JPH1141280A - Communication system, vpn repeater and recording medium - Google Patents
Communication system, vpn repeater and recording mediumInfo
- Publication number
- JPH1141280A JPH1141280A JP9190302A JP19030297A JPH1141280A JP H1141280 A JPH1141280 A JP H1141280A JP 9190302 A JP9190302 A JP 9190302A JP 19030297 A JP19030297 A JP 19030297A JP H1141280 A JPH1141280 A JP H1141280A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- encrypted message
- message
- devices
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、通信網上にVPN
(Virtual Private Network:仮想専用回線)を構築し
てデータ通信を行う通信システムに関し、特に、VPN
を構築するVPN装置の規格差を吸収する技術に関す
る。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a VPN on a communication network.
(Virtual Private Network: Virtual Private Network)
The present invention relates to a technology for absorbing a standard difference of a VPN device for constructing a VPN.
【0002】[0002]
【従来の技術】例えば広域ネットワーク環境を利用した
通信システムでは、不正侵入者に対する機密保護等を考
慮した高信頼のシステム構築及び運用管理が望まれてい
る。ここに広域ネットワーク環境とは、インターネット
等のような広域通信網(ネットワーク)上で送信先経路
を制御するルータを介して通信装置相互間のデータ通信
を行う環境をいう。ルータは、伝送対象電文の先頭に付
加された送信先と送信元のアドレスに基づいて送信先へ
の経路の最適な選択を行う装置である。このようなルー
タをベースにしたネットワークとしては、企業等の組織
内ネットワークや、インターネット・プロバイダのよう
な不特定多数の者に対してネットワーク接続環境を提供
するものもあり、その形態は多様化している。また、電
話やファクシミリ等に代わる低コストの新たな通信手段
として電子メールも定着してきている。このように、今
後、電話等の従来回線をネットワーク環境で代替したシ
ステム構築の要求は、急激に増加する傾向にある。2. Description of the Related Art For example, in a communication system using a wide area network environment, there is a demand for a highly reliable system construction and operation management in consideration of security of an intruder. Here, the wide area network environment refers to an environment in which data communication between communication devices is performed via a router that controls a destination path on a wide area communication network (network) such as the Internet. The router is a device that optimally selects a route to a destination based on a destination and a source address added to the head of a transmission target message. Such router-based networks include networks within organizations such as corporations and networks that provide a network connection environment to an unspecified number of persons such as Internet providers. I have. Also, e-mail has been established as a new low-cost communication means replacing telephone and facsimile. Thus, in the future, the demand for the construction of a system in which a conventional line such as a telephone is replaced by a network environment tends to increase sharply.
【0003】しかし、広域ネットワーク環境下でのデー
タ通信では、第三者によるデータ傍受やデータ改竄が容
易に起こりうるため、セキュリティ面で問題がある。そ
のため、例えばエレクトリックコマースの分野で使用さ
れる電子通貨のように、機密性の高いデータを通信媒体
を用いて伝送しあう場合は、別途、専用回線を敷設する
必要があった。そこで、最近は、データ暗号技術、認証
技術、対象データを隠蔽するカプセル化技術等を応用
し、広域ネットワーク上にVPNを構築してデータ通信
を行う技術が提案されている。However, in data communication in a wide area network environment, there is a problem in terms of security since data can be easily intercepted or falsified by a third party. Therefore, when transmitting highly confidential data using a communication medium such as an electronic currency used in the field of electric commerce, it is necessary to separately lay a dedicated line. Therefore, recently, a technology for applying a data encryption technology, an authentication technology, an encapsulation technology for concealing target data, and establishing a VPN on a wide area network to perform data communication has been proposed.
【0004】図5は、広域ネットワークである公衆網L
上にVPNを構築してデータ通信を行う従来の通信シス
テムの一例を示す概念図である。この通信システム2
は、データの送受信機能を備えたコンピュータ装置4
0,50、VPN装置41,51、ファイアウォール
(FW)42,52、及びルータ43,53を具備して
構成される。FW42,52は、外部からの不正なアク
セスに対する保護を特殊なソフトウェアで実現した一種
の障壁であり、公衆網Lのような広域ネットワークを使
用する環境においては必須なものとなっている。FIG. 5 shows a public network L which is a wide area network.
FIG. 1 is a conceptual diagram showing an example of a conventional communication system that performs data communication by constructing a VPN thereon. This communication system 2
Is a computer device 4 having a data transmission / reception function
0, 50, VPN devices 41, 51, firewalls (FW) 42, 52, and routers 43, 53. The FWs 42 and 52 are a kind of barrier that realizes protection against unauthorized external access by special software, and are essential in an environment using a wide area network such as the public network L.
【0005】通信システム4において、コンピュータ装
置40から遠隔地にある他のコンピュータ装置50に対
して電文送信を行う場合の手順は以下のようになる。ま
ず、送信元及び送信先のルータ43,53間で相互に認
証処理を行い、さらに、送信元及び送信先のVPN装置
41,51間で、暗号鍵の相互交換を行う。そして、送
信元のVPN装置41において、送信先のVPN装置4
1の暗号鍵を用いて電文を暗号化して送信する。一方、
送信先のVPN装置51では、暗号化された電文を受信
するとともに、当該電文を送信元のVPN装置51の暗
号鍵で復号化してコンピュータ装置50に転送する。[0005] In the communication system 4, a procedure for transmitting a message from the computer device 40 to another computer device 50 located at a remote place is as follows. First, mutual authentication processing is performed between the source and destination routers 43 and 53, and further, mutual exchange of encryption keys is performed between the source and destination VPN devices 41 and 51. Then, in the source VPN device 41, the destination VPN device 4
The message is encrypted using the first encryption key and transmitted. on the other hand,
The destination VPN device 51 receives the encrypted message, decrypts the message with the encryption key of the source VPN device 51, and transfers the message to the computer device 50.
【0006】なお、VPN装置41,51には、他のV
PN装置を相互に確認する認証機能、暗号化のための暗
号鍵交換機能、電文の暗号化・復号化機能のほか、ルー
タとしての機能を具備したものもある。これらの機能
は、メーカによる独自方式、或いは標準化方式によって
実現されている。また、VPN装置によっては、暗号鍵
交換機能を有しないものもあり、必ずしも統一された規
格に準拠していないのが現状である。Note that the VPN devices 41 and 51 have other V
Some have a function as a router in addition to an authentication function for mutually confirming PN devices, an encryption key exchange function for encryption, an encryption / decryption function for electronic messages. These functions are realized by a manufacturer's original method or a standardized method. Also, some VPN devices do not have an encryption key exchange function, and currently do not always conform to a unified standard.
【0007】[0007]
【発明が解決しようとする課題】ところで、VPN装置
41,51に具備される認証機能、暗号鍵交換機能、暗
号化・復号化等の各機能における規格等の標準化は進め
られてはいるが、上述のように、現在は、メーカ毎の独
自の規格で各機能が実現されて製品化されているため、
異なるメーカの製品間ではVPNを構築することができ
ない。そのため、例えば既にVPN装置を導入している
複数の異業種企業が合同のVPNによるネットワーク環
境(以下、VPN環境)を構築しようとする場合、同一
メーカの製品を使用すれば問題なくVPN環境が構築可
能であるが、異なるメーカの製品間では、そのままでは
VPN環境の構築は不可能である。The standardization of the authentication functions, encryption key exchange functions, encryption / decryption and other functions provided in the VPN devices 41 and 51 has been advanced. As mentioned above, at present, each function is realized and commercialized with its own standard,
A VPN cannot be constructed between products of different manufacturers. For this reason, for example, when a plurality of companies of different types of businesses that have already introduced a VPN device intend to construct a joint VPN network environment (hereinafter, referred to as a VPN environment), the VPN environment can be constructed without any problem by using the same manufacturer's products. Although it is possible, it is impossible to construct a VPN environment between products of different manufacturers as it is.
【0008】そこで本発明の課題は、異種のVPN装置
を使用してもVPN環境を構築できる、改良された通信
システムを提供することにある。本発明の他の課題は、
異種のVPN装置を使用した通信システムにおいて、V
PN環境を容易に構築できるVPN中継装置、及びこの
VPN中継装置を汎用のコンピュータ装置で実現するた
めの記録媒体を提供することにある。It is an object of the present invention to provide an improved communication system that can construct a VPN environment even if different types of VPN devices are used. Another subject of the present invention is:
In a communication system using different types of VPN devices, V
An object of the present invention is to provide a VPN relay device that can easily construct a PN environment, and a recording medium for realizing the VPN relay device with a general-purpose computer device.
【0009】[0009]
【課題を解決するための手段】上記課題を解決する本発
明の通信システムは、それぞれ同一規格の対応VPN装
置との協働により通信網上にVPNを構築する複数のV
PN装置と、前記複数のVPN装置に対応するすべての
対応VPN装置を具備したVPN中継装置とを含み、前
記VPN中継装置が、電文送信元のVPN装置との間に
第1VPNを構築して暗号電文を受信する手段と、受信
した暗号電文に含まれる送信先情報を解読して送信先の
VPN装置を特定するとともに、該送信元のVPN装置
との間に第2VPNを構築する手段と、前記受信した暗
号電文を第2VPN用の暗号電文に変換して第2VPN
に送出する手段とを備えて、各VPN装置間の電文送信
の中継を行うように構成されることを特徴とする。A communication system according to the present invention, which solves the above-mentioned problems, comprises a plurality of VPNs each of which constructs a VPN on a communication network in cooperation with a corresponding VPN device of the same standard.
A VPN device comprising a PN device and a VPN relay device including all of the corresponding VPN devices corresponding to the plurality of VPN devices, wherein the VPN relay device establishes a first VPN between the VPN device of the message transmission source and encrypts the first VPN. Means for receiving a message, means for decrypting the destination information contained in the received encrypted message to identify the destination VPN device, and means for establishing a second VPN with the source VPN device; The received encrypted message is converted into an encrypted message for the second VPN and the second VPN
, And relaying the message transmission between the VPN devices.
【0010】なお、前記VPN中継装置の前記暗号電文
の入出力インタフェース部分には、ファイアウォールが
介在するようにする。[0010] It should be noted that a firewall is interposed in the input / output interface of the encrypted message in the VPN relay apparatus.
【0011】上記他の課題を解決する本発明のVPN中
継装置は、それぞれ同一規格のVPN装置との協働によ
り通信網上にVPNを構築する複数の対応VPN装置
と、電文送信元となる第1VPN装置との間に第1VP
N、電文送信先となる第2VPN装置との間に第2VP
Nを、それぞれ該当する対応VPN装置を用いて構築
し、第1VPNを通じて受信した第1VPN装置からの
暗号電文を第2VPN用の暗号電文に変換するととも
に、変換した暗号電文を第2VPNを通じて第2VPN
装置へ送信する経路制御手段と、を有することを特徴と
する。暗号電文の変換は、例えば前記第1VPNを通じ
て受信した暗号電文を前記第1VPN装置の暗号鍵で復
号化し、これにより得られた復号電文を前記第2VPN
装置の暗号鍵で暗号化することにより行う。According to another aspect of the present invention, there is provided a VPN relay apparatus which cooperates with a VPN apparatus of the same standard to construct a VPN on a communication network, and a second VPN apparatus serving as a message transmission source. 1st VP between 1VPN device
N, the second VP between the second VPN device as the message transmission destination
N is constructed using the corresponding corresponding VPN device, and the encrypted message received from the first VPN device through the first VPN is converted into the encrypted message for the second VPN, and the converted encrypted message is converted into the second VPN through the second VPN.
Routing control means for transmitting to the device. In the conversion of the encrypted message, for example, the encrypted message received through the first VPN is decrypted with the encryption key of the first VPN device, and the decrypted message obtained by the decryption is converted to the second VPN.
This is performed by encrypting with the encryption key of the device.
【0012】なお、前記複数の対応VPN装置は、それ
ぞれ異なる認証手法、暗号鍵の交換手法、及び暗号化手
法に基づいてVPN装置との間にVPNを構築するもの
であり、前記経路制御手段は、予め用意されたこれらの
対応VPN装置から該当する装置を選択して前記第1V
PN及び第2VPNを構築する。[0012] The plurality of corresponding VPN devices construct a VPN with the VPN device based on different authentication methods, encryption key exchange methods, and encryption methods. , A corresponding device is selected from the corresponding VPN devices prepared in advance, and the first V
Build a PN and a second VPN.
【0013】上記他の課題を解決する本発明の記録媒体
は、それぞれ対応VPN装置との協働により通信網上に
VPNを構築するVPN装置に相互通信可能に接続され
たコンピュータ装置が読み取り可能なプログラムを記録
して成る記録媒体であって、前記プログラムが、下記の
処理を当該コンピュータ装置に実行させるものである。 (1)電文送信元となる第1VPN装置との間に第1V
PNを構築して暗号電文を受信する処理、(2)受信し
た暗号電文に含まれる送信先情報を解読して送信先の通
信装置を特定するとともに、該送信先となる第2VPN
装置との間に第2VPNを構築する処理、(3)前記受
信した暗号電文を第2VPN用の暗号電文に変換して第
2VPNに送出する処理。[0013] The recording medium of the present invention for solving the above-mentioned other problems is readable by a computer device communicably connected to a VPN device that constructs a VPN on a communication network in cooperation with a corresponding VPN device. A recording medium on which a program is recorded, wherein the program causes the computer device to execute the following processing. (1) The first voltage between the first VPN device serving as a message transmission source and the first VPN device
A process of constructing a PN to receive an encrypted message, (2) decoding destination information included in the received encrypted message to identify a communication device of the destination, and a second VPN serving as the destination
(3) a process of constructing a second VPN with the device, and (3) a process of converting the received encrypted message into a second VPN encrypted message and sending it to the second VPN.
【0014】[0014]
【発明の実施の形態】以下、本発明を広域ネットワーク
による通信システムに適用した場合の実施の形態を、図
面を参照して詳細に説明する。図1は、本実施形態の通
信システムの機能ブロック図である。この通信システム
1は、電文の送受信を行う複数のクライアント20A,
20Bと、本発明のVPN中継装置であるVPN管理サ
ーバ10とを公衆網Lを介して双方向通信可能に接続さ
れて構成される。各クライアント20A,20Bは、F
W21A,21B及びVPN装置22A,22Bを具備
する通信装置である。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiments in which the present invention is applied to a communication system using a wide area network will be described below in detail with reference to the drawings. FIG. 1 is a functional block diagram of the communication system of the present embodiment. The communication system 1 includes a plurality of clients 20A that transmit and receive a message.
20B and a VPN management server 10, which is a VPN relay device of the present invention, are connected via a public network L so as to be capable of two-way communication. Each client 20A, 20B has F
It is a communication device including W21A, 21B and VPN devices 22A, 22B.
【0015】VPN管理サーバ10は、それぞれ異なる
メーカにより独自の規格で製品化された複数の対応VP
N装置15A,15B,・・・15X,15Y(以下、
特定の対応VPN装置を指す場合以外は、サフィックス
を除去した符号15を用いる)が接続された汎用のコン
ピュータ装置と、このコンピュータ装置に読み取られて
実行されたときに、前述のFW11、VPN判定部1
2、VPN選択部13、及びVPN管理部14の機能を
実現するコンピュータプログラムとからなる。このコン
ピュータプログラムは、通常、コンピュータ装置の内部
記憶装置あるいは外部記憶装置に格納され、随時読み取
られて実行されるようになっているが、コンピュータ装
置とは分離可能な記録媒体、例えばCD−ROMやFD
等に格納され、使用時に上記内部記憶装置または外部記
憶装置にインストールされて随時実行に供されるもので
あってもよい。The VPN management server 10 includes a plurality of compatible VPs manufactured by different manufacturers according to their own standards.
N devices 15A, 15B,... 15X, 15Y (hereinafter, referred to as
Unless it refers to a specific corresponding VPN device, a suffix-removed code 15 is used) and the general-purpose computer device connected to the above-described FW11 and the VPN determination unit when read and executed by the computer device. 1
2, a computer program for realizing the functions of the VPN selector 13 and the VPN manager 14. This computer program is usually stored in an internal storage device or an external storage device of the computer device, and is read and executed as needed. However, a recording medium separable from the computer device, for example, a CD-ROM or FD
Or the like, and may be installed in the internal storage device or the external storage device at the time of use and provided for execution at any time.
【0016】なお、本実施形態において、VPN管理サ
ーバ10及び各クライアント20は、各々、既存のルー
タに相当する通信制御手段を具備しているものとする。
また、本実施形態において、各対応VPN装置15は、
製品パッケージとして独立に存在し、それぞれ独自の規
格によってVPN構築機能を発揮する場合と、VPN管
理サーバ10の内部あるいは外部記憶装置に複数且つ異
種のVPNソフトウェア(プログラム)を格納してお
き、該当するVPNソフトウエアが随時読み出されて実
行されることによってVPN構築機能を発揮する場合の
いずれであってもよい。In the present embodiment, it is assumed that the VPN management server 10 and each client 20 each have communication control means corresponding to an existing router.
Further, in the present embodiment, each corresponding VPN device 15
A plurality of different kinds of VPN software (programs) are stored in the VPN management server 10 or in an external storage device, and exist independently as product packages and exhibit a VPN construction function according to their own standards. The present invention may be applied to a case where the VPN software is displayed and executed at any time to perform the VPN construction function.
【0017】VPN判定部12は、送信元または送信先
の各VPN装置22A,22Bに対応するサーバ側の対
応VPN装置15が具備されているかどうかを判定する
ものである。VPN選択部13は、VPN管理サーバ1
0が具備している複数の対応VPN装置15から、送信
元または送信先のVPN装置22A,22Bに対応する
ものを選択するものである。VPN管理部14は、個々
の対応VPN装置15の統括制御、認証処理、その他の
データ管理を行うものである。The VPN judging section 12 judges whether or not the corresponding VPN device 15 on the server side corresponding to each of the VPN devices 22A and 22B of the transmission source or the transmission destination is provided. The VPN selector 13 is a VPN management server 1
In this case, a device corresponding to the source or destination VPN device 22A, 22B is selected from the plurality of corresponding VPN devices 15 included in the device 0. The VPN management unit 14 performs overall control of each corresponding VPN device 15, authentication processing, and other data management.
【0018】次に、本実施形態の通信システム1におい
て、クライアント20A,20B間で暗号電文の送受を
行う場合の処理手順を図2を参照して説明する。この例
では、クライアント20AではVPN装置X(22A)
を使用し、クライアント20B側では、VPN装置Xと
規格が異なるVPN装置Y(22B)を使用するものと
する。また、送信対象となる電文に付与されるアドレス
情報には、送信先及び送信元のVPN装置X,Y(15
X,22A,22B,15Y)によるアドレス情報が使
用され、電文に付与される元来のアドレス情報及びデー
タは、VPN上では暗号化の対象となる。Next, in the communication system 1 of the present embodiment, a processing procedure for transmitting and receiving an encrypted message between the clients 20A and 20B will be described with reference to FIG. In this example, in the client 20A, the VPN device X (22A)
And the client 20B uses a VPN device Y (22B) having a different standard from that of the VPN device X. The address information given to the message to be transmitted includes the destination and source VPN devices X and Y (15
X, 22A, 22B, 15Y), and the original address information and data added to the message are encrypted on the VPN.
【0019】いま、クライアント20Aから図3(a)
に示すフォーマットの電文がVPN管理サーバ10に向
けて送信されたとする(図1の(1))。VPN管理サ
ーバ10は、FW11を介して受信した電文をVPN判
定部12に送る(ステップS101)。VPN判定部1
2は、この電文に付与されたアドレス情報から、クライ
アント20AのVPN装置22Aと協働してVPNを構
築するための対応VPN装置がサーバ内に具備されてい
るか否か、つまり、VPN装置Xと対になる対応VPN
装置Xが存在するか否かを判定する(ステップS10
2)。Now, from the client 20A, FIG.
Is transmitted to the VPN management server 10 ((1) in FIG. 1). The VPN management server 10 sends the message received via the FW 11 to the VPN determination unit 12 (Step S101). VPN determination unit 1
2 is based on the address information given to the message, whether or not a corresponding VPN device for constructing a VPN in cooperation with the VPN device 22A of the client 20A is provided in the server, that is, the VPN device X Corresponding VPN to be paired
It is determined whether the device X exists (step S10).
2).
【0020】対になる対応VPN装置XがVPN管理サ
ーバ10に具備されている場合は、VPN選択部12
で、複数のVPN15から該当するものを選択する。こ
の場合の選択方法としては、具体的には、VPN管理サ
ーバ10に具備されている複数のVPN装置15に関す
る情報を予めVPN選択部12に保持しておき、当該情
報と電文に付与されるアドレス情報とを比較し、合致す
るものを選択するようにする。本例では、VPN装置X
(22A)と対になる対応VPN装置X(15X)が存
在しているので、これを選択する。この選択情報は、V
PN管理部14に入力される。When the corresponding VPN device X to be paired is provided in the VPN management server 10, the VPN selection unit 12
Then, a corresponding one is selected from the plurality of VPNs 15. As a selection method in this case, specifically, information on a plurality of VPN devices 15 provided in the VPN management server 10 is stored in the VPN selection unit 12 in advance, and the information and the address given to the message are stored. Compare with the information and select the one that matches. In this example, the VPN device X
Since there is a corresponding VPN device X (15X) paired with (22A), this is selected. This selection information
It is input to the PN management unit 14.
【0021】VPN管理部14は、選択した対応VPN
装置15Xを起動させ、VPN装置22Aとの間にVP
Nを構築する(ステップS102:Yes、S103)。
そして、受信した電文の暗号化部分を、VPN装置15
Xの暗号鍵(VPN装置22Aとの間で交換した暗号
鍵)で復号化し(ステップS104)、図3(b)のよ
うなフォーマットの復号電文を得る。この復号電文から
元来の送信先のクライアント20Bを特定するととも
に、VPN判定部12でそのクライアントのVPN装置
Y(22B)と対になる対応VPN装置YがVPN管理
サーバ10に具備されているか否かを判定する(ステッ
プS105)。対になる対応VPN装置YがVPN管理
サーバ10に具備されている場合は、VPN選択部12
で、該当するものを選択し、VPN管理部14がその対
応VPN装置Y(15Y)を起動する(ステップS10
5:Yes、S106)。そして、対応VPN装置15Y
に復号電文を渡して(図1の(2))これを対応VPN
装置の暗号鍵(VPN装置22Bとの間で交換した暗号
鍵)で暗号化し、さらにこの暗号電文に送信先及び送信
元のアドレス情報を付与してFW11を介してクライア
ント20Bに送信する(ステップS107)。このとき
の電文フォーマットは図3(c)に示すとおりである。
これにより、クライアント20Bは、クライアント20
Aからの電文を取得することができる。なお、ステップ
S102及びステップS105において、対応VPN装
置X,YがVPN管理サーバ10に具備されていない場
合は、送信元のクライアント20Aにエラー通知を行う
(ステップS108)。以上の処理をすべての電文につ
いて繰り返す(ステップS109)。The VPN management unit 14 stores the selected corresponding VPN.
Activate the device 15X and connect the VP to the VPN device 22A.
N is constructed (step S102: Yes, S103).
Then, the encrypted part of the received message is transmitted to the VPN device 15.
Decryption is performed with the X encryption key (the encryption key exchanged with the VPN device 22A) (step S104), and a decrypted message in a format as shown in FIG. 3B is obtained. The original transmission destination client 20B is specified from the decrypted message, and the VPN determination unit 12 determines whether or not the VPN management server 10 has a corresponding VPN device Y to be paired with the VPN device Y (22B) of the client. Is determined (step S105). When the corresponding VPN device Y to be paired is provided in the VPN management server 10, the VPN selection unit 12
Then, the corresponding one is selected, and the VPN management unit 14 activates the corresponding VPN device Y (15Y) (step S10).
5: Yes, S106). Then, the corresponding VPN device 15Y
To the corresponding VPN ((2) in FIG. 1).
The encrypted message is encrypted with the encryption key of the device (the encryption key exchanged with the VPN device 22B), and the destination information and the address information of the transmission source are added to the encrypted message and transmitted to the client 20B via the FW 11 (step S107). ). The message format at this time is as shown in FIG.
As a result, the client 20B
The message from A can be obtained. If the corresponding VPN devices X and Y are not provided in the VPN management server 10 in steps S102 and S105, an error notification is sent to the client 20A of the transmission source (step S108). The above processing is repeated for all messages (step S109).
【0022】図4は、本実施形態の通信システム1の概
念図である。通常、VPNは、通信を行うクライアント
間に直接構築されるが、本実施形態では、図4に示され
るように、複数地点A〜Dに存在するクライアントとV
PN管理サーバ10との間にそれぞれVPNを構築し、
クライアント間の通信は、常にVPN管理サーバ10を
経由してこのVPNを通じて行うようにしている。VP
N管理サーバ10は、各地点のクライアント側のVPN
装置に対応する複数の対応VPN装置を具備しており、
各クライアント側のVPN装置間の規格差は、このVP
N管理サーバ10で吸収されるので、送信元のクライア
ントは、送信先のクライアント側のVPN装置の規格を
意識することなく、電文を送信することが可能になる。FIG. 4 is a conceptual diagram of the communication system 1 of the present embodiment. Normally, a VPN is directly established between clients performing communication. In the present embodiment, as shown in FIG.
VPNs are respectively constructed with the PN management server 10,
Communication between clients is always performed via the VPN via the VPN management server 10. VP
N management server 10 is a client-side VPN at each point.
A plurality of corresponding VPN devices corresponding to the device,
The standard difference between the VPN devices on each client side is
Since the transmission is absorbed by the N management server 10, the transmission source client can transmit the message without being conscious of the standard of the VPN device on the transmission destination client side.
【0023】このように、本実施形態の通信システム1
では、VPN管理サーバ10が、受信した暗号電文を送
信元のVPN装置22Aと対になる対応VPN装置15
Xで復号化するとともに、復号電文を送信先のVPN装
置22Bと対になる対応VPN装置15Yで暗号化して
VPN装置22Bに送信するので、異種のVPN装置間
の認証機能、暗号鍵交換機能、暗号化・復号化機能等の
互換が可能となる。また、対応VPN装置によって異な
る暗号鍵を用いた復号化及び暗号化を行うので、機密保
護能力の低下も防止することができる。従って、複数地
点間において異なるメーカのVPN装置により構築され
た異種VPNの使用が可能になり、従来の問題点が解消
される。As described above, the communication system 1 of the present embodiment
Then, the VPN management server 10 transmits the received encrypted message to the corresponding VPN device 15 paired with the VPN device 22A of the transmission source.
X and the decrypted message is encrypted by the corresponding VPN device 15Y paired with the destination VPN device 22B and transmitted to the VPN device 22B, so that the authentication function between different types of VPN devices, the encryption key exchange function, Compatibility of encryption / decryption functions and the like becomes possible. Further, since decryption and encryption are performed using different encryption keys depending on the corresponding VPN device, it is possible to prevent a decrease in security protection capability. Therefore, it is possible to use different types of VPNs constructed by VPN devices of different manufacturers between a plurality of points, and the conventional problems are solved.
【0024】なお、本実施形態では、便宜上、クライア
ント20Aからクライアント20Bへ、異なるVPN装
置X,Y(22A,22B)を使用して暗号電文を送信
する通信システムの例を説明したが、クライアント20
Bからクライアント20Aに暗号電文を送信する場合、
あるいは、各クライアント20A,20BのVPN装置
が同一規格の場合も同様の手順で電文送信が可能にな
る。In this embodiment, an example of a communication system for transmitting an encrypted message using different VPN apparatuses X and Y (22A and 22B) from the client 20A to the client 20B has been described for convenience.
When transmitting an encrypted message from B to the client 20A,
Alternatively, even when the VPN devices of the clients 20A and 20B have the same standard, message transmission can be performed in the same procedure.
【0025】[0025]
【発明の効果】以上の説明から明らかなように、本発明
によれば、VPN管理サーバにおいて、送信元及び送信
先のVPN装置との間にVPNが構築する対応VPN装
置が選択されて電文送信の中継が行われるので、異種の
VPN装置を使用した場合であってもVPN環境の構築
が可能となる効果がある。As is apparent from the above description, according to the present invention, in the VPN management server, the corresponding VPN device constructed by the VPN between the source and destination VPN devices is selected and the message is transmitted. Is carried out, so that there is an effect that a VPN environment can be constructed even when different types of VPN devices are used.
【図1】本発明の一実施形態に係る通信システムの機能
ブロック図。FIG. 1 is a functional block diagram of a communication system according to an embodiment of the present invention.
【図2】VPN管理サーバにおける電文中継の手順説明
図。FIG. 2 is an explanatory diagram of a message relay procedure in the VPN management server.
【図3】(a)は送信元のクライアントからVPN管理
サーバに送信される電文のフォーマット、(b)はVP
N管理サーバ内で復号された電文のフォーマット、
(c)はVPN管理サーバから元来の送信先となるクラ
イアントに送信される電文のフォーマットを示す図。FIG. 3A is a format of a message transmitted from a transmission source client to a VPN management server, and FIG.
N format of the message decrypted in the management server,
FIG. 4C is a diagram illustrating a format of a message transmitted from the VPN management server to the client that is the original transmission destination.
【図4】本実施形態の通信システムにおける動作の概念
説明図。FIG. 4 is a conceptual explanatory diagram of an operation in the communication system of the embodiment.
【図5】VPNを使用した従来型の通信システムにおけ
る機能ブロック図。FIG. 5 is a functional block diagram of a conventional communication system using a VPN.
1 通信システム 10 VPN管理サーバ 11,21A,21B ファイアウォール(FW) 12 VPN判定部 13 VPN選択部 14 VPN管理部 15A,15B,・・・15X,15Y 対応VPN装置 20A,20B クライアント 22A,22B VPN装置 DESCRIPTION OF SYMBOLS 1 Communication system 10 VPN management server 11, 21A, 21B Firewall (FW) 12 VPN judgment part 13 VPN selection part 14 VPN management part 15A, 15B, ... 15X, 15Y VPN apparatus 20A, 20B Client 22A, 22B VPN apparatus
Claims (6)
協働により通信網上にVPNを構築する複数のVPN装
置と、前記複数のVPN装置に対応するすべての対応V
PN装置を具備したVPN中継装置とを含み、 前記VPN中継装置が、 電文送信元のVPN装置との間に第1VPNを構築して
暗号電文を受信する手段と、受信した暗号電文に含まれ
る送信先情報を解読して送信先のVPN装置を特定する
とともに、該送信元のVPN装置との間に第2VPNを
構築する手段と、前記受信した暗号電文を第2VPN用
の暗号電文に変換して第2VPNに送出する手段とを備
えて、各VPN装置における電文送信の中継を行うよう
に構成されていることを特徴とする通信システム。1. A plurality of VPN devices, each of which constructs a VPN on a communication network in cooperation with a corresponding VPN device of the same standard, and all the corresponding VPNs corresponding to the plurality of VPN devices.
A VPN relay device having a PN device, wherein the VPN relay device establishes a first VPN with the VPN device of the message transmission source to receive the encrypted message, and transmits the encrypted message contained in the received encrypted message. Means for decrypting the destination information to identify the destination VPN device, constructing a second VPN with the source VPN device, and converting the received encrypted message into a second VPN encrypted message. A communication system comprising: means for sending to a second VPN, and configured to relay message transmission in each VPN device.
出力インタフェース部分にファイアウォールが介在する
ことを特徴とする請求項1記載の通信システム。2. The communication system according to claim 1, wherein a firewall intervenes in an input / output interface portion of the encrypted message of the VPN relay device.
により通信網上にVPNを構築する複数の対応VPN装
置と、 電文送信元となる第1VPN装置との間に第1VPN、
電文送信先となる第2VPN装置との間に第2VPN
を、それぞれ該当する対応VPN装置を用いて構築し、
第1VPNを通じて受信した第1VPN装置からの暗号
電文を第2VPN用の暗号電文に変換するとともに、変
換した暗号電文を第2VPNを通じて第2VPN装置へ
送信する経路制御手段と、 を有することを特徴とするVPN中継装置。3. A first VPN, which is provided between a plurality of corresponding VPN devices that construct a VPN on a communication network in cooperation with VPN devices of the same standard, and a first VPN device serving as a message transmission source.
The second VPN between the second VPN device as the message transmission destination
Are constructed using the corresponding corresponding VPN devices, respectively.
Routing control means for converting an encrypted message received from the first VPN device through the first VPN into an encrypted message for the second VPN, and transmitting the converted encrypted message to the second VPN device through the second VPN. VPN relay device.
異なる認証手法、暗号鍵の交換手法、及び暗号化手法に
基づいてVPN装置との間にVPNを構築するものであ
り、前記経路制御手段は、予め用意されたこれらの対応
VPN装置から該当する装置を選択して前記第1VPN
及び第2VPNを構築することを特徴とする請求項3記
載のVPN中継装置。4. The plurality of corresponding VPN devices construct a VPN with the VPN device based on different authentication methods, encryption key exchange methods, and encryption methods, respectively, and the route control means includes: , A corresponding device is selected from the corresponding VPN devices prepared in advance, and the first VPN is selected.
4. The VPN relay device according to claim 3, wherein a second VPN is constructed.
通じて受信した暗号電文を前記第1VPN装置の暗号鍵
で復号化し、これにより得られた復号電文を前記第2V
PN装置の暗号鍵で暗号化して第2VPNへ送出するこ
とを特徴とする請求項3または4記載のVPN中継装
置。5. The path control means decrypts an encrypted message received through the first VPN with an encryption key of the first VPN device, and converts a decrypted message obtained by the decryption into the second VPN.
5. The VPN relay device according to claim 3, wherein the VPN relay device encrypts the data with the encryption key of the PN device and sends the encrypted data to the second VPN.
通信網上にVPNを構築するVPN装置に相互通信可能
に接続されたコンピュータ装置が読み取り可能なプログ
ラムを記録して成る記録媒体であって、 前記プログラムが、 電文送信元となる第1VPN装置との間に第1VPNを
構築して暗号電文を受信する処理、 受信した暗号電文に含まれる送信先情報を解読して送信
先の通信装置を特定するとともに、該送信先となる第2
VPN装置との間に第2VPNを構築する処理、及び、 前記受信した暗号電文を第2VPN用の暗号電文に変換
して第2VPNに送出する処理を前記コンピュータ装置
に実行させるものであることを特徴とする記録媒体。6. A recording medium comprising a computer readable program recorded in a computer device communicably connected to a VPN device which constructs a VPN on a communication network in cooperation with a corresponding VPN device. A process of constructing a first VPN with the first VPN device serving as a message transmission source and receiving an encrypted message; decoding the destination information included in the received encrypted message to specify a communication device of the destination; And the second destination
The computer device is configured to execute a process of constructing a second VPN with a VPN device, and a process of converting the received encrypted message to a second VPN encrypted message and sending the encrypted message to the second VPN. Recording medium.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9190302A JPH1141280A (en) | 1997-07-15 | 1997-07-15 | Communication system, vpn repeater and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9190302A JPH1141280A (en) | 1997-07-15 | 1997-07-15 | Communication system, vpn repeater and recording medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH1141280A true JPH1141280A (en) | 1999-02-12 |
Family
ID=16255903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9190302A Pending JPH1141280A (en) | 1997-07-15 | 1997-07-15 | Communication system, vpn repeater and recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH1141280A (en) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002185540A (en) * | 2001-10-22 | 2002-06-28 | Mitsubishi Electric Corp | Encoder, encryption device and decoder |
| JP2003505978A (en) * | 1999-07-23 | 2003-02-12 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | Data distribution |
| JP2004135176A (en) * | 2002-10-11 | 2004-04-30 | Kubota Systems Inc | Communication system |
| JP2004533749A (en) * | 2001-04-12 | 2004-11-04 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | Hybrid network |
| JP2005509977A (en) * | 2001-11-20 | 2005-04-14 | センビッド・インク | System for accessing and controlling a controllable device via a network |
| JP2007129481A (en) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | Packet filtering device and packet filtering program |
| JP2008104237A (en) * | 2007-12-27 | 2008-05-01 | Hitachi Ltd | Data transfer apparatus |
| JP2008118702A (en) * | 2007-12-27 | 2008-05-22 | Hitachi Ltd | Data transfer device method, and system |
| JP2010117988A (en) * | 2008-11-14 | 2010-05-27 | Aya Echo:Kk | System and method for high-level authentication and formation of secure virtual network |
| JP2010141917A (en) * | 2010-02-15 | 2010-06-24 | Hitachi Ltd | Apparatus for transferring data |
| US7881311B2 (en) | 1999-05-27 | 2011-02-01 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| JP2018078518A (en) * | 2016-11-11 | 2018-05-17 | ローレル精機株式会社 | Data management system and data management method |
-
1997
- 1997-07-15 JP JP9190302A patent/JPH1141280A/en active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7881311B2 (en) | 1999-05-27 | 2011-02-01 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| US9124531B2 (en) | 1999-05-27 | 2015-09-01 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| US8582587B2 (en) | 1999-05-27 | 2013-11-12 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| US7983281B2 (en) | 1999-05-27 | 2011-07-19 | Hitachi, Ltd. | VPN composing method, interwork router, packet communication method, data communication apparatus, and packet relaying apparatus |
| JP2003505978A (en) * | 1999-07-23 | 2003-02-12 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | Data distribution |
| JP4723141B2 (en) * | 1999-07-23 | 2011-07-13 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | Data distribution |
| JP2004533749A (en) * | 2001-04-12 | 2004-11-04 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | Hybrid network |
| JP2002185540A (en) * | 2001-10-22 | 2002-06-28 | Mitsubishi Electric Corp | Encoder, encryption device and decoder |
| JP2005509977A (en) * | 2001-11-20 | 2005-04-14 | センビッド・インク | System for accessing and controlling a controllable device via a network |
| JP4667747B2 (en) * | 2001-11-20 | 2011-04-13 | ウェスタン・ディジタル・テクノロジーズ・インク | System for accessing and controlling a controllable device via a network |
| JP2004135176A (en) * | 2002-10-11 | 2004-04-30 | Kubota Systems Inc | Communication system |
| JP2007129481A (en) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | Packet filtering device and packet filtering program |
| JP4732858B2 (en) * | 2005-11-02 | 2011-07-27 | 日本電信電話株式会社 | Packet filtering apparatus and packet filtering program |
| JP4535122B2 (en) * | 2007-12-27 | 2010-09-01 | 株式会社日立製作所 | Data transfer apparatus, method and system |
| JP4508238B2 (en) * | 2007-12-27 | 2010-07-21 | 株式会社日立製作所 | Data transfer device |
| JP2008118702A (en) * | 2007-12-27 | 2008-05-22 | Hitachi Ltd | Data transfer device method, and system |
| JP2008104237A (en) * | 2007-12-27 | 2008-05-01 | Hitachi Ltd | Data transfer apparatus |
| JP2010117988A (en) * | 2008-11-14 | 2010-05-27 | Aya Echo:Kk | System and method for high-level authentication and formation of secure virtual network |
| JP2010141917A (en) * | 2010-02-15 | 2010-06-24 | Hitachi Ltd | Apparatus for transferring data |
| JP2018078518A (en) * | 2016-11-11 | 2018-05-17 | ローレル精機株式会社 | Data management system and data management method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
| JP3688830B2 (en) | Packet transfer method and packet processing apparatus | |
| JP4081724B1 (en) | Client terminal, relay server, communication system, and communication method | |
| US8346949B2 (en) | Method and system for sending a message through a secure connection | |
| US8179818B2 (en) | Proxy terminal, server apparatus, proxy terminal communication path setting method, and server apparatus communication path setting method | |
| US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
| US20060269053A1 (en) | Network Communication System and Communication Device | |
| EP1635502A1 (en) | Session control server and communication system | |
| CN103155512A (en) | System and method for providing secured access to services | |
| US7076653B1 (en) | System and method for supporting multiple encryption or authentication schemes over a connection on a network | |
| JP4752064B2 (en) | Communication system on public line for restricting access, terminal connection device and server connection restriction device | |
| JPH1141280A (en) | Communication system, vpn repeater and recording medium | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| JP2001203761A (en) | Repeater and network system provided with the same | |
| TW200307422A (en) | Encrypted central unified management system | |
| JPH06318939A (en) | Cipher communication system | |
| JPH10242957A (en) | User authentication method, system therefor and storage medium for user authentication | |
| JP2007039166A (en) | Remote monitoring system for elevator | |
| JP4752063B2 (en) | Communication system on public line for restricting access, terminal connection device and server connection restriction device | |
| CN110351308B (en) | Virtual private network communication method and virtual private network device | |
| US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| CN101009597A (en) | Subdivision method of the user network access style and network system | |
| JPH11203222A (en) | Cryptocommunication method |