JP2003069597A - 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 - Google Patents
大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置Info
- Publication number
- JP2003069597A JP2003069597A JP2001257681A JP2001257681A JP2003069597A JP 2003069597 A JP2003069597 A JP 2003069597A JP 2001257681 A JP2001257681 A JP 2001257681A JP 2001257681 A JP2001257681 A JP 2001257681A JP 2003069597 A JP2003069597 A JP 2003069597A
- Authority
- JP
- Japan
- Prior art keywords
- key
- gateway
- scale
- lan
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 複数のゲートウェイを有する大規模LANに
おいて、鍵交換を行ったゲートウェイに障害が発生して
も、その鍵を使ったIPSec通信を可能とする。 【解決手段】 複数のゲートウェイを有する大規模LA
Nのゲートウェイと、その他のLANのゲートウェイと
の間で、IPSecにもとづく鍵交換が行われた場合に
おいて、大規模LANのゲートウェイのインターネット
キーエクスチェンジ部が、このゲートウェイのIPSe
c部に鍵設定を行うとともに、このゲートウェイの鍵転
送部に鍵転送を要求し、この要求に応じて鍵転送部が、
大規模LANの他のゲートウェイの鍵転送部に鍵転送を
行い、他のゲートウェイの鍵転送部が、この転送されて
きた鍵を用いて、他のゲートウェイのIPSec部に鍵
設定を行う。
おいて、鍵交換を行ったゲートウェイに障害が発生して
も、その鍵を使ったIPSec通信を可能とする。 【解決手段】 複数のゲートウェイを有する大規模LA
Nのゲートウェイと、その他のLANのゲートウェイと
の間で、IPSecにもとづく鍵交換が行われた場合に
おいて、大規模LANのゲートウェイのインターネット
キーエクスチェンジ部が、このゲートウェイのIPSe
c部に鍵設定を行うとともに、このゲートウェイの鍵転
送部に鍵転送を要求し、この要求に応じて鍵転送部が、
大規模LANの他のゲートウェイの鍵転送部に鍵転送を
行い、他のゲートウェイの鍵転送部が、この転送されて
きた鍵を用いて、他のゲートウェイのIPSec部に鍵
設定を行う。
Description
【0001】
【発明の属する技術分野】本発明は、複数のゲートウェ
イを有する大規模LANとIPSecによるVPNを構
築するにあたり、鍵交換とともに鍵転送を行うことによ
って、一部のゲートウェイに障害が発生しても、通信不
能とならない大規模IPSec VPN構築方法、大規
模IPSec VPNシステム、大規模IPSec V
PNプログラム及び鍵共有情報処理装置に関する。
イを有する大規模LANとIPSecによるVPNを構
築するにあたり、鍵交換とともに鍵転送を行うことによ
って、一部のゲートウェイに障害が発生しても、通信不
能とならない大規模IPSec VPN構築方法、大規
模IPSec VPNシステム、大規模IPSec V
PNプログラム及び鍵共有情報処理装置に関する。
【0002】
【従来の技術】IPSec(Security arc
hitecture for IP(Internet
Protocol))は特定のメンバ間で秘密鍵を共
有することによってセキュリティを確保している。この
秘密鍵を共有するためには、通常IKE(Intern
et Key Exchange;インターネットキー
エクスチェンジ)プロトコルを用いるが、これは特定の
2者間で秘密鍵を生成するプロトコルであるため、事実
上IPSecは、特定2者間でセキュリティを確保する
プロトコルになっている。
hitecture for IP(Internet
Protocol))は特定のメンバ間で秘密鍵を共
有することによってセキュリティを確保している。この
秘密鍵を共有するためには、通常IKE(Intern
et Key Exchange;インターネットキー
エクスチェンジ)プロトコルを用いるが、これは特定の
2者間で秘密鍵を生成するプロトコルであるため、事実
上IPSecは、特定2者間でセキュリティを確保する
プロトコルになっている。
【0003】一方、大企業のネットワークなどの大規模
なLANは、通常LAN外からの通信を受け入れるため
に、複数のゲートウェイを持っている。そのため、一つ
のゲートウェイで障害が発生しても別のゲートウェイを
経由して、LAN外からの通信が可能になる。
なLANは、通常LAN外からの通信を受け入れるため
に、複数のゲートウェイを持っている。そのため、一つ
のゲートウェイで障害が発生しても別のゲートウェイを
経由して、LAN外からの通信が可能になる。
【0004】ところが、IPSecを用いると、LAN
外の装置は一つのゲートウェイとの間でしかセキュリテ
ィを確保できなくなるため、このゲートウェイにおいて
障害が発生するとLAN内との通信ができなくなってし
まっていた。このような問題を解決するために、IPS
ecによるセキュリティの確保が行われたゲートウェイ
に障害が発生した場合には、その時点で別のゲートウェ
イとの間で新たにIPSec通信を行う方法なども行わ
れている。
外の装置は一つのゲートウェイとの間でしかセキュリテ
ィを確保できなくなるため、このゲートウェイにおいて
障害が発生するとLAN内との通信ができなくなってし
まっていた。このような問題を解決するために、IPS
ecによるセキュリティの確保が行われたゲートウェイ
に障害が発生した場合には、その時点で別のゲートウェ
イとの間で新たにIPSec通信を行う方法なども行わ
れている。
【0005】
【発明が解決しようとする課題】しかしながら、このよ
うな従来の方法などは、ゲートウェイの障害に備えて、
常にその動作状況を監視する必要があることに加え、障
害が発生した場合には、別のゲートウェイと再度新たに
鍵の共有を行う必要があり、ネットワークに高い負荷を
かける方法であった。このため、一つのゲートウェイで
障害が発生しても別のゲートウェイを経由してLAN外
との通信を行うことのできる大規模LANの利点を損な
うことなく、IPSecによるセキュリティの確保を可
能とする方法等の実現が望まれていた。
うな従来の方法などは、ゲートウェイの障害に備えて、
常にその動作状況を監視する必要があることに加え、障
害が発生した場合には、別のゲートウェイと再度新たに
鍵の共有を行う必要があり、ネットワークに高い負荷を
かける方法であった。このため、一つのゲートウェイで
障害が発生しても別のゲートウェイを経由してLAN外
との通信を行うことのできる大規模LANの利点を損な
うことなく、IPSecによるセキュリティの確保を可
能とする方法等の実現が望まれていた。
【0006】本発明は、上記の事情にかんがみなされた
ものであり、従来のようなIPSecにおける不都合を
解消し、IPSecによるセキュリティの確保されたゲ
ートウェイにおいて障害が発生しても、ネットワークに
高負荷をかけることなく、別のゲートウェイを経由し
て、LAN外からの通信を可能とする大規模IPSec
VPN(Virtual Private Netwo
rk)構築方法、大規模IPSec VPNシステム、
大規模IPSec VPNプログラム及び鍵共有情報処
理装置の提供を目的とする。
ものであり、従来のようなIPSecにおける不都合を
解消し、IPSecによるセキュリティの確保されたゲ
ートウェイにおいて障害が発生しても、ネットワークに
高負荷をかけることなく、別のゲートウェイを経由し
て、LAN外からの通信を可能とする大規模IPSec
VPN(Virtual Private Netwo
rk)構築方法、大規模IPSec VPNシステム、
大規模IPSec VPNプログラム及び鍵共有情報処
理装置の提供を目的とする。
【0007】
【課題を解決するための手段】上記目的を達成するた
め、本発明の請求項1記載の大規模IPSec VPN
の構築方法は、複数のゲートウェイを有する大規模LA
Nのゲートウェイと、その他のLANのゲートウェイと
の間で、IPSecにもとづく鍵交換が行われた場合に
おいて、大規模LANのゲートウェイのインターネット
キーエクスチェンジ部が、このゲートウェイのIPSe
c部に鍵設定を行うとともに、このゲートウェイの鍵転
送部に鍵転送を要求し、ゲートウェイの鍵転送部が、要
求に応じて、大規模LANの他のゲートウェイの鍵転送
部に鍵転送を行い、他のゲートウェイの鍵転送部が、こ
の転送されてきた鍵を用いて、他のゲートウェイのIP
Sec部に鍵設定を行う方法としてある。
め、本発明の請求項1記載の大規模IPSec VPN
の構築方法は、複数のゲートウェイを有する大規模LA
Nのゲートウェイと、その他のLANのゲートウェイと
の間で、IPSecにもとづく鍵交換が行われた場合に
おいて、大規模LANのゲートウェイのインターネット
キーエクスチェンジ部が、このゲートウェイのIPSe
c部に鍵設定を行うとともに、このゲートウェイの鍵転
送部に鍵転送を要求し、ゲートウェイの鍵転送部が、要
求に応じて、大規模LANの他のゲートウェイの鍵転送
部に鍵転送を行い、他のゲートウェイの鍵転送部が、こ
の転送されてきた鍵を用いて、他のゲートウェイのIP
Sec部に鍵設定を行う方法としてある。
【0008】大規模IPSec VPNの構築方法をこ
のような方法にすれば、大規模LAN内において、鍵交
換を行ったゲートウェイが、他のゲートウェイにその鍵
をコピーし、実際には鍵交換を行っていないゲートウェ
イに、鍵交換行った場合と同様の権限をもたせることが
できる。
のような方法にすれば、大規模LAN内において、鍵交
換を行ったゲートウェイが、他のゲートウェイにその鍵
をコピーし、実際には鍵交換を行っていないゲートウェ
イに、鍵交換行った場合と同様の権限をもたせることが
できる。
【0009】このため、鍵交換を行ったゲートウェイに
障害が発生しても、他のゲートウェイが、その障害が発
生したゲートウェイに代わり、同様の役割を果たすこと
が可能となるため、このような場合に通信不能とはなら
なくなる。また、この方法によれば、余分に鍵交換を行
う必要がなくなるため、ネットワークや、ゲートウェイ
にかかる負荷を大幅に軽減することが可能となる。
障害が発生しても、他のゲートウェイが、その障害が発
生したゲートウェイに代わり、同様の役割を果たすこと
が可能となるため、このような場合に通信不能とはなら
なくなる。また、この方法によれば、余分に鍵交換を行
う必要がなくなるため、ネットワークや、ゲートウェイ
にかかる負荷を大幅に軽減することが可能となる。
【0010】次に、本発明の請求項2記載の大規模IP
Sec VPNの構築方法は、鍵転送は、大規模LAN
のゲートウェイが、大規模LANの他のゲートウェイに
鍵転送を要求し、他のゲートウェイが、この要求に対し
て、OK信号を暗号化してゲートウェイに返し、ゲート
ウェイが、この暗号化されたOK信号を検査するととも
に、鍵を暗号化して他のゲートウェイに転送し、他のゲ
ートウェイが、この転送されてきた鍵を検査して、ゲー
トウェイにOK信号を返す手順を含む方法としてある。
Sec VPNの構築方法は、鍵転送は、大規模LAN
のゲートウェイが、大規模LANの他のゲートウェイに
鍵転送を要求し、他のゲートウェイが、この要求に対し
て、OK信号を暗号化してゲートウェイに返し、ゲート
ウェイが、この暗号化されたOK信号を検査するととも
に、鍵を暗号化して他のゲートウェイに転送し、他のゲ
ートウェイが、この転送されてきた鍵を検査して、ゲー
トウェイにOK信号を返す手順を含む方法としてある。
【0011】大規模IPSec VPNの構築方法をこ
のような方法にすれば、鍵転送を行う場合において、セ
キュリティを確保することが可能となり、この鍵転送を
行うLANの内部に悪意のユーザが存在したとしても、
盗聴などが行われることを防止することができる。
のような方法にすれば、鍵転送を行う場合において、セ
キュリティを確保することが可能となり、この鍵転送を
行うLANの内部に悪意のユーザが存在したとしても、
盗聴などが行われることを防止することができる。
【0012】次に、本発明の請求項3記載の大規模IP
Sec VPNの構築方法は、大規模LANの他のゲー
トウェイの鍵転送部が、大規模LANのゲートウェイか
ら鍵転送を受けると、他のゲートウェイのIPSec部
に鍵設定を行うとともに、この鍵を大規模LANのさら
なる他のゲートウェイの鍵転送部に転送し、さらなる他
のゲートウェイも、他のゲートウェイと同様に、自分の
IPSec部に鍵設定を行うとともに、この鍵をゲート
ウェイの鍵転送部に転送し、ゲートウェイは、転送され
てきた鍵が、最初に自分が転送した鍵に一致すること確
認する方法としてある。
Sec VPNの構築方法は、大規模LANの他のゲー
トウェイの鍵転送部が、大規模LANのゲートウェイか
ら鍵転送を受けると、他のゲートウェイのIPSec部
に鍵設定を行うとともに、この鍵を大規模LANのさら
なる他のゲートウェイの鍵転送部に転送し、さらなる他
のゲートウェイも、他のゲートウェイと同様に、自分の
IPSec部に鍵設定を行うとともに、この鍵をゲート
ウェイの鍵転送部に転送し、ゲートウェイは、転送され
てきた鍵が、最初に自分が転送した鍵に一致すること確
認する方法としてある。
【0013】大規模IPSec VPNの構築方法をこ
のような方法にすれば、大規模LANのゲートウェイ
が、3台以上の場合には、鍵転送を受けたゲートウェイ
が、さらに他のゲートウェイに鍵転送を行うことがで
き、鍵転送を効率的に行うことが可能となる。また、大
規模LAN内のゲートウェイが多数ある場合には、鍵交
換を行ったゲートウェイと鍵転送を受けたゲートウェイ
をコピー元として、同時に複数の転送を行うことによっ
て、速やかに鍵転送を行うことも可能となる。
のような方法にすれば、大規模LANのゲートウェイ
が、3台以上の場合には、鍵転送を受けたゲートウェイ
が、さらに他のゲートウェイに鍵転送を行うことがで
き、鍵転送を効率的に行うことが可能となる。また、大
規模LAN内のゲートウェイが多数ある場合には、鍵交
換を行ったゲートウェイと鍵転送を受けたゲートウェイ
をコピー元として、同時に複数の転送を行うことによっ
て、速やかに鍵転送を行うことも可能となる。
【0014】次に、本発明の請求項4記載の大規模IP
Sec VPNシステムは、複数のゲートウェイを有す
る大規模LANのゲートウェイと、その他のLANのゲ
ートウェイとの間で、IPSecにもとづく鍵交換が行
われると、大規模LAN内のゲートウェイ間で鍵転送が
行われる大規模IPSec VPNシステムであって、
インターネットキーエクスチェンジ部によりその他のL
ANのゲートウェイと鍵交換を行うとともに、このイン
ターネットキーエクスチェンジ部により自分のIPSe
c部に鍵設定を行って、自分の鍵転送部に鍵転送を要求
し、この鍵転送部により大規模LANの他のゲートウェ
イに鍵転送を行う大規模LANのゲートウェイと、大規
模LANのゲートウェイから、鍵転送部が鍵転送を受け
るとともに、自分のIPSec部に鍵設定を行う大規模
LANの他のゲートウェイと、大規模LANのゲートウ
ェイと鍵交換を行うその他のLANのゲートウェイと、
大規模LANのゲートウェイと、大規模LANの他のゲ
ートウェイと、その他のLANのゲートウェイを接続す
る通信回線とを有する構成としてある。
Sec VPNシステムは、複数のゲートウェイを有す
る大規模LANのゲートウェイと、その他のLANのゲ
ートウェイとの間で、IPSecにもとづく鍵交換が行
われると、大規模LAN内のゲートウェイ間で鍵転送が
行われる大規模IPSec VPNシステムであって、
インターネットキーエクスチェンジ部によりその他のL
ANのゲートウェイと鍵交換を行うとともに、このイン
ターネットキーエクスチェンジ部により自分のIPSe
c部に鍵設定を行って、自分の鍵転送部に鍵転送を要求
し、この鍵転送部により大規模LANの他のゲートウェ
イに鍵転送を行う大規模LANのゲートウェイと、大規
模LANのゲートウェイから、鍵転送部が鍵転送を受け
るとともに、自分のIPSec部に鍵設定を行う大規模
LANの他のゲートウェイと、大規模LANのゲートウ
ェイと鍵交換を行うその他のLANのゲートウェイと、
大規模LANのゲートウェイと、大規模LANの他のゲ
ートウェイと、その他のLANのゲートウェイを接続す
る通信回線とを有する構成としてある。
【0015】大規模IPSec VPNシステムをこの
ような構成にすれば、鍵交換を行ったゲートウェイに障
害が発生しても、他のゲートウェイが、その障害が発生
したゲートウェイに代わり、同様の役割を果たすことが
可能となるため、IPSec通信不能とはならなくな
る。
ような構成にすれば、鍵交換を行ったゲートウェイに障
害が発生しても、他のゲートウェイが、その障害が発生
したゲートウェイに代わり、同様の役割を果たすことが
可能となるため、IPSec通信不能とはならなくな
る。
【0016】また、従来技術にあるように、別途鍵交換
を行うことによって、迂回用のゲートウェイを設定する
場合に比べると、本システムでは負荷の大きい鍵交換を
1度しか行う必要がないため、ネットワークや、ゲート
ウェイにかかる負荷を大幅に軽減することが可能とな
る。
を行うことによって、迂回用のゲートウェイを設定する
場合に比べると、本システムでは負荷の大きい鍵交換を
1度しか行う必要がないため、ネットワークや、ゲート
ウェイにかかる負荷を大幅に軽減することが可能とな
る。
【0017】次に、本発明の請求項5記載の大規模IP
Sec VPNシステムは、鍵転送は、大規模LANの
ゲートウェイが、大規模LANの他のゲートウェイに鍵
転送を要求し、他のゲートウェイが、この要求に対し
て、OK信号を暗号化してゲートウェイに返し、ゲート
ウェイが、この暗号化されたOK信号を検査するととも
に、鍵を暗号化して他のゲートウェイに転送し、他のゲ
ートウェイが、この転送されてきた鍵を検査して、ゲー
トウェイにOK信号を返す手順を含む構成としてある。
Sec VPNシステムは、鍵転送は、大規模LANの
ゲートウェイが、大規模LANの他のゲートウェイに鍵
転送を要求し、他のゲートウェイが、この要求に対し
て、OK信号を暗号化してゲートウェイに返し、ゲート
ウェイが、この暗号化されたOK信号を検査するととも
に、鍵を暗号化して他のゲートウェイに転送し、他のゲ
ートウェイが、この転送されてきた鍵を検査して、ゲー
トウェイにOK信号を返す手順を含む構成としてある。
【0018】大規模IPSec VPNシステムをこの
ような構成にすれば、LANの内部に悪意のユーザが存
在したとしても、鍵転送時における盗聴などを防止する
ことが可能となる。
ような構成にすれば、LANの内部に悪意のユーザが存
在したとしても、鍵転送時における盗聴などを防止する
ことが可能となる。
【0019】次に、本発明の請求項6記載の大規模IP
Sec VPNシステムは、大規模LANの他のゲート
ウェイの鍵転送部が、大規模LANのゲートウェイから
鍵転送を受けると、他のゲートウェイのIPSec部に
鍵設定を行うとともに、この鍵を大規模LANのさらな
る他のゲートウェイの鍵転送部に転送し、さらなる他の
ゲートウェイも、他のゲートウェイと同様に、自分のI
PSec部に鍵設定を行うとともに、この鍵をゲートウ
ェイの鍵転送部に転送し、ゲートウェイは、転送されて
きた鍵が、最初に自分が転送した鍵に一致すること確認
する構成としてある。
Sec VPNシステムは、大規模LANの他のゲート
ウェイの鍵転送部が、大規模LANのゲートウェイから
鍵転送を受けると、他のゲートウェイのIPSec部に
鍵設定を行うとともに、この鍵を大規模LANのさらな
る他のゲートウェイの鍵転送部に転送し、さらなる他の
ゲートウェイも、他のゲートウェイと同様に、自分のI
PSec部に鍵設定を行うとともに、この鍵をゲートウ
ェイの鍵転送部に転送し、ゲートウェイは、転送されて
きた鍵が、最初に自分が転送した鍵に一致すること確認
する構成としてある。
【0020】大規模IPSec VPNシステムをこの
ような構成にすれば、大規模LANのゲートウェイが、
3台以上の場合には、鍵転送を受けたゲートウェイが、
さらに他のゲートウェイに鍵転送を行うことができ、鍵
転送を効率的に行うことが可能となる。
ような構成にすれば、大規模LANのゲートウェイが、
3台以上の場合には、鍵転送を受けたゲートウェイが、
さらに他のゲートウェイに鍵転送を行うことができ、鍵
転送を効率的に行うことが可能となる。
【0021】次に、本発明の請求項7記載の大規模IP
Sec VPNシステムは、転送が、大規模LANが有
する4台以上のゲートウェイについて同様に行われる構
成としてある。この転送とは、請求項6における鍵設
定、鍵転送及び鍵の確認を含む鍵を転送する際の一連の
処理を意味する。大規模IPSec VPNシステムを
このような構成にすれば、大規模LANが多数のゲート
ウェイを有する場合であっても、鍵転送を受けたゲート
ウェイ自体も、他のゲートウェイに対して鍵転送を行う
ことが可能となる。
Sec VPNシステムは、転送が、大規模LANが有
する4台以上のゲートウェイについて同様に行われる構
成としてある。この転送とは、請求項6における鍵設
定、鍵転送及び鍵の確認を含む鍵を転送する際の一連の
処理を意味する。大規模IPSec VPNシステムを
このような構成にすれば、大規模LANが多数のゲート
ウェイを有する場合であっても、鍵転送を受けたゲート
ウェイ自体も、他のゲートウェイに対して鍵転送を行う
ことが可能となる。
【0022】この場合、鍵転送を受けたゲートウェイ
が、次に他のゲートウェイに鍵転送を順次行うといった
ように、単に複数の鍵転送を直線的に実施するのみなら
ず、所定の鍵転送経路を設定するなどして、鍵交換を行
ったゲートウェイと鍵転送を受けたゲートウェイをコピ
ー元として、複数の転送を同時に実行することによっ
て、速やかに転送を行うことも可能である。
が、次に他のゲートウェイに鍵転送を順次行うといった
ように、単に複数の鍵転送を直線的に実施するのみなら
ず、所定の鍵転送経路を設定するなどして、鍵交換を行
ったゲートウェイと鍵転送を受けたゲートウェイをコピ
ー元として、複数の転送を同時に実行することによっ
て、速やかに転送を行うことも可能である。
【0023】次に、本発明の請求項8記載の大規模IP
Sec VPNシステムは、大規模LANのゲートウェ
イと、その他のLANのゲートウェイが鍵交換を行うと
ともに、大規模LANのゲートウェイが、大規模LAN
の他のゲートウェイに鍵転送を行い、大規模LANのゲ
ートウェイに障害が発生すると、通信回線上の複数のル
ータの情報交換によって、大規模LANのゲートウェイ
宛の転送を、大規模LANの他のゲートウェイに対して
行うように経路情報が修正され、大規模LANのホスト
に対して、その他のLANの他のホストからパケット発
信がなされると、その他のLANのゲートウェイが、こ
のパケットをカプセル化して、大規模LANのゲートウ
ェイ宛に通信回線を介して送信し、送信されたパケット
が、修正された経路情報に従って、大規模LANの他の
ゲートウェイに転送され、大規模LANの他のゲートウ
ェイが、送信されたパケットの逆カプセル化を行って、
大規模LANのホストに送信し、大規模LANのホスト
がこの送信されてきたパケットの受信を行う構成として
ある。
Sec VPNシステムは、大規模LANのゲートウェ
イと、その他のLANのゲートウェイが鍵交換を行うと
ともに、大規模LANのゲートウェイが、大規模LAN
の他のゲートウェイに鍵転送を行い、大規模LANのゲ
ートウェイに障害が発生すると、通信回線上の複数のル
ータの情報交換によって、大規模LANのゲートウェイ
宛の転送を、大規模LANの他のゲートウェイに対して
行うように経路情報が修正され、大規模LANのホスト
に対して、その他のLANの他のホストからパケット発
信がなされると、その他のLANのゲートウェイが、こ
のパケットをカプセル化して、大規模LANのゲートウ
ェイ宛に通信回線を介して送信し、送信されたパケット
が、修正された経路情報に従って、大規模LANの他の
ゲートウェイに転送され、大規模LANの他のゲートウ
ェイが、送信されたパケットの逆カプセル化を行って、
大規模LANのホストに送信し、大規模LANのホスト
がこの送信されてきたパケットの受信を行う構成として
ある。
【0024】大規模IPSec VPNシステムをこの
ような構成にすれば、大規模LANにおける鍵交換を行
ったゲートウェイに障害が発生しても、鍵交換を行った
時点で事前に、大規模LANにおける他のゲートウェイ
に鍵転送が行われているため、その他のLANの他のホ
ストから、その他のLANにおける上記鍵交換を行った
ゲートウェイを経由して、大規模LANのホストに対し
てパケットが送信された場合に、上記障害が発生したゲ
ートウェイを迂回し、鍵転送を受けた他のゲートウェイ
を経由して、適切なホストに受信させることが可能とな
る。なお、この場合のホストとは、所謂ホストコンピュ
ータに限定する意味のものではなく、端末やサーバ等、
ネットワークに接続する広く一般の情報処理装置を意味
するものである。
ような構成にすれば、大規模LANにおける鍵交換を行
ったゲートウェイに障害が発生しても、鍵交換を行った
時点で事前に、大規模LANにおける他のゲートウェイ
に鍵転送が行われているため、その他のLANの他のホ
ストから、その他のLANにおける上記鍵交換を行った
ゲートウェイを経由して、大規模LANのホストに対し
てパケットが送信された場合に、上記障害が発生したゲ
ートウェイを迂回し、鍵転送を受けた他のゲートウェイ
を経由して、適切なホストに受信させることが可能とな
る。なお、この場合のホストとは、所謂ホストコンピュ
ータに限定する意味のものではなく、端末やサーバ等、
ネットワークに接続する広く一般の情報処理装置を意味
するものである。
【0025】次に、本発明の請求項9記載の大規模IP
Sec VPNプログラムは、大規模LAN内におい
て、鍵転送を行う大規模IPSec VPNプログラム
であって、大規模LANのゲートウェイのインターネッ
トキーエクスチェンジ部が、鍵交換を行った場合には、
ゲートウェイのインターネットキーエクスチェンジ部
に、ゲートウェイのIPSec部に対して鍵設定を行わ
せるとともに、ゲートウェイの鍵転送部に対して鍵転送
を要求させ、ゲートウェイの鍵転送部に、大規模LAN
の他のゲートウェイの鍵転送部に対して鍵転送を行わ
せ、大規模LANのゲートウェイの鍵転送部が、鍵転送
を受けた場合には、この鍵転送部に、転送されてきた鍵
を用いて、ゲートウェイのIPSec部に対して鍵設定
を行わせる構成としてある。
Sec VPNプログラムは、大規模LAN内におい
て、鍵転送を行う大規模IPSec VPNプログラム
であって、大規模LANのゲートウェイのインターネッ
トキーエクスチェンジ部が、鍵交換を行った場合には、
ゲートウェイのインターネットキーエクスチェンジ部
に、ゲートウェイのIPSec部に対して鍵設定を行わ
せるとともに、ゲートウェイの鍵転送部に対して鍵転送
を要求させ、ゲートウェイの鍵転送部に、大規模LAN
の他のゲートウェイの鍵転送部に対して鍵転送を行わ
せ、大規模LANのゲートウェイの鍵転送部が、鍵転送
を受けた場合には、この鍵転送部に、転送されてきた鍵
を用いて、ゲートウェイのIPSec部に対して鍵設定
を行わせる構成としてある。
【0026】大規模IPSec VPNプログラムをこ
のような構成にすれば、鍵交換を行ったゲートウェイに
障害が発生しても、他のゲートウェイにその代役をさせ
ることができるため、このような場合にIPSec通信
不能となることを防止することが可能となる。また、従
来技術の別途鍵交換を行うことにより迂回用のゲートウ
ェイを設定する場合に比べると、負荷の大きい鍵交換を
1度しか行わせないため、ネットワークや、ゲートウェ
イにかかる負荷を大幅に軽減させることが可能となる。
のような構成にすれば、鍵交換を行ったゲートウェイに
障害が発生しても、他のゲートウェイにその代役をさせ
ることができるため、このような場合にIPSec通信
不能となることを防止することが可能となる。また、従
来技術の別途鍵交換を行うことにより迂回用のゲートウ
ェイを設定する場合に比べると、負荷の大きい鍵交換を
1度しか行わせないため、ネットワークや、ゲートウェ
イにかかる負荷を大幅に軽減させることが可能となる。
【0027】次に、本発明の請求項10記載の大規模I
PSec VPNプログラムは、鍵転送は、大規模LA
Nのゲートウェイに、大規模LANの他のゲートウェイ
に対して鍵転送を要求させ、他のゲートウェイに、この
要求に対して、OK信号を暗号化させてゲートウェイに
返却させ、ゲートウェイに、この暗号化されたOK信号
を検査させるとともに、鍵を暗号化させて他のゲートウ
ェイに転送させ、他のゲートウェイに、この転送されて
きた鍵を検査させて、ゲートウェイにOK信号を返却さ
せる手順を含む構成としてある。
PSec VPNプログラムは、鍵転送は、大規模LA
Nのゲートウェイに、大規模LANの他のゲートウェイ
に対して鍵転送を要求させ、他のゲートウェイに、この
要求に対して、OK信号を暗号化させてゲートウェイに
返却させ、ゲートウェイに、この暗号化されたOK信号
を検査させるとともに、鍵を暗号化させて他のゲートウ
ェイに転送させ、他のゲートウェイに、この転送されて
きた鍵を検査させて、ゲートウェイにOK信号を返却さ
せる手順を含む構成としてある。
【0028】大規模IPSec VPNプログラムをこ
のような構成にすれば、LANの内部に悪意のユーザが
存在したとしても、鍵転送時における盗聴などを防止さ
せることが可能となる。
のような構成にすれば、LANの内部に悪意のユーザが
存在したとしても、鍵転送時における盗聴などを防止さ
せることが可能となる。
【0029】次に、本発明の請求項11記載の大規模I
PSec VPNプログラムは、大規模LANのゲート
ウェイの鍵転送部が、鍵転送を受けた場合には、この転
送されてきた鍵を用いて、ゲートウェイの鍵転送部に、
ゲートウェイのIPSec部に対して鍵設定を行わせる
とともに、大規模LANのさらなる他のゲートウェイに
対して鍵転送を行わせる構成としてある。
PSec VPNプログラムは、大規模LANのゲート
ウェイの鍵転送部が、鍵転送を受けた場合には、この転
送されてきた鍵を用いて、ゲートウェイの鍵転送部に、
ゲートウェイのIPSec部に対して鍵設定を行わせる
とともに、大規模LANのさらなる他のゲートウェイに
対して鍵転送を行わせる構成としてある。
【0030】大規模IPSec VPNプログラムをこ
のような構成にすれば、大規模LANのゲートウェイ
が、3台以上の場合に、鍵転送を受けたゲートウェイ
に、さらに他のゲートウェイへ鍵転送を行わせることが
できるため、鍵転送の効率化を図ることが可能となる。
のような構成にすれば、大規模LANのゲートウェイ
が、3台以上の場合に、鍵転送を受けたゲートウェイ
に、さらに他のゲートウェイへ鍵転送を行わせることが
できるため、鍵転送の効率化を図ることが可能となる。
【0031】次に、本発明の請求項12記載の鍵共有情
報処理装置は、通信回線を介してIPSecによる鍵交
換を行う際に、鍵転送も行う鍵共有情報処理装置であっ
て、鍵共有情報処理装置のインターネットキーエクスチ
ェンジ部が、鍵交換を行った場合には、このインターネ
ットキーエクスチェンジ部が、鍵共有情報処理装置のI
PSec部に鍵設定を行うとともに、鍵共有情報処理装
置の鍵転送部に鍵転送を要求し、この鍵転送部が他の鍵
共有情報処理装置に鍵転送を行い、鍵共有情報処理装置
の鍵転送部が、鍵転送を受けた場合には、この転送され
てきた鍵を用いて、鍵共有情報処理装置のIPSec部
に鍵設定を行う構成としてある。
報処理装置は、通信回線を介してIPSecによる鍵交
換を行う際に、鍵転送も行う鍵共有情報処理装置であっ
て、鍵共有情報処理装置のインターネットキーエクスチ
ェンジ部が、鍵交換を行った場合には、このインターネ
ットキーエクスチェンジ部が、鍵共有情報処理装置のI
PSec部に鍵設定を行うとともに、鍵共有情報処理装
置の鍵転送部に鍵転送を要求し、この鍵転送部が他の鍵
共有情報処理装置に鍵転送を行い、鍵共有情報処理装置
の鍵転送部が、鍵転送を受けた場合には、この転送され
てきた鍵を用いて、鍵共有情報処理装置のIPSec部
に鍵設定を行う構成としてある。
【0032】鍵共有情報処理装置をこのような構成にす
れば、自分が鍵交換を行った場合には、自身のIPSe
c部に鍵設定を行うとともに、他の鍵共有情報処理装置
に鍵を転送し、他の鍵共有情報処理装置が鍵設定を行っ
た場合には、鍵転送を受けるとともに、この転送されて
きた鍵を自身のIPSec部に設定することが可能とな
る。
れば、自分が鍵交換を行った場合には、自身のIPSe
c部に鍵設定を行うとともに、他の鍵共有情報処理装置
に鍵を転送し、他の鍵共有情報処理装置が鍵設定を行っ
た場合には、鍵転送を受けるとともに、この転送されて
きた鍵を自身のIPSec部に設定することが可能とな
る。
【0033】そして、大規模LANなどにおいて、この
ような鍵共有情報処理装置をLAN外との情報の送受信
の窓口として用いることにより、特定の鍵共有情報処理
装置に障害が発生しても、この鍵共有情報処理装置から
鍵転送を受けた他の鍵共有情報処理装置が、その代役を
果たすことにより、通信不能となることを防止すること
が可能となる。
ような鍵共有情報処理装置をLAN外との情報の送受信
の窓口として用いることにより、特定の鍵共有情報処理
装置に障害が発生しても、この鍵共有情報処理装置から
鍵転送を受けた他の鍵共有情報処理装置が、その代役を
果たすことにより、通信不能となることを防止すること
が可能となる。
【0034】また、このような鍵共有情報処理装置を、
大規模IPSec VPN以外に応用してもかまわな
い。例えば、インターネットショッピングなどにおい
て、利用者端末が、ショップにおける本発明の鍵共有情
報処理装置とセキュリティを確立する際に、ショップの
別個の鍵共有情報処理装置に鍵転送を行うことによっ
て、利用者のショッピング中にショップの鍵共有情報処
理装置に障害が発生しても、その別個の鍵共有情報処理
装置に以降の処理を代行させることによって、通信不能
となることを防止することが可能となる。
大規模IPSec VPN以外に応用してもかまわな
い。例えば、インターネットショッピングなどにおい
て、利用者端末が、ショップにおける本発明の鍵共有情
報処理装置とセキュリティを確立する際に、ショップの
別個の鍵共有情報処理装置に鍵転送を行うことによっ
て、利用者のショッピング中にショップの鍵共有情報処
理装置に障害が発生しても、その別個の鍵共有情報処理
装置に以降の処理を代行させることによって、通信不能
となることを防止することが可能となる。
【0035】次に、本発明の請求項13記載の鍵共有情
報処理装置は、大規模IPSecVPNにおけるゲート
ウェイである構成としてある。鍵共有情報処理装置をこ
のような構成にすれば、上記のような鍵転送機能を大規
模IPSec VPNにおけるゲートウェイにもたせる
ことが可能となる。
報処理装置は、大規模IPSecVPNにおけるゲート
ウェイである構成としてある。鍵共有情報処理装置をこ
のような構成にすれば、上記のような鍵転送機能を大規
模IPSec VPNにおけるゲートウェイにもたせる
ことが可能となる。
【0036】
【発明の実施の形態】以下、本発明の実施形態につき、
図面を参照して説明する。 [第一実施形態]まず、本発明の第一実施形態につい
て、図1を参照して説明する。同図は、本実施形態にお
ける大規模IPSec VPNシステムの構成を示すブ
ロック図である。
図面を参照して説明する。 [第一実施形態]まず、本発明の第一実施形態につい
て、図1を参照して説明する。同図は、本実施形態にお
ける大規模IPSec VPNシステムの構成を示すブ
ロック図である。
【0037】同図に示すように、大規模IPSec V
PNシステムは、LAN A10、LAN B20及び
通信回線30を有している。LAN A10は、複数の
ゲートウェイを有する大規模LANであって、ゲートウ
ェイA1(GW_A1)11とゲートウェイA2(GW
_A2)12等を有している。
PNシステムは、LAN A10、LAN B20及び
通信回線30を有している。LAN A10は、複数の
ゲートウェイを有する大規模LANであって、ゲートウ
ェイA1(GW_A1)11とゲートウェイA2(GW
_A2)12等を有している。
【0038】また、LAN B20は、その他のLAN
であって、その規模に特に制限はないが、ゲートウェイ
B(GW_B)21等を有している。これらLAN A
10とLAN B20とは通信回線30を介して接続さ
れている。
であって、その規模に特に制限はないが、ゲートウェイ
B(GW_B)21等を有している。これらLAN A
10とLAN B20とは通信回線30を介して接続さ
れている。
【0039】そして、これらLAN A10とLAN
B20が通信するにあたり、IPSecによるセキュリ
ティを確保したい場合には、通常、例えばゲートウェイ
A111と、ゲートウェイB 21が、IKE(インタ
ーネットキーエクスチェンジ)による鍵交換を行って同
じ鍵を共有し、その鍵を使ってIPSec通信を行う。
B20が通信するにあたり、IPSecによるセキュリ
ティを確保したい場合には、通常、例えばゲートウェイ
A111と、ゲートウェイB 21が、IKE(インタ
ーネットキーエクスチェンジ)による鍵交換を行って同
じ鍵を共有し、その鍵を使ってIPSec通信を行う。
【0040】この際、本実施形態においては、ゲートウ
ェイA1 11と、ゲートウェイB21が鍵交換を行う
にあたり、ゲートウェイA1 11が、ゲートウェイA
212に鍵転送を行って、その後ゲートウェイA1 1
1に障害が発生しても、ゲートウェイA2 12にIP
Sec通信機能を代行させることを可能とする。
ェイA1 11と、ゲートウェイB21が鍵交換を行う
にあたり、ゲートウェイA1 11が、ゲートウェイA
212に鍵転送を行って、その後ゲートウェイA1 1
1に障害が発生しても、ゲートウェイA2 12にIP
Sec通信機能を代行させることを可能とする。
【0041】通信回線30としては、従来公知の任意好
適な公衆回線、商業回線又は専用回線を用いることがで
きる。また、ゲートウェイA1 11、ゲートウェイA
212及びゲートウェイB 21等のそれぞれの間にお
いては、同一又は別個の通信回線で構成することができ
る。
適な公衆回線、商業回線又は専用回線を用いることがで
きる。また、ゲートウェイA1 11、ゲートウェイA
212及びゲートウェイB 21等のそれぞれの間にお
いては、同一又は別個の通信回線で構成することができ
る。
【0042】さらに、通信回線30は、ゲートウェイA
1 11、ゲートウェイA2 12及びゲートウェイB
21等のそれぞれの間を、無線あるいは有線で接続可
能な回線であり、例えば、携帯端末網、公衆回線網、専
用回線網及びインターネット回線網により構成すること
ができる。
1 11、ゲートウェイA2 12及びゲートウェイB
21等のそれぞれの間を、無線あるいは有線で接続可
能な回線であり、例えば、携帯端末網、公衆回線網、専
用回線網及びインターネット回線網により構成すること
ができる。
【0043】次に、図2を用いて、上記各ゲートウェイ
の機能について、その処理手順とともに詳細に説明す
る。ゲートウェイA1 11は、IKE部111、IP
Sec部112、鍵転送部113を有している。また、
ゲートウェイA2 12も同様に、IKE部121、I
PSec部122、鍵転送部123を有しており、ゲー
トウェイB 21は、IKE部211及びIPSec部
212を有している。
の機能について、その処理手順とともに詳細に説明す
る。ゲートウェイA1 11は、IKE部111、IP
Sec部112、鍵転送部113を有している。また、
ゲートウェイA2 12も同様に、IKE部121、I
PSec部122、鍵転送部123を有しており、ゲー
トウェイB 21は、IKE部211及びIPSec部
212を有している。
【0044】そして、IKE部111が、IKE部21
1と鍵交換を行う(ステップ10)と、これらはそれぞ
れ、IPSec部112、IPSec部212に鍵設定
を行う(ステップ11)。この鍵交換としては、IKE
による従来の鍵交換技術を用いる。そして、鍵設定によ
って、それぞれのIPSec部に共通の鍵が設定され
る。
1と鍵交換を行う(ステップ10)と、これらはそれぞ
れ、IPSec部112、IPSec部212に鍵設定
を行う(ステップ11)。この鍵交換としては、IKE
による従来の鍵交換技術を用いる。そして、鍵設定によ
って、それぞれのIPSec部に共通の鍵が設定され
る。
【0045】次に、鍵交換を行ったゲートウェイA1
11のIKE部111は、鍵転送部113に鍵転送要求
を行い(ステップ12)、この鍵転送部113は、ゲー
トウェイA2 12の鍵転送部123に鍵転送を行う
(ステップ13)。鍵転送を受けた鍵転送部123は、
IPSec部122に鍵設定を行う(ステップ14)。
11のIKE部111は、鍵転送部113に鍵転送要求
を行い(ステップ12)、この鍵転送部113は、ゲー
トウェイA2 12の鍵転送部123に鍵転送を行う
(ステップ13)。鍵転送を受けた鍵転送部123は、
IPSec部122に鍵設定を行う(ステップ14)。
【0046】このようにすることによって、ゲートウェ
イB 21のIPSec部212は、ゲートウェイA1
11のIPSec部112とIPSec通信を行うこ
とができるとともに、ゲートウェイA1 11に障害が
発生して、これと通信を行うことができなくなった場合
にあっても、ゲートウェイA2 12のIPSec部1
22とIPSec通信を行うことが可能となる(ステッ
プ15)。
イB 21のIPSec部212は、ゲートウェイA1
11のIPSec部112とIPSec通信を行うこ
とができるとともに、ゲートウェイA1 11に障害が
発生して、これと通信を行うことができなくなった場合
にあっても、ゲートウェイA2 12のIPSec部1
22とIPSec通信を行うことが可能となる(ステッ
プ15)。
【0047】次に、図3を用いて、上記鍵転送の処理手
順について詳細に説明する。同図は、本実施形態の大規
模IPSec VPNシステムにおける鍵転送プロトコ
ルの動作を表わす動作手順図である。まず、ゲートウェ
イA1 11の鍵転送部113が、ゲートウェイA2
12の鍵転送部123に対して、鍵転送を要求する(ス
テップ20)。
順について詳細に説明する。同図は、本実施形態の大規
模IPSec VPNシステムにおける鍵転送プロトコ
ルの動作を表わす動作手順図である。まず、ゲートウェ
イA1 11の鍵転送部113が、ゲートウェイA2
12の鍵転送部123に対して、鍵転送を要求する(ス
テップ20)。
【0048】これに対して、鍵転送部123は、鍵転送
部113にOK信号を返す(ステップ21)。このとき
のOK信号は、IPSec処理の一種である認証付暗号
ESP(Encapsulating Securit
y Protocol)により暗号化されて送信され
る。
部113にOK信号を返す(ステップ21)。このとき
のOK信号は、IPSec処理の一種である認証付暗号
ESP(Encapsulating Securit
y Protocol)により暗号化されて送信され
る。
【0049】OK信号を受けた鍵転送部113は、この
OK信号の認証符号を検査し、鍵を転送する相手が本物
のゲートウェイA2 12であることを確認する(ステ
ップ22)。そして、鍵転送部113は、鍵転送部12
3に鍵転送を行う(ステップ23)。
OK信号の認証符号を検査し、鍵を転送する相手が本物
のゲートウェイA2 12であることを確認する(ステ
ップ22)。そして、鍵転送部113は、鍵転送部12
3に鍵転送を行う(ステップ23)。
【0050】このときの鍵データも認証付暗号ESPに
よってIPSec処理される。このような暗号化を行う
ことによって、LAN A10内に悪意のユーザが存在
しても、盗聴などを行うことはできない。そして、鍵転
送部123は、送信されてきた鍵データの認証符号を検
査し、鍵データを送ったのが本物のゲートウェイA1
11であることを確認する(ステップ24)。
よってIPSec処理される。このような暗号化を行う
ことによって、LAN A10内に悪意のユーザが存在
しても、盗聴などを行うことはできない。そして、鍵転
送部123は、送信されてきた鍵データの認証符号を検
査し、鍵データを送ったのが本物のゲートウェイA1
11であることを確認する(ステップ24)。
【0051】最後に、鍵転送部123は、転送された鍵
を自らの鍵として設定するとともに、鍵転送部113に
対して、OK信号を返す(ステップ25)。このOK信
号については、特に認証付暗号ESPによるIPSec
処理を行う必要はないが、行ってもかまわない。
を自らの鍵として設定するとともに、鍵転送部113に
対して、OK信号を返す(ステップ25)。このOK信
号については、特に認証付暗号ESPによるIPSec
処理を行う必要はないが、行ってもかまわない。
【0052】次に、第一実施形態の大規模IPSec
VPNシステムの処理手順について、図4及び図5を参
照して説明する。図4は、本実施形態における鍵交換及
び鍵転送を説明するためのものであり、図5は、鍵転送
が行われた後に、鍵交換を行った大規模LANにおける
ゲートウェイが故障した場合に、どのようにIPSec
通信が実現されるのかを説明するためのものである。
VPNシステムの処理手順について、図4及び図5を参
照して説明する。図4は、本実施形態における鍵交換及
び鍵転送を説明するためのものであり、図5は、鍵転送
が行われた後に、鍵交換を行った大規模LANにおける
ゲートウェイが故障した場合に、どのようにIPSec
通信が実現されるのかを説明するためのものである。
【0053】なお、これらの図において、R1、R2、
R3は通信回線上に存在し、それぞれゲートウェイB
21、ゲートウェイA1 11、ゲートウェイA2 1
2との情報の送受信を中継するルータであり、これら以
外の構成及びその機能については、図1と同様である。
R3は通信回線上に存在し、それぞれゲートウェイB
21、ゲートウェイA1 11、ゲートウェイA2 1
2との情報の送受信を中継するルータであり、これら以
外の構成及びその機能については、図1と同様である。
【0054】まず、図4において、ゲートウェイA1
11とゲートウェイB 21の間で、鍵交換が行われる
と(ステップ30)、ゲートウェイA1 11は、ゲー
トウェイA2 12に対して上述したようなネゴシエー
ションを行って、鍵転送を行う(ステップ31)。
11とゲートウェイB 21の間で、鍵交換が行われる
と(ステップ30)、ゲートウェイA1 11は、ゲー
トウェイA2 12に対して上述したようなネゴシエー
ションを行って、鍵転送を行う(ステップ31)。
【0055】次に、図5において、ゲートウェイA1
11に障害が発生し、通信回線を介した通信が行えなく
なると(ステップ40)、ルーティングプロトコルによ
ってR2がこれを認識するとともに、R1、R3にその
情報を伝達し、ゲートウェイA1 11宛の全てのパケ
ットを、ゲートウェイA2 12に転送するように、経
路情報が修正される(ステップ41)。
11に障害が発生し、通信回線を介した通信が行えなく
なると(ステップ40)、ルーティングプロトコルによ
ってR2がこれを認識するとともに、R1、R3にその
情報を伝達し、ゲートウェイA1 11宛の全てのパケ
ットを、ゲートウェイA2 12に転送するように、経
路情報が修正される(ステップ41)。
【0056】そして、LAN B20におけるホストb
(Host b)が、LAN A10におけるホストa
(Host a)に対してパケットを発信すると(ステ
ップ42)、ゲートウェイB 21は、このパケットを
受け取って、正常時と同様にIPSecのカプセル化を
行って(ステップ43)、最寄りのルータR1に転送す
る。このとき、ステップ41により転送経路情報が変更
されているため、通信回線を通ったパケットは、鍵交換
を行ったゲートウェイA1 11ではなく、最終的に、
ゲートウェイA2 12にたどり着く(ステップ4
4)。
(Host b)が、LAN A10におけるホストa
(Host a)に対してパケットを発信すると(ステ
ップ42)、ゲートウェイB 21は、このパケットを
受け取って、正常時と同様にIPSecのカプセル化を
行って(ステップ43)、最寄りのルータR1に転送す
る。このとき、ステップ41により転送経路情報が変更
されているため、通信回線を通ったパケットは、鍵交換
を行ったゲートウェイA1 11ではなく、最終的に、
ゲートウェイA2 12にたどり着く(ステップ4
4)。
【0057】ゲートウェイA2 12は、ゲートウェイ
B 21と共有する鍵をもっているため、これを使って
逆カプセル化を行い(ステップ45)、この逆カプセル
化されたパケットは、ゲートウェイA2 12によっ
て、ホストaに転送される(ステップ46)。このよう
にして、ゲートウェイA1 11の障害にも拘わらず、
ホストaとホストb間のIPSec通信は成立する。
B 21と共有する鍵をもっているため、これを使って
逆カプセル化を行い(ステップ45)、この逆カプセル
化されたパケットは、ゲートウェイA2 12によっ
て、ホストaに転送される(ステップ46)。このよう
にして、ゲートウェイA1 11の障害にも拘わらず、
ホストaとホストb間のIPSec通信は成立する。
【0058】[第二実施形態]次に、本発明の第二実施
形態につき、図6を参照して説明する。同図は、本実施
形態の大規模IPSec VPNシステムの機能を示す
ブロック図である。本実施形態は、第一実施形態と比較
して、LAN A10において、鍵転送が複数回行われ
る点で相違する。
形態につき、図6を参照して説明する。同図は、本実施
形態の大規模IPSec VPNシステムの機能を示す
ブロック図である。本実施形態は、第一実施形態と比較
して、LAN A10において、鍵転送が複数回行われ
る点で相違する。
【0059】同図に示すように、本実施形態の大規模I
PSec VPNシステムのLANA10は、ゲートウ
ェイA1 11、ゲートウェイA2 12、ゲートウェ
イA3 13を有している。これ以外の構成及びその機
能については、図1におけるものと同様である。まず、
ゲートウェイA1 11とゲートウェイB 21間で鍵
交換が行われると(ステップ50)、ゲートウェイA1
11は、この鍵を自らに設定するとともに、ゲートウ
ェイA2 12に対して鍵転送を行う。
PSec VPNシステムのLANA10は、ゲートウ
ェイA1 11、ゲートウェイA2 12、ゲートウェ
イA3 13を有している。これ以外の構成及びその機
能については、図1におけるものと同様である。まず、
ゲートウェイA1 11とゲートウェイB 21間で鍵
交換が行われると(ステップ50)、ゲートウェイA1
11は、この鍵を自らに設定するとともに、ゲートウ
ェイA2 12に対して鍵転送を行う。
【0060】鍵転送を受けたゲートウェイA2 12
は、自ら鍵設定を行うとともに、さらにゲートウェイA
3 13に対して、鍵転送を行う。そして、ゲートウェ
イA3 13は、自ら鍵設定を行うとともに、鍵をさら
にゲートウェイA1 11に送信し、ゲートウェイA1
11が、この送信されてきた鍵が、自分が転送した鍵
と一致することを確認して鍵転送を終了する(ステップ
51)。
は、自ら鍵設定を行うとともに、さらにゲートウェイA
3 13に対して、鍵転送を行う。そして、ゲートウェ
イA3 13は、自ら鍵設定を行うとともに、鍵をさら
にゲートウェイA1 11に送信し、ゲートウェイA1
11が、この送信されてきた鍵が、自分が転送した鍵
と一致することを確認して鍵転送を終了する(ステップ
51)。
【0061】なお、本実施形態においては、LAN A
10内の3台のゲートウェイ間で、鍵転送を行っている
が、より多くのゲートウェイ間で同様の処理を行うこと
もできる。また、本実施形態においては、鍵転送を受け
たゲートウェイが、次に他のゲートウェイに鍵転送を順
次行う手順としているが、より多くのゲートウェイ間で
転送処理を行う場合には、所定の鍵転送経路を設定する
などして、鍵交換を行ったゲートウェイと鍵転送を受け
たゲートウェイをコピー元として、まだ鍵転送を受けて
いないゲートウェイに対し、複数の転送を同時に実行す
ることによって、速やかに転送を行うことも可能であ
る。
10内の3台のゲートウェイ間で、鍵転送を行っている
が、より多くのゲートウェイ間で同様の処理を行うこと
もできる。また、本実施形態においては、鍵転送を受け
たゲートウェイが、次に他のゲートウェイに鍵転送を順
次行う手順としているが、より多くのゲートウェイ間で
転送処理を行う場合には、所定の鍵転送経路を設定する
などして、鍵交換を行ったゲートウェイと鍵転送を受け
たゲートウェイをコピー元として、まだ鍵転送を受けて
いないゲートウェイに対し、複数の転送を同時に実行す
ることによって、速やかに転送を行うことも可能であ
る。
【0062】さらに、マルチキャスト(Multica
st)IPSecによって、大規模LANのゲートウェ
イに一斉に鍵転送し、鍵設定を行うようにしてもよい。
また、以上の実施形態では、LAN B20内におい
て、鍵転送処理を行ってはいないが、LAN B20が
複数のゲートウェイを有する場合にはLAN A10に
おける場合と同様に、必要に応じて鍵転送による鍵の共
有化を行うことはもちろん可能である。
st)IPSecによって、大規模LANのゲートウェ
イに一斉に鍵転送し、鍵設定を行うようにしてもよい。
また、以上の実施形態では、LAN B20内におい
て、鍵転送処理を行ってはいないが、LAN B20が
複数のゲートウェイを有する場合にはLAN A10に
おける場合と同様に、必要に応じて鍵転送による鍵の共
有化を行うことはもちろん可能である。
【0063】加えて、これらの実施形態におけるゲート
ウェイの機能を、VPN以外に応用することも可能であ
る。すなわち、このような鍵転送機能による鍵の共有化
を、例えば、インターネット上にショップを提供するサ
ーバなどの情報処理装置(鍵共有情報処理装置)に用い
ることにより、インターネットショッピングにおいてセ
キュリティを確立した後に、一部の情報処理装置に障害
が発生したとしても、通信不能となることを防止するこ
とが可能となる。
ウェイの機能を、VPN以外に応用することも可能であ
る。すなわち、このような鍵転送機能による鍵の共有化
を、例えば、インターネット上にショップを提供するサ
ーバなどの情報処理装置(鍵共有情報処理装置)に用い
ることにより、インターネットショッピングにおいてセ
キュリティを確立した後に、一部の情報処理装置に障害
が発生したとしても、通信不能となることを防止するこ
とが可能となる。
【0064】そして、このような処理についても、上記
実施形態において、ゲートウェイの代わりに鍵共有情報
処理装置を用いることにより、同様の構成(ただし、こ
の場合、LAN A10は大規模でなくともよい。)
で、同様の鍵転送プロトコルを用いて実現することが可
能である。
実施形態において、ゲートウェイの代わりに鍵共有情報
処理装置を用いることにより、同様の構成(ただし、こ
の場合、LAN A10は大規模でなくともよい。)
で、同様の鍵転送プロトコルを用いて実現することが可
能である。
【0065】大規模IPSec VPNシステムにおけ
る処理手順をこのような順序とすれば、大規模LAN内
のゲートウェイが鍵をコピーすることによって、実際に
は鍵交換をしていない相手とも鍵を共有することができ
るため、複数のゲートウェイを有する大規模なLANと
IPSecによるVPNを構築するにあたり、その一部
のゲートウェイの障害などによる通信不能を防止するこ
とが可能となる。また、大規模LAN内のゲートウェイ
間における鍵の共有化を、鍵転送によって行うことによ
り、このような鍵の共有化を鍵交換によって行う場合に
比較すると、装置にかかる負荷を大幅に削減することが
可能となる。
る処理手順をこのような順序とすれば、大規模LAN内
のゲートウェイが鍵をコピーすることによって、実際に
は鍵交換をしていない相手とも鍵を共有することができ
るため、複数のゲートウェイを有する大規模なLANと
IPSecによるVPNを構築するにあたり、その一部
のゲートウェイの障害などによる通信不能を防止するこ
とが可能となる。また、大規模LAN内のゲートウェイ
間における鍵の共有化を、鍵転送によって行うことによ
り、このような鍵の共有化を鍵交換によって行う場合に
比較すると、装置にかかる負荷を大幅に削減することが
可能となる。
【0066】上記の実施形態における鍵転送等は、大規
模IPSec VPNプログラムにより実行される。こ
の大規模IPSec VPNプログラムは、コンピュー
タの各構成要素に指令を送り、所定の処理、例えば、鍵
転送処理等を行わせる。これによって、これらの処理
は、大規模IPSec VPNプログラムとコンピュー
タとが協働したゲートウェイA1 11、ゲートウェイ
A2 12等により実現される。
模IPSec VPNプログラムにより実行される。こ
の大規模IPSec VPNプログラムは、コンピュー
タの各構成要素に指令を送り、所定の処理、例えば、鍵
転送処理等を行わせる。これによって、これらの処理
は、大規模IPSec VPNプログラムとコンピュー
タとが協働したゲートウェイA1 11、ゲートウェイ
A2 12等により実現される。
【0067】なお、大規模IPSec VPNプログラ
ムは、コンピュータのROMやハードディスクに記憶さ
せる他、コンピュータ読み取り可能な記録媒体、例え
ば、外部記憶装置及び可搬記録媒体等に格納することが
できる。外部記憶装置とは、磁気ディスク等の記録媒体
を内蔵し、例えばゲートウェイA1 11などに外部接
続される記憶増設装置をいう。一方、可搬記録媒体と
は、記録媒体駆動装置(ドライブ装置)に装着でき、か
つ、持ち運び可能な記録媒体であって、例えば、CD−
ROM、フレキシブルディスク、メモリカード、光磁気
ディスク等をいう。
ムは、コンピュータのROMやハードディスクに記憶さ
せる他、コンピュータ読み取り可能な記録媒体、例え
ば、外部記憶装置及び可搬記録媒体等に格納することが
できる。外部記憶装置とは、磁気ディスク等の記録媒体
を内蔵し、例えばゲートウェイA1 11などに外部接
続される記憶増設装置をいう。一方、可搬記録媒体と
は、記録媒体駆動装置(ドライブ装置)に装着でき、か
つ、持ち運び可能な記録媒体であって、例えば、CD−
ROM、フレキシブルディスク、メモリカード、光磁気
ディスク等をいう。
【0068】そして、記録媒体に記録されたプログラム
は、コンピュータのRAMにロードされて、CPUによ
り実行される。この実行により、上述した本実施形態の
ゲートウェイA1 11、ゲートウェイA2 12等の
機能が実現される。さらに、コンピュータで大規模IP
Sec VPNプログラムをロードする場合、他のコン
ピュータで保有された大規模IPSec VPNプログ
ラムを、通信回線を利用して自己の有するRAMや外部
記憶装置にダウンロードすることもできる。このダウン
ロードされた大規模IPSec VPNプログラムも、
CPUにより実行され、鍵転送処理等を実現する。
は、コンピュータのRAMにロードされて、CPUによ
り実行される。この実行により、上述した本実施形態の
ゲートウェイA1 11、ゲートウェイA2 12等の
機能が実現される。さらに、コンピュータで大規模IP
Sec VPNプログラムをロードする場合、他のコン
ピュータで保有された大規模IPSec VPNプログ
ラムを、通信回線を利用して自己の有するRAMや外部
記憶装置にダウンロードすることもできる。このダウン
ロードされた大規模IPSec VPNプログラムも、
CPUにより実行され、鍵転送処理等を実現する。
【0069】なお、本発明は以上の実施形態に限定され
るものではなく、これをVPN構築以外の場合にも応用
することができる。例えば、インターネットショッピン
グにおいて、利用者端末が、ショップのサーバとセキュ
リティを確立する際に、ショップの別個のサーバに鍵転
送を行うことによって、利用者のショッピング中にショ
ップのサーバに障害が発生しても、その別個のサーバに
以降の処理を代行させることによって、通信不能となら
なくするなど、適宜設計変更できるものである。
るものではなく、これをVPN構築以外の場合にも応用
することができる。例えば、インターネットショッピン
グにおいて、利用者端末が、ショップのサーバとセキュ
リティを確立する際に、ショップの別個のサーバに鍵転
送を行うことによって、利用者のショッピング中にショ
ップのサーバに障害が発生しても、その別個のサーバに
以降の処理を代行させることによって、通信不能となら
なくするなど、適宜設計変更できるものである。
【0070】
【発明の効果】以上のように、本発明によれば、複数の
ゲートウェイを有する大規模なLANとIPSecによ
るVPNを構築する場合に、一部のゲートウェイの障害
などによる通信不能を防止することができる。
ゲートウェイを有する大規模なLANとIPSecによ
るVPNを構築する場合に、一部のゲートウェイの障害
などによる通信不能を防止することができる。
【0071】また、鍵交換によって装置にかかる負荷を
大幅に軽減することが可能となる。すなわち、IKEに
よる鍵交換は、公開鍵暗号技術にもとづく処理であり、
他の処理に比べて非常に負荷が大きく、障害時の迂回を
考えて2つ以上のゲートウェイとそれぞれ鍵交換を行え
ば、ゲートウェイの台数分だけ鍵交換を行う必要がある
が、本方式では1度の鍵交換でよい。
大幅に軽減することが可能となる。すなわち、IKEに
よる鍵交換は、公開鍵暗号技術にもとづく処理であり、
他の処理に比べて非常に負荷が大きく、障害時の迂回を
考えて2つ以上のゲートウェイとそれぞれ鍵交換を行え
ば、ゲートウェイの台数分だけ鍵交換を行う必要がある
が、本方式では1度の鍵交換でよい。
【0072】さらに、システム全体を安価に構築するこ
とが期待できる。これは、パケットがどのゲートウェイ
に渡されるかはインターネット上のルータが決める方式
であるため、大規模なLANにアクセスする側のLAN
は、相手のどのゲートウェイと通信しているかを意識し
なくて良いからである。すなわち、これは本方式を実現
するためにアクセスする側のゲートウェイに特別な仕掛
けが必要ないことを意味する。
とが期待できる。これは、パケットがどのゲートウェイ
に渡されるかはインターネット上のルータが決める方式
であるため、大規模なLANにアクセスする側のLAN
は、相手のどのゲートウェイと通信しているかを意識し
なくて良いからである。すなわち、これは本方式を実現
するためにアクセスする側のゲートウェイに特別な仕掛
けが必要ないことを意味する。
【0073】このようなネットワークは、一般に、1つ
の大規模LANに多数の小規模LANがアクセスする構
成をとるため、小規模LAN側のゲートウェイとして、
IPSec/IKEに対応した通常のIPSec ゲー
トウェイを用いることができれば、システム全体として
安価なものとなる。
の大規模LANに多数の小規模LANがアクセスする構
成をとるため、小規模LAN側のゲートウェイとして、
IPSec/IKEに対応した通常のIPSec ゲー
トウェイを用いることができれば、システム全体として
安価なものとなる。
【0074】また、大規模IPSec VPNプログラ
ムは、コンピュータの各構成要素へ所定の指令を送るこ
とにより、このコンピュータに、鍵転送機能等を実現さ
せることができる。これによって、これらの機能等は、
大規模IPSec VPNプログラムとコンピュータと
が協働したゲートウェイ等により実現可能である。
ムは、コンピュータの各構成要素へ所定の指令を送るこ
とにより、このコンピュータに、鍵転送機能等を実現さ
せることができる。これによって、これらの機能等は、
大規模IPSec VPNプログラムとコンピュータと
が協働したゲートウェイ等により実現可能である。
【図1】本発明の第一実施形態における大規模IPSe
c VPNシステムの構成を示すブロック図である。
c VPNシステムの構成を示すブロック図である。
【図2】本発明の第一実施形態における大規模IPSe
c VPNシステムのゲートウェイの機能を示すブロッ
ク図である。
c VPNシステムのゲートウェイの機能を示すブロッ
ク図である。
【図3】本発明の各実施形態における大規模IPSec
VPNシステムの鍵転送プロトコルの動作を示す動作
手順図である。
VPNシステムの鍵転送プロトコルの動作を示す動作
手順図である。
【図4】本発明の第一実施形態における大規模IPSe
c VPNシステムの機能を示すブロック図(1)であ
る。
c VPNシステムの機能を示すブロック図(1)であ
る。
【図5】本発明の第一実施形態における大規模IPSe
c VPNシステムの機能を示すブロック図(2)であ
る。
c VPNシステムの機能を示すブロック図(2)であ
る。
【図6】本発明の第二実施形態における大規模IPSe
c VPNシステムの機能を示すブロック図である。
c VPNシステムの機能を示すブロック図である。
10 LAN A
11 ゲートウェイA1(GW_A1)
12 ゲートウェイA2(GW_A2)
13 ゲートウェイA3(GW_A3)
14 ホストa(Host a)
20 LAN B
21 ゲートウェイB(GW_B)
22 ホストb(Host b)
30 通信回線
31 ルータ1(R1)
32 ルータ2(R2)
33 ルータ3(R3)
Claims (13)
- 【請求項1】 複数のゲートウェイを有する大規模LA
Nのゲートウェイと、その他のLANのゲートウェイと
の間で、IPSecにもとづく鍵交換が行われた場合に
おいて、 前記大規模LANのゲートウェイのインターネットキー
エクスチェンジ部が、このゲートウェイのIPSec部
に鍵設定を行うとともに、このゲートウェイの鍵転送部
に鍵転送を要求し、 前記ゲートウェイの鍵転送部が、前記要求に応じて、前
記大規模LANの他のゲートウェイの鍵転送部に鍵転送
を行い、 前記他のゲートウェイの鍵転送部が、この転送されてき
た鍵を用いて、前記他のゲートウェイのIPSec部に
鍵設定を行うことを特徴とする大規模IPSec VP
Nの構築方法。 - 【請求項2】 前記鍵転送は、 前記大規模LANの前記ゲートウェイが、前記大規模L
ANの前記他のゲートウェイに鍵転送を要求し、 前記他のゲートウェイが、この要求に対して、OK信号
を暗号化して前記ゲートウェイに返し、 前記ゲートウェイが、この暗号化されたOK信号を検査
するとともに、前記鍵を暗号化して前記他のゲートウェ
イに転送し、 前記他のゲートウェイが、この転送されてきた鍵を検査
して、前記ゲートウェイにOK信号を返す手順を含むこ
とを特徴とする請求項1記載の大規模IPSec VP
Nの構築方法。 - 【請求項3】 前記大規模LANの前記他のゲートウェ
イの鍵転送部が、前記大規模LANの前記ゲートウェイ
から鍵転送を受けると、前記他のゲートウェイのIPS
ec部に鍵設定を行うとともに、この鍵を前記大規模L
ANのさらなる他のゲートウェイの鍵転送部に転送し、 前記さらなる他のゲートウェイも、前記他のゲートウェ
イと同様に、自分のIPSec部に鍵設定を行うととも
に、この鍵を前記ゲートウェイの鍵転送部に転送し、 前記ゲートウェイは、転送されてきた前記鍵が、最初に
自分が転送した鍵に一致すること確認することを特徴と
する請求項1又は2記載の大規模IPSec VPNの
構築方法。 - 【請求項4】 複数のゲートウェイを有する大規模LA
Nのゲートウェイと、その他のLANのゲートウェイと
の間で、IPSecにもとづく鍵交換が行われると、前
記大規模LAN内のゲートウェイ間で鍵転送が行われる
大規模IPSec VPNシステムであって、 インターネットキーエクスチェンジ部により前記その他
のLANのゲートウェイと鍵交換を行うとともに、この
インターネットキーエクスチェンジ部により自分のIP
Sec部に鍵設定を行って、自分の鍵転送部に鍵転送を
要求し、この鍵転送部により前記大規模LANの他のゲ
ートウェイに鍵転送を行う前記大規模LANの前記ゲー
トウェイと、 前記大規模LANの前記ゲートウェイから、鍵転送部が
鍵転送を受けるとともに、自分のIPSec部に鍵設定
を行う前記大規模LANの前記他のゲートウェイと、 前記大規模LANの前記ゲートウェイと鍵交換を行う前
記その他のLANのゲートウェイと、 前記大規模LANの前記ゲートウェイと、前記大規模L
ANの前記他のゲートウェイと、前記その他のLANの
ゲートウェイを接続する通信回線とを有することを特徴
とする大規模IPSec VPNシステム。 - 【請求項5】 前記鍵転送は、 前記大規模LANの前記ゲートウェイが、前記大規模L
ANの前記他のゲートウェイに鍵転送を要求し、 前記他のゲートウェイが、この要求に対して、OK信号
を暗号化して前記ゲートウェイに返し、 前記ゲートウェイが、この暗号化されたOK信号を検査
するとともに、前記鍵を暗号化して前記他のゲートウェ
イに転送し、 前記他のゲートウェイが、この転送されてきた鍵を検査
して、前記ゲートウェイにOK信号を返す手順を含むこ
とを特徴とする請求項4記載の大規模IPSec VP
Nシステム。 - 【請求項6】 前記大規模LANの前記他のゲートウェ
イの鍵転送部が、前記大規模LANの前記ゲートウェイ
から鍵転送を受けると、前記他のゲートウェイのIPS
ec部に鍵設定を行うとともに、この鍵を前記大規模L
ANのさらなる他のゲートウェイの鍵転送部に転送し、 前記さらなる他のゲートウェイも、前記他のゲートウェ
イと同様に、自分のIPSec部に鍵設定を行うととも
に、この鍵を前記ゲートウェイの鍵転送部に転送し、 前記ゲートウェイは、転送されてきた前記鍵が、最初に
自分が転送した鍵に一致すること確認することを特徴と
する請求項4又は5記載の大規模IPSec VPNシ
ステム。 - 【請求項7】 前記転送が、前記大規模LANが有する
4台以上のゲートウェイについて同様に行われることを
特徴とする請求項6記載の大規模IPSec VPNシ
ステム。 - 【請求項8】 前記大規模LANの前記ゲートウェイ
と、前記その他のLANのゲートウェイが鍵交換を行う
とともに、前記大規模LANの前記ゲートウェイが、前
記大規模LANの前記他のゲートウェイに鍵転送を行
い、 前記大規模LANの前記ゲートウェイに障害が発生する
と、 通信回線上の複数のルータの情報交換によって、前記大
規模LANの前記ゲートウェイ宛の転送を、前記大規模
LANの前記他のゲートウェイに対して行うように経路
情報が修正され、 前記大規模LANのホストに対して、前記その他のLA
Nの他のホストからパケット発信がなされると、前記そ
の他のLANのゲートウェイが、このパケットをカプセ
ル化して、前記大規模LANの前記ゲートウェイ宛に通
信回線を介して送信し、 前記送信されたパケットが、前記修正された経路情報に
従って、前記大規模LANの前記他のゲートウェイに転
送され、 前記大規模LANの前記他のゲートウェイが、前記送信
されたパケットの逆カプセル化を行って、前記大規模L
ANの前記ホストに送信し、 前記大規模LANの前記ホストがこの送信されてきたパ
ケットの受信を行うことを特徴とする請求項4〜7のい
ずれかに記載の大規模IPSec VPNシステム。 - 【請求項9】 大規模LAN内において、鍵転送を行う
大規模IPSecVPNプログラムであって、 前記大規模LANのゲートウェイのインターネットキー
エクスチェンジ部が、鍵交換を行った場合には、前記ゲ
ートウェイのインターネットキーエクスチェンジ部に、
前記ゲートウェイのIPSec部に対して鍵設定を行わ
せるとともに、前記ゲートウェイの鍵転送部に対して鍵
転送を要求させ、 前記ゲートウェイの鍵転送部に、前記大規模LANの他
のゲートウェイの鍵転送部に対して鍵転送を行わせ、 前記大規模LANの前記ゲートウェイの鍵転送部が、鍵
転送を受けた場合には、この鍵転送部に、転送されてき
た鍵を用いて、前記ゲートウェイのIPSec部に対し
て鍵設定を行わせることを実行させるための大規模IP
Sec VPNプログラム。 - 【請求項10】 前記鍵転送は、 前記大規模LANの前記ゲートウェイに、前記大規模L
ANの前記他のゲートウェイに対して鍵転送を要求さ
せ、 前記他のゲートウェイに、この要求に対して、OK信号
を暗号化させて前記ゲートウェイに返却させ、 前記ゲートウェイに、この暗号化されたOK信号を検査
させるとともに、前記鍵を暗号化させて前記他のゲート
ウェイに転送させ、 前記他のゲートウェイに、この転送されてきた鍵を検査
させて、前記ゲートウェイにOK信号を返却させる手順
を含むことを特徴とする請求項9記載の大規模IPSe
c VPNプログラム。 - 【請求項11】 前記大規模LANの前記ゲートウェイ
の鍵転送部が、鍵転送を受けた場合には、この転送され
てきた鍵を用いて、前記ゲートウェイの鍵転送部に、前
記ゲートウェイのIPSec部に対して鍵設定を行わせ
るとともに、前記大規模LANのさらなる他のゲートウ
ェイに対して鍵転送を行わせることを特徴とする請求項
9又は10記載の大規模IPSec VPNプログラ
ム。 - 【請求項12】 通信回線を介してIPSecによる鍵
交換を行う際に、鍵転送も行う鍵共有情報処理装置であ
って、 前記鍵共有情報処理装置のインターネットキーエクスチ
ェンジ部が、鍵交換を行った場合には、このインターネ
ットキーエクスチェンジ部が、前記鍵共有情報処理装置
のIPSec部に鍵設定を行うとともに、前記鍵共有情
報処理装置の鍵転送部に鍵転送を要求し、この鍵転送部
が他の鍵共有情報処理装置に鍵転送を行い、 前記鍵共有情報処理装置の鍵転送部が、鍵転送を受けた
場合には、この転送されてきた鍵を用いて、前記鍵共有
情報処理装置のIPSec部に鍵設定を行うことを特徴
とする鍵共有情報処理装置。 - 【請求項13】 前記鍵共有情報処理装置が、大規模I
PSec VPNにおけるゲートウェイであることを特
徴とする請求項12記載の鍵共有情報処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001257681A JP3651424B2 (ja) | 2001-08-28 | 2001-08-28 | 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001257681A JP3651424B2 (ja) | 2001-08-28 | 2001-08-28 | 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003069597A true JP2003069597A (ja) | 2003-03-07 |
| JP3651424B2 JP3651424B2 (ja) | 2005-05-25 |
Family
ID=19085303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001257681A Expired - Lifetime JP3651424B2 (ja) | 2001-08-28 | 2001-08-28 | 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3651424B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005099170A1 (ja) * | 2004-04-05 | 2005-10-20 | Nippon Telegraph And Telephone Corporation | パケット暗号処理代理装置 |
| KR100664715B1 (ko) | 2005-12-27 | 2007-01-03 | (주)액텔라 | 게이트웨이 다중화를 제공하는 지알이 기반 가상사설망 |
| US7650500B2 (en) | 2004-10-22 | 2010-01-19 | Fujitsu Limited | Encryption communication system |
| JP2013152362A (ja) * | 2012-01-25 | 2013-08-08 | Oki Electric Ind Co Ltd | 代行パラメータ情報生成装置、代行装置、代行パラメータ情報生成プログラム、代行プログラム及び通信システム |
| KR101686995B1 (ko) * | 2015-07-08 | 2016-12-16 | 주식회사 케이티 | 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법 |
-
2001
- 2001-08-28 JP JP2001257681A patent/JP3651424B2/ja not_active Expired - Lifetime
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005099170A1 (ja) * | 2004-04-05 | 2005-10-20 | Nippon Telegraph And Telephone Corporation | パケット暗号処理代理装置 |
| US7539858B2 (en) | 2004-04-05 | 2009-05-26 | Nippon Telegraph And Telephone Corporation | Packet encryption substituting device, method thereof, and program recording medium |
| US7650500B2 (en) | 2004-10-22 | 2010-01-19 | Fujitsu Limited | Encryption communication system |
| KR100664715B1 (ko) | 2005-12-27 | 2007-01-03 | (주)액텔라 | 게이트웨이 다중화를 제공하는 지알이 기반 가상사설망 |
| JP2013152362A (ja) * | 2012-01-25 | 2013-08-08 | Oki Electric Ind Co Ltd | 代行パラメータ情報生成装置、代行装置、代行パラメータ情報生成プログラム、代行プログラム及び通信システム |
| KR101686995B1 (ko) * | 2015-07-08 | 2016-12-16 | 주식회사 케이티 | 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3651424B2 (ja) | 2005-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| US7028337B2 (en) | Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same | |
| JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
| US8418244B2 (en) | Instant communication with TLS VPN tunnel management | |
| US8918634B2 (en) | Network node with network-attached stateless security offload device employing out-of-band processing | |
| US20030014628A1 (en) | Secure sockets layer proxy architecture | |
| US20070101121A1 (en) | Secure IP access protocol framework and supporting network architecture | |
| JP5746446B2 (ja) | ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード | |
| US20090327730A1 (en) | Apparatus and method for encrypted communication processing | |
| CN101572644B (zh) | 一种数据封装方法和设备 | |
| CN101510889A (zh) | 一种获取动态路由的方法和设备 | |
| CN111371798A (zh) | 数据安全传输方法、系统、装置及存储介质 | |
| US20130219171A1 (en) | Network node with network-attached stateless security offload device employing in-band processing | |
| JP2001237818A (ja) | プロキシ暗号通信システム及び方法並びにプログラムを記録した記録媒体 | |
| JP2011176395A (ja) | IPsec通信方法およびIPsec通信システム | |
| JP3651424B2 (ja) | 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 | |
| JP5131118B2 (ja) | 通信システム、管理装置、中継装置、及びプログラム | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| JP2010081108A (ja) | 通信中継装置、情報処理装置、プログラム、及び通信システム | |
| JP4996514B2 (ja) | ネットワークシステム及び電文の転送方法 | |
| JP2011160286A (ja) | 呼制御サーバ、中継サーバ、vpn装置、vpn通信システム、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
| CN116436731B (zh) | 一种多内网二层数据流通信方法 | |
| JP2009081710A (ja) | 通信機器及び通信機器に用いられる通信方法 | |
| US20230388118A1 (en) | Enhanced dual layer encryption for carrier networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040817 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040824 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041020 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050201 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050214 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3651424 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080304 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090304 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090304 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100304 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100304 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110304 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120304 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120304 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130304 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130304 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140304 Year of fee payment: 9 |
|
| EXPY | Cancellation because of completion of term |