JP2007097010A - 接続支援装置およびゲートウェイ装置 - Google Patents

接続支援装置およびゲートウェイ装置 Download PDF

Info

Publication number
JP2007097010A
JP2007097010A JP2005285983A JP2005285983A JP2007097010A JP 2007097010 A JP2007097010 A JP 2007097010A JP 2005285983 A JP2005285983 A JP 2005285983A JP 2005285983 A JP2005285983 A JP 2005285983A JP 2007097010 A JP2007097010 A JP 2007097010A
Authority
JP
Japan
Prior art keywords
terminal
gateway device
user
gateway
connection support
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005285983A
Other languages
English (en)
Other versions
JP4648148B2 (ja
Inventor
Haruyuki Takeyoshi
治幸 武吉
Naoki Matsuoka
直樹 松岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005285983A priority Critical patent/JP4648148B2/ja
Priority to US11/359,360 priority patent/US7890759B2/en
Publication of JP2007097010A publication Critical patent/JP2007097010A/ja
Application granted granted Critical
Publication of JP4648148B2 publication Critical patent/JP4648148B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】不正侵入やDoS攻撃を回避して性能低下を防止し、端末のゲートウェイ装置への接続の違いの認識を不要とする。
【解決手段】認証手段1aは、端末2を所持するユーザからの要求に応じて、端末2がゲートウェイ装置3にIPSecによる通信を行うことができる正当な端末であるかの認証を行う。事前共有鍵生成手段1bは、端末2が適正な端末であると認証された場合、端末2とゲートウェイ装置3との事前共有鍵を生成する。ファイアウォール開放指示情報生成手段1cは、端末2が適正な端末であると認証された場合、ゲートウェイ装置3のファイアウォールを開放するためのファイアウォール開放指示情報を生成する。送信手段1dは、端末2とゲートウェイ装置3とに事前共有鍵を送信し、ゲートウェイ装置3にファイアウォール開放指示情報を送信する。
【選択図】図1

Description

本発明は接続支援装置およびゲートウェイ装置に関し、特に端末とゲートウェイ装置とのIPSec通信の接続支援を行う接続支援装置および端末とIPSec通信を行うゲートウェイ装置に関する。
近年、ユーザがインターネット等のネットワークを経由してLAN(Local Area Network)等の家庭内ネットワークや企業内ネットワークのゲートウェイ装置に接続し、デジタル家電機器等の機器を制御するリモートアクセスシステムが行われている。
例えば、インターネット上のセキュアなリモートアクセスシステムの一例として、VPN(Virtual Private Network)がある。VPNとは、リモートアクセスを行うユーザ端末(クライアント)と、そのユーザ端末からの接続を受けるゲートウェイ装置(サーバ)との間を流れるデータを暗号化することによって、ユーザ端末とゲートウェイ装置との間で送受信されるデータを第三者に盗聴されないようにする技術である。
リモートアクセスを行う方法として、ユーザが、遠隔のゲートウェイ装置にHTTPS(Secure HTTP)にて接続を行うSSL(Secure Sockets Layer)−VPNと、IPSec(Security Architecture for the Internet Protocol)にて接続を行うIPSec−VPNが挙げられる。以下では、IPSec−VPNについて説明する。
図24は、IPSec−VPNのリモートアクセスを説明する図である。図に示すように、ユーザ端末151とゲートウェイ装置152は、例えば、インターネット等のネットワークを介して接続されている。ゲートウェイ装置152には、機器153〜155が接続されている。IPSec−VPNでは、ユーザ端末151とゲートウェイ装置152がそれぞれ事前共有鍵を持ち、互いの事前共有鍵が一致すれば、鍵交換等の処理を経て、IPSecによるリモートアクセスを可能にする。このように、IPSecによってユーザ端末151とゲートウェイ装置152との間で送受信するユーザIDやパスワード、データを暗号化し、第三者からの盗聴等を防止する。
なお、従来、ユーザの複数プロバイダ通信網への接続を許容して接続性の向上と通信経路の短縮化、通信品質劣化の回避およびコストの低減を図るデータ通信網システムが提案されている(例えば、特許文献1参照)。
特開2004−242161号公報
しかし、ゲートウェイ装置は、ポートを常時開放しているため、DoS(Denial of Services)攻撃や辞書攻撃にさらされ、不正侵入やDoS攻撃による著しい性能低下を招く可能性があるという問題点があった。
また、異なるドメインエリアへのリモートアクセスにおいては、ユーザは、IPSecの接続先の違いを意識する必要があり、例えば、接続先のゲートウェイ装置ごとに事前共有鍵を記憶しておく必要があるという問題点があった。
本発明はこのような点に鑑みてなされたものであり、不正侵入やDoS攻撃を回避して、性能低下を防止し、ゲートウェイ装置への接続の違いを認識する必要のない接続支援装置および不正侵入やDoS攻撃を回避して、性能低下を防止するゲートウェイ装置を提供することを目的とする。
本発明では上記問題を解決するために、図1に示すようなユーザの所持する端末2とゲートウェイ装置3とのIPSec通信の接続支援を行う接続支援装置1において、端末2を所持するユーザの認証を行う認証手段1aと、認証の結果に応じて、端末2とゲートウェイ装置3との事前共有鍵を生成する事前共有鍵生成手段1bと、認証の結果に応じて、ゲートウェイ装置3のファイアウォールを開放するためのファイアウォール開放指示情報を生成するファイアウォール開放指示情報生成手段1cと、端末2とゲートウェイ装置3とに事前共有鍵を送信し、ゲートウェイ装置3にファイアウォール開放指示情報を送信する送信手段1dと、を有することを特徴とする接続支援装置1が提供される。
このような接続支援装置1によれば、ユーザの認証を行い、ユーザが適正であれば、IPSec通信が可能となるための事前共有鍵とファイアウォール開放指示情報を生成する。そして、端末2に事前共有鍵を送信し、ゲートウェイ装置3に事前共有鍵とファイアウォール開放指示情報とを送信する。これにより、ゲートウェイ装置3は、ファイアウォール開放指示情報を受信して、端末2に対するポートを開放すればよく、常時ポートを開放しておく必要がない。また、接続支援装置1が事前共有鍵を生成するので、端末2はゲートウェイ装置ごとの事前共有鍵を記憶する必要がない。
本発明の接続支援装置では、ユーザの認証を行い、ユーザが適正であれば、IPSec通信が可能となるための事前共有鍵とファイアウォール開放指示情報を生成する。そして、端末に事前共有鍵を送信し、ゲートウェイ装置に事前共有鍵とファイアウォール開放指示情報とを送信する。これにより、ゲートウェイ装置は、ファイアウォール開放指示情報を受信して、端末に対するポートを開放すればよく、常時ポートを開放しておく必要がないため、不正侵入やDoS攻撃を回避でき、性能低下を防止することができる。また、接続支援装置が事前共有鍵を生成するので、端末はゲートウェイ装置ごとの事前共有鍵を記憶する必要がなく、ゲートウェイ装置への接続の違いを認識する必要がなくなる。
以下、本発明の原理を図面を参照して詳細に説明する。
図1は、接続支援装置の概要を示した図である。図に示すように接続支援装置1は、端末2とゲートウェイ装置3とネットワークを介して接続されており、端末2とゲートウェイ装置3とのIPSec通信の接続支援を行う。接続支援装置1は、認証手段1a、事前共有鍵生成手段1b、ファイアウォール開放指示情報生成手段1c、および送信手段1dを有している。
認証手段1aは、端末2がゲートウェイ装置3にIPSecによる通信を行うことができる正当な端末であるかの認証を行う。
事前共有鍵生成手段1bは、認証手段1aによって端末2が適正な端末であると認証された場合、端末2とゲートウェイ装置3との事前共有鍵を動的に生成する。
ファイアウォール開放指示情報生成手段1cは、認証手段1aによって端末2が適正な端末であると認証された場合、ゲートウェイ装置3のファイアウォールを開放するためのファイアウォール開放指示情報を生成する。
送信手段1dは、端末2とゲートウェイ装置3とに事前共有鍵を送信し、ゲートウェイ装置3にファイアウォール開放指示情報を送信する。
端末2とゲートウェイ装置3は、事前共有鍵に基づいて、共有秘密鍵を生成し、IPSec通信を行う。端末2は、図示してないがゲートウェイ装置3の配下の電子機器とIPSecによる直接通信が可能となる。ゲートウェイ装置3は、ファイアウォール開放指示情報に基づいて、端末2に対するポートを開放する。
このように、接続支援装置1は端末2の認証を行い、端末2が適正な端末であれば、IPSec通信が可能となるための事前共有鍵とファイアウォール開放指示情報を生成する。そして、端末2に事前共有鍵を送信し、ゲートウェイ装置3に事前共有鍵とファイアウォール開放指示情報とを送信する。これにより、ゲートウェイ装置3は、ファイアウォール開放指示情報を受信して、端末に対するポートを開放すればよく、常時ポートを開放しておく必要がないため、不正侵入やDoS攻撃を回避でき、性能低下を防止することができる。また、接続支援装置1が事前共有鍵を生成するので、端末2はゲートウェイ装置3ごとの事前共有鍵を記憶する必要がなく、ゲートウェイ装置3への接続の違いを認識する必要がなくなる。
次に、本発明の第1の実施の形態を、図面を参照して詳細に説明する。
図2は、第1の実施の形態に係る接続支援装置を適用したIPSecリモートアクセスのシステム構成例を示した図である。図に示すようにユーザ端末20とゲートウェイ装置30は、例えば、インターネット等のネットワークを介して、接続支援装置10に接続されている。ユーザ端末20は、例えば、携帯電話やPC(Personal Computer)である。ゲートウェイ装置30の配下には、デジタル家電41やPC42が、例えば、LAN等の家庭内ネットワークによって接続されている。ユーザ端末20には、IPSec接続をするためのソフトウェアが格納されており、ユーザ端末20は、このソフトウェアによって、ゲートウェイ装置30とデータのやり取りを行い、また、デジタル家電41,PC42とデータのやり取りを行う。なお、図では、ユーザ端末20およびゲートウェイ装置30は、1つしか示してないが、複数存在していてもよい。ユーザ端末20は、複数のゲートウェイ装置にアクセスすることも可能であり、ゲートウェイ装置30は、複数のユーザ端末からのアクセスを受けることが可能である。
以下、図2の動作の概略を説明する。ユーザがユーザ端末20を用いて、家庭内ネットワークのデジタル家電41やPC42にアクセスするには、まず、接続支援装置10にログインする。このとき、ユーザ端末20から、接続支援装置10にログインするためのユーザIDやパスワードを含む認証情報を接続支援装置10に送信する。接続支援装置10は、認証情報に含まれるユーザIDとパスワードによって、ログインしてきたユーザ端末20が正当なユーザであるか判断する。
接続支援装置10は、ユーザ端末20のログインが正当なものであると判断すると、ユーザ端末20が接続することができるゲートウェイ装置の一覧情報をユーザ端末20に送信する。ユーザ端末20は、接続支援装置10からのゲートウェイ装置の一覧を、例えば、自己が有する表示装置に表示し、ユーザからどのゲートウェイ装置に接続するかの選択を受付ける。ユーザ端末20は、ユーザが選択したゲートウェイ装置の情報を接続支援装置10に送信する。なお、ユーザは、ゲートウェイ装置30を選択したとする。
接続支援装置10は、ユーザ端末20がゲートウェイ装置30に対しアクセスできるよう、ファイアウォール制御メッセージをゲートウェイ装置30に送信する。ファイアウォール制御メッセージには、例えば、ユーザ端末20の識別子、グローバルIPアドレス、IPSec通信を行うための事前共有鍵、ESP(Encapsulating Security Payload)ヘッダ番号、IKE(Internet Key Exchange)ポート番号の情報が含まれる。なお、接続支援装置10は、ユーザ端末からのゲートウェイ装置へのアクセス要求ごとに、動的に事前共有鍵を生成する。
ゲートウェイ装置30は、ファイアウォール制御メッセージを受信すると、ファイアウォール制御メッセージに含まれている各種情報を管理し、送信元IPアドレス(ユーザ端末20のグローバルIPアドレス)、IKEポート番号(UDPの500番)、ESPヘッダ番号(50番)を含むデータに対して、通信許可設定を行う。つまり、ゲートウェイ装置30は、図2に示すように、UDPの500番に対する鍵交換用のポート30aと、ESPヘッダの50番に対するデータ通信用のポート30bとを開き、ユーザ端末20との鍵交換の処理およびIPSecによるデータのやり取りを可能にする。なお、ゲートウェイ装置30は、後述するモードコンフィグによって生成するIPアドレスを含むデータに対して、通信許可設定を行うようにしてもよい。
接続支援装置10は、ゲートウェイ装置30にファイアウォール制御メッセージを送信した後、ゲートウェイ装置30に送信したのと同じ事前共有鍵とゲートウェイ装置30のIPアドレスとURLとを含む情報をユーザ端末20に送信する。
ユーザ端末20は、接続支援装置10から事前共有鍵を受信すると、ポート30aに接続し、ゲートウェイ装置30との鍵交換(IKE)における通信を確立する。ユーザ端末20とゲートウェイ装置30は、互いの事前共有鍵が一致するか確認し、一致すれば、ゲートウェイ装置30は、IPSecによる通信を可能にするためのIPアドレスおよび共有秘密鍵を生成する。ユーザ端末20は、ゲートウェイ装置30のポート30b宛にデータを送信することによって、ゲートウェイ装置30またはゲートウェイ装置30配下のデジタル家電41,PC42とIPSecによるデータのやり取りを行う。そして、ゲートウェイ装置30は、ユーザ端末20からログアウトの要求があると、ユーザ端末20と通信を行っていたポート30a,30bを閉じる。
このように、接続支援装置10は、ユーザ端末20からのリモートアクセス要求に応じて、IPSec通信を可能にする事前共有鍵を動的にゲートウェイ装置30とユーザ端末20に配布する。ユーザ端末20は、配布された事前共有鍵で、ゲートウェイ装置30およびゲートウェイ装置30の配下のデジタル家電41,PC42にアクセスすることができる。よって、ユーザ端末20は、アクセスすることができるゲートウェイ装置が複数存在しても、個々のゲートウェイ装置の事前共有鍵を管理する必要がなくなる。また、ゲートウェイ装置30は、事前共有鍵とファイアウォール制御メッセージを接続支援装置10から受け取るまで、ポート常時開放する必要がなく、盗聴やDoS攻撃を防止することができる。
次に、図2のシステム構成例の各装置を、機能ブロック図を用いて説明する。
図3は、図2のシステムの機能ブロック図である。図に示すように接続支援装置10は、ユーザ認証・要求受付け部11、ゲートウェイ装置管理部12、およびファイアウォール制御部13を有している。ユーザ端末20は、IPSec接続部21を有している。ゲートウェイ装置30は、ファイアウォール設定部31、IPSec制御部32、ユーザ利用機器管理部33、Webサーバ部34、および機器フィルタ部35を有している。
接続支援装置10のユーザ認証・要求受付け部11は、ユーザ端末20と通信を行う。また、ユーザ認証・要求受付け部11は、接続支援装置10にアクセスしてきたユーザ端末20の認証を行う。
ゲートウェイ装置管理部12は、ユーザ端末20が接続可能なゲートウェイ装置30の情報を管理している。ゲートウェイ装置管理部12は、ユーザ認証・要求受付け部11によってユーザ認証が行われると、ユーザ端末20が接続可能なゲートウェイ装置30の情報を取得する。ゲートウェイ装置管理部12によって管理されているゲートウェイ装置30の情報は、ユーザ認証・要求受付け部11を介してユーザ端末20に送信され、一覧表示される。
ファイアウォール制御部13は、ユーザ認証を行ったユーザ端末20が、ゲートウェイ装置30にアクセスできるよう、ファイアウォール制御メッセージを生成する。ファイアウォール制御部13は、生成したファイアウォール制御メッセージをゲートウェイ装置30に送信する。また、ファイアウォール制御部13は、ゲートウェイ装置30から後述するファイアウォール応答メッセージを受信すると、事前共有鍵とユーザが接続要求したゲートウェイ装置30のIPアドレスとURLとを含む情報をユーザ端末20に送信する。
ゲートウェイ装置30のファイアウォール設定部31は、接続支援装置10からファイアウォール制御メッセージを受信し、受信したファイアウォール制御メッセージに従って、IPSec制御部32の鍵交換用のポート30aとデータ通信用のポート30bとを開くようにする。また、ファイアウォール設定部31は、ファイアウォール制御メッセージを受信すると、ファイアウォール応答メッセージを接続支援装置10に送信する。
IPSec制御部32は、ファイアウォール設定部31の制御によって鍵交換用のポート30aとデータ通信用のポート30bを開く。これにより、ユーザ端末20は、ゲートウェイ装置30のポート30aに鍵交換のためのデータを送信することができる。また、ポート30bにデータを送信することにより、ゲートウェイ装置30およびデジタル家電41,PC42と通信することができる。
ユーザ利用機器管理部33は、ユーザ端末20がアクセスすることができる機器の情報(デジタル家電41,PC42等)を管理している。ユーザ利用機器管理部33は、ユーザ端末20がアクセス可能な機器を検索し、検索結果をWebサーバ部34および機器フィルタ部35に送信する。
Webサーバ部34は、ユーザ端末20からのURLによるアクセスを受付け、ユーザ利用機器管理部33によって検索された機器のリンク情報をユーザ端末20へ送信する。
機器フィルタ部35は、ユーザ端末20のデジタル家電41,PC42へのアクセスのフィルタリングを行っている。機器フィルタ部35は、ユーザ利用機器管理部33から受信した機器情報に基づいて、ユーザ端末20の機器への適正なアクセス許可設定を行う。
次に、ユーザ端末20とゲートウェイ装置30との間で通信を行う際に使用されるデータパケットのフォーマットについて説明する。
図4は、ユーザ端末とゲートウェイ装置との間でやり取りされるデータパケットのフォーマットを示した図である。図の(A)は、IPv4のデータパケットのフォーマットを示し、図の(B)は、IPv6のデータパケットのフォーマットを示す。
図の(A)に示すようにIPv4では、データパケットは、IPv4ヘッダとESPヘッダとESPデータとに別れる。IPv4ヘッダには、IPv4ヘッダに続くデータがESPデータであることを示すプロトコル番号50が格納される。図2,3で示したゲートウェイ装置30は、IPv4ヘッダのプロトコル番号が50のデータパケットおよび各種制御情報を含むデータパケットに対し、データ通信用のポート30bを開放する。
図の(B)に示すようにIPv6では、データパケットは、IPv6ヘッダとルーティングヘッダとESPヘッダとESPデータとに別れる。IPv6ヘッダには、IPv6ヘッダに続くヘッダタイプを示す番号43が格納される。ルーティングヘッダには、ルーティングヘッダに続くデータがESPのデータであることを示すプロトコル番号50が格納される。図2,3で示したゲートウェイ装置30は、ルーティングヘッダのプロトコル番号が50番のデータパケットおよび各種制御情報を含むデータパケットに対し、データ通信用のポート30bを開放する。このようにIPv4、IPv6のいずれにおいても、同様の仕組みを容易に実現できる。
ここで、IPSec通信について説明する。
図5は、IPSec通信を説明する図である。図にはゲートウェイ装置50a、ユーザ端末50b、デジタル家電50c、およびPC50dが示してある。ゲートウェイ装置50aのグローバルIPアドレスをIP_A、ユーザ端末50bのグローバルIPアドレスをIP_Bとする。デジタル家電50cのローカルIPアドレスをIP_a、PC50dのローカルIPアドレスをIP_bとする。
ユーザ端末50bは、ゲートウェイ装置50aによって、ローカルIPアドレスIP_cが付与されたとする。ユーザ端末50bは、デジタル家電50c宛にデータを送る場合、図のパケット50eに示すように、データ領域50eaにデジタル家電50c宛のデータを格納する。また、内側IPヘッダ50ebに、デジタル家電50c宛のローカルIPアドレスIP_aと、送信元のユーザ端末50bのローカルIPアドレスIP_cを格納する。また、外側IPヘッダ50ecに、ゲートウェイ装置50a宛のグローバルIPアドレスIP_Aと、送信元のユーザ端末50bのグローバルIPアドレスIP_Bを格納する。これにより、パケット50eは、ゲートウェイ装置50aに送信される。
ゲートウェイ装置50aは、パケット50eを受信すると、パケット50eのカプセル(外側IPヘッダ50ec)をパケット50fに示すように解く。これによって、パケット50fは、内側IPヘッダ50faに従って、デジタル家電50cに転送される。このようにして、IPSec通信が行われる。
次に、接続支援装置10で管理されるデータについて説明する。
図6は、接続支援装置で管理されるユーザ認証管理データベースのデータ構成例を示した図である。接続支援装置10は、図に示すようなユーザ認証管理データベース51を有している。ユーザ認証管理データベース51は、ユーザIDの欄およびPWD(パスワード)の欄を有している。
ユーザIDの欄には、ゲートウェイ装置にアクセスすることができるユーザ端末のユーザIDが格納される。PWDの欄には、ユーザに配布したパスワードが格納される。図3で説明したユーザ認証・要求受付け部11は、ユーザ認証管理データベース51を参照して、ログインしてきたユーザ端末の認証を行う。なお、ユーザ認証管理データベース51は、例えば、ユーザが接続支援装置10によるIPSecのリモートアクセスのサービスを受ける契約をしたときに作成される。
図7は、接続支援装置で管理されるポート管理データベースのデータ構成例を示した図である。接続支援装置10は、図に示すようなポート管理データベース52を有している。ポート管理データベース52は、ユーザIDの欄、プロトコルの欄、およびポートの欄を有している。
ユーザIDの欄には、ゲートウェイ装置にアクセスすることができるユーザ端末のユーザIDが格納される。プロトコルの欄には、ゲートウェイ装置とユーザ端末がデータのやり取りをするプロトコル情報が格納される。ポートの欄には、ゲートウェイ装置30が、ユーザ端末と通信するために開放するポートの種別情報が格納される。ポート管理データベース52は、静的なものであり、例えば、ユーザが接続支援装置10によるIPSecのリモートアクセスのサービスを受ける契約をしたときに作成される。
図8は、接続支援装置で管理されるゲートウェイ装置管理データベースのデータ構成例を示した図である。接続支援装置10は、図に示すようなゲートウェイ装置管理データベース53を有している。ゲートウェイ装置管理データベース53は、ゲートウェイID(GW_ID)の欄およびゲートウェイIP(GW_IP)の欄を有している。
ゲートウェイIDの欄には、ゲートウェイ装置に付与された識別子が格納される。ゲートウェイIPの欄には、ゲートウェイ装置のIPアドレスが格納される。ゲートウェイ装置管理データベース53は、図3で説明したゲートウェイ装置管理部12によって管理され、ユーザ認証・要求受付け部11を介してユーザ端末20に送信され、一覧表示される。なお、ゲートウェイ装置管理データベース53は、例えば、ゲートウェイ装置が接続支援装置10によるIPSecのリモートアクセスのサービスを受ける契約をしたときに作成される。
図9は、接続支援装置で管理されるユーザセッション管理データベースのデータ構成例を示した図である。接続支援装置10は、図に示すようなユーザセッション管理データベース54を有している。ユーザセッション管理データベース54は、ユーザIDの欄およびセッションIDの欄を有している。
ユーザIDの欄には、ゲートウェイ装置にアクセスしているユーザ端末のユーザIDが格納される。セッションIDの欄には、ユーザ端末とゲートウェイ装置とのセッション状況が格納される。ユーザセッション管理データベース54は、動的なものであり、ユーザ端末とゲートウェイ装置とのセッション状況に応じて、セッションIDの内容が変わる。
次に、ゲートウェイ装置30で管理されるデータについて説明する。
図10は、ゲートウェイ装置で管理されるファイアウォール情報管理データベースのデータ構成例を示した図である。ゲートウェイ装置30は、図に示すようなファイアウォール情報管理データベース61を有している。ファイアウォール情報管理データベース61は、ユーザIDの欄、事前共有鍵の欄、端末グローバルIPの欄、UDPの欄、およびESPの欄を有している。
ユーザIDの欄には、ゲートウェイ装置30にアクセスすることができるユーザ端末のユーザIDが格納される。事前共有鍵の欄には、接続支援装置10によって生成された事前共有鍵が格納される。端末グローバルIPの欄には、ユーザ端末のグローバルIPアドレスが格納される。UDPの欄には、UDPのポート番号(500番)が格納される。ESPの欄には、ESPヘッダ番号(50)とIPプロトコルのバージョン情報が格納される。
ファイアウォール情報管理データベース61は、接続支援装置10から送信されるファイアウォール制御メッセージに基づいて作成される。また、ユーザ端末がログアウトしたとき、そのユーザ端末に関するファイアウォール情報が、ファイアウォール情報管理データベース61から削除される。
図11は、ゲートウェイ装置で管理される通信中ユーザ管理データベースのデータ構成例を示した図である。ゲートウェイ装置30は、図に示すような通信中ユーザ管理データベース62を有している。通信中ユーザ管理データベース62は、ユーザIDの欄および端末使用中IPの欄を有している。
ユーザIDの欄には、ゲートウェイ装置30にアクセスすることができるユーザ端末のユーザIDが格納される。端末使用中IPの欄には、ゲートウェイ装置30がリモートアクセスしてくるユーザ端末に対し配布するIPアドレスが格納される。このIPアドレスは、ゲートウェイ装置30とユーザ端末20との事前共有鍵が一致したとき、ゲートウェイ装置30が生成する。
図12は、ゲートウェイ装置で管理されるデバイス管理データベースのデータ構成例を示した図である。ゲートウェイ装置30は、図に示すようなデバイス管理データベース63を有している。デバイス管理データベース63は、ユーザIDの欄およびデバイスリストの欄を有している。
ユーザIDの欄には、ゲートウェイ装置30にアクセスすることができるユーザ端末のユーザIDが格納される。デバイスリストの欄には、ユーザ端末がアクセスすることができる機器の情報が格納される。
図13は、ゲートウェイ装置で管理されるデバイス制御プロファイルデータベースのデータ構成例を示した図である。ゲートウェイ装置30は、図に示すようなデバイス制御プロファイルデータベース64を有している。デバイス制御プロファイルデータベース64は、デバイス名の欄、IPの欄、およびHTTP URL/UPnP URLの欄を有している。
デバイス名の欄には、ゲートウェイ装置30の配下に接続されている機器の名称が格納される。IPの欄には、機器のIPアドレスが格納される。HTTP URL/UPnP URLの欄には、機器にアクセスするためのHTTPのURLおよびUPnPのURLが格納される。
デバイス制御プロファイルデータベース64は、Webサーバ部34によって管理される。ユーザ端末20がURLでWebサーバ部34にアクセスすると、デバイス制御プロファイルデータベース64に基づいた機器のリンク情報がユーザ端末20に送られる。ユーザ端末20の表示装置には、例えば、デバイス制御プロファイルデータベース64のデバイス名が表示され、この表示されたデバイス名にリンク(デバイス制御プロファイルデータベース64のHTTP URL/UPnP URL)が貼られる。
図12のデバイス管理データベース63は、図3で説明したユーザ利用機器管理部33によって管理される。ユーザ利用機器管理部33は、ユーザ端末がアクセス可能な機器の情報をデバイス管理データベース63から検索し、検索結果をWebサーバ部34および機器フィルタ部35に送信する。機器フィルタ部35は、通信中ユーザ管理データベース62を参照して現在通信中のユーザ端末のユーザIDを取得し、通信中のユーザ端末の機器アクセスを、ユーザ利用機器管理部33から送られてきたユーザ端末のアクセス可能な機器情報を元に制限する。また、Webサーバ部34は、図13のデバイス制御プロファイルデータベース64を参照し、ユーザ端末がアクセスできる機器情報をユーザ端末に送信する。
このように、接続支援装置10はユーザ端末20の認証を行い、ユーザ端末20が適正な端末であれば、IPSec通信が可能となるための事前共有鍵とファイアウォール制御メッセージを生成する。そして、ユーザ端末20とゲートウェイ装置30とに事前共有鍵を送信し、ゲートウェイ装置30にファイアウォール制御メッセージを送信する。これにより、ゲートウェイ装置30は、事前共有鍵を受信して、端末に対するポートを開放すればよく、常時ポートを開放しておく必要がないため、不正侵入やDoS攻撃を回避でき、性能低下を防止することができる。また、接続支援装置10が事前共有鍵を生成するので、ユーザ端末20はゲートウェイ装置30ごとの事前共有鍵を記憶する必要がなく、ゲートウェイ装置30への接続の違いを認識する必要がなくなる。
また、ユーザ端末20がアクセスすることができる機器をフィルタリングすることによって、第三者による盗聴を防止することができる。
次に、本発明の第2の実施の形態を、図面を参照して詳細に説明する。第2の実施の形態では、接続支援装置は、ファイアウォール制御メッセージに、ログインしてきたユーザのユーザIDとパスワードとを含めてゲートウェイ装置に送信する。ゲートウェイ装置は、ユーザ端末の事前共有鍵が一致するかの判断をするとき、ユーザ端末からユーザIDとパスワードとを受信し、ファイアウォール制御メッセージに含まれていたユーザIDとパスワードと認証する。このように、ユーザIDとパスワードの認証を行うことにより、第三者からの機器への不正接続を事前に防止する。
図14は、第2の実施の形態に係る接続支援装置を適用したIPSecリモートアクセスのシステム構成例を示した図である。図に示すようにユーザ端末80とゲートウェイ装置90は、例えば、インターネット等のネットワークを介して、接続支援装置70に接続されている。ゲートウェイ装置90の配下には、デジタル家電101やPC102が、例えば、LAN等の家庭内ネットワークによって接続されている。ユーザ端末80には、IPSec接続をするためのソフトウェアが格納されており、ユーザ端末80は、このソフトウェアによって、ゲートウェイ装置90とデータのやり取りを行い、また、デジタル家電101,PC102とデータのやり取りを行う。
なお、図では、ユーザ端末80およびゲートウェイ装置90は、1つしか示してないが、複数存在していてもよい。ユーザ端末80は、複数のゲートウェイ装置にアクセスすることも可能であり、ゲートウェイ装置90は、複数のユーザ端末からのアクセスを受けることが可能である。
図14におけるシステム構成例の動作について、図2のシステム構成例の動作と異なる部分についてのみ説明する。その他の部分は、図2のシステム構成例の動作と同様である。
接続支援装置70は、ユーザ端末80が選択したゲートウェイ装置90に対しアクセスできるよう、ファイアウォール制御メッセージをゲートウェイ装置90に送信する。ファイアウォール制御メッセージには、図2で説明した情報の他に、ユーザ端末80のユーザIDとパスワードとが含まれる。
ゲートウェイ装置90は、ユーザ端末80の事前共有鍵の認証を行うために、鍵交換用のポート90aを開放する。ゲートウェイ装置90は、ポート90aを介して、ユーザ端末80の事前共有鍵の認証を行うとともに、ユーザ端末80からユーザIDとパスワードを受信し、接続支援装置70から受信したファイアウォール制御メッセージに含まれているユーザ端末80のユーザIDとパスワードと照合する。そして、一致していれば、IPSec用のポート90bを介して、データのやり取りを可能にする。このように、ユーザ端末80のユーザIDとパスワードを認証するようにすることにより、第三者からの盗聴をより防止することができる。
なお、ユーザIDとパスワードの認証を行う場合、ゲートウェイ装置90は、ユーザ認証管理データベースを有することとなる。
図15は、ゲートウェイ装置で管理されるユーザ認証管理データベースのデータ構成例を示した図である。ゲートウェイ装置90は、図に示すようなユーザ認証管理データベース111を有している。ユーザ認証管理データベース111は、ユーザIDの欄およびパスワード(PWD)の欄を有している。ユーザ認証管理データベース111は、図3で説明したファイアウォール設定部31がファイアウォール制御メッセージを受信したときに作成される。なお、図3のIPSec制御部32がユーザ認証管理データベース51を参照し、ユーザ端末80から送信されてくるユーザIDとパスワードの認証を行う。
次に、シーケンス図を用いて、図14のシステム構成例の動作を説明する。
図16,17は、図14のシステム構成例のシーケンス図である。接続支援装置70、ユーザ端末80、ゲートウェイ装置90、デジタル家電101、およびPC102は、以下のステップに従って、IPSecによるリモートアクセスを行う。シーケンス全体として、接続支援装置70とユーザ端末80の間の通信は、HTTPSが用いられ、接続支援装置70とゲートウェイ装置の間の通信は、SIPS(Session Initiation Protocol Security)が用いられる。
ユーザ端末80は、接続支援装置70にログインするため、ユーザIDとパスワードを接続支援装置70に送信する(ステップS1)。接続支援装置70は、ユーザ端末80のユーザIDとパスワードを用いて、ログインが正当なものであると判断すると、ユーザ端末80が接続することができるゲートウェイ装置の一覧リストをユーザ端末80に送信する(ステップS2)。ユーザ端末80は、接続支援装置70からのゲートウェイ装置の一覧リストを、自己が有する表示装置に表示し、ユーザから、どのゲートウェイ装置に接続するのか選択を受付ける。ユーザ端末80は、ユーザが選択したゲートウェイ装置の情報を接続支援装置70に送信する(ステップS3)。なお、ユーザは、ゲートウェイ装置90を選択したとする。
接続支援装置70は、ユーザ端末80とゲートウェイ装置90とがIPSecで暗号通信できるよう、ユーザ端末80とゲートウェイ装置90とに事前共有鍵を動的に割当てる(ステップS4)。接続支援装置70は、ユーザ端末80のユーザID、パスワード、グローバルIPアドレス、事前共有鍵、ESPヘッダ番号(50)、IKEポート番号500を含むファイアウォール制御メッセージを生成し、ゲートウェイ装置90に送信する(ステップS5)。
ゲートウェイ装置90は、接続支援装置70からファイアウォール制御メッセージを受信すると、例えば、図10,15に示したファイアウォール情報管理データベース61およびユーザ認証管理データベース111を生成し、情報を管理する(ステップS6)。ゲートウェイ装置90は、SIPSのINVITE応答を接続支援装置70に返す(ステップS7)。接続支援装置70は、ゲートウェイ装置90からのINVITE応答を受けると、ACKをゲートウェイ装置90に返す(ステップS8)。
接続支援装置70は、ログインしてきたユーザ端末80のユーザIDと事前共有鍵を図9に示したユーザセッション管理データベース54に格納する(ステップS9)。接続支援装置70は、事前共有鍵、ログインしてきたユーザ端末80のユーザID、パスワード、ゲートウェイ装置90のIPアドレス、URLをユーザ端末80に送信する(ステップS10)。ユーザ端末80は、IPSecによる暗号通信を行うためのIPSecクライアントを起動し、ユーザIDとパスワードとを記憶する(ステップS11)。なお、ステップS1のユーザIDとパスワードの送信時に、これらを記憶する場合、ステップS11で記憶する必要はない。
ユーザ端末80とゲートウェイ装置90は、図16中の点線枠で示す鍵交換Phase1の鍵交換処理に入る。ユーザ端末80とゲートウェイ装置90は、アグレッシブモードの動作に入り、接続支援装置70によって動的に割当てられた事前共有鍵が一致するか否かの処理を行う(ステップS12)。
ユーザ端末80とゲートウェイ装置90は、事前共有鍵の一致を確認すると(ステップS13a,S13b)、ユーザ認証(Xauth)の処理に入る(ステップS14)。ユーザ認証の処理では、ユーザ端末80がユーザIDとパスワードをゲートウェイ装置90に送信する。ゲートウェイ装置90は、ユーザ端末80から送られてきたユーザIDとパスワードとを、ファイアウォール制御メッセージに含まれたユーザ端末80のユーザIDとパスワードと照合する。ユーザIDとパスワードとが一致すれば、アクセスしてきたユーザ端末は、適正なユーザ端末であると判断することができる。
ユーザ端末80とゲートウェイ装置90は、モードコンフィグの動作に入る(ステップS15)。ゲートウェイ装置90は、ユーザ端末80からの要求を受けて、IPアドレスをユーザ端末80に割当てる。なお、割当てたIPアドレスは、図11に示した通信中ユーザ管理データベース62に格納される。ゲートウェイ装置90は、IPSecで暗号化されたデータを入力するための適用ルールをSPD(Security Policy Database)に追加する(ステップS16a)。ユーザ端末80は、IPSecで暗号化したデータを出力するための適用ルールをSPDに追加する(ステップS16b)。
ユーザ端末80とゲートウェイ装置90は、図17中の点線枠で示す鍵交換Phase2の鍵交換処理に入る。ユーザ端末80とゲートウェイ装置90は、クイックモードの動作に入り、以下で生成される共有秘密鍵の有効期限を決める(ステップS17)。
ゲートウェイ装置90は、IPSec適用アルゴリズムを決定してSPI(Security Policy Index)を生成し、SA(Security Association)をSAD(Security Association Database)に登録する(ステップS18a)。同様に、ユーザ端末80もIPSec適用アルゴリズムを決定してSPIを生成し、SAをSADに登録する(ステップS18b)。そして、ゲートウェイ装置90とユーザ端末80は、共有秘密鍵を生成する(ステップS19a,S19b)。
ゲートウェイ装置は、ユーザ端末80が適正な機器(デジタル家電101,PC102)にのみアクセスを許可するように機器フィルタの機能を起動する(ステップS20)。
ユーザ端末80は、接続支援装置70より送信されたURLより、ゲートウェイ装置90のHTTPページを要求する(ステップS21)。ゲートウェイ装置90は、ユーザ端末80からの要求に応じて、機器リストがユーザ端末80に表示されるようにする(ステップS22)。ユーザ端末80は、ユーザからアクセスしたい機器の選択を受付け、その受付け結果をゲートウェイ装置90に送信する(ステップS23)。ゲートウェイ装置90は、ユーザ端末80から選択要求のあった機器への接続アドレスをユーザ端末80に通知する(ステップS24)。ユーザ端末80は、機器と直接通信を行い(ステップS25)、必要なデータのやり取りが終了すれば、ログアウトを行う(ステップS26)。なお、ステップS21〜S26は、データ通信用のポート30bを介したIPSecによる通信が行われる。
ゲートウェイ装置90は、ユーザ端末80からログアウトがあると、ユーザ端末80の機器フィルタに関する情報をデータベースから削除する(ステップS27)。また、ユーザ端末80のユーザID、パスワード、グローバルIPアドレス、事前共有鍵の情報を削除し、ポートを閉じる(ステップS28)。
ゲートウェイ装置90は、接続支援装置70とのセッションを解除するため、それまで通信を行っていたユーザ端末80のユーザIDを含めたBYEメッセージを接続支援装置70に送信する(ステップS29)。接続支援装置70は、ゲートウェイ装置90から受信したユーザIDと、このユーザIDに対応した事前共有鍵をデータベースから削除する(ステップS30)。接続支援装置70は、BYEメッセージの応答メッセージをゲートウェイ装置90に送信する(ステップS31)。
次に、図16のステップS1でユーザ端末80から接続支援装置70に送信されるメッセージ、ステップS5で接続支援装置70からゲートウェイ装置90に送信されるファイアウォール制御メッセージ、およびステップS7でゲートウェイ装置90から接続支援装置70に送信されるファイアウォール制御応答メッセージ(INVITE応答)について説明する。
図18は、ユーザ端末から接続支援装置に送信されるメッセージの一例を示した図である。図16のステップS1では、図に示すようなメッセージがユーザ端末80から接続支援装置70に送信される。図の下線121に示す部分に、ユーザ端末80のユーザIDとパスワードが含まれる。
図19は、接続支援装置からゲートウェイ装置に送信されるファイアウォール制御メッセージの一例を示した図である。図16のステップS5では、図に示すようなファイアウォール制御メッセージが接続支援装置70からゲートウェイ装置90に送信される。図の領域122に示す部分に、ユーザID、事前共有鍵、ユーザ端末80のグローバルIPアドレス、ESPのプロトコル番号(50)、鍵交換用のポート番号(500)の情報が含まれる。
図20は、ゲートウェイ装置から接続支援装置に送信されるファイアウォール制御応答メッセージの一例を示した図である。図16のステップS7では、図に示すようなファイアウォール制御メッセージを受信したことを示す200OKメッセージがゲートウェイ装置90から接続支援装置70に送信される。
このように、接続支援装置70は、ユーザ端末80のユーザIDとパスワードをゲートウェイ装置90に送信するようにした。そしてゲートウェイ装置90は、ユーザ端末80に対してファイアウォールを開放するとき、ユーザ端末80からユーザIDとパスワードを受信し、認証するようにした。これにより、第三者からの盗聴をより防止することができる。
次に、本発明の第3の実施の形態を、図面を参照して詳細に説明する。第1、2の実施の形態では、ユーザ端末とゲートウェイ装置は、IPSecのみによるリモートアクセスを行っていた。第3の実施の形態では、ユーザにIPSecによるリモートアクセスを行うのか、HTTPSによるリモートアクセスを行うのか選択させ、選択された方式のリモートアクセスに対応したゲートウェイ装置の一覧をユーザ端末に表示するようにする。そして、選択されたゲートウェイ装置との通信を可能にするようにする。
図21は、ゲートウェイ装置のプロトコル管理を説明する図である。図には、接続支援装置130、ユーザ端末140、およびゲートウェイ装置150が示してある。図21では、第1,2の実施の形態と異なる部分についてのみ説明する。
ゲートウェイ装置150は、ユーザ端末と通信するプロトコル種別を接続支援装置130に通知する。プロトコル種別の通知は、例えば、ゲートウェイ装置150が接続支援装置130を介したリモートアクセスのサービスを開始するときに行う。接続支援装置130のGW管理部131は、ゲートウェイ装置150の識別子とプロトコル種別を管理する。そして、ユーザ端末140からの要求に応じて、ユーザ端末140の表示装置に表示するようにする。このように、接続支援装置130は、ゲートウェイ装置150の対応プロトコルに応じたリモートアクセス手段をユーザ端末140に表示する。
次に、シーケンス図を用いて、図21のシステム構成例の動作を説明する。
図22は、図21のシステム構成例のシーケンス図である。なお、図21では、ゲートウェイ装置150の配下の機器が省略されているが、例えば、デジタル家電、PCが接続されている。
ユーザ端末140は、接続支援装置130にログインするため、ユーザIDとパスワードを接続支援装置130に送信する(ステップS41)。接続支援装置130は、ユーザ端末140のユーザIDとパスワードを用いて、ログインが正当なものであると判断すると、ユーザ端末140にIPsecによるリモートアクセスを行うか、HTTPSによるリモートアクセスを行うかの選択画面を表示させる(ステップS42)。ユーザ端末140は、どのリモートアクセスを行うかユーザから選択を受付け、接続支援装置130に送信する(ステップS43)。ここでは、IPSecによるリモートアクセスが選択されたとする。接続支援装置130は、ユーザ端末140がIPSecのリモートアクセスすることができるゲートウェイ装置の一覧をユーザ端末140に表示するようにする(ステップS44)。ユーザ端末140は、ユーザからゲートウェイ装置の選択を受付け、接続支援装置130に送信する(ステップS45)。
接続支援装置130は、ユーザ端末140とゲートウェイ装置150とがIPSecで暗号通信できるよう、ユーザ端末140とゲートウェイ装置150とに事前共有鍵を動的に割当てる(ステップS46)。接続支援装置130は、ユーザ端末140のユーザID、パスワード、グローバルIPアドレス、事前共有鍵、ESPヘッダ番号(50)、IKEポート番号500を含むファイアウォール制御メッセージをゲートウェイ装置150に送信する(ステップS47)。
ゲートウェイ装置150は、接続支援装置130からファイアウォール制御メッセージを受信すると、例えば、図10,15に示したファイアウォール情報管理データベース61およびユーザ認証管理データベース111を生成し、情報を管理する(ステップS48)。ゲートウェイ装置150は、SIPSのINVITE応答を接続支援装置130に返す(ステップS49)。接続支援装置130は、ログインしてきたユーザ端末140のユーザIDと事前共有鍵を図9に示したユーザセッション管理データベース54に格納する(ステップS50)。接続支援装置130は、ゲートウェイ装置150からのINVITE応答に対し、ACKをゲートウェイ装置150に返す(ステップS51)。接続支援装置130は、事前共有鍵、ログインしてきたユーザ端末140のユーザID、パスワード、ゲートウェイ装置150のIPアドレス、URLをユーザ端末140に送信する(ステップS52)。ユーザ端末140は、IPSecによる暗号通信を行うためのIPSecクライアントを起動し、ユーザIDとパスワードを記憶する(ステップS53)。なお、ステップS41のユーザIDとパスワードの送信時に、これらを記憶する場合、ステップS53で記憶する必要はない。
以下、ユーザ端末140とゲートウェイ装置150は、図16、17で説明したように、鍵交換Phase1,Phase2の処理を行う。そして、ユーザ端末140は、ゲートウェイ装置150の配下にある機器との通信が可能となる。なお、図22では、鍵交換Phase2以降のシーケンスを省略している。
次に、HTTPSのゲートウェイ装置が選択される場合のシーケンス図について説明する。
図23は、HTTPSのゲートウェイ装置が選択される場合のシーケンス図である。ユーザ端末140は、接続支援装置130にログインするため、ユーザIDとパスワードを接続支援装置130に送信する(ステップS61)。接続支援装置130は、ユーザ端末140のユーザIDとパスワードを用いて、ログインが正当なものであると判断すると、ユーザ端末140にIPSecによるリモートアクセスを行うか、HTTPSによるリモートアクセスを行うかの選択画面を表示させる(ステップS62)。ユーザ端末140は、どのリモートアクセスを行うかユーザから選択を受付け、接続支援装置130に送信する(ステップS63)。ここでは、HTTPSによるリモートアクセスが選択されたとする。接続支援装置130は、ユーザ端末140がHTTPSのリモートアクセスすることができるゲートウェイ装置の一覧をユーザ端末140に表示するようにする(ステップS64)。ユーザ端末140は、ユーザからゲートウェイ装置の選択を受付け、接続支援装置130に送信する(ステップS65)。
接続支援装置130は、ユーザ端末140とゲートウェイ装置150とがHTTPSで暗号通信できるように動的に乱数を割当てる(ステップS66)。接続支援装置130は、ユーザ端末140のユーザID、グローバルIPアドレス、乱数、およびポート番号443を示す情報を含んだメッセージをゲートウェイ装置150に送信する(ステップS67)。
ゲートウェイ装置150は、接続支援装置130から送信されたメッセージを記憶装置に記憶し、プロトコル番号443(HTTPS)のポートを開放する(ステップS68)。ゲートウェイ装置150は、ステップS67のメッセージに対する応答を接続支援装置130に返す(ステップS69)。
接続支援装置130は、ユーザ端末140とゲートウェイ装置150に割当てた乱数とユーザIDをデータベースに登録する(ステップS70)。接続支援装置130は、ステップS69の応答に対するACKをゲートウェイ装置150に返す(ステップS71)。接続支援装置130は、ユーザ端末140にゲートウェイ装置150のURLと乱数を含む情報を送信し、リダイレクトするようにする。ユーザ端末140は、URLによってゲートウェイ装置150にアクセスし、乱数をゲートウェイ装置150に送信する(ステップS73)。
ゲートウェイ装置150は、ユーザ端末140から乱数一致を検出すると(ステップS74)、リモートアクセスサービス画面をユーザ端末140に表示させる(ステップS75)。これによって、ユーザ端末140は、ゲートウェイ装置150を介してデバイス制御(デジタル家電、PCの制御)が可能となる(ステップS76,S77)。
ユーザ端末140は、機器に対する必要なリモートアクセスが終了すると、ゲートウェイ装置150に対し、ログアウトする(ステップS78)。ゲートウェイ装置150は、ユーザ端末140からのログアウトに応じて、記憶装置に記憶していたユーザ端末140のユーザID、乱数、グローバルIPアドレスを削除し、プロトコル番号443のポートを閉じる(ステップS79)。そして、ゲートウェイ装置150は、接続支援装置130に対し、SIPSのBYEメッセージを送信する(ステップS80)。
ユーザ端末140は、ゲートウェイ装置150のからのBYEメッセージを受けて、記憶装置に記憶していたユーザ端末140のユーザIDと、割当てていた乱数とを削除する(ステップS81)。そして、BYEメッセージの応答として、ACKをゲートウェイ装置150に返す(ステップS82)。
このように、接続支援装置130は、ユーザ端末140にIPSecによるリモートアクセスを行うのか、HTTPSによるリモートアクセスを行うのか選択させるようにした。これにより、ユーザ端末140の能力やゲートウェイ装置150の対応プロトコルに応じて、柔軟なリモートアクセス手段をユーザ端末140に提供することができる。
また、ユーザは、事前にゲートウェイ装置150の対応している通信プロトコルを識別でき、接続失敗等を事前に回避できる。
(付記1) ユーザの所持する端末とゲートウェイ装置とのIPSec通信の接続支援を行う接続支援装置において、
前記端末を所持する前記ユーザの認証を行う認証手段と、
前記認証の結果に応じて、前記端末と前記ゲートウェイ装置との事前共有鍵を生成する事前共有鍵生成手段と、
前記認証の結果に応じて、前記ゲートウェイ装置のファイアウォールを開放するためのファイアウォール開放指示情報を生成するファイアウォール開放指示情報生成手段と、
前記端末と前記ゲートウェイ装置とに前記事前共有鍵を送信し、前記ゲートウェイ装置に前記ファイアウォール開放指示情報を送信する送信手段と、
を有することを特徴とする接続支援装置。
(付記2) 前記送信手段は、前記ファイアウォール開放指示情報に、前記事前共有鍵、ESPヘッダを示す情報、IKEポート番号、および前記端末のIPアドレスを含めて前記ゲートウェイ装置に送信することを特徴とする付記1記載の接続支援装置。
(付記3) 前記端末のIPプロトコルのバージョンを判別するバージョン判別手段をさらに有し、 前記送信手段は、前記バージョンがIPv4である場合、前記ESPヘッダを示す情報として、IPv4のプロトコル番号を50とすることを特徴とする付記2記載の接続支援装置。
(付記4) 前記端末のIPプロトコルのバージョンを判別するバージョン判別手段をさらに有し、 前記送信手段は、前記バージョンがIPv6である場合、前記ESPヘッダを示す情報として、IPv6の次ヘッダ番号を50とすることを特徴とする付記2記載の接続支援装置。
(付記5) 前記送信手段は、前記認証に用いた前記ユーザの識別子とパスワードとを前記ゲートウェイ装置に送信することを特徴とする付記1記載の接続支援装置。
(付記6) 前記ゲートウェイ装置は、前記端末から前記識別子と前記パスワードとを受信し、前記送信手段から送信された前記識別子と前記パスワードとを用いて前記端末の認証を行うことを特徴とする付記5記載の接続支援装置。
(付記7) 前記送信手段は、前記ゲートウェイ装置から前記ファイアウォール開放指示情報に対する応答を受信すると、前記端末に対し前記事前共有鍵と前記ゲートウェイ装置のIPアドレスと前記端末の機器へアクセスするための情報とを含む端末用情報を送信することを特徴とする付記2記載の接続支援装置。
(付記8) 前記端末は、前記端末用情報に基づいて、前記ゲートウェイ装置と前記IPSec通信による通信を確立することを特徴とする付記7記載の接続支援装置。
(付記9) 前記端末に対し、前記ゲートウェイ装置と前記IPSec通信を行うかHTTPS通信を行うかを選択させる通信プロトコル選択手段をさらに有することを特徴とする付記1記載の接続支援装置。
(付記10) 前記ゲートウェイ装置から前記IPSec通信を行うかHTTP通信を行うかの通信情報を受信する通信情報受信手段をさらに有することを特徴とする付記1記載の接続支援装置。
(付記11) 端末とIPSec通信を行うゲートウェイ装置において、
前記端末を所持するユーザの認証を行って、前記端末と当該ゲートウェイ装置との事前共有鍵と、当該ゲートウェイ装置のファイアウォールを開放するためのファイアウォール開放指示情報とを生成する接続支援装置から、前記事前共有鍵と前記ファイアウォール開放指示情報とを受信する受信手段と、
前記事前共有鍵と前記ファイアウォール開放指示情報とに基づいて、前記端末と前記IPSec通信を行う通信手段と、
を有することを特徴とするゲートウェイ装置。
(付記12) 前記ファイアウォール開放指示情報に事前共有鍵が含まれて前記接続支援装置から送信されることを特徴とする付記11記載のゲートウェイ装置。
(付記13) 前記通信手段は、前記ファイアウォール開放指示情報に含まれる前記端末のIPアドレスのデータに対して前記事前共有鍵による通信を行い、前記IPアドレスと前記ESPヘッダを示す情報を含むデータまたは前記IPアドレスと前記IKEポート番号を含むデータに対してファイアウォールを開放することを特徴とする付記12記載のゲートウェイ装置。
(付記14) 前記ファイアウォール開放指示情報には、前記ユーザの識別子とパスワードとが含まれており、前記端末から送信されてくる前記識別子と前記パスワードとの認証を行う認証手段をさらに有することを特徴とする付記12記載のゲートウェイ装置。(9)
(付記15) 前記端末の制御可能な機器を管理し、制御可能な前記機器の情報を前記端末に送信する機器情報送信手段をさらに有することを特徴とする付記11記載のゲートウェイ装置。
(付記16) 前記端末の制御可能な機器に対してのみ、前記端末の前記機器へのアクセスを許可する機器フィルタ手段をさらに有することを特徴とする付記11記載のゲートウェイ装置。
(付記17) 前記端末がログアウトした場合、記憶装置に記憶している前記ファイアウォール開放指示情報を消去する指示情報消去手段をさらに有することを特徴とする付記12記載のゲートウェイ装置。
接続支援装置の概要を示した図である。 第1の実施の形態に係る接続支援装置を適用したIPSecリモートアクセスのシステム構成例を示した図である。 図2のシステムの機能ブロック図である。 ユーザ端末とゲートウェイ装置との間でやり取りされるデータパケットのフォーマットを示した図である。 IPSec通信を説明する図である。 接続支援装置で管理されるユーザ認証管理データベースのデータ構成例を示した図である。 接続支援装置で管理されるポート管理データベースのデータ構成例を示した図である。 接続支援装置で管理されるゲートウェイ装置管理データベースのデータ構成例を示した図である。 接続支援装置で管理されるユーザセッション管理データベースのデータ構成例を示した図である。 ゲートウェイ装置で管理されるファイアウォール情報管理データベースのデータ構成例を示した図である。 ゲートウェイ装置で管理される通信中ユーザ管理データベースのデータ構成例を示した図である。 ゲートウェイ装置で管理されるデバイス管理データベースのデータ構成例を示した図である。 ゲートウェイ装置で管理されるデバイス制御プロファイルデータベースのデータ構成例を示した図である。 第2の実施の形態に係る接続支援装置を適用したIPSecリモートアクセスのシステム構成例を示した図である。 ゲートウェイ装置で管理されるユーザ認証管理データベースのデータ構成例を示した図である。 図14のシステム構成例のシーケンス図である。 図14のシステム構成例のシーケンス図である。 ユーザ端末から接続支援装置に送信されるメッセージの一例を示した図である。 接続支援装置からゲートウェイ装置に送信されるファイアウォール制御メッセージの一例を示した図である。 ゲートウェイ装置から接続支援装置に送信されるファイアウォール制御応答メッセージの一例を示した図である。 ゲートウェイ装置のプロトコル管理を説明する図である。 図21のシステム構成例のシーケンス図である。 HTTPSのゲートウェイ装置が選択される場合のシーケンス図である。 IPSec−VPNのリモートアクセスを説明する図である。
符号の説明
1 接続支援装置
1a 認証手段
1b 事前共有鍵生成手段
1c ファイアウォール開放指示情報生成手段
1d 送信手段
2 端末
3 ゲートウェイ装置

Claims (10)

  1. ユーザの所持する端末とゲートウェイ装置とのIPSec通信の接続支援を行う接続支援装置において、
    前記端末を所持する前記ユーザの認証を行う認証手段と、
    前記認証の結果に応じて、前記端末と前記ゲートウェイ装置との事前共有鍵を生成する事前共有鍵生成手段と、
    前記認証の結果に応じて、前記ゲートウェイ装置のファイアウォールを開放するためのファイアウォール開放指示情報を生成するファイアウォール開放指示情報生成手段と、
    前記端末と前記ゲートウェイ装置とに前記事前共有鍵を送信し、前記ゲートウェイ装置に前記ファイアウォール開放指示情報を送信する送信手段と、
    を有することを特徴とする接続支援装置。
  2. 前記送信手段は、前記ファイアウォール開放指示情報に、前記事前共有鍵、ESPヘッダを示す情報、IKEポート番号、および前記端末のIPアドレスを含めて前記ゲートウェイ装置に送信することを特徴とする請求項1記載の接続支援装置。
  3. 前記送信手段は、前記認証に用いた前記ユーザの識別子とパスワードとを前記ゲートウェイ装置に送信することを特徴とする請求項1記載の接続支援装置。
  4. 前記ゲートウェイ装置は、前記端末から前記識別子と前記パスワードとを受信し、前記送信手段から送信された前記識別子と前記パスワードとを用いて前記ユーザの認証を行うことを特徴とする請求項3記載の接続支援装置。
  5. 前記送信手段は、前記ゲートウェイ装置から前記ファイアウォール開放指示情報に対する応答を受信すると、前記端末に対し前記事前共有鍵と前記ゲートウェイ装置のIPアドレスと前記端末の機器へアクセスするための情報とを含む端末用情報を送信することを特徴とする請求項2記載の接続支援装置。
  6. 前記端末に対し、前記ゲートウェイ装置と前記IPSec通信を行うかHTTPS通信を行うかを選択させる通信プロトコル選択手段をさらに有することを特徴とする請求項1記載の接続支援装置。
  7. 端末とIPSec通信を行うゲートウェイ装置において、
    前記端末を所持するユーザの認証を行って、前記端末と当該ゲートウェイ装置との事前共有鍵と、当該ゲートウェイ装置のファイアウォールを開放するためのファイアウォール開放指示情報とを生成する接続支援装置から、前記事前共有鍵と前記ファイアウォール開放指示情報とを受信する受信手段と、
    前記事前共有鍵と前記ファイアウォール開放指示情報とに基づいて、前記端末と前記IPSec通信を行う通信手段と、
    を有することを特徴とするゲートウェイ装置。
  8. 前記ファイアウォール開放指示情報に事前共有鍵が含まれて前記接続支援装置から送信されることを特徴とする請求項7記載のゲートウェイ装置。
  9. 前記通信手段は、前記ファイアウォール開放指示情報に含まれる前記端末のIPアドレスのデータに対して前記事前共有鍵による通信を行い、前記IPアドレスと前記ESPヘッダを示す情報を含むデータまたは前記IPアドレスと前記IKEポート番号を含むデータに対してファイアウォールを開放することを特徴とする請求項8記載のゲートウェイ装置。
  10. 前記端末の制御可能な機器に対してのみ、前記端末の前記機器へのアクセスを許可する機器フィルタ手段をさらに有することを特徴とする請求項7記載のゲートウェイ装置。
JP2005285983A 2005-09-30 2005-09-30 接続支援装置 Expired - Fee Related JP4648148B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005285983A JP4648148B2 (ja) 2005-09-30 2005-09-30 接続支援装置
US11/359,360 US7890759B2 (en) 2005-09-30 2006-02-22 Connection assistance apparatus and gateway apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005285983A JP4648148B2 (ja) 2005-09-30 2005-09-30 接続支援装置

Publications (2)

Publication Number Publication Date
JP2007097010A true JP2007097010A (ja) 2007-04-12
JP4648148B2 JP4648148B2 (ja) 2011-03-09

Family

ID=37903407

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005285983A Expired - Fee Related JP4648148B2 (ja) 2005-09-30 2005-09-30 接続支援装置

Country Status (2)

Country Link
US (1) US7890759B2 (ja)
JP (1) JP4648148B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006097010A (ja) * 2004-08-31 2006-04-13 Toho Chem Ind Co Ltd カチオン変性大豆多糖及び該物質を含む化粧料組成物
JP2006117923A (ja) * 2004-09-27 2006-05-11 Toho Chem Ind Co Ltd カチオン変性サイリウムシードガム及び該物質を含む化粧料組成物
JP2007099785A (ja) * 2005-09-30 2007-04-19 Toho Chem Ind Co Ltd カチオン変性ペクチン及び該物質を含む化粧料組成物
JP2007251842A (ja) * 2006-03-17 2007-09-27 Ricoh Co Ltd ネットワーク機器
JPWO2009066596A1 (ja) * 2007-11-22 2011-04-07 日本電気株式会社 通信システム、通信方法および認証連携装置
WO2011048768A1 (ja) * 2009-10-21 2011-04-28 パナソニック株式会社 通信システム、通信端末並びに通信ノード
JP2011211400A (ja) * 2010-03-29 2011-10-20 Casio Computer Co Ltd 情報システムおよびプログラム
JP2012516081A (ja) * 2009-01-22 2012-07-12 アルカテル−ルーセント Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム
JP2015518316A (ja) * 2012-04-05 2015-06-25 トシボックス・オイ 操作の権利をリモート付与するためのセキュアな方法
JP2019062560A (ja) * 2018-12-05 2019-04-18 株式会社日立製作所 サーバおよび情報収集システム

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040254931A1 (en) * 2003-05-29 2004-12-16 Marconi Communications, Inc. Multiple key self-sorting table
JP4980882B2 (ja) * 2005-02-24 2012-07-18 富士通株式会社 接続支援装置
US20070091870A1 (en) * 2005-10-20 2007-04-26 Samsung Electronics Co., Ltd. Method and system for releasing a TIF session for a SIP agent when a call process interface handler is interrupted
US8171302B2 (en) * 2006-05-30 2012-05-01 Hewlett-Packard Development Company, L.P. Method and system for creating a pre-shared key
US8650589B2 (en) 2007-01-08 2014-02-11 At&T Intellectual Property I, Lp System for provisioning media services
JP4829822B2 (ja) * 2007-03-19 2011-12-07 株式会社リコー 遠隔機器管理システム
US8060927B2 (en) * 2007-10-31 2011-11-15 Microsoft Corporation Security state aware firewall
JP2010045535A (ja) * 2008-08-11 2010-02-25 Buffalo Inc 暗号キー管理システム、外部機器及び暗号キー管理プログラム
US9668230B2 (en) * 2009-11-10 2017-05-30 Avago Technologies General Ip (Singapore) Pte. Ltd. Security integration between a wireless and a wired network using a wireless gateway proxy
US9350708B2 (en) * 2010-06-01 2016-05-24 Good Technology Corporation System and method for providing secured access to services
US9191320B2 (en) * 2011-04-21 2015-11-17 Murata Machinery, Ltd. Relay server and relay communication system
US8862753B2 (en) 2011-11-16 2014-10-14 Google Inc. Distributing overlay network ingress information
US9160722B2 (en) * 2012-04-30 2015-10-13 Anchorfree, Inc. System and method for securing user information on social networks
US9176838B2 (en) * 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US9871662B2 (en) * 2015-09-25 2018-01-16 Netflix, Inc. Systems and methods for digital certificate and encryption key management
CN107689864B (zh) 2016-08-04 2020-02-14 华为技术有限公司 一种认证方法,服务器,终端以及网关
CN107508833A (zh) * 2017-09-22 2017-12-22 江苏海事职业技术学院 一种校园网络安全防护体系部署方法
TWI713793B (zh) * 2017-10-19 2020-12-21 中華電信股份有限公司 使用IPv6的物聯網系統及其操作方法
US11025592B2 (en) 2019-10-04 2021-06-01 Capital One Services, Llc System, method and computer-accessible medium for two-factor authentication during virtual private network sessions

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004220120A (ja) * 2003-01-09 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体
WO2005004418A1 (ja) * 2003-07-04 2005-01-13 Nippon Telegraph And Telephone Corporation リモートアクセスvpn仲介方法及び仲介装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
JP2002077274A (ja) 2000-08-31 2002-03-15 Toshiba Corp ホームゲートウェイ装置、アクセスサーバ装置及び通信方法
US20020042875A1 (en) * 2000-10-11 2002-04-11 Jayant Shukla Method and apparatus for end-to-end secure data communication
US6879690B2 (en) * 2001-02-21 2005-04-12 Nokia Corporation Method and system for delegation of security procedures to a visited domain
US20030084331A1 (en) * 2001-10-26 2003-05-01 Microsoft Corporation Method for providing user authentication/authorization and distributed firewall utilizing same
US7383570B2 (en) * 2002-04-25 2008-06-03 Intertrust Technologies, Corp. Secure authentication systems and methods
JP3887325B2 (ja) 2003-02-07 2007-02-28 日本電信電話株式会社 データ通信網システムおよびデータ通信網接続制御方法
US7506370B2 (en) * 2003-05-02 2009-03-17 Alcatel-Lucent Usa Inc. Mobile security architecture
US20070105549A1 (en) * 2003-11-20 2007-05-10 Yukinori Suda Mobile communication system using private network, relay node, and radio network controller
JP2006087039A (ja) * 2004-09-17 2006-03-30 Fujitsu Ltd モバイルip通信端末装置およびモバイルip通信方法
GB2422752A (en) * 2005-02-01 2006-08-02 3Com Corp Deciphering encapsulated and enciphered UDP datagrams
US7628322B2 (en) * 2005-03-07 2009-12-08 Nokia Corporation Methods, system and mobile device capable of enabling credit card personalization using a wireless network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004220120A (ja) * 2003-01-09 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体
WO2005004418A1 (ja) * 2003-07-04 2005-01-13 Nippon Telegraph And Telephone Corporation リモートアクセスvpn仲介方法及び仲介装置

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006097010A (ja) * 2004-08-31 2006-04-13 Toho Chem Ind Co Ltd カチオン変性大豆多糖及び該物質を含む化粧料組成物
JP2006117923A (ja) * 2004-09-27 2006-05-11 Toho Chem Ind Co Ltd カチオン変性サイリウムシードガム及び該物質を含む化粧料組成物
JP2007099785A (ja) * 2005-09-30 2007-04-19 Toho Chem Ind Co Ltd カチオン変性ペクチン及び該物質を含む化粧料組成物
JP2007251842A (ja) * 2006-03-17 2007-09-27 Ricoh Co Ltd ネットワーク機器
JPWO2009066596A1 (ja) * 2007-11-22 2011-04-07 日本電気株式会社 通信システム、通信方法および認証連携装置
JP2012516081A (ja) * 2009-01-22 2012-07-12 アルカテル−ルーセント Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム
WO2011048768A1 (ja) * 2009-10-21 2011-04-28 パナソニック株式会社 通信システム、通信端末並びに通信ノード
US9497176B2 (en) 2009-10-21 2016-11-15 Panasonic Intellectual Property Corporation Of America Communication system, user equipment and communication node
JP2011211400A (ja) * 2010-03-29 2011-10-20 Casio Computer Co Ltd 情報システムおよびプログラム
JP2015518316A (ja) * 2012-04-05 2015-06-25 トシボックス・オイ 操作の権利をリモート付与するためのセキュアな方法
US9385870B2 (en) 2012-04-05 2016-07-05 Tosibox Oy Secure method for remote grant of operating rights
JP2019062560A (ja) * 2018-12-05 2019-04-18 株式会社日立製作所 サーバおよび情報収集システム

Also Published As

Publication number Publication date
US20070079368A1 (en) 2007-04-05
US7890759B2 (en) 2011-02-15
JP4648148B2 (ja) 2011-03-09

Similar Documents

Publication Publication Date Title
JP4648148B2 (ja) 接続支援装置
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
EP1632862B1 (en) Address conversion method, access control method, and device using these methods
EP1676418B1 (en) Methods and devices for sharing content on a network
US7661131B1 (en) Authentication of tunneled connections
US7010608B2 (en) System and method for remotely accessing a home server while preserving end-to-end security
KR100758733B1 (ko) 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법
US7565526B1 (en) Three component secure tunnel
WO2017181894A1 (zh) 终端连接虚拟专用网的方法、系统及相关设备
JP3890398B2 (ja) ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
JP4960285B2 (ja) Ip電話端末、サーバ装置、認証装置、通信システム、通信方法、およびプログラム
US20060031929A1 (en) Network system, internal server, terminal device, storage medium and packet relay method
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
JP6345816B2 (ja) ネットワーク通信システムおよび方法
WO2004015958A2 (en) Fine grained access control for wireless networks
EP1775903B1 (en) A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor
Keromytis Voice over IP: Risks, threats and vulnerabilities
US20020178356A1 (en) Method for setting up secure connections
JP2007334753A (ja) アクセス管理システムおよび方法
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP2004295166A (ja) リモートアクセスシステムおよびリモートアクセス方法
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
Cisco L2TP Security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080324

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100309

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100601

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100727

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100824

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101118

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20101125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101207

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101209

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4648148

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees