JP2003209569A - 通信内容の秘匿性向上のための経路分散装置 - Google Patents
通信内容の秘匿性向上のための経路分散装置Info
- Publication number
- JP2003209569A JP2003209569A JP2002004705A JP2002004705A JP2003209569A JP 2003209569 A JP2003209569 A JP 2003209569A JP 2002004705 A JP2002004705 A JP 2002004705A JP 2002004705 A JP2002004705 A JP 2002004705A JP 2003209569 A JP2003209569 A JP 2003209569A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- route
- protocol
- routes
- route distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
容易にパケットの秘匿性を向上させるための装置を提供
する。 【解決手段】 インターネットにおける複数の経路(衛
星回線、有線回線及び無線回線)に接続されており、秘
匿性を必要とするパケット、又は秘匿性を必要とする経
路を通過するパケットの所定条件を登録したテーブル
と、受信したパケットが所定条件と一致する場合、該パ
ケットを複数の経路に分散させる経路分散手段とを有す
る、通信内容の秘匿性向上のための経路分散装置であ
る。所定条件とは、発着IPアドレスの対、発着TCP
/UDPポート番号の対、IPプロトコル番号、上位プ
ロトコル等である。送信側にのみ経路分散装置を設ける
だけで、一箇所での盗聴ができず、片方向(upload方
向)の秘匿性が向上する。
Description
向上のための通信装置に関する。
P/IP(Transmission Control Protocol / Internet
Protocol)を用いた通信において、通信内容を秘匿する
ために、例えばIPsec(Security Architecture for
Internet Protocol)又はSSL(Secure Socket Layer)
のような暗号化プロトコルが用いられている。
ロードのフィールドをIPパケットに付加し、IPパケ
ット単位でユーザデータを暗号化するものである。これ
により、発着IPアドレスの対で表されるホスト間にお
いて、通信内容の秘匿性が向上する。また、SSLと
は、TCPセグメントのユーザデータを暗号化するもの
である。これにより、発着IPアドレスの対及び発着T
CPポート番号の対で表されるTCPセッション間にお
いて、通信内容の秘匿性が向上する。
コルを用いた場合であっても、1つの経路において一箇
所での盗聴が可能となる。盗聴時にリアルタイムにデー
タを解読することが不可能であっても、データを蓄積す
ることにより、その後解読が行われる可能性がある。
信元ホスト及び宛先ホストのそれぞれに、暗号化プログ
ラム及び復号化プログラムを備える必要がある。また、
暗号化及び復号化の処理には、ホストに一定の処理能力
が必要とされる。
いることなく、比較的容易にパケットの秘匿性を向上さ
せるための通信装置を提供することを目的とする。
ーネットにおける複数の経路毎の通信インタフェース
と、秘匿性を必要とするパケット又は秘匿性を必要とす
る経路を通過するパケットにおける所定条件を登録した
テーブルと、受信したパケットが所定条件と一致する場
合、該パケットを複数のパケットに分割し、分割された
該パケットを複数の経路に分散して送信する経路分散手
段とを有する、通信内容の秘匿性向上のための経路分散
装置を提供する。これにより、暗号化プロトコルを用い
ることなく、比較的容易にパケットの秘匿性を向上させ
ることができる。
は、所定条件として、発着IPアドレスの対、ネットワ
ークマスク、発着TCP/UDPポート番号の対、IP
プロトコル番号及び/又は上位プロトコルを登録するこ
とも好ましい。これにより、秘匿性を必要とするパケッ
ト又は秘匿性を必要とする経路を通過するパケットにの
み、経路分散を行うことができる。
は、所定条件に合致したパケットに対する処理として、
複数の転送経路、経路選択方法、分割プロトコル、分割
ポリシ及び/又はTCPコネクション情報を登録するこ
とも好ましい。これにより、経路分散の方法を決定する
ことができる。
手段は、複数の経路の伝送遅延に基づいて該経路へ送信
するパケットを遅延させて送信し、各パケットが実質的
に同時に宛先に到達するように制御することも好まし
い。これにより、受信順序が逆転する可能性を小さくす
ることができる。
路の伝送遅延を測定する手段を更に有することも好まし
い。この測定には、ICMP(Internet Control Messag
e Protocol)echoパケット又はTCPタイムスタン
プオプションが用いられてもよい。
は、最後に受信したACKの確認応答番号及びウィンド
ウサイズを記録しており、経路分散手段は、受信したA
CKの確認応答番号及びウィンドウサイズが、記録した
確認応答番号及びウィンドウサイズと同一か又はそれよ
りも以前のものである場合、受信したACKを破棄する
ことも好ましい。これにより、TCPによる誤再送を防
ぐことができる。
の実施形態を詳細に説明する。
ステム構成図である。
デム31、有線モデム41及び無線モデム51の複数の
経路に接続されている。例えば、ホスト21から受信し
たパケットが、秘匿性を必要とするパケットであるか、
又は秘匿性を必要とする経路を通過するパケットである
ならば、そのパケットは、分割され、それぞれ異なる経
路に分散して送信される。図1によれば、分割された1
つのパケットは、衛星モデム31を用いて通信衛星を介
して送信され、1つのパケットは、有線モデム41を用
いて有線回線を介して送信され、1つのパケットは、無
線モデム51を用いて無線回線を介して送信される。受
信側では、既存のIPプロトコルに対応したルータ6に
よって、パケットが再構築されてホスト22へ送信され
る。
匿性を必要とする経路を通過しないパケットは、通常の
IP経路選択処理に従って送信される。これにより、秘
匿性の向上が必要なパケットについてのみ、経路分散処
理を実現することが可能となる。
成図である。
散手段10と、フィルタ条件テーブル11と、ホスト2
1との通信インタフェース12と、経路毎の通信インタ
フェース13とを有する。経路分散手段10は、ホスト
21から受信したパケットが、フィルタ条件テーブル1
1に登録された1つのフィルタ条件に合致した場合、該
フィルタ条件に従ってそのパケットを経路に分散して送
信する。
ルの一例である。
フィルタ条件として、発着IPアドレスの対、ネットワ
ークマスク、発着TCP/UDPポート番号の対、IP
プロトコル番号及び/又は上位プロトコルを登録する。
また、フィルタ条件に合致したパケットに対する処理と
して、複数の転送経路、経路選択方法、分割プロトコ
ル、分割ポリシ及び/又はTCPコネクション情報を登
録する。このフィルタ条件テーブルに従って、ホスト2
1からホスト22へ送信されるべきパケットは、経路分
散装置1によって分割され、それぞれの経路に分散して
転送される。
図5に示す2つの方法がある。図4は、1つのIPデー
タグラムのパケットを、複数のIPフラグメントに分割
する説明図である。図5は、1つのTCPセグメントの
パケットを、複数のTCPセグメントに再分割する説明
図である。図5によれば、TCPコネクション(発着I
Pアドレスの対及び発着TCPポート番号の対)の確立
及び終了を監視する。確立した各TCPコネクションに
対してコネクションテーブルを生成し、フィルタ条件テ
ーブルと関連付けて保持する。
ケット長で分割する、(2)ランダムパケット長で分割
する、(3)パケット分割数を固定値とする、(4)パ
ケット分割数をランダム値とする、(5)分割なし、が
ある。
ンドロビン、(2)ランダム、がある。
築は、ホスト22におけるTCP/IPソフトウェアの
標準機能によって行われる。(1)IPフラグメンテー
ションを用いている場合は、IPの持つデフラグメンテ
ーション機能によりパケットの再構築が可能である。
(2)TCPセグメントの再分割を行っている場合は、
TCPの処理手順に従って送信データが再構築される。
び無線回線は、有線回線に比べて伝送遅延が大きい。従
って、宛先ホスト22においてパケットの受信順序が逆
転する可能性がある。この問題については、以下の3つ
の方法により解決する。
ソフトウェアの標準機能によって補償する。受信側の実
装に依存するが、ある程度の受信順序逆転については、
TCPで行うことができるからである。
の伝送遅延を測定し、その伝送遅延に基づいて該経路へ
送信するパケットを遅延させて送信し、各パケットが実
質的に同時に宛先に到達するように制御する。伝送遅延
は、ICMPechoパケット又はTCPタイムスタン
プオプションを用いて測定することができる。また、経
路毎にパケットを遅延させるために、経路毎に遅延挿入
キューを設けることもできる。
22からホスト21宛に返送されるACK(確認応答)
を監視し、必要に応じて破棄することで、TCPによる
誤再送を防ぐ。TCP通信については、順序逆転によ
り、重複したACKセグメントが返送され、TCPレベ
ルでセグメントの誤再送が発生する可能性があるからで
ある。このために、経路分散装置1は、以下のように制
御する。
条件テーブル11は、各TCPコネクションに対して、
最後に受信したACKの確認応答番号及びウインドウサ
イズを記録する。 (2)ACK受信時に、経路分散手段10は、受信した
ACKの確認応答番号及びウィンドウサイズが、記録し
た確認応答番号及びウィンドウサイズと同一か又はそれ
よりも以前のものである(重複ACK)ことを検出す
る。 (3)重複ACKについては、ホスト21への転送を行
わず、ACKを破棄する。 (4)新しいACKについては、確認応答番号及びウィ
ンドウサイズを更新する。 (5)セグメント紛失については、ホスト21のTCP
が提供する再送タイマによりセグメント再送が行われ回
復することが可能である。
施形態によれば、本発明の技術思想及び見地の範囲の種
々の変更、修正及び省略は、当業者によれば容易に行う
ことができる。前述の説明はあくまで例であって、何ら
制約しようとするものではない。本発明は、特許請求の
範囲及びその均等物として限定するものにのみ制約され
る。
よれば、パケットの転送経路を分散させることができる
ので、一箇所での盗聴ができず、通信内容の秘匿性を向
上させることができる。また、1つのパケットを複数の
パケットに分割した上で、これらパケットの転送経路を
分散させることができるので、より秘匿性を高めること
ができる。
及び受信側の両方に装置を必要とせず、送信側にのみ経
路分散装置を設けるだけで、片方向(upload方向)の通
信内容の秘匿性が向上する。
化プロトコルと組み合わせることにより、より通信内容
の秘匿性を高めることができる。
成図である。
る。
IPフラグメントに分割する説明図である。
TCPセグメントに再分割する説明図である。
Claims (6)
- 【請求項1】 インターネットにおける複数の経路毎の
通信インタフェースと、 秘匿性を必要とするパケット又は秘匿性を必要とする経
路を通過するパケットにおける所定条件を登録したテー
ブルと、 受信したパケットが前記所定条件と一致する場合、該パ
ケットを複数のパケットに分割し、分割された該パケッ
トを前記複数の経路に分散して送信する経路分散手段と
を有することを特徴とする、通信内容の秘匿性向上のた
めの経路分散装置。 - 【請求項2】 前記テーブルは、前記所定条件として、
発着IPアドレスの対、ネットワークマスク、発着TC
P/UDPポート番号の対、IPプロトコル番号及び/
又は上位プロトコルを登録することを特徴とする請求項
1に記載の経路分散装置。 - 【請求項3】 前記テーブルは、前記所定条件に合致し
たパケットに対する処理として、複数の転送経路、経路
選択方法、分割プロトコル、分割ポリシ及び/又はTC
Pコネクション情報を登録することを特徴とする請求項
1又は2に記載の経路分散装置。 - 【請求項4】 前記経路分散手段は、前記複数の経路の
伝送遅延に基づいて該経路へ送信するパケットを遅延さ
せて送信し、各パケットが実質的に同時に宛先に到達す
るように制御することを特徴とする請求項1から3のい
ずれか1項に記載の経路分散装置。 - 【請求項5】 前記複数の経路の伝送遅延を測定する手
段を更に有することを特徴とする請求項4に記載の経路
分散装置。 - 【請求項6】 前記テーブルは、最後に受信したACK
の確認応答番号及びウィンドウサイズを記録しており、 前記経路分散手段は、受信したACKの確認応答番号及
びウィンドウサイズが、前記記録した確認応答番号及び
ウィンドウサイズと同一か又はそれよりも以前のもので
ある場合、前記受信したACKを破棄することを特徴と
する請求項1から5のいずれか1項に記載の経路分散装
置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002004705A JP3678200B2 (ja) | 2002-01-11 | 2002-01-11 | 通信内容の秘匿性向上のための経路分散装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002004705A JP3678200B2 (ja) | 2002-01-11 | 2002-01-11 | 通信内容の秘匿性向上のための経路分散装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003209569A true JP2003209569A (ja) | 2003-07-25 |
JP3678200B2 JP3678200B2 (ja) | 2005-08-03 |
Family
ID=27643957
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002004705A Expired - Fee Related JP3678200B2 (ja) | 2002-01-11 | 2002-01-11 | 通信内容の秘匿性向上のための経路分散装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3678200B2 (ja) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006352499A (ja) * | 2005-06-16 | 2006-12-28 | Kddi Corp | データ伝送方法及びシステム、送信装置並びに受信装置 |
JP2007528668A (ja) * | 2004-03-09 | 2007-10-11 | トムソン ライセンシング | マルチチャネル許可管理及び制御を介したセキュアなデータ送信 |
JP2011502404A (ja) * | 2007-10-31 | 2011-01-20 | ファースト プリンシプルズ インコーポレイテッド | ネットワーク・メッセージ・パケットを保護するための方法 |
JP2011250142A (ja) * | 2010-05-27 | 2011-12-08 | Sony Corp | 通信装置及び通信方法、並びにコンピューター・プログラム |
JP2013027042A (ja) * | 2011-07-19 | 2013-02-04 | Sk Telecom Kk | 送信装置及び受信装置とこれら装置の動作方法 |
JP2016167851A (ja) * | 2011-11-21 | 2016-09-15 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 混合された通信ネットワークにおけるパス情報を提供すること |
JP2017028740A (ja) * | 2012-03-30 | 2017-02-02 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 盗聴に対するIPsec通信のパフォーマンス及びセキュリティの向上 |
JP2018522481A (ja) * | 2015-07-28 | 2018-08-09 | サイトリックス システムズ,インコーポレイテッド | マルチパス環境におけるipsecトンネルの効率的使用 |
WO2019160085A1 (ja) * | 2018-02-16 | 2019-08-22 | 日本電気株式会社 | 情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体 |
-
2002
- 2002-01-11 JP JP2002004705A patent/JP3678200B2/ja not_active Expired - Fee Related
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007528668A (ja) * | 2004-03-09 | 2007-10-11 | トムソン ライセンシング | マルチチャネル許可管理及び制御を介したセキュアなデータ送信 |
JP2006352499A (ja) * | 2005-06-16 | 2006-12-28 | Kddi Corp | データ伝送方法及びシステム、送信装置並びに受信装置 |
JP2011502404A (ja) * | 2007-10-31 | 2011-01-20 | ファースト プリンシプルズ インコーポレイテッド | ネットワーク・メッセージ・パケットを保護するための方法 |
JP2011250142A (ja) * | 2010-05-27 | 2011-12-08 | Sony Corp | 通信装置及び通信方法、並びにコンピューター・プログラム |
JP2013027042A (ja) * | 2011-07-19 | 2013-02-04 | Sk Telecom Kk | 送信装置及び受信装置とこれら装置の動作方法 |
JP2016167851A (ja) * | 2011-11-21 | 2016-09-15 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 混合された通信ネットワークにおけるパス情報を提供すること |
JP2017028740A (ja) * | 2012-03-30 | 2017-02-02 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 盗聴に対するIPsec通信のパフォーマンス及びセキュリティの向上 |
JP2018522481A (ja) * | 2015-07-28 | 2018-08-09 | サイトリックス システムズ,インコーポレイテッド | マルチパス環境におけるipsecトンネルの効率的使用 |
US10992709B2 (en) | 2015-07-28 | 2021-04-27 | Citrix Systems, Inc. | Efficient use of IPsec tunnels in multi-path environment |
JP7075216B2 (ja) | 2015-07-28 | 2022-05-25 | サイトリックス システムズ,インコーポレイテッド | マルチパス環境におけるipsecトンネルの効率的使用 |
WO2019160085A1 (ja) * | 2018-02-16 | 2019-08-22 | 日本電気株式会社 | 情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP3678200B2 (ja) | 2005-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Donenfeld | WireGuard: Next Generation Kernel Network Tunnel. | |
US10757013B2 (en) | System and method for virtual multipath data transport | |
US7360083B1 (en) | Method and system for providing end-to-end security solutions to aid protocol acceleration over networks using selective layer encryption | |
JP5492856B2 (ja) | パーティ間の通信におけるプライバシーを確保する方法及び装置 | |
US20020019933A1 (en) | Network security device | |
US20020042875A1 (en) | Method and apparatus for end-to-end secure data communication | |
US20070165638A1 (en) | System and method for routing data over an internet protocol security network | |
Berger | Analysis of current VPN technologies | |
KR20010087322A (ko) | 로컬 아이피 주소와 변환할 수 없는 포트 주소를 이용한랜 네트워크 주소 변환 게이트웨이 | |
Wang et al. | Security implications of transport layer protocols in power grid synchrophasor data communication | |
Mittal et al. | Mirage: Towards deployable DDoS defense for Web applications | |
Fraczek et al. | Stream control transmission protocol steganography | |
JP3678200B2 (ja) | 通信内容の秘匿性向上のための経路分散装置 | |
US20080133915A1 (en) | Communication apparatus and communication method | |
Göhring et al. | Path mtu discovery considered harmful | |
WO2005082040A2 (en) | Method and system for providing end-to-end security solutions and protocol acceleration over networks using selective layer encryption | |
Seggelmann et al. | SSH over SCTP—Optimizing a multi-channel protocol by adapting it to SCTP | |
Dey et al. | A detail survey on quic and its impact on network data transmission | |
Conrad et al. | SCTP in battlefield networks | |
Raposo et al. | Machete: Multi-path communication for security | |
US20050063381A1 (en) | Hardware acceleration for unified IPSec and L2TP with IPSec processing in a device that integrates wired and wireless LAN, L2 and L3 switching functionality | |
Bejarano et al. | Security in IP satellite networks: COMSEC and TRANSEC integration aspects | |
Kim et al. | TCP-GEN framework to achieve high performance for HAIPE-encrypted TCP traffic in a satellite communication environment | |
Isci et al. | Ipsec over satellite links: a new flow identification method | |
Al-Jarrah et al. | A thin security layer protocol over IP protocol on TCP/IP suite for security enhancement |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040915 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041109 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050208 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050317 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050419 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050502 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090520 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090520 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110520 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120520 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140520 Year of fee payment: 9 |
|
LAPS | Cancellation because of no payment of annual fees |