JP4760122B2 - 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム - Google Patents

仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム Download PDF

Info

Publication number
JP4760122B2
JP4760122B2 JP2005144810A JP2005144810A JP4760122B2 JP 4760122 B2 JP4760122 B2 JP 4760122B2 JP 2005144810 A JP2005144810 A JP 2005144810A JP 2005144810 A JP2005144810 A JP 2005144810A JP 4760122 B2 JP4760122 B2 JP 4760122B2
Authority
JP
Japan
Prior art keywords
common key
closed network
virtual
virtual closed
terminal devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005144810A
Other languages
English (en)
Other versions
JP2006324830A (ja
Inventor
知秀 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005144810A priority Critical patent/JP4760122B2/ja
Publication of JP2006324830A publication Critical patent/JP2006324830A/ja
Application granted granted Critical
Publication of JP4760122B2 publication Critical patent/JP4760122B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラムに関し、特に仮想閉域網(VPN;Virtual Private Network)を構築するための共通鍵の配信方法に関する。
従来、上記の仮想閉域網においては、図18に示すように、ネットワーク(インタネットやイントラネット等)100に接続された利用者端末5−1〜5−4の間において、各利用者端末5−1〜5−4間に仮想パス[例えば、IPsec(Internet Protocol security protocol)による暗号化パス]を設定することで、N対Nの仮想閉域網が構築されている。
この場合、各利用者端末5−1〜5−4間に仮想パスを設定するためには、利用者端末5−1と利用者端末5−2との間の仮想パスに用いる共通鍵、利用者端末5−1と利用者端末5−3との間の仮想パスに用いる共通鍵、利用者端末5−1と利用者端末5−4との間の仮想パスに用いる共通鍵等を各利用者端末5−1〜5−4各々に設定して管理しなければならない。
上記の利用者端末5−1〜5−4相互間の仮想パスに用いる暗号化方式としては、基本的に、共通鍵暗号化方式、公開鍵暗号化方式、ハイブリッド暗号化方式が利用されている。共通鍵暗号化方式は暗号・復号化処理速度が速いが、共通鍵の配付・管理方法に課題がある。公開鍵暗号化方式は公開鍵の利用によって鍵管理が容易となるが、処理速度が遅くなるという課題がある。上記の課題を解決するために、ハイブリッド暗号化方式が提唱されている。
これらの暗号化方式は、端末相互間の一対一の通信に用いられており、複数の端末間を相互接続した仮想閉域網においてはこれらの暗号化方式によって複数の端末間の一対多の通信が、一般的に行われている。上記の複数の装置間を接続する方法としては、秘密鍵を共用し、鍵を「鍵配布センタ」を利用して送付することで解決する方法が提案されている(例えば、特許文献1参照)。
特開2004−056628号公報
上述した従来の仮想閉域網では、N対Nの仮想閉域網を構築する場合、各利用者端末が自端末を除く他の端末に対して仮想パスを設定しなければならず、その仮想パスに用いる共通鍵暗号化方式、公開鍵暗号化方式、ハイブリッド暗号化方式の鍵をやり取りしなければならず、大変な手間と時間とがかかるという問題がある。
これに対して、上記の特許文献1に記載の方法の場合には、鍵の配布対象をリソースの少ない家電等の装置を対象しているため、グループで一つの鍵を共有しているので、手間と時間とを削減することができるが、安全性の低下や機能が限定されるという問題がある。この場合、リソースの充実したコンピュータやサーバ等による端末装置間の通信は考慮されていない。
また、上記の特許文献1に記載の方法では、「期限付き鍵」についても言及されているが、主に、装置が消滅した場合に対する予防措置に留まっている。さらに、共通鍵の管理に関しては、個別の方法が取られており、その運用に関して提案されていない。さらに、端末装置の利用者自身が適宜容易に接続相手の端末装置を選択指定して仮想閉域網を構築したり、開放したりする手段を有していない。
一方、上述した鍵方式では、鍵の有効期限を一元管理したり、ここの仮想閉域網に属する端末装置間の仮想パス管理を一元管理することができない。このため、例えば、端末装置間で不適(不要)な接続や通信が行われていても、それを網の管理者が把握することができず、場合によっては、情報漏洩や著作権問題等が引き起こされる可能性がある。
そこで、本発明の目的は上記の問題点を解消し、仮想パスを設定するための鍵のやり取りの手間と時間とを大幅に削減することができる仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラムを提供することにある。
また、本発明の他の目的は、端末装置利用者が容易に適宜接続相手の端末装置を選択して動的なN対Nの仮想閉域網を構築・開放することができ、接続数・時間に応じた料金で利用することができるとともに、情報漏洩や著作権問題等を予防することができる仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラムを提供することにある。
本発明による仮想閉域網システムは、複数の端末装置間において、当該複数の端末装置間の仮想パスに用いる共通鍵を用いて各端末装置相互で1対1接続して仮想閉域網を構築する仮想閉域網システムであって、
前記仮想閉域網を構築するために前記端末装置各々で管理すべき共通鍵記載された共通鍵テーブルを前記複数の端末装置各々に同期配信する手段を含む共通鍵同期配信サーバを備え、
前記複数の端末装置各々が前記共通鍵テーブルを用いて各端末装置相互で1対1接続して前記仮想閉域網を構築している。
本発明による他の仮想閉域網システムは、上記の構成の他に、前記仮想閉域網を構築する際に課金を行う課金サーバを含み、
前記共通鍵同期配信サーバが、前記課金サーバに対して前記共通鍵テーブルの配信周期及び配信数とを少なくとも通知している。
本発明による共通鍵同期配信サーバ装置は、複数の端末装置間において、当該複数の端末装置間の仮想パスに用いる共通鍵を用いて各端末装置相互で1対1接続して仮想閉域網を構築する仮想閉域網システムに用いられる共通鍵同期配信サーバ装置であって、
前記仮想閉域網を構築するために前記端末装置各々で管理すべき共通鍵記載された共通鍵テーブルを前記複数の端末装置各々に同期配信する手段を備えている。
本発明による他の共通鍵同期配信サーバ装置は、上記の構成の他に、前記仮想閉域網を構築する際に課金を行う課金サーバに対して前記共通鍵テーブルの配信周期及び配信数とを少なくとも通知する手段を具備している。
本発明による共通鍵配信方法は、複数の端末装置間において、当該複数の端末装置間の仮想パスに用いる共通鍵を用いて各端末装置相互で1対1接続して仮想閉域網を構築する仮想閉域網システムに用いられる共通鍵配信方法であって、
共通鍵同期配信サーバが、前記仮想閉域網を構築するために前記端末装置各々で管理すべき共通鍵記載された共通鍵テーブルを前記複数の端末装置各々に同期配信する処理を実行し、
前記複数の端末装置各々が前記共通鍵テーブルを用いて各端末装置相互で1対1接続して前記仮想閉域網を構築している。
本発明による他の共通鍵配信方法は、上記の処理の他に、前記共通鍵同期配信サーバが、前記仮想閉域網を構築する際に課金を行う課金サーバに対して前記共通鍵テーブルの配信周期及び配信数とを少なくとも通知する処理を実行している。
本発明によるプログラムは、複数の端末装置間において、当該複数の端末装置間の仮想パスに用いる共通鍵を用いて各端末装置相互で1対1接続して仮想閉域網を構築する仮想閉域網システムに用いられる共通鍵同期配信サーバ装置内のコンピュータに実行させるプログラムであって、
前記仮想閉域網を構築するために前記端末装置各々で管理すべき共通鍵記載された共通鍵テーブルを前記複数の端末装置各々に同期配信する処理を含み、
前記複数の端末装置各々に、前記共通鍵テーブルを用いて各端末装置相互で1対1接続させて前記仮想閉域網を構築させることを特徴とする
本発明による他のプログラムは、前記コンピュータに、前記仮想閉域網を構築する際に課金を行う課金サーバに対して前記共通鍵テーブルの配信周期及び配信数とを少なくとも通知する処理を実行させている。
すなわち、本発明の仮想閉域網システムは、複数の装置が各装置相互の暗号化に利用する共通鍵を、周期毎に更新する共通鍵テーブルを各装置との間の共通鍵を用いて暗号したものを各装置に同期配信する共通鍵同期配信サーバを有している。また、本発明の仮想閉域網システムは、その共通鍵同期配信サーバによって配付した共通鍵の配信周期と配信数とに応じた課金情報を取得する課金サーバとを有している。
本発明の仮想閉域網システムでは、共通鍵同期配信サーバから周期毎に更新する共通鍵テーブルを各装置に同期配信することによって、各装置が個別に鍵のやり取りを行う必要がなくなるので、仮想パスを設定するための鍵のやり取りの手間と時間とを大幅に削減することが可能となる。また、本発明の仮想閉域網システムでは、上記の各サーバ装置を用いることによって、端末装置利用者が容易に適宜接続相手の端末装置を選択して動的なN対Nの仮想閉域網を構築・開放することが可能となり、接続数・時間に応じた料金で利用することが可能になるとともに、網の管理者や利用者の上位者等による仮想パスの一元管理によって端末装置間の不適(不要)な接続や通信把握が可能なため、情報漏洩や著作権問題等を予防することが可能となる。
さらに、本発明の仮想閉域網システムでは、共通鍵同期配信サーバの運用者が利用者に代わって鍵管理とその鍵の配信とを行い、仮想閉域網をサービスとして提供することによって、仮想閉域網の提供によってサービス収入を得ることが可能となる。
本発明の仮想閉域網システムは、以下に述べるような構成及び動作とすることで、仮想パスを設定するための鍵のやり取りの手間と時間とを大幅に削減することができるという効果が得られる。
また、本発明の他の仮想閉域網システムは、以下に述べるような構成及び動作とすることで、端末装置の利用者が適宜接続相手の端末装置を選択して容易に動的なN対Nの仮想閉域網を構築・開放することができ、その接続数・時間に応じた料金で利用することができるという効果が得られる。
さらに、共通鍵同期配信サーバの運用者は、利用者に代わって鍵管理とその鍵の配信とを行い、仮想閉域網をサービスとして提供することによって、そのサービス収入を得ることができ、端末装置間の通信(仮想パス)を共通鍵同期配信サーバにて集中管理することが可能となることから、端末装置間の不適(不要)な接続や通信が行われないように予防することによる通信の管理・保証サービスの提供による収入、またはサービス基盤の提供による関連サービスの収入を得ることができるという効果がある。
次に、本発明の実施例について図面を参照して説明する。図1は本発明の第1の実施例による仮想閉域網システムの構成を示すブロック図である。図1において、本発明の第1の実施例による仮想閉域網システムは共通鍵同期配信サーバ1と、利用者端末10a〜10dと、ネットワーク(インタネットやイントラネット等)100とから構成されている。
共通鍵同期配信サーバ1は利用者端末10a〜10dからの仮想閉域網構築リクエストを受けると、その仮想閉域網を構築するために利用者端末10a〜10d各々で管理すべき共通鍵が記載された共通鍵テーブルをネットワーク100を介して利用者端末10a〜10d各々に配信している。
その際、共通鍵同期配信サーバ1は予め利用者端末10a〜10d各々に配付してある利用者端末〜共通鍵同期配信サーバ間の共通鍵を用いて共通鍵テーブルを暗号化して利用者端末10a〜10d各々に配信している。これによって、各利用者端末10a〜10dは暗号化された共通鍵テーブルを復号することで、その共通鍵テーブルに記載された共通鍵を用いて利用者端末10a〜10d各々の間に仮想パス[例えば、IPsec(Internet Protocol security protocol)による暗号化パス]を設定することができ、動的な仮想閉域網を容易に構築することができる。この場合、利用者端末10a〜10d各々の間では、個別に仮想パスを設定するための鍵のやり取りを行う必要がないので、鍵のやり取りの手間と時間とを大幅に削減することができる。
図2は図1の共通鍵同期配信サーバ1の構成を示すブロック図である。図2において、共通鍵同期配信サーバ1はCPU(中央処理装置)11と、CPU11が実行する制御プログラム12aを格納するメインメモリ12と、CPU11が制御プログラム12aを実行する際に用いるデータを格納する記憶装置13と、ネットワーク100側との間でデータを入出力するネットワーク側入出力部14とから構成されている。
ここで、記憶装置13は利用者端末〜共通鍵同期配信サーバ間の共通鍵を配付した利用者端末10a〜10dの情報を保持する利用者端末情報保持部131と、利用者端末10a〜10d各々に配信する共通鍵テーブルを保持する共通鍵テーブル保持部132と、利用者端末10a〜10d各々との間で通信するデータの暗号化に用いる利用者端末〜共通鍵同期配信サーバ間共通鍵を保持する利用者端末〜共通鍵同期配信サーバ間共通鍵保持部133とを備えている。尚、CPU11と、メインメモリ12と、記憶装置13と、ネットワーク側入出力部14とは内部バス110によって相互に接続されている。
図3は図1の利用者端末10a〜10dの構成を示すブロック図である。図3において、利用者端末10はCPU21と、CPU21が実行する制御プログラム22aを格納するメインメモリ22と、CPU21が制御プログラム22aを実行する際に用いるデータを格納する記憶装置23と、ネットワーク100側との間でデータを入出力するネットワーク側入出力部24とから構成されている。
ここで、記憶装置23は共通鍵同期配信サーバ1から配信される共通鍵テーブルを保持する共通鍵テーブル保持部231と、共通鍵同期配信サーバ1との間で通信するデータの暗号化に用いる利用者端末〜共通鍵同期配信サーバ間共通鍵を保持する利用者端末〜共通鍵同期配信サーバ間共通鍵保持部232とを備えている。尚、CPU21と、メインメモリ22と、記憶装置23と、ネットワーク側入出力部24とは内部バス210によって相互に接続されている。また、利用者端末10a〜10d各々は上記の利用者端末10と同様の構成となっている。
図4は図1の共通鍵同期配信サーバ1から配信される共通鍵テーブルの構成を示す図である。図4において、共通鍵テーブルには「共通鍵同期配信サーバ電子署名」と、「共通鍵有効期限(YYYYMMDDhhmmss)」と、「グループID:10」と、「接続元の利用者端末ID(10a,10b)」及び「アドレス(「10.10.10.1」,「10.10.10.2」,「10.10.10.3」)」と、「接続先の利用者端末ID(10b,10c,10d)」及び「アドレス(「10.10.10.2」,「10.10.10.3」,「10.10.10.4」)」と、「共通鍵(「abXX・・・X」,「acXX・・・X」,「adXX・・・X」,「bcXX・・・X」,「bdXX・・・X」
,「cdXX・・・X」)」とが記載されている。
