な状況の処理などがある。これら
は、共に、変換されるIPアドレスを含んでいる。FT
P(=File Transfer Protocol) はRFC959で定義
されている。ICMP(=Internet Control Message P
rotocol)はRFC792で定義されている。チェックサ
ムの再計算を行なう。マスカレードNATでは、まず会
話が存在し、その後、元の(性急な)HIDE規則では
なく、CONVERSATIONにデータグラムを一致させ、ポート
・プールを管理し、時間に合わせて会話を終了させ、そ
して、ポートをマップする。VPN NATがICMP
と(有名なFTP PORTコマンドとPASVコマン
ドならびに付随する諸問題を含む)FTPとをサポート
している点は、本発明の特別な利点である。
【0052】本発明によれば、動的に決められるVPN
NAT規則は、次のようにして実現する。まず、利用
者が、VPN NAT処理を行なうべきである旨を、G
UI(グラフィカル・ユーザ・インタフェース)で指定
する。ローカルで開始した接続の送信元IPアドレスと
して、複数のIPアドレスが許される。これら複数のI
Pアドレスは、(連続した)範囲またはアドレス、およ
びマスクで特定する。これらは、VPN NAT規則の
LHS(left-hand-side: 左手側)アドレス・セットを
構成する。VPN NAT規則のRHS(right-hand-s
ide:右手側)アドレス・セットは、リモートのVPNゲ
ートウエイ・アドレスに関連付けられている。接続が開
始すると、当該接続用のIPSecセキュリティ・アソ
シエーションの一部として、LHSアドレス・セットと
RHSアドレス・セットとの双方を当該接続と一緒にロ
ードする。次いで、VPN接続マネージャは、RHSア
ドレス・セットに使用済みの印を付けて、後刻開始する
接続との間で生じうるNAT規則の衝突を避ける。
【0053】ロードされ(すなわちオペレーティング・
システムのカーネルにインストールされ)、ローカルで
開始された接続に対してIP通信を行なう場合には、特
定のデータグラムに適用すべき特定のNATを決めるの
にLHSアドレス・セットとRHSアドレス・セットと
を使う。各アドレス・セットを順序付けることによっ
て、データグラムに特有のNAT規則を生成する。LH
Sアドレス・セットの各アドレスをRHSアドレス・セ
ットの対応する要素に1対1でマップする。LHSアド
レス・セットの基数がRHSアドレス・セットの基数よ
りも大きい場合には、LHSアドレス・セットの第n番
目の要素に対してVPN NATは行なわれない(ただ
し、n>RHSアドレス・セットの基数、基数とは集合
の要素の個数を表わす数のことである)。(しかしなが
ら、これは、GUIレベルの監査によって回避すること
ができる)。アウトバウンド通信の場合には、データグ
ラムの送信元IPアドレスに基づいて、LHSアドレス
・セットの第n番目の要素を選択する。インバウンド通
信の場合には、データグラムの送信先IPアドレスに基
づいて、RHSアドレス・セットの第n番目の要素を選
択する。
【0054】ロードされ、リモートで開始された(レス
ポンダ・モードの)接続に対してIP通信を行なう場
合、解決策は、ローカルで開始された接続の場合と基本
的に同じであるが、しかし、逆である。この場合、RH
Sアドレス・セットを、LHSアドレス・セットの対応
する要素にマップされている、インバウンド・データグ
ラムの送信先IPアドレスに一致させる。RHSアドレ
ス・セットがLHSアドレス・セットよりも大きい場
合、NAT処理は、全く行なわれない。ここでも、この
処置は、人間の要因の観点から望ましくないかも知れな
い。したがって、この場合も、この処置は、GUIレベ
ルの監査によって不許可になるかも知れない。
【0055】図5、図6、図7を参照すると、LHSと
RHSとは、連続した範囲のIPアドレスなどの集合
(セット)を表わしている。xが集合であると仮定する
と、size(x)は集合xの要素の個数を表わす。次
に示す3つの場合を導入する。 場合1:size(LHS)=size(RHS)=1 場合2:size(LHS)=size(RHS)&s
ize(LHS)>1 場合3:size(LHS)!=size(RHS)
【0056】場合1は、上掲米国特許出願第09/24
0720号のシステムと方法によって取り扱われてい
る。
【0057】場合2では、2つのセットは等しいから、
各接続が開始するときに各接続用に生成される暗黙的な
MAP規則は、2つのセットの文に固有のものである。
すなわち、LHSアドレス・セットの要素とRHSアド
レス・セットの要素との間には一意的な1対1の対応関
係が存在する。したがって、特定のVPN接続負荷用の
暗黙的なMAP規則は、簡単明瞭に生成される。たとえ
ば、図5のプロセスでは、送信元−アウトVPN NA
Tの場合、送信元IPに一致する(ステップ1)LHS
アドレス・セットの第n番目の要素が見つかると、RH
Sアドレス・セットの第n番目の要素を見つけ出して、
送信元IPを置き換えるのに使う(ステップ2)。
【0058】場合3では、LHSアドレス・セットの要
素とRHSアドレス・セットの要素との動的な関連付け
(すなわちバインディング(binding) )を、以前に生成
されたバインディングに基づいて生成する。バインディ
ングは必要に応じて通信が生成するか、あるいは、既存
のバインディングを使う。バインディングは、接続期間
中、あるいは、非アクティブ状態タイムアウト値に到達
するまで続く。バインディングには、ローカルとリモー
トとの2つのタイプがある。また、バインディングは、
システム全体で一意である。
【0059】VPN接続が開始する時にVPN接続当り
にいずれかの場合が一旦(いったん)決められると、そ
れは、取り扱う各データグラムごとに再計算されること
はない。
【0060】図5は、タイプa「送信元−アウト」のV
PN NATに関する、本発明の好適な実施形態を説明
する図である。タイプa「送信元−アウト」のVPN
NATでは、IDciは、イニシエータ・モードの会話
用に変換される。システムを生成した後、暗黙的なMA
P規則128<MAP lhs TO rhs>をロードするが、それ
は、静的NATとして機能する。この作業を行なう秘訣
(ひけつ)は、IKEによってネゴシエーションされる
セキュリティ・アソシエーションが暗黙的なMAP規則
130<MAP lhs TO rhs>を使う点である。したがっ
て、SA(セキュリティ・アソシエーション)とVPN
NATとは、同期する。
【0061】さらに図5を参照すると、ローカルで開始
した会話の場合、ステップ<−2>で、NATが要求さ
れているので、ローカル・クライアントID122をL
HS126にコピーすることより、暗黙的なMAP規則
128を生成する。RHS124は、適切なプール12
0から取得する。ステップ<0>は、VPN接続を開始
する作業の一部であり、図1のステップ24とステップ
26とを実行する間に行なう。ステップ<0>では、R
HS124を使ってIKEネゴシエーションを完了した
後、暗黙的なMAP規則130をオペレーティング・シ
ステムのカーネルにロードする。このステップ<0>
は、接続のSAと接続のフィルタをロードするステップ
と、ローカル・バインディング・テーブル210の空白
版を生成するステップとを備えている。アウトバウンド
処理では、ステップ<1>で送信元IP132が暗黙的
なMAP規則130の特定のLHSと一致した場合、ス
テップ<2>で上述した場合1、場合2、場合3のいず
れかに決定する。この結果、RHS138のIPアドレ
スが得られる。この選択されたRHS138は、送信元
IP132に取って代わる。ローカル・バインディング
・テーブル210に、選択されたバインディングのエン
トリを作成する。インバウンド処理では、ステップ<3
>で送信先IPアドレス140がローカル・バインディ
ング・テーブル210のRHSと一致した場合、ステッ
プ<4>で送信先IP140をローカル・バインディン
グ・テーブル210のLHSで置き換える。
【0062】LHSとRHSとは、IPアドレスの2つ
の集合のことである。VPN NAT規則は、1つずつ
から成る。すなわち、VPN NAT規則は、LHSア
ドレスのRHSアドレスへのマッピング(LHS−>R
HS)を定義している。
【0063】図1のステップ26で、レスポンダ・モー
ドの接続が開始する。この際、IKE機能が現在構成さ
れているポリシーに基づいてSA群とネゴシエーション
する。ネゴシエーションが終わると、上記SA群は、1
〜nのSA対から成るSA集合体として接続マネージャ
に送られる。
【0064】図6は、送信元−イン・タイプのVPN
NATを説明する図である。図7は、送信先−イン・タ
イプのVPN NATを説明する図である。
【0065】図8を参照すると、接続マネージャ・サー
バ300は、IKEサーバ330から開始メッセージ
(msg)332を受け取ると、VPNポリシー・デー
タベース304の接続定義306を見て、NATフラグ
314を調べる。NATリモート・フラグso308、
si310、di312のうちの少なくとも1つが「オ
ン」でる場合、ID152(図6)、ID182(図
7)に関連付けられたNATフラグに応じて、適切なN
ATプール50、52、54(図2)から、IPアドレ
ス154(図6)、186(図7)を取得する。NAT
フラグとNATプールとの間の関係は、次の通りであ
る。送信元−アウト(so)フラグ308がオン、また
は送信元−イン(si)フラグがオンの場合には、図2
のNATプール・タイプ52(54と同じタイプ)を使
い、リモートVPN接続の終点アドレスに基づいてNA
Tプールを選択する。送信先−イン(di)フラグ31
2がオンである場合には、送信先アドレスが指示してい
る、図2のNATプール50を使う。
【0066】リモートIDプール150からのIPアド
レスの使用可能性の管理は、接続マネージャがアクティ
ブな接続の集合に基づいて基づいて行なう(タイプa
「送信先−アウト」のVPN NATの場合)。接続マ
ネージャは、IDcrプール180(図7)に対する使
用可能性も取り扱う。これにより、負荷平衡をとるのが
可能になる。IDcrプール180は、IDcrのNA
T処理を行なうためのIPアドレスの集合である。次に
示す2つの基本的な手法がある。(1)開始ごとに、I
Dcrプール180を始めのエントリから検索する。
(2)開始ごとに、IDcrプール180を最後に使っ
たIPから検索する。
【0067】IPSecへのロードは、上述したイニシ
エータ・モードの場合と同様に行なう。リモートで開始
された接続の通信を処理する場合、インバウンド・パケ
ットとアウトバウンド・パケットとの各々に対して、2
つの変換を行なうことができる(送信元と送信先)。
【0068】図6を参照すると、タイプc「送信元−イ
ン」のVPN NATは、次に示すようにレスポンダ・
モードの接続を開始する。ステップ<−2>で、IDc
i152をRHS154にコピーすることにより、暗黙
的なMAP規則158<MAPlhs TO rhs>を生成する。
次いで、ステップ<−1>で、適切なIPアドレス・プ
ール150からIPアドレスを選択して、それをLHS
156にコピーする。ステップ<0>で、RHS154
を使ったIKEネゴシエーションが完了した後、暗黙的
なMAP規則160をロードする。このステップ<0>
には、上述したステップ<0>の処理と同じものが含ま
れる。つまり、2つのステップ<0>は、VPN NA
Tの3つのタイプで全て同じである(ただし、いくつか
の低レベルの詳細を除く)。インバウンド・データグラ
ムの処理では、ステップ<1>で送信元IP172がR
HS168と一致した場合、ステップ<2>で送信元I
P172を対応するLHS166に変換する。次いで、
上述した場合1、場合2、または場合3に基づいて、リ
モート・バインディング・テーブル212にエントリを
作成する。アウトバウンド・データグラムの処理では、
ステップ<3>で送信先IP164がLHSと一致した
場合、ステップ<4>で送信元IP172を対応するR
HS168に変換する。送信先IP164用の検索は、
場合3のときにはリモート・バインディング・テーブル
212を使い、場合1または場合2のときには暗黙的な
MAP規則160を使う。
【0069】図7を参照すると、タイプd「送信先−イ
ン」のVPN NATは、次に示すように実行して、レ
スポンダ・モードの会話用にIDcrを変換する。ステ
ップ<−2>でIDcr182をRHS184にコピー
して、暗黙的なMAP規則188を生成する。ステップ
<−1>で適切なIPアドレス・プール180からIP
アドレスを取得して、それをLHS186にコピーす
る。ステップ<0>では、RHS184を使ったIKE
ネゴシエーションが完了した後、暗黙的なMAP規則1
90をロードする。(ステップ<0>は、低レベルな詳
細を除いて、図5および図6の場合と同じである)。
【0070】インバウンド・データグラムの処理では、
ステップ<1>で送信先IP200がRHS198と一
致した場合、ステップ<2>で送信先IP200をLH
S196に変換する。アウトバウンド・データグラムの
処理では、ステップ<3>で送信元IP192がLHS
196と一致した場合、ステップ<4>で送信元IP1
92をRHS198に変換する。
【0071】図8を参照すると、図1のステップ28
で、接続マネージャ・サーバ300は、SA対更新30
2を得ると、新しいSA対の情報を接続プロセス・メモ
リ320のSA対テーブル322にコピーする。
【0072】図1のステップ30で、接続34、36を
終了させるとき、接続マネージャ・サーバ300は、当
該接続に関連付けられたNAT IPアドレス52、5
4をを解放する(使用可能にする)。図8を参照して、
NAT IPアドレスを、接続マネージャ・サーバ30
0が維持している適切なリスト316から除去する。
【0073】LHSアドレス・セットとRHSアドレス
・セットのサイズは、次に示す3項目の最小値をとるこ
とによって制御する。すなわち、(1)利用者が構成す
るサブネットのサイズ(すなわちアドレス範囲)、
(2)NATプール当りを基礎にして利用者が構成する
接続当たりの並行VPN NATセッションの最大数、
(3)始めに構成したNATプールの中で今なお使用可
能な値の残存範囲の最大値、である。これは、接続の始
動(図1のステップ24とステップ26)の間に、VP
N接続マネージャが決める。
【0074】〔別の実施形態〕ここでは説明のために本
発明の特定の実施形態を述べたけれども、本発明の本旨
と範囲から離れることなく、様々な変形をなしうる、と
いうことが認識できる。特に、本発明の方法に従ってコ
ンピュータの動作を制御する、および/または、本発明
のシステムに従って構成要素を組み立てる、コンピュー
ター・プログラム製品またはコンピューター・プログラ
ム要素、あるいは、本発明の方法に従ってコンピュータ
の動作を制御する、および/または、本発明のシステム
に従って構成要素を組み立てる、機械読み取り可能な信
号を格納する、固体または流体の伝送媒体、磁気ワイヤ
または光ワイヤ、テープまたはディスク、などのプログ
ラム格納装置すなわちプログラム記憶装置、を提供する
ことは、本発明の範囲内である。(「Aおよび/または
B」は「AおよびB、A、またはB」を表わす)。
【0075】さらに、本発明の方法の各ステップは、I
BM System390、AS/400、PC(パー
ソナル・コンピュータ)など任意の汎用コンピュータで
実行するとこができる。また、本発明の方法の各ステッ
プは、C++、Java(R)、PL/1、Fortr
anなど任意のプログラミング言語から生成したプログ
ラム要素、モジュール、またはオブジェクトのうちの少
なくとも1つ、あるいは、それ(またはそれら)の一部
に従うことができる。さらに、上記各ステップ、または
上記各ステップを実現するファイルやオブジェクトなど
は、専用ハードウェアまたは回路モジュールによって実
行することができる。
【0076】したがって、本発明の保護範囲は、特許請
求の範囲およびその均等物によってしか限定されない。
【0077】まとめとして以下の事項を開示する。 (1)ネットワーク・アドレス変換(NAT)とIPセ
キュリティ(IPSec)処理とを統合するIPSec
に基づいて、仮想私設網(VPN)を操作する方法であ
って、NAT IPアドレス・プールを構成するステッ
プと、VPN接続を構成して、前記NAT IPアドレ
ス・プールを使用するステップと、前記NAT IPア
ドレス・プールから特定のIPアドレスを取得し、その
特定のIPアドレスを前記VPN接続に割り当てるステ
ップと、前記VPN接続を開始するステップと、前記V
PN接続用のセキュリティ・アソシエーションおよび接
続フィルタをオペレーティング・システムのカーネルに
ロードするステップと、前記VPN接続に対してIPデ
ータグラムを処理するステップと、前記IPデータグラ
ムにVPN NATを適用するステップとを備えた方
法。 (2)前記VPN接続がアウトバウンド処理用に構成さ
れており、前記IPデータグラムにVPN NATを適
用する前記ステップが、アウトバウンド送信元IP N
AT処理を含んでいる、上記(1)に記載の方法。 (3)前記VPN接続がインバウンド処理の組み合わせ
用に構成されており、前記IPデータグラムにVPN
NATを適用する前記ステップが、インバウンド送信元
IP NAT処理、またはインバウンド送信先IP N
AT処理を含んでいる、上記(1)に記載の方法。 (4)さらに、NATと、人手で施錠されたIPSec
接続用のIPSecとを統合するために、接続鍵を人手
で構成するステップをさらに備えた、上記(1)に記載
の方法。 (5)さらに、NATと、動的に施錠された(たとえば
IKE)IPSec接続用のIPSecとを統合するた
めに、前記VPN接続を構成して、前記VPN接続用の
鍵を自動的に取得するステップをさらに備えた、上記
(1)に記載の方法。 (6)さらに、NATと、IKEが動的にネゴシエーシ
ョンしたIPSecセキュリティ・アソシエーションと
を統合するために、前記VPN接続を開始するステップ
が、IKEが前記NAT IPアドレス・プールから前
記IPアドレスを取得するためのメッセージを生成する
ステップをさらに備え、さらに、IKEを操作してネゴ
シエーションされた鍵を動的に取得するステップを備え
た、上記(1)に記載の方法。 (7)さらに、動的に取得した鍵と前記NAT IPア
ドレ・スプールとを組み合わせるステップを備え、前記
VPN接続用のセキュリティ・アソシエーションと接続
フィルタとをオペレーティング・システムのカーネルに
ロードする前記ステップが、セキュリティ・アソシエー
ションとしての結果を前記オペレーティング・システム
のカーネルにロードする、上記(6)に記載の方法。 (8)IPSecベースのVPN接続とVPNポリシー
の、定義と構成を直接使って、NATの定義と構成を可
能にする方法であって、VPN NATタイプaアウト
バウンド送信元IP NAT、VPN NATタイプc
インバウンド送信元IP NAT、およびVPN NA
Tタイプdインバウンド送信先IP NATから成る3
つのタイプのVPN NATの各々に対して、ポリシー
・データベースにおける諾否判断によってVPN NA
Tに対する要求を構成するステップと、前記VPN N
ATの各々に対する前記諾否判断に選択的に応答してリ
モートIPアドレス・プールすなわちサーバIPアドレ
ス・プールを構成するステップとを備えた方法。 (9)さらに、VPN接続が必要されることになる各リ
モートIPアドレス用に前記リモートIPアドレス・プ
ールを一意に構成し、これにより、前記リモートIPア
ドレス・プールがリモートIDによって施錠されるステ
ップを備えた、上記(8)に記載の方法。 (10)さらに、構成中のシステムに対して前記サーバ
IPアドレス・プールをただ1つ構成するステップを備
えた、上記(8)に記載の方法。 (11)VPN NATアクティビティがオペレーティ
ング・システムのカーネルで起きるときに、当該VPN
NATアクティビティを利用者が追跡することができ
るようにする方法であって、VPN接続の構成に応答し
て、ジャーナル・レコードを生成するステップと、VP
N接続を通じて処理された各データグラムごとに、新し
いレコードで前記ジャーナル・レコードを更新するステ
ップと、利用者が前記ジャーナル・レコードを管理する
のを可能にするステップとを備えた方法。 (12)VPN NATアドレス・プールがゲートウエ
イに関連付けらるのを可能にし、それにより、サーバの
負荷平衡を実現する方法であって、構成中のシステム用
にサーバNAT IPアドレス・プールを構成するステ
ップと、前記サーバNAT IPアドレス・プールに、
グローバルにルーティング可能な特定のIPアドレスを
格納するステップと、VPN接続を構成して、前記サー
バNAT IPアドレス・プールを使用するステップ
と、前記サーバNAT IPアドレス・プール中のアド
レスの数に応じて、並行するVPN接続の総量を管理す
るステップとを備えた方法。 (13)NATアドレスの使用可能性に基づいて、シス
テム当りのVPN接続の総数を制御する方法であって、
IPアドレスの共通集合でリモートIPアドレス・プー
ルの総量を構成するステップであって、前記IPアドレ
スが、範囲として、単一のアドレスのリストとして、ま
たは、複数の範囲と単一のアドレスとの任意の組み合わ
せとして構成されているステップと、前記リモートIP
アドレス・プールの総量にわたって構成された前記IP
アドレスの数に応じて、並行してアクティブなVPN接
続が成功裏に開始するのを制限するステップとを備えた
方法。 (14)選択したICPMデータグラムに対してネット
ワーク・アドレス変換を実行する方法であって、ICM
Pタイプのパケットから選択したタイプを検出するステ
ップと、前記選択したタイプに応じて、ICPMデータ
を含む全データグラムに対してネットワーク・アドレス
変換を実行するステップとを備えた方法。 (15)選択したFTPデータグラムに対してネットワ
ーク・アドレス変換を実行する方法であって、FTP
PORTコマンドまたはPASV FTPコマンドの出
現を検出するステップと、前記FTP PORTコマン
ドまたはPASV FTPコマンドに応答して、FTP
データおよびヘッダーに対してネットワーク・アドレス
変換を実行するステップとを備えた方法。 (16)NATとIPSec処理とを統合するIPSe
cに基づいて、VPNを操作するシステムであって、N
AT IPアドレス・プールを構成する手段と、VPN
接続を構成して、前記NAT IPアドレス・プールを
使用する手段と、前記NAT IPアドレス・プールか
ら特定のIPアドレスを取得し、その特定のIPアドレ
スを前記VPN接続に割り当てる手段と、前記VPN接
続を開始する手段と、前記VPN接続用のセキュリティ
・アソシエーションおよび接続フィルタをオペレーティ
ング・システムのカーネルにロードする手段と、前記V
PN接続に対してIPデータグラムを処理する手段と、
前記IPデータグラムにVPN NATを適用する手段
と備えたシステム。 (17)IPSecベースのVPN接続とVPNポリシ
ーの、定義と構成を直接使って、NATの定義と構成を
可能にするシステムであって、VPN NATタイプa
アウトバウンド送信元IP NAT、VPN NATタ
イプcインバウンド送信元IP NAT、およびVPN
NATタイプdインバウンド送信先IP NATから
成る3つのタイプのVPN NATの各々に対する諾否
判断によってVPN NATに対する要求を構成するポ
リシー・データベースと、前記VPN NATの各々に
対する前記諾否判断に応答して選択的に構成されたリモ
ートIPアドレス・プールすなわちサーバIPアドレス
・プールとを備えたシステム。 (18)VPN NATアドレス・プールがゲートウエ
イに関連付けらるのを可能にし、それにより、サーバの
負荷平衡を実現するシステムであって、範囲として、単
一のアドレスのリストとして、または、複数の範囲と単
一のアドレスとの任意の組み合わせとして構成された複
数のアドレスを含むように、構成中の所定のシステム用
に構成されたサーバNAT IPアドレス・プールと、
グローバルにルーティング可能な特定のIPアドレスを
格納する前記サーバNAT IPアドレス・プールと、
前記サーバNAT IPアドレス・プールを使用するよ
うに構成されたVPN接続と、前記サーバNAT IP
アドレス・プール中のアドレスの数に応じて、並行する
VPN接続の総量を管理する接続コントローラとを備え
たシステム。 (19)NATとIPSec処理とを統合するIPSe
cに基づいて、VPNを操作する方法であって、NAT
IPアドレス・プールを構成するステップと、VPN
接続を構成して、前記NAT IPアドレス・プールを
使用するステップと、前記NAT IPアドレス・プー
ルから特定のIPアドレスを取得し、その特定のIPア
ドレスを前記VPN接続に割り当てるステップと、前記
VPN接続を開始するステップと、前記VPN接続用の
セキュリティ・アソシエーションおよび接続フィルタを
オペレーティング・システムのカーネルにロードするス
テップと、前記VPN接続に対してIPデータグラムを
処理するステップと、前記IPデータグラムにVPN
NATを適用するステップとを備えた方法を実行する、
機械実行可能な命令から成るプログラムを有形的に記録
した機械読み取り可能なプログラム記憶装置。 (20)自身の中にNATとIPSec処理とを統合す
るIPSecに基づいて、VPNを操作するコンピュー
タ読み取り可能なプログラム・コード手段を記録したコ
ンピュータ使用可能な媒体を備えた製品であって、前記
製品中のコンピュータ読み取り可能なプログラム・コー
ド手段が、NAT IPアドレス・プールを構成するよ
うにコンピュータに働きかけるコンピュータ読み取り可
能なプログラム・コード手段と、VPN接続を構成し
て、前記NAT IPアドレス・プールを使用するよう
にコンピュータに働きかけるコンピュータ読み取り可能
なプログラム・コード手段と、前記NAT IPアドレ
ス・プールから特定のIPアドレスを取得し、その特定
のIPアドレスを前記VPN接続に割り当てるようにコ
ンピュータに働きかけるコンピュータ読み取り可能なプ
ログラム・コード手段と、前記VPN接続を開始するよ
うにコンピュータに働きかけるコンピュータ読み取り可
能なプログラム・コード手段と、前記VPN接続用のセ
キュリティ・アソシエーションおよび接続フィルタをオ
ペレーティング・システムのカーネルにロードするよう
にコンピュータに働きかけるコンピュータ読み取り可能
なプログラム・コード手段と、前記VPN接続に対して
IPデータグラムを処理するようにコンピュータに働き
かけるコンピュータ読み取り可能なプログラム・コード
手段と、前記IPデータグラムにVPN NATを適用
するようにコンピュータに働きかけるコンピュータ読み
取り可能なプログラム・コード手段とを備えた製品。 (21)ネットワーク・アドレス変換(NAT)を使っ
て仮想私設網(VPN)にIPセキュリティ(IPSe
c)を実現する方法であって、動的にNAT規則を生成
し、それらと人手でまたは動的に生成した(IKE)セ
キュリティ・アソシエーションとを関連付けるステップ
と、その後、前記セキュリティ・アソシエーションを使
うIPSecを開始するステップと、次いで、アウトバ
ウンド・データグラムおよびインバウンド・データグラ
ムに対してIPSecを実行するときに、VPN NA
Tタイプaアウトバウンド送信元IPNAT、VPN
NATタイプcインバウンド送信元IP NAT、およ
びVPN NATタイプdインバウンド送信先IP N
ATのうちの少なくとも1つを選択的に実行するステッ
プとを備えた方法。 (22)前記NAT IPアドレス・プールが、範囲と
して、単一のアドレスのリストとして、または、複数の
範囲と単一のアドレスとの任意の組み合わせとして構成
された複数のアドレスを含んでいる、上記(1)に記載
の方法。
【0078】
【発明の効果】本発明の効果は、NAT(Network addr
ess Translation )とIPセキュリティ(IP Security:
IPSec)との双方を並行して実現する、改良され、
かつ大幅に簡易化したシステムと方法とが実現すること
である。
【0079】本発明の他の効果は、VPN(virtual Pr
ivate netwrk)の使用に内在する、IPアドレスの衝突
の可能性が増大するという問題を解決するシステムと方
法とが実現することである。
【0080】本発明の他の効果は、ドメインの再アドレ
ス指定(高価な代替手段)を必要とすることなく、VP
Nを利用することができるようにするシステムと方法と
が実現することである。
【0081】本発明の他の効果は、ドメイン・ホストに
おける変更を必要とすることなく、IPSecゲートウ
エイで全て実現する、VPN NAT用のシステムと方
法とが実現することである。
【0082】本発明の他の効果は、接続された各ドメイ
ンにおけるルーティングの変更を全く、あるいは少しし
か必要としない、VPN NAT用のシステムと方法と
が実現することである。
【0083】本発明の他の効果は、単純な構成をした、
VPN NAT用のシステムと方法とが実現することで
ある。
【0084】本発明の他の効果は、VPNが引き起こす
アドレス衝突の問題の解決策が実現することである。
【0085】本発明の他の効果は、利用者がVPN接続
を構成するのを支援する簡単化した解決策が実現するこ
とである。
【0086】本発明の他の効果は、単一のVPN接続が
複数のVPN NAT規則をサポートすることができる
ようにすることである。
【0087】本発明の他の効果は、暗黙的にすなわち動
的に割り当てられたVPN NAT規則内の衝突を、シ
ステム全体の観点から避けることのできるシステムと方
法とが実現することである。
【0088】本発明の他の効果は、各NAT規則に対す
る多数の別々のVPN接続を管理する必要を無くすこと
により、動的NAT規則に要するシステムのオーバーヘ
ッドを低減することのできるシステムと方法とが実現す
ることである。
【0089】本発明の他の効果は、ネットワークの監視
とトラフィックの分析とを簡単化することのできるVP
N NATシステムと方法とが実現することである。
【図面の簡単な説明】
【図1】 本発明の好適な実施形態のVPN NAT方
法のフローチャートを示す図である。
【図2】 典型的なIPSecシナリオと関連するVP
N NATプールを示す図である。
【図3】 説明のために静的NAT(最も簡単な既存の
NAT)を示す図である。
【図4】 説明のためにマスカレードNAT(既存のN
ATの典型例)を示す図である。
【図5】 イニシエータ・モードの会話用にIDciを
変換したタイプa(「送信元−アウト」とも呼ばれる)
のVPN NATを示す図である。
【図6】 レスポンダ・モードの会話用にIDciを変
換したタイプc(「送信元−イン」とも呼ばれる)のV
PN NATを示す図である。
【図7】 レスポンダ・モードの会話用にIDcrを変
換したタイプd(「送信先−イン」とも呼ばれる)のV
PN NATを示す図である。
【図8】 本発明のシステムと方法を実現する様々なプ
ログラム要素とデータ要素との間の関係を説明する高レ
ベルのフロー図を示す図である。
【符号の説明】
34…線、36…線、40…インターネット、42…ゲ
ートウエイ(GW)、44…ゲートウエイ(GW)、4
6…ゲートウエイ(GW)、48…IPSecポリシー
・データベース、50…NATプール、52…NATプ
ール、54…NATプール、56…内部ネットワーク、
58…内部ネットワーク、60…内部ネットワーク、7
0…送信元IP、72…LHS、74…送信先IP、7
6…RHS、78…送信先IP、80…送信元IP、9
0…送信元IP、92…IPアドレス・セット、94…
フィールド、96…フィールド、98…送信元ポート、
100…フィールド、102…フィールド、104…R
HS、106…送信先IP、108…送信先ポート、1
10…送信元IP、112…送信元ポート、114…送
信先IP、116…送信先ポート、118…ポート・プ
ール、120…リモートID、122…ローカル・クラ
イアントID、124…RHS、126…LHS、12
8…暗黙的なMAP規則、130…暗黙的なMAP規
則、132…送信元IP、134…送信先IP、136
…LHS、138…RHS、140…送信先IP、14
2…送信元IP、150…リモートID、152…ロー
カル・クライアントID、154…RHS、156…L
HS、158…暗黙的なMAP規則、160…暗黙的な
MAP規則、162…送信元IP、164…送信先I
P、166…LHS、168…RHS、170…送信先
IP、172…送信元IP、180…リモートID、1
82…ローカル・クライアントID、184…RHS、
186…LHS、188…暗黙的なMAP規則、190
…暗黙的なMAP規則、192…送信元IP、194…
送信先IP、196…LHS、198…RHS、200
…送信先IP、202…送信元IP、210…ローカル
・バインディング・テーブル、212…リモート・バイ
ンディング・テーブル、214…ローカル・バインディ
ング・テーブル、300…接続マネージャ・サーバ、3
02…SA対更新、304…VPNポリシー・データベ
ース、306…接続定義、308…NATリモート・フ
ラグso、310…NATリモート・フラグsi、31
2…NATリモート・フラグdi、314…NATフラ
グ、316…NATアドレス・リスト、320…接続プ
ロセス・メモリ、322…SA対テーブル。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 マーク・ジェイ・メルヴィル アメリカ合衆国 ニューヨーク州 13760、 エンドウエル、フォックスボロ レーン 1301 (72)発明者 トッド・エー・モンロー アメリカ合衆国 ニューヨーク州 13760、 エンディコット、エドソン ロード 241 (72)発明者 フランク・ブイ・パックスヒア アメリカ合衆国 ニューヨーク州 13905、 ビングハムトン、エアポート ロード 1111 Fターム(参考) 5K030 GA11 GA15 HB19 HC01 HC13 HD03 HD09 MA01 MB09

Claims (22)

    【特許請求の範囲】
  1. 【請求項1】ネットワーク・アドレス変換(NAT)と
    IPセキュリティ(IPSec)処理とを統合するIP
    Secに基づいて、仮想私設網(VPN)を操作する方
    法であって、 NAT IPアドレス・プールを構成するステップと、 前記NAT IPアドレス・プールを使用するようにV
    PN接続を構成するステップと、 前記NAT IPアドレス・プールから特定のIPアド
    レスを取得し、その特定のIPアドレスを前記VPN接
    続に割り当てるステップと、 前記VPN接続を開始するステップと、 前記VPN接続用のセキュリティ連合および接続フィル
    タをオペレーティング・システムのカーネルにロードす
    るステップと、 前記VPN接続に対してIPデータグラムを処理するス
    テップと、 前記IPデータグラムにVPN NATを適用するステ
    ップとを備えた方法。
  2. 【請求項2】前記VPN接続がアウトバウンド処理用に
    構成されており、 前記IPデータグラムにVPN NATを適用する前記
    ステップが、アウトバウンド送信元IP NAT処理を
    含んでいる、請求項1に記載の方法。
  3. 【請求項3】前記VPN接続がインバウンド処理の組み
    合わせ用に構成されており、 前記IPデータグラムにVPN NATを適用する前記
    ステップが、インバウンド送信元IP NAT処理、ま
    たはインバウンド送信先IP NAT処理を含んでい
    る、請求項1に記載の方法。
  4. 【請求項4】さらに、NATと、人手で施錠されたIP
    Sec接続用のIPSecとを統合するために、 接続鍵を人手で構成するステップをさらに備えた、請求
    項1に記載の方法。
  5. 【請求項5】さらに、NATと、動的に施錠された(た
    とえばIKE)IPSec接続用のIPSecとを統合
    するために、 前記VPN接続を構成して、前記VPN接続用の鍵を自
    動的に取得するステップをさらに備えた、請求項1に記
    載の方法。
  6. 【請求項6】さらに、NATと、IKEが動的にネゴシ
    エーションしたIPSecセキュリティ・アソシエーシ
    ョンとを統合するために、 前記VPN接続を開始するステップが、IKEが前記N
    AT IPアドレス・プールから前記IPアドレスを取
    得するためのメッセージを生成するステップをさらに備
    え、 さらに、 IKEを操作してネゴシエーションされた鍵を動的に取
    得するステップを備えた、請求項1に記載の方法。
  7. 【請求項7】さらに、動的に取得した鍵と前記NAT
    IPアドレ・スプールとを組み合わせるステップを備
    え、 前記VPN接続用のセキュリティ・アソシエーションと
    接続フィルタとをオペレーティング・システムのカーネ
    ルにロードする前記ステップが、セキュリティ・アソシ
    エーションとしての結果を前記オペレーティング・シス
    テムのカーネルにロードする、請求項6に記載の方法。
  8. 【請求項8】IPSecベースのVPN接続とVPNポ
    リシーの、定義と構成を直接使って、NATの定義と構
    成を可能にする方法であって、 VPN NATタイプaアウトバウンド送信元IP N
    AT、VPN NATタイプcインバウンド送信元IP
    NAT、およびVPN NATタイプdインバウンド
    送信先IP NATから成る3つのタイプのVPN N
    ATの各々に対して、ポリシー・データベースにおける
    諾否判断によってVPN NATに対する要求を構成す
    るステップと、 前記VPN NATの各々に対する前記諾否判断に選択
    的に応答してリモートIPアドレス・プールすなわちサ
    ーバIPアドレス・プールを構成するステップとを備え
    た方法。
  9. 【請求項9】 さらに、 VPN接続が必要されることになる各リモートIPアド
    レス用に前記リモートIPアドレス・プールを一意に構
    成し、これにより、前記リモートIPアドレス・プール
    がリモートIDによって施錠されるステップを備えた、
    請求項8に記載の方法。
  10. 【請求項10】 さらに、 構成中のシステムに対して前記サーバIPアドレス・プ
    ールをただ1つ構成するステップを備えた、請求項8に
    記載の方法。
  11. 【請求項11】VPN NATアクティビティがオペレ
    ーティング・システムのカーネルで起きるときに、当該
    VPN NATアクティビティを利用者が追跡すること
    ができるようにする方法であって、 VPN接続の構成に応答して、ジャーナル・レコードを
    生成するステップと、 VPN接続を通じて処理された各データグラムごとに、
    新しいレコードで前記ジャーナル・レコードを更新する
    ステップと、 利用者が前記ジャーナル・レコードを管理するのを可能
    にするステップとを備えた方法。
  12. 【請求項12】VPN NATアドレス・プールがゲー
    トウエイに関連付けらるのを可能にし、それにより、サ
    ーバの負荷平衡を実現する方法であって、 構成中のシステム用にサーバNAT IPアドレス・プ
    ールを構成するステップと、 前記サーバNAT IPアドレス・プールに、グローバ
    ルにルーティング可能な特定のIPアドレスを格納する
    ステップと、 VPN接続を構成して、前記サーバNAT IPアドレ
    ス・プールを使用するステップと、 前記サーバNAT IPアドレス・プール中のアドレス
    の数に応じて、並行するVPN接続の総量を管理するス
    テップとを備えた方法。
  13. 【請求項13】NATアドレスの使用可能性に基づい
    て、システム当りのVPN接続の総数を制御する方法で
    あって、 IPアドレスの共通集合でリモートIPアドレス・プー
    ルの総量を構成するステップであって、前記IPアドレ
    スが、範囲として、単一のアドレスのリストとして、ま
    たは、複数の範囲と単一のアドレスとの任意の組み合わ
    せとして構成されているステップと、 前記リモートIPアドレス・プールの総量にわたって構
    成された前記IPアドレスの数に応じて、並行してアク
    ティブなVPN接続が成功裏に開始するのを制限するス
    テップとを備えた方法。
  14. 【請求項14】選択したICPMデータグラムに対して
    ネットワーク・アドレス変換を実行する方法であって、 ICMPタイプのパケットから選択したタイプを検出す
    るステップと、 前記選択したタイプに応じて、ICPMデータを含む全
    データグラムに対してネットワーク・アドレス変換を実
    行するステップとを備えた方法。
  15. 【請求項15】選択したFTPデータグラムに対してネ
    ットワーク・アドレス変換を実行する方法であって、 FTP PORTコマンドまたはPASV FTPコマ
    ンドの出現を検出するステップと、 前記FTP PORTコマンドまたはPASV FTP
    コマンドに応答して、FTPデータおよびヘッダーに対
    してネットワーク・アドレス変換を実行するステップと
    を備えた方法。
  16. 【請求項16】NATとIPSec処理とを統合するI
    PSecに基づいて、VPNを操作するシステムであっ
    て、 NAT IPアドレス・プールを構成する手段と、 VPN接続を構成して、前記NAT IPアドレス・プ
    ールを使用する手段と、 前記NAT IPアドレス・プールから特定のIPアド
    レスを取得し、その特定のIPアドレスを前記VPN接
    続に割り当てる手段と、 前記VPN接続を開始する手段と、 前記VPN接続用のセキュリティ・アソシエーションお
    よび接続フィルタをオペレーティング・システムのカー
    ネルにロードする手段と、 前記VPN接続に対してIPデータグラムを処理する手
    段と、 前記IPデータグラムにVPN NATを適用する手段
    と備えたシステム。
  17. 【請求項17】IPSecベースのVPN接続とVPN
    ポリシーの、定義と構成を直接使って、NATの定義と
    構成を可能にするシステムであって、 VPN NATタイプaアウトバウンド送信元IP N
    AT、VPN NATタイプcインバウンド送信元IP
    NAT、およびVPN NATタイプdインバウンド
    送信先IP NATから成る3つのタイプのVPN N
    ATの各々に対する諾否判断によってVPN NATに
    対する要求を構成するポリシー・データベースと、 前記VPN NATの各々に対する前記諾否判断に応答
    して選択的に構成されたリモートIPアドレス・プール
    すなわちサーバIPアドレス・プールとを備えたシステ
    ム。
  18. 【請求項18】VPN NATアドレス・プールがゲー
    トウエイに関連付けらるのを可能にし、それにより、サ
    ーバの負荷平衡を実現するシステムであって、 範囲として、単一のアドレスのリストとして、または、
    複数の範囲と単一のアドレスとの任意の組み合わせとし
    て構成された複数のアドレスを含むように、構成中の所
    定のシステム用に構成されたサーバNAT IPアドレ
    ス・プールと、 グローバルにルーティング可能な特定のIPアドレスを
    格納する前記サーバNAT IPアドレス・プールと、 前記サーバNAT IPアドレス・プールを使用するよ
    うに構成されたVPN接続と、 前記サーバNAT IPアドレス・プール中のアドレス
    の数に応じて、並行するVPN接続の総量を管理する接
    続コントローラとを備えたシステム。
  19. 【請求項19】NATとIPSec処理とを統合するI
    PSecに基づいて、VPNを操作する方法であって、 NAT IPアドレス・プールを構成するステップと、 VPN接続を構成して、前記NAT IPアドレス・プ
    ールを使用するステップと、 前記NAT IPアドレス・プールから特定のIPアド
    レスを取得し、その特定のIPアドレスを前記VPN接
    続に割り当てるステップと、 前記VPN接続を開始するステップと、 前記VPN接続用のセキュリティ・アソシエーションお
    よび接続フィルタをオペレーティング・システムのカー
    ネルにロードするステップと、 前記VPN接続に対してIPデータグラムを処理するス
    テップと、 前記IPデータグラムにVPN NATを適用するステ
    ップとを備えた方法を実行する、機械実行可能な命令か
    ら成るプログラムを有形的に記録した機械読み取り可能
    なプログラム記憶装置。
  20. 【請求項20】自身の中にNATとIPSec処理とを
    統合するIPSecに基づいて、VPNを操作するコン
    ピュータ読み取り可能なプログラム・コード手段を記録
    したコンピュータ使用可能な媒体を備えた製品であっ
    て、 前記製品中のコンピュータ読み取り可能なプログラム・
    コード手段が、 NAT IPアドレス・プールを構成するようにコンピ
    ュータに働きかけるコンピュータ読み取り可能なプログ
    ラム・コード手段と、 VPN接続を構成して、前記NAT IPアドレス・プ
    ールを使用するようにコンピュータに働きかけるコンピ
    ュータ読み取り可能なプログラム・コード手段と、 前記NAT IPアドレス・プールから特定のIPアド
    レスを取得し、その特定のIPアドレスを前記VPN接
    続に割り当てるようにコンピュータに働きかけるコンピ
    ュータ読み取り可能なプログラム・コード手段と、 前記VPN接続を開始するようにコンピュータに働きか
    けるコンピュータ読み取り可能なプログラム・コード手
    段と、 前記VPN接続用のセキュリティ・アソシエーションお
    よび接続フィルタをオペレーティング・システムのカー
    ネルにロードするようにコンピュータに働きかけるコン
    ピュータ読み取り可能なプログラム・コード手段と、 前記VPN接続に対してIPデータグラムを処理するよ
    うにコンピュータに働きかけるコンピュータ読み取り可
    能なプログラム・コード手段と、 前記IPデータグラムにVPN NATを適用するよう
    にコンピュータに働きかけるコンピュータ読み取り可能
    なプログラム・コード手段とを備えた製品。
  21. 【請求項21】ネットワーク・アドレス変換(NAT)
    を使って仮想私設網(VPN)にIPセキュリティ(I
    PSec)を実現する方法であって、 動的にNAT規則を生成し、それらと人手でまたは動的
    に生成した(IKE)セキュリティ・アソシエーション
    とを関連付けるステップと、その後、 前記セキュリティ・アソシエーションを使うIPSec
    を開始するステップと、次いで、 アウトバウンド・データグラムおよびインバウンド・デ
    ータグラムに対してIPSecを実行するときに、VP
    N NATタイプaアウトバウンド送信元IPNAT、
    VPN NATタイプcインバウンド送信元IP NA
    T、およびVPN NATタイプdインバウンド送信先
    IP NATのうちの少なくとも1つを選択的に実行す
    るステップとを備えた方法。
  22. 【請求項22】前記NAT IPアドレス・プールが、
    範囲として、単一のアドレスのリストとして、または、
    複数の範囲と単一のアドレスとの任意の組み合わせとし
    て構成された複数のアドレスを含んでいる、請求項1に
    記載の方法。
JP2001142733A 2000-05-23 2001-05-14 Vpn接続のセキュリティ Expired - Fee Related JP3636095B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/578,215 US7107614B1 (en) 1999-01-29 2000-05-23 System and method for network address translation integration with IP security
US09/578215 2000-05-23

Publications (2)

Publication Number Publication Date
JP2002026988A true JP2002026988A (ja) 2002-01-25
JP3636095B2 JP3636095B2 (ja) 2005-04-06

Family

ID=24311900

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001142733A Expired - Fee Related JP3636095B2 (ja) 2000-05-23 2001-05-14 Vpn接続のセキュリティ

Country Status (2)

Country Link
JP (1) JP3636095B2 (ja)
GB (1) GB2367222B (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8141126B2 (en) 2007-01-24 2012-03-20 International Business Machines Corporation Selective IPsec security association recovery

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6047325A (en) * 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
EP1159815B1 (en) * 1999-03-17 2005-11-23 3Com Corporation Method and system for distributed network address translation with network security features
US6957346B1 (en) * 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US7058973B1 (en) * 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses

Also Published As

Publication number Publication date
GB2367222B (en) 2004-01-14
GB0112414D0 (en) 2001-07-11
JP3636095B2 (ja) 2005-04-06
GB2367222A (en) 2002-03-27

Similar Documents

Publication Publication Date Title
US7107614B1 (en) System and method for network address translation integration with IP security
US6832322B1 (en) System and method for network address translation integration with IP security
US7751391B2 (en) Virtual private network and tunnel gateway with multiple overlapping, remote subnets
JP4482601B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
JP4766574B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US6978308B2 (en) System and method for nesting virtual private networking connections with coincident endpoints
EP2254311B1 (en) Maintaining address translations for data communications
US7698388B2 (en) Secure access to remote resources over a network
US8194673B2 (en) Policy based network address translation
JP3364905B2 (ja) 接続フィルタの動的配置方法およびシステム
EP1775903A2 (en) A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor
Shieh et al. Network address translators: effects on security protocols and applications in the TCP/IP stack
JP3636095B2 (ja) Vpn接続のセキュリティ
Cisco Policy Management
CN112751816B (zh) 一种隧道建立方法、装置、设备及计算机可读存储介质
CN112751946B (zh) 一种隧道建立方法、装置、设备及计算机可读存储介质
WO2006096875A1 (en) Smart tunneling to resources in a remote network
CN114584528A (zh) 一种隧道建立方法、装置及设备

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040113

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20040121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20040121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040406

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040518

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040805

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20041214

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20041214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20041227

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080114

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090114

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090114

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100114

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100114

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110114

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110114

Year of fee payment: 6

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110114

Year of fee payment: 6

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110114

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110114

Year of fee payment: 6

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120114

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130114

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees