JP2007525896A - 少なくとも1つの仮想プライベートネットワークにアクセスするシステム、方法、及びコンピュータプログラムプロダクト - Google Patents

少なくとも1つの仮想プライベートネットワークにアクセスするシステム、方法、及びコンピュータプログラムプロダクト Download PDF

Info

Publication number
JP2007525896A
JP2007525896A JP2006553704A JP2006553704A JP2007525896A JP 2007525896 A JP2007525896 A JP 2007525896A JP 2006553704 A JP2006553704 A JP 2006553704A JP 2006553704 A JP2006553704 A JP 2006553704A JP 2007525896 A JP2007525896 A JP 2007525896A
Authority
JP
Japan
Prior art keywords
vpn
spd
access point
policy
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006553704A
Other languages
English (en)
Inventor
パロヤルビ,ヤリ
ピー. サボライネン,ユハ
ティー. ケットゥネン,ミカ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of JP2007525896A publication Critical patent/JP2007525896A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5619Network Node Interface, e.g. tandem connections, transit switching
    • H04L2012/5621Virtual private network [VPN]; Private-network - network-interface (P-NNI)

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

少なくとも1つの仮想プライベートネットワーク(VPN)にアクセスするシステムは、端末を含んでおり、かつ、少なくとも1つのセキュリティポリシーデータベース(SPD)を包含可能である。端末は、VPNクライアント及び少なくとも1つのアプリケーションと通信する能力を有している。そして、VPNクライアントは、少なくとも1つのVPNアクセスポイントを定義する能力を有しており、それぞれのVPNアクセスポイントは、関連付けられた物理的なアクセスポイント及びVPNポリシーを含んでいる。その後、VPNクライアントは、1つ又は複数のVPNアクセスポイントに基づいて少なくとも1つのVPNにアクセスし、これにより、少なくとも1つのVPNを跨って少なくとも1つのアプリケーションから少なくとも1つのデータ接続を確立可能である。さらには、VPNクライアントは、SPDから少なくとも1つのVPNポリシーをダウンロードする能力をも有することができる。少なくとも1つの仮想プライベートネットワーク(VPN)ポリシーを管理するシステムも提供され、この場合に、1つ又は複数のVPNポリシーは、少なくとも1つのVPNにアクセスする際に使用される。
【選択図】図1

Description

本発明は、一般に、仮想プライベートネットワーク(Virtual Private Network:VPN)にアクセスするシステム及び方法に関するものであり、さらに詳しくは、少なくとも1つの確立されたVPNアクセスポイントを介して少なくとも1つのVPNにアクセスするシステム及び方法に関するものである。
インターネットを使用することにより、オンラインで入手可能な豊富な情報とワールドワイドウェブ(World Wide Web:WWW)からなるインターネットの部分にアクセスすることの利益については、広く認識されている。従来、インターネットにアクセスする伝統的な方法は、職場、学校、又は自宅などにおける固定アクセスポイントを通じて実行されてきた。固定アクセスポイントの概念は、初期の頃から、インターネットモデルの根幹に位置していたものである。例えば、インターネットプロトコル(Internet Protocol:IP)は、パケットを、そのIPアドレスに従って、その宛先にルーティングしている。IPアドレスは、従来の電話番号が固定回線電話機の物理的な場所に関連付けられているのと略同様に、固定した物理的な場所と関連付けられている。この物理的な場所との関連付けにより、効率的かつ効果的な方法で、IPパケットをその意図する宛先に対してルーティング可能である。
従来の接続の概念は、近年、例えば、モバイル電話への移行からわかるように、モビリティに向かう傾向によって生じた変化を受けている。モバイルコンピューティングは、人気のある別の領域であり、この領域においては、ユーザの場所とは無関係に彼らの作業を実行する自由度をユーザに付与することにより、明白に利益を得ることができる。又、インターネットに対する信頼性の高いアクセスと、インターネットにおいて入手可能なサービスにより、モバイルネットワーキングは、ユーザを事務所に縛り付けている束縛からユーザを解放することにより、改善された生産性をすべてのユーザに対して提供可能である。現在の趨勢は、例えば、航空機上や自動車内などの実質的にあらゆる場所からのアクセスを可能にすることにより、さらに大きな自由度を提供する無線接続に向かってさらに移行しつつある。
IPコンテンツ、コンピューティング、及び通信に伴う主要な懸念事項の1つが、セキュリティに関するものである。インターネットのオープンな特性に起因し、本質的に、伝送パケットはセキュリティの問題を有しており、この問題は、異なるサブネットワーク間におけるモバイルノードの移動によって複雑化することになる。これらの問題に対処するべく、「Security Architecture for the Internet Protocol」という名称のIETF(Internet Engineering Task Force)のRFC(Request For Comment)2401文書に規定されているものなどのIPセキュリティプロトコル(又は、単に「IPsec」)が開発されている(この内容は、本引用により、そのすべてが本明細書に包含される)。この観点において、IPsecは、IPホスト間において伝送された際にパケットのペイロードのエンドツーエンドのセキュリティを提供するべく開発されたものである。これは、主に、通常、両端において同一のキーの使用を必要とする対称型暗号法を使用し、データグラムレベルの認証とパケットの暗号化をホストに対して提供することにより、実現されている。IKE(Internet Key Exchange)などのキー管理プロトコルを使用することにより、仮想プライベートネットワーク(VPN)内において利用されているものなどのIPsecスタック内において使用する対称型キーを生成可能である。
当業者であれば、VPNが、1つ又は複数の物理的なネットワーク内に配置された論理的なネットワークであることを理解するであろう。VPNを使用することにより、企業の電子メールやイントラネットリソースなどのリソースに安全にアクセスすることができる。さらには(又は、この代わりに)、VPNを使用することにより、ローカルエリアネットワークを跨って安全に通信可能である(これらのローカルエリアネットワークの中の1つ又は複数のものは、企業のイントラネット内に含まれるものであってよい)。動作の際には、IPsecのVPN対応ホスト(又は、VPNゲートウェイ)が、例えば、RFC2401に規定されているように、いくつかのセレクタを収容するセキュリティポリシーデータベース(Security Policy Database)(SPD)内にセキュリティポリシーを維持している。SPDは、VPNゲートウェイを跨ったトラフィックに適用するセキュリティの種類を識別する。例えば、セキュリティポリシーは、IP処理を伴うことなしに通過する特定のパケットを除き、すべてのトラフィックパケットがカプセル化セキュリティペイロード(Encapsulating Security Payload)(ESP)によってVPNゲートウェイにトンネリングされることを必要とするものであってよい。この結果、VPNゲートウェイを通過するすべてのパケットに対して前述のセキュリティポリシーの例を実行及び実現可能である。
従来、クライアントは、所与の時点において、単一のVPN上においてのみ通信を確立可能であった。具体的には、従来のクライアントは、所与の時点において個別のVPNについて単一のVPNポリシーのみを起動可能であった。この観点においては、任意の時点において、このような「シングルホーム」クライアントは、単一のアクティブなデータ接続及び個別のネットワークインターフェイスのみを許容していた。但し、このような「シングルホーム」クライアントを改善するべく、所与の時点において複数の同時接続例えば、複数のVPN上における同時接続が可能な「マルチホーム」クライアントが開発されている。例えば、英国のSymbian Limited社が開発したものなどのオペレーティングシステムに従って動作するモバイルハンドヘルド端末は、同時にアクティブな複数のデータ接続及び個別のネットワークインターフェイスを許容する能力を有している。このような例においては、それぞれのネットワークインターフェイスは、通常、その独自のIPアドレス、ルーティング情報、及び関連するドメインネームシステム(Domain Name System)(DNS)サーバアドレスを具備している。又、「マルチホーム」クライアントのそれぞれのインターフェイス及び個別のデータ接続は、通常、クライアント内においてローカルに定義され、かつ、ネットワークIDによって識別される特定の論理的なネットワークに属している。
VPN上の通信においては、通常、クライアントは、その個別のVPNを含む1つ又は複数の物理的なネットワークに対するアクセスポイントと通信を確立し、次いで、その個別のVPN用のVPNポリシーをロード又は起動することにより、VPN接続を確立する必要がある。同様に、クライアントは、通常、その個別のVPN用のVPNポリシーをアンロード又は無効化し、次いで、アクセスポイントとの通信を終了させることにより、VPN接続を終了させなければならない。VPN接続を起動及び終了させるこのような手順は、VPN上における通信を円滑に実行するのには十分なものではあるが、このような手順は、クライアント、又は、さらに具体的には、クライアントユーザに対して望ましくない負担をかけることになる。そして、このような負担は、通常、「マルチホーム」クライアントにおいて、クライアントの同時VPN及びその他の接続の数が増大するに伴って増大し得ることが理解されよう。
以上のような背景に鑑み、本発明は、少なくとも1つの仮想プライベートネットワーク(VPN)にアクセスする改善されたシステム、方法、及びコンピュータプログラムプロダクトを提供する。後述するように、本発明の実施例によれば、端末は、「シングルホーム」及び/又は「マルチホーム」構成などにおいて、1つ又は複数のVPNを確立し、これらをアクティブに維持する能力を有している。但し、従来の「マルチホーム」クライアントとは対照的に、端末は、端末又は端末ユーザが個別の1つ又は複数の物理的なネットワークに対するIAP(Internet Access Point)と通信を別途に確立し、その個別のVPN用のVPNポリシーをロード又は起動し、次いで、この個別のVPN用のVPNポリシーをアンロード又は無効化し、IAPとの通信を終了させることを要することなしに、それぞれのVPN接続を確立する能力をさらに有している。この観点において、端末、又は、さらに具体的には、端末ユーザは、1つ又は複数の「VPNアクセスポイント」を定義する能力を有している。後述するように、VPNアクセスポイントは、一般に、個別のVPNに対する仮想的又は論理的なアクセスポイントと見なすことができる。この結果、VPNアクセスポイントを利用することにより、端末は、IAPと略同一の方式により、1つ又は複数のVPN接続を確立し、アクティブに維持可能であり、これらのVPN接続は、従来技法に従って確立された類似のVPN接続の属性を具備している。
本発明の一態様によれば、少なくとも1つの仮想プライベートネットワーク(VPN)にアクセスするシステムが提供される。このシステムは、端末を含み、かつ、少なくとも1つのSPD(Security Policy Database)を包含可能であり、それぞれのSPDは、物理的なアクセスポイントと関連付けられている。端末は、VPNクライアント及び少なくとも1つのアプリケーションと通信する能力を有している。そして、VPNクライアントは、少なくとも1つのVPNアクセスポイントを定義する能力を有しており、それぞれのVPNアクセスポイントは、関連付けられた物理的なアクセスポイント及びVPNポリシーを含んでいる。例えば、VPNクライアントは、VPNアクセスポイントの名前の選択肢を受信することにより、それぞれのVPNを定義する能力を有している。次いで、VPNクライアントは、そのVPNアクセスポイントと関連付けるための物理的なアクセスポイントの選択肢を受信し、その後、そのVPNアクセスポイントと関連付けるためのVPNポリシーの選択肢を受信可能である。この観点において、VPNクライアントは、少なくとも1つのVPNポリシーをインストールする能力をさらに有することが可能であり、この結果、VPNクライアントは、インストールされた1つ又は複数のVPNポリシーの中からVPNポリシーの選択肢を受信する能力を有している。
具体的には、システムが少なくとも1つのSPDを含んでいる際には、VPNクライアントは、SPDの選択肢を受信する能力を有することができる。次いで、VPNクライアントは、その個別のSPDと関連付けられている物理的なアクセスポイントを介してそのSPDから少なくとも1つのVPNポリシーをダウンロード可能である。その後、VPNクライアントは、ダウンロードした1つ又は複数のVPNポリシーをインストール可能である。この観点において、VPNクライアントは、SPDと関連付けられた物理的なアクセスポイントとの間にデータ接続を確立し、その後、その物理的なアクセスポイントとの間に確立されたデータ接続を介してSPDとの間にデータ接続を確立する能力を有することができる。次いで、VPNクライアントは、SPD及び/又はVPNクライアントを認証し、SPD及び/又はVPNクライアントが認証された際に、SPDから少なくとも1つのVPNポリシーをダウンロード可能である。
1つ又は複数のVPNアクセスポイントを定義する方法とは無関係に、VPNクライアントは、その後、1つ又は複数のVPNアクセスポイントに基づいて少なくとも1つのVPNにアクセスし、これにより、1つ又は複数のVPNにおいて少なくとも1つのアプリケーションから少なくとも1つのデータ接続を確立可能である。この観点において、VPNクライアントは、関連付けられた物理的なアクセスポイント及びVPNポリシーに基づいて少なくとも1つのVPNアクセスポイントを起動し、これにより、1つ又は複数のVPNにアクセスする能力を有することができる。例えば、VPNクライアントは、少なくとも1つのVPNアクセスポイントを1つ又は複数のアプリケーションと関連付け、その後、1つ又は複数のアプリケーションから少なくとも1つのVPNアクセスポイントを起動し、これにより、VPNを跨って少なくとも1つのアプリケーションから少なくとも1つのデータ接続を確立する能力を有することができる。
具体的には、VPNクライアントは、個々のVPNアクセスポイントと関連付けられた物理的なアクセスポイントとの間に接続を確立することにより、それぞれのVPNアクセスポイントを起動する能力を有することができる。次いで、VPNクライアントは、個々のVPNアクセスポイントと関連付けられたVPNポリシーをロード可能である。その後、VPNクライアントは、個別のVPNアクセスポイントと関連付けられたVPNポリシーに基づいて物理的なアクセスポイント上においてVPNトンネルを確立可能である。同様に、VPNクライアントは、1つ又は複数のVPNに対するアクセスを終了させ、これにより、1つ又は複数のアプリケーションからの1つ又は複数のデータ接続を終了させる能力をさらに有することができる。このような例においては、端末は、個々のVPNアクセスポイントと関連付けられたVPNポリシーに基づいて確立された物理的なアクセスポイント上におけるVPNトンネルを閉じることにより、それぞれのVPNに対するそれぞれのアクセスを終了させることができる。次いで、VPNクライアントは、個々のVPNアクセスポイントと関連付けられたVPNポリシーをアンロードし、その後、個々のVPNアクセスポイントと関連付けられた物理的なアクセスポイントとの接続を終了させることができる。
本発明の別の態様によれば、少なくとも1つの仮想プライベートネットワーク(VPN)ポリシーを管理するシステムが提供され、この1つ又は複数のVPNポリシーは、少なくとも1つのVPNにアクセスする際に使用されるものである。このシステムは、少なくとも1つのSPDと、VPNクライアントと通信する能力を有する端末と、を含んでいる。VPNクライアントは、少なくとも1つの物理的なアクセスポイントを跨って1つ又は複数のSPDと通信し、これにより、1つ又は複数のSPDから1つ又は複数のVPNポリシーをダウンロードする能力を有している。VPNクライアントは、VPNポリシーストア内に1つ又は複数のVPNポリシーを保存可能である。その後、VPNクライアントは、1つ又は複数のSPDと同期化し、これにより、VPNポリシーストア内に保存されている1つ又は複数のVPNポリシーを更新可能である。1つ又は複数のVPNポリシーの中の1つ又は複数のものは、証明書及び/又は証明書/プライベートキーペアを包含可能である。このような例においては、VPNクライアントは、パスワードによって保護されたキーストア内に、証明書及び/又は証明書/プライベートキーペアを保存する能力をさらに有することができる。
前述のものと同様に、VPNクライアントは、SPDの選択肢を受信し、そのSPDと関連付けられている物理的なアクセスポイントを介して、その選択されたSDPから少なくとも1つのVPNポリシーをダウンロードする能力を有することができる。このような例においては、VPNクライアントは、SPD及び/又はVPNクライアントを認証し、SPD及び/又はVPNクライアントが認証された際に、SPDから1つ又は複数のVPNポリシーをダウンロードする能力をさらに有することができる。この観点において、VPNクライアントは、SPD証明書に基づいてSDPを認証し、ユーザ証明書に基づいてVPNクライアントを認証する能力を有することができる。但し、SPD証明書に基づいてSPDを認証する前に、VPNクライアントは、SPD証明書を生成する能力を有することができる。同様に、VPNクライアントは、VPNクライアントをSPDに対して認証し、VPNクライアントが認証された際に、ユーザ証明書を生成するなどにより、ユーザ証明書を生成する能力を有することができる。
具体的には、例えば、SPDは、複数の文字を含む関連付けられた識別コードを具備可能である。次いで、VPNクライアントは、SPDと関連付けられた識別コードの確認を受信し、その後、確認が受信された際にSPD証明書を生成することにより、SPD証明書を生成可能である。この観点において、VPNクライアントは、SPDと関連付けられた識別コードを含むSPD識別コードダイアログを提示する能力をさらに有することが可能であり、SPD識別コードダイアログ内の識別コードは、少なくとも1つの文字を伴うことなしに提示される。VPNクライアントは、1つ又は複数の文字を受信可能である。次いで、VPNクライアントは、SPD識別コードダイアログ内に提示された識別コードが、少なくとも1つの受信した文字により、SPDと関連付けられたる識別コードとマッチングした場合に、識別コードの確認を受信可能である。
本発明のその他の態様によれば、少なくとも1つのVPNにアクセスする方法及びコンピュータプログラムプロダクトが提供される。又、少なくとも1つのVPNポリシーを管理する方法及びコンピュータプログラムプロダクトも提供される。そして、本発明のさらに別の態様においては、VPNアクセスポイントのデータ構造が提供される。従って、本発明の実施例は、少なくとも1つのVPNにアクセスし、かつ、1つ又は複数のVPNポリシーを管理するシステム、方法、及びコンピュータプログラムプロダクトを提供している。本発明の実施例は、1つ又は複数のVPNアクセスポイントを定義することにより、端末又は端末ユーザに対して負担が少ない方式によって1つ又は複数のVPN接続のそれぞれを確立する能力を有している。この観点において、前述及び後述するように、VPNアクセスポイントは、一般に、個々のVPNに対する仮想的又は論理的なアクセスポイントと見なすことが可能であり、この結果、端末は、IAPと略同一の方式により、1つ又は複数のVPN接続を確立し、アクティブに維持可能である。従って、本発明の実施例のシステム、方法、及びコンピュータプログラムプロダクトは、従来技法に伴う問題点を解決すると共に、更なる利益を提供する。
以上において本発明に関する概略的な説明を終え、以下、添付の図面を参照するが、これらの添付図面は、必ずしも正確な縮尺で描画されてはいない。
以下、本発明の好適な実施例を示す添付の図面を参照し、本発明についてさらに詳細に説明する。但し、本発明は、多数の異なる形態において実施可能であり、本明細書に記述されている実施例に限定されるものと解釈してはならず、これらの実施例は、本開示を十分かつ完全なものとし、本発明の範囲を当業者に完全に伝達するべく提供されているものである。添付の図面においては、類似の参照符合により、類似の要素を示している。
図1に、本発明の利益を享受する端末及びシステムの1つのタイプの図を示す。本発明の実施例のシステム、方法、及びコンピュータプログラムプロダクトについては、モバイル通信アプリケーションとの関連において主に説明する。しかしながら、本発明の実施例のシステム、方法、及びコンピュータプログラムプロダクトは、モバイル通信産業の内外のいずれにおいても、様々なその他のアプリケーションとの関連において利用可能であることを理解されたい。例えば、本発明の実施例のシステム、方法、及びコンピュータプログラムプロダクトは、有線及び/又は無線ネットワーク(例えば、インターネット)アプリケーションとの関連において利用可能である。
図示のように、端末10は、ベースサイト又は基地局(Base Station:BS)14との間で信号を送受信するためのアンテナ12を包含可能である。基地局は、それぞれが、移動交換局(Mobile Switching Center:MSC)などのネットワークを動作させるのに必要な要素を含む1つ又は複数のセルラー又はモバイルネットワークの一部である。モバイルネットワークは、BMI(Base Station/MSC/Interworking)機能と呼ぶことも可能である。動作の際には、MSCは、端末が通話を受発信する際に、通話を端末との間においてルーティングする能力を有している。又、MSCは、例えば、端末が通話に関係している際などに、陸上通信幹線に対する接続をも提供可能である。さらには、MSCは、端末との間のメッセージ転送を制御する能力を有することも可能であり、かつ、SMSセンタ(Short Messaging Service:SMSC)(図示せず)との間のSMS(Short Messaging Service)メッセージなどのメッセージングセンタとの間における端末用のメッセージの転送を制御することも可能である。
MSC16は、LAN(Local Area Network)、MAN(Metropolitan Area Network)、及び/又はWAN(Wide Area Network)などのデータネットワークに結合可能である。MSCは、データネットワークに直接的に結合可能である。但し、代表的な一実施例においては、MSCは、GTW18に結合されており、GTWがインターネット20などのWANに結合されている。そして、処理要素(例えば、パーソナルコンピュータ、サーバコンピュータ、又はこれらに類似したもの)などの装置が、インターネットを介して端末10に結合可能である。例えば、処理要素は、1つ又は複数のオリジンサーバ22と関連付けられた1つ又は複数の処理要素を包含可能であり、この中の1つが図1に示されている。
又、BS14は、SGSN(Signaling GPRS(General Packet Radio Service) Support Node)24にも結合可能である。SGSNは、通常、パケット交換サービスにおいて、MSC16と類似した機能を実行する能力を有している。SGSNは、MSCと同様に、インターネット20などのデータネットワークに結合可能である。SGSNは、データネットワークに直接結合可能である。但し、さらに代表的な実施例においては、SGSNは、GPRSコアネットワーク26などのパケット交換コアネットワークに結合されている。そして、パケット交換コアネットワークが、GGSN(GTW GPRS Support Node)28などの別のGTWに結合されており、GGSNがインターネットに結合されている。又、GGSNは、MMS(Multimedia Messaging Service)センタ(図示せず)などのメッセージングセンタにも結合可能である。この観点において、GGSN及びSGSNは、MSCと同様に、MMSメッセージなどのメッセージの転送を制御する能力を有することができる。又、GGSN及びSGSNは、メッセージングセンタとの間における端末用のメッセージの転送を制御する能力を有することもできる。さらには、SGSN24をGPRSコアネットワーク26及びGGSN28に結合することにより、インターネット20、SGSN、及びGGSNを介して、1つ又は複数のオリジンサーバ22などの処理要素を端末10に結合可能である。この観点において、1つ又は複数のオリジンサーバなどの装置は、SGSN、GPRS、及びGGSNを跨って端末と通信可能である。
本明細書においては、すべての可能なモバイルネットワークのすべての要素を図示及び説明しているわけではないが、端末10は、BS14を通じて、いくつかの異なるネットワークのいずれかの1つ又は複数のものに結合可能であることを理解されたい。この観点において、1つ又は複数のネットワークは、第1世代(1G)、第2世代(2G)、2.5G、及び/又は第3世代(3G)のモバイル通信プロトコル又はこれらに類似したものの中の1つ又は複数のものに従って通信をサポートする能力を有することができる。例えば、1つ又は複数のネットワークの中の1つ又は複数のものは、2G無線通信プロトコルであるIS−136(TDMA)、GSM、及びIS−95(CDMA)に従って通信をサポートする能力を有することができる。又、例えば、1つ又は複数のネットワークの中の1つ又は複数のものは、2.5G通信プロトコルであるGPRS、EDGE(Enhanced Data GSM Environment)、又はこれらに類似したものに従って通信をサポートする能力を有することができる。さらには、例えば、1つ又は複数のネットワークの中の1つ又は複数のものは、WCDMA(Wideband Code Division Multiple Access)無線アクセス技術を利用するUMTS(Universal Mobile Telephone System)ネットワークなどの3G無線通信プロトコルに従って通信をサポートする能力を有することもできる。いくつかの狭帯域AMPS(NAMPS)並びに1つ又は複数のTACネットワークも、デュアル又はさらに高次モードの端末(例えば、デジタル/アナログ又はTDMA/CDMA/アナログ電話機)として、本発明の実施例の利益を享受可能である。
端末10は、1つ又は複数の無線トランシーバ(TS)30にさらに結合可能である。TSは、例えば、高周波(RF)、Bluetooth(登録商標)(BT)、赤外線(IrDA)、又は図1に示されているWLAN技法を含むいくつかの異なる無線ネットワーキング技法のいずれかなどの技法に従って端末と通信するべく構成されたアクセスポイントを有することができる。さらには(又は、この代わりに)、端末は、1つ又は複数のユーザプロセッサ32にも結合可能である。それぞれのユーザプロセッサは、パーソナルコンピュータ、ラップトップコンピュータ、又はこれらの類似したものなどの演算システムを有することができる。この観点において、ユーザプロセッサは、例えば、RF、BT、IrDA、又はLAN及び/又はWLAN技法を含むいくつかの異なる有線又は無線通信技法のいずれかなどの技法に従って端末と通信するべく構成可能である。さらには(又は、この代わりに)、ユーザプロセッサの中の1つ又は複数のものは、コンテンツを保存する能力を有する着脱自在のメモリを包含可能であり、このコンテンツは、その後、端末に転送可能である。
TS30及びユーザプロセッサ32は、インターネット20に結合可能である。MSC16と同様に、TS及びユーザプロセッサは、インターネットに直接結合可能である。但し、一実施例においては、TSは、GTW18を介して間接的にインターネットに接続されている。端末10及び1つ又は複数のオリジンサーバ22、並びに、いくつかのその他の装置、プロセッサ、及びこれらに類似したもののいずれかをインターネットに直接又は間接的に接続することにより、端末は、互いに又は1つ又は複数のオリジンサーバなどと通信し、これにより、サービスプロバイダ及び/又は認可マネージャとの間におけるデータ、コンテンツ、又はこれらに類似したものの送受信などの端末の様々な機能を実行可能であることが理解されよう。
本発明の実施例によれば、インターネット20と、従って、端末10は、1つ又は複数のイントラネット34に結合可能であり、この中の1つが図1に示されている。それぞれのイントラネットは、一般に、企業内に限定されたプライベートネットワークを有している。それぞれのイントラネットは、1つ又は複数の連結されたLAN、並びに、1つ又は複数のLAN、MAN、WAN、又はこれらに類似したものの一部を有することができる。インターネットと同様に、処理装置(例えば、1つ又は複数のオリジンサーバ22)などの装置は、イントラネットに対して(従って、イントラネットを介してインターネット及び端末に対して)結合可能である。本システムの様々なその他のコンポーネントと同様に、イントラネットと、従って、イントラネットの処理要素は、通常、ゲートウェイ36を介して、インターネットに、従って、端末に間接的に接続されている。同様に、図示されてはいないが、イントラネット内に含まれているそれぞれのネットワーク又はネットワークの一部も、ゲートウェイを介して互いに相互接続可能である。
後述するように、端末10は、ゲートウェイ36を跨って(かつ、必要に応じて、イントラネット内の1つ又は複数のその他のゲートウェイを跨って)イントラネットに対して仮想プライベートネットワーク(VPN)を確立することにより、イントラネット34に対して(従って、イントラネットに結合された処理要素(例えば、1つ又は複数のオリジンサーバ22)に対して)アクセスする能力を有している。この結果、このような例においては、ゲートウェイは、通常、図1に示されているように、VPN GTWと呼ばれる。本発明の実施例によれば、本システムは、実質的に「Security Architecture for the Internet Protocol」という名称のIETF(Internet Engineering Task Force)のRFC(Request For Comment)2401文書に記述されているものなどのIPセキュリティ(IPsec)フレームワークを提供している(この内容は、本引用により、本明細書にそのすべてが包含される)。従って、イントラネットも、SAD(Security Association Database)38とSPD(Security Policy Database)40を有する処理要素に結合されている。SADは、VPN GTW36を跨って配置されている端末10などの処理装置とイントラネット34内の処理装置(例えば、1つ又は複数のオリジンサーバ22)のセキュリティアソシエーションを保存する能力を有していることが理解されよう。一方、SPDは、VPN GTWによって実行されるセキュリティポリシーを保存する能力を有しており、この場合に、セキュリティポリシーは、後述するように、1つ又は複数のその他の情報要素をも包含可能なVPNポリシー内に包含可能である。本明細書に記述されているように、SAD及びSPDは、IPsecに従って構成されており、かつ、様々なIPレイヤプロトコル(例えば、Mobile IP)との関連において動作する。但し、SAD及びSPDは、この代わりに、本発明の実施例に準拠して動作する能力を有するいくつかのその他のセキュリティプロトコルのいずれかによって構成することも可能であることを理解されたい。
IPsecに従い、SAD38は、送出トラフィックを保護するセキュリティアソシエーションを保存し、かつ、到来トラフィックを保護するセキュリティアソシエーションをも保存するデータベースを有している。例えば、送出トラフィックの場合には、SADのエントリをSPD40のエントリによってポイント可能である。具体的には、SAD内のそれぞれのエントリは、宛先IPアドレス、IPsecプトロコル(AH(Authentication Header)又はESP(Encapsulating Security Payload))、及びSPI(Security Parameters Index)というフィールドの中の1つ又は複数のものを包含可能である。さらには、それぞれのエントリは、シーケンス番号カウンタ、シーケンスカウンタオーバーフロー、アンチリプレイウィンドウ、モード、及び/又はライフタイムフィールドを包含可能である。さらには、それぞれのエントリは、例えば、AHパラメータ、認証用のESPパラメータ、及び/又は暗号化用のESPパラメータなどの暗号化及び認証キーパラメータを含む暗号パラメータをも包含可能である。
IPsecに定義されているように、SPD40は、VPN GTW36によって実行されるセキュリティポリシーを包含可能なVPNポリシーを保存するデータベースを有している。SAD38と同様に、SPDは、送出トラフィック及び到来トラフィック用のセキュリティポリシーを保存している(通常は、それぞれを別個に保存している)。一般に、VPN GTWは、IPsecなどによって保護しなければならないトラフィックをSPDを利用して判定する。そして、特定のトラフィックを保護しなければならない際には、SPDは、適用しなければならないセキュリティサービスを定義する(この場合に、アクションとして、(a)破棄、(b)中継(即ち、セキュリティサービスの適用を伴わない中継)、又は(c)IPsec(セキュリティサービスの適用)のいずれかを定義可能である)。SPDは、個々のセキュリティポリシーを適用する対象であるトラフィックについて記述するセレクタによってインデックス付けされたセキュリティポリシーを保存している。それぞれのVPNポリシーは、通常、実行するべきアクション(即ち、破棄、中継、IPsec)と、実行するべきアクションとしてIPsecが定義されている際に適用するべきアルゴリズム及びプロトコルと、を定義している。IPsecによれば、セレクタは、通常、宛先IPアドレス、発信元IPアドレス、名前、データセンシティビティレベル、トランスポートレイヤプロトコル、及び/又は発信元及び宛先ポートというフィールドによって定義されている。本発明の実施例によれば、前述のIPsecフィールドに加えて(又は、これらの代わりに)、セレクタは、1つ又は複数のユーザ定義フィールドによって定義することも可能である。
先に図示及び説明したように、端末10は、いくつかの異なる方式のいずれかにより、インターネット20と、したがって、VPN GTW36及びイントラネット34に対してアクセスする能力を有している。例えば、端末は、TS30及び/又はユーザプロセッサ32を介してインターネットにアクセスする能力を有することができる。さらには(又は、この代わりに)、端末は、回線交換接続の提供などを目的として、MSC16を介してインターネットにアクセスする能力を有することも可能である。又、端末は、さらに(又は、この代わりに)、GPRSコアネットワーク26を跨った回線又はパケット交換接続の提供などを目的として、SGSN24を介してインターネットにアクセスする能力を有することもできる。本明細書においては、このようなIAPを「インターネットアクセスポイント」又はIAPと呼ぶ。なお、端末は、前述のIAPの中の1つ又は複数のものを介してインターネットにアクセス可能であるが、前述のIAPは、端末がインターネットにアクセスする能力を有することができるいくつかの異なるIAPを例示するものに過ぎないことを理解されたい。
次に、図2を参照すれば、本発明の一実施例によるGTW18、オリジンノード22、TS30、ユーザプロセッサ32、VPN GTW36、SAD38、SPD40などのネットワークエンティティとして機能する能力を有するエンティティのブロックダイアグラムが示されている。なお、別個のエンティティとして示されているが、いくつかの実施例においては、1つ又は複数のエンティティは、論理的に分離しているが1つ又は複数のエンティティ内に一緒に配置されているネットワークエンティティの中の1つ又は複数のものをサポート可能である。例えば、単一のエンティティは、論理的に分離しているが一緒に配置されているSAD及びSPDをサポート可能である。又、例えば、単一のエンティティは、論理的に別個であるが一緒に配置されているVPN GTW、SAD、及びSPDをサポート可能である。
図示のように、ネットワークエンティティとして動作する能力を有するエンティティは、一般に、メモリ44に結合されたコントローラ42、プロセッサ、又はこれらに類似のものを包含可能である。又、コントローラは、データ、コンテンツ、又はこれらに類似のものを送受信するための少なくとも1つのインターフェイス46又はその他の手段にも接続可能である。メモリは、揮発性及び/又は不揮発性メモリを有することが可能であり、通常、コンテンツ、データ、又はこれらに類似したものを保存する。例えば、メモリは、通常、本発明の実施例によるエンティティの動作と関連した段階をコントローラが実行するためのソフトウェアアプリケーション、命令、又はこれらに類似したものを保存している。又、前述のように、エンティティがSAD38を有している際には、メモリは、通常、イントラネット34との関連において到来及び/又は送出トラフィックを保護するセキュリティアソシエーションを保存している。さらには、こちらも前述したように、エンティティがSPD40を有している場合には、メモリは、通常、VPN GTW36によって実行されるセキュリティポリシーを包含可能なVPNポリシーをも保存している。
図3は、本発明の一実施例による端末10の機能図を示している。なお、図示の端末及び後述する端末は、本発明の利益を享受するモバイル端末の1つのタイプを例示したものに過ぎず、従って、本発明の範囲を限定するものと解釈してはならないことを理解されたい。以下、一例として、端末のいくつかの実施例について例示及び説明するが、PDA(Portable Digital Assistant)、ポケットベル(登録商標)、ラップトップコンピュータ、及びその他のタイプの音声及びテキスト通信システムなどのその他のタイプの端末も、本発明を容易に利用可能である。
図3に示されている実施例の端末10は、送信機48、受信機50、及び、それぞれ、送信機と受信機の間で信号をやり取りするコントローラ52、プロセッサ、又はこれに類似したものを含んでいる。これらの信号は、適用可能なセルラーシステムの無線インターフェイス規格に準拠したシグナリング情報と、ユーザの音声及び/又はユーザ生成データと、を含んでいる。この観点において、端末10は、1つ又は複数の無線インターフェイス規格、通信プロトコル、変調タイプ、及びアクセスタイプによって動作する能力を有することができる。具体的には、端末は、いくつかの1G、2G、2.5G、及び/又は3G通信プロトコル又はこれらに類似したもののいずれかに従って動作する能力を有することができる。例えば、端末は、2G無線通信プロトコルであるIS−136(TDMA)、GSM、及びIS−95(CDMA)に従って動作する能力を有することができる。又、例えば、端末は、2.5G無線通信プロトコルであるGPRS、EDGE(Enhanced Data GSM Environment)、又はこれらに類似したものに従って動作する能力を有することができる。いくつかの狭帯域AMPS(NAMPS)並びに1つ又は複数のTACS端末も、デュアル又はさらに高次モードの端末(例えば、デジタル/アナログ又はTDMA/CDMA/アナログ電話機)として、本発明の実施例の利益を享受可能である。
コントローラ52は、端末10のオーディオ及びロジック機能を実装するのに必要な回路を含んでいることを理解されたい。例えば、コントローラは、デジタル信号プロセッサ装置、マイクロプロセッサ装置、及び様々なアナログ/デジタルコンバータ、デジタル/アナログコンバータ、並びに/又はその他のサポート回路から構成可能である。端末の制御及び信号処理機能は、その個々の能力に応じてこれらの装置に割り当てられる。従って、コントローラは、変調及び伝送の前に、メッセージ及びデータを畳み込みエンコードしてインターリーブする機能をも含んでいる。又、コントローラは、内蔵VC(Voice Coder)52Aをも包含可能であり、かつ、内蔵DM(Data Modem)52Bを包含することも可能である。さらには、コントローラは、1つ又は複数のソフトウェアアプリケーションを動作させる機能をも包含可能であり、これらのソフトウェアアプリケーションは、メモリ内に保存可能である。
又、端末10は、従来のイヤホン又はスピーカー54、電鈴56、マイクロフォン60、ディスプレイ62、及びユーザ入力インターフェイスを含むユーザインターフェイスをも有しており、これらは、いずれも、コントローラ52に結合されている。端末のデータ受信を実現するユーザ入力インターフェイスは、キーパッド64、タッチディスプレイ(図示されてはいない)、又はその他の入力装置などの端末のデータ受信を実現するいくつかの装置のいずれかを有することができる。キーパッドを含む実施例においては、キーパッドは、従来の数字(0〜9)及び関係するキー(#、*)、並びに、端末の操作に使用するその他のキーを含んでいる。
又、端末10は、SIM(Subscriber Identity Module)66、R−UIM(Removable User Identity Module)、又はこれらに類似したものなどのメモリをも包含可能であり、これらは、通常、モバイル加入者に関係する情報要素を保存している。端末は、SIM以外に、その他のメモリをも包含可能である。この観点において、端末は、データの一時保存用のキャッシュエリアを含む揮発性RAM(Random Access Memory)などの揮発性メモリ68を包含可能である。又、端末は、その他の不揮発性メモリ70をも包含可能であり、これは、組み込み型及び/又は着脱型のいずれであってもよい。メモリは、端末の機能を実行するべく端末が使用するいくつかの情報要素及びデータのいずれかを保存可能である。例えば、メモリは、MSC16などに対して端末を一意に識別する能力を有するIMEI(International Mobile Equipment Identification)コードなどの識別子を包含可能である。
又、例えば、メモリ66、68、及び70は、端末10によるウェブコンテンツの送受信を実現する従来のウェブブラウザ及び/又は端末による電子メールメッセージ又はこれに類似したものの送受信を実現する従来の電子メールアプリケーションなどの1つ又は複数の接続アプリケーション71を包含可能である。さらには、例えば、不揮発性メモリは、英国のSymbian Limited社が開発したSymbian OSバージョン7.0s以降などのオペレーティングシステム(図示せず)を保存することも可能である。又、例えば、後に詳述するように、不揮発性メモリは、IPsecなどのセキュリティプロトコルに従って1つ又は複数のVPN接続を確立する能力を有するVPNクライアント72を保存することも可能である。
本明細書に図示及び説明されているように、VPNクライアント72などのアプリケーションは、端末10によって(端末のコントローラ40などによって)実行されるソフトウェアを有している。但し、VPNクライアントの機能は、本発明の精神及び範囲を逸脱することなしに、ハードウェア、ファームウェア、又はこれらに類似したものによっても同様に実装可能であることを理解されたい。又、VPNクライアントは、端末と一緒に配置されるものとして図示及び説明されているが、VPNクライアントは、同様に端末から分散させることも可能であることを理解されたい。
端末10は、いくつかの異なる有線及び/又は無線技法のいずれかに従って、その他のネットワークエンティティなどの電子装置とデータを共有及び/又は取得するための1つ又は複数の手段をさらに包含可能である。例えば、端末は、端末が高周波及び/又は赤外線技法に従ってデータを共有及び/又は取得できるように、高周波(RF)トランシーバ74及び赤外線(IR)トランシーバ76を包含可能である。又、例えば、端末は、端末がBluetooth(登録商標)転送法に従ってデータを共有及び/又は取得できるように、Bluetooth(登録商標)(BT)トランシーバ78を包含することも可能である。さらに(又は、この代わりに)、図示されてはいないが、端末は、LAN(Local Area Network)及び/又は無線LAN(WLAN)、並びに/或いは、その他の無線技法を含むいくつかの異なる有線及び/又は無線ネットワーキング技法に従って電子装置との間でデータを送受信する能力をも有することができる。
背景の節において説明したように、VPN上において通信するための従来技法においては、端末10などのクライアントは、個々のVPNを含む1つ又は複数の物理的なネットワークに対するIAPとの間に通信を確立し、その後、個別のVPN用のVPNポリシーをロード又は起動することにより、VPN接続を確立する必要がある。VPN接続を終了させるには、通常、クライアントは、その個別のVPN用のVPNポリシーをアンロード又は停止し、その後、IAPとの間の通信を終了させる必要がある。しかしながら、VPN接続を起動及び終了させるこのような技法は、特に、「マルチホーム」クライアントにおいて、クライアントの同時VPN及びその他の接続の数が増大することに伴って、クライアント又はクライアントユーザに対して望ましくない負担をかけることになる。
本発明の実施例によれば、端末10は、「シングルホーム」及び/又は「マルチホーム」構成などにおいて、1つ又は複数のVPNを確立し、アクティブに維持する能力を有している。具体的には、「マルチホーム」クライアントとして動作することにより、端末は、同時に1つ又は複数のIAP上において複数のVPN接続(及びVPNポリシー)を確立し、アクティブに維持する能力を有している。又、端末は、VPN接続とは独立した同一又は異なるIAPの中の1つ又は複数のものに対する1つ又は複数の追加接続と同時に、1つ又は複数のアクティブなVPN接続を維持する能力をも有している。動作の際には、従来の「マルチホーム」クライアントとは対照的に、端末は、端末又は端末ユーザが、1つ又は複数の個別の物理的なネットワークに対するIAPとの間に通信を別個に確立し、個別のVPN用のVPNポリシーをロード又は起動し、その後、個別のVPN用のVPNポリシーをアンロード又は停止し、IAPとの通信を終了させることを必要とすることなしに、それぞれのVPN接続を確立する能力をさらに有している。
本発明の実施例に従って1つ又は複数のVPNにアクセスする方法を実現するべく、端末10、又は、さらに具体的には、端末ユーザは、1つ又は複数の「VPNアクセスポイント」を定義する能力を有している。後述するように、VPNアクセスポイントは、一般に、個別のVPNに対する仮想的又は論理的なアクセスポイントであると考えられる。この観点において、VPNアクセスポイントは、VPNポリシー及び関連IAPによって定義可能であり、かつ、名前又はその他の識別子によって識別可能である。VPNアクセスポイントを利用することにより、端末は、IAPと略同一の方式により、1つ又は複数のVPN接続を確立し、アクティブに維持可能であり、これらのVPN接続は、従来技法に従って確立された類似のVPN接続の属性を具備している。
後に詳述するように、端末10、或いは、さらに具体的には、端末ユーザ、又は端末上において動作するアプリケーションがVPN接続を確立した際に、端末上において動作するVPNクライアント72は、個別のVPNアクセスポイントを利用してVPNにアクセスする能力を有している。この結果、本明細書においては、それぞれのこのようなVPN接続を「VPNアクセスポイント接続」と呼ぶ。具体的には、VPNアクセスポイント接続を確立するべく、VPNクライアントは、個別のVPNアクセスポイントを解釈して関連付けられているIAPとの間に接続を確立し、関連付けられているVPNポリシーをロードし、次いで、IAP接続上においてVPNトンネルを確立する能力を有している。そして、VPNアクセスポイント接続を終了させるべく、VPNクライアントは、VPNトンネルを閉じ、関連付けられているVPNポリシーをアンロードし、その後、関連付けられているIAPから端末がその他の面において解放される場合には、関連付けられたIAPに対する接続を端末に終了させる能力を有している。
従って、VPNクライアント72は、VPNアクセスポイントを使用することにより、VPNトンネルの確立及び終了を、IAPに対する接続の通常の確立及び終了に統合する能力を有している。この結果、従来の技法とは対照的に、端末10又は端末ユーザは、VPN接続を確立する段階を別個に実行したり、専用のVPNユーザインターフェイス(UI)を使用してIAP接続の確立及び終了と関連する調整された方式でVPNポリシーをロード及びアンロードする必要がない。
前述のように、かつ、後にさらに説明するように、端末10は、個別のVPNアクセスポイントを利用して複数のVPNに対して接続することにより、同時に複数のVPNアクセスポイント接続に対する接続を同時にアクティブに維持する能力を有している。さらには、1つ又は複数のVPNアクセスポイント接続は、個別のVPNアクセスポイント接続から独立した同一又は異なるIAPの中の1つ又は複数のものに対する1つ又は複数の接続と共に端末内においてアクティブに共存可能である。端末が複数の同時にアクティブなアクセスポイント接続をアクティブに維持している際には、複数のVPNポリシーも同時にアクティブである。但し、それぞれのVPNポリシーが影響を及ぼすのは、個々のVPNアクセスポイント接続上のトラフィックに対してのみである。この観点において、このようなVPNポリシーの分離を実現するべく、VPNポリシー内のトラフィックセレクタは、個々のVPNアクセスポイント接続と関連付けられた1つ又は複数のネットワーク識別子(ID)を包含可能である。
図4には、本発明の一実施例による少なくとも1つのVPNにアクセスする方法における様々な段階を含むフローチャートが示されている。図示のように、この方法は、1つ又は複数のVPNアクセスポイント接続を確立し、アクティブに維持する段階を含んでいる。但し、端末10が1つ又は複数のVPNアクセスポイント接続を確立し、アクティブに維持できるようになる前に、通常は、個々のVPNアクセスポイントが定義される(このそれぞれは、名前又はその他の識別子、並びに、関連付けられたVPNポリシー及びIAPを含んでいる)。図4のブロック79に示されているように、1つ又は複数のVPNアクセスポイントを定義する前に、ブロック80に示されているように、VPNクライアント72などにより、端末のメモリ(例えば、不揮発性メモリ70)内に、1つ又は複数のVPNポリシーをインストール、更新、又は保存することができる。具体的には、VPNクライアントは、ユーザ固有の証明書ポリシー(uer−specific certificate policy)、一般的な証明書ポリシー(generic Certificate policy)、及び一般的な非証明書ポリシー(generic non−certificate policy)を含む1つ又は複数の異なるタイプのVPNポリシーの中から選択されたVPNポリシーをインストールする能力を有することができる。
ユーザ固有の証明書ポリシーは、通常、VPN GTW36に対して安全なトンネルを確立するためにVPNクライアント72が必要とする情報を含んでいる。具体的には、例えば、ユーザ固有の証明書ポリシーは、1つ又は複数のセキュリティポリシーを包含可能である。さらには、ユーザ固有の証明書ポリシーは、例えば、1つ又は複数のCA(Certificate Authority)証明書、1つ又は複数のVPN GTW証明書、及び/又は1つ又は複数のVPNクライアントプライベートキー/証明書ペアなどの1つ又は複数のその他の情報要素を包含可能である。ユーザ固有の証明書ポリシーとは対照的に、一般的な証明書ポリシーは、通常、VPNクライアントプライベートキー/証明書ペアなどのユーザ固有の情報を欠いている。従って、一般的な証明書ポリシーの場合には、VPNクライアントは、そのVPNクライアント用のプライベートキーを生成し、証明書登録技法などにより、対応する証明書を取得する能力を有することができる。さらには、ユーザ固有及び一般的な証明書ポリシーとは対照的に、一般的な非証明書ポリシーは、通常、ユーザ名/パスワードタイプのVPN認証を必要としており、インストールの直後に使用可能状態となる。
VPNクライアント72が1つ又は複数のVPNポリシーをインストール可能なSPD40を含んでいる企業の場合には、通常、個々のシステム管理者が1つ又は複数のVPNポリシーを生成することが理解されよう。次いで、これらのVPNポリシーは、個々のSPDにエクスポートされ、1つ又は複数のVPNポリシーがVPNクライアントに提供されることになる。さらには(又は、この代わりに)、個々のシステム管理者は、1つ又は複数のVPNポリシーをSIS(Symbian Installation System)ファイルなどのファイル内にパッケージ化することも可能である。次いで、これらのポリシーを含むファイルをVPNクライアントに供給可能であり、その後、VPNクライアントは、これらのファイルからポリシーをメモリ(例えば、不揮発性メモリ70)内にインストール又はその他方法で保存可能である。
次に、図5A〜図5Cを参照すれば、VPNクライアント72が、端末10のメモリ(例えば、不揮発性メモリ70)内において1つ又は複数のVPNポリシーをインストールするか、保存するか、又は管理する方法における様々な段階を含むフローチャートが示されている。図示のように、1つ又は複数のVPNポリシーをインストールする方法は、ブロック80に示されているように、端末ユーザインターフェイス(例えば、キーパッド64)への入力などにより、VPNクライアント72内においてVPNポリシーのインストール手順を起動する段階を含んでいる。VPNポリシーのインストール/更新手順は、例えば、「VPNポリシー」のページやVPNクライアントの表示、さらに具体的には、VPNクライアントのVPN管理制御パネルアプレットを開く段階を含むいくつかの異なる方式のいずれかにより、起動可能である。その後、端末ユーザは、図6の代表的なVPNクライアント表示に示されているように、「インストール」命令を選択するなどにより、「VPNポリシー」表示からVPNポリシーのインストールを選択可能である。
或いは、この代わりに、端末10が、インストールされた1つ又は複数のVPNポリシーを含んでいない場合には、VPNクライアント72は、積極的に1つ又は複数のそのようなポリシーのインストールを要求可能である。例えば、図7の代表的なVPNクライアント表示に示されているように、VPNクライアントは、「VPNポリシーがインストールされていません。いまインストールしますか?」という文章と要求を含む確認ダイアログを提示可能である。このような要求に応答し、端末ユーザが、VPNポリシーをインストールしないことを選択した場合には、VPNクライアントは、通常、VPNポリシーのインストールを起動せず、かつ、図6の代表的なVPNクライアント表示に示されているように、VPNポリシーがインストールされていない旨を通知する「VPNポリシー」表示を再度提示可能である。その後、任意の時点において、端末ユーザは、「インストール」命令を選択するなどにより、「VPNポリシー」表示からVPNポリシーのインストールを選択可能である。
端末ユーザが1つ又は複数のVPNポリシーのインストールを選択した場合、又は選択したときには、端末10は、ブロック82に示されているように、VPNクライアント72によって提示される1つ又は複数のSPDのリストなどの中から、1つ又は複数のVPNポリシーをインストール/更新する先のSPD40の選択肢を受信可能である。図8の代表的な表示に示されているように、例えば、VPNクライアント72は、「VPNポリシーサーバ」表示などに、1つ又は複数のSPDのアルファベット順のリストを提示可能である。リストに単一のSPDしか含まれていない場合には、VPNクライアントは、リストされているSPDを自動的に選択するべく構成可能であることが理解されよう。
1つ又は複数のVPNポリシーをインストール/更新する先のSPF40を選択した後に、VPNクライアント72は、ブロック84に示されているように、端末が、選択されたSPDにアクセスし、SPDによって保存されている1つ又は複数のVPNポリシーをインストールすることができる関連付けられたIAPを、選択されたSPDが具備しているかどうかを識別可能である。VPNクライアントは、選択されたSPDを定義している端末のメモリ内に保存されているSPD設定などに基づいて、いくつかの異なる方式のいずれかにより、関連付けられているIAPを識別可能である。この観点において、VPNクライアント72は、端末10のメモリ内に、1つ又は複数のSPD40を定義するSPD設定を保存可能であり、この場合に、SPD設定は、IAPアソシエーションに加えて、1つ又は複数のSPDの1つ又は複数のアドレス(例えば、IPアドレス)と、必要に応じて、端末10と個々の1つ又は複数のSPDの間の信頼関係を定義する情報をも包含可能である。
様々な例においては、SIS(Symbian Installation System)ファイルなどからのオフライン方式によってSPD設定が端末のメモリ(例えば、不揮発性メモリ70)内に保存されている例などのように、選択されたSPD40が、関連付けられたIAPを具備していない場合があることが理解されよう。このような例においては、VPNクライアント72は、ブロック86に示されているように、VPNクライアントによって提示される利用可能なIAPのリストなどからIAPの選択肢を受信可能である。単一のSPDのケースと同様に、リストに単一のIAPしか含まれていない場合には、VPNクライアントは、リストされたIAPを自動的に選択するべく構成可能である。VPNクライアントがIAPの選択肢を受信する方式とは無関係に、VPNクライアントは、その後、以前に選択されているSPDを定義するSPD設定内に選択肢を保存可能である。
選択されたSPD40が、関連付けられたIAPを具備した後に、VPNクライアント72は、ブロック88に示されているように、選択されたSPDに対する端末10、又は、さらに具体的には、VPNクライアントの認証を円滑に実行するためのキーストアパスワードを設定又は入力するように、端末ユーザ対して要求可能である。具体的には、端末ユーザは、通常、キーストアパスワードを設定し、その後、これを使用することにより、端末のメモリ(例えば、不揮発性メモリ70)内のキーストアを保護しており、具体的には、キーストア内に含まれているVPN認証及び/又はSPD認証用のプライベートキー(後述する)を保護している。この観点において、キーストアパスワードは、通常、SPD認証用のプライベートキーを保護するべく設定されている。VPNクライアントは、後述するように、端末とSPDによって保存されたVPNポリシーを同期させるなどの目的で、VPNクライアントが初めてSPDに接続する際に、これをSPDから受信可能である。
キーストアパスワードが既に設定されている場合には、ブロック90及び図9の代表的なVPNクライアント表示に示されているように、VPNクライアント72は、個別のキーストアパスワードを要求し、その後、これを端末ユーザから受信可能である。但し、様々な例においては、VPNクライアントは、設定されたキーストアパスワードを端末10のメモリ(例えば、不揮発性メモリ70)内に保存可能であることを理解されたい。このような例においては、VPNクライアントは、端末ユーザに対してキーストアパスワードを要求することなしに、メモリからキーストアパスワードを取得する能力を有することができる。しかしながら、キーストアパスワードがメモリ内に設定又は保存されていない場合には、ブロック92及び図10の代表的なVPNクライアント表示に示されているように、VPNクライアントは、新しいキーストアパスワードを要求し、その後、これを端末ユーザから受信可能である。
キーストアパスワードを設定又は受信した後に、ブロック94に示されているように、VPNクライアント72は、選択されているSPD40と関連付けられたIAPに対するデータ接続を確立し、これにより、SPDに対するデータ接続を確立可能である。その後、VPNクライアントは、SPDに対するデータ接続を確立し、SPDからの1つ又は複数のVPNポリシーのダウンロード、受信、又はその他の方法による同期化を実行することができる。SPDからの1つ又は複数のVPNポリシーを同期化する前であって、特に、VPNクライアントがSPDとの信頼関係を望み、他の方法によっては、これを得ることができない場合においては、VPNクライアントは、SPDを認証すること及び/又は自分自身をSPDに対して認証することが可能である。VPNクライアントは、いくつかの異なる方式のいずれかにより、SPD及び/又は自分自身をSPDに対して認証可能である。一実施例においては、例えば、VPNクライアントは、証明書認証法に従ってSPD証明書及び/又はユーザ証明書を使用することにより、このような1つ又は複数の認証を実行可能である。このような例においては、VPNクライアントは、パスワードによって保護されたキーストアなどの端末10のメモリ(例えば、不揮発性メモリ70)内に、SPD証明書及び/又は選択されたSPDに関係するユーザ証明書を保存する能力を有することができる。
SPD及びユーザ証明書は、いくつかの異なる方式のいずれかによって生成可能であるが、代表的な一実施例においては、ブロック96に示されているように、VPNクライアントがSPDとの間にデータ接続の確立を最初に試みる際に生成される。このような場合において、SPD設定が、端末10と選択されたSPDの間の信頼関係を定義する情報を含んでいない際には、VPNクライアントがSPDを認証可能である。VPNクライアントは、ブロック98に示されているように、VPNクライアントによって提示されたSPD識別コードを完成させるべく端末ユーザにチェック及び要求することなどにより、いくつかの異なる方式のいずれかにより、SPDを認証可能である。このような例においては、VPNクライアントが自分自身をSPDに対して認証する前に、SPDのシステム管理者は通常、端末とSPDの間の接続とは独立した方式により、識別コードを端末ユーザに供給可能である。
具体的には、VPNクライアント72は、SPD識別コードの確認を要求し、その後、SPD識別コードの確認を端末ユーザから受信することができる。この観点において、VPNクライアントは、1つ又は複数の消失文字を有するSPD識別コードを含むSPD識別コードダイアログを提示し、消失文字を要求し、その後、この消失文字を端末ユーザから受信するようにできる。例えば、サーバ識別コードが、「3E:1F:9E:E6:4C:6E:F0:22:08:25:DA:91:23:08:05:03」から構成されている場合に、VPNクライアントは、「消失している文字を入力することにより、サーバ識別コードを検証してください:3E:1F: E:E6:4C:6E:F0:2 :08:25:DA:9 :23:08: 5:03」という要求を含むダイアログを提示可能である。このような例においては、VPNクライアントは、端末ユーザから、「9210」という文字列を受信し、これにより、SPD識別コードを完成させることができる。VPNクライアント72が、選択されたSPD40を認証する方式とは無関係に、SPDを認証した際には、VPNクライアントは、ブロック100に示されているように、後続の通信の際にSPDを認証するためのSPD証明書を生成し、その後、これを保存することができる。
SPD証明書の生成と同様に、ユーザ証明書は、いくつかの異なる方式のいずれかによって生成可能である。同様に、VPNクライアント72がSPDとのデータ接続の確立を初めて試みる際に、VPNクライアントは、自分自身をSPDに対して認証可能である。VPNクライアントは、ブロック102に示されているように、ユーザ名/パスワードの組み合わせなどによるいくつかの異なる方式のいずれかにより、自分自身をSPDに対して認証可能である。以前と同様に、VPNクライアントが、選択されたSPDに対して自分自身を認証する方法とは無関係に、SPDは、その後、クライアント証明書を生成し(又は、CA(Certification Authority)から取得し)、クライアント証明書をVPNクライアントに送付可能である。ブロック104に示されているように、クライアント証明書を受信した際に、VPNクライアントは、後続の通信の際にSPDを認証するべく、そのクライアント証明書を保存する。
前述のように、SPD40から1つ又は複数のVPNポリシーをダウンロードする前に、VPNクライアント72は、SPDを認証すること及び/又は自分自身をSPDに対して認証することが可能である。具体的には、SPDから1つ又は複数のVPNポリシーをダウンロードする前に、VPNクライアントは、SPDから、ブロック106に示されているように、VPNクライアントが利用可能な1つ又は複数のVPNポリシーに関する情報を取得することができる。次いで、この情報取得の際に、VPNクライアントは、ブロック108に示されているように、SPDを認証すること及び/又は自分自身をSPDに対して認証することが可能である。この観点において、SPD証明書が、満了している、取り消されている、或いは、無効になっている場合には、SPDは、ブロック110に示されているように、VPNクライアントと1つ又は複数のVPNポリシーの同期化を拒否可能である。このような例においては、必要に応じて、VPNクライアントは、端末ユーザに対して情報ダイアログ(例えば、「ポリシーサーバのログインに失敗しました。サーバ定義を削除し再生成してください。」)を提示するなどにより、認証の失敗について端末ユーザに通知可能である。その後、端末ユーザは、後述するように、このような1つ又は複数のSPDのリスト及び設定を管理する際などに、1つ又は複数のSPDのリスト内においてSPDを再定義可能である。次いで、端末ユーザは、再定義されたSPDを選択し、VPNポリシーのインストールプロセスを再開可能である。
同様に、クライアント証明書が、満了している、取り消されている、或いは、無効になっている場合には、VPNクライアント72、又は、さらに具体的には、SPD40は、ブロック112に示されているように、VPNクライアントと1つ又は複数のVPNポリシーの同期化を拒否することができる。このような例においては、その後、SPDは、以前と同様の方式(ブロック100、102を参照されたい)などにより、新しいクライアント証明書を生成可能である。次いで、VPNクライアントは、新しく生成されたクライアント証明書を使用することにより、SPDに対する自分自身の認証を再度試みることができる。
SPD証明書とクライアント証明書がいずれも有効であり、かつ、VPNクライアント72とSPD40間の認証に成功した場合には、VPNクライアントは、SPDによって保存されている1つ又は複数のVPNポリシーを同期化可能である。具体的には、VPNクライアントは、ブロック114に示されているように、SPDから、1つ又は複数のVPNポリシーと、SPDによって保存、生成、又は受信されている関連付けられた証明書(ユーザ固有又は一般的な証明書ポリシーの場合)と、をダウンロード可能である。ポリシーのダウンロード又は同期化が完了した際に、VPNクライアントは、必要に応じて、ポリシーの同期化が完了したことを端末ユーザに対して通知することができる。
又、VPNクライアント72は、1つ又は複数のVPNポリシーを受信した後に、個々の1つ又は複数のポリシーをインストールすること又は保存することが可能である。例えば、VPNクライアントは、1つ又は複数のセキュリティポリシーをポリシーファイルにパッケージ化し、1つ又は複数のセキュリティポリシーに関する情報と共に、ポリシーファイルをVPNポリシーストア内に保存可能である。さらには、例えば、ユーザ固有及び一般的な証明書ポリシーの場合には、VPNクライアントは、パスワードによって保護されたストア内に、1つ又は複数の証明書及び1つ又は複数のプライベートキー/証明書ペアを保存可能である。この観点において、一般的な証明書ポリシー用のVPNクライアントのプライベートキー/証明書ペアを保存する前に、インストールの際に、VPNクライアントは、VPNクライアント用のプライベートキーを生成し、証明書登録技法などにより、対応する証明書を取得する能力を有することができる。1つ又は複数のVPNポリシーをインストールする方式とは無関係に、その後、VPNクライアントは、図11の代表的なVPNクライアント表示に示されているように、「VPNポリシー」ページ又は表示などに、インストールされた1つ又は複数のVPNポリシーを提示可能である。
1つ又は複数のVPNポリシーのVPNクライアント72によるインストールが完了した後に、VPNクライアントは、個々の1つ又は複数のVPNポリシーを更新、編集、削除、又は変更するなどにより、個々の1つ又は複数のVPNポリシーを管理可能であることが理解されよう。1つ又は複数のVPNポリシーは、いくつかの異なる方式のいずれかにより、更新可能である。但し、代表的な一実施例においては、1つ又は複数のVPNポリシーは、それぞれの1つ又は複数のポリシーをインストールする方式に類似した方式により、更新されている。具体的には、1つ又は複数のVPNポリシーは、特に、1つ又は複数のVPNポリシーが以前にSPDからインストールされている際には、VPNクライアントを個々のSPD40と再同期化させることにより、更新可能である。この結果、SPDとのそれぞれの同期化の際に、端末のメモリ(例えば、不揮発性メモリ70)内に保存されているSPDのインストール済みの1つ又は複数のVPNポリシーを、SPDによって現在保存されている1つ又は複数のVPNポリシーに基づいて、更新、削除、又は変更可能である。
又、1つ又は複数のVPNポリシーを管理する際には、VPNクライアント72は、インストール済みの1つ又は複数のVPNポリシーのリストを端末ユーザに提示する能力を有することができる(図11を参照されたい)。この結果、端末ユーザは、このリストから、1つ又は複数のVPNポリシーに関する詳細な情報の閲覧、並びに、1つ又は複数のVPNポリシーの中の1つ又は複数のものの削除、編集、又は更新を選択可能である。例えば、端末ユーザは、図12及び図13の代表的なVPNクライアント表示に示されているように、インストール済みのVPNポリシーを選択し、その後、そのVPNポリシーに関する詳細な情報を閲覧するべく選択可能である。VPNポリシーは、いくつかの異なる情報要素のいずれかを包含可能であり、この1つ又は複数のものをVPNポリシーに関する詳細情報内に包含可能である。
例えば、VPNポリシーは、システム管理者によって指定されたものなどの「ポリシー名」と、システム管理者によってVPNポリシー内に包含された情報などのVPNポリシーに関する追加情報を含む「説明」と、を包含可能である。又、例えば、VPNポリシーは、VPNクライアントがSPDからVPNポリシーをインストールしている場合には、VPNクライアント72がそのVPNポリシーをインストールした先のSPD40を示す「ポリシーサーバ名」を包含することも可能である。さらに、例えば、アクティブ又は非アクティブなVPNアクセスポイントなどにおいてVPNポリシーが使用の準備が整っているかどうか、或いは、VPNポリシーが既に使用中であるかどうか(後述する)について通知する「ポリシーの状態」を、VPNポリシーが包含することも可能である。さらには、例えば、VPNポリシーと関連付けられているユーザ証明書(ゼロ又はこれを上回る)が、現在、有効であるか、満了しているか、消失しているか、もはや無効であるか、又はこれらに類似した内容であるかを通知する「証明書の状態」をも、VPNポリシーは包含可能である。さらには、例えば、VPNクライアントがSPDからVPNポリシーをインストールしていると仮定した場合に、VPNポリシーがその個別のSPFから最後に更新された時期に関する「更新」標識を、VPNポリシーが包含することも可能である。
1つ又は複数のVPNポリシーの管理に加え、VPNクライアント72は、1つ又は複数のVPNポリシーのインストール/更新用にVPNクライアントに提供される1つ又は複数のSPD40のリストと、リスト内に含まれている1つ又は複数のSPDのSPD設定と、を管理する能力をも有することができる。この観点において、様々な例においては、端末ユーザがVPNクライアント内においてSPDを定義していない場合などのように、望ましいSPDがリスト内に含まれていなかったり、1つ又は複数のSPDのリストがまだ確立されていない場合があることが理解されよう。このような例においては、端末ユーザは、1つ又は複数のSPDをSPDのリストに追加可能である(このSPDのリストは、SPDを現在含んでいてもよく、含んでいなくてもよい)。例えば、端末ユーザは、図8に示されているように、「New(新規)」命令を選択することにより、「VPNポリシーサーバ」表示から1つ又は複数のSPDを定義するべく選択可能である。但し、SPDのリストがSPDを現在含んでいない例においては、VPNクライアントは、図14の代表的なVPNクライアント表示に示されているように、「VPNポリシーサーバが定義されていません。いま定義しますか?」という文章と要求を含む確認ダイアログを提示可能である。
このような要求に応答し、端末ユーザが、1つ又は複数のSPD40を追加しないことを選択した場合には、VPNクライアント72は、通常、1つ又は複数のSPDの追加を起動せず、再度、SPDが定義されていないことを通知する「VPNポリシーサーバ」表示を提示することができる。その後、任意の時点において、端末ユーザは、「New(新規)」命令を選択するなどにより、「VPNポリシーサーバ」表示から1つ又は複数のSPDの追加を選択可能である。この結果、SPDを1つ又は複数のSPDのリストに追加するべく、VPNクライアントは、その後、端末ユーザから個別のSPDのホスト名を受信することができ、かつ、利用可能なIAPのリストなどからIAPを受信することもできる。さらには、新しいSPDの場合には、VPNクライアントは、SPDのアドレス(例えば、IPアドレス)を受信可能である。このような情報を受けるための代表的なVPNクライアント表示の例については、図15を参照されたい。SPDを追加した後に、必要に応じて、VPNクライアントは、前述の方式などにより、追加されたVPNクライアントの1つ又は複数のVPNポリシーの同期化を起動可能である。
又、1つ又は複数のSPD40を管理する際には、VPNクライアント72は、前述のように(図8を参照されたい)、利用可能な1つ又は複数のSPDのリストを端末ユーザに対して提示する能力を有することもできる。この結果、このリストから、端末ユーザは、1つ又は複数のSPDに関する詳細情報の閲覧、並びに、1つ又は複数のSPDの中の1つ又は複数のものの削除、編集、又は更新を選択可能である。さらに、例えば、端末ユーザは、1つ又は複数のSPDの中の1つ又は複数のもののVPNポリシーの同期化を選択することも可能である。
再度、図4を参照すれば、VPNクライアント72が1つ又は複数のVPNポリシーをインストールしたり、1つ又は複数のVPNポリシー又は利用可能な1つ又は複数のSPDを管理する方式とは無関係に、1つ又は複数のVPNポリシーをインストールした後に、VPNクライアントは、ブロック81に示されているように、1つ又は複数のVPNアクセスポイントを定義するか、或いは、この定義を受信可能である。前述のように、それぞれのVPNアクセスポイントは、名前又はその他の識別子、関連付けられたVPNポリシー、及び関連付けられたIAPを包含可能である。例えば、VPNアクセスポイントを定義するべく、VPNクライアントは、端末ユーザから、個別のVPNアクセスポイントの名前、並びに、関連付けられたIAPを受信可能である。関連付けられたIAPは、利用可能なIAPのリストから選択可能であるが、代表的な一実施例においては、関連付けられたIAPは、個々のアクセスポイント接続を確立し維持するために接続するべくVPNクライアントが所望しているVPN GTW36に基づいて、その個別のVPN GTWのシステム管理者などにより、事前に定義されている。名前及び関連付けられたIAPに加えて、VPNクライアントは、インストール済みのVPNポリシーのリストなどから、VPNアクセスポイントと関連付けるためのVPNポリシーの選択肢を受信可能である。関連付けられているIAPが、VPN GTWに基づいて事前に定義されている例においては、関連付けられているVPNポリシーは、通常、その個別のVPN GTWによってサービスされているSPD40のVPNポリシーを有していることが理解されよう。
具体的には、本発明の一実施例によれば、それぞれのVPNアクセスポイントは、VPNクライアント72の「VPNアクセスポイント」ページ又は表示を開くことにより、定義可能であり、これは、図16の代表的なVPNクライアント表示内に示されているように、1つ又は複数の以前に定義されているVPNアクセスポイントのリストを包含可能である。その後、端末ユーザは、こちらも図16の代表的なVPNクライアント表示に示されているように、「New(新規)」命令を選択するなどにより、「VPNアクセスポイント」表示から1つ又は複数のVPNアクセスポイントを定義するべく選択可能である。その後、VPNクライアントは、VPNアクセスポイントの名前又はその他の識別子、関連付けられているVPNポリシー、及び関連付けられているIAPを含む個々のVPNアクセスポイントの設定を受けるためのいくつかの入力フィールドを含むダイアログを提示可能である。例えば、図17の代表的なVPNクライアント表示に示されているように、VPNクライアントは、端末ユーザの入力を受けるためのフィールドを含む「VPNアクセスポイントの編集」ページ又は表示を提示可能である。図示のように、前述のVPNアクセスポイントの設定に加えて、VPNアクセスポイントは、個別のVPNアクセスポイントとの間に生成されたVPNアクセスポイント接続を識別する能力を有する関連付けられたネットワークIDを包含することも可能である。
1つ又は複数のVPNアクセスポイントを定義する方法とは無関係に、1つ又は複数のVPNアクセスポイントを定義した後に、VPNクライアント72は、定義された1つ又は複数のVPNアクセスポイントの中の1つ又は複数のものを起動可能である。VPNクライアントは、いくつかの異なる方式のいずれかにより、1つ又は複数のVPNアクセスポイントを起動可能である。同様に、VPNクライアントは、VPNアクセスポイントを直接起動することも可能である。但し、代表的な一実施例においては、ブロック83に示されているように、1つ又は複数のVPNアクセスポイントを起動する前に、VPNクライアントは、1つ又は複数の関連付けられたアプリケーションが後から個々の1つ又は複数のVPNアクセスポイントを起動できるように、VPNアクセスポイントの中の1つ又は複数のものを、端末10上において動作する能力を有する1つ又は複数のアプリケーション71と関連付けることができる(或いは、このようにするべく、端末ユーザがVPNクライアントに対して指示可能である)。例えば、端末からVPN GTW36を跨ってイントラネット34に結合された電子メールサーバ(すなわち、オリジンサーバ22)と電子メールメッセージを送受信するように構成された電子メールアプリケーションに対して、VPNアクセスポイントを関連付けるように、VPNクライアントに対して端末ユーザが指示することができる。
VPNアクセスポイントをアプリケーション71と関連付ける代わりに、アクセスポイントの選択肢(IAP又はVPNアクセスポイント)を要求し、その後、これを端末ユーザから受信するように1つ又は複数のアプリケーションを構成することも可能であることが理解されよう。このような例においては、アプリケーションの動作の際に、端末ユーザに対して、1つ又は複数のIAP及び/又は1つ又は複数のVPNアクセスポイントを含む構成されたアクセスポイントのリストを提示可能である。次いで、端末ユーザは、このリストから、VPNアクセスポイントなどのアクセスポイントを選択し、これにより、個々のアクセスポイントを起動可能である。この観点において、VPNクライアントは、従来、IAPをこのようなアプリケーションと関連付けているものと略同一の方式により、1つ又は複数のVPNアクセスポイントを1つ又は複数のアプリケーションと関連付け可能であり、或いは、1つ又は複数のアプリケーションの動作の際に1つ又は複数のVPNアクセスポイントの選択肢を受信可能である。以下の説明においては、例示を目的として、VPNアクセスポイントをアプリケーションと関連付けることを前提としているが、前述のように、アプリケーションの動作の際にアクセスポイントのリストからVPNアクセスポイントを同様に選択することも可能である。1つ又は複数のVPNアクセスポイントを1つ又は複数のアプリケーションと関連付けた後に、VPNクライアント72は、ブロック85に示されているように、関連付けられているVPNポリシー及びIAPに基づいて、1つ又は複数のVPNアクセスポイントを起動し、これにより、個々の1つ又は複数のVPNにアクセスする能力を有することができる。1つ又は複数のVPNにアクセスすることにより、1つ又は複数の関連付けられたアプリケーションは、ブロック87に示されているように、個々の1つ又は複数のVPNを跨って1つ又は複数のデータ接続を確立する能力を有することができる。
次に図18A〜図18Eには、本発明の一実施例に従って、VPNアクセスポイントを起動及び停止する方法における様々な段階がさらに具体的に示されている。本明細書においては、VPNアクセスポイントは、電子メールアプリケーションと関連付けられている。但し、VPNアクセスポイントは、いくつかの異なるアプリケーションのいずれかと関連付け可能であり、かつ、アプリケーションとの関連付けは必須ではないことを理解されたい。図18Aのブロック116に示されているように、VPNアクセスポイントを起動する方法は、関連付けられている電子メールアプリケーションを起動して動作させる段階を含んでいる。その後、ブロック118に示されているように、電子メールアプリケーションと関連付けられている電子メールサーバから電子メールメッセージを取得せよという端末ユーザの要求などに応答し、電子メールアプリケーションを作動させることにより、VPNアクセスポイントを介してデータ接続を要求可能である。その後、電子メールアプリケーションが独自の認証を必要としている場合には、電子メールアプリケーションは、端末ユーザを認証する能力を有することができる。例えば、電子メールアプリケーションは、ブロック120及び122に示されているように、電子メールアカウントのユーザ名/パスワードの組み合わせを要求し、その後、これを端末ユーザ又はアプリケーション設定から受信することにより、端末ユーザを認証する能力を有することができる。
端末ユーザを認証した後に、必要に応じて、電子メールアプリケーション(例えば、アプリケーション71)は、関連付けられているVPNアクセスポイントを介して、関連付けられている電子メールサーバ(即ち、オリジンサーバ22)に対する接続を試みることができる。電子メールアプリケーションによる接続の試みも含めて、VPNアクセスポイントに対する接続を試みる際には、VPNクライアント72は、ブロック124に示されているように、電子メールアプリケーションと関連付けられているVPNアクセスポイントと関連付けられたVPNポリシーを起動可能である。ブロック126及び128に示されているように、VPNポリシーを起動する際に、関連付けられているIAP又はVPNポリシーをVPNアクセスポイントが含んでいない場合などのように、VPNアクセスポイントが不完全なものである場合には、関連付けられている電子メールサーバへの電子メールアプリケーションの接続を回避可能である。このような例においては、電子メールアプリケーションは、接続要求を試みる前の状態に戻ることができる。又、関連付けられているVPNアクセスポイントが、関連付けられたIAPを含んでいない場合には、VPNクライアントは、「VPNアクセスポイントにおいて参照されているインターネットアクセスポイントが消失しています。VPNアクセスポイントの再構成を試みてください。」というメッセージを表示するなどにより、端末ユーザに接続の失敗について通知することができる。一方、関連付けられているVPNアクセスポイントが、関連付けられたVPNポリシーを含んでいない場合にも、VPNクライアントは、「VPNアクセスポイントにおいて参照されているVPNポリシーが消失しています。VPNアクセスポイントの再構成を試みてください。」というメッセージを表示するなどにより、端末ユーザに接続の失敗について通知することができる。
又、VPNポリシーを起動する際に、VPNポリシーが、ユーザ固有又は一般的な証明書ポリシーを有しており、かつ、VPNポリシーが証明書を含んでいないか、或いは、証明書が無効であるか、又は、もはや有効ではない場合には、同様に、ブロック130及び132に示されているように、関連付けられている電子メールサーバに対する電子メールアプリケーション(アプリケーション71)の接続を回避可能である。このような例においては、電子メールアプリケーションは、接続要求を試みる前の状態に戻ることができる。そして、VPNクライアント72は、「VPN接続の起動に失敗しました。VPNポリシーを更新する必要があります。」又は「VPN接続の起動に失敗しました。詳細についてはVPNログを参照してください。」というメッセージを表示するなどにより、端末ユーザに接続の失敗について通知可能である。
VPNアクセスポイントが完全なものであり、かつ、(ユーザ固有又は一般的な証明書ポリシーの場合に)VPNポリシーが有効な証明書を含んでいる場合には、端末10、又は、さらに詳しくは、VPNクライアント72は、電子メールアプリケーションに関連付けられているVPNアクセスポイントに関連付けられたIAPに対する接続を確立可能である。様々な例においては、このような接続を許容する前に、端末又は端末ユーザが自分自身をIAPに対して認証することをIAPが必要としている場合があることも理解されよう。従って、IAPが認証を必要としている場合には、IAP、又は、さらに詳しくは、電子メールアプリケーション(例えば、アプリケーション71)は、ブロック134及び136に示されているように、ユーザ名/パスワードなどによる認証を端末に対して要求可能である。そして、IAPが端末10又は端末ユーザを認証した後に(或いは、IAPが認証を必要としていない場合には、関連付けられているVPNポリシーを起動した後に)、端末は、ブロック138に示されているように、IAPに対して接続可能である。当業者には周知のように、端末は、自身が保存している個々のIAPの設定に基づいて、いくつかの異なる方式のいずれかにより、IAPに対して接続可能である。
端末がIAPに接続した後に、VPNクライアント72は、電子メールアプリケーションと関連付けられている電子メールサーバ(即ち、オリジンサーバ22)をサポートしているVPN GTW36に対して安全なトンネルを確立することにより、個々のVPNにアクセス可能である(VPN GTWは、ユーザ固有又は一般的な証明書ポリシー或いは一般的な非証明書ポリシーとは無関係に、関連付けられているVPNポリシーを提供したSPD40をもサポートしている)。但し、個別のVPN GTWとの間にトンネルを確立する前に、端末10又は端末ユーザ、或いは、さらに詳しくは、VPNクライアント72が、ブロック140に示されているように、VPN GTWに対する自分自身の認証を必要としている場合がある。この観点において、VPNポリシーが、ユーザ固有又は一般的な証明書ポリシーを有している際には、VPNクライアントは、その個別のVPNポリシーの1つ又は複数の証明書及び1つ又は複数のプライベートキー/証明書ペアの1つ又は複数のものを使用することにより、VPN GTWに対して自分自身を認証可能である。但し、前述のように、このような1つ又は複数の証明書及び1つ又は複数のプライベートキー/証明書ペアは、パスワードによって保護されているキーストア内に保存可能である。従って、このような例においては、VPNクライアントは、キーストアパスワードを要求し、その後、これを端末ユーザから受信し、これにより、キーストアにアクセス可能である。そして、キーストアパスワードを受信した際に、VPNクライアントは、VPN認証に必要な1つ又は複数の証明書及び1つ又は複数のプライベートキー/証明書ペアの1つ又は複数のものを取得し、その後、取得した1つ又は複数の証明書及び1つ又は複数のプライベートキー/証明書ペアを使用することにより、VPT GTWに対して自分自身を認証可能である。
ユーザ固有又は一般的な証明書ポリシーとは対照的に、VPNポリシーが、一般的な非証明書ポリシーを有している際には、VPNクライアント72は、ユーザ名/パスワードタイプのVPN認証に従ってVPN GTW36に対して自分自身を認証可能である。このような例においては、VPNクライアントは、ユーザ名及びパスワード又はパスコードを要求し、これを端末ユーザから受信可能である。端末ユーザは、電子メールアプリケーションがアクセスする電子メールサーバ(即ち、オリジンサーバ22)を含むイントラネット34のシステム管理者などから、いくつかの異なる方式のいずれかにより、ユーザ名及びパスワード/パスコードを受領可能である。
VPNクライアント72がVPN GTW36に対して自分自身を認証する方法とは無関係に、認証手順に続いて、VPNクライアントは、ブロック142に示されているように、VPNクライアントが既に接続を確立しているIAP上においてVPN GTWに対する安全なトンネルを確立可能である。VPNクライアントは、いくつかの異なる技法のいずれに従って安全なトンネルを確立可能である。例えば、一実施例においては、VPNクライアントは、IPSecに従ってVPN GTWとの間に安全なトンネルを確立する。次いで、VPN GTWとの間に安全なトンネルを確立した後に、電子メールアプリケーションは、ブロック144に示されているように、VPN GTWへの安全なトンネル上において、関連付けられている電子メールアプリケーション(即ち、オリジンサーバ22)とのデータ接続を確立可能である。例えば、電子メールアプリケーションは、電子メールメッセージに対する端末ユーザの要求などに応答し、関連付けられている電子メールアプリケーションとの間にデータ接続を確立し、電子メールサーバから電子メールメッセージを取得する能力を有することができる。
電子メールアプリケーション(例えば、アプリケーション71)が、関連付けられている電子メールサーバ(即ち、オリジンサーバ22)との間の通信を完了した後に、VPNクライアント72は、図4のブロック89に示されているように、VPNに対するアクセスを終了し、これにより、電子メールアプリケーションは、電子メールサーバとのデータ接続を終了することができる。VPNクライアントは、いくつかの異なる方式のいずれかにより、VPNに対するアクセスを終了可能である。図18B及び図18Cにさらに詳しく示されているように、例えば、VPNクライアントは、ブロック146及び148に示されているように、VPNクライアントとVPN GTW36の間の安全なトンネルを閉じるか又はその他の方法によって終了させることにより、VPNに対するアクセスを終了可能である。その後、VPNクライアントは、ブロック150に示されているように、以前に起動されているVPNポリシーをアンロード可能である。次いで、別のVPNをアクティブに維持するためなどに、端末10が、その個別のIAPに対する別のアクティブに維持されている接続を具備していない場合には、VPNクライアントは、ブロック152及び154に示されているように、端末と個々のIAP間の接続を終了させることができる。そうでない場合には、ブロック156に示されているように、VPNクライアントは、IAPに対する接続をアクティブな状態に維持可能であるが、VPNポリシーを停止することにより、VPNに対するアクセスは、事実上、終了している。
様々な例においては、起動されたVPNアクセスポイントと関連付けられているVPNポリシーが、VPNポリシーの以前の更新とその個別のVPNアクセスポイントの起動段階の間において変化している可能性があることが理解されよう。従って、本発明の実施例によれば、VPNクライアントがVPN GTW36と安全なトンネルを確立するに際に(図18Bのブロック142を参照されたい)、或いは、VPNクライアントがVPNクライアントに対する認証に失敗して安全なトンネルが確立されなかった場合には、VPNクライアントの認証の後に、起動されたVPNアクセスポイントと関連付けられているVPNポリシーを自動的に更新するようにVPNクライアント72を構成可能である。次に、図18B、図18D、及び図18Eを参照すれば、本発明の一実施例においては、VPN GTWとの間に安全なトンネルを確立した後に、図18Dのブロック158及び160に示されているように、起動されたVPNポリシーと関連付けられ、かつ個別のVPN GTWによってサービスされているSPD40に、VPNクライアントが接続し、VPNポリシーがSPDから削除又は更新されているかどうかを判定可能である。
VPNポリシーがSPD40から削除又は更新されていない場合には、VPNクライアント72は、前述のものなどの方式によって動作を継続可能である。しかしながら、VPNポリシーが削除されている場合には、VPNクライアント72は、ブロック162に示されているように、端末10のメモリ(例えば、不揮発性メモリ70)からその個別のVPNポリシーを削除可能である。このような場合、メモリからVPNポリシーを削除した後には、VPNアクセスポイントは不完全なものになる。この結果、以前と同様に、関連付けられている電子メールサーバに対する電子メールアプリケーションの接続を回避することができる(ブロック128を参照されたい)。このような例においては、電子メールアプリケーションは、接続要求を試みる前の状態に戻ることができる。又、必要に応じて、VPNクライアントは、「使用中のVPNポリシーが削除されています。VPNアクセスポイントの再構成を試みてください。」というメッセージを端末ユーザに対して提示するなどにより、端末ユーザにポリシーの削除について通知することも可能である。
一方、VPNポリシーが更新されている場合には、VPNクライアント72は、図18Eのブロック164に示されているように、VPNポリシーを更新するかどうかの標識を端末ユーザに対して要求可能である。端末ユーザが、VPNポリシーを更新しないことを選択した場合には、VPNクライアントは、VPNポリシーが更新されなかったかのように動作可能である。しかしながら、端末ユーザがVPNポリシーの更新を選択した場合には、VPNクライアントは、VPNポリシーを更新可能である。SPD40からVPNポリシーを更新する前に、VPNクライアントは、パスワードによって保護されたキーストア内に保存されているSPD証明書及び/又はユーザ証明書を使用し、証明書認証技法などに基づいて、SPDを認証すると共に/又はSPDに対して自分自身を認証可能である。このような例においては、VPNクライアントは、ブロック166に示されているように、キーストアパスワードを要求し、その後、これを端末ユーザから受信し、これにより、キーストアにアクセスし、SPD証明書及び/又はクライアント証明書を取得可能である。
SPD証明書及び/又はクライアント証明書を取得した後に、VPNクライアント72は、ブロック168に示されているように、個々の証明書に基づいて、SPDを認証すると共に/又は、自分自身をSPDに対して認証可能である。この観点において、SPD証明書が満了しているか、取り消されているか、或いは無効である場合には、SPD40は、ブロック170に示されているように、VPNクライアントによるVPNポリシーの更新を拒否可能である。同様に、クライアント証明書が満了しているか、取り消されているか、或いは無効である場合にも、VPNクライアント、又は、さらに詳しくは、SPDは、ブロック172に示されているように、VPNポリシーの更新を拒否可能である。このような例においては、必要に応じて、VPNクライアントは、情報ダイアログ(例えば、「ポリシーサーバのログインに失敗しました。詳細については、VPNログを参照してください。」)を端末ユーザに提示するなどにより、端末ユーザに認証の失敗について通知可能である。その後、VPNクライアントは、VPNポリシーが更新されなかったかのように動作可能である。
SPD証明書とクライアント証明書の両方が有効であり、かつ、VPNクライアント72とSPD40の間の認証に成功した場合には、VPNクライアントは、SPDからVPNポリシーを更新可能である。具体的には、VPNクライアントは、ブロック174に示されているように、SPDから、SPDによって保存、生成、又は受信された更新済みのVPNポリシー及び(ユーザ固有又は一般的な証明書ポリシーの場合に)関連する証明書をダウンロード可能である。ポリシーのダウンロード又は同期化が完了した際に、VPNクライアントは、必要に応じて、ポリシーの更新が完了したことを端末ユーザに通知可能である。次いで、VPNクライアントは、以前と同様に、安全なトンネルの確立を完了させることにより、動作可能である(ブロック142を参照されたい)。
前述のように、1つ又は複数のIAP及びSPD40は、利用可能なIAPのリストから選択可能であり、1つ又は複数のVPNアクセスポイントは、VPNクライアント72内において定義可能である。しかしながら、様々な例においては、リスト内に含まれていない又はVPNクライアント内において定義されていない1つ又は複数のIAP、SPD、VPNアクセスポイント、又はこれらに類似したものを利用するほうが望ましい場合があることを理解されたい。このような例においては、端末10、又は、さらに詳しくは、VPNクライアントは、1つ又は複数のIAP(又は、IAP設定)、1つ又は複数のSPD(又は、1つ又は複数のSPDを定義するSPD設定)、及び/又はVPNアクセスポイントを受信する能力を有することができる。VPNクライアントは、いくつかの異なる方式のいずれかにより、1つ又は複数のこのようなデータ構造を受信可能である。一実施例においては、例えば、VPNクライアントは、SMS法により、1つ又は複数のこのようなデータ構造を受信する能力を有することができる。
本発明の一態様によれば、端末10のすべて又は一部などの本発明のシステムのすべて又は一部は、一般に、コンピュータプログラムプロダクト(例えば、VPNクライアント72)の制御下において稼動している。本発明の実施例の方法を実行するコンピュータプログラムプロダクトは、不揮発性ストレージ媒体などのコンピュータ可読ストレージ媒体と、コンピュータ可読ストレージ媒体内に埋め込まれた一連のコンピュータ命令などのコンピュータ可読プログラムコード部分と、を含んでいる。
この観点において、図4、図5A〜図5C、及び図18A〜図18Eは、本発明の実施例による方法、システム、及び/又はコンピュータプログラムプロダクトのフローチャートである。これらのフローチャートのそれぞれのブロック又は段階、及びフローチャート内のブロックの組み合わせは、コンピュータプログラム命令によって実装可能であることを理解されたい。これらのコンピュータプログラム命令をコンピュータ又はその他のプログラム可能な装置上にロードして機械を生成することにより、コンピュータ又はその他のプログラム可能な装置上において稼動する命令によって、フローチャートの1つ又は複数のブロック又は段階に規定されている機能を実装する手段を生成可能である。又、これらのコンピュータプログラム命令を、コンピュータ又はその他のプログラム可能な装置を特定の方式で機能させることができるコンピュータ可読メモリ内に保存することにより、コンピュータ可読メモリ内に保存された命令によって、フローチャートの1つ又は複数のブロック又は段階に規定された機能を実装する命令手段を含む製造物を生成可能である。又、コンピュータプログラム命令をコンピュータ又はその他のプログラム可能な装置上にロードし、コンピュータ又はその他のプログラム可能な装置上において一連の動作段階を実行させ、コンピュータ実装されたプロセスを生成することにより、コンピュータ又はその他のプログラム可能な装置上において稼動する命令によって、フローチャートの1つ又は複数のブロック又は段階に規定された機能を実装する段階を提供可能である。
従って、フローチャートのブロック又は段階は、規定された機能を実行する手段の組み合わせ、規定された機能を実行する段階の組み合わせ、及び規定された機能を実行するプログラム命令手段をサポートしている。又、フローチャートのそれぞれのブロック又は段階と、フローチャート内のブロック又は段階の組み合わせは、規定された機能又は段階を実行する専用のハードウェアに基づいたコンピュータシステム、又は専用ハードウェアとコンピュータ命令の組み合わせにより、実装可能であることをも理解されたい。
当業者であれば、以上の説明及び添付の図面に提示されている開示内容の利益を具備した本発明の多くの変更及びその他の実施例を想起可能であろう。従って、本発明は、開示された特定の実施例に限定されるものではなく、変更及びその他の実施例も添付の請求項の範囲に包含されることを意図していることを理解されたい。本明細書においては、特定の用語を利用しているが、それらは、一般的かつ説明的な意味において使用されているに過ぎず、限定を意図するものではない。
端末が無線RFリンクを通じて双方向に結合されているモバイルネットワーク及びデータネットワークを含む本発明の一実施例による無線通信システムの概略ブロックダイアグラムである。 本発明の実施例によるネットワークエンティティとして動作する能力を有するエンティティの概略ブロックダイアグラムである。 本発明の一実施例による端末の概略ブロックダイアグラムである。 本発明の一実施例による少なくとも1つのVPNにアクセスする方法における様々な段階を含むフローチャートである。 本発明の一実施例に従って1つ又は複数のVPNポリシーをインストール、保存、又は管理する方法における様々な段階を含むフローチャートである。 本発明の一実施例に従って1つ又は複数のVPNポリシーをインストール、保存、又は管理する方法における様々な段階を含むフローチャートである。 本発明の一実施例に従って1つ又は複数のVPNポリシーをインストール、保存、又は管理する方法における様々な段階を含むフローチャートである。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の実施例の動作の際にVPNクライアントによって提示可能な代表的な表示である。 本発明の一実施例に従ってVPNアクセスポイントを起動並びに提示する方法における様々な段階を含むフローチャートである。 本発明の一実施例に従ってVPNアクセスポイントを起動並びに提示する方法における様々な段階を含むフローチャートである。 本発明の一実施例に従ってVPNアクセスポイントを起動並びに提示する方法における様々な段階を含むフローチャートである。 本発明の一実施例に従ってVPNアクセスポイントを起動並びに提示する方法における様々な段階を含むフローチャートである。 本発明の一実施例に従ってVPNアクセスポイントを起動並びに提示する方法における様々な段階を含むフローチャートである。

Claims (52)

  1. 少なくとも1つの仮想プライベートネットワーク(VPN)にアクセスするシステムであって、
    VPNクライアント及び少なくとも1つのアプリケーションと通信する能力を有する端末であって、前記VPNクライアントは、少なくとも1つのVPNアクセスポイントを定義する能力を有し、それぞれのVPNアクセスポイントは、関連付けられた物理的なアクセスポイント及びVPNポリシーを含んでおり、前記VPNクライアントは、前記少なくとも1つのVPNアクセスポイントに基づいて少なくとも1つのVPNにアクセスし、これにより、前記少なくとも1つのVPNを跨って少なくとも1つのアプリケーションから少なくとも1つのデータ接続を確立する能力を有している端末、
    を有するシステム。
  2. 前記端末の前記VPNクライアントは、前記関連付けられた物理的なアクセスポイント及びVPNポリシーに基づいて少なくとも1つのVPNアクセスポイントを起動し、これにより、前記少なくとも1つのVPNにアクセスする能力を有する請求項1記載のシステム。
  3. 前記端末の前記VPNクライアントは、少なくとも1つのVPNアクセスポイントを前記少なくとも1つのアプリケーションと関連付けることにより、少なくとも1つのVPNアクセスポイントを起動し、その後、前記少なくとも1つのアプリケーションから少なくとも1つのVPNアクセスポイントを起動し、これにより、前記VPNを跨って前記少なくとも1つのアプリケーションから前記少なくとも1つのデータ接続を確立する能力を有する請求項2記載のシステム。
  4. 前記端末の前記VPNクライアントは、前記個別のVPNアクセスポイントと関連付けられた前記物理的なアクセスポイントとの間に接続を確立することによって、それぞれのVPNアクセスポイントを起動し、前記個々のVPNアクセスポイントと関連付けられた前記VPNポリシーをロードし、その後、前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーに基づいて、前記物理的なアクセスポイント上においてVPNトンネルを確立する能力を有する請求項2記載のシステム。
  5. 前記端末の前記VPNクライアントは、前記少なくとも1つのVPNに対するアクセスを終了させ、これにより、前記少なくとも1つのアプリケーションからの前記少なくとも1つのデータ接続を終了させる能力をさらに有しており、前記端末は、前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーに基づいて確立された前記物理的なアクセスポイント上の前記VPNトンネルを閉じ、前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーをアンロードし、その後、前記個別のVPNアクセスポイントと関連付けられた前記物理的なアクセスポイントとの間の接続を終了させることによってそれぞれのVPNに対するそれぞれのアクセスを終了させる能力を有する請求項1記載のシステム。
  6. 前記端末の前記VPNクライアントは、前記VPNアクセスポイントの名前の選択肢を受信し、前記VPNアクセスポイントと関連付けるための物理的なアクセスポイントの選択肢を受信し、その後、前記VPNアクセスポイントと関連付けるためのVPNポリシーの選択肢を受信することにより、それぞれのVPNを定義する能力を有する請求項1記載のシステム。
  7. 前記端末の前記VPNクライアントは、少なくとも1つのVPNポリシーをインストールする能力をさらに有しており、この結果、前記VPNクライアントは、前記少なくとも1つのインストール済みのVPNポリシーからVPNポリシーの選択肢を受信する能力を有する請求項6記載のシステム。
  8. 少なくとも1つのVPNポリシーを保存する能力を有する少なくとも1つのセキュリティポリシーデータベース(SPD)であって、それぞれのSPDは、物理的なアクセスポイントと関連付けられており、前記端末の前記VPNクライアントは、SPDの選択肢を受信し、前記個別のSPDと関連付けられた前記物理的なアクセスポイントを介して前記SPDから少なくとも1つのVPNポリシーをダウンロードし、その後、前記少なくとも1つのダウンロードしたVPNポリシーをインストールする能力を有している、少なくとも1つのSPD、
    をさらに有する請求項7記載のシステム。
  9. 前記端末の前記VPNクライアントは、前記SPDと関連付けられた前記物理的なアクセスポイントとの間にデータ接続を確立し、前記物理的なアクセスポイントとの間に確立されたデータ接続を介して前記SPDとの間にデータ接続を確立し、前記SPD及び前記VPNクライアントの少なくとも1つを認証し、その後、前記SPD及び前記VPNクライアントの少なくとも1つが認証された際に、前記SPDから少なくとも1つのVPNポリシーをダウンロードする能力を有する請求項8記載のシステム。
  10. 少なくとも1つの仮想プライベートネットワーク(VPN)にアクセスする方法において、
    少なくとも1つのVPNアクセスポイントを定義する段階であって、それぞれのVPNアクセスポイントは、関連付けられた物理的なアクセスポイント及びVPNポリシーを含んでいる、段階と、
    前記少なくとも1つのVPNアクセスポイントに基づいて少なくとも1つのVPNにアクセスし、これにより、前記少なくとも1つのVPNを跨って少なくとも1つのアプリケーションから少なくとも1つのデータ接続を確立する段階と、
    を有する方法。
  11. 少なくとも1つのVPNにアクセスする段階は、
    前記関連付けられた物理的なアクセスポイント及びVPNポリシーに基づいて少なくとも1つのVPNアクセスポイントを起動し、これにより、少なくとも1つのVPNにアクセスする段階、
    を有する請求項10記載の方法。
  12. 少なくとも1つのVPNアクセスポイントを起動する段階は、
    少なくとも1つのVPNアクセスポイントを少なくとも1つのアプリケーションと関連付ける段階と、
    前記少なくとも1つのアプリケーションから少なくとも1つのVPNアクセスポイントを起動し、これにより、前記VPNを跨って前記少なくとも1つのアプリケーションから前記少なくとも1つのデータ接続を確立する段階と、
    を有する請求項11記載の方法。
  13. それぞれのVPNアクセスポイントを起動する段階は、
    前記個別のVPNアクセスポイントと関連付けられた前記物理的なアクセスポイントとの間に接続を確立する段階と、
    前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーをロードする段階と、
    前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーに基づいて前記物理的なアクセスポイント上においてVPNトンネルを確立する段階と、
    を有する請求項11記載の方法。
  14. 前記少なくとも1つのVPNに対するアクセスを終了させ、これにより、前記少なくとも1つのアプリケーションからの前記少なくとも1つのデータ接続を終了させる段階をさらに有しており、
    前記それぞれのVPNに対するアクセスを終了させる段階は、
    前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーに基づいて確立された前記物理的なアクセスポイント上における前記VPNトンネルを閉じる段階と、
    前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーをアンロードする段階と、
    前記個別のVPNアクセスポイントと関連付けられた前記物理的なアクセスポイントとの間の前記接続を終了させる段階と、
    を有する請求項10記載の方法。
  15. それぞれのVPNアクセスポイントを定義する段階は、
    前記VPNアクセスポイントの名前の選択肢を受信する段階と、
    前記VPNアクセスポイントと関連付けるための物理的なアクセスポイントの選択肢を受信する段階と、
    前記VPNアクセスポイントと関連付けるためのVPNポリシーの選択肢を受信する段階と、
    を有する請求項10記載の方法。
  16. 少なくとも1つのVPNポリシーをインストールする段階をさらに有し、
    VPNポリシーの選択肢を受信する段階は、前記少なくとも1つのインストールされたVPNポリシーからVPNポリシーの選択肢を受信する段階を有する請求項15記載の方法。
  17. 少なくとも1つのVPNポリシーをインストールする段階は、
    SPD(Security Policy Database)の選択肢を受信する段階であって、前記SPDは、少なくとも1つのポリシーを保存する能力を有しており、前記SPDは、関連付けられた物理的なアクセスポイントを具備している、段階と、
    前記SPDと関連付けられた前記物理的なアクセスポイントを介して前記SPDから少なくとも1つのVPNポリシーをダウンロードする段階と、
    前記少なくとも1つのダウンロードされたVPNポリシーをインストールする段階と、
    を有する請求項16記載の方法。
  18. 少なくとも1つのVPNポリシーをインストールする段階は、VPNクライアントによって少なくとも1つのVPNポリシーをインストールする段階を有しており、
    少なくとも1つのVPNポリシーをダウンロードする段階は、
    前記VPNクライアントから前記SPDと関連付けられた前記物理的なアクセスポイントに対してデータ接続を確立する段階と、
    前記物理的なアクセスポイントに対して確立された前記データ接続を介して前記VPNクライアントから前記SPDに対してデータ接続を確立する段階と、
    前記SPD及び前記VPNクライアントの少なくとも1つを認証する段階と、
    前記SPD及び前記VPNクライアントの少なくとも1つが認証された際に、前記SPDから少なくとも1つの1つのVPNポリシーをダウンロードする段階と、
    を有する請求項17記載の方法。
  19. 少なくとも1つの仮想プライベートネットワーク(VPN)にアクセスするコンピュータプログラムプロダクトであって、
    前記コンピュータプログラムプロダクトは、その内部に保存されたコンピュータ可読プログラムコード部分を具備するコンピュータ可読ストレージ媒体を有しており、
    前記コンピュータ可読プログラムコード部分は、
    少なくとも1つのVPNアクセスポイントを定義する第1実行可能部分であって、それぞれのVPNアクセスポイントは、関連付けられた物理的なアクセスポイント及びVPNポリシーを含んでいる、第一実行可能部分と、
    前記少なくとも1つのVPNアクセスポイントに基づいて少なくとも1つのVPNにアクセスし、これにより、少なくとも1つのアプリケーションから少なくとも1つのデータ接続を確立する第2実行可能部分と、
    を有する、コンピュータプログラムプロダクト。
  20. 前記第2実行可能部分は、前記関連付けられた物理的なアクセスポイント及びVPNポリシーに基づいて少なくとも1つのVPNアクセスポイントを起動し、これにより、少なくとも1つのVPNにアクセスするようにされている請求項19記載のコンピュータプログラムプロダクト。
  21. 前記第2実行可能部分は、少なくとも1つのVPNアクセスポイントを少なくとも1つのアプリケーションと関連付け、その後、前記少なくとも1つのアプリケーションから少なくとも1つのVPNアクセスポイントを起動し、これにより、前記VPNを跨って前記少なくとも1つのアプリケーションから少なくとも1つのデータ接続を確立するようにされている請求項20記載のコンピュータプログラムプロダクト。
  22. 前記第2実行可能部分は、前記個別のVPNアクセスポイントと関連付けられた前記物理的なアクセスポイントとの間に接続を確立することによってそれぞれのVPNアクセスポイントを起動し、前記個々のVPNアクセスポイントと関連付けられた前記VPNポリシーをロードし、その後、前記個々のVPNアクセスポイントと関連付けられた前記VPNポリシーに基づいて前記物理的なアクセスポイント上においてVPNトンネルを確立するようにされている請求項20記載のコンピュータプログラムプロダクト。
  23. 前記少なくとも1つのVPNに対するアクセスを終了させ、これにより、前記少なくとも1つのアプリケーションからの前記少なくとも1つのデータ接続を終了させる第3実行可能部分であって、前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーに基づいて確立された前記物理的なアクセスポイント上の前記VPNトンネルを閉じ、前記個別のVPNアクセスポイントと関連付けられた前記VPNポリシーをアンロードし、その後、前記個別のVPNアクセスポイントと関連付けられた前記物理的なアクセスポイントとの前記接続を終了させることにより、それぞれのVPNに対するアクセスを終了させるようにされている第3実行可能部分、
    をさらに有する請求項19記載のコンピュータプログラムプロダクト。
  24. 前記第1実行可能部分は、前記VPNアクセスポイントの名前の選択肢を受信し、前記VPNアクセスポイントと関連付けるための物理的なアクセスポイントの選択肢を受信し、その後、前記VPNアクセスポイントと関連付けるためのVPNポリシーの選択肢を受信することにより、それぞれのVPNアクセスポイントを定義するようにされている請求項19記載のコンピュータプログラムプロダクト。
  25. 少なくとも1つのVPNポリシーをインストールする第3実行可能部分をさらに有し、
    前記第2実行可能部分は、前記少なくとも1つのインストールされたVPNポリシーからVPNポリシーの選択肢を受信するようにされている請求項24記載のコンピュータプログラムプロダクト。
  26. 前記第3実行可能部分は、セキュリティポリシーデータベース(SPD)の選択肢を受信し、前記SPDと関連付けられた物理的なアクセスポイントを介して前記SPDから少なくとも1つのVPNポリシーをダウンロードし、その後、前記少なくとも1つのダウンロードしたVPNポリシーをインストールするようにされている請求項25記載のコンピュータプログラムプロダクト。
  27. 前記コンピュータプログラムプロダクトは、VPNクライアントの制御下において動作するようにされており、前記第3実行可能部分は、前記SPDと関連付けられた前記物理的なアクセスポイントに対して前記VPNクライアントからデータ接続を確立し、前記物理的なアクセスポイントに対して確立された前記データ接続を介して前記VPNクライアントから前記SPDに対してデータ接続を確立し、前記SPD及び前記VPNクライアントの少なくとも1つを認証し、その後、前記SPD及び前記VPNクライアントの少なくも1つが認証された際に、前記SPDから少なくとも1つのVPNポリシーをダウンロードするようにされている請求項26記載のコンピュータプログラムプロダクト。
  28. 少なくとも1つの仮想プライベートネットワーク(VPN)ポリシーを管理するシステムであって、少なくとも1つのVPNポリシーは、少なくとも1つのVPNにアクセスする際に使用される、システムにおいて、
    少なくとも1つのVPNポリシーを保存する能力を有する少なくとも1つのセキュリティポリシーデータベース(SPD)と、
    VPNクライアントと通信する能力を有する端末であって、前記VPNクライアントは、少なくとも1つの物理的なアクセスポイントを跨って前記少なくとも1つのSPDと通信し、これにより、前記少なくとも1つのSPDから前記少なくとも1つのVPNポリシーをダウンロードする能力を有しており、前記VPNクライアントは、前記少なくとも1つのVPNポリシーをVPNポリシーストア内に保存する能力を有し、前記VPNクライアントは、前記少なくとも1つのSPDと同期化し、これにより、前記VPNポリシーストア内に保存されている前記少なくとも1つのVPNポリシーを更新する能力を有している、端末と、
    を有するシステム。
  29. 少なくとも1つのVPNポリシーは、証明書及び証明書/プライベートキーペアの少なくとも1つを含んでおり、前記VPNクライアントは、パスワードによって保護されたキーストア内に前記証明書及び前記証明書/プライベートキーペアの前記少なくとも1つを保存する能力を有する請求項28記載のシステム。
  30. 前記VPNクライアントは、SPDの選択肢を受信する能力を有しており、前記SPDは、関連付けられた物理的なアクセスポイントを具備し、前記VPNクライアントは、前記SPDと関連付けられた前記物理的なアクセスポイントを介して前記選択されたSPDから少なくとも1つのVPNポリシーをダウンロードする能力を有する請求項28記載のシステム。
  31. 前記VPNクライアントは、前記SPDと関連付けられた前記物理的なアクセスポイントとの間にデータ接続を確立し、前記物理的なアクセスポイントとの間に確立された前記データ接続を介して前記SPDとの間にデータ接続を確立し、前記SPD及び前記VPNクライアントの少なくとも1つを認証し、その後、前記SPD及び前記VPNクライアントの少なくとも1つが認証された際に、前記SPDから少なくとも1つのVPNポリシーをダウンロードする能力を有している請求項30記載のシステム。
  32. 前記VPNクライアントは、SPD証明書に基づいて前記SPDを認証する能力を有しており、前記VPNクライアントは、ユーザ証明書に基づいて前記VPNクライアントを認証する能力を有している請求項31記載のシステム。
  33. 前記SPDは、複数の文字を含む関連付けられた識別コードを具備しており、前記VPNクライアントは、前記SPDと関連付けられた前記識別コードの確認を受信し、その後、確認が受信された際にSPD証明書を生成することにより、前記SPD証明書を生成する能力を有する請求項32記載のシステム。
  34. 前記VPNクライアントは、前記SPDと関連付けられた前記識別コードを含むSPD識別コードダイアログを提示する能力を有しており、前記SPD識別コードダイアログ内の前記識別コードは、少なくとも1つの文字を消して提示され、前記VPNクライアントは、前記少なくとも1つの文字を受信し、その後、前記SPD識別コードダイアログ内において提示された前記識別コードが、前記少なくとも1つの受信した文字により、前記SPDと関連付けられた前記識別コードとマッチングした場合に、前記識別コードの確認を受信する能力を有する請求項33記載のシステム。
  35. 前記VPNクライアントは、前記VPNクライアントを前記SPDに対して認証し、その後、前記VPNクライアントが認証された際に、ユーザ証明書を生成することにより、前記ユーザ証明書を生成する能力を有する請求項32記載のシステム。
  36. 少なくとも1つの仮想プライベートネットワーク(VPN)ポリシーを管理する方法であって、前記少なくとも1つのVPNポリシーは、少なくとも1つのVPNにアクセスする際に使用される、方法において、
    少なくとも1つのセキュリティポリシーデータベース(SPD)から少なくとも1つのVPNポリシーをダウンロードする段階と、
    前記少なくとも1つのVPNポリシーをVPNポリシーストア内に保存する段階と、
    前記少なくとも1つのSPDと同期化し、これにより、前記VPNポリシーストア内に保存されている前記少なくとも1つのVPNポリシーを更新する段階と、
    を有する方法。
  37. 少なくとも1つのVPNポリシーは、証明書及び証明書/プライベートキーペアの少なくとも1つを含んでおり、前記少なくとも1つのVPNポリシーを保存する段階は、前記証明書及び前記証明書/プライベートキーペアの前記少なくとも1つをパスワードによって保護されたキーストア内に保存する段階をさらに有する請求項36記載の方法。
  38. SPDの選択肢を受信する段階であって、前記SPDは、関連付けられた物理的なアクセスポイントを具備している、段階をさらに有し、
    少なくとも1つのVPNポリシーをダウンロードする段階は、前記SPDと関連付けられた前記物理的なアクセスポイントを介して前記選択されたSPDから少なくとも1つのVPNポリシーをダウンロードする段階を有する請求項36記載の方法。
  39. 少なくとも1つのVPNポリシーをダウンロードする段階は、
    前記SPDと関連付けられた前記物理的なアクセスポイントに対して前記VPNクライアントからデータ接続を確立する段階と、
    前記物理的なアクセスポイントに対して確立された前記データ接続を介して前記VPNクライアントから前記SPDに対してデータ接続を確立する段階と、
    前記SPD及び前記VPNクライアントの少なくとも1つを認証する段階と、
    前記SPD及び前記VPNクライアントの少なくとも1つが認証された際に、前記SPDから少なくとも1つのVPNポリシーをダウンロードする段階と、
    を有する請求項38記載の方法。
  40. 前記SPDを認証する段階は、SPD証明書に基づいて前記SPDを認証する段階を有し、前記VPNクライアントを認証する段階は、ユーザ証明書に基づいて前記VPNクライアントを認証する段階を有する請求項39記載の方法。
  41. 前記SPDは、複数の文字を含む関連付けられた識別コードを具備しており、
    前記方法は、SPD証明書を生成する段階をさらに有し、
    SPD証明書を生成する段階は、
    前記SPDと関連付けられた前記識別コードの確認を受信する段階と、
    確認が受信された際に前記SPD証明書を生成する段階と、
    を有する請求項40記載の方法。
  42. 確認を受信する段階は、
    前記SPDと関連付けられた前記識別コードを含むSPD識別コードダイアログを提示する段階であって、前記SPD識別コードダイアログ内の前記識別コードは、少なくとも1つの文字を消して提示される、段階と、
    前記少なくとも1つの文字を受信する段階と、
    前記SPD識別コードダイアログ内において提示された前記識別コードが、前記少なくとも1つの受信した文字により、前記SPDと関連付けられた前記識別コードとマッチングした場合に、前記識別コードの確認を受信する段階と、
    を有する請求項41記載の方法。
  43. ユーザ証明書を生成する段階をさらに有し、
    ユーザ証明書を生成する段階は、
    前記VPNクライアントを前記SPDに対して認証する段階と、
    前記VPNクライアントが認証された際に前記ユーザ証明書を生成する段階と、
    を有する請求項40記載の方法。
  44. 少なくとも1つの仮想プライベートネットワーク(VPN)ポリシーを管理するコンピュータプログラムプロダクトにおいて、
    前記少なくとも1つのVPNポリシーは、少なくとも1つのVPNにアクセスする際に使用されるものであり、
    前記コンピュータプログラムプロダクトは、その内部に保存されたコンピュータ可読プログラムコード部分を具備するコンピュータ可読ストレージ媒体を有しており、
    前記コンピュータ可読プログラムコード部分は、
    少なくとも1つのセキュリティポリシーデータベース(SPD)から少なくとも1つのVPNポリシーをダウンロードする第1実行可能部分と、
    前記少なくとも1つのVPNポリシーをVPNポリシーストア内に保存する第2実行可能部分と、
    前記少なくとも1つのSPDと同期化し、これにより、前記VPNポリシーストア内に保存されている前記少なくとも1つのVPNポリシーを更新する第3実行可能部分と、
    を有するコンピュータプログラムプロダクト。
  45. 少なくとも1つのVPNポリシーは、証明書及び証明書/プライベートキーペアの少なくとも1つを含んでおり、前記第2実行可能部分は、前記証明書及び前記証明書/プライベートキーペアの前記少なくとも1つをパスワードによって保護されたキーストア内にさらに保存するようにされている請求項44記載のコンピュータプログラムプロダクト。
  46. SPDの選択肢を受信する第4実行可能部分であって、前記SPDは、関連付けられた物理的なアクセスポイントを具備している、第4実行可能部分をさらに有し、
    前記第1実行可能部分は、前記SPDと関連付けられた前記物理的なアクセスポイントを介して前記選択されたSPDから少なくとも1つのVPNポリシーをダウンロードするようにされている請求項44記載のコンピュータプログラムプロダクト。
  47. 前記第1実行可能部分は、前記SPDと関連付けられた前記物理的なアクセスポイントに対して前記VPNクライアントからデータ接続を確立し、前記物理的なアクセスポイントに対して確立された前記データ接続を介して前記VPNクライアントから前記SPDにデータ接続を確立し、前記SDP及び前記VPNクライアントの少なくとも1つを認証し、その後、前記SPD及び前記VPNクライアントの少なくとも1つが認証された際に、前記SPDから少なくとも1つのVPNポリシーをダウンロードするようにされている請求項46記載のコンピュータープログラムプロダクト。
  48. 前記第1実行可能部分は、SPD証明書に基づいて前記SPDを認証するようにされており、前記第1実行可能部分は、ユーザ証明書に基づいて前記VPNクライアントを認証するようにされている請求項47記載のコンピュータプログラムプロダクト。
  49. 前記SPDは、複数の文字を含む関連付けられた識別コードを具備しており、
    前記コンピュータプログラムプロダクトは、SPD証明書を生成する第5実行可能部分さらに有しており、
    前記第5実行可能部分は、前記SPDと関連付けられた前記識別コードの確認を受信し、その後、確認が受信された際に前記SPD証明書を生成するようにされている請求項48記載のコンピュータプログラムプロダクト。
  50. 前記第5実行可能部分は、前記SPDと関連付けられた前記識別コードを含むSPD識別コードダイアログを提示するようにされており、前記SPD識別コードダイアログ内の前記識別コードは、少なくとも1つの文字をなくして提示され、前記第5実行可能部分は、前記少なくとも1つの文字を受信し、その後、前記SPD識別コードダイアログ内において提示された前記識別コードが、前記少なくとも1つの受信した文字により、前記SPDと関連付けられた前記識別コードとマッチングした場合に、前記識別コードの確認を受信するようにされている請求項49記載のコンピュータプログラムプロダクト。
  51. ユーザ証明書を生成する第5実行可能部分をさらに有し、
    前記第5実行可能部分は、前記VPNクライアントを前記SPDに対して認証し、その後、前記VPNクライアントが認証された際に、前記ユーザ証明書を生成するようにされている請求項48記載のコンピュータプログラムプロダクト。
  52. コンピュータ可読ストレージ媒体内に組み込まれている仮想プライベートネットワーク(VPN)アクセスポイントのデータ構造において、
    VPNクライアントがVPNゲートウェイにアクセスし、これにより、VPNに対する前記VPNクライアントのアクセスを実現可能な方式を規定する物理的なアクセスポイントの定義と、
    前記VPNゲートウェイを跨ったトラフィックのセキュリティを定義する少なくとも1つのセキュリティポリシーを規定するVPNポリシーと、
    を有するVPNアクセスポイントのデータ構造。
JP2006553704A 2004-02-20 2005-02-17 少なくとも1つの仮想プライベートネットワークにアクセスするシステム、方法、及びコンピュータプログラムプロダクト Pending JP2007525896A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US54644804P 2004-02-20 2004-02-20
US10/881,921 US10375023B2 (en) 2004-02-20 2004-06-30 System, method and computer program product for accessing at least one virtual private network
PCT/IB2005/000438 WO2005083938A1 (en) 2004-02-20 2005-02-17 System, method and computer program product for accessing at least one virtual private network

Publications (1)

Publication Number Publication Date
JP2007525896A true JP2007525896A (ja) 2007-09-06

Family

ID=34915572

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006553704A Pending JP2007525896A (ja) 2004-02-20 2005-02-17 少なくとも1つの仮想プライベートネットワークにアクセスするシステム、方法、及びコンピュータプログラムプロダクト

Country Status (8)

Country Link
US (2) US10375023B2 (ja)
EP (1) EP1719294B1 (ja)
JP (1) JP2007525896A (ja)
KR (1) KR100825430B1 (ja)
CN (1) CN1943172B (ja)
AT (1) ATE543297T1 (ja)
RU (1) RU2389143C2 (ja)
WO (1) WO2005083938A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010268087A (ja) * 2009-05-13 2010-11-25 Nec Infrontia Corp ネットワーク装置、ネットワーク及びそれらに用いる自動暗号化通信方法

Families Citing this family (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7391865B2 (en) 1999-09-20 2008-06-24 Security First Corporation Secure data parser method and system
US7308263B2 (en) 2001-02-26 2007-12-11 Kineto Wireless, Inc. Apparatus for supporting the handover of a telecommunication session between a licensed wireless system and an unlicensed wireless system
US7669237B2 (en) 2002-08-27 2010-02-23 Trust Digital, Llc Enterprise-wide security system for computer devices
US7606190B2 (en) 2002-10-18 2009-10-20 Kineto Wireless, Inc. Apparatus and messages for interworking between unlicensed access network and GPRS network for data services
JP2006503500A (ja) * 2002-10-18 2006-01-26 キニータ ワイヤレス、インコーポレイテッド 非ライセンス無線通信システムを用いてライセンス無線通信システムの受信可能範囲を拡張する装置および方法
US7349698B2 (en) 2002-10-18 2008-03-25 Kineto Wireless, Inc. Registration messaging in an unlicensed mobile access telecommunications system
US7885644B2 (en) * 2002-10-18 2011-02-08 Kineto Wireless, Inc. Method and system of providing landline equivalent location information over an integrated communication system
WO2005064498A1 (en) * 2003-12-23 2005-07-14 Trust Digital, Llc System and method for enforcing a security policy on mobile devices using dynamically generated security profiles
JP2005341348A (ja) * 2004-05-28 2005-12-08 Fujitsu Ltd 無線通信システム及び秘匿制御方法
EP1780936B1 (en) * 2004-08-20 2013-05-15 Mitsubishi Electric Corporation Terminal apparatus
US7940746B2 (en) 2004-08-24 2011-05-10 Comcast Cable Holdings, Llc Method and system for locating a voice over internet protocol (VoIP) device connected to a network
US7756984B2 (en) * 2004-09-27 2010-07-13 Citrix Systems, Inc. Systems and methods for virtual host name roaming
CN102609640B (zh) 2004-10-25 2015-07-15 安全第一公司 安全数据分析方法和系统
US20110167470A1 (en) * 2005-02-28 2011-07-07 Trust Digital, Llc Mobile data security system and methods
WO2006093917A2 (en) 2005-02-28 2006-09-08 Trust Digital Mobile data security system and methods
US8565726B2 (en) * 2008-11-06 2013-10-22 Mcafee, Inc. System, method and device for mediating connections between policy source servers, corporate repositories, and mobile devices
US7843900B2 (en) 2005-08-10 2010-11-30 Kineto Wireless, Inc. Mechanisms to extend UMA or GAN to inter-work with UMTS core network
JP2007096617A (ja) * 2005-09-28 2007-04-12 Nec Corp 携帯端末、携帯端末システム、携帯端末通信方法、携帯端末通信プログラム、該プログラムを記録した記録媒体
US7613826B2 (en) * 2006-02-09 2009-11-03 Cisco Technology, Inc. Methods and apparatus for providing multiple policies for a virtual private network
US8165086B2 (en) 2006-04-18 2012-04-24 Kineto Wireless, Inc. Method of providing improved integrated communication system data service
US7844263B2 (en) * 2006-04-27 2010-11-30 Tangoe, Inc. Provisioning a user device for multiple services
US20070283430A1 (en) * 2006-06-02 2007-12-06 Research In Motion Limited Negotiating vpn tunnel establishment parameters on user's interaction
US20080039086A1 (en) 2006-07-14 2008-02-14 Gallagher Michael D Generic Access to the Iu Interface
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US7912004B2 (en) 2006-07-14 2011-03-22 Kineto Wireless, Inc. Generic access to the Iu interface
US7852817B2 (en) 2006-07-14 2010-12-14 Kineto Wireless, Inc. Generic access to the Iu interface
US20080076419A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for discovery
EP2074839A4 (en) * 2006-09-22 2010-05-05 Kineto Wireless Inc METHOD AND DEVICE FOR RESOURCE MANAGEMENT
US8204502B2 (en) * 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
US8073428B2 (en) 2006-09-22 2011-12-06 Kineto Wireless, Inc. Method and apparatus for securing communication between an access point and a network controller
US8036664B2 (en) 2006-09-22 2011-10-11 Kineto Wireless, Inc. Method and apparatus for determining rove-out
US7995994B2 (en) 2006-09-22 2011-08-09 Kineto Wireless, Inc. Method and apparatus for preventing theft of service in a communication system
US8259568B2 (en) 2006-10-23 2012-09-04 Mcafee, Inc. System and method for controlling mobile device access to a network
WO2008099254A2 (en) * 2007-02-12 2008-08-21 Nokia Corporation Authorizing n0n-3gpp ip access during tunnel establishment
US8019331B2 (en) 2007-02-26 2011-09-13 Kineto Wireless, Inc. Femtocell integration into the macro network
JP4885810B2 (ja) * 2007-08-22 2012-02-29 株式会社日立国際電気 無線端末用アダプタ
US8566453B1 (en) * 2007-11-19 2013-10-22 Juniper Networks, Inc. COPS-PR enhancements to support fast state synchronization
US20090262683A1 (en) 2008-04-18 2009-10-22 Amit Khetawat Method and Apparatus for Setup and Release of User Equipment Context Identifiers in a Home Node B System
US20100058232A1 (en) * 2008-08-26 2010-03-04 Cisco Technology, Inc. Virtual network join protocol
US9531674B2 (en) * 2009-11-11 2016-12-27 Microsoft Technology Licensing, Llc Virtual host security profiles
CN106230872A (zh) * 2009-11-25 2016-12-14 安全第公司 对移动中数据进行保护的系统和方法
CA2795206C (en) 2010-03-31 2014-12-23 Rick L. Orsini Systems and methods for securing data in motion
US8935384B2 (en) 2010-05-06 2015-01-13 Mcafee Inc. Distributed data revocation using data commands
CN103238305A (zh) 2010-05-28 2013-08-07 安全第一公司 用于安全数据储存的加速器系统
CN103609059B (zh) 2010-09-20 2016-08-17 安全第一公司 用于安全数据共享的系统和方法
US8819229B1 (en) * 2011-10-04 2014-08-26 Amazon Technologies, Inc. Techniques for accessing logical networks via a programmatic service call
US8909918B2 (en) * 2011-10-05 2014-12-09 Cisco Technology, Inc. Techniques to classify virtual private network traffic based on identity
CN102711106B (zh) * 2012-05-21 2018-08-10 中兴通讯股份有限公司 建立IPSec隧道的方法及系统
US9092427B2 (en) * 2012-06-08 2015-07-28 Lockheed Martin Corporation Dynamic trust session
WO2014033199A1 (en) * 2012-08-30 2014-03-06 Koninklijke Philips N.V. Method and devices for pairing within a group of wireless devices
US20140164583A1 (en) * 2012-12-12 2014-06-12 1E Limited Providing Policy Data to a Computer
RU2546585C2 (ru) 2013-08-07 2015-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ предоставления прав доступа приложениям к файлам компьютера
KR102201906B1 (ko) * 2014-04-29 2021-01-12 삼성전자주식회사 전자 장치에서 다른 전자 장치를 제어하기 위한 장치 및 방법
US9985799B2 (en) * 2014-09-05 2018-05-29 Alcatel-Lucent Usa Inc. Collaborative software-defined networking (SDN) based virtual private network (VPN)
CN105812218A (zh) * 2014-12-31 2016-07-27 中国电信股份有限公司 用于实现应用多vpn协议接入的方法、中间件和移动终端
WO2016119249A1 (zh) * 2015-01-30 2016-08-04 华为技术有限公司 多流聚合方法、装置及系统
US10298627B2 (en) * 2016-02-01 2019-05-21 Oracle International Corporation Concentration of independent tunneled encapsulated media
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
RU2645287C2 (ru) * 2016-03-31 2018-02-19 Элла Михайловна Порошина Виртуальная закрытая сеть
US9560015B1 (en) * 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US10326603B2 (en) * 2016-05-06 2019-06-18 Blackberry Limited Inter-workspace communications
CN111224857A (zh) * 2016-06-29 2020-06-02 华为技术有限公司 用于实现组合虚拟专用网vpn的方法与装置
RU2635215C1 (ru) * 2016-12-27 2017-11-09 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ подключения компьютера пользователя к виртуальной частной сети через локальную сеть провайдера
US10917438B2 (en) * 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
CN109756410A (zh) * 2018-12-07 2019-05-14 中国航空工业集团公司西安航空计算技术研究所 一种基于ipsec vpn的机载多路蜂窝并行通信系统
US11115387B2 (en) * 2019-02-04 2021-09-07 Cisco Technology, Inc. Method for policy-driven, classifying, and routing traffic using the domain name system
US11689918B2 (en) * 2019-03-01 2023-06-27 Hewlett Packard Enterprise Development Lp Remote access point clustering for user authentication in wireless networks
CN112714439B (zh) * 2019-10-25 2022-08-30 大唐移动通信设备有限公司 通信数据的安全传输方法、装置、设备及存储介质
CN114221759B (zh) * 2021-11-29 2024-04-12 成都卫士通信息产业股份有限公司 一种远程监控部署方法、装置、电子设备及存储介质
KR102443714B1 (ko) * 2021-12-30 2022-09-16 주식회사 제네럴테크놀로지 사내 네트워크 외부 접속 보안 시스템
KR102486480B1 (ko) * 2022-08-17 2023-01-09 주식회사 에스케어 Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003018156A (ja) * 2001-06-28 2003-01-17 Mitsubishi Electric Corp Vpn運用管理装置
JP2003273892A (ja) * 2002-03-15 2003-09-26 Allied Tereshisu Kk ルーター
JP2005534104A (ja) * 2002-07-22 2005-11-10 ヴォーメトリック インコーポレイテッド セキュアネットワークファイルアクセス制御システム

Family Cites Families (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2228687A1 (en) 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
US6912232B1 (en) * 1998-10-19 2005-06-28 At&T Corp. Virtual private network
US6643776B1 (en) * 1999-01-29 2003-11-04 International Business Machines Corporation System and method for dynamic macro placement of IP connection filters
US6636898B1 (en) * 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6937574B1 (en) 1999-03-16 2005-08-30 Nortel Networks Limited Virtual private networks and methods for their operation
US6941465B1 (en) * 1999-07-26 2005-09-06 Microsoft Corporation Method of enforcing a policy on a computer network
FI109316B (fi) 1999-08-03 2002-06-28 Nokia Corp Menetelmä ja järjestelmä välittäjäpalvelun toteuttamiseksi tietoliikennejärjestelmässä
FI109502B (fi) 1999-08-18 2002-08-15 Nokia Corp Menetelmä ja järjestelmä merkinantoon tietoliikennejärjestelmässä
FI19991949A (fi) 1999-09-13 2001-03-14 Nokia Networks Oy Suljettu käyttäjäryhmäpalvelu matkaviestinjärjestelmässä
EP1236362B1 (en) 1999-12-01 2010-06-02 Nokia Corporation Providing gateway functionality in a virtual private network
US6539483B1 (en) * 2000-01-12 2003-03-25 International Business Machines Corporation System and method for generation VPN network policies
US20020022483A1 (en) 2000-04-18 2002-02-21 Wayport, Inc. Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US20020083344A1 (en) 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US7209479B2 (en) * 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US7242665B2 (en) 2001-01-25 2007-07-10 Ericsson Ab Network device virtual interface
US7391782B2 (en) * 2001-03-06 2008-06-24 Fujitsu Limited Packet relaying apparatus and relaying method with next relaying address collation
FI110464B (fi) * 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
US20020178240A1 (en) * 2001-05-24 2002-11-28 International Business Machines Corporation System and method for selectively confirming digital certificates in a virtual private network
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7107464B2 (en) 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7197550B2 (en) * 2001-08-23 2007-03-27 The Directv Group, Inc. Automated configuration of a virtual private network
US7036143B1 (en) * 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility
US7085827B2 (en) * 2001-09-20 2006-08-01 Hitachi, Ltd. Integrated service management system for remote customer support
US8200773B2 (en) 2001-09-28 2012-06-12 Fiberlink Communications Corporation Client-side network access policies and management applications
AU2002339830A1 (en) 2001-10-12 2003-06-10 Mobiwave Pte, Ltd. Security of data through wireless access points supporting roaming
KR100407324B1 (ko) 2001-10-26 2003-11-28 삼성전자주식회사 가상 사설 네트워크에서 서버가 이동 통신 단말기로데이터를 전송하는 방법
KR100737140B1 (ko) * 2001-10-31 2007-07-06 주식회사 케이티 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스처리장치 및 방법
US20030120821A1 (en) 2001-12-21 2003-06-26 Thermond Jeffrey L. Wireless local area network access management
FR2837337B1 (fr) * 2002-03-15 2004-06-18 Cit Alcatel Dispositif de gestion de service reseau utilisant le protocole cops pour la configuration d'un reseau prive virtuel
US20030204596A1 (en) * 2002-04-29 2003-10-30 Satyendra Yadav Application-based network quality of service provisioning
WO2003098461A1 (en) 2002-05-14 2003-11-27 Polcha Andrew J System and method for automatically configuring remote computer
US20030225854A1 (en) 2002-05-28 2003-12-04 Peng Zhang Digital rights management system on a virtual private network
US20050193103A1 (en) * 2002-06-18 2005-09-01 John Drabik Method and apparatus for automatic configuration and management of a virtual private network
US20040022258A1 (en) * 2002-07-30 2004-02-05 Docomo Communications Laboratories Usa, Inc. System for providing access control platform service for private networks
AU2003264013A1 (en) 2002-08-09 2004-02-25 Wavelink Corporation Management of mobile unit configuration in wlans
US7522906B2 (en) * 2002-08-09 2009-04-21 Wavelink Corporation Mobile unit configuration management for WLANs
EP1401169A1 (en) * 2002-09-18 2004-03-24 Alcatel Method and system using a Meta service selector for deploying services over a plurality of networks
US20060182083A1 (en) * 2002-10-17 2006-08-17 Junya Nakata Secured virtual private network with mobile nodes
US20040168051A1 (en) 2003-02-26 2004-08-26 Lucent Technologies Inc. Optimally provisioning connectivity for network-based mobile virtual private network (VPN) services
US7366187B2 (en) * 2003-04-17 2008-04-29 Verizon Business Global Llc Linking autonomous systems with dual premise routing domains
US7478427B2 (en) * 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
US7444508B2 (en) * 2003-06-30 2008-10-28 Nokia Corporation Method of implementing secure access
US7448080B2 (en) * 2003-06-30 2008-11-04 Nokia, Inc. Method for implementing secure corporate communication
US7333799B2 (en) * 2003-08-29 2008-02-19 Microsoft Corporation WAP XML extension to define VPN connections
US7561586B2 (en) * 2003-09-19 2009-07-14 Nortel Networks Limited Method and apparatus for providing network VPN services on demand
CA2545272A1 (en) 2003-11-04 2005-05-19 Nexthop Technologies, Inc. Secure, standards-based communications across a wide-area network
CA2491274A1 (en) * 2004-01-08 2005-07-08 Lpi Level Platforms, Inc. A method and system for secure remote access to computer systems and networks
US7860978B2 (en) 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router
JP4983109B2 (ja) * 2006-06-23 2012-07-25 オムロン株式会社 電波検知回路及び遊技機

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003018156A (ja) * 2001-06-28 2003-01-17 Mitsubishi Electric Corp Vpn運用管理装置
JP2003273892A (ja) * 2002-03-15 2003-09-26 Allied Tereshisu Kk ルーター
JP2005534104A (ja) * 2002-07-22 2005-11-10 ヴォーメトリック インコーポレイテッド セキュアネットワークファイルアクセス制御システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010268087A (ja) * 2009-05-13 2010-11-25 Nec Infrontia Corp ネットワーク装置、ネットワーク及びそれらに用いる自動暗号化通信方法

Also Published As

Publication number Publication date
ATE543297T1 (de) 2012-02-15
KR100825430B1 (ko) 2008-04-25
CN1943172B (zh) 2010-09-29
CN1943172A (zh) 2007-04-04
RU2389143C2 (ru) 2010-05-10
WO2005083938A1 (en) 2005-09-09
EP1719294A1 (en) 2006-11-08
RU2006131456A (ru) 2008-03-27
US11258765B2 (en) 2022-02-22
KR20060123644A (ko) 2006-12-01
US20050198306A1 (en) 2005-09-08
US10375023B2 (en) 2019-08-06
EP1719294B1 (en) 2012-01-25
US20190349336A1 (en) 2019-11-14

Similar Documents

Publication Publication Date Title
US11258765B2 (en) System, method and computer program product for accessing at least one virtual private network
US10356083B2 (en) Methods and apparatus for use in enabling a mobile communication device with a digital certificate
KR100758733B1 (ko) 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법
US9537830B2 (en) System and method to provide built-in and mobile VPN connectivity
US9479339B2 (en) Methods and apparatus for use in obtaining a digital certificate for a mobile communication device
US6973086B2 (en) Method and system for securing mobile IPv6 home address option using ingress filtering
US9912673B2 (en) Method and device for secure network access
US8665853B2 (en) Packet-based communication system and method
JP2007516625A (ja) パーソナルリモートファイヤウォール
BRPI0510378B1 (pt) Método de manusear transferências de dados em um dispositivo móvel , mídia lida porcomputador e aparelho de transferência de dados
WO2004015958A2 (en) Fine grained access control for wireless networks
US20070192838A1 (en) Management of user data
EP2096829B1 (en) Methods and apparatus for use in obtaining a digital certificate for a mobile communication device
EP2096830B1 (en) Methods and apparatus for use in enabling a mobile communication device with a digital certificate
JP4031489B2 (ja) 通信端末および通信端末制御方法
EP1402350A2 (en) Method and system for acces in open service architecture
RU2316126C2 (ru) Персональный удаленный межсетевой экран
CA2511047C (en) Packet-based communication system and method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090424

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090812

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090819

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100119

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100416

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100715

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101026