JP2005341084A - Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法 - Google Patents

Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法 Download PDF

Info

Publication number
JP2005341084A
JP2005341084A JP2004155542A JP2004155542A JP2005341084A JP 2005341084 A JP2005341084 A JP 2005341084A JP 2004155542 A JP2004155542 A JP 2004155542A JP 2004155542 A JP2004155542 A JP 2004155542A JP 2005341084 A JP2005341084 A JP 2005341084A
Authority
JP
Japan
Prior art keywords
network
closed
address
remote terminal
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004155542A
Other languages
English (en)
Inventor
Satoru Ejiri
悟 江尻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004155542A priority Critical patent/JP2005341084A/ja
Priority to GB0510386A priority patent/GB2414642A/en
Priority to US11/136,380 priority patent/US20050265366A1/en
Priority to CNA2005100720427A priority patent/CN1703047A/zh
Publication of JP2005341084A publication Critical patent/JP2005341084A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 専用IP機器のための自動コンフィグを実現可能なVPNシステムを提供する。
【解決手段】 フェーズ#1通信で、IKE SA通信確立後(a1〜a3)、IKE SA上を経由して認証通信を行い(a4〜a7)、リモート端末のリモートアクセス先の閉域IP網内のIPアドレス及びコンフィグデータを、リモート端末へ払い出す(a8〜a11)。上記のパラメータの払い出し過程において、BGW(2)はリモート端末のユーザレベルでの本人性認証を行うことによって、リモート端末上のユーザを特定し、コンフィグデータ取得通信にて、リモート端末の閉域IP網内のIPアドレス及びコンフィグデータをコンフィグデータ管理サーバから取得する。
【選択図】 図1

Description

本発明はVPNシステム、境界ゲートウェイ及びそれらに用いるリモートアクセス通信方法に関し、特にIP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)に関する。
この種のリモートアクセスIPsecVPNにおいては、リモート端末が汎用のPC(Personal Computer)ではなく、ある決められた処理を専門に行う専用IP機器の場合がある(例えば、特許文献1参照)。
上記のシステム構成では、
(1)リモート端末のリモートアクセス先の閉域IP網内IPアドレスを、センタ局舎内から動的に払い出して一括管理することによって、遠隔からの設定管理することが好ましいので、閉域IP網内のアドレス管理サーバがIPトンネルを介して閉域IP網内IPアドレスを払い出す必要がある。
(2)リモート端末上のユーザのコンフィグデータが自動的に払い出されて設定されるのが好ましい。
(3)各LAN(Local Area Network)上のLAN IPアドレスは動的に変更されるのが一般的であり、その変更に伴うIPトンネルの自動設定変更が必要である。
という3つの問題点がある。
特開2002−208965号公報
リモート端末が汎用のPCではなく、ある決められた処理を専門に行う専用IP機器である場合には、ユーザが常に機器を操作する状況にないと考えられるので、リモートアクセス起動時、自動的にコンフィグデータが設定されることが望ましい。
しかしながら、リモート端末からリモートアクセス先の閉域IP網にIPsecを使用したアクセスをする場合においては、リモート端末の認証、リモート端末を使用するユーザの認証、及びリモートアクセス通信でやり取りされるデータに対するセキュリティが考慮されているのみであり、コンフィグ設定は手動で設定されるのが一般的である。現在、この専用IP機器のための自動コンフィグの実現が課題となっている。
そこで、本発明の目的は上記の問題点を解消し、専用IP機器のための自動コンフィグを実現することができるVPNシステム、リモート端末及びそれらに用いるリモートアクセス通信方法を提供することにある。
本発明によるVPNシステムは、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムであって、
リモート端末がリモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う手段を前記リモート端末に備え、前記リモート端末と前記閉域IP網内のノードとが仮想的に同じセグメント内に接続している。
本発明によるリモート端末は、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムを構成するリモート端末であって、
リモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う手段を備え、前記閉域IP網内のノードと仮想的に同じセグメント内に接続している。
本発明によるリモートアクセス通信方法は、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムに用いるリモートアクセス通信方法であって、
リモート端末側に、前記リモート端末がリモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う処理を備え、前記リモート端末と前記閉域IP網内のノードとが仮想的に同じセグメント内に接続している。
すなわち、本発明のVPNシステムは、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)システムであって、あるローカルIP網に位置する端末が、ある閉域IP網に対して、当該閉域IP網内IPアドレス体系にしたがうリモート端末用アドレス(以下、閉域IP網内IPアドレスとする)を保存することなしに、リモートアクセスを可能としている。
本発明のVPNシステムでは、IPsecのISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションメソッドを適用することによって、リモートアクセス先の閉域IP網内IPアドレスの自動払い出しを実現することを特徴としている。
同時に、本発明のVPNシステムでは、ISAKMPコンフィグレーションメソッドに、ユーザの認証処理、またその認証に依存してユーザが任意に定義できるコンフィグ情報を要求/応答することができる仕組みを持たせ、リモート端末のユーザ単位の自動払い出し/設定を可能としていることを特徴としている。
さらに、本発明のVPNシステムでは、IPsecのリモートアクセス機能を適用することによって、ローカルIP網で付与されるIPアドレスの変更に伴い、動的にトンネル設定変更を可能としていることを特徴としている。
より具体的に説明すると、本発明のVPNシステムは、リモートアクセスIPsecVPNシステムであり、リモート端末がローカルIP網LAN(Local Area Network)に位置し、リモートアクセス先の閉域IP網LANが比較的遠くに離れており、その間がIP−VPNサービス、広域イーサネット(登録商標)等のIP公衆網で接続されている。各LANとIP公衆網とにはBGW(Border GateWay)がそれぞれ設置され、それらのBGWは相互に接続されている。
本発明のVPNシステムでは、リモート端末をリモートホストとし、BGWとの間をIPsecVPN接続する際に、その接続過程のメッセージ通信に、ISAKMPコンフィグレーションメッソッドを導入している。
また、本発明のVPNシステムでは、ISAKMPコンフィグレーションメソッドを使用し、VPNアドレスとして閉域IP網内の固有IPアドレス、またプライベートデータとしてコンフィグデータを払い出すことによって、リモート端末の閉域IP網内のIPアドレス及びコンフィグデータをリモート端末に動的に払い出すことが可能となる。
同時に、本発明のVPNシステムでは、その閉域IP網内IPアドレス及びコンフィグデータに対して、IPsecプロトコルの暗号・認証アルゴリズムによってセキュリティを確保することが可能である。
これによって、本発明のVPNシステムでは、リモート端末上のユーザにセキュリティを確保しつつ、対応するコンフィグデータを遠隔設定することが可能となる。
また、本発明のVPNシステムでは、リモート端末上のユーザのコンフィグデータ、閉域IP網内IPアドレスを自動的に設定することが可能であり、LAN用IPアドレスが動的な払い出しによって変化しても、それに伴うIPトンネルの自動設定変更が可能である。
さらに、本発明のVPNシステムでは、リモート端末のプラグ&プレイが可能となるので、手動で行うコンフィグ設定と比較して、設定作業工数を削除することが可能で、また設定誤りも少なくなる。
さらにまた、本発明のVPNシステムでは、BGWにアドレス変換処理を入れることなく、リモート端末、コンフィグデータ管理サーバ、BGWを仮想的に同じセグメントに接続することが可能となる。よって、本発明のVPNシステムでは、専用IP機器のための自動コンフィグを実現することが可能となる。
本発明は、以下に述べるような構成及び動作とすることで、専用IP機器のための自動コンフィグを実現することができるという効果が得られる。
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるVPN(Virtual Private Network)システムの構成を示すブロック図である。図1において、本発明の一実施例によるVPNシステムは、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPNシステムである。
本発明の一実施例によるVPNシステムは、リモート端末1と、BGW(Border GateWay)(1)2と、センタ管理局3と、ローカルIP網LAN(A)100と、IP公衆網101とから構成されており、リモート端末1とセンタ管理局3との間にはIPトンネル102が設置されている。センタ管理局3は閉域IP網LAN(B)300にそれぞれ接続されるBGW(2)31と、コンフィグデータ管理サーバ32とから構成されている。
リモート端末1はローカルIP網LAN(A)100に接続され、リモートアクセス先の閉域IP網LAN(B)300は比較的遠くに離れており、その間はIP−VPNサービス、広域イーサネット(登録商標)等のIP公衆網101で接続される。各LANとIP公衆網101とには、それそれBGW(1)2とBGW(2)31とが設置され、それらは相互に接続されている。
図2は本発明の一実施例によるVPNシステムの動作を示すシーケンスチャートである。図2には、リモートアクセス時のリモート端末1、BGW(2)31、及びコンフィグデータ管理サーバ32の間のメッセージシーケンスを示しており、リモート端末1をリモートホストとして、BGW(2)31との間をIPsecVPN接続する過程を示している。
接続過程のメッセージa10,a11の通信には、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションメソッドを導入している。
本実施例では、ISAKMPコンフィグレーションメソッドを使用して、VPNアドレスとして閉域IP網LAN(B)300内の固有IPアドレス、プライベートデータとしてコンフィグデータを払い出すことによって、リモート端末1の閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータをリモート端末1に動的に払い出すことが可能となる。同時に、その閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータは、IPsecプロトコルの暗号・認証アルゴリズムによってセキュリティを確保することが可能である。
一般に、リモート端末1が設置されるローカルIP網LAN(A)100とコンフィグデータ管理サーバ32が設置される閉域IP網LAN(B)300とは比較的遠くに離れており、その間はIP−VPN、広域イーサネット(登録商標)サービス等のIP公衆網101で接続されている。
各LANとIP公衆網101との間には、BGW(1)2及びBGW(2)31が設置され、それらが相互に接続されている。IP公衆網101はオープンネットワークのため、セキュリティ上の問題(脅威)が発生しやすい。
本発明のリモートアクセスIPsecVPNシステムにおいて、コンフィグデータ管理サーバ32が設置される閉域IP網LAN(B)300は、一般的に、センタ管理局3内に設置されるので、セキュリティが確保されている。しかしながら、ローカルIP網LAN(A)100とIP公衆網101とに対してはセキュリティを確保しなければならない。
本発明では、リモート端末1がリモートホストとしてBGW(2)31との間に、IPsecESPトンネルモードを設定し、セキュリティ上の脅威を排除している。リモート端末1がセンタ管理局3内のBGW(2)31とIPsecSAを確立する過程を図2に示す。
フェーズ#1通信で、IKE SA(Internet Key Exchange Security Association)通信確立後(図2のa1〜a3)、IKE SA上を経由して認証通信を行い(図2のa4〜a7)、リモート端末1のリモートアクセス先の閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータを、リモート端末1へ払い出す(図2のa8〜a11)。これによって、本実施例では、リモート端末1の自動コンフィグが可能となる。
上記のパラメータの払い出し過程において、BGW(2)31はリモート端末1のユーザレベルでの本人性(リモート端末1の機器ではなく、それを使用するユーザ)認証を行うことによって、リモート端末1上のユーザを特定し、コンフィグデータ取得通信にて、リモート端末1の閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータをコンフィグデータ管理サーバ32から取得する。
リモート端末1に配布する閉域IP網LAN(B)300内のIPアドレスは、閉域IP網LAN(B)300上のアドレス体系にしたがう。これによって、BGW(2)31にはNAT(Network Address Translation)等のアドレス変換処理が不要となり、コンフィグデータ管理サーバ32、BGW(2)31、リモート端末1はそれぞれ仮想的に同じセグメントに接続されているように扱うことが可能となる。
また、リモート端末1はホストとしてBGW(2)31にIPsec接続するので、IPsecのリモートアクセス接続機能によって、リモート端末1のローカルIP網LAN(A)100用のIPアドレスを、DHCP(Dynamic Host Configuration Protocol)等で動的に付与することが可能である。
フェーズ#1通信後、上記のIKE SA上で行われる認証通信及びコンフィグデータの払い出し通信は、IPsecのISAKMPコンフィギュレーションメソッドにしたがって行われる。
図3(a)には、ISAKMPコンフィギュレーションメソッドで用いるISAKMPパケットのデータフォーマットを示している。ISAKMPペイロードにはコンフィグレーションメソッド・ペイロードが使用され、そのフォーマットを図3(b)に示す。
認証通信の場合、Attributsに認証に関連する属性を設定し、コンフィグデータ払い出し通信の場合には、図3(c)に示すように、VPNアドレス属性、また、その後にプライベートデータ属性をそれぞれ設定する。このVPNアドレスに閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータの払い出しを可能とする。
ISAKMPコンフィグレーションメソッドは、IKE通信と同じく、メッセージをやり取りする始動者(イニシエータ)と、それに対して応答する応答者(レスポンダ)とによって行われる。本実施例では、BGW(2)31がイニシエータ、リモート端末1がレスポンダとなり、メッセージ交換を行う。図2に示すシーケンスにおいて、各メッセージ種別は、図3(b)に示すコンフィグレーション・ペイロードのTypeフィールドの値で識別する。
図4は本発明の一実施例による具体的なIPアドレスを付与したシステム構成を示す図である。図4において、IPsecのESP(Encapsulating Security Payload)トンネルを設定するには、トンネルを終端するアドレスと、そのトンネル内のIP通信に使用するトンネルインタフェースのIPアドレスとが必要である。
リモート端末1のトンネル終端アドレス、トンネルインタフェースアドレスを、各々Ca1,Ca2とする。また、BGW(2)31のトンネル終端アドレス、トンネルインタフェースアドレスを、各々Sa1,Sa2とする。さらに、ローカルIP網LAN(A)100のネットワークアドレスをNaAとし、閉域IP網LAN(B)300のネットワークアドレスをNaBとする。
また、リモート端末1の閉域IP網LAN(B)300内のIPアドレス、コンフィグデータはリモート端末1を配下にもつコンフィグデータ管理サーバ32が保持するものとする。
この時、IPsecのESPトンネルを設定するために、リモート端末1とBGW(2)31とに設定を要するパラメータを図5に示す。本実施例では、リモート接続機能を適用し、図2のフェーズ#1通信(a1〜a3)は、アグレッシブモードで行うので、IDによってPre−Shared Keyを特定する。したがって、項番C1,S1に示すように、自IDと相手IDとの組み合わせに対してPre−Shared Keyの登録が必要である。
また、項番C2,S2に示すように、ESP暗号化アルゴリズム、AH(Authentication Header)認証アルゴリズム、DH(Dynamic Host)グループ等のパラメータを双方で合わせて登録する必要がある。
トンネルに関するパラメータとして、項番C3,C4に示すように、そのトンネルを終端する双方のIPアドレス(始点アドレスCa1及び終点アドレスSa1)を、項番S3,S4に示すように、そのトンネルを終端する双方のIPアドレス(始点アドレスSa1及び終点アドレスCa1)をそれぞれ登録する必要がある。
また、項番C5,S5に示すように、自ノードのトンネルインタフェースのIPアドレス(Ca2,Sa2)を登録する必要がある。IPsec処理を施す対象パケットを特定するため、項番C6,S6に示すようにセキュリティポリシー(Ca2→NaB,NaB→Ca2)を登録する必要がある。
リモート端末1の起動直後は、項番S3,S4,C5,C6,S6は登録されていない。起動直後、動的に「Ca1」がリモート端末1に払い出され、項番S3が登録される。その後、フェーズ#1通信のメッセージa1が、BGW(2)31に受信され、項番S4の登録がされる。
その際、メインモードであれば、双方のトンネル終端アドレスによってPre−Shared−Keyが特定されるので、項番S3は予め登録されなければならないが、アグレッシブモードによって、予め項番S3の登録は不要である。
次に、認証通信(a4〜a7)で、BGW(2)31がリモート端末1上のユーザを特定し、コンフィグデータ取得通信(a8,a9)で、リモート端末1を配下に持つコンフィグデータ管理サーバ32に、リモート端末1の閉域IP網LAN(B)300内のIPアドレスとコンフィグデータとを問い合わせる。
取得後、コンフィグデータ配布通信(a10,a11)で、リモート端末1へ閉域IP網LAN(B)300内のIPアドレスとコンフィグデータとを配布する。この際、その閉域IP網LAN(B)300内のIPアドレスは、リモート端末1のトンネルインタフェースアドレスCa2となるので、項番C5,C6,S6が登録される。この段階では、ISAKMP SA上の通信なので、トンネルインタフェースアドレス、すなわち閉域IP網LAN(B)300内のIPアドレスは不要なので、正常に通信が行うことが可能である。
その後、フェーズ#2通信によって、IPsecSAが結ばれ、IPsecESPトンネルによる通信が開始される。この段階では、図5に示すパラメータがすべて登録されているので、正常に通信を行うことが可能となる。
このように、本実施例では、リモート端末1上のユーザに、セキュリティを確保しつつ、対応するコンフィグデータを遠隔設定することが可能となる。
また、本実施例では、リモート端末1上のユーザのコンフィグデータ、閉域IP網LAN(B)300内のIPアドレスを自動的に設定することが可能であり、ローカルIP網LAN(A)100用のIPアドレスが動的な払い出しによって変化しても、それに伴うIPトンネルの自動設定変更が可能となり、リモート端末1のプラグ&プレイが可能となるので、手動で行うコンフィグ設定と比較して、設定作業工数を削除することができ、また設定誤りも少なくなる。
さらに、本実施例では、BGW(2)31にアドレス変換処理を入れることなく、リモート端末1、コンフィグデータ管理サーバ32、BGW(1)2及びBGW(2)31を仮想的に、同じセグメントに接続することが可能である。
本実施例では、コンフィグデータ管理サーバ31が、リモート端末1に対する閉域IP網LAN(B)300内のIPアドレスを管理し、払い出しているが、この機能を別ノード(アドレス管理サーバ)に担わせることも可能である。その場合、図2に示すa8,a9の取得メッセージは、VPNアドレス取得メッセージ用と、プライベートデータ(コンフィグデータ)取得用メッセージ用とに分けられ、それぞれアドレス管理サーバ、コンフィグデータ管理サーバ32とのメッセージ通信が行われる。
本発明の一実施例によるVPNシステムの構成を示すブロック図である。 本発明の一実施例によるVPNシステムの動作を示すシーケンスチャートである。 (a)はISAKMPコンフィギュレーションメソッドで用いるISAKMPパケットのデータフォーマットを示す図、(b)はコンフィグレーションメソッド・ペイロードのフォーマットを示す図、(c)はAttributsのフォーマットを示す図である。 本発明の一実施例による具体的なIPアドレスを付与したシステム構成を示す図である。 図4のリモート端末とBGW(2)31とに設定を要するパラメータを示す図である。
符号の説明
1 リモート端末
2 BGW(1)
3 センタ管理局
31 BGW(2)
32 コンフィグデータ管理サーバ
100 ローカルIP網LAN(A)
101 IP公衆網
102 IPトンネル
300 閉域IP網LAN(B)

Claims (15)

  1. IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムであって、
    リモート端末がリモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う手段を前記リモート端末に有し、前記リモート端末と前記閉域IP網内のノードとが仮想的に同じセグメント内に接続することを特徴するVPNシステム。
  2. 前記リモート端末が前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて前記リモート端末上のユーザを特定し、対応する前記閉域IP網内のIPアドレスを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのVPNアドレス払い出しにおいて前記VPNアドレスに前記閉域IP網内のIPアドレスを割当てることで前記閉域IP網内からの前記IPアドレスの払い出しを行うことを特徴とする請求項1記載のVPNシステム。
  3. 前記閉域IP網内のノードは、前記対応する閉域IP網内のIPアドレスを保持するアドレス管理サーバであることを特徴とする請求項2記載のVPNシステム。
  4. 前記リモート端末が前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて前記リモート端末上のユーザを特定し、対応するコンフィグデータを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのメッセージに前記コンフィグデータを統合して前記閉域IP網内からの前記リモート端末のコンフィグデータの払い出しを行うことを特徴とする請求項1から請求項3のいずれか記載のVPNシステム。
  5. 前記閉域IP網内のノードは、前記対応するコンフィグデータを保持するコンフィグデータ管理サーバであることを請求項4記載のVPNシステム。
  6. IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムを構成するリモート端末であって、
    リモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う手段を有し、前記閉域IP網内のノードと仮想的に同じセグメント内に接続することを特徴するリモート端末。
  7. 前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて端末上のユーザを特定し、対応する前記閉域IP網内のIPアドレスを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのVPNアドレス払い出しにおいて前記VPNアドレスに前記閉域IP網内のIPアドレスを割当てることで前記閉域IP網内からの前記IPアドレスの払い出しを行うことを特徴とする請求項6記載のリモート端末。
  8. 前記閉域IP網内のノードが、前記対応する閉域IP網内のIPアドレスを保持するアドレス管理サーバであることを特徴とする請求項7記載のリモート端末。
  9. 前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて端末上のユーザを特定し、対応するコンフィグデータを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのメッセージに前記コンフィグデータを統合して前記閉域IP網内からのコンフィグデータの払い出しを行うことを特徴とする請求項6から請求項8のいずれか記載のリモート端末。
  10. 前記閉域IP網内のノードが、前記対応するコンフィグデータを保持するコンフィグデータ管理サーバであることを請求項9記載のリモート端末。
  11. IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムに用いるリモートアクセス通信方法であって、
    リモート端末側に、前記リモート端末がリモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う処理を有し、前記リモート端末と前記閉域IP網内のノードとが仮想的に同じセグメント内に接続することを特徴するリモートアクセス通信方法。
  12. 前記リモート端末が前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて前記リモート端末上のユーザを特定し、対応する前記閉域IP網内のIPアドレスを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのVPNアドレス払い出しにおいて前記VPNアドレスに前記閉域IP網内のIPアドレスを割当てることで前記閉域IP網内からの前記IPアドレスの払い出しを行うことを特徴とする請求項11記載のリモートアクセス通信方法。
  13. 前記閉域IP網内のノードが、前記対応する閉域IP網内のIPアドレスを保持するアドレス管理サーバであることを特徴とする請求項12記載のリモートアクセス通信方法。
  14. 前記リモート端末が前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて前記リモート端末上のユーザを特定し、対応するコンフィグデータを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのメッセージに前記コンフィグデータを統合して前記閉域IP網内からの前記リモート端末のコンフィグデータの払い出しを行うことを特徴とする請求項11から請求項13のいずれか記載のリモートアクセス通信方法。
  15. 前記閉域IP網内のノードが、前記対応するコンフィグデータを保持するコンフィグデータ管理サーバであることを請求項14記載のリモートアクセス通信方法。
JP2004155542A 2004-05-26 2004-05-26 Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法 Pending JP2005341084A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2004155542A JP2005341084A (ja) 2004-05-26 2004-05-26 Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法
GB0510386A GB2414642A (en) 2004-05-26 2005-05-20 Virtual Private Network (VPN) using IP Security Protocol (IPsec)
US11/136,380 US20050265366A1 (en) 2004-05-26 2005-05-25 Virtual private network system, communication terminal, and remote access communication method therefor
CNA2005100720427A CN1703047A (zh) 2004-05-26 2005-05-26 虚拟专用网系统、通信终端以及相应的远程访问通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004155542A JP2005341084A (ja) 2004-05-26 2004-05-26 Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法

Publications (1)

Publication Number Publication Date
JP2005341084A true JP2005341084A (ja) 2005-12-08

Family

ID=34836623

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004155542A Pending JP2005341084A (ja) 2004-05-26 2004-05-26 Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法

Country Status (4)

Country Link
US (1) US20050265366A1 (ja)
JP (1) JP2005341084A (ja)
CN (1) CN1703047A (ja)
GB (1) GB2414642A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228294A (ja) * 2006-02-23 2007-09-06 Hitachi Ltd 情報処理システム
JP2012528492A (ja) * 2009-05-27 2012-11-12 ▲ホア▼▲ウェイ▼技術有限公司 モバイル仮想プライベートネットワーク通信のための方法、装置およびシステム

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005098974A1 (en) * 2004-04-07 2005-10-20 Tinggi Technologies Private Limited Fabrication of reflective layer on semiconductor light emitting diodes
US8639936B2 (en) * 2008-03-25 2014-01-28 Alcatel Lucent Methods and entities using IPSec ESP to support security functionality for UDP-based traffic
CN101304388B (zh) * 2008-06-20 2010-08-04 成都市华为赛门铁克科技有限公司 解决ip地址冲突的方法、装置及系统
CN102696268B (zh) * 2009-11-05 2016-03-30 华为技术有限公司 因特网协议地址的通知方法、系统及设备
DE102010000824A1 (de) 2010-01-12 2011-07-14 Siemens Aktiengesellschaft, 80333 System zur Durchführung von Ferndienstleistungen für eine technische Anlage
DE102010000849A1 (de) 2010-01-13 2011-07-14 Siemens Aktiengesellschaft, 80333 Verfahren zur Bedienung, Beobachtung und/oder Konfiguration eines Automatisierungssystems einer technischen Anlage
US8397288B2 (en) 2010-08-25 2013-03-12 Itron, Inc. System and method for operation of open connections for secure network communications
US9288215B2 (en) 2013-03-08 2016-03-15 Itron, Inc. Utilizing routing for secure transactions
US10506082B2 (en) * 2017-03-09 2019-12-10 Fortinet, Inc. High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001160828A (ja) * 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd セキュリティ・ゲートウェイ装置におけるvpn通信方法
KR100847596B1 (ko) * 2000-03-02 2008-07-21 소니 가부시끼 가이샤 통신망 시스템, 게이트웨이, 데이터 통신방법과 프로그램제공매체
JP3616570B2 (ja) * 2001-01-04 2005-02-02 日本電気株式会社 インターネット中継接続方式
US20030005328A1 (en) * 2001-06-29 2003-01-02 Karanvir Grewal Dynamic configuration of IPSec tunnels
US7284042B2 (en) * 2001-08-14 2007-10-16 Endforce, Inc. Device plug-in system for configuring network device over a public network
US7197550B2 (en) * 2001-08-23 2007-03-27 The Directv Group, Inc. Automated configuration of a virtual private network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228294A (ja) * 2006-02-23 2007-09-06 Hitachi Ltd 情報処理システム
JP2012528492A (ja) * 2009-05-27 2012-11-12 ▲ホア▼▲ウェイ▼技術有限公司 モバイル仮想プライベートネットワーク通信のための方法、装置およびシステム
US9084108B2 (en) 2009-05-27 2015-07-14 Huawei Technologies Co., Ltd. Method, apparatus, and system for mobile virtual private network communication

Also Published As

Publication number Publication date
GB2414642A (en) 2005-11-30
GB0510386D0 (en) 2005-06-29
CN1703047A (zh) 2005-11-30
US20050265366A1 (en) 2005-12-01

Similar Documents

Publication Publication Date Title
JP6118850B2 (ja) 設定可能プライベートコンピュータネットワークへのアクセス提供
CN104243210B (zh) 远程访问路由器管理页面的方法和系统
JP5318111B2 (ja) リモートデバイスに構成情報を自動配布するための中央管理ステーションのための種々の方法および装置
JP4146886B2 (ja) 通信モジュール及びこの通信モジュールを備えたアプリケーションプログラム
JP2001160828A (ja) セキュリティ・ゲートウェイ装置におけるvpn通信方法
US9143480B2 (en) Encrypted VPN connection
US20050265366A1 (en) Virtual private network system, communication terminal, and remote access communication method therefor
JP2005518117A (ja) ファイアウォールとnatとを介してコネクションを開始する方法
JP2000224219A (ja) 仮想プライベ―ト・ネットワ―クの動作方法およびシステム
JP2009100064A (ja) 無線lanの通信方法及び通信システム
CN104601743A (zh) 基于以太的IP转发IPoE双栈用户接入控制方法和设备
WO2018039901A1 (zh) 用于ip地址分配的方法、装置、系统和计算机程序产品
JP2005269348A (ja) 通信システム、ゲートウェイ装置
JP5230126B2 (ja) サービス公開抑制装置、方法、及び、プログラム
JP2004194291A (ja) クライアント機器への接続をルーティングするためのサーバ
AU2013300091B2 (en) Method and apparatus for using rendezvous server to make connections to fire alarm panels
US11888898B2 (en) Network configuration security using encrypted transport
JP5874354B2 (ja) 中継サーバ及び中継通信システム
CN105516121B (zh) 无线局域网中ac与ap通信的方法及系统
US7660900B2 (en) System and method for connecting client to host
JP2006229265A (ja) ゲートウェイシステム
JP2008079059A (ja) IPsecの複数セッションを処理する通信装置及びその処理方法
CN105991351B (zh) 一种IPSec配置方法及装置
CN109041275A (zh) 数据传输方法、装置及无线接入点
JP2005012485A (ja) インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070409

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070821

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070920

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070920

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071022

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20071204

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20080111

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080604

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090508