JP4910956B2 - Communication control system, terminal, and program - Google Patents

Communication control system, terminal, and program Download PDF

Info

Publication number
JP4910956B2
JP4910956B2 JP2007236449A JP2007236449A JP4910956B2 JP 4910956 B2 JP4910956 B2 JP 4910956B2 JP 2007236449 A JP2007236449 A JP 2007236449A JP 2007236449 A JP2007236449 A JP 2007236449A JP 4910956 B2 JP4910956 B2 JP 4910956B2
Authority
JP
Japan
Prior art keywords
predetermined
data
virtual private
information
private network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007236449A
Other languages
Japanese (ja)
Other versions
JP2009071481A (en
Inventor
数夫 柘植
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007236449A priority Critical patent/JP4910956B2/en
Publication of JP2009071481A publication Critical patent/JP2009071481A/en
Application granted granted Critical
Publication of JP4910956B2 publication Critical patent/JP4910956B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、仮想的専用網技術を使用した通信制御システムに関する。   The present invention relates to a communication control system using a virtual private network technology.

インターネットのような公衆網には、通常、不特定多数のユーザが接続している。このため、特定のユーザ間で通信するデータが、第三者によって改竄、盗聴をされる危険性がある。   An unspecified number of users are usually connected to a public network such as the Internet. For this reason, there is a risk that data communicated between specific users may be tampered with and wiretapped by a third party.

一方、複数の拠点を持つような企業では、各拠点のネットワークを専用線で接続することで、拠点間で通信されるデータのセキュリティを保っているが、専用線を導入するコストがかかる。   On the other hand, in a company having a plurality of bases, the security of data communicated between the bases is maintained by connecting the networks of the respective bases with a dedicated line, but the cost of introducing the dedicated line is high.

そこで、近年、導入されているのが、VPN(Virtual Private Network:仮想的専用網)技術である。VPN技術は、通信するデータにセキュリティ対策を施すことによって、公衆網上に1本の仮想的な専用線を構築する技術である。   Thus, in recent years, VPN (Virtual Private Network) technology has been introduced. The VPN technology is a technology for constructing one virtual dedicated line on a public network by applying security measures to data to be communicated.

VPN上でデータの通信をする場合、一般的に、送信側の端末は、送信すべきデータを通信前に設定した暗号方式で暗号化して送信することで、通信中のデータの改竄、盗聴を防止している。   When communicating data on a VPN, generally, the transmitting terminal encrypts the data to be transmitted using the encryption method set before the communication and transmits the data during tampering or wiretapping. It is preventing.

送信側の端末のCPUは、送信すべきデータの暗号化のための演算処理を行う。この演算処理を行うためにCPUにかかる負荷は、通信前に設定した同一の暗号方式で暗号化するため、一定である。   The CPU of the transmitting terminal performs a calculation process for encrypting data to be transmitted. The load on the CPU for performing this arithmetic processing is constant because encryption is performed using the same encryption method set before communication.

一方、受信側の端末は、受信した暗号化されたデータを、送信側の端末で通信前に設定された暗号方式で復号化する。   On the other hand, the receiving terminal decrypts the received encrypted data using the encryption method set before communication by the transmitting terminal.

受信側の端末のCPUは、受信した暗号化されたデータの復号化のための演算処理を行う。この演算処理を行うためにCPUにかかる負荷は、送信側の端末で設定された同一の暗号方式で復号化するため、一定である。   The CPU of the receiving terminal performs arithmetic processing for decrypting the received encrypted data. The load on the CPU for performing this arithmetic processing is constant because it is decrypted by the same encryption method set in the terminal on the transmission side.

一般的に、通信制御装置が帯域制限をすることにより、送信側の端末のCPUと受信側の端末のCPUの負荷をそれぞれ調整している。なお、アプリケーション毎に帯域を制御するシステムが特許文献1に開示されている。   Generally, the communication control device limits the bandwidth to adjust the load on the CPU of the transmitting terminal and the load of the CPU on the receiving terminal. A system for controlling the bandwidth for each application is disclosed in Patent Document 1.

特開2003−110648号公報Japanese Patent Laid-Open No. 2003-110648

ところで、送信側の端末が送信するデータのセキュリティレベルは、それぞれ異なる。   By the way, the security level of the data transmitted by the terminal on the transmission side is different.

具体的には、個人情報を含む高度なセキュリティ対策が求められるデータがある一方で、公知の情報しか有していない高度なセキュリティ対策が求められないデータがある。   Specifically, there is data that requires advanced security measures including personal information, while there is data that requires only known information and does not require advanced security measures.

しかし、送信側の端末は、通信前に設定した同一の暗号方式で、送信すべきデータを暗号化するため、セキュリティレベルの低いデータを送信する場合でも、最もセキュリティレベルの高いデータにあわせた強度の暗号方式で暗号化して送信する。   However, since the transmitting terminal encrypts data to be transmitted with the same encryption method set before communication, even when transmitting data with a low security level, the strength matched to the data with the highest security level Encrypt and send with the encryption method.

データを暗号化するためのCPUの演算量は、暗号方式の強度が高いほど多くなる。このため、送信側の端末が、セキュリティレベルのそれぞれ異なるデータを暗号化する際に、データのセキュリティレベルが異なるにもかかわらず、送信側の端末のCPUに同等の負荷がかかり、CPUの実行効率が低下してしまう。   The calculation amount of the CPU for encrypting data increases as the strength of the encryption method increases. For this reason, when the transmitting terminal encrypts data with different security levels, even though the data security level is different, an equivalent load is applied to the CPU of the transmitting terminal, and the execution efficiency of the CPU Will fall.

一方、受信側の端末は、送信側の端末で通信前に設定された同一の暗号方式で、受信した暗号化されたデータを復号する。このため、セキュリティレベルの低いデータを受信する場合でも、最もセキュリティレベルの高いデータにあわせた強度の暗号方式で復号化する。   On the other hand, the receiving side terminal decrypts the received encrypted data using the same encryption method set before communication by the transmitting side terminal. For this reason, even when data with a low security level is received, it is decrypted with an encryption method having a strength that matches the data with the highest security level.

データを復号化するためのCPUの演算量も、暗号方式の強度が高いほど多くなる。このため、受信側の端末が、セキュリティレベルのそれぞれ異なるデータを復号化するために、データのセキュリティレベルが異なるにもかかわらず、受信側の端末のCPUに同等の負荷がかかり、CPUの実行効率が低下してしまう。   The calculation amount of the CPU for decrypting data increases as the strength of the encryption method increases. For this reason, since the receiving terminal decrypts the data having different security levels, the CPU on the receiving terminal is subjected to an equivalent load even though the data security level is different, and the execution efficiency of the CPU. Will fall.

なお、特許文献1における帯域制御するシステムでは、アプリケーション単位で帯域を制御しており、セキュリティレベルが異なるデータについて帯域を制御することはできない。   Note that the bandwidth control system in Patent Document 1 controls the bandwidth for each application, and cannot control the bandwidth for data with different security levels.

そこで、本発明は、VPN上でデータの通信をする場合において、送信側の端末がセキュリティレベルの異なるデータを暗号化する際に、送信側の端末のCPUの実行効率を向上させ、さらに、受信側の端末が受信した暗号化されたセキュリティレベルの異なるデータを復号化する際に、受信側の端末のCPUの実行効率を向上させる通信制御システムを提供することを目的とする。   Therefore, the present invention improves the execution efficiency of the CPU of the transmission side terminal when the transmission side terminal encrypts data having different security levels in the case of data communication on the VPN, and further receives the data. It is an object of the present invention to provide a communication control system that improves the execution efficiency of a CPU of a receiving terminal when decrypting encrypted data with different security levels received by the receiving terminal.

本発明によれば、VPN上でデータの通信をする場合において、送信側の端末がセキュリティレベルの異なるデータを暗号化する際に、送信側の端末のCPUの実行効率が向上し、さらに、受信側の端末が受信した暗号化されたセキュリティレベルの異なるデータを復号化する際に、受信側の端末のCPUの実行効率が向上する通信制御システムを提供することができる。   According to the present invention, when data is transmitted on the VPN, when the terminal on the transmission side encrypts data with different security levels, the execution efficiency of the CPU of the terminal on the transmission side is improved. It is possible to provide a communication control system that improves the execution efficiency of the CPU of the receiving terminal when decrypting the encrypted data with different security levels received by the receiving terminal.

以下、図面を参照して本発明を実施するための最良の形態について説明する。図1は、本発明の実施の形態の通信制御システムを説明するためのブロック図である。   The best mode for carrying out the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram for explaining a communication control system according to an embodiment of the present invention.

図1を参照すると、通信制御システムは、端末10と、端末20と、端末10と端末20とを接続するVPN50等とからなる。   Referring to FIG. 1, the communication control system includes a terminal 10, a terminal 20, a VPN 50 that connects the terminal 10 and the terminal 20, and the like.

まず、本実施の形態の通信制御システムの概略を説明すると、この通信制御システムは、端末10と、端末20と、端末10と端末20との間で通信するデータを流すVPN50等とからなり、端末10は、端末20にデータを送信する際に、所定の暗号方式で暗号化を行い、VPN50、VPN51、VPN52のうち所定のVPNを介して端末20に送信するものである。以下、詳細に説明する。   First, the outline of the communication control system according to the present embodiment will be described. The communication control system includes a terminal 10, a terminal 20, a VPN 50 that transmits data to be communicated between the terminal 10 and the terminal 20, and the like. When transmitting data to the terminal 20, the terminal 10 performs encryption using a predetermined encryption method, and transmits the data to the terminal 20 via the predetermined VPN among the VPN 50, VPN 51, and VPN 52. Details will be described below.

端末10は、制御部11と記憶部12とを有する。制御部11は、記録媒体に格納されたプログラムを読み込んで実行することにより、コネクション制御手段31、データ決定手段32、リスト制御手段33、暗号化・復号化手段34を論理的に備える。なお、コネクション制御手段31や暗号化・復号化手段34は、専用のハードウェアで構成されてもよい。   The terminal 10 includes a control unit 11 and a storage unit 12. The control unit 11 logically includes a connection control unit 31, a data determination unit 32, a list control unit 33, and an encryption / decryption unit 34 by reading and executing a program stored in the recording medium. The connection control unit 31 and the encryption / decryption unit 34 may be configured with dedicated hardware.

