JP2006520130A - コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク - Google Patents

コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク Download PDF

Info

Publication number
JP2006520130A
JP2006520130A JP2006501219A JP2006501219A JP2006520130A JP 2006520130 A JP2006520130 A JP 2006520130A JP 2006501219 A JP2006501219 A JP 2006501219A JP 2006501219 A JP2006501219 A JP 2006501219A JP 2006520130 A JP2006520130 A JP 2006520130A
Authority
JP
Japan
Prior art keywords
network
data
remote device
client
computing network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006501219A
Other languages
English (en)
Other versions
JP4173517B2 (ja
Inventor
エル. ヴェーゼマン、ダレン
Original Assignee
インテリシンク コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インテリシンク コーポレイション filed Critical インテリシンク コーポレイション
Publication of JP2006520130A publication Critical patent/JP2006520130A/ja
Application granted granted Critical
Publication of JP4173517B2 publication Critical patent/JP4173517B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

コンピュータ・ネットワーク(12)とリモート装置(16)との間の安全な接続は、キャリヤ・ネットワーク(14)によって提供される。その安全な接続は、団体ネットワーク(12)とキャリヤ・ネットワーク(14)との間、および、リモート装置(16)とキャリヤ・ネットワーク(14)との間でバーチャル・プライベート・ネットワークとして動作するデータ・トンネルを含む。更に、通信プロトコルを使用することにより、安全な接続上におけるデータ・リクエストおよびデータ伝送が、必要に応じて、ウェブ・トラフィックのために開かれているコンピュータ・ネットワーク上のポートを通して可能である。

Description

本発明は、一般的にバーチャル・プライベート・ネットワークに関する。詳細には、本発明は、バーチャル・プライベート・ネットワークを介して遠隔的にデータの交換およびソフトウェア・アプリケーションの実行の両方を可能にするシステムおよび方法に関する。
今日のビジネスの世界では、多くの企業がネットワーク・インフラストラクチャにファイヤーウォールをインストールすることで無許可のアクセスからデータを保護している。典型的には、ファイヤーウォールは、未確認のユーザが遠隔地からネットワーク・データにアクセスすることを防止するよう構成されている。ファイヤーウォールは、誰がネットワーク・データにアクセスするかについて企業がより制御可能になるために一般的に非常に有益であるが、オフィスから離れているか、あるいはネットワーク・データにするローカル・アクセスを得ることができない場合に、モバイル・プロフェッショナルを重要且つ緊急なビジネス情報から切り離すといった望ましくない結果も伴う。
モバイル・プロフェッショナルが遠隔地からビジネス情報にアクセスすることを可能にするために、幾つかの企業では、会社と、プロフェッショナルの家またはサテライト・オフィスのような指定された遠隔地との間でバーチャル・プライベート・ネットワーク(VPN:virtual private network )を設定している。VPNの機能は、企業のファイヤーウォールを通じて企業ネットワークと指定された遠隔地との間で安全な接続を開通することである。ネットワーク・データに対して遠隔的なアクセスを提供することについては有益であるが、VPNは、企業ネットワークおよび時として遠隔地において、高価なハードウェアおよび/またはソフトウェアのインストールを必要とする。
典型的なVPNの構成において、ユーザは、VPNトンネルを通じて遠隔地から企業ネットワークと通信する。VPNトンネルの各端にはVPNノードがある。企業ネットワークでは、VPNノードの一つが企業ネットワークのファイヤーウォールに跨っている。ネットワーク・データは、VPNノードにおいてファイヤーウォールを通り、VPNトンネルを通じてユーザに送信される。従来技術によれば、二つのVPNノード間の第2のVPNトンネルを通じて遠隔的な企業が企業ネットワークと通信することも可能である。
VPNハードウェアおよびソフトウェアは、VPNトンネルを通って送信されるデータが妨害されず、ユーザまたは遠隔的な企業が企業ネットワーク・データへのアクセスを許可されることを確実にするためにVPNノードにおいて暗号化技術および他のセキュリティ機構を用いる。しかしながら、VPNの恩恵は、適切なVPNソフトウェアおよび/またはハードウェアがインストールされた個別の遠隔地に制限されている。従って、現在、VPNは企業のファイヤーウォールの背後に記憶されているネットワーク・データに対するモバイル・リモート・アクセスをユーザに提供しない。特に、従来のVPNでは、移動する車輌で通勤している際の電話、または、ページャ、携帯情報端末(PDA:personal digital assistant)、およびラップトップ・コンピュータを含む様々な他の移動装置からユーザがネットワーク・データにアクセスすることは容易ではない。
前述のモバイル装置について、このような機器と、ユーザの勤務先での企業ネットワークのような遠隔地との間で改善された接続性を提供することが今日のモバイル社会において非常に望ましい。特に、このようなモバイル装置が企業ネットワークとデータおよびアプリケーションを遠隔的に且つ安全に交換する能力は、特に、モバイル・プロフェッショナルおよびオフィスまでに極めて時間を費やす他の人々に対するその有用性および価値の両方を大きく向上させる。既に述べたように、典型的なVPNの構成では、このようなモバイルの遠隔的な接続は容易ではない。
リモート装置と企業ネットワークとの間のデータの安全な伝送を更に複雑にしているのは、リモート装置と企業ネットワークがデータを送信するのにそれぞれ異なる通信プロトコルを用い得るからである。例えば、企業ネットワークにローカルに形成されている電子メール・アプリケーションは、ネットワーク・ユーザと電子メール・メッセージを交換するためにメッセージング・アプリケーション・プログラミング・インタフェース(MAPI:messaging application programming interface )プロトコルを用いる。しかしながら、PDAのようなリモート装置は、電子メールを取得する、送信する、および、読むために異なるポスト・オフィス・プロトコル(POP:post office protocol)を用いる。解決策がない場合、二つのプロトコルの不一致によりリモートとローカル装置との間の通信は不可能である。
以上を鑑みて、現在、上述の結果として伴う問題を有することなく、ローカル・ホスト装置とリモート装置との間で安全な通信を行うことを可能にする簡便な手段を提供する必要性が存在する。更に、このような手段は、異なるプロトコルがそれぞれ用いられている場合であってもホストとリモート装置との間でデータを交換および/またはアプリケーションを共有する能力を提供しなくてはならない。
本発明は、コンピュータ・ネットワークとリモート装置との間での安全な接続を確立するシステムおよび方法に関する。本発明は、更に、ローカルおよびリモート装置間で確立されるキャリヤ・ネットワークおよび自発的バーチャル・プライベート・ネットワークを介して使用可能なローカルおよびリモート装置間の安全な通信にまで及ぶ。本発明の更なる実施形態は、通信プロトコルを介したローカルおよびリモート装置間のデータの安全な交換を含む。本発明の実施形態は、必要に応じて通信プロトコルを用いて、団体ネットワークとキャリヤ・ネットワークとの間、および、リモート装置とキャリヤ・ネットワークとの間でバーチャル・プライベート・ネットワークとして動作するデータ・トンネルを開通することを含むが、これに制限される訳ではない。
従って、本発明の第1の典型的な実施形態は、コンピューティング・ネットワークとリモート装置との間で安全にデータを伝送する方法であり、そのコンピューティング・ネットワークおよびリモート装置のそれぞれはトンネリング・クライアントを含む。この方法は、一般的に、コンピューティング・ネットワークのトンネリング・クライアントとキャリヤ・ネットワークのトンネリング・サーバとの間で第1のデータ・トンネル・レッグを確立すること、キャリヤ・ネットワークのトンネリング・サーバとリモート装置のトンネリング・クライアントとの間で第2のデータ・トンネル・レッグを確立すること、第1のプロトコルに関連付けられ、コンピューティング・ネットワークのトンネリング・クライアントによって使用される第1のテンプレートと、第1のプロトコルに関連付けられ、リモート装置のトンネリングによって使用される第2のテンプレートとを用いて、第1および第2のデータ・トンネル・レッグ並びにキャリヤ・ネットワークを介してリモート装置とコンピューティング・ネットワークとの間でデータを伝送することを含む。
本発明の第2の典型的な実施形態は、団体ネットワークおよびリモート装置と通信可能なキャリヤ・ネットワークにおいて実施される。この実施形態は、リモート装置がコンピューティング・ネットワークのネットワーク・データにアクセスすることを可能にする方法に関する。この方法は、一般的に、コンピューティング・ネットワークから第1の接続信号を受信すること、その第1の接続信号に応答して、キャリヤ・ネットワークとコンピューティング・ネットワークとの間で第1のデータ・トンネル・レッグを確立すること、リモート装置から第2の接続信号を受信すること、その第2の接続信号に応答して、キャリヤ・ネットワークとリモート装置との間で第2のデータ・トンネル・レッグを確立することを含み、第1のデータ・トンネル・レッグおよび第2のデータ・トンネル・レッグは統合されてバーチャル・プライベート・ネットワークとして動作する。
本発明の第3の典型的な実施形態は、モバイルまたはセルラー電話、PDA、ページャ、ラップトップ・コンピュータ等の装置内で実施される。この実施形態は、ユーザに装置を動作させ、その装置が遠隔的なコンピューティング・ネットワークのネットワーク・データにアクセスすることを可能にする方法に関する。この方法は、一般的に、第1のデータ・トンネル・レッグがキャリヤ・ネットワークのトンネル・サーバと遠隔的なコンピューティング・ネットワークとの間で既に確立されているとして、装置のトンネリング・クライアントからキャリヤ・ネットワークのトンネリング・サーバに接続信号を伝送すること、その接続信号に応答して、コンピューティング・ネットワークとキャリヤ・ネットワークとの間で第2のデータ・トンネル・レッグが確立されると、第1のプロトコルに関連付けられ、装置のトンネリング・クライアントによって使用される第1のテンプレートを用いて第2のデータ・トンネル・レッグを介してキャリヤ・ネットワークにデータ・リクエストを伝送することを含む。この実施形態では、遠隔的なコンピューティング・ネットワークは、第1のデータ・トンネル・レッグを介してキャリヤ・ネットワークからデータ・リクエストを受信する。更に、遠隔的なコンピューティング・ネットワークは、第1のプロトコルに関連付けられている第2のテンプレートを用いてデータを処理する。
本発明の更なる別の実施形態は、事業体または団体ネットワークのようなコンピューティング・ネットワークにおいて実施される。この実施形態は、ユーザにリモート装置を動作させ、そのリモート装置がコンピューティング・ネットワークのネットワーク・データにアクセスすることを可能する方法に関する。この実施形態は、一般的に、コンピューティング・ネットワークのトンネリング・クライアントからキャリヤ・ネットワークに第1の接続信号を送信すること、コンピューティング・ネットワークとキャリヤ・ネットワークとの間で第1のデータ・トンネル・レッグが確立されると、第1のデータ・トンネル・レッグを維持するためにコンピューティング・ネットワークからキャリヤ・ネットワークに賦活信号(keep alive signal )を送信すること、第1のデータ・トンネル・レッグおよびキャリヤ・ネットワークとリモート装置との間で確立される第2のデータ・トンネル・レッグを介してリモート装置からデータ・リクエストを受信することを含む。この実施形態では、データ・リクエストは、第1のプロトコルに関連付けられ、コンピューティング・ネットワークのトンネリング・クライアントによって使用される第1のテンプレートと、第1のプロトコルに関連付けられ、リモート装置のトンネリング・クライアントによって使用される第2のテンプレートを用いて伝送される。
本発明の上記および他の特徴は、以下の説明および添付図面からより完全に明らかとなろう。あるいは、以下に述べる本発明を実施することによっても理解されよう。
本発明の上記および他の利点および特徴を更に明らかにするために、添付図面に例示される特定の実施形態を参照して本発明のより特定的な説明が提供される。これらの図面は、本発明の典型的な実施形態のみを示すため、その範囲を制限するものとして考えられてはならないことは理解されるであろう。本発明は、添付図面を用いて更に特定されかつ詳細に記載され、説明される。
同様の構造には同一の参照記号が付されている図面を参照する。図面は、本発明の現在の好ましい実施形態の図式的且つ概略的表示であり、本発明を制限するものでもなければ、必ずしも一定の比率で拡大され描かれていないことも理解されよう。
図1乃至6は、一般的に、ローカル装置またはネットワークとリモート・モバイル装置との間での安全な接続を確立するシステムおよび方法を目的とした本発明の実施形態の様々な特徴を示す。本発明は、更に、ローカルおよびリモート装置間で確立される自発的バーチャル・プライベート・ネットワークを介して使用可能なローカルおよびリモート装置間の安全な通信にまで及ぶ。本発明の更なる実施形態は、異なる通信プロトコルを用いるローカルおよびリモート装置間のデータの安全な交換を含む。安全な通信を確立することについて異なるプロトコルに取って代わる本発明の能力により、データ・バッファリングおよび追加的なファイヤーウォール機能を含むシステム内の追加的な機能が更に使用可能になる。本発明は、ローカル・ネットワークにある多数のアプリケーションと相互作用するときにリモート装置に対する簡略化されたユーザ認証を可能にし、リモート装置のユーザによるアプリケーションの使用を効率的にする。
本発明の実施形態は、コンピュータ実行可能命令またはデータ構造が記憶されているコンピュータ読み取り可能媒体を含むか、あるいはそのような媒体に組み込まれる。コンピュータ読み取り可能媒体の例としては、RAM、ROM、EEPROM、CD−ROM、または、他の光学ディスク記憶装置、磁気ディスク装置あるいは他の磁気ディスク装置、または、コンピュータ実行可能命令またはデータ構造の形態で所望のプログラム・コード手段を有するか、あるいは記憶するために使用され、多目的または特定目的コンピュータによってアクセスされ得る全ての他の媒体を含む。情報がコンピュータにネットワーク、トンネル、チャンネル、または別の通信接続(有線、無線、または有線あるいは無線の組み合わせ)上で転送または供給されるとき、コンピュータは接続をコンピュータ読み取り可能媒体として正しく認識する。従って、全てのこのような接続は、コンピュータ読み取り可能媒体として正しく称される。上記の組み合わせは、コンピュータ読み取り可能媒体の範囲内に含まれる。コンピュータ実行可能命令は、多目的コンピュータ、特定目的コンピュータ、または、特定目的処理装置にある機能あるいはある機能の群を実施させる例えば、命令およびデータを備える。コンピュータ実行可能命令および関連するデータ構造またはモジュールは、本願記載の本発明のステップを実行するプログラム・コード手段の例である。
本発明は、更に、団体ネットワークのファイヤーウォールの背後に記憶されている団体ネットワークのネットワーク・データへのリモート・ユーザ・アクセスを可能にするコンピュータ・システムにまで及ぶ。これは、団体ネットワークとデータ・センターとの間でバーチャル・プライベート・ネットワークとして動作するデータ・トンネルを開通し、そのデータ・トンネルを通じてネットワーク・データを送信することを含むが、これに制限される訳ではない。当業者には本発明が携帯用コンピュータ、電話、無線電話、PDA、パーソナル・コンピュータ、マルチプロセッサ・システム、ネットワークPC、ミニコンピュータ、メインフレーム・コンピュータ等を含む多数のタイプのコンピュータおよび電話システムと多数の環境において実施され得ることが理解されるであろう。
1.システム環境
ローカル・ネットワークとリモート装置との間での安全な通信を可能にするシステムの一実施形態を示す図1を参照する。そのシステムは10と称される。図示するように、システム10は、団体ネットワーク12と、キャリヤ・ネットワーク14と、リモート装置16とを含む幾つかのコンポーネントを一般的に備える。特に、図1は、団体ネットワーク12とキャリヤ・ネットワーク14との間、および、キャリヤ・ネットワークと装置16との間のそれぞれにおいて最初に確立されるデータ・トンネル22を通じてリモート装置16のユーザの団体ネットワーク12のネットワーク・データ18および/または一つ以上のソフトウェア・アプリケーションへのアクセスを可能にする本発明のシステムおよび方法を示す。一実施形態では、団体ネットワーク12は、無許可のアクセスを防止するためにファイヤーウォール24の背後で保護されているネットワーク・データ18およびアプリケーション20を含む企業コンピュータ・ネットワークである。
本明細書において使用する用語「団体ネットワーク」は、互いにリンクされている処理装置によってタスクが実施される全てのコンピューティング環境を含むものとして広義に解釈されるべきである。団体ネットワーク12は、例えば、全ての事業体、企業、団体、個人、又は、他のエンティティのコンピューティング環境またはネットワークを含む。団体ネットワーク12では、本発明の特徴を実施するコンピュータ実行可能命令およびプログラム・モジュールは、ローカルおよびリモート・メモリ記憶装置に位置していてもよい。本文脈で使用される用語「団体」は、企業または組織構成のいずれかを有するようにネットワークを動作させるエンティティを必要としない。
用語「リモート装置」は、団体ネットワークに対して遠隔的に配置される様々な電子装置および機器を含むことは理解されるであろう。リモート装置の例として、モバイルまたはセルラー電話、PDA、ページャ、ラップトップ・コンピュータ等がある。リモート装置は、コンピュータ実行可能命令を受信、実行、および、送信することができる。
用語「ネットワーク・データ」および「企業ネットワーク・データ」は、ローカルおよびリモート・メモリ記憶装置に記憶され、団体ネットワーク12にアクセス可能な全てのデータを含むと解釈されるべきである。ネットワーク・データ18は、例えば、電子メール・データ、または、ウェブ・ページ・データを含む。一実施形態では、ネットワーク・データ22は、ファイヤーウォール24を含むファイヤーウォール・インフラストラクチャの背後で保護される。しかしながら、ファイヤーウォール・インフラストラクチャの背後で保護されていなくても、ネットワーク・データ22が団体ネットワーク12にアクセス可能な全てのデータを含むことは理解されるであろう。同様に、用語「アプリケーション」は、コンピュータまたは他の電子装置と関連して一つ以上の機能を実施するコンピュータ実行可能命令の全ての組を含むと広義に解釈されるべきである。
用語「トンネル」は、データが安全に送信され得る全てのチャンネルまたは他の通信線を含むと解釈されるべきである。当業者には、トンネルを通って送信されるデータが上記データにアクセスする許可が与えられた特定ユーザだけに運ばれるよう、トンネルを通る安全な通信を可能にするために使用される多数のプロトコルおよび暗号化並びに認証の方法があることは理解するであろう。「トンネル」、「データ・トンネル」、および、「チャンネル」は、本明細書で使用されるように置換可能であることも更に理解されるであろう。トンネルは、企業のファイヤーウォール・インフラストラクチャを通じてネットワーク・データへの安全なリモート・アクセスを可能にすることでバーチャル・プライベート・ネットワークとして動作する。
本発明によると、図1に示すように、データ・トンネル・レッグ22Aが団体ネットワーク12とキャリヤ・ネットワーク14との間で確立され、データ・トンネル・レッグ22Bがキャリヤ・ネットワークとリモート装置16との間で確立される。データ・トンネル・レッグ22Aおよび22Bは、団体ネットワーク12と装置16との間でデータを伝送するために使用される。特に、一実施形態におけるデータ・トンネル・レッグ22Aは、団体ネットワーク12とキャリヤ・ネットワーク14との間で継続的に開通されたデータ・トンネルとして確立され、維持される。そのトンネル・レッグによって、情報は、団体ネットワーク12から送信され、最終的にはリモート装置16に受信される。データ・トンネル・レッグ22Bは、リモート装置と団体ネットワーク12との間での情報の転送を可能にするようリモート装置16とキャリヤ・ネットワーク14との間のトンネルとして確立される。一実施形態におけるデータ・トンネル・レッグ22Bは、リモート装置16からデータが送信されるか、あるいは受信される必要がある場合にのみ開通される。それにより、継続的に確立されるデータ・トンネル・レッグ22Aとは異なり、一実施形態におけるデータ・トンネル・レッグ22Bは通信の必要が生ずる場合に断続的に確立される。この構成は、電力リソースが可能なときに保存されるべきPDAのような電池式装置をリモート装置16が備えるときに好ましい。
一般的に、データ・トンネル・レッグ22Aを確立するために、団体ネットワーク12はキャリヤ・ネットワーク14に接続信号50Aを送信する。それに応答して、キャリヤ・ネットワーク14は団体ネットワーク12とデータ・トンネル・レッグ22Aを確立する。同様に、リモート装置16はキャリヤ・ネットワーク14に接続信号50Bを送信し、それに応答してデータ・トンネル・レッグ22Bは確立される。例示する実施形態では、キャリヤ・ネットワーク14は、それぞれのデータ・トンネル・レッグを確立する際、団体ネットワーク12、リモート装置16、または、両方に接続信号応答53を送ってもよい。しかしながら、接続信号応答53がデータ・トンネル・レッグ22Aまたは22Bの確立において必須でないことは理解されるであろう。データ・トンネル・レッグ22Aおよび22Bの確立に関する詳細は以下に述べる。
本明細書で使用するように、用語「接続信号」は、ウェブ・ページ、ハイパーテキスト・マークアップ言語(HTML:hypertext markup language )データ、拡張マークアップ言語(XML:extensible markup language)データ、または、他のデータ・リソースへのアクセスを提供するためにキャリヤ・ネットワークに対するリクエストを表すユニフォーム・リソース識別子(URI:uniform resource identifier )を備えるデータを含むとして広義に解釈されるべきである。団体ネットワーク12およびリモート装置16のそれぞれによって生成される接続信号50Aおよび50Bは、システム設計に従って互いに独立して、あるいは、一斉に送信される。同様に、キャリヤ・ネットワークによる団体ネットワーク12およびリモート装置16両方に対する応答を、必要に応じて、同時に起こるよう調整することは可能であるが、キャリヤ・ネットワーク14は接続信号50Aおよび50Bのそれぞれに対して独立して応答するよう構成されることが好ましい。
団体ネットワーク12の場合、データ・トンネル・レッグ22Aは、一旦確立されると、賦活信号(keep alive signal) 51によって維持される。一実施形態では、賦活信号51は、データ・トンネル・レッグ22Aの存在を継続的に維持するためにキャリヤ・ネットワーク14から団体ネットワーク12に送られる少量のデータを備える。このデータは、100バイトのようなサイズを有するパケットで増加的に送られる。一実施形態では、賦活信号51は、団体ネットワークからのデータに対する少量のリクエストを備える。これに応答して、団体ネットワーク12は、リクエストされたデータでキャリヤ・ネットワーク14に対しデータ・トンネル・レッグ22Aを通じて応答し、トンネル・レッグ22Aの開通を維持する。同様にして、賦活信号51は、データ・トンネル・レッグ22の存在をレッグが活性的であるときに維持するために、キャリヤ・ネットワーク14から装置16に送られる。
上述したとおり、団体ネットワーク12とキャリヤ・ネットワーク14との間のデータ・トンネル・レッグ22Aは、リモート装置16が本明細書で記載するように団体ネットワーク12とバーチャル・プライベート・ネットワーク接続を確立することを試みるときにトンネル・レッグ22Aが継続的に利用可能となるように反復して、または連続的に確立される。例えば、賦活信号51は、リモート装置がバーチャル・プライベート・ネットワークと通信を確立することを試みるときにリモート装置16が経験する待ち時間を最小化するに十分に高い頻度、例えば、20秒毎に定期的に送られる。団体ネットワーク12とキャリヤ・ネットワーク14との間で伝送される接続信号50Aおよび賦活信号51は、リモート装置16がバーチャル・プライベート・ネットワークを確立することを最終的に試みる準備をしているという背景の下、自動的に送信される。反対に、リモート装置16によってキャリヤ・ネットワーク14に送られる接続信号50Bは、一般的に、バーチャル・プライベート・ネットワーク接続を確立することをユーザが望むことを示すリモート装置のユーザからの入力に応答して送信される。多数の団体ネットワークが現在のシステムに含まれている場合、初期の接続信号50Bまたはトンネル・レッグ22B上で後に伝送されるデータは、装置が通信すべき目標となる団体ネットワーク12を識別することができる。
団体ネットワーク12の場合、接続信号50A、賦活信号51、および接続信号応答53は、ファイヤーウォール24を通じて伝送される。当業者は、ファイヤーウォール24がハードウェア、ソフトウェア、またはその両方の組み合わせを含んでもよいことは理解するであろう。本質的に、ファイヤーウォールは、ネットワークの指定されたポートを通るアクセスを禁止し、ネットワーク・データがファイヤーウォールの外側から無許可のユーザによってアクセスされないことを確実にするセキュリティ機構である。一つのファイヤーウォール24のみが示されているが、より一層のデータ保護を提供するために、必要に応じて多数のファイヤーウォールが用いられる。団体ネットワーク12に関わる接続信号50A、賦活信号51、および全ての接続信号応答53は、セキュリティ機構としてファイヤーウォール24と共に用いられる一つ以上のプロキシ・サーバ82を通ることができる。
図1に示すように、キャリヤ・ネットワーク14は、サーバを用いて接続信号50Aおよび50Bを受信し、賦活信号51を送信する。本実施形態では、自発的バーチャル・プライベート・ネットワーク(sVPN:spontaneous virtual private network )のコンポーネントとして動作するウェブ・サーバ、またはsVPNサーバ60が利用される。一つのsVPNサーバ60のみが図1に示されているが、キャリヤ・ネットワーク14が多数の団体ネットワーク/リモート装置と通信し、多数のデータ・トンネル(図示せず)の維持を可能にするためにキャリヤ・ネットワーク14が多数のウェブおよび/またはsVPNを備えていてもよいことは理解されるであろう。sVPNサーバまたはウェブ・サーバは、コンピューティング・ネットワークとリモート装置との間でデータ・トンネルを確立するために本明細書に記載するようにトンネリング・クライアントと動作する「トンネリング・サーバ」の例である。本発明によると、単一の団体ネットワークまたはリモート装置と単一のウェブ・サーバとの間、または、単一の団体ネットワークまたはリモート装置と多数のウェブ・サーバとの間で多数のデータ・トンネルが確立され得ることは理解されるであろう。
団体ネットワーク12およびリモート装置16は、それぞれの接続信号50Aおよび50Bをキャリヤ・ネットワーク14に送信し、それに応答して接続信号応答53を受信するためにsVPN団体クライアント52およびsVPN装置クライアント54をそれぞれ使用する。「接続信号応答」は、接続信号50Aおよび50Bの受信に応答してキャリヤ・ネットワーク14によって送信され、キャリヤ・ネットワーク14と団体ネットワーク12との間、および、キャリヤ・ネットワークとリモート装置16との間でそれぞれトンネル・レッグ22Aおよび22Bの開通を維持するよう継続的に送信される全てのデータを含むと解釈されるべきである。sVPN団体クライアント52は、リモート装置が通信するネットワークで動作する「ネットワーク・クライアント」の例である。同様に、sVPN団体クライアント52およびsVPN装置クライアント54は、それぞれネットワークおよびリモート装置に常駐し、本明細書に記載するように完全なデータ・トンネルを形成するよう接続されるデータ・トンネル・レッグを確立する「トンネリング・クライアント」の例である。
前述したように、団体ネットワーク12に入出するデータは、ネットワークへの無許可アクセスを防止するためにセキュリティ機構として機能するファイヤーウォール24を通らなくてはならない。本発明では、接続信号50A、賦活信号51、および接続信号応答53の送受信によるファイヤーウォール24の通過は、データがTCP/IPまたはウェブ・トラフィックと典型的には関連付けられる別の適当なフォーマットでパケット化されることにより実現される。従って、接続信号50A、賦活信号51、および接続信号応答53の伝送は、ウェブ・トラフィックのために予約されているファイヤーウォール24に既に設けられているポートを介して実行され、それにより、ファイヤーウォールに追加的なポートを設ける必要性が排除され、データ伝送が簡略化される。
団体クライアント52、装置クライアント54、およびsVPNサーバ60は、接続信号50Aおよび50Bを開始または応答するソフトウェア、および、以下に詳細に説明するように必要に応じてプロトコル間でデータをトランスコードするソフトウェアを含むsVPN通信技術を実行するソフトウェアを組み込む。それにより、団体クライアント52および装置クライアント54は、前述したように、sVPNサーバ60とそれぞれ安全なデータ・トンネル・レッグ22Aおよび22Bを確立することが可能となる。これらコンポーネント間の従来のVPNインタフェースが回避されるため、典型的なVPNインストレーションに対応する課題も回避される。特に、ファイヤーウォールのポートを開けることを許可する出発信号を送ることでデータ・トンネル・レッグ22Aおよび22Bが確立されるため、従来のVPNシステムでは要求される団体ネットワーク12におけるVPNハードウェアを必要とすることなく、バーチャル・プライベート・ネットワークは確立される。上述のコンポーネントと同様のコンポーネントとのsVPN接続の確立および使用に関する更なる詳細は、本明細書に参照として全体的に組み込まれる、2001年6月22に出願された「携帯型装置と事業体ネットワークとの間の自発的バーチャル・プライベート・ネットワーク(Spontaneous Virtual Private Network Between Portable Device and Enterprise Network)」なる名称の米国特許出願番号第09/767,465号に開示されている。
本説明における団体ネットワーク12のsVPNコンポーネントは、コンピュータ・サーバまたは団体ネットワーク内の同様のコンポーネントに位置する団体クライアントとして特徴付けられる。しかしながら、本発明は、それに制限されない。実際に、一実施形態では、sVPNコンポーネントは、団体ネットワーク12内のデスクトップ・コンピュータに位置するデスクトップ・クライアントとして実行される。このような実行において、デスクトップ・クライアントは、例えば、コンピュータ上にWIN32アプリケーションとして常駐する。従って、図1に示す例は、本システムの当該コンポーネントと可能なバリエーションの典型例である。
団体ネットワーク12の団体クライアント52からリモート装置16の装置クライアント54に確立されるデータ・トンネル22を示す図2を参照する。以下に説明するように、上述の接続信号/接続信号応答の相互作用を介した団体クライアント52とキャリヤ・ネットワーク14のsVPNサーバ60との間のデータ・トンネル・レッグ22A、および、sVPNサーバと装置クライアント54との間のデータ・トンネル・レッグ22Bの形成により、sVPNサーバは、二つのデータ・トンネル・レッグの連結の橋渡しを行い、団体ネットワーク12からリモート装置16への完全なデータ・トンネル22を動作可能に形成する。データ・トンネル・レッグ22は、リモート装置16と団体ネットワーク12との間、より具体的には、団体クライアント52、装置クライアント54、および、sVPNサーバ60のようなsVPN有効装置間で安全なデータ転送が行われることを可能にする。現在の好ましい実施形態では、団体クライアント52とキャリヤ・ネットワーク14との間、および、キャリヤ・ネットワークと装置クライアント16との間のアクセスが全体的にあるいは部分的にインターネットを介して実行されることが理解されるであろう。したがって、拡大解釈すると、上述のコンポーネントは、それぞれインターネットを介してデータを送受信するよう構成される。
団体クライアント52および装置クライアント54は、必要に応じてトンネル22の開通が維持されることを確実にするためにそれぞれのトンネル・レッグ22Aおよび22Bをモニタリングする。何らかの理由により、トンネル・レッグ22Aまたは22Bが望ましくはないが閉じられた場合、それぞれのクライアントがキャリヤ・ネットワーク14に新しい接続信号を送信することでキャリヤ・ネットワーク14のsVPNサーバ60と新しいデータ・トンネル・レッグを開通する。一旦新しいトンネル・レッグが確立されると、sVPNサーバ60は、自身と当該クライアントとの間のトンネル・レッグと他方のクライアントとの先に確立されたトンネル・レッグとのリンケージの橋渡しを行う。本明細書では幾つかの動作が団体クライアント52または装置クライアント54によって特定的に実施されているように説明されているが、団体ネットワーク12が団体クライアントを含み、リモート装置16が装置クライアントを含む限り、団体クライアントによって実施される全ての動作が団体ネットワークによって実施される動作でもあり、装置クライアントによって実施される動作がリモート装置によって実施される動作でもあることは理解されるだろう。別の実施形態では、sVPNサーバ60は、データ・トンネル・レッグ22Aを特定的にモニタリングし、何らかの理由によりレッグが閉じられたか失われた場合に団体ネットワーク12に通知するに過ぎない。それにより、団体ネットワーク12は、データ・トンネル・レッグ22Aを再確立する措置を講じる。
現在の好ましい実施形態における団体クライアント52と装置クライアント54との間のデータ・トンネルは、通信制御プロトコル/インターネット・プロトコル(TCP/IP:transmission control protocol/internet protocol )、セキュア・ソケット・レイヤー・プロトコル付きハイパーテキスト転送プロトコル(HTTPS:hypertext transfer protocol with secure sockets layer protocol)、IPセキュリティ・プロトコル(IPsec:IP security protocol)、またはデータ転送用の他の適当なプロトコルを用いる。これらのプロトコルを用いることで、接続信号、ネットワーク・データ、接続信号応答、および他のアクセス・リクエストはパケットに暗号化され、団体ネットワーク12の「ポート443」(図示せず)を用いてデータ・トンネル22上で伝送される。ポート443は、団体ネットワーク12からインターネットにアクセスすることがユーザに可能となるよう典型的にはファイヤーウォール23において開けられている。
前述したように、本発明は、遠隔的なモバイル位置からの安全なVPN関連の通信を可能にするためにファイヤーウォール・インフラストラクチャにおける既存の開ポートを用いる。従って、インストールし維持するのに高価で時間がかかる従来のVPNハードウェアおよびソフトウェアの使用を必要とする従来技術に比べて、本発明は、ファイヤーウォール・インフラストラクチャに追加的なポートを開ける必要がないために改善されていることは理解されるであろう。更に、本発明は、定められたプロトコルに準拠することを確実にするためにポートを通って送信される全てのデータ・パケットのフィルタリングをプロキシ・サーバに可能にさせる。
団体クライアント52および装置クライアント54に関連する様々な詳細を示す図3を以下に参照する。明確化のために、本図および後続する図においてシステム10を備える幾つかの他のコンポーネントは省略されている。例示するように、団体クライアント52および装置クライアント54の両方は、それぞれ複数のソフトウェア・テンプレート100および102を含む。各テンプレート100および102は、団体クライアント52と装置クライアント54との間でデータを伝送する際に使用される特定のプロトコル用に構成される。従って、図3は、団体クライアント52に配置されるテンプレート100A、100B、・・・ 、100Nと指定される複数のN個のテンプレート100を示す。同様に、装置クライアント54は、102A、102B、・・・ 、102Nと指定されるN個のテンプレートを含む。団体クライアント52および装置クライアント54において同様に指定されたテンプレートの対それぞれは、各テンプレートが表すプロトコルについて同一である(例えば、テンプレート100Dに含まれるプロトコル・フォーマット(インスタント・メッセンジャー・プロトコル等)は、同様にインスタント・メッセンジャー・プロトコルに関連するテンプレート102Dに含まれるものと同一である)。この類似に関わらず、一実施形態では、団体クライアント52に位置する各テンプレート100は、実際のプロトコル・コードを含み、装置クライアント54に位置するテンプレート102は、プロトコル・フォーマットは同一であるが、実際のプロトコル・コードではなくプロトコル・フォーマッティングを含むに過ぎない。これは、リモート装置16の限定されたメモリおよび処理リソースを保つために行われる。
テンプレート100、102は、団体クライアント52と装置クライアント54との間でアプリケーション・データ、コマンド等の情報の転送を補助するために用いられる。特に、各テンプレート100、102は、既に述べたように、特定の通信プロトコルに従ってデータ転送を可能にする。このために、各テンプレート100、102は、それぞれのプロトコルに固有のコマンドまたは他のデータ特徴に対応する一つ以上のインフレクション点104を含む。
例えば、テンプレート対100A/102Aは、団体ネットワーク12とリモート装置16との間で電子メール・コマンドおよび/またはデータを転送することに使用されるPOP電子メール・プロトコルに対応するよう構成されている。このように、各テンプレート100Aおよび102Aは、POPプロトコルに特有の様々なコマンドおよびデータを含み得る複数のインフレクション点104を含む。これにより、図3にそれぞれ示されるリモート装置16に配置されるPOPベースの電子メール・アプリケーション106と団体ネットワーク12のPOP電子メール・サーバ108との間でPOP電子メール・データを伝送することにテンプレート100Aおよび102Aが利用されることが可能となる。
別の例では、テンプレート対100/102は、メッセージの送信、メッセージの受信、バディ・リストの引き出し、ログインといったインスタント・メッセンジャー・アプリケーションによって実行される四つの主なタスクを含むインスタント・メッセンジャー・プロトコルに対応するよう構成される。従って、インスタント・メッセンジャー・プロトコルに対応するテンプレート対100/102は、インスタント・メッセンジャー・アプリケーションによってそれぞれ実施され得る上述の四つのタスクの一つにそれぞれ対応する少なくとも四つのインフレクション点を含む。テンプレート対100/102は、本明細書に記載するように本システム10内に導入される新しいプロトコルまたはインフレクション点に対応するよう容易に変更または追加され得る。
テンプレート100および102の対応する対は、様々なプロトコルのいずれか一つに対応するよう構成され、そのため、本明細書で提供されるテンプレートのタイプおよび数の両方を示す例は典型例に過ぎない。更に、図3はリモート装置16と関連付けられる電子メール・アプリケーション106および団体ネットワーク12と関連付けられる電子メール・サーバ108を示すが、団体ネットワークとリモート装置との間で安全な通信を可能にするために本システムと関連して幅広い範囲のアプリケーションおよび/またはプログラムが使用され得ることは理解されるであろう。
2.ネットワーク・データへのリモート・アクセス
図2および図3を併せて参照する。説明したシステムおよび環境は、自発的バーチャル・プライベート・ネットワークの構成を通じてリモート装置と団体ネットワークとの間で安全なデータの交換を可能にするために本発明の方法を実施するのに適している。同方法によれば、団体ネットワーク12の電子メール・サーバ108に含まれる電子メール情報のようなネットワーク・データに遠隔的にアクセスすることを望むユーザは、本例ではウェブ有効PDAを備えるリモート装置16を用いてキャリヤ・ネットワーク14と通信線またはデータ・トンネル・レッグ22Bを開通する。データ・トンネル・レッグ22Bは、上述のように、リモート装置16とキャリヤ・ネットワーク14との間で接続を確立する接続信号/接続信号応答機構を用いて確立される。データ・トンネル・レッグ22Bの確立と同時にあるいは以前に、上述した同一の接続信号/接続信号応答ルーチンを用いて団体ネットワーク12とキャリヤ・ネットワーク14との間でデータ・トンネル・レッグ22Aが確立される。
現在の好ましい実施形態は、上述の手順と共に、システムが正しく構成され、全てのユーザおよびシステム・コンポーネントが正しく認証されることを確実にする装置およびユーザ認証およびセキュリティ手順も含む。具体的には、認証およびセキュリティ・タスクを実現するために三層方式が利用される。第1の層は、リモート装置16および団体ネットワーク12の両方を認証する装置認証タスクを備える。リモート装置16または団体ネットワーク12のいずれかがsVPNサーバ60とのデータ・トンネル・レッグの確立を試みるとき、それぞれのクライアントは、接続信号50Aまたは50Bと共にまたはそれに後続して、クライアント識別表示(CID:Client Identification )のような識別コードを送信する。CIDは、本システム10とデータを取引するのに有効なものとして対応するクライアントを認証する暗号化された証明書である。CIDを受信すると、sVPNサーバ60は、当該クライアント、従って、そのホスト(即ち、団体クライアント12またはリモート装置16)をシステム10のコンポーネントとして認証する。以下に明らかとなるように、各クライアント52および54のCIDは、データ・トンネル・レッグ22Aおよび22Bを単一のデータ・トンネル22に接続する際に後の段で使用される。
前述したように、装置52および54のいずれか一方からsVPNサーバ60へのCIDおよび関連するデータの送信は暗号化されている。本実施形態では、この暗号化はx.509証明書を用いて実現される。x.509証明書は、sVPNサーバ60を介してシステム内でのデータの取引に使用される様々なコンポーネントが有効な装置であることを確実にするようデジタル署名として使用され得る。一実施形態では、sVPNサーバ60には、sVPNサーバが後に動作中にこれらデジタル署名を有効にすることができるよう、製造中に要求されるデジタル署名および証明書データが予めロードされている。
上述の第1の層の装置認証手順が完了すると、データ・トンネル・レッグ22Aおよび22Bがそれぞれ装置52および54とsVPNサーバ60との間で確立される。しかしながら、完全なデータ・トンネル22が形成されデータが団体ネットワーク12とリモート装置16との間で取引される前に、セキュリティおよび認証タスクの他の二つの層が完了されなくてはならない。第2の層では、安全なデータ転送を可能にするために様々なセキュリティ手順が実施される。第1に、団体クライアント52および装置クライアント54によって使用されるセッション・キーが作成される。本実施形態において、該ステップは、2,048ビットのセッション・キーを作成するRSAアルゴリズムを用いて実施される。これらステップは、リモート装置16の装置クライアント54によって実施され、団体ネットワーク12にsVPNサーバ60を介して送信され、団体クライアント52によってセッション・キーが受信されることが好ましい。別の実施形態では、団体クライアント52のような他のコンポーネントがセッション・キーを作成してもよい。
セッション・キーは、作成された後、団体ネットワーク12とリモート装置16との間のデータ伝送中に使用される暗号化プロトコルを設定するために使用される。本実施形態では、セッション・キーに基づいてデータ暗号化を設定するためにRC−4技術が使用される。次に、暗号化が正確に実施され、外部的イベントによって壊されないことを確実にするためにMD−5のようなメッセージ・ダイジェストが使用される。
これら様々なセキュリティ装置およびアルゴリズムにより、様々なコンポーネント間で伝送されるべきデータの安全な暗号化が確実にされる。この時点で、第1の段で作成されるx.509証明書が終了され、図2および3に示されるように、団体ネットワーク12からリモート装置16への完全なデータ・トンネル22がsVPN60によって確立される。
一旦、完全なデータ・トンネル22が確立されると、セキュリティおよび認証方式の第3の層が実行され、団体ネットワーク12は、データが取引される前にユーザが団体ネットワークにアクセスする権限があることを確認するためにリモート装置16のユーザの身元を認証する。一実施形態では、ユーザの身元は、ユーザが個人識別番号を入力すると認証される。別の実施形態では、ユーザの身元は、ユーザに割り当てられた対応する公開および秘密キーを有するツイン・キー暗号化のような暗号化技術を用いてインターネット上で確認される。当業者には、ユーザの身元を認証する方法は様々であり、そのどれも本発明に従って使用され得ることが理解されるであろう。ユーザの身元を認証する他のこのような方法は、トークンおよびスマート・カードを含むがこれらに制限されない。ユーザ認証に関する詳細は、以下の通りである。
本明細書で提供される詳細に関わらず、上述の三層方式によって得られるセキュリティおよび認証結果を提供するために他の方法が使用され得ることは理解されるであろう。更に、三層のどの一層も同じタスクを実質的に達成する別の手順と置き換えられ得る。最後に、三層全てが本発明と関連して実施されることが好ましいが、三層以下、または、代替的には、三層以上が安全なデータ交換のために本システム10を確立する際に利用され得ることは理解されるであろう。
一旦、三層のセキュリティおよび認証の全てが満たされると、ユーザは、リモート装置16の装置クライアント54を介して団体クライアント52によって受信されるアクセス・リクエストをデータ・トンネル22に沿って団体ネットワーク12(sVPNサーバ60を介して)に送信する。アクセス・リクエストは、ネットワーク・データ18またはアプリケーション20に対するアクセスを必要とする全てのリクエストを含む。例えば、アクセス・リクエストは、電子メール・メッセージ、ウェブ・メッセージ、文書ファイル、または団体ネットワーク12の他のデータへのアクセスを受信するリクエストを含む。図3に示すように、リモート装置の電子メール・アプリケーション106は、団体ネットワーク12の電子メール・サーバから電子メール情報を受信するために装置クライアント54を介してアクセス・リクエストを発する。このように、アクセス・リクエストは、リモート装置16の装置クライアント54によってパケット化され、データ・トンネル22を用いて送信される。
一旦、データ・トンネル22が確立され、全ての認証およびセキュリティ手順が満たされると、sVPNサーバ60が、アクセス・リクエスト、アクセス応答、または、リモート装置16と団体ネットワーク12との間で転送される全ての他のデータと相互作用(即ち、キャッシング、トランスコーディング、解読等)をせず、単にデータ転送を可能にすることが好ましい。
上述のような接続信号50、賦活信号51、および接続信号応答53と同様に、本実施形態において装置クライアント54によって送信されるアクセス・リクエストは、ウェブ・トラフィックとして送信されることを可能にするようなプロトコル構成を備える。特に、アクセス・リクエストを備える各パケットは、ファイヤーウォール24およびプロキシ82にパケットをウェブ・トラフィックとして認識させ、団体ネットワーク12の指定されたポート、この場合ポート443を通る径路を許可させるhttpヘッダまたは同様のプロトコル識別子を含む。基本となるプロトコル、例えば、IPSecもパケットに常駐し、アクセス・リクエストに関する実際のデータを含む。従って、装置クライアント54によって送信されるアクセス・リクエストを備えるデータ・パケットのこの構成により、このようなトラフィックのために既に開けられているポートを通過することができるため、ファイヤーウォール24に別のポートを開ける必要性が回避される。装置クライアントのアクセス・リクエストに対する団体クライアント52による応答を備える全てのパケットも、ファイヤーウォール24を自由に通過することができるようパッケージ化される。
アプリケーションによって元々生成され、リモート装置16の装置クライアント54によって送られる上述のアクセス・リクエストは、装置クライアント54の対応するテンプレート102を用いてデータ・トンネル22を介して送信される。例えば、アクセス・リクエストは、リモート装置16の電子メール・アプリケーション106によって使用されるべき電子メール・ヘッダ情報に対するリクエストに関連してもよい。アクセス・リクエストは、電子メール・リクエストに関連するテンプレート102Aを用いて送信される。テンプレート102Aのインフレクション点104は電子メール・ヘッダ・リクエストに対応する。更に、アクセス・リクエストは、様々なリクエスト・タイプのいずれか一つを備え、テンプレート100および102はこれらタイプの一つに関連するよう構成され得る。この構成において、装置クライアント54の電子メール・アプリケーション106は、団体ネットワーク14に実際に配置されるアプリケーションまたはサーバを表すものとしてテンプレート102を解釈する。このように、テンプレート102は、該団体アプリケーションまたはサーバ、この場合、電子メール・サーバ108に対する「プロキシ」として機能する。
図3から分かるように、装置クライアント54によって送信されるテンプレートされたアクセス・リクエストは、sVPNサーバ60、プロキシ・サーバ82、およびファイヤーウォール24を通過した後、データ・トンネル22を介して団体クライアント52で受信される。アクセス・リクエストが好ましい実施形態においてウェブ・トラフィックの構成で送信されるため、ファイヤーウォール24は、トラフィックのために既に開けられているポートを通ることを可能にし、別のポートを開ける必要性が回避される。
団体クライアント52は、団体ネットワーク12における指定されたアプリケーションに送出する前に適当なテンプレート100にアクセス・リクエストを適合させる。例えば、上記例に続いて、装置クライアント54から送られる電子メール・ヘッダ・アクセス・リクエストは、団体クライアント52によって受信され、適当なテンプレート100Aと適合される。テンプレート100Aのインフレクション点104に含まれるデータが抽出され、電子メール・サーバ108に送られ、そこでアクセス・リクエストが処理され、アクセス・リクエストに応答してリクエストされたデータが団体クライアント52に送られる。装置クライアント54の場合のように、電子メール・サーバ108はリモート装置16に実際に遠隔的に配置される電子メール・アプリケーション106を表すとしてテンプレート100Aを解釈する。従って、テンプレート100Aは、電子メール・アプリケーション106に対するプロキシとして機能する。
アクセス・リクエストが応答される方法は、団体ネットワーク12によって定められるおよび/または制限される。アクセス・リクエストに応答してどの動作を実施させるかを団体ネットワーク12に制御させることにより、団体ネットワークは、ネットワーク・データおよびアプリケーションへのアクセスに対する制御を維持することができ、これらネットワーク・エレメントがネットワーク内でどのようにして操作されるかを制御することができる。予め定められた動作は、電子メール・ヘッダの引き出し、電子メール・メッセージ・ボディの引き出し、ウェブ・ぺージ・データの引き出し、電子メールの削除、電子メール・データあるいはウェブ・ページ・データのユーザへのファックス、および、団体クライアント52と装置クライアント54との間で他のネットワーク・データを送信することを含むが、これらに制限される訳ではない。
一旦、団体クライアント52によって受信されると、データは、適当なテンプレート100に従ってアクセス・リクエストに対するアクセス応答としてパケット化される。テンプレートされたアクセス応答は、上述の方法と同様に装置クライアント54によって受信されるようデータ・トンネル22を介して送出される。一実施形態では、アクセス応答は、前述したように、データ・トンネル・レッグ22Aの開通を維持するために団体クライアント52によって継続的に送られている継続的な接続信号列に組み込まれ得る。
一実施形態では、アクセス応答に含まれるデータの送信は、データ・トンネル22を介して実施される。別の実施形態では、アクセス応答の送信用に第2のデータ・トンネル(図示せず)が確立される。これらデータ・トンネルは、団体ネットワーク12とリモート装置16との間でデータの安全な送信を可能にすることについて自発的VPN構造において団体クライアント52、装置クライアント54、およびsVPNサーバ60と協働することに注意する。第2のデータ・トンネルがデータ転送のために使用される場合、第2のデータ・トンネルは、データ・トンネル22のために使用されるものと同じポート(例えば、インターネット・ポート80、ポート443)を通じて、または別のポートを通じて確立され得る。
一実施形態では、ヌル・テンプレート対(図示せず)がテンプレート100および102において指定され得る。ヌル・テンプレート対は、団体または装置クライアントの他のテンプレート100または102と比較され、どのテンプレートとも適合しないデータを団体クライアント52と装置クライアント54との間で捕捉し送信するよう構成される。このような適合しないデータは、団体クライアント側または装置クライアント側のいずれか一方のヌル・テンプレートによって捕捉され、他方のクライアントのヌル・テンプレート上で伝送される。対応するクライアント54は、予め定められた手順に従ってデータを送出する。この構造において、ヌル・テンプレートは、自発的VPNシステムを従来のVPN構造と同様に動作させ、このときデータは、プロトコル・テンプレート100および102に従って収集も割り当てもされない。
一つ以上のリモート装置がいつでも団体ネットワーク12と関連して利用され得ることに注意する。従って、一つのリモート装置の図示は、例に過ぎない。同様にして、本発明の範囲において、本発明の示唆に従って一つ以上の団体ネットワークに配置される多数の団体クライアントが利用され得る。ネットワーク・システムに対する本発明の実施形態を実現させる様々な技術を示す図4A、4B、および4Cを参照する。説明される実施形態は例に過ぎず、従って、他の実施形態による方法も使用され得ることに注意する。図4Aおよび4Bに関連して以下に提供する最初の二つの実施形態では、完全な暗号化技術が装置クライアント54から団体クライアント52にそれらの間で送信される通信を確実にするために用いられることが好ましいことに注意する。
図4Aでは、第1の実施形態の方法が示され、本システム10の装置クライアント54がリモート装置16の装置アプリケーション110にまとめられる。団体クライアント52は前述のように、団体ネットワーク12内のソフトウェア構成に配置される。従って、装置クライアント54および団体クライアント52の両方がそれぞれ団体ネットワーク12およびリモート装置16におけるソフトウェア・モジュールとして実行される。
図4Bでは、図4Aと同様に、団体クライアント52および装置クライアント54の両方がソフトウェア・モジュールとして実行される。しかしながら、図4Aとは異なり、本実施形態では、リモート装置16内に配置される一つ以上の装置アプリケーション110に対して別々に位置決めされる別個のソフトウェア・モジュールとして装置クライアント54を実現する。先のように、団体クライアント52は、団体ネットワーク12内のソフトウェア・モジュールとして常駐する。この実施形態において、装置クライアント54は、装置アプリケーションからのコマンドおよびデータが送信され受信されるポートを装置クライアントに継続的にモニタリングさせるポート・リスナ・スキームを実行することで装置アプリケーション110と相互作用する。一旦、検出されると、このコマンドおよびデータ情報は装置クライアント54によって妨害され、前述のように、キャリヤ・ネットワーク14およびsVPNサーバ60を介して団体クライアント52に送信される前に適当なテンプレート102に含まれるよう操作される。
図4Cにおいて、第3の実施形態が示され、ユーザ・インタフェース・サービス(UIS:user interface service)のようなユーザ・インタフェースが用いられる。ここでは、無線アプリケーション・プロトコル(WAP:wireless application protocol )ブラウザの形態にあるUISは、それぞれのプロトコル・テンプレート100および/または102を介して団体クライアント52または装置クライアント54からのアプリケーション・プロトコルと相互作用する。図4Cから分かるように、例えば、団体データベース18またはアプリケーション20からのリクエストされたデータは、前述のテンプレート・スキームを再び用いて暗号化され、団体ネットワーク12によってキャリヤ・ネットワーク14のsVPNサーバ60に送出される。キャリヤ・ネットワーク14のsVPNサーバ60または他のコンポーネントは、リモート装置16に送る前にデータをビジュアル・フォーマットにする。リモート装置16の装置クライアント54は、ビジュアル・データを解読し、必要あるいは所望であれば更に処理する。本実施形態は、中でも、例えば、WAP有効携帯電話用の電子メール・サービスのようなWAPプロトコルを用いるシステムにおいて実現される。更に、本UIS構成を組み込む実施形態において、UISはキャリヤ・ネットワーク14においてsVPNサーバと通常配置される。このような実施形態では、UISは、必要に応じて、本発明と既に関連するものを向上させるためにセキュリティ機構に寄与する。例えば、WAPプロトコルを用いるUISの実現において、WAP関連のセキュリティ・プログラムであるWTLSは、データ保護および保全を提供するために利用され得る。
3.プロトコル・マッピング
本発明の別の実施形態を示す図5を以下に参照する。上述のように、安全な通信を可能にするシステム10は、異なるプロトコル上で団体ネットワーク12とリモート装置との間のデータ転送を可能にするために用いられる。図5は、先のように、一組のテンプレート100および102をそれぞれ含む団体クライアント52および装置クライアント54を示す。本実施形態では、団体クライアント52および装置クライアント54は、一方のテンプレート100/102(所与のプロトコルに関わる)のインフレクション点104を異なるプロトコルに関わる他方のテンプレート102/102のインフレクション点104にマッピングするよう構成される。この特徴により、一方のプロトコル・フォーマットのデータを別の異なるプロトコル・フォーマットにおけるデータを表すようスイッチさせるかマッピングさせることが可能となる。それにより、団体ネットワーク12とリモート装置16との間の従来の非対応プロトコルのデータ転送が、自発的VPNの暗号化特徴を保ちながら可能となる。
本発明の非制限的な例において、図5は、装置クライアント54と通信するリモート装置16の電子メール・アプリケーション106を示す。同様にして、団体ネットワーク12の電子メール・サーバ108は、団体クライアント52と通信するように示されている。本例における電子メール・アプリケーション106はPOPプロトコルに対応し、電子メール・サーバ108はMAPIプロトコルに対応する。従って、二つのプロトコルは互いと直接的に通信する能力について異なる。本実施形態は、一方のプロトコルから他方にマッピングすることでこの違いを解消する。典型的には、電子メール・アプリケーション106からの「電子メール・メッセージ・ヘッダを引き出す」コマンドは、装置クライアント54によって受信され、適当なテンプレート、本例では、POPテンプレート102Bに適合される。テンプレート102Bは、電子メール・サーバ108に記憶される電子メール・メッセージ・ヘッダを引き出すPOPコマンドを含む少なくとも一つのインフレクション点を含むインフレクション点104を含む。テンプレートされたコマンドは、上述の通りアクセス・リクエストとして団体ネットワーク12の団体クライアント54にデータ・トンネル22を介して送られる。
一旦、テンプレートされたコマンドを受信すると、団体クライアント52はそのマッピング特徴を用いてテンプレートされたPOPコマンドのインフレクション点104を、コマンドの意図するターゲットである電子メール・サーバ108のMAPIプロトコルに対応するテンプレート100のインフレクション点に適合させる。従って、団体クライアント52は、電子メール・サーバ108のMAPIプロトコルに対応するテンプレート100Aにコマンドをマッピングする。電子メール・メッセージ・ヘッダを引き出すための、マッピングされテンプレートされたコマンドは、MAPIプロトコル・フォーマットで電子メール・サーバ108に送出され、サーバによって理解され動作される。リクエストされた情報を含むアクセス応答は、電子メール・サーバ108によって準備され、団体クライアント52に送出され、同様のマッピング処理が後続されてアクセス応答データがPOPプロトコル・フォーマットに変換され、装置クライアント54を介して電子メール・アプリケーション106によって受信される。
上記例で実施されたように、いずれか一方あるいは両方のクライアントがこのようなマッピングを達成するために構成されるが、団体クライアントが様々なプロトコルのマッピングに使用されることが好ましい。特定のクライアントがマッピングを実施するために使用されるとき、他方のクライアントは、一般的に、意図するアプリケーションまたはサーバにマッピングされたコマンドを到着させるための通過路として機能する。
多数のアプリケーションが上記マッピングの実施形態からの恩恵を受ける。実際に、電子メール・アプリケーションに加えて、別のデータ記憶場所からPDAでデータを更新するために典型的に使用されるアクティブ・シンク(Active Sync )およびホット・シンク(Hot Sync)のような同期アプリケーションがこのマッピング特徴の適用の更なる例である。同様に、本明細書で特定される例は、本発明を如何なる方法であっても制限することを意図しない。
4.プロトコル・バッファリング
本発明の更なる別の実施形態は図5に示される。バッファリング特徴は、ある複雑な状況が発生したときにプロトコル間のマッピングに対応するよう本発明のプロトコル・マッピング特徴と共に実行され得る。ある状況では、データ・トンネル22と他のコンポーネントによって定められる通信ルートに沿って生ずる過渡条件は、団体ネットワーク12とリモート装置16との間で伝送されるデータのストリームを一時的に中断させる。これが生ずると、テンプレート対100/102の特定されたテンプレートは、データの伝送を一時的に停止させ、代わりに、通信ルートに沿った過渡条件が解消されデータ・トンネル22が再確立されるまでデータをテンプレート自身に記憶させる。特定されたテンプレートは、データ送信を再開して、一時的にバッファリングされたデータを送る。従って、団体クライアント52と装置クライアント54との間の接続における一時的な中断によってデータが損失されることはない。
第2の状況では、本発明のプロトコル・バッファリング特徴は、データ・パケットの正しい伝達を可能にする。本システムと関連して使用される幾つかの伝達システムでは、団体ネットワーク12とリモート装置16との間の伝送中にデータ・パケットの順番が混ざることがある。更に、幾つかのパケットは、他のパケットよりも遅く到着し、更なる無秩序を生じさせる。いずれか一方または両方の状況が起こると、データ・パケットの受信端に位置する(即ち、団体クライアント52または装置クライアント54のいずれかに位置する)対応するテンプレート100/102は、無秩序なグループのパケットを到着した順に受信し、連続的なパケット配置を形成するために必要な全てのパケットが受信されるまで保持する。対応するクライアント52または54と関連して、テンプレート100/102は、順番付けられたシーケンスにパケットを配置し、既に述べたように、処理のために適当な装置へ伝達することができる。例えば、リモート装置16に位置するアプリケーションは、1−5と順番付けられた五つのデータ・パケットを装置クライアント54のテンプレート102Aを介して団体クライアント52に送信する。団体クライアント52のテンプレート100Aは、四つのデータ・パケットを無秩序の不完全なシーケンス、即ち、1、2、5、および4で受信する。このパケット・ストリームを受信したテンプレート100Aは、正しいアプリケーションに送出する前にパケットをバッファリングして第3のデータ・パケットの到着を待つ。一旦パケット#3が到着すると、テンプレート100Aは、団体クライアント52と関連して、パケットを正しい1−5の順番に配置し、対応するアプリケーションに送出する。このようにして、さもなければデータ・パケットの順番付けられた送信および受信を防止する通信ルートまたは方法は、本発明のテンプレートのバッファリング能力により補償され、補正される。更に、同能力は、データ・ストリームを用いる団体ネットワーク12およびリモート装置16のアプリケーションが正しく機能することを確実にする。
5.プロトコル・フィルタリング
図5を再び参照する。本発明の別の特徴によると、安全な通信を可能にするシステム10は、プロトコル・フィルタリング・ツールとして利用され得る。データ・パケットが団体クライアント52または装置クライアント54のいずれかによってデータ・トンネル22を介して受信されるため、それぞれのクライアントによってそのプロトコル・テンプレート100または102に対して適合される。データ・パケットが特定のプロトコル・テンプレート100または102に適合されると、該テンプレートに入力され、既に上述したように、処理される。しかしながら、特定のデータ・パケットに対して適合するテンプレート100または102が存在しない場合、図5の矢印112によって示されるように、本システムは、データ・パケットを拒絶し、システムから削除する。削除は、団体クライアント52、装置クライアント54、あるいはその両方で行われる。一実施形態では、フィルタリング機能は、より多くのシステム計算容量およびメモリがある団体クライアント52において行われる。本明細書に記載のフィルタリング能力により、システム10は、予め構成されたデータ・テンプレートと適合しないデータ・パケット、例えば、ハッカー関連および悪質なパケットを拒絶することで補助的なファイヤーウォール能力で機能することが可能となり、システム内のセキュリティが向上される。
上述の一つ以上の実施形態(即ち、プロトコル実施可能性、マッピング、バッファリング、フィルタリング)の全ての組み合わせがシステムのニーズおよびユーザの好みに応じて本システム内で動作するよう構成され得ることに注意する。
6.簡略化されたユーザ認証
本発明の別の実施形態を示す図6を参照する。既に述べたとおり、データ・トンネル22は、団体クライアント52からsVPNサーバ60へのデータ・トンネル・レッグ22A、およびsVPNサーバ60から装置クライアント54へのデータ・トンネル・レッグ22Bを形成することで確立される。sVPNサーバ60が二つのデータ・トンネル・レッグ22Aおよび22Bを統合して完全なデータ・トンネル22を形成する。しかしながら、団体ネットワーク52と装置クライアント54との間でデータを流す前に、団体ネットワーク12は、リモート装置16のユーザがネットワークによって認証されることを三層の認証およびセキュリティ方式の第3の層を実行する際に要求してもよい。これは、上述のテンプレート100/102に類似する認証テンプレート対114を利用して達成される。一実施形態では、ユーザは、NTドメイン・パスワード、ラジウス・セキュリティ・パスワード、アクティブ・セキュリティ・パスワード、または、カスタム・パスワードのような適当なセキュリティ信用証明書を装置クライアント54に入力する。次に、セキュリティ信用証明書データは、装置クライアント54の認証テンプレート114に入力される。テンプレートされたセキュリティ信用証明書データは、データ・トンネル22を介して団体ネットワーク52に送出され、受信され、団体クライアントの認証テンプレート114に入力される。セキュリティ信用証明書データは、ユーザ認証のために認証モジュール116を含む団体ネットワーク12のセキュリティ・レイヤに送出される。認証が成功であると、セキュリティ信用証明書情報は、3DES暗号化データベースのような記憶装置118に保存される。データは、団体クライアント52と装置クライアント54との間で流れるよう団体ネットワーク12によって有効にされる。
上記または他の同様の方法によって、一旦、認証が達成されると、セキュリティ信用証明書情報は、リモート装置16のユーザがアクセスすると選択し得る団体ネットワーク12におけるアプリケーション・サーバ120のような他の指定されたアプリケーションの認証/パスワード要件と団体クライアント52によって同期される。同期されることにより、各指定されたアプリケーション・サーバ120のユーザ認証要件が満たされる。反対に、アプリケーション・サーバ120に含まれる各アプリケーションに対してパスワードのような適当なセキュリティ信用証明書情報を再び入力することなく様々なアプリケーションにアクセスすることをユーザに可能にさせ、ユーザにネットワークの使用を能率的にし、簡略化させる。この同期された認証は、団体ネットワーク12およびセキュリティ・アドミニストレータによって指定されるように狭くまたは広く分散され得る。
本発明は、簡略化された接続インフラストラクチャを用いて遠隔的に配置されたコンポーネント間での安全なデータ転送を可能にする。これにより、団体ネットワークとリモート装置との間でデータ同期およびアクセスが可能となる。特に、遠隔的に配置された装置との団体データの同期、並びに、団体ネットワークと同時のネイティブ装置アプリケーションの利用および実施可能性が提供される。本明細書における原理は、自発的バーチャル・プライベート・ネットワーク環境内での実現に向けられているが、これら原理が典型的なVPN構造のような様々なハードウェア/ソフトウェアでの実現を有する他のデータ伝送の実施形態にも概ね適用され得ることは理解されるであろう。
本発明は、その技術思想または本質的な特徴から逸脱することなく他の特定の形態で具体化されてもよい。記載した実施形態は、全ての面において制限的でなく例示的として考えられる。従って、本発明の範囲は、前述の説明よりも添付の特許請求の範囲によって示される。特許請求の範囲の意味および等価範囲にある全ての変更はその範囲に含まれるべきである。
ローカル・ホスト装置またはネットワークとリモート装置との間の安全な通信を可能にするシステムであって、第1の状態にあるシステムにおいて用いられる様々なコンポーネントを示すブロック図。 本発明の一実施形態による第2の状態における図1のシステムを示すブロック図。 図1に示す幾つかのコンポーネントであって、その中で使用されるプロトコル・テンプレートを含むコンポーネントのブロック図。 一実施形態によるローカルおよびリモート装置間の動作関係を示すブロック図。 別の実施形態によるローカルおよびリモート装置間の動作関係を示すブロック図。 更に別の実施形態によるローカルおよびリモート装置間の動作関係を示すブロック図。 一実施形態による本システムの様々なコンポーネントであって、それとともに使用される様々なプロトコル・テンプレートを含む様々なコンポーネントを示すブロック図。 一実施形態による本発明の様々なユーザ認証コンポーネントを示すブロック図。

Claims (18)

  1. コンピューティング・ネットワークとリモート装置との間で安全にデータを伝送する方法であって、前記コンピューティング・ネットワークおよび前記リモート装置のそれぞれはトンネリング・クライアントを含み、前記方法は、
    前記コンピューティング・ネットワークの前記トンネリング・クライアントとキャリヤ・ネットワークのトンネリング・サーバとの間で第1のデータ・トンネル・レッグを確立すること、
    前記キャリヤ・ネットワークの前記トンネリング・サーバと前記リモート装置の前記トンネリング・クライアントとの間で第2のデータ・トンネル・レッグを確立すること、
    第1のプロトコルに関連付けられ、前記コンピューティング・ネットワークの前記トンネリング・クライアントによって使用される第1のテンプレートと、前記第1のプロトコルに関連付けられ、前記リモート装置の前記トンネリングによって使用される第2のテンプレートとを用いて、前記第1および第2のデータ・トンネル・レッグ並びに前記キャリヤ・ネットワークを介して前記リモート装置と前記コンピューティング・ネットワークとの間でデータを伝送すること、を備える方法。
  2. 請求項1に記載の方法において、前記リモート装置と前記コンピューティング・ネットワークとの間で伝送されるデータは、前記コンピューティング・ネットワーク上のファイヤーウォールおよびプロキシに前記データをウェブ・トラフィックとして認識させ、かつ前記コンピューティング・ネットワークに経路を許可させるプロトコル識別子を含むアクセス・リクエストを備える、方法。
  3. 請求項2に記載の方法において、前記第1のプロトコルは、前記コンピューティング・ネットワークと前記リモート装置との間で電子メール・コマンドまたはデータを転送する際に使用されるPOP電子メール・プロトコルを備える、方法。
  4. 請求項1に記載の方法において、前記第1のテンプレートおよび前記第2のテンプレートのそれぞれは、前記第1のプロトコルに固有のコマンドまたは他のデータ特徴に対応する一つ以上のインフレクション点を備える、方法。
  5. 請求項1に記載の方法において、前記第1のデータ・トンネル・レッグの確立することは、
    前記コンピューティング・ネットワークの前記トンネリング・クライアントから前記キャリヤ・ネットワークの前記トンネリング・サーバへ第1の接続信号を送出すること、
    前記トンネリング・サーバから前記コンピューティング・ネットワーク上の前記トンネリング・クライアントへ接続応答信号を送出すること、
    を備える、方法。
  6. 請求項5に記載の方法において、前記第1の接続信号は、前記コンピューティング・ネットワーク上のネットワーク・データへのアクセスを提供するために前記キャリヤ・ネットワークに対するリクエストを表すユニフォーム・リソース識別子を備える、方法。
  7. 請求項1に記載の方法であって、更に、前記第1のデータ・トンネル・レッグを維持するために前記コンピューティング・ネットワークから前記キャリヤ・ネットワークに賦活信号を送出することを備える、方法。
  8. 請求項1に記載の方法において、前記第1の接続信号は、前記コンピューティング・ネットワーク上のファイヤーウォールに形成されるポートを通って送信され、前記ポートは、使用されていない場合は、開かれており、インターネット・トラフィックのために用意されるように特定されている、方法。
  9. 請求項8に記載の方法であって、更に、前記リモート装置の前記トンネリング・クライアントからセッション・キーを送信することを備え、前記セッション・キーは前記リモート装置と前記コンピューティング・ネットワークとの間の通信に使用されるべき暗号化プロトコルを設定するように使用される、方法。
  10. 請求項8に記載の方法であって、更に、前記コンピューティング・ネットワークの前記トンネリング・クライアントからセッション・キーを送信することを備え、前記セッション・キーは前記リモート装置と前記コンピューティング・ネットワークとの間の通信に使用されるべき暗号化プロトコルを設定するように使用される、方法。
  11. コンピューティング・ネットワークおよびリモート装置と通信可能なキャリヤ・ネットワークにおいて、前記リモート装置が前記コンピューティング・ネットワークのネットワーク・データにアクセスすることを可能にする方法であって、
    前記コンピューティング・ネットワークから第1の接続信号を受信すること、
    前記第1の接続信号に応答して、前記キャリヤ・ネットワークと前記コンピューティング・ネットワークとの間で第1のデータ・トンネル・レッグを確立すること、
    前記リモート装置から第2の接続信号を受信すること、
    前記第2の接続信号に応答して、前記キャリヤ・ネットワークと前記リモート装置との間で第2のデータ・トンネル・レッグを確立すること、を備え、
    前記第1のデータ・トンネル・レッグおよび前記第2のデータ・トンネル・レッグは統合されてバーチャル・プライベート・ネットワークとして動作する、方法。
  12. 請求項11に記載の方法であって、更に、第1のプロトコルに関連付けられ、前記コンピューティング・ネットワークのトンネリング・クライアントによって使用される第1のテンプレートと、前記第1のプロトコルに関連付けられ、前記リモート装置のトンネリング・クライアントによって使用される第2のテンプレートとを用いて、前記第1および第2のデータ・トンネル・レッグを介して前記リモート装置と前記コンピューティング・ネットワークとの間でデータを伝送することを備える、方法。
  13. 請求項11に記載の方法において、前記第1のプロトコルは、前記コンピューティング・ネットワークと前記リモート装置との間で電子メール・コマンドまたはデータを転送する際に使用されるPOP電子メール・プロトコルを備える、方法。
  14. 請求項11に記載の方法において、前記キャリヤ・ネットワークは、データを前記リモート装置に送出する前に、該データを視覚的に表示可能なフォーマットに変換するユーザ・インタフェース・サービスを含むトンネリング・サーバを備える、方法。
  15. 請求項11に記載の方法において、前記第1の接続信号は、前記コンピューティング・ネットワーク上のネットワーク・データへのアクセスを提供するために前記キャリヤ・ネットワークに対するリクエストを表すユニフォーム・リソース識別子を備える、方法。
  16. 請求項11に記載の方法であって、更に、前記第1のデータ・トンネル・レッグを維持するために前記コンピューティング・ネットワークから賦活信号を受信することを備える、方法。
  17. 請求項11に記載の方法において、前記第2のデータ・トンネル・レッグが開通されると、前記第1のデータ・トンネル・レッグおよび前記第2のデータ・トンネル・レッグは単一のデータ・トンネル・レッグを備え、前記リモート装置は前記コンピューティング・ネットワークと通信可能となる、方法。
  18. 請求項11に記載の方法において、前記第1の接続信号は、前記キャリヤ・ネットワーク上の指定されたトンネリング・サーバによって受信され、該指定されたサーバは前記キャリヤ・ネットワークの多数のトンネリング・サーバのうちの一つである、方法。
JP2006501219A 2003-03-05 2004-03-05 コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク Expired - Fee Related JP4173517B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US45224803P 2003-03-05 2003-03-05
PCT/US2004/006891 WO2004079581A1 (en) 2003-03-05 2004-03-05 Virtual private network between computing network and remote device

Publications (2)

Publication Number Publication Date
JP2006520130A true JP2006520130A (ja) 2006-08-31
JP4173517B2 JP4173517B2 (ja) 2008-10-29

Family

ID=32962702

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006501219A Expired - Fee Related JP4173517B2 (ja) 2003-03-05 2004-03-05 コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク

Country Status (4)

Country Link
US (1) US7673133B2 (ja)
EP (1) EP1599804A1 (ja)
JP (1) JP4173517B2 (ja)
WO (1) WO2004079581A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011502373A (ja) * 2007-09-26 2011-01-20 アルカテル−ルーセント ユーエスエー インコーポレーテッド Diameterアソシエーションを確立及び管理するための方法及び装置

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8266677B2 (en) * 2000-12-20 2012-09-11 Intellisync Corporation UDP communication with a programmer interface over wireless networks
US7673133B2 (en) 2000-12-20 2010-03-02 Intellisync Corporation Virtual private network between computing network and remote device
GB0109299D0 (en) * 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7120791B2 (en) * 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7188364B2 (en) 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
CA2491274A1 (en) * 2004-01-08 2005-07-08 Lpi Level Platforms, Inc. A method and system for secure remote access to computer systems and networks
WO2006043463A1 (ja) * 2004-10-19 2006-04-27 Nec Corporation Vpnゲートウェイ装置およびホスティングシステム
US20070190978A1 (en) * 2005-01-13 2007-08-16 Ianywhere Solutions, Inc. System and Methodology for Extending Enterprise Messaging Systems to Mobile Devices
US7992193B2 (en) * 2005-03-17 2011-08-02 Cisco Technology, Inc. Method and apparatus to secure AAA protocol messages
US7685292B1 (en) 2005-04-07 2010-03-23 Dell Marketing Usa L.P. Techniques for establishment and use of a point-to-point tunnel between source and target devices
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information
US8166538B2 (en) * 2005-07-08 2012-04-24 Microsoft Corporation Unified architecture for remote network access
CN100466599C (zh) * 2005-07-22 2009-03-04 上海贝尔阿尔卡特股份有限公司 一种专用局域网的安全访问方法及用于该方法的装置
EP1879332A1 (fr) * 2006-07-12 2008-01-16 France Télécom Procede et systeme de gestion d'une transmission securisee
US8145799B2 (en) * 2007-05-18 2012-03-27 General Electric Company Systems and methods for changing parameters of a controller
US9009292B2 (en) * 2007-07-30 2015-04-14 Sybase, Inc. Context-based data pre-fetching and notification for mobile applications
US8204870B2 (en) * 2007-08-03 2012-06-19 Sybase, Inc. Unwired enterprise platform
US9401855B2 (en) * 2008-10-31 2016-07-26 At&T Intellectual Property I, L.P. Methods and apparatus to deliver media content across foreign networks
US8582560B2 (en) * 2009-01-30 2013-11-12 Level 3 Communications, Llc System and method for routing calls associated with private dialing plans
US8538919B1 (en) 2009-05-16 2013-09-17 Eric H. Nielsen System, method, and computer program for real time remote recovery of virtual computing machines
US20110231654A1 (en) * 2010-03-16 2011-09-22 Gurudas Somadder Method, system and apparatus providing secure infrastructure
US9094400B2 (en) * 2011-04-27 2015-07-28 International Business Machines Corporation Authentication in virtual private networks
US9100398B2 (en) 2011-04-27 2015-08-04 International Business Machines Corporation Enhancing directory service authentication and authorization using contextual information
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
US8448238B1 (en) 2013-01-23 2013-05-21 Sideband Networks, Inc. Network security as a service using virtual secure channels
US9798553B2 (en) 2014-08-12 2017-10-24 National Information Assurance Corporation Systems for securely connecting to remote networks
US10212596B2 (en) * 2015-06-05 2019-02-19 Apple Inc. System and method for migrating data between devices
US10523979B2 (en) * 2017-12-21 2019-12-31 Vyu Labs, Inc. Streaming live video

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5142622A (en) * 1989-01-31 1992-08-25 International Business Machines Corporation System for interconnecting applications across different networks of data processing systems by mapping protocols across different network domains
DE69125756T2 (de) * 1990-06-29 1997-12-18 Digital Equipment Corp Verfahren und Einrichtung zur Entschlüsselung eines Informationspakets mit einem modifizierbaren Format
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US6295551B1 (en) * 1996-05-07 2001-09-25 Cisco Technology, Inc. Call center system where users and representatives conduct simultaneous voice and joint browsing sessions
JP3591996B2 (ja) * 1996-08-29 2004-11-24 Kddi株式会社 帯域確保型vpn構築方法
US5893920A (en) * 1996-09-30 1999-04-13 International Business Machines Corporation System and method for cache management in mobile user file systems
US6229809B1 (en) * 1996-10-11 2001-05-08 Novell, Inc. Method and system for combining computer network protocols
US6178505B1 (en) * 1997-03-10 2001-01-23 Internet Dynamics, Inc. Secure delivery of information in a network
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
JP3529621B2 (ja) * 1997-05-12 2004-05-24 株式会社東芝 ルータ装置、データグラム転送方法及び通信システム
US6292905B1 (en) * 1997-05-13 2001-09-18 Micron Technology, Inc. Method for providing a fault tolerant network using distributed server processes to remap clustered network resources to other servers during server failure
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
US6092200A (en) * 1997-08-01 2000-07-18 Novell, Inc. Method and apparatus for providing a virtual private network
US6138049A (en) * 1997-08-22 2000-10-24 Honeywell International Inc. System and methods for generating and distributing alarm and event notifications
US6061796A (en) * 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US6065120A (en) * 1997-12-09 2000-05-16 Phone.Com, Inc. Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices
US6801509B1 (en) * 1998-05-08 2004-10-05 Lucent Technologies Inc. Mobile point-to-point protocol
US6594246B1 (en) * 1998-07-10 2003-07-15 Malibu Networks, Inc. IP-flow identification in a wireless point to multi-point transmission system
US6546425B1 (en) * 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US20010039587A1 (en) * 1998-10-23 2001-11-08 Stephen Uhler Method and apparatus for accessing devices on a network
US6411986B1 (en) * 1998-11-10 2002-06-25 Netscaler, Inc. Internet client-server multiplexer
US6292839B1 (en) 1998-12-09 2001-09-18 3Com Corporation Method and system for reflexive tunneling
US6081900A (en) * 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US6430604B1 (en) * 1999-08-03 2002-08-06 International Business Machines Corporation Technique for enabling messaging systems to use alternative message delivery mechanisms
US6529500B1 (en) * 1999-08-26 2003-03-04 Verizon Laboratories Inc. Unified messaging notification
US6609148B1 (en) * 1999-11-10 2003-08-19 Randy Salo Clients remote access to enterprise networks employing enterprise gateway servers in a centralized data center converting plurality of data requests for messaging and collaboration into a single request
US6563800B1 (en) * 1999-11-10 2003-05-13 Qualcomm, Inc. Data center for providing subscriber access to data maintained on an enterprise network
US20020010866A1 (en) * 1999-12-16 2002-01-24 Mccullough David J. Method and apparatus for improving peer-to-peer bandwidth between remote networks by combining multiple connections which use arbitrary data paths
US7003571B1 (en) * 2000-01-31 2006-02-21 Telecommunication Systems Corporation Of Maryland System and method for re-directing requests from browsers for communication over non-IP based networks
US7181542B2 (en) * 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US6631416B2 (en) * 2000-04-12 2003-10-07 Openreach Inc. Methods and systems for enabling a tunnel between two computers on a network
KR100699470B1 (ko) * 2000-09-27 2007-03-26 삼성전자주식회사 멀티레이어 패킷 처리 장치
US6874030B1 (en) * 2000-11-13 2005-03-29 Cisco Technology, Inc. PPP domain name and L2TP tunnel selection configuration override
US6765881B1 (en) * 2000-12-06 2004-07-20 Covad Communications Group, Inc. Virtual L2TP/VPN tunnel network and spanning tree-based method for discovery of L2TP/VPN tunnels and other layer-2 services
US7673133B2 (en) 2000-12-20 2010-03-02 Intellisync Corporation Virtual private network between computing network and remote device
US7313822B2 (en) * 2001-03-16 2007-12-25 Protegrity Corporation Application-layer security method and system
US20020161904A1 (en) * 2001-04-30 2002-10-31 Xerox Corporation External access to protected device on private network
DE10131561A1 (de) * 2001-06-29 2003-01-16 Nokia Corp Verfahren zur Übertragung von Anwendungspaketdaten
US7984163B2 (en) * 2005-01-13 2011-07-19 Flash Networks, Inc. Method and system for optimizing DNS queries

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011502373A (ja) * 2007-09-26 2011-01-20 アルカテル−ルーセント ユーエスエー インコーポレーテッド Diameterアソシエーションを確立及び管理するための方法及び装置

Also Published As

Publication number Publication date
US20040255164A1 (en) 2004-12-16
WO2004079581A1 (en) 2004-09-16
US7673133B2 (en) 2010-03-02
JP4173517B2 (ja) 2008-10-29
EP1599804A1 (en) 2005-11-30

Similar Documents

Publication Publication Date Title
JP4173517B2 (ja) コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク
US8266677B2 (en) UDP communication with a programmer interface over wireless networks
US11659385B2 (en) Method and system for peer-to-peer enforcement
US9172682B2 (en) Local authentication in proxy SSL tunnels using a client-side proxy agent
EP1678918B1 (en) A persistent and reliable session securely traversing network components using an encapsulating protocol
US7748035B2 (en) Approach for securely deploying network devices
US7849495B1 (en) Method and apparatus for passing security configuration information between a client and a security policy server
US20020019932A1 (en) Cryptographically secure network
US20020099826A1 (en) Spontaneous virtual private network between portable device and enterprise network
US20060195687A1 (en) System and method for mapping an encrypted HTTPS network packet to a specific URL name and other data without decryption outside of a secure web server
JP2004513453A (ja) 信頼性のある分散型ピアツーピアネットワークを確立する方法及びシステム
US7313687B2 (en) Establishing a secure context at an electronic communications end-point
Chen et al. Research on meteorological information network security system based on VPN Technology
JP3909289B2 (ja) ポータブルデバイスと企業ネットワークとの間の自発的仮想専用ネットワーク
WO2002046861A2 (en) Systems and methods for communicating in a business environment
WO2002033928A2 (en) Cryptographically secure network

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071127

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080214

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080304

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20080417

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20080417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080417

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080728

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080813

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110822

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees