JPH1141280A - 通信システム、vpn中継装置、記録媒体 - Google Patents
通信システム、vpn中継装置、記録媒体Info
- Publication number
- JPH1141280A JPH1141280A JP9190302A JP19030297A JPH1141280A JP H1141280 A JPH1141280 A JP H1141280A JP 9190302 A JP9190302 A JP 9190302A JP 19030297 A JP19030297 A JP 19030297A JP H1141280 A JPH1141280 A JP H1141280A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- encrypted message
- message
- devices
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 異種のVPNが互換可能な通信システムを提
供する。 【解決手段】 複数のVPN装置22A,22Bと、各
VPN装置22A,22Bと協働して通信網上にVPN
を構築する対応VPN装置15X,15Y・・・を具備し
たVPN管理サーバ10とを含んで通信システム1を構
成する。VPN管理サーバ10は、電文送信元のVPN
装置22Aとの間に第1VPNを構築して暗号電文を受
信し、受信した暗号電文に含まれる送信先情報を解読し
て送信先のVPN装置22Bを特定するとともに、該送
信元のVPN装置22Bとの間に第2VPNを構築す
る。そして、受信した暗号電文を第1VPN用の暗号鍵
で復号化した後、これを第2VPN用の暗号鍵で暗号化
し、第2VPNを通じてVPN装置22Bに送信する。
供する。 【解決手段】 複数のVPN装置22A,22Bと、各
VPN装置22A,22Bと協働して通信網上にVPN
を構築する対応VPN装置15X,15Y・・・を具備し
たVPN管理サーバ10とを含んで通信システム1を構
成する。VPN管理サーバ10は、電文送信元のVPN
装置22Aとの間に第1VPNを構築して暗号電文を受
信し、受信した暗号電文に含まれる送信先情報を解読し
て送信先のVPN装置22Bを特定するとともに、該送
信元のVPN装置22Bとの間に第2VPNを構築す
る。そして、受信した暗号電文を第1VPN用の暗号鍵
で復号化した後、これを第2VPN用の暗号鍵で暗号化
し、第2VPNを通じてVPN装置22Bに送信する。
Description
【0001】
【発明の属する技術分野】本発明は、通信網上にVPN
(Virtual Private Network:仮想専用回線)を構築し
てデータ通信を行う通信システムに関し、特に、VPN
を構築するVPN装置の規格差を吸収する技術に関す
る。
(Virtual Private Network:仮想専用回線)を構築し
てデータ通信を行う通信システムに関し、特に、VPN
を構築するVPN装置の規格差を吸収する技術に関す
る。
【0002】
【従来の技術】例えば広域ネットワーク環境を利用した
通信システムでは、不正侵入者に対する機密保護等を考
慮した高信頼のシステム構築及び運用管理が望まれてい
る。ここに広域ネットワーク環境とは、インターネット
等のような広域通信網(ネットワーク)上で送信先経路
を制御するルータを介して通信装置相互間のデータ通信
を行う環境をいう。ルータは、伝送対象電文の先頭に付
加された送信先と送信元のアドレスに基づいて送信先へ
の経路の最適な選択を行う装置である。このようなルー
タをベースにしたネットワークとしては、企業等の組織
内ネットワークや、インターネット・プロバイダのよう
な不特定多数の者に対してネットワーク接続環境を提供
するものもあり、その形態は多様化している。また、電
話やファクシミリ等に代わる低コストの新たな通信手段
として電子メールも定着してきている。このように、今
後、電話等の従来回線をネットワーク環境で代替したシ
ステム構築の要求は、急激に増加する傾向にある。
通信システムでは、不正侵入者に対する機密保護等を考
慮した高信頼のシステム構築及び運用管理が望まれてい
る。ここに広域ネットワーク環境とは、インターネット
等のような広域通信網(ネットワーク)上で送信先経路
を制御するルータを介して通信装置相互間のデータ通信
を行う環境をいう。ルータは、伝送対象電文の先頭に付
加された送信先と送信元のアドレスに基づいて送信先へ
の経路の最適な選択を行う装置である。このようなルー
タをベースにしたネットワークとしては、企業等の組織
内ネットワークや、インターネット・プロバイダのよう
な不特定多数の者に対してネットワーク接続環境を提供
するものもあり、その形態は多様化している。また、電
話やファクシミリ等に代わる低コストの新たな通信手段
として電子メールも定着してきている。このように、今
後、電話等の従来回線をネットワーク環境で代替したシ
ステム構築の要求は、急激に増加する傾向にある。
【0003】しかし、広域ネットワーク環境下でのデー
タ通信では、第三者によるデータ傍受やデータ改竄が容
易に起こりうるため、セキュリティ面で問題がある。そ
のため、例えばエレクトリックコマースの分野で使用さ
れる電子通貨のように、機密性の高いデータを通信媒体
を用いて伝送しあう場合は、別途、専用回線を敷設する
必要があった。そこで、最近は、データ暗号技術、認証
技術、対象データを隠蔽するカプセル化技術等を応用
し、広域ネットワーク上にVPNを構築してデータ通信
を行う技術が提案されている。
タ通信では、第三者によるデータ傍受やデータ改竄が容
易に起こりうるため、セキュリティ面で問題がある。そ
のため、例えばエレクトリックコマースの分野で使用さ
れる電子通貨のように、機密性の高いデータを通信媒体
を用いて伝送しあう場合は、別途、専用回線を敷設する
必要があった。そこで、最近は、データ暗号技術、認証
技術、対象データを隠蔽するカプセル化技術等を応用
し、広域ネットワーク上にVPNを構築してデータ通信
を行う技術が提案されている。
【0004】図5は、広域ネットワークである公衆網L
上にVPNを構築してデータ通信を行う従来の通信シス
テムの一例を示す概念図である。この通信システム2
は、データの送受信機能を備えたコンピュータ装置4
0,50、VPN装置41,51、ファイアウォール
(FW)42,52、及びルータ43,53を具備して
構成される。FW42,52は、外部からの不正なアク
セスに対する保護を特殊なソフトウェアで実現した一種
の障壁であり、公衆網Lのような広域ネットワークを使
用する環境においては必須なものとなっている。
上にVPNを構築してデータ通信を行う従来の通信シス
テムの一例を示す概念図である。この通信システム2
は、データの送受信機能を備えたコンピュータ装置4
0,50、VPN装置41,51、ファイアウォール
(FW)42,52、及びルータ43,53を具備して
構成される。FW42,52は、外部からの不正なアク
セスに対する保護を特殊なソフトウェアで実現した一種
の障壁であり、公衆網Lのような広域ネットワークを使
用する環境においては必須なものとなっている。
【0005】通信システム4において、コンピュータ装
置40から遠隔地にある他のコンピュータ装置50に対
して電文送信を行う場合の手順は以下のようになる。ま
ず、送信元及び送信先のルータ43,53間で相互に認
証処理を行い、さらに、送信元及び送信先のVPN装置
41,51間で、暗号鍵の相互交換を行う。そして、送
信元のVPN装置41において、送信先のVPN装置4
1の暗号鍵を用いて電文を暗号化して送信する。一方、
送信先のVPN装置51では、暗号化された電文を受信
するとともに、当該電文を送信元のVPN装置51の暗
号鍵で復号化してコンピュータ装置50に転送する。
置40から遠隔地にある他のコンピュータ装置50に対
して電文送信を行う場合の手順は以下のようになる。ま
ず、送信元及び送信先のルータ43,53間で相互に認
証処理を行い、さらに、送信元及び送信先のVPN装置
41,51間で、暗号鍵の相互交換を行う。そして、送
信元のVPN装置41において、送信先のVPN装置4
1の暗号鍵を用いて電文を暗号化して送信する。一方、
送信先のVPN装置51では、暗号化された電文を受信
するとともに、当該電文を送信元のVPN装置51の暗
号鍵で復号化してコンピュータ装置50に転送する。
【0006】なお、VPN装置41,51には、他のV
PN装置を相互に確認する認証機能、暗号化のための暗
号鍵交換機能、電文の暗号化・復号化機能のほか、ルー
タとしての機能を具備したものもある。これらの機能
は、メーカによる独自方式、或いは標準化方式によって
実現されている。また、VPN装置によっては、暗号鍵
交換機能を有しないものもあり、必ずしも統一された規
格に準拠していないのが現状である。
PN装置を相互に確認する認証機能、暗号化のための暗
号鍵交換機能、電文の暗号化・復号化機能のほか、ルー
タとしての機能を具備したものもある。これらの機能
は、メーカによる独自方式、或いは標準化方式によって
実現されている。また、VPN装置によっては、暗号鍵
交換機能を有しないものもあり、必ずしも統一された規
格に準拠していないのが現状である。
【0007】
【発明が解決しようとする課題】ところで、VPN装置
41,51に具備される認証機能、暗号鍵交換機能、暗
号化・復号化等の各機能における規格等の標準化は進め
られてはいるが、上述のように、現在は、メーカ毎の独
自の規格で各機能が実現されて製品化されているため、
異なるメーカの製品間ではVPNを構築することができ
ない。そのため、例えば既にVPN装置を導入している
複数の異業種企業が合同のVPNによるネットワーク環
境(以下、VPN環境)を構築しようとする場合、同一
メーカの製品を使用すれば問題なくVPN環境が構築可
能であるが、異なるメーカの製品間では、そのままでは
VPN環境の構築は不可能である。
41,51に具備される認証機能、暗号鍵交換機能、暗
号化・復号化等の各機能における規格等の標準化は進め
られてはいるが、上述のように、現在は、メーカ毎の独
自の規格で各機能が実現されて製品化されているため、
異なるメーカの製品間ではVPNを構築することができ
ない。そのため、例えば既にVPN装置を導入している
複数の異業種企業が合同のVPNによるネットワーク環
境(以下、VPN環境)を構築しようとする場合、同一
メーカの製品を使用すれば問題なくVPN環境が構築可
能であるが、異なるメーカの製品間では、そのままでは
VPN環境の構築は不可能である。
【0008】そこで本発明の課題は、異種のVPN装置
を使用してもVPN環境を構築できる、改良された通信
システムを提供することにある。本発明の他の課題は、
異種のVPN装置を使用した通信システムにおいて、V
PN環境を容易に構築できるVPN中継装置、及びこの
VPN中継装置を汎用のコンピュータ装置で実現するた
めの記録媒体を提供することにある。
を使用してもVPN環境を構築できる、改良された通信
システムを提供することにある。本発明の他の課題は、
異種のVPN装置を使用した通信システムにおいて、V
PN環境を容易に構築できるVPN中継装置、及びこの
VPN中継装置を汎用のコンピュータ装置で実現するた
めの記録媒体を提供することにある。
【0009】
【課題を解決するための手段】上記課題を解決する本発
明の通信システムは、それぞれ同一規格の対応VPN装
置との協働により通信網上にVPNを構築する複数のV
PN装置と、前記複数のVPN装置に対応するすべての
対応VPN装置を具備したVPN中継装置とを含み、前
記VPN中継装置が、電文送信元のVPN装置との間に
第1VPNを構築して暗号電文を受信する手段と、受信
した暗号電文に含まれる送信先情報を解読して送信先の
VPN装置を特定するとともに、該送信元のVPN装置
との間に第2VPNを構築する手段と、前記受信した暗
号電文を第2VPN用の暗号電文に変換して第2VPN
に送出する手段とを備えて、各VPN装置間の電文送信
の中継を行うように構成されることを特徴とする。
明の通信システムは、それぞれ同一規格の対応VPN装
置との協働により通信網上にVPNを構築する複数のV
PN装置と、前記複数のVPN装置に対応するすべての
対応VPN装置を具備したVPN中継装置とを含み、前
記VPN中継装置が、電文送信元のVPN装置との間に
第1VPNを構築して暗号電文を受信する手段と、受信
した暗号電文に含まれる送信先情報を解読して送信先の
VPN装置を特定するとともに、該送信元のVPN装置
との間に第2VPNを構築する手段と、前記受信した暗
号電文を第2VPN用の暗号電文に変換して第2VPN
に送出する手段とを備えて、各VPN装置間の電文送信
の中継を行うように構成されることを特徴とする。
【0010】なお、前記VPN中継装置の前記暗号電文
の入出力インタフェース部分には、ファイアウォールが
介在するようにする。
の入出力インタフェース部分には、ファイアウォールが
介在するようにする。
【0011】上記他の課題を解決する本発明のVPN中
継装置は、それぞれ同一規格のVPN装置との協働によ
り通信網上にVPNを構築する複数の対応VPN装置
と、電文送信元となる第1VPN装置との間に第1VP
N、電文送信先となる第2VPN装置との間に第2VP
Nを、それぞれ該当する対応VPN装置を用いて構築
し、第1VPNを通じて受信した第1VPN装置からの
暗号電文を第2VPN用の暗号電文に変換するととも
に、変換した暗号電文を第2VPNを通じて第2VPN
装置へ送信する経路制御手段と、を有することを特徴と
する。暗号電文の変換は、例えば前記第1VPNを通じ
て受信した暗号電文を前記第1VPN装置の暗号鍵で復
号化し、これにより得られた復号電文を前記第2VPN
装置の暗号鍵で暗号化することにより行う。
継装置は、それぞれ同一規格のVPN装置との協働によ
り通信網上にVPNを構築する複数の対応VPN装置
と、電文送信元となる第1VPN装置との間に第1VP
N、電文送信先となる第2VPN装置との間に第2VP
Nを、それぞれ該当する対応VPN装置を用いて構築
し、第1VPNを通じて受信した第1VPN装置からの
暗号電文を第2VPN用の暗号電文に変換するととも
に、変換した暗号電文を第2VPNを通じて第2VPN
装置へ送信する経路制御手段と、を有することを特徴と
する。暗号電文の変換は、例えば前記第1VPNを通じ
て受信した暗号電文を前記第1VPN装置の暗号鍵で復
号化し、これにより得られた復号電文を前記第2VPN
装置の暗号鍵で暗号化することにより行う。
【0012】なお、前記複数の対応VPN装置は、それ
ぞれ異なる認証手法、暗号鍵の交換手法、及び暗号化手
法に基づいてVPN装置との間にVPNを構築するもの
であり、前記経路制御手段は、予め用意されたこれらの
対応VPN装置から該当する装置を選択して前記第1V
PN及び第2VPNを構築する。
ぞれ異なる認証手法、暗号鍵の交換手法、及び暗号化手
法に基づいてVPN装置との間にVPNを構築するもの
であり、前記経路制御手段は、予め用意されたこれらの
対応VPN装置から該当する装置を選択して前記第1V
PN及び第2VPNを構築する。
【0013】上記他の課題を解決する本発明の記録媒体
は、それぞれ対応VPN装置との協働により通信網上に
VPNを構築するVPN装置に相互通信可能に接続され
たコンピュータ装置が読み取り可能なプログラムを記録
して成る記録媒体であって、前記プログラムが、下記の
処理を当該コンピュータ装置に実行させるものである。 (1)電文送信元となる第1VPN装置との間に第1V
PNを構築して暗号電文を受信する処理、(2)受信し
た暗号電文に含まれる送信先情報を解読して送信先の通
信装置を特定するとともに、該送信先となる第2VPN
装置との間に第2VPNを構築する処理、(3)前記受
信した暗号電文を第2VPN用の暗号電文に変換して第
2VPNに送出する処理。
は、それぞれ対応VPN装置との協働により通信網上に
VPNを構築するVPN装置に相互通信可能に接続され
たコンピュータ装置が読み取り可能なプログラムを記録
して成る記録媒体であって、前記プログラムが、下記の
処理を当該コンピュータ装置に実行させるものである。 (1)電文送信元となる第1VPN装置との間に第1V
PNを構築して暗号電文を受信する処理、(2)受信し
た暗号電文に含まれる送信先情報を解読して送信先の通
信装置を特定するとともに、該送信先となる第2VPN
装置との間に第2VPNを構築する処理、(3)前記受
信した暗号電文を第2VPN用の暗号電文に変換して第
2VPNに送出する処理。
【0014】
【発明の実施の形態】以下、本発明を広域ネットワーク
による通信システムに適用した場合の実施の形態を、図
面を参照して詳細に説明する。図1は、本実施形態の通
信システムの機能ブロック図である。この通信システム
1は、電文の送受信を行う複数のクライアント20A,
20Bと、本発明のVPN中継装置であるVPN管理サ
ーバ10とを公衆網Lを介して双方向通信可能に接続さ
れて構成される。各クライアント20A,20Bは、F
W21A,21B及びVPN装置22A,22Bを具備
する通信装置である。
による通信システムに適用した場合の実施の形態を、図
面を参照して詳細に説明する。図1は、本実施形態の通
信システムの機能ブロック図である。この通信システム
1は、電文の送受信を行う複数のクライアント20A,
20Bと、本発明のVPN中継装置であるVPN管理サ
ーバ10とを公衆網Lを介して双方向通信可能に接続さ
れて構成される。各クライアント20A,20Bは、F
W21A,21B及びVPN装置22A,22Bを具備
する通信装置である。
【0015】VPN管理サーバ10は、それぞれ異なる
メーカにより独自の規格で製品化された複数の対応VP
N装置15A,15B,・・・15X,15Y(以下、
特定の対応VPN装置を指す場合以外は、サフィックス
を除去した符号15を用いる)が接続された汎用のコン
ピュータ装置と、このコンピュータ装置に読み取られて
実行されたときに、前述のFW11、VPN判定部1
2、VPN選択部13、及びVPN管理部14の機能を
実現するコンピュータプログラムとからなる。このコン
ピュータプログラムは、通常、コンピュータ装置の内部
記憶装置あるいは外部記憶装置に格納され、随時読み取
られて実行されるようになっているが、コンピュータ装
置とは分離可能な記録媒体、例えばCD−ROMやFD
等に格納され、使用時に上記内部記憶装置または外部記
憶装置にインストールされて随時実行に供されるもので
あってもよい。
メーカにより独自の規格で製品化された複数の対応VP
N装置15A,15B,・・・15X,15Y(以下、
特定の対応VPN装置を指す場合以外は、サフィックス
を除去した符号15を用いる)が接続された汎用のコン
ピュータ装置と、このコンピュータ装置に読み取られて
実行されたときに、前述のFW11、VPN判定部1
2、VPN選択部13、及びVPN管理部14の機能を
実現するコンピュータプログラムとからなる。このコン
ピュータプログラムは、通常、コンピュータ装置の内部
記憶装置あるいは外部記憶装置に格納され、随時読み取
られて実行されるようになっているが、コンピュータ装
置とは分離可能な記録媒体、例えばCD−ROMやFD
等に格納され、使用時に上記内部記憶装置または外部記
憶装置にインストールされて随時実行に供されるもので
あってもよい。
【0016】なお、本実施形態において、VPN管理サ
ーバ10及び各クライアント20は、各々、既存のルー
タに相当する通信制御手段を具備しているものとする。
また、本実施形態において、各対応VPN装置15は、
製品パッケージとして独立に存在し、それぞれ独自の規
格によってVPN構築機能を発揮する場合と、VPN管
理サーバ10の内部あるいは外部記憶装置に複数且つ異
種のVPNソフトウェア(プログラム)を格納してお
き、該当するVPNソフトウエアが随時読み出されて実
行されることによってVPN構築機能を発揮する場合の
いずれであってもよい。
ーバ10及び各クライアント20は、各々、既存のルー
タに相当する通信制御手段を具備しているものとする。
また、本実施形態において、各対応VPN装置15は、
製品パッケージとして独立に存在し、それぞれ独自の規
格によってVPN構築機能を発揮する場合と、VPN管
理サーバ10の内部あるいは外部記憶装置に複数且つ異
種のVPNソフトウェア(プログラム)を格納してお
き、該当するVPNソフトウエアが随時読み出されて実
行されることによってVPN構築機能を発揮する場合の
いずれであってもよい。
【0017】VPN判定部12は、送信元または送信先
の各VPN装置22A,22Bに対応するサーバ側の対
応VPN装置15が具備されているかどうかを判定する
ものである。VPN選択部13は、VPN管理サーバ1
0が具備している複数の対応VPN装置15から、送信
元または送信先のVPN装置22A,22Bに対応する
ものを選択するものである。VPN管理部14は、個々
の対応VPN装置15の統括制御、認証処理、その他の
データ管理を行うものである。
の各VPN装置22A,22Bに対応するサーバ側の対
応VPN装置15が具備されているかどうかを判定する
ものである。VPN選択部13は、VPN管理サーバ1
0が具備している複数の対応VPN装置15から、送信
元または送信先のVPN装置22A,22Bに対応する
ものを選択するものである。VPN管理部14は、個々
の対応VPN装置15の統括制御、認証処理、その他の
データ管理を行うものである。
【0018】次に、本実施形態の通信システム1におい
て、クライアント20A,20B間で暗号電文の送受を
行う場合の処理手順を図2を参照して説明する。この例
では、クライアント20AではVPN装置X(22A)
を使用し、クライアント20B側では、VPN装置Xと
規格が異なるVPN装置Y(22B)を使用するものと
する。また、送信対象となる電文に付与されるアドレス
情報には、送信先及び送信元のVPN装置X,Y(15
X,22A,22B,15Y)によるアドレス情報が使
用され、電文に付与される元来のアドレス情報及びデー
タは、VPN上では暗号化の対象となる。
て、クライアント20A,20B間で暗号電文の送受を
行う場合の処理手順を図2を参照して説明する。この例
では、クライアント20AではVPN装置X(22A)
を使用し、クライアント20B側では、VPN装置Xと
規格が異なるVPN装置Y(22B)を使用するものと
する。また、送信対象となる電文に付与されるアドレス
情報には、送信先及び送信元のVPN装置X,Y(15
X,22A,22B,15Y)によるアドレス情報が使
用され、電文に付与される元来のアドレス情報及びデー
タは、VPN上では暗号化の対象となる。
【0019】いま、クライアント20Aから図3(a)
に示すフォーマットの電文がVPN管理サーバ10に向
けて送信されたとする(図1の(1))。VPN管理サ
ーバ10は、FW11を介して受信した電文をVPN判
定部12に送る(ステップS101)。VPN判定部1
2は、この電文に付与されたアドレス情報から、クライ
アント20AのVPN装置22Aと協働してVPNを構
築するための対応VPN装置がサーバ内に具備されてい
るか否か、つまり、VPN装置Xと対になる対応VPN
装置Xが存在するか否かを判定する(ステップS10
2)。
に示すフォーマットの電文がVPN管理サーバ10に向
けて送信されたとする(図1の(1))。VPN管理サ
ーバ10は、FW11を介して受信した電文をVPN判
定部12に送る(ステップS101)。VPN判定部1
2は、この電文に付与されたアドレス情報から、クライ
アント20AのVPN装置22Aと協働してVPNを構
築するための対応VPN装置がサーバ内に具備されてい
るか否か、つまり、VPN装置Xと対になる対応VPN
装置Xが存在するか否かを判定する(ステップS10
2)。
【0020】対になる対応VPN装置XがVPN管理サ
ーバ10に具備されている場合は、VPN選択部12
で、複数のVPN15から該当するものを選択する。こ
の場合の選択方法としては、具体的には、VPN管理サ
ーバ10に具備されている複数のVPN装置15に関す
る情報を予めVPN選択部12に保持しておき、当該情
報と電文に付与されるアドレス情報とを比較し、合致す
るものを選択するようにする。本例では、VPN装置X
(22A)と対になる対応VPN装置X(15X)が存
在しているので、これを選択する。この選択情報は、V
PN管理部14に入力される。
ーバ10に具備されている場合は、VPN選択部12
で、複数のVPN15から該当するものを選択する。こ
の場合の選択方法としては、具体的には、VPN管理サ
ーバ10に具備されている複数のVPN装置15に関す
る情報を予めVPN選択部12に保持しておき、当該情
報と電文に付与されるアドレス情報とを比較し、合致す
るものを選択するようにする。本例では、VPN装置X
(22A)と対になる対応VPN装置X(15X)が存
在しているので、これを選択する。この選択情報は、V
PN管理部14に入力される。
【0021】VPN管理部14は、選択した対応VPN
装置15Xを起動させ、VPN装置22Aとの間にVP
Nを構築する(ステップS102:Yes、S103)。
そして、受信した電文の暗号化部分を、VPN装置15
Xの暗号鍵(VPN装置22Aとの間で交換した暗号
鍵)で復号化し(ステップS104)、図3(b)のよ
うなフォーマットの復号電文を得る。この復号電文から
元来の送信先のクライアント20Bを特定するととも
に、VPN判定部12でそのクライアントのVPN装置
Y(22B)と対になる対応VPN装置YがVPN管理
サーバ10に具備されているか否かを判定する(ステッ
プS105)。対になる対応VPN装置YがVPN管理
サーバ10に具備されている場合は、VPN選択部12
で、該当するものを選択し、VPN管理部14がその対
応VPN装置Y(15Y)を起動する(ステップS10
5:Yes、S106)。そして、対応VPN装置15Y
に復号電文を渡して(図1の(2))これを対応VPN
装置の暗号鍵(VPN装置22Bとの間で交換した暗号
鍵)で暗号化し、さらにこの暗号電文に送信先及び送信
元のアドレス情報を付与してFW11を介してクライア
ント20Bに送信する(ステップS107)。このとき
の電文フォーマットは図3(c)に示すとおりである。
これにより、クライアント20Bは、クライアント20
Aからの電文を取得することができる。なお、ステップ
S102及びステップS105において、対応VPN装
置X,YがVPN管理サーバ10に具備されていない場
合は、送信元のクライアント20Aにエラー通知を行う
(ステップS108)。以上の処理をすべての電文につ
いて繰り返す(ステップS109)。
装置15Xを起動させ、VPN装置22Aとの間にVP
Nを構築する(ステップS102:Yes、S103)。
そして、受信した電文の暗号化部分を、VPN装置15
Xの暗号鍵(VPN装置22Aとの間で交換した暗号
鍵)で復号化し(ステップS104)、図3(b)のよ
うなフォーマットの復号電文を得る。この復号電文から
元来の送信先のクライアント20Bを特定するととも
に、VPN判定部12でそのクライアントのVPN装置
Y(22B)と対になる対応VPN装置YがVPN管理
サーバ10に具備されているか否かを判定する(ステッ
プS105)。対になる対応VPN装置YがVPN管理
サーバ10に具備されている場合は、VPN選択部12
で、該当するものを選択し、VPN管理部14がその対
応VPN装置Y(15Y)を起動する(ステップS10
5:Yes、S106)。そして、対応VPN装置15Y
に復号電文を渡して(図1の(2))これを対応VPN
装置の暗号鍵(VPN装置22Bとの間で交換した暗号
鍵)で暗号化し、さらにこの暗号電文に送信先及び送信
元のアドレス情報を付与してFW11を介してクライア
ント20Bに送信する(ステップS107)。このとき
の電文フォーマットは図3(c)に示すとおりである。
これにより、クライアント20Bは、クライアント20
Aからの電文を取得することができる。なお、ステップ
S102及びステップS105において、対応VPN装
置X,YがVPN管理サーバ10に具備されていない場
合は、送信元のクライアント20Aにエラー通知を行う
(ステップS108)。以上の処理をすべての電文につ
いて繰り返す(ステップS109)。
【0022】図4は、本実施形態の通信システム1の概
念図である。通常、VPNは、通信を行うクライアント
間に直接構築されるが、本実施形態では、図4に示され
るように、複数地点A〜Dに存在するクライアントとV
PN管理サーバ10との間にそれぞれVPNを構築し、
クライアント間の通信は、常にVPN管理サーバ10を
経由してこのVPNを通じて行うようにしている。VP
N管理サーバ10は、各地点のクライアント側のVPN
装置に対応する複数の対応VPN装置を具備しており、
各クライアント側のVPN装置間の規格差は、このVP
N管理サーバ10で吸収されるので、送信元のクライア
ントは、送信先のクライアント側のVPN装置の規格を
意識することなく、電文を送信することが可能になる。
念図である。通常、VPNは、通信を行うクライアント
間に直接構築されるが、本実施形態では、図4に示され
るように、複数地点A〜Dに存在するクライアントとV
PN管理サーバ10との間にそれぞれVPNを構築し、
クライアント間の通信は、常にVPN管理サーバ10を
経由してこのVPNを通じて行うようにしている。VP
N管理サーバ10は、各地点のクライアント側のVPN
装置に対応する複数の対応VPN装置を具備しており、
各クライアント側のVPN装置間の規格差は、このVP
N管理サーバ10で吸収されるので、送信元のクライア
ントは、送信先のクライアント側のVPN装置の規格を
意識することなく、電文を送信することが可能になる。
【0023】このように、本実施形態の通信システム1
では、VPN管理サーバ10が、受信した暗号電文を送
信元のVPN装置22Aと対になる対応VPN装置15
Xで復号化するとともに、復号電文を送信先のVPN装
置22Bと対になる対応VPN装置15Yで暗号化して
VPN装置22Bに送信するので、異種のVPN装置間
の認証機能、暗号鍵交換機能、暗号化・復号化機能等の
互換が可能となる。また、対応VPN装置によって異な
る暗号鍵を用いた復号化及び暗号化を行うので、機密保
護能力の低下も防止することができる。従って、複数地
点間において異なるメーカのVPN装置により構築され
た異種VPNの使用が可能になり、従来の問題点が解消
される。
では、VPN管理サーバ10が、受信した暗号電文を送
信元のVPN装置22Aと対になる対応VPN装置15
Xで復号化するとともに、復号電文を送信先のVPN装
置22Bと対になる対応VPN装置15Yで暗号化して
VPN装置22Bに送信するので、異種のVPN装置間
の認証機能、暗号鍵交換機能、暗号化・復号化機能等の
互換が可能となる。また、対応VPN装置によって異な
る暗号鍵を用いた復号化及び暗号化を行うので、機密保
護能力の低下も防止することができる。従って、複数地
点間において異なるメーカのVPN装置により構築され
た異種VPNの使用が可能になり、従来の問題点が解消
される。
【0024】なお、本実施形態では、便宜上、クライア
ント20Aからクライアント20Bへ、異なるVPN装
置X,Y(22A,22B)を使用して暗号電文を送信
する通信システムの例を説明したが、クライアント20
Bからクライアント20Aに暗号電文を送信する場合、
あるいは、各クライアント20A,20BのVPN装置
が同一規格の場合も同様の手順で電文送信が可能にな
る。
ント20Aからクライアント20Bへ、異なるVPN装
置X,Y(22A,22B)を使用して暗号電文を送信
する通信システムの例を説明したが、クライアント20
Bからクライアント20Aに暗号電文を送信する場合、
あるいは、各クライアント20A,20BのVPN装置
が同一規格の場合も同様の手順で電文送信が可能にな
る。
【0025】
【発明の効果】以上の説明から明らかなように、本発明
によれば、VPN管理サーバにおいて、送信元及び送信
先のVPN装置との間にVPNが構築する対応VPN装
置が選択されて電文送信の中継が行われるので、異種の
VPN装置を使用した場合であってもVPN環境の構築
が可能となる効果がある。
によれば、VPN管理サーバにおいて、送信元及び送信
先のVPN装置との間にVPNが構築する対応VPN装
置が選択されて電文送信の中継が行われるので、異種の
VPN装置を使用した場合であってもVPN環境の構築
が可能となる効果がある。
【図1】本発明の一実施形態に係る通信システムの機能
ブロック図。
ブロック図。
【図2】VPN管理サーバにおける電文中継の手順説明
図。
図。
【図3】(a)は送信元のクライアントからVPN管理
サーバに送信される電文のフォーマット、(b)はVP
N管理サーバ内で復号された電文のフォーマット、
(c)はVPN管理サーバから元来の送信先となるクラ
イアントに送信される電文のフォーマットを示す図。
サーバに送信される電文のフォーマット、(b)はVP
N管理サーバ内で復号された電文のフォーマット、
(c)はVPN管理サーバから元来の送信先となるクラ
イアントに送信される電文のフォーマットを示す図。
【図4】本実施形態の通信システムにおける動作の概念
説明図。
説明図。
【図5】VPNを使用した従来型の通信システムにおけ
る機能ブロック図。
る機能ブロック図。
1 通信システム 10 VPN管理サーバ 11,21A,21B ファイアウォール(FW) 12 VPN判定部 13 VPN選択部 14 VPN管理部 15A,15B,・・・15X,15Y 対応VPN装置 20A,20B クライアント 22A,22B VPN装置
Claims (6)
- 【請求項1】 それぞれ同一規格の対応VPN装置との
協働により通信網上にVPNを構築する複数のVPN装
置と、前記複数のVPN装置に対応するすべての対応V
PN装置を具備したVPN中継装置とを含み、 前記VPN中継装置が、 電文送信元のVPN装置との間に第1VPNを構築して
暗号電文を受信する手段と、受信した暗号電文に含まれ
る送信先情報を解読して送信先のVPN装置を特定する
とともに、該送信元のVPN装置との間に第2VPNを
構築する手段と、前記受信した暗号電文を第2VPN用
の暗号電文に変換して第2VPNに送出する手段とを備
えて、各VPN装置における電文送信の中継を行うよう
に構成されていることを特徴とする通信システム。 - 【請求項2】 前記VPN中継装置の前記暗号電文の入
出力インタフェース部分にファイアウォールが介在する
ことを特徴とする請求項1記載の通信システム。 - 【請求項3】 それぞれ同一規格のVPN装置との協働
により通信網上にVPNを構築する複数の対応VPN装
置と、 電文送信元となる第1VPN装置との間に第1VPN、
電文送信先となる第2VPN装置との間に第2VPN
を、それぞれ該当する対応VPN装置を用いて構築し、
第1VPNを通じて受信した第1VPN装置からの暗号
電文を第2VPN用の暗号電文に変換するとともに、変
換した暗号電文を第2VPNを通じて第2VPN装置へ
送信する経路制御手段と、 を有することを特徴とするVPN中継装置。 - 【請求項4】 前記複数の対応VPN装置は、それぞれ
異なる認証手法、暗号鍵の交換手法、及び暗号化手法に
基づいてVPN装置との間にVPNを構築するものであ
り、前記経路制御手段は、予め用意されたこれらの対応
VPN装置から該当する装置を選択して前記第1VPN
及び第2VPNを構築することを特徴とする請求項3記
載のVPN中継装置。 - 【請求項5】 前記経路制御手段は、前記第1VPNを
通じて受信した暗号電文を前記第1VPN装置の暗号鍵
で復号化し、これにより得られた復号電文を前記第2V
PN装置の暗号鍵で暗号化して第2VPNへ送出するこ
とを特徴とする請求項3または4記載のVPN中継装
置。 - 【請求項6】 それぞれ対応VPN装置との協働により
通信網上にVPNを構築するVPN装置に相互通信可能
に接続されたコンピュータ装置が読み取り可能なプログ
ラムを記録して成る記録媒体であって、 前記プログラムが、 電文送信元となる第1VPN装置との間に第1VPNを
構築して暗号電文を受信する処理、 受信した暗号電文に含まれる送信先情報を解読して送信
先の通信装置を特定するとともに、該送信先となる第2
VPN装置との間に第2VPNを構築する処理、及び、 前記受信した暗号電文を第2VPN用の暗号電文に変換
して第2VPNに送出する処理を前記コンピュータ装置
に実行させるものであることを特徴とする記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9190302A JPH1141280A (ja) | 1997-07-15 | 1997-07-15 | 通信システム、vpn中継装置、記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9190302A JPH1141280A (ja) | 1997-07-15 | 1997-07-15 | 通信システム、vpn中継装置、記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH1141280A true JPH1141280A (ja) | 1999-02-12 |
Family
ID=16255903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9190302A Pending JPH1141280A (ja) | 1997-07-15 | 1997-07-15 | 通信システム、vpn中継装置、記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH1141280A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002185540A (ja) * | 2001-10-22 | 2002-06-28 | Mitsubishi Electric Corp | 暗号装置、暗号化器および復号器 |
| JP2003505978A (ja) * | 1999-07-23 | 2003-02-12 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | データ分配 |
| JP2004135176A (ja) * | 2002-10-11 | 2004-04-30 | Kubota Systems Inc | 通信システム |
| JP2004533749A (ja) * | 2001-04-12 | 2004-11-04 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | ハイブリッド網 |
| JP2005509977A (ja) * | 2001-11-20 | 2005-04-14 | センビッド・インク | ネットワークを介して制御可能な装置にアクセスし制御するシステム |
| JP2007129481A (ja) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | パケットフィルタリング装置およびパケットフィルタリングプログラム |
| JP2008104237A (ja) * | 2007-12-27 | 2008-05-01 | Hitachi Ltd | データ転送装置 |
| JP2008118702A (ja) * | 2007-12-27 | 2008-05-22 | Hitachi Ltd | データ転送装置、方法及びシステム |
| JP2010117988A (ja) * | 2008-11-14 | 2010-05-27 | Aya Echo:Kk | 高度な認証およびセキュアーな仮想化ネットワーク形成のシステムおよび方法 |
| JP2010141917A (ja) * | 2010-02-15 | 2010-06-24 | Hitachi Ltd | データ転送装置 |
| US7881311B2 (en) | 1999-05-27 | 2011-02-01 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
-
1997
- 1997-07-15 JP JP9190302A patent/JPH1141280A/ja active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7881311B2 (en) | 1999-05-27 | 2011-02-01 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| US9124531B2 (en) | 1999-05-27 | 2015-09-01 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| US8582587B2 (en) | 1999-05-27 | 2013-11-12 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| US7983281B2 (en) | 1999-05-27 | 2011-07-19 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| JP2003505978A (ja) * | 1999-07-23 | 2003-02-12 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | データ分配 |
| JP4723141B2 (ja) * | 1999-07-23 | 2011-07-13 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | データ分配 |
| JP2004533749A (ja) * | 2001-04-12 | 2004-11-04 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | ハイブリッド網 |
| JP2002185540A (ja) * | 2001-10-22 | 2002-06-28 | Mitsubishi Electric Corp | 暗号装置、暗号化器および復号器 |
| JP2005509977A (ja) * | 2001-11-20 | 2005-04-14 | センビッド・インク | ネットワークを介して制御可能な装置にアクセスし制御するシステム |
| JP4667747B2 (ja) * | 2001-11-20 | 2011-04-13 | ウェスタン・ディジタル・テクノロジーズ・インク | ネットワークを介して制御可能な装置にアクセスし制御するシステム |
| JP2004135176A (ja) * | 2002-10-11 | 2004-04-30 | Kubota Systems Inc | 通信システム |
| JP4732858B2 (ja) * | 2005-11-02 | 2011-07-27 | 日本電信電話株式会社 | パケットフィルタリング装置およびパケットフィルタリングプログラム |
| JP2007129481A (ja) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | パケットフィルタリング装置およびパケットフィルタリングプログラム |
| JP4508238B2 (ja) * | 2007-12-27 | 2010-07-21 | 株式会社日立製作所 | データ転送装置 |
| JP4535122B2 (ja) * | 2007-12-27 | 2010-09-01 | 株式会社日立製作所 | データ転送装置、方法及びシステム |
| JP2008118702A (ja) * | 2007-12-27 | 2008-05-22 | Hitachi Ltd | データ転送装置、方法及びシステム |
| JP2008104237A (ja) * | 2007-12-27 | 2008-05-01 | Hitachi Ltd | データ転送装置 |
| JP2010117988A (ja) * | 2008-11-14 | 2010-05-27 | Aya Echo:Kk | 高度な認証およびセキュアーな仮想化ネットワーク形成のシステムおよび方法 |
| JP2010141917A (ja) * | 2010-02-15 | 2010-06-24 | Hitachi Ltd | データ転送装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
| JP3688830B2 (ja) | パケット転送方法及びパケット処理装置 | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| EP1635502B1 (en) | Session control server and communication system | |
| US8346949B2 (en) | Method and system for sending a message through a secure connection | |
| US8179818B2 (en) | Proxy terminal, server apparatus, proxy terminal communication path setting method, and server apparatus communication path setting method | |
| US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
| US20060269053A1 (en) | Network Communication System and Communication Device | |
| CN103155512A (zh) | 用于对服务提供安全访问的***和方法 | |
| CA2500576A1 (en) | Apparatuses, method and computer software products for controlling a home terminal | |
| US7076653B1 (en) | System and method for supporting multiple encryption or authentication schemes over a connection on a network | |
| JP4752064B2 (ja) | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 | |
| JP2007039166A (ja) | エレベータの遠隔監視システム | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| JPH1141280A (ja) | 通信システム、vpn中継装置、記録媒体 | |
| JP2001203761A (ja) | 中継装置、および同装置を備えたネットワークシステム | |
| TW200307422A (en) | Encrypted central unified management system | |
| JPH06318939A (ja) | 暗号通信システム | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| JP4752063B2 (ja) | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
| US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| JP4752062B2 (ja) | アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置 |