JP2009260847A - Vpn接続方法、及び通信装置 - Google Patents
Vpn接続方法、及び通信装置 Download PDFInfo
- Publication number
- JP2009260847A JP2009260847A JP2008109552A JP2008109552A JP2009260847A JP 2009260847 A JP2009260847 A JP 2009260847A JP 2008109552 A JP2008109552 A JP 2008109552A JP 2008109552 A JP2008109552 A JP 2008109552A JP 2009260847 A JP2009260847 A JP 2009260847A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- communication device
- vpn
- sip message
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】2つの通信装置間のVPN接続のために事前に必要になる情報を、手間をかけることなく安全に通信装置に設定するための技術を提供する。
【解決手段】 IP通信網を介して接続元通信装置と接続先通信装置とがVPN接続を行うためのVPN接続方法において、前記接続元通信装置が、VPN接続要求を含むSIPメッセージを、SIPを用いて呼制御を行うIP電話網を介して前記接続先通信装置に送信するVPN接続要求ステップと、前記接続先通信装置が、当該接続先通信装置のIPアドレスを含むSIPメッセージを前記接続元通信装置に送信し、当該接続元通信装置が前記SIPメッセージを受信し、当該SIPメッセージから前記IPアドレスを取得するIPアドレス取得ステップと、前記接続元通信装置が、前記IPアドレス取得ステップにおいて取得した前記IPアドレスを用いて、前記接続先通信装置と通信を行うことにより、VPN接続を行うVPN接続ステップとを備える。
【選択図】図1
【解決手段】 IP通信網を介して接続元通信装置と接続先通信装置とがVPN接続を行うためのVPN接続方法において、前記接続元通信装置が、VPN接続要求を含むSIPメッセージを、SIPを用いて呼制御を行うIP電話網を介して前記接続先通信装置に送信するVPN接続要求ステップと、前記接続先通信装置が、当該接続先通信装置のIPアドレスを含むSIPメッセージを前記接続元通信装置に送信し、当該接続元通信装置が前記SIPメッセージを受信し、当該SIPメッセージから前記IPアドレスを取得するIPアドレス取得ステップと、前記接続元通信装置が、前記IPアドレス取得ステップにおいて取得した前記IPアドレスを用いて、前記接続先通信装置と通信を行うことにより、VPN接続を行うVPN接続ステップとを備える。
【選択図】図1
Description
本発明は、インターネット、その他の公衆IP通信網に接続された2つの通信装置間でVPN(Virtual Private Network:仮想専用線)を構築するための技術に関するものである。
インターネットに代表される公衆IP通信網において、ある2点間を接続するために、VPNと呼ばれる技術を用いて、当該公衆IP通信網上に仮想の専用線を構築することが一般的に行われている。
このVPNを構築するための技術には種々のものが存在するが、そのような技術の1つとして、IPレイヤで動作し、かつ、IPレイヤ及びIPレイヤより上位のレイヤをトンネリングにより透過的に伝送するプロトコルとしてIPsec(Security Architecture for Internet Protocol)がある。なお、本願に関連する先行技術文献として特許文献1がある。
特開2008−28600号公報
さて、上述したIPsecを利用するためには、VPNを構築する両側の通信装置のうちの少なくとも一方の側(IPsecの起動をかける側:イニシエータ)がもう一方の側のIPアドレスを取得している必要がある。
一方の側の通信装置が、もう一方の側の通信装置のIPアドレスを取得するためには、DNS(Domain Name System)を用いる方式があるが、DNSを利用するためには、ドメイン名の取得、DNSサーバへの登録が必要になり、利便性の良い方式ではない。
また、上述したIPsecを利用するためには、接続時の認証のために必要な情報をVPNの両側の通信装置が相互に保持しておく必要がある。IPsecにおける認証の方式としては、例えば事前共有鍵(Pre-shared key)暗号方式と公開鍵暗号方式がある。
事前共有鍵暗号方式を用いる場合、接続を行う両側の2点の通信装置において同一の事前共有鍵をお互いに事前に保持しておく必要がある。
また、公開鍵暗号方式を用いる場合であれば、双方の公開鍵を両者がお互いに事前に保持しておく必要がある。更に、認証のためにデジタル署名方式を使用する場合には、接続認証時に交換されるお互いの公開鍵証明書の正当性の確認のために、その公開鍵証明書の発行を行ったCA局の公開鍵も必要になる。
これらの情報については、予め事前に両方の通信装置に設定しておく方式を採用することが考えられる。しかし、事前に設定しておく方式では、セキュリティ上、もしくはそれ以外の理由により、事前共有鍵や公開鍵を変更しなければならない場合、作業者が直接該当の通信装置に設定を行ったりする必要があり、手間がかかるという問題がある。
また、上記の情報を所定のサーバにデータベースとして格納しておき、接続が発生した場合に両側の通信装置が当該所定のサーバから情報を取得する方式も提案されている(特許文献1)。しかし、この方式では、そもそもそのようなサーバを用意し、維持管理する必要が生じ、運用に手間がかかるという問題がある。
本発明は上記の点に鑑みてなされたものであり、2つの通信装置間のVPN接続のために事前に必要になる情報を、手間をかけることなく安全に通信装置に設定するための技術を提供することを目的とする。
上記の課題は、IP通信網を介して接続元通信装置と接続先通信装置とがVPN接続を行うためのVPN接続方法であって、前記接続元通信装置が、VPN接続要求を含むSIPメッセージを、SIPを用いて呼制御を行うIP電話網を介して前記接続先通信装置に送信するVPN接続要求ステップと、前記接続先通信装置が、当該接続先通信装置のIPアドレスを含むSIPメッセージを前記接続元通信装置に送信し、当該接続元通信装置が前記SIPメッセージを受信し、当該SIPメッセージから前記IPアドレスを取得するIPアドレス取得ステップと、前記接続元通信装置が、前記IPアドレス取得ステップにおいて取得した前記IPアドレスを用いて、前記接続先通信装置と通信を行うことにより、VPN接続を行うVPN接続ステップとを有することを特徴とするVPN接続方法により解決できる。
前記VPN接続ステップは、前記接続元通信装置が、当該接続元通信装置の識別子を含むVPN接続のためのパケットを前記接続先通信装置に対して送信するパケット送信ステップと、前記接続先通信装置が、前記パケットを受信し、当該パケットに含まれる前記識別子に基づき前記接続元通信装置の宛先を特定し、VPN接続の過程で用いられる共有鍵を含むSIPメッセージを前記IP電話網を介して前記宛先に送信する共有鍵送信ステップとを有することとしてもよい。
また、前記VPN接続要求ステップにおいて、前記接続元通信装置は、自身の公開鍵と前記VPN接続要求とを含むSIPメッセージを、前記IP電話網を介して前記接続先通信装置に送信し、前記IPアドレス取得ステップにおいて、前記接続先通信装置が、自身の公開鍵とIPアドレスとを含むSIPメッセージを、前記IP電話網を介して前記接続元通信装置に送信し、当該接続元通信装置が前記SIPメッセージを受信し、当該SIPメッセージから前記接続先通信装置の公開鍵とIPアドレスとを取得し、前記VPN接続ステップにおいて、前記接続元通信装置と前記接続先通信装置とは互いに相手の公開鍵を用いてVPN接続を行うこととしてもよい。
また、前記識別子として、前記IP電話網において前記接続元通信装置に付与されている電話番号を用いることとしてもよい。
また、前記識別子として、前記IP電話網において前記接続元通信装置に付与されている電話番号を用いることとしてもよい。
また、本発明は、上記接続元の通信装置に相当する通信装置、及び上記接続先の通信装置に相当する通信装置として構成することもできる。
2つの通信装置間のVPN接続のために事前に必要になる情報を、手間をかけることなく安全に通信装置に設定するための技術を提供することが可能になる。
以下、図面を参照して本発明の実施の形態について説明する。
(システム構成)
図1に、本発明の実施の形態におけるシステムの構成図を示す。図1に示すように、本実施の形態のシステムは、接続元VPNゲートウェイ装置1、接続元VPNゲートウェイ装置の配下に接続されるPC端末2、ネットワーク接続装置3、接続先VPNゲートウェイ装置4、及び接続先VPNゲートウェイ装置4の配下に接続される業務システム5を有している。ネットワーク接続装置3と接続先VPNゲートウェイ装置4はネットワーク6を介して接続されている。
図1に、本発明の実施の形態におけるシステムの構成図を示す。図1に示すように、本実施の形態のシステムは、接続元VPNゲートウェイ装置1、接続元VPNゲートウェイ装置の配下に接続されるPC端末2、ネットワーク接続装置3、接続先VPNゲートウェイ装置4、及び接続先VPNゲートウェイ装置4の配下に接続される業務システム5を有している。ネットワーク接続装置3と接続先VPNゲートウェイ装置4はネットワーク6を介して接続されている。
本実施の形態では、PC端末2、接続元VPNゲートウェイ装置1、及びネットワーク接続装置3は、自宅やSOHO(SOHOの拠点)等の遠隔アクセス元に設置され、接続先VPNゲートウェイ装置4、及び業務システム5は、会社等の遠隔アクセス先に設置されている。
接続元VPNゲートウェイ装置1は、本発明に係るVPN接続機能を有し、接続先VPNゲートウェイ装置4との間でVPNを構築する機能を有している。この機能により、接続元VPNゲートウェイ装置1は、配下のPC端末2を業務システム5にVPNを介して接続させることができるVPNゲートウェイとして機能する。更に、本実施形態における接続元VPNゲートウェイ装置1は、接続先VPNゲートウェイ装置4の内線電話機(内線子機)としての機能も有している。
接続先VPNゲートウェイ装置4は、本発明に係るVPN接続機能を有し、接続元VPNゲートウェイ装置1との間でVPNを構築する機能を有している。この機能により、接続先VPNゲートウェイ装置4は、配下の業務システム5と遠隔アクセス元とをVPN接続させることができるVPNゲートウェイとして機能する。また、本実施の形態における接続先VPNゲートウェイ装置4はボタン電話主装置としての機能も含み、内線子機をVPNを経由して収容し、ボタン電話サービス(電話発信、着信、保留、転送など)を提供する機能を含む。
更に、接続先VPNゲートウェイ装置4は、ネットワーク6との接続機能(IPデータ通信機能、ISPへの接続機能、IP電話サービスへの接続機能等)を有している。
ネットワーク接続装置3は、遠隔アクセス元の宅内に設置され、ネットワーク6との接続機能(IPデータ通信機能、ISPへの接続機能、IP電話サービスへの接続機能等)を有している。また、ネットワーク接続装置3は、通常のIP電話サービスへの接続機能だけではなく、SIP(session initiation protocol)のMESSAGEリクエストによるショートメッセージの交換を行う機能も有している。また、ネットワーク接続装置3は、その配下に内線電話機として機能するSIP端末を収容し、SIP端末からのSIPによる呼制御情報を中継してネットワーク6に送出する機能も有している。
ネットワーク6は、加入者間のIP電話サービス、IPによるデータ通信サービスの両方を提供するネットワークであり、電気通信事業者により提供されている一般的なネットワークである。なお、ネットワーク6の中で、IP電話サービスを提供する部分からなるネットワークを、IP電話網と称することができる。また、本実施の形態におけるネットワーク6により提供されるIP電話サービスにおいては、SIPのMESSAGEリクエストによるショートメッセージングサービスが提供され、当該サービスにおいては、SIPのMESSAGEリクエストのbody部を使用して、SIP端末間で任意の情報のやり取り可能である。
次に、本発明に係る通信装置の一例である接続元VPNゲートウェイ装置1と接続先VPNゲートウェイ装置4のそれぞれの機能構成を詳細に説明する。
<接続元VPNゲートウェイ装置1の機能構成>
図2に、接続元VPNゲートウェイ装置1の機能構成図を示す。図2に示すように、接続元VPNゲートウェイ装置1は、DHCPクライアント機能部101、DHCPv6クライアント機能部102、情報設定機能部103、SIP−UA機能部104、IPsec機能部105、DHCPサーバ機能部106、IPv6-NDP機能部107、DHCPv6サーバ機能部108、内線電話機能部109、ボタン・表示器110、ルーティング機能部111、Ethernet I/F(112、113)を有する。
図2に、接続元VPNゲートウェイ装置1の機能構成図を示す。図2に示すように、接続元VPNゲートウェイ装置1は、DHCPクライアント機能部101、DHCPv6クライアント機能部102、情報設定機能部103、SIP−UA機能部104、IPsec機能部105、DHCPサーバ機能部106、IPv6-NDP機能部107、DHCPv6サーバ機能部108、内線電話機能部109、ボタン・表示器110、ルーティング機能部111、Ethernet I/F(112、113)を有する。
DHCPクライアント機能部101は、ネットワーク接続装置3からIPv4アドレス、DNSサーバアドレス等のIPv4通信に必要となる情報の払い出しを受けるための機能部である。DHCPv6クライアント機能部102は、ネットワーク接続装置3からIPv6プレフィックス、DNSサーバアドレス等のIPv6通信に必要となる情報の払い出しを受けるための機能部である。情報設定機能部103は、DHCPクライアント機能部101、DHCPv6クライアント機能部102から得られた情報をIPv4通信及びIPv6通信を行うための情報として接続元VPNゲートウェイ装置1自身に設定するための機能部である。なお、IPv4通信及びIPv6通信を行うために必要な情報を、DHCPクライアント機能部101及びDHCPv6クライアント機能部102を使用せずにネットワーク接続装置3から取得する方式とすることも可能である。
SIP−UA機能部104は、接続元VPNゲートウェイ装置1を、ネットワーク接続装置3のSIP端末として動作させる機能部である。より具体的には、SIP−UA機能部104は、ネットワーク接続装置3に対してREGISTERリクエストを発行してSIP端末としての登録を行い、MESSAGEリクエストのbody部を使用して、ネットワーク接続装置3及びネットワーク6を介して接続先VPNゲートウェイ装置4と通信を行うことにより、接続先VPNゲートウェイ装置4に対するVPN接続要求、VPN接続のための鍵情報の受け渡し等を行う機能を有している。
IPsec機能部105は、IPsec(ESPトンネルモード)により接続元VPNゲートウェイ装置1を接続先VPNゲートウェイ装置4にVPN接続させるための機能部である。また、IPsec機能部105は、IKEv1のイニシエータの機能を有し、モードコンフィグにより、接続元VPNゲートウェイ装置4からIPアドレスの払い出しを受けることができる。また、IPsec機能部105におけるIKEの認証(本人性確認)は、接続先VPNゲートウェイ装置4により生成され、SIPメッセージにより受信した鍵情報を用いた事前共有鍵暗号方式を用いて行うことができる。もしくは、SIPメッセージにより交換された公開鍵を使用した公開鍵暗号方式を用いて行うことができる。
また、ネットワーク接続装置3がNAPT機能を有している場合、IPsec機能部105は、NAPT超えを行うために、Negotiation of NAT-Traversal in the IKE (RFC3974)やUDP encapsulation of IPsec Packets (RFC3948)をサポートしてもよい。
DHCPサーバ機能部106は、PC端末2からの要求によりIPv4アドレスを払い出す機能部である。IPv6-NDP機能部107は、ネットワーク接続装置3から受信したIPv6プレフィックスを元に接続元VPNゲートウェイ装置1にIPv6アドレスを設定するとともに、PC端末2に対してIPv6を払い出すための機能部である。この機能によりプレフィックスを受け取った装置は、ホスト部を自動生成し、プレフィックスと組み合わせてIPv6アドレスを生成する。DHCPv6サーバ機能部108は、PC端末2からの要求により、IPv6に関する、IPv6プレフィックス以外の情報(例えばDNSサーバアドレスなど)を払い出す機能部である。
内線電話機能部109は、IPsec機能部105により生成されたVPN上で、接続先VPNゲートウェイ装置4と通信を行うことにより、接続元VPNゲートウェイ装置1を、ボタン電話主装置としての接続先VPNゲートウェイ装置4の内線電話機として動作させるための機能部である。ボタン・表示器110は、電話の発着信操作の指示を行ったり、電話着信の表示を行ったりするためのダイヤルボタン、液晶画面、表示器等である。
ルーティング機能部111は、PC端末2側のインタフェース(Ethernet I/F112)、ネットワーク接続装置3側のインタフェース(Ethernet I/F113)、及び接続元VPNゲートウェイ装置1の各機能部相互間で、IPv4、IPv6の通信を行えるように、パケットのルーティング処理を行うための機能部である。
なお、接続元VPNゲートウェイ装置1は、CPU、記憶装置等を備えたコンピュータの構成を有する装置に、本実施の形態で説明した機能に対応したプログラムを搭載することにより実現される。また、接続元VPNゲートウェイ装置1を、VPNを構築する機能を有する装置と、内線電話機能を有する装置とを有するシステムとして構成することもできる。
なお、本発明に係る処理は主にSIP-UA機能部104と、IPsec機能部105とにより実現されている。
つまり、SIP-UA機能部104とIPsec機能部105とを含む機能部は、SIPを用いて呼制御を行うIP電話網を介して接続先VPNゲートウェイ装置4にVPN接続要求を含むSIPメッセージを送信し、当該接続先VPNゲートウェイ装置から当該接続先VPNゲートウェイ装置のIPアドレスを含むSIPメッセージを受信するIPアドレス取得手段と、前記IPアドレス取得手段により取得した前記IPアドレスを用いて、前記接続先の通信装置に対するVPN接続を行うVPN接続手段とを少なくとも有している。
また、事前共有鍵暗号方式に対応するために、前記VPN接続手段は、接続元VPNゲートウェイ装置1の識別子を含むVPN接続のためのパケットを接続先VPNゲートウェイ装置4に対して送信するパケット送信手段と、VPN接続の過程で用いられる共有鍵を含むSIPメッセージをIP電話網を介して接続先VPNゲートウェイ装置4から受信する共有鍵受信手段とを有している。更に、公開鍵暗号方式に対応するために、前記IPアドレス取得手段は、接続元VPNゲートウェイ装置1の公開鍵とVPN接続要求とを含むSIPメッセージを、IP電話網を介して接続先VPNゲートウェイ装置4に送信する手段と、接続先VPNゲートウェイ装置4の公開鍵と前記IPアドレスとを含むSIPメッセージを、IP電話網を介して接続先VPNゲートウェイ装置4から受信する手段とを有しており、前記VPN接続手段は、接続先VPNゲートウェイ装置4の公開鍵を用いてVPN接続のための処理を行う手段を有している。
なお、上記の各手段は、コンピュータとしての接続元VPNゲートウェイ装置1において、プログラムが実行されることにより実現される手段である。
<接続先VPNゲートウェイ装置4の機能構成>
次に、接続先VPNゲートウェイ装置4の機能構成について説明する。図3に、接続先VPNゲートウェイ装置4の機能構成図を示す。図3に示すように、接続先VPNゲートウェイ装置4は、SIP−UA機能部401、IPsec機能部402、内線電話収容機能部403、ユーザ管理部404、ルーティング機能部405、Ethernet I/F(406、407)を有する。
次に、接続先VPNゲートウェイ装置4の機能構成について説明する。図3に、接続先VPNゲートウェイ装置4の機能構成図を示す。図3に示すように、接続先VPNゲートウェイ装置4は、SIP−UA機能部401、IPsec機能部402、内線電話収容機能部403、ユーザ管理部404、ルーティング機能部405、Ethernet I/F(406、407)を有する。
SIP−UA機能部401は、接続先VPNゲートウェイ装置4を、ネットワーク6に接続されてそのネットワーク6により提供されるIP電話サービスを利用できるSIP端末として動作させる機能部である。より具体的には、SIP−UA機能部401は、MESSAGEリクエストのbody部を使用して、接続元VPNゲートウェイ装置1からのVPN接続要求の受け付け、VPN接続のための鍵情報の受け渡しを行う機能を有している。
IPsec機能部402は、IPsec(ESPトンネルモード)により接続先VPNゲートウェイ装置4と接続元VPNゲートウェイ装置1とをVPN接続させるための機能部である。また、IPsec機能部402は、IKEv1のレスポンダの機能を有し、モードコンフィグにより、接続元VPNゲートウェイ装置1に対してIPアドレスの払い出しを行うことができる。また、IPsec機能部402におけるIKEの認証(本人性確認)は、接続先VPNゲートウェイ装置4により生成した鍵情報を用いた事前共有鍵方式により行うことができる。もしくは、SIPメッセージにより交換された公開鍵を使用した公開鍵認証方式を用いて行うことができる。
また、NAPT越えを行う必要がある場合、IPsec機能部402は、Negotiation of NAT-Traversal in the IKE (RFC3974)やUDP encapsulation of IPsec Packets (RFC3948)をサポートしてもよい。
内線電話収容機能部403は、接続先VPNゲートウェイ装置4をボタン電話主装置として機能させる機能部であり、IPsec機能部402により生成されたVPN上で、接続元VPNゲートウェイ装置1を内線電話機として収容するための機能部である。
ユーザ管理部404は、VPN接続を受け入れるユーザ(接続元VPNゲートウェイ装置)の識別子を格納し、管理するための機能部である。本実施の形態では、この識別子として電話番号を使用している。ユーザ管理部404は、データを記憶するための記憶装置を含む機能部である。
ルーティング機能部405は、ネットワーク6側のインタフェース(Ethernet I/F406)、業務システム5側のインタフェース(Ethernet I/F407)、及び接続先VPNゲートウェイ装置4の各機能部相互間で、IPv4、IPv6の通信を行えるように、パケットのルーティング処理を行うための機能部である。
なお、接続先VPNゲートウェイ装置4は、CPU、記憶装置等を備えたコンピュータの構成を有する装置に、本実施の形態で説明した機能に対応したプログラムを搭載することにより実現される。また、本発明に係る処理は主にSIP-UA機能部401と、IPsec機能部402とにより実現されている。
つまり、SIP-UA機能部401とIPsec機能部402とを含む機能部は、接続元VPNゲートウェイ装置1から、VPN接続要求を含むSIPメッセージをSIPを用いて呼制御を行うIP電話網を介して受信したことに応じて、自身のIPアドレスを含むSIPメッセージをIP電話網を介して接続元VPNゲートウェイ装置1に送信するIPアドレス送信手段と、接続元VPNゲートウェイ装置1と通信を行うことにより、接続元VPNゲートウェイ装置1との間でVPN接続を行うVPN接続手段とを少なくとも有する。
また、事前共有鍵暗号方式に対応するために、前記VPN接続手段は、接続元VPNゲートウェイ装置1から、当該接続元VPNゲートウェイ装置1の識別子を含むVPN接続のためのパケットを受信し、当該パケットに含まれる前記識別子に基づき接続元VPNゲートウェイ装置1の宛先を特定し、VPN接続の過程で用いられる共有鍵を含むSIPメッセージをIP電話網を介して当該宛先に送信する共有鍵送信手段を有する。
また、公開鍵暗号方式に対応するために、前記IPアドレス送信手段は、接続元VPNゲートウェイ装置1から、当該接続元VPNゲートウェイ装置1の公開鍵とVPN接続要求とを含むSIPメッセージをIP電話網を介して受信する手段と、接続先VPNゲートウェイ装置4の公開鍵とIPアドレスとを含むSIPメッセージを、IP電話網を介して接続元VPNゲートウェイ装置1に送信する手段とを有し、前記VPN接続手段は、接続元VPNゲートウェイ装置1の公開鍵を用いてVPN接続のための処理を行う手段を有する。
(システムの動作)
次に、上記の構成を有するシステムにおける動作を図面を参照して詳細に説明する。以下では、事前共有鍵暗号方式を用いる場合の動作と、公開鍵暗号方式を用いる場合の動作のそれぞれについて説明する。
次に、上記の構成を有するシステムにおける動作を図面を参照して詳細に説明する。以下では、事前共有鍵暗号方式を用いる場合の動作と、公開鍵暗号方式を用いる場合の動作のそれぞれについて説明する。
<事前共有鍵暗号方式を用いる場合の動作>
まず、事前共有鍵暗号方式を用いて接続元VPNゲートウェイ装置1と接続先VPNゲートウェイ装置4間でVPNを構築する場合のシーケンスについて、図4〜図6を参照して説明する。なお、本例では、VPN接続においてIKEv1、Aggressiveモード、モードコンフィグを使用しているが、本発明はこれに限らず適用できる。
まず、事前共有鍵暗号方式を用いて接続元VPNゲートウェイ装置1と接続先VPNゲートウェイ装置4間でVPNを構築する場合のシーケンスについて、図4〜図6を参照して説明する。なお、本例では、VPN接続においてIKEv1、Aggressiveモード、モードコンフィグを使用しているが、本発明はこれに限らず適用できる。
接続元VPNゲートウェイ装置1を、家庭やSOHOの場所に設置してあるネットワーク接続装置3に接続し、起動する。接続元VPNゲートウェイ装置1は、まず、ネットワーク接続装置3の元でネットワーク6を利用するための設定処理を行う。図4に示す例では、DHCPによるIPアドレスの取得を行い(ステップ1)、IP電話サービスを受けるためのSIPに関する情報(接続元VPNゲートウェイ装置1が使うべき電話番号、SIP-UA機能部104に設定すべきパラメータ等)の取得を行い(ステップ2)、その後、IP電話サービスを利用可能とするためにネットワーク接続装置3に対してREGISTERリクエストにより登録処理を行う(ステップ3)。これらの処理は、ネットワーク接続装置3配下の装置がSIP通信を行えるようになるまでの通常の処理である。
続いて、接続元VPNゲートウェイ装置1は、接続先VPNゲートウェイ装置4に対してVPN接続をするための処理を行う。以下の処理において、SIPメッセージに関わる処理はSIP-UA機能部104、401が実行し、VPN接続のための処理(鍵生成、IKEパケットの送受信等)はIPsec機能部105、402が実行する。
まず、接続元VPNゲートウェイ装置1は、接続先VPNゲートウェイ装置4に対するアクセス先となるIPアドレスを取得するために、IP電話サービスにおいて提供されているメッセージングサービスに係るSIPメッセージ(SIP MESSAGEリクエスト)を送出する(ステップ4)。このとき、接続元VPNゲートウェイ装置1は、SIP MESSAGEリクエストの宛先として既知の接続先(接続先VPNゲートウェイ装置4)の電話番号を使用する。なお、この電話番号は、ユーザが接続元VPNゲートウェイ装置1に入力することとしてもよいし、接続元VPNゲートウェイ装置1の記憶装置に予め記憶しておき、それを読み出すこととしてもよい。
また、接続元VPNゲートウェイ装置1は、上記SIP MESSAGEリクエストのbody部に、当該メッセージがVPN接続を行う要求であることを示す情報と、IPsecで使用する識別子(IDi:IPsecのパケット中で使用する識別子、もしくはIPsecで使用しようとしているIPアドレス)を記載する。
なお、接続元VPNゲートウェイ装置1は、上記識別子をSIP MESSAGEリクエストのbody部に記載しなくてもよい。その場合、以降の処理では、当該識別子に相当する情報として、SIPリクエスト(SIP MESSAGEリクエスト)のヘッダの発信者情報を利用する。この発信者情報としては、IP電話網としてのネットワーク6がその確からしさ(詐称がないこと)をネットワークの機能として保証(担保)している情報を用いる。つまり、当該発信者情報を含むSIPメッセージを受信した受信側は、そのSIPメッセージが当該発信者情報に対応する正当な発信側から発信されたものであると信頼できる。そのような発信者情報としては、ネットワークによって異なるが、例えばFrom:ヘッダの情報、P-Asserted-Identity:ヘッダの情報等がある。本例では、当該発信者情報は発信者の電話番号であるものとする。
接続元VPNゲートウェイ装置1から送出されたSIP MESSAGEリクエストは、ネットワーク接続装置3により中継され、ネットワーク6を介して接続先VPNゲートウェイ装置4に到達する(ステップ4〜6)。
そして、接続先VPNゲートウェイ装置4は、SIP MESSAGEリクエストの受信を完了した旨を示す200OKレスポンスを返送するとともに(ステップ7〜9)、SIP MESSAGEリクエストのbody部の解析を行う。その結果、接続先VPNゲートウェイ装置4は、受信したSIP MESSAGEリクエストがVPN接続の要求であると判断する。
そして、接続先VPNゲートウェイ装置4は、SIP MESSAGEリクエストにおける前述した発信者情報に該当する部分(電話番号)がユーザ管理部404に登録されているかどうかを確認し、当該電話番号に対応するユーザが、VPN接続を行うことが許可された正当なユーザであるかどうかの判定を行う。ここでは、当該ユーザは、VPN接続を行うことが許可された正当なユーザであると判定されたものとする。
続いて、接続先VPNゲートウェイ装置4は、当該SIP MESSAGEリクエストに含まれるIPsecの識別子を、接続先VPNゲートウェイ装置4の電話番号と対応付けてユーザ管理部404に記録し、VPN接続において接続先VPNゲートウェイ装置4が使用することになる自信のIPアドレスをSIP MESSAGEリクエストのbody部に記載し、そのSIP MESSAGEリクエストを接続元VPNゲートウェイ装置1に送信する(ステップ10)。
接続元VPNゲートウェイ装置1は、接続先VPNゲートウェイ装置4から送出されたSIP MESSAGEリクエストを受信し(ステップ11〜13)、受信が完了したことを示す200OKレスポンスを返送するともに(ステップ14〜16)、当該メッセージのbody部の解析を行う。接続元VPNゲートウェイ装置1は、当該body部から、接続先VPNゲートウェイ装置4に対するVPN接続で使用するべきIPアドレスを抽出し、そのIPアドレスをIPsec部105に渡す(ステップ17)。
そして、接続元VPNゲートウェイ装置1は、そのIPアドレスに対してIPsecの接続開始要求(IKEフェーズ1の第1パケット)を送信する(図5のステップ18)。このパケットは、ネットワーク接続装置3、及びネットワーク6を介して接続先VPNゲートウェイ装置4に送信される。このパケットには、前述した識別子が含められる。また、前述した識別子を用いない場合には、発信者情報に該当する部分の情報(電話番号)が含められる。
接続先VPNゲートウェイ装置4は、受信したパケットの中の上記識別子、もしくは識別子として用いられる電話番号をユーザ管理部404から検索することにより、当該パケットが、先ほどIPアドレスを通知した先の接続元VPNゲートウェイ装置1からのIPsec接続開始要求であると判断する。
通常のIPsec通信であれば、この後、直ちにIKEフェーズ1の第2パケットを送出することになるが、本発明の実施の形態における接続先VPNゲートウェイ装置4は、鍵が必要になるこのタイミングで、本接続シーケンスのみに有効な認証情報を含むSIP MESSAGEリクエストを接続元VPNゲートウェイ装置1に対して送信することになる。
本例では、認証方式として、事前共有鍵暗号方式をとることとしているので、接続先VPNゲートウェイ装置4は、上記の認証情報として事前共有鍵(PSK:Pre-shared Key)を生成する(ステップ19)。また、接続先VPNゲートウェイ装置4は、電話番号でない上記識別子を用いる場合において、当該識別子に対応付けて格納されている接続元VPNゲートウェイ装置1の電話番号をユーザ管理部404から取得する。この電話番号はSIP MESSAGEリクエストの宛先として用いられる。識別子として電話番号を用いる場合は、ユーザ管理部404で確認された当該電話番号を用いる。
そして、接続先VPNゲートウェイ装置4は、事前共有鍵をSIP MESSAGEリクエストのbody部に記載し、接続元VPNゲートウェイ装置1に通知する。当該SIP MESSAGEリクエストは、ネットワーク6を介して確かに接続元VPNゲートウェイ装置1に到達する(ステップ20〜22)。この確かさはネットワーク6(IP電話網)におけるIP電話機能(SIP通信機能)により担保されているものである。
もし、ステップ18におけるIKEフェーズ1の第1パケットを、悪意の第三者が何らかの手段で知りえた情報に基づき生成し、それを接続先VPNゲートウェイ装置4に送信したとしても、当該悪意の第三者は、上記SIP MESSAGEリクエストに含まれる事前共有鍵を受け取ることができないので、当該第三者は、続くIPsecの接続シーケンスを完了することができず、不正アクセスを行うことはできない。また、接続元VPNゲートウェイ装置1では、想定しないタイミングでSIP MESSAGEリクエストが到達した場合に、不正に接続先VPNゲートウェイ装置4へのアクセスが行われたと判断することもできる。
接続先VPNゲートウェイ装置4は、200OKレスポンスを受信することにより(ステップ23〜25)、ステップ20において送信したSIP MESSAGEリクエストの到達を確認する。そして、IKEフェーズ1の第2パケットを送出することにより(ステップ26)、IPsecの接続シーケンスを継続する。
上記のようにして、接続先VPNゲートウェイ装置4が生成した事前共有鍵は、接続先VPNゲートウェイ装置4と接続元VPNゲートウェイ装置1とにより共有され、双方がそれぞれ、引き続くIPsec接続シーケンスで使用するための暗号鍵(SKEYID、その他の秘密対象鍵等)を生成することができる(ステップ27、28)。
引き続き、IKEフェーズ1の第3パケットの送信(ステップ29)、モードコンフィグによるIPアドレスの設定(図6のステップ30〜33)が行われ、更に、IKEフェーズ2のパケットの送受信が行われる(ステップ34〜36)。これにより、VPNのセッションが生成される(ステップ37)。つまり、接続元VPNゲートウェイ装置1と接続先VPNゲートウェイ装置4間でのIPsecに基づくVPNが構築される。
その後、接続元VPNゲートウェイ装置1は、当該VPN接続を用いることにより、ボタン電話主装置としての接続先VPNゲートウェイ装置4に対して内線電話機としての接続を行い(ステップ38)、セキュアに、ネットワーク6を介して遠隔で接続された内線子機として動作する(ステップ40)。
更に、接続元VPNゲートウェイ装置1は、その配下に接続されたPC端末2に対して、当該VPN接続(IPsec接続)で使用できるIPアドレスを払い出す(ステップ41)。これにより、PC端末2は、接続元VPNゲートウェイ装置1と接続先VPNゲートウェイ装置間4でのIPsecに基づくVPN接続を利用して、接続先VPNゲートウェイ装置4配下に存在する業務システム5のサービスを受けることができる(ステップ43〜48)。
上述したような処理を行うことにより、事前共有鍵暗号方式において、VPN接続を行う通信装置同士で予め事前共有鍵を事前に設定しておく必要がなくなる。また、本方式によれば、もとよりVPN接続毎に事前共有鍵を変更できるので、セキュリティその他の理由により事前共有鍵を変更する場合において従来は必要であった設定変更作業は不要になり、利便性・安全性が向上する。
<公開鍵暗号方式を用いる場合の動作>
次に、公開鍵暗号方式を用いて接続元VPNゲートウェイ装置1と接続先VPNゲートウェイ装置4間でVPNを構築する場合のシーケンスについて、図7、図8を参照して説明する。なお、本例でも、VPN接続においてIKEv1、Aggressiveモード、モードコンフィグを使用しているが、本発明はこれに限らず適用できる。
<公開鍵暗号方式を用いる場合の動作>
次に、公開鍵暗号方式を用いて接続元VPNゲートウェイ装置1と接続先VPNゲートウェイ装置4間でVPNを構築する場合のシーケンスについて、図7、図8を参照して説明する。なお、本例でも、VPN接続においてIKEv1、Aggressiveモード、モードコンフィグを使用しているが、本発明はこれに限らず適用できる。
まず、事前共有鍵暗号方式の場合と同様に、接続元VPNゲートウェイ装置1は、ネットワーク接続装置3の元でネットワーク6を利用するための設定処理を行う(ステップ1〜3)。続いて、接続元VPNゲートウェイ装置1は、接続先VPNゲートウェイ装置4に対してVPN接続をするための処理を行う。以下の処理において、SIPメッセージに関わる処理はSIP-UA機能部104、401が実行し、VPN接続のための処理(鍵生成、IKEパケットの送受信等)はIPsec機能部105、402が実行する。
まず、接続元VPNゲートウェイ装置1は、VPN接続要求等を含むSIP MESSAGEリクエストを送出する(ステップ4)。VPN接続要求のためにSIP MESSAGEリクエストを送出する点は事前共有鍵方式と同じであるが、公開鍵暗号方式では、IKEフェーズ1の第1パケット送出(すなわち、IPsec接続シーケンス開始)前にお互いの公開鍵を交換する必要がある。
従って、接続元VPNゲートウェイ装置1は、上記SIP MESSAGEリクエストのbody部に、当該メッセージがVPN接続を行う要求であることを示す情報と、IPsecで使用する識別子(IDi:IPsecのパケット中で使用する識別子、もしくはIPsecで使用しようとしているIPアドレス)とに加え、接続元VPNゲートウェイ装置1が保有する秘密鍵に対応した公開鍵の電文を記載する。
また、事前共有鍵方式の場合と同様に、接続元VPNゲートウェイ装置は、SIP MESSAGEリクエストのbody部に上記識別子を記載しなくてもよい。その場合、SIPリクエスト(SIP MESSAGEリクエスト)のヘッダにおける前述した発信者情報が上記識別子の代わりに用いられる。
接続元VPNゲートウェイ装置1から送出されたSIP MESSAGEリクエストは、ネットワーク接続装置3により中継され、ネットワーク6を介して接続先VPNゲートウェイ装置4に到達する(ステップ4〜6)。そして、接続先VPNゲートウェイ装置4は、SIP MESSAGEリクエストの受信を完了した旨を示す200OKレスポンスを返送するとともに(ステップ7〜9)、body部の解析を行う。その結果、接続先VPNゲートウェイ装置4は、受信したSIP MESSAGEリクエストがVPN接続の要求であると判断する。
そして、接続先VPNゲートウェイ装置4は、SIP MESSAGEリクエストにおける前述した発信者情報に該当する部分(電話番号)をユーザ管理部404により確認し、当該発信者情報が示すユーザが、VPN接続を行うことが許可された正当なユーザであるかどうかの判定を行う(ステップ10)。ここでは、当該ユーザは、VPN接続を行うことが許可された正当なユーザであると判定されたものとする。
続いて、接続先VPNゲートウェイ装置4は、当該SIP MESSAGEリクエストに含まれるIPsecの識別子を、接続元VPNゲートウェイ装置1の電話番号(発信者情報)に対応付けてユーザ管理部404に記録し、VPN接続において接続先VPNゲートウェイ装置4が使用することになる自身のIPアドレスと、接続先VPNゲートウェイ装置4が保有している秘密鍵に対応した公開鍵をSIP MESSAGEリクエストのbody部に記載し、そのSIP MESSAGEリクエストを接続元VPNゲートウェイ装置1に送信する(ステップ11〜13)。
なお、上記の処理における各公開鍵に関して、公開鍵を生成するには計算量が多くなるので、公開鍵を送信する装置は、事前に公開鍵を計算して保持しておいてもよいし、計算リソース(CPUの計算能力など)が十分にある場合は、セキュリティをより強固にするために、接続のたびに公開鍵の生成を行ってもよい。
接続元VPNゲートウェイ装置1におけるSIP-UA機能部は、接続先VPNゲートウェイ装置4から送出されたSIP MESSAGEリクエストを受信し、受信が完了したことを示す200OKレスポンスを返送するともに(ステップ14〜15)、当該メッセージのbody部の解析を行う。接続元VPNゲートウェイ装置1は、当該body部から、接続先VPNゲートウェイ装置4に対するVPN接続で使用するべきIPアドレスと、接続先VPNゲートウェイ装置4の公開鍵を取得し、それらをIPsec部105に渡す(ステップ17)。
そして、接続元VPNゲートウェイ装置1におけるIPsec部105は、そのIPアドレスに対してIPsecの接続開始要求(IKEフェーズ1の第1パケット)を送信する(図8のステップ18、19)。このパケットには、前述した識別子、もしくは発信者情報に該当する部分の情報(電話番号)が含められる。また、このとき、接続元VPNゲートウェイ装置1は、パケットの一部(IKEフェーズ1の第1パケットのIDペイロードおよびnonceペイロード)を接続先VPNゲートウェイ装置4の公開鍵で暗号化する(ステップ18)。
このパケットは、ネットワーク接続装置3、及びネットワーク3を介して接続先VPNゲートウェイ装置4に送信される(ステップ19)。
接続先VPNゲートウェイ装置4は、受信したパケットの一部(IKEフェーズ1の第1パケットのIDペイロードおよびnonceペイロード)を自身の秘密鍵で復号化する(ステップ20)。そして、パケット中の上記識別子、もしくは識別子として用いられる発信者情報に該当する部分(電話番号)をユーザ管理部404から検索することにより、先ほどIPアドレスを通知した先の接続元VPNゲートウェイ装置1からのIPsec接続開始要求であると判断する。
続いて、接続先VPNゲートウェイ装置4は、IKEフェーズ1の第2パケットを生成し、送信する(ステップ21、22)。このとき、接続先VPNゲートウェイ装置4は、当該パケットの一部(IKEフェーズ1の第2パケットのIDペイロードおよびnonceペイロード)を接続元VPNゲートウェイ装置1の公開鍵で暗号化する(ステップ21)。
接続元VPNゲートウェイ装置1は、上記パケットを受信し、受信したパケットの一部(IKEフェーズ1の第2パケットのIDペイロードおよびnonceペイロード)を自身の秘密鍵で復号化する(ステップ23)。
接続先VPNゲートウェイ装置4と接続元VPNゲートウェイ装置1はぞれぞれ、引き続くIPsec接続シーケンスで使用するための暗号鍵(SKEYID、その他の秘密対象鍵等)を生成し(ステップ24、25)、事前共有鍵方式の場合と同様のシーケンスが実行されて、VPN接続による通信が行われる。
本方式において、仮に、SIPによる公開鍵の交換を悪意の第三者が盗聴して利用しようとしても、第三者は、秘密鍵を有していないので、IKEパケットの復号化を行うことができず、IPsec接続シーケンスの継続に失敗するので、不正アクセスが行われることはない。なお、これはもともとの公開鍵暗号方式の特徴である。また、前述したように、おのおのの装置の計算リソースが十分である場合には、接続のつど秘密鍵と公開鍵を生成してもよい。
これによって、公開鍵暗号方式において、VPN接続を行う通信装置同士で予め公開鍵を事前に設定しておく必要がなくなる。また、本方式によれば、もとよりVPN接続毎に公開鍵を変更できるので、セキュリティその他の理由により公開鍵を変更する場合において従来は必要であった設定変更作業は不要になり、利便性・安全性が向上する。
以上説明したように、本発明の実施形態によれば、VPN接続を行う通信装置相互において、VPN接続に必要な認証情報等の情報を事前に自動的に設定することが可能となる。また、本発明の実施形態によれば、VPN接続毎に情報設定を行うことができるので、情報設定を変更するための作業が不要になり、利便性及び安全性が向上する。
以上説明したように、本発明の実施形態によれば、VPN接続を行う通信装置相互において、VPN接続に必要な認証情報等の情報を事前に自動的に設定することが可能となる。また、本発明の実施形態によれば、VPN接続毎に情報設定を行うことができるので、情報設定を変更するための作業が不要になり、利便性及び安全性が向上する。
更に、電気通信事業者が提供する、発信者情報(電話番号)を詐称できないIP電話網を利用して、SIPメッセージを用いて情報(IPアドレス、鍵情報)の送受信を行っているので、情報交換のために別途別のサーバ等を用意することなく、安全に情報の送受信を実施することができる。つまり、IPアドレスや鍵情報のSIPメッセージを用いた送受信において、SIPメッセージのヘッダに含まれる発信者電話番号を確認することにより、悪意の第三者によるIPアドレスや鍵情報の取得を防ぐことができる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
1 接続元VPNゲートウェイ装置
2 PC端末
3 ネットワーク接続装置
4 接続先VPNゲートウェイ装置
5 業務システム
6 ネットワーク
101 DHCPクライアント機能部
102 DHCPv6クライアント機能部
103 情報設定機能部
104 SIP−UA機能部
105 IPsec機能部
106 DHCPサーバ機能部
107 IPv6-NDP機能部
108 DHCPv6サーバ機能部
109 内線電話機能部
110 ボタン・表示器
111 ルーティング機能部
112、113 Ethernet I/F
401 SIP−UA機能部
402 IPsec機能部
403 内線電話収容機能部
404 ユーザ管理部
405 ルーティング機能部
406、407 Ethernet I/F
2 PC端末
3 ネットワーク接続装置
4 接続先VPNゲートウェイ装置
5 業務システム
6 ネットワーク
101 DHCPクライアント機能部
102 DHCPv6クライアント機能部
103 情報設定機能部
104 SIP−UA機能部
105 IPsec機能部
106 DHCPサーバ機能部
107 IPv6-NDP機能部
108 DHCPv6サーバ機能部
109 内線電話機能部
110 ボタン・表示器
111 ルーティング機能部
112、113 Ethernet I/F
401 SIP−UA機能部
402 IPsec機能部
403 内線電話収容機能部
404 ユーザ管理部
405 ルーティング機能部
406、407 Ethernet I/F
Claims (10)
- IP通信網を介して接続元通信装置と接続先通信装置とがVPN接続を行うためのVPN接続方法であって、
前記接続元通信装置が、VPN接続要求を含むSIPメッセージを、SIPを用いて呼制御を行うIP電話網を介して前記接続先通信装置に送信するVPN接続要求ステップと、
前記接続先通信装置が、当該接続先通信装置のIPアドレスを含むSIPメッセージを前記接続元通信装置に送信し、当該接続元通信装置が前記SIPメッセージを受信し、当該SIPメッセージから前記IPアドレスを取得するIPアドレス取得ステップと、
前記接続元通信装置が、前記IPアドレス取得ステップにおいて取得した前記IPアドレスを用いて、前記接続先通信装置と通信を行うことにより、VPN接続を行うVPN接続ステップと
を有することを特徴とするVPN接続方法。 - 前記VPN接続ステップは、
前記接続元通信装置が、当該接続元通信装置の識別子を含むVPN接続のためのパケットを前記接続先通信装置に対して送信するパケット送信ステップと、
前記接続先通信装置が、前記パケットを受信し、当該パケットに含まれる前記識別子に基づき前記接続元通信装置の宛先を特定し、VPN接続の過程で用いられる共有鍵を含むSIPメッセージを前記IP電話網を介して前記宛先に送信する共有鍵送信ステップと
を有することを特徴とする請求項1に記載のVPN接続方法。 - 前記VPN接続要求ステップにおいて、前記接続元通信装置は、自身の公開鍵と前記VPN接続要求とを含むSIPメッセージを、前記IP電話網を介して前記接続先通信装置に送信し、
前記IPアドレス取得ステップにおいて、前記接続先通信装置が、自身の公開鍵とIPアドレスとを含むSIPメッセージを、前記IP電話網を介して前記接続元通信装置に送信し、当該接続元通信装置が前記SIPメッセージを受信し、当該SIPメッセージから前記接続先通信装置の公開鍵とIPアドレスとを取得し、
前記VPN接続ステップにおいて、前記接続元通信装置と前記接続先通信装置とは互いに相手の公開鍵を用いてVPN接続を行うことを特徴とする請求項1に記載のVPN接続方法。 - 前記識別子は、前記IP電話網において前記接続元通信装置に付与されている電話番号であることを特徴とする請求項2に記載のVPN接続方法。
- IP通信網を介して接続先の通信装置とVPN接続を行う機能を有する通信装置であって、
SIPを用いて呼制御を行うIP電話網を介して前記接続先の通信装置にVPN接続要求を含むSIPメッセージを送信し、当該接続先の通信装置から当該接続先の通信装置のIPアドレスを含むSIPメッセージを前記IP電話網を介して受信するIPアドレス取得手段と、
前記IPアドレス取得手段により取得した前記IPアドレスを用いて、前記接続先の通信装置に対するVPN接続を行うVPN接続手段と
を備えたことを特徴とする通信装置。 - 前記VPN接続手段は、
前記通信装置の識別子を含むVPN接続のためのパケットを前記接続先の通信装置に対して送信するパケット送信手段と、
VPN接続の過程で用いられる共有鍵を含むSIPメッセージを前記IP電話網を介して前記接続先の通信装置から受信する共有鍵受信手段と
を有することを特徴とする請求項5に記載の通信装置。 - 前記IPアドレス取得手段は、
前記通信装置の公開鍵と前記VPN接続要求とを含むSIPメッセージを、前記IP電話網を介して前記接続先の通信装置に送信する手段と、
前記接続先の通信装置の公開鍵と前記IPアドレスとを含むSIPメッセージを、前記IP電話網を介して前記接続先の通信装置から受信する手段とを有し、
前記VPN接続手段は、前記接続先の通信装置の公開鍵を用いてVPN接続のための処理を行う手段を有することを特徴とする請求項5に記載の通信装置。 - IP通信網を介して接続元の通信装置とVPN接続を行うための通信装置であって、
前記接続元の通信装置から、VPN接続要求を含むSIPメッセージを、SIPを用いて呼制御を行うIP電話網を介して受信したことに応じて、自身のIPアドレスを含むSIPメッセージを前記IP電話網を介して前記接続元の通信装置に送信するIPアドレス送信手段と、
前記IPアドレスを取得した前記接続元の通信装置と通信を行うことにより、前記接続元の通信装置との間でVPN接続を行うVPN接続手段と
を有することを特徴とする通信装置。 - 前記VPN接続手段は、
前記接続元の通信装置から、当該接続元の通信装置の識別子を含むVPN接続のためのパケットを受信し、当該パケットに含まれる前記識別子に基づき前記接続元の通信装置の宛先を特定し、VPN接続の過程で用いられる共有鍵を含むSIPメッセージを前記IP電話網を介して前記宛先に送信する共有鍵送信手段を有することを特徴とする請求項8に記載の通信装置。 - 前記IPアドレス送信手段は、
前記接続元の通信装置から、当該接続元の通信装置の公開鍵と前記VPN接続要求とを含むSIPメッセージを、前記IP電話網を介して受信する手段と、
自身の公開鍵とIPアドレスとを含むSIPメッセージを、前記IP電話網を介して前記接続元の通信装置に送信する手段とを有し、
前記VPN接続手段は、前記接続元の通信装置の公開鍵を用いてVPN接続のための処理を行う手段を有することを特徴とする請求項8に記載の通信装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008109552A JP2009260847A (ja) | 2008-04-18 | 2008-04-18 | Vpn接続方法、及び通信装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008109552A JP2009260847A (ja) | 2008-04-18 | 2008-04-18 | Vpn接続方法、及び通信装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009260847A true JP2009260847A (ja) | 2009-11-05 |
Family
ID=41387662
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008109552A Pending JP2009260847A (ja) | 2008-04-18 | 2008-04-18 | Vpn接続方法、及び通信装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009260847A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010258883A (ja) * | 2009-04-27 | 2010-11-11 | Nec Access Technica Ltd | ゲートウェイ装置およびネットワーク接続方法 |
JP2019205021A (ja) * | 2018-05-22 | 2019-11-28 | ブラザー工業株式会社 | 通信装置と通信装置のためのコンピュータプログラム |
JP2019213005A (ja) * | 2018-06-01 | 2019-12-12 | 甲賀電子株式会社 | NGNを介してIPv6によるピア・ツー・ピア通信を行う方法 |
-
2008
- 2008-04-18 JP JP2008109552A patent/JP2009260847A/ja active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010258883A (ja) * | 2009-04-27 | 2010-11-11 | Nec Access Technica Ltd | ゲートウェイ装置およびネットワーク接続方法 |
JP2019205021A (ja) * | 2018-05-22 | 2019-11-28 | ブラザー工業株式会社 | 通信装置と通信装置のためのコンピュータプログラム |
JP7115027B2 (ja) | 2018-05-22 | 2022-08-09 | ブラザー工業株式会社 | 通信装置と通信装置のためのコンピュータプログラム |
US11733939B2 (en) | 2018-05-22 | 2023-08-22 | Brother Kogyo Kabushiki Kaisha | Communication device configured to establish wireless connection between communication device and external device, non-transitory computer-readable medium storing computer-readable instructions for such communication device and method executed by such communication device |
JP7392776B2 (ja) | 2018-05-22 | 2023-12-06 | ブラザー工業株式会社 | 通信装置と通信装置のためのコンピュータプログラム |
JP2019213005A (ja) * | 2018-06-01 | 2019-12-12 | 甲賀電子株式会社 | NGNを介してIPv6によるピア・ツー・ピア通信を行う方法 |
JP6995365B2 (ja) | 2018-06-01 | 2022-01-14 | 甲賀電子株式会社 | NGNを介してIPv6によるピア・ツー・ピア通信を行う方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Tschofenig et al. | Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things | |
JP5496907B2 (ja) | セキュアな通信のための鍵管理 | |
US8312532B2 (en) | Connection supporting apparatus | |
EP2335391B1 (en) | Key management in a communication network | |
US20060274899A1 (en) | System and method for secure messaging with network address translation firewall traversal | |
US20060072569A1 (en) | Network address translation protocol for transmission control protocol connections | |
US20070198837A1 (en) | Establishment of a secure communication | |
EP1374533B1 (en) | Facilitating legal interception of ip connections | |
CN102668497B (zh) | 允许电信网络中的安全通信而免于服务的拒绝(DoS)和浸灌攻击的方法和装置 | |
EP1875709A1 (en) | Establishment of a secure communication | |
JPWO2008146395A1 (ja) | ネットワーク中継装置、通信端末及び暗号化通信方法 | |
JP4848052B2 (ja) | Vpnによる秘匿通信方法、そのシステム、そのプログラム、並びに、そのプログラムの記録媒体 | |
JP2005204086A (ja) | 移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバ | |
CN102231725B (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
WO2011041962A1 (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
Fossati | RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things | |
WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
US20170207921A1 (en) | Access to a node | |
GB2411086A (en) | Secure communication between terminals over a local channel using encryption keys exchanged over a different network | |
JP2009260847A (ja) | Vpn接続方法、及び通信装置 | |
JP4555311B2 (ja) | トンネル通信システム、制御装置およびトンネル通信装置 | |
EP1532793A1 (en) | Served initiated authorised communication in the presence of network address translator (nat) or firewalls | |
JP2009038512A (ja) | 暗号化情報通信装置、暗号化情報通信システム、暗号化情報通信方法及びプログラム | |
JP2003152805A (ja) | 公衆アクセスシステムおよび装置、サーバ | |
JP5746774B2 (ja) | セキュアな通信のための鍵管理 |