IPsecトンネルによってリモートプライベートネットワークに接続されているローカルコンピュータネットワークの操作方法、ソフトウェアモジュール、およびIPsecゲートウェイ
【課題】ブロッキングモードにあるIPsecトンネルによってリモートネットワークのゲートウェイに接続されているローカルネットワークのコンピュータ端末が、ローカルネットワークに属しているプリンターへと印刷ジョブを発信する方法に関する。
【解決手段】ゲートウェイ(PASS_D)は、上記端末をインターネットと接続させるローカルルーター(ROUT_L)のパブリックアドレス(AD_1)と、トンネルの構築中に、リモートネットワーク(RES_D)のアドレッシング計画における端末(T_L)に割り当てられたプライベートアドレス(ad_3)との間の対応を保存する。ゲートウェイ(PASS_D)はまた、印刷フローをローカルルーター(ROUT_L)へ送る。これにより、ポート変換技術によって、印刷フローをローカルプリンター(E_L)へ向けさせる。
【解決手段】ゲートウェイ(PASS_D)は、上記端末をインターネットと接続させるローカルルーター(ROUT_L)のパブリックアドレス(AD_1)と、トンネルの構築中に、リモートネットワーク(RES_D)のアドレッシング計画における端末(T_L)に割り当てられたプライベートアドレス(ad_3)との間の対応を保存する。ゲートウェイ(PASS_D)はまた、印刷フローをローカルルーター(ROUT_L)へ送る。これにより、ポート変換技術によって、印刷フローをローカルプリンター(E_L)へ向けさせる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的な、相互接続されたネットワーク、特にコンピュータネットワークの運用方法に関する。
【0002】
より具体的には、本発明は、その第一の特徴によると、ブロッキングトンネルによってリモートネットワークのゲートウェイに接続されているローカル端末を含むローカルネットワークを運用する方法に関する。本方法は、上記端末からのフローを、ブロッキングトンネルを介してゲートウェイへ向ける操作を含んでいる。
【背景技術】
【0003】
当業者には知られているように、2つのネットワーク間の接続はIP接続が可能であり、インターネット、またはインターネットプロトコルを用いた他の任意のネットワークによって構成することができる。
【0004】
さらに、当業者には知られているように、インターネットは、「IPsec」として知られるセキュリティプロトコルを使用する。「IPsec」は、「Internet Protocol Security」の頭文字である。
【0005】
本発明は、その第一の効果的な適用において、IPsecプロトコルによってプライベート企業内ネットワークに接続されている場合の、ノーマディック状態(nomadic situation)にあるコンピュータに関連する。ノーマッドユーザ(nomad user)が在宅勤務する場合、即ち、誰かが家庭内ネットワーク(その人物の自宅のローカルネットワーク)から企業の遠隔プライベートネットワークに接続されている場合、本発明は特に実用的である。しかし本方法は、例えば、「wi−fiホットスポット」と称される無線接続領域のような、他のタイプのローカルネットワークにも適用可能である。
【0006】
慣例により、ここでの説明においては、ノーマッドユーザがローカルネットワークへと接続して、次に企業の遠隔プライベートネットワークへ接続するコンピュータを指す言葉として、「端末」または「ローカル端末」という用語を用いる。
【0007】
「ローカル機器」という用語は、ローカルネットワークに接続されているあらゆるコンピュータ機器を指すが、この場合のローカルネットワークは、IPsecを用いて接続中に端末へのアクセスを備えていなければならない。このローカル機器は、統計的に代表的なものとしては、プリンターから構成されることが多い。このローカル機器はさらに、ローカルネットワークの、他の任意のタイプのサーバー(ftp、telnet等)からも構成されることもできるが、この場合、IPsecを用いた接続中に、端末がローカルネットワークへのアクセスを備えていなければならない。
【0008】
「ルーター」、「ローカルルーター」、および「家庭用ルーター」という用語は、ローカルネットワーク(または、在宅勤務者などのノーマッドユーザの場合における家庭内ネットワーク)の入力に位置している機器を指す。この機器の機能については、以下に詳しく説明する。
【0009】
「ゲートウェイ」、特に「IPsecゲートウェイ」という用語は、端末と企業の遠隔プライベートネットワーク間に位置している機器を指し、上記端末から送られてくるトンネル、特にIPsecトンネルを終了させる機能を果たす。この機器の機能については、以下に詳しく説明する。ゲートウェイ、特にIPsecゲートウェイは、リモートネットワークの端に配置させることができ、企業または電気通信ネットワークのオペレーターによって管理される。
【0010】
セキュリティー上の理由から、IPsecプロトコルを実行することによって、ローカル端末がローカルネットワークおよび企業のリモートネットワークに同時にアクセスすることがほぼ不可能となる。このような妨害がなければ、端末は「二重接続」された状態になり、2つのネットワークが相互接続されて、セキュリティー上の深刻な欠陥を構成する。
【0011】
上記のような妨害は、「ブロッキングモード」と称される特殊なモードによって確実なものとなり、特にIPsecプロトコルに備えられている。
【0012】
従ってブロッキングモードは、IPsecにアクセス可能であるリモートネットワーク(一般的には企業のプライベートネットワーク)と、ローカルネットワーク(一般的には家庭内ネットワーク)と、へのローカル端末の二重接続を可能にする技術である。これを実行するために、ブロッキングモードは、ローカル端末のIPsecトンネル外のあらゆる通信を妨害する。これによって、IPsecトンネル内での(従って企業の情報システムへの)バウンス攻撃の危険を大幅に制限する。
【発明の開示】
【発明が解決しようとする課題】
【0013】
ブロッキングモードは、セキュリティー面を懸念する企業に対して最も有効であるため、遠隔的にアクセスされ得る企業のIPsecを使用した安全性政策は、一般的に、デフォルト設定でそれを作動させる。
【0014】
ブロッキングモードは、端末のIPsecソフトウェア内で実行され、一般的にクライアントのルーティング設定を変更することによって、企業のリモートネットワークのアドレッシングプランに属するデフォルトルートに全パケットを送る。ブロッキングモードはまた、アクセスフィルタリング機能(通常は、個人用のファイアウォール)を使用して、端末外部からの通信を妨害する。
【0015】
このセキュリティー操作に類似したものとして、ノーマッド端末は、そのリモートネットワーク(「インターネット」とも称される)への接続中に、該ノーマッド端末が物理的に接続されているローカルネットワーク上に存在する設備(機器)にはアクセスできないという操作がある。具体的には、ノーマッド端末は、そのローカルネットワークのプリンターにもはやアクセスできない。なぜなら、全ての制御およびデータフローは、ブロッキングトンネルによって、企業のリモートネットワークへと自動的に向けられるからである。
【0016】
この問題を克服するための、現在知られている唯一の方法は、いわゆる「スプリットトンネリング」技術を利用するものである。この技術は、IPsecトンネルが同時に存在していても、ローカル端末が、任意のローカルネットワーク機器と直接通信でき、従ってローカルサービスにアクセスできる可能性を提供する。
【0017】
この技術は、端末へのバウンス攻撃によって、企業のリモートネットワークへハッキング侵入される大きな危険をはらんでいるという問題がある。従って、この技術を使用しないよう強く推奨されており、大部分の企業内ネットワーク管理者によって使用が禁じられてすらいる。
【0018】
このような状況において、本発明の目的は、具体的には、ブロッキングトンネルを経由してIPsecゲートウェイに同時に接続されているにも関わらず、端末がローカル装置をアドレス指定できるようにする方法を提示することである。この機能性は、ブロッキングトンネルによってもたらされるセキュリティーに悪影響を与えることなく、そして関連するローカル端末またはローカル機器(特にプリンター)にいかなる追加の設定を加えることもなく得ることができる。
【課題を解決するための手段】
【0019】
この目的を達成するため、上記前文に記載されている一般的定義に対応する本発明の方法は、本質的に、ゲートウェイに実装された、上記リモートネットワークに向けられたものでないフローを送る操作をさらに含み、かつ、端末からローカルネットワーク装置に向けられた上記フローを、上記ローカル機器へと送ることからなることを特徴とする。
【0020】
上記送信操作は、例えば、ローカルネットワークのルーターによって上記フローを受信すること、および、該ルーターによって上記フローを上記機器へ向けさせること、を含んでいる。
【0021】
上記送信操作は、上記リモートネットワークに向けられたものでないフローを認識するための、ゲートウェイによる上記フローの解析をさらに含むことができる。
【0022】
本発明は、その非常に具体的かつ詳細な定義においては、上記ローカルネットワークに加えて、以下のように設定されたローカルコンピュータネットワークを運用する方法をさらに含んでいる。
【0023】
(1)IPタイプの接続ネットワークを介してローカルネットワークへ接続されている遠隔プライベートコンピュータネットワーク
(2)ローカルネットワークと接続ネットワーク間のインターフェースに位置しているローカルルーター
(3)リモートネットワークと接続ネットワーク間のインターフェースに位置しているIPsecゲートウェイ
上記ローカルネットワークは、少なくとも1つのローカル端末およびローカルコンピュータ装置を含んでいる。
【0024】
上記端末は、ブロッキングモードで、IPsecトンネルによってIPsecゲートウェイに接続されている。上記方法は、端末から上記ローカル機器に向けられた、制御および/またはデータフローを、ブロッキングモードで上記トンネルを経由して上記ゲートウェイへ自動的に再ルーティングすることを可能にする。従って本方法は、以下の操作を含んでいる。
【0025】
(1)上記端末から上記ローカル機器に向けられた、制御および/またはデータフローの受領時に上記ゲートウェイにおいて実行され、かつ、このフローが上記リモートネットワークに向けられたものでないことを認識することからなる解析工程
(2)上記ゲートウェイにおいて実行され、かつ、上記端末からの制御および/またはデータフローを上記ローカルルーターへ送ることからなる配送操作
(3)上記ローカルルーターにおいて実行され、かつ、上記ゲートウェイから上記ローカルルーターへと送られた、上記ローカル端末からの制御および/またはデータフローを上記ローカル機器へと向けさせることからなる方向操作。
【0026】
上記ゲートウェイに向けられた端末からの、上記遠隔プライベートネットワークへの接続要求中に、ルーティング可能なアドレスが割り当てられているローカルルーターが、そのルーティング可能なアドレスを上記ローカルネットワーク内部の端末と置換する場合、および、上記ブロッキングトンネルの構築中に上記IPsecゲートウェイが上記リモートネットワーク内部のアドレスを上記ローカル端末に割り当てる場合、本発明による方法はさらに、相関操作を含むことができる。この相関操作は、上記ブロッキングトンネルの構築中に上記ゲートウェイにおいて実行され、かつ、対応表を記憶して、上記ローカルルーターのルーティング可能なアドレスと、上記リモートネットワーク内部の端末のアドレスとを相互対応させることからなる。この相関操作において、制御および/またはデータフローを送信する操作は、対応表を使用し、かつ、上記リモートネットワーク内部のアドレスによって識別された端末からの制御および/またはデータフローを、上記ローカルルーターのルーティング可能なアドレスへ送信することからなる。
【0027】
上記方向操作は、ポート変換技術によって実行されることが好ましい。
【0028】
上記制御および/またはデータフローは、例えば、印刷コマンドを含むことができる。
【0029】
上記方法は追加操作を含んでいてもよく、この追加操作は、ゲートウェイによって実行され、かつ、上記ゲートウェイをローカルルーターに接続するIPsecまたはSSLタイプのトンネルを構築することからなる。
【0030】
あるいは、ゲートウェイによって実行される上記操作は、上記ゲートウェイをローカル機器(この場合はプリンター)へ接続する第2のIPsecまたはSSLタイプのトンネルを構築することによっても構成されることができる。
【0031】
さらに、本発明による方法は、別の操作を含んでいてもよく、この操作は、ローカルルーターによって実行され、かつ、ゲートウェイに対してローカル機器(この場合はプリンター)へのアクセスを用意することからなる。
【0032】
本発明はまた、ソフトウェアモジュールに関連する。このソフトウェアモジュールは、一旦該モジュールがIPsecゲートウェイ上にロードされると、少なくとも相関操作を実行するよう指示することを含んでいる。この相関操作は、先に説明した本方法の相関操作である。上記指示は、本方法の解析操作および送信操作をさらに実行することができる。
【0033】
本発明はさらに、前述したソフトウェアモジュールによって少なくとも部分的に制御されるIPsecゲートウェイに関連する。
【0034】
本発明の他の特徴および長所については、1枚の図面を参照にし、後述の説明によって明らかとなるであろう。後述の説明は適応例としてなされたものであり、限定的なものでは決してない。
【発明を実施するための最良の形態】
【0035】
前述の通り、本発明は、ローカルコンピュータネットワークRES_L(例えば家庭内ネットワーク)を、図面に示す構成で運用する方法に特に関連している。本方法はさらに、上記ローカルネットワークRES_Lに付け加えて、遠隔プライベートコンピュータネットワークRES_D(例えば企業内「イントラネット」ネットワーク)、ローカルルーターROUT_L、およびIPsecゲートウェイPASS_Dを含んでいる。上記ローカルネットワークRES_L自身は、少なくとも1つのローカル端末T_Lおよびローカルコンピュータ機器E_Lを含んでいる。これらのローカル端末T_Lおよびローカルコンピュータ機器E_Lは、例えば、IP上の任意のタイプの家庭用サービスに適したプリンターまたはサーバーであって、これらプリンターまたはサーバー(例えばftp、telnet等)に、端末T_Lが継続的にアクセス可能でなければならない。
【0036】
T_L端末は、周辺機器E_L(例えば、印刷ジョブを行なうことのできるプリンター)のリスト、具体的には、上記ローカルネットワークのプリンターのリストと共に構成されている。
【0037】
IPsecソフトウェアは、ブロッキングモードでのみ機能すると想定されるため、スプリットトンネリングを許可しない。
【0038】
上記ローカルネットワークRES_Lの入力に位置しているローカルルーターROUT_Lは、以下の複数の機能を実行する。
【0039】
(1)端末T_Lの、インターネットへの物理的接続(ISDN、ケーブル、xDSL等)を構築する。
【0040】
(2)ローカルネットワークRES_L(PC、プリンター、スキャナー、デコーダー等)の種々の機器E_Lの通信(一般的には、ケーブルイーサネット(登録商標)経由または無線([IEEE802.11]))を許可する。
【0041】
(3)端末T_Lおよび機器E_Lの内部アドレス([RFC1918])を、ルーティング可能なアドレスへ変換する。例えば、T_LおよびプリンターE_Lが、ローカルネットワークRES_Lにおいて、それぞれの内部アドレスad_1およびad_2を有している場合、ルーターROUT_Tは、インターネット接続中に、これらの内部アドレスをルーティング可能なアドレスAD_1へ変換する。このルーティング可能なアドレスAD_1は、上記ルーターが、インターネットアクセスプロバイダーのネットワークへの接続中に入手したものである。上記変換方法は、NAT/NAPT(ネットワークアドレス変換、ネットワークアドレスポート変換)、[RFC3022]として当業者には知られている。これは、内部IPアドレスと内部ポート番号とのペアと、外部IPアドレスと外部ポート番号とのペア間の対応表を維持することからなる。ルーターROUT_Lへ宛てられた各情報パケット、またはルーターROUT_Lによって送信された各情報パケットに対して、上記変換がこの表に従って行われる。
【0042】
(4)ポート変換技術(当業者には「ポートフォワーディング」として知られている)を実施する。このポート変換技術は、ルーターの外部ポートと、該ルーターの内部ポートとの間の関連を統計的に定義することからなる。このポート変換技術はまた、ローカルネットワークRES_L外の設備が、ルーターのノウンポート番号について、このローカルネットワーク内のサーバーをクエリに追加することによって、該サーバーにアクセス可能なようにする。
【0043】
端末T_Lと企業内ネットワークRES_D間に配置されているIPsecゲートウェイPASS_Dは、端末からのIPsecトンネルを終了させる機能を果たす。IPsecゲートウェイPASS_Dは、パケットルーティング機能を持ち、従って、インターフェースによってインターネット上でオープンであり、また、他方のインターフェースによってプライベートネットワークRES_D上でオープンである。
【0044】
例えば、ルーティング可能なアドレスAD_2が割り当てられているゲートウェイPASS_Dは、上記端末と上記ゲートウェイ間のIPsecブロッキングトンネルの構築中に、リモートネットワークRES_D内部のアドレスad_3を端末T_Lに割り当てる。
【0045】
標準的なIPsecゲートウェイに加えて、本発明によるゲートウェイは、ソフトウェアモジュールMTIを含んでいる。このソフトウェアモジュールMTIは、本発明に特殊な方法で、端末T_Lに、ネットワークRES_Lの機器E_Lまたはローカル機器へのアクセスを提供する。この特殊な方法については以下に詳述する。
【0046】
本発明の方法の実行は、以下の前提に基づいている。
【0047】
ローカルネットワークRES_Lは、いわゆる「プライベート」アドレッシングプランを使用する、つまり標準RFC1918に準拠している。これは、実際には、家庭用ルーターROUT_Lの構築者のデフォルト選択と対応している。このネットワークは、IPアドレスを「プライベート」アドレスレンジへ割り当てる、DHCPサーバーを実行する。
【0048】
リモートネットワークRES_D(例えば企業内ネットワーク)は、家庭内ネットワークRES_Lで使用されるものと同じサブネットワークアドレッシングを使用しない。少なくとも、その様なオーバーラップが存在する場合であっても、応答型ネットワークに関する曖昧性は、要求の出所を考慮することによって取り除かれる。
【0049】
例えば、ネットワーク10.0.0.Xが、企業および家庭内ネットワークの両方で使用される場合、(1)それが、パケットをアドレス10.0.0.3へ送る企業内ネットワークRES_Dの設備である場合、受信機器は、企業内ネットワークRES_Dの設備であり、(2)それが、パケットをアドレス10.0.0.3へ送るローカルネットワークRES_Lの設備である場合、受信機器は、ローカルネットワークRES_Lの設備である。
【0050】
IPsecゲートウェイPASS_Dは、上記2つのアドレッシングプランを認識していて、かつ、上記2つのネットワーク間のスプリットである限り、上記区別をすることができる。
【0051】
本発明の方法は、以下の原則に基づいている。
【0052】
IPsecゲートウェイPASS_Dは、RES_Lなどの家庭内ネットワークの全端末T_Lのデフォルトルーターである。従って、端末T_Lが、例えば、そのローカルプリンターE_Lへの印刷ジョブを命令しようとすると、その印刷命令はIPsecゲートウェイPASS_Dに体系的に送られる。なぜなら、端末T_LとゲートウェイPASS_D間に構築されているブロッキングモードのために、プリンターE_Lとの接続が不可能であるからである。これは、IPスタックの正常な動作である。なぜなら、IPsecブロッキングモードが、全パケットを強制的に企業内ネットワークRES_Dへ行かせることによって、クライアントのルーティング表を変化させるからである。
【0053】
IPsecゲートウェイPASS_Dは、その内部アドレスad_2によって識別されたローカル機器B_Lへと、端末T_Lによって宛てられたIPパケットの到着を確認する際に、上記IPsecゲートウェイPASS_Dは、これらのIPパケットを企業内ネットワークRES_Dへ送ることはできないことを認識する。確かに、前述した前提を考慮すると、応答型宛先アドレス_2は、企業内ネットワークRES_Dに属していない。あるいは少なくとも、家庭用端末T_Lは、そのようなアドレスを要求する理由がない。次に、ゲートウェイPASS_Dは、家庭内ネットワークRES_Lへ上記パケットを送らなければならないことを推測する。
【0054】
しかし、このトラフィックを再ルーティングできるようにするためには、ゲートウェイPASS_Dは、どの家庭用ルーターROUT_Lへ送られなければならないのか認識する必要がある。
【0055】
本発明によると、この情報は、端末T_LとIPsecゲートウェイPASS_D間に事前に構築されているIPsecトンネルの構築時に、ソフトウェアモジュールMTIによって構築される。
【0056】
家庭用ルーターROUT_L内で実行されるNATメカニズムゆえに、IPsecトンネルの構築中は、このルーターのパブリックアドレスAD_1が使用される。
【0057】
次に、IPsecゲートウェイPASS_Dは、企業のアドレッシングプランの内部アドレスad_3を端末T_Lに割り当てる。従ってIPsecゲートウェイPASS_Dは、企業の内部アドレッシングプラン上の端末T_Lのアドレスad_3と、家庭用ルーターROUT_LのパブリックアドレスAD_1間のリンクを認識している。そして、ソフトウェアモジュールMTIの機能は、具体的には、この対応を記録しておくことである。
【0058】
結果として、IPsecゲートウェイPASS_Dは、ノーマッド端末T_LからIPパケットを受領して、これらのパケットを家庭内ネットワークRES_Lに送らなければならないとき、家庭用ルーターROUT_LのパブリックアドレスAD_1を正確に認識している。
【0059】
家庭用ルーターROUT_Lは、インターネットから特定のポートへの接続を受領するとき、特定のポート番号のローカル内部装置E_Lへアドレスを変換できるように、ポート変換メカニズム(または「ポートフォワーディング」)を通常は実行する。例えば、この場合、インターネットから受領した全パケット、およびアドレスad_2に対応する印刷ポート上の全パケットは、内部プリンターE_Lのポートへ直接再送されることができる。
【0060】
この技術は、特に、後述するIPPなど、現行の全印刷プロトコルと共に使用可能である。
【0061】
IETF(この場合はPWGワーキンググループ[IETF−IPP])の業務との関連において、IPP(インターネット印刷プロトコル、[RFC2910]、[RFC2911])が、HTTP/1.1プロトコルに対して拡張子を特定するという新たな基準が規定された。これによって、現代的かつ効果的なローカルおよび遠隔印刷ソリューションを提供している。
【0062】
印刷プロトコルに関する先行技術書類は、「http://www.cups.org/overview.html」から入手可能である。
【0063】
今日最も一般的に使用されているプロトコルの1つは、前述のIPPプロトコルである。これは特に、大部分の機器にサポートされているからである。IPPプロトコルは、HTTPプロトコルに非常に類似しているため、操作が平易である。IPPプロトコルは、クライアントサーバーモードに従ってHTTPプロトコルの様に機能する。このクライアントは、一般的に、ポート80/TCPの遠隔プリンターにアクセスする。
【0064】
印刷要求を処理するためのソフトウェアモジュールMTIの機能内容、およびこのモジュールがロードされているIPsecゲートウェイPASS_Dの機能内容については、以下に詳述する。
【0065】
端末T_Lは、そのIPsecトンネルを構築する際、IPsecゲートウェイPASS_Dと共にIKE(RFC2409)による変換に参加する。この間、IPsecゲートウェイは、送信元アドレスが家庭用ルーターROUT_LのパブリックIPアドレス(即ちAD_1)であるIPパケットを受領する。
【0066】
実際、ルーターROUT_Lの横断中、該ルーターのアドレスAD_1が、端末T_Lの内部アドレスad_1に体系的に代用される。
【0067】
IPsecゲートウェイPASS_Dは、動的IPアドレス(ad_3)を端末T_Lに割り当てる。この動的IPアドレスは、企業内ネットワークRES_Dのアドレッシングプランに属している。
【0068】
ローカルネットワークRES_LのルーターROUT_LのパブリックアドレスAD_1、および端末T_Lへ動的に割り当てられたアドレスad_3を認識しているIPsecゲートウェイは、モジュールMTIにメッセージを送って、これら2つのアドレスを関連づける対応表を更新する。
【0069】
アドレスAD_1およびad_3を有する対応表を更新するためのメッセージを受領すると、ソフトウェアモジュールMTIは、この表を更新する。
【0070】
端末T_Lは、印刷ジョブを開始するとき、宛先プリンターとしてローカルネットワークRES_LのプリンターE_Lを選択する。なぜなら、端末T_Lは、いかなるIPsecトンネルも構築されなかったという、より平易な状況で印刷を行うからである。
【0071】
IPsecトンネルがブロッキングモードにあるため、端末T_Lからの、プリンターE_Lに向けられた制御およびデータフローは、トンネルによってIPsecゲートウェイPASS_Dへと向けられる。
【0072】
IPsecトンネルを通過して送られ、かつ、企業内ネットワークRES_Dでないネットワークにアドレスad_2が属している設備に向けられたトラフィックの到着を確認すると、IPsecゲートウェイPASS_Dは、そのトラフィックをどの家庭用ルーターに再度向けさせるのかを、ソフトウェアモジュールMTIに確認する。これを実行するために、ゲートウェイPASS_Dは、企業内ネットワークRES_Dに見られるように、モジュールMTIに端末T_Lのアドレス(即ち、IKEによる変換中にゲートウェイPASS_Dに割り当てられたad_3)を与える。
【0073】
モジュールMTIは、対応表を参照して、端末T_Lのアドレスad_3に基づいて家庭用ルーターROUT_LのパブリックアドレスAD_1を推測する。
【0074】
IPsecゲートウェイは、そのルーティング表を、この新しい宛先と共に更新し、印刷命令を家庭用ルーターROUT_Lへ送る。言い換えると、ゲートウェイPASS_Dは、パブリックIPアドレス(即ち、家庭用ルーターROUT_LのAD_1)が受領した全パケットのリレーを実行する。
【0075】
上記家庭用ルーターは、このフローを受領すると、ポート変換メカニズム(「ポートフォワーディング」)を用いてこのフローをプリンターE_Lへと再度向けさせる。
【0076】
端末T_LがIPsecセッションを閉じるとき、または、端末T_Lが切断されたことをIPsecゲートウェイPASS_Dが検出するとき、端末T_Lは、端末T_Lに対応する入力をその表から削除するように、そして、この端末に対応する回線をそのルーティング表から消去するよう、モジュールMTIに依頼をかける。
【0077】
当業者であれば、上記の説明を読めば理解できるであろうが、本発明による方法は、スプリットトンネリングメカニズムの除去を可能にし、一方で、完全に安全な方法で、端末T_LのネットワークRES_Lに属するローカル設備に接触する可能性を提供する。本発明による方法は、企業内ネットワークの安全性を損なうことはない。
【0078】
本方法は、プリンターE_L、家庭用ルーターROUT_L、または端末T_Lへのいかなる修飾または設定も不要である。
【0079】
さらに本方法によって、プリンターの高度な機能が享受できるようになる。なぜなら、印刷内容が企業内ネットワークRES_Dを通過したとしても、ローカルプリンターのパラメータが引き続き有効であるからである。
【0080】
インターネット上の解読されたモードを通過する代わりに、IPsecゲートウェイPASS_Dから家庭内ネットワークRES_Lを循環しているフローは、このゲートウェイとルーターROUT_L間に構築されているIPsecトンネルによる傍受から保護される。このトンネルは、IPsecゲートウェイが、フローを家庭内ネットワークRES_Lへと再ルートしたい場合に、IPsecゲートウェイの要望によって構築される。この場合、上記家庭用ルーターは、ユーザの介入なしにトンネルの構築を受け入れるように設定されなければならない。
【0081】
プリンターE_LがSSLで通信することができるならば、IPsecゲートウェイPASS_Dから家庭内ネットワークRES_Lを循環しているフローはまた、IPsecゲートウェイとプリンターE_L間に構築されているSSLトンネルによる傍受からも保護される。従ってこの機能性は、本発明で有利に利用される。
【0082】
両ケースにおいても、本発明による方法は、IPsecゲートウェイを認証することによって、家庭内ネットワークRES_Lを侵入から保護し、また暗号化によって、交換データの信頼性を保障することができる。
【0083】
最後に、大部分の家庭用ルーターROUT_Lが基本的なファイアウォール規則の構築を許可する中で、IPsecゲートウェイPASS_Dに対して、(ポート変換メカニズムを介して)プリンターE_Lへのアクセスを用意しておくように、固定規則を構築することが可能である。これによって、ローカルネットワークRES_Lを保護することにより、より高い安全性が得られる。
【0084】
本発明の説明は、単に例示のために行なったものであり、本発明の主旨から外れない変形例は、本発明の範囲に入るものと考えられる。このような変形例は、本発明の思想と範囲とから外れるものとは見なされない。
【図面の簡単な説明】
【0085】
【図1】本発明の一実施形態を示すものであり、本発明の方法が実行される構成を示す図である。
【技術分野】
【0001】
本発明は、一般的な、相互接続されたネットワーク、特にコンピュータネットワークの運用方法に関する。
【0002】
より具体的には、本発明は、その第一の特徴によると、ブロッキングトンネルによってリモートネットワークのゲートウェイに接続されているローカル端末を含むローカルネットワークを運用する方法に関する。本方法は、上記端末からのフローを、ブロッキングトンネルを介してゲートウェイへ向ける操作を含んでいる。
【背景技術】
【0003】
当業者には知られているように、2つのネットワーク間の接続はIP接続が可能であり、インターネット、またはインターネットプロトコルを用いた他の任意のネットワークによって構成することができる。
【0004】
さらに、当業者には知られているように、インターネットは、「IPsec」として知られるセキュリティプロトコルを使用する。「IPsec」は、「Internet Protocol Security」の頭文字である。
【0005】
本発明は、その第一の効果的な適用において、IPsecプロトコルによってプライベート企業内ネットワークに接続されている場合の、ノーマディック状態(nomadic situation)にあるコンピュータに関連する。ノーマッドユーザ(nomad user)が在宅勤務する場合、即ち、誰かが家庭内ネットワーク(その人物の自宅のローカルネットワーク)から企業の遠隔プライベートネットワークに接続されている場合、本発明は特に実用的である。しかし本方法は、例えば、「wi−fiホットスポット」と称される無線接続領域のような、他のタイプのローカルネットワークにも適用可能である。
【0006】
慣例により、ここでの説明においては、ノーマッドユーザがローカルネットワークへと接続して、次に企業の遠隔プライベートネットワークへ接続するコンピュータを指す言葉として、「端末」または「ローカル端末」という用語を用いる。
【0007】
「ローカル機器」という用語は、ローカルネットワークに接続されているあらゆるコンピュータ機器を指すが、この場合のローカルネットワークは、IPsecを用いて接続中に端末へのアクセスを備えていなければならない。このローカル機器は、統計的に代表的なものとしては、プリンターから構成されることが多い。このローカル機器はさらに、ローカルネットワークの、他の任意のタイプのサーバー(ftp、telnet等)からも構成されることもできるが、この場合、IPsecを用いた接続中に、端末がローカルネットワークへのアクセスを備えていなければならない。
【0008】
「ルーター」、「ローカルルーター」、および「家庭用ルーター」という用語は、ローカルネットワーク(または、在宅勤務者などのノーマッドユーザの場合における家庭内ネットワーク)の入力に位置している機器を指す。この機器の機能については、以下に詳しく説明する。
【0009】
「ゲートウェイ」、特に「IPsecゲートウェイ」という用語は、端末と企業の遠隔プライベートネットワーク間に位置している機器を指し、上記端末から送られてくるトンネル、特にIPsecトンネルを終了させる機能を果たす。この機器の機能については、以下に詳しく説明する。ゲートウェイ、特にIPsecゲートウェイは、リモートネットワークの端に配置させることができ、企業または電気通信ネットワークのオペレーターによって管理される。
【0010】
セキュリティー上の理由から、IPsecプロトコルを実行することによって、ローカル端末がローカルネットワークおよび企業のリモートネットワークに同時にアクセスすることがほぼ不可能となる。このような妨害がなければ、端末は「二重接続」された状態になり、2つのネットワークが相互接続されて、セキュリティー上の深刻な欠陥を構成する。
【0011】
上記のような妨害は、「ブロッキングモード」と称される特殊なモードによって確実なものとなり、特にIPsecプロトコルに備えられている。
【0012】
従ってブロッキングモードは、IPsecにアクセス可能であるリモートネットワーク(一般的には企業のプライベートネットワーク)と、ローカルネットワーク(一般的には家庭内ネットワーク)と、へのローカル端末の二重接続を可能にする技術である。これを実行するために、ブロッキングモードは、ローカル端末のIPsecトンネル外のあらゆる通信を妨害する。これによって、IPsecトンネル内での(従って企業の情報システムへの)バウンス攻撃の危険を大幅に制限する。
【発明の開示】
【発明が解決しようとする課題】
【0013】
ブロッキングモードは、セキュリティー面を懸念する企業に対して最も有効であるため、遠隔的にアクセスされ得る企業のIPsecを使用した安全性政策は、一般的に、デフォルト設定でそれを作動させる。
【0014】
ブロッキングモードは、端末のIPsecソフトウェア内で実行され、一般的にクライアントのルーティング設定を変更することによって、企業のリモートネットワークのアドレッシングプランに属するデフォルトルートに全パケットを送る。ブロッキングモードはまた、アクセスフィルタリング機能(通常は、個人用のファイアウォール)を使用して、端末外部からの通信を妨害する。
【0015】
このセキュリティー操作に類似したものとして、ノーマッド端末は、そのリモートネットワーク(「インターネット」とも称される)への接続中に、該ノーマッド端末が物理的に接続されているローカルネットワーク上に存在する設備(機器)にはアクセスできないという操作がある。具体的には、ノーマッド端末は、そのローカルネットワークのプリンターにもはやアクセスできない。なぜなら、全ての制御およびデータフローは、ブロッキングトンネルによって、企業のリモートネットワークへと自動的に向けられるからである。
【0016】
この問題を克服するための、現在知られている唯一の方法は、いわゆる「スプリットトンネリング」技術を利用するものである。この技術は、IPsecトンネルが同時に存在していても、ローカル端末が、任意のローカルネットワーク機器と直接通信でき、従ってローカルサービスにアクセスできる可能性を提供する。
【0017】
この技術は、端末へのバウンス攻撃によって、企業のリモートネットワークへハッキング侵入される大きな危険をはらんでいるという問題がある。従って、この技術を使用しないよう強く推奨されており、大部分の企業内ネットワーク管理者によって使用が禁じられてすらいる。
【0018】
このような状況において、本発明の目的は、具体的には、ブロッキングトンネルを経由してIPsecゲートウェイに同時に接続されているにも関わらず、端末がローカル装置をアドレス指定できるようにする方法を提示することである。この機能性は、ブロッキングトンネルによってもたらされるセキュリティーに悪影響を与えることなく、そして関連するローカル端末またはローカル機器(特にプリンター)にいかなる追加の設定を加えることもなく得ることができる。
【課題を解決するための手段】
【0019】
この目的を達成するため、上記前文に記載されている一般的定義に対応する本発明の方法は、本質的に、ゲートウェイに実装された、上記リモートネットワークに向けられたものでないフローを送る操作をさらに含み、かつ、端末からローカルネットワーク装置に向けられた上記フローを、上記ローカル機器へと送ることからなることを特徴とする。
【0020】
上記送信操作は、例えば、ローカルネットワークのルーターによって上記フローを受信すること、および、該ルーターによって上記フローを上記機器へ向けさせること、を含んでいる。
【0021】
上記送信操作は、上記リモートネットワークに向けられたものでないフローを認識するための、ゲートウェイによる上記フローの解析をさらに含むことができる。
【0022】
本発明は、その非常に具体的かつ詳細な定義においては、上記ローカルネットワークに加えて、以下のように設定されたローカルコンピュータネットワークを運用する方法をさらに含んでいる。
【0023】
(1)IPタイプの接続ネットワークを介してローカルネットワークへ接続されている遠隔プライベートコンピュータネットワーク
(2)ローカルネットワークと接続ネットワーク間のインターフェースに位置しているローカルルーター
(3)リモートネットワークと接続ネットワーク間のインターフェースに位置しているIPsecゲートウェイ
上記ローカルネットワークは、少なくとも1つのローカル端末およびローカルコンピュータ装置を含んでいる。
【0024】
上記端末は、ブロッキングモードで、IPsecトンネルによってIPsecゲートウェイに接続されている。上記方法は、端末から上記ローカル機器に向けられた、制御および/またはデータフローを、ブロッキングモードで上記トンネルを経由して上記ゲートウェイへ自動的に再ルーティングすることを可能にする。従って本方法は、以下の操作を含んでいる。
【0025】
(1)上記端末から上記ローカル機器に向けられた、制御および/またはデータフローの受領時に上記ゲートウェイにおいて実行され、かつ、このフローが上記リモートネットワークに向けられたものでないことを認識することからなる解析工程
(2)上記ゲートウェイにおいて実行され、かつ、上記端末からの制御および/またはデータフローを上記ローカルルーターへ送ることからなる配送操作
(3)上記ローカルルーターにおいて実行され、かつ、上記ゲートウェイから上記ローカルルーターへと送られた、上記ローカル端末からの制御および/またはデータフローを上記ローカル機器へと向けさせることからなる方向操作。
【0026】
上記ゲートウェイに向けられた端末からの、上記遠隔プライベートネットワークへの接続要求中に、ルーティング可能なアドレスが割り当てられているローカルルーターが、そのルーティング可能なアドレスを上記ローカルネットワーク内部の端末と置換する場合、および、上記ブロッキングトンネルの構築中に上記IPsecゲートウェイが上記リモートネットワーク内部のアドレスを上記ローカル端末に割り当てる場合、本発明による方法はさらに、相関操作を含むことができる。この相関操作は、上記ブロッキングトンネルの構築中に上記ゲートウェイにおいて実行され、かつ、対応表を記憶して、上記ローカルルーターのルーティング可能なアドレスと、上記リモートネットワーク内部の端末のアドレスとを相互対応させることからなる。この相関操作において、制御および/またはデータフローを送信する操作は、対応表を使用し、かつ、上記リモートネットワーク内部のアドレスによって識別された端末からの制御および/またはデータフローを、上記ローカルルーターのルーティング可能なアドレスへ送信することからなる。
【0027】
上記方向操作は、ポート変換技術によって実行されることが好ましい。
【0028】
上記制御および/またはデータフローは、例えば、印刷コマンドを含むことができる。
【0029】
上記方法は追加操作を含んでいてもよく、この追加操作は、ゲートウェイによって実行され、かつ、上記ゲートウェイをローカルルーターに接続するIPsecまたはSSLタイプのトンネルを構築することからなる。
【0030】
あるいは、ゲートウェイによって実行される上記操作は、上記ゲートウェイをローカル機器(この場合はプリンター)へ接続する第2のIPsecまたはSSLタイプのトンネルを構築することによっても構成されることができる。
【0031】
さらに、本発明による方法は、別の操作を含んでいてもよく、この操作は、ローカルルーターによって実行され、かつ、ゲートウェイに対してローカル機器(この場合はプリンター)へのアクセスを用意することからなる。
【0032】
本発明はまた、ソフトウェアモジュールに関連する。このソフトウェアモジュールは、一旦該モジュールがIPsecゲートウェイ上にロードされると、少なくとも相関操作を実行するよう指示することを含んでいる。この相関操作は、先に説明した本方法の相関操作である。上記指示は、本方法の解析操作および送信操作をさらに実行することができる。
【0033】
本発明はさらに、前述したソフトウェアモジュールによって少なくとも部分的に制御されるIPsecゲートウェイに関連する。
【0034】
本発明の他の特徴および長所については、1枚の図面を参照にし、後述の説明によって明らかとなるであろう。後述の説明は適応例としてなされたものであり、限定的なものでは決してない。
【発明を実施するための最良の形態】
【0035】
前述の通り、本発明は、ローカルコンピュータネットワークRES_L(例えば家庭内ネットワーク)を、図面に示す構成で運用する方法に特に関連している。本方法はさらに、上記ローカルネットワークRES_Lに付け加えて、遠隔プライベートコンピュータネットワークRES_D(例えば企業内「イントラネット」ネットワーク)、ローカルルーターROUT_L、およびIPsecゲートウェイPASS_Dを含んでいる。上記ローカルネットワークRES_L自身は、少なくとも1つのローカル端末T_Lおよびローカルコンピュータ機器E_Lを含んでいる。これらのローカル端末T_Lおよびローカルコンピュータ機器E_Lは、例えば、IP上の任意のタイプの家庭用サービスに適したプリンターまたはサーバーであって、これらプリンターまたはサーバー(例えばftp、telnet等)に、端末T_Lが継続的にアクセス可能でなければならない。
【0036】
T_L端末は、周辺機器E_L(例えば、印刷ジョブを行なうことのできるプリンター)のリスト、具体的には、上記ローカルネットワークのプリンターのリストと共に構成されている。
【0037】
IPsecソフトウェアは、ブロッキングモードでのみ機能すると想定されるため、スプリットトンネリングを許可しない。
【0038】
上記ローカルネットワークRES_Lの入力に位置しているローカルルーターROUT_Lは、以下の複数の機能を実行する。
【0039】
(1)端末T_Lの、インターネットへの物理的接続(ISDN、ケーブル、xDSL等)を構築する。
【0040】
(2)ローカルネットワークRES_L(PC、プリンター、スキャナー、デコーダー等)の種々の機器E_Lの通信(一般的には、ケーブルイーサネット(登録商標)経由または無線([IEEE802.11]))を許可する。
【0041】
(3)端末T_Lおよび機器E_Lの内部アドレス([RFC1918])を、ルーティング可能なアドレスへ変換する。例えば、T_LおよびプリンターE_Lが、ローカルネットワークRES_Lにおいて、それぞれの内部アドレスad_1およびad_2を有している場合、ルーターROUT_Tは、インターネット接続中に、これらの内部アドレスをルーティング可能なアドレスAD_1へ変換する。このルーティング可能なアドレスAD_1は、上記ルーターが、インターネットアクセスプロバイダーのネットワークへの接続中に入手したものである。上記変換方法は、NAT/NAPT(ネットワークアドレス変換、ネットワークアドレスポート変換)、[RFC3022]として当業者には知られている。これは、内部IPアドレスと内部ポート番号とのペアと、外部IPアドレスと外部ポート番号とのペア間の対応表を維持することからなる。ルーターROUT_Lへ宛てられた各情報パケット、またはルーターROUT_Lによって送信された各情報パケットに対して、上記変換がこの表に従って行われる。
【0042】
(4)ポート変換技術(当業者には「ポートフォワーディング」として知られている)を実施する。このポート変換技術は、ルーターの外部ポートと、該ルーターの内部ポートとの間の関連を統計的に定義することからなる。このポート変換技術はまた、ローカルネットワークRES_L外の設備が、ルーターのノウンポート番号について、このローカルネットワーク内のサーバーをクエリに追加することによって、該サーバーにアクセス可能なようにする。
【0043】
端末T_Lと企業内ネットワークRES_D間に配置されているIPsecゲートウェイPASS_Dは、端末からのIPsecトンネルを終了させる機能を果たす。IPsecゲートウェイPASS_Dは、パケットルーティング機能を持ち、従って、インターフェースによってインターネット上でオープンであり、また、他方のインターフェースによってプライベートネットワークRES_D上でオープンである。
【0044】
例えば、ルーティング可能なアドレスAD_2が割り当てられているゲートウェイPASS_Dは、上記端末と上記ゲートウェイ間のIPsecブロッキングトンネルの構築中に、リモートネットワークRES_D内部のアドレスad_3を端末T_Lに割り当てる。
【0045】
標準的なIPsecゲートウェイに加えて、本発明によるゲートウェイは、ソフトウェアモジュールMTIを含んでいる。このソフトウェアモジュールMTIは、本発明に特殊な方法で、端末T_Lに、ネットワークRES_Lの機器E_Lまたはローカル機器へのアクセスを提供する。この特殊な方法については以下に詳述する。
【0046】
本発明の方法の実行は、以下の前提に基づいている。
【0047】
ローカルネットワークRES_Lは、いわゆる「プライベート」アドレッシングプランを使用する、つまり標準RFC1918に準拠している。これは、実際には、家庭用ルーターROUT_Lの構築者のデフォルト選択と対応している。このネットワークは、IPアドレスを「プライベート」アドレスレンジへ割り当てる、DHCPサーバーを実行する。
【0048】
リモートネットワークRES_D(例えば企業内ネットワーク)は、家庭内ネットワークRES_Lで使用されるものと同じサブネットワークアドレッシングを使用しない。少なくとも、その様なオーバーラップが存在する場合であっても、応答型ネットワークに関する曖昧性は、要求の出所を考慮することによって取り除かれる。
【0049】
例えば、ネットワーク10.0.0.Xが、企業および家庭内ネットワークの両方で使用される場合、(1)それが、パケットをアドレス10.0.0.3へ送る企業内ネットワークRES_Dの設備である場合、受信機器は、企業内ネットワークRES_Dの設備であり、(2)それが、パケットをアドレス10.0.0.3へ送るローカルネットワークRES_Lの設備である場合、受信機器は、ローカルネットワークRES_Lの設備である。
【0050】
IPsecゲートウェイPASS_Dは、上記2つのアドレッシングプランを認識していて、かつ、上記2つのネットワーク間のスプリットである限り、上記区別をすることができる。
【0051】
本発明の方法は、以下の原則に基づいている。
【0052】
IPsecゲートウェイPASS_Dは、RES_Lなどの家庭内ネットワークの全端末T_Lのデフォルトルーターである。従って、端末T_Lが、例えば、そのローカルプリンターE_Lへの印刷ジョブを命令しようとすると、その印刷命令はIPsecゲートウェイPASS_Dに体系的に送られる。なぜなら、端末T_LとゲートウェイPASS_D間に構築されているブロッキングモードのために、プリンターE_Lとの接続が不可能であるからである。これは、IPスタックの正常な動作である。なぜなら、IPsecブロッキングモードが、全パケットを強制的に企業内ネットワークRES_Dへ行かせることによって、クライアントのルーティング表を変化させるからである。
【0053】
IPsecゲートウェイPASS_Dは、その内部アドレスad_2によって識別されたローカル機器B_Lへと、端末T_Lによって宛てられたIPパケットの到着を確認する際に、上記IPsecゲートウェイPASS_Dは、これらのIPパケットを企業内ネットワークRES_Dへ送ることはできないことを認識する。確かに、前述した前提を考慮すると、応答型宛先アドレス_2は、企業内ネットワークRES_Dに属していない。あるいは少なくとも、家庭用端末T_Lは、そのようなアドレスを要求する理由がない。次に、ゲートウェイPASS_Dは、家庭内ネットワークRES_Lへ上記パケットを送らなければならないことを推測する。
【0054】
しかし、このトラフィックを再ルーティングできるようにするためには、ゲートウェイPASS_Dは、どの家庭用ルーターROUT_Lへ送られなければならないのか認識する必要がある。
【0055】
本発明によると、この情報は、端末T_LとIPsecゲートウェイPASS_D間に事前に構築されているIPsecトンネルの構築時に、ソフトウェアモジュールMTIによって構築される。
【0056】
家庭用ルーターROUT_L内で実行されるNATメカニズムゆえに、IPsecトンネルの構築中は、このルーターのパブリックアドレスAD_1が使用される。
【0057】
次に、IPsecゲートウェイPASS_Dは、企業のアドレッシングプランの内部アドレスad_3を端末T_Lに割り当てる。従ってIPsecゲートウェイPASS_Dは、企業の内部アドレッシングプラン上の端末T_Lのアドレスad_3と、家庭用ルーターROUT_LのパブリックアドレスAD_1間のリンクを認識している。そして、ソフトウェアモジュールMTIの機能は、具体的には、この対応を記録しておくことである。
【0058】
結果として、IPsecゲートウェイPASS_Dは、ノーマッド端末T_LからIPパケットを受領して、これらのパケットを家庭内ネットワークRES_Lに送らなければならないとき、家庭用ルーターROUT_LのパブリックアドレスAD_1を正確に認識している。
【0059】
家庭用ルーターROUT_Lは、インターネットから特定のポートへの接続を受領するとき、特定のポート番号のローカル内部装置E_Lへアドレスを変換できるように、ポート変換メカニズム(または「ポートフォワーディング」)を通常は実行する。例えば、この場合、インターネットから受領した全パケット、およびアドレスad_2に対応する印刷ポート上の全パケットは、内部プリンターE_Lのポートへ直接再送されることができる。
【0060】
この技術は、特に、後述するIPPなど、現行の全印刷プロトコルと共に使用可能である。
【0061】
IETF(この場合はPWGワーキンググループ[IETF−IPP])の業務との関連において、IPP(インターネット印刷プロトコル、[RFC2910]、[RFC2911])が、HTTP/1.1プロトコルに対して拡張子を特定するという新たな基準が規定された。これによって、現代的かつ効果的なローカルおよび遠隔印刷ソリューションを提供している。
【0062】
印刷プロトコルに関する先行技術書類は、「http://www.cups.org/overview.html」から入手可能である。
【0063】
今日最も一般的に使用されているプロトコルの1つは、前述のIPPプロトコルである。これは特に、大部分の機器にサポートされているからである。IPPプロトコルは、HTTPプロトコルに非常に類似しているため、操作が平易である。IPPプロトコルは、クライアントサーバーモードに従ってHTTPプロトコルの様に機能する。このクライアントは、一般的に、ポート80/TCPの遠隔プリンターにアクセスする。
【0064】
印刷要求を処理するためのソフトウェアモジュールMTIの機能内容、およびこのモジュールがロードされているIPsecゲートウェイPASS_Dの機能内容については、以下に詳述する。
【0065】
端末T_Lは、そのIPsecトンネルを構築する際、IPsecゲートウェイPASS_Dと共にIKE(RFC2409)による変換に参加する。この間、IPsecゲートウェイは、送信元アドレスが家庭用ルーターROUT_LのパブリックIPアドレス(即ちAD_1)であるIPパケットを受領する。
【0066】
実際、ルーターROUT_Lの横断中、該ルーターのアドレスAD_1が、端末T_Lの内部アドレスad_1に体系的に代用される。
【0067】
IPsecゲートウェイPASS_Dは、動的IPアドレス(ad_3)を端末T_Lに割り当てる。この動的IPアドレスは、企業内ネットワークRES_Dのアドレッシングプランに属している。
【0068】
ローカルネットワークRES_LのルーターROUT_LのパブリックアドレスAD_1、および端末T_Lへ動的に割り当てられたアドレスad_3を認識しているIPsecゲートウェイは、モジュールMTIにメッセージを送って、これら2つのアドレスを関連づける対応表を更新する。
【0069】
アドレスAD_1およびad_3を有する対応表を更新するためのメッセージを受領すると、ソフトウェアモジュールMTIは、この表を更新する。
【0070】
端末T_Lは、印刷ジョブを開始するとき、宛先プリンターとしてローカルネットワークRES_LのプリンターE_Lを選択する。なぜなら、端末T_Lは、いかなるIPsecトンネルも構築されなかったという、より平易な状況で印刷を行うからである。
【0071】
IPsecトンネルがブロッキングモードにあるため、端末T_Lからの、プリンターE_Lに向けられた制御およびデータフローは、トンネルによってIPsecゲートウェイPASS_Dへと向けられる。
【0072】
IPsecトンネルを通過して送られ、かつ、企業内ネットワークRES_Dでないネットワークにアドレスad_2が属している設備に向けられたトラフィックの到着を確認すると、IPsecゲートウェイPASS_Dは、そのトラフィックをどの家庭用ルーターに再度向けさせるのかを、ソフトウェアモジュールMTIに確認する。これを実行するために、ゲートウェイPASS_Dは、企業内ネットワークRES_Dに見られるように、モジュールMTIに端末T_Lのアドレス(即ち、IKEによる変換中にゲートウェイPASS_Dに割り当てられたad_3)を与える。
【0073】
モジュールMTIは、対応表を参照して、端末T_Lのアドレスad_3に基づいて家庭用ルーターROUT_LのパブリックアドレスAD_1を推測する。
【0074】
IPsecゲートウェイは、そのルーティング表を、この新しい宛先と共に更新し、印刷命令を家庭用ルーターROUT_Lへ送る。言い換えると、ゲートウェイPASS_Dは、パブリックIPアドレス(即ち、家庭用ルーターROUT_LのAD_1)が受領した全パケットのリレーを実行する。
【0075】
上記家庭用ルーターは、このフローを受領すると、ポート変換メカニズム(「ポートフォワーディング」)を用いてこのフローをプリンターE_Lへと再度向けさせる。
【0076】
端末T_LがIPsecセッションを閉じるとき、または、端末T_Lが切断されたことをIPsecゲートウェイPASS_Dが検出するとき、端末T_Lは、端末T_Lに対応する入力をその表から削除するように、そして、この端末に対応する回線をそのルーティング表から消去するよう、モジュールMTIに依頼をかける。
【0077】
当業者であれば、上記の説明を読めば理解できるであろうが、本発明による方法は、スプリットトンネリングメカニズムの除去を可能にし、一方で、完全に安全な方法で、端末T_LのネットワークRES_Lに属するローカル設備に接触する可能性を提供する。本発明による方法は、企業内ネットワークの安全性を損なうことはない。
【0078】
本方法は、プリンターE_L、家庭用ルーターROUT_L、または端末T_Lへのいかなる修飾または設定も不要である。
【0079】
さらに本方法によって、プリンターの高度な機能が享受できるようになる。なぜなら、印刷内容が企業内ネットワークRES_Dを通過したとしても、ローカルプリンターのパラメータが引き続き有効であるからである。
【0080】
インターネット上の解読されたモードを通過する代わりに、IPsecゲートウェイPASS_Dから家庭内ネットワークRES_Lを循環しているフローは、このゲートウェイとルーターROUT_L間に構築されているIPsecトンネルによる傍受から保護される。このトンネルは、IPsecゲートウェイが、フローを家庭内ネットワークRES_Lへと再ルートしたい場合に、IPsecゲートウェイの要望によって構築される。この場合、上記家庭用ルーターは、ユーザの介入なしにトンネルの構築を受け入れるように設定されなければならない。
【0081】
プリンターE_LがSSLで通信することができるならば、IPsecゲートウェイPASS_Dから家庭内ネットワークRES_Lを循環しているフローはまた、IPsecゲートウェイとプリンターE_L間に構築されているSSLトンネルによる傍受からも保護される。従ってこの機能性は、本発明で有利に利用される。
【0082】
両ケースにおいても、本発明による方法は、IPsecゲートウェイを認証することによって、家庭内ネットワークRES_Lを侵入から保護し、また暗号化によって、交換データの信頼性を保障することができる。
【0083】
最後に、大部分の家庭用ルーターROUT_Lが基本的なファイアウォール規則の構築を許可する中で、IPsecゲートウェイPASS_Dに対して、(ポート変換メカニズムを介して)プリンターE_Lへのアクセスを用意しておくように、固定規則を構築することが可能である。これによって、ローカルネットワークRES_Lを保護することにより、より高い安全性が得られる。
【0084】
本発明の説明は、単に例示のために行なったものであり、本発明の主旨から外れない変形例は、本発明の範囲に入るものと考えられる。このような変形例は、本発明の思想と範囲とから外れるものとは見なされない。
【図面の簡単な説明】
【0085】
【図1】本発明の一実施形態を示すものであり、本発明の方法が実行される構成を示す図である。
【特許請求の範囲】
【請求項1】
ブロッキングトンネルによってリモートネットワークのゲートウェイへ接続されているローカル端末を備えたローカルネットワーク(RES_L)の操作方法において、上記ブロッキングトンネルを通して上記端末(T_L)から上記ゲートウェイ(PASS_D)へのフローをルーティングさせる操作方法であって、
上記ゲートウェイ(PASS_D)に実装された上記ネットワークへ向けられたものでないフローの送信操作をさらに含み、該操作が、上記端末(T_L)から上記ローカルネットワークの装置へ向けられた上記フローを上記ローカル機器(E_L、ad_2)へと送信することを含むことを特徴とする操作方法。
【請求項2】
上記送信操作は、
上記ローカルネットワークのルーター(ROUT_L)によって上記フローを受領する操作と、
上記ルーターによって上記フローを上記機器へ向けさせる操作とを含むことを特徴とする請求項1に記載の操作方法。
【請求項3】
上記送信操作は、上記リモートネットワークに向けられたものでないフローであることを認識するため、上記ゲートウェイによる解析を行なう操作を含むことを特徴とする請求項1または2に記載の方法。
【請求項4】
上記ゲートウェイ(PASS_D)に向けられた上記端末(T_L)からの、遠隔プライベートネットワークである上記ネットワークへの接続要求中に、ルーティング可能なアドレス(AD_1)が割り当てられるローカルルーターである上記ルーター(ROUT_L)が、自身のルーティング可能なアドレス(AD_1)を、上記ローカルネットワーク内の上記端末(T_L)のアドレス(ad_1)と置き換え、
上記ブロッキングトンネルの構築中に、上記IPsecゲートウェイ(PASS_D)が、上記リモートネットワーク内部のアドレス(ad_3)をローカル端末である上記端末に割り当て、
上記ブロッキングトンネルの構築中に上記ゲートウェイ(PASS_D)で実行され、かつ、対応表を記憶して、上記ローカルルーターの上記ルーティング可能なアドレス(AD_1)と、上記リモートネットワーク内部の上記端末の上記アドレス(ad_3)とを相互対応させることからなる対比操作をさらに含む方法であって、
上記制御および/またはデータフローを送る上記操作が、上記対応表を使用し、かつ、上記制御および/またはデータフローを、上記リモートネットワーク内部の上記アドレス(ad_3)によって識別された上記端末(T_L)から、上記ローカルルーターの上記ルーティング可能なアドレス(AD_1)へ送ることからなる請求項1から3のいずれか1項に記載の方法。
【請求項5】
上記指示操作が、ポート変換技術によって行われることを特徴とする請求項2と組み合わせた請求項1から4のいずれか1項に記載の方法。
【請求項6】
送信される上記フローが印刷命令を含んでいることを特徴とする請求項1から5のいずれか1項に記載の方法。
【請求項7】
上記ゲートウェイ(PASS_D)によって実行され、かつ、第2のIPsecまたはSSLトンネルを構築して、上記ゲートウェイ(PASS_D)を上記ローカルルーター(ROUT_L)と接続させる操作を含んでいることを特徴とする請求項2と組み合わせた請求項1から6のいずれか1項に記載の方法。
【請求項8】
上記ゲートウェイ(PASS_D)によって実行され、かつ、第2のIPsecまたはSSLトンネルを構築して、上記ゲートウェイ(PASS_D)を、プリンターによって構成されているローカルにある上記機器(E_L、ad_2)と接続させることからなる操作を含んでいることを特徴とする請求項1から6のいずれか1項に記載の方法。
【請求項9】
上記ローカルルーター(ROUT_L)によって実行され、かつ、上記ゲートウェイ(PASS_D)に対して、プリンターによって構成されているローカルにある上記機器(E_L、ad_2)へのアクセスを準備することからなる操作を含んでいることを特徴とする請求項2と組み合わせた請求項1から8のいずれか1項に記載の方法。
【請求項10】
ソフトウェアモジュールであって、該モジュールがリモートネットワークのゲートウェイへロードされる際に、少なくとも、請求項1から9のいずれか1項に記載の方法の送信操作を実行させる指示を含んでいることを特徴とするソフトウェアモジュール。
【請求項11】
上記モジュールがIPsecを用いたゲートウェイ上にロードされる際に、少なくとも、請求項3に記載の方法の解析操作を実行させる指示をさらに含んでいることを特徴とする請求項10に記載のソフトウェアモジュール。
【請求項12】
上記モジュールがIPsecを用いたゲートウェイ上にロードされる際に、少なくとも、請求項1から9のいずれか1項に記載の送信操作を実行させる指示をさらに含んでいることを特徴とする請求項10または11に記載のソフトウェアモジュール。
【請求項13】
請求項10から12のいずれか1項に記載のソフトウェアモジュールによって少なくとも部分的に制御されることを特徴とするリモートネットワークのゲートウェイ。
【請求項1】
ブロッキングトンネルによってリモートネットワークのゲートウェイへ接続されているローカル端末を備えたローカルネットワーク(RES_L)の操作方法において、上記ブロッキングトンネルを通して上記端末(T_L)から上記ゲートウェイ(PASS_D)へのフローをルーティングさせる操作方法であって、
上記ゲートウェイ(PASS_D)に実装された上記ネットワークへ向けられたものでないフローの送信操作をさらに含み、該操作が、上記端末(T_L)から上記ローカルネットワークの装置へ向けられた上記フローを上記ローカル機器(E_L、ad_2)へと送信することを含むことを特徴とする操作方法。
【請求項2】
上記送信操作は、
上記ローカルネットワークのルーター(ROUT_L)によって上記フローを受領する操作と、
上記ルーターによって上記フローを上記機器へ向けさせる操作とを含むことを特徴とする請求項1に記載の操作方法。
【請求項3】
上記送信操作は、上記リモートネットワークに向けられたものでないフローであることを認識するため、上記ゲートウェイによる解析を行なう操作を含むことを特徴とする請求項1または2に記載の方法。
【請求項4】
上記ゲートウェイ(PASS_D)に向けられた上記端末(T_L)からの、遠隔プライベートネットワークである上記ネットワークへの接続要求中に、ルーティング可能なアドレス(AD_1)が割り当てられるローカルルーターである上記ルーター(ROUT_L)が、自身のルーティング可能なアドレス(AD_1)を、上記ローカルネットワーク内の上記端末(T_L)のアドレス(ad_1)と置き換え、
上記ブロッキングトンネルの構築中に、上記IPsecゲートウェイ(PASS_D)が、上記リモートネットワーク内部のアドレス(ad_3)をローカル端末である上記端末に割り当て、
上記ブロッキングトンネルの構築中に上記ゲートウェイ(PASS_D)で実行され、かつ、対応表を記憶して、上記ローカルルーターの上記ルーティング可能なアドレス(AD_1)と、上記リモートネットワーク内部の上記端末の上記アドレス(ad_3)とを相互対応させることからなる対比操作をさらに含む方法であって、
上記制御および/またはデータフローを送る上記操作が、上記対応表を使用し、かつ、上記制御および/またはデータフローを、上記リモートネットワーク内部の上記アドレス(ad_3)によって識別された上記端末(T_L)から、上記ローカルルーターの上記ルーティング可能なアドレス(AD_1)へ送ることからなる請求項1から3のいずれか1項に記載の方法。
【請求項5】
上記指示操作が、ポート変換技術によって行われることを特徴とする請求項2と組み合わせた請求項1から4のいずれか1項に記載の方法。
【請求項6】
送信される上記フローが印刷命令を含んでいることを特徴とする請求項1から5のいずれか1項に記載の方法。
【請求項7】
上記ゲートウェイ(PASS_D)によって実行され、かつ、第2のIPsecまたはSSLトンネルを構築して、上記ゲートウェイ(PASS_D)を上記ローカルルーター(ROUT_L)と接続させる操作を含んでいることを特徴とする請求項2と組み合わせた請求項1から6のいずれか1項に記載の方法。
【請求項8】
上記ゲートウェイ(PASS_D)によって実行され、かつ、第2のIPsecまたはSSLトンネルを構築して、上記ゲートウェイ(PASS_D)を、プリンターによって構成されているローカルにある上記機器(E_L、ad_2)と接続させることからなる操作を含んでいることを特徴とする請求項1から6のいずれか1項に記載の方法。
【請求項9】
上記ローカルルーター(ROUT_L)によって実行され、かつ、上記ゲートウェイ(PASS_D)に対して、プリンターによって構成されているローカルにある上記機器(E_L、ad_2)へのアクセスを準備することからなる操作を含んでいることを特徴とする請求項2と組み合わせた請求項1から8のいずれか1項に記載の方法。
【請求項10】
ソフトウェアモジュールであって、該モジュールがリモートネットワークのゲートウェイへロードされる際に、少なくとも、請求項1から9のいずれか1項に記載の方法の送信操作を実行させる指示を含んでいることを特徴とするソフトウェアモジュール。
【請求項11】
上記モジュールがIPsecを用いたゲートウェイ上にロードされる際に、少なくとも、請求項3に記載の方法の解析操作を実行させる指示をさらに含んでいることを特徴とする請求項10に記載のソフトウェアモジュール。
【請求項12】
上記モジュールがIPsecを用いたゲートウェイ上にロードされる際に、少なくとも、請求項1から9のいずれか1項に記載の送信操作を実行させる指示をさらに含んでいることを特徴とする請求項10または11に記載のソフトウェアモジュール。
【請求項13】
請求項10から12のいずれか1項に記載のソフトウェアモジュールによって少なくとも部分的に制御されることを特徴とするリモートネットワークのゲートウェイ。
【図1】
【公開番号】特開2006−238415(P2006−238415A)
【公開日】平成18年9月7日(2006.9.7)
【国際特許分類】
【外国語出願】
【出願番号】特願2005−364056(P2005−364056)
【出願日】平成17年12月16日(2005.12.16)
【出願人】(591034154)フランス・テレコム (290)
【Fターム(参考)】
【公開日】平成18年9月7日(2006.9.7)
【国際特許分類】
【出願番号】特願2005−364056(P2005−364056)
【出願日】平成17年12月16日(2005.12.16)
【出願人】(591034154)フランス・テレコム (290)
【Fターム(参考)】
[ Back to top ]