JP4746978B2 - ローカルネットワーク及び遠隔ネットワークの運用方法、ソフトウェアモジュール、およびゲートウェイ - Google Patents
ローカルネットワーク及び遠隔ネットワークの運用方法、ソフトウェアモジュール、およびゲートウェイ Download PDFInfo
- Publication number
- JP4746978B2 JP4746978B2 JP2005364056A JP2005364056A JP4746978B2 JP 4746978 B2 JP4746978 B2 JP 4746978B2 JP 2005364056 A JP2005364056 A JP 2005364056A JP 2005364056 A JP2005364056 A JP 2005364056A JP 4746978 B2 JP4746978 B2 JP 4746978B2
- Authority
- JP
- Japan
- Prior art keywords
- gateway
- local
- network
- router
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、一般的な、相互接続されたネットワーク、特にコンピュータネットワークの運用方法に関する。
より具体的には、本発明は、その第一の特徴によると、ブロッキングトンネルによってリモートネットワークのゲートウェイに接続されているローカル端末を含むローカルネットワークを運用する方法に関する。本方法は、上記端末からのフローを、ブロッキングトンネルを介してゲートウェイへ向ける操作を含んでいる。
当業者には知られているように、2つのネットワーク間の接続はIP接続が可能であり、インターネット、またはインターネットプロトコルを用いた他の任意のネットワークによって構成することができる。
さらに、当業者には知られているように、インターネットは、「IPsec」として知られるセキュリティプロトコルを使用する。「IPsec」は、「Internet Protocol Security」の頭文字である。
本発明は、その第一の効果的な適用において、IPsecプロトコルによってプライベート企業内ネットワークに接続されている場合の、ノーマディック状態(nomadic situation)にあるコンピュータに関連する。ノーマッドユーザ(nomad user)が在宅勤務する場合、即ち、誰かが家庭内ネットワーク(その人物の自宅のローカルネットワーク)から企業の遠隔プライベートネットワークに接続されている場合、本発明は特に実用的である。しかし本方法は、例えば、「wi−fiホットスポット」と称される無線接続領域のような、他のタイプのローカルネットワークにも適用可能である。
慣例により、ここでの説明においては、ノーマッドユーザがローカルネットワークへと接続して、次に企業の遠隔プライベートネットワークへ接続するコンピュータを指す言葉として、「端末」または「ローカル端末」という用語を用いる。
「ローカル機器」という用語は、ローカルネットワークに接続されているあらゆるコンピュータ機器を指すが、この場合のローカルネットワークは、IPsecを用いて接続中に端末へのアクセスを備えていなければならない。このローカル機器は、統計的に代表的なものとしては、プリンターから構成されることが多い。このローカル機器はさらに、ローカルネットワークの、他の任意のタイプのサーバー(ftp、telnet等)からも構成されることもできるが、この場合、IPsecを用いた接続中に、端末がローカルネットワークへのアクセスを備えていなければならない。
「ルーター」、「ローカルルーター」、および「家庭用ルーター」という用語は、ローカルネットワーク(または、在宅勤務者などのノーマッドユーザの場合における家庭内ネットワーク)の入力に位置している機器を指す。この機器の機能については、以下に詳しく説明する。
「ゲートウェイ」、特に「IPsecゲートウェイ」という用語は、端末と企業の遠隔プライベートネットワーク間に位置している機器を指し、上記端末から送られてくるトンネル、特にIPsecトンネルを終了させる機能を果たす。この機器の機能については、以下に詳しく説明する。ゲートウェイ、特にIPsecゲートウェイは、リモートネットワークの端に配置させることができ、企業または電気通信ネットワークのオペレーターによって管理される。
セキュリティー上の理由から、IPsecプロトコルを実行することによって、ローカル端末がローカルネットワークおよび企業のリモートネットワークに同時にアクセスすることがほぼ不可能となる。このような妨害がなければ、端末は「二重接続」された状態になり、2つのネットワークが相互接続されて、セキュリティー上の深刻な欠陥を構成する。
上記のような妨害は、「ブロッキングモード」と称される特殊なモードによって確実なものとなり、特にIPsecプロトコルに備えられている。
従ってブロッキングモードは、IPsecにアクセス可能であるリモートネットワーク(一般的には企業のプライベートネットワーク)と、ローカルネットワーク(一般的には家庭内ネットワーク)と、へのローカル端末の二重接続を可能にする技術である。これを実行するために、ブロッキングモードは、ローカル端末のIPsecトンネル外のあらゆる通信を妨害する。これによって、IPsecトンネル内での(従って企業の情報システムへの)バウンス攻撃の危険を大幅に制限する。
ブロッキングモードは、セキュリティー面を懸念する企業に対して最も有効であるため、遠隔的にアクセスされ得る企業のIPsecを使用した安全性政策は、一般的に、デフォルト設定でそれを作動させる。
ブロッキングモードは、端末のIPsecソフトウェア内で実行され、一般的にクライアントのルーティング設定を変更することによって、企業のリモートネットワークのアドレッシングプランに属するデフォルトルートに全パケットを送る。ブロッキングモードはまた、アクセスフィルタリング機能(通常は、個人用のファイアウォール)を使用して、端末外部からの通信を妨害する。
このセキュリティー操作に類似したものとして、ノーマッド端末は、そのリモートネットワーク(「インターネット」とも称される)への接続中に、該ノーマッド端末が物理的に接続されているローカルネットワーク上に存在する設備(機器)にはアクセスできないという操作がある。具体的には、ノーマッド端末は、そのローカルネットワークのプリンターにもはやアクセスできない。なぜなら、全ての制御およびデータフローは、ブロッキングトンネルによって、企業のリモートネットワークへと自動的に向けられるからである。
この問題を克服するための、現在知られている唯一の方法は、いわゆる「スプリットトンネリング」技術を利用するものである。この技術は、IPsecトンネルが同時に存在していても、ローカル端末が、任意のローカルネットワーク機器と直接通信でき、従ってローカルサービスにアクセスできる可能性を提供する。
この技術は、端末へのバウンス攻撃によって、企業のリモートネットワークへハッキング侵入される大きな危険をはらんでいるという問題がある。従って、この技術を使用しないよう強く推奨されており、大部分の企業内ネットワーク管理者によって使用が禁じられてすらいる。
このような状況において、本発明の目的は、具体的には、ブロッキングトンネルを経由してIPsecゲートウェイに同時に接続されているにも関わらず、端末がローカル装置をアドレス指定できるようにする方法を提示することである。この機能性は、ブロッキングトンネルによってもたらされるセキュリティーに悪影響を与えることなく、そして関連するローカル端末またはローカル機器(特にプリンター)にいかなる追加の設定を加えることもなく得ることができる。
この目的を達成するため、上記前文に記載されている一般的定義に対応する本発明の方法は、本質的に、ゲートウェイに実装された、上記リモートネットワークに向けられたものでないフローを送る操作をさらに含み、かつ、端末からローカルネットワーク装置に向けられた上記フローを、上記ローカル機器へと送ることからなることを特徴とする。
上記送信操作は、例えば、ローカルネットワークのルーターによって上記フローを受信すること、および、該ルーターによって上記フローを上記機器へ向けさせること、を含んでいる。
上記送信操作は、上記リモートネットワークに向けられたものでないフローを認識するための、ゲートウェイによる上記フローの解析をさらに含むことができる。
本発明は、その非常に具体的かつ詳細な定義においては、上記ローカルネットワークに加えて、以下のように設定されたローカルコンピュータネットワークを運用する方法をさらに含んでいる。
(1)IPタイプの接続ネットワークを介してローカルネットワークへ接続されている遠隔プライベートコンピュータネットワーク
(2)ローカルネットワークと接続ネットワーク間のインターフェースに位置しているローカルルーター
(3)リモートネットワークと接続ネットワーク間のインターフェースに位置しているIPsecゲートウェイ
上記ローカルネットワークは、少なくとも1つのローカル端末およびローカルコンピュータ装置を含んでいる。
(2)ローカルネットワークと接続ネットワーク間のインターフェースに位置しているローカルルーター
(3)リモートネットワークと接続ネットワーク間のインターフェースに位置しているIPsecゲートウェイ
上記ローカルネットワークは、少なくとも1つのローカル端末およびローカルコンピュータ装置を含んでいる。
上記端末は、ブロッキングモードで、IPsecトンネルによってIPsecゲートウェイに接続されている。上記方法は、端末から上記ローカル機器に向けられた、制御および/またはデータフローを、ブロッキングモードで上記トンネルを経由して上記ゲートウェイへ自動的に再ルーティングすることを可能にする。従って本方法は、以下の操作を含んでいる。
(1)上記端末から上記ローカル機器に向けられた、制御および/またはデータフローの受領時に上記ゲートウェイにおいて実行され、かつ、このフローが上記リモートネットワークに向けられたものでないことを認識することからなる解析工程
(2)上記ゲートウェイにおいて実行され、かつ、上記端末からの制御および/またはデータフローを上記ローカルルーターへ送ることからなる配送操作
(3)上記ローカルルーターにおいて実行され、かつ、上記ゲートウェイから上記ローカルルーターへと送られた、上記ローカル端末からの制御および/またはデータフローを上記ローカル機器へと向けさせることからなる方向操作。
(2)上記ゲートウェイにおいて実行され、かつ、上記端末からの制御および/またはデータフローを上記ローカルルーターへ送ることからなる配送操作
(3)上記ローカルルーターにおいて実行され、かつ、上記ゲートウェイから上記ローカルルーターへと送られた、上記ローカル端末からの制御および/またはデータフローを上記ローカル機器へと向けさせることからなる方向操作。
上記ゲートウェイに向けられた端末からの、上記遠隔プライベートネットワークへの接続要求中に、ルーティング可能なアドレスが割り当てられているローカルルーターが、そのルーティング可能なアドレスを上記ローカルネットワーク内部の端末と置換する場合、および、上記ブロッキングトンネルの構築中に上記IPsecゲートウェイが上記リモートネットワーク内部のアドレスを上記ローカル端末に割り当てる場合、本発明による方法はさらに、相関操作を含むことができる。この相関操作は、上記ブロッキングトンネルの構築中に上記ゲートウェイにおいて実行され、かつ、対応表を記憶して、上記ローカルルーターのルーティング可能なアドレスと、上記リモートネットワーク内部の端末のアドレスとを相互対応させることからなる。この相関操作において、制御および/またはデータフローを送信する操作は、対応表を使用し、かつ、上記リモートネットワーク内部のアドレスによって識別された端末からの制御および/またはデータフローを、上記ローカルルーターのルーティング可能なアドレスへ送信することからなる。
上記方向操作は、ポート変換技術によって実行されることが好ましい。
上記制御および/またはデータフローは、例えば、印刷コマンドを含むことができる。
上記方法は追加操作を含んでいてもよく、この追加操作は、ゲートウェイによって実行され、かつ、上記ゲートウェイをローカルルーターに接続するIPsecまたはSSLタイプのトンネルを構築することからなる。
あるいは、ゲートウェイによって実行される上記操作は、上記ゲートウェイをローカル機器(この場合はプリンター)へ接続する第2のIPsecまたはSSLタイプのトンネルを構築することによっても構成されることができる。
さらに、本発明による方法は、別の操作を含んでいてもよく、この操作は、ローカルルーターによって実行され、かつ、ゲートウェイに対してローカル機器(この場合はプリンター)へのアクセスを用意することからなる。
本発明はまた、ソフトウェアモジュールに関連する。このソフトウェアモジュールは、一旦該モジュールがIPsecゲートウェイ上にロードされると、少なくとも相関操作を実行するよう指示することを含んでいる。この相関操作は、先に説明した本方法の相関操作である。上記指示は、本方法の解析操作および送信操作をさらに実行することができる。
本発明はさらに、前述したソフトウェアモジュールによって少なくとも部分的に制御されるIPsecゲートウェイに関連する。
本発明の他の特徴および長所については、1枚の図面を参照にし、後述の説明によって明らかとなるであろう。後述の説明は適応例としてなされたものであり、限定的なものでは決してない。
前述の通り、本発明は、ローカルコンピュータネットワークRES_L(例えば家庭内ネットワーク)を、図面に示す構成で運用する方法に特に関連している。本方法はさらに、上記ローカルネットワークRES_Lに付け加えて、遠隔プライベートコンピュータネットワークRES_D(例えば企業内「イントラネット」ネットワーク)、ローカルルーターROUT_L、およびIPsecゲートウェイPASS_Dを含んでいる。上記ローカルネットワークRES_L自身は、少なくとも1つのローカル端末T_Lおよびローカルコンピュータ機器E_Lを含んでいる。これらのローカル端末T_Lおよびローカルコンピュータ機器E_Lは、例えば、IP上の任意のタイプの家庭用サービスに適したプリンターまたはサーバーであって、これらプリンターまたはサーバー(例えばftp、telnet等)に、端末T_Lが継続的にアクセス可能でなければならない。
T_L端末は、周辺機器E_L(例えば、印刷ジョブを行なうことのできるプリンター)のリスト、具体的には、上記ローカルネットワークのプリンターのリストと共に構成されている。
IPsecソフトウェアは、ブロッキングモードでのみ機能すると想定されるため、スプリットトンネリングを許可しない。
上記ローカルネットワークRES_Lの入力に位置しているローカルルーターROUT_Lは、以下の複数の機能を実行する。
(1)端末T_Lの、インターネットへの物理的接続(ISDN、ケーブル、xDSL等)を構築する。
(2)ローカルネットワークRES_L(PC、プリンター、スキャナー、デコーダー等)の種々の機器E_Lの通信(一般的には、ケーブルイーサネット(登録商標)経由または無線([IEEE802.11]))を許可する。
(3)端末T_Lおよび機器E_Lの内部アドレス([RFC1918])を、ルーティング可能なアドレスへ変換する。例えば、T_LおよびプリンターE_Lが、ローカルネットワークRES_Lにおいて、それぞれの内部アドレスad_1およびad_2を有している場合、ルーターROUT_Tは、インターネット接続中に、これらの内部アドレスをルーティング可能なアドレスAD_1へ変換する。このルーティング可能なアドレスAD_1は、上記ルーターが、インターネットアクセスプロバイダーのネットワークへの接続中に入手したものである。上記変換方法は、NAT/NAPT(ネットワークアドレス変換、ネットワークアドレスポート変換)、[RFC3022]として当業者には知られている。これは、内部IPアドレスと内部ポート番号とのペアと、外部IPアドレスと外部ポート番号とのペア間の対応表を維持することからなる。ルーターROUT_Lへ宛てられた各情報パケット、またはルーターROUT_Lによって送信された各情報パケットに対して、上記変換がこの表に従って行われる。
(4)ポート変換技術(当業者には「ポートフォワーディング」として知られている)を実施する。このポート変換技術は、ルーターの外部ポートと、該ルーターの内部ポートとの間の関連を統計的に定義することからなる。このポート変換技術はまた、ローカルネットワークRES_L外の設備が、ルーターのノウンポート番号について、このローカルネットワーク内のサーバーをクエリに追加することによって、該サーバーにアクセス可能なようにする。
端末T_Lと企業内ネットワークRES_D間に配置されているIPsecゲートウェイPASS_Dは、端末からのIPsecトンネルを終了させる機能を果たす。IPsecゲートウェイPASS_Dは、パケットルーティング機能を持ち、従って、インターフェースによってインターネット上でオープンであり、また、他方のインターフェースによってプライベートネットワークRES_D上でオープンである。
例えば、ルーティング可能なアドレスAD_2が割り当てられているゲートウェイPASS_Dは、上記端末と上記ゲートウェイ間のIPsecブロッキングトンネルの構築中に、リモートネットワークRES_D内部のアドレスad_3を端末T_Lに割り当てる。
標準的なIPsecゲートウェイに加えて、本発明によるゲートウェイは、ソフトウェアモジュールMTIを含んでいる。このソフトウェアモジュールMTIは、本発明に特殊な方法で、端末T_Lに、ネットワークRES_Lの機器E_Lまたはローカル機器へのアクセスを提供する。この特殊な方法については以下に詳述する。
本発明の方法の実行は、以下の前提に基づいている。
ローカルネットワークRES_Lは、いわゆる「プライベート」アドレッシングプランを使用する、つまり標準RFC1918に準拠している。これは、実際には、家庭用ルーターROUT_Lの構築者のデフォルト選択と対応している。このネットワークは、IPアドレスを「プライベート」アドレスレンジへ割り当てる、DHCPサーバーを実行する。
リモートネットワークRES_D(例えば企業内ネットワーク)は、家庭内ネットワークRES_Lで使用されるものと同じサブネットワークアドレッシングを使用しない。少なくとも、その様なオーバーラップが存在する場合であっても、応答型ネットワークに関する曖昧性は、要求の出所を考慮することによって取り除かれる。
例えば、ネットワーク10.0.0.Xが、企業および家庭内ネットワークの両方で使用される場合、(1)それが、パケットをアドレス10.0.0.3へ送る企業内ネットワークRES_Dの設備である場合、受信機器は、企業内ネットワークRES_Dの設備であり、(2)それが、パケットをアドレス10.0.0.3へ送るローカルネットワークRES_Lの設備である場合、受信機器は、ローカルネットワークRES_Lの設備である。
IPsecゲートウェイPASS_Dは、上記2つのアドレッシングプランを認識していて、かつ、上記2つのネットワーク間のスプリットである限り、上記区別をすることができる。
本発明の方法は、以下の原則に基づいている。
IPsecゲートウェイPASS_Dは、RES_Lなどの家庭内ネットワークの全端末T_Lのデフォルトルーターである。従って、端末T_Lが、例えば、そのローカルプリンターE_Lへの印刷ジョブを命令しようとすると、その印刷命令はIPsecゲートウェイPASS_Dに体系的に送られる。なぜなら、端末T_LとゲートウェイPASS_D間に構築されているブロッキングモードのために、プリンターE_Lとの接続が不可能であるからである。これは、IPスタックの正常な動作である。なぜなら、IPsecブロッキングモードが、全パケットを強制的に企業内ネットワークRES_Dへ行かせることによって、クライアントのルーティング表を変化させるからである。
IPsecゲートウェイPASS_Dは、その内部アドレスad_2によって識別されたローカル機器B_Lへと、端末T_Lによって宛てられたIPパケットの到着を確認する際に、上記IPsecゲートウェイPASS_Dは、これらのIPパケットを企業内ネットワークRES_Dへ送ることはできないことを認識する。確かに、前述した前提を考慮すると、応答型宛先アドレス_2は、企業内ネットワークRES_Dに属していない。あるいは少なくとも、家庭用端末T_Lは、そのようなアドレスを要求する理由がない。次に、ゲートウェイPASS_Dは、家庭内ネットワークRES_Lへ上記パケットを送らなければならないことを推測する。
しかし、このトラフィックを再ルーティングできるようにするためには、ゲートウェイPASS_Dは、どの家庭用ルーターROUT_Lへ送られなければならないのか認識する必要がある。
本発明によると、この情報は、端末T_LとIPsecゲートウェイPASS_D間に事前に構築されているIPsecトンネルの構築時に、ソフトウェアモジュールMTIによって構築される。
家庭用ルーターROUT_L内で実行されるNATメカニズムゆえに、IPsecトンネルの構築中は、このルーターのパブリックアドレスAD_1が使用される。
次に、IPsecゲートウェイPASS_Dは、企業のアドレッシングプランの内部アドレスad_3を端末T_Lに割り当てる。従ってIPsecゲートウェイPASS_Dは、企業の内部アドレッシングプラン上の端末T_Lのアドレスad_3と、家庭用ルーターROUT_LのパブリックアドレスAD_1間のリンクを認識している。そして、ソフトウェアモジュールMTIの機能は、具体的には、この対応を記録しておくことである。
結果として、IPsecゲートウェイPASS_Dは、ノーマッド端末T_LからIPパケットを受領して、これらのパケットを家庭内ネットワークRES_Lに送らなければならないとき、家庭用ルーターROUT_LのパブリックアドレスAD_1を正確に認識している。
家庭用ルーターROUT_Lは、インターネットから特定のポートへの接続を受領するとき、特定のポート番号のローカル内部装置E_Lへアドレスを変換できるように、ポート変換メカニズム(または「ポートフォワーディング」)を通常は実行する。例えば、この場合、インターネットから受領した全パケット、およびアドレスad_2に対応する印刷ポート上の全パケットは、内部プリンターE_Lのポートへ直接再送されることができる。
この技術は、特に、後述するIPPなど、現行の全印刷プロトコルと共に使用可能である。
IETF(この場合はPWGワーキンググループ[IETF−IPP])の業務との関連において、IPP(インターネット印刷プロトコル、[RFC2910]、[RFC2911])が、HTTP/1.1プロトコルに対して拡張子を特定するという新たな基準が規定された。これによって、現代的かつ効果的なローカルおよび遠隔印刷ソリューションを提供している。
印刷プロトコルに関する先行技術書類は、「http://www.cups.org/overview.html」から入手可能である。
今日最も一般的に使用されているプロトコルの1つは、前述のIPPプロトコルである。これは特に、大部分の機器にサポートされているからである。IPPプロトコルは、HTTPプロトコルに非常に類似しているため、操作が平易である。IPPプロトコルは、クライアントサーバーモードに従ってHTTPプロトコルの様に機能する。このクライアントは、一般的に、ポート80/TCPの遠隔プリンターにアクセスする。
印刷要求を処理するためのソフトウェアモジュールMTIの機能内容、およびこのモジュールがロードされているIPsecゲートウェイPASS_Dの機能内容については、以下に詳述する。
端末T_Lは、そのIPsecトンネルを構築する際、IPsecゲートウェイPASS_Dと共にIKE(RFC2409)による変換に参加する。この間、IPsecゲートウェイは、送信元アドレスが家庭用ルーターROUT_LのパブリックIPアドレス(即ちAD_1)であるIPパケットを受領する。
実際、ルーターROUT_Lの横断中、該ルーターのアドレスAD_1が、端末T_Lの内部アドレスad_1に体系的に代用される。
IPsecゲートウェイPASS_Dは、動的IPアドレス(ad_3)を端末T_Lに割り当てる。この動的IPアドレスは、企業内ネットワークRES_Dのアドレッシングプランに属している。
ローカルネットワークRES_LのルーターROUT_LのパブリックアドレスAD_1、および端末T_Lへ動的に割り当てられたアドレスad_3を認識しているIPsecゲートウェイは、モジュールMTIにメッセージを送って、これら2つのアドレスを関連づける対応表を更新する。
アドレスAD_1およびad_3を有する対応表を更新するためのメッセージを受領すると、ソフトウェアモジュールMTIは、この表を更新する。
端末T_Lは、印刷ジョブを開始するとき、宛先プリンターとしてローカルネットワークRES_LのプリンターE_Lを選択する。なぜなら、端末T_Lは、いかなるIPsecトンネルも構築されなかったという、より平易な状況で印刷を行うからである。
IPsecトンネルがブロッキングモードにあるため、端末T_Lからの、プリンターE_Lに向けられた制御およびデータフローは、トンネルによってIPsecゲートウェイPASS_Dへと向けられる。
IPsecトンネルを通過して送られ、かつ、企業内ネットワークRES_Dでないネットワークにアドレスad_2が属している設備に向けられたトラフィックの到着を確認すると、IPsecゲートウェイPASS_Dは、そのトラフィックをどの家庭用ルーターに再度向けさせるのかを、ソフトウェアモジュールMTIに確認する。これを実行するために、ゲートウェイPASS_Dは、企業内ネットワークRES_Dに見られるように、モジュールMTIに端末T_Lのアドレス(即ち、IKEによる変換中にゲートウェイPASS_Dに割り当てられたad_3)を与える。
モジュールMTIは、対応表を参照して、端末T_Lのアドレスad_3に基づいて家庭用ルーターROUT_LのパブリックアドレスAD_1を推測する。
IPsecゲートウェイは、そのルーティング表を、この新しい宛先と共に更新し、印刷命令を家庭用ルーターROUT_Lへ送る。言い換えると、ゲートウェイPASS_Dは、パブリックIPアドレス(即ち、家庭用ルーターROUT_LのAD_1)が受領した全パケットのリレーを実行する。
上記家庭用ルーターは、このフローを受領すると、ポート変換メカニズム(「ポートフォワーディング」)を用いてこのフローをプリンターE_Lへと再度向けさせる。
端末T_LがIPsecセッションを閉じるとき、または、端末T_Lが切断されたことをIPsecゲートウェイPASS_Dが検出するとき、端末T_Lは、端末T_Lに対応する入力をその表から削除するように、そして、この端末に対応する回線をそのルーティング表から消去するよう、モジュールMTIに依頼をかける。
当業者であれば、上記の説明を読めば理解できるであろうが、本発明による方法は、スプリットトンネリングメカニズムの除去を可能にし、一方で、完全に安全な方法で、端末T_LのネットワークRES_Lに属するローカル設備に接触する可能性を提供する。本発明による方法は、企業内ネットワークの安全性を損なうことはない。
本方法は、プリンターE_L、家庭用ルーターROUT_L、または端末T_Lへのいかなる修飾または設定も不要である。
さらに本方法によって、プリンターの高度な機能が享受できるようになる。なぜなら、印刷内容が企業内ネットワークRES_Dを通過したとしても、ローカルプリンターのパラメータが引き続き有効であるからである。
インターネット上の解読されたモードを通過する代わりに、IPsecゲートウェイPASS_Dから家庭内ネットワークRES_Lを循環しているフローは、このゲートウェイとルーターROUT_L間に構築されているIPsecトンネルによる傍受から保護される。このトンネルは、IPsecゲートウェイが、フローを家庭内ネットワークRES_Lへと再ルートしたい場合に、IPsecゲートウェイの要望によって構築される。この場合、上記家庭用ルーターは、ユーザの介入なしにトンネルの構築を受け入れるように設定されなければならない。
プリンターE_LがSSLで通信することができるならば、IPsecゲートウェイPASS_Dから家庭内ネットワークRES_Lを循環しているフローはまた、IPsecゲートウェイとプリンターE_L間に構築されているSSLトンネルによる傍受からも保護される。従ってこの機能性は、本発明で有利に利用される。
両ケースにおいても、本発明による方法は、IPsecゲートウェイを認証することによって、家庭内ネットワークRES_Lを侵入から保護し、また暗号化によって、交換データの信頼性を保障することができる。
最後に、大部分の家庭用ルーターROUT_Lが基本的なファイアウォール規則の構築を許可する中で、IPsecゲートウェイPASS_Dに対して、(ポート変換メカニズムを介して)プリンターE_Lへのアクセスを用意しておくように、固定規則を構築することが可能である。これによって、ローカルネットワークRES_Lを保護することにより、より高い安全性が得られる。
本発明の説明は、単に例示のために行なったものであり、本発明の主旨から外れない変形例は、本発明の範囲に入るものと考えられる。このような変形例は、本発明の思想と範囲とから外れるものとは見なされない。
Claims (11)
- ローカルネットワーク及び遠隔ネットワークの運用方法であって、
上記ローカルネットワーク内のローカル端末が、上記遠隔ネットワークのゲートウェイに、ブロッキングモードで構築されたトンネルによって接続されているときに、
上記ゲートウェイが、上記ローカル端末から上記トンネルを介して送信される、上記ローカルネットワーク内に配置されたローカル機器の内部アドレス宛のフローを受信し、
受信したフローが、上記遠隔ネットワークを宛先とするものではないときに、上記ゲートウェイが、上記トンネルの構築中に取得した情報を用いて特定した、上記ローカルネットワークのルーターに上記フローを送信して、上記ローカル機器の内部アドレスにルーティングさせることを特徴とする方法。 - 上記ゲートウェイは、受信されるフローを解析することにより、上記フローが上記遠隔ネットワークを宛先とするものでないか判断することを特徴とする請求項1に記載の方法。
- 上記トンネルの構築時における、上記ローカル端末から上記ゲートウェイへの接続要求中に、上記ルーターが、上記ローカル端末のアドレスの代用として、上記ルーターのアドレスを適用し、
上記トンネルの構築中に、上記ゲートウェイが、上記ローカル端末に上記遠隔ネットワーク内の遠隔アドレスを割り当て、
上記トンネルの構築後、上記ゲートウェイが、上記ルーターのアドレスと、上記ローカル端末の遠隔アドレスとの対応付けを対応表に記録し、
上記ゲートウェイが、上記フローに関連付けられた上記ローカル端末の遠隔アドレスに基づいて、上記対応表から上記ルーターのアドレスを特定し、
上記ゲートウェイが、受信したフローを上記ルーターのアドレスに送信することを特徴とする請求項1または2に記載の方法。 - 上記ルーターは、ポートフォワーディングによって、受信した上記フローを上記ローカル機器の内部アドレスにルーティングすることを特徴とする請求項1から3のいずれか1項に記載の方法。
- 上記ローカル端末からの上記フローが印刷命令を含んでいることを特徴とする請求項1から4のいずれか1項に記載の方法。
- 上記ゲートウェイは、IPsecまたはSSLによって第2のトンネルを構築して、上記ゲートウェイと上記ルーターとを接続させることを特徴とする請求項1から5のいずれか1項に記載の方法。
- 上記ゲートウェイは、IPsecまたはSSLによって第2のトンネルを構築して、上記ゲートウェイと、プリンターによって構成されている上記ローカル機器とを接続させることを特徴とする請求項1から5のいずれか1項に記載の方法。
- 上記ローカル機器は、プリンターを含むことを特徴とする請求項1から7のいずれか1項に記載の方法。
- 遠隔ネットワークのゲートウェイにロードされるソフトウェアモジュールであって、
請求項1から8のいずれか1項に記載の方法の、ルーターにフローを送信する処理を実行させる指示を少なくとも含んでいることを特徴とするソフトウェアモジュール。 - 上記ゲートウェイは、IPsecを用いるものであり、
少なくとも、請求項2に記載の方法の、フローを解析する処理を実行させる指示をさらに含んでいることを特徴とする請求項9に記載のソフトウェアモジュール。 - 請求項9または10に記載のソフトウェアモジュールによって少なくとも部分的に制御されることを特徴とする遠隔ネットワークのゲートウェイ。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0413413 | 2004-12-16 | ||
| FR0413413 | 2004-12-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006238415A JP2006238415A (ja) | 2006-09-07 |
| JP4746978B2 true JP4746978B2 (ja) | 2011-08-10 |
Family
ID=34952609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005364056A Expired - Fee Related JP4746978B2 (ja) | 2004-12-16 | 2005-12-16 | ローカルネットワーク及び遠隔ネットワークの運用方法、ソフトウェアモジュール、およびゲートウェイ |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7869451B2 (ja) |
| EP (1) | EP1672849B1 (ja) |
| JP (1) | JP4746978B2 (ja) |
| KR (1) | KR20060069345A (ja) |
| CN (1) | CN1801791A (ja) |
| AT (1) | ATE529980T1 (ja) |
| ES (1) | ES2375710T3 (ja) |
| PL (1) | PL1672849T3 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100596069C (zh) * | 2006-08-15 | 2010-03-24 | 中国电信股份有限公司 | 家庭网关中IPSec安全策略的自动配置系统和方法 |
| US8312123B2 (en) | 2009-11-07 | 2012-11-13 | Harris Technology, Llc | Address sharing network |
| JP6015360B2 (ja) * | 2012-11-02 | 2016-10-26 | ブラザー工業株式会社 | 通信装置および通信プログラム |
| CN107217964A (zh) * | 2017-08-02 | 2017-09-29 | 哈尔滨阁韵窗业有限公司 | 一种防弹铝包木窗 |
| CN114338939A (zh) * | 2021-12-21 | 2022-04-12 | 广东纬德信息科技股份有限公司 | 一种安全打印扫描系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6243379B1 (en) * | 1997-04-04 | 2001-06-05 | Ramp Networks, Inc. | Connection and packet level multiplexing between network links |
| US6055236A (en) * | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
| JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
| US20020010866A1 (en) * | 1999-12-16 | 2002-01-24 | Mccullough David J. | Method and apparatus for improving peer-to-peer bandwidth between remote networks by combining multiple connections which use arbitrary data paths |
| JP4236364B2 (ja) * | 2000-04-04 | 2009-03-11 | 富士通株式会社 | 通信データ中継装置 |
| US6671729B1 (en) * | 2000-04-13 | 2003-12-30 | Lockheed Martin Corporation | Autonomously established secure and persistent internet connection and autonomously reestablished without user intervention that connection if it lost |
| US6431772B1 (en) * | 2000-04-26 | 2002-08-13 | Hitachi Koki Imaging Solutions, Inc. | Broadcast printing system and method |
| JP3519696B2 (ja) * | 2000-07-18 | 2004-04-19 | アイテイーマネージ株式会社 | 監視システムおよび監視方法 |
| US6993037B2 (en) * | 2001-03-21 | 2006-01-31 | International Business Machines Corporation | System and method for virtual private network network address translation propagation over nested connections with coincident local endpoints |
| US7296155B1 (en) * | 2001-06-08 | 2007-11-13 | Cisco Technology, Inc. | Process and system providing internet protocol security without secure domain resolution |
| JP2003244243A (ja) * | 2002-02-13 | 2003-08-29 | Seiko Epson Corp | フィルタリング機能を有するネットワーク接続装置 |
| US20030182363A1 (en) * | 2002-03-25 | 2003-09-25 | James Clough | Providing private network local resource access to a logically remote device |
| NO317294B1 (no) * | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
| KR100479261B1 (ko) * | 2002-10-12 | 2005-03-31 | 한국전자통신연구원 | 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치 |
| US20040177157A1 (en) * | 2003-02-13 | 2004-09-09 | Nortel Networks Limited | Logical grouping of VPN tunnels |
| US7349951B2 (en) * | 2003-05-12 | 2008-03-25 | Hewlett-Packard Development Company, L.P. | Systems and methods for accessing a printing service |
| JP2005277498A (ja) * | 2004-03-23 | 2005-10-06 | Fujitsu Ltd | 通信システム |
-
2005
- 2005-12-08 ES ES05292613T patent/ES2375710T3/es active Active
- 2005-12-08 EP EP05292613A patent/EP1672849B1/fr not_active Not-in-force
- 2005-12-08 AT AT05292613T patent/ATE529980T1/de not_active IP Right Cessation
- 2005-12-08 PL PL05292613T patent/PL1672849T3/pl unknown
- 2005-12-14 US US11/300,107 patent/US7869451B2/en not_active Expired - Fee Related
- 2005-12-15 CN CNA2005101319212A patent/CN1801791A/zh active Pending
- 2005-12-16 KR KR1020050124886A patent/KR20060069345A/ko not_active Application Discontinuation
- 2005-12-16 JP JP2005364056A patent/JP4746978B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP1672849A1 (fr) | 2006-06-21 |
| CN1801791A (zh) | 2006-07-12 |
| ES2375710T3 (es) | 2012-03-05 |
| EP1672849B1 (fr) | 2011-10-19 |
| ATE529980T1 (de) | 2011-11-15 |
| KR20060069345A (ko) | 2006-06-21 |
| PL1672849T3 (pl) | 2012-03-30 |
| US20060171401A1 (en) | 2006-08-03 |
| JP2006238415A (ja) | 2006-09-07 |
| US7869451B2 (en) | 2011-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Durand et al. | Dual-stack lite broadband deployments following IPv4 exhaustion | |
| JP4634687B2 (ja) | ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ | |
| US7908651B2 (en) | Method of network communication | |
| US7782897B1 (en) | Multimedia over internet protocol border controller for network-based virtual private networks | |
| US20070127500A1 (en) | System, device, method and software for providing a visitor access to a public network | |
| US7353290B2 (en) | Secure in-band signaling method for mobility management crossing firewalls | |
| Cohen | On the establishment of an access VPN in broadband access networks | |
| JP2001292163A (ja) | 通信データ中継装置 | |
| EP1503536A1 (en) | Encryption device, encryption method, and encryption system | |
| JP2007518349A (ja) | モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置 | |
| JPWO2006120751A1 (ja) | 発着呼を可能とするピア・ツー・ピア通信方法及びシステム | |
| KR20090041407A (ko) | 네트워크를 액세스하기 위해 인터페이스를 식별하고 선택하기 위한 방법 및 디바이스 | |
| US11831607B2 (en) | Secure private traffic exchange in a unified network service | |
| EP1700430B1 (en) | Method and system for maintaining a secure tunnel in a packet-based communication system | |
| JP4746978B2 (ja) | ローカルネットワーク及び遠隔ネットワークの運用方法、ソフトウェアモジュール、およびゲートウェイ | |
| US20050008160A1 (en) | Central encryption management system | |
| JP2005142702A (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| US10805260B2 (en) | Method for transmitting at least one IP data packet, related system and computer program product | |
| US8074270B1 (en) | Automatic configuration of network tunnels | |
| JP5986044B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム | |
| WO2013056999A1 (en) | Method and system for enabling nat traversal for multi-homing protocols | |
| JP2006191205A (ja) | 通信装置及び通信方法、通信システム | |
| WO2011108708A1 (ja) | 電子機器、および電子機器の動作設定方法 | |
| US20130133063A1 (en) | Tunneling-based method of bypassing internet access denial | |
| JPH09233113A (ja) | フィルタリング装置に対するフィルタリング条件設定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081111 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110217 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110419 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110516 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140520 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4746978 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |