JP2005210645A - Data communication method, data communication system, data communication program, and data communication apparatus - Google Patents

Data communication method, data communication system, data communication program, and data communication apparatus Download PDF

Info

Publication number
JP2005210645A
JP2005210645A JP2004017664A JP2004017664A JP2005210645A JP 2005210645 A JP2005210645 A JP 2005210645A JP 2004017664 A JP2004017664 A JP 2004017664A JP 2004017664 A JP2004017664 A JP 2004017664A JP 2005210645 A JP2005210645 A JP 2005210645A
Authority
JP
Japan
Prior art keywords
data communication
ipsec
update request
address
communication path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004017664A
Other languages
Japanese (ja)
Other versions
JP3980564B2 (en
Inventor
Masahiko Takenaka
正彦 武仲
Shingo Fujimoto
真吾 藤本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004017664A priority Critical patent/JP3980564B2/en
Publication of JP2005210645A publication Critical patent/JP2005210645A/en
Application granted granted Critical
Publication of JP3980564B2 publication Critical patent/JP3980564B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To make compatible the security of data communication, an IPsec/IKE program and convenience of data communication depending upon seamless roaming. <P>SOLUTION: An IKE cipher communication path which is parallel with an IPsec cipher communication path, is utilized to request a communication party to update the IPsec cipher communication path, using an IKE phase-2 protocol from a changed IP address if the IP address changes. At the side of the opposite party, negotiation of information required for said updating is performed by an IKE protocol, according to the request, as long as the identity of the request source can be confirmed from the identity with a conventional cookie, regardless of the IP address difference. Afterwards, an IPsec cipher communication path, according to the new address is created between both the communicators and the former communication path, is deleted. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

この発明は、第1のデータ通信装置と第2のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信方法、データ通信システム、データ通信プログラム、およびデータ通信装置に関する。   The present invention relates to a data communication method, a data communication system, a data communication program, and a data communication apparatus that transmit and receive data between a first data communication apparatus and a second data communication apparatus via an IPsec encryption communication path.

安全性が要求されるネットワーク通信で現在広く用いられ、P2Pの暗号通信や暗号化VPN(Virtual Private Network)、ファイアウォールのセキュアゲートウェイ等へも応用されている暗号通信方式として、「IPsec/IKE(Internet Protocol security/Internet Key Exchange)」が存在する(たとえば、非特許文献1参照。)。   As an encryption communication method that is widely used in network communication requiring safety and is also applied to P2P encryption communication, encrypted VPN (Virtual Private Network), secure gateway of firewall, etc., “IPsec / IKE (Internet) Protocol security / Internet Key Exchange) ”(see, for example, Non-Patent Document 1).

この非特許文献1にも記載されているように、IPsecは暗号通信(および認証通信)プロトコルであり、IKEはIPsecで使用する鍵の交換をおこなうプロトコルである。IPsec暗号通信路で使用する鍵を、IKE暗号通信路経由で定期的に差し替えることで、通信の安全性をより向上させることができる。   As described in Non-Patent Document 1, IPsec is an encryption communication (and authentication communication) protocol, and IKE is a protocol for exchanging keys used in IPsec. By periodically replacing the key used in the IPsec encrypted communication path via the IKE encrypted communication path, the safety of communication can be further improved.

図14はIKEプロトコルの概略を示す説明図である。図中、フェーズ1は通信開始時に実行されるプロトコルであり、始動者(Initiator)である通信者Aと応答者(Responder)である通信者Bとの間で、IKE用SAパラメータや鍵情報、ID、認証情報などが受け渡しされる(図14(1−1)〜(1−6)を参照。)。また、フェーズ2は通信開始時、および通信途中にも定期的に実行されるプロトコルであり、通信者Aから通信者Bに提案されたIPsec用SAパラメータの組み合わせのうち、通信者Bが一つを選択して通信者Aに通知すると、通信者Aから通信者Bに確認の旨を通知する手順となっている(図14(2−1)〜(2−3)を参照。)。   FIG. 14 is an explanatory diagram showing an outline of the IKE protocol. In the figure, phase 1 is a protocol executed at the start of communication. Between the communication person A as an initiator and the communication person B as a responder, IKE SA parameters and key information, ID, authentication information, etc. are passed (refer to FIGS. 14 (1-1) to (1-6)). Phase 2 is a protocol that is periodically executed at the start of communication and during communication. Among the combinations of the SA parameters for IPsec proposed by the communication person A to the communication person B, the communication person B is one. When the communication person A is selected and notified to the communication person A, the communication person A notifies the communication person B of the confirmation (refer to FIGS. 14 (2-1) to (2-3)).

一方、携帯電話機やノートパソコン、車載端末等のモバイル機器の発達により、移動中もこれらの機器に対して通信サービスを提供するような場面が増加している。そして、移動する機器に継続してサービスを提供するには、複数の基地局/アクセスポイント間でローミングサービスをおこなう必要がある。特にローミング時に切れ目なく通信サービスを提供することを「シームレスローミング」と呼び、今後のユビキタスネットワーク社会では必須のサービス/技術であるといわれている。そして一般にIP通信のローミングサービスは、「モバイルIP」と呼ばれる技術で実現されている。なお、ローミングに関する従来技術としてはたとえば下記特許文献1などがある。   On the other hand, with the development of mobile devices such as mobile phones, notebook computers, and in-vehicle terminals, there are increasing occasions where communication services are provided to these devices even while moving. In order to continuously provide a service to a moving device, it is necessary to perform a roaming service between a plurality of base stations / access points. In particular, providing seamless communication services during roaming is called “seamless roaming” and is said to be an essential service / technology in the future ubiquitous network society. In general, a roaming service for IP communication is realized by a technique called “mobile IP”. As a conventional technique related to roaming, for example, there is Patent Document 1 below.

特開2003−319010号公報JP 2003-319010 A 馬場達也著、“マスタリングIPsec”、オーム社、2001年Tatsuya Baba, “Mastering IPsec”, Ohmsha, 2001

しかしながらこのモバイルIPによる通信を安全におこなうには、何らかの方式による通信の暗号化が必須である。そして上述のように、暗号通信の代表的なプロトコルはIPsec/IKEであるが、もっぱらIPアドレスによって通信相手を識別するIPsecでは、ローミングが発生してIPアドレスが変化すると通信を継続できない。そこで、ローミング前後で同じIPアドレスを使用できるモバイルIPの技術をIPsecの外側に適用すると、モバイルIPのヘッダは暗号化の対象外となってしまう。   However, in order to perform communication using the mobile IP safely, it is essential to encrypt the communication by some method. As described above, a typical protocol for encrypted communication is IPsec / IKE. However, in IPsec in which a communication partner is exclusively identified by an IP address, communication cannot be continued if roaming occurs and the IP address changes. Therefore, if the mobile IP technology that can use the same IP address before and after roaming is applied outside IPsec, the header of mobile IP is not subject to encryption.

すなわち、モバイルIPの安全性を確保するのにIPsecを使用するとローミングが不可能になり、IPsecをローミング後も継続するためには、暗号化されていないモバイルIPを使用しなければならないという事態になり、暗号通信による安全なネットワーク通信と、シームレスローミングとを同時に実現することは困難であった。   That is, when IPsec is used to ensure the safety of mobile IP, roaming becomes impossible, and in order to continue IPsec even after roaming, it is necessary to use unencrypted mobile IP. Therefore, it has been difficult to simultaneously realize secure network communication by encryption communication and seamless roaming.

そこで従来は、モバイルIP通信プロトコル自体を守ることは断念し、IPsec暗号通信を継続することで一応の安全性確保とシームレスローミングとを実現していた。この従来例としてはたとえば、ローミングが発生する側(IPアドレスが変化する側)の機器に「MobileIP FA(Foreign Agent)」、当該機器の通信相手側に「MobileIP HA(Home Agent)」を搭載し、ローミング発生を検出するとこれらの機能により自動的に通信路を張り替えるようなものがある。しかし完全に安全な通信とはいえない上に、「MobileIP HA」は一種のサーバであって移動に制限などがあるため、いずれにせよP2P通信における安全性と利便性との両立は困難であるという問題もあった。   Therefore, in the past, it has been abandoned to protect the mobile IP communication protocol itself, and the security has been temporarily secured and seamless roaming has been realized by continuing the IPsec encryption communication. As a conventional example, for example, a “MobileIP FA (Foreign Agent)” is installed in a device on the side where roaming occurs (IP address changes), and a “MobileIP HA (Home Agent)” is installed on the communication partner side of the device. Some of these functions automatically change the communication path when the occurrence of roaming is detected. However, it cannot be said that it is completely secure communication, and “MobileIP HA” is a kind of server and has restrictions on movement. Therefore, it is difficult to achieve both safety and convenience in P2P communication anyway. There was also a problem.

この発明は、上述した従来技術による問題点を解消するため、IPsec/IKEプロトコルによるデータ通信の安全性と、シームレスローミングによるデータ通信の利便性とを両立させることが可能なデータ通信方法、データ通信システム、データ通信プログラム、およびデータ通信装置を提供することを目的とする。   In order to solve the above-described problems caused by the prior art, the present invention provides a data communication method and data communication capable of satisfying both the safety of data communication based on the IPsec / IKE protocol and the convenience of data communication based on seamless roaming. It is an object to provide a system, a data communication program, and a data communication apparatus.

上述した課題を解決し、目的を達成するため、この発明にかかるデータ通信方法、データ通信システム、データ通信プログラム、およびデータ通信装置は、通信者AおよびBの間にIPsec暗号通信路が確立している状態で、AのIPアドレスが変化すると、AからBにIPsec暗号通信路の更新が要求され、BではIPアドレス以外の識別情報により通信相手の同一性を確認の上、上記更新に必要な情報をAとの間で取り決めて、IPsec暗号通信路の更新をおこなう。   In order to solve the above-described problems and achieve the object, the data communication method, data communication system, data communication program, and data communication apparatus according to the present invention establish an IPsec encryption communication path between the communicators A and B. When A's IP address changes, A requests B to update the IPsec encrypted communication path, and B confirms the identity of the communication partner using identification information other than the IP address and is necessary for the above update. New information is negotiated with A and the IPsec encrypted communication path is updated.

この発明によれば、ローミングなどを契機として通信途中に相手のIPアドレスが変化しても、それ以外の識別情報で相手の同一性を確認できる限り、新たなIPアドレスの下でIPsec暗号通信路を張り替えて接続を維持することができる。   According to the present invention, even if the other party's IP address changes during communication due to roaming or the like, as long as the other party's identity can be confirmed by the other identification information, the IPsec encrypted communication path under the new IP address Can be connected to maintain the connection.

また、この発明にかかるデータ通信方法、およびデータ通信システムは、IPsec暗号通信路の更新要求と当該更新に必要な情報の決定とをIKEフェーズ2プロトコルにしたがっておこなう。   In addition, the data communication method and the data communication system according to the present invention perform an update request for the IPsec encryption communication path and determination of information necessary for the update according to the IKE phase 2 protocol.

この発明によれば、既存のIKEフェーズ2プロトコルを利用・拡張するだけで、IPアドレスが変化してもIPsec暗号通信路を高速に張り替えて接続を維持することができる。   According to the present invention, it is possible to maintain the connection by changing the IPsec encrypted communication path at high speed even if the IP address changes by simply using / extending the existing IKE phase 2 protocol.

また、この発明にかかるデータ通信方法、およびデータ通信システムは、通信相手の同一性を確認するための識別情報として、IPアドレスが変化する前に受信している相手のクッキーを利用する。   Further, the data communication method and the data communication system according to the present invention use the other party's cookie received before the IP address changes, as identification information for confirming the identity of the other party.

この発明によれば、既存のIKEフェーズ2プロトコルで交換されるパケット内のクッキーを利用して、IPアドレスの変化後も通信相手の同一性を確認することができる。   According to the present invention, the identity of the communication partner can be confirmed even after the change of the IP address by using the cookie in the packet exchanged by the existing IKE phase 2 protocol.

本発明にかかるデータ通信方法、データ通信システム、データ通信プログラム、およびデータ通信装置によれば、通信途中でIPアドレスが変化してもIKEフェーズ2プロトコルによるIPsec鍵の更新処理を利用して、新たなIPアドレスの下でIPsec暗号通信路を張り替えるので、IPsec/IKEプロトコルによるデータ通信の安全性と、シームレスローミングによるデータ通信の利便性とを両立させることができるという効果を奏する。   According to the data communication method, the data communication system, the data communication program, and the data communication apparatus according to the present invention, even if the IP address changes during the communication, a new update is performed using the IPsec key update process according to the IKE phase 2 protocol. Since the IPsec encryption communication path is replaced under a unique IP address, there is an effect that it is possible to achieve both the safety of data communication by the IPsec / IKE protocol and the convenience of data communication by seamless roaming.

以下に添付図面を参照して、この発明にかかるデータ通信方法、データ通信システム、データ通信プログラム、およびデータ通信装置の好適な実施の形態を詳細に説明する。   Exemplary embodiments of a data communication method, a data communication system, a data communication program, and a data communication apparatus according to the present invention will be explained below in detail with reference to the accompanying drawings.

図1は、この発明の実施の形態にかかるデータ通信システムの全体構成を示す説明図である。図中、データ通信装置A100aは具体的にはノートパソコンなど、ローミングが発生する(IPアドレスが変化する)側のモバイル機器である。また、データ通信装置B100bはその通信相手であるゲートウェイなどであり、LAN内の他のデータ通信装置C100cに代わって、LAN外の機器との通信を代行する。なお、データ通信装置A100aとB100bとの間ではIPsecトンネルモードによる暗号通信路が保持されており、このIPsec通信を利用しているアプリケーションは、トンネルモード内で設定されているプライベートIPアドレスを使用している。   FIG. 1 is an explanatory diagram showing the overall configuration of the data communication system according to the embodiment of the present invention. In the figure, the data communication device A 100a is specifically a mobile device on the side where roaming occurs (IP address changes) such as a notebook computer. The data communication device B 100b is a gateway or the like that is a communication partner of the data communication device B 100b, and performs communication with a device outside the LAN in place of the other data communication device C 100c in the LAN. Note that an encryption communication path in the IPsec tunnel mode is maintained between the data communication apparatuses A 100a and B 100b, and an application using this IPsec communication uses a private IP address set in the tunnel mode. ing.

次に、図2はこの発明の実施の形態にかかるデータ通信システムを構成する、データ通信装置A100a・B100b・C100cのハードウエア構成を示す説明図である。説明の便宜上、各装置はいずれも同一のハードウエア構成を有するものとする。   Next, FIG. 2 is an explanatory diagram showing the hardware configuration of the data communication apparatuses A100a, B100b, and C100c that constitute the data communication system according to the embodiment of the present invention. For convenience of explanation, it is assumed that each device has the same hardware configuration.

図2に示すように、データ通信装置A100a・B100b・C100cは、CPU201、ROM202、RAM203、HDD(ハードディスクドライブ)204、HD(ハードディスク)205、FDD(フレキシブルディスクドライブ)206、FD(フレキシブルディスク)207、ディスプレイ208、ネットワークI/F(インターフェース)209、キーボード210およびマウス211を備えている。また、上記各部はバス200により接続されている。   As shown in FIG. 2, the data communication apparatuses A 100 a, B 100 b, and C 100 c include a CPU 201, ROM 202, RAM 203, HDD (hard disk drive) 204, HD (hard disk) 205, FDD (flexible disk drive) 206, and FD (flexible disk) 207. , A display 208, a network I / F (interface) 209, a keyboard 210, and a mouse 211. Each of the above parts is connected by a bus 200.

図中、CPU201は装置全体の制御を司る。ROM202はブートプログラムなどを記憶している。RAM203はCPU201のワークエリアとして使用される。   In the figure, a CPU 201 controls the entire apparatus. The ROM 202 stores a boot program and the like. The RAM 203 is used as a work area for the CPU 201.

HDD204は、CPU201の制御にしたがってHD205に対するデータのリード/ライトを制御する。HD205は、HDD204の制御にしたがって書き込まれたデータを記憶する。FDD206は、CPU201の制御にしたがってFD207に対するデータのリード/ライトを制御する。FD207は、FDD206の制御にしたがって書き込まれたデータを記憶する。なお、FD207は着脱可能な記録媒体の一例であり、FD207の代わりにCD−ROM(CD−R、CD−RW)、MO、DVD(Digital Versatile Disk)、メモリーカードなどであってもよい。   The HDD 204 controls data read / write with respect to the HD 205 according to the control of the CPU 201. The HD 205 stores data written according to the control of the HDD 204. The FDD 206 controls reading / writing of data with respect to the FD 207 according to the control of the CPU 201. The FD 207 stores data written according to the control of the FDD 206. The FD 207 is an example of a detachable recording medium, and may be a CD-ROM (CD-R, CD-RW), MO, DVD (Digital Versatile Disk), memory card, or the like instead of the FD 207.

ディスプレイ208は、カーソル、ウィンドウ、アイコンなどをはじめ、文書や画像などの各種データを表示する。ネットワークI/F209はLAN/WANなどのネットワークに接続され、当該ネットワークと装置内部とのデータの送受信を司る。キーボード210は、文字、数字、各種指示などの入力のための複数のキーを備え、押下されたキーに対応するデータを装置内部へ入力する。マウス211は本体下部のボールの回転量と回転方向、および本体上部の各ボタンのON/OFFを随時装置内部へ入力する。   A display 208 displays various data such as a document and an image, as well as a cursor, a window, an icon, and the like. A network I / F 209 is connected to a network such as a LAN / WAN and manages data transmission / reception between the network and the inside of the apparatus. The keyboard 210 includes a plurality of keys for inputting characters, numbers, various instructions, and the like, and inputs data corresponding to the pressed key into the apparatus. The mouse 211 inputs the amount and direction of rotation of the ball at the bottom of the main body and ON / OFF of each button at the top of the main body into the device as needed.

次に、図3はこの発明の実施の形態にかかるデータ通信システムの構成を機能的に示す説明図である。ただしここでは上記システムのうち、本発明の説明に必要な部分(具体的にはデータ通信装置A100aおよびB100b)のみを示している。   FIG. 3 is an explanatory diagram functionally showing the configuration of the data communication system according to the embodiment of the present invention. However, only the part (specifically, data communication apparatuses A100a and B100b) necessary for the description of the present invention is shown in the above system.

図3に示すように、データ通信装置A100a・B100bは、各々別個のIPアドレスを有する複数のNIC(Network Interface Card)を備えている。なお、データ通信装置A100aのNIC甲300aのIPアドレスは「IPaddressA甲」、NIC乙301aのIPアドレスは「IPaddressA乙」、データ通信装置B100bのNIC甲300bのIPアドレスは「IPaddressB甲」、NIC乙301bのIPアドレスは「IPaddressB乙」であるものとする。   As shown in FIG. 3, each of the data communication devices A 100a and B 100b includes a plurality of NICs (Network Interface Cards) each having a separate IP address. Note that the IP address of the NIC A 300a of the data communication apparatus A 100a is “IP address A A”, the IP address of the NIC B 301a is “IP address A B”, the IP address of the NIC A 300b of the data communication apparatus B 100b is “IP address B A”, NIC B It is assumed that the IP address of 301b is “IPaddressB B”.

また、データ通信装置A100a・B100bは上記のほか、ローミング検出部302a・302b、IKE処理部303a・303b、IKE用DB(データベース)304a・304b、IPsec処理部305a・305b、IPsec用DB(データベース)306a・306bを備えている。同名の各部の機能はAB間で共通である。なお、NIC以外の各部はHD205などからRAM203に読み出されたプログラムを、CPU201が実行することにより実現される。   In addition to the above, the data communication devices A 100a and B 100b include the roaming detection units 302a and 302b, the IKE processing units 303a and 303b, the IKE DBs (databases) 304a and 304b, the IPsec processing units 305a and 305b, and the IPsec DBs (databases). 306a and 306b are provided. The function of each part with the same name is common among ABs. Each unit other than the NIC is realized by the CPU 201 executing a program read from the HD 205 or the like to the RAM 203.

まず、ローミング検出部302a・302bは自装置におけるローミングの発生(使用するIPアドレスの変更)を検出する機能部である。どのように検出するかは本発明では特に問わないので、何らかの既存の技術によって検出できればよい。   First, the roaming detection units 302a and 302b are functional units that detect the occurrence of roaming in the own apparatus (change of the IP address to be used). The method of detection is not particularly limited in the present invention, and may be detected by some existing technique.

次に、IKE処理部303a・303bは他のデータ通信装置との間でIKE暗号通信路を保持する機能部である。また、IKE用DB304a・304bはIKE処理部303a・303bでの処理に必要な諸情報を保持するデータベースである。図4は、IKE用DB304a・304bの内容を模式的に示す説明図である。図4に模式的に示すように、IKE用DB304a・304bにはデータ通信装置A100aおよびB100bのIPアドレス、クッキー、使用するSAパラメータ、AB間で交換した鍵などが保持される。   Next, the IKE processing units 303a and 303b are functional units that hold IKE encryption communication paths with other data communication apparatuses. The IKE DBs 304a and 304b are databases that hold various information necessary for processing by the IKE processing units 303a and 303b. FIG. 4 is an explanatory diagram schematically showing the contents of the IKE DBs 304a and 304b. As schematically shown in FIG. 4, the IKE DBs 304a and 304b hold the IP addresses of the data communication apparatuses A 100a and B 100b, cookies, SA parameters to be used, keys exchanged between ABs, and the like.

図3に戻り、次にIPsec処理部305a・305bは他のデータ通信装置との間でIPsec暗号通信路を保持する機能部である。また、IPsec用DB306a・306bはIPsec処理部305a・305bでの処理に必要な諸情報を保持するデータベースである。図5は、IPsec用DB306a・306bの内容を模式的に示す説明図である。図5に模式的に示すように、IPsec用DB306a・306bにはデータ通信装置A100aおよびB100bのIPアドレス、使用するSAパラメータ、AからBへの暗号通信で使用する鍵や、逆にBからAへの暗号通信で使用する鍵などが保持される。なお、図示するようにIPsecのデータは、AからBへの通信情報とBからAへの通信情報との2種類で構成される。   Returning to FIG. 3, the IPsec processing units 305a and 305b are functional units that hold an IPsec encrypted communication path with other data communication apparatuses. The IPsec DBs 306a and 306b are databases that hold various information necessary for processing in the IPsec processing units 305a and 305b. FIG. 5 is an explanatory diagram schematically showing the contents of the IPsec DBs 306a and 306b. As schematically shown in FIG. 5, the IPsec DBs 306 a and 306 b include the IP addresses of the data communication apparatuses A 100 a and B 100 b, the SA parameters to be used, the keys used for encrypted communication from A to B, and conversely from B to A Keys used for encrypted communication to are stored. As shown in the figure, IPsec data is composed of two types of communication information from A to B and communication information from B to A.

ここで、図6は、この発明の実施の形態にかかるデータ通信システムの、ローミング発生前の状態を模式的に示す説明図であり、図7は、この発明の実施の形態にかかるデータ通信システムの、ローミング発生直後の状態を模式的に示す説明図である。   Here, FIG. 6 is an explanatory view schematically showing a state before the occurrence of roaming of the data communication system according to the embodiment of the present invention, and FIG. 7 is a data communication system according to the embodiment of the present invention. It is explanatory drawing which shows typically the state immediately after the occurrence of roaming.

図6に示すように、データ通信装置A100aのNIC甲300aとデータ通信装置B100bのNIC甲300bとの間で、IPsec/IKE暗号通信路が確立している状態で、図7のようにデータ通信装置A100a側で、NIC甲300aからNIC乙301aへのローミングが発生したとする。このとき、上述のようにIPsecはIPアドレスが変化すると通信を維持できないため、IPsec暗号通信路・IKE暗号通信路のいずれも切断されてしまう。なお図7において、点線は通信路が切断された状態を意味している。   As shown in FIG. 6, in the state where the IPsec / IKE encryption communication path is established between the NIC A 300a of the data communication apparatus A 100a and the NIC A 300b of the data communication apparatus B 100b, data communication is performed as shown in FIG. Assume that roaming from NIC A 300a to NIC B 301a occurs on the device A 100a side. At this time, as described above, since IPsec cannot maintain communication when the IP address changes, both the IPsec encrypted communication path and the IKE encrypted communication path are disconnected. In FIG. 7, a dotted line means a state in which the communication path is disconnected.

そこで本実施の形態では、IPアドレスが変化してもそれ以外の情報、たとえばクッキーの同一性によって通信相手の同一性を確認することが可能なIKEを利用して、IPsec/IKE暗号通信路の張り替えをおこなう。   Therefore, in this embodiment, even if the IP address changes, other information, for example, IKE that can confirm the identity of the communication partner by the identity of the cookie is used, and the IPsec / IKE encryption channel Re-seat.

図8は、この発明の実施の形態にかかるデータ通信システムの、IPsec暗号通信路更新処理のうち始動者による提案の様子を模式的に示す説明図であり、図9は、この発明の実施の形態にかかるデータ通信システムの、IPsec暗号通信路更新処理のうち応答者による選択と始動者による確認の様子を模式的に示す説明図である。また、図10は、この発明の実施の形態にかかるデータ通信システムの、新IPsec暗号通信路作成後の状態を模式的に示す説明図であり、図11は、この発明の実施の形態にかかるデータ通信システムの、旧IPsec暗号通信路削除後の状態を模式的に示す説明図である。   FIG. 8 is an explanatory view schematically showing a state proposed by the initiator in the IPsec encrypted communication channel update process of the data communication system according to the embodiment of the present invention. FIG. 9 is a diagram illustrating the implementation of the present invention. It is explanatory drawing which shows typically the mode of the selection by a responder, and the confirmation by a starter among the IPsec encryption channel update processes of the data communication system concerning a form. FIG. 10 is an explanatory diagram schematically showing a state after the creation of a new IPsec encrypted communication path in the data communication system according to the embodiment of the present invention, and FIG. 11 according to the embodiment of the present invention. It is explanatory drawing which shows typically the state after an old IPsec encryption communication path deletion of a data communication system.

まず、データ通信装置A100aのローミング検出部302aは、ローミングの発生を検出すると、ローミングイベントとローミング後の新たなIPアドレスとをIKE処理部303aに通知する(図7)。これを受けたIKE処理部303aは、現在のIKE暗号通信路で使用している自己のIPアドレスを新たなIPアドレスで更新する(図8)。具体的には、図4に示したIKE用DB304a内の「IPaddressA甲」(NIC甲300aのIPアドレス)を「IPaddressA乙」(NIC乙301aのIPアドレス)に書き換えることになる。   First, when detecting the occurrence of roaming, the roaming detection unit 302a of the data communication apparatus A 100a notifies the IKE processing unit 303a of the roaming event and the new IP address after roaming (FIG. 7). Receiving this, the IKE processing unit 303a updates its own IP address used in the current IKE encryption communication path with a new IP address (FIG. 8). Specifically, “IPaddress A” (IP address of NIC A 300a) in the IKE DB 304a shown in FIG. 4 is rewritten to “IPaddress A II” (IP address of NIC B 301a).

そして、IKE処理部303aはIKE用DB304aの更新と同時に、データ通信装置B100bに対して、新しいIPアドレスからIKEフェーズ2プロトコルにより、IPsec暗号通信路の更新要求(IPsec暗号通信路用の鍵の更新依頼)を送信する(図8)。このとき鍵やクッキー、IDなどは従前のIKE暗号通信路で使用していたものを使用する。このIPsec暗号通信路の更新要求(図14(2−1))は、同時にIKE暗号通信路を、従前の鍵等を使用して旧IPアドレスから新IPアドレスへと張り替える要求でもある。   The IKE processing unit 303a simultaneously updates the IKE DB 304a, and at the same time, requests the data communication apparatus B 100b to update the IPsec encrypted communication path (update the key for the IPsec encrypted communication path from the new IP address using the IKE phase 2 protocol). Request) is transmitted (FIG. 8). At this time, the key, cookie, ID, etc. used in the conventional IKE encryption communication path are used. This IPsec encryption communication channel update request (FIG. 14 (2-1)) is also a request to replace the IKE encryption communication channel from the old IP address to the new IP address using the conventional key or the like.

そして、図9に示すように、上記要求を受けたデータ通信装置B100bのIKE処理部303bは、IPアドレスの変化にかかわらず所定の識別情報、具体的にはクッキーにより通信相手がAであることを確認すると、暗号通信が復号できることを条件に、現在のIKE暗号通信路で使用している相手のIPアドレス(IKE用DB304b内に保持)を新たなIPアドレスで更新する。そして、同時にデータ通信装置A100aとの間で、図14(2−2)(2−3)による鍵更新処理をおこなう。   Then, as shown in FIG. 9, the IKE processing unit 303b of the data communication device B 100b that has received the request indicates that the communication partner is A by predetermined identification information, specifically a cookie regardless of the change of the IP address. Is confirmed, the other party's IP address (held in the IKE DB 304b) used in the current IKE encryption communication path is updated with a new IP address on the condition that the encrypted communication can be decrypted. At the same time, the key update process shown in FIGS. 14 (2-2) and (2-3) is performed with the data communication apparatus A 100a.

そして上記処理が完了すると、図10に示すように、データ通信装置A100a・B100bのそれぞれのIKE処理部303a・303bは、Aの新しいIPアドレスで新しいIPsec暗号通信路を設定し、IPsec用DB306a・306bに登録する。その結果、図5に示したIPsec用DB306a・306b内の2つの「IPaddressA甲」(NIC甲300aのIPアドレス)は、いずれも「IPaddressA乙」(NIC乙301aのIPアドレス)」に置換されることになる。次に、これを受けたIPsec処理部305a・305bが、新IPsec暗号通信路を使用して通信を開始する。   When the above processing is completed, as shown in FIG. 10, each of the IKE processing units 303a and 303b of the data communication apparatuses A 100a and B 100b sets a new IPsec encrypted communication path with the new IP address of A, and the IPsec DB 306a Register in 306b. As a result, the two “IPaddress A” (IP address of NIC A 300a) in the IPsec DBs 306a and 306b shown in FIG. 5 are both replaced with “IP address A B” (IP address of NIC B 301a) ”. It will be. Next, the IPsec processing units 305a and 305b that have received this start communication using the new IPsec encrypted communication path.

その後、図11に示すように、IKE処理部303a・303bはIPsec用DB306a・306bから、従前のIPsec暗号通信路の情報を削除する。これにより、AのNIC甲300aとBのNIC甲300bとの間の古いIPsec暗号通信路は削除され、AのNIC乙301aとBのNIC甲300bとの間にIPsec/IKE暗号通信路が張り替えられる。   Thereafter, as shown in FIG. 11, the IKE processing units 303a and 303b delete the information on the previous IPsec encrypted communication path from the IPsec DBs 306a and 306b. As a result, the old IPsec encryption communication path between A's NIC A 300a and B's NIC A 300b is deleted, and the IPsec / IKE encryption communication path is replaced between A's NIC B 301a and B's NIC A 300b. It is done.

次に、図12はデータ通信装置A100aにおける、IPsec/IKE暗号通信路の更新処理の手順を示すフローチャートである。データ通信装置A100aのローミング検出部302aがローミングの発生を検出すると(ステップS1201)、その事実と新たなIPアドレスとがIKE処理部303aに通知され、これを受けたIKE処理部303aが、IKE用DB304a内の自己のIPアドレスを更新する(ステップS1202)。   Next, FIG. 12 is a flowchart showing a procedure for updating the IPsec / IKE encryption communication path in the data communication apparatus A 100a. When the roaming detection unit 302a of the data communication apparatus A 100a detects the occurrence of roaming (step S1201), the fact and the new IP address are notified to the IKE processing unit 303a, and the IKE processing unit 303a that has received the notification notifies the IKE processing unit 303a. The own IP address in the DB 304a is updated (step S1202).

次に、IKE処理部303aはデータ通信装置B100bに対して、ローミング後の新たなIPアドレスからIPsec暗号通信路更新要求(IPsec鍵更新依頼)を送信し、これを受けたデータ通信装置B100bのIKE処理部303bとの間で、IKEフェーズ2プロトコル(図14(2−1)〜(2−3))による鍵更新処理をおこなう(ステップS1203)。その後、新たな鍵とIPアドレスによる新たなIPsecSAを作成して、IPsec用DB306aに登録するとともに(ステップS1204)、従前のIPsecSAを当該DBから削除する(ステップS1205)。   Next, the IKE processing unit 303a transmits an IPsec encrypted communication path update request (IPsec key update request) from the new IP address after roaming to the data communication apparatus B 100b, and receives the IKE of the data communication apparatus B 100b. Key update processing is performed between the processing unit 303b and the IKE phase 2 protocol (FIGS. 14 (2-1) to (2-3)) (step S1203). Thereafter, a new IPsec SA with a new key and IP address is created and registered in the IPsec DB 306a (step S1204), and the previous IPsec SA is deleted from the DB (step S1205).

一方、図13はデータ通信装置B100bにおける、IPsec/IKE暗号通信路の更新処理の手順を示すフローチャートである。データ通信装置A100aのIKE処理部303aからIPsec暗号通信路更新要求(IPsec鍵更新依頼)を受信すると(ステップS1301)、データ通信装置B100bのIKE処理部303bは、まず当該要求中に含まれるIPアドレスと識別情報(具体的にはクッキー)とが、共にIKE用DB304bに登録されているAのそれと同一であるかどうかを調べる(ステップS1302)。なお、AのIPアドレスはIPヘッダに、AのクッキーはISAKMPヘッダに、それぞれ記述されている。   On the other hand, FIG. 13 is a flowchart showing a procedure for updating the IPsec / IKE encryption channel in the data communication apparatus B 100b. When an IPsec encrypted communication path update request (IPsec key update request) is received from the IKE processing unit 303a of the data communication apparatus A 100a (step S1301), the IKE processing unit 303b of the data communication apparatus B 100b first includes an IP address included in the request. And the identification information (specifically, the cookie) are checked whether they are the same as those of A registered in the IKE DB 304b (step S1302). The IP address of A is described in the IP header, and the cookie of A is described in the ISAKMP header.

そして、IPアドレスもクッキーも共にAのものである場合(ステップS1302:Yes)は、上記依頼は通信途中で定期的に送信されてくる、通常のIPsec鍵更新依頼である。一方、IPアドレスは違っていてもクッキーだけでもAのものであれば(ステップS1302:No、ステップS1307:Yes)、上記依頼はローミング発生時に送信されてくる、IPアドレスの変更を伴うIPsec鍵更新依頼である。そこで上記いずれかの場合は、上記依頼中の暗号化パケットが正常に復号できる(ステップS1303:YesまたはステップS1309:Yes)ことを条件として、IPsec鍵の更新処理へ移行する。   If both the IP address and the cookie are A (step S1302: Yes), the request is a normal IPsec key update request that is periodically transmitted during communication. On the other hand, if the IP address is different but only the cookie is A (step S1302: No, step S1307: Yes), the request is transmitted when roaming occurs, and the IPsec key update accompanied by the change of the IP address is performed. It is a request. Therefore, in any of the above cases, the process proceeds to the IPsec key update process on condition that the requested encrypted packet can be normally decrypted (step S1303: Yes or step S1309: Yes).

すなわち、まず通常の鍵更新の場合(ステップS1302:Yes、ステップS1303:Yes)は、データ通信装置A100aのIKE処理部303aとの間で、IKEフェーズ2プロトコル(図14(2−1)〜(2−3))による鍵更新処理をおこなう(ステップS1304)。その後、新たな鍵とIPアドレスによる新たなIPsecSAを作成して、IPsec用DB306bに登録するとともに(ステップS1305)、従前のIPsecSAを当該DBから削除する(ステップS1306)。   That is, first, in the case of normal key update (step S1302: Yes, step S1303: Yes), the IKE phase 2 protocol (FIGS. 14 (2-1) to (2-1) is exchanged with the IKE processing unit 303a of the data communication apparatus A 100a. The key update process according to 2-3)) is performed (step S1304). Thereafter, a new IPsec SA with a new key and IP address is created and registered in the IPsec DB 306b (step S1305), and the previous IPsec SA is deleted from the DB (step S1306).

一方、ローミング発生時の鍵更新の場合(ステップS1302:No、ステップS1307:Yes、ステップS1309:Yes)は、まずIKE用DB304b内のAのIPアドレスを「IPaddressA甲」から「IPaddressA乙」に更新する(ステップS1310)。そして、ステップS1304へ移行し、通常の場合と同様の鍵更新と、IPsec用DB306bへの新IPsecSAの登録、IPsec用DB306bからの旧IPsecSAの削除をおこなう(ステップS1304〜S1306)。   On the other hand, in the case of key update when roaming occurs (step S1302: No, step S1307: Yes, step S1309: Yes), first, the IP address of A in the IKE DB 304b is updated from “IPaddressA A” to “IPaddressA second”. (Step S1310). Then, the process proceeds to step S1304, and the same key update as in a normal case, registration of the new IPsec SA in the IPsec DB 306b, and deletion of the old IPsec SA from the IPsec DB 306b are performed (steps S1304 to S1306).

なお、IPアドレス・クッキーのいずれもAのものでない場合(ステップS1302:No、ステップS1307:No)や、暗号化パケットが正しく復号できなかった場合(ステップS1303:NoまたはステップS1309:No)は、異常なパケットが来たと判断して不正パケット処理に移行する(ステップS1308)。この異常処理としては、たとえばその場でAとの通信を取り止めたり、受信したパケットを無視したりする実装が多いが、本発明ではその詳細は問わない。   If neither the IP address nor the cookie is A (Step S1302: No, Step S1307: No), or if the encrypted packet cannot be correctly decrypted (Step S1303: No or Step S1309: No), It is determined that an abnormal packet has arrived, and the process proceeds to illegal packet processing (step S1308). As this abnormal processing, for example, there are many implementations such as canceling communication with A on the spot or ignoring received packets, but the details are not limited in the present invention.

上述のように従来のIPsec/IKEでは、ローミングが発生するとIPsec暗号通信路とIKE暗号通信路の両方が切断されてしまうため、引き続き暗号通信をおこなう場合、IKEのフェーズ1およびフェーズ2を改めておこなわなければならない。これに対して本発明では、ローミングが発生してもIKEのフェーズ2だけをおこなえばよいので、IPsec暗号通信路を高速に張り替えて通信を継続でき、シームレスなローミングが実現される。なお、本出願人が調査したあるリモートアクセスソフトウェアでは、フェーズ1からフェーズ2までの通信に4秒必要であったのに対し、フェーズ2のみの場合は0.1秒以下であった。したがってこの環境に本実施の形態を導入した場合、従来技術の40倍以上高速なローミングが可能となる。   As described above, in the conventional IPsec / IKE, when roaming occurs, both the IPsec encrypted communication channel and the IKE encrypted communication channel are disconnected. Therefore, when continuing the encrypted communication, IKE Phase 1 and Phase 2 are performed again. There must be. On the other hand, in the present invention, even if roaming occurs, it is only necessary to perform IKE phase 2. Therefore, communication can be continued by changing the IPsec encrypted communication path at high speed, and seamless roaming is realized. Note that in some remote access software investigated by the present applicant, the communication from phase 1 to phase 2 required 4 seconds, whereas in the case of phase 2 alone, the time was 0.1 seconds or less. Therefore, when this embodiment is introduced in this environment, roaming that is 40 times faster than the prior art becomes possible.

また、本発明によれば通信者はお互いに特別なサーバである必要がないため、従来不可能であった、P2Pでのシームレスローミングが可能となる。   In addition, according to the present invention, since it is not necessary for communicators to be special servers, seamless roaming with P2P, which has been impossible in the past, becomes possible.

しかも上記を実現するために、本発明ではローミング検出部302a・302bを新たに設ける以外、IKE処理部303a・303bに多少の処理機能を追加しているだけである。すなわち、ローミング発生時に強制的にIKEフェーズ2プロトコルを実行する機能、および図13中、「通常のIPsec鍵更新」という点線で囲った以外の機能が追加部分となる。   In addition, in order to realize the above, the present invention only adds some processing functions to the IKE processing units 303a and 303b except that the roaming detection units 302a and 302b are newly provided. That is, a function for forcibly executing the IKE phase 2 protocol when roaming occurs and a function other than that enclosed by a dotted line “normal IPsec key update” in FIG.

なお、上述した実施の形態では、ローミング後の通信者Aの識別情報としてクッキーを使用している。これは現在のIPsec/IKE通信のプロトコル仕様を変更せず、したがってIPsec/IKE本来の安全性は維持したまま、シームレスローミングを可能とするためである。通信相手の異同を判断できる限り、クッキー以外にたとえばID、FQDNメールアドレスやトンネルモード内で使用しているプライベートアドレスなどを識別情報として使用することも可能であるし、IPsec暗号通信路を別のIPアドレスへ張り替えるのに、IKE以外のプロトコルを使用することも可能である。   In the above-described embodiment, a cookie is used as identification information of the communicator A after roaming. This is because the protocol specifications of the current IPsec / IKE communication are not changed, and therefore seamless roaming is possible while maintaining the original security of IPsec / IKE. In addition to cookies, ID, FQDN mail address, private address used in tunnel mode, etc. can be used as identification information as well as cookies, as long as it is possible to determine the difference between communication partners. It is possible to use a protocol other than IKE to switch to the IP address.

なお、上述した実施の形態では通信相手のIPアドレスが変化する原因として、もっぱらローミングを想定しているが、ローミングに限らず何らかの理由でIPアドレスが変わってしまうために、IPsec/IKE通信が切断されてしまう場合にも、本発明を適用して通信の断絶を回避することが可能である。   In the above-described embodiment, roaming is exclusively assumed as the cause of the change in the IP address of the communication partner. However, not only roaming, but the IP address changes for some reason, so IPsec / IKE communication is disconnected. Even in such a case, the disconnection of communication can be avoided by applying the present invention.

なお、本実施の形態で説明したデータ通信方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。このプログラムは、ハードディスク205、フレキシブルディスク207、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。またこのプログラムは、インターネット等のネットワークを介して配布することが可能な伝送媒体であってもよい。   The data communication method described in this embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program is recorded on a computer-readable recording medium such as the hard disk 205, the flexible disk 207, the CD-ROM, the MO, and the DVD, and is executed by being read from the recording medium by the computer. The program may be a transmission medium that can be distributed via a network such as the Internet.

(付記1)第1のデータ通信装置と第2のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信方法において、
前記第1のデータ通信装置の使用するIPアドレスが他のIPアドレスに変更されたことを検出する検出工程と、
前記検出工程で前記変更が検出された場合に、前記他のIPアドレスから前記第2のデータ通信装置に対して前記IPsec暗号通信路の更新要求を送信する送信工程と、
前記送信工程で送信された前記更新要求を受信する受信工程と、
前記受信工程で受信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記第1のデータ通信装置から送信されたものであるか否かを判定する判定工程と、
前記判定工程で、前記受信工程で受信された前記更新要求が前記第1のデータ通信装置から送信されたものであると判定された場合に前記IPsec暗号通信路の更新に必要な情報を決定する決定工程と、
前記決定工程で決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新工程と、
を含むことを特徴とするデータ通信方法。 (Additional remark 1) In the data communication method which transmits / receives data via an IPsec encryption communication path between the 1st data communication apparatus and the 2nd data communication apparatus,
A detection step of detecting that the IP address used by the first data communication device has been changed to another IP address;
A transmission step of transmitting an update request for the IPsec encryption channel from the other IP address to the second data communication device when the change is detected in the detection step;
A receiving step for receiving the update request transmitted in the transmitting step;
Determining whether or not the update request is transmitted from the first data communication device based on identification information other than the source IP address included in the update request received in the reception step Process,
In the determination step, when it is determined that the update request received in the reception step is transmitted from the first data communication device, information necessary for updating the IPsec encryption communication path is determined. A decision process;
An update step of updating the IPsec encrypted communication path based on the information determined in the determination step;
A data communication method comprising:

(付記2)前記送信工程および前記決定工程ではIKEフェーズ2プロトコルにしたがって前記更新要求を送信しあるいは前記情報を決定することを特徴とする前記付記1に記載のデータ通信方法。 (Supplementary note 2) The data communication method according to supplementary note 1, wherein, in the transmission step and the determination step, the update request is transmitted or the information is determined according to an IKE phase 2 protocol.

(付記3)前記識別情報は、前記受信工程で前記更新要求が受信されるより前にIKE暗号通信路を介して前記第2のデータ通信装置が受信している前記第1のデータ通信装置のクッキーであることを特徴とする前記付記2に記載のデータ通信方法。 (Supplementary Note 3) The identification information is stored in the first data communication device received by the second data communication device via the IKE encryption communication channel before the update request is received in the reception step. The data communication method according to appendix 2, wherein the data communication method is a cookie.

(付記4)第1のデータ通信装置と第2のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信システムにおいて、
前記第1のデータ通信装置の使用するIPアドレスが他のIPアドレスに変更されたことを検出する検出手段と、
前記検出手段により前記変更が検出された場合に、前記他のIPアドレスから前記第2のデータ通信装置に対して前記IPsec暗号通信路の更新要求を送信する送信手段と、
前記送信手段により送信された前記更新要求を受信する受信手段と、
前記受信手段により受信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記第1のデータ通信装置から送信されたものであるか否かを判定する判定手段と、
前記判定手段により、前記受信手段により受信された前記更新要求が前記第1のデータ通信装置から送信されたものであると判定された場合に前記IPsec暗号通信路の更新に必要な情報を決定する決定手段と、
前記決定手段により決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新手段と、
を備えることを特徴とするデータ通信システム。 (Additional remark 4) In the data communication system which transmits / receives data via an IPsec encryption communication path between the 1st data communication apparatus and the 2nd data communication apparatus,
Detecting means for detecting that the IP address used by the first data communication device has been changed to another IP address;
Transmitting means for transmitting an update request for the IPsec encrypted communication path from the other IP address to the second data communication device when the change is detected by the detecting means;
Receiving means for receiving the update request transmitted by the transmitting means;
Determination of whether or not the update request is transmitted from the first data communication device based on identification information other than the source IP address included in the update request received by the receiving unit Means,
When the determination unit determines that the update request received by the reception unit is transmitted from the first data communication apparatus, information necessary for updating the IPsec encryption communication path is determined. A determination means;
Updating means for updating the IPsec encrypted communication path based on the information determined by the determining means;
A data communication system comprising:

(付記5)前記送信手段および前記決定手段はIKEフェーズ2プロトコルにしたがって前記更新要求を送信しあるいは前記情報を決定することを特徴とする前記付記4に記載のデータ通信システム。 (Supplementary note 5) The data communication system according to supplementary note 4, wherein the transmission unit and the determination unit transmit the update request or determine the information according to an IKE phase 2 protocol.

(付記6)前記識別情報は、前記受信手段により前記更新要求が受信されるより前にIKE暗号通信路を介して前記第2のデータ通信装置が受信している前記第1のデータ通信装置のクッキーであることを特徴とする前記付記5に記載のデータ通信システム。 (Supplementary Note 6) The identification information is stored in the first data communication apparatus received by the second data communication apparatus via the IKE encryption communication path before the update request is received by the reception unit. The data communication system according to appendix 5, wherein the data communication system is a cookie.

(付記7)他のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信装置上で稼働するデータ通信プログラムにおいて、
前記データ通信装置の使用するIPアドレスが他のIPアドレスに変更されたことを検出する検出工程と、
前記検出工程で前記変更が検出された場合に、前記他のIPアドレスから前記他のデータ通信装置に対して前記IPsec暗号通信路の更新要求を送信する送信工程と、
前記送信工程で送信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記データ通信装置から送信されてきたものであると判定した前記他のデータ通信装置との間で、前記IPsec暗号通信路の更新に必要な情報を決定する決定工程と、
前記決定工程で決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新工程と、
をコンピュータに実行させることを特徴とするデータ通信プログラム。 (Supplementary note 7) In a data communication program that operates on a data communication apparatus that transmits and receives data to and from other data communication apparatuses via an IPsec encrypted communication path,
A detection step of detecting that the IP address used by the data communication device is changed to another IP address;
A transmission step of transmitting an update request for the IPsec encrypted communication path from the other IP address to the other data communication device when the change is detected in the detection step;
The other data communication apparatus that has determined that the update request has been transmitted from the data communication apparatus based on identification information other than the source IP address included in the update request transmitted in the transmission step A determination step for determining information necessary for updating the IPsec encrypted communication path;
An update step of updating the IPsec encrypted communication path based on the information determined in the determination step;
A data communication program for causing a computer to execute.

(付記8)前記送信工程および前記決定工程ではIKEフェーズ2プロトコルにしたがって前記更新要求を送信しあるいは前記情報を決定することを特徴とする前記付記7に記載のデータ通信プログラム。 (Supplementary note 8) The data communication program according to supplementary note 7, wherein in the transmission step and the determination step, the update request is transmitted or the information is determined according to an IKE phase 2 protocol.

(付記9)前記識別情報は、前記送信工程で前記更新要求が送信されるより前にIKE暗号通信路を介して前記他のデータ通信装置に送信されている前記データ通信装置のクッキーであることを特徴とする前記付記8に記載のデータ通信プログラム。 (Supplementary Note 9) The identification information is a cookie of the data communication device that is transmitted to the other data communication device via the IKE encryption communication channel before the update request is transmitted in the transmission step. The data communication program according to appendix 8, wherein

(付記10)他のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信装置において、
自装置の使用するIPアドレスが他のIPアドレスに変更されたことを検出する検出手段と、
前記検出手段により前記変更が検出された場合に、前記他のIPアドレスから前記他のデータ通信装置に対して前記IPsec暗号通信路の更新要求を送信する送信手段と、
前記送信手段により送信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記データ通信装置から送信されてきたものであると判定した前記他のデータ通信装置との間で、前記IPsec暗号通信路の更新に必要な情報を決定する決定手段と、
前記決定手段により決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新手段と、
を備えることを特徴とするデータ通信装置。 (Additional remark 10) In the data communication apparatus which transmits / receives data via an IPsec encryption communication path between other data communication apparatuses,
Detecting means for detecting that the IP address used by the own device has been changed to another IP address;
Transmitting means for transmitting an update request for the IPsec encrypted communication path from the other IP address to the other data communication device when the change is detected by the detecting means;
The other data communication apparatus that has determined that the update request has been transmitted from the data communication apparatus based on identification information other than the source IP address included in the update request transmitted by the transmission means Determining means for determining information necessary for updating the IPsec encrypted communication path;
Updating means for updating the IPsec encrypted communication path based on the information determined by the determining means;
A data communication apparatus comprising:

(付記11)前記送信手段および前記決定手段はIKEフェーズ2プロトコルにしたがって前記更新要求を送信しあるいは前記情報を決定することを特徴とする前記付記10に記載のデータ通信装置。 (Supplementary note 11) The data communication apparatus according to supplementary note 10, wherein the transmission unit and the determination unit transmit the update request or determine the information according to an IKE phase 2 protocol.

(付記12)前記識別情報は、前記送信手段により前記更新要求が送信されるより前にIKE暗号通信路を介して前記他のデータ通信装置に送信されている自装置のクッキーであることを特徴とする前記付記11に記載のデータ通信装置。 (Additional remark 12) The identification information is a cookie of the own apparatus transmitted to the other data communication apparatus via the IKE encryption communication path before the update request is transmitted by the transmission means. The data communication device as set forth in Appendix 11.

(付記13)他のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信装置上で稼働するデータ通信プログラムにおいて、
前記他のデータ通信装置から送信されてきた前記IPsec暗号通信路の更新要求を受信する受信工程と、
前記受信工程で受信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記他のデータ通信装置から送信されてきたものであるか否かを判定する判定工程と、
前記判定工程で、前記受信工程で受信された前記更新要求が前記他のデータ通信装置から送信されてきたものであると判定された場合に前記IPsec暗号通信路の更新に必要な情報を決定する決定工程と、
前記決定工程で決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新工程と、
をコンピュータに実行させることを特徴とするデータ通信プログラム。 (Supplementary note 13) In a data communication program that operates on a data communication apparatus that transmits and receives data to and from other data communication apparatuses via an IPsec encrypted communication path,
A receiving step of receiving an update request for the IPsec encrypted communication path transmitted from the other data communication apparatus;
Determining whether or not the update request has been transmitted from the other data communication device based on identification information other than the source IP address included in the update request received in the reception step Process,
In the determination step, when it is determined that the update request received in the reception step is transmitted from the other data communication device, information necessary for updating the IPsec encryption communication path is determined. A decision process;
An update step of updating the IPsec encrypted communication path based on the information determined in the determination step;
A data communication program for causing a computer to execute.

(付記14)前記決定工程ではIKEフェーズ2プロトコルにしたがって前記情報を決定することを特徴とする前記付記13に記載のデータ通信プログラム。 (Supplementary note 14) The data communication program according to supplementary note 13, wherein in the determination step, the information is determined according to an IKE phase 2 protocol.

(付記15)前記識別情報は、前記受信工程で前記更新要求が受信されるより前にIKE暗号通信路を介して受信している前記他のデータ通信装置のクッキーであることを特徴とする前記付記14に記載のデータ通信プログラム。 (Supplementary note 15) The identification information is a cookie of the other data communication device received via the IKE encryption communication channel before the update request is received in the reception step. The data communication program according to appendix 14.

(付記16)他のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信装置において、
前記他のデータ通信装置から送信されてきた前記IPsec暗号通信路の更新要求を受信する受信手段と、
前記受信手段により受信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記他のデータ通信装置から送信されてきたものであるか否かを判定する判定手段と、
前記判定手段により、前記受信手段により受信された前記更新要求が前記他のデータ通信装置から送信されてきたものであると判定された場合に前記IPsec暗号通信路の更新に必要な情報を決定する決定手段と、
前記決定手段により決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新手段と、
を備えることを特徴とするデータ通信装置。 (Supplementary Note 16) In a data communication apparatus that transmits / receives data to / from another data communication apparatus via an IPsec encrypted communication path,
Receiving means for receiving an update request for the IPsec encrypted communication path transmitted from the other data communication apparatus;
Determination of whether or not the update request is transmitted from the other data communication device based on identification information other than the source IP address included in the update request received by the receiving unit Means,
When the determination unit determines that the update request received by the reception unit is transmitted from the other data communication apparatus, information necessary for updating the IPsec encryption communication path is determined. A determination means;
Updating means for updating the IPsec encrypted communication path based on the information determined by the determining means;
A data communication apparatus comprising:

(付記17)前記決定手段はIKEフェーズ2プロトコルにしたがって前記情報を決定することを特徴とする前記付記16に記載のデータ通信装置。 (Supplementary note 17) The data communication apparatus according to supplementary note 16, wherein the determining means determines the information according to an IKE phase 2 protocol.

(付記18)前記識別情報は、前記受信手段により前記更新要求が受信されるより前にIKE暗号通信路を介して受信している前記他のデータ通信装置のクッキーであることを特徴とする前記付記17に記載のデータ通信装置。 (Supplementary note 18) The identification information is a cookie of the other data communication device received via the IKE encryption communication channel before the update request is received by the receiving means. The data communication apparatus according to appendix 17.

以上のように、本発明にかかるデータ通信方法、データ通信システム、データ通信プログラム、およびデータ通信装置は、通信途中でIPアドレスが変化するようなデータ通信の安全性確保に有用であり、特に来たるべきユビキタス社会において、いつでも、どこからでも、安全にデータを送受信する用途に適している。   As described above, the data communication method, the data communication system, the data communication program, and the data communication apparatus according to the present invention are useful for ensuring the safety of data communication in which the IP address changes during communication. In the ubiquitous society where it should be, it is suitable for the application to transmit and receive data safely anytime and anywhere.

この発明の実施の形態にかかるデータ通信システムの全体構成を示す説明図である。It is explanatory drawing which shows the whole structure of the data communication system concerning embodiment of this invention. データ通信装置A100a・B100b・C100cのハードウエア構成を示す説明図である。It is explanatory drawing which shows the hardware constitutions of data communication apparatus A100a * B100b * C100c. この発明の実施の形態にかかるデータ通信システムの構成を機能的に示す説明図である。It is explanatory drawing which shows the structure of the data communication system concerning embodiment of this invention functionally. IKE用DB304a・304bの内容を模式的に示す説明図である。It is explanatory drawing which shows typically the content of DB304a * 304b for IKE. IPsec用DB306a・306bの内容を模式的に示す説明図である。It is explanatory drawing which shows typically the content of DB DB306a * 306b for IPsec. この発明の実施の形態にかかるデータ通信システムの、ローミング発生前の状態を模式的に示す説明図である。It is explanatory drawing which shows typically the state before the occurrence of roaming of the data communication system concerning embodiment of this invention. この発明の実施の形態にかかるデータ通信システムの、ローミング発生直後の状態を模式的に示す説明図である。It is explanatory drawing which shows typically the state immediately after the occurrence of roaming of the data communication system concerning embodiment of this invention. この発明の実施の形態にかかるデータ通信システムの、IPsec暗号通信路更新処理のうち始動者による提案の様子を模式的に示す説明図である。It is explanatory drawing which shows typically the mode of the proposal by a starter among the IPsec encryption channel update processes of the data communication system concerning embodiment of this invention. この発明の実施の形態にかかるデータ通信システムの、IPsec暗号通信路更新処理のうち応答者による選択と始動者による確認の様子を模式的に示す説明図である。It is explanatory drawing which shows typically the mode of the selection by a responder, and the confirmation by a starter among the IPsec encryption communication path update processes of the data communication system concerning embodiment of this invention. この発明の実施の形態にかかるデータ通信システムの、新IPsec暗号通信路作成後の状態を模式的に示す説明図である。It is explanatory drawing which shows typically the state after creation of the new IPsec encryption communication path of the data communication system concerning embodiment of this invention. この発明の実施の形態にかかるデータ通信システムの、旧IPsec暗号通信路削除後の状態を模式的に示す説明図である。It is explanatory drawing which shows typically the state after the old IPsec encryption communication path deletion of the data communication system concerning embodiment of this invention. データ通信装置A100aにおける、IPsec/IKE暗号通信路の更新処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the update process of an IPsec / IKE encryption communication path in data communication apparatus A100a. データ通信装置B100bにおける、IPsec/IKE暗号通信路の更新処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the update process of an IPsec / IKE encryption communication path in data communication apparatus B100b. IKEプロトコルの概略を示す説明図である。It is explanatory drawing which shows the outline of an IKE protocol.

符号の説明Explanation of symbols

100a データ通信装置A
100b データ通信装置B
100c データ通信装置C
200 バス
300a,300b NIC甲
301a,301b NIC乙
302a,302b ローミング検出部
303a,303b IKE処理部
304a,304b IKE用DB
305a,305b IPsec処理部
306a,306b IPsec用DB

100a Data communication device A
100b Data communication device B
100c Data communication device C
200 Bus 300a, 300b NIC A 301a, 301b NIC B 302a, 302b Roaming detection unit 303a, 303b IKE processing unit 304a, 304b IKE DB
305a, 305b IPsec processing unit 306a, 306b DB for IPsec

Claims (10)

第1のデータ通信装置と第2のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信方法において、
前記第1のデータ通信装置の使用するIPアドレスが他のIPアドレスに変更されたことを検出する検出工程と、
前記検出工程で前記変更が検出された場合に、前記他のIPアドレスから前記第2のデータ通信装置に対して前記IPsec暗号通信路の更新要求を送信する送信工程と、
前記送信工程で送信された前記更新要求を受信する受信工程と、
前記受信工程で受信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記第1のデータ通信装置から送信されたものであるか否かを判定する判定工程と、
前記判定工程で、前記受信工程で受信された前記更新要求が前記第1のデータ通信装置から送信されたものであると判定された場合に前記IPsec暗号通信路の更新に必要な情報を決定する決定工程と、
前記決定工程で決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新工程と、
を含むことを特徴とするデータ通信方法。 In a data communication method for transmitting and receiving data via an IPsec encryption communication path between a first data communication device and a second data communication device,
A detection step of detecting that the IP address used by the first data communication device has been changed to another IP address;
A transmission step of transmitting an update request for the IPsec encryption channel from the other IP address to the second data communication device when the change is detected in the detection step;
A receiving step for receiving the update request transmitted in the transmitting step;
Determining whether or not the update request is transmitted from the first data communication device based on identification information other than the source IP address included in the update request received in the reception step Process,
In the determination step, when it is determined that the update request received in the reception step is transmitted from the first data communication device, information necessary for updating the IPsec encryption communication path is determined. A decision process;
An update step of updating the IPsec encrypted communication path based on the information determined in the determination step;
A data communication method comprising: 前記送信工程および前記決定工程ではIKEフェーズ2プロトコルにしたがって前記更新要求を送信しあるいは前記情報を決定することを特徴とする前記請求項1に記載のデータ通信方法。   2. The data communication method according to claim 1, wherein, in the transmission step and the determination step, the update request is transmitted or the information is determined according to an IKE phase 2 protocol. 前記識別情報は、前記受信工程で前記更新要求が受信されるより前にIKE暗号通信路を介して前記第2のデータ通信装置が受信している前記第1のデータ通信装置のクッキーであることを特徴とする前記請求項2に記載のデータ通信方法。   The identification information is a cookie of the first data communication device received by the second data communication device via the IKE encryption communication channel before the update request is received in the reception step. The data communication method according to claim 2, wherein: 第1のデータ通信装置と第2のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信システムにおいて、
前記第1のデータ通信装置の使用するIPアドレスが他のIPアドレスに変更されたことを検出する検出手段と、
前記検出手段により前記変更が検出された場合に、前記他のIPアドレスから前記第2のデータ通信装置に対して前記IPsec暗号通信路の更新要求を送信する送信手段と、
前記送信手段により送信された前記更新要求を受信する受信手段と、
前記受信手段により受信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記第1のデータ通信装置から送信されたものであるか否かを判定する判定手段と、
前記判定手段により、前記受信手段により受信された前記更新要求が前記第1のデータ通信装置から送信されたものであると判定された場合に前記IPsec暗号通信路の更新に必要な情報を決定する決定手段と、
前記決定手段により決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新手段と、
を備えることを特徴とするデータ通信システム。 In a data communication system in which data is transmitted and received between the first data communication device and the second data communication device via the IPsec encryption communication path,
Detecting means for detecting that the IP address used by the first data communication device has been changed to another IP address;
Transmitting means for transmitting an update request for the IPsec encrypted communication path from the other IP address to the second data communication device when the change is detected by the detecting means;
Receiving means for receiving the update request transmitted by the transmitting means;
Determination of whether or not the update request is transmitted from the first data communication device based on identification information other than the source IP address included in the update request received by the receiving unit Means,
When the determination unit determines that the update request received by the reception unit is transmitted from the first data communication apparatus, information necessary for updating the IPsec encryption communication path is determined. A determination means;
Updating means for updating the IPsec encrypted communication path based on the information determined by the determining means;
A data communication system comprising: 前記送信手段および前記決定手段はIKEフェーズ2プロトコルにしたがって前記更新要求を送信しあるいは前記情報を決定することを特徴とする前記請求項4に記載のデータ通信システム。   5. The data communication system according to claim 4, wherein the transmission unit and the determination unit transmit the update request or determine the information according to an IKE phase 2 protocol. 前記識別情報は、前記受信手段により前記更新要求が受信されるより前にIKE暗号通信路を介して前記第2のデータ通信装置が受信している前記第1のデータ通信装置のクッキーであることを特徴とする前記請求項5に記載のデータ通信システム。   The identification information is a cookie of the first data communication device that is received by the second data communication device via an IKE encryption communication channel before the update request is received by the receiving means. The data communication system according to claim 5, wherein: 他のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信装置上で稼働するデータ通信プログラムにおいて、
前記データ通信装置の使用するIPアドレスが他のIPアドレスに変更されたことを検出する検出工程と、
前記検出工程で前記変更が検出された場合に、前記他のIPアドレスから前記他のデータ通信装置に対して前記IPsec暗号通信路の更新要求を送信する送信工程と、
前記送信工程で送信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記データ通信装置から送信されてきたものであると判定した前記他のデータ通信装置との間で、前記IPsec暗号通信路の更新に必要な情報を決定する決定工程と、
前記決定工程で決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新工程と、
をコンピュータに実行させることを特徴とするデータ通信プログラム。 In a data communication program that operates on a data communication device that transmits and receives data to and from other data communication devices via an IPsec encrypted communication path,
A detection step of detecting that the IP address used by the data communication device is changed to another IP address;
A transmission step of transmitting an update request for the IPsec encryption communication path from the other IP address to the other data communication device when the change is detected in the detection step;
The other data communication apparatus that has determined that the update request has been transmitted from the data communication apparatus based on identification information other than the source IP address included in the update request transmitted in the transmission step A determination step for determining information necessary for updating the IPsec encrypted communication path;
An update step of updating the IPsec encrypted communication path based on the information determined in the determination step;
A data communication program for causing a computer to execute. 他のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信装置において、
自装置の使用するIPアドレスが他のIPアドレスに変更されたことを検出する検出手段と、
前記検出手段により前記変更が検出された場合に、前記他のIPアドレスから前記他のデータ通信装置に対して前記IPsec暗号通信路の更新要求を送信する送信手段と、
前記送信手段により送信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記データ通信装置から送信されてきたものであると判定した前記他のデータ通信装置との間で、前記IPsec暗号通信路の更新に必要な情報を決定する決定手段と、
前記決定手段により決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新手段と、
を備えることを特徴とするデータ通信装置。 In a data communication apparatus that transmits / receives data to / from other data communication apparatuses via an IPsec encryption communication path,
Detecting means for detecting that the IP address used by the own device has been changed to another IP address;
Transmitting means for transmitting an update request for the IPsec encrypted communication path from the other IP address to the other data communication device when the change is detected by the detecting means;
The other data communication apparatus that has determined that the update request has been transmitted from the data communication apparatus based on identification information other than the source IP address included in the update request transmitted by the transmission means Determining means for determining information necessary for updating the IPsec encrypted communication path;
Updating means for updating the IPsec encrypted communication path based on the information determined by the determining means;
A data communication apparatus comprising: 他のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信装置上で稼働するデータ通信プログラムにおいて、
前記他のデータ通信装置から送信されてきた前記IPsec暗号通信路の更新要求を受信する受信工程と、
前記受信工程で受信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記他のデータ通信装置から送信されてきたものであるか否かを判定する判定工程と、
前記判定工程で、前記受信工程で受信された前記更新要求が前記他のデータ通信装置から送信されてきたものであると判定された場合に前記IPsec暗号通信路の更新に必要な情報を決定する決定工程と、
前記決定工程で決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新工程と、
をコンピュータに実行させることを特徴とするデータ通信プログラム。 In a data communication program that operates on a data communication device that transmits and receives data to and from other data communication devices via an IPsec encrypted communication path,
A receiving step of receiving an update request for the IPsec encrypted communication path transmitted from the other data communication apparatus;
Determining whether or not the update request has been transmitted from the other data communication device based on identification information other than the source IP address included in the update request received in the reception step Process,
In the determination step, when it is determined that the update request received in the reception step is transmitted from the other data communication device, information necessary for updating the IPsec encryption communication path is determined. A decision process;
An update step of updating the IPsec encrypted communication path based on the information determined in the determination step;
A data communication program for causing a computer to execute. 他のデータ通信装置との間でIPsec暗号通信路を介してデータを送受信するデータ通信装置において、
前記他のデータ通信装置から送信されてきた前記IPsec暗号通信路の更新要求を受信する受信手段と、
前記受信手段により受信された前記更新要求中に含まれる送信元IPアドレス以外の識別情報に基づいて当該更新要求が前記他のデータ通信装置から送信されてきたものであるか否かを判定する判定手段と、
前記判定手段により、前記受信手段により受信された前記更新要求が前記他のデータ通信装置から送信されてきたものであると判定された場合に前記IPsec暗号通信路の更新に必要な情報を決定する決定手段と、
前記決定手段により決定された前記情報に基づいて前記IPsec暗号通信路を更新する更新手段と、
を備えることを特徴とするデータ通信装置。

In a data communication apparatus that transmits / receives data to / from other data communication apparatuses via an IPsec encryption communication path,
Receiving means for receiving an update request for the IPsec encrypted communication path transmitted from the other data communication apparatus;
Determination of whether or not the update request is transmitted from the other data communication device based on identification information other than the source IP address included in the update request received by the receiving unit Means,
When the determination unit determines that the update request received by the reception unit is transmitted from the other data communication apparatus, information necessary for updating the IPsec encryption communication path is determined. A determination means;
Updating means for updating the IPsec encrypted communication path based on the information determined by the determining means;
A data communication apparatus comprising:

JP2004017664A 2004-01-26 2004-01-26 Data communication method, data communication system, data communication program, and data communication apparatus Expired - Fee Related JP3980564B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004017664A JP3980564B2 (en) 2004-01-26 2004-01-26 Data communication method, data communication system, data communication program, and data communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004017664A JP3980564B2 (en) 2004-01-26 2004-01-26 Data communication method, data communication system, data communication program, and data communication apparatus

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2007079937A Division JP2007184984A (en) 2007-03-26 2007-03-26 Data communication method, data communication program, and data communication equipment

Publications (2)

Publication Number Publication Date
JP2005210645A true JP2005210645A (en) 2005-08-04
JP3980564B2 JP3980564B2 (en) 2007-09-26

Family

ID=34902407

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004017664A Expired - Fee Related JP3980564B2 (en) 2004-01-26 2004-01-26 Data communication method, data communication system, data communication program, and data communication apparatus

Country Status (1)

Country Link
JP (1) JP3980564B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006112095A1 (en) * 2005-03-31 2006-10-26 Nec Corporation Mobile communication control method, mobile communication system, routing device, management device, and program
JP2008011176A (en) * 2006-06-29 2008-01-17 Kyocera Corp Radio communication method and system
JP2008301072A (en) * 2007-05-30 2008-12-11 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
US8266428B2 (en) 2006-01-12 2012-09-11 Samsung Electronics Co., Ltd. Secure communication system and method of IPv4/IPv6 integrated network system
JP2012177942A (en) * 2012-06-07 2012-09-13 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006112095A1 (en) * 2005-03-31 2006-10-26 Nec Corporation Mobile communication control method, mobile communication system, routing device, management device, and program
JPWO2006112095A1 (en) * 2005-03-31 2008-11-27 日本電気株式会社 Mobile communication control method, mobile communication system, routing device, management device, and program
US7953081B2 (en) 2005-03-31 2011-05-31 Nec Corporation Mobile communication control method, mobile communication system, routing device, management device, and program
JP4748157B2 (en) * 2005-03-31 2011-08-17 日本電気株式会社 Mobile communication control method, mobile communication system, routing device, management device, and program
US8266428B2 (en) 2006-01-12 2012-09-11 Samsung Electronics Co., Ltd. Secure communication system and method of IPv4/IPv6 integrated network system
JP2008011176A (en) * 2006-06-29 2008-01-17 Kyocera Corp Radio communication method and system
JP2008301072A (en) * 2007-05-30 2008-12-11 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
JP2012177942A (en) * 2012-06-07 2012-09-13 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system

Also Published As

Publication number Publication date
JP3980564B2 (en) 2007-09-26

Similar Documents

Publication Publication Date Title
EP1418728B1 (en) Security communication method, system, and apparatus permitting to change the security type
US7810149B2 (en) Architecture for mobile IPv6 applications over IPv4
JP4616956B2 (en) System and method for operating computer files and / or programs
US7317798B2 (en) Communication processing system, communication processing method, server and computer program
US9385996B2 (en) Method of operating a computing device, computing device and computer program
US8732451B2 (en) Portable secure computing network
US9356994B2 (en) Method of operating a computing device, computing device and computer program
KR101291501B1 (en) Technique for maintaining secure network connections
EP2820585B1 (en) Method of operating a computing device, computing device and computer program
US20060005008A1 (en) Security gateway utilizing ssl protocol protection and related method
KR20040075293A (en) Apparatus and method simplifying an encrypted network
JP2003318992A5 (en)
TWI377815B (en) Method and apparatus having null-encryption for signaling and media packets between a mobile station and a secure gateway
JP4215010B2 (en) Security association continuation method and terminal device under variable IP address environment
JP4084971B2 (en) Data protection apparatus, data protection method and program used in electronic data exchange system
JP3833652B2 (en) Network system, server device, and authentication method
JP3980564B2 (en) Data communication method, data communication system, data communication program, and data communication apparatus
JP2007184984A (en) Data communication method, data communication program, and data communication equipment
WO2005069557A1 (en) Mobile router device and home agent device
JP2007036389A (en) Hand-over method of tls session information, and computer system
US7207063B1 (en) Method and apparatus for determining secure endpoints of tunnels in a network that uses internet security protocol
CN108605046A (en) A kind of information push method and terminal
KR101365889B1 (en) Control method of connecting to mobile-network for smart phone, the system and the computer readable medium able running the program thereof
JP2003296279A (en) Authentication method, and client device, server device, and program thereof
US20220360437A1 (en) Mutable Encrypted System

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060921

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20060922

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20061016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061024

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061225

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070123

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070326

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070402

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070508

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070619

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070627

R150 Certificate of patent or registration of utility model

Ref document number: 3980564

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100706

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100706

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110706

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110706

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120706

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120706

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130706

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees