JP2004533749A - ハイブリッド網 - Google Patents
ハイブリッド網 Download PDFInfo
- Publication number
- JP2004533749A JP2004533749A JP2002582529A JP2002582529A JP2004533749A JP 2004533749 A JP2004533749 A JP 2004533749A JP 2002582529 A JP2002582529 A JP 2002582529A JP 2002582529 A JP2002582529 A JP 2002582529A JP 2004533749 A JP2004533749 A JP 2004533749A
- Authority
- JP
- Japan
- Prior art keywords
- network
- security
- virtual
- traffic
- terminals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【選択図】図2
Description
【0001】
この発明はハイブリッド(hybrid)の固定−モバイル通信網に係り、とくに、ローカルエリア網(LANs)への無線アクセスに関する。
【背景技術】
【0002】
インターネットとワールド・ワイド・ウェブ(World Wide Web)との登場で、数多くの人々が現在作業する方法は、人々が必要としているデータにアクセスするために網への接続ができるとする人々の能力によって決定される。はっきりとしているのは、人々の作業が移動を含んでいるときには、その人達が正規の事務所から離れているときに、その移動が国際的なものであるか、あるいは単に工場内の別な場所とか事務所の建物内といったものであるかどうかによって最大の混乱(dislocation)をその人達が経験する。
【0003】
規格としてOSI(オープンシステム相互接続)(Open Systems Interconnect)の七層(レイヤ)基準モデルを参照することとし、とくに、データリンクレイヤ(レイヤ2)−これは例えばイーサーネットフレームである−と、ネットワークレイヤ(レイヤ3)−これは例えばIPパケットである−とを参照することとする。(レイヤ1は物理レイヤであり、例えばワイヤ/ファイバである。)
VLAN(仮想LAN)は論理的LANであって、そこでは、トポロジィ的に見て分散されているホストと網装置とが単一のブロードキャストドメインを共有している。VLANはいくつもの理由のうちのいくつかについて展開されていて、その理由にはブロードキャスト制御、セキュリティ、パフォーマンス、及び網管理の単純化が含まれている。しかしながら、スイッチされた(switched)VLANはフレキシビリティ(flexibility)と安全性を、協働するデスクトップへ提供するだけであり、それ以上のことはいない。固定と移動(fixed and mobile)のドメイン間には障害(barrier)が存在していて、両者間を簡単にロームする(roam)ことはむづかしい。
【0004】
現在、LANへ移動ユーザがアクセスできるようにする無線LAN(WLAN)システムでの大きな関心が存在している。VLANは物理的に別個なセグメントで構成されていて、このセグメントは一つの大きな網として考えられている。VLANはトランスペアレントな(transparent)データリンクレイヤコネクティビティ(OSIレイヤ2)を提供し、かつフラットIPアドレス空間の使用を前提とし、また無線LAN展開についての理想的なプラットホームにVLANを作ることになる。すべてのWLANアクセス点を同一のVLANに接続することにより、有効な網アドレスを備えた移動端末が、システムをまたいで継ぎ目なしに(seamlessly)、OSIネットワークレイヤ(レイヤ3)コネクティビティを妨害することなく、(したがってより高いレイヤ応用を妨害することなく)、ロームすることができる。網トポロジィからの論理LANの接続解除(decoupling)は、無線アクセスポイントが、網コネクティビティ要件よりもむしろ、無線カバー範囲(coverage)によって支配されたサイトの周りに任意に分散されるようにできることを意味している。
【0005】
一つの標準化された変形例は、IEEE規格番号802.11bで知られていて、とくに米国で、広く採用されるようになってきており、会社の施設内とか、空港のような公衆空間で展開されている。ホームネットワーキング装置のベンダはロウエンド(low-end)802.11bシステムを提供し始めていて、それにより被雇用者はその者のオフィスPCMCIA(パーソナル・コンピュータ・メモリ・カード国際協会)(Personal Computer Memory Card International Association)のカードでドメスティック(国内)無線網を備えたものを使用できる。WLANは一般に産業、科学、及び医用(ISM)無線帯域で2.4GHz周辺のものを用い、また商用システムは各無線アクセスポイントからの生の(raw)帯域幅で全体で11Mbit/sのものを提供する。
【0006】
現在のGPRS(ジェネラル・パケット・ラジオ・システム)(General Packet Radio System)サービスはデータリンクレイヤトンネルを使用するが、このトンネルは、移動デバイスから適当なゲートウェイに向けてデータを伝えるために下部に置かれているネットワークレイヤ網を介して構築されている。ローミングに当っては、このトンネル基盤構造(インフラストラクチャ)(infrastructure)のあるものは網内でかなりのオーバーヘッド(overhead)で再生産される必要がある。GPRSシステムは、ローミング問題に対する解を提供するが、安全性問題に対してではない。
【0007】
図1は既知のWLANトポロジの模式的な表示図である。ローカルエリア網(LAN)100は、多数の無線アクセスポイント(AP)110を備えている。図示の例示の網では、LANは交換網であり、エッジスイッチ130といくつかのコアスイッチ120とを備えている。固定端末150と無線アクセス点110とは、多数のエッジスイッチ130の一つにそれぞれ接続されていて、エッジスイッチはコアスイッチ120にすべてが接続されている。別な網(隣接しているLANもしくはインターネットのようなもの)への接続を許すために、コアスイッチ120はルータ140に接続されてよい。移動端末160は、例えばIEEE802.11bにより定義されたプロトコルのような、適当な通信プロトコルを用いて、無線アクセスポイント110の一つに無線接続する。一般に、移動端末はラップトップ計算機もしくはパーソナル・デジタル・アシスタント(PDA)であって、これが適当なモデムを組込んでいる。無線アクセスポイント110は移動端末160からの無線通信を受けて、データパケットを変換(translate)し、それによりデータパケットが固定網をまたいで送られることができるようになり、それからこのパケットが関係しているエッジスイッチ130に送られて、それにより正しい宛先に向けて送られることができるようになる。
【0008】
VLAN(仮想LAN)は論理的LANであり、そこではトポロジィ的に分散されたホストと網装置とが単一のブロードキャストドメインを共用する。VLANは物理的に別とされるセグメントを備えていて、このセグメントは一つの大きな網となるものと考えられている。VLANはトランスペアレントなOSIレイヤ2(データリンクレイヤ)コネクティビティを提供して、フラットなIPアドレス空間の使用を前提とし、これがVLANをWLAN展開用の理想的なプラットホームに作り上げる。VLANはブロードキャスト制御、安全性、パフォーマンス、網管理の単純化を含む多数の理由のうちのいくつかについて展開される。すべてのWLANアクセスポイントを同じVLANに接続することによって、有効な網アドレスを有する移動端末はシステムをまたいで継ぎ目なしでロームでき、その際にOSIレイヤ3(ネットワークレイヤ)コネクティビティを妨害することなく、(したがってより高いレイヤ適用を妨害することなく)ロームできる。網トポロジィから論理LANの接続を解くことの意味するところは、無線アクセスポイントは、網コネクティビティ要件よりもむしろ、無線カバー範囲により支配されるサイトの周辺に任意に分散されることができる。
【0009】
各VLANはルータ(router)インターフェースもしくはサブインターフェースで終端されることを必要とし、このインターフェースはそのVLANについてのアドレス範囲とサブネットゲートウェイとを定義している。VLAN間通信は、ルータがルート設定された複数アクセス網内でのIPサブネットワーキングと正確に同一のやり方となっていることを求める。この潜在的なボトルネック(bottleneck)は“良く振舞っている(well behaved)”VLANについての微かな理解(notion)を生じさせていて、この理解は、伝統的に固定網についてはVLANセグメントに対して80%のトラヒックが局所的に留まっているようなものとなっている。WLAN展開で使用されるときには、VLANの使用のための主たる動機付けは、地理的に分散された、フラットなコネクティビティについての容易さとなる。そこでのトラヒックの大規模なマジョリティ(majority)はゲートウェイを通って送られて固定された、外部の網内に流入されることになる可能性が非常に大きい。無線VLANゲートウェイの容量要件は、そこでVLANが“よく振舞っている”のではないと仮定して、大きさを決められることを要する。
【0010】
無線伝送リンク上でデータを送ることは安全性問題を生じさせるが、これは第三者にとって網への未承認のアクセスを得ようとしたり、第三者によって無線信号が受領されたりすることが可能であることによる。このことは、未承認のユーザ(“ハッカー(hacker)”のこと)が、承認されている移動端末を“スプーフする(spoof)”という機会を与えてしまい、(即ち、未承認の端末が承認されたものとして出現するようにする機会を与えてしまい)、あるいは無線伝送リンク上で送られたパケットの内容にアクセスするという試みための機会を与えてしまう。802.11b規格は有線等価のプライバシイ(Wired Equivalent Privacy)(WEP)の適宜の使用を含んでいて、WEPは予め共用した暗号キーに基づいた暗号機構となっている。しかしながらカリフォルニア大学におけるインターネット・セキュリティ・適用・認証及び暗号(Internet Security, Application, Authentication and Cryptography)(ISAAC)グループによる研究は、パケットの完全性(integrity)を確保するために使用される方法の帰結として、暗号化されたパケットにとって、第三者により再方向付けされることになることが可能であるとしている。復号化は、無線アクセスポイントを通ってパケットが固定網に入るとすぐに生ずるのであるから、このことは深刻な関心事となる。
【発明の開示】
【発明が解決しようとする課題】
【0011】
安全なVPN(仮想私設網)(Virtual Private Networks)を、いずれかの基盤構造もしくは基板構成形式の組合せ上で、構築するための能力を有するネットワークアドミニストレータに対する必要性がある。伝統的な仮想私設網製品は、VPN上のサイト間で公衆網を往来するプライベートインターネットプロトコル(IP)トラヒックをカプセル化する。カプセル化は各VPNサイトでゲートウェイによって処理され、このゲートウェイはIPルータとして各網に対して現れる。VPN内部のトラヒックフローは、各網のコアでルータ内の設定によって決められる。VPNは、複数のヘテロジニアス(heterogeneous)網上で非常に速かに設定されまた取り外されたりできるという点で、極めてフレキシブルである。
【0012】
IPSec(インターネット・セキュリティ・プロトコル)はトランスポートレイヤセキュリティプロトコルレイヤであって、インターネットプロトコル(IP)の最上部で直接的に動作している。これがIP VPN上のサイト間でトラヒックをカプセル化するための規格と急速になりつつある。現実には二つの別個のプロトコルが存在し、認証用ヘッダ(Authenticating Header)(AH)とカプセル化用セキュリティペイロード(Encapsulating Security Payload)(ESP)である。両方ともにエンドポイントとデータ認証能力を提供するが、ESPはまたデータの機密性(confidentiality)も提供する。両方のプロトコルは、通信しているエンドポイントの各対間(通信の各方向間で一つのSAがある)セキュリティアソシエーション(Security Association)(SA)を交渉することにより動作し、これが共通のセキュリティコンテキスト(アルゴリズム、キー及び状態)を確立して情報にとって安全に交換されることができるようにする。
【課題を解決するための手段】
【0013】
この発明の第一の特徴によると、共通の物理的インタフェースの端末間でのデータトラヒックを処理する方法が提供されて、該端末が複数の異なる安全性クラスに割当てられて、また低い方の安全性クラスに割当てられた端末からのトラヒックが、高い方の安全性クラスに割当てられた端末に向けて搬送されるときに、暗号化される。
【0014】
第二の特徴によると、ユーザにより生成され、異なる安全性クラスを有しているが同一の物理的基盤構造(infrastructure)上で搬送される網トラヒックの隔離(segregation)のために構成された通信網が提供され、該網は、物理的基盤構造を共用している複数の構成成分である仮想網についての接続手段であり、使用時には各構成成分である仮想網がそれぞれの安全性クラスを有している網トラヒックを搬送する1またはそれ以上の端末に接続されるように構成された接続手段と、低い安全性のユーザを支持している第一の仮想網上でのトラヒックを暗号化する暗号化手段と、構成成分である仮想網を相互に接続するゲートウエイであって、低い方の安全性クラスと関係する第一の仮想網から高い方の安全性クラスと関係する第二の仮想網に向けて通過する網トラヒックを識別する手段と、正しく暗号化されている該第一の仮想網からの網トラヒックだけが該高い安全性のユーザを支持している該第二の仮想網上を搬送されるようにできることとするアクセス手段とを有しているゲートウエイと、を具備する。
【発明の効果】
【0015】
この発明は、異なる安全性のレベルを有する網ユーザの隔離(segregation)を、同じ物理的基盤構造を用いて可能としている。低い安全性のユーザと、より高い安全性のユーザとは同じ物理的網上に載せられた異なる仮想網に接続され、ファイヤウォール能力を備えたゲートウェイが仮想網間でのアクセス用に提供されている。低い安全性ユーザを支持している仮想網上でトラヒックを暗号化し、かつファイヤウォールがこのように暗号化されたトラヒックだけが高い安全性のユーザを支持している仮想網に到達することができるようにすることによって、高い安全性網の完全性(integrity)が確保できる。また、もし若干のユーザが無線端末を有しているとすると、この仮想網構造は異なる物理的アクセスポイントをまたいだ端末の移動度(mobility)についての支持を提供する。
【0016】
この発明は、独占的なネットワーキング技術についての必要性を取除き、既存の独占的なVLANは固定された端末が提供されていない場所にまで拡張できるようにする。低い方の安全性クラスを有する網トラヒックがインターネット・セキュリティ・プロトコルを用いて暗号化されること、また安全性ゲートウェイがファイヤウォールシステムを含んでいて、それにより高い方の安全性で固定の網で備えることができるものが移動端末の存在によって妥協することがないようにすることが好ましい。
【発明を実施するための最良の形態】
【0017】
この発明の実施例を、例示の目的に限って、添付の図面を参照して記述して行く。図2は、この発明による網の模式的記述を示す。ローカルエリア網(LAN)200は、多数の無線アクセスポイント(AP)210,211,212,213を備えている。図示の例示の網では、LANは交換網であり、エッジスイッチ220,221,222,223,224を備え、これがエンドデバイス252,253,261,263を接続して不適切なVLANへのトラヒックにタグ付けし、またコアスイッチ230、235があってレイヤ2バックボーンを作っている。固定端末252,253と無線アクセスポイント210,211,212,213は各々がエッジスイッチ220,221,222,223,224の一つに接続され、また各エッジスイッチ220,221,222,223,224はコアスイッチの一つ230または235に接続されている。コアスイッチ230,235もまた相互接続されている。
【0018】
実線はエッジスイッチ220,221,222,223,224とコアスイッチ230,235との間の共通の物理的接続を示している。これらの接続は802.1qトランクとして動作し、したがってタグ付けしたトラヒックをすべてのVLANから運んでいる。このような次第で、VLAN指定が物理的なエンドユーザポート252,253,261,262毎に行なわれ、それによって、スイッチ223は網アクセスをセキュリティのないデバイス263と、セキュリティを保っているデバイス253との両方へのアクセスを与えることができ、その際にレイヤ2で絶縁(isolation)を提供している。他の網(近隣のLANとかインターネットのような網)への接続を可能とするために、コアスイッチ230の一つが内部ルータ240に接続されている。
【0019】
移動端末261,263は無線接続を無線アクセスポイント210,211,212,213に対し行ない、例えば802.11bにより定義されたプロトコルのような、適当な通信プロトコルが用いられる。VLAN間のコネクティビティはレイヤ3までの移動とルート設定の使用とを要求する。コアスイッチ235の一つは外部ルータ270に接続されていて、ルータ270はその先がファイヤウォール280の外部側に接続されている。このことが、セキュリティのないVLANデバイス261,263とファイヤウォールの外側への経路(鎖線表示)との間のルート設定を提供している。内部ルータ240はファイヤウォール280の内部側に接続されていて、セキュリティのあるVLANデバイス252,253とファイヤウォール280の内部への経路(三重線)との間のIPコネクティビティを提供する。ファイヤウォール280は、外部網205(例えばインターネットでもよい)から(例えばイントラネットである)LAN200を分ける。
【0020】
網レイヤルータコネクティビティはLANを作り上げているVLANの安全性状態を定義する。その結果、LANが安全であるとして定義し、外部網を安全でないとして定義することは可能である。LANはハイブリッド網であり、この網は固定LANと無線LANとの両方を含んでいる。WLANは多数のVLANを備えていて、その各々はコアスイッチ230,235の一つによりサービスを受けるというようにLANは構成されている。どうなっていても、移動端末261,263の各々は基地局210の一つを介して網に接続されていて、基地局はすべてが単一のVLAN235に接続されている。(あるいは、移動端末の数がすべてを単一の無線専用VLANに接続することが不可能であるとすると、移動端末は、各々が多数のこのような無線専用VLANの一つに接続されているかする。)同じように、固定端末のすべてが異なるVLAN230に接続されていて(一般にはVLAN230は複数ある)、それにより移動端末と固定端末は隔離されている。固定VLAN230はファイヤウォール280の内部に接続されていて、安全なLANを構成するが、それでも無線VLAN235はファイヤウォール280の外部側に接続されていて、それにより安全でないとみなされる。
【0021】
定義によると、固定端末252,253は固定網に接続されているとして“信頼される(trusted)”とすることができ、したがって、安全性ポイリシイであって固定VLAN230と関係しているものは、固定端末がLAN内部で利用可能なサーバと網サービスとにアクセスできるようにするとともにファイヤウォールを経て外部網205へのアクセスにもあたるようにしている。ファイヤウォール280は外部網からLANに接続されている端末とサーバに向けた未認証のアクセスを妨げている。
【0022】
同じく、安全でないとして無線VLAN235に対するアクセスを定義することが可能である。この実施例では、WEPプロトコルが、最少でも、無線通信リンクについて安全性を与えるために施行されている。安全な無線リンクはIPSec(インターネット・セキュリティ・プロトコル)“トンネル”を移動端末からファイヤウォールの外側に向けて、外部ルータ270を経由して確立することにより提供される。IPSecをWEPに優先して使用することは安全という負担を無線アクセスポイント210からファイヤウォール280へ移動する。移動端末からのすべてのパケットは関係している無線VLAN235から外部ルータに向けてスイッチされる。もし移動端末261がLANに接続されている固定サーバへの接続を試みると、(即ち、ファイヤウォール280の内部側にあるサーバへの接続を試みると)、そのときには移動端末261はファイヤウォールの外側からファイヤウォール280を通ってデータを送るための許可を得なければならない。これは適当な識別と認証プロセスにより達成される。このような認証はログオンアイデンティティとパスワードとをディジタルサーティフィケートもしくは暗号キーと組合せたものであってもよい。明らかにこの場合には、ファイヤウォール280は適切な証明機関もしくはPKI(公開キー基盤構造)(Public Key Infrastructure)サーバにアクセスして認証方法を動作可能とする。
【0023】
移動端末261,263がファイヤウォール280を通ってデータパケットを成功のうちに送ったときには、このパケットは宛先サーバと関係している固定端末VLAN230に向けてルート設定されるようにできて、それからそのVLANをまたいでそのサーバに向けてスイッチされる。ファイヤウォール280の内部側でのネットワーク230が安全であると仮定されているので、一度パケットがファイヤウォールの内側を通ったときにはIPSecを使用する必要はない。もし移動端末265が、外部網205に接続されているサーバに、あるいはVLAN235に接続された別の移動デバイスに接続することを試みるとすると、この接続は正常のIPルート設定用経路を用いて行なわれることになる。暗号化していないデータパケットを送るか、IPSecトンネルモードかIPSecトランスポートモード安全性かのいずれかを確立するか(あるいは代りの安全性メカニズムを確立するか)どうかといった判断は、ユーザと移動端末261,263についての何らかのローカルポリシィに依存することになる。データがファイヤウォール280を(外側から内側へ向って)通らない場合には、IPSecトンネルにとっては外部ルータ270との間の往来を形成することが可能で、ファイヤウォールからの安全性オーバーヘッド(overhead)を取除くことができる。
【0024】
さらに別な代りのものでは、移動端末261,263が安全な内部網200にのみアクセスできることが望まれていて、いずれかの公衆外部網205へのアクセスはないとすると、無線VLAN235は直接にファイヤウォール280に接続されなければならない。外部ルータ270は、もし提供されるとすると、ルータ240を通って、固定LANに接続された端末によってのみアクセス可能となる。
【0025】
ファイヤウォール280は専用のVPN終端ユニット、ルータもしくは他のデバイスであってIPSecトンネルモード能力を提供できるものによって置換されることができることは十分に認識されなければならない。しかしながら、もしファイヤウォール280が使用されるとすると、それが“インターネット硬化された(hardened)”となって、第三者からの攻撃に対して堅牢なものとなり、すべてのイベントについて積極的なログを提供し、ファイヤウォールを最良の“単一ボックス”解決に作るようにする。ファイヤウォールなしに、VPNゲートウェイは、外部網に向けてのインターフェース上でのファイヤウォールによって防御されなければならず、また追加のファイヤウォールか監視用デバイスをゲートウェイの内部側に必要としてよく、これによって網の使用とトラヒックのフローを監視するようにする。
【0026】
加えて、この発明によるネットワークに対して“安全でない(insecure)”固定網アクセスポイント252,253を提供することも可能である。これらのアクセスポイントは別個のVLANに隔離されることになり、完全なアクセス権利を有していない人物(例えば固定ポイント252が設置されている建物への訪問者)が、公衆ドメイン網205にアクセスしたり、安全な接続(例えばIPSecトンネルを用いて)その者自身の私設もしくは企業体網に対して戻すように確立することができるようにする。
【0027】
ある端末が固定ポート上でもしくは無線アクセスポイント210,211,212,213を経てのいずれかで網に接続されるときには、他のデバイスと通信するために有効な網アドレスを必要とする。現在のインターネットワーキング規格(すなわちIPv4網)を用いる標準網の場合には、IPアドレスは手操作で構成されるか、あるいはDHCP(ダイナミックホストコントロールプロトコル)を用いて自動的に提供される。次世代IPv6網は、私設に対抗するものとして、調べた(scoped)アドレス範囲を持つように計画されていて、さらにまたアドレス自動構成能力を含んでいる。無線VLANについては、DHCPの使用は明白な有利な点を有し、その理由はそこで使用されるホストデバイスの種類がイントラネットから離れて使用されることにもなりそうであり、例えば作業場、家庭もしくは海外で使用されるラップトップであることになりそうであり、したがって網アドレスの自動構成が好ましいとされることによる。同じように、訪問中の個人にとっての公衆ドメイン網への開かれたアクセスのために専用とされたイントラネット上のポート250は自動アドレス割当てを必要としている。
【0028】
ファイヤウォール280(もしくはVPNゲートウェイ)は、故障の単一ポイントであり、また潜在的な帯域幅ボトルネックでもあり、したがってゲートウェイ冗長度を含めることによって網設計のスケールを決められるという好都合さがある。無線LANにとっては、スケーラビリティはデータリンクレイヤブロードキャストカバー範囲によって制限される。二〜三百のユーザを越えるシステムのスケーリングは別のVLANを加えることを必要とし、この加入は類似していない網アドレス空間を備えたサブネットをまたいでローミングするためのもともとの問題をもたらしている。これに対する一つの解決策は、WLANアクセスポイント内に802.1qVLANトランキング能力を潜在的に含めることによって提示される。大きなサイトについては、いくつかのVLANが各アクセスポイントで提示されることができるので、VLAN当りのユーザ数を制限している。このことは、現在の設計が基本的な安全性を確保していない802.11bの適合性を越えてアクセスポイントを置くという第一の限界となっている。大きなサイトではある種の共用領域、例えばサイトコンファレンススイート(site conference suite)、をこの設備と一緒に用意するだけで全く適切なものとすることができることが予見される。これはユーザグループが指定された共用領域と、彼等自身の事務所空間に限定されることになる。
【0029】
いずれもの網にとって、トラヒック経路を最適化することは重要である。このことは本発明による網にとってとくに言えることであり、IPSecの使用が著しい負担をクライアント端末とファイヤウォールとの両方に課することが理由となっている。示して来た網構成では、内部LAN230に向けて行先が定められたトラヒックだけがIPSecを用いて安全なものとされながら、外部網205に向けて行先が定められたトラヒックは安全な内部環境の外側に留まっている。
【0030】
ネットワーク設計が主な利点をもっているのは、WLAN環境が既存の内部網基盤構造(スイッチ、ルータなど)の上で展開できるという点でのことである。これが必要とされるハードウェアという項目について所有権のコストを低減するとともに、管理と運用支援のためのコストの低減もしていることになる。WLANへのコネクティビティもまたレイヤ2交換網の範囲によってのみ限界が定められている。この網の一番基本的な特徴は、共通の基盤構造はデータリンクレイヤ(レイヤ2)までに限って機能しなければならない。レイヤ2デバイスはこれまでのネットワークレイヤデバイスよりも大きなスループットを提供して、地理的に分散された作業群(workgroups)がより高いISOレイヤに向けて一つの単一ドメインとして現れることができる。この網設計により、網のコアはデータリンクレイヤ(レイヤ2)で、ネットワークレイヤ(レイヤ3)とともに、エッジに置かれたデバイス上で効果的に動作して、データリンクレイヤ環境間で相互接続を提供するようにする。ルータが異なるVLAN間でコネクティビティを提供するために必要とされる。これが、専用のルータポートを(例えば、イーサーネット、高速イーサーネットなど)を関連のVLANについて構成されたスイッチポートに向けて接続することと、必要とされるより高いレイヤプロトコルとを構成することによって行なわれる。これはルータについて特別な依存性を与えないが、各VLANがそれ自体のポートを必要とするので、VLANの大きな数を必要とするときにはこの方法はよくスケール合せ(scale)を行わない。代ってIEEE802.1q規格を支持する専用ルータポートがスイッチポートに接続できて、トランクとして構成できる。この構成で仮想インターフェースが各VLANについて創り出すことができて、これがハードウェアコストを低減する。この方法はルータがまたIEEE802.1qを支持することを必要とする。
【図面の簡単な説明】
【0031】
【図1】既に説明されたように、既知のハイブリッドの固定−モバイル通信網の模式図。
【図2】本発明によるハイブリッドの固定−モバイル通信網の模式図。
Claims (10)
- 異なる安全性クラスを有するが同一の物理的基盤構成上を搬送されるユーザにより生成された網トラヒックの隔離のために構成された通信網であって;
物理的基盤構造を共用している複数の構成成分である仮想網についての接続手段であって、使用時には各構成成分である仮想網がそれぞれの安全クラスを有している網トラヒックを搬送している1又はそれ以上の端末に接続されるように構成された接続手段と;
低い安全性のユーザを支持している第一の仮想網上でのトラヒックを暗号化するための暗号化手段と;
構成成分である仮想網を相互に接続するゲートウェイであって、低い方の安全性クラスと関係する第一の仮想網から高い方の安全性クラスと関係する第二の仮想網に向けて通過する網トラヒックを識別するための手段と、正しく暗号化されている第一の仮想網からの網トラヒックだけが高い安全性のユーザを支持している該第二の仮想網上を搬送されるようにできることとするためのアクセス手段を有するゲートウェイと、を備えている網。 - 請求項1記載の通信網において、該第一の仮想網は無線網である。
- 請求項1記載の通信網において、低い方の安全性クラスを有する網トラヒックはインターネット・セキュリティ・プロトコルを用いて暗号化される。
- 請求項1ないし請求項3のいずれか1項記載の通信網において、ゲートウェイはファイヤウォールシステムを含んでいる。
- 請求項1ないし請求項4のいずれか1項記載の通信網において、第一の仮想網から第二の仮想網内の宛先以外の宛先に向けてルート設定された呼が第二の仮想網を介してルート設定されない通信網。
- 共通の物理的インターフェースの端末間でのデータトラヒックを処理する方法であって、該端末は複数の異なる安全性クラスに対して割当てられて、また低い方の安全性クラスに割当てられた端末からのトラヒックが高い方の安全性クラスに割当てられた端末に向けて搬送されるときに暗号化される方法。
- 請求項6記載の方法において、ゲートウェイがファイヤウォールシステムを含み、該ファイヤウォールは低い安全性の端末からのトラヒックが前記暗号化されているときに限り高い安全性の端末に到達することができる方法。
- 異なる安全性のレベルを有し、同一の物理的網基盤構造を用いる網端末の隔離のための方法であって、低い安全性のユーザと高い方の安全性の端末が同一の物理的網上で搬送される異なる仮想網に接続されていて、ファイヤウォール能力を備えたゲートウェイが仮想網間でアクセスするために提供されており、低い安全性の端末を支持している仮想網上のトラヒックが暗号化される方法。
- 請求項8記載の方法において、低い安全性の端末を支持している仮想網からの呼が、高い安全性端末を支持している仮想網内の宛先以外の宛先に向けてルート設定され、高い安全性端末を支持している仮想網を通ってルート設定されない方法。
- 請求項6ないし請求項9のいずれか1項記載の方法において、低い方の安全性の端末は無線端末である。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GBGB0109299.8A GB0109299D0 (en) | 2001-04-12 | 2001-04-12 | Hybrid network |
PCT/GB2002/001702 WO2002084917A2 (en) | 2001-04-12 | 2002-04-11 | Hybrid network |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004533749A true JP2004533749A (ja) | 2004-11-04 |
JP4064824B2 JP4064824B2 (ja) | 2008-03-19 |
Family
ID=9912836
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002582529A Expired - Fee Related JP4064824B2 (ja) | 2001-04-12 | 2002-04-11 | ハイブリッド網 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20040090972A1 (ja) |
EP (1) | EP1378103B1 (ja) |
JP (1) | JP4064824B2 (ja) |
AU (1) | AU2002249410A1 (ja) |
CA (1) | CA2439568C (ja) |
GB (1) | GB0109299D0 (ja) |
WO (1) | WO2002084917A2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008536453A (ja) * | 2005-04-13 | 2008-09-04 | ザ・ボーイング・カンパニー | 安全なネットワークプロセッサ |
JP2016506115A (ja) * | 2012-11-27 | 2016-02-25 | シマンテック コーポレーションSymantec Corporation | ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法 |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7389412B2 (en) * | 2001-08-10 | 2008-06-17 | Interactive Technology Limited Of Hk | System and method for secure network roaming |
US7120791B2 (en) | 2002-01-25 | 2006-10-10 | Cranite Systems, Inc. | Bridged cryptographic VLAN |
US7986937B2 (en) | 2001-12-20 | 2011-07-26 | Microsoft Corporation | Public access point |
US7587587B2 (en) * | 2002-12-05 | 2009-09-08 | Broadcom Corporation | Data path security processing |
US9015467B2 (en) * | 2002-12-05 | 2015-04-21 | Broadcom Corporation | Tagging mechanism for data path security processing |
US7613195B2 (en) * | 2003-10-27 | 2009-11-03 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for managing computer networks |
EP1689201A1 (en) * | 2003-11-20 | 2006-08-09 | NEC Corporation | Mobile communication system using private network, relay node, and radio base control station |
WO2005057893A2 (en) | 2003-12-15 | 2005-06-23 | Bce Inc. | Adapter for secure voip communications |
US8255681B2 (en) * | 2005-03-10 | 2012-08-28 | Ibahn General Holdings Corporation | Security for mobile devices in a wireless network |
CN100425037C (zh) * | 2005-03-18 | 2008-10-08 | 中国工商银行股份有限公司 | 一种用于银行的无线网络数据通信接口及方法 |
US7661128B2 (en) * | 2005-03-31 | 2010-02-09 | Google Inc. | Secure login credentials for substantially anonymous users |
US8406220B2 (en) * | 2005-12-30 | 2013-03-26 | Honeywell International Inc. | Method and system for integration of wireless devices with a distributed control system |
US8566471B1 (en) * | 2006-01-09 | 2013-10-22 | Avaya Inc. | Method of providing network link bonding and management |
US8023994B2 (en) * | 2006-07-07 | 2011-09-20 | Research In Motion Limited | Provisioning methods and apparatus with use of a provisioning ESSID derived from both predetermined criteria and network-specific criteria |
US8032174B2 (en) * | 2006-07-07 | 2011-10-04 | Research In Motion Limited | Provisioning methods and apparatus for wireless local area networks (WLANS) with use of a provisioning ESSID |
US8488576B2 (en) | 2006-12-15 | 2013-07-16 | Research In Motion Limited | Methods and apparatus for establishing WLAN communications using an ESSID created based on a predetermined algorithm and a domain name |
US20090233609A1 (en) * | 2008-03-12 | 2009-09-17 | Nortel Networks Limited | Touchless Plug and Play Base Station |
US8424076B2 (en) * | 2008-05-27 | 2013-04-16 | International Business Machines Corporation | Utilizing virtual private networks to provide object level security on a multi-node computer system |
US8996683B2 (en) * | 2008-06-09 | 2015-03-31 | Microsoft Technology Licensing, Llc | Data center without structural bottlenecks |
US9674767B2 (en) * | 2011-09-02 | 2017-06-06 | Avaya Inc. | Method and apparatus for forming a tiered wireless local area network (WLAN) server topology |
TW201417535A (zh) * | 2012-10-31 | 2014-05-01 | Ibm | 根據風險係數的網路存取控制 |
US10033588B2 (en) | 2012-11-14 | 2018-07-24 | Raytheon Company | Adaptive network of networks architecture |
EP3506596A1 (en) * | 2017-12-31 | 2019-07-03 | SECURING SAM Ltd. | System and method for securing communication between devices on a network |
US20230143157A1 (en) * | 2021-11-08 | 2023-05-11 | Vmware, Inc. | Logical switch level load balancing of l2vpn traffic |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09214556A (ja) * | 1995-11-30 | 1997-08-15 | Toshiba Corp | パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法 |
JPH1141280A (ja) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | 通信システム、vpn中継装置、記録媒体 |
JPH11308264A (ja) * | 1998-04-17 | 1999-11-05 | Mitsubishi Electric Corp | 暗号通信システム |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5602916A (en) * | 1994-10-05 | 1997-02-11 | Motorola, Inc. | Method and apparatus for preventing unauthorized monitoring of wireless data transmissions |
US5673322A (en) * | 1996-03-22 | 1997-09-30 | Bell Communications Research, Inc. | System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks |
US6061346A (en) * | 1997-01-17 | 2000-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access method, and associated apparatus, for accessing a private IP network |
US6408336B1 (en) * | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
US6226748B1 (en) * | 1997-06-12 | 2001-05-01 | Vpnet Technologies, Inc. | Architecture for virtual private networks |
JP3932319B2 (ja) * | 1997-07-24 | 2007-06-20 | タンブルウィード コミュニケーションズ コーポレイション | 格納された鍵による暗号化/暗号解読を用いた電子メール用ファイアウォール |
CA2228687A1 (en) * | 1998-02-04 | 1999-08-04 | Brett Howard | Secured virtual private networks |
US6751729B1 (en) * | 1998-07-24 | 2004-06-15 | Spatial Adventures, Inc. | Automated operation and security system for virtual private networks |
US6507908B1 (en) * | 1999-03-04 | 2003-01-14 | Sun Microsystems, Inc. | Secure communication with mobile hosts |
AU5920000A (en) * | 1999-07-09 | 2001-02-13 | Malibu Networks, Inc. | Method for transmission control protocol (tcp) rate control with link-layer acknowledgements in a wireless point to multi-point (ptmp) transmission system |
US6892307B1 (en) * | 1999-08-05 | 2005-05-10 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
US7174564B1 (en) * | 1999-09-03 | 2007-02-06 | Intel Corporation | Secure wireless local area network |
US6693878B1 (en) * | 1999-10-15 | 2004-02-17 | Cisco Technology, Inc. | Technique and apparatus for using node ID as virtual private network (VPN) identifiers |
US20010056391A1 (en) * | 2000-01-14 | 2001-12-27 | Schultz Frederick J. | Method and apparatus for managing and optimizing stock options |
GB2364477B (en) * | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
GB2366631B (en) * | 2000-03-04 | 2004-10-20 | Ericsson Telefon Ab L M | Communication node, communication network and method of recovering from a temporary failure of a node |
JP2001298449A (ja) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | セキュリティ通信方法、通信システム及びその装置 |
US7055171B1 (en) * | 2000-05-31 | 2006-05-30 | Hewlett-Packard Development Company, L.P. | Highly secure computer system architecture for a heterogeneous client environment |
US20020069356A1 (en) * | 2000-06-12 | 2002-06-06 | Kwang Tae Kim | Integrated security gateway apparatus |
US7111163B1 (en) * | 2000-07-10 | 2006-09-19 | Alterwan, Inc. | Wide area network using internet with quality of service |
WO2002042861A2 (en) * | 2000-11-13 | 2002-05-30 | Ecutel, Inc. | System and method for secure network mobility |
US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
US7296291B2 (en) * | 2000-12-18 | 2007-11-13 | Sun Microsystems, Inc. | Controlled information flow between communities via a firewall |
US20020129271A1 (en) * | 2001-03-12 | 2002-09-12 | Lucent Technologies Inc. | Method and apparatus for order independent processing of virtual private network protocols |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
US6938155B2 (en) * | 2001-05-24 | 2005-08-30 | International Business Machines Corporation | System and method for multiple virtual private network authentication schemes |
JP4173517B2 (ja) * | 2003-03-05 | 2008-10-29 | インテリシンク コーポレイション | コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク |
-
2001
- 2001-04-12 GB GBGB0109299.8A patent/GB0109299D0/en not_active Ceased
-
2002
- 2002-04-11 WO PCT/GB2002/001702 patent/WO2002084917A2/en active Application Filing
- 2002-04-11 US US10/472,885 patent/US20040090972A1/en not_active Abandoned
- 2002-04-11 EP EP02718340.9A patent/EP1378103B1/en not_active Expired - Lifetime
- 2002-04-11 CA CA2439568A patent/CA2439568C/en not_active Expired - Fee Related
- 2002-04-11 AU AU2002249410A patent/AU2002249410A1/en not_active Abandoned
- 2002-04-11 JP JP2002582529A patent/JP4064824B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09214556A (ja) * | 1995-11-30 | 1997-08-15 | Toshiba Corp | パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法 |
JPH1141280A (ja) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | 通信システム、vpn中継装置、記録媒体 |
JPH11308264A (ja) * | 1998-04-17 | 1999-11-05 | Mitsubishi Electric Corp | 暗号通信システム |
Non-Patent Citations (1)
Title |
---|
INOUE A: "IP LAYER SECURITY AND MOBILITY SUPPORT DESIGN POLICY AND AN INPLEMENTATION", ISS '97.WORLD TELECOMMUNICATIONS CONGRESS (INTERNATIONAL SWITCHING SYMPOSIUM ), vol. V1, JPN5003016505, 21 September 1997 (1997-09-21), CA, pages 571 - 577, XP000720565, ISSN: 0000856694 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008536453A (ja) * | 2005-04-13 | 2008-09-04 | ザ・ボーイング・カンパニー | 安全なネットワークプロセッサ |
JP4749465B2 (ja) * | 2005-04-13 | 2011-08-17 | ザ・ボーイング・カンパニー | 安全なネットワークプロセッサ |
JP2016506115A (ja) * | 2012-11-27 | 2016-02-25 | シマンテック コーポレーションSymantec Corporation | ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法 |
Also Published As
Publication number | Publication date |
---|---|
CA2439568C (en) | 2011-06-07 |
WO2002084917A3 (en) | 2002-12-12 |
EP1378103A2 (en) | 2004-01-07 |
JP4064824B2 (ja) | 2008-03-19 |
CA2439568A1 (en) | 2002-10-24 |
EP1378103B1 (en) | 2016-10-26 |
AU2002249410A1 (en) | 2002-10-28 |
GB0109299D0 (en) | 2001-05-30 |
WO2002084917A2 (en) | 2002-10-24 |
US20040090972A1 (en) | 2004-05-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4064824B2 (ja) | ハイブリッド網 | |
US7797530B2 (en) | Authentication and encryption method and apparatus for a wireless local access network | |
US7194622B1 (en) | Network partitioning using encryption | |
US7155518B2 (en) | Extranet workgroup formation across multiple mobile virtual private networks | |
US6970459B1 (en) | Mobile virtual network system and method | |
JP4444834B2 (ja) | アクセスネットワークに接続されるホストの分離 | |
KR100826736B1 (ko) | 클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법, 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법, 및 클라이언트 노드를 서빙 네트워크로 접속시키는 방법 | |
EP3459318B1 (en) | Using wlan connectivity of a wireless device | |
US20050223111A1 (en) | Secure, standards-based communications across a wide-area network | |
US7941548B2 (en) | Wireless network security mechanism including reverse network address translation | |
JP2004312257A (ja) | 基地局、中継装置及び通信システム | |
WO2003045034A1 (en) | Security of data through wireless access points supporting roaming | |
Chokshi et al. | Study on VLAN in Wireless Networks | |
Yamada et al. | A lightweight VPN connection in the mobile multimedia metropolitan area network | |
Learning | Network Security | |
Gaylord et al. | Wireless Wireless LAN Security Security Security In a Campus Environment In a Campus Environment In a Campus Environment | |
Knapp et al. | Wireless Network Security | |
TELECOMMUNICATIONSAND | Wireless LAN Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050125 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070529 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070813 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071227 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4064824 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110111 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110111 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120111 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130111 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |