JP2004248169A - 通信制御システムと通信制御方法およびプログラムと通信端末装置 - Google Patents
通信制御システムと通信制御方法およびプログラムと通信端末装置 Download PDFInfo
- Publication number
- JP2004248169A JP2004248169A JP2003038070A JP2003038070A JP2004248169A JP 2004248169 A JP2004248169 A JP 2004248169A JP 2003038070 A JP2003038070 A JP 2003038070A JP 2003038070 A JP2003038070 A JP 2003038070A JP 2004248169 A JP2004248169 A JP 2004248169A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication terminal
- terminal device
- key
- parameter information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】IP通信網におけるセキュアな端末間通信の通信性能を向上させる。
【解決手段】IP通信網6において、セッション制御パケットがホップバイホップでセキュアに通信することが可能な環境下で、発側端末1、着側端末3のそれぞれに、パラメータ交換処理部1b,3bと鍵生成部1c,3cからなるセキュア処理部1a,3aを設け、発側端末1と着側端末3間でセキュアに通信するためのパラメータ交換、鍵生成をセッション制御時に実施する構成とし、セキュア通信のための接続遅延を回避させる。
【選択図】 図1
【解決手段】IP通信網6において、セッション制御パケットがホップバイホップでセキュアに通信することが可能な環境下で、発側端末1、着側端末3のそれぞれに、パラメータ交換処理部1b,3bと鍵生成部1c,3cからなるセキュア処理部1a,3aを設け、発側端末1と着側端末3間でセキュアに通信するためのパラメータ交換、鍵生成をセッション制御時に実施する構成とし、セキュア通信のための接続遅延を回避させる。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、IP(Internet Protocol)網におけるセキュアな端末間通信を実現するための技術に係わり、特に、セッション制御パケットの機密性および完全性がホップバイホップで保証されている環境下において、セキュアなエンドツーエンドでの端末間通信を容易に実現するのに好適な通信制御技術に関するものである。
【0002】
【従来の技術】
インタネット等のIP網において、セッション制御を利用して、音声や映像を端末間でセキュアにエンドツーエンド通信する場合には、セッション制御のフェーズが完了した後に、端末間で、例えば非特許文献1に記載の「IKE(Internet Key Exchange)」等の「本人認証」、「セキュリティパラメータの交換」、「共有鍵の生成」を別途実施する。
【0003】
図5は、従来のIKEにおける鍵管理プロトコルに関する処理手順を示すシーケンス図である。
【0004】
図5においては、セキュアに端末間通信を実現するためのパラメータ交換、動的な鍵の生成手順が示されており、ここではセッション制御プロトコルとしてSIP(Session Initiation Protocol)を用いている。
【0005】
まず、発側端末51が、セッション制御の開始を示すINVITE要求パケットをSIPサーバ55へ送信し、SIPサーバ55は、そのINVITE要求パケットを着側端末52に送信する。INVITE要求パケットを受信した着側端末52は、このINVITE要求に対する200応答パケットをSIPサーバ55へ送信し、SIPサーバ55は、その200応答パケットを発側端末51に送信する。この200応答パケットを受信した発側端末51からSIPサーバ55を介して着側端末52にACKパケットが送信されることで、発側端末51と着側端末52間での接続が完了する。
【0006】
その後、発側端末51と着側端末52間で、「SA parameter proposal」、「Diffie−Hellman Exchange」、「Authentication Inf」(以上、フェーズ1(main mode))、「SA parameter proposal(+Diffie−Hellman Exchange)」、「Hash payload」(以上、フェーズ2(quick mode))を行い、セキュアな音声通信(「Secured Voice」)を行っている。
【0007】
このように、発側端末と着側端末間がセキュアに端末間通信を実現する場合に、IKE等の鍵管理プロトコルを実施すると、発側端末51と着側端末52間で、接続完了後にIKEが実施され「本人認証」、「セキュリティパラメータの交換」、「共有鍵の生成」が行われる。この「本人認証」の実施、および、Diffie−Hellmanアルゴリズムによる「鍵の生成」の実施により、接続遅延が増加する。
【0008】
【非特許文献1】
ディ・ホーキンス(D. Harkins)、ディ・カレル(D. Carrel)、「ザ・インタネット・キー・エクスチェンジ(The Internet Key Exchange (IKE)」、[online]、1998年9月、ネットワーク・ワーキング・グループ(Network Working Group)、[平成15年1月21日検索]、インタネット<URL : http://kaizai.viagenie.qc.ca/ietf/rfc/rfc2409.txt>
【非特許文献2】
ジェイ・アルコ(J. Arkko)、外6名、「セキュリティ・メカニズム・アグリーメント・フォ・ザ・セッション・イニシエーション・プロトコル(Security Mechanism Agreement for the Session Initiation Protocol (SIP)」、[online]、2003年1月、ネットワーク・ワーキング・グループ(Network Working Group)、[平成15年1月21日検索]、インタネット<URL : http://kaizai.viagenie.qc.ca/ietf/rfc/rfc3329.txt>
【0009】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、IP網を介した端末間通信で、セキュリティを向上させるために実施する「鍵」を用いた認証を行う際、セッション制御の完了後に鍵を生成していたため、接続遅延の原因となってしまう点である。
【0010】
例えば、「本人認証」は、セッション制御の登録時にユーザとネットワーク間で実現されているため、ネットワークを介する通信サービスの場合、別途端末間で認証を実施する必要はないものである。
【0011】
また、「Diffie−Hellmanによる共有秘密鍵生成」は、アンセキュアなネットワークを介して共有秘密鍵を生成する場合に有効な技術であるが、公開鍵認証をベースとするDiffie−Hellmanアルゴリズムを用いると、接続遅延の増加の要因となる。
【0012】
本発明の目的は、これら従来技術の課題を解決し、IP通信網におけるセキュアな端末間通信の通信性能を向上させることである。
【0013】
【課題を解決するための手段】
上記目的を達成するため、本発明では、セッション制御を行う信号(セッション制御パケット)に、鍵を生成するために用いる情報や認証を行うために用いる情報(パラメータ情報)を含めることにより、セッション制御と同時に、鍵を使った認証も実行できるようにする。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
【0015】
図1は、本発明に係わる通信制御システムの構成例を示すブロック図であり、図2は、図1における通信制御システムでの信号の流れを示す説明図、図3は、図1における通信制御システムの第1の処理動作例を示すシーケンス図、図4は、図1における通信制御システムの第2の処理動作例を示すシーケンス図である。
【0016】
図1における発側端末1、発側ルータ2、着側端末3、着側ルータ4、セッション制御サーバ5のそれぞれは、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等からなるコンピュータ装置構成であり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
【0017】
発側端末1と着側端末3は、それぞれ、発側端末1の在圏先に存在しているIP網エッジルータとしての発側ルータ2と、着側端末3の在圏先に存在しているIP網エッジルータとしての着側ルータ4を経由してIP通信網6を介して相互に接続される。尚、発側端末1と着側端末3は、それぞれ、同じ機能を有する通信端末装置であるが、ここでは説明の便宜上、発側と着側に分けて記載している。
【0018】
IP通信網6は、複数のIPサブネットにより構成されるインタネットである。発側端末1および着側端末3は、セッション制御もしくは呼制御プロトコル(以後、「セッション制御」とする)パケットを処理可能なクライアントソフトウェアを具備し、セッション制御によりセッション管理した上で、音声や映像のメディアパケットを相手側端末と送受信する。セッション制御サーバ5は、発側端末1と着側端末3の位置管理およびセッション制御パケットのプロキシ(中継)やリダイレクション(転送)を行う。
【0019】
このような構成において、発側端末1とセッション制御サーバ5間、着側端末3とセッション制御サーバ5間、セッション制御サーバ5と図示していない他のセッション制御サーバ間において各々下位レイヤでのセキュアパスが確立され、セキュアにセッション制御パケットが処理される通信環境下となる。
【0020】
このような通信環境下において、本例のシステムでは、発側端末1と着側端末3がエンドツーエンドでセキュアにメディアパケットを送受信する場合、発側端末1と着側端末3が使用するセキュリティプロトコル、発側端末1と着側端末3がサポートする暗号化メカニズム、発側端末1と着側端末3がサポートする認証メカニズム、セキュアパスの有効期間などのセキュリティ情報パラメータ群を、セッション制御パケットに含めて、セッション制御のフェーズにおいて、発側端末1と着側端末3間で交換する。
【0021】
そして、発側端末1において、着側端末3からのパラメータ情報と発側端末1自身のパラメータ情報に基づき、エンドツーエンド通信で使用する認証プロトコルおよび暗号化プロトコルを決定し、さらに、その決定したプロトコルに基づいて、認証鍵および暗号化鍵となるための乱数を生成する。そして、セキュアパスが確立されているセッション制御パケットに、生成した認証鍵および暗号化鍵を含めて、着側端末3へ通知する。
【0022】
これにより、認証鍵および暗号化鍵を、発側端末1と着側端末3の双方で共有することが可能となる。また、セキュアパスの有効期間の満了の予め定められた時間前もしくは後、例えば満了直前もしくは満了直後には、発側端末1において、再度乱数を生成して、着側端末3に通知し、鍵更新を動的に行う。
【0023】
このような処理を行うために、本例では、発側端末1と着側端末3のそれぞれに、パラメータ交換処理部1b,3b、鍵生成部1c,3cからなる本発明に係わる機能を実行するセキュア処理部1a,3aを設けている。以下、パラメータ交換処理部1b,3b、鍵生成部1c,3cに基づく、発側端末1と着側端末3間での本発明に関わる処理動作を説明する。
【0024】
上述したように、本例では、発側端末1と着側端末3間でセキュアに端末間通信を実現する場合に、セキュアパスを確立するために必要なパラメータに関する情報の交換をセッション制御時に実施する。
【0025】
このようにセッション制御時に交換するパラメータ情報の例として、「使用可能なセキュリティプロトコル」、「認証アルゴリズム」、「暗号化アルゴリズム」、「鍵の有効期間」などが挙げられる。
【0026】
これらのパラメータ情報は、まず、発側端末1がパラメータ交換処理部1bの機能により着側端末3へ通知し、次に、着側端末3がパラメータ交換処理部3bの機能により発側端末1へ通知する。その後、発側端末1は着側端末3からのパラメータ情報をふまえて最終的に使用するパラメータ情報を決定する。
【0027】
尚、このパラメータ情報交換のメカニズムは、セッション制御プロトコルが兼ね備える端末能力情報の交換と類似しているため、それほど大きな機能追加は必要とならない。
【0028】
パラメータ情報の決定後に、発側端末1と着側端末3の双方間で共有するための認証鍵および暗号化鍵を発側端末1で鍵生成部1cにおいて生成し、セッション制御の確認パケットに、これらの鍵情報を含めて、着側端末3へ通知する。
【0029】
また、鍵の有効期間の満了の予め定められた時間前(直前)もしくは後(直後)には、新しい鍵を発側端末1で鍵生成部1cにおいて再生成し、着側端末3へ通知することにより、必要最低限の処理で端末間の共有秘密鍵を生成し、かつ管理を行うことが可能となる。
【0030】
以下、図2から図4を用いて、詳細を説明する。図1のシステムにおいて、発側端末1や着側端末3は、SIP(Session Initiation Protocol)やH.323等、IP通信網6を介して音声、動画、データなどのマルチメディアセッションの確立や維持、終了を行うためのセッション制御プロトコルをサポートする。
【0031】
また、セッション制御サーバ5は、IP通信網6内で端末(発側端末1、着側端末3等)がサポートするセッション制御プロトコルを用いて位置管理、パケットの中継および転送を行う機能を具備する。
【0032】
本例では、図2に示すように、セッション制御パケットは、IP通信網6内のセッション制御サーバ5を介したホップバイホップの通信で転送され、メディアパケットは、発側端末1と着側端末3間でのエンドツーエンドの通信で転送される。
【0033】
図3を用いて、セキュアに端末間通信を実現するためのパラメータ情報の交換手順、および、動的な鍵の生成手順について説明する。ここではセッション制御プロトコルとしてSIPを用いる。
【0034】
発側端末1は、セキュア処理部1aにおけるパラメータ交換処理部1bにより、セッション制御の開始を示すINVITE要求パケットに、発側端末1が具備する「セキュリティプロトコル」、「認証アルゴリズム」、「暗号化アルゴリズム」、「鍵の有効期間」等のセキュリティアソシエーション(SA;Security Association)パラメータを含めて、(発側ルータ2を介して)SIPサーバ5へ送信する(ステップS101)。
【0035】
SIPサーバ5は、発側端末1のSAパラメータを中継することにより、(着側ルータ4を介して)着側端末3へ通知する(ステップS102)。
【0036】
着側端末3は、セキュア処理部3aにおけるパラメータ交換処理部3bにより、SIPのINVITE要求に対する200応答パケットに、着側端末3が具備する「セキュリティプロトコル」、「認証アルゴリズム」、「暗号化アルゴリズム」、「鍵の有効期間」等のSAパラメータ(パラメータ情報)を含ませて(ステップS103)、(着側ルータ4を介して)SIPサーバ5へ通知する(ステップS104)。
【0037】
SIPサーバ5は、着側端末3からのSAパラメータを中継することにより、(発側ルータ2を介して)発側端末1へ通知する(ステップS105)。
【0038】
発側端末1は、パラメータ交換処理部1bにおいて、自発側端末1のSAパラメータを読み出し(ステップS106)、受信した着側端末3のSAパラメータと比較して、双方の端末がサポートする中で最適なSAパラメータ(鍵の有効期間を含む)を選択・決定する(ステップS107)。
【0039】
尚、最適なSAパラメータ(パラメータ情報)を選択する条件として第1,第2の条件を用いる。第1の条件では、発側端末と着側端末のそれぞれがサポートしているSAパラメータを選ぶ。第2の条件では、第1の条件を満たすSAパラメータが複数ある場合は、予め設定された優先順位に従い選ぶ。
【0040】
そして、発側端末1は、鍵生成部1cにおいて、パラメータ交換処理部1bで選択・決定した認証アルゴリズムや暗号化アルゴリズムに基づいて、発側端末1自身がサポートする乱数生成機能により、自発側端末1と着側端末3で共有する「認証鍵」、「暗号化鍵」を生成し(ステップS108)、SIPの200応答に対するACK要求パケットに含めて、SIPサーバ5へ通知する(ステップ109)。
【0041】
SIPサーバ5は、発側端末1が選択したSAパラメータおよび発側端末1が生成した認証鍵と暗号化鍵を含めた情報を中継することにより、着側端末3へ通知する(ステップS110)。
【0042】
着側端末3は、発側端末1が選択したメディアパケットを交換するためのSAパラメータおよび発側端末1が生成した認証鍵と暗号化鍵を取得し(ステップS111)、以降、認証・暗号処理に基づく安全な音声通信(Secured Voice)を行う(ステップS112)。
【0043】
このような安全な音声通信(Secured Voice)中における鍵の交換手順、すなわち、ステップS107において選択・決定した鍵の有効期間が完了する前もしくは完了した後に、新たな鍵を生成して発側端末1と着側端末3で共有する動作について、図4を用いて説明する。
【0044】
鍵の有効期間は発側端末1において管理しており、認証・暗号処理に基づく安全な音声通信(Secured Voice)中(ステップS201)に、有効期間の期限が近づくもしくは期限が過ぎると、発側端末1は、鍵生成部1cにおいて、新たに乱数を生成することにより、更新後の鍵を生成し(ステップS202)、UPDATE要求を通じて、(発側ルータ2を介して)SIPサーバ5へ通知する(ステップS203)。
【0045】
SIPサーバ5は、更新後の鍵を含むUPDATE要求を着側端末3へ(着側ルータ4を介して)通知する(ステップS204)。
【0046】
着側端末3は、更新後の鍵を受信した後に(ステップS205)、200応答をSIPサーバ5へ通知し(ステップS206)、SIPサーバ5は、200応答を発側端末1へ通知する(ステップS207)。
【0047】
発側端末1では、鍵生成部1cにおいて、共有秘密鍵を更新して(ステップS208)、以降、更新した鍵による認証・暗号処理に基づく安全な音声通信(Secured Voice)を行う(ステップS209)。このようにして、鍵の更新が動的に完了する。
【0048】
以上、図1〜図4を用いて説明したように、本例の通信制御システムでは、IP通信網6において、セッション制御パケットがホップバイホップでセキュアに通信することが可能な環境下で、端末(発側端末1、着側端末3)間でセキュアにエンドツーエンド通信するためのパラメータ交換、鍵生成をセッション制御時に実施する。
【0049】
このことにより、接続遅延を回避できると共に、端末(発側端末1、着側端末3)の処理負荷を軽減できる。さらに、本例では、このような作用を得るための機能追加を最小限に抑えることが可能である。
【0050】
尚、本発明は、図1〜図4を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、音声情報のパケット転送に関して説明したが、転送対象データとしては映像等であっても良い。
【0051】
また、本例では、IP通信網6として複数のIPサブネットにより構成されるインタネットを例に説明したが、イントラネット等の他のIP通信網においても適用可能である。
【0052】
また、本例での発側端末1、発側ルータ2、着側端末3、着側ルータ4、セッション制御サーバ5等のコンピュータ構成に関しても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0053】
【発明の効果】
本発明によれば、IP通信網において、セッション制御パケットがホップバイホップでセキュアに通信することが可能な環境下で、端末間でセキュアに通信するためのパラメータ交換、鍵生成をセッション制御時に実施することができるので、従来技術における接続遅延を回避でき、かつ、端末の処理負荷を軽減でき、さらに、機能追加を最小限に抑えることが可能であり、IP通信網におけるセキュアな端末間通信の通信性能を容易に向上させることができる。
【図面の簡単な説明】
【図1】本発明に係わる通信制御システムの構成例を示すブロック図である。
【図2】図1における通信制御システムでの信号の流れを示す説明図である。
【図3】図1における通信制御システムの第1の処理動作例を示すシーケンス図である。
【図4】図1における通信制御システムの第2の処理動作例を示すシーケンス図である。
【図5】従来のIKEにおける鍵管理プロトコルに関する処理手順を示すシーケンス図である。
【符号の説明】
1:発側端末、1a:セキュア処理部、1b:パラメータ情報交換部、1c:鍵生成部、2:発側ルータ、3:着側端末、3a:セキュア処理部、3b:パラメータ情報交換部、3c:鍵生成部、4:着側ルータ、5:セッション制御サーバ、6:IP通信網、51:発側端末、52:着側端末、55:SIPサーバ。
【発明の属する技術分野】
本発明は、IP(Internet Protocol)網におけるセキュアな端末間通信を実現するための技術に係わり、特に、セッション制御パケットの機密性および完全性がホップバイホップで保証されている環境下において、セキュアなエンドツーエンドでの端末間通信を容易に実現するのに好適な通信制御技術に関するものである。
【0002】
【従来の技術】
インタネット等のIP網において、セッション制御を利用して、音声や映像を端末間でセキュアにエンドツーエンド通信する場合には、セッション制御のフェーズが完了した後に、端末間で、例えば非特許文献1に記載の「IKE(Internet Key Exchange)」等の「本人認証」、「セキュリティパラメータの交換」、「共有鍵の生成」を別途実施する。
【0003】
図5は、従来のIKEにおける鍵管理プロトコルに関する処理手順を示すシーケンス図である。
【0004】
図5においては、セキュアに端末間通信を実現するためのパラメータ交換、動的な鍵の生成手順が示されており、ここではセッション制御プロトコルとしてSIP(Session Initiation Protocol)を用いている。
【0005】
まず、発側端末51が、セッション制御の開始を示すINVITE要求パケットをSIPサーバ55へ送信し、SIPサーバ55は、そのINVITE要求パケットを着側端末52に送信する。INVITE要求パケットを受信した着側端末52は、このINVITE要求に対する200応答パケットをSIPサーバ55へ送信し、SIPサーバ55は、その200応答パケットを発側端末51に送信する。この200応答パケットを受信した発側端末51からSIPサーバ55を介して着側端末52にACKパケットが送信されることで、発側端末51と着側端末52間での接続が完了する。
【0006】
その後、発側端末51と着側端末52間で、「SA parameter proposal」、「Diffie−Hellman Exchange」、「Authentication Inf」(以上、フェーズ1(main mode))、「SA parameter proposal(+Diffie−Hellman Exchange)」、「Hash payload」(以上、フェーズ2(quick mode))を行い、セキュアな音声通信(「Secured Voice」)を行っている。
【0007】
このように、発側端末と着側端末間がセキュアに端末間通信を実現する場合に、IKE等の鍵管理プロトコルを実施すると、発側端末51と着側端末52間で、接続完了後にIKEが実施され「本人認証」、「セキュリティパラメータの交換」、「共有鍵の生成」が行われる。この「本人認証」の実施、および、Diffie−Hellmanアルゴリズムによる「鍵の生成」の実施により、接続遅延が増加する。
【0008】
【非特許文献1】
ディ・ホーキンス(D. Harkins)、ディ・カレル(D. Carrel)、「ザ・インタネット・キー・エクスチェンジ(The Internet Key Exchange (IKE)」、[online]、1998年9月、ネットワーク・ワーキング・グループ(Network Working Group)、[平成15年1月21日検索]、インタネット<URL : http://kaizai.viagenie.qc.ca/ietf/rfc/rfc2409.txt>
【非特許文献2】
ジェイ・アルコ(J. Arkko)、外6名、「セキュリティ・メカニズム・アグリーメント・フォ・ザ・セッション・イニシエーション・プロトコル(Security Mechanism Agreement for the Session Initiation Protocol (SIP)」、[online]、2003年1月、ネットワーク・ワーキング・グループ(Network Working Group)、[平成15年1月21日検索]、インタネット<URL : http://kaizai.viagenie.qc.ca/ietf/rfc/rfc3329.txt>
【0009】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、IP網を介した端末間通信で、セキュリティを向上させるために実施する「鍵」を用いた認証を行う際、セッション制御の完了後に鍵を生成していたため、接続遅延の原因となってしまう点である。
【0010】
例えば、「本人認証」は、セッション制御の登録時にユーザとネットワーク間で実現されているため、ネットワークを介する通信サービスの場合、別途端末間で認証を実施する必要はないものである。
【0011】
また、「Diffie−Hellmanによる共有秘密鍵生成」は、アンセキュアなネットワークを介して共有秘密鍵を生成する場合に有効な技術であるが、公開鍵認証をベースとするDiffie−Hellmanアルゴリズムを用いると、接続遅延の増加の要因となる。
【0012】
本発明の目的は、これら従来技術の課題を解決し、IP通信網におけるセキュアな端末間通信の通信性能を向上させることである。
【0013】
【課題を解決するための手段】
上記目的を達成するため、本発明では、セッション制御を行う信号(セッション制御パケット)に、鍵を生成するために用いる情報や認証を行うために用いる情報(パラメータ情報)を含めることにより、セッション制御と同時に、鍵を使った認証も実行できるようにする。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
【0015】
図1は、本発明に係わる通信制御システムの構成例を示すブロック図であり、図2は、図1における通信制御システムでの信号の流れを示す説明図、図3は、図1における通信制御システムの第1の処理動作例を示すシーケンス図、図4は、図1における通信制御システムの第2の処理動作例を示すシーケンス図である。
【0016】
図1における発側端末1、発側ルータ2、着側端末3、着側ルータ4、セッション制御サーバ5のそれぞれは、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等からなるコンピュータ装置構成であり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
【0017】
発側端末1と着側端末3は、それぞれ、発側端末1の在圏先に存在しているIP網エッジルータとしての発側ルータ2と、着側端末3の在圏先に存在しているIP網エッジルータとしての着側ルータ4を経由してIP通信網6を介して相互に接続される。尚、発側端末1と着側端末3は、それぞれ、同じ機能を有する通信端末装置であるが、ここでは説明の便宜上、発側と着側に分けて記載している。
【0018】
IP通信網6は、複数のIPサブネットにより構成されるインタネットである。発側端末1および着側端末3は、セッション制御もしくは呼制御プロトコル(以後、「セッション制御」とする)パケットを処理可能なクライアントソフトウェアを具備し、セッション制御によりセッション管理した上で、音声や映像のメディアパケットを相手側端末と送受信する。セッション制御サーバ5は、発側端末1と着側端末3の位置管理およびセッション制御パケットのプロキシ(中継)やリダイレクション(転送)を行う。
【0019】
このような構成において、発側端末1とセッション制御サーバ5間、着側端末3とセッション制御サーバ5間、セッション制御サーバ5と図示していない他のセッション制御サーバ間において各々下位レイヤでのセキュアパスが確立され、セキュアにセッション制御パケットが処理される通信環境下となる。
【0020】
このような通信環境下において、本例のシステムでは、発側端末1と着側端末3がエンドツーエンドでセキュアにメディアパケットを送受信する場合、発側端末1と着側端末3が使用するセキュリティプロトコル、発側端末1と着側端末3がサポートする暗号化メカニズム、発側端末1と着側端末3がサポートする認証メカニズム、セキュアパスの有効期間などのセキュリティ情報パラメータ群を、セッション制御パケットに含めて、セッション制御のフェーズにおいて、発側端末1と着側端末3間で交換する。
【0021】
そして、発側端末1において、着側端末3からのパラメータ情報と発側端末1自身のパラメータ情報に基づき、エンドツーエンド通信で使用する認証プロトコルおよび暗号化プロトコルを決定し、さらに、その決定したプロトコルに基づいて、認証鍵および暗号化鍵となるための乱数を生成する。そして、セキュアパスが確立されているセッション制御パケットに、生成した認証鍵および暗号化鍵を含めて、着側端末3へ通知する。
【0022】
これにより、認証鍵および暗号化鍵を、発側端末1と着側端末3の双方で共有することが可能となる。また、セキュアパスの有効期間の満了の予め定められた時間前もしくは後、例えば満了直前もしくは満了直後には、発側端末1において、再度乱数を生成して、着側端末3に通知し、鍵更新を動的に行う。
【0023】
このような処理を行うために、本例では、発側端末1と着側端末3のそれぞれに、パラメータ交換処理部1b,3b、鍵生成部1c,3cからなる本発明に係わる機能を実行するセキュア処理部1a,3aを設けている。以下、パラメータ交換処理部1b,3b、鍵生成部1c,3cに基づく、発側端末1と着側端末3間での本発明に関わる処理動作を説明する。
【0024】
上述したように、本例では、発側端末1と着側端末3間でセキュアに端末間通信を実現する場合に、セキュアパスを確立するために必要なパラメータに関する情報の交換をセッション制御時に実施する。
【0025】
このようにセッション制御時に交換するパラメータ情報の例として、「使用可能なセキュリティプロトコル」、「認証アルゴリズム」、「暗号化アルゴリズム」、「鍵の有効期間」などが挙げられる。
【0026】
これらのパラメータ情報は、まず、発側端末1がパラメータ交換処理部1bの機能により着側端末3へ通知し、次に、着側端末3がパラメータ交換処理部3bの機能により発側端末1へ通知する。その後、発側端末1は着側端末3からのパラメータ情報をふまえて最終的に使用するパラメータ情報を決定する。
【0027】
尚、このパラメータ情報交換のメカニズムは、セッション制御プロトコルが兼ね備える端末能力情報の交換と類似しているため、それほど大きな機能追加は必要とならない。
【0028】
パラメータ情報の決定後に、発側端末1と着側端末3の双方間で共有するための認証鍵および暗号化鍵を発側端末1で鍵生成部1cにおいて生成し、セッション制御の確認パケットに、これらの鍵情報を含めて、着側端末3へ通知する。
【0029】
また、鍵の有効期間の満了の予め定められた時間前(直前)もしくは後(直後)には、新しい鍵を発側端末1で鍵生成部1cにおいて再生成し、着側端末3へ通知することにより、必要最低限の処理で端末間の共有秘密鍵を生成し、かつ管理を行うことが可能となる。
【0030】
以下、図2から図4を用いて、詳細を説明する。図1のシステムにおいて、発側端末1や着側端末3は、SIP(Session Initiation Protocol)やH.323等、IP通信網6を介して音声、動画、データなどのマルチメディアセッションの確立や維持、終了を行うためのセッション制御プロトコルをサポートする。
【0031】
また、セッション制御サーバ5は、IP通信網6内で端末(発側端末1、着側端末3等)がサポートするセッション制御プロトコルを用いて位置管理、パケットの中継および転送を行う機能を具備する。
【0032】
本例では、図2に示すように、セッション制御パケットは、IP通信網6内のセッション制御サーバ5を介したホップバイホップの通信で転送され、メディアパケットは、発側端末1と着側端末3間でのエンドツーエンドの通信で転送される。
【0033】
図3を用いて、セキュアに端末間通信を実現するためのパラメータ情報の交換手順、および、動的な鍵の生成手順について説明する。ここではセッション制御プロトコルとしてSIPを用いる。
【0034】
発側端末1は、セキュア処理部1aにおけるパラメータ交換処理部1bにより、セッション制御の開始を示すINVITE要求パケットに、発側端末1が具備する「セキュリティプロトコル」、「認証アルゴリズム」、「暗号化アルゴリズム」、「鍵の有効期間」等のセキュリティアソシエーション(SA;Security Association)パラメータを含めて、(発側ルータ2を介して)SIPサーバ5へ送信する(ステップS101)。
【0035】
SIPサーバ5は、発側端末1のSAパラメータを中継することにより、(着側ルータ4を介して)着側端末3へ通知する(ステップS102)。
【0036】
着側端末3は、セキュア処理部3aにおけるパラメータ交換処理部3bにより、SIPのINVITE要求に対する200応答パケットに、着側端末3が具備する「セキュリティプロトコル」、「認証アルゴリズム」、「暗号化アルゴリズム」、「鍵の有効期間」等のSAパラメータ(パラメータ情報)を含ませて(ステップS103)、(着側ルータ4を介して)SIPサーバ5へ通知する(ステップS104)。
【0037】
SIPサーバ5は、着側端末3からのSAパラメータを中継することにより、(発側ルータ2を介して)発側端末1へ通知する(ステップS105)。
【0038】
発側端末1は、パラメータ交換処理部1bにおいて、自発側端末1のSAパラメータを読み出し(ステップS106)、受信した着側端末3のSAパラメータと比較して、双方の端末がサポートする中で最適なSAパラメータ(鍵の有効期間を含む)を選択・決定する(ステップS107)。
【0039】
尚、最適なSAパラメータ(パラメータ情報)を選択する条件として第1,第2の条件を用いる。第1の条件では、発側端末と着側端末のそれぞれがサポートしているSAパラメータを選ぶ。第2の条件では、第1の条件を満たすSAパラメータが複数ある場合は、予め設定された優先順位に従い選ぶ。
【0040】
そして、発側端末1は、鍵生成部1cにおいて、パラメータ交換処理部1bで選択・決定した認証アルゴリズムや暗号化アルゴリズムに基づいて、発側端末1自身がサポートする乱数生成機能により、自発側端末1と着側端末3で共有する「認証鍵」、「暗号化鍵」を生成し(ステップS108)、SIPの200応答に対するACK要求パケットに含めて、SIPサーバ5へ通知する(ステップ109)。
【0041】
SIPサーバ5は、発側端末1が選択したSAパラメータおよび発側端末1が生成した認証鍵と暗号化鍵を含めた情報を中継することにより、着側端末3へ通知する(ステップS110)。
【0042】
着側端末3は、発側端末1が選択したメディアパケットを交換するためのSAパラメータおよび発側端末1が生成した認証鍵と暗号化鍵を取得し(ステップS111)、以降、認証・暗号処理に基づく安全な音声通信(Secured Voice)を行う(ステップS112)。
【0043】
このような安全な音声通信(Secured Voice)中における鍵の交換手順、すなわち、ステップS107において選択・決定した鍵の有効期間が完了する前もしくは完了した後に、新たな鍵を生成して発側端末1と着側端末3で共有する動作について、図4を用いて説明する。
【0044】
鍵の有効期間は発側端末1において管理しており、認証・暗号処理に基づく安全な音声通信(Secured Voice)中(ステップS201)に、有効期間の期限が近づくもしくは期限が過ぎると、発側端末1は、鍵生成部1cにおいて、新たに乱数を生成することにより、更新後の鍵を生成し(ステップS202)、UPDATE要求を通じて、(発側ルータ2を介して)SIPサーバ5へ通知する(ステップS203)。
【0045】
SIPサーバ5は、更新後の鍵を含むUPDATE要求を着側端末3へ(着側ルータ4を介して)通知する(ステップS204)。
【0046】
着側端末3は、更新後の鍵を受信した後に(ステップS205)、200応答をSIPサーバ5へ通知し(ステップS206)、SIPサーバ5は、200応答を発側端末1へ通知する(ステップS207)。
【0047】
発側端末1では、鍵生成部1cにおいて、共有秘密鍵を更新して(ステップS208)、以降、更新した鍵による認証・暗号処理に基づく安全な音声通信(Secured Voice)を行う(ステップS209)。このようにして、鍵の更新が動的に完了する。
【0048】
以上、図1〜図4を用いて説明したように、本例の通信制御システムでは、IP通信網6において、セッション制御パケットがホップバイホップでセキュアに通信することが可能な環境下で、端末(発側端末1、着側端末3)間でセキュアにエンドツーエンド通信するためのパラメータ交換、鍵生成をセッション制御時に実施する。
【0049】
このことにより、接続遅延を回避できると共に、端末(発側端末1、着側端末3)の処理負荷を軽減できる。さらに、本例では、このような作用を得るための機能追加を最小限に抑えることが可能である。
【0050】
尚、本発明は、図1〜図4を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、音声情報のパケット転送に関して説明したが、転送対象データとしては映像等であっても良い。
【0051】
また、本例では、IP通信網6として複数のIPサブネットにより構成されるインタネットを例に説明したが、イントラネット等の他のIP通信網においても適用可能である。
【0052】
また、本例での発側端末1、発側ルータ2、着側端末3、着側ルータ4、セッション制御サーバ5等のコンピュータ構成に関しても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0053】
【発明の効果】
本発明によれば、IP通信網において、セッション制御パケットがホップバイホップでセキュアに通信することが可能な環境下で、端末間でセキュアに通信するためのパラメータ交換、鍵生成をセッション制御時に実施することができるので、従来技術における接続遅延を回避でき、かつ、端末の処理負荷を軽減でき、さらに、機能追加を最小限に抑えることが可能であり、IP通信網におけるセキュアな端末間通信の通信性能を容易に向上させることができる。
【図面の簡単な説明】
【図1】本発明に係わる通信制御システムの構成例を示すブロック図である。
【図2】図1における通信制御システムでの信号の流れを示す説明図である。
【図3】図1における通信制御システムの第1の処理動作例を示すシーケンス図である。
【図4】図1における通信制御システムの第2の処理動作例を示すシーケンス図である。
【図5】従来のIKEにおける鍵管理プロトコルに関する処理手順を示すシーケンス図である。
【符号の説明】
1:発側端末、1a:セキュア処理部、1b:パラメータ情報交換部、1c:鍵生成部、2:発側ルータ、3:着側端末、3a:セキュア処理部、3b:パラメータ情報交換部、3c:鍵生成部、4:着側ルータ、5:セッション制御サーバ、6:IP通信網、51:発側端末、52:着側端末、55:SIPサーバ。
Claims (13)
- IP通信網を介してセッション制御され接続された通信端末装置間での、鍵情報に基づくセキュアなエンドツーエンド通信を制御するシステムであって、
上記通信端末装置のそれぞれに、
セッション制御パケットにより相手側通信端末装置と、該相手側通信端末装置とのエンドツーエンドでのセキュアパスの確立に用いる鍵情報の生成に用いるパラメータ情報の交換を行う手段と、
交換したパラメータ情報を用いて上記鍵情報を生成する手段と、
生成した鍵情報と該鍵情報の生成に用いたパラメータ情報とをセッション制御パケットで相手側通信端末装置に通知する手段とを設け、
上記セッション制御時に、上記鍵情報の生成に用いるパラメータ情報の交換を行うことを特徴とする通信制御システム。 - 請求項1に記載の通信制御システムであって、
上記IP通信網はインタネットからなり、
該インタネット上のセッション制御サーバを介してホップバイホップの通信で上記セッション制御パケットを用いた上記パラメータ情報の上記通信端末装置間での交換を行い、
該パラメータ情報に基づき生成された鍵情報で確立されたセキュアパス上で、上記通信端末装置間のエンドツーエンドでのメディアパケットの送受信を行うことを特徴とする通信制御システム。 - IP通信網を介してセッション制御され接続された通信端末装置間での、鍵情報に基づくセキュアなエンドツーエンド通信を制御するシステムの通信制御方法であって、
上記通信端末装置のそれぞれにおいて、
セッション制御パケットにより相手側通信端末装置と、該相手側通信端末装置とのエンドツーエンドでのセキュアパスの確立に用いる鍵情報の生成に用いるパラメータ情報の交換を行う第1の手順と、
交換したパラメータ情報を用いて上記鍵情報を生成する第2の手順と、
生成した鍵情報と該鍵情報の生成に用いたパラメータ情報とをセッション制御パケットで相手側通信端末装置に通知する第3の手順とを実行し、
上記セッション制御時に、上記鍵情報の生成に用いるパラメータ情報の交換を行うことを特徴とする通信制御方法。 - 請求項3に記載の通信制御方法であって、
上記IP通信網はインタネットからなり、
上記第1の手順では、上記インタネット上のセッション制御サーバを介してホップバイホップの通信で上記セッションパケットを用いた上記パラメータ情報の上記通信端末装置間での交換を行い、
該パラメータ情報に基づき生成された鍵情報で確立されたセキュアパス上で、上記通信端末装置間のエンドツーエンドでのメディアパケットの送受信を行うことを特徴とする通信制御方法。 - 請求項3、もしくは、請求項4のいずれかに記載の通信制御方法であって、
上記パラメータ情報は、上記通信端末装置のそれぞれが具備するセキュリティプロトコル、暗号化プロトコル、認証プロトコル、セキュアパスの有効期間を含むことを特徴とする通信制御方法。 - 請求項5に記載の通信制御方法であって、
発信側の上記通信端末装置において、交換した上記パラメータ情報に基づき、
着信側の上記通信端末装置とのエンドツーエンド通信で使用する認証プロトコルを決定する手順と、
決定した認証プロトコルに基づき認証鍵および暗号鍵を生成する手順と
を有することを特徴とする通信制御方法。 - 請求項5もしくは請求項6のいずれかに記載の通信制御方法であって、
上記発信側の通信端末装置において、上記有効期間の満了の予め定められた時間前もしくは後のいずれかに新たな乱数を発生させて上記認証鍵および上記暗号鍵を生成して着信側の通信端末装置に通知する手順を有することを特徴とする通信制御方法。 - コンピュータに、請求項3から請求項7のいずれかに記載の通信制御方法における各手順を実行させるためのプログラム。
- IP通信網を介してセッション制御され接続された相手側通信端末装置との間で、鍵情報に基づくセキュアなエンドツーエンド通信を行う通信端末装置であって、
セッション制御パケットにより相手側通信端末装置と、該相手側通信端末装置とのエンドツーエンドでのセキュアパスの確立に用いる鍵情報の生成に用いるパラメータ情報の交換を行う手段と、
交換したパラメータ情報を用いて上記鍵情報を生成する手段と、
生成した鍵情報と該鍵情報の生成に用いたパラメータ情報とをセッション制御パケットで相手側通信端末装置に通知する手段とを有し、
上記セッション制御時に、上記鍵情報の生成に用いるパラメータ情報の交換を行うことを特徴とする通信端末装置。 - 請求項9に記載の通信端末装置であって、
上記IP通信網はインタネットからなり、
該インタネット上のセッション制御サーバを介してホップバイホップの通信で上記セッション制御パケットを用いた上記パラメータ情報の上記相手側通信端末装置との交換を行い、
該パラメータ情報に基づき生成された鍵情報で確立されたセキュアパス上で、上記相手側通信端末装置と、エンドツーエンドでのメディアパケットの送受信を行うことを特徴とする通信端末装置。 - 請求項9もしくは請求項10のいずれかに記載の通信端末装置であって、
上記パラメータ情報は、自通信端末装置が具備するセキュリティプロトコル、暗号化プロトコル、認証プロトコル、セキュアパスの有効期間を含むことを特徴とする通信端末装置。 - 請求項11に記載の通信端末装置であって、
発信側として、交換した上記パラメータ情報に基づき、着信側の上記通信端末装置とのエンドツーエンド通信で使用する認証プロトコルを決定する手段と、
決定した認証プロトコルに基づき認証鍵および暗号鍵を生成する手段と
を有することを特徴とする通信端末装置。 - 請求項11もしくは請求項12のいずれかに記載の通信端末装置であって、
発信側として、上記有効期間の満了の予め定められた時間前もしくは後のいずれかに、新たな乱数を発生させて上記認証鍵および上記暗号鍵を生成して着信側の通信端末装置に通知する手段を有することを特徴とする通信端末装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003038070A JP2004248169A (ja) | 2003-02-17 | 2003-02-17 | 通信制御システムと通信制御方法およびプログラムと通信端末装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003038070A JP2004248169A (ja) | 2003-02-17 | 2003-02-17 | 通信制御システムと通信制御方法およびプログラムと通信端末装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004248169A true JP2004248169A (ja) | 2004-09-02 |
Family
ID=33022689
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003038070A Pending JP2004248169A (ja) | 2003-02-17 | 2003-02-17 | 通信制御システムと通信制御方法およびプログラムと通信端末装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004248169A (ja) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006086897A (ja) * | 2004-09-16 | 2006-03-30 | Matsushita Electric Ind Co Ltd | Ip電話システム及びip電話管理方法 |
JP2006186773A (ja) * | 2004-12-28 | 2006-07-13 | Kddi Corp | プロトコル生成装置および方法ならびにプログラム |
JP2006276093A (ja) * | 2005-03-28 | 2006-10-12 | Hitachi Ltd | Sipメッセージの暗号化方法,および暗号化sip通信システム |
JP2006313975A (ja) * | 2005-05-06 | 2006-11-16 | Sumitomo Electric Ind Ltd | Ip電話装置 |
JP2007006306A (ja) * | 2005-06-27 | 2007-01-11 | Hitachi Ltd | セッション中継装置、端末装置およびセッション確立方法 |
JP2008124847A (ja) * | 2006-11-14 | 2008-05-29 | Mitsubishi Electric Corp | 暗号通信システム及び通信端末装置及び暗号通信プログラム及び暗号通信方法 |
JPWO2006087819A1 (ja) * | 2005-02-21 | 2008-07-03 | 富士通株式会社 | 通信装置 |
JP2008236275A (ja) * | 2007-03-20 | 2008-10-02 | Nec Corp | 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法 |
JP2011066468A (ja) * | 2009-09-15 | 2011-03-31 | Brother Industries Ltd | 通信端末装置、通信端末装置の通信制御方法及び通信制御プログラム |
JP2013507034A (ja) * | 2009-10-01 | 2013-02-28 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 保護されたデータの通信ネットワークにおける送信 |
US9191406B2 (en) | 2007-03-19 | 2015-11-17 | Kabushiki Kaisha Toshiba | Message relaying apparatus, communication establishing method, and computer program product |
WO2016175105A1 (ja) * | 2015-04-30 | 2016-11-03 | 日本電信電話株式会社 | データ送受信方法及びシステム |
-
2003
- 2003-02-17 JP JP2003038070A patent/JP2004248169A/ja active Pending
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006086897A (ja) * | 2004-09-16 | 2006-03-30 | Matsushita Electric Ind Co Ltd | Ip電話システム及びip電話管理方法 |
JP4495556B2 (ja) * | 2004-09-16 | 2010-07-07 | パナソニック株式会社 | Ip電話システム及びip電話管理方法、ip電話装置、管理装置 |
JP2006186773A (ja) * | 2004-12-28 | 2006-07-13 | Kddi Corp | プロトコル生成装置および方法ならびにプログラム |
JPWO2006087819A1 (ja) * | 2005-02-21 | 2008-07-03 | 富士通株式会社 | 通信装置 |
JP2006276093A (ja) * | 2005-03-28 | 2006-10-12 | Hitachi Ltd | Sipメッセージの暗号化方法,および暗号化sip通信システム |
JP2006313975A (ja) * | 2005-05-06 | 2006-11-16 | Sumitomo Electric Ind Ltd | Ip電話装置 |
JP2007006306A (ja) * | 2005-06-27 | 2007-01-11 | Hitachi Ltd | セッション中継装置、端末装置およびセッション確立方法 |
JP2008124847A (ja) * | 2006-11-14 | 2008-05-29 | Mitsubishi Electric Corp | 暗号通信システム及び通信端末装置及び暗号通信プログラム及び暗号通信方法 |
US9191406B2 (en) | 2007-03-19 | 2015-11-17 | Kabushiki Kaisha Toshiba | Message relaying apparatus, communication establishing method, and computer program product |
JP2008236275A (ja) * | 2007-03-20 | 2008-10-02 | Nec Corp | 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法 |
JP2011066468A (ja) * | 2009-09-15 | 2011-03-31 | Brother Industries Ltd | 通信端末装置、通信端末装置の通信制御方法及び通信制御プログラム |
JP2013507034A (ja) * | 2009-10-01 | 2013-02-28 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 保護されたデータの通信ネットワークにおける送信 |
WO2016175105A1 (ja) * | 2015-04-30 | 2016-11-03 | 日本電信電話株式会社 | データ送受信方法及びシステム |
JPWO2016175105A1 (ja) * | 2015-04-30 | 2018-02-15 | 日本電信電話株式会社 | データ送受信方法及びシステム |
US10673629B2 (en) | 2015-04-30 | 2020-06-02 | Nippon Telegraph And Telephone Corporation | Data transmission and reception method and system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5870156B2 (ja) | Imsシステムにおけるエンド・ツー・エッジのメディア保護のための方法および装置 | |
CA2703719C (en) | Method and system for secure session establishment using identity-based encryption (vdtls) | |
US8990569B2 (en) | Secure communication session setup | |
KR101013427B1 (ko) | 보이스-오버-ip시스템들에 대한 미디어 스트림 암호화키들의 종단 간 보호 | |
JP3943034B2 (ja) | コール処理システムにおけるセキュア・インターネット・プロトコル通信のための方法および装置 | |
US8898455B2 (en) | System and method for authentication of a communication device | |
US7813509B2 (en) | Key distribution method | |
EP1374533B1 (en) | Facilitating legal interception of ip connections | |
JP2004201288A (ja) | ネットワーク通信のためのレイヤ間の高速認証または再認証 | |
JP2008312148A (ja) | 通信装置、通信システム及び通信方法 | |
JP2016526844A (ja) | 制約リソースデバイスのための鍵確立 | |
JP2004248169A (ja) | 通信制御システムと通信制御方法およびプログラムと通信端末装置 | |
JP2005236490A (ja) | 移動通信ネットワークシステムの移動通信端末およびネットワーク接続装置、ならびに、その共有秘密鍵の更新方法および共有秘密鍵の更新プログラム | |
CN108900584B (zh) | 内容分发网络的数据传输方法和系统 | |
JP4000419B2 (ja) | 経路最適化システムと方法およびプログラム | |
JP2005064686A (ja) | ユーザ端末切り替え方法およびユーザ認証方法 | |
Bilien | Key Agreement for secure Voice over IP | |
JP2009260847A (ja) | Vpn接続方法、及び通信装置 | |
US20070133808A1 (en) | Method for allocating session key across gatekeeper zones in a direct-routing mode | |
La Tour et al. | A secure authentication infrastructure for mobile communication services over the Internet | |
Xenakis et al. | Alternative Schemes for Dynamic Secure VPN Deployment in UMTS | |
JP4675982B2 (ja) | セッション制御サーバ、通信装置、通信システムおよび通信方法、ならびにそのプログラムと記録媒体 | |
Medvinsky | Scalable architecture for VoIP privacy | |
JP2005333256A (ja) | 転送系制御システムおよび方法ならびに転送系制御用プログラム | |
Kong | Adaptive and Resilient Security for Multi-hop Multi-media Mobile Wireless Middleware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061117 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070116 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070202 |