JP5522201B2 - COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM - Google Patents
COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM Download PDFInfo
- Publication number
- JP5522201B2 JP5522201B2 JP2012129666A JP2012129666A JP5522201B2 JP 5522201 B2 JP5522201 B2 JP 5522201B2 JP 2012129666 A JP2012129666 A JP 2012129666A JP 2012129666 A JP2012129666 A JP 2012129666A JP 5522201 B2 JP5522201 B2 JP 5522201B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- information
- communication path
- communication
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信路復帰方法、通信装置及び通信システムに係り、特に確立された通信路が切断されたときに通信路を復帰させる通信路復帰方法、通信装置及び通信システムに関する。 The present invention, communication path restoration method relates to communication apparatus及beauty communications system, in particular established communications path restoration method Ru was ascribed restore the communication path when the communication path is disconnected, Shin passing It relates to an apparatus及beauty communications system.
例えばIPsec等のセキュアプロトコルを利用した暗号通信では、暗号通信を始める前に暗号化方法や暗号鍵などのセキュリティアソシエーション(SA)情報を交換・共有して、仮想的な暗号通信路であるIPsecトンネルを確立する。IPsecは、IPレベル(ネットワーク層)で暗号化や認証を行うセキュアプロトコルである。IPsecにおけるSA情報は、鍵交換プロトコルであるIKE(Internet Key Exchange)によってネゴシエーションされる。IPsecではネゴシエーションが終了すると、IPsecトンネルによる暗号通信が可能となる。特許文献1にはIPsecを利用した暗号通信の一例が記載されている。
For example, in encrypted communication using a secure protocol such as IPsec, an IPsec tunnel, which is a virtual encrypted communication path, exchanges and shares security association (SA) information such as an encryption method and an encryption key before starting encrypted communication. Establish. IPsec is a secure protocol that performs encryption and authentication at the IP level (network layer). SA information in IPsec is negotiated by IKE (Internet Key Exchange) which is a key exchange protocol. In IPsec, when negotiation is completed, encrypted communication through an IPsec tunnel is possible.
ところで、他の端末との間でIPsecトンネルを確立した端末は、電源断などの理由によりSA情報を消失してしまうことがあった。この場合、SA情報を消失していない他の端末は、IPsecトンネルが確立したままであると認識している。従って、SA情報を消失していない他の端末は、暗号通信相手の端末がSA情報を消失した後であってもIPsecトンネルによる暗号通信を行おうとする。 By the way, a terminal that has established an IPsec tunnel with another terminal sometimes loses SA information due to a power cut or the like. In this case, other terminals that have not lost the SA information recognize that the IPsec tunnel remains established. Accordingly, other terminals that have not lost the SA information try to perform encrypted communication using the IPsec tunnel even after the terminal of the encryption communication partner has lost the SA information.
一方、SA情報を消失した端末はIPsecトンネル経由で暗号化されたデータを受信したとしても、SA情報を消失している為、暗号化されたデータを復号できないという問題があった。従来、IPsecトンネルによる暗号通信では、IPsecトンネルを確立した端末の何れかがSA情報を消失した場合、再び、鍵交換プロトコルであるIKEによってネゴシエーションする必要があり、暗号通信を開始するまでに時間が掛かるという問題があった。 On the other hand, even if a terminal that has lost SA information receives encrypted data via an IPsec tunnel, there is a problem that the encrypted data cannot be decrypted because SA information has been lost. Conventionally, in cryptographic communication using an IPsec tunnel, if any of the terminals that have established the IPsec tunnel loses SA information, it is necessary to negotiate again with the IKE key exchange protocol. There was a problem of hanging.
本発明は、上記の点に鑑みなされたもので、通信路が切断されたとき、迅速に通信路を復帰させることが可能な通信路復帰方法、通信装置及び通信システムを提供することを目的とする。 The present invention has been made in view of the above, when the communication path is disconnected, communication path restoration method capable of rapidly ascribed recover the communication path, communication devices及beauty communications system The purpose is to provide.
上記課題を解決するため、本発明は、通信システムにおいて確立された通信路が切断されたときに前記通信路を復帰させる通信路復帰方法であって、第1の端末と第2の端末との間で前記通信路を確立したときに前記通信路を利用する為に必要な情報を、前記第1の端末と第2の端末とに記憶する情報記憶ステップと、前記第1の端末又は第2の端末の少なくとも一方が、前記情報を前記第1の端末及び第2の端末以外の管理装置へ登録する情報登録ステップと、前記第1の端末と第2の端末とに記憶されている前記情報のうち少なくとも一方が使用不能なとき、前記管理装置へ登録した情報に含まれる復旧可否情報に復旧が指定されているとき、前記情報を使用して前記通信路を復帰させる通信路復帰ステップとを有することを特徴とする。 To solve the above problems, the present invention provides a communication path restoration method Ru was ascribed restore the previous SL communications path when the communication path established in the communication system is disconnected, the first terminal information storage step the information necessary to use the pre-Symbol communications path is stored in said first terminal and a second terminal when establishing the previous SL communications path between the second terminal And an information registration step in which at least one of the first terminal or the second terminal registers the information in a management device other than the first terminal and the second terminal; the first terminal; when at least one of the information of the the terminal are stored is unavailable, when the recovery to recover availability information included in the information registered Previous Symbol management device is specified, using the information and having a front Symbol communication communication path restoration step of Ru a signal path was attributed condensate
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。 In addition, what applied the component, expression, or arbitrary combination of the component of this invention to a method, an apparatus, a system, a computer program, a recording medium, a data structure, etc. is also effective as an aspect of this invention.
本発明によれば、通信路が切断されたとき、迅速に通信路を復帰させることが可能な通信路復帰方法、通信装置及び通信システムを提供可能である。 According to the present invention, when the communication path is disconnected, communication path restoration method capable of rapidly ascribed recover the communication path, it is possible to provide a communication device及beauty communications system.
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。なお、本実施例では、セキュアプロトコルであるIPsecを例に説明しているが、仮想的な通信路(トンネル)を確立するプロトコルであるL2TP(Layer2 Tunneling Protocol)や、暗号通信を行うプロトコルであるSSL(Secure Socket Layer)への適用も可能である。例えばSSLでは秘密鍵及び暗号鍵がIPsecのSA情報に対応する。 Next, the best mode for carrying out the present invention will be described based on the following embodiments with reference to the drawings. In this embodiment, IPsec, which is a secure protocol, is described as an example, but L2TP (Layer2 Tunneling Protocol), which is a protocol for establishing a virtual communication path (tunnel), and protocol for performing cryptographic communication. Application to SSL (Secure Socket Layer) is also possible. For example, in SSL, the secret key and the encryption key correspond to the SA information of IPsec.
図1は本発明による暗号通信システムの一例の構成図である。図1の暗号通信システムは複数の端末1,2及びSA(セキュリティアソシエーション)管理サーバ3が、LANやインターネット等の公共ネットワーク4と通信可能に接続されている。なお、端末1及び端末2は、IPsecを利用した暗号通信が可能なPC,複合機等である。
FIG. 1 is a block diagram of an example of a cryptographic communication system according to the present invention. In the cryptographic communication system of FIG. 1, a plurality of
端末1及び2は、IPsecを利用した暗号通信を始める場合、暗号化方法や暗号鍵などのSA情報を交換・共有する為のネゴシエーションを行い(IKEフェーズ)、IPsecトンネル5を確立する。IPsecトンネル5が確立されると、端末1及び2は、IPsecトンネル5を利用した暗号通信を開始する(IPsecフェーズ)。
When starting encryption communication using IPsec, the
SA管理サーバ3は、端末1及び2の何れか一方又は両方から後述のように登録されるSA情報を管理する。SA管理サーバ3は、端末1及び2の何れか一方又は両方から後述のようにSA情報の問い合わせがあると、問い合わせ元の端末1及び2の何れか一方又は両方にSA情報を提供する。
The SA
図2は本発明による暗号通信システムの一例の機能図である。端末1及び2は、IPsec機能部12を有するIP機能部11,TCP/UDP機能部13,IKEデーモン14,HTTP機能部15,FTP機能部16を含むように構成されている。IPsec機能部12を有するIP機能部11は、ネットワーク層に含まれる。TCP/UDP機能部13は、トランスポート層に含まれる。IKEデーモン14,HTTP機能部15及びFTP機能部16は、アプリケーション層に含まれる。なお、HTTP機能部15はアプリケーション層に属するプロトコルの一例であって、他のプロトコルであってもよい。
FIG. 2 is a functional diagram of an example of a cryptographic communication system according to the present invention. The
IKEデーモン14はセキュリティポリシーデータベース(SPD)17によって管理されているIPsecポリシーの確認、取得の他、IPsecを利用した暗号通信の開始をSPDに記録しておくこともできる。なお、図2ではSPDを端末1及び2の外部記憶装置によって実現している例を示しているが、端末1及び2の内部記憶装置(例えば補助記憶装置)によって実現してもよい。
The IKE
端末1及び2のIKEデーモン14は暗号化方法や暗号鍵などのSA情報を交換・共有する為のネゴシエーションをIKEの標準手順に従って行う。端末1及び2はSA情報を主記憶装置としてのRAMに格納しておく。このように、SA情報は端末1及び2のRAM上に存在するため、端末1及び2の電源断により消失する。
The IKE
SA管理サーバ3は、SA情報登録デーモン21,SA情報検索デーモン22を含むように構成されている。SA情報登録デーモン21は、端末1及び2の何れか一方又は両方から保存要求のあったSA情報を、SA情報管理データベース23に登録する。図2ではSA情報管理データベース23をSA管理サーバ3の外部記憶装置によって実現している例を示しているが、SA管理サーバ3の内部記憶装置(例えば補助記憶装置)によって実現してもよい。SA情報検索デーモン22は、端末1及び2の何れか一方又は両方から検索要求のあったSA情報を、SA情報管理データベース23から検索する。
The SA
次に、端末1及び2がPCであるときのハードウェア構成について簡単に説明する。図3は端末の一例のハードウェア構成図である。
Next, a hardware configuration when the
端末1及び2は、バスBで相互に接続されている入力装置31,出力装置32,ドライブ装置33,補助記憶装置34,主記憶装置35,演算処理装置36,インターフェース装置37を含むように構成される。
The
入力装置31はキーボードやマウスなどで構成され、各種情報を入力するために用いられる。出力装置32はディスプレイ装置などで構成され、各種ウインドウやデータ等を表示するために用いられる。インターフェース装置37は、モデム,LANカードなどで構成されており、公共ネットワーク4に接続する為に用いられる。
The
端末1及び2を制御する各種プログラムは、例えば記録媒体38の配布や、公共ネットワーク4からのダウンロードなどによって提供される。各種プログラムを記録した記録媒体38は、CD−ROM、フレキシブルディスク、光磁気ディスクなどの様に情報を光学的,電気的或いは磁気的に記録する記録媒体、ROM、フラッシュメモリ等の様に情報を電気的に記録する半導体メモリ等、様々なタイプの記録媒体を用いることができる。
Various programs for controlling the
各種プログラムを記録した記録媒体38がドライブ装置33にセットされると、各種プログラムは記録媒体38からドライブ装置33を介して補助記憶装置34にインストールされる。公共ネットワーク4からダウンロードされた各種プログラムはインターフェース装置37を介して補助記憶装置34にインストールされる。
When the
補助記憶装置34は、インストールされた各種プログラムを格納すると共に、各種プログラムの実行に必要なファイル,データ等を格納する。主記憶装置35は、コンピュータの起動時に補助記憶装置34から各種プログラムを読み出して格納する。そして、演算処理装置36は主記憶装置35に格納された各種プログラムに従って、後述するような各種処理を実現している。
The
図4は、本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した一例のシーケンス図である。ステップS1に進み、端末2は自端末のSPD17によって管理されている端末1宛のIPsecポリシーを取得する。端末2は、ステップS2に進み、端末1宛のIPsecポリシーに応じたIPsec開始要求を、端末1に送信する。
FIG. 4 is a sequence diagram illustrating an example of a processing procedure when SA information is lost in the cryptographic communication system according to the present invention. In step S1, the
端末2からIPsec開始要求を受信すると、端末1はステップS3に進み、自端末のSPD17によって管理されている端末2宛のIPポリシーを検索する。端末2宛のIPポリシーがSPDから検索されれば、端末1はステップS4に進み、端末2宛のIPsecポリシーに応じたIPsec開始受付を、端末2に送信する。
When receiving the IPsec start request from the
ステップS4までの処理により、端末1及び2には図5及び図6に示すSA情報が主記憶装置35としてのRAMに格納される。図5は端末1のSA情報の一例を表した模式図である。図6は端末2のSA情報の一例を表した模式図である。
By the processing up to step S4, the SA information shown in FIGS. 5 and 6 is stored in the RAM as the
図5及び図6のSA情報は、項目(Field)及び値(Value)から成る。項目には、ID,src,dst,mode,protocol,direction,SPI,auth key,encrypt key,recoveryが含まれる。 The SA information in FIGS. 5 and 6 includes items (Field) and values (Value). The items include ID, src, dst, mode, protocol, direction, SPI, auth key, encrypt key, and recovery.
項目「ID」は、SA管理サーバ3で管理する為のユニークな識別子である。項目「src」は送信元のIPアドレスである。項目「dst」は宛先のIPアドレスである。項目「mode」は「トランスポートモード」又は「トンネルモード」の何れかを指定するものである。項目「protocol」は暗号化の機能を提供するプロトコルを指定するものである。項目「direction」は自端末から見た入力/出力方向を指定するものである。
The item “ID” is a unique identifier for management by the
項目「SPI」はセキュリティパラメータインデックスと呼ばれる、SA情報を管理する為の識別子である。項目「auth key」は認証鍵を表している。項目「encrypt key」は暗号鍵を表している。項目「recovery」はSA情報の復旧可否を指定している復旧可否フラグである。 The item “SPI” is an identifier for managing SA information called a security parameter index. The item “auth key” represents an authentication key. The item “encrypt key” represents an encryption key. The item “recovery” is a recovery enable / disable flag specifying whether or not SA information can be recovered.
ステップS5に進み、端末2は図6に示すようなSA情報をSA管理サーバ3へ保存する為のSA情報登録要求をSA管理サーバ3へ送信する。SA管理サーバ3は、SA情報登録要求を受信するとステップS6に進み、SA情報をSA情報管理データベース23へ登録する。
In step S5, the
なお、図4のシーケンス図では端末2がSA情報をSA情報管理データベース23へ登録する例を表したが、端末1がSA情報をSA情報管理データベース23へ登録するようにしてもよいし、端末1及び2がSA情報をSA情報管理データベース23へ登録するようにしてもよい。図5及び図6のSA情報から明らかな様に、端末1及び端末2のSA情報は少なくとも一方のSA情報が分かれば、他方のSA情報を作成することができる。
4 represents an example in which the
端末1及び2は、IPsecを利用した暗号通信の開始を自端末のSPD17に記録しておく。ステップS7に進み、端末2は確立されたIPsecトンネル5経由で暗号化されたIPsecパケットを端末1へ送信する。ステップS8に進み、端末1は受信したIPsecパケットを図5のSA情報に基づき復号する。そして、端末1はステップS7で端末2から受信したIPsecパケットに対する応答を行う。
The
ステップS8の後、端末1は電源が切断されたものとする。ステップS9に進み、端末2は確立されたIPsecトンネル5経由で暗号化されたIPsecパケットを端末1へ送信する。このとき、端末1は電源が切断された状態であるため、IPsecパケットの受信及びそのIPsecパケットに対する応答を行うことができない。
After step S8, the
IPsecパケットに対する応答を受信することなく、ステップS9から所定の時間が経過すると、端末2はステップS10に進み、ステップS9で端末1へ送信したIPsecパケットを再送する。しかし、端末1は電源が切断された状態であるため、IPsecパケットの受信及びそのIPsecパケットに対する応答を行うことができない。
If a predetermined time elapses from step S9 without receiving a response to the IPsec packet, the
ステップS10の後、端末1は電源が投入されたものとする。IPsecパケットに対する応答を受信することなく、ステップS10から所定の時間が経過すると、端末2はステップS11に進み、ステップS9及びS10で端末1へ送信したIPsecパケットを再送する。
After step S10, the
しかし、端末1は端末2との間でIPsecトンネル5を確立したあと、電源が切断された為、RAMに格納していたSA情報を消失している。したがって、端末1は受信したIPsecパケットを復号できない。
However, since the
そこで、端末1はステップS12に進み、自端末のSPD17を確認し、IPsecを利用した端末2との暗号通信の開始が記録されているかを判定する。SPD17にIPsecを利用した端末2との暗号通信の開始が記録されていれば、端末1はステップS13に進み、電源が切断される前に端末2との間で暗号通信を行っていたと判定し、自端末のSA情報をSA管理サーバ3へ問い合わせる。
Therefore, the
なお、SPD17にIPsecを利用した端末2との暗号通信の開始が記録されていなければ、端末1は電源が切断される前に端末2との間で暗号通信を行っていなかったと判定し、端末2から受信したIPsecパケットを破棄する。
If the start of encrypted communication with the
ステップS14に進み、SA管理サーバ3は端末1から問い合わせのあったSA情報をSA情報管理データベース23から検索する。そして、ステップS15に進み、SA管理サーバ3は検索した端末1のSA情報をSA情報管理データベース23から読み出して端末1へ送信する。
In
端末1は受信したSA情報の項目「recovery」を参照し、SA情報の復旧可否に復旧が指定されていれば、SA情報をRAMに格納して使える状態とするSA復帰処理を行う。その後、端末1はステップS11で受信したIPsecパケットを、復帰した図5のSA情報に基づき復号する。そして、端末1はステップS11で端末2から受信したIPsecパケットに対する応答を行う。
The
なお、端末1及び2は、IPsecを利用した暗号通信を終了する場合、IPsecを利用した暗号通信の終了が分かるように、自端末のSPD17に記録しておく。
When
図7は、本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した一例のフローチャートである。 FIG. 7 is a flowchart illustrating an example of a processing procedure when SA information is lost in the cryptographic communication system according to the present invention.
ステップS22では、端末2が端末1宛のパケット送信要求を受ける。ステップS22に進み、端末2は自端末のSPD17によって管理されている端末1宛のIPsecポリシーを検索して取得する。端末2は、ステップS23に進み、端末1宛のIPsecポリシーに応じたIPsec開始要求を、端末1に送信する。
In step S22, the
ステップS24では、端末1がIPsec開始要求を待っている。端末2からIPsec開始要求を受信すると、端末1はステップS24からステップS25に進み、自端末のSPD17によって管理されている端末2宛のIPポリシーを検索する。
In step S24, the
端末2宛のIPポリシーがSPDから検索されれば(S26においてYES)、端末1はステップS27に進み、端末2宛のIPsecポリシーに応じたIPsec開始受付を端末2に送信する。端末2宛のIPポリシーがSPDから検索されなければ(S26においてNO)、端末1はステップS24に戻り、次のIPsec開始要求を待つ。
If the IP policy addressed to
ステップS27までの処理により、端末1及び2には図5及び図6に示すSA情報が主記憶装置35としてのRAMに格納される。ステップS28では、端末2がIPsec開始受付を待っている。端末1からIPsec開始受付を受信すると、端末2はステップS28からステップS29に進み、図6に示すようなSA情報をSA管理サーバ3へ保存する為のSA情報登録要求をSA管理サーバ3へ送信する。
By the processing up to step S27, the SA information shown in FIGS. 5 and 6 is stored in the RAM as the
ステップS30では、SA管理サーバ3が端末1又は2からの要求を待っている。端末2からSA情報登録要求を受信すると、SA管理サーバ3はステップS30からステップS31に進み、SA情報をSA情報管理データベース23へ登録する。ステップS32に進み、SA管理サーバ3は再び、端末1又は2からの要求を待つ。
In step S30, the
なお、ステップS33において、端末1はIPsecを利用した端末2との暗号通信の開始を自端末のSPD17に記録しておく。一方、ステップS34において、端末2はIPsecを利用した端末1との暗号通信の開始を自端末のSPD17に記録しておく。
In step S33, the terminal 1 records the start of encrypted communication with the
ステップS35に進み、端末2は確立されたIPsecトンネル5経由で、暗号化されたIPsecパケットを端末1へ送信する。ステップS36に進み、端末1は受信したIPsecパケットを図5のSA情報に基づき復号する。そして、端末1は端末2から受信したIPsecパケットに対する応答を行う。
In
ステップS36の後、端末1は電源が切断される。ステップS37に進み、端末2は確立されたIPsecトンネル5経由で、暗号化されたIPsecパケットを端末1へ送信する。このとき、端末1は電源が切断された状態であるため、IPsecパケットの受信及びそのIPsecパケットに対する応答を行うことができない。
After step S36, the
ステップS37の後、端末1は電源が投入される。IPsecパケットに対する応答を受信することなく、ステップS37から所定の時間が経過すると、端末2はステップS38に進み、ステップS37で端末1へ送信したIPsecパケットを再送する。ステップS39では、端末1がIPsec開始要求を待っている。
After step S37, the
確立されたIPsecトンネル5経由で、暗号化されたIPsecパケットを端末2から受信すると、端末1はRAMからSA情報を読み出そうとする。しかし、RAMにSA情報が格納されていない為、端末1はステップS39からステップS40に進み、自端末のSPD17を確認し、IPsecを利用した端末2との暗号通信の開始が記録されているか検索する。
When an encrypted IPsec packet is received from the
SPD17にIPsecを利用した端末2との暗号通信の開始が記録されていれば(S41においてYES)、端末1はステップS42に進み、電源が切断される前に端末2との間で暗号通信を行っていたと判定して、自端末のSA情報をSA管理サーバ3へ問い合わせる。
If the start of encrypted communication with
なお、SPD17にIPsecを利用した端末2との暗号通信の開始が記録されていなければ(S41においてNO)、端末1は電源が切断される前に端末2との間で暗号通信を行っていなかったと判定し、端末2から受信したIPsecパケットを破棄したあと、ステップS39に戻り、IPsec開始要求を待つ。
If the start of encrypted communication with the
ステップS43に進み、SA管理サーバ3は端末1から問い合わせのあったSA情報をSA情報管理データベース23から検索する。そして、SA管理サーバ3は検索した端末1のSA情報をSA情報管理データベース23から読み出して端末1へ送信する。
In step S 43, the
ステップS44に進み、端末1はSA管理サーバ3から受信したSA情報の項目「recovery」を参照する。SA情報の復旧可否に復旧が指定されていれば、端末1はSA情報の復旧が必要と判定し、ステップS45に進む。ステップS45では、端末1がSA情報をRAMに格納して使える状態とするSA復帰処理を行う。
In step S44, the
その後、端末1はステップS38で受信したIPsecパケットを、復帰した図5のSA情報に基づき復号する。そして、端末1はステップS46に進み、ステップS38で端末2から受信したIPsecパケットに対する応答を行う。なお、端末1及び2は、IPsecを利用した暗号通信を終了する場合、IPsecを利用した暗号通信の終了が分かるように、自端末のSPD17に記録しておく。
Thereafter, the
図8は、本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した他の例のシーケンス図である。なお、ステップS51〜S58の処理は、図4のステップS1〜S8と同様である為、説明を省略する。 FIG. 8 is a sequence diagram of another example showing a processing procedure when SA information is lost in the cryptographic communication system according to the present invention. In addition, since the process of step S51-S58 is the same as that of step S1-S8 of FIG. 4, description is abbreviate | omitted.
ステップS58の後、端末2は電源が一旦切断されたあと、再び電源が投入されたものとする。端末2は端末1宛のパケット送信要求を受ける。しかし、端末2は端末1との間でIPsecトンネル5を確立したあと、電源が切断された為、RAMに格納していたSA情報を消失している。
After step S58, it is assumed that the
そこで、端末2はステップS59に進み、自端末のSPD17を確認し、IPsecを利用した端末1との暗号通信の開始が記録されているかを判定する。SPD17にIPsecを利用した端末1との暗号通信の開始が記録されていれば、端末2はステップS60に進み、電源が切断される前に端末1との間で暗号通信を行っていたと判定し、自端末のSA情報をSA管理サーバ3へ問い合わせる。
Therefore, the
なお、SPD17にIPsecを利用した端末1との暗号通信の開始が記録されていなければ、端末2は電源が切断される前に端末1との間で暗号通信を行っていなかったと判定し、端末1宛のパケットを破棄する。
Note that if the start of encrypted communication with the
ステップS61に進み、SA管理サーバ3は端末2から問い合わせのあったSA情報をSA情報管理データベース23から検索する。そして、ステップS62に進み、SA管理サーバ3は検索した端末2のSA情報をSA情報管理データベース23から読み出して端末2へ送信する。
In step S 61, the
端末2は受信したSA情報の項目「recovery」を参照し、SA情報の復旧可否に復旧が指定されていれば、SA情報をRAMに格納して使える状態とするSA復帰処理を行う。
The
端末2は、復帰した図6のSA情報に基づきIPsecパケットを暗号化し、IPsecトンネル5経由で端末1へ送信する。そして、端末1はステップS63で端末2から受信したIPsecパケットに対する応答を行う。
The
なお、端末1及び2は、IPsecを利用した暗号通信を終了する場合、IPsecを利用した暗号通信の終了が分かるように、自端末のSPD17に記録しておく。
When
本発明による暗号通信システムでは、電源断などの理由によりSA情報を消失したとしても自端末のSPDにIPsecを利用した暗号通信の開始が記録されており、且つSA情報をSA管理サーバ3へ保存しておくことにより、IPsecトンネル5が切断されたとき、再度、IKEによってネゴシエーションすることなく、迅速にIPsecトンネル5を自動復帰させることが可能である。
In the cryptographic communication system according to the present invention, even if SA information is lost due to a power failure or the like, the start of cryptographic communication using IPsec is recorded in the SPD of the terminal itself, and the SA information is stored in the
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。 The present invention is not limited to the specifically disclosed embodiments, and various modifications and changes can be made without departing from the scope of the claims.
1,2 端末
3 SA(セキュリティアソシエーション)管理サーバ
4 公共ネットワーク
5 IPsecトンネル
11 IP機能部
12 IPsec機能部
13 TCP/UDP機能部
14 IKEデーモン
15 HTTP機能部
16 FTP機能部
17 セキュリティポリシーデータベース(SPD)
21 SA情報登録デーモン
22 SA情報検索デーモン
23 SA情報管理データベース
31 入力装置
32 出力装置
33 ドライブ装置
34 補助記憶装置
35 主記憶装置
36 演算処理装置
37 インターフェース装置
38 記録媒体
B バス
DESCRIPTION OF
21 SA
Claims (7)
第1の端末と第2の端末との間で前記通信路を確立したときに前記通信路を利用する為に必要な情報を、前記第1の端末と第2の端末とに記憶する情報記憶ステップと、
前記第1の端末又は第2の端末の少なくとも一方が、前記情報を前記第1の端末及び第2の端末以外の管理装置へ登録する情報登録ステップと、
前記第1の端末と第2の端末とに記憶されている前記情報のうち少なくとも一方が使用不能なとき、前記管理装置へ登録した情報に含まれる復旧可否情報に復旧が指定されているとき、前記情報を使用して前記通信路を復帰させる通信路復帰ステップと
を有する通信路復帰方法。 A communication path return method for returning the communication path when the communication path established in the communication system is disconnected,
Information storage for storing information necessary for using the communication path when the communication path is established between the first terminal and the second terminal in the first terminal and the second terminal Steps,
An information registration step in which at least one of the first terminal and the second terminal registers the information in a management device other than the first terminal and the second terminal;
When at least one of the information stored in the first terminal and the second terminal is unusable, when recovery is specified in the recovery availability information included in the information registered in the management device, A communication path return method comprising: a communication path return step for returning the communication path using the information.
前記通信路復帰ステップは、前記第1の端末の前記情報が使用不能となった後、前記第2の端末から前記通信路を利用したデータを受信し、且つ前記第1の端末の前記不揮発性の記憶手段に前記通信路による通信の開始が記録されているとき、前記情報が使用不能となった前記第1の端末が、前記管理装置から前記情報を読み出すことを特徴とする請求項1記載の通信路復帰方法。 When the communication path is established between the first terminal and the second terminal, further comprising a communication start recording step of recording the start of communication through the communication path in a nonvolatile storage means,
The communication path return step receives data using the communication path from the second terminal after the information of the first terminal becomes unusable, and the non-volatility of the first terminal 2. The information processing apparatus according to claim 1, wherein when the start of communication through the communication path is recorded in the storage unit, the first terminal in which the information becomes unusable reads the information from the management device. Communication path return method.
前記通信路復帰ステップは、前記第2の端末の前記情報が使用不能となった後、前記第2の端末から前記第1の端末へ前記通信路を利用したデータを送信するとき、前記第2の端末の前記不揮発性の記憶手段に前記通信路による通信の開始が記録されていれば、前記情報が使用不能となった前記第2の端末が前記管理装置から前記情報を読み出すことを特徴とする請求項1記載の通信路復帰方法。 When the communication path is established between the first terminal and the second terminal, further comprising a communication start recording step of recording the start of communication through the communication path in a nonvolatile storage means,
In the communication path return step, the second terminal transmits data using the communication path from the second terminal to the first terminal after the information of the second terminal becomes unusable. If the start of communication through the communication path is recorded in the non-volatile storage means of the terminal, the second terminal in which the information becomes unusable reads the information from the management device. The communication path return method according to claim 1.
通信相手の端末との間で前記通信路を確立したときに前記通信路を利用する為に必要な情報を記憶する情報記憶手段と、
前記情報を前記通信相手の端末以外の管理装置へ登録する情報登録手段と、
前記情報記憶手段に記憶されている前記情報が使用不能なとき、前記管理装置へ登録した情報に含まれる復旧可否情報に復旧が指定されているとき、前記情報を使用して前記通信路を復帰させる通信路復帰手段と
を有する通信装置。 A communication device for returning the communication path when the communication path established in the communication system is disconnected,
Information storage means for storing information necessary to use the communication path when the communication path is established with a communication partner terminal;
Information registration means for registering the information in a management device other than the communication partner terminal;
When the information stored in the information storage means is unusable, when the restoration is specified in the restoration availability information included in the information registered in the management device, the communication path is restored using the information. A communication device having communication path return means.
第1の端末と第2の端末との間で前記通信路を確立したときに前記通信路を利用する為に必要な情報を、前記第1の端末と第2の端末とに記憶する情報記憶手段と、
前記第1の端末又は第2の端末の少なくとも一方が、前記情報を前記第1の端末及び第2の端末以外の管理装置へ登録する情報登録手段と、
前記第1の端末と第2の端末とに記憶されている前記情報のうち少なくとも一方が使用不能なとき、前記管理装置へ登録した情報に含まれる復旧可否情報に復旧が指定されているとき、前記情報を使用して前記通信路を復帰させる通信路復帰手段と
を有する通信システム。 A communication system for returning the communication path when the established communication path is disconnected,
Information storage for storing information necessary for using the communication path when the communication path is established between the first terminal and the second terminal in the first terminal and the second terminal Means,
Information registration means for registering at least one of the first terminal and the second terminal with a management device other than the first terminal and the second terminal;
When at least one of the information stored in the first terminal and the second terminal is unusable, when recovery is specified in the recovery availability information included in the information registered in the management device, A communication system comprising: a communication path returning means for returning the communication path using the information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012129666A JP5522201B2 (en) | 2012-06-07 | 2012-06-07 | COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012129666A JP5522201B2 (en) | 2012-06-07 | 2012-06-07 | COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007143643A Division JP5015662B2 (en) | 2007-05-30 | 2007-05-30 | Cryptographic channel return method, cryptographic communication device, and cryptographic communication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012177942A JP2012177942A (en) | 2012-09-13 |
JP5522201B2 true JP5522201B2 (en) | 2014-06-18 |
Family
ID=46979772
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012129666A Active JP5522201B2 (en) | 2012-06-07 | 2012-06-07 | COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5522201B2 (en) |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002344443A (en) * | 2001-05-15 | 2002-11-29 | Mitsubishi Electric Corp | Communication system and security association disconnection/continuing method |
JP3629237B2 (en) * | 2001-12-28 | 2005-03-16 | 株式会社東芝 | Node device and communication control method |
JP2004304696A (en) * | 2003-04-01 | 2004-10-28 | Matsushita Electric Ind Co Ltd | Encryption communication apparatus |
JP2005136739A (en) * | 2003-10-30 | 2005-05-26 | Furukawa Electric Co Ltd:The | Data relay method, data relay device and data relay system |
JP3980564B2 (en) * | 2004-01-26 | 2007-09-26 | 富士通株式会社 | Data communication method, data communication system, data communication program, and data communication apparatus |
JP2005354556A (en) * | 2004-06-14 | 2005-12-22 | Matsushita Electric Ind Co Ltd | Key exchanging device, system, and method, and encryption communication system |
JP2006191205A (en) * | 2004-12-28 | 2006-07-20 | Matsushita Electric Works Ltd | Communication apparatus, communication method, and communication system |
JP4215010B2 (en) * | 2005-03-04 | 2009-01-28 | 日本電気株式会社 | Security association continuation method and terminal device under variable IP address environment |
JP4427483B2 (en) * | 2005-04-27 | 2010-03-10 | 株式会社東芝 | Communication apparatus and communication method |
JP2006352500A (en) * | 2005-06-16 | 2006-12-28 | Matsushita Electric Ind Co Ltd | Processor and method for automatic key replacement processing |
JP4980627B2 (en) * | 2006-03-02 | 2012-07-18 | 株式会社リコー | Network equipment |
JP2008205763A (en) * | 2007-02-20 | 2008-09-04 | Ricoh Co Ltd | Communication device, and communication method and program |
JP2007184984A (en) * | 2007-03-26 | 2007-07-19 | Fujitsu Ltd | Data communication method, data communication program, and data communication equipment |
-
2012
- 2012-06-07 JP JP2012129666A patent/JP5522201B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012177942A (en) | 2012-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8045714B2 (en) | Systems and methods for managing multiple keys for file encryption and decryption | |
JP3629237B2 (en) | Node device and communication control method | |
US20170374025A1 (en) | Internet protocol security (ipsec) interface configuration and management | |
CN106209838B (en) | IP access method and device of SSL VPN | |
JP2012100206A (en) | Cryptographic communication relay system, cryptographic communication relay method and cryptographic communication relay program | |
JP5015662B2 (en) | Cryptographic channel return method, cryptographic communication device, and cryptographic communication system | |
US11082222B2 (en) | Secure data management | |
US20020083046A1 (en) | Database management device, database management method and storage medium therefor | |
JP4630296B2 (en) | Gateway device and authentication processing method | |
JP5522201B2 (en) | COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM | |
JP2004234538A (en) | Encrypted data sharing system | |
JP5319575B2 (en) | Communication method and communication system | |
JP5131118B2 (en) | Communication system, management device, relay device, and program | |
JP2008199420A (en) | Gateway device and authentication processing method | |
JP4415527B2 (en) | Communication terminal, communication establishment program, and communication system | |
CN114915583A (en) | Message processing method, client device, server device, and medium | |
TW201532414A (en) | A peer-to-peer connection system employed in second layer of network and method thereof | |
JP2012160941A (en) | Information processing device, information processing method and program | |
JP3911697B2 (en) | Network connection device, network connection method, network connection program, and storage medium storing the program | |
US20220247719A1 (en) | Network Access Control System And Method Therefor | |
JP5294098B2 (en) | Relay processing device, control method therefor, and program | |
JP7095451B2 (en) | Information processing equipment, distributed processing programs and distributed processing systems | |
WO2024001885A1 (en) | Data transmission method, electronic device and computer storage medium | |
CN110620752B (en) | Logo replacing method and device, electronic equipment and storage medium | |
JP4844437B2 (en) | Router device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120607 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130806 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131007 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20131112 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140212 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20140219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140311 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140324 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5522201 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |