加密通信系統及網關裝置的制作方法

專利名稱：加密通信系統及網關裝置的制作方法
技術領域：
本發明涉及加密通信系統及網關裝置，尤其涉及具有IP地址轉換功能的、向經由 3GPP系統的企業網提供遠程VPN接入服務的加密通信系統及網關裝置。
背景技術：
遠程VPN接入已被廣泛普及，該遠程VPN接入采用使用了 IPSec (Security Architecture for the Internet Protocol 因特網協議用安全體系)的 VPN(Virtual Private Network 虛擬專用網)技術，用于使在外出目的地的職員經由因特網安全地連接 本公司的企業網。使用圖1說明遠程VPN接入系統的概況。在圖1中，終端101經由因特網102與 企業網104連接。終端101通過通信鏈路106與企業網104的相向服務器105通信，但由 于通信鏈路106通過因特網102，所以需要安全地進行。終端101對在企業網104中設置在 與因特網102的邊緣(edge)處的VPN網關裝置103設定IPSec隧道107。通過使用IPSec 隧道107中的通信鏈路，確保作為安全的通信路徑的通信鏈路106。如上所述的遠程VPN接 入系統例如已在專利文獻1中公開。另一方面，作為手機網絡的標準化機構的3GPP(3rd GenerationPartnership Project 第三代合作伙伴計劃)，在非專利文獻1中規定了用于在3GPP網中收容經由 WLAN(Wireless Local Area Network 無線局域網)的因特網接入的規格。使用圖2說明 經由3GPP網的因特網接入方法。在圖2中，終端101經由WLAN網201與3GPP網202連 接。3GPP網202向終端101提供與因特網102連接的服務。其中，終端101為了和與因特 網102連接的相向服務器105進行通信，在終端101和相向服務器105之間連接通信鏈路 206。3GPP網202具有作為進行加入者的認證的服務器的AAA (Authentication Authorization Accounting 認證授權計費)203 ；通過WLAN網進行用戶數據的傳輸的 WAG (Wireless LAN Access Gateway 無線局域網接入網關)204 ；和作為分組級別的網關的 PDG (Packet Data Gateway 分組數據網關)205。WLAN網201是不安全的網絡，為了確保通 信鏈路206的安全性，在終端101和PDG205之間設定IPSec隧道207。現有技術文獻專利文獻專利文獻1日本特開2001-160828號公報非專利文獻非專禾Ij文獻 13GPP TS23. 234，3GPP system to Wireless Local AreaNetwork(WLAN)Interworking-System Description針對利用經由3GPP網的因特網連接服務與因特網連接的企業網，說明終端利用 遠程VPN接入的情況1。在本情況1中，終端101設定朝向3GPP網202內的PDG205的IPSec 隧道、和朝向處于企業網104中的VPN網關103的IPSec隧道這種雙重IPSec隧道。在終端101中雙重地進行IPSec處理，這將消耗終端的許多CPU資源等，在處理能力低的終端中 存在性能方面和功耗方面的問題。使用圖3和圖4更具體地說明上述問題。首先，使用圖3說明終端101利用由3GPP 網202提供的向因特網的連接服務，與處于和因特網102連接的企業網104中的相向服務 器105連接的情況。假設終端101通過使用了 IPSec的遠程VPN與相向服務器105所屬的 企業網104連接。在終端101和相向服務器105之間動作的應用通過通信鏈路206進行通 信。其中，為了確保來自經由因特網的終端101的接入的安全性，在終端101和VPN網關 103之間設定IPSec隧道301，在通過通信鏈路206的通信時使用IPSec隧道301。另一方 面，在3GPP網202中，為了確保經由WLAN網201的通信的安全性，在終端101和PDG205之 間建立IPSec隧道207。其中，IPSec隧道207和IPSec隧道301雙方都在終端101被終止 (terminate)。參照圖4，說明圖3中的網絡的協議堆棧。在圖4中，終端101的協議堆棧401從下 位層起依次是 L1/L2 協議、Transport IP 協議、IPSec Tunnel 協議、Remote IP 協議、IPSec Tunnel協議、IP協議。WAG204的協議堆棧402從下位層起依次是L1/L2協議、Transport IP協議。PDG205的協議堆棧403從下位層起依次是WAG側的L1/L2協議、Transport IP協 議、IPSec Tunnel 協議、Remote IP 協議、VPN 網關 103 側的 L1/L2 協議、Remote IP 協議。 VPN網關103的協議堆棧404從下位層起依次是PDG205側的L1/L2協議、Transport IP協 議、IPSec Tunnel協議、RemoteIP協議、相向服務器105側的L1/L2協議、IP協議。相向服 務器105的協議堆棧405從下位層起依次是L1/L2協議、IP協議。終端101和相向服務器105之間的IP分組在下位層具有在終端101和VPN網關 103終止的IPSec隧道。另外，該IPSec隧道在下位層具有在終端101和PDG205之間兩者 終止的IPSec隧道。分析終端101的協議堆棧401可知，關于終端101和相向服務器105之間的IP分 組被雙重處理IPSec，終端101的軟件需要雙重處理IPSec。S卩，在終端101中，IPSec處理 明顯消耗CPU的處理能力。本發明的第一目的是避免終端的雙重的加密處理。下面針對利用經由3GPP網的因特網連接服務與因特網連接的企業網，考慮情況 2，該情況2是利用遠程VPN接入的終端在與企業網連接后，保持連接狀態不變的情況下來 利用因特網。在本情況中，終端在與企業網的VPN網關連接時，需要從VPN網關分配只在企 業網內部使用的私有地址(private address)。終端使用所分配的私有地址能夠與企業網 內部的服務器連接，但是由于終端使用私有地址，所以存在不能接入因特網上的其他服務 器的問題。使用圖5具體說明上述問題。終端101在與企業網104的VPN網關103連接時，需要從VPN網關103分配只在 企業網內部使用的私有地址。終端101使用所分配的私有地址能夠與企業網104內的相向 服務器105連接。在此，考慮接入因特網上的WWW服務器501的情況。在因特網上需要全 局地址(global address)，但在保持與VPN網關103的連接不變的狀態下，終端101只能使 用私有地址，所以終端101不能接入WWW服務器501。終端為了獲取全局地址，需要暫且切斷與VPN網關103的連接，不能無縫地切換。并且，在利用企業網內部的服務器時，不能同 時利用因特網，對終端101的使用者造成極大不便。另一方面，正在利用因特網的終端101 與企業網104內部的服務器連接時，終端101需要與VPN網關103連接，請求分配只能在企 業網內部使用的私有地址。在這種情況下，不能在保持與因特網的連接不變的狀態下利用 企業網內部的服務器。本發明的第二目的是終端能夠在保持與企業網的連接不變的狀態下無縫地利用 因特網上的服務器。最后，說明終端一邊移動一邊接入因特網上的服務器的情況3。在本情況中，終端 通過在各個區域的各個WLAN網中設置的PDG接入因特網上的服務器，但是例如像WWW服務 器那樣，終端不直接接入、而是經由Proxy服務器間接地接入的服務器也有很多。在這種情 況下，采取在PDG的后級設置Proxy服務器，經由Proxy服務器接入WWW服務器的方式。其 中，在終端經由Proxy服務器接入WWW服務器的情況下，由于是在移動目的地的區域中接入 其他WLAN網，所以在各個區域中需要至少一臺Proxy服務器。并且，在經由除Proxy服務器 之外的其他裝置的情況下，同樣也需要在PDG后級設置至少各一臺其他裝置。該區域往往 是按照例如以縣(本文中為日本的“縣”，大致相當于中國的“省”)為單位的級別(粒度) 設定的，在每當增加裝置時需要按照各個縣單位分散配置，這在考慮到在分散據點的運營 的煩雜性及準備多個裝置的成本時，服務經營者的負擔非常大。本發明的第三目的是在服務經營者追加終端接入因特網上的服務器時所經由的 裝置時，能夠傳輸給根據通信條件只集約了所需通信的集約型裝置。

發明內容
如上所述，本發明的目的之一在于，避免終端的雙重的加密處理。并且，本發明的 另一個目的在于，終端能夠在保持與企業網的連接不變的狀態下無縫地利用因特網上的服 務器。并且，本發明的另一個目的在于，在服務經營者追加終端接入因特網上的服務器時所 經由的裝置時，能夠傳輸給根據通信條件只集約了所需通信的集約型裝置。為了解決上述問題，本發明在3GPP網的PDG后級導入配置了 VPN客戶機的通信系 統。本通信系統具有終端；用于進行終端認證的AAA ；經由WLAN網通過加密通信與 終端連接的PDG ；根據PDG的請求進行加密用的隧道設定的VPN客戶機；經由企業網通過加 密通信與VPN客戶機連接的相向服務器；和經由因特網通過非加密通信與PDG連接的服務
ο在本通信系統中，PDG具有通信阻斷處理部，在從終端首次接入時，將終端的通 信阻斷并請求認證；VLAN設定部，在從AAA通知終端的認證成功后，登記針對終端的VLAN， 以便在PDG-VPN客戶機之間識別終端；隧道設定部，根據來自終端的請求，在終端-PDG之間 設定WLAN網的第1隧道；隧道設定發送部，在設定WLAN網的第1隧道后，發送企業網的第 2隧道的設定請求；消息接收部，從終端經由第1隧道接收消息；和消息傳輸部，將從終端經 由第1隧道接收到的消息，經由第2隧道傳輸給相向服務器，由此能夠解決上述問題中、因 終端的雙重加密處理產生的性能及功耗方面的問題。并且，在本通信系統中，PDG具有IP地址轉換表，存儲用于將消息的發送源IP地址轉換為企業網或全局IP地址的信息；地址轉換部，根據消息的目的地IP地址和消息的發 送源IP地址，檢索IP地址轉換表，并根據檢索結果將消息的發送源IP地址轉換為企業網 或全局IP地址；和消息傳輸部，將把發送源IP地址轉換為企業網的IP地址后的消息，經由 企業網的第2隧道傳輸給企業網，并將把發送源地址轉換為因特網的IP地址后的消息傳輸 給因特網，由此能夠解決上述問題中、終端不能在保持與企業網的連接不變的狀態下無縫 地利用因特網上的服務器的問題。更具體地講，在本通信系統中，在所述目的地IP地址是相向服務器的IP地址時， 地址轉換部將所述發送源IP地址轉換為只能在第2網絡內使用的私有IP地址，在所述目 的地IP地址是所述服務器的目的地時，地址轉換部將所述發送源IP地址從私有IP地址轉 換為全局IP地址。另外，在本通信系統中，PDG具有傳輸目的地判斷部，所述傳輸目的地判斷部根據 從終端接收到的消息的發送源IP地址、目的地端口序號等的通信條件，判斷將接收消息的 傳輸目的地設為因特網還是設為Proxy服務器等通信裝置，由此能夠傳輸給根據通信條件 只集中配置了所需通信的通信裝置。根據本發明的第一解決方案提供一種加密通信系統，具有網關裝置，經由第1網 絡的第1隧道并通過加密通信與終端進行通信，經由第2網絡與第1服務器進行通信；以及 VPN客戶機裝置，用于至少在第2網絡上設定第2隧道，利用所述網關裝置和第3網絡的第 2服務器并經由該第2隧道進行加密通信，所述網關裝置具有消息接收部，從以任意的IP 地址進行通信的所述終端，經由所述第1隧道接收消息；地址存儲部，存儲一個或多個分配 給所述終端的第2網絡的IP地址和第3網絡的IP地址；地址轉換部，根據接收到的消息的 目的地，選擇所述地址存儲部的一個所述第2網絡的IP地址或所述第3網絡的IP地址，將 所述消息的發送源地址轉換為所選擇的所述第2網絡的IP地址或所述第3網絡的IP地址； 以及消息傳輸部，將進行了地址轉換后的消息，按照目的地傳輸至所述第1服務器、或者經 由所述VPN客戶機裝置傳輸至所述第2服務器。根據本發明的第二解決方案提供一種系統中的網關裝置，所述系統具有經由第 1網絡并通過加密通信與終端進行通信的所述網關裝置；經由第2網絡與所述網關裝置進 行通信的第1服務器；以及至少經由第2網絡中的加密通信與所述網關裝置進行通信的第 3網絡的第2服務器，所述網關裝置具有消息接收部，從以任意的IP地址進行通信的所述 終端，經由所述第1隧道接收消息；地址存儲部，存儲一個或多個分配給所述終端的第2網 絡的IP地址和第3網絡的IP地址；地址轉換部，根據接收到的消息的目的地，選擇所述地 址存儲部的一個所述第2網絡的IP地址或所述第3網絡的IP地址，將所述消息的發送源 地址轉換為所選擇的所述第2網絡的IP地址或所述第3網絡的IP地址；以及消息傳輸部， 按照目的地地址，傳輸進行了地址轉換后的消息。發明效果根據本發明，利用由3GPP網提供的經由WLAN網的因特網接入的終端，在利用企業 網的遠程VPN時，能夠避免因IPSec的雙重處理導致的對性能的影響。并且，根據本發明， 利用經由3GPP網的因特網連接服務的終端，在利用企業網的遠程VPN時，能夠在保持與企 業網的連接不變的狀態下無縫地利用因特網上的服務器。并且，根據本發明，在追加想要使 終端經由的通信裝置時，不需要按每個區域設置通信裝置，能夠實現集中配置。


圖1是說明遠程VPN接入的框圖。圖2是說明利用了 3GPP的因特網接入的框圖。圖3是說明利用了 3GPP的遠程VPN接入的框圖。圖4是說明利用了 3GPP的遠程VPN接入的協議堆棧的圖。圖5是說明在利用了 3GPP的遠程VPN接入中與外部服務器的連接的框圖。圖6是說明在采用本發明的遠程VPN接入中與相向服務器的通信的框圖。圖7是說明采用本發明的遠程VPN接入時的協議堆棧的圖。圖 8是終端、WLAN、AP(接入點)、AAA、WLAN 網的DHCP (DynamicHost Configuration Protocol 動態主機配置協議)、DNS (Domain NameServer 域名服務器)、PDG、3GPP網的 DHCP、VPN客戶機、VPN網關、相向服務器之間的序列圖。圖9是PDG內的終端信息表。
圖10是在從終端接收數據時由PDG進行的IP地址轉換和傳輸的流程圖。
圖11是在將企業網內使用的IP地址設為一覽表的IP地址表。
圖12是將PDG能夠使用的全局地址設為一覽表的IP地址表。
圖13是在從相向服務器接收數據時由PDG進行的IP地址轉換和傳輸的流程圖。
圖14是說明對利用了 3GPP的因特網連接服務的多個企業網進行遠程接入的圖。
圖15是PDG的功能塊的結構圖。
圖16是說明終端進行的經由Proxy服務器接入因特網上的WWW服務器的圖。
圖17是說明能夠將終端經由的裝置設為集約設置的通信系統的圖。
圖18是PDG具有的傳輸目的地判斷表。
圖19是PDG的功能塊的結構圖。
標號說明
101終端；102因特網；103VPN網關；104企業網；105相向服務器；201WLAN網
2023GPP 網；203AAA 服務器；204WAG ；205PDG ；501 因特網上的 WffW 服務器；502WLAN AP ； 503WLAN 網的 DNS ； 504WLAN 網的 DHCP ； 5053GPP 網的 DHCP ；5063GPP 網的 DNS ；60IVPN 客 戶機；901PDG205內的終端信息表；1101將在企業網104內使用的IP地址設為一覽表的 IP地址表；1201PDG205能夠使用的全局地址的表；1401終端；1402終端；1403WLAN AP ； 1404WLAN AP ； 1405VPN網關；1406企業網；1407相向服務器；141IVPN網關；1412企業網； 1413相向服務器；1501PDG205的通信阻斷處理部；1502PDG205的VLAN處理部；1503PDG205 的隧道設定發送部；1504PDG205的消息接收部；1505PDG205的地址轉換部；1506PDG205的 消息傳輸部；1507PDG207的隧道設定部；1601終端；1602WLAN網；16033GPP網；1604因特 網；1605WLAN AP ； 1607WAG ； 1608PDG ； 1609 因特網上的 WWW 服務器；1612WLAN 網；16133GPP 網；1614WLAN AP ； 1615WAG ； 1616PDG ； 1619Proxy 服務器；1620Proxy 服務器；17013GPP 網； 1702Proxy服務器；1705相向服務器；1707PDG ； 1708PDG ；1801傳輸目的地判斷表；1901傳 輸目的地判斷部。
具體實施例方式
以下，參照附圖具體說明本實施方式。另外，對實質上相同的部分標注相同的參照序號，并且不重復說明。參照圖6，說明對利用采用本實施方式時的3GPP網的因特網連接服務的企業網 的遠程接入。在圖6中，網絡包括WLAN網(第1網絡)201、3GPP網202、因特網(第2網 絡)102、和企業網(第3網絡)104。3GPP網202包括WAG204、PDG(網關裝置)205、AAA(認 證裝置)203、VPN客戶機601、HDCP505和DNS506。企業網104包括VPN網關103和相向服 務器105。WLAN網201通過WLAN AP (WLAN Access Point 無線局域網接入點)將終端101 和3GPP網202連接。因特網102將3GPP網202和企業網104連接。通過終端101和相向服務器105之間的通信鏈路206，兩者的應用通過IP進行通 信。VPN客戶機601作為終端101的代理，將與VPN網關103的IPSec終止。由此，VPN客 戶機601設定與VPN網關103的IPSec隧道(第2隧道)602，確保在因特網102的安全性。 并且，終端101為了確保在WLAN網201的安全性，在終端101-PDG 205之間設定IPSec隧 道(第1隧道)207。另外，VPN客戶機601的功能也可以包含于PDG 205中。參照圖7，說明用于傳輸終端101和相向服務器105之間的IP分組(packet)的協 議堆棧。在圖6中，終端101的協議堆棧702從下位層起依次包括L1/L2協議、Transport IP協議、IPSec Tunnel協議、Remote IP協議。WAG 204的協議堆棧402從下位層起依次包 括L1/L2協議、Transport IP協議。PDG 205的協議堆棧403從下位層起依次包括WAG 402 側的 L1/L2 協議、Transport IP 協議、IPSec Tunnel 協議、Remote IP 協議、VPN 客戶機 601 側的L1/L2協議、IP協議。VPN客戶機601的協議堆棧703從下位層起依次包括PDG 205側 的 L1/L2 協議、IP 協議、VPN 網關 103 側的 L1/L2 協議、Transport IP 協議、IPSec Tunnel 協議、IP協議。VPN網關103的協議堆棧704從下位層起依次包括VPN客戶機601側的Li/ L2協議、TransportIP協議、IPSec Tunnel協議、IP協議、相向服務器105側的L1/L2協議、 IP協議。相向服務器105的協議堆棧405從下位層起依次包括L1/L2協議、IP協議。在圖7中，終端101和PDG 205終止IPSec (對應于圖6的IPSec隧道207)。并 且，VPN客戶機601和VPN網關103也終止IPSec (對應于圖6的IPSec隧道602)。終端 101的協議堆棧702有一個IPSec Tunnel。圖15表示PDG 205的結構圖。在圖15中說明PDG 205的各個功能部分。另外， 示出對應后面敘述的圖8所示的處理的標號。通信阻斷處理部1501在終端101首次接入PDG 205時，PDG 205將終端101的通 信阻斷(圖8 :812)，并請求認證(813)。并且，通信阻斷處理部1501在被通知了來自VPN 客戶機601的隧道設定完成后(823)，解除通信阻斷(824)。VLAN設定部1502在從AAA203通知了終端101的認證成功后(815)，登記針對終 端101的VLAN，以便在PDG 205-VPN客戶機601之間識別用戶，并使WLAN網201的隧道和 企業網104的隧道相對應(817)。隧道設定發送部1503在設定終端101與PDG 205的隧道 后，向VPN客戶機601發送VPN客戶機601-VPN網關103之間的隧道設定請求(821)。消息 接收部1504從終端101經由WLAN網的隧道接收分組數據。作為IP地址轉換表(地址存 儲部)，保存存儲了用于將分組的發送源IP地址轉換為在企業網104內使用的IP地址的 信息的企業網用IP地址表1101、和存儲了用于將分組的發送源IP地址轉換為全局地址的 信息的全局IP地址表1201。并且，保存終端信息表(終端信息存儲部)901。地址轉換部 1505根據接收到的分組的目的地IP地址和接收到的分組的發送源IP地址，檢索上述的IP地址表，并根據檢索結果將接收到的分組的發送源地址轉換為在企業網104內使用的IP地 址或者全局地址(827)。消息傳輸部1506將被轉換為在企業網104內使用的IP地址的分 組傳輸給VPN客戶機601，將被轉換為全局地址的分組傳輸給因特網102。利用圖9說明PDG 205保存的終端信息表901。終端信息轉換表901相對應地存儲終端識別符902、終端認證信息903、VPN用戶認 證信息904、VLAN(VLAN ID)905。在圖示的示例中，終端信息轉換表901的第一個記錄保存 userlioperatorl作為終端識別符902，保存0xl23456789abcdef作為終端認證信息903，保 存 0xefl23456789abcd 作為 VPN 用戶認證信息 904，保存 corporatel 作為 VLAN905。識別用戶(或終端)的信息是終端識別符902。終端識別符902是唯一地識別用 戶的ID。終端認證信息903是對3GPP網202的終端設定的認證信息，終端認證信息903在 進行終端的登記時被預先設定。VPN用戶認證信息904是在企業網的遠程接入時使用的認 證信息。其中，VPN用戶認證信息904例如是在IPSec的密鑰交換協議即IKE (Internet Key Exchange 因特網密鑰交換)中使用的認證信息(預共享密鑰)。VLAN905用于在PDG205 和VPN客戶機601之間識別用戶。VLAN905在終端認證成功時由PDG205動態地選擇，并保 存在PDG 205中，并且通知VPN客戶機601。另外，這些各個信息也可以預先設定在AAA203 中，在認證成功時傳輸給PDG205，還可以預先設定在PDG 205中。圖11是企業網用IP地址表的說明圖。企業網用IP地址表1101例如包括對應于 企業網用IP地址1102的使用狀態1103和終端的IP地址1104。圖12是全局IP地址表的說明圖。全局IP地址表1201例如包括對應于全局IP 地址1202的使用狀態1203和終端的IP地址1204。(動作)參照圖8，說明終端、WLAN AP、AAA、WLAN 網的 DHCP、WLAN 網的 DNS、PDG、3GPP 網的 DHCP、VPN客戶機、VPN網關、相向服務器之間的動作。在圖8中說明終端101開始向相向服務器105通信的處理。終端101與WLAN AP502 之間執行一系列的WLAN association過程(procedure) (801 808)，在WLAN網的認證結 束后，建立與WLAN AP502的連接。其中，WLAN association過程指按照IEEE802. 11規定的 新連接的處理步驟。然后，終端101從WLAN網201內的DHCP503獲取Transport IP地址 (809)。Transport IP地址是只在WLAN網內有效的私有地址。然后，從WLAN網201內的 DNS504獲取PDG 205的地址(810)。由于能夠獲取PDG 205的地址，所以終端101接入PDG 205(811)。PDG 205 將該通信阻斷(block) (812)。PDG 205 向終端 101 請求認證(813)。終端101與AAA服務器203之間進行3GPP網的終端認證(814)。另外，在3GPP 網中，終端的認證能夠使用EAP (Extensible AuthenticationProtocol 可擴展身份驗證協 議)-SIM(Subscriber Identity Module 用戶身份模塊)或EAP-AKA (Authentication and Key Agreement 身份鑒別與密鑰協商)。在此，在認證正常結束時，AAA203通知PDG 205和 終端101認證成功(815、816)。另外，向PDG 205的認證成功的通知(815)，包括終端101 利用企業網104的遠程接入所需要的各種信息902 904，PDG205將終端101的各種信息 保存在PDG 205內的終端信息表901中(圖9)。在從AAA203通知了認證成功后(815)，PDG 205從VLAN ID的池(pool)中選擇針 對終端101的VLAN的ID，并登記VLAN(817)。另外，在登記VLAN時，在終端信息表901的VLAN905中保存VLAN ID。進行VLAN的設定的PDG 205，向VPN客戶機601請求作為針對終 端101的VLAN而被選擇的VLAN的登記(818)，VPN客戶機601登記所通知的VLAN(819)。 終端101與PDG 205的隧道設定部1507進行隧道設定用的通信，在終端101和PDG 205之 間使用認證信息設定IPSec隧道(820)。然后，PDG 205向VPN客戶機601請求隧道設定 (821)。另外，在隧道設定的請求(821)中包括終端101的VPN認證信息904，VPN客戶機 601將終端101的VPN認證信息904臨時保存在VPN客戶機601中。VPN客戶機601使用 終端101的VPN認證信息904，設定與VPN網關103之間的IPSec隧道(819)。在能夠設定 VPN客戶機601與VPN網關103之間的IPSec隧道后，VPN客戶機601向PDG 205應答隧道 設定完成(823)。PDG 205在已設定終端-PDG之間以及VPN客戶機-VPN網關之間的IPSec隧道，并 且表示兩者的IPSec隧道的對應關系的VLAN的設定結束后，解除通信阻斷(824)。在解除 通信阻斷后，在終端101和相向服務器105之間建立通信鏈路，通信開始。然后，終端101從 3GPP網的DHCP505獲取Remote IP地址(825)，開始與相向服務器105的數據通信(826)。 另外，Remote IP地址是企業網用的IP地址。在進行終端101-相向服務器105之間的數 據通信時，PDG 205進行IP地址轉換及傳輸(827)。利用圖10說明PDG 205進行的IP地址轉換及傳輸(827)。PDG 205 (對于以后的 各個步驟也相同)從終端101接收分組數據(有時也稱為消息)時(1002)，判斷接收分組 的目的地IP地址是否是在企業網104內使用的IP地址(1003)。另外，PDG 205預先保存 將在企業網104內使用的IP地址設為一覽表的企業網用IP地址表1101，根據接收分組的 目的地IP地址，并參照企業網用IP地址表1101，如果有相應的IP地址，則判斷是在企業網 104內使用的IP地址。在接收分組的目的地IP地址是在企業網104內使用的IP地址的 情況下(1003 是)，判斷接收分組的發送源IP地址是否是在企業網104內使用的IP地址 (1004)。在接收分組的發送源IP地址不是在企業網104內使用的IP地址的情況下(1004 否)，轉入處理1005。認為是終端101使用全局IP地址向企業網的相向服務器105發送分 組數據的情況。在處理1005，從企業網用IP地址表1101中選擇使用狀態1103為空閑的 行(表項entry)，向使用狀態1103寫入終端101的終端識別符902，向終端101的IP地 址1104寫入終端101的IP地址(1005)。另外，終端101的IP地址能夠使用接收分組的發 送源IP地址。然后，將接收分組的發送源IP地址轉換為所選擇的表項的企業網用IP地址 1102(1006)，然后向VPN客戶機601傳輸接收分組(1007)。另外，在接收分組的發送源IP 地址是在企業網104內使用的IP地址的情況下(1004 是)，向VPN客戶機601傳輸接收分 組(1007)。這相當于終端101使用企業網的私有IP地址向相向服務器105發送分組數據 的情況。另一方面，在接收分組的目的地IP地址不是在企業網104內使用的IP地址的情 況下(1003 否)，判斷接收分組的發送源IP地址是否是全局地址(1009)。在不是全局地址 的情況下(1009:否)，轉入處理1010。這相當于終端101使用例如企業網等的私有IP地 址向WWW服務器501發送分組數據的情況。在處理1010，從PDG 205預先保存的全局IP地 址表1201中選擇使用狀態1203為空閑的表項，向使用狀態1203寫入終端101的終端識別 符902，向終端101的IP地址1204寫入終端101的IP地址(1010)。然后，將接收分組的 發送源IP地址轉換為所選擇的表項的全局IP地址1102(1011)，然后向因特網102傳輸接收分組(1012)。并且，在接收分組的發送源IP地址是全局地址的情況下(1009 是)，向因 特網102傳輸接收分組(1012)。這相當于終端101使用全局IP地址向WWW服務器501發 送分組數據的情況。另外，關于被寫入到將在企業網104內使用的IP地址設為一覽表的企業網用IP 地址表1101JPPDG 205預先保存的全局IP地址表1201中的使用狀態，在終端101切斷與 PDG 205的通信時，PDG 205恢復為“空閑”。利用圖13說明在從相向服務器接收數據時由PDG進行的IP地址轉換及傳輸。PDG 205在從相向服務器105或WWW服務器501等的相向的(對方的)裝置接收 分組數據時(1302)，檢索全局IP地址表1201，有無與接收分組數據的目的地IP地址一致 的IP地址1202 (1303)。在具有一致的要素的情況下，判斷使用狀態是否為空閑(1304)，在 空閑的情況下，由于不能確定接收分組的目的地，所以將接收分組廢棄(1308)。另一方面， 如果使用狀態1203不是空閑，則能夠根據所記述的終端識別符902判斷是發給哪個終端 的。在使用狀態不是空閑的情況下，由于能夠確定目的地終端，所以將接收分組的目的地IP 地址轉換為具有一致的要素的行(表項)的終端的IP地址1204 (1305)，向VPN客戶機601 傳輸接收分組(1007)。當在全局IP地址表1201中沒有發現與接收分組數據的目的地IP地址一致的IP 地址1202的情況下，檢索企業網用IP地址表1101 (1309)。在沒有發現與目的地地址一致 的IP地址1102的情況下(1309 否)，將接收分組廢棄(1308)。另外，在這種情況下，也可 以視為不需要地址轉換，并按照目的地地址傳輸接收分組即可。在發現了一致的IP地址 1102的情況下(1309 是)，判斷使用狀態是否為空閑(1310)，在空閑的情況下，由于不能確 定接收分組的目的地，所以將接收分組廢棄(1308)。在使用狀態不是空閑的情況下，由于能 夠確定目的地終端，所以將接收分組的目的地IP地址轉換為具有一致的要素的行(表項) 的終端的IP地址1104(1311)，向VPN客戶機601傳輸接收分組(1007)。認為企業網104的網絡管理者已經將基于VPN網關103的遠程用戶管理的規格導 入完成，對于使用來自新的WLAN網的3GPP的遠程VPN接入，期望能夠通過與現有的接入方 法相同的接口來利用遠程VPN連接。根據上述的實施方式，能夠將與以往的遠程VPN連接 的接口和作用分擔設為相同，對于新導入的WLAN接入服務也能夠提供遠程VPN連接。參照圖14，說明對利用了 3GPP網的因特網連接服務的多個企業網的遠程接入。在圖14中，網絡包括WLAN網201、3GPP網202、因特網102、企業網1406、企業網 1412。3GPP 網 202 包括 WAG204、PDG205、AAA203、VPN 客戶機 601、HDCP505 和 DNS506。企 業網1406包括VPN網關1405和相向服務器1407。企業網1412包括VPN網關1411和相 向服務器1413。WLAN網201將終端1401或終端1402和3GPP網202連接。因特網102將 3GPP網202和企業網1406或企業網1412連接。終端1401是屬于企業網1406的終端。終端1402是屬于企業網1412的終端。終 端1401與相向服務器1407連接。終端1402與相向服務器1413連接。通信鏈路1408是終端1401與相向服務器1407之間的通信鏈路，通信鏈路1415是 終端1402與相向服務器1413之間的通信鏈路。IPSec隧道1409作為終端1401與PDG205 之間的IPSec隧道，是在終端1401的通信為激活(active)狀態時被動態設定的IPSec隧 道。同樣，IPSec隧道1414作為終端1402與PDG205之間的IPSec隧道，是在終端1402的通信為激活狀態時被動態設定的IPSec隧道。另一方面，IPSec隧道1410是VPN客戶機601-VPN網關1405之間的IPSec隧道， 是在對應于IPSec隧道1410的終端1401-PDG205之間的IPSec隧道為激活狀態時被動態 設定的IPSec隧道。同樣，IPSec隧道1416是VPN客戶機601-VPN網關1411之間的IPSec 隧道，是在對應于IPSec隧道1416的終端902-PDG205之間的IPSec隧道為激活狀態時被 動態設定的IPSec隧道。PDG205和VPN客戶機601采用VLAN來識別來自終端1401、1402的流。在設定與 終端的IPSec隧道時，PDG205確定終端采用哪個VLAN (VLAN ID)。在終端與PDG之間以及VPN客戶機與VPN網關之間的IPSec隧道中使用的認證信 息，被設定在AAA服務器中，能夠在AAA服務器中登記終端使用哪個VLAN ID。AAA服務器 保存的信息是與圖9中的終端信息表901相同的內容。下面，參照圖16說明終端進行的經由Proxy服務器對因特網上的WWW服務器的接 入。在圖16中，網絡包括處于同一區域1621內(例如同一個縣內)的WLAN網1602和 3GPP 網 1603、因特網 1604。WLAN 網 1602 包括 WLAN AP1605。3GPP 網 1603 包括 WAG1607、 PDG1608,Proxy服務器1619。WLAN網1602將終端1601和3GPP網1603連接。Wffff服務器 1609是處于因特網1604上的Wffff服務器。并且，WLAN網1612和3GPP網1613處于和WLAN 網1602不同的區域1622內(例如另一個縣內)，WLAN網1612包括WLAN AP1614。3GPP 網 1613 包括 WAG1615、PDG1616、Proxy 服務器 1620。WLAN 網 1612 將終端 1601 和 3GPP 網 1613連接。Proxy服務器例如能夠進行NAT等的IP地址轉換、后級處理、代理處理等預先 確定的處理。當終端1601在某個區域1621內通過通信鏈路1611并經由Proxy服務器1619 接入WWW服務器1609后，移動到另一個區域1622的情況下，在移動目的地的區域中經由 另一個WLAN網1612進行接入。因此，在另一個區域1622內需要至少一個Proxy服務器 1620。并且，在經由除Proxy服務器1620之外的其他裝置的情況下，同樣需要在各個區域 的PDG1608、1616的后級設置至少各一臺其他裝置。其中，區域往往是按照以縣為單位的級 別設定的，按照各個縣單位分散配置裝置，在考慮到在分散據點的運營的煩雜性和準備多 個裝置的成本時，服務經營者的負擔非常大。參照圖17，說明使用本實施方式時的終端進行的經由Proxy服務器對因特網上的 Wffff服務器的接入。在圖17中，Proxy服務器(通信裝置)1702處于和區域1621及區域1622不同的 區域1701內，在區域1621和區域1622內不存在Proxy服務器。PDG 1707和PDG 1708在 從終端1601接收到分組數據時，判斷接收分組的目的地地址是企業網內的地址還是因特 網上的服務器的地址。在是企業網內的地址的情況下，按照前面所述向VPN客戶機傳輸接 收分組。在是因特網上的服務器的地址的情況下，參照傳輸目的地判斷表1801，檢索與接收 分組的發送源IP地址1802和接收分組的目的地端口序號1803相對應的經由目的地裝置 1804，并向經由目的地裝置1804傳輸接收分組。圖18是傳輸目的地判斷表的結構圖。傳 輸目的地判斷表1801例如預先對應地存儲發送源IP地址1802、目的地端口序號1803和經 由目的地裝置1804。例如，在圖17中，在終端1601按照目的地端口序號80號接入了 WffW服務器1608的情況下，PDG 1707和PDG 1708從傳輸目的地判斷表1801檢索Proxy服務器 1702作為經由目的地裝置1804，將來自終端1601的接收分組傳輸給Proxy服務器1702。 并且，在根據接收分組檢索傳輸目的地判斷表1801的結果為選擇了“不經由”來作為經由 目的地裝置1804的情況下，PDG 1707和PDG 1708直接以接收分組的目的地IP地址為目 的地，向因特網1604進行傳輸(例如通信鏈路1706的情況)。在本實施方式中，PDG還具有如圖19所示的傳輸目的地判斷部1901，該傳輸目的 地判斷部1901用于檢索傳輸目的地判斷表1801來選擇經由目的地1804，通過具有這種傳 輸目的地判斷功能，能夠實現集約設置，不需要按每個區域設置通信裝置。產業上的可利用性本發明例如能夠應用于提供向經由3GPP系統的企業網的遠程VPN接入服務的通
信系統等。
權利要求
一種加密通信系統，具有網關裝置，經由第1網絡的第1隧道并通過加密通信與終端進行通信，經由第2網絡與第1服務器進行通信；以及VPN客戶機裝置，用于至少在第2網絡上設定第2隧道，利用所述網關裝置和第3網絡的第2服務器并經由該第2隧道進行加密通信，所述網關裝置具有消息接收部，從以任意的IP地址進行通信的所述終端，經由所述第1隧道接收消息；地址存儲部，存儲一個或多個分配給所述終端的第2網絡的IP地址和第3網絡的IP地址；地址轉換部，根據接收到的消息的目的地，選擇所述地址存儲部的一個所述第2網絡的IP地址或所述第3網絡的IP地址，將所述消息的發送源地址轉換為所選擇的所述第2網絡的IP地址或所述第3網絡的IP地址；以及消息傳輸部，將進行了地址轉換后的消息，按照目的地傳輸至所述第1服務器、或者經由所述VPN客戶機裝置傳輸至所述第2服務器。
2.根據權利要求1所述的加密通信系統， 所述第2網絡的IP地址是全局IP地址，在所述消息接收部從使用私有IP地址的所述終端接收到目的地IP地址為第2網絡的 所述第1服務器的IP地址的所述消息時，所述地址轉換部從所述地址存儲部中選擇一個所 述第2網絡的全局IP地址，并將該消息的發送源IP地址從私有IP地址轉換為所選擇的全 局IP地址。
3.根據權利要求1所述的加密通信系統，所述第3網絡的IP地址是在第3網絡內使用的私有IP地址， 在所述消息接收部從使用全局IP地址的所述終端接收到目的地IP地址為第3網絡的 所述第2服務器的IP地址的所述消息時，所述地址轉換部從所述地址存儲部中選擇一個所 述第3網絡的私有IP地址，并將該消息的發送源IP地址從全局IP地址轉換為所選擇的私 有IP地址。
4.根據權利要求1所述的加密通信系統，所述終端和所述第2服務器經由所述第1隧道、所述網關裝置、所述VPN客戶機裝置及 所述第2隧道，安全地進行通信。
5.根據權利要求4所述的加密通信系統，所述網關裝置還具有VLAN設定部，該VLAN設定部登記針對所述終端的VLAN，以便在所 述網關裝置和所述VPN客戶機裝置之間識別所述終端。
6.根據權利要求5所述的加密通信系統，所述第1隧道和所述第2隧道通過所述VLAN相關聯。
7.根據權利要求1所述的加密通信系統， 所述網關裝置還具有隧道設定部，設定與所述終端之間的第1網絡中的第1隧道；以及 隧道設定發送部，將第2網絡中的第2隧道的設定請求發送給所述VPN客戶機裝置。
8.根據權利要求7所述的加密通信系統，所述網關裝置還具有預先存儲所述終端的認證信息的終端信息存儲部， 發送給所述VPN客戶機裝置的所述設定請求包含所述終端的認證信息， 所述VPN客戶機裝置使用該終端的認證信息，設定與所述第2服務器之間的加密通信 用的所述第2隧道。
9.根據權利要求8所述的加密通信系統，該加密通信系統還具有進行所述終端的認證的認證裝置，所述網關裝置從所述認證裝置獲取所述終端的認證信息，并存儲在所述終端信息存儲 部中。
10.根據權利要求1所述的加密通信系統，所述第2網絡的IP地址是全局IP地址，所述第3網絡的IP地址是在第3網絡內使用 的私有IP地址，所述地址轉換部按照接收到的消息的發送源地址，將所述終端的全局IP地址與所選 擇的私有IP地址相對應地存儲到所述地址存儲部中，或者，所述地址轉換部按照接收到的 消息的發送源地址，將所述終端的私有IP地址與所選擇的全局IP地址相對應地存儲到所 述地址存儲部中。
11.根據權利要求10所述的加密通信系統，所述地址轉換部從所述第1服務器或所述第2服務器接收將所述所選擇的私有IP地 址或全局IP地址作為目的地地址的消息，根據該消息的目的地地址，參照所述地址存儲 部，并獲取與該目的地地址相對應的所述終端的全局IP地址或私有IP地址，將接收到的消 息的目的地地址轉換為所獲取的全局IP地址或私有IP地址，所述消息傳輸部將進行了地址轉換后的該消息傳輸至所述終端。
12.根據權利要求1所述的加密通信系統，該加密通信系統還具有通信裝置，該通信裝置用于對來自所述終端的消息實施預先確 定的處理，并傳輸給所述第1服務器， 所述網關裝置具有傳輸目的地判斷表，與目的地端口序號和發送源IP地址對應地預先存儲消息的經由 目的地裝置信息；以及傳輸目的地判斷部，根據從所述終端接收到的發給所述第1服務器的消息中包含的目 的地端口序號和發送源IP地址，參照所述傳輸目的地判斷表，并按照對應的經由目的地裝 置信息來判斷該消息的傳輸目的地，所述消息傳輸部按照所述傳輸目的地判斷部的判斷，將該消息傳輸至所述通信裝置或 所述第1服務器。
13.—種系統中的網關裝置，所述系統具有經由第1網絡并通過加密通信與終端進行 通信的所述網關裝置；經由第2網絡與所述網關裝置進行通信的第1服務器；以及至少經 由第2網絡中的加密通信與所述網關裝置進行通信的第3網絡的第2服務器，所述網關裝置具有消息接收部，從以任意的IP地址進行通信的所述終端，經由所述第1隧道接收消息； 地址存儲部，存儲一個或多個分配給所述終端的第2網絡的IP地址和第3網絡的IP 地址；地址轉換部，根據接收到的消息的目的地，選擇所述地址存儲部的一個所述第2網絡 的IP地址或所述第3網絡的IP地址，將所述消息的發送源地址轉換為所選擇的所述第2 網絡的IP地址或所述第3網絡的IP地址；以及消息傳輸部，按照目的地地址，傳輸進行了地址轉換后的消息。
全文摘要
一種加密通信系統及網關裝置，實現向經由3GPP系統的企業網的遠程VPN接入服務。在3GPP系統中設置成為遠程接入的末端部的GW(PDG)(205)。在開設終端-GW(205)之間的IPSec隧道后，開設VPN客戶機(601)-企業網GW之間的IPSec隧道，將來自終端的數據通過終端-GW之間、VPN客戶機-企業網GW之間的這兩個隧道傳輸給企業網。并且，GW(205)根據從進行了遠程VPN接入的終端接收到的消息的目的地IP地址，確認目的地網絡是否使用全局地址，在需要全局地址的情況下，將從終端接收到的消息的發送源IP地址，從在被分配了終端的企業網內使用的私有地址轉換為全局地址并傳輸。
文檔編號H04W12/06GK101958822SQ201010180938
公開日2011年1月26日 申請日期2010年5月14日 優先權日2009年7月17日
發明者本山真也, 清水聰, 若井淳之介, 野邊正 申請人:株式會社日立制作所