JP2010206442A - Device and method of communication - Google Patents

Device and method of communication Download PDF

Info

Publication number
JP2010206442A
JP2010206442A JP2009048897A JP2009048897A JP2010206442A JP 2010206442 A JP2010206442 A JP 2010206442A JP 2009048897 A JP2009048897 A JP 2009048897A JP 2009048897 A JP2009048897 A JP 2009048897A JP 2010206442 A JP2010206442 A JP 2010206442A
Authority
JP
Japan
Prior art keywords
network
user terminal
terminal
authentication information
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009048897A
Other languages
Japanese (ja)
Inventor
Satoshi Shimizu
聡 清水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2009048897A priority Critical patent/JP2010206442A/en
Publication of JP2010206442A publication Critical patent/JP2010206442A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To solve such a problem that doubly performing IPsec processing for achieving a VPN by a user terminal is too heavy when a remote VPN access is used from the user terminal to a corporate network which is hooked up on the Internet by using an Internet connection service through a 3GPP network. <P>SOLUTION: A remote access terminator is arranged in the 3GPP system. When a terminal requests for establishment of an IPsec tunnel, user authentication information is converted into user authentication information to the corporate network and a request for establishment of an IPsec tunnel to the corporate network is made. After establishing the IPsec tunnel to the corporate side, the IPsec tunnel to the user is established. Process of the terminal side is alleviated by transferring data from the user from the terminal to the corporate network through the two tunnels. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、通信装置および通信方法に係り、特に3GPPシステムを介する企業網へのリモートVPNアクセスサービスを提供する通信装置および通信方法に関する。   The present invention relates to a communication apparatus and a communication method, and more particularly to a communication apparatus and a communication method for providing a remote VPN access service to a corporate network via a 3GPP system.

IPsec(Security Architecture for the Internet Protocol)を使用したVPN(Virtual Private Network)技術によって、外出先の社員が自社の企業網にインターネットを介してセキュアに接続するリモートVPNアクセスが広く普及している。   Remote VPN access, in which employees on the go, securely connect to their corporate network via the Internet, has become widespread using VPN (Virtual Private Network) technology using IPsec (Security Architecture for the Internet Protocol).

リモートVPNアクセスシステムの概要について、図1を用いて説明する。図1において、ユーザ端末1は、企業網5とインターネット4を介して接続されている。ユーザ端末1は、企業網5の相手サーバ52との間について、通信リンク60を通して通信する。通信リンク60は、インターネット4を通るため、セキュアにする必要がある。ユーザ端末1は、企業網5においてインターネット4とのエッジに設置されたVPNゲートウェイ装置51に対して、IPsecトンネル61を設定する。通信リンク60は、IPsecトンネル61中に通信リンク60を通すことにより、セキュアな通信路を確保する。上記のようなリモートVPNアクセスシステムは、特許文献1に記述されている。   An outline of the remote VPN access system will be described with reference to FIG. In FIG. 1, a user terminal 1 is connected to a corporate network 5 via the Internet 4. The user terminal 1 communicates with the partner server 52 of the corporate network 5 through the communication link 60. Since the communication link 60 passes through the Internet 4, it must be secured. The user terminal 1 sets an IPsec tunnel 61 for the VPN gateway device 51 installed at the edge with the Internet 4 in the corporate network 5. The communication link 60 ensures a secure communication path by passing the communication link 60 through the IPsec tunnel 61. The remote VPN access system as described above is described in Patent Document 1.

一方、携帯電話網の標準化機関である3GPP(3rd Generation Partnership Project)は、3GPP網にWLAN(Wireless Local Area Network)を介したインターネットアクセスを収容するための仕様を非特許文献1に規定している。図2を用いて、3GPP網を介したインターネットアクセス方法を説明する。図2において、3GPP網3とユーザ端末1は、WLANアクセス網2を介して接続されている。3GPP網3は、ユーザ端末1に対してインターネット4に接続するサービスを提供している。ここで、ユーザ端末1は、インターネット4に接続された相手サーバ41との通信を行なうために両者で通信リンク62を接続する。   On the other hand, 3GPP (3rd Generation Partnership Project), which is a standardization organization for mobile phone networks, specifies a specification for accommodating Internet access via WLAN (Wireless Local Area Network) in the 3GPP network in Non-Patent Document 1. . A method for accessing the Internet via the 3GPP network will be described with reference to FIG. In FIG. 2, the 3GPP network 3 and the user terminal 1 are connected via a WLAN access network 2. The 3GPP network 3 provides a service for connecting the user terminal 1 to the Internet 4. Here, the user terminal 1 connects the communication link 62 in order to communicate with the counterpart server 41 connected to the Internet 4.

ここで、3GPP網3は、加入者の認証を行うサーバであるAAA(Authentication, Authorization, Accounting)31と、パケットレベルのゲートウェイであるPDG(Packet Data Gateway)33から構成される。WLANアクセス網2は、セキュアでないネットワークであり、通信リンク62のセキュリティを確保するために、ユーザ端末1とPDG33間でIPsecトンネル63を設定する。   Here, the 3GPP network 3 includes an AAA (Authentication, Authorization, Accounting) 31 that is a server for authenticating a subscriber, and a PDG (Packet Data Gateway) 33 that is a packet level gateway. The WLAN access network 2 is an insecure network, and an IPsec tunnel 63 is set between the user terminal 1 and the PDG 33 in order to ensure the security of the communication link 62.

特開2001−160828号公報JP 2001-160828 A

3GPP TS23.234 3GPP system to Wireless Local Area Network (WLAN) Interworking-System Description3GPP TS23.234 3GPP system to Wireless Local Area Network (WLAN) Interworking-System Description

ここで、3GPP網を介したインターネット接続サービスを利用して、インターネットに接続された企業網に対して、ユーザ端末がリモートVPNアクセスを利用するケースを考える。このケースの場合、ユーザ端末1は、3GPP網3内のPDG33へのIPsecトンネルと企業網5にあるVPNゲートウェイ51のIPsecトンネルの2重のIPsecトンネルをはる必要がある。ユーザ端末において、IPsecを2重に処理することは、端末のCPUの処理性能を消費することになり、処理性能が高くない端末においては問題である。   Here, consider a case where a user terminal uses remote VPN access to a corporate network connected to the Internet using an Internet connection service via a 3GPP network. In this case, the user terminal 1 needs to establish a double IPsec tunnel, that is, an IPsec tunnel to the PDG 33 in the 3GPP network 3 and an IPsec tunnel of the VPN gateway 51 in the corporate network 5. Processing the IPsec twice in the user terminal consumes the processing performance of the CPU of the terminal, and is a problem in a terminal that does not have high processing performance.

図3と図4を用いて、上述した問題を詳細に説明する。図3を参照して、ユーザ端末1が、3GPP網3が提供するインターネットへの接続サービスを利用して、インターネット4に接続された企業網5にある相手サーバ52に接続するケースを説明する。図3において、通信リンク64は、端末1と相手サーバ52との間で設定され、相互の上位アプリケーションデータが流される。通信リンク64は、IPsecを用いたリモートVPNで接続されている。インターネットを介したユーザ端末1からのアクセスのセキュリティを確保するため、ユーザ端末1とVPNゲートウェイ51の間でIPsecトンネル64を設定する。一方、3GPP網3では、WLANアクセス網2を介した通信のセキュリティを確保するためにユーザ端末1とPDG33間でIPsecトンネ66を設定する。IPsecトンネル65とIPsecトンネル66は、双方ともユーザ端末1で終端される。   The above problem will be described in detail with reference to FIGS. With reference to FIG. 3, a case will be described in which the user terminal 1 uses a connection service to the Internet provided by the 3GPP network 3 to connect to the partner server 52 in the corporate network 5 connected to the Internet 4. In FIG. 3, a communication link 64 is set between the terminal 1 and the partner server 52, and mutual upper application data is flowed. The communication link 64 is connected by a remote VPN using IPsec. In order to ensure the security of access from the user terminal 1 via the Internet, an IPsec tunnel 64 is set between the user terminal 1 and the VPN gateway 51. On the other hand, in the 3GPP network 3, an IPsec tunnel 66 is set between the user terminal 1 and the PDG 33 in order to ensure security of communication via the WLAN access network 2. Both the IPsec tunnel 65 and the IPsec tunnel 66 are terminated at the user terminal 1.

図4を参照して、図3のネットワークのプロトコルスタックを説明する。図4において、ユーザ端末1のプロトコルスタック101は、下位層から順にL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remote IPプロトコル、再びIPsec Tunnelプロトコル、Corporate IPプロトコルから構成される。PDP33のプロトコルスタック331は、下位層から順にユーザ端末1側のL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remort IPプロトコル、VPNゲートウェイ51側のL1/L2プロトコル、前述のRemote IPプロトコルから構成される。VPNゲートウェイ51のプロトコルスタック511は、下位層から順にPDG33側のL1/L2プロトコル、Remort IPプロトコル、IPsec Tunnelプロトコル、Corporate IPプロトコル、相手サーバ52側のL1/L2プロトコル、前述のCorporate IPプロトコルから構成される。相手サーバ52のプロトコルスタック52は1、下位層から順にL1/L2プロトコル、Corporate IPプロトコルから構成される。   With reference to FIG. 4, the protocol stack of the network of FIG. 3 will be described. In FIG. 4, the protocol stack 101 of the user terminal 1 includes an L1 / L2 protocol, a Transport IP protocol, an IPsec Tunnel protocol, a Remote IP protocol, an IPsec Tunnel protocol, and a Corporate IP protocol in order from the lower layer. The protocol stack 331 of the PDP 33 includes, in order from the lower layer, the L1 / L2 protocol on the user terminal 1 side, the Transport IP protocol, the IPsec Tunnel protocol, the Remote IP protocol, the L1 / L2 protocol on the VPN gateway 51 side, and the aforementioned Remote IP protocol. Is done. The protocol stack 511 of the VPN gateway 51 includes, in order from the lower layer, the L1 / L2 protocol on the PDG 33 side, the Remote IP protocol, the IPsec Tunnel protocol, the Corporate IP protocol, the L1 / L2 protocol on the partner server 52 side, and the aforementioned Corporate IP protocol. Is done. The protocol stack 52 of the partner server 52 is composed of the L1 / L2 protocol and the Corporate IP protocol in order from the lower layer.

ユーザ端末1と相手サーバ52の間のIPパケットは、ユーザ端末1とVPNゲートウェイ51で終端するIPsecトンネルを下位層に持つ。また、このIPsecトンネルは、更にユーザ端末1とPDG33間で、両者において終端するIPsecトンネルを下位層に持つ。   An IP packet between the user terminal 1 and the partner server 52 has an IPsec tunnel that terminates at the user terminal 1 and the VPN gateway 51 in the lower layer. The IPsec tunnel further has an IPsec tunnel that terminates between the user terminal 1 and the PDG 33 in the lower layer.

ユーザ端末1のプロトコルスタック101を見ると、ユーザ端末1と相手サーバ52の間のIPパケットについて、2重にIPsecの処理が必要なことがわかる。これは、ユーザ端末1のソフトウェアは、2重にIPsec処理を行なうことを意味する。すなわち、ユーザ端末1のCPUの処理能力を著しく消費する。
本発明は、端末の2重の暗号化処理を回避することを目的とする。 Looking at the protocol stack 101 of the user terminal 1, it can be seen that the IP packet between the user terminal 1 and the partner server 52 needs to be subjected to double IPsec processing. This means that the software of the user terminal 1 performs IPsec processing twice. That is, the CPU processing capacity of the user terminal 1 is significantly consumed.
An object of the present invention is to avoid double encryption processing of a terminal.

上述した課題を解決するため、本発明は、3GPP網のPDGの後段に、VPNクライアントを導入する。VPNクライアントは、ユーザ端末と企業網内の相手サーバ間のIPsecトンネルを端末の代理として終端する。   In order to solve the above-described problems, the present invention introduces a VPN client in the subsequent stage of the PDG of the 3GPP network. The VPN client terminates the IPsec tunnel between the user terminal and the partner server in the corporate network as a proxy for the terminal.

上述した課題は、第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報との対応に基づいて、端末からアクセスされたとき、この端末の第1のユーザ認証情報を端末の第2のユーザ認証情報に変換して、第2の網へトンネルの開設要求を送信し、端末との第1のトンネルと第2の網との第2のトンネルとを設定し、第1のトンネルを介して受信したデータを第2のトンネルに転送する通信装置により、達成できる。   The above-described problem is that when accessed from a terminal based on the correspondence between the first user authentication information of the first network and the second user authentication information of the second network, the first user of this terminal The authentication information is converted to the second user authentication information of the terminal, a tunnel establishment request is transmitted to the second network, and the first tunnel with the terminal and the second tunnel with the second network are set. However, this can be achieved by the communication device that transfers the data received through the first tunnel to the second tunnel.

また、第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報とを保持するステップと、端末からアクセスされたとき、この端末の第1のユーザ認証情報を端末の第2のユーザ認証情報に変換するステップと、第2の網へトンネルの開設要求を送信するステップと、端末との第1のトンネルを設定するステップと、第2の網と第2のトンネルを設定するステップと、第1のトンネルを介して受信したデータを第2のトンネルに転送するステップとからなる通信方法により、達成できる。   A step of holding the first user authentication information of the first network and the second user authentication information of the second network; and the first user authentication information of the terminal when accessed from the terminal. Converting to second user authentication information of the terminal, transmitting a tunnel opening request to the second network, setting up a first tunnel with the terminal, second network and second This can be achieved by a communication method comprising the steps of setting a tunnel and transferring the data received via the first tunnel to the second tunnel.

3GPP網が提供するWLANを介したインターネットアクセスを利用する端末が企業網のリモートVPNを利用する際に、IPsecの2重処理による性能への影響を回避できる。   When a terminal using Internet access via WLAN provided by the 3GPP network uses a remote VPN of the corporate network, it is possible to avoid the influence on performance due to the double processing of IPsec.

リモートVPNアクセスを説明するブロック図である。It is a block diagram explaining a remote VPN access. 3GPPインターネットアクセスを説明するブロック図である。It is a block diagram explaining 3GPP Internet access. 3GPPを利用したリモートVPNアクセスを説明するブロック図である。It is a block diagram explaining the remote VPN access using 3GPP. 3GPPを利用したリモートVPNアクセスのプロトコルスタックを説明する図である。It is a figure explaining the protocol stack of the remote VPN access using 3GPP. 3GPPを利用したリモートVPNアクセスを説明するブロック図である。It is a block diagram explaining the remote VPN access using 3GPP. 3GPPを利用したリモートVPNアクセスにおけるプロトコルスタックを説明する図である。It is a figure explaining the protocol stack in the remote VPN access using 3GPP. ユーザ端末、AAA、PDG、VPNクライアント、VPNゲートウェイ、相手サーバ間のシーケンス図である。It is a sequence diagram among a user terminal, AAA, PDG, a VPN client, a VPN gateway, and a partner server. 3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明するブロック図である。It is a block diagram explaining the remote access to the some corporate network using the internet connection service of 3GPP network. 認証テーブルの構成を説明する図である。It is a figure explaining the structure of an authentication table. カスコンサーバを含む3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明するブロック図である。It is a block diagram explaining the remote access to the corporate network using the internet connection service of the 3GPP network including a cascon server.

以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings using examples. The same reference numerals are assigned to substantially the same parts, and the description will not be repeated.

図5を参照して、3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明する。図5において、ネットワーク200は、WLANアクセス網2、3GPP網3、インターネット4、企業網5で構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34が含まれる。企業網5は、VPNゲートウェイ51と、相手サーバ52が含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3と企業網5を接続する。   With reference to FIG. 5, the remote access to the corporate network using the Internet connection service of the 3GPP network will be described. In FIG. 5, a network 200 includes a WLAN access network 2, a 3GPP network 3, the Internet 4, and a corporate network 5. The 3GPP network 3 includes a PDG 33, an AAA 31, and a VPN client 34. The corporate network 5 includes a VPN gateway 51 and a partner server 52. The WLAN access network 2 connects the user terminal 1 and the 3GPP network 3. The Internet 4 connects the 3GPP network 3 and the corporate network 5.

ユーザ端末1と相手サーバ52間の通信リンク67により、両者のアプリケーションデータを運ぶIPパケットが通信される。VPNクライアント34は、ユーザ端末1の代理としてVPNゲートウェイ51とのIPsecを終端する。これによって、VPNクライアント34は、IPsecトンネル69を設定してインターネット4でのセキュリティを確保する。ユーザ端末1は、また、WLANアクセス網2でのセキュリティを確保するために、PDG33間でIPsecトンネル68を設定する。なお、VPNクライアント34の機能は、PDG33に含めてもよい。その場合、PDGを、通信装置と呼ぶ。   An IP packet carrying application data of both is communicated by a communication link 67 between the user terminal 1 and the partner server 52. The VPN client 34 terminates IPsec with the VPN gateway 51 on behalf of the user terminal 1. As a result, the VPN client 34 establishes an IPsec tunnel 69 to ensure security on the Internet 4. The user terminal 1 also sets an IPsec tunnel 68 between the PDGs 33 in order to ensure security in the WLAN access network 2. Note that the function of the VPN client 34 may be included in the PDG 33. In that case, the PDG is called a communication device.

図6を参照して、ユーザ端末と相手サーバ間のIPパケットを転送するためのプロトコルスタックを説明する。図6において、ユーザ端末1のプロトコルスタック102は、下位層から順にL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remote IPプロトコルから構成される。PDP33のプロトコルスタック332は、下位層から順にユーザ端末1側のL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、RemortIPプロトコル、VPNクライアント34側のL1/L2プロトコル、前述のRemote IPプロトコルから構成される。   With reference to FIG. 6, a protocol stack for transferring IP packets between a user terminal and a partner server will be described. In FIG. 6, the protocol stack 102 of the user terminal 1 includes an L1 / L2 protocol, a Transport IP protocol, an IPsec Tunnel protocol, and a Remote IP protocol in order from the lower layer. The protocol stack 332 of the PDP 33 includes, in order from the lower layer, the L1 / L2 protocol on the user terminal 1 side, the Transport IP protocol, the IPsec Tunnel protocol, the RemoteIP protocol, the L1 / L2 protocol on the VPN client 34 side, and the aforementioned Remote IP protocol. The

VPNクライアント34のプロトコルスタック342は、PDG33側の下位層から順にL1/L2プロトコル、Corporate IPプロトコル、VPNゲートウェイ51側のL1/L2プロトコル、Transport IPプロトコル、IPsecプロトコル、前述のCorporate IPプロトコルから構成される。VPNゲートウェイ51のプロトコルスタック512は、下位層から順にVPNクライアント34側のL1/L2プロトコル、Transport IPプロトコル、IPsecプロトコル、Corporate IPプロトコル、相手サーバ52側のL1/L2プロトコル、前述のCorporate IPプロトコルから構成される。相手サーバ52のプロトコルスタック522は、下位層から順にL1/L2プロトコル、Corporate IPプロトコルから構成される。   The protocol stack 342 of the VPN client 34 includes, in order from the lower layer on the PDG 33 side, the L1 / L2 protocol, the Corporate IP protocol, the L1 / L2 protocol on the VPN gateway 51 side, the Transport IP protocol, the IPsec protocol, and the aforementioned Corporate IP protocol. The The protocol stack 512 of the VPN gateway 51 includes, in order from the lower layer, the L1 / L2 protocol on the VPN client 34 side, the Transport IP protocol, the IPsec protocol, the Corporate IP protocol, the L1 / L2 protocol on the partner server 52 side, and the aforementioned Corporate IP protocol. Composed. The protocol stack 522 of the partner server 52 is composed of an L1 / L2 protocol and a Corporate IP protocol in order from the lower layer.

図6において、ユーザ端末1とPDG33は、IPsecを終端する。また、VPNクライアント34とVPNゲートウェイ51も、IPsecを終端する。ユーザ端末1のプロトコルスタック102は、IPsec Tunnelが一つである。   In FIG. 6, the user terminal 1 and the PDG 33 terminate IPsec. The VPN client 34 and the VPN gateway 51 also terminate IPsec. The protocol stack 102 of the user terminal 1 has one IPsec Tunnel.

図7を参照して、ユーザ端末、AAA、PDG、VPNクライアント、VPNゲートウェイ、相手サーバ間の動作を説明する。図7において、ユーザ端末1が相手サーバ51に対して通信を開始する処理を説明する。ユーザ端末1は、PDG33にアクセスする(S11)。PDG33は、この通信をブロックする(S12)。PDG33は、ユーザ端末1に対して認証を要求する(S13)。   With reference to FIG. 7, the operation among the user terminal, AAA, PDG, VPN client, VPN gateway, and partner server will be described. In FIG. 7, a process in which the user terminal 1 starts communication with the counterpart server 51 will be described. The user terminal 1 accesses the PDG 33 (S11). The PDG 33 blocks this communication (S12). The PDG 33 requests the user terminal 1 for authentication (S13).

ユーザ端末1は、AAAサーバとの間で端末認証を行なう(S14)。なお、ユーザ端末の認証は、EAP(Extensible Authentication Protocol)−SIM(Subscriber Identity Module)またはEAP−AKA(Authentication and Key Agreement)を用いるのが3GPP網では一般的である。ここでは認証が正常に終了し、AAA31は、PDG33とユーザ端末1に対して認証の成功を通知する(S15、S16)。   The user terminal 1 performs terminal authentication with the AAA server (S14). It is common in 3GPP networks to use EAP (Extensible Authentication Protocol) -SIM (Subscriber Identity Module) or EAP-AKA (Authentication and Key Agreement) for user terminal authentication. Here, the authentication ends normally, and the AAA 31 notifies the PDG 33 and the user terminal 1 of the successful authentication (S15, S16).

PDG33は、ユーザ端末1に対するVLANをVLANのプールから選択し、VLANを登録する(S17)。PDG33は、VPNC34に対してトンネル開設を要求する(S18)。VPNC34は、認証情報を用いてVPNゲートウェイ51との間にIPsecトンネルを設定する(S19)。また、ユーザ端末1とPDG33間でも、認証情報を用いてIPsecトンネルを設定する(S21)。VPNC34とVPNゲートウェイ51との間のIPsecトンネルが設定できると、VPNC34は、トンネル設定完了をPDG33に応答する(S22)。   The PDG 33 selects a VLAN for the user terminal 1 from the VLAN pool, and registers the VLAN (S17). The PDG 33 requests the VPNC 34 to open a tunnel (S18). The VPNC 34 sets an IPsec tunnel with the VPN gateway 51 using the authentication information (S19). Also, an IPsec tunnel is set between the user terminal 1 and the PDG 33 using the authentication information (S21). When the IPsec tunnel between the VPNC 34 and the VPN gateway 51 can be set, the VPNC 34 responds to the PDG 33 with the completion of the tunnel setting (S22).

PDG33は、両者のIPsecトンネルが設定され、両者のIPsecトンネルの対応関係を示すVLANの設定が終了すると、通信ブロックを解除する(S23)。通信ブロックの解除によりユーザ端末1と相手サーバ52の間で通信リンクが確立し通信が開始される。なお、後述する認証テーブル7をAAA31が保持するとき、ステップ17は、PDG33からAAA31への矢印となる。   The PDG 33 releases the communication block when both IPsec tunnels are set and the VLAN setting indicating the correspondence between the two IPsec tunnels is completed (S23). By releasing the communication block, a communication link is established between the user terminal 1 and the partner server 52, and communication is started. When the AAA 31 holds an authentication table 7 described later, step 17 becomes an arrow from the PDG 33 to the AAA 31.

企業網3のネットワーク管理者は、VPNゲートウェイ51によるリモートユーザ管理の仕組みを導入済みであり、新しいWLAN2からの3GPPアクセスを用いたアクセスに対しても、他の既存のアクセス方法と同様なインタフェースでリモートVPN接続を利用できることを望むと思われる。上述した実施例に依れば、従来のリモートVPN接続とのインタフェースと役割分担を同一にして、新しく導入するWLANアクセスサービスについてもリモートVPN接続を提供することが可能になる。   The network administrator of the corporate network 3 has already introduced a remote user management mechanism using the VPN gateway 51, and the access using the 3GPP access from the new WLAN 2 has the same interface as other existing access methods. It would be desirable to have a remote VPN connection available. According to the above-described embodiment, it is possible to provide a remote VPN connection for a newly introduced WLAN access service by using the same role sharing as the interface with the conventional remote VPN connection.

図8を参照して、3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明する。図8において、ネットワーク200Aは、WLANアクセス網2、3GPP網3、インターネット4、企業網5−A、企業網5−Bで構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34が含まれる。企業網5−Aは、VPNゲートウェイ51−Aと、相手サーバ52−Aが含まれる。企業網5−Bは、VPNゲートウェイ51−Bと、相手サーバ52−Bが含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3と企業網5−Aと企業網5−Bを接続する。   With reference to FIG. 8, remote access to a plurality of corporate networks using the Internet connection service of the 3GPP network will be described. In FIG. 8, a network 200A is configured by a WLAN access network 2, a 3GPP network 3, the Internet 4, a corporate network 5-A, and a corporate network 5-B. The 3GPP network 3 includes a PDG 33, an AAA 31, and a VPN client 34. The corporate network 5-A includes a VPN gateway 51-A and a partner server 52-A. The corporate network 5-B includes a VPN gateway 51-B and a partner server 52-B. The WLAN access network 2 connects the user terminal 1 and the 3GPP network 3. The Internet 4 connects the 3GPP network 3, the corporate network 5-A, and the corporate network 5-B.

ユーザ端末1−A1とユーザ端末1−A2は、企業網5−Aに所属する端末である。ユーザ端末1−B1は、企業網5−Bに所属する端末である。ユーザ端末1−A1とユーザ端末1−A2は、相手サーバ52−Aに接続する。ユーザ端末1−B1は、相手サーバ52−Bに接続する。   The user terminal 1-A1 and the user terminal 1-A2 are terminals belonging to the corporate network 5-A. The user terminal 1-B1 is a terminal belonging to the corporate network 5-B. The user terminal 1-A1 and the user terminal 1-A2 are connected to the partner server 52-A. The user terminal 1-B1 connects to the partner server 52-B.

通信リンク671と通信リンク672と通信リンク673は、それぞれユーザ端末1−A1と相手サーバ52−A間、ユーザ端末1−A2と相手サーバ52−A間、ユーザ端末1−B1と相手サーバ52−B間の通信リンクである。IPsecトンネル681、IPsecトンネル682、IPsecトンネル683は、ユーザ端末1とPDG33間のIPsecトンネルとして、ユーザ端末1の通信がアクティブな状態の時に動的に設定されるIPsecトンネルである。IPsecトンネル691、IPsecトンネル692、IPsecトンネル693は、VPNクライアント34とVPNゲートウェイ51−AおよびVPNゲートウェイ51−B間のIPsecトンネルとして対応するユーザ端末1とPDG間のIPsecトンネルがアクティブな状態の時に動的に設定されるIPsecトンネルである。   The communication link 671, the communication link 672, and the communication link 673 are respectively connected between the user terminal 1-A1 and the partner server 52-A, between the user terminal 1-A2 and the partner server 52-A, and between the user terminal 1-B1 and the partner server 52-. Communication link between B. The IPsec tunnel 681, the IPsec tunnel 682, and the IPsec tunnel 683 are IPsec tunnels that are dynamically set as the IPsec tunnel between the user terminal 1 and the PDG 33 when the communication of the user terminal 1 is active. The IPsec tunnel 691, the IPsec tunnel 692, and the IPsec tunnel 693 are when the IPsec tunnel between the user terminal 1 and the PDG corresponding to the IPsec tunnel between the VPN client 34, the VPN gateway 51-A, and the VPN gateway 51-B is active. It is an IPsec tunnel that is dynamically set.

PDG33とVPNクライアント34は、ユーザ端末1からのフローを識別するためにVLANを用いている。ユーザ端末とのIPsecトンネルを開設する際に、PDG33は、ユーザ端末がどのVLAN(VLAN ID)を用いるかを決定する。   The PDG 33 and the VPN client 34 use VLAN to identify the flow from the user terminal 1. When establishing an IPsec tunnel with the user terminal, the PDG 33 determines which VLAN (VLAN ID) the user terminal uses.

ユーザ端末とPDG間およびVPNクライアントとVPNゲートウェイ間のIPsecトンネルに用いる認証情報は、AAAサーバに設定されており、どのVLANを用いるかもAAAサーバに登録する。   Authentication information used for the IPsec tunnel between the user terminal and the PDG and between the VPN client and the VPN gateway is set in the AAA server, and which VLAN is used is also registered in the AAA server.

図9を参照して、AAAサーバがユーザ端末毎に設定する情報を説明する。図9において、認証テーブル7は、端末識別子71と、端末認証情報72と、VPNユーザ認証情報73と、VPN74とから構成される。認証テーブル7の最初のレコードは、端末識別子71として、user1@operator1を保持している。端末認証情報72として、0x123456789abcdefを保持している。VPNユーザ認証情報73として、0xef123456789abcdを保持している。VPN74として、corporate1を保持している。   With reference to FIG. 9, the information which an AAA server sets for every user terminal is demonstrated. In FIG. 9, the authentication table 7 includes a terminal identifier 71, terminal authentication information 72, VPN user authentication information 73, and VPN 74. The first record of the authentication table 7 holds user1 @ operator1 as the terminal identifier 71. 0x123456789abcdef is held as the terminal authentication information 72. As VPN user authentication information 73, 0xef123456789abcd is held. As VPN74, corporate1 is held.

ユーザを識別する情報が端末識別子71である。端末識別子71は、ユーザを一意に識別するIDである。端末認証情報72は、3GPP網3のユーザ端末に設定されている認証情報である。端末認証情報72は、ユーザ端末の登録時にあらかじめ設定される情報である。   Information for identifying the user is a terminal identifier 71. The terminal identifier 71 is an ID that uniquely identifies the user. The terminal authentication information 72 is authentication information set for the user terminal of the 3GPP network 3. The terminal authentication information 72 is information set in advance when registering the user terminal.

VPN認証情報73は、企業網のリモートアクセスに利用される認証情報である。ここで、VPN認証情報73とは、IPsecの鍵交換プロトコルであるIKE(Internet Key Exchange)に用いる認証情報(事前共有鍵)である。VLAN74は、PDG33とVPNクライアント34の間でユーザを識別するために用いる。VLAN74は、端末認証が成功時にPDGにより動的に選択され、AAAサーバに書き込まれる。   The VPN authentication information 73 is authentication information used for remote access of the corporate network. Here, the VPN authentication information 73 is authentication information (pre-shared key) used for IKE (Internet Key Exchange) which is an IPsec key exchange protocol. The VLAN 74 is used to identify the user between the PDG 33 and the VPN client 34. The VLAN 74 is dynamically selected by the PDG when the terminal authentication is successful, and is written in the AAA server.

VPNクライアント34は、PDG33間で送受信するパケットについて、IEEE802.1Q VLANによりVLAN74を設定し、ユーザ端末を識別する。VPNクライアント34は、VLANに対応するIPsecトンネルにパケットを送受信する。なお、認証テーブル7のデータをVPNクライアント34が一時的に持ってもよい。   The VPN client 34 sets the VLAN 74 by the IEEE 802.1Q VLAN for the packet transmitted / received between the PDGs 33, and identifies the user terminal. The VPN client 34 transmits / receives a packet to / from the IPsec tunnel corresponding to the VLAN. Note that the VPN client 34 may temporarily have the data of the authentication table 7.

リモートユーザの認証情報は、企業網の管理者により管理され、企業のポリシーで設定されるものである。そのためリモートユーザの認証情報は、カスコンサーバ(Customer Controlled Server)を用いて企業側からの設定変更が可能になるような構成を追加することが考えられる。   The remote user authentication information is managed by the administrator of the corporate network and is set by the corporate policy. For this reason, it is conceivable to add a configuration in which the authentication information of the remote user can be changed from the company side by using a customer controlled server.

図10を参照して、カスコンサーバを含む3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明する。図10において、ネットワーク200Bは、WLANアクセス網2、3GPP網3、インターネット4、企業網5で構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34、カスコンサーバ35が含まれる。企業網5は、VPNゲートウェイ51と、相手サーバ52、企業端末53が含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3のVPNクライアント34、カスコンサーバ35と、企業網5のVPNゲートウェイ51を接続する。   With reference to FIG. 10, the remote access to the corporate network using the Internet connection service of the 3GPP network including the cascon server will be described. In FIG. 10, a network 200 </ b> B includes a WLAN access network 2, a 3GPP network 3, the Internet 4, and a corporate network 5. The 3GPP network 3 includes a PDG 33, an AAA 31, a VPN client 34, and a cascon server 35. The corporate network 5 includes a VPN gateway 51, a partner server 52, and a corporate terminal 53. The WLAN access network 2 connects the user terminal 1 and the 3GPP network 3. The Internet 4 connects the VPN client 34 and the Cascon server 35 of the 3GPP network 3 and the VPN gateway 51 of the corporate network 5.

企業網5の管理者は、企業端末53からVPNゲートウェイ51、インターネット4を介して、カスコンサーバ35にアクセスする。企業端末53からのアクセスにより、カスコンサーバ35は、IPsecクライアント34と、AAA31の設定を更新する。なお、カスコンサーバ35の機能を、PDG33が持ってもよい。この場合も、PDGを、通信装置と呼ぶ。   An administrator of the corporate network 5 accesses the Cascon server 35 from the corporate terminal 53 via the VPN gateway 51 and the Internet 4. The Cascon server 35 updates the settings of the IPsec client 34 and the AAA 31 by access from the company terminal 53. The PDG 33 may have the function of the cascon server 35. Again, the PDG is called a communication device.

1…ユーザ端末、2…WLANアクセス網、3…3GPP網、4…インターネット、5…企業網、7…認証テーブル、31…AAAサーバ、32…WAG、33…PDG、34…VPNクライアント、41…相手サーバ、51…VPNゲートウェイ、52…相手サーバ、60…ユーザ端末―相手サーバ間通信リンク、61…ユーザ端末−VPNゲートウェイ間IPsecトンネル、62…ユーザ端末―相手サーバ間通信リンク、63…ユーザ端末−PDG間IPsecトンネル、64…ユーザ端末―相手サーバ間通信リンク、65…ユーザ端末−PDG間IPsecトンネル、66…ユーザ端末−VPNゲートウェイ間IPsecトンネル、67…ユーザ端末―相手サーバ間通信リンク、68…ユーザ端末−PDG間IPsecトンネル、69…VPNクライアント−VPNゲートウェイ間IPsecトンネル、71…端末識別子、72…端末認証情報、73…VPNユーザ認証情報、74…VLAN、101…ユーザ端末のプロトコルスタック、102…ユーザ端末のプロトコルスタック、321…WAGのプロトコルスタック、322…WAGのプロトコルスタック、332…PDGのプロトコルスタック、331…PDGのプロトコルスタック、342…VPNクライアントのプロトコルスタック、511…VPNゲートウェイのプロトコルスタック、512…VPNゲートウェイのプロトコルスタック、521…相手サーバのプロトコルスタック、522…相手サーバのプロトコルスタック、671…ユーザ端末―相手サーバ間通信リンク、672…ユーザ端末―相手サーバ間通信リンク、673…ユーザ端末―相手サーバ間通信リンク、681…ユーザ端末−PDG間IPsecトンネル、682…ユーザ端末−PDG間IPsecトンネル、683…ユーザ端末−PDG間IPsecトンネル、691…VPNクライアント−VPNゲートウェイ間IPsecトンネル、692…VPNクライアント−VPNゲートウェイ間IPsecトンネル、693…VPNクライアント−VPNゲートウェイ間IPsecトンネル。   DESCRIPTION OF SYMBOLS 1 ... User terminal, 2 ... WLAN access network, 3 ... 3GPP network, 4 ... Internet, 5 ... Corporate network, 7 ... Authentication table, 31 ... AAA server, 32 ... WAG, 33 ... PDG, 34 ... VPN client, 41 ... Partner server 51 ... VPN gateway 52 ... partner server 60 ... user terminal-partner server communication link 61 ... user terminal-VPN gateway IPsec tunnel 62 ... user terminal-partner server communication link 63 ... user terminal -IPsec tunnel between PDGs, 64 ... communication link between user terminal and partner server, 65 ... IPsec tunnel between user terminal and PDG, 66 ... IPsec tunnel between user terminal and VPN gateway, 67 ... communication link between user terminal and partner server, 68 ... IPsec tunnel between user terminal and PDG, 6 ... VPN client-VPN gateway IPsec tunnel, 71 ... terminal identifier, 72 ... terminal authentication information, 73 ... VPN user authentication information, 74 ... VLAN, 101 ... user terminal protocol stack, 102 ... user terminal protocol stack, 321 ... WAG protocol stack, 322 ... WAG protocol stack, 332 ... PDG protocol stack, 331 ... PDG protocol stack, 342 ... VPN client protocol stack, 511 ... VPN gateway protocol stack, 512 ... VPN gateway protocol stack, 521 ... Protocol stack of partner server, 522 ... Protocol stack of partner server, 671 ... Communication link between user terminal and partner server, 672 ... User terminal-partner server Communication link between 673, user terminal and partner server, 681 IPsec tunnel between user terminal and PDG, 682 IPsec tunnel between user terminal and PDG, 683 IPsec tunnel between user terminal and PDG, 691 VPN client IPsec tunnel between VPN gateways, 692... IPsec tunnel between VPN client and VPN gateway, 693... IPsec tunnel between VPN client and VPN gateway.

Claims (4)

第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報との対応に基づいて、端末からアクセスされたとき、この端末の第1のユーザ認証情報を前記端末の第2のユーザ認証情報に変換して、前記第2の網へトンネルの開設要求を送信し、前記端末との第1のトンネルと前記第2の網との第2のトンネルとを設定し、前記第1のトンネルを介して受信したデータを前記第2のトンネルに転送することを特徴とする通信装置。   When accessed from a terminal based on the correspondence between the first user authentication information of the first network and the second user authentication information of the second network, the first user authentication information of this terminal is stored in the terminal The second user authentication information is converted into the second user authentication information, a tunnel establishment request is transmitted to the second network, and the first tunnel with the terminal and the second tunnel with the second network are set. A communication apparatus for transferring data received via the first tunnel to the second tunnel. 請求項1に記載の通信装置であって、
前記第1のユーザ認証情報と前記第2のユーザ認証情報とをLAN IDと対応付けて保持することを特徴とする通信装置。 The communication device according to claim 1,
A communication apparatus characterized by holding the first user authentication information and the second user authentication information in association with a LAN ID. 請求項1に記載の通信装置であって、
前記第2の網からの制御により、前記第2のユーザ認証情報を更新する手段を有することを特徴とする通信装置。 The communication device according to claim 1,
A communication apparatus comprising: means for updating the second user authentication information under control from the second network. 第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報とを保持するステップと、端末からアクセスされたとき、この端末の第1のユーザ認証情報を前記端末の第2のユーザ認証情報に変換するステップと、前記第2の網へトンネルの開設要求を送信するステップと、前記端末との第1のトンネルを設定するステップと、前記第2の網と第2のトンネルを設定するステップと、前記第1のトンネルを介して受信したデータを前記第2のトンネルに転送するステップとからなる通信方法。   Holding the first user authentication information of the first network and the second user authentication information of the second network; and when accessed from a terminal, the first user authentication information of the terminal is stored in the terminal Converting to the second user authentication information, transmitting a tunnel opening request to the second network, setting a first tunnel with the terminal, the second network and the second network A communication method comprising the steps of: setting two tunnels, and transferring data received via the first tunnel to the second tunnel.
JP2009048897A 2009-03-03 2009-03-03 Device and method of communication Pending JP2010206442A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009048897A JP2010206442A (en) 2009-03-03 2009-03-03 Device and method of communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009048897A JP2010206442A (en) 2009-03-03 2009-03-03 Device and method of communication

Publications (1)

Publication Number Publication Date
JP2010206442A true JP2010206442A (en) 2010-09-16

Family

ID=42967491

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009048897A Pending JP2010206442A (en) 2009-03-03 2009-03-03 Device and method of communication

Country Status (1)

Country Link
JP (1) JP2010206442A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014525163A (en) * 2011-06-22 2014-09-25 アルカテル−ルーセント Support for IP connectivity through reliable non-3GPP access
JP2015514348A (en) * 2012-03-19 2015-05-18 エンパイア テクノロジー ディベロップメント エルエルシー Methods for providing wireless communication
JP2016220044A (en) * 2015-05-20 2016-12-22 株式会社Nttドコモ Communication control device, terminal device and mobile communication system
WO2019058612A1 (en) * 2017-09-25 2019-03-28 株式会社 東芝 Remote access control system

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014525163A (en) * 2011-06-22 2014-09-25 アルカテル−ルーセント Support for IP connectivity through reliable non-3GPP access
JP2015514348A (en) * 2012-03-19 2015-05-18 エンパイア テクノロジー ディベロップメント エルエルシー Methods for providing wireless communication
US9750064B2 (en) 2012-03-19 2017-08-29 Empire Technology Development Llc Schemes for providing wireless communication
KR101875861B1 (en) * 2012-03-19 2018-07-06 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 Schemes for providing wireless communication
JP2016220044A (en) * 2015-05-20 2016-12-22 株式会社Nttドコモ Communication control device, terminal device and mobile communication system
WO2019058612A1 (en) * 2017-09-25 2019-03-28 株式会社 東芝 Remote access control system
US11397821B2 (en) 2017-09-25 2022-07-26 Kabushiki Kaisha Toshiba Remote access control system

Similar Documents

Publication Publication Date Title
US11895157B2 (en) Network security management method, and apparatus
US8335490B2 (en) Roaming Wi-Fi access in fixed network architectures
JP4802263B2 (en) Encrypted communication system and gateway device
US8665819B2 (en) System and method for providing mobility between heterogenous networks in a communication environment
US8509440B2 (en) PANA for roaming Wi-Fi access in fixed network architectures
US20070211659A1 (en) Method for implementing eap authentication relay in a wireless access system
JP4687788B2 (en) Wireless access system and wireless access method
US20070118883A1 (en) Method and apparatus for determining authentication capabilities
US20090046861A1 (en) Security for a heterogeneous ad hoc mobile broadband network
US8914520B2 (en) System and method for providing enterprise integration in a network environment
US20090150665A1 (en) Interworking 802.1 AF Devices with 802.1X Authenticator
EP2572491B1 (en) Systems and methods for host authentication
US20130104207A1 (en) Method of Connecting a Mobile Station to a Communcations Network
JP2010206442A (en) Device and method of communication
KR101083088B1 (en) System and method for providing a roaming and security function for VoIP service over VoWLAN system
KR102558364B1 (en) Method for 5g lan service
JP2015502694A (en) Secure tunneling platform system and method
Nishimura A distributed authentication mechanism for sharing an overlay network among multiple organizations
Iyer et al. Public WLAN Hotspot Deployment and Interworking.
Hang et al. Design and implementation of mobile access system based on multi-factor authentication
Tanizawa et al. A wireless LAN architecture using PANA for secure network selection
EP2578052A1 (en) Method of connecting a mobile station to a communications network