通信制御システム、端末、及び、プログラム
【課題】VPN上でデータの通信をする場合において、送信側の端末がセキュリティレベルの異なるデータを暗号化する際に、送信側の端末のCPUにかかる負荷を効率化し、さらに、受信側の端末が受信した暗号化されたセキュリティレベルの異なるデータを復号化する際に、受信側の端末のCPUにかかる負荷を効率化する通信制御システムを提供する。
【解決手段】送信端末は、所定のデータを、所定のデータのセキュリティレベルに応じて暗号強度が異なる複数の暗号方式のうち、所定のデータに対応付けられる所定の暗号方式で暗号化して、複数の仮想的専用網のうち、少なくとも所定のデータ及び所定の暗号方式に対応付けられる、所定の仮想的専用網に送出する。受信端末は、所定のデータを、少なくとも所定のデータ及び所定の仮想的専用網に対応付けられる所定の暗号方式で復号化する。
【解決手段】送信端末は、所定のデータを、所定のデータのセキュリティレベルに応じて暗号強度が異なる複数の暗号方式のうち、所定のデータに対応付けられる所定の暗号方式で暗号化して、複数の仮想的専用網のうち、少なくとも所定のデータ及び所定の暗号方式に対応付けられる、所定の仮想的専用網に送出する。受信端末は、所定のデータを、少なくとも所定のデータ及び所定の仮想的専用網に対応付けられる所定の暗号方式で復号化する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、仮想的専用網技術を使用した通信制御システムに関する。
【背景技術】
【0002】
インターネットのような公衆網には、通常、不特定多数のユーザが接続している。このため、特定のユーザ間で通信するデータが、第三者によって改竄、盗聴をされる危険性がある。
【0003】
一方、複数の拠点を持つような企業では、各拠点のネットワークを専用線で接続することで、拠点間で通信されるデータのセキュリティを保っているが、専用線を導入するコストがかかる。
【0004】
そこで、近年、導入されているのが、VPN(Virtual Private Network:仮想的専用網)技術である。VPN技術は、通信するデータにセキュリティ対策を施すことによって、公衆網上に1本の仮想的な専用線を構築する技術である。
【0005】
VPN上でデータの通信をする場合、一般的に、送信側の端末は、送信すべきデータを通信前に設定した暗号方式で暗号化して送信することで、通信中のデータの改竄、盗聴を防止している。
【0006】
送信側の端末のCPUは、送信すべきデータの暗号化のための演算処理を行う。この演算処理を行うためにCPUにかかる負荷は、通信前に設定した同一の暗号方式で暗号化するため、一定である。
【0007】
一方、受信側の端末は、受信した暗号化されたデータを、送信側の端末で通信前に設定された暗号方式で復号化する。
【0008】
受信側の端末のCPUは、受信した暗号化されたデータの復号化のための演算処理を行う。この演算処理を行うためにCPUにかかる負荷は、送信側の端末で設定された同一の暗号方式で復号化するため、一定である。
【0009】
一般的に、通信制御装置が帯域制限をすることにより、送信側の端末のCPUと受信側の端末のCPUの負荷をそれぞれ調整している。なお、アプリケーション毎に帯域を制御するシステムが特許文献1に開示されている。
【0010】
【特許文献1】特開2003−110648号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
ところで、送信側の端末が送信するデータのセキュリティレベルは、それぞれ異なる。
【0012】
具体的には、個人情報を含む高度なセキュリティ対策が求められるデータがある一方で、公知の情報しか有していない高度なセキュリティ対策が求められないデータがある。
【0013】
しかし、送信側の端末は、通信前に設定した同一の暗号方式で、送信すべきデータを暗号化するため、セキュリティレベルの低いデータを送信する場合でも、最もセキュリティレベルの高いデータにあわせた強度の暗号方式で暗号化して送信する。
【0014】
データを暗号化するためのCPUの演算量は、暗号方式の強度が高いほど多くなる。このため、送信側の端末が、セキュリティレベルのそれぞれ異なるデータを暗号化する際に、データのセキュリティレベルが異なるにもかかわらず、送信側の端末のCPUに同等の負荷がかかり、CPUの実行効率が低下してしまう。
【0015】
一方、受信側の端末は、送信側の端末で通信前に設定された同一の暗号方式で、受信した暗号化されたデータを復号する。このため、セキュリティレベルの低いデータを受信する場合でも、最もセキュリティレベルの高いデータにあわせた強度の暗号方式で復号化する。
【0016】
データを復号化するためのCPUの演算量も、暗号方式の強度が高いほど多くなる。このため、受信側の端末が、セキュリティレベルのそれぞれ異なるデータを復号化するために、データのセキュリティレベルが異なるにもかかわらず、受信側の端末のCPUに同等の負荷がかかり、CPUの実行効率が低下してしまう。
【0017】
なお、特許文献1における帯域制御するシステムでは、アプリケーション単位で帯域を制御しており、セキュリティレベルが異なるデータについて帯域を制御することはできない。
【0018】
そこで、本発明は、VPN上でデータの通信をする場合において、送信側の端末がセキュリティレベルの異なるデータを暗号化する際に、送信側の端末のCPUの実行効率を向上させ、さらに、受信側の端末が受信した暗号化されたセキュリティレベルの異なるデータを復号化する際に、受信側の端末のCPUの実行効率を向上させる通信制御システムを提供することを目的とする。
【発明の効果】
【0019】
本発明によれば、VPN上でデータの通信をする場合において、送信側の端末がセキュリティレベルの異なるデータを暗号化する際に、送信側の端末のCPUの実行効率が向上し、さらに、受信側の端末が受信した暗号化されたセキュリティレベルの異なるデータを復号化する際に、受信側の端末のCPUの実行効率が向上する通信制御システムを提供することができる。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照して本発明を実施するための最良の形態について説明する。図1は、本発明の実施の形態の通信制御システムを説明するためのブロック図である。
【0021】
図1を参照すると、通信制御システムは、端末10と、端末20と、端末10と端末20とを接続するVPN50等とからなる。
【0022】
まず、本実施の形態の通信制御システムの概略を説明すると、この通信制御システムは、端末10と、端末20と、端末10と端末20との間で通信するデータを流すVPN50等とからなり、端末10は、端末20にデータを送信する際に、所定の暗号方式で暗号化を行い、VPN50、VPN51、VPN52のうち所定のVPNを介して端末20に送信するものである。以下、詳細に説明する。
【0023】
端末10は、制御部11と記憶部12とを有する。制御部11は、記録媒体に格納されたプログラムを読み込んで実行することにより、コネクション制御手段31、データ決定手段32、リスト制御手段33、暗号化・復号化手段34を論理的に備える。なお、コネクション制御手段31や暗号化・復号化手段34は、専用のハードウェアで構成されてもよい。
【0024】
一方、端末20は、制御部21と記憶部22とを有する。制御部21は、記録媒体に格納されたプログラムを読み込んで実行することにより、コネクション制御手段41、データ決定手段42、リスト制御手段43、暗号化・復号化手段44を論理的に備える。なお、コネクション制御手段41や暗号化・復号化手段44は、専用のハードウェアで構成されてもよい。
【0025】
VPN50、VPN51、VPN52は、端末10と端末20との間で通信するデータを流すVPNのコネクションである。なお、本実施の形態では、VPNのコネクションの本数は3本となっているが、VPNのコネクションの本数は複数であれば3本でなくても良い。
【0026】
次に、本実施の形態の動作を説明する。図2は、通信制御システムの動作を説明するためのフローチャートである。
【0027】
図2を参照すると、端末20を使用するユーザーの操作により、コネクション制御手段41が、端末10に対して、公衆ネットワークを介して、VPNのコネクションの接続要求を送信する(ステップS1)。
【0028】
端末20からの、ステップS1のコネクション接続要求を受信すると、コネクション制御手段31は、端末20とのVPN50、VPN51、VPN52を確立する(ステップS2)。なお、この際に、コネクション制御手段31は、端末20の認証を行うといった構成をとっても良い。
【0029】
ステップS2でVPNのコネクションを確立すると、コネクション制御手段41は、端末10にテーブル100の送信要求をする(ステップS3)。
【0030】
ここで、図3に、本実施の形態における、テーブル100を示す。図3を参照すると、テーブル100は、記憶部12に格納されている各データの、当該データが格納されている記憶部12における論理的な位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPN50、VPN51、VPN52のいずれかのコネクションの情報とを保有するテーブルとなっている。
【0031】
なお、テーブル100は、テーブル100自身を送信する際の暗号強度、暗号方式の情報と、使用するVPNのコネクションの情報も保有する。
【0032】
また、テーブル100には、データの位置情報、暗号強度、暗号方式の情報、使用するコネクションの情報のほかに、当該データを送信する際に使用するVPNのコネクションの帯域の情報を保有するようにしても良い。
【0033】
コネクション制御手段31が端末20からのテーブル100の送信要求を受け付けると、データ決定手段32は、端末20に、送信要求を受けたテーブル100を送信することを決定する(ステップS4)。
【0034】
テーブル制御手段33は、記憶部12に格納されているテーブル100の情報を参照して、テーブル100を送信する際の暗号強度、暗号方式と、使用するVPNのコネクションとを決定する(ステップS5)。本実施の形態では、テーブル100自身を暗号化する際の暗号強度は3、暗号方式はZ、送信する際の使用するVPNのコネクションはVPN52である。
【0035】
暗号化・復号化手段34は、ステップS5で決定した暗号方式Zで、テーブル100を暗号化する(ステップS6)。
【0036】
コネクション制御手段31は、ステップS6で暗号化したテーブル100を、ステップS5で決定したVPN52を介して、端末20に送信する(ステップS7)。
【0037】
コネクション制御手段41は、端末10から、ステップS7で送信されたテーブル100を受信すると、端末10と端末20との間で確立されているVPN50、VPN51、VPN52の3つのコネクションのうち、どのコネクションを介して受信したかを確認する(ステップS8)。なお、当該コネクションを確認する手段としては、テーブル100受信時のポート番号を参照して確認する手段があるが、他の手段で確認しても良い。
【0038】
本実施の形態では、コネクション制御手段41は、テーブル100を、VPN52を介して受信したことを確認する。
【0039】
テーブル制御手段43は、端末20の記憶部22に格納されているテーブル101を参照して、ステップS8で確認した、VPNのコネクションに対応する暗号方式を確認する(ステップS9)。
【0040】
ここで、図4に、本実施の形態における、テーブル101を示す。図4を参照すると、テーブル101は、データを暗号化する際の暗号強度、暗号方式と、暗号化された当該データを送信する際に使用するVPNのコネクションとを、一意に対応付ける情報を保有するテーブルとなっている。
【0041】
本実施の形態では、コネクション制御手段41は、テーブル100を、VPN52を介して受信しているから、暗号強度は3、暗号方式はZである。
【0042】
暗号化・復号化手段44は、ステップS9で確認した暗号方式で、受信したテーブル100を復号化する(ステップS10)。
【0043】
テーブル制御手段43は、ステップS10で復号化したテーブル100の情報を参照し、記憶部22に格納されているテーブル102に、記憶部12に格納されているデータ毎の位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPNのコネクションの情報とを追加する(ステップS11)。
【0044】
ここで、図5に、本実施の形態における、テーブル102を示す。図5を参照すると、テーブル102は、テーブル100と同じ形式のテーブルで、ステップS11により、記憶部11に格納されている各データの、当該データが格納されている記憶部12における論理的な位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPN50、VPN51、VPN52のいずれかのコネクションの情報とを保有するテーブルとなっている。
【0045】
ところで、テーブル制御手段43は、受信したテーブル100の情報のうち、既にテーブル102にデータの情報が存在している場合には、当該データの情報を追加するとデータが重複することになるため、当該データの情報を、テーブル102に追加しないようにしても良い。
【0046】
また、テーブル制御手段43は、受信したテーブル100の情報のうち、既にテーブル102にデータの情報が存在している場合であって、テーブル100の当該データの位置情報や、暗号強度、暗号方式の情報、使用するVPNの情報が変更されている場合には、テーブル102の当該データの情報を、更新するようにしても良い。
【0047】
端末20を使用するユーザーは、テーブル102を参照することで、記憶部12に、どんなデータが格納されているか知ることができる。
【0048】
端末20を使用するユーザーの操作により、データ決定手段42が、端末10に対して送信を要求するデータを決定する(ステップS12)。
【0049】
コネクション制御手段41は、端末10に対して、ステップS12で決定したデータの送信要求をする(ステップS13)。本実施の形態では、データAの送信を要求することとする。
【0050】
コネクション制御手段31が端末20からのデータAの送信要求を受け付けると、データ決定手段32は、端末20に、データAを送信することを決定する(ステップS14)。
【0051】
テーブル制御手段33は、ステップS14で送信することを決定したデータAについて、テーブル100を参照し、データAを暗号化する際の暗号強度、暗号方式と、データAを送信する際に使用するVPNのコネクションとを決定する(ステップS15)。本実施の形態では、データAを暗号化する際の暗号強度は1、暗号方式はXで、データAを送信する際に使用するVPNのコネクションはVPN50である。
【0052】
暗号化・復号化手段34は、ステップS14で送信することを決定したデータAを、ステップS15で決定した暗号方式Xで暗号化する(ステップS16)。
【0053】
端末10のコネクション制御手段31は、ステップS16で暗号化したデータAを、端末20に送信する(ステップS17)。
【0054】
コネクション制御手段41は、端末10から、ステップS17によって送信されたデータAを受信すると、端末10と端末20との間で確立されているVPN50、VPN51、VPN52の3つのコネクションのうち、どのコネクションを介して受信したかを確認する(ステップS18)。本実施の形態では、コネクション制御手段41は、データAを、VPN50を介して受信したことを確認する。
【0055】
テーブル制御手段43は、テーブル102を参照して、データAを暗号化する際の暗号方式を確認する(ステップS19)。本実施の形態では、データAを暗号化する際の暗号方式はXである。
【0056】
暗号化・復号化手段44は、ステップS19で確認した暗号方式で、データAを復号化する(ステップS20)。
【0057】
以降、端末20が、端末10に送信を要求する全てのデータの受信及び復号化を終了するまで、ステップS12からステップS20を繰り返す。
【0058】
一方、端末20が、全てのデータの受信及び復号化を終了した場合、端末20を使用するユーザーの操作により、コネクション制御手段41は、端末10に対して、コネクションの切断を要求する(ステップS21)。
【0059】
コネクション制御手段31は、端末20からの、ステップS21のコネクション切断要求を受け付けると、端末10と端末20との間で接続されているVPNのコネクションを全て切断する(ステップS22)。
【0060】
ところで、本実施の形態では、端末10が、端末10の記憶部12に格納されているデータを、端末20に送信しているが、端末20も、端末20の記憶部22に格納されているデータを、端末10に送信することができるようにしても良い。
【0061】
この場合には、テーブル102は端末20の記憶部22に格納されているデータの情報も保有し、端末20は端末10に対してテーブル102を送信し、端末10のテーブル制御手段33がテーブル100にテーブル102の情報を追加する構成にすれば良い。
【0062】
また、本実施の形態では、コネクション制御手段31はステップS5で決定したVPNを介してデータを送信しているが、コネクション制御手段31が当該データを送信する際に、使用するVPNの帯域を変化させることができるようにしても良い。
【0063】
この場合には、コネクション制御手段31は、制御部11の負荷状態を監視し、当該データを送信する際に使用するVPNの帯域を変化させる構成にすれば良い。
【0064】
この場合には、或いは、テーブル100が当該データを送信する際に使用するVPNの帯域情報も保有し、テーブル制御手段33は当該データを送信する際に使用するVPNの帯域を決定し、コネクション制御手段31は使用するVPNの帯域を変化させる構成にしても良い。
【図面の簡単な説明】
【0065】
【図1】本発明の実施の形態の通信制御システムを説明するためのブロック図である。
【図2】本発明の実施の形態の通信制御システムの動作を説明するためのフローチャートである。
【図3】本発明の実施の形態のテーブル100を示す一例である。
【図4】本発明の実施の形態のテーブル101を示す一例である。
【図5】本発明の実施の形態のテーブル102を示す一例である。
【符号の説明】
【0066】
10 端末
11 制御部
12 記憶部
20 端末
21 制御部
22 記憶部
31 コネクション制御手段
32 データ決定手段
33 テーブル制御手段
34 暗号化・復号化手段
41 コネクション制御手段
42 データ決定手段
43 テーブル制御手段
44 暗号化・復号化手段
50 VPN
51 VPN
52 VPN
100 テーブル
101 テーブル
102 テーブル
【技術分野】
【0001】
本発明は、仮想的専用網技術を使用した通信制御システムに関する。
【背景技術】
【0002】
インターネットのような公衆網には、通常、不特定多数のユーザが接続している。このため、特定のユーザ間で通信するデータが、第三者によって改竄、盗聴をされる危険性がある。
【0003】
一方、複数の拠点を持つような企業では、各拠点のネットワークを専用線で接続することで、拠点間で通信されるデータのセキュリティを保っているが、専用線を導入するコストがかかる。
【0004】
そこで、近年、導入されているのが、VPN(Virtual Private Network:仮想的専用網)技術である。VPN技術は、通信するデータにセキュリティ対策を施すことによって、公衆網上に1本の仮想的な専用線を構築する技術である。
【0005】
VPN上でデータの通信をする場合、一般的に、送信側の端末は、送信すべきデータを通信前に設定した暗号方式で暗号化して送信することで、通信中のデータの改竄、盗聴を防止している。
【0006】
送信側の端末のCPUは、送信すべきデータの暗号化のための演算処理を行う。この演算処理を行うためにCPUにかかる負荷は、通信前に設定した同一の暗号方式で暗号化するため、一定である。
【0007】
一方、受信側の端末は、受信した暗号化されたデータを、送信側の端末で通信前に設定された暗号方式で復号化する。
【0008】
受信側の端末のCPUは、受信した暗号化されたデータの復号化のための演算処理を行う。この演算処理を行うためにCPUにかかる負荷は、送信側の端末で設定された同一の暗号方式で復号化するため、一定である。
【0009】
一般的に、通信制御装置が帯域制限をすることにより、送信側の端末のCPUと受信側の端末のCPUの負荷をそれぞれ調整している。なお、アプリケーション毎に帯域を制御するシステムが特許文献1に開示されている。
【0010】
【特許文献1】特開2003−110648号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
ところで、送信側の端末が送信するデータのセキュリティレベルは、それぞれ異なる。
【0012】
具体的には、個人情報を含む高度なセキュリティ対策が求められるデータがある一方で、公知の情報しか有していない高度なセキュリティ対策が求められないデータがある。
【0013】
しかし、送信側の端末は、通信前に設定した同一の暗号方式で、送信すべきデータを暗号化するため、セキュリティレベルの低いデータを送信する場合でも、最もセキュリティレベルの高いデータにあわせた強度の暗号方式で暗号化して送信する。
【0014】
データを暗号化するためのCPUの演算量は、暗号方式の強度が高いほど多くなる。このため、送信側の端末が、セキュリティレベルのそれぞれ異なるデータを暗号化する際に、データのセキュリティレベルが異なるにもかかわらず、送信側の端末のCPUに同等の負荷がかかり、CPUの実行効率が低下してしまう。
【0015】
一方、受信側の端末は、送信側の端末で通信前に設定された同一の暗号方式で、受信した暗号化されたデータを復号する。このため、セキュリティレベルの低いデータを受信する場合でも、最もセキュリティレベルの高いデータにあわせた強度の暗号方式で復号化する。
【0016】
データを復号化するためのCPUの演算量も、暗号方式の強度が高いほど多くなる。このため、受信側の端末が、セキュリティレベルのそれぞれ異なるデータを復号化するために、データのセキュリティレベルが異なるにもかかわらず、受信側の端末のCPUに同等の負荷がかかり、CPUの実行効率が低下してしまう。
【0017】
なお、特許文献1における帯域制御するシステムでは、アプリケーション単位で帯域を制御しており、セキュリティレベルが異なるデータについて帯域を制御することはできない。
【0018】
そこで、本発明は、VPN上でデータの通信をする場合において、送信側の端末がセキュリティレベルの異なるデータを暗号化する際に、送信側の端末のCPUの実行効率を向上させ、さらに、受信側の端末が受信した暗号化されたセキュリティレベルの異なるデータを復号化する際に、受信側の端末のCPUの実行効率を向上させる通信制御システムを提供することを目的とする。
【発明の効果】
【0019】
本発明によれば、VPN上でデータの通信をする場合において、送信側の端末がセキュリティレベルの異なるデータを暗号化する際に、送信側の端末のCPUの実行効率が向上し、さらに、受信側の端末が受信した暗号化されたセキュリティレベルの異なるデータを復号化する際に、受信側の端末のCPUの実行効率が向上する通信制御システムを提供することができる。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照して本発明を実施するための最良の形態について説明する。図1は、本発明の実施の形態の通信制御システムを説明するためのブロック図である。
【0021】
図1を参照すると、通信制御システムは、端末10と、端末20と、端末10と端末20とを接続するVPN50等とからなる。
【0022】
まず、本実施の形態の通信制御システムの概略を説明すると、この通信制御システムは、端末10と、端末20と、端末10と端末20との間で通信するデータを流すVPN50等とからなり、端末10は、端末20にデータを送信する際に、所定の暗号方式で暗号化を行い、VPN50、VPN51、VPN52のうち所定のVPNを介して端末20に送信するものである。以下、詳細に説明する。
【0023】
端末10は、制御部11と記憶部12とを有する。制御部11は、記録媒体に格納されたプログラムを読み込んで実行することにより、コネクション制御手段31、データ決定手段32、リスト制御手段33、暗号化・復号化手段34を論理的に備える。なお、コネクション制御手段31や暗号化・復号化手段34は、専用のハードウェアで構成されてもよい。
【0024】
一方、端末20は、制御部21と記憶部22とを有する。制御部21は、記録媒体に格納されたプログラムを読み込んで実行することにより、コネクション制御手段41、データ決定手段42、リスト制御手段43、暗号化・復号化手段44を論理的に備える。なお、コネクション制御手段41や暗号化・復号化手段44は、専用のハードウェアで構成されてもよい。
【0025】
VPN50、VPN51、VPN52は、端末10と端末20との間で通信するデータを流すVPNのコネクションである。なお、本実施の形態では、VPNのコネクションの本数は3本となっているが、VPNのコネクションの本数は複数であれば3本でなくても良い。
【0026】
次に、本実施の形態の動作を説明する。図2は、通信制御システムの動作を説明するためのフローチャートである。
【0027】
図2を参照すると、端末20を使用するユーザーの操作により、コネクション制御手段41が、端末10に対して、公衆ネットワークを介して、VPNのコネクションの接続要求を送信する(ステップS1)。
【0028】
端末20からの、ステップS1のコネクション接続要求を受信すると、コネクション制御手段31は、端末20とのVPN50、VPN51、VPN52を確立する(ステップS2)。なお、この際に、コネクション制御手段31は、端末20の認証を行うといった構成をとっても良い。
【0029】
ステップS2でVPNのコネクションを確立すると、コネクション制御手段41は、端末10にテーブル100の送信要求をする(ステップS3)。
【0030】
ここで、図3に、本実施の形態における、テーブル100を示す。図3を参照すると、テーブル100は、記憶部12に格納されている各データの、当該データが格納されている記憶部12における論理的な位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPN50、VPN51、VPN52のいずれかのコネクションの情報とを保有するテーブルとなっている。
【0031】
なお、テーブル100は、テーブル100自身を送信する際の暗号強度、暗号方式の情報と、使用するVPNのコネクションの情報も保有する。
【0032】
また、テーブル100には、データの位置情報、暗号強度、暗号方式の情報、使用するコネクションの情報のほかに、当該データを送信する際に使用するVPNのコネクションの帯域の情報を保有するようにしても良い。
【0033】
コネクション制御手段31が端末20からのテーブル100の送信要求を受け付けると、データ決定手段32は、端末20に、送信要求を受けたテーブル100を送信することを決定する(ステップS4)。
【0034】
テーブル制御手段33は、記憶部12に格納されているテーブル100の情報を参照して、テーブル100を送信する際の暗号強度、暗号方式と、使用するVPNのコネクションとを決定する(ステップS5)。本実施の形態では、テーブル100自身を暗号化する際の暗号強度は3、暗号方式はZ、送信する際の使用するVPNのコネクションはVPN52である。
【0035】
暗号化・復号化手段34は、ステップS5で決定した暗号方式Zで、テーブル100を暗号化する(ステップS6)。
【0036】
コネクション制御手段31は、ステップS6で暗号化したテーブル100を、ステップS5で決定したVPN52を介して、端末20に送信する(ステップS7)。
【0037】
コネクション制御手段41は、端末10から、ステップS7で送信されたテーブル100を受信すると、端末10と端末20との間で確立されているVPN50、VPN51、VPN52の3つのコネクションのうち、どのコネクションを介して受信したかを確認する(ステップS8)。なお、当該コネクションを確認する手段としては、テーブル100受信時のポート番号を参照して確認する手段があるが、他の手段で確認しても良い。
【0038】
本実施の形態では、コネクション制御手段41は、テーブル100を、VPN52を介して受信したことを確認する。
【0039】
テーブル制御手段43は、端末20の記憶部22に格納されているテーブル101を参照して、ステップS8で確認した、VPNのコネクションに対応する暗号方式を確認する(ステップS9)。
【0040】
ここで、図4に、本実施の形態における、テーブル101を示す。図4を参照すると、テーブル101は、データを暗号化する際の暗号強度、暗号方式と、暗号化された当該データを送信する際に使用するVPNのコネクションとを、一意に対応付ける情報を保有するテーブルとなっている。
【0041】
本実施の形態では、コネクション制御手段41は、テーブル100を、VPN52を介して受信しているから、暗号強度は3、暗号方式はZである。
【0042】
暗号化・復号化手段44は、ステップS9で確認した暗号方式で、受信したテーブル100を復号化する(ステップS10)。
【0043】
テーブル制御手段43は、ステップS10で復号化したテーブル100の情報を参照し、記憶部22に格納されているテーブル102に、記憶部12に格納されているデータ毎の位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPNのコネクションの情報とを追加する(ステップS11)。
【0044】
ここで、図5に、本実施の形態における、テーブル102を示す。図5を参照すると、テーブル102は、テーブル100と同じ形式のテーブルで、ステップS11により、記憶部11に格納されている各データの、当該データが格納されている記憶部12における論理的な位置情報と、当該データを暗号化する際の暗号強度、暗号方式の情報と、当該データを送信する際に使用するVPN50、VPN51、VPN52のいずれかのコネクションの情報とを保有するテーブルとなっている。
【0045】
ところで、テーブル制御手段43は、受信したテーブル100の情報のうち、既にテーブル102にデータの情報が存在している場合には、当該データの情報を追加するとデータが重複することになるため、当該データの情報を、テーブル102に追加しないようにしても良い。
【0046】
また、テーブル制御手段43は、受信したテーブル100の情報のうち、既にテーブル102にデータの情報が存在している場合であって、テーブル100の当該データの位置情報や、暗号強度、暗号方式の情報、使用するVPNの情報が変更されている場合には、テーブル102の当該データの情報を、更新するようにしても良い。
【0047】
端末20を使用するユーザーは、テーブル102を参照することで、記憶部12に、どんなデータが格納されているか知ることができる。
【0048】
端末20を使用するユーザーの操作により、データ決定手段42が、端末10に対して送信を要求するデータを決定する(ステップS12)。
【0049】
コネクション制御手段41は、端末10に対して、ステップS12で決定したデータの送信要求をする(ステップS13)。本実施の形態では、データAの送信を要求することとする。
【0050】
コネクション制御手段31が端末20からのデータAの送信要求を受け付けると、データ決定手段32は、端末20に、データAを送信することを決定する(ステップS14)。
【0051】
テーブル制御手段33は、ステップS14で送信することを決定したデータAについて、テーブル100を参照し、データAを暗号化する際の暗号強度、暗号方式と、データAを送信する際に使用するVPNのコネクションとを決定する(ステップS15)。本実施の形態では、データAを暗号化する際の暗号強度は1、暗号方式はXで、データAを送信する際に使用するVPNのコネクションはVPN50である。
【0052】
暗号化・復号化手段34は、ステップS14で送信することを決定したデータAを、ステップS15で決定した暗号方式Xで暗号化する(ステップS16)。
【0053】
端末10のコネクション制御手段31は、ステップS16で暗号化したデータAを、端末20に送信する(ステップS17)。
【0054】
コネクション制御手段41は、端末10から、ステップS17によって送信されたデータAを受信すると、端末10と端末20との間で確立されているVPN50、VPN51、VPN52の3つのコネクションのうち、どのコネクションを介して受信したかを確認する(ステップS18)。本実施の形態では、コネクション制御手段41は、データAを、VPN50を介して受信したことを確認する。
【0055】
テーブル制御手段43は、テーブル102を参照して、データAを暗号化する際の暗号方式を確認する(ステップS19)。本実施の形態では、データAを暗号化する際の暗号方式はXである。
【0056】
暗号化・復号化手段44は、ステップS19で確認した暗号方式で、データAを復号化する(ステップS20)。
【0057】
以降、端末20が、端末10に送信を要求する全てのデータの受信及び復号化を終了するまで、ステップS12からステップS20を繰り返す。
【0058】
一方、端末20が、全てのデータの受信及び復号化を終了した場合、端末20を使用するユーザーの操作により、コネクション制御手段41は、端末10に対して、コネクションの切断を要求する(ステップS21)。
【0059】
コネクション制御手段31は、端末20からの、ステップS21のコネクション切断要求を受け付けると、端末10と端末20との間で接続されているVPNのコネクションを全て切断する(ステップS22)。
【0060】
ところで、本実施の形態では、端末10が、端末10の記憶部12に格納されているデータを、端末20に送信しているが、端末20も、端末20の記憶部22に格納されているデータを、端末10に送信することができるようにしても良い。
【0061】
この場合には、テーブル102は端末20の記憶部22に格納されているデータの情報も保有し、端末20は端末10に対してテーブル102を送信し、端末10のテーブル制御手段33がテーブル100にテーブル102の情報を追加する構成にすれば良い。
【0062】
また、本実施の形態では、コネクション制御手段31はステップS5で決定したVPNを介してデータを送信しているが、コネクション制御手段31が当該データを送信する際に、使用するVPNの帯域を変化させることができるようにしても良い。
【0063】
この場合には、コネクション制御手段31は、制御部11の負荷状態を監視し、当該データを送信する際に使用するVPNの帯域を変化させる構成にすれば良い。
【0064】
この場合には、或いは、テーブル100が当該データを送信する際に使用するVPNの帯域情報も保有し、テーブル制御手段33は当該データを送信する際に使用するVPNの帯域を決定し、コネクション制御手段31は使用するVPNの帯域を変化させる構成にしても良い。
【図面の簡単な説明】
【0065】
【図1】本発明の実施の形態の通信制御システムを説明するためのブロック図である。
【図2】本発明の実施の形態の通信制御システムの動作を説明するためのフローチャートである。
【図3】本発明の実施の形態のテーブル100を示す一例である。
【図4】本発明の実施の形態のテーブル101を示す一例である。
【図5】本発明の実施の形態のテーブル102を示す一例である。
【符号の説明】
【0066】
10 端末
11 制御部
12 記憶部
20 端末
21 制御部
22 記憶部
31 コネクション制御手段
32 データ決定手段
33 テーブル制御手段
34 暗号化・復号化手段
41 コネクション制御手段
42 データ決定手段
43 テーブル制御手段
44 暗号化・復号化手段
50 VPN
51 VPN
52 VPN
100 テーブル
101 テーブル
102 テーブル
【特許請求の範囲】
【請求項1】
データを暗号化するとともに、仮想的専用網に送出する送信端末と、前記データを受信するとともに復号化する、前記送信端末との間で確立された複数の仮想的専用網に接続された受信端末とを有し、
前記送信端末は、所定のデータを、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のうち、前記所定のデータに対応付けられる所定の暗号方式で暗号化して、前記複数の仮想的専用網のうち、少なくとも前記所定のデータ及び前記所定の暗号方式に対応付けられる所定の仮想的専用網に送出し、
前記受信端末は、前記所定のデータを、少なくとも前記所定のデータ及び前記所定の仮想的専用網に対応付けられる前記所定の暗号方式で復号化することを特徴とする通信制御システム。
【請求項2】
データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末であって、
所定のデータを、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のうち、前記所定のデータに対応付けられる所定の暗号方式によって暗号化して、前記複数の仮想的専用網のうち、少なくとも前記所定のデータ及び前記所定の暗号方式に対応付けられる所定の仮想的専用網に送出することを特徴とする送信端末。
【請求項3】
複数の仮想的専用網のいずれかを介してデータを受信する受信端末であって、
前記複数の仮想的専用網のうち所定の仮想的専用網から受信した所定のデータを、暗号強度の異なる複数の暗号方式のうち、少なくとも前記所定のデータ及び前記所定の仮想的専用網に対応付けられる所定の強度の暗号方式で復号化することを特徴とする受信端末。
【請求項4】
データを暗号化するとともに、仮想的専用網に送出する送信端末と、前記データを受信するとともに復号化する、前記送信端末との間で確立された複数の仮想的専用網に接続された受信端末とを有し、
前記送信端末は、
前記データを格納する記憶部と、
前記データに、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を有する送信側テーブル記憶手段と、
所定のデータを、前記送信側テーブル記憶手段を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得する送信側テーブル制御手段と、
前記送信側テーブル制御手段により取得した前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化する暗号化手段と、
前記暗号化手段により暗号化した前記所定のデータを、前記送信側テーブル制御手段で取得した前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出するコネクション制御手段とを備え、
前記受信端末は、
前記送信側テーブル記憶手段の有する情報と同じ内容の情報を少なくとも有する受信側テーブル記憶手段と、
前記所定のデータを受信した際に使用された前記所定の仮想的専用網を確認するコネクション確認手段と、
前記受信側テーブル記憶手段を参照して、前記コネクション確認手段により確認した前記所定の仮想的専用網に対応付けられる、前記所定の暗号方式の情報を取得する受信側テーブル制御手段と、
前記受信側テーブル制御手段により取得した前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、前記所定の暗号方式で復号化する復号化手段とを備えたことを特徴とする通信制御システム。
【請求項5】
データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末であって、
前記データを格納する記憶部と、
前記データに、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を有する送信側テーブル記憶手段と、
所定のデータを、前記送信側テーブル記憶手段を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得する送信側テーブル制御手段と、
前記送信側テーブル制御手段により取得した前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化する暗号化手段と、
前記暗号化手段により暗号化した前記所定のデータを、前記送信側テーブル制御手段で取得した前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出するコネクション制御手段とを備えたことを特徴とする送信端末。
【請求項6】
複数の仮想的専用網のいずれかを介してデータを受信する受信端末であって、
前記受信端末は、
前記データを受信した際に使用された仮想的専用網に、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式が対応付けられる受信側テーブル記憶手段と、
所定のデータを受信した際に使用された所定の仮想的専用網を確認するコネクション確認手段と、
前記受信側テーブル記憶手段を参照して、前記コネクション確認手段により確認した前記所定の仮想的専用網に対応付けられる、所定の暗号方式の情報を取得する受信側テーブル制御手段と、
前記受信側テーブル制御手段により取得した前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、所定の暗号方式で復号化する復号化手段とを備えたことを特徴とする受信端末。
【請求項7】
データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末に実行させるプログラムであって、
前記データに前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を記憶させる第1のステップと、
所定のデータを、前記第1のステップで記憶させた情報を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得させる第2のステップと、
前記第2のステップにより取得させた前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化させる第3のステップと、
前記第3のステップにより暗号化させた前記所定のデータを、前記送信側テーブル制御手段で取得させた前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出させる第4のステップとを有する、プログラム。
【請求項8】
複数の仮想的専用網のいずれかを介してデータを受信する受信端末に実行させるプログラムであって、
所定のデータを受信した際に使用された所定の仮想的専用網を確認させる第1のステップと、
前記データを受信した際に使用された仮想的専用網に、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式が対応付けられる情報を記憶させる第2のステップと、
前記第2のステップにより記憶させた情報を参照して、前記第2のステップにより確認させた前記所定の仮想的専用網に対応付けられる所定の暗号方式の情報を取得させる第3のステップと、
前記第3のステップにより取得させた前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、所定の暗号方式で復号化させる第4のステップとを有する、プログラム。
【請求項1】
データを暗号化するとともに、仮想的専用網に送出する送信端末と、前記データを受信するとともに復号化する、前記送信端末との間で確立された複数の仮想的専用網に接続された受信端末とを有し、
前記送信端末は、所定のデータを、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のうち、前記所定のデータに対応付けられる所定の暗号方式で暗号化して、前記複数の仮想的専用網のうち、少なくとも前記所定のデータ及び前記所定の暗号方式に対応付けられる所定の仮想的専用網に送出し、
前記受信端末は、前記所定のデータを、少なくとも前記所定のデータ及び前記所定の仮想的専用網に対応付けられる前記所定の暗号方式で復号化することを特徴とする通信制御システム。
【請求項2】
データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末であって、
所定のデータを、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のうち、前記所定のデータに対応付けられる所定の暗号方式によって暗号化して、前記複数の仮想的専用網のうち、少なくとも前記所定のデータ及び前記所定の暗号方式に対応付けられる所定の仮想的専用網に送出することを特徴とする送信端末。
【請求項3】
複数の仮想的専用網のいずれかを介してデータを受信する受信端末であって、
前記複数の仮想的専用網のうち所定の仮想的専用網から受信した所定のデータを、暗号強度の異なる複数の暗号方式のうち、少なくとも前記所定のデータ及び前記所定の仮想的専用網に対応付けられる所定の強度の暗号方式で復号化することを特徴とする受信端末。
【請求項4】
データを暗号化するとともに、仮想的専用網に送出する送信端末と、前記データを受信するとともに復号化する、前記送信端末との間で確立された複数の仮想的専用網に接続された受信端末とを有し、
前記送信端末は、
前記データを格納する記憶部と、
前記データに、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を有する送信側テーブル記憶手段と、
所定のデータを、前記送信側テーブル記憶手段を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得する送信側テーブル制御手段と、
前記送信側テーブル制御手段により取得した前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化する暗号化手段と、
前記暗号化手段により暗号化した前記所定のデータを、前記送信側テーブル制御手段で取得した前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出するコネクション制御手段とを備え、
前記受信端末は、
前記送信側テーブル記憶手段の有する情報と同じ内容の情報を少なくとも有する受信側テーブル記憶手段と、
前記所定のデータを受信した際に使用された前記所定の仮想的専用網を確認するコネクション確認手段と、
前記受信側テーブル記憶手段を参照して、前記コネクション確認手段により確認した前記所定の仮想的専用網に対応付けられる、前記所定の暗号方式の情報を取得する受信側テーブル制御手段と、
前記受信側テーブル制御手段により取得した前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、前記所定の暗号方式で復号化する復号化手段とを備えたことを特徴とする通信制御システム。
【請求項5】
データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末であって、
前記データを格納する記憶部と、
前記データに、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を有する送信側テーブル記憶手段と、
所定のデータを、前記送信側テーブル記憶手段を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得する送信側テーブル制御手段と、
前記送信側テーブル制御手段により取得した前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化する暗号化手段と、
前記暗号化手段により暗号化した前記所定のデータを、前記送信側テーブル制御手段で取得した前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出するコネクション制御手段とを備えたことを特徴とする送信端末。
【請求項6】
複数の仮想的専用網のいずれかを介してデータを受信する受信端末であって、
前記受信端末は、
前記データを受信した際に使用された仮想的専用網に、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式が対応付けられる受信側テーブル記憶手段と、
所定のデータを受信した際に使用された所定の仮想的専用網を確認するコネクション確認手段と、
前記受信側テーブル記憶手段を参照して、前記コネクション確認手段により確認した前記所定の仮想的専用網に対応付けられる、所定の暗号方式の情報を取得する受信側テーブル制御手段と、
前記受信側テーブル制御手段により取得した前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、所定の暗号方式で復号化する復号化手段とを備えたことを特徴とする受信端末。
【請求項7】
データを暗号化し、複数の仮想的専用網のいずれかに送出する送信端末に実行させるプログラムであって、
前記データに前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式、及び、前記データを送信する際に使用する前記複数の仮想的専用網のうちいずれかの仮想的専用網が少なくとも対応付けられる情報を記憶させる第1のステップと、
所定のデータを、前記第1のステップで記憶させた情報を参照して、前記所定のデータに対応付けられる所定の暗号方式の情報、及び、所定の仮想的専用網の情報を少なくとも取得させる第2のステップと、
前記第2のステップにより取得させた前記所定の暗号方式の情報に基づいて、前記所定のデータを所定の暗号方式で暗号化させる第3のステップと、
前記第3のステップにより暗号化させた前記所定のデータを、前記送信側テーブル制御手段で取得させた前記所定の仮想的専用網の情報に基づいて、所定の仮想的専用網に送出させる第4のステップとを有する、プログラム。
【請求項8】
複数の仮想的専用網のいずれかを介してデータを受信する受信端末に実行させるプログラムであって、
所定のデータを受信した際に使用された所定の仮想的専用網を確認させる第1のステップと、
前記データを受信した際に使用された仮想的専用網に、前記データのセキュリティレベルに応じて強度の異なる複数の暗号方式のいずれかの暗号方式が対応付けられる情報を記憶させる第2のステップと、
前記第2のステップにより記憶させた情報を参照して、前記第2のステップにより確認させた前記所定の仮想的専用網に対応付けられる所定の暗号方式の情報を取得させる第3のステップと、
前記第3のステップにより取得させた前記所定の仮想的専用網に対応付けられる前記所定の暗号方式の情報に基づいて、所定の暗号方式で復号化させる第4のステップとを有する、プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−71481(P2009−71481A)
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願番号】特願2007−236449(P2007−236449)
【出願日】平成19年9月12日(2007.9.12)
【出願人】(302069930)NECパーソナルプロダクツ株式会社 (738)
【Fターム(参考)】
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願日】平成19年9月12日(2007.9.12)
【出願人】(302069930)NECパーソナルプロダクツ株式会社 (738)
【Fターム(参考)】
[ Back to top ]