JP4490352B2 - VPN server hosting system and VPN construction method - Google Patents
VPN server hosting system and VPN construction method Download PDFInfo
- Publication number
- JP4490352B2 JP4490352B2 JP2005249137A JP2005249137A JP4490352B2 JP 4490352 B2 JP4490352 B2 JP 4490352B2 JP 2005249137 A JP2005249137 A JP 2005249137A JP 2005249137 A JP2005249137 A JP 2005249137A JP 4490352 B2 JP4490352 B2 JP 4490352B2
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- relay device
- server
- public key
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、複数のネットワークを仮想的な専用回線で接続するVPNにかかり、特に、ユーザが多数の場合にVPNサーバを分散して管理するVPNサーバホスティングシステム、および同システムによるVPN構築方法に関する。 The present invention relates to a VPN that connects a plurality of networks with a virtual dedicated line, and more particularly to a VPN server hosting system that distributes and manages VPN servers when there are a large number of users, and a VPN construction method using the system.
近年、インターネットの常時接続環境が普及してきていることや、AV機器等の家電製品にネットワーク対応型の製品が増加していることなどを背景として、一般家庭においても、外出先から家庭内の通信機器に対するリモートアクセスの需要が高まりつつある。こうした要求に応えるため、利用者毎に仮想的な専用回線であるVPN(Virtual Private Network)を構築することにより、リモートアクセスの環境を提供するということが考えられる。 In recent years, with the background of the constant Internet connection environment and the increase in network-compatible products in home appliances such as AV equipment, communication from home to home is also possible in ordinary households. The demand for remote access to equipment is increasing. In order to meet these demands, it is conceivable to provide a remote access environment by constructing a VPN (Virtual Private Network) which is a virtual dedicated line for each user.
ここで、VPNは、暗号化技術を利用してインターネット上の2地点間を接続して構成された仮想的な閉じたネットワークであり、離れた場所にあるコンピュータ同士があたかも1つのLAN(Local Area Network)に接続されているのと同じように、第三者による盗聴などを防止して相互に通信することを可能にするものである(例えば、非特許文献1参照)。具体的には、VPNのトラフィックを中継するVPNサーバを設置し、認証を与えられた特定の2台のコンピュータ間の通信を同サーバが仲介することによって、第三者から隔離されたネットワークが実現される。
しかしながら、インターネットサービスプロバイダなどの通信事業者が提供しているVPNサービスは、主として企業ユーザを対象として例えば本支店間のVPNを構築するものであって、数千万人規模の個人の利用者に対して同様なサービスを提供することのできる拡張性を備えていない。すなわち、利用者の数が何千万にまで増大した場合には、利用者毎のVPNサーバの設定・管理など、通信事業者側のシステム運用上の負担が大きくなる。そのため、現状のVPNをそのまま利用しても、多数の個人ユーザ向けにリモートアクセス環境を提供するということは極めて難しい、という問題がある。 However, a VPN service provided by a telecommunications carrier such as an Internet service provider mainly constructs a VPN between head offices for corporate users, for example, to tens of millions of individual users. However, it does not have extensibility that can provide similar services. That is, when the number of users increases to tens of millions, the burden on system operation on the telecommunications carrier side such as setting and management of VPN servers for each user increases. Therefore, even if the current VPN is used as it is, it is extremely difficult to provide a remote access environment for a large number of individual users.
また、VPNサーバにおける処理内容は原理上その管理者が知得できることから、VPNサーバを通信事業者が運用する従来のVPNサービスにおいては、第三者に対しては通信内容を秘匿することができても、通信事業者に対する情報漏洩の危険性は排除し切れない欠点もある。 In addition, since the administrator can know the processing contents in the VPN server in principle, the communication contents can be concealed from a third party in the conventional VPN service operated by the communication carrier. However, there is a drawback that the risk of information leakage to the telecommunications carrier cannot be ruled out.
一方、家庭内にVPNサーバを設置すれば個人でもVPNを構築可能であり、利用者が独自にリモートアクセス環境を整備することもできる。このようなVPNを構築することにより、通信内容を知得可能なのは完全に利用者だけに限られることになる。しかしこの場合、外部からのアクセスを許可するためにはファイアウォールやNAT(Network Address Translation)の設定を変更できる専門知識を要するので、一般的な個人利用者にとっては敷居が高く、実現が困難である。 On the other hand, if a VPN server is installed in the home, it is possible for an individual to construct a VPN, and a user can independently establish a remote access environment. By constructing such a VPN, communication contents can be completely acquired only by the user. However, in this case, in order to allow access from the outside, specialized knowledge that can change the settings of the firewall and NAT (Network Address Translation) is required, so it is difficult for a general individual user to realize it. .
本発明は上記の諸点に鑑みてなされたものであり、その目的は、ユーザが多数となった場合でもリモートアクセス環境を提供できる拡張性を備え、事業者がサーバを用意するので一般ユーザでも簡便に利用でき、しかも当該事業者に対しても通信内容を秘匿することを可能とするVPNサーバホスティングシステム、およびVPN構築方法を提供することにある。 The present invention has been made in view of the above-mentioned points, and the object thereof is to provide a scalability capable of providing a remote access environment even when the number of users is large, and since a provider prepares a server, it is easy even for general users. It is another object of the present invention to provide a VPN server hosting system and a VPN construction method that can be used in a private network and that can conceal communication contents from the business operator.
本発明は上記の課題を解決するためになされたものであり、請求項1に記載の発明は、外部の情報端末からの接続を受け入れる第1のネットワーク、および前記情報端末が属する第2のネットワークと接続することが可能であり、1つまたは複数のホストサーバからなるVPNサーバホスティングシステムであって、前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるサーバ管理手段と、前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するVPNサーバ生成手段と、前記中継装置ならびに前記情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとの接続を許可する通信制御手段と、を備えることを特徴とするVPNサーバホスティングシステムである。 The present invention has been made to solve the above problems, and the invention according to claim 1 includes a first network that accepts a connection from an external information terminal, and a second network to which the information terminal belongs. A VPN server hosting system comprising one or a plurality of host servers, the public key and private key pair generated by the relay device belonging to the first network Server management means for allocating one host server in correspondence with the hash value of the key, and VPN setting information digitally signed with the private key and the public key from the relay device, and the public key When the digital signature is verified, the hash value is set as an ID, and the operation is defined by the VPN setting information. VPN server generation means for generating a PN server process in the assigned one host server, and each of the relay device and the information terminal presents a digital certificate issued by the relay device to provide the VPN server process When requesting connection to the digital certificate, the digital certificate is verified by the public key, and the relay device and / or the information terminal has a client private key corresponding to the client public key described in the digital certificate. A VPN server hosting system comprising: communication control means for permitting connection between the relay device and / or the information terminal and the VPN server process only when it can be proved that is there.
また、請求項2に記載の発明は、請求項1に記載のVPNサーバホスティングシステムにおいて、前記各々のホストサーバは、自分の管理する前記ハッシュ値の範囲を定めた分散ハッシュテーブルを保持しており、前記サーバ管理手段は、前記分散ハッシュテーブルにしたがってホストサーバの割り当てを行うことを特徴とする。 Further, according to a second aspect of the present invention, in the VPN server hosting system according to the first aspect, each of the host servers holds a distributed hash table that defines a range of the hash values managed by the host server. The server management means assigns a host server according to the distributed hash table.
また、請求項3に記載の発明は、請求項1または請求項2に記載のVPNサーバホスティングシステムにおいて、前記通信制御手段によって許可された接続にかかる通信において、前記中継装置、前記VPNサーバプロセス、および前記情報端末間で共有される第1のセッション鍵を生成するセッション鍵生成手段と、前記第1のセッション鍵と、前記通信において前記中継装置と前記情報端末間でのみ共有される第2のセッション鍵とを用いてメッセージ認証コードが付加され、且つ前記第1のセッション鍵を用いてヘッダが、前記第2のセッション鍵を用いてペイロードがそれぞれ暗号化されたパケットに対し、前記第1のセッション鍵を使用してメッセージ認証ならびに前記ヘッダの復号化を行うパケット解析手段と、をさらに備えることを特徴とする。
Further, the invention according to claim 3 is the VPN server hosting system according to
また、請求項4に記載の発明は、第1のネットワークおよび第2のネットワークが1つまたは複数のホストサーバからなるサーバ群によって接続されたネットワークにおいて、前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるステップと、前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するステップと、前記中継装置、ならびに前記第2のネットワークに属する情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとを接続させることを特徴とするVPN構築方法である。 According to a fourth aspect of the present invention, in a network in which the first network and the second network are connected by a server group including one or a plurality of host servers, the network is generated by a relay device belonging to the first network. Assigning one host server to the public key / private key pair corresponding to the hash value of the public key, VPN setting information digitally signed with the private key from the relay device, and When the digital signature is verified by receiving the public key and the digital signature is verified by the public key, the assigned one host is a VPN server process having the hash value as an ID and whose operation is defined by the VPN setting information Creating in the server, belonging to the relay device and the second network When each of the information terminals presents the digital certificate issued by the relay device and requests connection to the VPN server process, the digital certificate is verified by the public key, and the relay device and Only when it is proved that the information terminal possesses the client private key corresponding to the client public key described in the digital certificate, the relay device and / or the information terminal and the VPN server process Is a VPN construction method characterized by connecting the two.
本発明によれば、中継装置の公開鍵から計算されたハッシュ値をVPNサーバプロセスのIDに対応させ、VPNサーバプロセスの管理権限を当該公開鍵に対応する秘密鍵の所有者に与えることにしているので、ユーザが独自に公開鍵と秘密鍵のペアを作成することで当該公開鍵のハッシュ値をIDに持つVPNサーバプロセスを新規に生成し、当該秘密鍵を所有していることをユーザが証明することによりVPNサーバプロセスの管理権限の認可を受け、ユーザ自身がこれを管理することができる。これにより、事業者側がユーザ個別の設定や管理を行うサーバ運用上の負担がなくなり、ユーザ数が増大した場合にも容易に対応可能な拡張性を持った、VPNによるリモートアクセス環境が実現される。また、VPNサーバプロセスは事業者の運営しているホスティングシステム内に生成されるので、ユーザが自分のネットワークのファイアウォールやNATの設定を変更する必要はない。よって、ユーザにとってはVPNが簡便に構築できるとともに、セキュリティ上も安全が確保される。 According to the present invention, the hash value calculated from the public key of the relay device is made to correspond to the ID of the VPN server process, and the management authority of the VPN server process is given to the owner of the secret key corresponding to the public key. Therefore, the user creates a VPN server process having a public key and private key pair as an ID by using the hash value of the public key as an ID, and the user owns the private key. By certifying, the management authority of the VPN server process is authorized and the user can manage it. This eliminates the burden on the server operation where the operator side performs individual user settings and management, and realizes a remote access environment using VPN that can easily cope with an increase in the number of users. . In addition, since the VPN server process is generated in the hosting system operated by the business operator, the user does not need to change the settings of the firewall and NAT of his / her own network. Therefore, VPN can be easily constructed for the user, and security is ensured.
また、請求項2に記載の発明によれば、VPNサーバプロセスのIDとして用いられているハッシュ値が分散ハッシュテーブルによって管理され、この分散ハッシュテーブルにしたがってVPNサーバプロセスを生成するホストサーバが決定されるので、ホスティングシステムは自律的に多数のVPNサーバプロセスをホストサーバに分散させることができる。これにより、VPNサーバプロセスの数の増大に対して、ホスティングシステムにさらなる拡張性を持たせることが可能となっている。 According to the second aspect of the present invention, the hash value used as the ID of the VPN server process is managed by the distributed hash table, and the host server that generates the VPN server process is determined according to the distributed hash table. Therefore, the hosting system can autonomously distribute a large number of VPN server processes to the host servers. As a result, the hosting system can be further expanded as the number of VPN server processes increases.
また、請求項3に記載の発明によれば、第1および第2のセッション鍵を使った2段階のメッセージ認証が行われるので、メッセージの改竄(VPNサーバプロセスによるものを含む)や不正なパケットの中継・受信を効果的に防止することができる。また、VPNサーバプロセスは、第1のセッション鍵によって暗号化されたヘッダ部分を復号化することはできる(これによりパケットを中継できる)が、第2のセッション鍵によって暗号化されたペイロード部分は復号化できないので、ホスティングシステムを運営している事業者に対しても通信内容の秘匿性を確保することが可能である。 According to the third aspect of the present invention, since two-step message authentication is performed using the first and second session keys, message tampering (including that by the VPN server process) and illegal packets are performed. Can be effectively prevented. Further, the VPN server process can decrypt the header portion encrypted by the first session key (which can relay the packet), but the payload portion encrypted by the second session key can be decrypted. Therefore, it is possible to ensure the confidentiality of the communication contents even for the operator operating the hosting system.
以下、図面を参照しながら本発明の実施形態について詳しく説明する。
図1は、本発明の一実施形態によるVPNサーバホスティングシステム10を利用してリモートアクセス環境が実現されたネットワークの構成を示した図である。同図に示すように、VPNサーバホスティングシステム10、利用者の家庭内に構築された宅内LAN20、移動端末31が接続される移動先NW(ネットワーク)30がそれぞれインターネット40に接続されている。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 1 is a diagram illustrating a network configuration in which a remote access environment is realized using a VPN
本実施形態は、宅内LAN20内の宅内通信機器21と移動先NW30に収容された移動端末31が、VPNサーバホスティングシステム10内に設けられたVPNサーバ(VPNサーバプロセス)により構築されるVPNを介して相互に通信を行うことを可能にするものである。なお、宅内LAN20は特許請求の範囲に記載した第1のネットワーク、移動先NW30は同じく第2のネットワークにそれぞれ相当する。
In the present embodiment, the in-
VPNサーバホスティングシステム10は、複数台(ここでは4台とする)のホストサーバ11a〜11dから構成されたサーバシステムであり、リモートアクセス環境を提供するインターネットサービスプロバイダ等が運用しているものである。これらホストサーバ11a〜11dは、利用者毎に個別に設けられたVPNサーバプロセスを、例えば利用者A氏専用のVPNサーバプロセスをホストサーバ11aが、利用者B氏専用のVPNサーバプロセスをホストサーバ11bがそれぞれ受け持つ、といった具合に分散して稼動させている。
The VPN
上記VPNサーバプロセスは、所定の手続き(後述)にしたがって宅内通信機器21および移動端末31からの接続を許可し、これら機器間にVPNを構築する。VPNサーバプロセスの動作、ならびに各VPNサーバプロセスとホストサーバとの割り当て方法の詳細については後述する。
The VPN server process permits connection from the
宅内LAN20は、移動端末31からのリモートアクセスを受け付けるホームネットワークであり、アクセス対象となるファイルやコンテンツを格納した宅内通信機器21と、宅内通信機器21と外部ネットワークとのトラフィックを中継する宅内中継装置22(詳細は後述)と、設定されたファイアウォールやNATによって宅内LAN20のセキュリティを確保するホームGW(ゲートウェイ)23とから構成されている。ここで、宅内通信機器21としては、例えばファイルサーバやビデオサーバ、一般的なパーソナルコンピュータ等のほか、ネットワーク機能を有したあらゆる種類の家電製品・情報機器が該当する。なお、宅内通信装置21は宅内中継装置22と同一の装置(コンピュータ)として構成されていてもよいものとする。
The
また、ホームGW23は、外部から流入するデータを監視して宅内LAN20への不正なアクセスを検出し規制するファイアウォールや、グローバルアドレスと宅内LAN20内のプライベートアドレスとの相互変換を担うNATが設定されたソフトウェア若しくはハードウェアである。これらの設定を適切に行うことによって、外部からの不正アクセスが遮断され、宅内LAN20のセキュリティが守られている。なお、宅内LAN20の内側から開始された外部への通信と、それに対応する外部から内部への応答、ならびに同通信ホスト間で引き続いて行われる双方向の通信は、ホームGW23を自由に通過できるようになっている。
In addition, the home GW 23 is set with a firewall that monitors data flowing from the outside to detect and regulate unauthorized access to the
移動先NW30は、宅内LAN20から外部へ移動した移動端末31がインターネット40へ接続するためのアクセス網であり、移動端末31との間で有線/無線LAN、携帯電話等によるダイアルアップ接続を行うアクセスポイント32と、インターネット40と移動先NW30との接点に置かれる両ネットワークを相互接続する移動先GW33とから構成されている。ここで、移動端末31は移動先GW33を介してインターネット40へアクセスすることが可能になっている。また、移動先GW33にはホームGW23と同様にファイアウォールやNATが実装されていてもよいが、宅内LAN20の場合と同じく、移動先NW30の内側から開始された外部への通信と、それに対応する外部から内部への応答、ならびに同通信ホスト間で引き続いて行われる双方向の通信は移動先GW33を自由に通過できるものとする。
The destination NW 30 is an access network for the
次に、図2〜図4を参照して、上述したVPNサーバホスティングシステム10の動作を詳細に説明する。
以下、図2に示すフローチャートの流れに沿って順に説明する。
Next, the operation of the VPN
Hereinafter, description will be made in order along the flow of the flowchart shown in FIG.
(1)VPNサーバプロセスの生成
まず、宅内中継装置22が公開鍵pkと秘密鍵skのペアを1つ生成する(ステップS11)。ここで、公開鍵pkを用いて暗号化したデータは対応する秘密鍵skでなければ復号化できず、秘密鍵skを用いて暗号化したデータは対応する公開鍵pkでなければ復号化できない。また、秘密鍵skは自分(宅内中継装置22)以外のいかなる第三者に対しても公開されることがないよう管理される。
(1) Generation of VPN Server Process First, the
また宅内中継装置22と移動端末31は、VPNサーバプロセスへ接続する際の認証に用いる各自のクライアント公開鍵とクライアント秘密鍵のペアを作成する。これら鍵ペアを、それぞれpkgwとskgw(宅内中継装置22)、およびpkmとskm(移動端末31)とする。そして、宅内中継装置22は、これらのクライアント公開鍵がVPNサーバプロセスに接続する権限を有するクライアントのものであることを証明するクライアント証明書Csk(pkgw)、Csk(pkm)を、上記の秘密鍵skで署名することにより発行する(ステップS12)。これらクライアント証明書は、それぞれ宅内中継装置22と移動端末31に格納される。なお、上記のクライアント秘密鍵skgwとskmは、それぞれ宅内中継装置22と移動端末31以外のいかなる第三者に対しても公開されることがないように管理される。
Further, the
宅内中継装置22は次に、公開鍵pkのハッシュ関数Hによるハッシュ値H(pk)を計算する。そして、公開鍵pkと、秘密鍵skによる署名Sskを施したVPN設定情報とを、自分がIPアドレスを知っているホストサーバの1台(ホストサーバ11aとする)に送付することによって、VPNサーバプロセスの生成を要求する(ステップS13)。なおここで、VPN設定情報には、IPルータとして動作させるかブリッジとして動作させるかといったVPNサーバプロセスの動作形態に関する情報や、IPルータとして動作する場合にVPNで使用するネットワークアドレスの情報等が含まれる。
Next, the in-
ここで、複数のVPNサーバプロセスを他から識別するため、上記のハッシュ値H(pk)がVPNサーバプロセスのID(VPN−ID)に設定される。例えば、ハッシュ関数としてSHA−1(Secure Hash Algorithm 1)を用いた場合、ハッシュ値H(pk)をVPN−IDに持つVPNサーバプロセスは、160ビットのハッシュ空間における1つの点で代表させることができる。すなわち、VPN−IDをハッシュ関数SHA−1によるハッシュ値と対応付けることによって、2160通りのVPNサーバプロセスを管理することが可能になっている。なお、ハッシュ関数の特徴から、任意の複数のVPN−IDは統計的にはハッシュ空間内に均一に分布することになる。 Here, in order to identify a plurality of VPN server processes from others, the hash value H (pk) is set as the ID (VPN-ID) of the VPN server process. For example, when SHA-1 (Secure Hash Algorithm 1) is used as a hash function, a VPN server process having a hash value H (pk) as a VPN-ID can be represented by one point in a 160-bit hash space. it can. That is, by associating the VPN-ID with the hash value by the hash function SHA-1, it is possible to manage 2160 kinds of VPN server processes. Note that, from the characteristics of the hash function, a plurality of arbitrary VPN-IDs are statistically uniformly distributed in the hash space.
ステップS13の要求をホストサーバ11aが受けると、各ホストサーバが相互に連携することによって、VPNサーバホスティングシステム10を構成するホストサーバ11a〜11dの中から、VPN−IDがハッシュ値H(pk)であるVPNサーバプロセスを受け持つホストサーバが検索される(ステップS14)。この検索には、分散ハッシュテーブル(DHT;Distributed Hash Table)が用いられる。そして、検索の結果該当するホストサーバ(ホストサーバ11cとする)に、上記のデータ(公開鍵pkとVPN設定情報)が転送される。
When the host server 11a receives the request of step S13, the host servers cooperate with each other, so that the VPN-ID has a hash value H (pk) from among the host servers 11a to 11d constituting the VPN
ここで、DHTを用いたVPNサーバプロセスの管理方法(ある特定のVPNサーバプロセスをどのホストサーバが受け持つか)およびホストサーバの検索方法について、図3を参照して説明する。
同図には、4ビットのハッシュ空間(説明を簡単にするため便宜上4ビットで考える)を4台のホストサーバ11a〜11dで管理している様子が示されている。すなわち、この例では24=16個のVPNサーバプロセスを管理可能である。これらVPNサーバプロセスのVPN−IDは0,1,2,…,15である。一方、各ホストサーバは固有の識別番号を有しており、ホストサーバ11aの識別番号は3、ホストサーバ11bの識別番号は7、ホストサーバ11cの識別番号は11、ホストサーバ11dの識別番号は15であるものとする。このような条件において、ホストサーバ11aが管理するのはVPN−ID=0〜3のVPNサーバプロセスであり、ホストサーバ11bが管理するのはVPN−ID=4〜7のVPNサーバプロセスであり、…というように、各ホストサーバとそれに割り当てられるVPNサーバプロセスとの対応関係が決められる。そして、各ホストサーバは、自分に割り当てられたVPN−ID(すなわちハッシュ値)の範囲を定めた表であるDHTを保持し、検索(下記)の際に利用する。
Here, a VPN server process management method using DHT (which host server is responsible for a specific VPN server process) and a host server search method will be described with reference to FIG.
The figure shows a state in which a 4-bit hash space (considered with 4 bits for convenience to simplify the description) is managed by the four host servers 11a to 11d. That is, in this example, 2 4 = 16 VPN server processes can be managed. The VPN-IDs of these VPN server processes are 0, 1, 2,. On the other hand, each host server has a unique identification number, the identification number of the host server 11a is 3, the identification number of the
ホストサーバの検索は、以下の方法にしたがって行われる。図3に示した4ビットのハッシュ空間において、ステップS13で要求されたVPNサーバプロセスのVPN−IDを「9」とする。ホストサーバ11a(要求を受けたホストサーバ)は、自分の保持するDHTを参照して、検索対象となるハッシュ値(VPN−ID)の「9」が自分の管理する範囲内のハッシュ値であるか否かを判定する。ハッシュ値「9」はホストサーバ11aの管理下にないので、ホストサーバ11aはデータ(公開鍵pkとVPN設定情報)を隣のホストサーバ11bへ転送する。ホストサーバ11bは同じように自分のDHTを参照して判定処理を行い、ハッシュ値「9」が管理下にないのでさらに隣のホストサーバ11cへ上記データを転送する。ホストサーバ11cは、自分のDHTに検索対象であるハッシュ値「9」が含まれるので、要求されたVPNサーバプロセスを受け持つのは自分であるとの判断を下す。このような手順でルーティングが行われることによって、目的のホストサーバが検索される。
The search for the host server is performed according to the following method. In the 4-bit hash space shown in FIG. 3, the VPN-ID of the VPN server process requested in step S13 is “9”. The host server 11a (host server that received the request) refers to the DHT held by itself, and the hash value (VPN-ID) “9” to be searched is a hash value within the range managed by the host server 11a. It is determined whether or not. Since the hash value “9” is not under the management of the host server 11a, the host server 11a transfers the data (public key pk and VPN setting information) to the
図2のフローチャートに戻って説明を続ける。
ステップS14で検索結果に該当したホストサーバ11cは、次に、転送されたデータに含まれる公開鍵pkを使い、VPN設定情報に施されている署名Sskの検証を行う(ステップS15)。公開鍵pkにより署名Sskを正しく復号化することができた場合に検証は成功し、ホストサーバ11cはハッシュ値H(pk)をVPN−IDとするVPNサーバプロセスを生成する(ステップS16)。一方、復号化が正しく行われなかった場合には検証が失敗する(ステップS17)。
Returning to the flowchart of FIG.
Next, the host server 11c corresponding to the search result in step S14 verifies the signature Ssk applied to the VPN setting information using the public key pk included in the transferred data (step S15). If the signature Ssk can be correctly decrypted with the public key pk, the verification succeeds, and the host server 11c generates a VPN server process with the hash value H (pk) as the VPN-ID (step S16). On the other hand, if the decryption is not performed correctly, the verification fails (step S17).
(2)VPNの構築(VPNサーバプロセスへの接続)
次に、生成されたVPNサーバプロセスに対して、宅内中継装置22と移動端末31は以下の手続きにしたがってVPNによる接続を行う。
まず、宅内中継装置22は、接続を希望するVPNサーバプロセスのVPN−ID、すなわちハッシュ値H(pk)をホストサーバの1台に送信することによって、必要な接続情報の問い合わせを行う(ステップS21)。送信先は、IPアドレスを知っているホストサーバ11aである。
(2) VPN construction (connection to VPN server process)
Next, the
First, the in-
ホストサーバ11aがVPN−IDを受け取ると、上述のステップS14と同様にDHTを用いたルーティングによりホストサーバの検索が実行され、当該VPN−IDはホストサーバ11c(当該VPN−IDのVPNサーバプロセスを生成し、稼動させているホストサーバ)へ転送される。VPN−IDを受信すると、ホストサーバ11cは、自分のIPアドレスや問い合わせにかかるVPNサーバプロセスのポート番号などの接続情報を宅内中継装置22に返送する(ステップS22)。なおこの際、ファイアウォールやNATを通過させるため、応答は最初に問い合わせを受けたホストサーバを経由させて返す(ホストサーバ11c→11a→宅内中継装置22)。上記接続情報を受信することによって、宅内中継装置22は接続を希望するVPNサーバプロセスがホストサーバ11cで稼動していることを知ることになる。
When the host server 11a receives the VPN-ID, a search for the host server is executed by routing using DHT as in step S14 described above, and the VPN-ID is stored in the host server 11c (the VPN server process of the VPN-ID is Generated and transferred to a host server that is running. Upon receiving the VPN-ID, the host server 11c returns connection information such as its IP address and the port number of the VPN server process related to the inquiry to the home relay device 22 (step S22). At this time, in order to pass through the firewall or NAT, the response is returned via the host server that has received the inquiry first (host server 11c → 11a → home relay device 22). By receiving the connection information, the in-
宅内中継装置22は、次に、取得した接続情報を用いて目的のVPNサーバプロセスに対する接続を要求する。具体的には、ホストサーバ11cに直接、ステップS12で発行され格納しておいたクライアント証明書Csk(pkgw)を送信する(ステップS23)。ホストサーバ11cは、宅内中継装置22の公開鍵pk(ステップS13で既に受信している)を使ってクライアント証明書Csk(pkgw)を検証する(ステップS24)。クライアント証明書Csk(pkgw)が公開鍵pkで正しく検証できた場合は、次いで、ホストサーバ11cは宅内中継装置22に1回限りのチャレンジメッセージを送り、そのメッセージに対してクライアント秘密鍵skgwによる署名を付加して返送させる。そして、この署名をクライアント証明書Csk(pkgw)に記載されているクライアント公開鍵pkgwによって検証し、宅内中継装置22が確かにクライアント秘密鍵skgwを所有していることを確認する。以上により、宅内中継装置22が正当な接続権限を持っていることが証明されるので、目的のVPNサーバプロセスへの接続が許可される(ステップS25)。一方、証明書の検証や、クライアント秘密鍵を所有していることの証明に失敗した場合は、接続が拒否される(ステップS17)。
Next, the in-
以上で宅内中継装置22とVPNサーバプロセスの間がVPNで接続される。移動端末31については、クライアント証明書Csk(pkm)を使い同様の手続きをすることによって、VPNサーバプロセスとの接続が行われる。こうして、宅内中継装置22−VPNサーバプロセス−移動端末31間にVPNが構築される。
Thus, the
ここで、最初に宅内中継装置22からVPNサーバプロセスに向かうパケットは、宅内LAN20の内側から外側への通信なので、(VPNとは関係なく)ホームGW23を通過でき、それに対応するVPNサーバプロセスから宅内中継装置22への応答や、引き続いて行われる両者間の双方向の通信もホームGW23を通過できる。一方、移動端末31から宅内中継装置22へ送られるパケットは、通常であればホームGW23によって規制されるため宅内LAN20内に届かない。上記ステップによりVPNが構築されると、宅内中継装置22へのパケットは、上記により既に宅内中継装置22との間に通信路が確保されたVPNを経由して送られるため、ホームGW23のファイアウォールを通過することができるようになる。
Here, since the packet destined for the VPN server process from the
(3)VPN通信の準備
次に、VPNサーバプロセスは、メッセージ認証とパケットの暗号化のための共有セッション鍵Ks macとKs encを作成して、接続を許可した宅内中継装置22と移動端末31にこれら共有セッション鍵を送信する(ステップS31)。送信は、送信相手のクライアント公開鍵(すなわち、宅内中継装置22のpkgwと移動端末31のpkm)を使った暗号化通信により行う。この共有セッション鍵は、VPNサーバプロセスと宅内中継装置22と移動端末31とで共有されて、次に述べるVPNの通信において使用されるものである。
(3) Preparation for VPN Communication Next, the VPN server process creates a shared session key K s mac and K s nc for message authentication and packet encryption, and moves with the in-
また、宅内中継装置22は、同様にメッセージ認証とパケットの暗号化のためのクライアントセッション鍵Ku macとKu encを作成し、これらを移動端末31のクライアント公開鍵pkmで暗号化した上で上記の共有セッション鍵を使って移動端末31に送信する(ステップS32)。移動端末31は、受信したクライアントセッション鍵を共有セッション鍵と自分のクライアント秘密鍵skmによって復号化し、平文のクライアントセッション鍵を取得する。このクライアントセッション鍵は、共有セッション鍵と併せてVPNの通信において使用されるものであるが、上記の手順でやり取りされることによって、宅内中継装置22と移動端末31との間でのみ共有されることとなる。
なお、上記の共有セッション鍵は特許請求の範囲に記載した第1のセッション鍵に相当し、クライアントセッション鍵は同じく第2のセッション鍵に相当する。
Similarly, the
The shared session key corresponds to the first session key recited in the claims, and the client session key also corresponds to the second session key.
上記ステップにより、共有セッション鍵とクライアントセッション鍵の共有がなされると、VPN通信の準備が整うことになる。宅内中継装置22と移動端末31は、共有セッション鍵とクライアントセッション鍵を使用し、VPNサーバプロセスを介したVPNによる通信を行う(ステップS33)。以下、図4を参照してVPNの具体的な通信方法を説明する。
When the shared session key and the client session key are shared by the above steps, preparation for VPN communication is completed. The in-
(4)VPNによる通信の実行
図4は、VPNにより移動端末31から宅内中継装置22へ通信する場合に送受信されるパケットの構造を示した図であり、上述した合計4つのセッション鍵を用いてメッセージ認証とパケットの暗号・復号化が行われる様子を示したものである。送信者である移動端末31は、パケットのヘッダ部分をKs enc、ペイロード部分をKu encでそれぞれ暗号化し、さらに、メッセージ(ヘッダ+ペイロード)とKu macから作成したメッセージ認証コードMACuならびにメッセージとKs macから作成したMACsをパケットの末尾に付加する。なお、メッセージ認証コード(MAC;Message Authentication Code)は、所定のMAC関数にメッセージと鍵を入力して得られる固定長ビットの出力値である。そして、入力に使った鍵を送信者と受信者で共有しておき、受信したメッセージと共有鍵とから計算したMACが、受信したメッセージに付加されているMACと一致すれば、受信者はそのメッセージが改竄されていないことを確認(メッセージ認証)できる。
(4) Execution of communication by VPN FIG. 4 is a diagram showing the structure of a packet transmitted and received when communicating from the
VPNサーバプロセスは、上記MACの付加と暗号化がなされたパケットに対し、共有セッション鍵Ks macを使ってメッセージ認証コードMACsを検証し、検証に成功した場合には、パケットからMACsを削除するとともに、共有セッション鍵Ks encを使ってヘッダを復号化した上で当該ヘッダにしたがって宛先である宅内中継装置22にパケットを送り届ける。なおこの時、VPNサーバプロセスはクライアントセッション鍵を所有していないため、ペイロードを復号化することはできない。
The VPN server process verifies the message authentication code MAC s using the shared session key K s mac with respect to the packet with the MAC added and encrypted, and if the verification is successful, the MAC s is determined from the packet. At the same time, the header is decrypted using the shared session key K s nc, and then the packet is delivered to the
宅内中継装置22は、共有セッション鍵Ks encでヘッダを解析して自分宛てのパケットを選別し、当該パケットの末尾に付加されているメッセージ認証コードMACuをクライアントセッション鍵Ku macにより検証する。検証できたら、クライアントセッション鍵Ku encでペイロードを復号化し、平文の送信データを得る。こうして、通信内容をVPNサーバプロセスに秘匿したまま、移動端末31と宅内中継装置22とでVPNの通信が行われる。
このように、本実施形態によれば、宅内中継装置22の公開鍵pkから計算されたハッシュ値H(pk)をVPNサーバプロセスのIDに対応させるとともに、DHTを利用することによって同プロセスを事業者の運営するホスティングシステム10内に分散させ稼動させている。これにより、ユーザ(宅内中継装置22)の数が増大したとしても、VPNサーバプロセスはホスティングシステム10に自律的に分散管理され、しかもその管理や設定は公開鍵pkを基にしてユーザ自らが行うことができるようになっている。したがって、ユーザ数に対して柔軟な拡張性を持ったVPNを構築してリモートアクセスを実現することが可能である。
As described above, according to the present embodiment, the hash value H (pk) calculated from the public key pk of the
また、VPNによる通信においては、共有セッション鍵とクライアントセッション鍵を併用することによって、VPNサーバプロセスと受信者(宅内中継装置22)とで別個にメッセージ認証ならびにパケットの暗号・復号化を行っている。すなわち、メッセージ認証を2段階で行うことにより、メッセージの改竄や不正なパケットの中継・受信が効果的に防止されるとともに、VPNサーバプロセスではヘッダの復号化のみを行うことで、事業者に対する通信内容の秘匿性が確保されている。 Further, in VPN communication, by using a shared session key and a client session key together, message authentication and packet encryption / decryption are separately performed by the VPN server process and the receiver (in-home relay device 22). . In other words, by performing message authentication in two stages, it is possible to effectively prevent message tampering and relay / reception of illegal packets, and the VPN server process only performs header decryption, thereby enabling communication with carriers. The confidentiality of the content is ensured.
以上、図面を参照してこの発明の一実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
例えば、DHT自体はP2P(Peer to Peer)のファイル交換などで用いられる既存の技術であり、ChordやCAN、Tapestryなど種々ある方式のいずれを適用することも可能である。
As described above, the embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to the above, and various design changes and the like can be made without departing from the scope of the present invention. It is possible to
For example, DHT itself is an existing technology used for P2P (Peer to Peer) file exchange, and any of various methods such as Chord, CAN, and Tapestry can be applied.
また、上記実施形態における移動端末31は外出先から宅内LAN20にアクセスするクライアントとしての一例であり、固定のコンピュータなど通信機能を有していればどのようなタイプの情報端末であってもよいのはもちろんである。さらにまた、宅内LAN20や移動先NW30については、これらを一般化、すなわちゲートウェイ等により外部からのアクセス制限を行っている2つの異なる各種ネットワークに置き換えることも当然に可能である。
In addition, the
この発明は、個人ユーザ向けにリモートアクセス環境を提供するシステムに用いて好適である。 The present invention is suitable for use in a system that provides a remote access environment for individual users.
10…VPNサーバホスティングシステム 11a〜11d…ホストサーバ 20…宅内LAN 21…宅内通信機器 22…宅内中継装置 23…ホームGW 30…移動先NW 31…移動端末 32…アクセスポイント 33…移動先GW 40…インターネット
DESCRIPTION OF
Claims (4)
前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるサーバ管理手段と、
前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するVPNサーバ生成手段と、
前記中継装置ならびに前記情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとの接続を許可する通信制御手段と、
を備えることを特徴とするVPNサーバホスティングシステム。 A VPN server hosting system capable of connecting to a first network that accepts a connection from an external information terminal and a second network to which the information terminal belongs, comprising one or a plurality of host servers,
Server management means for allocating one host server in correspondence with the hash value of the public key for the public key and private key pair generated by the relay device belonging to the first network;
When the VPN setting information and the public key digitally signed with the secret key are received from the relay device, and the digital signature is verified with the public key, the hash value is set as an ID, and the VPN server generation means for generating a VPN server process whose operation is defined by VPN setting information in the one assigned host server;
When each of the relay device and the information terminal requests connection to the VPN server process by presenting a digital certificate issued by the relay device, the digital certificate is verified by the public key, and The relay device and / or the information terminal only when it can be proved that the relay device and / or the information terminal possesses the client private key corresponding to the client public key described in the digital certificate Communication control means for permitting connection between the VPN server process and the VPN server process;
A VPN server hosting system comprising:
前記サーバ管理手段は、前記分散ハッシュテーブルにしたがってホストサーバの割り当てを行う
ことを特徴とする請求項1に記載のVPNサーバホスティングシステム。 Each of the host servers holds a distributed hash table that defines the range of the hash values that it manages,
The VPN server hosting system according to claim 1, wherein the server management means assigns a host server according to the distributed hash table.
前記第1のセッション鍵と、前記通信において前記中継装置と前記情報端末間でのみ共有される第2のセッション鍵とを用いてメッセージ認証コードが付加され、且つ前記第1のセッション鍵を用いてヘッダが、前記第2のセッション鍵を用いてペイロードがそれぞれ暗号化されたパケットに対し、前記第1のセッション鍵を使用してメッセージ認証ならびに前記ヘッダの復号化を行うパケット解析手段と、
をさらに備えることを特徴とする請求項1または請求項2に記載のVPNサーバホスティングシステム。 Session key generating means for generating a first session key shared between the relay device, the VPN server process, and the information terminal in communication related to the connection permitted by the communication control means;
A message authentication code is added using the first session key and a second session key shared only between the relay device and the information terminal in the communication, and the first session key is used. Packet analysis means for performing message authentication and decryption of the header using the first session key for a packet whose header is encrypted using the second session key.
The VPN server hosting system according to claim 1 or 2, further comprising:
前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるステップと、
前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するステップと、
前記中継装置、ならびに前記第2のネットワークに属する情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとを接続させる
ことを特徴とするVPN構築方法。
In a network in which a first network and a second network are connected by a server group consisting of one or more host servers,
Assigning one host server in correspondence with the hash value of the public key for the public key and private key pair generated by the relay device belonging to the first network;
When the VPN setting information and the public key digitally signed with the secret key are received from the relay device, and the digital signature is verified with the public key, the hash value is set as an ID, and the Generating a VPN server process whose operation is defined by VPN setting information in the one assigned host server;
When each of the relay device and the information terminal belonging to the second network presents a digital certificate issued by the relay device and requests connection to the VPN server process, the digital certificate is Only when it is verified by the public key and it can be proved that the relay device and / or the information terminal possess the client private key corresponding to the client public key described in the digital certificate. A VPN construction method comprising connecting a relay device and / or an information terminal to the VPN server process.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005249137A JP4490352B2 (en) | 2005-08-30 | 2005-08-30 | VPN server hosting system and VPN construction method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005249137A JP4490352B2 (en) | 2005-08-30 | 2005-08-30 | VPN server hosting system and VPN construction method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007067631A JP2007067631A (en) | 2007-03-15 |
JP4490352B2 true JP4490352B2 (en) | 2010-06-23 |
Family
ID=37929355
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005249137A Expired - Fee Related JP4490352B2 (en) | 2005-08-30 | 2005-08-30 | VPN server hosting system and VPN construction method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4490352B2 (en) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011010735A1 (en) * | 2009-07-24 | 2011-01-27 | ヤマハ株式会社 | Relay device |
WO2013175539A1 (en) * | 2012-05-24 | 2013-11-28 | 富士通株式会社 | Network system, node, and communication method |
US10652014B2 (en) | 2016-02-23 | 2020-05-12 | nChain Holdings Limited | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys |
CN109074563B (en) | 2016-02-23 | 2022-04-19 | 区块链控股有限公司 | Agent-based graph-based transaction-intensive integrated feedback within blockchain systems |
WO2017145019A1 (en) | 2016-02-23 | 2017-08-31 | nChain Holdings Limited | Registry and automated management method for blockchain-enforced smart contracts |
IL261210B (en) * | 2016-02-23 | 2022-08-01 | Nchain Holdings Ltd | Blockchain-based exchange with tokenisation |
CN114553414B (en) * | 2022-03-03 | 2024-04-05 | 合肥浩瀚深度信息技术有限公司 | Intranet penetration method and system based on HTTPS service |
KR102474894B1 (en) * | 2022-09-01 | 2022-12-06 | (주)노르마 | A virtual private network generating method providing the virtual private network by performing signature and verification based on post quantum cryptography algorithm and a virtual private network operating system performing the same |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11224219A (en) * | 1998-02-05 | 1999-08-17 | Nippon Telegr & Teleph Corp <Ntt> | Decentralized cache control method, decentralization controller, decentralizzed cache system, and storage medium stored with decentralized cache control program |
JP2004511931A (en) * | 2000-09-06 | 2004-04-15 | ワイドバイン・テクノロジーズ・インコーポレイテッド | Apparatus, system and method for selectively encrypting different portions of data sent over a network |
JP2005100194A (en) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Server device multiply belonging to two or more user closed network |
JP2005522924A (en) * | 2002-04-11 | 2005-07-28 | エイチアイ/エフエヌ,インコーポレイテッド | Packet processing method and packet processing system |
-
2005
- 2005-08-30 JP JP2005249137A patent/JP4490352B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11224219A (en) * | 1998-02-05 | 1999-08-17 | Nippon Telegr & Teleph Corp <Ntt> | Decentralized cache control method, decentralization controller, decentralizzed cache system, and storage medium stored with decentralized cache control program |
JP2004511931A (en) * | 2000-09-06 | 2004-04-15 | ワイドバイン・テクノロジーズ・インコーポレイテッド | Apparatus, system and method for selectively encrypting different portions of data sent over a network |
JP2005522924A (en) * | 2002-04-11 | 2005-07-28 | エイチアイ/エフエヌ,インコーポレイテッド | Packet processing method and packet processing system |
JP2005100194A (en) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Server device multiply belonging to two or more user closed network |
Also Published As
Publication number | Publication date |
---|---|
JP2007067631A (en) | 2007-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3912609B2 (en) | Remote access VPN mediation method and mediation device | |
Hsiao et al. | LAP: Lightweight anonymity and privacy | |
US7231664B2 (en) | System and method for transmitting and receiving secure data in a virtual private group | |
US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
JP4490352B2 (en) | VPN server hosting system and VPN construction method | |
JP4081724B1 (en) | Client terminal, relay server, communication system, and communication method | |
CN100583742C (en) | Communication apparatus, digital signature issuance method and apparatus, and digital signature transmission method | |
US20060248337A1 (en) | Establishment of a secure communication | |
US20020138635A1 (en) | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations | |
US20070198837A1 (en) | Establishment of a secure communication | |
US20080005290A1 (en) | Terminal reachability | |
US20170126623A1 (en) | Protected Subnet Interconnect | |
JP2005536961A (en) | Method, gateway and system for transmitting data between devices in a public network and devices in an internal network | |
CN101895535B (en) | Network authentication method, device and system for identifying separate mapping network | |
JP5012173B2 (en) | Encryption communication processing method and encryption communication processing apparatus | |
Davoli et al. | An anonymization protocol for the internet of things | |
US20080072033A1 (en) | Re-encrypting policy enforcement point | |
JP3908982B2 (en) | CUG (Closed User Group) management method, CUG providing system, CUG providing program, and storage medium storing CUG providing program | |
JP4837470B2 (en) | VPN server hosting system, VPN construction method, and computer program | |
Heer et al. | PISA: P2P Wi-Fi internet sharing architecture | |
Balasubramanian et al. | Onion routing in anonymous network | |
JP4707325B2 (en) | Information processing device | |
Khan et al. | A key management scheme for Content Centric Networking | |
Johnson et al. | Providing authentication in delay/disruption tolerant networking (dtn) environment | |
Azizah et al. | Comparison of Authentication Schemes on IoT |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071015 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071015 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080303 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20080304 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100301 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100323 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100401 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4490352 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160409 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |