JP4837470B2 - Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム - Google Patents
Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム Download PDFInfo
- Publication number
- JP4837470B2 JP4837470B2 JP2006197385A JP2006197385A JP4837470B2 JP 4837470 B2 JP4837470 B2 JP 4837470B2 JP 2006197385 A JP2006197385 A JP 2006197385A JP 2006197385 A JP2006197385 A JP 2006197385A JP 4837470 B2 JP4837470 B2 JP 4837470B2
- Authority
- JP
- Japan
- Prior art keywords
- vpn server
- vpn
- server process
- information
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000010276 construction Methods 0.000 title claims description 7
- 238000004590 computer program Methods 0.000 title claims description 4
- 238000000034 method Methods 0.000 claims description 145
- 238000004891 communication Methods 0.000 claims description 23
- 238000004458 analytical method Methods 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
"SoftEther 仮想イーサネットシステム"、[online]、ソフトイーサ株式会社、[平成18年7月3日検索]、インターネット、〈URL: http://www.softether.com/jp/〉
図1は、本発明の一実施形態にかかるVPNサーバホスティングシステム10が利用されてクライアント間にVPNが構築される状況を説明する図である。図1において、VPNサーバホスティングシステム10はインターネット40に接続されている。また、インターネット40には、各ユーザが使用するクライアント(情報端末)21−1〜21−9が接続されている。本実施形態では、これらクライアントが後述する手順に従ってVPNサーバホスティングシステム10内にVPNサーバプロセスを生成してVPNを構築し、このVPNサーバプロセスを介してVPNによる相互通信を行う。なお、クライアントとしては、例えばファイルサーバやビデオサーバ、一般的なパーソナルコンピュータ等のほか、ネットワーク機能を有したあらゆる種類の家電製品・情報機器が該当する。
以下、図2に示すフローチャートの流れに沿って順に説明する。
まず、各証明書発行装置31a〜31cが公開鍵pkXと秘密鍵skX(但しX=A、B、CA)のペアを1つ生成する(ステップS11)。ここで、公開鍵pkXを用いて暗号化したデータは対応する秘密鍵skXでなければ復号化できず、秘密鍵skXを用いて暗号化したデータは対応する公開鍵pkXでなければ復号化できない。また、秘密鍵skXは自分(各証明書発行装置31a〜31c)以外のいかなる第三者に対しても公開されることがないよう管理される。
pkA,{a1},pkB,{b1,b2},pkCA,{u1}
となる。
同図には、4ビットのハッシュ空間(説明を簡単にするため便宜上4ビットで考える)を4台のホストサーバ11a〜11dで管理している様子が示されている。すなわち、この例では24=16個のVPNサーバプロセスを管理可能である。これらVPNサーバプロセスのVPN−IDは0,1,2,…,15である。一方、各ホストサーバは固有の識別番号を有しており、ホストサーバ11aの識別番号は3、ホストサーバ11bの識別番号は7、ホストサーバ11cの識別番号は11、ホストサーバ11dの識別番号は15であるものとする。このような条件において、ホストサーバ11aが管理するのはVPN−ID=0〜3のVPNサーバプロセスであり、ホストサーバ11bが管理するのはVPN−ID=4〜7のVPNサーバプロセスであり、…というように、各ホストサーバとそれに割り当てられるVPNサーバプロセスとの対応関係が決められる。そして、各ホストサーバは、自分に割り当てられたVPN−ID(すなわちハッシュ値)の範囲を定めた表であるDHTを保持し、検索(下記)の際に利用する。
ステップS14で検索結果に該当したホストサーバ11cは、次に、ハッシュ値H(pkA,{a1},pkB,{b1,b2},pkCA,{u1})をVPN−IDとするVPNサーバプロセスを生成する(ステップS15)。
次に、生成されたVPNサーバプロセスに対して、クライアント(ここではクライアントb1とする)は以下の手続きにしたがってVPNによる接続を行う。
まず、クライアントb1は、接続を希望するVPNサーバプロセスのVPN−ID、すなわちハッシュ値H(pkA,{a1},pkB,{b1,b2},pkCA,{u1})をホストサーバの1台に送信することによって、必要な接続情報の問い合わせを行う(ステップS21)。送信先は、IPアドレスを知っているホストサーバ11aである。
上記のように構築されたVPNを利用して、メンバーのうちクライアントa1とクライアントb1でVPN通信を行う手順を説明する。なお、他のメンバーであるクライアントb2とクライアントu1についても同様の手順によりVPN通信を行うことができる。
VPNサーバプロセスは、メッセージ認証とパケットの暗号化のための共有セッション鍵Ks macとKs encを作成して、クライアントa1とクライアントb1にこれら共有セッション鍵を送信する(ステップS31)。送信は、送信相手のクライアント公開鍵pka1とpkb1を使った暗号化通信により行う。この共有セッション鍵は、VPNサーバプロセスとクライアントa1とクライアントb1とで共有されて、次に述べるVPNの通信において使用されるものである。
図4は、VPNによりクライアントa1からクライアントb1へ通信する場合に送受信されるパケットの構造を示した図であり、上述した合計4つのセッション鍵を用いてメッセージ認証とパケットの暗号・復号化が行われる様子を示したものである。送信者であるクライアントa1は、パケットのヘッダ部分をKs enc、ペイロード部分をKu encでそれぞれ暗号化し、さらに、メッセージ(ヘッダ+ペイロード)とKu macから作成したメッセージ認証コードMACuならびにメッセージとKs macから作成したMACsをパケットの末尾に付加する。なお、メッセージ認証コード(MAC;Message Authentication Code)は、所定のMAC関数にメッセージと鍵を入力して得られる固定長ビットの出力値である。そして、入力に使った鍵を送信者と受信者で共有しておき、受信したメッセージと共有鍵とから計算したMACが、受信したメッセージに付加されているMACと一致すれば、受信者はそのメッセージが改竄されていないことを確認(メッセージ認証)できる。
例えば、DHT自体はP2P(Peer to Peer)のファイル交換などで用いられる既存の技術であり、ChordやCAN、Tapestryなど種々ある方式のいずれを適用することも可能である。
Claims (6)
- 複数の情報端末間を仮想的な専用回線で接続するVPNサーバプロセスを実行する、1つまたは複数のホストサーバからなるVPNサーバホスティングシステムであって、
公開鍵と秘密鍵のペアを生成し該秘密鍵で署名されたデジタル証明書を発行する証明書発行装置からデジタル証明書を取得している前記情報端末のうち、任意に指定された複数の情報端末をメンバーとして、前記証明書発行装置の公開鍵と前記メンバーを特定するメンバーリストとからなるVPNサーバプロセス特定情報のハッシュ値をIDとするVPNサーバプロセスを所定の前記ホストサーバ内に生成するVPNサーバ生成手段と、
前記情報端末が前記VPNサーバプロセス特定情報および前記発行されたデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、前記提示されたデジタル証明書によって特定される該デジタル証明書の所有者である情報端末が前記提示されたVPNサーバプロセス特定情報のメンバーリストに含まれており、且つ、前記提示されたデジタル証明書が前記提示されたVPNサーバプロセス特定情報の公開鍵によって検証された場合にのみ、該情報端末に対して前記提示されたVPNサーバプロセス特定情報のハッシュ値をIDとするVPNサーバプロセスへの接続を許可するVPNサーバ接続手段と、
を備えることを特徴とするVPNサーバホスティングシステム。 - 前記メンバーに含まれる少なくとも一つの情報端末が、他の情報端末に対して発行されたデジタル証明書を所有せず、且つ、該デジタル証明書を発行した証明書発行装置とは異なる証明書発行装置から発行されたデジタル証明書を所有している場合において、
前記VPNサーバプロセス特定情報を前記全ての証明書発行装置のそれぞれの公開鍵と前記メンバーを特定するメンバーリストとから構成した
ことを特徴とする請求項1に記載のVPNサーバホスティングシステム。 - 前記各々のホストサーバは、自分の管理する前記ハッシュ値の範囲を定めた分散ハッシュテーブルを保持しており、
前記VPNサーバ生成手段は、前記分散ハッシュテーブルにしたがって前記VPNサーバプロセス特定情報のハッシュ値に対応するホストサーバを選択し、該選択したホストサーバ内にVPNサーバプロセスを生成する
ことを特徴とする請求項1または請求項2に記載のVPNサーバホスティングシステム。 - 前記VPNサーバ接続手段によってVPNサーバプロセスへの接続が許可された情報端末間の通信において、前記VPNサーバプロセスと前記複数の情報端末で共有される第1のセッション鍵を生成するセッション鍵生成手段と、
前記第1のセッション鍵と前記情報端末間でのみ共有される第2のセッション鍵とを用いてメッセージ認証コードが付加され、且つ前記第1のセッション鍵を用いてヘッダが暗号化されるとともに前記第2のセッション鍵を用いてペイロードが暗号化されたパケットに対し、前記第1のセッション鍵を使用してメッセージ認証ならびに前記ヘッダの復号化を行うパケット解析手段と、
をさらに備えることを特徴とする請求項1から請求項3のいずれかの項に記載のVPNサーバホスティングシステム。 - 1つまたは複数のホストサーバからなるサーバシステムにおいて前記いずれかのホストサーバに複数の情報端末間を仮想的な専用回線で接続するVPNサーバプロセスを実行させてVPNを構築するVPN構築方法であって、
公開鍵と秘密鍵のペアを生成し該秘密鍵で署名されたデジタル証明書を発行する証明書発行装置からデジタル証明書を取得している前記情報端末のうち、任意に指定された複数の情報端末をメンバーとして、前記証明書発行装置の公開鍵と前記メンバーを特定するメンバーリストとからなるVPNサーバプロセス特定情報のハッシュ値をIDとするVPNサーバプロセスを所定の前記ホストサーバ内に生成するステップと、
前記情報端末が前記VPNサーバプロセス特定情報および前記発行されたデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、前記提示されたデジタル証明書によって特定される該デジタル証明書の所有者である情報端末が前記提示されたVPNサーバプロセス特定情報のメンバーリストに含まれており、且つ、前記提示されたデジタル証明書が前記提示されたVPNサーバプロセス特定情報の公開鍵によって検証された場合にのみ、該情報端末に対して前記提示されたVPNサーバプロセス特定情報のハッシュ値をIDとするVPNサーバプロセスへの接続を許可するステップと、
を備えることを特徴とするVPN構築方法。 - 複数の情報端末間を仮想的な専用回線で接続するVPNサーバプロセスを実行する、1つまたは複数のホストサーバからなるVPNサーバホスティングシステムにおいて、前記各ホストサーバのコンピュータに、
公開鍵と秘密鍵のペアを生成し該秘密鍵で署名されたデジタル証明書を発行する証明書発行装置からデジタル証明書を取得している前記情報端末のうち、任意に指定された複数の情報端末をメンバーとして、前記証明書発行装置の公開鍵と前記メンバーを特定するメンバーリストとからなるVPNサーバプロセス特定情報のハッシュ値をIDとするVPNサーバプロセスを所定の前記ホストサーバ内に生成するステップと、
前記情報端末が前記VPNサーバプロセス特定情報および前記発行されたデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、前記提示されたデジタル証明書によって特定される該デジタル証明書の所有者である情報端末が前記提示されたVPNサーバプロセス特定情報のメンバーリストに含まれており、且つ、前記提示されたデジタル証明書が前記提示されたVPNサーバプロセス特定情報の公開鍵によって検証された場合にのみ、該情報端末に対して前記提示されたVPNサーバプロセス特定情報のハッシュ値をIDとするVPNサーバプロセスへの接続を許可するステップと、
を実行させるためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006197385A JP4837470B2 (ja) | 2006-07-19 | 2006-07-19 | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006197385A JP4837470B2 (ja) | 2006-07-19 | 2006-07-19 | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008028576A JP2008028576A (ja) | 2008-02-07 |
JP4837470B2 true JP4837470B2 (ja) | 2011-12-14 |
Family
ID=39118805
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006197385A Expired - Fee Related JP4837470B2 (ja) | 2006-07-19 | 2006-07-19 | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4837470B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5532993B2 (ja) * | 2010-02-10 | 2014-06-25 | ヤマハ株式会社 | 中継装置 |
FR3010599B1 (fr) * | 2013-09-11 | 2016-12-02 | Citypassenger | Procede et systeme d'etablissement de reseaux prives virtuels entre reseaux locaux |
JP2018046575A (ja) * | 2017-11-29 | 2018-03-22 | キヤノン株式会社 | 認証システム及び画像形成装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2821204B2 (ja) * | 1989-11-01 | 1998-11-05 | 株式会社日立製作所 | 情報サービスシステム |
JPH11224219A (ja) * | 1998-02-05 | 1999-08-17 | Nippon Telegr & Teleph Corp <Ntt> | 分散キャッシュ制御方法及び分散制御装置及び分散キャッシュシステム及び分散キャッシュ制御プログラムを格納した記憶媒体 |
JP3908982B2 (ja) * | 2002-05-28 | 2007-04-25 | 日本電信電話株式会社 | CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 |
-
2006
- 2006-07-19 JP JP2006197385A patent/JP4837470B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008028576A (ja) | 2008-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10771262B2 (en) | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange | |
US11271730B2 (en) | Systems and methods for deployment, management and use of dynamic cipher key systems | |
Xue et al. | A dynamic secure group sharing framework in public cloud computing | |
KR100860404B1 (ko) | 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치 | |
EP1635502B1 (en) | Session control server and communication system | |
JP4962117B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
US20170126623A1 (en) | Protected Subnet Interconnect | |
JP2014529238A (ja) | 安全なマルチキャストクラスタ内通信を提供するためのシステムおよび方法 | |
JP5012173B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
JP2005236939A (ja) | ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法 | |
JP4490352B2 (ja) | Vpnサーバホスティングシステム、およびvpn構築方法 | |
RU2685975C2 (ru) | Обеспечение безопасности связи с расширенными мультимедийными платформами | |
JP4344783B2 (ja) | シード配信型ワンタイムid認証 | |
WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
JP3908982B2 (ja) | CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 | |
EP3216163B1 (en) | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange | |
JP4837470B2 (ja) | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム | |
KR101880999B1 (ko) | 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 | |
WO2007135963A1 (ja) | 認証方法及びこれを用いた認証システム | |
Palomar et al. | Secure content access and replication in pure p2p networks | |
US20230045486A1 (en) | Apparatus and Methods for Encrypted Communication | |
CN113918971A (zh) | 基于区块链的消息传输方法、装置、设备及可读存储介质 | |
Reimair et al. | In Certificates We Trust--Revisited | |
JP2008152737A (ja) | サービス提供サーバ、認証サーバ、および認証システム | |
Khan et al. | A key management scheme for Content Centric Networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090122 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110909 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110920 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110928 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141007 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4837470 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |