JP4558389B2 - 透過仮想プライベートネットワークを用いたネットワーク構成の複雑さの低減 - Google Patents

透過仮想プライベートネットワークを用いたネットワーク構成の複雑さの低減 Download PDF

Info

Publication number
JP4558389B2
JP4558389B2 JP2004194757A JP2004194757A JP4558389B2 JP 4558389 B2 JP4558389 B2 JP 4558389B2 JP 2004194757 A JP2004194757 A JP 2004194757A JP 2004194757 A JP2004194757 A JP 2004194757A JP 4558389 B2 JP4558389 B2 JP 4558389B2
Authority
JP
Japan
Prior art keywords
client
firewall
private network
certificate
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004194757A
Other languages
English (en)
Other versions
JP2005027312A (ja
Inventor
シェレスト アート
フイテマ クリスチャン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005027312A publication Critical patent/JP2005027312A/ja
Application granted granted Critical
Publication of JP4558389B2 publication Critical patent/JP4558389B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、一般に、仮想プライベートネットワーク(virtual private network:VPN)に関し、より詳細にはVPNにアクセスする効率のよい方法に関する。
VPNはワイドエリアネットワーク(WAN)に代わる、魅力的でコスト効率のよい手段の1つである。VPNにより、基本的には、リモートサイトまたはクライアントに対して公衆ネットワーク(通常は、インターネット)を介したプライベートネットワークへの接続が可能となる。いったん接続されると、このリモートサイトまたはクライアントは、プライベートネットワーク、したがって指定の仮想プライベートネットワークの1つのローカル部分であるかのように見える。うまく設計されたVPNは、会社に対して大きな利益を与えることができる。例えば、VPNによって、接続の地理的拡大、セキュリティの向上、従来のWANに対する動作コストの軽減、リモートクライアントについての通過時間や搬送コストの軽減、生産性の向上、ネットワークトポロジの簡略化、およびグローバルなネットワーキング機会の提供が可能である。
VPNシステムには、リモート−アクセスとサイト対サイトという2つの一般的な種類のVPNシステムがある。仮想プライベートダイアルアップネットワーク(virtual private dial−up network:VPDN)とも呼ばれるリモート−アクセスは、さまざまなリモートロケーションからプライベートネットワークに接続する必要がある従業員を有する会社によって使用される、クライアント対LAN(ローカルエリアネットワーク)接続である。リモート−アクセスVPNは、多くの場合に第三者のサービスプロバイダを介して、ある会社のプライベートネットワークとあるリモートクライアントとの間でのセキュアな暗号化された接続を可能にする。サイト対サイトのVPNにおいて、インターネットなどの公衆ネットワークを介して複数のサイトを接続するために、専用の装置および大規模な暗号化が利用されている。サイト対サイトVPNは、イントラネットベースとすることも、エクストラネットベースとすることも可能である。そのVPNの種類に関わらず、うまく設計されたVPNはセキュリティ、信頼度、スケーラビリティ、ネットワーク管理およびポリシー管理を一体化して扱う。
VPNにおいて、接続およびデータをセキュアに維持するために幾つかの方法が利用されている。これには、典型的には、幾つかの種類の暗号化またはファイアウォール、ならびにこれらの両者が必要となる。暗号化とは、あるコンピュータが別のコンピュータに送信しているデータを取り込み、さらにこれをもう一方のコンピュータだけが復号できるような形に変換する処理である。典型的なコンピュータ暗号化システムは、対称キー暗号法(symmetric key encryption)と公開キー暗号法(public key encryption)という2つの分類のうちの一方に属する。対称キー暗号法では、各コンピュータは、ネットワークを介して別のコンピュータに送信する前にコンピュータによって情報のパケットを暗号化するために使用する秘密コード(secret code)を有している。暗号化された情報パケットを受信するコンピュータは、メッセージを復号するためにその秘密コードを知っていなければならない。
公開キー暗号法では、秘密キー(private key)と公開キー(public key)を組み合わせて使用している。秘密キーは秘匿の状態に保持されており、一方公開キーには一般に、希望するものは誰でもアクセス可能である。秘密キーおよび公開キーは、その一方によってもう一方が暗号化したデータを解読するという点で関連している。したがって、公開キーによって解読できるデータは、対応する秘密キーの保有者がそのデータを暗号化したことを示しており、また、したがって公開キーによって解読できるデータによって、この対応する秘密キーの保有者をこの暗号化されたデータの発信源として特定することができる。同様に、公開キーを用いてデータを暗号化することによって、送信者には、秘密キーの保有者だけがそのデータを解読できるということが保証される。
公開キー暗号法の一般的な利用法の1つでは、セキュアソケットレイヤ(Secure Sockets Layer:SSL)が不可欠である。SSLは、機密情報を送信するためにインターネットブラウザおよびWebサーバによって使用される1つのインターネットセキュリティプロトコルである。SSLは、セキュリティハンドシェイクを使用してTCP/IP接続を介したセキュアなセッションを起動している。ハンドシェイクの間に、対称暗号化/解読キーを判定するための情報は、公開キー暗号法を用いてやり取りされている。このハンドシェイクによって、クライアントとサーバとの間で使用しようとするセキュリティレベルに関する合意が得られる。ハンドシェイクの後に、SSLは、例えばHTTP、nntp、telnet、などの使用しているアプリケーションプロトコルのバイトストリームを暗号化および解読する。このことは、URL、クライアント要求、すべての発信フォームのコンテンツ(例えば、クレジットカード番号)、任意のHTTPアクセス認証情報(例えば、クライアント名およびパスワード)、およびサーバからクライアントに送られたすべてのデータを含め、情報のすべてがHTTPの要求および応答の両方において完全に暗号化されていることを意味している。SSLおよびトランスポートレイヤセキュリティ(Transport Layer Security:TLS)などの別のプロトコルは、より上位のネットワークプロトコルレイヤで動作する。
VPNセキュリティの別の形態は、インターネットプロトコルセキュリティ(Internet Protocol Security:IPSec)として知られている。IPSecは、インターネットキー交換(Internet Key Exchange:IKE)などのキーネゴシエーションテクノロジと組み合わせると、TCPではないトラフィックをセキュリティ保護するためのより包括的な認証能力などセキュリティ機能の増強を提供することができる。したがって、IPSecに準拠したシステムだけがこのプロトコルを利用することができる。SSLやTLSと異なり、IPSecはより下位のネットワークプロトコルレイヤで動作するのである。
もちろん、VPNはすべて種類のネットワークアクセスに適しているわけではない。例えば、インターネット電子メールを転送する公開のWebサイトへのアクセスやその他の種類のアクセスは、プライベートネットワークの外側で認証なしに発信することを求められる。したがって、通常の動作において、ある種の非認証の外部アクセスをサポートする必要がある。しかし、プライベートネットワークへの外部アクセスを許可すると、多種多様なセキュリティリスクが持ち込まれることになる。
ファイアウォールは、プライベートネットワークと、一般に様々な承認ドメイン(trust domain)の範囲にあるようなインターネットなどの別のネットワークとの間に強力な障害を提供している。外部アクセスによって持ち込まれるセキュリティリスクに対処するために、ファイアウォールによって、開放ポートの数、通過させるどの種類のパケットの移動、および許可するプロトコルを制限することができる。
ファイアウォールは、外部のネットワーク接続を介してプライベートネットワークまたはコンピュータシステム内に受信する情報をフィルタリングするようなソフトウェアおよび/またはハードウェアの組合せとすることができる。これらのフィルタによって受信する情報パケットにフラグが立てられると、この情報の通過は許可されない。典型的なファイアウォールでは、静的パケットフィルタリング、プロキシサービス、および/または動的パケットフィルタリングを含む、ネットワーク内へのトラフィックの流入およびネットワークからのトラフィックの流出を制御するための3つの技法のうちの1つまたは複数を使用している。静的パケットフィルタリングは、その名称が示すように、一組のフィルタに突き合わせてデータのまとまりを解析する。フィルタを通過したパケットは適正にルート設定され、一方これ以外はすべて廃棄される。プロキシサービスを使用する場合、ファイアウォールがネットワークからの情報を取り出し、次いで要求を出したシステムにこれを送信する。また、この逆も行われる。しかし、各パケットの内容を検査しないような新たな技法ではこれに代わって、そのパケットのうちの所定のキー部分と、承認された情報からなるデータベースとを比較しており、これは動的パケットフィルタリングとして知られている。ファイアウォールの内部から外部に移送される情報は、特定の規定特性について監視を受ける。次いで、受信される情報をこれらの特性と比較する。この比較によって妥当なマッチングが得られた場合には、その情報は通過が許可される。そうでなければ、その情報は廃棄される。
VPNは、WANに対する魅力的な代替手段の1つではあるが、現在のところリモートアクセスにVPNサーバを使用する場合さまざまな問題が存在している。例えば、クライアントがVPNを介しWebとプライベートネットワークの両方に接続することを希望する場合、すべてのネットワークトラフィックがVPNを通過しなければならない。しかし、これによって、効率やプライバシー適合性の問題が生じる。効率の問題は、その接続が先ずプライベートネットワークを通過してから、続いて外部のWebに戻らなければならないために生じる。したがって、プライベートネットワークを通過するような不必要なトラフィックのルートが設定される。さらに、プライバシー問題も、こうしたWebサーフィンがネットワークポリシーに違反するために生じる。しかし、インターネット接続がこうしたアプリケーションが効率およびプライバシーを備えるようにサポートしていたとしても、この接続は使用されることはない。なぜなら、その結果、VPNが接続されたネットワークのファイアウォールを通過させてすべてのデータを転送することとなって、接続上の問題も生じることになるためである。
現状のVPNを利用する場合さらに、結果的に複数のゲートウェイとなることが多く、その各々はばらばらのネットワーク向けである。複数のVPNゲートウェイではセキュリティを損なうことがあり、および接続上の問題を生じることもあるのである。例えば、VPNクライアントは、見かけ上はVPNとローカルで接続されるようになるため、このクライアントは複数のVPN接続に同時に関与することができない。したがって、あるクライアントがあるネットワークから別個のネットワークに情報をダウンロードしたいと希望する場合、このクライアントは先ず、第1のVPNサーバと接続を確立し、クライアントの記憶装置に情報をダウンロードし、第1のVPNサーバを切断し、第2のVPNネットワークとVPN接続をとり、次いでクライアントの記憶装置から第2のネットワークサーバに情報をダウンロードしなければならない。このため時間とメモリの両方の管理においてきわめて非効率性な結果となる。
現状のVPNシステムの別の欠点は、プライベートネットワーク内のさまざまなVPNゲートウェイを追跡することが複雑であるという点である。クライアントは、各VPNゲートウェイに関して、IPアドレス、認証情報などのある種の構成情報を認識することが必要である。さらに、クライアントは、プライベートネットワーク内のある特定のサーバにアクセスするためにはどのVPNゲートウェイを使用すべきかに関して、認識していないことがあり、あるいは直感的に分からないことがある。LAN構成が変化すると、クライアントはVPNアクセスの継続を容易にするために、新たな設定で速やかに更新することが必要となる。
したがって、ネットワークを介して、クライアントが要求したまたはクライアントから送られたすべての情報を要求する必要なく、クライアントがネットワークにアクセスできるようにした透過VPNが必要とされている。さらに、複数のネットワークに対して同時にアクセスが可能であり、およびセキュリティニーズを損なうことなくプライベートネットワークへのアクセスの簡略化が可能であることも必要とされている。
本発明の実施形態例によれば、上記で特定した現在のVPNに関する不備および欠点が克服される。例えば、例示的な実施形態は、リソースおよびファイアウォールを含んだプライベートネットワークを備える。このファイアウォールは、プライベートネットワークリソースへのアクセスを望むクライアントを制御することによって、1つのゲートウェイとして動作する。本発明は、サービス妨害攻撃(denial of service attack)に対して相互に防護するため、クライアントとファイアウォールの間での認証処理要件を平衡をとる間に、プライベートネットワークリソースに対する接続を確立させるためのコンピュータプログラム製品および方法を備える。
このコンピュータプログラム製品および方法は、ファイアウォールによって、プライベートネットワークリソースにアクセスするためのクライアントからの要求を受信することを備える。このクライアントからの要求は、ファイアウォールに関する何らの認識なしにプライベートネットワークリソースに対して出される。次いで、ファイアウォールは、クライアントに対してクライアントを認証するためのクライアント証明書を提供するように要求することがある。さらに、ファイアウォールは、クライアントに対して自身を認証するために自らの証明書を送信することがある。ファイアウォールはさらに、クライアント証明書を受信することもある。
ファイアウォール証明書およびクライアント証明書を作成することは、ファイアウォールおよびクライアントの処理リソースを同等に消費する。次いで、ファイアウォールは、クライアント証明書を検証し、およびこの検証に応えてプライベートネットワークリソースにアクセスするためのセキュアなチャンネルを確立させる。したがって、クライアントからのデータは次いで、このセキュアなチャンネルを用いるファイアウォールを介してプライベートネットワークリソースに転送される。
本発明のその他の実施形態例によれば、プライベートネットワークリソースへの接続を確立させているコンピュータプログラム製品および方法は、プライベートネットワークリソースへのアクセスを要求するクライアント、およびプライベートネットワークに対する1つのゲートウェイとして動作するファイアウォールに対して相応の処理負担を課すように設計した一連の認証トランザクションを起動することによって提供される。クライアントは当初、ファイアウォールがプライベートネットワークに対する1つのゲートウェイとして動作することを認識していない。さらに、各認証トランザクションは、クライアントおよびファイアウォールの認証が十分に検証されるまで、クライアントとファイアウォールの間の承認レベルを増分式に増加させている。
この一連の認証トランザクションには、この一連のトランザクションのうちの1つに従ってクライアントを認証するための方法、および同様の処理負担を要求する方法で認証するようにクライアントに試みることを含むことができる。この一連の認証トランザクションが完了すると、そのクライアントは、ファイアウォールを介したプライベートネットワークリソースへのアクセスが許可される。
本発明のさらに別の実施形態例によれば、ファイアウォールについて認識しているクライアントを伴わずにファイアウォールを介してサーバへのアクセスを提供する方法は、ファイアウォールがそのサーバに向けられたクライアントからのアクセス要求を受信することによって提供される。このアクセス要求は、サーバに向けられたものである。なぜなら、そのクライアントがファイアウォールをサーバに対する1つのゲートウェイとして動作していることを認識していないからである。ファイアウォールは、このサーバとファイアウォールの間の承認レベルを証明する1つまたは複数の認証証明書を作成し、クライアントがファイアウォールを認証するために要求を送る。この要求には、別の要求を出すことを必要とせずに、クライアントがサーバとファイアウォールの間の承認レベルに関して認識できるような1つまたは複数のファイアウォール認証証明書が含まれる。次いで、ファイアウォールは、クライアントから1つまたは複数の認証証明書を受け取ってこれを検証する。その後、ファイアウォールは、このファイアウォールを介したクライアントのサーバへのアクセスを許可する。
本発明に関する追加的な特徴および利点は、下記で述べており、その一部はこの記載から明らかとなろう。またこれらは、本発明の実施によって確認されることもあろう。本発明のこれらの特徴および利点は、添付の特許請求の範囲で具体的に指摘した手段および組合せによって実現し、かつ獲得することができよう。本発明に関するこれらおよびその他の特徴は、以下の説明および添付の特許請求の範囲からより十分に明らかとなろう。また本明細書の後に述べる本発明の実施によって確認されることもあろう。
本発明に関する上記の利点および特徴、並びにその他の利点および特徴を得ることができるような方式を記載するために、上記で簡単に説明した本発明に関する、より具体的な説明を添付の図面に示した特定の実施形態を参照することによって提供する。これらの図面は単に本発明の典型的な実施形態を表したものであり、したがってこれらはその範囲を限定していると見なすべきではないことを理解しつつ、添付の図面を使用することにより、本発明は、追加的な特性および詳細を備えるように記載し、かつ説明する。
本発明は、透過仮想プライベートネットワーク(VPN)を用いてネットワーク構成の複雑さを低減させるための方法、システム、およびコンピュータプログラム製品までを含む。本発明の実施形態は、図5を参照しながら以下でより詳細に検討するようなさまざまなコンピュータハードウェアを含んだ専用のまたは汎用のコンピュータを含むことができる。
図1は、リモートユーザがインターネットなどの公衆ネットワークを用いてプライベートネットワークに接続することができるような典型的なVPNの基幹構成を表している。メインのローカルエリアネットワーク(LAN)125は、サイト対サイトVPN115や大規模なデータ暗号化のための専用装置を用いて、例えばリモートLAN100によってアクセスを受けることができる。サイト対サイトVPN115は、イントラネットベースのVPN、エクストラネットベースのVPNなどにできる。ある会社が、単一のプライベートネットワークにおいて結合を希望する1つまたは複数のリモート配置を有している場合、この会社はLANとLANとを接続するためにイントラネットVPNを構築することができる。さらに、ある会社が、提携先、納入業者あるいは顧客などの別の会社と緊密な関係を有している場合、LANとLANとを接続するエクストラネットVPNを構築して、この様々な会社すべてが、1つの共有環境内で作業することができる。
またはこれに替えて、あるいは併用によって、リモートユーザ130またはホームユーザ105はリモート−アクセスVPN120を使用することによってメインLAN125に接続することができる。大きなリモート−アクセスVPN120を設置しようと希望する企業は、図示していない企業向けサービスプロバイダ(ESP)にアウトソーシングすること、または自前のVPNゲートウェイを自ら設置することができる。ESPは、ネットワークアクセスサーバ(NAS)を設置し、かつリモートユーザ130および105に対してそのコンピュータ向けのクライアントソフトウェアを提供している。次いで、リモートユーザ130および105は、NASに至るようにフリーダイヤルの番号にダイアルし、そのVPNクライアントソフトウェアを使用して、公衆ネットワークまたはプライベートネットワーク向けのポイントオブプレゼンス(point of presence:POP)135および110を介して企業ネットワークにアクセスすることができる。
図1では、VPNトラフィックはルータ140および145を通りインターネットなどの公衆ネットワークを介して送られている。ルータは、ネットワークトラフィックをさまざまな経路に沿ってその目的箇所まで送る特殊なコンピュータである。ルータは、2つの別個の、しかし関連のある仕事をしている。1つ目は、情報が要求していない箇所に行かないことを保証することである。2つ目は、情報を確実に意図する目的箇所に届けることである。したがって、ルータは、2つの別々のコンピュータネットワークを取り扱う際に極めて有用である。この2つのネットワークは、一方のネットワークからもう一方に情報が渡るように結合している。さらにこれによって、これらのネットワークが互いから保護され、一方に関するトラフィックがもう一方のネットワークに不必要に漏れるのを防ぐことができる。
図2は、クライアント200がネットワーク225にアクセスする方法をより詳細に記載した図である。一般には、クライアント200はインターネット205を介してネットワーク225にアクセスする。クライアント200からネットワーク225に宛てられたデータは、ファイアウォール210を通過するか、またはVPNゲートウェイ230または235のうちの一方を通過している。現在のところ、クライアント200がVPNゲートウェイ230または235を介してネットワーク225にアクセスすることを希望する場合、クライアント200は、対応するVPNゲートウェイ230または235のIPアドレスを知らなければならない。(VPNゲートウェイでは多くの場合、ドメイン名ではなくIPアドレスが追加的なセキュリティ対策として使用される)。例えば、指定されたサーバ240がプライベートネットワーク225に対するメールサーバである場合、クライアント200は、その指定されたメールサーバ240用のVPNゲートウェイであるゲートウェイ230に対するIPアドレスを知らなければならない。同様に、指定されたサーバ245がネットワーク225用の課金サーバである場合、クライアント200は指定された課金サーバ245用のVPNゲートウェイであるゲートウェイ235のIPアドレスを知っていなければならない。クライアント200は、プライベートネットワーク225内の指定されたサーバ240または245へのアクセスを得るためにVPNゲートウェイに適正な証明書を提供する。これらの証明書は、例えば、ユーザ名、クライアントのIPアドレス、パスワード、パスポート、スマートカード、クレジットカード番号、若しくはその他のうちの任意の1つ、あるいはこれらの任意の組合せとすることができる。
本発明の例示の実施形態によれば、クライアント200は、ファイアウォール210を介してプライベートネットワーク225にアクセスを試みる。現在の設計と異なり、プライベートネットワーク225宛のパケットがパケットのネットワークルート設定の処理によってファイアウォールの外側(左側)に現れるため、クライアントは、ファイアウォールのIPアドレスを知る必要はない。さらに、ファイアウォール210は、証明書に関してクライアント200をユーザ確認する(challenge)ことができる。ファイアウォール210によって実現されるユーザ確認の種類には、例えば、セキュアソケットレイヤ(SSL)、トランスポートレイヤセキュリティ(TLS)などのさまざまな暗号化プロトコルを使用することができる。当業者であれば理解するように、SSLやTLSは機密情報を送るために使用されるセキュリティプロトコルである。
しかし、透過VPNにおいて典型的な種類のセキュリティプロトコル(上記で言及したセキュリティプロトコルなど)を使用することに関する問題は、これらが潜在的に持つサービス妨害(DoS)攻撃を許す可能性があることである。当業者であれば理解するように、DoS攻撃とは、ユーザが通常得られると期待するリソースのサービスをユーザから奪うような事象であり、これはそのリソースが無効な要求によって圧倒されるからである。例えば、こうしたサービスの喪失では、例えばeメールなどの、ある特定のネットワークサービスが利用できなくなること、あるいは、ネットワーク接続およびサービスがすべて一時的に喪失することがある。
サービス妨害攻撃は、透過VPN設定におけるクライアントとネットワークのいずれに対しても起こりうる。例えば、DoS攻撃は、ファイアウォールにおいて、ファイアウォールがあるメッセージを受信し、署名済みのユーザ確認を送り返す際に起こることがある。この署名済みのユーザ確認は、メッセージの送信と比べてより一層大きな処理作業を必要とするため、攻撃者がファイアウォールに対してストリーム状のパケットを送り、これによって正当なクライアントに対するサービスを否定することによって、ファイアウォールを簡単に制圧することができる。同様に、DoS攻撃は、クライアントにおいても、適正なセキュリティ証明書を提供するようにクライアントに対して指示する、無署名のユーザ確認をクライアントがファイアウォールから受信する際に起こることがある。処理負担をクライアントにシフトさせることによって攻撃の経路が形成されるのである。誰でも無署名のメッセージをクライアントに送ることができ、これによってクライアントに対して、ファイアウォールと連絡を取らせ、かつ計算量の膨大な認証処理を試みさせることができる。
DoS攻撃という潜在的問題に対処するため、本発明はこれに代わる種類の認証を提供する。一実施形態例では、ゼロ知識証明(zero−knowledge proof)を利用し、クライアントに対して証明書を求めるユーザ確認を出している。簡単に述べると、ゼロ知識証明では、クライアントとファイアウォールとの間における承認レベルを、その通信が進行するに従って増分式に増加させる、これらの間での一連のやり取りを行う。このやり取りは、名称や時間などの一連のランダムな質問、その他を添付された元のメッセージと共に、メッセージを要求側に送り返すことを含むことのできる、幾つかの発展するシーケンスの形をとることができる。
より正式には、ゼロ知識証明は、証明者および検証者を含む2つの当事者間での対話式の証明プロトコルの1つである。証明者は、ステートメントを証明する方法に関して何ら情報を明らかにすることなく、そのステートメントの検証者にこれを確信させる。ゼロ知識証明は、典型的には幾つかのラウンドを含む。ゼロ知識証明における典型的なラウンドの1つは、証明者からの「コミットメント(commitment)」メッセージ、これに続く検証者からのユーザ確認、次いで証明者からのユーザ確認に対する応答からなることがある。証明者が所与のラウンドに関する適当な応答を推定することは可能であるが、このプロトコルは、正しい推定が継続しない確率が受容可能なレベルに達するまで反復することができる。換言すると、証明に関する各ラウンドにおいて正しい応答が推定される確率が五分五分であれば、20回の応答の各々が正しく推定される確率は、2−20、すなわち0.0000009536となる。検証者は、すべてのラウンドにおける証明者の応答に基づいて、その証明を受け入れるか拒絶するかを判定している。
ゼロ知識証明の一実現形態は、クライアント200に対して匿名式でユーザ確認するファイアウォール210を含むことがある。クライアント200は、上述のようなゼロ知識証明技法を用い、ファイアウォール210に証明書を実際に与えることなく、自らが証明書を有していること、および、その証明書が正しいことの証明を提示することができる。したがって、本出願で使用する場合、「証明書(credential)」という用語は、証明書に基づくゼロ知識証明と、その証明書自体とを広く包含しているものと解釈すべきである。またはそれに替えて、あるいは併用して、クライアント200は、実際の証明書が提出される前にファイアウォール210がそれを識別するように要求できる。
一実施形態に従って、修正され、Dos攻撃に対処するのに用いることができる別の認証処理は、単方向性認証(unilateral authentication)処理として知られている。この処理は、デバイスがメッセージを書き込む際に、そのメッセージがただこの当該デバイスによって書き込まれているように書き込めるようにする。この認証機構は、受信者が認証処理を完了させるために送信者とさらに通信する必要がないという意味で単方向性である。このメッセージは、例えば、クライアントなどのメッセージ受信者が、そのメッセージを復号しこれがこの当該デバイスから受信したに違いないことを判定するために必要なすべてのものを含む。
本発明は、例えば、メッセージ送信者のネットワークアドレスを公開キーに基づいて選択することと組み合わせて使用される公開キー/秘密キー暗号法に基づいている。以下の例証では、本発明において単方向性認証がどのように使用されるのかを示す。クライアント200は、ネットワーク225内のある特定のホストまたはサーバ、例えば、特定のサーバ240または245へのアクセスを要求することがある。当初は、クライアント200は、ファイアウォール210を意識しておらず、また単にその要求がネットワーク225内のある特定のホストに伝達されるように意図しているにすぎない(ここで、ファイアウォール210によって保護された指定されたサーバは図示してないことに留意されたい)。しかし、ファイアウォール210はネットワーク225内の指定されたホストを保護していることがあるため、要求は先ずファイアウォールに伝達される。
ネットワーク225内の所望のホストに要求を転送する前に、ファイアウォール210は、クライアント200がネットワーク225内のこの指定されたホストへのアクセスを認められていることを検証する必要がある。ファイアウォール210は、クライアント200に自身の認証を自由に要求することができるが、クライアント200は、ファイアウォール210を認識せず、ファイアウォール210がDoS攻撃などの攻撃やセキュリティ侵害を試みていると疑うことがある。したがって、クライアント200はファイアウォール210の認証要求に応答しないことがあり、また、したがってネットワーク200内の所望のホストへのアクセスが得られないことがある。
しかし、本発明によって、ファイアウォール210は単方向性方式でクライアント200の承認を得ることができる。例えば、例示の実施形態は、ファイアウォール210およびネットワーク225内の所望のホストが信任関係を有することを定める。このため、ファイアウォール210は、所望のホストの秘密キーまたはそのホストの秘密キーをファイアウォール210に代わって使用するネットワーク225内の所望のホストへのアクセスが許可される。したがって、ファイアウォール210がクライアント200の証明書を要求する場合、ファイアウォール210は、ファイアウォール210がネットワーク225の所望のホストによって承認されていることを示すためにネットワーク225内の所望のホストの秘密キーによって暗号化したメッセージまたはネットワークアドレスを備えることができる。クライアント200がネットワーク225内の所望のホストの秘密キーによってこのメッセージを解読できる場合、クライアント200は、このメッセージが所望のホストまたはサーバの秘密キーを用いて暗号化されていることを認識し、したがってファイアウォール210がネットワーク225内の所望のホストによって承認されていることを推測することができる。
クライアント200はさらに、単方向性認証処理を使用する際にさまざまな有利な理由から、認証済みの公開キー/ネットワークアドレス関連のキャッシュを作成し管理することもできる。例えば、キャッシュを適切に配置したクライアント200は、これを用いて受信するメッセージ、特に公開キーを備えずに到着するメッセージ、を認証することができる。しかし、公開キーを含むメッセージでは、これらのメッセージについては上述の手順を依然として実行しなければならないため、最初はこのキャッシュによって受信者の処理負荷が軽減されないように見えるかもしれない。このことは多くの場合に正しいが、例外としてこのキャッシュが非常に有益となることがある。上記で言及したように、受信者は、受信する無効なメッセージで受信者をあふれさせるようなDoS攻撃の標的となることがある。このキャッシュを使用すれば、このDoS攻撃を防止することができる。受信するメッセージの数が、受信者が楽に処理できるメッセージ数を超えている場合、受信者は簡略化した手順に従って受信メッセージを処理する。例えば、メッセージの公開キーおよびネットワークアドレスを、すでにキャッシュ内にある公開キー/ネットワークアドレス関連と比較することができる。一致が見いだされない場合、そのメッセージは廃棄される。一致が見いだされると、そのメッセージは上述した完全な認証手順にかけられる。DoS攻撃の間において、この手順は、無効なメッセージに対して貴重な解読時間を無駄にすることなく無効なメッセージを排除し、したがって受信者は、受信する有効なメッセージに対応することができる。もちろん、この手順で解読できるのは、その公開キーおよびネットワークアドレスがすでにキャッシュ内に存在するようなメッセージだけである。受信者は、有効ではあるがこれまでに見たことのない公開キーおよびネットワークアドレスを有する受信するメッセージを受け入れることができない。こうした妥協は、DoS攻撃の場合クライアントが進んですることがある。受信者はDoS攻撃をうまく切り抜けた後に、より完全な手順に復帰する。
クライアント200が証明書をファイアウォール210に提供した後、ファイアウォール210はこの証明書を検証すると共に、プライベートネットワーク225のサーバ240および245にアクセスするためのセキュアなチャンネル215をクライアントとで取り決める。これ以降、クライアント200は、プライベートネットワーク225のサーバ240および245(または、別のサーバ)に宛てられたパケットに関してこのセキュアなチャンネル215を使用する。これ以外のサーバ、例えばサーバ250に宛てられたその他のデータパケットは、先ずプライベートネットワーク225を通らなくても、インターネット205を介してサーバ250までルート設定される。
本発明の代替の一実施形態において、そのファイアウォール210は、認証済みのチャンネル220を用いてプライベートネットワーク225のサーバ240および245にデータパケットを転送する。このことはそのサーバに対して、クライアントがすでにファイアウォールにおいて実施されたセキュリティチェックに合格済みであることを示す。この認証済みのチャンネル220は、例えば、ファイアウォール210が保証した署名済みのデータを含むことができ、それはそのクライアント200がプライベートネットワーク225へのアクセスの認証を受けていることを具体的に示す。
本発明のさらに別の代替の実施形態例において、そのファイアウォールは、ネスティングされるか、またはネットワーク225への経路内にある幾つかのファイアウォール211および212のうちの1つとすることができる。各ファイアウォール211および212は、プライベートネットワーク225のセキュリティ面を統括している1つのチェックポイントの役割をしている。
当業者であれば理解するように、ファイアウォールは、典型的には、ファイアウォールを過度の負荷と、プライベートネットワークにアクセスを試みるすべてのユーザに対するサービスの妨害とを引き起こすサービス妨害攻撃を回避するために、ユーザに対して証明書を提供してユーザ確認を行ったりしない。本発明の一実施形態において、この問題は、クライアント200にユーザ確認をするファイアウォール210が、未署名のパケットを送信し、プライベートネットワーク225へのアクセスを許可する前にクライアント200に暗号処理やその他の処理を実行させることによって解決できる。当業者であれば理解するように、この処理は、パズル式防衛法(puzzle defense)として知られている。ファイアウォール210は、プライベートネットワーク225へのアクセスを許可する前にパズルを解くように要求することによってこの処理負担(または、別の負担)をクライアント200に振り替えている。
図3は、クライアント300がファイアウォール335を介しサーバ340までどのようにルート設定するかに関する一実施形態を表している。当業者であれば理解するように、例えばwww.company.comといったドメイン名を用いてクライアント300をファイアウォール335までルート設定することがある。クライアント300は、少なくとも1つのドメインネームシステム(DNS)サーバ305に関する知見を有するようなインターネットサービスプロバイダ(ISP)315を介してインターネット310に接続している。クライアント300がHTTP://www.company.comに対する接続を要求するブラウザを起動させると、クライアント300は、HTTP://www.company.comの特定のIPアドレスに対するDNSサーバ305からの情報を要求することができる。そのDNSサーバ305がwww.company.comの特定のIPアドレスに関する知見を有している場合には、この情報をクライアント300に提供することができる。次いで、クライアント300は、特定のIPアドレスの情報を有するこのデータをそのISP315に送信し、このISP315は次いで、サーバ340に到達するようにそのデータベースをルート設定しているISP320および330などの1つまたは複数の別のISP上にこのデータを転送する。サーバ340への途上で、データはファイアウォール335を通過する。DNS情報はHTTP://www.company.comに関するトラフィックをファイアウォール335に導いていることに留意すべきである。したがって、クライアントはファイアウォール335またはサーバ340に関する特定の知見を必要とせず、必要となるのはドメイン名だけである。
ファイアウォール335は今、クライアント300に対して証明書を求めるユーザ確認をしている。このユーザ確認は、クライアント300のサーバ340へのアクセスの要求に応答しないようなファイアウォールの形態とすることもある。このため、クライアント300は、セキュアなサーバ340へのアクセスを得るために証明書を送信する必要があることを認識することになる。
本発明はさらに、機能的なステップおよび/または機能的でない工程を含むような方法の形で記述することもできる。以下は、本発明を実施する際に実行することがあるような工程およびステップを記述している。通常は、機能的なステップによって達成される結果に関して本発明を記述しており、一方機能的でない工程によってある具体的な結果を得るためのより特異な処理について記述している。機能的なステップおよび機能的でない工程はある具体的な順序で記述しまたは特許請求しているが、本発明は必ずしも工程および/またはステップの特定の順序あるいは組合せに限定的されるものではない。
図4は、クライアントとファイアウォールの間でサービス妨害攻撃に対して相互に防護するための認証要件を平衡をとる間に、プライベートネットワークへの接続を確立させる際に使用する、例示的なステップおよび工程を表している。一連の認証トランザクションを起動させるためのステップ400は、クライアントからのプライベートネットワークリソースへのアクセスの要求を受信する工程405を含むことができる。この一連の認証トランザクションは、プライベートネットワークリソースへのアクセスを要求しているクライアントと、プライベートネットワークに対する1つのゲートウェイとして動作するファイアウォールとに対して、等価の処理負担を課するように設計されている。さらに、クライアントは当初、ファイアウォールがこのプライベートネットワークの1つのゲートウェイとして動作していることを認識していない。さらに、各認証トランザクションは、クライアントおよびファイアウォールの認証が十分に検証されるまで、クライアントとファイアウォールの間で承認レベルを増分式に増加させている。
一連の動作を起動するためのこのステップ400はさらに、一連のトランザクションのうちの1つに従ってクライアントに対して認証を与えるためのステップ410を含むことがある。さらに、クライアントに対して認証を与えるためのこのステップ410は、ファイアウォールによってファイアウォールを認証するようにファイアウォール証明書を送信する工程415を含むことがある。ファイアウォール証明書を作成することは、一定の限られたファイアウォール処理リソースを消費させる。
この起動のためのステップ400はさらに、証明書に対するクライアントのユーザ確認420のステップを含むことができる。ユーザ確認420のためのステップはさらに、クライアント証明書を要求する工程422、並びにクライアント証明書を受信する工程424を含むことができる。クライアント証明書を作成しても、ファイアウォール処理リソースの消費は限られており、同様にクライアント処理リソースの消費もある程度に限られる。
最後に、一連の認証トランザクションが完了した時点でファイアウォールを介してプライベートネットワークリソースへのクライアントのアクセスを許可するステップ440は、以下の工程を含むことがある。先ず、クライアント証明書を検証する工程442である。次に、クライアント証明書の検証に応えて、プライベートネットワークのプライベートネットワークリソースにアクセスするためにセキュアなチャンネルを確立させる工程444である。次いで、このセキュアなチャンネルを用いてファイアウォールを介しクライアントからプライベートネットワークリソースに宛てられたデータを転送する工程446である。最後に、ファイアウォールがパケットに署名する工程448が設けられる。この署名済みのデータパケットは、クライアントからプライベートネットワークリソースに宛てられたものであり、またこの署名によって、ファイアウォールで実装された最小のセキュリティレベルをクライアントがパスしたことを示す。
この署名の工程448によってファイアウォールは、例えばファイアウォールで実行させたセキュリティチェックに、そのクライアントが合格済みであることをサーバに対して示している署名済みのデータなど、認証済みのチャンネルを用いたサーバへパケットを転送することができる。工程448においては、IPSec認証ヘッダ(AH)機能は、ファイアウォールとサーバとの間に認証を受けたトンネルを確立させるための方法のうちの1つである。さらに、ファイアウォールは、幾つかのファイアウォールをネストで構成したものとしたり、複数のファイアウォールのうちの1つとすることがあり、この中の各ファイアウォールが、そのプライベートネットワークのセキュリティ面を統括する1つのチェックポイントの役割をする。ファイアウォールは、そのキャッシュメモリを用いて指定したクライアントの証明書を最近検証したと認識し、ファイアウォールのキャッシュメモリ内に提供された証明書に基づいてそのデータに署名することもできる。
本発明の範疇にある実施形態は、コンピュータ実行可能な命令またはデータ構造をその上に格納して保持するまたは有するためのコンピュータ読み取り可能な媒体を含んでいる。こうしたコンピュータ読み取り可能な媒体は、汎用のまたは特殊目的のコンピュータによってアクセスを受けることができる利用可能な媒体のいずれかとすることが可能である。限定ではなく一例として、こうしたコンピュータ読み取り可能な媒体は、RAM、ROM、EEPROM、CD−ROMその他の光ディスクストレージ、磁気ディスクストレージその他の磁気ストレージデバイス、あるいはコンピュータ実行可能な命令またはデータ構造の形態をした所望のプログラムコード手段を保持するまたは格納するために使用できかつ汎用のまたは特殊目的のコンピュータによってアクセスを受けることができる任意の別の媒体、を備えることができる。ネットワークや別の通信接続(有線式、ワイヤレス式のいずれか、あるいは有線式とワイヤレス式の組合せ)を介してコンピュータに情報が転送または提供される場合、コンピュータがその接続を1つのコンピュータ読み取り可能な媒体であると見なすことは妥当である。したがって、こうした任意の接続のことをコンピュータ読み取り可能な媒体と呼ぶことは妥当である。上述の組合せもまた、コンピュータ読み取り可能な媒体の範疇に含めるべきである。コンピュータ実行可能な命令は、例えば、汎用のコンピュータ、専用のコンピュータまたは特殊目的の処理デバイスにある種の機能または一群の機能を実行させるような命令およびデータを備えている。
図5および以下の検討は、本発明を実施できるような適切なコンピューティング環境に関する簡単な概要説明を行うことを目的としたものである。必須ではないが、本発明は、ネットワーク環境内にあるコンピュータによって実行させるプログラムモジュールなどのコンピュータ実行可能な命令の一般的な文脈において記述することにする。一般に、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象データ型を実施するような、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含んでいる。コンピュータ実行可能な命令、関連するデータ構造、およびプログラムモジュールは、本明細書で開示した方法の各ステップを実行するためのプログラムコード手段の例を表したものである。こうした実行可能命令や関連するデータ構造に関する特定のシーケンスは、こうしたステップに記述された機能を実現するための対応する工程の例を表したものである。
当業者であれば、本発明は、パーソナルコンピュータ、ハンドへルド型デバイス、多重プロセッサシステム、マイクロプロセッサベースの電子機器またはプログラム可能な市販の電子機器、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、その他を含め多様な種類のコンピュータシステム構成を用いてネットワークコンピューティング環境で実施できることが理解されよう。本発明はさらに、分散型コンピューティング環境内で実施し、この環境内において通信ネットワークを介してリンクされた(有線リンクによるか、ワイヤレスリンクによるかのいずれか、あるいは有線リンクとワイヤレスリンクの組合せによる)ローカルおよびリモートの処理デバイスにタスクを実行させることもできる。分散型コンピューティング環境では、プログラムモジュールは、ローカルとリモートの両方のメモリストレージデバイス上に配置することがある。
図5を参照すると、本発明を実現するための例示的なシステムの1つは、処理ユニット521、システムメモリ522、並びにシステムメモリ522を含むさまざまなシステムコンポーネントを処理ユニット521に結合させているシステムバス523を含むような従来のコンピュータ520の形態をした汎用のコンピューティングデバイスを含んでいる。システムバス523は、メモリバスまたはメモリコントローラ、周辺バス、および多様なバスアーキテクチャのうちのいずれかを用いるローカルバスを含めた幾つかの種類のバス構造のうちのいずれかとすることができる。このシステムメモリは、読出し専用メモリ(ROM)524およびランダムアクセスメモリ(RAM)525を含んでいる。ROM524内には、起動時などにおいてコンピュータ520内の要素間での情報の転送を支援する基本ルーチンを含んだ、基本入出力システム(BIOS)526を格納することもできる。
コンピュータ520はさらに、磁気ハードディスク539からの読み取りおよび磁気ハードディスク539への書き込みのための磁気ハードディスクドライブ527と、取外し可能な磁気ディスク529からの読み取りまたは取外し可能な磁気ディスク529への書き込みのための磁気ディスクドライブ528と、CD−ROMやその他の光学媒体などの取外し可能な光ディスク531からの読み取りまたは取外し可能な光ディスク531への書き込みのための光ディスクドライブ530と、を含むこともある。磁気ハードディスクドライブ527、磁気ディスクドライブ528、および光ディスクドライブ530はハードディスクドライブインタフェース532、磁気ディスクドライブインタフェース533、および光ドライブインタフェース534のそれぞれによって、システムバス523に接続させている。これらのドライブおよびこれらに関連するコンピュータ読み取り可能な媒体によって、コンピュータ実行可能な命令、データ構造、プログラムモジュールおよびコンピュータ520用のその他のデータに関する不揮発性ストレージを提供することができる。本明細書に記述した例示的な環境は、磁気ハードディスク539、取外し可能磁気ディスク529および取外し可能光ディスク531を利用しているが、データを格納するためには、磁気カセット、フラッシュメモリカード、ディジタル多機能ディスク、Bernoulliカートリッジ、RAM、ROM、その他を含む別の種類のコンピュータ読み取り可能な媒体を使用することができる。
1つまたは複数のプログラムモジュールを備えたプログラムコード手段は、オペレーティングシステム535、1つまたは複数のアプリケーションプログラム536、その他のプログラムモジュール537、およびプログラムデータ538を含め、ハードディスク539、磁気ディスク529、光ディスク531、ROM524またはRAM525上に格納することができる。クライアントは、キーボード540、ポインティングデバイス542、あるいはマイクロフォン、ジョイスティック、ゲームパッド、衛星アンテナ、スキャナ、その他などの別の入力デバイス(図示せず)を介して、コマンドおよび情報をコンピュータ520に入力することができる。これらのデバイスおよびその他の入力デバイスは、システムバス523に結合させたシリアルポートインタフェース546を介して処理ユニット521にしばしば接続される。またはこれに替えて、その入力デバイスは、並列ポート、ゲームポートまたはユニバーサルシリアルバス(USB)などの別のインタフェースによって接続することができる。モニタ547または別のディスプレイデバイスはさらに、ビデオアダプタ548などのインタフェースを介してシステムバス523に接続させることもできる。パーソナルコンピュータは、典型的には、モニタ以外にスピーカおよびプリンタなど別の周辺出力装置(図示せず)を含んでいる。
コンピュータ520は、リモートコンピュータ549aおよび549bなどの1つまたは複数のリモートコンピュータへの論理接続を用いたネットワーク環境内で動作することができる。リモートコンピュータ549aおよび549bはそれぞれ、別のパーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス、または別の共通ネットワークノードとすることができ、また典型的には、コンピュータ520に関して上述した要素の多くまたはすべてを含んでいる。ただし、図5ではメモリストレージデバイス550aおよび550b、並びにこれらに関連するアプリケーションプログラム536aおよび536bのみを図示している。図5に表した論理接続は、限定ではなく一例として図5に示すローカルエリアネットワーク(LAN)551およびワイドエリアネットワーク(WAN)552を含んでいる。こうしたネットワーキング環境は、オフィス規模のまたは企業規模のコンピュータネットワーク、イントラネットおよびインターネットにおいて一般的である。
LANネットワーキング環境内で使用する場合、コンピュータ520はネットワークインタフェースまたはアダプタ553を介してローカルネットワーク551と接続させている。WANネットワーキング環境内で使用する場合、コンピュータ520は、インターネットなどのワイドエリアネットワーク552を介して通信を確立させるためのモデム554、ワイヤレスリンク、または別の手段を備えることができる。内部にあることや外部にあることがあるモデム554は、シリアルポートインタフェース546を介してシステムバス523に接続させている。ネットワーク環境では、コンピュータ520に関して示したプログラムモジュール、あるいはその一部分を、リモートのメモリストレージデバイス内に格納することがある。図示したネットワーク接続は、例示的なものであり、またワイドエリアネットワーク552を介して通信を確立させるための別の手段も可能であることを理解されたい。
本発明は、本発明の精神や本質的な特徴を逸脱することなく特定の別の形式で実施することもできる。記述した実施形態は、そのすべての点において、単に例示と見なすべきであり、限定と見なすべきではない。したがって、本発明の範囲は、上述した説明によってではなく、添付の特許請求の範囲によって示される。本特許請求の範囲について等価の意味および範囲にあるような変更はすべて、本発明の範疇に包含させるべきである。
典型的なVPN接続を表した図である。 本発明の例示的実施形態によるVPN接続を表した図である。 本発明の例示的実施形態による透過VPN接続の機能を表した図である。 本発明に従ってクライアントをプライベートネットワークに接続する方法に関する例示的な工程およびステップを表した図である。 本発明に適した動作環境を提供している1つの例示的システムを表した図である。
符号の説明
100 リモートLAN
115 サイト対サイトVPN
120 リモート−アクセスVPN
125 メインLAN
130 リモートユーザ
200 クライアント
205 インターネット
210 ファイアウォール
225 ネットワーク
230 VPNゲートウェイ
235 VPNゲートウェイ
240 特定のサーバ
245 特定のサーバ
250 サーバ
300 クライアント
310 インターネット
400 シリーズ一連の動作を起動
405 要求を受信する
410 クライアントの認証
415 ファイアウォール証明書を送る
420 クライアントのユーザ確認
422 クライアント証明書を要求する
424 クライアント証明書を受信する
440 アクセス認可
442 クライアント証明書を確認する
444 セキュアなチャンネルを確立する
446 データを転送する
448 パケットに署名する
521 処理ユニット
522 システムメモリ
523 システムバス
532 ハードディスクドライブインタフェース
533 磁気ディスクドライブインタフェース
534 光ドライブインタフェース
535 オペレーティングシステム
536 アプリケーションプログラム
536a アプリケーションプログラム
537 その他のプログラムモジュール
538 プログラムデータ
540 キーボード
546 シリアルポートインタフェース
547 モニタ
548 ビデオアダプタ
549a リモートコンピュータ
549b リモートコンピュータ
551 ローカルエリアネットワーク
552 ワイドエリアネットワーク
553 ネットワークインタフェース
554 モデム

Claims (16)

  1. プライベートネットワークリソースと、前記プライベートネットワークリソースに対するクライアントの要望するアクセスを制御することによって1つのゲートウェイとして動作するファイアウォールとを備えたプライベートネットワークにおいて、サービス妨害攻撃に対して相互に防護するために前記クライアントと前記ファイアウォールとの間での認証処理要件平衡をとる間に、前記プライベートネットワークリソースに対する接続を確立する方法であって、
    前記ファイアウォール、前記プライベートネットワークリソースにアクセスするための前記クライアントからの要求を受信するステップであって、前記クライアントからの要求は前記ファイアウォールの知識を有することなく前記プライベートネットワークリソースに対してなされる、ステップと、
    前記ファイアウォール、前記クライアントに対し、前記クライアントを認証するための1つまたは複数のクライアント証明書要求を送信するステップであって、前記クライアント証明書の要求は、前記クライアント証明書を有していることと前記クライアント証明書が正しいこととを証明するための質問であり、前記クライアント証明書は、前記質問に対する答えである、ステップと、
    前記ファイアウォール、前記ファイアウォールを認証するための1つまたは複数のファイアウォール証明書を作成して前記クライアントに対して送信するステップであって、前記1つまたは複数のファイアウォール証明書を作成することは、一定の限られたファイアウォール処理リソースを消費する、ステップと、
    前記ファイアウォールが、1つまたは複数の前記クライアント証明書を受信するステップであって、1つまたは複数の前記クライアント証明書を作成することは、前記限られたファイアウォール処理リソースに関する消費と同等、一定の限られたクライアント処理リソースを消費する、ステップと、
    前記ファイアウォール、1つまたは複数の前記クライアント証明書検証を行うステップと、
    前記ファイアウォールが、1つまたは複数の前記クライアント証明書の前記検証に応答して前記プライベートネットワークリソースにアクセスするためのセキュアなチャンネルを確立させるステップと、
    前記クライアントから前記プライベートネットワークリソースに宛てられたデータを前記セキュアなチャンネルを用いて前記ファイアウォールを介し転送するステップと、
    前記ファイアウォールが、前記クライアントから前記プライベートネットワークリソースに宛てられたデータの前記パケットに署名をするステップであって、前記署名によって前記クライアントが前記ファイアウォール内に実装された1つまたは複数のセキュリティチェックに合格したことを示す、ステップとを備え、
    前記クライアントと前記ファイアウォールとの間の前記クライアント証明書の要求と前記クライアント証明書とのやり取りは複数回行われ、
    前記複数回の前記クライアントと前記ファイアウォールとの間の前記クライアント証明書の要求と前記クライアント証明書とのやり取りのうち、前記質問に対して正しい答えがなされる確率が予め定められたしきい値に到達するまで、前記クライアントと前記ファイアウォールとの間の前記クライアント証明書の要求と前記クライアント証明書とのやり取りを継続することを特徴とする方法。
  2. 前記プライベートネットワークリソースは、ホスト、ゲートウェイまたはサーバのうちの1つであることを特徴とする請求項1に記載の方法。
  3. 前記ファイアウォールを通過した前記クライアントからの前記データのみが前記プライベートネットワークリソースに宛てられるデータの当該パケットとなることを特徴とする請求項1に記載の方法。
  4. 前記プライベートネットワークの前記セキュアなチャンネルを維持し、別個のプライベートネットワークリソースとの接続を確立させるステップをさらに備えたことを特徴とする請求項1に記載の方法。
  5. 前記プライベートネットワークの前記セキュアなチャンネルを維持し、その他のプライベートネットワークリソースとの接続を確立させるステップをさらに備えたことを特徴とする請求項1に記載の方法。
  6. 保護された前記プライベートネットワークリソースが受け取ったデータの無署名のパケットを廃棄するステップをさらに備えたことを特徴とする請求項に記載の方法。
  7. 受け取った1つまたは複数の前記クライアント証明書は、ユーザ名、クライアントのIPアドレス、パスワード、パスポート、スマートカードまたはクレジットカード番号のうちの少なくとも1つから選択されることを特徴とする請求項1に記載の方法。
  8. 前記クライアントは、第2のファイアウォールであることを特徴とする請求項1に記載の方法。
  9. プライベートネットワークリソースと、前記プライベートネットワークリソースに対するクライアントの要望するアクセスを制御することによって1つのゲートウェイとして動作するファイアウォールと、を備えるプライベートネットワークにおいて、サービス妨害攻撃に対して相互に防護するために前記クライアントと前記ファイアウォールの間での認証処理要件平衡をとる間に、前記プライベートネットワークリソースに対する接続を確立させる方法を実施するコンピュータ実行可能な命令を保持しているコンピュータ読み取り可能な記録媒体であって、
    前記ファイアウォール、前記プライベートネットワークリソースにアクセスするための前記クライアントからの要求を受信するステップであって、前記クライアントからの要求は前記ファイアウォールの知識を有することなく前記プライベートネットワークリソースに対してなされる、ステップと、
    前記ファイアウォール、前記クライアントに対し、前記クライアントを認証するための1つまたは複数のクライアント証明書要求を送信するステップであって、前記クライアント証明書の要求は、前記クライアント証明書を有していること、および、前記クライアント証明書が正しいことの証明するための質問であり、1つまたは複数の前記クライアント証明書は、前記質問に対する答えである、ステップと、
    前記ファイアウォール、前記ファイアウォールを認証するための1つまたは複数のファイアウォール証明書を作成して前記クライアントに対して送信するステップであって、前記1つまたは複数のファイアウォール証明書を作成することは、一定の限られたファイアウォール処理リソースを消費する、ステップ
    前記ファイアウォールが、1つまたは複数の前記クライアント証明書を受信するステップであって、1つまたは複数の前記クライアント証明書を作成することは、前記限られたファイアウォール処理リソースに関する消費と同等、一定の限られたクライアント処理リソースを消費する、ステップと、
    前記ファイアウォール、1つまたは複数の前記クライアント証明書検証を行うステップと、
    前記ファイアウォールが、1つまたは複数の前記クライアント証明書の前記検証に応答して前記プライベートネットワークリソースにアクセスするためのセキュアなチャンネルを確立させるステップと、
    前記クライアントから前記プライベートネットワークリソースに宛てられたデータを前記セキュアなチャンネルを用いて前記ファイアウォールを介し転送するステップと、
    前記ファイアウォールが、前記クライアントから前記プライベートネットワークリソースに宛てられたデータの前記パケットに署名をするステップであって、前記署名によって前記クライアントが前記ファイアウォール内に実装された1つまたは複数のセキュリティチェックに合格したことを示す、ステップとを備え、
    前記クライアントと前記ファイアウォールとの間の前記クライアント証明書の要求と前記クライアント証明書とのやり取りは複数回行われ、
    前記複数回の前記クライアントと前記ファイアウォールとの間の前記クライアント証明書の要求と前記クライアント証明書とのやり取りのうち、前記質問に対して正しい答えがなされる確率が予め定められたしきい値に到達するまで、前記クライアントと前記ファイアウォールとの間の前記クライアント証明書の要求と前記クライアント証明書とのやり取りを継続することを特徴とするコンピュータ読み取り可能な記録媒体。
  10. 前記プライベートネットワークリソースは、ホスト、ゲートウェイまたはサーバのうちの1つであることを特徴とする請求項に記載のコンピュータ読み取り可能な記録媒体。
  11. 前記ファイアウォールを通過した前記クライアントからの前記データのみは、前記プライベートネットワークリソースに宛てられるデータのパケットとなることを特徴とする請求項に記載のコンピュータ読み取り可能な記録媒体。
  12. 前記プライベートネットワークの前記セキュアなチャンネルを維持し、別個のプライベートネットワークのリソースとの接続を確立させるステップをさらに備えたことを特徴とする請求項に記載のコンピュータ読み取り可能な記録媒体。
  13. 前記プライベートネットワークの前記セキュアなチャンネルを維持し、その他のプライベートネットワークリソースとの接続を確立させるステップをさらに備えたことを特徴とする請求項に記載のコンピュータ読み取り可能な記録媒体。
  14. 前記保護されたプライベートネットワークリソースが受け取ったデータの無署名のパケットを廃棄するステップをさらに備えたことを特徴とする請求項に記載のコンピュータ読み取り可能な記録媒体。
  15. 受け取った1つまたは複数の前記クライアント証明書は、ユーザ名、クライアントのIPアドレス、パスワード、パスポート、スマートカードまたはクレジットカード番号のうちの少なくとも1つから選択されることを特徴とする請求項に記載のコンピュータ読み取り可能な記録媒体。
  16. 前記クライアントは、第2のファイアウォールであることを特徴とする請求項に記載のコンピュータ読み取り可能な記録媒体。
JP2004194757A 2003-06-30 2004-06-30 透過仮想プライベートネットワークを用いたネットワーク構成の複雑さの低減 Expired - Fee Related JP4558389B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/611,832 US7305705B2 (en) 2003-06-30 2003-06-30 Reducing network configuration complexity with transparent virtual private networks

Publications (2)

Publication Number Publication Date
JP2005027312A JP2005027312A (ja) 2005-01-27
JP4558389B2 true JP4558389B2 (ja) 2010-10-06

Family

ID=33435444

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004194757A Expired - Fee Related JP4558389B2 (ja) 2003-06-30 2004-06-30 透過仮想プライベートネットワークを用いたネットワーク構成の複雑さの低減

Country Status (7)

Country Link
US (1) US7305705B2 (ja)
EP (1) EP1494420B1 (ja)
JP (1) JP4558389B2 (ja)
KR (1) KR101076848B1 (ja)
CN (1) CN1578218B (ja)
AT (1) ATE476044T1 (ja)
DE (1) DE602004028316D1 (ja)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7599351B2 (en) * 2001-03-20 2009-10-06 Verizon Business Global Llc Recursive query for communications network data
US20030115480A1 (en) * 2001-12-17 2003-06-19 Worldcom, Inc. System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
US8239917B2 (en) * 2002-10-16 2012-08-07 Enterprise Information Management, Inc. Systems and methods for enterprise security with collaborative peer to peer architecture
US7840806B2 (en) * 2002-10-16 2010-11-23 Enterprise Information Management, Inc. System and method of non-centralized zero knowledge authentication for a computer network
GB2414627A (en) * 2004-05-27 2005-11-30 Hewlett Packard Development Co Network administration
US7594259B1 (en) * 2004-09-15 2009-09-22 Nortel Networks Limited Method and system for enabling firewall traversal
US8250214B2 (en) * 2004-12-20 2012-08-21 Vmware, Inc. System, method and computer program product for communicating with a private network
US8261341B2 (en) * 2005-01-27 2012-09-04 Nokia Corporation UPnP VPN gateway configuration service
US20060235973A1 (en) * 2005-04-14 2006-10-19 Alcatel Network services infrastructure systems and methods
US8132005B2 (en) * 2005-07-07 2012-03-06 Nokia Corporation Establishment of a trusted relationship between unknown communication parties
US8166538B2 (en) * 2005-07-08 2012-04-24 Microsoft Corporation Unified architecture for remote network access
US20070033646A1 (en) * 2005-08-05 2007-02-08 Sierra Wireless, Inc. A Canadian Corp. Suspension and resumption of secure data connection session
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
DE602006014192D1 (de) 2005-12-02 2010-06-17 Citrix Systems Inc Uthentifizierungsbescheinigungen von einem proxy-server für eine virtualisierte berechnungsumgebung zum zugriff auf eine remote-ressource
US7614080B2 (en) * 2005-12-28 2009-11-03 Panasonic Electric Works Co., Ltd. Systems and methods for providing secure access to embedded devices using a trust manager and a security broker
KR100828372B1 (ko) * 2005-12-29 2008-05-08 삼성전자주식회사 서비스 거부 공격으로부터 서버를 보호하는 방법 및 장치
US9497423B2 (en) * 2006-02-06 2016-11-15 Koninklijke Philips N.V. USB-enabled audio-video switch
US9781162B2 (en) * 2006-02-15 2017-10-03 International Business Machines Corporation Predictive generation of a security network protocol configuration
US8356171B2 (en) * 2006-04-26 2013-01-15 Cisco Technology, Inc. System and method for implementing fast reauthentication
US8451806B2 (en) * 2006-08-21 2013-05-28 Citrix Sysrems, Inc. Systems and methods for pinging a user's intranet IP address
US8418243B2 (en) * 2006-08-21 2013-04-09 Citrix Systems, Inc. Systems and methods of providing an intranet internet protocol address to a client on a virtual private network
US8213393B2 (en) 2006-08-21 2012-07-03 Citrix Systems, Inc. Methods for associating an IP address to a user via an appliance
US7788513B2 (en) 2006-08-29 2010-08-31 Hewlett-Packard Development Company, L.P. Method of reducing power consumption of a computing system by evacuating selective platform memory components thereof
GB0623101D0 (en) 2006-11-20 2006-12-27 British Telecomm Secure network architecture
US9009327B2 (en) * 2007-08-03 2015-04-14 Citrix Systems, Inc. Systems and methods for providing IIP address stickiness in an SSL VPN session failover environment
US8676998B2 (en) * 2007-11-29 2014-03-18 Red Hat, Inc. Reverse network authentication for nonstandard threat profiles
CN101222456A (zh) * 2008-01-28 2008-07-16 陈勇 网络安全网关产品共享的方法
KR101022508B1 (ko) * 2009-03-30 2011-03-16 플러스기술주식회사 서비스 거부 공격 및 분산 서비스 공격 차단 시스템
US20100325424A1 (en) * 2009-06-19 2010-12-23 Etchegoyen Craig S System and Method for Secured Communications
US10721269B1 (en) * 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
CN102131189B (zh) * 2010-12-28 2014-11-12 中国电信股份有限公司 采集仪、移动监管方法和系统
CN102404334A (zh) * 2011-12-07 2012-04-04 山石网科通信技术(北京)有限公司 拒绝服务攻击防护方法及装置
CN102611700B (zh) * 2012-02-24 2015-04-22 汉柏科技有限公司 一种在透明模式下实现vpn接入的方法
US9344403B2 (en) 2013-03-15 2016-05-17 Tempered Networks, Inc. Industrial network security
CN104378327B (zh) * 2013-08-12 2018-12-28 深圳市腾讯计算机系统有限公司 网络攻击防护方法、装置及系统
US9729580B2 (en) 2014-07-30 2017-08-08 Tempered Networks, Inc. Performing actions via devices that establish a secure, private network
US9148408B1 (en) 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9300635B1 (en) 2015-06-15 2016-03-29 Tempered Networks, Inc. Overlay network with position independent insertion and tap points
WO2017007705A1 (en) 2015-07-06 2017-01-12 Shape Security, Inc. Asymmetrical challenges for web security
CN106357590A (zh) * 2015-07-15 2017-01-25 艾默生网络能源系统北美公司 一种网络协议转换系统、网络协议转换器及其转换方法
US10003466B1 (en) * 2015-09-15 2018-06-19 Amazon Technologies, Inc. Network traffic with credential signatures
US9628444B1 (en) 2016-02-08 2017-04-18 Cryptzone North America, Inc. Protecting network devices by a firewall
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US9560015B1 (en) * 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US9729581B1 (en) 2016-07-01 2017-08-08 Tempered Networks, Inc. Horizontal switch scalability via load balancing
KR102510868B1 (ko) * 2016-07-07 2023-03-16 삼성에스디에스 주식회사 클라이언트 시스템 인증 방법, 클라이언트 장치 및 인증 서버
US10630507B2 (en) * 2016-11-29 2020-04-21 Ale International System for and method of establishing a connection between a first electronic device and a second electronic device
CN108322366B (zh) * 2017-01-17 2021-10-01 阿里巴巴集团控股有限公司 接入网络的方法、装置和系统
JP7148947B2 (ja) * 2017-06-07 2022-10-06 コネクトフリー株式会社 ネットワークシステムおよび情報処理装置
CN107465752B (zh) * 2017-08-22 2021-02-05 苏州浪潮智能科技有限公司 一种连接管理方法及装置
US10069726B1 (en) 2018-03-16 2018-09-04 Tempered Networks, Inc. Overlay network identity-based relay
KR101997847B1 (ko) 2018-04-26 2019-07-08 (주)티에스이 냉각제를 이용한 반도체소자 테스트용 인터페이스 보드
KR102015395B1 (ko) 2018-05-15 2019-08-28 (주)티에스이 반도체소자 테스트용 인터페이스 보드
US10116539B1 (en) 2018-05-23 2018-10-30 Tempered Networks, Inc. Multi-link network gateway with monitoring and dynamic failover
US10158545B1 (en) 2018-05-31 2018-12-18 Tempered Networks, Inc. Monitoring overlay networks
JP7467865B2 (ja) * 2019-10-01 2024-04-16 株式会社リコー 情報処理システムおよび情報処理方法
US10911418B1 (en) 2020-06-26 2021-02-02 Tempered Networks, Inc. Port level policy isolation in overlay networks
US11070594B1 (en) 2020-10-16 2021-07-20 Tempered Networks, Inc. Applying overlay network policy based on users
US10999154B1 (en) 2020-10-23 2021-05-04 Tempered Networks, Inc. Relay node management for overlay networks
WO2023000248A1 (en) * 2021-07-22 2023-01-26 Huawei Technologies Co., Ltd. Authentication methods using zero-knowledge proof algorithms for user equipments and nodes implementing the authentication methods

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1131020A (ja) * 1997-07-10 1999-02-02 Nippon Telegr & Teleph Corp <Ntt> 個人識別方法および個人識別プログラムを格納した記録媒体
JPH11328118A (ja) * 1998-05-19 1999-11-30 Hitachi Ltd ユーザ認証方法および記録媒体
JP2002183008A (ja) * 2000-12-11 2002-06-28 Sekisui House Ltd 認証装置、ファイアウォール、端末、サーバー、認証方法及び記憶媒体
JP2002353959A (ja) * 2001-05-30 2002-12-06 Nec Corp 認証システム及び認証方法並びに認証用プログラム
JP2003030063A (ja) * 2001-07-16 2003-01-31 Mitsubishi Electric Corp Oa管理システム及びoa管理方法

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2700430B1 (fr) 1992-12-30 1995-02-10 Jacques Stern Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification et dispositif pour sa mise en Óoeuvre.
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
WO1997000471A2 (en) 1993-12-15 1997-01-03 Check Point Software Technologies Ltd. A system for securing the flow of and selectively modifying packets in a computer network
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
US6631435B1 (en) * 1996-02-02 2003-10-07 Sony Corporation Application programming interface for data transfer and bus management over a bus structure
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US6009475A (en) * 1996-12-23 1999-12-28 International Business Machines Corporation Filter rule validation and administration for firewalls
AU749130B2 (en) * 1997-05-13 2002-06-20 Oracle International Corporation Generalized user identification and authentication system
US6230271B1 (en) * 1998-01-20 2001-05-08 Pilot Network Services, Inc. Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US6615358B1 (en) * 1998-08-07 2003-09-02 Patrick W. Dowd Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
AU765914B2 (en) * 1998-10-30 2003-10-02 Virnetx Inc. An agile network protocol for secure communications with assured system availability
US7051365B1 (en) * 1999-06-30 2006-05-23 At&T Corp. Method and apparatus for a distributed firewall
US7058817B1 (en) * 1999-07-02 2006-06-06 The Chase Manhattan Bank System and method for single sign on process for websites with multiple applications and services
US6473863B1 (en) 1999-10-28 2002-10-29 International Business Machines Corporation Automatic virtual private network internet snoop avoider
US6496935B1 (en) * 2000-03-02 2002-12-17 Check Point Software Technologies Ltd System, device and method for rapid packet filtering and processing
US6898710B1 (en) * 2000-06-09 2005-05-24 Northop Grumman Corporation System and method for secure legacy enclaves in a public key infrastructure
AU2001288309A1 (en) * 2000-08-18 2002-03-04 Distributed Trust Management Inc. Distributed information system and protocol for affixing electronic signatures and authenticating documents
US6883095B2 (en) * 2000-12-19 2005-04-19 Singlesigon. Net Inc. System and method for password throttling
US7124189B2 (en) 2000-12-20 2006-10-17 Intellisync Corporation Spontaneous virtual private network between portable device and enterprise network
US6931529B2 (en) * 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US6959336B2 (en) * 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets
US7020645B2 (en) * 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
US7216173B2 (en) * 2001-06-12 2007-05-08 Varian Medical Systems Technologies, Inc. Virtual private network software system
US6834795B1 (en) * 2001-06-29 2004-12-28 Sun Microsystems, Inc. Secure user authentication to computing resource via smart card
US7827278B2 (en) * 2001-07-23 2010-11-02 At&T Intellectual Property Ii, L.P. System for automated connection to virtual private networks related applications
US20030046587A1 (en) * 2001-09-05 2003-03-06 Satyam Bheemarasetti Secure remote access using enterprise peer networks
US20030046586A1 (en) * 2001-09-05 2003-03-06 Satyam Bheemarasetti Secure remote access to data between peers
CN1268088C (zh) * 2001-11-29 2006-08-02 东南大学 基于pki的vpn密钥交换的实现方法
EP1339199A1 (en) * 2002-02-22 2003-08-27 Hewlett-Packard Company Dynamic user authentication
US20030177390A1 (en) * 2002-03-15 2003-09-18 Rakesh Radhakrishnan Securing applications based on application infrastructure security techniques
US7143174B2 (en) * 2002-06-12 2006-11-28 The Jpmorgan Chase Bank, N.A. Method and system for delayed cookie transmission in a client-server architecture
US6954862B2 (en) * 2002-08-27 2005-10-11 Michael Lawrence Serpa System and method for user authentication with enhanced passwords
US7644433B2 (en) * 2002-12-23 2010-01-05 Authernative, Inc. Authentication system and method based upon random partial pattern recognition
US7073067B2 (en) * 2003-05-07 2006-07-04 Authernative, Inc. Authentication system and method based upon random partial digitized path recognition

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1131020A (ja) * 1997-07-10 1999-02-02 Nippon Telegr & Teleph Corp <Ntt> 個人識別方法および個人識別プログラムを格納した記録媒体
JPH11328118A (ja) * 1998-05-19 1999-11-30 Hitachi Ltd ユーザ認証方法および記録媒体
JP2002183008A (ja) * 2000-12-11 2002-06-28 Sekisui House Ltd 認証装置、ファイアウォール、端末、サーバー、認証方法及び記憶媒体
JP2002353959A (ja) * 2001-05-30 2002-12-06 Nec Corp 認証システム及び認証方法並びに認証用プログラム
JP2003030063A (ja) * 2001-07-16 2003-01-31 Mitsubishi Electric Corp Oa管理システム及びoa管理方法

Also Published As

Publication number Publication date
US20040268121A1 (en) 2004-12-30
JP2005027312A (ja) 2005-01-27
KR20050002632A (ko) 2005-01-07
DE602004028316D1 (de) 2010-09-09
EP1494420B1 (en) 2010-07-28
US7305705B2 (en) 2007-12-04
EP1494420A2 (en) 2005-01-05
CN1578218B (zh) 2010-12-08
ATE476044T1 (de) 2010-08-15
KR101076848B1 (ko) 2011-10-25
EP1494420A3 (en) 2006-06-07
CN1578218A (zh) 2005-02-09

Similar Documents

Publication Publication Date Title
JP4558389B2 (ja) 透過仮想プライベートネットワークを用いたネットワーク構成の複雑さの低減
US11870809B2 (en) Systems and methods for reducing the number of open ports on a host computer
Rescorla et al. Guidelines for writing RFC text on security considerations
US8549300B1 (en) Virtual single sign-on for certificate-protected resources
JP5334104B2 (ja) 全交換セッションセキュリティ
US10091247B2 (en) Apparatus and method for using certificate data to route data
Gilad et al. Plug-and-play ip security: Anonymity infrastructure instead of pki
Joshi Network security: know it all
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
Markovic Data protection techniques, cryptographic protocols and pki systems in modern computer networks
Boncella Web security for e-commerce
Khandkar et al. Masking host identity on internet: Encrypted TLS/SSL handshake
Jiang et al. Security‐Oriented Network Architecture
Vishwakarma Virtual private networks
Rescorla et al. RFC3552: Guidelines for Writing RFC Text on Security Considerations
Mason CCNP Security Secure 642-637 Quick Reference
Murhammer et al. A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform Key and Policy Management
LO ELECTRON GOVERNMENT AFFAIRS SYSTEM BASED ON VPN TECHNOLOGY.
Schafer Introduction to Network Security
Vacca Providing Wireless Network Security Solutions for ISP Intranet, Internet and E-Commerce
Murhammer et al. A Comprehensive Guide to Virtual Private Networks, Volume I: IBM Firewall, Server and Client Solutions
Gilad et al. Plug-and-Play IP Security
Tiruchendur An Efficient Approach to Secure VPN based on Firewall using IPSec & IPtables
Al-Muhaitheef The firewall mobile customs agent: A distributed firewall architecture
Simone 9, Author retains full rights.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070626

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100713

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100721

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees