JP2001237896A - ネットワーク接続方法 - Google Patents
ネットワーク接続方法Info
- Publication number
- JP2001237896A JP2001237896A JP2000044149A JP2000044149A JP2001237896A JP 2001237896 A JP2001237896 A JP 2001237896A JP 2000044149 A JP2000044149 A JP 2000044149A JP 2000044149 A JP2000044149 A JP 2000044149A JP 2001237896 A JP2001237896 A JP 2001237896A
- Authority
- JP
- Japan
- Prior art keywords
- router
- key
- communication
- public network
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000008859 change Effects 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 32
- 230000005540 biological transmission Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 5
- 230000002708 enhancing effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- DFUSDJMZWQVQSF-XLGIIRLISA-N (2r)-2-methyl-2-[(4r,8r)-4,8,12-trimethyltridecyl]-3,4-dihydrochromen-6-ol Chemical compound OC1=CC=C2O[C@@](CCC[C@H](C)CCC[C@H](C)CCCC(C)C)(C)CCC2=C1 DFUSDJMZWQVQSF-XLGIIRLISA-N 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 ルータが公衆ネットワーク上に仮想的な専用
線を構成して通信するネットワーク接続方法やこのよう
なルータで、例えば当該専用線の接続中におけるセキュ
リティを強化する。 【解決手段】 ルータがデータを暗号化してインターネ
ット等の公衆ネットワークを介して通信することによ
り、公衆ネットワーク上に仮想的な専用線を構成して、
通信相手と通信を接続されるに際して、ルータでは、タ
イマにより計時される所定の時間毎に(ステップS3、
ステップS4)、暗号化のキーを変更する(ステップS
5)。
線を構成して通信するネットワーク接続方法やこのよう
なルータで、例えば当該専用線の接続中におけるセキュ
リティを強化する。 【解決手段】 ルータがデータを暗号化してインターネ
ット等の公衆ネットワークを介して通信することによ
り、公衆ネットワーク上に仮想的な専用線を構成して、
通信相手と通信を接続されるに際して、ルータでは、タ
イマにより計時される所定の時間毎に(ステップS3、
ステップS4)、暗号化のキーを変更する(ステップS
5)。
Description
【0001】
【発明の属する技術分野】本発明は、ルータが公衆ネッ
トワーク上に仮想的な専用線を構成して通信するネット
ワーク接続方法やこのようなルータに関し、特に、セキ
ュリティを強化する技術に関する。
トワーク上に仮想的な専用線を構成して通信するネット
ワーク接続方法やこのようなルータに関し、特に、セキ
ュリティを強化する技術に関する。
【0002】
【従来の技術】例えばルータはインターネット等の公衆
ネットワーク上で伝送されるデータを中継する機能を有
している。従来では、例えばインターネット上に設けら
れるルータのセキュリティ機能としては、ユーザ名とパ
スワードを認証するPAP(Password Authentication
Protocol)機能や、回線の利用時にIP(Internet Pro
tocol)アドレスを割り当てるPPP(Point to Point
Protocol)機能や、PPP接続回線においてユーザを認
証確認するCHAP(Challenge Handshake Authentica
tion Protocol)機能といったものがあった。
ネットワーク上で伝送されるデータを中継する機能を有
している。従来では、例えばインターネット上に設けら
れるルータのセキュリティ機能としては、ユーザ名とパ
スワードを認証するPAP(Password Authentication
Protocol)機能や、回線の利用時にIP(Internet Pro
tocol)アドレスを割り当てるPPP(Point to Point
Protocol)機能や、PPP接続回線においてユーザを認
証確認するCHAP(Challenge Handshake Authentica
tion Protocol)機能といったものがあった。
【0003】これらの認証機能では、不特定なユーザを
そのユーザ名やパスワードにより認証し、正当な利用者
(例えば登録された利用者)であると判定された場合に
は回線の接続を許可する一方、不当な利用者(例えば登
録されていない利用者)であると判定された場合には回
線の接続を許可せずに拒絶する。しかしながら、これら
の認証機能では、送信元や送信先を特定するIPアドレ
ス等がインターネット上で隠されずに通信されるため、
送信元から送信先までの経路等が第三者により知られて
しまう恐れがあった。
そのユーザ名やパスワードにより認証し、正当な利用者
(例えば登録された利用者)であると判定された場合に
は回線の接続を許可する一方、不当な利用者(例えば登
録されていない利用者)であると判定された場合には回
線の接続を許可せずに拒絶する。しかしながら、これら
の認証機能では、送信元や送信先を特定するIPアドレ
ス等がインターネット上で隠されずに通信されるため、
送信元から送信先までの経路等が第三者により知られて
しまう恐れがあった。
【0004】このため、従来では、例えばインターネッ
ト上で通信されるデータが第三者により盗聴されてしま
うことや改ざんされてしまうことを防止してセキュリテ
ィを確保することが企業ユーザ等にとって大きな課題と
なっていた。そこで、このような課題を解消するものと
して、VPN(Virtual Private Network)が検討等さ
れている。VPNは例えば暗号化や認証を用いてネット
ワーク上のセキュリティを確保するものであり、不特定
多数のユーザが利用するインターネット等の公衆ネット
ワーク上に、特定のユーザだけが利用することのできる
仮想的な専用線を構成することができるものである。
ト上で通信されるデータが第三者により盗聴されてしま
うことや改ざんされてしまうことを防止してセキュリテ
ィを確保することが企業ユーザ等にとって大きな課題と
なっていた。そこで、このような課題を解消するものと
して、VPN(Virtual Private Network)が検討等さ
れている。VPNは例えば暗号化や認証を用いてネット
ワーク上のセキュリティを確保するものであり、不特定
多数のユーザが利用するインターネット等の公衆ネット
ワーク上に、特定のユーザだけが利用することのできる
仮想的な専用線を構成することができるものである。
【0005】具体的には、VPN機能では、例えば送信
側がデータを暗号キーにより暗号化して公衆ネットワー
クを介して受信側へ送信する一方、受信側が公衆ネット
ワークを介して受信した当該暗号化データを復号キーに
より復号化することにより、公衆ネットワーク上に仮想
的な専用線が構成される。また、VPN機能において、
例えば送信元や送信先のIPアドレスを暗号化するとと
もにグローバルアドレスを付加して(カプセル化して)
暗号化データを通信するような場合には、第三者からは
グローバルアドレスしか見えないため、送信元や送信先
が知られてしまうことはない。ここで、グローバルアド
レスとしては、例えばインターネット上で単一性が保証
されたIPアドレス等が用いられる。
側がデータを暗号キーにより暗号化して公衆ネットワー
クを介して受信側へ送信する一方、受信側が公衆ネット
ワークを介して受信した当該暗号化データを復号キーに
より復号化することにより、公衆ネットワーク上に仮想
的な専用線が構成される。また、VPN機能において、
例えば送信元や送信先のIPアドレスを暗号化するとと
もにグローバルアドレスを付加して(カプセル化して)
暗号化データを通信するような場合には、第三者からは
グローバルアドレスしか見えないため、送信元や送信先
が知られてしまうことはない。ここで、グローバルアド
レスとしては、例えばインターネット上で単一性が保証
されたIPアドレス等が用いられる。
【0006】また、VPNの標準プロトコルとしては例
えばIPsec(Security Architecture for the Inte
rnet Protocol)が知られており、このIPsecはT
CP/IPレベルのプロトコルであることから、上位の
アプリケーションを変更しなくとも利用することができ
るといった利点がある。
えばIPsec(Security Architecture for the Inte
rnet Protocol)が知られており、このIPsecはT
CP/IPレベルのプロトコルであることから、上位の
アプリケーションを変更しなくとも利用することができ
るといった利点がある。
【0007】このようなVPNをインターネット等の公
衆ネットワークに適用することにより、上述のようにセ
キュリティの確保されたネットワークを構築することが
でき、また、例えば通信コストを低く抑えるといったこ
とも可能である。なお、以上に示したようなVPNに関
する状況が例えば「日経コミュニケーション、1999
年12月6日号」に記載されている。
衆ネットワークに適用することにより、上述のようにセ
キュリティの確保されたネットワークを構築することが
でき、また、例えば通信コストを低く抑えるといったこ
とも可能である。なお、以上に示したようなVPNに関
する状況が例えば「日経コミュニケーション、1999
年12月6日号」に記載されている。
【0008】
【発明が解決しようとする課題】しかしながら、従来の
ルータや当該ルータにより行われる従来のネットワーク
接続の方法では、例えばVPN機能により公衆ネットワ
ーク上に仮想的な専用線を構成して暗号化データを通信
するに際して、例えば新たな回線接続を伴う通信開始時
には暗号化に用いられる暗号キーや復号キーが変更され
るものの、仮想的な専用線は本来接続されたままとなる
ため、当該専用線の接続中には暗号キーや復号キーが変
更(更新)されないといった不具合があった。つまり、
従来のルータや従来のネットワーク接続方法では、専用
線の接続中に暗号キーや復号キーが変更されないため、
これらのキーが第三者により不正に知られてしまった場
合にはそれ以降の通信が読み取られてしまい、セキュリ
ティが十分に確保されているとは言えなかった。
ルータや当該ルータにより行われる従来のネットワーク
接続の方法では、例えばVPN機能により公衆ネットワ
ーク上に仮想的な専用線を構成して暗号化データを通信
するに際して、例えば新たな回線接続を伴う通信開始時
には暗号化に用いられる暗号キーや復号キーが変更され
るものの、仮想的な専用線は本来接続されたままとなる
ため、当該専用線の接続中には暗号キーや復号キーが変
更(更新)されないといった不具合があった。つまり、
従来のルータや従来のネットワーク接続方法では、専用
線の接続中に暗号キーや復号キーが変更されないため、
これらのキーが第三者により不正に知られてしまった場
合にはそれ以降の通信が読み取られてしまい、セキュリ
ティが十分に確保されているとは言えなかった。
【0009】本発明は、このような従来の課題を解決す
るためになされたもので、ルータが公衆ネットワーク上
に仮想的な専用線を構成して暗号化データを通信するに
際して、例えば当該専用線の接続中におけるセキュリテ
ィを強化することができるネットワーク接続方法を提供
することを目的とする。また、本発明は、公衆ネットワ
ーク上に仮想的な専用線を構成して暗号化データを通信
するに際して、例えば当該専用線の接続中におけるセキ
ュリティを強化することができるルータを提供すること
を目的とする。
るためになされたもので、ルータが公衆ネットワーク上
に仮想的な専用線を構成して暗号化データを通信するに
際して、例えば当該専用線の接続中におけるセキュリテ
ィを強化することができるネットワーク接続方法を提供
することを目的とする。また、本発明は、公衆ネットワ
ーク上に仮想的な専用線を構成して暗号化データを通信
するに際して、例えば当該専用線の接続中におけるセキ
ュリティを強化することができるルータを提供すること
を目的とする。
【0010】
【課題を解決するための手段】上記目的を達成するた
め、本発明に係るネットワーク接続方法では、ルータが
データを暗号化して公衆ネットワークを介して通信する
ことにより、公衆ネットワーク上に仮想的な専用線を構
成して、通信相手と通信を接続されるに際して、ルータ
により計時される所定の時間毎に暗号化のキーを変更す
る。
め、本発明に係るネットワーク接続方法では、ルータが
データを暗号化して公衆ネットワークを介して通信する
ことにより、公衆ネットワーク上に仮想的な専用線を構
成して、通信相手と通信を接続されるに際して、ルータ
により計時される所定の時間毎に暗号化のキーを変更す
る。
【0011】従って、例えば上記した仮想的な専用線の
接続中において暗号化のキーが第三者により不正に知ら
れてしまったような場合であっても、当該キーが所定の
時間毎に変更されるため、当該変更後において当該第三
者により通信が読み取られてしまうことを防止すること
ができ、これにより、セキュリティを強化することがで
きる。
接続中において暗号化のキーが第三者により不正に知ら
れてしまったような場合であっても、当該キーが所定の
時間毎に変更されるため、当該変更後において当該第三
者により通信が読み取られてしまうことを防止すること
ができ、これにより、セキュリティを強化することがで
きる。
【0012】また、本発明に係るルータでは、暗号化し
たデータを公衆ネットワークを介して通信することによ
り、公衆ネットワーク上に仮想的な専用線を構成して、
通信相手と通信を接続されるに際して、時間を計時して
所定の時間毎に暗号化のキーを変更する。従って、上記
した本発明に係るネットワーク接続方法について述べた
のと同様に、例えば仮想的な専用線の接続中におけるセ
キュリティを強化することができる。
たデータを公衆ネットワークを介して通信することによ
り、公衆ネットワーク上に仮想的な専用線を構成して、
通信相手と通信を接続されるに際して、時間を計時して
所定の時間毎に暗号化のキーを変更する。従って、上記
した本発明に係るネットワーク接続方法について述べた
のと同様に、例えば仮想的な専用線の接続中におけるセ
キュリティを強化することができる。
【0013】なお、暗号化のキーとしては、例えば送信
側が送信対象となるデータを暗号化するのに用いる暗号
キーといったキーや、例えば受信側が受信した暗号化デ
ータ(暗号キーにより暗号化されたデータ)を復号化す
るのに用いる復号キーといったキーがあるが、通常、暗
号キーと復号キーとは組となっており、これら2つのキ
ーの内の一方が変更される場合には他方も当該変更に対
応して変更されるものである。
側が送信対象となるデータを暗号化するのに用いる暗号
キーといったキーや、例えば受信側が受信した暗号化デ
ータ(暗号キーにより暗号化されたデータ)を復号化す
るのに用いる復号キーといったキーがあるが、通常、暗
号キーと復号キーとは組となっており、これら2つのキ
ーの内の一方が変更される場合には他方も当該変更に対
応して変更されるものである。
【0014】
【発明の実施の形態】本発明に係る一実施例を図面を参
照して説明する。なお、本例では、インターネットを介
して通信を行うネットワーク通信システムの一例を示す
ことにより、本発明に係るネットワーク接続方法及び本
発明に係るルータをまとめて説明する。
照して説明する。なお、本例では、インターネットを介
して通信を行うネットワーク通信システムの一例を示す
ことにより、本発明に係るネットワーク接続方法及び本
発明に係るルータをまとめて説明する。
【0015】図1には、上記のようなネットワーク通信
システムを構成する装置や回線の一例として、例えばV
PN機能を有した2つのルータ1、2と、これら2つの
ルータ1、2を接続するインターネット3と、一方のル
ータ1に接続されたパーソナルコンピュータ等から成る
端末装置4と、他方のルータ2に接続されたパーソナル
コンピュータ等から成る端末装置5とを示してある。こ
こで、各端末装置4、5は、ルータ1、2やインターネ
ット3を介してデータを通信する機能を有している。
システムを構成する装置や回線の一例として、例えばV
PN機能を有した2つのルータ1、2と、これら2つの
ルータ1、2を接続するインターネット3と、一方のル
ータ1に接続されたパーソナルコンピュータ等から成る
端末装置4と、他方のルータ2に接続されたパーソナル
コンピュータ等から成る端末装置5とを示してある。こ
こで、各端末装置4、5は、ルータ1、2やインターネ
ット3を介してデータを通信する機能を有している。
【0016】なお、同図に示した構成は一例であって、
例えばルータや端末装置の数や接続の仕方としては任意
であり、また、ネットワークの構成の仕方としても任意
であり、また、ルータや端末装置以外の装置が備えられ
ていてもよい。
例えばルータや端末装置の数や接続の仕方としては任意
であり、また、ネットワークの構成の仕方としても任意
であり、また、ルータや端末装置以外の装置が備えられ
ていてもよい。
【0017】上記した2つのルータ1、2は、本例で
は、同様な構成を有して同様な動作を行うため、以下で
は、一方のルータ1を代表させてこれら2つのルータ
1、2の構成例や動作例を示す。すなわち、ルータ1
は、上述のように例えばVPN機能を有しており、具体
的には、例えば端末装置4から他の端末装置5へ宛てて
送信されたデータを受信した場合に、当該データを暗号
キーにより暗号化して、当該暗号化データを当該他の端
末装置5が接続されたルータ2へ宛ててインターネット
3を介して送信する機能を有している。
は、同様な構成を有して同様な動作を行うため、以下で
は、一方のルータ1を代表させてこれら2つのルータ
1、2の構成例や動作例を示す。すなわち、ルータ1
は、上述のように例えばVPN機能を有しており、具体
的には、例えば端末装置4から他の端末装置5へ宛てて
送信されたデータを受信した場合に、当該データを暗号
キーにより暗号化して、当該暗号化データを当該他の端
末装置5が接続されたルータ2へ宛ててインターネット
3を介して送信する機能を有している。
【0018】また、本例のルータ1は、このような暗号
化データの送信を行うに際して、送信元となる端末装置
4から受信したデータに付加された当該端末装置4のI
Pアドレス及び送信先となる端末装置5のIPアドレス
をも暗号キーにより暗号化する機能を有しており、これ
とともに、自己(すなわち、当該ルータ1)のIPアド
レスを送信元アドレスとするとともに宛先となるルータ
2のIPアドレスを送信先アドレスとしたヘッダを送信
対象となる暗号化データ(送信元となる端末装置4のI
Pアドレスや送信先となる端末装置5のIPアドレスを
暗号化したデータが付加されたもの)に付加する機能を
有している。
化データの送信を行うに際して、送信元となる端末装置
4から受信したデータに付加された当該端末装置4のI
Pアドレス及び送信先となる端末装置5のIPアドレス
をも暗号キーにより暗号化する機能を有しており、これ
とともに、自己(すなわち、当該ルータ1)のIPアド
レスを送信元アドレスとするとともに宛先となるルータ
2のIPアドレスを送信先アドレスとしたヘッダを送信
対象となる暗号化データ(送信元となる端末装置4のI
Pアドレスや送信先となる端末装置5のIPアドレスを
暗号化したデータが付加されたもの)に付加する機能を
有している。
【0019】また、ルータ1は、例えば自己(すなわ
ち、当該ルータ1)に接続された端末装置4へ宛てて他
の端末装置5からルータ2やインターネット3を介して
送信された暗号化データを受信した場合に、当該暗号化
データを復号キーにより復号化して、当該復号化データ
(すなわち、暗号化される前の元のデータ)を宛先とな
る端末装置4へ送信する機能を有している。
ち、当該ルータ1)に接続された端末装置4へ宛てて他
の端末装置5からルータ2やインターネット3を介して
送信された暗号化データを受信した場合に、当該暗号化
データを復号キーにより復号化して、当該復号化データ
(すなわち、暗号化される前の元のデータ)を宛先とな
る端末装置4へ送信する機能を有している。
【0020】また、本例では、上述したようにルータ1
が他方のルータ2やインターネット3を介して端末装置
5から受信する暗号化データには、送信元となる端末装
置5のIPアドレスや送信先となる端末装置4のIPア
ドレスを暗号化したデータが付加されている。そして、
本例のルータ1は、上記のような暗号化データの復号化
及び復号化データの送信を行うに際して、送信元となる
端末装置5のIPアドレスや送信先となる端末装置4の
IPアドレスをも復号キーにより復号化する機能を有し
ている。なお、暗号化データに付加される上記のような
ヘッダは、ルータ1、2間での通信に用いられるもので
あるため、当該ヘッダは例えば受信側のルータ(ここで
は、ルータ1)により削除される。
が他方のルータ2やインターネット3を介して端末装置
5から受信する暗号化データには、送信元となる端末装
置5のIPアドレスや送信先となる端末装置4のIPア
ドレスを暗号化したデータが付加されている。そして、
本例のルータ1は、上記のような暗号化データの復号化
及び復号化データの送信を行うに際して、送信元となる
端末装置5のIPアドレスや送信先となる端末装置4の
IPアドレスをも復号キーにより復号化する機能を有し
ている。なお、暗号化データに付加される上記のような
ヘッダは、ルータ1、2間での通信に用いられるもので
あるため、当該ヘッダは例えば受信側のルータ(ここで
は、ルータ1)により削除される。
【0021】また、本例のルータ1は、上記のようなV
PN機能によりインターネット3上に仮想的な専用線を
構成して通信を行う機能の他に、例えばPPP機能によ
りインターネット3と回線接続して通信を行う機能を有
している。
PN機能によりインターネット3上に仮想的な専用線を
構成して通信を行う機能の他に、例えばPPP機能によ
りインターネット3と回線接続して通信を行う機能を有
している。
【0022】また、上記図1に示されるように、本例の
ルータ1には、タイマ11や、回線遮断手段12や、キ
ー変更手段13が備えられており、これらについて説明
する。タイマ11は、時間を計時する機能を有してい
る。回線遮断手段12は、例えばルータ1が上記したP
PP機能によりインターネット3と回線接続したときに
(PPP接続時に)、タイマ11により計時される時間
を参照して、通信相手との無通信状態(通信が無い状
態)が所定の時間(以下で、自動遮断時間と言う)継続
したことを検出したことに応じて当該回線を自動的に遮
断する機能を有している。
ルータ1には、タイマ11や、回線遮断手段12や、キ
ー変更手段13が備えられており、これらについて説明
する。タイマ11は、時間を計時する機能を有してい
る。回線遮断手段12は、例えばルータ1が上記したP
PP機能によりインターネット3と回線接続したときに
(PPP接続時に)、タイマ11により計時される時間
を参照して、通信相手との無通信状態(通信が無い状
態)が所定の時間(以下で、自動遮断時間と言う)継続
したことを検出したことに応じて当該回線を自動的に遮
断する機能を有している。
【0023】ここで、上記したタイマ11や上記した回
線遮断手段12は、例えば従来のルータにおいても一般
に備えられており、本例では、以下に述べるように、こ
のようなタイマ11を利用して暗号化のキーを変更(更
新)する処理を実現する。すなわち、キー変更手段13
は、例えばルータ1が上記したVPN機能によりインタ
ーネット3上に仮想的な専用線を構成して通信を行うと
きに(VPN接続時に)、タイマ11により計時される
時間を参照して、所定の時間(以下で、キー更新時間と
言う)が計時される度毎に暗号通信に用いられる暗号キ
ーや復号キーを変更する機能を有している。
線遮断手段12は、例えば従来のルータにおいても一般
に備えられており、本例では、以下に述べるように、こ
のようなタイマ11を利用して暗号化のキーを変更(更
新)する処理を実現する。すなわち、キー変更手段13
は、例えばルータ1が上記したVPN機能によりインタ
ーネット3上に仮想的な専用線を構成して通信を行うと
きに(VPN接続時に)、タイマ11により計時される
時間を参照して、所定の時間(以下で、キー更新時間と
言う)が計時される度毎に暗号通信に用いられる暗号キ
ーや復号キーを変更する機能を有している。
【0024】なお、タイマ11に関する設定は例えばユ
ーザがルータ1のメニュー画面を見ながら行うことが可
能であり、上記した自動遮断時間や上記したキー更新時
間としては、例えばユーザにより任意に設定することが
可能である。また、本例では、自動遮断時間とキー更新
時間としては、同じ時間が設定されるとして説明する
が、例えばそれぞれ異なる時間が設定されてもよい。
ーザがルータ1のメニュー画面を見ながら行うことが可
能であり、上記した自動遮断時間や上記したキー更新時
間としては、例えばユーザにより任意に設定することが
可能である。また、本例では、自動遮断時間とキー更新
時間としては、同じ時間が設定されるとして説明する
が、例えばそれぞれ異なる時間が設定されてもよい。
【0025】また、上記した本例のキー変更手段13
は、例えば暗号通信に用いられるセッションキーを上記
した所定の時間毎に変更することにより、当該暗号通信
に用いられる暗号キーや復号キーを当該所定の時間毎に
変更することを実現する。ここで、セッションキーは例
えば暗号化データを復号化する際に必要となる乱数であ
り、この乱数の値が変更されると、この値に対応して暗
号キーや復号キーが変更される。
は、例えば暗号通信に用いられるセッションキーを上記
した所定の時間毎に変更することにより、当該暗号通信
に用いられる暗号キーや復号キーを当該所定の時間毎に
変更することを実現する。ここで、セッションキーは例
えば暗号化データを復号化する際に必要となる乱数であ
り、この乱数の値が変更されると、この値に対応して暗
号キーや復号キーが変更される。
【0026】なお、暗号通信に用いられる暗号化の方式
としては、特に限定はなく、例えば秘密鍵暗号方式や公
開鍵暗号方式を用いることができる。また、2つの装置
(本例では、2つのルータ1、2)の間で行われる暗号
通信のキーを変更する処理としては、例えば、送信側が
暗号キーを変更する際に当該暗号キーと対応した復号キ
ーに関する情報(本例では、セッションキー)を受信側
に通知し、受信側が送信側から通知された当該情報から
復号キーを取得する。このようにして、送信側と受信側
とで互いに対応した変更後のキー(送信側では変更後の
暗号キー、受信側では変更後の復号キー)を認識するこ
とにより、当該変更後のキーを用いた暗号通信を行うこ
とができる。
としては、特に限定はなく、例えば秘密鍵暗号方式や公
開鍵暗号方式を用いることができる。また、2つの装置
(本例では、2つのルータ1、2)の間で行われる暗号
通信のキーを変更する処理としては、例えば、送信側が
暗号キーを変更する際に当該暗号キーと対応した復号キ
ーに関する情報(本例では、セッションキー)を受信側
に通知し、受信側が送信側から通知された当該情報から
復号キーを取得する。このようにして、送信側と受信側
とで互いに対応した変更後のキー(送信側では変更後の
暗号キー、受信側では変更後の復号キー)を認識するこ
とにより、当該変更後のキーを用いた暗号通信を行うこ
とができる。
【0027】次に、本例のルータ1に備えられたキー変
更手段13により行われるセッションキー更新処理の手
順の一例を、図2を参照して説明する。すなわち、キー
変更手段13は、まず、ルータ1がVPN機能により仮
想的な専用線による回線接続を行っているか否かを判定
する(ステップS1)。ここで、ルータ1が例えばVP
N機能以外のPPP機能により回線接続を行っていると
判定された場合には、キー変更手段13は、例えば新た
なセッション(例えば新たな回線接続)が行われる度毎
にセッションキーを更新する処理を実行させる。
更手段13により行われるセッションキー更新処理の手
順の一例を、図2を参照して説明する。すなわち、キー
変更手段13は、まず、ルータ1がVPN機能により仮
想的な専用線による回線接続を行っているか否かを判定
する(ステップS1)。ここで、ルータ1が例えばVP
N機能以外のPPP機能により回線接続を行っていると
判定された場合には、キー変更手段13は、例えば新た
なセッション(例えば新たな回線接続)が行われる度毎
にセッションキーを更新する処理を実行させる。
【0028】一方、ルータ1が仮想的な専用線による回
線接続を行っていると判定された場合には、キー変更手
段13は、例えば自動遮断時間がユーザにより設定され
ているか否かを判定する(ステップS2)。ここで、例
えば自動遮断時間の設定が為されていないと判定された
場合には、キー変更手段13は、セッションキーの更新
を行わないこととする。
線接続を行っていると判定された場合には、キー変更手
段13は、例えば自動遮断時間がユーザにより設定され
ているか否かを判定する(ステップS2)。ここで、例
えば自動遮断時間の設定が為されていないと判定された
場合には、キー変更手段13は、セッションキーの更新
を行わないこととする。
【0029】一方、自動遮断時間の設定が為されている
と判定された場合には、キー変更手段13は、セッショ
ンキーを更新するために用いられるキー更新時間(本例
では、自動遮断時間と同じ時間としてある)を設定して
タイマ11を用いて当該キー更新時間を計時し(ステッ
プS3)、当該キー更新時間が計時される度毎(当該キ
ー更新時間のカウントがタイムアップする度毎)に(ス
テップS4)、セッションキーを更新して新たなセッシ
ョンキーに関する情報を通信相手となるルータ2との間
で交換する(ステップS5)。
と判定された場合には、キー変更手段13は、セッショ
ンキーを更新するために用いられるキー更新時間(本例
では、自動遮断時間と同じ時間としてある)を設定して
タイマ11を用いて当該キー更新時間を計時し(ステッ
プS3)、当該キー更新時間が計時される度毎(当該キ
ー更新時間のカウントがタイムアップする度毎)に(ス
テップS4)、セッションキーを更新して新たなセッシ
ョンキーに関する情報を通信相手となるルータ2との間
で交換する(ステップS5)。
【0030】なお、以上では一方のルータ1を代表させ
てその構成例や動作例を示したが、上述したように、他
方のルータ2の構成や動作についても同様である。ま
た、上記図1では図示を省略したが、他方のルータ2に
も一方のルータ1と同様なタイマや回線遮断手段やキー
変更手段が備えられている。
てその構成例や動作例を示したが、上述したように、他
方のルータ2の構成や動作についても同様である。ま
た、上記図1では図示を省略したが、他方のルータ2に
も一方のルータ1と同様なタイマや回線遮断手段やキー
変更手段が備えられている。
【0031】以上のように、本例のネットワーク通信シ
ステムに備えられたルータ1、2や、これら2つのルー
タ1、2の間で行われるネットワーク接続方法では、ル
ータ1、2がデータを暗号化してインターネット3を介
して通信することにより、インターネット3上に仮想的
な専用線を構成して、通信相手と通信を接続されるに際
して、ルータ1、2に備えられたタイマ11により時間
を計時して、所定の時間(キー更新時間)毎にセッショ
ンキーを変更することにより暗号化のキー(暗号キーや
復号キー)を変更することが行われる。なお、本例で
は、一方のルータ1の通信相手は他方のルータ2であ
り、他方のルータ2の通信相手は一方のルータ1であ
る。
ステムに備えられたルータ1、2や、これら2つのルー
タ1、2の間で行われるネットワーク接続方法では、ル
ータ1、2がデータを暗号化してインターネット3を介
して通信することにより、インターネット3上に仮想的
な専用線を構成して、通信相手と通信を接続されるに際
して、ルータ1、2に備えられたタイマ11により時間
を計時して、所定の時間(キー更新時間)毎にセッショ
ンキーを変更することにより暗号化のキー(暗号キーや
復号キー)を変更することが行われる。なお、本例で
は、一方のルータ1の通信相手は他方のルータ2であ
り、他方のルータ2の通信相手は一方のルータ1であ
る。
【0032】従って、本例のルータ1、2や本例のネッ
トワーク接続方法では、例えば新たな回線接続を伴う通
信が開始されるときに暗号キーや復号キーが変更される
(新たな暗号キーや復号キーが設定される)ばかりでな
く、例えばVPN機能により構成した仮想的な専用線の
接続中においても暗号キーや復号キーが所定の時間毎に
変更されるため、例えば当該専用線の接続中において暗
号キーや復号キーが第三者により不正に知られてしまっ
たような場合であっても、当該キーが所定の時間毎に変
更されることから、当該変更後において当該第三者によ
り通信が読み取られてしまうことを防止することがで
き、これにより、セキュリティを強化することができ
る。
トワーク接続方法では、例えば新たな回線接続を伴う通
信が開始されるときに暗号キーや復号キーが変更される
(新たな暗号キーや復号キーが設定される)ばかりでな
く、例えばVPN機能により構成した仮想的な専用線の
接続中においても暗号キーや復号キーが所定の時間毎に
変更されるため、例えば当該専用線の接続中において暗
号キーや復号キーが第三者により不正に知られてしまっ
たような場合であっても、当該キーが所定の時間毎に変
更されることから、当該変更後において当該第三者によ
り通信が読み取られてしまうことを防止することがで
き、これにより、セキュリティを強化することができ
る。
【0033】ここで、本例では、好ましい態様として、
公衆ネットワークとしてインターネット3を用いたが、
本発明は、他の公衆ネットワークに適用することも可能
なものである。また、暗号キーや復号キーを変更するた
めに用いられる所定の時間(キー更新時間)としては、
必ずしも一定の時間が設定されなくともよく、例えばラ
ンダムな時間(つまり、当該ランダムな時間が所定の時
間に相当する)毎等に暗号キーや復号キーを変更する構
成が用いられてもよい。
公衆ネットワークとしてインターネット3を用いたが、
本発明は、他の公衆ネットワークに適用することも可能
なものである。また、暗号キーや復号キーを変更するた
めに用いられる所定の時間(キー更新時間)としては、
必ずしも一定の時間が設定されなくともよく、例えばラ
ンダムな時間(つまり、当該ランダムな時間が所定の時
間に相当する)毎等に暗号キーや復号キーを変更する構
成が用いられてもよい。
【0034】また、本例では、好ましい態様として、例
えば自動的に回線を遮断するために用いられるタイマ1
1を備えたルータに本発明を適用して、当該タイマ11
を共用して暗号キーや復号キーの変更処理を行ったが、
本発明では、必ずしもこのようなタイマの共用が行われ
なくともよい。なお、例えば従来から用いられているル
ータに本発明を適用するような場合には、本発明に係る
キー変更処理を実行するための機能(例えば上記したキ
ー変更手段13等)をソフトウエアで構成して当該従来
のルータに適用することも可能である。
えば自動的に回線を遮断するために用いられるタイマ1
1を備えたルータに本発明を適用して、当該タイマ11
を共用して暗号キーや復号キーの変更処理を行ったが、
本発明では、必ずしもこのようなタイマの共用が行われ
なくともよい。なお、例えば従来から用いられているル
ータに本発明を適用するような場合には、本発明に係る
キー変更処理を実行するための機能(例えば上記したキ
ー変更手段13等)をソフトウエアで構成して当該従来
のルータに適用することも可能である。
【0035】また、本発明に係るネットワーク接続方法
や本発明に係るルータの構成としては、必ずしも以上に
示したものに限られず、種々な構成が用いられてもよ
い。一例として、本発明に係るネットワーク接続方法や
本発明に係るルータにより行われる暗号キーや復号キー
の変更処理等としては、例えばプロセッサやメモリ等を
備えたハードウエア資源においてプロセッサがROMに
格納された制御プログラムを実行することにより制御さ
れる構成であってもよく、また、例えば当該処理を実行
するための各機能手段が独立したハードウエア回路とし
て構成されてもよい。
や本発明に係るルータの構成としては、必ずしも以上に
示したものに限られず、種々な構成が用いられてもよ
い。一例として、本発明に係るネットワーク接続方法や
本発明に係るルータにより行われる暗号キーや復号キー
の変更処理等としては、例えばプロセッサやメモリ等を
備えたハードウエア資源においてプロセッサがROMに
格納された制御プログラムを実行することにより制御さ
れる構成であってもよく、また、例えば当該処理を実行
するための各機能手段が独立したハードウエア回路とし
て構成されてもよい。
【0036】また、本発明は上記の制御プログラムを格
納したフロッピーディスクやCD−ROM等のコンピュ
ータにより読み取り可能な記録媒体として把握すること
もでき、当該制御プログラムを記録媒体からコンピュー
タ(例えば本発明を適用するルータ)に入力してプロセ
ッサに実行させることにより、本発明に係る処理を遂行
させることができる。
納したフロッピーディスクやCD−ROM等のコンピュ
ータにより読み取り可能な記録媒体として把握すること
もでき、当該制御プログラムを記録媒体からコンピュー
タ(例えば本発明を適用するルータ)に入力してプロセ
ッサに実行させることにより、本発明に係る処理を遂行
させることができる。
【0037】
【発明の効果】以上説明したように、本発明に係るネッ
トワーク接続方法によると、ルータがデータを暗号化し
て公衆ネットワークを介して通信することにより、公衆
ネットワーク上に仮想的な専用線を構成して、通信相手
と通信を接続されるに際して、ルータにより計時される
所定の時間毎に暗号化のキーを変更するようにしたた
め、例えば仮想的な専用線の接続中におけるセキュリテ
ィを強化することができる。
トワーク接続方法によると、ルータがデータを暗号化し
て公衆ネットワークを介して通信することにより、公衆
ネットワーク上に仮想的な専用線を構成して、通信相手
と通信を接続されるに際して、ルータにより計時される
所定の時間毎に暗号化のキーを変更するようにしたた
め、例えば仮想的な専用線の接続中におけるセキュリテ
ィを強化することができる。
【0038】また、本発明に係るルータによると、暗号
化したデータを公衆ネットワークを介して通信すること
により、公衆ネットワーク上に仮想的な専用線を構成し
て、通信相手と通信を接続されるに際して、時間を計時
して所定の時間毎に暗号化のキーを変更するようにした
ため、上記した本発明に係るネットワーク接続方法と同
様に、例えば仮想的な専用線の接続中におけるセキュリ
ティを強化することができる。
化したデータを公衆ネットワークを介して通信すること
により、公衆ネットワーク上に仮想的な専用線を構成し
て、通信相手と通信を接続されるに際して、時間を計時
して所定の時間毎に暗号化のキーを変更するようにした
ため、上記した本発明に係るネットワーク接続方法と同
様に、例えば仮想的な専用線の接続中におけるセキュリ
ティを強化することができる。
【図1】本発明の一実施例に係るネットワーク通信シス
テムの一例を示す図である。
テムの一例を示す図である。
【図2】ルータにより行われるセッションキー更新処理
の手順の一例を示す図である。
の手順の一例を示す図である。
1、2・・ルータ、 3・・インターネット、 4、5
・・端末装置、11・・タイマ、 12・・回線遮断手
段、 13・・キー変更手段、
・・端末装置、11・・タイマ、 12・・回線遮断手
段、 13・・キー変更手段、
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GA31 HA10 KA17 KB11 KB13 KC29 KH02 KH30 MC06 5J104 AA01 AA34 BA02 DA00 EA24 JA03 NA03 PA07 5K030 GA15 HA08 HB15 HB18 HC01 HD03 HD05 LA07 LB15 LD19 LE11 9A001 CC02 EE03 HH34 JZ25 LL03
Claims (2)
- 【請求項1】 ルータがデータを暗号化して公衆ネット
ワークを介して通信することにより、公衆ネットワーク
上に仮想的な専用線を構成して、通信相手と通信を接続
されるネットワーク接続方法であって、 ルータにより計時される所定の時間毎に暗号化のキーを
変更することを特徴とするネットワーク接続方法。 - 【請求項2】 暗号化したデータを公衆ネットワークを
介して通信することにより、公衆ネットワーク上に仮想
的な専用線を構成して、通信相手と通信を接続されるル
ータであって、 時間を計時して所定の時間毎に暗号化のキーを変更する
ことを特徴とするルータ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000044149A JP2001237896A (ja) | 2000-02-22 | 2000-02-22 | ネットワーク接続方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000044149A JP2001237896A (ja) | 2000-02-22 | 2000-02-22 | ネットワーク接続方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001237896A true JP2001237896A (ja) | 2001-08-31 |
Family
ID=18566958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000044149A Pending JP2001237896A (ja) | 2000-02-22 | 2000-02-22 | ネットワーク接続方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001237896A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009013820A1 (ja) * | 2007-07-25 | 2009-01-29 | Fujitsu Limited | 共有鍵暗号化通信システム,送信装置,受信装置,共有鍵暗号化通信方法,および共有鍵暗号化通信プログラム |
-
2000
- 2000-02-22 JP JP2000044149A patent/JP2001237896A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009013820A1 (ja) * | 2007-07-25 | 2009-01-29 | Fujitsu Limited | 共有鍵暗号化通信システム,送信装置,受信装置,共有鍵暗号化通信方法,および共有鍵暗号化通信プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7231203B2 (en) | Method and software program product for mutual authentication in a communications network | |
| US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
| CN100568800C (zh) | 用于安全远程访问的系统和方法 | |
| US5825891A (en) | Key management for network communication | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| CN100591003C (zh) | 实现基于无状态服务器的预共享私密 | |
| EP1730651B1 (en) | Establishing a virtual private network for a road warrior | |
| CN1756234B (zh) | 服务器、vpn客户装置、vpn系统 | |
| US20070271606A1 (en) | Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN | |
| CN1842993B (zh) | 提供证书 | |
| US20020090089A1 (en) | Methods and apparatus for secure wireless networking | |
| EP1551149A2 (en) | Universal secure messaging for remote security tokens | |
| JP2003500923A (ja) | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 | |
| US8788821B2 (en) | Method and apparatus for securing communication between a mobile node and a network | |
| CN108769007A (zh) | 网关安全认证方法、服务器及网关 | |
| US20080133915A1 (en) | Communication apparatus and communication method | |
| CN1954580B (zh) | 管理对用于没有虚拟专用网客户端的便携设备的虚拟专用网的接入的方法和装置 | |
| JP2005286783A (ja) | 無線lan接続方法および無線lanクライアントソフトウェア | |
| WO2002043427A1 (en) | Ipsec connections for mobile wireless terminals | |
| JP2001237896A (ja) | ネットワーク接続方法 | |
| JP2004135134A (ja) | 無線通信用アダプタ | |
| US11171786B1 (en) | Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities | |
| JPH11243388A (ja) | 暗号通信システム | |
| JP2004147252A (ja) | 電子証明書およびその作成方法ならびに電子証明書による認証システム | |
| CN120856410A (zh) | 通信方法及装置 |