JP2002077242A - パケット伝送方法および送信装置 - Google Patents

パケット伝送方法および送信装置

Info

Publication number
JP2002077242A
JP2002077242A JP2000267572A JP2000267572A JP2002077242A JP 2002077242 A JP2002077242 A JP 2002077242A JP 2000267572 A JP2000267572 A JP 2000267572A JP 2000267572 A JP2000267572 A JP 2000267572A JP 2002077242 A JP2002077242 A JP 2002077242A
Authority
JP
Japan
Prior art keywords
header
packet
compressed
transmitting
transport
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2000267572A
Other languages
English (en)
Inventor
Takeshi Yoshimura
健 吉村
Toshiro Kawahara
敏朗 河原
Minoru Eito
稔 栄藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2000267572A priority Critical patent/JP2002077242A/ja
Publication of JP2002077242A publication Critical patent/JP2002077242A/ja
Withdrawn legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 IPsecを適用したパケット伝送において
ヘッダを効率的に圧縮できるようにすること。 【解決手段】 送信側データ端末101では、送信すべ
き各パケット毎に、当該パケット内のトランスポートヘ
ッダを圧縮トランスポートヘッダまたはフルトランスポ
ートヘッダに変換し、IPヘッダのオプションフィール
ド(IPv4の場合)に格納する。そして、このIPヘ
ッダをペイロードに付加して送信する。パケットの暗号
化に際しては、送信側データ端末101または送信側G
W102においてパケットのうちペイロードのみが暗号
化されて送信される。これにより、送信側ノード103
と受信側ノード104の間など暗号化区間内の任意の中
継装置間において、ヘッダ圧縮を用いたパケット伝送を
行うことが可能となる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、いわゆるIPs
ecを適用したパケット伝送に好適なパケット伝送方
法、ならびにこれに用いられる送信装置に関する。
【0002】
【従来の技術】近年、特に企業などでは、拠点間におけ
るデータ伝送を専用回線ではなくインターネットを介し
て行いたいという要求が強くなってきている。しかしな
がら、インターネットを利用したデータ伝送は、盗聴、
メッセージの改竄、なりすましなどの危険性があり、機
密性を有するデータの伝送には適していない。
【0003】そこで、この問題を解決するために、暗号
化や認証の技術を利用したVPN(Virtual Private Ne
twork)が提唱されている。このVPNにおけるIPレ
ベルでの暗号化や認証に関するプロトコルがIPsec
(IP security protocol)である。このIPsecにつ
いては、IETF(Internet Engineering Task Forc
e)が発行するRFC(Request For Comment)に規定さ
れている。
【0004】ここで、図13を参照し、IPsecを適
用したパケット伝送について説明する。図13におい
て、VPN500は、LAN(Local Area Network)5
10と、ネットワーク520と、LAN530とにより
構成されている。LAN510は、パケットの送信元と
なる送信側データ端末551や送信側GW(gateway)
552を有している。ネットワーク520は、送信側ノ
ード553や受信側ノード554を有し、パケットの中
継を担うネットワークである。このネットワーク520
は、例えば、インターネットや公衆回線網などによって
構成されている。また、LAN530は、受信側GW5
55やパケットの送り先となる受信側データ端末556
を有する。
【0005】このようなVPN500におけるパケット
伝送の形態としては、以下に述べるトランスポートモー
ドとトンネルモードとがある。トランスポートモード
は、送信側データ端末551から受信側データ端末55
6までの全区間を暗号化されたパケットの伝送区間とす
るモードである。まず、このトランスポートモードにお
けるパケットの暗号化および復号化について具体的に説
明する。送信側データ端末551では、図14に示すよ
うに、送信すべきパケットのうち、IPヘッダ以外の、
トランスポートヘッダとペイロードのみを暗号化して当
該パケットを送信する。ここで、トランスポートヘッダ
は、TCP(Transmission Control Protocol)ヘッ
ダ、またはRTP(Realtime Transport Protocol)ヘ
ッダおよびUDP(User Datagram Protocol)ヘッダに
より構成される。そして、受信側データ端末556にお
いて、受信したパケット内の暗号化されたペイロードが
復号化される。
【0006】これに対してトンネルモードは、送信側G
W552から受信側GW555までの区間のみを暗号化
されたパケットの伝送区間とするモードである。このト
ンネルモードにおけるパケットの暗号化および復号化に
ついて具体的に説明すると、送信側GW552では、ま
ず、送信側データ端末551から暗号化されていないパ
ケットを受信すると、図15に示すように、受信したパ
ケット全体を暗号化する。次いで、これに送信元GW
(当該送信側GW552)のIPアドレスを発アドレ
ス、送信先GW(受信側GW555)のIPアドレスを
着アドレスとする新たなIPヘッダを付加して当該パ
ケットを送信する。そして、受信側GW555におい
て、受信したパケット内の暗号化されたペイロードが復
号化される。
【0007】一方、例えば、RFC2507やRFC2
508に規定されている圧縮ヘッダを用いたパケット伝
送方法では、パケット伝送を行う場合に、個々のパケッ
トに占めるIPヘッダやトランスポートヘッダのデータ
量を低減することにより、通信効率を高めている。
【0008】この圧縮ヘッダを用いたパケット伝送方法
は、例えば、図13において、ネットワーク520に含
まれる送信側ノード553と受信側ノード554との間
で行われる。具体的に説明すると、送信側ノード553
では、送信するパケットのうち、一部のパケット内のI
Pヘッダやトランスポートヘッダは圧縮することなく、
フルヘッダパケットとして受信側ノード554に送信す
る一方、他の一部のパケット内のIPヘッダやトランス
ポートヘッダを、フルヘッダパケットまたは先行するパ
ケットを参照することにより圧縮して圧縮ヘッダに変換
し、ヘッダ圧縮パケットとして受信側ノード554に送
信する。そして、受信側ノード554では、受信したヘ
ッダ圧縮パケットをフルヘッダパケットの内容などを参
照して復元する。
【0009】
【発明が解決しようとする課題】しかしながら、上述し
た圧縮ヘッダを用いたパケット伝送方法をIPsecを
適用したVPN500に用いた場合、以下の問題があっ
た。
【0010】(1)トランスポートモードの場合 送信側データ端末551においてトランスポートヘッダ
を暗号化してしまうので、送信側データ端末551以降
の中継装置(例えば、送信側GW552や送信側ノード
553など)では、IPヘッダのみしか圧縮することが
できない。したがって、ヘッダの圧縮効率が低下し、通
信効率の低下を招く。
【0011】(2)トンネルモードの場合 送信側GW552においてパケット全体を暗号化してし
まうので、送信側GW552以降の中継装置(例えば、
送信側ノード553など)では、送信側GW552によ
って付加されたIPヘッダのみしか圧縮することがで
きない。したがって、ヘッダの圧縮効率が低下し、通信
効率の低下を招く。
【0012】本発明は、以上説明した事情に鑑みてなさ
れたものであり、IPsecを適用したパケット伝送に
おいてヘッダを効率的に圧縮することが可能なパケット
伝送方法および送信装置を提供することを目的としてい
る。
【0013】
【課題を解決するための手段】この発明は、送信側装置
から受信側装置に至る伝送区間の一部または全部を暗号
化区間とし、前記伝送区間では、トランスポート層に対
応したヘッダまたは該ヘッダを圧縮した圧縮ヘッダをオ
プションとして含むネットワーク層に対応したヘッダを
生成し、このヘッダをペイロードに付加したパケットを
伝送し、前記暗号化区間では、前記パケットにおけるペ
イロードのみを暗号化して伝送することを特徴とするパ
ケット伝送方法を要旨とする。
【0014】また、この発明は、送信すべき各パケット
におけるトランスポート層に対応したヘッダのうち、一
部のパケットのヘッダを圧縮して圧縮ヘッダに変換する
変換手段と、前記ヘッダまたは前記変換手段により変換
された圧縮ヘッダをオプションとして含むネットワーク
層に対応したヘッダを生成する生成手段と、前記生成手
段により生成されたヘッダを前記パケットにおけるペイ
ロードに付加したパケットを送信する送信手段と、を具
備することを特徴とする送信装置を要旨とする。
【0015】また、この発明は、送信すべき各パケット
におけるトランスポート層に対応したヘッダのうち、一
部のパケットのヘッダを圧縮して圧縮ヘッダに変換する
変換手段と、前記ヘッダまたは前記変換手段により変換
された圧縮ヘッダをオプションとして含むネットワーク
層に対応したヘッダを生成する生成手段と、前記パケッ
トにおけるペイロードを暗号化する暗号化手段と、前記
生成手段により生成されたヘッダを前記暗号化手段によ
り暗号化されたペイロードに付加したパケットを送信す
る送信手段と、を具備することを特徴とする送信装置を
要旨とする。
【0016】
【発明の実施の形態】以下、図面を参照して本発明の実
施形態について説明する。かかる実施の形態は本発明の
一態様を示すものであり、この発明を限定するものでは
なく、本発明の範囲内で任意に変更可能である。
【0017】A−1.実施形態の構成 図1は、この発明の一実施形態に係るVPN10の構成
を模式的に例示するブロック図である。このVPN10
には、IPsecが適用されている。同図において、V
PN10は、LAN20と、ネットワーク30と、LA
N40と、により構成されている。LAN20は、パケ
ットの送信元となる送信側データ端末101や送信側G
W102を有する。ネットワーク30は、送信側ノード
103や受信側ノード104を有し、パケットの中継を
担うネットワークである。このネットワーク30は、例
えば、インターネットや公衆回線網などによって構成さ
れている。また、LAN40は、受信側GW105やパ
ケットの送り先となる受信側データ端末106を有す
る。また、上述した送信側GW102や受信側GW10
5は、ネットワーク間のアクセスを制御するとともに、
送信側ノード103や受信側ノード104と同様に、パ
ケットの中継を行う役割を担っている。
【0018】このVPN10におけるパケット伝送の形
態としては、送信側データ端末101から受信側データ
端末106までの全区間を暗号化されたパケットの伝送
区間とするトランスポートモードと、送信側GW102
から受信側GW105までの区間のみを暗号化されたパ
ケットの伝送区間とするトンネルモードとがある。トラ
ンスポートモードでは、送信側データ端末101におい
てパケットの暗号化が行われ、受信側データ端末106
において暗号化されたパケットの復号化が行われる。ま
た、トンネルモードでは、送信側GW102においてパ
ケットの暗号化が行われ、受信側GW105において暗
号化されたパケットの復号化が行われる。
【0019】また、トランスポートモードおよびトンネ
ルモードにおいて、送信側データ端末101は、送信す
べきパケットを、トランスポートヘッダを圧縮したヘッ
ダ圧縮パケットまたはフルヘッダを有するフルヘッダパ
ケットに変換する機能を有する。また、受信側データ端
末106は、受信したヘッダ圧縮パケットまたはフルヘ
ッダパケットから送信前のパケットを復元する機能を有
する。
【0020】なお、図1に示すネットワーク30には、
送信側ノード103および受信側ノード104が1つず
つ含まれている場合を例示しているが、より多くのノー
ドが含まれていてもよいことは勿論である。
【0021】次に、図2を参照して送信側データ端末1
01の構成を説明する。同図に示すように、送信側デー
タ端末101は、制御部201、送信部202および記
憶部203と、これらの各部を接続するバス204とを
含んで構成されている。
【0022】制御部201は、CPU(Central Proces
sing Unit)を備え、記憶部203に記憶されたプログ
ラムを実行することにより送信側データ端末101の各
部を制御する。この制御部201は、送信するパケット
を生成するとともに、トランスポートモードである場合
には、後述するパケット送信処理を実行する。またト
ンネルモードである場合には、後述するパケット送信処
理を実行する。これらの処理については後の動作説明
において詳述する。また、送信部202は、制御部20
1から出力されたデータを通信回線を介して送信側GW
102に送信する。
【0023】次に、図3は、送信側GW102の構成を
例示するブロック図である。同図に示すように、送信側
GW102は、受信部301、制御部302、送信部3
03および記憶部304bと、これらの各部を接続する
バス305とを含んで構成されている。
【0024】受信部301は、送信側データ端末101
から送信されたパケットを通信回線を介して受信し、制
御部302に出力する。制御部302は、CPUを備
え、記憶部304に記憶されたプログラムを実行するこ
とにより送信側GW102の各部を制御する。この制御
部302は、トンネルモードである場合に、後述するパ
ケット制御処理を実行する。この処理については後の動
作説明において詳述する。また、送信部303は、制御
部302から出力されたデータを通信回線を介して送信
側ノード103に送信する。
【0025】A−2.実施形態の動作 前述したようにVPN10におけるパケット伝送の形態
は、トランスポートモードとトンネルモードとがある。
以下ではモード別に動作説明を行う。
【0026】(1)トランスポートモード 送信側データ端末101の制御部201では、送信する
パケットを生成すると、パケット送信処理のルーチン
を実行する。
【0027】このパケット送信処理の概略を説明する
と、制御部201は、図4に示すように、送信すべき各
パケット毎に、当該パケット内のトランスポートヘッダ
を圧縮トランスポートヘッダまたはフルトランスポート
ヘッダに変換してIPヘッダのデータの一部として格納
し直すとともに、ペイロードを暗号化した後、当該パケ
ットを送信側GW102に送信する。なお、図4におい
ては、便宜上、IPヘッダのデータの一部として格納さ
れるデータを「圧縮トランスポートヘッダ」と記載して
いるが、実際にはこの部分に、圧縮トランスポートヘッ
ダまたはフルトランスポートヘッダのいずれかが格納さ
れる。
【0028】図5は、本実施形態に係る送信側データ端
末101において、トランスポートモードの場合に実行
されるパケット送信処理の動作を示すフローチャート
である。図5に示すように、まず、制御部201は、送
信すべきパケット毎に当該パケットのトランスポートヘ
ッダが圧縮可能であるか否かを判別する(ステップS1
01)。そして、圧縮可能でない場合はフルトランスポ
ートヘッダを作成した後(ステップS102)、ステッ
プS104に移行する。また、制御部201は、トラン
スポートヘッダが圧縮可能であると判別した場合は、圧
縮トランスポートヘッダを作成した後(ステップS10
3)、ステップS104に移行する。
【0029】ここで、フルトランスポートヘッダおよび
圧縮トランスポートヘッダについて、RTP/UDPヘ
ッダの場合を例に説明する。なお、以下に説明するフル
トランスポートヘッダおよび圧縮トランスポートヘッダ
は一例に過ぎず、そのデータ構造や圧縮方法は以下の記
載例に限定されるものではない。
【0030】図6(a)に示すように、フルトランスポ
ートヘッダは、RTP/UDPヘッダに含まれるレング
ス値lengthを、当該フルトランスポートヘッダを特定す
るためのコンテキストID番号CONTEXT_IDおよび送信順
に付される連続番号であるリンクシーケンス番号link_s
eqを含む情報に置き換えたものである。
【0031】また、圧縮トランスポートヘッダは、図6
(a)に示すトランスポートヘッダを圧縮したものであ
って、そのデータ構成を図6(b)に示す。この圧縮ト
ランスポートヘッダは、図6(a)に示すRTP/UD
Pヘッダ内において、密なハッチングが施された部分の
データ、すなわち、送信される各パケットにおいて共通
のデータ(以下、「一定値フィールド」という)や、ハ
ッチングが施されていない部分のデータ、すなわち、送
信される各パケットにおいて値が所定値ずつ変化し、連
続する2つのパケット間における差分値が一定と期待さ
れるデータ(以下、「差分一定フィールド」という)を
原則として含ませないようにすることでRTP/UDP
ヘッダのデータ量を低減したものである。
【0032】但し、差分一定フィールドのデータは、必
ずしも全てのパケット間でその差分値が一定値になると
は限らず、変更が生じる場合がある。このような場合に
変化後の差分値を受信側データ端末106に通知するた
め、図6(b)に示す圧縮トランスポートヘッダでは、
各差分一定フィールドについて差分値の変更の有無を示
すフラグSおよびTが含まれるとともに、各差分値に変
更があった場合には、図6(b)に破線で示すように、
当該変更後の差分値が圧縮トランスポートヘッダのデー
タとして付加される。
【0033】具体的には、RTPヘッダ内のシーケンス
番号の差分値に変更があった場合には、フラグSに
「1」がセットされるとともに、図6(b)に破線で示
すように、当該変更後のシーケンス番号の差分値を表す
シーケンス番号差分値(delta RTP sequence)が圧縮ト
ランスポートヘッダのデータとして付加される。同様
に、RTPヘッダ内のタイムスタンプの差分値に変更が
あった場合には、フラグTに「1」がセットされるとと
もに、図6(b)に破線で示すように、当該変更後のタ
イムスタンプの差分値を表すタイムスタンプ差分値(de
lta RTP timestamp)が圧縮トランスポートヘッダのデ
ータとして付加される。また、圧縮トランスポートヘッ
ダには、受信側データ端末106においてパケットが正
しく復元できたか否かを判断するためのUDPチェック
サムを付加することができる。
【0034】一方、上述した一定値フィールドのデータ
は、必ずしも全てのパケットにおいて一定値になるとは
限らず、変更が生じる場合がある。このような場合や最
初のパケットを送信する場合には、上記ステップS10
1においてトランスポートヘッダが圧縮不可能であると
判断され、フルトランスポートヘッダが作成される。図
5に戻り、次いで、制御部201は、上記ステップS1
02またはS103において作成したフルトランスポー
トヘッダまたは圧縮トランスポートヘッダをIPヘッダ
のオプション(IPv4の場合)として挿入する(ステ
ップS104)。
【0035】このIPヘッダオプションについて具体的
に説明すると、図7に示すIPv4ヘッダにおいて、オ
プション(option)フィールドには、オプションタイプ
とオプションデータとが格納される。制御部201は、
オプションタイプとして圧縮ヘッダタイプを、オプショ
ンデータとして圧縮トランスポートヘッダまたはフルト
ランスポートヘッダを格納する。
【0036】ここで、圧縮ヘッダタイプとは、オプショ
ンデータとして格納されるデータが、RTP/UDPヘ
ッダを圧縮したものであるのか、TCPヘッダを圧縮し
たものであるのか、あるいはフルトランスポートヘッダ
であるのかなど、格納データの種類を示す情報である。
また、IHL( Internet Header Length)フィールドに
は、オプションを含むIPヘッダのデータ長を32ビッ
ト単位で指定するデータが格納され、パディング(padd
ing )フィールドには、IPヘッダのビット長を32ビ
ット境界に揃えるためのパディング文字「0」が格納さ
れる。このIPヘッダのオプションフィールドおよびI
Pヘッダは、パケットの暗号化に際しても暗号化がされ
ないデータフィールドとして予め定義されている。
【0037】図5に戻り、制御部201は、以上説明し
たステップS104の処理を終えると、パケット内のペ
イロードを暗号化し(ステップS105)、当該パケッ
トを送信部202を介して送信側GW102に送信する
(ステップS106)。そして、制御部201は、送信
したパケットが最終パケットであるか否かを判別し(ス
テップS107)、最終パケットでない場合には、上記
ステップS101に戻る。また、最終パケットであると
判別した場合には、当該パケット送信処理を終了す
る。
【0038】以上説明したパケット送信処理により、
送信側データ端末101から送信側GW102へ各パケ
ットが送信される。トランスポートモードにおいて送信
側GW102および受信側GW105は、ネットワーク
間のアクセス制御および伝送されるパケットの中継を行
う。この際、送信側GW102では、受信した各パケッ
ト内のIPヘッダ(非暗号化)を参照してネットワーク
30内の送信側ノード103に当該各パケットを送信す
る。
【0039】次に、送信側ノード103では、受信した
各パケットのIPヘッダおよび当該IPヘッダのオプシ
ョンとして格納されている圧縮トランスポートヘッダま
たはフルトランスポートヘッダをさらに圧縮して受信側
ノード104に送信する。この送信側ノード103と受
信側ノード104との間の区間は、例えば、無線リンク
区間など他の区間に比べて通信容量が低い区間を想定し
ている。したがって、この区間では、伝送する個々のパ
ケットのデータ容量を極力少なくして通信効率を高める
ことが望ましい。
【0040】本実施形態では、既に、送信側データ端末
101から圧縮トランスポートヘッダを用いたパケット
伝送を行っている。したがって、送信側ノード103
は、受信した各パケット毎に、当該パケット内のIPヘ
ッダおよびそのオプションとして格納されている圧縮ト
ランスポートヘッダまたはフルトランスポートヘッダの
データ容量をさらに低減する処理を行う。
【0041】具体的には、まず、送信側ノード103で
は、受信したパケット毎に、IPヘッダのオプションと
して圧縮トランスポートヘッダが格納されているのか、
それともフルトランスポートヘッダが格納されているの
かを圧縮ヘッダタイプに従って判別する。
【0042】そして、IPヘッダのオプションとして圧
縮トランスポートヘッダが格納されている場合には、図
8に示すように、IPヘッダと圧縮トランスポートヘッ
ダを圧縮して圧縮IP/トランスポートヘッダに変換
し、当該パケットを受信側ノード104に送信する。な
お、図8は、送信側ノード103で受信したパケットに
IPヘッダのオプションとして圧縮トランスポートヘッ
ダが格納されている場合を例示している。
【0043】この送信側ノード103で行なわれるヘッ
ダ圧縮方法は種々考えられるが、例えば、以下の方法が
ある。 <ヘッダ圧縮方法1>RFC2507に規定されている
方法を用いてIPヘッダのみを単独で圧縮して圧縮IP
ヘッダに変換し、当該圧縮IPヘッダと圧縮トランスポ
ートヘッダを圧縮IP/トランスポートヘッダとする方
法。
【0044】<ヘッダ圧縮方法2>送信側ノード103
において圧縮トランスポートヘッダを一度復元し、RF
C2508に規定されている方法を用いてトランスポー
トヘッダとIPヘッダをまとめて圧縮して圧縮IP/ト
ランスポートヘッダを得る方法。
【0045】この<ヘッダ圧縮方法2>では、IPヘッ
ダとトランスポートヘッダをまとめて圧縮することがで
きるので、<ヘッダ圧縮方法1>と比較してさらにヘッ
ダ部のデータ容量を低減することができる。
【0046】一方、送信側ノード103では、受信した
パケットのIPヘッダにオプションとしてフルトランス
ポートヘッダが格納されている場合には、ヘッダ圧縮を
行わずに当該パケットをそのまま受信側ノード104に
送信する。
【0047】そして、受信側ノード104では、各パケ
ットを受信すると、図8に示すように、送信側ノード1
03において行なわれたヘッダ圧縮を復元する。すなわ
ち、受信側ノード104では、受信したパケットの圧縮
IP/トランスポートヘッダを、圧縮トランスポートヘ
ッダをオプションとして有するIPヘッダに復元し、当
該IPヘッダを参照してこのパケットを受信側GW10
5に送信する。なお、受信側ノード104では、受信し
たパケットのIPヘッダにオプションとしてフルトラン
スポートヘッダが格納されている場合には、当該パケッ
トをそのまま受信側GW105に送信する。
【0048】次いで、受信側GW105では、受信した
各パケットのIPヘッダを参照して受信側データ端末1
06に各パケットを送信する。そして、受信側データ端
末106では、受信した各パケット毎に、IPヘッダの
オプションとしてフルトランスポートヘッダが格納され
ているか否かを圧縮ヘッダタイプに従って判別する。そ
して、IPヘッダのオプションとしてフルトランスポー
トヘッダが格納されている場合には、このIPヘッダと
当該IPヘッダのオプションとして挿入されたフルトラ
ンスポートヘッダから、IPヘッダおよびトランスポー
トヘッダ(TCPヘッダ、またはRTP/UDPヘッ
ダ)を復元して図示しない内部記憶装置に書込む。な
お、フルトランスポートヘッダにおけるコンテキストI
D番号CONTEXT_IDおよびリンクシーケンス番号link_seq
は、下位レイヤの情報からレングス値lengthに復元され
る。
【0049】そして、内部記憶装置に書き込んだトラン
スポートヘッダ内の一定値フィールドを用いて、以後受
信するパケット内の圧縮トランスポートヘッダの一定値
フィールドを復元する。また、内部記憶装置に書き込ん
だトランスポートヘッダ内の差分一定フィールドの値に
対して所定の差分値を順次加えることにより、以後受信
するパケット内の圧縮トランスポートヘッダの差分一定
フィールドを復元する。
【0050】このようにして受信側データ端末106で
は、受信した各パケット内の圧縮トランスポートヘッダ
から送信前のトランスポートヘッダを復元するととも
に、暗号化されたペイロードを復号化する。そして、受
信した各パケットのペイロードに基づいて所定の処理
(例えば、RTPペイロードに従った画像の表示や音声
の再生など)を行う。以上がトランスポートモードにお
ける各部の動作である。次にトンネルモードにおける動
作について詳述する。
【0051】(2)トンネルモード 送信側データ端末101の制御部201では、送信する
パケットを生成すると、パケット送信処理のルーチン
を実行する。
【0052】図9は、本実施形態に係る送信側データ端
末101において、トンネルモードの場合に実行される
パケット送信処理の動作を示すフローチャートであ
る。同図に示すパケット送信処理は、トランスポート
モードにおいて述べたパケット送信処理とほぼ同一で
ある。異なるのは、トンネルモードの場合、送信側GW
102においてパケットの暗号化を行うため、当該パケ
ット送信処理では、前述したパケット送信処理にお
けるステップS105のペイロードの暗号化が省略され
ている点のみである。したがって、このパケット送信処
理の動作説明は省略するものとする。
【0053】次いで、このパケット送信処理によって
送信側データ端末101から送信される各パケットを受
信する送信側GW102では、以下に示すパケット制御
処理のルーチンを実行する。このパケット制御処理の概
略を説明すると、送信側GW102の制御部302で
は、図10に示すように、まず、受信した各パケット毎
に、IPヘッダとそのオプションとして格納された圧
縮トランスポートヘッダを圧縮して圧縮IP/トランス
ポートヘッダに変換する。次いで、送信元GW(当該送
信側GW102)のIPアドレスを発アドレス、送信先
GW(受信側GW105)のIPアドレスを着アドレス
とするトンネリング用の新たなIPヘッダを生成す
る。そして、圧縮IP/トランスポートヘッダを当該I
Pヘッダのオプションとして挿入するとともに、ペイ
ロードを暗号化した後、当該パケットを送信側ノード1
03に送信する。
【0054】また、送信側GW102では、受信したパ
ケットのIPヘッダにオプションとしてフルトランス
ポートヘッダが格納されている場合には、ヘッダ圧縮を
行わず、フルIP/トランスポートヘッダをIPヘッダ
のオプションとして挿入する。なお、図10は、送信
側GW102で受信したパケットに、IPヘッダのオ
プションとして圧縮トランスポートヘッダが格納されて
いる場合を例示している。
【0055】図11は、本実施形態に係る送信側GW1
02において、トンネルモードの場合に実行されるパケ
ット制御処理の動作を示すフローチャートである。図1
1に示すように、まず、制御部302は、受信部301
を介してパケットを受信すると(ステップS301)、
受信したパケットのIPヘッダにオプションとして圧
縮トランスポートヘッダが格納されているか否かを判別
する(ステップS302)。
【0056】そして、制御部302は、圧縮トランスポ
ートヘッダが格納されていると判別した場合は、圧縮ト
ランスポートヘッダを一度復元し(ステップS30
3)、復元したトランスポートヘッダとIPヘッダとを
まとめて圧縮して、圧縮IP/トランスポートヘッダを
作成する(ステップS304)。なお、このステップS
303およびS304において圧縮IP/トランスポー
トヘッダを作成する工程は、トランスポートモードの動
作説明において述べた<ヘッダ圧縮方法1>を用いても
よい。
【0057】また、上記ステップS302において、圧
縮トランスポートヘッダが格納されていないと判別した
場合は、IPヘッダのオプションとしてフルトランスポ
ートヘッダが格納されているので、制御部302は、当
該フルトランスポートヘッダおよびIPヘッダからフル
IP/トランスポートヘッダを作成する(ステップS3
05)。
【0058】次いで、制御部302は、当該送信側GW
102と受信側GW105間におけるトンネリング用の
IPヘッダを生成する(ステップS306)。そし
て、上記ステップS304またはS305において作成
した圧縮IP/トランスポートヘッダまたはフルIP/
トランスポートヘッダを当該IPヘッダのオプション
として挿入する(ステップS307)。
【0059】次いで、制御部302は、ペイロードを暗
号化し(ステップS308)、すなわち、IPヘッダお
よび当該IPヘッダのオプションを非暗号化データとし
て処理した後、IPヘッダを参照してこのパケットを
送信側ノード103に送信する(ステップS309)。
そして、制御部302は、送信したパケットが最終パケ
ットであるか否かを判別し(ステップS310)、最終
パケットでない場合には、上記ステップS301に戻
る。また、最終パケットであると判別した場合には、当
該パケット制御処理を終了する。
【0060】以上説明したパケット制御処理により、送
信側GW102から送信側ノード103へ各パケットが
送信される。送信側ノード103では、受信した各パケ
ットについて、オプションを除くIPヘッダのみをさ
らにRFC2507に規定されているヘッダ圧縮方法を
用いて圧縮IPヘッダまたはフルIPヘッダに変換
し、当該各パケットを受信側ノード104に送信する。
受信側ノード104では、各パケットを受信すると、送
信側ノード103において行なわれたIPヘッダのヘ
ッダ圧縮を復元し、当該IPヘッダを参照してこのパ
ケットを受信側GW105に送信する。
【0061】そして、受信側GW105では、各パケッ
トを受信すると、送信側GW102において行なわれた
ヘッダ圧縮を復元する。すなわち、受信側GW105で
は、受信したパケットのIPヘッダにオプションとし
て格納された圧縮IP/トランスポートヘッダから、圧
縮トランスポートヘッダをオプションとして有するIP
ヘッダを復元するとともに、暗号化されたペイロード
を復号化する。次いで、受信側GW105では、復元し
たIPヘッダを参照して受信側データ端末106にこ
のパケットを送信する。なお、受信側GW105では、
受信したパケットのIPヘッダにオプションとしてフ
ルIP/トランスポートヘッダが格納されている場合に
は、このフルIP/トランスポートヘッダからフルトラ
ンスポートヘッダをオプションとして有するIPヘッダ
を復元する。
【0062】そして、受信側データ端末106では、各
パケットを受信すると、トランスポートモードにおける
受信側データ端末106の処理と同様の処理を行って、
送信前のIPヘッダおよびトランスポートヘッダを復元
する。なお、トンネルモードの場合は、既に、受信側G
W105においてペイロードの復号化が済んでいるの
で、受信側データ端末106では、IPヘッダおよびト
ランスポートヘッダの復元を終えた後、受信した各パケ
ットのペイロードに基づいて、RTPペイロードに従っ
た画像の表示や音声の再生などを行う。以上がトンネル
モードにおける各部の動作である。
【0063】本実施形態によれば、送信側データ端末1
01では、送信すべき各パケット毎に、当該パケット内
のトランスポートヘッダを圧縮トランスポートヘッダま
たはフルトランスポートヘッダに変換し、IPヘッダの
オプションフィールド(IPv4の場合)に格納する。
そして、このIPヘッダをペイロードに付加して送信す
る。パケットの暗号化に際しては、送信側データ端末1
01または送信側GW102においてパケットのうちペ
イロードのみが暗号化されて送信される。したがって、
IPsecを適用したパケット伝送において、例えば、
送信側ノード103と受信側ノード104の間など暗号
化区間内の任意の中継装置間において、ヘッダ圧縮を用
いたパケット伝送を行うことが可能となり、通信効率を
向上させることができる。
【0064】B.変形例 以上、本発明の実施形態について説明したが、この実施
形態はあくまでも例示であり、本発明の趣旨から逸脱し
ない範囲で様々な変形が可能である。変形例としては、
例えば以下のようなものが考えられる。
【0065】(変形例1)上記実施形態では、IPse
cを適用したVPN10に対して本発明を適用した場合
を説明した。しかしながら、本発明は、IPsecを適
用したネットワークであるならば、VPN以外であって
も適用可能であることは言うまでもない。
【0066】(変形例2)上記実施形態では、本発明を
IPv4に対して適用した場合について説明した。しか
しながら、本発明は、IPv6に対しても適用可能であ
ることは勿論である。この場合、圧縮トランスポートヘ
ッダまたはフルトランスポートヘッダをIPヘッダに挿
入する際の処理は、以下に述べるようにして行なわれ
る。
【0067】図12に示すIPv6ヘッダにおいて、ハ
ッチングが施されたnext_hdr.フィールドは、拡張ヘッ
ダ(Extension header)フィールドに格納されるデータ
タイプを定義するフィールドである。送信側データ端末
101の制御部201は、このnext_hdr.フィールドに
圧縮ヘッダタイプを格納するとともに、拡張ヘッダフィ
ールドに圧縮トランスポートヘッダまたはフルトランス
ポートヘッダを格納する。この拡張ヘッダフィールドお
よびIPヘッダは、パケットの暗号化に際しても暗号化
がされないデータフィールドとして予め定義されてい
る。このようにIPv6の場合は、圧縮トランスポート
ヘッダまたはフルトランスポートヘッダを拡張ヘッダと
してIPヘッダに挿入してやればよい。
【0068】なお、ハッチングが施されたnext_hdr.フ
ィールドには、この拡張ヘッダフィールドをパケットの
暗号化に際しても暗号化がされないデータフィールドと
して定義する情報が格納される構成であってもよい。
【0069】(変形例3)上記実施形態では、パケット
内のトランスポートヘッダを圧縮トランスポートヘッダ
またはフルトランスポートヘッダに変換するトランスポ
ートヘッダ圧縮機能を送信側データ端末101が有する
一方、圧縮トランスポートヘッダまたはフルトランスポ
ートヘッダをトランスポートヘッダに変換するトランス
ポートヘッダ復元機能を受信側データ端末106が有す
る構成とした。しかしながら、トンネルモードにおいて
は、図1に示す送信側GW102がトランスポートヘッ
ダ圧縮機能を有し、受信側GW105がトランスポート
ヘッダ復元機能を有する構成であってもよい。
【0070】この場合、トンネルモードにおいて送信側
データ端末101は、送信する各パケットを何ら変更す
ることなく送信側GW102に送信する。そして、送信
側GW102において、IPヘッダおよびトランスポー
トヘッダをまとめて圧縮し、圧縮IP/トランスポート
ヘッダまたはフルIP/トランスポートヘッダに変換し
てやればよい。
【0071】
【発明の効果】以上説明したように本発明によれば、I
Psecを適用したパケット伝送においてパケット内の
ヘッダを効率的に圧縮することが可能となり、通信効率
を向上することができる。
【図面の簡単な説明】
【図1】 この発明の一実施形態に係るVPNの構成を
模式的に例示するブロック図である。
【図2】 同実施形態に係る送信側データ端末の構成を
例示するブロック図である。
【図3】 同実施形態に係る送信側GWの構成を例示す
るブロック図である。
【図4】 同実施形態に係る送信側データ端末において
実行されるパケットの変換処理の内容を模式的に例示す
る図である。
【図5】 同実施形態に係る送信側データ端末において
トランスポートモードの場合に制御部により実行される
パケット送信処理の動作を示すフローチャートであ
る。
【図6】 (a)はRTP/UDPヘッダおよびフルト
ランスポートヘッダのデータ構成を示す図であり、
(b)は圧縮トランスポートヘッダのデータ構成を示す
図である。
【図7】 同実施形態に係るIPv4ヘッダのデータ構
成を示す図である。
【図8】 同実施形態に係る送信側ノード103および
受信側ノード104においてトランスポートモードの場
合に実行されるパケットの変換処理の内容を模式的に例
示する図である。
【図9】 同実施形態に係る送信側データ端末において
トンネルモードの場合に制御部により実行されるパケッ
ト送信処理の動作を示すフローチャートである。
【図10】 同実施形態に係る送信側GWにおいてトン
ネルモードの場合に実行されるパケットの変換処理の内
容を模式的に例示する図である。
【図11】 同実施形態に係る送信側GWにおいてトン
ネルモードの場合に制御部により実行されるパケット制
御処理の動作を示すフローチャートである。
【図12】 変形例1に係るIPv6ヘッダのデータ構
成を示す図である。
【図13】 従来の、IPsecを適用したVPNの構
成を模式的に例示するブロック図である。
【図14】 従来の、トランスポートモードにおけるパ
ケットの暗号化について模式的に示す図である。
【図15】 従来の、トンネルモードにおけるパケット
の暗号化について模式的に示す図である。
【符号の説明】
10……VPN、20,40……LAN、30……ネッ
トワーク、101……送信側データ端末、102……送
信側GW、103……送信側ノード、104……受信側
ノード、105……受信側GW、106……受信側デー
タ端末、201,302……制御部、202,303…
…送信部、203,304……記憶部、204,305
……バス、301……受信部。
フロントページの続き (72)発明者 栄藤 稔 東京都千代田区永田町二丁目11番1号 株 式会社エヌ・ティ・ティ・ドコモ内 Fターム(参考) 5K030 GA01 HA08 HC01 HD03 JA05 JL07 JT03 KA01 KA02 KA13 LD19

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 送信側装置から受信側装置に至る伝送区
    間の一部または全部を暗号化区間とし、 前記伝送区間では、トランスポート層に対応したヘッダ
    または該ヘッダを圧縮した圧縮ヘッダをオプションとし
    て含むネットワーク層に対応したヘッダを生成し、この
    ヘッダをペイロードに付加したパケットを伝送し、 前記暗号化区間では、前記パケットにおけるペイロード
    のみを暗号化して伝送することを特徴とするパケット伝
    送方法。
  2. 【請求項2】 前記暗号化区間では、前記パケットにお
    けるペイロードのみを暗号化するとともに、該パケット
    におけるヘッダまたは該ヘッダを圧縮した圧縮ヘッダを
    オプションとして含む該暗号化区間用のネットワーク層
    に対応したヘッダを生成し、このヘッダを該暗号化した
    ペイロードに付加したパケットを伝送することを特徴と
    する請求項1に記載のパケット伝送方法。
  3. 【請求項3】 前記暗号化区間の一部を特別圧縮伝送区
    間とし、この特別圧縮伝送区間では、前記パケットにお
    けるヘッダをさらに圧縮して伝送することを特徴とする
    請求項1または請求項2に記載のパケット伝送方法。
  4. 【請求項4】 送信すべき各パケットにおけるトランス
    ポート層に対応したヘッダのうち、一部のパケットのヘ
    ッダを圧縮して圧縮ヘッダに変換する変換手段と、 前記ヘッダまたは前記変換手段により変換された圧縮ヘ
    ッダをオプションとして含むネットワーク層に対応した
    ヘッダを生成する生成手段と、 前記生成手段により生成されたヘッダを前記パケットに
    おけるペイロードに付加したパケットを送信する送信手
    段と、 を具備することを特徴とする送信装置。
  5. 【請求項5】 送信すべき各パケットにおけるトランス
    ポート層に対応したヘッダのうち、一部のパケットのヘ
    ッダを圧縮して圧縮ヘッダに変換する変換手段と、 前記ヘッダまたは前記変換手段により変換された圧縮ヘ
    ッダをオプションとして含むネットワーク層に対応した
    ヘッダを生成する生成手段と、 前記パケットにおけるペイロードを暗号化する暗号化手
    段と、 前記生成手段により生成されたヘッダを前記暗号化手段
    により暗号化されたペイロードに付加したパケットを送
    信する送信手段と、 を具備することを特徴とする送信装置。
JP2000267572A 2000-09-04 2000-09-04 パケット伝送方法および送信装置 Withdrawn JP2002077242A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000267572A JP2002077242A (ja) 2000-09-04 2000-09-04 パケット伝送方法および送信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000267572A JP2002077242A (ja) 2000-09-04 2000-09-04 パケット伝送方法および送信装置

Publications (1)

Publication Number Publication Date
JP2002077242A true JP2002077242A (ja) 2002-03-15

Family

ID=18754476

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000267572A Withdrawn JP2002077242A (ja) 2000-09-04 2000-09-04 パケット伝送方法および送信装置

Country Status (1)

Country Link
JP (1) JP2002077242A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004015957A1 (ja) * 2002-08-09 2004-02-19 Matsushita Electric Industrial Co., Ltd. ヘッダ圧縮/復元装置及びヘッダ圧縮/復元方法
JP2007208855A (ja) * 2006-02-03 2007-08-16 Fujitsu Ltd パケット通信システム
US7716472B2 (en) 2005-12-29 2010-05-11 Bsecure Technologies, Inc. Method and system for transparent bridging and bi-directional management of network data
JP2011514720A (ja) * 2008-01-30 2011-05-06 クゥアルコム・インコーポレイテッド リレーベースのヘッダ圧縮
US10862710B2 (en) 2017-11-21 2020-12-08 DOOSAN Heavy Industries Construction Co., LTD Node management gateway device in distribution network and grid network and method thereof

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004015957A1 (ja) * 2002-08-09 2004-02-19 Matsushita Electric Industrial Co., Ltd. ヘッダ圧縮/復元装置及びヘッダ圧縮/復元方法
US7328283B2 (en) 2002-08-09 2008-02-05 Matsushita Electric Industrial Co., Ltd. Header compression/decompression apparatus and header compression/decompression method
US7716472B2 (en) 2005-12-29 2010-05-11 Bsecure Technologies, Inc. Method and system for transparent bridging and bi-directional management of network data
JP2007208855A (ja) * 2006-02-03 2007-08-16 Fujitsu Ltd パケット通信システム
JP4592611B2 (ja) * 2006-02-03 2010-12-01 富士通株式会社 パケット通信システム
JP2011514720A (ja) * 2008-01-30 2011-05-06 クゥアルコム・インコーポレイテッド リレーベースのヘッダ圧縮
CN101981894B (zh) * 2008-01-30 2014-11-26 高通股份有限公司 基于中继的报头压缩
US8995469B2 (en) 2008-01-30 2015-03-31 Qualcomm Incorporated Relay based header compression
US10862710B2 (en) 2017-11-21 2020-12-08 DOOSAN Heavy Industries Construction Co., LTD Node management gateway device in distribution network and grid network and method thereof

Similar Documents

Publication Publication Date Title
US7386723B2 (en) Method, apparatus and system for compressing IPSec-protected IP packets
US9300634B2 (en) Mobile IP over VPN communication protocol
US7215667B1 (en) System and method for communicating IPSec tunnel packets with compressed inner headers
US20100085977A1 (en) Optimized Dynamic Multipoint Virtual Private Network Over IPv6 Network
JP2010521846A (ja) Ipトラフィックのセキュリティ保護
US9872175B2 (en) Packet processing method, apparatus, and system
CN101510889A (zh) 一种获取动态路由的方法和设备
CN112600802B (zh) 一种SRv6加密报文、SRv6报文的加解密方法及装置
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
Chavan et al. Secure CoAP using enhanced DTLS for Internet of things
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
JPH09312642A (ja) データ通信方式
JP2002077242A (ja) パケット伝送方法および送信装置
CN110650476B (zh) 管理帧加密和解密
JP2005244379A (ja) Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法
CN111683093A (zh) 基于IPv6网络的动态隐蔽通信方法
KR20090061253A (ko) 인터넷 프로토콜 보안 적용을 위한 유디피 기반의 터널링방법 및 상기 방법을 수행하는 시스템
JPH07170280A (ja) ローカルエリアネットワーク
JP2003244194A (ja) データ暗号装置及び暗号通信処理方法及びデータ中継装置
JP4043997B2 (ja) 暗号装置及びプログラム
CN114040389B (zh) 一种适用于物联网应用场景的高速安全传输方法
CN112333204B (zh) 基于tcp ip协议乱序特征码的5g网络传输保密装置
US20070053512A1 (en) Method and apparatus for improving security in a voice over internet protocol session
CN117201232A (zh) 一种高性能IPSec VPN方法
JPH09252315A (ja) 暗号通信システムおよび暗号装置

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20071106