JP2002237814A - 仮想私設網 - Google Patents

仮想私設網

Info

Publication number
JP2002237814A
JP2002237814A JP2001372873A JP2001372873A JP2002237814A JP 2002237814 A JP2002237814 A JP 2002237814A JP 2001372873 A JP2001372873 A JP 2001372873A JP 2001372873 A JP2001372873 A JP 2001372873A JP 2002237814 A JP2002237814 A JP 2002237814A
Authority
JP
Japan
Prior art keywords
network
database
private network
terminal
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001372873A
Other languages
English (en)
Other versions
JP3344421B2 (ja
Inventor
Yoshinori Fujimoto
芳宣 藤本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2001372873A priority Critical patent/JP3344421B2/ja
Publication of JP2002237814A publication Critical patent/JP2002237814A/ja
Application granted granted Critical
Publication of JP3344421B2 publication Critical patent/JP3344421B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 複数のデータ通信インフラにアクセス可能で
新たに取得した送信元IPアドレスを用いたIPカプセ
ル暗号化通信機能を持った端末を用いて両通信端点間で
暗号化通信を実現し、いつどこからでもデータベースに
アクセスできるようにする。 【解決手段】 アクセスしたいデータベース120が私
設網に設置されている場合、公衆網と、公衆網と私設網
を接続する契約プロバイダ300と、データベース12
0が設置されている私設網と、公衆網にアクセスするI
Pカプセル暗号化機能を持つユーザ端末10とを使用す
る。ユーザ端末10は、外出先で公衆網200経由で契
約プロバイダ300に接続し、契約プロバイダよりIP
アドレスを取得し、契約プロバイダ300が、端末要求
に基き、私設網100にアクセスし、私設網100が端
末10のアクセスを認証し、端末10が通信を暗号化
し、公衆網200及び契約プロバイダ300経由でIP
カプセル化通信を行う。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、仮想私設網(VP
N;バーチャルプライベートネットワーク)に関し、特
に、電子メールアクセスなどのように、インターネット
などを介してユーザが外部からデータベースへアクセス
する仮想私設網に関し、運用者が異なる複数のネットワ
ークのどれからアクセスしても、両端点間で秘密を維持
してアクセスでき、また一元的に情報を管理でき、その
結果ユーザは常に最新のデータベースにいつでも、どこ
からでもアクセスできる仮想私設網(VPN)に関す
る。
【0002】
【従来の技術】モバイルユーザなど、任意の地点からネ
ットワークアクセスするユーザは、一般に、公衆網を利
用し、サービス事業者すなわち契約プロバイダが提供す
るネットワークにアクセスしている。これらのモバイル
ユーザは公衆網を利用したアクセス手段以外に、自社内
LAN等の私設網にアクセスし業務データベースを使用
している。それぞれのネットワーク環境はそれぞれが独
立して運用されているため、任意のネットワークから一
つのデータベースに容易に且つ秘匿性を維持してアクセ
スすることができない。たとえば、電子メールにおいて
は、ユーザはモバイル環境に適合するよう契約プロバイ
ダの自分のアカウント宛て事前に転送などの処置を施
し、利用している。自社内ファイルサーバにあるファイ
ルを外出先で使用する場合、移動時に使用するパーソナ
ルコンピュータ(PC)に事前にコピーしておくか、メ
ールに添付し前記アカウント宛て事前に送付しておく
か、あらかじめFTP(インターネットのファイル転送
プロトコル)サイトに所要ファイルを張りつけ、外出先
でSOCKS接続(代理接続又はプロキシ接続)しダウ
ンロードするかしている。しかし、秘匿や保安上の問題
でアップロードには相当な制限があった。
【0003】更に、契約プロバイダが提供するIPカプ
セル通信によるVPNサービスでは、契約プロバイダの
アクセスポイントと契約プロバイダ内のVPNアクセス
サーバ間ではカプセル通信が行われている。しかし、端
末と契約プロバイダのアクセスポイント間は、一般に公
衆網を経由しており、カプセル化が行われておらず、公
衆網上でデータベースのIPアドレスやホームIPアド
レスは暗号化されず、秘匿及び保安上問題があった。
【0004】又、データベースにアクセスできるIPア
ドレスを契約プロバイダが管理することになり、データ
ベースが契約プロバイダの管理外に設置されている場合
などは、管理するIPアドレス数の制限などから、アク
セス数を制限せざるを得ない。又、アクセスできる契約
プロバイダが特定されるため、ユーザにとって不便であ
った。
【0005】又、契約プロバイダ内のVPNアクセスサ
ーバとデータベースのアクセスを管理するアクセスサー
バ間もIPカプセル通信は行われておらず、この間を専
用線等で物理的に外部から遮断する必要がある。
【0006】一方、通信オペレータが提供するVPNサ
ービスでは、通信端末に固有のアドレスを設定した上
で、ターゲットとするネットワークのアクセス可否を決
定する識別子を通信網内で予め割り当てておいて、この
識別子と端末アドレス等でターゲットのネットワークへ
のアクセスの認証を行うものがある。この場合、通信網
においてターゲットネットワークへのアクセス認証が行
われるため、この通信網以外の通信網ではアクセスでき
ず、この通信網に依存し又この通信網でしか機能しない
端末が必要となり、ユーザの自由度が低い。又、通信網
上での暗号化は通信オペレータに依存することとなる一
方で、その通信網とターゲットネットワーク間の通信は
通常のIP通信となり、契約プロバイダが提供するリモ
ートVPNサービスと同様に、この部分の秘匿性に問題
がある。更に、ターゲットネットワークにアクセスでき
るIPアドレスあるいはこれと関連付けできる端末アド
レスを予め端末に設定したり識別子を予め割り当ててお
くため、通信オペレータがこれらアドレスをターゲット
ネットワークの運用者から払い出しを受け管理しなけれ
ばならない。その結果、アドレス数の制限からアクセス
者数を制限せざるを得なくなる。
【0007】
【発明が解決しようとする課題】従来のメール転送等の
ファイル転送技術では転送元から転送先への一方向の転
送に過ぎず、事前の操作ゆえそれ以降の変更が反映され
ておらず、従って一つのデータベースでの一元管理とは
なっていない。
【0008】また、公衆網を経由してVPNサービスを
受ける場合、従来の方法では、両端点間でデータベース
のIPアドレス及びデータベースにアクセスできるIP
アドレスを含めたIPパケット信号が暗号化されておら
ず秘匿性に問題がある。更に、通信網上でデータ部分の
秘匿性をある程度保つためには契約プロバイダ或いは通
信網事業者による通信網上で特殊な制御手順が必要とな
るため、ユーザがその場その場で自由に契約プロバイダ
や通信網を選択することはできない。更に、暗号化方式
や暗号キーは契約プロバイダあるいは通信網事業者が採
用するものに限られるため、データベース管理者が暗号
化方式や暗号キーを独自に設定することもできない。
【0009】そこで、本発明は、モバイルユーザが、公
衆網等を使って外出先にある契約プロバイダのアクセス
ポイントを利用して、公衆網や契約プロバイダが提供す
る通信網に特別な秘匿システムを用いなくても、秘匿
性、安全性を保ったまま、社内などに置かれている、ユ
ーザがアクセスしたいデータベースにアクセスできる、
複数のデータ通信インフラに比較的高速にアクセス可能
なIPカプセル通信及び暗号化の機能を持った端末をも
とにしたVPNサービスを提供することを目的としてい
る。
【0010】
【課題を解決するための手段】上記の課題を解決するた
めの本発明の仮想私設網は、相互に接続されている複数
の独立したネットワークと、前記ネットワークにアクセ
スでき、新たに取得した送信元IPアドレスを用いたI
Pカプセル通信及び暗号化機能を持つ端末と、前記ネッ
トワークのいずれかに接続されたデータベースと、前記
データベースへのアクセスを管理制御しIPカプセル通
信及び暗号化機能を持つアクセスサーバとを備え、前記
端末がいずれのネットワークからでも前記データベース
にIPカプセル暗号化通信により秘匿性を保ったままア
クセスするようにしている。
【0011】具体的には、本発明の仮想私設網(VP
N)は、複数の相互に接続された独立したネットワーク
が私設網と公衆網により構成され、アクセスしたいデー
タベースが私設網に設置されている場合であって、公衆
網と、公衆網と当該私設網を接続する契約プロバイダ
と、データベースが設置されている私設網と、公衆網に
アクセスするIPカプセル暗号通信機能を持つユーザ端
末とを有する。
【0012】また、本発明のVPNは、複数の相互に接
続された独立したネットワークが私設網と公衆網により
構成され、私設網に設置されているアクセスしたいデー
タベースと同一内容のものが公衆網に接続している契約
プロバイダ側にも準備されている場合であって、公衆網
と、データベースが設置されている契約プロバイダと、
データベースが設置されている私設網と、公衆網にアク
セスするIPカプセル暗号通信機能を持つユーザ端末と
を有する。
【0013】また、本発明のVPNは、公衆網に接続し
ている契約プロバイダがデータベースが設置されている
私設網の通信、管理など運用の委託を受けて運用または
サービスの提供を行っている場合であって、公衆網と、
データベースの運用管理を行う契約プロバイダと、公衆
網にアクセスするIPカプセル暗号通信機能を持つユー
ザ端末とを有する。
【0014】又、本発明のVPNは、ユーザ端末が家庭
内LAN等を含むアクセスしたいデータベースが設置さ
れていない私設網に接続し、インターネット網経由アク
セスしたいデータベースが設置されているターゲットネ
ットワークに接続する場合であって、私設網と、アクセ
スしたいデータベースが設置されているターゲットネッ
トワークと、IPカプセル暗号通信機能を持つユーザ端
末と私設網とターゲットネットワークを結ぶインターネ
ット網を有する。
【0015】又、本発明のVPNに使用されるユーザ端
末は、複数のネットワークに接続されることを前提とし
ているため、接続の優先順位の設定をする手段を有して
もよい。その優先順位は、(1)有線LAN接続、
(2)無線LAN接続、(3)公衆網接続の順位であ
る。さらに公衆網に接続する場合においては、ユーザ端
末に設定する位置情報たとえば、ユーザ端末の位置での
電話番号のエリアコード、あるいは公衆網側のサービス
として位置情報が得られる場合においては、その情報を
基にして、あらかじめユーザ端末に設定しておいた位置
情報ともっとも安くアクセスできるアクセスポイントの
ダイアル番号あるいはアドレスを関連つけたテーブルを
基に、もっとも安くアクセスできるアクセスポイントに
接続する手段を有してもよい。
【0016】
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態について説明する。
【0017】[第1の実施形態]図1は、第1の実施形
態の仮想私設網(VPN)のブロック図である。このV
PNは、私設網100と、公衆網200と、私設網10
0と公衆網200の接続の仲立を行う契約プロバイダ3
00と、私設網100に直接アクセスできる環境でも使
用でき、外出先では公衆網200に接続するユーザ端末
10と、を含んでいる。
【0018】ユーザ端末10はラップトップコンピュー
タ等の可搬性ある情報処理装置と、公衆網200とイン
ターフェイスできるネットワークカード11から構成さ
れている。ユーザ端末10は公衆網200にアクセスす
る機能及び、IPカプセル暗号通信機能を備えている。
【0019】ユーザ端末10は私設網100に直接アク
セスできる環境では私設網100に優先的にアクセス
し、私設網100に直接アクセスできない環境では公衆
網200にアクセスする機能を有する。この機能は実装
されるネットワークカード11の機能制限あるいは実装
の有無を基にした判断機能をユーザ端末10に組込むこ
とによって、あるいはネットワーク接続における接続の
優先順位付けの機能をユーザ端末10に組込むことによ
っておこなわれる。その優先順位は、最優先を有線LA
N接続とし、次に無線LAN接続、最下位として公衆移
動通信、公衆回線などの公衆網接続とする。
【0020】私設網100は、アクセスしようとするデ
ータベース120と、データベース120を管理運用す
るワークステーション・サーバ等の情報処理装置、ユー
ザ端末へのアクセス装置、及び外部との接続の管理、制
御及び、必要なら外部とIPカプセル暗号化通信を行う
機能を備えるアクセスサーバ130を含んでいる。又私
設網100は、契約プロバイダ300とインターネット
通信する機能を備えている。
【0021】公衆網200は携帯電話や無線LANなど
の無線通信を含む通信網であって、契約プロバイダ30
0とユーザ端末10間のインターネット通信を提供する
機能を備える。
【0022】契約プロバイダ300はユーザ端末10の
ユーザなどの加入者により使用され、ワークステーショ
ン・サーバ等の情報処理装置によって構成される。この
契約プロバイダ300は、公衆網200経由でユーザ端
末10と通信する機能、私設網100とインターネット
通信する機能、及びユーザ端末10と私設網100との
間のインターネット通信の中継をする機能を備える。
【0023】図2は、第1の実施形態の仮想私設網(V
PN)の動作を説明するためのシーケンス図である。こ
のシーケンス図には、ユーザ端末10を用いて外部から
データベース120にアクセスできるように事前に必要
なID等を設定する手順が示されている。
【0024】まず、ステップS1において、ユーザ端末
10はあらかじめ設定された接続優先順位に従って私設
網100に接続を試みる。通常、接続には有線LAN接
続か無線LAN接続が用いられているためこれらの優先
順位を高く設定しておけば、ユーザ端末10は私設網1
00に直接接続できる環境下にある場合、このどちらか
で私設網100に直接接続されることが優先的に行われ
る。ユーザ端末10は、私設網100の管理者の許可を
得て、ユーザ端末10が外部からアクセスする際の認証
のためのパラメータの設定を要求する。ユーザ端末が規
定にあった端末であればステップ2に移行し、規定にあ
った端末でなければ動作を中断する。
【0025】図3に示すように、アクセスサーバ130
に関するパラメータは、例えば、ユーザID、ユーザパ
スワード、ユーザの接続開始ID、ホームIPアドレ
ス、初期の暗号キー等である。又、ユーザ端末10又は
ネットワークカード11に関するパラメータは、例え
ば、ユーザの接続開始ID、ホームIPアドレス、初期
の暗号キー等である。
【0026】次に、ステップS2において、アクセスサ
ーバ130のためにユーザID及びユーザパスワードを
生成する。ユーザID及びユーザパスワードをユーザ及
びアクセスサーバ130に送る。
【0027】次に、ステップS3において、アクセスサ
ーバ130、ユーザ端末10又はネットワークカード1
1がユーザを初期認識するためのユーザの接続開始ID
を生成する。
【0028】次に、ステップS4において、事前にデー
タベース120にアクセスできるホームIPアドレスが
設定できる場合、アクセスサーバ130、ユーザ端末1
0又はネットワークカード11のために、そのIPアド
レスをパラメータとして生成する。
【0029】次に、ステップS5において、アクセスサ
ーバ130、ユーザ端末10又はネットワークカード1
1のために、暗号キーを生成する。
【0030】次に、ステップS6において、アクセスサ
ーバ130はユーザデータテーブルを作成する。
【0031】尚、図2において、ステップS3、S4、
S5はネットワークカード11に対して実行されている
が、ユーザ端末10に対して実行してもよい。又、ネッ
トワークカード11をユーザ端末10に設定時に実装で
きない場合は、ユーザ端末10に対してステップS3か
らS5を実行して、その後に、ネットワークカード11
にパラメータをオフライン設定してもよい。
【0032】図4は、ユーザ端末が私設網に直接アクセ
スできない場合のVPNの動作を説明するためのシーケ
ンス図である。
【0033】先ず、ステップA1において、ユーザはユ
ーザ端末10を使用して公衆網200を介してプロバイ
ダ300にアクセスする。ユーザ端末10が公衆網20
0に接続する際、あらかじめユーザ端末10に接続の優
先順位を設定しておけば、公衆網200が有線LAN接
続、無線LAN接続、移動通信網接続など複数を具備し
ている場合においても、ユーザ端末は優先順位に従い接
続を試みるため、ユーザが望まない接続をユーザが廃棄
することによってユーザがもっとも望む接続を高速接続
順に選択できるようになる。
【0034】また、あらかじめユーザ端末10の位置と
そこからもっとも安くアクセスできるプロバイダ300
のアクセスポイントのダイアル番号あるいはアクセスポ
イントのアドレスを関連つけたテーブルをユーザ端末1
0に設定しておけば、接続の際、これを用いることによ
って、もっとも安くアクセスできるアクセスポイントに
接続する手段を有することになる。たとえば、ユーザ端
末の位置情報として電話のエリアコードを用いれば、そ
れをユーザ端末10に入力するだけでもっとも安くアク
セスできるアクセスポイントに接続することができる。
公衆網200から位置情報が得られる場合においては、
これを位置情報として利用することによりもっとも安く
アクセスできるアクセスポイントに自動的に接続する手
段を有することになる。
【0035】次に、ステップA2において、契約プロバ
イダ300はユーザ端末10の通常の認証を行なった
後、契約プロバイダ300が管理するリモートIPアド
レスPPPをユーザ端末10のネットワークカード11
に送る。ユーザ端末10はこのリモートIPアドレスP
PPをネットワークアドレスとして使用する。
【0036】次に、ステップA3において、ユーザ端末
10は契約プロバイダ300経由で私設網100のアク
セスサーバ130に対し認証要求を行う。そのために、
ユーザ端末10は、ユーザの接続開始IDをデータとす
るパケットを、アクセスサーバ130に送付する。
【0037】以下、図5を参照して上記認証要求後の認
証手順について説明する。
【0038】まず、ステップA31において、アクセス
サーバ130は、乱数を生成し、公衆網200を介して
ユーザ端末10に送る。
【0039】次に、ステップA32において、ユーザ端
末10は、送られてきた乱数とユーザパスワードで演算
を行う。
【0040】次に、ステップA33において、その演算
結果にユーザIDを付加し、それを暗号キーで暗号化し
て、公衆網200を介してアクセスサーバ130に送
る。
【0041】一方、ステップA34において、アクセス
サーバ130は、接続開始IDを手がかりにパラメータ
設定時に作成したユーザデータテーブルからユーザパス
ワードを読み出し、そのユーザパスワードと上述した乱
数とでユーザ端末10と同じ演算を行う。
【0042】次に、ステップA35において、ユーザ端
末10から送られてきた演算結果及びユーザIDを復号
化したものを、アクセスサーバ130による演算結果及
びユーザデータテーブル中のユーザIDと比較する。
【0043】次に、ステップA36において、比較の結
果、両者が合致した場合には、認証成功として、リモー
トIPアドレスからユーザデータテーブルを参照する参
照テーブルを作成する。一方、演算結果又はユーザID
のいずれかが不一致の場合は、認証失敗として、呼を切
断する。
【0044】尚、接続開始ID及び暗号キーは、定期的
又はユーザ端末認証の度に更新してもよい。
【0045】再び図4を参照して、認証手続終了後の処
理について説明する。
【0046】図5に示した認証手続後のステップA4に
おいて、アクセスサーバ130は認証を行った後、ユー
ザ端末10が私設網100内でデータベース120にア
クセスできるよう、私設網100の内部で使用され、デ
ータベース120にアクセスできるIPアドレス(IP
1)を、ユーザ端末10の内部IPアドレスとして暗号
キーで暗号化した上で、ユーザ端末10に送る。ユーザ
端末10は、これを復号化して内部IPアドレスとして
設定する。
【0047】尚、事前にユーザ端末10の内部IPアド
レスが、私設網100の内部で使われデータベース12
0にアクセスできるIPアドレスにステップS4あるい
は手動等で設定されている場合には、ステップA4を省
略することができるため、秘匿性はさらに向上する。
【0048】次に、ステップA5において、この内部I
Pアドレスに基づいて、私設網100とユーザ端末10
間でIPカプセル化によるIP通信を行う。
【0049】以下、図6を参照して、IPカプセル通信
について説明する。
【0050】まず、ユーザ端末10のユーザソフトウエ
アでは内部IPアドレス即ちホームIPアドレスIP1
からデータベース120のIPアドレスIP2宛てのI
Pパケットデータを作成する。そして、ユーザ端末10
或いはこれに実装されているネットワークカード11
は、これを暗号化する。そして、更に、ネットワークI
PアドレスすなわちリモートIPアドレスPPPからア
クセスサーバ130のIPアドレスIP0に宛てるヘッ
ダを付加することによってIPパケットデータをカプセ
ル化する。
【0051】このカプセル化IPパケットは、契約プロ
バイダ300を経由し、宛先IP0であるアクセスサー
バ130に届けられる。
【0052】アクセスサーバ130では、認証後作成し
た参照テーブルを参照して、リモートIPアドレスPP
Pに基づいてユーザデータテーブル中の暗号キーを取り
出し、カプセルを外した後、復号化する。これによっ
て、このパケットがIP1からIP2に宛てられたパケ
ットデータであることが確認される。そこで、アクセス
サーバ130は、社内網を介して、復号化したパケット
をデータベース120に転送する。
【0053】一方、復号化したIPアドレスが設定され
たアドレスと異なる場合、或いは、復号化したデータに
含まれるチェックサム値やパリティチェック値が正規の
値で無い場合には、なりすまし又は改竄があったものと
してパケットを廃棄し、必要なら強制終了する。
【0054】データベース120からユーザ端末10へ
の通信は前記と逆の動作で可能である。すなわち、デー
タベース120はIP2からIP1へのIPパケットを
作成し私設網100に流す。
【0055】アクセスサーバ130はIP1が現在私設
網100の外にあることを認識している故、IPパケッ
トをピックアップし暗号化した後IP0からPPP宛て
のIPヘッダでカプセル化し契約プロバイダ300に送
付する。
【0056】契約プロバイダ300はIPアドレスがP
PPであるユーザ端末10のネットワークカード11に
送付する。ユーザ端末10またはネットワークカード1
1はカプセルをはずし復号化したのちユーザソフトウエ
アに渡す。
【0057】以上、図6を参照して、IPカプセル通信
について説明した。
【0058】再び、図4を参照して、ステップA5のI
Pカプセル通信に続く、通信終了ステップとなるステッ
プA6について説明する。
【0059】図4のステップA6においては、ユーザ端
末10或いはアクセスサーバ130から切断要求が出さ
れると、アクセスサーバ130は通信ログを更新し、参
照テーブルを消去し、通信を終了する。
【0060】以上のように、第1の実施形態において
は、ユーザがどこにいても私設網に設置されたデータベ
ースに安全にアクセスできるようになり、データベース
を一元的に管理、運用できる。ユーザに取っても、アク
セスするデータベースがいつも最新のものに更新されて
いるという利点もある。また、私設網100とユーザ端
末10の両端点間でIPカプセル化が行われ、私設網1
00の内部IPアドレスを含むカプセル内が暗号化され
ており、公衆網や一般のインターネットプロバイダ経由
でも、秘匿性は確保されている。さらに、両端点間の通
信パケットは、公衆網、契約プロバイダにとっては一般
のIPパッケトとして扱えるため、公衆網、契約プロバ
イダ内ではこの通信の為の特殊な装置やソフトウエアを
必要としない。
【0061】[第2の実施形態]図7は、本発明の第2
の実施の形態のVPNのブロック図である。私設網10
0に設置されているデータベース120と同じ情報のデ
ータベース320が契約プロバイダ300内に設置され
ている。公衆網200に接続するユーザ端末10は、こ
のデータベース320にアクセスする点で第1の実施形
態と異なる。私設網100内にあるデータベース120
と、データベース320の間では定期的、あるいは必要
に応じて情報の同期を取っておく。
【0062】契約プロバイダ300内には第1の実施の
形態で私設網100内にあったアクセスサーバ130と
同様の機能を持つアクセスサーバ330が設置されデー
タベース320への外部からのアクセス管理と制御を行
う。これら以外は、第1の実施の形態と同じである。
【0063】図8は、第2の実施形態のVPNの動作を
説明するためのシーケンス図である。ユーザ端末10を
用いて外部からデータベース320にアクセスできるよ
う、事前に必要なID等を設定するステップにおいて
は、ユーザデータテーブルがアクセスサーバ330に追
加作成される点でのみ第1の実施形態と異なる。それ以
外の初期設定は第1の実施形態と同じである。
【0064】まず、ステップB1において、ユーザがユ
ーザ端末10を用いて公衆網200経由で契約プロバイ
ダ300にアクセスする。
【0065】次に、ステップB2において、契約プロバ
イダ300はIPアドレスPPPをユーザ端末10に送
る。
【0066】このように、ステップB1、B2は第1の
実施形態と同じである。
【0067】次に、ステップB3において、ユーザ端末
10は、アクセスサーバ330に対して認証要求を行
う。認証プロセスの詳細は、第1の実施形態と同じであ
る。
【0068】次に、ステップB4において、アクセスサ
ーバ330が認証を行った後、必要に応じ、ホームIP
アドレスIP1をユーザ端末10の内部IPアドレスと
して暗号キーで暗号化した上で、ユーザ端末10に送
る。ユーザ端末10はそれを復号化して、自己の内部I
Pアドレスとして設定する。但し、例えば、アクセスサ
ーバ330が管理するIPアドレスをユーザ端末10に
事前に払い出し、接続前に固定的に設定される方式を採
用していれば、ステップB4を省略することができて、
秘匿性は更に向上する。
【0069】次に、ステップB5において、アクセスサ
ーバ330とユーザ端末10との間でIPカプセル暗号
化通信が行われる。
【0070】次に、ステップB6において、私設網10
0のデータベース120から契約プロバイダ300のデ
ータベース320に、最新のデータあるいはファイルが
ダウンロードされる。このダウンロードは、ユーザがそ
れを使用する直前までに行われるか、ユーザの要求によ
って行われる。
【0071】又、ステップB7において、データベース
320からデータベース120に、ユーザが変更、追
加、削除等を行ったデータあるいはファイルがアップロ
ードされる。このアップロードは、ユーザのアクセスが
終了した時点か、又はユーザの要求によって行われる。
【0072】次に、ステップB8において、第1の実施
形態と同様に通信が終了する。
【0073】[第3の実施形態]図9は、本発明の第3
の実施の形態のVPNのブロック図である。この実施形
態においては、契約プロバイダ300は、私設網100
の通信、管理等の運用の委託を受けている。従って、デ
ータベース320及びこれへのアクセスを行うアクセス
サーバ330が契約プロバイダ300内に設置されてい
る。
【0074】ユーザ端末10には公衆網200に接続す
るネットワークカード11が実装されている点、及びユ
ーザ端末10はデータベース320にアクセスする点
は、第2の実施形態と同じである。但し、第3の実施形
態のVPNはデータベースを一つしか持たない点で第2
の実施形態と異なる。
【0075】図10は、第3の実施形態のVPNの動作
を説明するためのシーケンス図である。契約プロバイダ
へのアクセス(ステップC1)、IPアドレスPPPの
設定(ステップC2)、接続開始IDでの認証要求(ス
テップC3)、及び内部IPアドレスIP1の設定(ス
テップC4)は、それぞれ第2の実施形態のステップB
1、B2、B3、B4と同じである。但し、事前にIP
1が割付設定される方式を採用していれば、ステップC
4を省略することができて、秘匿性は更に向上する。
【0076】又、IPカプセル通信(ステップC5)、
及び通信の終了(ステップC6)は、それぞれ第2の実
施形態のステップA5、A6と同じである。
【0077】[第4の実施形態]図11は、第4の実施
形態のVPNのブロック図である。第4の実施形態にお
いて、ユーザ端末10は、支店内のLAN等の私設網4
00に接続し、インターネット通信網600経由でター
ゲットネットワーク500上のデータベース520にア
クセスする。このように、ユーザが最初に私設網にアク
セスする点において、ユーザが最初に公衆網にアクセス
する第1から第3の実施形態とは異なる。
【0078】第4の実施形態のVPNは、ネットワーク
カード11が実装されたユーザ端末10と、ユーザ端末
10が接続する私設網400と、私設網400のゲート
ウエイ410経由で接続されるインターネット通信網6
00と、ターゲットネットワーク500内でインターネ
ット通信網600からのアクセスを管理するアクセスサ
ーバ530と、ユーザがアクセスしようとするデータベ
ース520とを含んでいる。
【0079】ユーザ端末10は、ラップトップコンピュ
ータ等の情報処理装置と、私設網400とのインターフ
ェイスとなるネットワークカード11とを含む。このユ
ーザ端末10は、私設網400と通信する機能と、IP
カプセル暗号化通信機能とを備えている。又、ユーザ端
末10はデータベース520に直接アクセスすることも
できる。
【0080】インターネット通信網600は私設網40
0のゲートウエイ410とターゲットネットワーク50
0のアクセスサーバ530と通信する機能を有する。
【0081】ターゲットネットワーク500は、データ
ベース520と、データベース520を管理運用するワ
ークステーション・サーバ等の情報処理装置と、ユーザ
端末へのアクセス装置と、外部との接続管理・制御機能
や外部とのIPカプセル化通信機能を持つアクセスサー
バ530とを含む。
【0082】図12は、第4の実施形態のVPNの動作
を説明するためのシーケンス図である。ユーザ端末10
を用いて外部からデータベース520にアクセスできる
ように事前に必要なID等を設定するステップは、第1
の実施形態の初期設定とほぼ同じである。第4の実施形
態においては必要なID等は事前にターゲットネットワ
ーク500内で設定され、ユーザデータテーブルがアク
セスサーバ530内に作成される。
【0083】まず、ステップD1において、予め私設網
にアクセス権が付与されているユーザがユーザ端末10
を使用して私設網400にアクセスを行う。
【0084】次に、ステップD2において、私設網40
0は、図示しないDHCP(dynamic host configurati
on protocol)サーバ等によって管理しているIPアド
レスIP3を、私設網内のネットワークアドレスとして
割り付ける。ただし、小規模LAN等において、私設網
内ネットワークアドレスが事前にユーザ端末に割り付け
られている場合には、このステップD2の実行は不要で
ある。
【0085】次に、ステップD3において、ユーザ端末
10は、私設網400のゲートウエイ410及びインタ
ーネット通信網600とを経由してアクセスサーバ53
0にアクセス認証要求を行う。一般に、ゲートウエイ4
10は、NAT(ネットワークアドレス変換機能)等に
よってIP3を、インターネット通信網600内で有効
なグローバルアドレスPPPに変換する。しかし、IP
3がインターネット通信網600内で有効なアドレスな
ら、そのような変換が行われなくても動作に支障はな
い。従って、接続開始IDをデータとするアクセス認証
要求IPパケットの送信元アドレスはPPP又はIP3
となっている。この送信元アドレスをリモートIPアド
レスとして認証が行われるのは第1の実施形態と同じで
ある。
【0086】次に、ステップD4において、ターゲット
ネットワーク500内で使用されるホームIPアドレス
IP1が設定される。このIP1はユーザ端末10がタ
ーゲットネットワーク500内での内部IPアドレスと
しても使用される。従って、未だ内部IPアドレスが設
定されていない場合には、ホームIPアドレスを暗号化
してユーザ端末に送付し、ユーザ端末はこれを復号化し
て内部IPアドレスとして設定する。
【0087】このようにして、ステップD5において、
IPカプセル化によるIP暗号化通信が行われる。内部
IPアドレスが設定されている限り、ゲートウエイ41
0でIP3とPPPの相互変換が行われてもIPカプセ
ル暗号化通信は可能である。
【0088】図13は、IPパケットのアドレスについ
て説明するためのシーケンス図である。ユーザ端末10
のユーザソフトウエアでは、発送元をIP1(ターゲッ
トネットワーク500内でのホームアドレス)、宛先を
IP2(データベース520のIPアドレス)とするI
Pパケットデータを作成する。
【0089】そして、ユーザ端末10或いはこれに実装
されているネットワークカード11は、このIPパケッ
トを暗号化した上で、発送元をIP3(私設網内のネッ
トワークアドレス)とするとともに、宛先をIP0(ア
クセスサーバ530のIPアドレス)とするヘッダを付
加してカプセル化し、ゲートウエイ410に送る。
【0090】そして、ゲートウエイ410はIP3を必
要ならPPP(インターネット網で使用するグローバル
アドレスであり、アクセスサーバ530がリモートIP
アドレスとして設定時作成したユーザパラメータを参照
する参照テーブルを引出す手がかりに使用する)に変換
し、IPパケットをインターネット網600経由でアク
セスサーバ530に送る。
【0091】アクセスサーバ530では、認証後作成し
た参照テーブル即ち設定パラメータの確定値の表によっ
て、リモートアドレスPPP又はIP3を持つユーザの
暗号キーを取り出し、カプセルを外し、復号化する。こ
れによって、ターゲットネットワーク500外のIP1
からIP2を持つデータベース520へのパケットであ
ることを確認し、データベース520に転送する。一
方、復号化したアドレスが正規の値でない場合、或い
は、復号化したデータに含まれるチェックサム値やパリ
ティチェック値が正規の値でない場合には、なりすまし
又は改竄があったものとしてパケットを廃棄し、必要な
ら処理を強制終了する。
【0092】第3者が私設網400或いはインターネッ
ト網600において盗聴を試みたとしても、アドレスを
含めて全データが暗号化されているから、データの秘匿
性は保たれる。本発明においては、暗号キーはユーザ端
末10及びアクセスサーバ530のみが所有している。
【0093】データベース520からユーザ端末10へ
のIPカプセル暗号化通信は、以上の手順を逆向きに行
えばよい。
【0094】最後に、ステップD6において、ユーザ端
末或いはアクセスサーバ530から切断要求が出される
と、アクセスサーバは通信ログを更新しリモートIPア
ドレスPPP又はIP3に基づいてユーザテーブルを参
照する参照テーブルを消去し通信を終了する。
【0095】以上、本発明の実施の形態について説明し
たが、ユーザ端末としては、無線アクセス手段を持つ端
末を用いることができ、その無線アクセス手段として
は、例えば、PHS(personal handyphone system)、
GPRS(general packet radio service)、EDGE
(enhanced data rates for GSM evolution)、HD
R(high data rate)、WCDMA(wide band code d
ivision multiple access)、2.4GHz帯無線LA
Nや5GHz帯無線LAN等の無線LAN、又はパーソ
ナルコンピュータや携帯電話などのモバイル機器を無線
で接続するための標準無線通信技術であるBlueto
othが挙げられ、また無線アクセス手段は、将来の移
動通信技術を用いた高速無線アクセス手段であってもよ
い。
【0096】又、ユーザ端末は、公衆網へ接続を行う場
合、位置情報に基づき最も安いアクセスポイントに接続
する手段を有してもよい。又、位置情報は基地局から送
られてくる情報に基づいて判断されてもよい。
【0097】
【発明の効果】以上説明した本発明によれば、VPNサ
ービスにおいて、両端点間で秘匿性がきわめて高い通信
を提供することができる。その理由は両端点間でIPカ
プセル化されており、カプセル内にある両者のIPアド
レスを含め独自の暗号で暗号化することが容易に行える
からである。
【0098】また本発明によれば、VPNサービスにお
いて、データベースを一元管理でき、その結果、ユーザ
はいつでも最新のデータベースにアクセスすることがで
きる。その理由はすべてのユーザがどこにいても同一の
データベースにアクセスするようにしたためである。
【0099】また本発明によれば、VPNサービスにお
いて、公衆網、契約プロバイダなど現在のインターネッ
ト通信網がそのまま利用できる。その理由はIPカプセ
ル化通信が両端点間で行われているからである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態の仮想私設網(VP
N)のブロック図である。
【図2】本発明の第1の実施の形態の動作を説明するた
めのシーケンス図である。
【図3】アクセスサーバ及びユーザ端末の設定パラメー
タの一例の表である。
【図4】ユーザ端末が私設網に直接アクセスできない場
合のVPNの動作を説明するためのシーケンス図であ
る。
【図5】認証手順について説明するためのシーケンス図
である。
【図6】IPカプセル通信について説明するためのシー
ケンス図である。
【図7】本発明の第2の実施の形態のVPNのブロック
図である。
【図8】本発明の第2の実施の形態のVPNの動作を説
明するためのシーケンス図である。
【図9】本発明の第3の実施の形態のVPNのブロック
図である。
【図10】本発明の第3の実施の形態のVPNの動作を
説明するためのシーケンス図である。
【図11】本発明の第4の実施の形態のVPNのブロッ
ク図である。
【図12】本発明の第4の実施の形態のVPNの動作を
説明するためのシーケンス図である。
【図13】IPパケットのアドレスについて説明するた
めのシーケンス図である。
【符号の説明】
10 ユーザ端末 100 私設網 120 データベース 130 アクセスサーバ 200 公衆網 300 契約プロバイダ 320 データベース 330 アクセスサーバ 400 私設網 410 ゲートウエイ 500 ターゲットネットワーク 520 データベース 530 アクセスサーバ 600 インターネット通信網

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】 相互に接続されている複数の独立したネ
    ットワークと、 前記ネットワークにアクセスでき、新たに取得した送信
    元IPアドレスを用いたIPカプセル通信及び暗号化機
    能を持つ端末と、 前記ネットワークのいずれかに接続されたデータベース
    と、 前記データベースへのアクセスを管理制御しIPカプセ
    ル通信及び暗号化機能を持つアクセスサーバとを備え、 前記端末がいずれのネットワークからでも前記データベ
    ースにIPカプセル暗号化通信により秘匿性を保ったま
    まアクセスする仮想私設網。
  2. 【請求項2】 前記端末から前記ネットワークへのアク
    セスが無線アクセス手段により行われることを特徴とす
    る請求項1記載の仮想私設網。
  3. 【請求項3】 前記端末は無線アクセス手段を含み、前
    記無線アクセス手段は、PHS、GPRS、EDGE、
    HDR、WCDMA、無線LAN、又はBluetoo
    thを用いた無線アクセス手段であることを特徴とする
    請求項1記載の仮想私設網。
  4. 【請求項4】 前記端末又は前記アクセスサーバは、前
    記端末と前記データベース間の通信を暗号化することを
    特徴とする請求項1記載の仮設私設網。
  5. 【請求項5】 前記端末は、それぞれのネットワークに
    適合する通信インターフェイスを持つネットワークカー
    ドを具備することを特徴とする請求項1記載の仮想私設
    網。
  6. 【請求項6】 前記ネットワークカードがIPカプセル
    通信機能を持つことを特徴とする請求項5記載の仮想私
    設網。
  7. 【請求項7】 前記端末は、前記データベースを所有す
    る前記ネットワークに直接アクセスするインターフェイ
    スの使用を優先する制御手段を有することを特徴とする
    請求項1記載の仮想私設網。
  8. 【請求項8】 前記複数の独立したネットワークが私設
    網と公衆網により構成され、前記データベースが前記私
    設網に設置されており、 前記端末が前記公衆網へ接続されて、前記データベース
    へアクセスする場合に、前記端末のアクセス認証の上、
    前記端末と前記私設網のアクセスサーバ間が接続され、 前記アクセスサーバは前記端末のアクセス認証が行われ
    た後、IPカプセル通信により前記データベースにアク
    セスさせることを特徴とする請求項1記載の仮想私設
    網。
  9. 【請求項9】 前記端末は、前記公衆網へ接続を行う場
    合、前記端末の位置情報に基づき最も安いアクセスポイ
    ントに接続する手段を有することを特徴とする請求項8
    記載の仮想私設網。
  10. 【請求項10】 前記位置情報は、基地局から送られて
    くる情報に基づいて判断されることを特徴とする請求項
    9記載の仮想私設網。
  11. 【請求項11】 前記複数の独立したネットワークが私
    設網と公衆網により構成され、前記データベースが前記
    私設網に設置され、前記データベースと同じ情報のデー
    タベースを前記公衆網の通信運用事業者または、接続さ
    れるサービス事業者が持ち、 前記端末が前記公衆網へ接続し、前記通信運用事業者ま
    たは接続されるサービス事業者が持つ前記データベース
    へアクセスを要求する場合に、前記通信運用事業者また
    は前記サービス事業者が持つ前記データベースにアクセ
    ス認証の上、IPカプセル通信によりアクセスさせると
    ともに、前記通信運用事業者または前記サービス事業者
    が持つ前記データベースと前記私設網のデータベースと
    の間で情報の同期が取られることを特徴とする請求項1
    記載の仮想私設網。
  12. 【請求項12】 前記端末は、前記公衆網へ接続を行う
    場合、前記端末の位置情報に基づき最も安いアクセスポ
    イントに接続する手段を有することを特徴とする請求項
    11記載の仮想私設網。
  13. 【請求項13】 前記位置情報が、基地局から送られて
    くる情報に基づいて判断されることを特徴とする請求項
    12記載の仮想私設網。
  14. 【請求項14】 前記複数の独立したネットワークが私
    設網と公衆網により構成され、前記データベースが前記
    私設網に設置され、前記公衆網の通信運用事業者また
    は、接続されるサービス事業者が前記私設網のデータ通
    信、管理の運用又は、私設網サービスあるいはデータベ
    ースサービスの提供を行っており、 前記端末が前記公衆網へ接続し、前記データベースへア
    クセスを要求する場合に、 前記端末を前記データベースにアクセス認証の上、IP
    カプセル通信によりアクセスさせることを特徴とする請
    求項1記載の仮想私設網。
  15. 【請求項15】 前記端末は、前記公衆網へ接続を行う
    場合、前記端末の位置情報に基づき最も安いアクセスポ
    イントに接続する手段を有することを特徴とする請求項
    14記載の仮想私設網。
  16. 【請求項16】 前記位置情報が、基地局から送られて
    くる情報に基づいて判断されることを特徴とする請求項
    15記載の仮想私設網。
  17. 【請求項17】 前記端末が前記データベースにアクセ
    スするために前記データベースを持たない私設網を経由
    してアクセスする場合に、 アクセスしたいデータベースが設置されているターゲッ
    トネットワークのアクセスサーバは前記端末のアクセス
    認証の上、前記データベースにIPカプセル通信により
    アクセスさせることを特徴とする請求項1記載の仮想私
    設網。
JP2001372873A 2000-12-06 2001-12-06 仮想私設網 Expired - Fee Related JP3344421B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001372873A JP3344421B2 (ja) 2000-12-06 2001-12-06 仮想私設網

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000-371841 2000-12-06
JP2000371841 2000-12-06
JP2001372873A JP3344421B2 (ja) 2000-12-06 2001-12-06 仮想私設網

Publications (2)

Publication Number Publication Date
JP2002237814A true JP2002237814A (ja) 2002-08-23
JP3344421B2 JP3344421B2 (ja) 2002-11-11

Family

ID=26605355

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001372873A Expired - Fee Related JP3344421B2 (ja) 2000-12-06 2001-12-06 仮想私設網

Country Status (1)

Country Link
JP (1) JP3344421B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007281919A (ja) * 2006-04-07 2007-10-25 Shinshu Univ アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP2007281917A (ja) * 2006-04-07 2007-10-25 Shinshu Univ アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP2007281918A (ja) * 2006-04-07 2007-10-25 Shinshu Univ アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP2009049897A (ja) * 2007-08-22 2009-03-05 Hitachi Kokusai Electric Inc 無線端末用アダプタ
JP2012010395A (ja) * 2003-11-08 2012-01-12 Ericsson Ab 呼設定システム、方法およびコールエージェント装置
JP2013528328A (ja) * 2010-05-13 2013-07-08 リサーチ イン モーション リミテッド アクセスネットワークに接続するためのネットワーク能力の要求を認証するための方法および装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012010395A (ja) * 2003-11-08 2012-01-12 Ericsson Ab 呼設定システム、方法およびコールエージェント装置
US10484435B2 (en) 2003-11-08 2019-11-19 Telefonaktiebolaget Lm Ericsson (Publ) Call set-up systems
JP2007281919A (ja) * 2006-04-07 2007-10-25 Shinshu Univ アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP2007281917A (ja) * 2006-04-07 2007-10-25 Shinshu Univ アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP2007281918A (ja) * 2006-04-07 2007-10-25 Shinshu Univ アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP2009049897A (ja) * 2007-08-22 2009-03-05 Hitachi Kokusai Electric Inc 無線端末用アダプタ
JP2013528328A (ja) * 2010-05-13 2013-07-08 リサーチ イン モーション リミテッド アクセスネットワークに接続するためのネットワーク能力の要求を認証するための方法および装置

Also Published As

Publication number Publication date
JP3344421B2 (ja) 2002-11-11

Similar Documents

Publication Publication Date Title
KR100565157B1 (ko) 가상 사설망
US11659385B2 (en) Method and system for peer-to-peer enforcement
US8139515B2 (en) Device and method of managing data communications of a device in a network via a split tunnel mode connection
US7680878B2 (en) Apparatus, method and computer software products for controlling a home terminal
JP3951757B2 (ja) 信頼されないアクセス局を介した通信方法
JP4237754B2 (ja) パーソナルリモートファイヤウォール
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
US7542455B2 (en) Unlicensed mobile access (UMA) communications using decentralized security gateway
US8428264B2 (en) Method and system for wireless connecting a mobile device to a service provider through a hosting wireless access node
US20030171112A1 (en) Generic wlan architecture
CN1478232A (zh) 用于安全网络移动性的系统和方法
US9185092B2 (en) Confidential communication method using VPN, system thereof, program thereof, and recording medium for the program
CN100517291C (zh) Ip流的按需会话提供
JP2009100064A (ja) 無線lanの通信方法及び通信システム
CN114143788A (zh) 一种基于msisdn实现5g专网认证控制的方法和系统
JP3344421B2 (ja) 仮想私設網
JP4003634B2 (ja) 情報処理装置
JP3490411B2 (ja) ルータ装置およびアドレス変換テーブル更新方法
CN100469073C (zh) 短程无线网络环境中允许安全网络访问的方法
KR20030050550A (ko) 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법
JP2011166375A (ja) アクセス制御設定装置、アクセス制御設定方法、アクセス制御設定プログラム、アクセス制御設定システム、及びアクセス制御装置
KR20060107439A (ko) 엠피쓰리 다운로드 서비스를 위한 블루투스 엑세스 포인트장치
JP2011234062A (ja) 通信システム

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070830

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080830

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080830

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090830

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090830

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100830

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110830

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110830

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120830

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130830

Year of fee payment: 11

LAPS Cancellation because of no payment of annual fees