JP4763560B2 - 接続支援装置 - Google Patents

接続支援装置 Download PDF

Info

Publication number
JP4763560B2
JP4763560B2 JP2006249533A JP2006249533A JP4763560B2 JP 4763560 B2 JP4763560 B2 JP 4763560B2 JP 2006249533 A JP2006249533 A JP 2006249533A JP 2006249533 A JP2006249533 A JP 2006249533A JP 4763560 B2 JP4763560 B2 JP 4763560B2
Authority
JP
Japan
Prior art keywords
address
vpn
gateway
client
connection support
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006249533A
Other languages
English (en)
Other versions
JP2008072473A (ja
Inventor
治幸 武吉
直樹 松岡
敦史 北田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006249533A priority Critical patent/JP4763560B2/ja
Priority to US11/700,022 priority patent/US8312532B2/en
Publication of JP2008072473A publication Critical patent/JP2008072473A/ja
Application granted granted Critical
Publication of JP4763560B2 publication Critical patent/JP4763560B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、IPSec(IP Security Protocol)機能を具備したクライアントまたは装置が
、様々なネットワーク環境において、安全に遠隔のネットワークに対してリモートアクセスを行う方式に関する。
IPsecで利用されているインターネット鍵交換プロトコルの1つとして、IKE(Internet Key Exchange)がある。IKEは、秘密鍵などのIPsec SA(IPsec security association)の設定に必要なパラメータを通信相手と交渉し、得られた値をシステムに設定する。
IKEのプロトコルは、「フェーズ1」と「フェーズ2」という二つのフェーズ(phase)に分けられている。フェーズ1では、IKE自身のメッセージをやりとりする安全な通
信路を確立するためのSA(Security Association, “Internet Security Association and Key Management Protocol(ISAKMP) SA”と呼ばれる)が確立される。フェーズ1では、IKEのメッセージを暗号化するための鍵やIKE自身の認証が行われる。フェーズ2では、フェーズ1で確立したISAKMP SA(IKE SA)を使って、IPsecの通信で使用される認証や暗号化のパラメータが交換され、最終的にIPsec SAが確立される。
フェーズ1には、メインモードとアグレッシブモードという2つのモードがあり、いずれかが使用される。メインモードでは、全部で6つのメッセージを交換することによってISAKMP SAが確立される。これに対し、アグレッシブモードでは、メインモードより少ない3つのメッセージ交換を通じてISAKMP SAが確立される。
IPSecにてクライアントからゲートウェイへリモートアクセスを行う場合には、一般的
に、アグレッシブモードが用いられる。しかし、アグレッシブモードでは、IKEの認証に用いる識別情報(ID(認証ID):例えば、電子メールアドレス,FQDN(Fully Qualified Domain Name)等)が、ゲートウェイ及びクライアントで事前登録される。IDはI
D認証時に平文状態でゲートウェイ−クライアント間を送受信される。このため、IDが第三者に漏洩するおそれがあった。
例えば、WEP(Wired Equivalent Privacy)キーの設定を必要としない公衆ホットスポットやホテルなどの無線LAN(Radio Local Area Network)の通信エリアで、IDと、このIDに対応する固定的なゲートウェイアドレスとが第三者に傍受される場合があった。この場合、第三者が、ゲートウェイやクライアントに対してリプレイ攻撃やスキャン攻撃のような外部攻撃を仕掛けるおそれがあった。
外部攻撃に対するゲートウェイの管理者が存在する場合には、管理者がスキャン攻撃などを検出し、その対応策を行うことができる場合がある。しかし、専門的知識を有した管理者が不在であるホームネットワークへのリモートアクセスについては、システムの脆弱性に基づく攻撃を第三者から仕掛けられるおそれがあった。
一方、メインモードでは、ID認証の際に、フェーズ1で生成された共有鍵でIDが暗号化される。このため、アグレッシブモードにおけるID漏洩の問題はない。もっとも、メインモードでは、アグレッシブモードと異なり、固定的なIPアドレスがクライアント認証用のIDとして用いられる。このため、メインモードは、IPアドレスが変化しないインターネット上でのグローバルIPアドレスを有するノード間の通信のような拠点間接続で主に用いられている。
また、本発明に関連する先行技術として、Mobile IPで利用される管理サーバでの端末
管理情報やネットワーク上のVPN(Virtual Private Network)パス情報と組み合わせて、管理サーバがクライアントにデータを送信するためのVPNパスを、クライアントの移動に伴
ってシームレスに切り替える方法がある(例えば、特許文献1)。
特開2002−111732号公報 特開2002−44141号公報
本発明の目的は、アグレッシブモードよりもセキュリティ強度の高いメインモードの適用範囲を拡張することができる技術を提供することである。
本発明は、上述した課題を解決するために以下の手段を採用する。
即ち、本発明の第1の態様は、第1装置が第2装置との間でIKE(Internet Key Exchange)を通じてVPN(Virtual Private Network)を確立することを支援する装置であって、
IKEで用いられる第1装置の認証情報を受信し、この認証情報に基づいて、前記第1装置の鍵交換モードがメインモードか否かを判定するモード判定部と、
前記第1装置の鍵交換モードがメインモードである場合に、前記第1装置が前記第2装置との間でIKEを実行する場合に使用すべき通信鍵の情報と、前記認証情報とを含むVPN設定要求を前記第2装置に送信するVPN設定要求送信部と、
前記第2装置からVPN設定要求に対する応答を受信した場合に、前記通信鍵と前記第2装置のIP(Internet Protocol)アドレスとを前記第1装置に通知する通知部と
を含む接続支援装置である。
好ましくは、本発明の第1の態様は、前記第1装置の認証情報を含むIPパケットの受信時に、前記認証情報と該IPパケットの送信元IPアドレスとに基づいて、前記接続支援装置と前記第1装置との間にIPアドレス変換装置が介在しているか否かを判定する判定部をさらに含み、
前記IPアドレス変換装置が介在している場合に、前記VPN設定要求送信部が、前記IPパケットの送信元IPアドレスをさらに含むVPN設定要求を前記第2装置に送信する。
好ましくは、本発明の第1の態様において、前記第1装置の鍵交換モードがメインモードである場合に複数の第2装置のリストが前記第1装置に送信され、前記第1装置で決定された前記複数の第2装置の一つを示す情報を含む返信が受信された場合に、前記VPN設定要求送信部は前記複数の第2装置の一つに前記VPN設定要求を送信する。
好ましくは、本発明の第1の態様は、前記第2装置に収容された前記第1装置の通信相手が属するサブネットアドレスの情報を含む前記VPN設定要求の応答が前記第2装置から受信された場合に、前記通知部は前記サブネットアドレスの情報を前記第1装置に通知する。
好ましくは、本発明の第1の態様において、前記第1装置に割り当てられるべきIPアドレスを含むVPN設定要求の応答が前記第2装置から受信された場合に、前記通知部は前記IPアドレスを前記第1装置に通知する。
本発明の第2の態様は、ゲートウェイ装置との間でIKE(Internet Key Exchange)を
通じたVPN確立を所望する場合に、IKEで用いる自装置の認証情報として自装置のIPアドレスを含むメッセージを接続支援装置に送信し、該接続支援装置からIKEで使用すべき通信鍵と前記ゲートウェイ装置のIP(Internet Protocol)アドレスとを含む応答
メッセージを受け取る接続部と、
前記通信鍵及び前記ゲートウェイ装置並びに前記自装置の認証情報を用いて前記ゲートウェイ装置との間でIKEを実行しVPN(Virtual Private Network)を確立するVPN
処理部とを含むクライアント装置である。
好ましくは、本発明の第2の態様において、前記応答メッセージに前記ゲートウェイ装置に収容された前記クライアント装置の通信相手が属するサブネットアドレスの情報が含まれている場合に、このサブネットアドレスと競合しない仮想IPアドレスが生成され、前記VPN確立後のVPN通信でカプセル化されるIPパケットの送信元IPアドレスに前記仮想IPアドレスが設定される。
本発明の第3の態様は、接続支援装置から、自装置とのIKE(Internet Key Exchange)を通じたVPN確立を所望するクライアント装置の認証情報としてのクライアント装置
のIPアドレスと、IKEで使用すべき通信鍵とを含むVPN設定要求メッセージを受信し、このVPN設定要求メッセージに対する応答メッセージを前記接続支援装置に送信する接続部と、
前記認証情報としてのクライアント装置のIPアドレス及び前記通信鍵を用いて前記クライアント装置との間でIKEを通じてVPNを確立するVPN処理部とを含む
ゲートウェイ装置である。
好ましくは、本発明の第3の態様において、前記接続部は、前記ゲートウェイ装置に収容された前記クライアント装置の通信相手が属するサブネットネットアドレスを含む前記応答メッセージを前記接続支援装置に返信する。
好ましくは、本発明の第3の態様において、前記VPN設定要求メッセージの受信時に、前記クライアント装置に割り当てるべき仮想IPアドレスが決定され、前記接続部が前記決定された仮想IPアドレスを含む前記応答メッセージを前記接続支援装置に返信する。
本発明によれば、アグレッシブモードよりもセキュリティ強度の高いメインモードの適用範囲を拡張することができる。
〔第1実施形態〕
〈構成〉
図1は、本発明の実施形態による接続支援システムの構成例を示す図である。図1において、接続支援システム100は、第1装置としてのクライアント装置20と、このクライアント装置20とIPsecを用いたVPN通信を行う第2装置としてのゲートウェイ装置
40と、ゲートウェイ装置40に直接接続された、クライアント装置20の通信相手となる機器50と、クライアント装置20とゲートウェイ装置40との間のVPN接続を支援する接続支援装置10と、接続支援装置10とクライアント装置30との間に介在するNATルータ(IPアドレス変換装置)30とを備えている。接続支援装置10とクライアント装置20との間の通信経路は、無線区間を含んでいても良い。
クライアント装置20は、パソコン(PC),PDA(Personal Digital Assistant)等の
ようなコンピュータ(端末装置)であり、接続部21及びVPN処理部としてのIPSecクラ
イアント22を備えている。クライアント装置10には、鍵交換プロトコルとしてIKEが実装されており、メインモードによるIPSecを用いてゲートウェイ装置40との間でV
PNトンネルを確立し、このVPNトンネルを用いた暗号化通信を行う。
接続部21は、接続支援装置10とのやりとりを行い、IPsecクライアント22がゲー
トウェイ装置40のIPsecゲートウェイ42とIPsecによるVPNトンネルを確立するために必要な情報を接続支援装置10から入手し、IPsecクライアント22に設定する。
IPsecクライアント22は、接続部21によって設定された情報を用いて、ゲートウェ
イ装置40との間でIKE(フェーズ1及びフェーズ2)を実行し、ゲートウェイ装置40との間にIPsec SAを確立する。
NATルータ30は、汎用のNAT機能(NAPT)を有している。すなわち、NATルータ30は、クライアント装置20と接続支援装置10との間を転送されるIPパケットに付与されたIPアドレスの変換処理(ローカルIPアドレス←→グローバルIPアドレ
ス)処理を行う。ここに、クライアント装置20には、図示しないDHCPサーバによっ
て、ローカルIPアドレスが一時的に割り当てられるようになっている。
接続支援装置10は、モード判定部としての鍵交換モード検出部11と、判定部としてのNAT検出部12と、ゲートウェイ選択部13と、通信鍵生成部14とを備えている。鍵交換モード検出部11は、クライアント装置20からNATルータ30を通じて到着するIPパケットに含まれるIKE認証用のIDから、IKEフェーズ1でのモードがメインモードか否かを判別する。
NAT検出部12は、IPパケットの送信元IPアドレスとIPパケットに含まれたIDとに基づいて、接続支援装置10とクライアント装置20との間にNATルータ30が介在しているか否かを判別する。
ゲートウェイ選択部13は、クライアント装置20とVPN接続可能な複数のゲートウェイ装置(但し、図1ではゲートウェイ装置40のみを図示)の情報(ゲートウェイリスト)を、記憶装置上に有している。ゲートウェイ選択部13は、クライアント装置20で接続先のゲートウェイ装置を選択するために、ゲートウェイリストをクライアント装置20に提供する。
通信鍵生成部14は、鍵交換モードがメインモードである場合に、クライアント装置120とゲートウェイ装置40との間で実行されるIKEでのやりとりを暗号化するための通信鍵(事前共有鍵:IKEで生成される事前共有鍵とは異なる)を生成する。
ゲートウェイ装置40は、接続部41とVPN処理部としてのIPSecゲートウェイ42
とを有している。接続部41は、接続支援装置10との間でやりとりを行い、クライアント装置20との間でIKEに必要な情報を入手してIPsecゲートウェイ42に設定する。
IPSecゲートウェイ42は、接続部41によって設定された情報を用いて、クライアン
ト装置20のIPsecクライアント22(イニシエータ)に対するレスポンダとして機能し、
IKEフェーズ1及び2を通じてIPsec SAを確立し、VPNトンネルを確立させる。
VPNトンネルが確立されると、クライアント装置20は、ゲートウェイ装置40との間に確立されたVPNトンネルを用いて機器50と通信を行う。このとき、クライアント装置20とゲートウェイ装置40との間では、IPsecによる暗号化通信が行われる。
〈接続支援装置による処理〉
図2は、接続支援装置10による処理フローの例を示す。図2に示す処理は、接続支援装置10がNATルータ30を経由したクライアント装置20からのデータ(メッセージ
をペイロードに含むIPパケット)を受信することによって開始される。
接続支援装置10では、最初に、鍵交換モード検出部11が、クライアント装置20からメッセージの所定位置を参照し、この所定位置に格納されているIKE認証用のIDがIPアドレスか否かを判定する(ステップS01)。
即ち、鍵交換モード検出部11は、IDとして格納されているデータがIPアドレスのフォーマットを有しているかを判定する。IDがIPアドレスであれば(S01のYES)、鍵交換モード検出部11は、IKEフェーズ1の鍵交換モードがメインモードであると判定し、処理をステップ02に進める。
これに対し、IDがIPアドレスでない場合には(S01のNO)、接続支援装置10は、他の処理を実行する(ステップS07)。例えば、接続支援装置10は、鍵交換モードがアグレッシブモードであると仮定して、そのアグレッシブモードを用いたVPN接続を支援する。或いは、接続支援装置10は、所定のエラー処理を実行することもできる。
ステップS02では、接続支援装置10のNAT検出部12が、クライアント装置20からのIPパケットのIPヘッダ中の送信元IPアドレスとIPペイロードにIDとして格納されたIPアドレスとを比較し、両者が一致するか否かを判定する。IPアドレスが一致する場合(S02のYES)には、NAT検出部12は、クライアント装置20と接続支援装置10との間にNAPT(NATルータ30)が介在しないと判定し、処理がステップS04に進む。
これに対し、IPアドレスが一致しない場合(S02のNO)には、NAT検出部12は、クライアント装置20と接続支援装置10との間にNAPT(NATルータ30)が介在すると判定する。この場合、IPパケットからIDが抽出され(ステップS03)、処理がステップS04に進む。IDはクライアント装置20のローカルIPアドレスとして、ゲートウェイ装置40に通知するために抽出される。
ステップS04では、接続支援装置10のゲートウェイ選択部13が、クライアント装置20に対して接続先のゲートウェイを問い合わせる。クライアント装置20から接続先のゲートウェイ装置を指定する回答を受信すると、接続支援装置10は、クライアント装置20とゲートウェイ装置40との間でのIKEで使用すべき通信鍵を通信鍵生成部14で生成する。通信鍵生成部41は、自身以外の他の場所で格納されている通信鍵を入手するようにしても良い。
接続支援装置10は、通信鍵等を含むIPsecデータの透過設定要求(VPN設定要求メッセージ)を生成し、接続先のゲートウェイ装置(図1では、ゲートウェイ装置40)へ送信
する。
ゲートウェイ装置40からVPN設定要求メッセージに対する正常な応答(VPN設定
要求応答メッセージ)が受信されると(ステップS05のYES)、接続支援装置10は、
クライアント装置10に対し、通信鍵及びゲートウェイアドレス(ゲートウェイ装置40
のIPアドレス)を通知する(ステップS06)。
これに対して、正常なVPN設定要求応答メッセージをゲートウェイ装置40から受信
できない場合(S05のNO)には、他の処理(例えば、所定のエラー処理)が実行される(
S07)。ステップS06又はS07の処理が終了すると、接続支援装置10は、図1に
示す処理を終了する。
クライアント装置20では、接続部21が接続支援装置10から通知された通信鍵及びゲートウェイアドレスをIPSec クライアント22に設定する。IPSecクライアント22は
、通信鍵及びゲートウェイアドレスを用いて、ゲートウェイ装置40のIPSecゲートウェ
イ42との間でIKEに基づく通信(フェーズ1及び2)を行い、クライアント装置20とゲートウェイ装置40との間に、IPSecを用いたVPN(IPSec SA)を確立する。フェーズ
1でのパラメータネゴシエーションや鍵情報交換(DH鍵素材交換)では、IPsecクライア
ント22及びIPsecゲートウェイ42に夫々設定された通信鍵(事前共有鍵)を用いた暗号
化通信が行われる。
その後、クライアント装置20とゲートウェイ装置40との間にVPNトンネルが確立されると、このVPNトンネルを用いてクライアント装置20−ゲートウェイ装置40間で暗号化通信が行われ、クライアント装置20と機器50との間で、ゲートウェイ装置40を介した通信が行われる。
図3は、クライアント装置20の処理フローの例を示す。図3に示す処理は、クライアント装置20が機器50との通信を開始する場合に開始される。図3に示す処理が開始されると、クライアント装置20の接続部21は、IPSecクライアント22を構成する記憶
装置に格納されているIPSec設定情報から、鍵交換モードに基づく鍵交換情報(ここでは、IKEメインモードに基づくID= xxx.xxx.xxx.xxx,即ちクライアント装置20のIP
アドレス(本発明の「認証情報」に相当))を抽出し、接続支援装置10に送信する(ステップS11)。
次に、クライアント装置20の接続部21は、接続支援装置10のゲートウェイ選択部13から通知されるゲートウェイ情報(クライアント装置20が接続可能なゲートウェイ
装置のリスト:ゲートウェイリスト)を受け取り、ゲートウェイ装置を選択する(ステップS12)。
例えば、ゲートウェイリストは、クライアント装置20が備えるディスプレイ装置(図
示せず)にて表示される。クライアント装置20のユーザは、クライアント装置20が備
える入力装置(図示せず)を用いて、ゲートウェイリスト中から接続を希望するゲートウェイ装置の選択結果を入力することができる。接続部21は、選択結果を、接続支援装置10からの問い合わせに対する回答として、接続支援装置10へ送信する。
その後、クライアント装置20の接続部21は、接続支援装置10から通知される通信鍵及びゲートウェイIPアドレスを受信する(ステップS13)。すると、接続部21は、通信鍵及びゲートウェイIPアドレスをIPSecクライアント22に設定し、IPSecクライアント22を起動させる。これによって、IPSecクライアントがゲートウェイ装置40のIPSecゲートウェイ42とIKEを実行しIPSec SAを確立するためのやりとりを行い、VPNトンネルを確立する。このVPNトンネルを用いて、クライアント装置20は、ゲートウェイ装置40との間で暗号化通信を行うことができ、ゲートウェイ装置40が機器50とクライアント装置20との間でやりとりされるデータ(IPパケット)を中継する。このようにして、クライアント装置20と機器50は通信を行うことができる。
〔動作例1〕
次に、接続支援システムにおける動作例1として、接続支援装置10がIKEメインモードリモートアクセス支援を行う場合について説明する。動作例1では、クライアント装
置20と接続支援装置10との間に、NAT(NATルータ30)が介在している。図4は、動作例1(メインモードのリモートアクセス支援(NATあり))の説明図である。
図4において、機器50との通信を望むクライアント装置20は、接続部21を用いてクライアント鍵交換情報(ID)を含むメッセージを有するIPパケットを生成し、このIPパケットを接続支援装置10に送信する(図4の(1))。IDとして、クライアント装置20のIPアドレス(ローカルIPアドレス:クライアントIPアドレス)が設定される(
図5A参照)。第1実施形態では、クライアント装置20は、図示しないDHCPサーバ
から割り当てられるローカルIPアドレスを用いてIP通信を行う。
IPパケットは、NATルータ30を通過して接続支援装置10に受信される。NATルータ30は、IPパケットの送信元IPアドレス(クライアントIPアドレス)を、グローバルIPアドレス(NAT IPアドレス)に書き換える(図5B参照)。
接続支援装置10でIPパケットが受信されると、鍵交換モード検出部11がメッセージ中のID格納フィールドを参照する。鍵交換モード検出部11がID格納フィールドに格納されたデータがIPアドレスのフォーマットを有することを検出すると、IKEのフェーズ1がメインモードであることが判定(検出)される。鍵交換モード検出部11は、IPパケットをNAT検出部12に渡す(図4の(2))。
NAT検出部12は、IDとして格納されたIPアドレスと、IPパケットの送信元IPアドレスとを比較する。ここでは、IDとしてのIPアドレスはクライアントIPアドレスであり、送信元IPアドレスはNAT IPアドレスであるので、両者は一致しない
。このため、NAT検出部12は、接続支援装置10とクライアント装置20との間に、NATルータ30が介在していることを検出する。
その後、NAT検出部12は、IPパケット(IKEメッセージ)をゲートウェイ選択部13に渡す(図4の(3))。このとき、IDがIPパケットから抽出される。
ゲートウェイ選択部13は、記憶装置からゲートウェイリストを読み出し、ゲートウェイリストを含むIPパケット(送信元IPアドレス:接続支援装置,宛先IPアドレス:
NAT IP)をクライアント装置20に送信する(図4の(4))。IPパケットの宛先IPアドレスは、NATルータ30を通過する際に、NAT IPアドレスからクライアント
IPアドレスに書き換えられる。
IPパケットがクライアント装置20で受信されると、クライアント装置20は、ゲートウェイリストを図示しないディスプレイ装置に表示する。クライアント装置20のユーザは、ゲートウェイリストを参照し、接続を所望するゲートウェイの選択結果(指定ゲー
トウェイの情報)を、図示しない入力装置を介してクライアント装置20に入力する。す
ると、接続部21は、指定ゲートウェイの情報を含むメッセージ(IPパケット)を送信する。このメッセージは、NATルータ30を介して接続支援装置10に到達する(図4の(5))。ここでは、ユーザがゲートウェイ装置40を選択したと仮定する。
ゲートウェイ選択部13は、指定ゲートウェイの情報を受信すると、その情報を通信鍵生成部14に渡す(図4の(6))。通信鍵生成部14は、指定ゲートウェイ(ゲートウェイ
装置40)とクライアント装置10との間にVPNを確立するための通信鍵(事前共有鍵)
を生成し、ゲートウェイ選択部13に渡す。
ゲートウェイ選択部13は、指定ゲートウェイに応じたVPN設定要求メッセージを生成し、このメッセージを含むIPパケットをゲートウェイ装置40に送信する(図4の(7
))。このIPパケットの宛先IPアドレスとして、例えば、ゲートウェイリスト中に含まれたゲートウェイ装置40のIPアドレスが設定される。
図6は、VPN設定要求メッセージのフォーマット例を示す図である。図6には、SIP(Session Initiation Protocol)に基づくVPN設定要求メッセージが示されている。
このメッセージには、SIPで用いるSDP(Session Description Protocol)のフォーマットを含んでおり、このSDPフォーマット部分に拡張領域が設けられ、拡張領域に、クライアントIPアドレス(ID),NAT IPアドレス及び通信鍵(事前共有鍵)が格納さ
れる。
VPN設定要求メッセージは、ゲートウェイ装置40の接続部41で受信される。接続部41は、VPN設定要求メッセージに基づくVPN設定をIPsecゲートウェイ42に対
して行う(図4の(8))。このとき、クライアントIPアドレス(ID),NAT IPアド
レス,及び通信鍵がIPsecゲートウェイ42に設定される。このような処理が終了すると
、接続部41は、VPN設定要求メッセージに対する応答メッセージ(VPN設定要求応
答メッセージ)を生成し、接続支援装置10に送信する(図4の(9))。
図7は、VPN設定要求応答メッセージのフォーマット例を示す図である。図7に示すように、VPN設定要求応答メッセージは、SIPの応答メッセージフォーマットを有し、SDPフォーマット部分と、SDPフォーマットの拡張部分とを含んでいる。この拡張部分には、接続支援装置10から受け取った通信鍵が格納される。この通信鍵は、このVPN設定要求応答メッセージがVPN設定要求メッセージに対応する応答メッセージであることを示すセッションIDとして機能する。よって、通信鍵が応答メッセージに格納されることは必須の要件ではない。応答メッセージを接続支援装置10で識別できれば良い。
ゲートウェイ選択部13は、VPN設定要求応答メッセージを受信し、応答メッセージであると識別すると、ゲートウェイ装置40に通知した通信鍵(事前供給鍵)と、ゲートウェイ装置40のIPアドレス(ゲートウェイIPアドレス)とを含む応答メッセージを作成し、クライアント装置20に送信する(図4の(10))。
図8は、応答メッセージのフォーマット例を示す図である。この例では、応答メッセージは、HTTP(Hyper Text Transfer Protocol)に基づくフォーマットを有しており、このフォーマット中に通信鍵事前共有鍵とゲートウェイIPアドレスとが含められる。
クライアント装置20では、接続部で応答メッセージが受信されると、IPsecクライア
ント22に対してIPSecの設定が行われる(図4の(11))。即ち、VPN接続を行うゲー
トウェイIPアドレスと、IKEフェーズ1で使用する通信鍵とがIPsecクライアント2
2に設定される。
これにより、クライアント装置20とゲートウェイ装置40との間で、IKEフェーズ1の開始時に両者の通信を暗号化するための通信鍵(暗号化鍵)が共有された状態となる。通信鍵は、IKEフェーズ1でDH鍵交換(Diffie-Hellman鍵共有アルゴリズム)により共有鍵が生成及び共有されるまで、クライアント装置20とゲートウェイ装置40との通信を暗号化するために使用される。
IPsecクライアント22(イニシエータ)は、ゲートウェイ装置40のIPsecゲートウェイ42(レスポンダ)へ向けてIKEフェーズ1の実行を開始する。フェーズ1はメインモードで実行される。このとき、IPsecクライアント22からIPsecゲートウェイ42への最初のメッセージ交換(SAの条件提案と選択のやりとり)は、通信鍵を用いて暗号化される。
その後、フェーズ1でDH鍵交換が行われ、両者間で事前共有鍵が生成されると、この事前共有鍵を用いてID認証(VPN装置間の相互認証)が行われ、ISAKMP SAが確立され、
フェーズ1が終了する。続いて、両者間でフェーズ2が実行され、ISAKMP SAを用いてIPsec SAが確立され、両者間にVPNトンネルが確立される。
このようなVPNトンネルが確立されると、クライアント装置20は、ゲートウェイ装置40を介して、機器50と通信を行うことができる。
〔動作例2〕
次に、第1実施形態の動作例2について説明する。動作例2として、図1に示した接続支援システム100と異なり、クライアント装置20と接続支援装置10との間にNATルータ30が介在しない場合の動作例について説明する。クライアント装置20は、図示しないDHCPサーバから貸与されるグローバルIPアドレスを用いてIP通信を行う。
動作例2での手順は、動作例1とほぼ同様であるが、以下の点において異なる。すなわち、NATルータ30が存在しないので、クライアント装置20から接続支援装置10へ送信されるIPパケットの送信元IPアドレスの変換は行われない。言い換えれば、図5Aに示したような、クライアントIPアドレスを有するIPパケットが接続支援装置10に到達する。但し、クライアントIPアドレスはグローバルIPアドレスである。
この場合、接続支援装置10のNAT検出部12は、IPパケットヘッダの送信元IPアドレスとIPデータ(IPペイロード)にIDとして格納されたクライアントIPアドレスとが一致するので、接続支援装置10とクライアント装置20との間にNATが介在しないと判定する。この場合、送信元IPアドレスをクライアントIPアドレスとしてゲートウェイ装置40に通知すれば良いので、動作例1と異なり、IDの抽出は行われない。
また、ゲートウェイ選択部13は、NAT IPアドレスが存在しないので、指定ゲー
トウェイ(例えば、ゲートウェイ装置40)へ送信するVPN設定要求メッセージに、NAT IPアドレスを格納しない(図6に示したメッセージから、NAT IPアドレスが除
かれたものとなる)。
以上の点を除き、動作例2は、動作例1と同様であるので、説明を省略する。
〔第1実施形態の作用効果〕
第1実施形態によると、接続支援装置10が、IPSecクライアント22との間のNAT
有無検出手段(NAT検出部12)や、クライアント装置20の鍵交換モード検出手段(鍵
交換モード検出部11)などを有しており、クライアント装置20及びゲートウェイ装置
40に対して適切なVPNトンネル確立のための情報設定を行う。
また、ゲートウェイ装置40は、接続支援装置10を介して、クライアント装置20がIPSecを行うために必要な情報を通知することができる。これによって、IKEメインモ
ードのみに対応したIPSecクライアントを、このクライアントが接続しているネットワー
クの状態を考慮した上で、安全にゲートウェイ装置にVPN接続させることが可能となる。
第1実施形態によれば、IKEアグレッシブモードよりもセキュリティ強度の高いIKEメインモードを適用することによって、ID漏洩によりゲートウェイ装置が攻撃対象となる問題を回避することができる。
また、第1実施形態によれば、IKEメインモードの適用可能領域を、ネットワークの
構成に応じて柔軟に変更可能とする。
また、第1実施形態によれば、IKEメインモードのみに対応したIPSec クライアント(例えば、Windows (登録商標)XP標準IPSec, IPSec対応各種装置)に対して、セキュリティポリシ(SP)の変更のみで、柔軟に、インターネット上の様々なゲートウェイと通信することを可能となる。
また、第1実施形態によれば、クライアント装置20がDHCP(Dynamic Host Configuration Protocol)を用いて動的にIPアドレスを取得するような場合においても、クラ
イアントの現在のIPアドレスを接続支援装置10に通知することによって、クライアント装置20をIKEメインモードで正常にゲートウェイ装置40に接続させることが可能となる。
本実施形態によれば、IKEメインモード対応クライアントに対して、単体では実現が困難であった様々なネットワークへの接続を容易に実現することができる。
なお、第1実施形態における通信鍵は、DH鍵交換方式を用いて、接続支援装置10とゲートウェイ装置40との間でDH鍵素材の交換を通じて作成・共有され、そのような事前共有鍵がクライアント装置20に通知されるようにしても良い。
また、接続支援装置がゲートウェイリストをクライアント装置に通知し、クライアント装置から指定ゲートウェイの回答を得ることは、必須の要件ではない。すなわち、ゲートウェイ選択部が、NATの有無が判定された後に、予め用意された1以上のゲートウェイの一つを自動的に選択し、VPN接続要求メッセージを送信するようにしても良い。
〔第2実施形態〕
次に、本発明の第2実施形態について説明する。第2実施形態では、クライアント装置がゲートウェイ装置とVPNを構築し、機器を制御するために設定する仮想IPアドレスを決定する方法について説明する。
通常のIPSec VPNを用いた通信においては、Mode-cfg や、IPSec DHCPといった標準に近いプロトコルが使用される。しかしながら、Mode-cfg及び IPSec DHCPのようなプロトコル
は、クライアント及びゲートウェイの双方でサポートされる必要がある。このため、中小規模の各ネットワーク拠点に配置されるIKEメインモード対応のルータなどの機器においては、Mode-cfgやIPSec DHCPをサポートしていない場合があった。
このため、第2実施形態では、Mode-cfg やIPSec DHCPといったIKEプロトコル内で仮
想アドレスを払い出す機能に依存することなく、IKEが実行される前に、クライアントとゲートウェイとの間で、接続支援装置を経由して、IKEを行う仮想アドレスを決定する。これによって、Mode-cfg やIPSec DHCPを不要にし、これらの既存プロトコルに依存
することなく、クライアントに対して仮想アドレスの設定を行うことを可能とする。
第2実施形態は、第1実施形態と同様の構成を有するので、主として異なる構成について説明し、共通する構成については説明を省略する。図9は、第2実施形態における接続支援システム100は、第1実施形態と同様の構成を有する。但し、図9では、接続支援装置10とクライアント装置20との間にNATルータ30が介在しない場合を示している。
第2実施形態の動作は、接続支援装置がVPN設定要求メッセージをゲートウェイ装置40へ送信するまでは、第1実施形態の動作例2と同様である。但し、第2実施形態では、
ゲートウェイ装置40は、VPN設定要求応答メッセージに、ゲートウェイ装置40が収容するローカルサブネットアドレス(機器50が属するローカルサブネットアドレス:例
えば、172.0.0.0/24)を格納する。
図10は、第2実施形態で適用されるVPN設定要求応答メッセージのフォーマット例を示す図である。図10に示すように、VPN設定要求応答メッセージには、セッションIDとして機能する通信鍵(事前登録鍵)とともに、ローカルサブネットアドレスが格納される(図9の(2))。
接続支援装置10は、VPN設定要求応答メッセージを受信すると、ゲートウェイIPアドレス,通信鍵(事前登録鍵)に加えて、さらにローカルサブネットアドレスを含む応答メッセージをクライアント装置20に通知する(図9の(2))。
図11は、第3実施形態におけるクライアント装置20内部の処理説明図である。図11に示すように、クライアント装置20では、接続部21が、応答メッセージを受信すると、この応答メッセージ中のローカルサブネットアドレス(172.0.0.0/24)と競合しない任意のサブネット上の任意のIPアドレス(例えば、111.222.111.222/24)を、クライアント仮想IPとして生成し、ゲートウェイIPアドレス及び通信鍵(事前共有鍵)とともにIPsec
クライアント22に設定する。
IPsecクライアント22は、第1実施形態と同様に、ゲートウェイ装置40のIPsecゲートウェイ42との間でIKEを実行し、IPsec SA(VPNトンネル)を確立させる。その後、クライアント装置20は、機器50に対してIPパケットを送信する場合には、機器50のIPアドレスが宛先IPアドレスに設定されるとともに、クライアント仮想IPアドレスが送信元IPアドレスに設定されたIPパケットを生成する。このIPパケットは、IPsecトンネルモードで送信される。
即ち、当該IPパケットはIPsec SAに基づく方式で暗号化され、暗号化されたIPパケット(内側アドレス及びデータ)がIPデータ(IPペイロード)となり、このIPデータに外側IPヘッダが付与されたカプセル化パケットが生成される。外側IPヘッダでは、ゲートウェイIPアドレスが宛先アドレスに設定され、クライアントIPアドレスが送信元IPアドレスに設定される。このようなカプセル化パケットがゲートウェイ装置40へ送信される(図9の(3)VPNデータ通信)。
ゲートウェイ装置40では、カプセル化パケットが受信されると、外側IPヘッダが除去された後、IPデータ(内側アドレス及びデータ)の復号化によって、元のIPパケットが得られる。その後、元のIPパケットの宛先IPアドレス(機器IPアドレス)に従って、IPパケットが機器50に転送される(図9の(4)内部データ通信)。
第2実施形態によれば、クライアント装置20にて、ゲートウェイ装置40のローカル側サブネットアドレスと異なるIPアドレスがクライアント装置20のIPアドレスとして割り当てられる。これによって、機器50のIPアドレスとクライアント20のIPアドレスとが競合し、ゲートウェイ装置40でIPパケットのルーティングができなくなることを回避することができる。
なお、上述した動作例では、NATルータ30が介在しない例について説明した。NATルータ30が接続支援装置10とクライアント装置20との間に介在する場合では、動作例1と同様の動作に加えて、上述したクライアント装置20へのローカルサブネットアドレスの通知と、クライアント装置20での仮想IPアドレス生成及び設定が行われる。そして、VPNデータ通信において、外側IPヘッダ(外側アドレス:図9)におけるクラ
イアントIPアドレス(送信元IPアドレス)がNAT IPアドレスに変換されて、ゲー
トウェイ装置40に到着する。
第2実施形態によれば、第1実施形態と同様の作用効果を得ることができる。さらに、第2実施形態によれば、Mode-cfg, IPSec-DHCPのようなIKEレベルでのアドレス払い出し(アドレス管理)プロトコルを実装していないクライアントに対しても、アドレス管理を行いつつ、クライアント−ゲートウェイ間で標準プロトコルにてIPSec通信を行うことが
可能となる。
また、第2実施形態によれば、クライアント装置20で仮想IPアドレスがクライアント装置20に対して割り当てられることで、メインモードでの通信を実現する際に、ゲートウェイにてリモートアクセスを行うクライアントのアドレス(=IPSecトンネルモードの
内側IPアドレス)やVPNパスの違いを識別することが可能となる。
〔第3実施形態〕
次に、本発明の第3実施形態について説明する。第3実施形態は、第1及び第2実施形態との共通点を有するので、主として相違点について説明し、共通点については説明を省略する。
第3実施形態として、接続支援システムによるメインモードリモートアクセス支援(ア
ドレスプール分割り当て)に関して説明する。第2実施形態では、ゲートウェイ装置40
から取得したローカルサブネットアドレスを基に、クライアント装置20が仮想IPアドレスを決定する方法について説明した。
ゲートウェイ装置に対して2以上のクライアント装置が接続する場合に、或るクライアントが他のクライアントと競合するIPアドレスを用いてゲートウェイ装置とVPN通信を行う可能性がある。この場合、ゲートウェイ装置での仮想IPアドレスの競合制御が必要となったり、クライアントに対するルーティングが困難となったりするおそれがある。
第3実施形態では、ゲートウェイ装置がリモートアクセスを行うクライアント装置に対して割り当てられるアドレスを管理する。図12は、第3実施形態におけるゲートウェイ装置の構成例を示す図である。
第3実施形態におけるゲートウェイ装置40は、仮想アドレス管理部(リモートアクセ
ス用)43をさらに有する。仮想アドレス管理部43は、仮想IPアドレス管理データベ
ース44を有している。
仮想IPアドレス管理データベースは、所定の割当可能IPアドレス範囲(例:xxx.xxx.xxx.0/24)に属する仮想IPアドレスリスト(仮想アドレスプール)と、その使用状態を示す情報を格納する。この例では、使用状態の仮想IPアドレスに対して、その仮想IPアドレスを使用するクライアント装置20に設定される事前共有鍵(通信鍵)が対応づけて格納される。
VPN設定要求メッセージ受信時におけるゲートウェイ装置40の動作は、次の通りである。ゲートウェイ装置40の接続部41が、接続支援装置10からのVPN設定要求メッセージを受信する(図12の(1))。このVPN設定要求メッセージには、通信鍵(事前
共有鍵)としての鍵Bと、クライアントIPアドレスとが格納されている。
接続部41は、VPN設定要求メッセージを受信すると、第1実施形態と同様に、IPsecゲートウェイ42に対するVPN設定(鍵BやクライアントIPアドレスの設定)を行う(
図12の(2))。IPsecゲートウェイ42は、仮想アドレス管理部43に対し、仮想アドレス取得要求(鍵Bを含む)を渡す(図12の(3))。仮想アドレス管理部43は、仮想IPアドレス管理データベース44から、未使用状態の仮想IPアドレスの一つ(例えば、xxx.xxx.xxx.2)を特定し、この仮想IPアドレスに関連付けて鍵Bをデータベース44に格納(登録)する(図12の(4))。さらに、仮想アドレス管理部43は、この仮想IPアドレス
を取り出し、取得要求に対する応答としてIPsecゲートウェイ42に渡す(図12の(5))
IPsecゲートウェイ42は、この仮想IPアドレスと鍵Bとの関連付けをIPsec SAデー
タベース45(図14)に登録するとともに、仮想IPアドレスとメインモードID(クラ
イアントIPアドレス)との関連付けをID管理データベース46(図14)に登録した後
、この仮想IPアドレスを接続部41に渡す(図12の(6))。接続部41は、仮想IPアドレスと鍵Bとを含むVPN設定要求応答メッセージを生成し、接続支援装置10へ送信する(図12の(7))。
その後、接続支援装置10は、仮想IPアドレス,ゲートウェイIPアドレス及び通信鍵(事前共有鍵:鍵B)を含む応答メッセージをクライアント装置20に送信する。クライアント装置20では、接続部21は、第3実施形態と異なり、仮想IPアドレスを生成すすることなく、仮想IPアドレス,ゲートウェイIPアドレス,通信鍵(鍵B)をIPsecク
ライアント22に設定する。
IPsecクライアント22は、第3実施形態と同様に、クライアント装置20とゲートウ
ェイ装置40との間にVPNトンネルを確立する。その後、クライアント装置20から機器50へのデータ送信において、VPNデータ通信が行われる。この際に、IPsecクライ
アント22は、ゲートウェイ装置40から貸し出された仮想IPアドレスを、クライアント仮想IPアドレスとして使用する。
その後、クライアント装置20から機器50へのデータ送信が終了し、ゲートウェイ装置40とクライアント装置20との間のVPNが終了する場合には、クライアント装置20がゲートウェイ装置40にVPN終了要求メッセージを送信する。
図13は、VPN終了要求メッセージのフォーマット例の説明図である。例えば、VPN終了要求メッセージとして、IKEにて定義されているISAKMP Inforamational Exchange メッセージが使用される。このメッセージにおいて、削除を行うセキュリティポリシ
がISAKMPペイロードにて指定される。図13に示す例では、ペイロードタイプ12でISAKMP SAの削除を示し、protocol ID:ESPによって、IPSec SAを削除することを示す。IPsec
SAの識別情報SPIとして、ここでは、仮想IPアドレスが使用されている。VPN収容要求メッセージは、これらのSAの削除要求を含む。
図14は、ゲートウェイ装置40でのVPN終了処理を示す説明図である。図14において、クライアント装置20からのVPN終了要求メッセージ(仮想IPアドレス(xxx.xxx.xxx.2)の削除要求を含む)がゲートウェイ装置40にて受信される(図14の(1))。
すると、IPsecゲートウェイ42は、IPsec SAデータベース45から、IPsec SA削除要
求に対応するエントリ(即ち、仮想IPアドレスと鍵Bの関連付けが格納されたエントリ)を削除する(図14の(2):IPsec SA削除)。このとき、データベース45から事前共有鍵(鍵B)が抽出され、IPsecゲートウェイ42は、ID管理データベース46から、鍵Bと
対応するメインモードID(クライアントIPアドレス)を削除する(図14の(3))。
次に、IPsecゲートウェイ42は、仮想アドレス管理部43に仮想アドレス削除指示を
渡す(図14の(4))。仮想アドレス管理部43は、データベース44における、削除指示で指定されている仮想IPアドレス(xxx.xxx.xxx.2)のエントリを抽出し、このエントリ
に格納されている“鍵B”を“0”で上書きする。これによって、“鍵B”がデータベース44から削除され、仮想IPアドレス(xxx.xxx.xxx.2)が割当(利用)可能状態となる(図14の(5))。
仮想アドレス管理部43は、鍵Bの削除をIPsecゲートウェイ43に通知し(図14の(
6))、IPsecゲートウェイ42は、仮想IPアドレス(xxx.xxx.xxx.2)の削除を接続部41に通知する。すると、接続部41は、VPN終了メッセージ(BYEメッセージ)を接続支援装置10に送信し(図14の(8))、接続支援装置10からVPN終了メッセージの応答メッセージ(VPN終了応答(BYE応答)メッセージを受け取る(図14の(9))。
このように、各データベース44,45及び46内のエントリは、VPN設定要求時に作成され、VPN終了時に削除される。
図15は、ゲートウェイ装置40から接続支援装置10に送信されるVPN終了メッセージの例を示す図である。図15に示す例では、終了メッセージはSIPに基づくフォーマットを有し、SIPで使用されるSDP部分を独自に拡張した領域を有する。この拡張領域には、削除対象のVPNに係る事前共有鍵(通信鍵)が格納される。
接続支援装置10は、接続支援に係るVPNに関する情報を管理するデータベース(図
示せず)を有しており、このデータベースには、VPNに関する情報として、通信鍵(事前共有鍵),クライアントIPアドレス,ゲートウェイIPアドレス,NAT IPアドレスのような情報を格納するエントリが格納され、通信鍵をキーとして検索可能となっている。
接続支援装置10は、VPN終了メッセージの受信時に、このメッセージに含まれる通信鍵をキーとして、対応するエントリを検索し、そのエントリをデータベースから削除する。エントリが削除されると、VPN終了応答メッセージを作成し、ゲートウェイ装置40へ送信する。図16は、接続支援装置10からゲートウェイ装置40に送信されるVPN終了応答メッセージの例を示す。
第3実施形態によると、ゲートウェイ装置40は、クライアント装置20に対して割り当てを行うIPアドレスを管理し、接続支援装置10からのVPN設定要求メッセージの受信時に、クライアント装置20に割り当てる仮想IPアドレスを決定し、VPN設定要求応答メッセージで仮想IPアドレスを通知する。
これによって、クライアント装置20とゲートウェイ装置40との間で、IKEを行う事前にIPアドレスの割り当てが行われる。このため、アドレス管理プロトコルが実装されていないクライアントや機器に対しても、IPSec通信を実現することができる。クライ
アント装置20がゲートウェイ装置40からログアウトするときに、クライアント装置20のアドレスを空に設定し、ルーティングテーブル(データベース45及び46)から削除する。
《その他》
更に、本発明の実施の形態は以下の発明を開示する。また、以下の各発明(以下、付記と称する)のいずれかに含まれる構成要素を他の付記の構成要素と組み合わせても良い。
(付記1) 第1装置が第2装置との間でIKE(Internet Key Exchange)を通じてV
PN(Virtual Private Network)を確立することを支援する装置であって、
IKEで用いられる第1装置の認証情報を受信し、この認証情報に基づいて、前記第1装置の鍵交換モードがメインモードか否かを判定するモード判定部と、
前記第1装置の鍵交換モードがメインモードである場合に、前記第1装置が前記第2装置との間でIKEを実行する場合に使用すべき通信鍵の情報と、前記認証情報とを含むVPN設定要求を前記第2装置に送信するVPN設定要求送信部と、
前記第2装置からVPN設定要求に対する応答を受信した場合に、前記通信鍵と前記第2装置のIP(Internet Protocol)アドレスとを前記第1装置に通知する通知部と
を含む接続支援装置。(1)
(付記2) 前記第1装置の認証情報を含むIPパケットの受信時に、前記認証情報と該IPパケットの送信元IPアドレスとに基づいて、前記接続支援装置と前記第1装置との間にIPアドレス変換装置が介在しているか否かを判定する判定部をさらに含み、
前記IPアドレス変換装置が介在している場合に、前記VPN設定要求送信部が、前記IPパケットの送信元IPアドレスをさらに含むVPN設定要求を前記第2装置に送信する
付記1記載の接続支援装置。(2)
(付記3) 前記第1装置の鍵交換モードがメインモードである場合に複数の第2装置のリストが前記第1装置に送信され、前記第1装置で決定された前記複数の第2装置の一つを示す情報を含む返信が受信された場合に、前記VPN設定要求送信部は前記複数の第2装置の一つに前記VPN設定要求を送信する
付記1又は2記載の接続支援装置。(3)
(付記4) 前記第2装置へ送信した通信鍵を含む前記VPN設定要求の応答を受信する付記1〜3のいずれかに記載の接続支援装置。
(付記5) 前記第2装置に収容された前記第1装置の通信相手が属するサブネットアドレスの情報を含む前記VPN設定要求の応答が前記第2装置から受信された場合に、前記通知部は前記サブネットアドレスの情報を前記第1装置に通知する
付記1〜4のいずれかに記載の接続支援装置。(4)
(付記6) 前記第1装置に割り当てられるべきIPアドレスを含むVPN設定要求の応答が前記第2装置から受信された場合に、前記通知部は前記IPアドレスを前記第1装置に通知する
付記1〜4のいずれかに記載の接続支援装置。(5)
(付記7) 前記モード判定部は、前記第1装置の認証情報がIPアドレスのフォーマットを有している場合に、前記第1装置の鍵交換モードがメインモードであると判定する
付記1記載の接続支援装置。
(付記8) 前記判定部は、前記第1装置の認証情報としてのIPアドレスと前記IPパケットの送信元IPアドレスとが一致する場合に前記接続支援装置と前記第1装置との間に前記アドレス変換装置が介在しないと判定し、IPアドレスの双方が一致しない場合に前記接続支援装置と前記第1装置との間に前記アドレス変換装置が介在すると判定する
付記2記載の接続支援装置。
(付記9) ゲートウェイ装置との間でIKE(Internet Key Exchange)を通じたVPN
確立を所望する場合に、IKEで用いる自装置の認証情報として自装置のIPアドレスを含むメッセージを接続支援装置に送信し、該接続支援装置からIKEで使用すべき通信鍵と前記ゲートウェイ装置のIP(Internet Protocol)アドレスとを含む応答メッセージを
受け取る接続部と、
前記通信鍵及び前記ゲートウェイ装置並びに前記自装置の認証情報を用いて前記ゲートウェイ装置との間でIKEを実行しVPN(Virtual Private Network)を確立するVPN
処理部とを含む
クライアント装置。(6)
(付記10) 前記応答メッセージに、前記ゲートウェイ装置に収容された前記クライアント装置の通信相手が属するサブネットアドレスの情報が含まれている場合に、このサブネットアドレスと競合しない仮想IPアドレスが生成され、前記VPN確立後のVPN通信でカプセル化されるIPパケットの送信元IPアドレスに前記仮想IPアドレスが設定される
付記9記載のクライアント装置。(7)
(付記11) 前記応答メッセージに、前記クライアント装置に割り当てられるべき仮想IPアドレスが含まれている場合に、前記VPN確立後のVPN通信でカプセル化されるIPパケットの送信元IPアドレスに前記仮想IPアドレスが設定される
付記9記載のクライアント装置。
(付記12) 接続支援装置から、自装置とのIKE(Internet Key Exchange)を通じた
VPN確立を所望するクライアント装置の認証情報としてのクライアント装置のIPアドレスと、IKEで使用すべき通信鍵とを含むVPN設定要求メッセージを受信し、このVPN設定要求メッセージに対する応答メッセージを前記接続支援装置に送信する接続部と、
前記認証情報としてのクライアント装置のIPアドレス及び前記通信鍵を用いて前記クライアント装置との間でIKEを通じてVPNを確立するVPN処理部とを含む
ゲートウェイ装置。(8)
(付記13) 前記接続支援装置と前記クライアント装置との間にアドレス変換装置が介在している場合に、このアドレス変換装置のIPアドレスを更に含むVPN設定要求メッセージを受信する
付記12記載のゲートウェイ装置。
(付記14) 前記通信鍵を含む前記応答メッセージを前記接続支援装置に返信する
付記12又は13記載のゲートウェイ装置。
(付記15) 前記ゲートウェイ装置に収容された前記クライアント装置の通信相手が属するサブネットネットアドレスを含む前記応答メッセージを前記接続部が前記接続支援装置に返信する付記12〜14のいずれかに記載のゲートウェイ装置。(9)
(付記16) 前記VPN設定要求メッセージの受信時に、前記クライアント装置に割り当てるべき仮想IPアドレスが決定され、前記接続部が前記決定された仮想IPアドレスを含む前記応答メッセージを前記接続支援装置に返信する
付記12〜14のいずれかに記載のゲートウェイ装置。(10)
本発明の実施形態に係る接続支援システムの構成例を示す図である。 図1に示した接続支援装置の処理フロー例を示す図である。 図3に示したクライアント装置の処理フロー例を示す図である。 第1実施形態の動作例1の説明図であり、メインモードのリモートアクセス支援(NATあり)の動作を説明する図である。 クライアントから接続支援装置へ向けて送信されるメッセージのフォーマット例を示す図である。 NATルータ(アドレス変換装置)で送信元IPアドレスが変換された図5Aに示したメッセージを示す図である。 VPN設定要求メッセージのフォーマット例の説明図である。 VPN設定要求応答メッセージのフォーマット例の説明図である。 クライアント装置への応答メッセージのフォーマット例の説明図である。 第2実施形態に係る接続支援システムの構成例及び動作例の説明図である。 第2実施形態におけるVPN設定要求応答メッセージの説明図である。 第2実施形態におけるクライアント装置の説明図である。 第3実施形態におけるゲートウェイ装置の説明図である。 第3実施形態におけるVPN終了要求メッセージのフォーマット例の説明図である。 第3実施形態におけるVPN終了処理の説明図である。 第3実施形態におけるVPN終了メッセージの説明図である。 第3実施形態におけるVPN終了応答メッセージの説明図である。
符号の説明
10・・・接続支援装置
11・・・鍵交換モード検出部
12・・・NAT検出部
13・・・ゲートウェイ選択部(VPN設定要求送信部)
14・・・通信鍵生成部
20・・・クライアント装置
21・・・接続部
22・・・IPsecクライアント
30・・・NATルータ
40・・・ゲートウェイ装置
41・・・接続部
42・・・IPsecゲートウェイ
43・・・仮想アドレス管理部
44・・・仮想IPアドレス管理データベース
45・・・IPsec SAデータベース
46・・・ID管理データベース
50・・・機器(通信相手)

Claims (10)

  1. 第1装置が第2装置との間でIKE(Internet Key Exchange)を通じてVPN(Virtual Private Network)を確立することを支援する装置であって、
    IKEで用いられる第1装置の認証情報を受信し、この認証情報に基づいて、前記第1装置の鍵交換モードがメインモードか否かを判定するモード判定部と、
    前記第1装置の鍵交換モードがメインモードである場合に、前記第1装置が前記第2装置との間でIKEを実行する場合に使用すべき通信鍵の情報と前記認証情報とを含むVPN設定要求を前記第2装置に送信するVPN設定要求送信部と、
    前記第2装置からVPN設定要求に対する応答を受信した場合に、前記通信鍵と前記第2装置のIP(Internet Protocol)アドレスとを前記第1装置に通知する通知部と
    を含む接続支援装置。
  2. 前記第1装置の認証情報を含むIPパケットの受信時に、前記認証情報と該IPパケットの送信元IPアドレスとに基づいて、前記接続支援装置と前記第1装置との間にIPアドレス変換装置が介在しているか否かを判定する判定部をさらに含み、
    前記IPアドレス変換装置が介在している場合に、前記VPN設定要求送信部が、前記IPパケットの送信元IPアドレスをさらに含むVPN設定要求を前記第2装置に送信する請求項1記載の接続支援装置。
  3. 前記第1装置の鍵交換モードがメインモードである場合に複数の第2装置のリストが前記第1装置に送信され、前記第1装置で決定された前記複数の第2装置の一つを示す情報を含む返信が受信された場合に、前記VPN設定要求送信部は前記複数の第2装置の一つに前記VPN設定要求を送信する
    請求項1又は2記載の接続支援装置。
  4. 前記第2装置に収容された前記第1装置の通信相手が属するサブネットアドレスの情報を含む前記VPN設定要求の応答が前記第2装置から受信された場合に、前記通知部は前記サブネットアドレスの情報を前記第1装置に通知する
    請求項1〜3のいずれかに記載の接続支援装置。
  5. 前記第1装置に割り当てられるべきIPアドレスを含むVPN設定要求の応答が前記第2装置から受信された場合に、前記通知部は前記IPアドレスを前記第1装置に通知する請求項1〜3のいずれかに記載の接続支援装置。
  6. ゲートウェイ装置との間でIKE(Internet Key Exchange)を通じたVPN(Virtual Private Network)確立を所望する場合に、IKEで用いる自装置の認証情報として自装置のIP(Internet Protocol)アドレスを含むメッセージを接続支援装置に送信し、該接続支援
    装置における自装置の鍵交換モードがメインモードか否かの判定においてメインモードと判定された場合に該接続支援装置から送信される、IKEで使用すべき通信鍵と前記ゲートウェイ装置のIPアドレスとを含む応答メッセージを受け取る接続部と、
    前記通信鍵及び前記ゲートウェイ装置のIPアドレス並びに前記自装置の認証情報を用いて前記ゲートウェイ装置との間でIKEを実行しVPNを確立するVPN処理部とを含むクライアント装置。
  7. 前記応答メッセージに、前記ゲートウェイ装置に収容された前記クライアント装置の通信相手が属するサブネットアドレスの情報が含まれている場合に、このサブネットアドレスと競合しない仮想IPアドレスが生成され、前記VPN確立後のVPN通信でカプセル化されるIPパケットの送信元IPアドレスに前記仮想IPアドレスが設定される
    請求項6記載のクライアント装置。
  8. クライアント装置と自装置との間のVPN(Virtual Private Network)確立を支援する
    接続支援装置から、自装置とのIKE(Internet Key Exchange)を通じたVPN確立を所
    望する、鍵交換モードがメインモードであると前記接続支援装置にて判定されたクライアント装置の認証情報としてのクライアント装置のIP(Internet Protocol)アドレスと、
    IKEで使用すべき通信鍵とを含むVPN設定要求メッセージを受信し、このVPN設定要求メッセージに対する応答メッセージを前記接続支援装置に送信する接続部と、
    前記認証情報としてのクライアント装置のIPアドレス及び前記通信鍵を用いて前記クライアント装置との間でIKEを通じてVPNを確立するVPN処理部とを含む
    ゲートウェイ装置。
  9. 前記ゲートウェイ装置に収容された前記クライアント装置の通信相手が属するサブネットネットアドレスを含む前記応答メッセージを前記接続部が前記接続支援装置に返信する請求項8記載のゲートウェイ装置。
  10. 前記VPN設定要求メッセージの受信時に、前記クライアント装置に割り当てるべき仮想IPアドレスが決定され、前記接続部が前記決定された仮想IPアドレスを含む前記応答メッセージを前記接続支援装置に返信する
    請求項8記載のゲートウェイ装置。
JP2006249533A 2006-09-14 2006-09-14 接続支援装置 Expired - Fee Related JP4763560B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006249533A JP4763560B2 (ja) 2006-09-14 2006-09-14 接続支援装置
US11/700,022 US8312532B2 (en) 2006-09-14 2007-01-31 Connection supporting apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006249533A JP4763560B2 (ja) 2006-09-14 2006-09-14 接続支援装置

Publications (2)

Publication Number Publication Date
JP2008072473A JP2008072473A (ja) 2008-03-27
JP4763560B2 true JP4763560B2 (ja) 2011-08-31

Family

ID=39190209

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006249533A Expired - Fee Related JP4763560B2 (ja) 2006-09-14 2006-09-14 接続支援装置

Country Status (2)

Country Link
US (1) US8312532B2 (ja)
JP (1) JP4763560B2 (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7565689B2 (en) * 2005-06-08 2009-07-21 Research In Motion Limited Virtual private network for real-time data
US8645524B2 (en) * 2007-09-10 2014-02-04 Microsoft Corporation Techniques to allocate virtual network addresses
KR101432036B1 (ko) * 2008-01-16 2014-08-21 삼성전자주식회사 디바이스들간의 통신 중계를 위한 네트워크 시스템 및 그방법
US8429739B2 (en) 2008-03-31 2013-04-23 Amazon Technologies, Inc. Authorizing communications between computing nodes
US8544080B2 (en) * 2008-06-12 2013-09-24 Telefonaktiebolaget L M Ericsson (Publ) Mobile virtual private networks
US8996716B2 (en) * 2008-11-17 2015-03-31 Qualcomm Incorporated Remote access to local network via security gateway
KR101358838B1 (ko) 2008-11-17 2014-02-10 퀄컴 인코포레이티드 로컬 네트워크에 대한 원격 액세스
WO2011141993A1 (ja) * 2010-05-11 2011-11-17 株式会社チェプロ 双方向通信システムおよびこれに用いるサーバ装置
BR112013017889B1 (pt) 2011-01-14 2021-12-07 Nokia Solutions And Networks Oy Suporte de autenticação externo através de uma rede não fiável
US11418580B2 (en) * 2011-04-01 2022-08-16 Pure Storage, Inc. Selective generation of secure signatures in a distributed storage network
US9596271B2 (en) * 2012-10-10 2017-03-14 International Business Machines Corporation Dynamic virtual private network
US9602470B2 (en) * 2013-05-23 2017-03-21 Sercomm Corporation Network device, IPsec system and method for establishing IPsec tunnel using the same
GB2530357B (en) * 2014-09-18 2019-02-06 Airties Kablosuz Iletism Sanayi Ve Disticaret As Floating links
CN104065660A (zh) * 2014-06-27 2014-09-24 蓝盾信息安全技术有限公司 一种远程主机接入的控制方法
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
US9148408B1 (en) 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
RO131252A2 (ro) * 2014-11-27 2016-06-30 Ixia, A California Corporation Metode, sisteme şi suport citibil pe calculator pentru recepţionarea informaţiilor de configurare a testărilor
RO131305A2 (ro) 2014-12-15 2016-07-29 Ixia, A California Corporation Metode, sisteme şi suport citibil pe calculator pentru recepţionarea unui mesaj de sincronizare a ceasului
RO131306A2 (ro) 2014-12-16 2016-07-29 Ixia, A California Corporation Metode, sisteme şi suport citibil pe calculator pentru iniţierea şi execuţia testelor de performanţă a unei reţele private şi/sau a componentelor acesteia
RO131361A2 (ro) * 2015-02-09 2016-08-30 Ixia, A California Corporation Metode, sisteme şi suport citibil pe calculator pentru identificarea locaţiilor asociate punctelor de capăt
RO131360A2 (ro) * 2015-02-09 2016-08-30 Ixia, A California Corporation Metode, sisteme şi suport citibil pe calculator pentru facilitarea rezolvării numelor gazdă ale punctului de capăt în mediul de testare cu firewall-uri, traduceri de adrese de reţea () sau cloud-uri
JP6671998B2 (ja) * 2015-05-13 2020-03-25 キヤノン株式会社 情報処理装置、情報処理装置の制御方法、及びプログラム
CN105072010B (zh) * 2015-06-23 2018-11-27 新华三技术有限公司 一种数据流信息确定方法和装置
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
JP6762735B2 (ja) * 2016-03-07 2020-09-30 国立研究開発法人情報通信研究機構 端末間通信システム及び端末間通信方法及びコンピュータプログラム
JP6724427B2 (ja) * 2016-03-07 2020-07-15 日本電気株式会社 コントローラ、通信スイッチ、通信システム、通信制御方法、及びプログラム
US10986076B1 (en) * 2016-09-08 2021-04-20 Rockwell Collins, Inc. Information flow enforcement for IP domain in multilevel secure systems
US10681005B2 (en) 2016-12-08 2020-06-09 Keysight Technologies Singapore (Sales) Pte. Ltd. Deploying a networking test tool in a cloud computing system
US11212260B2 (en) 2018-03-24 2021-12-28 Keysight Technologies, Inc. Dynamic firewall configuration and control for accessing services hosted in virtual networks
WO2020180761A1 (en) * 2019-03-04 2020-09-10 Airgap Networks Inc. Systems and methods of creating network singularities
US11729187B2 (en) * 2020-02-24 2023-08-15 Microsoft Technology Licensing, Llc Encrypted overlay network for physical attack resiliency
CN111556084B (zh) * 2020-06-30 2022-08-23 成都卫士通信息产业股份有限公司 Vpn设备间的通信方法、装置、系统、介质和电子设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4201466B2 (ja) 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
JP2002111732A (ja) 2000-10-02 2002-04-12 Nippon Telegr & Teleph Corp <Ntt> Vpnシステム及びvpn設定方法
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
WO2005004418A1 (ja) * 2003-07-04 2005-01-13 Nippon Telegraph And Telephone Corporation リモートアクセスvpn仲介方法及び仲介装置
JP3955025B2 (ja) * 2004-01-15 2007-08-08 松下電器産業株式会社 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
US20070006296A1 (en) * 2005-06-29 2007-01-04 Nakhjiri Madjid F System and method for establishing a shared key between network peers

Also Published As

Publication number Publication date
US8312532B2 (en) 2012-11-13
US20080072312A1 (en) 2008-03-20
JP2008072473A (ja) 2008-03-27

Similar Documents

Publication Publication Date Title
JP4763560B2 (ja) 接続支援装置
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
US7729366B2 (en) Method, apparatus and system for network mobility of a mobile communication device
CN101228771B (zh) 建立ip连接的系统、方法、设备及终结节点、起始节点
US20070297430A1 (en) Terminal reachability
JP2009111437A (ja) ネットワークシステム
JPWO2008146395A1 (ja) ネットワーク中継装置、通信端末及び暗号化通信方法
JP2000332825A (ja) 移動通信方法、移動計算機装置、計算機管理装置及び暗号化通信装置
US20100014529A1 (en) Network Communication Apparatus, Network Communication Method, And Address Management Apparatus
JPWO2006132142A1 (ja) リモートアクセスシステム及びそのipアドレス割当方法
JP2007522744A (ja) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
JPH1051449A (ja) 移動計算機サポートシステム、その管理サーバ、その端末及びアドレス変換方法
US8400990B1 (en) Global service set identifiers
JP2006121533A (ja) 中継装置、通信端末、通信システム
US20170207921A1 (en) Access to a node
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP4681990B2 (ja) 通信システム及び通信方式
US20130100857A1 (en) Secure Hotspot Roaming
JP4475514B2 (ja) IPv6/IPv4トンネリング方法
JP2006109152A (ja) ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム
JP2001345841A (ja) 通信ネットワークシステム、データ通信方法、および通信中継装置、並びにプログラム提供媒体
JP6762735B2 (ja) 端末間通信システム及び端末間通信方法及びコンピュータプログラム
JP4470641B2 (ja) Vpn管理サーバ、vpn設定システム、方法及びvpn管理サーバ用プログラム
JP3972335B2 (ja) ネットワーク接続機器、通信方法、プログラムおよびプログラムを記憶した記憶媒体
JP2003152805A (ja) 公衆アクセスシステムおよび装置、サーバ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090512

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110111

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110314

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110517

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110609

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140617

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees