JP2007067631A - Vpnサーバホスティングシステム、およびvpn構築方法 - Google Patents
Vpnサーバホスティングシステム、およびvpn構築方法 Download PDFInfo
- Publication number
- JP2007067631A JP2007067631A JP2005249137A JP2005249137A JP2007067631A JP 2007067631 A JP2007067631 A JP 2007067631A JP 2005249137 A JP2005249137 A JP 2005249137A JP 2005249137 A JP2005249137 A JP 2005249137A JP 2007067631 A JP2007067631 A JP 2007067631A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- relay device
- vpn server
- public key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】 宅内中継装置22の公開鍵pkから計算されたハッシュ値H(pk)をVPNサーバプロセスのIDに対応させ、分散ハッシュテーブルを利用して同プロセスをホスティングシステム10内に分散して稼動させる。クライアント(宅内中継装置22および移動端末31)は、宅内中継装置22が発行したクライアント証明書を提示してVPNサーバプロセスに対する接続を要求する。そして、同証明書が公開鍵pkによって認証され、同証明書に対応するクライアント秘密鍵を当該クライアントが所有していることが証明された場合、クライアントとVPNサーバプロセスが接続されVPNが構築される。
【選択図】 図1
Description
"SoftEther 仮想イーサネットシステム"、[online]、ソフトイーサ株式会社、[平成17年8月4日検索]、インターネット、〈URL: http://www.softether.com/jp/〉
図1は、本発明の一実施形態によるVPNサーバホスティングシステム10を利用してリモートアクセス環境が実現されたネットワークの構成を示した図である。同図に示すように、VPNサーバホスティングシステム10、利用者の家庭内に構築された宅内LAN20、移動端末31が接続される移動先NW(ネットワーク)30がそれぞれインターネット40に接続されている。
以下、図2に示すフローチャートの流れに沿って順に説明する。
まず、宅内中継装置22が公開鍵pkと秘密鍵skのペアを1つ生成する(ステップS11)。ここで、公開鍵pkを用いて暗号化したデータは対応する秘密鍵skでなければ復号化できず、秘密鍵skを用いて暗号化したデータは対応する公開鍵pkでなければ復号化できない。また、秘密鍵skは自分(宅内中継装置22)以外のいかなる第三者に対しても公開されることがないよう管理される。
同図には、4ビットのハッシュ空間(説明を簡単にするため便宜上4ビットで考える)を4台のホストサーバ11a〜11dで管理している様子が示されている。すなわち、この例では24=16個のVPNサーバプロセスを管理可能である。これらVPNサーバプロセスのVPN−IDは0,1,2,…,15である。一方、各ホストサーバは固有の識別番号を有しており、ホストサーバ11aの識別番号は3、ホストサーバ11bの識別番号は7、ホストサーバ11cの識別番号は11、ホストサーバ11dの識別番号は15であるものとする。このような条件において、ホストサーバ11aが管理するのはVPN−ID=0〜3のVPNサーバプロセスであり、ホストサーバ11bが管理するのはVPN−ID=4〜7のVPNサーバプロセスであり、…というように、各ホストサーバとそれに割り当てられるVPNサーバプロセスとの対応関係が決められる。そして、各ホストサーバは、自分に割り当てられたVPN−ID(すなわちハッシュ値)の範囲を定めた表であるDHTを保持し、検索(下記)の際に利用する。
ステップS14で検索結果に該当したホストサーバ11cは、次に、転送されたデータに含まれる公開鍵pkを使い、VPN設定情報に施されている署名Sskの検証を行う(ステップS15)。公開鍵pkにより署名Sskを正しく復号化することができた場合に検証は成功し、ホストサーバ11cはハッシュ値H(pk)をVPN−IDとするVPNサーバプロセスを生成する(ステップS16)。一方、復号化が正しく行われなかった場合には検証が失敗する(ステップS17)。
次に、生成されたVPNサーバプロセスに対して、宅内中継装置22と移動端末31は以下の手続きにしたがってVPNによる接続を行う。
まず、宅内中継装置22は、接続を希望するVPNサーバプロセスのVPN−ID、すなわちハッシュ値H(pk)をホストサーバの1台に送信することによって、必要な接続情報の問い合わせを行う(ステップS21)。送信先は、IPアドレスを知っているホストサーバ11aである。
次に、VPNサーバプロセスは、メッセージ認証とパケットの暗号化のための共有セッション鍵Ks macとKs encを作成して、接続を許可した宅内中継装置22と移動端末31にこれら共有セッション鍵を送信する(ステップS31)。送信は、送信相手のクライアント公開鍵(すなわち、宅内中継装置22のpkgwと移動端末31のpkm)を使った暗号化通信により行う。この共有セッション鍵は、VPNサーバプロセスと宅内中継装置22と移動端末31とで共有されて、次に述べるVPNの通信において使用されるものである。
なお、上記の共有セッション鍵は特許請求の範囲に記載した第1のセッション鍵に相当し、クライアントセッション鍵は同じく第2のセッション鍵に相当する。
図4は、VPNにより移動端末31から宅内中継装置22へ通信する場合に送受信されるパケットの構造を示した図であり、上述した合計4つのセッション鍵を用いてメッセージ認証とパケットの暗号・復号化が行われる様子を示したものである。送信者である移動端末31は、パケットのヘッダ部分をKs enc、ペイロード部分をKu encでそれぞれ暗号化し、さらに、メッセージ(ヘッダ+ペイロード)とKu macから作成したメッセージ認証コードMACuならびにメッセージとKs macから作成したMACsをパケットの末尾に付加する。なお、メッセージ認証コード(MAC;Message Authentication Code)は、所定のMAC関数にメッセージと鍵を入力して得られる固定長ビットの出力値である。そして、入力に使った鍵を送信者と受信者で共有しておき、受信したメッセージと共有鍵とから計算したMACが、受信したメッセージに付加されているMACと一致すれば、受信者はそのメッセージが改竄されていないことを確認(メッセージ認証)できる。
例えば、DHT自体はP2P(Peer to Peer)のファイル交換などで用いられる既存の技術であり、ChordやCAN、Tapestryなど種々ある方式のいずれを適用することも可能である。
Claims (4)
- 外部の情報端末からの接続を受け入れる第1のネットワーク、および前記情報端末が属する第2のネットワークと接続することが可能であり、1つまたは複数のホストサーバからなるVPNサーバホスティングシステムであって、
前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるサーバ管理手段と、
前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するVPNサーバ生成手段と、
前記中継装置ならびに前記情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとの接続を許可する通信制御手段と、
を備えることを特徴とするVPNサーバホスティングシステム。 - 前記各々のホストサーバは、自分の管理する前記ハッシュ値の範囲を定めた分散ハッシュテーブルを保持しており、
前記サーバ管理手段は、前記分散ハッシュテーブルにしたがってホストサーバの割り当てを行う
ことを特徴とする請求項1に記載のVPNサーバホスティングシステム。 - 前記通信制御手段によって許可された接続にかかる通信において、前記中継装置、前記VPNサーバプロセス、および前記情報端末間で共有される第1のセッション鍵を生成するセッション鍵生成手段と、
前記第1のセッション鍵と、前記通信において前記中継装置と前記情報端末間でのみ共有される第2のセッション鍵とを用いてメッセージ認証コードが付加され、且つ前記第1のセッション鍵を用いてヘッダが、前記第2のセッション鍵を用いてペイロードがそれぞれ暗号化されたパケットに対し、前記第1のセッション鍵を使用してメッセージ認証ならびに前記ヘッダの復号化を行うパケット解析手段と、
をさらに備えることを特徴とする請求項1または請求項2に記載のVPNサーバホスティングシステム。 - 第1のネットワークおよび第2のネットワークが1つまたは複数のホストサーバからなるサーバ群によって接続されたネットワークにおいて、
前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるステップと、
前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するステップと、
前記中継装置、ならびに前記第2のネットワークに属する情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとを接続させる
ことを特徴とするVPN構築方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005249137A JP4490352B2 (ja) | 2005-08-30 | 2005-08-30 | Vpnサーバホスティングシステム、およびvpn構築方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005249137A JP4490352B2 (ja) | 2005-08-30 | 2005-08-30 | Vpnサーバホスティングシステム、およびvpn構築方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007067631A true JP2007067631A (ja) | 2007-03-15 |
JP4490352B2 JP4490352B2 (ja) | 2010-06-23 |
Family
ID=37929355
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005249137A Expired - Fee Related JP4490352B2 (ja) | 2005-08-30 | 2005-08-30 | Vpnサーバホスティングシステム、およびvpn構築方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4490352B2 (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011010735A1 (ja) * | 2009-07-24 | 2011-01-27 | ヤマハ株式会社 | 中継装置 |
JPWO2013175539A1 (ja) * | 2012-05-24 | 2016-01-12 | 富士通株式会社 | ネットワークシステム、ノード、および通信方法。 |
JP2021177666A (ja) * | 2016-02-23 | 2021-11-11 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | ブロックチェーンベースのトークナイゼーションを用いた交換 |
CN114553414A (zh) * | 2022-03-03 | 2022-05-27 | 合肥浩瀚深度信息技术有限公司 | 基于https服务的内网穿透方法及系统 |
KR102474894B1 (ko) * | 2022-09-01 | 2022-12-06 | (주)노르마 | 양자 내성 암호화 알고리즘에 기초한 서명과 인증을 수행함으로써 가상 사설 네트워크를 제공하는 가상 사설 네트워크 형성 방법 및 이를 수행하는 가상 사설 네트워크 운용 시스템 |
US11755718B2 (en) | 2016-02-23 | 2023-09-12 | Nchain Licensing Ag | Blockchain implemented counting system and method for use in secure voting and distribution |
US11936774B2 (en) | 2016-02-23 | 2024-03-19 | Nchain Licensing Ag | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys |
US11972422B2 (en) | 2016-02-23 | 2024-04-30 | Nchain Licensing Ag | Registry and automated management method for blockchain-enforced smart contracts |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11224219A (ja) * | 1998-02-05 | 1999-08-17 | Nippon Telegr & Teleph Corp <Ntt> | 分散キャッシュ制御方法及び分散制御装置及び分散キャッシュシステム及び分散キャッシュ制御プログラムを格納した記憶媒体 |
JP2004511931A (ja) * | 2000-09-06 | 2004-04-15 | ワイドバイン・テクノロジーズ・インコーポレイテッド | ネットワークで送られるデータの異なる部分を選択的に暗号化する装置、システム、および、方法 |
JP2005100194A (ja) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | 複数のユーザ閉域網に多重帰属するサーバ装置 |
JP2005522924A (ja) * | 2002-04-11 | 2005-07-28 | エイチアイ/エフエヌ,インコーポレイテッド | パケット処理方法およびパケット処理システム |
-
2005
- 2005-08-30 JP JP2005249137A patent/JP4490352B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11224219A (ja) * | 1998-02-05 | 1999-08-17 | Nippon Telegr & Teleph Corp <Ntt> | 分散キャッシュ制御方法及び分散制御装置及び分散キャッシュシステム及び分散キャッシュ制御プログラムを格納した記憶媒体 |
JP2004511931A (ja) * | 2000-09-06 | 2004-04-15 | ワイドバイン・テクノロジーズ・インコーポレイテッド | ネットワークで送られるデータの異なる部分を選択的に暗号化する装置、システム、および、方法 |
JP2005522924A (ja) * | 2002-04-11 | 2005-07-28 | エイチアイ/エフエヌ,インコーポレイテッド | パケット処理方法およびパケット処理システム |
JP2005100194A (ja) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | 複数のユーザ閉域網に多重帰属するサーバ装置 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011010735A1 (ja) * | 2009-07-24 | 2011-01-27 | ヤマハ株式会社 | 中継装置 |
JPWO2013175539A1 (ja) * | 2012-05-24 | 2016-01-12 | 富士通株式会社 | ネットワークシステム、ノード、および通信方法。 |
JP2021177666A (ja) * | 2016-02-23 | 2021-11-11 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | ブロックチェーンベースのトークナイゼーションを用いた交換 |
US11755718B2 (en) | 2016-02-23 | 2023-09-12 | Nchain Licensing Ag | Blockchain implemented counting system and method for use in secure voting and distribution |
US11936774B2 (en) | 2016-02-23 | 2024-03-19 | Nchain Licensing Ag | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys |
US11972422B2 (en) | 2016-02-23 | 2024-04-30 | Nchain Licensing Ag | Registry and automated management method for blockchain-enforced smart contracts |
CN114553414A (zh) * | 2022-03-03 | 2022-05-27 | 合肥浩瀚深度信息技术有限公司 | 基于https服务的内网穿透方法及系统 |
CN114553414B (zh) * | 2022-03-03 | 2024-04-05 | 合肥浩瀚深度信息技术有限公司 | 基于https服务的内网穿透方法及系统 |
KR102474894B1 (ko) * | 2022-09-01 | 2022-12-06 | (주)노르마 | 양자 내성 암호화 알고리즘에 기초한 서명과 인증을 수행함으로써 가상 사설 네트워크를 제공하는 가상 사설 네트워크 형성 방법 및 이를 수행하는 가상 사설 네트워크 운용 시스템 |
US11791998B1 (en) | 2022-09-01 | 2023-10-17 | Norma Inc. | Method for forming virtual private network and virtual private network operating system which provides virtual private network by performing signature and authentication based on post quantum cryptography |
Also Published As
Publication number | Publication date |
---|---|
JP4490352B2 (ja) | 2010-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3912609B2 (ja) | リモートアクセスvpn仲介方法及び仲介装置 | |
Hsiao et al. | LAP: Lightweight anonymity and privacy | |
EP1396979B1 (en) | System and method for secure group communications | |
US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
US8082574B2 (en) | Enforcing security groups in network of data processors | |
JP4490352B2 (ja) | Vpnサーバホスティングシステム、およびvpn構築方法 | |
EP1635502B1 (en) | Session control server and communication system | |
US20020138635A1 (en) | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations | |
US20060248337A1 (en) | Establishment of a secure communication | |
US20080005290A1 (en) | Terminal reachability | |
US20170126623A1 (en) | Protected Subnet Interconnect | |
JP2005536961A (ja) | 公衆ネットワークにおけるデバイスと内部ネットワークにおけるデバイスとの間でデータを送信するための方法、ゲートウェイ及びシステム | |
JP5012173B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
Davoli et al. | An anonymization protocol for the internet of things | |
US20080072033A1 (en) | Re-encrypting policy enforcement point | |
JP3908982B2 (ja) | CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 | |
JP4837470B2 (ja) | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム | |
Hauser et al. | P4sec: Automated Deployment of 802.1 X, IPsec, and MACsec Network Protection in P4-Based SDN | |
Heer et al. | PISA: P2P Wi-Fi internet sharing architecture | |
Yeun et al. | Security for emerging ubiquitous networks | |
Balasubramanian et al. | Onion routing in anonymous network | |
JP4707325B2 (ja) | 情報処理装置 | |
Khan et al. | A key management scheme for Content Centric Networking | |
Festijo et al. | An open horizontal model for group management and end-to-end security management suitable for group-based private systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071015 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071015 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080303 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20080304 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100301 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100323 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100401 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4490352 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160409 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |