專利名稱:中繼設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于使用VPN(虛擬專用網(wǎng))將多個LAN(局域網(wǎng))相互連接的技術(shù)。
背景技術(shù):
VPN路由器作為用于連接諸如LAN的網(wǎng)絡(luò)的中繼設(shè)備,其接通并加密網(wǎng)絡(luò)之間的通信以對通信數(shù)據(jù)進行中繼。IPsec (互聯(lián)網(wǎng)協(xié)議的安全架構(gòu))、PPTP (點對點隧道協(xié)議)和 L2TP (第二層隧道協(xié)議)被廣泛用作實現(xiàn)VPN的協(xié)議。通常,當VPN路由器設(shè)置VPN時,需要為每個點設(shè)置加密密鑰,并且設(shè)置操作很可能很復(fù)雜。因此,例如,為了簡化設(shè)置操作,專利文獻1和專利文獻2公開了服務(wù)器以集成方式生成并管理設(shè)置細節(jié)和加密密鑰,并通過網(wǎng)絡(luò)向每個路由器提供設(shè)置細節(jié)和加密密鑰。 然而,在該技術(shù)中,由于處理負荷被集中在服務(wù)器上,所以難以將該技術(shù)應(yīng)用于大型網(wǎng)絡(luò)。 此外,當服務(wù)器具有一些故障時,整個系統(tǒng)不能進行操作。例如,專利文獻3公開了在終端之間的通信中使用諸如分布式散列表的結(jié)構(gòu)化覆蓋。根據(jù)該技術(shù),當設(shè)備參與通信或者脫離通信時,不需要改變設(shè)置細節(jié),并且也不需要以集成方式管理設(shè)置細節(jié)和加密密鑰的服務(wù)器。專利文獻4和專利文獻5公開了沒有如在VPN中那樣對通信路徑進行加密、并且在網(wǎng)絡(luò)之間的通信中傳送用于加密每個內(nèi)容數(shù)據(jù)項(每個文件)的加密密鑰的技術(shù)。引用列表專利文獻專利文獻1 JP-A-2004-104542專利文獻2 JP-A-2006-54704專利文獻3 JP-A-2008-172706
專利文獻 4 JP-A-2006-285974專利文獻5 JP-A-2006-236349
發(fā)明內(nèi)容
技術(shù)問題如專利文獻3所公開的,可以使用結(jié)構(gòu)化覆蓋在各點之間實現(xiàn)加密通信。在這種情況下,需要在參與通信的所有終端中安裝用于配置結(jié)構(gòu)化覆蓋的軟件并預(yù)先設(shè)定各種設(shè)置。此外,在根據(jù)現(xiàn)有技術(shù)的使用例如Ipsec的結(jié)構(gòu)中,當參與VPN的所有設(shè)備被添加或去除時,需要改變邏輯路徑或路徑的設(shè)置。此外,為了實現(xiàn)全網(wǎng)式通信,需要根據(jù)加入網(wǎng)絡(luò)的終端數(shù)來設(shè)定許多邏輯路徑或路徑的設(shè)置。專利文獻4和專利文獻5公開了為每個文件設(shè)置加密密鑰的方法。在該方法中,無論何時添加文件,都需要生成加密密鑰,這導(dǎo)致增加了管理成本??紤]到上述問題做出本發(fā)明,并且本發(fā)明的一個目的在于使用連接至不同中繼設(shè)備的通信終端之間的VPN來容易地管理通信中的加密密鑰。
解決問題的技術(shù)方案為了解決上述問題,本公開提供了一種中繼設(shè)備,其使用VPN(虛擬專用網(wǎng))連接至另一中繼設(shè)備、并在連接至該中繼設(shè)備的通信終端和連接至另一中繼設(shè)備的通信終端之間中繼通信,該中繼設(shè)備包括覆蓋配置裝置,用于通過到另一中繼設(shè)備的連接來配置結(jié)構(gòu)化覆蓋,并使用該結(jié)構(gòu)化覆蓋來分布式地管理分布式數(shù)據(jù)庫,其中,分布式數(shù)據(jù)庫管理用于對在配置結(jié)構(gòu)化覆蓋的中繼設(shè)備和另一中繼設(shè)備之間的通信中使用的數(shù)據(jù)進行加密和解密的密鑰;生成裝置,用于在密鑰的有效期過期之前生成新密鑰;以及登記裝置,用于當生成裝置生成新密鑰時,在配置結(jié)構(gòu)化覆蓋的中繼設(shè)備之間被分布式管理的分布式數(shù)據(jù)庫中登記新密鑰。在另一優(yōu)選方面中,中繼設(shè)備包括獲取裝置,用于對在配置結(jié)構(gòu)化覆蓋的中繼設(shè)備之間被分布式管理的分布式數(shù)據(jù)庫進行檢索,以在密鑰的有效期過期之前獲取新密鑰。在另一優(yōu)選方面中,中繼設(shè)備包括分配裝置,用于當生成裝置生成新密鑰時,向配置結(jié)構(gòu)化覆蓋的另一中繼設(shè)備分配新密鑰。在另一優(yōu)選方面中,密鑰是在配置結(jié)構(gòu)化覆蓋的中繼設(shè)備之間的通信中的公共密鑰。在另一優(yōu)選方面中,生成裝置為配置結(jié)構(gòu)化覆蓋的每個中繼設(shè)備生成密鑰。本發(fā)明的有益效果根據(jù)本發(fā)明,可以使用連接至不同中繼設(shè)備的通信終端之間的VPN來容易地管理通信中的加密密鑰。
圖1是示出根據(jù)本發(fā)明實施例的通信系統(tǒng)的結(jié)構(gòu)的框圖。圖2是示出中繼設(shè)備的結(jié)構(gòu)的框圖。圖3是示出用于實現(xiàn)中繼設(shè)備的通信處理功能的結(jié)構(gòu)的示圖。圖4是示出I3R表的結(jié)構(gòu)的示圖。圖5是示出分布式數(shù)據(jù)庫的結(jié)構(gòu)的示圖。圖6是在中繼設(shè)備之間分配加密密鑰的操作的示圖。圖7是示出通信終端之間的數(shù)據(jù)通信中的通信處理的操作的示圖。
具體實施例方式
以下,將描述本發(fā)明的實施例。<實施例>圖1是示出根據(jù)本發(fā)明一個實施例的通信系統(tǒng)1的結(jié)構(gòu)的框圖。通信系統(tǒng)1包括分別設(shè)置在點A、B、C和D處的中繼設(shè)備20A、20B、20C和20D (下文中,當不對中繼設(shè)備進行區(qū)分時,將它們稱為中繼設(shè)備20),并包括LAN 30A、30B、30C和30D (下文中,當不對LAN進行區(qū)分時,將它們被稱為LAN 30),這些LAN包括連接至中繼設(shè)備20的通信終端(未示出)。 每個中繼設(shè)備20都各自將每個LAN 30連接至通信網(wǎng)絡(luò)10 (其為公共網(wǎng)絡(luò),諸如互聯(lián)網(wǎng)), 并將通信從每個LAN 30中的通信終端中繼到另一 LAN 30中的通信終端。例如,中繼設(shè)備20是VPN路由器,并根據(jù)特定通信協(xié)議(例如,IP (互聯(lián)網(wǎng)協(xié)議))
4接收作為從通信網(wǎng)絡(luò)10傳輸?shù)臄?shù)據(jù)塊的數(shù)據(jù)包。當接收到的數(shù)據(jù)包的目的地是連接至中繼設(shè)備的LAN 30中的通信終端時,中繼設(shè)備將接收到的數(shù)據(jù)包傳輸至作為目的地的通信終端。中繼設(shè)備20將從LAN 30傳輸?shù)臄?shù)據(jù)包傳輸至與作為數(shù)據(jù)包目的地的通信終端相連接的中繼設(shè)備20。此外,中繼設(shè)備20通過下面將利用VPN進行描述的VPN處理單元213(參見圖3)經(jīng)由通信網(wǎng)絡(luò)10連接至另一中繼設(shè)備20。中繼設(shè)備20使用下面將描述的結(jié)構(gòu)化覆蓋處理單元212 (參見圖3)來配置諸如分布式散列表之類的結(jié)構(gòu)化覆蓋。將參照圖2描述中繼設(shè)備20的結(jié)構(gòu)。圖2是示出中繼設(shè)備20的結(jié)構(gòu)的框圖。中繼設(shè)備20包括通過總線26相互連接的控制單元21、UI (用戶接口)單元22、第一通信IF(接口)單元23、第二通信IF單元24 和存儲單元25。例如,控制單元21包括CPU(中央處理單元)、R0M(只讀存儲器)和RAM(隨機存取存儲器)。CPU讀取存儲在ROM中的控制程序,將控制程序加載到RAM中,并執(zhí)行控制程序以通過總線26控制中繼設(shè)備20的每個部件,從而實現(xiàn)通信處理功能,這將在下面進行描述。當CPU處理每個數(shù)據(jù)項時,RAM起到工作區(qū)域的功能。UI單元22包括操作單元(諸如被管理員用于設(shè)置中繼設(shè)備20的各種設(shè)置的鍵盤或操作按鈕)和顯示單元(諸如用于顯示與控制單元21的控制相對應(yīng)的信息(諸如設(shè)置屏幕)的液晶顯示器)。當操作單元被操作時,UI單元22向控制單元21輸出表示操作內(nèi)容的數(shù)據(jù)??梢圆惶峁︰I單元22。在這種情況下,管理員使用管理裝置(未示出)通過諸如通信網(wǎng)絡(luò)10或LAN 30之類的網(wǎng)絡(luò)來執(zhí)行遠程操作,以設(shè)定各種設(shè)置。第一通信IF單元23和第二通信IF單元24中的每一個都是通信裝置,諸如 NIC(網(wǎng)絡(luò)接口卡)。第一通信IF單元23連接至LAN 30。具體地,中繼設(shè)備20A、20B、20C 和20D的第一通信IF單元23分別連接至LAN 30A、30B、30C和30D。第二通信IF單元24 連接至通信網(wǎng)絡(luò)10。當?shù)谝煌ㄐ臝F單元23和第二通信IF單元24分別接收到來自與其連接的網(wǎng)絡(luò)的數(shù)據(jù)包時,它們向控制單元21輸出該數(shù)據(jù)包并將來自控制單元21的數(shù)據(jù)包傳送至與其連接的網(wǎng)絡(luò)(通信網(wǎng)絡(luò)10或LAN 30)。例如,存儲單元25是硬盤驅(qū)動器或非易失性存儲器,并且通過控制單元21向/從存儲單元25寫入/讀取數(shù)據(jù)。例如,存儲單元25通過UI單元22的操作或者一些控制程序來存儲表示對中繼設(shè)備20設(shè)置的內(nèi)容的設(shè)置信息。此外,例如,存儲單元25存儲PR(前綴規(guī)則)表251、路徑表252、分布式數(shù)據(jù)庫的一部分(下文稱為分布式DB部分數(shù)據(jù)庫253) 和路徑高速緩存256 (參見圖3),它們將在以下進行詳細描述。接下來,將描述中繼設(shè)備20 的結(jié)構(gòu)。接下來,將參照圖3至圖5描述由控制單元21執(zhí)行的控制程序所實現(xiàn)的通信處理功能。通信處理功能利用連接至通信網(wǎng)絡(luò)10的每個中繼設(shè)備20配置結(jié)構(gòu)化覆蓋,并在連接至中繼設(shè)備20的LAN 30中的通信終端與連接至另一中繼設(shè)備20的LAN 30中的通信終端之間中繼通信。可以通過硬件實現(xiàn)以下通信處理功能的每個部件。圖3是用于實現(xiàn)通信處理功能的結(jié)構(gòu)的示圖。數(shù)據(jù)包處理單元211、結(jié)構(gòu)化覆蓋處理單元212、VPN處理單元213、路徑管理單元214、密鑰管理單元215以及存儲在存儲單元 25中的I3R表251、路徑表252、分布式DB部分數(shù)據(jù)庫253和路徑高速緩存256用于實現(xiàn)通信處理功能。分布式DB部分數(shù)據(jù)庫253存儲路徑記錄254和密鑰記錄255作為數(shù)據(jù)。密鑰管理單元215管理兩種密鑰,即,在特定中繼設(shè)備20加入網(wǎng)絡(luò)之前由該中繼設(shè)備設(shè)置的預(yù)共享密鑰、以及用于對網(wǎng)絡(luò)上的數(shù)據(jù)通信中所使用的通信數(shù)據(jù)進行加密或解密并具有預(yù)定壽命的公共密鑰。在以下描述中,術(shù)語“加密密鑰”表示公共密鑰。首先,將描述存儲在存儲單元25中的每個信息項。圖4是示出I3R表251的結(jié)構(gòu)的示圖。I3R表251具有表示網(wǎng)絡(luò)地址的信息,該網(wǎng)絡(luò)地址包括數(shù)據(jù)包的目的地信息中的專用地址。在I3R表251中,用作用于查詢分布式數(shù)據(jù)庫(將在以下進行描述)的檢索關(guān)鍵字(search key)的網(wǎng)絡(luò)地址與網(wǎng)絡(luò)地址的前綴長度 (PL)相關(guān)聯(lián)。例如,在圖4所示的I3R表251中,網(wǎng)絡(luò)地址“192. 168. 100. 0”的前綴長度為“26”, 并包括“192. 168. 100.0”至“192. 168. 100. 63”的范圍內(nèi)的專用地址。因此,例如,當專用地址為“192. 168. 100. 7”時,對應(yīng)的網(wǎng)絡(luò)地址為“192. 168. 100. 0”。當對應(yīng)于專用地址的網(wǎng)絡(luò)地址沒有包括在ra表251中時,前綴長度被認為是作為缺省值的“24”。如此,I3R表251表示網(wǎng)絡(luò)地址和專用地址之間的對應(yīng)關(guān)系。將被調(diào)度來連接至通信網(wǎng)絡(luò)10的每個中繼設(shè)備20的網(wǎng)絡(luò)地址中的所有的網(wǎng)絡(luò)地址與前綴長度之間的關(guān)系被預(yù)先登記到ra表251中,從而網(wǎng)絡(luò)地址與前綴長度相互關(guān)聯(lián)。然而,當使用如分布式數(shù)據(jù)庫 (下面進行描述)中的結(jié)構(gòu)化覆蓋執(zhí)行分布式管理時,只可以存儲中繼設(shè)備的網(wǎng)絡(luò)地址與前綴長度之間的對應(yīng)關(guān)系。在路徑表252中登記存儲了路徑表252的中繼設(shè)備20的網(wǎng)絡(luò)地址。S卩,路徑表 252是其中連接至中繼設(shè)備20的LAN 30的網(wǎng)絡(luò)地址與為中繼設(shè)備20設(shè)置的全局地址相關(guān)聯(lián)的信息。中繼設(shè)備20的全局地址可以被登記為主路徑。此外,可以登記與諸如現(xiàn)有技術(shù)使用的路由表之類的路徑表相對應(yīng)的信息。分布式DB部分數(shù)據(jù)庫253是在被使用結(jié)構(gòu)化覆蓋來分布式地管理的分布式數(shù)據(jù)庫中包括的數(shù)據(jù)組的一部分。如上所述,分布式DB部分數(shù)據(jù)庫253包括路徑記錄254和密鑰記錄255。通過部分地集成存儲在連接至通信網(wǎng)絡(luò)10的每個中繼設(shè)備20中的路徑表 252來獲得路徑記錄254。路徑記錄254具有與每個中繼設(shè)備20中的路徑表252相對應(yīng)的內(nèi)容,并且部分地包括例如主機設(shè)備的路徑表252和另一中繼設(shè)備20的路徑表252。當連接至通信網(wǎng)絡(luò)10的另一中繼設(shè)備20發(fā)生變化或者另一中繼設(shè)備20中的路徑表252發(fā)生變化而導(dǎo)致分布式數(shù)據(jù)庫的變化時,結(jié)構(gòu)化覆蓋處理單元212更新路徑記錄254的內(nèi)容。密鑰記錄255是在由連接至通信網(wǎng)絡(luò)10的每個中繼設(shè)備20所配置的結(jié)構(gòu)化覆蓋上使用的加密密鑰,并包括作為每個加密密鑰的標識符的關(guān)鍵字和表示每個加密密鑰的當前狀態(tài)的值。密鑰記錄255包括兩個記錄,S卩,具有用于對在當前結(jié)構(gòu)化覆蓋上使用的加密密鑰進行識別的關(guān)鍵字“KeyCurrent”的記錄,和具有用于對在當前使用的加密密鑰的壽命終止時使用的下一加密密鑰進行識別的關(guān)鍵字“KeyNext”的記錄。在VPN處理單元213 (以下進行描述)的加密和解密處理中使用加密密鑰。在該實例中,所有中繼設(shè)備20共用的加密密鑰被用于對在中繼設(shè)備20之間的通信中使用的通信數(shù)據(jù)進行加密和解密。圖5是示出分布式數(shù)據(jù)庫的結(jié)構(gòu)的示圖。如上所述,分布式數(shù)據(jù)庫通過結(jié)構(gòu)化覆蓋被分布式地管理為每個中繼設(shè)備20的分布式DB部分數(shù)據(jù)庫253。整個數(shù)據(jù)庫存儲通過集成每個中繼設(shè)備20中的路徑表252中的所有路徑表而獲得的內(nèi)容,作為與路徑相關(guān)的數(shù)據(jù)。因此,在分布式數(shù)據(jù)庫中的與路徑相關(guān)的數(shù)據(jù)中,網(wǎng)絡(luò)地址與具有該網(wǎng)絡(luò)地址的中繼設(shè)備20的全局地址相關(guān)聯(lián)。此外,分布式數(shù)據(jù)庫管理加密密鑰。例如,在圖5所示的分布式數(shù)據(jù)庫中,網(wǎng)絡(luò)地址“192. 168. 100. 0”在具有全局地址 "2xx. 100. 200. 1”的中繼設(shè)備20下。當結(jié)構(gòu)化覆蓋處理單元212使用網(wǎng)絡(luò)地址作為檢索關(guān)鍵字來查詢分布式數(shù)據(jù)庫時,可以獲取相應(yīng)中繼設(shè)備20的全局地址作為響應(yīng)。如此,當通過結(jié)構(gòu)化覆蓋分布式地管理與路徑相關(guān)的數(shù)據(jù)時,每個中繼設(shè)備20的路徑表252可以不與分布式數(shù)據(jù)庫相同。在圖5所示的分布式數(shù)據(jù)庫中,當前在結(jié)構(gòu)化覆蓋上使用的加密密鑰 “KeyCurrent"和在當前使用的加密密鑰“KeyCurrent”的壽命終止時所使用的下一加密密鑰“KeyNext”被登記以便與其內(nèi)容相關(guān)聯(lián)。在加入網(wǎng)絡(luò)的中繼設(shè)備20中,結(jié)構(gòu)化覆蓋處理單元212(下面進行描述)使用用于識別當前使用的加密密鑰的“KeyCurrent”或者用于識別下一加密密鑰的“KeyNext”作為檢索關(guān)鍵字來查詢分布式數(shù)據(jù)庫,以獲取加密密鑰。然后,中繼設(shè)備20使用獲取的加密密鑰更新其分布式DB部分數(shù)據(jù)庫253中的密鑰記錄255??梢耘渲梅植际綌?shù)據(jù)庫,使得連接至通信網(wǎng)絡(luò)10的每個中繼設(shè)備20的全局地址與連接至每個中繼設(shè)備20的LAN 30中的通信終端的專用地址之間的對應(yīng)關(guān)系是已知的。 因此,對應(yīng)于全局地址的信息可以不通過網(wǎng)絡(luò)地址表示,并且可以使用與專用地址相關(guān)聯(lián)的任何信息。例如,與專用地址相關(guān)的信息可以為專用地址或所述范圍內(nèi)指定的信息。當使用通過網(wǎng)絡(luò)地址和前綴長度表示的信息時,可以不提供I3R表251。路徑高速緩存256臨時地存儲網(wǎng)絡(luò)地址與以這種方式獲取的全局地址之間的對應(yīng)關(guān)系。對于相同的網(wǎng)絡(luò)地址,可以通過參考路徑高速緩存256來高速地獲取所述對應(yīng)關(guān)系而不用查詢分布式數(shù)據(jù)庫。上面已經(jīng)描述了存儲在存儲單元25中的每個信息項。接下來,返回到圖3,將描述數(shù)據(jù)包處理單元211、結(jié)構(gòu)化覆蓋處理單元212、VPN處理單元213、路徑管理單元214和密鑰管理單元215。當?shù)谝煌ㄐ臝F單元23接收到作為從連接至中繼設(shè)備20的LAN30中的通信終端傳輸?shù)耐ㄐ艛?shù)據(jù)的數(shù)據(jù)包時,數(shù)據(jù)包數(shù)據(jù)單元211獲取所接收的數(shù)據(jù)包。數(shù)據(jù)包包括表示作為目的地的通信終端的專用地址的目的地信息。當數(shù)據(jù)包的目的地的專用地址不是連接至中繼設(shè)備20的LAN 30中的通信終端時,數(shù)據(jù)包處理單元211參考路徑表252并向VPN 處理單213輸出數(shù)據(jù)包。當作為輸出的響應(yīng)獲取經(jīng)過了 VPN傳輸處理(以下進行描述)的數(shù)據(jù)包時,數(shù)據(jù)包處理單元211通過通信網(wǎng)絡(luò)10將數(shù)據(jù)包從第二通信IF單元214傳輸至具有通過以下方法確定的全局地址的另一中繼設(shè)備20。當?shù)诙ㄐ臝F單元24從通信網(wǎng)絡(luò)10接收經(jīng)過了 VPN傳輸處理的數(shù)據(jù)包時,數(shù)據(jù)包處理單元211獲取所接收的數(shù)據(jù)包。然后,數(shù)據(jù)包處理單元211向VPN處理單元213輸出該數(shù)據(jù)包。當作為對輸出的響應(yīng)獲取經(jīng)過了 VPN接收處理(以下進行描述)的數(shù)據(jù)包時, 數(shù)據(jù)包處理單元211參考路徑表252將數(shù)據(jù)包從第一通信IF單元23傳輸至具有通過目的地信息表示的專用地址的通信終端。結(jié)構(gòu)化覆蓋處理單212根據(jù)預(yù)定的結(jié)構(gòu)化算法和協(xié)議通過數(shù)據(jù)包處理單元211和第二通信IF單元24來控制與另一中繼設(shè)備20的通信,以在連接至通信網(wǎng)絡(luò)10的各中繼設(shè)備20之間配置結(jié)構(gòu)化覆蓋。然后,結(jié)構(gòu)化覆蓋處理單元212使用結(jié)構(gòu)化覆蓋向各中繼設(shè)備 20分配與分布式數(shù)據(jù)庫中的路徑相關(guān)的數(shù)據(jù)來作為分布式DB部分數(shù)據(jù)庫253的路徑記錄254,并管理數(shù)據(jù)。此外,結(jié)構(gòu)化覆蓋處理單元212使用結(jié)構(gòu)化覆蓋向各中繼設(shè)備20分配與分布式數(shù)據(jù)庫中的加密密鑰相關(guān)的數(shù)據(jù)來作為分布式DB部分數(shù)據(jù)庫253的密鑰記錄255, 并管理數(shù)據(jù)。特定中繼設(shè)備20使用網(wǎng)絡(luò)地址作為檢索關(guān)鍵字來查詢分布式數(shù)據(jù)庫,并作為響應(yīng)獲取表示另一中繼設(shè)備20的全局地址。以這種方式,指定了將傳輸數(shù)據(jù)包的中繼設(shè)備 20的全局地址。由于特定中繼設(shè)備20使用用于識別當前使用的加密密鑰的“KeyCurrent” 或用于識別下一加密密鑰的“KeyNext”作為檢索關(guān)鍵字來查詢分布式數(shù)據(jù)庫以獲取加密密鑰,所以可以使用獲取的加密密鑰以最新的一個密鑰記錄來更新密鑰記錄255。結(jié)構(gòu)化覆蓋處理單元212參考冊表251識別與從VPN處理單元213接收的專用地址相對應(yīng)的網(wǎng)絡(luò)地址,并將該網(wǎng)絡(luò)地址用作檢索關(guān)鍵字來用于查詢分布式數(shù)據(jù)庫,這將在下面進行描述。然后,結(jié)構(gòu)化覆蓋處理單元212向VPN處理單元213通知所指定的全局地址。結(jié)構(gòu)化覆蓋處理單元212響應(yīng)于來自密鑰管理單元215的請求向分布式數(shù)據(jù)庫登記加密密鑰、從分布式數(shù)據(jù)庫檢索加密密鑰、或者向在路徑記錄254中管理的另一中繼設(shè)備 20分配加密密鑰,這將在以下進行描述。當由第一通信IF單元23接收的數(shù)據(jù)包從數(shù)據(jù)包處理單元211輸入時,VPN處理單元213執(zhí)行VPN傳輸處理。如下執(zhí)行VPN傳輸處理。首先,VPN處理單元213在輸入數(shù)據(jù)包的目的地信息中獲取專用地址。然后,VPN處理單元213參考路徑高速緩存256確定是否存在對應(yīng)于專用地址的全局地址。當存在對應(yīng)于專用地址的全局地址時,VPN處理單元213 獲取全局地址。另一方面,當不存在對應(yīng)于專用地址的全局地址時,VPN處理單元213向結(jié)構(gòu)化覆蓋處理單元212通知專用地址,并對作為來自分布式數(shù)據(jù)庫的響應(yīng)的全局地址進行獲取。在這種情況下,VPN處理單元213臨時地將專用地址與獲取的全局地址之間的對應(yīng)關(guān)系存儲在路徑高速緩存256中。然后,VPN處理單元213參照密鑰記錄255中的關(guān)鍵字“KeyCurrent”的加密密鑰來加密數(shù)據(jù)包,并通過數(shù)據(jù)包處理單元211和第二通信IF單元24將加密的數(shù)據(jù)包傳輸至與所獲取的全局地址相對應(yīng)的中繼設(shè)備20。以上描述了 VPN傳輸處理。當由第二通信IF單元24接收的數(shù)據(jù)包(在另一中繼設(shè)備20中經(jīng)過了 VPN傳輸處理的數(shù)據(jù)包)從數(shù)據(jù)包處理單元211輸入時,VPN處理單元213執(zhí)行VPN接收處理。VPN 接收處理參考密鑰記錄255中的密鑰“KeyCurrent”的加密密鑰來對加密數(shù)據(jù)包進行解密, 并向數(shù)據(jù)包處理單元211輸出解密的數(shù)據(jù)包。如上所述,當輸出解密的數(shù)據(jù)包時,通過數(shù)據(jù)包處理單元211和第一通信IF單元23將其傳輸至具有數(shù)據(jù)包的目的地信息中的專用地址的通信終端。路徑管理單元214使用結(jié)構(gòu)化覆蓋來管理結(jié)構(gòu)化覆蓋處理單元212的路徑并更新路徑表252。路徑管理單元214可以使用根據(jù)現(xiàn)有技術(shù)的路由協(xié)議(諸如OSPF(開放式最短路徑優(yōu)先)或RIP (路由信息協(xié)議)),或者可選地可以靜態(tài)地設(shè)置路徑。通常,在許多情況下,當設(shè)置VPN的路徑時,定義作為傳輸目的地的對應(yīng)于每個中繼設(shè)備的虛擬接口,并且描述具有作為目的地的虛擬接口的路徑。然而,在該方法中,需要根據(jù)加入網(wǎng)絡(luò)的中繼設(shè)備的數(shù)量的增加或減少來改變路徑,這導(dǎo)致管理負荷的增加。相反, 在本實施例中,可以僅定義通過集成作為傳輸目的地的多個中繼設(shè)備20而獲得的一個虛擬接口,并且可以描述具有作為目的地的該接口的路徑。以這種方式,即使當加入網(wǎng)絡(luò)的中繼設(shè)備20的數(shù)量增加或減少時,也可以操作系統(tǒng)而不改變路徑的設(shè)置。因此,可以減少管理負荷。如上所述,密鑰管理單元215管理用于加密和解密的兩種密鑰。第一種密鑰是預(yù)共享密鑰。預(yù)共享密鑰由結(jié)構(gòu)化覆蓋處理單元212使用。當特定中繼設(shè)備20傳輸認證信息以參與結(jié)構(gòu)化覆蓋時、或者當傳輸用于對由結(jié)構(gòu)化覆蓋管理的路徑信息進行分配或檢索的控制消息或用于對數(shù)據(jù)進行加密的加密密鑰時,使用預(yù)共享密鑰以用于加密。第二種密鑰是用于對用于數(shù)據(jù)通信的通信路徑進行加密或解密的公共密鑰,即,其為由VPN處理單元213用來加密或解密數(shù)據(jù)包的公共密鑰。密鑰記錄255中的加密密鑰和分布式數(shù)據(jù)庫中登記的加密密鑰為公共密鑰。加密密鑰具有預(yù)定壽命。作為密鑰服務(wù)器進行操作的中繼設(shè)備20的密鑰管理單元215在當前使用的加密密鑰的壽命終止之前的預(yù)定時間生成新加密密鑰,并向結(jié)構(gòu)化覆蓋處理單元212通知新加密密鑰。結(jié)構(gòu)化覆蓋處理單元212接收新加密密鑰、在分布式數(shù)據(jù)庫中登記該新加密密鑰、并向另一中繼設(shè)備20分配該新加密密鑰。處于每一點的另一中繼設(shè)備20的密鑰管理單元215在當前使用的加密密鑰的壽命終止之前的預(yù)定時間向結(jié)構(gòu)化覆蓋處理單元212傳輸通知。結(jié)構(gòu)化覆蓋處理單元212接收該通知并從分布式數(shù)據(jù)庫中檢索新加密密鑰。當獲取到新加密密鑰時,結(jié)構(gòu)化覆蓋處理單元212向密鑰管理單元215傳輸新加密密鑰。密鑰管理單元215向密鑰記錄255添加該新加密密鑰作為關(guān)鍵字“KeyNext” 的記錄。作為密鑰服務(wù)器來操作的中繼設(shè)備20不必是特殊服務(wù)器。密鑰服務(wù)器的功能被提供為中繼設(shè)備20的功能的一部分,并且用戶可以使用UI單元22來改變設(shè)置,以使得中繼設(shè)備20作為或不作為密鑰服務(wù)器進行操作。多個中繼設(shè)備20可以作為密鑰服務(wù)器進行操作。以上描述了通信處理功能。接下來,將描述中繼設(shè)備20的操作。首先,將參照圖6描述當中繼設(shè)備加入網(wǎng)絡(luò)時中繼設(shè)備的操作,然后,描述當在各中繼設(shè)備之間分配加密密鑰時通信系統(tǒng)1的操作。然后,將參照圖7描述使用加密密鑰在各通信終端之間執(zhí)行通信時通信系統(tǒng)1的操作。首先,中繼設(shè)備20的管理員設(shè)置初始節(jié)點、預(yù)共享密鑰和每個中繼設(shè)備20的設(shè)備名稱。初始節(jié)點表示首先訪問網(wǎng)絡(luò)以加入網(wǎng)絡(luò)的設(shè)備。初始節(jié)點不是諸如服務(wù)器的特殊節(jié)點,而是加入網(wǎng)絡(luò)的任意節(jié)點,例如另一中繼設(shè)備20。管理員設(shè)置初始節(jié)點的全局地址。如上所述,預(yù)共享密鑰被結(jié)構(gòu)化覆蓋處理單元212用于加密控制消息,比如結(jié)構(gòu)化覆蓋的消息。設(shè)備名稱用于識別網(wǎng)絡(luò)上的中繼設(shè)備20,并被用作結(jié)構(gòu)化覆蓋上的節(jié)點的標識符。每個中繼設(shè)備20都基于設(shè)置加入網(wǎng)絡(luò),并初始化通過結(jié)構(gòu)化覆蓋分布式地管理的分布式數(shù)據(jù)庫中所存儲的路徑記錄254。每個中繼設(shè)備20都使用用于識別當前使用的加密密鑰的“KeyCurrent”作為檢索關(guān)鍵字來查詢分布式數(shù)據(jù)庫,以獲取加密密鑰,并使用獲取的加密密鑰來初始化密鑰記錄255。根據(jù)其中對結(jié)構(gòu)化數(shù)據(jù)庫進行分布式管理的結(jié)構(gòu), 當新中繼設(shè)備具有上述設(shè)置時,即使新中繼設(shè)備20加入網(wǎng)絡(luò),也不需要改變網(wǎng)絡(luò)上中繼設(shè)備20的設(shè)置。當加入網(wǎng)絡(luò)時,中繼設(shè)備20可以在通過結(jié)構(gòu)化覆蓋分布式地管理的分布式數(shù)據(jù)庫中登記其路徑表252,以向另一中繼設(shè)備20通知該中繼設(shè)備20的存在。圖6是示出各中繼設(shè)備之間的加密密鑰的分配操作的示圖。假設(shè)在圖6中中繼設(shè)備20A作為密鑰服務(wù)器進行操作,中繼設(shè)備20A在加密密鑰的壽命終止之前的預(yù)定時間確定加密密鑰的壽命終止(步驟Sl中為是),并生成新加密密鑰(步驟S2)。當確定加密密鑰的壽命還沒有終止時(步驟Sl中為否),中繼設(shè)備20A不生成新加密密鑰。當生成加密密鑰時,中繼設(shè)備20A向其密鑰記錄255添加生成的加密密鑰作為關(guān)鍵字“KeyNext”的記錄(步驟S3)。然后,中繼設(shè)備20A在通過結(jié)構(gòu)化覆蓋分布式地管理的分布式數(shù)據(jù)庫中登記新生成的加密密鑰作為關(guān)鍵字“KeyNext” (步驟S4)。以這種方式,在分布式數(shù)據(jù)庫中登記了新加密密鑰(步驟S5)。然后,中繼設(shè)備20A向另一中繼設(shè)備20分配新生成的加密密鑰(步驟S6)。S卩,中繼設(shè)備20A參考與結(jié)構(gòu)化覆蓋上的分布式數(shù)據(jù)庫的路徑相關(guān)的數(shù)據(jù),并基于參考結(jié)果向另一中繼設(shè)備20B分配新生成的加密密鑰。當接收到新加密密鑰時,中繼設(shè)備20B向其密鑰記錄255添加新加密密鑰作為關(guān)鍵字“KeyNext”的記錄(步驟S7)。在該實施例中,假設(shè)中繼設(shè)備20C的加密密鑰的壽命在預(yù)定時間段之前終止(步驟S8中為是)。在這種情況下, 中繼設(shè)備20C使用檢索關(guān)鍵字“KeyNext”檢索結(jié)構(gòu)化覆蓋上的分布式數(shù)據(jù)庫,并查詢新加密密鑰(步驟S9)。然后,中繼設(shè)備20C參考分布式數(shù)據(jù)庫(步驟S10),并根據(jù)參考結(jié)果獲取新加密密鑰,以及向其密鑰記錄255添加新加密密鑰作為關(guān)鍵字“KeyNext”的記錄(步驟Sll)。然后,在當前使用的加密密鑰的壽命終止時,每個中繼設(shè)備20和分布式數(shù)據(jù)庫都利用其中登記的加密密鑰中的關(guān)鍵字“KeyNext”的記錄值來更新關(guān)鍵字“KeyCurrent”的記錄值,并刪除關(guān)鍵字“KeyNext”的記錄(步驟S12至S15)。使用以這種方式分配的加密密鑰執(zhí)行各通信終端之間的數(shù)據(jù)通信。圖7是示出各通信終端之間的數(shù)據(jù)通信中的通信處理的操作的示圖。在以下描述中,假設(shè)從連接至中繼設(shè)備20A的通信終端A-X傳輸通信數(shù)據(jù)包,并且數(shù)據(jù)包的目的地信息表示連接至中繼設(shè)備20B(全局地址“2xx. 100.200. 1”)的通信終端B-Y(專用地址 “192.168.100.2”)。此外,假設(shè)I3R表251具有圖4所示的內(nèi)容,并且通過結(jié)構(gòu)化覆蓋分布式地管理的分布式數(shù)據(jù)庫具有圖5所示的內(nèi)容。首先,通信終端A-X向通信終端B-Y傳輸數(shù)據(jù)(步驟S110)。當接收到傳輸?shù)臄?shù)據(jù)包時,中繼設(shè)備20A參考數(shù)據(jù)包的目的地信息來識別作為目的地的通信終端的專用地址(步驟S120)。當識別出專用地址“192. 168. 100. 2”時,中繼設(shè)備20A參照I3R表251 提取對應(yīng)的網(wǎng)絡(luò)地址作為檢索關(guān)鍵字(步驟S130)。提取的檢索關(guān)鍵字具有網(wǎng)絡(luò)地址 “192. 168. 100. 0”。然后,中繼設(shè)備20A確定在其路徑高速緩存256中是否存在對應(yīng)于檢索關(guān)鍵字的地址(步驟S135)。當存在對應(yīng)于檢索關(guān)鍵字的地址時(步驟S135中為是),則中繼設(shè)備 20A將具有該地址的中繼設(shè)備20B識別為數(shù)據(jù)包傳輸路徑(步驟S160)。另一方面,當不存在對應(yīng)于檢索關(guān)鍵字的地址時(步驟S135中為否),則中繼設(shè)備20A使用檢索關(guān)鍵字來查詢通過結(jié)構(gòu)化覆蓋分布式地管理的分布式數(shù)據(jù)庫(路徑DB)(步驟S140)。然后,中繼設(shè)備 20A參考分布式數(shù)據(jù)庫(步驟S150),并被通知與從參考結(jié)果獲得的檢索關(guān)鍵字對應(yīng)的地址 (全局地址“2xx. 100. 200. 1”)。中繼設(shè)備20A將具有該全局地址的中繼設(shè)備20B識別為數(shù)據(jù)包的傳輸目的地(步驟S160)。中繼設(shè)備20A將通過參考分布式數(shù)據(jù)庫識別出的路徑登記到其路徑高速緩存256中。中繼設(shè)備20A對從通信終端A-X接收的數(shù)據(jù)包執(zhí)行VPN傳輸處理(步驟S170),并通過通信網(wǎng)絡(luò)10將加密的數(shù)據(jù)包從虛擬接口傳輸至作為目的地的中繼設(shè)備20B。中繼設(shè)備20B使用虛擬接口從結(jié)構(gòu)化覆蓋的網(wǎng)絡(luò)接收在中繼設(shè)備20A中經(jīng)過了VPN傳輸處理的數(shù)據(jù)包,并對數(shù)據(jù)包執(zhí)行VPN接收處理(步驟S180)以解密數(shù)據(jù)包。然后, 中繼設(shè)備20B識別出具有由解密數(shù)據(jù)包的目的地信息所表示的專用地址“192. 168. 100.2” 的通信終端(通信終端B-Y)(步驟S190),并向通信終端B-Y傳輸解密數(shù)據(jù)包。然后,通信終端B-Y接收從中繼設(shè)備20B傳輸?shù)臄?shù)據(jù)包,從而接收從通信終端A-X傳輸?shù)臄?shù)據(jù)(步驟 S200)。如此,中繼設(shè)備20在通過結(jié)構(gòu)化覆蓋分布式管理的分布式數(shù)據(jù)庫中登記對通信路徑進行加密或解密所需的加密密鑰。因此,可以有效地執(zhí)行各種管理處理,諸如加密密鑰的分配、共享和更新。具體地,當加密密鑰的壽命終止時,用作密鑰服務(wù)器的中繼設(shè)備20生成新加密密鑰、在分布式數(shù)據(jù)庫中登記該新加密密鑰、并向另一中繼設(shè)備20分配該新加密密鑰。當另一中繼設(shè)備20中的加密密鑰的壽命終止時,中繼設(shè)備20檢索分布式數(shù)據(jù)庫,以獲取新加密密鑰。此時,由于加密密鑰由分布式數(shù)據(jù)庫來管理,所以各處理未集中在用作密鑰服務(wù)器進行操作的中繼設(shè)備20上,并且每個中繼設(shè)備20都自主地獲取或更新加密密鑰。 因此,容易在整個系統(tǒng)中管理加密密鑰。中繼設(shè)備20參考分布式數(shù)據(jù)庫來將與從連接的通信終端傳輸?shù)臄?shù)據(jù)包的目的地信息相對應(yīng)的另一中繼設(shè)備20識別為傳輸路徑,并沿著該傳輸路徑傳輸被加密密鑰加密的數(shù)據(jù)包,使得作為傳輸目的地的連接至中繼設(shè)備20的通信終端接收到該數(shù)據(jù)包。在這種情況下,由于數(shù)據(jù)包被分布式地管理,所以即使當新中繼設(shè)備20加入網(wǎng)絡(luò)或者中繼設(shè)備20脫離網(wǎng)絡(luò)時,也不需要預(yù)先改變另一中繼設(shè)備20的設(shè)置。 此外,可以減少將被存儲在每個中繼設(shè)備20中的路徑表252的數(shù)據(jù)量。由于使用了對于整個網(wǎng)絡(luò)公共的加密密鑰,所以不需要針對每個文件或每個通信參與方生成加密密鑰,并且可以執(zhí)行高速加密通信。此外,連接至中繼設(shè)備20的通信終端不需要例如用于使用結(jié)構(gòu)化覆蓋的特殊軟件,并且可以連接至中繼設(shè)備20來執(zhí)行通信。由于可以不提供管理整個系統(tǒng)的服務(wù)器(其為故障的單點),所以系統(tǒng)是強健的。生成加密密鑰的中繼設(shè)備20不是集中式服務(wù)器,而是多個中繼設(shè)備20可以用作密鑰服務(wù)器。因此,用戶改變設(shè)置以控制冗余,并且處理是分布式的。結(jié)果,該系統(tǒng)是強健的。上述實施例可以如下進行變化。<修改例1>上述實施例中,在配置結(jié)構(gòu)化覆蓋的所有中繼設(shè)備之間使用公共加密密鑰。然而, 可以為每個點(每個中繼設(shè)備)生成加密密鑰,并且可以通過分布式數(shù)據(jù)庫管理加密密鑰。 根據(jù)該結(jié)構(gòu),與在所有中繼設(shè)備之間使用公共加密密鑰的結(jié)構(gòu)相比,提高了安全強度。此夕卜,由于使用了分布式數(shù)據(jù)庫來管理加密密鑰,所以可以減少密鑰的管理成本和密鑰查詢消息的集中?!葱薷睦?>根據(jù)上述實施例的控制程序被存儲在諸如磁性記錄介質(zhì)(例如磁帶或磁盤)、光學(xué)記錄介質(zhì)(例如光盤)、磁光記錄介質(zhì)或半導(dǎo)體存儲器之類的計算機可讀記錄介質(zhì)中,然后被提供。在這種情況下,可以在中繼設(shè)備20中提供用于從記錄介質(zhì)讀取數(shù)據(jù)的接口。此夕卜,可以通過網(wǎng)絡(luò)下載控制程序。參考標號列表1 通信系統(tǒng)10 通信網(wǎng)絡(luò)
20、20A、20B、20C、20D 中繼設(shè)備21 控制單元22 =UI 單元23 第一通信IF單元24 第二通信IF單元25:存儲單元26 總線211 數(shù)據(jù)包處理單元212 結(jié)構(gòu)化覆蓋處理單元213:VPN 處理單元214 路徑管理單元215 密鑰管理單元251:PR 表252 路徑表253 分布式DB部分數(shù)據(jù)庫254:路徑記錄255 密鑰記錄30、30A、30B、30C、30D :LAN
1權(quán)利要求
1.一種中繼設(shè)備,其使用VPN(虛擬專用網(wǎng)絡(luò))連接至另一中繼設(shè)備,并在連接至所述中繼設(shè)備的通信終端與連接至所述另一中繼設(shè)備的通信終端之間中繼通信,所述中繼設(shè)備包括覆蓋配置裝置,用于通過到所述另一中繼設(shè)備的連接來配置結(jié)構(gòu)化覆蓋,并使用所述結(jié)構(gòu)化覆蓋來分布式地管理分布式數(shù)據(jù)庫,所述分布式數(shù)據(jù)庫管理密鑰,所述密鑰用于對在配置所述結(jié)構(gòu)化覆蓋的所述中繼設(shè)備與所述另一中繼設(shè)備之間的通信中使用的數(shù)據(jù)進行加密和解密;生成裝置,用于在所述密鑰的有效期過期之前生成新密鑰;以及登記裝置,用于當所述生成裝置生成所述新密鑰時,在配置所述結(jié)構(gòu)化覆蓋的各中繼設(shè)備之間被分布式管理的所述分布式數(shù)據(jù)庫中登記所述新密鑰。
2.根據(jù)權(quán)利要求1所述的中繼設(shè)備,還包括獲取裝置,用于當所述生成裝置未生成所述新密鑰時,對在配置所述結(jié)構(gòu)化覆蓋的各中繼設(shè)備之間被分布式管理的所述分布式數(shù)據(jù)庫進行檢索,以在所述密鑰的有效期過期之前獲取所述新密鑰。
3.根據(jù)權(quán)利要求1或2所述的中繼設(shè)備,還包括分配裝置,用于當所述生成裝置生成所述新密鑰時,向配置所述結(jié)構(gòu)化覆蓋的另一中繼設(shè)備分配所述新密鑰。
4.根據(jù)權(quán)利要求1至3中任一項所述的中繼設(shè)備,其中所述密鑰是在配置所述結(jié)構(gòu)化覆蓋的各中繼設(shè)備之間的通信中的公共密鑰。
5.根據(jù)權(quán)利要求1至3中任一項所述的中繼設(shè)備,其中所述生成裝置針對配置所述結(jié)構(gòu)化覆蓋的每個中繼設(shè)備生成所述密鑰。
全文摘要
本發(fā)明提供了一種中繼設(shè)備,其使得使用連接至不同中繼設(shè)備的通信終端之間的VPN來容易地管理作為通信的一部分的加密密鑰。在當前使用的加密密鑰的壽命終止之前的一定時間,用作密鑰服務(wù)器的中繼設(shè)備(20)生成新加密密鑰、在分布式數(shù)據(jù)庫中登記該新加密密鑰、以及隨后向另一中繼設(shè)備(20)分配該新加密密鑰。同時,在當前使用的加密密鑰的壽命即將終止之前的一定時間,處于不同網(wǎng)絡(luò)中心的其他中繼設(shè)備(20)在分布式數(shù)據(jù)庫中檢索新加密密鑰并獲取所述新加密密鑰。
文檔編號H04L12/56GK102474458SQ201080033029
公開日2012年5月23日 申請日期2010年7月23日 優(yōu)先權(quán)日2009年7月24日
發(fā)明者上村信彥, 木村俊洋, 淺野貴裕, 渥美章佳 申請人:雅馬哈株式會社