JP2001292135A - Key exchange system - Google Patents
Key exchange systemInfo
- Publication number
- JP2001292135A JP2001292135A JP2000106030A JP2000106030A JP2001292135A JP 2001292135 A JP2001292135 A JP 2001292135A JP 2000106030 A JP2000106030 A JP 2000106030A JP 2000106030 A JP2000106030 A JP 2000106030A JP 2001292135 A JP2001292135 A JP 2001292135A
- Authority
- JP
- Japan
- Prior art keywords
- gateway device
- communication terminal
- communication
- data
- lan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、複数の通信端末と
その複数の通信端末を接続したLANとそのLANをイ
ンターネットなどのWANに接続するゲートウェイ装置
とで構成され、しかもLAN内の各通信端末がDHCP
(Dynamic Host Con−figurat
ion Protocol)クライアントとしてネット
ワーク情報を要求し、ゲートウェイ装置がDHCPサー
バとして各通信端末にネットワーク情報を付与して一元
管理するLANシステムにおいて、LAN内通信の秘匿
性を確保してWANとの通信を行う鍵交換システムに関
するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention comprises a plurality of communication terminals, a LAN connecting the plurality of communication terminals, and a gateway device connecting the LAN to a WAN such as the Internet. Is DHCP
(Dynamic Host Con-figurat
ION Protocol) In a LAN system that requests network information as a client, and a gateway device assigns network information to each communication terminal as a DHCP server and performs centralized management, communication with the WAN is performed while ensuring confidentiality of intra-LAN communication. It relates to a key exchange system.
【0002】[0002]
【従来の技術】近年、インターネットの爆発的に普及に
伴い、企業のみならず家庭でもLANを構築する事例が
増えている。また、マンションなどの集合住宅でLAN
を構築し、各家庭の端末からLAN経由でインターネッ
トに接続するなど、これまでの企業で構築されてきたも
のとは性質の異なる形態のLANも登場している。こう
した形態の場合、インターネットへの接続性のみが重視
され、通常のLANで重要視される情報の共有は必要な
くなり、逆にLAN内でのネットワーク情報の秘匿化が
必要になる。また企業などで構築される既存のLANに
おいても、共有する情報とは別にLAN内の通信データ
を暗号化して安全性を確保する需要が高まっている。2. Description of the Related Art In recent years, with the explosive spread of the Internet, there have been increasing cases where LANs are constructed not only at companies but also at home. In addition, it is LAN in apartment houses
LANs with different characteristics from those constructed by companies up to now have appeared, for example, by connecting a terminal of each home to the Internet via a LAN. In such a case, only the connectivity to the Internet is emphasized, and it is not necessary to share information that is regarded as important in a normal LAN, and conversely, it is necessary to keep network information confidential in the LAN. Also in existing LANs constructed by companies and the like, there is an increasing demand to secure communication data by encrypting communication data in the LAN separately from shared information.
【0003】図1は、LAN内の通信データを暗号化し
て安全性を確保するための一般的な鍵交換システムを示
す構成図である。FIG. 1 is a block diagram showing a general key exchange system for encrypting communication data in a LAN to secure security.
【0004】図1において、101〜103は後述のL
AN105内の通信端末(例えばパソコン)、104は
LAN105と後述のWAN106との間に介在し、集
線・変換処理を行うゲートウェイ装置、105は通信端
末101〜103とゲートウェイ装置104とが接続さ
れたLAN、106はインターネットなどのWANであ
る。通信端末101〜103およびゲートウェイ装置1
04がLAN105に出力したパケットデータは、LA
N105内に接続された全ての端末、つまり通信端末1
01〜103とゲートウェイ装置104とが受信するこ
とになる。In FIG. 1, reference numerals 101 to 103 denote L to be described later.
A communication terminal (for example, a personal computer) 104 in the AN 105 is interposed between the LAN 105 and a WAN 106 to be described later, and is a gateway device for performing line consolidation / conversion processing. 105 is a LAN in which the communication terminals 101 to 103 and the gateway device 104 are connected. , 106 are WANs such as the Internet. Communication terminals 101 to 103 and gateway device 1
04 output to the LAN 105 is LA
All terminals connected in N105, that is, communication terminal 1
01 to 103 and the gateway device 104 will receive.
【0005】図2は、図1に示すゲートウェイ装置と通
信端末を詳細に示すブロック図である。FIG. 2 is a block diagram showing the gateway device and the communication terminal shown in FIG. 1 in detail.
【0006】図2において、201はLAN210及び
WAN209との間に介在して集線、変換処理を行うゲ
ートウェイ装置であり、ゲートウェイ装置201は、ネ
ットワークに接続するインタフェースとして、LAN2
10に接続するLAN物理接続部と、WAN209に接
続するWAN物理接続部203とを持ち、その接続の制
御をそれぞれLANコントローラ204とWANコント
ローラ205が行う。そして、ゲートウェイとしてのル
ーティング機能はルーティング処理部206が行うが、
そのためにはネットワーク情報テーブル208を参照・
登録する必要がある。このネットワーク情報テーブル2
08は記憶装置207の内部に構築される。211はL
AN210を介して接続される通信端末211であり、
通信端末11は、ネットワークに接続するインタフェー
スとして、LAN210と接続するLAN物理接続部2
12を持ち、LAN物理接続部212の接続はLANコ
ントローラ213により制御される。通信端末としての
機能は通信プロトコル処理部214が行うが、そのため
にはネットワーク情報テーブル216を参照・登録する
必要がある。このネットワーク情報テーブル216は記
憶装置215の内部に構築される。In FIG. 2, reference numeral 201 denotes a gateway device for performing line collection and conversion processing interposed between the LAN 210 and the WAN 209. The gateway device 201 serves as an interface for connecting to a network.
10 and a WAN physical connection unit 203 connected to the WAN 209, and the LAN controller 204 and the WAN controller 205 respectively control the connection. The routing function as a gateway is performed by the routing processing unit 206.
To do so, refer to the network information table 208.
You need to register. This network information table 2
08 is constructed inside the storage device 207. 211 is L
A communication terminal 211 connected via the AN 210;
The communication terminal 11 is a LAN physical connection unit 2 connected to the LAN 210 as an interface for connecting to the network.
The connection of the LAN physical connection unit 212 is controlled by a LAN controller 213. The function as the communication terminal is performed by the communication protocol processing unit 214. For that purpose, it is necessary to refer to and register the network information table 216. The network information table 216 is constructed inside the storage device 215.
【0007】次に、DHCP通信モデルについて図3を
参照しながら解説する。図3は通信端末としてのDHC
Pクライアント301とDHCPサーバ302との間の
通信手順を示すシーケンス図である。図3において、3
01はDHCPクライアント、302はDHCPサーバ
である。DHCPはライアント・サーバモデルの通信プ
ロトコルで、DHCPサーバ302がネットワーク内の
通信端末301のIPアドレスなどのネットワーク情報
を一元管理するためのメカニズムを提供する。一般的に
は、LAN上のDHCPサーバ302が、同一セグメン
ト内の通信端末301にIPアドレスなどのネットワー
ク情報を有効期限付きで付与する形で利用される。Next, the DHCP communication model will be described with reference to FIG. Figure 3 shows DHC as a communication terminal
FIG. 4 is a sequence diagram illustrating a communication procedure between a P client 301 and a DHCP server 302. In FIG. 3, 3
01 is a DHCP client, and 302 is a DHCP server. DHCP is a client-server model communication protocol and provides a mechanism for the DHCP server 302 to centrally manage network information such as the IP address of the communication terminal 301 in the network. Generally, the DHCP server 302 on the LAN is used in a form in which network information such as an IP address is provided with an expiration date to communication terminals 301 in the same segment.
【0008】図3において、まず、通信端末301は、
電源起動後にIPアドレス構築のため、LAN内の全端
末に向けてDHCPDISCOVERメッセージをブロ
ードキャスト(同報通信)する(S1)。DHCPDI
SCOVERメッセージを受信したネットワーク内のD
HCPサーバ302は、要求された構成情報をDHCP
OFFERメッセージにより通知する(S2)。ネット
ワーク上に複数のDHCPサーバが存在する場合、その
全てがDHCPOFFERメッセージを送信し、DHC
Pクライアント301は複数のDHCPOFFERメッ
セージを受信することになる。In FIG. 3, first, the communication terminal 301
After power-on, a DHCPDISCOVER message is broadcast (broadcast) to all terminals in the LAN to construct an IP address (S1). DHCPDI
D in the network that received the SCOVER message
The DHCP server 302 sends the requested configuration information to the DHCP server.
Notification is made by an OFFER message (S2). If there are multiple DHCP servers on the network, all of them send DHCPOFFER message and DHCP
The P client 301 will receive a plurality of DHCPOFFER messages.
【0009】DHCPOFFERメッセージを受信した
DHCPクライアント301は、複数のDHCPサーバ
からメッセージを受信した場合は図3ではDHCPサー
バ302を選択し、選択したDHCPサーバ302にD
HCPREQUESTメッセージを送信し、IPアドレ
ス他のネットワーク情報を要求する(S3)。対するD
HCPサーバ302は、DHCPクライアント301か
らの要求が妥当でそれに応えられる場合は、DHCPA
CKメッセージをDHCPクライアント301に送信
し、IPアドレスを含むネットワーク情報を付与し、D
HCPクライアント301はIP通信が可能になる(S
4)。また、この時ネットワーク情報の有効期限も設定
される。DHCPクライアント301は、この有効期限
内(DHCPの初期設定では有効期間の50%の時間が
経過した時点)にDHCPサーバ302にIPアドレス
延長申請としてDHCPREQUESTメッセージを送
信し(S5)、DHCPサーバ302はこれに対して返
信することで(S6)、ネットワーク情報の更新・有効
期限延長が行われる。[0009] When the DHCP client 301 receives the DHCPOFFER message and receives messages from a plurality of DHCP servers, it selects the DHCP server 302 in FIG.
An HCP REQUEST message is transmitted to request network information such as an IP address (S3). D for
If the request from the DHCP client 301 is valid and can be fulfilled, the DHCP server 302
A CK message is transmitted to the DHCP client 301, network information including an IP address is added,
The HCP client 301 can perform IP communication (S
4). At this time, the expiration date of the network information is also set. The DHCP client 301 transmits a DHCP REQUEST message as an IP address extension request to the DHCP server 302 within the validity period (at the time when 50% of the validity period has elapsed in the initial setting of DHCP) (S5), and the DHCP server 302 By replying to this (S6), the network information is updated and the expiration date is extended.
【0010】次に、通信データの暗号化等で安全性を確
保する既存のセキュリティ・プロトコルについて解説す
る。既存のセキュリティ・プロトコルとして代表的なも
のにIPsec(Security for Inte
rnet Protocol)やPGP(Pretty
Good Privacy)などが存在するが、前者
はパケットにおけるIP層以降の暗号化/認証を提供す
るもので、主にゲートウェイ装置に実装され、WAN上
におけるVPN確立に利用されている。暗号鍵の管理
は、手動鍵管理方式と自動鍵管理方式がある。自動鍵管
理方式を実現するためには、IKE(Internet
Key Exchange)というIPsec本体と
は別にプロトコルを実装しなければならない。後者PG
Pは電子メールの暗号化のみに用いられる。電子メール
の暗号化/復号化には公開鍵暗号方式が用いられる。こ
れは利用者が予め自分の公開鍵を鍵サーバに登録してお
く。メールの送信者は鍵サーバから送り先の相手の公開
鍵を取得し、それを用いてメール内容を暗号化し、送信
する。メールの受信者は自分が所有する秘密鍵を用いて
暗号化されたメールを復号化する。Next, an existing security protocol for ensuring security by encrypting communication data will be described. A typical existing security protocol is IPsec (Security for Inte
rnet Protocol) or PGP (Pretty
Good Privacy) and the like, which provide encryption / authentication at the IP layer and later in the packet, are mainly mounted on the gateway device, and are used for establishing a VPN on the WAN. The management of the encryption key includes a manual key management method and an automatic key management method. To realize the automatic key management method, IKE (Internet
A protocol must be implemented separately from the IPsec main body called Key Exchange. Latter PG
P is used only for e-mail encryption. A public key encryption method is used for encrypting / decrypting an electronic mail. In this method, a user registers his / her public key in a key server in advance. The sender of the mail obtains the public key of the other party from the key server, encrypts the contents of the mail using the public key, and transmits the encrypted mail. The recipient of the mail decrypts the encrypted mail using his / her private key.
【0011】[0011]
【発明が解決しようとする課題】しかしながら、上記従
来の鍵交換システムでは、LAN内の通信のみを秘匿化
することを目的にした通信プロトコルがなく、また2点
間で通信データの暗号化/復号化を行う鍵データを共有
させることが必要になるが、手動で2点間の鍵データを
設定するのは非常に非効率的であるし、自動的に鍵デー
タを共有させるためにも、鍵データ交換を行う通信プロ
トコルの実装、もしくはそれをサポートした製品の購入
が必要となる。However, in the above-mentioned conventional key exchange system, there is no communication protocol aimed at concealing only communication within the LAN, and encryption / decryption of communication data is performed between two points. It is necessary to share key data to be encrypted, but it is very inefficient to manually set key data between two points, and to automatically share key data, It is necessary to implement a communication protocol to exchange data or purchase a product that supports it.
【0012】この鍵交換システムでは、既存の通信プロ
トコルを利用して、LAN上の複数台の通信端末とゲー
トウェイ装置とがそれぞれ別個に簡易に鍵データを交換
することにより、暗号鍵データを共有することが要求さ
れている。In this key exchange system, a plurality of communication terminals on the LAN and the gateway device exchange key data separately and easily using the existing communication protocol, thereby sharing encryption key data. Is required.
【0013】本発明は、この要求を満たすため、既存の
通信プロトコルを利用して、LAN上の複数台の通信端
末とゲートウェイ装置とがそれぞれ別個に簡易に鍵デー
タを交換することにより、暗号鍵データを共有すること
ができる鍵交換システムを提供することを目的とする。According to the present invention, in order to satisfy this demand, a plurality of communication terminals on a LAN and a gateway device exchange key data separately and easily using an existing communication protocol, thereby providing an encryption key. An object is to provide a key exchange system that can share data.
【0014】[0014]
【課題を解決するための手段】この課題を解決するため
に本発明の鍵交換システムは、LANに接続された複数
の通信端末と、LANおよびWANに接続され集線・変
換処理を行うDHCPサーバとしてのゲートウェイ装置
とを有する鍵交換システムであって、通信端末は、起動
時にネットワーク情報を取得するためにゲートウェイ装
置との間で行うDHCP通信時に、鍵データも同時に交
換する構成を備えている。In order to solve this problem, a key exchange system according to the present invention comprises a plurality of communication terminals connected to a LAN and a DHCP server connected to the LAN and the WAN to perform a line consolidation / conversion process. A key exchange system having a gateway device, wherein the communication terminal is configured to simultaneously exchange key data at the time of DHCP communication performed with the gateway device to acquire network information at the time of startup.
【0015】この構成により、既存の通信プロトコルを
利用して、LAN上の複数台の通信端末とゲートウェイ
装置とがそれぞれ別個に簡易に鍵データを交換すること
により、暗号鍵データを共有することができる鍵交換シ
ステムが得られる。According to this configuration, the plurality of communication terminals on the LAN and the gateway device can easily and separately exchange key data using the existing communication protocol, thereby sharing the encryption key data. A key exchange system that can be obtained is obtained.
【0016】[0016]
【発明の実施の形態】本発明の請求項1に記載の鍵交換
システムは、LANに接続された複数の通信端末と、L
ANおよびWANに接続され集線・変換処理を行うDH
CPサーバとしてのゲートウェイ装置とを有する鍵交換
システムであって、通信端末は、起動時にネットワーク
情報を取得するためにゲートウェイ装置との間で行うD
HCP通信時に、鍵データも同時に交換することとした
ものである。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A key exchange system according to a first aspect of the present invention comprises: a plurality of communication terminals connected to a LAN;
DH connected to AN and WAN to perform line consolidation and conversion processing
A key exchange system having a gateway device as a CP server, wherein a communication terminal performs a communication with the gateway device to acquire network information at startup.
At the time of HCP communication, key data is also exchanged at the same time.
【0017】この構成により、ゲートウェイ装置と各通
信端末との間でそれぞれ別個に、2点間で共有鍵暗号方
式によって通信データの暗号化/復号化を行う際に使用
できる鍵データが簡易に共有されるという作用を有す
る。[0017] With this configuration, the key data which can be used when encrypting / decrypting communication data between the two points by the shared key cryptosystem can be easily shared between the gateway device and each communication terminal. It has the effect of being done.
【0018】請求項2に記載の鍵交換システムは、請求
項1に記載の鍵交換システムにおいて、通信端末は、付
与されたネットワーク情報の有効期限切れまでにゲート
ウェイ装置に対して行うネットワーク情報の延長申請要
求から始まるDHCP通信時に、以前交換した共有鍵デ
ータを廃棄し、新たに鍵データを交換して共有鍵データ
を更新することとしたものである。According to a second aspect of the present invention, there is provided the key exchange system according to the first aspect, wherein the communication terminal requests the gateway device to extend the network information by the expiration of the assigned network information. At the time of DHCP communication starting from a request, the shared key data exchanged previously is discarded, and the shared key data is updated by newly exchanging the key data.
【0019】この構成により、LAN内部で定期的に行
われるDHCPセッションと鍵データ交換手順を同期さ
せ、LAN内の各通信端末とゲートウェイ装置で共有す
る暗号鍵データの定期的な更新を確立し、暗号鍵データ
の安全性を向上させるという作用を有する。According to this configuration, the DHCP session periodically performed inside the LAN and the key data exchange procedure are synchronized, and the periodic update of the encryption key data shared by each communication terminal and the gateway device in the LAN is established. This has the effect of improving the security of the encryption key data.
【0020】請求項3に記載の鍵交換システムは、LA
Nに接続された複数の通信端末と、LANおよびWAN
に接続され集線・変換処理を行うDHCPサーバとして
のゲートウェイ装置とを有する鍵交換システムであっ
て、通信端末は、ゲートウェイ装置を介してWANに送
信されるデータについてのみ暗号鍵データで通信データ
を暗号化してLANに送信し、ゲートウェイ装置は、送
信元の通信端末と共有する暗号鍵データを使用して通信
データを復号化してWANに送信することとしたもので
ある。[0020] The key exchange system according to claim 3 is an LA system.
N, a plurality of communication terminals, a LAN and a WAN
And a gateway device as a DHCP server connected to the gateway and performing a line collection / conversion process, wherein the communication terminal encrypts communication data with encryption key data only for data transmitted to the WAN via the gateway device. The gateway device decrypts the communication data using the encryption key data shared with the communication terminal of the transmission source and transmits the decrypted communication data to the WAN.
【0021】この構成により、WANへの送信性を損な
うことなくLAN内の通信のみを暗号化して秘匿化が実
現されるという作用を有する。This configuration has an effect that only communication within the LAN is encrypted and concealment is realized without impairing the transmission to the WAN.
【0022】請求項4に記載の鍵交換システムは、請求
項3に記載の鍵交換システムにおいて、ゲートウェイ装
置は、WANからLAN内の宛先通信端末へのパケット
を受信し、宛先通信端末と共有する暗号鍵データで通信
データを暗号化してLANに出力し、宛先通信端末は、
ゲートウェイ装置との間で共有する暗号鍵データを使用
して復号化することとしたものである。According to a fourth aspect of the present invention, in the key exchange system according to the third aspect, the gateway device receives a packet from the WAN to the destination communication terminal in the LAN and shares the packet with the destination communication terminal. The communication data is encrypted with the encryption key data and output to the LAN, and the destination communication terminal
The decryption is performed using the encryption key data shared with the gateway device.
【0023】この構成により、WANからの受信性を損
なうことなくLAN内の通信のみを暗号化して秘匿化が
実現されるという作用を有する。This configuration has the effect that only communications within the LAN are encrypted and concealment is realized without impairing the receivability from the WAN.
【0024】以下、本発明の実施の形態について図1〜
図10を用いて説明する。Hereinafter, an embodiment of the present invention will be described with reference to FIGS.
This will be described with reference to FIG.
【0025】(実施の形態1)本発明の実施の形態1に
よる鍵交換システムの構成は図1、図2と同様であるの
で、その説明は省略する。本実施の形態と従来の技術と
が異なるところは、ゲートウェイ装置としてのDHCP
サーバとパソコン等の通信端末(DHCPクライアン
ト)の機能、動作等に関する点である。(Embodiment 1) The configuration of a key exchange system according to Embodiment 1 of the present invention is the same as that shown in FIGS. 1 and 2, and a description thereof will be omitted. The difference between this embodiment and the conventional technology is that DHCP as a gateway device is used.
This is related to the functions and operations of the server and a communication terminal (DHCP client) such as a personal computer.
【0026】このような構成の鍵交換システムについ
て、図1、図3〜図8を用いて説明する。図4(a)、
(b)はDHCP通信によって付与されるデータの詳細
を示すデータ図であり、図4(a)はDHCPデータ構
造の詳細を示し、図4(b)はDHCPサーバから付与
される主なネットワーク情報の項目を示す。また、図5
はDiffie−Hellman方式による鍵交換の説
明図であり、図6は一方の通信端末Aの動作を示すフロ
ーチャート、図7は他方の通信端末Bの動作を示すフロ
ーチャート、図8はDHCPクライアントとしての通信
端末とDHCPサーバとしてのゲートウェイ装置との間
の通信シーケンスを示すシーケンス図である。図8にお
いて、601はDHCPクライアントとなる通信端末、
602はDHCPサーバとなるゲートウェイ装置であ
る。The key exchange system having such a configuration will be described with reference to FIGS. 1, 3 to 8. FIG. 4 (a),
FIG. 4B is a data diagram showing details of data provided by the DHCP communication. FIG. 4A shows details of the DHCP data structure, and FIG. 4B shows main network information provided from the DHCP server. Are shown. FIG.
6 is an explanatory diagram of key exchange by the Diffie-Hellman method, FIG. 6 is a flowchart showing an operation of one communication terminal A, FIG. 7 is a flowchart showing an operation of the other communication terminal B, and FIG. 8 is a communication as a DHCP client. FIG. 3 is a sequence diagram showing a communication sequence between a terminal and a gateway device as a DHCP server. In FIG. 8, reference numeral 601 denotes a communication terminal serving as a DHCP client;
Reference numeral 602 denotes a gateway device serving as a DHCP server.
【0027】図1において、LAN105に接続する通
信端末101〜103は、起動時に図4(b)に列挙し
たネットワーク情報を取得するために、DHCPサーバ
であるゲートウェイ装置104とDHCP通信を行う。
この際に同時に、図4(a)のDHCPメッセージにお
けるオプションフィールド(オプション部)を利用し、
Diffie−Hellman(ディッフィー・ヘルマ
ン)の鍵交換方式によって、通信端末101〜103と
ゲートウェイ装置104との間で個別に暗号鍵を共有す
る。In FIG. 1, the communication terminals 101 to 103 connected to the LAN 105 perform DHCP communication with the gateway device 104 as a DHCP server in order to obtain the network information listed in FIG.
At this time, at the same time, the option field (option part) in the DHCP message of FIG.
The encryption keys are individually shared between the communication terminals 101 to 103 and the gateway device 104 according to the Diffie-Hellman (Diffy-Hellman) key exchange method.
【0028】図5において、A、BはDiffie−H
ellman方式を用いて鍵交換を行う通信端末で、ま
ず鍵交換を始める前に、通信端末A、B間であらかじめ
素数であるpと、1<α<pとなる適当な整数αを決め
ておく必要がある。pとαはA、B以外の第三者に知ら
れてもよい。次に、通信端末Aは適当な正の整数Xaを
選び、図6に示すように(数1)を計算し(S11)、
鍵データYaをBに送信する(S12)(なお、mod
とは割り算の剰余の表現のことであり、例えば17mo
d 7とは17を7で割った余りのことである)。In FIG. 5, A and B are Diffie-H.
In a communication terminal that performs key exchange using the ellman method, first, before starting key exchange, a prime number p and an appropriate integer α satisfying 1 <α <p are determined in advance between communication terminals A and B. There is a need. p and α may be known to a third party other than A and B. Next, the communication terminal A selects an appropriate positive integer Xa and calculates (Equation 1) as shown in FIG. 6 (S11),
The key data Ya is transmitted to B (S12) (mod
Is the expression of the remainder of the division, for example, 17mo
d 7 is the remainder of dividing 17 by 7).
【0029】[0029]
【数1】 (Equation 1)
【0030】この時、通信端末A以外の他者にXaを知
られてはいけない(Xaは秘密鍵といわれる)。同様に
通信端末Bは適当な正の整数Xbを選び、図7に示すよ
うに(数2)を計算し(S21)、鍵データYbをAに
送信する(S22)。At this time, Xa must not be known to anyone other than the communication terminal A (Xa is called a secret key). Similarly, the communication terminal B selects an appropriate positive integer Xb, calculates (Equation 2) as shown in FIG. 7 (S21), and transmits the key data Yb to A (S22).
【0031】[0031]
【数2】 (Equation 2)
【0032】Xaと同様にXbも通信端末B以外の他者
に知られてはならない(Xbは秘密鍵データといわれ
る)。通信端末Aは、通信端末Bから受信したYbを使
用して、(数3)を計算し(S13)、共有鍵データK
abを求めることができる。Like Xa, Xb must not be known to anyone other than the communication terminal B (Xb is called secret key data). Communication terminal A calculates (Equation 3) using Yb received from communication terminal B (S13), and generates shared key data K
ab can be determined.
【0033】[0033]
【数3】 (Equation 3)
【0034】また通信端末Bも、(数4)を計算するこ
とで同様に共有鍵データKabを求めることができる
(S23)。The communication terminal B can also obtain the shared key data Kab by calculating (Equation 4) (S23).
【0035】[0035]
【数4】 (Equation 4)
【0036】次に、DHCP通信とDiffie−He
llman方式とを組み合わせた鍵交換システムについ
て図8で説明する。Next, the DHCP communication and the Diffie-He
A key exchange system combining the llman method will be described with reference to FIG.
【0037】DHCPクライアント601は起動時、I
Pアドレスなどのネットワーク情報を取得するため、D
HCPDISCOVERメッセージをLAN内にブロー
ドキャストする(S31)。DHCPDISCOVER
メッセージを受信したDHCPサーバ602は、素数p
と1<α<pとなる適当な正の整数αを決定し、DHC
Pデータ構造におけるオプション部(図4(a)参照)
に格納し、DHCPOFFERメッセージとして返信す
る(S32)。p、αは第三者に知られてもよい情報な
ので、平文(DHCP通信における通常の文章データ)
のまま通信路にのせても問題ない。When the DHCP client 601 starts up,
To obtain network information such as P address,
The HCPDISCOVER message is broadcast in the LAN (S31). DHCPDISCOVER
The DHCP server 602 that has received the message sends a prime p
And an appropriate positive integer α that satisfies 1 <α <p.
Optional part in P data structure (see Fig. 4 (a))
And reply as a DHCPOFFER message (S32). Since p and α are information that may be known to a third party, plain text (normal text data in DHCP communication)
There is no problem if it is put on the communication path as it is.
【0038】DHCPOFFERメッセージを受信した
DHCPクライアント601は、pとαを受信する。も
しLAN内に複数のDHCPサーバが存在していても、
DHCPデータのオプション部にpとαが格納されてい
るかどうかでDHCPサーバを選択可能である。通信端
末601は適当な正の整数である秘密鍵データXaを決
定し、鍵データYaを算出する。The DHCP client 601 having received the DHCPOFFER message receives p and α. Even if there are multiple DHCP servers in the LAN,
The DHCP server can be selected depending on whether p and α are stored in the option part of the DHCP data. The communication terminal 601 determines the secret key data Xa, which is an appropriate positive integer, and calculates the key data Ya.
【0039】また同様にゲートウェイ装置502も、適
当な正の整数である秘密鍵データXbを決定し、鍵デー
タYbを算出する。DHCPサーバを決定したDHCP
クライアント601は、DHCPREQUESTメッセ
ージを送信し(S33)、ネットワーク情報をDHCP
サーバ602に要求するが、このときDHCPデータの
オプション部に独自に算出したYaを格納しておく。Similarly, the gateway device 502 also determines the secret key data Xb, which is an appropriate positive integer, and calculates the key data Yb. DHCP which decided DHCP server
The client 601 transmits a DHCPREQUEST message (S33), and transmits network information to the DHCP
A request is made to the server 602. At this time, Ya uniquely calculated is stored in the option part of the DHCP data.
【0040】DHCPREQUESTメッセージを受信
したDHCPサーバ602は、通信端末601に付与す
るネットワーク情報をDHCPACKメッセージに格納
し、返信する(S34)。このとき独自に算出しておい
たYbもDHCPデータのオプション部に格納してお
く。ここに至ってDHCPクライアント601、DHC
Pサーバ602の両者とも共有鍵データKabを算出可
能であり、通信端末601とゲートウェイ装置602と
の間で、通信データの暗号化/復号化を行う鍵データを
安全に交換・共有できたことになる。The DHCP server 602, which has received the DHCPREQUEST message, stores the network information to be provided to the communication terminal 601 in the DHCPACK message and returns it (S34). At this time, the independently calculated Yb is also stored in the option section of the DHCP data. Here comes the DHCP client 601, DHCP
Both the P server 602 can calculate the shared key data Kab, and the communication terminal 601 and the gateway device 602 can safely exchange and share the key data for encrypting / decrypting the communication data. Become.
【0041】以上のように本実施の形態では、通信端末
601は、起動時にネットワーク情報を取得するために
ゲートウェイ装置602との間で行うDHCP通信時
に、鍵データYa、Ybも同時に交換するようにしたこ
とにより、ゲートウェイ装置602と各通信端末601
との間でそれぞれ別個に、2点間で共有鍵暗号方式によ
って通信データの暗号化/復号化を行う際に使用できる
鍵を簡易に共有することができる。As described above, in the present embodiment, the communication terminal 601 exchanges the key data Ya and Yb at the same time during the DHCP communication with the gateway device 602 to acquire the network information at the time of startup. As a result, the gateway device 602 and each communication terminal 601
Separately, a key which can be used when encrypting / decrypting communication data between two points by a shared key encryption method can be easily shared.
【0042】(実施の形態2)本発明の実施の形態2に
よる鍵交換システムの構成は図1、図2と同様であるの
で、その説明は省略する。本実施の形態と従来の技術と
が異なるところは、ゲートウェイ装置としてのDHCP
サーバとパソコン等の通信端末の機能、動作等に関する
点である。(Embodiment 2) The configuration of a key exchange system according to Embodiment 2 of the present invention is the same as that shown in FIGS. 1 and 2, and a description thereof will be omitted. The difference between this embodiment and the conventional technology is that DHCP as a gateway device is used.
This is related to the functions and operations of the communication terminal such as the server and the personal computer.
【0043】このような構成の鍵交換システムについ
て、図1、図4、図8を用いて説明する。The key exchange system having such a configuration will be described with reference to FIGS. 1, 4 and 8.
【0044】図4(b)に示すように、DHCP通信に
よって付与されるデータには、IPアドレスやネットマ
スクの他に、付与したネットワーク情報の有効期限(貸
し出し有効期限)というものがあり、DHCPクライア
ントは付与された有効期限内(初期設定では有効期限の
50%)にDHCPサーバと通信し、ネットワーク情報
の再取得を行う。図3に示すように、ネットワーク情報
の再取得は、DHCPDISCOVER、DHCPOF
FERメッセージの送受信は必要なく、DHCPREQ
UEST、DHCPACKメッセージの送受信のみで行
われる(ステップS5、S6参照)。ネットワーク情報
の再取得に関しては、IPアドレスなど以前取得した情
報を基本的にはできる限りそのまま保持する形で行われ
るが、共有鍵データはネットワーク情報再取得の際に内
容を更新するようにして、共有鍵データの安全性を高め
る。As shown in FIG. 4B, in addition to the IP address and the netmask, the data provided by the DHCP communication includes an expiration date (lending expiration date) of the assigned network information. The client communicates with the DHCP server within the assigned expiration date (in the initial setting, 50% of the expiration date) and reacquires network information. As shown in FIG. 3, network information reacquisition is performed by DHCPDISCOVER and DHCPPOF.
No need to send and receive FER messages, DHCPREQ
It is performed only by transmitting and receiving the UEST and the DHCPACK message (see steps S5 and S6). Regarding the re-acquisition of network information, the previously acquired information such as the IP address is basically kept as much as possible, but the content of the shared key data is updated when the network information is re-acquired. Increase the security of shared key data.
【0045】このような共有鍵データの更新について、
ネットワーク情報再取得時の鍵情報更新手順を示す図8
を用いて説明する。Regarding such update of the shared key data,
FIG. 8 showing a key information update procedure at the time of reacquisition of network information
This will be described with reference to FIG.
【0046】図8に示すように、ネットワーク再取得の
トリガがDHCPクライアント601にかかると、以前
使用した秘密鍵データXaを廃棄し、新たに正の整数で
ある秘密鍵データXaを再設定し、鍵データYaを算出
する。そして、DHCPサーバ602に対してDHCP
REQUESTメッセージを送信する(S35)。この
際、DHCPデータのオプション部に再計算した鍵デー
タYaを格納しておく。DHCPクライアント601か
らのDHCPREQUESTメッセージを受信したDH
CPサーバ602は、以前使用した秘密鍵データXbを
廃棄し、新たに正の整数である秘密鍵データXbを再設
定し、鍵データYbを算出する。そして、DHCPクラ
イアント601に対してネットワーク情報を付与するD
HCPACKメッセージを送信するが(S36)、DH
CPデータのオプション部に鍵データYbを格納してお
く。ここに至ってDHCPクライアント(通信端末)6
01、DHCPサーバ(ゲートウェイ装置)602の両
者とも新しい共有鍵データKabを算出可能であり、通
信端末601とゲートウェイ装置602の間で通信デー
タの暗号化/復号化を行う鍵を更新できたことになる。As shown in FIG. 8, when the DHCP client 601 triggers the network reacquisition, the previously used secret key data Xa is discarded, and the secret key data Xa which is a positive integer is newly set. The key data Ya is calculated. Then, the DHCP server 602
A REQUEST message is transmitted (S35). At this time, the recalculated key data Ya is stored in the option part of the DHCP data. DH that has received the DHCPREQUEST message from DHCP client 601
The CP server 602 discards the previously used secret key data Xb, resets the secret key data Xb as a new positive integer, and calculates the key data Yb. Then, D for giving network information to the DHCP client 601
An HCCP ACK message is transmitted (S36), but DH
The key data Yb is stored in the option part of the CP data. Here is the DHCP client (communication terminal) 6
01, both the DHCP server (gateway device) 602 can calculate new shared key data Kab, and can update the key for encrypting / decrypting communication data between the communication terminal 601 and the gateway device 602. Become.
【0047】以上のように本実施の形態では、通信端末
601は、付与されたネットワーク情報の有効期限切れ
までにゲートウェイ装置602に対して行うネットワー
ク情報の延長申請要求から始まるDHCP通信時に、以
前交換した共有鍵データを廃棄し、新たに鍵データを交
換して共有鍵データを更新するようにしたことにより、
LAN内部で定期的に行われるDHCPセッションと鍵
交換手順を同期させ、LAN内の各通信端末601とゲ
ートウェイ装置602で共有する暗号鍵データの定期的
な更新を確立して、暗号鍵データの安全性を向上させる
ことができる。As described above, in the present embodiment, the communication terminal 601 has exchanged the previously exchanged data at the time of the DHCP communication starting from the network information extension application request to the gateway device 602 by the expiration of the assigned network information expiration date. By discarding the shared key data and exchanging new key data to update the shared key data,
Synchronize the key exchange procedure with the DHCP session that is periodically performed inside the LAN, establish the periodic update of the encryption key data shared by each communication terminal 601 and the gateway device 602 in the LAN, and secure the encryption key data. Performance can be improved.
【0048】(実施の形態3)本発明の実施の形態3に
よる鍵交換システムの構成は図1、図2と同様であるの
で、その説明は省略する。本実施の形態と従来の技術と
が異なるところは、ゲートウェイ装置としてのDHCP
サーバとパソコン等の通信端末の機能、動作等に関する
点である。(Embodiment 3) The configuration of a key exchange system according to Embodiment 3 of the present invention is the same as that shown in FIGS. 1 and 2, and a description thereof will be omitted. The difference between this embodiment and the conventional technology is that DHCP as a gateway device is used.
This is related to the functions and operations of the communication terminal such as the server and the personal computer.
【0049】このような構成の鍵交換システムについ
て、図9、図10を用いて説明する。図9はLAN内に
おける暗号化通信のイメージ図であり、図10(a)は
通信端末701が保持するネットワーク情報と鍵情報の
管理テーブルを示すテーブル図、図10(b)はゲート
ウェイ装置704が保持するネットワーク情報と鍵情報
の管理テーブルを示すテーブル図である。A key exchange system having such a configuration will be described with reference to FIGS. FIG. 9 is an image diagram of the encrypted communication in the LAN. FIG. 10A is a table diagram showing a management table of network information and key information held by the communication terminal 701, and FIG. 10B is held by the gateway device 704. FIG. 4 is a table diagram showing a management table of network information and key information to be executed.
【0050】図9において、701〜703は後述のL
AN709内の通信端末、704はゲートウェイ装置、
705はインターネットなどのWAN、706、70
7、708はゲートウェイ装置704と通信端末70
1、通信端末702、通信端末703との間で暗号鍵デ
ータ(それぞれK1、K2、K3)を共有することで構
築されるVPN、709はLANである。In FIG. 9, reference numerals 701 to 703 denote L, which will be described later.
A communication terminal in the AN 709, a gateway device 704,
705 is a WAN such as the Internet, 706, 70
7 and 708, the gateway device 704 and the communication terminal 70
1. VPN constructed by sharing the encryption key data (K1, K2, K3, respectively) between the communication terminal 702 and the communication terminal 703, and 709 is a LAN.
【0051】図9において、通信端末701がWAN7
05に向けてパケットを送信する場合、ゲートウェイ装
置704がパケットを中継(ルーティング)する。通信
端末701は、保持するネットワーク情報と鍵情報の管
理テーブルをみると、ゲートウェイ装置704との間で
暗号鍵データK1を共有しているので、暗号鍵データK
1を用いてパケットを暗号化し、LAN709上に送信
する。通信端末701からゲートウェイ装置704への
パケットはLAN709に接続する全端末が受信可能で
あるが、通信端末701とゲートウェイ装置704の2
点間のみで共有される暗号鍵データK1で暗号化されて
いるため、通信端末701とゲートウェイ装置704と
の間で構築されたVPN706上を流れているものとみ
なすことが可能である。暗号化済みパケットを受信した
ゲートウェイ装置704は、パケットの送信元MACア
ドレスを保持するネットワーク情報と鍵情報の管理テー
ブルで検索し、暗号鍵データK1により暗号化されてい
ることが分かるので、共有暗号鍵データK1でパケット
を復号化し、WAN705にパケットを送信する。In FIG. 9, the communication terminal 701 is connected to the WAN 7
When transmitting a packet to the network 05, the gateway device 704 relays (routes) the packet. Looking at the management table of the network information and the key information held by the communication terminal 701, the communication terminal 701 shares the encryption key data K1 with the gateway device 704.
1 to encrypt the packet and transmit it over the LAN 709. A packet from the communication terminal 701 to the gateway device 704 can be received by all terminals connected to the LAN 709, but two packets of the communication terminal 701 and the gateway device 704 can be received.
Since the data is encrypted with the encryption key data K1 shared only between the points, it can be regarded as flowing on the VPN 706 constructed between the communication terminal 701 and the gateway device 704. The gateway device 704, which has received the encrypted packet, searches the management table of the network information and the key information holding the source MAC address of the packet, and finds that the packet is encrypted by the encryption key data K1. The packet is decrypted with the key data K1, and the packet is transmitted to the WAN 705.
【0052】また、逆にWAN705からLAN709
内の通信端末701宛てのパケットをゲートウェイ装置
704が受信した場合、宛先のIPアドレスと保持する
ネットワーク情報、鍵情報管理テーブルで検索し、宛先
が通信端末701であることと通信端末701との間で
暗号鍵データK1を共有していることが分かる。そこ
で、ゲートウェイ装置704は、暗号鍵データK1を使
用してパケットを暗号化し、LAN709に送信する。
通信端末701は、宛先MACアドレスが自身のもので
あるので、送信元のMACアドレスを保持するネットワ
ーク情報、鍵情報管理テーブルで検索し、暗号鍵データ
K1を共有しているので、暗号鍵データK1を用いてパ
ケットを復号化する。通信端末702、703も通信端
末701宛てのパケットを受信することはできるが、暗
号化/復号化鍵が異なるので正しく復号はできず、通信
端末701とゲートウェイ装置704との間で構築され
たVPN706上をデータが流れているものと考えるこ
とができる。以上のようにして、LAN709内の上り
/下りの両方についてデータの秘匿化を実現することが
出来る。Conversely, from the WAN 705 to the LAN 709
When the gateway device 704 receives a packet addressed to the communication terminal 701 in the network, the gateway device 704 searches the IP address of the destination, the held network information, and the key information management table, and determines that the destination is the communication terminal 701 and the communication terminal 701 It can be seen that the encryption key data K1 is shared by. Therefore, the gateway device 704 encrypts the packet using the encryption key data K1 and transmits the packet to the LAN 709.
Since the destination MAC address is its own, the communication terminal 701 searches the network information and the key information management table holding the MAC address of the transmission source, and shares the encryption key data K1. To decrypt the packet. The communication terminals 702 and 703 can also receive the packet addressed to the communication terminal 701, but cannot correctly decode the packets because the encryption / decryption keys are different, and the VPN 706 constructed between the communication terminal 701 and the gateway device 704. Above can be considered as data flowing. As described above, data concealment can be realized for both the upstream and downstream in the LAN 709.
【0053】以上のように本実施の形態では、通信端末
701は、ゲートウェイ装置704を介してWAN70
5に送信されるデータについてのみ暗号鍵データで通信
データを暗号化してLAN709に送信し、ゲートウェ
イ装置704は、送信元の通信端末701と共有する暗
号鍵データK1を使用して通信データを復号化してWA
N705に送信するようにしたことにより、WAN70
5への送信性を損なうことなくLAN709内の通信の
みを暗号化して秘匿化を実現することができる。As described above, in the present embodiment, the communication terminal 701 communicates with the WAN 70 via the gateway 704.
5, the communication data is encrypted with the encryption key data and transmitted to the LAN 709, and the gateway device 704 decrypts the communication data using the encryption key data K1 shared with the communication terminal 701 of the transmission source. WA
N705, the WAN 70
5 can be concealed by encrypting only the communication within the LAN 709 without impairing the transmission to the LAN 5.
【0054】また、ゲートウェイ装置704は、WAN
705からLAN709内の宛先通信端末701へのパ
ケットを受信し、宛先通信端末701と共有する暗号鍵
データK1で通信データを暗号化してLAN709に出
力し、宛先通信端末701は、ゲートウェイ装置704
との間で共有する鍵データを使用して復号化するように
したことにより、WAN705からの受信性を損なうこ
となくLAN709内の通信のみを暗号化して秘匿化を
実現することができる。The gateway device 704 is connected to the WAN
705, a packet to the destination communication terminal 701 in the LAN 709 is received, the communication data is encrypted with the encryption key data K1 shared with the destination communication terminal 701, and the encrypted communication data is output to the LAN 709. The destination communication terminal 701
By using the key data shared between the LAN 705 and the decryption, it is possible to encrypt only the communication within the LAN 709 without impairing the receivability from the WAN 705 and realize confidentiality.
【0055】[0055]
【発明の効果】以上説明したように本発明の請求項1に
記載の鍵交換システムによれば、LANに接続された複
数の通信端末と、LANおよびWANに接続され集線・
変換処理を行うDHCPサーバとしてのゲートウェイ装
置とを有する鍵交換システムであって、通信端末は、起
動時にネットワーク情報を取得するためにゲートウェイ
装置との間で行うDHCP通信時に、鍵データも同時に
交換することにより、ゲートウェイ装置と各通信端末と
の間でそれぞれ別個に、2点間で共有鍵暗号方式によっ
て通信データの暗号化/復号化を行う際に使用できる鍵
データを簡易に共有することができるという有利な効果
が得られる。As described above, according to the key exchange system according to the first aspect of the present invention, a plurality of communication terminals connected to a LAN, and a line concentrator connected to a LAN and a WAN.
A key exchange system having a gateway device as a DHCP server for performing a conversion process, wherein a communication terminal simultaneously exchanges key data during DHCP communication with a gateway device to acquire network information at startup. Thus, the gateway device and each communication terminal can easily share key data that can be used when encrypting / decrypting communication data between the two points using the shared key encryption method. The advantageous effect described above can be obtained.
【0056】請求項2に記載の鍵交換システムによれ
ば、請求項1に記載の鍵交換システムにおいて、通信端
末は、付与されたネットワーク情報の有効期限切れまで
にゲートウェイ装置に対して行うネットワーク情報の延
長申請要求から始まるDHCP通信時に、以前交換した
共有鍵データを廃棄し、新たに鍵データを交換して共有
鍵データを更新することにより、LAN内部で定期的に
行われるDHCPセッションと鍵データ交換手順を同期
させ、LAN内の各通信端末とゲートウェイ装置で共有
する暗号鍵データの定期的な更新を確立し、暗号鍵デー
タの安全性を向上させることができるという有利な効果
が得られる。According to the key exchange system of the second aspect, in the key exchange system of the first aspect, the communication terminal transmits the network information to the gateway device before the validity of the assigned network information expires. At the time of DHCP communication starting from an extension request, discarding the previously exchanged shared key data, exchanging new key data and updating the shared key data, exchanges key data with a DHCP session periodically performed inside the LAN. This has the advantageous effect of synchronizing the procedures, establishing regular updates of the encryption key data shared by each communication terminal in the LAN and the gateway device, and improving the security of the encryption key data.
【0057】請求項3に記載の鍵交換システムによれ
ば、LANに接続された複数の通信端末と、LANおよ
びWANに接続され集線・変換処理を行うDHCPサー
バとしてのゲートウェイ装置とを有する鍵交換システム
であって、通信端末は、ゲートウェイ装置を介してWA
Nに送信されるデータについてのみ暗号鍵データで通信
データを暗号化してLANに送信し、ゲートウェイ装置
は、送信元の通信端末と共有する暗号鍵データを使用し
て通信データを復号化してWANに送信することによ
り、WANへの送信性を損なうことなくLAN内の通信
のみを暗号化して秘匿化を実現することができるという
有利な効果が得られる。According to the key exchange system of the third aspect, a key exchange having a plurality of communication terminals connected to the LAN and a gateway device as a DHCP server connected to the LAN and the WAN for performing line concentrating / conversion processing. In a system, a communication terminal is connected to a WA through a gateway device.
Only the data to be transmitted to N is encrypted with the encryption key data and transmitted to the LAN, and the gateway device decrypts the communication data using the encryption key data shared with the communication terminal of the transmission source and transmits the data to the WAN. By transmitting, there is an advantageous effect that only communication within the LAN can be encrypted and concealment can be realized without impairing the transmission to the WAN.
【0058】請求項4に記載の鍵交換システムによれ
ば、請求項3に記載の鍵交換システムにおいて、ゲート
ウェイ装置は、WANからLAN内の宛先通信端末への
パケットを受信し、宛先通信端末と共有する暗号鍵デー
タで通信データを暗号化してLANに出力し、宛先通信
端末は、ゲートウェイ装置との間で共有する暗号鍵デー
タを使用して復号化することにより、WANからの受信
性を損なうことなくLAN内の通信のみを暗号化して秘
匿化を実現することができるという有利な効果が得られ
る。According to the key exchange system of the fourth aspect, in the key exchange system of the third aspect, the gateway device receives a packet from the WAN to the destination communication terminal in the LAN and communicates with the destination communication terminal. The communication data is encrypted with the shared encryption key data and output to the LAN, and the destination communication terminal decrypts using the shared encryption key data with the gateway device, thereby impairing the reception from the WAN. An advantageous effect is obtained in that only communication within the LAN can be encrypted and concealment can be realized without the need.
【図面の簡単な説明】[Brief description of the drawings]
【図1】一般的な鍵交換システムを示す構成図FIG. 1 is a configuration diagram showing a general key exchange system.
【図2】図1に示すゲートウェイ装置と通信端末を詳細
に示すブロック図FIG. 2 is a block diagram showing a gateway device and a communication terminal shown in FIG. 1 in detail;
【図3】通信端末としてのDHCPクライアントとゲー
トウェイ装置としてのDHCPサーバとの間の通信手順
を示すシーケンス図FIG. 3 is a sequence diagram showing a communication procedure between a DHCP client as a communication terminal and a DHCP server as a gateway device.
【図4】(a)DHCP通信によって付与されるデータ
の詳細を示すデータ図 (b)DHCP通信によって付与されるデータの詳細を
示すデータ図4A is a data diagram showing details of data provided by DHCP communication; FIG. 4B is a data diagram showing details of data provided by DHCP communication;
【図5】Diffie−Hellman方式による鍵交
換の説明図FIG. 5 is an explanatory diagram of key exchange by the Diffie-Hellman method.
【図6】一方の通信端末の動作を示すフローチャートFIG. 6 is a flowchart showing the operation of one communication terminal.
【図7】他方の通信端末Bの動作を示すフローチャートFIG. 7 is a flowchart showing the operation of the other communication terminal B;
【図8】DHCPクライアントとしての通信端末とDH
CPサーバとしてのゲートウェイ装置との間の通信シー
ケンスを示すシーケンス図FIG. 8 shows a communication terminal and DH as a DHCP client.
Sequence diagram showing a communication sequence between the gateway device as a CP server
【図9】LAN内における暗号化通信のイメージ図FIG. 9 is an image diagram of encrypted communication in a LAN.
【図10】(a)通信端末が保持するネットワーク情報
と鍵情報の管理テーブルを示すテーブル図 (b)ゲートウェイ装置が保持するネットワーク情報と
鍵情報の管理テーブルを示すテーブル図10A is a table diagram showing a management table of network information and key information held by a communication terminal. FIG. 10B is a table diagram showing a management table of network information and key information held by a gateway device.
101、102、103、211、301、601、7
01、702、703通信端末(DHCPクライアン
ト) 104、291、302、602、704 ゲートウェ
イ装置(DHCPサーバ) 105、210、709 LAN 106、209、705 WAN 202、212 LAN物理接続部 203 WAN物理接続部 204、213 LANコントローラ 205 WANコントローラ 206 ルーティング処理部 207、215 記憶装置 208、216 ネットワーク情報テーブル 214 通信プロトコル処理部 706、707、708 VPN101, 102, 103, 211, 301, 601, 7
01, 702, 703 Communication terminal (DHCP client) 104, 291, 302, 602, 704 Gateway device (DHCP server) 105, 210, 709 LAN 106, 209, 705 WAN 202, 212 LAN physical connection unit 203 WAN physical connection unit 204, 213 LAN controller 205 WAN controller 206 Routing processing unit 207, 215 Storage device 208, 216 Network information table 214 Communication protocol processing unit 706, 707, 708 VPN
フロントページの続き Fターム(参考) 5J104 AA16 BA02 EA24 EA28 EA33 NA03 PA07 5K030 GA15 HD03 HD06 JT02 LD19 5K033 AA08 CB08 CC01 DB10 DB18 9A001 BB04 CC03 CC08 DD10 EE03 JJ13 JJ14 JJ25 JJ27 KK56 LL03 Continued on the front page F term (reference) 5J104 AA16 BA02 EA24 EA28 EA33 NA03 PA07 5K030 GA15 HD03 HD06 JT02 LD19 5K033 AA08 CB08 CC01 DB10 DB18 9A001 BB04 CC03 CC08 DD10 EE03 JJ13 JJ14 JJ25 JJ27 KK56 LL03
Claims (4)
ANおよびWANに接続され集線・変換処理を行うDH
CPサーバとしてのゲートウェイ装置とを有する鍵交換
システムであって、 前記通信端末は、起動時にネットワーク情報を取得する
ために前記ゲートウェイ装置との間で行うDHCP通信
時に、鍵データも同時に交換することを特徴とする鍵交
換システム。A plurality of communication terminals connected to a LAN;
DH connected to AN and WAN to perform line consolidation and conversion processing
A key exchange system having a gateway device as a CP server, wherein the communication terminal exchanges key data at the same time as DHCP communication performed with the gateway device to acquire network information at startup. Characterized key exchange system.
情報の有効期限切れまでに前記ゲートウェイ装置に対し
て行うネットワーク情報の延長申請要求から始まるDH
CP通信時に、以前交換した共有鍵データを廃棄し、新
たに鍵データを交換して共有鍵データを更新することを
特徴とする請求項1に記載の鍵交換システム。2. The communication terminal according to claim 1, wherein said communication terminal starts with a request for extension of network information to said gateway device before expiration of the assigned network information.
2. The key exchange system according to claim 1, wherein at the time of CP communication, the shared key data exchanged before is discarded, and the shared key data is updated by newly exchanging the key data.
ANおよびWANに接続され集線・変換処理を行うDH
CPサーバとしてのゲートウェイ装置とを有する鍵交換
システムであって、 前記通信端末は、前記ゲートウェイ装置を介してWAN
に送信されるデータについてのみ暗号鍵データで通信デ
ータを暗号化してLANに送信し、前記ゲートウェイ装
置は、前記送信元の通信端末と共有する暗号鍵データを
使用して通信データを復号化してWANに送信すること
を特徴とする鍵交換システム。A plurality of communication terminals connected to the LAN;
DH connected to AN and WAN to perform line consolidation and conversion processing
A key exchange system having a gateway device as a CP server, wherein the communication terminal is a WAN device via the gateway device.
Only the data to be transmitted to the communication terminal is encrypted with the encryption key data and transmitted to the LAN, and the gateway device decrypts the communication data using the encryption key data shared with the communication terminal of the transmission source, and A key exchange system for transmitting to a key exchange system.
N内の宛先通信端末へのパケットを受信し、前記宛先通
信端末と共有する暗号鍵データで通信データを暗号化し
てLANに出力し、前記宛先通信端末は、前記ゲートウ
ェイ装置との間で共有する暗号鍵データを使用して復号
化することを特徴とする請求項3に記載の鍵交換システ
ム。4. The method according to claim 1, wherein the gateway device is configured to connect the WAN to the LA.
N receives a packet to the destination communication terminal in N, encrypts the communication data with encryption key data shared with the destination communication terminal, and outputs it to the LAN, and the destination communication terminal shares the data with the gateway device. The key exchange system according to claim 3, wherein the decryption is performed using the encryption key data.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000106030A JP2001292135A (en) | 2000-04-07 | 2000-04-07 | Key exchange system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000106030A JP2001292135A (en) | 2000-04-07 | 2000-04-07 | Key exchange system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001292135A true JP2001292135A (en) | 2001-10-19 |
Family
ID=18619274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000106030A Pending JP2001292135A (en) | 2000-04-07 | 2000-04-07 | Key exchange system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001292135A (en) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003162462A (en) * | 2001-11-26 | 2003-06-06 | Toshiba Corp | Communication network system |
| WO2003067003A1 (en) * | 2002-02-04 | 2003-08-14 | Denaro Co., Ltd. | Safe locking/unlocking system |
| JP2003309662A (en) * | 2002-04-15 | 2003-10-31 | Matsushita Electric Works Ltd | Monitoring and control system for collective housing and center server therefor |
| JP2007194866A (en) * | 2006-01-18 | 2007-08-02 | Ricoh Co Ltd | Communication system, method, and device |
| JP2008536338A (en) * | 2004-07-09 | 2008-09-04 | 株式会社東芝 | Dynamic host configuration and network access authentication |
| US7665132B2 (en) | 2003-07-04 | 2010-02-16 | Nippon Telegraph And Telephone Corporation | Remote access VPN mediation method and mediation device |
| JP2010191458A (en) * | 2010-04-09 | 2010-09-02 | Kawai Musical Instr Mfg Co Ltd | Musical sound generating terminal and performance terminal of electronic musical instrument performance system |
| US7954154B2 (en) | 2004-06-22 | 2011-05-31 | Panasonic Corporation | Communication system and communication apparatus |
| JP2019057867A (en) * | 2017-09-22 | 2019-04-11 | mtes Neural Networks株式会社 | Encryption communication system |
-
2000
- 2000-04-07 JP JP2000106030A patent/JP2001292135A/en active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003162462A (en) * | 2001-11-26 | 2003-06-06 | Toshiba Corp | Communication network system |
| WO2003067003A1 (en) * | 2002-02-04 | 2003-08-14 | Denaro Co., Ltd. | Safe locking/unlocking system |
| JP2003309662A (en) * | 2002-04-15 | 2003-10-31 | Matsushita Electric Works Ltd | Monitoring and control system for collective housing and center server therefor |
| US7665132B2 (en) | 2003-07-04 | 2010-02-16 | Nippon Telegraph And Telephone Corporation | Remote access VPN mediation method and mediation device |
| US7954154B2 (en) | 2004-06-22 | 2011-05-31 | Panasonic Corporation | Communication system and communication apparatus |
| JP2008536338A (en) * | 2004-07-09 | 2008-09-04 | 株式会社東芝 | Dynamic host configuration and network access authentication |
| KR101320721B1 (en) * | 2004-07-09 | 2013-10-21 | 텔코디아 테크놀로지스, 인코포레이티드 | Dynamic host configuration and network access authentication |
| US8688834B2 (en) | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| JP2007194866A (en) * | 2006-01-18 | 2007-08-02 | Ricoh Co Ltd | Communication system, method, and device |
| JP2010191458A (en) * | 2010-04-09 | 2010-09-02 | Kawai Musical Instr Mfg Co Ltd | Musical sound generating terminal and performance terminal of electronic musical instrument performance system |
| JP2019057867A (en) * | 2017-09-22 | 2019-04-11 | mtes Neural Networks株式会社 | Encryption communication system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100759489B1 (en) | Method and appratus for security of ip security tunnel using public key infrastructure in a mobile communication network | |
| US8046577B2 (en) | Secure IP access protocol framework and supporting network architecture | |
| JP4407452B2 (en) | Server, VPN client, VPN system, and software | |
| US7099957B2 (en) | Domain name system resolution | |
| US7769838B2 (en) | Single-modem multi-user virtual private network | |
| US6091820A (en) | Method and apparatus for achieving perfect forward secrecy in closed user groups | |
| JP2003324419A (en) | Method of securing binding update by using address based key | |
| US7263619B1 (en) | Method and system for encrypting electronic message using secure ad hoc encryption key | |
| US20040044908A1 (en) | System and method for transmitting and receiving secure data in a virtual private group | |
| US20060182124A1 (en) | Cipher Key Exchange Methodology | |
| US20030182553A1 (en) | End-to end protection of media stream encryption keys for voice-over-IP systems | |
| US7233782B2 (en) | Method of generating an authentication | |
| JP2003289301A (en) | Method of controlling network access in wireless environment, and recording medium recorded with the method | |
| WO2000031931A1 (en) | Method and system for securing data objects | |
| US8615658B2 (en) | Dynamic foreign agent—home agent security association allocation for IP mobility systems | |
| JP4006403B2 (en) | Digital signature issuing device | |
| WO2011041962A1 (en) | Method and system for end-to-end session key negotiation which support lawful interception | |
| US20030172307A1 (en) | Secure IP access protocol framework and supporting network architecture | |
| CN101471767B (en) | Method, equipment and system for distributing cipher key | |
| JP2001292135A (en) | Key exchange system | |
| JP2006081180A (en) | System and method for updating message trust status | |
| US7895648B1 (en) | Reliably continuing a secure connection when the address of a machine at one end of the connection changes | |
| JP4694240B2 (en) | Encryption key distribution apparatus and program thereof | |
| Cisco | Configuring IPSec | |
| Cisco | Configuring IPSec and Certification Authorities |