JP4707992B2 - 暗号化通信システム - Google Patents

暗号化通信システム Download PDF

Info

Publication number
JP4707992B2
JP4707992B2 JP2004308395A JP2004308395A JP4707992B2 JP 4707992 B2 JP4707992 B2 JP 4707992B2 JP 2004308395 A JP2004308395 A JP 2004308395A JP 2004308395 A JP2004308395 A JP 2004308395A JP 4707992 B2 JP4707992 B2 JP 4707992B2
Authority
JP
Japan
Prior art keywords
frame
server
key
client
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004308395A
Other languages
English (en)
Other versions
JP2006121510A (ja
Inventor
一峰 的場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004308395A priority Critical patent/JP4707992B2/ja
Priority to US11/050,660 priority patent/US7650500B2/en
Publication of JP2006121510A publication Critical patent/JP2006121510A/ja
Application granted granted Critical
Publication of JP4707992B2 publication Critical patent/JP4707992B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、第1ネットワークと第2ネットワークとを接続する通信中継装置を備え、第1ネットワーク内のクライアントと第2ネットワーク内のサーバとの間で、前記通信中継装置を経由して通信するように構成されたネットワークシステムにおいて、第1ネットワーク内と第2ネットワーク内の両通信を暗号化する暗号化通信システムに関する。
遠隔地にあるクライアントがインターネットを経由して、イントラネット内のホスト/サーバとの通信を行う、いわゆるリモートアクセスのための技術として、認証・データ通信を暗号化可能なVPN(Virtual Private Network)技術が用いられている。
VPNでは、イントラネット内のホスト/サーバと遠隔地にあるクライアントが直接通信できるような仕組みを提供している。一般的なリモートアクセスの実現方法は、インターネットとイントラネットとの接続点にVPNゲートウェイ装置を設置し、クライアントとVPNゲートウェイとの間に仮想的な線(VPNトンネル)を作成することである(図10参照)。
このような暗号化をするVPN構成技術としてはIPSec(Security Architecture for Internet Protocol)やSSL-VPN(Secure Socket Layer VPN)等がある。
VPNトンネルによって遠隔地間をインターネット経由で接続する場合、公衆網を経由していることから、悪意のある人間によって盗聴・改ざん・なりすまし等の攻撃を受ける可能性がある。これらの攻撃からトラヒックを守るため、認証・データ通信に関わらず、インターネット内を通過するフレームを常に暗号化する必要がある。
VPNトンネル内のトラヒックを暗号化するために、VPNゲートウェイ装置とクライアントは、暗号化セッションを作成し、該セッションを通過するトラヒックを暗号・復号化する機能を持つ。
つまり、暗号化側装置では送信するフレームのデータを解読不可能なビット列に変換し、復号化側装置において該データを解読可能なビット列に戻すことになる。このフレームのデータを変換するルールとして使うビット列を「鍵」と呼ぶ。
上記の鍵を利用した暗号化VPNの通信は大きく2つのフェーズに分類することができる。認証フェーズとデータ通信フェーズである。認証フェーズでは、認証、及びデータ通信フェーズで利用する鍵の決定等の処理が行われる。データ通信フェーズでは、認証フェーズで決定した鍵を利用し、暗号化したフレームを送受信等の処理が行われる。
「鍵」があればデータ通信フェーズの暗号化通信を解読できるため、フレームの送受信ホスト以外の端末に「鍵」の漏洩を防ぐことが暗号化VPN技術の必須条件である。
このような条件を満たしながらクライアントとVPNゲートウェイ間で共通鍵を共有する方法として、例えば公開鍵暗号化方式などの技術がある。
公開鍵暗号化方式は、暗号鍵と復号鍵の2つの鍵を用意し、暗号鍵は一般に公開し(公開鍵)復号鍵は公開せずに保持しておく(秘密鍵)ことで、鍵の解読を防ぐことができる暗号化方式である。
これとは別に、暗号化・復号化処理の両方に使える鍵を用意する、共通鍵暗号化方式というものがある。共通鍵暗号化方式は、通信をする2ホスト間で鍵情報を交換し、同一の鍵を共有する(共通鍵)ことで暗号化・復号化をする暗号化方式である。
公開鍵暗号化方式は共通鍵暗号化方式と比べて、暗号化・復号化処理の負荷が高いため、暗号化・復号化処理の回数が多いデータ通信フェーズでは共通鍵暗号化方式が利用されている。各方式における鍵交換アルゴリズムについては、各種文献に記載がある(例えば非特許文献1及び2参照)。本発明は、上記のようなVPNにおける認証・データ通信の暗号化技術に関するものである。
なお、VPNの利用方法には、上記のような「リモートアクセスVPN」以外にも、複数の物理的な離れたネットワークをあたかも一つのネットワークであるかのように見せる、「拠点間VPN」と呼ばれる利用形態もある(図11参照)。
以降の説明は「リモートアクセスVPN」を前提に説明を行うが、「拠点間VPN」における本発明の適用を制限するものではない。
(従来技術)
現在、企業・官公庁等の組織内部の情報化が進んでおり、顧客の個人情報等、組織内の一部メンバーのみアクセス可能な情報をイントラネット内のサーバに記録する組織が増加してきている。
従って、VPNによるインターネット内の暗号化だけでは、セキュリティ対策として不十分であり、イントラネット内部のトラヒックも暗号化し、悪意のある攻撃から情報を保護する必要がある。
上記のように、イントラネット・インターネット両方の暗号化を実現する場合、VPNゲートウェイとクライアント間のセッションの暗号化に加えて、下記の何れかの暗号化も行うことになる。
従来技術1(図12参照)の場合、認証フェーズにおいてクライアントとVPNゲートウェイ間、VPNゲートウェイとサーバの間のそれぞれにおいて暗号化セッションが作成される。データ通信フェーズにおいては、VPNゲートウェイがクライアントからフレームを受信すると、クライアント側の共通鍵で一度復号化し、サーバ側の共通鍵で暗号化してから、サーバに該フレームを送信する。VPNゲートウェイがサーバからフレームを受信したときは、サーバ側の共通鍵でフレームの復号化をおこなってから、クライアント側の共通鍵でフレームを暗号化して、クライアントに該フレームを送信する。
従来技術2(図13参照)の場合、認証フェーズにおいてクライアントとVPNゲートウェイ間、クライアントとサーバの間のそれぞれにおいて暗号化セッションが作成される。データ通信フェーズにおいては、VPNゲートウェイがクライアントからフレームを受信すると、クライアント側の共通鍵で復号化して、サーバに該フレームを送信する。VPNゲートウェイがサーバからフレームを受信したときは、クライアント側の共通鍵でフレームを暗号化して、クライアントに該フレームを送信する。
このように、従来技術1及び2のどちらのVPNゲートウェイにおいても、データ通信フェーズに通過する全フレームの暗号化、復号化処理が必要となる。
VPNゲートウェイは、インターネットとイントラネットの境界にあるため、ネットワーク上のトラヒックが集中しやすい位置にある。
さらに、クライアント・サーバの高性能化により1つのホストが処理できる情報の量が増加していること、インターネットを利用するユーザ数の増加していることから、今後もより多くのトラヒックがVPNゲートウェイを通過するものと考えられる。
暗号化・復号化の処理はもともと計算量が多く、多くのCPUリソースを消費する処理の
一つであり、前記のようにVPNゲートウェイは、自身を通過する全てのフレームに対して、このような暗号・復号化処理を行っている。
従って、VPNゲートウェイにトラヒックが集中すると、VPNゲートウェイの暗号・復号化処理がエンドホスト間通信におけるボトルネックになるという問題がある。
なお、その他、本発明に関連すると考えられるものとして、次のものがある(非特許文献1及び2参照)。
マスタリングIPSec", 馬場 達也 著, オライリー・ジャパン HYPERLINK "http://www.ipa.go.jp/security/pki/index.html" http://www.IPa.go.jp/security/pki/index.html(情報処理振興事業協会セキュリティセンター PKI関連技術解説)
本発明は、上述のようなVPNゲートウェイのスケーラビリティ/性能に関する問題点に鑑みてなされたものであり、第1ネットワーク(例えばインターネット)及び第2ネットワーク(例えばイントラネット)を接続する通信中継装置(例えばVPNゲートウェイ)における暗号化・復号化処理の負荷を軽減するための技術を提供することにある。
本発明は、上記課題を解決するためになされたものであり、次の構成を採る。
第1ネットワークと第2ネットワークとを接続する通信中継装置を備え、第1ネットワーク内のクライアントと第2ネットワーク内のサーバとの間で、前記通信中継装置を経由して通信するように構成されたネットワークシステムにおいて、第1ネットワーク内と第2ネットワーク内の両通信を暗号化する暗号化通信システムであって、前記通信中継装置が、前記クライアントとの間で暗号鍵と復号鍵を作成する鍵作成手段と、前記暗号鍵と復号鍵を、前記サーバに送信する鍵転送手段と、を備え、前記サーバが、前記復号鍵を使って受信フレームを復号化するフレーム受信手段と、前記暗号鍵を使ってフレームを暗号化して送信するフレーム送信手段と、を備える暗号化通信システム。
本発明によれば、(例えば、第1実施形態で説明するように、認証フェーズで、)通信中継装置(例えば実施形態中のVPNゲートウェイ30)がサーバに暗号鍵・復号鍵を転送する。このため、その後のデータ通信フェーズで、サーバとクライアントとの間で(通信中継装置が暗号化・復号化処理を行うことなく)暗号化・復号化処理を行うことが可能となる。これにより、データ通信フェーズにおける通信中継装置の暗号化・復号化処理が不要となる。従って、データ通信フェーズにおける通信中継装置の処理負荷を軽減させることが可能になる。
上記暗号化通信システムにおいては、例えば、前記通信中継装置が、前記クライアントとサーバとの間の暗号化セッションを識別するセッション識別子を作成する識別子作成手段と、前記セッション識別子を前記クライアント及びサーバに送信する識別子転送手段と、受信フレームからセッション識別子を抽出する識別子抽出手段と、前記受信フレームか
ら抽出されたセッション識別子とその受信フレームの送信元アドレスとに基づいて、前記クライアント又はサーバ宛てに受信フレームを転送するフレーム転送手段と、を備え、前記サーバ及びクライアントが、暗号化済みのフレームに前記セッション識別子を付与して送信する。
このように、暗号化セッションを一意に識別するセッション識別子を導入すれば、通信中継装置が暗号化セッションを識別可能となるため、クライアントから直接サーバにアクセスできない(例えばIPアドレスを参照できない)状況においても、通信が可能になる。
上記暗号化通信システムにおいては、例えば、前記通信中継装置が、ユーザごとの前記第2ネットワークへのアクセス許可情報と前記サーバへのアクセス許可情報とを保持するアクセス許可保持手段と、アクセス許可もしくはアクセス拒否を通知するフレームを送信するアクセス認証通知手段と、を備え、前記通信中継装置装置が、前記クライアントからユーザの認証データを受信すると、該ユーザに対する前記第2ネットワークへのアクセス許可情報と前記サーバへのアクセス許可情報とに基づいて、前記第2のネットワークへのアクセス認証と前記サーバへのアクセス認証を行う。
このようにすれば、クライアントと通信中継装置との間、及び通信中継装置とサーバとの間におけるアクセスリクエストとその応答フレームが不要となる。このため、通信中継装置の暗号化・復号化処理をより軽減することが可能となる。
上記暗号化通信システムにおいては、例えば、前記通信中継装置が、前記鍵作成手段及び鍵転送手段に代えて、鍵転送フレームを転送する鍵透過転送手段を備え、前記サーバが、前記クライアントとの間で暗号鍵と復号鍵を作成する鍵作成機能を備え、前記通信中継装置が前記クライアントから共通鍵を受信すると、前記鍵透過転送手段が前記サーバに該共通鍵を転送し、前記通信中継装置が前記鍵作成手段から共通鍵を受信すると、前記鍵透過転送手段が前記クライアントに該共通鍵を転送する。
このようにすれば、クライアントとサーバとの間で暗号鍵及び復号鍵を生成するため、通信中継装置が鍵の生成処理をする必要がなくなる。これにより、特にサーバ及びクライアントの台数が多く、通信中継装置にトラヒックが集中する時であっても、通信中継装置の負荷を軽減させることが可能となる。
上記暗号化通信システムにおいては、例えば、前記通信中継装置が、前記サーバとの間に予め暗号化セッションを作成する事前セッション作成手段と、前記作成済み暗号化セッションの識別子を保持する作成済セッション保持部と、を備え、前記通信中継装置が、前記作成済セッション保持部に保持されている暗号化セッションを使って前記サーバに鍵を渡す。
このようにすれば、通信中継装置とサーバとの間のセッションを繰り返し利用できるようになる。これにより、通信中継装置における暗号化・復号化処理を削減することが可能となる。これは、特に同一のサーバに複数のクライアントがアクセスするときに有効となる。
上記暗号化通信システムにおいては、例えば、前記サーバが、新しい共通鍵及びこの共通鍵に対応する識別子を作成する新共通鍵作成手段と、前記共通鍵を交換前の共通鍵で暗号化し、前記識別子とともに送信する新共通鍵転送手段と、前記識別子と旧識別子を送信する新識別子通知手段と、を備え、前記通信中継装置が、前記識別子を含むフレームを受信すると、前記フレーム転送手段に前記識別子を渡す新識別子登録手段を備え、前記クラ
イアントとサーバとの間の共通鍵による暗号化通信の途中で、前記新共通鍵作成手段が、共通鍵および識別子を作成し、前記新共通鍵転送手段が、前記共通鍵及び前記識別子を前記クライアントに送信し、前記新識別子通知手段が、前記新識別子登録手段に前記2つの識別式を送信する。
このようにすれば、クライアント及びサーバは新共通鍵と新セッション識別子を利用してフレームを送受信することが可能となる。また、クライアントとサーバとの間で定期的にデータ通信フェーズの鍵を変更できるようになるため、第三者に暗号化したフレームを解読される確率が低下し、データ通信フェーズのセキュリティが向上する。
また、本発明は通信中継装置の発明として次のように特定することができる。
第1ネットワークと第2ネットワークとを接続するとともに、前記第1ネットワーク内のクライアントと第2ネットワーク内のサーバとの間で送受されるフレームを中継する通信中継装置であって、前記クライアントとサーバとの間のデータ通信を暗号化するための鍵を、所定プロトコルに従って作成する鍵作成手段と、前記作成された鍵を保持する保持手段と、前記保持された鍵を所定タイミングで前記サーバに送信する鍵転送手段と、
を備える通信中継装置。
上記通信中継装置においては、例えば、前記保持手段は、前記クライアントとサーバとの間のデータ通信セッションを識別するためのセッション識別子をさらに保持し、前記鍵転送手段は、前記セッション識別子をさらに送信する。
また、本発明は暗号化通信方法の発明として次のように特定することができる。
第1ネットワークと第2ネットワークとを接続する通信中継装置を備え、第1ネットワーク内のクライアントと第2ネットワーク内のサーバとの間で、前記通信中継装置を経由して通信するように構成されたネットワークシステムにおいて、第1ネットワーク内と第2ネットワーク内の両通信を暗号化する暗号化通信方法であって、前記通信中継装置が、前記クライアントとの間で暗号鍵と復号鍵を作成する鍵作成ステップと、前記通信中継装置が、前記暗号鍵と復号鍵を、前記サーバに送信する鍵転送ステップと、前記サーバが、前記復号鍵を使って受信フレームを復号化するフレーム受信ステップと、前記サーバが、前記暗号鍵を使ってフレームを暗号化して送信するフレーム送信ステップと、を備える暗号化通信方法。
上記暗号化通信方法においては、例えば、前記通信中継装置が、前記クライアントとサーバとの間の暗号化セッションを識別するセッション識別子を作成する識別子作成ステップと、前記通信中継装置が、前記セッション識別子を前記クライアント及びサーバに送信する識別子転送ステップと、前記通信中継装置が、受信フレームからセッション識別子を抽出する識別子抽出ステップと、前記通信中継装置が、前記受信フレームから抽出されたセッション識別子とその受信フレームの送信元アドレスとに基づいて、前記クライアント又はサーバ宛てに受信フレームを転送するフレーム転送ステップと、前記サーバ及びクライアントが、暗号化済みのフレームに前記セッション識別子を付与して送信するステップと、を備える。
次に、本発明の原理について図面を参照しながら説明する。
図14及び図15は、本発明の原理説明図である。図中に示す各装置は下記の機能を持つ。VPNゲートウェイ装置は、主に、鍵作成機能と鍵転送機能を持つ。鍵作成機能とは、クライアントとの間で暗号化通信用の暗号鍵および復号鍵を作成する機能である。鍵転
送機能とは、クライアントとの間で作成した暗号鍵および復号鍵をサーバに送信する機能である。
サーバは、主に、フレーム受信機能とフレーム送信機能を持つ。フレーム受信機能は、他装置より受信した復号鍵を使って受信フレームを復号化する機能である。フレーム送信機能は、送信データを前記暗号鍵で暗号化してフレームを送信する機能である。
また、インターネットからイントラネットへVPNを作成する場合、クライアントから直接サーバのIPアドレスを参照できない状況が一般的である。この場合、クライアントとサーバのどちらも、VPNゲートウェイ宛てのフレームを送信するため、フレームの送信先アドレスだけではVPNゲートウェイがフレームの送信先を決定できない。この場合でも通信を可能にするため、暗号化セッションを一意に識別するセッション識別子を利用する。
このため、VPNゲートウェイ装置はさらに、暗号化セッションを一意に識別する識別子を作成する識別子作成機能、前記識別子をサーバに送信する識別子転送機能、受信したフレームに付加されている前記識別子と送信元アドレスに基づいて、前記クライアントもしくは前記サーバ宛てにフレームを転送するフレーム転送機能を持つ。
また、サーバは、そのフレーム送信機能がフレーム(例えば請求項1記載のフレーム)送信時に、暗号化済みのフレームに前記識別子を付与する。
次に、本発明を用いたときの作用の説明をする。まず、認証フェーズについて説明する。VPNゲートウェイの鍵作成機能が、例えば公開鍵暗号化方式等の方式によりクライアントとの間で暗号化VPNセッションを作成し、クライアントとVPNゲートウェイの両方が暗号化および復号化に用いる鍵を生成する。VPNゲートウェイの識別子作成機能は、VPNセッションを一意に識別するセッション識別子を作成する。前記VPNゲートウェイの鍵転送機能が、上記鍵作成機能から上記暗号化および復号鍵を受け取り、サーバに送信する。前記VPNゲートウェイの識別子転送機能は、上記識別子作成機能から上記識別子を受け取り、サーバに送信する。
次にデータ送信フェーズについて説明する。
クライアントは前記暗号鍵によりフレームを暗号化し、前記セッション識別子とともにVPNゲートウェイに該フレームを送信する。前記VPNゲートウェイのフレーム転送機能は、前記フレームを受信すると、前記セッション識別子を前記クライアントから受信したことから、フレームの転送先を前記サーバに設定し、受信フレームを転送する。サーバのフレーム受信機能は前記セッション識別子に対応する前記復号鍵で復号化する。サーバのフレーム送信機能は送信データを前記暗号鍵で暗号化し、前記セッション識別子と該暗号化したデータをVPNゲートウェイに送信する。前記VPNゲートウェイのフレーム転送機能は、前記フレームを受信すると、前記セッション識別子を前記サーバから受信したことから、フレームの転送先を前記クライアントに設定し、受信フレームを転送する。
クライアントは前記セッション識別子に対応する前記復号鍵により受信フレームを復号化する。
上記のように、本発明では、認証フェーズにVPNゲートウェイがサーバに暗号鍵・復号鍵を転送し、データ通信フェーズでは、サーバ・クライアント間で暗号化・復号化処理を行うことにより、データ通信フェーズにおけるVPNゲートウェイの暗号化・復号化処理を不要とすることで、VPNゲートウェイの暗号化・復号化処理による処理負荷を軽減
している。
図16は、請求項3に記載の発明の原理説明図である。
インターネット内のクライアントがイントラネット内のサーバにアクセスする場合、イントラネットに入るための認証と、サーバにアクセスするための認証が必要である。この場合、VPNゲートウェイはクライアントからのサーバ認証フレームをサーバに転送し、サーバからの認証結果をクライアントに送信する必要がある。この認証用フレームの暗号化・復号化処理を削減するために、以下の機能を追加する。
VPNゲートウェイ装置は、主に、ユーザごとのイントラネットへのアクセス許可情報と前記サーバへのアクセス許可情報を保持するアクセス許可保持機能、及びアクセス許可もしくはアクセス拒否を通知するフレームを送信するアクセス認証通知機能を持つ。
次に、上記追加機能を用いたときの作用の説明をする。認証フェーズについて説明する。
クライアントがユーザの認証データをVPNゲートウェイに送信する。VPNゲートウェイが前記認証データを受信すると、アクセス許可保持機能がイントラネットとサーバのアクセス許可情報を読み出す。アクセス認証通知機能は前記アクセス許可情報が許可の場合はアクセス許可を通知するフレームを前記クライアントに送信する。また、前記アクセス許可情報が拒否の場合はアクセス拒否を通知するフレームを前記クライアントに送信する。
これにより、クライアント・VPNゲートウェイ間、およびVPNゲートウェイ・サーバ間におけるアクセスリクエストとその応答フレームが不要となるため、本発明のVPNゲートウェイの暗号化・復号化処理をより軽減可能となる。
図17は、請求項4に記載の発明の原理説明図である。
これは、クライアントとVPNゲートウェイ間で鍵を作成してから該鍵をサーバに転送するかわりに、クライアントが送信する鍵作成用のフレームをサーバに転送し、サーバが送信する鍵作成用のフレームをクライアントに転送してもよいことを示す。
この場合、VPNゲートウェイ装置は、鍵転送フレームを転送する鍵透過転送機能を持つ。サーバは、クライアントとの間で暗号鍵と復号鍵を作成する鍵作成機能を持つ。
次に、上記追加機能を用いたときの作用の説明をする。
認証フェーズについて説明する。
クライアントがVPNゲートウェイとの間に暗号化VPNセッションを作成し、該クライアントが共通鍵をVPNゲートウェイに送信する。前記VPNゲートウェイはサーバとの間に暗号化VPNセッションを作成する。前記VPNゲートウェイの鍵透過転送機能は前記クライアントから受信した共通鍵をそのまま前記サーバに転送する。前記サーバは受信した共通鍵を保存し、前記サーバの鍵作成機能が作成した別の共通鍵を前記VPNゲートウェイに送信する。前記VPNゲートウェイは前記サーバから受信した共通鍵をそのまま前記クライアントに転送する。
図18は、請求項5に記載の発明の原理説明図である。
請求項2の暗号化通信システムにおいて、複数のクライアントからある特定のサーバへのアクセスが何度も発生したとき、クライアントからのアクセスのたびにVPNゲートウェイとサーバ間に公開鍵暗号化方式により暗号化VPNセッションを作成する必要がある。この負荷を避けるために、あらかじめサーバ・VPNゲートウェイ間に共通鍵による暗号化VPNセッションを作成し、以降のクライアントからの共通鍵転送に上記暗号化セッションを利用する。
この場合、VPNゲートウェイ装置は、予めサーバとの間に暗号化VPNセッションを作成する事前セッション作成機能、各サーバに対して作成した暗号化VPNセッションの識別子を保持する、作成済みセッション保持部を備える。
次に、上記追加機能を用いたときの作用の説明をする。
事前動作(例えばサーバの設定完了後など)について説明する。VPNゲートウェイの事前セッション作成機能がサーバとの間に暗号化VPNセッションを作成し、前記事前セッション作成機能が前記セッションの識別子および暗号鍵を作成済みセッション保持部に記録する。
次に、認証フェーズについて説明する。
クライアントと前記VPNゲートウェイ間で共通鍵を作成し、該共通鍵をサーバに転送する際に、鍵転送機能が前記VPNセッションの識別子および暗号鍵を前記作成済みセッション保持部より読み出す。前記鍵転送機能は該当する識別子のセッションの暗号鍵で前記共通鍵を暗号化し、前記サーバに送信する。
上記のようにしてVPNゲートウェイとサーバ間のセッションを繰り返し利用できるようにすることで、VPNゲートウェイにおける暗号化・復号化処理を削減することができる。
図19は、請求項6に記載の発明の原理説明図である。
一般的に同じ共通鍵で長時間データ通信をすると、通信内容を解読される可能性が高くなるなどのセキュリティ上問題があるため、定期的に鍵を交換するなどの対策が必要になる。請求項2に記載の暗号化通信システムにおいて、交換前の鍵と交換後の鍵を各ノードが判別し、別々の暗号・復号鍵を利用できるようにするためには、交換後の鍵用に新しくセッション識別子を作成する必要がある。そのために、本発明では共通鍵を変更するタイミングに合わせて、サーバもしくはクライアントがVPNゲートウェイに対して新しいセッション識別子を通知する。請求項2の発明に下記の機能を追加する。
サーバはさらに、新しい共通鍵およびそれに対応する識別子を作成する新共通鍵作成機能、新しい共通鍵を交換前の共通鍵で暗号化し、上記新しい共通鍵と共に送信する新共通鍵転送機能、前記識別子と旧識別子を送信する新識別子通知機能を備える。
VPNゲートウェイはさらに、前記識別子を含むフレームを受信すると、フレーム転送機能に前記識別子を渡す新識別子登録機能を備える。
なお、上記暗号および復号鍵を作成するノードは、サーバではなくクライアントでも、サーバおよびクライアントでそれぞれ片方向の鍵を作成しても良い。
次に、上記追加機能を用いたときの作用の説明をする。ここでは、サーバが共通鍵を生成するパターンについて説明をする。データ通信フェーズについて説明する。
サーバ内の新共通鍵作成機能が新しい共通鍵およびセッション識別子を作成する。前記サーバ内の新共通鍵転送機能は作成した新共通鍵を旧共通鍵で暗号化し、新識別子とともに前記クライアントに送信する。前記サーバ内の新識別子通知機能は、旧識別子と作成した新識別子とをVPNゲートウェイに送信する。VPNゲートウェイの新識別子登録機能は前記新識別子と旧識別子をフレーム転送機能に渡す。
上記のようにすれば、クライアントおよびサーバは新共通鍵と新セッション識別子を利用してフレームを送受信することができるようになる。
本発明によれば、第1ネットワーク(例えばインターネット)及び第2ネットワーク(例えばイントラネット)を接続する通信中継装置(例えばVPNゲートウェイ)における暗号化・復号化処理の負荷を軽減することが可能となる。
以下、本発明の第1実施形態である暗号化通信システムについて図面を参照しながら説明する。図1は、第1実施形態である暗号化通信システムの概略構成を説明するための図である。
本実施形態の暗号化通信システムは、イントラネット(本発明の第2ネットワークに相当)とインターネット(本発明の第1ネットワークに相当)とを接続する(すなわちインターネットとイントラネットの接続点に設けられる)VPNゲートウェイ装置30を備えている。この暗号化通信システムは、イントラネット内のサーバ10とインターネット内のクライアント20との間で、VPNゲートウェイ装置30を経由して通信(暗号化通信)するように構成されている。
各装置10、20及び30には、IPアドレスや公開鍵及び秘密鍵が設定されている。これは、クライアント20とVPNゲートウェイ装置30との間の通信(暗号化通信)、VPNゲートウェイ装置30とサーバ10との間の通信(暗号化通信)、さらにクライアント20とサーバ10との間の通信(暗号化通信)を行うためである。
具体的には、図1に示すように、IPアドレスが設定されている。すなわち、クライアント20は、インターネット上のIPアドレス20.0.0.1、イントラネット上のIPアドレス192.168.1.5を持つ。VPNゲートウェイ30は、インターネット側のインターフェー
スにIPアドレス30.0.0.1、イントラネット側のインターフェースにIPアドレス192.168.0.1を持つ。サーバ10は、イントラネット上のIPアドレス192.168.0.2を持つ。
同様に、図1に示すように、公開鍵や秘密鍵が設定されている。すなわち、クライアント20は、3つの鍵(クライアント用公開鍵:KeyG1、クライアント用秘密鍵:KeyP1、VPNゲートウェイ用公開鍵:KeyG2)を持つ。VPNゲートウェイ30は、4つの鍵(V
PNゲートウェイ用公開鍵:KeyG2、VPNゲートウェイ用秘密鍵:KeyP2、クライアント用公開鍵:KeyG1、サーバ1用公開鍵:KeyG3)を持つ。サーバ10は3つの鍵(サーバ用公開鍵:KeyG3、サーバ1用秘密鍵:KeyP3、VPNゲートウェイ用公開鍵:KeyG2)を持
つ。
各ノードの公開鍵(クライアント用公開鍵:KeyG1、VPNゲートウェイ用公開鍵:KeyG2、サーバ用公開鍵:KeyG3)をネットワーク上に公開しておけば、上記のようにサーバ
10及びクライアント20の公開鍵をVPNゲートウェイ30に、VPNゲートウェイ30の公開鍵をクライアント20及びサーバ10にあらかじめ転送させて保持させることが可能となる。
共通鍵は片方向ごとに暗号化する側の装置が生成する。例えば、クライアント20とVPNゲートウェイ30との間の通信において、クライアント20が共通鍵を生成した場合は、その共通鍵を、クライアント20が暗号化に使いVPNゲートウェイ30が復号化に使う。逆に、VPNゲートウェイ30が共通鍵を生成した場合は、その共通鍵を、VPNゲートウェイ30が暗号化に使いクライアント20が復号化に使う。
本実施形態では上りと下りで同一のセッション識別子を利用する。なお、上りと下りで別々のセッション識別子を利用してもよい。また、セッション識別子は装置内でランダムに決定する値である。装置間で値が重複してもよいものとする。
なお、例えばIPSec(本発明の所定プロトコルに相当)を用いる場合、本実施形態で
利用する各パラメータを下記と置き換えることが可能である。
セッション識別子(SID)は、セッションを一意に識別する識別子である。セッション識
別子として、AH(Authentication Header)やESP(Encapsulating Security Payload)内の、SPI (Security Parameter Index)フィールドの値を用いることが可能である。
ユーザ識別子(UID)は、イントラネットもしくはサーバへのアクセス時の認証に用いる
ユーザ固有の識別子である。これは、IPSecで作成したセッション上で用いるユーザ認
証プロトコルに依存する。ユーザ認証プロトコルの例としては、HMAC-SHAやHMAC-MD5がある。このユーザ識別子をフレームのペイロード(もしくはESP認証ヘッダ)に格納するこ
とを想定している。
公開鍵(KeyG)、秘密鍵(KeyP)、共通鍵(KeyS)としては、IPSecにおけるセッション生
成時の鍵(公開鍵・秘密鍵)及びデータ通信時の鍵(共通鍵)を用いることが可能である。「鍵」とは、DES等の特定の暗号化アルゴリズムにおいて、暗号化・復号化に用いられ
るビット列を指す。これら鍵生成のアルゴリズムは周知のアルゴリズムであるため、その説明を省略する。
以下、クライアント20とサーバ10との間で、VPNゲートウェイ30を経由して通信する場合について説明する。
(VPNゲートウエイ30の構成)
図2は、VPNゲートウェイ30の構成を説明するための図である。
図2に示すように、VPNゲートウェイ30は、フレーム転送部31、セッション記録部32、サーバ側送受信部33、クライアント側送受信部34、認証記録部35、共有鍵+識別子作成部36、及び共有鍵+識別子転送部37等を備えている。
(フレーム転送部31)
フレーム転送部31は、受信フレームのセッション認証、IPアドレスの書換、受信フレームの転送、及びセッション記録部32への記録等を行うためのブロックである。
受信フレームのセッション認証は、受信フレーム(クライアント20又はサーバ10からの受信フレーム)が認証済みフレームか否かを調べる処理である。具体的には、受信フレームからVPNのセッション識別子(SID)を読み出し、このセッション識別子がセッ
ション記録部32に登録されているか否かを調べる。
IPアドレスの書換は、受信フレームの送信元及び送信先IPアドレスを書換える処理である。受信フレーム認証の結果、セッション識別子が登録されている場合に、IPアドレスを書き換える。
受信フレームの転送は、受信フレームを受信側と反対側のネットワークに転送する処理である。受信フレーム認証の結果、セッション識別子が登録されている場合に、その受信フレームを転送する。なお、受信フレーム認証の結果、セッション識別子が登録されていなければ、受信側の送受信部(サーバ側送受信部33又はクライアント側送受信部34)にその受信フレームを渡す。
セッション記録部32への記録は、データ通信フェーズで用いるセッション識別子(SID)や、サーバ10及びクライアント20のIPアドレスを、セッション記録部32に記
録する処理である。サーバ10から共通鍵転送の完了を示すフレームを受信した場合に、セッション記録部32に記録する。
(クライアント側送受信部34)
クライアント側送受信部34は、クライアント20側とVPNセッションを作成するためのブロックであり、復号化、ユーザ認証、暗号化を行う。
復号化は、受信フレームが自装置の公開鍵で暗号化されている場合に、その受信フレーム(のペイロード)を、自装置の秘密鍵を利用して復号化する処理である。
ユーザ認証は、その復号化したフレームにイントラネットアクセス用のユーザ識別子(UID)が含まれている場合に、認証記録部35を検索し、ユーザのアクセス許可・拒否の
判断を行う処理である。そして、アクセス許可の場合は、アクセスを許可したことを示すフレームをクライアント20に送信する。なお、復号化したフレームにクライアント20が生成した共通鍵が含まれている場合は、該共通鍵を共通鍵+識別子作成部36に渡す。
暗号化は、共通鍵+識別子作成部36から共通鍵及びセッション識別子を受け取った場合に、それらを自装置の秘密鍵で暗号化する処理である。この暗号化した共通鍵及びセッション識別子が含まれるフレームをクライアント20に対して送信する。なお、復号化したフレームにサーバ10用のユーザ識別子(UID)が含まれている場合は、該ユーザ識別子
をサーバ側送受信部33に渡す。また、サーバ側送受信部33からアクセス許可通知を受けると、クライアント側送受信部34は、クライアント20に対して該許可通知を送信する。
(共通鍵+識別子作成部36)
共通鍵+識別子作成部36は、データ通信フェーズで利用する共通鍵とセッション識別子を作成するブロックである。クライアント側送受信部34からクライアント20が生成した共通鍵が含まれるフレームを受け取った場合に、新しく共通鍵とセッション識別子を作成する。この作成された共通鍵とセッション識別子をクライアント側送受信部34に渡す。クライアント20が生成した共通鍵、新しく作成した共通鍵、及びセッション識別子を共通鍵+識別子転送部37に渡す。
(共通鍵+識別子転送部37)
共通鍵+識別子転送部37は、共通鍵とセッション識別子を送信するフレームを作成するブロックである。共有鍵+識別子作成部36からクライアント20が生成した共通鍵と自装置が作成した共通鍵及びセッション識別子を受け取ると、これらを一時的に保持する。そして、サーバ側送受信部33から認証許可通知を受け取ると、先ほど保持していた2つの共通鍵とセッション識別子をサーバの公開鍵で暗号化し、サーバ10側に送信する。(サーバ側送受信部33)
サーバ側送受信部33は、サーバ10とVPNセッションを作成するためのブロックである。クライアント側送受信部34よりサーバ用のユーザ識別子(UID)を受け取ると、サ
ーバの公開鍵で暗号化し、サーバ10に対して送信する。サーバ10からアクセス許可を通知するフレームを受信すると、認証許可通知を共通鍵+識別子転送部37に渡す。フレーム転送部31から共通鍵転送の完了を示すフレームを受け取ると、クライアント側送受信部34にサーバ10の認証結果を渡す。
(セッション記録部32)
セッション記録部32は、クライアント20・サーバ10間で作られたセッションのSIDを記録するブロックであり、フレームの暗号化・復号化処理をショートカットするため
に利用する。
(認証記録部35)
認証記録部35は、VPNゲートウェイからイントラネット内部にアクセス可能なクライアントのUIDを記録するブロックである。クライアントのアクセス認証に利用する。
(サーバ10の構成)
図2に示すように、サーバ10は、フレーム送信部11、及びフレーム受信部12等を備えている。
(フレーム受信部11)
フレーム受信部11は、VPNゲートウェイ30から受信したフレームに対する処理を行うブロックである。自装置の公開鍵で暗号化されたフレームを受信すると、自装置の秘密鍵で復号化を行う。共通鍵で暗号化されたフレームを受信すると、クライアントが生成した共通鍵で復号化を行う。
(フレーム送信部12)
フレーム送信部12は、VPNゲートウェイに送信するフレームに対する処理を行うブロックである。ユーザ識別子を受け取ると、サーバに対するユーザのアクセス許可のチェックを行い、その結果をVPNゲートウェイに対して送信する。共通鍵を受け取ると、共通鍵転送完了通知をVPNゲートウェイに対して送信する。データ通信フェーズにおいて、クライアントに送るデータを共通鍵KeyS1で暗号化して、VPNゲートウェイ宛てに送
信する。
次に、上記構成の暗号化通信システムの動作について図面を参照しながら説明する。
図3は、本実施形態の暗号化通信システムの動作について説明するためのシーケンス図である。なお、以下の処理は、クライアント20、VPNゲートウェイ30、及びサーバ10に、それぞれ所定プログラムが読み込まれて実行されることで実現される。
(クライアント⇒VPNゲートウェイの認証フェーズ)
(クライアントのイントラネットへのアクセス認証)
クライアント20においては、イントラネットへのアクセス認証のために、次の処理が行われる(S100)。
ユーザ識別子UID1を、VPNゲートウェイ用公開鍵KeyG2で暗号化する。この暗号化さ
れたユーザ識別子UID1を含み、セッション識別子SID1を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S101)。すなわち、このフレームに送信元IPアドレス(クライアント20のIPアドレス) = 20.0.0.1、送信先IPアドレス(VPNゲートウェイ30のIPアド
レス) = 30.0.0.1を設定し、このIPアドレスが設定されたフレームをインターネット
上に送出する。
VPNゲートウェイ30においては、クライアント20のイントラネットへのアクセス認証のために、次の処理が行われる(S102)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID1を読み出す。このセッション識別子SID1をキーとしてセッション記録部32
を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままクライアント側送受信部34に渡す。
クライアント側送受信部34は、その受信フレームがVPNゲートウェイ用公開鍵KeyG2で暗号化されたフレームであるため、その受信フレームを自身の秘密鍵KeyP2で復号化する。これにより、ユーザ識別子UID1を取得する。
クライアント側送受信部34は、そのユーザ識別子UID1が認証記録部35に登録されているかどうかをチェックする。ここでは、エントリが登録されており、「許可」であったとする。この場合、そのユーザ識別子UID1に対する認証結果が「許可」であったため、クライアント側送受信部34は、認証結果の通知(アクセス許可通知)をクライアント20宛てに送信する(S103)。すなわち、認証結果を含むフレームに送信元IPアドレス(VPNゲートウェイ30) = 30.0.0.1、送信先IPアドレス(クライアント20) = 20.0.0.1を設定し、このIPアドレスが設定されたフレームをインターネット上に送出する(S102)。
クライアント20は、上記認証結果の通知(アクセス許可通知)を受信することで、イントラネットへのアクセス認証が成立したことを知る。
(クライアントとの共通鍵の交換)
次に、クライアント20においては、共通鍵の交換のために、次の処理が行われる(S104)。
共通鍵KeyS1を生成する。これは公知の技術である。該共通鍵と該セッション識別子を
VPNゲートウェイ用公開鍵KeyG2で暗号化する。この暗号化された共通鍵とセッション
識別子を含み、セッション識別子SID1を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S105)。
VPNゲートウェイ30においては、共通鍵の交換のために、次の処理が行われる(S106)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID1を読み出す。このセッション識別子SID1をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままクライアント側送受信部34に渡す。
クライアント側送受信部34は、その受信フレームがVPNゲートウェイ用公開鍵KeyG2で暗号化されたフレームであるため、その受信フレームを自身の秘密鍵KeyP2で復号化する。これにより、クライアント20が生成した共通鍵KeyS1を取得する(S106)。ク
ライアント側送受信部34は、その共通鍵KeyS1を共有鍵+識別子作成部36に渡す。
共通鍵+識別子作成部36は、新しく共通鍵KeyS2とセッション識別子SID3を作成し(
S107)、これらをクライアント側送受信部34に渡す。また、共通鍵+識別子作成部36は、クライアント側送受信部34より受け取った共通鍵KeyS1と、上記新しく作成し
た共通鍵KeyS2とセッション識別子SID3を、共通鍵+識別子転送部37に渡す。共通鍵+
識別子転送部37は、これらの共通鍵KeyS1等を一時的に保持する。
共通鍵+識別子作成部36から共通鍵KeyS2とセッション識別子SID3を受けると、クラ
イアント側送受信部34は、クライアント用公開鍵(KeyG1)を用いてそれらKeyS2とSID3を暗号化する。そして、クライアント側送受信部34は、その暗号化されたKeyS2とSID3を
含み、認証フェーズのセッション識別子SID1を付与したフレーム(IPパケットともいう。以下同様。)を作成する。クライアント側送受信部34は、そのフレームをクライアント20宛てに送信する(S108)。
クライアント20は、上記フレームを受信し、この受信フレームを自身の秘密鍵(KeyP1)で復号化する。これにより、共通鍵KeyS2及びセッション識別子SID3を得る(S109)。
以上のS100〜S109により、共通鍵の交換が終了する。共通鍵の交換が終了した時点で、クライアント20及びVPNゲートウェイ30はそれぞれ、共通鍵KeyS1と共通
鍵KeyS2とセッション識別子SID3を保持することになる。
(VPNゲートウェイ⇒サーバの認証フェーズ)
(クライアントのサーバへのアクセス認証)
次に、クライアント20においては、サーバ10へのアクセス認証のために、次の処理が行われる(S110)。
サーバ認証用のユーザ識別子UID2を共通鍵KeyS1で暗号化する。この暗号化されたユー
ザ識別子UID2(転送先サーバ10のIPアドレスを暗号化した場合にはこの暗号化されたIPアドレスも)を含み、セッション識別子SID3を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S111)。なお、転送先サーバ10のIPアドレス(192.168.0.2)も暗号化してこの
フレームに含ませることが考えられる。このようにすれば、VPNゲートウェイ30において後述のテーブルを参照することなく比較的容易に転送先サーバ10を判別することが可能となる。
VPNゲートウェイ30においては、クライアント20のサーバ10へのアクセス認証のために、次の処理が行われる(S112)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID3を読み出す。このセッション識別子SID3をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままクライアント側送受信部34に渡す。
フレーム転送部31から受信フレームを受けると、クライアント側送受信部34は、その受信フレームが共通鍵KeyS1で暗号化されたフレームであるため、その受信フレームを
共通鍵KeyS1で復号化する。これにより、サーバ認証用のユーザ識別子UID2を取得する(
S109)。クライアント側送受信部34は、サーバ側送受信部33に上記ユーザ識別子UID2を渡す。
クライアント側送受信部34からユーザ識別子UID2を受けると、サーバ側送受信部33は、そのUID2をサーバ用公開鍵KeyG3で暗号化する。そして、サーバ側送受信部33は、
その暗号化されたUID2を含み、セッション識別子SID2を付与したフレーム(IPパケットともいう。以下同様。)を作成する。クライアント側送受信部34は、そのフレームをサーバ10宛てに送信する(S113)。すなわち、そのフレームに送信先アドレス(サーバ10のIPアドレス)=192.168.0.2、送信元IPアドレス(VPNゲートウェイ30のIPアドレス) = 192.168.0.1を設定し、このIPアドレスが設定されたフレームをサーバ10側ネットワークであるイントラネット上に送信する。
なお、サーバ10のIPアドレスについては、次のようにして取得することが考えられる。例えば、VPNゲートウェイ30に、クライアント20のIPアドレス(例えば20.0
.0.1)とサーバ10のIPアドレス(例えば192.168.0.2)の対応関係を(例えばテーブ
ルの形態で)保持させておく。そして、VPNゲートウェイ30がクライアント20からのフレームを受信した場合に、その受信フレームの送信元IPアドレス(クライアント20のIPアドレス)と先ほどのテーブルとを照合することで、該当サーバのIPアドレスを取得する。あるいは、その受信フレームがユーザ識別子UID2の他にサーバ10のIPアドレス(192.168.0.2)を含む場合には、上記のように受信フレームを復号化することで、
サーバ10のIPアドレス(192.168.0.2)を取得する。
次に、サーバ10においては、クライアント20のアクセス認証のために、次の処理が行われる(S114)。
そのフレーム受信部12が上記認証フレームを受信すると、その受信フレームが自己の公開鍵KeyG3で暗号化されたフレームであるため、その受信フレームを自身の秘密鍵KeyP3で復号化する。これにより、UID2を得る。そして、フレーム送信部11は、ユーザ識別子UID2がサーバ10に登録されているアクセス可能な認証データかどうかをチェックする。認証結果が許可であれば、フレーム送信部11は、その認証結果を含み、セッション識別子SID2を付与したフレーム(IPパケットともいう。以下同様。)を作成する。フレーム送信部11は、そのフレームをVPNゲートウェイ30宛てに送信する(S115)。すなわち、そのフレームに送信元IPアドレス(サーバ10のIPアドレス) = 192.168.0.2、送信先IPアドレス(VPNゲートウェイ30のIPアドレス) = 192.168.0.1を設定し、このIPアドレスが設定されたフレームをイントラネット上に送出する。
VPNゲートウェイ30は、上記認証結果の通知(許可)を受信することで、サーバ10へのアクセス認証が成立したことを知る。
次に、VPNゲートウェイ30においては、共通鍵等の転送のために、次の処理が行われる(S116)。
そのフレーム転送部31が上記認証結果(許可)を含むフレームを受信すると、その受信フレームからセッション識別子SID2を読み出す。このセッション識別子SID2をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままサーバ側送受信部33に渡す。
サーバ側送受信部33は、その受信フレームが許可通知を含むフレームであるため、認証許可通知を共有鍵+識別子転送部37に渡す。
共通鍵+識別子転送部37は、先ほど一時的に保持していた、共通鍵KeyS1、共通鍵KeyS2、及びセッション識別子SID3を、サーバ用公開鍵KeyG3で暗号化する。この暗号化され
た共通鍵KeyS1等を含み、セッション識別子SID2を付与したフレームを作成する。このフ
レームをサーバ10宛てに送信する(S117)。
サーバ10においては、次の処理が行われる(S118)。
そのフレーム受信部12が、上記フレームを受信し、この受信フレームを自身の秘密鍵KeyP3で復号化する。これにより、共通鍵KeyS1、共通鍵KeyS2、及びセッション識別子SID3を得る。
以上のS110〜S118により、共通鍵等の転送が終了する。共通鍵等の転送が終了した時点で、サーバ10は、クライアント20と同様に、共通鍵KeyS1と共通鍵KeyS2とセッション識別子SID3を保持することになる。
次に、サーバ10においては、共通鍵の転送が完了したことをVPNゲートウェイ30に知らせるために、そのフレーム送信部11が、データ通信フェーズのセッション識別子SID3を含む共通鍵転送完了通知を含み、セッション識別子SID2を付与したフレーム(IPパケットともいう。以下同様。)を作成する。フレーム送信部11は、そのフレームをVPNゲートウェイ30宛に送信する(S119)。
VPNゲートウェイ30は、上記共通鍵転送完了通知を受信することで、サーバ10に共通鍵等が転送完了したことを知る。
次に、VPNゲートウェイ30においては、次の処理が行われる。
そのフレーム転送部31が共通鍵転送完了通知を受信すると、その受信フレームからSID2を読み出す。このセッション識別子SID2をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままサーバ側送受信部33に渡す。また、データ通信フェーズのセッション識別子SID3と、サーバ10のIPアドレス(192.168.0.2)及びクライアント20のIPアドレス(20.0.0.1)を
セッション記録部32に記録する(S120)。
フレーム転送部31から受信フレームを受けると、サーバ側送受信部33は、サーバ認証の結果(許可)をクライアント側送受信部34に渡す。
クライアント側送受信部34は、サーバの認証結果(アクセス許可通知)を含み、セッション識別子SID1を付与したフレームを作成して、このフレームをクライアント1(20.0.0.1)宛てに送信する(S121)。
クライアント20は、上記フレームを受信することで、サーバ10へのアクセス認証が成立したことを知る。
(データ通信フェーズ(クライアント⇒サーバ))
クライアント20においては、次の処理が行われる(S122)。
サーバ10に送信するデータを共通鍵KeyS1で暗号化する。この暗号化されたデータを
含み、セッション識別子SID3を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S123)。
VPNゲートウェイ30においては、次の処理が行われる(S124)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID3を読み出す。このセッション識別子SID3をキーとしてセッション記録部32を検索する。セッション記録部32には、先ほどのS120で、データ通信フェーズのセッション識別子SID3、サーバ10のIPアドレス(192.168.0.2)及びクライアント20の
IPアドレス(20.0.0.1)が登録されている。従って、ここでは、セッション識別子SID3に対応するサーバ10のIPアドレス(192.168.0.2)が読み出される。
フレーム転送部31は、その受信フレームの送信元IPアドレス を自己のIPアドレ
ス(VPNゲートウェイ30のIPアドレス)= 192.168.0.1、送信先IPアドレス を先ほど読み出したサーバ10のIPアドレス= 192.168.0.2に書換え(S124)、このI
Pアドレスが書き換えられたフレームをイントラネット上に送出する(S125)。
サーバ10においては、次の処理が行われる(S126)。
そのフレーム受信部12が、上記フレームを受信し、その受信フレームのセッション識別子SID3に対応する復号化用の共通鍵KeyS1で、その受信フレームに対して復号化処理を
する。
(データ通信フェーズ(サーバ⇒クライアント))
サーバ10においては、次の処理が行われる(S127)。
そのフレーム送信部11が、クライアント20に送信するデータを共通鍵KeyS2で暗号
化する。この暗号化されたデータを含み、セッション識別子SID3を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S128)。
VPNゲートウェイ30においては、次の処理が行われる(S129)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID3を読み出す。このセッション識別子SID3をキーとしてセッション記録部32を検索する。セッション記録部32には、先ほどのS120で、データ通信フェーズのセッション識別子SID3、サーバ10のIPアドレス(192.168.0.2)及びクライアント20の
IPアドレス(20.0.0.1)が登録されている。従って、ここでは、セッション識別子SID3に対応するクライアント20のIPアドレス(20.0.0.1)が読み出される。
フレーム転送部31は、その受信フレームの送信元IPアドレスを自己のIPアドレス(VPNゲートウェイ30のIPアドレス) = 30.0.0.1、送信先IPアドレスを先ほど
読み出したクライアント20のIPアドレス = 20.0.0.1に書換え(S129)、このI
Pアドレスが書き換えられたフレームをインターネット上に送出する(S130)。
クライアント20においては、次の処理が行われる(S131)。
上記フレームを受信すると、その受信フレームのセッション識別子SID3に対応する復号化用の共通鍵KeyS2で、その受信したフレームに対して復号化処理をする。
以降、クライアント20からサーバ10へのトラヒック中継はS122〜S126を、サーバ10からクライアント20へのトラヒック中継はS127〜S131を繰り返し実行する。
以上説明したように、本実施形態の暗号化通信システムによれば、認証フェーズで、VPNゲートウェイ30がサーバ10に暗号鍵・復号鍵を転送する(S117)。データ通信フェーズで、サーバ10とクライアント20との間で暗号化・復号化処理を行う。これにより、データ通信フェーズにおけるVPNゲートウェイ30の暗号化・復号化処理が不要となる。従って、VPNゲートウェイ30の処理負荷を軽減させることが可能になる。
特に、サイズの大きなデータを転送する場合、認証フェーズのフレーム数と比べて、データ通信フェーズのフレーム数は何倍も多くなるため、データ通信フェーズの暗号化処理を不要とすることで、暗号化処理削減によって得られるVPNゲートウェイの処理負荷軽減の効果をより得られる。
また、本実施形態の暗号化通信システムによれば、暗号化VPNセッションを一意に識別するセッション識別子を導入する。これにより、VPNゲートウェイ30が暗号化VPNセッションを識別可能となるため、クライアント20から直接サーバ10のIPアドレスを参照できない状況においても、上記暗号化データ通信(暗号化VPN通信)が可能に
なる。
(第2実施形態)
次に、本発明の第2実施形態である暗号化通信システムについて図面を参照しながら説明する。
上記第1実施形態においては、インターネット内のクライアント20がイントラネット内のサーバ10にアクセスする場合に、サーバ10へのアクセス認証のために、VPNゲートウェイ30は、クライアント20からのサーバ認証フレームをサーバ10に転送し(S113)、かつ、サーバ10からの認証結果をクライアント20に送信した(S121)。本実施形態では、VPNゲートウェイ30における認証用フレームの暗号化・復号化処理を削減する観点から、サーバ10へのアクセス認証もVPNゲートウェイ30で行う。
図4は、本実施形態の暗号化通信システムの概略構成を説明するための図である。図4に示すように、本実施形態の暗号化通信システムは、上記第1実施形態の暗号化通信システムとほぼ同様の構成に加えてさらに、アクセス認証通知部38、及びアクセス許可保持部39を備えている。他の構成については、上記第1実施形態で説明したのと同様であるので、同一の符号を使用しその説明を省略する。
アクセス認証通知部38は、受信フレームのユーザ識別子(UID)でアクセス許可保持部
39を検索し、イントラネットおよびサーバへのユーザのアクセス許可・拒否の判断を行う。アクセス許可の場合は、アクセスを許可したことを示すフレームをクライアントに送信する。
アクセス許可保持部39は、VPNゲートウェイからイントラネット内部のサーバにアクセス可能なクライアントのUIDを記録するブロックであり、クライアントのアクセス認
証に利用する。
なお、クライアント側送受信部34は上記第1実施形態で説明した機能に加えてさらに、復号化したフレームにイントラネットアクセス用のユーザ識別子(UID)が含まれてい
る場合に、アクセス認証通知部38にユーザ識別子UIDとサーバのIPアドレスを渡す。
次に、上記構成の暗号化通信システムの動作について図面を参照しながら説明する。
図5は、本実施形態の暗号化通信システムの動作について説明するためのシーケンス図である。なお、以下の処理は、クライアント20、VPNゲートウェイ30、及びサーバ10に、それぞれ所定プログラムが読み込まれて実行されることで実現される。
(クライアント⇒VPNゲートウェイの認証フェーズ)
(クライアントのイントラネットへのアクセス認証)
クライアント20においては、イントラネットへのアクセス認証のために、次の処理が行われる(S200)。
ユーザ識別子UID1を、VPNゲートウェイ用公開鍵KeyG2で暗号化する。この暗号化さ
れたユーザ識別子UID1を含み、セッション識別子SID1を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S201)。すなわち、このフレームに送信元IPアドレス(クライアント20のIPアドレス) = 20.0.0.1、送信先IPアドレス(VPNゲートウェイ30のIPアド
レス) = 30.0.0.1を設定し、このIPアドレスが設定されたフレームをインターネット
上に送出する。
VPNゲートウェイ30においては、クライアント20のイントラネットへのアクセス認証のために、次の処理が行われる(S202)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID1を読み出す。このセッション識別子SID1をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままクライアント側送受信部34に渡す。
クライアント側送受信部34は、その受信フレームがVPNゲートウェイ用公開鍵KeyG2で暗号化されたフレームであるため、その受信フレームを自身の秘密鍵KeyP2で復号化する。これにより、ユーザ識別子UID1を取得する。
クライアント側送受信部34は、複合化したフレーム中にあるユーザ識別子UID1、及びサーバ10の識別子(192.168.0.2)をアクセス許可通知部38に渡す。
アクセス許可通知部38は、アクセス許可保持部39を検索する。ここでは、そのユーザ識別子UID1、及びサーバ10の識別子(192.168.0.2)が登録されており、「許可」であ
ったとする。この場合、そのユーザ識別子UID1等に対する認証結果が「許可」であったため、アクセス許可通知部38は、認証結果の通知(アクセス許可通知)をクライアント20宛てに送信する(S203)。すなわち、認証結果を含むフレームに送信元IPアドレス(VPNゲートウェイ30) = 30.0.0.1、送信先IPアドレス(クライアント20) = 20.0.0.1を設定し、このIPアドレスが設定されたフレームをインターネット上に送出する。
クライアント20は、上記認証結果の通知(アクセス許可通知)を受信することで、イントラネットへのアクセス認証、及びサーバ10へのアクセス認証が成立したことを知る。
(クライアントとの共通鍵の交換)
次に、クライアント20においては、共通鍵の交換のために、次の処理が行われる(S204)。
共通鍵KeyS1を生成する。これは公知の技術である。該共通鍵と該セッション識別子を
VPNゲートウェイ用公開鍵KeyG2で暗号化する。この暗号化された共通鍵とセッション
識別子を含み、先ほどのセッション識別子SID1を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S205)。すなわち、このフレームに送信元IPアドレス(クライアント20のIPアドレス) = 20.0.0.1、送信先IPアドレス(VPNゲートウェイ30のIPアドレス) = 30.0.0.1を設定し、このIPアドレスが設定されたフレームをインターネット上に送出する。
VPNゲートウェイ30においては、共通鍵の交換のために、次の処理が行われる(S206)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID1を読み出す。このセッション識別子SID1をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままクライアント側送受信部34に渡す。
クライアント側送受信部34は、その受信フレームがVPNゲートウェイ用公開鍵KeyG2で暗号化されたフレームであるため、その受信フレームを自身の秘密鍵KeyP2で復号化す
る。これにより、クライアント20が生成した共通鍵KeyS1を取得する(S206)。ク
ライアント側送受信部34は、その共通鍵KeyS1を共有鍵+識別子作成部36に渡す。
共通鍵+識別子作成部36は、新しく共通鍵KeyS2とセッション識別子SID3を作成し(
S207)、これらをクライアント側送受信部34に渡す。また、共通鍵+識別子作成部36は、クライアント側送受信部34より受け取った共通鍵KeyS1と、上記新しく作成し
た共通鍵KeyS2とセッション識別子SID3を、共通鍵+識別子転送部37に渡す。
共通鍵+識別子転送部37は、共通鍵KeyS1、共通鍵KeyS2、及びセッション識別子SID3を、サーバ用公開鍵KeyG3で暗号化する。この暗号化された共通鍵KeyS1等を含み、セッション識別子SID2を付与したフレームを作成する。このフレームをサーバ10宛てに送信する(S208)。すなわち、このフレームに送信元IPアドレス(VPNゲートウェイ30のIPアドレス) = 192.168.0.1、送信先IPアドレス(サーバ10のIPアドレス)
= 192.168.0.2を設定し、このIPアドレスが設定されたフレームをイントラネット上に送出する。
サーバ10においては、次の処理が行われる(S209)。
そのフレーム受信部12が、上記フレームを受信し、この受信フレームを自身の秘密鍵KeyP3で復号化する。
以上のS200〜S209により、サーバ10への共通鍵等の転送が終了する。共通鍵等の転送が終了した時点で、サーバ10は、共通鍵KeyS1と共通鍵KeyS2とセッション識別子SID3を保持することになる。
次に、サーバ10においては、共通鍵の転送が完了したことをVPNゲートウェイ30に知らせるために、そのフレーム送信部11が、データ通信フェーズのセッション識別子SID3を含む共通鍵転送完了通知を含み、セッション識別子SID2を付与したフレーム(IPパケットともいう。以下同様。)を作成する。フレーム送信部11は、そのフレームをVPNゲートウェイ30宛に送信する(S210)。
VPNゲートウェイ30は、上記共通鍵転送完了通知を受信することで、サーバ10に共通鍵等が転送完了したことを知る。
次に、VPNゲートウェイ30においては、次の処理が行われる。
そのフレーム転送部31が共通鍵転送完了通知を受信すると、その受信フレームからSID2を読み出す。このセッション識別子SID2をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままサーバ側送受信部33に渡す。また、データ通信フェーズのセッション識別子SID3と、サーバ10のIPアドレス(192.168.0.2)及びクライアント20のIPアドレス(20.0.0.1)を
セッション記録部32に記録する(S211)。
フレーム転送部31から受信フレームを受けると、サーバ側送受信部33は、共通鍵転送通知をクライアント側送受信部34に渡す。
クライアント側送受信部34は、自装置の公開鍵(KeyG1)を用いて共通鍵KeyS2とセッション識別子SID3を暗号化する。この暗号化された共通鍵KeyS2等を含み、認証フェーズの
セッション識別子SID1を付与したフレームを作成する。このフレームをクライアント20宛てに送信する(S212)。
クライアント20においては、上記共通鍵フレームを受信し、自身の秘密鍵(KeyP1)で
復号化を行う。これにより、共通鍵KeyS2及びセッション識別子SID3を得る(S213)
以上のS210〜S213により、クライアント20との間の共通鍵等の交換が終了する。共通鍵等の交換が終了した時点で、クライアント20は、サーバ10と同様に、共通鍵KeyS1と共通鍵KeyS2とセッション識別子SID3を保持することになる。
以後、上記第1実施形態と同様に、クライアント20とサーバ10との間で、VPNゲートウェイ30を介して、データ通信が行われる(S122〜S131)。
以上説明したように、本実施形態の暗号化通信システムによれば、認証フェーズで、VPNゲートウェイ30がサーバ10に暗号鍵・復号鍵を転送する(S208)。データ通信フェーズで、サーバ10とクライアント20との間で暗号化・復号化処理を行う。これにより、データ通信フェーズにおけるVPNゲートウェイ30の暗号化・復号化処理が不要となる。
また、本実施形態の暗号化通信システムによれば、クライアント20とVPNゲートウェイ30との間、及びVPNゲートウェイ30とサーバ10との間におけるアクセスリクエストとその応答フレームが不要となる。このため、VPNゲートウェイ30の暗号化・復号化処理をより軽減することが可能となる。
具体的には、認証手続きを2回から1回に減らすことにより、クライアント20とVPNゲートウェイ30との間、及びVPNゲートウェイ30とサーバ10との間におけるアクセスリクエストとその応答フレームが不要となる。このため、VPNゲートウェイ30の暗号化・復号化処理をより軽減可能となる。
(第3実施形態)
次に、本発明の第3実施形態である暗号化通信システムについて図面を参照しながら説明する。
上記第1実施形態においては、クライアント20とVPNゲートウェイ30との間で鍵を作成してから該鍵をサーバ10に転送するように説明した。本実施形態では、これに代えて、クライアント20が送信する鍵作成用のフレームをサーバ10に転送し、サーバ10が送信する鍵作成用のフレームをクライアント20に転送する。
図6は、本実施形態の暗号化通信システムの概略構成を説明するための図である。
図6に示すように、本実施形態の暗号化通信システムは、上記第2実施形態の暗号化通信システムとほぼ同様の構成に加えてさらに、共通鍵転送部40、識別子作成部41、及び識別子転送部42を備えている。他の構成については、上記第1及び第2実施形態で説明したのと同様であるので、同一の符号を使用しその説明を省略する。
共通鍵転送部40は、共通鍵を含むフレームをサーバとクライアントの間で転送するブロックである。クライアント側から共通鍵を含むフレームを受信すると、アドレスを書き換えてサーバ側に転送する。また、識別子作成部に識別子作成依頼を渡す。クライアント側から上記以外のフレームを受信すると、クライアント側送受信部にフレームを渡す。サーバ側から共通鍵を含むフレームを受信すると、アドレスを書き換えてクライアント側に転送する。
識別子作成部41は、データ通信フェーズで利用する識別子を作成するブロックである。共通鍵転送部より識別子作成依頼を受信すると、新しくセッション識別子を作成し、識別子転送部に渡す。
識別子転送部42は、識別子を送信するフレームを作成するブロックである。共有鍵+識別子作成部から、クライアントの生成したセッション識別子を受け取ると、サーバの公開鍵で暗号化し、サーバ側に送信する。
次に、上記構成の暗号化通信システムの動作について図面を参照しながら説明する。
図7は、本実施形態の暗号化通信システムの動作について説明するためのシーケンス図である。なお、以下の処理は、クライアント20、VPNゲートウェイ30、及びサーバ30に、それぞれ所定プログラムが読み込まれて実行されることで実現される。
(クライアント⇒VPNゲートウェイの認証フェーズ)
(クライアントのイントラネットへのアクセス認証)
クライアント20においては、イントラネットへのアクセス認証のために、次の処理が行われる(S300)。
ユーザ識別子UID1を、VPNゲートウェイ用公開鍵KeyG2で暗号化する。この暗号化さ
れたユーザ識別子UID1を含み、セッション識別子SID1を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S301)。すなわち、このフレームに送信元IPアドレス(クライアント20のIPアドレス) = 20.0.0.1、送信先IPアドレス(VPNゲートウェイ30のIPアド
レス) = 30.0.0.1を設定し、このIPアドレスが設定されたフレームをインターネット
上に送出する。
VPNゲートウェイ30においては、イントラネットへのアクセス認証のために、次の処理が行われる(S302)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID1を読み出す。このセッション識別子SID1をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのままクライアント側送受信部34に渡す。
クライアント側送受信部34は、その受信フレームがVPNゲートウェイ用公開鍵KeyG2で暗号化されたフレームであるため、その受信フレームを自身の秘密鍵KeyP2で復号化する。これにより、ユーザ識別子UID1を取得する。
クライアント側送受信部34は、複合化したフレーム中にあるユーザ識別子UID1、及びサーバ10の識別子(192.168.0.2)をアクセス許可通知部38に渡す。
アクセス許可通知部38は、アクセス許可保持部39を検索する。ここでは、そのユーザ識別子UID1、及びサーバ10の識別子(192.168.0.2)が登録されており、「許可」であ
ったとする。この場合、そのユーザ識別子UID1等に対する認証結果が「許可」であったため、アクセス許可通知部38は、認証結果の通知(アクセス許可通知)をクライアント20宛てに送信する(S303)。すなわち、認証結果を含むフレームに送信元IPアドレス(VPNゲートウェイ30) = 30.0.0.1、送信先IPアドレス(クライアント20) = 20.0.0.1を設定し、このIPアドレスが設定されたフレームをインターネット上に送出する。
クライアント20は、上記認証結果の通知(アクセス許可通知)を受信することで、イントラネットへのアクセス認証、及びサーバ10へのアクセス認証が成立したことを知る。
(クライアントとの共通鍵の交換)
次に、クライアント20においては、共通鍵の交換のために、次の処理が行われる(S304)。
共通鍵KeyS1を生成する。これは公知の技術である。該共通鍵と該セッション識別子を
VPNゲートウェイ用公開鍵KeyG2で暗号化する。この暗号化された共通鍵とセッション
識別子を含み、認証フェーズのセッション識別子SID1を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する。
VPNゲートウェイ30においては、共通鍵の交換のために、次の処理が行われる(S306)。
そのフレーム転送部31が上記フレームを受信すると、その受信フレームからセッション識別子SID1を読み出す。このセッション識別子SID1をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのまま共通鍵転送部40に渡す。
共通鍵転送部40は、受信フレームがVPNゲートウェイ30の公開鍵で暗号化されたフレームであるため、自身の秘密鍵KeyP2でフレームを復号化する。これにより、共通鍵KeyS1を取得する。
共通鍵転送部40は、識別子作成依頼を識別子作成部41に通知する。識別子作成部41は新しくセッション識別子SID3を作成し、識別子転送部42に渡す。識別子転送部42は、上記セッション識別子SID3をサーバ10の公開鍵KeyG3で暗号化する。その暗号化さ
れたセッション識別子SID3を含み、セッション識別子SID2を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをサーバ10宛てに送信する(S307)。すなわち、そのフレームに送信元IPアドレス(VPNゲートウェイ30のIPアドレス)= 192.168.0.1、送信先IPアドレス(サーバ10のIPアドレス) = 192.168.0.2を設定し、このIPアドレスが設定されたフレームをサーバ側ネットワークであ
るイントラネットに送出する。
共通鍵転送部40は、上記取得した共通鍵KeyS1をサーバ10の公開鍵KeyG3を用いて暗号化する。この暗号化された共通鍵KeyS1を含み、認証フェーズのセッション識別子SID2
を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをサーバ10宛てに送信する(S308)。
サーバ10においては、次の処理が行われる(S309)。
そのフレーム受信部12が、上記2つのフレームを受信し、自身の秘密鍵KeyP3で復号化する。
フレーム送信部11は、鍵作成部13より新しい共通鍵KeyS2を受け取り(S310)
、この共通鍵KeyS2をVPNゲートウェイ30の公開鍵KeyG2で暗号化する。この暗号化された共通鍵KeyS2を含み、認証フェーズのセッション識別子SID2を付与したフレーム(I
Pパケットともいう。以下同様。)を作成する。このフレームをVPNゲートウェイ30宛てに送信する(S311)。具体的には、そのフレームに送信元IPアドレス(サーバ
10のIPアドレス) = 192.168.0.2、送信先IPアドレス(VPNゲートウェイ30のIPアドレス) = 192.168.0.1を設定し、このIPアドレスが設定されたフレームをイントラネットに送出する。
以上のS304〜S310により、サーバ10への共通鍵等の転送が終了する。共通鍵等の転送が終了した時点で、サーバ10は、共通鍵KeyS1と共通鍵KeyS2とセッション識別子SID3を保持することになる。
VPNゲートウェイ30においては、次の処理が行われる(S312)。
そのフレーム転送部31が上記フレームを受信すると、受信フレーム中のSID2でセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、受信フレームをそのまま共通鍵転送部40に渡す。また、データ通信フェーズのセッション識別子SID3と、サーバ10のアドレス(192.168.0.2)及びクライアント20のアドレス(20.0.0.1)をセッション記録部32に記録する。
共通鍵転送部40は、受信フレームがVPNゲートウェイ30の公開鍵で暗号化されたフレームであるため、自身の秘密鍵(KeyP2)でフレームを復号化する。これにより、共
通鍵KeyS2を取得する。
共通鍵転送部40は、取得した共通鍵KeyS2とデータ通信フェーズのセッション識別子SID3をクライアント20の公開鍵KeyG3を用いて暗号化する。この暗号化された共通鍵KeyS2等を含み、認証フェーズのセッション識別子SID1を付与したフレーム(IPパケットと
もいう。以下同様。)を作成する。このフレームをクライアント20宛てに送信する(S313)。
クライアント20は、上記共通鍵フレームを受信し、自身の秘密鍵KeyP1で復号化を行
い、共通鍵KeyS2及びセッション識別子SID3を得る(S314)。
以上により、クライアント20との間の共通鍵等の交換が終了する。共通鍵等の交換が終了した時点で、クライアント20は、サーバ10と同様に、共通鍵KeyS1と共通鍵KeyS2とセッション識別子SID3を保持することになる。
以後、上記第1及び第2実施形態と同様に、クライアント20とサーバ10との間で、VPNゲートウェイ30を介して、データ通信が行われる(S122〜S131)。
以上説明したように、本実施形態の暗号化通信システムによれば、認証フェーズで、VPNゲートウェイ30がサーバ10に暗号鍵・復号鍵を転送する(S308)。データ通信フェーズで、サーバ10とクライアント20との間で暗号化・復号化処理を行う。これにより、データ通信フェーズにおけるVPNゲートウェイ30の暗号化・復号化処理が不要となる。
また、本実施形態の暗号化通信システムによれば、クライアント20とサーバ30との間で暗号鍵及び復号鍵を生成するため、VPNゲートウェイ30が鍵の生成処理をする必要がなくなる。これにより、特にサーバ10及びクライアント20の台数が多く、VPNゲートウェイ30にトラヒックが集中する時であっても、VPNゲートウェイ30の負荷を軽減させることが可能となる。
(第4実施形態)
次に、本発明の第4実施形態である暗号化通信システムについて図面を参照しながら説明する。
上記第1実施形態においては、例えば複数のクライアント20からある特定のサーバ10へのアクセスが何度も発生したとき、クライアント20からのアクセスのたびにVPNゲートウェイ30とサーバ10間に公開鍵暗号化方式により暗号化VPNセッションを作成する必要があった。
本実施形態では、この負荷を避けるために、予めサーバ10とVPNゲートウェイ30との間に共通鍵による暗号化VPNセッションを作成し、以降のクライアント20からの共通鍵転送に上記暗号化セッションを利用する。
図8は、本実施形態の暗号化通信システムの概略構成を説明するための図である。
図8に示すように、本実施形態の暗号化通信システムは、上記第1実施形態の暗号化通信システムとほぼ同様の構成に加えてさらに、作成済みセッション記録部43、及び事前セッション作成部44を備えている。他の構成については、上記第1実施形態で説明したのと同様であるので、同一の符号を使用しその説明を省略する。
作成済みセッション記録部43は、セッション識別子SIDと共通鍵を記録することで、
一度作成したVPNゲートウェイ30とサーバ10との間の暗号化VPNセッションを保持するためのデータベースである。
事前セッション作成部44は、サーバ10との間で予めVPNセッションを作成するブロックである。VPNゲートウェイ30のユーザ識別子をサーバ10の公開鍵で暗号化し、サーバ10に送信する。サーバ10側から認証許可通知を受け取ると、新しくセッション識別子および共通鍵を作成し、サーバ10に送信。サーバ10側から共通鍵を受信すると、受信した共通鍵と、自身で作成したセッションSIDと共通鍵を作成済みセッション記
録部32に記録する。
次に、上記構成の暗号化通信システムの動作について図面を参照しながら説明する。なお、以下の処理は、クライアント20、VPNゲートウェイ30、及びサーバ10に、それぞれ所定プログラムが読み込まれて実行されることで実現される。
(VPNゲートウェイ⇒サーバの認証フェーズ)
VPNゲートウェイ30においては、サーバ10との間に共通鍵による暗号化VPNセッションを作成するために、事前に(例えば第1実施形態のS100の前に)以下の処理が行われる。
その事前セッション作成部44は、VPNゲートウェイ30のユーザ識別子UID3をサーバ10の公開鍵KeyG3で暗号化する。この暗号化されたユーザ識別子UID3を含み、認証フ
ェーズのセッション識別子SID2を付与したフレーム(IPパケットともいう。以下同様。)を作成する。このフレームをサーバ10宛てに送信する。すなわち、このフレームに送信元IPアドレス(VPNゲートウェイ30のIPアドレス)= 192.168.0.1、送信先I
Pアドレス(サーバ10のIPアドレス)= 192.168.0.2を設定し、このIPアドレスが
設定されたフレームをイントラネット上に送出する。
サーバ10においては、次の処理が行われる。
そのフレーム受信部12が、上記認証フレームを受信すると、その受信フレームが自己の公開鍵KeyG3で暗号化されたフレームであるため、その受信フレームを自身の秘密鍵KeyP3で復号化する。これにより、ユーザ識別子UID3を得る。
フレーム送信部11は、ユーザ識別子UID3がサーバ10に登録されているアクセス可能な認証データかどうかをチェックする。認証結果が許可であれば、フレーム送信部11は、その認証結果を含み、セッション識別子SID2を付与したフレーム(IPパケットともいう。以下同様。)を作成する。フレーム送信部11は、そのフレームをVPNゲートウェイ30宛てに送信する。すなわち、そのフレームに送信元IPアドレス(サーバ10のIPアドレス) = 192.168.0.2、送信先IPアドレス(VPNゲートウェイ30のIPアドレス) = 192.168.0.1を設定し、このIPアドレスが設定されたフレームをイントラネット上に送出する。
VPNゲートウェイ30は、上記認証結果の通知(許可)を受信することで、サーバ10へのアクセス認証が成立したことを知る。
VPNゲートウェイ30においては、次の処理が実行される。
そのフレーム転送部31が上記フレームを受信すると、受信フレームからセッション識別子SID2を読み出す。このセッション識別子SID2をキーとしてセッション記録部32を検索する。この時点では、該当エントリが存在しない。このため、その受信フレームをそのまま事前セッション作成部にフレームを渡す。
事前セッション作成部44は、新しくセッション識別子SID4と共通鍵KeyS3を作成し、
これらをサーバ10の公開鍵KeyG3で暗号化する。この暗号化されたセッション識別子SID4等を含み、認証フェーズのセッション識別子SID2を付与したフレームを作成する。この
フレームをサーバ10宛てに送信する。すなわち、このフレームに送信元IPアドレス(VPNゲートウェイ30のIPアドレス) = 192.168.0.1、送信先IPアドレス(サーバ10のIPアドレス) = 192.168.0.2を設定し、このIPアドレスが設定されたフレームをイントラネット上に送出する。
サーバ10においては、次の処理が行われる。
そのフレーム受信部12は、上記認証フレームを受信し、この受信フレームを自身の秘密鍵KeyP3で復号化を行う。これにより、セッションSID4と共通鍵KeyS3を得る。
フレーム送信部11は、共通鍵KeyS4をVPNゲートウェイの公開鍵KeyG2で暗号化し、セッション識別子SID2を付与して、送信元IPアドレス = 192.168.0.2、送信先IPアドレス = 192.168.0.1として送信する。
VPNゲートウェイにおいては、次の処理が行われる。
そのフレーム転送部31は、上記フレームを受信すると、受信フレーム中のセッション識別子SID2でセッション記録部を検索する。この時点では、該当エントリが存在しない。このため、そのまま事前セッション作成部にその受信フレームを渡す。
事前セッション作成部44は、受信フレームを自身の秘密鍵(KeyP2)で復号化する。こ
れにより、共通鍵KeyS4を取得する。事前セッション作成部44は、共通鍵(KeyS3, KeyS4)およびセッション識別子(SID4)を作成済みセッション記録部43に渡す。
以降の処理においては、VPNゲートウェイ30からサーバ10への暗号化通信が共通鍵通信に変わる。すなわち、VPNゲートウェイ30からサーバ10に向かう場合は公開鍵KeyG3および秘密鍵KeyP3を共通鍵KeyS3に置き換えた処理と同様となる。サーバ10か
らVPNゲートウェイ30に向かう場合は公開鍵KeyG2および秘密鍵KeyP3を共通鍵KeyS4
に置き換えたものと同様となる。
以上説明したように、本実施形態の暗号化通信システムによれば、上記のようにVPNゲートウェイ30とサーバ10との間のセッションを繰り返し利用できるようになる。これにより、VPNゲートウェイ30における暗号化・復号化処理を削減することが可能となる。
具体的には、同一のサーバ10に複数のクライアント20がアクセスするときに、VPNゲートウェイ30とサーバ10との間の共通鍵セッションを再利用できるようにすることで、VPNゲートウェイ30とサーバ10との間の公開鍵暗号化方式による暗号化処理を共通鍵暗号化方式に置き換え、VPNゲートウェイ30における暗号化・復号化処理を削減することができる。これは、共通鍵暗号化方式のほうが公開鍵暗号化方式よりも暗号化のための計算量が少ないためである。
(第5実施形態)
次に、本発明の第5実施形態である暗号化通信システムについて図面を参照しながら説明する。
一般的に同じ共通鍵で長時間データ通信をすると、通信内容を解読される可能性が高くなる等のセキュリティ上問題がある。このため、定期的に鍵を交換するなどの対策が必要になる。上記第1実施形態のネットワークにおいては、交換前の鍵と交換後の鍵を各ノードが判別し、別々の暗号・復号鍵を利用できるようにするには、交換後の鍵用に新しくセッション識別子を作成する必要がある。そのために、本実施形態では、共通鍵を変更するタイミングで、サーバ10もしくはクライアント20がVPNゲートウェイに対して新しいセッション識別子を通知する。
図9は、本実施形態の暗号化通信システムの概略構成を説明するための図である。
図9に示すように、本実施形態の暗号化通信システムは、上記第1実施形態の暗号化通信システムとほぼ同様の構成に加えてさらに、VPNゲートウェイ30が新識別子登録部45を備え、サーバ10が新識別子通知部14、新共通鍵転送部15、及び新共通鍵作成部16を備えている。他の構成については、上記第1実施形態で説明したのと同様であるので、同一の符号を使用しその説明を省略する。
新識別子登録部45は、新識別子を受信すると、セッション記録部32のエントリ中にある旧共通鍵のSIDを削除し、変わりに新共通鍵のSIDを挿入する。
新共通鍵作成部16は、新共通鍵および新識別子を作成し、新共通鍵転送部15及び新識別子通知部14に該共通鍵を渡す。
新共通鍵転送部15は、上記共通鍵および識別子を旧共通鍵で暗号化し、クライアントに送信する。
新識別子通知部14は、クライアントから新共通鍵を受信すると、新識別子をVPNクライアントに送信する。
以下、上記実施形態1のデータ通信フェーズにおいてサーバ側から共通鍵を交換する場合を例に説明する。クライアント20はKeyS1で暗号化、KeyS2で復号化処理をしており、サーバ10はKeyS2で暗号化、KeyS1で復号化しているものとする。
サーバ10においては、次の処理が行われる。
その新共通鍵作成部16が新しく共通鍵KeyS7及びセッション識別子SID7を作成し、新
共通鍵転送部15及び新識別子通知部14に渡す。
新共通鍵転送部15は、共通鍵KeyS2でKeyS7及びSID7を暗号化し、SID3とともにVPNゲートウェイ(192.168.0.1)宛てにフレームを送信する。
VPNゲートウェイ30においては、次の処理が行われる。
そのフレーム転送部31が上記フレームを受信すると、受信フレーム中のセッション識別子SID3に該当するエントリをセッション記録部32から検索し、クライアントのIPアドレス(20.0.0.1)を読み出す。
フレーム転送部31は、受信フレームの送信元及び送信先のIPアドレスを、送信元IPアドレス = 30.0.0.1、送信先IPアドレス = 20.0.0.1に書換え、この書換後のフレームをクライアント20側に送信する。
クライアント20においては、次の処理が行われる。
上記フレームを受信し、その受信フレームのセッション識別子SID3に対応する復号化用の共通鍵KeyS2で復号処理を行い、共通鍵(KeyS7)およびセッション識別子SID7を取得する。新しく共通鍵KeyS8を生成する。この共通鍵KeyS8を前記共通鍵KeyS2で暗号化する。こ
の暗号化された共通鍵を含み、SID3を付与したフレームを作成する。このフレームをVPNゲートウェイ(30.0.0.1)宛てに送信する。
VPNゲートウェイ30においては、次の処理が行われる。
そのフレーム転送部31が上記フレームを受信すると、受信フレーム中のセッション識別子SID3に該当するエントリをセッション記録部から検索し、サーバのIPアドレス(192.168.0.2)を読み出す。
フレーム転送部31は、受信フレームの送信元及び送信先のIPアドレスを、送信元IPアドレス = 192.168.0.1、送信先IPアドレス = 192.168.0.2に書換え、その書換後のフレームをサーバ側に送信する。
サーバ10においては、次の処理が行われる。
そのフレーム受信部12は、上記フレームを受信し、その受信フレームのセッション識別子SID3に対応する復号化用の共通鍵KeyS1で復号処理を行い、新共通鍵KeyS7を取得する。
新識別子通知部14は、新しい識別子SID7及び旧セッション識別子SID3をVPNゲートウェイ(192.168.0.1)宛てに送信する。
VPNゲートウェイ30においては、次の処理が行われる。
そのフレーム転送部31が、上記フレームを受信し、その受信フレームを新識別子登録部45に渡す。
新識別子登録部45はセッション記録部32より旧セッション識別子SID3のエントリに
関して、セッション識別子SID3を新しいセッション識別子SID7に書き換える。
以降は、旧共通鍵(KeyS1, KeyS2)及び旧セッション識別子SID3の代わりに、新共通鍵(KeyS7, KeyS8)および新セッション識別子SID7を用いて通信を行う。
以上説明したように、本実施形態の暗号化通信システムによれば、クライアント20及びサーバ10は新共通鍵と新セッション識別子を利用してフレームを送受信することが可能となる。また、クライアント20とサーバ10との間で定期的にデータ通信フェーズの鍵を変更できるようになるため、第三者に暗号化したフレームを解読される確率が低下し、データ通信フェーズのセキュリティが向上する。
本発明は、その精神または主要な特徴から逸脱することなく、他の様々な形で実施することができる。このため、上記の実施形態はあらゆる点で単なる例示にすぎない。これらの記載によって本発明が限定的に解釈されるものではない。
第1ネットワーク(例えばインターネット)及び第2ネットワーク(例えばイントラネット)を接続する通信中継装置(例えばVPNゲートウェイ)における暗号化・復号化処理の負荷を軽減することが可能となる。
本発明の第1実施形態である暗号化通信システムの概略構成を説明するための図である。 本発明の第1実施形態である暗号化通信システムに包含されるVPNゲートウェイ30の構成を説明するための図である。 本発明の第1実施形態である暗号化通信システム動作を説明するためのシーケンス図である。 本発明の第2実施形態である暗号化通信システムに包含されるVPNゲートウェイ30の構成を説明するための図である。 本発明の第2実施形態である暗号化通信システム動作を説明するためのシーケンス図である。 本発明の第3実施形態である暗号化通信システムに包含されるVPNゲートウェイ30の構成を説明するための図である。 本発明の第3実施形態である暗号化通信システム動作を説明するためのシーケンス図である。 本発明の第4実施形態である暗号化通信システムに包含されるVPNゲートウェイ30の構成を説明するための図である。 本発明の第5実施形態である暗号化通信システムに包含されるVPNゲートウェイ30の構成を説明するための図である。 本発明の背景技術を説明するための図である。 本発明の背景技術を説明するための図である。 本発明の従来技術を説明するための図である。 本発明の従来技術を説明するための図である。 本発明の原理を説明するための図である。 本発明の原理を説明するための図である。 本発明の原理を説明するための図である。 本発明の原理を説明するための図である。 本発明の原理を説明するための図である。 本発明の原理を説明するための図である。
符号の説明
10 サーバ
20 クライアント
30 VPNゲートウェイ

Claims (7)

  1. 第1ネットワークと第2ネットワークとを接続する通信中継装置を備え、第1ネットワーク内のクライアントと第2ネットワーク内のサーバとの間で、前記通信中継装置を経由して通信するように構成されたネットワークシステムにおいて、第1ネットワーク内と第2ネットワーク内の両通信を暗号化する暗号化通信システムであって、
    前記通信中継装置が、
    前記クライアントとの間で暗号鍵と復号鍵を作成する鍵作成手段と、
    前記暗号鍵と復号鍵を、前記サーバに送信する鍵転送手段と、
    前記クライアントとサーバとの間の暗号化セッションを識別するセッション識別子を作成する識別子作成手段と、
    前記セッション識別子を前記クライアント及びサーバに送信する識別子転送手段と、
    前記サーバ又は前記クライアントが暗号化済みフレームに前記セッション識別子を付与して送信したフレームを受信するフレーム受信手段と、
    前記フレーム受信手段が受信した受信フレームからセッション識別子を抽出する識別子抽出手段と、
    前記受信フレームから抽出された、セッション識別子と前記受信フレームの送信元アドレスとに基づいて、前記クライアント又はサーバ宛てに受信フレームを転送するフレーム転送手段と、
    を備え、
    前記サーバが、
    前記復号鍵を使って受信フレームを復号化するフレーム受信手段と、
    前記暗号鍵を使ってフレームを暗号化し、暗号化されたフレームに前記セッション識別子を付与して送信するフレーム送信手段と、
    を備える暗号化通信システム。
  2. 前記通信中継装置が、
    ユーザごとの前記第2ネットワークへのアクセス許可情報と前記サーバへのアクセス許可情報とを保持するアクセス許可保持手段と、
    アクセス許可もしくはアクセス拒否を通知するフレームを送信するアクセス認証通知手段と、
    を備え、
    前記通信中継装置が、前記クライアントからユーザの認証データを受信すると、該ユーザに対する前記第2ネットワークへのアクセス許可情報と前記サーバへのアクセス許可情報と基づいて、前記第2のネットワークへのアクセス認証と前記サーバへのアクセス認証を行う、
    請求項1に記載の暗号化通信システム。
  3. 前記通信中継装置が、前記鍵作成手段及び鍵転送手段に代えて、
    鍵転送フレームを転送する鍵透過転送手段を備え、
    前記サーバが、前記クライアントとの間で暗号鍵と復号鍵を作成する鍵作成機能を備え、
    前記通信中継装置が前記クライアントから共通鍵を受信すると、前記鍵透過転送手段が前記サーバに該共通鍵を転送し、前記通信中継装置が前記鍵作成手段から共通鍵を受信すると、前記鍵透過転送手段が前記クライアントに該共通鍵を転送する、
    請求項に記載の暗号化通信システム。
  4. 前記通信中継装置が、
    前記サーバとの間に予め暗号化セッションを作成する事前セッション作成手段と、
    前記作成済み暗号化セッションの識別子を保持する作成済セッション保持部と、
    を備え、
    前記通信中継装置が、前記作成済セッション保持部に保持されている暗号化セッションを使って前記サーバに鍵を渡す、
    請求項に記載の暗号化通信システム。
  5. 前記サーバが、
    新しい共通鍵及びこの共通鍵に対応する識別子を作成する新共通鍵作成手段と、
    前記共通鍵を交換前の共通鍵で暗号化し、前記識別子とともに送信する新共通鍵転送手段と、
    前記識別子と旧識別子を送信する新識別子通知手段と、
    を備え、
    前記通信中継装置が、前記識別子を含むフレームを受信すると、前記フレーム転送手段に前記識別子を渡す新識別子登録手段を備え、
    前記クライアントとサーバとの間の共通鍵による暗号化通信の途中で、前記新共通鍵作成手段が、共通鍵および識別子を作成し、
    前記新共通鍵転送手段が、前記共通鍵及び前記識別子を前記クライアントに送信し、
    前記新識別子通知手段が、前記新識別子登録手段に前記2つの識別式を送信する、
    請求項に記載の暗号化通信システム。
  6. 第1ネットワークと第2ネットワークとを接続するとともに、前記第1ネットワーク内のクライアントと第2ネットワーク内のサーバとの間で送受されるフレームを中継する通信中継装置であって、
    前記クライアントとサーバとの間のデータ通信を暗号化するための鍵を、所定プロトコルに従って作成する鍵作成手段と、
    前記作成された鍵を保持する保持手段と、
    前記保持された鍵を所定タイミングで前記サーバに送信する鍵転送手段と、
    前記クライアントとサーバとの間の暗号化セッションを識別するセッション識別子を作成する識別子作成手段と、
    前記セッション識別子を前記クライアント及びサーバに送信する識別子転送手段と、
    前記サーバ又は前記クライアントが暗号化済みのフレームに前記セッション識別子を付与して送信したフレームを受信するフレーム受信手段と、
    前記フレーム受信手段が受信した受信フレームからセッション識別子を抽出する識別子抽出手段と、
    前記受信フレームから抽出された、セッション識別子と前記受信フレームの送信元アドレスとに基づいて、前記クライアント又はサーバ宛てに受信フレームを転送するフレーム転送手段と、
    を備える通信中継装置。
  7. 第1ネットワークと第2ネットワークとを接続する通信中継装置を備え、第1ネットワーク内のクライアントと第2ネットワーク内のサーバとの間で、前記通信中継装置を経由して通信するように構成されたネットワークシステムにおいて、第1ネットワーク内と第2ネットワーク内の両通信を暗号化する暗号化通信方法であって、
    前記通信中継装置が、前記クライアントとの間で暗号鍵と復号鍵を作成する鍵作成ステップと、
    前記通信中継装置が、前記暗号鍵と復号鍵を、前記サーバに送信する鍵転送ステップと、
    前記通信中継装置が、前記クライアントとサーバとの間の暗号化セッションを識別するセッション識別子を作成する識別子作成ステップと、
    前記通信中継装置が、前記セッション識別子を前記クライアント及びサーバに送信する識別子転送ステップと、
    前記通信中継装置が、前記サーバ又はクライアントが暗号化済みのフレームに前記セッション識別子を付与して送信したフレームを受信するステップと、
    前記通信中継装置が、受信した受信フレームからセッション識別子を抽出する識別子抽出ステップと、
    前記通信中継装置が、前記受信フレームから抽出された、セッション識別子と前記受信フレームの送信元アドレスとに基づいて、前記クライアント又はサーバ宛てに受信フレームを転送するフレーム転送ステップと、
    前記サーバが、前記復号鍵を使って受信フレームを復号化するフレーム受信ステップと、
    前記サーバが、前記暗号鍵を使ってフレームを暗号化し、暗号化されたフレームに前記セッション識別子を付与して送信するフレーム送信ステップと、
    を備える暗号化通信方法。
JP2004308395A 2004-10-22 2004-10-22 暗号化通信システム Expired - Fee Related JP4707992B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004308395A JP4707992B2 (ja) 2004-10-22 2004-10-22 暗号化通信システム
US11/050,660 US7650500B2 (en) 2004-10-22 2005-02-03 Encryption communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004308395A JP4707992B2 (ja) 2004-10-22 2004-10-22 暗号化通信システム

Publications (2)

Publication Number Publication Date
JP2006121510A JP2006121510A (ja) 2006-05-11
JP4707992B2 true JP4707992B2 (ja) 2011-06-22

Family

ID=36207359

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004308395A Expired - Fee Related JP4707992B2 (ja) 2004-10-22 2004-10-22 暗号化通信システム

Country Status (2)

Country Link
US (1) US7650500B2 (ja)
JP (1) JP4707992B2 (ja)

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7506370B2 (en) * 2003-05-02 2009-03-17 Alcatel-Lucent Usa Inc. Mobile security architecture
US8392612B2 (en) * 2003-12-24 2013-03-05 Apple Inc. Replication server selection method
JP4770227B2 (ja) * 2005-03-28 2011-09-14 株式会社日立製作所 Sipメッセージの暗号化方法,および暗号化sip通信システム
EP1894411A1 (en) * 2005-06-23 2008-03-05 Thomson Licensing Multi-media access device registration system and method
US8516573B1 (en) * 2005-12-22 2013-08-20 At&T Intellectual Property Ii, L.P. Method and apparatus for port scan detection in a network
JP4114814B2 (ja) * 2006-04-10 2008-07-09 ソニー・エリクソン・モバイルコミュニケーションズ株式会社 通信端末及び通信システム
GB2437791A (en) * 2006-05-03 2007-11-07 Skype Ltd Secure communication using protocol encapsulation
US8451806B2 (en) * 2006-08-21 2013-05-28 Citrix Sysrems, Inc. Systems and methods for pinging a user's intranet IP address
US8213393B2 (en) 2006-08-21 2012-07-03 Citrix Systems, Inc. Methods for associating an IP address to a user via an appliance
US8418243B2 (en) * 2006-08-21 2013-04-09 Citrix Systems, Inc. Systems and methods of providing an intranet internet protocol address to a client on a virtual private network
US7979054B2 (en) * 2006-10-19 2011-07-12 Qualcomm Incorporated System and method for authenticating remote server access
US12321458B2 (en) 2007-03-06 2025-06-03 Unisys Corporation Methods and systems for providing and controlling cryptographic secure communications terminal operable in a plurality of languages
US8325922B1 (en) 2007-07-20 2012-12-04 Apple Inc. Group key security in a multihop relay wireless network
US8667151B2 (en) 2007-08-09 2014-03-04 Alcatel Lucent Bootstrapping method for setting up a security association
US9313658B2 (en) * 2007-09-04 2016-04-12 Industrial Technology Research Institute Methods and devices for establishing security associations and performing handoff authentication in communications systems
JP4983924B2 (ja) * 2007-09-12 2012-07-25 日本電気株式会社 通信システム、通信最適化装置並びにそれらに用いる通信網確立方法
EP2219317A1 (en) * 2007-11-09 2010-08-18 Icon Corp. Key management device and information transmission system using the same
US8607329B2 (en) * 2007-12-19 2013-12-10 Icon Corp. Server device, information providing method and information succession system
JP5361031B2 (ja) * 2008-01-07 2013-12-04 アルパイン株式会社 暗号認証処理方法及び装置
WO2009105280A2 (en) * 2008-02-22 2009-08-27 Security First Corporation Systems and methods for secure workgroup management and communication
JP2011520327A (ja) * 2008-04-15 2011-07-14 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信の信頼性を提供する方法及びシステム
US8155130B2 (en) * 2008-08-05 2012-04-10 Cisco Technology, Inc. Enforcing the principle of least privilege for large tunnel-less VPNs
US20110131138A1 (en) * 2008-08-07 2011-06-02 Icon Corp. Collective suspension/settlement representation processing server device and program
US8559637B2 (en) * 2008-09-10 2013-10-15 Verizon Patent And Licensing Inc. Securing information exchanged via a network
JP5212913B2 (ja) * 2009-03-02 2013-06-19 日本電気株式会社 Vpn接続システム、及びvpn接続方法
US20120047262A1 (en) 2009-04-27 2012-02-23 Koninklijke Kpn N.V. Managing Undesired Service Requests in a Network
US9769149B1 (en) * 2009-07-02 2017-09-19 Sonicwall Inc. Proxy-less secure sockets layer (SSL) data inspection
CN101959168B (zh) * 2009-07-16 2013-10-09 华为技术有限公司 一种计费统计方法和装置
US9336375B1 (en) * 2009-07-28 2016-05-10 Sprint Communications Company L.P. Restricting access to data on portable storage media based on access to a private intranet
US9059971B2 (en) * 2010-03-10 2015-06-16 Koolspan, Inc. Systems and methods for secure voice communications
US8374183B2 (en) * 2010-06-22 2013-02-12 Microsoft Corporation Distributed virtual network gateways
DE102010041804A1 (de) * 2010-09-30 2012-04-05 Siemens Aktiengesellschaft Verfahren zur sicheren Datenübertragung mit einer VPN-Box
US11030305B2 (en) 2010-10-04 2021-06-08 Unisys Corporation Virtual relay device for providing a secure connection to a remote device
JP5423907B2 (ja) * 2010-12-28 2014-02-19 富士通株式会社 鍵設定方法、ノード、サーバ、およびネットワークシステム
US8904484B2 (en) 2011-08-04 2014-12-02 Wyse Technology L.L.C. System and method for client-server communication facilitating utilization of authentication and network-based procedure call
KR101240552B1 (ko) * 2011-09-26 2013-03-11 삼성에스디에스 주식회사 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
KR102062688B1 (ko) * 2012-06-13 2020-02-11 삼성전자주식회사 모바일 광대역 네트워크 환경에서 제어 패킷 및 데이터 패킷을 보호하기 위한 방법 및 시스템
US9282120B2 (en) 2013-02-01 2016-03-08 Vidder, Inc. Securing communication over a network using client integrity verification
US9596077B2 (en) * 2013-04-22 2017-03-14 Unisys Corporation Community of interest-based secured communications over IPsec
CN103220130B (zh) * 2013-05-08 2016-11-09 东南大学 数字混沌保密通信的加密及解密方法
US9246677B2 (en) * 2013-07-01 2016-01-26 Infosys Limited Method and system for secure data communication between a user device and a server
JP6175971B2 (ja) * 2013-08-16 2017-08-09 富士通株式会社 情報処理装置、情報処理方法及び情報処理プログラム
CN105940644B (zh) * 2013-12-02 2019-11-12 阿卡麦科技公司 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务
CN104680676B (zh) * 2013-12-03 2017-08-01 航天信息股份有限公司 一种自建安全隧道的跨网络vpn接入开票系统及其方法
FR3028373A1 (fr) * 2014-11-07 2016-05-13 Orange Delegation d'intermediation sur un echange de donnees chiffrees.
US9774572B2 (en) * 2015-05-11 2017-09-26 Salesforce.Com, Inc. Obfuscation of references to network resources
EP3113443B1 (en) * 2015-07-02 2020-08-26 Telefonica Digital España, S.L.U. Method, a system and computer program products for securely enabling in-network functionality over encrypted data sessions
US10104522B2 (en) * 2015-07-02 2018-10-16 Gn Hearing A/S Hearing device and method of hearing device communication
US10567347B2 (en) 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service
US10169719B2 (en) * 2015-10-20 2019-01-01 International Business Machines Corporation User configurable message anomaly scoring to identify unusual activity in information technology systems
US10469262B1 (en) 2016-01-27 2019-11-05 Verizon Patent ad Licensing Inc. Methods and systems for network security using a cryptographic firewall
EP3200420B1 (en) * 2016-01-29 2021-03-03 Vodafone GmbH Providing communications security to an end-to-end communication connection
US10257167B1 (en) 2016-06-21 2019-04-09 Amazon Technologies, Inc. Intelligent virtual private network (VPN) client configured to manage common VPN sessions with distributed VPN service
US10601779B1 (en) * 2016-06-21 2020-03-24 Amazon Technologies, Inc. Virtual private network (VPN) service backed by eventually consistent regional database
JP6603632B2 (ja) * 2016-08-16 2019-11-06 日本電信電話株式会社 Apiシステム及びデータ暗号化方法
US10348698B2 (en) * 2016-09-15 2019-07-09 Nagravision S.A. Methods and systems for link-based enforcement of routing of communication sessions via authorized media relays
JP6288219B1 (ja) 2016-11-18 2018-03-07 Kddi株式会社 通信システム
EP3379794B1 (en) * 2017-03-20 2019-12-04 LINKK spolka z ograniczona odpowiedzialnoscia Method and system for realising encrypted connection with a local area network
US10554480B2 (en) 2017-05-11 2020-02-04 Verizon Patent And Licensing Inc. Systems and methods for maintaining communication links
CN112911583A (zh) 2017-07-11 2021-06-04 华为技术有限公司 设备接入方法、设备及系统
JP6547180B2 (ja) * 2017-12-05 2019-07-24 Kddi株式会社 通信システム
JP7151145B2 (ja) * 2018-04-17 2022-10-12 凸版印刷株式会社 申込システム、申込方法、および、申込中継サーバ
US10904217B2 (en) 2018-05-31 2021-01-26 Cisco Technology, Inc. Encryption for gateway tunnel-based VPNs independent of wan transport addresses
CN111125763B (zh) * 2019-12-24 2022-09-20 百度在线网络技术(北京)有限公司 隐私数据的处理方法、装置、设备和介质
CN115314242B (zh) * 2022-06-24 2024-06-21 贵州省气象信息中心(贵州省气象档案馆、贵州省气象职工教育培训中心) 一种网络数据安全加密方法及其装置

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0231290A (ja) * 1988-07-21 1990-02-01 Matsushita Electric Ind Co Ltd Icカード装置
CA1337132C (en) * 1988-07-15 1995-09-26 Robert Filepp Reception system for an interactive computer network and method of operation
JP2850391B2 (ja) * 1989-08-16 1999-01-27 国際電信電話株式会社 機密通信中継システム
JPH05281906A (ja) * 1992-04-02 1993-10-29 Fujitsu Ltd 暗号鍵共有方式
JP3263879B2 (ja) 1993-10-06 2002-03-11 日本電信電話株式会社 暗号通信システム
US5500898A (en) * 1995-03-31 1996-03-19 Nec Corporation Scramble communication system multiplexing/demultiplexing scramble generation polynomial
US6079020A (en) * 1998-01-27 2000-06-20 Vpnet Technologies, Inc. Method and apparatus for managing a virtual private network
US7111172B1 (en) * 1999-07-19 2006-09-19 Rsa Security Inc. System and methods for maintaining and distributing personal security devices
JP3570311B2 (ja) * 1999-10-07 2004-09-29 日本電気株式会社 無線lanの暗号鍵更新システム及びその更新方法
US7117526B1 (en) * 1999-10-22 2006-10-03 Nomadix, Inc. Method and apparatus for establishing dynamic tunnel access sessions in a communication network
JP3570327B2 (ja) * 2000-02-22 2004-09-29 日本電気株式会社 プロキシ暗号通信システム及び方法並びにプログラムを記録した記録媒体
SE518604C2 (sv) * 2000-06-29 2002-10-29 Wireless Login Ab Metod och anordning för säker anslutning till ett kommunikationsnätverk
JP2002082907A (ja) * 2000-09-11 2002-03-22 Nec Corp データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体
JP2002140309A (ja) * 2000-11-02 2002-05-17 Hitachi Ltd サービスシステム
JP2002176432A (ja) * 2000-12-05 2002-06-21 Sony Corp 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体
JP2002189646A (ja) * 2000-12-22 2002-07-05 Matsushita Electric Ind Co Ltd 中継装置
US6961366B1 (en) * 2001-01-02 2005-11-01 Applied Micro Circuits Corporation System and method for redundant path connections in digital communications network
FR2825869B1 (fr) * 2001-06-08 2003-10-03 France Telecom Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public
JP3651424B2 (ja) 2001-08-28 2005-05-25 日本電気株式会社 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置
WO2003061205A1 (en) * 2002-01-10 2003-07-24 Fujitsu Limited Shor-distance wireless communication system using mobile terminal and wireless communication device therefor
AU2003293381A1 (en) * 2002-12-03 2004-06-23 Funk Software, Inc. Tunneled authentication protocol for preventing man-in-the-middle attacks
JP2004247916A (ja) * 2003-02-13 2004-09-02 Nippon Telegr & Teleph Corp <Ntt> Web連携対応SIPサービス制御システムおよび制御方法
KR20050116817A (ko) * 2003-03-10 2005-12-13 톰슨 라이센싱 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘
US7362864B2 (en) * 2003-09-11 2008-04-22 Xilinx, Inc. Framing of transmit encoded data and linear feedback shifting
JP2005117511A (ja) * 2003-10-10 2005-04-28 Nec Corp 量子暗号通信システム及びそれに用いる量子暗号鍵配布方法
JP2005175825A (ja) * 2003-12-10 2005-06-30 Ntt Data Corp 暗号化パケットフィルタリング装置およびそのプログラム、ならびにホスト装置

Also Published As

Publication number Publication date
US7650500B2 (en) 2010-01-19
JP2006121510A (ja) 2006-05-11
US20060090074A1 (en) 2006-04-27

Similar Documents

Publication Publication Date Title
JP4707992B2 (ja) 暗号化通信システム
JP5978759B2 (ja) サービス要求装置、サービス提供システム、サービス要求方法およびサービス要求プログラム
JP5346107B2 (ja) インターネットのための対称鍵配信フレームワーク
JP2023116573A (ja) クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ
US7702901B2 (en) Secure communications between internet and remote client
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
JP5744172B2 (ja) 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ
CN109150688B (zh) IPSec VPN数据传输方法及装置
CN1756234B (zh) 服务器、vpn客户装置、vpn系统
CN102065059B (zh) 安全访问控制方法、客户端及系统
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
EP1384370B1 (en) Method and system for authenticating a personal security device vis-a-vis at least one remote computer system
JP2024525557A (ja) アクセス制御方法、アクセス制御システム、および関連デバイス
JP2008252456A (ja) 通信装置、及び通信方法
CN109040059A (zh) 受保护的tcp通信方法、通信装置及存储介质
JP4933286B2 (ja) 暗号化パケット通信システム
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
JP4358795B2 (ja) Tlsセッション情報の引継ぎ方法及びコンピュータシステム
KR20150060050A (ko) 네트워크 장치 및 네트워크 장치의 터널 형성 방법
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
CN114268499A (zh) 数据传输方法、装置、系统、设备和存储介质
US20080059788A1 (en) Secure electronic communications pathway
KR102780207B1 (ko) 오버레이 네트워크를 통한 통신 방법 및 그 시스템
KR101594897B1 (ko) 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070906

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110121

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110316

LAPS Cancellation because of no payment of annual fees