JP2011024065A - 暗号化通信システム及びゲートウェイ装置 - Google Patents

暗号化通信システム及びゲートウェイ装置 Download PDF

Info

Publication number
JP2011024065A
JP2011024065A JP2009168481A JP2009168481A JP2011024065A JP 2011024065 A JP2011024065 A JP 2011024065A JP 2009168481 A JP2009168481 A JP 2009168481A JP 2009168481 A JP2009168481 A JP 2009168481A JP 2011024065 A JP2011024065 A JP 2011024065A
Authority
JP
Japan
Prior art keywords
address
terminal
network
message
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009168481A
Other languages
English (en)
Other versions
JP4802263B2 (ja
Inventor
Masaya Motoyama
真也 本山
Satoshi Shimizu
聡 清水
Tadashi Nobe
正 野辺
Junnosuke Wakai
淳之介 若井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2009168481A priority Critical patent/JP4802263B2/ja
Priority to US12/776,001 priority patent/US20110016309A1/en
Priority to CN2010101809388A priority patent/CN101958822A/zh
Publication of JP2011024065A publication Critical patent/JP2011024065A/ja
Application granted granted Critical
Publication of JP4802263B2 publication Critical patent/JP4802263B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】3GPPシステムを介する企業網へのリモートVPNアクセスサービスを実現する。
【解決手段】3GPPシステムにリモートアクセスの終端部となるGW(PDG)205を設置する。端末−GW205間のIPSecトンネル開設後にVPNクライアント601−企業網GW間のIPSecトンネルを開設し、端末からのデータを端末−GW間、VPNクライアント−企業網GW間の2つのトンネルを介して、企業網へ転送する。また、GW205が、リモートVPNアクセスをした端末から受信したメッセージの宛先IPアドレスから、宛先のネットワークがグローバルアドレスを使用しているか調べ、グローバルアドレスが必要な場合、端末から受信したメッセージの送信元IPアドレスを、端末が割り当てられた企業網内で使用されるプライベートアドレスからグローバルアドレスに変換して転送する。
【選択図】図14

Description

本発明は、暗号化通信システム及びゲートウェイ装置に係り、特に、IPアドレス変換機能を備えた、3GPPシステムを介する企業網へのリモートVPNアクセスサービスを提供する暗号化通信システム及びゲートウェイ装置に関する。
IPSec(Security Architecture for the Internet Protocol)を使用したVPN(Virtual Private Network)技術によって、外出先の社員が自社の企業網にインターネットを介してセキュアに接続するリモートVPNアクセスが広く普及している。
リモートVPNアクセスシステムの概要について、図1を用いて説明する。図1において、端末101はインターネット102を介して企業網104と接続する。端末101は、通信リンク106にて企業網104の対向サーバ105と通信するが、通信リンク106は、インターネット102を通るため、セキュアにする必要がある。端末101は、企業網104においてインターネット102とのエッジに設置されたVPNゲートウェイ装置103に対して、IPSecトンネル107を設定する。IPSecトンネル107中の通信リンクを使用することにより、セキュアな通信路として通信リンク106を確保する。上記のようなリモートVPNアクセスシステムは、例えば、特許文献1に開示されている。
一方、携帯電話網の標準化機関である3GPP(3rd Generation Partnership Project)は、3GPP網にWLAN(Wireless Local Area Network)を介したインターネットアクセスを収容するための仕様を非特許文献1に規定している。図2を用いて、3GPP網を介したインターネットアクセス方法を説明する。図2において、端末101は、WLAN網201を介して3GPP網202と接続する。3GPP網202は端末101に対してインターネット102に接続するサービスを提供している。ここで、端末101は、インターネット102に接続された対向サーバ105との通信を行なうために端末101と対向サーバ105間で通信リンク206を接続する。
3GPP網202は、加入者の認証を行うサーバであるAAA(Authentication Authorization Accounting)203と、WLAN網でユーザーデータの伝送を行うWAG(Wireless LAN Access Gateway)204と、パケットレベルのゲートウェイであるPDG(Packet Data Gateway)205を有する。WLAN網201は、セキュアでないネットワークであり、通信リンク206のセキュリティを確保するために、端末101とPDG205間でIPSecトンネル207を設定する。
特開2001−160828号公報
3GPP TS23.234、 3GPP system to Wireless Local Area Network (WLAN) Interworking−System Description
3GPP網を介したインターネット接続サービスを利用して、インターネットに接続された企業網に対して、端末がリモートVPNアクセスを利用するケース1を考える。本ケース1では、端末101は、3GPP網202内のPDG205へのIPSecトンネルと企業網104にあるVPNゲートウェイ103へのIPSecトンネルの2重のIPSecトンネルを設定する。端末101において、二重にIPSec処理をすることは、端末のCPU資源等を多く消費することになり、処理能力が低い端末では性能上及び消費電力上の課題となる。
上述した課題を図3と図4を用いてより詳細に説明する。まず、図3を用いて、端末101が、3GPP網202が提供するインターネットへの接続サービスを利用して、インターネット102に接続された企業網104にある対向サーバ105に接続するケースを説明する。端末101は対向サーバ105が所属する企業網104に対しIPSecを用いたリモートVPNで接続されているものとする。端末101と対向サーバ105間で動作するアプリケーションは、通信リンク206で通信する。ここで、インターネットを介した端末101からのアクセスのセキュリティを確保するため、端末101とVPNゲートウェイ103間でIPSecトンネル301を設定し、通信リンク206での通信時にIPSecトンネル301を使用する。一方、3GPP網202では、WLAN網201を介した通信のセキュリティを確保するために端末101とPDG205間でIPSecトンネル207を確立する。ここで、IPSecトンネル207とIPSecトンネル301は、双方とも端末101で終端される。
図4を参照して、図3のネットワークのプロトコルスタックを説明する。図4において、端末101のプロトコルスタック401は、下位層から順にL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、Remote IPプロトコル、IPSec Tunnelプロトコル、IPプロトコルである。WAG204のプロトコルスタック402は、下位層から順にL1/L2プロトコル、Transport IPプロトコルである。
PDG205のプロトコルスタック403は、下位層から順にWAG側のL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、Remote IPプロトコル、VPNゲートウェイ103側のL1/L2プロトコル、Remote IPプロトコルである。VPNゲートウェイ103のプロトコルスタック404は、下位層から順にPDG205側のL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、Remote IPプロトコル、対向サーバ105側のL1/L2プロトコル、IPプロトコルである。対向サーバ105のプロトコルスタック405は、下位層から順にL1/L2プロトコル、IPプロトコルである。
端末101と対向サーバ105の間のIPパケットは、端末101とVPNゲートウェイ103で終端するIPSecトンネルを下位層に持つ。さらに、このIPSecトンネルは、端末101とPDG205間において両者で終端するIPSecトンネルを下位層に持つ。
端末101のプロトコルスタック401を見ると、端末101と対向サーバ105の間のIPパケットについて、2重にIPSecが処理されており、端末101のソフトウェアは、2重にIPSecを処理する必要があることがわかる。すなわち、端末101ではIPSec処理にCPUの処理能力を著しく消費する。
本発明の第一の目的は、端末の2重の暗号化処理を回避することである。
次に、3GPP網を介したインターネット接続サービスを利用して、インターネットに接続された企業網に対して、リモートVPNアクセスを利用する端末が企業網への接続後、接続を維持したままインターネットを利用するケース2を考える。本ケースでは、端末は企業網のVPNゲートウェイとの接続時に、VPNゲートウェイから企業網内でのみ使用されるプライベートアドレスを払い出してもらう。端末は払い出されたプライベートアドレスを使用して企業網内のサーバと接続できるが、端末はプライベートアドレスを使用しているため、インターネット上の別のサーバにアクセスすることはできないという課題がある。
上述した課題を図5にて詳細に説明する。
端末101は企業網104のVPNゲートウェイ103との接続時に、VPNゲートウェイ103から企業網内でのみ使用されるプライベートアドレスを払い出してもらう。端末101は払い出されたプライベートアドレスを使用して企業網104内の対向サーバ105と接続できる。ここで、インターネット上のWWWサーバ501にアクセスすることを考える。インターネット上ではグローバルアドレスが必要であるが、VPNゲートウェイ103との接続を維持したままでは、端末101はプライベートアドレスしか使用できないため、端末101はWWWサーバ501にアクセスすることができない。端末がグローバルアドレスを取得するためには、一旦VPNゲートウェイ103との接続を切断する必要があり、シームレスに切り替えることができない。また、企業網内のサーバを利用しながらインターネットを同時に利用することができず、端末101の利用者は大きな不便を強いられる。他方、インターネットを利用している端末101が企業網104内のサーバと接続する場合、端末101はVPNゲートウェイ103と接続し、企業網内でのみ使用されるプライベートアドレスを払いだしてもらう必要がある。この場合もインターネットとの接続を維持したまま、企業網内のサーバを利用することはできない。
本発明の第二の目的は、端末が企業網との接続を維持したまま、インターネット上のサーバをシームレスに利用できるようにすることである。
最後に、端末が移動しながらインターネット上のサーバにアクセスするケース3を考える。本ケースでは、端末は各区域のそれぞれのWLAN網に設置されるPDGを介して、インターネット上のサーバにアクセスするが、例えばWWWサーバのように、端末は直接アクセスせず、Proxyサーバ経由で間接的にアクセスするようなサーバも多い。そのようなケースでは、PDGの後段にProxyサーバを設置し、Proxyサーバ経由でWWWサーバにアクセスする形態となる。ここで、端末がProxyサーバ経由でWWWサーバにアクセスする場合、移動先の区域では別のWLAN網にアクセスするため、各区域に少なくとも一つProxyサーバが必要になる。また、Proxyサーバ以外の別の装置を経由させる場合においても同様に、PDGの後段に別の装置を少なくとも1台ずつ設置する必要がある。この区域は例えば県単位といった粒度で設定されることが多く、装置を増やすたびに各県単位に分散配置することは、分散拠点での運用の煩雑さや複数の装置を用意するコストを考えると、サービス事業者の負担が大きい。
本発明の第三の目的は、インターネット上のサーバに端末がアクセスする際に経由する装置をサービス事業者が追加する際、通信条件によって必要な通信のみ集約型の装置に転送することができるようにすることである。
上述のように、本発明の目的のひとつは、端末の2重の暗号化処理を回避することである。また、本発明の目的のひとつは、端末が企業網との接続を維持したまま、インターネット上のサーバをシームレスに利用できるようにすることである。また、本発明の目的のひとつは、インターネット上のサーバに端末がアクセスする際に経由する装置をサービス事業者が追加する際、通信条件によって必要な通信のみ集約型の装置に転送することができるようにすることである。
上述した課題を解決するため、本発明は、3GPP網のPDGの後段に、VPNクライアントを配置した通信システムを導入する。
本通信システムは、端末と、端末が認証を行うためのAAAと、端末とWLAN網を介して暗号化通信により接続されるPDGと、PDGの要求によって暗号化のためのトンネル設定を行うVPNクライアントと、VPNクライアントと企業網を介して暗号化通信により接続される対向サーバと、PDGとインターネットを介して非暗号化通信により接続されるサーバを有するシステムである。
本通信システムにおいて、PDGは、端末から初めてアクセスされたとき、端末の通信をブロックし認証を要求する通信ブロック処理部と、AAAから端末の認証成功を通知された後、PDG−VPNクライアント間で端末を識別するために端末に対するVLANを登録するVLAN設定部と、端末からの要求に応じて端末−PDG間にWLAN網の第1トンネルを設定するトンネル設定部と、WLAN網の第1トンネル設定後に企業網の第2トンネルの設定要求を送信するトンネル設定送信部と、端末から第1トンネルを介してメッセージを受信するメッセージ受信部と、端末から第1トンネルを介して受信したメッセージを第2トンネルを介して対向サーバに転送するメッセージ転送部を備えており、上述した課題のうち、端末の二重暗号化処理による性能・消費電力上の課題を解決できる。
また、本通信システムにおいて、PDGは、メッセージの送信元IPアドレスを企業網もしくはグローバルIPアドレスに変換するための情報を格納するIPアドレス変換テーブルと、メッセージの宛先IPアドレスおよびメッセージの送信元IPアドレスに基づいて、IPアドレス変換テーブルを検索し、検索結果に基づいてメッセージの送信元アドレスを企業網もしくはグローバルIPアドレスに変換するアドレス変換部と、送信元IPアドレスを企業網のIPアドレスに変換したメッセージは企業網の第2トンネルを介して企業網へ、送信元アドレスをインターネット網のIPアドレスに変換したメッセージはインターネットへ、各々転送するメッセージ転送部とを備えており、上述した課題のうち、端末が企業網との接続を維持したまま、インターネット上のサーバをシームレスに利用できない課題を解決できる。
より具体的には、本通信システムにおいて、アドレス変換部は、前記宛先IPアドレスが対向サーバのときに前記送信元IPアドレスを第2網内でのみ使用されるプライベートIPアドレスに変換し、前記宛先IPアドレスが前記サーバの宛先のときに前記送信元IPアドレスをプライベートIPアドレスからグローバルIPアドレスに変換する。
さらに、本通信システムにおいて、PDGは、端末から受信したメッセージの送信元IPアドレス、宛先ポート番号等の通信条件によって、受信メッセージの転送先をインターネットにするか、Proxyサーバ等の通信装置とするかを判断するための転送先判断部を備えており、通信条件によって必要な通信のみ集中配備された通信装置に転送できるようになる。
本発明の第1の解決手段によると、
第1網の第1トンネルを介して暗号化通信により端末と通信し、第2網を介して第1サーバと通信するゲートウェイ装置と、
第2トンネルを少なくとも第2網上に設定し、前記ゲートウェイ装置と第3網の第2サーバとで該第2トンネルを介して暗号化通信するためのVPNクライアント装置と
を備え、
前記ゲートウェイ装置は、
任意のIPアドレスで通信する前記端末から前記第1トンネルを介してメッセージを受信するメッセージ受信部と、
前記端末に割り当てる第2網のIPアドレス及び第3網のIPアドレスをひとつ又は複数格納するアドレス記憶部と、
受信されたメッセージの宛先に応じて、前記アドレス記憶部の前記第2網のIPアドレス又は前記第3網のIPアドレスをひとつ選択し、前記メッセージの送信元アドレスを選択された前記第2網のIPアドレス又は前記第3網のIPアドレスに変換するアドレス変換部と、
アドレス変換されたメッセージを、宛先に従い、前記第1サーバに転送する又は前記VPNクライアント装置を介して前記第2サーバに転送するメッセージ転送部と
を有する暗号化通信システムが提供される。
本発明の第2の解決手段によると、
第1網を介して暗号化通信により端末と通信するゲートウェイ装置と、第2網を介して前記ゲートウェイ装置と通信する第1サーバと、少なくとも第2網での暗号化通信を介して前記ゲートウェイ装置と通信する第3網の第2サーバとを備えたシステムにおける前記ゲートウェイ装置であって、
任意のIPアドレスで通信する前記端末から前記第1トンネルを介してメッセージを受信するメッセージ受信部と、
前記端末に割り当てる第2網のIPアドレス及び第3網のIPアドレスをひとつ又は複数格納するアドレス記憶部と、
受信されたメッセージの宛先に応じて、前記アドレス記憶部の前記第2網のIPアドレス又は前記第3網のIPアドレスをひとつ選択し、前記メッセージの送信元アドレスを選択された前記第2網のIPアドレス又は前記第3網のIPアドレスに変換するアドレス変換部と、
アドレス変換されたメッセージを宛先アドレスに従い転送するメッセージ転送部と
を備えた前記ゲートウェイ装置が提供される。
本発明によると、3GPP網が提供するWLAN網を介したインターネットアクセスを利用する端末が企業網のリモートVPNを利用する際に、IPSecの2重処理による性能への影響を回避できる。また、本発明によると、3GPP網を介したインターネット接続サービスを利用する端末が、企業網のリモートVPNを利用する際に、企業網との接続を維持したまま、インターネット上のサービスをシームレスに利用できる。さらに、本発明によると、端末に経由させたい通信装置を追加するにあたり、区域ごとに通信装置を設置する必要をなくし、集中配備することを可能にする。
リモートVPNアクセスを説明するブロック図である。 3GPPを利用したインターネットアクセスを説明するブロック図である。 3GPPを利用したリモートVPNアクセスを説明するブロック図である。 3GPPを利用したリモートVPNアクセスのプロトコルスタックを説明する図である。 3GPPを利用したリモートVPNアクセスにおいて、外部サーバとの接続を説明するブロック図である。 本発明を用いたリモートVPNアクセスにおいて、対向サーバとの通信を説明するブロック図である。 本発明を用いたリモートVPNアクセス時のプロトコルスタックを説明する図である。 端末、WLAN AP(アクセスポイント)、AAA、WLAN網のDHCP(Dynamic Host Configuration Protocol)、DNS(Domain Name Server)、PDG、3GPP網のDHCP、VPNクライアント、VPNゲートウェイ、対向サーバ間のシーケンス図である。 PDG内の端末情報テーブルである。 端末からのデータ受信時にPDGで行われるIPアドレス変換および転送のフローチャートである。 企業網内で使用されるIPアドレスが一覧となったIPアドレステーブルである。 PDGが使用できるグローバルアドレスが一覧となったIPアドレステーブルである。 対向サーバからのデータ受信時のPDGで行われるIPアドレス変換および転送のフローチャートである。 3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明する図である。 PDGの機能ブロックの構成図である。 端末によるインターネット上のWWWサーバへのProxyサーバ経由でのアクセスを説明する図である。 端末が経由する装置を集約設置可能にする通信システムを説明する図である。 PDGが持つ転送先判定テーブルである。 PDGの機能ブロックの構成図である。
以下、本実施の形態について、図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
図6を参照して、本実施の形態を用いた場合の3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明する。図6において、ネットワークは、WLAN網(第1網)201、3GPP網202、インターネット(第2網)102、企業網(第3網)104を含む。3GPP網202は、WAG204、PDG(ゲートウェイ装置)205、AAA(認証装置)203、VPNクライアント601、DHCP505、DNS506が含まれる。企業網104は、VPNゲートウェイ103と、対向サーバ105が含まれる。WLAN網201は、WLAN AP(WLAN Access Point)を介して端末101と3GPP網202を接続する。インターネット102は、3GPP網202と企業網104を接続する。
端末101と対向サーバ105間の通信リンク206にて、両者のアプリケーションはIPで通信する。VPNクライアント601は、端末101の代理としてVPNゲートウェイ103とのIPSecを終端する。これによって、VPNクライアント601は、VPNゲートウェイ103とのIPSecトンネル(第2トンネル)602を設定してインターネット102でのセキュリティを確保する。また、端末101はWLAN網201でのセキュリティを確保するために、端末101−PDG205間でIPSecトンネル(第1トンネル)207を設定する。なお、VPNクライアント601の機能は、PDG205に含めてもよい。
図7を参照して、端末101と対向サーバ105間のIPパケットを転送するためのプロトコルスタックを説明する。図6において、端末101のプロトコルスタック702は、下位層から順にL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、Remote IPプロトコルを含む。WAG204のプロトコルスタック402は、下位層から順にL1/L2プロトコル、Transport IPプロトコルを含む。PDG205のプロトコルスタック402は、下位層から順にWAG402側のL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、Remote IPプロトコル、VPNクライアント601側のL1/L2プロトコル、IPプロトコルを含む。VPNクライアント601のプロトコルスタック703は、下位層から順にPDG205側のL1/L2プロトコル、IPプロトコル、VPNゲートウェイ103側のL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、IPプロトコルを含む。VPNゲートウェイ103のプロトコルスタック704は、下位層から順にVPNクライアント601側のL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、IPプロトコル、対向サーバ105側のL1/L2プロトコル、IPプロトコルを含む。対向サーバ105のプロトコルスタック405は、下位層から順にL1/L2プロトコル、IPプロトコルを含む。
図7において、端末101とPDG205は、IPSec(図6のIPSecトンネル207に対応)を終端する。また、VPNクライアント601とVPNゲートウェイ103も、IPSec(図6のIPSecトンネル602に対応)を終端する。端末101のプロトコルスタック702は、IPSec Tunnelが一つである。
図15にPDG205の構成図を示す。図15においてPDG205の各機能部を説明する。なお、後述する図8の処理の対応する符号を示す。
通信ブロック処理部1501は、PDG205が端末101から初めてアクセスされたとき、PDG205が端末101の通信をブロック(図8:812)し、認証を要求する(813)。また、通信ブロック処理部1501は、VPNクライアント601からのトンネル設定完了が通知(823)された後、通信ブロックを解除する(824)。
VLAN設定部1502は、AAA203から端末101の認証成功を通知(815)された後、PDG205−VPNクライアント601間でユーザを識別するために端末101に対するVLANを登録し、WLAN201網のトンネルと企業網104のトンネルの対応付けを行う(817)。トンネル設定送信部1503は、端末101とPDG 205のトンネル設定後にVPNクライアント601へVPNクライアント601−VPNゲートウェイ103間のトンネル設定要求を送信する(821)。メッセージ受信部1504は端末101からWLAN網のトンネルを介してパケットデータを受信する。IPアドレス変換テーブル(アドレス記憶部)として、パケットの送信元IPアドレスを企業網104内で使用されるIPアドレスに変換するための情報を格納する企業網用IPアドレステーブル1101と、グローバルアドレスに変換するための情報を格納するグローバルIPアドレステーブル1201とを保持している。また、端末情報テーブル(端末情報記憶部)901を保持している。アドレス変換部1505は受信したパケットの宛先IPアドレスおよび受信したパケットの送信元IPアドレスに基づいて、上述のIPアドレステーブルを検索し、検索結果に基づいて受信したパケットの送信元アドレスを企業網104内で使用されるIPアドレスもしくは、グローバルアドレスに変換する(827)。メッセージ転送部1506は企業網104内で使用されるIPアドレスに変換したパケットはVPNクライアント601へ、グローバルアドレスに変換したパケットは、インターネット102に転送する。
図9にて、PDG205が保持している端末情報テーブル901を説明する。
端末情報変換テーブル901は、端末識別子902と、端末認証情報903と、VPNユーザ認証情報904と、VLAN(VLAN ID)905とが対応して記憶される。図示の例では端末情報テーブル901の最初のレコードは、端末識別子902として、user1@operator1を保持している。端末認証情報903として、0x123456789abcdefを保持している。VPNユーザ認証情報904として、0xef123456789abcdを保持している。VLAN905として、corporate1を保持している。
ユーザ(又は端末)を識別する情報が端末識別子902である。端末識別子902は、ユーザを一意に識別するIDである。端末認証情報903は、3GPP網202の端末に設定されている認証情報であり、端末認証情報903は、端末の登録時にあらかじめ設定される。VPN認証情報904は、企業網のリモートアクセスに利用される認証情報である。ここで、VPN認証情報904とは、例えば、IPSecの鍵交換プロトコルであるIKE(Internet Key Exchange)に用いる認証情報(事前共有鍵)である。VLAN 905は、PDG205とVPNクライアント601の間でユーザを識別するために用いる。VLAN905は、端末認証の成功時にPDG205により動的に選択され、PDG205内で保持され、VPNクライアント601に通知される。なお、これらの各情報はAAA203に予め設定され、認証成功時にPDG205に転送するようにしてもよいし、予めPDG205に設定されてもよい。
図11は、企業網用IPアドレステーブルの説明図である。企業網用IPアドレステーブル1101は、例えば、企業網用IPアドレス1102に対応して、使用状態1103と、端末のIPアドレス1104とを含む。
図12は、グローバルIPアドレステーブルの説明図である。グローバルIPアドレステーブル1201は、例えば、グローバルIPアドレス1202に対応して、使用状態1203と、端末のIPアドレス1204とを含む。
(動作)
図8を参照して、端末、WLAN AP、AAA、WLAN網のDHCP、WLAN網のDNS、PDG、3GPP網のDHCP、VPNクライアント、VPNゲートウェイ、対向サーバ間の動作を説明する。
図8において、端末101が対向サーバ105に対して通信を開始する処理を説明する。端末101は、一連のWLAN association プロシージャ(801〜808)をWLAN AP502との間で実行し、WLAN網の認証が終了後、WLAN AP502との接続を確立する。ここで、WLAN associationプロシージャはIEEE802.11で規定された新規接続の処理手順である。次に、端末101はWLAN網201内のDHCP503からTransport IPアドレスを取得する(809)。Transport IPアドレスはWLAN網内でのみ有効なプライベートアドレスである。次にWLAN網201内のDNS504からPDG205のアドレスを取得する(810)。PDG205のアドレスが取得できたので、端末101はPDG205へアクセスする(811)。PDG205は、この通信をブロックする(812)。PDG205は、端末101に対して認証を要求する(813)。
端末101は、AAAサーバ203との間で3GPP網の端末認証を行う(814)。なお、3GPP網においては、端末の認証は、EAP(Extensible Authentication Protocol)−SIM(Subscriber IDentity Module)またはEAP−AKA(Authentication and Key Agreement)を用いることができる。ここでは認証が正常に終了し、AAA203はPDG205と端末101に対して認証の成功を通知する(815、816)。なお、PDG205への認証成功の通知(815)は、端末101が企業網104のリモートアクセスを利用するための各種情報902〜904を含んでおり、PDG205は端末101の各種情報をPDG205内の端末情報テーブル901(図9)に保存するものとする。
AAA203から認証成功が通知(815)された後、PDG205は、端末101に対するVLANのIDをVLAN IDのプールから選択し、VLANを登録する(817)。なお、VLANを登録する際に、端末情報テーブル901のVLAN905にVLAN IDを保存するものとする。VLANの設定をするPDG205は、VPNクライアント601に対し、端末101に対するVLANとして選択したVLANの登録を要求し(818)、VPNクライアント601は、通知されたVLANを登録する(819)。端末101はPDG205のトンネル設定部1507とトンネル設定のための通信を行い、端末101とPDG205間で、認証情報を用いてIPSecトンネルを設定する(820)。その後、PDG205は、VPNクライアント601に対してトンネル設定を要求する(821)。なお、トンネル設定の要求(821)には端末101のVPN認証情報904を含んでおり、VPNクライアント601は、端末101のVPN認証情報904をVPNクライアント601内に一時的に保存するものとする。VPNクライアント601は、端末101のVPN認証情報904を用いてVPNゲートウェイ103との間にIPSecトンネルを設定する(819)。VPNクライアント601とVPNゲートウェイ103との間のIPSecトンネルが設定できると、VPNクライアント601は、トンネル設定完了をPDG205に応答する(823)。
PDG205は、端末−PDG間およびVPNクライアント−VPNゲートウェイ間のIPSecトンネルが設定され、両者のIPSecトンネルの対応関係を示すVLANの設定が終了すると、通信ブロックを解除する(824)。通信ブロックの解除、端末101と対向サーバ105の間で通信リンクが確立し通信が開始される。その後、端末101は3GPP網のDHCP505からRemote IPアドレスを取得し(825)、対向サーバ105とのデータ通信を開始する(826)。なお、Remote IPアドレスは企業網用のIPアドレスである。PDG205は、端末101−対向サーバ105間のデータ通信に際して、IPアドレス変換と転送(827)を行う。
図10にて、PDG205が行うIPアドレス変換と転送(827)について説明する。PDG205は(以下の各ステップについても同様)、端末101からパケットデータ(メッセージと称することもある)を受信(1002)時、受信パケットの宛先IPアドレスが企業網104内で使用されるIPアドレスであるか判定する(1003)。なお、企業網104内で使用されるIPアドレスが一覧となった企業網用IPアドレステーブル1101をPDG205はあらかじめ保持しており、受信パケットの宛先IPアドレスに基づき企業網用IPアドレステーブル1101を参照して該当するIPアドレスがあれば企業網104内で使用されるIPアドレスであると判定する。受信パケットの宛先IPアドレスが企業網104内で使用されるIPアドレスの場合(1003、Yes)、受信パケットの送信元IPアドレスが企業網104内で使用されるIPアドレスであるか判定(1004)する。受信パケットの送信元IPアドレスが企業網104内で使用されるIPアドレスでない場合(1004、No)、処理1005に移る。端末101がグローバルIPアドレスを用いて、企業網の対向サーバ105にパケットデータを送信する場合に想到する。処理1005では、企業網用IPアドレステーブル1101から使用状態1103が空きの行(エントリ)を選択し、使用状態1103に端末101の端末識別子902を書き込み、端末101のIPアドレス1104に端末101のIPアドレスを書き込む(1005)。なお、端末101のIPアドレスは、受信パケットの送信元IPアドレスを用いることができる。その後、受信パケットの送信元IPアドレスを選択したエントリの企業網用IPアドレス1102に変換(1006)し、その後、受信パケットをVPNクライアント601に転送する(1007)。なお、受信パケットの送信元IPアドレスが企業網104内で使用されるIPアドレスの場合(1004、Yes)、受信パケットをVPNクライアント601に転送する(1007)。これは、端末101が企業網のプライベートIPアドレスを用いて対向サーバ105にパケットデータを送信する場合に相当する。
一方、受信パケットの宛先IPアドレスが企業網104内で使用されるIPアドレスでない場合(1003、No)、受信パケットの送信元IPアドレスがグローバルアドレスであるか判定する(1009)。グローバルアドレスでない場合(1009、No)、処理1010に移る。端末101が、例えば企業網などのプライベートIPアドレスを用いてwwwサーバ501にパケットデータを送信する場合に相当する。処理1010では、PDG205があらかじめ保持しているグローバルIPアドレステーブル1201から使用状態1203が空きのエントリを選択し、使用状態1203に端末101の端末識別子902を書き込み、端末101のIPアドレス1204に端末101のIPアドレスを書き込む(1010)。その後、受信パケットの送信元IPアドレスを選択したエントリのグローバルIPアドレス1102に変換(1011)し、その後、受信パケットをインターネット102に転送する(1012)。また、受信パケットの送信元IPアドレスがグローバルアドレスの場合(1009、Yes)、受信パケットをインターネット102に転送する(1012)。これは、端末101がグローバルIPアドレスを用いてwwwサーバ501にパケットデータを送信する場合に相当する。
なお、企業網104内で使用されるIPアドレスが一覧となった企業網用IPアドレステーブル1101と、PDG205があらかじめ保持しているグローバルIPアドレステーブル1201に書き込まれた使用状態は、端末101がPDG205との通信を切断する際に、PDG205が「空き」に戻す。
図13にて、対向サーバからのデータ受信時のPDGで行われるIPアドレス変換および転送について説明する。
PDG205が、対向サーバ105やwwwサーバ501などの対向の装置からパケットデータを受信時(1302)、受信パケットデータの宛先IPアドレスと一致するIPアドレス1202がないかグローバルIPアドレステーブル1201を検索する(1303)。一致する要素がある場合、使用状態が空きか判定し(1304)、空きの場合、受信パケットの宛先が特定できないため、受信パケットを破棄する(1308)。一方、使用状態1203が空きでなければ記載されている端末識別子902からどの端末宛かを判定することができる。使用状態が空きでない場合、宛先の端末が特定できたので、受信パケットの宛先IPアドレスを一致する要素がある行(エントリ)の端末のIPアドレス1204に変換(1305)し、受信パケットをVPNクライアント601に転送する(1007)。
受信パケットデータの宛先IPアドレスと一致するIPアドレス1202がグローバルIPアドレステーブル1201に見つからない場合、企業網用IPアドレステーブル1101を検索する(1309)。宛先アドレスと一致するIPアドレス1102が見つからない場合(1309、No)、受信パケットを破棄する(1308)。なお、この場合、アドレス変換の必要がないとして、受信パケットを宛先アドレスに従い転送してもよい。一致するIPアドレス1102が見つかった場合(1309、Yes)、使用状態が空きか判定し(1310)、空きの場合、受信パケットの宛先が特定できないため、受信パケットを破棄する(1308)。使用状態が空きでない場合、宛先の端末が特定できたので、受信パケットの宛先IPアドレスを一致する要素がある行(エントリ)の端末のIPアドレス1104に変換(1311)し、受信パケットをVPNクライアント601に転送する(1007)。
企業網104のネットワーク管理者は、VPNゲートウェイ103によるリモートユーザ管理の仕組みを導入済みであり、新しいWLAN網からの3GPPを用いたリモートVPNアクセスに対しても、既存のアクセス方法と同様のインタフェースでリモートVPN接続を利用できることを望むと思われる。上述した実施の形態に依れば、従来のリモートVPN接続とのインタフェースと役割分担を同一にして、新しく導入するWLANアクセスサービスについてもリモートVPN接続を提供することが可能になる。
図14を参照して、3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明する。
図14において、ネットワークは、WLAN網201、3GPP網202、インターネット102、企業網1406、企業網1412を含む。3GPP網202は、WAG204、PDG205、AAA203、VPNクライアント601、DHCP505、DNS506を含む。企業網1406は、VPNゲートウェイ1405と、対向サーバ1407を含む。企業網1412は、VPNゲートウェイ1411と、対向サーバ1413を含む。WLAN網201は、端末1401または端末1402と3GPP網202を接続する。インターネット102は、3GPP網202と企業網1406または企業網1412を接続する。
端末1401は、企業網1406に所属する端末である。端末1402は、企業網1412に所属する端末である。端末1401は、対向サーバ1407に接続する。端末1402は、対向サーバ1413に接続する。
通信リンク1408は、端末1401と対向サーバ1407間、通信リンク1415は端末1402と対向サーバ1413間の通信リンクである。IPSecトンネル1409は、端末1401とPDG205間のIPSecトンネルとして、端末1401の通信がアクティブな状態の時に動的に設定されるIPSecトンネルである。同様に、IPSecトンネル1414は、端末1402とPDG205間のIPSecトンネルとして、端末1402の通信がアクティブな状態の時に動的に設定されるIPSecトンネルである。
一方、IPSecトンネル1410は、VPNクライアント601−VPNゲートウェイ1405間のIPSecトンネルであり、IPSecトンネル1410に対応する端末1401−PDG205間のIPSecトンネルがアクティブな状態の時に動的に設定されるIPSecトンネルである。同様に、IPSecトンネル1416は、VPNクライアント601−VPNゲートウェイ1411間のIPSecトンネルであり、IPSecトンネル1416に対応する端末902−PDG205間のIPSecトンネルがアクティブな状態の時に動的に設定されるIPSecトンネルである。
PDG205とVPNクライアント601は、端末1401、1402からのフローを識別するためにVLANを用いている。端末とのIPSecトンネルを設定する際に、PDG205は、端末がどのVLAN(VLAN ID)を用いるかを決定する。
端末とPDG間およびVPNクライアントとVPNゲートウェイ間のIPSecトンネルに用いる認証情報は、AAAサーバに設定されており、端末がどのVLAN IDを使用するかはAAAサーバに登録することができる。AAAサーバが保持する情報は、図9の端末情報テーブル901と同じ内容である。
次に、図16を参照して、端末によるインターネット上のWWWサーバへのProxyサーバ経由でのアクセスを説明する。
図16において、ネットワークは、同一区域1621内(例えば同一県内)に存在するWLAN網1602および3GPP網1603と、インターネット1604を含む。WLAN網1602は、WLAN AP1605を含む。3GPP網1603は、WAG1607、PDG1608、Proxyサーバ1619を含む。WLAN網1602は、端末1601と3GPP網1603を接続する。WWWサーバ1609をインターネット1604上に存在するWWWサーバである。また、WLAN網1612および3GPP網1613は、WLAN網1602と別の区域1622内(例えば別の県内)に存在しており、WLAN網1612は、WLAN AP1614を含む。3GPP網1613は、WAG1615、PDG1616、Proxyサーバ1620を含む。WLAN網1612は、端末1601と3GPP網1613を接続する。Proxyサーバは、例えば、NAT等のIPアドレス変換、後段処理、代理処理などの予め定められた処理を行うことができる。
端末1601がある区域1621内で通信リンク1611によってProxyサーバ1619経由でWWWサーバ1609にアクセスした後、別の区域1622に移動した場合、移動先の区域では別のWLAN網1612を介してアクセスする。このため、別の区域1622内にも少なくとも一つのProxyサーバ1620が必要になる。また、Proxyサーバ1620以外の別の装置を経由させる場合においても、同様に各区域のPDG1608、1616の後段に別の装置を少なくとも1台ずつ設置する必要がある。ここで、区域は県単位といった粒度で設定されることが多く、各県単位に装置を分散配置することは、分散拠点での運用の煩雑さや複数の装置を用意するコストを考えると、サービス事業者の負担が大きい。
図17を参照して、本実施の形態を用いた場合の端末によるインターネット上のWWWサーバへのProxyサーバ経由でのアクセスを説明する。
図17において、Proxyサーバ(通信装置)1702は、区域1621および区域1622とは別の区域1701内に存在し、区域1621および区域1622内には、Proxyサーバは存在しない。PDG1707およびPDG1708は、端末1601からパケットデータを受信すると、受信パケットの宛先アドレスが企業網内のアドレスか、インターネット上のサーバのアドレスかを判定する。企業網内のアドレスの場合は、前述した通りVPNクライアントに受信パケットを転送する。インターネット上のサーバのアドレスである場合、転送先判定テーブル1801を参照し、受信パケットの送信元IPアドレス1802と受信パケットの宛先ポート番号1803が該当する経由先装置1804を検索し、経由先装置1804に受信パケットを転送する。図18は、転送先判定テーブルの構成図である。転送先判定テーブル1801は、例えば、送信元IPアドレス1802と、宛先ポート番号1803と、経由先装置1804とが対応して予め記憶される。例えば、図17において、端末1601がWWWサーバ1608に宛先ポート番号80番でアクセスした場合、PDG1707およびPDG1708は、転送先判定テーブル1801から経由先装置1804としてProxyサーバ1702を検索し、端末1601からの受信パケットをProxyサーバ1702に転送する。また、PDG1707およびPDG1708は受信パケットから転送先判定テーブル1801を検索した結果、経由先装置1804として「経由しない」を選択した場合は、受信パケットの宛先IPアドレス宛にそのままインターネット1604に転送する(例えば、通信リンク1706のケース)。
本実施の形態においてPDGは図19の通り、転送先判定テーブル1801を検索し、経由先1804を選択するための転送先判断部1901をさらに備えており、この転送先判断機能を持つことにより、区域ごとに通信装置を設置することなく、集約設置することを可能にする。
本発明は、例えば、3GPPシステムを介する企業網へのリモートVPNアクセスサービスを提供する通信システム等に利用可能である。
101…端末
102…インターネット
103…VPNゲートウェイ
104…企業網
105…対向サーバ
201…WLAN網
202…3GPP網
203…AAAサーバ
204…WAG
205…PDG
501…インターネット上のWWWサーバ
502…WLAN AP
503…WLAN網のDNS
504…WLAN網のDHCP
505…3GPP網のDHCP
506…3GPP網のDNS
601…VPNクライアント
901…PDG205内の端末情報テーブル
1101…企業網104内で使用されるIPアドレスが一覧となったIPアドレステーブル
1201…PDG205が使用可能なグローバルアドレスのテーブル
1401…端末
1402…端末
1403…WLAN AP
1404…WLAN AP
1405…VPNゲートウェイ
1406…企業網
1407…対向サーバ
1411…VPNゲートウェイ
1412…企業網
1413…対向サーバ
1501…PDG205の通信ブロック処理部
1502…PDG205のVLAN処理部
1503…PDG205のトンネル設定送信部
1504…PDG205のメッセージ受信部
1505…PDG205のアドレス変換部
1506…PDG205のメッセージ転送部
1507…PDG205のトンネル設定部
1601…端末
1602…WLAN網
1603…3GPP網
1604…インターネット
1605…WLAN AP
1607…WAG
1608…PDG
1609…インターネット上のWWWサーバ
1612…WLAN網
1613…3GPP網
1614…WLAN AP
1615…WAG
1616…PDG
1619…Proxyサーバ
1620…Proxyサーバ
1701…3GPP網
1702…Proxyサーバ
1705…対向サーバ
1707…PDG
1708…PDG
1801…転送先判定テーブル
1901…転送先判断部

Claims (13)

  1. 第1網の第1トンネルを介して暗号化通信により端末と通信し、第2網を介して第1サーバと通信するゲートウェイ装置と、
    第2トンネルを少なくとも第2網上に設定し、前記ゲートウェイ装置と第3網の第2サーバとで該第2トンネルを介して暗号化通信するためのVPNクライアント装置と
    を備え、
    前記ゲートウェイ装置は、
    任意のIPアドレスで通信する前記端末から前記第1トンネルを介してメッセージを受信するメッセージ受信部と、
    前記端末に割り当てる第2網のIPアドレス及び第3網のIPアドレスをひとつ又は複数格納するアドレス記憶部と、
    受信されたメッセージの宛先に応じて、前記アドレス記憶部の前記第2網のIPアドレス又は前記第3網のIPアドレスをひとつ選択し、前記メッセージの送信元アドレスを選択された前記第2網のIPアドレス又は前記第3網のIPアドレスに変換するアドレス変換部と、
    アドレス変換されたメッセージを、宛先に従い、前記第1サーバに転送する又は前記VPNクライアント装置を介して前記第2サーバに転送するメッセージ転送部と
    を有する暗号化通信システム。
  2. 前記第2網のIPアドレスはグローバルIPアドレスであり、
    前記メッセージ受信部が、プライベートIPアドレスを用いる前記端末から宛先IPアドレスが第2網の前記第1サーバのIPアドレスである前記メッセージを受信すると、前記アドレス変換部は、前記アドレス記憶部から前記第2網のグローバルIPアドレスをひとつ選択し、該メッセージの送信元IPアドレスをプライベートIPアドレスから選択されたグローバルIPアドレスに変換する請求項1に記載の暗号化通信システム。
  3. 前記第3網のIPアドレスは第3網内で使用されるプライベートIPアドレスであり、
    前記メッセージ受信部が、グローバルIPアドレスを用いる前記端末から宛先IPアドレスが第3網の前記第2サーバのIPアドレスである前記メッセージを受信すると、前記アドレス変換部は、前記アドレス記憶部から前記第3網のプライベートIPアドレスをひとつ選択し、該メッセージの送信元IPアドレスをグローバルIPアドレスから選択されたプライベートIPアドレスに変換する請求項1に記載の暗号化通信システム。
  4. 前記端末と前記第2サーバが、前記第1トンネル、前記ゲートウェイ装置、前記VPNクライアント装置及び前記第2トンネルを介してセキュアに通信する請求項1に記載の暗号化通信システム。
  5. 前記ゲートウェイ装置は、
    前記ゲートウェイ装置と前記VPNクライアント装置間で前記端末を識別するために前記端末に対するVLANを登録するVLAN設定部
    をさらに有する請求項4に記載の暗号化通信システム。
  6. 前記第1トンネルと前記第2トンネルが、前記VLANにより関連づけられる請求項5に記載の暗号化通信システム。
  7. 前記ゲートウェイ装置は、
    前記端末との間に第1網での第1トンネルを設定するトンネル設定部と、
    第2網での第2トンネルの設定要求を、前記VPNクライアント装置に送信するトンネル設定送信部と
    をさらに有する請求項1に記載の暗号化通信システム。
  8. 前記ゲートウェイ装置は、
    前記端末の認証情報が予め記憶される端末情報記憶部をさらに有し、
    前記VPNクライアント装置への前記設定要求は、前記端末の認証情報を含み、
    前記前記VPNクライアント装置は、該端末の認証情報を用いて、前記第2サーバとの暗号化通信のための前記第2トンネルを設定する請求項7に記載の暗号化通信システム。
  9. 前記端末の認証を行う認証装置
    をさらに備え、
    前記ゲートウェイ装置は、前記認証装置から前記端末の認証情報を取得し、前記端末情報記憶部に記憶する請求項8に記載の暗号化通信システム。
  10. 前記第2網のIPアドレスはグローバルIPアドレスであり、前記第3網のIPアドレスは第3網内で使用されるプライベートIPアドレスであり、
    前記アドレス変換部は、
    選択されたプライベートIPアドレスに対応して、受信されたメッセージの送信元アドレスに従い前記端末のグローバルIPアドレスを前記アドレス記憶部に記憶し、又は、
    選択されたグローバルIPアドレスに対応して、受信されたメッセージの送信元アドレスに従い前記端末のプライベートIPアドレスを前記アドレス記憶部に記憶する請求項1に記載の暗号化通信システム。
  11. 前記アドレス変換部は、
    前記選択されたプライベートIPアドレス又はグローバルIPアドレスを宛先アドレスとするメッセージを前記第1サーバ又は前記第2サーバから受信し、該メッセージの宛先アドレスに基づき前記アドレス記憶部を参照し、該宛先アドレスに対応する前記端末のグローバルIPアドレス又はプライベートIPアドレスを取得し、受信したメッセージの宛先アドレスを取得されたグローバルIPアドレス又はプライベートIPアドレスに変換し、
    前記メッセージ転送部は、アドレス変換された該メッセージを前記端末に転送する請求項10に記載の暗号化通信システム。
  12. 前記端末からのメッセージに予め定められた処理を加えて前記第1サーバに転送するための通信装置
    をさらに備え、
    前記ゲートウェイ装置は、
    宛先ポート番号及び送信元IPアドレスに対応して、メッセージの経由先装置情報が予め記憶された転送先判定テーブルと、
    前記端末から受信する前記第1サーバ宛てのメッセージに含まれる宛先ポート番号及び送信元IPアドレスに基づいて前記転送先判定テーブルを参照し、対応する経由先装置情報に従い、該メッセージの転送先を判断する転送先判断部
    を有し、
    前記メッセージ転送部は、前記転送先判断部の判断に従い、該メッセージを前記通信装置又は前記第1サーバに転送する請求項1に記載の暗号化通信システム。
  13. 第1網を介して暗号化通信により端末と通信するゲートウェイ装置と、第2網を介して前記ゲートウェイ装置と通信する第1サーバと、少なくとも第2網での暗号化通信を介して前記ゲートウェイ装置と通信する第3網の第2サーバとを備えたシステムにおける前記ゲートウェイ装置であって、
    任意のIPアドレスで通信する前記端末から前記第1トンネルを介してメッセージを受信するメッセージ受信部と、
    前記端末に割り当てる第2網のIPアドレス及び第3網のIPアドレスをひとつ又は複数格納するアドレス記憶部と、
    受信されたメッセージの宛先に応じて、前記アドレス記憶部の前記第2網のIPアドレス又は前記第3網のIPアドレスをひとつ選択し、前記メッセージの送信元アドレスを選択された前記第2網のIPアドレス又は前記第3網のIPアドレスに変換するアドレス変換部と、
    アドレス変換されたメッセージを宛先アドレスに従い転送するメッセージ転送部と
    を備えた前記ゲートウェイ装置。
JP2009168481A 2009-07-17 2009-07-17 暗号化通信システム及びゲートウェイ装置 Expired - Fee Related JP4802263B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2009168481A JP4802263B2 (ja) 2009-07-17 2009-07-17 暗号化通信システム及びゲートウェイ装置
US12/776,001 US20110016309A1 (en) 2009-07-17 2010-05-07 Cryptographic communication system and gateway device
CN2010101809388A CN101958822A (zh) 2009-07-17 2010-05-14 加密通信系统及网关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009168481A JP4802263B2 (ja) 2009-07-17 2009-07-17 暗号化通信システム及びゲートウェイ装置

Publications (2)

Publication Number Publication Date
JP2011024065A true JP2011024065A (ja) 2011-02-03
JP4802263B2 JP4802263B2 (ja) 2011-10-26

Family

ID=43466072

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009168481A Expired - Fee Related JP4802263B2 (ja) 2009-07-17 2009-07-17 暗号化通信システム及びゲートウェイ装置

Country Status (3)

Country Link
US (1) US20110016309A1 (ja)
JP (1) JP4802263B2 (ja)
CN (1) CN101958822A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012034170A (ja) * 2010-07-30 2012-02-16 Nippon Telegraph & Telephone West Corp ネットワーク認証方法及びサービス提供システム
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
WO2016059840A1 (ja) * 2014-10-17 2016-04-21 株式会社網屋 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2447546T3 (es) * 2008-04-11 2014-03-12 Telefonaktiebolaget L M Ericsson (Publ) Acceso a través de redes de acceso no-3GPP
CN102263774B (zh) * 2010-05-24 2014-04-16 杭州华三通信技术有限公司 一种处理源角色信息的方法和装置
EP2538721A1 (en) * 2011-06-22 2012-12-26 Alcatel Lucent Support of IP connections over trusted non-3GPP access
US8984617B1 (en) 2011-08-04 2015-03-17 Wyse Technology L.L.C. Client proxy operating in conjunction with server proxy
US9414223B2 (en) 2012-02-17 2016-08-09 Nokia Technologies Oy Security solution for integrating a WiFi radio interface in LTE access network
CN105027664B (zh) 2013-01-03 2018-11-02 英特尔公司 在使用无线局域网的无线通信系统中的分组数据连接
US9590884B2 (en) * 2013-07-03 2017-03-07 Facebook, Inc. Native application hotspot
CN104283977B (zh) * 2013-07-08 2017-12-19 北京思普崚技术有限公司 一种vpn网络中的vpn自动穿越方法
CN103401751B (zh) * 2013-07-17 2016-08-10 北京星网锐捷网络技术有限公司 因特网安全协议隧道建立方法和装置
US9641551B1 (en) * 2013-08-13 2017-05-02 vIPtela Inc. System and method for traversing a NAT device with IPSEC AH authentication
CN104811507B (zh) * 2014-01-26 2018-05-01 中国移动通信集团湖南有限公司 一种ip地址获取方法及装置
EP3094058B1 (en) * 2015-05-13 2018-03-21 ADVA Optical Networking SE Participation of an intermediary network device between a security gateway communication and a base station
WO2018098633A1 (zh) * 2016-11-29 2018-06-07 深圳前海达闼云端智能科技有限公司 数据传输方法、数据传输装置、电子设备和计算机程序产品
CN109861924B (zh) * 2017-11-30 2022-06-21 中兴通讯股份有限公司 报文的发送、处理方法及装置,pe节点,节点
CN110380947B (zh) * 2019-07-23 2021-10-22 深圳市启博科创有限公司 一种基于p2p技术的二级网络架构和vpn组网方法
JP2022076669A (ja) * 2020-11-10 2022-05-20 富士フイルムビジネスイノベーション株式会社 情報処理装置、情報処理プログラム、及び通信システム
CN113904868A (zh) * 2021-11-02 2022-01-07 北京长焜科技有限公司 一种基于IPsec的远程网管的管理方法
CN114615080B (zh) * 2022-03-30 2023-12-05 阿里巴巴(中国)有限公司 工业设备的远程通信方法、装置以及设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000312228A (ja) * 1999-04-02 2000-11-07 Lucent Technol Inc パケットサーバにおける呼設立方法
JP2001237898A (ja) * 2000-02-24 2001-08-31 Nippon Telegr & Teleph Corp <Ntt> フレーム転送方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3965160B2 (ja) * 2003-01-21 2007-08-29 三星電子株式会社 相異なる私設網に位置したネットワーク装置間の通信を支援するネットワーク接続装置
US7665132B2 (en) * 2003-07-04 2010-02-16 Nippon Telegraph And Telephone Corporation Remote access VPN mediation method and mediation device
EP1771998B1 (en) * 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
JP4737089B2 (ja) * 2004-10-19 2011-07-27 日本電気株式会社 Vpnゲートウェイ装置およびホスティングシステム
JP4561983B2 (ja) * 2005-01-13 2010-10-13 日本電気株式会社 ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム
WO2006075616A1 (ja) * 2005-01-13 2006-07-20 Matsushita Electric Industrial Co., Ltd. 通信システム、端末機器および通信機器
EP1761082B1 (de) * 2005-09-02 2018-06-13 Nokia Solutions and Networks GmbH & Co. KG Verfahren und anordnung zum anbinden eines zweiten kommunikationsnetzes mit einem zugangsknoten an ein erstes kommunikationsnetz mit einem kontaktknoten
GB0612288D0 (en) * 2006-06-21 2006-08-02 Nokia Corp Selection of access interface
EP2191386A4 (en) * 2007-08-24 2014-01-22 Cisco Tech Inc PROVIDING VIRTUAL SERVICES WITH A BUSINESS ACCESS GATEWAY

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000312228A (ja) * 1999-04-02 2000-11-07 Lucent Technol Inc パケットサーバにおける呼設立方法
JP2001237898A (ja) * 2000-02-24 2001-08-31 Nippon Telegr & Teleph Corp <Ntt> フレーム転送方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012034170A (ja) * 2010-07-30 2012-02-16 Nippon Telegraph & Telephone West Corp ネットワーク認証方法及びサービス提供システム
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
US8959614B2 (en) 2011-09-28 2015-02-17 Samsung Sds Co., Ltd. Apparatus and method for providing virtual private network service based on mutual authentication
WO2016059840A1 (ja) * 2014-10-17 2016-04-21 株式会社網屋 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法
JP2016082555A (ja) * 2014-10-17 2016-05-16 株式会社網屋 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法
GB2546464A (en) * 2014-10-17 2017-07-19 Amiya Co Ltd Communication apparatus, method for controlling communication between different types of devices,

Also Published As

Publication number Publication date
US20110016309A1 (en) 2011-01-20
CN101958822A (zh) 2011-01-26
JP4802263B2 (ja) 2011-10-26

Similar Documents

Publication Publication Date Title
JP4802263B2 (ja) 暗号化通信システム及びゲートウェイ装置
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
KR101009686B1 (ko) 다수의 가상 운영자를 지원하는 공용 무선 lan을 위한 세션 키 관리
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
US9015855B2 (en) Secure tunneling platform system and method
JP2020515126A (ja) モノのインターネット通信方法、モノのインターネット装置、及びモノのインターネットシステム
CN110140415B (zh) 使用无线设备的wlan连接
US8467386B2 (en) System and apparatus for local mobility anchor discovery by service name using domain name service
JP5587512B2 (ja) モバイル機器と静的宛先アドレスとの間のデータ伝送を可能にするための方法および装置
JP2012147478A (ja) 非3gppアクセスネットワーク経由のアクセス
JP5536628B2 (ja) 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント
JP2004241976A (ja) 移動通信ネットワークシステムおよび移動端末認証方法
WO2010094244A1 (zh) 一种进行接入认证的方法、装置及系统
US20130100857A1 (en) Secure Hotspot Roaming
JP4291262B2 (ja) ハードウエア・ファイアウォールを利用してネットワーク・データをホストと安全に共有する経路設定装置のシステムおよび方法
JP2010206442A (ja) 通信装置および通信方法
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
JP5982706B2 (ja) セキュアトンネリング・プラットフォームシステムならびに方法
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
KR102558364B1 (ko) 5g lan 서비스 제공 방법
Nishimura A distributed authentication mechanism for sharing an overlay network among multiple organizations
JP7076051B1 (ja) Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム
JP7076050B1 (ja) Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム
US20230336535A1 (en) Method, device, and system for authentication and authorization with edge data network
Du et al. Research on NB-IOT Device Access Security Solutions

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110419

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110616

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110712

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110808

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140812

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees