通信装置および通信方法
【課題】3GPP網を介したインターネット接続サービスを利用して、インターネット上に接続された企業網に対して、ユーザ端末からリモートVPNアクセスを利用する場合、ユーザ端末でVPNを実現するために2重にIPsec処理をするのは処理が重過ぎる。
【解決手段】3GPPシステムにリモートアクセスの終端部を設置し、端末からのIPsecトンネルの開設要求に際し、ユーザ認証情報を企業網へのユーザ認証情報に変換し、企業網へのIPsecトンネルの開設を要求し、企業側とのIPsecトンネルの開設後にユーザとのIPsecトンネルを開設し、ユーザからのデータを2つのトンネルを介して端末から企業網へ転送することにより端末側の処理を軽くする。
【解決手段】3GPPシステムにリモートアクセスの終端部を設置し、端末からのIPsecトンネルの開設要求に際し、ユーザ認証情報を企業網へのユーザ認証情報に変換し、企業網へのIPsecトンネルの開設を要求し、企業側とのIPsecトンネルの開設後にユーザとのIPsecトンネルを開設し、ユーザからのデータを2つのトンネルを介して端末から企業網へ転送することにより端末側の処理を軽くする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信装置および通信方法に係り、特に3GPPシステムを介する企業網へのリモートVPNアクセスサービスを提供する通信装置および通信方法に関する。
【背景技術】
【0002】
IPsec(Security Architecture for the Internet Protocol)を使用したVPN(Virtual Private Network)技術によって、外出先の社員が自社の企業網にインターネットを介してセキュアに接続するリモートVPNアクセスが広く普及している。
【0003】
リモートVPNアクセスシステムの概要について、図1を用いて説明する。図1において、ユーザ端末1は、企業網5とインターネット4を介して接続されている。ユーザ端末1は、企業網5の相手サーバ52との間について、通信リンク60を通して通信する。通信リンク60は、インターネット4を通るため、セキュアにする必要がある。ユーザ端末1は、企業網5においてインターネット4とのエッジに設置されたVPNゲートウェイ装置51に対して、IPsecトンネル61を設定する。通信リンク60は、IPsecトンネル61中に通信リンク60を通すことにより、セキュアな通信路を確保する。上記のようなリモートVPNアクセスシステムは、特許文献1に記述されている。
【0004】
一方、携帯電話網の標準化機関である3GPP(3rd Generation Partnership Project)は、3GPP網にWLAN(Wireless Local Area Network)を介したインターネットアクセスを収容するための仕様を非特許文献1に規定している。図2を用いて、3GPP網を介したインターネットアクセス方法を説明する。図2において、3GPP網3とユーザ端末1は、WLANアクセス網2を介して接続されている。3GPP網3は、ユーザ端末1に対してインターネット4に接続するサービスを提供している。ここで、ユーザ端末1は、インターネット4に接続された相手サーバ41との通信を行なうために両者で通信リンク62を接続する。
【0005】
ここで、3GPP網3は、加入者の認証を行うサーバであるAAA(Authentication, Authorization, Accounting)31と、パケットレベルのゲートウェイであるPDG(Packet Data Gateway)33から構成される。WLANアクセス網2は、セキュアでないネットワークであり、通信リンク62のセキュリティを確保するために、ユーザ端末1とPDG33間でIPsecトンネル63を設定する。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2001−160828号公報
【非特許文献】
【0007】
【非特許文献1】3GPP TS23.234 3GPP system to Wireless Local Area Network (WLAN) Interworking-System Description
【発明の概要】
【発明が解決しようとする課題】
【0008】
ここで、3GPP網を介したインターネット接続サービスを利用して、インターネットに接続された企業網に対して、ユーザ端末がリモートVPNアクセスを利用するケースを考える。このケースの場合、ユーザ端末1は、3GPP網3内のPDG33へのIPsecトンネルと企業網5にあるVPNゲートウェイ51のIPsecトンネルの2重のIPsecトンネルをはる必要がある。ユーザ端末において、IPsecを2重に処理することは、端末のCPUの処理性能を消費することになり、処理性能が高くない端末においては問題である。
【0009】
図3と図4を用いて、上述した問題を詳細に説明する。図3を参照して、ユーザ端末1が、3GPP網3が提供するインターネットへの接続サービスを利用して、インターネット4に接続された企業網5にある相手サーバ52に接続するケースを説明する。図3において、通信リンク64は、端末1と相手サーバ52との間で設定され、相互の上位アプリケーションデータが流される。通信リンク64は、IPsecを用いたリモートVPNで接続されている。インターネットを介したユーザ端末1からのアクセスのセキュリティを確保するため、ユーザ端末1とVPNゲートウェイ51の間でIPsecトンネル64を設定する。一方、3GPP網3では、WLANアクセス網2を介した通信のセキュリティを確保するためにユーザ端末1とPDG33間でIPsecトンネ66を設定する。IPsecトンネル65とIPsecトンネル66は、双方ともユーザ端末1で終端される。
【0010】
図4を参照して、図3のネットワークのプロトコルスタックを説明する。図4において、ユーザ端末1のプロトコルスタック101は、下位層から順にL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remote IPプロトコル、再びIPsec Tunnelプロトコル、Corporate IPプロトコルから構成される。PDP33のプロトコルスタック331は、下位層から順にユーザ端末1側のL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remort IPプロトコル、VPNゲートウェイ51側のL1/L2プロトコル、前述のRemote IPプロトコルから構成される。VPNゲートウェイ51のプロトコルスタック511は、下位層から順にPDG33側のL1/L2プロトコル、Remort IPプロトコル、IPsec Tunnelプロトコル、Corporate IPプロトコル、相手サーバ52側のL1/L2プロトコル、前述のCorporate IPプロトコルから構成される。相手サーバ52のプロトコルスタック52は1、下位層から順にL1/L2プロトコル、Corporate IPプロトコルから構成される。
【0011】
ユーザ端末1と相手サーバ52の間のIPパケットは、ユーザ端末1とVPNゲートウェイ51で終端するIPsecトンネルを下位層に持つ。また、このIPsecトンネルは、更にユーザ端末1とPDG33間で、両者において終端するIPsecトンネルを下位層に持つ。
【0012】
ユーザ端末1のプロトコルスタック101を見ると、ユーザ端末1と相手サーバ52の間のIPパケットについて、2重にIPsecの処理が必要なことがわかる。これは、ユーザ端末1のソフトウェアは、2重にIPsec処理を行なうことを意味する。すなわち、ユーザ端末1のCPUの処理能力を著しく消費する。
本発明は、端末の2重の暗号化処理を回避することを目的とする。
【課題を解決するための手段】
【0013】
上述した課題を解決するため、本発明は、3GPP網のPDGの後段に、VPNクライアントを導入する。VPNクライアントは、ユーザ端末と企業網内の相手サーバ間のIPsecトンネルを端末の代理として終端する。
【0014】
上述した課題は、第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報との対応に基づいて、端末からアクセスされたとき、この端末の第1のユーザ認証情報を端末の第2のユーザ認証情報に変換して、第2の網へトンネルの開設要求を送信し、端末との第1のトンネルと第2の網との第2のトンネルとを設定し、第1のトンネルを介して受信したデータを第2のトンネルに転送する通信装置により、達成できる。
【0015】
また、第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報とを保持するステップと、端末からアクセスされたとき、この端末の第1のユーザ認証情報を端末の第2のユーザ認証情報に変換するステップと、第2の網へトンネルの開設要求を送信するステップと、端末との第1のトンネルを設定するステップと、第2の網と第2のトンネルを設定するステップと、第1のトンネルを介して受信したデータを第2のトンネルに転送するステップとからなる通信方法により、達成できる。
【発明の効果】
【0016】
3GPP網が提供するWLANを介したインターネットアクセスを利用する端末が企業網のリモートVPNを利用する際に、IPsecの2重処理による性能への影響を回避できる。
【図面の簡単な説明】
【0017】
【図1】リモートVPNアクセスを説明するブロック図である。
【図2】3GPPインターネットアクセスを説明するブロック図である。
【図3】3GPPを利用したリモートVPNアクセスを説明するブロック図である。
【図4】3GPPを利用したリモートVPNアクセスのプロトコルスタックを説明する図である。
【図5】3GPPを利用したリモートVPNアクセスを説明するブロック図である。
【図6】3GPPを利用したリモートVPNアクセスにおけるプロトコルスタックを説明する図である。
【図7】ユーザ端末、AAA、PDG、VPNクライアント、VPNゲートウェイ、相手サーバ間のシーケンス図である。
【図8】3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明するブロック図である。
【図9】認証テーブルの構成を説明する図である。
【図10】カスコンサーバを含む3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明するブロック図である。
【発明を実施するための形態】
【0018】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
【0019】
図5を参照して、3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明する。図5において、ネットワーク200は、WLANアクセス網2、3GPP網3、インターネット4、企業網5で構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34が含まれる。企業網5は、VPNゲートウェイ51と、相手サーバ52が含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3と企業網5を接続する。
【0020】
ユーザ端末1と相手サーバ52間の通信リンク67により、両者のアプリケーションデータを運ぶIPパケットが通信される。VPNクライアント34は、ユーザ端末1の代理としてVPNゲートウェイ51とのIPsecを終端する。これによって、VPNクライアント34は、IPsecトンネル69を設定してインターネット4でのセキュリティを確保する。ユーザ端末1は、また、WLANアクセス網2でのセキュリティを確保するために、PDG33間でIPsecトンネル68を設定する。なお、VPNクライアント34の機能は、PDG33に含めてもよい。その場合、PDGを、通信装置と呼ぶ。
【0021】
図6を参照して、ユーザ端末と相手サーバ間のIPパケットを転送するためのプロトコルスタックを説明する。図6において、ユーザ端末1のプロトコルスタック102は、下位層から順にL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remote IPプロトコルから構成される。PDP33のプロトコルスタック332は、下位層から順にユーザ端末1側のL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、RemortIPプロトコル、VPNクライアント34側のL1/L2プロトコル、前述のRemote IPプロトコルから構成される。
【0022】
VPNクライアント34のプロトコルスタック342は、PDG33側の下位層から順にL1/L2プロトコル、Corporate IPプロトコル、VPNゲートウェイ51側のL1/L2プロトコル、Transport IPプロトコル、IPsecプロトコル、前述のCorporate IPプロトコルから構成される。VPNゲートウェイ51のプロトコルスタック512は、下位層から順にVPNクライアント34側のL1/L2プロトコル、Transport IPプロトコル、IPsecプロトコル、Corporate IPプロトコル、相手サーバ52側のL1/L2プロトコル、前述のCorporate IPプロトコルから構成される。相手サーバ52のプロトコルスタック522は、下位層から順にL1/L2プロトコル、Corporate IPプロトコルから構成される。
【0023】
図6において、ユーザ端末1とPDG33は、IPsecを終端する。また、VPNクライアント34とVPNゲートウェイ51も、IPsecを終端する。ユーザ端末1のプロトコルスタック102は、IPsec Tunnelが一つである。
【0024】
図7を参照して、ユーザ端末、AAA、PDG、VPNクライアント、VPNゲートウェイ、相手サーバ間の動作を説明する。図7において、ユーザ端末1が相手サーバ51に対して通信を開始する処理を説明する。ユーザ端末1は、PDG33にアクセスする(S11)。PDG33は、この通信をブロックする(S12)。PDG33は、ユーザ端末1に対して認証を要求する(S13)。
【0025】
ユーザ端末1は、AAAサーバとの間で端末認証を行なう(S14)。なお、ユーザ端末の認証は、EAP(Extensible Authentication Protocol)−SIM(Subscriber Identity Module)またはEAP−AKA(Authentication and Key Agreement)を用いるのが3GPP網では一般的である。ここでは認証が正常に終了し、AAA31は、PDG33とユーザ端末1に対して認証の成功を通知する(S15、S16)。
【0026】
PDG33は、ユーザ端末1に対するVLANをVLANのプールから選択し、VLANを登録する(S17)。PDG33は、VPNC34に対してトンネル開設を要求する(S18)。VPNC34は、認証情報を用いてVPNゲートウェイ51との間にIPsecトンネルを設定する(S19)。また、ユーザ端末1とPDG33間でも、認証情報を用いてIPsecトンネルを設定する(S21)。VPNC34とVPNゲートウェイ51との間のIPsecトンネルが設定できると、VPNC34は、トンネル設定完了をPDG33に応答する(S22)。
【0027】
PDG33は、両者のIPsecトンネルが設定され、両者のIPsecトンネルの対応関係を示すVLANの設定が終了すると、通信ブロックを解除する(S23)。通信ブロックの解除によりユーザ端末1と相手サーバ52の間で通信リンクが確立し通信が開始される。なお、後述する認証テーブル7をAAA31が保持するとき、ステップ17は、PDG33からAAA31への矢印となる。
【0028】
企業網3のネットワーク管理者は、VPNゲートウェイ51によるリモートユーザ管理の仕組みを導入済みであり、新しいWLAN2からの3GPPアクセスを用いたアクセスに対しても、他の既存のアクセス方法と同様なインタフェースでリモートVPN接続を利用できることを望むと思われる。上述した実施例に依れば、従来のリモートVPN接続とのインタフェースと役割分担を同一にして、新しく導入するWLANアクセスサービスについてもリモートVPN接続を提供することが可能になる。
【0029】
図8を参照して、3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明する。図8において、ネットワーク200Aは、WLANアクセス網2、3GPP網3、インターネット4、企業網5−A、企業網5−Bで構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34が含まれる。企業網5−Aは、VPNゲートウェイ51−Aと、相手サーバ52−Aが含まれる。企業網5−Bは、VPNゲートウェイ51−Bと、相手サーバ52−Bが含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3と企業網5−Aと企業網5−Bを接続する。
【0030】
ユーザ端末1−A1とユーザ端末1−A2は、企業網5−Aに所属する端末である。ユーザ端末1−B1は、企業網5−Bに所属する端末である。ユーザ端末1−A1とユーザ端末1−A2は、相手サーバ52−Aに接続する。ユーザ端末1−B1は、相手サーバ52−Bに接続する。
【0031】
通信リンク671と通信リンク672と通信リンク673は、それぞれユーザ端末1−A1と相手サーバ52−A間、ユーザ端末1−A2と相手サーバ52−A間、ユーザ端末1−B1と相手サーバ52−B間の通信リンクである。IPsecトンネル681、IPsecトンネル682、IPsecトンネル683は、ユーザ端末1とPDG33間のIPsecトンネルとして、ユーザ端末1の通信がアクティブな状態の時に動的に設定されるIPsecトンネルである。IPsecトンネル691、IPsecトンネル692、IPsecトンネル693は、VPNクライアント34とVPNゲートウェイ51−AおよびVPNゲートウェイ51−B間のIPsecトンネルとして対応するユーザ端末1とPDG間のIPsecトンネルがアクティブな状態の時に動的に設定されるIPsecトンネルである。
【0032】
PDG33とVPNクライアント34は、ユーザ端末1からのフローを識別するためにVLANを用いている。ユーザ端末とのIPsecトンネルを開設する際に、PDG33は、ユーザ端末がどのVLAN(VLAN ID)を用いるかを決定する。
【0033】
ユーザ端末とPDG間およびVPNクライアントとVPNゲートウェイ間のIPsecトンネルに用いる認証情報は、AAAサーバに設定されており、どのVLANを用いるかもAAAサーバに登録する。
【0034】
図9を参照して、AAAサーバがユーザ端末毎に設定する情報を説明する。図9において、認証テーブル7は、端末識別子71と、端末認証情報72と、VPNユーザ認証情報73と、VPN74とから構成される。認証テーブル7の最初のレコードは、端末識別子71として、user1@operator1を保持している。端末認証情報72として、0x123456789abcdefを保持している。VPNユーザ認証情報73として、0xef123456789abcdを保持している。VPN74として、corporate1を保持している。
【0035】
ユーザを識別する情報が端末識別子71である。端末識別子71は、ユーザを一意に識別するIDである。端末認証情報72は、3GPP網3のユーザ端末に設定されている認証情報である。端末認証情報72は、ユーザ端末の登録時にあらかじめ設定される情報である。
【0036】
VPN認証情報73は、企業網のリモートアクセスに利用される認証情報である。ここで、VPN認証情報73とは、IPsecの鍵交換プロトコルであるIKE(Internet Key Exchange)に用いる認証情報(事前共有鍵)である。VLAN74は、PDG33とVPNクライアント34の間でユーザを識別するために用いる。VLAN74は、端末認証が成功時にPDGにより動的に選択され、AAAサーバに書き込まれる。
【0037】
VPNクライアント34は、PDG33間で送受信するパケットについて、IEEE802.1Q VLANによりVLAN74を設定し、ユーザ端末を識別する。VPNクライアント34は、VLANに対応するIPsecトンネルにパケットを送受信する。なお、認証テーブル7のデータをVPNクライアント34が一時的に持ってもよい。
【0038】
リモートユーザの認証情報は、企業網の管理者により管理され、企業のポリシーで設定されるものである。そのためリモートユーザの認証情報は、カスコンサーバ(Customer Controlled Server)を用いて企業側からの設定変更が可能になるような構成を追加することが考えられる。
【0039】
図10を参照して、カスコンサーバを含む3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明する。図10において、ネットワーク200Bは、WLANアクセス網2、3GPP網3、インターネット4、企業網5で構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34、カスコンサーバ35が含まれる。企業網5は、VPNゲートウェイ51と、相手サーバ52、企業端末53が含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3のVPNクライアント34、カスコンサーバ35と、企業網5のVPNゲートウェイ51を接続する。
【0040】
企業網5の管理者は、企業端末53からVPNゲートウェイ51、インターネット4を介して、カスコンサーバ35にアクセスする。企業端末53からのアクセスにより、カスコンサーバ35は、IPsecクライアント34と、AAA31の設定を更新する。なお、カスコンサーバ35の機能を、PDG33が持ってもよい。この場合も、PDGを、通信装置と呼ぶ。
【符号の説明】
【0041】
1…ユーザ端末、2…WLANアクセス網、3…3GPP網、4…インターネット、5…企業網、7…認証テーブル、31…AAAサーバ、32…WAG、33…PDG、34…VPNクライアント、41…相手サーバ、51…VPNゲートウェイ、52…相手サーバ、60…ユーザ端末―相手サーバ間通信リンク、61…ユーザ端末−VPNゲートウェイ間IPsecトンネル、62…ユーザ端末―相手サーバ間通信リンク、63…ユーザ端末−PDG間IPsecトンネル、64…ユーザ端末―相手サーバ間通信リンク、65…ユーザ端末−PDG間IPsecトンネル、66…ユーザ端末−VPNゲートウェイ間IPsecトンネル、67…ユーザ端末―相手サーバ間通信リンク、68…ユーザ端末−PDG間IPsecトンネル、69…VPNクライアント−VPNゲートウェイ間IPsecトンネル、71…端末識別子、72…端末認証情報、73…VPNユーザ認証情報、74…VLAN、101…ユーザ端末のプロトコルスタック、102…ユーザ端末のプロトコルスタック、321…WAGのプロトコルスタック、322…WAGのプロトコルスタック、332…PDGのプロトコルスタック、331…PDGのプロトコルスタック、342…VPNクライアントのプロトコルスタック、511…VPNゲートウェイのプロトコルスタック、512…VPNゲートウェイのプロトコルスタック、521…相手サーバのプロトコルスタック、522…相手サーバのプロトコルスタック、671…ユーザ端末―相手サーバ間通信リンク、672…ユーザ端末―相手サーバ間通信リンク、673…ユーザ端末―相手サーバ間通信リンク、681…ユーザ端末−PDG間IPsecトンネル、682…ユーザ端末−PDG間IPsecトンネル、683…ユーザ端末−PDG間IPsecトンネル、691…VPNクライアント−VPNゲートウェイ間IPsecトンネル、692…VPNクライアント−VPNゲートウェイ間IPsecトンネル、693…VPNクライアント−VPNゲートウェイ間IPsecトンネル。
【技術分野】
【0001】
本発明は、通信装置および通信方法に係り、特に3GPPシステムを介する企業網へのリモートVPNアクセスサービスを提供する通信装置および通信方法に関する。
【背景技術】
【0002】
IPsec(Security Architecture for the Internet Protocol)を使用したVPN(Virtual Private Network)技術によって、外出先の社員が自社の企業網にインターネットを介してセキュアに接続するリモートVPNアクセスが広く普及している。
【0003】
リモートVPNアクセスシステムの概要について、図1を用いて説明する。図1において、ユーザ端末1は、企業網5とインターネット4を介して接続されている。ユーザ端末1は、企業網5の相手サーバ52との間について、通信リンク60を通して通信する。通信リンク60は、インターネット4を通るため、セキュアにする必要がある。ユーザ端末1は、企業網5においてインターネット4とのエッジに設置されたVPNゲートウェイ装置51に対して、IPsecトンネル61を設定する。通信リンク60は、IPsecトンネル61中に通信リンク60を通すことにより、セキュアな通信路を確保する。上記のようなリモートVPNアクセスシステムは、特許文献1に記述されている。
【0004】
一方、携帯電話網の標準化機関である3GPP(3rd Generation Partnership Project)は、3GPP網にWLAN(Wireless Local Area Network)を介したインターネットアクセスを収容するための仕様を非特許文献1に規定している。図2を用いて、3GPP網を介したインターネットアクセス方法を説明する。図2において、3GPP網3とユーザ端末1は、WLANアクセス網2を介して接続されている。3GPP網3は、ユーザ端末1に対してインターネット4に接続するサービスを提供している。ここで、ユーザ端末1は、インターネット4に接続された相手サーバ41との通信を行なうために両者で通信リンク62を接続する。
【0005】
ここで、3GPP網3は、加入者の認証を行うサーバであるAAA(Authentication, Authorization, Accounting)31と、パケットレベルのゲートウェイであるPDG(Packet Data Gateway)33から構成される。WLANアクセス網2は、セキュアでないネットワークであり、通信リンク62のセキュリティを確保するために、ユーザ端末1とPDG33間でIPsecトンネル63を設定する。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2001−160828号公報
【非特許文献】
【0007】
【非特許文献1】3GPP TS23.234 3GPP system to Wireless Local Area Network (WLAN) Interworking-System Description
【発明の概要】
【発明が解決しようとする課題】
【0008】
ここで、3GPP網を介したインターネット接続サービスを利用して、インターネットに接続された企業網に対して、ユーザ端末がリモートVPNアクセスを利用するケースを考える。このケースの場合、ユーザ端末1は、3GPP網3内のPDG33へのIPsecトンネルと企業網5にあるVPNゲートウェイ51のIPsecトンネルの2重のIPsecトンネルをはる必要がある。ユーザ端末において、IPsecを2重に処理することは、端末のCPUの処理性能を消費することになり、処理性能が高くない端末においては問題である。
【0009】
図3と図4を用いて、上述した問題を詳細に説明する。図3を参照して、ユーザ端末1が、3GPP網3が提供するインターネットへの接続サービスを利用して、インターネット4に接続された企業網5にある相手サーバ52に接続するケースを説明する。図3において、通信リンク64は、端末1と相手サーバ52との間で設定され、相互の上位アプリケーションデータが流される。通信リンク64は、IPsecを用いたリモートVPNで接続されている。インターネットを介したユーザ端末1からのアクセスのセキュリティを確保するため、ユーザ端末1とVPNゲートウェイ51の間でIPsecトンネル64を設定する。一方、3GPP網3では、WLANアクセス網2を介した通信のセキュリティを確保するためにユーザ端末1とPDG33間でIPsecトンネ66を設定する。IPsecトンネル65とIPsecトンネル66は、双方ともユーザ端末1で終端される。
【0010】
図4を参照して、図3のネットワークのプロトコルスタックを説明する。図4において、ユーザ端末1のプロトコルスタック101は、下位層から順にL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remote IPプロトコル、再びIPsec Tunnelプロトコル、Corporate IPプロトコルから構成される。PDP33のプロトコルスタック331は、下位層から順にユーザ端末1側のL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remort IPプロトコル、VPNゲートウェイ51側のL1/L2プロトコル、前述のRemote IPプロトコルから構成される。VPNゲートウェイ51のプロトコルスタック511は、下位層から順にPDG33側のL1/L2プロトコル、Remort IPプロトコル、IPsec Tunnelプロトコル、Corporate IPプロトコル、相手サーバ52側のL1/L2プロトコル、前述のCorporate IPプロトコルから構成される。相手サーバ52のプロトコルスタック52は1、下位層から順にL1/L2プロトコル、Corporate IPプロトコルから構成される。
【0011】
ユーザ端末1と相手サーバ52の間のIPパケットは、ユーザ端末1とVPNゲートウェイ51で終端するIPsecトンネルを下位層に持つ。また、このIPsecトンネルは、更にユーザ端末1とPDG33間で、両者において終端するIPsecトンネルを下位層に持つ。
【0012】
ユーザ端末1のプロトコルスタック101を見ると、ユーザ端末1と相手サーバ52の間のIPパケットについて、2重にIPsecの処理が必要なことがわかる。これは、ユーザ端末1のソフトウェアは、2重にIPsec処理を行なうことを意味する。すなわち、ユーザ端末1のCPUの処理能力を著しく消費する。
本発明は、端末の2重の暗号化処理を回避することを目的とする。
【課題を解決するための手段】
【0013】
上述した課題を解決するため、本発明は、3GPP網のPDGの後段に、VPNクライアントを導入する。VPNクライアントは、ユーザ端末と企業網内の相手サーバ間のIPsecトンネルを端末の代理として終端する。
【0014】
上述した課題は、第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報との対応に基づいて、端末からアクセスされたとき、この端末の第1のユーザ認証情報を端末の第2のユーザ認証情報に変換して、第2の網へトンネルの開設要求を送信し、端末との第1のトンネルと第2の網との第2のトンネルとを設定し、第1のトンネルを介して受信したデータを第2のトンネルに転送する通信装置により、達成できる。
【0015】
また、第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報とを保持するステップと、端末からアクセスされたとき、この端末の第1のユーザ認証情報を端末の第2のユーザ認証情報に変換するステップと、第2の網へトンネルの開設要求を送信するステップと、端末との第1のトンネルを設定するステップと、第2の網と第2のトンネルを設定するステップと、第1のトンネルを介して受信したデータを第2のトンネルに転送するステップとからなる通信方法により、達成できる。
【発明の効果】
【0016】
3GPP網が提供するWLANを介したインターネットアクセスを利用する端末が企業網のリモートVPNを利用する際に、IPsecの2重処理による性能への影響を回避できる。
【図面の簡単な説明】
【0017】
【図1】リモートVPNアクセスを説明するブロック図である。
【図2】3GPPインターネットアクセスを説明するブロック図である。
【図3】3GPPを利用したリモートVPNアクセスを説明するブロック図である。
【図4】3GPPを利用したリモートVPNアクセスのプロトコルスタックを説明する図である。
【図5】3GPPを利用したリモートVPNアクセスを説明するブロック図である。
【図6】3GPPを利用したリモートVPNアクセスにおけるプロトコルスタックを説明する図である。
【図7】ユーザ端末、AAA、PDG、VPNクライアント、VPNゲートウェイ、相手サーバ間のシーケンス図である。
【図8】3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明するブロック図である。
【図9】認証テーブルの構成を説明する図である。
【図10】カスコンサーバを含む3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明するブロック図である。
【発明を実施するための形態】
【0018】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
【0019】
図5を参照して、3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明する。図5において、ネットワーク200は、WLANアクセス網2、3GPP網3、インターネット4、企業網5で構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34が含まれる。企業網5は、VPNゲートウェイ51と、相手サーバ52が含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3と企業網5を接続する。
【0020】
ユーザ端末1と相手サーバ52間の通信リンク67により、両者のアプリケーションデータを運ぶIPパケットが通信される。VPNクライアント34は、ユーザ端末1の代理としてVPNゲートウェイ51とのIPsecを終端する。これによって、VPNクライアント34は、IPsecトンネル69を設定してインターネット4でのセキュリティを確保する。ユーザ端末1は、また、WLANアクセス網2でのセキュリティを確保するために、PDG33間でIPsecトンネル68を設定する。なお、VPNクライアント34の機能は、PDG33に含めてもよい。その場合、PDGを、通信装置と呼ぶ。
【0021】
図6を参照して、ユーザ端末と相手サーバ間のIPパケットを転送するためのプロトコルスタックを説明する。図6において、ユーザ端末1のプロトコルスタック102は、下位層から順にL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、Remote IPプロトコルから構成される。PDP33のプロトコルスタック332は、下位層から順にユーザ端末1側のL1/L2プロトコル、Transport IPプロトコル、IPsec Tunnelプロトコル、RemortIPプロトコル、VPNクライアント34側のL1/L2プロトコル、前述のRemote IPプロトコルから構成される。
【0022】
VPNクライアント34のプロトコルスタック342は、PDG33側の下位層から順にL1/L2プロトコル、Corporate IPプロトコル、VPNゲートウェイ51側のL1/L2プロトコル、Transport IPプロトコル、IPsecプロトコル、前述のCorporate IPプロトコルから構成される。VPNゲートウェイ51のプロトコルスタック512は、下位層から順にVPNクライアント34側のL1/L2プロトコル、Transport IPプロトコル、IPsecプロトコル、Corporate IPプロトコル、相手サーバ52側のL1/L2プロトコル、前述のCorporate IPプロトコルから構成される。相手サーバ52のプロトコルスタック522は、下位層から順にL1/L2プロトコル、Corporate IPプロトコルから構成される。
【0023】
図6において、ユーザ端末1とPDG33は、IPsecを終端する。また、VPNクライアント34とVPNゲートウェイ51も、IPsecを終端する。ユーザ端末1のプロトコルスタック102は、IPsec Tunnelが一つである。
【0024】
図7を参照して、ユーザ端末、AAA、PDG、VPNクライアント、VPNゲートウェイ、相手サーバ間の動作を説明する。図7において、ユーザ端末1が相手サーバ51に対して通信を開始する処理を説明する。ユーザ端末1は、PDG33にアクセスする(S11)。PDG33は、この通信をブロックする(S12)。PDG33は、ユーザ端末1に対して認証を要求する(S13)。
【0025】
ユーザ端末1は、AAAサーバとの間で端末認証を行なう(S14)。なお、ユーザ端末の認証は、EAP(Extensible Authentication Protocol)−SIM(Subscriber Identity Module)またはEAP−AKA(Authentication and Key Agreement)を用いるのが3GPP網では一般的である。ここでは認証が正常に終了し、AAA31は、PDG33とユーザ端末1に対して認証の成功を通知する(S15、S16)。
【0026】
PDG33は、ユーザ端末1に対するVLANをVLANのプールから選択し、VLANを登録する(S17)。PDG33は、VPNC34に対してトンネル開設を要求する(S18)。VPNC34は、認証情報を用いてVPNゲートウェイ51との間にIPsecトンネルを設定する(S19)。また、ユーザ端末1とPDG33間でも、認証情報を用いてIPsecトンネルを設定する(S21)。VPNC34とVPNゲートウェイ51との間のIPsecトンネルが設定できると、VPNC34は、トンネル設定完了をPDG33に応答する(S22)。
【0027】
PDG33は、両者のIPsecトンネルが設定され、両者のIPsecトンネルの対応関係を示すVLANの設定が終了すると、通信ブロックを解除する(S23)。通信ブロックの解除によりユーザ端末1と相手サーバ52の間で通信リンクが確立し通信が開始される。なお、後述する認証テーブル7をAAA31が保持するとき、ステップ17は、PDG33からAAA31への矢印となる。
【0028】
企業網3のネットワーク管理者は、VPNゲートウェイ51によるリモートユーザ管理の仕組みを導入済みであり、新しいWLAN2からの3GPPアクセスを用いたアクセスに対しても、他の既存のアクセス方法と同様なインタフェースでリモートVPN接続を利用できることを望むと思われる。上述した実施例に依れば、従来のリモートVPN接続とのインタフェースと役割分担を同一にして、新しく導入するWLANアクセスサービスについてもリモートVPN接続を提供することが可能になる。
【0029】
図8を参照して、3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明する。図8において、ネットワーク200Aは、WLANアクセス網2、3GPP網3、インターネット4、企業網5−A、企業網5−Bで構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34が含まれる。企業網5−Aは、VPNゲートウェイ51−Aと、相手サーバ52−Aが含まれる。企業網5−Bは、VPNゲートウェイ51−Bと、相手サーバ52−Bが含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3と企業網5−Aと企業網5−Bを接続する。
【0030】
ユーザ端末1−A1とユーザ端末1−A2は、企業網5−Aに所属する端末である。ユーザ端末1−B1は、企業網5−Bに所属する端末である。ユーザ端末1−A1とユーザ端末1−A2は、相手サーバ52−Aに接続する。ユーザ端末1−B1は、相手サーバ52−Bに接続する。
【0031】
通信リンク671と通信リンク672と通信リンク673は、それぞれユーザ端末1−A1と相手サーバ52−A間、ユーザ端末1−A2と相手サーバ52−A間、ユーザ端末1−B1と相手サーバ52−B間の通信リンクである。IPsecトンネル681、IPsecトンネル682、IPsecトンネル683は、ユーザ端末1とPDG33間のIPsecトンネルとして、ユーザ端末1の通信がアクティブな状態の時に動的に設定されるIPsecトンネルである。IPsecトンネル691、IPsecトンネル692、IPsecトンネル693は、VPNクライアント34とVPNゲートウェイ51−AおよびVPNゲートウェイ51−B間のIPsecトンネルとして対応するユーザ端末1とPDG間のIPsecトンネルがアクティブな状態の時に動的に設定されるIPsecトンネルである。
【0032】
PDG33とVPNクライアント34は、ユーザ端末1からのフローを識別するためにVLANを用いている。ユーザ端末とのIPsecトンネルを開設する際に、PDG33は、ユーザ端末がどのVLAN(VLAN ID)を用いるかを決定する。
【0033】
ユーザ端末とPDG間およびVPNクライアントとVPNゲートウェイ間のIPsecトンネルに用いる認証情報は、AAAサーバに設定されており、どのVLANを用いるかもAAAサーバに登録する。
【0034】
図9を参照して、AAAサーバがユーザ端末毎に設定する情報を説明する。図9において、認証テーブル7は、端末識別子71と、端末認証情報72と、VPNユーザ認証情報73と、VPN74とから構成される。認証テーブル7の最初のレコードは、端末識別子71として、user1@operator1を保持している。端末認証情報72として、0x123456789abcdefを保持している。VPNユーザ認証情報73として、0xef123456789abcdを保持している。VPN74として、corporate1を保持している。
【0035】
ユーザを識別する情報が端末識別子71である。端末識別子71は、ユーザを一意に識別するIDである。端末認証情報72は、3GPP網3のユーザ端末に設定されている認証情報である。端末認証情報72は、ユーザ端末の登録時にあらかじめ設定される情報である。
【0036】
VPN認証情報73は、企業網のリモートアクセスに利用される認証情報である。ここで、VPN認証情報73とは、IPsecの鍵交換プロトコルであるIKE(Internet Key Exchange)に用いる認証情報(事前共有鍵)である。VLAN74は、PDG33とVPNクライアント34の間でユーザを識別するために用いる。VLAN74は、端末認証が成功時にPDGにより動的に選択され、AAAサーバに書き込まれる。
【0037】
VPNクライアント34は、PDG33間で送受信するパケットについて、IEEE802.1Q VLANによりVLAN74を設定し、ユーザ端末を識別する。VPNクライアント34は、VLANに対応するIPsecトンネルにパケットを送受信する。なお、認証テーブル7のデータをVPNクライアント34が一時的に持ってもよい。
【0038】
リモートユーザの認証情報は、企業網の管理者により管理され、企業のポリシーで設定されるものである。そのためリモートユーザの認証情報は、カスコンサーバ(Customer Controlled Server)を用いて企業側からの設定変更が可能になるような構成を追加することが考えられる。
【0039】
図10を参照して、カスコンサーバを含む3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明する。図10において、ネットワーク200Bは、WLANアクセス網2、3GPP網3、インターネット4、企業網5で構成されている。3GPP網3は、PDG33、AAA31、VPNクライアント34、カスコンサーバ35が含まれる。企業網5は、VPNゲートウェイ51と、相手サーバ52、企業端末53が含まれる。WLANアクセス網2は、ユーザ端末1と3GPP網3を接続する。インターネット4は、3GPP網3のVPNクライアント34、カスコンサーバ35と、企業網5のVPNゲートウェイ51を接続する。
【0040】
企業網5の管理者は、企業端末53からVPNゲートウェイ51、インターネット4を介して、カスコンサーバ35にアクセスする。企業端末53からのアクセスにより、カスコンサーバ35は、IPsecクライアント34と、AAA31の設定を更新する。なお、カスコンサーバ35の機能を、PDG33が持ってもよい。この場合も、PDGを、通信装置と呼ぶ。
【符号の説明】
【0041】
1…ユーザ端末、2…WLANアクセス網、3…3GPP網、4…インターネット、5…企業網、7…認証テーブル、31…AAAサーバ、32…WAG、33…PDG、34…VPNクライアント、41…相手サーバ、51…VPNゲートウェイ、52…相手サーバ、60…ユーザ端末―相手サーバ間通信リンク、61…ユーザ端末−VPNゲートウェイ間IPsecトンネル、62…ユーザ端末―相手サーバ間通信リンク、63…ユーザ端末−PDG間IPsecトンネル、64…ユーザ端末―相手サーバ間通信リンク、65…ユーザ端末−PDG間IPsecトンネル、66…ユーザ端末−VPNゲートウェイ間IPsecトンネル、67…ユーザ端末―相手サーバ間通信リンク、68…ユーザ端末−PDG間IPsecトンネル、69…VPNクライアント−VPNゲートウェイ間IPsecトンネル、71…端末識別子、72…端末認証情報、73…VPNユーザ認証情報、74…VLAN、101…ユーザ端末のプロトコルスタック、102…ユーザ端末のプロトコルスタック、321…WAGのプロトコルスタック、322…WAGのプロトコルスタック、332…PDGのプロトコルスタック、331…PDGのプロトコルスタック、342…VPNクライアントのプロトコルスタック、511…VPNゲートウェイのプロトコルスタック、512…VPNゲートウェイのプロトコルスタック、521…相手サーバのプロトコルスタック、522…相手サーバのプロトコルスタック、671…ユーザ端末―相手サーバ間通信リンク、672…ユーザ端末―相手サーバ間通信リンク、673…ユーザ端末―相手サーバ間通信リンク、681…ユーザ端末−PDG間IPsecトンネル、682…ユーザ端末−PDG間IPsecトンネル、683…ユーザ端末−PDG間IPsecトンネル、691…VPNクライアント−VPNゲートウェイ間IPsecトンネル、692…VPNクライアント−VPNゲートウェイ間IPsecトンネル、693…VPNクライアント−VPNゲートウェイ間IPsecトンネル。
【特許請求の範囲】
【請求項1】
第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報との対応に基づいて、端末からアクセスされたとき、この端末の第1のユーザ認証情報を前記端末の第2のユーザ認証情報に変換して、前記第2の網へトンネルの開設要求を送信し、前記端末との第1のトンネルと前記第2の網との第2のトンネルとを設定し、前記第1のトンネルを介して受信したデータを前記第2のトンネルに転送することを特徴とする通信装置。
【請求項2】
請求項1に記載の通信装置であって、
前記第1のユーザ認証情報と前記第2のユーザ認証情報とをLAN IDと対応付けて保持することを特徴とする通信装置。
【請求項3】
請求項1に記載の通信装置であって、
前記第2の網からの制御により、前記第2のユーザ認証情報を更新する手段を有することを特徴とする通信装置。
【請求項4】
第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報とを保持するステップと、端末からアクセスされたとき、この端末の第1のユーザ認証情報を前記端末の第2のユーザ認証情報に変換するステップと、前記第2の網へトンネルの開設要求を送信するステップと、前記端末との第1のトンネルを設定するステップと、前記第2の網と第2のトンネルを設定するステップと、前記第1のトンネルを介して受信したデータを前記第2のトンネルに転送するステップとからなる通信方法。
【請求項1】
第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報との対応に基づいて、端末からアクセスされたとき、この端末の第1のユーザ認証情報を前記端末の第2のユーザ認証情報に変換して、前記第2の網へトンネルの開設要求を送信し、前記端末との第1のトンネルと前記第2の網との第2のトンネルとを設定し、前記第1のトンネルを介して受信したデータを前記第2のトンネルに転送することを特徴とする通信装置。
【請求項2】
請求項1に記載の通信装置であって、
前記第1のユーザ認証情報と前記第2のユーザ認証情報とをLAN IDと対応付けて保持することを特徴とする通信装置。
【請求項3】
請求項1に記載の通信装置であって、
前記第2の網からの制御により、前記第2のユーザ認証情報を更新する手段を有することを特徴とする通信装置。
【請求項4】
第1の網の第1のユーザ認証情報と、第2の網の第2のユーザ認証情報とを保持するステップと、端末からアクセスされたとき、この端末の第1のユーザ認証情報を前記端末の第2のユーザ認証情報に変換するステップと、前記第2の網へトンネルの開設要求を送信するステップと、前記端末との第1のトンネルを設定するステップと、前記第2の網と第2のトンネルを設定するステップと、前記第1のトンネルを介して受信したデータを前記第2のトンネルに転送するステップとからなる通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−206442(P2010−206442A)
【公開日】平成22年9月16日(2010.9.16)
【国際特許分類】
【出願番号】特願2009−48897(P2009−48897)
【出願日】平成21年3月3日(2009.3.3)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成22年9月16日(2010.9.16)
【国際特許分類】
【出願日】平成21年3月3日(2009.3.3)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]