JP4737089B2 - Vpnゲートウェイ装置およびホスティングシステム - Google Patents
Vpnゲートウェイ装置およびホスティングシステム Download PDFInfo
- Publication number
- JP4737089B2 JP4737089B2 JP2006542928A JP2006542928A JP4737089B2 JP 4737089 B2 JP4737089 B2 JP 4737089B2 JP 2006542928 A JP2006542928 A JP 2006542928A JP 2006542928 A JP2006542928 A JP 2006542928A JP 4737089 B2 JP4737089 B2 JP 4737089B2
- Authority
- JP
- Japan
- Prior art keywords
- session
- communication session
- ssl
- vpn
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 claims description 56
- 238000006243 chemical reaction Methods 0.000 claims 2
- 238000000034 method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000010079 rubber tapping Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- CKRLIWFOVCLXTP-UHFFFAOYSA-N 4-phenyl-1-propyl-3,6-dihydro-2h-pyridine Chemical compound C1N(CCC)CCC(C=2C=CC=CC=2)=C1 CKRLIWFOVCLXTP-UHFFFAOYSA-N 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、VPNゲートウェイ装置およびホスティングシステムに関し、特に、WAN側に設定されたVPNトンネルを終端するVPNゲートウェイ装置、および、このVPNゲートウェイ装置を含むホスティングシステムに関する。
データセンタ事業者が提供するサービスの一種に、ユーザ等に対してサーバやネットワーク機器などのリソースを貸し出すホスティングサービスがある。このようなホスティングサービスを提供するためのデータセンタ側のシステムをホスティングシステムと呼ぶ。
従来のホスティングシステムの一例が文献1(特許第3491828号公報)および文献2(特開2003−32275号公報)に記載されている。同文献に記載されたホスティングシステムにおいては、データセンタ内に、VPN(Virtual Private Network)ゲートウェイが配置されている(VPNゲートウェイは、文献1および2ではVPNルータとも記載されている)。VPNゲートウェイは、外部とIPsecトンネルやL2TPトンネルなどのVPNトンネルを確立し、VPNを収容している。VPNゲートウェイのLAN(Local Area Network)側はVLANによって論理的にセグメントが分離されており、収容しているVPNとVLANとの対応関係がVPNゲートウェイにおいて関連付けられている。データセンタ内に設置されたサーバが接続するVLANの設定と、VPNゲートウェイにおけるVPNとVLANとの関連付けの設定とを動的に変更することにより、VPNに割り当てられるサーバの組み合わせを動的に変更することができる。
このホスティングシステムでは、データセンタ内のサーバは、VPNトンネルによってVPNに直接収容されるのではなく、VPNゲートウェイとの間のVLANを経由してVPNトンネルで構成されるVPNへと収容される。このような構成をとることにより、VPNトンネルの設定変更を行う必要なく、データセンタ内サーバおよびスイッチにおけるVLAN設定およびVPNゲートウェイにおけるVPNとVLANとの関連付け設定の変更だけで、VPNへのサーバ割り当てにおける動的性を実現している。
サーバがVPNトンネルを直接終端することによりVPNへ収容される場合は、VPNトンネルの認証機構を用いることによりサーバ詐称を検出・防止することが可能である。しかし、従来のホスティングシステムのように、サーバとVPNトンネルとの間にVLANが介在する場合には、VPNトンネルの認証機構をサーバに対して用いることはできない。このため、詐称されたサーバであってもVLANにさえ接続してしまえば、該VLANに関連付けられているVPN内のノードと通信することが可能になる。このように、従来のホスティングシステムには、詐称されたサーバであってもVPNへ収容されうるという問題があった。
また、VPNトンネル上で通信されるデータは、AES(Advanced Encryption Standard)などの暗号化が用いられるために盗聴が防止でき、また、SHA−1などでデジタル署名されるために改ざんが防止できる。従来のホスティングシステムのように、サーバとVPNトンネルとの間にVLANが介在する場合には、VLAN上で暗号化およびデジタル署名は行われずに平文で通信されるため、盗聴、改ざんに対して無防備である。このように、従来のホスティングシステムには、サーバが行う通信に対して盗聴、改ざんが行われる危険性があるという問題があった。
本発明は、このような課題を解決するためになされたものであり、その目的は、サーバがLANを経由してVPNへ接続されるホスティングシステムにおいて、認証されたサーバのみに対してVPN内の他のノードとの通信を許可し得るようにすることにある。
また、他の目的は、サーバがLANを経由してVPNへ接続されるホスティングシステムにおいて、サーバが行う通信に対する盗聴、改ざんを防止し得るようにすることにある。
このような目的を達成するために、本発明のVPNゲートウェイ装置は、WAN側に設定されたVPNトンネルを介してクライアントノードとパケットを送受信するWANインターフェースと、LAN側に接続されたサーバノードとパケットを送受信するLANインターフェースと、前記クライアントノードから前記サーバノードに対して設定されようとしている第1の通信セッションを一旦終端し、第1の通信セッションを中継する第2の通信セッションを前記サーバノードに対して設定するセッション中継部と、前記セッション中継部により設定される第2の通信セッションをSSL化するSSL処理部とを備えることを特徴とする。
また、本発明のVPNゲートウェイ装置は、WAN側に設定された第1のVPNトンネルを介してクライアントノードとパケットを送受信するWANインターフェースと、LAN側に接続されたサーバノードとパケットを送受信するLANインターフェースと、前記WANインターフェースで受信された前記クライアントノードから前記サーバノード宛のパケットを、前記LANインターフェースと前記サーバノードとの間で設定される第2のVPNトンネルを介して、前記サーバノードに中継転送するパケット中継部とを備えることを特徴とする。
本発明では、VPNゲートウェイ装置のWAN側においてVPNトンネルを介して通信されるセッションを、VPNゲートウェイ装置からLAN側のサーバノードまでの区間で、SSL化して中継する。
また、本発明では、VPNゲートウェイ装置のWAN側においてVPNトンネルを介して通信されるパケットを、VPNゲートウェイ装置からLAN側のサーバノードまでの区間で、VPNトンネルを経由させて中継する。
これにより、データセンタ内のサーバのVPNへの割り当てを動的に可能としつつ、詐称されたサーバがVPNへ割り当てられることを防ぐとともに、認証されたサーバのみに対してVPN内の他のノードとの通信を許可することができ、かつ、サーバが行う通信に対する盗聴、改ざんを防止することができる。
次に、本発明の実施例について図面を参照して詳細に説明する。
(第1の実施例)
図1を参照すると、本発明の第1の実施例は、データセンタA1と、バックボーン網B1と、端末C1、D1、VPN拠点C2、D2とから構成される。
図1を参照すると、本発明の第1の実施例は、データセンタA1と、バックボーン網B1と、端末C1、D1、VPN拠点C2、D2とから構成される。
データセンタA1内に設置されているVPNゲートウェイA11は、バックボーン網B1を経由するIPsecトンネルB11〜B14を介してそれぞれ端末C1、VPN拠点C2、端末D1、VPN拠点D2と接続されている。ここで、VPN拠点C2、D2との接続においては、それぞれVPN拠点C2、D2内に設置されているVPNゲートウェイC21、D21がIPsecトンネルを終端する。バックボーン網B1の例としては、インターネットやIP−VPN網、広域イーサネット(登録商標)網などのデータ通信網が挙げられる。本実施例ではVPNトンネルとしてIPsecが用いられる場合について説明するが、その他にL2TP(Layer Two Tunneling Protocol)などが用いられる場合も同様に適用可能である。
データセンタA1は、上述したVPNゲートウェイA11と、VLAN−A121〜A123、サーバA131〜A136とから構成される。VPNゲートウェイA11は、そのLAN側において、VLAN−A121〜A123の3つのVLANを収容しており、VLAN−A121にはサーバA131、A132が、VLAN−A122にはサーバA133、A134が、VLAN−A123にはサーバA135、A136が、それぞれ接続されている。サーバA131〜A136は、HTTP(HyperText Transfer Protocol)やSIP(Session Initiation Protocol)などのサービスをVPN内のクライアントに対して提供する情報処理装置である。
VPNゲートウェイA11は、WAN(Wide Area Network)インターフェース(WAN I/F)A111と、LANインターフェース(LAN I/F)A112と、IPsec処理部(VPN処理部)A113と、セッション中継部A114と、セッション中継テーブル記憶部A115と、SSL処理部A116とから構成される。
WANインターフェースA111は、バックボーン網B1側(WAN側)とパケットを送受信するための通信インターフェースである。
LANインターフェースA112は、データセンタA1内のノード(本実施例ではサーバA131〜A136)とパケットを送受信するための通信インターフェースである。
IPsec処理部A113は、バックボーン網B1を介して設定されているIPsecトンネルB11〜B14を終端する。各IPsecトンネルB11〜B14は、それぞれVPNに対応しており、ここでは、IPsecトンネルB11、B12がVPN−A、IPsecトンネルB13、B14がVPN−Bにおいて利用されるものとする。IPsec処理部A113は、セッション中継部A114を介してLAN側と送受信するとともに、WAN側と送受信するパケットの暗号化・復号化を行う機能を有する。
セッション中継部A114は、VPNゲートウェイA11が送受信するパケットをトランスポートレイヤのレベルで中継する。本中継方法は、セッション中継テーブル記憶部A115に記憶されているセッション中継テーブルを参照することにより決定される。例えば、10.1.0.1のIPアドレスをもつ端末C1から、10.0.0.1のアドレスをもつサーバA131宛のHTTPセッションをセッション中継部A114が受信すると、セッション中継部A114は該セッションに対応するTCPコネクション(第1の通信セッション)を一旦終端し、実際の宛先であるサーバA131に対して該コネクションを中継するTCPコネクション(第2の通信セッション)を設定する。このとき、HTTPセッションのソースである端末C1および宛先であるサーバA131には、途中でTCPコネクションが中継されていることを意識させないように透過的な中継を行う。すなわち、端末C1とサーバA131との間に設定されるセッションを中継する場合、端末C1⇔VPNゲートウェイA11の区間およびVPNゲートウェイA11⇔サーバA131の区間で通信されるパケットのソース・宛先IPアドレスは同一に保たれる。
また、セッション中継部A114は、中継するTCPコネクションのLAN側において、該コネクションをSSL(Secure Socket Layer)化する機能を有する。例えば、端末C1とサーバA131との間でHTTPセッションが設定される場合は、VPNゲートウェイA11とサーバA131との間ではHTTPS(HTTP over SSL)プロトコルに変換され、データが送受信される。SSL化の処理自体は、SSL処理部A116を介して行われる。
セッション中継テーブル記憶部A115に記憶されているセッション中継テーブルは、セッション中継部A114におけるTCPコネクションの中継方法が登録されたテーブルである。本テーブルの例を表1に示す。
表1に示すセッション中継テーブルを参照すると、VPN−AとVPN−Bの2つのVPNにおけるセッションの中継方法についてのエントリが登録されている。
VPN−Aでは、VPNゲートウェイA11のWAN側においてトンネルB11、B12を経由して通信が行われ、VPN−Bでは、トンネルB13、B14を経由して通信が行われる。また、VPNゲートウェイA11のLAN側においては、VPN−AにはVLAN1およびVLAN2が対応づけられており、VPN−BにはVLAN3が対応づけられている。各セッションに対してどのVLANを対応づけるかは、宛先IPアドレスに応じて決定される。VLAN1、VLAN2へは、それぞれ10.0.0/24、10.0.1/24に対応する宛先IPアドレスをもつセッションが転送される。また、VLAN3へは、192.168.0/24の宛先アドレスをもつセッションが転送される。
VLAN1に対しては、「any」で表される全ての宛先ポート番号(宛先情報)に対応するセッションの中継が許可されており、宛先ポート番号(宛先情報)が80および5060であるセッションのみSSL化されたセッションとして中継され、その他のポート番号に対応するセッションはそのまま中継される。SSL化される区間では、発行者のCN(Common Name)が「vpn-a's admin」である証明書を有するサーバのみ接続が許可される。
また、VLAN2に対しては、宛先ポートが80および23に対応するセッションの中継が許可されており、宛先ポートが80であるセッションがSSL化された後に中継され、宛先ポートが23であるセッションはそのまま中継される。SSL化される区間では、発行者のCN(Common Name)がデフォルトで設定されたルート証明機関(例えばVerisign, Microsoftなど)である証明書を有するサーバのみ接続が許可される。
VLAN3に対しては、全ての宛先ポート番号に対応するセッションの中継が許可されており、宛先ポートが80および5060であるセッションのみがSSL化された後に中継され、その他のポート番号に対応するセッションはそのまま中継される。SSL化される区間では、発行者のCN(Common Name)が「vpn-b's admin」である証明書を有するサーバのみ接続が許可される。
SSL処理部A116は、セッション中継部A114によって中継されるセッションに対して、VPNゲートウェイA11のLAN側の区間において該セッションをSSL化する機能を有する。さらに、SSL化されたセッションに対して、接続するサーバが正規のサーバかどうかをチェックする機能を有する。このチェックには、SSLにおけるハンドシェークプロトコルにおいて、サーバから提示されるサーバ証明書が、セッション中継テーブルに登録されたCNに対応する発行者から発行されたものであるかどうかをチェックすることによって行われる。
次に、図2を参照して、セッション中継部A114についてさらに説明する。図2に示すように、セッション中継部A114は、判定部A1141と、認証部A1142と、セッション処理部A1143とを有する。
判定部A1141は、セッション中継テーブル記憶部A115に記憶されているセッション中継テーブルを参照し、セッション中継部A114で受信したセッションの宛先ポート番号に基づいて、該セッションの中継が許可されているか否を判定する。さらに、該セッションの中継が許可されている場合に、セッション中継テーブルを参照し、該セッションの宛先ポート番号に基づいて、該セッションを中継するセッションをSSL化するか否を判定する。具体的には、後述する図3のステップS102〜S104の処理を行う。
認証部A1142は、判定部A1141によってSSL化すべきと判定された場合に、セッション中継部A114で受信したセッションの宛先サーバに対してSSLハンドシェークを行ない、このSSLハンドシェークにおいて宛先サーバから送信されるサーバ証明書の発行者に基づいて宛先サーバの認証を行う。具体的には、後述する図3のステップS106およびS108の処理を行う。
セッション処理部A1143は、判定部A1141によって該セッションの中継が許可されていないと判定された場合に、該セッションに対してTCPリセットを行うことにより該セッションを切断し、該セッションの中継が許可されていると判定された場合に、該セッションを中継するセッションを設定する。また、判定部A1141によってSSL化しないと判定された場合に、該セッションを中継するセッションをSSL化せず、SSL化すると判定された場合に、該セッションを中継するセッションをSSL化処理部A116にSSL化させる。また、宛先サーバに対する認証に失敗した場合に、該セッションおよびこれを中継するセッションに対してTCPリセットを行うことにより、これら2つのセッションを切断する。具体的には、後述する図3のステップS105,S107およびS109の処理を行う。
次に、図3を参照して、本実施例において、VPNゲートウェイA11がWAN側とLAN側との間でセッションを中継する動作について詳細に説明する。
まず、VPNゲートウェイA11は、WANインターフェースA111側からパケットを受信する。該パケットはIPsec処理部A113へ渡され復号化された後、セッション中継部A114へと渡され、ソース・宛先IPアドレスおよびソース・宛先ポート番号が読み取られる(図3のステップS101)。
セッション中継部A114は、該パケットが現在アクティブなセッションに対応するものでなければ、新規のセッションだと識別し、セッション中継テーブル記憶部A115に記憶されてるセッション中継テーブルを参照し、該セッションの処理方法を決定する(ステップS102)。具体的には、該パケットに対応するVPNのIDおよび宛先IPアドレス、宛先ポート番号を基に、該セッションを転送すべきVLANのIDおよび中継の可否を決定する。以降、VPNゲートウェイA11が、10.1.0.1のIPアドレスをもつ端末C1からトンネルB11を経由して10.0.0.1のIPアドレスをもつサーバA131へのHTTPメッセージ(ポート80)に対応するパケットを受信し、セッション中継の方法として、表1に示すセッション中継テーブルが用いられる場合を例にして、説明を行う。
セッション中継部A114は、セッション中継テーブルにおける該パケットに対応するVPNのIDであるVPN−Aに関するエントリを参照し、該パケットの宛先IPアドレスを基に、転送先はVLAN1であると判断する。セッション中継部A114はさらに、セッション中継テーブルを参照してVLAN1への中継が許可されている宛先ポート番号を確認し、該セッションの中継が許可されているかを判定する(ステップS103)。HTTPメッセージの場合は宛先ポート番号が80であり、中継が許可されている宛先ポート番号である80、5060、anyの範囲に含まれるため、許可できると判断する(anyがある場合は全て許可される)。
ステップS103においてセッションの中継が許可できると判断された場合、セッション中継部A114は次に、セッション中継テーブルを参照し、該セッションをSSL化して中継すべきかどうかを判定する(ステップS104)。HTTPメッセージの場合は宛先ポート番号が80であり、SSL化して中継する宛先ポートに含まれるため、SSL化して中継すべきだと判断する。
ステップS103においてセッションの中継が許可できないと判断された場合、該セッションに対応するTCPコネクションをリセット(TCPリセット)するパケットを該セッションの送信元に送信し、該セッションを切断する(ステップS105)。
ステップS104において、セッションをSSL化して中継すべきと判断されると、セッション中継部A114は、SSL処理部A116を介して、該セッションの宛先に対してSSLハンドシェークを行う(ステップS106)。
ステップS104において、セッションをSSL化して中継すべきではないと判断されると、セッション中継部A114は該セッションのSSL化は行わず、そのまま宛先サーバへと中継する(ステップS107)。このとき、該セッションに対応するTCPコネクションをセッション中継部A114で一旦終端する形で中継を行ってもよいし、終端せずに直接エンド−エンド間でTCPコネクションを確立させ、セッション中継部は単にパケット転送を行うという形でもよい。
ステップS106で行われるSSLハンドシェークにおいては、Server Certificateメッセージによってサーバの証明書がVPNゲートウェイA11に対して送信される。セッション中継部A114はSSL処理部A116を介してサーバから送信された証明書を読み込み、該証明書の発行者CNとセッション中継テーブルに登録されているエントリとを比較し、該証明書が許可できるものかどうかを調べることにより、サーバに対する認証を行う(ステップS108)。
ステップS108において、サーバ証明書が許可できるものと判断された場合、つまりサーバに対する認証に成功した場合には、セッション中継部A114は、該セッションをLAN側でSSL化する形で中継する(ステップS109)。以降、該セッションにおいては、VPNゲートウェイA11のWAN側ではIPsecトンネルによる暗号化、LAN側ではSSLによる暗号化がなされ通信が行われる。
ステップS108において、サーバ証明書が許可できないものと判断された場合、つまりサーバに対する認証に失敗した場合には、対応するTCPコネクションをリセット(TCPリセット)するパケットを該セッションの送信元およびサーバに送信し、該セッションを切断する(ステップS105)。つまり、端末C1からサーバに対して設定されようとしているセッションおよびこのセッションを中継するためのセッションを切断する。
以上、本実施例のVPNゲートウェイA11におけるWAN側とLAN側との間でセッションを中継する動作について説明した。
本実施例では、サーバA131〜A136を収容するデータセンタA1は、単一拠点に存在するものとして説明した。しかし、この他にも、複数のデータセンタを専用線や広域イーサネット(登録商標)網などによって相互接続し、地理的に分散しているサーバ群を仮想的に1つのデータセンタ内に設置されているようにエミュレートする分散データセンタの形態をとる場合であっても実施可能である。
次に、本実施例の効果について説明する。
本実施例では、VPNゲートウェイA11のWAN側においてVPNを構成するために設定されているIPsecやL2TPなどのVPNトンネルを経由して通信されるセッションに対して、VPNゲートウェイA11からLAN側のサーバまでの区間で、該セッションをSSL化した形で中継する。このように従来VPNトンネルによる認証・暗号化ができなかった区間においてSSLを用いることにより、サーバの詐称および通信の盗聴・改ざんが不可能となるため、従来の課題であったサーバの詐称やサーバが行う通信に対する盗聴、改ざんを防ぐことが可能となる。
また、本実施例においては、端末C1などのクライアントに対して、サーバとの間で確立されるセッションにSSLを使用することを意識させることはない。すなわち、クライアントは、HTTPやSIP(Session Initiation Protocol)などのSSLではない通常のプロトコルを利用してサーバとの通信を行うため、アプリケーションを特別にSSLに対応させる必要なく実施が可能である。サーバ側では、クライアントとの間のセッションにSSLを利用するためSSLのサポートが必要となる。しかし、フリーソフトで提供されているstunnel(http://www.stunnel.org/)などのユニバーサルSSLラッパーをサーバで利用することで、サーバで実行されるアプリケーションがSSLを直接サポートしていなくてもSSL通信に対応することが可能となる。したがって、汎用的なサーバ・クライアントを利用して実施が可能である。
(第2の実施例)
次に、本発明の第2の実施例について図面を参照して詳細に説明する。
次に、本発明の第2の実施例について図面を参照して詳細に説明する。
図4を参照すると、本発明の第2の実施例は、本発明の第1の実施例と比べて、VPNゲートウェイA11の代わりに、サーバA131〜A136との間にIPsecトンネルを設定する機能を有するVPNゲートウェイA21が用いられる点が主に異なる。
データセンタA2は、VPNゲートウェイA21と、LAN A22、サーバA131〜A136とから構成される。サーバA131〜A136は、LAN A22に収容されている。
VPNゲートウェイA21は、WANインターフェース(WAN I/F)A211と、LANインターフェース(LAN I/F)A212と、IPsec処理部(VPN処理部)A213と、パケット中継部A214と、パケット中継テーブル記憶部A215とから構成される。
WANインターフェースA211およびLANインターフェースA212は、第1の実施例のVPNゲートウェイA11におけるWANインターフェースA111およびLANインターフェースA112と同等の機能を有する。
IPsec処理部A213は、第1の実施例のVPNゲートウェイA11におけるIPsec処理部A113のもつ機能に加え、LANインターフェースA212を介して送受信されるパケットに対してIPsecを用いた暗号化・復号化を行う機能を有する。
図4においては、サーバA132、A134、A134、A136との間でIPsecトンネルA221〜A224が設定されている例が示されている。IPsecトンネルA222、A223はともにサーバA134に対して設定されているが、関連づけられているVPNが異なる。このように、VPNが複数存在する場合に、それぞれのVPNに関連付けられた複数のIPsecトンネルを同一のサーバに設定することにより、サーバを複数のVPNに対して収容することができる。
また、これらのIPsecトンネルは、実際にIPsec SA(Security Associates)が確立している状態でなくてもよく、該IPsecトンネルを用いて送受信されるべきパケットを検出したときに設定されるものであってもよい。この場合には、WAN側でのパケット受信を契機として、IPsec処理部A213が、LAN側にIPsecトンネルを設定することになる。この場合、一定時間パケットが流れないと、SAが確立されていない状態になる。
パケット中継部A214は、VPNゲートウェイA21のWAN側に設定されたIPsecトンネルB11〜B14とLAN側に設定されたIPsecトンネルA221〜A224の両者の間でパケットを中継転送する機能を有する。本中継転送の方法は、パケット中継テーブル記憶部A215に記憶されているパケット中継テーブルを参照して決定される。
パケット中継テーブルは、パケット中継部A214がパケット中継時に中継方法を決定するために参照するテーブルである。本テーブルの例を表2に示す。
表2に示すパケット中継テーブルを参照すると、VPN−AとVPN−Bの2つのVPNにおけるセッションの中継方法についてのエントリが登録されている。VPNゲートウェイA21のWAN側において各VPNと対応づけられているトンネルは、表1に示したセッション中継テーブルと同様である。VPNゲートウェイA21のLAN側においては、VPN−AにはIPsecトンネルA221、A223が対応づけられており、VPN−BにはIPsecトンネルA222、A224が対応づけられている。
本テーブルの場合、WAN側のVPN−Aに対応するIPsecトンネルから受信したパケットは、該パケットの宛先IPアドレスおよび宛先ポート番号に基づき、宛先IPアドレスが10.0.0.2であり、宛先ポート番号が80または5060の場合は、IPsecトンネルA221を介して接続されているサーバ(サーバA132)へ中継転送される。また、宛先IPアドレスが10.0.1.2の場合(宛先ポート番号は任意の番号(any)が許可される)は、IPsecトンネルA223を介して接続されているサーバ(サーバA134)へ中継転送される。このとき、それぞれのIPsecトンネルは、発行者のCNが「vpn-a's admin」である証明書を有するサーバとのみ確立が許可される。ここでは証明書を基にサーバを認証する場合について説明するが、他にも予め設定されたパスワード(Pre-Shared Key)等でサーバの認証を行ってもよい。
WAN側のVPN−Bに対応するIPsecトンネルから受信したパケットの中継方法についても、VPN−Aの場合と同様である。
また、この例においては、サーバA134は、VPN−AとVPN−Bの2つのVPNに対応づけられている。これら2つのVPNに対応するIPsecトンネルを使い分けることで、2つのVPNから利用できるサーバとしてサービスを提供できる。
次に、図5を参照して、セッション中継部A214についてさらに説明する。図5に示すように、セッション中継部A214は、判定部A2141と、認証部A2142と、セッション処理部A2143とを有する。
判定部A2141は、パケット中継テーブル記憶部A215に記憶されているパケット中継テーブルを参照し、WANインターフェースA211で受信したパケットの宛先IPアドレスおよび宛先ポート番号(宛先情報)に基づいて、該パケットの中継が許可されているか否を判定する。具体的には、後述する図6のステップS202,S203の処理を行う。
認証部A2142は、LAN側にIPsecトンネルを設定する際のプロトコル手順において、宛先サーバから送信されるサーバ証明書の発行者に基づいて、宛先サーバの認証を行なう。具体的には、後述する図6のステップS207の処理を行う。
セッション処理部A2143は、判定部A2141によって中継が許可されていないと判定された場合、および、宛先サーバに対する認証に失敗した場合に、WANインターフェースA211で受信したパケットを廃棄し、それ以外の場合に、該パケットを中継転送する。具体的には、後述する図6のステップS205,S208の処理を行う。
次に、図6を参照して、本実施例において、VPNゲートウェイA21がWAN側とLAN側との間でパケットを中継する動作について詳細に説明する。
まず、VPNゲートウェイA21は、WANインターフェースA211側からパケットを受信する。該パケットはIPsec処理部A213へ渡され復号化された後、パケット中継部A214へと渡され、ソース・宛先IPアドレスおよびソース・宛先ポート番号が読み取られる(図6のステップS201)。
パケット中継部A214は、読み取ったソース・宛先IPアドレスおよびソース・宛先ポート番号を基に、パケット中継テーブル記憶部A215に記憶されているパケット中継テーブルを参照し、該パケットの処理方法を決定する(ステップS202)。具体的には、該パケットに対応するVPNのIDおよび宛先IPアドレス、宛先ポート番号を基に、該パケットを転送すべきLAN側のIPsecトンネルおよび中継の可否を決定する。以降、VPNゲートウェイA21が、10.1.0.1のIPアドレスをもつ端末C1からトンネルB11を経由して10.0.0.2のIPアドレスをもつサーバA132へのSIPメッセージ(ポート5060)に対応するパケットを受信し、パケット転送の方法として、表2に示すパケット中継テーブルが用いられる場合を例にして説明を行う。
パケット中継部A214は、パケット中継テーブルにおける該パケットに対応するVPNのIDであるVPN−Aに関するエントリを参照し、該パケットの宛先IPアドレスおよび宛先ポート番号を基に、該パケットの中継が許可されているかを判定する(ステップS203)。例のSIPメッセージの場合は、宛先アドレス10.0.0.2、宛先ポート5060なので、中継が許可できると判断する。
ステップS203においてパケットの中継転送が許可できると判断された場合、パケット中継部A214は次に、該パケットを転送すべきLAN側IPsecトンネルが既に確立されているかを判定する(ステップS204)。
ステップS203においてパケットの中継転送が許可できないと判断された場合、VPNゲートウェイA21において該パケットを廃棄する(ステップS205)。
ステップS204において、該パケットを転送すべきLAN側IPsecトンネルがまだ確立されていない場合、IPsec処理部A213は、該パケットの転送先となるサーバとの間でIPsecトンネルを確立すべくIKE(Internet Key Exchange)ネゴシエートを行う(ステップS206)。
ステップS206のIKEネゴシエートにおいては、サーバとVPNゲートウェイA21との間で相互認証を行い、VPNゲートウェイA21は、サーバから提示された証明書の発行者CNとパケット中継テーブルに登録されているエントリとを比較し、該証明書が許可できるものかどうかを調べる(ステップS207)。
ステップS207において、サーバから提示された証明書が許可できるものと判断された場合、パケット中継部A214は、該パケットをLAN側に設定されたIPsecトンネルへと中継転送する(ステップS208)。
また、ステップS207において、サーバから提示された証明書が許可できないものと判断された場合、パケット中継部A214は、該パケットを廃棄する(ステップS205)。
また、ステップS204において、該パケットを転送すべきLAN側IPsecトンネルが既に確立されている場合は、ステップS206、S207の手順を経ることなくパケット中継部A214は該IPsecに対して該パケットを中継転送する(ステップS208)。
以降、該セッションにおいては、VPNゲートウェイA21のWAN側とLAN側の双方でIPsecトンネルによる暗号化がなされ通信が行われる。
以上、本実施例のVPNゲートウェイA21におけるWAN側とLAN側との間でパケットを中継する動作について説明した。
本実施例では、VPNゲートウェイA21とサーバA131〜A136との間の転送にIPsecトンネルが用いられる場合について説明したが、他にも、L2TP(IPsec併用)やPPTPなど、暗号化、認証機構を備えるその他のトンネリングプロトコルを用いてもよい。
また、本実施例においても、第1の実施例において説明したのと同様に、データセンタA2は単一拠点に存在するのではなく、分散データセンタの形態をとる場合であっても実施可能である。
次に本実施例の効果について説明する。
本実施例では、VPNゲートウェイA21のWAN側においてVPNを構成するために設定されているIPsecやL2TPなどの第1のVPNトンネルを経由して通信されるパケットに対して、VPNゲートウェイA21からLAN側のサーバまでの区間で、該パケットを中継転送するための別のIPsecなどの第2のVPNトンネルを経由して中継する。このようにLAN側においてもVPNトンネルを用いることにより、サーバの詐称および通信の盗聴・改ざんを防止することが可能となる。
(第3の実施例)
本発明のVPNゲートウェイ装置は、その機能をハードウェア的に実現することは勿論、コンピュータとプログラムとで実現することができる。以下、図7を参照して、VPNゲートウェイ装置をコンピュータA31とプログラムA318とで実現する実施例について説明する。
本発明のVPNゲートウェイ装置は、その機能をハードウェア的に実現することは勿論、コンピュータとプログラムとで実現することができる。以下、図7を参照して、VPNゲートウェイ装置をコンピュータA31とプログラムA318とで実現する実施例について説明する。
コンピュータA31は、例えば、WANインターフェースA311と、LANインターフェースA312と、媒体インターフェース(媒体 I/F)A313と、演算処理部A314と、記憶部A315とが、バスA316によって相互に接続された構成をしている。プログラムA318は、磁気ディスクや半導体メモリ等のコンピュータ可読記録媒体A317に記録されて提供される。この記録媒体A317を媒体インターフェースA313に接続すると、プログラムA318は記憶部A315に格納される。記憶部A315に格納されたプログラムA318を演算処理部A314が読み出し、プログラムA318にしたがって演算処理部A314が動作することにより、前述した第1の実施例にあっては、WANインターフェース111、LANインターフェースA112、IPsec処理部A113、セッション中継部A114、セッション中継テーブル記憶部A115、SSL処理部A116を実現し、第2の実施例にあっては、WANインターフェースA211、LANインターフェースA212、IPsec処理部A213、セッション中継部A214、セッション中継テーブル記憶部A215を実現することができる。
以上、本発明の実施例について説明したが、本発明は以上の実施例にのみ限定されず、その他各種の付加変更が可能である。
Claims (6)
- WAN側に設定されたVPNトンネルを介してクライアントノードとパケットを送受信するWANインターフェースと、
LAN側に接続されたサーバノードとパケットを送受信するLANインターフェースと、
前記クライアントノードから前記サーバノードに対して設定されようとしている第1の通信セッションを一旦終端し、第1の通信セッションを中継する第2の通信セッションを前記サーバノードに対して設定するセッション中継部と、
前記セッション中継部により設定される第2の通信セッションをSSL化するSSL処理部と、
宛先情報に対応づけて、セッションを中継する際に第2の通信セッションをSSL化するか否かの情報を記憶する記憶部とを備え、
前記セッション中継部は、
前記記憶部に記憶されている情報を参照し、第1の通信セッションの宛先情報に基づいて第2の通信セッションをSSL化するか否かを判定する判定部と、
前記判定部によりSSL化しないと判定された場合に、第2のセッションをSSL化せず、SSL化すると判定された場合に、第2の通信セッションを前記SSL化処理部にSSL化させるセッション処理部と
を備えることを特徴とするVPNゲートウェイ装置。 - 宛先情報に対応づけてセッションの中継が許可されるか否かの情報を記憶する記憶部をさらに備え、
前記セッション中継部は、
前記記憶部に記憶されている情報を参照し、第1の通信セッションの宛先情報に基づいて中継が許可されているか否を判定する判定部と、
第1の通信セッションの中継が許可されていない場合に、第1の通信セッションに対してTCPリセットを行うことにより第1の通信セッションを切断し、第1の通信セッションの中継が許可されている場合に、第2のセッションを設定するセッション処理部と
を備えることを特徴とする請求項1に記載のVPNゲートウェイ装置。 - 前記セッション中継部は、
第2の通信セッションを設定する際のSSLハンドシェークにおいて、前記サーバノードから送信されるサーバ証明書の発行者に基づいて前記サーバノードを認証する認証部と、
前記サーバノードに対する認証に失敗した場合に、第1の通信セッションおよび第2の通信セッションに対してTCPリセットを行うことにより第1の通信セッションおよび第2の通信セッションを切断するセッション処理部と
を備えることを特徴とする請求項1に記載のVPNゲートウェイ装置。 - WAN側に設定されたVPNトンネルを終端するVPNゲートウェイ装置と、前記VPNゲートウェイ装置のLAN側に接続されたサーバノードとを備え、
前記VPNゲートウェイ装置は、
VPNトンネルを介してクライアントノードとパケットを送受信するWANインターフェースと、
前記サーバノードとパケットを送受信するLANインターフェースと、
前記クライアントノードから前記サーバノードに対して設定されようとしている第1の通信セッションを一旦終端し、第1の通信セッションを中継する第2の通信セッションを前記サーバノードに対して設定するセッション中継部と、
前記セッション中継部により設定される第2の通信セッションをSSL化するSSL処理部と、
宛先情報に対応づけて、セッションを中継する際に第2の通信セッションをSSL化するか否かの情報を記憶する記憶部とを備え、
前記セッション中継部は、
前記記憶部に記憶されている情報を参照し、第1の通信セッションの宛先情報に基づいて第2の通信セッションをSSL化するか否かを判定する判定部と、
前記判定部によりSSL化しないと判定された場合に、第2のセッションをSSL化せず、SSL化すると判定された場合に、第2の通信セッションを前記SSL化処理部にSSL化させるセッション処理部と
を備えることを特徴とするホスティングシステム。 - 前記セッション中継部は、
第2の通信セッションを設定する際のSSLハンドシェークにおいて、前記サーバノードから送信されるサーバ証明書の発行者に基づいて前記サーバノードを認証する認証部と、
前記サーバノードに対する認証に失敗した場合に、第1の通信セッションおよび第2の通信セッションに対してTCPリセットを行うことにより第1の通信セッションおよび第2の通信セッションを切断するセッション処理部と
を備えることを特徴とする請求項4に記載のホスティングシステム。 - WAN側に設定されたVPNトンネルを介してクライアントノードとパケットを送受信するWANインターフェースと、
LAN側に接続されたサーバノードとパケットを送受信するLANインターフェースと、
VPNトンネルを終端するVPN処理手段と、
VPNトンネルとLAN側に設定されたVLANとの対応関係をVPN毎に保持すると共に、パケットの宛先IPアドレスおよび宛先ポート情報とSSL化の要否およびSLL化する際の証明書発行者情報とをVLAN毎に保持するセッション中継テーブルを記憶する記憶手段と、
前記記憶手段に記憶されているセッション中継テーブルを参照して、前記クライアントノードから前記サーバノードに対して設定されようとしている第1の通信セッションを一旦終端し、第1の通信セッションを中継する第2の通信セッションを前記サーバノードに対してSSL化されたセッションとして設定するセッション中継手段と
をコンピュータに実現させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006542928A JP4737089B2 (ja) | 2004-10-19 | 2005-10-13 | Vpnゲートウェイ装置およびホスティングシステム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004304254 | 2004-10-19 | ||
| JP2004304254 | 2004-10-19 | ||
| JP2006542928A JP4737089B2 (ja) | 2004-10-19 | 2005-10-13 | Vpnゲートウェイ装置およびホスティングシステム |
| PCT/JP2005/018860 WO2006043463A1 (ja) | 2004-10-19 | 2005-10-13 | Vpnゲートウェイ装置およびホスティングシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2006043463A1 JPWO2006043463A1 (ja) | 2008-05-22 |
| JP4737089B2 true JP4737089B2 (ja) | 2011-07-27 |
Family
ID=36202879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006542928A Expired - Fee Related JP4737089B2 (ja) | 2004-10-19 | 2005-10-13 | Vpnゲートウェイ装置およびホスティングシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20080037557A1 (ja) |
| JP (1) | JP4737089B2 (ja) |
| CN (1) | CN101040496B (ja) |
| TW (1) | TWI310275B (ja) |
| WO (1) | WO2006043463A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102059150B1 (ko) * | 2019-05-02 | 2019-12-24 | 주식회사 스텔스솔루션 | IPsec 가상 사설 네트워크 시스템 |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2922200A1 (en) | 2004-10-25 | 2006-05-04 | Security First Corp. | Secure data parser method and system |
| CN101112041A (zh) * | 2005-02-28 | 2008-01-23 | 日本电气株式会社 | 通信系统、通信装置、通信方法以及程序 |
| US7583662B1 (en) * | 2005-04-12 | 2009-09-01 | Tp Lab, Inc. | Voice virtual private network |
| CN105978683A (zh) | 2005-11-18 | 2016-09-28 | 安全第公司 | 安全数据解析方法和系统 |
| JP4775154B2 (ja) * | 2006-07-25 | 2011-09-21 | 日本電気株式会社 | 通信システム、端末装置、プログラム、及び、通信方法 |
| US11062342B2 (en) | 2006-07-27 | 2021-07-13 | Blackhawk Network, Inc. | System and method for targeted marketing and consumer resource management |
| US20140200997A1 (en) * | 2006-07-27 | 2014-07-17 | Blackhawk Network, Inc. | System and Method for Selecting, Distributing, Redeeming, and Reconciling Digital Offers |
| JP4630296B2 (ja) * | 2007-02-15 | 2011-02-09 | 日本電信電話株式会社 | ゲートウェイ装置および認証処理方法 |
| JP4941117B2 (ja) * | 2007-06-13 | 2012-05-30 | 日本電気株式会社 | サーバ装置、ネットワークシステム及びそれらに用いるネットワーク接続方法 |
| JP4530027B2 (ja) * | 2007-11-13 | 2010-08-25 | 日本電気株式会社 | コンピュータシステム |
| US8762447B2 (en) * | 2008-05-02 | 2014-06-24 | General Electric Company | System and method to secure communications over a public network |
| EP2159961B1 (en) * | 2008-09-01 | 2013-12-11 | Alcatel Lucent | Method, device and module for optimising the remote management of home network devices |
| JP5239966B2 (ja) * | 2009-03-17 | 2013-07-17 | 富士通株式会社 | 中継装置、テナント管理プログラム |
| JP4802263B2 (ja) * | 2009-07-17 | 2011-10-26 | 株式会社日立製作所 | 暗号化通信システム及びゲートウェイ装置 |
| CA2781872A1 (en) * | 2009-11-25 | 2011-06-09 | Security First Corp. | Systems and methods for securing data in motion |
| CN102118386B (zh) * | 2009-12-25 | 2013-11-27 | 佳能It解决方案株式会社 | 中继处理装置、中继处理方法 |
| JP5816872B2 (ja) * | 2010-03-31 | 2015-11-18 | 株式会社ネクステック | 情報処理装置、プログラム、情報処理方法、および情報処理システム |
| CN102255870B (zh) * | 2010-05-19 | 2015-04-29 | 上海可鲁系统软件有限公司 | 一种分布式网络中的安全认证方法及系统 |
| CA2800809A1 (en) | 2010-05-28 | 2011-12-01 | Lawrence A. Laurich | Accelerator system for use with secure data storage |
| US8374183B2 (en) | 2010-06-22 | 2013-02-12 | Microsoft Corporation | Distributed virtual network gateways |
| US9143480B2 (en) * | 2011-01-10 | 2015-09-22 | Secure Global Solutions, Llc | Encrypted VPN connection |
| JP5618886B2 (ja) * | 2011-03-31 | 2014-11-05 | 株式会社日立製作所 | ネットワークシステムおよび計算機振り分け装置、計算機振り分け方法 |
| US10264058B1 (en) | 2011-06-30 | 2019-04-16 | Emc Corporation | Defining virtual application templates |
| US9282142B1 (en) * | 2011-06-30 | 2016-03-08 | Emc Corporation | Transferring virtual datacenters between hosting locations while maintaining communication with a gateway server following the transfer |
| US9323820B1 (en) | 2011-06-30 | 2016-04-26 | Emc Corporation | Virtual datacenter redundancy |
| US9058336B1 (en) | 2011-06-30 | 2015-06-16 | Emc Corporation | Managing virtual datacenters with tool that maintains communications with a virtual data center that is moved |
| US8769058B1 (en) | 2011-06-30 | 2014-07-01 | Emc Corporation | Provisioning interfacing virtual machines to separate virtual datacenters |
| US10042657B1 (en) | 2011-06-30 | 2018-08-07 | Emc Corporation | Provisioning virtual applciations from virtual application templates |
| JP2013077995A (ja) * | 2011-09-30 | 2013-04-25 | Ntt Data Corp | Vpnシステム、vpn接続方法 |
| CN102546794B (zh) * | 2011-12-30 | 2015-01-21 | 华为技术有限公司 | 浏览器客户端与后端服务器直通的方法、网关和通信系统 |
| CN103067282B (zh) * | 2012-12-28 | 2017-07-07 | 华为技术有限公司 | 数据备份方法、装置及系统 |
| US20140282976A1 (en) * | 2013-03-15 | 2014-09-18 | Netop Solutions A/S | System and method for secure application communication between networked processors |
| JP6107498B2 (ja) | 2013-07-17 | 2017-04-05 | 富士通株式会社 | 通信方法、通信装置及び通信プログラム |
| TWI501105B (zh) * | 2014-03-27 | 2015-09-21 | Neovue Inc | 遠端機密檔案管制系統 |
| JP5842040B2 (ja) * | 2014-09-12 | 2016-01-13 | 株式会社日立製作所 | ネットワークシステム |
| US11070395B2 (en) * | 2015-12-09 | 2021-07-20 | Nokia Of America Corporation | Customer premises LAN expansion |
| US10404761B2 (en) * | 2016-02-04 | 2019-09-03 | Airwatch, Llc | Segregating VPN traffic based on the originating application |
| JP6662136B2 (ja) * | 2016-03-22 | 2020-03-11 | 日本電気株式会社 | 中継装置、通信システム、中継方法及び中継プログラム |
| CN107306214B (zh) * | 2016-04-18 | 2020-04-03 | 华为技术有限公司 | 终端连接虚拟专用网的方法、系统及相关设备 |
| KR101712922B1 (ko) * | 2016-06-10 | 2017-03-08 | 주식회사 아라드네트웍스 | 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 |
| US11870777B2 (en) * | 2018-05-18 | 2024-01-09 | Mitsubishi Electric Corporation | Relay device and communication system |
| CN113872990B (zh) * | 2021-10-19 | 2023-06-30 | 南方电网数字电网研究院有限公司 | 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001306519A (ja) * | 2000-04-26 | 2001-11-02 | Ntt Communications Kk | 認証接続システム及び方法 |
| JP2004503011A (ja) * | 2000-07-05 | 2004-01-29 | アーンスト & ヤング エルエルピー | コンピュータサービスを提供するための方法および装置 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6298060B1 (en) * | 1998-04-30 | 2001-10-02 | Nippon Telegraph And Telephone Corporation | Layer 2 integrated access scheme |
| US7111060B2 (en) * | 2000-03-14 | 2006-09-19 | Aep Networks, Inc. | Apparatus and accompanying methods for providing, through a centralized server site, a secure, cost-effective, web-enabled, integrated virtual office environment remotely accessible through a network-connected web browser |
| US7436830B2 (en) * | 2000-04-03 | 2008-10-14 | P-Cube Ltd. | Method and apparatus for wire-speed application layer classification of upstream and downstream data packets |
| US6823462B1 (en) * | 2000-09-07 | 2004-11-23 | International Business Machines Corporation | Virtual private network with multiple tunnels associated with one group name |
| JP2002082907A (ja) * | 2000-09-11 | 2002-03-22 | Nec Corp | データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体 |
| JP4225681B2 (ja) * | 2000-12-06 | 2009-02-18 | 富士通株式会社 | 仮想閉域網構築方法及び装置並びに中継装置 |
| US20020103931A1 (en) * | 2001-01-26 | 2002-08-01 | Mott Charles J. | Virtual private networking using domain name service proxy |
| US7391782B2 (en) * | 2001-03-06 | 2008-06-24 | Fujitsu Limited | Packet relaying apparatus and relaying method with next relaying address collation |
| US6983382B1 (en) * | 2001-07-06 | 2006-01-03 | Syrus Ziai | Method and circuit to accelerate secure socket layer (SSL) process |
| EP1563389A4 (en) * | 2001-08-01 | 2008-06-25 | Actona Technologies Ltd | VIRTUAL DATA DISTRIBUTION NETWORK |
| US7085827B2 (en) * | 2001-09-20 | 2006-08-01 | Hitachi, Ltd. | Integrated service management system for remote customer support |
| US7116665B2 (en) * | 2002-06-04 | 2006-10-03 | Fortinet, Inc. | Methods and systems for a distributed provider edge |
| US20050193103A1 (en) * | 2002-06-18 | 2005-09-01 | John Drabik | Method and apparatus for automatic configuration and management of a virtual private network |
| JP2004110367A (ja) * | 2002-09-18 | 2004-04-08 | Hitachi Ltd | 記憶装置システムの制御方法、記憶制御装置、および記憶装置システム |
| US7680878B2 (en) * | 2002-09-30 | 2010-03-16 | Panasonic Corporation | Apparatus, method and computer software products for controlling a home terminal |
| US7440573B2 (en) * | 2002-10-08 | 2008-10-21 | Broadcom Corporation | Enterprise wireless local area network switching system |
| JP3965160B2 (ja) * | 2003-01-21 | 2007-08-29 | 三星電子株式会社 | 相異なる私設網に位置したネットワーク装置間の通信を支援するネットワーク接続装置 |
| US20040177157A1 (en) * | 2003-02-13 | 2004-09-09 | Nortel Networks Limited | Logical grouping of VPN tunnels |
| US7467400B1 (en) * | 2003-02-14 | 2008-12-16 | S2 Security Corporation | Integrated security system having network enabled access control and interface devices |
| US7486659B1 (en) * | 2003-02-24 | 2009-02-03 | Nortel Networks Limited | Method and apparatus for exchanging routing information between virtual private network sites |
| JP4173517B2 (ja) * | 2003-03-05 | 2008-10-29 | インテリシンク コーポレイション | コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク |
| US20040210663A1 (en) * | 2003-04-15 | 2004-10-21 | Paul Phillips | Object-aware transport-layer network processing engine |
| US7478427B2 (en) * | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
| EP1643691B1 (en) * | 2003-07-04 | 2007-12-05 | Nippon Telegraph and Telephone Corporation | Remote access vpn mediation method and mediation device |
| US20060010485A1 (en) * | 2004-07-12 | 2006-01-12 | Jim Gorman | Network security method |
-
2005
- 2005-10-13 TW TW94135680A patent/TWI310275B/zh not_active IP Right Cessation
- 2005-10-13 US US11/577,001 patent/US20080037557A1/en not_active Abandoned
- 2005-10-13 WO PCT/JP2005/018860 patent/WO2006043463A1/ja active Application Filing
- 2005-10-13 JP JP2006542928A patent/JP4737089B2/ja not_active Expired - Fee Related
- 2005-10-13 CN CN2005800345843A patent/CN101040496B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001306519A (ja) * | 2000-04-26 | 2001-11-02 | Ntt Communications Kk | 認証接続システム及び方法 |
| JP2004503011A (ja) * | 2000-07-05 | 2004-01-29 | アーンスト & ヤング エルエルピー | コンピュータサービスを提供するための方法および装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102059150B1 (ko) * | 2019-05-02 | 2019-12-24 | 주식회사 스텔스솔루션 | IPsec 가상 사설 네트워크 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI310275B (en) | 2009-05-21 |
| US20080037557A1 (en) | 2008-02-14 |
| CN101040496B (zh) | 2010-09-15 |
| CN101040496A (zh) | 2007-09-19 |
| JPWO2006043463A1 (ja) | 2008-05-22 |
| WO2006043463A1 (ja) | 2006-04-27 |
| TW200625876A (en) | 2006-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4737089B2 (ja) | Vpnゲートウェイ装置およびホスティングシステム | |
| US11283772B2 (en) | Method and system for sending a message through a secure connection | |
| Patel et al. | Securing L2TP using IPsec | |
| EP2267951B1 (en) | Method for routing packets from an endpoint to a gateway | |
| Frankel et al. | Guide to IPsec VPNs:. | |
| WO2010087326A1 (ja) | Tcp通信方式 | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| Cisco | Introduction to Cisco IPsec Technology | |
| Cisco | Policy Management | |
| Cisco | Policy Management | |
| Cisco | Policy Management | |
| Cisco | Policy Management | |
| Cisco | Policy Management | |
| Vishwakarma | Virtual private networks | |
| Rajamohan | An overview of remote access VPNs: Architecture and efficient installation | |
| Patel et al. | RFC3193: Securing L2TP using IPsec | |
| Degefa | VPN Scenarios, Configuration and Analysis:- | |
| Frankel et al. | SP 800-77. Guide to IPsec VPNs | |
| Tiruchendur | An Efficient Approach to Secure VPN based on Firewall using IPSec & IPtables | |
| Lewkowski et al. | Guide to IPsec VPNs | |
| Gallo et al. | An Analisys of Business VPN Case Studies | |
| JP2022500889A (ja) | データ通信ネットワークのセキュリティ方法 | |
| Djin | Managing Access Control in Virtual Private Networks | |
| Zorn et al. | Network Working Group B. Patel Request for Comments: 3193 Intel Category: Standards Track B. Aboba W. Dixon Microsoft | |
| Djin | Technical Report TR2005-544 Department of Computer Science |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080919 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100713 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100909 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110111 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110304 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110405 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110418 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4737089 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |