Nothing Special   »   [go: up one dir, main page]

JP4407452B2 - サーバ、vpnクライアント、vpnシステム、及びソフトウェア - Google Patents

サーバ、vpnクライアント、vpnシステム、及びソフトウェア Download PDF

Info

Publication number
JP4407452B2
JP4407452B2 JP2004283021A JP2004283021A JP4407452B2 JP 4407452 B2 JP4407452 B2 JP 4407452B2 JP 2004283021 A JP2004283021 A JP 2004283021A JP 2004283021 A JP2004283021 A JP 2004283021A JP 4407452 B2 JP4407452 B2 JP 4407452B2
Authority
JP
Japan
Prior art keywords
vpn
packet
address
vpn client
multicast address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004283021A
Other languages
English (en)
Other versions
JP2006101051A5 (ja
JP2006101051A (ja
Inventor
真理子 山田
正 矢野
新井  真
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004283021A priority Critical patent/JP4407452B2/ja
Priority to CN2005100068382A priority patent/CN1756234B/zh
Priority to US11/047,772 priority patent/US7725707B2/en
Publication of JP2006101051A publication Critical patent/JP2006101051A/ja
Publication of JP2006101051A5 publication Critical patent/JP2006101051A5/ja
Application granted granted Critical
Publication of JP4407452B2 publication Critical patent/JP4407452B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、インタネットプロトコルを用いて、物理的に離れた拠点間で論理的な閉域ネットワーク(VPN)を構成する通信システムに関する。
インタネットを用いてL2VPNを構築する方式として、トンネリングによる方式が知られている。本方式では、送信側VPN装置が接続するLAN上を流れるイーサフレームを補足し、IPでカプセル化して受信側VPN装置に送信する。イーサフレームをカプセル化したIPパケットを受信した受信側VPN装置は、受信したIPパケットからイーサフレームを取り出し、受信側装置が接続するLANにイーサフレームを送信することで、L2VPNを構築することが可能である。
インタネットを経由した通信では、通信経路上でデータを第三者に盗聴や改ざんされる可能性がある。そのため、データを安全に送受信するためには、暗号化を用いる必要がある。IPパケットの盗聴や改ざんからデータを守る技術としてIPsec(IP Security Protocol)が一般的に知られている(例えば、非特許文献1参照)。IPsecでは、暗号化方式や鍵等を事前に定めたセキュリティアソシエーションに従って、IPパケットの暗号化や復号化を行う。セキュリティアソシエーションの確立には、IKE(Internet Key Exchange)を用いて動的に確立する方法の他、手動で事前に設定しておく方法がある。
ひとつの送信端末から、複数の受信端末へ同一内容のIPパケットを送信するための技術としてマルチキャストが知られている。ユニキャストを用いた通信では、受信端末が複数存在する場合、送信端末が受信端末数だけパケットを複製して送信する必要がある。しかし、マルチキャストを用いた通信では、送信端末は1つのパケットだけを送信し、パケットの複製は経路上の適切なマルチキャストルータによって行われる。そのため、送信端末の負荷を軽減するとともに、トラヒックを削減し、ネットワークを効率に使用することができる。
IETF, RFC2401
インタネットを利用して閉域性と秘匿性を保ってL2VPNを構築するためには、VPNクライアントとVPNサーバ間で暗号化してデータを交換する必要がある。VPNサーバでは、VPNクライアントから受信したデータを、データ送信元のVPNクライアント用の鍵で復号化し、データの送信先となるVPNクライアントを決定した後、送信先のVPNクライアント用の鍵で暗号化する必要がある。暗号化、復号化の処理は負荷が高く、VPNサーバのスループットが低下する。
VPNクライアントがイーサフレームをVPNサーバから配布されたマルチキャストアドレス
のセキュリティアソシエーションに従って暗号化し、宛先アドレスをマルチキャストアド
レスとしたIPパケットでカプセル化する。この暗号化したマルチキャストIPパケットを宛
先アドレスをVPNサーバのIPアドレスとしたIPパケットでさらにカプセル化し、VPNサーバ
にユニキャストで送信する。VPNクライアントからのIPパケットを受信したVPNサーバは、
一度IPパケットをデカプセル化し、中身のマルチキャストIPパケットのマルチキャストア
ドレスから、送信先のVPNクライアントを決定し、宛先アドレスを送信先のVPNクライアン
トのIPアドレスとしたIPパケットでもう一度カプセル化してVPNクライアントに送信する
。VPNクライアントは、受信したIPパケットを一度カプセル化した後、中身のマルチキ
ャストIPパケットを、マルチキャストのセキュリティアソシエーションに従って復号化し
、カプセル化されたイーサフレームを取得する。
本発明によるとVPNサーバの処理負荷を大幅に軽減することができ、VPNサーバのスループットを向上させることができる。
図2は本発明が実施される通信システムを示している。本通信システムは、VPNサーバ101、VPNクライアントA102、VPNクライアントB103、VPNクライアントC104、および各VPNクライアントが接続するLAN105、106、107、LAN105に所属する端末(1)108、LAN106に所属する端末(2)109、LAN107に所属する端末(3)110から構成される。VPNサーバ101と各VPNクライアント102、103、104はインタネット111を介して接続される。
図3−1はVPNクライアントA102の構成例である。VPNクライアントA102は、CPU(Central Processing Unit)301、メモリ302、インタフェース部304、305から構成される。CPU301は、各種アプリケーションプログラムや、OS(Operating System)を実際に実行する。メモリ302はCPU301の実行において使用するプログラムや、各種アプリケーションプログラムが格納される。CPU301とメモリ302は、バス303を介して接続される。インタフェース部304、305はCPU301やメモリ302から供給されたデータを外部の機器に供給する。インタフェース部304、305のうちどちらか一方はLAN105に接続され、もう一方はインタネット111に接続されている。図3−2はメモリ302内に格納された情報を示している。メモリ302内には、IPsec処理312、VPN確立処理313、VPN転送処理314などのプログラム、セキュリティアソシエーション(SA)管理テーブル308、VPN情報管理テーブル309、認証情報管理テーブル310、外部LAN MAC管理テーブル311などの情報管理テーブルが格納されている。
セキュリティアソシエーション管理テーブル308はIPsecのセキュリティアソシエーションを管理している。VPN情報管理テーブル309は、VPNクライアントが利用可能なVPNサーバのユニキャストアドレス、および、VPN転送用のマルチキャストアドレスを管理する。
図4−1はVPN情報管理テーブル309の構成例を示している。例では、VPNサーバのIPアドレスは3ffe::1000、VPN転送用のマルチキャストアドレスがff1e::1であることを示している。
認証情報管理テーブル310では、VPN確立時のユーザ認証に必要な、VPNクライアントのユーザIDやパスワードを管理する。
外部LAN MAC管理テーブル311は、VPNクライアントA102がVPNサーバ101を介して接続しているVPNクライアントB103、C104が接続するLAN106、107に所属する端末(2)109 および端末(3)110のMACアドレスと、MACアドレスの有効時間を管理する。有効時間は、端末との通信が発生するたびに更新され、一定時間更新がなく、有効時間が0になると、登録されたMACアドレスは外部LAN MACアドレス管理テーブル311から削除される。
図4−2は外部LAN MAC管理テーブル311の構成例を示している。例では、端末(2)109および端末(3)110のMACアドレスbb、ccと、それらMACアドレスの有効時間が3600秒、3000秒であることを示している。
図5−1はVPNサーバ101の構成例である。VPNサーバ101は、CPU501、メモリ502、インタフェース部504から構成される。CPU501、メモリ502、インタフェース部504はバス503を介して接続される。インタフェース部504はインタネット111に接続されている。
図5−2はメモリ502に格納された情報を示している。メモリ502内には、IPsec処理510、ユーザ,VPN管理処理511、VPN転送処理512などのプログラム、および、ユーザVPNグループ管理テーブル506、ユニキャストグループ管理テーブル507、マルチキャストアドレス管理テーブル508、MAC IP対応管理テーブル509などの情報管理テーブルが格納されている。
図6−1はユーザVPNグループ管理テーブル506の構成例である。ユーザVPN情報管理テーブルは、ユーザが所属するVPNのグループを管理する。例では、User A、B、CはVPNグループ1001、User DはVPNグループ1002に所属している。
図6−2は、ユニキャストグループ管理テーブル507の構成例である。ユニキャストグループ管理テーブル507は、同じVPNグループに属するユーザが現在使用しているユニキャストのIPアドレスを管理する。例では、VPNグループ1001に所属するユーザ(User A、B、C)が使用しているIPアドレスが、3ffe:aaaa::1、3ffe:bbbb::1、3ffe:cccc::1であることを示している。
図6−3は、マルチキャストアドレス管理テーブル508の構成例である。マルチキャストアドレス管理テーブル508は、VPNグループが現在利用しているマルチキャストアドレスと、マルチキャストアドレスに対応したセキュリティアソシエーションを管理する。例では、VPNグループ1001は、マルチキャストアドレスff1e::1を利用し、マルチキャストアドレスff1e::1用のセキュリティアソシエーションはSA1であることを示している。セキュリティアソシエーションとはIPsecのセキュリティアソシエーションを示しており、暗号化アルゴリズム、鍵、SPI(Security Parameter Index)などが含まれる。
図6−4は、MAC IP対応管理テーブル509の構成例である。MAC IP対応管理テーブル509は、端末のMACアドレスと、端末が所属するLANに接続するVPNクライアントIPアドレスとの対応関係を管理する。例では、端末(1)108のMACアドレスaaは、VPNクライアントA102のIPアドレス3ffe:aaaa::1に対応し、端末(2)109のMACアドレスbbは、VPNクライアントB103のIPアドレス3ffe:bbbb::1に対応していることを示している。
図1は、本発明にかかるLAN間接続方式によって、LAN105、106、107がL2VPNで接続される際のシーケンスを示している。クライアントA102、クライアントB103、クライアントC104はすべてVPNクライアントであり、各VPNクライアントの利用者A、B、Cは、LAN105、106、107がL2VPNで接続されることに同意しているものとする。
VPNグループ間でマルチキャストのセキュリティアソシエーションを確立するVPNクライアント側の処理は、VPN確立処理313によって行われる。また、VPNサーバ側の処理は、ユーザ,VPN管理処理511によって行われる。
まず、VPNクライアントA102とVPNサーバ101間でユニキャストのセキュリティアソシエーションを確立する。VPNクライアントA102は、IPsecを用いてデータを暗号化した上で、認証情報管理テーブル310に登録された情報をもとに、ユーザ認証要求を行う。VPNサーバ101は、ユーザ認証を行い、ユーザが認証された場合は、VPN接続で利用するマルチキャストアドレスおよび、マルチキャストアドレスのセキュリティアソシエーションをセキュリティパラメタとしてVPNクライアントに通知する。VPNクライアントは、配布されたセキュリティパラメタをセキュリティアソシエーション管理テーブル308に登録し、VPNグループ間でセキュリティアソシエーションを確立する。クライアントBおよびクライアントCも同様にしてVPNグループ間でセキュリティアソシエーションを確立する。
図7−1にVPNサーバ101のユーザ,VPN管理処理511の処理フローを示す。本処理は、図1のシーケンス図において、VPNクライアントがマルチキャストのセキュリティアソシエーションを確立するまでのVPNサーバの処理を示している。
VPNサーバで101はクライアントA102からの要求に従い、IKE等により、VPNクライアントとVPNサーバ間でユニキャストアドレスを用いたセキュリティアソシエーションを確立する(ステップ701)。VPNクライアントとVPNサーバ間のセキュリティアソシエーション確立後、IPsecを用いてデータを暗号化し、ユーザ認証を行う。ユーザ認証は、XAUTH等を用いて、セキュリティアソシエーション確立中に行ってもよい。ユーザ認証が成功したかを判定し(ステップ702)、失敗した場合は処理を終了する。成功した場合は、ユーザ認証に用いたユーザIDから、ユーザVPNグループ管理テーブル506を用いて、ユーザのVPN IDを特定する(ステップ703)。VPN IDから、ユニキャストグループ管理テーブル507の検索を行い、VPN IDが既登録か否かを判定する(ステップ704)。
ユニキャストグループ管理テーブル507にVPN IDが未登録の場合は、同一VPN IDを共有しているユーザグループ内で最初のVPNクライアントからの接続と判定し、以後のVPN接続で利用するマルチキャストアドレスを決定する。また、決定したマルチキャストアドレスに対するセキュリティアソシエーションを生成し、マルチキャストアドレスとともにマルチキャストアドレス管理テーブル508に保存する(ステップ705)。さらに、ステップ703で特定したVPN IDのユニキャストグループ管理テーブル508を生成し、VPNクライアントのユニキャストアドレスを登録する(ステップ706)。ユニキャストグループ管理テーブル506にVPN IDが既登録の場合(ステップ704)は、マルチキャストアドレス、およびセキュリティアソシエーションの生成、登録は行わない。既登録のユニキャストグループ管理テーブル507に、VPNクライアントのユニキャストアドレスの追加を行う(ステップ707)。VPNグループで使用するマルチキャストアドレスと、マルチキャストアドレス用セキュリティアソシエーションをVPNクライアントに通知し、処理を終了する(ステップ708)。
以上の処理により、同一VPNグループ間でマルチキャストのセキュリティアソシエーションが確立できる。
図1にもどり、イーサフレームの転送処理を説明する。VPNクライアントA102は、イーサフレームをIPパケットでカプセル化してVPNサーバ101に送信する。本処理は、VPNクライアントA102のVPN転送処理314によって行われる。VPNクライアントA102からVPNサーバ101宛に送信されたIPパケットを、適切なVPNクライアントに転送する処理は、VPNサーバ101のVPN転送処理511によって行われる。
図8−1にVPNクライアントにおけるVPN転送処理の送信処理フローを示す。VPNクライアントA102では、VPNクライアントA102が接続するLAN105上を流れるイーサフレームをすべて捕捉する(ステップ801)。イーサフレームの送信元MACアドレスが外部LAN MAC管理テーブル311に登録されているか検索する(ステップ802)。外部LAN MAC管理テーブル311に登録されている場合は、捕捉したイーサフレームを破棄し、処理を終了する。登録されていない場合は、VPN情報管理テーブル309からVPNグループで利用するマルチキャストアドレスを取得する(ステップ803)。ステップ801で捕捉したイーサフレームをペイロードとするIPパケットを作成する。IPパケットの宛先アドレスはステップ803で取得したマルチキャストアドレスとする(ステップ804)。以後、ステップ804で作成したIPパケットを内部IPパケット、内部IPパケットのヘッダ部を内部IPヘッダと称す。
このように、内部IPヘッダの宛先アドレスをマルチキャストアドレスにすることで、VPNサーバがこのマルチキャストアドレスをもとに、転送先VPNクライアントを特定することができる。宛先アドレスをマルチキャストアドレスとしたセキュリティアソシエーションが、セキュリティアソシエーション管理テーブル308に登録されているかを判定する(ステップ805)。正常系であれば、ステップ708によって配布されたマルチキャストアドレスのセキュリティアソシエーションが登録されている。セキュリティアソシエーションが登録されていない場合は、処理を終了する。セキュリティアソシエーションが登録されている場合は、登録情報に従って、ステップ804で作成した内部IPパケットを暗号化する(ステップ806)。このように、内部IPパケットをマルチキャストアドレスのセキュリティアソシェーションに従って暗号化することで、VPNサーバで復号化、再暗号化の処理をしなくても、送信先VPNクライアントが内部IPパケットを復号化できる。ステップ806で暗号化した内部IPパケットにVPNヘッダ901を付与する(ステップ807)。
図9にVPNヘッダの構成例を示す。VPNヘッダ901は、次フィールドがMACアドレスかIPヘ
ッダかを示す。次データフィールド902がMACアドレスを示す場合
には、送信元MACアドレス903および宛先MACアドレス904を含む。VPN情報管理テーブル309
からVPNサーバのIPアドレスを取得する(ステップ808)。ステップ807で作成したデータ
をUDPペイロードに含むIPパケットを作成し、宛先IPアドレスをステップ808で取得したVP
Nサーバのアドレスに設定し、インタネットに接続する回線に出力する(ステップ809)。
以後、ステップ809で作成したIPパケットを外部IPパケット、外部IPパケットのヘッダ部
を外部IPヘッダと称す。
図10は、VPNクライアントA102の送信処理で作成されるIPパケットの構成を示している。VPNサーバを宛先とする外部IPパケットのUDPペイロード部1001に、VPNヘッダ901を付与したマルチキャストアドレス宛の内部IPパケット1002を格納し、さらに、マルチキャストアドレス宛の内部IPパケット1002のなかに捕捉したイーサフレームを格納する構成となる。このように、内部IPヘッダの宛先アドレスをマルチキャストアドレスとしておくことで、VPNサーバは、内部IPパケットの暗号化された部分を復号化することなく、宛先VPNクライアントを特定することができる。
図7−2にVPNクライアントA102からのIPパケットを受信したVPNサーバ101の処理フローを示す。VPNサーバ101が自宛のIPパケットを受信する(ステップ709)。VPNサーバ101は外部IPパケットのUDPペイロード部1001を解析し(ステップ710)、VPNヘッダ901を取得する。VPNヘッダの次データフィールド902を調査し、VPNヘッダ901にMACアドレスが含まれているか否かを判定する(ステップ711)。MACアドレスが含まれている場合には、VPNヘッダ901から取得した送信元MACアドレス904から、MAC IP対応管理テーブル509を検索する(ステップ712)。MAC IP対応管理テーブル509にMACアドレスの登録があるかを判定し(ステップ713)、登録がない場合は、MAC IP管理テーブル509にVPNヘッダ901で通知された送信元MACアドレスと、ステップ709で受信したIPパケットの送信元IPアドレスの対応を登録する(ステップ714)。VPNヘッダ901から取得した宛先MACアドレス903から、MAC IP管理テーブル509を検索し(ステップ715)、宛先MACアドレスの登録があるかを判定する(ステップ716)。
MAC IP対応管理テーブル509に、VPNヘッダ901の宛先MACアドレス903から取得したMACアドレスの登録がある場合は、ステップ709で受信したIPパケットのVPNヘッダ以下をUDPペイロードとした外部IPパケットを作成し、作成した外部IPパケットの宛先IPアドレスは、MAC IP対応管理テーブル509から取得したIPアドレスとする。作成した外部IPパケットを回線に出力する(ステップ719) MAC IP対応管理テーブル509に、VPNヘッダの宛先MACアドレス903から取得したMACアドレスの登録がない場合は、ステップ709で受信した外部IPパケットのUDPペイロード1001に含まれる内部IPパケット1002の宛先アドレスからマルチキャスト管理テーブル508を検索しVPN IDを取得する。取得したVPN IDからユニキャストグループ管理テーブルを検索し、IPパケットの送信元のVPNクライアントと同一のVPNグループに属するクライアントのIPアドレスを取得する(ステップ718)。IPアドレスの取得に失敗した場合は、処理を終了する。IPアドレスの取得に成功した場合は、ステップ717で取得したIPアドレスの中から、ステップ709で取得した外部IPパケットの送信元IPアドレス以外のIPアドレスをすべて選択する。ステップ709で受信したIPパケットのVPNヘッダ以下をUDPペイロードとしたIPパケットを作成する。作成した外部IPパケットの宛先IPアドレスは、選択したIPアドレスとし、外部IPパケットを回線に出力する(ステップ719)。
ステップ711でVPNヘッダにMACアドレスが含まれていない場合、すなわち、VPNヘッダの次データフィールドが2の場合は、MACアドレスの検索は行わず、ステップ709で受信した外部IPパケットのUDPペイロード1001に含まれる内部IPパケット1002の宛先アドレスからマルチキャスト管理テーブル508を検索しVPN IDを取得する。取得したVPN IDからユニキャストグループ管理テーブル507を検索し、外部IPパケットの送信元のVPNクライアントと同一のVPNグループに属するクライアントのIPアドレスを取得する(ステップ718)。IPアドレスの取得に失敗した場合は、処理を終了する。IPアドレスの取得に成功した場合は、ステップ717で取得したIPアドレスの中から、ステップ709で取得した外部IPパケットの送信元IPアドレス以外のIPアドレスをすべて選択する。ステップ709で受信したIPパケットのVPNヘッダ以下をUDPペイロードとした外部IPパケットを作成する。作成した外部IPパケットの宛先IPアドレスは、選択したIPアドレスとし、外部IPパケットを回線に出力する(ステップ719)。
図8−2にVPNサーバ101からVPNクライアントB103宛のパケットを受信したVPNクライアントの受信処理フローを示す。本処理は、VPNクライアントのVPN転送処理314で行われる。
VPNクライアントB102は、自宛のIPパケットを受信する(ステップ810)。受信したIPパケットのUDPペイロード1001を調べ、UDPペイロード1001に含まれる内部IPパケット1002を取得する(ステップ811)。セキュリティアソシエーション管理テーブル308を検索し、取得した内部IPパケット1002に該当するセキュリティアソシエーションを検索する(ステップ812)し、該当するセキュリティアソシエーションが登録されているかを判定する(ステップ813)。該当するセキュリティアソシエーションが登録されていない場合は、処理を終了する。正常系であれば、VPN接続時にVPNサーバ101から配布されたマルチキャストアドレスのセキュリティアソシエーションが登録されている。該当するセキュリティアソシエーションが存在する場合は、取得したセキュリティアソシエーションに従って、ステップ811で取得した内部IPパケット1002を復号化する(ステップ814)。復号化した内部IPパケットから、イーサフレームを取得する(ステップ815)。ステップ815で取得したイーサフレームの送信元MACアドレスから外部LAN MAC管理テーブル311を検索する(ステップ816)。
検索した送信元MACアドレスが外部LAN MAC管理テーブル311に既に登録されている場合は、該当するMACアドレスの有効時間を更新し(ステップ818)、ステップ815で取得したイーサフレームを回線に出力し(ステップ820)、処理を終了する。検索した送信元MAVアドレスが外部LAN MAC管理テーブル311に登録されていない場合は、送信元MACアドレスを外部LAN MAC管理テーブルに登録し(ステップ819)、ステップ815で取得したイーサフレームを回線に出力(ステップ820)して処理を終了する。
以上の実施例1で示した構成により、セキュリティの保たれた閉域網を実現する際に、VPNサーバで内部IPパケットの暗号化、復号化の処理を行わないために、VPNサーバの処理負荷を軽減でき、同時にスループットが向上する。
実施例2では、VPN IDにSub IDを導入し、同一VPNグループ内でL2VPNを構成するユーザを任意に変更する例について説明する。図11は、VPNサーバ101から配布するセキュリティパラメタを任意に変更することで、L2VPNを構成するユーザが変更される様子を示している。
各VPNクライアント(102、103、104)は実施例1と同様にVPNクライアントとVPNサーバ間でユニキャストアドレスのセキュリティアソシエーションを確立し、ユーザ認証を行う。ユーザが認証された場合は、VPN接続で利用するマルチキャストアドレスおよび、マルチキャストアドレスのセキュリティアソシエーションを、セキュリティパラメタとしてVPNクライアントに通知する。本実施例では、VPNサーバ101から各VPNクライアント(102、103、104)に配布するセキュリティアソシエーションをVPN Sub IDごとに変えて配布する。そのために、マルチキャストアドレス管理テーブル508にVPN Sub IDフィールド1201を追加する。図12−1に拡張したマルチキャストアドレス管理テーブルの概念図を示す。
VPN Sub IDは同一VPNグループ内の管理者が事前に設定しておく。VPNグループ管理者用のポータルページ等を用いて、VPN接続中に各ユーザが属するSub IDを変更することも可能である。図12−2にVPN Sub IDグループ管理テーブルの概念図を示す。
図11では、VPNグループ管理者による初期設定は、User AおよびUser BのSub IDは1、User CのSub IDは2に設定されている。ユーザ認証後、VPNサーバ101は、VPNクライアントA102およびB103にはマルチキャストのセキュリティアソシエーション1を、VPNクライアントC103にはマルチキャストのセキュリティアソシエーション10をセキュリティパラメタとして配布する。VPNクライアントA102およびB103には同じセキュリティアソシエーションが配布されたため、VPNクライアントA102、B103間では、マルチキャストのセキュリティアソシエーションが確立するが、VPNクライアントC103には、異なるセキュリティアソシエーションが配布されているため、クライアントA102およびB103とのセキュリティアソシエーションは確立されない。
この状態で、VPNクライアントA102は、実施例1と同様にして、捕捉したイーサフレームをIPパケットでカプセル化してVPNサーバ101に送信する。VPNサーバは、UDPペイロード部1001から取り出した内部IPパケット1002の宛先マルチキャストアドレスからVPNクライアントB103およびVPNクライアントC104を選択し、実施例1と同様の方法で送信する。VPNサーバ101からのIPパケットを受信したVPNクライアントB103およびC104は、暗号化されたマルチキャストパケットの復号化を試みる。VPNクライアントB103はVPNクライアントA102とセキュリティアソシエーションを共有しているため、復号化可能であるが、VPNクライアントC104はセキュリティアソシエーションが共有していないため、復号化できない。そのため、VPNクライアントA102およびB103はL2VPNを構成することが可能であるが、VPNクライアントC104は、VPNクライアントA102およびB103とL2VPNを構築することができない。つまり、VPNクライアントC104は、VPNクライアントA102またはVPNクライアントB103からL2VPN経由で受信したイーサフレームを復号化することができない。
VPNグループ管理者がSub IDの変更を行い、User CのSub IDを1に変更する。
VPNサーバ101は、Sub IDの変更を検知し、変更があったユーザのVPN IDをユーザVPNグループ管理テーブル506から取得する。マルチキャストアドレス管理テーブル508を用いて、VPN ID、Sub IDからセキュリティアソシエーションを取得する。取得したセキュリティアソシエーションをセキュリティパラメタとして、VPNクライアントC104に通知する。VPNクライアントC104は、配布されたセキュリティパラメタの中から、マルチキャストのセキュリティアソシエーションを取得し、セキュリティアソシエーション管理テーブル308に登録する。これにより、VPNクライアントA102、B103、C104間でマルチキャストのセキュリティアソシエーションが確立する。以後、VPNクライアントA102またはVPNクライアントB103から送信されたデータは、C104でも復号化可能となる。
以上の実施例2で示した構成により、一つのVPNグループに所属するクライアントを柔軟に変更することができる。
図13は本発明をマルチキャストネットワークによって実施する様子を示している。本実施例では、各VPNクライアント(102、103、104)は、マルチキャストネットワーク1302を介して接続している。マルチキャストネットワーク1302にはマルチキャストルータ1301が所属している。
VPNサーバ101は、IP通信が可能な場所に設置されていれば、マルチキャストネットワーク1302内に存在しなくてもよい。
図14に本実施例に沿った通信手順の例を示す。各VPNクライアント(102、103、104)は、実施例1と同様にVPNサーバ101とユニキャストのセキュリティアソシエーションを確立し、ユーザ認証を行う。ユーザが認証された場合は、VPN接続で利用するマルチキャストアドレスおよび、マルチキャストアドレスのセキュリティアソシエーションをVPNクライアントに通知し、VPNグループ間でのセキュリティアソシエーションを確立する。
クライアントA102は、端末(1)108から送信されたイーサフレームを捕捉し、IPパケットを暗号化する処理(ステップ801からステップ806)は第1実施例と同様である。本実施例では、VPNクライアントA102は、VPNヘッダ901やVPNサーバ101を宛先とするIPヘッダの付与は行わず回線に出力する。つまり内部IPアドレスのまま送信する。マルチキャストアドレスを宛先アドレスとするIPパケットは、マルチキャストネットワーク1302内のマルチキャストルータ1301によって複製され、VPNクライアントB103およびC104に送信される。VPNクライアントA102から送信されたマルチキャスト宛のIPパケットを受信した各クライアントは、該当のセキュリティアソシエーションでIPパケットを復号化し、実施例1と同様の処理を行う(ステップ812からステップ820)。
以上の実施例3で示した構成により、イーサフレームの転送にVPNサーバを用いることなく、マルチキャストネットワークを用いて閉域網を構成することができ、VPNサーバの処理負荷を軽減できると同時にスループットが向上する。
図15は本発明を複数のVPNサーバを用いて実施する様子を示している。本実施例では、VPNサーバをインタネット111上に複数配置し、VPNクライアントは最寄りのVPNサーバに接続することにより、他のVPNクライアントと接続する。本実施例では、VPNクライアントA102、B103、C104および代表VPNサーバ1501、VPNサーバA1502、B1503は、インタネット111を介して接続している。
図16に本実施例に沿った通信手順の例を示す。各VPNクライアント(102、103、104)は、実施例1と同様に代表VPNサーバ1501とユニキャストのセキュリティアソシエーションを確立する。代表VPNサーバ1501は、ユーザVPN管理処理511を行い、VPN接続で利用するマルチキャストアドレス、マルチキャストアドレスのセキュリティアソシエーションを配布する。このとき、以後L2データの転送に用いるVPNサーバのアドレスを各VPNクライアントに配布する。例えば、VPNクライアントA102が代表VPNサーバ1501で認証された場合、代表VPNサーバ1501はVPNサーバA1501のアドレスと、VPN接続で利用するマルチキャストアドレス、マルチキャストアドレスのセキュリティアソシエーションをVPNクライアントA102に通知する。
他のVPNクライアントも同様の方法で、最寄りのVPNサーバのアドレスを取得する。代表VPNサーバ1501は、ユーザ、VPN管理処理511を行った後、クライアントA102 を収容するVPNサーバ1502に、VPN転送処理時に必要なマルチキャストアドレス管理テーブル508と、ユニキャストグループ管理テーブル507とを配布する。マルチキャストアドレス管理テーブル508とユニキャストグループ管理テーブル507は、VPNクライアント接続時に変更された差分のみを配布してもよい。以後、VPNサーバA1502、B1503がVPNクライアントA102、B103、C104からのL2データを転送する処理は第1実施例と同様である。
以上の実施例4に示す構成により、複数のVPNサーバを備えたネットワークでも、VPNサーバにおける内部IPパケットの復号化、暗号化をせずにVPNを構築でき、さらに複数のVPNサーバを用いることによって、VPN上を流れるパケットの転送処理の負荷を分散することができる。
図17は本発明を複数のVPNサーバを経由して実施する様子を示している。本実施例では、VPNサーバをインタネット111上に複数配置し、VPNクライアントは最寄りのVPNサーバに接続することにより、他のVPNクライアントと接続する。本実施例では、VPNクライアントA102、B103、C104および代表VPNサーバ1501、VPNサーバA1502、B1503は、インタネット111を介して接続している。
図18に本実施例に沿った通信手順の例を示す。各VPNクライアント(102、103、104)は、実施例3と同様に代表VPNサーバ1501とユニキャストのセキュリティアソシエーションを確立し、代表VPNサーバ1501は、ユーザ認証後、VPN接続に利用するマルチキャストアドレス、マルチキャストアドレスのセキュリティアソシエーション、VPNサーバのアドレスをVPNクライアントに配布する。その後、代表VPNサーバ1501は、ユーザ、VPN管理処理を行った後、クライアントA102 を収容するVPNサーバ1502に、VPN転送処理時に必要なマルチキャストアドレス管理テーブル508と、ユニキャストグループ管理テーブル507とを配布する。
本実施例では、代表VPNサーバ1501から各VPNサーバ1502、1503にユニキャストグループ管理テーブルを配布する際に、各VPNサーバが収容するVPNクライアント以外のユニキャストアドレスは、各VPNクライアントを収容するVPNサーバのユニキャストアドレスに変更する。図19に本実施例で代表VPNサーバ1501からVPNサーバB1502に配布されるユニキャストグループ管理テーブルの概念図を示す。VPNクライアントA102、B103はVPNサーバA1502に収容されているので、各VPNクライアントのユニキャストアドレスの代わりに、サーバAのアドレス3ffe::1000:aを設定する。
マルチキャストアドレス管理テーブル508とユニキャストグループ管理テーブル507は、VPNクライアント接続時に変更された差分のみを配布してもよい。以後、VPNサーバA1502、B1503がVPNクライアントA102、B103、C104からのL2データを転送する処理は第1実施例と同様である。
以上の実施例5で示す構成により、各VPNサーバは他のVPNサーバが収容するVPNクライアント宛てのパケットは直接転送せずに、宛先VPNクライアントを収容するVPNサーバを介して転送することができ、他のVPNサーバが収容するVPNクライアントのアドレスを管理する必要がなくなる。
本発明が実施される様子を示したシーケンス図。 本発明が実施されるネットワークを示した概念図。 本発明で用いられるVPNクライアントの内部構成を示した概念図。 本発明で用いられるVPNクライアントの内部処理を示した概念図。 VPN情報管理テーブルを示した概念図。 外部LAN MAC管理テーブルを示した概念図。 本発明で用いられるVPNサーバの内部構成を示した概念図。 本発明で用いられるVPNサーバの内部処理を示した概念図。 ユーザVPNグループ管理テーブルを示した概念図。 ユニキャストグループ管理テーブルを示した概念図。 マルチキャストアドレス管理テーブルを示した概念図。 MAC IP対応管理テーブルを示した概念図。 VPNサーバのユーザ、VPN管理処理を示すフローチャート。 VPNサーバのVPN転送処理を示すフローチャート。 VPNクライアントのVPN転送送信処理を示すフローチャート。 VPNクライアントのVPN転送受信処理を示すフローチャート。 VPNヘッダを示す概念図。 回線を流れるデータ構成を示す概念図。 L2VPNを構成するクライアントが任意に変更される様子を示したシーケンス図。 マルチキャストアドレス管理テーブルを示した概念図。 VPN Sub ID管理テーブルを示した概念図。 本発明がマルチキャストネットワーク上で実施される様子を示した概念図。 本発明がマルチキャストネットワーク上で実施される様子を示したシーケンス図。 複数のVPNサーバを利用して本発明が実施されるネットワークを示した概念図。 複数のVPNサーバを利用して本発明が実施される様子を示したシーケンス図。 複数のVPNサーバを経由して本発明が実施されるネットワークを示した概念図。 複数のVPNサーバを経由して本発明が実施される様子を示したシーケンス図。 複数のVPNサーバを経由して本発明が実施する際に用いられるユニキャストグループ管理テーブルを示した概念図。
符号の説明
101…VPNサーバ、102…VPNクライアントA、103…VPNクライアントB、104…VPNクライアントC、105…VPNクライアントAが接続するLAN、106…VPNクライアントBが接続するLAN、107…VPNクライアントCが接続するLAN、108…端末(1)、109…端末(2)、110…端末(3)、111…インタネット、301…CPU、302…メモリ、303…バス、304…インタフェース、305…インタフェース、308…セキュリティアソシエーション管理テーブル、309…VPM情報管理テーブル、310…認証情報管理テーブル、311…外部LAN MACアドレス管理テーブル。312…IPsec処理、313…VPN確立処理、314…VPN転送処理…314、 501…CPU、502…メモリ、503…バス、304…インタフェース、506…ユーザVPNグループ管理テーブル、507…ユニキャストグループ管理テーブル、508…マルチキャストアドレス管理テーブル、509…MAC IP対応管理テーブル、510…IPsec処理、511…ユーザ,VPN管理処理、512…VPN転送処理、901…VPNヘッダ、902…次データフィールド、903…宛先MACアドレスフィールド、904…送信元MACアドレスフィールド、1001…UDPペイロード部、1002…IPパケット、1201…Sub IDフィールド、1301…マルチキャストルータ、1302…マルチキャストネットワーク、1501…代表VPNサーバ、1502…VPNサーバA、1503…VPNサーバB。

Claims (5)

  1. ネットワークを介して接続されたサーバおよび複数のVPNクライアント装置を備えたVPNシステムであって、
    上記サーバは、
    マルチキャストアドレスとマルチキャストアドレス毎に生成されたセキュリティアソシエーションとを対応付けて格納するメモリと、
    上記マルチキャストアドレスと上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションとを上記複数のVPNクライアント装置に通知するインタフェースと、を有し、
    上記複数のVPNクライアント装置はそれぞれ、
    上記マルチキャストアドレスと上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションとを対応付けて格納するメモリと、
    受信したパケットを上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションに基づいて暗号化し、宛先を上記マルチキャストアドレスとした第1のIPパケットを作成し、
    さらに前記第1のIPパケットに、前記受信したパケットに含まれる宛先MACアドレスを付加し、該宛先MACアドレスが付加された第1のIPパケットをさらにカプセル化した第2のIPパケットを上記サーバに向けて送信するインタフェースと、を有し、
    上記サーバは、
    上記各VPNクライアント装置に接続する端末のMACアドレスと該端末が接続するVPNクライアント装置のIPアドレスとの対応関係を上記メモリで保持し、
    上記複数のVPNクライアント装置のうち一のVPNクライアント装置から上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションに基づいて暗号化された第2のIPパケットを上記送受信部から受信した際には、該第2のIPパケットを、上記暗号化されたまま、上記対応関係に基づいて上記第2のIPパケットに含まれる宛先MACアドレスに対応するVPNクライアント装置に送信することを特徴とするVPNシステム。
  2. ネットワークを介して複数のVPNクライアント装置と接続され、メモリと、送受信部を
    有するサーバであって、
    上記メモリには、マルチキャストアドレスと、上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションとが対応付けて格納され、
    上記送受信部から上記マルチキャストアドレスと、上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションとを対応付けて上記複数のVPNクライアント装置に送信し、
    さらに、上記各VPNクライアント装置に接続する端末のMACアドレスと該端末が接続するVPNクライアント装置のIPアドレスとの対応関係を上記メモリで保持し、
    上記複数のVPNクライアント装置のうち一のVPNクライアント装置から、上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションに基づいて暗号化され宛先を上記マルチキャストアドレスとした第1のIPパケットに前記受信したパケットに含まれる宛先MACアドレスを付加し、さらに該宛先MACアドレスが付加された第1のIPパケットをさらにカプセル化した第2のIPパケットを上記送受信部から受信した際には、該第2のIPパケットを、上記暗号化されたまま、上記対応関係に基づいて上記第2のIPパケットに含まれる宛先MACアドレスに対応するVPNクライアント装置に送信することを特徴とするサーバ。
  3. 上記複数のVPNクライアント装置で形成されるVPNグループの構成が変更された際に、新
    たなVPNグループに属するVPNクライアント装置に通知するためのマルチキャストアドレス毎に生成されたセキュリティアソシエーションを変更することを特徴とする請求項2記載のサーバ。
  4. 少なくとも一つの他のVPNクライアント装置とネットワークを介して接続されたVPNクライアント装置であって、
    上記マルチキャストアドレスと上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションとを対応付けて格納するメモリと、
    受信したパケットを上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションに基づいて暗号化し、宛先を上記マルチキャストアドレスとした第1のIPパケットを作成し、
    さらに前記第1のIPパケットに、前記受信したパケットに含まれる宛先MACアドレスを付加し、該宛先MACアドレスが付加された第1のIPパケットをさらにカプセル化した第2のIPパケットを上記サーバに向けて送信する送受信部を有するVPNクライアント装置。
  5. 上記送受信部は、
    上記ネットワークを介して接続されたサーバから、上記マルチキャストアドレスと上記マルチキャストアドレス毎に生成されたセキュリティアソシエーションを受信可能であることを特徴とする請求項4記載のVPNクライアント装置
JP2004283021A 2004-09-29 2004-09-29 サーバ、vpnクライアント、vpnシステム、及びソフトウェア Expired - Fee Related JP4407452B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004283021A JP4407452B2 (ja) 2004-09-29 2004-09-29 サーバ、vpnクライアント、vpnシステム、及びソフトウェア
CN2005100068382A CN1756234B (zh) 2004-09-29 2005-01-28 服务器、vpn客户装置、vpn系统
US11/047,772 US7725707B2 (en) 2004-09-29 2005-02-02 Server, VPN client, VPN system, and software

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004283021A JP4407452B2 (ja) 2004-09-29 2004-09-29 サーバ、vpnクライアント、vpnシステム、及びソフトウェア

Publications (3)

Publication Number Publication Date
JP2006101051A JP2006101051A (ja) 2006-04-13
JP2006101051A5 JP2006101051A5 (ja) 2007-04-26
JP4407452B2 true JP4407452B2 (ja) 2010-02-03

Family

ID=36100714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004283021A Expired - Fee Related JP4407452B2 (ja) 2004-09-29 2004-09-29 サーバ、vpnクライアント、vpnシステム、及びソフトウェア

Country Status (3)

Country Link
US (1) US7725707B2 (ja)
JP (1) JP4407452B2 (ja)
CN (1) CN1756234B (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7120791B2 (en) * 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7986937B2 (en) 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7724732B2 (en) * 2005-03-04 2010-05-25 Cisco Technology, Inc. Secure multipoint internet protocol virtual private networks
US7761702B2 (en) * 2005-04-15 2010-07-20 Cisco Technology, Inc. Method and apparatus for distributing group data in a tunneled encrypted virtual private network
US7580415B2 (en) * 2005-04-27 2009-08-25 Hewlett-Packard Development Company, L.P. Aggregation of hybrid network resources operable to support both offloaded and non-offloaded connections
US20070248091A1 (en) * 2006-04-24 2007-10-25 Mohamed Khalid Methods and apparatus for tunnel stitching in a network
JP4874037B2 (ja) * 2006-09-12 2012-02-08 株式会社リコー ネットワーク機器
US8515079B1 (en) * 2007-01-26 2013-08-20 Cisco Technology, Inc. Hybrid rekey distribution in a virtual private network environment
US8209749B2 (en) * 2008-09-17 2012-06-26 Apple Inc. Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement
US9524167B1 (en) * 2008-12-10 2016-12-20 Amazon Technologies, Inc. Providing location-specific network access to remote services
TW201206129A (en) * 2010-07-20 2012-02-01 Gemtek Technology Co Ltd Virtual private network system and network device thereof
CN102377731A (zh) * 2010-08-10 2012-03-14 正文科技股份有限公司 虚拟专用网络系统及其网络装置
US8775614B2 (en) 2011-09-12 2014-07-08 Microsoft Corporation Monitoring remote access to an enterprise network
JP5824326B2 (ja) * 2011-10-28 2015-11-25 キヤノン株式会社 管理装置、管理方法、およびプログラム
US8971180B2 (en) 2011-12-05 2015-03-03 At&T Intellectual Property I, L.P. Pooling available network bandwidth from multiple devices
US9491093B2 (en) 2012-07-31 2016-11-08 At&T Intellectual Property I, L.P. Distributing communication of a data stream among multiple devices
US9356980B2 (en) 2012-07-31 2016-05-31 At&T Intellectual Property I, L.P. Distributing communication of a data stream among multiple devices
US9444726B2 (en) 2012-07-31 2016-09-13 At&T Intellectual Property I, L.P. Distributing communication of a data stream among multiple devices
US9596271B2 (en) 2012-10-10 2017-03-14 International Business Machines Corporation Dynamic virtual private network
KR20140099598A (ko) * 2013-02-04 2014-08-13 한국전자통신연구원 모바일 vpn 서비스를 제공하는 방법
US9473351B2 (en) * 2013-04-02 2016-10-18 General Electric Company System and method for automated provisioning of a wireless device
CN105281921B (zh) * 2014-06-10 2020-01-07 中兴通讯股份有限公司 一种虚拟桌面实现组播的方法及装置
US9935850B1 (en) * 2014-11-18 2018-04-03 Berryville Holdings, LLC Systems and methods for implementing an on-demand computing network environment
US20220360566A1 (en) * 2015-07-31 2022-11-10 Nicira, Inc. Distributed tunneling for vpn
CN106817607B (zh) * 2015-12-02 2020-09-08 南京中兴新软件有限责任公司 基于虚拟桌面的音视频组播播放方法、装置及系统
US10887130B2 (en) 2017-06-15 2021-01-05 At&T Intellectual Property I, L.P. Dynamic intelligent analytics VPN instantiation and/or aggregation employing secured access to the cloud network device
US20220278966A1 (en) * 2018-12-10 2022-09-01 Neone, Inc. Secure Virtual Personalized Network with Preconfigured Wallets
US10798069B2 (en) * 2018-12-10 2020-10-06 Neone, Inc. Secure virtual personalized network
GB201904224D0 (en) * 2019-03-27 2019-05-08 Sec Dep For Foreign And Commonwealth Affairs A network filter
US11843581B2 (en) * 2021-08-15 2023-12-12 Netflow, UAB Clustering of virtual private network servers
US11539671B1 (en) * 2021-11-17 2022-12-27 Uab 360 It Authentication scheme in a virtual private network
US12021838B2 (en) 2021-11-28 2024-06-25 Uab 360 It Authentication procedure in a virtual private network

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6640251B1 (en) * 1999-03-12 2003-10-28 Nortel Networks Limited Multicast-enabled address resolution protocol (ME-ARP)
US6567929B1 (en) * 1999-07-13 2003-05-20 At&T Corp. Network-based service for recipient-initiated automatic repair of IP multicast sessions
US6870842B1 (en) * 1999-12-10 2005-03-22 Sun Microsystems, Inc. Using multicasting to provide ethernet-like communication behavior to selected peers on a network
US20030021253A1 (en) * 2001-07-03 2003-01-30 Tae-Sung Jung Method of transmitting data from server of virtual private network to mobile node
CN100407721C (zh) * 2002-10-24 2008-07-30 华为技术有限公司 基于二层隧道协议的网络服务器支持多实例的方法
US7310730B1 (en) * 2003-05-27 2007-12-18 Cisco Technology, Inc. Method and apparatus for communicating an encrypted broadcast to virtual private network receivers
US7587591B2 (en) * 2003-10-31 2009-09-08 Juniper Networks, Inc. Secure transport of multicast traffic
US7647492B2 (en) * 2004-09-15 2010-01-12 Check Point Software Technologies Inc. Architecture for routing and IPSec integration

Also Published As

Publication number Publication date
US7725707B2 (en) 2010-05-25
CN1756234B (zh) 2010-08-18
CN1756234A (zh) 2006-04-05
US20060070115A1 (en) 2006-03-30
JP2006101051A (ja) 2006-04-13

Similar Documents

Publication Publication Date Title
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US9838362B2 (en) Method and system for sending a message through a secure connection
US7519834B1 (en) Scalable method and apparatus for transforming packets to enable secure communication between two stations
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
US6701437B1 (en) Method and apparatus for processing communications in a virtual private network
US8179890B2 (en) Mobile IP over VPN communication protocol
EP1396979B1 (en) System and method for secure group communications
US7509491B1 (en) System and method for dynamic secured group communication
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与系统
CN111371798B (zh) 数据安全传输方法、系统、装置及存储介质
TW200307423A (en) Password device and method, password system
JP4877932B2 (ja) 暗号化通信システム及び暗号鍵更新方法
KR20130096320A (ko) 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법
JP2001156841A (ja) 暗号装置、暗号化器および復号器
JPH06318939A (ja) 暗号通信システム
JP2004312257A (ja) 基地局、中継装置及び通信システム
JP2006191205A (ja) 通信装置及び通信方法、通信システム
JP2001007849A (ja) Mplsパケット処理方法及びmplsパケット処理装置
KR101837064B1 (ko) 보안 통신 장치 및 방법
US20240022402A1 (en) A Method for Tunneling an Internet Protocol Connection Between Two Endpoints
JP2006196996A (ja) 通信システム及び通信方法
JP2005210555A (ja) 情報処理装置

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070307

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070307

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070307

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090807

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20090916

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091020

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091102

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121120

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees