特許第6511704号(P6511704)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > スカイキャスターズ,リミティド ライアビリティ カンパニー

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ スカイキャスターズ,リミティド ライアビリティ カンパニーの特許一覧

特許6511704複合セキュアリンクアーキテクチャを提供するシステム及び方法
<>
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000004
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000005
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000006
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000007
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000008
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000009
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000010
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000011
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000012
  • 特許6511704-複合セキュアリンクアーキテクチャを提供するシステム及び方法 図000013
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6511704
(24)【登録日】2019年4月19日
(45)【発行日】2019年5月15日
(54)【発明の名称】複合セキュアリンクアーキテクチャを提供するシステム及び方法
(51)【国際特許分類】
   H04L 12/749 20130101AFI20190425BHJP
   H04L 12/70 20130101ALI20190425BHJP
【FI】
   H04L12/749
   H04L12/70 D
【請求項の数】1
【全頁数】18
(21)【出願番号】特願2016-550493(P2016-550493)
(86)(22)【出願日】2014年2月6日
(65)【公表番号】特表2017-505587(P2017-505587A)
(43)【公表日】2017年2月16日
(86)【国際出願番号】US2014015035
(87)【国際公開番号】WO2015119606
(87)【国際公開日】20150813
【審査請求日】2017年1月23日
【前置審査】
(73)【特許権者】
【識別番号】519099184
【氏名又は名称】スカイキャスターズ,リミティド ライアビリティ カンパニー
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100123582
【弁理士】
【氏名又は名称】三橋 真二
(74)【代理人】
【識別番号】100114018
【弁理士】
【氏名又は名称】南山 知広
(74)【代理人】
【識別番号】100119987
【弁理士】
【氏名又は名称】伊坪 公一
(72)【発明者】
【氏名】ジャック デニス マッキニー
【審査官】 西村 純
(56)【参考文献】
【文献】 特表2011−515944(JP,A)
【文献】 特開2000−228674(JP,A)
【文献】 米国特許出願公開第2006/0013209(US,A1)
【文献】 米国特許出願公開第2008/0201486(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00−12/955
(57)【特許請求の範囲】
【請求項1】
複合セキュアリンク(MSL)アーキテクチャを提供するシステムであって、
第一ロジックを含むMSL仮想プライベートネットワーク(VPN)であって、該第一ロジックは、プロセッサによって実行された際に、該システムが、
クライアントワークステーションと第一オーナゲートウェイとの間において第一VPNトンネルを生成し、
該クライアントワークステーションから該第一オーナゲートウェイへのアウトバウンドデータグラムを送信し、
該第一オーナゲートウェイから該クライアントワークステーションへのインバウンドデータグラムを受信し、該インバウンドデータグラムは、発信元インターネットプロトコル(IP)アドレスと、VPNオーナプライベートIPアドレスに設定された宛先IPアドレスと、を含み、且つ、
該宛先IPアドレスを有する該インバウンドデータグラムを送信する、
ことを実行するようにする、MSL仮想プライベートネットワーク(VPN)と、
第二ロジックを含むMSLツインネットワークアドレストランスレータ(NAT)であって、該第二ロジックは、該プロセッサによって実行された際に、該システムが、
MSL VPNから該インバウンドデータグラムを受信し、
該発信元IPアドレスからの新しいVPNオーナプライベートIPアドレスを該インバウンドデータグラム内において記録し、
該インバウンドデータグラム及び該クライアントワークステーション用の新しい一意のプライベートなIP(UPIP)アドレスを割り当て、且つ、
該インバウンドデータグラムを該クライアントワークステーションに送信する、
ことを少なくとも実行するようにする、MSLツインネットワークアドレストランスレータ(NAT)と、
を有し、
該システムは、該第一VPNトンネルが利用されている間に、該クライアントワークステーションと第二オーナゲートウェイとの間において第二VPNトンネルを更に生成する、システム。
【発明の詳細な説明】
【背景技術】
【0001】
インターネットは、現時点において、様々な標準プロトコルを使用したコンピュータ間におけるワールドワイドな通信をサポートしている。これらのプロトコルのうちの一つであるインターネットプロトコル(IP:Internet Protocol)は、IPアドレスと呼称される一意のアドレスをそれぞれのコンピュータに割り当てている。IPは、現時点において、32ビットアドレスを有するIPv4及び128ビットアドレスを有するIPv6という二つのバージョンにおいて利用可能である。IPv4が、現在、最も一般的に使用されているバージョンである。
【0002】
インターネットの成長は、IPv4において利用可能な32ビットアドレスのすべてを使い尽くしている。限られた数のアドレスに伴う一つの結果が、いまや、大部分の組織が、IPv4によって定義されている三つのプライベートアドレス空間のうちの一つを使用しているというものである。これらのプライベートIPアドレスは、パブリックインターネット上においては使用することができない。ゲートウェイルータが、プライベートイントラネットとパブリックインターネットとの間のインタフェースを管理している。ゲートウェイルータは、プライベートネットワークの外部における通信が望ましい際に、プライベートな内部IPを隠蔽又はマスキングするための様々な機能を提供している。
【0003】
商用環境においてゲートウェイルータによって使用されている一つの一般的な方法が、外部ユーザを内部プライベートネットワークに接続するための仮想プライベートネットワーク(VPN:Virtual Private Network)の生成である。VPNは、パケットがパブリックインターネットに跨ってクライアントワークステーションにルーティングされている間に、内部IPアドレス及びデータを隠蔽するためのエンベロープ又はラッパプロトコルを提供している。
【0004】
VPNは、クライアントワークステーションがVPNゲートウェイに接続するのに伴って、内部プライベートIPアドレスをクライアントワークステーションに割り当てることにより、内部プライベートネットワークを拡張している。VPNは、クライアントワークステーション上のアプリケーションをVPNゲートウェイ(又は、オーナゲートウェイ)の背後の内部プライベートネットワークに接続するネットワーク又はVPNトンネルを生成している。クライアントワークステーションのローカルプライベートネットワーク及びパブリックインターネットは、VPNトンネルにより、クライアントワークステーション上のアプリケーションから隠蔽されている。この結果、VPNの現時点のバージョンにおいては、クライアントワークステーションは、一度に一つのVPNにしか接続することができない。クライアントワークステーションが複数のVPNに接続することができる場合には、それぞれのVPNごとの内部プライベートアドレス領域が一意であることが保証されないことから、パケットを望ましい宛先まで確実にルーティングすることができないであろう。
【発明の概要】
【0005】
本明細書において開示されている実施形態は、複合セキュアリンク(MSL:Multiple Secure Link)アーキテクチャを提供するシステムを含む。システムのいくつかの実施形態は、プロセッサによって実行された際に、システムが、クライアントワークステーションとオーナゲートウェイとの間においてVPNトンネルを生成し、クライアントワークステーションからオーナゲートウェイへのアウトバウンドデータグラムを送信し、且つ、オーナゲートウェイからクライアントワークステーションへのインバウンドデータグラムを受信するようにする第一ロジックを含むMSL仮想プライベートネットワーク(VPN)コンポーネントを含み、インバウンドデータグラムは、発信元IPアドレスと、VPNオーナプライベートIPアドレスに設定された宛先インターネットプロトコル(IP)アドレスと、を含む。いくつかの実施形態においては、第一ロジックは、システムが、宛先IPアドレスを有するインバウンドデータグラムを送信するようにしている。又、システムの実施形態は、プロセッサによって実行された際に、システムが、MSL VPNからインバウンドデータグラムを受信し、発信元IPアドレスからの新しいVPNオーナプライベートIPアドレスをインバウンドデータグラム内において記録し、インバウンドデータグラム及びクライアントワークステーション用の新しいUPIPアドレスを割り当て、且つ、クライアントワークステーションへのインバウンドデータグラムの送信を促進するようにする第二ロジックを含むMSLツインネットワークアドレストランスレータ(NAT:Network Address Translator)を含んでもよい。
【0006】
同様に、本明細書において開示されているいくつかの実施形態は、プロセッサによって実行された際に、MSL VPNが、クライアントワークステーションとオーナゲートウェイとの間においてVPNトンネルを生成し、且つ、クライアントワークステーションからオーナゲートウェイへのアウトバウンドデータグラムを送信するようにするロジックを含むMSL仮想プライベートネットワーク(VPN)コンポーネントを含む。いくつかの実施形態においては、ロジックは、MSL VPNコンポーネントが、オーナゲートウェイからクライアントワークステーションへのインバウンドデータグラムを受信し、この場合に、インバウンドデータグラムは、発信元IPアドレスと、VPNオーナプライベートIPアドレスに設定された宛先インターネットプロトコル(IP)アドレスと、を含み、且つ、宛先IPアドレスを有するインバウンドデータグラムを送信するようにしている。
【0007】
本明細書において開示されている更なるいくつかの実施形態は、プロセッサによって実行された際に、MLSツインNATが、MSL VPNからインバウンドデータグラムを受信し、且つ、発信元IPアドレスからの新しいVPNオーナプライベートIPアドレスをインバウンドデータグラム内において記録するようにするロジックを含むMSLツインネットワークアドレストランスレータ(NAT)を含む。いくつかの実施形態においては、ロジックは、MSLツインNATが、インバウンドデータグラム及びクライアントワークステーション用の新しいUPIPアドレスを割り当て、且つ、クライアントワークステーションへのインバウンドデータグラムの送信を促進するようにしている。
【0008】
本開示のその他の実施形態及び/又は利点については、以下の図面及び詳細な説明を検討することにより、当業者に明らかとなろう。このようなすべての更なるシステム、方法、特徴、及び利点は、本説明に含まれると共に本開示の範囲に含まれるものと解釈されたい。
【図面の簡単な説明】
【0009】
本開示の多くの態様については、以下の図面を参照することにより、更に十分に理解することができる。図面中のコンポーネントは、必ずしも、縮尺が正確ではなく、その代わりに、本開示の原理を明瞭に例示することに重点が置かれている。更には、添付図面においては、いくつかの図の全体を通じて、同一の参照符号により、対応する部分を表記している。いくつかの実施形態は、これらの図面との関連において記述されているが、本開示を本明細書において開示されている一つ又は複数の実施形態に限定する意図は、存在していない。逆に、意図するところは、すべての代替肢、変更、及び均等物が含まれるというものである。
【0010】
図1図1は、本明細書において開示されている実施形態によるクライアントワークステーション上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。
図2図2は、本明細書において開示されている実施形態によるMSLサーバ上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。
図3図3は、本明細書において開示されている実施形態によるMSLゲートウェイルータ上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。
図4図4は、本明細書において開示されている実施形態によるクライアントワークステーション上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。
図5図5は、本明細書において開示されている実施形態によるMSLネットワーク運営センタ(NOC)上において複合セキュアリンクアーキテクチャを提供する演算環境を示す。
図6図6は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するためのログインマネージャ用のフローチャートを示す。
図7図7は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するためのセッションマネージャ用のフローチャートを示す。
図8A図8A及び図8Bは、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するための複数のコンポーネント用のフローチャートを示す。
図8B図8A及び図8Bは、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するための複数のコンポーネント用のフローチャートを示す。
図9図9は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するべく利用され得る演算装置を示す。
【発明を実施するための形態】
【0011】
本明細書において開示されている実施形態は、複合セキュアリンクアーキテクチャを提供するシステム及び/又は方法を含む。具体的には、それぞれのVPNオーナが、VPNオーナによって定義されたプライベートIPv4アドレス指定を伴うネットワーク領域を定義する。VPNオーナネットワーク領域は、オーバラップしたアドレスを有するものになると予想され、その理由は、すべてのVPNオーナが、自身のネットワーク定義として10.0.0.0/24を使用することができるからである。本明細書において開示されている実施形態は、パケットがMSLサービス内に存在している間に使用するための内部ネットワーク領域を定義している。MSLは、パケットがMSLサービスに進入するか又はこれから離脱するのに伴って、すべてのVPNオーナによって定義されたプライベートIPアドレスをMSLの一意のプライベートなIP(UPIP:Unique Private IP)領域アドレスに変換すると共にこの逆を実行するためのツインNAT機能を提供している。VPNオーナサーバには、それらのサーバが、処理済みのパケット内において発見されるのに伴って、MSL UPIP領域アドレスが動的に割り当てられる。
【0012】
クライアントワークステーションが第一VPN接続をオープンする際には、クライアントワークステーション用のIPアドレスとして、クライアントワークステーションに割り当てられたVPNオーナプライベートIP又はクライアントワークステーション用のUPIPアドレスを使用することができる。第二の(又は、後の)VPNがオープンされるのに伴って、ワークステーションのIP用に以前に使用されているIPアドレスが、ワークステーション用のUPIPとして使用されてもよく、且つ、新しいUPIPが、第二VPNからサーバに割り当てられる。クライアントワークステーションのアプリケーションは、MSL UPIPによって通信する。MSL発信元及び宛先NATは、サーバがVPNオーナプライベートIPアドレスのみを観察するように、UPIPとVPNオーナプライベートIPとの間における変換を実行する。この結果、クライアントワークステーションは、異なるオーナゲートウェイ及び/又はVPNとの間における複数の独立的なVPN接続を同時に促進することができる。
【0013】
IPv6環境においては、IPv4について先程の段落において説明したように、VPNオーナネットワークアドレスは、128ビットのUPIPとして生成され、且つ、IPv6において使用される。一意のローカルなIPv6ユニキャストアドレスは、一意となる非常に高い確率を有することから、MSLは、ワークステーション用のIPv6のUPIPを生成することが可能であり、且つ、VPNオーナゲートウェイの背後のノードについてプライベートIPv6アドレスを使用することができる。MSLは、それぞれの新しいIPv6のVPNが、既にオープンされたVPNの一意のローカルなIPv6ユニキャストアドレスを複製していないことを検証しなければならない。複製が見出された場合には、IPv4に関する先程の段落において説明したように、そのVPN内のノードのために、UPIPが生成されることになる。ローカルなIPv6アドレスは、疑似ランダムな方式で割り当てられたグローバルIDを使用して生成される。一実施形態は、以下の表1のフォーマットを有してもよい。
【0014】
【表1】
【0015】
次に添付図面を参照すれば、図1は、本明細書において開示されている実施形態によるクライアントワークステーション102上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、MSLアーキテクチャは、パブリックインターネットIPアドレス及びVPNオーナのプライベートIPアドレスの両方から隔離されたプライベートIP領域又はアドレス空間(MSLの一意のプライベートなIP領域)を生成する。
【0016】
図示のように、図1のアーキテクチャは、クライアントワークステーション102と、第一VPN(VPN A 104a)と、第二VPN(VPN B 104b)と、を含む。クライアントワークステーション102は、ユーザアプリケーションA 108aと、ユーザアプリケーションB 108bと、を含んでもよい。ユーザアプリケーション108a、108bは、VPN A 104a及びVPN B 104bと通信するべく、利用されてもよい。又、クライアントワークステーション102には、MSL UPIP領域106を構成しているMSLツインNATコンポーネント110、MSL VPNユーザインタフェースコンポーネント114、及びMSL管理コンポーネント116も含まれている。又、クライアントワークステーション102には、MSL VPNコンポーネント112も含まれている。この構成は、ワイドエリア又はパブリックネットワーク118を介したVPN A 104a及び/又はVPN B 104bとの間におけるVPN通信を許容し得る。パブリックネットワーク118は、インターネット及び/又はその他のパブリックにアクセス可能なネットワークを含んでもよい。
【0017】
従って、クライアントワークステーション102は、複数のコンポーネントを含んでもよく、これらのコンポーネントは、MSLスタンドアロンクライアントソフトウェア内において含まれていてもよく、或いは、そうでなくてもよい。一例として、MSLスタンドアロンクライアントソフトウェアのコンポーネントは、MSL管理コンポーネント116を含んでいてもよく、MSL管理コンポーネント116は、クライアントワークステーション102のセッション情報を維持するためのセッションマネージャとして動作してもよい。セッションマネージャは、UPIPを割り当てると共にUPIP調整情報をMSLツインNATコンポーネント110に提供するように、構成されてもよい。又、同様に、これらのコンポーネントは、MSLユーザインタフェースコンポーネント114を含んでもよく、MSLユーザインタフェースコンポーネント114は、ユーザが、VPN接続を識別することが可能であり、VPN接続を削除することが可能であり、VPN接続をオープンすることが可能であり、或いは、オープン状態のVPN接続をシャットダウンすることができるように、一つ又は複数のユーザインタフェースを提供している。MSL VPNコンポーネント112は、オーナゲートウェイ120a、120b及び/又はVPN104a、104bを識別するために、オーナゲートウェイ120a、120bからの外部パケット上において発信元IPを提供するべく、利用されてもよい。MSLツインNATコンポーネント110からのパケットは、宛先ゲートウェイ/VPNを識別するための宛先パブリックIPを含んでもよい。又、MSLツインNATコンポーネント110も含まれており、これは、割り当てられたUPIPアドレスへの且つ/又はこれからのクリアテキストパケット内において発信元及び宛先IPアドレスの両方を変換している。インバウンドデータグラム(応答データグラムを含む)の場合には、MSLツインNATコンポーネント110は、オーナゲートウェイ120a、120bを識別するべく、MSL VPNコンポーネント112によって提供された発信元IPを使用している。アウトバウンドデータグラムの場合には、MSLツインNATコンポーネント110は、オーナゲートウェイ120a、120b及び/又はVPN104a、104bの宛先パブリックIPを識別するべく、発信元及び宛先UPIPを使用している。
【0018】
従って、クライアントワークステーション102内のコンポーネントにより、VPN A 104a及びVPN B 104b上の一つ又は複数の演算装置との間において、セキュア通信が実施されてもよい。VPN A 104aは、ローカルネットワーク122aを介して一つ又は複数の演算装置(リモート演算装置124aなど)に結合されたオーナゲートウェイ120aを含んでもよい。又、同様に、VPN B 104bも、ローカルネットワーク122bを介してリモート演算装置124bなどの一つ又は複数のリモート演算装置との間における通信を促進するオーナゲートウェイ120bを含んでもよい。
【0019】
複合セキュアリンクアーキテクチャは、すべてのユーザ組織のホスト(システム)が、MSLプライベートIP領域106内において一意のIPアドレスを有するように、MSL技術を使用してクライアントワークステーション102と通信するリモート演算装置124a、124bやサーバなどのようなそれぞれのホストごとに、一意のプライベートなIPアドレス(UPIP)を割り当てている。MSLアーキテクチャは、MSLプライベートIP領域106を管理するべく、ツインNAT機能を提供している。MSLツインNAT110は、複数のVPNオーナが同一のプライベートIPアドレスを有する際にも、ワークステーションが、すべてのVPNオーナホストについて一意のIPアドレスを有するように、VPNオーナによって割り当てられたプライベートIPアドレスと割り当てられたUPIPとの間における変換を実行している。
【0020】
従って、ユーザアプリケーションA 108a及びユーザアプリケーションB 108bは、VPNオーナホストが、VPNオーナの内部のプライベートなIPアドレスのみを観察している一方で、UPIPを観察している。MSLツインNAT110は、ユーザアプリケーションA 108a及びユーザアプリケーションB 108bが、UPIPを観察し、且つ、VPNオーナのホストが、VPNオーナの内部のプライベートなIPアドレスのみを観察するように、VPNオーナによって割り当てられたIPアドレスとMSLアーキテクチャによって割り当てられたUPIPとの間における変換を実行するように調整されている。
【0021】
クライアントワークステーション102は、MSLユーザインタフェース及び管理機能を使用してVPN A 104aに接続している。MSL管理コンポーネント116は、リモート演算装置124aを含むVPN A 104aにUPIPを割り当てている。この結果、クライアントワークステーション102は、通常の方式により、VPN A 104aにアクセスすることができる。
【0022】
クライアントワークステーション102は、MSLユーザインタフェースコンポーネント114及びMSL管理コンポーネント116を使用してVPN B 104bに更に接続してもよい。MSL管理コンポーネント116は、リモート演算装置124bなどのVPN B 104b上のノードにUPIPを割り当てている。VPN A104aがUPIPをクライアントワークステーション102に既に割り当てていることから、MSL管理コンポーネント116は、VPN B 104bのIP用に同一のUPIP値を使用する。この結果、クライアントワークステーション102は、通常の方式で、ユーザアプリケーション108a、108bにより、VPN B 104b上のリモート演算装置124bなどの演算装置にアクセスすることができる。
【0023】
以下の表2は、IPアドレス割当の一例を示している。IPは、割当の追跡を簡単にするべく選択されたものであり得ることに留意されたい。
【0024】
【表2】
【0025】
クライアントワークステーション102には、クライアントワークステーション102がVPN A 104aにログオンした際に生成されるUPIPが割り当てられる。クライアントワークステーション102がVPN B 104bにログオンした際には、VPN B 104bの背後の演算装置にUPIPが割り当てられるが、クライアントワークステーション102は、VPN A 104a用に生成されたワークステーションUPIPの使用を継続する。この結果、ユーザアプリケーション108a、108bは、MSL UPIP領域106内において動作することを理解されたい。
【0026】
図2は、本明細書において開示されているMSLサーバ204上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、図2の実施形態は、クライアントワークステーション202と、MSLサーバ204と、VPN A 206aと、VPN B 206bと、を含む。クライアントワークステーション202は、ユーザアプリケーションA 210aと、ユーザアプリケーションB 210bと、商用の既成の(COTS:Commercial Off The Shelf)クリアテキストプロセスクライアント212と、第一MSL VPNコンポーネント214と、MSL VPNユーザインタフェースコンポーネント216と、第一MSL管理コンポーネント218と、を含んでもよい。これらのコンポーネントは、MSL UPIP領域208を構成してもよく、且つ、インターネットなどのパブリックネットワーク220を介してVPN A 206a及び/又はVPN B 206bとの間においてVPN通信を確立するように構成されていてもよい。
【0027】
この通信を促進するべく、MSLサーバ204は、こちらもMSL UPIP領域208の一部分であるCOTS VPNコンポーネント224、COTSクリアテキストプロセスコンポーネント226、MSLツインNATコンポーネント228、及び第二MSL管理コンポーネント230を含んでもよい。又、第二MSL VPNコンポーネント232が含まれてもよい。従って、これらのコンポーネントは、VPN A 206a及び/又はVPN B 206bからリモート状態にあってもよく、且つ、一つ又は複数のデータグラムをオーナゲートウェイ234a、234bに送信してもよく、オーナゲートウェイ234a、234bは、VPN A 206a及び/又はVPN B 206b上のリモート演算装置238a、238b及び/又はその他の演算装置にデータを送信すると共に/又は、これらからデータを受信するべく、ローカルネットワーク122a、122bに結合されている。
【0028】
従って、図2の実施形態は、図2の実施形態が、クライアントワークステーション202からリモート状態にあるMSLサーバ204を利用していることを除いて、図1との関連において説明したものに類似した方式で動作してもよい。従って、この構成は、MSL UPIP領域208をMSLサーバ204に拡張しており、MSLサーバ204は、COTSクリアテキスト機能を複数の異なるクライアントワークステーションによって使用されているそれぞれのVPNに適用することができるように、加速などのCOTSクリアテキスト機能をホスティングすることができる。更には、パブリックネットワーク220上においてクライアントワークステーション202とMSLサーバ2044との間において移動するのに伴って、データを保護するべく、MSLサーバ204及びクライアントワークステーション202を接続するCOTS VPNコンポーネント224が提供されている。
【0029】
図3は、本明細書において開示されている実施形態によるMSLゲートウェイルータ304上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、図3の実施形態は、クライアントワークステーション302と、MSLゲートウェイルータ304と、VPN A 306aと、VPN B 306bと、を含む。クライアントワークステーション302は、MSL UPIP領域308の一部分を構成するユーザアプリケーションA 310a、ユーザアプリケーションB 310b、第一COTS VPNコンポーネント314、MSL VPNユーザインタフェースコンポーネント316、及びMSL管理コンポーネント318を含む。
【0030】
従って、クライアントワークステーション302は、ローカル且つ/又はプライベートなネットワーク320を介してMSLゲートウェイルータ304と通信してもよい。MSLゲートウェイルータ304は、こちらもMSL UPIP領域308の一部分である第二COTS VPNコンポーネント322、MSLツインNATコンポーネント324、及びMSLサーバ管理コンポーネント326を含んでもよい。又、MSL VPN328が、MSLゲートウェイルータ304と共に含まれており、且つ、パブリックネットワーク330を介してVPN A 306a及び/又はVPN B 306bとの間における通信を促進してもよい。
【0031】
その他のVPNとの関連において上述したように、VPN A 306aは、プライベートネットワーク334aに結合されたオーナゲートウェイ332aを含む。プライベートネットワーク334aは、リモート演算装置336aなどの一つ又は複数の演算装置に結合されていてもよい。同様に、VPN B 306bも、プライベートネットワーク334bに結合されたオーナゲートウェイ332aを含む。プライベートネットワーク334bは、リモート演算装置336bなどの一つ又は複数の演算装置に結合されていてもよい。
【0032】
従って、図3の実施形態は、MSL UPIP領域308を複数のクライアントワークステーションをサポートするMSLゲートウェイルータ304に拡張している。このような構成は、経済的であってもよく、この場合には、単一のコンポーネントが、複数のクライアントワークステーション(学校ネットワークやビジネスネットワークなどにおけるものなど)用に利用されてもよい。更には、プライベートネットワーク320上においてワークステーションとMSLルータとの間において移動するのに伴って、データを保護するべく、COTS VPNコンポーネント332がクライアントワークステーション302に結合されている。
【0033】
又、ユーザアプリケーション310は、完全に独立的に動作する複数の別個のアプリケーションであってもよいが、これは、一つの実施形態に過ぎないことを理解されたい。具体的には、いくつかの実施形態は、共通ブラウザアプリケーションが、異なるタブ又はページを表示することにより、アプリケーションA 310a及びアプリケーションB 310bの両方にサービスし得るように、構成されている。
【0034】
図4は、本明細書において開示されている実施形態によるクライアントワークステーション402上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、図4の実施形態は、クライアントワークステーション402と、MSLアプライアンス404と、MSLサーバ406と、VPN A 408aと、VPN B 408bと、を含む。クライアントワークステーション402は、MSL UPIP領域410の一部分を構成するユーザアプリケーションA 412a、ユーザアプリケーションB 412b、第一COTS VPNコンポーネント414、並びに、MSL VPNユーザインタフェースコンポーネント418を含んでもよい。更には、クライアントワークステーション402は、プライベートネットワーク416上において、暗号化されたトンネルを介して、且つ/又は、暗号化された形態において、MSLアプライアンス404に結合されていてもよい。
【0035】
MSLアプライアンス404は、こちらもMSL UPIP領域410の一部分である第二COTS VPNコンポーネント422、第一COTSクリアテキストプロセスクライアント424、第三COTS VPNコンポーネント426、及び第一MSLサーバ管理コンポーネント430を含んでもよい。MSLアプライアンス404は、MSLサーバ406を介したVPN 408a、408bとの間における通信のためにパブリックネットワーク428に結合されていてもよい。
【0036】
又、パブリックネットワーク428には、MSLサーバ406も結合されている。MSLサーバ406は、こちらもMSL UPIP領域410の一部分である第四COTS VPNコンポーネント432、COTSクリアテキストプロセス434、及び第二MSLサーバ管理コンポーネント438を含む。又、MSL VPNコンポーネント439も、MSLサーバ406の一部分であり、且つ、パブリックネットワーク428に結合されている。
【0037】
又、パブリックネットワーク428には、VPN A 408a及びVPN B 408bも結合されている。VPN A 408aは、オーナゲートウェイ440aと、プライベートネットワーク442aと、リモート演算装置444aなどの一つ又は複数の演算装置と、を含む。VPN B 408bは、オーナゲートウェイ440bと、プライベートネットワーク442bと、リモート演算装置444bなどの一つ又は複数の演算装置と、を含む。
【0038】
従って、図4の実施形態は、複数の異なるクライアントワークステーション(図3に類似している)をサポートしているがMSLサーバ406をも利用しているMSLアプライアンス404にMSL UPIP領域410を拡張する実装形態を提供している。いくつかの実施形態においては、MSLアプライアンス404は、小規模オフィスをサポートするゲートウェイルータ内において実装されてもよいことを理解されたい。更には、パブリックネットワーク428上においてMSLアプライアンス404とMSLサーバ406との間において移動するのに伴って、データを保護するべく、第三COTS VPNコンポーネント426及び第四COTS VPNコンポーネント432が、MSLサーバ406とMSLアプライアンス404との間において結合されている。プライベートネットワーク416上においてクライアントワークステーション402とMSLアプライアンス404との間において移動するのに伴って、データを保護するべく、第一COTS VPNコンポーネント414及び第二COTS VPNコンポーネント422が、MSLアプライアンス404とクライアントワークステーション402との間において提供されている。
【0039】
図5は、本明細書に開示されている実施形態によるMSLネットワーク運営センタ(NOC:Network Operations Center)504上において複合セキュアリンクアーキテクチャを提供する演算環境を示している。図示のように、図5の実施形態は、クライアントワークステーション502と、MSLネットワーク運営センタ(NOC)504と、VPN A 506aと、VPN B 506bと、を含む。COTSコンポーネントは、COTS VPNと、COTSクリアテキストプロセスと、を含む。
【0040】
クライアントワークステーション502は、ユーザアプリケーションA 510aと、ユーザアプリケーションB 510bと、を含む。又、クライアントワークステーション502内には、MSLクライアントロジックの一部として、COTSクリアテキストプロセスクライアント512、COTS VPNクライアント514、MSL VPNユーザインタフェースコンポーネント516、及びMSL管理コンポーネント518も含まれている。これらのコンポーネントは、MSLプライベートIP領域508の一部分を構成している。
【0041】
クライアントワークステーション502をMSL NOC 504と結合しているのは、パブリックネットワーク520である。従って、MSL NOC 504は、こちらもMSLプライベートIP領域508の一部分であるCOTS VPNコンポーネント524、COTSクリアテキストプロセスコンポーネント526、MSLツインNATコンポーネント528、ログインマネージャコンポーネント529、及びセッションマネージャコンポーネント530を含む。又、MSL VPNコンポーネント531も、MSL NOC 504の一部分である。COTSクリアテキストプロセスコンポーネント526は、ネットワーク加速製品として実装されてもよく、且つ、ユーザ顧客用のサービスを提供するべく、クリアテキストパケットに対して動作する変更されていない機能として実装されてもよい。
【0042】
更には、いくつかの実施形態は、セッションマネージャコンポーネント530と通信すると共にクライアントワークステーション502用のセッション情報を維持するクライアントワークステーション502上のクライアントセッションマネージャを含む。VPN A 506a及びVPN B 506bは、オーナゲートウェイ532a、532bと、プライベートネットワーク534a、534bと、リモート演算装置536a、536bと、を含む。セッションマネージャコンポーネント530は、サービスにログインするそれぞれのクライアントワークステーションごとにセッション情報を維持するように構成されてもよい。セッションマネージャコンポーネント530は、UPIP調整情報をMSLツインNATコンポーネント528に提供してもよく、且つ、それぞれのオーナゲートウェイ532a、532bごとに、割り当てられたUPIPにより、クライアントセッションマネージャを更新してもよい。又、セッションマネージャは、オーナゲートウェイ532a、532b及び/又はVPN506a、506bのUPIPとパブリックIPとの間の関係を維持するように構成されてもよい。ログインマネージャコンポーネント529は、サービスに対するクライアントアクセスを検証すると共にVPNトンネルを確立するべく、クライアントログインマネージャ(MSL管理コンポーネント518の一部分であってもよい)からのログイン要求を処理するように構成されてもよい。
【0043】
上述のように、MSL VPNコンポーネント531は、発信元ゲートウェイ及び/又はVPNを識別するべく、オーナゲートウェイ532a、532bからの外部パケット上において発信元IPを提供するように利用されてもよい。対照的に、MSLツインNATコンポーネント528からのアウトバウンドデータグラムは、宛先ゲートウェイ及び/又はVPNを識別するべく、宛先パブリックIPを含む。MSL VPNユーザインタフェースコンポーネント516は、クライアントワークステーション502用のスタートアッププロセスを管理している。MSL VPNユーザインタフェースコンポーネント516は、クライアントライセンスを検証すると共にMSL NOC 504に対するVPNを確立するべく、ログインマネージャと通信している。更には、MSL VPNユーザインタフェースコンポーネント516は、クライアントワークステーション502によって要求されたVPN接続のそれぞれをスタートアップ及びシャットダウンするべく、セッションマネージャコンポーネント530を使用するように構成されてもよい。
【0044】
同様に、MSLツインNATコンポーネント528は、割り当てられたUPIPアドレスへの且つ/又はこれからのクリアテキストパケット内において発信元及び宛先IPアドレスの両方の変換を実行するように構成されてもよい。インバウンドパケットの場合には、MSLツインNATコンポーネント528は、VPNオーナを識別するべく、MSL VPNコンポーネント531によって提供された発信元IPを使用している。アウトバウンドパケットの場合には、MSLツインNATコンポーネント528は、宛先ゲートウェイ及び/又はVPNの宛先パブリックIPを識別するべく、発信元及び宛先UPIPを利用している。MSLツインNATコンポーネント528とMSL VPNコンポーネント531との間のリンク上においては、パケットは、パブリック発信元及び宛先IPを含むプライベートMSLアーキテクチャによって定義されたIPプロトコルにおいてラッピングされてもよいことを理解されたい。又、本明細書において記述されている実施形態は、顧客によって割り当てられたプライベートIPアドレスとオーバラップしたUPIPを割り当ててもよいことを理解されたい。これにより、ルーティングの問題は、発生せず、その理由は、割り当てられたアドレスが、MSLプライベートIP領域508内において一意であり、且つ、セッションマネージャコンポーネント530により、オーナゲートウェイ532a、532bのパブリックIPに対してマッピングされるからである。理解されるように、本明細書において記述されている実施形態は、VPNオーナのネットワーク内における変更が不要となるように、構成されてもよい。
【0045】
上述のいくつかの実施形態においては、単一のワークステーションが示されていることを理解されたい。このような実施形態は、一つのワークステーションをサポートしてもよいが、上述の実施形態のそれぞれは、特定の構成に応じて、複数のワークステーションを収容するように構成されてもよい。
【0046】
図6は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するためのログインマネージャ用のフローチャートを示している。ブロック652において示されているように、ログインマネージャは、システムにアクセスするためのライセンスIDを検証してもよい。ブロック654において、顧客が、サービスについて識別されてもよい。ブロック656において、ユーザを追跡するためのセッションを生成するべく、セッションマネージャが利用されてもよい。ブロック658において、クライアントワークステーションに対するVPNトンネルを生成すると共に、ライセンスID用のUPIPをクライアントワークステーションに割り当てるべく、COTS VPNコンポーネントが利用されてもよい。ブロック660において、ライセンスに割り当てられた顧客プライベートIPマッピングに対するUPIPにより、クライアントワークステーション上のクライアントセッションマネージャが更新されてもよい。ブロック662において、クライアントゲートウェイに対するVPNトンネルを生成するべく、MSL VPNが利用されてもよい。ブロック664において、システムが、要求されたサービスを提供するための準備が完了した状態にあることを通知するクライアントワークステーションに対するメッセージが提供されてもよい。
【0047】
図7は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するためのセッションマネージャ用のフローチャートを示している。ブロック752において示されているように、クライアントワークステーション上のクライアントセッションマネージャが、ライセンスに対して割り当てられたUPIPにより、更新されてもよい。ブロック754において、クライアントゲートウェイに対するVPNトンネルを生成するべく、MSLVPNコンポーネントが利用されてもよい。ブロック756において、クライアントゲートウェイにログインするユーザのエミュレーションが実行されてもよい。ブロック758において、ユーザがログイン証明書を入力するように、顧客VPNログインページが、ユーザインタフェースに送り返されてもよい。ブロック760において、クライアントセッションマネージャが、ログイン結果により、更新されてもよい。ブロック762において、MSLツインNATコンポーネントが、オーナゲートウェイ用のUPIPにより、更新されてもよい。
【0048】
図8A図8Bは、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するための複数のコンポーネント用のフローチャートを示している。図8Aのブロック850において示されているように、ユーザアプリケーションが、ユーザ入力に基づいて要求データグラムを生成してもよい。ブロック852においては、COTSプロセスクライアントが、データグラムを処理している。ブロック854において、COTS VPNクライアント及びCOTS VPNが、データグラムをMSL NOCに転送している。ブロック856において、COTSクリアテキストプロセスが、データグラムを処理し、且つ、VPNオーナサーバ用の新しいデータグラムを生成している。ブロック858において、MSLツインNATが、データグラム内のUPIPアドレスを顧客によって定義されたプライベートなIPアドレスにマッピングしている。ブロック860において、MSL VPNが、新しいデータグラムを暗号化してもよく、且つ、次いで、新しいデータグラムをオーナゲートウェイに転送している。ブロック862において、オーナゲートウェイが、新しいデータグラムを暗号解読し、且つ、処理のために新しいデータグラムをVPNオーナリモート演算装置に転送している。ブロック864において、VPNオーナリモート演算装置が、要求元クライアントワークステーション用のVPNオーナプライベートIPに設定された宛先IPアドレスを有する応答データグラムを生成している。ブロック866において、VPNオーナゲートウェイが、応答データグラムを暗号化し、且つ、応答データグラムをMSL VPNコンポーネントに転送している。ブロック868において、MSL VPNは、応答データグラムを暗号解読し、且つ、オリジナルの発信元IPアドレスを有する応答データグラムをMSLツインNATに転送している。
【0049】
図8Bのブロック870に継続すると、MSLツインNATが、応答データグラム内のVPNオーナによって定義されたプライベートなIPアドレスをUPIPアドレスにマッピングしている。ブロック872において、MSLツインNATが、発信元IPからの新しいVPNオーナプライベートIPをセッションマネージャにおいて暗号解読済みの応答データグラム内において記録し、且つ、新しいUPIPを割り当てている。ブロック874において、MSLツインNATが、応答データグラムをCOTSクリアテキストプロセスコンポーネントに転送している。ブロック876において、COTSクリアテキストプロセスコンポーネントが、応答データグラムを処理し、且つ、ユーザアプリケーション用の新しい応答データグラムを生成している。ブロック878において、COTS VPN及びCOTS VPNクライアントが、新しい応答データグラムをクライアントワークステーションに転送している。ブロック880において、COTSプロセスクライアントが、新しい応答データグラムを処理している。ブロック882において、ユーザアプリケーションが、新しい応答データグラム内の結果をユーザに提示している。
【0050】
図9は、本明細書において開示されている実施形態による複合セキュアリンクアーキテクチャを提供するべく利用され得る演算装置を示している。図示の実施形態においては、MSLサーバ204は、一つ又は複数のプロセッサ930と、入出力ハードウェア932と、ネットワークインタフェースハードウェア934と、データストレージコンポーネント936(ログインデータ938a及びセッションデータ938bを保存している)と、メモリコンポーネント940と、を含む。メモリコンポーネント940は、揮発性及び/又は不揮発性メモリとして構成されてもよく、且つ、従って、ランダムアクセスメモリ(SRAM、DRAM、及び/又はその他のタイプのRAMを含む)、フラッシュメモリ、レジスタ、コンパクトディスク(CD:Compact Disk)、デジタルバーサタイルディスク(DVD:Digital Versatile Disk)、及び/又はその他のタイプの一時的ではないコンピュータ可読媒体を含んでもよい。特定の実施形態に応じて、一時的ではないコンピュータ可読媒体は、MSLサーバ204内において、且つ/又は、MSLサーバ204の外部において、存在してもよい。
【0051】
更には、メモリコンポーネント940は、動作ロジック942、MSL VPNロジック944a、MSLツインNATロジック944b、並びに、上述のものなどのその他のロジックを保存するように構成されてもよく、これらのロジックのそれぞれは、一例として、コンピュータプログラム、ファームウェア、及び/又はハードウェアとして実施されてもよい。又、図9には、ローカル通信インタフェース946も含まれており、これは、MSLサーバ204のコンポーネントの間における通信を促進するべく、バス又はその他のインタフェースとして実装されてもよい。
【0052】
プロセッサ930は、命令(データストレージコンポーネント936及び/又はメモリコンポーネント940からのものなど)を受信及び実行するべく動作可能な任意の処理コンポーネントを含んでもよい。入出力ハードウェア932は、データの受信、送信、及び/又は提示のために、モニタ、キーボード、マウス、プリンタ、カメラ、マイクロフォン、スピーカ、及び/又はその他の装置を含んでもよく、且つ/又は、これらとインタフェースするように構成されてもよい。ネットワークインタフェースハードウェア934は、任意の有線又は無線ネットワーキングハードウェア、衛星、アンテナ、モデム、LANポート、Wi−Fi(Wireless Fidelity)カード、Wimaxカード、モバイル通信ハードウェア、ファイバ、並びに/或いは、その他のネットワーク及び/又は装置との間の通信用のハードウェアを含んでもよく、且つ/又は、これらと通信するように構成されてもよい。この接続から、上述のように、MSLサーバ204とその他の演算装置との間における通信が促進されてもよい。
【0053】
同様に、データストレージコンポーネント936も、MSLサーバに対してローカル状態において且つ/又はリモート状態において、存在してもよく、且つ、MSLサーバ204及び/又はその他のコンポーネントによるアクセスのための一つ又は複数のデータ片を保存するように構成されてもよいことを理解されたい。いくつかの実施形態においては、データストレージコンポーネント936は、MSLサーバ204からはリモート状態において配置されてもよく、且つ、従って、ネットワーク接続を介してアクセス可能であってもよい。但し、いくつかの実施形態においては、データストレージコンポーネント936は、MSLサーバ204の外部に位置した単なる周辺装置であってもよい。
【0054】
メモリコンポーネント940内には、動作ロジック942と、MSL VPNロジック944aと、MSLツインNATロジック944bと、その他のロジック944cと、が含まれている。動作ロジック942は、オペレーティングシステム及び/又はMSLサーバ204のコンポーネントを管理するその他のソフトウェアを含んでもよい。同様に、MSL VPNロジック944aも、上述のMSL VPN機能を実行するロジックを含んでもよい。MSLツインNATロジック944bは、上述のMSLツインNAT機能を実行するロジックを含んでもよい。その他のロジック944cは、本明細書においては、上述のその他のロジック及び機能を表すべく、含まれている。
【0055】
図9に示されているコンポーネントは、例示を目的としたものに過ぎず、且つ、本開示の範囲の限定を意図したものではないことを理解されたい。図9のコンポーネントは、MSLサーバ204内において存在するものとして示されているが、これは、例に過ぎない。いくつかの実施形態においては、コンポーネントのうちの一つ又は複数は、MSLサーバ204の外部に存在してもよい。又、図9には、MSLサーバ204が示されているが、図1図6又はその他の図面において示されているその他の演算装置が、記述されている機能を提供する類似のハードウェア及びソフトウェアを含んでもよいことを理解されたい。一例として、クライアントワークステーション102、202、302、402、及び/又は502が、上述のハードウェア及びソフトウェアのうちのいくつか又はすべてを含んでもよい。従って、適用可能な範囲において、図1図6に示されているコンポーネントは、そのいくつかが図9に示されている不可欠なハードウェアを含む演算装置内において実行されるロジック及び/又はソフトウェアとして実施されてもよい。
【0056】
本明細書において含まれているフローチャートは、ソフトウェアの可能な実装形態のアーキテクチャ、機能、及び動作を示していることに留意されたい。この観点において、それぞれのブロックは、一つ又は複数の規定された論理的機能を実装する一つ又は複数の実行可能な命令を有するコードのモジュール、セグメント、又は一部分を表すものと解釈することができる。又、いくつかの代替実装形態においては、ブロック内において示されている機能は、別の順序で実行されてもよく、且つ/又は、まったく実行されなくてもよいことに留意されたい。例えば、関係する機能に応じて、連続的に示されている二つのブロックは、実際には、実質的に同時に実行されてもよく、或いは、これらのブロックは、しばしば、逆の順序で実行されてもよい。
【0057】
上述の実施形態は、本開示の原理の明瞭な理解のためにのみ記述された実装形態の可能な例に過ぎないことを強調しておきたい。本開示の精神及び原理を実質的に逸脱することなしに、多くの変更及び変形が上述の一つ又は複数の実施形態に対して実施されてもよい。更には、本開示の範囲は、上述のすべての要素、特徴、及び側面のすべての順列及びサブ順列を包含ことが意図されている。すべてのこのような変更及び変形は、本開示の範囲に含まれるものと解釈されたい。
図1
図2
図3
図4
図5
図6
図7
図8A
図8B
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.