[发明专利]加密通信系统及网关装置

说明书

技术领域

本发明涉及加密通信系统及网关装置，尤其涉及具有IP地址转换功能的、向经由3GPP系统的企业网提供远程VPN接入服务的加密通信系统及网关装置。

背景技术

远程VPN接入已被广泛普及，该远程VPN接入采用使用了IPSec(Security Architecture for the Internet Protocol：因特网协议用安全体系)的VPN(Virtual Private Network：虚拟专用网)技术，用于使在外出目的地的职员经由因特网安全地连接本公司的企业网。

使用图1说明远程VPN接入系统的概况。在图1中，终端101经由因特网102与企业网104连接。终端101通过通信链路106与企业网104的相向服务器105通信，但由于通信链路106通过因特网102，所以需要安全地进行。终端101对在企业网104中设置在与因特网102的边缘(edge)处的VPN网关装置103设定IPSec隧道107。通过使用IPSec隧道107中的通信链路，确保作为安全的通信路径的通信链路106。如上所述的远程VPN接入系统例如已在专利文献1中公开。

另一方面，作为手机网络的标准化机构的3GPP(3rd GenerationPartnership Project：第三代合作伙伴计划)，在非专利文献1中规定了用于在3GPP网中收容经由WLAN(Wireless Local Area Network：无线局域网)的因特网接入的规格。使用图2说明经由3GPP网的因特网接入方法。在图2中，终端101经由WLAN网201与3GPP网202连接。3GPP网202向终端101提供与因特网102连接的服务。其中，终端101为了和与因特网102连接的相向服务器105进行通信，在终端101和相向服务器105之间连接通信链路206。

3GPP网202具有：作为进行加入者的认证的服务器的AAA(Authentication Authorization Accounting：认证授权计费)203；通过WLAN网进行用户数据的传输的WAG(Wireless LAN Access Gateway：无线局域网接入网关)204；和作为分组级别的网关的PDG(Packet Data Gateway：分组数据网关)205。WLAN网201是不安全的网络，为了确保通信链路206的安全性，在终端101和PDG205之间设定IPSec隧道207。

【现有技术文献】

【专利文献】

【专利文献1】日本特开2001-160828号公报

【非专利文献】

【非专利文献1】3GPP TS23.234，3GPP system to Wireless Local AreaNetwork(WLAN)Interworking-System Description

针对利用经由3GPP网的因特网连接服务与因特网连接的企业网，说明终端利用远程VPN接入的情况1。在本情况1中，终端101设定朝向3GPP网202内的PDG205的IPSec隧道、和朝向处于企业网104中的VPN网关103的IPSec隧道这种双重IPSec隧道。在终端101中双重地进行IPSec处理，这将消耗终端的许多CPU资源等，在处理能力低的终端中存在性能方面和功耗方面的问题。

使用图3和图4更具体地说明上述问题。首先，使用图3说明终端101利用由3GPP网202提供的向因特网的连接服务，与处于和因特网102连接的企业网104中的相向服务器105连接的情况。假设终端101通过使用了IPSec的远程VPN与相向服务器105所属的企业网104连接。在终端101和相向服务器105之间动作的应用通过通信链路206进行通信。其中，为了确保来自经由因特网的终端101的接入的安全性，在终端101和VPN网关103之间设定IPSec隧道301，在通过通信链路206的通信时使用IPSec隧道301。另一方面，在3GPP网202中，为了确保经由WLAN网201的通信的安全性，在终端101和PDG205之间建立IPSec隧道207。其中，IPSec隧道207和IPSec隧道301双方都在终端101被终止(terminate)。