JP5522201B2 - COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM - Google Patents

COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM Download PDF

Info

Publication number
JP5522201B2
JP5522201B2 JP2012129666A JP2012129666A JP5522201B2 JP 5522201 B2 JP5522201 B2 JP 5522201B2 JP 2012129666 A JP2012129666 A JP 2012129666A JP 2012129666 A JP2012129666 A JP 2012129666A JP 5522201 B2 JP5522201 B2 JP 5522201B2
Authority
JP
Japan
Prior art keywords
terminal
information
communication path
communication
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012129666A
Other languages
Japanese (ja)
Other versions
JP2012177942A (en
Inventor
慎一 志賀
麿輝 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2012129666A priority Critical patent/JP5522201B2/en
Publication of JP2012177942A publication Critical patent/JP2012177942A/en
Application granted granted Critical
Publication of JP5522201B2 publication Critical patent/JP5522201B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信路復帰方法、通信装置及び通信システムに係り、特に確立された通信路が切断されたときに通信路を復帰させる通信路復帰方法、通信装置及び通信システムに関する。 The present invention, communication path restoration method relates to communication apparatus及beauty communications system, in particular established communications path restoration method Ru was ascribed restore the communication path when the communication path is disconnected, Shin passing It relates to an apparatus及beauty communications system.

例えばIPsec等のセキュアプロトコルを利用した暗号通信では、暗号通信を始める前に暗号化方法や暗号鍵などのセキュリティアソシエーション(SA)情報を交換・共有して、仮想的な暗号通信路であるIPsecトンネルを確立する。IPsecは、IPレベル(ネットワーク層)で暗号化や認証を行うセキュアプロトコルである。IPsecにおけるSA情報は、鍵交換プロトコルであるIKE(Internet Key Exchange)によってネゴシエーションされる。IPsecではネゴシエーションが終了すると、IPsecトンネルによる暗号通信が可能となる。特許文献1にはIPsecを利用した暗号通信の一例が記載されている。   For example, in encrypted communication using a secure protocol such as IPsec, an IPsec tunnel, which is a virtual encrypted communication path, exchanges and shares security association (SA) information such as an encryption method and an encryption key before starting encrypted communication. Establish. IPsec is a secure protocol that performs encryption and authentication at the IP level (network layer). SA information in IPsec is negotiated by IKE (Internet Key Exchange) which is a key exchange protocol. In IPsec, when negotiation is completed, encrypted communication through an IPsec tunnel is possible. Patent Document 1 describes an example of encrypted communication using IPsec.

ところで、他の端末との間でIPsecトンネルを確立した端末は、電源断などの理由によりSA情報を消失してしまうことがあった。この場合、SA情報を消失していない他の端末は、IPsecトンネルが確立したままであると認識している。従って、SA情報を消失していない他の端末は、暗号通信相手の端末がSA情報を消失した後であってもIPsecトンネルによる暗号通信を行おうとする。   By the way, a terminal that has established an IPsec tunnel with another terminal sometimes loses SA information due to a power cut or the like. In this case, other terminals that have not lost the SA information recognize that the IPsec tunnel remains established. Accordingly, other terminals that have not lost the SA information try to perform encrypted communication using the IPsec tunnel even after the terminal of the encryption communication partner has lost the SA information.

一方、SA情報を消失した端末はIPsecトンネル経由で暗号化されたデータを受信したとしても、SA情報を消失している為、暗号化されたデータを復号できないという問題があった。従来、IPsecトンネルによる暗号通信では、IPsecトンネルを確立した端末の何れかがSA情報を消失した場合、再び、鍵交換プロトコルであるIKEによってネゴシエーションする必要があり、暗号通信を開始するまでに時間が掛かるという問題があった。   On the other hand, even if a terminal that has lost SA information receives encrypted data via an IPsec tunnel, there is a problem that the encrypted data cannot be decrypted because SA information has been lost. Conventionally, in cryptographic communication using an IPsec tunnel, if any of the terminals that have established the IPsec tunnel loses SA information, it is necessary to negotiate again with the IKE key exchange protocol. There was a problem of hanging.

本発明は、上記の点に鑑みなされたもので、通信路が切断されたとき、迅速に通信路を復帰させることが可能な通信路復帰方法、通信装置及び通信システムを提供することを目的とする。 The present invention has been made in view of the above, when the communication path is disconnected, communication path restoration method capable of rapidly ascribed recover the communication path, communication devices及beauty communications system The purpose is to provide.

上記課題を解決するため、本発明は、通信システムにおいて確立された通信路が切断されたときに前記通信路を復帰させる通信路復帰方法であって、第1の端末と第2の端末との間で前記通信路を確立したときに前記通信路を利用する為に必要な情報を、前記第1の端末と第2の端末とに記憶する情報記憶ステップと、前記第1の端末又は第2の端末の少なくとも一方が、前記情報を前記第1の端末及び第2の端末以外の管理装置へ登録する情報登録ステップと、前記第1の端末と第2の端末とに記憶されている前記情報のうち少なくとも一方が使用不能なとき、前記管理装置へ登録した情報に含まれる復旧可否情報に復旧が指定されているとき、前記情報を使用して前記通信路を復帰させる通信路復帰ステップとを有することを特徴とする。 To solve the above problems, the present invention provides a communication path restoration method Ru was ascribed restore the previous SL communications path when the communication path established in the communication system is disconnected, the first terminal information storage step the information necessary to use the pre-Symbol communications path is stored in said first terminal and a second terminal when establishing the previous SL communications path between the second terminal And an information registration step in which at least one of the first terminal or the second terminal registers the information in a management device other than the first terminal and the second terminal; the first terminal; when at least one of the information of the the terminal are stored is unavailable, when the recovery to recover availability information included in the information registered Previous Symbol management device is specified, using the information and having a front Symbol communication communication path restoration step of Ru a signal path was attributed condensate

なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。   In addition, what applied the component, expression, or arbitrary combination of the component of this invention to a method, an apparatus, a system, a computer program, a recording medium, a data structure, etc. is also effective as an aspect of this invention.

本発明によれば、通信路が切断されたとき、迅速に通信路を復帰させることが可能な通信路復帰方法、通信装置及び通信システムを提供可能である。 According to the present invention, when the communication path is disconnected, communication path restoration method capable of rapidly ascribed recover the communication path, it is possible to provide a communication device及beauty communications system.

本発明による暗号通信システムの一例の構成図である。It is a block diagram of an example of the encryption communication system by this invention. 本発明による暗号通信システムの一例の機能図である。It is a functional diagram of an example of the encryption communication system by this invention. 端末の一例のハードウェア構成図である。It is a hardware block diagram of an example of a terminal. 本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した一例のシーケンス図である。It is a sequence diagram of an example showing the processing procedure when SA information is lost in the cryptographic communication system according to the present invention. 端末1のSA情報の一例を表した模式図である。3 is a schematic diagram illustrating an example of SA information of a terminal 1. FIG. 端末2のSA情報の一例を表した模式図である。4 is a schematic diagram illustrating an example of SA information of a terminal 2. FIG. 本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した一例のフローチャートである。It is a flowchart of an example showing the process sequence when SA information lose | disappears in the encryption communication system by this invention. 本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した他の例のシーケンス図である。It is a sequence diagram of the other example showing the process sequence when SA information lose | disappears in the encryption communication system by this invention.

次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。なお、本実施例では、セキュアプロトコルであるIPsecを例に説明しているが、仮想的な通信路(トンネル)を確立するプロトコルであるL2TP(Layer2 Tunneling Protocol)や、暗号通信を行うプロトコルであるSSL(Secure Socket Layer)への適用も可能である。例えばSSLでは秘密鍵及び暗号鍵がIPsecのSA情報に対応する。   Next, the best mode for carrying out the present invention will be described based on the following embodiments with reference to the drawings. In this embodiment, IPsec, which is a secure protocol, is described as an example, but L2TP (Layer2 Tunneling Protocol), which is a protocol for establishing a virtual communication path (tunnel), and protocol for performing cryptographic communication. Application to SSL (Secure Socket Layer) is also possible. For example, in SSL, the secret key and the encryption key correspond to the SA information of IPsec.

図1は本発明による暗号通信システムの一例の構成図である。図1の暗号通信システムは複数の端末1,2及びSA(セキュリティアソシエーション)管理サーバ3が、LANやインターネット等の公共ネットワーク4と通信可能に接続されている。なお、端末1及び端末2は、IPsecを利用した暗号通信が可能なPC,複合機等である。   FIG. 1 is a block diagram of an example of a cryptographic communication system according to the present invention. In the cryptographic communication system of FIG. 1, a plurality of terminals 1 and 2 and an SA (security association) management server 3 are communicably connected to a public network 4 such as a LAN or the Internet. Note that the terminal 1 and the terminal 2 are a PC, a multifunction machine, or the like capable of encrypted communication using IPsec.

端末1及び2は、IPsecを利用した暗号通信を始める場合、暗号化方法や暗号鍵などのSA情報を交換・共有する為のネゴシエーションを行い(IKEフェーズ)、IPsecトンネル5を確立する。IPsecトンネル5が確立されると、端末1及び2は、IPsecトンネル5を利用した暗号通信を開始する(IPsecフェーズ)。   When starting encryption communication using IPsec, the terminals 1 and 2 negotiate to exchange and share SA information such as an encryption method and an encryption key (IKE phase), and establish an IPsec tunnel 5. When the IPsec tunnel 5 is established, the terminals 1 and 2 start encrypted communication using the IPsec tunnel 5 (IPsec phase).

SA管理サーバ3は、端末1及び2の何れか一方又は両方から後述のように登録されるSA情報を管理する。SA管理サーバ3は、端末1及び2の何れか一方又は両方から後述のようにSA情報の問い合わせがあると、問い合わせ元の端末1及び2の何れか一方又は両方にSA情報を提供する。   The SA management server 3 manages SA information registered as described later from one or both of the terminals 1 and 2. The SA management server 3 provides SA information to either one or both of the inquiry source terminals 1 and 2 when there is an inquiry about SA information from either one or both of the terminals 1 and 2 as described later.

図2は本発明による暗号通信システムの一例の機能図である。端末1及び2は、IPsec機能部12を有するIP機能部11,TCP/UDP機能部13,IKEデーモン14,HTTP機能部15,FTP機能部16を含むように構成されている。IPsec機能部12を有するIP機能部11は、ネットワーク層に含まれる。TCP/UDP機能部13は、トランスポート層に含まれる。IKEデーモン14,HTTP機能部15及びFTP機能部16は、アプリケーション層に含まれる。なお、HTTP機能部15はアプリケーション層に属するプロトコルの一例であって、他のプロトコルであってもよい。   FIG. 2 is a functional diagram of an example of a cryptographic communication system according to the present invention. The terminals 1 and 2 are configured to include an IP function unit 11 having an IPsec function unit 12, a TCP / UDP function unit 13, an IKE daemon 14, an HTTP function unit 15, and an FTP function unit 16. The IP function unit 11 having the IPsec function unit 12 is included in the network layer. The TCP / UDP function unit 13 is included in the transport layer. The IKE daemon 14, the HTTP function unit 15, and the FTP function unit 16 are included in the application layer. The HTTP function unit 15 is an example of a protocol belonging to the application layer, and may be another protocol.

IKEデーモン14はセキュリティポリシーデータベース(SPD)17によって管理されているIPsecポリシーの確認、取得の他、IPsecを利用した暗号通信の開始をSPDに記録しておくこともできる。なお、図2ではSPDを端末1及び2の外部記憶装置によって実現している例を示しているが、端末1及び2の内部記憶装置(例えば補助記憶装置)によって実現してもよい。   The IKE daemon 14 can record the start of encrypted communication using IPsec in addition to the confirmation and acquisition of the IPsec policy managed by the security policy database (SPD) 17 in the SPD. Although FIG. 2 shows an example in which the SPD is realized by the external storage devices of the terminals 1 and 2, the SPD may be realized by an internal storage device (for example, an auxiliary storage device) of the terminals 1 and 2.

端末1及び2のIKEデーモン14は暗号化方法や暗号鍵などのSA情報を交換・共有する為のネゴシエーションをIKEの標準手順に従って行う。端末1及び2はSA情報を主記憶装置としてのRAMに格納しておく。このように、SA情報は端末1及び2のRAM上に存在するため、端末1及び2の電源断により消失する。   The IKE daemon 14 of the terminals 1 and 2 performs negotiation for exchanging and sharing SA information such as an encryption method and an encryption key in accordance with an IKE standard procedure. Terminals 1 and 2 store SA information in a RAM as a main storage device. As described above, since the SA information exists on the RAMs of the terminals 1 and 2, the SA information is lost when the terminals 1 and 2 are powered off.

SA管理サーバ3は、SA情報登録デーモン21,SA情報検索デーモン22を含むように構成されている。SA情報登録デーモン21は、端末1及び2の何れか一方又は両方から保存要求のあったSA情報を、SA情報管理データベース23に登録する。図2ではSA情報管理データベース23をSA管理サーバ3の外部記憶装置によって実現している例を示しているが、SA管理サーバ3の内部記憶装置(例えば補助記憶装置)によって実現してもよい。SA情報検索デーモン22は、端末1及び2の何れか一方又は両方から検索要求のあったSA情報を、SA情報管理データベース23から検索する。   The SA management server 3 is configured to include an SA information registration daemon 21 and an SA information search daemon 22. The SA information registration daemon 21 registers SA information requested to be stored from either one or both of the terminals 1 and 2 in the SA information management database 23. Although FIG. 2 shows an example in which the SA information management database 23 is realized by an external storage device of the SA management server 3, it may be realized by an internal storage device (for example, an auxiliary storage device) of the SA management server 3. The SA information search daemon 22 searches the SA information management database 23 for SA information requested to be searched from either one or both of the terminals 1 and 2.

次に、端末1及び2がPCであるときのハードウェア構成について簡単に説明する。図3は端末の一例のハードウェア構成図である。   Next, a hardware configuration when the terminals 1 and 2 are PCs will be briefly described. FIG. 3 is a hardware configuration diagram of an example of a terminal.

端末1及び2は、バスBで相互に接続されている入力装置31,出力装置32,ドライブ装置33,補助記憶装置34,主記憶装置35,演算処理装置36,インターフェース装置37を含むように構成される。   The terminals 1 and 2 are configured to include an input device 31, an output device 32, a drive device 33, an auxiliary storage device 34, a main storage device 35, an arithmetic processing device 36, and an interface device 37 connected to each other via a bus B. Is done.

入力装置31はキーボードやマウスなどで構成され、各種情報を入力するために用いられる。出力装置32はディスプレイ装置などで構成され、各種ウインドウやデータ等を表示するために用いられる。インターフェース装置37は、モデム,LANカードなどで構成されており、公共ネットワーク4に接続する為に用いられる。   The input device 31 includes a keyboard and a mouse, and is used for inputting various information. The output device 32 includes a display device and is used to display various windows, data, and the like. The interface device 37 includes a modem, a LAN card, and the like, and is used for connecting to the public network 4.

端末1及び2を制御する各種プログラムは、例えば記録媒体38の配布や、公共ネットワーク4からのダウンロードなどによって提供される。各種プログラムを記録した記録媒体38は、CD−ROM、フレキシブルディスク、光磁気ディスクなどの様に情報を光学的,電気的或いは磁気的に記録する記録媒体、ROM、フラッシュメモリ等の様に情報を電気的に記録する半導体メモリ等、様々なタイプの記録媒体を用いることができる。   Various programs for controlling the terminals 1 and 2 are provided by, for example, distribution of the recording medium 38 or downloading from the public network 4. The recording medium 38 on which various programs are recorded is a recording medium such as a CD-ROM, a flexible disk, a magneto-optical disk, etc. for recording information optically, electrically or magnetically, a ROM, a flash memory, etc. Various types of recording media such as a semiconductor memory for electrical recording can be used.

各種プログラムを記録した記録媒体38がドライブ装置33にセットされると、各種プログラムは記録媒体38からドライブ装置33を介して補助記憶装置34にインストールされる。公共ネットワーク4からダウンロードされた各種プログラムはインターフェース装置37を介して補助記憶装置34にインストールされる。   When the recording medium 38 on which various programs are recorded is set in the drive device 33, the various programs are installed from the recording medium 38 to the auxiliary storage device 34 via the drive device 33. Various programs downloaded from the public network 4 are installed in the auxiliary storage device 34 via the interface device 37.

補助記憶装置34は、インストールされた各種プログラムを格納すると共に、各種プログラムの実行に必要なファイル,データ等を格納する。主記憶装置35は、コンピュータの起動時に補助記憶装置34から各種プログラムを読み出して格納する。そして、演算処理装置36は主記憶装置35に格納された各種プログラムに従って、後述するような各種処理を実現している。   The auxiliary storage device 34 stores various installed programs and files, data, and the like necessary for executing the various programs. The main storage device 35 reads and stores various programs from the auxiliary storage device 34 when the computer is activated. The arithmetic processing unit 36 implements various processes as described later in accordance with various programs stored in the main storage device 35.

図4は、本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した一例のシーケンス図である。ステップS1に進み、端末2は自端末のSPD17によって管理されている端末1宛のIPsecポリシーを取得する。端末2は、ステップS2に進み、端末1宛のIPsecポリシーに応じたIPsec開始要求を、端末1に送信する。   FIG. 4 is a sequence diagram illustrating an example of a processing procedure when SA information is lost in the cryptographic communication system according to the present invention. In step S1, the terminal 2 acquires the IPsec policy addressed to the terminal 1 managed by the SPD 17 of the terminal 2 itself. The terminal 2 proceeds to step S2 and transmits an IPsec start request corresponding to the IPsec policy addressed to the terminal 1 to the terminal 1.

端末2からIPsec開始要求を受信すると、端末1はステップS3に進み、自端末のSPD17によって管理されている端末2宛のIPポリシーを検索する。端末2宛のIPポリシーがSPDから検索されれば、端末1はステップS4に進み、端末2宛のIPsecポリシーに応じたIPsec開始受付を、端末2に送信する。   When receiving the IPsec start request from the terminal 2, the terminal 1 proceeds to step S3, and searches for an IP policy addressed to the terminal 2 managed by the SPD 17 of its own terminal. If the IP policy addressed to the terminal 2 is retrieved from the SPD, the terminal 1 proceeds to step S4, and transmits an IPsec start acceptance corresponding to the IPsec policy addressed to the terminal 2 to the terminal 2.

ステップS4までの処理により、端末1及び2には図5及び図6に示すSA情報が主記憶装置35としてのRAMに格納される。図5は端末1のSA情報の一例を表した模式図である。図6は端末2のSA情報の一例を表した模式図である。   By the processing up to step S4, the SA information shown in FIGS. 5 and 6 is stored in the RAM as the main storage device 35 in the terminals 1 and 2. FIG. 5 is a schematic diagram showing an example of SA information of the terminal 1. FIG. 6 is a schematic diagram showing an example of SA information of the terminal 2.

図5及び図6のSA情報は、項目(Field)及び値(Value)から成る。項目には、ID,src,dst,mode,protocol,direction,SPI,auth key,encrypt key,recoveryが含まれる。   The SA information in FIGS. 5 and 6 includes items (Field) and values (Value). The items include ID, src, dst, mode, protocol, direction, SPI, auth key, encrypt key, and recovery.

項目「ID」は、SA管理サーバ3で管理する為のユニークな識別子である。項目「src」は送信元のIPアドレスである。項目「dst」は宛先のIPアドレスである。項目「mode」は「トランスポートモード」又は「トンネルモード」の何れかを指定するものである。項目「protocol」は暗号化の機能を提供するプロトコルを指定するものである。項目「direction」は自端末から見た入力/出力方向を指定するものである。   The item “ID” is a unique identifier for management by the SA management server 3. The item “src” is a source IP address. The item “dst” is a destination IP address. The item “mode” specifies either “transport mode” or “tunnel mode”. The item “protocol” designates a protocol that provides an encryption function. The item “direction” is used to specify the input / output direction viewed from the own terminal.

項目「SPI」はセキュリティパラメータインデックスと呼ばれる、SA情報を管理する為の識別子である。項目「auth key」は認証鍵を表している。項目「encrypt key」は暗号鍵を表している。項目「recovery」はSA情報の復旧可否を指定している復旧可否フラグである。   The item “SPI” is an identifier for managing SA information called a security parameter index. The item “auth key” represents an authentication key. The item “encrypt key” represents an encryption key. The item “recovery” is a recovery enable / disable flag specifying whether or not SA information can be recovered.

ステップS5に進み、端末2は図6に示すようなSA情報をSA管理サーバ3へ保存する為のSA情報登録要求をSA管理サーバ3へ送信する。SA管理サーバ3は、SA情報登録要求を受信するとステップS6に進み、SA情報をSA情報管理データベース23へ登録する。   In step S5, the terminal 2 transmits to the SA management server 3 an SA information registration request for storing SA information as shown in FIG. When receiving the SA information registration request, the SA management server 3 proceeds to step S6 and registers the SA information in the SA information management database 23.

なお、図4のシーケンス図では端末2がSA情報をSA情報管理データベース23へ登録する例を表したが、端末1がSA情報をSA情報管理データベース23へ登録するようにしてもよいし、端末1及び2がSA情報をSA情報管理データベース23へ登録するようにしてもよい。図5及び図6のSA情報から明らかな様に、端末1及び端末2のSA情報は少なくとも一方のSA情報が分かれば、他方のSA情報を作成することができる。   4 represents an example in which the terminal 2 registers the SA information in the SA information management database 23. However, the terminal 1 may register the SA information in the SA information management database 23. 1 and 2 may register SA information in the SA information management database 23. As is clear from the SA information in FIGS. 5 and 6, if at least one SA information of the terminal 1 and the terminal 2 is known, the other SA information can be created.

端末1及び2は、IPsecを利用した暗号通信の開始を自端末のSPD17に記録しておく。ステップS7に進み、端末2は確立されたIPsecトンネル5経由で暗号化されたIPsecパケットを端末1へ送信する。ステップS8に進み、端末1は受信したIPsecパケットを図5のSA情報に基づき復号する。そして、端末1はステップS7で端末2から受信したIPsecパケットに対する応答を行う。   The terminals 1 and 2 record the start of encrypted communication using IPsec in the SPD 17 of their own terminals. In step S 7, the terminal 2 transmits the encrypted IPsec packet to the terminal 1 via the established IPsec tunnel 5. In step S8, the terminal 1 decodes the received IPsec packet based on the SA information in FIG. The terminal 1 then responds to the IPsec packet received from the terminal 2 in step S7.

ステップS8の後、端末1は電源が切断されたものとする。ステップS9に進み、端末2は確立されたIPsecトンネル5経由で暗号化されたIPsecパケットを端末1へ送信する。このとき、端末1は電源が切断された状態であるため、IPsecパケットの受信及びそのIPsecパケットに対する応答を行うことができない。   After step S8, the terminal 1 is assumed to have been powered off. In step S 9, the terminal 2 transmits the encrypted IPsec packet to the terminal 1 via the established IPsec tunnel 5. At this time, since the terminal 1 is in a power-off state, the terminal 1 cannot receive the IPsec packet and respond to the IPsec packet.

IPsecパケットに対する応答を受信することなく、ステップS9から所定の時間が経過すると、端末2はステップS10に進み、ステップS9で端末1へ送信したIPsecパケットを再送する。しかし、端末1は電源が切断された状態であるため、IPsecパケットの受信及びそのIPsecパケットに対する応答を行うことができない。   If a predetermined time elapses from step S9 without receiving a response to the IPsec packet, the terminal 2 proceeds to step S10, and retransmits the IPsec packet transmitted to the terminal 1 in step S9. However, since the terminal 1 is in a power-off state, the terminal 1 cannot receive an IPsec packet and make a response to the IPsec packet.

ステップS10の後、端末1は電源が投入されたものとする。IPsecパケットに対する応答を受信することなく、ステップS10から所定の時間が経過すると、端末2はステップS11に進み、ステップS9及びS10で端末1へ送信したIPsecパケットを再送する。   After step S10, the terminal 1 is assumed to be turned on. When a predetermined time has elapsed from step S10 without receiving a response to the IPsec packet, the terminal 2 proceeds to step S11, and retransmits the IPsec packet transmitted to the terminal 1 in steps S9 and S10.

しかし、端末1は端末2との間でIPsecトンネル5を確立したあと、電源が切断された為、RAMに格納していたSA情報を消失している。したがって、端末1は受信したIPsecパケットを復号できない。   However, since the terminal 1 establishes the IPsec tunnel 5 with the terminal 2 and then the power is turned off, the SA information stored in the RAM is lost. Therefore, the terminal 1 cannot decode the received IPsec packet.

そこで、端末1はステップS12に進み、自端末のSPD17を確認し、IPsecを利用した端末2との暗号通信の開始が記録されているかを判定する。SPD17にIPsecを利用した端末2との暗号通信の開始が記録されていれば、端末1はステップS13に進み、電源が切断される前に端末2との間で暗号通信を行っていたと判定し、自端末のSA情報をSA管理サーバ3へ問い合わせる。   Therefore, the terminal 1 proceeds to step S12, confirms the SPD 17 of its own terminal, and determines whether the start of encrypted communication with the terminal 2 using IPsec is recorded. If the start of encrypted communication with the terminal 2 using IPsec is recorded in the SPD 17, the terminal 1 proceeds to step S 13 and determines that the encrypted communication was performed with the terminal 2 before the power was turned off. The SA management server 3 is inquired about the SA information of its own terminal.

なお、SPD17にIPsecを利用した端末2との暗号通信の開始が記録されていなければ、端末1は電源が切断される前に端末2との間で暗号通信を行っていなかったと判定し、端末2から受信したIPsecパケットを破棄する。   If the start of encrypted communication with the terminal 2 using IPsec is not recorded in the SPD 17, the terminal 1 determines that it has not performed encrypted communication with the terminal 2 before the power is turned off. The IPsec packet received from 2 is discarded.

ステップS14に進み、SA管理サーバ3は端末1から問い合わせのあったSA情報をSA情報管理データベース23から検索する。そして、ステップS15に進み、SA管理サーバ3は検索した端末1のSA情報をSA情報管理データベース23から読み出して端末1へ送信する。   In step S 14, the SA management server 3 searches the SA information management database 23 for SA information inquired from the terminal 1. In step S 15, the SA management server 3 reads the SA information of the searched terminal 1 from the SA information management database 23 and transmits it to the terminal 1.

端末1は受信したSA情報の項目「recovery」を参照し、SA情報の復旧可否に復旧が指定されていれば、SA情報をRAMに格納して使える状態とするSA復帰処理を行う。その後、端末1はステップS11で受信したIPsecパケットを、復帰した図5のSA情報に基づき復号する。そして、端末1はステップS11で端末2から受信したIPsecパケットに対する応答を行う。   The terminal 1 refers to the item “recovery” of the received SA information, and if recovery is specified for whether or not the SA information can be recovered, the terminal 1 stores the SA information in the RAM and performs SA recovery processing to make it usable. Thereafter, the terminal 1 decodes the IPsec packet received in step S11 based on the restored SA information of FIG. Terminal 1 then responds to the IPsec packet received from terminal 2 in step S11.

なお、端末1及び2は、IPsecを利用した暗号通信を終了する場合、IPsecを利用した暗号通信の終了が分かるように、自端末のSPD17に記録しておく。   When terminals 1 and 2 end encryption communication using IPsec, they are recorded in the SPD 17 of their own terminals so that the end of encryption communication using IPsec can be recognized.

図7は、本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した一例のフローチャートである。   FIG. 7 is a flowchart illustrating an example of a processing procedure when SA information is lost in the cryptographic communication system according to the present invention.

ステップS22では、端末2が端末1宛のパケット送信要求を受ける。ステップS22に進み、端末2は自端末のSPD17によって管理されている端末1宛のIPsecポリシーを検索して取得する。端末2は、ステップS23に進み、端末1宛のIPsecポリシーに応じたIPsec開始要求を、端末1に送信する。   In step S22, the terminal 2 receives a packet transmission request addressed to the terminal 1. In step S22, the terminal 2 searches for and acquires an IPsec policy addressed to the terminal 1 managed by the SPD 17 of the terminal 2 itself. In step S23, the terminal 2 transmits an IPsec start request corresponding to the IPsec policy addressed to the terminal 1 to the terminal 1.

ステップS24では、端末1がIPsec開始要求を待っている。端末2からIPsec開始要求を受信すると、端末1はステップS24からステップS25に進み、自端末のSPD17によって管理されている端末2宛のIPポリシーを検索する。   In step S24, the terminal 1 is waiting for an IPsec start request. When receiving the IPsec start request from the terminal 2, the terminal 1 proceeds from step S24 to step S25, and searches for the IP policy addressed to the terminal 2 managed by the SPD 17 of the own terminal.

端末2宛のIPポリシーがSPDから検索されれば(S26においてYES)、端末1はステップS27に進み、端末2宛のIPsecポリシーに応じたIPsec開始受付を端末2に送信する。端末2宛のIPポリシーがSPDから検索されなければ(S26においてNO)、端末1はステップS24に戻り、次のIPsec開始要求を待つ。   If the IP policy addressed to terminal 2 is retrieved from the SPD (YES in S26), terminal 1 proceeds to step S27, and transmits an IPsec start acceptance corresponding to the IPsec policy addressed to terminal 2 to terminal 2. If the IP policy addressed to terminal 2 is not retrieved from the SPD (NO in S26), terminal 1 returns to step S24 and waits for the next IPsec start request.

ステップS27までの処理により、端末1及び2には図5及び図6に示すSA情報が主記憶装置35としてのRAMに格納される。ステップS28では、端末2がIPsec開始受付を待っている。端末1からIPsec開始受付を受信すると、端末2はステップS28からステップS29に進み、図6に示すようなSA情報をSA管理サーバ3へ保存する為のSA情報登録要求をSA管理サーバ3へ送信する。   By the processing up to step S27, the SA information shown in FIGS. 5 and 6 is stored in the RAM as the main storage device 35 in the terminals 1 and 2. In step S28, the terminal 2 is waiting for IPsec start acceptance. When receiving the IPsec start acceptance from the terminal 1, the terminal 2 proceeds from step S28 to step S29, and transmits to the SA management server 3 an SA information registration request for storing SA information as shown in FIG. To do.

ステップS30では、SA管理サーバ3が端末1又は2からの要求を待っている。端末2からSA情報登録要求を受信すると、SA管理サーバ3はステップS30からステップS31に進み、SA情報をSA情報管理データベース23へ登録する。ステップS32に進み、SA管理サーバ3は再び、端末1又は2からの要求を待つ。   In step S30, the SA management server 3 waits for a request from the terminal 1 or 2. When the SA information registration request is received from the terminal 2, the SA management server 3 proceeds from step S30 to step S31, and registers the SA information in the SA information management database 23. In step S32, the SA management server 3 again waits for a request from the terminal 1 or 2.

なお、ステップS33において、端末1はIPsecを利用した端末2との暗号通信の開始を自端末のSPD17に記録しておく。一方、ステップS34において、端末2はIPsecを利用した端末1との暗号通信の開始を自端末のSPD17に記録しておく。   In step S33, the terminal 1 records the start of encrypted communication with the terminal 2 using IPsec in the SPD 17 of its own terminal. On the other hand, in step S34, the terminal 2 records the start of encrypted communication with the terminal 1 using IPsec in the SPD 17 of its own terminal.

ステップS35に進み、端末2は確立されたIPsecトンネル5経由で、暗号化されたIPsecパケットを端末1へ送信する。ステップS36に進み、端末1は受信したIPsecパケットを図5のSA情報に基づき復号する。そして、端末1は端末2から受信したIPsecパケットに対する応答を行う。   In step S 35, the terminal 2 transmits the encrypted IPsec packet to the terminal 1 through the established IPsec tunnel 5. In step S36, the terminal 1 decodes the received IPsec packet based on the SA information in FIG. Terminal 1 then responds to the IPsec packet received from terminal 2.

ステップS36の後、端末1は電源が切断される。ステップS37に進み、端末2は確立されたIPsecトンネル5経由で、暗号化されたIPsecパケットを端末1へ送信する。このとき、端末1は電源が切断された状態であるため、IPsecパケットの受信及びそのIPsecパケットに対する応答を行うことができない。   After step S36, the terminal 1 is powered off. In step S 37, the terminal 2 transmits the encrypted IPsec packet to the terminal 1 through the established IPsec tunnel 5. At this time, since the terminal 1 is in a power-off state, the terminal 1 cannot receive the IPsec packet and respond to the IPsec packet.

ステップS37の後、端末1は電源が投入される。IPsecパケットに対する応答を受信することなく、ステップS37から所定の時間が経過すると、端末2はステップS38に進み、ステップS37で端末1へ送信したIPsecパケットを再送する。ステップS39では、端末1がIPsec開始要求を待っている。   After step S37, the terminal 1 is turned on. When a predetermined time elapses from step S37 without receiving a response to the IPsec packet, the terminal 2 proceeds to step S38, and retransmits the IPsec packet transmitted to the terminal 1 in step S37. In step S39, the terminal 1 waits for an IPsec start request.

確立されたIPsecトンネル5経由で、暗号化されたIPsecパケットを端末2から受信すると、端末1はRAMからSA情報を読み出そうとする。しかし、RAMにSA情報が格納されていない為、端末1はステップS39からステップS40に進み、自端末のSPD17を確認し、IPsecを利用した端末2との暗号通信の開始が記録されているか検索する。   When an encrypted IPsec packet is received from the terminal 2 via the established IPsec tunnel 5, the terminal 1 tries to read SA information from the RAM. However, since the SA information is not stored in the RAM, the terminal 1 proceeds from step S39 to step S40, confirms the SPD 17 of its own terminal, and searches whether the start of encrypted communication with the terminal 2 using IPsec is recorded. To do.

SPD17にIPsecを利用した端末2との暗号通信の開始が記録されていれば(S41においてYES)、端末1はステップS42に進み、電源が切断される前に端末2との間で暗号通信を行っていたと判定して、自端末のSA情報をSA管理サーバ3へ問い合わせる。   If the start of encrypted communication with terminal 2 using IPsec is recorded in SPD 17 (YES in S41), terminal 1 proceeds to step S42 and performs encrypted communication with terminal 2 before the power is turned off. It is determined that it has been performed, and the SA management server 3 is inquired about the SA information of its own terminal.

なお、SPD17にIPsecを利用した端末2との暗号通信の開始が記録されていなければ(S41においてNO)、端末1は電源が切断される前に端末2との間で暗号通信を行っていなかったと判定し、端末2から受信したIPsecパケットを破棄したあと、ステップS39に戻り、IPsec開始要求を待つ。   If the start of encrypted communication with the terminal 2 using IPsec is not recorded in the SPD 17 (NO in S41), the terminal 1 has not performed encrypted communication with the terminal 2 before the power is turned off. After discarding the IPsec packet received from the terminal 2, the process returns to step S39 and waits for an IPsec start request.

ステップS43に進み、SA管理サーバ3は端末1から問い合わせのあったSA情報をSA情報管理データベース23から検索する。そして、SA管理サーバ3は検索した端末1のSA情報をSA情報管理データベース23から読み出して端末1へ送信する。   In step S 43, the SA management server 3 searches the SA information management database 23 for the SA information inquired from the terminal 1. Then, the SA management server 3 reads the searched SA information of the terminal 1 from the SA information management database 23 and transmits it to the terminal 1.

ステップS44に進み、端末1はSA管理サーバ3から受信したSA情報の項目「recovery」を参照する。SA情報の復旧可否に復旧が指定されていれば、端末1はSA情報の復旧が必要と判定し、ステップS45に進む。ステップS45では、端末1がSA情報をRAMに格納して使える状態とするSA復帰処理を行う。   In step S44, the terminal 1 refers to the item “recovery” of the SA information received from the SA management server 3. If recovery is specified in the recovery possibility of SA information, the terminal 1 determines that the recovery of SA information is necessary, and proceeds to step S45. In step S45, the terminal 1 performs SA restoration processing for storing the SA information in the RAM and making it usable.

その後、端末1はステップS38で受信したIPsecパケットを、復帰した図5のSA情報に基づき復号する。そして、端末1はステップS46に進み、ステップS38で端末2から受信したIPsecパケットに対する応答を行う。なお、端末1及び2は、IPsecを利用した暗号通信を終了する場合、IPsecを利用した暗号通信の終了が分かるように、自端末のSPD17に記録しておく。   Thereafter, the terminal 1 decodes the IPsec packet received in step S38 based on the restored SA information of FIG. Then, the terminal 1 proceeds to step S46, and makes a response to the IPsec packet received from the terminal 2 in step S38. When terminals 1 and 2 end encryption communication using IPsec, they are recorded in the SPD 17 of their own terminals so that the end of encryption communication using IPsec can be recognized.

図8は、本発明による暗号通信システムにおいてSA情報が消失したときの処理手順を表した他の例のシーケンス図である。なお、ステップS51〜S58の処理は、図4のステップS1〜S8と同様である為、説明を省略する。   FIG. 8 is a sequence diagram of another example showing a processing procedure when SA information is lost in the cryptographic communication system according to the present invention. In addition, since the process of step S51-S58 is the same as that of step S1-S8 of FIG. 4, description is abbreviate | omitted.

ステップS58の後、端末2は電源が一旦切断されたあと、再び電源が投入されたものとする。端末2は端末1宛のパケット送信要求を受ける。しかし、端末2は端末1との間でIPsecトンネル5を確立したあと、電源が切断された為、RAMに格納していたSA情報を消失している。   After step S58, it is assumed that the terminal 2 is once turned off and then turned on again. Terminal 2 receives a packet transmission request addressed to terminal 1. However, since the terminal 2 establishes the IPsec tunnel 5 with the terminal 1 and then the power is turned off, the SA information stored in the RAM is lost.

そこで、端末2はステップS59に進み、自端末のSPD17を確認し、IPsecを利用した端末1との暗号通信の開始が記録されているかを判定する。SPD17にIPsecを利用した端末1との暗号通信の開始が記録されていれば、端末2はステップS60に進み、電源が切断される前に端末1との間で暗号通信を行っていたと判定し、自端末のSA情報をSA管理サーバ3へ問い合わせる。   Therefore, the terminal 2 proceeds to step S59, confirms the SPD 17 of the own terminal, and determines whether the start of encrypted communication with the terminal 1 using IPsec is recorded. If the start of encrypted communication with the terminal 1 using IPsec is recorded in the SPD 17, the terminal 2 proceeds to step S60 and determines that the encrypted communication was performed with the terminal 1 before the power was turned off. The SA management server 3 is inquired about the SA information of its own terminal.

なお、SPD17にIPsecを利用した端末1との暗号通信の開始が記録されていなければ、端末2は電源が切断される前に端末1との間で暗号通信を行っていなかったと判定し、端末1宛のパケットを破棄する。   Note that if the start of encrypted communication with the terminal 1 using IPsec is not recorded in the SPD 17, the terminal 2 determines that the encrypted communication with the terminal 1 was not performed before the power was turned off, and the terminal Discard packets addressed to 1.

ステップS61に進み、SA管理サーバ3は端末2から問い合わせのあったSA情報をSA情報管理データベース23から検索する。そして、ステップS62に進み、SA管理サーバ3は検索した端末2のSA情報をSA情報管理データベース23から読み出して端末2へ送信する。   In step S 61, the SA management server 3 searches the SA information management database 23 for SA information inquired from the terminal 2. In step S62, the SA management server 3 reads the SA information of the searched terminal 2 from the SA information management database 23 and transmits it to the terminal 2.

端末2は受信したSA情報の項目「recovery」を参照し、SA情報の復旧可否に復旧が指定されていれば、SA情報をRAMに格納して使える状態とするSA復帰処理を行う。   The terminal 2 refers to the item “recovery” of the received SA information, and if recovery is specified for whether or not the SA information can be recovered, performs SA recovery processing for storing the SA information in the RAM and making it usable.

端末2は、復帰した図6のSA情報に基づきIPsecパケットを暗号化し、IPsecトンネル5経由で端末1へ送信する。そして、端末1はステップS63で端末2から受信したIPsecパケットに対する応答を行う。   The terminal 2 encrypts the IPsec packet based on the restored SA information of FIG. 6 and transmits it to the terminal 1 via the IPsec tunnel 5. Then, the terminal 1 makes a response to the IPsec packet received from the terminal 2 in step S63.

なお、端末1及び2は、IPsecを利用した暗号通信を終了する場合、IPsecを利用した暗号通信の終了が分かるように、自端末のSPD17に記録しておく。   When terminals 1 and 2 end encryption communication using IPsec, they are recorded in the SPD 17 of their own terminals so that the end of encryption communication using IPsec can be recognized.

本発明による暗号通信システムでは、電源断などの理由によりSA情報を消失したとしても自端末のSPDにIPsecを利用した暗号通信の開始が記録されており、且つSA情報をSA管理サーバ3へ保存しておくことにより、IPsecトンネル5が切断されたとき、再度、IKEによってネゴシエーションすることなく、迅速にIPsecトンネル5を自動復帰させることが可能である。   In the cryptographic communication system according to the present invention, even if SA information is lost due to a power failure or the like, the start of cryptographic communication using IPsec is recorded in the SPD of the terminal itself, and the SA information is stored in the SA management server 3. Thus, when the IPsec tunnel 5 is disconnected, the IPsec tunnel 5 can be automatically returned quickly and without being negotiated again by IKE.

本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。   The present invention is not limited to the specifically disclosed embodiments, and various modifications and changes can be made without departing from the scope of the claims.

1,2 端末
3 SA(セキュリティアソシエーション)管理サーバ
4 公共ネットワーク
5 IPsecトンネル
11 IP機能部
12 IPsec機能部
13 TCP/UDP機能部
14 IKEデーモン
15 HTTP機能部
16 FTP機能部
17 セキュリティポリシーデータベース(SPD)
21 SA情報登録デーモン
22 SA情報検索デーモン
23 SA情報管理データベース
31 入力装置
32 出力装置
33 ドライブ装置
34 補助記憶装置
35 主記憶装置
36 演算処理装置
37 インターフェース装置
38 記録媒体
B バス DESCRIPTION OF SYMBOLS 1, 2 Terminal 3 SA (security association) management server 4 Public network 5 IPsec tunnel 11 IP function part 12 IPsec function part 13 TCP / UDP function part 14 IKE daemon 15 HTTP function part 16 FTP function part 17 Security policy database (SPD)
21 SA Information Registration Daemon 22 SA Information Search Daemon 23 SA Information Management Database 31 Input Device 32 Output Device 33 Drive Device 34 Auxiliary Storage Device 35 Main Storage Device 36 Arithmetic Processing Device 37 Interface Device 38 Recording Medium B Bus

特開2003−115834号公報Japanese Patent Laid-Open No. 2003-115834

Claims (7)

通信システムにおいて確立された通信路が切断されたときに前記通信路を復帰させる通信路復帰方法であって、
第1の端末と第2の端末との間で前記通信路を確立したときに前記通信路を利用する為に必要な情報を、前記第1の端末と第2の端末とに記憶する情報記憶ステップと、
前記第1の端末又は第2の端末の少なくとも一方が、前記情報を前記第1の端末及び第2の端末以外の管理装置へ登録する情報登録ステップと、
前記第1の端末と第2の端末とに記憶されている前記情報のうち少なくとも一方が使用不能なとき、前記管理装置へ登録した情報に含まれる復旧可否情報に復旧が指定されているとき、前記情報を使用して前記通信路を復帰させる通信路復帰ステップと
を有する通信路復帰方法。 A communication path return method for returning the communication path when the communication path established in the communication system is disconnected,
Information storage for storing information necessary for using the communication path when the communication path is established between the first terminal and the second terminal in the first terminal and the second terminal Steps,
An information registration step in which at least one of the first terminal and the second terminal registers the information in a management device other than the first terminal and the second terminal;
When at least one of the information stored in the first terminal and the second terminal is unusable, when recovery is specified in the recovery availability information included in the information registered in the management device, A communication path return method comprising: a communication path return step for returning the communication path using the information. 前記第1の端末と第2の端末との間で前記通信路を確立したときに、前記通信路による通信の開始を不揮発性の記憶手段に記録する通信開始記録ステップを更に有し、
前記通信路復帰ステップは、前記第1の端末の前記情報が使用不能となった後、前記第2の端末から前記通信路を利用したデータを受信し、且つ前記第1の端末の前記不揮発性の記憶手段に前記通信路による通信の開始が記録されているとき、前記情報が使用不能となった前記第1の端末が、前記管理装置から前記情報を読み出すことを特徴とする請求項1記載の通信路復帰方法。 When the communication path is established between the first terminal and the second terminal, further comprising a communication start recording step of recording the start of communication through the communication path in a nonvolatile storage means,
The communication path return step receives data using the communication path from the second terminal after the information of the first terminal becomes unusable, and the non-volatility of the first terminal 2. The information processing apparatus according to claim 1, wherein when the start of communication through the communication path is recorded in the storage unit, the first terminal in which the information becomes unusable reads the information from the management device. Communication path return method. 前記第1の端末と第2の端末との間で前記通信路を確立したときに、前記通信路による通信の開始を不揮発性の記憶手段に記録する通信開始記録ステップを更に有し、
前記通信路復帰ステップは、前記第2の端末の前記情報が使用不能となった後、前記第2の端末から前記第1の端末へ前記通信路を利用したデータを送信するとき、前記第2の端末の前記不揮発性の記憶手段に前記通信路による通信の開始が記録されていれば、前記情報が使用不能となった前記第2の端末が前記管理装置から前記情報を読み出すことを特徴とする請求項1記載の通信路復帰方法。 When the communication path is established between the first terminal and the second terminal, further comprising a communication start recording step of recording the start of communication through the communication path in a nonvolatile storage means,
In the communication path return step, the second terminal transmits data using the communication path from the second terminal to the first terminal after the information of the second terminal becomes unusable. If the start of communication through the communication path is recorded in the non-volatile storage means of the terminal, the second terminal in which the information becomes unusable reads the information from the management device. The communication path return method according to claim 1. 前記通信路を利用する為に必要な情報は、鍵交換プロトコルを使用して取り決めた認証及び暗号化に関する情報であることを特徴とする請求項1記載の通信路復帰方法。   2. The communication path restoration method according to claim 1, wherein the information necessary for using the communication path is information on authentication and encryption negotiated using a key exchange protocol. 前記通信路は、ネットワーク層で認証及び暗号化を行うセキュアプロトコルを利用して確立されることを特徴とする請求項1記載の通信路復帰方法。   2. The communication path restoration method according to claim 1, wherein the communication path is established using a secure protocol that performs authentication and encryption in a network layer. 通信システムにおいて確立された通信路が切断されたときに前記通信路を復帰させる通信装置であって、
通信相手の端末との間で前記通信路を確立したときに前記通信路を利用する為に必要な情報を記憶する情報記憶手段と、
前記情報を前記通信相手の端末以外の管理装置へ登録する情報登録手段と、
前記情報記憶手段に記憶されている前記情報が使用不能なとき、前記管理装置へ登録した情報に含まれる復旧可否情報に復旧が指定されているとき、前記情報を使用して前記通信路を復帰させる通信路復帰手段と
を有する通信装置。 A communication device for returning the communication path when the communication path established in the communication system is disconnected,
Information storage means for storing information necessary to use the communication path when the communication path is established with a communication partner terminal;
Information registration means for registering the information in a management device other than the communication partner terminal;
When the information stored in the information storage means is unusable, when the restoration is specified in the restoration availability information included in the information registered in the management device, the communication path is restored using the information. A communication device having communication path return means. 確立された通信路が切断されたときに前記通信路を復帰させる通信システムであって、
第1の端末と第2の端末との間で前記通信路を確立したときに前記通信路を利用する為に必要な情報を、前記第1の端末と第2の端末とに記憶する情報記憶手段と、
前記第1の端末又は第2の端末の少なくとも一方が、前記情報を前記第1の端末及び第2の端末以外の管理装置へ登録する情報登録手段と、
前記第1の端末と第2の端末とに記憶されている前記情報のうち少なくとも一方が使用不能なとき、前記管理装置へ登録した情報に含まれる復旧可否情報に復旧が指定されているとき、前記情報を使用して前記通信路を復帰させる通信路復帰手段と
を有する通信システム。 A communication system for returning the communication path when the established communication path is disconnected,
Information storage for storing information necessary for using the communication path when the communication path is established between the first terminal and the second terminal in the first terminal and the second terminal Means,
Information registration means for registering at least one of the first terminal and the second terminal with a management device other than the first terminal and the second terminal;
When at least one of the information stored in the first terminal and the second terminal is unusable, when recovery is specified in the recovery availability information included in the information registered in the management device, A communication system comprising: a communication path returning means for returning the communication path using the information.
JP2012129666A 2012-06-07 2012-06-07 COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM Active JP5522201B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012129666A JP5522201B2 (en) 2012-06-07 2012-06-07 COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012129666A JP5522201B2 (en) 2012-06-07 2012-06-07 COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2007143643A Division JP5015662B2 (en) 2007-05-30 2007-05-30 Cryptographic channel return method, cryptographic communication device, and cryptographic communication system

Publications (2)

Publication Number Publication Date
JP2012177942A JP2012177942A (en) 2012-09-13
JP5522201B2 true JP5522201B2 (en) 2014-06-18

Family

ID=46979772

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012129666A Active JP5522201B2 (en) 2012-06-07 2012-06-07 COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM

Country Status (1)

Country Link
JP (1) JP5522201B2 (en)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002344443A (en) * 2001-05-15 2002-11-29 Mitsubishi Electric Corp Communication system and security association disconnection/continuing method
JP3629237B2 (en) * 2001-12-28 2005-03-16 株式会社東芝 Node device and communication control method
JP2004304696A (en) * 2003-04-01 2004-10-28 Matsushita Electric Ind Co Ltd Encryption communication apparatus
JP2005136739A (en) * 2003-10-30 2005-05-26 Furukawa Electric Co Ltd:The Data relay method, data relay device and data relay system
JP3980564B2 (en) * 2004-01-26 2007-09-26 富士通株式会社 Data communication method, data communication system, data communication program, and data communication apparatus
JP2005354556A (en) * 2004-06-14 2005-12-22 Matsushita Electric Ind Co Ltd Key exchanging device, system, and method, and encryption communication system
JP2006191205A (en) * 2004-12-28 2006-07-20 Matsushita Electric Works Ltd Communication apparatus, communication method, and communication system
JP4215010B2 (en) * 2005-03-04 2009-01-28 日本電気株式会社 Security association continuation method and terminal device under variable IP address environment
JP4427483B2 (en) * 2005-04-27 2010-03-10 株式会社東芝 Communication apparatus and communication method
JP2006352500A (en) * 2005-06-16 2006-12-28 Matsushita Electric Ind Co Ltd Processor and method for automatic key replacement processing
JP4980627B2 (en) * 2006-03-02 2012-07-18 株式会社リコー Network equipment
JP2008205763A (en) * 2007-02-20 2008-09-04 Ricoh Co Ltd Communication device, and communication method and program
JP2007184984A (en) * 2007-03-26 2007-07-19 Fujitsu Ltd Data communication method, data communication program, and data communication equipment

Also Published As

Publication number Publication date
JP2012177942A (en) 2012-09-13

Similar Documents

Publication Publication Date Title
US8045714B2 (en) Systems and methods for managing multiple keys for file encryption and decryption
JP3629237B2 (en) Node device and communication control method
US20170374025A1 (en) Internet protocol security (ipsec) interface configuration and management
CN106209838B (en) IP access method and device of SSL VPN
JP2012100206A (en) Cryptographic communication relay system, cryptographic communication relay method and cryptographic communication relay program
JP5015662B2 (en) Cryptographic channel return method, cryptographic communication device, and cryptographic communication system
US11082222B2 (en) Secure data management
US20020083046A1 (en) Database management device, database management method and storage medium therefor
JP4630296B2 (en) Gateway device and authentication processing method
JP5522201B2 (en) COMMUNICATION PATH RETURN METHOD, COMMUNICATION DEVICE, AND COMMUNICATION SYSTEM
JP2004234538A (en) Encrypted data sharing system
JP5319575B2 (en) Communication method and communication system
JP5131118B2 (en) Communication system, management device, relay device, and program
JP2008199420A (en) Gateway device and authentication processing method
JP4415527B2 (en) Communication terminal, communication establishment program, and communication system
CN114915583A (en) Message processing method, client device, server device, and medium
TW201532414A (en) A peer-to-peer connection system employed in second layer of network and method thereof
JP2012160941A (en) Information processing device, information processing method and program
JP3911697B2 (en) Network connection device, network connection method, network connection program, and storage medium storing the program
US20220247719A1 (en) Network Access Control System And Method Therefor
JP5294098B2 (en) Relay processing device, control method therefor, and program
JP7095451B2 (en) Information processing equipment, distributed processing programs and distributed processing systems
WO2024001885A1 (en) Data transmission method, electronic device and computer storage medium
CN110620752B (en) Logo replacing method and device, electronic equipment and storage medium
JP4844437B2 (en) Router device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120607

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130806

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131007

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131112

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140212

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20140219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140324

R151 Written notification of patent or utility model registration

Ref document number: 5522201

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151