図5は図2の共通鍵同期配信サーバ1の利用者端末情報保持部131に保持されている利用者端末管理テーブルの構成を示す図である。図5において、利用者端末管理テーブルでは「利用者端末ID(10a〜10d、20a〜20d,30a,30b,・・・)」及び「アドレス(「10.10.10.1」,「10.10.10.2」,「10.10.10.3」,「10.10.10.4」,「10.10.20.1」,「10.10.20.2」,「10.10.20.3」,「10.10.20.4」,「10.10.30.1」,「10.10.30.2」,・・・)」と、「利用者端末〜共通鍵同期配信サーバ間共通鍵(「1aXXX・・・X」,「1bXXX・・・X」,「1cXXX・・・X」,「1dXXX・・・X」,「2aXXX・・・X」,「2bXXX・・・X」,「2cXXX・・・X」,「2dXXX・・・X」,「3aXXX・・・X」,「3bXXX・・・X」,・・・)」と、「所属グループID(所属1〜所属n)」とを管理している。尚、「利用者端末〜共通鍵同期配信サーバ間共通鍵」は利用者端末〜共通鍵同期配信サーバ間共通鍵保持部133に格納してもよい。
図6は図2の共通鍵同期配信サーバ1の共通鍵テーブル保持部132に保持されている共通鍵管理テーブルの構成を示す図である。図6において、共通鍵管理テーブルでは「グループID(10,20,30,・・・,n)」及び「共通鍵有効期限(YYYYMMDDhhmmss)」とグループID(10,20,30,・・・,n)毎のテーブルとを階層構造で管理している。グループID(10,20,30,・・・,n)毎のテーブルでは上記の「接続元の利用者端末ID」及び「アドレス」と、「接続先の利用者端末ID」及び「アドレス」と、「共通鍵」とを管理している。
図7〜図12は図1の共通鍵同期配信サーバ1から利用者端末10a〜10d各々への共通鍵テーブルの配信動作を示す図であり、図13は図2の共通鍵同期配信サーバ1における共通鍵テーブルの配信動作を示すフローチャートである。これら図1〜図13を参照して本発明の第1の実施例による共通鍵同期配信サーバ1から利用者端末10a〜10d各々への共通鍵テーブルの配信動作について説明する。尚、図13に示す配信動作は図2のCPU11が記憶装置13のデータを用い、制御プログラム12aを実行することで実現される。
まず、共通鍵同期配信サーバ1にてサービスを運用する運用者は各利用者端末10a〜10d毎に利用者端末〜共通鍵同期配信サーバ間共通鍵AをFD[Floppy(登録商標) Disk]、CD−ROM(Copact Disc−Read Only Memory)、IC(集積回路)カード等を郵送等によって配付しておく[図7の手順(1)参照]。
利用者端末10aは共通鍵同期配信サーバ1に対し、接続したい他の利用者端末10b〜10dとの間の仮想閉域網の構築リクエストを送信する[図8の手順(2)参照]。共通鍵同期配信サーバ1は利用者端末10aからの構築リクエストを受けると(図13ステップS1)、そのリクエストの妥当性を利用者端末情報保持部131の情報を基に認証する(図13ステップS2)[図8の手順(3)参照]。
共通鍵同期配信サーバ1は利用者端末10aからの構築リクエストを妥当と判定しなければ(図13ステップS3)、そのリクエストを受付けられない旨を利用者端末10aに通知し(図13ステップS4)、処理を終了する。
共通鍵同期配信サーバ1は利用者端末10aからの構築リクエストを妥当と判定すれば(図13ステップS3)、各利用者端末10a〜10dに対して各利用者端末10a〜10d別の利用者端末〜共通鍵同期配信サーバ間共通鍵Aを用いて暗号化した共通鍵テーブルBを配信する(図13ステップS5)[図9の手順(4)参照]。
各利用者端末10a〜10dは、記憶装置23の共通鍵テーブル保持部231に共通鍵同期配信サーバ1から配信された共通鍵テーブルBを取込むとともに、取込み完了を共通鍵同期配信サーバ1へ通知する[図10の手順(5a),(5b),(5c),(5d)参照]。
共通鍵同期配信サーバ1は各利用者端末10a〜10dからの取込み完了を受信すると(図13ステップS6)、図示せぬ有効期限タイマをスタートさせる(図13ステップS7)。この場合、共通鍵同期配信サーバ1は各利用者端末10a〜10dからの取込み完了を受信した時刻を読取って保持しておいてもよい。
各利用者端末10a〜10dは通信相手の利用者端末毎に、共通鍵テーブル保持部231に取込んだ共通鍵テーブルBから取得した各利用者端末別の共通鍵によって暗号化して通信を行うことで、各利用者端末10a〜10d間に仮想パスを設定して仮想閉域網を構築する[図11の手順(6a),(6b),(6c),(6d),(6e),(6f)参照]。尚、図示していないが、共通鍵同期配信サーバ1は仮想閉域網が構築されている間、利用者端末10a〜10dとの間において、監視パケットやトラヒック収集パケット等を各利用者端末10a〜10d別の利用者端末〜共通鍵同期配信サーバ間共通鍵Aを用いて暗号化して通信することも可能である。
上記の手順で構築された仮想閉域網に接続された利用者端末10dは、共通鍵テーブルBの有効期限内に仮想閉域網からの開放する場合、共通鍵同期配信サーバ1に開放要求を通知する[図12の手順(9)参照]。尚、他の利用者端末10a〜10cも有効期限内に仮想閉域網からの開放する場合、共通鍵同期配信サーバ1に開放要求を通知する。
共通鍵同期配信サーバ1は利用者端末10a〜10dから開放要求を受信すると(図13ステップS8)、あるいは配信した共通鍵テーブルBの有効期限が近づくと(図13ステップS9)、共通鍵テーブルBを更新し(図13ステップS10)、上記のステップS5に戻ってその共通鍵テーブルBを利用者端末10a〜10dに配信する。
但し、共通鍵同期配信サーバ1は仮想閉域網に接続された利用者端末が所定台数(例えば、一台)になるまで(図13ステップS11)、上記の共通鍵テーブルBの配信を繰り返し行い(図13ステップS5〜S10)、利用者端末が所定台数(例えば、一台)になると(図13ステップS11)、処理を終了する。
このように、本実施例では、上記の構成とすることで、共通鍵同期配信サーバから周期毎に更新する共通鍵テーブルを各装置に同期配信することによって、各装置が個別に鍵のやり取りを行う必要がなくなるので、仮想パスを設定するための鍵のやり取りの手間と時間とを大幅に削減することができる。また、本実施例では、利用者が適宜接続相手の端末装置を選択して容易に動的なN対Nの仮想閉域網を構築・開放して利用することができる。
さらに、本実施例では、共通鍵同期配信サーバ1の運用者が利用者に代わって鍵管理とその鍵の配信とを行い、仮想閉域網をサービスとして提供することによって、サービス収入を得ることができる。
図14は本発明の第2の実施例による仮想閉域網システムの構成を示すブロック図である。図14において、本発明の第2の実施例による仮想閉域網システムは課金サーバ2を設けた以外は図1に示す本発明の第1の実施例による仮想閉域網システムと同様の構成となっており、同一構成要素には同一符号を付してある。また、共通鍵同期配信サーバ1及び利用者端末10a〜10dの構成は本発明の第1の実施例と同様の構成となっている。
課金サーバ2は共通鍵同期配信サーバ1から渡される各利用者端末10a〜10dに配信した共通鍵テーブルBの有効期限・グループID・利用者端末ID等の共通鍵テーブル情報を基に課金を行う。
図15は本発明の第2の実施例による共通鍵同期配信サーバにおける共通鍵テーブルの配信動作を示すフローチャートである。これら図14及び図15を参照して本発明の第2の実施例による共通鍵同期配信サーバ1から利用者端末10a〜10d各々への共通鍵テーブルの配信動作について説明する。尚、図16に示す配信動作は図2に示すCPU11が記憶装置13のデータを用い、制御プログラム12aを実行することで実現される。
まず、共通鍵同期配信サーバ1にてサービスを運用する運用者は各利用者端末10a〜10d毎に利用者端末〜共通鍵同期配信サーバ間共通鍵AをFD[Floppy(登録商標) Disk]、CD−ROM(Copact Disc−Read Only Memory)、IC(集積回路)カード等を郵送等によって配付しておく。
利用者端末10aは共通鍵同期配信サーバ1に対し、接続したい他の利用者端末10b〜10dとの間の仮想閉域網の構築リクエストを送信する。共通鍵同期配信サーバ1は利用者端末10aからの構築リクエストを受けると(図15ステップS21)、そのリクエストの妥当性を利用者端末情報保持部131の情報を基に認証する(図15ステップS22)。
共通鍵同期配信サーバ1は利用者端末10aからの構築リクエストを妥当と判定しなければ(図15ステップS23)、そのリクエストを受付けられない旨を利用者端末10aに通知し(図15ステップS24)、処理を終了する。
共通鍵同期配信サーバ1は利用者端末10aからの構築リクエストを妥当と判定すれば(図15ステップS23)、各利用者端末10a〜10dに対して各利用者端末10a〜10d別の利用者端末〜共通鍵同期配信サーバ間共通鍵Aを用いて暗号化した共通鍵テーブルBを配信する(図15ステップS25)。
各利用者端末10a〜10dは、記憶装置23の共通鍵テーブル保持部231に共通鍵同期配信サーバ1から配信された共通鍵テーブルBを取込むとともに、取込み完了を共通鍵同期配信サーバ1へ通知する。共通鍵同期配信サーバ1は各利用者端末10a〜10dからの取込み完了を受信すると(図15ステップS26)、図示せぬ有効期限タイマをスタートさせる(図15ステップS27)。この場合、共通鍵同期配信サーバ1は各利用者端末10a〜10dからの取込み完了を受信した時刻を読取って保持しておいてもよい。
共通鍵同期配信サーバ1は各利用者端末10a〜10dに配信した共通鍵テーブルBの有効期限・グループID・利用者端末ID等の共通鍵テーブル情報を課金サーバ2に送信する(図15ステップS28)。課金サーバ2は共通鍵同期配信サーバ1からの共通鍵テーブル情報に基づいて利用者端末10a〜10dに対して課金を行う。
各利用者端末10a〜10dは通信相手の利用者端末毎に、共通鍵テーブル保持部231に取込んだ共通鍵テーブルBから取得した各利用者端末別の共通鍵によって暗号化して通信を行うことで、各利用者端末10a〜10d間に仮想パスを設定して仮想閉域網を構築する。尚、図示していないが、共通鍵同期配信サーバ1は仮想閉域網が構築されている間、利用者端末10a〜10dとの間において、監視パケットやトラヒック収集パケット等を各利用者端末10a〜10d別の利用者端末〜共通鍵同期配信サーバ間共通鍵Aを用いて暗号化して通信することも可能である。
上記の手順で構築された仮想閉域網に接続された利用者端末10dは、共通鍵テーブルBの有効期限内に仮想閉域網からの開放する場合、共通鍵同期配信サーバ1に開放要求を通知する。尚、他の利用者端末10a〜10cも有効期限内に仮想閉域網からの開放する場合、共通鍵同期配信サーバ1に開放要求を通知する。
共通鍵同期配信サーバ1は利用者端末10a〜10dから開放要求を受信すると(図15ステップS29)、あるいは配信した共通鍵テーブルBの有効期限が近づくと(図15ステップS30)、共通鍵テーブルBを更新し(図15ステップS31)、上記のステップS25に戻ってその共通鍵テーブルBを利用者端末10a〜10dに配信する。
但し、共通鍵同期配信サーバ1は仮想閉域網に接続された利用者端末が所定台数(例えば、一台)になるまで(図15ステップS32)、上記の共通鍵テーブルBの配信を繰り返し行い(図15ステップS25〜S31)、利用者端末が所定台数(例えば、一台)になると(図15ステップS32)、処理を終了する。
このように、本実施例では、上記の構成とすることで、利用者が容易に動的なN対Nの仮想閉域網を利用することができ、その仮想閉域網を接続数や時間に応じた料金で利用することができる。
また、本実施例では、共通鍵同期配信サーバ1の運用者が利用者に代わって鍵管理とその鍵の配信とを行い、仮想閉域網をサービスとして提供することによって、そのサービスの接続数や時間に応じた料金収入を得ることができる。
図16は本発明の第3の実施例による仮想閉域網システムの構成を示すブロック図である。図16において、本発明の第3の実施例による仮想閉域網システムは認証サーバ3を設けた以外は図1に示す本発明の第1の実施例による仮想閉域網システムと同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は上述した本発明の一実施例と同様である。
認証サーバ3には予め利用者端末〜共通鍵同期配信サーバ間共通鍵が配付された利用者端末10a〜10dの利用者の情報やパスワード等が蓄積されており、利用者端末10a〜10dの情報の認証のみならず、その利用者の認証をも行っている。また、利用者属性(ディレクトリ)情報を有し、利用者からの仮想閉域端末のリクエストの妥当性の認証(図13ステップS2)に、当該利用者に対する承認権限を持つ利用者による承認手順を付与することも可能である。
これによって、本実施例では、不要(不適)な接続の防止、情報漏えいの防止を図ることができる。また、共通鍵同期配信サーバ1及び認証サーバ3の運用者は、端末装置間の不適(不要)な通信が行われないようにして情報漏洩や著作権問題等を予防する通信管理や保証サービス等の提供による収入、あるいはサービス基盤の提供による関連サービスの収入などを得ることができる。尚、図示していないが、接続される利用者端末10a〜10dにおけるウイルスの有無をチェックする防疫サーバを設けることで、ウィルス感染の防止を図ることも可能である。
図17は本発明の別の実施例による仮想閉域網システムの構成を示すブロック図である。図17において、本発明の別の実施例による仮想閉域網システムはログ収集サーバ4を設けた以外は図16に示す本発明の第3の実施例による仮想閉域網システムと同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は上述した本発明の第3の実施例と同様である。
ログ収集サーバ4は仮想閉域網を構成する利用者端末10a〜10dとの間に仮想パスを設定することで、利用者端末10a〜10d各々の間で授受される信号やデータを収集し、通信履歴を蓄積している。これによって、本実施例では、利用者端末10a〜10d各々の間で設定された仮想パスを再利用する場合に、ログ収集サーバ4に蓄積された情報を読出すことで、利用者は以前と同様の情報共有(同期)環境を持つことができる。
一方、共通鍵同期配信サーバ1及びログ収集サーバ4の運用者は、情報漏洩や著作権問題等を予防する通信内容の管理・保証サービスの提供による収入、あるいはサービス基盤の提供による関連サービスの収入を得ることができる。
本発明の第1の実施例による仮想閉域網システムの構成を示すブロック図である。 図1の共通鍵同期配信サーバの構成を示すブロック図である。 図1の利用者端末の構成を示すブロック図である。 図1の共通鍵同期配信サーバから配信される共通鍵テーブルの構成を示す図である。 図2の共通鍵同期配信サーバの利用者端末情報保持部に保持されている利用者端末管理テーブルの構成を示す図である。 図2の共通鍵同期配信サーバの共通鍵テーブル保持部に保持されている共通鍵管理テーブルの構成を示す図である。 図1の共通鍵同期配信サーバから利用者端末各々への共通鍵テーブルの配信動作を示す図である。 図1の共通鍵同期配信サーバから利用者端末各々への共通鍵テーブルの配信動作を示す図である。 図1の共通鍵同期配信サーバから利用者端末各々への共通鍵テーブルの配信動作を示す図である。 図1の共通鍵同期配信サーバから利用者端末各々への共通鍵テーブルの配信動作を示す図である。 図1の共通鍵同期配信サーバから利用者端末各々への共通鍵テーブルの配信動作を示す図である。 図1の共通鍵同期配信サーバから利用者端末各々への共通鍵テーブルの配信動作を示す図である。 図2の共通鍵同期配信サーバにおける共通鍵テーブルの配信動作を示すフローチャートである。 本発明の第2の実施例による仮想閉域網システムの構成を示すブロック図である。 本発明の第2の実施例による共通鍵同期配信サーバにおける共通鍵テーブルの配信動作を示すフローチャートである。 本発明の第3の実施例による仮想閉域網システムの構成を示すブロック図である。 本発明の第4の実施例による仮想閉域網システムの構成を示すブロック図である。 従来の仮想閉域網システムの構成を示すブロック図である。
符号の説明
1 共通鍵同期配信サーバ
2 課金サーバ
10a〜10d 利用者端末
11,21 CPU
12,22 メインメモリ
12a,22a 制御プログラム
13,23 記憶装置
14,24 ネットワーク側入出力部
100 ネットワーク
110,210 内部バス
131 利用者端末情報保持部
132,231 共通鍵テーブル保持部
133,232 利用者端末〜共通鍵同期配信サーバ間共通鍵保持部

Claims (31)

  1. 複数の端末装置間において、当該複数の端末装置間の仮想パスに用いる共通鍵を用いて各端末装置相互で1対1接続して仮想閉域網を構築する仮想閉域網システムであって、
    前記仮想閉域網を構築するために前記端末装置各々で管理すべき共通鍵記載された共通鍵テーブルを前記複数の端末装置各々に同期配信する手段を含む共通鍵同期配信サーバを有し、
    前記複数の端末装置各々が前記共通鍵テーブルを用いて各端末装置相互で1対1接続して前記仮想閉域網を構築することを特徴とする仮想閉域網システム。
  2. 前記共通鍵同期配信サーバは、前記共通鍵テーブルを前記複数の端末装置各々との間に設定された装置間共通鍵を用いて暗号化して同期配信することを特徴とする請求項1記載の仮想閉域網システム。
  3. 前記装置間共通鍵が、前記複数の端末装置各々の利用者に予め送付された共通鍵であることを特徴とする請求項2記載の仮想閉域網システム。
  4. 前記共通鍵同期配信サーバは、前記複数の端末装置のいずれかからの前記仮想閉域網の構築要求時に当該要求を送信した端末装置が、前記装置間共通鍵が予め送付された利用者の端末であるか否かを認証することを特徴とする請求項3記載の仮想閉域網システム。
  5. 前記仮想閉域網を構築する際に課金を行う課金サーバを含み、
    前記共通鍵同期配信サーバは、前記課金サーバに対して前記共通鍵テーブルの配信周期及び配信数とを少なくとも通知することを特徴とする請求項1から請求項4のいずれか記載の仮想閉域網システム。
  6. 前記仮想閉域網の構築要求時に当該要求を送信した端末装置の利用者が予め登録された利用者か否かを認証する認証サーバを含むことを特徴とする請求項1から請求項5のいずれか記載の仮想閉域網システム。
  7. 前記仮想閉域網の構築要求時に当該要求を送信した端末装置の利用者の利用者属性情報と、当該利用者に対する承認権限を持つ利用者からの承認情報とを基に前記仮想閉域網の構築要求の内容の妥当性を認証する認証サーバを含むことを特徴とする請求項1から請求項6のいずれか記載の仮想閉域網システム。
  8. 前記仮想閉域網を構成する利用者端末間の通信履歴を収集して蓄積するログ収集サーバを含むことを特徴とする請求項1から請求項7のいずれか記載の仮想閉域網システム。
  9. 前記共通鍵同期配信サーバは、前記共通鍵テーブルを予め設定された周期毎に更新することを特徴とする請求項1から請求項8のいずれか記載の仮想閉域網システム。
  10. 前記共通鍵同期配信サーバは、前記共通鍵テーブルの更新にて当該共通鍵テーブルに記載された共通鍵を使用する端末装置が予め設定された所定数となった時に前記共通鍵テーブルの同期配信を終了することを特徴とする請求項1から請求項9のいずれか記載の仮想閉域網システム。
  11. 複数の端末装置間において、当該複数の端末装置間の仮想パスに用いる共通鍵を用いて各端末装置相互で1対1接続して仮想閉域網を構築する仮想閉域網システムに用いられる共通鍵同期配信サーバ装置であって、
    前記仮想閉域網を構築するために前記端末装置各々で管理すべき共通鍵記載された共通鍵テーブルを前記複数の端末装置各々に同期配信する手段を有することを特徴とする共通鍵同期配信サーバ装置。
  12. 前記共通鍵テーブルを前記複数の端末装置各々との間に設定された装置間共通鍵を用いて暗号化して同期配信することを特徴とする請求項11記載の共通鍵同期配信サーバ装置。
  13. 前記装置間共通鍵が、前記複数の端末装置各々の利用者に予め送付された共通鍵であることを特徴とする請求項12記載の共通鍵同期配信サーバ装置。
  14. 前記複数の端末装置のいずれかからの前記仮想閉域網の構築要求時に当該要求を送信した端末装置が、前記装置間共通鍵が予め送付された利用者の端末であるか否かを認証することを特徴とする請求項13記載の共通鍵同期配信サーバ装置。
  15. 前記仮想閉域網を構築する際に課金を行う課金サーバに対して前記共通鍵テーブルの配信周期及び配信数とを少なくとも通知する手段を含むことを特徴とする請求項11から請求項14のいずれか記載の共通鍵同期配信サーバ装置。
  16. 前記仮想閉域網の構築要求時に当該要求を送信した端末装置の利用者が予め登録された利用者であると認証サーバにて認証された場合に当該要求を受付けることを特徴とする請求項11から請求項15のいずれか記載の共通鍵同期配信サーバ装置。
  17. 前記仮想閉域網の構築要求時に当該要求を送信した端末装置の利用者の利用者属性情報と、当該利用者に対する承認権限を持つ利用者からの承認情報とを基に前記仮想閉域網の構築要求の内容の妥当性を認証する認証サーバにて認証された場合に当該要求を受付けることを特徴とする請求項11から請求項16のいずれか記載の共通鍵同期配信サーバ装置。
  18. 前記共通鍵テーブルを予め設定された周期毎に更新することを特徴とする請求項11から請求項17のいずれか記載の共通鍵同期配信サーバ装置。
  19. 前記共通鍵テーブルの更新にて当該共通鍵テーブルに記載された共通鍵を使用する端末装置が予め設定された所定数となった時に前記共通鍵テーブルの同期配信を終了することを特徴とする請求項11から請求項18のいずれか記載の共通鍵同期配信サーバ装置。
  20. 複数の端末装置間において、当該複数の端末装置間の仮想パスに用いる共通鍵を用いて各端末装置相互で1対1接続して仮想閉域網を構築する仮想閉域網システムに用いられる共通鍵配信方法であって、
    共通鍵同期配信サーバが、前記仮想閉域網を構築するために前記端末装置各々で管理すべき共通鍵記載された共通鍵テーブルを前記複数の端末装置各々に同期配信する処理を実行し、
    前記複数の端末装置各々が前記共通鍵テーブルを用いて各端末装置相互で1対1接続して前記仮想閉域網を構築することを特徴とする共通鍵配信方法。
  21. 前記共通鍵同期配信サーバが、前記共通鍵テーブルを前記複数の端末装置各々との間に設定された装置間共通鍵を用いて暗号化して同期配信することを特徴とする請求項20記載の共通鍵配信方法。
  22. 前記装置間共通鍵が、前記複数の端末装置各々の利用者に予め送付された共通鍵であることを特徴とする請求項21記載の共通鍵配信方法。
  23. 前記共通鍵同期配信サーバが、前記複数の端末装置のいずれかからの前記仮想閉域網の構築要求時に当該要求を送信した端末装置が、前記装置間共通鍵が予め送付された利用者の端末であるか否かを認証することを特徴とする請求項22記載の共通鍵配信方法。
  24. 前記共通鍵同期配信サーバが、前記仮想閉域網を構築する際に課金を行う課金サーバに対して前記共通鍵テーブルの配信周期及び配信数とを少なくとも通知する処理を実行することを特徴とする請求項20から請求項23のいずれか記載の共通鍵配信方法。
  25. 認証サーバが、前記仮想閉域網の構築要求時に当該要求を送信した端末装置の利用者が予め登録された利用者か否かを認証することを特徴とする請求項20から請求項24のいずれか記載の共通鍵配信方法。
  26. 認証サーバが、前記仮想閉域網の構築要求時に当該要求を送信した端末装置の利用者の利用者属性情報と、当該利用者に対する承認権限を持つ利用者からの承認情報とを基に前記仮想閉域網の構築要求の内容の妥当性を認証することを特徴とする請求項20から請求項25のいずれか記載の共通鍵配信方法。
  27. ログ収集サーバが、前記仮想閉域網を構成する利用者端末間の通信履歴を収集して蓄積することを特徴とする請求項20から請求項26のいずれか記載の共通鍵配信方法。
  28. 前記共通鍵同期配信サーバが、前記共通鍵テーブルを予め設定された周期毎に更新することを特徴とする請求項20から請求項27のいずれか記載の共通鍵配信方法。
  29. 前記共通鍵同期配信サーバが、前記共通鍵テーブルの更新にて当該共通鍵テーブルに記載された共通鍵を使用する端末装置が予め設定された所定数となった時に前記共通鍵テーブルの同期配信を終了することを特徴とする請求項20から請求項28のいずれか記載の共通鍵配信方法。
  30. 複数の端末装置間において、当該複数の端末装置間の仮想パスに用いる共通鍵を用いて各端末装置相互で1対1接続して仮想閉域網を構築する仮想閉域網システムに用いられる共通鍵同期配信サーバ装置内のコンピュータに実行させるプログラムであって、
    前記仮想閉域網を構築するために前記端末装置各々で管理すべき共通鍵記載された共通鍵テーブルを前記複数の端末装置各々に同期配信する処理を含み、
    前記複数の端末装置各々に、前記共通鍵テーブルを用いて各端末装置相互で1対1接続させて前記仮想閉域網を構築させることを特徴とするプログラム。
  31. 前記コンピュータに、前記仮想閉域網を構築する際に課金を行う課金サーバに対して前記共通鍵テーブルの配信周期及び配信数とを少なくとも通知する処理を実行させるための請求項30記載のプログラム。
JP2005144810A 2005-05-18 2005-05-18 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム Expired - Fee Related JP4760122B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005144810A JP4760122B2 (ja) 2005-05-18 2005-05-18 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005144810A JP4760122B2 (ja) 2005-05-18 2005-05-18 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム

Publications (2)

Publication Number Publication Date
JP2006324830A JP2006324830A (ja) 2006-11-30
JP4760122B2 true JP4760122B2 (ja) 2011-08-31

Family

ID=37544192

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005144810A Expired - Fee Related JP4760122B2 (ja) 2005-05-18 2005-05-18 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム

Country Status (1)

Country Link
JP (1) JP4760122B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4692600B2 (ja) * 2008-09-25 2011-06-01 富士ゼロックス株式会社 情報処理装置、通信システム、及びプログラム
JP5367917B2 (ja) * 2011-01-25 2013-12-11 三洋電機株式会社 車載器

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001111540A (ja) * 1999-10-08 2001-04-20 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd 暗号通信システム
JP2003229844A (ja) * 2002-02-04 2003-08-15 Nec Corp データ転送システム
JP2004140482A (ja) * 2002-10-16 2004-05-13 Fujitsu Ltd 暗号通信を行うノード装置、暗号通信システムおよび方法
DE602004010519T2 (de) * 2003-07-04 2008-11-13 Nippon Telegraph And Telephone Corp. Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung

Also Published As

Publication number Publication date
JP2006324830A (ja) 2006-11-30

Similar Documents

Publication Publication Date Title
CN100456739C (zh) 远程访问虚拟专用网络中介方法和中介装置
JP2022504420A (ja) デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム
CN100592678C (zh) 用于网络元件的密钥管理
EP1280317B1 (en) Multi-domain authorisation and authentication
CN101401387B (zh) 用于嵌入式设备的访问控制方法
CN105931337A (zh) 一种电子锁装置、系统及其授权方法
US20060271789A1 (en) Password change system
CN201194396Y (zh) 基于透明代理网关的安全网关平台
EP1635502A1 (en) Session control server and communication system
US20060206616A1 (en) Decentralized secure network login
CN101447907A (zh) Vpn安全接入方法及系统
CN101262342A (zh) 分布式授权与验证方法、装置及系统
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
JP2003296281A (ja) アクセス制御方法及びシステム
US7975293B2 (en) Authentication system, authentication method and terminal device
JP4915182B2 (ja) 情報の管理方法及び情報処理装置
CN101540757A (zh) 网络认证方法、系统和认证设备
CN101083660A (zh) 基于会话控制的动态地址分配协议的ip网认证鉴权方法
CN102916965A (zh) 一种云服务接口的安全认证机制及其认证系统
CN102893579B (zh) 用于在通信系统中发放票据的方法、节点和设备
KR100850506B1 (ko) 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법
JP2001186122A (ja) 認証システム及び認証方法
CN101291220B (zh) 一种身份安全认证的系统、装置及方法
CN111756530B (zh) 量子服务移动引擎系统、网络架构及相关设备
JP2005348164A (ja) クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110201

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110404

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110523

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140617

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees