JP4692600B2 - 情報処理装置、通信システム、及びプログラム - Google Patents

情報処理装置、通信システム、及びプログラム Download PDF

Info

Publication number
JP4692600B2
JP4692600B2 JP2008246851A JP2008246851A JP4692600B2 JP 4692600 B2 JP4692600 B2 JP 4692600B2 JP 2008246851 A JP2008246851 A JP 2008246851A JP 2008246851 A JP2008246851 A JP 2008246851A JP 4692600 B2 JP4692600 B2 JP 4692600B2
Authority
JP
Japan
Prior art keywords
information
key
information processing
terminal
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008246851A
Other languages
English (en)
Other versions
JP2010081266A (ja
Inventor
健二 河野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2008246851A priority Critical patent/JP4692600B2/ja
Priority to US12/389,059 priority patent/US20100077204A1/en
Publication of JP2010081266A publication Critical patent/JP2010081266A/ja
Application granted granted Critical
Publication of JP4692600B2 publication Critical patent/JP4692600B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、情報処理装置、管理装置、通信システム、及びプログラムに関する。
インターネットなどの通信手段による情報通信の安全性を確保するセキュリティ技術として、例えば、機器の認証やデータの暗号化を行うSSL(Secure Socket Layer)が知られている。SSLでは、サーバの認証、クライアントの認証、及び通信セッションの暗号化を行い、クライアントとサーバとの間の通信における成りすましや情報漏えいを防止する。また例えば、IP(Internet Protocol)層でのセキュリティ・プロトコルとして、インターネット技術の標準化組織であるIETF(Internet Engineering Task Force)が規定したIPsec(Security Architecture for Internet Protocol)がある。
SSL及びIPsecは、インターネットを経由して仮想的なプライベートネットワークを構築する技術であるインターネットVPN(Virtual Private Network)における暗号化プロトコルとして用いられる。
SSL又はIPsecなどの暗号化プロトコルによって暗号化通信を行う場合、通信を開始する前に、通信相手同士で暗号通信に用いられるセッション鍵を共有する必要がある。セッション鍵の共有は、例えば、通信の送信側装置及び受信側装置の一方で生成されたセッション鍵を他方に受け渡すことで行われる。
SSLでは、通信セッションの確立時に、サーバ認証、クライアント認証、及び暗号鍵の交換が行われる。暗号鍵の交換の方法として、例えば、RSA(Rivest Shamir Adleman)鍵交換又はDiffie-Hellman鍵交換などのアルゴリズムが用いられる。セッション確立時のこれらの認証処理は、暗号鍵の交換後のデータの暗号化処理と比較して処理負荷が大きい。したがって、一旦、セッションを確立した後は、サーバとクライアントとの間でセッションID(識別子)を共有し、セッションIDの有効期間内は当該セッションIDのセッション鍵を用いて暗号化通信を行うことが一般的である。
IPSecでは、暗号化データの通信を開始する前に、IKE(Internet Key Exchange)プロトコルによって、通信で用いる暗号化方式の決定及び暗号鍵の交換を行い、SA(Security Association)と呼ばれるコネクションを確立する。
また、通信端末における鍵交換処理の負荷を軽減する技術として、例えば、特許文献1には、端末装置が通信相手側端末装置と暗号通信を行う場合に、鍵交換代行サーバが端末装置の代わりに通信相手側端末装置との鍵交換処理を行う技術が開示されている。
特開2003−179592号公報
ところで、暗号化通信を行う2つの情報処理装置間で鍵交換処理を行って通信セッションを確立して複数の装置が互いに暗号化通信を行う場合、これらの装置のうちの2つを含む組のすべてにおいて、それぞれ鍵交換処理を行う必要がある。例えば、N台の装置をメッシュ接続して互いに暗号化通信させる場合、1台の装置は他のN−1台の装置それぞれと鍵交換処理を行い、全体として(N−1)N/2回の鍵交換処理が行われる。この場合、Nの値が増加すると、全体としてO(N)のオーダで鍵交換処理の回数が増加する。
本発明の目的は、複数の情報処理装置が互いに暗号化通信を行う場合に、各装置が他のすべての装置のそれぞれとの間で鍵交換のための処理を行う場合と比較してより小さい処理負荷によって各装置間の共有鍵の交換を実現することである。
本発明の一態様の情報処理装置は、通信手段を介して接続された管理装置から、前記管理装置に接続された他の複数の情報処理装置に関する情報であって前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスを含む情報を取得する他装置情報取得手段と、前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスに対応づけて、当該情報処理装置と自装置との間の暗号化通信に用いる鍵を記憶手段に登録する鍵登録手段と、前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信する鍵送信手段と、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって自装置に対応づけられた鍵を前記管理装置から取得する鍵取得手段と、を備え、前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した鍵を、当該情報処理装置の識別情報及びIPアドレスに対応づけて前記記憶手段に登録し、前記他の複数の情報処理装置のうちの1つに対して、この情報処理装置の識別情報に対応づけて前記記憶手段に記憶された鍵を用いて暗号化した情報を送信する暗号化情報送信手段であって、自装置のIPアドレス及び識別情報を前記暗号化した情報と共に送信する暗号化情報送信手段と、送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合に、受信した識別情報に対応づけて前記記憶手段に記憶された鍵を用いて、前記暗号化された情報を復号化する復号化手段と、をさらに備え、送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合であって、さらに、受信したIPアドレスに対応づけられたポート番号を受信した場合に、受信したポート番号を、受信した識別情報及びIPアドレスに対応づけて前記記憶手段に登録し、前記暗号化情報送信手段は、情報の送信先の情報処理装置のIPアドレス及びポート番号を用いて、前記記憶手段において当該送信先の情報処理装置の識別情報に対応づけられた鍵を特定する、ことを特徴とする。
本発明の一態様の情報処理装置において、前記鍵登録手段は、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置に対して自装置が送信する情報の暗号化に用いる送信用鍵を記憶手段に登録する送信用鍵登録手段を備え、前記鍵送信手段は、前記他の複数の情報処理装置それぞれに対応づけられた送信用鍵を前記管理装置に送信し、前記鍵取得手段は、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した前記送信用鍵であって自装置に対応づけられた送信用鍵を前記管理装置から取得し、前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した送信用鍵を、当該情報処理装置から自装置が受信する情報の復号化に用いる受信用鍵として当該情報処理装置に対応づけて前記記憶手段に登録する受信用鍵登録手段を備え、前記暗号化情報送信手段は、前記他の複数の情報処理装置のうちの1つに対して送信する情報を、この情報処理装置に対応づけて前記記憶手段に記憶された送信用鍵を用いて暗号化し、前記復号化手段は、前記受信した識別情報に対応づけて前記記憶手段に記憶された受信用鍵を用いて、前記暗号化された情報を復号化する、ものであってよい。
本発明の一態様の情報処理装置において、前記鍵登録手段は、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置から自装置が受信する情報の復号化に用いる受信用鍵を記憶手段に登録する受信用鍵登録手段を備え、前記鍵送信手段は、前記他の複数の情報処理装置それぞれに対応づけられた前記受信用鍵を前記管理装置に送信し、前記鍵取得手段は、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した前記受信用鍵であって自装置に対応づけられた受信用鍵を前記管理装置から取得し、前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した受信用鍵を、当該情報処理装置に対して自装置が送信する情報の暗号化に用いる送信用鍵として当該情報処理装置に対応づけて前記記憶手段に登録する送信用鍵登録手段を備え、前記暗号化情報送信手段は、前記他の複数の情報処理装置のうちの1つに対して送信する情報を、この情報処理装置に対応づけて前記記憶手段に記憶された送信用鍵を用いて暗号化し、前記復号化手段は、前記受信した識別情報に対応づけて前記記憶手段に記憶された受信用鍵を用いて、前記暗号化された情報を復号化する、ものであってよい。
本発明の一態様の情報処理装置において、前記管理装置に対して、自装置に関する情報を送信する自装置情報送信手段、をさらに備えていてよい。
本発明の一態様の情報処理装置において、前記自装置情報送信手段は、前記自装置に関する情報に変更が生じた場合に、この変更後の情報を前記管理装置に対して送信する、ものであってよい。
本発明の一態様の通信システムは、複数の情報処理装置と、前記複数の情報処理装置に通信手段を介して接続された管理装置と、を備え、前記複数の情報処理装置のそれぞれにおいて、自装置の他の前記複数の情報処理装置に関する情報であって前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスを含む情報を前記管理装置から取得する他装置情報取得手段と、前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスに対応づけて、当該情報処理装置と自装置との間の暗号化通信に用いる鍵を記憶手段に登録する鍵登録手段と、前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信する鍵送信手段と、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって自装置に対応づけられた鍵を前記管理装置から取得する鍵取得手段と、を備え、前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した鍵を、当該情報処理装置の識別情報及びIPアドレスに対応づけて前記記憶手段に登録し、前記他の複数の情報処理装置のうちの1つに対して、この情報処理装置の識別情報に対応づけて前記記憶手段に記憶された鍵を用いて暗号化した情報を送信する暗号化情報送信手段であって、自装置のIPアドレス及び識別情報を前記暗号化した情報と共に送信する暗号化情報送信手段と、送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合に、受信した識別情報に対応づけて前記記憶手段に記憶された鍵を用いて、前記暗号化された情報を復号化する復号化手段と、をさらに備え、送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合であって、さらに、受信したIPアドレスに対応づけられたポート番号を受信した場合に、受信したポート番号を、受信した識別情報及びIPアドレスに対応づけて前記記憶手段に登録し、前記暗号化情報送信手段は、情報の送信先の情報処理装置のIPアドレス及びポート番号を用いて、前記記憶手段において当該送信先の情報処理装置の識別情報に対応づけられた鍵を特定し、前記管理装置は、前記複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置に関する情報を送信する装置情報送信手段と、前記複数の情報処理装置のそれぞれから、当該情報処理装置の他の複数の情報処理装置それぞれとの間の暗号化通信に用いる鍵を取得する鍵取得手段と、前記複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置のそれぞれが当該情報処理装置との間の暗号化通信に用いる鍵を送信する鍵送信手段と、を備える、ことを特徴とする。
本発明の一態様のプログラムは、コンピュータに、通信手段を介して接続された管理装置から、前記管理装置に接続された他の複数の情報処理装置に関する情報であって前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスを含む情報を取得するステップと、前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスに対応づけて、当該情報処理装置と前記コンピュータとの間の暗号化通信に用いる鍵を記憶手段に登録するステップと、前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信するステップと、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって前記コンピュータに対応づけられた鍵を前記管理装置から取得するステップと、前記他の複数の情報処理装置のそれぞれについて取得した鍵を、当該情報処理装置の識別情報及びIPアドレスに対応づけて前記記憶手段にさらに登録するステップと、前記他の複数の情報処理装置のうちの1つに対して、この情報処理装置の識別情報に対応づけて前記記憶手段に記憶された鍵を用いて暗号化した情報を送信するステップであって、自装置のIPアドレス及び識別情報を前記暗号化した情報と共に送信するステップと、送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合に、受信した識別情報に対応づけて前記記憶手段に記憶された鍵を用いて、前記暗号化された情報を復号化するステップと、送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合であって、さらに、受信したIPアドレスに対応づけられたポート番号を受信した場合に、受信したポート番号を、受信した識別情報及びIPアドレスに対応づけて前記記憶手段に登録するステップと、を実行させ、前記暗号化した情報を送信するステップにおいて、情報の送信先の情報処理装置のIPアドレス及びポート番号を用いて、前記記憶手段において当該送信先の情報処理装置の識別情報に対応づけられた鍵を特定する、ことを特徴とする。
なお、本段落の次の文から、段落[0023]までの記載は、出願当初の[特許請求の範囲]の記載に対応する。
請求項1に係る発明は、通信手段を介して接続された管理装置から、前記管理装置に接続された他の複数の情報処理装置に関する情報を取得する他装置情報取得手段と、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置と自装置との間の暗号化通信に用いる鍵を記憶手段に登録する鍵登録手段と、前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信する鍵送信手段と、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって自装置に対応づけられた鍵を前記管理装置から取得する鍵取得手段と、を備え、前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した鍵を、当該情報処理装置に対応づけて前記記憶手段に登録する、ことを特徴とする情報処理装置である。
請求項2に係る発明は、請求項1に係る発明において、前記鍵登録手段は、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置に対して自装置が送信する情報の暗号化に用いる送信用鍵を記憶手段に登録する送信用鍵登録手段を備え、前記鍵送信手段は、前記他の複数の情報処理装置それぞれに対応づけられた送信用鍵を前記管理装置に送信し、前記鍵取得手段は、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した前記送信用鍵であって自装置に対応づけられた送信用鍵を前記管理装置から取得し、前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した送信用鍵を、当該情報処理装置から自装置が受信する情報の復号化に用いる受信用鍵として当該情報処理装置に対応づけて前記記憶手段に登録する受信用鍵登録手段を備える。
請求項3に係る発明は、請求項1に係る発明において、前記鍵登録手段は、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置から自装置が受信する情報の復号化に用いる受信用鍵を記憶手段に登録する受信用鍵登録手段を備え、前記鍵送信手段は、前記他の複数の情報処理装置それぞれに対応づけられた前記受信用鍵を前記管理装置に送信し、前記鍵取得手段は、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した前記受信用鍵であって自装置に対応づけられた受信用鍵を前記管理装置から取得し、前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した受信用鍵を、当該情報処理装置に対して自装置が送信する情報の暗号化に用いる送信用鍵として当該情報処理装置に対応づけて前記記憶手段に登録する送信用鍵登録手段を備える。
請求項4に係る発明は、請求項2又は3に係る発明において、前記他の複数の情報処理装置のうちの1つに対して、この情報処理装置に対応づけて前記記憶手段に記憶された前記送信用鍵を用いて暗号化した情報を送信する暗号化情報送信手段、をさらに備える。
請求項5に係る発明は、請求項2から4のいずれか1項に係る発明において、前記他の複数の情報処理装置のうちの1つから受信した情報を、この情報処理装置に対応づけて前記記憶手段に記憶された前記受信用鍵を用いて復号化する復号化手段、をさらに備える。
請求項6に係る発明は、請求項1から5のいずれか1項に係る発明において、前記管理装置に対して、自装置に関する情報を送信する自装置情報送信手段、をさらに備える。
請求項7に係る発明は、請求項6に係る発明において、前記自装置情報送信手段は、前記自装置に関する情報に変更が生じた場合に、この変更後の情報を前記管理装置に対して送信する。
請求項8に係る発明は、通信手段を介して接続された複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置に関する情報を送信する装置情報送信手段と、前記複数の情報処理装置のそれぞれから、当該情報処理装置の他の複数の情報処理装置それぞれとの間の暗号化通信に用いる鍵を取得する鍵取得手段と、前記複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置のそれぞれが当該情報処理装置との間の暗号化通信に用いる鍵を送信する鍵送信手段と、を備えることを特徴とする管理装置である。
請求項9に係る発明は、請求項8に係る発明において、前記複数の情報処理装置のそれぞれから受信した当該情報処理装置に関する情報を記憶手段に登録する装置情報登録手段、をさらに備え、前記装置情報送信手段が前記複数の情報処理装置のそれぞれに対して送信する前記他の情報処理装置に関する情報は、前記記憶手段から取得した情報である。
請求項10に係る発明は、請求項8又は9に係る発明において、前記装置情報送信手段は、前記複数の情報処理装置に関する情報に変更が生じた場合に、変更後の情報を前記複数の情報処理装置のそれぞれに対して送信する。
請求項11に係る発明は、複数の情報処理装置と、前記複数の情報処理装置に通信手段を介して接続された管理装置と、を備え、前記複数の情報処理装置のそれぞれにおいて、自装置の他の前記複数の情報処理装置に関する情報を前記管理装置から取得する他装置情報取得手段と、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置と自装置との間の暗号化通信に用いる鍵を記憶手段に登録する鍵登録手段と、前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信する鍵送信手段と、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって自装置に対応づけられた鍵を前記管理装置から取得する鍵取得手段と、を備え、前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した鍵を、当該情報処理装置に対応づけて前記記憶手段に登録し、前記管理装置は、前記複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置に関する情報を送信する装置情報送信手段と、前記複数の情報処理装置のそれぞれから、当該情報処理装置の他の複数の情報処理装置それぞれとの間の暗号化通信に用いる鍵を取得する鍵取得手段と、前記複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置のそれぞれが当該情報処理装置との間の暗号化通信に用いる鍵を送信する鍵送信手段と、を備える、ことを特徴とする通信システムである。
請求項12に係る発明は、コンピュータに、通信手段を介して接続された管理装置から、前記管理装置に接続された他の複数の情報処理装置に関する情報を取得するステップと、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置と前記コンピュータとの間の暗号化通信に用いる鍵を記憶手段に登録するステップと、前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信するステップと、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって前記コンピュータに対応づけられた鍵を前記管理装置から取得するステップと、前記他の複数の情報処理装置のそれぞれについて取得した鍵を、当該情報処理装置に対応づけて前記記憶手段にさらに登録するステップと、を実行させることを特徴とするプログラムである。
請求項13に係る発明は、通信手段を介して接続された複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置に関する情報を送信するステップと、前記複数の情報処理装置のそれぞれから、当該情報処理装置の他の複数の情報処理装置それぞれとの間の暗号化通信に用いる鍵を取得する鍵取得ステップと、前記複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置のそれぞれが当該情報処理装置との間の暗号化通信に用いる鍵を送信する鍵送信ステップと、をコンピュータに実行させることを特徴とするプログラムである。
本発明によると、複数の情報処理装置が1つのIPアドレスを共有している場合に、各情報処理装置が他のすべての情報処理装置のそれぞれとの間で鍵交換のための処理を行う場合と比較してより小さい処理負荷により各情報処理装置間の共有鍵の交換を実現し、交換された共有鍵を用いた情報処理装置間の暗号化通信を実現できる。
なお、本段落の次の文から、段落[0032]までの記載は、出願当初の[特許請求の範囲]に記載の請求項1−13に係る発明の効果を記載したものである。
請求項1、8、11、12又は13に係る発明によると、各情報処理装置が他のすべての情報処理装置のそれぞれとの間で鍵交換のための処理を行う場合と比較してより小さい処理負荷により各情報処理装置間の共有鍵の交換を実現できる。
請求項2に係る発明によると、各情報処理装置が他の情報処理装置に対して送信する情報の暗号化に用いる送信用鍵を各情報処理装置の間で交換できる。
請求項3に係る発明によると、各情報処理装置が他の情報処理装置から受信する情報の復号化に用いる受信用鍵を各情報処理装置の間で交換できる。
請求項4に係る発明によると、送信先の情報処理装置に対応する鍵を用いて暗号化した情報を送信できる。
請求項5に係る発明によると、送信元の情報処理装置が情報の暗号化に用いた鍵によって受信した情報を復号化できる。
請求項6に係る発明によると、各情報処理装置が管理装置に対して自装置に関する情報を送信できる。
請求項7に係る発明によると、各情報処理装置が自装置に関する情報の変更を管理装置に対して通知できる。
請求項9に係る発明によると、各情報処理装置から受信した情報をその情報処理装置に関する情報として他の情報処理装置に対して送信できる。
請求項10に係る発明によると、ある情報処理装置に関する情報の変更を他の情報処理装置に対して通知できる。
図1は、VPNシステムの構成例を示す図である。VPNシステムは、インターネットなどのネットワーク30を介して接続されたVPN−DNS(Domain Name System)サーバ10とVPN端末20−1,20−2,…,20−N(以下、総称して「VPN端末20」とも呼ぶ)とから構成される。各VPN端末20は、ネットワーク30を介して他の各VPN端末20と暗号化通信を行う。VPN−DNSサーバ10は、VPN端末20を管理するサーバであり、各VPN端末20間の暗号化通信における共有鍵の交換を仲介する。
図2に、VPN端末20の内部構成の概略の例を示す。図2を参照し、VPN端末20は、NIF(ネットワーク・インタフェース)200、基本情報記憶手段210、鍵DB(データベース)220、及び通信アプリケーション230を備える。
NIF200は、他の装置とのネットワーク30を介した通信のためのインタフェースである。NIF200は、自端末情報登録処理手段202、鍵登録処理手段204、鍵取得処理手段206、及び通信処理手段208を備える。
自端末情報登録処理手段202は、各VPN端末20自身に関する情報である自端末情報をVPN−DNSサーバ10に登録する処理を行う。自端末情報は、例えば、当該VPN端末20の端末ID(識別子)、当該VPN端末20のグローバルIP(ネットワーク30において固有のIPアドレス)、及び当該VPN端末20のFQDN(Fully Qualified Domain Name)を含む。自端末情報登録処理手段202は、基本情報記憶手段210から自端末情報を取得してVPN−DNSサーバ10に対して送信する。
鍵登録処理手段204は、当該VPN端末20が他の各VPN端末20に対して割り当てるセッション鍵をVPN−DNSサーバ10に登録する処理を行う。鍵登録処理手段204は、VPN−DNSサーバ10に登録された他の各VPN端末20の端末情報のリストをVPN−DNSサーバ10から取得し、取得したリスト中の各VPN端末20に対してセッション鍵を割り当てる。そして、各VPN端末20の端末IDと各VPN端末20に割り当てたセッション鍵とを対応づけてVPN−DNSサーバ10に送信する。鍵登録処理手段204は、さらに、他の各VPN端末20の端末IDと割り当てたセッション鍵との組を鍵DB220に登録する。鍵登録処理手段204が他の各VPN端末20に対して割り当てたセッション鍵は、自端末が他の各VPN端末20に対して送信するデータの暗号化に用いられる。
鍵取得処理手段206は、他の各VPN端末20が自端末に対して割り当ててVPN−DNSサーバ10に登録したセッション鍵をVPN−DNSサーバ10から取得する処理を行う。鍵取得処理手段206は、例えば、他の各VPN端末20の端末IDとそのVPN端末20が自端末に対して割り当てたセッション鍵との組をVPN−DNSサーバ10から取得して鍵DB220に登録する。鍵取得処理手段206が取得したセッション鍵は、対応するVPN端末20から自端末が受信したデータの復号化に用いられる。
通信処理手段208は、他の各VPN端末20との間の暗号化通信に関する処理を行う。通信処理手段208は、暗号化手段2080及び復号化手段2082を備える。暗号化手段2080は、当該VPN端末20から他の各VPN端末20へデータを送信するときに、送信先のVPN端末20に対して鍵登録処理手段204が割り当てたセッション鍵を鍵DB220から取得し、取得したセッション鍵を用いて送信データを暗号化する。復号化手段2082は、他のVPN端末20から暗号化されたデータを受信したときに、送信元のVPN端末20が自端末に割り当てたセッション鍵を鍵DB220から取得し、取得したセッション鍵を用いて受信データを復号化する。
基本情報記憶手段210は、当該VPN端末20に関する情報及びVPN−DNSサーバ10に関する情報を記憶する。基本情報記憶手段210は、例えば、上述の自端末情報、証明書関連情報、及びVPN−DNSサーバ10のグローバルIPを記憶する。証明書関連情報は、例えば、公開鍵暗号方式(Public Key Infrastructure,PKI)の枠組みにおける認証局が当該VPN端末20に対して発行した証明書に関する情報である。証明書関連情報は例えば、当該VPN端末に対して認証局が発行した端末証明書、この端末証明書に対応する秘密鍵、及びこの端末証明書を発行した認証局の証明書を含む。なお、端末証明書にはシステム内で一意なIDが付与されるため、この端末証明書のIDを上述の端末IDとして用いてもよい。
鍵DB220は、他の各VPN端末20との間の暗号化通信で用いるセッション鍵を記憶するデータベースである。図3に、鍵DB220のデータ内容の一例を示す。図3(a)は、VPN端末20−1の鍵DB220のデータ内容の例を示し、図3(b)は、VPN端末20−2の鍵DB220のデータ内容の例を示す。図3(a),(b)の各表の1行は、1つのVPN端末20に対応するレコードを表す。各レコードは、端末ID、送信鍵、受信鍵、グローバルIP、及びFQDNの項目を含む。図3(a)を参照し、VPN端末20−1の鍵DB220は、他のVPN端末20−2,20−3,…,20−Nのそれぞれに対応するレコードを備える。また、図3(b)を参照し、VPN端末20−2の鍵DB220は、他のVPN端末20−1,20−3,…,20−Nのそれぞれに対応するレコードを備える。鍵登録処理手段204がVPN−DNSサーバ10から他の各VPN端末20の端末情報のリストを取得すると、鍵登録処理手段204は、取得したリスト中の各VPN端末20に対応する鍵DB220のレコードを生成する。各レコードの端末ID、グローバルIP、及びFQDNの各項目の値は、取得された端末情報のリストに含まれる値に設定される。送信鍵の項目には、自端末の鍵登録処理手段204が他の各VPN端末20に対して割り当てたセッション鍵が登録される。送信鍵として登録されたセッション鍵を用いて、対応するVPN端末20に対して送信されるデータの暗号化が行われる。また、受信鍵の項目には、他の各VPN端末20が自端末に対して割り当てたセッション鍵が登録される。受信鍵として登録されるセッション鍵は、鍵取得処理手段206がVPN−DNSサーバ10から取得して鍵DB220の対応する各レコードに登録する。受信鍵として登録されたセッション鍵を用いて、対応するVPN端末20から受信した暗号化データの復号化が行われる。
再び図2を参照し、通信アプリケーション230は、ネットワーク30を介して当該VPN端末20と接続された装置と通信を行うソフトウエアである。通信アプリケーション230は、NIF200を介して他の装置との間のデータの送受信を行う。例えば、通信アプリケーション230は、当該VPN端末20から他のVPN端末20へ送信するデータを生成してNIF200に渡す。NIF200の通信処理手段208は、通信アプリケーション230から受け取ったデータを暗号化手段2080により暗号化してネットワーク30へ送出する。また例えば、通信アプリケーション230は、NIF200が他のVPN端末20から受信したデータであって通信処理手段208の復号化手段2082で復号化されたデータを通信処理手段208から受け取る。
次に、図4を参照し、VPN−DNSサーバ10について説明する。図4は、VPN−DNSサーバ10の内部構成の概略の例を示すブロック図である。図4を参照し、VPN−DNSサーバ10は、受信手段100、送信手段110、制御手段120、端末情報登録手段130、鍵処理手段140、端末情報DB150、鍵テーブル記憶手段160、及び証明書関連情報記憶手段170を備える。
受信手段100は、例えばVPN端末20などの装置からネットワーク30を介してVPN−DNSサーバ10宛に送られてくるデータを受信する。受信手段100は、受信したデータを制御手段120に渡す。
送信手段110は、制御手段120からの指示に従って、例えばVPN端末20などの装置に対してネットワーク30を介してデータを送信する。
制御手段120は、VPN−DNSサーバ10が備える各手段における処理を制御する。例えば、制御手段120は、受信手段100が受信したデータを受信手段100から受け取り、受け取ったデータの内容に応じて、端末情報登録手段130及び鍵処理手段140を制御して処理を実行させ、その処理結果のデータを取得して送信手段110により送信する。
端末情報登録手段130は、各VPN端末20からネットワーク30を介して送られてくる端末情報を端末情報DB150に登録する処理を行う。
端末情報DB150は、各VPN端末20に関する情報を記憶するデータベースである。図5に、端末情報DB150のデータ内容の例を示す。図5の例の表の1行は、1つのVPN端末に対応するレコードである。図5の例の各レコードは、端末ID、端末証明書、グローバルIP、及びFQDNの各項目を含む。
図4の説明に戻り、鍵処理手段140は、各VPN端末20の間の暗号化通信で用いられるセッション鍵に関する処理を行う。鍵処理手段140は、鍵登録手段142及び鍵送信手段144を備える。鍵登録手段142は、受信手段100及び制御手段120を介して、各VPN端末20が他のVPN端末20に対して割り当てたセッション鍵を取得し、取得したセッション鍵を鍵テーブル記憶手段160に登録する。鍵送信手段144は、各VPN端末20からの鍵取得要求に応じて、要求元のVPN端末20に対して他の各VPN端末20が割り当てたセッション鍵のリストを鍵テーブル記憶手段160から取得し、取得したセッション鍵のリストを制御手段120に渡すことで、要求元のVPN端末20に送信する。
鍵テーブル記憶手段160は、各VPN端末20が互いに割り当てたセッション鍵を表す鍵テーブルを記憶する。図6に、鍵テーブル記憶手段160に記憶される鍵テーブルの例を示す。図6の例の鍵テーブルでは、各行と各列とが交差する欄に、当該行の端末IDのVPN端末20が当該列の端末IDのVPN端末20に対して割り当てたセッション鍵を示す。例えば、端末ID「001」の行と端末ID「002」の列とが交差する欄の値「K12」は、端末ID「001」のVPN端末20−1が端末ID「002」のVPN端末20−2に対して割り当てたセッション鍵を示す。セッション鍵「K12」は、VPN端末20−1からVPN端末20−2への送信データの暗号化に用いられる。また例えば、端末ID「002」の行と端末ID「001」の列とが交差する欄の値「K21」は、VPN端末20−2がVPN端末20−1に対して割り当てたセッション鍵を示す。セッション鍵「K21」は、VPN端末20−2からVPN端末20−1への送信データの暗号化に用いられる。
鍵登録手段142は、VPN端末20からの鍵登録要求に応じて、要求元のVPN端末20が他の各VPN端末20に対して割り当てたセッション鍵を鍵テーブル記憶手段160中の鍵テーブルに登録する。例えば、図6の例の表において、要求元のVPN端末20の端末IDに対応する行のデータ内容を登録する。鍵送信手段144は、あるVPN端末20の鍵取得要求に応じて、要求元のVPN端末20に対して他の各VPN端末20が割り当てたセッション鍵のリストを鍵テーブル記憶手段160中の鍵テーブルから取得して要求元のVPN端末20に対して送信する。例えば、図6の例の表において、要求元のVPN端末20の端末IDに対応する列のデータ内容を取得して送信する。
証明書関連情報記憶手段170は、認証局がVPN−DNSサーバ10に対して発行した証明書に関する証明書関連情報を記憶する。証明書関連情報は、例えば、認証局が発行したVPN−DNSサーバ10のサーバ証明書、このサーバ証明書に対応する秘密鍵、及び認証局の証明書を含む。
以上、VPNシステムの構成の例を説明した。以下、VPNシステムの動作の例を説明する。
図7は、VPNシステムにおける各VPN端末間の暗号化通信が開始されるまでの処理の手順の例を示すフローチャートである。図7の例の手順の処理は、例えば、VPNシステムを構築するときの初期設定処理として行われる。
図7を参照し、まず、各VPN端末20がVPN−DNSサーバ10に自端末の端末情報を登録する(ステップS1)。ステップS1の処理により、VPN−DNSサーバ10の端末情報DB150に例えば図5の例の内容のデータが格納される。
次に、各VPN端末20は、VPN−DNSサーバ10から他のVPN端末20の端末情報のリストを取得し、取得したリスト中の各VPN端末20に対してセッション鍵を割り当てる。そして、他の各VPN端末20に対して割り当てたセッション鍵をVPN−DNSサーバ10に登録する(ステップS2)。ステップS2の処理により、VPN−DNSサーバ10の鍵テーブル記憶手段160に例えば図6に例示する鍵テーブルが格納される。また、各VPN端末20の鍵DB220には、例えば、図3の例の表の各レコードが登録され、各レコードの端末ID、送信鍵、グローバルIP、及びFQDNの値が設定される。なお、この時点では、図3の例の表の各レコードの受信鍵の項目の値は未だ設定されていない。
ステップS2の後、各VPN端末20は、他のVPN端末20が自端末に割り当てたセッション鍵をVPN−DNSサーバ10から取得する(ステップS3)。ステップS3の処理により、各VPN端末20の鍵DB220において、例えば、図3に例示する表の各レコードの受信鍵の項目に値が設定される。
ステップS1〜S3の処理によって、VPN−DNSサーバ10に接続されるVPN端末20−1,20−2,…,20−Nの情報がVPN−DNSサーバ10に登録されるとともに、各VPN端末20と他のVPN端末20それぞれとの間で、通信に用いるセッション鍵の交換が実現される。
その後、VPN端末20間の暗号化通信が開始される(ステップS4)。
以下、図8〜図10を参照し、図7の例の手順のステップS1(端末情報登録処理)、ステップS2(鍵登録処理)、及びステップS3(鍵取得処理)の各処理の詳細手順の例を説明する。
図8は、図7のステップS1(端末情報登録処理)の詳細手順の例を示す図である。端末情報登録処理は、VPN端末20のNIF200の自端末情報登録処理手段202及びVPN−DNSサーバ10の端末情報登録手段130が主に担当する。図8を参照し、まず、VPN端末20の自端末情報登録処理手段202は、基本情報記憶手段210から読み出した自端末の端末証明書とともに、端末情報登録を要求する旨を表す情報をVPN−DNSサーバ10に対して送信する(ステップS10)。この端末証明書を含む端末情報登録要求を受信したVPN−DNSサーバ10の受信手段100は、受信した端末情報登録要求を制御手段120に渡し、制御手段120は、受け取った要求中の端末証明書を端末情報登録手段130に渡す。端末情報登録手段130は、証明書関連情報記憶手段170中の認証局の証明書を用いて、受け取った端末証明書を検証する(ステップS12)。検証に成功したら、端末情報登録手段130は、制御手段120及び送信手段110を介して、証明書関連情報記憶手段170から取得したサーバ証明書を要求元のVPN端末20に対して送信する(ステップS14)。なお、検証に失敗したら、端末情報登録手段130は、端末証明書の検証に失敗した旨を制御手段120に通知する。この通知を受けた制御手段120は、送信手段110を介して、検証の失敗を表す情報を要求元のVPN端末20に返し、処理は終了する。
VPN−DNSサーバ10からサーバ証明書を受け取ると、VPN端末20の自端末情報登録処理手段202は、基本情報記憶手段210に記憶された認証局の証明書を用いて、受け取ったサーバ証明書を検証する(ステップS16)。サーバ証明書の検証に成功すると、自端末情報登録処理手段202は、基本情報記憶手段210から読み出した自端末の端末情報をVPN−DNSサーバ10の公開鍵で暗号化した上で、VPN−DNSサーバ10に対して送信する(ステップS18)。ステップS18で送信される端末情報は、例えば、そのVPN端末20の端末ID、グローバルIP、及びFQDNを含む。なお、検証に失敗したら、自端末情報登録処理手段202は、端末情報を送信することなく、サーバ証明書の検証に失敗した旨を表す情報をVPN−DNSサーバ10に送信し、処理を終了する。
暗号化された端末情報をVPN端末20から受信したVPN−DNSサーバ10において、端末情報登録手段130は、受信手段100及び制御手段120を介して受け取った端末情報を、証明書関連情報中のVPN−DNSサーバ10のサーバ証明書に対応する秘密鍵を用いて復号化する。そして、端末情報DB150において要求元のVPN端末20に対応するレコードを生成する(図5参照)。生成したレコード中の端末ID、グローバルIP、及びFQDNの項目には、そのVPN端末20から受信した端末情報に含まれる各項目の値を登録する。また、当該レコード中の証明書の項目には、ステップS10で受信した端末証明書を登録する(以上、ステップS19)。ステップS19が終了すると、図8の例の手順の端末情報登録処理は終了する。
なお、VPN−DNSサーバ10は、例えば、登録するVPN端末20のリストを予め取得しておき、図8の例の手順の処理において、端末証明書の検証が成功し、かつ、予め取得しておいたリスト中に要求元端末の端末IDが含まれる場合にのみ、そのVPN端末20から受信した端末情報を端末情報DB150に登録してもよい。登録するVPN端末20のリストは、例えば、認証局が証明書を発行したVPN端末20のリストを認証局から取得する。
VPN端末20−1,20−2,…,20−NのそれぞれがVPN−DNSサーバ10との間で図8の例の手順の端末情報登録処理を行うことで、VPN−DNSサーバ10の端末情報DB150には、N台のVPN端末20の端末情報が登録される。
次に、図9を参照し、図7のステップS2の鍵登録処理の詳細手順の例を説明する。図9に例示する手順の鍵登録処理は、VPN端末20の鍵登録処理手段204及びVPN−DNSサーバ10の鍵処理手段140の鍵登録手段142が主に担当する。図9を参照し、まず、VPN端末20のNIF200の鍵登録処理手段204は、鍵登録処理の開始を要求する鍵登録処理要求をVPN−DNSサーバ10に対して送信する(ステップS20)。この要求に応じて、VPN−DNSサーバ10と要求元のVPN端末20との間で共有鍵の交換が行われる(ステップS22)。ステップS22の鍵交換処理は、例えば、RSA鍵交換又はDiffie-Hellman鍵交換などの鍵交換アルゴリズムに従って行われる。
共有鍵の交換が終了すると、VPN−DNSサーバ10の鍵処理手段140の鍵登録手段142は、端末情報DB150に登録された端末情報のうち、要求元のVPN端末20の他のVPN端末20の端末情報を端末情報DB150から取得する。そして、取得した端末情報のリストを、ステップS22で交換した共有鍵を用いて暗号化した上で、制御手段120及び送信手段110を介して要求元のVPN端末20に対して送信する(以上、ステップS24)。例えば、VPN端末20−1が要求元である場合、ステップS24では、VPN端末20−2,…,20−Nの端末情報のリストが送信される。
暗号化された端末情報のリストをVPN−DNSサーバ10から受け取ったVPN端末20において、鍵登録処理手段204は、ステップS22で交換した共有鍵を用いて受け取った端末情報のリストを復号化する。次に、鍵登録処理手段204は、受け取ったリスト中の各VPN端末20に対応するレコードを鍵DB220において生成する。VPN端末20−1が要求元である上記の例の場合、図3(a)の例の表に示すように、VPN端末20−2,…,20−Nのそれぞれに対応する端末ID「002」,…,「N」のレコードが鍵DB220において生成される。また、生成した各レコードにおいて、端末ID、グローバルIP、及びFQDNの項目に、VPN−DNSサーバ10から受け取ったリスト中の端末情報で表される各項目の値を登録する。そして、鍵登録処理手段204は、鍵DB220に登録した各VPN端末20に対して割り当てるセッション鍵を生成し、生成したセッション鍵を各VPN端末20に対応するレコードの送信鍵の項目に登録する。さらに、鍵登録処理手段204は、鍵DB220に登録した各VPN端末20の端末IDと、当該VPN端末20に割り当てたセッション鍵と、を対応づけたセッション鍵のリストを生成し、生成したセッション鍵のリストを上述の共有鍵で暗号化した上でVPN−DNSサーバ10に対して送信する(以上、ステップS26)。VPN端末20−1を要求元とする上記の例では、ステップS26で、VPN端末20−1がVPN端末20−2,…,20−Nに対して割り当てたセッション鍵のリスト{K12, K13, …, K1N}が各セッション鍵に対応する端末IDとともに送信される。
VPN−DNSサーバ10の鍵処理手段140の鍵登録手段142は、受信手段100及び制御手段120を介してVPN端末20から送信されたセッション鍵のリストを受け取ると、このリストを上述の共有鍵を用いて復号化する。そして、受け取ったリスト中のセッション鍵を鍵テーブル記憶手段160中の鍵テーブルに登録する。例えば、図6に例示する鍵テーブルが鍵テーブル記憶手段160に記憶されている場合、図6の例の表において、要求元のVPN端末20の端末IDに対応する行にリスト中の各セッション鍵を登録する。
VPN−DNSサーバ10において鍵テーブルへのセッション鍵の登録が終了すると、図9の例の手順の処理は終了する。
VPN端末20−1,20−2,…,20−NのそれぞれがVPN−DNSサーバ10との間で図9の例の手順の鍵登録処理を行うことで、VPN−DNSサーバ10の鍵テーブルが構成される。
以下、図10を参照し、図7のステップS3の鍵取得処理の詳細手順の例を説明する。図10に例示する手順の鍵取得処理は、VPN端末20の鍵取得処理手段206及びVPN−DNSサーバ10の鍵処理手段140の鍵送信手段144が主に担当する。図10を参照し、まず、VPN端末20のNIF200の鍵取得処理手段206は、VPN−DNSサーバ10に対して、他のVPN端末20が自端末に対して割り当てたセッション鍵の送信を要求する(ステップS30)。
この要求を受信したVPN−DNSサーバ10の受信手段100は、受信した要求を制御手段120に渡し、制御手段120は、鍵処理手段140の鍵送信手段144に対して、セッション鍵の送信処理を指示する。鍵送信手段144は、鍵テーブル記憶手段160を参照し、要求元のVPN端末20に対して他のVPN端末20が割り当てたセッション鍵のリストを取得する。例えば、図6の例の表の鍵テーブルが鍵テーブル記憶手段160中に記憶されている場合に、VPN端末20−1からセッション鍵の送信要求を受信したときには、図6の例の表において端末ID「001」の列のデータ内容を取得する。そして、鍵送信手段144は、要求元のVPN端末20との間で行った図9のステップS22の鍵交換処理で得られた共有鍵を用いて、鍵テーブルから取得したセッション鍵のリストを暗号化して制御手段120に渡す。制御手段120は、送信手段110を介して、暗号化されたセッション鍵のリストを要求元のVPN端末20に対して送信する(以上、ステップS32)。
VPN−DNSサーバ10から暗号化されたセッション鍵のリストを受け取ったVPN端末20において、NIF200の鍵取得処理手段206は、図9のステップS22の鍵交換処理で得られた共有鍵を用いて、受け取ったセッション鍵のリストを復号化する。そして、受け取ったリスト中のセッション鍵を、鍵DB220における各VPN端末20に対応するレコードの受信鍵の項目に登録する。この登録処理が終了すると、図10の例の手順の処理は終了する。
VPN端末20−1,20−2,…,20−NのそれぞれがVPN−DNSサーバ10との間で図10の例の手順の鍵取得処理を行って、自己の鍵DB220において、他のVPN端末20から割り当てられたセッション鍵を当該他のVPN端末20の端末IDに対応する受信鍵として登録する。
以上、図9〜図10を参照して説明した処理をN台のVPN端末20−1,20−2,…,20−Nのそれぞれが実行することで、N台のVPN端末20のうちの2つを含むVPN端末20の組のすべての間で共有鍵の交換が実現される。各VPN端末20は、VPN−DNSサーバ10との間で、ステップS1,S2,S3の3回の通信を行うことで、他のN−1台のVPN端末20のそれぞれと共有鍵を交換したことになる。よって、N台のVPN端末20を含むVPNシステム全体としては、3N回の通信により、N台のうち2台ずつの組のすべてについて共有鍵の交換がなされる。
なお、以上の説明では、図7の各ステップS1,S2,S3において、N台のVPN端末20のすべてとVPN−DNSサーバ10との間の処理が終了してから次のステップの処理が行われるものとして説明した。しかしながら、各VPN端末20において、必ずしも、N台のVPN端末20のすべてについて各ステップの処理が終了してから次のステップの処理が実行されるとは限らない。例えば、一部のVPN端末20による端末情報登録処理(ステップS1)が終了する前に、他のVPN端末20が鍵登録処理(ステップS2)を実行することがあり得る。あるいは、例えば、一部のVPN端末20による鍵登録処理(ステップS2)の実行の前に、他のVPN端末20が鍵取得処理(ステップS3)を実行することもあり得る。また、例えば、VPNシステムに新たなVPN端末20が接続されたり、登録済みのVPN端末20のIPアドレスや端末証明書が更新されたりする場合がある。以上で例示した状況では、VPN端末20で鍵登録処理(ステップS2)又は鍵取得処理(ステップS3)が実行されて鍵DB220にデータが登録された後に、VPN−DNSサーバ10の端末情報DB150及び鍵テーブル記憶手段160の少なくとも一方が更新される。
VPN−DNSサーバ10の端末情報DB150及び鍵テーブル記憶手段160における更新を鍵DB220のデータ内容に反映させるため、各VPN端末20は、例えば、定期的に又は予め設定されたタイミング(例えば、VPN端末20の起動時など)で、VPN−DNSサーバ10に対して端末情報DB150及び鍵テーブル記憶手段160の更新の有無を問合わせる。この問合せを受けたVPN−DNSサーバ10は、例えば、当該端末による前回の更新の有無の問合わせから今回の問合わせまでの間に、端末情報DB150又は鍵テーブル記憶手段160のデータ内容に更新が生じていれば、その更新内容を表す情報をVPN端末20に対して送信する。このときに行われるVPN−DNSサーバ10における更新の有無の検索は、例えば、端末情報DB150中の各VPN端末20に対応するレコードの更新日時を記録しておき、鍵テーブル記憶手段160において鍵テーブルの各レコード(例えば、図6の例の表の各行及び各列)について更新日時を記憶しておくことで実現される。例えば、端末情報DB150中の各VPN端末20に対応するレコードにおいて、さらに、当該端末による前回の更新の問合わせの日時を記憶してき、この前回の更新の問合わせ日時以降、今回の問合わせの日時までの間に、端末情報DB150及び鍵テーブルにおいて更新されたレコードがあるか否かを検索する。そして、この検索結果のレコードを更新内容としてVPN端末20に対して返送する。VPN端末20は、VPN−DNSサーバ10から取得した情報に従って鍵DB220を更新する。さらに、VPN端末20は、未だセッション鍵の割り当てを行っていないVPN端末20がVPN−DNSサーバ10に登録された場合、当該VPN端末20に関して、鍵登録処理(ステップS2)を実行し、その後、当該VPN端末20から割り当てられたセッション鍵を鍵取得処理(ステップS3)によって取得する。
また、例えば、各VPN端末20は、自端末情報に変更があった場合(例えば、IPアドレスの変更又は端末証明書の更新等)に、端末情報登録処理(ステップS1)と同様の処理を行って、更新後の自端末情報をVPN−DNSサーバ10に対して送信し、VPN−DNSサーバ10の端末情報DB150に登録された自己の端末情報を更新する。
なお、例えば、端末情報DB150又は記憶手段160に更新が生じた場合に、VPN−DNSサーバ10から、各VPN端末20に対し、その旨を通知してもよい。この通知を受けたVPN端末20は、通知された更新の内容に応じた処理を行う。例えば、登録済みのVPN端末20の端末情報の更新であれば、VPN端末20において、対応する鍵DB220中の端末情報が更新される。また例えば、新たなVPN端末20がVPN−DNSサーバ10に登録された場合、各VPN端末20において、当該新たなVPN端末20に関して鍵登録処理(ステップS2)及び鍵取得処理(ステップS3)を実行する。
以下、VPN端末20間の暗号化通信(図7のステップS4)における処理の例を説明する。
図11は、VPN端末20が他のVPN端末20に対してデータを送信する場合にVPN端末20のNIF200の通信処理部が行う処理の手順の例を示すフローチャートである。
図11を参照し、通信アプリケーション230がFQDNで指定された相手と通信をおこなう場合には、まずDNSサーバ(本システム外)に対して、DNS問合せを行う。通信処理手段208は、通信アプリケーション230からのDNS問合わせの有無を判定する(ステップS40)。通信アプリケーション230は、データの送信を望む場合、例えば、送信先のVPN端末20のFQDNの指定を受け付け、このFQDNに対応するグローバルIPをNIF200の通信処理手段208を通してDNSサーバに問合わせる。ステップS40では、この問合わせの有無を判定する。DNS問合せがなければステップS46に進む。
通信アプリケーション230からのDNS問合わせを検出すると(ステップS40でYES)、通信処理手段208は、DNS問合せで特定されたFQDNが鍵DB220に登録されているか否かを判定する(ステップS42)。ステップS42では、例えば、鍵DB220中の各VPN端末20に対応するレコードのうち、FQDNの項目の値としてDNS問合せで特定されたFQDNを含むレコードが存在するか否かを判定することで行う。
鍵DB220中にDNS問合せで特定されたFQDNを含むレコードが存在しない場合(ステップS42でNO)、通信処理手段208は、DNS問合せを通過させ(ステップS54)、ステップS40に戻って更なるDNS問合わせを待ち受ける。FQDNがレコードに存在しないということは、VPN端末のFQDNではないので、通過したDNS問合せはインターネット上に存在するDNSサーバに送られ、DNSサーバからIPアドレスが返される。
一方、鍵DB220中にDNS問合せで特定されたFQDNを含むレコードが存在すれば(ステップS42でYES)、通信処理手段208は、当該レコードのグローバルIPの項目に登録された値を通信アプリケーション230に返す(ステップS44)。通信処理手段208からグローバルIPを取得すると、通信アプリケーション230は、取得したグローバルIPを送信先IPアドレスとし、自端末のグローバルIPを送信元IPアドレスとするデータパケットを生成する。そして、生成したデータパケットを送信要求とともに通信処理手段208に渡す。
ステップS46では、通信処理手段208は、データパケットを伴う送信要求を通信アプリケーション230から受けたか否かを判定する。送信要求がなければ、ステップS40の判定に戻る。
通信アプリケーションからの送信要求があると(ステップS46でYES)、通信処理手段208は、送信要求に伴うデータパケットに送信先IPアドレスとして含まれるグローバルIPが鍵DB220に登録されているか否かを判定する(ステップS48)。この判定は、例えば、鍵DB220中のレコードのうち、グローバルIPの項目の値として送信先IPアドレスであるグローバルIPを含むレコードが存在するか否かを判定することで行う。
鍵DB220中に送信先IPアドレスのグローバルIPが登録されていなければ(ステップS48でNO)、通信処理手段208は、通信アプリケーション230から受け取ったデータパケットをネットワーク30に対して送出し(ステップS52)、処理はステップS40の判定に戻る。
鍵DB220中に送信先IPアドレスのグローバルIPを含むレコードが存在すれば(ステップS48でYES)、通信処理手段208の暗号化手段2080は、当該レコードの送信鍵の項目に登録されているセッション鍵を用いて、通信アプリケーションから受け取ったデータパケット中のデータ部を暗号化する(ステップS50)。
図12に、ステップS50で生成される暗号化データを含むデータパケットの例を示す。図12(a)は、VPN端末20−1の通信処理手段208が生成するデータパケットであってVPN端末20−2に対して送信されるデータパケットの例である。一方、図12(b)は、VPN端末20−2の通信処理手段208が生成するデータパケットであってVPN端末20−1に対して送信されるデータパケットの例である。図12(a),(b)に例示するデータパケット40は、それぞれ、送信先アドレス部42、送信元アドレス部44、及びデータ部46を備える。図12(a)の例のデータパケット40aの送信先アドレス部42aは、送信先であるVPN端末20−2のグローバルIP「103.22.30.101」を含み、送信元アドレス部44aは、送信元であるVPN端末20−1のグローバルIP「202.111.10.16」を含む。さらに、データパケット40aのデータ部46aは、VPN端末20−1の鍵DB220(図3(a)参照)において、端末ID「002」であるVPN端末20−2に対応づけられた送信鍵「K12」で暗号化されたデータを含む。また、図12(b)の例のデータパケット40bの送信先アドレス部42bは、VPN端末20−1のグローバルIPを含み、送信元アドレス部44bは、VPN端末20−2のグローバルIPを含む。さらに、データ部46bは、VPN端末20−2の鍵DB220(図3(b))において、送信先であるVPN端末20−1(端末ID「001」)に対応づけられた送信鍵「K21」で暗号化されたデータを含む。
図11の説明に戻り、データ部の暗号化(ステップS50)が終了すると、通信処理手段208は、暗号化したデータ部を含むデータパケットをネットワーク30へ送出する(ステップS52)。ステップS52の後、処理はステップS40の判定に戻る。
次に、図13を参照し、VPN端末20が他のVPN端末20などの装置からデータを受信した場合に、VPN端末20のNIF200の通信処理手段208が行う処理の手順の例を説明する。
通信処理手段208は、ネットワーク30を介して自端末宛のデータパケットを受信したか否かを判定する(ステップS60)。データパケットを受信していなければ、ステップS60の判定を繰り返す。
データを受信した場合(ステップS60でYES)、通信処理手段208は、鍵DB220を参照し、受信したデータパケットにおける送信元アドレスをグローバルIPとして含むレコードの有無を判定する(ステップS62)。送信元アドレスをグローバルIPとして含むレコードが鍵DB220中に存在しない場合(ステップS62でNO)、通信処理手段208は、受信したデータパケットをそのまま通信アプリケーションに渡す(ステップS66)。
送信元アドレスをグローバルIPとして含むレコードが鍵DB220中に存在する場合(ステップS62でYES)、当該レコードの受信鍵の項目に登録されているセッション鍵を用いて、受信したデータパケットのデータ部を復号化する(ステップS64)。そして、復号化後のデータ部を含むデータパケットを通信アプリケーションに渡す(ステップS66)。
ステップS66の後、処理はステップS60の判定に戻る。
VPN端末20の通信処理手段208が受信したデータパケットの送信元アドレスが鍵DB220中に登録されたグローバルIPを含む場合、そのデータパケットは、他のVPN端末20のいずれかが送信したものである。この場合、データパケット中のデータ部のデータは、その送信元のVPN端末20がデータパケットを受信したVPN端末20に対して割り当てたセッション鍵を用いて暗号化されている。VPN端末20の鍵DB220には、他の各VPN端末20が自端末に対して割り当てたセッション鍵を「受信鍵」として他の各VPN端末20の端末IDに対応づけて登録している。したがって、図13のステップS62からステップS64に進み、鍵DB220において送信元のVPN端末20に対応づけられた受信鍵を用いてデータを復号化すると、暗号化前のデータが得られる。例えば、VPN端末20−1からVPN端末20−2に対して送信される図12(a)の例のデータパケットをVPN端末20−2が受信して、VPN端末20−2の通信処理手段208で図13の例の手順の処理が行われる場合、ステップS62の判定において、送信元アドレス「202.111.10.16」をグローバルIPとして含む鍵DB220中のレコードが検索される。VPN端末20−2の鍵DB220の例を表す図3(b)の表の当該レコードには、受信鍵として、VPN端末20−1がVPN端末20−2に割り当てたセッション鍵「K12」が登録されている。VPN端末20−1からVPN端末20−2へ送信されるデータパケット40のデータ部46は、このセッション鍵「K12」で暗号化されているので、VPN端末20−2は、このセッション鍵を用いた復号化により暗号化前のデータをVPN端末20−2は取得することになる。
以上で説明した実施形態のVPNシステムの例では、VPN端末20は、それぞれグローバルIPを有する。VPNシステムの他の例では、N台のVPN端末のうちの一部の複数のVPN端末20が、NAPT(Network Address Port Translation)機能を有するルータに接続されて1つのグローバルIPを共有していてもよい。図14に、この例のVPNシステムの構成の例を示す。
図14の例のVPNシステムでは、VPN−DNSサーバ10、NAPTルータ50、及びVPN端末20−1,20−4,…,20−Nがネットワーク30を介して接続される。また、VPN端末20−2及びVPN端末20−3は、NAPTルータ50を介してネットワーク30に接続され、1つのグローバルIPを共有する。NAPTルータ50は、VPN端末20−2及びVPN端末20−3のそれぞれに対して異なるポート番号を割り当てることで、これら各端末が送受信するデータの識別を可能とする。例えば、VPN端末20−2(又は20−3)がデータを送信する場合、各端末からの送信データパケットは、送信元アドレスと送信元ポート番号とを含み、送信元アドレスの値は、VPN端末20−2(又は20−3)のローカルIPアドレス(NAPTルータ50に接続されるVPN端末20の間で一意であるが、ネットワーク30に接続される装置間では重複の可能性のあるIPアドレス)である。NAPTルータ50は、上述のような送信データパケットをVPN端末20−2(又は20−3)から受け取ると、当該送信データパケット中の送信元アドレスをNAPTルータ50のグローバルIPに変換し、送信元ポート番号を各端末に割り当てられたポート番号に変換した上で、ネットワーク30へ送り出す。VPN端末20−2(又は20−3)からのこのような送信データに応じて各端末宛に返信されるデータパケットは、送信先アドレス及び送信先ポート番号として、それぞれ、NAPTルータ50のグローバルIP及び各端末に割り当てられたポート番号を含む。このようなデータパケットを受け取ると、NAPTルータ50は、当該データパケット中の送信先アドレスを、当該データパケット中の送信先ポート番号に対応する端末のローカルIPアドレスに変換して、変換後の送信先アドレスに対して当該データパケットを送信する。これにより、当該データパケットは、対応する送信先のVPN端末20−2(又は20−3)に到達する。
なお、図14の例では、VPN端末20−2,20−3の他のVPN端末20−1,20−4,…,20−Nは、それぞれ、グローバルIPを有する。
図14に例示する構成を有するVPNシステムにおいても、図1の例の構成のVPNシステムの場合と同様に、端末情報登録処理(図7のステップS1、図8)、鍵登録処理(図7のステップS2、図9)、及び鍵取得処理(図7のステップS3、図10)を行うことで、各VPN端末20間の暗号化通信に用いられる共有鍵の交換が実現される。つまり、VPN−DNSサーバ10において、端末情報DB150にN台のVPN端末20のそれぞれの端末情報が登録され、鍵テーブル記憶手段160に鍵テーブルが登録される。また、N台のVPN端末20のそれぞれの鍵DB220には、他のN−1台の各VPN端末20に対応する送信鍵及び受信鍵が登録される。
図15に、図14の例のVPNシステムにおいて端末情報登録処理が実行されたときのVPN−DNSサーバ10の端末情報DB150のデータ内容の例を示す。図15を参照し、端末情報DB150に登録されるレコードの項目は、図5の例の表と同様である。ただし、図15の例の表において、VPN端末20−2,20−3(それぞれ、端末ID「002」,「003」)のグローバルIPの値は、NAPTルータ50のグローバルIP「55.2.104.32」で共通している。
共通のグローバルIPを有するVPN端末20−2,20−3から暗号化データを受信する他のVPN端末20において、暗号化データを復号化するためには、受信したデータパケットの送信元のVPN端末20を特定し、復号化に用いる受信鍵を特定する必要がある。このとき、受信したデータパケット中の送信元アドレスだけでは、グローバルIPを共有するVPN端末20−2,20−3のいずれが送信元の端末であるかを特定できない。したがって、図14の例のVPNシステムにおける各VPN端末20の通信処理手段208は、データを送信する場合、図12に例示するデータパケット40における送信先アドレス部42、送信元アドレス部44、及びデータ部46に加えて、自端末の端末IDを含むデータパケットを生成して送信する。
図16に、図14に例示する各VPN端末20が送信するデータパケットの例を示す。図16は、VPN端末20−2からVPN端末20−1へ送信されるデータパケットの例である。図16を参照し、データパケット60aは、送信先アドレス部62a、送信元アドレス部64a、データ部66a、及び端末ID部68aを含む。送信先アドレス部62aは、データの送信先であるVPN端末20−1のグローバルIP「202.111.10.16」を含む。また、送信元アドレス部64aは、送信元であるVPN端末20−2に接続されるNAPTルータ50のグローバルIP「55.2.104.32」と、NAPTルータ50においてVPN端末20−2に割り当てられたポート番号「p01」と、を含む。この送信元アドレス部62aの値は、NAPTルータ50において上述のような送信元アドレス及びポート番号の変換処理が行われることで設定される。データ部66aは、送信元であるVPN端末20−2が送信先のVPN端末20−1に対して割り当てたセッション鍵「K21」で暗号化される。さらに、データパケット60aの端末ID部68aには、送信元であるVPN端末20−2の端末ID「002」が含まれる。
図16に例示するデータパケット60aを受信したVPN端末20−1は、端末ID部68aに含まれる端末ID「002」を検索キーとして鍵DB220を検索することで、データ部66aの復号化に用いる受信鍵「K21」を取得する。
図16の例のように各VPN端末20が自端末の端末IDを含むデータパケットを送信すると、それを受信した他のVPN端末20は、当該データパケット中の端末IDにより送信元の端末を特定する。したがって、受信したデータパケット中の送信元アドレスのグローバルIPを有するVPN端末20が複数存在する場合であっても、当該データパケットを受信したVPN端末20において、送信元のVPN端末20が特定され、対応する受信鍵が特定される。
また、1つのグローバルIPを共有する複数のVPN端末20のいずれかに対してデータを送信する場合、各VPN端末20の通信処理手段208は、送信先のVPN端末20が用いるグローバルIPに加えて、当該VPN端末20に対してNAPTルータ50が割り当てたポート番号を用いて、送信先のVPN端末20を特定し、送信データの暗号化に用いる送信鍵を特定する。このため、図14の例のVPNシステムにおける各VPN端末20の通信処理手段208は、送信元アドレス部62aにグローバルIPとポート番号とを含むデータパケット60aを受信したときに、鍵DB220において、そのデータパケット60a中の端末ID部68aの端末IDに対応するレコードに送信元アドレス部62a中のポート番号を登録しておく。
図17に、図14の例のVPNシステムの各VPN端末20の鍵DB220のデータ内容の例を示す。図17は、図14に例示するVPN端末20−1の鍵DB220のデータ内容の例である。図17の例の鍵DB220は、各VPN端末20の端末IDに対応づけて、図3の例の表の各項目に加えて、ポート番号の項目を備える。ポート番号の項目の値は、対応するレコードの端末IDを含むデータパケットをVPN端末20−1が受信したときに登録される。例えば、VPN端末20−1が図16の例のデータパケット60aをVPN端末20−2から受信したときに、VPN端末20−1の通信処理手段208は、データパケット60a中の端末ID「002」に対応する鍵DB220のレコードにおいて、データパケット60aの送信元アドレス部64aに含まれるポート番号「p01」をポート番号の項目に設定する。なお、通常は、NAPTルータ配下にある端末はプライベートIPアドレスが割り当てられるので、端末IDをデータパケットに付加するかどうかは、自端末のIPアドレスがグローバルIPアドレスかどうかで判断することが可能である。ただし、NAPTルータ配下にグローバルIPアドレスを割り当てる可能性があるので、そのような場合は、全ての端末がデータパケットに端末IDを付加することで、正しく暗号化および復号化の処理を行うことができる。
以下、VPN端末20−1がVPN端末20−2から図16の例のデータパケット60aを受信し、その受信データパケットに応答してVPN端末20−2に対してデータを送信する場合の処理の例を説明する。なお、データの受信時及び送信時の通信処理手段208における基本的な処理の手順は、それぞれ図13及び図11に例示するフローチャートと同様である。
まず、データ受信時の処理の例を説明する。図16の例のデータパケット60aを受信すると、VPN端末20−1の鍵DB220において、上述のように、端末ID「002」のレコードにポート番号「p01」が登録される(図17)。この登録は、例えば、図13の例の手順において、ステップS62の判定でYESに進んだ後、データの復号化(ステップS64)の前に行う。さらに、VPN端末20−1の通信処理手段208の復号化手段2082は、端末ID「002」に対応する受信鍵「K21」でデータパケット60aのデータ部66aを復号化し(ステップS64)、通信処理手段208は、復号化後のデータパケット60aを通信アプリケーションに渡す(ステップS66)。
これに応じて、通信アプリケーションは、VPN端末20−2に対する応答として送信するデータパケットを生成し、生成したデータパケットを伴う送信要求を通信処理手段208に対して行う。このデータパケットは、送信先アドレス及び送信先のポート番号として、VPN端末20−2から受信した図16のデータパケット60aにおける送信元アドレス部64a中の送信元アドレス「55.2.104.32」及びポート番号「p01」を含む。また、送信元アドレスとしてVPN端末20−1のグローバルIP「202.111.10.16」を含む。通信処理手段208は、通信アプリケーションから送信要求と共に受け取った当該データパケットに自装置の端末ID「001」を追加する。そして、通信処理手段208は、送信データを暗号化するためのセッション鍵を鍵DB220から取得する。このとき、通信処理手段208は、当該データパケットに含まれる送信先アドレス「55.2.104.32」及び送信先のポート番号「p01」の組を含むレコードを鍵DB220から検索し、検索結果のレコードに登録された送信鍵を取得する。本例では、図17の例の表の端末ID「002」のレコードの送信鍵「K12」が取得される。この送信鍵「K12」を用いて、通信処理手段208の暗号化手段2080は、当該データパケット中の送信データを暗号化する。
図18に、暗号化後の当該データパケットの例を示す。図18の例のデータパケット60bの送信先アドレス部62bは、受信したデータパケット60a(図16)の送信元アドレス部64aと同様の値(IPアドレス及びポート番号)を含む。送信元アドレス部64b及び端末ID部68bには、それぞれ、自端末のグローバルIP及び端末IDが含まれる。データ部66bは、VPN端末20−1がVPN端末20−2に割り当てたセッション鍵「K12」で暗号化されている。
なお、送信するデータパケットに対する上述の一連の処理は、例えば、図11に例示する手順のステップS50で行う。
以上で説明したように、受信したデータパケット中の送信元ポート番号を送信元のVPN端末20の端末IDに対応づけて鍵DB220に記憶しておくと、データを送信する際に、送信するデータパケットの送信先のグローバルIPとポート番号との組を検索キーとして鍵DB220を検索することで送信先のVPN端末20が特定される。
また、VPNシステムの構成の他の例として、例えば、各VPN端末20がVPNゲートウエイ装置として機能し、各VPN端末20に接続される配下端末における通信パケットのトンネリングを行ってもよい。図19に、この例のVPNシステムの構成の概略の例を示す。図19を参照し、各VPN端末20は、複数の配下端末70に接続される。各VPN端末20は、自端末に接続された配下端末70が他のVPN端末20に接続された配下端末70に対してデータを送信する場合、送信データパケットに対して、当該パケットを記述する第1の通信プロトコルと異なる第2の通信プロトコルのヘッダ情報を付加し、当該第2の通信プロトコルによるデータパケットとしてカプセル化した上で、送信データパケットを送信する。このカプセル化されたデータパケットを受け取った他のVPN端末20は、第2の通信プロトコルによるヘッダ情報を取り除いて第1の通信プロトコルによるデータパケットに戻してカプセル化を解除した上で、自己の配下端末70に当該データパケットを渡す。図19の例では、各VPN端末20は、複数の配下端末70とネットワーク30との間の接続を仲介するルータとして機能する。図19の例の構成のVPNシステムにおいても、図1の例の構成のVPNシステムの場合と同様に、端末情報登録処理(図7のステップS1、図8)、鍵登録処理(図7のステップS2、図9)、及び鍵取得処理(図7のステップS3、図10)を行うことで、各VPN端末20間の暗号化通信に用いられる共有鍵の交換が実現される。
なお、以上で説明した各種の実施形態の処理の例では、各VPN端末20は、自装置が他のVPN端末20に対して送信する情報の暗号化に用いる送信鍵を生成してVPN−DNSサーバ10に登録し、他のVPN端末20が自装置に対して割り当てた送信鍵を、当該他のVPN端末20が自装置に対して送信する暗号化情報の復号化に用いる受信鍵としてVPN−DNSサーバ10から取得する。他の処理の例では、上述の各種の実施形態において、各VPN端末20は、他の各VPN端末20から自装置が受信する暗号化情報の復号化に用いる受信鍵を生成してVPN−DNSサーバ10に登録し、他のVPN端末20が自装置に対して割り当てた受信鍵を、当該他のVPN端末20に対して自装置が送信する情報の暗号化に用いる送信鍵としてVPN−DNSサーバ10から取得してもよい。さらに他の例では、上述の各種の実施形態の処理により各VPN端末20間で交換された送信鍵・受信鍵から各VPN端末20間の共通鍵を生成し、生成した共通鍵により送信情報の暗号化及び受信情報の復号化を行ってもよい。
以上に例示したVPN端末20は、典型的には、汎用のコンピュータにて上述のVPN端末20の各手段の機能又は処理内容を記述したプログラムを実行することにより実現される。コンピュータは、例えば、ハードウエアとして、図18に示すように、CPU(中央演算装置)80、メモリ(一次記憶)82、各種I/O(入出力)インタフェース84等がバス86を介して接続された回路構成を有する。また、そのバス86に対し、例えばI/Oインタフェース84経由で、HDD(ハードディスクドライブ)88やCDやDVD、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体を読み取るためのディスクドライブ90が接続される。このようなドライブ88又は90は、メモリに対する外部記憶装置として機能する。実施形態の処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク経由で、HDD88等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがメモリに読み出されCPUにより実行されることにより、実施形態の処理が実現される。VPN−DNSサーバ10についても同様である。
VPNシステムの構成の概略の例を示す図である。 VPN端末の内部構成の概略の例を示すブロック図である。 鍵DBのデータ内容の例を示す図である。 VPN−DNSサーバの内部構成の概略の例を示すブロック図である。 端末情報DBのデータ内容の例を示す図である。 鍵テーブルの内容の例を示す図である。 VPNシステムにおける処理の手順の例を示す図である。 端末情報登録処理の手順の例を示す図である。 鍵登録処理の手順の例を示す図である。 鍵取得処理の手順の例を示す図である。 VPN端末の通信処理手段がデータ送信時に行う処理の手順の例を示すフローチャートである。 VPN端末が送信するデータパケットの構成の例を示す図である。 VPN端末の通信処理手段がデータ受信時に行う処理の手順の例を示すフローチャートである。 VPNシステムの構成の概略の他の一例を示す図である。 端末情報DBのデータ内容の他の一例を示す図である。 VPN端末が送信するデータパケットの構成の他の一例を示す図である。 鍵DBのデータ内容の他の一例を示す図である。 VPN端末が送信するデータパケットの構成の他の一例を示す図である。 VPNシステムの構成の概略の他の一例を示す図である。 コンピュータのハードウエア構成の例を示す図である。
符号の説明
10 VPN−DNSサーバ、20 VPN端末、30 ネットワーク、50 NAPTルータ、70 配下端末、80 CPU、82 メモリ、84 I/Oインタフェース、86 バス、88 HDD、90 ディスクドライブ、100 受信手段、110 送信手段、120 制御手段、130 端末情報登録手段、140 鍵処理手段、142 鍵登録手段、144 鍵送信手段、150 端末情報DB、160 鍵テーブル記憶手段、170 証明書関連情報記憶手段、200 NIF、202 自端末情報登録処理手段、204 鍵登録処理手段、206 鍵取得処理手段、208 通信処理手段、210 基本情報記憶手段、220 鍵DB、230 通信アプリケーション、2080 暗号化手段、2082 復号化手段。

Claims (7)

  1. 通信手段を介して接続された管理装置から、前記管理装置に接続された他の複数の情報処理装置に関する情報であって前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスを含む情報を取得する他装置情報取得手段と、
    前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスに対応づけて、当該情報処理装置と自装置との間の暗号化通信に用いる鍵を記憶手段に登録する鍵登録手段と、
    前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信する鍵送信手段と、
    前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって自装置に対応づけられた鍵を前記管理装置から取得する鍵取得手段と、
    を備え、
    前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した鍵を、当該情報処理装置の識別情報及びIPアドレスに対応づけて前記記憶手段に登録し、
    前記他の複数の情報処理装置のうちの1つに対して、この情報処理装置の識別情報に対応づけて前記記憶手段に記憶された鍵を用いて暗号化した情報を送信する暗号化情報送信手段であって、自装置のIPアドレス及び識別情報を前記暗号化した情報と共に送信する暗号化情報送信手段と、
    送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合に、受信した識別情報に対応づけて前記記憶手段に記憶された鍵を用いて、前記暗号化された情報を復号化する復号化手段と、
    をさらに備え、
    送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合であって、さらに、受信したIPアドレスに対応づけられたポート番号を受信した場合に、受信したポート番号を、受信したIPアドレス及び識別情報に対応づけて前記記憶手段に登録し、
    前記暗号化情報送信手段は、情報の送信先の情報処理装置のIPアドレス及びポート番号を用いて、前記記憶手段において当該送信先の情報処理装置の識別情報に対応づけられた鍵を特定する、
    ことを特徴とする情報処理装置。
  2. 前記鍵登録手段は、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置に対して自装置が送信する情報の暗号化に用いる送信用鍵を記憶手段に登録する送信用鍵登録手段を備え、
    前記鍵送信手段は、前記他の複数の情報処理装置それぞれに対応づけられた送信用鍵を前記管理装置に送信し、
    前記鍵取得手段は、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した前記送信用鍵であって自装置に対応づけられた送信用鍵を前記管理装置から取得し、
    前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した送信用鍵を、当該情報処理装置から自装置が受信する情報の復号化に用いる受信用鍵として当該情報処理装置に対応づけて前記記憶手段に登録する受信用鍵登録手段を備え、
    前記暗号化情報送信手段は、前記他の複数の情報処理装置のうちの1つに対して送信する情報を、この情報処理装置に対応づけて前記記憶手段に記憶された送信用鍵を用いて暗号化し、
    前記復号化手段は、前記受信した識別情報に対応づけて前記記憶手段に記憶された受信用鍵を用いて、前記暗号化された情報を復号化する、
    ことを特徴とする請求項1に記載の情報処理装置。
  3. 前記鍵登録手段は、前記他の複数の情報処理装置それぞれに対応づけて、当該情報処理装置から自装置が受信する情報の復号化に用いる受信用鍵を記憶手段に登録する受信用鍵登録手段を備え、
    前記鍵送信手段は、前記他の複数の情報処理装置それぞれに対応づけられた前記受信用鍵を前記管理装置に送信し、
    前記鍵取得手段は、前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した前記受信用鍵であって自装置に対応づけられた受信用鍵を前記管理装置から取得し、
    前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した受信用鍵を、当該情報処理装置に対して自装置が送信する情報の暗号化に用いる送信用鍵として当該情報処理装置に対応づけて前記記憶手段に登録する送信用鍵登録手段を備え、
    前記暗号化情報送信手段は、前記他の複数の情報処理装置のうちの1つに対して送信する情報を、この情報処理装置に対応づけて前記記憶手段に記憶された送信用鍵を用いて暗号化し、
    前記復号化手段は、前記受信した識別情報に対応づけて前記記憶手段に記憶された受信用鍵を用いて、前記暗号化された情報を復号化する、
    ことを特徴とする請求項1に記載の情報処理装置。
  4. 前記管理装置に対して、自装置に関する情報を送信する自装置情報送信手段、
    をさらに備えることを特徴とする請求項1からのいずれか1項に記載の情報処理装置。
  5. 前記自装置情報送信手段は、前記自装置に関する情報に変更が生じた場合に、この変更後の情報を前記管理装置に対して送信する、
    ことを特徴とする請求項に記載の情報処理装置。
  6. 複数の情報処理装置と、前記複数の情報処理装置に通信手段を介して接続された管理装置と、を備え、
    前記複数の情報処理装置のそれぞれにおいて、
    自装置の他の前記複数の情報処理装置に関する情報であって前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスを含む情報を前記管理装置から取得する他装置情報取得手段と、
    前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスに対応づけて、当該情報処理装置と自装置との間の暗号化通信に用いる鍵を記憶手段に登録する鍵登録手段と、
    前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信する鍵送信手段と、
    前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって自装置に対応づけられた鍵を前記管理装置から取得する鍵取得手段と、を備え、
    前記鍵登録手段は、さらに、前記他の複数の情報処理装置のそれぞれについて前記鍵取得手段で取得した鍵を、当該情報処理装置の識別情報及びIPアドレスに対応づけて前記記憶手段に登録し、
    前記他の複数の情報処理装置のうちの1つに対して、この情報処理装置の識別情報に対応づけて前記記憶手段に記憶された鍵を用いて暗号化した情報を送信する暗号化情報送信手段であって、自装置のIPアドレス及び識別情報を前記暗号化した情報と共に送信する暗号化情報送信手段と、
    送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合に、受信した識別情報に対応づけて前記記憶手段に記憶された鍵を用いて、前記暗号化された情報を復号化する復号化手段と、
    をさらに備え、
    送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合であって、さらに、受信したIPアドレスに対応づけられたポート番号を受信した場合に、受信したポート番号を、受信した識別情報及びIPアドレスに対応づけて前記記憶手段に登録し、
    前記暗号化情報送信手段は、情報の送信先の情報処理装置のIPアドレス及びポート番号を用いて、前記記憶手段において当該送信先の情報処理装置の識別情報に対応づけられた鍵を特定し、
    前記管理装置は、
    前記複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置に関する情報を送信する装置情報送信手段と、
    前記複数の情報処理装置のそれぞれから、当該情報処理装置の他の複数の情報処理装置それぞれとの間の暗号化通信に用いる鍵を取得する鍵取得手段と、
    前記複数の情報処理装置のそれぞれに対して、当該情報処理装置の他の情報処理装置のそれぞれが当該情報処理装置との間の暗号化通信に用いる鍵を送信する鍵送信手段と、を備える、
    ことを特徴とする通信システム。
  7. コンピュータに、
    通信手段を介して接続された管理装置から、前記管理装置に接続された他の複数の情報処理装置に関する情報であって前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスを含む情報を取得するステップと、
    前記他の複数の情報処理装置それぞれの識別情報及びIPアドレスに対応づけて、当該情報処理装置と前記コンピュータとの間の暗号化通信に用いる鍵を記憶手段に登録するステップと、
    前記他の複数の情報処理装置それぞれに対応づけられた鍵を前記管理装置に送信するステップと、
    前記他の複数の情報処理装置のそれぞれが前記管理装置に送信した鍵であって前記コンピュータに対応づけられた鍵を前記管理装置から取得するステップと、
    前記他の複数の情報処理装置のそれぞれについて取得した鍵を、当該情報処理装置の識別情報及びIPアドレスに対応づけて前記記憶手段にさらに登録するステップと、
    前記他の複数の情報処理装置のうちの1つに対して、この情報処理装置の識別情報に対応づけて前記記憶手段に記憶された鍵を用いて暗号化した情報を送信するステップであって、自装置のIPアドレス及び識別情報を前記暗号化した情報と共に送信するステップと、
    送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合に、受信した識別情報に対応づけて前記記憶手段に記憶された鍵を用いて、前記暗号化された情報を復号化するステップと、
    送信元の情報処理装置のIPアドレス及び識別情報と共に、暗号化された情報を受信した場合であって、さらに、受信したIPアドレスに対応づけられたポート番号を受信した場合に、受信したポート番号を、受信した識別情報及びIPアドレスに対応づけて前記記憶手段に登録するステップと、
    を実行させ、
    前記暗号化した情報を送信するステップにおいて、情報の送信先の情報処理装置のIPアドレス及びポート番号を用いて、前記記憶手段において当該送信先の情報処理装置の識別情報に対応づけられた鍵を特定する、
    ことを特徴とするプログラム。
JP2008246851A 2008-09-25 2008-09-25 情報処理装置、通信システム、及びプログラム Expired - Fee Related JP4692600B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008246851A JP4692600B2 (ja) 2008-09-25 2008-09-25 情報処理装置、通信システム、及びプログラム
US12/389,059 US20100077204A1 (en) 2008-09-25 2009-02-19 Information processing apparatus, management apparatus, communication system and computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008246851A JP4692600B2 (ja) 2008-09-25 2008-09-25 情報処理装置、通信システム、及びプログラム

Publications (2)

Publication Number Publication Date
JP2010081266A JP2010081266A (ja) 2010-04-08
JP4692600B2 true JP4692600B2 (ja) 2011-06-01

Family

ID=42038812

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008246851A Expired - Fee Related JP4692600B2 (ja) 2008-09-25 2008-09-25 情報処理装置、通信システム、及びプログラム

Country Status (2)

Country Link
US (1) US20100077204A1 (ja)
JP (1) JP4692600B2 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5095900B2 (ja) * 2000-04-26 2012-12-12 バーネットエックス インコーポレーティッド 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良
US9413882B2 (en) * 2009-02-27 2016-08-09 Blackberry Limited System and method for enabling encrypted voice communications between an external device and telephony devices associated with an enterprise network
KR101831775B1 (ko) 2010-12-07 2018-02-26 삼성전자주식회사 멀티미디어 컨텐츠를 송수신하는 송신 장치 및 수신 장치와, 그 재생 방법
KR20120063451A (ko) * 2010-12-07 2012-06-15 삼성전자주식회사 컨텐츠를 구성하는 데이터를 송신하는 송신 장치와 그 데이터를 수신하여 처리하는 수신 장치 및 그 방법
JP5367917B2 (ja) * 2011-01-25 2013-12-11 三洋電機株式会社 車載器
JP5621639B2 (ja) * 2011-02-08 2014-11-12 村田機械株式会社 中継サーバ及び中継通信システム
US8806609B2 (en) 2011-03-08 2014-08-12 Cisco Technology, Inc. Security for remote access VPN
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US10110417B1 (en) 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10880162B1 (en) * 2012-07-06 2020-12-29 Cradlepoint, Inc. Linking logical broadcast domains
US9438564B1 (en) * 2012-09-18 2016-09-06 Google Inc. Managing pooled VPN proxy servers by a central server
EP3078173B1 (en) * 2013-12-02 2021-03-17 Akamai Technologies, Inc. Virtual private network (vpn)-as-a-service with delivery optimizations while maintaining end-to-end data security
US9813343B2 (en) 2013-12-03 2017-11-07 Akamai Technologies, Inc. Virtual private network (VPN)-as-a-service with load-balanced tunnel endpoints
JP6385842B2 (ja) * 2015-02-02 2018-09-05 株式会社東芝 情報処理端末、情報処理方法、及び情報処理システム
US10242062B2 (en) 2015-02-20 2019-03-26 Threatstop, Inc. Normalization and extraction of log data
JP6282779B2 (ja) * 2015-03-24 2018-02-21 株式会社東芝 管理装置、プログラム、システムおよび方法
US10361920B2 (en) * 2015-04-01 2019-07-23 Threatstop, Inc. Domain name system based VPN management
US10567347B2 (en) 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service
US10601779B1 (en) * 2016-06-21 2020-03-24 Amazon Technologies, Inc. Virtual private network (VPN) service backed by eventually consistent regional database
US10257167B1 (en) 2016-06-21 2019-04-09 Amazon Technologies, Inc. Intelligent virtual private network (VPN) client configured to manage common VPN sessions with distributed VPN service
JP7535714B2 (ja) 2021-02-24 2024-08-19 パナソニックIpマネジメント株式会社 情報処理システム、機器、およびサーバ

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000059357A (ja) * 1998-08-07 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> 閉域グループ通信システム,管理サーバ装置および通信端末,ならびにそれらのプログラム記憶媒体
JP2005057479A (ja) * 2003-08-04 2005-03-03 Nagaaki Ooyama Vpn通信システム
JP2006324830A (ja) * 2005-05-18 2006-11-30 Nec Corp 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム
JP2007188166A (ja) * 2006-01-11 2007-07-26 Canon Inc アドレス帳配信システムおよびプログラム
JP2008004992A (ja) * 2006-06-20 2008-01-10 Mitsubishi Electric Corp 鍵利用装置及び鍵利用方法及びプログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1014618A1 (en) * 1998-07-30 2000-06-28 Sony Corporation Content processing system
CA2416092C (en) * 2000-07-14 2011-01-04 Irdeto Access B.V. Secure packet-based data broadcasting architecture
GB2409090B (en) * 2001-04-06 2005-08-17 Freedom Card Ltd Payment system
JP2003101523A (ja) * 2001-09-21 2003-04-04 Fujitsu Ltd 秘匿機能を有する通信ネットワーク・システムおよび通信方法
US7146009B2 (en) * 2002-02-05 2006-12-05 Surety, Llc Secure electronic messaging system requiring key retrieval for deriving decryption keys
US7849305B2 (en) * 2002-08-26 2010-12-07 Axxian Technologies, Inc. Method and apparatus for sharing data between a server and a plurality of clients
US7412059B1 (en) * 2002-11-27 2008-08-12 Voltage Security, Inc. Public-key encryption system
JP2004186814A (ja) * 2002-11-29 2004-07-02 Fujitsu Ltd 共通鍵暗号化通信システム
JP2004266342A (ja) * 2003-02-03 2004-09-24 Sony Corp 無線アドホック通信システム、端末、その端末における復号方法、暗号化方法及びブロードキャスト暗号鍵配布方法並びにそれらの方法を端末に実行させるためのプログラム
JP3761557B2 (ja) * 2004-04-08 2006-03-29 株式会社日立製作所 暗号化通信のための鍵配付方法及びシステム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000059357A (ja) * 1998-08-07 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> 閉域グループ通信システム,管理サーバ装置および通信端末,ならびにそれらのプログラム記憶媒体
JP2005057479A (ja) * 2003-08-04 2005-03-03 Nagaaki Ooyama Vpn通信システム
JP2006324830A (ja) * 2005-05-18 2006-11-30 Nec Corp 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム
JP2007188166A (ja) * 2006-01-11 2007-07-26 Canon Inc アドレス帳配信システムおよびプログラム
JP2008004992A (ja) * 2006-06-20 2008-01-10 Mitsubishi Electric Corp 鍵利用装置及び鍵利用方法及びプログラム

Also Published As

Publication number Publication date
US20100077204A1 (en) 2010-03-25
JP2010081266A (ja) 2010-04-08

Similar Documents

Publication Publication Date Title
JP4692600B2 (ja) 情報処理装置、通信システム、及びプログラム
JP5346107B2 (ja) インターネットのための対称鍵配信フレームワーク
JP4101839B2 (ja) セッション制御サーバ及び通信システム
JP2020080530A (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
JP4707992B2 (ja) 暗号化通信システム
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
US20020035685A1 (en) Client-server system with security function intermediary
JP4130809B2 (ja) 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム
CN111064569B (zh) 可信计算集群的集群密钥获取方法及装置
WO2010017025A2 (en) Secure resource name resolution
TW200534653A (en) Communication system using TCP/IP protocols
JP5012173B2 (ja) 暗号通信処理方法及び暗号通信処理装置
JP2005295038A (ja) 提供装置、提供方法、通信装置、通信方法、及び、プログラム
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
US7526560B1 (en) Method and apparatus for sharing a secure connection between a client and multiple server nodes
JP4190521B2 (ja) マルチプロトコルアドレス登録方法、マルチプロトコルアドレス登録システム、マルチプロトコルアドレス登録サーバおよびマルチプロトコルアドレス通信端末
US20090055917A1 (en) Authentication method and authentication system using the same
CN114186213B (zh) 基于联邦学习的数据传输方法及装置、设备和介质
JP4199779B2 (ja) 秘密鍵生成装置および秘密鍵生成方法
KR20150060050A (ko) 네트워크 장치 및 네트워크 장치의 터널 형성 방법
JP2005086428A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP6319817B2 (ja) 検証装置及び電子証明書検証方法
JP2009535875A (ja) ネットワークにおけるノードの識別
JP2005229435A (ja) リゾルバをアプリケーションとは別に備えた端末及びリゾルバプログラム
JP4330014B2 (ja) プロトコル代理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110125

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110207

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140304

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees