JP2004140482A - 暗号通信を行うノード装置、暗号通信システムおよび方法 - Google Patents
暗号通信を行うノード装置、暗号通信システムおよび方法 Download PDFInfo
- Publication number
- JP2004140482A JP2004140482A JP2002301317A JP2002301317A JP2004140482A JP 2004140482 A JP2004140482 A JP 2004140482A JP 2002301317 A JP2002301317 A JP 2002301317A JP 2002301317 A JP2002301317 A JP 2002301317A JP 2004140482 A JP2004140482 A JP 2004140482A
- Authority
- JP
- Japan
- Prior art keywords
- tunnel
- packet
- route
- cryptographic
- node device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Abstract
【課題】暗号通信に使用されるトンネルに関するリソースを合理的に割り当てることを目的とする。
【解決手段】ノード装置1と接続可能な1つ以上の中継ノード装置2との間にデフォルトの暗号トンネルをそれぞれ設定し、ノード装置1はIPパケットを受信しデフォルトルートに暗号化パケット転送する。その後、該デフォルトルートを使用して転送するパケットの量が第1の域値を超えたときに終点となるノード装置との間にダイレクトな暗号トンネルを構築し、そのダイレクトなルートにIPパケット転送を切り換える。
【選択図】 図3
【解決手段】ノード装置1と接続可能な1つ以上の中継ノード装置2との間にデフォルトの暗号トンネルをそれぞれ設定し、ノード装置1はIPパケットを受信しデフォルトルートに暗号化パケット転送する。その後、該デフォルトルートを使用して転送するパケットの量が第1の域値を超えたときに終点となるノード装置との間にダイレクトな暗号トンネルを構築し、そのダイレクトなルートにIPパケット転送を切り換える。
【選択図】 図3
Description
【0001】
【発明の属する技術分野】
本発明は、パケットを暗号処理し、暗号通信を行う通信方法、暗号通信を 行う暗号通信システム、暗号通信を行うノード装置に関する。
【0002】
【従来の技術】
複数の拠点間との間をインターネットまたは専用/公衆回線を介して暗号 通信を行うときには、IPsec(Internet Protocol security)等のプロト コルに準拠して送信側で暗号化、受信側で復号化処理を行っていた。また、双 方向通信においては、逆方向通信も同様な処理を行っていた。
【0003】
例えば、任意の2つ拠点の暗号通信を行う場合、第1の方法として、IPsecを使用したトンネルを介した仮想閉域網を構築する。そして、そのトンネルは、通常、その拠点間に構築されることが知られている。(例えば、特許文
献1を参照)
また、第2の方法として、2つの拠点間に中継となる1つ以上の中継ノード(例えばルータ)を設け、例えば、第1の拠点と中継ノード(中継点とも呼ぶ。)、この中継ノードと第2の拠点との間にそれぞれトンネルを構築する方法
が考えられる。
【0004】
前記第1の方法では、各拠点間にそれぞれトンネルを構築するため、必要とされるトンネル数は約拠点数の二乗に比例して増える。例えば、2拠点間では、1つのトンネルだが、5つの拠点(N=5)のネットワークでは、N(N−1)/2=10のトンネルが必要である。また、100拠点間での通信では、
100*99/2=4950のトンネルが必要である。
【0005】
したがって、各拠点は他の全ての通信拠点とトンネルを構築(設定)するとすれば、トンネルの構築には拠点すべてに関するIPsec情報を管理・設定
する必要がある。
【0006】
前記第2の方法では、拠点間を直結するIPsecトンネルを構築せずに中継ノード(例えば、ルータ)を介して、2つ以上のIPsecトンネルを介して暗号通信を行う。自転車の車輪に例えると、中継ノードがハブに相当し、拠点がスポークの末端に接続される形態に対応させて考えることができる。なお、中継ノードは2つ以上あってもよいし、並列または直列に接続してもよい。
【0007】
これらトンネルの構築形態は異なるものの、各のトンネルの設定方法は同様で
ある。
【0008】
図1は、中継ノードを設けたハブアンドスポークによる暗号通信の例を説明
する図である。
【0009】
図中、例えば、端末11と端末31との間で暗号通信を行う場合を考える。
【0010】
端末11から端末31へのパケットを受信した拠点1のルータ1は、設定されたポリシーに従ってそのパケットを暗号化し、中継ノードのルータ2に送出する。ルータ2では、暗号化されたパケットを一旦復号化し、再度、暗号化して拠点2ヘ転送する。拠点2ではルータ3がそのパケットを復号化し端末31に
転送する。このように暗号通信を行うことができる。
【0011】
1つのトンネルを設定するタイミングは、暗号化対象IPパケット受信時に、宛先拠点への暗号トンネルが存在しない場合に初めて構築する方式と、暗号
化対象IPパケット受信前に、暗号トンネルを構築しておく方式がある。
【0012】
通常、中継ノード方式(ハブアンドスポーク方式)では、前もって、中継ノードと各拠点間を暗号トンネルにより接続することが好ましい。しかしながら
、ダイナミックに前記暗号化トンネルを接続してもよい。
【0013】
【特許文献1】
特開2002−44141 (例えば、図2)
【0014】
【発明が解決しようとする課題】
拠点間をそれぞれ直接接続する暗号トンネルを構築(設定)する場合には、暗号通信を行う全ての拠点に設置されるノード(ルータ等)に、暗号トンネルの設定に関する情報を格納したデータベース、いわゆるSAD(Security Association Database)が必要である。SADに基づき構築される暗号トンネルが使用するリソースは暗号トンネルの数に比例し、かつ、使用しない暗号トンネルについてもリソースを占有することになる。すなわち、暗号通信が行われていないトンネルは、リソースを浪費していることになってしまう。また、暗号トンネルの設定(接続)が完了するまでパケ
ット転送を開始できないという問題もあった。
【0015】
また、中継ノードにおいて、暗号トンネルを終端(暗号化パケットを復号化)し、中継ノードから第2の拠点へ再度暗号化して暗号化パケットを送信することになる。この暗号化および復号化の処理はノード装置にとって負荷の大きい処理であり、多量の暗号通信トラヒックを処理するためには高性能のノード
装置を配置する必要がある。
【0016】
一方、暗号化対象IPパケット受信をトリガに暗号トンネルを構築するには、複数メッセーシーケンスのやり取りが行われ、暗号トンネルの設定完了までには、後続暗号化対象IPパケットを廃棄、もしくは待ち合わせすることにな
り、ネットワーク内の暗号通信のレスポンスが低下することになる。
【0017】
本発明は、暗号通信に使用されるトンネルに関するリソースを合理的に割り当てることを目的とする。
【0018】
【課題を解決するための手段】
本発明のノード装置は、1つ以上のノード装置との間に第1の暗号トンネルをそれぞれ設定可能なノード装置において、パケットを受信し、予め設定された暗号トンネルを介した経路にパケットを送出する手段と、該経路を使用するパケットのトラヒック量が第1のいき値を超えたときに、該経路の終点となるノード装置との間に第2の暗号トンネルを構築する手段を備えることを特徴とする。
【0019】
本発明によれば、暗号化パケットのトラヒック量に応じて第2の暗号トンネルを構築することができ、暗号トンネルに関するリソースを合理的に割り当てることができる。
【0020】
また、本発明のノード装置は、前記第2の暗号トンネルのトラヒック量が第2のいき値を下回ったときに、前記第2の暗号トンネルから前記第1の暗号トンネルに切り換えることを特徴とする。
【0021】
また、本発明のノード装置は、前記第1の暗号トンネルから前記第2の暗号トンネルに切り換える処理を行うための切替え要求を示す情報を含む手段を備えることを特徴とする。
【0022】
また、本発明の暗号通信システムは、すくなくとも1つ以上のその他ノード装置との間に第1の暗号トンネルをそれぞれ接続する前記ノード装置および前記ルートの終点となるノード装置を有することを特徴とする。
【0023】
また、本発明の暗号通信システムは、また、前記第1の暗号トンネルをそれぞれ接続する前記すくなくとも1つのノード装置および前記経路の終点となるノード装置を有することを特徴とする。
【0024】
また、本発明の暗号通信を行う方法は、パケットを受信し、デフォルトルートに暗号化したパケットを送出するステップと、
該デフォルトルートを使用して転送するトラヒック量が第1のいき値を超えたときに、該ルートの終点となるノード装置との間にダイレクトな暗号トンネルを構築するステップを備えることを特徴とする。
【0025】
【発明の実施の形態】
図2は、本発明の暗号通信を行うネットワークシステムの例を示す図である。図中、端末11から端末31宛に送出された平文パケットは、拠点1のルータ1の入力I/F部に入力される。入力されたパケットはルーティング部を介してヘッダに含まれる宛先IPアドレス(端末31)に基づきルーティング処理され、IPsec処理部に渡される。
【0026】
IPsec処理部では、入力平文パケットの宛先アドレス情報に基づき出力ポリシデータベース(SPD)およびセキュリティアソシエーションデータベース(SAD)を検索し、終点IPアドレス、転送先アドレス、リンク番号、暗号化の有無、暗号化手段などを決定する。そして、その決定に従ってパケットを中継ノードに送出する。
【0027】
しかしながら、この暗号通信トラヒックが増えてくると、中継ノードでの復号化および暗号化処理の負荷が大きくなってくるので、あるいき値を超えた段階で拠点1(端末11)から拠点2(端末31)へ直接接続する暗号トンネルを構築すると、中継ノードでのパケットの暗号化/復号化負荷の軽減することに効果的である。
【0028】
直接接続する暗号トンネルの構築はDDT(Direct/DefaultTable)、SAD,SPDを参照して行われる。なお、本実施の態様では、中継ノードにおける復号化/暗号化処理の軽減も意図している。
【0029】
以下、図1と図3との相違点に着目し説明する。
【0030】
図1によれば、端末11から端末31との間で通信が行われているときは、デフォルトルートを選択した場合には、必ず中継ノードを経由し、そこで復号化/暗号化処理が行われる。ここで、デフォルトルートとは、何らかの手段を使って予め設定されている経路を意味する。
【0031】
しかしながら、図3では、端末11から端末31との通信が行われているときにルータ1とルータ3との間に新たな暗号トンネルを設定する。そして、ルータ1は暗号通信パケットをデフォルトルートから新たなダイレクトルートへのトンネル切替えを行う。ここで、ダイレクトルートとは、始点となるノード装置(例えばルータ装置)から終点となるノード装置までの経路を意味する。
【0032】
この暗号トンネルの切替えにより、中継ノードでの暗号化/復号化の処理は行わなくてよくなり、合理的な資源の割り当てが可能になる。
【0033】
また、中継ノードでの処理負荷を軽減すこともできる。なお、新たな暗号トンネル(ダイレクトルート)は、同じデフォルトルートを経由する場合もあれば、異なるルート(経路)を経由する場合もある。
【0034】
次に、図2に示した本発明に関係するSPD、DDT、SADについて、それぞれデータ構造の設定例を説明する。
【0035】
SPDは、拠点間での暗号通信に関するセキリティポリシーに関する情報を格納する。図4は、図2に記載のSPD(Security Plolicy Database)の例を示すものである。
【0036】
図4において、始点IPアドレスは、拠点1が収容するドメインを示す。例えば、端末11のIPアドレスが100.10.1.120とする。一方、SPDの始点IPアドレスが100.10.1.0/24であれば、この始点IPアドレスの条件に該当することになる。(/24はIPアドレスの表現の1つであり、先頭ビットから24ビットが一致するアドレスを意味する。つまり、最後の8ビットが不一致であっても同じIPアドレスと見なす表現である。)
終点IPアドレスは、例えば,端末11から端末31に向けてパケットを送出した場合、端末31への送信先アドレスが終点IPアドレスに該当する。
【0037】
例えば、図4のにおいて、例えば、始点アドレスが100.10.1.11で終点アドレスが100.10.3.31のパケットは、図4の第一行目のポリシデータに沿ってIPパケットが処理される。即ち、出力リンク番号は1、暗号化、対象プロトコルは何でも可である。更に、転送ルートはデフォルトルート(中継ノードであるルータ2を経由する)が採用される(図3)。なお、ルータ2は複数存在してよく、また、複数の経路を形成してもよい。
【0038】
以上のように、SPDの役割は、始点IPアドレス、終点IPアドレスに基づき、適用対象となるポリシー情報を取り出し、暗号化/非暗号化/破棄のいずれかを決定するとともに、リンク番号を選択し、デフォルトルート/ダイレクトルートのいずれかを保持する。
【0039】
図5は、DDT(Direct/Default Table)の例を示す図である。
【0040】
図中、宛先IPアドレスはパケットの転送先拠点アドレを示す。例えば、ドメインに割り当てられたIPアドレス、あるいは端末のIPアドレスであってもよい。
【0041】
転送先IPアドレスはパケットの転送先IPアドレスを示す。
【0042】
例えば、転送先IPアドレスはパケットを転送する次のルータのIPアドレスであってもよく、ドメインに割り当てられたIPアドレスであってよい。
【0043】
図6は、SAD(Security Asscosiation Database)の例を示す図である。
【0044】
終点IPアドレスはルータ装置のインタフェースカードに割り当てられたものであってもよい。
【0045】
図中、外部ヘッダの終点IPアドレスはカプセル化したパケットの終点IPアドレスを示している。
【0046】
また、リンク番号は、ルータ装置内のルーティング部が選択するリンク番号である。IPsecプロトコル種別は、暗号通信を行うためのプロトコルを指定する。ここでは、ESP(Encapsulating Security Payload)を選択するものとする。
【0047】
SPI(Security Parameter Index)はSA(Security Asscosiation)を識別するために使用される。Direct表示は、現在の暗号通信が中継ノードを経由し、少なくとも2本のトンネルを介して暗号通信(Defaultルート)が行われているのか、あるいは1本のトンネルを介して暗号通信(Directルート)が行われているのかを表示する。
【0048】
図7は、図2に記載のルータ1のIPsec処理部において、暗号化対象パケットを受信した場合の処理フローを示す図である。
【0049】
ステップJ1では、暗号化対象パケットを受信すると、この受信パケットから送信先アドレスおよび送信元アドレスを抽出する。そして、送信先アドレスおよび送信元アドレスをキーにしてSPDを検索する。例えば、送信先アドレスが100.10.3.31、送信元アドレスが100.10.1.11であった場合、図4に示すSPDを検索すると、リンク番号は”1”、ポリシーは”暗号化”、プロトコルは”any”、Direct Flagは”Default”が得られる。
【0050】
したがって、リンク情報が”1”と設定されているので、ステップJ2に分岐する。しかしながら、このリンク情報が設定されていない場合には、ステップS1に分岐する。このケースを想定し、ステップS1での処理を説明する。
【0051】
ステップS1では、暗号トンネルに関する設定情報がないので、中継ノードまでの暗号トンネルを構築するとともにSPD、SAD、及びDDTにその情報を設定する。そして、ステップS9に分岐する。
【0052】
なお、暗号トンネルを構築するまでは、受信パケットは一次的にバッファ等に蓄積される。
【0053】
また、設定例については、図4乃至図6を参照されたい。なお、中継ノードから終端の拠点までは暗号化トンネルが前以って何らかの手段(例えば手動でもよい)により設定されているものとする。
【0054】
なお、defaultルートは、前以って暗号化トンネルを静的に構築しておくことが望ましい。
【0055】
ステップJ2では、既にリンク情報が設定されているので、受信パケット対応するDirect Flag情報を参照する。
【0056】
このFlag情報がDefaultルート(中継ノードを介して2つ以上の暗号トンネルを経由)であれば、ステップJ3に進む。そうでなければ(Directルート)、ステップS7に進む。
【0057】
ステップJ3では、Direct接続のトンネル設定が起動要求済かどうかを判定する。すなわち、受信パケットの送信元アドレスおよび送信先アドレスを用いてDDTを検索し、受信パケットに対応する起動要求フラッグを調べる。この値が“On”であればトンネル設定要求済と判定し、ステップS5に進む。そうでなければ、この値は“Off”としてステップS2に進む。
【0058】
ステップS2では、暗号トンネルの始点となる拠点から終点となる拠点までの間に1本のトンネル(Directトンネル)を構築する。そして、同時に、SAD,SPD、DDTに暗号トンネル情報を設定する。
【0059】
ステップS3では、前記暗号トンネルについて、DDTの対応する箇所の起動要求Flagを“On”に書き換える。
【0060】
ステップS4では、SPD,SADに従って、Defaultルートを選択する。そして、ステップS9に分岐する。
【0061】
ステップS5は、ステップJ3の判定処理において、DDTに起動要求Flagに“On”になっているときに、ここに分岐してくる。ここでは、SPD,SADに従ってDefaultルートを選択する。そして、defaultルートを経由する受信パケットの単位時間当たりのトラヒック量を計算する。この計算にはパケット数をカウントするとともに単位時間あたりのトラヒック量も算出する。そして、ステップS9に進む。
【0062】
ステップS7は、ステップJ2の判定処理において、SPDにDirect Flagに“Direct“が設定されているときに、ここに分岐してくる。受信パケットの送信先として、SPD,SADに従いDirectルートを選択する。そして、Directルートを経由する受信パケットの単位時間当たりのトラヒックを計測する。そして、ステップS9に進む。
【0063】
ステップJ1において、リンク情報が設定されていない場合は、ステップS1に分岐する。
【0064】
ステップS1では、暗号化パケット通信に関する制御情報等をSADに設定する。また,Direct Flagフィールドに”Default”を設定し、リンク情報も設定する。そして、ステップS9に進む。
【0065】
ステップS9では、受信パケットを所望のリンクに出力する。
図8は、図7記載のステップS2,S3の詳細処理の説明である。
図中、ステップS21〜23は、図7でのステップS2〜S3に対応する。まず、ステップS2において、ダイレクトトンネル設定要求を要求すると、ステップSS21が起動される。ステップS22では、受信パケットに対応するDDTの始点IPアドレスおよび終点IPアドレスに基づき、対応するDDT上の設定情報を特定する。
【0066】
次に特定した設定情報に基づきSA(トンネル)情報を生成し、SADにトンネルに関する情報を設定する。そして、ダイレクトトンネルの構築を行う。
【0067】
トンネルの構築手順の例を図7の中程に示す。この例では、Initiator, Responder, Actionに分けて、プロトコルシーケンスを記載している。シーケンスはSA確立要求から認証応答、およびINITIAL−CONTACTまでの手順を記載している。
【0068】
ステップS23では、現在、受信パケットの転送に使用しているDefaultルートからDirectルートへの変更を行う。具体的には、この変更はSPDのリンク番号を上書きすること、および、種別フィールドの値をDirectに変更することによりDirectトンネルを介した暗号通信を行うことができる。
【0069】
以上、ステップS21〜S23が図7のステップS2〜S3に対応する。
図9は、トラヒック監視処理の処理フローを説明する図である。図7記載のステップS6、S8は、それぞれDefaultルートおよびDirectルートを経由する単位時間当たりのパケット量(トラヒック)をカウントする。このカウントした値は、図9に示すトラヒック監視部により監視される。このトラヒック監視部はIPsec処理部の中にある。
【0070】
図中、ステップS31は、予め設定された時間間隔で単位時間当たりのトラヒックを測定するために起動される。
【0071】
ステップJ31では、起動されたトラヒック監視部は、SADを参照し、各現在の処理ルートが暗号化処理を行うリンク番号に対応して、DefaultルートかDirectルートかを判定する。”Default”ならば、ステップJ33に分岐し、”Direct”ならばステップJ32に分岐する。
【0072】
ステップJ32では、単位時間当たりのDirectルート使用パケット数が域値以上であれば、継続してDirectルートを使用するとともにステップS8でパ4ケットをカウントするカウンタをゼロクリヤする。そして、ステップJ34に分岐する。
【0073】
ステップS32,S34では、ダイレクトルートの使用を解除する要求を行う。そして、ステップS8でパケットをカウントするカウンタをゼロクリヤする。そして、ステップJ34に分岐する。(詳細は後述)。
【0074】
ステップJ33では、単位時間当たりのDefaultルート使用パケット数が域値以上であれば継続してDefaultルートを使用するとともにステップS6でパケットをカウントするカウンタをゼロクリヤする。そして、ステップJ34に分岐する。
【0075】
ステップS35,S37では、Defaultルートの使用を解除する要求を行う。なお、予めデフォルトルートを継続的に設定している場合には、動的な解除は不要である。そして、ステップS6でパケットをカウントするカウンタをゼロクリヤする。そして、ステップJ34に分岐する。
【0076】
ステップJ34では、SADを参照し、全ての暗号化トンネルについて処理を行ったかどうかを確認する。すべての処理が完了したならば、処理を終了する
図10は図9のステップS32およびS35からトンネル設定解除の処理フローを示す図である。
【0077】
図中、ステップS41では、ダイレクトトンネルの設定解除要求を受付を行う。このとき、パラメータとして、解除するトンネルに関する情報としてSPDから処理の対象とする宛先アドレスを取得する。
【0078】
ステップS42では、取得した宛先アドレスをキーとしてSPDを検索し、解除の対象となるDirectトンネルを特定する。そして、DirectトンネルをDefaultルートに、DeirectをDefaultに修正する。図10のSPD更新経緯を参照。
【0079】
ステップS43は、解除の対象となるDirectトンネルで同一リンクがない場合、つまり、Directトンネルが単独で使用されている場合は、そのトンネルに関する情報をSADから削除する。図10のSAD更新経緯を参照。
【0080】
そして、100.10.3.0/24について、DDTの識別をDirectからDefaultに修正するとともに、起動要求も”On”から”Off”に修正する。
【0081】
ステップS44では、トンネル切断後の接続先へ通知し、セションを切断する。そして、INTIAL−CONTACTを送信することによりトンネルに関するSAを開放する。
【0082】
本発明の次に示す付記のように構成することもできる。
(付記1)
1つ以上のノード装置との間に第1の暗号トンネルをそれぞれ設定可能なノード装置において、
パケットを受信し、予め設定された暗号トンネルを介した経路にパケットを送出する手段と、
該経路を使用するパケットのトラヒック量が第1のいき値を超えたときに、該経路の終点となるノード装置との間に第2の暗号トンネルを構築する手段を備えることを特徴とするノード装置。
【0083】
(付記2)
付記1記載において、
前記第2の暗号トンネルのトラヒック量が第2のいき値を下回ったときに、前記第2の暗号トンネルから前記第1の暗号トンネルに切り換えることを特徴とするノード装置。
【0084】
(付記3)
付記1記載において、
前記第1の暗号トンネルから前記第2の暗号トンネルに切り換える処理を行うための切替え要求を示す情報を含む手段を備えることを特徴とするノード装置。
【0085】
(付記4)
付記1記載において、
セキュリティアソシェーションデータベースを備え、
該セキュリティアソシェーションデータベースは、前記暗号トンネルに対応して、ダイレクトあるいはデフォルトのいずれかを示すことを特徴とするノード装置。
(付記5)
付記1記載において、
前記第1の暗号トンネルをそれぞれ接続する前記すくなくとも1つのノード装置および前記経路の終点となるノード装置を有することを特徴とする暗号通信システム。
【0086】
(付記6)
パケットを受信し、第1の経路に暗号化したパケットを送出するステップと、
該第1の経路を使用して転送するパケットのトラヒック量が第1のいき値を超えたときに、前記経路の終点となるノード装置との間に暗号トンネルを構築するステップを備えることを特徴とする暗号通信を行う方法。
【0087】
【発明の効果】
本発明によれば、暗号通信に使用されるトンネルに関するリソースを合理的に割り当てることが可能になる。
【図面の簡単な説明】
【図1】従来の暗号通信におけるデフォルートネットワークを示す図である。
【図2】本発明に係るネットワークにおけるルータ装置の構成の例を示す図である。
【図3】本発明に係るデフォルトルートとダイレクトルートの切替えの例を示す図である。
【図4】本発明に係るSecurity Policy Databaseの設定例を示す図である。
【図5】本発明に係るDefault/Direct Tableの設定例を示す図である。
【図6】本発明に係るSecurity Association Databaseの設定例を示す図である。
【図7】本発明に係るルータ装置のIPsec処理部の処理フローを示す図である。
【図8】本発明に係る図7記載のステップS2およびS3の処理フローを説明する図である。
【図9】本発明に係るトラヒック監視部の処理フローを示する図である。
【図10】本発明に係るDirectトンネルを解除する処理フローを示す図である。
【発明の属する技術分野】
本発明は、パケットを暗号処理し、暗号通信を行う通信方法、暗号通信を 行う暗号通信システム、暗号通信を行うノード装置に関する。
【0002】
【従来の技術】
複数の拠点間との間をインターネットまたは専用/公衆回線を介して暗号 通信を行うときには、IPsec(Internet Protocol security)等のプロト コルに準拠して送信側で暗号化、受信側で復号化処理を行っていた。また、双 方向通信においては、逆方向通信も同様な処理を行っていた。
【0003】
例えば、任意の2つ拠点の暗号通信を行う場合、第1の方法として、IPsecを使用したトンネルを介した仮想閉域網を構築する。そして、そのトンネルは、通常、その拠点間に構築されることが知られている。(例えば、特許文
献1を参照)
また、第2の方法として、2つの拠点間に中継となる1つ以上の中継ノード(例えばルータ)を設け、例えば、第1の拠点と中継ノード(中継点とも呼ぶ。)、この中継ノードと第2の拠点との間にそれぞれトンネルを構築する方法
が考えられる。
【0004】
前記第1の方法では、各拠点間にそれぞれトンネルを構築するため、必要とされるトンネル数は約拠点数の二乗に比例して増える。例えば、2拠点間では、1つのトンネルだが、5つの拠点(N=5)のネットワークでは、N(N−1)/2=10のトンネルが必要である。また、100拠点間での通信では、
100*99/2=4950のトンネルが必要である。
【0005】
したがって、各拠点は他の全ての通信拠点とトンネルを構築(設定)するとすれば、トンネルの構築には拠点すべてに関するIPsec情報を管理・設定
する必要がある。
【0006】
前記第2の方法では、拠点間を直結するIPsecトンネルを構築せずに中継ノード(例えば、ルータ)を介して、2つ以上のIPsecトンネルを介して暗号通信を行う。自転車の車輪に例えると、中継ノードがハブに相当し、拠点がスポークの末端に接続される形態に対応させて考えることができる。なお、中継ノードは2つ以上あってもよいし、並列または直列に接続してもよい。
【0007】
これらトンネルの構築形態は異なるものの、各のトンネルの設定方法は同様で
ある。
【0008】
図1は、中継ノードを設けたハブアンドスポークによる暗号通信の例を説明
する図である。
【0009】
図中、例えば、端末11と端末31との間で暗号通信を行う場合を考える。
【0010】
端末11から端末31へのパケットを受信した拠点1のルータ1は、設定されたポリシーに従ってそのパケットを暗号化し、中継ノードのルータ2に送出する。ルータ2では、暗号化されたパケットを一旦復号化し、再度、暗号化して拠点2ヘ転送する。拠点2ではルータ3がそのパケットを復号化し端末31に
転送する。このように暗号通信を行うことができる。
【0011】
1つのトンネルを設定するタイミングは、暗号化対象IPパケット受信時に、宛先拠点への暗号トンネルが存在しない場合に初めて構築する方式と、暗号
化対象IPパケット受信前に、暗号トンネルを構築しておく方式がある。
【0012】
通常、中継ノード方式(ハブアンドスポーク方式)では、前もって、中継ノードと各拠点間を暗号トンネルにより接続することが好ましい。しかしながら
、ダイナミックに前記暗号化トンネルを接続してもよい。
【0013】
【特許文献1】
特開2002−44141 (例えば、図2)
【0014】
【発明が解決しようとする課題】
拠点間をそれぞれ直接接続する暗号トンネルを構築(設定)する場合には、暗号通信を行う全ての拠点に設置されるノード(ルータ等)に、暗号トンネルの設定に関する情報を格納したデータベース、いわゆるSAD(Security Association Database)が必要である。SADに基づき構築される暗号トンネルが使用するリソースは暗号トンネルの数に比例し、かつ、使用しない暗号トンネルについてもリソースを占有することになる。すなわち、暗号通信が行われていないトンネルは、リソースを浪費していることになってしまう。また、暗号トンネルの設定(接続)が完了するまでパケ
ット転送を開始できないという問題もあった。
【0015】
また、中継ノードにおいて、暗号トンネルを終端(暗号化パケットを復号化)し、中継ノードから第2の拠点へ再度暗号化して暗号化パケットを送信することになる。この暗号化および復号化の処理はノード装置にとって負荷の大きい処理であり、多量の暗号通信トラヒックを処理するためには高性能のノード
装置を配置する必要がある。
【0016】
一方、暗号化対象IPパケット受信をトリガに暗号トンネルを構築するには、複数メッセーシーケンスのやり取りが行われ、暗号トンネルの設定完了までには、後続暗号化対象IPパケットを廃棄、もしくは待ち合わせすることにな
り、ネットワーク内の暗号通信のレスポンスが低下することになる。
【0017】
本発明は、暗号通信に使用されるトンネルに関するリソースを合理的に割り当てることを目的とする。
【0018】
【課題を解決するための手段】
本発明のノード装置は、1つ以上のノード装置との間に第1の暗号トンネルをそれぞれ設定可能なノード装置において、パケットを受信し、予め設定された暗号トンネルを介した経路にパケットを送出する手段と、該経路を使用するパケットのトラヒック量が第1のいき値を超えたときに、該経路の終点となるノード装置との間に第2の暗号トンネルを構築する手段を備えることを特徴とする。
【0019】
本発明によれば、暗号化パケットのトラヒック量に応じて第2の暗号トンネルを構築することができ、暗号トンネルに関するリソースを合理的に割り当てることができる。
【0020】
また、本発明のノード装置は、前記第2の暗号トンネルのトラヒック量が第2のいき値を下回ったときに、前記第2の暗号トンネルから前記第1の暗号トンネルに切り換えることを特徴とする。
【0021】
また、本発明のノード装置は、前記第1の暗号トンネルから前記第2の暗号トンネルに切り換える処理を行うための切替え要求を示す情報を含む手段を備えることを特徴とする。
【0022】
また、本発明の暗号通信システムは、すくなくとも1つ以上のその他ノード装置との間に第1の暗号トンネルをそれぞれ接続する前記ノード装置および前記ルートの終点となるノード装置を有することを特徴とする。
【0023】
また、本発明の暗号通信システムは、また、前記第1の暗号トンネルをそれぞれ接続する前記すくなくとも1つのノード装置および前記経路の終点となるノード装置を有することを特徴とする。
【0024】
また、本発明の暗号通信を行う方法は、パケットを受信し、デフォルトルートに暗号化したパケットを送出するステップと、
該デフォルトルートを使用して転送するトラヒック量が第1のいき値を超えたときに、該ルートの終点となるノード装置との間にダイレクトな暗号トンネルを構築するステップを備えることを特徴とする。
【0025】
【発明の実施の形態】
図2は、本発明の暗号通信を行うネットワークシステムの例を示す図である。図中、端末11から端末31宛に送出された平文パケットは、拠点1のルータ1の入力I/F部に入力される。入力されたパケットはルーティング部を介してヘッダに含まれる宛先IPアドレス(端末31)に基づきルーティング処理され、IPsec処理部に渡される。
【0026】
IPsec処理部では、入力平文パケットの宛先アドレス情報に基づき出力ポリシデータベース(SPD)およびセキュリティアソシエーションデータベース(SAD)を検索し、終点IPアドレス、転送先アドレス、リンク番号、暗号化の有無、暗号化手段などを決定する。そして、その決定に従ってパケットを中継ノードに送出する。
【0027】
しかしながら、この暗号通信トラヒックが増えてくると、中継ノードでの復号化および暗号化処理の負荷が大きくなってくるので、あるいき値を超えた段階で拠点1(端末11)から拠点2(端末31)へ直接接続する暗号トンネルを構築すると、中継ノードでのパケットの暗号化/復号化負荷の軽減することに効果的である。
【0028】
直接接続する暗号トンネルの構築はDDT(Direct/DefaultTable)、SAD,SPDを参照して行われる。なお、本実施の態様では、中継ノードにおける復号化/暗号化処理の軽減も意図している。
【0029】
以下、図1と図3との相違点に着目し説明する。
【0030】
図1によれば、端末11から端末31との間で通信が行われているときは、デフォルトルートを選択した場合には、必ず中継ノードを経由し、そこで復号化/暗号化処理が行われる。ここで、デフォルトルートとは、何らかの手段を使って予め設定されている経路を意味する。
【0031】
しかしながら、図3では、端末11から端末31との通信が行われているときにルータ1とルータ3との間に新たな暗号トンネルを設定する。そして、ルータ1は暗号通信パケットをデフォルトルートから新たなダイレクトルートへのトンネル切替えを行う。ここで、ダイレクトルートとは、始点となるノード装置(例えばルータ装置)から終点となるノード装置までの経路を意味する。
【0032】
この暗号トンネルの切替えにより、中継ノードでの暗号化/復号化の処理は行わなくてよくなり、合理的な資源の割り当てが可能になる。
【0033】
また、中継ノードでの処理負荷を軽減すこともできる。なお、新たな暗号トンネル(ダイレクトルート)は、同じデフォルトルートを経由する場合もあれば、異なるルート(経路)を経由する場合もある。
【0034】
次に、図2に示した本発明に関係するSPD、DDT、SADについて、それぞれデータ構造の設定例を説明する。
【0035】
SPDは、拠点間での暗号通信に関するセキリティポリシーに関する情報を格納する。図4は、図2に記載のSPD(Security Plolicy Database)の例を示すものである。
【0036】
図4において、始点IPアドレスは、拠点1が収容するドメインを示す。例えば、端末11のIPアドレスが100.10.1.120とする。一方、SPDの始点IPアドレスが100.10.1.0/24であれば、この始点IPアドレスの条件に該当することになる。(/24はIPアドレスの表現の1つであり、先頭ビットから24ビットが一致するアドレスを意味する。つまり、最後の8ビットが不一致であっても同じIPアドレスと見なす表現である。)
終点IPアドレスは、例えば,端末11から端末31に向けてパケットを送出した場合、端末31への送信先アドレスが終点IPアドレスに該当する。
【0037】
例えば、図4のにおいて、例えば、始点アドレスが100.10.1.11で終点アドレスが100.10.3.31のパケットは、図4の第一行目のポリシデータに沿ってIPパケットが処理される。即ち、出力リンク番号は1、暗号化、対象プロトコルは何でも可である。更に、転送ルートはデフォルトルート(中継ノードであるルータ2を経由する)が採用される(図3)。なお、ルータ2は複数存在してよく、また、複数の経路を形成してもよい。
【0038】
以上のように、SPDの役割は、始点IPアドレス、終点IPアドレスに基づき、適用対象となるポリシー情報を取り出し、暗号化/非暗号化/破棄のいずれかを決定するとともに、リンク番号を選択し、デフォルトルート/ダイレクトルートのいずれかを保持する。
【0039】
図5は、DDT(Direct/Default Table)の例を示す図である。
【0040】
図中、宛先IPアドレスはパケットの転送先拠点アドレを示す。例えば、ドメインに割り当てられたIPアドレス、あるいは端末のIPアドレスであってもよい。
【0041】
転送先IPアドレスはパケットの転送先IPアドレスを示す。
【0042】
例えば、転送先IPアドレスはパケットを転送する次のルータのIPアドレスであってもよく、ドメインに割り当てられたIPアドレスであってよい。
【0043】
図6は、SAD(Security Asscosiation Database)の例を示す図である。
【0044】
終点IPアドレスはルータ装置のインタフェースカードに割り当てられたものであってもよい。
【0045】
図中、外部ヘッダの終点IPアドレスはカプセル化したパケットの終点IPアドレスを示している。
【0046】
また、リンク番号は、ルータ装置内のルーティング部が選択するリンク番号である。IPsecプロトコル種別は、暗号通信を行うためのプロトコルを指定する。ここでは、ESP(Encapsulating Security Payload)を選択するものとする。
【0047】
SPI(Security Parameter Index)はSA(Security Asscosiation)を識別するために使用される。Direct表示は、現在の暗号通信が中継ノードを経由し、少なくとも2本のトンネルを介して暗号通信(Defaultルート)が行われているのか、あるいは1本のトンネルを介して暗号通信(Directルート)が行われているのかを表示する。
【0048】
図7は、図2に記載のルータ1のIPsec処理部において、暗号化対象パケットを受信した場合の処理フローを示す図である。
【0049】
ステップJ1では、暗号化対象パケットを受信すると、この受信パケットから送信先アドレスおよび送信元アドレスを抽出する。そして、送信先アドレスおよび送信元アドレスをキーにしてSPDを検索する。例えば、送信先アドレスが100.10.3.31、送信元アドレスが100.10.1.11であった場合、図4に示すSPDを検索すると、リンク番号は”1”、ポリシーは”暗号化”、プロトコルは”any”、Direct Flagは”Default”が得られる。
【0050】
したがって、リンク情報が”1”と設定されているので、ステップJ2に分岐する。しかしながら、このリンク情報が設定されていない場合には、ステップS1に分岐する。このケースを想定し、ステップS1での処理を説明する。
【0051】
ステップS1では、暗号トンネルに関する設定情報がないので、中継ノードまでの暗号トンネルを構築するとともにSPD、SAD、及びDDTにその情報を設定する。そして、ステップS9に分岐する。
【0052】
なお、暗号トンネルを構築するまでは、受信パケットは一次的にバッファ等に蓄積される。
【0053】
また、設定例については、図4乃至図6を参照されたい。なお、中継ノードから終端の拠点までは暗号化トンネルが前以って何らかの手段(例えば手動でもよい)により設定されているものとする。
【0054】
なお、defaultルートは、前以って暗号化トンネルを静的に構築しておくことが望ましい。
【0055】
ステップJ2では、既にリンク情報が設定されているので、受信パケット対応するDirect Flag情報を参照する。
【0056】
このFlag情報がDefaultルート(中継ノードを介して2つ以上の暗号トンネルを経由)であれば、ステップJ3に進む。そうでなければ(Directルート)、ステップS7に進む。
【0057】
ステップJ3では、Direct接続のトンネル設定が起動要求済かどうかを判定する。すなわち、受信パケットの送信元アドレスおよび送信先アドレスを用いてDDTを検索し、受信パケットに対応する起動要求フラッグを調べる。この値が“On”であればトンネル設定要求済と判定し、ステップS5に進む。そうでなければ、この値は“Off”としてステップS2に進む。
【0058】
ステップS2では、暗号トンネルの始点となる拠点から終点となる拠点までの間に1本のトンネル(Directトンネル)を構築する。そして、同時に、SAD,SPD、DDTに暗号トンネル情報を設定する。
【0059】
ステップS3では、前記暗号トンネルについて、DDTの対応する箇所の起動要求Flagを“On”に書き換える。
【0060】
ステップS4では、SPD,SADに従って、Defaultルートを選択する。そして、ステップS9に分岐する。
【0061】
ステップS5は、ステップJ3の判定処理において、DDTに起動要求Flagに“On”になっているときに、ここに分岐してくる。ここでは、SPD,SADに従ってDefaultルートを選択する。そして、defaultルートを経由する受信パケットの単位時間当たりのトラヒック量を計算する。この計算にはパケット数をカウントするとともに単位時間あたりのトラヒック量も算出する。そして、ステップS9に進む。
【0062】
ステップS7は、ステップJ2の判定処理において、SPDにDirect Flagに“Direct“が設定されているときに、ここに分岐してくる。受信パケットの送信先として、SPD,SADに従いDirectルートを選択する。そして、Directルートを経由する受信パケットの単位時間当たりのトラヒックを計測する。そして、ステップS9に進む。
【0063】
ステップJ1において、リンク情報が設定されていない場合は、ステップS1に分岐する。
【0064】
ステップS1では、暗号化パケット通信に関する制御情報等をSADに設定する。また,Direct Flagフィールドに”Default”を設定し、リンク情報も設定する。そして、ステップS9に進む。
【0065】
ステップS9では、受信パケットを所望のリンクに出力する。
図8は、図7記載のステップS2,S3の詳細処理の説明である。
図中、ステップS21〜23は、図7でのステップS2〜S3に対応する。まず、ステップS2において、ダイレクトトンネル設定要求を要求すると、ステップSS21が起動される。ステップS22では、受信パケットに対応するDDTの始点IPアドレスおよび終点IPアドレスに基づき、対応するDDT上の設定情報を特定する。
【0066】
次に特定した設定情報に基づきSA(トンネル)情報を生成し、SADにトンネルに関する情報を設定する。そして、ダイレクトトンネルの構築を行う。
【0067】
トンネルの構築手順の例を図7の中程に示す。この例では、Initiator, Responder, Actionに分けて、プロトコルシーケンスを記載している。シーケンスはSA確立要求から認証応答、およびINITIAL−CONTACTまでの手順を記載している。
【0068】
ステップS23では、現在、受信パケットの転送に使用しているDefaultルートからDirectルートへの変更を行う。具体的には、この変更はSPDのリンク番号を上書きすること、および、種別フィールドの値をDirectに変更することによりDirectトンネルを介した暗号通信を行うことができる。
【0069】
以上、ステップS21〜S23が図7のステップS2〜S3に対応する。
図9は、トラヒック監視処理の処理フローを説明する図である。図7記載のステップS6、S8は、それぞれDefaultルートおよびDirectルートを経由する単位時間当たりのパケット量(トラヒック)をカウントする。このカウントした値は、図9に示すトラヒック監視部により監視される。このトラヒック監視部はIPsec処理部の中にある。
【0070】
図中、ステップS31は、予め設定された時間間隔で単位時間当たりのトラヒックを測定するために起動される。
【0071】
ステップJ31では、起動されたトラヒック監視部は、SADを参照し、各現在の処理ルートが暗号化処理を行うリンク番号に対応して、DefaultルートかDirectルートかを判定する。”Default”ならば、ステップJ33に分岐し、”Direct”ならばステップJ32に分岐する。
【0072】
ステップJ32では、単位時間当たりのDirectルート使用パケット数が域値以上であれば、継続してDirectルートを使用するとともにステップS8でパ4ケットをカウントするカウンタをゼロクリヤする。そして、ステップJ34に分岐する。
【0073】
ステップS32,S34では、ダイレクトルートの使用を解除する要求を行う。そして、ステップS8でパケットをカウントするカウンタをゼロクリヤする。そして、ステップJ34に分岐する。(詳細は後述)。
【0074】
ステップJ33では、単位時間当たりのDefaultルート使用パケット数が域値以上であれば継続してDefaultルートを使用するとともにステップS6でパケットをカウントするカウンタをゼロクリヤする。そして、ステップJ34に分岐する。
【0075】
ステップS35,S37では、Defaultルートの使用を解除する要求を行う。なお、予めデフォルトルートを継続的に設定している場合には、動的な解除は不要である。そして、ステップS6でパケットをカウントするカウンタをゼロクリヤする。そして、ステップJ34に分岐する。
【0076】
ステップJ34では、SADを参照し、全ての暗号化トンネルについて処理を行ったかどうかを確認する。すべての処理が完了したならば、処理を終了する
図10は図9のステップS32およびS35からトンネル設定解除の処理フローを示す図である。
【0077】
図中、ステップS41では、ダイレクトトンネルの設定解除要求を受付を行う。このとき、パラメータとして、解除するトンネルに関する情報としてSPDから処理の対象とする宛先アドレスを取得する。
【0078】
ステップS42では、取得した宛先アドレスをキーとしてSPDを検索し、解除の対象となるDirectトンネルを特定する。そして、DirectトンネルをDefaultルートに、DeirectをDefaultに修正する。図10のSPD更新経緯を参照。
【0079】
ステップS43は、解除の対象となるDirectトンネルで同一リンクがない場合、つまり、Directトンネルが単独で使用されている場合は、そのトンネルに関する情報をSADから削除する。図10のSAD更新経緯を参照。
【0080】
そして、100.10.3.0/24について、DDTの識別をDirectからDefaultに修正するとともに、起動要求も”On”から”Off”に修正する。
【0081】
ステップS44では、トンネル切断後の接続先へ通知し、セションを切断する。そして、INTIAL−CONTACTを送信することによりトンネルに関するSAを開放する。
【0082】
本発明の次に示す付記のように構成することもできる。
(付記1)
1つ以上のノード装置との間に第1の暗号トンネルをそれぞれ設定可能なノード装置において、
パケットを受信し、予め設定された暗号トンネルを介した経路にパケットを送出する手段と、
該経路を使用するパケットのトラヒック量が第1のいき値を超えたときに、該経路の終点となるノード装置との間に第2の暗号トンネルを構築する手段を備えることを特徴とするノード装置。
【0083】
(付記2)
付記1記載において、
前記第2の暗号トンネルのトラヒック量が第2のいき値を下回ったときに、前記第2の暗号トンネルから前記第1の暗号トンネルに切り換えることを特徴とするノード装置。
【0084】
(付記3)
付記1記載において、
前記第1の暗号トンネルから前記第2の暗号トンネルに切り換える処理を行うための切替え要求を示す情報を含む手段を備えることを特徴とするノード装置。
【0085】
(付記4)
付記1記載において、
セキュリティアソシェーションデータベースを備え、
該セキュリティアソシェーションデータベースは、前記暗号トンネルに対応して、ダイレクトあるいはデフォルトのいずれかを示すことを特徴とするノード装置。
(付記5)
付記1記載において、
前記第1の暗号トンネルをそれぞれ接続する前記すくなくとも1つのノード装置および前記経路の終点となるノード装置を有することを特徴とする暗号通信システム。
【0086】
(付記6)
パケットを受信し、第1の経路に暗号化したパケットを送出するステップと、
該第1の経路を使用して転送するパケットのトラヒック量が第1のいき値を超えたときに、前記経路の終点となるノード装置との間に暗号トンネルを構築するステップを備えることを特徴とする暗号通信を行う方法。
【0087】
【発明の効果】
本発明によれば、暗号通信に使用されるトンネルに関するリソースを合理的に割り当てることが可能になる。
【図面の簡単な説明】
【図1】従来の暗号通信におけるデフォルートネットワークを示す図である。
【図2】本発明に係るネットワークにおけるルータ装置の構成の例を示す図である。
【図3】本発明に係るデフォルトルートとダイレクトルートの切替えの例を示す図である。
【図4】本発明に係るSecurity Policy Databaseの設定例を示す図である。
【図5】本発明に係るDefault/Direct Tableの設定例を示す図である。
【図6】本発明に係るSecurity Association Databaseの設定例を示す図である。
【図7】本発明に係るルータ装置のIPsec処理部の処理フローを示す図である。
【図8】本発明に係る図7記載のステップS2およびS3の処理フローを説明する図である。
【図9】本発明に係るトラヒック監視部の処理フローを示する図である。
【図10】本発明に係るDirectトンネルを解除する処理フローを示す図である。
Claims (5)
- 1つ以上のノード装置との間に第1の暗号トンネルをそれぞれ設定可能なノード装置において、
パケットを受信し、予め設定された暗号トンネルを介した経路にパケットを送出する手段と、
該経路を使用するパケットのトラヒック量が第1のいき値を超えたときに、該経路の終点となるノード装置との間に第2の暗号トンネルを構築する手段を備えることを特徴とするノード装置。 - 請求項1記載において、
前記第2の暗号トンネルのトラヒック量が第2のいき値を下回ったときに、前記第2の暗号トンネルから前記第1の暗号トンネルに切り換えることを特徴とするノード装置。 - 請求項1記載において、
前記第1の暗号トンネルから前記第2の暗号トンネルに切り換える処理を行うための切替え要求を示す情報を含む手段を備えることを特徴とするノード装置。 - 請求項1記載において、
前記第1の暗号トンネルをそれぞれ接続する前記すくなくとも1つのノード装置および前記経路の終点となるノード装置を有することを特徴とする暗号通信システム。 - パケットを受信し、第1の経路に暗号化したパケットを送出するステップと、
該第1の経路を使用して転送するパケットのトラヒック量が第1のいき値を超えたときに、前記経路の終点となるノード装置との間に暗号トンネルを構築するステップを備えることを特徴とする暗号通信を行う方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002301317A JP2004140482A (ja) | 2002-10-16 | 2002-10-16 | 暗号通信を行うノード装置、暗号通信システムおよび方法 |
US10/687,563 US20040158706A1 (en) | 2002-10-16 | 2003-10-16 | System, method, and device for facilitating multi-path cryptographic communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002301317A JP2004140482A (ja) | 2002-10-16 | 2002-10-16 | 暗号通信を行うノード装置、暗号通信システムおよび方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004140482A true JP2004140482A (ja) | 2004-05-13 |
Family
ID=32449692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002301317A Pending JP2004140482A (ja) | 2002-10-16 | 2002-10-16 | 暗号通信を行うノード装置、暗号通信システムおよび方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20040158706A1 (ja) |
JP (1) | JP2004140482A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006324830A (ja) * | 2005-05-18 | 2006-11-30 | Nec Corp | 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム |
WO2007094059A1 (ja) * | 2006-02-15 | 2007-08-23 | R & W, Inc. | データの送受信方法 |
JP2009152973A (ja) * | 2007-12-21 | 2009-07-09 | Mitsubishi Electric Corp | 中継通信システム |
JP2013211633A (ja) * | 2012-03-30 | 2013-10-10 | Brother Ind Ltd | 通信装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法 |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7965843B1 (en) | 2001-12-27 | 2011-06-21 | Cisco Technology, Inc. | Methods and apparatus for security over fibre channel |
WO2004068805A1 (ja) * | 2003-01-31 | 2004-08-12 | Nippon Telegraph And Telephone Corporation | Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置 |
US7333612B2 (en) * | 2004-03-19 | 2008-02-19 | Cisco Technology, Inc. | Methods and apparatus for confidentiality protection for Fibre Channel Common Transport |
US20050281195A1 (en) * | 2004-06-17 | 2005-12-22 | Kan Zhang | Secure content management method and system |
US7496753B2 (en) * | 2004-09-02 | 2009-02-24 | International Business Machines Corporation | Data encryption interface for reducing encrypt latency impact on standard traffic |
US7409558B2 (en) * | 2004-09-02 | 2008-08-05 | International Business Machines Corporation | Low-latency data decryption interface |
US8543808B2 (en) * | 2006-08-24 | 2013-09-24 | Microsoft Corporation | Trusted intermediary for network data processing |
US20080163332A1 (en) * | 2006-12-28 | 2008-07-03 | Richard Hanson | Selective secure database communications |
FI124279B (fi) * | 2007-11-01 | 2014-06-13 | Teliasonera Ab | Suojattu datanlähetys viestintäjärjestelmässä |
US9401855B2 (en) * | 2008-10-31 | 2016-07-26 | At&T Intellectual Property I, L.P. | Methods and apparatus to deliver media content across foreign networks |
US9042386B2 (en) * | 2012-08-14 | 2015-05-26 | International Business Machines Corporation | Data transfer optimization through destination analytics and data de-duplication |
US10986075B2 (en) * | 2017-11-02 | 2021-04-20 | Arista Networks, Inc. | Distributing packets across processing cores |
US10848524B2 (en) * | 2018-02-23 | 2020-11-24 | Cisco Technology, Inc. | On-demand security association management |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6826616B2 (en) * | 1998-10-30 | 2004-11-30 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network |
US7181766B2 (en) * | 2000-04-12 | 2007-02-20 | Corente, Inc. | Methods and system for providing network services using at least one processor interfacing a base network |
US7028334B2 (en) * | 2000-04-12 | 2006-04-11 | Corente, Inc. | Methods and systems for using names in virtual networks |
US6920503B1 (en) * | 2000-10-28 | 2005-07-19 | Redback Networks Inc. | Tunnel interworking |
US7171685B2 (en) * | 2001-08-23 | 2007-01-30 | International Business Machines Corporation | Standard format specification for automatically configuring IP security tunnels |
US7305429B2 (en) * | 2002-06-10 | 2007-12-04 | Utstarcom, Inc. | Method and apparatus for global server load balancing |
-
2002
- 2002-10-16 JP JP2002301317A patent/JP2004140482A/ja active Pending
-
2003
- 2003-10-16 US US10/687,563 patent/US20040158706A1/en not_active Abandoned
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006324830A (ja) * | 2005-05-18 | 2006-11-30 | Nec Corp | 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム |
WO2007094059A1 (ja) * | 2006-02-15 | 2007-08-23 | R & W, Inc. | データの送受信方法 |
JP2009152973A (ja) * | 2007-12-21 | 2009-07-09 | Mitsubishi Electric Corp | 中継通信システム |
JP2013211633A (ja) * | 2012-03-30 | 2013-10-10 | Brother Ind Ltd | 通信装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法 |
Also Published As
Publication number | Publication date |
---|---|
US20040158706A1 (en) | 2004-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2728893C1 (ru) | Способ реализации безопасности, устройство и система | |
JP2004140482A (ja) | 暗号通信を行うノード装置、暗号通信システムおよび方法 | |
JP4159328B2 (ja) | ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 | |
US6438612B1 (en) | Method and arrangement for secure tunneling of data between virtual routers | |
US5416842A (en) | Method and apparatus for key-management scheme for use with internet protocols at site firewalls | |
US9031535B2 (en) | Un-ciphered network operation solution | |
CN104247367B (zh) | 提升IPsec性能和防窃听安全性 | |
US6668282B1 (en) | System and method to monitor and determine if an active IPSec tunnel has become disabled | |
JP3745230B2 (ja) | 傍受システム及び方法 | |
US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
EP0693836A1 (en) | Method and apparatus for a key-management scheme for internet protocols. | |
CN108418782A (zh) | 经代理安全会话的粒度卸载 | |
JP2005117246A (ja) | パケット判定装置 | |
US7203195B2 (en) | Method for packet transferring and apparatus for packet transferring | |
CN109510832A (zh) | 一种基于动态黑名单机制的通信方法 | |
CN109698791A (zh) | 一种基于动态路径的匿名接入方法 | |
CN106209401B (zh) | 一种传输方法及装置 | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
JP2006019975A (ja) | 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム | |
Hohendorf et al. | Secure End-to-End Transport Over SCTP. | |
JP2001007849A (ja) | Mplsパケット処理方法及びmplsパケット処理装置 | |
JP5119184B2 (ja) | 中継装置、端末装置及び秘密通信システム | |
JP2003198530A (ja) | パケット通信装置及び暗号アルゴリズム設定方法 | |
JP2004274666A (ja) | 暗号装置及びコンソール端末及び管理装置及びプログラム | |
US20230327871A1 (en) | IPSec Rekey |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041224 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060509 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061003 |