JP2004274666A - 暗号装置及びコンソール端末及び管理装置及びプログラム - Google Patents
暗号装置及びコンソール端末及び管理装置及びプログラム Download PDFInfo
- Publication number
- JP2004274666A JP2004274666A JP2003066226A JP2003066226A JP2004274666A JP 2004274666 A JP2004274666 A JP 2004274666A JP 2003066226 A JP2003066226 A JP 2003066226A JP 2003066226 A JP2003066226 A JP 2003066226A JP 2004274666 A JP2004274666 A JP 2004274666A
- Authority
- JP
- Japan
- Prior art keywords
- priority
- header
- plaintext
- network
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】広域ネットワーク導入に伴いセキュリティ確保するための負担を軽減するリピータ型暗号装置に係り、QoS制御を正常に機能させ、リアルタイム性の高いデータの伝送品質を向上させることを課題とする。
【解決手段】リピータ型暗号装置は、ローカルネットワークからの平文データを暗号化し、オリジナルIPヘッダ303中のIPアドレスに対応する暗号装置を決定し、そのIPアドレスを設定したエンカプセルIPヘッダ315を設定する。その際、オリジナルIPヘッダ303あるいはTCP/UDPヘッダ302に含まれる情報についての優先度条件に基づいて、優先度を決定し、エンカプセルIPヘッダ315のTOSフィールドに設定する。更に、新規のMACヘッダ316を設定する。
【選択図】 図3
【解決手段】リピータ型暗号装置は、ローカルネットワークからの平文データを暗号化し、オリジナルIPヘッダ303中のIPアドレスに対応する暗号装置を決定し、そのIPアドレスを設定したエンカプセルIPヘッダ315を設定する。その際、オリジナルIPヘッダ303あるいはTCP/UDPヘッダ302に含まれる情報についての優先度条件に基づいて、優先度を決定し、エンカプセルIPヘッダ315のTOSフィールドに設定する。更に、新規のMACヘッダ316を設定する。
【選択図】 図3
Description
【0001】
【発明の属する技術分野】
本発明は、広域ネットワーク導入に伴いセキュリティ確保するための負担を軽減するリピータ型暗号装置に係り、QoS制御を正常に機能させ、リアルタイム性の高いデータの伝送品質を向上させる技術に関する。
【0002】
【従来の技術】
TCP/IPをベースとするインターネットやイントラネットにおいて優先度の高い通信を確実に行うために、QoS(Quality of Service)制御による最適化が図られている。QoS制御について、図を用いて簡単に説明する。図11は、QoSを適用する一般的なネットワーク構成例を示す図である。R1〜R7は、ルータ、S1〜S3は、端末である。特に、R4〜R6は、広域ネットワーク内のローカルネットワークへの接続拠点に設置されたルータであり、PE(Provider Edge Router)と呼ばれる。一方、R1〜R3は、ローカルネットワーク側から広域ネットワークへ接続する拠点に設置されたルータであり、CE(Customer Edge Router)と呼ばれる。
【0003】
このような環境で、伝送速度を超えたトラフィックが生じると、輻輳によるパケットロスや遅延の障害が発生する。例えば、S1からS3へのデータ転送とS2からS3へのデータ転送が同時に発生した場合には、広域ネットワークからの出口となるPE(この例では、R6)において輻輳が生じやすい。これは、広域ネットワーク内の伝送速度(例えば、R7からR6への伝送速度)に比べて、広域ネットワークとローカルネットワークの間の伝送速度(例えば、R6からR3への伝送速度)が遅いことに起因している。
【0004】
特定のアプリケーションを用いる場合には、この障害は重大な品質問題となる。例えば、VoIP(Voice over IP)による音声通話等によりリアルタイムパケットを転送する場合には、輻輳によるパケットロスや遅延の障害は、音声劣化や通話の中断などの事態を引き起こすことになる。
【0005】
係る事態を回避するために、QoS制御が用いられる。具体的には、優先度の高い特定のパケットに対して帯域を確保する帯域制御や、同じく優先度の高い特定のパケットを優先的に処理する優先制御などが行われている。
【0006】
そのために、QoS制御で優先度の高いパケットを識別するために、IPヘッダ中に優先度を設定するようにしている。図12は、フレームフォーマットの詳細を示す図である。これは、Ethernet(登録商標)上のIPフレームフォーマットを示している。IPヘッダ中のTOS(Type of Service)フィールド内に定義されているPrecedence bitを用いて、優先度を特定している。図13は、TOSのフォーマットの詳細を示す図である。具体的には、3ビットによる0〜7の値により、0が最も低く、7が最も高く、段階的に優先度を示すことになっている。
この例では、第4層プロトコルヘッダとしてUDPヘッダを示しているが、当該部分がTCPヘッダあるいはその他の第4層プロトコルヘッダとなることもある。
【0007】
このように、IPヘッダ中に優先度を設定して、広域ネットワークにパケットを送出することにより、出口側のPEでQoS制御され、安定した品質を確保することができるようになっている。通常TOSフィールドへの優先度の設定は、送出側のCE(この例では、R1)あるいは受口側のPE(この例では、R4)が行うようにシステム構成されている。具体的には、IPアドレスやポート番号に基づいて、優先度を判定している。
尚、係る障害が品質上大きな影響を与えないアプリケーション(電子メールやFTPなど、以下データ系という。)で利用するパケットは、優先度を高く設定することなく運用される。
【0008】
一方、広域ネットワークとしてインターネットやIP−VPN(Internet Protocol−Virtual Private Network)網を用いる場合のセキュリティ対策として、平文ネットワーク(ローカルネットワーク)と暗号文ネットワーク(広域ネットワーク)との間でデータの中継に対して、平文データを暗号化すると共に暗号データを復号する暗号装置が用いられる。従来この基本アーキテクチャとして、ルータ型の暗号装置または端末型の暗号装置が想定されていたが、新たに、リピータ型の暗号装置が導入されるようになっている。これにより、既存ネットワークに接続された機器へのIP−VPN導入時の再設定の不便を解消し、IP−VPNの導入作業を容易にし、更に導入コストを軽減することができる。
【0009】
図14は、従来のリピータ型暗号装置を用いるネットワーク構成例を示す図である。図中、RE1〜RE3がリピータ型暗号装置に相当する。このリピータ型暗号装置については、特許3259724号の「暗号装置、暗号化器および復号器」にその内容が開示されている。図15は、従来のリピータ型暗号装置の構成を示す図である。
平文ネットワークからの平文データを暗号化して暗号文ネットワークに送出する場合には、暗号化/エンカプセル処理ブロック26により、平文ネットワークから受信した平文データを暗号化し、更に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、平文データのIPヘッダ(Internet Protocol ヘッダ)に設定されたアドレスに対応する暗号装置を決定し、決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う。そして、暗号化/暗号側MACアドレス解決ブロック28により、暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(Media Access Control ヘッダ)を設定して生成した暗号データを平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する。
逆に、暗号文ネットワークからの暗号データを復号して平文ネットワークに送出する場合には、復号/デカプセル処理ブロック27により、暗号文ネットワークから受信した暗号データを平文データに復号し、更に、平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するデカプセル処理を行う。そして、平文側MACアドレス解決ブロック29により、復号/デカプセル処理ブロック27で設定されたIPヘッダに基づいてMACヘッダを設定して生成した平文データを暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信する。
【0010】
これにより、以下に示すフレームフォーマットのデータが転送される。図16は、従来のリピータ型暗号装置を用いる場合のフレームフォーマットの概要を示す図である。
図に示すように、平文データ(1601〜1604)に含まれていたTCP/UDPデータ1601、TCP/UDPヘッダ1602、及びIPヘッダ1603の内容は、暗号化され(1611〜1613)、中継過程で盗み見できないようになっている。そして、本来のIPヘッダ1603やMACヘッダ1604とは異なるエンカプセルIPヘッダ1615、MACヘッダ1616が新たに設定されている。尚、エンカプセルヘッダ1614には、セキュリティパラメータインデックスやパケットのシーケンス番号等の復号/デカプセル処理に必要なパラメータが格納されている。
【0011】
従来のリピータ型暗号装置は、このように、転送するデータを暗号化し、エンカプセル処理することにより、セキュリティを確保する一方、前述のQoS制御による輻輳の対策を効じることができないという問題を有している。
前述のように、IPヘッダのTOSフィールドに優先度を設定することが前提となってQoS制御が行われているが、従来のリピータ型暗号装置は、既にTOS中で優先度を高く設定したパケットを入力した場合にも、優先度が設定されているIPヘッダ部分1603を暗号化により秘匿してしまうため(1613)、出口側のPE(例えば、R6)で正常に優先度の判定することができない。また、未だTOS中の優先度を高く設定していないパケットを入力した場合にも、本来のIPヘッダ1603とTCP/UDPヘッダ1602を秘匿してしまうため(1612,1613)、優先度を設定するルータ(例えば、R1やR4)で、条件判定に用いるIPアドレスやポート番号等を参照することができない。
【0012】
【特許文献1】
特許第3259724号公報
【特許文献2】
特開2000−092119号公報
【0013】
【発明が解決しようとする課題】
本発明は、上記した従来技術の欠点を除くためになされたものであって、その目的とするところは、セキュリティ確保における導入負担を軽減するリピータ型暗号装置に係り、QoS制御を正常に機能させ、リアルタイム性の要求が高いデータの伝送品質を向上させることを課題とする。これにより、例えば、IP−VPN網を利用したVoIPによる音声通話の通信が、容易かつ安全に、そして安定して利用できることになる。
【0014】
【課題を解決するための手段】
本発明に係る暗号装置は、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置であって、以下の要素を有することを特徴とする
(1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する暗号化/エンカプセル処理ブロック
(2)当該暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する暗号側MACアドレス解決ブロック。
【0015】
暗号装置は、更に、上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルを有し、
上記暗号化/エンカプセル処理ブロックは、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つが、優先条件テーブルの検索度条件に適合するか判定し、適合する場合に、当該優先度条件に対応する優先度を用いることを特徴とする。
【0016】
更に、以下の要素を有することを特徴とする
(3)上記暗号文ネットワークから受信した暗号データを平文データに復号すると共に、当該平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するデカプセル処理を行い、更に、前記受信した暗号データのIPヘッダに設定された優先度を、前記再設定したIPヘッダに設定する復号/デカプセル処理ブロック
(4)当該復号/デカプセル処理ブロックで設定されたIPヘッダに基づいてMACヘッダを設定して生成した平文データを上記暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信する平文側MACアドレス解決ブロック。
【0017】
暗号化/エンカプセル処理ブロックは、上記優先度条件に基づいて決定した優先度を、前記決定した他の暗号装置への中継過程のQoS(クオリティオブサービス)制御装置における優先度の扱いに応じたQoS装置対応優先度に変換し、上記決定した優先度に代えて、上記変換したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定することを特徴とする。
【0018】
暗号装置は、更に、暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルを有し、
上記暗号化/エンカプセル処理ブロックは、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を、前記変換したQoS制御装置対応優先度として用いることを特徴とする。
【0019】
本発明に係るコンソール端末は、
平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する暗号装置に接続されたコンソール端末であって、
上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルの入力を操作者に促し、入力された優先条件テーブルを暗号装置に送信し、更に、暗号装置から優先条件テーブルを受信した場合に、受信した優先条件テーブルの内容を表示することを特徴とする。
【0020】
本発明に係るコンソール端末は、
平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS(クオリティオブサービス)制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定する暗号装置に接続されたコンソール端末であって、
暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルの入力を操作者に促し、入力された優先度変換テーブルを暗号装置に送信し、更に、暗号装置から優先度変換テーブルを受信した場合に、受信した優先度変換テーブルの内容を表示することを特徴とする。
【0021】
本発明に係る管理装置は、
平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、決定し優先度を新規に設定されたIPヘッダに設定する暗号装置にリモート接続可能な管理装置であって、
上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルの入力を操作者に促し、入力された優先条件テーブルを暗号装置に送信し、更に、暗号装置から優先条件テーブルを受信した場合に、受信した優先条件テーブルの内容を表示することを特徴とする。
【0022】
本発明に係る管理装置は、
平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS(クオリティオブサービス)制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定する暗号装置にリモート接続可能な管理装置であって、
暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルの入力を操作者に促し、入力された優先度変換テーブルを暗号装置に送信し、更に、暗号装置から優先度変換テーブルを受信した場合に、受信した優先度変換テーブルの内容を表示することを特徴とする。
【0023】
本発明に係るプログラムは、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置となるコンピュータに、以下の手順を実行させるためのプログラムであることを特徴とする
(1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する手順
(2)上記手順で設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する手順。
【0024】
【発明の実施の形態】
実施の形態1.
以下本発明を図面に示す実施例に基づいて説明する。図1は、本発明に係るネットワークセキュリティシステムのネットワーク構成を示す図である。
R1〜R7は、ルータ、RE1〜RE3は、(リピータ型)暗号装置、S1〜S3は、端末、C1〜C3は、コンソール端末、M1は、管理端末である。特に、R4〜R6は、広域ネットワーク内のローカルネットワークへの接続拠点に設置されたルータであり、PE(Provider Edge Router)と呼ばれる。一方、R1〜R3は、ローカルネットワーク側から広域ネットワークへ接続する拠点に設置されたルータであり、CE(Customer EdgeRouter)と呼ばれる。
ローカルネットワークは、平文データを転送する平文ネットワークであり、広域ネットワークは、暗号データを転送する暗号文ネットワークである。
【0025】
図2は、実施の形態1における暗号装置の構成例を示す図である。1は、端末機能ブロック、2は、リピータ機能ブロック、20は、平文ポート、21は、暗号文ポート、22は、自局ポート、23は、暗号出力フィルタ、24は、自局出力フィルタ、25は、平文出力フィルタ、26は、暗号化/エンカプセル処理ブロック、27は、復号/デカプセル処理ブロック、28は、暗号側MACアドレス解決ブロック、29は、平文側MACアドレス解決ブロック、33は、優先条件テーブルである。
【0026】
端末機能ブロック1は、リピータ型暗号装置自身に送信された自局宛情報、具体的には、パケットとして送信された自局宛パケット(例えば、リピータ型暗号装置を管理するための管理パケット等)を処理する機能ブロックである。ネットワークに接続されたIP(Internet Protocol)接続機能を有する一般の端末と同等の機能を有する。
【0027】
リピータ機能ブロック2は、通常のリピータと同様に、ネットワークに接続されている各機器のネットワークパラメータを変更せずに、データを暗号化および復号する機能(以下、リピータ機能)を有する。
【0028】
平文ポート20は、平文ネットワーク側に設けられた内部の論理的なポートである。平文ネットワークから暗号文ネットワークへデータを送出する場合には、平文ネットワークから受信した平文データ(具体的には、パケットとして送信された平文パケット)を、暗号文ポート21と自局ポート22に転送するように構成されている。
また、暗号文ネットワークから平文ネットワークへデータを受入れる場合や端末機能ブロック1から平文ネットワークへデータを送出する場合には、暗号文ポート21又は自局ポート22から転送されたデータ(具体的にはパケット)を平文出力フィルタ25に出力するように構成されている。
【0029】
暗号文ポート21は、暗号文ネットワーク側に設けられた内部の論理的なポートである。暗号文ネットワークから平文ネットワークへデータを受入れる場合には、暗号文ネットワークから受信した暗号データ(具体的にはパケットとして送信された暗号パケット)を、平文ポート20及び自局ポート22に転送するように構成されている。
また、平文ネットワークから暗号文ネットワークへデータを送出する場合や端末機能ブロック1から暗号文ネットワークへデータを送出する場合には、平文ポート20または自局ポート22から転送されたデータ(具体的にはパケット)を、暗号出力フィルタ23に出力するように構成されている。
【0030】
自局ポート22は、端末機能ブロック1側に設けられた内部の論理的なポートである。自局からデータを送出する場合には、端末機能ブロック1から出力された自局出力情報(具体的にはパケット)を、平文ポート20及び暗号文ポート21に転送するように構成されている。また、自局でデータを受入れる場合には、平文ポート20又は暗号文ポート21から転送されたパケットを、自局出力フィルタ24に出力するように構成されている。
【0031】
暗号出力フィルタ23は、平文ネットワークから暗号文ネットワークへデータを送出する場合に、暗号文ポート21へ転送されたパケットに対してフィルタ処理するように構成されている。廃棄パケット(転送する必要のないパケット)、透過中継パケット(何も処理せずに暗号文ネットワークに透過的に中継するパケット)、あるいは暗号パケット(暗号化およびエンカプセル処理を必要とするパケット)のいずれかであるかを識別し、廃棄パケットである場合は、当該パケットを廃棄し、透過中継パケットである場合は、当該パケットをそのまま暗号文ネットワークに送信し、暗号パケットの場合は、当該パケットを暗号化/エンカプセル処理ブロック26に出力するように構成されている。
暗号出力フィルタ23は、また、端末機能ブロック1からの自局出力情報を入力した場合には、当該自局出力情報が、暗号文ネットワークへの暗号情報、廃棄情報、あるいは暗号文ネットワークへの透過中継情報のいずれかであるかを識別し、上記暗号情報の場合には、自局出力情報を暗号化/エンカプセル処理ブロック26に出力し、上記廃棄情報の場合には、自局出力情報を廃棄し、上記透過中継情報の場合には、そのまま自局出力情報を暗号文ネットワークに送信するように構成されている。
【0032】
自局出力フィルタ24は、自局ポート22へ転送されたパケットに対してフィルタ処理するように構成されている。転送されたパケットが、自局宛パケット(端末機能ブロック1へ通知する必要があるパケット)、あるいは廃棄パケット(端末機能ブロックへ通知する必要がないパケット)かを識別し、自局宛パケットの場合は当該パケットを端末機能ブロック1へ送信し、廃棄パケットの場合は、廃棄するように構成されている。
【0033】
平文出力フィルタ25は、平文ポート20へ転送されたパケットに対してフィルタ処理するように構成されている。廃棄パケット(平文ポート20から送信する必要のないパケット)、透過中継パケット(何も処理せずに平文ネットワークに透過的に中継するパケット)、平文パケット(復号化およびデカプセル処理を必要とするパケット)のいずれかであるかを識別し、廃棄パケットである場合は、当該パケットを廃棄し、透過中継パケットである場合は、平文ネットワークにそのまま送信し、平文パケットである場合は、平文側MACアドレス解決ブロック29に出力するように構成されている。
平文出力フィルタ25は、また、端末機能ブロック1から自局出力情報を入力した場合に、当該自局出力情報が、平文ネットワークへの透過中継情報、あるいは廃棄情報であるかを識別し、平文ネットワークへの透過中継情報である場合に、そのまま自局出力情報を平文ネットワークに送信し、廃棄情報である場合に、自局出力情報を廃棄するように構成されている。
【0034】
暗号化/エンカプセル処理ブロック26は、平文ネットワークから受信した平文データ(具体的には平文パケット)を暗号化し、更に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、平文データの(オリジナル)IPヘッダ(InternetProtocolヘッダ)に設定されたアドレスに対応する暗号装置を決定し、決定した他の暗号装置に基づいて新規にエンカプセルIPヘッダを設定するエンカプセル処理を行うように構成されている。
本発明では、更に、平文データである受信フレームが優先条件テーブルの優先度条件に適合するか判断し、適合する場合に優先条件テーブル上で当該優先度条件に対応付けられている優先度を、エンカプセルIPヘッダ中のTOSフィールドに設定する暗号化/エンカプセル処理側優先度設定処理を行うように構成されている。
【0035】
復号/デカプセル処理ブロック27は、暗号文ネットワークから受信した暗号データ(具体的には暗号パケット)を平文データに復号し、更に、平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するように構成されている。更に、暗号パケットに対して復号およびデカプセル処理が必要か否かを判断し、必要であれば復号およびデカプセル処理を行い、必要でなければそのままに転送するように構成され、また、復号およびデカプセル処理時にエラーが発生した場合、または復号およびデカプセル処理が不必要で、かつ透過中継する必要のない場合には、そのパケットを廃棄するように構成されている。
本発明では、更に、暗号データである受信フレームのエンカプセルIPヘッダのTOSフィールドの優先度を、復号/デカプセル処理後のフレームの(オリジナル)IPヘッダのTOSフィールドへ設定する復号/デカプセル処理側優先度設定処理を行うように構成されている。
【0036】
暗号側MACアドレス解決ブロック28は、暗号化/エンカプセル処理ブロック26で設定されたIPヘッダに基づいて、MACヘッダ(Media Access Controlヘッダ)を設定して生成した暗号データを平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信するように構成されている。
【0037】
平文側MACアドレス解決ブロック29は、復号/デカプセル処理ブロック27で再設定されたIPヘッダに基づいて、MACヘッダを設定して生成した平文データを暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信するように構成されている。
【0038】
尚、上記暗号化/エンカプセル処理ブロック26と、上記暗号側MACアドレス解決ブロック28とにより、暗号化/エンカプセル処理部を構成し、復号/デカプセル処理ブロック27と、上記平文側MACアドレス解決ブロック29とにより、復号/デカプセル処理部を構成する。
【0039】
ここで、転送されるデータ(具体的にはパケット)のフレームフォーマットについて説明する。図3は、フレームフォーマットの概要を示す図である。
上段は、平文ネットワークから受信する平文データ(暗号化/エンカプセル処理前のデータ)、あるいは平文ネットワークへ送信する平文データ(復号/デプカセル処理後のデータ)のフレームフォーマットを示している。図に示すように、このデータは、先頭から順にMACヘッダ304、IPヘッダ303、TCPあるいはUDPのヘッダを意味するTCP/UDPヘッダ302、TCPあるいはUDPのデータを意味するTCP/UDPデータ301により構成されている。尚、301〜303は、MACデータを構成し、301と302は、IPデータを構成している。
一方、下段は、暗号文ネットワークへ出力する暗号文データ(暗号化/エンカプセル処理後のデータ)、あるいは暗号文ネットワークから入力する暗号文データ(復号/デプカセル処理前のデータ)のフレームフォーマットを示している。図に示すように、このデータは、先頭から順にMACヘッダ316、エンカプセルIPヘッダ(エンカプセルにより生成したIPヘッダ)315、エンカプセルヘッダ314、IPヘッダ313とTCPあるいはUDPのヘッダを意味するTCP/UDPヘッダ312とTCPあるいはUDPのデータを意味するTCP/UDPデータ311に対し暗号化した暗号データにより構成されている。
平文データ(301〜304)に含まれていたTCP/UDPデータ301、TCP/UDPヘッダ302、及びIPヘッダ303の内容は、暗号化され(311〜313)、中継過程で把握できないようになっている。そして、本来の(オリジナル)IPヘッダ303やMACヘッダ304とは異なるエンカプセルIPヘッダ315、MACヘッダ316が新たに設定されている。尚、エンカプセルヘッダ314には、セキュリティパラメータインデックスやパケットのシーケンス番号等のパラメータが格納されている。尚、311〜315は、MACデータを構成し、311〜314は、IPデータを構成している。
上記TCP/UDPヘッダ302と上記TCP/UDPヘッダ312はTCPヘッダあるいはUDPヘッダ以外の第4層プロトコルヘッダでも良いし、上記TCP/UDPデータ301とTCP/UDPデータ311はTCPデータあるいはUDPデータ以外の第4層プロトコルデータでも良い。
特に、本発明では、エンカプセルIPヘッダ315に含まれるTOSフィールドに優先度を設定する点に特徴がある。
【0040】
優先条件テーブル33は、IPヘッダあるいはTCPヘッダ(TCPヘッダに代えて、UDPヘッダあるいはその他の第4層プロトコルヘッダの場合もある)あるいはTCPデータ(TCPデータに代えて、UDPデータあるいはその他の第4層プロトコルデータ)内の情報に対応付けて、予め優先度を対応付けて記憶しておくように構成されている。暗号化/エンカプセル処理ブロック26は、この優先条件テーブル33の優先条件と優先度の対応付けに従って、エンカプセルIPヘッダ315に含まれるTOSフィールドに優先度を設定する。
【0041】
図4は、優先条件テーブル33の構成例を示す図である。401〜408が、優先度条件であり、409がその優先度条件に対応する優先度である。
そして、優先度条件は、第3層プロトコルヘッダ(IPヘッダ)内の情報についての条件401〜403、第4層プロトコルヘッダ(TCPヘッダあるいはUDPヘッダ)内の情報についての条件404〜407、その他の条件408から構成されている。
【0042】
401は、第3層プロトコルヘッダ内のプロトコル番号の条件である。つまり、IPヘッダのProtocolフィールドの値の条件である。例えば、TCPを条件とする場合は6、UDPを条件とする場合は17となるように、第4層のプロトコルを条件とする。
【0043】
402は、送信元IPアドレス又は送信元のネットワークアドレスの条件である。例えば、IPアドレス10.16.3.2の1つの端末を送信元とする条件の場合には、アドレスは10.16.3.2の16進数=0x0a100302となり、マスク長は32ビットとなる。また、別の例として、IPアドレス10.16.3.0から10.16.3.255までの256個のIPアドレス全体を表わす8ビット分のIPアドレス空間(IPサブネット)を送信元とする条件の場合には、アドレスは10.16.3.0の16進数=0x0a100300となり、マスク長は24ビットとなる。
【0044】
403は、宛先アドレス又は宛先のネットワークアドレスの条件である。例えば、IPアドレス10.16.3.2の1つの端末を宛先とする条件の場合には、アドレスは10.16.3.2の16進数=0x0a100302となり、マスク長は32ビットとなる。また、別の例として、IPアドレス10.16.3.0から10.16.3.255までの256個のIPアドレス全体を表わす8ビット分のIPアドレス空間(IPサブネット)を宛先とする条件の場合には、アドレスは10.16.3.0の16進数=0x0a100300となり、マスク長は24ビットとなる。
【0045】
404は、送信元ポート番号の上限の条件である。つまり、Source Portの値の上限条件である。405は、送信元ポート番号の下限の条件である。つまり、Source Portの値の下限条件である。送信元ポート番号上限404と送信元ポート番号下限405を組み合わせることにより送信元ポート番号の範囲を条件として指定することになる。送信元ポート番号上限404と送信元ポート番号下限405が一致する場合は、1つの送信元ポート番号のみを条件として指定することになる。この例によらず、1つの送信元ポート番号のみを直接条件として指定するフォーマットでも構わない。また、複数の送信元ポート番号を直接列挙して条件として指定するフォーマットでも構わない。これにより、不連続のポート番号の候補を複数指定することができる。
【0046】
406は、宛先ポート番号の上限の条件である。つまり、Distination Portの値の上限条件である。407は、宛先ポート番号の下限の条件である。つまり、Distination Portの値の下限条件である。宛先ポート番号上限406と宛先ポート番号下限407を組み合わせることにより宛先ポート番号の範囲を条件として指定することになる。宛先ポート番号上限406と宛先ポート番号下限407が一致する場合は、1つの宛先ポート番号のみを条件として指定することになる。前述同様に、1つの宛先ポート番号のみを直接条件として指定するフォーマットでも構わない。また、不連続のポート番号の候補を複数指定できるように、複数の宛先ポート番号を直接列挙して条件として指定するフォーマットとしてもよい。
【0047】
408は、第4層プロトコルデータのデータについて指定する条件である。この条件は、必要により任意的に指定され、必ずしも指定する必要はない。例えば、UDPデータの3バイト目から”open”という文字列書かれたフレームを指定する場合には、データ位置(UDPデータの先頭からのオフセット)の条件として、2バイトを指定し、データ長さの条件として、4バイトを指定し、データとして、(”open”のasciiコード)0x6f70656eを指定する。
【0048】
409は、0〜7までの値で優先度を示す。7が最も優先度が高く、0は通常を示す。そして、その間は、段階的に順次中間的なレベルを示す。
【0049】
前述のように優先度条件は、IPヘッダのプロトコル番号、送信元アドレス、宛先アドレスと第4プロトコルヘッダの送信元ポート番号、宛先ポート番号並びに第4層プロトコルデータの値が考えられる。
優先度条件は、一つ条件のみでも、二つ以上の条件の組合せでも構わない。特に、送信元IPアドレスの条件、送信元IPネットワークアドレスの条件、宛先IPアドレスの条件、宛先IPネットワークアドレスの条件、送信元ポート番号の条件、宛先ポート番号の条件は、単独の条件として有効である。
また、複数の条件の組合せについては、上述の条件のすべての組合せが可能であるが、特に、以下の組合せが有効である。
(1)送信元IPアドレスに関する条件と、宛先IPアドレスに関する条件の組合せ
これは、装置あるいはネットワーク同士の関係を限定できるからである。
(2)送信元ポート番号の条件と、宛先ポート番号の条件の組合せ
これは、送信側と宛先のアプリケーションの機能を限定できるからである。
(3)送信元IPアドレスに関する条件と、送信元ポート番号の条件の組合せ
これは、送信元の装置あるいはネットワークと、そのアプリケーションの機能を限定できるからである。
(4)宛先IPアドレスに関する条件と、宛先ポート番号の条件の組合せ
これは、宛先の装置あるいはネットワークと、そのアプリケーションの機能を限定できるからである。
【0050】
続いて、動作について説明する。
まず、リピータ型暗号装置が平文ネットワークからパケットを受信した場合の処理動作について説明する。ここでは、特に、暗号化した上で暗号文ネットワークに出力する形態の処理について説明する。
平文ネットワークからパケットを受信すると、パケットは平文ポート20から暗号文ポート21へ転送される。そして、暗号出力フィルタ23で暗号化処理が必要であると判断されると、当該パケットは、暗号化/エンカプセル処理ブロック26に送られる。そして、当該ブロックで、暗号化およびエンカプセル処理する。つまり、パケットのうち、MACデータ部分((オリジナル)IPヘッダ303、TCP/UDPヘッダ302、TCP/UDPデータ301)を暗号化し、新規にエンカプセルヘッダ314とエンカプセルIPヘッダ315を付加する。
【0051】
暗号化/エンカプセル処理ブロック26は、IPアドレスと、そのIPアドレスが設定されたパケットを暗号化または復号する暗号装置(IPアドレス)との対応関係を示す対応テーブルを内部に保持している。そして、当該対応テーブルを用いて、上記オリジナルデータに含まれるIPヘッダのIPアドレス(IP DA(Distination Address)およびIP SA(Source Address))に設定されている端末のIPアドレスに、それぞれ対応する暗号装置(IPアドレス)をエンカプセルIPヘッダ315の宛先IPアドレスとし、自局のIPアドレスをエンカプセルIPヘッダ315の送信元IPアドレスとして設定する。
【0052】
暗号化/エンカプセル処理ブロック26は、更に、TOSフィールドに優先度を設定する。図5は、実施の形態1における暗号化/エンカプセル処理部による優先度設定処理フローを示す図である。
平文データである受信フレームが、優先条件テーブル33中の各優先度条件に適合するか判断するために、優先度条件を構成するそれぞれの条件に相当する受信フレーム内の情報と、当該それぞれの条件を比較する。優先度条件として設定されている条件をすべて満足する場合に、当該優先度条件に適合すると判断する(S501)。
いずれかの優先度条件に適合する場合には、当該優先度条件に対応する優先度を優先条件テーブル33から取得し(S504)、エンカプセルIPヘッダのTOSフィールドに設定する(S505)。
いずれの優先度条件にも適合しない場合には、オリジナルIPヘッダ内のTOSフィールドから優先度を得て(S503)、エンカプセルIPヘッダのTOSフィールドに設定する(S505)。
【0053】
上述の暗号化およびエンカプセル処理後、暗号側MACアドレス解決ブロック28へ送られ、MACアドレスが設定される。
前述のように、IPヘッダのIPアドレスについては、リピータ型暗号装置の接続形態に依らず一義に決定できるが、MACヘッダのMACアドレスについては、リピータ型暗号装置の接続形態などによって、適切なMACアドレスを設定する処理がある。
【0054】
暗号側MACアドレス解決ブロック28が、エンカプセルIPヘッダのIPアドレスに基づいて、MACヘッダのMACアドレスを設定する。IP SAにより特定される装置のMACアドレスをMAC SAに設定する。また、IP DAに基づいて、IP DAにより特定される装置のMACアドレスをMAC DAに設定する。また、接続の形態によっては、IP DAにより特定される装置と同一サブネットに属する暗号側ゲートウェイCGWのMACアドレスをMACDAに設定する。このとき、ARP(Address ResolutionProtocol)によりMACアドレスを取得することが有効である。尚、ARPは、TCP/IP通信時にIPアドレスからEthernet(登録商標)(R)アドレスを求めるためのプロトコルであり、これによりMACアドレスを知ることができる。
【0055】
このようにして、暗号パケットを生成し、その暗号パケットを暗号文ネットワークへ送信する。
【0056】
一方、リピータ型暗号装置が暗号文ネットワークからパケットを受信した場合の処理動作について説明する。ここでは、特に、暗号化されたパケットを受信し、復号した上で平文ネットワークに出力する形態の処理について説明する。
暗号文ネットワークからパケットを受信すると、パケットは復号/デカプセル処理ブロック27へ転送される。そして、復号/デカプセル処理ブロック27で復号およびデカプセル処理が必要であると判断されると、当該パケットは、復号/デカプセル処理される。つまり、暗号側で新規に付加されたエンカプセルIPヘッダ315およびMACヘッダ316を外し、暗号化されている部分を復号し、平文にする。そして、(オリジナル)IPヘッダのTOSフィールドに優先度を設定する。
【0057】
図6は、実施の形態1における復号/デカプセル処理部による優先度設定処理フローを示す図である。
前述の復号/エンカプセル処理(S602)に先立って、暗号データである受信フレームのエンカプセルIPヘッダのTOSフィールドから優先度を取得し(S601)、復号/エンカプセル処理(S602)の後に、復号された平文データ中のオリジナルIPヘッダのTOSフィールドに、S601で取得した優先度を書き込む(S603)。
【0058】
上述の復号およびデカプセル処理後、暗号文ポート21から平文ポート20へ転送されたパケットは、平文出力フィルタ25から平文側MACアドレス解決ブロック29に転送される。
平文側MACアドレス解決ブロック29は、MACヘッダのMACアドレスを設定する。当該リピータ型暗号装置自身のMACアドレスをMAC SAに設定する。また、IP DAに基づいて、MAC DAに設定する。IP DAが当該リピータ型暗号装置と同一のIPセグメント(同一サブネット)に存在する場合には、IP DAにより特定される装置のMACアドレスをMAC DAに設定する。他方、同一のIPセグメントに存在しない場合には、平文側ゲートウェイPGWのMACアドレスをMAC DAに設定する。このとき、ARPによりMACアドレスを取得することが有効である。尚、受信したパケットに設定されていたMAC SAを、新たなMAC SAとして設定しても良い。
【0059】
このようにして、平文パケットを生成し、その平文パケットを平文ネットワークへ送信する。
【0060】
図6に示した復号/デカプセル処理部による復号/デカプセル処理側優先度設定処理は、例えば受信側の端末のアプリケーション等でTOSフィールドの優先度に応じた処理を行う場合に有効である。
【0061】
実施の形態2.
本実施の形態では、出口側となるPE(Provider Edge Router)におけるTOSフィールドの優先度の取り扱いについてのPEの設定内容の仕様の相違に対応する形態について説明する。出口側となるPEは、QoS制御装置の例である。
【0062】
前述のように、IPヘッダの仕様としては、TOSフィールドの優先度として、0〜7の8段階のレベルを設定できるようになっている。しかし、実際にQoS制御を行うPEでは、3段階程度のレベル(例えば、「最優先」、「優先」、「非優先」)による制御を行っている。また、この運用上用いる3段階程度のレベルに割当てるTOSフィールドのデータ上の8段階のレベルの割当てを、各広域ネットワーク提供業者が独自に設定している。例えば、広域ネットワーク提供業者A社のルータであるPEは、0〜1を「非優先」、2〜3を「優先」、4〜7を「最優先」としてQoS制御し、広域ネットワーク提供業者B社のルータであるPEは、0を「非優先」、1を「優先」、2〜7を「最優先」としてQoS制御し、広域ネットワーク提供業者C社のルータであるPEは、0〜5を「非優先」、6を「優先」、7を「最優先」としてQoS制御する状態が想定される。このような状態では、優先度として同じ値が設定されているデータであっても、PEの仕様によってQoS制御での取り扱いが異なってくる。つまり、特定のPEを介する場合にのみ、音声通話の品質が劣ったり、あるいは伝送品質を問わないはずのデータ系の処理によりトラフィックが悪化する事態が生じうる。
【0063】
そこで、本実施の形態では、暗号装置で、予め各PEを想定して、運用上用いるレベル(3段階程度)に割当てるデータ上のレベル(8段階)の割当てを考慮した変換用の優先度変換テーブルを記憶し、優先条件テーブルに基づいて設定した当初の優先度を、各PEの仕様に適合した運用上レベルを想定したPE対応優先度(QoS制御装置対応優先度の例)に変換した上で、TOSフィールドの優先度を設定する。
【0064】
図7は、実施の形態2における暗号装置の構成を示す図である。実施の形態1に対して、優先度変換テーブル34が追加されている。
【0065】
図8は、優先度変換テーブル34の構成例を示す図である。本テーブルは、暗号装置毎に、図5のS501からS504の処理で得られる優先条件テーブル33に基づく当初の優先度を、運用上レベルを想定したPE対応優先度(QoS制御装置対応優先度の例)に対応付けるように構成されている。
具体的には、検索のキーとなる暗号装置アドレスに対して、優先条件テーブル33に基づく当初の優先度毎のPE対応優先度800〜807を記憶するように構成されている。図8の例では、当初決定した優先度が0の場合に、運用で「非優先」として扱うこと、当初の優先度が1〜4の場合に、運用で「優先」として扱うこと、当初の優先度が5〜7の場合に「最優先」として扱うことを前提としている。そして、暗号装置への転送を担うPEの仕様に応じて、これらの3段階の運用上のレベルに割当てられている値をPE対応優先度としている。例えば、851の場合には、「非優先」に相当する当初の優先度(800)には、当該暗号装置が広域ネットワークに接続する為のPEの仕様(前述の広域ネットワーク提供業者A社の仕様)で「非優先」に割当てられている優先度0〜1のうち0を用い、「優先」に相当する当初の優先度(801〜804)には、「優先」に割当てられている優先度2〜3のうち2を用い、「最優先」に相当する当初の優先度(805〜807)には、「最優先」に割当てられている優先度4〜7のうち4を用いている。各運用上のレベルに割当てられている優先度の範囲内から採用する値については、いずれの値を用いても同様にQoS制御される。
【0066】
図9は、実施の形態2における暗号化/エンカプセル処理部による優先度設定処理フローを示す図である。
優先条件テーブル33に基づく当初の優先度を決定した後に(S901〜S904)、暗号装置アドレスと当該優先度に対応するPE対応優先度(QoS制御装置対応優先度の例)を取得する(S905)。そして、PE対応優先度をエンカプセルIPヘッダのTOSフィールドに設定する(S906)。
【0067】
実施の形態3.
本実施の形態では、図10に示すネットワーク構成の想定の下、図4と図8を例として、優先条件テーブル33と優先度変換テーブル34の意義を説明する。図10は、実施の形態3におけるネットワーク構成の具体例を示す図である。
【0068】
ローカルネットワーク1(10.10.1.0〜10.10.1.255)は、リピータ型暗号装置RE1を備え、CEであるルータR1から回線1−4を介してPEであるルータR4に接続している。同様に、ローカルネットワーク2(10.10.2.0〜10.10.2.255)は、リピータ型暗号装置RE2を備え、CEであるルータR2から回線2−5を介してPEであるルータR5に接続している。更に、ローカルネットワーク3(10.10.3.0〜10.10.3.255)は、リピータ型暗号装置RE3を備え、CEであるルータR3から回線3−6を介してPEであるルータR6に接続している。
【0069】
各ローカルネットワークは、端末又は中継機S1〜S6を備え、リピータ型暗号装置RE1〜RE3には、コンソール端末C1〜C3が接続されている。また、ローカルネットワーク1は、管理端末M1を備えている。
【0070】
端末又は中継機S1〜S6のうち、S1〜S3は、非優先情報のみを扱い、S4とS6は、非優先情報と優先する情報の両方を扱い、S5は優先する情報のみを扱うことを想定している。
【0071】
また、PEであるR5は、TOSフィールドの優先度が4の場合に、運用上「最優先」として扱い、同じく2の場合に、「優先」として扱い、同じく0の場合に、「非優先」として扱うようにQoS制御を設定している。PEであるR6は、TOSフィールドの優先度が2の場合に、運用上「最優先」として扱い、同じく1の場合に、「優先」として扱い、同じく0の場合に、「非優先」として扱うようにQoS制御を設定している。
【0072】
先ず、図4の優先条件テーブル33に関して説明する。
上述のネットワーク構成で、暗号装置RE1が、ローカルネットワーク(平文ネットワーク)側からS4からS5宛のフレームを受信した場合には、当該フレームは、優先条件テーブル33内の1列目の優先度条件に適合する。従って、当該フレームに対しては、暗号装置RE1の暗号化/エンカプセル処理ブロックで、優先条件テーブル33を検索し、優先度3が得られる。
【0073】
次の例として、第4層プロトコルがTCPであり、S4が属するサブネットワークアドレスからS6が属するサブネットワークアドレス宛のデータであり、送信元ポート番号と宛先ポート番号が1720であり、TCPデータのオフセット4バイト目から文字列”Ringing”と設定されているフレームを、暗号装置RE1がローカルネットワーク(平文ネットワーク)側から受信した場合には、優先条件テーブル33内の2列目の優先度条件に適合する。従って、当該フレームに対して、優先度5が得られる。
【0074】
次の例として、第4層プロトコルがUDPであり、S4が属するサブネットワークアドレスからS6が属するサブネットワークアドレス宛のデータであり、送信元ポート番号と宛先ポート番号が5004から5060までの値であるフレームを、暗号装置RE1がローカルネットワーク(平文ネットワーク)側から受信した場合には、優先条件テーブル33内の3列目の条件に適合するので、優先度3が得られる。
【0075】
続いて、図8の優先度変換テーブル34に関して説明する。
暗号装置RE1は、ローカルネットワーク(平文ネットワーク)側から端末S4から端末S5宛のフレームを受信した場合、暗号化/エンカプセル処理ブロック26で、端末S5のIPアドレス(10.10.2.2)に対応する暗号装置のIPアドレス(10.10.2.9)を決定する。
暗号装置のIPアドレス(10.10.2.9)と、図9のS901とS904により得られた優先度=3に基づいて、優先度変換テーブル34を検索する。その結果、PE対応優先度=2を得る。エンカプセルIPヘッダのTOSフィールド内の優先度には、このPE対応優先度=2が設定される。この結果、このエンカプセルフレームは、PEであるルータR5で優先度=2と認識され、運用上のレベルを「優先」として扱われ、QoS制御される。
【0076】
別の例として、暗号装置RE1は、ローカルネットワーク(平文ネットワーク)側から受信する端末S4から端末S6宛のフレームを受信した場合、暗号化/エンカプセル処理ブロック26で、端末S6のIPアドレス(10.10.3.2)に対応する暗号装置のアドレス(10.10.3.9)を決定する。
暗号装置のIPアドレス(10.10.3.9)と、図9のS901とS904により得られた優先度=5に基づいて、優先度変換34テーブルを検索する。その結果、PE対応優先度=2を得る。エンカプセルIPヘッダのTOSフィールド内の優先度には、このPE対応優先度=2を設定する。この結果、このエンカプセルフレームは、PEであるルータR6で優先度=2と認識され、運用上のレベルを「最優先」として扱われ、QoS制御される。
また、同様に端末S4から端末S6宛のフレームで、図9のS901とS904により優先度=3が得られている場合には、優先度変換テーブル34を検索した結果、PE対応優先度=1を得る。エンカプセルIPヘッダのTOSフィールド内の優先度には、このPE対応優先度=1が設定される。この結果、このエンカプセルフレームは、PEであるR6で優先度=1と認識され、運用上のレベルを「優先」として扱われ、QoS制御される。
【0077】
実施の形態4.
本実施の形態では、優先条件テーブル33と優先度変換テーブル34の入力と参照に係る装置について説明する。具体的には、暗号装置に接続されたコンソール端末C1〜C3、あるいは、暗号装置RE1〜RE3にリモート接続可能な管理装置M1を用いる。
【0078】
コンソール端末C1〜C3は、前述の優先度条件と優先度を対応付けて記憶する優先条件テーブル33の入力を操作者に促す画面を表示し、操作により入力された優先条件テーブル33を暗号装置に送信するように構成されている。暗号装置RE1〜RE3は、受信した優先条件テーブル33を記憶し、操作者からの要求に応じて、記憶している優先条件テーブル33をコンソール端末C1〜C3に送信し、コンソール端末C1〜C3は、暗号装置RE1〜RE3から優先条件テーブル33を受信した場合に、受信した優先条件テーブル33の内容を表示するように構成されている。また、印刷や一時記憶するようにしてもよい。
【0079】
前述の暗号装置RE1〜RE3と当初の優先度の組合せに対応付けて、PE対応優先度を記憶する優先度変換テーブル34についても同様に、コンソール端末C1〜C3は、優先度変換テーブル34の入力を操作者に促す画面を表示し、操作により入力された優先度変換テーブル34を暗号装置RE1〜RE3に送信するように構成されている。暗号装置RE1〜RE3は、受信した優先度変換テーブル34を記憶し、操作者からの要求に応じて、記憶している優先度変換テーブル34をコンソール端末C1〜C3に送信し、コンソール端末C1〜C3は、暗号装置RE1〜RE3から優先度変換テーブル34を受信した場合に、受信した優先度変換テーブル34の内容を表示するように構成されている。また、印刷や一時記憶するようにしてもよい。
【0080】
管理装置M1も同様に、前述の優先条件テーブル33の入力を操作者に促す画面を表示し、操作により入力された優先条件テーブル33を暗号装置RE1〜RE3に送信するように構成されている。暗号装置RE1〜RE3は、受信した優先条件テーブル33を記憶し、操作者からの要求に応じて、記憶している優先条件テーブル33を管理装置M1に送信し、管理装置M1は、暗号装置RE1〜RE3から優先条件テーブル33を受信した場合に、受信した優先条件テーブル33の内容を表示するように構成されている。また、印刷や一時記憶するようにしてもよい。
【0081】
前述の優先度変換テーブル34についても同様に、管理装置M1は、優先度変換テーブル34の入力を操作者に促す画面を表示し、操作により入力された優先度変換テーブル34を暗号装置RE1〜RE3に送信するように構成されている。暗号装置RE1〜RE3は、受信した優先度変換テーブル34を記憶し、操作者からの要求に応じて、記憶している優先度変換テーブル34を管理装置M1に送信し、管理装置M1は、暗号装置RE1〜RE3から優先度変換テーブル34を受信した場合に、受信した優先度変換テーブル34の内容を表示するように構成されている。また、印刷や一時記憶するようにしてもよい。
【0082】
前記のように、管理装置M1は、ローカルネットワークを介して接続する暗号装置RE1以外にも、広域ネットワークを介して接続する暗号装置RE2,RE3についても上述の動作が可能である。
【0083】
尚、リピータ型暗号装置とコンソール端末と管理装置は、いずれもコンピュータでもよく、各要素はプログラムにより処理を実行することができる。また、プログラムを記憶媒体に記憶させ、記憶媒体からコンピュータに読み取られるようにすることができる。
【0084】
【発明の効果】
本発明においては、リピータ型暗号装置において、平文データのIPヘッダあるいは第4層プロトコルヘッダに含まれる情報あるいは第4層プロトコルデータのうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、決定し優先度を新規に設定されたIPヘッダに設定するので、セキュリティ確保における導入負担を軽減しつつ、QoS制御を正常に機能させ、リアルタイム性の高いデータの伝送品質を向上させることができる。
【図面の簡単な説明】
【図1】本発明に係るネットワークセキュリティシステムのネットワーク構成を示す図である。
【図2】実施の形態1における暗号装置の構成例を示す図である。
【図3】フレームフォーマットの概要を示す図である。
【図4】優先条件テーブルの構成例を示す図である。
【図5】実施の形態1における暗号化/エンカプセル処理部による優先度設定処理フローを示す図である。
【図6】実施の形態1における復号/デカプセル処理部による優先度設定処理フローを示す図である。
【図7】実施の形態2における暗号装置の構成を示す図である。
【図8】優先度変換テーブルの構成例を示す図である。
【図9】実施の形態2における暗号化/エンカプセル処理部による優先度設定処理フローを示す図である。
【図10】実施の形態3におけるネットワーク構成の具体例を示す図である。
【図11】QoSを適用する一般的なネットワーク構成例を示す図である。
【図12】フレームフォーマットの詳細を示す図である。
【図13】TOSのフォーマットの詳細を示す図である。
【図14】従来のリピータ型暗号装置を用いるネットワーク構成例を示す図である。
【図15】従来のリピータ型暗号装置の構成を示す図である。
【図16】従来のリピータ型暗号装置を用いる場合のフレームフォーマットの概要を示す図である。
【符号の説明】
1 端末機能ブロック、2 リピータ機能ブロック、20 平文ポート、21暗号文ポート、22 自局ポート、23 暗号出力フィルタ、24 自局出力フィルタ、25 平文出力フィルタ、26 暗号化/エンカプセル処理ブロック、27 復号/デカプセル処理ブロック、28 暗号側MACアドレス解決ブロック、29 平文側MACアドレス解決ブロック、33 優先条件テーブル、34 優先度変換テーブル。
【発明の属する技術分野】
本発明は、広域ネットワーク導入に伴いセキュリティ確保するための負担を軽減するリピータ型暗号装置に係り、QoS制御を正常に機能させ、リアルタイム性の高いデータの伝送品質を向上させる技術に関する。
【0002】
【従来の技術】
TCP/IPをベースとするインターネットやイントラネットにおいて優先度の高い通信を確実に行うために、QoS(Quality of Service)制御による最適化が図られている。QoS制御について、図を用いて簡単に説明する。図11は、QoSを適用する一般的なネットワーク構成例を示す図である。R1〜R7は、ルータ、S1〜S3は、端末である。特に、R4〜R6は、広域ネットワーク内のローカルネットワークへの接続拠点に設置されたルータであり、PE(Provider Edge Router)と呼ばれる。一方、R1〜R3は、ローカルネットワーク側から広域ネットワークへ接続する拠点に設置されたルータであり、CE(Customer Edge Router)と呼ばれる。
【0003】
このような環境で、伝送速度を超えたトラフィックが生じると、輻輳によるパケットロスや遅延の障害が発生する。例えば、S1からS3へのデータ転送とS2からS3へのデータ転送が同時に発生した場合には、広域ネットワークからの出口となるPE(この例では、R6)において輻輳が生じやすい。これは、広域ネットワーク内の伝送速度(例えば、R7からR6への伝送速度)に比べて、広域ネットワークとローカルネットワークの間の伝送速度(例えば、R6からR3への伝送速度)が遅いことに起因している。
【0004】
特定のアプリケーションを用いる場合には、この障害は重大な品質問題となる。例えば、VoIP(Voice over IP)による音声通話等によりリアルタイムパケットを転送する場合には、輻輳によるパケットロスや遅延の障害は、音声劣化や通話の中断などの事態を引き起こすことになる。
【0005】
係る事態を回避するために、QoS制御が用いられる。具体的には、優先度の高い特定のパケットに対して帯域を確保する帯域制御や、同じく優先度の高い特定のパケットを優先的に処理する優先制御などが行われている。
【0006】
そのために、QoS制御で優先度の高いパケットを識別するために、IPヘッダ中に優先度を設定するようにしている。図12は、フレームフォーマットの詳細を示す図である。これは、Ethernet(登録商標)上のIPフレームフォーマットを示している。IPヘッダ中のTOS(Type of Service)フィールド内に定義されているPrecedence bitを用いて、優先度を特定している。図13は、TOSのフォーマットの詳細を示す図である。具体的には、3ビットによる0〜7の値により、0が最も低く、7が最も高く、段階的に優先度を示すことになっている。
この例では、第4層プロトコルヘッダとしてUDPヘッダを示しているが、当該部分がTCPヘッダあるいはその他の第4層プロトコルヘッダとなることもある。
【0007】
このように、IPヘッダ中に優先度を設定して、広域ネットワークにパケットを送出することにより、出口側のPEでQoS制御され、安定した品質を確保することができるようになっている。通常TOSフィールドへの優先度の設定は、送出側のCE(この例では、R1)あるいは受口側のPE(この例では、R4)が行うようにシステム構成されている。具体的には、IPアドレスやポート番号に基づいて、優先度を判定している。
尚、係る障害が品質上大きな影響を与えないアプリケーション(電子メールやFTPなど、以下データ系という。)で利用するパケットは、優先度を高く設定することなく運用される。
【0008】
一方、広域ネットワークとしてインターネットやIP−VPN(Internet Protocol−Virtual Private Network)網を用いる場合のセキュリティ対策として、平文ネットワーク(ローカルネットワーク)と暗号文ネットワーク(広域ネットワーク)との間でデータの中継に対して、平文データを暗号化すると共に暗号データを復号する暗号装置が用いられる。従来この基本アーキテクチャとして、ルータ型の暗号装置または端末型の暗号装置が想定されていたが、新たに、リピータ型の暗号装置が導入されるようになっている。これにより、既存ネットワークに接続された機器へのIP−VPN導入時の再設定の不便を解消し、IP−VPNの導入作業を容易にし、更に導入コストを軽減することができる。
【0009】
図14は、従来のリピータ型暗号装置を用いるネットワーク構成例を示す図である。図中、RE1〜RE3がリピータ型暗号装置に相当する。このリピータ型暗号装置については、特許3259724号の「暗号装置、暗号化器および復号器」にその内容が開示されている。図15は、従来のリピータ型暗号装置の構成を示す図である。
平文ネットワークからの平文データを暗号化して暗号文ネットワークに送出する場合には、暗号化/エンカプセル処理ブロック26により、平文ネットワークから受信した平文データを暗号化し、更に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、平文データのIPヘッダ(Internet Protocol ヘッダ)に設定されたアドレスに対応する暗号装置を決定し、決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う。そして、暗号化/暗号側MACアドレス解決ブロック28により、暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(Media Access Control ヘッダ)を設定して生成した暗号データを平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する。
逆に、暗号文ネットワークからの暗号データを復号して平文ネットワークに送出する場合には、復号/デカプセル処理ブロック27により、暗号文ネットワークから受信した暗号データを平文データに復号し、更に、平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するデカプセル処理を行う。そして、平文側MACアドレス解決ブロック29により、復号/デカプセル処理ブロック27で設定されたIPヘッダに基づいてMACヘッダを設定して生成した平文データを暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信する。
【0010】
これにより、以下に示すフレームフォーマットのデータが転送される。図16は、従来のリピータ型暗号装置を用いる場合のフレームフォーマットの概要を示す図である。
図に示すように、平文データ(1601〜1604)に含まれていたTCP/UDPデータ1601、TCP/UDPヘッダ1602、及びIPヘッダ1603の内容は、暗号化され(1611〜1613)、中継過程で盗み見できないようになっている。そして、本来のIPヘッダ1603やMACヘッダ1604とは異なるエンカプセルIPヘッダ1615、MACヘッダ1616が新たに設定されている。尚、エンカプセルヘッダ1614には、セキュリティパラメータインデックスやパケットのシーケンス番号等の復号/デカプセル処理に必要なパラメータが格納されている。
【0011】
従来のリピータ型暗号装置は、このように、転送するデータを暗号化し、エンカプセル処理することにより、セキュリティを確保する一方、前述のQoS制御による輻輳の対策を効じることができないという問題を有している。
前述のように、IPヘッダのTOSフィールドに優先度を設定することが前提となってQoS制御が行われているが、従来のリピータ型暗号装置は、既にTOS中で優先度を高く設定したパケットを入力した場合にも、優先度が設定されているIPヘッダ部分1603を暗号化により秘匿してしまうため(1613)、出口側のPE(例えば、R6)で正常に優先度の判定することができない。また、未だTOS中の優先度を高く設定していないパケットを入力した場合にも、本来のIPヘッダ1603とTCP/UDPヘッダ1602を秘匿してしまうため(1612,1613)、優先度を設定するルータ(例えば、R1やR4)で、条件判定に用いるIPアドレスやポート番号等を参照することができない。
【0012】
【特許文献1】
特許第3259724号公報
【特許文献2】
特開2000−092119号公報
【0013】
【発明が解決しようとする課題】
本発明は、上記した従来技術の欠点を除くためになされたものであって、その目的とするところは、セキュリティ確保における導入負担を軽減するリピータ型暗号装置に係り、QoS制御を正常に機能させ、リアルタイム性の要求が高いデータの伝送品質を向上させることを課題とする。これにより、例えば、IP−VPN網を利用したVoIPによる音声通話の通信が、容易かつ安全に、そして安定して利用できることになる。
【0014】
【課題を解決するための手段】
本発明に係る暗号装置は、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置であって、以下の要素を有することを特徴とする
(1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する暗号化/エンカプセル処理ブロック
(2)当該暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する暗号側MACアドレス解決ブロック。
【0015】
暗号装置は、更に、上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルを有し、
上記暗号化/エンカプセル処理ブロックは、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つが、優先条件テーブルの検索度条件に適合するか判定し、適合する場合に、当該優先度条件に対応する優先度を用いることを特徴とする。
【0016】
更に、以下の要素を有することを特徴とする
(3)上記暗号文ネットワークから受信した暗号データを平文データに復号すると共に、当該平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するデカプセル処理を行い、更に、前記受信した暗号データのIPヘッダに設定された優先度を、前記再設定したIPヘッダに設定する復号/デカプセル処理ブロック
(4)当該復号/デカプセル処理ブロックで設定されたIPヘッダに基づいてMACヘッダを設定して生成した平文データを上記暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信する平文側MACアドレス解決ブロック。
【0017】
暗号化/エンカプセル処理ブロックは、上記優先度条件に基づいて決定した優先度を、前記決定した他の暗号装置への中継過程のQoS(クオリティオブサービス)制御装置における優先度の扱いに応じたQoS装置対応優先度に変換し、上記決定した優先度に代えて、上記変換したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定することを特徴とする。
【0018】
暗号装置は、更に、暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルを有し、
上記暗号化/エンカプセル処理ブロックは、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を、前記変換したQoS制御装置対応優先度として用いることを特徴とする。
【0019】
本発明に係るコンソール端末は、
平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する暗号装置に接続されたコンソール端末であって、
上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルの入力を操作者に促し、入力された優先条件テーブルを暗号装置に送信し、更に、暗号装置から優先条件テーブルを受信した場合に、受信した優先条件テーブルの内容を表示することを特徴とする。
【0020】
本発明に係るコンソール端末は、
平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS(クオリティオブサービス)制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定する暗号装置に接続されたコンソール端末であって、
暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルの入力を操作者に促し、入力された優先度変換テーブルを暗号装置に送信し、更に、暗号装置から優先度変換テーブルを受信した場合に、受信した優先度変換テーブルの内容を表示することを特徴とする。
【0021】
本発明に係る管理装置は、
平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、決定し優先度を新規に設定されたIPヘッダに設定する暗号装置にリモート接続可能な管理装置であって、
上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルの入力を操作者に促し、入力された優先条件テーブルを暗号装置に送信し、更に、暗号装置から優先条件テーブルを受信した場合に、受信した優先条件テーブルの内容を表示することを特徴とする。
【0022】
本発明に係る管理装置は、
平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS(クオリティオブサービス)制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定する暗号装置にリモート接続可能な管理装置であって、
暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルの入力を操作者に促し、入力された優先度変換テーブルを暗号装置に送信し、更に、暗号装置から優先度変換テーブルを受信した場合に、受信した優先度変換テーブルの内容を表示することを特徴とする。
【0023】
本発明に係るプログラムは、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置となるコンピュータに、以下の手順を実行させるためのプログラムであることを特徴とする
(1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する手順
(2)上記手順で設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する手順。
【0024】
【発明の実施の形態】
実施の形態1.
以下本発明を図面に示す実施例に基づいて説明する。図1は、本発明に係るネットワークセキュリティシステムのネットワーク構成を示す図である。
R1〜R7は、ルータ、RE1〜RE3は、(リピータ型)暗号装置、S1〜S3は、端末、C1〜C3は、コンソール端末、M1は、管理端末である。特に、R4〜R6は、広域ネットワーク内のローカルネットワークへの接続拠点に設置されたルータであり、PE(Provider Edge Router)と呼ばれる。一方、R1〜R3は、ローカルネットワーク側から広域ネットワークへ接続する拠点に設置されたルータであり、CE(Customer EdgeRouter)と呼ばれる。
ローカルネットワークは、平文データを転送する平文ネットワークであり、広域ネットワークは、暗号データを転送する暗号文ネットワークである。
【0025】
図2は、実施の形態1における暗号装置の構成例を示す図である。1は、端末機能ブロック、2は、リピータ機能ブロック、20は、平文ポート、21は、暗号文ポート、22は、自局ポート、23は、暗号出力フィルタ、24は、自局出力フィルタ、25は、平文出力フィルタ、26は、暗号化/エンカプセル処理ブロック、27は、復号/デカプセル処理ブロック、28は、暗号側MACアドレス解決ブロック、29は、平文側MACアドレス解決ブロック、33は、優先条件テーブルである。
【0026】
端末機能ブロック1は、リピータ型暗号装置自身に送信された自局宛情報、具体的には、パケットとして送信された自局宛パケット(例えば、リピータ型暗号装置を管理するための管理パケット等)を処理する機能ブロックである。ネットワークに接続されたIP(Internet Protocol)接続機能を有する一般の端末と同等の機能を有する。
【0027】
リピータ機能ブロック2は、通常のリピータと同様に、ネットワークに接続されている各機器のネットワークパラメータを変更せずに、データを暗号化および復号する機能(以下、リピータ機能)を有する。
【0028】
平文ポート20は、平文ネットワーク側に設けられた内部の論理的なポートである。平文ネットワークから暗号文ネットワークへデータを送出する場合には、平文ネットワークから受信した平文データ(具体的には、パケットとして送信された平文パケット)を、暗号文ポート21と自局ポート22に転送するように構成されている。
また、暗号文ネットワークから平文ネットワークへデータを受入れる場合や端末機能ブロック1から平文ネットワークへデータを送出する場合には、暗号文ポート21又は自局ポート22から転送されたデータ(具体的にはパケット)を平文出力フィルタ25に出力するように構成されている。
【0029】
暗号文ポート21は、暗号文ネットワーク側に設けられた内部の論理的なポートである。暗号文ネットワークから平文ネットワークへデータを受入れる場合には、暗号文ネットワークから受信した暗号データ(具体的にはパケットとして送信された暗号パケット)を、平文ポート20及び自局ポート22に転送するように構成されている。
また、平文ネットワークから暗号文ネットワークへデータを送出する場合や端末機能ブロック1から暗号文ネットワークへデータを送出する場合には、平文ポート20または自局ポート22から転送されたデータ(具体的にはパケット)を、暗号出力フィルタ23に出力するように構成されている。
【0030】
自局ポート22は、端末機能ブロック1側に設けられた内部の論理的なポートである。自局からデータを送出する場合には、端末機能ブロック1から出力された自局出力情報(具体的にはパケット)を、平文ポート20及び暗号文ポート21に転送するように構成されている。また、自局でデータを受入れる場合には、平文ポート20又は暗号文ポート21から転送されたパケットを、自局出力フィルタ24に出力するように構成されている。
【0031】
暗号出力フィルタ23は、平文ネットワークから暗号文ネットワークへデータを送出する場合に、暗号文ポート21へ転送されたパケットに対してフィルタ処理するように構成されている。廃棄パケット(転送する必要のないパケット)、透過中継パケット(何も処理せずに暗号文ネットワークに透過的に中継するパケット)、あるいは暗号パケット(暗号化およびエンカプセル処理を必要とするパケット)のいずれかであるかを識別し、廃棄パケットである場合は、当該パケットを廃棄し、透過中継パケットである場合は、当該パケットをそのまま暗号文ネットワークに送信し、暗号パケットの場合は、当該パケットを暗号化/エンカプセル処理ブロック26に出力するように構成されている。
暗号出力フィルタ23は、また、端末機能ブロック1からの自局出力情報を入力した場合には、当該自局出力情報が、暗号文ネットワークへの暗号情報、廃棄情報、あるいは暗号文ネットワークへの透過中継情報のいずれかであるかを識別し、上記暗号情報の場合には、自局出力情報を暗号化/エンカプセル処理ブロック26に出力し、上記廃棄情報の場合には、自局出力情報を廃棄し、上記透過中継情報の場合には、そのまま自局出力情報を暗号文ネットワークに送信するように構成されている。
【0032】
自局出力フィルタ24は、自局ポート22へ転送されたパケットに対してフィルタ処理するように構成されている。転送されたパケットが、自局宛パケット(端末機能ブロック1へ通知する必要があるパケット)、あるいは廃棄パケット(端末機能ブロックへ通知する必要がないパケット)かを識別し、自局宛パケットの場合は当該パケットを端末機能ブロック1へ送信し、廃棄パケットの場合は、廃棄するように構成されている。
【0033】
平文出力フィルタ25は、平文ポート20へ転送されたパケットに対してフィルタ処理するように構成されている。廃棄パケット(平文ポート20から送信する必要のないパケット)、透過中継パケット(何も処理せずに平文ネットワークに透過的に中継するパケット)、平文パケット(復号化およびデカプセル処理を必要とするパケット)のいずれかであるかを識別し、廃棄パケットである場合は、当該パケットを廃棄し、透過中継パケットである場合は、平文ネットワークにそのまま送信し、平文パケットである場合は、平文側MACアドレス解決ブロック29に出力するように構成されている。
平文出力フィルタ25は、また、端末機能ブロック1から自局出力情報を入力した場合に、当該自局出力情報が、平文ネットワークへの透過中継情報、あるいは廃棄情報であるかを識別し、平文ネットワークへの透過中継情報である場合に、そのまま自局出力情報を平文ネットワークに送信し、廃棄情報である場合に、自局出力情報を廃棄するように構成されている。
【0034】
暗号化/エンカプセル処理ブロック26は、平文ネットワークから受信した平文データ(具体的には平文パケット)を暗号化し、更に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、平文データの(オリジナル)IPヘッダ(InternetProtocolヘッダ)に設定されたアドレスに対応する暗号装置を決定し、決定した他の暗号装置に基づいて新規にエンカプセルIPヘッダを設定するエンカプセル処理を行うように構成されている。
本発明では、更に、平文データである受信フレームが優先条件テーブルの優先度条件に適合するか判断し、適合する場合に優先条件テーブル上で当該優先度条件に対応付けられている優先度を、エンカプセルIPヘッダ中のTOSフィールドに設定する暗号化/エンカプセル処理側優先度設定処理を行うように構成されている。
【0035】
復号/デカプセル処理ブロック27は、暗号文ネットワークから受信した暗号データ(具体的には暗号パケット)を平文データに復号し、更に、平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するように構成されている。更に、暗号パケットに対して復号およびデカプセル処理が必要か否かを判断し、必要であれば復号およびデカプセル処理を行い、必要でなければそのままに転送するように構成され、また、復号およびデカプセル処理時にエラーが発生した場合、または復号およびデカプセル処理が不必要で、かつ透過中継する必要のない場合には、そのパケットを廃棄するように構成されている。
本発明では、更に、暗号データである受信フレームのエンカプセルIPヘッダのTOSフィールドの優先度を、復号/デカプセル処理後のフレームの(オリジナル)IPヘッダのTOSフィールドへ設定する復号/デカプセル処理側優先度設定処理を行うように構成されている。
【0036】
暗号側MACアドレス解決ブロック28は、暗号化/エンカプセル処理ブロック26で設定されたIPヘッダに基づいて、MACヘッダ(Media Access Controlヘッダ)を設定して生成した暗号データを平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信するように構成されている。
【0037】
平文側MACアドレス解決ブロック29は、復号/デカプセル処理ブロック27で再設定されたIPヘッダに基づいて、MACヘッダを設定して生成した平文データを暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信するように構成されている。
【0038】
尚、上記暗号化/エンカプセル処理ブロック26と、上記暗号側MACアドレス解決ブロック28とにより、暗号化/エンカプセル処理部を構成し、復号/デカプセル処理ブロック27と、上記平文側MACアドレス解決ブロック29とにより、復号/デカプセル処理部を構成する。
【0039】
ここで、転送されるデータ(具体的にはパケット)のフレームフォーマットについて説明する。図3は、フレームフォーマットの概要を示す図である。
上段は、平文ネットワークから受信する平文データ(暗号化/エンカプセル処理前のデータ)、あるいは平文ネットワークへ送信する平文データ(復号/デプカセル処理後のデータ)のフレームフォーマットを示している。図に示すように、このデータは、先頭から順にMACヘッダ304、IPヘッダ303、TCPあるいはUDPのヘッダを意味するTCP/UDPヘッダ302、TCPあるいはUDPのデータを意味するTCP/UDPデータ301により構成されている。尚、301〜303は、MACデータを構成し、301と302は、IPデータを構成している。
一方、下段は、暗号文ネットワークへ出力する暗号文データ(暗号化/エンカプセル処理後のデータ)、あるいは暗号文ネットワークから入力する暗号文データ(復号/デプカセル処理前のデータ)のフレームフォーマットを示している。図に示すように、このデータは、先頭から順にMACヘッダ316、エンカプセルIPヘッダ(エンカプセルにより生成したIPヘッダ)315、エンカプセルヘッダ314、IPヘッダ313とTCPあるいはUDPのヘッダを意味するTCP/UDPヘッダ312とTCPあるいはUDPのデータを意味するTCP/UDPデータ311に対し暗号化した暗号データにより構成されている。
平文データ(301〜304)に含まれていたTCP/UDPデータ301、TCP/UDPヘッダ302、及びIPヘッダ303の内容は、暗号化され(311〜313)、中継過程で把握できないようになっている。そして、本来の(オリジナル)IPヘッダ303やMACヘッダ304とは異なるエンカプセルIPヘッダ315、MACヘッダ316が新たに設定されている。尚、エンカプセルヘッダ314には、セキュリティパラメータインデックスやパケットのシーケンス番号等のパラメータが格納されている。尚、311〜315は、MACデータを構成し、311〜314は、IPデータを構成している。
上記TCP/UDPヘッダ302と上記TCP/UDPヘッダ312はTCPヘッダあるいはUDPヘッダ以外の第4層プロトコルヘッダでも良いし、上記TCP/UDPデータ301とTCP/UDPデータ311はTCPデータあるいはUDPデータ以外の第4層プロトコルデータでも良い。
特に、本発明では、エンカプセルIPヘッダ315に含まれるTOSフィールドに優先度を設定する点に特徴がある。
【0040】
優先条件テーブル33は、IPヘッダあるいはTCPヘッダ(TCPヘッダに代えて、UDPヘッダあるいはその他の第4層プロトコルヘッダの場合もある)あるいはTCPデータ(TCPデータに代えて、UDPデータあるいはその他の第4層プロトコルデータ)内の情報に対応付けて、予め優先度を対応付けて記憶しておくように構成されている。暗号化/エンカプセル処理ブロック26は、この優先条件テーブル33の優先条件と優先度の対応付けに従って、エンカプセルIPヘッダ315に含まれるTOSフィールドに優先度を設定する。
【0041】
図4は、優先条件テーブル33の構成例を示す図である。401〜408が、優先度条件であり、409がその優先度条件に対応する優先度である。
そして、優先度条件は、第3層プロトコルヘッダ(IPヘッダ)内の情報についての条件401〜403、第4層プロトコルヘッダ(TCPヘッダあるいはUDPヘッダ)内の情報についての条件404〜407、その他の条件408から構成されている。
【0042】
401は、第3層プロトコルヘッダ内のプロトコル番号の条件である。つまり、IPヘッダのProtocolフィールドの値の条件である。例えば、TCPを条件とする場合は6、UDPを条件とする場合は17となるように、第4層のプロトコルを条件とする。
【0043】
402は、送信元IPアドレス又は送信元のネットワークアドレスの条件である。例えば、IPアドレス10.16.3.2の1つの端末を送信元とする条件の場合には、アドレスは10.16.3.2の16進数=0x0a100302となり、マスク長は32ビットとなる。また、別の例として、IPアドレス10.16.3.0から10.16.3.255までの256個のIPアドレス全体を表わす8ビット分のIPアドレス空間(IPサブネット)を送信元とする条件の場合には、アドレスは10.16.3.0の16進数=0x0a100300となり、マスク長は24ビットとなる。
【0044】
403は、宛先アドレス又は宛先のネットワークアドレスの条件である。例えば、IPアドレス10.16.3.2の1つの端末を宛先とする条件の場合には、アドレスは10.16.3.2の16進数=0x0a100302となり、マスク長は32ビットとなる。また、別の例として、IPアドレス10.16.3.0から10.16.3.255までの256個のIPアドレス全体を表わす8ビット分のIPアドレス空間(IPサブネット)を宛先とする条件の場合には、アドレスは10.16.3.0の16進数=0x0a100300となり、マスク長は24ビットとなる。
【0045】
404は、送信元ポート番号の上限の条件である。つまり、Source Portの値の上限条件である。405は、送信元ポート番号の下限の条件である。つまり、Source Portの値の下限条件である。送信元ポート番号上限404と送信元ポート番号下限405を組み合わせることにより送信元ポート番号の範囲を条件として指定することになる。送信元ポート番号上限404と送信元ポート番号下限405が一致する場合は、1つの送信元ポート番号のみを条件として指定することになる。この例によらず、1つの送信元ポート番号のみを直接条件として指定するフォーマットでも構わない。また、複数の送信元ポート番号を直接列挙して条件として指定するフォーマットでも構わない。これにより、不連続のポート番号の候補を複数指定することができる。
【0046】
406は、宛先ポート番号の上限の条件である。つまり、Distination Portの値の上限条件である。407は、宛先ポート番号の下限の条件である。つまり、Distination Portの値の下限条件である。宛先ポート番号上限406と宛先ポート番号下限407を組み合わせることにより宛先ポート番号の範囲を条件として指定することになる。宛先ポート番号上限406と宛先ポート番号下限407が一致する場合は、1つの宛先ポート番号のみを条件として指定することになる。前述同様に、1つの宛先ポート番号のみを直接条件として指定するフォーマットでも構わない。また、不連続のポート番号の候補を複数指定できるように、複数の宛先ポート番号を直接列挙して条件として指定するフォーマットとしてもよい。
【0047】
408は、第4層プロトコルデータのデータについて指定する条件である。この条件は、必要により任意的に指定され、必ずしも指定する必要はない。例えば、UDPデータの3バイト目から”open”という文字列書かれたフレームを指定する場合には、データ位置(UDPデータの先頭からのオフセット)の条件として、2バイトを指定し、データ長さの条件として、4バイトを指定し、データとして、(”open”のasciiコード)0x6f70656eを指定する。
【0048】
409は、0〜7までの値で優先度を示す。7が最も優先度が高く、0は通常を示す。そして、その間は、段階的に順次中間的なレベルを示す。
【0049】
前述のように優先度条件は、IPヘッダのプロトコル番号、送信元アドレス、宛先アドレスと第4プロトコルヘッダの送信元ポート番号、宛先ポート番号並びに第4層プロトコルデータの値が考えられる。
優先度条件は、一つ条件のみでも、二つ以上の条件の組合せでも構わない。特に、送信元IPアドレスの条件、送信元IPネットワークアドレスの条件、宛先IPアドレスの条件、宛先IPネットワークアドレスの条件、送信元ポート番号の条件、宛先ポート番号の条件は、単独の条件として有効である。
また、複数の条件の組合せについては、上述の条件のすべての組合せが可能であるが、特に、以下の組合せが有効である。
(1)送信元IPアドレスに関する条件と、宛先IPアドレスに関する条件の組合せ
これは、装置あるいはネットワーク同士の関係を限定できるからである。
(2)送信元ポート番号の条件と、宛先ポート番号の条件の組合せ
これは、送信側と宛先のアプリケーションの機能を限定できるからである。
(3)送信元IPアドレスに関する条件と、送信元ポート番号の条件の組合せ
これは、送信元の装置あるいはネットワークと、そのアプリケーションの機能を限定できるからである。
(4)宛先IPアドレスに関する条件と、宛先ポート番号の条件の組合せ
これは、宛先の装置あるいはネットワークと、そのアプリケーションの機能を限定できるからである。
【0050】
続いて、動作について説明する。
まず、リピータ型暗号装置が平文ネットワークからパケットを受信した場合の処理動作について説明する。ここでは、特に、暗号化した上で暗号文ネットワークに出力する形態の処理について説明する。
平文ネットワークからパケットを受信すると、パケットは平文ポート20から暗号文ポート21へ転送される。そして、暗号出力フィルタ23で暗号化処理が必要であると判断されると、当該パケットは、暗号化/エンカプセル処理ブロック26に送られる。そして、当該ブロックで、暗号化およびエンカプセル処理する。つまり、パケットのうち、MACデータ部分((オリジナル)IPヘッダ303、TCP/UDPヘッダ302、TCP/UDPデータ301)を暗号化し、新規にエンカプセルヘッダ314とエンカプセルIPヘッダ315を付加する。
【0051】
暗号化/エンカプセル処理ブロック26は、IPアドレスと、そのIPアドレスが設定されたパケットを暗号化または復号する暗号装置(IPアドレス)との対応関係を示す対応テーブルを内部に保持している。そして、当該対応テーブルを用いて、上記オリジナルデータに含まれるIPヘッダのIPアドレス(IP DA(Distination Address)およびIP SA(Source Address))に設定されている端末のIPアドレスに、それぞれ対応する暗号装置(IPアドレス)をエンカプセルIPヘッダ315の宛先IPアドレスとし、自局のIPアドレスをエンカプセルIPヘッダ315の送信元IPアドレスとして設定する。
【0052】
暗号化/エンカプセル処理ブロック26は、更に、TOSフィールドに優先度を設定する。図5は、実施の形態1における暗号化/エンカプセル処理部による優先度設定処理フローを示す図である。
平文データである受信フレームが、優先条件テーブル33中の各優先度条件に適合するか判断するために、優先度条件を構成するそれぞれの条件に相当する受信フレーム内の情報と、当該それぞれの条件を比較する。優先度条件として設定されている条件をすべて満足する場合に、当該優先度条件に適合すると判断する(S501)。
いずれかの優先度条件に適合する場合には、当該優先度条件に対応する優先度を優先条件テーブル33から取得し(S504)、エンカプセルIPヘッダのTOSフィールドに設定する(S505)。
いずれの優先度条件にも適合しない場合には、オリジナルIPヘッダ内のTOSフィールドから優先度を得て(S503)、エンカプセルIPヘッダのTOSフィールドに設定する(S505)。
【0053】
上述の暗号化およびエンカプセル処理後、暗号側MACアドレス解決ブロック28へ送られ、MACアドレスが設定される。
前述のように、IPヘッダのIPアドレスについては、リピータ型暗号装置の接続形態に依らず一義に決定できるが、MACヘッダのMACアドレスについては、リピータ型暗号装置の接続形態などによって、適切なMACアドレスを設定する処理がある。
【0054】
暗号側MACアドレス解決ブロック28が、エンカプセルIPヘッダのIPアドレスに基づいて、MACヘッダのMACアドレスを設定する。IP SAにより特定される装置のMACアドレスをMAC SAに設定する。また、IP DAに基づいて、IP DAにより特定される装置のMACアドレスをMAC DAに設定する。また、接続の形態によっては、IP DAにより特定される装置と同一サブネットに属する暗号側ゲートウェイCGWのMACアドレスをMACDAに設定する。このとき、ARP(Address ResolutionProtocol)によりMACアドレスを取得することが有効である。尚、ARPは、TCP/IP通信時にIPアドレスからEthernet(登録商標)(R)アドレスを求めるためのプロトコルであり、これによりMACアドレスを知ることができる。
【0055】
このようにして、暗号パケットを生成し、その暗号パケットを暗号文ネットワークへ送信する。
【0056】
一方、リピータ型暗号装置が暗号文ネットワークからパケットを受信した場合の処理動作について説明する。ここでは、特に、暗号化されたパケットを受信し、復号した上で平文ネットワークに出力する形態の処理について説明する。
暗号文ネットワークからパケットを受信すると、パケットは復号/デカプセル処理ブロック27へ転送される。そして、復号/デカプセル処理ブロック27で復号およびデカプセル処理が必要であると判断されると、当該パケットは、復号/デカプセル処理される。つまり、暗号側で新規に付加されたエンカプセルIPヘッダ315およびMACヘッダ316を外し、暗号化されている部分を復号し、平文にする。そして、(オリジナル)IPヘッダのTOSフィールドに優先度を設定する。
【0057】
図6は、実施の形態1における復号/デカプセル処理部による優先度設定処理フローを示す図である。
前述の復号/エンカプセル処理(S602)に先立って、暗号データである受信フレームのエンカプセルIPヘッダのTOSフィールドから優先度を取得し(S601)、復号/エンカプセル処理(S602)の後に、復号された平文データ中のオリジナルIPヘッダのTOSフィールドに、S601で取得した優先度を書き込む(S603)。
【0058】
上述の復号およびデカプセル処理後、暗号文ポート21から平文ポート20へ転送されたパケットは、平文出力フィルタ25から平文側MACアドレス解決ブロック29に転送される。
平文側MACアドレス解決ブロック29は、MACヘッダのMACアドレスを設定する。当該リピータ型暗号装置自身のMACアドレスをMAC SAに設定する。また、IP DAに基づいて、MAC DAに設定する。IP DAが当該リピータ型暗号装置と同一のIPセグメント(同一サブネット)に存在する場合には、IP DAにより特定される装置のMACアドレスをMAC DAに設定する。他方、同一のIPセグメントに存在しない場合には、平文側ゲートウェイPGWのMACアドレスをMAC DAに設定する。このとき、ARPによりMACアドレスを取得することが有効である。尚、受信したパケットに設定されていたMAC SAを、新たなMAC SAとして設定しても良い。
【0059】
このようにして、平文パケットを生成し、その平文パケットを平文ネットワークへ送信する。
【0060】
図6に示した復号/デカプセル処理部による復号/デカプセル処理側優先度設定処理は、例えば受信側の端末のアプリケーション等でTOSフィールドの優先度に応じた処理を行う場合に有効である。
【0061】
実施の形態2.
本実施の形態では、出口側となるPE(Provider Edge Router)におけるTOSフィールドの優先度の取り扱いについてのPEの設定内容の仕様の相違に対応する形態について説明する。出口側となるPEは、QoS制御装置の例である。
【0062】
前述のように、IPヘッダの仕様としては、TOSフィールドの優先度として、0〜7の8段階のレベルを設定できるようになっている。しかし、実際にQoS制御を行うPEでは、3段階程度のレベル(例えば、「最優先」、「優先」、「非優先」)による制御を行っている。また、この運用上用いる3段階程度のレベルに割当てるTOSフィールドのデータ上の8段階のレベルの割当てを、各広域ネットワーク提供業者が独自に設定している。例えば、広域ネットワーク提供業者A社のルータであるPEは、0〜1を「非優先」、2〜3を「優先」、4〜7を「最優先」としてQoS制御し、広域ネットワーク提供業者B社のルータであるPEは、0を「非優先」、1を「優先」、2〜7を「最優先」としてQoS制御し、広域ネットワーク提供業者C社のルータであるPEは、0〜5を「非優先」、6を「優先」、7を「最優先」としてQoS制御する状態が想定される。このような状態では、優先度として同じ値が設定されているデータであっても、PEの仕様によってQoS制御での取り扱いが異なってくる。つまり、特定のPEを介する場合にのみ、音声通話の品質が劣ったり、あるいは伝送品質を問わないはずのデータ系の処理によりトラフィックが悪化する事態が生じうる。
【0063】
そこで、本実施の形態では、暗号装置で、予め各PEを想定して、運用上用いるレベル(3段階程度)に割当てるデータ上のレベル(8段階)の割当てを考慮した変換用の優先度変換テーブルを記憶し、優先条件テーブルに基づいて設定した当初の優先度を、各PEの仕様に適合した運用上レベルを想定したPE対応優先度(QoS制御装置対応優先度の例)に変換した上で、TOSフィールドの優先度を設定する。
【0064】
図7は、実施の形態2における暗号装置の構成を示す図である。実施の形態1に対して、優先度変換テーブル34が追加されている。
【0065】
図8は、優先度変換テーブル34の構成例を示す図である。本テーブルは、暗号装置毎に、図5のS501からS504の処理で得られる優先条件テーブル33に基づく当初の優先度を、運用上レベルを想定したPE対応優先度(QoS制御装置対応優先度の例)に対応付けるように構成されている。
具体的には、検索のキーとなる暗号装置アドレスに対して、優先条件テーブル33に基づく当初の優先度毎のPE対応優先度800〜807を記憶するように構成されている。図8の例では、当初決定した優先度が0の場合に、運用で「非優先」として扱うこと、当初の優先度が1〜4の場合に、運用で「優先」として扱うこと、当初の優先度が5〜7の場合に「最優先」として扱うことを前提としている。そして、暗号装置への転送を担うPEの仕様に応じて、これらの3段階の運用上のレベルに割当てられている値をPE対応優先度としている。例えば、851の場合には、「非優先」に相当する当初の優先度(800)には、当該暗号装置が広域ネットワークに接続する為のPEの仕様(前述の広域ネットワーク提供業者A社の仕様)で「非優先」に割当てられている優先度0〜1のうち0を用い、「優先」に相当する当初の優先度(801〜804)には、「優先」に割当てられている優先度2〜3のうち2を用い、「最優先」に相当する当初の優先度(805〜807)には、「最優先」に割当てられている優先度4〜7のうち4を用いている。各運用上のレベルに割当てられている優先度の範囲内から採用する値については、いずれの値を用いても同様にQoS制御される。
【0066】
図9は、実施の形態2における暗号化/エンカプセル処理部による優先度設定処理フローを示す図である。
優先条件テーブル33に基づく当初の優先度を決定した後に(S901〜S904)、暗号装置アドレスと当該優先度に対応するPE対応優先度(QoS制御装置対応優先度の例)を取得する(S905)。そして、PE対応優先度をエンカプセルIPヘッダのTOSフィールドに設定する(S906)。
【0067】
実施の形態3.
本実施の形態では、図10に示すネットワーク構成の想定の下、図4と図8を例として、優先条件テーブル33と優先度変換テーブル34の意義を説明する。図10は、実施の形態3におけるネットワーク構成の具体例を示す図である。
【0068】
ローカルネットワーク1(10.10.1.0〜10.10.1.255)は、リピータ型暗号装置RE1を備え、CEであるルータR1から回線1−4を介してPEであるルータR4に接続している。同様に、ローカルネットワーク2(10.10.2.0〜10.10.2.255)は、リピータ型暗号装置RE2を備え、CEであるルータR2から回線2−5を介してPEであるルータR5に接続している。更に、ローカルネットワーク3(10.10.3.0〜10.10.3.255)は、リピータ型暗号装置RE3を備え、CEであるルータR3から回線3−6を介してPEであるルータR6に接続している。
【0069】
各ローカルネットワークは、端末又は中継機S1〜S6を備え、リピータ型暗号装置RE1〜RE3には、コンソール端末C1〜C3が接続されている。また、ローカルネットワーク1は、管理端末M1を備えている。
【0070】
端末又は中継機S1〜S6のうち、S1〜S3は、非優先情報のみを扱い、S4とS6は、非優先情報と優先する情報の両方を扱い、S5は優先する情報のみを扱うことを想定している。
【0071】
また、PEであるR5は、TOSフィールドの優先度が4の場合に、運用上「最優先」として扱い、同じく2の場合に、「優先」として扱い、同じく0の場合に、「非優先」として扱うようにQoS制御を設定している。PEであるR6は、TOSフィールドの優先度が2の場合に、運用上「最優先」として扱い、同じく1の場合に、「優先」として扱い、同じく0の場合に、「非優先」として扱うようにQoS制御を設定している。
【0072】
先ず、図4の優先条件テーブル33に関して説明する。
上述のネットワーク構成で、暗号装置RE1が、ローカルネットワーク(平文ネットワーク)側からS4からS5宛のフレームを受信した場合には、当該フレームは、優先条件テーブル33内の1列目の優先度条件に適合する。従って、当該フレームに対しては、暗号装置RE1の暗号化/エンカプセル処理ブロックで、優先条件テーブル33を検索し、優先度3が得られる。
【0073】
次の例として、第4層プロトコルがTCPであり、S4が属するサブネットワークアドレスからS6が属するサブネットワークアドレス宛のデータであり、送信元ポート番号と宛先ポート番号が1720であり、TCPデータのオフセット4バイト目から文字列”Ringing”と設定されているフレームを、暗号装置RE1がローカルネットワーク(平文ネットワーク)側から受信した場合には、優先条件テーブル33内の2列目の優先度条件に適合する。従って、当該フレームに対して、優先度5が得られる。
【0074】
次の例として、第4層プロトコルがUDPであり、S4が属するサブネットワークアドレスからS6が属するサブネットワークアドレス宛のデータであり、送信元ポート番号と宛先ポート番号が5004から5060までの値であるフレームを、暗号装置RE1がローカルネットワーク(平文ネットワーク)側から受信した場合には、優先条件テーブル33内の3列目の条件に適合するので、優先度3が得られる。
【0075】
続いて、図8の優先度変換テーブル34に関して説明する。
暗号装置RE1は、ローカルネットワーク(平文ネットワーク)側から端末S4から端末S5宛のフレームを受信した場合、暗号化/エンカプセル処理ブロック26で、端末S5のIPアドレス(10.10.2.2)に対応する暗号装置のIPアドレス(10.10.2.9)を決定する。
暗号装置のIPアドレス(10.10.2.9)と、図9のS901とS904により得られた優先度=3に基づいて、優先度変換テーブル34を検索する。その結果、PE対応優先度=2を得る。エンカプセルIPヘッダのTOSフィールド内の優先度には、このPE対応優先度=2が設定される。この結果、このエンカプセルフレームは、PEであるルータR5で優先度=2と認識され、運用上のレベルを「優先」として扱われ、QoS制御される。
【0076】
別の例として、暗号装置RE1は、ローカルネットワーク(平文ネットワーク)側から受信する端末S4から端末S6宛のフレームを受信した場合、暗号化/エンカプセル処理ブロック26で、端末S6のIPアドレス(10.10.3.2)に対応する暗号装置のアドレス(10.10.3.9)を決定する。
暗号装置のIPアドレス(10.10.3.9)と、図9のS901とS904により得られた優先度=5に基づいて、優先度変換34テーブルを検索する。その結果、PE対応優先度=2を得る。エンカプセルIPヘッダのTOSフィールド内の優先度には、このPE対応優先度=2を設定する。この結果、このエンカプセルフレームは、PEであるルータR6で優先度=2と認識され、運用上のレベルを「最優先」として扱われ、QoS制御される。
また、同様に端末S4から端末S6宛のフレームで、図9のS901とS904により優先度=3が得られている場合には、優先度変換テーブル34を検索した結果、PE対応優先度=1を得る。エンカプセルIPヘッダのTOSフィールド内の優先度には、このPE対応優先度=1が設定される。この結果、このエンカプセルフレームは、PEであるR6で優先度=1と認識され、運用上のレベルを「優先」として扱われ、QoS制御される。
【0077】
実施の形態4.
本実施の形態では、優先条件テーブル33と優先度変換テーブル34の入力と参照に係る装置について説明する。具体的には、暗号装置に接続されたコンソール端末C1〜C3、あるいは、暗号装置RE1〜RE3にリモート接続可能な管理装置M1を用いる。
【0078】
コンソール端末C1〜C3は、前述の優先度条件と優先度を対応付けて記憶する優先条件テーブル33の入力を操作者に促す画面を表示し、操作により入力された優先条件テーブル33を暗号装置に送信するように構成されている。暗号装置RE1〜RE3は、受信した優先条件テーブル33を記憶し、操作者からの要求に応じて、記憶している優先条件テーブル33をコンソール端末C1〜C3に送信し、コンソール端末C1〜C3は、暗号装置RE1〜RE3から優先条件テーブル33を受信した場合に、受信した優先条件テーブル33の内容を表示するように構成されている。また、印刷や一時記憶するようにしてもよい。
【0079】
前述の暗号装置RE1〜RE3と当初の優先度の組合せに対応付けて、PE対応優先度を記憶する優先度変換テーブル34についても同様に、コンソール端末C1〜C3は、優先度変換テーブル34の入力を操作者に促す画面を表示し、操作により入力された優先度変換テーブル34を暗号装置RE1〜RE3に送信するように構成されている。暗号装置RE1〜RE3は、受信した優先度変換テーブル34を記憶し、操作者からの要求に応じて、記憶している優先度変換テーブル34をコンソール端末C1〜C3に送信し、コンソール端末C1〜C3は、暗号装置RE1〜RE3から優先度変換テーブル34を受信した場合に、受信した優先度変換テーブル34の内容を表示するように構成されている。また、印刷や一時記憶するようにしてもよい。
【0080】
管理装置M1も同様に、前述の優先条件テーブル33の入力を操作者に促す画面を表示し、操作により入力された優先条件テーブル33を暗号装置RE1〜RE3に送信するように構成されている。暗号装置RE1〜RE3は、受信した優先条件テーブル33を記憶し、操作者からの要求に応じて、記憶している優先条件テーブル33を管理装置M1に送信し、管理装置M1は、暗号装置RE1〜RE3から優先条件テーブル33を受信した場合に、受信した優先条件テーブル33の内容を表示するように構成されている。また、印刷や一時記憶するようにしてもよい。
【0081】
前述の優先度変換テーブル34についても同様に、管理装置M1は、優先度変換テーブル34の入力を操作者に促す画面を表示し、操作により入力された優先度変換テーブル34を暗号装置RE1〜RE3に送信するように構成されている。暗号装置RE1〜RE3は、受信した優先度変換テーブル34を記憶し、操作者からの要求に応じて、記憶している優先度変換テーブル34を管理装置M1に送信し、管理装置M1は、暗号装置RE1〜RE3から優先度変換テーブル34を受信した場合に、受信した優先度変換テーブル34の内容を表示するように構成されている。また、印刷や一時記憶するようにしてもよい。
【0082】
前記のように、管理装置M1は、ローカルネットワークを介して接続する暗号装置RE1以外にも、広域ネットワークを介して接続する暗号装置RE2,RE3についても上述の動作が可能である。
【0083】
尚、リピータ型暗号装置とコンソール端末と管理装置は、いずれもコンピュータでもよく、各要素はプログラムにより処理を実行することができる。また、プログラムを記憶媒体に記憶させ、記憶媒体からコンピュータに読み取られるようにすることができる。
【0084】
【発明の効果】
本発明においては、リピータ型暗号装置において、平文データのIPヘッダあるいは第4層プロトコルヘッダに含まれる情報あるいは第4層プロトコルデータのうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、決定し優先度を新規に設定されたIPヘッダに設定するので、セキュリティ確保における導入負担を軽減しつつ、QoS制御を正常に機能させ、リアルタイム性の高いデータの伝送品質を向上させることができる。
【図面の簡単な説明】
【図1】本発明に係るネットワークセキュリティシステムのネットワーク構成を示す図である。
【図2】実施の形態1における暗号装置の構成例を示す図である。
【図3】フレームフォーマットの概要を示す図である。
【図4】優先条件テーブルの構成例を示す図である。
【図5】実施の形態1における暗号化/エンカプセル処理部による優先度設定処理フローを示す図である。
【図6】実施の形態1における復号/デカプセル処理部による優先度設定処理フローを示す図である。
【図7】実施の形態2における暗号装置の構成を示す図である。
【図8】優先度変換テーブルの構成例を示す図である。
【図9】実施の形態2における暗号化/エンカプセル処理部による優先度設定処理フローを示す図である。
【図10】実施の形態3におけるネットワーク構成の具体例を示す図である。
【図11】QoSを適用する一般的なネットワーク構成例を示す図である。
【図12】フレームフォーマットの詳細を示す図である。
【図13】TOSのフォーマットの詳細を示す図である。
【図14】従来のリピータ型暗号装置を用いるネットワーク構成例を示す図である。
【図15】従来のリピータ型暗号装置の構成を示す図である。
【図16】従来のリピータ型暗号装置を用いる場合のフレームフォーマットの概要を示す図である。
【符号の説明】
1 端末機能ブロック、2 リピータ機能ブロック、20 平文ポート、21暗号文ポート、22 自局ポート、23 暗号出力フィルタ、24 自局出力フィルタ、25 平文出力フィルタ、26 暗号化/エンカプセル処理ブロック、27 復号/デカプセル処理ブロック、28 暗号側MACアドレス解決ブロック、29 平文側MACアドレス解決ブロック、33 優先条件テーブル、34 優先度変換テーブル。
Claims (10)
- 平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置であって、以下の要素を有することを特徴とする暗号装置
(1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する暗号化/エンカプセル処理ブロック
(2)当該暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する暗号側MACアドレス解決ブロック。 - 暗号装置は、更に、上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルを有し、
上記暗号化/エンカプセル処理ブロックは、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つが、優先条件テーブルの検索度条件に適合するか判定し、適合する場合に、当該優先度条件に対応する優先度を用いることを特徴とする請求項1記載の暗号装置。 - 更に、以下の要素を有することを特徴とする請求項1記載の暗号装置
(3)上記暗号文ネットワークから受信した暗号データを平文データに復号すると共に、当該平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するデカプセル処理を行い、更に、前記受信した暗号データのIPヘッダに設定された優先度を、前記再設定したIPヘッダに設定する復号/デカプセル処理ブロック
(4)当該復号/デカプセル処理ブロックで設定されたIPヘッダに基づいてMACヘッダを設定して生成した平文データを上記暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信する平文側MACアドレス解決ブロック。 - 暗号化/エンカプセル処理ブロックは、上記優先度条件に基づいて決定した優先度を、前記決定した他の暗号装置への中継過程のQoS(クオリティオブサービス)制御装置における優先度の扱いに応じたQoS装置対応優先度に変換し、上記決定した優先度に代えて、上記変換したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定することを特徴とする請求項1記載の暗号装置。
- 暗号装置は、更に、暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルを有し、
上記暗号化/エンカプセル処理ブロックは、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を、前記変換したQoS制御装置対応優先度として用いることを特徴とする請求項11記載の暗号装置。 - 平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する暗号装置に接続されたコンソール端末であって、
上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルの入力を操作者に促し、入力された優先条件テーブルを暗号装置に送信し、更に、暗号装置から優先条件テーブルを受信した場合に、受信した優先条件テーブルの内容を表示することを特徴とするコンソール端末。 - 平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS(クオリティオブサービス)制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定する暗号装置に接続されたコンソール端末であって、
暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルの入力を操作者に促し、入力された優先度変換テーブルを暗号装置に送信し、更に、暗号装置から優先度変換テーブルを受信した場合に、受信した優先度変換テーブルの内容を表示することを特徴とするコンソール端末。 - 平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、優先度を新規に設定されたIPヘッダに設定する暗号装置にリモート接続可能な管理装置であって、
上記優先度条件と上記優先度を対応付けて記憶する優先条件テーブルの入力を操作者に促し、入力された優先条件テーブルを暗号装置に送信し、更に、暗号装置から優先条件テーブルを受信した場合に、受信した優先条件テーブルの内容を表示することを特徴とする管理装置。 - 平文ネットワークと暗号文ネットワークとの間でデータを中継し、上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、前記決定した他の暗号装置と上記優先度条件に基づいて決定した優先度との組合せに対応するQoS(クオリティオブサービス)制御装置対応優先度を優先度変換テーブルから取得し、取得したQoS制御装置対応優先度を新規に設定されたIPヘッダに設定する暗号装置にリモート接続可能な管理装置であって、
暗号装置と優先度の組合せに対応付けて、QoS制御装置対応優先度を記憶する優先度変換テーブルの入力を操作者に促し、入力された優先度変換テーブルを暗号装置に送信し、更に、暗号装置から優先度変換テーブルを受信した場合に、受信した優先度変換テーブルの内容を表示することを特徴とする管理装置。 - 平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置となるコンピュータに、以下の手順を実行させるためのプログラム
(1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行い、更に、平文データのIPヘッダあるいは第4層プロトコルヘッダあるいは第4層プロトコルデータに含まれる情報のうち少なくとも一つについての優先度条件に基づいて、優先度を決定し、上記決定した優先度を新規に設定されたIPヘッダに設定する手順
(2)上記手順で設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する手順。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003066226A JP2004274666A (ja) | 2003-03-12 | 2003-03-12 | 暗号装置及びコンソール端末及び管理装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003066226A JP2004274666A (ja) | 2003-03-12 | 2003-03-12 | 暗号装置及びコンソール端末及び管理装置及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004274666A true JP2004274666A (ja) | 2004-09-30 |
Family
ID=33127008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003066226A Pending JP2004274666A (ja) | 2003-03-12 | 2003-03-12 | 暗号装置及びコンソール端末及び管理装置及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004274666A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007196971A (ja) * | 2006-01-30 | 2007-08-09 | Hitachi Ltd | 車載通信システム |
| JP2007325077A (ja) * | 2006-06-02 | 2007-12-13 | Mitsubishi Electric Corp | データ受信装置及びデータ受信方法 |
| WO2008017275A1 (fr) * | 2006-08-04 | 2008-02-14 | Huawei Technologies Co., Ltd. | Procédé et système de classification de paquet, leur noeud de cryptage et noeud de classification |
| JP2011193055A (ja) * | 2010-03-11 | 2011-09-29 | Fujitsu Ltd | 通信装置および通信方法 |
| JP2016508682A (ja) * | 2013-01-29 | 2016-03-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成 |
| JP2016178392A (ja) * | 2015-03-19 | 2016-10-06 | 株式会社日立製作所 | 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ |
-
2003
- 2003-03-12 JP JP2003066226A patent/JP2004274666A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007196971A (ja) * | 2006-01-30 | 2007-08-09 | Hitachi Ltd | 車載通信システム |
| JP2007325077A (ja) * | 2006-06-02 | 2007-12-13 | Mitsubishi Electric Corp | データ受信装置及びデータ受信方法 |
| WO2008017275A1 (fr) * | 2006-08-04 | 2008-02-14 | Huawei Technologies Co., Ltd. | Procédé et système de classification de paquet, leur noeud de cryptage et noeud de classification |
| JP2011193055A (ja) * | 2010-03-11 | 2011-09-29 | Fujitsu Ltd | 通信装置および通信方法 |
| JP2016508682A (ja) * | 2013-01-29 | 2016-03-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成 |
| US9942159B2 (en) | 2013-01-29 | 2018-04-10 | Telefonaktiebolaget Lm Ericsson | Method and arrangement for QOS differentiation of VPN traffic across domains |
| JP2016178392A (ja) * | 2015-03-19 | 2016-10-06 | 株式会社日立製作所 | 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7664119B2 (en) | Method and apparatus to perform network routing | |
| US7730521B1 (en) | Authentication device initiated lawful intercept of network traffic | |
| US8116307B1 (en) | Packet structure for mirrored traffic flow | |
| JP3874628B2 (ja) | パケット転送装置、半導体装置 | |
| US20100077203A1 (en) | Relay device | |
| US20090113202A1 (en) | System and method for providing secure network communications | |
| KR20070053345A (ko) | 라우팅 및 ip 보안프로토콜 통합 구조 | |
| EP1790127A2 (en) | Methods of and systems for remote outbound control | |
| CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
| US20050063398A1 (en) | Method of implementing L3 switching, network address port translation, and ALG support using a combination of hardware and firmware | |
| JP3259724B2 (ja) | 暗号装置、暗号化器および復号器 | |
| CN111371798A (zh) | 数据安全传输方法、系统、装置及存储介质 | |
| KR20140122335A (ko) | 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치 | |
| JP3563714B2 (ja) | ネットワーク間接続装置 | |
| JP4074851B2 (ja) | 通信中継方法および中継装置 | |
| JP2004274666A (ja) | 暗号装置及びコンソール端末及び管理装置及びプログラム | |
| WO2012013003A1 (zh) | 一种数据报文的处理方法及系统 | |
| JP5151197B2 (ja) | 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法 | |
| CN111683093A (zh) | 基于IPv6网络的动态隐蔽通信方法 | |
| JP4043997B2 (ja) | 暗号装置及びプログラム | |
| CN110336836B (zh) | 一种网络过滤服务系统及方法 | |
| Cisco | Intranet and Extranet VPN Business Scenarios | |
| US20100042829A1 (en) | System and Method for Processing Data and Communicating Encrypted Data | |
| JP2001007849A (ja) | Mplsパケット処理方法及びmplsパケット処理装置 | |
| JP4088179B2 (ja) | ネットワーク機器の接続管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051025 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051222 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060131 |