JP2002208921A - Vpnデータ通信方法および私設網構築システム - Google Patents

Vpnデータ通信方法および私設網構築システム

Info

Publication number
JP2002208921A
JP2002208921A JP2001151279A JP2001151279A JP2002208921A JP 2002208921 A JP2002208921 A JP 2002208921A JP 2001151279 A JP2001151279 A JP 2001151279A JP 2001151279 A JP2001151279 A JP 2001151279A JP 2002208921 A JP2002208921 A JP 2002208921A
Authority
JP
Japan
Prior art keywords
private network
virtual private
vpn
data
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001151279A
Other languages
English (en)
Inventor
Hisashi Endo
久 遠藤
Hiroko Shibayama
裕子 柴山
Kenichi Okada
健一 岡田
Tatsuya Kosaka
達也 小坂
Koichi Genda
浩一 源田
Keiji Ueno
圭二 植野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Hitachi Systems and Services Ltd
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Hitachi Systems and Services Ltd
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Hitachi Systems and Services Ltd, Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001151279A priority Critical patent/JP2002208921A/ja
Publication of JP2002208921A publication Critical patent/JP2002208921A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 IPアドレスに拘束されず、かつ、VPNサ
ーバにアクセスすることなく、VPNを構築できるVP
N構築システムを提供する。 【解決手段】 携行可能なデータ伝送機器300は、V
PNクライアント200にて暗号化処理に用いる暗号化
キー、VPNクライアント200によって暗号化された
データをVPNサーバ100が受信した場合に、これを
復号化する復号化キーを特定する復号化キー特定情報、
およびVPNサーバのIPアドレスを含むVPN伝送基
礎データを記憶している。VPNクライアント200
は、データ伝送機器300が接続されると、伝送基礎デ
ータを読み出してメモリに記憶する。インターネット上
を伝送基礎データが転送されず、守秘性を保持しつつ、
データ伝送が可能となる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、VPNに関し、
特に、コンピュータのIPアドレスに依存しないVPN
クライアントコンピュータに関する。
【0002】
【従来技術】今日、バーチャルプライベートネットワー
ク(以下VPNと略す)が注目されている。これは、ネ
ットワークを介しても、守秘性の高いネットワークを個
人単位で構築する技術である。図14を用いて、簡単に
説明する。
【0003】A社の会計処理サーバコンピュータ500
には社内LANを介してVPNサーバコンピュータ50
3が接続されている。B社の端末コンピュータ603に
は、VPNクライアントプログラムがインストールされ
ている。VPNサーバコンピュータ503および端末コ
ンピュータ603双方には、VPNを形成するためのV
PNデータが記憶されている。端末の操作者は、VPN
クライアントプログラムを実行して、VPNサーバコン
ピュータ503との間で、VPNを構築する命令を端末
コンピュータ603に与える。端末コンピュータ603
は、かかる命令を受けて、記憶されているVPNデータ
を用いて、VPNサーバコンピュータ503との間で、
仮想的に、ネットワークを構築する。具体的には、端末
503と会計処理サーバコンピュータ500との間のデ
ータのやりとりは、前記VPNデータに含まれる暗号化
処理データを用いて、暗号化されて実行される。このよ
うに、予め登録されたコンピュータ間のデータ伝送をV
PNサーバコンピュータを介して行うことにより、ネッ
トワークを介しても、個人レベルで守秘性の高い伝送が
可能となる。
【0004】
【発明が解決しようとする課題】しかしながら、VPN
の構築には以下のような問題があった。例えば、前記端
末コンピュータ603の操作者が、出張のために、別の
コンピュータと会計処理サーバコンピュータ500との
間で守秘性の高いデータ伝送をさせる場合には、予め当
該コンピュータおよび会計処理サーバコンピュータ50
0にVPNデータを記憶させておかなければならない。
【0005】かかる問題を解決するために、特開200
0−59357号公報に開示されているように、各ユー
ザについてIDおよびパスワードを記録したICカード
を発行し、前記IDおよびパスワードを用いて管理サー
バコンピュータにアクセスし、VPNサーバコンピュー
タで用いる公開鍵および自己の秘密鍵を取得して、VP
N情報を取得してVPNを構築することも考えられる。
しかし、これでは、VPNを構築する場合には、自己の
秘密鍵がネットワーク上を転送されるので、自己の秘密
鍵が第三者に取得されるおそれがある。特に、ネットワ
ークとしてインターネットというオープンなネットワー
クを介在させる場合に、より第三者への情報の漏れが問
題となる。
【0006】また、VPNを構築する都度、管理サーバ
コンピュータにアクセスする必要があり、管理サーバコ
ンピュータが混雑している場合には、VPN構築に時間
がかかる。
【0007】この発明は、仮想私設網の構築情報につい
て守秘性を保持しつつ、仮想私設網の対象となるコンピ
ュータの柔軟性を向上させたネットワークを用いた仮想
私設網を構築することができる仮想私設網構築システム
を提供することを目的とする。さらに、簡易に仮想私設
網を構築できる仮想私設網構築システムを提供すること
を目的とする。
【0008】
【課題を解決するための手段および発明の効果】1)本
発明にかかるVPNデータ通信方法においては、A)V
PNサーバコンピュータとVPNクライアントコンピュ
ータとの間で、ネットワークを介してVPNを構築して
データ通信する方法であって、B)VPNクライアント
コンピュータとの間でデータ伝送が可能で、かつ携帯可
能なデータ伝送機器に、VPNクライアントコンピュー
タがVPNサーバコンピュータとの間でVPN伝送時に
用いるVPN伝送基礎データであって、少なくとも1)V
PNクライアントコンピュータにて暗号化処理に用いる
VPN暗号化キーまたはVPN暗号化キーを特定するV
PN暗号化キー特定情報、2)VPNサーバコンピュータ
で復号化処理に用いるVPN復号化キーを特定するVP
N復号化キー特定情報、および3)VPNサーバコンピュ
ータのIPアドレスを含むVPN伝送基礎データを記憶
させておき、C)前記データ伝送機器をVPN構築希望
するVPNクライアントコンピュータに接続し、D)前
記データ伝送機器から前記VPN伝送基礎データを読み
出して、前記VPNサーバコンピュータとの間で、VP
Nを構築し、前記VPNサーバコンピュータへデータ送
信要求があると、送信対象データを前記VPN暗号化キ
ーを用いて暗号化して、前記VPN復号化キー特定情報
とともに前記VPNサーバコンピュータのIPアドレス
にデータ転送し、E)前記VPNサーバコンピュータ
は、前記VPN復号化キー特定情報に基づいて、前記暗
号化されたデータを復号化するキーを特定し、復号化処
理する。
【0009】このように、携帯可能なデータ伝送機器に
VPN伝送基礎データを記憶させておき、VPN構築希
望のVPNクライアントコンピュータに接続させて、V
PNを構築することにより、予めVPN伝送基礎データ
を記憶させていないVPNクライアントコンピュータで
あっても、VPN構築が可能となる。また、前記データ
伝送機器に暗号化キーを記憶させているので、VPNク
ライアントコンピュータで用いる暗号化キーがネットワ
ーク上を転送されることによるセキュリティー低下の問
題もない。また、VPN復号化キー特定情報およびVP
NサーバコンピュータのIPアドレスを記憶しているの
で、VPNサーバコンピュータにアクセスすることな
く、VPNを構築することができる。
【0010】2)本発明にかかる仮想私設網システムに
おいては、A)仮想私設網サーバコンピュータ、B)ネ
ットワークを介して前記仮想私設網サーバコンピュータ
と接続された仮想私設網クライアントコンピュータを備
え、C)前記仮想私設網サーバコンピュータと前記仮想
私設網クライアントコンピュータとの間で、暗号化され
たデータを受信して復号化する復号化キーをお互いに記
憶しておき、データ伝送する仮想私設網構築システムで
あって、D)携帯可能なデータ伝送機器に、前記仮想私
設網クライアントコンピュータが前記仮想私設網サーバ
コンピュータとの間で仮想私設網を構築する場合に用い
る仮想私設網伝送基礎データであって、少なくともd1)
仮想私設網クライアントコンピュータにて暗号化処理に
用いる仮想私設網暗号化キーまたは仮想私設網暗号化キ
ーを特定する仮想私設網暗号化キー特定情報、d2)仮想
私設網サーバで復号化処理に用いる仮想私設網復号化キ
ーを特定する仮想私設網復号化キー特定情報、およびd
3)仮想私設網サーバコンピュータのコンピュータ特定デ
ータを含む仮想私設網伝送基礎データを記憶させてお
き、E)前記仮想私設網クライアントコンピュータは、
前記データ伝送機器が接続されると、前記仮想私設網伝
送基礎データを読み出して前記仮想私設網サーバコンピ
ュータとの間で、仮想私設網を構築する。
【0011】このように、携帯可能なデータ伝送機器に
仮想私設網伝送基礎データを記憶させておき、仮想私設
網構築希望の仮想私設網クライアントコンピュータに接
続させて、仮想私設網を構築することにより、予め仮想
私設網伝送基礎データを記憶させていない仮想私設網ク
ライアントコンピュータであっても、仮想私設網構築が
可能となる。また、前記データ伝送機器に暗号化キーを
記憶させているので、ネットワーク上を暗号化キーが転
送されることによるセキュリティー低下の問題もない。
また、仮想私設網復号化キー特定情報および仮想私設網
サーバコンピュータのコンピュータ特定データを記憶し
ているので、仮想私設網サーバにアクセスすることな
く、仮想私設網を構築することができる。
【0012】3)本発明にかかる仮想私設網システムに
おいては、A)仮想私設網サーバコンピュータ、B)ネ
ットワークを介して前記仮想私設網サーバコンピュータ
と接続された仮想私設網クライアントコンピュータを備
え、C)前記仮想私設網サーバコンピュータと前記仮想
私設網クライアントコンピュータとの間で、暗号化され
たデータを受信して復号化する復号化キーをお互いに記
憶しておき、データ伝送する仮想私設網構築システムで
あって、D)携帯可能なデータ伝送機器に、前記仮想私
設網クライアントコンピュータが前記仮想私設網サーバ
コンピュータとの間で仮想私設網を構築する場合に用い
る仮想私設網伝送基礎データであって、少なくともd1)
仮想私設網クライアントコンピュータと仮想私設網サー
バコンピュータとの暗号化データ伝送に用いる仮想私設
網暗号化キーおよび仮想私設網復号化キーを特定する仮
想私設網暗号化復号化キー特定情報、およびd2)仮想私
設網サーバコンピュータのコンピュータ特定データを含
む仮想私設網伝送基礎データを記憶させておき、E)前
記仮想私設網クライアントコンピュータは、前記データ
伝送機器が接続されると、前記仮想私設網伝送基礎デー
タを読み出して、前記仮想私設網サーバコンピュータと
の暗号化データ伝送に用いる仮想私設網暗号化キーおよ
び仮想私設網復号化キーを特定することにより、仮想私
設網を構築する。
【0013】このように、携帯可能なデータ伝送機器に
仮想私設網伝送基礎データを記憶させておき、仮想私設
網構築希望の仮想私設網クライアントコンピュータに接
続させて、仮想私設網を構築することにより、予め仮想
私設網伝送基礎データを記憶させていない仮想私設網ク
ライアントコンピュータであっても、仮想私設網構築が
可能となる。また、前記データ伝送機器に暗号化キーを
特定する特定情報を記憶させているので、ネットワーク
上を暗号化キーが転送されることによるセキュリティー
低下の問題もない。
【0014】4)本発明にかかる仮想私設網システムに
おいては、前記仮想私設網クライアントコンピュータ
は、前記仮想私設網サーバコンピュータへのデータ送信
要求があると、送信対象データを前記仮想私設網暗号化
キーを用いて暗号化して、前記仮想私設網復号化キー特
定情報とともに前記仮想私設網サーバへデータ転送し、
前記仮想私設網サーバコンピュータは、前記仮想私設網
復号化キー特定情報に基づいて、前記暗号化されたデー
タを復号化するキーを特定し、復号化処理する。これに
より、VPNを用いたデータ通信が可能となる。
【0015】5)本発明にかかる仮想私設網クライアン
トコンピュータにおいては、A)仮想私設網サーバコン
ピュータとネットワークを介して接続された仮想私設網
クライアントコンピュータであって、前記仮想私設網サ
ーバコンピュータとの間で、受信した暗号化データを復
号化できる復号化キーを記憶しておき、データ伝送する
仮想私設網クライアントコンピュータであって、B)携
帯可能なデータ伝送機器に、前記仮想私設網クライアン
トコンピュータが前記仮想私設網サーバコンピュータと
の間で仮想私設網を構築する場合に用いる仮想私設網伝
送基礎データであって、少なくともb1)仮想私設網暗号
化キーまたは仮想私設網暗号化キーを特定する仮想私設
網暗号化キー特定情報、b2)仮想私設網復号化キー特定
情報、およびb3)仮想私設網サーバコンピュータのコン
ピュータ特定データを含む仮想私設網伝送基礎データを
記憶させておき、C)前記仮想私設網クライアントコン
ピュータは、前記データ伝送機器が接続されると、前記
仮想私設網伝送基礎データを読み出して前記仮想私設網
サーバコンピュータとの間で、仮想私設網を構築する。
【0016】このように、携帯可能なデータ伝送機器に
仮想私設網伝送基礎データを記憶させておき、仮想私設
網構築希望の仮想私設網クライアントコンピュータに接
続させて、仮想私設網を構築することにより、予め仮想
私設網伝送基礎データを記憶させていない仮想私設網ク
ライアントコンピュータであっても、仮想私設網構築が
可能となる。また、前記データ伝送機器に暗号化キーを
記憶させているので、ネットワーク上を暗号化キーが転
送されることによるセキュリティー低下の問題もない。
また、仮想私設網復号化キー特定情報および仮想私設網
サーバコンピュータのコンピュータ特定データを記憶し
ているので、仮想私設網サーバにアクセスすることな
く、仮想私設網を構築することができる。
【0017】7)本発明にかかるVPN通信システムに
おいては、クライアントコンピュータと特定のサーバコ
ンピューター又または特定のLANとの間の通信で、ク
ライアントコンピュータ内部またはクライアントコンピ
ュータとネットワークとの間にVPNクライアント機能
を配備し、上記特定サーバ内部または特定サーバや特定
LANとネットワークとの間にVPNサーバ機能を配備
し、上記VPNクライアントとVPNサーバ機能との間
で転送されるデータを暗号化して転送するVPN通信シ
ステムにおいて、A)上記ネットワークはインターネッ
ト等の公衆ネットワークやLANであり、B)VPNク
ライアント機能は携帯可能なデータ伝送機器とデータ伝
送機器を動作させるドライバプログラムから構成され、
C)VPNクライアント機能のドライバプログラムは、
前記データ伝送機器をVPN通信するクライアントコン
ピュータに接続した時、前記データ伝送機器から前記V
PN伝送基礎データをクライアントコンピュータに読み
出し動作可能な状態とし、D)前記携帯可能なデータ伝
送機器には、VPN伝送基礎データとして、d1)VPN
クライアント識別情報、d2)暗号化復号化処理に必要な
暗号鍵情報、d3)VPNサーバ機能を示すIPアドレ
ス、d4)上記特定サーバを示すIPアドレスまたは特定
LANを示すIPサブネットアドレスを内蔵し、E)V
PNサーバ機能には、VPNサーバ識別情報、暗号化通
信するすべてのVPNクライアント識別情報、暗号化復
号化処理に必要な暗号鍵情報を内蔵し、F)前記VPN
クライアント機能は、クライアントコンピュータが特定
のサーバコンピューターまたは特定のLANへ向けてデ
ータ送信する時、VPNサーバ機能との間でお互いのV
PN伝送基礎データをやりとりすることによりVPNを
確立し、送信対象データを前記VPN伝送基礎データを
用いて暗号化し、前記VPNサーバ機能を示すIPアド
レスにデータを転送し、G)前記VPNサーバ機能は、
前記VPNクライアント機能と通信するためのVPN伝
送基礎データに基づいて、前記暗号化されたデータを復
号化する暗号鍵を用いて復号した後、前記特定のサーバ
コンピューターまたは特定のLANへデータを転送す
る。
【0018】このように、携帯可能なデータ伝送機器に
VPN伝送基礎データを記憶させておき、VPN構築希
望のクライアントコンピュータに接続させてVPNを構
築することにより、クライアントコンピュータがVPN
通信に必要な暗号鍵がネットワーク上を転送されること
によるセキュリティ低下の問題がない。またVPN伝送
基礎データを携帯しているため、VPN通信のたびにV
PNクライアント機能からVPNサーバ機能にアクセス
する必要がなく、VPNサーバ機能の処理負荷を低減で
きる。
【0019】8)本発明にかかる仮想私設網システムに
おいては、前記データ伝送機器には、仮想私設網クライ
アントコンピュータ用のプログラムが記録されており、
前記仮想私設網クライアントコンピュータは、当該プロ
グラムを読み出して、前記仮想私設網の構築を実行す
る。したがって、前記仮想私設網クライアントコンピュ
ータ用のプログラムが記録されていないコンピュータで
あっても、前記データ伝送機器を接続するだけで、仮想
私設網クライアントコンピュータとして機能させること
ができる。
【0020】9)本発明にかかる記録媒体においては、
コンピュータを、ネットワークを介して接続された仮想
私設網サーバコンピュータとの間で、暗号化されたデー
タを受信して復号化する復号化キーをお互いに記憶して
おき、データ伝送する仮想私設網クライアントコンピュ
ータとして機能させるためのプログラムを記録した記録
媒体であって、前記コンピュータは、前記プログラムを
記録した記録媒体が接続されると、前記仮想私設網クラ
イアントコンピュータが前記仮想私設網サーバコンピュ
ータとの間で仮想私設網を構築する場合に用いる仮想私
設網伝送基礎データであって、少なくとも1)仮想私設網
クライアントコンピュータにて暗号化処理に用いる仮想
私設網暗号化キーまたは仮想私設網暗号化キー特定情
報、2)仮想私設網サーバで復号化処理に用いる仮想私設
網復号化キーを特定する仮想私設網復号化キー特定情
報、および3)仮想私設網サーバコンピュータのコンピュ
ータ特定データを含む仮想私設網伝送基礎データを、前
記記録媒体から読み出して前記仮想私設網サーバコンピ
ュータとの間で、仮想私設網を構築する。したがって、
前記仮想私設網伝送基礎データを有していないコンピュ
ータであっても、前記データ伝送機器を接続すれば、仮
想私設網を構築することができる。
【0021】10)本発明にかかる記録媒体において
は、仮想私設網クライアントコンピュータ用のプログラ
ムが記録されており、前記仮想私設網クライアントコン
ピュータは、当該プログラムを読み出して、前記仮想私
設網の構築を実行する。したがって、前記仮想私設網ク
ライアントコンピュータ用のプログラムが記録されてい
ないコンピュータであっても、前記データ伝送機器を接
続するだけで、仮想私設網クライアントコンピュータと
して機能させることができる。
【0022】11)本発明にかかる記録媒体において
は、前記記録媒体は、仮想私設網クライアントコンピュ
ータ用のプログラムおよび仮想私設網伝送基礎データが
記録された仮想私設網関連データ記憶部と、前記仮想私
設網関連データを読み出すための読み出しプログラムが
記録された読み出しプログラム記録部とを有しており、
前記仮想私設網関連データ記憶部は、前記クライアント
コンピュータのファイルシステムとは異なるデータ構造
で記録されている。前記読み出しプログラムは、使用者
識別情報が与えられると、あらかじめ記憶されている照
合情報との照合状態を検査し、照合する場合には、仮想
私設網クライアントコンピュータ用のプログラムおよび
仮想私設網伝送基礎データを読み出して、前記仮想私設
網の構築を実行する。このように、仮想私設網伝送基礎
データを前記コンピュータのファイルシステムとは異な
るデータ構造で記録しておき、前記読み出しプログラム
を介して、仮想私設網伝送基礎データおよび仮想私設網
クライアントコンピュータ用のプログラムを読み出すこ
とにより、仮想私設網伝送基礎データおよびそのプログ
ラムの盗み見ることから防止することができる。特に、
仮想私設網クライアントコンピュータ用のプログラムを
前記記録媒体に記録する場合には、かかる直接読み取り
できなくすることにより、より守秘性を高めることがで
きる。
【0023】11)本発明にかかる仮想私設網を構築す
る方法においては、データを記録した記録媒体を、コン
ピュータに接続することにより、前記コンピュータのオ
ペレーティングシステムプログラムが、前記記録媒体に
記録された仮想私設網構築プログラムを起動させ、かか
る仮想私設網構築プログラムによって、前記記録媒体に
記録された仮想私設網構築用データを読み出して、仮想
私設網サーバコンピュータとの間で仮想私設網を構築す
る方法であって、前記仮想私設網構築データは、前記オ
ペレーティングシステムプログラムだけではデータを読
み出すことができない隠しデータ領域に記憶されてお
り、前記仮想私設網構築プログラムは、使用者識別情報
が与えられると、あらかじめ記憶されている照合情報と
の照合状態を検査し、照合する場合には、前記仮想私設
網構築データを前記隠しデータ領域から読み出して、前
記仮想私設網を構築するプログラムである。このよう
に、前記仮想私設網構築データを、前記オペレーティン
グシステムプログラムだけではデータを読み出すことが
できない隠しデータ領域に記憶しておき、前記仮想私設
網構築プログラムが前記仮想私設網構築データを読み出
すことにより、前記仮想私設網構築データを盗み見るこ
とから防止することができる。特に、仮想私設網クライ
アントコンピュータ用のプログラムを前記記録媒体に記
録する場合には、かかる直接読み取りできなくすること
により、より守秘性を高めることができる。
【0024】12)本発明にかかるプログラムを記録し
たコンピュータ可読の記録媒体においては、コンピュー
タを、ネットワークを介して接続された仮想私設網サー
バコンピュータとの間で仮想私設網を構築した仮想私設
網クライアントコンピュータとして機能させるためのプ
ログラムを記録した記録媒体であって、前記記録媒体に
は、1)前記仮想私設網構築データが前記オペレーティン
グシステムプログラムだけではデータを読み出すことが
できない隠しデータ領域に記録されており、2)使用者識
別情報が与えられると、あらかじめ記憶されている照合
情報との照合状態を検査し、照合する場合には、前記仮
想私設網構築データを前記隠しデータ領域から読み出し
て、前記仮想私設網を構築するプログラムが前記オペレ
ーティングシステムプログラムが記録されているデータ
のデータ形式を離隔できる領域に記録されている。この
ように、前記仮想私設網構築データを、前記オペレーテ
ィングシステムプログラムだけではデータを読み出すこ
とができない隠しデータ領域に記憶しておき、前記仮想
私設網構築プログラムが前記仮想私設網構築データを読
み出すことにより、前記仮想私設網構築データを盗み見
ることから防止することができる。特に、仮想私設網構
築プログラムを前記記録媒体に記録して、当該記録媒体
さえあれば、仮想私設網を構築できるようにする場合に
は、かかる直接読み取りできなくすることにより、より
守秘性を高めることができる。
【0025】なお、VPNサーバ機能からVPNクライ
アント機能への通信も逆の手順で同様にすればよい。
【0026】本実施形態においては、仮想私設網復号化
キー特定情報として、VPNサーバ識別子およびVPN
クライアント識別子を用いた。これにより、1つのVP
Nサーバについて、複数のVPNサーバ識別子を設定す
ることができる。しかし、仮想私設網復号化キー特定情
報としては、VPNサーバに記憶された復号化キーのう
ち、いずれを用いて復号すればよいかを特定できるもの
であればどのようなものであってもよく、復号化キー番
号などであってもよい。この場合には、VPNサーバ識
別子は不要となる。
【0027】また、VPN暗号化方式は1つの方式に決
めておけば、VPN伝送基礎データに記憶させる必要は
ない。
【0028】なお、「読み出しプログラム」とは、実施
形態では、起動プログラム411aが該当する。「使用
者識別情報」とは、実施形態ではIDとパスワードが該
当する。また、「仮想私設網関連データ記憶部」「読み
出しプログラム記録部」は、それぞれ、領域412、領
域411に該当する。また、「隠しデータ領域」とは実
施形態では領域412に該当する。
【0029】
【発明の実施の形態】1.概略および機能ブロックの説
明 本発明の一実施形態を図面に基づいて説明する。図1に
示す仮想私設網データ伝送システムは、VPNサーバコ
ンピュータ(以下VPNサーバと略す)100、VPN
クライアントコンピュータ(以下VPNクライアントと
略す)200およびデータ伝送機器300を備えてい
る。
【0030】VPNサーバ100は、LANでウェブサ
ーバコンピュータ110に接続されている。VPNクラ
イアント200はインターネットなどのネットワークを
介してVPNサーバ100に接続されている。VPNク
ライアント200には、データ伝送機器300が接続さ
れている。
【0031】本システムの主要部分の詳細機能ブロック
について、図2を用いて説明する。
【0032】データ伝送機器300は、送受信手段1
1、判定手段12,VPN伝送基礎データ記憶手段10
を備えている。
【0033】VPN伝送基礎データ記憶手段10は、V
PN伝送基礎データを記憶する。VPN伝送基礎データ
は、少なくとも、1)VPNクライアント200にて暗号
化処理に用いるVPN暗号化キー、2)VPNクライアン
ト200によって暗号化されたデータをVPNサーバ1
00が受信した場合に、これを復号化する時に用いるV
PN復号化キーを特定するVPN復号化キー特定情報、
および3)VPNサーバのIPアドレスを含む。
【0034】VPNクライアント200は、接続状態制
御手段6、読み出しデータ記憶手段4、報知手段7およ
び入力手段8を備えており、データ伝送機器300が接
続されると、以下のようにして、前記VPN伝送基礎デ
ータ記憶手段10に記憶されたVPN伝送基礎データを
読み出して、読み出しデータ記憶手段4に記憶する。
【0035】接続状態制御手段6は、データ伝送機器3
00が接続されるとこれを検出し、報知手段7によっ
て、操作者に、操作者IDおよびパスワード入力可能状
態であることを報知する。操作者は、操作者IDおよび
パスワードを入力手段8から入力する。接続状態制御手
段6は入力された操作者IDおよびパスワードをデータ
伝送機器300の送受信手段11に送信する。送受信手
段11は、これらの操作者IDおよびパスワードを判定
手段12に与える。判定手段は与えられた操作者IDお
よびパスワードが一致しているか否か判断し、一致して
いる場合には、一致判断信号を送受信手段11に与え
る。なお、判別手段が、IDおよびパスワードに換え
て、操作者がデータ伝送機器の正当な使用者であること
を判別するようにしてもよい。判別手法としては指紋、
声紋等を用いた判別が、採用可能である。
【0036】送受信手段11は、かかる一致判断信号を
受けて、接続状態制御手段6にVPN伝送基礎データの
読み出し許可信号を送信する。接続状態制御手段6はか
かる読み出し許可信号を受け取ると、VPN伝送基礎デ
ータ取得要求を送受信手段11に出力する。送受信手段
11はVPN伝送基礎データをVPN伝送基礎データ記
憶手段10から読み出して、接続状態制御手段6に出力
する。接続状態制御手段6は、与えられたVPN伝送基
礎データを読み出しデータ記憶手段4に記憶させる。
【0037】かかる読み出しデータ記憶手段4への書き
込みにより、VPNサーバ100との間でネットワーク
を介しても伝送対象データの守秘性を保持しつつ、デー
タ伝送が可能となる。本明細書においては、かかる状態
をVPNが構築されたと呼ぶ。
【0038】データ伝送について説明する。暗号化手段
3は、処理手段2から暗号処理対象のデータを受け取る
と、読み出しデータ記憶手段4に記憶されたVPN伝送
基礎データのうちVPNクライアント200にて暗号化
処理に用いるVPN暗号化キーを用いて暗号化し、VP
Nクライアント200によって暗号化されたデータをV
PNサーバ100が受信した場合に、これを復号化する
時に用いるVPN復号化キーを特定するVPN復号化キ
ー特定情報とともに、VPNサーバ100のIPアドレ
スに転送する。
【0039】VPNサーバ100は、復号化手段15,
VPN伝送基礎データ記憶手段14,暗号化手段13を
備えている。復号化手段15は、前記VPN復号化キー
特定情報に基づき、VPN伝送基礎データ記憶手段14
に記憶された複数の復号化キーから復号処理に用いるキ
ーを特定し、VPNクライアント200によって暗号化
されたデータを復号化して、他のコンピュータへ出力す
る。
【0040】VPN伝送基礎データ記憶手段14は、V
PNサーバ100にて暗号化処理に用いるVPN暗号化
キー、およびVPNサーバ100によって暗号化された
データをVPNクライアント200が受信した場合に、
これを復号化する時に用いるVPN復号化キーを特定す
るVPN復号化キー特定情報を含むVPN伝送基礎デー
タを記憶する。暗号化手段13は、VPN伝送基礎デー
タ記憶手段14に記憶された暗号化キーを用いて、他の
コンピュータから与えられたデータを暗号化して、VP
N伝送基礎データ記憶手段14に記憶されたVPN復号
化キー特定情報とともに、伝送データを受け取ったコン
ピュータのIPアドレス(この場合、VPNクライアン
ト200のIPアドレス)に転送する。
【0041】VPNクライアント200の復号化手段5
は、VPNサーバ100から受け取ったVPN復号化キ
ー特定情報に基づき、読み出しデータ記憶手段4に記憶
された復号化キーのうち復号処理に用いるキーを特定
し、VPNサーバ100によって暗号化されたデータを
復号化して、処理手段2へ出力する。
【0042】なお、上記例では、VPNクライアント2
00からデータ伝送する場合について説明したが、VP
Nサーバ100からデータ伝送することも可能である。
この場合の処理は同様であるので説明は省略する。
【0043】なお、VPNクライアントのIPアドレス
については、例えば、VPNクライアント200からV
PNサーバ100にデータが伝送された時に取得でき
る。
【0044】また、VPNクライアントのIPアドレス
を、予め、VPNサーバのVPN伝送基礎データ記憶手
段に記憶しておくことにより、VPNサーバからのVP
N伝送も可能である。
【0045】また、VPNクライアントとしてユーザに
選択されるコンピュータの範囲が決定されている場合に
は、VPNサーバにVPNクライアントIPアドレスの
候補を複数記憶しておいてもよい。この場合には、VP
NサーバからVPNを構築することも可能となる。
【0046】また、上記実施形態においては、VPN伝
送基礎データとして、VPN暗号化キー、VPN復号化
キー特定情報、およびVPNサーバのIPアドレスを含
む場合について説明したが、VPN暗号化キーについて
は、VPN暗号化キーを特定するためのVPN暗号化キ
ー特定情報であってもよい。この場合、VPN暗号化キ
ーを特定するためのプログラムを記憶しておき、VPN
クライアント単独でまたはVPNサーバと連携してVP
N暗号化キーを決定(生成)してもよい。
【0047】また、VPNクライアントのVPN伝送基
礎データとして、少なくともVPNキー特定情報および
対向するVPNサーバのIPアドレスを記憶しておき、
VPNサーバと連携してVPN暗号化キーおよびVPN
復号化キーを決定するようにしてもよい。なお、VPN
サーバのVPN伝送基礎データとして、少なくともVP
Nキー特定情報および対向するVPNクライアントのI
Pアドレスを記憶しておき、VPNクライアントと連携
してVPN暗号化キーおよびVPN復号化キーを決定す
るようにしてもよい。
【0048】かかるVPN暗号化キーおよびVPN復号
化キーの生成については、例えば、IPSECの標準鍵交換
方式のIKE(internet key exchange)を用いてもよい。
【0049】このようにして、非閉鎖的なネットワーク
を介しても、守秘性の高いデータ伝送が可能となるVP
Nが構築状態となる。
【0050】2.ハードウェア構成 図2に示すVPNサーバ100のハードウェア構成につ
いて図3を用いて説明する。図3は、VPNサーバ10
0をCPUを用いて構成したハードウェア構成の一例で
ある。以下では、VPNの標準プロトコルとして、IPSe
c(Security Architectuer for Internet Protocol)の鍵
交換方式の1つである手動鍵方式を採用した場合につい
て説明する。
【0051】VPNサーバ100は、CPU23、メモ
リ27、ハードディスク26、CRT30、CDD(C
DROMドライブ)25、キーボード28、マウス3
1、ネットワーク管理部32およびバスライン29を備
えている。CPU23は、ハードディスク26に記憶さ
れたプログラムにしたがいバスライン29を介して、各
部を制御する。なお、オペレーティングシステムとして
は、例えば、ウインドウズNT(商標)等を採用すれば
よい。
【0052】ハードディスク26には、オペレーティン
グプログラム(OS)26o、VPNサーバプログラム
26p、およびVPNデータ記憶部26dを有する。
【0053】これらのプログラムは、CDD25を介し
て、プログラムが記憶されたCDROM25aから読み
出されてハードディスク26にインストールされたもの
である。なお、CDROM以外に、フレキシブルディス
ク(FD)、ICカード等のプログラムをコンピュータ
可読の記録媒体から、ハードディスクにインストールさ
せるようにしてもよい。さらに、通信回線を用いてダウ
ンロードするようにしてもよい。
【0054】本実施形態においては、プログラムをCD
ROMからハードディスク26にインストールさせるこ
とにより、CDROMに記憶させたプログラムを間接的
にコンピュータに実行させるようにしている。しかし、
これに限定されることなく、CDROMに記憶させたプ
ログラムをCDD25から直接的に実行するようにして
もよい。なお、コンピュータによって、実行可能なプロ
グラムとしては、そのままのインストールするだけで直
接実行可能なものはもちろん、一旦他の形態等に変換が
必要なもの(例えば、データ圧縮されているものを、解
凍する等)、さらには、他のモジュール部分と組合して
実行可能なものも含む。
【0055】VPNデータ記憶部26dのデータ構造に
ついて、図4を用いて説明する。VPNデータ記憶部2
6dには、VPNクライアント識別子、VPNサーバ識
別子、VPN暗号化方式、VPN復号化キー、およびV
PN暗号化キーが記憶されている。
【0056】VPNクライアント識別子およびVPNサ
ーバ識別子は、VPNサーバとVPNクライアントとの
間で暗号化されて伝送されるデータについて、いずれの
データを用いて復号すればよいかを決定するためのVP
N復号化キー特定情報である。詳しくは後述する。VP
N復号化キーは、VPNクライアントにおいて暗号化さ
れたデータをVPNサーバにて復号するためのキーであ
る。VPN暗号化方式とは、VPNクライアントおよび
VPNサーバにおいて暗号化する暗号化方式を示すデー
タである。VPN暗号化キーは、このVPNクライアン
トに伝送する場合の暗号化キーである。
【0057】たとえば、VPNクライアント識別子「A
C101」、VPNサーバ識別子「AS105」、VP
N暗号化方式「xxx1」、VPN復号化キー「595
xxx5」、VPN暗号化キー「325yyy7」であ
れば、VPNクライアント識別子「AC101」からV
PNサーバ識別子「AS105」宛に伝送されたデータ
は、VPN復号化キー「595xxx5」を用いてVP
N暗号化方式「xxx1」で復号化される。また、VP
Nクライアント識別子「AC101」へのVPNサーバ
識別子「AS105」から伝送されるデータは、VPN
暗号化キー「325yyy7」を用いてVPN暗号化方
式「xxx1」で暗号化される。
【0058】このように、VPNサーバ100には、V
PNクライアントとの間でのVPN伝送方法を特定する
データが複数記憶されている。
【0059】ネットワーク管理部32はトラスト側(内
部LAN側)とアントラスト側(インターネット側)の
データを区別して送受信することができる。
【0060】また、VPNプログラム26pについては
後述する。
【0061】図2に示すVPNクライアント200のハ
ードウェア構成について図5を用いて説明する。VPN
クライアント200は、VPNサーバ100とハードウ
ェア構成はほぼ同じであるが、さらにUSBIF133
を有している。USBIF133は、USB(universal
serial bus)のインターフェイスである。また、ハー
ドディスク126に記憶されているデータが異なり、V
PNクライアントプログラム126sおよびアプリケー
ションプログラム126aを有する。
【0062】各プログラムについては後述する。
【0063】図2に示すデータ伝送機器300のハード
ウェア構成について図6を用いて説明する。データ伝送
機器300は、CPU223,ROM225、フラッシ
ュメモリ227、パスワード判定部233、USBIF
232およびバスライン229を備えている。本実施形
態においては、データ伝送機器300としてVPNクラ
イアント200に設けられたUSB端子(図示せず)に
USBプラグを挿入することにより、VPNクライアン
ト200との間で内部に有するデータをデータ伝送可能
なUSB機器(USBキー)を採用した。ROM225
には外部との通信および各部を制御する制御プログラム
が記録されている。フラッシュメモリ227には、VP
Nデータ記憶領域228を有している。VPNデータ記
憶領域228について、図7を用いて説明する。VPN
データ記憶領域228には、ユーザID、パスワード、
使用期限、VPNサーバのIPアドレス、相手先サーバ
のIPアドレス、VPN暗号化方式、VPN暗号化キ
ー、VPN復号化キー、VPNクライアント識別子、お
よびVPNサーバ識別子が記憶されている。相手先サー
バは例えば、ウェブサーバを示す。
【0064】ユーザIDおよびパスワードは、このデー
タ伝送機器300を使用許可が与えられているユーザで
あることを判別するためのデータである。使用期限は、
このデータ伝送機器300を使用できる期限を表す。V
PNサーバのIPアドレスは、VPN暗号化方式および
VPN暗号化キーによって、暗号化したデータを転送先
であり、相手先サーバのIPアドレスは、VPNサーバ
によって復号化されたデータの転送先を示す。VPN復
号化キーは、VPNサーバから与えられた暗号化された
データを復号化する場合のキーである。VPNクライア
ント識別子およびVPNサーバ識別子は、VPNサーバ
との間で相対的に決定された2つのコンピュータの識別
子である。この点は、VPNサーバと同様である。
【0065】パスワード判定部233は与えられたID
およびパスワードがあらかじめ記憶されているIDおよ
びパスワードと一致するか否かをハードウェアロジック
で判断し、一致する場合には一致判断信号を出力し、一
致しない場合には不一致判断信号を出力する。
【0066】3.フローチャート 以下では、既に述べたように、VPNの標準プロトコル
として、IPSecの鍵交換方式の1つである手動鍵方式を
採用した場合について説明する。
【0067】図8〜図11を用いて、VPNサーバ10
0とVPNクライアント200におけるVPNを用いた
データ伝送処理について説明する。以下では、図5に示
すようなアプリケーションプログラム26aに基づいて
出力されたデータを、VPNサーバ100に暗号化した
まま送信し、図1に示すVPNサーバ100にLAN接
続されたウェブサーバ110に復号化したデータとして
転送する場合を例として説明する。
【0068】まず、図8を用いてVPNの構築処理につ
いて説明する。データ伝送機器300とVPNクライア
ント200との間で、以下のようにして、VPN基礎デ
ータが読み出され、メモリ127に書き込まれる。
【0069】まず、ユーザはデータ伝送機器300をV
PNクライアント200のUSB端子に挿入する。VP
Nクライアント200は、OS126oに基づいて、自
己のUSB端子(図示せず)にデータ伝送機器300が
挿入されるか否かを検出しており、挿入を検出すると、
使用期限内か否か判断し、使用期限内であれば、当該ユ
ーザがデータ伝送機器300の使用を許可されたユーザ
であるか否かを判断するために、ユーザIDおよびパス
ワードの入力画面を表示する(図8ステップS1)。ユ
ーザは、キーボード128からユーザIDおよびパスワ
ードを入力する。
【0070】CPU123は、ユーザIDおよびパスワ
ードの入力があるか否か判断しており(ステップS
3)、ユーザIDおよびパスワードの入力があると、デ
ータ伝送機器300へ入力されたユーザIDおよびパス
ワードをUSBIF132を介して送信する(ステップ
S5)。
【0071】データ伝送機器300のCPU223は、
USBIF232を介してユーザIDおよびパスワード
を受信するか否か判断しており(ステップS21)、か
かるデータを受信すると、パスワード判定部233(図
6参照)に受信したユーザIDおよびパスワードを与え
る(ステップS23)。パスワード判定部233は、既
に説明したように、入力されたユーザIDおよびパスワ
ードと、予め記録されているユーザIDおよびパスワー
ドとが一致する場合には、一致信号を出力し、一致しな
い場合には、不一致信号を出力する。CPU223は、
パスワード判定部233から一致信号が与えられるか否
か判断しており(ステップS25)、一致信号が与えら
れるとVPNクライアント200にUSBIF232を
介して一致信号を送信する(ステップS27)。
【0072】VPNクライアント200のCPU123
は、USBIF132を介して一致信号を受信するか否
か判断しており(ステップS7)、一致信号を受信する
とデータ伝送機器300に記憶されたVPN伝送基礎デ
ータを取得するための要求命令を、USBIF132を
介してデータ伝送機器300に送信する(ステップS
9)。
【0073】データ伝送機器300のCPU223は、
USBIF232を介して前記要求命令が与えられるか
否か判断しており(ステップS31)、前記要求命令が
与えられると、VPNデータ記憶領域に記憶されたデー
タを、USBIF232を介して、VPNクライアント
200に送信する(ステップS33)。
【0074】VPNクライアント200のCPU123
は、応答があるか否か判断しており(ステップS1
1)、応答があるとメモリ127に受信したVPN伝送
基礎データを書き込む(ステップS13)。
【0075】かかるVPN伝送基礎データのメモリ12
7への書き込みにより、後述するようにVPNを用いた
伝送が可能な状態となる。本明細書では、これを、VP
Nが構築されたと呼ぶ。
【0076】なお、ステップS25にて、不一致信号を
受け取ると、CPU223は、USBIF232を介し
てVPNクライアント200に不一致信号を送信する
(ステップS35)。クライアント200のCPU12
3は、ステップS7にて不一致信号を受信し、例えば、
「ユーザIDまたはパスワードが違います。正しいユー
ザIDおよびパスワードを入力してください。」とアラ
ームメッセージを表示する(ステップS15)。そし
て、ステップS1以下の処理を繰り返す。
【0077】VPNクライアント200とVPNサーバ
100との間の伝送処理は、従来のVPNを用いた伝送
と基本的には同じである。以下、図9を用いて、VPN
を用いた伝送処理について説明する。
【0078】VPNクライアント200のCPU123
は、伝送対象のパケットのヘッダに記載された、伝送先
コンピュータのIPアドレスを参照して、内部から外部
への送信要求があるか否か判断する(図9ステップS4
1)。この場合、アプリケーションプログラム26aに
基づいて出力されたデータを、図1に示すウェブサーバ
110に伝送する場合であるので、伝送対象のパケット
のヘッダに記載されたウェブサーバ110のIPアドレ
スを参照して、かかる判断を実行する。
【0079】つぎに、CPU123は、送信先がVPN
を用いた伝送を実行する送信先か否かを判断する(ステ
ップS43)。これは、伝送対象パケットのヘッダ情報
を参照して、伝送先コンピュータのIPアドレスが、メ
モリ127に読み出されているVPN伝送基礎データの
相手先サーバのIPアドレスと一致するか否かを判断す
ればよい。
【0080】一致する場合は、CPU123は、VPN
伝送基礎データを用いて暗号化して送信する(ステップ
S45)。具体的には、伝送対象のパケットをVPN暗
号化キーを用いてVPN暗号化方式で暗号化し、パケッ
ト化する。このパケットのヘッダにこのパケットの伝送
先であるVPNサーバのIPアドレス、VPNクライア
ント識別子、およびVPNサーバ識別子をヘッダに埋め
込んで、送信する。なお、通常の送信と同様に、送信元
であるVPNクライアント200のIPアドレスもヘッ
ダに埋め込まれる。一方、ステップS43にて、一致し
ない場合は、VPNを用いた伝送ではないので、伝送対
象パケットを破棄する(ステップS47)。なお、指定
されたIPアドレスのコンピュータに暗号化することな
く送信するようにしてもよい。この場合、ステップS4
5にて暗号化することなく、送信するようにすればよ
い。
【0081】VPNサーバ100のCPU23は、外部
から内部への要求(リクエスト)を受信したか否か判断
している(ステップS61)。なお、外部からの要求で
あるか否かは、ネットワーク管理部のアントラスト側へ
与えられたか否かを判断すればよい。内部への要求であ
るかは、伝送パケットのヘッダに自己のIPアドレスが
転送先として指定されているか否か等を判断すればよ
い。
【0082】外部から内部への要求を受信すると、CP
U23は、指定先が図4に示すVPNデータ記憶部のデ
ータリスト中に存在するか否かを判断する(ステップS
63)。具体的には、ヘッダに存在するVPNクライア
ント識別子およびVPNサーバ識別子を検索キーとし
て、リストに存在するか否かを判断する。この場合、リ
ストに存在するので、ヘッダ中から送信元であるVPN
クライアント200のIPアドレスを読み出して、直前
VPNクライアントIPアドレスをそのIPアドレスに
書き換える(ステップS64)。この場合、ヘッダ情報
として、VPNクライアント識別子「AC101」およ
びVPNサーバ識別子「AS105」が読み出され、図
4に示すリストに存在するので、送信元のVPNクライ
アント200のIPアドレスを直前VPNクライアント
IPアドレスに書き換える。このように、VPN復号化
キー特定情報に対応づけてVPNクライアントIPアド
レスを記憶しておくことにより、VPNクライアントI
Pアドレスが動的に変化する場合でも、VPNを用いた
データ通信が可能となる。
【0083】CPU23は、VPN復号化キーを特定し
て暗号化方式に則って復号化し、復号化後のデータか
ら、転送先のサーバのIPアドレスを抽出し、当該IP
アドレスのサーバに転送する(ステップS65)。この
場合、対応するVPN復号化キー「595xxx5」を
用いて、VPN暗号化方式で復号化する。復号化後のデ
ータのヘッダ情報を参照すると、このパケットの相手先
サーバのIPアドレスが、「202.xxx.xxx」
であることがわかるので、かかるコンピュータに復号化
したパケットを伝送する。
【0084】このように、ヘッダ情報に埋め込まれたV
PNクライアント識別子およびVPNサーバ識別子は、
VPNサーバ100にて伝送されたパケットを復号化す
る場合の復号化キーを特定するデータとして機能する。
【0085】伝送先のウェブサーバ110でデータ処理
が実行されて、VPNクライアント200に応答を伝送
する場合、次のように実行される。
【0086】VPNサーバ100のCPU23は、内部
から外部への要求を受信したか否か判断している(ステ
ップS71)。なお、内部からの要求であるか否かは、
ネットワーク管理部のトラスト側へ与えられたか否かを
判断すればよい。したがって、ウェブサーバ110から
VPNクライアント200への伝送データを受け取る
と、送信先がVPNリストに存在するか否か判断する
(ステップS73)。この場合、この伝送データの送信
先として、ウェブサーバ110は、自己が受信した要求
発信元として指定されたIPアドレスが、直前VPNク
ライアントIPアドレスとして記憶されているか否か判
断すればよい。
【0087】この場合、送信先がVPNリストに存在す
るので、該当するVPN暗号化キー、VPN暗号化方式
を用いて、暗号化して、直前VPNクライアントIPア
ドレスに送信する(ステップS75)。このとき、ヘッ
ダ情報に、VPNクライアント識別子およびVPNサー
バ識別子を埋め込む。かかるデータを埋め込むのは、V
PNクライアント200にて伝送されたパケットを復号
化する場合の復号化キー特定するためである。なお、ス
テップS75にて暗号化することなく、送信するように
してもよい。
【0088】VPNクライアント200のCPU123
は、外部から内部への要求(リクエスト)を受信したか
否か判断している(ステップS51)。これは、伝送対
象パケットのヘッダ情報に記憶された送信元のVPNサ
ーバのIPアドレスおよび送信先のVPNクライアント
のIPアドレスから判断すればよい。
【0089】CPU123は、メモリ127に読み出し
ているVPN伝送基礎データで復号すべきか否かを判断
する(ステップS53)。具体的には、伝送対象パケッ
トのヘッダ情報に存在するVPNクライアント識別子お
よびVPNサーバ識別子が、メモリ127に読み出して
いるVPN伝送基礎データのVPNクライアント識別子
およびVPNサーバ識別子と一致するか否かを判断すれ
ばよい。
【0090】この場合、一致するので、メモリ127に
読み出しているVPN伝送基礎データのVPN復号化キ
ーを用いて、復号化し、アプリケーションプログラムに
渡す(ステップS55)。以下、かかる処理を繰り返
す。
【0091】なお、ステップS53にて一致しない場合
には、VPNを用いた伝送ではないので破棄する(ステ
ップS57)。なお、ステップS75にて暗号化されな
いで送信された場合には、ステップS55にて、復号化
することなくアプリケーションプログラムに渡すように
すればよい。
【0092】本実施形態においては、VPNクライアン
トのIPアドレスが固定的ではない。したがって、図9
ステップS64において、図4に示すリストに存在する
場合には、直前VPNクライアントIPアドレスとして
記憶するようにしている。これにより、VPNクライア
ントのIPアドレスに拘束されず、自由にVPNを構築
することができる。また、VPNクライアント200に
て、データ伝送機器300が取り外された場合には、V
PNクライアント200のメモリから、読み出されたV
PN伝送基礎データを消去するだけで、VPNサーバに
はデータ伝送機器300が取り外されたことを送信しな
い。この場合でも、つぎに、同じまたは異なるコンピュ
ータをVPNクライアントとしてVPN伝送がなされる
と、動的に前記VPNクライアントのIPアドレスを記
憶するので、確実に、VPNクライアントのIPアドレ
スに拘束されないVPNを構築することができる。
【0093】なお、図9ステップS73にて、リストに
存在しない場合は、VPNを用いた伝送ではないので破
棄(無視)する(ステップS77)。
【0094】VPN切断処理について図10を用いて説
明する。VPNクライアント200のCPU123は、
OS126oに基づき、USB端子の接続状態が変化す
るか否かを判断している。VPNクライアント200の
CPU123は、図10に示すプログラムを実行してお
り、「USB端子からデータ伝送機器が取り外された」
との検出結果を受けるか否かを判断しており(ステップ
S81)、USB端子からデータ伝送機器300が取り
外されると、メモリ127のVPN伝送基礎データを消
去する(ステップS83)。これにより、VPN伝送が
不可能な状態となる。これを、VPN切断状態という。
【0095】このように、VPN伝送基礎データを携帯
可能な接続機器に記録しておき、必要な端末に挿入する
ことにより、コンピュータのIPアドレスに拘束されな
いVPNを構築することができる。また、接続機器を取
り外すことにより、自動的にVPN伝送基礎データが消
去されるので、当該コンピュータにて第三者がこのVP
Nを用いた伝送をすることを確実に防止することができ
る。
【0096】4.他の実施形態 なお、本実施形態においては、伝送機器としてUSBキ
ーを用いたが、クライアントコンピュータとの間で内部
に記憶されているデータのやりとりができるものであれ
ばどのようなものであってもよく、コンパクトフラッシ
ュ(登録商標)、PCカード等の記録媒体を採用しても
よい。また、コンピュータに設けられた端子に有線で接
続する場合だけでなく、赤外線データ通信(例えば、Ir
DA(Infrared Data Association)規格など)やBluetoo
thなどで接続することも可能である。
【0097】また、データ伝送機器の発行および記録デ
ータの変更については、別途発行処理管理コンピュータ
を設ければよい。また、IDおよびパスワードを入力す
ることにより、VPNクライアントで編集可能としても
よい。
【0098】なお、RSAなどの公開鍵形式で暗号化お
よび復号化をする場合には、VPNサーバ100の公開
鍵については、データ伝送機器300のVPN伝送基礎
データ記憶手段10に記憶しておく必要はなく、暗号化
するときに、VPNサーバ100にアクセスして取得す
るようにしてもよい。VPNクライアント200の公開
鍵についても同様である。
【0099】本実施形態においては、VPN伝送基礎デ
ータを全てデータ伝送機器に格納して持ち歩くようにし
ている。これにより、VPNサーバからVPN伝送基礎
データを転送させる必要がないので、守秘性を高めるこ
とができる。しかし、VPN伝送基礎データを全てデー
タ伝送機器に格納させるのではなく、その一部を格納さ
せておき、残りのデータはVPNサーバからダウンロー
ドするようにしてもよい。この場合、データの分割の仕
方としては、合体させて初めてデータとして意義がある
ように、分割すればよい。たとえば、VPN暗号キーが
12バイトから構成されている場合、前半の6バイトを
データ伝送機器に、後半の6バイトをVPNサーバから
転送させて、両者を合体させて初めてVPN暗号キーが
わかるようにすればよい。他の項目データについても同
様である。この場合、分割の割合については、限定され
ない。
【0100】また、上記実施形態においては、図5に示
すように、VPNクライアント11のハードディスクに
VPNプログラム126cをインストールしている場合
について説明したが、VPNプログラムについては、フ
ラッシュメモリチップおよびコントローラチップを搭載
したコンパクトフラッシュ(CF)等の記録媒体に格納
し、かかる記録媒体からプログラムを読み出すようにし
てもよい。これにより、VPNプログラムを予めインス
トールしていないコンピュータであっても、VPN通信
が可能となる。以下、図5に示すVPNクライアントで
記述しているVPNプログラムをデータ伝送機器に内蔵
した場合の実施形態について、説明する。
【0101】図11に、VPNクライアントとしてPD
A(Personal Digital Assistants)を採用した場合
の、ハードウェア構成を示す。このように、PDA40
0はCFスロット433を有しており、CFスロット4
33には後述するコンパクトフラッシュ433aが挿入
される。ROM425にはオペレーティングシステムプ
ログラム(OS)が記憶されている。
【0102】コンパクトフラッシュ433aのデータ構
造を図12を用いて説明する。コンパクトフラッシュ4
33aは、PDA400のCPU423がOSによって
認識できる領域と、認識できない領域に分割されてい
る。これにより、VPN個人情報等のVPN伝送基礎デ
ータの無断複製等から保護することができる。
【0103】図12に示すように、コンパクトフラッシ
ュ400は、PDA400のOSが認識できる領域41
1と、PDA400のOSが認識できない領域412に
パーティションが分けられている。具体的には領域41
1はFATが存在するが、領域412はhiddenFATとし
てパーティションを分割すればよい。領域412に図6
に示すVPNデータ412dおよびこれを用いてVPN
サーバとの間でVPN通信を行うVPNプログラム41
2vを、予め定めたデータフォーマットで記録してお
く。領域412はPDA400のOSが通常のファイル
システムのデータフォーマットとは異なるデータフォー
マットで記憶されているので、領域411にこの領域4
12に記録されたプログラムを起動する起動プログラム
412aが記録されている。
【0104】かかる起動プログラム411aおよびVP
Nプログラム412vによるデータ処理を図13を用い
て説明する。
【0105】まず操作者は、コンパクトフラッシュ43
3aをCFスロット433に挿入する。CPU423
は、ROM425に格納されたOSに基づいてCFスロ
ット433にコンパクトフラッシュが挿入されたか否か
を判断しており(図13ステップS101)、挿入があ
るとコンパクトフラッシュ433aに自動実行のための
定義ファイルを読み出す(ステップS105)。この場
合、図12に示すように、定義ファイル411bをコン
パクトフラッシュから読み出す。定義ファイル411b
には、領域411に記憶された起動プログラム411a
を実行する命令が記載されており(図示せず)、CPU
423は、起動プログラム411aをRAM427にロ
ードする(ステップS107)。これにより、起動プロ
グラム411aによる処理が実行される。
【0106】CPU423は起動プログラム411aに
基づき、パスワード入力画面を液晶表示部430に表示
する(ステップS109)。かかる表示がなされると、
操作者はパスワードを入力部428から入力する。CP
U423はパスワード入力があったか否か判断しており
(ステップS111)、パスワード入力があると、領域
412に記憶されているVPNプログラム412vを読
み出す(ステップS115)。領域412は、既に説明
したように、PDA400のCPU423のOSのファ
イル管理システムとは異なる形式でデータ記録されてい
るため、OSだけではデータを読み出すことはできな
い。しかし、起動プログラム411aは予め領域412
に記憶されたデータが読み出すための情報を記憶してい
るのでかかる情報を用いて、VPNプログラム412v
を読み出すことができる。CPU423は前記パスワー
ドを用いて読みだしたVPNプログラム412vを復号
化する(ステップS117)。CPU423は復号結果
を参照して、復号ができるか否か判断しており(ステッ
プS119)、復号ができたと判断した場合には、復号
化したVPNプログラム412vをRAM427にロー
ドする(ステップS120)。なお、復号ができたか否
かは、例えば、所定の位置に埋め込んでいた判断コード
が復号化によって、読みとれるか否か判断するようにす
ればよい。これにより、VPNプログラム412vによ
る処理が実行される。
【0107】CPU423は、VPNプログラム412
vに基づき、VPNデータ412dを読み出す(ステッ
プS121)。VPNデータ412dの読み出しについ
てはVPNプログラム412vの場合と同様である。C
PU423は前記パスワードを用いて、読みだしたVP
Nデータ412dを復号化する(ステップS123)。
CPU423は復号結果を参照して、復号できるか否か
判断しており(ステップS125)、復号できたと判断
した場合には、復号化したVPNデータ412dをRA
M427を用いて、VPNサーバとの間でVPNを構築
する(ステップS127)。これ以降は、上記実施形態
と同様に、図9に示す伝送処理が実行される。
【0108】なお、ステップS119にて、復号化がで
きない場合には、「正しいパスワードを入力してくださ
い」等のエラーメッセージを、表示してステップS10
9以下の処理を繰り返す。
【0109】また、ステップS125にて、復号化がで
きない場合には、「データが壊れているおそれがありま
す。管理者に連絡してください」等のエラーメッセージ
を表示して(ステップS128)、処理を終了する。
【0110】なお、上記実施形態と同様に、PDA40
0のCPU423は、OSに基づいて、CFスロット4
33に挿入されたコンパクトフラッシュ433aが取り
外されたか否かを判断しており(図10に示す処理と同
様に処理)、取り外されると、RAM427にロードさ
れたプログラムおよびVPNデータを消去する。これに
より、コンパクトフラッシュ433aをとり外した後
は、当該PDAから許可なくVPNを構築されるおそれ
がない。
【0111】このようにコンパクトフラッシュを用いる
ことにより、USB端子を有しないPDA機器をVPN
クライアントとしてVPNを構築することができる。な
お、OSの異なるコンピュータでもVPNクライアント
として構築できるように、領域411をさらに複数に分
けてそれぞれに同じ起動プログラムを記憶しておき、い
ずれかの領域から起動プログラムが読み出されることに
より、VPNプログラムが起動できるようにすればよ
い。例えば、コンパクトフラッシュの領域411
は、Palm(商標)用OS、領域411には、win
dows(商標)CE用OS、領域411には、・・・と
いうように記憶しておけばよい。
【0112】また、この例では、PDAをVPNクライ
アントとする場合について説明したが、その他ノートパ
ソコンなどの携帯端末についても同様に適用できる。
【0113】なお、かかる携帯端末が一旦記憶したデー
タをハードディスク等の記録媒体に一旦記憶するような
場合には、前記読み出されたVPNプログラムやVPN
データをメモリ上だけでなく、かかる記録媒体から消去
するプログラムを前記CF等に記憶させておき、自動実
行するようにすればよい。
【0114】なお、図13においては、コンパクトフラ
ッシュがCFスロットに挿入されると、定義ファイルか
ら起動プログラム411aを自動実行する場合について
説明したが、操作者が起動プログラム411aを手動で
実行することもできる。この場合、図13において、ス
テップS101,ステップS105の代わりに、起動プ
ログラムの実行指令が与えられたか否かで判断すればよ
い。
【0115】なお、図7に示すVPN伝送基礎データに
て、相手先サーバのIPアドレスに代えて、IPサブネ
ットアドレスで指定するようにしてもよい。この場合、
図9ステップS43にて、伝送先コンピュータのIPア
ドレスが、メモリ127に読み出されているVPN伝送
基礎データの相手先サーバの属するIPサブネットアド
レスと一致するか否かを判断すればよい。すなわち、そ
の他ドメイン名などの相手先サーバを一意に特定できる
相手先サーバ特定情報を用いることができる。
【0116】本実施形態においては、VPNサーバとV
PNクライアントとの間のネットワークとして、インタ
ーネットを採用したが、これに限定されず、他のネット
ワークであっても、他のユーザに対する守秘性を保持で
きるという効果を奏する。
【0117】なお、記録媒体には、VPN基礎データを
読み出すVPN処理プログラムを記録しない場合でも、
VPN基礎データを前記領域412のようにVPNクラ
イアントのOSが認識できない領域に格納するようにし
てもよい。この場合、かかる読み出すためのプログラム
は予めVPNクライアントに記憶しておけばよい。
【0118】また、本実施形態においては、通信プロト
コルとしてTCP/IPを採用したが、他の通信プロト
コルを採用してもよい。
【0119】本実施形態においては、図2に示す機能を
実現する為に、CPUを用い、ソフトウェアによってこ
れを実現している。しかし、その一部もしくは全てを、
ロジック回路等のハードウェアによって実現してもよ
い。
【0120】なお、プログラムの一部の処理をさらに、
オペレーティングシステム(OS)にさせるようにして
もよい。
【図面の簡単な説明】
【図1】本発明にかかるVPN伝送システムの概略を示
す。
【図2】本発明にかかるVPN伝送システムの機能ブロ
ック図である。
【図3】図2に示すVPNサーバ100をCPUを用い
て実現したハードウエア構成の一例を示す図である。
【図4】VPN伝送基礎データのデータ構造を示す。
【図5】図2に示すVPNクライアント200をCPU
を用いて実現したハードウエア構成の一例を示す図であ
る。
【図6】図1に示すデータ伝送機器300をCPUを用
いて実現したハードウエア構成の一例を示す図である。
【図7】VPN伝送基礎データのデータ構造を示す。
【図8】VPN構築処理を示すフローチャートである。
【図9】VPN伝送処理を示すフローチャートである。
【図10】VPN切断処理を示すフローチャートであ
る。
【図11】PDAをVPNクライアントとする場合の、
PDAのハードウエア構成の一例を示す図である。
【図12】コンパクトフラッシュ433aのデータ管理
方法を説明するための図である。
【図13】VPNデータ読み出し処理を示すフローチャ
ートである。
【図14】従来のVPNシステムの概要を示す図であ
る。
【符号の説明】
23・・・CPU 27・・・メモリ 100・・・VPNサーバ 123・・・CPU 127・・・メモリ 200・・・VPNクライアント 223・・・CPU 227・・・メモリ 300・・・データ接続機器
───────────────────────────────────────────────────── フロントページの続き (72)発明者 柴山 裕子 東京都新宿区西新宿三丁目19番2号 東日 本電信電話株式会社内 (72)発明者 岡田 健一 大阪府大阪市中央区内本町2丁目4番16号 株式会社日立システムアンドサービス内 (72)発明者 小坂 達也 東京都新宿区西新宿三丁目19番2号 東日 本電信電話株式会社内 (72)発明者 源田 浩一 東京都新宿区西新宿三丁目19番2号 東日 本電信電話株式会社内 (72)発明者 植野 圭二 大阪府大阪市中央区内本町2丁目4番16号 株式会社日立システムアンドサービス内 Fターム(参考) 5B085 AA01 AE00 AE29 BE01 BG07 5J104 AA07 AA16 EA04 EA16 EA26 KA01 NA02 NA05 PA07

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】A)VPNサーバコンピュータとVPNク
    ライアントコンピュータとの間で、ネットワークを介し
    てVPNを構築してデータ通信する方法であって、 B)VPNクライアントコンピュータとの間でデータ伝
    送が可能で、かつ携帯可能なデータ伝送機器に、VPN
    クライアントコンピュータがVPNサーバコンピュータ
    との間でVPN伝送時に用いるVPN伝送基礎データで
    あって、少なくとも1)VPNクライアントコンピュータ
    にて暗号化処理に用いるVPN暗号化キーまたはVPN
    暗号化キーを特定するVPN暗号化キー特定情報、2)V
    PNサーバコンピュータで復号化処理に用いるVPN復
    号化キーを特定するVPN復号化キー特定情報、および
    3)VPNサーバコンピュータのIPアドレスを含むVP
    N伝送基礎データを記憶させておき、 C)前記データ伝送機器をVPN構築希望するVPNク
    ライアントコンピュータに接続し、 D)前記データ伝送機器から前記VPN伝送基礎データ
    を読み出して、前記VPNサーバコンピュータとの間
    で、VPNを構築し、前記VPNサーバコンピュータへ
    データ送信要求があると、送信対象データを前記VPN
    暗号化キーを用いて暗号化して、前記VPN復号化キー
    特定情報とともに前記VPNサーバコンピュータのIP
    アドレスにデータ転送し、 E)前記VPNサーバコンピュータは、前記VPN復号
    化キー特定情報に基づいて、前記暗号化されたデータを
    復号化するキーを特定し、復号化処理すること、 を特徴とするVPNデータ通信方法。
  2. 【請求項2】仮想私設網サーバコンピュータ、 ネットワークを介して前記仮想私設網サーバコンピュー
    タと接続された仮想私設網クライアントコンピュータ、 を備え、前記仮想私設網サーバコンピュータと前記仮想
    私設網クライアントコンピュータとの間で、暗号化され
    たデータを受信して復号化する復号化キーをお互いに記
    憶しておき、データ伝送する仮想私設網構築システムで
    あって、 携帯可能なデータ伝送機器に、前記仮想私設網クライア
    ントコンピュータが前記仮想私設網サーバコンピュータ
    との間で仮想私設網を構築する場合に用いる仮想私設網
    伝送基礎データであって、少なくとも1)仮想私設網クラ
    イアントコンピュータにて暗号化処理に用いる仮想私設
    網暗号化キーまたは仮想私設網暗号化キー特定情報、2)
    仮想私設網サーバで復号化処理に用いる仮想私設網復号
    化キーを特定する仮想私設網復号化キー特定情報、およ
    び3)仮想私設網サーバコンピュータのコンピュータ特定
    データを含む仮想私設網伝送基礎データを記憶させてお
    き、 前記仮想私設網クライアントコンピュータは、前記デー
    タ伝送機器が接続されると、前記仮想私設網伝送基礎デ
    ータを読み出して前記仮想私設網サーバコンピュータと
    の間で、仮想私設網を構築すること、 を特徴とする仮想私設網構築システム。
  3. 【請求項3】仮想私設網サーバコンピュータ、 ネットワークを介して前記仮想私設網サーバコンピュー
    タと接続された仮想私設網クライアントコンピュータ、 を備え、前記仮想私設網サーバコンピュータと前記仮想
    私設網クライアントコンピュータとの間で、暗号化され
    たデータを受信して復号化する復号化キーをお互いに記
    憶しておき、データ伝送する仮想私設網構築システムで
    あって、 携帯可能なデータ伝送機器に、前記仮想私設網クライア
    ントコンピュータが前記仮想私設網サーバコンピュータ
    との間で仮想私設網を構築する場合に用いる仮想私設網
    伝送基礎データであって、少なくとも1)仮想私設網クラ
    イアントコンピュータと仮想私設網サーバコンピュータ
    との暗号化データ伝送に用いる仮想私設網暗号化キーお
    よび仮想私設網復号化キーを特定する仮想私設網暗号化
    復号化キー特定情報、および2)仮想私設網サーバコンピ
    ュータのコンピュータ特定データを含む仮想私設網伝送
    基礎データを記憶させておき、 前記仮想私設網クライアントコンピュータは、前記デー
    タ伝送機器が接続されると、前記仮想私設網伝送基礎デ
    ータを読み出して、前記仮想私設網サーバコンピュータ
    との暗号化データ伝送に用いる仮想私設網暗号化キーお
    よび仮想私設網復号化キーを特定することにより、仮想
    私設網を構築すること、 を特徴とする仮想私設網構築システム。
  4. 【請求項4】請求項2または請求項3の仮想私設網シス
    テムにおいて、 前記仮想私設網クライアントコンピュータは、前記仮想
    私設網暗号化キーを用いて暗号化して、前記仮想私設網
    復号化キー特定情報とともに前記仮想私設網サーバコン
    ピュータへデータ転送し、 前記仮想私設網サーバコンピュータは前記仮想私設網復
    号化キー特定情報に基づいて、前記暗号化されたデータ
    を復号化するキーを特定し、復号化処理すること、 を特徴とするもの。
  5. 【請求項5】仮想私設網サーバコンピュータとネットワ
    ークを介して接続された仮想私設網クライアントコンピ
    ュータであって、前記仮想私設網サーバコンピュータと
    の間で、受信した暗号化データを復号化できる復号化キ
    ーを記憶しておき、データ伝送する仮想私設網クライア
    ントコンピュータにおいて、 携帯可能なデータ伝送機器に、前記仮想私設網クライア
    ントコンピュータが前記仮想私設網サーバコンピュータ
    との間で仮想私設網を構築する場合に用いる仮想私設網
    伝送基礎データであって、少なくとも仮想私設網暗号化
    キー、仮想私設網復号化キー特定情報、および仮想私設
    網サーバコンピュータのコンピュータ特定データを含む
    仮想私設網伝送基礎データを記憶させておき、 前記仮想私設網クライアントコンピュータは、前記デー
    タ伝送機器が接続されると、前記仮想私設網伝送基礎デ
    ータを読み出して前記仮想私設網サーバコンピュータと
    の間で、仮想私設網を構築すること、 を特徴とする仮想私設網クライアントコンピュータ。
  6. 【請求項6】コンピュータを、仮想私設網サーバコンピ
    ュータから受信した暗号化データを復号化できる復号化
    キーを記憶しておきネットワークを介して接続された仮
    想私設網サーバコンピュータとの間でデータ伝送する仮
    想私設網クライアントコンピュータとして機能させるた
    めのコンピュータ可読のプログラムであって、以下の処
    理を実行する、 前記仮想私設網クライアントコンピュータが前記仮想私
    設網サーバコンピュータとの間で仮想私設網を構築する
    場合に用いる仮想私設網伝送基礎データであって、少な
    くとも仮想私設網暗号化キー、仮想私設網復号化キー特
    定情報、および仮想私設網サーバコンピュータのコンピ
    ュータ特定データを含む仮想私設網伝送基礎データを記
    憶した携帯可能なデータ伝送機器が接続されると、前記
    仮想私設網伝送基礎データを読み出して前記仮想私設網
    サーバコンピュータとの間で、仮想私設網を構築する、 ためのプログラムであることを特徴とするコンピュータ
    可読のプログラム。
  7. 【請求項7】クライアントコンピュータと特定のサーバ
    コンピューター又または特定のLANとの間の通信で、
    クライアントコンピュータ内部またはクライアントコン
    ピュータとネットワークとの間にVPNクライアント機
    能を配備し、上記特定サーバ内部または特定サーバや特
    定LANとネットワークとの間にVPNサーバ機能を配
    備し、上記VPNクライアントとVPNサーバ機能との
    間で転送されるデータを暗号化して転送するVPN通信
    システムにおいて、 A)上記ネットワークはインターネット等の公衆ネット
    ワークやLANであり、 B)VPNクライアント機能は携帯可能なデータ伝送機
    器とデータ伝送機器を動作させるドライバプログラムか
    ら構成され、 C)VPNクライアント機能のドライバプログラムは、
    前記データ伝送機器をVPN通信するクライアントコン
    ピュータに接続した時、前記データ伝送機器から前記V
    PN伝送基礎データをクライアントコンピュータに読み
    出し動作可能な状態とし、 D)前記携帯可能なデータ伝送機器には、VPN伝送基
    礎データとして、d1)VPNクライアント識別情報、d2)
    暗号化復号化処理に必要な暗号鍵情報、d3)VPNサー
    バ機能を示すIPアドレス、d4)上記特定サーバを示す
    IPアドレスまたは特定LANを示すIPサブネットア
    ドレスを内蔵し、 E)VPNサーバ機能には、VPNサーバ識別情報、暗
    号化通信するすべてのVPNクライアント識別情報、暗
    号化復号化処理に必要な暗号鍵情報を内蔵し、 F)前記VPNクライアント機能は、クライアントコン
    ピュータが特定のサーバコンピューターまたは特定のL
    ANへ向けてデータ送信する時、VPNサーバ機能との
    間でお互いのVPN伝送基礎データをやりとりすること
    によりVPNを確立し、送信対象データを前記VPN伝
    送基礎データを用いて暗号化し、前記VPNサーバ機能
    を示すIPアドレスにデータを転送し、 G)前記VPNサーバ機能は、前記VPNクライアント
    機能と通信するためのVPN伝送基礎データに基づい
    て、前記暗号化されたデータを復号化する暗号鍵を用い
    て復号した後、前記特定のサーバコンピューターまたは
    特定のLANへデータを転送すること、 を特徴とするVPN通信システム。
  8. 【請求項8】請求項2または請求項3の仮想私設網シス
    テムにおいて、 前記データ伝送機器には、仮想私設網クライアントコン
    ピュータ用のプログラムが記録されており、前記仮想私
    設網クライアントコンピュータは、当該プログラムを読
    み出して、前記仮想私設網の構築を実行すること、 を特徴とするもの。
  9. 【請求項9】コンピュータを、ネットワークを介して接
    続された仮想私設網サーバコンピュータとの間で、暗号
    化されたデータを受信して復号化する復号化キーをお互
    いに記憶しておき、データ伝送する仮想私設網クライア
    ントコンピュータとして機能させるためのプログラムを
    記録した記録媒体であって、 前記コンピュータは、前記プログラムを記録した記録媒
    体が接続されると、 前記仮想私設網クライアントコンピュータが前記仮想私
    設網サーバコンピュータとの間で仮想私設網を構築する
    場合に用いる仮想私設網伝送基礎データであって、少な
    くとも1)仮想私設網クライアントコンピュータにて暗号
    化処理に用いる仮想私設網暗号化キーまたは仮想私設網
    暗号化キー特定情報、2)仮想私設網サーバで復号化処理
    に用いる仮想私設網復号化キーを特定する仮想私設網復
    号化キー特定情報、および3)仮想私設網サーバコンピュ
    ータのコンピュータ特定データを含む仮想私設網伝送基
    礎データを、前記記録媒体から読み出して前記仮想私設
    網サーバコンピュータとの間で、仮想私設網を構築す
    る、 ことを特徴とするコンピュータ可読のプログラムを記録
    した記録媒体。
  10. 【請求項10】請求項9のプログラムを記録した記録媒
    体において、 前記記録媒体には、仮想私設網クライアントコンピュー
    タ用のプログラムが記録されており、前記仮想私設網ク
    ライアントコンピュータは、当該プログラムを読み出し
    て、前記仮想私設網の構築を実行すること、 を特徴とするもの。
  11. 【請求項11】請求項10のプログラムを記録した記録
    媒体において、 前記記録媒体は、仮想私設網クライアントコンピュータ
    用のプログラムおよび仮想私設網伝送基礎データが記録
    された仮想私設網関連データ記憶部と、前記仮想私設網
    関連データを読み出すための読み出しプログラムが記録
    された読み出しプログラム記録部とを有しており、 前記仮想私設網関連データ記憶部は、前記クライアント
    コンピュータのファイルシステムとは異なるデータ構造
    で記録されており、 前記読み出しプログラムは、使用者識別情報が与えられ
    ると、あらかじめ記憶されている照合情報との照合状態
    を検査し、照合する場合には、仮想私設網クライアント
    コンピュータ用のプログラムおよび仮想私設網伝送基礎
    データを読み出して、前記仮想私設網の構築を実行する
    こと、 を特徴とするもの。
  12. 【請求項12】データを記録した記録媒体を、コンピュ
    ータに接続することにより、前記コンピュータのオペレ
    ーティングシステムプログラムが、前記記録媒体に記録
    された仮想私設網構築プログラムを起動させ、かかる仮
    想私設網構築プログラムによって、前記記録媒体に記録
    された仮想私設網構築用データを読み出して、仮想私設
    網サーバコンピュータとの間で仮想私設網を構築する方
    法であって、 前記仮想私設網構築データは、前記オペレーティングシ
    ステムプログラムだけではデータを読み出すことができ
    ない隠しデータ領域に記憶されており、 前記仮想私設網構築プログラムは、使用者識別情報が与
    えられると、あらかじめ記憶されている照合情報との照
    合状態を検査し、照合する場合には、前記仮想私設網構
    築データを前記隠しデータ領域から読み出して、前記仮
    想私設網を構築するプログラムであること、 ことを特徴とする仮想私設網を構築する方法。
  13. 【請求項13】コンピュータを、ネットワークを介して
    接続された仮想私設網サーバコンピュータとの間で仮想
    私設網を構築した仮想私設網クライアントコンピュータ
    として機能させるためのプログラムを記録した記録媒体
    であって前記記録媒体には、 1)前記仮想私設網構築データが前記オペレーティングシ
    ステムプログラムだけではデータを読み出すことができ
    ない隠しデータ領域に記録されており、 2)使用者識別情報が与えられると、あらかじめ記憶され
    ている照合情報との照合状態を検査し、照合する場合に
    は、前記仮想私設網構築データを前記隠しデータ領域か
    ら読み出して、前記仮想私設網を構築するプログラムが
    前記オペレーティングシステムプログラムが記録されて
    いるデータのデータ形式を離隔できる領域に記録されて
    いる、 ことを特徴とするプログラムを記録したコンピュータ可
    読の記録媒体。
JP2001151279A 2000-11-08 2001-05-21 Vpnデータ通信方法および私設網構築システム Pending JP2002208921A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001151279A JP2002208921A (ja) 2000-11-08 2001-05-21 Vpnデータ通信方法および私設網構築システム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000340853 2000-11-08
JP2000-340853 2000-11-08
JP2001151279A JP2002208921A (ja) 2000-11-08 2001-05-21 Vpnデータ通信方法および私設網構築システム

Publications (1)

Publication Number Publication Date
JP2002208921A true JP2002208921A (ja) 2002-07-26

Family

ID=26603610

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001151279A Pending JP2002208921A (ja) 2000-11-08 2001-05-21 Vpnデータ通信方法および私設網構築システム

Country Status (1)

Country Link
JP (1) JP2002208921A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006134202A (ja) * 2004-11-09 2006-05-25 Nec Infrontia Corp 指紋照合方法およびシステム
JP2006222734A (ja) * 2005-02-10 2006-08-24 Ntt Data Corp 暗号通信鍵管理装置及びプログラム
JP2007202178A (ja) * 2004-07-23 2007-08-09 Citrix Systems Inc プライベートネットワークへのアクセスを安全にする方法およびシステム
JP2008090791A (ja) * 2006-10-05 2008-04-17 Nippon Telegr & Teleph Corp <Ntt> 仮想端末を利用した検疫ネットワークシステム、仮想端末を検疫する方法、及び、仮想端末を検疫するためのプログラム
US8515066B2 (en) 2000-02-04 2013-08-20 Ntt Communications Corporation Method, apparatus and program for establishing encrypted communication channel between apparatuses
KR20200130675A (ko) * 2015-01-07 2020-11-19 에스케이텔레콤 주식회사 사물통신의 보안을 위한 가상 사설망 구성방법 및 그를 위한 장치
CN112751674A (zh) * 2020-12-30 2021-05-04 上海果通通信科技股份有限公司 虚拟专用网络接入认证方法、***、设备及可读存储介质

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515066B2 (en) 2000-02-04 2013-08-20 Ntt Communications Corporation Method, apparatus and program for establishing encrypted communication channel between apparatuses
JP2007202178A (ja) * 2004-07-23 2007-08-09 Citrix Systems Inc プライベートネットワークへのアクセスを安全にする方法およびシステム
JP4708376B2 (ja) * 2004-07-23 2011-06-22 サイトリックス システムズ, インコーポレイテッド プライベートネットワークへのアクセスを安全にする方法およびシステム
JP2006134202A (ja) * 2004-11-09 2006-05-25 Nec Infrontia Corp 指紋照合方法およびシステム
JP2006222734A (ja) * 2005-02-10 2006-08-24 Ntt Data Corp 暗号通信鍵管理装置及びプログラム
JP4498165B2 (ja) * 2005-02-10 2010-07-07 株式会社エヌ・ティ・ティ・データ 暗号通信鍵管理装置及びプログラム
JP2008090791A (ja) * 2006-10-05 2008-04-17 Nippon Telegr & Teleph Corp <Ntt> 仮想端末を利用した検疫ネットワークシステム、仮想端末を検疫する方法、及び、仮想端末を検疫するためのプログラム
KR20200130675A (ko) * 2015-01-07 2020-11-19 에스케이텔레콤 주식회사 사물통신의 보안을 위한 가상 사설망 구성방법 및 그를 위한 장치
KR102289124B1 (ko) * 2015-01-07 2021-08-11 에스케이 텔레콤주식회사 사물통신의 보안을 위한 가상 사설망 구성방법 및 그를 위한 장치
CN112751674A (zh) * 2020-12-30 2021-05-04 上海果通通信科技股份有限公司 虚拟专用网络接入认证方法、***、设备及可读存储介质
CN112751674B (zh) * 2020-12-30 2023-05-02 上海优咔网络科技有限公司 虚拟专用网络接入认证方法、***、设备及可读存储介质

Similar Documents

Publication Publication Date Title
JP4290529B2 (ja) アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム
JP5320561B2 (ja) 真正性を保証する端末システム、端末及び端末管理サーバ
JP4507623B2 (ja) ネットワーク接続システム
KR100881938B1 (ko) 다중 스마트 카드 세션을 관리하는 시스템 및 방법
JP4397883B2 (ja) 情報処理システム、管理サーバ、および端末
US20090158033A1 (en) Method and apparatus for performing secure communication using one time password
US8156331B2 (en) Information transfer
JP2004312267A (ja) 画像伝送システム,撮像装置,撮像装置ユニット,鍵生成装置,およびプログラム
TWI242968B (en) System for establishing and regulating connectivity from a user&#39;s computer
JP4916020B2 (ja) リモートアクセスシステム、これに使用する補助記憶装置、リモートアクセス方法
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
JP2001333126A (ja) 通信システム、通信方法および通信ユニット
JP2003338814A (ja) 通信システム、管理サーバおよびその制御方法ならびにプログラム
KR101142292B1 (ko) 생체 정보 인식 장치를 구비한 휴대형 퍼스널 서버 장치
JPH10285153A (ja) 通信システム、icカード発行登録システム、キーコード生成装置、及び記録媒体
JP5538132B2 (ja) 真正性を保証する端末システム、端末及び端末管理サーバ
JP2002208921A (ja) Vpnデータ通信方法および私設網構築システム
CN105812218A (zh) 用于实现应用多vpn协议接入的方法、中间件和移动终端
JPH09139735A (ja) 暗号化データ通信システム
JP2003345789A (ja) 文書管理システム、文書管理装置、認証方法、コンピュータ読み取り可能なプログラム、及び記憶媒体
JP4415527B2 (ja) 通信端末及び通信確立プログラム、通信システム
JP4480478B2 (ja) アクセスポイントおよび外部記憶装置を含むシステム、アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム
JP7045040B2 (ja) 通信端末
JP2005117078A (ja) 通信システム、それを構成する通信装置および記憶装置、プログラム、並びに、プログラムを記録した記録媒体
JP2004173247A (ja) データ通信装置および通信端末ならびにデータ通信プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041214

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050307

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20070426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070720

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070824