JP3651424B2 - Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus - Google Patents

Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus Download PDF

Info

Publication number
JP3651424B2
JP3651424B2 JP2001257681A JP2001257681A JP3651424B2 JP 3651424 B2 JP3651424 B2 JP 3651424B2 JP 2001257681 A JP2001257681 A JP 2001257681A JP 2001257681 A JP2001257681 A JP 2001257681A JP 3651424 B2 JP3651424 B2 JP 3651424B2
Authority
JP
Japan
Prior art keywords
gateway
key
scale
lan
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001257681A
Other languages
Japanese (ja)
Other versions
JP2003069597A (en
Inventor
恭弘 山口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2001257681A priority Critical patent/JP3651424B2/en
Publication of JP2003069597A publication Critical patent/JP2003069597A/en
Application granted granted Critical
Publication of JP3651424B2 publication Critical patent/JP3651424B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、複数のゲートウェイを有する大規模LANとIPSecによるVPNを構築するにあたり、鍵交換とともに鍵転送を行うことによって、一部のゲートウェイに障害が発生しても、通信不能とならない大規模IPSec VPN構築方法、大規模IPSec VPNシステム、大規模IPSec VPNプログラム及び鍵共有情報処理装置に関する。
【0002】
【従来の技術】
IPSec(Security architecture for IP(Internet Protocol))は特定のメンバ間で秘密鍵を共有することによってセキュリティを確保している。
この秘密鍵を共有するためには、通常IKE(Internet Key Exchange;インターネットキーエクスチェンジ)プロトコルを用いるが、これは特定の2者間で秘密鍵を生成するプロトコルであるため、事実上IPSecは、特定2者間でセキュリティを確保するプロトコルになっている。
【0003】
一方、大企業のネットワークなどの大規模なLANは、通常LAN外からの通信を受け入れるために、複数のゲートウェイを持っている。そのため、一つのゲートウェイで障害が発生しても別のゲートウェイを経由して、LAN外からの通信が可能になる。
【0004】
ところが、IPSecを用いると、LAN外の装置は一つのゲートウェイとの間でしかセキュリティを確保できなくなるため、このゲートウェイにおいて障害が発生するとLAN内との通信ができなくなってしまっていた。
このような問題を解決するために、IPSecによるセキュリティの確保が行われたゲートウェイに障害が発生した場合には、その時点で別のゲートウェイとの間で新たにIPSec通信を行う方法なども行われている。
【0005】
【発明が解決しようとする課題】
しかしながら、このような従来の方法などは、ゲートウェイの障害に備えて、常にその動作状況を監視する必要があることに加え、障害が発生した場合には、別のゲートウェイと再度新たに鍵の共有を行う必要があり、ネットワークに高い負荷をかける方法であった。
このため、一つのゲートウェイで障害が発生しても別のゲートウェイを経由してLAN外との通信を行うことのできる大規模LANの利点を損なうことなく、IPSecによるセキュリティの確保を可能とする方法等の実現が望まれていた。
【0006】
本発明は、上記の事情にかんがみなされたものであり、従来のようなIPSecにおける不都合を解消し、IPSecによるセキュリティの確保されたゲートウェイにおいて障害が発生しても、ネットワークに高負荷をかけることなく、別のゲートウェイを経由して、LAN外からの通信を可能とする大規模IPSecVPN(Virtual Private Network)構築方法、大規模IPSec VPNシステム、大規模IPSec VPNプログラム及び鍵共有情報処理装置の提供を目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成するため、本発明の請求項1記載の大規模IPSec VPNの構築方法は、複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換が行われた場合において、大規模LANのゲートウェイのインターネットキーエクスチェンジ部が、このゲートウェイのIPSec部に鍵設定を行うとともに、このゲートウェイの鍵転送部に鍵転送を要求し、ゲートウェイの鍵転送部が、要求に応じて、大規模LANの他のゲートウェイの鍵転送部に鍵転送を行い、他のゲートウェイの鍵転送部が、この転送されてきた鍵を用いて、他のゲートウェイのIPSec部に鍵設定を行う方法としてある。
【0008】
大規模IPSec VPNの構築方法をこのような方法にすれば、大規模LAN内において、鍵交換を行ったゲートウェイが、他のゲートウェイにその鍵をコピーし、実際には鍵交換を行っていないゲートウェイに、鍵交換行った場合と同様の権限をもたせることができる。
【0009】
このため、鍵交換を行ったゲートウェイに障害が発生しても、他のゲートウェイが、その障害が発生したゲートウェイに代わり、同様の役割を果たすことが可能となるため、このような場合に通信不能とはならなくなる。
また、この方法によれば、余分に鍵交換を行う必要がなくなるため、ネットワークや、ゲートウェイにかかる負荷を大幅に軽減することが可能となる。
【0010】
次に、本発明の請求項2記載の大規模IPSec VPNの構築方法は、鍵転送は、大規模LANのゲートウェイが、大規模LANの他のゲートウェイに鍵転送を要求し、他のゲートウェイが、この要求に対して、OK信号を暗号化してゲートウェイに返し、ゲートウェイが、この暗号化されたOK信号を検査するとともに、鍵を暗号化して他のゲートウェイに転送し、他のゲートウェイが、この転送されてきた鍵を検査して、ゲートウェイにOK信号を返す手順を含む方法としてある。
【0011】
大規模IPSec VPNの構築方法をこのような方法にすれば、鍵転送を行う場合において、セキュリティを確保することが可能となり、この鍵転送を行うLANの内部に悪意のユーザが存在したとしても、盗聴などが行われることを防止することができる。
【0012】
次に、本発明の請求項3記載の大規模IPSec VPNの構築方法は、大規模LANの他のゲートウェイの鍵転送部が、大規模LANのゲートウェイから鍵転送を受けると、他のゲートウェイのIPSec部に鍵設定を行うとともに、この鍵を大規模LANのさらなる他のゲートウェイの鍵転送部に転送し、さらなる他のゲートウェイも、他のゲートウェイと同様に、自分のIPSec部に鍵設定を行うとともに、この鍵をゲートウェイの鍵転送部に転送し、ゲートウェイは、転送されてきた鍵が、最初に自分が転送した鍵に一致すること確認する方法としてある。
【0013】
大規模IPSec VPNの構築方法をこのような方法にすれば、大規模LANのゲートウェイが、3台以上の場合には、鍵転送を受けたゲートウェイが、さらに他のゲートウェイに鍵転送を行うことができ、鍵転送を効率的に行うことが可能となる。
また、大規模LAN内のゲートウェイが多数ある場合には、鍵交換を行ったゲートウェイと鍵転送を受けたゲートウェイをコピー元として、同時に複数の転送を行うことによって、速やかに鍵転送を行うことも可能となる。
【0014】
次に、本発明の請求項4記載の大規模IPSec VPNシステムは、複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換が行われると、大規模LAN内のゲートウェイ間で鍵転送が行われる大規模IPSec VPNシステムであって、インターネットキーエクスチェンジ部によりその他のLANのゲートウェイと鍵交換を行うとともに、このインターネットキーエクスチェンジ部により自分のIPSec部に鍵設定を行って、自分の鍵転送部に鍵転送を要求し、この鍵転送部により大規模LANの他のゲートウェイに鍵転送を行う大規模LANのゲートウェイと、大規模LANのゲートウェイから、鍵転送部が鍵転送を受けるとともに、自分のIPSec部に鍵設定を行う大規模LANの他のゲートウェイと、大規模LANのゲートウェイと鍵交換を行うその他のLANのゲートウェイと、大規模LANのゲートウェイと、大規模LANの他のゲートウェイと、その他のLANのゲートウェイを接続する通信回線とを有する構成としてある。
【0015】
大規模IPSec VPNシステムをこのような構成にすれば、鍵交換を行ったゲートウェイに障害が発生しても、他のゲートウェイが、その障害が発生したゲートウェイに代わり、同様の役割を果たすことが可能となるため、IPSec通信不能とはならなくなる。
【0016】
また、従来技術にあるように、別途鍵交換を行うことによって、迂回用のゲートウェイを設定する場合に比べると、本システムでは負荷の大きい鍵交換を1度しか行う必要がないため、ネットワークや、ゲートウェイにかかる負荷を大幅に軽減することが可能となる。
【0017】
次に、本発明の請求項5記載の大規模IPSec VPNシステムは、鍵転送は、大規模LANのゲートウェイが、大規模LANの他のゲートウェイに鍵転送を要求し、他のゲートウェイが、この要求に対して、OK信号を暗号化してゲートウェイに返し、ゲートウェイが、この暗号化されたOK信号を検査するとともに、鍵を暗号化して他のゲートウェイに転送し、他のゲートウェイが、この転送されてきた鍵を検査して、ゲートウェイにOK信号を返す手順を含む構成としてある。
【0018】
大規模IPSec VPNシステムをこのような構成にすれば、LANの内部に悪意のユーザが存在したとしても、鍵転送時における盗聴などを防止することが可能となる。
【0019】
次に、本発明の請求項6記載の大規模IPSec VPNシステムは、大規模LANの他のゲートウェイの鍵転送部が、大規模LANのゲートウェイから鍵転送を受けると、他のゲートウェイのIPSec部に鍵設定を行うとともに、この鍵を大規模LANのさらなる他のゲートウェイの鍵転送部に転送し、さらなる他のゲートウェイも、他のゲートウェイと同様に、自分のIPSec部に鍵設定を行うとともに、この鍵をゲートウェイの鍵転送部に転送し、ゲートウェイは、転送されてきた鍵が、最初に自分が転送した鍵に一致すること確認する構成としてある。
【0020】
大規模IPSec VPNシステムをこのような構成にすれば、大規模LANのゲートウェイが、3台以上の場合には、鍵転送を受けたゲートウェイが、さらに他のゲートウェイに鍵転送を行うことができ、鍵転送を効率的に行うことが可能となる。
【0021】
次に、本発明の請求項7記載の大規模IPSec VPNシステムは、転送が、大規模LANが有する4台以上のゲートウェイについて同様に行われる構成としてある。
この転送とは、請求項6における鍵設定、鍵転送及び鍵の確認を含む鍵を転送する際の一連の処理を意味する。
大規模IPSec VPNシステムをこのような構成にすれば、大規模LANが多数のゲートウェイを有する場合であっても、鍵転送を受けたゲートウェイ自体も、他のゲートウェイに対して鍵転送を行うことが可能となる。
【0022】
この場合、鍵転送を受けたゲートウェイが、次に他のゲートウェイに鍵転送を順次行うといったように、単に複数の鍵転送を直線的に実施するのみならず、所定の鍵転送経路を設定するなどして、鍵交換を行ったゲートウェイと鍵転送を受けたゲートウェイをコピー元として、複数の転送を同時に実行することによって、速やかに転送を行うことも可能である。
【0023】
次に、本発明の請求項8記載の大規模IPSec VPNシステムは、大規模LANのゲートウェイと、その他のLANのゲートウェイが鍵交換を行うとともに、大規模LANのゲートウェイが、大規模LANの他のゲートウェイに鍵転送を行い、大規模LANのゲートウェイに障害が発生すると、通信回線上の複数のルータの情報交換によって、大規模LANのゲートウェイ宛の転送を、大規模LANの他のゲートウェイに対して行うように経路情報が修正され、大規模LANのホストに対して、その他のLANの他のホストからパケット発信がなされると、その他のLANのゲートウェイが、このパケットをカプセル化して、大規模LANのゲートウェイ宛に通信回線を介して送信し、送信されたパケットが、修正された経路情報に従って、大規模LANの他のゲートウェイに転送され、大規模LANの他のゲートウェイが、送信されたパケットの逆カプセル化を行って、大規模LANのホストに送信し、大規模LANのホストがこの送信されてきたパケットの受信を行う構成としてある。
【0024】
大規模IPSec VPNシステムをこのような構成にすれば、大規模LANにおける鍵交換を行ったゲートウェイに障害が発生しても、鍵交換を行った時点で事前に、大規模LANにおける他のゲートウェイに鍵転送が行われているため、その他のLANの他のホストから、その他のLANにおける上記鍵交換を行ったゲートウェイを経由して、大規模LANのホストに対してパケットが送信された場合に、上記障害が発生したゲートウェイを迂回し、鍵転送を受けた他のゲートウェイを経由して、適切なホストに受信させることが可能となる。
なお、この場合のホストとは、所謂ホストコンピュータに限定する意味のものではなく、端末やサーバ等、ネットワークに接続する広く一般の情報処理装置を意味するものである。
【0025】
次に、本発明の請求項9記載の大規模IPSec VPNプログラムは、複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換を行わせる大規模IPSec VPNプログラムであって、大規模LANのゲートウェイのインターネットキーエクスチェンジ部鍵交換を行った場合ゲートウェイのインターネットキーエクスチェンジ部に、ゲートウェイのIPSec部に対して鍵設定を行わせるとともに、ゲートウェイの鍵転送部に対して鍵転送を要求させ、ゲートウェイの鍵転送部に、大規模LANの他のゲートウェイの鍵転送部に対して鍵転送を行わせ、他のゲートウェイの鍵転送部鍵転送を受けた場合、他のゲートウェイの鍵転送部に、転送されてきた鍵を用いて、他のゲートウェイのIPSec部に対して鍵設定を行わせる構成としてある。
【0026】
大規模IPSec VPNプログラムをこのような構成にすれば、鍵交換を行ったゲートウェイに障害が発生しても、他のゲートウェイにその代役をさせることができるため、このような場合にIPSec通信不能となることを防止することが可能となる。
また、従来技術の別途鍵交換を行うことにより迂回用のゲートウェイを設定する場合に比べると、負荷の大きい鍵交換を1度しか行わせないため、ネットワークや、ゲートウェイにかかる負荷を大幅に軽減させることが可能となる。
【0027】
次に、本発明の請求項10記載の大規模IPSec VPNプログラムは、鍵転送は、大規模LANのゲートウェイに、大規模LANの他のゲートウェイに対して鍵転送を要求させ、他のゲートウェイに、この要求に対して、OK信号を暗号化させてゲートウェイに返却させ、ゲートウェイに、この暗号化されたOK信号を検査させるとともに、鍵を暗号化させて他のゲートウェイに転送させ、他のゲートウェイに、この転送されてきた鍵を検査させて、ゲートウェイにOK信号を返却させる手順を含む構成としてある。
【0028】
大規模IPSec VPNプログラムをこのような構成にすれば、LANの内部に悪意のユーザが存在したとしても、鍵転送時における盗聴などを防止させることが可能となる。
【0029】
次に、本発明の請求項11記載の大規模IPSec VPNプログラムは、大規模LANのゲートウェイの他の鍵転送部鍵転送を受けた場合この転送されてきた鍵を用いて、他のゲートウェイの鍵転送部に、他のゲートウェイのIPSec部に対して鍵設定を行わせるとともに、大規模LANのさらなる他のゲートウェイに対して鍵転送を行わせる構成としてある。
【0030】
大規模IPSec VPNプログラムをこのような構成にすれば、大規模LANのゲートウェイが、3台以上の場合に、鍵転送を受けたゲートウェイに、さらに他のゲートウェイへ鍵転送を行わせることができるため、鍵転送の効率化を図ることが可能となる。
【0031】
次に、本発明の請求項12記載の鍵共有情報処理装置は、通信回線を介してIPSecによる鍵交換を行う際に、鍵転送も行う鍵共有情報処理装置であって、鍵共有情報処理装置のインターネットキーエクスチェンジ部が、鍵交換を行った場合には、このインターネットキーエクスチェンジ部が、鍵共有情報処理装置のIPSec部に鍵設定を行うとともに、鍵共有情報処理装置の鍵転送部に鍵転送を要求し、この鍵転送部が他の鍵共有情報処理装置に鍵転送を行い、鍵共有情報処理装置の鍵転送部が、鍵転送を受けた場合には、この転送されてきた鍵を用いて、鍵共有情報処理装置のIPSec部に鍵設定を行う構成としてある。
【0032】
鍵共有情報処理装置をこのような構成にすれば、自分が鍵交換を行った場合には、自身のIPSec部に鍵設定を行うとともに、他の鍵共有情報処理装置に鍵を転送し、他の鍵共有情報処理装置が鍵設定を行った場合には、鍵転送を受けるとともに、この転送されてきた鍵を自身のIPSec部に設定することが可能となる。
【0033】
そして、大規模LANなどにおいて、このような鍵共有情報処理装置をLAN外との情報の送受信の窓口として用いることにより、特定の鍵共有情報処理装置に障害が発生しても、この鍵共有情報処理装置から鍵転送を受けた他の鍵共有情報処理装置が、その代役を果たすことにより、通信不能となることを防止することが可能となる。
【0034】
また、このような鍵共有情報処理装置を、大規模IPSec VPN以外に応用してもかまわない。
例えば、インターネットショッピングなどにおいて、利用者端末が、ショップにおける本発明の鍵共有情報処理装置とセキュリティを確立する際に、ショップの別個の鍵共有情報処理装置に鍵転送を行うことによって、利用者のショッピング中にショップの鍵共有情報処理装置に障害が発生しても、その別個の鍵共有情報処理装置に以降の処理を代行させることによって、通信不能となることを防止することが可能となる。
【0035】
次に、本発明の請求項13記載の鍵共有情報処理装置は、大規模IPSec VPNにおけるゲートウェイである構成としてある。
鍵共有情報処理装置をこのような構成にすれば、上記のような鍵転送機能を大規模IPSec VPNにおけるゲートウェイにもたせることが可能となる。
【0036】
【発明の実施の形態】
以下、本発明の実施形態につき、図面を参照して説明する。
[第一実施形態]
まず、本発明の第一実施形態について、図1を参照して説明する。同図は、本実施形態における大規模IPSec VPNシステムの構成を示すブロック図である。
【0037】
同図に示すように、大規模IPSec VPNシステムは、LAN A10、LAN B20及び通信回線30を有している。
LAN A10は、複数のゲートウェイを有する大規模LANであって、ゲートウェイA1(GW_A1)11とゲートウェイA2(GW_A2)12等を有している。
【0038】
また、LAN B20は、その他のLANであって、その規模に特に制限はないが、ゲートウェイB(GW_B)21等を有している。
これらLAN A10とLAN B20とは通信回線30を介して接続されている。
【0039】
そして、これらLAN A10とLAN B20が通信するにあたり、IPSecによるセキュリティを確保したい場合には、通常、例えばゲートウェイA111と、ゲートウェイB 21が、IKE(インターネットキーエクスチェンジ)による鍵交換を行って同じ鍵を共有し、その鍵を使ってIPSec通信を行う。
【0040】
この際、本実施形態においては、ゲートウェイA1 11と、ゲートウェイB21が鍵交換を行うにあたり、ゲートウェイA1 11が、ゲートウェイA212に鍵転送を行って、その後ゲートウェイA1 11に障害が発生しても、ゲートウェイA2 12にIPSec通信機能を代行させることを可能とする。
【0041】
通信回線30としては、従来公知の任意好適な公衆回線、商業回線又は専用回線を用いることができる。また、ゲートウェイA1 11、ゲートウェイA2 12及びゲートウェイB 21等のそれぞれの間においては、同一又は別個の通信回線で構成することができる。
【0042】
さらに、通信回線30は、ゲートウェイA1 11、ゲートウェイA2 12及びゲートウェイB 21等のそれぞれの間を、無線あるいは有線で接続可能な回線であり、例えば、携帯端末網、公衆回線網、専用回線網及びインターネット回線網により構成することができる。
【0043】
次に、図2を用いて、上記各ゲートウェイの機能について、その処理手順とともに詳細に説明する。
ゲートウェイA1 11は、IKE部111、IPSec部112、鍵転送部113を有している。
また、ゲートウェイA2 12も同様に、IKE部121、IPSec部122、鍵転送部123を有しており、ゲートウェイB 21は、IKE部211及びIPSec部212を有している。
【0044】
そして、IKE部111が、IKE部211と鍵交換を行う(ステップ10)と、これらはそれぞれ、IPSec部112、IPSec部212に鍵設定を行う(ステップ11)。
この鍵交換としては、IKEによる従来の鍵交換技術を用いる。そして、鍵設定によって、それぞれのIPSec部に共通の鍵が設定される。
【0045】
次に、鍵交換を行ったゲートウェイA1 11のIKE部111は、鍵転送部113に鍵転送要求を行い(ステップ12)、この鍵転送部113は、ゲートウェイA2 12の鍵転送部123に鍵転送を行う(ステップ13)。
鍵転送を受けた鍵転送部123は、IPSec部122に鍵設定を行う(ステップ14)。
【0046】
このようにすることによって、ゲートウェイB 21のIPSec部212は、ゲートウェイA1 11のIPSec部112とIPSec通信を行うことができるとともに、ゲートウェイA1 11に障害が発生して、これと通信を行うことができなくなった場合にあっても、ゲートウェイA2 12のIPSec部122とIPSec通信を行うことが可能となる(ステップ15)。
【0047】
次に、図3を用いて、上記鍵転送の処理手順について詳細に説明する。同図は、本実施形態の大規模IPSec VPNシステムにおける鍵転送プロトコルの動作を表わす動作手順図である。
まず、ゲートウェイA1 11の鍵転送部113が、ゲートウェイA2 12の鍵転送部123に対して、鍵転送を要求する(ステップ20)。
【0048】
これに対して、鍵転送部123は、鍵転送部113にOK信号を返す(ステップ21)。
このときのOK信号は、IPSec処理の一種である認証付暗号ESP(Encapsulating Security Protocol)により暗号化されて送信される。
【0049】
OK信号を受けた鍵転送部113は、このOK信号の認証符号を検査し、鍵を転送する相手が本物のゲートウェイA2 12であることを確認する(ステップ22)。
そして、鍵転送部113は、鍵転送部123に鍵転送を行う(ステップ23)。
【0050】
このときの鍵データも認証付暗号ESPによってIPSec処理される。
このような暗号化を行うことによって、LAN A10内に悪意のユーザが存在しても、盗聴などを行うことはできない。
そして、鍵転送部123は、送信されてきた鍵データの認証符号を検査し、鍵データを送ったのが本物のゲートウェイA1 11であることを確認する(ステップ24)。
【0051】
最後に、鍵転送部123は、転送された鍵を自らの鍵として設定するとともに、鍵転送部113に対して、OK信号を返す(ステップ25)。
このOK信号については、特に認証付暗号ESPによるIPSec処理を行う必要はないが、行ってもかまわない。
【0052】
次に、第一実施形態の大規模IPSec VPNシステムの処理手順について、図4及び図5を参照して説明する。
図4は、本実施形態における鍵交換及び鍵転送を説明するためのものであり、図5は、鍵転送が行われた後に、鍵交換を行った大規模LANにおけるゲートウェイが故障した場合に、どのようにIPSec通信が実現されるのかを説明するためのものである。
【0053】
なお、これらの図において、R1、R2、R3は通信回線上に存在し、それぞれゲートウェイB 21、ゲートウェイA1 11、ゲートウェイA2 12との情報の送受信を中継するルータであり、これら以外の構成及びその機能については、図1と同様である。
【0054】
まず、図4において、ゲートウェイA1 11とゲートウェイB 21の間で、鍵交換が行われると(ステップ30)、ゲートウェイA1 11は、ゲートウェイA2 12に対して上述したようなネゴシエーションを行って、鍵転送を行う(ステップ31)。
【0055】
次に、図5において、ゲートウェイA1 11に障害が発生し、通信回線を介した通信が行えなくなると(ステップ40)、ルーティングプロトコルによってR2がこれを認識するとともに、R1、R3にその情報を伝達し、ゲートウェイA1 11宛の全てのパケットを、ゲートウェイA2 12に転送するように、経路情報が修正される(ステップ41)。
【0056】
そして、LAN B20におけるホストb(Host b)が、LAN A10におけるホストa(Host a)に対してパケットを発信すると(ステップ42)、ゲートウェイB 21は、このパケットを受け取って、正常時と同様にIPSecのカプセル化を行って(ステップ43)、最寄りのルータR1に転送する。
このとき、ステップ41により転送経路情報が変更されているため、通信回線を通ったパケットは、鍵交換を行ったゲートウェイA1 11ではなく、最終的に、ゲートウェイA2 12にたどり着く(ステップ44)。
【0057】
ゲートウェイA2 12は、ゲートウェイB 21と共有する鍵をもっているため、これを使って逆カプセル化を行い(ステップ45)、この逆カプセル化されたパケットは、ゲートウェイA2 12によって、ホストaに転送される(ステップ46)。
このようにして、ゲートウェイA1 11の障害にも拘わらず、ホストaとホストb間のIPSec通信は成立する。
【0058】
[第二実施形態]
次に、本発明の第二実施形態につき、図6を参照して説明する。同図は、本実施形態の大規模IPSec VPNシステムの機能を示すブロック図である。
本実施形態は、第一実施形態と比較して、LAN A10において、鍵転送が複数回行われる点で相違する。
【0059】
同図に示すように、本実施形態の大規模IPSec VPNシステムのLANA10は、ゲートウェイA1 11、ゲートウェイA2 12、ゲートウェイA3 13を有している。これ以外の構成及びその機能については、図1におけるものと同様である。
まず、ゲートウェイA1 11とゲートウェイB 21間で鍵交換が行われると(ステップ50)、ゲートウェイA1 11は、この鍵を自らに設定するとともに、ゲートウェイA2 12に対して鍵転送を行う。
【0060】
鍵転送を受けたゲートウェイA2 12は、自ら鍵設定を行うとともに、さらにゲートウェイA3 13に対して、鍵転送を行う。
そして、ゲートウェイA3 13は、自ら鍵設定を行うとともに、鍵をさらにゲートウェイA1 11に送信し、ゲートウェイA1 11が、この送信されてきた鍵が、自分が転送した鍵と一致することを確認して鍵転送を終了する(ステップ51)。
【0061】
なお、本実施形態においては、LAN A10内の3台のゲートウェイ間で、鍵転送を行っているが、より多くのゲートウェイ間で同様の処理を行うこともできる。
また、本実施形態においては、鍵転送を受けたゲートウェイが、次に他のゲートウェイに鍵転送を順次行う手順としているが、より多くのゲートウェイ間で転送処理を行う場合には、所定の鍵転送経路を設定するなどして、鍵交換を行ったゲートウェイと鍵転送を受けたゲートウェイをコピー元として、まだ鍵転送を受けていないゲートウェイに対し、複数の転送を同時に実行することによって、速やかに転送を行うことも可能である。
【0062】
さらに、マルチキャスト(Multicast)IPSecによって、大規模LANのゲートウェイに一斉に鍵転送し、鍵設定を行うようにしてもよい。
また、以上の実施形態では、LAN B20内において、鍵転送処理を行ってはいないが、LAN B20が複数のゲートウェイを有する場合にはLAN A10における場合と同様に、必要に応じて鍵転送による鍵の共有化を行うことはもちろん可能である。
【0063】
加えて、これらの実施形態におけるゲートウェイの機能を、VPN以外に応用することも可能である。
すなわち、このような鍵転送機能による鍵の共有化を、例えば、インターネット上にショップを提供するサーバなどの情報処理装置(鍵共有情報処理装置)に用いることにより、インターネットショッピングにおいてセキュリティを確立した後に、一部の情報処理装置に障害が発生したとしても、通信不能となることを防止することが可能となる。
【0064】
そして、このような処理についても、上記実施形態において、ゲートウェイの代わりに鍵共有情報処理装置を用いることにより、同様の構成(ただし、この場合、LAN A10は大規模でなくともよい。)で、同様の鍵転送プロトコルを用いて実現することが可能である。
【0065】
大規模IPSec VPNシステムにおける処理手順をこのような順序とすれば、大規模LAN内のゲートウェイが鍵をコピーすることによって、実際には鍵交換をしていない相手とも鍵を共有することができるため、複数のゲートウェイを有する大規模なLANとIPSecによるVPNを構築するにあたり、その一部のゲートウェイの障害などによる通信不能を防止することが可能となる。
また、大規模LAN内のゲートウェイ間における鍵の共有化を、鍵転送によって行うことにより、このような鍵の共有化を鍵交換によって行う場合に比較すると、装置にかかる負荷を大幅に削減することが可能となる。
【0066】
上記の実施形態における鍵転送等は、大規模IPSec VPNプログラムにより実行される。
この大規模IPSec VPNプログラムは、コンピュータの各構成要素に指令を送り、所定の処理、例えば、鍵転送処理等を行わせる。
これによって、これらの処理は、大規模IPSec VPNプログラムとコンピュータとが協働したゲートウェイA1 11、ゲートウェイA2 12等により実現される。
【0067】
なお、大規模IPSec VPNプログラムは、コンピュータのROMやハードディスクに記憶させる他、コンピュータ読み取り可能な記録媒体、例えば、外部記憶装置及び可搬記録媒体等に格納することができる。
外部記憶装置とは、磁気ディスク等の記録媒体を内蔵し、例えばゲートウェイA1 11などに外部接続される記憶増設装置をいう。一方、可搬記録媒体とは、記録媒体駆動装置(ドライブ装置)に装着でき、かつ、持ち運び可能な記録媒体であって、例えば、CD−ROM、フレキシブルディスク、メモリカード、光磁気ディスク等をいう。
【0068】
そして、記録媒体に記録されたプログラムは、コンピュータのRAMにロードされて、CPUにより実行される。この実行により、上述した本実施形態のゲートウェイA1 11、ゲートウェイA2 12等の機能が実現される。
さらに、コンピュータで大規模IPSec VPNプログラムをロードする場合、他のコンピュータで保有された大規模IPSec VPNプログラムを、通信回線を利用して自己の有するRAMや外部記憶装置にダウンロードすることもできる。
このダウンロードされた大規模IPSec VPNプログラムも、CPUにより実行され、鍵転送処理等を実現する。
【0069】
なお、本発明は以上の実施形態に限定されるものではなく、これをVPN構築以外の場合にも応用することができる。
例えば、インターネットショッピングにおいて、利用者端末が、ショップのサーバとセキュリティを確立する際に、ショップの別個のサーバに鍵転送を行うことによって、利用者のショッピング中にショップのサーバに障害が発生しても、その別個のサーバに以降の処理を代行させることによって、通信不能とならなくするなど、適宜設計変更できるものである。
【0070】
【発明の効果】
以上のように、本発明によれば、複数のゲートウェイを有する大規模なLANとIPSecによるVPNを構築する場合に、一部のゲートウェイの障害などによる通信不能を防止することができる。
【0071】
また、鍵交換によって装置にかかる負荷を大幅に軽減することが可能となる。すなわち、IKEによる鍵交換は、公開鍵暗号技術にもとづく処理であり、他の処理に比べて非常に負荷が大きく、障害時の迂回を考えて2つ以上のゲートウェイとそれぞれ鍵交換を行えば、ゲートウェイの台数分だけ鍵交換を行う必要があるが、本方式では1度の鍵交換でよい。
【0072】
さらに、システム全体を安価に構築することが期待できる。これは、パケットがどのゲートウェイに渡されるかはインターネット上のルータが決める方式であるため、大規模なLANにアクセスする側のLANは、相手のどのゲートウェイと通信しているかを意識しなくて良いからである。
すなわち、これは本方式を実現するためにアクセスする側のゲートウェイに特別な仕掛けが必要ないことを意味する。
【0073】
このようなネットワークは、一般に、1つの大規模LANに多数の小規模LANがアクセスする構成をとるため、小規模LAN側のゲートウェイとして、IPSec/IKEに対応した通常のIPSec ゲートウェイを用いることができれば、システム全体として安価なものとなる。
【0074】
また、大規模IPSec VPNプログラムは、コンピュータの各構成要素へ所定の指令を送ることにより、このコンピュータに、鍵転送機能等を実現させることができる。
これによって、これらの機能等は、大規模IPSec VPNプログラムとコンピュータとが協働したゲートウェイ等により実現可能である。
【図面の簡単な説明】
【図1】本発明の第一実施形態における大規模IPSec VPNシステムの構成を示すブロック図である。
【図2】本発明の第一実施形態における大規模IPSec VPNシステムのゲートウェイの機能を示すブロック図である。
【図3】本発明の各実施形態における大規模IPSec VPNシステムの鍵転送プロトコルの動作を示す動作手順図である。
【図4】本発明の第一実施形態における大規模IPSec VPNシステムの機能を示すブロック図(1)である。
【図5】本発明の第一実施形態における大規模IPSec VPNシステムの機能を示すブロック図(2)である。
【図6】本発明の第二実施形態における大規模IPSec VPNシステムの機能を示すブロック図である。
【符号の説明】
10 LAN A
11 ゲートウェイA1(GW_A1)
12 ゲートウェイA2(GW_A2)
13 ゲートウェイA3(GW_A3)
14 ホストa(Host a)
20 LAN B
21 ゲートウェイB(GW_B)
22 ホストb(Host b)
30 通信回線
31 ルータ1(R1)
32 ルータ2(R2)
33 ルータ3(R3)[0001]
BACKGROUND OF THE INVENTION
In constructing a VPN with a large-scale LAN having a plurality of gateways and IPSec, the present invention performs a key transfer together with key exchange, so that even if some gateways fail, a large-scale IPSec that does not become incapable of communication. The present invention relates to a VPN construction method, a large-scale IPSec VPN system, a large-scale IPSec VPN program, and a key sharing information processing apparatus.
[0002]
[Prior art]
IPSec (Security architecture for IP (Internet Protocol)) secures security by sharing a secret key between specific members.
In order to share this secret key, the IKE (Internet Key Exchange) protocol is usually used, but since this is a protocol for generating a secret key between two specific parties, IPSec is effectively specified. It is a protocol that ensures security between the two parties.
[0003]
On the other hand, large-scale LANs such as large corporate networks usually have a plurality of gateways in order to accept communications from outside the LAN. Therefore, even if a failure occurs in one gateway, communication from outside the LAN becomes possible via another gateway.
[0004]
However, when IPSec is used, a device outside the LAN can ensure security only with a single gateway, and if a failure occurs in this gateway, communication with the LAN becomes impossible.
In order to solve such a problem, when a failure occurs in a gateway where security is ensured by IPSec, a method of newly performing IPSec communication with another gateway at that time is also performed. ing.
[0005]
[Problems to be solved by the invention]
However, in the case of such a conventional method, it is necessary to constantly monitor the operation status in preparation for a gateway failure, and in the event of a failure, a new key is shared again with another gateway. It was a method to put a high load on the network.
For this reason, even if a failure occurs in one gateway, it is possible to ensure security by IPSec without impairing the advantages of a large-scale LAN that can communicate with outside the LAN via another gateway. Etc. were desired.
[0006]
The present invention has been considered in view of the above circumstances, solves the conventional problems of IPSec, and does not put a heavy load on the network even if a failure occurs in a security-secured gateway by IPSec. To provide a large-scale IPSec VPN (Virtual Private Network) construction method, a large-scale IPSec VPN system, a large-scale IPSec VPN program, and a key sharing information processing apparatus that enable communication from outside the LAN via another gateway And
[0007]
[Means for Solving the Problems]
In order to achieve the above object, a method for constructing a large-scale IPSec VPN according to claim 1 of the present invention is a key based on IPSec between a gateway of a large-scale LAN having a plurality of gateways and gateways of other LANs. When the exchange is performed, the Internet key exchange unit of the gateway of the large-scale LAN sets a key in the IPSec unit of the gateway and requests the key transfer unit of the gateway to perform key transfer. In response to the request, the key is transferred to the key transfer unit of the other gateway of the large-scale LAN, and the key transfer unit of the other gateway uses the transferred key to the IPSec unit of the other gateway. This is a key setting method.
[0008]
If the construction method of the large-scale IPSec VPN is such a method, the gateway that has exchanged the key in the large-scale LAN copies the key to another gateway and does not actually exchange the key. Can have the same authority as in the case of key exchange.
[0009]
For this reason, even if a failure occurs in the key exchange gateway, other gateways can play the same role in place of the failure gateway, so communication is not possible in such a case. It will not be.
Also, according to this method, it is not necessary to perform extra key exchange, so that the load on the network and the gateway can be greatly reduced.
[0010]
Next, in the method for constructing a large-scale IPSec VPN according to claim 2 of the present invention, the key transfer is such that the gateway of the large-scale LAN requests the key transfer from another gateway of the large-scale LAN, and the other gateways In response to this request, an OK signal is encrypted and returned to the gateway, and the gateway inspects the encrypted OK signal, encrypts the key, and forwards it to the other gateway. This is a method including a procedure of checking a key that has been sent and returning an OK signal to the gateway.
[0011]
If such a method for constructing a large-scale IPSec VPN is used, it is possible to ensure security when performing key transfer, and even if a malicious user exists in the LAN that performs this key transfer, Eavesdropping and the like can be prevented.
[0012]
Next, in the method for constructing a large-scale IPSec VPN according to claim 3 of the present invention, when the key transfer unit of another gateway of the large-scale LAN receives the key transfer from the gateway of the large-scale LAN, the IPSec of the other gateway The key is set in the unit, and the key is transferred to the key transfer unit of another gateway in the large-scale LAN. The other gateway sets the key in its own IPSec unit in the same manner as the other gateways. This key is transferred to the key transfer unit of the gateway, and the gateway confirms that the transferred key matches the key transferred by itself.
[0013]
If such a method is used for constructing a large-scale IPSec VPN, if there are three or more gateways of a large-scale LAN, the gateway that has received the key transfer may further perform the key transfer to another gateway. It is possible to perform key transfer efficiently.
If there are many gateways in a large-scale LAN, key transfer can be performed quickly by simultaneously performing multiple transfers using the gateway that has performed key exchange and the gateway that has received key transfer as the copy source. It becomes possible.
[0014]
Next, in the large-scale IPSec VPN system according to claim 4 of the present invention, when key exchange based on IPSec is performed between a large-scale LAN gateway having a plurality of gateways and another LAN gateway, A large-scale IPSec VPN system in which keys are transferred between gateways in a large-scale LAN. The Internet key exchange unit exchanges keys with other LAN gateways, and the Internet key exchange unit allows its own IPSec unit to be exchanged. From the large-scale LAN gateway that performs key setting, requests key transfer to its own key transfer unit, and transfers the key to another gateway of the large-scale LAN by this key transfer unit, and the gateway of the large-scale LAN The forwarding part receives the key forwarding, and the own IPSec part Other gateways for large-scale LANs for key setting, gateways for other LANs for key exchange with large-scale LAN gateways, gateways for large-scale LANs, other gateways for large-scale LANs, and other LANs And a communication line connecting the gateway.
[0015]
If the large-scale IPSec VPN system is configured in this way, even if a failure occurs in the gateway that exchanged the keys, other gateways can play the same role instead of the failed gateway. Therefore, IPSec communication is not disabled.
[0016]
Also, as in the prior art, by performing separate key exchange, compared to the case of setting a detour gateway, this system only needs to perform a heavy key exchange once, so the network, The load on the gateway can be greatly reduced.
[0017]
Next, in the large-scale IPSec VPN system according to claim 5 of the present invention, in the key transfer, the gateway of the large-scale LAN requests key transfer from another gateway of the large-scale LAN, and the other gateway requests this request. On the other hand, the OK signal is encrypted and returned to the gateway, and the gateway inspects the encrypted OK signal and encrypts the key and forwards it to the other gateway. The configuration includes a procedure for checking the received key and returning an OK signal to the gateway.
[0018]
If the large-scale IPSec VPN system has such a configuration, even if a malicious user exists in the LAN, it is possible to prevent wiretapping at the time of key transfer.
[0019]
Next, in the large-scale IPSec VPN system according to claim 6 of the present invention, when the key transfer unit of the other gateway of the large-scale LAN receives the key transfer from the gateway of the large-scale LAN, the IPSec unit of the other gateway In addition to performing key setting, this key is transferred to the key transfer unit of another gateway of the large-scale LAN, and the other gateway also performs key setting in its own IPSec unit in the same manner as other gateways. The key is transferred to the key transfer unit of the gateway, and the gateway confirms that the transferred key matches the key transferred by itself for the first time.
[0020]
If the large-scale IPSec VPN system has such a configuration, when there are three or more large-scale LAN gateways, the gateway that has received the key transfer can perform key transfer to another gateway. Key transfer can be performed efficiently.
[0021]
Next, the large-scale IPSec VPN system according to claim 7 of the present invention is configured such that the transfer is similarly performed for four or more gateways included in the large-scale LAN.
This transfer means a series of processing when transferring a key including key setting, key transfer and key confirmation in claim 6.
If the large-scale IPSec VPN system is configured in this way, even if the large-scale LAN has a large number of gateways, the gateway itself that has received the key transfer can also perform key transfer to other gateways. It becomes possible.
[0022]
In this case, the gateway that has received the key transfer not only simply performs a plurality of key transfers linearly, such as sequentially performing key transfers to other gateways, but also sets a predetermined key transfer path, etc. Thus, it is also possible to perform the transfer quickly by simultaneously executing a plurality of transfers using the gateway that has performed the key exchange and the gateway that has received the key transfer as a copy source.
[0023]
Next, in the large-scale IPSec VPN system according to claim 8 of the present invention, the gateway of the large-scale LAN and the gateway of the other LAN exchange keys, and the gateway of the large-scale LAN When a key is transferred to a gateway and a failure occurs in the gateway of a large-scale LAN, transfer to the gateway of the large-scale LAN is transferred to other gateways of the large-scale LAN by exchanging information between multiple routers on the communication line. When the route information is modified as described above and a packet is transmitted from another host of the other LAN to the host of the large-scale LAN, the gateway of the other LAN encapsulates the packet, and the large-scale LAN Is sent to the gateway via the communication line, and the transmitted packet is in accordance with the corrected route information. Forwarded to another gateway of the large LAN, and the other gateway of the large LAN decapsulates the transmitted packet and sends it to the host of the large LAN, and the host of the large LAN sends this transmission. The received packet is received.
[0024]
If the large-scale IPSec VPN system has such a configuration, even if a failure occurs in the gateway that has exchanged the key in the large-scale LAN, the gateway to the other gateway in the large-scale LAN in advance when the key exchange is performed. Since key transfer is performed, when a packet is transmitted from another host of another LAN to the host of the large-scale LAN via the gateway that has performed the key exchange in the other LAN, It is possible to bypass the gateway in which the failure has occurred and allow an appropriate host to receive it via another gateway that has received the key transfer.
The host in this case is not limited to a so-called host computer, but means a general information processing apparatus connected to a network such as a terminal or a server.
[0025]
Next, the large-scale IPSec VPN program according to claim 9 of the present invention is: Allows key exchange based on IPSec between a gateway of a large-scale LAN having a plurality of gateways and a gateway of another LAN A large-scale IPSec VPN program, the Internet key exchange section of a large-scale LAN gateway But When key exchange is performed , Causes the Internet key exchange unit of the gateway to perform key setting for the IPSec unit of the gateway and requests the key transfer unit of the gateway to perform key transfer, and causes the gateway key transfer unit to send another gateway of the large-scale LAN. Make the key transfer part of the other Gateway key transfer unit But When receiving a key transfer Of other gateways Using the transferred key to the key transfer unit, other The configuration is such that key setting is performed for the IPSec section of the gateway.
[0026]
If the large-scale IPSec VPN program is configured in this way, even if a failure occurs in the gateway that has exchanged the key, other gateways can substitute for it. It becomes possible to prevent becoming.
In addition, compared to the case of setting a bypass gateway by performing a separate key exchange in the prior art, a key exchange with a large load can be performed only once, so the load on the network and the gateway is greatly reduced. It becomes possible.
[0027]
Next, in the large-scale IPSec VPN program according to claim 10 of the present invention, the key transfer is performed by causing a gateway of the large-scale LAN to request key transfer to another gateway of the large-scale LAN, and causing the other gateway to In response to this request, an OK signal is encrypted and returned to the gateway, and the gateway is inspected for the encrypted OK signal, and the key is encrypted and transferred to another gateway. The configuration includes a procedure for checking the transferred key and returning an OK signal to the gateway.
[0028]
If the large-scale IPSec VPN program has such a configuration, even if a malicious user exists in the LAN, it is possible to prevent eavesdropping at the time of key transfer.
[0029]
Next, the large-scale IPSec VPN program according to claim 11 of the present invention is a gateway for a large-scale LAN. other Key transfer part But When receiving a key transfer , Using this transferred key, other In the key transfer part of the gateway, other In this configuration, the IPSec part of the gateway is set with a key, and another gateway of the large-scale LAN is further subjected to key transfer.
[0030]
If the large-scale IPSec VPN program has such a configuration, when there are three or more large-scale LAN gateways, it is possible to cause the gateway that has received the key transfer to perform key transfer to another gateway. Thus, it is possible to improve the efficiency of key transfer.
[0031]
Next, a key sharing information processing apparatus according to claim 12 of the present invention is a key sharing information processing apparatus that also performs key transfer when performing key exchange by IPSec via a communication line. When the Internet key exchange unit performs key exchange, the Internet key exchange unit sets a key in the IPSec unit of the key sharing information processing apparatus and transfers a key to the key transfer unit of the key sharing information processing apparatus. When the key transfer unit performs key transfer to another key sharing information processing apparatus and the key transfer unit of the key sharing information processing apparatus receives the key transfer, the transferred key is used. Thus, the key setting is performed in the IPSec section of the key sharing information processing apparatus.
[0032]
If the key sharing information processing device has such a configuration, when the user performs key exchange, the key is set in the own IPSec unit, and the key is transferred to another key sharing information processing device. When the key sharing information processing apparatus performs key setting, it is possible to receive key transfer and set the transferred key in its own IPSec section.
[0033]
In a large-scale LAN or the like, even if a failure occurs in a specific key sharing information processing apparatus, such key sharing information processing apparatus can be used as a window for transmitting and receiving information to and from outside the LAN. When another key sharing information processing apparatus that has received the key transfer from the processing apparatus fulfills its role, it becomes possible to prevent communication from being disabled.
[0034]
Further, such a key sharing information processing apparatus may be applied to other than a large-scale IPSec VPN.
For example, in Internet shopping, when a user terminal establishes security with the key sharing information processing apparatus of the present invention in a shop, by transferring the key to a separate key sharing information processing apparatus in the shop, the user terminal Even if a failure occurs in the shop's key sharing information processing apparatus during shopping, it is possible to prevent communication from becoming impossible by substituting the separate processing for the key sharing information processing apparatus.
[0035]
Next, the key agreement information processing apparatus according to claim 13 of the present invention is configured as a gateway in a large-scale IPSec VPN.
If the key sharing information processing apparatus has such a configuration, the key transfer function as described above can be provided to a gateway in a large-scale IPSec VPN.
[0036]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[First embodiment]
First, a first embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the large-scale IPSec VPN system in the present embodiment.
[0037]
As shown in the figure, the large-scale IPSec VPN system has a LAN A 10, a LAN B 20, and a communication line 30.
The LAN A10 is a large-scale LAN having a plurality of gateways, and includes a gateway A1 (GW_A1) 11, a gateway A2 (GW_A2) 12, and the like.
[0038]
The LAN B20 is another LAN, and there is no particular limitation on the scale thereof, but it includes a gateway B (GW_B) 21 and the like.
These LAN A 10 and LAN B 20 are connected via a communication line 30.
[0039]
When LAN A10 and LAN B20 communicate with each other, when it is desired to ensure security by IPSec, for example, gateway A111 and gateway B21 normally perform key exchange by IKE (Internet Key Exchange) to obtain the same key. Share and perform IPSec communication using the key.
[0040]
At this time, in the present embodiment, when the gateway A1 11 and the gateway B21 exchange keys, the gateway A1 11 performs key transfer to the gateway A212, and then the gateway A111 fails even if a failure occurs. A2 12 can be made to perform the IPSec communication function.
[0041]
As the communication line 30, a publicly known arbitrary suitable public line, commercial line, or dedicated line can be used. Moreover, between each of gateway A1 11, gateway A2 12, gateway B21 grade | etc., Can be comprised by the same or separate communication line.
[0042]
Further, the communication line 30 is a line that can be connected wirelessly or by wire between the gateway A111, the gateway A212, the gateway B21, etc., for example, a mobile terminal network, a public line network, a dedicated line network, and It can be configured by an internet network.
[0043]
Next, the function of each gateway will be described in detail with reference to FIG.
The gateway A1 11 includes an IKE unit 111, an IPSec unit 112, and a key transfer unit 113.
Similarly, the gateway A2 12 includes an IKE unit 121, an IPSec unit 122, and a key transfer unit 123, and the gateway B 21 includes an IKE unit 211 and an IPSec unit 212.
[0044]
Then, when the IKE unit 111 exchanges keys with the IKE unit 211 (step 10), these perform key setting on the IPSec unit 112 and the IPSec unit 212, respectively (step 11).
As this key exchange, a conventional key exchange technique by IKE is used. Then, a common key is set in each IPSec unit by key setting.
[0045]
Next, the IKE unit 111 of the gateway A1 11 that has performed the key exchange makes a key transfer request to the key transfer unit 113 (step 12), and the key transfer unit 113 transfers the key to the key transfer unit 123 of the gateway A212. (Step 13).
The key transfer unit 123 that has received the key transfer sets the key in the IPSec unit 122 (step 14).
[0046]
By doing in this way, the IPSec part 212 of the gateway B 21 can perform IPSec communication with the IPSec part 112 of the gateway A 1 11, and a failure occurs in the gateway A 1 11, and communication with this can be performed. Even if it becomes impossible, IPSec communication can be performed with the IPSec unit 122 of the gateway A2 12 (step 15).
[0047]
Next, the key transfer processing procedure will be described in detail with reference to FIG. This figure is an operation procedure diagram showing the operation of the key transfer protocol in the large-scale IPSec VPN system of this embodiment.
First, the key transfer unit 113 of the gateway A1 11 requests key transfer from the key transfer unit 123 of the gateway A2 12 (step 20).
[0048]
In response to this, the key transfer unit 123 returns an OK signal to the key transfer unit 113 (step 21).
The OK signal at this time is encrypted by an encrypted encryption ESP (Encapsulating Security Protocol), which is a type of IPSec processing, and transmitted.
[0049]
Upon receiving the OK signal, the key transfer unit 113 checks the authentication code of the OK signal and confirms that the other party to which the key is transferred is the real gateway A2 12 (step 22).
Then, the key transfer unit 113 performs key transfer to the key transfer unit 123 (step 23).
[0050]
The key data at this time is also IPSec-processed by the authenticated encryption ESP.
By performing such encryption, even if a malicious user exists in the LAN A10, eavesdropping or the like cannot be performed.
Then, the key transfer unit 123 checks the authentication code of the transmitted key data, and confirms that it is the genuine gateway A11 1 that has sent the key data (step 24).
[0051]
Finally, the key transfer unit 123 sets the transferred key as its own key, and returns an OK signal to the key transfer unit 113 (step 25).
For this OK signal, it is not particularly necessary to perform IPSec processing by the authenticated encryption ESP, but it may be performed.
[0052]
Next, the processing procedure of the large-scale IPSec VPN system according to the first embodiment will be described with reference to FIGS.
FIG. 4 is a diagram for explaining key exchange and key transfer in the present embodiment. FIG. 5 illustrates a case where a gateway in a large-scale LAN that performs key exchange fails after key transfer is performed. This is to explain how IPSec communication is realized.
[0053]
In these figures, R1, R2, and R3 are routers that exist on the communication line and relay information transmission / reception to / from the gateway B21, gateway A111, and gateway A2 12, respectively. The function is the same as in FIG.
[0054]
First, in FIG. 4, when a key exchange is performed between the gateway A1 11 and the gateway B 21 (step 30), the gateway A1 11 negotiates with the gateway A2 12 as described above, and performs key transfer. (Step 31).
[0055]
Next, in FIG. 5, when a failure occurs in the gateway A1 11 and communication via the communication line cannot be performed (step 40), R2 recognizes this by the routing protocol and transmits the information to R1 and R3. Then, the route information is modified so that all packets addressed to the gateway A1 11 are transferred to the gateway A2 12 (step 41).
[0056]
Then, when the host b (Host b) in the LAN B 20 transmits a packet to the host a (Host a) in the LAN A 10 (Step 42), the gateway B 21 receives this packet and performs the same as in the normal state. IPSec encapsulation is performed (step 43), and the packet is transferred to the nearest router R1.
At this time, since the transfer path information has been changed in step 41, the packet passing through the communication line finally reaches the gateway A2 12 instead of the gateway A1 11 that has performed the key exchange (step 44).
[0057]
Since the gateway A2 12 has a key shared with the gateway B21, it uses this to perform decapsulation (step 45), and the decapsulated packet is transferred to the host a by the gateway A212. (Step 46).
In this way, the IPSec communication between the host a and the host b is established despite the failure of the gateway A111.
[0058]
[Second Embodiment]
Next, a second embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing functions of the large-scale IPSec VPN system according to the present embodiment.
This embodiment is different from the first embodiment in that key transfer is performed a plurality of times in LAN A10.
[0059]
As shown in the figure, the LANA 10 of the large-scale IPSec VPN system of this embodiment has a gateway A 1 11, a gateway A 2 12, and a gateway A 3 13. Other configurations and functions thereof are the same as those in FIG.
First, when a key exchange is performed between the gateway A1 11 and the gateway B 21 (step 50), the gateway A1 11 sets this key to itself and performs key transfer to the gateway A2 12.
[0060]
The gateway A2 12 that has received the key transfer sets the key itself and further performs the key transfer to the gateway A313.
Then, the gateway A3 13 sets the key itself and further transmits the key to the gateway A1 11, and the gateway A1 11 confirms that the transmitted key matches the key transferred by itself. The key transfer ends (step 51).
[0061]
In the present embodiment, key transfer is performed between three gateways in the LAN A10. However, similar processing can be performed between more gateways.
Further, in this embodiment, the gateway that has received the key transfer has the procedure of sequentially transferring the key to the other gateways in the next step. However, when the transfer process is performed between more gateways, a predetermined key transfer is performed. Prompt transfer by executing multiple transfers simultaneously to the gateway that has received key transfer and the gateway that has received key transfer, such as setting a route, to the gateway that has not received key transfer yet It is also possible to perform.
[0062]
Furthermore, key setting may be performed by simultaneously transferring keys to a gateway of a large-scale LAN by multicast (Multicast) IPSec.
Further, in the above embodiment, the key transfer process is not performed in the LAN B20. However, when the LAN B20 has a plurality of gateways, as in the case of the LAN A10, the key by the key transfer is used as necessary. Of course, sharing is possible.
[0063]
In addition, the gateway function in these embodiments can be applied to other than VPN.
That is, after the security is established in Internet shopping by using such key sharing by the key transfer function for an information processing device (key sharing information processing device) such as a server providing a shop on the Internet, for example. Even if a failure occurs in some information processing apparatuses, it is possible to prevent communication from being disabled.
[0064]
Also for such processing, in the above-described embodiment, by using a key sharing information processing apparatus instead of a gateway, the configuration is similar (however, in this case, the LAN A 10 does not have to be large-scale). It can be implemented using a similar key transfer protocol.
[0065]
If the processing procedure in the large-scale IPSec VPN system is in this order, the gateway in the large-scale LAN copies the key so that the key can be shared with the other party who has not actually exchanged the key. In constructing a large-scale LAN having a plurality of gateways and a VPN based on IPSec, it becomes possible to prevent communication failure due to failure of some of the gateways.
In addition, by sharing keys between gateways in a large-scale LAN by key transfer, the load on the device can be greatly reduced compared to the case where such key sharing is performed by key exchange. Is possible.
[0066]
The key transfer and the like in the above embodiment are executed by a large-scale IPSec VPN program.
This large-scale IPSec VPN program sends commands to each component of the computer to perform predetermined processing such as key transfer processing.
Thus, these processes are realized by the gateway A1 11, the gateway A2 12, and the like in which the large-scale IPSec VPN program and the computer cooperate.
[0067]
The large-scale IPSec VPN program can be stored in a computer ROM or hard disk, and can also be stored in a computer-readable recording medium, such as an external storage device and a portable recording medium.
The external storage device refers to a storage expansion device that incorporates a recording medium such as a magnetic disk and is externally connected to, for example, the gateway A111. On the other hand, the portable recording medium is a recording medium that can be mounted on a recording medium driving device (drive device) and is portable, and refers to, for example, a CD-ROM, a flexible disk, a memory card, a magneto-optical disk, and the like. .
[0068]
The program recorded on the recording medium is loaded into the RAM of the computer and executed by the CPU. By this execution, the functions of the gateway A1 11 and the gateway A2 12 of the present embodiment described above are realized.
Furthermore, when a large-scale IPSec VPN program is loaded by a computer, the large-scale IPSec VPN program held by another computer can be downloaded to its own RAM or external storage device using a communication line.
The downloaded large-scale IPSec VPN program is also executed by the CPU to realize key transfer processing and the like.
[0069]
In addition, this invention is not limited to the above embodiment, This can be applied also in cases other than VPN construction.
For example, in Internet shopping, when the user terminal establishes security with the shop server, a failure occurs in the shop server during the user shopping by performing key transfer to a separate server in the shop. However, the design can be changed as appropriate, for example, by disabling communication by substituting the separate server for subsequent processing.
[0070]
【The invention's effect】
As described above, according to the present invention, when a large-scale LAN having a plurality of gateways and a VPN based on IPSec are constructed, communication failure due to a failure of some gateways or the like can be prevented.
[0071]
In addition, it is possible to greatly reduce the load on the apparatus by key exchange. In other words, key exchange by IKE is a process based on public key cryptography, which is very heavy compared to other processes, and if each key exchange is performed with two or more gateways in consideration of detours at the time of failure, Although it is necessary to exchange keys as many as the number of gateways, this method only requires one key exchange.
[0072]
Furthermore, it can be expected that the entire system is constructed at low cost. This is a method in which a router on the Internet determines which gateway a packet is passed to, so the LAN on the side accessing the large-scale LAN does not need to be aware of which gateway it is communicating with. Because.
In other words, this means that a special device is not required for the gateway on the accessing side to realize this system.
[0073]
Since such a network generally has a configuration in which a large number of small LANs access a single large LAN, if a normal IPSec gateway corresponding to IPSec / IKE can be used as a gateway on the small LAN side. As a whole, the system becomes inexpensive.
[0074]
Further, the large-scale IPSec VPN program can realize a key transfer function and the like in this computer by sending a predetermined command to each component of the computer.
Accordingly, these functions and the like can be realized by a gateway or the like in which a large-scale IPSec VPN program and a computer cooperate.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a large-scale IPSec VPN system in a first embodiment of the present invention.
FIG. 2 is a block diagram showing functions of a gateway of the large-scale IPSec VPN system in the first embodiment of the present invention.
FIG. 3 is an operation procedure diagram showing an operation of a key transfer protocol of the large-scale IPSec VPN system in each embodiment of the present invention.
FIG. 4 is a block diagram (1) showing functions of the large-scale IPSec VPN system in the first embodiment of the present invention.
FIG. 5 is a block diagram (2) showing functions of the large-scale IPSec VPN system in the first embodiment of the present invention.
FIG. 6 is a block diagram showing functions of a large-scale IPSec VPN system in the second embodiment of the present invention.
[Explanation of symbols]
10 LAN A
11 Gateway A1 (GW_A1)
12 Gateway A2 (GW_A2)
13 Gateway A3 (GW_A3)
14 Host a
20 LAN B
21 Gateway B (GW_B)
22 Host b (Host b)
30 Communication line
31 Router 1 (R1)
32 Router 2 (R2)
33 Router 3 (R3)

Claims (13)

複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換が行われた場合において、
前記大規模LANのゲートウェイのインターネットキーエクスチェンジ部が、このゲートウェイのIPSec部に鍵設定を行うとともに、このゲートウェイの鍵転送部に鍵転送を要求し、
前記ゲートウェイの鍵転送部が、前記要求に応じて、前記大規模LANの他のゲートウェイの鍵転送部に鍵転送を行い、
前記他のゲートウェイの鍵転送部が、この転送されてきた鍵を用いて、前記他のゲートウェイのIPSec部に鍵設定を行う
ことを特徴とする大規模IPSec VPNの構築方法。When a key exchange based on IPSec is performed between a gateway of a large-scale LAN having a plurality of gateways and a gateway of another LAN,
The Internet key exchange unit of the large-scale LAN gateway performs key setting for the IPSec unit of the gateway, and requests key transfer to the key transfer unit of the gateway.
The key transfer unit of the gateway performs key transfer to the key transfer unit of another gateway of the large-scale LAN in response to the request,
A method for constructing a large-scale IPSec VPN, wherein the key transfer unit of the other gateway uses the transferred key to set a key in the IPSec unit of the other gateway. 前記鍵転送は、
前記大規模LANの前記ゲートウェイが、前記大規模LANの前記他のゲートウェイに鍵転送を要求し、
前記他のゲートウェイが、この要求に対して、OK信号を暗号化して前記ゲートウェイに返し、
前記ゲートウェイが、この暗号化されたOK信号を検査するとともに、前記鍵を暗号化して前記他のゲートウェイに転送し、
前記他のゲートウェイが、この転送されてきた鍵を検査して、前記ゲートウェイにOK信号を返す手順を含む
ことを特徴とする請求項1記載の大規模IPSec VPNの構築方法。The key transfer is
The gateway of the large-scale LAN requests key transfer from the other gateway of the large-scale LAN;
In response to this request, the other gateway encrypts an OK signal and returns it to the gateway.
The gateway examines the encrypted OK signal, encrypts the key and forwards it to the other gateway;
2. The method for constructing a large-scale IPSec VPN according to claim 1, further comprising a procedure in which the other gateway inspects the transferred key and returns an OK signal to the gateway. 前記大規模LANの前記他のゲートウェイの鍵転送部が、前記大規模LANの前記ゲートウェイから鍵転送を受けると、前記他のゲートウェイのIPSec部に鍵設定を行うとともに、この鍵を前記大規模LANのさらなる他のゲートウェイの鍵転送部に転送し、
前記さらなる他のゲートウェイも、前記他のゲートウェイと同様に、自分のIPSec部に鍵設定を行うとともに、この鍵を前記ゲートウェイの鍵転送部に転送し、
前記ゲートウェイは、転送されてきた前記鍵が、最初に自分が転送した鍵に一致すること確認する
ことを特徴とする請求項1又は2記載の大規模IPSec VPNの構築方法。When the key transfer unit of the other gateway of the large-scale LAN receives the key transfer from the gateway of the large-scale LAN, the key setting is performed on the IPSec unit of the other gateway, and this key is set to the large-scale LAN. Forward to the key forwarding part of the other gateway of
The further other gateway, like the other gateways, sets a key in its own IPSec part and transfers this key to the key transfer part of the gateway,
3. The method for constructing a large-scale IPSec VPN according to claim 1, wherein the gateway confirms that the transferred key matches the key transferred by itself for the first time. 複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換が行われると、前記大規模LAN内のゲートウェイ間で鍵転送が行われる大規模IPSec VPNシステムであって、
インターネットキーエクスチェンジ部により前記その他のLANのゲートウェイと鍵交換を行うとともに、このインターネットキーエクスチェンジ部により自分のIPSec部に鍵設定を行って、自分の鍵転送部に鍵転送を要求し、この鍵転送部により前記大規模LANの他のゲートウェイに鍵転送を行う前記大規模LANの前記ゲートウェイと、
前記大規模LANの前記ゲートウェイから、鍵転送部が鍵転送を受けるとともに、自分のIPSec部に鍵設定を行う前記大規模LANの前記他のゲートウェイと、
前記大規模LANの前記ゲートウェイと鍵交換を行う前記その他のLANのゲートウェイと、
前記大規模LANの前記ゲートウェイと、前記大規模LANの前記他のゲートウェイと、前記その他のLANのゲートウェイを接続する通信回線とを有する
ことを特徴とする大規模IPSec VPNシステム。When a key exchange based on IPSec is performed between a gateway of a large-scale LAN having a plurality of gateways and a gateway of another LAN, a large-scale IPSec VPN in which key transfer is performed between the gateways in the large-scale LAN. A system,
The Internet key exchange unit exchanges keys with the other LAN gateways, and the Internet key exchange unit sets a key in its own IPSec unit to request key transfer from its own key transfer unit. The gateway of the large-scale LAN that performs key transfer to another gateway of the large-scale LAN by a unit;
The key transfer unit receives the key transfer from the gateway of the large-scale LAN, and the other gateway of the large-scale LAN performs key setting in its own IPSec unit,
The other LAN gateway for key exchange with the gateway of the large-scale LAN;
A large-scale IPSec VPN system comprising: the gateway of the large-scale LAN; the other gateway of the large-scale LAN; and a communication line connecting the gateways of the other LAN. 前記鍵転送は、
前記大規模LANの前記ゲートウェイが、前記大規模LANの前記他のゲートウェイに鍵転送を要求し、
前記他のゲートウェイが、この要求に対して、OK信号を暗号化して前記ゲートウェイに返し、
前記ゲートウェイが、この暗号化されたOK信号を検査するとともに、前記鍵を暗号化して前記他のゲートウェイに転送し、
前記他のゲートウェイが、この転送されてきた鍵を検査して、前記ゲートウェイにOK信号を返す手順を含む
ことを特徴とする請求項4記載の大規模IPSec VPNシステム。The key transfer is
The gateway of the large-scale LAN requests key transfer from the other gateway of the large-scale LAN;
In response to this request, the other gateway encrypts an OK signal and returns it to the gateway.
The gateway examines the encrypted OK signal, encrypts the key and forwards it to the other gateway;
5. The large-scale IPSec VPN system according to claim 4, further comprising a procedure in which the other gateway checks the transferred key and returns an OK signal to the gateway. 前記大規模LANの前記他のゲートウェイの鍵転送部が、前記大規模LANの前記ゲートウェイから鍵転送を受けると、前記他のゲートウェイのIPSec部に鍵設定を行うとともに、この鍵を前記大規模LANのさらなる他のゲートウェイの鍵転送部に転送し、
前記さらなる他のゲートウェイも、前記他のゲートウェイと同様に、自分のIPSec部に鍵設定を行うとともに、この鍵を前記ゲートウェイの鍵転送部に転送し、
前記ゲートウェイは、転送されてきた前記鍵が、最初に自分が転送した鍵に一致すること確認する
ことを特徴とする請求項4又は5記載の大規模IPSec VPNシステム。When the key transfer unit of the other gateway of the large-scale LAN receives the key transfer from the gateway of the large-scale LAN, the key setting is performed on the IPSec unit of the other gateway, and this key is set to the large-scale LAN. Forward to the key forwarding part of the other gateway of
The further other gateway, like the other gateways, sets a key in its own IPSec part and transfers this key to the key transfer part of the gateway,
6. The large-scale IPSec VPN system according to claim 4, wherein the gateway confirms that the transferred key matches the key transferred by itself for the first time. 前記転送が、前記大規模LANが有する4台以上のゲートウェイについて同様に行われる
ことを特徴とする請求項6記載の大規模IPSec VPNシステム。The large-scale IPSec VPN system according to claim 6, wherein the transfer is performed in the same manner for four or more gateways included in the large-scale LAN. 前記大規模LANの前記ゲートウェイと、前記その他のLANのゲートウェイが鍵交換を行うとともに、前記大規模LANの前記ゲートウェイが、前記大規模LANの前記他のゲートウェイに鍵転送を行い、
前記大規模LANの前記ゲートウェイに障害が発生すると、
通信回線上の複数のルータの情報交換によって、前記大規模LANの前記ゲートウェイ宛の転送を、前記大規模LANの前記他のゲートウェイに対して行うように経路情報が修正され、
前記大規模LANのホストに対して、前記その他のLANの他のホストからパケット発信がなされると、前記その他のLANのゲートウェイが、このパケットをカプセル化して、前記大規模LANの前記ゲートウェイ宛に通信回線を介して送信し、
前記送信されたパケットが、前記修正された経路情報に従って、前記大規模LANの前記他のゲートウェイに転送され、
前記大規模LANの前記他のゲートウェイが、前記送信されたパケットの逆カプセル化を行って、前記大規模LANの前記ホストに送信し、
前記大規模LANの前記ホストがこの送信されてきたパケットの受信を行う
ことを特徴とする請求項4〜7のいずれかに記載の大規模IPSec VPNシステム。The gateway of the large-scale LAN and the gateway of the other LAN perform key exchange, and the gateway of the large-scale LAN performs key transfer to the other gateway of the large-scale LAN,
When a failure occurs in the gateway of the large-scale LAN,
By exchanging information between a plurality of routers on a communication line, the route information is corrected so that forwarding to the gateway of the large-scale LAN is performed to the other gateway of the large-scale LAN,
When a packet is transmitted from another host of the other LAN to the host of the large-scale LAN, the gateway of the other LAN encapsulates the packet and is addressed to the gateway of the large-scale LAN. Sent over a communication line,
The transmitted packet is forwarded to the other gateway of the large-scale LAN according to the modified route information;
The other gateway of the large-scale LAN performs decapsulation of the transmitted packet and transmits it to the host of the large-scale LAN;
The large-scale IPSec VPN system according to any one of claims 4 to 7, wherein the host of the large-scale LAN receives the transmitted packet. 複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換を行わせる大規模IPSec VPNプログラムであって、
前記大規模LANのゲートウェイのインターネットキーエクスチェンジ部鍵交換を行った場合前記ゲートウェイのインターネットキーエクスチェンジ部に、前記ゲートウェイのIPSec部に対して鍵設定を行わせるとともに、前記ゲートウェイの鍵転送部に対して鍵転送を要求させ、
前記ゲートウェイの鍵転送部に、前記大規模LANの他のゲートウェイの鍵転送部に対して鍵転送を行わせ、
前記他のゲートウェイの鍵転送部鍵転送を受けた場合、前記他のゲートウェイの鍵転送部に、転送されてきた鍵を用いて、前記他のゲートウェイのIPSec部に対して鍵設定を行わせる
ことを実行させるための大規模IPSec VPNプログラム。 A large-scale IPSec VPN program for exchanging a key based on IPSec between a large-scale LAN gateway having a plurality of gateways and another LAN gateway ,
If an Internet Key Exchange portion of the large-scale LAN gateway was key exchange, the Internet Key Exchange unit of the gateway, together to perform key settings for IPSec portion of the gateway, the key transfer unit of the gateway Request key transfer to
Let the key transfer unit of the gateway perform key transfer to the key transfer unit of another gateway of the large-scale LAN,
If the key transfer part of the other gateway receives the key transfer, the key transfer part of the other gateway, using a key that has been transferred, to perform key settings for IPSec portion of the other gateway A large-scale IPSec VPN program to get things done. 前記鍵転送は、
前記大規模LANの前記ゲートウェイに、前記大規模LANの前記他のゲートウェイに対して鍵転送を要求させ、
前記他のゲートウェイに、この要求に対して、OK信号を暗号化させて前記ゲートウェイに返却させ、
前記ゲートウェイに、この暗号化されたOK信号を検査させるとともに、前記鍵を暗号化させて前記他のゲートウェイに転送させ、
前記他のゲートウェイに、この転送されてきた鍵を検査させて、前記ゲートウェイにOK信号を返却させる手順を含む
ことを特徴とする請求項9記載の大規模IPSec VPNプログラム。The key transfer is
Causing the gateway of the large-scale LAN to request key transfer to the other gateway of the large-scale LAN;
In response to this request, the other gateway encrypts an OK signal and returns it to the gateway.
Have the gateway inspect the encrypted OK signal, encrypt the key and forward it to the other gateway,
10. The large-scale IPSec VPN program according to claim 9, further comprising a procedure for causing the other gateway to check the transferred key and returning an OK signal to the gateway. 前記大規模LANの前記他のゲートウェイの鍵転送部鍵転送を受けた場合この転送されてきた鍵を用いて、前記他のゲートウェイの鍵転送部に、前記他のゲートウェイのIPSec部に対して鍵設定を行わせるとともに、前記大規模LANのさらなる他のゲートウェイに対して鍵転送を行わせる
ことを特徴とする請求項9又は10記載の大規模IPSec VPNプログラム。If the key transfer part of the other gateway of the large-scale LAN is subject to key transfer, using the key that has been this transfer, the key transfer part of the other gateway, to IPSec portion of the other gateway 11. The large-scale IPSec VPN program according to claim 9, wherein key setting is performed and key transfer is performed to another gateway of the large-scale LAN. 通信回線を介してIPSecによる鍵交換を行う際に、鍵転送も行う鍵共有情報処理装置であって、
前記鍵共有情報処理装置のインターネットキーエクスチェンジ部が、鍵交換を行った場合には、このインターネットキーエクスチェンジ部が、前記鍵共有情報処理装置のIPSec部に鍵設定を行うとともに、前記鍵共有情報処理装置の鍵転送部に鍵転送を要求し、この鍵転送部が他の鍵共有情報処理装置に鍵転送を行い、
前記鍵共有情報処理装置の鍵転送部が、鍵転送を受けた場合には、この転送されてきた鍵を用いて、前記鍵共有情報処理装置のIPSec部に鍵設定を行う
ことを特徴とする鍵共有情報処理装置。A key sharing information processing apparatus that also performs key transfer when performing key exchange by IPSec via a communication line,
When the Internet key exchange unit of the key sharing information processing apparatus performs key exchange, the Internet key exchange unit performs key setting in the IPSec unit of the key sharing information processing apparatus, and the key sharing information processing Request key transfer to the key transfer unit of the device, this key transfer unit performs key transfer to other key sharing information processing device,
When the key transfer unit of the key sharing information processing apparatus receives key transfer, the key setting is performed in the IPSec unit of the key sharing information processing apparatus using the transferred key. Key sharing information processing device. 前記鍵共有情報処理装置が、大規模IPSec VPNにおけるゲートウェイである
ことを特徴とする請求項12記載の鍵共有情報処理装置。13. The key sharing information processing apparatus according to claim 12, wherein the key sharing information processing apparatus is a gateway in a large-scale IPSec VPN.
JP2001257681A 2001-08-28 2001-08-28 Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus Expired - Lifetime JP3651424B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001257681A JP3651424B2 (en) 2001-08-28 2001-08-28 Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001257681A JP3651424B2 (en) 2001-08-28 2001-08-28 Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus

Publications (2)

Publication Number Publication Date
JP2003069597A JP2003069597A (en) 2003-03-07
JP3651424B2 true JP3651424B2 (en) 2005-05-25

Family

ID=19085303

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001257681A Expired - Lifetime JP3651424B2 (en) 2001-08-28 2001-08-28 Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus

Country Status (1)

Country Link
JP (1) JP3651424B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1615372B1 (en) 2004-04-05 2013-12-18 Nippon Telegraph And Telephone Corporation Packet cryptographic processing proxy apparatus, method therefor and recording medium for program
JP4707992B2 (en) 2004-10-22 2011-06-22 富士通株式会社 Encrypted communication system
KR100664715B1 (en) 2005-12-27 2007-01-03 (주)액텔라 Gre based virtual private network supplying gateway multiplication
JP5333613B2 (en) * 2012-01-25 2013-11-06 沖電気工業株式会社 Proxy parameter information generation device, proxy device, proxy parameter information generation program, proxy program, and communication system
KR101686995B1 (en) * 2015-07-08 2016-12-16 주식회사 케이티 IPSec VPN Apparatus and system for using software defined network and network function virtualization and method thereof broadcasting

Also Published As

Publication number Publication date
JP2003069597A (en) 2003-03-07

Similar Documents

Publication Publication Date Title
US9838362B2 (en) Method and system for sending a message through a secure connection
US7028337B2 (en) Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same
JP4634687B2 (en) Network address translation gateway for local area network using local IP address and non-translatable port address
US8918634B2 (en) Network node with network-attached stateless security offload device employing out-of-band processing
EP1175061B1 (en) Computer systems, in particular virtual private networks
US8775790B2 (en) System and method for providing secure network communications
WO2017181894A1 (en) Method and system for connecting virtual private network by terminal, and related device
US20080037557A1 (en) Vpn Getaway Device and Hosting System
US20030014623A1 (en) Secure sockets layer cut through architecture
JP5746446B2 (en) Network node with network-attached stateless security offload device
JPWO2006093021A1 (en) Communication device, communication system, communication method, and program
US20080104692A1 (en) Virtual security interface
JP2006101051A (en) Server, vpn client, vpn system, and software
EP1953954B1 (en) Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods
CN101572644B (en) Data encapsulation method and equipment thereof
Dhall et al. Implementation of IPSec protocol
US20130219171A1 (en) Network node with network-attached stateless security offload device employing in-band processing
JP3651424B2 (en) Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus
CN103139189B (en) Internet protocol security (IPSec) tunnel sharing method, IPSec tunnel sharing system and IPSec tunnel sharing equipment
JP2023531034A (en) Service transmission method, device, network equipment and storage medium
US20080059788A1 (en) Secure electronic communications pathway
JP2011077887A (en) Packet transfer system, packet transfer method, communication apparatus and packet transfer program
US20230388118A1 (en) Enhanced dual layer encryption for carrier networks
US20220400525A1 (en) Method and system for communicating over overlay networks
CN117134933A (en) Encryption communication method, device, electronic equipment and storage medium

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040824

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041020

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050214

R150 Certificate of patent or registration of utility model

Ref document number: 3651424

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080304

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090304

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090304

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100304

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100304

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110304

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110304

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120304

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120304

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130304

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130304

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140304

Year of fee payment: 9

EXPY Cancellation because of completion of term