JP2002094508A - Method and system for managing connection in inter- private-network communication - Google Patents
Method and system for managing connection in inter- private-network communicationInfo
- Publication number
- JP2002094508A JP2002094508A JP2000278550A JP2000278550A JP2002094508A JP 2002094508 A JP2002094508 A JP 2002094508A JP 2000278550 A JP2000278550 A JP 2000278550A JP 2000278550 A JP2000278550 A JP 2000278550A JP 2002094508 A JP2002094508 A JP 2002094508A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- management system
- virtual private
- network
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、仮想プライベート
ネットワーク間の通信における接続管理方法及びその装
置に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a connection management method and apparatus for communication between virtual private networks.
【0002】[0002]
【従来の技術】論理的に独立した仮想プライベートネッ
トワーク(以下、VPNと称す。)間で安全な通信を行
う場合、それぞれのVPNにパケットフィルタリング機
能やアドレス変換機能等を有するファイアウォールを設
置し、それぞれのVPNの利用規定に即した管理・運用
を行う必要がある。2. Description of the Related Art When secure communication is performed between logically independent virtual private networks (hereinafter, referred to as VPNs), firewalls having a packet filtering function, an address conversion function, and the like are installed in each VPN, and each of them is installed. It is necessary to perform management and operation in accordance with the VPN usage rules.
【0003】通信事業者が運営する広域パケット通信網
上に構築され、運用されるVPN間の接続を通信事業者
がサービスとして実施する場合、経済性の観点から、V
PN間毎にファイアウォールを配置するのでなく、複数
のVPN間通信のパケットフィルタリングやアドレス変
換を集中的に行う仮想プライベートネットワーク間接続
装置(VPN間接続装置)を用いて管理・運用を行って
いる。[0003] When a communication carrier implements a connection between VPNs constructed and operated on a wide-area packet communication network operated by the communication carrier as a service, from the viewpoint of economy, V
Instead of arranging a firewall for each PN, management and operation are performed using a virtual private network connection device (inter-VPN connection device) that centrally performs packet filtering and address conversion of a plurality of inter-VPN communications.
【0004】[0004]
【発明が解決しようとする課題】ここで、VPN間の通
信を開設したり、その設定を変更しようとする場合、従
来は、それぞれの仮想プライベートネットワーク管理者
(VPN管理者)がVPN間通信の利用規定をオフライ
ンで調整し、その内容を通信事業者側のサービス受付担
当にサービスオーダとして提出しなければならず、ま
た、通信事業者側ではサービスオーダの内容について契
約に対する妥当性や他のVPNへのセキュリティ侵害の
有無に関して審議し、その後、オペレータがVPN間接
続装置のパケットフィルタリングやアドレス変換等に関
する設定情報に変換し、VPN間接続装置に対して直接
設定しなければならなかった。Here, in the case where communication between VPNs is to be established or its setting is to be changed, conventionally, each virtual private network administrator (VPN administrator) has to perform communication between VPNs. The usage rules must be adjusted off-line, and the contents must be submitted to the service receptionist on the telecommunications carrier side as a service order. It is necessary to discuss whether there is a security infringement on the VPN connection device, and then to convert the setting information to the setting information regarding packet filtering, address conversion and the like of the VPN connection device, and to directly set the setting information for the VPN connection device.
【0005】本発明の目的は、上述の課題を鑑み、従
来、通信事業者に依頼して行っていたVPN間の接続設
定をVPN管理者が、自己のファイアウォールと同様に
管理・制御可能とすることにある。SUMMARY OF THE INVENTION In view of the above problems, an object of the present invention is to enable a VPN administrator to manage and control the connection setting between VPNs, which has conventionally been performed by requesting a telecommunications carrier, similarly to its own firewall. It is in.
【0006】[0006]
【課題を解決するための手段】本発明では、前記課題を
解決するため、通信事業者が運営する広域パケット通信
網上に構築され、運用される論理的に独立した仮想プラ
イベートネットワーク間の通信を、パケットフィルタリ
ング機能やアドレス変換機能等を有し、広域パケット通
信網のセキュリティ管理システムにより管理される仮想
プライベートネットワーク間接続装置を介して行う仮想
プライベートネットワーク間通信における接続管理方法
において、仮想プライベートネットワークを管理する管
理者が該仮想プライベートネットワークに属するユーザ
網を管理するユーザ網管理システムに対して設定した仮
想プライベートネットワーク間通信の開設や設定変更の
ためのパケットフィルタリングやアドレス変換等に関す
る接続ルールを、該ユーザ網管理システムからセキュリ
ティ管理システムへ送り、セキュリティ管理システムで
は一のユーザ網管理システムから送られた接続ルール
を、該接続ルールにおける一の仮想プライベートネット
ワークの接続相手である他の仮想プライベートネットワ
ークに属するユーザ網を管理する他のユーザ網管理シス
テムから送られた接続ルールと照合し、一致する接続ル
ールが存在する場合、該接続ルールを仮想プライベート
ネットワーク間接続装置への設定情報に変換して配信す
るものとする。According to the present invention, in order to solve the above problems, communication between logically independent virtual private networks constructed and operated on a wide area packet communication network operated by a communication carrier is provided. A connection management method for communication between virtual private networks, which has a packet filtering function, an address conversion function, and the like, and is performed through a virtual private network connection device managed by a security management system for a wide area packet communication network. A connection rule relating to packet filtering and address translation for establishing communication between virtual private networks and changing settings set by a managing administrator for a user network management system that manages a user network belonging to the virtual private network, The connection is sent from the user network management system to the security management system. In the security management system, the connection rule sent from one user network management system belongs to another virtual private network which is a connection partner of one virtual private network in the connection rule. The connection rule is compared with the connection rule sent from another user network management system that manages the user network, and if there is a matching connection rule, the connection rule is converted into setting information for the virtual private network connection device and distributed. Shall be.
【0007】また、本発明では、前記課題を解決するた
め、通信事業者が運営する広域パケット通信網上に構築
され、運用される論理的に独立した仮想プライベートネ
ットワーク間の通信を、パケットフィルタリング機能や
アドレス変換機能等を有し、広域パケット通信網のセキ
ュリティ管理システムにより管理される仮想プライベー
トネットワーク間接続装置を介して行う仮想プライベー
トネットワーク間通信における接続管理装置において、
仮想プライベートネットワークに属するユーザ網を管理
し、該仮想プライベートネットワークを管理する管理者
が設定した仮想プライベートネットワーク間通信の開設
や設定変更のためのパケットフィルタリングやアドレス
変換等に関する接続ルールをセキュリティ管理システム
へ送るユーザ網管理システムと、一のユーザ網管理シス
テムから送られた接続ルールを、該接続ルールにおける
一の仮想プライベートネットワークの接続相手である他
の仮想プライベートネットワークに属するユーザ網を管
理する他のユーザ網管理システムから送られた接続ルー
ルと照合し、一致する接続ルールが存在する場合、該接
続ルールを仮想プライベートネットワーク間接続装置へ
の設定情報に変換して配信するセキュリティ管理システ
ムとを備えるものとする。According to the present invention, in order to solve the above problems, communication between logically independent virtual private networks constructed and operated on a wide area packet communication network operated by a communication carrier is performed by a packet filtering function. A connection management device in the communication between virtual private networks, which is performed through the virtual private network connection device managed by the security management system of the wide area packet communication network.
Manages the user network belonging to the virtual private network, and sends to the security management system connection rules regarding packet filtering and address translation for establishing communication between virtual private networks and changing settings, which are set by the administrator managing the virtual private network. A user network management system that sends a connection rule sent from one user network management system to another user who manages a user network belonging to another virtual private network that is a connection partner of one virtual private network in the connection rule A security management system that checks the connection rules sent from the network management system and, if there is a matching connection rule, converts the connection rule into setting information for the virtual private network connection device and distributes the information. To.
【0008】また、前記接続管理装置において、セキュ
リティ管理システムは、ユーザ網管理システムからの接
続ルールを受信するユーザ網管理システム通信部と、接
続ルールを管理する接続ルール管理部と、異なる仮想プ
ライベートネットワークからの接続ルールを照合し、接
続の可否を判定する接続ルール判定部と、接続ルールが
一致した場合、仮想プライベートネットワーク間接続装
置への設定情報を自動生成して配信する仮想プライベー
トネットワーク間接続装置制御部とを有することを特徴
とする。In the connection management device, the security management system includes a user network management system communication unit that receives a connection rule from the user network management system, a connection rule management unit that manages the connection rule, and a different virtual private network. A connection rule judging unit that collates connection rules from the server and determines whether connection is possible, and a virtual private network connection device that automatically generates and distributes setting information to the virtual private network connection device when the connection rules match. And a control unit.
【0009】また、前記接続管理装置において、セキュ
リティ管理システムの接続ルール管理部は、ユーザ網管
理システムからのパケットのヘッダ及び接続ルールから
該ユーザ網管理システムが管理している仮想プライベー
トネットワークを識別し、それを基にユーザ網管理シス
テムからの接続ルールを仮想プライベートネットワーク
毎に論理的に独立したテーブルとして登録・管理し、仮
想プライベートネットワーク間接続装置を仮想プライベ
ートネットワーク管理者に対し、自己が管理する仮想フ
ァイアウォールとしてそのテーブルを操作可能なデータ
管理方式を有することを特徴とする。In the connection management device, the connection rule management unit of the security management system identifies a virtual private network managed by the user network management system from a header and a connection rule of a packet from the user network management system. Based on this, the connection rules from the user network management system are registered and managed as a logically independent table for each virtual private network, and the virtual private network connection device is managed by the virtual private network administrator himself. It is characterized by having a data management system capable of operating the table as a virtual firewall.
【0010】また、前記接続管理装置において、セキュ
リティ管理システムのユーザ網管理システム通信部、接
続ルール管理部及び接続ルール判定部は、ユーザ網管理
システムから接続ルールを受信した際、そのテーブル中
のアドレス情報から接続相手の仮想プライベートネット
ワークの接続ルールを検索し、登録状況をユーザ網管理
システムに送信する機能を有することを特徴とする。[0010] In the connection management device, the user network management system communication unit, the connection rule management unit, and the connection rule determination unit of the security management system, when receiving the connection rule from the user network management system, store the address in the table. It has a function of retrieving a connection rule of a virtual private network of a connection partner from information and transmitting a registration status to a user network management system.
【0011】また、前記接続管理装置において、ユーザ
網管理システムは、仮想ファイアウォールに対して仮想
プライベートネットワーク管理者が設定した接続ルール
をセキュリティ管理システムに送信し、セキュリティ管
理システムからの接続相手の仮想プライベートネットワ
ークの接続ルールの登録状況を受信するセキュリティ管
理システム制御部と、仮想プライベートネットワーク管
理者に対し接続相手の仮想プライベートネットワークの
接続ルールの登録状況を通知する管理者通信部とを有す
ることを特徴とする。In the connection management device, the user network management system sends a connection rule set by the virtual private network administrator to the virtual firewall to the security management system, and the virtual private network of the connection partner from the security management system. A security management system control unit that receives the registration status of the network connection rule; and an administrator communication unit that notifies the virtual private network administrator of the registration status of the connection rule of the virtual private network to be connected to. I do.
【0012】[0012]
【発明の実施の形態】以下、図面を用いて本発明を詳細
に説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described below in detail with reference to the drawings.
【0013】図1は本発明の実施の形態の一例を示すも
ので、ここでは装置間の接続関係及び制御手順を含むシ
ステム全体の構成を示している。FIG. 1 shows an example of an embodiment of the present invention, and here shows the configuration of the entire system including a connection relationship between devices and a control procedure.
【0014】図1において、1は通信事業者が運営する
広域パケット通信網、2A,2Bは広域パケット通信網
1上に構築され、運用される仮想プライベートネットワ
ーク、3A−1,3A−2は仮想プライベートネットワ
ーク2Aに属するユーザ網、3B−1,3B−2は仮想
プライベートネットワーク2Bに属するユーザ網、4は
仮想プライベートネットワーク間の通信を実現する仮想
プライベートネットワーク(VPN)間接続装置、5は
仮想プライベートネットワーク間接続装置4を管理する
セキュリティ管理システムである。In FIG. 1, reference numeral 1 denotes a wide area packet communication network operated by a communication carrier; 2A and 2B, virtual private networks constructed and operated on the wide area packet communication network 1; 3A-1, 3A-2; A user network belonging to the private network 2A, 3B-1 and 3B-2 are user networks belonging to the virtual private network 2B, 4 is a virtual private network (VPN) connection device for realizing communication between virtual private networks, and 5 is a virtual private network. This is a security management system that manages the network connection device 4.
【0015】ユーザ網3A−1は端末装置6A−1,6
A−2、パケット交換装置7A及びユーザ網管理システ
ム8Aを含み、また、ユーザ網3B−1は端末装置6B
−1,6B−2、パケット交換装置7B及びユーザ網管
理システム8Bを含んでいる(なお、ユーザ網3A−
2,3B−2についても同様であるが、ここでは省略し
た。)。The user network 3A-1 is connected to the terminal devices 6A-1,6
A-2, a packet switching device 7A and a user network management system 8A, and the user network 3B-1 is a terminal device 6B.
-1, 6B-2, the packet switching device 7B and the user network management system 8B (the user network 3A-
The same applies to 2, 3B-2, but is omitted here. ).
【0016】端末装置6A−1,6A−2は同じユーザ
網内のパケット交換装置7Aを経由して広域パケット通
信網1と接続し、また、端末装置6B−1,6B−2は
同じユーザ網内のパケット交換装置7Bを経由して広域
パケット通信網1と接続している。The terminal devices 6A-1 and 6A-2 are connected to the wide area packet communication network 1 via a packet switching device 7A in the same user network, and the terminal devices 6B-1 and 6B-2 are connected to the same user network. It is connected to the wide area packet communication network 1 via the packet switching device 7B inside.
【0017】セキュリティ管理システム5は網管理用ネ
ットワーク9を経由して広域パケット網1に接続してい
る。また、セキュリティ管理システム5はユーザ網管理
システム8A,8Bとの間に通信経路を備えている。The security management system 5 is connected to the wide area packet network 1 via a network 9 for network management. The security management system 5 has a communication path with the user network management systems 8A and 8B.
【0018】各仮想プライベートネットワーク2A,2
Bにはそれぞれ少なくとも一人の管理者が存在し、統一
的な運用指針に基づいて仮想プライベートネットワーク
を管理しており、これらの管理者は端末装置6A−1,
6A−2,6B−1,6B−2を用いて、自己が管理す
るユーザ網管理システム8A,8Bとの間で双方向の情
報をやり取りする。Each virtual private network 2A, 2
B has at least one manager, and manages the virtual private network based on the unified operation guideline. These managers are the terminal devices 6A-1,
Using 6A-2, 6B-1, 6B-2, bidirectional information is exchanged with the user network management systems 8A, 8B managed by itself.
【0019】図2はセキュリティ管理システム5の詳細
を示すもので、ユーザ網管理システムからの接続ルール
を受信するユーザ網管理システム通信部51と、接続ル
ールを管理する接続ルール管理部52と、異なる仮想プ
ライベートネットワークからの接続ルールを照合し、接
続の可否を判定する接続ルール判定部53と、接続ルー
ルが一致した場合、仮想プライベートネットワーク間接
続装置への設定情報を自動生成して配信する仮想プライ
ベートネットワーク間接続装置制御部54とを有してい
る。FIG. 2 shows details of the security management system 5, which is different from a user network management system communication unit 51 for receiving connection rules from the user network management system and a connection rule management unit 52 for managing connection rules. A connection rule judging unit 53 that collates connection rules from the virtual private network and determines whether connection is possible. If the connection rules match, the virtual private network that automatically generates and distributes setting information to the virtual private network connection device. And a network connection device control unit 54.
【0020】なお、接続ルール管理部52は、ユーザ網
管理システムからのパケットのヘッダ及び接続ルールか
ら該ユーザ網管理システムが管理している仮想プライベ
ートネットワークを識別し、それを基にユーザ網管理シ
ステムからの接続ルールを仮想プライベートネットワー
ク毎に論理的に独立したテーブルとして登録・管理し、
仮想プライベートネットワーク間接続装置を仮想プライ
ベートネットワーク管理者に対し、自己が管理する仮想
ファイアウォールとしてそのテーブルを操作可能なデー
タ管理方式を有している。The connection rule management unit 52 identifies the virtual private network managed by the user network management system from the header of the packet from the user network management system and the connection rules, and based on the identification, the user network management system. Register and manage connection rules from as a logically independent table for each virtual private network,
The virtual private network connection device has a data management method capable of operating its table as a virtual firewall managed by the virtual private network administrator.
【0021】図3はユーザ網管理システムの詳細を示す
もので、仮想プライベートネットワーク管理者から設定
される接続ルール等の情報を受け付け、また、仮想プラ
イベートネットワーク管理者に対し接続相手の仮想プラ
イベートネットワークの接続ルールの登録状況を通知す
る管理者通信部81と、仮想プライベートネットワーク
管理者から設定されたデータを登録するユーザ網データ
管理部82と、ユーザ網内の各装置を制御するユーザ網
内装置制御部83とを有している。また、ユーザ網内装
置制御部83は仮想プライベートネットワーク管理者が
設定した接続ルールをセキュリティ管理システムに送信
し、セキュリティ管理システムからの接続相手の仮想プ
ライベートネットワークの接続ルールの登録状況を受信
するセキュリティ管理システム制御部84を備えてい
る。FIG. 3 shows the details of the user network management system, which receives information such as connection rules set by the virtual private network administrator, and informs the virtual private network administrator of the virtual private network to be connected to. An administrator communication unit 81 for notifying the registration status of the connection rule, a user network data management unit 82 for registering data set by the virtual private network administrator, and a device control in a user network for controlling each device in the user network. And a portion 83. In addition, the security management system transmits the connection rule set by the virtual private network administrator to the security management system, and receives the registration status of the connection rule of the connection partner virtual private network from the security management system. A system control unit 84 is provided.
【0022】ここで、仮想プライベートネットワーク2
A,2Bは論理的に独立しており、仮想プライベートネ
ットワーク間接続装置4に両者間の接続設定は行われて
おらず、両者間の通信は不可能な状態であるとする。Here, the virtual private network 2
It is assumed that A and 2B are logically independent, the connection setting between the two is not made in the virtual private network connection device 4, and communication between the two is impossible.
【0023】今、仮想プライベートネットワーク2Aの
管理者が、管理下にある端末装置6A−2と、仮想プラ
イベートネットワーク2B内の端末装置6B−2との間
の通信の開設を希望しているものとする。Now, it is assumed that the administrator of the virtual private network 2A desires to open communication between the terminal device 6A-2 under management and the terminal device 6B-2 in the virtual private network 2B. I do.
【0024】この場合、仮想プライベートネットワーク
2Aの管理者は、仮想プライベートネットワーク2A内
のある端末装置6A−1からユーザ網管理システム8A
に対し、端末装置6A−2と端末装置6B−2との間の
通信に関する接続ルールの設定を行う(イ)。In this case, the administrator of the virtual private network 2A transmits a user network management system 8A from a certain terminal device 6A-1 in the virtual private network 2A.
Then, a connection rule for communication between the terminal devices 6A-2 and 6B-2 is set (a).
【0025】この際、端末装置6A−1からユーザ管理
システム8Aに対して通知されるパケットフィルタリン
グに関する接続ルールのテーブルの一例を図4に、ま
た、アドレス変換に関する接続ルールのテーブルの一例
を図5に示す。At this time, FIG. 4 shows an example of a connection rule table relating to packet filtering notified from the terminal device 6A-1 to the user management system 8A, and FIG. 5 shows an example of a connection rule table relating to address translation. Shown in
【0026】ユーザ網管理システム8Aは管理者通信部
81でこれを受け付け、ユーザ網データ管理部82にお
いてデータの登録を行った後、セキュリティ管理システ
ム制御部84においてセキュリティ管理システム5のア
ドレス情報を取得し、接続ルールをセキュリティ管理シ
ステム5に転送する(ロ)。The user network management system 8A accepts this in the administrator communication unit 81, registers the data in the user network data management unit 82, and acquires the address information of the security management system 5 in the security management system control unit 84. Then, the connection rule is transferred to the security management system 5 (b).
【0027】セキュリティ管理システム5はユーザ網管
理システム通信部(の受信部)51でこの接続ルールを
受け取り、この接続ルールのパケットフィルタリングテ
ーブルの送信元/送信先アドレスとアドレス変換テーブ
ルから、これが仮想プライベートネットワーク2Aと2
Bとの通信であることを認識し、接続ルール判定部53
において、接続ルール管理部52に登録されている、仮
想プライベートネットワーク2Bの管理者がこれまでに
設定した接続ルールのテーブル群を検索する(ハ)。The security management system 5 receives this connection rule at the user network management system communication unit (reception unit) 51 and, based on the source / destination address and the address conversion table of the packet filtering table of the connection rule, determines the virtual private Network 2A and 2
Recognizing that the communication is with B, the connection rule determining unit 53
In the step (c), a table group of connection rules set by the administrator of the virtual private network 2B registered so far in the connection rule management unit 52 is searched.
【0028】検索した結果、端末装置6A−2と端末装
置6B−2との通信を許可する接続ルールが存在しない
場合は、ユーザ網管理システム8Aに、接続相手の仮想
プライベートネットワークには当該する接続ルールは登
録されていない旨がユーザ網管理システム通信部(の送
信部)51から通知され、ユーザ網管理システム8Aは
セキュリティ管理システム制御部84でこれを受信し、
管理者が利用している端末装置6A−1へ管理者通信部
81から転送する。As a result of the search, if there is no connection rule permitting communication between the terminal device 6A-2 and the terminal device 6B-2, the user network management system 8A establishes the corresponding connection with the virtual private network of the connection partner. The user network management system communication unit (transmission unit) 51 notifies that the rule has not been registered, and the user network management system 8A receives this at the security management system control unit 84.
The information is transferred from the administrator communication unit 81 to the terminal device 6A-1 used by the administrator.
【0029】ユーザ網管理システム8Aから登録された
接続ルールは、実効性のない仮登録の接続ルールのフラ
グが立てられ、接続ルール管理部52に登録される。The connection rules registered from the user network management system 8A are flagged as ineffective temporary registration connection rules and registered in the connection rule management unit 52.
【0030】次に、仮想プライベートネットワーク2B
の管理者が、仮想プライベートネットワーク2B内のあ
る端末装置6B−1からユーザ網管理システム8Bに対
し、端末装置6A−2と端末装置6B−2との間の通信
を開設するための接続ルールをユーザ網管理システム8
Bに対し、設定したとする(ニ)。Next, the virtual private network 2B
Of the terminal device 6B-1 in the virtual private network 2B, from the terminal device 6B-1 to the user network management system 8B, establishes a connection rule for opening communication between the terminal device 6A-2 and the terminal device 6B-2. User network management system 8
It is assumed that B has been set (d).
【0031】ユーザ網管理システム8Bは管理者通信部
81でこれを受け付け、ユーザ網データ管理部82にお
いてデータの登録を行った後、セキュリティ管理システ
ム制御部84においてセキュリティ管理システム5のア
ドレス情報を取得し、接続ルールをセキュリティ管理シ
ステム5に送信する(ホ)。The user network management system 8B accepts this in the administrator communication unit 81, registers the data in the user network data management unit 82, and then acquires the address information of the security management system 5 in the security management system control unit 84. Then, the connection rule is transmitted to the security management system 5 (e).
【0032】セキュリティ管理システム5はユーザ網管
理システム通信部(の受信部)51でこの接続ルールを
受け取り、この接続ルールのパケットフィルタリングテ
ーブルの送信元/送信先アドレス及びアドレス変換テー
ブルから、これが仮想プライベートネットワーク2Aと
2Bとの通信であることを認識し、接続ルール判定部5
3において、接続ルール管理部52に登録されている、
仮想プライベートネットワーク2Aの管理者がこれまで
に設定した接続ルールのテーブル群を検索する(ヘ)。The security management system 5 receives this connection rule at the user network management system communication unit (reception unit) 51 and, based on the source / destination address and the address conversion table of the packet filtering table of the connection rule, determines the virtual private Recognizing that the communication is between the networks 2A and 2B, the connection rule determining unit 5
3, registered in the connection rule management unit 52,
The administrator of the virtual private network 2A searches a table group of connection rules set so far (f).
【0033】接続ルールのパケットフィルタリング情報
及びアドレス変換情報から、接続ルール判定部53にお
いて接続ルールが先に仮想プライベートネットワーク2
Aの管理者が登録した接続ルールと一致がみられた場合
(ト)、仮想プライベートネットワーク2A及び2Bの
接続ルールは、VPN間接続装置制御部54に送られ
る。VPN間接続装置制御部54において、接続ルール
は、VPN間接続装置4の設定情報に変換され、配信さ
れる(チ)。Based on the packet filtering information and the address conversion information of the connection rule, the connection rule is first determined by the connection rule determination unit 53 in the virtual private network 2.
When a match is found with the connection rule registered by the administrator of A (g), the connection rule of the virtual private networks 2A and 2B is sent to the inter-VPN connection device control unit 54. In the inter-VPN connection device control unit 54, the connection rules are converted into setting information of the inter-VPN connection device 4 and distributed (h).
【0034】VPN間接続装置4はこれを受信し、パケ
ットフィルタリングテーブル及びアドレス変換テーブル
を書き換えることで端末装置6A−2と端末装置6B−
2との間の通信が可能となる(リ)。The inter-VPN connection device 4 receives this, and rewrites the packet filtering table and the address translation table, so that the terminal devices 6A-2 and 6B-
2 can be communicated with (2).
【0035】VPN間接続装置4への設定が確認された
後、セキュリティ管理システム5から、ユーザ網管理シ
ステム8A,8Bに対し、設定完了通知が配信され
(ヌ)、ユーザ網管理システム8A,8Bはそれぞれ管
理者が使用している、端末装置6A−1,6B−1に対
し、これを送信する(ル)。After the setting in the inter-VPN connection device 4 is confirmed, a setting completion notification is delivered from the security management system 5 to the user network management systems 8A and 8B (nu), and the user network management systems 8A and 8B. Transmits this to the terminal devices 6A-1 and 6B-1 that are used by the administrator, respectively (R).
【0036】図6にセキュリティ管理システムにおける
処理の流れを、また、図7にユーザ網管理システムにお
ける処理の流れをそれぞれ示す。FIG. 6 shows the flow of processing in the security management system, and FIG. 7 shows the flow of processing in the user network management system.
【0037】[0037]
【発明の効果】以上説明したように、本発明によれば、
VPN間通信の開設を行う場合や、既に接続している通
信の設定を変更する場合、VPNの管理者がそれぞれ自
VPNから他VPNへの通信の接続ルールをセキュリテ
ィ管理システムに登録することで、通信事業者が管理す
るVPN間接続装置に対する制御が可能となる。As described above, according to the present invention,
When establishing communication between VPNs or changing the settings of already connected communication, a VPN administrator registers connection rules for communication from one's own VPN to another VPN in the security management system. It is possible to control the inter-VPN connection device managed by the communication carrier.
【0038】これにより従来、通信事業者に依頼して行
っていたVPN間の接続制御をユーザ側で行えるように
なり、VPNを利用している企業網間でのエクストラネ
ット構築運用管理を、ユーザ側で柔軟にかつ迅速に行う
ことが可能となる。また、通信事業者に対してもVPN
接続装置の設定を自動化できることからオペレータの管
理稼動が軽減される。As a result, the connection control between VPNs, which has been conventionally requested by a communication carrier, can be performed by the user, and the extranet construction operation management between the enterprise networks using the VPN can be performed by the user. This can be performed flexibly and quickly on the side. In addition, VPN for telecommunications carriers
Since the setting of the connection device can be automated, the management operation of the operator is reduced.
【図1】本発明の実施の形態の一例を示すシステム全体
の構成図FIG. 1 is a configuration diagram of an entire system showing an example of an embodiment of the present invention;
【図2】セキュリティ管理システムの詳細を示す構成図FIG. 2 is a configuration diagram showing details of a security management system.
【図3】ユーザ網管理システムの詳細を示す構成図FIG. 3 is a configuration diagram showing details of a user network management system;
【図4】パケットフィルタリングに関する接続ルールの
テーブルの一例を示す説明図FIG. 4 is an explanatory diagram showing an example of a table of connection rules relating to packet filtering.
【図5】アドレス変換に関する接続ルールのテーブルの
一例を示す説明図FIG. 5 is an explanatory diagram showing an example of a table of connection rules relating to address conversion.
【図6】セキュリティ管理システムにおける処理の流れ
を示すフローチャートFIG. 6 is a flowchart showing a flow of processing in the security management system.
【図7】ユーザ網管理システムにおける処理の流れを示
すフローチャートFIG. 7 is a flowchart showing a processing flow in the user network management system.
1:広域パケット通信網、2A,2B:仮想プライベー
トネットワーク、3A−1,3A−2,3B−1,3B
−2:ユーザ網、4:仮想プライベートネットワーク間
接続装置、5:セキュリティ管理システム、6A−1,
6A−2,6B−1,6B−2:端末装置、7A,7
B:パケット交換装置、8A,8B:ユーザ網管理シス
テム、9:網管理用ネットワーク、51:ユーザ網管理
システム通信部、52:接続ルール管理部、53:接続
ルール判定部、54:仮想プライベートネットワーク間
接続装置制御部、81:管理者通信部、82:ユーザ網
データ管理部、83:ユーザ網内装置制御部、84:セ
キュリティ管理システム制御部。1: Wide area packet communication network, 2A, 2B: Virtual private network, 3A-1, 3A-2, 3B-1, 3B
-2: user network, 4: virtual private network connection device, 5: security management system, 6A-1,
6A-2, 6B-1, 6B-2: terminal device, 7A, 7
B: packet switching device, 8A, 8B: user network management system, 9: network for network management, 51: user network management system communication unit, 52: connection rule management unit, 53: connection rule determination unit, 54: virtual private network Inter-connection device control unit, 81: administrator communication unit, 82: user network data management unit, 83: user network device control unit, 84: security management system control unit.
───────────────────────────────────────────────────── フロントページの続き (72)発明者 飯盛 可織 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5K030 GA15 HA08 HC01 KX24 LD19 MD07 5K033 AA08 CC01 DA01 DA06 DB20 EA07 ────────────────────────────────────────────────── ─── Continuing on the front page (72) Inventor Kaori Iimori 2-3-1 Otemachi, Chiyoda-ku, Tokyo F-term in Nippon Telegraph and Telephone Corporation (reference) 5K030 GA15 HA08 HC01 KX24 LD19 MD07 5K033 AA08 CC01 DA01 DA06 DB20 EA07
Claims (6)
網上に構築され、運用される論理的に独立した仮想プラ
イベートネットワーク間の通信を、パケットフィルタリ
ング機能やアドレス変換機能等を有し、広域パケット通
信網のセキュリティ管理システムにより管理される仮想
プライベートネットワーク間接続装置を介して行う仮想
プライベートネットワーク間通信における接続管理方法
において、 仮想プライベートネットワークを管理する管理者が該仮
想プライベートネットワークに属するユーザ網を管理す
るユーザ網管理システムに対して設定した仮想プライベ
ートネットワーク間通信の開設や設定変更のためのパケ
ットフィルタリングやアドレス変換等に関する接続ルー
ルを、該ユーザ網管理システムからセキュリティ管理シ
ステムへ送り、 セキュリティ管理システムでは一のユーザ網管理システ
ムから送られた接続ルールを、該接続ルールにおける一
の仮想プライベートネットワークの接続相手である他の
仮想プライベートネットワークに属するユーザ網を管理
する他のユーザ網管理システムから送られた接続ルール
と照合し、 一致する接続ルールが存在する場合、該接続ルールを仮
想プライベートネットワーク間接続装置への設定情報に
変換して配信することを特徴とする仮想プライベートネ
ットワーク間通信における接続管理方法。1. A communication between logically independent virtual private networks constructed and operated on a wide area packet communication network operated by a communication carrier and having a packet filtering function, an address conversion function, and the like. In a connection management method for communication between virtual private networks performed through a virtual private network connection device managed by a communication network security management system, an administrator managing a virtual private network manages a user network belonging to the virtual private network. From the user network management system to the security management system, the connection rules relating to packet filtering and address conversion for establishing virtual private network communication and changing the settings set for the user network management system to be performed. The security management system sends the connection rule sent from one user network management system to another user network that manages a user network belonging to another virtual private network that is a connection partner of one virtual private network in the connection rule. The method is characterized in that the connection rule is compared with the connection rule sent from the management system, and if there is a matching connection rule, the connection rule is converted into setting information for the connection device between virtual private networks and delivered. Connection management method for communication.
網上に構築され、運用される論理的に独立した仮想プラ
イベートネットワーク間の通信を、パケットフィルタリ
ング機能やアドレス変換機能等を有し、広域パケット通
信網のセキュリティ管理システムにより管理される仮想
プライベートネットワーク間接続装置を介して行う仮想
プライベートネットワーク間通信における接続管理装置
において、 仮想プライベートネットワークに属するユーザ網を管理
し、該仮想プライベートネットワークを管理する管理者
が設定した仮想プライベートネットワーク間通信の開設
や設定変更のためのパケットフィルタリングやアドレス
変換等に関する接続ルールをセキュリティ管理システム
へ送るユーザ網管理システムと、 一のユーザ網管理システムから送られた接続ルールを、
該接続ルールにおける一の仮想プライベートネットワー
クの接続相手である他の仮想プライベートネットワーク
に属するユーザ網を管理する他のユーザ網管理システム
から送られた接続ルールと照合し、一致する接続ルール
が存在する場合、該接続ルールを仮想プライベートネッ
トワーク間接続装置への設定情報に変換して配信するセ
キュリティ管理システムとを備えたことを特徴とする仮
想プライベートネットワーク間通信における接続管理装
置。2. Communication between logically independent virtual private networks constructed and operated on a wide area packet communication network operated by a communication carrier and having a packet filtering function, an address conversion function, etc. In a connection management device for communication between virtual private networks via a connection device between virtual private networks managed by a security management system for a communication network, a management for managing a user network belonging to the virtual private network and managing the virtual private network User network management system that sends connection rules regarding packet filtering and address translation for establishing communication between virtual private networks and changing the settings to the security management system, and one user network management system The sent connection rules,
When there is a matching connection rule that matches a connection rule sent from another user network management system that manages a user network belonging to another virtual private network that is a connection partner of one virtual private network in the connection rule, and matches A security management system that converts the connection rule into setting information for the virtual private network connection device and distributes the setting information to the virtual private network connection device.
ザ網管理システム通信部と、 接続ルールを管理する接続ルール管理部と、 異なる仮想プライベートネットワークからの接続ルール
を照合し、接続の可否を判定する接続ルール判定部と、 接続ルールが一致した場合、仮想プライベートネットワ
ーク間接続装置への設定情報を自動生成して配信する仮
想プライベートネットワーク間接続装置制御部とを有す
ることを特徴とする請求項2記載の仮想プライベートネ
ットワーク間通信における接続管理装置。3. A security management system comprising: a user network management system communication unit that receives a connection rule from a user network management system; a connection rule management unit that manages a connection rule; and a connection rule from a different virtual private network. A connection rule determining unit for determining whether connection is possible; and a virtual private network connection device control unit for automatically generating and distributing setting information to the virtual private network connection device when the connection rules match. 3. The connection management device according to claim 2, wherein the communication is performed between virtual private networks.
管理部は、 ユーザ網管理システムからのパケットのヘッダ及び接続
ルールから該ユーザ網管理システムが管理している仮想
プライベートネットワークを識別し、それを基にユーザ
網管理システムからの接続ルールを仮想プライベートネ
ットワーク毎に論理的に独立したテーブルとして登録・
管理し、仮想プライベートネットワーク間接続装置を仮
想プライベートネットワーク管理者に対し、自己が管理
する仮想ファイアウォールとしてそのテーブルを操作可
能なデータ管理方式を有することを特徴とする請求項3
記載の仮想プライベートネットワーク間通信における接
続管理装置。4. The connection rule management unit of the security management system identifies a virtual private network managed by the user network management system from a header of a packet from the user network management system and a connection rule, and based on the identified virtual private network, Register connection rules from the network management system as a logically independent table for each virtual private network.
4. A data management system which manages a virtual private network connection device for a virtual private network administrator and operates a table as a virtual firewall managed by the virtual private network administrator.
The connection management device in the communication between virtual private networks described in the above.
理システム通信部、接続ルール管理部及び接続ルール判
定部は、 ユーザ網管理システムから接続ルールを受信した際、そ
のテーブル中のアドレス情報から接続相手の仮想プライ
ベートネットワークの接続ルールを検索し、登録状況を
ユーザ網管理システムに送信する機能を有することを特
徴とする請求項4記載の仮想プライベートネットワーク
間通信における接続管理装置。5. The user network management system communication unit, connection rule management unit and connection rule determination unit of the security management system, when receiving a connection rule from the user network management system, use the address information in the table to create a virtual connection partner. 5. The connection management apparatus according to claim 4, further comprising a function of searching for a connection rule of the private network and transmitting a registration status to the user network management system.
ワーク管理者が設定した接続ルールをセキュリティ管理
システムに送信し、セキュリティ管理システムからの接
続相手の仮想プライベートネットワークの接続ルールの
登録状況を受信するセキュリティ管理システム制御部
と、 仮想プライベートネットワーク管理者に対し接続相手の
仮想プライベートネットワークの接続ルールの登録状況
を通知する管理者通信部とを有することを特徴とする請
求項5記載の仮想プライベートネットワーク間通信にお
ける接続管理装置のユーザ網管理システム。6. The user network management system transmits a connection rule set by the virtual private network administrator to the virtual firewall to the security management system, and registers the connection rule of the connection partner virtual private network from the security management system. 6. The security management system control unit according to claim 5, further comprising: a security management system control unit that receives the status; and an administrator communication unit that notifies a virtual private network administrator of a registration status of a connection rule of a connection partner virtual private network. A user network management system for a connection management device in communication between virtual private networks.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000278550A JP3566198B2 (en) | 2000-09-13 | 2000-09-13 | Connection management method and apparatus for communication between virtual private networks |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000278550A JP3566198B2 (en) | 2000-09-13 | 2000-09-13 | Connection management method and apparatus for communication between virtual private networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002094508A true JP2002094508A (en) | 2002-03-29 |
| JP3566198B2 JP3566198B2 (en) | 2004-09-15 |
Family
ID=18763695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000278550A Expired - Fee Related JP3566198B2 (en) | 2000-09-13 | 2000-09-13 | Connection management method and apparatus for communication between virtual private networks |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3566198B2 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004071038A1 (en) * | 2003-02-05 | 2004-08-19 | Nippon Telegraph And Telephone Corporation | Firewall device |
| CN100452790C (en) * | 2004-03-04 | 2009-01-14 | 上海交通大学 | Method for implementing virtual fire wall teaching experiment to multi-user |
| KR100950152B1 (en) | 2003-06-13 | 2010-03-30 | 주식회사 케이티 | Signaling method for O-UNI |
| JP2012157052A (en) * | 2004-04-15 | 2012-08-16 | Clearpass Networks Inc | Systems and methods for managing network |
| JP2013179494A (en) * | 2012-02-28 | 2013-09-09 | Nippon Telegr & Teleph Corp <Ntt> | Virtual network infrastructure control system and method |
| KR101425726B1 (en) * | 2012-11-08 | 2014-08-01 | 경기대학교 산학협력단 | Linked network security system and method based on virtualization in the separate network environment |
| WO2016059840A1 (en) * | 2014-10-17 | 2016-04-21 | 株式会社網屋 | Communication apparatus, method for controlling communication between different types of devices, and method for eliminating specificity of operational management |
| JP2022070804A (en) * | 2020-11-24 | 2022-05-13 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド | Method, apparatus, electronic device, storage medium and computer program for communication between private networks |
-
2000
- 2000-09-13 JP JP2000278550A patent/JP3566198B2/en not_active Expired - Fee Related
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7735129B2 (en) | 2003-02-05 | 2010-06-08 | Nippon Telegraph And Telephone Corporation | Firewall device |
| WO2004071038A1 (en) * | 2003-02-05 | 2004-08-19 | Nippon Telegraph And Telephone Corporation | Firewall device |
| KR100950152B1 (en) | 2003-06-13 | 2010-03-30 | 주식회사 케이티 | Signaling method for O-UNI |
| CN100452790C (en) * | 2004-03-04 | 2009-01-14 | 上海交通大学 | Method for implementing virtual fire wall teaching experiment to multi-user |
| JP2014143742A (en) * | 2004-04-15 | 2014-08-07 | Clearpass Networks Inc | Systems and methods for managing network |
| JP2012157052A (en) * | 2004-04-15 | 2012-08-16 | Clearpass Networks Inc | Systems and methods for managing network |
| JP2013179494A (en) * | 2012-02-28 | 2013-09-09 | Nippon Telegr & Teleph Corp <Ntt> | Virtual network infrastructure control system and method |
| KR101425726B1 (en) * | 2012-11-08 | 2014-08-01 | 경기대학교 산학협력단 | Linked network security system and method based on virtualization in the separate network environment |
| WO2016059840A1 (en) * | 2014-10-17 | 2016-04-21 | 株式会社網屋 | Communication apparatus, method for controlling communication between different types of devices, and method for eliminating specificity of operational management |
| JP2016082555A (en) * | 2014-10-17 | 2016-05-16 | 株式会社網屋 | Communication device and heterogeneous communication control method and method for eliminating expertise of operation management |
| GB2546464A (en) * | 2014-10-17 | 2017-07-19 | Amiya Co Ltd | Communication apparatus, method for controlling communication between different types of devices, |
| JP2022070804A (en) * | 2020-11-24 | 2022-05-13 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド | Method, apparatus, electronic device, storage medium and computer program for communication between private networks |
| JP7349474B2 (en) | 2020-11-24 | 2023-09-22 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド | Methods, devices, electronic devices, storage media and computer programs for communication between private networks |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3566198B2 (en) | 2004-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0302646B1 (en) | Device for establishing and controlling virtual networks | |
| US7623517B2 (en) | Multicast packet forwarding equipment | |
| JP3845086B2 (en) | Controlled multicast system and method of execution | |
| US8019850B2 (en) | Virtual private network management | |
| US7735129B2 (en) | Firewall device | |
| US6873602B1 (en) | Network system, switch, and server | |
| US6931016B1 (en) | Virtual private network management system | |
| CN110278181A (en) | A kind of instant protocol conversion technology about inter-network data exchange | |
| US7818437B2 (en) | Connection management system, connection management method, and management server | |
| JP2002094508A (en) | Method and system for managing connection in inter- private-network communication | |
| CN1203714A (en) | Agent, system and method for supervision of objects | |
| RU2292118C2 (en) | Protectability in wide-area networks | |
| JP2001036561A (en) | Tcp/ip network system | |
| CN100469054C (en) | Method and equipment in use for communication connection of redirecting network | |
| KR20080058409A (en) | Endpoint transparent independent messaging scheme system and method | |
| JP2002217973A (en) | Multicast communication system | |
| US20050195805A1 (en) | Traffic distribuiton method and traffic distribution system of IP key telephone | |
| CN115883256B (en) | Data transmission method, device and storage medium based on encryption tunnel | |
| JPH11331270A (en) | Network system | |
| KR102019210B1 (en) | Method, apparatus and computer program for managing hosts of software defined network | |
| CN1812402B (en) | Method for realizing H.323 communication data packet through fire wall | |
| JP2001326692A (en) | Interconnection unit and network system using the same | |
| JP2754490B2 (en) | Security measures in remote maintenance | |
| JP4706585B2 (en) | Multicast access control apparatus and method in IP multicast communication | |
| JPH07327044A (en) | Method for controlling power supply for inter-lan connection device and terminal equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040518 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040608 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040609 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090618 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090618 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100618 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100618 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110618 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120618 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130618 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |