JP2005244379A - Vpn system, vpn apparatus, and encryption key distribution method used for them - Google Patents

Vpn system, vpn apparatus, and encryption key distribution method used for them Download PDF

Info

Publication number
JP2005244379A
JP2005244379A JP2004048865A JP2004048865A JP2005244379A JP 2005244379 A JP2005244379 A JP 2005244379A JP 2004048865 A JP2004048865 A JP 2004048865A JP 2004048865 A JP2004048865 A JP 2004048865A JP 2005244379 A JP2005244379 A JP 2005244379A
Authority
JP
Japan
Prior art keywords
vpn
encryption key
tunnel
device
vpn tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004048865A
Other languages
Japanese (ja)
Inventor
Mineyuki Sakamoto
峯雪 坂本
Original Assignee
Nec Commun Syst Ltd
日本電気通信システム株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nec Commun Syst Ltd, 日本電気通信システム株式会社 filed Critical Nec Commun Syst Ltd
Priority to JP2004048865A priority Critical patent/JP2005244379A/en
Publication of JP2005244379A publication Critical patent/JP2005244379A/en
Application status is Pending legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a VPN system enhancing a communication speed in communications using a plurality of VPN tunnels. <P>SOLUTION: A VPN tunnel is established between a VPN apparatus 1-1 and a VPN apparatus 1-2 (a2), and an encryption key is exchanged between the VPN apparatus 1-1 and the VPN apparatus 1-2 (a1). In the case of establishing a VPN tunnel between the VPN apparatus 1-2 and a VPN apparatus 1-3 (a4), the VPN apparatus 1-2 uses the VPN tunnel having already been established and encrypted to securely inform the VPN apparatus 1-1 about the encryption key (a3) received from the VPN apparatus 1-3 (a5). Upon the receipt of the encryption key of the VPN apparatus 1-3 from the VPN apparatus 1-2, the VPN apparatus 1-1 stores the encryption key to a communication partner dependent encryption key storage memory as the encryption key by each communication opposite party. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明はVPNシステム、VPN装置及びそれらに用いる暗号化鍵配布方法に関し、特にVPN(Virtual Private Network)装置(IPsec:Internet Protocol security protocol)を使用する通信における伝送速度を向上させる方法に関する。 The invention VPN system, a cryptographic key distribution method using the VPN device and their, in particular VPN (Virtual Private Network) system: a method for improving the transmission rate in communication using the (IPsec Internet Protocol security protocol).

従来、VPNシステムにおいては、図1に示すように、IP(Internet Protocol)ネットワーク100上に配置されたVPN装置1−1〜1−5と、VPN機能を持つVPNユーザ[通信端末またはLAN(Local Area Network)]2−1〜2−5と、VPNトンネル101〜105とから構成されている。 Conventionally, in VPN system, as shown in FIG. 1, IP (Internet Protocol) network 100 arranged VPN device on 1-1 to 1-5, VPN user Communication terminal or LAN with VPN capabilities (Local and Area Network)] 2-1~2-5, and a VPN tunnel 101-105 Prefecture.

このような構成のVPNシステムでは、VPNユーザ2−1がVPNユーザ2−3に通信パケットを送信する場合、まずVPN装置1−2の暗号化鍵を用いてデータを暗号化し、VPNトンネル103を使ってVPN装置1−2に送信する。 In such a configuration VPN systems, if the VPN user 2-1 transmits a communication packet to the VPN user 2-3, encrypts the data by first using the encryption key of the VPN device 1-2, the VPN tunnel 103 use to send to the VPN apparatus 1-2.

VPN装置1−2では受信したパケットをVPN装置1−2の暗号化鍵を用いて復号化し、送信先情報から経路を探索し、次にパケットを送信するVPN装置1−3に対して、このVPN装置1−3の暗号化鍵を用いて復号化したデータを再度暗号化し、そのパケットをVPNトンネル104を使って送信する。 The packet received in VPN apparatus 1-2 decrypted by using the encryption key of the VPN apparatus 1-2 searches a route from the destination information, then the VPN device 1-3 transmits a packet, this re-encrypts the decrypted data using the encryption key of the VPN apparatus 1-3, and transmits the packet with the VPN tunnel 104. VPN装置1−3は受信したパケットをVPN装置1−3の暗号化鍵を用いて復号化し、VPNユーザ2−3に送信する(例えば、特許文献1参照)。 The VPN device 1-3 receives packet decrypted using the encryption key of the VPN apparatus 1-3, and transmits to the VPN user 2-3 (e.g., see Patent Document 1).

特開2002−111732号公報 JP 2002-111732 JP

しかしながら、上述した従来のVPNシステムでは、VPNトンネルからVPNトンネルに通信データが引き渡される際に、暗号データの復号化と再暗号化とが行われるため、複数のVPNトンネルにまたがる通信の場合、中間で通信を行うVPN装置の暗号化及び復号化の能力によって伝送速度を高速化することができないという問題がある。 However, in the conventional VPN system described above, when the communication data to the VPN tunnel is transferred from the VPN tunnel, because the decryption of the encrypted data and the re-encryption and is carried out, if communication across multiple VPN tunnels, intermediate the ability of the encryption and decryption of VPN devices in communicating it is not possible to speed up the transmission speed.

そこで、本発明の目的は上記の問題点を解消し、複数のVPNトンネルを用いた通信において通信速度の向上を図ることができるVPNシステム、VPN装置及びそれらに用いる暗号化鍵配布方法を提供することにある。 An object of the present invention is to solve the above, VPN system that can improve the communication speed in a communication using a plurality of VPN tunnels, provides an encryption key distribution method for use in the VPN device and their It lies in the fact.

本発明によるVPNシステムは、IPsec(Internet Protocol security protocol)プロトコルを用いたVPN(Virtual Private Network)装置間にVPNトンネルを設定して前記VPN装置間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPNシステムであって、 VPN system according to the invention, IPsec (Internet Protocol security protocol) to set up a VPN tunnel between VPN (Virtual Private Network) device using a protocol to exchange mutual encryption key between the VPN device, the encrypted a VPN system for transmitting encrypted data by the key to the destination via the VPN tunnel,
前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知する手段を前記VPN装置に備えている。 And a means for notifying the connection destination by said other VPN tunnel through the other VPN tunnel already established the VPN tunnel encryption key exchanged with the connected party when establishing the VPN device.

本発明によるVPN装置は、IPsec(Internet Protocol security protocol)プロトコルを用い、他装置との間にVPN(Virtual Private Network)トンネルを設定してその他装置との間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPN装置であって、 VPN device according to the invention, using IPsec (Internet Protocol security protocol) protocol to exchange mutual encryption key with the other device to set a VPN (Virtual Private Network) tunnel between the other device, a VPN apparatus for transmitting encrypted data by the encrypted key to the destination via the VPN tunnel,
前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知する手段を備えている。 And a means for notifying the connection destination by said other VPN tunnel through the other VPN tunnel already established the VPN tunnel encryption key exchanged with its destination at the time of establishment of.

本発明による暗号化鍵配布方法は、IPsec(Internet Protocol security protocol)プロトコルを用いたVPN(Virtual Private Network)装置間にVPNトンネルを設定して前記VPN装置間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPNシステムにおいて前記暗号化鍵を配布する暗号化鍵配布方法であって、前記VPN装置側に、前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知するステップを備えている。 Encryption key distribution method according to the present invention, IPsec sets a VPN tunnel between VPN (Virtual Private Network) devices using (Internet Protocol security protocol) protocol to exchange mutual encryption key between the VPN device, a cryptographic key distribution method of distributing the encryption key in a VPN system for transmitting encrypted data by the encrypted key to the destination via the VPN tunnel, the VPN apparatus, the VPN tunnel and a step of notifying the destination by the other VPN tunnel through the other VPN tunnel established during the encryption key exchanged with the destination has already been established.

すなわち、本発明のVPNシステムは、IPsec(Internet Protocol security protocol)プロトコルを用いたVPN(Virtual Private Network)システムにおいて、複数のVPNトンネル(接続)を使用する通信にて伝送速度を向上させる方法を提供するものである。 That, VPN system of the present invention, in the VPN (Virtual Private Network) system using the IPsec (Internet Protocol security protocol) protocol, provides a method for improving the transmission rate in the communication using multiple VPN tunnels (connections) it is intended to.

より具体的に説明すると、本発明のVPNシステムでは、端末間での通信が複数のVPNトンネルにまたがる場合、一方の端末に一番近いVPN装置で使用する暗号/復号用鍵データを、他方の端末に一番近いVPN装置に通知し、または逆の通知を行うことによって、VPNトンネルから別のVPNトンネルへ中継する際に暗号を復号して更に暗号化する処理を行わないようにする。 To be more specific, in VPN system of the present invention, when communication between terminals over a plurality of VPN tunnels, the encryption / decryption key data to be used in the closest VPN device at one terminal and the other notify closest VPN device to the terminal, or by performing the inverse of the notification, further so as not to execute the process of encrypting and decrypting the encrypted when relaying the VPN tunnel to another VPN tunnel.

このようにして、本発明のVPNシステムでは、VPNトンネル間での通信の暗号処理に係わる負荷を軽減し、伝送速度の向上を可能としている。 In this way, the VPN system of the present invention is to reduce the load related to the encryption processing of communication between the VPN tunnel, thereby enabling to improve the transmission speed. つまり、本発明のVPNシステムでは、VPNトンネルから受信したパケットを他のVPNトンネルへ送信する際に暗号データを復号して再度暗号化する処理を省略することが可能となるため、複数のVPNトンネルを用いた通信において通信速度の向上を図ることが可能となる。 In other words, the VPN system of the present invention, it becomes possible to omit the process of re-encrypting by decrypting the encrypted data when transmitting the packet received from the VPN tunnel to another VPN tunnel, a plurality of VPN tunnels it is possible to improve the communication speed in a communication with.

本発明は、以下に述べるような構成及び動作とすることで、複数のVPNトンネルを用いた通信において通信速度の向上を図ることができるという効果が得られる。 The present invention, with the construction and operation as described below, there is an advantage that it is possible to improve the communication speed in a communication using a plurality of VPN tunnels.

次に、本発明の実施例について図面を参照して説明する。 It will now be described with reference to the accompanying drawings embodiments of the present invention. 図1は本発明の一実施例によるVPN(Virtual Private Network)システムの構成を示すブロック図である。 Figure 1 is a block diagram showing the configuration of a VPN (Virtual Private Network) system according to an embodiment of the present invention. 図1において、本発明の一実施例によるVPNシステムは、IPネットワーク100に接続された通信インタフェースを持つVPN装置(通信インタフェースを持つ通信端末で稼働するプログラムも含める)1−1〜1−5と、それぞれのVPN装置1−1〜1−5に接続されるVPNユーザ[通信端末またはLAN(Local Area Network)]2−1〜2−5と、VPNトンネル101〜105とから構成されている。 In Figure 1, VPN system according to an embodiment of the present invention, VPN device having a communication interface connected to the IP network 100 (program running communication terminal having a communication interface Include) 1-1 to 1-5 and , a VPN user communication terminal or LAN (Local Area Network)] 2-1~2-5 which are connected to respective VPN devices 1-1 to 1-5, and a VPN tunnel 101-105 Prefecture.

VPNトンネル101はVPN装置1−1とVPN装置1−2との間に作成され、VPNトンネル102はVPN装置1−2とVPN装置1−3との間に作成され、VPNトンネル103はVPN装置1−3とVPN装置1−4との間に作成され、VPNトンネル104はVPN装置1−3とVPN装置1−5との間に作成され、VPNトンネル105はVPN装置1−4とVPN装置1−5との間に作成されている。 VPN tunnel 101 is created between the VPN device 1-1 and the VPN device 1-2, VPN tunnel 102 is created between the VPN device 1-2 and the VPN device 1-3, VPN tunnel 103 VPN device 1-3 is created between the and the VPN device 1-4, VPN tunnel 104 is created between the VPN device 1-3 and the VPN device 1-5, VPN tunnel 105 VPN device 1-4 and the VPN device It has been created between the 1-5.

図2は本発明の一実施例によるVPN装置の構成を示すブロック図である。 Figure 2 is a block diagram showing the configuration of a VPN according to an embodiment of the present invention. 図2において、VPN装置1はVPNトンネル確立時の暗号化鍵交換手段11と、暗号化鍵更新手段12と、VPNパケット送信手段13と、VPNパケットスルー手段15またはVPNパケット受信手段14と、通信相手別暗号化鍵保存用メモリ16とから構成されている。 In FIG. 2, VPN device 1 includes an encryption key exchange means 11 at the time of VPN tunnel establishment, the encryption key updating unit 12, a VPN packet transmitting unit 13, a VPN packet through means 15 or VPN packet receiver 14, a communication and it is configured from the other party by encryption key storage memory 16.. 尚、図1に示すVPN装置1−1〜1−5の構成は上記のVPN装置1と同様の構成となっている。 The configuration of VPN devices 1-1 through 1-5 shown in FIG. 1 has the same configuration as that of the VPN apparatus 1 described above.

図3及び図4は本発明の一実施例による暗号化鍵の交換方法を示すシーケンスチャートであり、図5は本発明の一実施例によるVPNパケットの送信処理を示すフローチャートであり、図6は本発明の一実施例によるVPNパケットのスルー及び受信処理を示すフローチャートであり、図7は図2の通信相手別暗号化鍵保存用メモリ16の構成を示す図であり、図8は本発明の一実施例による送受信データのヘッダ上のVPNスルー表示を示す図である。 3 and 4 is a sequence chart illustrating a method for exchanging cryptographic keys according to an embodiment of the present invention, FIG 5 is a flowchart showing a transmission process of the VPN packet according to an embodiment of the present invention, FIG. 6 a flowchart showing through and reception processing of a VPN packet according to an embodiment of the present invention, FIG. 7 is a diagram showing a configuration of a communication partner by the encryption key storage memory 16 of FIG. 2, FIG. 8 of the present invention is a diagram illustrating a VPN through display on the header of the received data according to an embodiment. これら図1〜図8を参照して本発明の一実施例の処理について説明する。 Referring to FIGS. 1 to 8 describes the processing of an embodiment of the present invention.

まず、VPN装置1−1とVPN装置1−2との間にはVPNトンネル101が確立される(図3のa2)。 First, VPN tunnel 101 is established between the VPN device 1-1 and the VPN device 1-2 (a2 in FIG. 3). この時、VPN装置1−1とVPN装置1−2との間では、暗号通信を行うために互いの暗号化鍵が交換される(図3のa1)。 At this time, between the VPN device 1-1 and the VPN device 1-2, mutual encryption key is exchanged in order to perform encrypted communication (a1 in FIG. 3).

次に、VPN装置1−2とVPN装置1−3との間にVPNトンネル102を確立する時(図3のa4)、VPN装置1−2はVPN装置1−3から受け取った暗号化鍵を(図3のa3)、既に確立されて暗号化されているVPNトンネル101を使ってVPN装置1−1に安全に通知する(図3のa5)。 Next, (a4 in FIG. 3) when establishing the VPN tunnel 102 between the VPN device 1-2 and the VPN device 1-3, the encryption key VPN device 1-2 received from the VPN device 1-3 (a3 in FIG. 3) securely notifies the VPN device 1-1 with the VPN tunnel 101 which has already been encrypted is established (a5 in FIG. 3).

VPN装置1−1は、VPN装置1−3の暗号化鍵をVPN装置1−2から受け取ると、図7に示すような通信相手別の暗号化鍵として通信相手別暗号化鍵保存用メモリ16に保存する。 VPN device 1-1 receives the encryption key of the VPN device 1-3 from the VPN device 1-2, the communication partner by the encryption key storage memory 16 as the communication partner by the encryption key as shown in FIG. 7 to save to. この場合、通信相手別暗号化鍵保存用メモリ16には、通信相手別の暗号化鍵が、VPN装置1−3のVPNユーザ2−3が取り得るTCP(Transmission Control Protocol)/IPのネットワークアドレスと一緒に格納される。 In this case, the communication partner by the encryption key storage memory 16, a communication partner-specific encryption key, TCP (Transmission Control Protocol) which VPN user 2-3 VPN device 1-3 can take / IP network addresses It is stored along with the.

また、VPN装置1−2は既に保存している通信相手別暗号化鍵情報、この場合にはVPN装置1−1の暗号化鍵情報を新たに確立したVPNトンネル102の接続先であるVPN装置1−3に通知する(図3のa6)。 Moreover, VPN device 1-2 has already saved to that communication counterpart by enciphered key information, VPN device in this case is the destination VPN tunnel 102 newly establishes the encryption key information of the VPN apparatus 1-1 to notify the 1-3 (a6 in FIG. 3). VPN装置1−3はVPN装置1−2から通知されたVPN装置1−1の暗号化鍵情報を、VPN装置1−1と同様に、通信相手別暗号化鍵保存用メモリ16に格納する。 VPN device 1-3 the encrypted key information of the VPN apparatus 1-1 notified from the VPN apparatus 1-2, similarly to the VPN device 1-1 stores the communication partner by the encryption key storage memory 16.

続いて、VPN装置1−3とVPN装置1−4との間にVPNトンネル103が確立された時(図3のa8)、VPN装置1−3とVPN装置1−4との間では、暗号通信を行うために互いの暗号化鍵が交換される(図3のa7)。 Subsequently, when the VPN tunnel 103 is established between the VPN device 1-3 and the VPN device 1-4 (a8 in FIG. 3), between the VPN device 1-3 and the VPN device 1-4, encryption mutual encryption key is exchanged for communication (a7 in FIG. 3). VPN装置1−3は、上記の処理と同様にして、VPN装置1−4から受け取った暗号化鍵を、既に確立されて暗号化されているVPNトンネル102を使ってVPN装置1−2に安全に通知する(図3のa9)。 VPN apparatus 1-3, similarly to the above processing, the encryption key received from the VPN device 1-4, safe VPN device 1-2 with the VPN tunnel 102 which has already been encrypted is established notify (a9 in FIG. 3).

VPN装置1−2はVPN装置1−3からVPN装置1−4の暗号化鍵情報を受け取ると、既に確立されたVPNトンネル101の相手があるので、その相手であるVPN装置1−1に、VPN装置1−3から受け取ったVPN装置1−4の暗号化鍵情報をVPNトンネル101を使って安全に通知する(図3のa11)。 Since VPN device 1-2 receives the encryption key information of the VPN device 1-4 from the VPN device 1-3, there is the other party of the VPN tunnel 101 already established, the VPN device 1-1 which is the other party, the encryption key information of the VPN apparatus 1-4 received from the VPN device 1-3 with the VPN tunnel 101 securely notifies (a11 in FIG. 3).

一方、VPN装置1−3は今まで持っていたVPN装置1−2及びVPN装置1−1の暗号化鍵情報を、確立したVPNトンネル103を使って安全にVPN装置1−4に通知する。 On the other hand, the encryption key information of the VPN apparatus 1-2 and the VPN device 1-1 VPN device 1-3 had ever securely notifies the VPN device 1-4 with the VPN tunnel 103 established.

VPN装置1−3とVPN装置1−5との間にVPNトンネル104が確立された時、及びVPN装置1−4とVPN装置1−5との間にVPNトンネル105が確立された時にも、上記と同様にして、VPN装置1−1〜1−5には既に確立されて暗号化されているVPNトンネル101〜105を使って暗号化鍵が安全に通知されることとなる。 When VPN tunnel 104 is established between the VPN device 1-3 and the VPN device 1-5, and also when the VPN tunnel 105 is established between the VPN device 1-4 and the VPN device 1-5, in the same manner as described above, so that the encryption key with the VPN tunnel 101 to 105 which has already been encrypted is established to the VPN apparatus 1-1 to 1-5 can be safely notified. よって、本実施例では、VPNトンネル101〜105で接続されている全てのVPN装置1−1〜1−5が全てのVPN装置1−1〜1−5の暗号化鍵を持つことが可能となる。 Accordingly, in this embodiment, can all VPN devices 1-1 to 1-5 connected in the VPN tunnel 101 to 105 have the encryption keys of all of the VPN devices 1-1 to 1-5 Become.

VPNトンネル101〜105で使用する暗号化鍵は安全のため、一定時間が過ぎると、新しい鍵に更新される。 Because of the encryption key is safe to use in the VPN tunnel 101 to 105, when the lapse of a certain period of time, is updated to the new key. 図4に示すように、VPN装置1−1とVPN装置1−2との間に確立されているVPNトンネル101にて更新のための暗号化鍵の交換が発生した場合、新たに受け取った暗号化鍵を他のVPNトンネルがある場合にはその相手に通知する。 As shown in FIG. 4, if the exchange of encryption keys for updating at VPN tunnel 101 is generated that is established between the VPN device 1-1 and the VPN device 1-2, encryption the newly received when a certain key is another VPN tunnel is notified to the other party.

図4に示す場合には、VPN装置1−2はVPN装置1−1から受け取った暗号化鍵をVPN装置1−3に通知する。 In the case shown in FIG. 4, the VPN device 1-2 notifies the encryption key received from the VPN apparatus 1-1 to the VPN device 1-3. VPN装置1−2からVPN装置1−1の新しい暗号化鍵を受け取ったVPN装置1−3は自分が持つデータを更新するとともに、他のVPNトンネル103,104の相手に受け取ったVPN装置1−1の暗号化鍵を通知する。 With the VPN apparatus 1-3 which has received the new encryption key of the VPN device 1-1 from the VPN device 1-2 updates the data it has, the VPN device that received the opponent another VPN tunnel 103 1- to notify 1 of the encryption key. この場合には、VPN装置1−4,1−5に通知される。 In this case, it is notified to the VPN apparatus 1-4 and 1-5.

VPN装置1−2の新しい暗号化鍵も、上記のVPN装置1−1の場合と同様に、全てのVPN装置1−1〜1−5に通知される(図4のb1〜b6)。 New encryption key of the VPN apparatus 1-2, similarly to the case of the VPN device 1-1 is notified to all of the VPN apparatus 1-1 to 1-5 (b1 to b6 in Fig. 4). これによって、本実施例では、全てのVPN装置1−1〜1−5で最新の暗号化鍵情報を持つことが可能となる。 Thus, in this embodiment, it is possible in all the VPN devices 1-1 to 1-5 having the latest encryption key information.

次に、VPNトンネル101〜105を使った通信方法について、図6に示すVPNパケット送信処理と図5に示すVPNパケットスルー及び受信処理とを用いて説明する。 Next, a communication method using VPN tunnels 101-105 will be described with reference to the VPN packets through and receiving process shown in VPN packet transmission processing and 5 shown in FIG.

VPNトンネル101〜105を使ってパケットを送信する場合、VPN装置1−1〜1−5は最初に送信先のIPアドレスからネットワークアドレスを求め、それを使用して図7に示す通信相手別の暗号化鍵から送信先のVPNユーザ2−1〜2−5が接続されているVPN装置1−1〜1−5の暗号化鍵を検索する(図6ステップS11)。 When sending a packet with a VPN tunnel 101 to 105, VPN devices 1-1 to 1-5 is first determined the network address from the destination IP address, the specific communication partner is shown in FIG. 7 by using it Search for encryption key of the VPN devices 1-1 to 1-5 to which the VPN user 2-1 to 2-5 of the destination from the encryption key is connected (FIG. 6 step S11).

暗号化鍵#1〜#3が登録されていた場合(図6ステップS12)、VPN装置1−1〜1−5はその暗号化鍵を使用して送信するデータを暗号化し(図6ステップS13)、図8に示す通信データヘッダ部のVPNスルーフラグに“1”を設定して送信する(図6ステップS14,S15)。 If the encryption key # 1 to # 3 is registered (FIG. 6 step S12), VPN devices 1-1 to 1-5 encrypts the data to be transmitted using the encryption key (FIG. 6 step S13 ), and transmits the set to "1" to the VPN through flag of the communication data header part shown in FIG. 8 (FIG. 6 step S14, S15).

暗号化鍵が登録されてない場合(図6ステップS12)、VPN装置1−1〜1−5は送信に使用するVPNトンネル101〜105の相手VPN装置の暗号化鍵で送信するデータを暗号化し(図6ステップS16)、通信データヘッダ部のVPNスルーフラグに“0”を設定して送信する(図6ステップS17,S15)。 If the encryption key is not registered (FIG. 6 step S12), the VPN apparatus 1-1 to 1-5 encrypts the data to be transmitted in encrypted key of the other party VPN device VPN tunnel 101 to 105 to be used for transmission (FIG. 6 step S16), and transmits the "0" is set to the VPN through flag of the communication data header section (Fig. 6 step S17, S15).

VPNトンネル101〜105を使ってパケットを受信したVPN装置1−1〜1−5は送信先のVPNユーザが配下にいない場合(図5ステップS1)、通信データのヘッダ部にあるVPNスルーフラグを参照して“1”であれば(図5ステップS4)、送信先VPNユーザに向かう次のVPNトンネルを使って受信したパケットをそのまま送信する(図5ステップS7)。 VPN apparatus 1-1 to 1-5 which received the packet with the VPN tunnel 101 to 105 if the VPN user of the transmission destination is not under (5 step S1), the a VPN through flag in the header portion of the communication data if referring to "1" (Fig. 5 step S4), and it transmits the packet received using the following VPN tunnel toward the destination VPN user (Fig. 5 step S7).

通信ヘッダ部のVPNスルーフラグが“0”の場合(図5ステップS4)、VPN装置1−1〜1−5は受信したデータを自装置から相手VPN装置に通知した暗号化鍵を用いて復号した後(図5ステップS5)、上述したVPNパケット送信処理を実行する(図5ステップS6)。 If the VPN through flag of the communication header is "0" (Fig. 5 step S4), the VPN apparatus 1-1 to 1-5 decrypted using the encryption key notified data received from its own device to the other VPN device after (5 step S5), and executes the above-described VPN packet transmission processing (Fig. 5 step S6).

送信先VPNユーザが配下にいる場合(図5ステップS1)、VPN装置1−1〜1−5は相手VPN装置に通知した暗号化鍵で復号し(図5ステップS2)、その復号したデータをVPNユーザ2−1〜2−5に送信する(図5ステップS3)。 If the destination VPN user is under (FIG. 5 step S1), the VPN apparatus 1-1 to 1-5 decrypts the encryption key notified to the other party VPN device (Fig. 5 step S2), the the decoded data It sends to the VPN user 2-1 to 2-5 (Fig. 5 step S3).

このように、本実施例では、VPNトンネル101〜105から受信したパケットを他のVPNトンネルへ送信する際に暗号データを復号して再度暗号化する処理を省略することができるため、複数のVPNトンネル101〜105を用いた通信において通信速度を向上させることができる。 Thus, in this embodiment, it is possible to skip the process of re-encrypting by decrypting the encrypted data when transmitting the packet received from the VPN tunnel 101-105 to another VPN tunnel, a plurality of VPN it is possible to improve the communication speed in a communication using the tunnel 101-105.

本発明の一実施例によるVPNシステムの構成を示すブロック図である。 Is a block diagram showing the configuration of a VPN system according to an embodiment of the present invention. 本発明の一実施例によるVPN装置の構成を示すブロック図である。 Is a block diagram showing the configuration of a VPN according to an embodiment of the present invention. 本発明の一実施例による暗号化鍵の交換方法を示すシーケンスチャートである。 Is a sequence chart illustrating a method for exchanging cryptographic keys according to an embodiment of the present invention. 本発明の一実施例による暗号化鍵の交換方法を示すシーケンスチャートである。 Is a sequence chart illustrating a method for exchanging cryptographic keys according to an embodiment of the present invention. 本発明の一実施例によるVPNパケットの送信処理を示すフローチャートである。 According to an embodiment of the present invention is a flow chart showing a transmission process of the VPN packet. 本発明の一実施例によるVPNパケットのスルー及び受信処理を示すフローチャートである。 It is a flowchart showing a through and reception processing of a VPN packet according to an embodiment of the present invention. 図2の通信相手別暗号化鍵保存用メモリの構成を示す図である。 It illustrates a communication partner by the encryption key storage memory arrangement of FIG. 本発明の一実施例による送受信データのヘッダ上のVPNスルー表示を示す図である。 Is a diagram illustrating a VPN through display on the header of the received data according to an embodiment of the present invention.

符号の説明 DESCRIPTION OF SYMBOLS

1−1〜1−5 VPN装置 2−1〜2−5 VPNユーザ 1-1~1-5 VPN equipment 2-1~2-5 VPN user
11 暗号化鍵交換手段 11 encryption key exchange means
12 暗号化鍵更新手段 12 encryption key update means
13 VPNパケット送信手段 13 VPN packet transmission means
14 VPNパケット受信手段 14 VPN packet receiving means
15 VPNパケットスルー手段 15 VPN packet through means
16 通信相手別暗号化鍵保存用メモリ 16 communication partner by encryption key storage memory
100 IPネットワーク 101〜105 VPNトンネル 100 IP network 101~105 VPN tunnel

Claims (15)

  1. IP(Internet Protocol)ネットワーク上に配置されたVPN(Virtual Private Network)装置間にVPNトンネルを設定して前記VPN装置間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPNシステムであって、 IP by setting the VPN tunnel between (Internet Protocol) VPN disposed on the network (Virtual Private Network) devices to exchange mutual encryption key between the VPN device and encrypted by the encrypted key data the a VPN system for transmitting the connection destination via the VPN tunnel,
    前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知する手段を前記VPN装置に有することを特徴とするVPNシステム。 And characterized in that it has means for notifying the connection destination by said other VPN tunnel through the other VPN tunnel already established the VPN tunnel encryption key exchanged with the connected party when establishing the VPN device VPN system.
  2. 前記VPNトンネルを介して受信した暗号化鍵を通信相手別の暗号化鍵としてその通信相手の情報とともに保持する保持手段を前記VPN装置に含むことを特徴とする請求項1記載のVPNシステム。 VPN system according to claim 1, comprising a holding means for holding together with information of the communication partner the encryption key received via the VPN tunnel as the communication partner by the encryption key to the VPN device.
  3. 前記VPN装置は、データの送信先に応じて前記保持手段に保持された前記通信相手別の暗号化鍵を用いて暗号化を行うことを特徴とする請求項2記載のVPNシステム。 The VPN device, VPN system of claim 2, wherein the performing encryption using the encryption key stored in another said communication partner to said holding means in response to the data transmission destination.
  4. 前記VPN装置は、前記暗号化鍵の更新時に既に確立されているVPNトンネルを介してそのVPNトンネルによる接続先に更新された暗号化鍵を通知することを特徴とする請求項1から請求項3のいずれか記載のVPNシステム。 The VPN apparatus claims 1 to 3, and notifies the encryption key that is updated in the connection destination of the VPN tunnel through the VPN tunnel that is already established when updating the encryption key VPN system according to any one of.
  5. 前記VPN装置は、IPsec(Internet Protocol security protocol)を用いることを特徴とする請求項1から請求項4のいずれか記載のVPNシステム。 The VPN device, VPN system according to any one of claims 1 to 4, which comprises using the IPsec (Internet Protocol security protocol).
  6. IP(Internet Protocol)ネットワーク上に配置され、他装置との間にVPN(Virtual Private Network)トンネルを設定してその他装置との間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPN装置であって、 IP is placed on the (Internet Protocol) network, and exchange coupling of the encryption key with the other device to set a VPN (Virtual Private Network) tunnel between the other device, encrypted with the encryption key a VPN apparatus for transmitting phased data to the destination via the VPN tunnel,
    前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知する手段を有することを特徴とするVPN装置。 VPN apparatus characterized by comprising means for notifying the connection destination by said other VPN tunnel through the other VPN tunnel already established the VPN tunnel encryption key exchanged with its destination at the time of establishment of.
  7. 前記VPNトンネルを介して受信した暗号化鍵を通信相手別の暗号化鍵としてその通信相手の情報とともに保持する保持手段を含むことを特徴とする請求項6記載のVPN装置。 VPN apparatus according to claim 6, characterized in that it comprises a holding means for holding together with information of the communication partner the encryption key received via the VPN tunnel as the communication partner by the encryption key.
  8. データの送信先に応じて前記保持手段に保持された前記通信相手別の暗号化鍵を用いて暗号化を行うことを特徴とする請求項7記載のVPN装置。 VPN apparatus according to claim 7, characterized in that the encrypted using the data the communication partner by the encryption key held in the holding means in response to the destination.
  9. 前記暗号化鍵の更新時に既に確立されているVPNトンネルを介してそのVPNトンネルによる接続先に更新された暗号化鍵を通知することを特徴とする請求項6から請求項8のいずれか記載のVPN装置。 According to claim 8 claims 6, characterized in that notifies the encryption key that is updated in the connection destination of the VPN tunnel through the VPN tunnel that is already established when updating the encryption key VPN equipment.
  10. IPsec(Internet Protocol security protocol)を用いることを特徴とする請求項6から請求項9のいずれか記載のVPN装置。 IPsec (Internet Protocol security protocol) VPN device according to claim 9 claim 6, characterized in that use.
  11. IP(Internet Protocol)ネットワーク上に配置されたVPN(Virtual Private Network)装置間にVPNトンネルを設定して前記VPN装置間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPNシステムにおいて前記暗号化鍵を配布する暗号化鍵配布方法であって、前記VPN装置側に、前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知するステップを有することを特徴とする暗号化鍵配布方法。 IP by setting the VPN tunnel between (Internet Protocol) VPN disposed on the network (Virtual Private Network) devices to exchange mutual encryption key between the VPN device and encrypted by the encrypted key data wherein an encryption key distribution method for distributing the encryption key in a VPN system that transmits the connection destination via the VPN tunnel, the the VPN apparatus was replaced with its destination at the time of establishment of the VPN tunnel encryption encryption key distribution method characterized in that via the other VPN tunnel already established the key comprises a step of notifying the destination by the other VPN tunnel.
  12. 前記VPN装置が、前記VPNトンネルを介して受信した暗号化鍵を通信相手別の暗号化鍵としてその通信相手の情報とともに保持手段に保持することを特徴とする請求項11記載の暗号化鍵配布方法。 The VPN device, the encrypted key distribution according to claim 11, wherein the holding by the holding means together with information of the communication partner the encryption key received via the VPN tunnel as the communication partner by the encryption key Method.
  13. 前記VPN装置が、データの送信先に応じて前記保持手段に保持された前記通信相手別の暗号化鍵を用いて暗号化を行うことを特徴とする請求項12記載の暗号化鍵配布方法。 The VPN device, encryption key distribution method according to claim 12, wherein the performing encryption using the encryption key stored in another said communication partner to said holding means in response to the data transmission destination.
  14. 前記VPN装置が、前記暗号化鍵の更新時に既に確立されているVPNトンネルを介してそのVPNトンネルによる接続先に更新された暗号化鍵を通知することを特徴とする請求項11から請求項13のいずれか記載の暗号化鍵配布方法。 The VPN device, according to claim 13 claim 11, characterized in that notifying the encryption key that is updated in the connection destination of the VPN tunnel through the VPN tunnel that is already established when updating the encryption key encryption key distribution method according to any one of.
  15. 前記VPN装置は、IPsec(Internet Protocol security protocol)を用いることを特徴とする請求項11から請求項14のいずれか記載の暗号化鍵配布方法。 The VPN device, IPsec (Internet Protocol security protocol) encryption key distribution method according to claim 14 claim 11, characterized in that use.
JP2004048865A 2004-02-25 2004-02-25 Vpn system, vpn apparatus, and encryption key distribution method used for them Pending JP2005244379A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004048865A JP2005244379A (en) 2004-02-25 2004-02-25 Vpn system, vpn apparatus, and encryption key distribution method used for them

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004048865A JP2005244379A (en) 2004-02-25 2004-02-25 Vpn system, vpn apparatus, and encryption key distribution method used for them

Publications (1)

Publication Number Publication Date
JP2005244379A true JP2005244379A (en) 2005-09-08

Family

ID=35025678

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004048865A Pending JP2005244379A (en) 2004-02-25 2004-02-25 Vpn system, vpn apparatus, and encryption key distribution method used for them

Country Status (1)

Country Link
JP (1) JP2005244379A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009044664A (en) * 2007-08-10 2009-02-26 Fujitsu Ltd Program for controlling communication device, and communication device
JP2013005110A (en) * 2011-06-14 2013-01-07 Ntt Communications Kk Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program
JP2013102529A (en) * 2013-01-28 2013-05-23 Fujitsu Ltd Encipherment execution control system
JP5316423B2 (en) * 2007-12-19 2013-10-16 富士通株式会社 Encryption implementation control system
US20140304503A1 (en) * 2009-11-25 2014-10-09 Security First Corp. Systems and methods for securing data in motion
US9177159B2 (en) 2004-10-25 2015-11-03 Security First Corp. Secure data parser method and system
US9411524B2 (en) 2010-05-28 2016-08-09 Security First Corp. Accelerator system for use with secure data storage

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107082A (en) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> Cipher gateway device
JP2002374249A (en) * 2001-06-14 2002-12-26 Hitachi Ltd System for setting and releasing dynamic virtual private network
JP2005117511A (en) * 2003-10-10 2005-04-28 Nec Corp Quantum cipher communication system and quantum cipher key distributing method used therefor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107082A (en) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> Cipher gateway device
JP2002374249A (en) * 2001-06-14 2002-12-26 Hitachi Ltd System for setting and releasing dynamic virtual private network
JP2005117511A (en) * 2003-10-10 2005-04-28 Nec Corp Quantum cipher communication system and quantum cipher key distributing method used therefor

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9338140B2 (en) 2004-10-25 2016-05-10 Security First Corp. Secure data parser method and system
US9985932B2 (en) 2004-10-25 2018-05-29 Security First Corp. Secure data parser method and system
US9935923B2 (en) 2004-10-25 2018-04-03 Security First Corp. Secure data parser method and system
US9906500B2 (en) 2004-10-25 2018-02-27 Security First Corp. Secure data parser method and system
US9871770B2 (en) 2004-10-25 2018-01-16 Security First Corp. Secure data parser method and system
US9177159B2 (en) 2004-10-25 2015-11-03 Security First Corp. Secure data parser method and system
US9294445B2 (en) 2004-10-25 2016-03-22 Security First Corp. Secure data parser method and system
US9294444B2 (en) 2004-10-25 2016-03-22 Security First Corp. Systems and methods for cryptographically splitting and storing data
US9992170B2 (en) 2004-10-25 2018-06-05 Security First Corp. Secure data parser method and system
JP2009044664A (en) * 2007-08-10 2009-02-26 Fujitsu Ltd Program for controlling communication device, and communication device
JP5316423B2 (en) * 2007-12-19 2013-10-16 富士通株式会社 Encryption implementation control system
US9516002B2 (en) * 2009-11-25 2016-12-06 Security First Corp. Systems and methods for securing data in motion
US20140304503A1 (en) * 2009-11-25 2014-10-09 Security First Corp. Systems and methods for securing data in motion
US9411524B2 (en) 2010-05-28 2016-08-09 Security First Corp. Accelerator system for use with secure data storage
JP2013005110A (en) * 2011-06-14 2013-01-07 Ntt Communications Kk Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program
JP2013102529A (en) * 2013-01-28 2013-05-23 Fujitsu Ltd Encipherment execution control system

Similar Documents

Publication Publication Date Title
US10135771B2 (en) Secure end-to-end transport through intermediary nodes
USRE39360E1 (en) System for signatureless transmission and reception of data packets between computer networks
JP4103611B2 (en) Wireless ad-hoc communication system, a terminal, an authentication method at the terminal, the encryption method and terminal management method and program for executing these methods to the terminal
US5633933A (en) Method and apparatus for a key-management scheme for internet protocols
CN202206418U (en) Traffic management device, system and processor
US5416842A (en) Method and apparatus for key-management scheme for use with internet protocols at site firewalls
JP3992579B2 (en) The key exchange proxy network system
US8510549B2 (en) Transmission of packet data over a network with security protocol
JP3263878B2 (en) Encrypted communication system
US7526658B1 (en) Scalable, distributed method and apparatus for transforming packets to enable secure communication between two stations
ES2219902T3 (en) Method and system security for transmissions in telecommunication networks.
US8254581B2 (en) Lightweight key distribution and management method for sensor networks
US8984268B2 (en) Encrypted record transmission
US7509491B1 (en) System and method for dynamic secured group communication
JP4710267B2 (en) Network system, data relay apparatus, a session monitoring system, and the packet monitor relay apparatus
EP2561663B1 (en) Server and method for providing secured access to services
EP1490995B1 (en) End-to-end protection of media stream encryption keys for voice-over-IP systems
EP1058429B1 (en) Communication system and communication method
JP4866909B2 (en) Shared key encryption using a long keypad
JP3595145B2 (en) Encrypted communication system
US20060182103A1 (en) System and method for routing network messages
US7519184B2 (en) Wireless communication system
US20080083011A1 (en) Protocol/API between a key server (KAP) and an enforcement point (PEP)
US6738910B1 (en) Manual virtual private network internet snoop avoider
US7760885B2 (en) Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070111

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100330

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100413

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100817