JP2004328066A - Vpn装置 - Google Patents
Vpn装置 Download PDFInfo
- Publication number
- JP2004328066A JP2004328066A JP2003115952A JP2003115952A JP2004328066A JP 2004328066 A JP2004328066 A JP 2004328066A JP 2003115952 A JP2003115952 A JP 2003115952A JP 2003115952 A JP2003115952 A JP 2003115952A JP 2004328066 A JP2004328066 A JP 2004328066A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- vpn
- tunnel
- required bandwidth
- resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】IPパケットの通信時間に時間的な制約が存在する場合、その時間的な制約を守ることができる場合に限り、VPNトンネルを設定することができるVPN装置を得ることを目的とする。
【解決手段】要求帯域量特定部13により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネル6を設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否する。
【選択図】 図1
【解決手段】要求帯域量特定部13により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネル6を設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、VPNトンネルを設定して、IPパケットの盗聴を防止するVPN装置に関するものである。
【0002】
【従来の技術】
従来のVPN装置は、通信端末から送信されたIPパケットを受信すると、現在残されているリソースに応じてベストエフォート的にVPNトンネルの帯域量を決定する。
なお、一般的なVPN装置は、以下の特許文献1に開示されている。
【0003】
【特許文献1】
特開2001−160828号公報([0022]から[0036]、図4)
【0004】
【発明が解決しようとする課題】
従来のVPN装置は以上のように構成されているので、VPNトンネルの帯域量がベストエフォート的に決定される。したがって、所定時間以内でIPパケットの通信が完了するというような時間的な制約が存在する場合でも、ユーザが必要とする帯域量が確保されるとは限らず、その時間的な制約を守ることができない場合があるなどの課題があった。
【0005】
この発明は上記のような課題を解決するためになされたもので、IPパケットの通信時間に時間的な制約が存在する場合、その時間的な制約を守ることができる場合に限り、VPNトンネルを設定することができるVPN装置を得ることを目的とする。
【0006】
【課題を解決するための手段】
この発明に係るVPN装置は、要求帯域量特定手段により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネルを設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するようにしたものである。
【0007】
【発明の実施の形態】
以下、この発明の実施の一形態を説明する。
実施の形態1.
図1はこの発明の実施の形態1によるVPN装置が適用される通信システムを示す構成図であり、図において、通信端末1はIPパケットの送信側端末であり、通信端末2はIPパケットの受信側端末である。なお、通信端末1,2は例えばパソコンの他、モバイルPCや携帯電話などが該当する。
VPN装置3は通信端末1から送信されたIPパケットを受信すると、VPN装置4との間で、例えばインターネット5などのネットワーク中にVPNトンネル6を設定する。
なお、VPN装置4はVPN装置3と同様の機能を有している。
【0008】
図2はこの発明の実施の形態1によるVPN装置を示す構成図であり、図において、パケット受信部11は通信端末1から送信されたIPパケットを受信するパケット受信手段を構成している。ポリシーテーブル格納部12はIPパケットに対するセキュリティに関する処理内容やVPNトンネルの要求帯域量などを示すポリシーテーブルを格納しているメモリである。要求帯域量特定部13はパケット受信部11により受信されたIPパケットのヘッダ情報とポリシーテーブル格納部12に格納されているポリシーテーブルを参照して、VPNトンネルの要求帯域量等を特定する。なお、ポリシーテーブル格納部12及び要求帯域量特定部13から要求帯域量特定手段が構成されている。
【0009】
リソース管理テーブル格納部14はVPN装置3のリソースに関する情報を示すリソース管理テーブルを格納しているメモリである。トンネル設定部15はリソース管理テーブル格納部14に格納されているリソース管理テーブルを参照し、要求帯域量特定部13により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネル6を設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否する。なお、リソース管理テーブル格納部14及びトンネル設定部15からトンネル設定手段が構成されている。
【0010】
パケット送信部16はトンネル設定部15がVPNトンネル6を設定すると、そのVPNトンネル6を利用して、そのIPパケットをVPN装置4に送信するパケット送信手段を構成している。
なお、パケット受信部11、要求帯域量特定部13、トンネル設定部15及びパケット送信部16は専用のハードウエア(例えば、IC回路)を用いて構成してもよいが、これらの処理内容を示すプログラムを用意し、図示せぬマイクロコンピュータが当該プログラムを実行するようにしてもよい。
【0011】
次に動作について説明する。
例えば、通信端末1がIPパケットを通信端末2に送信するに際して、そのIPパケットの盗聴を防止する必要性が存在する場合、予め、通信端末1,2のTCPポート番号等をVPN装置3のポリシーテーブル格納部12に登録する。
上記の登録が完了した後、通信端末1が通信端末2宛のIPパケットをVPN装置3に送信すると、VPN装置3のパケット受信部11は、通信端末1から送信されたIPパケットを受信する。
【0012】
VPN装置3の要求帯域量特定部13は、パケット受信部11がIPパケットを受信すると、そのIPパケットのヘッダ情報(送信元アドレス、送信先アドレス、トランスポートプロトコル、送信元TCPポート番号、送信先TCPポート番号)と、ポリシーテーブル格納部12に格納されている図3のポリシーテーブルを参照して、VPNトンネル6の要求帯域量等を特定する。
例えば、送信元アドレスが“1.1.1.1”、送信先アドレスが“2.2.2.2”、トランスポートプロトコルが“TCP”、送信元TCPポート番号が“10000”、送信先TCPポート番号が“50”である場合、図3の例では、IPパケットに対するセキュリティに関する処理内容が“IPsec”であり、VPNトンネル6の要求帯域量が“10Mbps”であると特定する。
ここで、“IPsec”とは、IPパケットを暗号化する処理であり、IPパケットの全体を暗号化するトンネルモード、あるいは、IPパケットのデータ部分だけを暗号化するトランスポートモードのいずれかを選択することができる。
【0013】
VPN装置3のトンネル設定部15は、要求帯域量特定部13がVPNトンネル6の要求帯域量を特定すると、リソース管理テーブル格納部14に格納されているリソース管理テーブルを参照して、その要求帯域量を確保するだけのリソースが現在残されているか否かを判断する。
即ち、リソース管理テーブルには、図4に示すように、VPN装置3に割り当てられている全リソース量と、未使用中のリソース量が記述されているので、VPNトンネル6の要求帯域量と未使用中のリソース量とを比較し、その要求帯域量が未使用中のリソース量を上回っていれば、その要求帯域量を確保するだけのリソースが現在残されていると判断する。
トンネル設定部15は、その要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネル6を設定する。
一方、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するため、その旨を示すIPパケットを通信端末1に返送する。
【0014】
VPN装置3のパケット送信部16は、トンネル設定部15がVPNトンネルを設定すると、そのVPNトンネル6を利用して、そのIPパケットをVPN装置4に送信する。
ただし、上記のように、IPパケットに対するセキュリティに関する処理内容が“IPsec”である場合、VPN装置4に保存されている暗号鍵と同一の暗号鍵を用いて、そのIPパケットを暗号化し、暗号化後のIPパケットをVPN装置4に送信する。
VPN装置4は、VPN装置3からVPNトンネル6を介して送信されたIPパケットを受信すると、その暗号鍵を用いてIPパケットを復号し、そのIPパケットを通信端末2に送信する。
【0015】
以上で明らかなように、この実施の形態1によれば、要求帯域量特定部13により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネル6を設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するように構成したので、IPパケットの通信時間に時間的な制約が存在する場合、その時間的な制約を守ることができる場合に限り、VPNトンネル6を設定することができる効果を奏する。
即ち、所定の通信時間以内にIPパケットの送信を完了することができない無駄な通信を排除することができる効果を奏する。
【0016】
なお、この実施の形態1では、セキュリティに関する処理内容が“IPsec”であるものについて示したが、これに限るものではなく、他のセキュリティに関する処理内容を実施するようにしてもよい。
因みに、図3における“IPsecバイパス”は、IPパケットを暗号化せずにIPパケットを平文のまま送信することを意味し、“拒否”はIPパケットの送信を拒否することを意味している。
【0017】
実施の形態2.
上記実施の形態1では、VPNトンネル6の要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するものについて示したが、その要求帯域量を確保するだけのリソースが現在残されていない場合でも、IPパケットの送信を拒否せずに、可能な限り大きな帯域のVPNトンネル6を設定するようにしてもよい。
【0018】
即ち、VPNトンネル6の要求帯域量が確保されない場合でも、IPパケットの送信を希望する情報が、例えば、IPパケットのヘッダ情報等に含まれている場合、IPパケットの送信を拒否せずに、可能な限り大きな帯域のVPNトンネル6を設定するようにする。例えば、VPNトンネル6の要求帯域量が10Mbpsのとき、未使用中のリソース量が5Mbpsであれば、帯域量が5MbpsのVPNトンネル6を設定する。
これにより、時間的な制約を守ることができない場合でも、IPパケットを送信する必要性が高い状況に対処することができる効果を奏する。
【0019】
実施の形態3.
上記実施の形態1,2では、VPN装置3,4がリソースを1つだけ保有しているものについて示したが、図5に示すように、VPN装置3,4が複数のリソースを保有している場合、VPN装置3のトンネル設定部15が必要に応じて複数のリソースを利用してVPNトンネル6,7を設定するようにしてもよい。
【0020】
具体的には、VPNトンネル6の要求帯域量が例えば10Mbpsであるときに、リソースA又はリソースBの未使用中のリソース量YY,ZZが10Mbpsを上回っていれば、いずれかのリソースを用いてVPNトンネルを設定する(図6を参照)。
しかし、リソースA,Bのいずれも10Mbpsを上回らないが、両方のリソースを用いれば、10Mbpsを上回る場合、両方のリソースを用いてVPNトンネルを設定する。
【0021】
例えば、リソースAの未使用中のリソース量YYが6Mbpsで、リソースBの未使用中のリソース量ZZが4Mbpsであれば、リソースAを用いてVPNトンネル6を設定し、リソースBを用いてVPNトンネル7を設定する。
この場合、VPN装置3のパケット送信部16は、IPパケットを2つに分け、VPNトンネル6,7を利用してVPN装置4に送信する。
これにより、IPパケットを効率的に送信することができる効果を奏する。
【0022】
実施の形態4.
上記実施の形態1〜3では、VPN装置3がVPNトンネルを設定するものについて示したが、図7に示すように、無線端末1がアクセス可能なVPN装置3の他にVPN装置8が存在する場合がある。
このような場合において、無線端末1がIPパケットをVPN装置3に送信したとき、VPN装置3のトンネル設定部15がIPパケットの送信を拒否する場合、現在要求帯域量を確保することが可能な他のVPN装置8を通信端末1に照会するようにしてもよい。
【0023】
即ち、VPN装置3のトンネル設定部15は、上記実施の形態1で説明したように、要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するが、VPN装置8が要求帯域量を上回る未使用中のリソース量を有している場合、通信端末1に返送するパケットに、VPN装置8であれば要求帯域量を確保することができる旨を示す情報を含めるようにする。
なお、この場合、VPN装置3とVPN装置8は、互いの未使用中のリソース量を示す情報をリアルタイムで送受信する必要がある(図8を参照)。
この実施の形態4によれば、通信端末1は、VPN装置8を利用してIPパケットを送信することができるので、時間的な制約を守ることが可能な送信機会を増やすことができる効果を奏する。
【0024】
【発明の効果】
以上のように、この発明によれば、要求帯域量特定手段により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネルを設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するように構成したので、IPパケットの通信時間に時間的な制約が存在する場合、その時間的な制約を守ることができる場合に限り、VPNトンネルを設定することができる効果がある。
【図面の簡単な説明】
【図1】この発明の実施の形態1によるVPN装置が適用される通信システムを示す構成図である。
【図2】この発明の実施の形態1によるVPN装置を示す構成図である。
【図3】ポリシーテーブルを示す説明図である。
【図4】リソース管理テーブルを示す説明図である。
【図5】この発明の実施の形態3によるVPN装置を示す構成図である。
【図6】リソース管理テーブルを示す説明図である。
【図7】この発明の実施の形態4によるVPN装置を示す構成図である。
【図8】リソース管理テーブルを示す説明図である。
【符号の説明】
1,2 通信端末、3,4,8 VPN装置、5 インターネット、6,7 VPNトンネル、11 パケット受信部(パケット受信手段)、12 ポリシーテーブル格納部(要求帯域量特定手段)、13 要求帯域量特定部(要求帯域量特定手段)、14 リソース管理テーブル格納部(トンネル設定手段)、15 トンネル設定部(トンネル設定手段)、16 パケット送信部(パケット送信手段)。
【発明の属する技術分野】
この発明は、VPNトンネルを設定して、IPパケットの盗聴を防止するVPN装置に関するものである。
【0002】
【従来の技術】
従来のVPN装置は、通信端末から送信されたIPパケットを受信すると、現在残されているリソースに応じてベストエフォート的にVPNトンネルの帯域量を決定する。
なお、一般的なVPN装置は、以下の特許文献1に開示されている。
【0003】
【特許文献1】
特開2001−160828号公報([0022]から[0036]、図4)
【0004】
【発明が解決しようとする課題】
従来のVPN装置は以上のように構成されているので、VPNトンネルの帯域量がベストエフォート的に決定される。したがって、所定時間以内でIPパケットの通信が完了するというような時間的な制約が存在する場合でも、ユーザが必要とする帯域量が確保されるとは限らず、その時間的な制約を守ることができない場合があるなどの課題があった。
【0005】
この発明は上記のような課題を解決するためになされたもので、IPパケットの通信時間に時間的な制約が存在する場合、その時間的な制約を守ることができる場合に限り、VPNトンネルを設定することができるVPN装置を得ることを目的とする。
【0006】
【課題を解決するための手段】
この発明に係るVPN装置は、要求帯域量特定手段により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネルを設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するようにしたものである。
【0007】
【発明の実施の形態】
以下、この発明の実施の一形態を説明する。
実施の形態1.
図1はこの発明の実施の形態1によるVPN装置が適用される通信システムを示す構成図であり、図において、通信端末1はIPパケットの送信側端末であり、通信端末2はIPパケットの受信側端末である。なお、通信端末1,2は例えばパソコンの他、モバイルPCや携帯電話などが該当する。
VPN装置3は通信端末1から送信されたIPパケットを受信すると、VPN装置4との間で、例えばインターネット5などのネットワーク中にVPNトンネル6を設定する。
なお、VPN装置4はVPN装置3と同様の機能を有している。
【0008】
図2はこの発明の実施の形態1によるVPN装置を示す構成図であり、図において、パケット受信部11は通信端末1から送信されたIPパケットを受信するパケット受信手段を構成している。ポリシーテーブル格納部12はIPパケットに対するセキュリティに関する処理内容やVPNトンネルの要求帯域量などを示すポリシーテーブルを格納しているメモリである。要求帯域量特定部13はパケット受信部11により受信されたIPパケットのヘッダ情報とポリシーテーブル格納部12に格納されているポリシーテーブルを参照して、VPNトンネルの要求帯域量等を特定する。なお、ポリシーテーブル格納部12及び要求帯域量特定部13から要求帯域量特定手段が構成されている。
【0009】
リソース管理テーブル格納部14はVPN装置3のリソースに関する情報を示すリソース管理テーブルを格納しているメモリである。トンネル設定部15はリソース管理テーブル格納部14に格納されているリソース管理テーブルを参照し、要求帯域量特定部13により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネル6を設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否する。なお、リソース管理テーブル格納部14及びトンネル設定部15からトンネル設定手段が構成されている。
【0010】
パケット送信部16はトンネル設定部15がVPNトンネル6を設定すると、そのVPNトンネル6を利用して、そのIPパケットをVPN装置4に送信するパケット送信手段を構成している。
なお、パケット受信部11、要求帯域量特定部13、トンネル設定部15及びパケット送信部16は専用のハードウエア(例えば、IC回路)を用いて構成してもよいが、これらの処理内容を示すプログラムを用意し、図示せぬマイクロコンピュータが当該プログラムを実行するようにしてもよい。
【0011】
次に動作について説明する。
例えば、通信端末1がIPパケットを通信端末2に送信するに際して、そのIPパケットの盗聴を防止する必要性が存在する場合、予め、通信端末1,2のTCPポート番号等をVPN装置3のポリシーテーブル格納部12に登録する。
上記の登録が完了した後、通信端末1が通信端末2宛のIPパケットをVPN装置3に送信すると、VPN装置3のパケット受信部11は、通信端末1から送信されたIPパケットを受信する。
【0012】
VPN装置3の要求帯域量特定部13は、パケット受信部11がIPパケットを受信すると、そのIPパケットのヘッダ情報(送信元アドレス、送信先アドレス、トランスポートプロトコル、送信元TCPポート番号、送信先TCPポート番号)と、ポリシーテーブル格納部12に格納されている図3のポリシーテーブルを参照して、VPNトンネル6の要求帯域量等を特定する。
例えば、送信元アドレスが“1.1.1.1”、送信先アドレスが“2.2.2.2”、トランスポートプロトコルが“TCP”、送信元TCPポート番号が“10000”、送信先TCPポート番号が“50”である場合、図3の例では、IPパケットに対するセキュリティに関する処理内容が“IPsec”であり、VPNトンネル6の要求帯域量が“10Mbps”であると特定する。
ここで、“IPsec”とは、IPパケットを暗号化する処理であり、IPパケットの全体を暗号化するトンネルモード、あるいは、IPパケットのデータ部分だけを暗号化するトランスポートモードのいずれかを選択することができる。
【0013】
VPN装置3のトンネル設定部15は、要求帯域量特定部13がVPNトンネル6の要求帯域量を特定すると、リソース管理テーブル格納部14に格納されているリソース管理テーブルを参照して、その要求帯域量を確保するだけのリソースが現在残されているか否かを判断する。
即ち、リソース管理テーブルには、図4に示すように、VPN装置3に割り当てられている全リソース量と、未使用中のリソース量が記述されているので、VPNトンネル6の要求帯域量と未使用中のリソース量とを比較し、その要求帯域量が未使用中のリソース量を上回っていれば、その要求帯域量を確保するだけのリソースが現在残されていると判断する。
トンネル設定部15は、その要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネル6を設定する。
一方、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するため、その旨を示すIPパケットを通信端末1に返送する。
【0014】
VPN装置3のパケット送信部16は、トンネル設定部15がVPNトンネルを設定すると、そのVPNトンネル6を利用して、そのIPパケットをVPN装置4に送信する。
ただし、上記のように、IPパケットに対するセキュリティに関する処理内容が“IPsec”である場合、VPN装置4に保存されている暗号鍵と同一の暗号鍵を用いて、そのIPパケットを暗号化し、暗号化後のIPパケットをVPN装置4に送信する。
VPN装置4は、VPN装置3からVPNトンネル6を介して送信されたIPパケットを受信すると、その暗号鍵を用いてIPパケットを復号し、そのIPパケットを通信端末2に送信する。
【0015】
以上で明らかなように、この実施の形態1によれば、要求帯域量特定部13により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネル6を設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するように構成したので、IPパケットの通信時間に時間的な制約が存在する場合、その時間的な制約を守ることができる場合に限り、VPNトンネル6を設定することができる効果を奏する。
即ち、所定の通信時間以内にIPパケットの送信を完了することができない無駄な通信を排除することができる効果を奏する。
【0016】
なお、この実施の形態1では、セキュリティに関する処理内容が“IPsec”であるものについて示したが、これに限るものではなく、他のセキュリティに関する処理内容を実施するようにしてもよい。
因みに、図3における“IPsecバイパス”は、IPパケットを暗号化せずにIPパケットを平文のまま送信することを意味し、“拒否”はIPパケットの送信を拒否することを意味している。
【0017】
実施の形態2.
上記実施の形態1では、VPNトンネル6の要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するものについて示したが、その要求帯域量を確保するだけのリソースが現在残されていない場合でも、IPパケットの送信を拒否せずに、可能な限り大きな帯域のVPNトンネル6を設定するようにしてもよい。
【0018】
即ち、VPNトンネル6の要求帯域量が確保されない場合でも、IPパケットの送信を希望する情報が、例えば、IPパケットのヘッダ情報等に含まれている場合、IPパケットの送信を拒否せずに、可能な限り大きな帯域のVPNトンネル6を設定するようにする。例えば、VPNトンネル6の要求帯域量が10Mbpsのとき、未使用中のリソース量が5Mbpsであれば、帯域量が5MbpsのVPNトンネル6を設定する。
これにより、時間的な制約を守ることができない場合でも、IPパケットを送信する必要性が高い状況に対処することができる効果を奏する。
【0019】
実施の形態3.
上記実施の形態1,2では、VPN装置3,4がリソースを1つだけ保有しているものについて示したが、図5に示すように、VPN装置3,4が複数のリソースを保有している場合、VPN装置3のトンネル設定部15が必要に応じて複数のリソースを利用してVPNトンネル6,7を設定するようにしてもよい。
【0020】
具体的には、VPNトンネル6の要求帯域量が例えば10Mbpsであるときに、リソースA又はリソースBの未使用中のリソース量YY,ZZが10Mbpsを上回っていれば、いずれかのリソースを用いてVPNトンネルを設定する(図6を参照)。
しかし、リソースA,Bのいずれも10Mbpsを上回らないが、両方のリソースを用いれば、10Mbpsを上回る場合、両方のリソースを用いてVPNトンネルを設定する。
【0021】
例えば、リソースAの未使用中のリソース量YYが6Mbpsで、リソースBの未使用中のリソース量ZZが4Mbpsであれば、リソースAを用いてVPNトンネル6を設定し、リソースBを用いてVPNトンネル7を設定する。
この場合、VPN装置3のパケット送信部16は、IPパケットを2つに分け、VPNトンネル6,7を利用してVPN装置4に送信する。
これにより、IPパケットを効率的に送信することができる効果を奏する。
【0022】
実施の形態4.
上記実施の形態1〜3では、VPN装置3がVPNトンネルを設定するものについて示したが、図7に示すように、無線端末1がアクセス可能なVPN装置3の他にVPN装置8が存在する場合がある。
このような場合において、無線端末1がIPパケットをVPN装置3に送信したとき、VPN装置3のトンネル設定部15がIPパケットの送信を拒否する場合、現在要求帯域量を確保することが可能な他のVPN装置8を通信端末1に照会するようにしてもよい。
【0023】
即ち、VPN装置3のトンネル設定部15は、上記実施の形態1で説明したように、要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するが、VPN装置8が要求帯域量を上回る未使用中のリソース量を有している場合、通信端末1に返送するパケットに、VPN装置8であれば要求帯域量を確保することができる旨を示す情報を含めるようにする。
なお、この場合、VPN装置3とVPN装置8は、互いの未使用中のリソース量を示す情報をリアルタイムで送受信する必要がある(図8を参照)。
この実施の形態4によれば、通信端末1は、VPN装置8を利用してIPパケットを送信することができるので、時間的な制約を守ることが可能な送信機会を増やすことができる効果を奏する。
【0024】
【発明の効果】
以上のように、この発明によれば、要求帯域量特定手段により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネルを設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するように構成したので、IPパケットの通信時間に時間的な制約が存在する場合、その時間的な制約を守ることができる場合に限り、VPNトンネルを設定することができる効果がある。
【図面の簡単な説明】
【図1】この発明の実施の形態1によるVPN装置が適用される通信システムを示す構成図である。
【図2】この発明の実施の形態1によるVPN装置を示す構成図である。
【図3】ポリシーテーブルを示す説明図である。
【図4】リソース管理テーブルを示す説明図である。
【図5】この発明の実施の形態3によるVPN装置を示す構成図である。
【図6】リソース管理テーブルを示す説明図である。
【図7】この発明の実施の形態4によるVPN装置を示す構成図である。
【図8】リソース管理テーブルを示す説明図である。
【符号の説明】
1,2 通信端末、3,4,8 VPN装置、5 インターネット、6,7 VPNトンネル、11 パケット受信部(パケット受信手段)、12 ポリシーテーブル格納部(要求帯域量特定手段)、13 要求帯域量特定部(要求帯域量特定手段)、14 リソース管理テーブル格納部(トンネル設定手段)、15 トンネル設定部(トンネル設定手段)、16 パケット送信部(パケット送信手段)。
Claims (5)
- 通信端末から送信されたIPパケットを受信するパケット受信手段と、上記パケット受信手段により受信されたIPパケットのヘッダ情報を参照してVPNトンネルの要求帯域量を特定する要求帯域量特定手段と、上記要求帯域量特定手段により特定された要求帯域量を確保するだけのリソースが現在残されている場合、その要求帯域量に見合うVPNトンネルを設定し、その要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否するトンネル設定手段と、上記トンネル設定手段により設定されたVPNトンネルを利用して、そのIPパケットを送信するパケット送信手段とを備えたVPN装置。
- パケット送信手段は、IPパケットを送信する際、そのIPパケットを暗号化して送信することを特徴とする請求項1記載のVPN装置。
- トンネル設定手段は、要求帯域量を確保するだけのリソースが現在残されていない場合、IPパケットの送信を拒否せずに可能な限り大きな帯域のVPNトンネルを設定することを特徴とする請求項1または請求項2記載のVPN装置。
- トンネル設定手段は、複数のリソースが存在する場合、複数のリソースを利用してVPNトンネルを設定することを特徴とする請求項1または請求項2記載のVPN装置。
- トンネル設定手段は、IPパケットの送信を拒否する場合、現在、要求帯域量を確保することが可能な他のVPN装置を通信端末に照会することを特徴とする請求項1または請求項2記載のVPN装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003115952A JP2004328066A (ja) | 2003-04-21 | 2003-04-21 | Vpn装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003115952A JP2004328066A (ja) | 2003-04-21 | 2003-04-21 | Vpn装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004328066A true JP2004328066A (ja) | 2004-11-18 |
Family
ID=33496355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003115952A Withdrawn JP2004328066A (ja) | 2003-04-21 | 2003-04-21 | Vpn装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004328066A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006186561A (ja) * | 2004-12-27 | 2006-07-13 | Fujitsu Ltd | Vpnネットワーク中継装置 |
| JP2007281917A (ja) * | 2006-04-07 | 2007-10-25 | Shinshu Univ | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP4826827B2 (ja) * | 2005-02-28 | 2011-11-30 | 日本電気株式会社 | 通信装置、通信システム、通信方法、及びプログラム |
-
2003
- 2003-04-21 JP JP2003115952A patent/JP2004328066A/ja not_active Withdrawn
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006186561A (ja) * | 2004-12-27 | 2006-07-13 | Fujitsu Ltd | Vpnネットワーク中継装置 |
| JP4549180B2 (ja) * | 2004-12-27 | 2010-09-22 | 富士通株式会社 | Vpnネットワーク中継装置 |
| JP4826827B2 (ja) * | 2005-02-28 | 2011-11-30 | 日本電気株式会社 | 通信装置、通信システム、通信方法、及びプログラム |
| US8250643B2 (en) | 2005-02-28 | 2012-08-21 | Nec Corporation | Communication device, communication system, communication method, and program |
| JP2007281917A (ja) * | 2006-04-07 | 2007-10-25 | Shinshu Univ | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| US9065701B2 (en) | Enhanced serialization mechanism | |
| US20080267177A1 (en) | Method and system for virtualization of packet encryption offload and onload | |
| US20100088288A1 (en) | Apparatus and Method for Resolving Security Association Database Update Coherency in High-Speed Systems Having Multiple Security Channels | |
| US8375421B1 (en) | Enabling a virtual meeting room through a firewall on a network | |
| US8175271B2 (en) | Method and system for security protocol partitioning and virtualization | |
| US8458366B2 (en) | Method and system for onloading network services | |
| CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
| EP1643714A1 (en) | Access point that provides a symmetric encryption key to an authenticated wireless station | |
| CN112491821B (zh) | 一种IPSec报文转发的方法及装置 | |
| US11509639B2 (en) | IPsec anti-replay window with quality of service | |
| JP2008160851A (ja) | クライアントの地理的位置を使用して保護スイートを決定するネットワークで実施される方法 | |
| US20130166905A1 (en) | Methods and arrangements for secure communication over an ip network | |
| US20030172303A1 (en) | Method and system for accelerating the conversion process between encryption schemes | |
| US20030051132A1 (en) | Electronic device with relay function of wireless data communication | |
| EP2706717A1 (en) | Method and devices for registering a client to a server | |
| KR100480999B1 (ko) | 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰채널 제공 장치 및 방법 | |
| WO2017148419A1 (zh) | 数据传输方法及服务器 | |
| EP1687998B1 (en) | Method and apparatus to inline encryption and decryption for a wireless station | |
| Nowlan et al. | Reducing latency in Tor circuits with unordered delivery | |
| JP2004064531A (ja) | 無線アクセスポイント | |
| US20040049585A1 (en) | SERVER SIDE CONFIGURATION OF CLIENT IPSec LIFETIME SECURITY PARAMETERS | |
| US20080133915A1 (en) | Communication apparatus and communication method | |
| US20080186969A1 (en) | Internet Protocol Based Encryptor/Decryptor Two Stage Bypass Device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051006 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20070613 |