JP2003169097A - パケット処理方法および装置 - Google Patents

パケット処理方法および装置

Info

Publication number
JP2003169097A
JP2003169097A JP2001369451A JP2001369451A JP2003169097A JP 2003169097 A JP2003169097 A JP 2003169097A JP 2001369451 A JP2001369451 A JP 2001369451A JP 2001369451 A JP2001369451 A JP 2001369451A JP 2003169097 A JP2003169097 A JP 2003169097A
Authority
JP
Japan
Prior art keywords
packet
processing
input
data
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001369451A
Other languages
English (en)
Other versions
JP3885573B2 (ja
JP2003169097A5 (ja
Inventor
Minoru Hidaka
稔 日高
Mitsuru Nagasaka
充 長坂
Toku Tsukada
徳 塚田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001369451A priority Critical patent/JP3885573B2/ja
Priority to US10/077,744 priority patent/US7203195B2/en
Publication of JP2003169097A publication Critical patent/JP2003169097A/ja
Publication of JP2003169097A5 publication Critical patent/JP2003169097A5/ja
Application granted granted Critical
Publication of JP3885573B2 publication Critical patent/JP3885573B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 通信網中のデータフローの集中するエッジノ
ードで暗号化等の計算量が多く負荷が高いサービスを行
う場合に高速回線を収容可能なパケット転送方式あるい
は装置を実現する。 【解決手段】 入力パケットから得られた情報を装置内
テーブルエントリに保持し、入力パケットの発信元ある
いは出力先あるいは装置内部の状態に応じて暗号化等の
処理の要否を判断することで暗号化等の必要なパケット
だけに処理を施すことで計算量を削減する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本願発明は、通信網、特にパ
ケット交換網を構成する通信機器に関する技術分野に関
するものである。特に、通信網におけるパケット転送の
際にオーバーヘッドなくパケットに処理を施しうる技術
に関する。パケットに施される処理としては、情報を秘
匿するための暗号化、圧縮、カプセル化などがある。
【0002】
【従来の技術】図10にパケット転送装置をノードとする
通信網の構成例を示す。一般に通信網は、端末(T1,T2,
T3,T11など)とノードにより構成される。図10の楕円は
複数ノードからなる通信網を表現している。通信の端点
として端末同士は通信を行う。通信は端点間をノードで
連絡することで、直接接続されていない端末間でも行う
ことができる。ノードは端末あるいは他のノードとの通
信を中継する。通信網の通信を中継する規約がIETF(Int
ernet Engineering Task Force)が定めるインターネッ
トプロトコルに従う通信網をインターネットINと呼ぶ。
インターネットINでは、管理者が異なる通信網が相互に
接続することにより構成されている。インターネットIN
のように、管理者が異なるノードからなる網上の通信が
広く行われるようになり、管理上、安全性、あるいは運
用性の面から端末が属する網の管理者のノードとそれ以
外のノードを区別する必要がある。管理者が異なる網間
を接続するノードを以下ではエッジノードあるいはエッ
ジルータと呼ぶ。
【0003】インターネットINを構成する網は、専ら電
気通信事業者が管理し不特定多数の利用者の接続を受け
入れる網と、利用者が管理しあるいは管理権限を持ち利
用者が接続する網がある。後者を以下プライベート網と
呼ぶ。前者には専らインターネット接続サービスを利用
者に提供する管理者の網と専ら回線接続サービスを利用
者に提供する管理者の網とがある。インターネット接続
サービスを利用者に提供する管理者の網を以下ISP網ISP
1,ISP2などと呼ぶ。回線接続サービスを利用者に提供す
る管理者の網を以下コア網CN1,CN2などと呼ぶ。以下で
は各網のエッジルータは、プライベート網エッジルータ
PE1,PE2、ISP網エッジルータER1,ER2、コア網エッジル
ータCE1,CE2のように呼ぶ。プライベート網がインター
ネットに接続する形態は、プライベート網PN1のようにI
SP網ISP1に直接接続する形態と、プライベート網PN2の
ようにコア網CN1を介してISP網ISP2に接続する形態とが
ある。以上のようなネットワーク上を、データはパケッ
トの形で転送されている。パケット転送方式および装置
において、データリンク層の情報、ネットワーク層の情
報、トランスポート層の情報など、ネットワークモデル
(International Standard Organizationの定めるOSI参
照モデル)上で複数層にまたがる情報をパケット転送処
理に利用している。図4にパケットの例を示す。パケッ
トは、トランスポート層データTL_DATAにトランスポー
ト層ヘッダTLHを付加したものがネットワーク層データN
L_DATAとなり、ネットワーク層データNL_DATAにネット
ワーク層ヘッダNLHを付加したものがデータリンク層デ
ータDL_DATAとなり、データリンク層データDL_DATAにデ
ータリンク層ヘッダDLHとデータリンク層プロトコルに
よってはデータリンク層トレーラDLTを付加したものが
データリンク層パケットに成ると云うように入れ子構造
に構成される。データリンク層パケットはフレームFLと
も呼ばれる。この入れ子構造をとることをカプセル化と
呼ぶ。カプセル化とは一般に、階層化されたネットワー
クシステムの中で、ある層のプロトコルで扱うパケッ
ト、あるいはフレーム全体を、別のプロトコルのヘッダ
情報を付加することで、ペイロードとして扱う手法をい
う。逆にヘッダを削除し包まれたデータを取り出すこと
をデカプセル化と呼ぶ。
【0004】パケット転送を行う際の処理には、ノード
が該当する層のヘッダ処理を行うだけでこと足りる場合
とパケットデータ全体を処理する必要がある場合とがあ
る。ヘッダ処理の例は、ネットワーク層の経路選択であ
る。この場合、ネットワーク層ヘッダを処理することで
出力先を決定できる。一方、パケット全体の処理を必要
とする場合があり、その例は、パケットの暗号化、復号
化、カプセル化あるいはデカプセル化などである。
【0005】また、プライベート網は、トンネリング技
術を用いて仮想的に接続することもできる。ここでトン
ネリングの為のカプセル化を説明する。トンネリングと
は、図1を例として説明すると、端末T1と端末T3が通
信するパケットをエッジルータPE1とエッジルータPE3が
通信するパケットにカプセル化することで、端末が通信
するパケットは図1の破線で示した経路のエッジルータ
PE1とPE3間の経路を仮想的に接続された経路と見なす方
式である。この仮想的に接続された経路はトンネルTN1
と呼ばれる。トンネリングの具体的な方式は、新たなヘ
ッダによりパケットをカプセル化することにより被カプ
セル化パケットの処理層の処理を新たなヘッダによる転
送処理で行うことである。図1の例の場合、トンネリン
グとは、エッジルータPE1が、端末T1が送信したパケッ
トに新たなネットワーク層ヘッダを付加し、その付加し
たネットワーク層ヘッダの情報による転送で到着するエ
ッジルータPE3が、エッジルータPE1が付加したヘッダを
削除し端末T1が送信したパケットを取り出すことであ
る。
【0006】図5にネットワーク層のパケットをネット
ワーク層でカプセル化するパケット構成例を示す。カプ
セル化では、図4で示したネットワーク層ヘッダNLHを
持つデータリンク層データDL_DATAであるパケットを新
たなネットワーク層データT_NL_DATAとし、新たなネッ
トワーク層ヘッダT_NLHを付加し、その部分が新たなデ
ータリンク層データDL_DATA2と成る。このデータリンク
層データDL_DATA2はデカプセル化されるまで、このネッ
トワーク層ヘッダT_NLHの情報を基にしたネットワーク
層のパケットとして処理される。デカプセル化では、こ
のネットワーク層ヘッダT_NLHの情報を基にして到着し
た宛先ノードでネットワーク層ヘッダT_NLHが削除さ
れ、そのネットワーク層データT_NL_DATAがもとのネッ
トワーク層のパケット、つまりもとのデータリンク層デ
ータDL_DATAとして復元される。復元されたデータは、
ネットワーク層ヘッダNLHの情報でネットワーク層のパ
ケットして転送される。
【0007】端末が通信する場合、トランスポート層よ
り下位層で送受信するデータは個々のパケットである
が、セッション層より上位層で送受信するデータは連続
したパケットから成るパケット群である。このパケット
群を以下パケットフローと呼ぶ。
【0008】
【発明が解決しようとする課題】図1のネットワークを
上記パケットフローが転送される際に、データの内容秘
匿のための暗号化技術が重要となる。
【0009】従来、IETFが発行するRequest For Commen
ts(RFC)2406 IP Encapsulating Security Payloadで行
われているように、暗号化処理は、パケットフロー毎に
端末上の応用プログラムが個別に処理したり、またはノ
ードが暗号化を行っていた。暗号化にはパケットのデー
タ部を暗号化する場合と、トンネリング(カプセル化)
を行い、プライベート網内の転送情報であるネットワー
ク層ヘッダも含めたパケットデータ全体を暗号化する場
合がある。パケットデータ全体を暗号化するのは、イン
ターネットではパケットは管理者が特定できない経路を
通過するため経路の安全性や経路情報の秘匿性を守る観
点から、端末が属するプライベート網内のネットワーク
層ヘッダ内の転送情報を、パケットが通過する経路のノ
ード上でパケットを認識可能な者から秘匿する必要があ
るためである。
【0010】図5と図6を用いて、暗号化のためにパケッ
トをカプセル化する例を説明する。図6に暗号化したト
ンネリングの為にネットワーク層ヘッダも含めて暗号化
されたパケットの構成例を示す。カプセル化されたパケ
ットT_NL_DATAがISP網をトンネルして通過するために必
要な処理として、新たなネットワーク層ヘッダT_NLHが
カプセル化ヘッダとしてパケットに付加される。暗号化
の場合、カプセル化されるデータT_NL_DATAは、暗号化
されたカプセル化データENCRYPTEDとして暗号化され
る。このようにプライベート網内のアドレス情報を持つ
ネットワーク層ヘッダNLHは暗号化され、ISP網内で通過
するノードでは暗号化されたデータENCRYPTEDとして転
送されるので、第三者がネットワーク層ヘッダNLHの値
を得ることは困難である。
【0011】パケットは、パケットフローとしてノード
を通過する。従来のパケット転送装置で暗号化あるいは
復号化を行う場合、対向パケット転送装置までの経路上
を通過するパケットフロー毎に処理を行っている。また
この場合、エッジノードは、トンネル経路すなわちパケ
ットを復号化する相手エッジノードまでの経路を通過す
るパケットを一様に暗号化していた。このような従来の
パケット転送装置においては、パケットフローを生成し
た端末を識別してパケットフロー中の暗号化あるいは復
号化の要否を判断し、暗号化が必要なパケットのみに暗
号化処理することは行っていない。パケット転送装置を
エッジノードとした場合、そのエッジノードが属する網
のパケットフローが集中して通過する。エッジノードが
パケットヘッダ処理に比較して計算量の多い暗号化処理
を実行する場合、パケットフローが集中するノードでは
計算による遅延でパケットの処理量が制限される。そこ
でパケットの処理量を効率化する必要がある。
【0012】
【課題を解決するための手段】そこで本発明のパケット
転送装置では、パケットフロー毎に利用者あるいは処理
内容を識別する識別手段を具備する。またパケットフロ
ー状態を識別してパケットフローを構成するパケットデ
ータへの処理を変更あるいは選択する手段を具備する。
また暗号化などパケットに施す処理の要否を判断する手
段を具備する。またパケット転送処理において、パケッ
ト情報、装置の内部状態に従って処理を変更することが
可能な手段を具備する。
【0013】識別手段は、入力パケットが持つヘッダ情
報から宛先情報等を抽出し、その入力パケットが構成す
るパケットフローの状態を把握する処理判別部と判別部
の結果を保持したテーブル情報検索部とパケットに施す
処理を決定する部分とパケットに施す処理ごとに専用処
理部を有する。
【0014】より具体的には、本発明のパケット処理方
法では、入力されたパケットフロー毎にパケットフロー
を構成するパケットデータに施される処理を選択し、パ
ケットデータに選択された処理を施す。処理の選択は、
パケットフローの入力された入力回線に基づいて、ある
いは、パケットデータに含まれる識別子に基づいて、行
うことができる。具体的には、パケットフローが入力さ
れる入力回線やパケットデータに含まれる識別子と、選
択すべき処理内容とが対応付けされたテーブルを参照す
ることにより、処理の選択を行う。パケットデータに施
される処理は、例えばカプセル化、デカプセル化、暗号
化、復号化、圧縮および伸張等種々の処理のうちから選
択される一つ、あるいは、これらの組み合わせである。
本発明によるネットワークシステムは、複数の通信網
と、各通信網に属する端末と、通信も間を中継するエッ
ジノードを有し、端末間をパケットフローがエッジノー
ドを介して通信され、エッジノードはパケットフローの
特性(例えば利用者、送信元、受信先、要求される処理
など)に応じて、選択的にパケットフローに処理を施
す。処理の典型例は、暗号化である。暗号化にはデータ
部分のみの暗号化とカプセル化を含む。さらに本発明に
なるエッジノードの構成としては、入力されたパケット
からそのパケットが構成するデータフローの特性を示す
識別情報を抽出する処理工程選択部と、あらかじめ識別
情報とパケットに施すべき処理の組をデータとして保有
する処理選択テーブルと、処理工程選択部で抽出された
識別情報をキーとして処理選択テーブル情報を検索する
テーブル検索部と、テーブル検索結果に従ってパケット
に処理を施す独立したパケット処理部と、処理されたパ
ケットを送出する転送先選択部を有するパケット処理装
置を備える。入力されたパケットが持つヘッダ情報から
そのパケットが構成するデータフローの特性を示す識別
情報を抽出ができる。これは例えば、送信元アドレスや
宛先アドレス等の利用者情報である。
【0015】別の例としては、入力されたパケットの発
信元を判定する処理工程選択部と、あらかじめ識別情報
とパケットに施すべき処理の組をデータとして保有する
処理選択テーブルと、処理工程選択部で判定された発信
元をキーとして処理選択テーブル情報を検索するテーブ
ル検索部と、テーブル検索結果に従ってパケットに処理
を施す独立したパケット処理部と、処理されたパケット
を送出する転送先選択部を有するパケット処理装置であ
る。ここで、パケットが入力された入力回線をパケット
の発信元として判定したり、入力されたパケットが持つ
ヘッダ情報からそのパケットの発信元を判定したりする
ことができる。
【0016】
【発明の実施の形態】図2により本発明を適用したパケ
ット転送装置すなわちエッジノードの構成例を説明す
る。エッジノードとは例えば、図1のプライベート網エ
ッジルータPE1,PE2、ISP網エッジルータER1,ER2、コア
網エッジルータCE1,CE2などである。エッジノードは、
装置外部から図5、図6に示すデータリンク層のパケット
を受信する入力回線を収容した入力回線インタフェース
30-1,30-nと装置外部へデータリンク層のパケットを送
信する出力回線を収容した出力回線インタフェース50-
1,50-nと、入力回線インタフェースが受信したデータリ
ンク層のパケットを処理する入力処理部13-1,13-mと、
入力処理部から出力処理部へ装置内でデータを転送する
スイッチ部12と、送信するデータリンク層のパケットを
処理する出力処理部14-1,14-mと、これらを制御する制
御部11から成る。入力回線、出力回線、入力回線インタ
フェース、出力回線インタフェース、入力処理部、出力
処理部、スイッチ部、制御部はパケット転送装置にそれ
ぞれ複数備えることも可能である。
【0017】入力回線インタフェース30-1,30-nは、入
力回線から入力された物理信号をデータリンク層パケッ
ト認識し、データリンク層パケットを入力パケット処理
部20へ転送する。
【0018】入力パケット処理部20は入力されたデータ
リンク層パケットを処理し、処理したパケットをスイッ
チ部12に転送する。スイッチ部12は入力パケット処理部
20から転送されたパケットを出力パケット処理部40へ転
送する。出力パケット処理部40はスイッチ部12から転送
されたパケットを処理し、データリンク層パケットとし
て出力回線インターフェース50-1,50-nへ転送する。
【0019】出力回線インタフェース50は、出力パケッ
ト処理部40から転送されたデータリンク層パケットを受
信し出力回線へ適した物理信号に変換して出力する。
【0020】図3により入力パケット処理部20と出力パ
ケット処理部40の構成例を説明する。入力パケット処理
部20は、少なくとも一つの演算装置CPUと記憶装置MSと
複数の入出力装置205からなる。入出力装置205は、演算
装置CPU1、演算装置CPU2等、あるいは記憶装置MSと、入
出力回線インターフェース、スイッチ部あるいは制御部
とを、バスあるいはクロスバースイッチにより接続す
る。本実施例の入力パケット処理部20と出力パケット処
理部40は類似の構成であり、連携してパケットを処理す
る。
【0021】図9に本発明を適用したパケット転送装置
の論理構成図を示す。これらの構成は、図3の一つある
いは複数のCPU1, CPU2上のデータ処理及び記憶装置MSに
よって実現することができる。しかし、すべてハードウ
エア構成とすることもできる。本方式は、入力インタフ
ェース部あるいはスイッチ部から入力されたパケットが
持つヘッダ情報を抽出し、そのパケットが構成するデー
タフローの状態を把握する処理工程選択部100とテーブ
ル情報の更新の管理を行うテーブル管理部101とテーブ
ル情報を検索するテーブル検索部102と通信網内の認証
サービスとの間で行う認証処理結果をテーブル管理部へ
伝える認証処理部103とテーブル104とテーブル検索結果
によりパケットに施す処理毎のパケット処理部300とス
イッチ部あるいは出力インタフェース部へパケットを転
送する転送先選択部400を有する。
【0022】処理工程選択部100では、入力パケットの
データリンク層ヘッダDLH、あるいはトレイラDLTに含ま
れる情報からデータリンク層識別子IN12を得る。また、
ネットワーク層ヘッダNLHに含まれる情報からネットワ
ーク層識別子IN21を得る。また、トランスポート層ヘッ
ダTLHに含まれる情報からトランスポート層識別子IN22
を得る(図4、図5、図7、図8参照)。例えばデータリン
ク層識別子は、データリンク層の送信元アドレス、宛先
アドレス、およびセッション識別子である。例えば、RF
C2516で示されるPPP over Ethernetでは、入力パケット
のデータリンク層ヘッダDLHからセッション識別子が得
られる。またネットワーク層識別子はネットワーク層の
送信元アドレス、宛先アドレス、上位層プロトコル識別
子である。ネットワーク層ヘッダの例は、RFC791で示さ
れるInternet Protocol(IP)である。またトランスポー
ト層で抽出する情報はトランスポート層アドレスやトラ
ンスポート層状態フラグである。トランスポート層ヘッ
ダの例は、RFC793で示されるTCPやRFC768で示されるUDP
である。入力パケットを発信した端末は、入力回線IN1
1、データリンク層識別子IN12あるいはネットワーク層
識別子IN21により特定する。
【0023】テーブル検索部102では、入力処理工程選
択部100が入力パケットから抽出した入力情報IN1あるい
は入力情報IN2を検索キーにして出力情報を記録したテ
ーブルを検索する。処理工程選択部100は、テーブル検
索部102から得た検索結果すなわち出力情報OUT1と出力
情報OUT2に応じ、パケット処理部300へデータ処理を指
示する。
【0024】図7にデータリンク層ヘッダの情報をパケ
ットフロー識別に利用するテーブルの例を、図8にネッ
トワーク層ヘッダの情報とトランスポート層ヘッダの情
報の一方または両方をパケットフロー識別に利用するテ
ーブルの例を示す。図7の例では、入力パケットから得
られた入力回線IN11や入力データリンク層識別子IN12か
ら入力情報IN1が構成される。入力情報IN1を検索キーと
し図7に示したテーブルの検索を行うことで出力情報OUT
1を得る。出力情報OUT1は、パケットが出力される出力
回線OUT11、出力データリンク層識別子OUT12、データリ
ンク層(DL)状態OUT13、パケット通過条件OUT14から構
成する。また、処理識別子OUT15によりパケットに行う
処理が指定される。図8の例では、入力パケットから得
られた入力ネットワーク(NL)層識別子IN21や入力トラ
ンスポート(TL)層識別子IN22から入力情報IN2が構成
される。入力情報IN2を検索キーとし図8に示したテーブ
ルの検索を行うことで出力情報OUT2を得る。出力情報OU
T2は、出力ネットワーク層(NL)識別子OUT11、トラン
スポート層(TL)状態OUT22、パケット通過条件OUT23、
処理識別子OUT24、および出力データリンク層識別子OUT
25から構成する。図1のプライベート網エッジルータPE1
は、入力パケットの発信端末を、入力データリンク層識
別子IN12で識別できる。図7の例では、端末T1の通信す
るパケットであることは、入力処理工程選択部がパケッ
ト抽出した入力情報IN1を検索キーとして図7に示したテ
ーブルを検索することで判断できる。すなわち端末T1の
発信したパケットは、入力データリンク層識別子IN12が
0002であり、端末T11の発信したパケットは入力データ
リンク層識別子IN12が0010であるので発信端末が識別で
きる。また、図7の例では、端末T1のパケットフロー
は、認証処理部103が利用者識別した入力回線IN11、入
力データリンク層識別子(セッション識別子)IN12毎
に、テーブルエントリのDL状態OUT13をデータ通信に変
更することで判断できる。出力回線がどの網に接続して
いるかはテーブルエントリに保持された出力データリン
ク層識別子(セッション識別子)OUT12から識別する。
同様に端末T11の通信するパケットであることも識別で
きる。そこで端末に応じた処理識別子OUT15を割り当て
ることにより暗号化の要否の判断を行うことが出来る。
【0025】テーブル管理部102は、処理工程選択部100
が抽出した情報からデータリンク層状態の変更、パケッ
ト通過条件変更を判定し、テーブルエントリに設定す
る。また、暗号化等の処理の要否を判定し、処理識別子
をテーブルエントリに設定する。図7の例では、テーブ
ルエントリのデータリンク層(DL)状態OUT11は、入力
データリンク層識別子IN12毎のデータリンク層パケット
の到着履歴である。また、図8の例では、トランスポー
ト層(TL)状態OUT21は、入力トランスポート層識別子IN2
2毎のトランスポート層パケットの到着履歴である。
【0026】認証処理部103は、パケット転送装置外部
の認証サービス、あるいは図示していないパケット転送
装置内部の認証サービスと通信し利用者の認証を行う。
入力パケットはそのパケットを生成した利用者情報を含
む。利用者情報は、データリンク層識別子やネットワー
ク層識別子やトランスポート層データに含まれる上位層
の情報である。そこで認証処理部は、その利用者情報を
認証サービスに送信し、認証結果を受信する。認証処理
部は認証結果に従いそのパケットが属するパケットフロ
ーのテーブルエントリを登録、抹消、パケット通過条件
OUT14の変更の要否をテーブル管理部に通知する。テー
ブル部はエントリとしてその情報を保持する。
【0027】パケット処理部300は、処理識別子により
選択されて実行される。本発明のパケット転送装置をエ
ッジルータとして用いた網の構成例である図1を用い
て、パケット処理部300を説明する。第一のプライベー
ト網PN1のエッジルータPE1と第三のプライベート網PN3
のエッジルータPE3はコア網CN1を介して第一のISP網ISP
1のエッジルータER1と接続し、第二のプライベート網PN
2のエッジルータPE2はコア網CN2を介して第二のISP網IS
P2のエッジルータER5と接続する。また、プライベート
網PN1とプライベート網PN2はトンネルTN2で接続されて
いる。プライベート網1とプライベート網PN3はトンネ
ルTN1で接続されている。
【0028】図1を再度参照して、広域ネットワークに
於ける本願発明の動作を説明する。図1のプライベート
網エッジルータPE1が送信するパケットは、図8のテー
ブルを用いると、通信相手が図の破線すなわち契約ISP
内の暗号化が不要な経路(トンネルTN1)で接続される端
末T3である場合、処理識別子OUT15によりトンネリング
の為のカプセル化処理301が選択される。通信相手が図
の一点鎖線すなわちインターネットINを通過し暗号化が
必要な経路(トンネルTN2)で接続される端末T2である
場合、処理識別子により暗号化処理部303が選択され、
さらにトンネリングの為のカプセル化処理301が選択さ
れる。一方プライベート網エッジルータPE1が受信する
パケットは、図8のテーブルを用いると、通信相手が図
の破線すなわち契約ISP内の暗号化が不要な経路(トンネ
ルTN1)で接続される端末T3である場合、処理識別子OUT1
5によりトンネリングの為のデカプセル化処理302が選択
される。通信相手が図の一点鎖線すなわちインターネッ
トINを通過し暗号化が必要な経路(トンネルTN2)で接
続される端末T2である場合、処理識別子によりトンネリ
ングの為のデカプセル化処理302が選択され、さらに複
号化処理部304が選択される。また、パケットにデータ
圧縮伸張処理が必要な場合には、圧縮処理部305あるい
は伸張処理部306へパケットが転送される。必要な処理
が終了するとパケット処理部300は転送先選択部400にパ
ケットデータを送信する。転送先選択部400では、パケ
ットデータをスイッチ部12または出力回線インタフェー
ス50へ転送する。また、処理工程選択部100では、スイ
ッチ部12から転送されたパケットの場合も同様な処理を
行う。
【0029】図11により、本発明のパケット転送装置
を用い、ISP網側のエッジルータにより、仮想プライベ
ート網VPNを構成する場合の実施例を説明する。この場
合、プライベート網内のパケットは、ISP網のエッジル
ータER2によりカプセル化されトンネル用のパケットと
なる。ISP網のエッジルータER2は、ISP網を通過するた
めに必要な新たなネットワーク層ヘッダT_NLHをカプセ
ル化ヘッダとしてパケットに付加する。接続契約してい
るプライベート網PN1のエッジルータPE1からのパケット
はデータリンク層識別子とネットワーク層識別子により
端末T1からのパケットであることを認識できる。同様に
端末T11からのパケットであることも認識できる。暗号
化は、テーブルに保持した処理識別子に従って行う。こ
の場合、インターネット接続サービスを行う事業者は、
その事業者の管理するISP網ISP1に接続する利用者に代
わって暗号化したトンネリング等の付加価値サービスを
行うことが出来る。
【0030】
【発明の効果】本発明により、入力パケットの発信端末
あるいは利用者を認識することが可能であり、送信先の
判定も可能であるので、利用者あるいは処理内容を識別
してパケットの処理を変更し、パケットフローを構成す
るパケット処理を変更しエッジノードを通過するパケッ
トの処理を差別化することが可能である。また、利用者
が暗号化を行いたいパケットを選択的に暗号化すること
ができ、利用者毎に暗号化が必要な経路を通過するパケ
ットのみを暗号化することができる。従って、エッジノ
ードで暗号化等の比較的計算量の多い処理を選択的に行
うことが可能となる。高速回線を収容したパケット転送
装置によりデータフローの暗号化処理を行うことが可能
となることで、パケットがプライベート網の管理者以外
の管理する網を通過する場合にもプライベート網内の宛
先情報が秘匿されるので、プライベート網内の宛先にサ
ービス不能攻撃などの悪意あるアクセスが行い難くな
る。本方式を具備したパケット転送装置の管理者は、利
用者毎にパケット処理を差別化したサービスを提供する
ことが可能である。
【図面の簡単な説明】
【図1】本発明によるエッジノードを用いた網の構成例
を説明する概念図である。
【図2】本発明によるエッジノードの構成例を説明する
ブロック図である。
【図3】本発明によるエッジノードのパケット処理部の
構成例を説明するブロック図である。
【図4】パケットの構成例を説明する概念図である。
【図5】カプセル化されたパケットの構成例を説明する
概念図である。
【図6】カプセル化されデータ部を暗号化したパケット
の構成例を説明する概念図である。
【図7】本発明による処理工程選択に用いるテーブル構
成を説明する表図である。
【図8】本発明による処理工程選択に用いるテーブル構
成を説明する表図である。
【図9】本発明によるエッジノードのパケット処理部の
論理構成例を説明するブロック図である。
【図10】本発明によるエッジノードを用いた網の構成例
を説明する概念図である。
【図11】本発明によるエッジノードを用いた網の構成例
を説明する概念図である。
【符号の説明】
T1…端末、DT1…ダイアルアップ端末、PN1…プライベー
ト網、ISP1…ISP網、CN1…コア網、PE1…プライベート
網エッジルータ、ER1…ISP網エッジルータ、CE1…コア
網エッジルータ、IN…インターネット、TN1…トンネ
ル、11…制御部、12…スイッチ部、13…入力処理部、14
…出力処理部、20…入力パケット処理部、30…入力回線
インタフェース、40…出力パケット処理部、50…出力回
線インタフェース、100…入力処理工程選択部、101DLH
…データリンク層ヘッダ、DLT…データリンク層トレー
ラ、DL_DATA…データリンク層データ、NLH…ネットワー
ク層ヘッダ、NL_DATA…ネットワーク層データ、T_NLH…
ネットワーク層ヘッダ、T_NL_DATA…ネットワーク層デ
ータ、TLH…トランスポート層ヘッダ、TL_DATA…トラン
スポート層データ、FL…データリンク層パケットまたは
フレーム。
フロントページの続き (72)発明者 塚田 徳 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所通信事業部内 Fターム(参考) 5K030 GA11 HA11 HB28 HD03 JA05 LA07 LB05 LD19 5K033 AA03 CB08 CC02 DA06 DB19

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】入力されたパケットフロー毎に該パケット
    フローを構成するパケットデータに施される処理を選択
    し、 該パケットデータに選択された処理を施すことを特徴と
    するパケット処理方法。
  2. 【請求項2】上記パケットフローの入力された入力回線
    に基づいて、上記処理の選択を行うことを特徴とする請
    求項1記載のパケット処理方法。
  3. 【請求項3】上記パケットデータに含まれる識別子に基
    づいて、上記処理の選択を行うことを特徴とする請求項
    1記載のパケット処理方法。
  4. 【請求項4】上記パケットフローが入力される入力回線
    と選択すべき処理内容とが対応付けされたテーブルを参
    照することにより、上記処理の選択を行うことを特徴と
    する請求項1記載のパケット処理方法。
  5. 【請求項5】上記パケットデータに含まれる識別子と選
    択すべき処理内容とが対応付けされたテーブルを参照す
    ることにより、上記処理の選択を行うことを特徴とする
    請求項1記載のパケット処理方法。
  6. 【請求項6】パケットデータに施される処理は、カプセ
    ル化、デカプセル化、暗号化、復号化、圧縮および伸張
    のうちから選択される少なくとも一つであることを特徴
    とする請求項1記載のパケット処理方法。
  7. 【請求項7】入力されたパケットからそのパケットが構
    成するデータフローの特性を示す識別情報を抽出する処
    理工程選択部と、 あらかじめ識別情報と上記パケットに施すべき処理の組
    をデータとして保有する処理選択テーブルと、上記処理
    工程選択部で抽出された識別情報をキーとして上記処理
    選択テーブル情報を検索するテーブル検索部と、上記テ
    ーブル検索結果に従って上記パケットに処理を施すパケ
    ット処理部と、上記処理されたパケットを送出する転送
    先選択部を有するパケット処理装置。
  8. 【請求項8】入力されたパケットが持つヘッダ情報から
    そのパケットが構成するデータフローの特性を示す識別
    情報を抽出することを特徴とする請求項7記載のパケッ
    ト処理装置。
  9. 【請求項9】上記データフローの特性を示す識別情報
    は、送信元アドレスおよび宛先アドレスのうち少なくと
    も一つであることを特徴とする請求項8記載のパケット
    処理装置。
  10. 【請求項10】上記パケット処理部は、パケットに施す
    処理毎に独立した複数種類のパケット処理部であること
    を特徴とする請求項8記載のパケット処理装置。
  11. 【請求項11】入力されたパケットの発信元を判定する
    処理工程選択部と、 あらかじめ識別情報と上記パケットに施すべき処理の組
    をデータとして保有する処理選択テーブルと、上記処理
    工程選択部で判定された発信元をキーとして上記処理選
    択テーブル情報を検索するテーブル検索部と、上記テー
    ブル検索結果に従って上記パケットに処理を施すパケッ
    ト処理部と、上記処理されたパケットを送出する転送先
    選択部を有するパケット処理装置。
  12. 【請求項12】パケットが入力された入力回線を上記パ
    ケットの発信元として判定することを特徴とする請求項
    11記載のパケット処理装置。
  13. 【請求項13】入力されたパケットが持つヘッダ情報か
    らそのパケットの発信元を判定することを特徴とする請
    求項11記載のパケット処理装置。
JP2001369451A 2001-12-04 2001-12-04 パケット処理方法および装置 Expired - Fee Related JP3885573B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001369451A JP3885573B2 (ja) 2001-12-04 2001-12-04 パケット処理方法および装置
US10/077,744 US7203195B2 (en) 2001-12-04 2002-02-20 Method for packet transferring and apparatus for packet transferring

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001369451A JP3885573B2 (ja) 2001-12-04 2001-12-04 パケット処理方法および装置

Publications (3)

Publication Number Publication Date
JP2003169097A true JP2003169097A (ja) 2003-06-13
JP2003169097A5 JP2003169097A5 (ja) 2005-07-21
JP3885573B2 JP3885573B2 (ja) 2007-02-21

Family

ID=19178838

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001369451A Expired - Fee Related JP3885573B2 (ja) 2001-12-04 2001-12-04 パケット処理方法および装置

Country Status (2)

Country Link
US (1) US7203195B2 (ja)
JP (1) JP3885573B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008111206A1 (ja) * 2007-03-15 2008-09-18 Fujitsu Limited 中継ノード
JP2009506618A (ja) * 2005-08-23 2009-02-12 ネトロノーム システムズ インク 伝送情報を処理して、転送するシステムおよび方法
JP2011525319A (ja) * 2008-06-02 2011-09-15 クゥアルコム・インコーポレイテッド 暗号化サポートのpcc向上
KR101401013B1 (ko) * 2012-12-14 2014-05-29 주식회사 시큐아이 패킷을 처리하는 방법 및 네트워크 장치
WO2016051813A1 (ja) * 2014-09-30 2016-04-07 アラクサラネットワークス株式会社 中継装置

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6957067B1 (en) 2002-09-24 2005-10-18 Aruba Networks System and method for monitoring and enforcing policy within a wireless network
US9137670B2 (en) * 2003-02-18 2015-09-15 Hewlett-Packard Development Company, L.P. Method for detecting rogue devices operating in wireless and wired computer network environments
US7295524B1 (en) 2003-02-18 2007-11-13 Airwave Wireless, Inc Methods, apparatuses and systems facilitating management of airspace in wireless computer network environments
US7447203B2 (en) 2003-07-29 2008-11-04 At&T Intellectual Property I, L.P. Broadband access for virtual private networks
FI20040280A0 (fi) * 2004-02-23 2004-02-23 Nokia Corp Menetelmä pakettikytkentäisen kanavanvaihdon suorittamiseksi matkaviestinjärjestelmässä
US7376113B2 (en) * 2005-04-01 2008-05-20 Arubs Networks, Inc. Mechanism for securely extending a private network
JP2006352676A (ja) * 2005-06-17 2006-12-28 Toshiba Corp 情報処理装置およびその制御方法
US8817813B2 (en) 2006-10-02 2014-08-26 Aruba Networks, Inc. System and method for adaptive channel scanning within a wireless network
US8259582B2 (en) 2009-11-13 2012-09-04 Intel Corporation Method and apparatus to manage per flow state
US9462001B2 (en) * 2014-01-15 2016-10-04 Cisco Technology, Inc. Computer network access control
US11936630B1 (en) * 2020-04-29 2024-03-19 United Services Automobile Association (Usaa) Systems and methods for establishing encrypted internet communication
CN113242247B (zh) * 2021-05-17 2022-08-26 佳木斯大学 一种基于边缘计算的工业智能物联模块

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6173399B1 (en) 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
JPH11331268A (ja) 1998-05-11 1999-11-30 Sumitomo Electric Ind Ltd パケット中継装置
JP2000295274A (ja) * 1999-04-05 2000-10-20 Nec Corp パケット交換装置
JP3449326B2 (ja) * 1999-12-08 2003-09-22 日本電気株式会社 データ検索システム及びパケット処理装置並びに制御方法
JP2001326693A (ja) 2000-05-17 2001-11-22 Nec Corp 通信装置及び通信制御方法並びに制御プログラム記録媒体
JP4099930B2 (ja) * 2000-06-02 2008-06-11 株式会社日立製作所 ルータ装置及びvpn識別情報の設定方法
JP4460195B2 (ja) * 2001-08-06 2010-05-12 株式会社日立製作所 パケット転送装置およびルーティング制御装置

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009506618A (ja) * 2005-08-23 2009-02-12 ネトロノーム システムズ インク 伝送情報を処理して、転送するシステムおよび方法
WO2008111206A1 (ja) * 2007-03-15 2008-09-18 Fujitsu Limited 中継ノード
JPWO2008111206A1 (ja) * 2007-03-15 2010-06-24 富士通株式会社 中継ノード
JP4684349B2 (ja) * 2007-03-15 2011-05-18 富士通株式会社 中継ノード
US8064365B2 (en) 2007-03-15 2011-11-22 Fujitsu Limited Relay node
JP2011525319A (ja) * 2008-06-02 2011-09-15 クゥアルコム・インコーポレイテッド 暗号化サポートのpcc向上
KR101401013B1 (ko) * 2012-12-14 2014-05-29 주식회사 시큐아이 패킷을 처리하는 방법 및 네트워크 장치
WO2016051813A1 (ja) * 2014-09-30 2016-04-07 アラクサラネットワークス株式会社 中継装置
JPWO2016051813A1 (ja) * 2014-09-30 2017-04-27 アラクサラネットワークス株式会社 中継装置

Also Published As

Publication number Publication date
JP3885573B2 (ja) 2007-02-21
US7203195B2 (en) 2007-04-10
US20030103505A1 (en) 2003-06-05

Similar Documents

Publication Publication Date Title
JP3885573B2 (ja) パケット処理方法および装置
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US9838362B2 (en) Method and system for sending a message through a secure connection
US6157649A (en) Method and system for coordination and control of data streams that terminate at different termination units using virtual tunneling
US6266704B1 (en) Onion routing network for securely moving data through communication networks
US7571463B1 (en) Method an apparatus for providing a scalable and secure network without point to point associations
JP4481517B2 (ja) インターネットワーク装置及びインターネットワーク方法
JP3654168B2 (ja) インタフェース識別装置、インタフェース識別方法および、mpls−vpnサービスネットワーク
CA2466912C (en) Enabling secure communication in a clustered or distributed architecture
US6970475B1 (en) System and method for handling flows in a network
US7643488B2 (en) Method and apparatus for supporting multiple customer provisioned IPSec VPNs
US7082477B1 (en) Virtual application of features to electronic messages
JPH10178421A (ja) パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
JP2002504286A (ja) 仮想専用網構造
JP2001237876A (ja) Ip仮想プライベート網の構築方法及びip仮想プライベート網
US8332639B2 (en) Data encryption over a plurality of MPLS networks
US20040158706A1 (en) System, method, and device for facilitating multi-path cryptographic communication
CN114915451B (zh) 一种基于企业级路由器的融合隧道加密传输方法
CN112637237A (zh) 基于SRoU的业务加密方法、系统、设备及存储介质
CN114268518B (zh) 一种实现sdwan数据隧道转发加速的方法及系统
CN111698245A (zh) 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法
US7269639B1 (en) Method and system to provide secure in-band management for a packet data network
JP4388464B2 (ja) パケット中継装置およびパケット通信ネットワーク
JP2001007849A (ja) Mplsパケット処理方法及びmplsパケット処理装置
JP3603830B2 (ja) セキュリティゲートウェイ装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041129

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041129

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060419

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060516

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060713

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060808

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060905

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20061011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061031

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091201

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091201

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091201

Year of fee payment: 3

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091201

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091201

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101201

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111201

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121201

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131201

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees