JP2009517923A - 企業間のリモートネットワーク接続 - Google Patents
企業間のリモートネットワーク接続 Download PDFInfo
- Publication number
- JP2009517923A JP2009517923A JP2008542422A JP2008542422A JP2009517923A JP 2009517923 A JP2009517923 A JP 2009517923A JP 2008542422 A JP2008542422 A JP 2008542422A JP 2008542422 A JP2008542422 A JP 2008542422A JP 2009517923 A JP2009517923 A JP 2009517923A
- Authority
- JP
- Japan
- Prior art keywords
- consultant
- customer
- network
- employer
- gateway controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Game Theory and Decision Science (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Educational Administration (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
定期的に顧客の所で働くサポート要員とコンサルタントのために、雇用主のネットワークへの接続を提供するためのシステム。顧客の所にいるこれらのユーザが、彼らの企業、その他の所の電子メール、参考資料、特定のアプリケーションデータベースにアクセスする目的のため、彼らのそれぞれの雇用主のネットワークに接続するための安全なネットワークのメカニズムが提供される。複数のVPNは、顧客の場所内の伝送と、セキュリティを保持し、顧客の場所で、ネット接続を通して制御するための雇用主のサーバへの伝送と、のために提供される。顧客の場所では、データを検査し、それらの施設から何が出るかを制御することができる、一方、コンサルタント雇用主ネットワークは、彼ら自身のネットワークへのユーザアクセスを制御可能である。自分の雇用主のネットワーク内で共通のサーバ名を探しているコンサルタントが、ローカルな顧客のサーバ接続の代わりに正しい接続を得ることができるように、ネームサーバ情報は、異なるネットワーク間をも転送される。
Description
関連出願の相互参照
この出願は、この中に、全体の公開が、参照によって組み込まれた、同時継続の仮特許出願シリアルNo.60/739,752表題「企業間のリモートネットワーク接続」、2005年11月23日出願、の利益を主張する。
この出願は、この中に全体の公開が参照によって組み込まれた、米国特許出願シリアル番号10/385,479表題「統合されたリモートツールのアクセス、データ収集、そして制御のための診断システムと方法」、2003年3月12日出願と、米国特許出願シリアル番号10/385,442表題「統合されたリモートツールのアクセス、データ収集、そして制御のためのデータ共有とネットワーキングシステム」、2003年3月12日出願とに関する。
この出願は、この中に、全体の公開が、参照によって組み込まれた、同時継続の仮特許出願シリアルNo.60/739,752表題「企業間のリモートネットワーク接続」、2005年11月23日出願、の利益を主張する。
この出願は、この中に全体の公開が参照によって組み込まれた、米国特許出願シリアル番号10/385,479表題「統合されたリモートツールのアクセス、データ収集、そして制御のための診断システムと方法」、2003年3月12日出願と、米国特許出願シリアル番号10/385,442表題「統合されたリモートツールのアクセス、データ収集、そして制御のためのデータ共有とネットワーキングシステム」、2003年3月12日出願とに関する。
発明の技術分野
本発明は、恒常的に顧客先で働く個人とコンサルタントをサポートするために、雇用主のネットワークへの接続を提供し、特に、雇用主と顧客の立場の両方から安全な方法でそのような接続を提供することに関する。
本発明は、恒常的に顧客先で働く個人とコンサルタントをサポートするために、雇用主のネットワークへの接続を提供し、特に、雇用主と顧客の立場の両方から安全な方法でそのような接続を提供することに関する。
VPN接続は、産業において普及しており、これは、ユーザが、一般的なインターネットアクセスにより、ホームネットワークから雇用主のネットワークに安全な方法で接続することを可能にする。しかしながら、例えば顧客の施設などの企業内からのインターネット接続は、通常セキュリティのため少しのポート(普通は、HTTPのためのポート80)に制限されており、訪問者が、遠隔にある訪問者の雇用主の“ホーム”オフィスにある、メールや他のアプリケーションにアクセスすることを要求する他の活動は許されない。要求されるVPNアクセスは、通常、顧客のもとで働く、ベンダ、コンサルタント、そして他の企業からのサポート要員には許されない。もし、VPN接続が許されると、顧客の場所からコンサルタント雇用主ネットワークに、通常どのデータも流れ、それ故に、顧客の立場からは安全ではない。
それで、必要なのは、顧客の場所に訪問している要員によって、その要員自身の企業のインターネットに、両方の企業が信用できる安全な方法でアクセスが許される改良された方法である。
本発明は、上記の特定された問題の1つ以上を解決することに関する。
本発明は、顧客の所にいるユーザ/コンサルタントを、彼らの“ホーム”企業にある、電子メール、参考資料、そして専門のアプリケーションデータベースにアクセスするために、彼らの雇用主のネットワークに接続するための安全なネットワークメカニズムを提供する。特に、本発明は、このネットワーク接続が、企業のルールに基づいて行われることを可能にし、機密に属する情報が、顧客の場所の外に転送される可能性を減少させるために、中央システムによって、ログインされ、制御される。
本発明のシステムの主要なコンポーネントは、専門のネットワークルータであり、その専門のネットワークルータは、常連のビジターに、彼らの雇用主の企業内ネットワークにアクセスすることを許可している間、外部の脅威にさらされることを制限することを、ホスト企業に許可する。これは、ネットワークを通じてネットワークネームサーバの機能を保っている間、適切に通信の道順を決める一組のルータ/VPNサーバを使用することによって成し遂げられる。本発明の主要な要素は、中央システム経由でルータシステムを制御する能力であり、その時点での状況に基づいて制御されるダイナミックアクセスネットワークである。
本発明の目的は、顧客のところで恒常的に働く要因やコンサルタントをサポートするために雇用主のネットワークへの安全な接続を提供することである。
本発明の更なる目的は、雇用主と顧客の両方の立場から安全な方法でそのような接続の提供を提供することである。
本発明の更なる目的は、雇用主と顧客の両方の立場から安全な方法でそのような接続の提供を提供することである。
本発明の更なる目的は、常連のビジターに、彼らの雇用主の企業内ネットワークにアクセスすることを許可している間、外部の脅威にさらされることを制限することを、ホスト企業に許可する、安全な接続を提供することである。
本発明の他の目的、特徴、そして効果は、明細書、図、そして添付の請求項の検討から得ることができる。
本発明の他の目的、特徴、そして効果は、明細書、図、そして添付の請求項の検討から得ることができる。
図面の簡単な説明
上述の、本発明の他の特徴と利点は、添付の図面に示されているように、以下の、本発明の好適な実施例のより詳細な説明から明白である。添付の図面の同一の参照番号は、一般的に同一の、機能的に似た、そして/または構造的に似た要素を示している。
図1は、標準的なウェブアクセスネットワークの構成を表している。
図2は、企業間の標準的なVPN接続を表している。
図3は、本発明の一実施例の通信量制御ハブを有する独創的な企業−企業間接続性の発明を表している。
図4は、本発明のコンポーネントのフロー相互作用図を表している。
図5は、本発明の、システムとコンポーネントの相互作用の構造図を表している。
図6は、本発明の、三つの異なった顧客環境内に接続されたクライアントワークステーションの構造図を表している。
図7は、複数のユーザを有する本発明のシステムの完全な実施を表している。
図8は、本発明の他の実施例に係るVPN接続の制御を付加した本発明のシステムを表している。
上述の、本発明の他の特徴と利点は、添付の図面に示されているように、以下の、本発明の好適な実施例のより詳細な説明から明白である。添付の図面の同一の参照番号は、一般的に同一の、機能的に似た、そして/または構造的に似た要素を示している。
図1は、標準的なウェブアクセスネットワークの構成を表している。
図2は、企業間の標準的なVPN接続を表している。
図3は、本発明の一実施例の通信量制御ハブを有する独創的な企業−企業間接続性の発明を表している。
図4は、本発明のコンポーネントのフロー相互作用図を表している。
図5は、本発明の、システムとコンポーネントの相互作用の構造図を表している。
図6は、本発明の、三つの異なった顧客環境内に接続されたクライアントワークステーションの構造図を表している。
図7は、複数のユーザを有する本発明のシステムの完全な実施を表している。
図8は、本発明の他の実施例に係るVPN接続の制御を付加した本発明のシステムを表している。
この中で使用される時、以下の用語は、以下の意味を持つ。
“カスタマー”:カスタマーは、特定の企業施設である。たとえカスタマーの従業員ではなくても、他のサプライヤーは、この場所に存在し、このネットワークに接続されてもよい。
“コンサルタント”:カスタマーの施設にいることが必要なだけでなく、彼ら自身の雇用主のネットワークとアプリケーションにアクスすることが必要な、カスタマー以外の企業の使用人。
“カスタマー”:カスタマーは、特定の企業施設である。たとえカスタマーの従業員ではなくても、他のサプライヤーは、この場所に存在し、このネットワークに接続されてもよい。
“コンサルタント”:カスタマーの施設にいることが必要なだけでなく、彼ら自身の雇用主のネットワークとアプリケーションにアクスすることが必要な、カスタマー以外の企業の使用人。
“認証”:個人を確認する方法(共通の方法は、ユーザIDとパスワードである。)。
“承認”:例えばファイルの転送などの、個人がすることを許される内容を決定する方法。
“DHCP”:Dynamic Host Configuration Protocol コンピュータが、ネットワークに接続されたとき、ネットワークアドレスをそのコンピュータに動的に付与する手順。
“承認”:例えばファイルの転送などの、個人がすることを許される内容を決定する方法。
“DHCP”:Dynamic Host Configuration Protocol コンピュータが、ネットワークに接続されたとき、ネットワークアドレスをそのコンピュータに動的に付与する手順。
“DNSネーム”:ドメイン(例えば、“mailman.ilstechnology.com”)を含んだ完全に正規のホストネーム。
“eCentre”:安全な共同のために使用されるアプリケーション。これに関連して、それは、他の機能を提供するために本発明とともに使用されることができるサンプルアプリケーションである。
“eCentre”:安全な共同のために使用されるアプリケーション。これに関連して、それは、他の機能を提供するために本発明とともに使用されることができるサンプルアプリケーションである。
“ホストネーム解決テーブル”:ホストネームに使われる物理的IPを特定する目的のための、コンピュータアドレスとそれらの名前のリスト。これは、標準的なネットワークに共通であるが、正しいネットワーク内で正しいシステムを解決するために複数のネットワーク内で使用されるシステムには、より致命的でさえある。
“インターネットプロトコルアドレス(IP)”:システムのインターネットアドレス(例えば、“192.168.1.19”など)。
“IPSec”:安全な通信のための標準プロトコル。
“システムのネーミング”:ネットワークコンピュータの名前と、関連したアドレス。
“ネットワークマッピング(NATing)”:二つの異なったネットワークの間でネットワークアドレスを位置づけるために使用される手順。
“IPSec”:安全な通信のための標準プロトコル。
“システムのネーミング”:ネットワークコンピュータの名前と、関連したアドレス。
“ネットワークマッピング(NATing)”:二つの異なったネットワークの間でネットワークアドレスを位置づけるために使用される手順。
“特権”:例えばVPNアクセスなどのサービスへのユーザアクセスの許可又は拒絶をするためのアドミニストレータによって設定される許諾。アクセス特権の設定によって、アドミニストレータが、機密データへのユーザアクセスを制御する。
“サービスネット”:多地点−多地点VPN接続サービスに基づいたハブの特有の実施。
“サービスネット”:多地点−多地点VPN接続サービスに基づいたハブの特有の実施。
“システムネットワークアドミニストレータ”:顧客施設の従業員である特別な種類の個人。顧客システムのネットワークアドミニストレータ(又は、単にネットワークアドミニストレータ)は、ルータ、ファイアウオール、そしてそれらのアクセス制御リストを設定し、管理する責任がある。アドミニストレータは、ユーザパスワードとアクセス特権の割り当ても行い、管理職務を適切に委任する。
“バーチャルプライベートネットワーク(VPN)”:企業の外にいるユーザとその企業内部との間の安全な方法による接続。
“バーチャルプライベートネットワーク(VPN)”:企業の外にいるユーザとその企業内部との間の安全な方法による接続。
本発明の様々な実施形態は、下記に詳細に論じられている。具体的で典型的な実施例が論じられているが、これは、単に実例の目的だけのために成されたと理解すべきである。この関連した技術に精通した者は、本発明の精神と目的から離れることなく、他の要素や構成が使用されることができることを認識できるであろう。
従来のアプローチ
顧客の所で働き、ホームネットワークとシステムにアクセスすることが必要なサポート又はコンサルタント要員のために、今日では、いくつかの接続の選択が可能である。下記に記載していない他の接続の選択があるかもしれない、しかし、これらは、最も共通の実施である。実施例の目的として、我々は、コンサルタントが、彼らの雇用主のネットワークに備えられている電子メールシステムと特定のアプリケーションサーバの両方にアクセスしなくてはならないと仮定する。
顧客の所で働き、ホームネットワークとシステムにアクセスすることが必要なサポート又はコンサルタント要員のために、今日では、いくつかの接続の選択が可能である。下記に記載していない他の接続の選択があるかもしれない、しかし、これらは、最も共通の実施である。実施例の目的として、我々は、コンサルタントが、彼らの雇用主のネットワークに備えられている電子メールシステムと特定のアプリケーションサーバの両方にアクセスしなくてはならないと仮定する。
オプション1:ウェブ上で可能とされるホストシステムへの接続。
しかしながら、これは、雇用主のネットワークのメールシステムとアプリケーションシステムが、ウェブブラウザアクセス(通常ポート80のHTTP)を可能にするユーザインタフェースを有しているときのみ成されることができる。雇用主の企業は、彼らのローカル企業ネットワークの中よりもむしろインターネットからこれらのサーバが見られることも可能にしなければならない。従って、これらは、セキュリティの問題にさらされる。
しかしながら、これは、雇用主のネットワークのメールシステムとアプリケーションシステムが、ウェブブラウザアクセス(通常ポート80のHTTP)を可能にするユーザインタフェースを有しているときのみ成されることができる。雇用主の企業は、彼らのローカル企業ネットワークの中よりもむしろインターネットからこれらのサーバが見られることも可能にしなければならない。従って、これらは、セキュリティの問題にさらされる。
図1は、そのような接続の標準的な実施を示している。この構成において、コンサルタントは、彼らのワークステーション100とインターネットウェブブラウザとを顧客のネットワークに接続し、顧客のゲートウエイ301を通して外部のインターネットに接続され、それから、彼らのメール210又はアプリケーション212システムのためのホストのホームページに接続するために、コンサルタントのゲートウエイ401に接続される。
このソリューションの問題として、以下を含む。
1)企業は、彼らの内部のシステムをインターネットにさらすことを好まない。
2)多くのアプリケーションは、このアプローチのために使用されるインターフェースのウェブブラウザを有していない。
3)企業は、インターネットを使用するためにパブリックIPを取得しなくてはならない。
1)企業は、彼らの内部のシステムをインターネットにさらすことを好まない。
2)多くのアプリケーションは、このアプローチのために使用されるインターフェースのウェブブラウザを有していない。
3)企業は、インターネットを使用するためにパブリックIPを取得しなくてはならない。
オプション2a:他の共通のオプションは、図2に示すように、標準的なサイト間VPN接続を作り出すことである。
この場合は、企業の両方は、コンサルタントが、彼らの雇用主の企業ネットワークと関係するアプリケーションとにアクセスできるように、二つの企業ネットワークの間の直接の企業間VPN600接続を許可するために、顧客のゲートウエイ301内のVPN600aを有するファイアウオールと、コンサルタントのゲートウエイ401内のVPN600bを有するファイアウオールとを、設定する。
この場合は、企業の両方は、コンサルタントが、彼らの雇用主の企業ネットワークと関係するアプリケーションとにアクセスできるように、二つの企業ネットワークの間の直接の企業間VPN600接続を許可するために、顧客のゲートウエイ301内のVPN600aを有するファイアウオールと、コンサルタントのゲートウエイ401内のVPN600bを有するファイアウオールとを、設定する。
しかしながら、この実施に付属する問題がある。それは以下を含む。
1)制御は、ポートレベルだけである。
VPN中の通信の内容の制御ができない;言い換えると、どんな通信も行うことができる。これは、それぞれの団体にとって安全でない。
2)それぞれのパートナーのために、VPN接続かポートを分けることが要求される。
それは、単一の接続に最適化されており、複数のコンサルタントとベンダーパートナーのための、その複数の場合を有さなければならない。これは、個人の基盤によって、個人で何とかやってゆくのは、難しいところがある。
3)顧客ネットワークとコンサルタントのホームネットワークとの間で、IPアドレスの競合が起きるかもしれない。そのサイトの間には、DNS解決のメカニズムが無い。アプリケーションは、それらの雇用主のシステムにアクセスするために再設定されることが必要である。
4)コンサルタントの雇用主のサイトは、彼らの顧客のネットワーク内から接続されることが、有効なパスワードを提供できる誰にでも可能になる。
5)コンサルタントは、ユーザシステムを匿名にするDHCPアドレス指定を使用して、一般的に接続される。もし、そのシステムが、固定IPアドレスを設定されていたなら、それは、複数の顧客の所(それらは、異なったサブネットアドレスの仕組みを有するので、彼らのネットワーク内で同じアドレスをすべてに割り当てないであろう。)では動作しないだろう。
1)制御は、ポートレベルだけである。
VPN中の通信の内容の制御ができない;言い換えると、どんな通信も行うことができる。これは、それぞれの団体にとって安全でない。
2)それぞれのパートナーのために、VPN接続かポートを分けることが要求される。
それは、単一の接続に最適化されており、複数のコンサルタントとベンダーパートナーのための、その複数の場合を有さなければならない。これは、個人の基盤によって、個人で何とかやってゆくのは、難しいところがある。
3)顧客ネットワークとコンサルタントのホームネットワークとの間で、IPアドレスの競合が起きるかもしれない。そのサイトの間には、DNS解決のメカニズムが無い。アプリケーションは、それらの雇用主のシステムにアクセスするために再設定されることが必要である。
4)コンサルタントの雇用主のサイトは、彼らの顧客のネットワーク内から接続されることが、有効なパスワードを提供できる誰にでも可能になる。
5)コンサルタントは、ユーザシステムを匿名にするDHCPアドレス指定を使用して、一般的に接続される。もし、そのシステムが、固定IPアドレスを設定されていたなら、それは、複数の顧客の所(それらは、異なったサブネットアドレスの仕組みを有するので、彼らのネットワーク内で同じアドレスをすべてに割り当てないであろう。)では動作しないだろう。
オプション2b:この場合は、企業は、上記オプション2aで述べられた、サイト間VPN接続を使用することができ、制限された一組のシステムアドレス、またはIPの間のアクセス許可を更に制限する。これは、限られたシステムだけを外部にさらす、理論的には、しかし、ユーザは、他のシステムにテルネットするための元の接続をまだ使用することができ、そして、元々アクセスを対象としてない他のシステムにアクセスを増やすことができる。
それ故に、代替解決法に必要なことは、例えば、ここで述べられている、本発明の企業間リモートネットワーク接続システムなどである。それは、エンドユーザのために標準的なVPN接続を模倣し、2つのキーとなる改良点も提供する環境を作り出す。
1)それぞれのデータパケットの検査と動作の制御を通したよりよい安全性;そして、
2)ネーミング問題が透過的に解決されるクライアントへのホストネーム解決テーブル、そして同じサブネットネーミングの仕組み(例えば、“192.168.1.x”)を有する複数のネットワークをも可能にする。
1)それぞれのデータパケットの検査と動作の制御を通したよりよい安全性;そして、
2)ネーミング問題が透過的に解決されるクライアントへのホストネーム解決テーブル、そして同じサブネットネーミングの仕組み(例えば、“192.168.1.x”)を有する複数のネットワークをも可能にする。
発明の企業間接続
図3に示すように、本発明の企業−企業ネットワーク接続は、企業間の標準的なVPNを可能にするコンポーネントを有している。それは、追加のハードウエア(“HW”)とソフトウエア(“SW”)を含んでおり、それらは、システムの付加された動的な制御を提供するためにVPNとともにライン内にインストールされている。それには、より良い制御のために、全体の流れの中で互いにリンクされた一組のVPNを用いる。
図3に示すように、本発明の企業−企業ネットワーク接続は、企業間の標準的なVPNを可能にするコンポーネントを有している。それは、追加のハードウエア(“HW”)とソフトウエア(“SW”)を含んでおり、それらは、システムの付加された動的な制御を提供するためにVPNとともにライン内にインストールされている。それには、より良い制御のために、全体の流れの中で互いにリンクされた一組のVPNを用いる。
コンサルタントは、顧客のネットワークに彼/彼女のワークステーション100を更に接続し、特に、延長した顧客の安全なゲートウエイコントローラ300に接続する。本発明中には、端末相互間のセキュリティとパケット詳細の検査とを提供することが付与される複数のVPN700、800、そして900がある。これらの働きは、トラフィックコントロールハブ500によって制御され、IPマップDB530のドメイン名マッピング情報をつけて拡張される。
ステップ4(図4−5参照)で使用されるVPN2接続800と、ステップ6(図4−5参照)で使用されるVPN3接続900とは、トラフィックコントロールハブ500と、カスタマVPNサーバ300と、コンサルタントVPNサーバ400のオリジナルの設定と構成の間、セットアップされる。
図4は、コンサルタントワークステーション100をセットアップし、接続するためのフロー図を示している。ステップ1では、コンサルタントは、彼の/彼女のワークステーション100を顧客のネットワーク300に接続し、DHCP経由で彼/彼女にネットワークIPアドレスが割り振られる。この例では、ネットワークIPアドレスは、“192.168.1.22”であるかもしれない。通常のDHCP動作の一部としても、ワークステーション100は、ネーム解決を提供するための顧客のネットワーク上のローカルDNS(Domain Name Server)を割り当てられる。本発明の一部である次のステップのように、ドメイン名を解決する第2の方法は、ワークステーション100に加えられる(即ち、ネーム解決テーブル)。これは、コンサルタントワークステーション100が彼らの雇用主のホームネットワーク上のシステムへの経路を、解決、または、決定することを可能にするだろう。
ステップ2では、コンサルタントは、ローカルな顧客の安全なゲートウエイコントローラ300とVPN700b(図3参照)とに接続するVPN700a(図3参照)の彼/彼女の部分を起動する。接続プロセスの部分のように、コンサルタントのクライアントワークステーション100は、証明書を提示し、コンサルタントは、パスワードを入力する、そして、特定のポート上の、顧客の安全なゲートウエイコントローラ300に、リクエストが作られる。情報のこれらの一部分は、ステップ3でトラフィックコントロールハブ500に転送されることができ、トラフィックコントロールハブ500は、ローカルリストと証明書に基づいて、それらを照合する。コンサルタントのユーザ情報は、ステップ5と6に示すように、ユーザ確認のため外部のサーバでチェックされても良い。その確認は、ステップ7で、ワークステーション100に戻され、VPN1 700を確立するために要求されるステップを完成する。
それから、ステップ8と9では、追加されたデータは、安全なゲートウエイコントローラ300からコンサルタントワークステーション100に転送される。このデータは、例えば、“10.10.20.22”のようなサブネットアドレスと、要求されるネーム解決テーブルとを新たに割り当てられる。その要求されるネーム解決テーブルは、コンサルタントワークステーション100が、例えば、“mail.ilstechnology.com”のような完全に正規のドメインネームによって参照されるサーバに接続するリクエストをすることを可能にし、前記データは、顧客のネットワーク内の同じ名前を有するかもしれないサーバの代わりに、彼/彼女のホームネットワーク内の正しいサーバに到着する。
通常の形態のサブネットアドレスは、“10.10.20.x”によって表示され、“10.10.20”は、サブネットを定義し、“x”部分は、特にワークステーション100を表示する。異なったサブネットアドレスを有する複数のワークステーションは、それ故、同じサブネットを使用してもよい。同じ雇用主からのコンサルタントは、彼らがいる顧客の場所にかかわらず同じサブネットを使用するだろうから、通常は、サブネットは、コンサルタントの雇用主にとってただ一つであろう。しかしながら、たとえサブネットが様々なコンサルタントの雇用主に特有のものでないとしても、本発明のシステムが、まだ完全に動作可能であることを、当業者は、高く評価するだろう。
ステップ8において、安全なゲートウエイコントローラ300は、特定のサブネット上の論理的な新しいアドレスをそのコンサルタントワークステーション100に割り当てる。要するに、仮想的なトンネルが、情報の転送のために造り出される。この新しいアドレスのサブネットは、コンサルタントの供給元の名前に関連づけることができる。この例において、(VPN環境を含んだ)ワークステーション100の第2のアドレスは、“10.10.20.22”であることができる。このサブネットアドレスは、どの顧客の場所から始まったかを問わず、いつもこのアドレスを得ることができるように、特定のユーザのコンサルタントのために固定されることができる。
これは、彼らが、IPアドレスによる制限を有するかもしれないアプリケーションへのアクセスを増加させることを可能にする。この例において、顧客のDHCPによって元々割り当てられた“192.168.1.22”のアドレスは、変更されない状態を保つ。コンサルタントワークステーション100は、今、2つのDNSリファレンスを有する。1つは、顧客のネットワークのための、もう1つは、雇用主のホームネットワークのためのものである。
ステップ9において、ドメイン名の解決のための第2の方法は、トラフィックコントロールハブ500から顧客の安全なゲートウエイコントローラ300を通してコンサルタントワークステーション100に戻ってくるコンサルタントのためのローカルネーム解決テーブルを作り出すことによって構築される。
トラフィックコントロールハブ500からのネームサーバの定義は、コンサルタントワークステーション100に加えられる。コンサルタントのアプリケーションサーバの名前と、コンサルタント雇用主ネットワークを示すように設定されたワークステーション100の関連するアドレス(IP)とは、変更されない状態を保ち、雇用主のネットワークへのトンネルの連結を通して自動的に道順を決められる。ネーム解決テーブルのコピーは、それらがコントローラ300からコンサルタントワークステーション100に、トラフィックコントロールハブ500にリクエストすることなく直接送られることができるように、顧客の安全なゲートウエイコントローラ300上に保持される。これらのローカルコピーは、一定の間隔で、または、変更に基づいて、更新される。
代わりの方法は、雇用主のネットワーク上のサーバを示す、第2のドメインネームサーバへの参加をワークステーション100に加えることである。
ステップ10では、コンサルタントワークステーション100は、ホームメールシステムへ接続することを要求する。このリクエストは、VPN1トンネル700(図3参照)を通して顧客の安全なゲートウエイコントローラ300に行く。ステップ11では、顧客の安全なゲートウエイコントローラ300は、リクエストを、VPN2トンネル800(図3参照)を通してトラフィックコントロールハブ500に渡す。
ステップ10では、コンサルタントワークステーション100は、ホームメールシステムへ接続することを要求する。このリクエストは、VPN1トンネル700(図3参照)を通して顧客の安全なゲートウエイコントローラ300に行く。ステップ11では、顧客の安全なゲートウエイコントローラ300は、リクエストを、VPN2トンネル800(図3参照)を通してトラフィックコントロールハブ500に渡す。
ステップ11では、顧客の安全なゲートウエイコントローラ300から中央のトラフィックコントロールハブ500への時に、他のVPN2 800が利用される。
特定の顧客のサイトからの全てのトラフィックは、トラフィックコントロールハブ500上の同じポートに道順を決められる。
顧客の安全なゲートウエイコントローラ300の最初のスタートアップの間、コントローラ300は、身元を証明するためにハブ500にx509の証明書を渡す。
特定の顧客のサイトからの全てのトラフィックは、トラフィックコントロールハブ500上の同じポートに道順を決められる。
顧客の安全なゲートウエイコントローラ300の最初のスタートアップの間、コントローラ300は、身元を証明するためにハブ500にx509の証明書を渡す。
トラフィックコントロールハブ500は、通信の連鎖の中で、リクエストに返答し、第2のVPN2 800を構築する。
これは、他のコンサルタントワークステーション100が、外部のアクセスを要求するたびに使用されるVPN2 800トンネルを造り出す。
トラフィックコントロールハブ500は、ステップ12では、ローカルテーブル中の行き先の情報を調べ、ステップ13では、その情報を、コンサルタントの雇用主の安全なゲートウエイコントローラ400へのVPN3トンネル900(図3参照)を通して、ローカルネットワークシステムに転送する。
これは、他のコンサルタントワークステーション100が、外部のアクセスを要求するたびに使用されるVPN2 800トンネルを造り出す。
トラフィックコントロールハブ500は、ステップ12では、ローカルテーブル中の行き先の情報を調べ、ステップ13では、その情報を、コンサルタントの雇用主の安全なゲートウエイコントローラ400へのVPN3トンネル900(図3参照)を通して、ローカルネットワークシステムに転送する。
ステップ13では、トラフィックコントロールハブ500からあらかじめ構築されたトンネルを使用して、第3のVPN3 900接続が使用される。顧客の安全なゲートウエイコントローラ300(最初の接続のポート番号と、ワークステーション100に割り当てられたサブネット(例えば、“10.10.20.x”))から最初の情報に基づいて、トラフィックコントロールハブ500は、その接続が特定のベンダー又はコンサルタントの企業からのものかを決定することができ、このように、全てのトラフィックは、適切なコンサルタントの雇用主のゲートウエイコントローラ400への道順が決められる。今、端末相互間でその団体の安全な接続ができる。それぞれのコンサルタントの企業は、更なる制御の方法が、別々のアクセスに必要なものとして使用されることができるように、トラフィックコントロールハブ500上の別々のポートを割り当てられても良い。
動作の間、顧客とコンサルタントの企業は、彼ら自身のセキュリティポリシーを書き入れるための、図5に示すように、VPN700、800、そして900の連鎖の利点を得ることができる。顧客が、彼らの施設から出る情報の制御を有することができるように、第1のVPN1 700は、ローカルルータ又は顧客の安全なゲートウエイコントローラ300で終端している。データパケットを検査し、間違いなく、容認できるトラフィックのみが通ることを許されるように、特別注文のファイアウオール330は、顧客の安全なゲートウエイコントローラ300に採用される。従来のファイアウオールと違って、カスタムファイアウオール330は、他のユーザの存在する接続を中断させることなく、ポート/接続を変更することができる。顧客が、安全なゲートウエイコントローラ300内でパケットを検査するためにアプリケーションを起動することができる間、論理的な接続850は、コンサルタントワークステーション100からトラフィックコントロールハブ500に、それから、彼らのホームシステム100まで保持される。
適切に機能するトラフィックコントロールハブ500のために、以下の情報は、保持され、IPマップDB530から使用される。顧客の安全なゲートウエイコントローラ300の内側の特定の顧客のサブネット及びポート番号と、トラフィックコントロールハブ500の出て行く側の特定のベンダのIP及びポート番号とを対応づける一組のテーブルがある。IPアドレスと特定のポートの組み合わせは、誰が接続を試みているか(例えば、どのコンサルタントが)についての情報を提供する。それらがシステムの中で定義されているように、それぞれの雇用主によって特定される一組のDNSテーブルもある。雇用主は、彼らのコンサルタントが顧客のサイトから通常アクセスする、例えば、メールサーバ210又はアプリケーションサーバ212などのサーバのリストを提供する。これらは、ローカルな顧客の安全なゲートウエイコントローラ300と共有するために、トラフィックコントロールハブ500上のIPマップDB530に保存される。コンサルタントワークステーション100が、安全なゲートウエイコントローラ300に接続することを要求したとき、この第2のDNS情報は、もとのワークステーション100に提供される。
これは、ワークステーション100が、2つのDNSテーブルを持つことを意味する。 1つは、DHCPのアドレス指定とともにもとのネットワーク接続をそれに提供し、1つは、VPN1 700接続からそれに提供する。VPN1 700接続からのDNSエントリは、VPN1 700接続がもはや有効でなくなるまで、そのネットワークアドレスと関連するローカルメモリ内に保存される。
一般的に、顧客の安全なゲートウエイコントローラ300は、それぞれのベンダ/コンサルタントの企業が有する専用ポートともに、内側の顧客のネットワークに面する複数のポートを持つであろう。
例えば、企業Aからのコンサルタント又はベンダは、同じ専用ポート経由で顧客の安全なゲートウエイコントローラ300にいつもアクセスするであろう。
複数のコンサルタント/ベンダは、同時にそのポートを利用することができる。異なるベンダ/コンサルタント企業にそれぞれポートが割り当てられることによって、顧客は、1台の顧客の安全なゲートウエイコントローラ300で、全部のベンダのVPN接続の組を管理することができる。
複数のコンサルタント/ベンダは、同時にそのポートを利用することができる。異なるベンダ/コンサルタント企業にそれぞれポートが割り当てられることによって、顧客は、1台の顧客の安全なゲートウエイコントローラ300で、全部のベンダのVPN接続の組を管理することができる。
適切に機能する顧客の安全なゲートウエイコントローラ300のために、以下の情報は、保持され、使用される。特定の企業からのコンサルタントは、すべて、顧客の安全なゲートウエイコントローラ300への彼らの接続のために同じ入力ポートを使用する。コンサルタントの雇用主のホームネットワークの正しいマッピングが、もとのそれらの元に提供されることができるように、それぞれのコンサルタントの企業ごとに別のポートがある。安全なゲートウエイコントローラ300の外向き側に、トラフィックコントロールハブ500への1つのポートがある。外向きのトラフィックは、同じトンネルを共有することができ、その1つのポートは、そのトンネルの容易な管理を可能にする。この1つのトンネル上のトラフィックは、サブネットアドレスの組み合わせ(顧客の安全なゲートウエイコントローラ300への元のポート接続に基づいて)と、入力ポートと、によって識別される。これらは、正しい場所への配信のためトラフィックコントロールハブ500のネットワークルーティングテーブルの中を探される。
図6は、3つの異なった場所で、3つの異なった時間に接続されたコンサルタントワークステーションであって、コンサルタントワークステーションは変更しないものの例を示す。この例では、ワークステーション100、150、そして160は、全て同じワークステーションである、しかし、参照を簡略化するために異なった参照番号によって識別されている。
ワークステーション100の場合では、企業1でコンサルタントは、彼らの安全なゲートウエイコントローラ300に接続され、DNSエントリを有する。そのDNSエントリは、そのローカルワークステーションを変更することなく(本発明によって自動的に成されるのを除き)、彼/彼女の雇用主のネットワークの、彼/彼女の雇用主のメールサーバ210そして/またはアプリケーションサーバ212への経路を彼が決定することを可能にする。
ワークステーション150の場合では、同じワークステーションは、今、顧客2のネットワークと、彼らの安全なゲートウエイコントローラ350とに接続され、変更することなく、彼/彼女の雇用主のネットワークの、彼/彼女の雇用主のメールサーバ210そして/またはアプリケーションサーバ212への接続も行うことができる。同様に、ワークステーション160は、顧客3の安全なゲートウエイコントローラ360に接続され、彼/彼女の雇用主のネットワークの、彼/彼女のメールサーバへの経路が決定される。それぞれの顧客によって許されるルールに基づいて、しかしながら、異なったアクセス権の組は、容認され、または拒絶される。
それぞれの場合において、第2のドメインネームサーバ(DNS)は、コンサルタントワークステーション100、150、160に提供される。しかしながら、顧客は、この新しいDNSシステムの中身の制御を有する。顧客1と2の場合、彼らのそれぞれのDNS303と353とが完全に正規のドメイン名で全ての要求される登録を含むことを容認することによって、彼らは、コンサルタント雇用主ネットワークの両方システム(メール210とアプリケーション212)が、到着可能になることを可能にする。しかしながら、顧客3の場合は、彼らは、DNS363が、アクセス可能なメール210の完全に正規のドメイン名の単一の登録のみ含むように彼らの容認DNS363を制限した。それ故に、顧客は、彼らのネットワーク内で何が起きるかを許容する安全な制御を有する。
図7に示すように、本発明は、異なった顧客の所のコンサルタントワークステーション100、102、150、152の複数の接続の拡張した構造を許容する。顧客1において、企業Aからの2つのコンサルタントワークステーション100と102とは、顧客の安全なゲートウエイコントローラ300上のそれぞれ同じポート100に接続される。それらは、それぞれ同じサブネット、例えば、“10.10.20.x”を割り振られ、企業Aネットワーク内のそれらのホームコントローラ450に接続されることができる。コンサルタントワークステーション100と102は、同じサブネットを割り振られているが、それらは、異なったサブネットアドレスを割り振られるであろう。
例えば、コンサルタントワークステーション100は、サブネットアドレス“10.10.20.20”を割り振られることができ、一方、コンサルタントワークステーション102は、サブネットアドレス“10.10.20.21”を割り振られることができる。2つのコンサルタントワークステーション100と102とは、割り振られたサブネット上で互いに情報が交換されることから防止される、しかしながら、本発明は、同じ企業からのワークステーションの間での情報のそのような交換を許容するようにセットアップされることができる。
企業Bからの第3のコンサルタントワークステーション104は、同じ顧客の安全なゲートウエイコントローラ300に接続することもできる。しかし、コンサルタントワークステーション104は、異なった企業からなので、それは、顧客の安全なゲートウエイコントローラ300の、異なったポート、例えば、ポート200に接続され、異なったサブネットアドレス、例えば、“10.20.20.22”とともに、異なったサブネット、例えば、“10.20.20.x”を受信する。
同様に、顧客2の(企業Aからの)コンサルタントワークステーション150は、顧客2の安全なゲートウエイコントローラ350上の専用のポートに接続されるだろう。顧客2の安全なゲートウエイコントローラ350上の異なった専用のポートに接続される、顧客2の(企業Bからの)コンサルタントワークステーション152もともに接続されるだろう。
それぞれの、顧客の安全なゲートウエイコントローラ300、350は、トラフィックコントロールハブ500に接続するための異なったポートを有するであろう。例えば、図7に示すように、顧客1の安全なゲートウエイコントローラ300は、ポート2000でトラフィックコントロールハブ500に接続し、一方、顧客2の安全なゲートウエイコントローラ350は、ポート1000でトラフィックコントロールハブ500に接続する。これは、通信が別々に流れることを保ち、特定のコンサルタントの雇用主のゲートウエイコントローラ400、450へのサブネットの割り当てを可能にする。
更に、それぞれの雇用主のゲートウエイコントローラは、トラフィックコントロールハブ500の外向きの側の専用のポートに接続される。例えば、企業Bのゲートウエイコントローラ400は、ポート4000に接続される、一方、企業Aのゲートウエイコントローラ450は、ポート3000に接続される。これは、通信が別々に流れることを保つことを助け、サブネットのマッピングを可能にする。
本発明のソリューションの別の特徴は、顧客の安全なゲートウエイコントローラ300が、プログラムにより改造することができることである。この特徴に基づいて、例えば、アクセス可能性が企業のルールに基づくように、全体のソリューションを更に制御する、eCentre1000のような、他の製品の特徴を結合することができる。例えば、アクセス時間が制限されても良い、又は、許可があるときのみ又は他のアプリケーションで、特定の状態が発生したときのみアクセスが認容されても良い。この通信は、制御するアプリケーション1000からトラフィックコントロールハブ500へと、図8のステップ15に示されている。この例では、制御するアプリケーション1000は、eCentre製品である、しかし、当業者は、代わりの制御アプリケーションが、その場所で利用されることができることを認識できるだろう。
似たような方法で、カスタマゲートウエイコントローラ300は、例えば、企業のLDAPユーザマネジメントシステムのなどの、外部のアプリケーション1100にリンクされることができる。このようにして、コンサルタントワークステーション100による、顧客の安全なゲートウエイコントローラ300への最初のユーザ認証と、パスワードの提示は、トラフィックコントロールハブ500経由で、ユーザコンサルタントの照合のため外部のプログラム1100に通されても良い。この方法では、それぞれのコンサルタントは、証明書を彼らの企業によって使用される認証局、例えば、しかしこれに限定されない、Verisign, Thawte, Self signed certs,など、から提示することができる。
本発明のいくつかの利点と特徴とは、次の通りである。
・アドミニストレータの入力又はプログラムの入力を通してVPNの状態を動的に変更する能力を提供する。
・2つの異なった企業ネットワーク内に存在する、似通ったDNS名又はIPアドレス、例えば“mailman.customer.com”と“mailman.consultant.com”などによる混乱を取り除くためのホストネーム解決テーブルをクライアントに与える能力を提供する。
・より共通のWINS解決方法の場合、これらの2つのサーバは、同じ名前“mailman”を有する。
・アドミニストレータの入力又はプログラムの入力を通してVPNの状態を動的に変更する能力を提供する。
・2つの異なった企業ネットワーク内に存在する、似通ったDNS名又はIPアドレス、例えば“mailman.customer.com”と“mailman.consultant.com”などによる混乱を取り除くためのホストネーム解決テーブルをクライアントに与える能力を提供する。
・より共通のWINS解決方法の場合、これらの2つのサーバは、同じ名前“mailman”を有する。
・コンサルタントのクライアントアプリケーションは、彼/彼女が行く場所(顧客又はホームネットワーク)を問わず、再設定される必要はない。
・標準的なインターネット又はIPSec接続で動作可能である。
・複数のコンサルタントとパートナーのためのアクセスを処理するために、顧客サイトでは単一のポート接続しか要求しない。
・本発明のシステムの更なる拡張は、複数のサイト間の端から端までをより容易にするための“ServiceNet”接続(U.S. Serial No. 10/385,442参照)と連動して使用することである。
・標準的なインターネット又はIPSec接続で動作可能である。
・複数のコンサルタントとパートナーのためのアクセスを処理するために、顧客サイトでは単一のポート接続しか要求しない。
・本発明のシステムの更なる拡張は、複数のサイト間の端から端までをより容易にするための“ServiceNet”接続(U.S. Serial No. 10/385,442参照)と連動して使用することである。
・顧客に、接続するための能力と、多くのコンサルタントの接続を効果的に管理する能力と、を提供する。
・IPアドレスによってアクセスが制限されているどんなアプリケーションも、依然として動作するように、コンサルタントが、安全な接続を越えて固定IPアドレスを割り当てられることを可能にする。
・接続ルールが、変化する状態に応じて変更されるように、中央トラフィックハブを越えたプログラムによる制御を提供する。
・顧客が、現場にいるコンサルタントの外向きのトラフィックをモニタすることを可能にするための、顧客レベルのカスタムファイアウオールを提供する。そのファイアウオールは、存在する接続に影響を与えることなく動的に変更されることができる。
・IPアドレスによってアクセスが制限されているどんなアプリケーションも、依然として動作するように、コンサルタントが、安全な接続を越えて固定IPアドレスを割り当てられることを可能にする。
・接続ルールが、変化する状態に応じて変更されるように、中央トラフィックハブを越えたプログラムによる制御を提供する。
・顧客が、現場にいるコンサルタントの外向きのトラフィックをモニタすることを可能にするための、顧客レベルのカスタムファイアウオールを提供する。そのファイアウオールは、存在する接続に影響を与えることなく動的に変更されることができる。
本発明の様々な実施形態が上記に述べられていたが、それらは、単に例として提示されたものであり、それに限定されないものであることが理解されるべきである。例えば、“consultant”、“vendor(供給元)”、“customer”そして“employer”の用語は、単に参照の目的のためにのみ、この中と請求項中に使用されている。本発明は、VPN接続とトラフィックコントロールハブとによって、どの2つのネットワーク間でも安全な接続を提供するためにデザインされている。それ故に、本発明の目的と範囲は、上述の典型的な実施例のどれによっても制限されず、しかし、その代わりに、以下の請求項とそれらと同等のものに従ってのみ定義されるべきである。
本発明は、図への特定の言及が述べられているが、本発明の目的と精神から離れることなく様々な変更が成されることが可能であることを理解すべきである。
以下の請求項の組は、限定せず、しかし、単に、本発明の好ましい側面の典型的なものに過ぎない。本願が、ここで述べられそして示されているように、むしろ、本発明の全ての側面をカバーしていることを理解されるべきである。
100、102 ワークステーション
104、152 コンサルタントワークステーション
210 メール
212 アプリケーション
300、350、400 ゲートウエイコントローラ
301、401 ゲートウエイ
450 ホームコントローラ
500 トラフィックコントロールハブ
104、152 コンサルタントワークステーション
210 メール
212 アプリケーション
300、350、400 ゲートウエイコントローラ
301、401 ゲートウエイ
450 ホームコントローラ
500 トラフィックコントロールハブ
Claims (17)
- ネットワーク接続システムであって、
顧客のネットワーク内に提供される、カスタマゲートウエイコントローラと、
外部のネットワーク内に提供されるトラフィックコントロールハブと、
コンサルタント雇用主ネットワーク内に提供される、コンサルタント雇用主ゲートウエイコントローラと、
を備え、
前記カスタマゲートウエイコントローラは、第1のVPN接続経由でコンサルタントワークステーションに接続でき、
前記トラフィックコントロールハブは、第2のVPN接続経由で前記カスタマゲートウエイコントローラに接続でき、
前記コンサルタント雇用主ゲートウエイコントローラは、第3のVPN接続経由で前記トラフィックコントロールハブに接続でき、
第1から第3のVPN接続及びトラフィックコントロールハブを経由して、前記コンサルタントワークステーションと、その対応するコンサルタント雇用主ネットワークとの間で安全な通信が開設される、
ネットワーク接続システム。 - 前記カスタマゲートウエイコントローラは、複数の入力ポートを有し、
前記入力ポートは、特定のコンサルタントの雇用主専用であるそれぞれのポートを含み、
特定のコンサルタントの雇用主の全てのコンサルタントワークステーションが、同じ前記ポート経由で前記カスタマゲートウエイコントローラに接続する、
請求項1に記載のネットワーク接続システム。 - 前記トラフィックコントロールハブが、複数の入力ポートを有し、
前記入力ポートは、特定の顧客専用のそれぞれのポートを含み、
特定の顧客からの全てのトラフィックは、前記トラフィックコントロールハブの同じ前記入力ポートに経路を決められる、
請求項2に記載のネットワーク接続システム。 - 前記トラフィックコントロールハブが、前記カスタマゲートウエイコントローラ上で前記コンサルタントワークステーションによって使用される入力ポート上の情報を受信し、前記情報に基づいて、適切な雇用主のネットワークにトラフィックの経路を決定する、
請求項3に記載のネットワーク接続システム。 - 前記コンサルタント雇用主ゲートウエイコントローラは、
接続が開始される前記コンサルタントワークステーションを識別する情報を受信し、
前記コンサルタントワークステーションと関連する特権ルールに基づいて、前記コンサルタント雇用主ネットワーク内のデータベースとアプリケーションへの、前記コンサルタントワークステーションのアクセスを許可する、
請求項1に記載のネットワーク接続システム。 - 前記トラフィックコントロールハブは、複数の出力ポートを有し、
前記出力ポートは、特定のコンサルタントの雇用主専用のそれぞれのポートを含み、
特定のコンサルタントの雇用主への全てのトラフィックは、トラフィックコントロールハブ上の同じ前記出力ポートから経路が決定される、
請求項1に記載のネットワーク接続システム。 - 前記コンサルタントワークステーションは、第1のVPN接続を開設するために、前記カスタマゲートウエイコントローラによって認証される、
請求項1に記載のネットワーク接続システム。 - 前記トラフィックコントロールハブに接続されたソフトウエアアプリケーションを更に備え、
前記ソフトウエアアプリケーションは、企業のルールに基づいて、前記コンサルタントワークステーションと、前記コンサルタント雇用主ゲートウエイコントローラと、の間のトラフィックの流れを制御する、
請求項1に記載のネットワーク接続システム。 - 前記コンサルタントワークステーションが、前記第1のVPN接続を開設するために前記ソフトウエアアプリケーションによって認証される、
請求項8に記載のネットワーク接続システム。 - 前記コンサルタントワークステーションが、前記第1のVPN接続を開設するために、前記トラフィックコントロールハブに接続されたLDAPによって認証され、
前記LDAPは、前記コンサルタント雇用主ネットワークに関連づけられている、
請求項1に記載のネットワーク接続システム。 - 前記カスタマゲートウエイコントローラは、第1と第2のVPN接続の間に提供されるファイアウオールを有し、
前記ファイアウオールは、認可されたデータだけが、顧客のネットワークの中に、そして、外にむけての通行を許可されること、を確保するためにデータパケットを検査する、
請求項1に記載のネットワーク接続システム。 - 前記ファイアウオールは、それぞれのデータパケットを独立して検査し、許可された状態に基づいてそれぞれのデータを通すか通さないかの決定をすることを制御されることができる、
請求項11に記載のネットワーク接続システム。 - 前記ファイアウオールは、存在する接続を中断させることなく、前記カスタマゲートウエイコントローラ上のポート及び接続のいずれか一方又は両方を変更すること、を制御されることができる、
請求項11に記載のネットワーク接続システム。 - 前記ファイアウオールは、顧客のネットワークからの、または、顧客のネットワークへのアクセスの状態を変更するための前記カスタマゲートウエイコントローラの外部のアプリケーションによって制御可能である、
請求項11に記載のネットワーク接続システム。 - 同じコンサルタントの雇用主からのコンサルタントワークステーションは、それらのコンサルタント雇用主ネットワークへの接続のために、同じサブネットを割り当てられる、
請求項1に記載のネットワーク接続システム。 - それぞれのコンサルタントワークステーションは、前記同じサブネット内の異なったサブネットアドレスを有する、
請求項15に記載のネットワーク接続システム。 - 前記コンサルタントワークステーションは、第1のVPN接続を開設するために認証され、
認証中において、前記コンサルタントワークステーションは、コンサルタント雇用主ネットワーク上のサーバを示す前記トラフィックコントロールハブからドメインネームサーバへの登録を受信する、
請求項1に記載のネットワーク接続システム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US73975205P | 2005-11-23 | 2005-11-23 | |
| PCT/US2006/045113 WO2007062069A1 (en) | 2005-11-23 | 2006-11-22 | Business-to-business remote network connectivity |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009517923A true JP2009517923A (ja) | 2009-04-30 |
Family
ID=38067543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008542422A Pending JP2009517923A (ja) | 2005-11-23 | 2006-11-22 | 企業間のリモートネットワーク接続 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070136805A1 (ja) |
| EP (1) | EP1958057A4 (ja) |
| JP (1) | JP2009517923A (ja) |
| TW (1) | TW200812298A (ja) |
| WO (1) | WO2007062069A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090193503A1 (en) * | 2008-01-28 | 2009-07-30 | Gbs Laboratories Llc | Network access control |
| JP5131118B2 (ja) * | 2008-09-24 | 2013-01-30 | 富士ゼロックス株式会社 | 通信システム、管理装置、中継装置、及びプログラム |
| US9596271B2 (en) * | 2012-10-10 | 2017-03-14 | International Business Machines Corporation | Dynamic virtual private network |
| US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| US9148408B1 (en) * | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6079020A (en) * | 1998-01-27 | 2000-06-20 | Vpnet Technologies, Inc. | Method and apparatus for managing a virtual private network |
| US6226751B1 (en) * | 1998-04-17 | 2001-05-01 | Vpnet Technologies, Inc. | Method and apparatus for configuring a virtual private network |
| EP1222548A4 (en) * | 1999-08-31 | 2009-04-22 | Anxebusiness Corp | SYSTEM AND METHOD FOR INTERCONNECTING MULTIPLE VIRTUAL PRIVATE NETWORKS |
| US7028333B2 (en) * | 2000-04-12 | 2006-04-11 | Corente, Inc. | Methods and systems for partners in virtual networks |
| US7587468B2 (en) * | 2000-10-16 | 2009-09-08 | Electronics For Imaging, Inc. | Methods and systems for the provision of printing services |
| US20020065885A1 (en) * | 2000-11-30 | 2002-05-30 | Mark Buonanno | Multimedia B2B opportunity and error detection and resolution engine |
| KR100416541B1 (ko) * | 2000-11-30 | 2004-02-05 | 삼성전자주식회사 | 홈게이트웨이와 홈포탈서버를 이용한 홈네트워크 접근방법 및 그 장치 |
| US20020075844A1 (en) * | 2000-12-15 | 2002-06-20 | Hagen W. Alexander | Integrating public and private network resources for optimized broadband wireless access and method |
| US6886029B1 (en) * | 2001-03-13 | 2005-04-26 | Panamsat Corporation | End to end simulation of a content delivery system |
| US20030115480A1 (en) * | 2001-12-17 | 2003-06-19 | Worldcom, Inc. | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks |
| FI20011949A0 (fi) * | 2001-10-05 | 2001-10-05 | Stonesoft Corp | Virtuaalisen yksityisverkon hallinta |
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US7363327B2 (en) * | 2004-05-28 | 2008-04-22 | International Business Machines Corporation | Change log handler for synchronizing data sources |
-
2006
- 2006-11-22 EP EP06838215A patent/EP1958057A4/en not_active Withdrawn
- 2006-11-22 WO PCT/US2006/045113 patent/WO2007062069A1/en active Application Filing
- 2006-11-22 US US11/603,597 patent/US20070136805A1/en not_active Abandoned
- 2006-11-22 JP JP2008542422A patent/JP2009517923A/ja active Pending
- 2006-11-23 TW TW095143448A patent/TW200812298A/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007062069A1 (en) | 2007-05-31 |
| EP1958057A1 (en) | 2008-08-20 |
| US20070136805A1 (en) | 2007-06-14 |
| TW200812298A (en) | 2008-03-01 |
| EP1958057A4 (en) | 2009-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6131120A (en) | Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers | |
| US10135827B2 (en) | Secure access to remote resources over a network | |
| US7003481B2 (en) | Method and apparatus for providing network dependent application services | |
| EP1134955A1 (en) | Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers | |
| JP5702486B2 (ja) | ネットワークを管理するシステムおよび方法 | |
| US7376965B2 (en) | System and method for implementing a bubble policy to achieve host and network security | |
| KR20020036792A (ko) | 자동 공급시스템 | |
| JP5323674B2 (ja) | DNS(DomainNameSystem)登録装置、VPN(VirtualPrivateNetwork)間接続管理システム、広域DNS装置、DNS登録プログラム、広域DNSプログラム、DNS登録方法、及びVPN間接続管理方法 | |
| JP2009517923A (ja) | 企業間のリモートネットワーク接続 | |
| US20040083290A1 (en) | Software implemented virtual private network service | |
| US20010037384A1 (en) | System and method for implementing a virtual backbone on a common network infrastructure | |
| JP2005217757A (ja) | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| Cisco | Populating the Network Topology Tree | |
| JP4827868B2 (ja) | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 | |
| Cisco | Populating the Network Topology Tree | |
| WO2006096875A1 (en) | Smart tunneling to resources in a remote network | |
| Leifer | Visitor networks | |
| Pimenidis et al. | Transparent anonymization of ip based network traffic | |
| Edition | Principles of Information Security | |
| AU2237000A (en) | Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers | |
| Miyoshi et al. | Network-based single sign-on architecture for IP-VPN | |
| Federation | Configuring Federation | |
| Edney et al. | Configuring Federation | |
| Kokal | Using Outbound IP Connections for Remote Access |