[go: up one dir, main page]

JP2005244379A - VPN system, VPN apparatus, and encryption key distribution method used therefor - Google Patents

VPN system, VPN apparatus, and encryption key distribution method used therefor Download PDF

Info

Publication number
JP2005244379A
JP2005244379A JP2004048865A JP2004048865A JP2005244379A JP 2005244379 A JP2005244379 A JP 2005244379A JP 2004048865 A JP2004048865 A JP 2004048865A JP 2004048865 A JP2004048865 A JP 2004048865A JP 2005244379 A JP2005244379 A JP 2005244379A
Authority
JP
Japan
Prior art keywords
vpn
encryption key
tunnel
vpn tunnel
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004048865A
Other languages
Japanese (ja)
Inventor
Mineyuki Sakamoto
峯雪 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Communication Systems Ltd
Original Assignee
NEC Communication Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Communication Systems Ltd filed Critical NEC Communication Systems Ltd
Priority to JP2004048865A priority Critical patent/JP2005244379A/en
Publication of JP2005244379A publication Critical patent/JP2005244379A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 複数のVPNトンネルを用いた通信において通信速度の向上を図ることが可能なVPNシステムを提供する。
【解決手段】 VPN装置1−1とVPN装置1−2との間にはVPNトンネルが確立され(a2)、VPN装置1−1とVPN装置1−2との間で暗号化鍵が交換される(a1)。VPN装置1−2とVPN装置1−3との間にVPNトンネルを確立する時(a4)、VPN装置1−2はVPN装置1−3から受け取った暗号化鍵を(a3)、既に確立されて暗号化されているVPNトンネルを使ってVPN装置1−1に安全に通知する(a5)。VPN装置1−1は、VPN装置1−3の暗号化鍵をVPN装置1−2から受け取ると、通信相手別の暗号化鍵として通信相手別暗号化鍵保存用メモリに保存する。
【選択図】 図3 PROBLEM TO BE SOLVED: To provide a VPN system capable of improving the communication speed in communication using a plurality of VPN tunnels.
A VPN tunnel is established between a VPN apparatus 1-1 and a VPN apparatus 1-2 (a2), and an encryption key is exchanged between the VPN apparatus 1-1 and the VPN apparatus 1-2. (A1). When establishing a VPN tunnel between the VPN apparatus 1-2 and the VPN apparatus 1-3 (a4), the VPN apparatus 1-2 has already established the encryption key received from the VPN apparatus 1-3 (a3). The VPN apparatus 1-1 is securely notified using the encrypted VPN tunnel (a5). When the VPN device 1-1 receives the encryption key of the VPN device 1-3 from the VPN device 1-2, the VPN device 1-1 stores it in the communication partner-specific encryption key storage memory as an encryption key for each communication partner.
[Selection] Figure 3

Description

本発明はVPNシステム、VPN装置及びそれらに用いる暗号化鍵配布方法に関し、特にVPN(Virtual Private Network)装置(IPsec:Internet Protocol security protocol)を使用する通信における伝送速度を向上させる方法に関する。   The present invention relates to a VPN system, a VPN apparatus, and an encryption key distribution method used for the VPN system, and more particularly to a method for improving a transmission speed in communication using a VPN (Virtual Private Network) apparatus (IPsec: Internet Protocol security protocol).

従来、VPNシステムにおいては、図1に示すように、IP(Internet Protocol)ネットワーク100上に配置されたVPN装置1−1〜1−5と、VPN機能を持つVPNユーザ[通信端末またはLAN(Local Area Network)]2−1〜2−5と、VPNトンネル101〜105とから構成されている。   Conventionally, in a VPN system, as shown in FIG. 1, VPN devices 1-1 to 1-5 arranged on an IP (Internet Protocol) network 100 and VPN users having a VPN function [communication terminal or LAN (Local Area Network)] 2-1 to 2-5, and VPN tunnels 101 to 105.

このような構成のVPNシステムでは、VPNユーザ2−1がVPNユーザ2−3に通信パケットを送信する場合、まずVPN装置1−2の暗号化鍵を用いてデータを暗号化し、VPNトンネル103を使ってVPN装置1−2に送信する。   In the VPN system configured as described above, when the VPN user 2-1 transmits a communication packet to the VPN user 2-3, first the data is encrypted using the encryption key of the VPN device 1-2, and the VPN tunnel 103 is set up. To the VPN device 1-2.

VPN装置1−2では受信したパケットをVPN装置1−2の暗号化鍵を用いて復号化し、送信先情報から経路を探索し、次にパケットを送信するVPN装置1−3に対して、このVPN装置1−3の暗号化鍵を用いて復号化したデータを再度暗号化し、そのパケットをVPNトンネル104を使って送信する。VPN装置1−3は受信したパケットをVPN装置1−3の暗号化鍵を用いて復号化し、VPNユーザ2−3に送信する(例えば、特許文献1参照)。   The VPN apparatus 1-2 decrypts the received packet using the encryption key of the VPN apparatus 1-2, searches for a route from the destination information, and then transmits this packet to the VPN apparatus 1-3 that transmits the packet. The decrypted data is re-encrypted using the encryption key of the VPN apparatus 1-3, and the packet is transmitted using the VPN tunnel 104. The VPN apparatus 1-3 decrypts the received packet using the encryption key of the VPN apparatus 1-3, and transmits it to the VPN user 2-3 (for example, refer to Patent Document 1).

特開2002−111732号公報JP 2002-111732 A

しかしながら、上述した従来のVPNシステムでは、VPNトンネルからVPNトンネルに通信データが引き渡される際に、暗号データの復号化と再暗号化とが行われるため、複数のVPNトンネルにまたがる通信の場合、中間で通信を行うVPN装置の暗号化及び復号化の能力によって伝送速度を高速化することができないという問題がある。   However, in the conventional VPN system described above, when communication data is transferred from the VPN tunnel to the VPN tunnel, the encrypted data is decrypted and re-encrypted. Therefore, in the case of communication over a plurality of VPN tunnels, There is a problem in that the transmission speed cannot be increased due to the encryption and decryption capabilities of the VPN device that performs communication.

そこで、本発明の目的は上記の問題点を解消し、複数のVPNトンネルを用いた通信において通信速度の向上を図ることができるVPNシステム、VPN装置及びそれらに用いる暗号化鍵配布方法を提供することにある。   SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide a VPN system, a VPN apparatus, and an encryption key distribution method used therefor, which can solve the above problems and can improve the communication speed in communication using a plurality of VPN tunnels. There is.

本発明によるVPNシステムは、IPsec(Internet Protocol security protocol)プロトコルを用いたVPN(Virtual Private Network)装置間にVPNトンネルを設定して前記VPN装置間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPNシステムであって、
前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知する手段を前記VPN装置に備えている。 The VPN system according to the present invention sets up a VPN tunnel between VPN (Virtual Private Network) devices using the IPsec (Internet Protocol security protocol) protocol, exchanges a mutual encryption key between the VPN devices, and encrypts the encryption. A VPN system for transmitting data encrypted with a key to a connection destination via the VPN tunnel,
The VPN apparatus includes means for notifying the connection destination through the other VPN tunnel of the encryption key exchanged with the connection destination when the VPN tunnel is established through the other VPN tunnel already established.

本発明によるVPN装置は、IPsec(Internet Protocol security protocol)プロトコルを用い、他装置との間にVPN(Virtual Private Network)トンネルを設定してその他装置との間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPN装置であって、
前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知する手段を備えている。 The VPN device according to the present invention uses the IPsec (Internet Protocol security protocol) protocol, sets up a VPN (Virtual Private Network) tunnel with another device, and exchanges mutual encryption keys with the other device. A VPN device that transmits data encrypted with the encryption key to a connection destination via the VPN tunnel,
Means is provided for notifying the connection destination of the other VPN tunnel via the other established VPN tunnel of the encryption key exchanged with the connection destination when the VPN tunnel is established.

本発明による暗号化鍵配布方法は、IPsec(Internet Protocol security protocol)プロトコルを用いたVPN(Virtual Private Network)装置間にVPNトンネルを設定して前記VPN装置間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPNシステムにおいて前記暗号化鍵を配布する暗号化鍵配布方法であって、前記VPN装置側に、前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知するステップを備えている。   The encryption key distribution method according to the present invention sets up a VPN tunnel between VPN (Virtual Private Network) devices using the IPsec (Internet Protocol security protocol) protocol, and exchanges mutual encryption keys between the VPN devices. An encryption key distribution method for distributing the encryption key in a VPN system that transmits data encrypted with the encryption key to a connection destination via the VPN tunnel, wherein the VPN tunnel is connected to the VPN device side. And the encryption key exchanged with the connection destination at the time of establishment is notified to the connection destination through the other VPN tunnel through the other established VPN tunnel.

すなわち、本発明のVPNシステムは、IPsec(Internet Protocol security protocol)プロトコルを用いたVPN(Virtual Private Network)システムにおいて、複数のVPNトンネル(接続)を使用する通信にて伝送速度を向上させる方法を提供するものである。   In other words, the VPN system of the present invention provides a method for improving the transmission speed in communication using a plurality of VPN tunnels (connections) in a VPN (Virtual Private Network) system using the IPsec (Internet Protocol security protocol) protocol. To do.

より具体的に説明すると、本発明のVPNシステムでは、端末間での通信が複数のVPNトンネルにまたがる場合、一方の端末に一番近いVPN装置で使用する暗号/復号用鍵データを、他方の端末に一番近いVPN装置に通知し、または逆の通知を行うことによって、VPNトンネルから別のVPNトンネルへ中継する際に暗号を復号して更に暗号化する処理を行わないようにする。   More specifically, in the VPN system of the present invention, when communication between terminals spans a plurality of VPN tunnels, the encryption / decryption key data used in the VPN device closest to one terminal is transferred to the other. By notifying the VPN device closest to the terminal or performing the reverse notification, when relaying from the VPN tunnel to another VPN tunnel, the encryption is not decrypted and further encrypted.

このようにして、本発明のVPNシステムでは、VPNトンネル間での通信の暗号処理に係わる負荷を軽減し、伝送速度の向上を可能としている。つまり、本発明のVPNシステムでは、VPNトンネルから受信したパケットを他のVPNトンネルへ送信する際に暗号データを復号して再度暗号化する処理を省略することが可能となるため、複数のVPNトンネルを用いた通信において通信速度の向上を図ることが可能となる。   In this way, in the VPN system of the present invention, the load related to the encryption processing of communication between VPN tunnels is reduced, and the transmission speed can be improved. In other words, in the VPN system of the present invention, when a packet received from a VPN tunnel is transmitted to another VPN tunnel, the process of decrypting the encrypted data and re-encrypting it can be omitted. It is possible to improve the communication speed in communication using.

本発明は、以下に述べるような構成及び動作とすることで、複数のVPNトンネルを用いた通信において通信速度の向上を図ることができるという効果が得られる。   With the configuration and operation as described below, the present invention provides an effect that communication speed can be improved in communication using a plurality of VPN tunnels.

次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるVPN(Virtual Private Network)システムの構成を示すブロック図である。図1において、本発明の一実施例によるVPNシステムは、IPネットワーク100に接続された通信インタフェースを持つVPN装置(通信インタフェースを持つ通信端末で稼働するプログラムも含める)1−1〜1−5と、それぞれのVPN装置1−1〜1−5に接続されるVPNユーザ[通信端末またはLAN(Local Area Network)]2−1〜2−5と、VPNトンネル101〜105とから構成されている。   Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a VPN (Virtual Private Network) system according to an embodiment of the present invention. 1, a VPN system according to an embodiment of the present invention includes a VPN device having a communication interface connected to the IP network 100 (including a program operating on a communication terminal having a communication interface) 1-1 to 1-5. VPN users [communication terminal or LAN (Local Area Network)] 2-1 to 2-5 connected to the respective VPN apparatuses 1-1 to 1-5, and VPN tunnels 101 to 105.

VPNトンネル101はVPN装置1−1とVPN装置1−2との間に作成され、VPNトンネル102はVPN装置1−2とVPN装置1−3との間に作成され、VPNトンネル103はVPN装置1−3とVPN装置1−4との間に作成され、VPNトンネル104はVPN装置1−3とVPN装置1−5との間に作成され、VPNトンネル105はVPN装置1−4とVPN装置1−5との間に作成されている。   The VPN tunnel 101 is created between the VPN device 1-1 and the VPN device 1-2, the VPN tunnel 102 is created between the VPN device 1-2 and the VPN device 1-3, and the VPN tunnel 103 is the VPN device. 1-3 is created between the VPN apparatus 1-4, the VPN tunnel 104 is created between the VPN apparatus 1-3 and the VPN apparatus 1-5, and the VPN tunnel 105 is created between the VPN apparatus 1-4 and the VPN apparatus. 1-5.

図2は本発明の一実施例によるVPN装置の構成を示すブロック図である。図2において、VPN装置1はVPNトンネル確立時の暗号化鍵交換手段11と、暗号化鍵更新手段12と、VPNパケット送信手段13と、VPNパケットスルー手段15またはVPNパケット受信手段14と、通信相手別暗号化鍵保存用メモリ16とから構成されている。尚、図1に示すVPN装置1−1〜1−5の構成は上記のVPN装置1と同様の構成となっている。   FIG. 2 is a block diagram showing a configuration of a VPN apparatus according to an embodiment of the present invention. In FIG. 2, the VPN apparatus 1 communicates with an encryption key exchanging means 11, an encryption key updating means 12, a VPN packet transmitting means 13, a VPN packet through means 15 or a VPN packet receiving means 14 when establishing a VPN tunnel. The other party encryption key storage memory 16 is configured. The configuration of the VPN devices 1-1 to 1-5 shown in FIG. 1 is the same as that of the VPN device 1 described above.

図3及び図4は本発明の一実施例による暗号化鍵の交換方法を示すシーケンスチャートであり、図5は本発明の一実施例によるVPNパケットの送信処理を示すフローチャートであり、図6は本発明の一実施例によるVPNパケットのスルー及び受信処理を示すフローチャートであり、図7は図2の通信相手別暗号化鍵保存用メモリ16の構成を示す図であり、図8は本発明の一実施例による送受信データのヘッダ上のVPNスルー表示を示す図である。これら図1〜図8を参照して本発明の一実施例の処理について説明する。   3 and 4 are sequence charts illustrating an encryption key exchange method according to an embodiment of the present invention. FIG. 5 is a flowchart illustrating VPN packet transmission processing according to an embodiment of the present invention. 7 is a flowchart showing VPN packet through and reception processing according to an embodiment of the present invention, FIG. 7 is a diagram showing the configuration of the communication partner encryption key storage memory 16 of FIG. 2, and FIG. It is a figure which shows the VPN through display on the header of the transmission / reception data by one Example. The processing of one embodiment of the present invention will be described with reference to FIGS.

まず、VPN装置1−1とVPN装置1−2との間にはVPNトンネル101が確立される(図3のa2)。この時、VPN装置1−1とVPN装置1−2との間では、暗号通信を行うために互いの暗号化鍵が交換される(図3のa1)。   First, a VPN tunnel 101 is established between the VPN device 1-1 and the VPN device 1-2 (a2 in FIG. 3). At this time, mutual encryption keys are exchanged between the VPN apparatus 1-1 and the VPN apparatus 1-2 in order to perform encrypted communication (a1 in FIG. 3).

次に、VPN装置1−2とVPN装置1−3との間にVPNトンネル102を確立する時(図3のa4)、VPN装置1−2はVPN装置1−3から受け取った暗号化鍵を(図3のa3)、既に確立されて暗号化されているVPNトンネル101を使ってVPN装置1−1に安全に通知する(図3のa5)。   Next, when the VPN tunnel 102 is established between the VPN device 1-2 and the VPN device 1-3 (a4 in FIG. 3), the VPN device 1-2 uses the encryption key received from the VPN device 1-3. (A3 in FIG. 3), the VPN apparatus 1-1 is securely notified using the already established and encrypted VPN tunnel 101 (a5 in FIG. 3).

VPN装置1−1は、VPN装置1−3の暗号化鍵をVPN装置1−2から受け取ると、図7に示すような通信相手別の暗号化鍵として通信相手別暗号化鍵保存用メモリ16に保存する。この場合、通信相手別暗号化鍵保存用メモリ16には、通信相手別の暗号化鍵が、VPN装置1−3のVPNユーザ2−3が取り得るTCP(Transmission Control Protocol)/IPのネットワークアドレスと一緒に格納される。   When the VPN device 1-1 receives the encryption key of the VPN device 1-3 from the VPN device 1-2, the communication partner-specific encryption key storage memory 16 as an encryption key for each communication partner as shown in FIG. Save to. In this case, the encryption key storage memory 16 for each communication partner stores a TCP (Transmission Control Protocol) / IP network address that can be obtained by the VPN user 2-3 of the VPN apparatus 1-3. Stored together with.

また、VPN装置1−2は既に保存している通信相手別暗号化鍵情報、この場合にはVPN装置1−1の暗号化鍵情報を新たに確立したVPNトンネル102の接続先であるVPN装置1−3に通知する(図3のa6)。VPN装置1−3はVPN装置1−2から通知されたVPN装置1−1の暗号化鍵情報を、VPN装置1−1と同様に、通信相手別暗号化鍵保存用メモリ16に格納する。   Further, the VPN apparatus 1-2 is the VPN apparatus that is the connection destination of the VPN tunnel 102 that has already established the encryption key information for each communication partner that has been stored, in this case, the encryption key information of the VPN apparatus 1-1. 1-3 is notified (a6 in FIG. 3). The VPN device 1-3 stores the encryption key information of the VPN device 1-1 notified from the VPN device 1-2 in the communication partner-specific encryption key storage memory 16 in the same manner as the VPN device 1-1.

続いて、VPN装置1−3とVPN装置1−4との間にVPNトンネル103が確立された時(図3のa8)、VPN装置1−3とVPN装置1−4との間では、暗号通信を行うために互いの暗号化鍵が交換される(図3のa7)。VPN装置1−3は、上記の処理と同様にして、VPN装置1−4から受け取った暗号化鍵を、既に確立されて暗号化されているVPNトンネル102を使ってVPN装置1−2に安全に通知する(図3のa9)。   Subsequently, when the VPN tunnel 103 is established between the VPN device 1-3 and the VPN device 1-4 (a8 in FIG. 3), encryption is performed between the VPN device 1-3 and the VPN device 1-4. Each other's encryption key is exchanged for communication (a7 in FIG. 3). The VPN apparatus 1-3 secures the encryption key received from the VPN apparatus 1-4 to the VPN apparatus 1-2 using the already established and encrypted VPN tunnel 102 in the same manner as the above processing. (A9 in FIG. 3).

VPN装置1−2はVPN装置1−3からVPN装置1−4の暗号化鍵情報を受け取ると、既に確立されたVPNトンネル101の相手があるので、その相手であるVPN装置1−1に、VPN装置1−3から受け取ったVPN装置1−4の暗号化鍵情報をVPNトンネル101を使って安全に通知する(図3のa11)。   When the VPN device 1-2 receives the encryption key information of the VPN device 1-4 from the VPN device 1-3, since there is a partner of the already established VPN tunnel 101, the VPN device 1-1, which is the partner, The encryption key information of the VPN apparatus 1-4 received from the VPN apparatus 1-3 is securely notified using the VPN tunnel 101 (a11 in FIG. 3).

一方、VPN装置1−3は今まで持っていたVPN装置1−2及びVPN装置1−1の暗号化鍵情報を、確立したVPNトンネル103を使って安全にVPN装置1−4に通知する。   On the other hand, the VPN apparatus 1-3 securely notifies the VPN apparatus 1-4 of the encryption key information of the VPN apparatus 1-2 and the VPN apparatus 1-1 that have been used so far, using the established VPN tunnel 103.

VPN装置1−3とVPN装置1−5との間にVPNトンネル104が確立された時、及びVPN装置1−4とVPN装置1−5との間にVPNトンネル105が確立された時にも、上記と同様にして、VPN装置1−1〜1−5には既に確立されて暗号化されているVPNトンネル101〜105を使って暗号化鍵が安全に通知されることとなる。よって、本実施例では、VPNトンネル101〜105で接続されている全てのVPN装置1−1〜1−5が全てのVPN装置1−1〜1−5の暗号化鍵を持つことが可能となる。   When the VPN tunnel 104 is established between the VPN device 1-3 and the VPN device 1-5 and when the VPN tunnel 105 is established between the VPN device 1-4 and the VPN device 1-5, In the same manner as described above, the encryption keys are securely notified to the VPN apparatuses 1-1 to 1-5 using the already established and encrypted VPN tunnels 101 to 105. Therefore, in this embodiment, all the VPN devices 1-1 to 1-5 connected by the VPN tunnels 101 to 105 can have encryption keys of all the VPN devices 1-1 to 1-5. Become.

VPNトンネル101〜105で使用する暗号化鍵は安全のため、一定時間が過ぎると、新しい鍵に更新される。図4に示すように、VPN装置1−1とVPN装置1−2との間に確立されているVPNトンネル101にて更新のための暗号化鍵の交換が発生した場合、新たに受け取った暗号化鍵を他のVPNトンネルがある場合にはその相手に通知する。   Since the encryption key used in the VPN tunnels 101 to 105 is secure, it is updated to a new key after a certain period of time. As shown in FIG. 4, when exchange of an encryption key for updating occurs in the VPN tunnel 101 established between the VPN apparatus 1-1 and the VPN apparatus 1-2, the newly received encryption If there is another VPN tunnel, the other party is notified of the encryption key.

図4に示す場合には、VPN装置1−2はVPN装置1−1から受け取った暗号化鍵をVPN装置1−3に通知する。VPN装置1−2からVPN装置1−1の新しい暗号化鍵を受け取ったVPN装置1−3は自分が持つデータを更新するとともに、他のVPNトンネル103,104の相手に受け取ったVPN装置1−1の暗号化鍵を通知する。この場合には、VPN装置1−4,1−5に通知される。   In the case shown in FIG. 4, the VPN apparatus 1-2 notifies the VPN apparatus 1-3 of the encryption key received from the VPN apparatus 1-1. The VPN apparatus 1-3 that has received the new encryption key of the VPN apparatus 1-1 from the VPN apparatus 1-2 updates its own data, and the VPN apparatus 1-received to the other VPN tunnels 103 and 104. 1 encryption key is notified. In this case, the VPN devices 1-4 and 1-5 are notified.

VPN装置1−2の新しい暗号化鍵も、上記のVPN装置1−1の場合と同様に、全てのVPN装置1−1〜1−5に通知される(図4のb1〜b6)。これによって、本実施例では、全てのVPN装置1−1〜1−5で最新の暗号化鍵情報を持つことが可能となる。   The new encryption key of the VPN device 1-2 is also notified to all the VPN devices 1-1 to 1-5 as in the case of the VPN device 1-1 (b1 to b6 in FIG. 4). Accordingly, in this embodiment, it is possible to have the latest encryption key information in all the VPN apparatuses 1-1 to 1-5.

次に、VPNトンネル101〜105を使った通信方法について、図6に示すVPNパケット送信処理と図5に示すVPNパケットスルー及び受信処理とを用いて説明する。   Next, a communication method using the VPN tunnels 101 to 105 will be described using the VPN packet transmission process shown in FIG. 6 and the VPN packet through and reception process shown in FIG.

VPNトンネル101〜105を使ってパケットを送信する場合、VPN装置1−1〜1−5は最初に送信先のIPアドレスからネットワークアドレスを求め、それを使用して図7に示す通信相手別の暗号化鍵から送信先のVPNユーザ2−1〜2−5が接続されているVPN装置1−1〜1−5の暗号化鍵を検索する(図6ステップS11)。   When packets are transmitted using the VPN tunnels 101 to 105, the VPN apparatuses 1-1 to 1-5 first obtain a network address from the IP address of the transmission destination, and use that to determine the communication partner-specific communication shown in FIG. The encryption keys of the VPN apparatuses 1-1 to 1-5 to which the destination VPN users 2-1 to 2-5 are connected are searched from the encryption keys (step S11 in FIG. 6).

暗号化鍵#1〜#3が登録されていた場合(図6ステップS12)、VPN装置1−1〜1−5はその暗号化鍵を使用して送信するデータを暗号化し(図6ステップS13)、図8に示す通信データヘッダ部のVPNスルーフラグに“1”を設定して送信する(図6ステップS14,S15)。   When the encryption keys # 1 to # 3 are registered (step S12 in FIG. 6), the VPN apparatuses 1-1 to 1-5 encrypt the data to be transmitted using the encryption key (step S13 in FIG. 6). ), “1” is set in the VPN through flag of the communication data header portion shown in FIG. 8 and transmitted (steps S14 and S15 in FIG. 6).

暗号化鍵が登録されてない場合(図6ステップS12)、VPN装置1−1〜1−5は送信に使用するVPNトンネル101〜105の相手VPN装置の暗号化鍵で送信するデータを暗号化し(図6ステップS16)、通信データヘッダ部のVPNスルーフラグに“0”を設定して送信する(図6ステップS17,S15)。   When the encryption key is not registered (step S12 in FIG. 6), the VPN apparatuses 1-1 to 1-5 encrypt the data to be transmitted with the encryption key of the partner VPN apparatus of the VPN tunnels 101 to 105 used for transmission. (Step S16 in FIG. 6), the VPN through flag in the communication data header is set to “0” and transmitted (Steps S17 and S15 in FIG. 6).

VPNトンネル101〜105を使ってパケットを受信したVPN装置1−1〜1−5は送信先のVPNユーザが配下にいない場合(図5ステップS1)、通信データのヘッダ部にあるVPNスルーフラグを参照して“1”であれば(図5ステップS4)、送信先VPNユーザに向かう次のVPNトンネルを使って受信したパケットをそのまま送信する(図5ステップS7)。   The VPN apparatuses 1-1 to 1-5 that have received the packets using the VPN tunnels 101 to 105 set the VPN through flag in the header of the communication data when the destination VPN user is not under their control (step S1 in FIG. 5). If it is “1” (step S4 in FIG. 5), the packet received using the next VPN tunnel toward the destination VPN user is transmitted as it is (step S7 in FIG. 5).

通信ヘッダ部のVPNスルーフラグが“0”の場合(図5ステップS4)、VPN装置1−1〜1−5は受信したデータを自装置から相手VPN装置に通知した暗号化鍵を用いて復号した後(図5ステップS5)、上述したVPNパケット送信処理を実行する(図5ステップS6)。   When the VPN through flag in the communication header portion is “0” (step S4 in FIG. 5), the VPN devices 1-1 to 1-5 decrypt the received data using the encryption key notified from the own device to the other VPN device. After that (step S5 in FIG. 5), the VPN packet transmission process described above is executed (step S6 in FIG. 5).

送信先VPNユーザが配下にいる場合(図5ステップS1)、VPN装置1−1〜1−5は相手VPN装置に通知した暗号化鍵で復号し(図5ステップS2)、その復号したデータをVPNユーザ2−1〜2−5に送信する(図5ステップS3)。   When the destination VPN user is under the control (step S1 in FIG. 5), the VPN devices 1-1 to 1-5 decrypt the encrypted data notified to the partner VPN device (step S2 in FIG. 5), and the decrypted data is displayed. Transmit to the VPN users 2-1 to 2-5 (step S3 in FIG. 5).

このように、本実施例では、VPNトンネル101〜105から受信したパケットを他のVPNトンネルへ送信する際に暗号データを復号して再度暗号化する処理を省略することができるため、複数のVPNトンネル101〜105を用いた通信において通信速度を向上させることができる。   As described above, in this embodiment, when a packet received from the VPN tunnels 101 to 105 is transmitted to another VPN tunnel, the process of decrypting the encrypted data and encrypting it again can be omitted. The communication speed can be improved in the communication using the tunnels 101 to 105.

本発明の一実施例によるVPNシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the VPN system by one Example of this invention. 本発明の一実施例によるVPN装置の構成を示すブロック図である。It is a block diagram which shows the structure of the VPN apparatus by one Example of this invention. 本発明の一実施例による暗号化鍵の交換方法を示すシーケンスチャートである。It is a sequence chart which shows the exchange method of the encryption key by one Example of this invention. 本発明の一実施例による暗号化鍵の交換方法を示すシーケンスチャートである。It is a sequence chart which shows the exchange method of the encryption key by one Example of this invention. 本発明の一実施例によるVPNパケットの送信処理を示すフローチャートである。It is a flowchart which shows the transmission process of the VPN packet by one Example of this invention. 本発明の一実施例によるVPNパケットのスルー及び受信処理を示すフローチャートである。4 is a flowchart illustrating VPN packet through and reception processing according to an embodiment of the present invention. 図2の通信相手別暗号化鍵保存用メモリの構成を示す図である。FIG. 3 is a diagram illustrating a configuration of a communication partner-specific encryption key storage memory of FIG. 2. 本発明の一実施例による送受信データのヘッダ上のVPNスルー表示を示す図である。It is a figure which shows the VPN through display on the header of the transmission / reception data by one Example of this invention.

符号の説明Explanation of symbols

1−1〜1−5 VPN装置
2−1〜2−5 VPNユーザ
11 暗号化鍵交換手段
12 暗号化鍵更新手段
13 VPNパケット送信手段
14 VPNパケット受信手段
15 VPNパケットスルー手段
16 通信相手別暗号化鍵保存用メモリ
100 IPネットワーク
101〜105 VPNトンネル
1-1 to 1-5 VPN device 2-1 to 2-5 VPN user
11 Encryption key exchange means
12 Encryption key update means
13 VPN packet transmission means
14 VPN packet receiving means
15 VPN packet through means
16 Communication key storage memory for each communication partner
100 IP network 101-105 VPN tunnel

Claims (15)

IP(Internet Protocol)ネットワーク上に配置されたVPN(Virtual Private Network)装置間にVPNトンネルを設定して前記VPN装置間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPNシステムであって、
前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知する手段を前記VPN装置に有することを特徴とするVPNシステム。 Data obtained by setting a VPN tunnel between VPN (Virtual Private Network) devices arranged on an IP (Internet Protocol) network, exchanging mutual encryption keys between the VPN devices, and encrypting with the encryption key Is transmitted to the connection destination via the VPN tunnel,
The VPN apparatus has means for notifying the connection destination through the other VPN tunnel of the encryption key exchanged with the connection destination when the VPN tunnel is established through the other VPN tunnel already established. VPN system. 前記VPNトンネルを介して受信した暗号化鍵を通信相手別の暗号化鍵としてその通信相手の情報とともに保持する保持手段を前記VPN装置に含むことを特徴とする請求項1記載のVPNシステム。   2. The VPN system according to claim 1, wherein the VPN apparatus includes holding means for holding the encryption key received via the VPN tunnel together with information on the communication partner as an encryption key for each communication partner. 前記VPN装置は、データの送信先に応じて前記保持手段に保持された前記通信相手別の暗号化鍵を用いて暗号化を行うことを特徴とする請求項2記載のVPNシステム。   3. The VPN system according to claim 2, wherein the VPN apparatus performs encryption using the encryption key for each communication partner held in the holding unit according to a data transmission destination. 前記VPN装置は、前記暗号化鍵の更新時に既に確立されているVPNトンネルを介してそのVPNトンネルによる接続先に更新された暗号化鍵を通知することを特徴とする請求項1から請求項3のいずれか記載のVPNシステム。   The VPN apparatus notifies the updated encryption key to a connection destination through the VPN tunnel through a VPN tunnel already established when the encryption key is updated. The VPN system according to any one of the above. 前記VPN装置は、IPsec(Internet Protocol security protocol)を用いることを特徴とする請求項1から請求項4のいずれか記載のVPNシステム。   The VPN system according to any one of claims 1 to 4, wherein the VPN apparatus uses IPsec (Internet Protocol security protocol). IP(Internet Protocol)ネットワーク上に配置され、他装置との間にVPN(Virtual Private Network)トンネルを設定してその他装置との間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPN装置であって、
前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知する手段を有することを特徴とするVPN装置。 Located on an IP (Internet Protocol) network, a VPN (Virtual Private Network) tunnel is set up with other devices, and mutual encryption keys are exchanged with other devices, and encryption is performed using the encryption key. A VPN apparatus that transmits the converted data to a connection destination through the VPN tunnel,
A VPN apparatus comprising: a means for notifying a connection destination through the other VPN tunnel of an encryption key exchanged with the connection destination at the time of establishment of the VPN tunnel through another VPN tunnel already established. 前記VPNトンネルを介して受信した暗号化鍵を通信相手別の暗号化鍵としてその通信相手の情報とともに保持する保持手段を含むことを特徴とする請求項6記載のVPN装置。   7. The VPN apparatus according to claim 6, further comprising holding means for holding the encryption key received via the VPN tunnel together with information on the communication partner as an encryption key for each communication partner. データの送信先に応じて前記保持手段に保持された前記通信相手別の暗号化鍵を用いて暗号化を行うことを特徴とする請求項7記載のVPN装置。   8. The VPN apparatus according to claim 7, wherein encryption is performed using an encryption key for each communication partner held in the holding unit according to a data transmission destination. 前記暗号化鍵の更新時に既に確立されているVPNトンネルを介してそのVPNトンネルによる接続先に更新された暗号化鍵を通知することを特徴とする請求項6から請求項8のいずれか記載のVPN装置。   9. The updated encryption key is notified to a connection destination through the VPN tunnel via the already established VPN tunnel when the encryption key is updated. VPN device. IPsec(Internet Protocol security protocol)を用いることを特徴とする請求項6から請求項9のいずれか記載のVPN装置。   The VPN apparatus according to any one of claims 6 to 9, wherein an IPsec (Internet Protocol security protocol) is used. IP(Internet Protocol)ネットワーク上に配置されたVPN(Virtual Private Network)装置間にVPNトンネルを設定して前記VPN装置間で相互の暗号化鍵を交換し、その暗号化鍵にて暗号化したデータを前記VPNトンネルを介して接続先に伝送するVPNシステムにおいて前記暗号化鍵を配布する暗号化鍵配布方法であって、前記VPN装置側に、前記VPNトンネルの確立時にその接続先と交換した暗号化鍵を既に確立されている他のVPNトンネルを介して前記他のVPNトンネルによる接続先に通知するステップを有することを特徴とする暗号化鍵配布方法。   Data obtained by setting a VPN tunnel between VPN (Virtual Private Network) devices arranged on an IP (Internet Protocol) network, exchanging mutual encryption keys between the VPN devices, and encrypting with the encryption key In the VPN system for transmitting the encryption key to the connection destination via the VPN tunnel, the encryption key distribution method distributing the encryption key to the VPN device side when the VPN tunnel is established. An encryption key distribution method comprising a step of notifying a connection destination through another VPN tunnel through another VPN tunnel that has already been established. 前記VPN装置が、前記VPNトンネルを介して受信した暗号化鍵を通信相手別の暗号化鍵としてその通信相手の情報とともに保持手段に保持することを特徴とする請求項11記載の暗号化鍵配布方法。   12. The encryption key distribution according to claim 11, wherein the VPN device holds the encryption key received through the VPN tunnel in a holding unit together with information of the communication partner as an encryption key for each communication partner. Method. 前記VPN装置が、データの送信先に応じて前記保持手段に保持された前記通信相手別の暗号化鍵を用いて暗号化を行うことを特徴とする請求項12記載の暗号化鍵配布方法。   13. The encryption key distribution method according to claim 12, wherein the VPN apparatus performs encryption using the encryption key for each communication partner held in the holding unit according to a data transmission destination. 前記VPN装置が、前記暗号化鍵の更新時に既に確立されているVPNトンネルを介してそのVPNトンネルによる接続先に更新された暗号化鍵を通知することを特徴とする請求項11から請求項13のいずれか記載の暗号化鍵配布方法。   The said VPN apparatus notifies the updated encryption key to the connection destination by the VPN tunnel through the VPN tunnel already established at the time of the said update of the encryption key. The encryption key distribution method described in any of the above. 前記VPN装置は、IPsec(Internet Protocol security protocol)を用いることを特徴とする請求項11から請求項14のいずれか記載の暗号化鍵配布方法。
The encryption key distribution method according to any one of claims 11 to 14, wherein the VPN device uses IPsec (Internet Protocol security protocol).
JP2004048865A 2004-02-25 2004-02-25 VPN system, VPN apparatus, and encryption key distribution method used therefor Pending JP2005244379A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004048865A JP2005244379A (en) 2004-02-25 2004-02-25 VPN system, VPN apparatus, and encryption key distribution method used therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004048865A JP2005244379A (en) 2004-02-25 2004-02-25 VPN system, VPN apparatus, and encryption key distribution method used therefor

Publications (1)

Publication Number Publication Date
JP2005244379A true JP2005244379A (en) 2005-09-08

Family

ID=35025678

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004048865A Pending JP2005244379A (en) 2004-02-25 2004-02-25 VPN system, VPN apparatus, and encryption key distribution method used therefor

Country Status (1)

Country Link
JP (1) JP2005244379A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009044664A (en) * 2007-08-10 2009-02-26 Fujitsu Ltd Program for controlling communication device and communication device
JP2013005110A (en) * 2011-06-14 2013-01-07 Ntt Communications Kk Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program
JP2013102529A (en) * 2013-01-28 2013-05-23 Fujitsu Ltd Encipherment execution control system
JP5316423B2 (en) * 2007-12-19 2013-10-16 富士通株式会社 Encryption implementation control system
US20140304503A1 (en) * 2009-11-25 2014-10-09 Security First Corp. Systems and methods for securing data in motion
US9177159B2 (en) 2004-10-25 2015-11-03 Security First Corp. Secure data parser method and system
US9411524B2 (en) 2010-05-28 2016-08-09 Security First Corp. Accelerator system for use with secure data storage
JP2018082439A (en) * 2017-12-05 2018-05-24 Kddi株式会社 COMMUNICATION SYSTEM, VEHICLE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM
US11212080B2 (en) 2016-11-18 2021-12-28 Kddi Corporation Communication system, vehicle, server device, communication method, and computer program
US12093412B2 (en) 2005-11-18 2024-09-17 Security First Innovations, Llc Secure data parser method and system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107082A (en) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> Cryptographic gateway device
JP2002374249A (en) * 2001-06-14 2002-12-26 Hitachi Ltd Dynamic virtual private network setup and release method
JP2005117511A (en) * 2003-10-10 2005-04-28 Nec Corp Quantum cipher communication system and quantum cipher key distributing method used therefor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107082A (en) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> Cryptographic gateway device
JP2002374249A (en) * 2001-06-14 2002-12-26 Hitachi Ltd Dynamic virtual private network setup and release method
JP2005117511A (en) * 2003-10-10 2005-04-28 Nec Corp Quantum cipher communication system and quantum cipher key distributing method used therefor

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9985932B2 (en) 2004-10-25 2018-05-29 Security First Corp. Secure data parser method and system
US9871770B2 (en) 2004-10-25 2018-01-16 Security First Corp. Secure data parser method and system
US11178116B2 (en) 2004-10-25 2021-11-16 Security First Corp. Secure data parser method and system
US9992170B2 (en) 2004-10-25 2018-06-05 Security First Corp. Secure data parser method and system
US9935923B2 (en) 2004-10-25 2018-04-03 Security First Corp. Secure data parser method and system
US9177159B2 (en) 2004-10-25 2015-11-03 Security First Corp. Secure data parser method and system
US9294445B2 (en) 2004-10-25 2016-03-22 Security First Corp. Secure data parser method and system
US9294444B2 (en) 2004-10-25 2016-03-22 Security First Corp. Systems and methods for cryptographically splitting and storing data
US9338140B2 (en) 2004-10-25 2016-05-10 Security First Corp. Secure data parser method and system
US9906500B2 (en) 2004-10-25 2018-02-27 Security First Corp. Secure data parser method and system
US12093412B2 (en) 2005-11-18 2024-09-17 Security First Innovations, Llc Secure data parser method and system
US12141299B2 (en) 2005-11-18 2024-11-12 Security First Innovations, Llc Secure data parser method and system
JP2009044664A (en) * 2007-08-10 2009-02-26 Fujitsu Ltd Program for controlling communication device and communication device
JP5316423B2 (en) * 2007-12-19 2013-10-16 富士通株式会社 Encryption implementation control system
US9516002B2 (en) * 2009-11-25 2016-12-06 Security First Corp. Systems and methods for securing data in motion
US20140304503A1 (en) * 2009-11-25 2014-10-09 Security First Corp. Systems and methods for securing data in motion
US9411524B2 (en) 2010-05-28 2016-08-09 Security First Corp. Accelerator system for use with secure data storage
JP2013005110A (en) * 2011-06-14 2013-01-07 Ntt Communications Kk Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program
JP2013102529A (en) * 2013-01-28 2013-05-23 Fujitsu Ltd Encipherment execution control system
US11212080B2 (en) 2016-11-18 2021-12-28 Kddi Corporation Communication system, vehicle, server device, communication method, and computer program
JP2018082439A (en) * 2017-12-05 2018-05-24 Kddi株式会社 COMMUNICATION SYSTEM, VEHICLE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM

Similar Documents

Publication Publication Date Title
KR100520116B1 (en) A method for discributing the key to mutual nodes to code a key on mobile ad-hoc network and network device using thereof
US7519184B2 (en) Wireless communication system
US8346949B2 (en) Method and system for sending a message through a secure connection
US20070271606A1 (en) Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
JP4081724B1 (en) Client terminal, relay server, communication system, and communication method
CN1756234B (en) Server, VPN client, VPN system
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
US8566590B2 (en) Encryption information transmitting terminal
JPH07107083A (en) Cryptographic communication system
JP2001517020A (en) Security measures for telecommunication network transmission
JP2015181233A (en) Switching facility and data processing method supporting link layer security transmission
KR20090102050A (en) Security method of mobile internet protocol based server
CN110191052B (en) Cross-protocol network transmission method and system
JP2011176395A (en) IPsec COMMUNICATION METHOD AND IPsec COMMUNICATION SYSTEM
JP2005244379A (en) VPN system, VPN apparatus, and encryption key distribution method used therefor
JP2006019975A (en) ENCRYPTED PACKET COMMUNICATION SYSTEM, RECEPTION DEVICE PROVIDED IN THE SAME, TRANSMISSION DEVICE, AND ENCRYPTION PACKET COMMUNICATION METHOD, RECEPTION METHOD, TRANSMISSION METHOD, RECEPTION PROGRAM, AND TRANSMISSION PROGRAM
JPH1168730A (en) Cryptographic gateway device
US7895648B1 (en) Reliably continuing a secure connection when the address of a machine at one end of the connection changes
JP4933286B2 (en) Encrypted packet communication system
JPH06318939A (en) Cipher communication system
WO2016134631A1 (en) Processing method for openflow message, and network element
JP2002344443A (en) Communication system and security association disconnection / continuation method
US20240106744A1 (en) Securing multiprotocol label switching (mpls) payloads
CN109361684B (en) Dynamic encryption method and system for VXLAN tunnel
KR100599199B1 (en) System and method for generating encryption key of wireless device in wireless local area network secure system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070111

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100330

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100413

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100817