一方、端末20は、制御部21と記憶部22とを有する。制御部21は、記録媒体に格納されたプログラムを読み込んで実行することにより、コネクション制御手段41、データ決定手段42、リスト制御手段43、暗号化・復号化手段44を論理的に備える。なお、コネクション制御手段41や暗号化・復号化手段44は、専用のハードウェアで構成されてもよい。   On the other hand, the terminal 20 includes a control unit 21 and a storage unit 22. The control unit 21 logically includes a connection control means 41, a data determination means 42, a list control means 43, and an encryption / decryption means 44 by reading and executing a program stored in the recording medium. The connection control unit 41 and the encryption / decryption unit 44 may be configured with dedicated hardware.

VPN50、VPN51、VPN52は、端末10と端末20との間で通信するデータを流すVPNのコネクションである。なお、本実施の形態では、VPNのコネクションの本数は3本となっているが、VPNのコネクションの本数は複数であれば3本でなくても良い。   VPN 50, VPN 51, and VPN 52 are VPN connections through which data communicated between the terminal 10 and the terminal 20 flows. In this embodiment, the number of VPN connections is three, but the number of VPN connections is not limited to three as long as it is plural.

次に、本実施の形態の動作を説明する。図2は、通信制御システムの動作を説明するためのフローチャートである。   Next, the operation of the present embodiment will be described. FIG. 2 is a flowchart for explaining the operation of the communication control system.

図2を参照すると、端末20を使用するユーザーの操作により、コネクション制御手段41が、端末10に対して、公衆ネットワークを介して、VPNのコネクションの接続要求を送信する(ステップS1)。   Referring to FIG. 2, the connection control unit 41 transmits a connection request for a VPN connection to the terminal 10 through the public network by an operation of a user using the terminal 20 (step S1).

端末20からの、ステップS1のコネクション接続要求を受信すると、コネクション制御手段31は、端末20とのVPN50、VPN51、VPN52を確立する(ステップS2)。なお、この際に、コネクション制御手段31は、端末20の認証を行うといった構成をとっても良い。   When receiving the connection connection request in step S1 from the terminal 20, the connection control means 31 establishes the VPN 50, VPN 51, and VPN 52 with the terminal 20 (step S2). At this time, the connection control means 31 may be configured to authenticate the terminal 20.

ステップS2でVPNのコネクションを確立すると、コネクション制御手段41は、端末10にテーブル100の送信要求をする(ステップS3)。   When the VPN connection is established in step S2, the connection control means 41 requests the terminal 10 to transmit the table 100 (step S3).

ここで、図3に、本実施の形態における、テーブル100を示す。図3を参照すると、テーブル100は、記憶部12に格納されている各データの、当該データが格納されている記憶部12における論理的な位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPN50、VPN51、VPN52のいずれかのコネクションの情報とを保有するテーブルとなっている。   Here, FIG. 3 shows a table 100 in the present embodiment. Referring to FIG. 3, the table 100 shows the logical position information of each data stored in the storage unit 12 in the storage unit 12 in which the data is stored, and the encryption strength when the data is encrypted. The table holds information on the encryption method and information on connection of any one of VPN50, VPN51, and VPN52 used when transmitting the data.

なお、テーブル100は、テーブル100自身を送信する際の暗号強度、暗号方式の情報と、使用するVPNのコネクションの情報も保有する。   The table 100 also holds information on the encryption strength and encryption method used when transmitting the table 100 itself, and information on the VPN connection to be used.

また、テーブル100には、データの位置情報、暗号強度、暗号方式の情報、使用するコネクションの情報のほかに、当該データを送信する際に使用するVPNのコネクションの帯域の情報を保有するようにしても良い。   In addition to the data position information, encryption strength, encryption method information, and connection information to be used, the table 100 holds information on the bandwidth of the VPN connection used when transmitting the data. May be.

コネクション制御手段31が端末20からのテーブル100の送信要求を受け付けると、データ決定手段32は、端末20に、送信要求を受けたテーブル100を送信することを決定する(ステップS4)。   When the connection control unit 31 receives a transmission request for the table 100 from the terminal 20, the data determination unit 32 determines to transmit to the terminal 20 the table 100 that has received the transmission request (step S4).

テーブル制御手段33は、記憶部12に格納されているテーブル100の情報を参照して、テーブル100を送信する際の暗号強度、暗号方式と、使用するVPNのコネクションとを決定する(ステップS5)。本実施の形態では、テーブル100自身を暗号化する際の暗号強度は3、暗号方式はZ、送信する際の使用するVPNのコネクションはVPN52である。   The table control means 33 refers to the information in the table 100 stored in the storage unit 12 and determines the encryption strength and encryption method for transmitting the table 100 and the VPN connection to be used (step S5). . In the present embodiment, the encryption strength when encrypting the table 100 itself is 3, the encryption method is Z, and the VPN connection used for transmission is VPN52.

暗号化・復号化手段34は、ステップS5で決定した暗号方式Zで、テーブル100を暗号化する(ステップS6)。   The encryption / decryption means 34 encrypts the table 100 using the encryption method Z determined in step S5 (step S6).

コネクション制御手段31は、ステップS6で暗号化したテーブル100を、ステップS5で決定したVPN52を介して、端末20に送信する(ステップS7)。   The connection control means 31 transmits the table 100 encrypted in step S6 to the terminal 20 via the VPN 52 determined in step S5 (step S7).

コネクション制御手段41は、端末10から、ステップS7で送信されたテーブル100を受信すると、端末10と端末20との間で確立されているVPN50、VPN51、VPN52の3つのコネクションのうち、どのコネクションを介して受信したかを確認する(ステップS8)。なお、当該コネクションを確認する手段としては、テーブル100受信時のポート番号を参照して確認する手段があるが、他の手段で確認しても良い。   When the connection control unit 41 receives the table 100 transmitted from the terminal 10 in step S7, the connection control unit 41 selects which connection among the three connections of the VPN 50, VPN 51, and VPN 52 established between the terminal 10 and the terminal 20. (Step S8). As a means for confirming the connection, there is a means for confirming by referring to the port number at the time of receiving the table 100, but it may be confirmed by other means.

本実施の形態では、コネクション制御手段41は、テーブル100を、VPN52を介して受信したことを確認する。   In the present embodiment, the connection control unit 41 confirms that the table 100 has been received via the VPN 52.

テーブル制御手段43は、端末20の記憶部22に格納されているテーブル101を参照して、ステップS8で確認した、VPNのコネクションに対応する暗号方式を確認する(ステップS9)。   The table control means 43 refers to the table 101 stored in the storage unit 22 of the terminal 20, and confirms the encryption method corresponding to the VPN connection confirmed in step S8 (step S9).

ここで、図4に、本実施の形態における、テーブル101を示す。図4を参照すると、テーブル101は、データを暗号化する際の暗号強度、暗号方式と、暗号化された当該データを送信する際に使用するVPNのコネクションとを、一意に対応付ける情報を保有するテーブルとなっている。   Here, FIG. 4 shows the table 101 in the present embodiment. Referring to FIG. 4, the table 101 holds information that uniquely associates the encryption strength and encryption method used when encrypting data with a VPN connection used when transmitting the encrypted data. It is a table.

本実施の形態では、コネクション制御手段41は、テーブル100を、VPN52を介して受信しているから、暗号強度は3、暗号方式はZである。   In the present embodiment, since the connection control means 41 receives the table 100 via the VPN 52, the encryption strength is 3, and the encryption method is Z.

暗号化・復号化手段44は、ステップS9で確認した暗号方式で、受信したテーブル100を復号化する(ステップS10)。   The encryption / decryption means 44 decrypts the received table 100 using the encryption method confirmed in step S9 (step S10).

テーブル制御手段43は、ステップS10で復号化したテーブル100の情報を参照し、記憶部22に格納されているテーブル102に、記憶部12に格納されているデータ毎の位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPNのコネクションの情報とを追加する(ステップS11)。   The table control means 43 refers to the information in the table 100 decrypted in step S10, and stores the position information for each data stored in the storage unit 12 and the data in the table 102 stored in the storage unit 22. Information on encryption strength and encryption method for encryption and information on VPN connection used for transmitting the data are added (step S11).

ここで、図5に、本実施の形態における、テーブル102を示す。図5を参照すると、テーブル102は、テーブル100と同じ形式のテーブルで、ステップS11により、記憶部11に格納されている各データの、当該データが格納されている記憶部12における論理的な位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPN50、VPN51、VPN52のいずれかのコネクションの情報とを保有するテーブルとなっている。   Here, FIG. 5 shows the table 102 in the present embodiment. Referring to FIG. 5, the table 102 is a table having the same format as the table 100, and the logical position of each data stored in the storage unit 11 in step S <b> 11 in the storage unit 12 in which the data is stored. It is a table that holds information, information on the encryption strength and encryption method used when encrypting the data, and information on connection of any one of VPN50, VPN51, and VPN52 used when transmitting the data. .

ところで、テーブル制御手段43は、受信したテーブル100の情報のうち、既にテーブル102にデータの情報が存在している場合には、当該データの情報を追加するとデータが重複することになるため、当該データの情報を、テーブル102に追加しないようにしても良い。   By the way, the table control means 43, when the information of the data already exists in the table 102 among the received information of the table 100, the data will be duplicated if the information of the data is added. Data information may not be added to the table 102.

また、テーブル制御手段43は、受信したテーブル100の情報のうち、既にテーブル102にデータの情報が存在している場合であって、テーブル100の当該データの位置情報や、暗号強度、暗号方式の情報、使用するVPNの情報が変更されている場合には、テーブル102の当該データの情報を、更新するようにしても良い。   Further, the table control means 43 is a case where data information already exists in the table 102 out of the received information of the table 100, and the position information, encryption strength, and encryption method of the data in the table 100 are included. When the information and the information of the VPN to be used are changed, the information of the data in the table 102 may be updated.

端末20を使用するユーザーは、テーブル102を参照することで、記憶部12に、どんなデータが格納されているか知ることができる。   A user using the terminal 20 can know what data is stored in the storage unit 12 by referring to the table 102.

端末20を使用するユーザーの操作により、データ決定手段42が、端末10に対して送信を要求するデータを決定する(ステップS12)。   By the operation of the user who uses the terminal 20, the data determination unit 42 determines the data to be transmitted to the terminal 10 (step S12).

コネクション制御手段41は、端末10に対して、ステップS12で決定したデータの送信要求をする(ステップS13)。本実施の形態では、データAの送信を要求することとする。   The connection control means 41 requests the terminal 10 to transmit the data determined in step S12 (step S13). In the present embodiment, transmission of data A is requested.

コネクション制御手段31が端末20からのデータAの送信要求を受け付けると、データ決定手段32は、端末20に、データAを送信することを決定する(ステップS14)。   When the connection control unit 31 receives a transmission request for data A from the terminal 20, the data determination unit 32 determines to transmit the data A to the terminal 20 (step S14).

テーブル制御手段33は、ステップS14で送信することを決定したデータAについて、テーブル100を参照し、データAを暗号化する際の暗号強度、暗号方式と、データAを送信する際に使用するVPNのコネクションとを決定する(ステップS15)。本実施の形態では、データAを暗号化する際の暗号強度は1、暗号方式はXで、データAを送信する際に使用するVPNのコネクションはVPN50である。   The table control means 33 refers to the table 100 for the data A determined to be transmitted in step S14, and the encryption strength and encryption method used when encrypting the data A and the VPN used when transmitting the data A Is determined (step S15). In this embodiment, the encryption strength when data A is encrypted is 1, the encryption method is X, and the VPN connection used when transmitting data A is VPN50.

暗号化・復号化手段34は、ステップS14で送信することを決定したデータAを、ステップS15で決定した暗号方式Xで暗号化する(ステップS16)。   The encryption / decryption means 34 encrypts the data A determined to be transmitted in step S14 with the encryption method X determined in step S15 (step S16).

端末10のコネクション制御手段31は、ステップS16で暗号化したデータAを、端末20に送信する(ステップS17)。   The connection control means 31 of the terminal 10 transmits the data A encrypted in step S16 to the terminal 20 (step S17).

コネクション制御手段41は、端末10から、ステップS17によって送信されたデータAを受信すると、端末10と端末20との間で確立されているVPN50、VPN51、VPN52の3つのコネクションのうち、どのコネクションを介して受信したかを確認する(ステップS18)。本実施の形態では、コネクション制御手段41は、データAを、VPN50を介して受信したことを確認する。   When the connection control means 41 receives the data A transmitted from the terminal 10 in step S17, which connection of the three connections VPN50, VPN51, and VPN52 established between the terminal 10 and the terminal 20 is selected. (Step S18). In the present embodiment, the connection control unit 41 confirms that the data A has been received via the VPN 50.

テーブル制御手段43は、テーブル102を参照して、データAを暗号化する際の暗号方式を確認する(ステップS19)。本実施の形態では、データAを暗号化する際の暗号方式はXである。   The table control means 43 refers to the table 102 and confirms the encryption method used when encrypting the data A (step S19). In the present embodiment, the encryption method for encrypting data A is X.

暗号化・復号化手段44は、ステップS19で確認した暗号方式で、データAを復号化する(ステップS20)。   The encryption / decryption means 44 decrypts the data A by the encryption method confirmed in step S19 (step S20).

以降、端末20が、端末10に送信を要求する全てのデータの受信及び復号化を終了するまで、ステップS12からステップS20を繰り返す。   Thereafter, the terminal 20 repeats step S12 to step S20 until the reception and decoding of all the data requested to be transmitted to the terminal 10 are completed.

一方、端末20が、全てのデータの受信及び復号化を終了した場合、端末20を使用するユーザーの操作により、コネクション制御手段41は、端末10に対して、コネクションの切断を要求する(ステップS21)。   On the other hand, when the terminal 20 has finished receiving and decoding all data, the connection control means 41 requests the terminal 10 to disconnect the connection by the operation of the user using the terminal 20 (step S21). ).

コネクション制御手段31は、端末20からの、ステップS21のコネクション切断要求を受け付けると、端末10と端末20との間で接続されているVPNのコネクションを全て切断する(ステップS22)。   When receiving the connection disconnection request from step S21 from the terminal 20, the connection control unit 31 disconnects all the VPN connections connected between the terminal 10 and the terminal 20 (step S22).

ところで、本実施の形態では、端末10が、端末10の記憶部12に格納されているデータを、端末20に送信しているが、端末20も、端末20の記憶部22に格納されているデータを、端末10に送信することができるようにしても良い。   By the way, in this Embodiment, although the terminal 10 is transmitting the data stored in the memory | storage part 12 of the terminal 10 to the terminal 20, the terminal 20 is also stored in the memory | storage part 22 of the terminal 20. FIG. Data may be transmitted to the terminal 10.

この場合には、テーブル102は端末20の記憶部22に格納されているデータの情報も保有し、端末20は端末10に対してテーブル102を送信し、端末10のテーブル制御手段33がテーブル100にテーブル102の情報を追加する構成にすれば良い。   In this case, the table 102 also holds information on the data stored in the storage unit 22 of the terminal 20, the terminal 20 transmits the table 102 to the terminal 10, and the table control means 33 of the terminal 10 causes the table 100 to The information of the table 102 may be added to the table.

また、本実施の形態では、コネクション制御手段31はステップS5で決定したVPNを介してデータを送信しているが、コネクション制御手段31が当該データを送信する際に、使用するVPNの帯域を変化させることができるようにしても良い。   In the present embodiment, the connection control unit 31 transmits data via the VPN determined in step S5. However, when the connection control unit 31 transmits the data, the VPN band to be used is changed. It may be possible to make it.

この場合には、コネクション制御手段31は、制御部11の負荷状態を監視し、当該データを送信する際に使用するVPNの帯域を変化させる構成にすれば良い。   In this case, the connection control unit 31 may be configured to monitor the load state of the control unit 11 and change the VPN bandwidth used when transmitting the data.

この場合には、或いは、テーブル100が当該データを送信する際に使用するVPNの帯域情報も保有し、テーブル制御手段33は当該データを送信する際に使用するVPNの帯域を決定し、コネクション制御手段31は使用するVPNの帯域を変化させる構成にしても良い。   In this case, or alternatively, the table 100 also holds VPN bandwidth information used when transmitting the data, and the table control means 33 determines the VPN bandwidth used when transmitting the data, and connection control is performed. The means 31 may be configured to change the VPN band to be used.

本発明の実施の形態の通信制御システムを説明するためのブロック図である。It is a block diagram for demonstrating the communication control system of embodiment of this invention. 本発明の実施の形態の通信制御システムの動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the communication control system of embodiment of this invention. 本発明の実施の形態のテーブル100を示す一例である。It is an example which shows the table 100 of embodiment of this invention. 本発明の実施の形態のテーブル101を示す一例である。It is an example which shows the table 101 of embodiment of this invention. 本発明の実施の形態のテーブル102を示す一例である。It is an example which shows the table 102 of embodiment of this invention.

符号の説明Explanation of symbols

10 端末
11 制御部
12 記憶部
20 端末
21 制御部
22 記憶部
31 コネクション制御手段
32 データ決定手段
33 テーブル制御手段
34 暗号化・復号化手段
41 コネクション制御手段
42 データ決定手段
43 テーブル制御手段
44 暗号化・復号化手段
50 VPN
51 VPN
52 VPN
100 テーブル
101 テーブル
102 テーブル
















































10 Terminal 11 Control Unit 12 Storage Unit 20 Terminal 21 Control Unit 22 Storage Unit 31 Connection Control Unit 32 Data Determination Unit 33 Table Control Unit 34 Encryption / Decryption Unit 41 Connection Control Unit 42 Data Determination Unit 43 Table Control Unit 44 Encryption Decryption means 50 VPN
51 VPN
52 VPN
100 table 101 table 102 table
















































Claims (8)

データを暗号化するとともに、仮想的専用網に送出する送信端末と、前記データを受信するとともに復号化する、前記送信端末との間で確立された複数の仮想的専用網に接続された受信端末とを有し、
前記送信端末は、所定のデータを、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のうち、前記所定のデータに対応付けられる所定の暗号方式で暗号化して、前記複数の仮想的専用網のうち、少なくとも前記所定のデータ及び前記所定の暗号方式に対応付けられる所定の仮想的専用網に送出し、
前記受信端末は、前記所定のデータを、少なくとも前記所定のデータ及び前記所定の仮想的専用網に対応付けられる前記所定の暗号方式で復号化することを特徴とする通信制御システム。 A receiving terminal connected to a plurality of virtual private networks established between the transmitting terminal for encrypting data and sending it to a virtual private network and for receiving and decrypting the data And
The transmitting terminal encrypts predetermined data by using a predetermined encryption method associated with the predetermined data among a plurality of encryption methods having different strengths according to the security level of the data, and Among dedicated networks, send to at least a predetermined virtual dedicated network associated with the predetermined data and the predetermined encryption method,
The communication control system, wherein the receiving terminal decrypts the predetermined data with the predetermined encryption method associated with at least the predetermined data and the predetermined virtual private network. データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末であって、
所定のデータを、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のうち、前記所定のデータに対応付けられる所定の暗号方式によって暗号化して、前記複数の仮想的専用網のうち、少なくとも前記所定のデータ及び前記所定の暗号方式に対応付けられる所定の仮想的専用網に送出することを特徴とする送信端末。 A transmission terminal that encrypts data and sends it to one of a plurality of virtual private networks,
The predetermined data is encrypted by a predetermined encryption method associated with the predetermined data among a plurality of encryption methods having different strengths according to the security level of the data, A transmission terminal that transmits to at least a predetermined virtual private network associated with the predetermined data and the predetermined encryption method. 複数の仮想的専用網のいずれかを介してデータを受信する受信端末であって、
前記複数の仮想的専用網のうち所定の仮想的専用網から受信した所定のデータを、暗号強度の異なる複数の暗号方式のうち、少なくとも前記所定のデータ及び前記所定の仮想的専用網に対応付けられる所定の強度の暗号方式で復号化することを特徴とする受信端末。 A receiving terminal that receives data via any of a plurality of virtual private networks,
Corresponding predetermined data received from a predetermined virtual private network among the plurality of virtual private networks to at least the predetermined data and the predetermined virtual private network among a plurality of encryption schemes having different encryption strengths A receiving terminal characterized by decrypting with a predetermined strength encryption method. データを暗号化するとともに、仮想的専用網に送出する送信端末と、前記データを受信するとともに復号化する、前記送信端末との間で確立された複数の仮想的専用網に接続された受信端末とを有し、
前記送信端末は、
前記データを格納する記憶部と、
前記データに、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を有する送信側テーブル記憶手段と、
所定のデータを、前記送信側テーブル記憶手段を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得する送信側テーブル制御手段と、
前記送信側テーブル制御手段により取得した前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化する暗号化手段と、
前記暗号化手段により暗号化した前記所定のデータを、前記送信側テーブル制御手段で取得した前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出するコネクション制御手段とを備え、
前記受信端末は、
前記送信側テーブル記憶手段の有する情報と同じ内容の情報を少なくとも有する受信側テーブル記憶手段と、
前記所定のデータを受信した際に使用された前記所定の仮想的専用網を確認するコネクション確認手段と、
前記受信側テーブル記憶手段を参照して、前記コネクション確認手段により確認した前記所定の仮想的専用網に対応付けられる、前記所定の暗号方式の情報を取得する受信側テーブル制御手段と、
前記受信側テーブル制御手段により取得した前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、前記所定の暗号方式で復号化する復号化手段とを備えたことを特徴とする通信制御システム。 A receiving terminal connected to a plurality of virtual private networks established between the transmitting terminal for encrypting data and sending it to a virtual private network and for receiving and decrypting the data And
The transmitting terminal is
A storage unit for storing the data;
Any one of a plurality of encryption schemes having different strengths depending on the security level of the data, and any one of the plurality of virtual private networks used when transmitting the data A transmission-side table storage means having information associated with at least a dedicated private network;
Sending side table control means for obtaining predetermined data by referring to the sending side table storage means and acquiring at least information on a predetermined encryption method associated with the predetermined data and information on a predetermined virtual private network When,
An encryption unit for encrypting the predetermined data with a predetermined encryption method based on the information of the predetermined encryption method acquired by the transmission side table control unit;
Connection control means for sending the predetermined data encrypted by the encryption means to a predetermined virtual private network based on the information of the predetermined virtual private network acquired by the transmission side table control means; Prepared,
The receiving terminal is
Receiving table storage means having at least information of the same content as the information of the transmitting table storage means;
Connection confirmation means for confirming the predetermined virtual private network used when receiving the predetermined data;
Receiving side table storage means for acquiring information on the predetermined encryption method associated with the predetermined virtual private network confirmed by the connection confirmation means with reference to the receiving side table storage means;
Decryption means for decrypting with the predetermined encryption method based on the information of the predetermined encryption method associated with the predetermined virtual private network acquired by the reception side table control means. Communication control system. データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末であって、
前記データを格納する記憶部と、
前記データに、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を有する送信側テーブル記憶手段と、
所定のデータを、前記送信側テーブル記憶手段を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得する送信側テーブル制御手段と、
前記送信側テーブル制御手段により取得した前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化する暗号化手段と、
前記暗号化手段により暗号化した前記所定のデータを、前記送信側テーブル制御手段で取得した前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出するコネクション制御手段とを備えたことを特徴とする送信端末。 A transmission terminal that encrypts data and sends it to one of a plurality of virtual private networks,
A storage unit for storing the data;
Any one of a plurality of encryption schemes having different strengths depending on the security level of the data, and any one of the plurality of virtual private networks used when transmitting the data A transmission-side table storage means having information associated with at least a dedicated network.
Sending side table control means for obtaining predetermined data by referring to the sending side table storage means and acquiring at least information on a predetermined encryption method associated with the predetermined data and information on a predetermined virtual private network When,
An encryption unit for encrypting the predetermined data with a predetermined encryption method based on the information of the predetermined encryption method acquired by the transmission side table control unit;
Connection control means for sending the predetermined data encrypted by the encryption means to a predetermined virtual private network based on the information of the predetermined virtual private network acquired by the transmission side table control means; A transmission terminal characterized by comprising. 複数の仮想的専用網のいずれかを介してデータを受信する受信端末であって、
前記受信端末は、
前記データを受信した際に使用された仮想的専用網に、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式が対応付けられる受信側テーブル記憶手段と、
所定のデータを受信した際に使用された所定の仮想的専用網を確認するコネクション確認手段と、
前記受信側テーブル記憶手段を参照して、前記コネクション確認手段により確認した前記所定の仮想的専用網に対応付けられる、所定の暗号方式の情報を取得する受信側テーブル制御手段と、
前記受信側テーブル制御手段により取得した前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、所定の暗号方式で復号化する復号化手段とを備えたことを特徴とする受信端末。 A receiving terminal that receives data via any of a plurality of virtual private networks,
The receiving terminal is
Receiving side table storage means in which a virtual private network used when receiving the data is associated with any one of a plurality of encryption methods having different strengths according to the security level of the data;
A connection confirmation means for confirming a predetermined virtual private network used when receiving predetermined data;
A receiving-side table control unit that acquires information on a predetermined encryption method associated with the predetermined virtual private network confirmed by the connection checking unit with reference to the receiving-side table storage unit;
Decrypting means for decrypting with a predetermined encryption method based on the information of the predetermined encryption method associated with the predetermined virtual private network acquired by the receiving side table control means, Receiving terminal. データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末に実行させるプログラムであって、
前記送信端末に、前記データに前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を記憶させる第1のステップと、
所定のデータを、前記第1のステップで記憶させた情報を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得させる第2のステップと、
前記第2のステップにより取得させた前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化させる第3のステップと、
前記第3のステップにより暗号化させた前記所定のデータを、前記送信側テーブル制御手段で取得させた前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出させる第4のステップ、を実行させるためのプログラム。 A program that encrypts data and causes a transmission terminal to send the data to one of a plurality of virtual private networks,
Among the plurality of virtual private networks used when transmitting the data to the transmitting terminal, any one of a plurality of encryption systems having different strengths according to the data security level, and the data A first step of storing information associated with at least one of the virtual private networks;
The predetermined data is referred to the information stored in the first step, and at least the information on the predetermined cryptosystem associated with the predetermined data and the information on the predetermined virtual private network are acquired. Two steps,
A third step of encrypting the predetermined data by a predetermined encryption method based on the information of the predetermined encryption method acquired by the second step;
A fourth process for sending the predetermined data encrypted in the third step to a predetermined virtual private network based on the information of the predetermined virtual private network acquired by the transmission side table control means; Program for executing the steps. 複数の仮想的専用網のいずれかを介してデータを受信する受信端末に実行させるプログラムであって、
前記受信端末に、所定のデータを受信した際に使用された所定の仮想的専用網を確認させる第1のステップと、
前記データを受信した際に使用された仮想的専用網に、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式が対応付けられる情報を記憶させる第2のステップと、
前記第2のステップにより記憶させた情報を参照して、前記第2のステップにより確認させた前記所定の仮想的専用網に対応付けられる所定の暗号方式の情報を取得させる第3のステップと、
前記第3のステップにより取得させた前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、所定の暗号方式で復号化させる第4のステップ、を実行させるためのプログラム。




A program to be executed by a receiving terminal that receives data via any of a plurality of virtual private networks,
A first step of causing the receiving terminal to confirm a predetermined virtual private network used when receiving predetermined data;
A second step of storing, in the virtual private network used when receiving the data, information associated with any one of a plurality of encryption methods having different strengths according to the security level of the data; ,
A third step of referring to the information stored in the second step and acquiring information of a predetermined encryption method associated with the predetermined virtual private network confirmed in the second step;
A program for executing a fourth step of decrypting with a predetermined encryption method based on the information of the predetermined encryption method associated with the predetermined virtual private network acquired in the third step .




JP2007236449A 2007-09-12 2007-09-12 Communication control system, terminal, and program Expired - Fee Related JP4910956B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007236449A JP4910956B2 (en) 2007-09-12 2007-09-12 Communication control system, terminal, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007236449A JP4910956B2 (en) 2007-09-12 2007-09-12 Communication control system, terminal, and program

Publications (2)

Publication Number Publication Date
JP2009071481A JP2009071481A (en) 2009-04-02
JP4910956B2 true JP4910956B2 (en) 2012-04-04

Family

ID=40607308

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007236449A Expired - Fee Related JP4910956B2 (en) 2007-09-12 2007-09-12 Communication control system, terminal, and program

Country Status (1)

Country Link
JP (1) JP4910956B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5473974B2 (en) * 2011-03-30 2014-04-16 株式会社三共 GAME SYSTEM AND GAME DEVICE
JP5474010B2 (en) * 2011-08-22 2014-04-16 株式会社三共 GAME SYSTEM AND CONTROL DEVICE
JP6331638B2 (en) * 2014-04-18 2018-05-30 富士電機株式会社 Communication system between control systems and communication control method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4341073B2 (en) * 2005-04-25 2009-10-07 日本電気株式会社 Virtual closed network system, server, user terminal, access method, program, and recording medium
JP2008227715A (en) * 2007-03-09 2008-09-25 Nec Corp Network system and communication method
JP2008252456A (en) * 2007-03-30 2008-10-16 Toshiba Corp Communication apparatus, and communication method

Also Published As

Publication number Publication date
JP2009071481A (en) 2009-04-02

Similar Documents

Publication Publication Date Title
JP4081724B1 (en) Client terminal, relay server, communication system, and communication method
KR101032016B1 (en) Constrained cryptographic keys
US9055047B2 (en) Method and device for negotiating encryption information
CN107659406B (en) Resource operation method and device
JP5845393B2 (en) Cryptographic communication apparatus and cryptographic communication system
EP1748615A1 (en) Method and system for providing public key encryption security in insecure networks
CN108650227A (en) Handshake method based on datagram secure transfer protocol and system
JP2012213036A (en) Communication apparatus and communication system
WO2018213916A1 (en) A secure transmission method for blockchain data based on sctp
JP2010505284A (en) Method and network device for handling nested internet protocol security tunnels
TW201008195A (en) Key management for communication networks
JP4267008B2 (en) Client / server distributed system, server apparatus, client apparatus, and inter-client RTP encryption method used therefor
JP2005210193A (en) Common secret key generating device
WO2009018512A1 (en) Systems and methods for implementing a mutating transport layer security protocol
CN112187757A (en) Multilink privacy data circulation system and method
JP2012100206A (en) Cryptographic communication relay system, cryptographic communication relay method and cryptographic communication relay program
JP2006019975A (en) Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto
JP4910956B2 (en) Communication control system, terminal, and program
JPH10242957A (en) User authentication method, system therefor and storage medium for user authentication
WO2016134631A1 (en) Processing method for openflow message, and network element
JP5247744B2 (en) File transfer system and file transfer method
CN111147236A (en) Encryption and decryption method and system based on RSA and AES
CN106789026A (en) CDN server and its with client connection method, private key server and system
KR101730405B1 (en) Method of managing network route and network entity enabling the method
JP2008011176A (en) Radio communication method and system

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090602

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100813

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20110511

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20110705

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110909

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111220

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120102

R150 Certificate of patent or registration of utility model

Ref document number: 4910956

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150127

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees