JP6894060B2 - Systems and methods that provide a composite secure link architecture - Google Patents

Systems and methods that provide a composite secure link architecture Download PDF

Info

Publication number
JP6894060B2
JP6894060B2 JP2018225711A JP2018225711A JP6894060B2 JP 6894060 B2 JP6894060 B2 JP 6894060B2 JP 2018225711 A JP2018225711 A JP 2018225711A JP 2018225711 A JP2018225711 A JP 2018225711A JP 6894060 B2 JP6894060 B2 JP 6894060B2
Authority
JP
Japan
Prior art keywords
msl
vpn
address
component
client workstation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018225711A
Other languages
Japanese (ja)
Other versions
JP2019062557A (en
Inventor
デニス マッキニー ジャック
デニス マッキニー ジャック
Original Assignee
イー^ナット テクノロジーズ リミティド ライアビリティ カンパニー
イー^ナット テクノロジーズ リミティド ライアビリティ カンパニー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2016550493A external-priority patent/JP6511704B2/en
Application filed by イー^ナット テクノロジーズ リミティド ライアビリティ カンパニー, イー^ナット テクノロジーズ リミティド ライアビリティ カンパニー filed Critical イー^ナット テクノロジーズ リミティド ライアビリティ カンパニー
Priority to JP2018225711A priority Critical patent/JP6894060B2/en
Publication of JP2019062557A publication Critical patent/JP2019062557A/en
Priority to JP2021047218A priority patent/JP2021106396A/en
Application granted granted Critical
Publication of JP6894060B2 publication Critical patent/JP6894060B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

インターネットは、現時点において、様々な標準プロトコルを使用したコンピュータ間におけるワールドワイドな通信をサポートしている。これらのプロトコルのうちの一つであるインターネットプロトコル(IP:Internet Protocol)は、IPアドレスと呼称される一意のアドレスをそれぞれのコンピュータに割り当てている。IPは、現時点において、32ビットアドレスを有するIPv4及び128ビットアドレスを有するIPv6という二つのバージョンにおいて利用可能である。IPv4が、現在、最も一般的に使用されているバージョンである。 The Internet currently supports worldwide communication between computers using various standard protocols. One of these protocols, the Internet Protocol (IP: Internet Protocol), assigns a unique address called an IP address to each computer. IP is currently available in two versions: IPv4 with a 32-bit address and IPv6 with a 128-bit address. IPv4 is currently the most commonly used version.

インターネットの成長は、IPv4において利用可能な32ビットアドレスのすべてを使い尽くしている。限られた数のアドレスに伴う一つの結果が、いまや、大部分の組織が、IPv4によって定義されている三つのプライベートアドレス空間のうちの一つを使用しているというものである。これらのプライベートIPアドレスは、パブリックインターネット上においては使用することができない。ゲートウェイルータが、プライベートイントラネットとパブリックインターネットとの間のインタフェースを管理している。ゲートウェイルータは、プライベートネットワークの外部における通信が望ましい際に、プライベートな内部IPを隠蔽又はマスキングするための様々な機能を提供している。 The growth of the Internet has exhausted all of the 32-bit addresses available in IPv4. One result with a limited number of addresses is that most organizations now use one of the three private address spaces defined by IPv4. These private IP addresses cannot be used on the public Internet. The gateway router manages the interface between the private intranet and the public Internet. Gateway routers provide various functions for hiding or masking private internal IPs when communication outside the private network is desirable.

商用環境においてゲートウェイルータによって使用されている一つの一般的な方法が、外部ユーザを内部プライベートネットワークに接続するための仮想プライベートネットワーク(VPN:Virtual Private Network)の生成である。VPNは、パケットがパブリックインターネットに跨ってクライアントワークステーションにルーティングされている間に、内部IPアドレス及びデータを隠蔽するためのエンベロープ又はラッパプロトコルを提供している。 One common method used by gateway routers in commercial environments is the creation of virtual private networks (VPNs) for connecting external users to internal private networks. VPNs provide an envelope or wrapper protocol for hiding internal IP addresses and data while packets are being routed across the public Internet to client workstations.

VPNは、クライアントワークステーションがVPNゲートウェイに接続するのに伴って、内部プライベートIPアドレスをクライアントワークステーションに割り当てることにより、内部プライベートネットワークを拡張している。VPNは、クライアントワークステーション上のアプリケーションをVPNゲートウェイ(又は、オーナゲートウェイ)の背後の内部プライベートネットワークに接続するネットワーク又はVPNトンネルを生成している。クライアントワークステーションのローカルプライベートネットワーク及びパブリックインターネットは、VPNトンネルにより、クライアントワークステーション上のアプリケーションから隠蔽されている。この結果、VPNの現時点のバージョンにおいては、クライアントワークステーションは、一度に一つのVPNにしか接続することができない。クライアントワークステーションが複数のVPNに接続することができる場合には、それぞれのVPNごとの内部プライベートアドレス領域が一意であることが保証されないことから、パケットを望ましい宛先まで確実にルーティングすることができないであろう。 The VPN extends the internal private network by assigning an internal private IP address to the client workstation as the client workstation connects to the VPN gateway. The VPN is creating a network or VPN tunnel that connects the application on the client workstation to the internal private network behind the VPN gateway (or owner gateway). The client workstation's local private network and public internet are hidden from applications on the client workstation by a VPN tunnel. As a result, in the current version of VPN, client workstations can only connect to one VPN at a time. If the client workstation can connect to multiple VPNs, the internal private address area for each VPN is not guaranteed to be unique, so packets cannot be reliably routed to the desired destination. There will be.

本明細書において開示されている実施形態は、複合セキュアリンク(MSL:Multiple Secure Link)アーキテクチャを提供するシステムを含む。システムのいくつかの実施形態は、プロセッサによって実行された際に、システムが、クライアントワークステーションとオーナゲートウェイとの間においてVPNトンネルを生成し、クライアントワークステーションからオーナゲートウェイへのアウトバウンドデータグラムを送信し、且つ、オーナゲートウェイからクライアントワークステーションへのインバウンドデータグラムを受信するようにする第一ロジックを含むMSL仮想プライベートネットワーク(VPN)コンポーネントを含み、インバウンドデータグラムは、発信元IPアドレスと、VPNオーナプライベートIPアドレスに設定された宛先インターネットプロトコル(IP)アドレスと、を含む。いくつかの実施形態においては、第一ロジックは、システムが、宛先IPアドレスを有するインバウンドデータグラムを送信するようにしている。又、システムの実施形態は、プロセッサによって実行された際に、システムが、MSL VPNからインバウンドデータグラムを受信し、発信元IPアドレスからの新しいVPNオーナプライベートIPアドレスをインバウンドデータグラム内において記録し、インバウンドデータグラム及びクライアントワークステーション用の新しいUPIPアドレスを割り当て、且つ、クライアントワークステーションへのインバウンドデータグラムの送信を促進するようにする第二ロジックを含むMSLツインネットワークアドレストランスレータ(NAT:Network Address Translator)を含んでもよい。 The embodiments disclosed herein include a system that provides a Multiple Secure Link (MSL) architecture. In some embodiments of the system, when run by a processor, the system creates a VPN tunnel between the client workstation and the owner gateway and sends outbound datagrams from the client workstation to the owner gateway. Including the MSL Virtual Private Network (VPN) component, which includes the first logic to receive the inbound datagram from the owner gateway to the client workstation, the inbound datagram includes the source IP address and the VPN owner private. Includes a destination Internet Protocol (IP) address set in the IP address. In some embodiments, the first logic causes the system to send inbound datagrams with destination IP addresses. Also, in an embodiment of the system, when executed by a processor, the system receives an inbound datagram from the MSL VPN and records a new VPN owner private IP address from the source IP address in the inbound datagram. An MSL Twin Network Address Translator (NAT) that includes a second logic that allocates new UPIP addresses for inbound datagrams and client workstations and facilitates the transmission of inbound datagrams to client workstations. May include.

同様に、本明細書において開示されているいくつかの実施形態は、プロセッサによって実行された際に、MSL VPNが、クライアントワークステーションとオーナゲートウェイとの間においてVPNトンネルを生成し、且つ、クライアントワークステーションからオーナゲートウェイへのアウトバウンドデータグラムを送信するようにするロジックを含むMSL仮想プライベートネットワーク(VPN)コンポーネントを含む。いくつかの実施形態においては、ロジックは、MSL VPNコンポーネントが、オーナゲートウェイからクライアントワークステーションへのインバウンドデータグラムを受信し、この場合に、インバウンドデータグラムは、発信元IPアドレスと、VPNオーナプライベートIPアドレスに設定された宛先インターネットプロトコル(IP)アドレスと、を含み、且つ、宛先IPアドレスを有するインバウンドデータグラムを送信するようにしている。 Similarly, in some embodiments disclosed herein, the MSL VPN creates a VPN tunnel between the client workstation and the owner gateway when executed by the processor, and the client work. Includes an MSL Virtual Private Network (VPN) component that contains logic to send outbound datagrams from the station to the owner gateway. In some embodiments, the logic is that the MSL VPN component receives an inbound datagram from the owner gateway to the client workstation, where the inbound datagram is the source IP address and the VPN owner private IP. An inbound datagram that includes a destination Internet Protocol (IP) address set in the address and has a destination IP address is transmitted.

本明細書において開示されている更なるいくつかの実施形態は、プロセッサによって実行された際に、MLSツインNATが、MSL VPNからインバウンドデータグラムを受信し、且つ、発信元IPアドレスからの新しいVPNオーナプライベートIPアドレスをインバウンドデータグラム内において記録するようにするロジックを含むMSLツインネットワークアドレストランスレータ(NAT)を含む。いくつかの実施形態においては、ロジックは、MSLツインNATが、インバウンドデータグラム及びクライアントワークステーション用の新しいUPIPアドレスを割り当て、且つ、クライアントワークステーションへのインバウンドデータグラムの送信を促進するようにしている。 In some further embodiments disclosed herein, when executed by a processor, the MLS Twin NAT receives an inbound datagram from an MSL VPN and a new VPN from the source IP address. Includes an MSL Twin Network Address Translator (NAT) that includes logic to record owner-private IP addresses within inbound datagrams. In some embodiments, the logic allows the MSL Twin NAT to allocate new UPIP addresses for inbound datagrams and client workstations and facilitate the transmission of inbound datagrams to client workstations. ..

本開示のその他の実施形態及び/又は利点については、以下の図面及び詳細な説明を検討することにより、当業者に明らかとなろう。このようなすべての更なるシステム、方法、特徴、及び利点は、本説明に含まれると共に本開示の範囲に含まれるものと解釈されたい。 Other embodiments and / or advantages of the present disclosure will become apparent to those skilled in the art by reviewing the drawings and detailed description below. All such additional systems, methods, features, and advantages are to be construed as included in this description and within the scope of this disclosure.

本開示の多くの態様については、以下の図面を参照することにより、更に十分に理解することができる。図面中のコンポーネントは、必ずしも、縮尺が正確ではなく、その代わりに、本開示の原理を明瞭に例示することに重点が置かれている。更には、添付図面においては、いくつかの図の全体を通じて、同一の参照符号により、対応する部分を表記している。いくつかの実施形態は、これらの図面との関連において記述されているが、本開示を本明細書において開示されている一つ又は複数の実施形態に限定する意図は、存在していない。逆に、意図するところは、すべての代替肢、変更、及び均等物が含まれるというものである。 Many aspects of the present disclosure can be further fully understood by reference to the drawings below. The components in the drawings are not necessarily scaled accurately and instead the emphasis is on clearly exemplifying the principles of the present disclosure. Furthermore, in the accompanying drawings, the corresponding parts are indicated by the same reference numerals throughout some of the drawings. Although some embodiments have been described in the context of these drawings, there is no intention to limit this disclosure to one or more embodiments disclosed herein. Conversely, the intent is to include all alternative limbs, modifications, and equivalents.

図1は、本明細書において開示されている実施形態によるクライアントワークステーション上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。FIG. 1 shows a computing environment that provides a composite secure link architecture on a client workstation according to an embodiment disclosed herein. 図2は、本明細書において開示されている実施形態によるMSLサーバ上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。FIG. 2 shows a computing environment that provides a composite secure link architecture on an MSL server according to an embodiment disclosed herein. 図3は、本明細書において開示されている実施形態によるMSLゲートウェイルータ上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。FIG. 3 shows a computing environment that provides a composite secure link architecture on an MSL gateway router according to an embodiment disclosed herein. 図4は、本明細書において開示されている実施形態によるクライアントワークステーション上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。FIG. 4 shows a computing environment that provides a composite secure link architecture on a client workstation according to an embodiment disclosed herein. 図5は、本明細書において開示されている実施形態によるMSLネットワーク運営センタ(NOC)上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。FIG. 5 shows a computing environment that provides a composite secure link architecture on the MSL Network Operations Center (NOC) according to the embodiments disclosed herein. 図6は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するためのログインマネージャ用のフローチャートを示す。FIG. 6 shows a flow chart for a login manager to provide a composite secure link architecture according to the embodiments disclosed herein. 図7は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するためのセッションマネージャ用のフローチャートを示す。FIG. 7 shows a flowchart for a session manager to provide a composite secure link architecture according to the embodiments disclosed herein. 図8A及び図8Bは、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するための複数のコンポーネント用のフローチャートを示す。8A and 8B show flowcharts for multiple components to provide a composite secure link architecture according to the embodiments disclosed herein. 図8A及び図8Bは、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するための複数のコンポーネント用のフローチャートを示す。8A and 8B show flowcharts for multiple components to provide a composite secure link architecture according to the embodiments disclosed herein. 図9は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するべく利用され得る演算装置を示す。FIG. 9 shows an arithmetic unit that can be utilized to provide a composite secure link architecture according to the embodiments disclosed herein.

本明細書において開示されている実施形態は、複合セキュアリンクアーキテクチャを提供するシステム及び/又は方法を含む。具体的には、それぞれのVPNオーナが、VPNオーナによって定義されたプライベートIPv4アドレス指定を伴うネットワーク領域を定義する。VPNオーナネットワーク領域は、オーバラップしたアドレスを有するものになると予想され、その理由は、すべてのVPNオーナが、自身のネットワーク定義として10.0.0.0/24を使用することができるからである。本明細書において開示されている実施形態は、パケットがMSLサービス内に存在している間に使用するための内部ネットワーク領域を定義している。MSLは、パケットがMSLサービスに進入するか又はこれから離脱するのに伴って、すべてのVPNオーナによって定義されたプライベートIPアドレスをMSLの一意のプライベートなIP(UPIP:Unique Private IP)領域アドレスに変換すると共にこの逆を実行するためのツインNAT機能を提供している。VPNオーナサーバには、それらのサーバが、処理済みのパケット内において発見されるのに伴って、MSL UPIP領域アドレスが動的に割り当てられる。 The embodiments disclosed herein include systems and / or methods that provide a composite secure link architecture. Specifically, each VPN owner defines a network area with a private IPv4 address designation defined by the VPN owner. The VPN owner network area is expected to have overlapping addresses because all VPN owners can use 10.0.0.0/24 as their network definition. is there. The embodiments disclosed herein define an internal network area for use while the packet is present within the MSL service. The MSL translates the private IP address defined by all VPN owners into the MSL's Unique Private IP (UPIP) region address as the packet enters or leaves the MSL service. It also provides a twin NAT function to do the opposite. The VPN owner server is dynamically assigned an MSL UPIP region address as they are found in the processed packet.

クライアントワークステーションが第一VPN接続をオープンする際には、クライアントワークステーション用のIPアドレスとして、クライアントワークステーションに割り当てられたVPNオーナプライベートIP又はクライアントワークステーション用のUPIPアドレスを使用することができる。第二の(又は、後の)VPNがオープンされるのに伴って、ワークステーションのIP用に以前に使用されているIPアドレスが、ワークステーション用のUPIPとして使用されてもよく、且つ、新しいUPIPが、第二VPNからサーバに割り当てられる。クライアントワークステーションのアプリケーションは、MSL UPIPによって通信する。MSL発信元及び宛先NATは、サーバがVPNオーナプライベートIPアドレスのみを観察するように、UPIPとVPNオーナプライベートIPとの間における変換を実行する。この結果、クライアントワークステーションは、異なるオーナゲートウェイ及び/又はVPNとの間における複数の独立的なVPN接続を同時に促進することができる。 When the client workstation opens the first VPN connection, the VPN owner private IP assigned to the client workstation or the UPIP address for the client workstation can be used as the IP address for the client workstation. With the opening of the second (or later) VPN, the IP address previously used for the workstation's IP may be used as the UPIP for the workstation and is new. UPIP is assigned to the server from the second VPN. Client workstation applications communicate via MSL UPIP. The MSL source and destination NAT performs a translation between the UPIP and the VPN owner private IP so that the server observes only the VPN owner private IP address. As a result, the client workstation can simultaneously facilitate multiple independent VPN connections between different owner gateways and / or VPNs.

IPv6環境においては、IPv4について先程の段落において説明したように、VPNオーナネットワークアドレスは、128ビットのUPIPとして生成され、且つ、IPv6において使用される。一意のローカルなIPv6ユニキャストアドレスは、一意となる非常に高い確率を有することから、MSLは、ワークステーション用のIPv6のUPIPを生成することが可能であり、且つ、VPNオーナゲートウェイの背後のノードについてプライベートIPv6アドレスを使用することができる。MSLは、それぞれの新しいIPv6のVPNが、既にオープンされたVPNの一意のローカルなIPv6ユニキャストアドレスを複製していないことを検証しなければならない。複製が見出された場合には、IPv4に関する先程の段落において説明したように、そのVPN内のノードのために、UPIPが生成されることになる。ローカルなIPv6アドレスは、疑似ランダムな方式で割り当てられたグローバルIDを使用して生成される。一実施形態は、以下の表1のフォーマットを有してもよい。 In an IPv6 environment, the VPN owner network address is generated as a 128-bit UPIP and is used in IPv6, as described for IPv4 in the previous paragraph. Since the unique local IPv6 unicast address has a very high probability of being unique, the MSL can generate an IPv6 UPIP for the workstation and the node behind the VPN owner gateway. A private IPv6 address can be used for. The MSL must verify that each new IPv6 VPN does not duplicate the unique local IPv6 unicast address of an already opened VPN. If a duplicate is found, an UPIP will be generated for the node in the VPN, as described in the previous paragraph on IPv4. The local IPv6 address is generated using a global ID assigned in a pseudo-random manner. One embodiment may have the format shown in Table 1 below.

Figure 0006894060
Figure 0006894060

次に添付図面を参照すれば、図1は、本明細書において開示されている実施形態によるクライアントワークステーション102上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、MSLアーキテクチャは、パブリックインターネットIPアドレス及びVPNオーナのプライベートIPアドレスの両方から隔離されたプライベートIP領域又はアドレス空間(MSLの一意のプライベートなIP領域)を生成する。 Next, with reference to the accompanying drawings, FIG. 1 shows a computing environment that provides a composite secure link architecture on a client workstation 102 according to an embodiment disclosed herein. As shown, the MSL architecture creates a private IP area or address space (MSL's unique private IP area) isolated from both the public internet IP address and the VPN owner's private IP address.

図示のように、図1のアーキテクチャは、クライアントワークステーション102と、第一VPN(VPN A 104a)と、第二VPN(VPN B 104b)と、を含む。クライアントワークステーション102は、ユーザアプリケーションA 108aと、ユーザアプリケーションB 108bと、を含んでもよい。ユーザアプリケーション108a、108bは、VPN A 104a及びVPN B 104bと通信するべく、利用されてもよい。又、クライアントワークステーション102には、MSL UPIP領域106を構成しているMSLツインNATコンポーネント110、MSL VPNユーザインタフェースコンポーネント114、及びMSL管理コンポーネント116も含まれている。又、クライアントワークステーション102には、MSL VPNコンポーネント112も含まれている。この構成は、ワイドエリア又はパブリックネットワーク118を介したVPN A 104a及び/又はVPN B 104bとの間におけるVPN通信を許容し得る。パブリックネットワーク118は、インターネット及び/又はその他のパブリックにアクセス可能なネットワークを含んでもよい。 As shown, the architecture of FIG. 1 includes a client workstation 102, a first VPN (VPN A 104a), and a second VPN (VPN B 104b). The client workstation 102 may include user application A 108a and user application B 108b. User applications 108a, 108b may be used to communicate with VPN A 104a and VPN B 104b. The client workstation 102 also includes the MSL twin NAT component 110, the MSL VPN user interface component 114, and the MSL management component 116 that make up the MSL UPIP area 106. The client workstation 102 also includes an MSL VPN component 112. This configuration may allow VPN communication with VPN A 104a and / or VPN B 104b over a wide area or public network 118. Public network 118 may include the Internet and / or other publicly accessible networks.

従って、クライアントワークステーション102は、複数のコンポーネントを含んでもよく、これらのコンポーネントは、MSLスタンドアロンクライアントソフトウェア内において含まれていてもよく、或いは、そうでなくてもよい。一例として、MSLスタンドアロンクライアントソフトウェアのコンポーネントは、MSL管理コンポーネント116を含んでいてもよく、MSL管理コンポーネント116は、クライアントワークステーション102のセッション情報を維持するためのセッションマネージャとして動作してもよい。セッションマネージャは、UPIPを割り当てると共にUPIP調整情報をMSLツインNATコンポーネント110に提供するように、構成されてもよい。又、同様に、これらのコンポーネントは、MSLユーザインタフェースコンポーネント114を含んでもよく、MSLユーザインタフェースコンポーネント114は、ユーザが、VPN接続を識別することが可能であり、VPN接続を削除することが可能であり、VPN接続をオープンすることが可能であり、或いは、オープン状態のVPN接続をシャットダウンすることができるように、一つ又は複数のユーザインタフェースを提供している。MSL VPNコンポーネント112は、オーナゲートウェイ120a、120b及び/又はVPN104a、104bを識別するために、オーナゲートウェイ120a、120bからの外部パケット上において発信元IPを提供するべく、利用されてもよい。MSLツインNATコンポーネント110からのパケットは、宛先ゲートウェイ/VPNを識別するための宛先パブリックIPを含んでもよい。又、MSLツインNATコンポーネント110も含まれており、これは、割り当てられたUPIPアドレスへの且つ/又はこれからのクリアテキストパケット内において発信元及び宛先IPアドレスの両方を変換している。インバウンドデータグラム(応答データグラムを含む)の場合には、MSLツインNATコンポーネント110は、オーナゲートウェイ120a、120bを識別するべく、MSL VPNコンポーネント112によって提供された発信元IPを使用している。アウトバウンドデータグラムの場合には、MSLツインNATコンポーネント110は、オーナゲートウェイ120a、120b及び/又はVPN104a、104bの宛先パブリックIPを識別するべく、発信元及び宛先UPIPを使用している。 Thus, the client workstation 102 may include a plurality of components, which may or may not be included within the MSL standalone client software. As an example, the components of the MSL stand-alone client software may include the MSL management component 116, which may act as a session manager for maintaining session information on the client workstation 102. The session manager may be configured to assign UPIP and provide UPIP adjustment information to the MSL Twin NAT component 110. Similarly, these components may include the MSL user interface component 114, which allows the user to identify the VPN connection and delete the VPN connection. Yes, it provides one or more user interfaces so that it is possible to open a VPN connection or shut down an open VPN connection. The MSL VPN component 112 may be utilized to provide a source IP on an external packet from the owner gateways 120a, 120b to identify the owner gateways 120a, 120b and / or the VPN 104a, 104b. Packets from the MSL Twin NAT component 110 may include a destination public IP to identify the destination gateway / VPN. Also included is the MSL Twin NAT Component 110, which translates both source and destination IP addresses to and / or in future cleartext packets to the assigned UPIP address. In the case of inbound datagrams (including response datagrams), the MSL Twin NAT component 110 uses the source IP provided by the MSL VPN component 112 to identify the owner gateways 120a, 120b. In the case of outbound datagrams, the MSL Twin NAT component 110 uses the source and destination UPIPs to identify the destination public IPs of the owner gateways 120a, 120b and / or VPN104a, 104b.

従って、クライアントワークステーション102内のコンポーネントにより、VPN A 104a及びVPN B 104b上の一つ又は複数の演算装置との間において、セキュア通信が実施されてもよい。VPN A 104aは、ローカルネットワーク122aを介して一つ又は複数の演算装置(リモート演算装置124aなど)に結合されたオーナゲートウェイ120aを含んでもよい。又、同様に、VPN B 104bも、ローカルネットワーク122bを介してリモート演算装置124bなどの一つ又は複数のリモート演算装置との間における通信を促進するオーナゲートウェイ120bを含んでもよい。 Therefore, secure communication may be performed by the components in the client workstation 102 between one or more arithmetic units on VPN A 104a and VPN B 104b. The VPN A 104a may include an owner gateway 120a coupled to one or more arithmetic units (such as a remote arithmetic unit 124a) via a local network 122a. Similarly, the VPN B 104b may also include an owner gateway 120b that facilitates communication with one or more remote arithmetic units such as the remote arithmetic unit 124b via the local network 122b.

複合セキュアリンクアーキテクチャは、すべてのユーザ組織のホスト(システム)が、MSLプライベートIP領域106内において一意のIPアドレスを有するように、MSL技術を使用してクライアントワークステーション102と通信するリモート演算装置124a、124bやサーバなどのようなそれぞれのホストごとに、一意のプライベートなIPアドレス(UPIP)を割り当てている。MSLアーキテクチャは、MSLプライベートIP領域106を管理するべく、ツインNAT機能を提供している。MSLツインNAT110は、複数のVPNオーナが同一のプライベートIPアドレスを有する際にも、ワークステーションが、すべてのVPNオーナホストについて一意のIPアドレスを有するように、VPNオーナによって割り当てられたプライベートIPアドレスと割り当てられたUPIPとの間における変換を実行している。 The composite secure link architecture uses MSL technology to communicate with the client workstation 102 so that the hosts (systems) of all user organizations have unique IP addresses within the MSL private IP area 106a. , 124b, a unique private IP address (UPIP) is assigned to each host such as a server. The MSL architecture provides a twin NAT function to manage the MSL private IP area 106. The MSL Twin NAT110 has a private IP address assigned by the VPN owner so that the workstation has a unique IP address for all VPN owner hosts, even when multiple VPN owners have the same private IP address. Performing a conversion to and from the assigned UPIP.

従って、ユーザアプリケーションA 108a及びユーザアプリケーションB 108bは、VPNオーナホストが、VPNオーナの内部のプライベートなIPアドレスのみを観察している一方で、UPIPを観察している。MSLツインNAT110は、ユーザアプリケーションA 108a及びユーザアプリケーションB 108bが、UPIPを観察し、且つ、VPNオーナのホストが、VPNオーナの内部のプライベートなIPアドレスのみを観察するように、VPNオーナによって割り当てられたIPアドレスとMSLアーキテクチャによって割り当てられたUPIPとの間における変換を実行するように調整されている。 Therefore, in user application A 108a and user application B 108b, the VPN owner host is observing the UPIP while observing only the private IP address inside the VPN owner. The MSL Twin NAT110 is assigned by the VPN owner so that user application A 108a and user application B 108b observe the UPIP and the VPN owner's host observes only the private IP address inside the VPN owner. It is tuned to perform a translation between the IP address and the UPIP assigned by the MSL architecture.

クライアントワークステーション102は、MSLユーザインタフェース及び管理機能を使用してVPN A 104aに接続している。MSL管理コンポーネント116は、リモート演算装置124aを含むVPN A 104aにUPIPを割り当てている。この結果、クライアントワークステーション102は、通常の方式により、VPN A 104aにアクセスすることができる。 The client workstation 102 connects to the VPN A 104a using the MSL user interface and management functions. The MSL management component 116 assigns UPIP to the VPN A 104a including the remote arithmetic unit 124a. As a result, the client workstation 102 can access the VPN A 104a by the usual method.

クライアントワークステーション102は、MSLユーザインタフェースコンポーネント114及びMSL管理コンポーネント116を使用してVPN B 104bに更に接続してもよい。MSL管理コンポーネント116は、リモート演算装置124bなどのVPN B 104b上のノードにUPIPを割り当てている。VPN A104aがUPIPをクライアントワークステーション102に既に割り当てていることから、MSL管理コンポーネント116は、VPN B 104bのIP用に同一のUPIP値を使用する。この結果、クライアントワークステーション102は、通常の方式で、ユーザアプリケーション108a、108bにより、VPN B 104b上のリモート演算装置124bなどの演算装置にアクセスすることができる。 The client workstation 102 may further connect to the VPN B 104b using the MSL user interface component 114 and the MSL management component 116. The MSL management component 116 assigns UPIP to a node on the VPN B 104b such as the remote arithmetic unit 124b. Since the VPN A 104a has already assigned the UPIP to the client workstation 102, the MSL management component 116 uses the same UPIP value for the IP of the VPN B 104b. As a result, the client workstation 102 can access the arithmetic unit such as the remote arithmetic unit 124b on the VPN B 104b by the user applications 108a and 108b in the usual manner.

以下の表2は、IPアドレス割当の一例を示している。IPは、割当の追跡を簡単にするべく選択されたものであり得ることに留意されたい。 Table 2 below shows an example of IP address allocation. Note that the IP may have been chosen to facilitate allocation tracking.

Figure 0006894060
Figure 0006894060

クライアントワークステーション102には、クライアントワークステーション102がVPN A 104aにログオンした際に生成されるUPIPが割り当てられる。クライアントワークステーション102がVPN B 104bにログオンした際には、VPN B 104bの背後の演算装置にUPIPが割り当てられるが、クライアントワークステーション102は、VPN A 104a用に生成されたワークステーションUPIPの使用を継続する。この結果、ユーザアプリケーション108a、108bは、MSL UPIP領域106内において動作することを理解されたい。 The client workstation 102 is assigned the UPIP generated when the client workstation 102 logs on to the VPN A 104a. When the client workstation 102 logs on to the VPN B 104b, the arithmetic unit behind the VPN B 104b is assigned an UPIP, but the client workstation 102 uses the workstation UPIP generated for the VPN A 104a. continue. As a result, it should be understood that the user applications 108a, 108b operate within the MSL UPIP region 106.

図2は、本明細書において開示されているMSLサーバ204上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、図2の実施形態は、クライアントワークステーション202と、MSLサーバ204と、VPN A 206aと、VPN B 206bと、を含む。クライアントワークステーション202は、ユーザアプリケーションA 210aと、ユーザアプリケーションB 210bと、商用の既成の(COTS:Commercial Off The Shelf)クリアテキストプロセスクライアント212と、第一MSL VPNコンポーネント214と、MSL VPNユーザインタフェースコンポーネント216と、第一MSL管理コンポーネント218と、を含んでもよい。これらのコンポーネントは、MSL UPIP領域208を構成してもよく、且つ、インターネットなどのパブリックネットワーク220を介してVPN A 206a及び/又はVPN B 206bとの間においてVPN通信を確立するように構成されていてもよい。 FIG. 2 shows a computing environment that provides a composite secure link architecture on the MSL server 204 disclosed herein. As shown, the embodiment of FIG. 2 includes a client workstation 202, an MSL server 204, a VPN A 206a, and a VPN B 206b. The client workstation 202 includes user application A 210a, user application B 210b, a commercial off-the-shelf (Commercial Off The Shelf) clear text process client 212, a first MSL VPN component 214, and an MSL VPN user interface component. 216 and a first MSL management component 218 may be included. These components may constitute the MSL UPIP region 208 and are configured to establish VPN communication with the VPN A 206a and / or the VPN B 206b via a public network 220 such as the Internet. You may.

この通信を促進するべく、MSLサーバ204は、こちらもMSL UPIP領域208の一部分であるCOTS VPNコンポーネント224、COTSクリアテキストプロセスコンポーネント226、MSLツインNATコンポーネント228、及び第二MSL管理コンポーネント230を含んでもよい。又、第二MSL VPNコンポーネント232が含まれてもよい。従って、これらのコンポーネントは、VPN A 206a及び/又はVPN B 206bからリモート状態にあってもよく、且つ、一つ又は複数のデータグラムをオーナゲートウェイ234a、234bに送信してもよく、オーナゲートウェイ234a、234bは、VPN A 206a及び/又はVPN B 206b上のリモート演算装置238a、238b及び/又はその他の演算装置にデータを送信すると共に/又は、これらからデータを受信するべく、ローカルネットワーク122a、122bに結合されている。 To facilitate this communication, the MSL server 204 may also include a COTS VPN component 224, a COTS cleartext process component 226, an MSL twin NAT component 228, and a second MSL management component 230, which are also part of the MSL UPIP region 208. Good. Also, a second MSL VPN component 232 may be included. Thus, these components may be in a remote state from VPN A 206a and / or VPN B 206b and may send one or more datagrams to Owner Gateway 234a, 234b, and Owner Gateway 234a. , 234b send data to and / or receive data from remote arithmetic units 238a, 238b and / or other arithmetic units on VPN A 206a and / or VPN B 206b, local networks 122a, 122b. It is bound to.

従って、図2の実施形態は、図2の実施形態が、クライアントワークステーション202からリモート状態にあるMSLサーバ204を利用していることを除いて、図1との関連において説明したものに類似した方式で動作してもよい。従って、この構成は、MSL UPIP領域208をMSLサーバ204に拡張しており、MSLサーバ204は、COTSクリアテキスト機能を複数の異なるクライアントワークステーションによって使用されているそれぞれのVPNに適用することができるように、加速などのCOTSクリアテキスト機能をホスティングすることができる。更には、パブリックネットワーク220上においてクライアントワークステーション202とMSLサーバ2044との間において移動するのに伴って、データを保護するべく、MSLサーバ204及びクライアントワークステーション202を接続するCOTS VPNコンポーネント224が提供されている。 Therefore, the embodiment of FIG. 2 is similar to that described in the context of FIG. 1 except that the embodiment of FIG. 2 utilizes the MSL server 204 in the remote state from the client workstation 202. It may operate by the method. Therefore, this configuration extends the MSL UPIP area 208 to the MSL server 204, which can apply the COTS cleartext function to each VPN used by a plurality of different client workstations. As such, COTS cleartext features such as acceleration can be hosted. Further provided by the COTS VPN component 224 connecting the MSL server 204 and the client workstation 202 to protect the data as it moves between the client workstation 202 and the MSL server 2044 on the public network 220. Has been done.

図3は、本明細書において開示されている実施形態によるMSLゲートウェイルータ304上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、図3の実施形態は、クライアントワークステーション302と、MSLゲートウェイルータ304と、VPN A 306aと、VPN B 306bと、を含む。クライアントワークステーション302は、MSL UPIP領域308の一部分を構成するユーザアプリケーションA 310a、ユーザアプリケーションB 310b、第一COTS VPNコンポーネント314、MSL VPNユーザインタフェースコンポーネント316、及びMSL管理コンポーネント318を含む。 FIG. 3 shows a computing environment that provides a composite secure link architecture on the MSL gateway router 304 according to the embodiments disclosed herein. As shown, the embodiment of FIG. 3 includes a client workstation 302, an MSL gateway router 304, a VPN A 306a, and a VPN B 306b. The client workstation 302 includes a user application A 310a, a user application B 310b, a first COTS VPN component 314, an MSL VPN user interface component 316, and an MSL management component 318 that form part of the MSL UPIP region 308.

従って、クライアントワークステーション302は、ローカル且つ/又はプライベートなネットワーク320を介してMSLゲートウェイルータ304と通信してもよい。MSLゲートウェイルータ304は、こちらもMSL UPIP領域308の一部分である第二COTS VPNコンポーネント322、MSLツインNATコンポーネント324、及びMSLサーバ管理コンポーネント326を含んでもよい。又、MSL VPN328が、MSLゲートウェイルータ304と共に含まれており、且つ、パブリックネットワーク330を介してVPN A 306a及び/又はVPN B 306bとの間における通信を促進してもよい。 Therefore, the client workstation 302 may communicate with the MSL gateway router 304 via a local and / or private network 320. The MSL gateway router 304 may include a second COTS VPN component 322, an MSL twin NAT component 324, and an MSL server management component 326, which are also part of the MSL UPIP region 308. Also, the MSL VPN 328 may be included with the MSL gateway router 304 and facilitate communication between the VPN A 306a and / or the VPN B 306b via the public network 330.

その他のVPNとの関連において上述したように、VPN A 306aは、プライベートネットワーク334aに結合されたオーナゲートウェイ332aを含む。プライベートネットワーク334aは、リモート演算装置336aなどの一つ又は複数の演算装置に結合されていてもよい。同様に、VPN B 306bも、プライベートネットワーク334bに結合されたオーナゲートウェイ332aを含む。プライベートネットワーク334bは、リモート演算装置336bなどの一つ又は複数の演算装置に結合されていてもよい。 As mentioned above in the context of other VPNs, the VPN A 306a includes an owner gateway 332a coupled to the private network 334a. The private network 334a may be coupled to one or more arithmetic units such as the remote arithmetic unit 336a. Similarly, the VPN B 306b also includes an owner gateway 332a coupled to the private network 334b. The private network 334b may be coupled to one or more arithmetic units such as the remote arithmetic unit 336b.

従って、図3の実施形態は、MSL UPIP領域308を複数のクライアントワークステーションをサポートするMSLゲートウェイルータ304に拡張している。このような構成は、経済的であってもよく、この場合には、単一のコンポーネントが、複数のクライアントワークステーション(学校ネットワークやビジネスネットワークなどにおけるものなど)用に利用されてもよい。更には、プライベートネットワーク320上においてワークステーションとMSLルータとの間において移動するのに伴って、データを保護するべく、COTS VPNコンポーネント332がクライアントワークステーション302に結合されている。 Therefore, the embodiment of FIG. 3 extends the MSL UPIP region 308 to an MSL gateway router 304 that supports a plurality of client workstations. Such a configuration may be economical, in which case a single component may be utilized for multiple client workstations (such as those in school networks, business networks, etc.). Furthermore, as it travels between the workstation and the MSL router on the private network 320, the COTS VPN component 332 is coupled to the client workstation 302 to protect the data.

又、ユーザアプリケーション310は、完全に独立的に動作する複数の別個のアプリケーションであってもよいが、これは、一つの実施形態に過ぎないことを理解されたい。具体的には、いくつかの実施形態は、共通ブラウザアプリケーションが、異なるタブ又はページを表示することにより、アプリケーションA 310a及びアプリケーションB 310bの両方にサービスし得るように、構成されている。 Also, it should be understood that the user application 310 may be a plurality of separate applications that operate completely independently, but this is only one embodiment. Specifically, some embodiments are configured such that a common browser application can serve both application A 310a and application B 310b by displaying different tabs or pages.

図4は、本明細書において開示されている実施形態によるクライアントワークステーション402上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、図4の実施形態は、クライアントワークステーション402と、MSLアプライアンス404と、MSLサーバ406と、VPN A 408aと、VPN B 408bと、を含む。クライアントワークステーション402は、MSL UPIP領域410の一部分を構成するユーザアプリケーションA 412a、ユーザアプリケーションB 412b、第一COTS VPNコンポーネント414、並びに、MSL VPNユーザインタフェースコンポーネント418を含んでもよい。更には、クライアントワークステーション402は、プライベートネットワーク416上において、暗号化されたトンネルを介して、且つ/又は、暗号化された形態において、MSLアプライアンス404に結合されていてもよい。 FIG. 4 shows a computing environment that provides a composite secure link architecture on a client workstation 402 according to an embodiment disclosed herein. As shown, the embodiment of FIG. 4 includes a client workstation 402, an MSL appliance 404, an MSL server 406, a VPN A 408a, and a VPN B 408b. The client workstation 402 may include a user application A 412a, a user application B 412b, a first COTS VPN component 414, and an MSL VPN user interface component 418 that form part of the MSL UPIP region 410. Further, the client workstation 402 may be coupled to the MSL appliance 404 over a private network 416 via an encrypted tunnel and / or in an encrypted form.

MSLアプライアンス404は、こちらもMSL UPIP領域410の一部分である第二COTS VPNコンポーネント422、第一COTSクリアテキストプロセスクライアント424、第三COTS VPNコンポーネント426、及び第一MSLサーバ管理コンポーネント430を含んでもよい。MSLアプライアンス404は、MSLサーバ406を介したVPN 408a、408bとの間における通信のためにパブリックネットワーク428に結合されていてもよい。 The MSL appliance 404 may include a second COTS VPN component 422, a first COTS cleartext process client 424, a third COTS VPN component 426, and a first MSL server management component 430, which are also part of the MSL UPIP region 410. .. The MSL appliance 404 may be coupled to the public network 428 for communication with the VPNs 408a, 408b via the MSL server 406.

又、パブリックネットワーク428には、MSLサーバ406も結合されている。MSLサーバ406は、こちらもMSL UPIP領域410の一部分である第四COTS VPNコンポーネント432、COTSクリアテキストプロセス434、及び第二MSLサーバ管理コンポーネント438を含む。又、MSL VPNコンポーネント439も、MSLサーバ406の一部分であり、且つ、パブリックネットワーク428に結合されている。 The MSL server 406 is also coupled to the public network 428. The MSL server 406 includes a fourth COTS VPN component 432, a COTS cleartext process 434, and a second MSL server management component 438, which are also part of the MSL UPIP region 410. The MSL VPN component 439 is also part of the MSL server 406 and is coupled to the public network 428.

又、パブリックネットワーク428には、VPN A 408a及びVPN B 408bも結合されている。VPN A 408aは、オーナゲートウェイ440aと、プライベートネットワーク442aと、リモート演算装置444aなどの一つ又は複数の演算装置と、を含む。VPN B 408bは、オーナゲートウェイ440bと、プライベートネットワーク442bと、リモート演算装置444bなどの一つ又は複数の演算装置と、を含む。 VPN A 408a and VPN B 408b are also coupled to the public network 428. The VPN A 408a includes an owner gateway 440a, a private network 442a, and one or more arithmetic units such as a remote arithmetic unit 444a. The VPN B 408b includes an owner gateway 440b, a private network 442b, and one or more arithmetic units such as a remote arithmetic unit 444b.

従って、図4の実施形態は、複数の異なるクライアントワークステーション(図3に類似している)をサポートしているがMSLサーバ406をも利用しているMSLアプライアンス404にMSL UPIP領域410を拡張する実装形態を提供している。いくつかの実施形態においては、MSLアプライアンス404は、小規模オフィスをサポートするゲートウェイルータ内において実装されてもよいことを理解されたい。更には、パブリックネットワーク428上においてMSLアプライアンス404とMSLサーバ406との間において移動するのに伴って、データを保護するべく、第三COTS VPNコンポーネント426及び第四COTS VPNコンポーネント432が、MSLサーバ406とMSLアプライアンス404との間において結合されている。プライベートネットワーク416上においてクライアントワークステーション402とMSLアプライアンス404との間において移動するのに伴って、データを保護するべく、第一COTS VPNコンポーネント414及び第二COTS VPNコンポーネント422が、MSLアプライアンス404とクライアントワークステーション402との間において提供されている。 Accordingly, the embodiment of FIG. 4 extends the MSL UPIP region 410 to an MSL appliance 404 that supports a plurality of different client workstations (similar to FIG. 3) but also utilizes the MSL server 406. It provides an implementation form. It should be understood that in some embodiments, the MSL appliance 404 may be implemented within a gateway router that supports a small office. Furthermore, as the MSL appliance 404 and the MSL server 406 move on the public network 428, the third COTS VPN component 426 and the fourth COTS VPN component 432 move to the MSL server 406 to protect the data. And the MSL appliance 404. As the client workstation 402 and the MSL appliance 404 move on the private network 416, the first COTS VPN component 414 and the second COTS VPN component 422 move between the MSL appliance 404 and the client to protect the data. It is provided with workstation 402.

図5は、本明細書に開示されている実施形態によるMSLネットワーク運営センタ(NOC:Network Operations Center)504上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、図5の実施形態は、クライアントワークステーション502と、MSLネットワーク運営センタ(NOC)504と、VPN A 506aと、VPN B 506bと、を含む。COTSコンポーネントは、COTS VPNと、COTSクリアテキストプロセスと、を含む。 FIG. 5 shows a computing environment that provides a composite secure link architecture on MSL Network Operations Center (NOC) 504 according to the embodiments disclosed herein. As shown, the embodiment of FIG. 5 includes a client workstation 502, an MSL network operating center (NOC) 504, a VPN A 506a, and a VPN B 506b. The COTS component includes a COTS VPN and a COTS cleartext process.

クライアントワークステーション502は、ユーザアプリケーションA 510aと、ユーザアプリケーションB 510bと、を含む。又、クライアントワークステーション502内には、MSLクライアントロジックの一部として、COTSクリアテキストプロセスクライアント512、COTS VPNクライアント514、MSL VPNユーザインタフェースコンポーネント516、及びMSL管理コンポーネント518も含まれている。これらのコンポーネントは、MSLプライベートIP領域508の一部分を構成している。 Client workstation 502 includes user application A 510a and user application B 510b. The client workstation 502 also includes a COTS clear text process client 512, a COTS VPN client 514, an MSL VPN user interface component 516, and an MSL management component 518 as part of the MSL client logic. These components form part of the MSL private IP area 508.

クライアントワークステーション502をMSL NOC 504と結合しているのは、パブリックネットワーク520である。従って、MSL NOC 504は、こちらもMSLプライベートIP領域508の一部分であるCOTS VPNコンポーネント524、COTSクリアテキストプロセスコンポーネント526、MSLツインNATコンポーネント528、ログインマネージャコンポーネント529、及びセッションマネージャコンポーネント530を含む。又、MSL VPNコンポーネント531も、MSL NOC 504の一部分である。COTSクリアテキストプロセスコンポーネント526は、ネットワーク加速製品として実装されてもよく、且つ、ユーザ顧客用のサービスを提供するべく、クリアテキストパケットに対して動作する変更されていない機能として実装されてもよい。 It is the public network 520 that connects the client workstation 502 to the MSL NOC 504. Thus, the MSL NOC 504 includes a COTS VPN component 524, a COTS cleartext process component 526, an MSL twin NAT component 528, a login manager component 529, and a session manager component 530, which are also part of the MSL private IP region 508. The MSL VPN component 531 is also part of the MSL NOC 504. The COTS cleartext process component 526 may be implemented as a network acceleration product and may be implemented as an unmodified feature operating on cleartext packets to provide services for user customers.

更には、いくつかの実施形態は、セッションマネージャコンポーネント530と通信すると共にクライアントワークステーション502用のセッション情報を維持するクライアントワークステーション502上のクライアントセッションマネージャを含む。VPN A 506a及びVPN B 506bは、オーナゲートウェイ532a、532bと、プライベートネットワーク534a、534bと、リモート演算装置536a、536bと、を含む。セッションマネージャコンポーネント530は、サービスにログインするそれぞれのクライアントワークステーションごとにセッション情報を維持するように構成されてもよい。セッションマネージャコンポーネント530は、UPIP調整情報をMSLツインNATコンポーネント528に提供してもよく、且つ、それぞれのオーナゲートウェイ532a、532bごとに、割り当てられたUPIPにより、クライアントセッションマネージャを更新してもよい。又、セッションマネージャは、オーナゲートウェイ532a、532b及び/又はVPN506a、506bのUPIPとパブリックIPとの間の関係を維持するように構成されてもよい。ログインマネージャコンポーネント529は、サービスに対するクライアントアクセスを検証すると共にVPNトンネルを確立するべく、クライアントログインマネージャ(MSL管理コンポーネント518の一部分であってもよい)からのログイン要求を処理するように構成されてもよい。 Further, some embodiments include a client session manager on the client workstation 502 that communicates with the session manager component 530 and maintains session information for the client workstation 502. The VPN A 506a and VPN B 506b include an owner gateway 532a, 532b, a private network 534a, 534b, and a remote arithmetic unit 536a, 536b. The session manager component 530 may be configured to maintain session information for each client workstation that logs in to the service. The session manager component 530 may provide UPIP adjustment information to the MSL twin NAT component 528, and may update the client session manager by the UPIP assigned to each owner gateway 532a and 532b. The session manager may also be configured to maintain the relationship between the UPIP and the public IP of the owner gateways 532a, 532b and / or VPN506a, 506b. The login manager component 529 may be configured to handle login requests from the client login manager (which may be part of the MSL management component 518) in order to verify client access to the service and establish a VPN tunnel. Good.

上述のように、MSL VPNコンポーネント531は、発信元ゲートウェイ及び/又はVPNを識別するべく、オーナゲートウェイ532a、532bからの外部パケット上において発信元IPを提供するように利用されてもよい。対照的に、MSLツインNATコンポーネント528からのアウトバウンドデータグラムは、宛先ゲートウェイ及び/又はVPNを識別するべく、宛先パブリックIPを含む。MSL VPNユーザインタフェースコンポーネント516は、クライアントワークステーション502用のスタートアッププロセスを管理している。MSL VPNユーザインタフェースコンポーネント516は、クライアントライセンスを検証すると共にMSL NOC 504に対するVPNを確立するべく、ログインマネージャと通信している。更には、MSL VPNユーザインタフェースコンポーネント516は、クライアントワークステーション502によって要求されたVPN接続のそれぞれをスタートアップ及びシャットダウンするべく、セッションマネージャコンポーネント530を使用するように構成されてもよい。 As mentioned above, the MSL VPN component 531 may be used to provide a source IP on an external packet from the owner gateways 532a and 532b to identify the source gateway and / or VPN. In contrast, the outbound datagram from the MSL Twin NAT component 528 includes a destination public IP to identify the destination gateway and / or VPN. The MSL VPN user interface component 516 manages the startup process for client workstation 502. The MSL VPN user interface component 516 communicates with the login manager to validate the client license and establish a VPN for the MSL NOC 504. Further, the MSL VPN user interface component 516 may be configured to use the session manager component 530 to start up and shut down each of the VPN connections requested by the client workstation 502.

同様に、MSLツインNATコンポーネント528は、割り当てられたUPIPアドレスへの且つ/又はこれからのクリアテキストパケット内において発信元及び宛先IPアドレスの両方の変換を実行するように構成されてもよい。インバウンドパケットの場合には、MSLツインNATコンポーネント528は、VPNオーナを識別するべく、MSL VPNコンポーネント531によって提供された発信元IPを使用している。アウトバウンドパケットの場合には、MSLツインNATコンポーネント528は、宛先ゲートウェイ及び/又はVPNの宛先パブリックIPを識別するべく、発信元及び宛先UPIPを利用している。MSLツインNATコンポーネント528とMSL VPNコンポーネント531との間のリンク上においては、パケットは、パブリック発信元及び宛先IPを含むプライベートMSLアーキテクチャによって定義されたIPプロトコルにおいてラッピングされてもよいことを理解されたい。又、本明細書において記述されている実施形態は、顧客によって割り当てられたプライベートIPアドレスとオーバラップしたUPIPを割り当ててもよいことを理解されたい。これにより、ルーティングの問題は、発生せず、その理由は、割り当てられたアドレスが、MSLプライベートIP領域508内において一意であり、且つ、セッションマネージャコンポーネント530により、オーナゲートウェイ532a、532bのパブリックIPに対してマッピングされるからである。理解されるように、本明細書において記述されている実施形態は、VPNオーナのネットワーク内における変更が不要となるように、構成されてもよい。 Similarly, the MSL Twin NAT Component 528 may be configured to perform both source and destination IP address translations to and / or in future cleartext packets to and / or to the assigned UPIP address. In the case of inbound packets, the MSL Twin NAT component 528 uses the source IP provided by the MSL VPN component 531 to identify the VPN owner. In the case of outbound packets, the MSL Twin NAT component 528 utilizes the source and destination UPIPs to identify the destination public IP of the destination gateway and / or VPN. It should be understood that on the link between the MSL Twin NAT component 528 and the MSL VPN component 531 packets may be wrapped in the IP protocol defined by the private MSL architecture, including public source and destination IPs. .. Also, it should be understood that the embodiments described herein may be assigned an UPIP that overlaps with a private IP address assigned by the customer. As a result, no routing problem occurs, because the assigned address is unique within the MSL private IP area 508, and the session manager component 530 makes the public IP of the owner gateways 532a and 532b. This is because it is mapped to. As will be appreciated, the embodiments described herein may be configured such that no changes are required within the VPN owner's network.

上述のいくつかの実施形態においては、単一のワークステーションが示されていることを理解されたい。このような実施形態は、一つのワークステーションをサポートしてもよいが、上述の実施形態のそれぞれは、特定の構成に応じて、複数のワークステーションを収容するように構成されてもよい。 It should be understood that in some of the embodiments described above, a single workstation is shown. Such embodiments may support one workstation, but each of the above embodiments may be configured to accommodate multiple workstations, depending on the particular configuration.

図6は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するためのログインマネージャ用のフローチャートを示している。ブロック652において示されているように、ログインマネージャは、システムにアクセスするためのライセンスIDを検証してもよい。ブロック654において、顧客が、サービスについて識別されてもよい。ブロック656において、ユーザを追跡するためのセッションを生成するべく、セッションマネージャが利用されてもよい。ブロック658において、クライアントワークステーションに対するVPNトンネルを生成すると共に、ライセンスID用のUPIPをクライアントワークステーションに割り当てるべく、COTS VPNコンポーネントが利用されてもよい。ブロック660において、ライセンスに割り当てられた顧客プライベートIPマッピングに対するUPIPにより、クライアントワークステーション上のクライアントセッションマネージャが更新されてもよい。ブロック662において、クライアントゲートウェイに対するVPNトンネルを生成するべく、MSL VPNが利用されてもよい。ブロック664において、システムが、要求されたサービスを提供するための準備が完了した状態にあることを通知するクライアントワークステーションに対するメッセージが提供されてもよい。 FIG. 6 shows a flow chart for a login manager to provide a composite secure link architecture according to the embodiments disclosed herein. As shown in block 652, the login manager may validate the license ID to access the system. At block 654, the customer may be identified for the service. At block 656, a session manager may be utilized to generate a session for tracking users. At block 658, the COTS VPN component may be utilized to create a VPN tunnel for the client workstation and to assign the UPIP for the license ID to the client workstation. At block 660, the client session manager on the client workstation may be updated with an UPIP to the customer private IP mapping assigned to the license. At block 662, MSL VPN may be used to create a VPN tunnel for the client gateway. At block 664, a message may be provided to the client workstation informing that the system is ready to provide the requested service.

図7は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するためのセッションマネージャ用のフローチャートを示している。ブロック752において示されているように、クライアントワークステーション上のクライアントセッションマネージャが、ライセンスに対して割り当てられたUPIPにより、更新されてもよい。ブロック754において、クライアントゲートウェイに対するVPNトンネルを生成するべく、MSLVPNコンポーネントが利用されてもよい。ブロック756において、クライアントゲートウェイにログインするユーザのエミュレーションが実行されてもよい。ブロック758において、ユーザがログイン証明書を入力するように、顧客VPNログインページが、ユーザインタフェースに送り返されてもよい。ブロック760において、クライアントセッションマネージャが、ログイン結果により、更新されてもよい。ブロック762において、MSLツインNATコンポーネントが、オーナゲートウェイ用のUPIPにより、更新されてもよい。 FIG. 7 shows a flowchart for a session manager to provide a composite secure link architecture according to the embodiments disclosed herein. As shown in block 752, the client session manager on the client workstation may be updated with the UPIP assigned to the license. At block 754, the MSLVPN component may be utilized to create a VPN tunnel for the client gateway. At block 756, emulation of the user logging in to the client gateway may be performed. At block 758, the customer VPN login page may be sent back to the user interface so that the user enters a login certificate. At block 760, the client session manager may be updated with the login result. At block 762, the MSL twin NAT component may be updated by the UPIP for the owner gateway.

図8A、図8Bは、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するための複数のコンポーネント用のフローチャートを示している。図8Aのブロック850において示されているように、ユーザアプリケーションが、ユーザ入力に基づいて要求データグラムを生成してもよい。ブロック852においては、COTSプロセスクライアントが、データグラムを処理している。ブロック854において、COTS VPNクライアント及びCOTS VPNが、データグラムをMSL NOCに転送している。ブロック856において、COTSクリアテキストプロセスが、データグラムを処理し、且つ、VPNオーナサーバ用の新しいデータグラムを生成している。ブロック858において、MSLツインNATが、データグラム内のUPIPアドレスを顧客によって定義されたプライベートなIPアドレスにマッピングしている。ブロック860において、MSL VPNが、新しいデータグラムを暗号化してもよく、且つ、次いで、新しいデータグラムをオーナゲートウェイに転送している。ブロック862において、オーナゲートウェイが、新しいデータグラムを暗号解読し、且つ、処理のために新しいデータグラムをVPNオーナリモート演算装置に転送している。ブロック864において、VPNオーナリモート演算装置が、要求元クライアントワークステーション用のVPNオーナプライベートIPに設定された宛先IPアドレスを有する応答データグラムを生成している。ブロック866において、VPNオーナゲートウェイが、応答データグラムを暗号化し、且つ、応答データグラムをMSL VPNコンポーネントに転送している。ブロック868において、MSL VPNは、応答データグラムを暗号解読し、且つ、オリジナルの発信元IPアドレスを有する応答データグラムをMSLツインNATに転送している。 8A, 8B show flowcharts for a plurality of components to provide a composite secure link architecture according to the embodiments disclosed herein. As shown in block 850 of FIG. 8A, the user application may generate a request datagram based on user input. At block 852, the COTS process client is processing the datagram. At block 854, the COTS VPN client and COTS VPN are transferring datagrams to the MSL NOC. At block 856, the COTS cleartext process is processing the datagram and generating a new datagram for the VPN owner server. At block 858, MSL Twin NAT maps the UPIP address in the datagram to a private IP address defined by the customer. At block 860, the MSL VPN may encrypt the new datagram and then forward the new datagram to the owner gateway. At block 862, the owner gateway decrypts the new datagram and transfers the new datagram to the VPN owner remote arithmetic unit for processing. At block 864, the VPN owner remote arithmetic unit is generating a response datagram with a destination IP address set to the VPN owner private IP for the requesting client workstation. At block 866, the VPN owner gateway encrypts the response datagram and transfers the response datagram to the MSL VPN component. At block 868, the MSL VPN decrypts the response datagram and transfers the response datagram with the original source IP address to the MSL Twin NAT.

図8Bのブロック870に継続すると、MSLツインNATが、応答データグラム内のVPNオーナによって定義されたプライベートなIPアドレスをUPIPアドレスにマッピングしている。ブロック872において、MSLツインNATが、発信元IPからの新しいVPNオーナプライベートIPをセッションマネージャにおいて暗号解読済みの応答データグラム内において記録し、且つ、新しいUPIPを割り当てている。ブロック874において、MSLツインNATが、応答データグラムをCOTSクリアテキストプロセスコンポーネントに転送している。ブロック876において、COTSクリアテキストプロセスコンポーネントが、応答データグラムを処理し、且つ、ユーザアプリケーション用の新しい応答データグラムを生成している。ブロック878において、COTS VPN及びCOTS VPNクライアントが、新しい応答データグラムをクライアントワークステーションに転送している。ブロック880において、COTSプロセスクライアントが、新しい応答データグラムを処理している。ブロック882において、ユーザアプリケーションが、新しい応答データグラム内の結果をユーザに提示している。 Continuing with block 870 in FIG. 8B, the MSL Twin NAT maps the private IP address defined by the VPN owner in the response datagram to the UPIP address. At block 872, the MSL Twin NAT records a new VPN owner private IP from the source IP in the decrypted response datagram in the session manager and assigns a new UPIP. At block 874, the MSL Twin NAT is transferring the response datagram to the COTS cleartext process component. At block 876, the COTS cleartext process component is processing the response datagram and generating a new response datagram for the user application. At block 878, the COTS VPN and COTS VPN clients are transferring new response datagrams to the client workstation. At block 880, the COTS process client is processing a new response datagram. At block 882, the user application presents the result in the new response datagram to the user.

図9は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するべく利用され得る演算装置を示している。図示の実施形態においては、MSLサーバ204は、一つ又は複数のプロセッサ930と、入出力ハードウェア932と、ネットワークインタフェースハードウェア934と、データストレージコンポーネント936(ログインデータ938a及びセッションデータ938bを保存している)と、メモリコンポーネント940と、を含む。メモリコンポーネント940は、揮発性及び/又は不揮発性メモリとして構成されてもよく、且つ、従って、ランダムアクセスメモリ(SRAM、DRAM、及び/又はその他のタイプのRAMを含む)、フラッシュメモリ、レジスタ、コンパクトディスク(CD:Compact Disk)、デジタルバーサタイルディスク(DVD:Digital Versatile Disk)、及び/又はその他のタイプの一時的ではないコンピュータ可読媒体を含んでもよい。特定の実施形態に応じて、一時的ではないコンピュータ可読媒体は、MSLサーバ204内において、且つ/又は、MSLサーバ204の外部において、存在してもよい。 FIG. 9 shows an arithmetic unit that can be utilized to provide a composite secure link architecture according to the embodiments disclosed herein. In the illustrated embodiment, the MSL server 204 stores one or more processors 930, input / output hardware 932, network interface hardware 934, and data storage component 936 (login data 938a and session data 938b). ) And the memory component 940. The memory component 940 may be configured as a volatile and / or non-volatile memory and therefore includes random access memory (including SRAM, DVD, and / or other types of RAM), flash memory, registers, compact. It may include compact discs (CDs), digital versatile discs (DVDs), and / or other types of non-temporary computer-readable media. Depending on the particular embodiment, the non-transitory computer-readable medium may be present within the MSL server 204 and / or outside the MSL server 204.

更には、メモリコンポーネント940は、動作ロジック942、MSL VPNロジック944a、MSLツインNATロジック944b、並びに、上述のものなどのその他のロジックを保存するように構成されてもよく、これらのロジックのそれぞれは、一例として、コンピュータプログラム、ファームウェア、及び/又はハードウェアとして実施されてもよい。又、図9には、ローカル通信インタフェース946も含まれており、これは、MSLサーバ204のコンポーネントの間における通信を促進するべく、バス又はその他のインタフェースとして実装されてもよい。 Further, the memory component 940 may be configured to store the operating logic 942, the MSL VPN logic 944a, the MSL twin NAT logic 944b, and other logic such as those described above, each of these logics. , As an example, may be implemented as a computer program, firmware, and / or hardware. FIG. 9 also includes a local communication interface 946, which may be implemented as a bus or other interface to facilitate communication between the components of the MSL server 204.

プロセッサ930は、命令(データストレージコンポーネント936及び/又はメモリコンポーネント940からのものなど)を受信及び実行するべく動作可能な任意の処理コンポーネントを含んでもよい。入出力ハードウェア932は、データの受信、送信、及び/又は提示のために、モニタ、キーボード、マウス、プリンタ、カメラ、マイクロフォン、スピーカ、及び/又はその他の装置を含んでもよく、且つ/又は、これらとインタフェースするように構成されてもよい。ネットワークインタフェースハードウェア934は、任意の有線又は無線ネットワーキングハードウェア、衛星、アンテナ、モデム、LANポート、Wi−Fi(Wireless Fidelity)カード、Wimaxカード、モバイル通信ハードウェア、ファイバ、並びに/或いは、その他のネットワーク及び/又は装置との間の通信用のハードウェアを含んでもよく、且つ/又は、これらと通信するように構成されてもよい。この接続から、上述のように、MSLサーバ204とその他の演算装置との間における通信が促進されてもよい。 Processor 930 may include any processing component capable of operating to receive and execute instructions (such as those from data storage component 936 and / or memory component 940). The input / output hardware 932 may include a monitor, keyboard, mouse, printer, camera, microphone, speaker, and / or other device for receiving, transmitting, and / or presenting data, and / or. They may be configured to interface with them. Network interface hardware 934 includes any wired or wireless networking hardware, satellites, antennas, modems, LAN ports, Wi-Fi (Wireless Fidelity) cards, Wimax cards, mobile communication hardware, fibers, and / or other. Hardware for communication with and / or devices may be included and / or configured to communicate with them. This connection may facilitate communication between the MSL server 204 and other arithmetic units, as described above.

同様に、データストレージコンポーネント936も、MSLサーバに対してローカル状態において且つ/又はリモート状態において、存在してもよく、且つ、MSLサーバ204及び/又はその他のコンポーネントによるアクセスのための一つ又は複数のデータ片を保存するように構成されてもよいことを理解されたい。いくつかの実施形態においては、データストレージコンポーネント936は、MSLサーバ204からはリモート状態において配置されてもよく、且つ、従って、ネットワーク接続を介してアクセス可能であってもよい。但し、いくつかの実施形態においては、データストレージコンポーネント936は、MSLサーバ204の外部に位置した単なる周辺装置であってもよい。 Similarly, the data storage component 936 may also be present locally and / or remotely to the MSL server and one or more for access by the MSL server 204 and / or other components. It should be understood that it may be configured to store a piece of data in. In some embodiments, the data storage component 936 may be located remotely from the MSL server 204 and may therefore be accessible via a network connection. However, in some embodiments, the data storage component 936 may be just a peripheral located outside the MSL server 204.

メモリコンポーネント940内には、動作ロジック942と、MSL VPNロジック944aと、MSLツインNATロジック944bと、その他のロジック944cと、が含まれている。動作ロジック942は、オペレーティングシステム及び/又はMSLサーバ204のコンポーネントを管理するその他のソフトウェアを含んでもよい。同様に、MSL VPNロジック944aも、上述のMSL VPN機能を実行するロジックを含んでもよい。MSLツインNATロジック944bは、上述のMSLツインNAT機能を実行するロジックを含んでもよい。その他のロジック944cは、本明細書においては、上述のその他のロジック及び機能を表すべく、含まれている。 The memory component 940 includes an operation logic 942, an MSL VPN logic 944a, an MSL twin NAT logic 944b, and other logic 944c. The operating logic 942 may include other software that manages the operating system and / or the components of the MSL server 204. Similarly, the MSL VPN logic 944a may also include logic that performs the MSL VPN function described above. The MSL twin NAT logic 944b may include logic that executes the above-mentioned MSL twin NAT function. Other logic 944c is included herein to represent the other logic and functions described above.

図9に示されているコンポーネントは、例示を目的としたものに過ぎず、且つ、本開示の範囲の限定を意図したものではないことを理解されたい。図9のコンポーネントは、MSLサーバ204内において存在するものとして示されているが、これは、例に過ぎない。いくつかの実施形態においては、コンポーネントのうちの一つ又は複数は、MSLサーバ204の外部に存在してもよい。又、図9には、MSLサーバ204が示されているが、図1〜図6又はその他の図面において示されているその他の演算装置が、記述されている機能を提供する類似のハードウェア及びソフトウェアを含んでもよいことを理解されたい。一例として、クライアントワークステーション102、202、302、402、及び/又は502が、上述のハードウェア及びソフトウェアのうちのいくつか又はすべてを含んでもよい。従って、適用可能な範囲において、図1〜図6に示されているコンポーネントは、そのいくつかが図9に示されている不可欠なハードウェアを含む演算装置内において実行されるロジック及び/又はソフトウェアとして実施されてもよい。 It should be understood that the components shown in FIG. 9 are for illustrative purposes only and are not intended to limit the scope of this disclosure. The component of FIG. 9 is shown as being present within the MSL server 204, but this is only an example. In some embodiments, one or more of the components may reside outside the MSL server 204. Also, FIG. 9 shows the MSL server 204, but similar hardware and similar hardware and other arithmetic units shown in FIGS. 1-6 or other drawings provide the described functionality. Please understand that it may include software. As an example, client workstations 102, 202, 302, 402, and / or 502 may include some or all of the hardware and software described above. Thus, to the extent applicable, the components shown in FIGS. 1-6 are logic and / or software in which some of them are executed within the arithmetic unit, including the essential hardware shown in FIG. It may be carried out as.

本明細書において含まれているフローチャートは、ソフトウェアの可能な実装形態のアーキテクチャ、機能、及び動作を示していることに留意されたい。この観点において、それぞれのブロックは、一つ又は複数の規定された論理的機能を実装する一つ又は複数の実行可能な命令を有するコードのモジュール、セグメント、又は一部分を表すものと解釈することができる。又、いくつかの代替実装形態においては、ブロック内において示されている機能は、別の順序で実行されてもよく、且つ/又は、まったく実行されなくてもよいことに留意されたい。例えば、関係する機能に応じて、連続的に示されている二つのブロックは、実際には、実質的に同時に実行されてもよく、或いは、これらのブロックは、しばしば、逆の順序で実行されてもよい。 It should be noted that the flowcharts included herein show the architecture, functionality, and behavior of possible implementations of the software. In this regard, each block can be interpreted as representing a module, segment, or portion of code that has one or more executable instructions that implement one or more defined logical functions. it can. Also note that in some alternative implementations, the functions shown within the block may or may not be performed in a different order. For example, depending on the function involved, the two blocks shown in succession may actually be executed at substantially the same time, or these blocks are often executed in reverse order. You may.

上述の実施形態は、本開示の原理の明瞭な理解のためにのみ記述された実装形態の可能な例に過ぎないことを強調しておきたい。本開示の精神及び原理を実質的に逸脱することなしに、多くの変更及び変形が上述の一つ又は複数の実施形態に対して実施されてもよい。更には、本開示の範囲は、上述のすべての要素、特徴、及び側面のすべての順列及びサブ順列を包含ことが意図されている。すべてのこのような変更及び変形は、本開示の範囲に含まれるものと解釈されたい。 It should be emphasized that the above embodiments are only possible examples of implementations described for a clear understanding of the principles of the present disclosure. Many changes and modifications may be made to one or more embodiments described above without substantially departing from the spirit and principles of the present disclosure. Furthermore, the scope of the present disclosure is intended to include all permutations and sub-permutations of all the elements, features, and aspects described above. All such changes and modifications are to be construed as included within the scope of this disclosure.

Claims (11)

複合セキュアリンク(MSL)アーキテクチャを提供するシステムであって、
第一ロジックを含むMSL仮想プライベートネットワーク(VPN)であって、該第一ロジックは、プロセッサによって実行された際に、該システムが、
クライアントワークステーションと第一オーナゲートウェイとの間において第一VPNトンネルを生成し、
該クライアントワークステーションから該第一オーナゲートウェイへのアウトバウンドデータグラムを暗号化及び送信し、
該第一オーナゲートウェイから該クライアントワークステーションへのインバウンドデータグラムを受信及び暗号解読し、該インバウンドデータグラムは、発信元インターネットプロトコル(IP)アドレスと、VPNオーナプライベートIPアドレスに設定された宛先IPアドレスと、を含み、且つ、
該宛先IPアドレスを有する該インバウンドデータグラムを送信する、
ことを実行するようにする、MSL仮想プライベートネットワーク(VPN)と、
第二ロジックを含むMSLツインネットワークアドレストランスレータ(NAT)であって、該第二ロジックは、該プロセッサによって実行された際に、該システムが、
MSL VPNから該インバウンドデータグラムを受信し、
該発信元IPアドレスからの新しいVPNオーナプライベートIPアドレスを該インバウンドデータグラム内において記録し、
該インバウンドデータグラム及び該クライアントワークステーション用の新しい一意のプライベートなIP(UPIP)アドレスを該VPNオーナプライベートアドレスに割り当て、且つ、
該インバウンドデータグラムを該クライアントワークステーションに送信する、
ことを少なくとも実行するようにする、MSLツインネットワークアドレストランスレータ(NAT)と、
を有し、
該システムは、該第一VPNトンネルが利用されている間に、該クライアントワークステーションと第二オーナゲートウェイとの間において第二VPNトンネルを更に生成し、
該プロセッサによって実行された際に、該システムが、該クライアントワークステーションに対する該第一VPNトンネルを確立するためのユーザインタフェースを提供するようにする第三ロジックを含むMSL VPNユーザインタフェースコンポーネントと、該プロセッサによって実行された際に、該システムが、該第一VPNトンネルを生成するようにする第四ロジックを含むMSL管理コンポーネントと、を更に有し、
該新しいUPIPは、顧客によって割り当てられたプライベートIPアドレスとオーバラップする、システム。 A system that provides a composite secure link (MSL) architecture
An MSL Virtual Private Network (VPN) that includes a first logic, the first logic of which, when executed by a processor, is the system.
Create a first VPN tunnel between the client workstation and the first owner gateway
Encrypt and transmit outbound datagrams from the client workstation to the first owner gateway
The inbound datagram from the first owner gateway to the client workstation is received and decrypted, and the inbound datagram is the source Internet Protocol (IP) address and the destination IP address set in the VPN owner private IP address. And, and
Send the inbound datagram with the destination IP address.
MSL Virtual Private Network (VPN) and
An MSL Twin Network Address Translator (NAT) that includes a second logic that, when executed by the processor, causes the system to perform.
Receive the inbound datagram from the MSL VPN and
A new VPN owner private IP address from the source IP address is recorded in the inbound datagram and
A new unique private IP (UPIP) address for the inbound datagram and the client workstation is assigned to the VPN owner private address and
Send the inbound datagram to the client workstation,
With the MSL Twin Network Address Translator (NAT), which at least does that
Have,
The system further creates a second VPN tunnel between the client workstation and the second owner gateway while the first VPN tunnel is in use.
An MSL VPN user interface component containing a third logic that, when executed by the processor, causes the system to provide a user interface for establishing the first VPN tunnel to the client workstation, and the processor. when executed by said system further have a, and MSL management component including a fourth logic to generate said first VPN tunnel,
The new UPIP is a system that overlaps with a private IP address assigned by the customer. 該第二ロジックは、該システムが、該アウトバウンドデータグラム内のUPIPアドレスをプライベートIPアドレスにマッピングするように更にする、請求項1に記載のシステム。 The system of claim 1, wherein the second logic further causes the system to map an UPIP address in the outbound datagram to a private IP address. 該第二ロジックは、該システムが、該インバウンドデータグラムの処理のために、該インバウンドデータグラムを商用の既製の(COTS)クリアテキストプロセスコンポーネントに転送するように更にする、請求項1に記載のシステム。 The second logic further comprises transferring the inbound datagram to a commercial off-the-shelf (COTS) cleartext process component for processing the inbound datagram, according to claim 1. system. 該MSLツインNAT及び該MSL VPNは、該クライアントワークステーション上において存在しており、且つ、該クライアントワークステーションは、MSL VPNユーザインタフェースコンポーネントと、MSL管理コンポーネントと、を更に含む、請求項1に記載のシステム。 The MSL Twin NAT and the MSL VPN are present on the client workstation, and the client workstation further comprises an MSL VPN user interface component and an MSL management component, according to claim 1. System. MSLサーバを更に有し、該MSL VPN及び該MSLツインNATは、該クライアントワークステーションからリモート状態にある該MSLサーバ上において存在しており、該システムは、該クライアントワークステーション上において存在しているMSL VPNユーザインタフェースコンポーネント、第一MSL VPNコンポーネント、及び第一MSL管理コンポーネントを更に有し、且つ、該システムは、該MSLサーバ上において存在している商用の既製の(COTS)クリアテキストプロセスコンポーネント、COTS VPNコンポーネント、及び第二MSL管理コンポーネントを更に有する、請求項1に記載のシステム。 It further has an MSL server, the MSL VPN and the MSL twin NAT are present on the MSL server remote from the client workstation, and the system is present on the client workstation. A commercial off-the-shelf (COTS) clear text process component, which further comprises an MSL VPN user interface component, a first MSL VPN component, and a first MSL management component, and the system resides on the MSL server. The system of claim 1, further comprising a COTS VPN component and a second MSL management component. 該MSL VPN及び該MSLツインNATを含むMSLゲートウェイルータを更に有し、該システムは、該クライアントワークステーション上において存在している第一COTS VPNコンポーネント、MSL管理コンポーネントを更に有し、且つ、該システムは、該MSLゲートウェイルータ上において存在している第二COTS VPNコンポーネント及びMSLサーバ管理コンポーネントを更に有する、請求項1に記載のシステム。 It further has an MSL gateway router including the MSL VPN and the MSL twin NAT, the system further has a first COTS VPN component, an MSL management component present on the client workstation, and the system. The system according to claim 1, further comprising a second COTS VPN component and an MSL server management component existing on the MSL gateway router. MSLアプライアンス及びMSLサーバを更に有し、該MSL VPNコンポーネント及び該MSLツインNATは、該MSLサーバ上において存在しており、該システムは、該クライアントワークステーション上において存在している第一COTS VPNコンポーネント及びMSL VPNユーザインタフェースコンポーネントを更に有し、該システムは、該MSLアプライアンス上において存在している第一MSLサーバ管理コンポーネント、第二COTS VPNコンポーネント、第三COTS VPNコンポーネント、及びCOTSクリアテキストプロセスクライアントコンポーネントを更に有し、且つ、該システムは、該MSLサーバ上において存在している第二MSLサーバ管理コンポーネント、第四COTS VPNコンポーネント、及び第二COTSクリアテキストプロセスクライアントを更に有する、請求項1に記載のシステム。 It further has an MSL appliance and an MSL server, the MSL VPN component and the MSL twin NA T are present on the MSL server and the system is present on the client workstation the first COTS VPN component. And also has an MSL VPN user interface component, the system having a first MSL server management component, a second COTS VPN component, a third COTS VPN component, and a COTS clear text process client component present on the MSL appliance. 1. The system further comprises a second MSL server management component, a fourth COTS VPN component, and a second COTS clear text process client present on the MSL server. System. MSLネットワーク運営センタ(NOC)を更に有し、該MSLツインNAT及び該MSL VPNコンポーネントは、該NOC上において存在しており、該システムは、該クライアントワークステーション上において存在しているCOTS VPNクライアント、MSL VPNユーザインタフェースコンポーネント、及びMSL管理コンポーネントを更に有し、且つ、該システムは、該MSL NOC上において存在しているCOTS VPNコンポーネント、COTSクリアテキストプロセスコンポーネント、セッションマネージャコンポーネント、及びログインマネージャコンポーネントを更に有する、請求項1に記載のシステム。 It further has an MSL Network Operations Center (NOC), the MSL Twin NAT and the MSL VPN component are present on the NOC, and the system is a COTS VPN client, which is present on the client workstation. It further has an MSL VPN user interface component, and an MSL management component, and the system further includes a COTS VPN component, a COTS clear text process component, a session manager component, and a login manager component that are present on the MSL NOC. The system according to claim 1. 複合セキュアリンク(MSL)アーキテクチャを提供する方法であって、
クライアントワークステーションと第一オーナゲートウェイとの間において第一VPNトンネルを生成するステップと、
該クライアントワークステーションから該第一オーナゲートウェイへのアウトバウンド暗号化データグラムを送信するステップと、
該第一オーナゲートウェイから該クライアントワークステーションへのインバウンドデータグラムを受信及び暗号解読するステップであって、該インバウンドデータグラムは、発信元インターネットプロトコル(IP)アドレスと、VPNオーナプライベートIPアドレスに設定された宛先IPアドレスと、を含む、ステップと、
該インバウンドデータグラムを処理するべく、該インバウンドデータグラムを商用の既製の(COTS)クリアテキストプロセスコンポーネントに転送するステップと、
該発信元IPアドレスからの新しいVPNオーナプライベートIPアドレスを該インバウンドデータグラム内において記録するステップと、
該インバウンドデータグラム及び該クライアントワークステーション用の新しい一意のプライベートなIP(UPIP)アドレスを該VPNオーナプライベートアドレスに割り当てるステップと、
該インバウンドデータグラムを該クライアントワークステーションに送信するステップと、
を有し、
該システムは、該第一VPNトンネルが利用されている間に、該クライアントワークステーションと第二オーナゲートウェイとの間において第二VPNトンネルを更に生成し、
該新しいUPIPは、顧客によって割り当てられたプライベートIPアドレスとオーバラップする、方法。 A method of providing a composite secure link (MSL) architecture
Steps to create a first VPN tunnel between the client workstation and the first owner gateway,
The step of sending an outbound encrypted datagram from the client workstation to the first owner gateway, and
A step of receiving and decrypting an inbound datagram from the first owner gateway to the client workstation, the inbound datagram being set to a source Internet Protocol (IP) address and a VPN owner private IP address. Including the destination IP address, and the steps,
To process the inbound datagram, transfer the inbound datagram to a commercial off-the-shelf (COTS) cleartext process component, and
A step of recording a new VPN owner private IP address from the source IP address in the inbound datagram, and
A step of assigning a new unique private IP (UPIP) address for the inbound datagram and the client workstation to the VPN owner private address, and
The step of sending the inbound datagram to the client workstation and
Have,
The system further creates a second VPN tunnel between the client workstation and the second owner gateway while the first VPN tunnel is in use .
A method in which the new UPIP overlaps with a private IP address assigned by the customer . 該アウトバウンドデータグラム内のUPIPアドレスをプライベートIPアドレスにマッピングするステップを更に有する、請求項9に記載の方法。 The method of claim 9, further comprising the step of mapping the UPIP address in the outbound datagram to a private IP address. ロジックを含む複合セキュアリンク(MSL)アーキテクチャを提供する一時的ではないコンピュータ可読媒体であって、該ロジックは、演算装置によって実行された際に、該演算装置が、
クライアントワークステーションと第一オーナゲートウェイとの間において第一VPNトンネルを生成し、
該クライアントワークステーションから該第一オーナゲートウェイへのアウトバウンドデータグラムを暗号化及び送信し、
該第一オーナゲートウェイから該クライアントワークステーションへの暗号化形式のインバウンドデータグラムを受信及び暗号解読し、該インバウンドデータグラムは、発信元インターネットプロトコル(IP)アドレスと、VPNオーナプライベートIPアドレスに設定された宛先IPアドレスと、を含み、
該発信元IPアドレスからの新しいVPNオーナプライベートIPアドレスを該インバウンドデータグラム内において記録し、
該インバウンドデータグラム及び該クライアントワークステーション用の新しい一意のプライベートなIP(UPIP)アドレスを該VPNオーナプライベートアドレスに割り当て、且つ、
該インバウンドデータグラムを該クライアントワークステーションに送信する、
ことを少なくとも実行するようにし、
該システムは、該第一VPNトンネルが利用されている間に、該クライアントワークステーションと第二オーナゲートウェイとの間において第二VPNトンネルを更に生成し、
該ロジックは、該演算装置によって実行された際に、該演算装置が、該クライアントワークステーションに対する該第一VPNトンネルを確立するためのユーザインタフェースを提供するとともに該第一VPNトンネルを生成し、
該新しいUPIPは、顧客によって割り当てられたプライベートIPアドレスとオーバラップする、媒体。 A non-transitory computer-readable medium that provides a composite secure link (MSL) architecture that includes logic that, when executed by the arithmetic unit, is used by the arithmetic unit.
Create a first VPN tunnel between the client workstation and the first owner gateway
Encrypt and transmit outbound datagrams from the client workstation to the first owner gateway
Receives and decrypts encrypted inbound datagrams from the first owner gateway to the client workstation, and the inbound datagrams are set to the source Internet Protocol (IP) address and the VPN owner private IP address. Including the destination IP address
A new VPN owner private IP address from the source IP address is recorded in the inbound datagram and
A new unique private IP (UPIP) address for the inbound datagram and the client workstation is assigned to the VPN owner private address and
Send the inbound datagram to the client workstation,
Try to do that at least
The system further creates a second VPN tunnel between the client workstation and the second owner gateway while the first VPN tunnel is in use .
The logic, when executed by the arithmetic unit, provides a user interface for the arithmetic unit to establish the first VPN tunnel for the client workstation and creates the first VPN tunnel.
The new UPIP is a medium that overlaps with a private IP address assigned by the customer.
JP2018225711A 2014-02-06 2018-11-30 Systems and methods that provide a composite secure link architecture Active JP6894060B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018225711A JP6894060B2 (en) 2014-02-06 2018-11-30 Systems and methods that provide a composite secure link architecture
JP2021047218A JP2021106396A (en) 2018-11-30 2021-03-22 System and method for providing combined secure link architecture

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016550493A JP6511704B2 (en) 2014-02-06 2014-02-06 System and method for providing complex secure link architecture
JP2018225711A JP6894060B2 (en) 2014-02-06 2018-11-30 Systems and methods that provide a composite secure link architecture

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016550493A Division JP6511704B2 (en) 2014-02-06 2014-02-06 System and method for providing complex secure link architecture

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021047218A Division JP2021106396A (en) 2018-11-30 2021-03-22 System and method for providing combined secure link architecture

Publications (2)

Publication Number Publication Date
JP2019062557A JP2019062557A (en) 2019-04-18
JP6894060B2 true JP6894060B2 (en) 2021-06-23

Family

ID=66178691

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018225711A Active JP6894060B2 (en) 2014-02-06 2018-11-30 Systems and methods that provide a composite secure link architecture
JP2021047218A Ceased JP2021106396A (en) 2018-11-30 2021-03-22 System and method for providing combined secure link architecture

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021047218A Ceased JP2021106396A (en) 2018-11-30 2021-03-22 System and method for providing combined secure link architecture

Country Status (1)

Country Link
JP (2) JP6894060B2 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7840701B2 (en) * 2007-02-21 2010-11-23 Array Networks, Inc. Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method
EP2253123B1 (en) * 2008-03-20 2013-08-07 Telefonaktiebolaget L M Ericsson (PUBL) Method and apparatus for communication of data packets between local networks
JP5054666B2 (en) * 2008-12-26 2012-10-24 エヌ・ティ・ティ・コミュニケーションズ株式会社 VPN connection device, packet control method, and program
JP5552460B2 (en) * 2011-04-13 2014-07-16 日本電信電話株式会社 Inter-base connection system, inter-base connection method, address conversion information generation apparatus, address conversion information generation method, and program
JP5786479B2 (en) * 2011-06-16 2015-09-30 セイコーエプソン株式会社 Network system and control method thereof
KR102235849B1 (en) * 2014-02-06 2021-04-05 이^엔에이티 테크놀로지스 엘엘씨 Systems and methods for providing a multiple secure link architecture

Also Published As

Publication number Publication date
JP2019062557A (en) 2019-04-18
JP2021106396A (en) 2021-07-26

Similar Documents

Publication Publication Date Title
JP6511704B2 (en) System and method for providing complex secure link architecture
AU2023203289A1 (en) Systems and methods for providing a ReNAT communications environment
US9210129B2 (en) Systems and methods for providing a multiple secure link architecture
US9680792B2 (en) ReNAT systems and methods
JP6894060B2 (en) Systems and methods that provide a composite secure link architecture
BR112016017940B1 (en) SYSTEM AND METHOD FOR PROVIDING A MULTIPLE SECURE LINK ARCHITECTURE (MSL) AND NON-TRANSITORY COMPUTER READABLE MEDIUM

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181228

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181228

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20190405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200204

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200507

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200803

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210119

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20210217

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210322

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20210217

R150 Certificate of patent or registration of utility model

Ref document number: 6894060

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150