JP2016534671A - ローカルエリアネットワーク間の仮想プライベートネットワークを確立するための方法及びシステム - Google Patents
ローカルエリアネットワーク間の仮想プライベートネットワークを確立するための方法及びシステム Download PDFInfo
- Publication number
- JP2016534671A JP2016534671A JP2016542320A JP2016542320A JP2016534671A JP 2016534671 A JP2016534671 A JP 2016534671A JP 2016542320 A JP2016542320 A JP 2016542320A JP 2016542320 A JP2016542320 A JP 2016542320A JP 2016534671 A JP2016534671 A JP 2016534671A
- Authority
- JP
- Japan
- Prior art keywords
- local area
- unit
- infrastructure
- area network
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004891 communication Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000004931 aggregating effect Effects 0.000 claims description 2
- 230000008901 benefit Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000004913 activation Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 101150012579 ADSL gene Proteins 0.000 description 2
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 2
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本発明は、ローカルエリアネットワーク間の仮想プライベートネットワークを確立するための方法であって、各ローカルエリアネットワークは、パブリックネットワークへの少なくとも1つのアクセスゲートウェイと、VPNクライアントを有する1つのユニットと、を含む、方法に関する。前記方法は、ユニットの電源がオンにされるたびに実行される次のステップを含む:前記ユニットにより、少なくとも1つの接続メッセージを、前記パブリックネットワークに接続されているインフラストラクチャであって、少なくとも1つの中間サーバを有するインフラストラクチャに送信するステップであって、各接続メッセージは、前記ローカルエリアネットワークのそれぞれのアクセスゲートウェイを通過する、ステップ;前記インフラストラクチャにより、各接続メッセージを受信するステップ;及び、前記ユニットが配置されている前記ローカルエリアネットワークの各ブリッジを特定するトポロジデータを判別するステップ。前記方法は、複数のユニットに関して実行される次のステップをさらに含む:前記インフラストラクチャの予め定められた中間サーバにより、前記複数のユニットに関連付けられているVPNサーバをインスタンス化するステップ;対応する前記トポロジデータから、前記VPNサーバと各ユニットの前記VPNクライアントとの間の暗号化トンネルを確立するステップ;及び、前記の確立された暗号化トンネルの間のデータルーティングルールを表すルーティングデータを作成して記憶するステップ。
Description
本発明は、複数のローカルエリアネットワーク間の仮想プライベートネットワークの分野に関する。
複数のリモートサイト間のプライベートコンピュータネットワーク、すなわち、データの機密性が確保されるコンピュータネットワークを作成するためのソリューションが、従来技術において知られている。
プライベートネットワークを設置するための知られているソリューションは、ラベルスイッチングに基づくプロトコルであるMPLS(マルチプロトコルラベルスイッチング)プロトコルである。
しかしながら、MPLSネットワークの設置は、ローカルエリアネットワークを相互接続するために専用の物理ネットワークがセットアップされる必要があるため、複雑であり、コストがかかる。
MPLSに代わるソリューションは、仮想プライベートネットワーク(VPN)を確立することを含む。
VPNネットワークは、パブリック伝送ネットワーク(典型的にはインターネット)を介して、2つのローカルエリアネットワークを相互接続する。これら2つのローカルエリアネットワークの2つのマシン間で伝送されるデータは、「トンネリング」として知られているプロトコルに従ってカプセル化されて暗号化される。
このように、VPNネットワークは、従来のローカルエリアネットワークにおいて見つけられるのと同じレベルのデータセキュリティをもって通信するリモートマシンを含む。
図1は、2つのリモートローカルエリアネットワークRa及びRbの間の仮想プライベートネットワークの例を示している。各ローカルエリアネットワークRa、Rbは、少なくとも1つの端末Ua、Ubと、同じパブリックネットワークIへの1つのアクセスゲートウェイPa、Pbと、を含む。
各ゲートウェイPa、Pbは、通常、複数のポートと、ポートの開放を制御するファイアウォールと、を有し、パブリックネットワークから到来するデータは、ファイアウォールにより、対応するローカルエリアネットワークに入ることを許可される。各ゲートウェイは、例えば、一般に「ADSLボックス」と呼ばれる多機能ADSLボックスである。
各ローカルエリアネットワークRa、Rbはまた、トンネリング上記原理に従ってパケットを暗号化/復号化するためのVPNモジュールも含む。
2つのVPNモジュールは、クライアント/サーバモデルに従って動作する。2つのVPNモジュールのうちの一方のモジュールは、VPNサーバである他方のモジュールに認証要求を送信するVPNクライアントである。VPNクライアントが、VPNサーバにより正しく識別されると、VPNサーバは、VPNクライアントとの暗号化トンネルを作成する(図1において、暗号化トンネルは、破線矢印により示されている)。
しかしながら、そのようなシステムにおいて、仮想ネットワークの確立は、互いと通信することが意図される複数のローカルエリアネットワークの事前設定を必要とする。
第1に、VPNサーバは、VPNクライアントのリストを認識するよう事前に設定されなければならない。また、識別要求は、しばしば、サーバ側ファイアウォールの特定の受信ポート(通常はポート1194)の開放を必要とする。したがって、ゲートウェイも設定されなければならない。
第2に、VPNリンクの確立は、クライアント側設定も必要とする。
本発明の目的は、各リモートサイトからの設定の必要なくセットアップされる、複数のリモートサイト間の仮想プライベートネットワークシステムを提案することである。
この目的のために、第1の態様に従うと、ローカルエリアネットワーク間の仮想プライベートネットワークを確立するための方法であって、各ローカルエリアネットワークは、パブリックネットワークへの少なくとも1つのアクセスゲートウェイと、VPNクライアントを有する1つのユニットと、を含む、方法が提案される。前記方法は、ユニットの電源がオンにされるたびに実行される以下のステップを含む:
−前記ユニットにより、少なくとも1つの接続メッセージを、前記パブリックネットワークに接続されているインフラストラクチャであって、少なくとも1つの中間サーバを有するインフラストラクチャに送信する送信ステップであって、各接続メッセージは、前記ローカルエリアネットワークのそれぞれのアクセスゲートウェイを通過する、送信ステップ、
−前記インフラストラクチャにより、各接続メッセージを受信し、前記ユニットが配置されている前記ローカルエリアネットワークの各アクセスゲートウェイを特定するトポロジデータを判別するステップ。
前記方法は、複数のユニットに関して実行される以下のステップをさらに含む:
−前記インフラストラクチャの予め定められた中間サーバにより、前記複数のユニットに関連付けられているVPNサーバをインスタンス化するステップ、
−対応する前記トポロジデータから、前記VPNサーバと各ユニットの前記VPNクライアントとの間の暗号化トンネルを確立する確立ステップ、
−前記の確立された暗号化トンネルの間のデータルーティングルールを表すルーティングデータを作成して記憶するステップ。
−前記ユニットにより、少なくとも1つの接続メッセージを、前記パブリックネットワークに接続されているインフラストラクチャであって、少なくとも1つの中間サーバを有するインフラストラクチャに送信する送信ステップであって、各接続メッセージは、前記ローカルエリアネットワークのそれぞれのアクセスゲートウェイを通過する、送信ステップ、
−前記インフラストラクチャにより、各接続メッセージを受信し、前記ユニットが配置されている前記ローカルエリアネットワークの各アクセスゲートウェイを特定するトポロジデータを判別するステップ。
前記方法は、複数のユニットに関して実行される以下のステップをさらに含む:
−前記インフラストラクチャの予め定められた中間サーバにより、前記複数のユニットに関連付けられているVPNサーバをインスタンス化するステップ、
−対応する前記トポロジデータから、前記VPNサーバと各ユニットの前記VPNクライアントとの間の暗号化トンネルを確立する確立ステップ、
−前記の確立された暗号化トンネルの間のデータルーティングルールを表すルーティングデータを作成して記憶するステップ。
第2の態様に従うと、複数のローカルエリアネットワーク間の仮想プライベートネットワークを確立するための相互接続インフラストラクチャであって、各ローカルエリアネットワークは、パブリックネットワークへの少なくとも1つのアクセスゲートウェイを含む、相互接続インフラストラクチャが提案される。前記相互接続インフラストラクチャは:
−少なくとも1つの中間サーバであって、各中間サーバは、リモートローカルエリアネットワークに配置されている少なくとも1つのVPNクライアントとの少なくとも1つの暗号化トンネルを確立するよう構成されている少なくとも1つのVPNサーバをインスタンス化するインスタンス化手段を有する、少なくとも1つの中間サーバ、
−リモートローカルエリアネットワークにおける、パブリックネットワークへの少なくとも1つのアクセスゲートウェイを特定するトポロジデータを受信すると、少なくとも提供されている前記中間サーバに、VPNサーバのインスタンス化要求を送信するよう構成されているコントローラ、
−前記パブリックネットワーク、少なくとも提供されている前記中間サーバ、及び前記コントローラに接続されているルータであって、少なくとも提供されている前記中間サーバによりインスタンス化されている各VPNサーバと、リモートローカルエリアネットワークに配置されているVPNクライアントと、の間でデータをルーティングするデータルーティング手段を有するルータ、
を有する。
−少なくとも1つの中間サーバであって、各中間サーバは、リモートローカルエリアネットワークに配置されている少なくとも1つのVPNクライアントとの少なくとも1つの暗号化トンネルを確立するよう構成されている少なくとも1つのVPNサーバをインスタンス化するインスタンス化手段を有する、少なくとも1つの中間サーバ、
−リモートローカルエリアネットワークにおける、パブリックネットワークへの少なくとも1つのアクセスゲートウェイを特定するトポロジデータを受信すると、少なくとも提供されている前記中間サーバに、VPNサーバのインスタンス化要求を送信するよう構成されているコントローラ、
−前記パブリックネットワーク、少なくとも提供されている前記中間サーバ、及び前記コントローラに接続されているルータであって、少なくとも提供されている前記中間サーバによりインスタンス化されている各VPNサーバと、リモートローカルエリアネットワークに配置されているVPNクライアントと、の間でデータをルーティングするデータルーティング手段を有するルータ、
を有する。
第3の態様に従うと、少なくとも1つの他のリモートローカルエリアネットワークとの仮想プライベートネットワークを確立するための、パブリックネットワークへの少なくとも1つのアクセスゲートウェイを含むローカルエリアネットワークにおいて接続されることが意図される相互接続ユニットであって、前記少なくとも1つの他のリモートローカルエリアネットワークも前記パブリックネットワークにアクセスする、相互接続ユニットが提案される。前記相互接続ユニットは:
−接続メッセージを生成するよう構成されているデータ処理モジュール、
−前記ローカルエリアネットワークの各アクセスゲートウェイを介して、前記第2の態様に従った相互接続インフラストラクチャに、前記接続メッセージを通信するよう構成されているネットワーク通信モジュール、
−リモートVPNサーバとの少なくとも1つの暗号化トンネルを確立するためのVPNクライアント、
を有する。
−接続メッセージを生成するよう構成されているデータ処理モジュール、
−前記ローカルエリアネットワークの各アクセスゲートウェイを介して、前記第2の態様に従った相互接続インフラストラクチャに、前記接続メッセージを通信するよう構成されているネットワーク通信モジュール、
−リモートVPNサーバとの少なくとも1つの暗号化トンネルを確立するためのVPNクライアント、
を有する。
第4の態様に従うと、少なくとも2つのローカルエリアネットワーク間の仮想プライベートネットワークを確立するための相互接続システムも提案される。前記相互接続システムは、前記第2の態様に従った相互接続インフラストラクチャと、少なくとも2つの前記第3の態様に従った相互接続ユニットと、を有し、各相互接続ユニットは、相互接続可能なユニットのグループ識別子を記憶する記憶モジュールを有し、前記相互接続インフラストラクチャの各中間サーバは、特定のグループ識別子に関連付けられる。
本発明の第1の利点は、相互接続されるローカルエリアネットワーク間で交換されるデータの機密性を確保しながら、リモートサイト間の仮想プライベートネットワークを確立するための自動的ソリューションを提案することである。
本発明の第2の利点は、ローカルエリアネットワークに存在するアクセスゲートウェイに関する独立性である。アクセスゲートウェイの再配置又は再設定が、対応するユニットの追加の再設定の必要なく、透過的に行われる。
本発明の第3の利点は、高可用性を確保する、パブリックネットワークへの複数のアクセスの自動管理である。
本発明は、単独で又は技術的に可能な組合せのうちのいずれかの形をとる以下の特徴により、効果的に実現される:
−前記トポロジデータは、少なくとも1つのパブリックIPアドレスを含み、各パブリックIPアドレスは、前記パブリックネットワークから、対応する前記ローカルエリアネットワークのアクセスゲートウェイを識別するものである;
−前記送信ステップは、周期的に実行される;
−接続メッセージを送信するステップ及び受信するステップは、各ユニットに記憶されている証明書の提示に関するHTTPSプロトコルに従って実行される;
−前記確立ステップは、複数の暗号化サブトンネルを作成するサブステップであって、各暗号化サブトンネルは、ローカルエリアネットワークの特定のアクセスゲートウェイを通過するルートに対応する、サブステップと、前記暗号化サブトンネルを暗号化トンネルに集約するサブステップと、を含む;
−前記VPNサーバの前記インスタンス化を実行する前記中間サーバは、前記接続メッセージに含まれる、相互接続可能なユニットのグループ識別子に基づいて決定される。
−前記トポロジデータは、少なくとも1つのパブリックIPアドレスを含み、各パブリックIPアドレスは、前記パブリックネットワークから、対応する前記ローカルエリアネットワークのアクセスゲートウェイを識別するものである;
−前記送信ステップは、周期的に実行される;
−接続メッセージを送信するステップ及び受信するステップは、各ユニットに記憶されている証明書の提示に関するHTTPSプロトコルに従って実行される;
−前記確立ステップは、複数の暗号化サブトンネルを作成するサブステップであって、各暗号化サブトンネルは、ローカルエリアネットワークの特定のアクセスゲートウェイを通過するルートに対応する、サブステップと、前記暗号化サブトンネルを暗号化トンネルに集約するサブステップと、を含む;
−前記VPNサーバの前記インスタンス化を実行する前記中間サーバは、前記接続メッセージに含まれる、相互接続可能なユニットのグループ識別子に基づいて決定される。
本発明の他の特徴、目的、及び利点が、以下の説明から明らかになるであろう。以下の説明は、例示に過ぎず、限定的なものではなく、添付の図面を参照して検討される必要がある。全ての図面において、類似要素は同一の参照符号を有する。
すでに説明した、仮想プライベートネットワークを確立するためのシステムを概略的に示す図。
本発明の一実施形態に従った、複数のローカルエリアネットワーク間の相互接続システムを概略的に示す図。
本発明の一実施形態に従ったユニットを概略的に示す図。
本発明の一実施形態に従った相互接続インフラストラクチャを概略的に示す図。
本発明の一実施形態に従った、仮想プライベートネットワークを確立するための方法のステップを示す図。
図5にも示されているステップのサブステップを示す図。
図2〜図4を参照すると、第1のリモートローカルエリアネットワークRa及び第2のリモートローカルエリアネットワークRbが、仮想プライベートネットワーク型の接続を介して相互接続されることになる。
各ローカルエリアネットワークは、インターネットへの少なくとも1つのアクセスゲートウェイPa、Pbと、少なくとも1つのアクセスゲートウェイに接続されている少なくとも1つの端末Ua、Ubと、を含む。
各アクセスゲートウェイPa、Pb1、Pb2は、対応するローカルエリアネットワークに存在する各端末から認識可能なローカルIPアドレスと、インターネットネットワークから認識可能なパブリックIPアドレスと、を有する。
図2に示される例において、第1のローカルエリアネットワークRaは、パブリックネットワークへの第1のアクセスゲートウェイPaを含み、第2のローカルエリアネットワークRbは、パブリックネットワークへの第2のアクセスゲートウェイのペアPb1、Pb2を含む。
相互接続ユニット1a、1bが、各ローカルエリアネットワークに配置されている。
各ユニット1a、1bは、当該ユニットが配置されているローカルエリアネットワークのアクセスゲートウェイのうちの少なくとも1つと通信するよう構成されているネットワーク通信手段12を有する。
各ユニット1a、1bはまた、フラッシュメモリやEEPROMメモリ等の記憶手段14と、例えばプロセッサといったデータ処理モジュール10と、を有する。各ユニットは、さらに、少なくとも1つのVPNクライアント16を実行するよう構成されている。
ローカルエリアネットワークRa、Rbから分離されている相互接続インフラストラクチャ2も、インターネットに接続されている。
インフラストラクチャ2は、少なくとも1つの中間サーバ20を含むローカルエリアネットワークを形成する。各中間サーバ20は、複数のリモートVPNクライアントとの暗号化トンネルを確立するよう構成されている少なくとも1つのVPNサーバをインスタンス化するインスタンス化手段を有する。
図4に示される実施形態において、インフラストラクチャ2は、ルータ25、コントローラ26、バーチャライザ24、及びデータベース28を有する。
ルータ
ルータ25は、インフラストラクチャ2のための、インターネットへのアクセスゲートウェイ機能を確保する。ルータ25は、インターネットから認識可能な1つのパブリックIPアドレスを有する。
ルータ25は、インフラストラクチャ2のための、インターネットへのアクセスゲートウェイ機能を確保する。ルータ25は、インターネットから認識可能な1つのパブリックIPアドレスを有する。
ルータ25は、例えば、アドレス変換(NAT)及び/又はソースルーティングにより、インターネットから受信されたデータの、インフラストラクチャ2のローカルエリアネットワークにおける特定のIPアドレスを有する各中間サーバ20へのルーティングを確保する。ルータ25はまた、ユニットから発生された要求の、コントローラ26へのルーティングを確保する。
ルータ25はまた、インフラストラクチャ2へのアクセスポートの開放を制御するファイアウォールを有する。
バーチャライザ
バーチャライザ24は、少なくとも1つのオペレーティングシステムを実行するよう構成されている仮想マシン(又はハイパーバイザ)を有する。各中間サーバ20は、バーチャライザ24により実行されるオペレーティングシステムであり、各オペレーティングシステムは、他のオペレーティングシステムから分離される。
バーチャライザ24は、少なくとも1つのオペレーティングシステムを実行するよう構成されている仮想マシン(又はハイパーバイザ)を有する。各中間サーバ20は、バーチャライザ24により実行されるオペレーティングシステムであり、各オペレーティングシステムは、他のオペレーティングシステムから分離される。
バーチャライザ24は、中間サーバを動的にインスタンス化し、中間サーバの動作の状態をモニタリングし、且つ/又は、それらをキャンセルするよう構成されている。
インスタンス化された各中間サーバ20(「セントラル」とも呼ばれる)は、インフラストラクチャ2における1つのプライベートIPアドレスを用いて識別される。各サーバは、複数の論理ポートを有し、複数の論理ポートを介して、ルータ25から発生されたデータを受信することができる。例えば、図4は、本明細書において以下で説明する方法に従ってユニット1aとの間に確立された暗号化トンネル24aを示している。
例えば、バーチャライザ24は、FreeBSD(登録商標)ホストオペレーティングシステムを有することができ、仮想マシンは、KVM(登録商標)又はQEMU(登録商標)のタイプとすることができる。変形形態として、仮想マシンは、FreeBSD(登録商標)オペレーティングシステムにおいて複数の中間サーバを互いから分離するためのBSD Jail(登録商標)のセットである。他のタイプの分離も有効である。例えば、Jail又はopenVZのタイプの軽量仮想化を使用することができる。
各中間サーバ20は、NanoBSD(登録商標)のタイプのスレーブオペレーティングシステムとすることができ、インスタンス化される各VPNサーバは、対応するスレーブNanoBSD(登録商標)オペレーティングシステムのバックグラウンドで実行されるデーモンOpenVPN(登録商標)とすることができる。
コントローラ
コントローラ26は、ルータ25、中間サーバ、及びデータベース28に接続されている。コントローラ26は、インフラストラクチャ2のローカルエリアネットワークにおけるIPアドレスを有する。
コントローラ26は、ルータ25、中間サーバ、及びデータベース28に接続されている。コントローラ26は、インフラストラクチャ2のローカルエリアネットワークにおけるIPアドレスを有する。
インフラストラクチャ2が、例えば「mydomainname.com」といった第2レベルドメイン名を有する場合、コントローラ26は、例えば「controller.mydomainname.com」といったサブドメイン名を有することもできる。
コントローラ26はまた、中間サーバの動作をモニタリングして、障害がある中間サーバ20を検出するよう構成されている。
コントローラ26は、ルータ25を介して、電源がオンにされている各相互接続ユニットと通信する。各ユニット1a、1bとコントローラ26との間の通信は、好ましくは、各ユニットに以前に記憶された証明書の提示に関するHTTPSプロトコルにより確保される。
コントローラ26はまた、イベントメッセージを生成して、データベース28内のログにこのようなメッセージを登録するよう構成されている。
仮想プライベートネットワークの確立
図5を参照すると、仮想プライベートネットワークの確立は、第1のユニット(例えば、第1のローカルエリアネットワークRaのユニット1a)に関して実行される以下のステップを含む。
図5を参照すると、仮想プライベートネットワークの確立は、第1のユニット(例えば、第1のローカルエリアネットワークRaのユニット1a)に関して実行される以下のステップを含む。
ステップSNDTOPにおいて、ユニット1aは、少なくとも1つの接続メッセージを、インフラストラクチャ2のコントローラ26に送信する。各接続メッセージは、ユニット1aが配置されているネットワークのそれぞれのゲートウェイを通過する(ここでは、ローカルエリアネットワークRaは、1つのゲートウェイPaのみを含むので、1つのメッセージは、ユニット1aに送信される)。
このメッセージは、各ゲートウェイと、可能であれば、開放ポートを発見するための、様々なポートのリストにあるポートと、を介して、送信される。このメカニズムは、デフォルト設定のポート(ポート1194)以外のポートを発見して使用することができる。
宛先コントローラ26のアドレスは、判別されており、各ユニット1a、1bから既知である。このアドレスは、ローカルエリアネットワークにおけるユニットの初期電源オンの前に、記憶手段14に記憶され得る。このアドレスは、コントローラ26のIPアドレスとすることができる、又は、好ましくは、コントローラ26のドメイン名とすることができる。コントローラ26のドメイン名は、コントローラ26のIPアドレスのいかなる変化も透過的にする。
受信ステップRCVTOPにおいて、コントローラ26は、少なくとも1つの接続メッセージを受信し、結果として、ユニット1aが配置されているローカルエリアネットワークRaのトポロジを判別する。トポロジは、特に、どのアクセスゲートウェイが、ユニット1aが配置されているローカルエリアネットワークRaの、インターネットへのアクセスゲートウェイであるかを特定するものである。トポロジは、特に、それぞれの接続メッセージが通過した各ゲートウェイ(ここではゲートウェイPa)についての、パブリックIPアドレスとローカルエリアネットワークRaにおけるプライベートIPアドレスとを含む。
これらと同じステップが、ローカルエリアネットワークRbにおいて電源がオンにされている相互接続ユニット1bに関しても実行される。
したがって、パブリックネットワークIからの、各ローカルエリアネットワークにおける入接続を行うことなく、各ローカルエリアネットワークのトポロジが判別される。
ステップINITVPNにおいて、中間サーバ20は、VPNサーバ22をインスタンス化する。このステップINITVPNは、第1のネットワーク(例えばRa)のトポロジデータの判別後に実行されてもよいし、複数のネットワーク(Ra及びRb)のトポロジデータの判別後に実行されてもよい。
より正確には、コントローラ26は、使用される中間サーバ20を決定し、その中間サーバ20にインスタンス化要求を送信する。コントローラ26により選択された中間サーバ20は、VPNサーバ22のインスタンスを起動し、起動通知をコントローラ26に返送する。次いで、コントローラ26は、ステップSNDACKにおいて、接続メッセージを送信したユニットに、VPNサーバ22が使用される準備ができていることを知らせるための通知を送信することができる。
ステップRCVACKにおいて、ユニットは、起動通知を受信する。
次いで、ステップTUNNにおいて、暗号化トンネル24aが、インスタンス化されたVPNサーバ22とユニット1aとの間に確立される。このステップは、従来のように実行される。暗号化トンネル24aは、次のステップにより、従来のように確立することができる:ユニット1aのVPNクライアント16による、インスタンス化されたVPNサーバ22への要求の送信;VPNサーバ22によるトンネル24aの作成;及び、VPNサーバ22による、VPNクライアント16への通知の返送。このステップTUNNが終了すると、ユニット1aは、VPNサーバ22によりユニット1aに付与される仮想IPアドレスを有するようになる。
ステップTUNNは、VPNサーバ22とユニット1bとの間の暗号化トンネル24bを確立するためにも実行される。
次いで、ステップROUTにおいて、第1の暗号化トンネル24a、24bと第2の暗号化トンネル24b、24aとの間のルーティングルールを表すルーティングデータが、作成され、データベース28に記憶される。
次いで、仮想プライベートネットワークが、ローカルエリアネットワークRaとローカルエリアネットワークRbとの間に確立される。
作成/記憶ステップROUTは、インフラストラクチャ2に登録された新たなユニットの各々に関して、それぞれのローカルエリアネットワークにおいて新たなユニットの各々の電源がオンにされた後に実行される。N個のユニットの電源がすでにオンにされており、それぞれのN個の暗号化トンネルが作成されている場合、ステップROUTは、作成された最後の暗号化トンネルと以前に作成された暗号化トンネル(群)との間の新たなルーティングルールを作成して記憶する。
ユニットにより実行される上述したステップを実行するためのコード命令を含むプログラムが、記憶手段16に記憶され、このプログラム製品が、データ処理モジュールにより実行される。
このプログラムは、典型的には、各ユニットの電源がオンにされるときに実行されるスクリプトとすることができる。
接続メッセージの送信ステップSNDTOPは、例えば、周期的に、各ユニットの電源がオンにされた後、等、好ましくは、経時的に繰り返される。これは、インフラストラクチャがローカルエリアネットワークにおける入接続を行うことなく、インフラストラクチャに、各ローカルエリアネットワークにおけるトポロジの変化を検出させる。
トポロジの変化は、例えば、ローカルエリアネットワークにおける動作モード中のゲートウェイの数の変化(新たなゲートウェイの電源オン又は既存のゲートウェイの電源オフ)や、ゲートウェイに関連付けられているパラメータの変化(例えば、ゲートウェイのパブリックIPアドレスの変化)を含み得る。
相互接続されたユニット間におけるデータのルーティング
第1のローカルエリアネットワークRaの第1の端末Uaにより第2のローカルエリアネットワークRbの第2の端末Ubに送信される有用なデータのパケットは、まず、第1のユニット1aの第1のVPNクライアント16により暗号化され、次いで、対応する暗号化トンネル24aを介して第1のVPNサーバ22に送信される。このパケットは、第1のVPNサーバ22により復号化され、第2のVPNサーバ22に送信される。次いで、このパケットは、第2のVPNサーバ22により再度暗号化され、ステップROUT中に確立されたルーティングルールが調べられた後、暗号化トンネル24bを介して第2のユニット1bの第2のVPNクライアント16に送信される。第2のユニット1bの第2のVPNクライアント16は、宛先端末Ubに送信する前に、このパケットを復号化する。
第1のローカルエリアネットワークRaの第1の端末Uaにより第2のローカルエリアネットワークRbの第2の端末Ubに送信される有用なデータのパケットは、まず、第1のユニット1aの第1のVPNクライアント16により暗号化され、次いで、対応する暗号化トンネル24aを介して第1のVPNサーバ22に送信される。このパケットは、第1のVPNサーバ22により復号化され、第2のVPNサーバ22に送信される。次いで、このパケットは、第2のVPNサーバ22により再度暗号化され、ステップROUT中に確立されたルーティングルールが調べられた後、暗号化トンネル24bを介して第2のユニット1bの第2のVPNクライアント16に送信される。第2のユニット1bの第2のVPNクライアント16は、宛先端末Ubに送信する前に、このパケットを復号化する。
暗号化トンネルの確立に関する詳細
一実施形態において、暗号化トンネルは、複数のデジタル証明書を用いて確立される。
一実施形態において、暗号化トンネルは、複数のデジタル証明書を用いて確立される。
デジタル証明書には、ネットワークにおける2つのエンティティ間の通信のスコープが記述される。これは、第1のエンティティによる別のエンティティへの管理データに「署名する」。このようにして、この別のエンティティは、ネットワークから別のエンティティが受信したデータが、信頼できるエンティティからのものであることを認識する。
第1のデジタル証明書が、各ユニット1a、1bが、対応するローカルエリアネットワークRa、Rbに設置される前であって、工場における事前設定ステップ中に、各ユニット1a、1bの記憶手段14に記憶される。
この第1のデジタル証明書は、インフラストラクチャに対して各ユニット1a、1bを認証するために使用される。これは、ユニット1a、1bと中間サーバとの間の前述した管理データ(トポロジデータ等)の伝送をセキュアにする。その後、暗号化トンネルが作成される。暗号化トンネルは、2つのリモートローカルエリアネットワークRa、Rbの2つの端末の間で有用なデータを伝送することが意図されている。
1a等の相互接続ユニットによりその第1のデジタル証明書を用いて署名されたメッセージを受信すると、コントローラは、ユニット1aがシステムに知られているかどうかを検証する。
ユニット1aがシステムに知られている場合、コントローラは、第1のデジタル証明書とは異なる第2のデジタル証明書(第2のレベルのセキュリティ)の生成を制御する。
次いで、コントローラは、この生成された第2のデジタル証明書を、ユニット1aに送信する。
暗号化トンネル24aが、ユニット1aの要求に応じて、コントローラからユニット1aが受信した第2のデジタル証明書を用いて、従来のように作成される。
これらと同じステップが、中間サーバとユニット1bとの間の暗号化トンネル24bを作成するためにも実行される。
第1のデジタル証明書は、システムにおける異なるユニットを識別するために、各ユニット1a、1bに固有である。
同じ第1のデジタル証明書を使用する2つのマシン(ユニット)が、コントローラにより検出された場合、重複しているこの第1のデジタル証明書を無効にすることができる。
一方、生成された第2のデジタル証明書は、同じグループに属するユニット1a、1bを相互接続するために作成される全ての暗号化トンネル24a、24bについて同じであることが提供され得る。
第2のデジタル証明書は、コントローラ自身により生成することができる。
しかしながら、より分散化されたアーキテクチャにおいては、第2のデジタル証明書は、インフラストラクチャ2の外部のサードパーティエンティティ(PKI)(すなわち、パブリックネットワークIを通過する、インフラストラクチャ2によりアクセス可能なエンティティ)により生成される。
この第2のデジタル証明書の生成を外部のエンティティに委ねることは、VPNのセキュリティを向上させる。なぜならば、この第2のデジタル証明書は、インフラストラクチャ2に記憶されることがないからである(インフラストラクチャ2は、サードパーティエンティティとユニット1aとの間のリレーとして動作するに過ぎない)。
この場合、コントローラは、コントローラにより以前に記憶された第3のデジタル証明書(「ルート」証明書)を用いて、このサードパーティエンティティに対して認証される。
この場合におけるこの第3のデジタル証明書は、コントローラとサードパーティエンティティとの間の通信をセキュアにし、結果として、システムに対するさらに別のレベルのセキュリティに寄与する。
第3のデジタル証明書は、インスタンス化された中間サーバにより提供され得る。この場合、サービスに提供される前に、「ルート」証明書の予め定められたリストが、コントローラに記憶される。新たな中間サーバがインスタンス化されるたびに、新たな「ルート」証明書が、コントローラにより、その新たな中間サーバに関連付けられる。
複数の「ルート」証明書を提供することにより、セキュリティレベルに応じて、相互接続可能なユニットの異なるグループが分離される。
暗号化トンネルの集約
図6を参照すると、複数のアクセスゲートウェイを含むローカルエリアネットワークとの暗号化トンネルを確立するためのステップTUNNは、各暗号化サブトンネルがローカルエリアネットワークの特定のアクセスゲートウェイを通過するルートに対応する複数の暗号化サブトンネルの作成STUNというサブステップと、暗号化サブトンネルの暗号化トンネルへの集約AGRというサブステップと、を含み得る。
図6を参照すると、複数のアクセスゲートウェイを含むローカルエリアネットワークとの暗号化トンネルを確立するためのステップTUNNは、各暗号化サブトンネルがローカルエリアネットワークの特定のアクセスゲートウェイを通過するルートに対応する複数の暗号化サブトンネルの作成STUNというサブステップと、暗号化サブトンネルの暗号化トンネルへの集約AGRというサブステップと、を含み得る。
各暗号化サブトンネルルートは、インフラストラクチャ2のルータ25の特定のポートに関連付けられ得る。
パケットスイッチングを実装する実施形態において、異なる暗号化サブトンネルは、異なるパケットを並列に伝送するよう要求される。この技術は、ローカルエリアネットワークの最大帯域幅を増加させる。
図2に示される第2のローカルエリアネットワークRbは、第2の相互接続ユニット1bに接続されている、インターネットへの2つのアクセスゲートウェイPb1、Pb2を含む。したがって、このボックスにより判別されるトポロジは、これら2つのアクセスゲートウェイのそれぞれのパブリックIPアドレスを含む。2つの暗号化サブトンネル241b、242bが、ステップTUNN中に確立され、その後に、ローカルエリアネットワークRbとVPNサーバ22との間の共通トンネル24bを作成する集約ステップAGRが続く。
同じグループに属するユニットの相互接続
一実施形態において、各相互接続ユニットは、相互接続されるボックスの一部を形成する。例えば、複数のユニットのグループは、同じ企業の複数のサイトのセットに対応することができ、各ユニットは、その企業のそれぞれのサイトのローカルエリアネットワークに配置される。
一実施形態において、各相互接続ユニットは、相互接続されるボックスの一部を形成する。例えば、複数のユニットのグループは、同じ企業の複数のサイトのセットに対応することができ、各ユニットは、その企業のそれぞれのサイトのローカルエリアネットワークに配置される。
次いで、予め定められたグループ識別子が、各ユニットの記憶手段に記憶される。また、各中間サーバ20には、特定のグループ識別子が付与される。グループ識別子と中間サーバとを関連付ける関連付けテーブルが、データベース28に記憶される。
次いで、各ユニットのデータ処理ユニット10は、当該ユニットにより記憶されたグループ識別子を読み出し、ステップSNDTOP中に送信される各接続メッセージにそのグループ識別子を挿入する。また、ステップTGRPにおいて、コントローラは、受信されたグループ識別子に基づいて、使用される中間サーバ20を決定する。これを行うために、コントローラは、これと同じグループ識別子に関連付けられている中間サーバ20のインスタンスを探すために、関連付けテーブル内を検索する。
中間サーバ20が、関連付けテーブル内で見つけられなかった場合、コントローラ26は、新たな中間サーバ20のインスタンス化要求を、バーチャライザ24に送信し、ステップINITSRVにおいて、バーチャライザ24は、新たな中間サーバ20をインスタンス化し、通知が、コントローラ26に返送される。
インスタンス化が成功した場合、作成されたサーバインスタンスを、ボックスから受信されたグループ識別子に関連付けている新たなエントリが、データベース28に記憶される。
次いで、コントローラ26は、ボックスから受信されたトポロジを、中間サーバ20に送信する。
バーチャライザ24の起動時には、中間サーバ20はインスタンス化されていない。新たなグループに属する各ボックスの電源がオンにされた後、新たな中間サーバ20がインスタンス化される。
一実施形態において、各ユニットはまた、1つのサイト識別子を記憶することができる。このサイト識別子は、予め定められたものとすることができる。すなわち、このサイト識別子は、ローカルエリアネットワークにおいて各ユニットの電源がオンにされる前に、各ユニットの記憶手段14に記憶されている。
サイト識別子も、ステップSNDTOPにおいてユニットにより相互接続インフラストラクチャに送信されるトポロジに挿入される。
このようなサイト識別子は、ローカルエリアネットワークRa、Rbのトポロジが変更されたとしても(例えば、アクセスゲートウェイのパブリックIPアドレスが変わったとしても)、各ユニット1a、1bを確実に識別させる。
受信された各トポロジは、インフラストラクチャ2のデータベース28に記憶され得る。例えば、ボックスから受信された最終トポロジ値のみが記憶される。
データベース28内には、トポロジが、階層的に(例えば、JSON(JavaScript(登録商標) Object Notation)フォーマットで)記憶され得る:「グループ」オブジェクトは、グループ識別子に関連付けられ、複数の「サイト」オブジェクトを含む。各「サイト」オブジェクトは、サイト識別子に関連付けられ、対応するローカルエリアネットワークのトポロジを表すデータを含む。
証明書を用いたユニットの認証
デジタル証明書は、好ましくは、サービスに提供される前に、各ユニットの記憶手段14に記憶される。
デジタル証明書は、好ましくは、サービスに提供される前に、各ユニットの記憶手段14に記憶される。
各証明書を使用して、まず、コントローラ26に対してユニットを認証することができる。ユニットとコントローラ26との間の全ての通信が、ステップSNDTOP中にトポロジを伴って又はトポロジを伴わずにコントローラ26に送信された対応する証明書の提示に関するHTTPSプロトコルにより、確保され得る。
各証明書は、有限の有効期間を有することができ、コントローラ26は、トポロジの受信ステップRCVTOP中に有効日を検証するよう構成され得る。
証明書が古いものである場合、コントローラ26は、その証明書を送信したユニットに、新たな証明書を送信することができる。
また、各証明書を使用して、ユニットのVPNクライアントと中間サーバ20によりインスタンス化されたVPNサーバ22との間の暗号化トンネル24a、24bの作成のスコープ内で、中間サーバ20に対してこのユニットを認証することができる。
コントローラによる中間サーバのモニタリング
コントローラ26は、バーチャライザ24及びインスタンス化された各中間サーバ20の適切な動作をモニタリングすることができる。したがって、モニタリングステップは、例えば、周期的に、コントローラ26により経時的に繰り返される。このモニタリングステップは、インスタンス化された各中間サーバ20のTCPアクティベーションポートが開放していることの検証を含み得る。
コントローラ26は、バーチャライザ24及びインスタンス化された各中間サーバ20の適切な動作をモニタリングすることができる。したがって、モニタリングステップは、例えば、周期的に、コントローラ26により経時的に繰り返される。このモニタリングステップは、インスタンス化された各中間サーバ20のTCPアクティベーションポートが開放していることの検証を含み得る。
中間サーバ20が、予め定められた時間内に応答しなかった場合、その中間サーバ20は、障害があるとみなされる。コントローラ26は、障害があるとみなされた中間サーバ20の再起動をトリガする再起動要求を、バーチャライザ24に送信する。
再起動された中間サーバ20上で遮断された暗号化トンネルのセットを再作成するために、ステップSNDTOPが、例えば、周期的に、各ユニットにより繰り返し実行され得る。コントローラ26は、再起動された中間サーバ20により管理されていたグループに属するユニットに関連付けられていた全てのトポロジを判別することができる。
各中間サーバ20は、バーチャライザ24において読み取り専用モードで実行され得る。すなわち、各中間サーバ20は、バーチャライザ24自体においては、データの書き込みをしないが、それでも、書き込みのためにデータベース28にアクセスすることができる。
作成された仮想プライベートネットワークの管理
インフラストラクチャ2は、管理インタフェース(図示せず)をさらに有することができる。管理インタフェースは、インフラストラクチャ2の外部のサードパーティ端末からアクセス可能なHTTPサーバ及びウェブサイトを有することができる。
インフラストラクチャ2は、管理インタフェース(図示せず)をさらに有することができる。管理インタフェースは、インフラストラクチャ2の外部のサードパーティ端末からアクセス可能なHTTPサーバ及びウェブサイトを有することができる。
管理インタフェースは、識別子とパスワードとの典型的なペアを用いてアクセスすることができる。
管理インタフェースはまた、グループ又はサブグループごとに、ルータ25において設定されているファイアウォールルールを変更する。
各ユニットはまた、ユーザインタフェースを有することができる。ユーザインタフェースは、一般的に、ユニットの記憶手段に記憶されているウェブページへのアクセスを提供する、このユニットのHTTPサーバを介して、このユニットのスクリーン上に、且つ/又はサードパーティ端末上に、表示され得る。
ユーザインタフェースは、ユニットの現在の状態を通知する定められた情報、特に:
−例えばアクセスゲートウェイのリストの形で提示される、検出されたトポロジ;
−作成された暗号化トンネルに関連する情報;
−暗号化サブトンネルの集約情報;
を含み得る。
−例えばアクセスゲートウェイのリストの形で提示される、検出されたトポロジ;
−作成された暗号化トンネルに関連する情報;
−暗号化サブトンネルの集約情報;
を含み得る。
ユーザインタフェースはまた、ユニット上で次の動作を実行するためのボタンを含み得る:ユニットの再起動;トポロジ検出ステップDTOPの実行;等。
他の変形形態
コントローラ26、バーチャライザ24、及びルータ25は、共通の物理サーバ内に統合されてもよいし、インフラストラクチャ2における別個の物理サーバを構成してもよい。
コントローラ26、バーチャライザ24、及びルータ25は、共通の物理サーバ内に統合されてもよいし、インフラストラクチャ2における別個の物理サーバを構成してもよい。
各中間サーバ20は、バーチャライザ24内に組み込まれてもよいし、インフラストラクチャ2における特定の物理サーバを構成してもよい。
データベース28は、別個のデータサーバに記憶されてもよいし、コントローラ26等の、インフラストラクチャ2の要素のうちの1つに記憶されてもよい。
図2に示される実施形態において、各ユニットは、ローカルエリアネットワークに接続されることが意図されている独立した物理的ボックスである。
一変形形態として、各ユニットは、VPNクライアントを含むプログラムがインストールされる、ローカルエリアネットワークの端末により形成される。このプログラムは、前述したもの等の、ユニット側で実行されるステップを実行するよう構成される。この変形形態において、ユニットを構成することは、ユニットとして使用される端末の記憶手段に、説明した確立方法のステップを実行するプログラムをインストールすることを含む。
インフラストラクチャ2は、相互接続されるローカルエリアネットワークにさらなるサービスを提供するために使用されてもよい。したがって、各中間サーバ20は、SMSゲートウェイ、DHCPサーバ、RADIUS(リモート認証ダイヤルインユーザサービス)サーバ等をホストしてもよい。
前述したシステムは、多くの利点を提供する。そのような利点は、以下のものを含む:
−アーキテクチャ全体の高レベルのセキュリティ、
−工場において事前設定されたボックスの提供(「プラグアンドプレイ」/産業用デプロイメント)、
−トポロジの自動認識及びマルチアクセスxDSLインターネットの自動管理(クライアント側設定を必要としない高可用性及び負荷バランシング)、
−配置におけるゲートウェイからの独立性(ボックスを透過的に再配置することができる)、
−各ローカルエリアネットワークのパブリックIPを可変にすることができる、
−同じグループのマシン間におけるVPN冗長性の自動実装、
−セキュアなスーパービジョン及び管理ネットワークの自動実装、
−サイトの接続グループの強固性及び独立性、
−インフラストラクチャを介する多数のサービスへのサクセス:ログサーバ、URLフィルタリング、SMSゲートウェイ、RADIUSサーバ、ストレージサーバ...、
−障害が進んだ場合におけるユニットの交換(新たなユニットは、自身のインストール中に古いユニットの設置をダウンロードする)、
−アーキテクチャの柔軟性及び弾力性:インフラストラクチャは、サイトの複数のグループをそれぞれ独立して管理することができる一方で、インフラストラクチャは、相互接続されるローカルエリアネットワークのうちの1つのローカルエリアネットワークのDMZ(非武装地帯)に設置することができる。
−アーキテクチャ全体の高レベルのセキュリティ、
−工場において事前設定されたボックスの提供(「プラグアンドプレイ」/産業用デプロイメント)、
−トポロジの自動認識及びマルチアクセスxDSLインターネットの自動管理(クライアント側設定を必要としない高可用性及び負荷バランシング)、
−配置におけるゲートウェイからの独立性(ボックスを透過的に再配置することができる)、
−各ローカルエリアネットワークのパブリックIPを可変にすることができる、
−同じグループのマシン間におけるVPN冗長性の自動実装、
−セキュアなスーパービジョン及び管理ネットワークの自動実装、
−サイトの接続グループの強固性及び独立性、
−インフラストラクチャを介する多数のサービスへのサクセス:ログサーバ、URLフィルタリング、SMSゲートウェイ、RADIUSサーバ、ストレージサーバ...、
−障害が進んだ場合におけるユニットの交換(新たなユニットは、自身のインストール中に古いユニットの設置をダウンロードする)、
−アーキテクチャの柔軟性及び弾力性:インフラストラクチャは、サイトの複数のグループをそれぞれ独立して管理することができる一方で、インフラストラクチャは、相互接続されるローカルエリアネットワークのうちの1つのローカルエリアネットワークのDMZ(非武装地帯)に設置することができる。
Claims (15)
- ローカルエリアネットワーク間の仮想プライベートネットワークを確立するための方法であって、各ローカルエリアネットワークは、パブリックネットワークへの少なくとも1つのアクセスゲートウェイと、VPNクライアントを有する1つのユニットと、を含み、前記方法は、ユニットの電源がオンにされるたびに実行される、
−前記ユニットにより、少なくとも1つの接続メッセージを、前記パブリックネットワークに接続されているインフラストラクチャであって、少なくとも1つの中間サーバを有するインフラストラクチャに送信する送信ステップであって、各接続メッセージは、前記ローカルエリアネットワークのそれぞれのアクセスゲートウェイを通過する、送信ステップと、
−前記インフラストラクチャにより、各接続メッセージを受信し、前記ユニットが配置されている前記ローカルエリアネットワークの各アクセスゲートウェイを特定するトポロジデータを判別するステップと、
を含み、
前記方法は、複数のユニットに関して実行される、
−前記インフラストラクチャの予め定められた中間サーバにより、前記複数のユニットに関連付けられているVPNサーバをインスタンス化するステップと、
−対応する前記トポロジデータから、前記VPNサーバと各ユニットの前記VPNクライアントとの間の暗号化トンネルを確立する確立ステップと、
−前記の確立された暗号化トンネルの間のデータルーティングルールを表すルーティングデータを作成して記憶するステップと、
をさらに含む、方法。 - 前記トポロジデータは、少なくとも1つのパブリックIPアドレスを含み、各パブリックIPアドレスは、前記パブリックネットワークから、対応する前記ローカルエリアネットワークのアクセスゲートウェイを識別するものである、請求項1記載の方法。
- 前記送信ステップは、周期的に実行される、請求項1又は2記載の方法。
- 前記ユニットがローカルエリアネットワークに設置される前に前記ユニットにより記憶された第1のデジタル証明書を用いて、前記インフラストラクチャに対して前記ユニットを認証するステップ
を含む、請求項1乃至3いずれか一項記載の方法。 - 前記ユニットと前記インフラストラクチャとの間の前記暗号化トンネルは、前記第1のデジタル証明書とは異なる第2のデジタル証明書を用いて確立され、前記インフラストラクチャに対して前記ユニットを認証した後に生成される、請求項4記載の方法。
- 前記第2のデジタル証明書の生成は、前記インフラストラクチャの外部のエンティティにより実行される、請求項5記載の方法。
- 前記第1のデジタル証明書及び前記第2のデジタル証明書とは異なる第3のデジタル証明書を用いて、前記外部のエンティティ(PKI)に対して前記インフラストラクチャを認証するステップ
を含む、請求項6記載の方法。 - 前記外部のエンティティに対して前記認証することは、前記中間サーバから分離されている、前記インフラストラクチャのコントローラにより開始される、請求項7記載の方法。
- 中間サーバごとに異なる第3のデジタル証明書が使用される、請求項7又は8記載の方法。
- 前記確立ステップは、
−複数の暗号化サブトンネルを作成するサブステップであって、各暗号化サブトンネルは、ローカルエリアネットワークの特定のアクセスゲートウェイを通過するルートに対応する、サブステップと、
−前記暗号化サブトンネルを暗号化トンネルに集約するサブステップと、
を含む、請求項1乃至9いずれか一項記載の方法。 - 前記VPNサーバの前記インスタンス化を実行する前記中間サーバは、前記接続メッセージに含まれる、相互接続可能なユニットのグループ識別子に基づいて決定される、請求項1乃至10いずれか一項記載の方法。
- 前記インフラストラクチャのコントローラは、前記中間サーバの障害を検出し、障害があるとして検出された中間サーバの再インスタンス化を制御する、請求項1乃至11いずれか一項記載の方法。
- 複数のローカルエリアネットワーク間の仮想プライベートネットワークを確立するための相互接続インフラストラクチャであって、各ローカルエリアネットワークは、パブリックネットワークへの少なくとも1つのアクセスゲートウェイを含み、前記相互接続インフラストラクチャは、
−少なくとも1つの中間サーバであって、各中間サーバは、リモートローカルエリアネットワークに配置されている少なくとも1つのVPNクライアントとの少なくとも1つの暗号化トンネルを確立するよう構成されている少なくとも1つのVPNサーバをインスタンス化するインスタンス化手段を有する、少なくとも1つの中間サーバと、
−リモートローカルエリアネットワークにおける、パブリックネットワークへの少なくとも1つのアクセスゲートウェイを特定するトポロジデータを受信すると、少なくとも提供されている前記中間サーバに、VPNサーバのインスタンス化要求を送信するよう構成されているコントローラと、
−前記パブリックネットワーク、少なくとも提供されている前記中間サーバ、及び前記コントローラに接続されているルータであって、少なくとも提供されている前記中間サーバによりインスタンス化されている各VPNサーバと、リモートローカルエリアネットワークに配置されているVPNクライアントと、の間でデータをルーティングするデータルーティング手段を有するルータと、
を有する、相互接続インフラストラクチャ。 - 少なくとも1つの他のリモートローカルエリアネットワークとの仮想プライベートネットワークを確立するための、パブリックネットワークへの少なくとも1つのアクセスゲートウェイを含むローカルエリアネットワークにおいて接続されることが意図される相互接続ユニットであって、前記少なくとも1つの他のリモートローカルエリアネットワークも前記パブリックネットワークにアクセスし、前記相互接続ユニットは、
−接続メッセージを生成するよう構成されているデータ処理モジュールと、
−前記ローカルエリアネットワークの各アクセスゲートウェイを介して、請求項13に記載の相互接続インフラストラクチャに、前記接続メッセージを通信するよう構成されているネットワーク通信モジュールと、
−リモートVPNサーバとの少なくとも1つの暗号化トンネルを確立するためのVPNクライアントと、
を有する、相互接続ユニット。 - 少なくとも2つのローカルエリアネットワーク間の仮想プライベートネットワークを確立するための相互接続システムであって、前記相互接続システムは、請求項13に記載の相互接続インフラストラクチャと、少なくとも2つの請求項14に記載の相互接続ユニットと、を有し、各相互接続ユニットは、相互接続可能なユニットのグループ識別子を記憶する記憶モジュールを有し、前記相互接続インフラストラクチャの各中間サーバは、特定のグループ識別子に関連付けられる、相互接続システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1358745 | 2013-09-11 | ||
| FR1358745A FR3010599B1 (fr) | 2013-09-11 | 2013-09-11 | Procede et systeme d'etablissement de reseaux prives virtuels entre reseaux locaux |
| PCT/EP2014/069454 WO2015036513A1 (fr) | 2013-09-11 | 2014-09-11 | Procede et systeme d'etablissement de reseaux prives virtuels entre reseaux locaux |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016534671A true JP2016534671A (ja) | 2016-11-04 |
| JP6543629B2 JP6543629B2 (ja) | 2019-07-10 |
Family
ID=49510385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016542320A Active JP6543629B2 (ja) | 2013-09-11 | 2014-09-11 | ローカルエリアネットワーク間の仮想プライベートネットワークを確立するための方法及びシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10298544B2 (ja) |
| EP (1) | EP3044913B1 (ja) |
| JP (1) | JP6543629B2 (ja) |
| FR (1) | FR3010599B1 (ja) |
| WO (1) | WO2015036513A1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10116560B2 (en) * | 2014-10-20 | 2018-10-30 | Causam Energy, Inc. | Systems, methods, and apparatus for communicating messages of distributed private networks over multiple public communication networks |
| CN106534153B (zh) * | 2016-11-30 | 2023-06-13 | 广东科达洁能股份有限公司 | 基于互联网建立桥接专线系统 |
| EP3334097A1 (en) * | 2016-12-08 | 2018-06-13 | Siemens Schweiz AG | Method, communication web service, and server for providing network communication between bacnet devices |
| CN107786467A (zh) * | 2017-08-28 | 2018-03-09 | 深信服科技股份有限公司 | 基于透明部署的网络数据的引流方法、引流装置及系统 |
| JP7093717B2 (ja) * | 2018-11-28 | 2022-06-30 | 株式会社日立製作所 | ネットワークシステム |
| CN111786867B (zh) * | 2019-04-04 | 2021-11-16 | 厦门网宿有限公司 | 一种数据传输方法及服务器 |
| CN109995870B (zh) * | 2019-04-08 | 2021-06-11 | 深圳市伟文无线通讯技术有限公司 | 一种适用于移动路由器的远程访问方法 |
| CN111031122B (zh) * | 2019-12-05 | 2022-07-22 | 北京海兰信数据科技股份有限公司 | 船舶数据的处理方法及装置 |
| US11785527B2 (en) * | 2020-03-17 | 2023-10-10 | Beamlink, Inc. | Dynamic cellular subscriber management |
| CN113645115B (zh) * | 2020-04-27 | 2023-04-07 | 中国电信股份有限公司 | 虚拟专用网络接入方法和系统 |
| DE102021108261A1 (de) | 2021-03-31 | 2022-10-06 | Deutsche Telekom Ag | Internetbasierte Verbindungsplattformanordnung und Verfahren jeweils zur internetbasierten Anbindung externer Kommunikationspartner an ein Kommunikationsnetz sowie Computerprogrammprodukt und Verwendung |
| CN113329033A (zh) * | 2021-06-23 | 2021-08-31 | 广东利元亨智能装备股份有限公司 | 局域网之间建立通信连接的方法、用户端设备及网关设备 |
| US11552932B1 (en) * | 2022-02-24 | 2023-01-10 | Oversee, UAB | Identifying virtual private network servers for user devices |
| CN116319162B (zh) * | 2022-09-08 | 2023-12-12 | 惠州市海葵信息技术有限公司 | 基于双层隧道的通信连接方法、控制装置及用户端设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008028576A (ja) * | 2006-07-19 | 2008-02-07 | Kddi Corp | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7272643B1 (en) * | 2000-09-13 | 2007-09-18 | Fortinet, Inc. | System and method for managing and provisioning virtual routers |
| US8411691B2 (en) * | 2009-01-12 | 2013-04-02 | Juniper Networks, Inc. | Transfer of mobile subscriber context in cellular networks using extended routing protocol |
| CA2680599A1 (en) * | 2009-10-16 | 2009-12-23 | Ibm Canada Limited - Ibm Canada Limitee | A method and system for automatically configuring an ipsec-based virtual private network |
| US9749291B2 (en) * | 2011-07-15 | 2017-08-29 | International Business Machines Corporation | Securing applications on public facing systems |
| CN103095543B (zh) * | 2011-11-07 | 2016-10-05 | 华为技术有限公司 | 用于域间虚拟专用网络对接的方法和设备 |
| FR3020535B1 (fr) * | 2014-04-24 | 2020-02-21 | Satcom1 Aps | Systeme de communication a selection de services par la numerotation |
| US9948472B2 (en) * | 2014-10-22 | 2018-04-17 | Juniper Networks, Inc. | Protocol independent multicast sparse mode (PIM-SM) support for data center interconnect |
-
2013
- 2013-09-11 FR FR1358745A patent/FR3010599B1/fr active Active
-
2014
- 2014-09-11 JP JP2016542320A patent/JP6543629B2/ja active Active
- 2014-09-11 WO PCT/EP2014/069454 patent/WO2015036513A1/fr active Application Filing
- 2014-09-11 US US15/021,185 patent/US10298544B2/en active Active
- 2014-09-11 EP EP14761905.0A patent/EP3044913B1/fr active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008028576A (ja) * | 2006-07-19 | 2008-02-07 | Kddi Corp | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015036513A1 (fr) | 2015-03-19 |
| FR3010599A1 (fr) | 2015-03-13 |
| US10298544B2 (en) | 2019-05-21 |
| EP3044913A1 (fr) | 2016-07-20 |
| EP3044913B1 (fr) | 2019-04-03 |
| US20160294777A1 (en) | 2016-10-06 |
| JP6543629B2 (ja) | 2019-07-10 |
| FR3010599B1 (fr) | 2016-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6543629B2 (ja) | ローカルエリアネットワーク間の仮想プライベートネットワークを確立するための方法及びシステム | |
| US12101296B2 (en) | Intelligent service layer for separating application from physical networks and extending service layer intelligence over IP across the internet, cloud, and edge networks | |
| US11502871B2 (en) | Dynamic discovery of peer network devices across a Wide Area Network | |
| US20200044917A1 (en) | Zero touch provisioning script to provision network elements over unnumbered interfaces | |
| EP3834396B1 (en) | User datagram protocol tunneling in distributed application instances | |
| CN110445649B (zh) | 用于经由交换结构在边缘设备之间实施连接的方法和装置 | |
| KR101476014B1 (ko) | 네트워크 시스템 및 네트워크 용장화 방법 | |
| US9654482B2 (en) | Overcoming circular dependencies when bootstrapping an RPKI site | |
| US11936613B2 (en) | Port and loopback IP addresses allocation scheme for full-mesh communications with transparent TLS tunnels | |
| US8879392B2 (en) | BGP security update intercepts | |
| WO2009062504A1 (en) | Secure communication between a client and devices on different private local networks using the same subnet addresses | |
| EP3288235A1 (en) | System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures | |
| US9621402B2 (en) | Load balanced and prioritized data connections | |
| US10924397B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
| CN117678197A (zh) | 用于装置配置和可操作性自动化的系统和方法 | |
| US10931565B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
| Moser | Performance Analysis of an SD-WAN Infrastructure Implemented Using Cisco System Technologies | |
| Fowler | Cloud network engineering | |
| US12126598B2 (en) | Managing exchanges between edge gateways in a cloud environment to support a private network connection | |
| US20230239274A1 (en) | Managing exchanges between edge gateways in a cloud environment to support a private network connection | |
| Ngekeh | CONFIGURING AND USING OPEN VPN ON WINDOWS OS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170608 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180314 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180320 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180620 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181030 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190123 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190326 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190528 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190617 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6543629 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |