JP2005252464A - 通信方法、通信端末装置およびゲートウェイ装置 - Google Patents
通信方法、通信端末装置およびゲートウェイ装置 Download PDFInfo
- Publication number
- JP2005252464A JP2005252464A JP2004057796A JP2004057796A JP2005252464A JP 2005252464 A JP2005252464 A JP 2005252464A JP 2004057796 A JP2004057796 A JP 2004057796A JP 2004057796 A JP2004057796 A JP 2004057796A JP 2005252464 A JP2005252464 A JP 2005252464A
- Authority
- JP
- Japan
- Prior art keywords
- communication terminal
- communication
- encryption
- terminal device
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 IPsecを実装していない通信端末装置から、IPsecによる暗号化通信区間を指定可能にすることを目的とする。
【解決手段】 通信方法において、通信端末装置から送信された通信データに含まれ、暗号化手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号化の要求に基づいて、前記通信端末装置から送信された通信データの暗号化を行う暗号化工程と、を備えるものである。また、通信方法において、通信端末装置から送信された通信データに含まれ、暗号の復号手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号の復号の要求に基づいて、前記通信端末装置から送信された通信データの暗号の復号を行う暗号の復号工程と、を備える。
【選択図】 図1
【解決手段】 通信方法において、通信端末装置から送信された通信データに含まれ、暗号化手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号化の要求に基づいて、前記通信端末装置から送信された通信データの暗号化を行う暗号化工程と、を備えるものである。また、通信方法において、通信端末装置から送信された通信データに含まれ、暗号の復号手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号の復号の要求に基づいて、前記通信端末装置から送信された通信データの暗号の復号を行う暗号の復号工程と、を備える。
【選択図】 図1
Description
この発明は、ネットワークシステムにおける暗号化通信に関するものである。
近年のインターネットの急速な普及に伴い、家電やセンサーを始めとした組込み機器での通信プロトコルとしてIP(Internet Protocol)の適用が進められている。一般に広く使われているIPを通信プロトコルに用いることにより、安価にネットワークを構築することができ、またインターネットのような既設の大規模なネットワークに接続することができる。インターネットのようなオープンなネットワークを利用しながら、ユーザ内部に閉じた通信網を構築する技術として、VPN(Virtual Private Network)がある。そして、VPNにおけるIPパケットの暗号化と認証に関するプロトコルとして、IPsec(IP security protocol)が標準化されている。IPsecを用いて通信を行うことにより、通信プロトコルとしてIPを利用した全ての通信の暗号化と認証が行われる。しかし、一般にCPU(Central Processing Unit)パワーやメモリー容量等の計算機リソースに対する制限が厳しい組込み機器のような通信端末装置の場合、IPsecの処理に必要となる暗号アルゴリズムやハッシュ計算のような多くの計算機リソースを必要とする機能の実装が困難である。
このように、通信端末装置がIPsecを実装していない環境において、例えば特許文献1に、2つのローカルネットワークをインターネット経由で接続する場合に、各ローカルネットワークとインターネットの境界にそれぞれゲートウェイ装置が置かれ、送信側ゲートウェイ装置でパケットが暗号化され、受信側ゲートウェイ装置で復号されることにより、ゲートウェイ装置間をIPsecによる暗号化通信区間とさせる通信方法が開示されている。
特許文献1に開示された従来の通信方法においては、IPsecによる暗号化通信区間は、特定のゲートウェイ装置において設定されるため、必ず特定のゲートウェイ装置によって中継されるように通信経路制御を行わなければならず、さらに、ローカルネットワークに接続されたIPsecを実装していない通信端末装置からは、IPsecによる暗号化通信区間を指定できないという問題点があった。
この発明は、上述のような課題を解決するためになされたもので、IPsecを実装していない通信端末装置から、IPsecによる暗号化通信区間を指定可能にすることを目的としている。
この発明に係る通信方法は、通信端末装置から送信された通信データに含まれ、暗号化手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号化の要求に基づいて、前記通信端末装置から送信された通信データの暗号化を行う暗号化工程と、を備えるものである。
この発明は、通信端末装置の要求として送信パケット内にIPsecによる暗号化通信区間の情報を付加し、ゲートウェイ装置においてその情報を元に暗号化を行うことにより、IPsecを実装していない通信端末装置から、IPsecによる暗号化通信区間を指定することができる。
実施の形態1.
この発明の実施の形態1による通信方法は、通信端末装置の要求として送信パケット内に暗号化通信区間の情報を付加し、ゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことにより、IPsecを実装していない通信端末装置から、暗号化通信区間を指定することができるものである。
この発明の実施の形態1による通信方法は、通信端末装置の要求として送信パケット内に暗号化通信区間の情報を付加し、ゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことにより、IPsecを実装していない通信端末装置から、暗号化通信区間を指定することができるものである。
図1は、この発明の実施の形態1による通信方法を用いるネットワークシステムを示す構成図である。
図において、11、12はIPsecを実装していない通信端末装置、13、14はそれぞれ通信端末装置11、12が接続されたローカルネットワーク、15、16はそれぞれローカルネットワーク13、14に接続され外部のネットワーク17との境界に位置しIPsecによる暗号化処理または復号処理を行うゲートウェイ装置、18は通信端末装置11と通信端末装置12との間の通信において暗号化される通信路の区間である。
図において、11、12はIPsecを実装していない通信端末装置、13、14はそれぞれ通信端末装置11、12が接続されたローカルネットワーク、15、16はそれぞれローカルネットワーク13、14に接続され外部のネットワーク17との境界に位置しIPsecによる暗号化処理または復号処理を行うゲートウェイ装置、18は通信端末装置11と通信端末装置12との間の通信において暗号化される通信路の区間である。
次に動作について説明する。
ローカルネットワーク13に接続された通信端末装置11は、別のローカルネットワーク14に接続された通信端末装置12にパケットを送信する際、通信端末装置12との通信路において暗号化される区間の端点となるゲートウェイ装置15、16の情報をパケット内に格納して送信する。
なお、これらの暗号化される区間の端点となるゲートウェイ装置15、16の情報が、通信端末装置の暗号化の要求、通信端末装置の暗号の復号の要求に該当する。
ローカルネットワーク13に接続された通信端末装置11は、別のローカルネットワーク14に接続された通信端末装置12にパケットを送信する際、通信端末装置12との通信路において暗号化される区間の端点となるゲートウェイ装置15、16の情報をパケット内に格納して送信する。
なお、これらの暗号化される区間の端点となるゲートウェイ装置15、16の情報が、通信端末装置の暗号化の要求、通信端末装置の暗号の復号の要求に該当する。
通信端末装置11から送信された、暗号化される区間の端点の情報を含むパケットを受信したゲートウェイ装置15は、受信したパケット内に格納された暗号化される区間の端点の情報を抽出し、その情報を元にゲートウェイ装置16との間にIPsecによる暗号化された通信路を設定する。すなわち、ゲートウェイ装置15は、受信したパケットをIPsecによる暗号化を行った後、ネットワーク17に転送する。
ネットワーク17内を中継されたパケットを受信したゲートウェイ装置16は、IPsecにより暗号化された受信パケットを復号し、ローカルネットワーク14に転送する。
ローカルネットワーク14に転送された通信端末装置12宛のパケットは、通信端末装置12により受信される。
同様に通信端末装置12は、通信端末装置11にパケットを送信する際、暗号化される通信路の区間の端点となるゲートウェイ装置16、15の情報をパケットに格納して送信する。
なお、これらの暗号化される区間の端点となるゲートウェイ装置16、15の情報が、通信端末装置の暗号化の要求、通信端末装置の暗号の復号の要求に該当する。
なお、これらの暗号化される区間の端点となるゲートウェイ装置16、15の情報が、通信端末装置の暗号化の要求、通信端末装置の暗号の復号の要求に該当する。
通信端末装置12から送信された通信端末装置11宛のパケットは、ゲートウェイ装置16により受信されIPsecによる暗号化後、ネットワーク17を経由し、ゲートウェイ装置15により受信され復号後、ローカルネットワーク13を経由して、通信端末装置11により受信される。これにより通信端末装置11と通信端末装置12の間の通信は、区間18において暗号化される。
以上のように、この発明の実施の形態1による通信方法においては、通信端末装置において送信パケット内に暗号化される通信路の区間の情報を付加し、ゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことで、IPsecを実装していない通信端末装置が暗号化通信区間を指定することが可能になる。
実施の形態2.
この発明の実施の形態2による通信方法は、通信端末装置の要求として送信パケット内に暗号化通信区間の情報を付加し、IPsecを実装している通信端末装置またはゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことにより、IPsecを実装していない通信端末装置とIPsecを実装している通信端末装置との間の通信において、暗号化通信区間を指定することができるものである。
この発明の実施の形態2による通信方法は、通信端末装置の要求として送信パケット内に暗号化通信区間の情報を付加し、IPsecを実装している通信端末装置またはゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことにより、IPsecを実装していない通信端末装置とIPsecを実装している通信端末装置との間の通信において、暗号化通信区間を指定することができるものである。
図2は、この発明の実施の形態2による通信方法を用いるネットワークシステムを示す構成図である。
図において、21はIPsecを実装していない通信端末装置、22はIPsecを実装している通信端末装置、23は通信端末装置21が接続されたローカルネットワーク、25はネットワーク23に接続され外部のネットワーク27との境界に位置しIPsecによる暗号化処理または復号処理を行うゲートウェイ装置、28は通信端末装置21と通信端末装置22との間の通信において暗号化される通信路の区間である。
図において、21はIPsecを実装していない通信端末装置、22はIPsecを実装している通信端末装置、23は通信端末装置21が接続されたローカルネットワーク、25はネットワーク23に接続され外部のネットワーク27との境界に位置しIPsecによる暗号化処理または復号処理を行うゲートウェイ装置、28は通信端末装置21と通信端末装置22との間の通信において暗号化される通信路の区間である。
次に動作について説明する。
ローカルネットワーク23に接続された通信端末装置21は、外部のネットワーク27に接続された通信端末装置22にパケットを送信する際、通信端末装置22との通信路において暗号化される区間の端点となるゲートウェイ装置25、通信端末装置22の情報をパケット内に格納して送信する。
なお、これらの暗号化される区間の端点となるゲートウェイ装置25、通信端末装置22の情報が、通信端末装置の暗号化の要求、通信端末装置の暗号の復号の要求に該当する。
ローカルネットワーク23に接続された通信端末装置21は、外部のネットワーク27に接続された通信端末装置22にパケットを送信する際、通信端末装置22との通信路において暗号化される区間の端点となるゲートウェイ装置25、通信端末装置22の情報をパケット内に格納して送信する。
なお、これらの暗号化される区間の端点となるゲートウェイ装置25、通信端末装置22の情報が、通信端末装置の暗号化の要求、通信端末装置の暗号の復号の要求に該当する。
通信端末装置21から送信された、暗号化される区間の端点の情報を含むパケットを受信したゲートウェイ装置25は、受信したパケット内に格納された暗号化される区間の端点の情報を抽出し、その情報を元に通信端末装置22との間にIPsecによる暗号化された通信路を設定する。すなわち、ゲートウェイ装置25は、受信したパケットをIPsecによる暗号化を行った後、ネットワーク27に転送する。
ネットワーク27内を中継されたパケットを受信した通信端末装置22は、IPsecにより暗号化された受信パケットを復号する。
同様に通信端末装置22は、通信端末装置21にパケットを送信する際、通信端末装置21との通信路において暗号化される区間の端点となる通信端末装置22自身およびゲートウェイ装置25の情報をパケット内に格納し、ゲートウェイ装置25との間にIPsecによる暗号化された通信を設定し、パケットをネットワーク27に転送する。
ネットワーク27内を中継されたパケットを受信したゲートウェイ装置25は、IPsecにより暗号化された受信パケットを復号し、ローカルネットワーク23に転送する。
ローカルネットワーク23に転送された通信端末装置21宛のパケットは、通信端末装置21により受信される。
以上のように、この発明の実施の形態2による通信方法においては、通信端末装置において送信パケット内に暗号化される通信路の区間の情報を付加し、IPsecを実装している通信端末装置またはゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことで、IPsecを実装していない通信端末装置とIPsecを実装している通信端末装置との間の通信において、暗号化通信区間を指定することが可能になる。
実施の形態3.
この発明の実施の形態3による通信方法は、通信端末装置の要求として送信パケットのルーティングヘッダ内に暗号化通信区間の情報であるゲートウェイ装置のIPv6アドレスを付加し、ゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことにより、IPsecを実装していない通信端末装置から、暗号化通信区間を指定することができるものである。
この発明の実施の形態3による通信方法は、通信端末装置の要求として送信パケットのルーティングヘッダ内に暗号化通信区間の情報であるゲートウェイ装置のIPv6アドレスを付加し、ゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことにより、IPsecを実装していない通信端末装置から、暗号化通信区間を指定することができるものである。
この発明の実施の形態3による通信方法を用いるネットワークシステムの構成は、実施の形態1と同様である。なお、本実施の形態3では、通信端末装置およびゲートウェイ装置によるIP通信にはIPv6(Internet Protocol version 6)を用いる。
次に動作について説明する。
ローカルネットワーク13に接続された通信端末装置11は、別のローカルネットワーク14に接続された通信端末装置12にパケットを送信する際、通信端末装置12との通信路において暗号化される区間18の端点となる2つのゲートウェイ装置のうち自ノードにより近いゲートウェイ装置15のIPv6アドレスをIPv6ヘッダのDestination Addressに、もう一方の端点であるゲートウェイ装置16および通信端末装置12のIPv6アドレスをIPv6拡張ヘッダであるルーティングヘッダに格納し送信する。図3はそのときのパケットの構造を示したものである。図において、31はIPv6ヘッダ、32はIPv6拡張ヘッダのルーティングヘッダ、33はデータである。31に含まれるSource Address(A)は通信端末装置11のIPv6アドレスであり、Destination Address(C)はゲートウェイ装置15のIPv6アドレスである。また32に含まれるAddress[1](D)はゲートウェイ装置16のIPv6アドレスであり、Address[2](B)は通信端末装置12のIPv6アドレスであり、Segments Left(2)はこれら2つの情報が以降の転送先として有効であることを示すものである。
なお、図3に示すように暗号化されていないパケット構造おいて、IPsecを実装しているゲートウェイ装置15のIPv6アドレス(C)をIPv6ヘッダ31にDestination Addressとして格納すること、およびIPsecを実装しているゲートウェイ装置16のIPv6アドレス(D)をルーティングヘッダ32にAddress[1]として格納することが、ゲートウェイ装置15に対する通信端末装置の暗号化の要求、およびゲートウェイ装置16に対する通信端末装置の暗号の復号の要求に該当する。
ローカルネットワーク13に接続された通信端末装置11は、別のローカルネットワーク14に接続された通信端末装置12にパケットを送信する際、通信端末装置12との通信路において暗号化される区間18の端点となる2つのゲートウェイ装置のうち自ノードにより近いゲートウェイ装置15のIPv6アドレスをIPv6ヘッダのDestination Addressに、もう一方の端点であるゲートウェイ装置16および通信端末装置12のIPv6アドレスをIPv6拡張ヘッダであるルーティングヘッダに格納し送信する。図3はそのときのパケットの構造を示したものである。図において、31はIPv6ヘッダ、32はIPv6拡張ヘッダのルーティングヘッダ、33はデータである。31に含まれるSource Address(A)は通信端末装置11のIPv6アドレスであり、Destination Address(C)はゲートウェイ装置15のIPv6アドレスである。また32に含まれるAddress[1](D)はゲートウェイ装置16のIPv6アドレスであり、Address[2](B)は通信端末装置12のIPv6アドレスであり、Segments Left(2)はこれら2つの情報が以降の転送先として有効であることを示すものである。
なお、図3に示すように暗号化されていないパケット構造おいて、IPsecを実装しているゲートウェイ装置15のIPv6アドレス(C)をIPv6ヘッダ31にDestination Addressとして格納すること、およびIPsecを実装しているゲートウェイ装置16のIPv6アドレス(D)をルーティングヘッダ32にAddress[1]として格納することが、ゲートウェイ装置15に対する通信端末装置の暗号化の要求、およびゲートウェイ装置16に対する通信端末装置の暗号の復号の要求に該当する。
通信端末装置11より送信されたパケットを受信したゲートウェイ装置15は、受信したパケットのIPv6ヘッダ31およびルーティングヘッダ32に格納されたIPv6アドレスを元に、ゲートウェイ装置16との間にIPsecにより暗号化される通信路を設定する。さらにゲートウェイ装置15は、中継時にルーティングヘッダの処理後、IPv6ヘッダとルーティングヘッダとの間にESP(Encapsulating Security Payload)ヘッダを挿入し、ルーティングヘッダ、データ部分の暗号化を行う。図4はそのときのパケットの構造を示したものである。図において、41はIPv6ヘッダ、、43はルーティングヘッダ、44はデータ、45はESPトレーラ、46はESP認証である。41に含まれるSource Address(A)は通信端末装置11のIPv6アドレスであり、Destination Address(D)はゲートウェイ装置16のIPv6アドレスである。また43に含まれるAddress[1](C)はゲートウェイ装置15のIPv6アドレスであり、Address[2](B)は通信端末装置12のIPv6アドレスであり、Segments Left(1)はこれら2つの情報のうち後者が以降の転送先として有効であることを示すものである。
なお、図4に示すようにESPヘッダ42等が挿入され、暗号化されているパケット構造おいて、IPsecを実装しているゲートウェイ装置16のIPv6アドレス(D)をIPv6ヘッダ41にDestination Addressとして格納することが、ゲートウェイ装置16に対する通信端末装置の暗号の復号の要求に該当する。
なお、図4に示すようにESPヘッダ42等が挿入され、暗号化されているパケット構造おいて、IPsecを実装しているゲートウェイ装置16のIPv6アドレス(D)をIPv6ヘッダ41にDestination Addressとして格納することが、ゲートウェイ装置16に対する通信端末装置の暗号の復号の要求に該当する。
ゲートウェイ装置15によりIPsecによる暗号化処理後、ネットワーク17内を中継されたパケットを受信したゲートウェイ装置16は、IPsecにより暗号化された受信パケットを復号後、ルーティングヘッダの処理を行い、パケットを中継する。図5はそのときのパケットの構造を示したものである。図において、51はIPv6ヘッダ、52はルーティングヘッダ、53はデータである。51に含まれるSource Address(A)は通信端末装置11のIPv6アドレスであり、Destination Address(B)は通信端末装置12のIPv6アドレスである。また52に含まれるAddress[1](C)はゲートウェイ装置15のIPv6アドレスであり、Address[2](D)はゲートウェイ装置16のIPv6アドレスである。
ゲートウェイ装置16により中継されたパケットは、通信端末装置12により受信される。
同様に通信端末装置12から通信端末装置11にパケットを送信する際には、IPv6ヘッダのDestination Addressにゲートウェイ装置16のIPv6アドレスを格納し、ルーティングヘッダにゲートウェイ装置15および通信端末装置11のIPv6アドレスを格納して送信する。通信端末装置12から送信されたパケットは、ゲートウェイ装置16によりパケットの暗号化、ゲートウェイ装置15によりパケットの復号が行われる。これにより通信端末装置11と通信端末装置12の間の通信は、区間18において暗号化される。
以上のように、この発明の実施の形態3による通信方法においては、通信端末装置において送信パケットのルーティングヘッダを用いて暗号化される通信路の区間の端点のIPv6アドレスを指定し、ゲートウェイ装置においてその情報を元にパケットの暗号化処理を行うことで、IPsecを実装していない通信端末装置が暗号化通信区間を指定することが可能になる。またルーティングヘッダを用いることで、ローカルネットワークや外部のネットワークにおける経路制御によらず、送信パケットを任意のゲートウェイ装置を経由させることが可能となる。さらにIPv6拡張ヘッダのひとつであるルーティングヘッダを用いることで、既存のIPv6スタックへの実装が容易であるという利点がある。
なお、上記実施例では、実施の形態1と同様に、通信を行う2つの通信端末装置ともIPsecを実装していない通信端末装置としたが、実施の形態2と同様に、一方がIPsecを実装している通信端末装置であってもよい。
また、上記実施例では、IPsecのトランスポートモードを使用した場合について説明したが、ゲートウェイ装置においてIPsec処理を行うとき、IPsecのトンネルモードを使用してもよい。
また、上記実施例では、IPv6のルーティングヘッダ内のRouting Typeフィールドの値を規定していないが、ゲートウェイ装置が通常のルータ機能を持ち、暗号化を行わないパケットに対してルーティングヘッダの処理を行う場合等、識別のためIPv6のルーティングヘッダ内のRouting Typeフィールドには通常のルーティングヘッダに用いられる0以外の値を用いてもよい。
また、上記実施例では、IPv6のルーティングヘッダを使用した場合について説明したが、ルーティングヘッダ以外でもよく、またIPv4(Internet Protocol version 4)を用いてもよい。その場合、ゲートウェイ装置を経由する際に順次IPv4/IPv6ヘッダ内のDestination Addressをルーティングヘッダの場合と同様に書き換えることで、ネットワークの経路制御によらず任意のゲートウェイ装置を経由することが可能となる。
また、上記実施例では、通信端末装置において経由するゲートウェイ装置のIPv6アドレスを取得する方法を規定していないが、通信端末装置のIPv6アドレスよりゲートウェイ装置のIPv6アドレスを求める方法を規定する、DNS(Domain Name System)を拡張し通信端末装置装置に対応するゲートウェイ装置のIPv6アドレスをDNSに問い合わせを行う、ICMP(Internet Control Message Protocol)Node Information Queryを拡張し通信端末装置に直接ゲートウェイ装置のIPv6アドレスを問い合わせる等の方法が考えられる。また、ある2つの通信端末装置間において片方向の通信パケットが既に受信されている場合には、パケットを受信した通信端末装置が受信パケットの送信元へのパケット送信時のゲートウェイ装置のIPv6アドレスとして、受信バケットより抽出したゲートウェイ装置のIPv6アドレスを使用してもよい。
実施の形態4.
この発明の実施の形態4による通信方法は、通信端末装置の要求として送信パケット内に通信相手に応じた暗号化通信区間の情報を付加し、ゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことにより、通信相手となる通信端末装置毎に異なるゲートウェイ装置を使い分けることができるものである。
この発明の実施の形態4による通信方法は、通信端末装置の要求として送信パケット内に通信相手に応じた暗号化通信区間の情報を付加し、ゲートウェイ装置においてその情報を元に暗号化処理または復号処理を行うことにより、通信相手となる通信端末装置毎に異なるゲートウェイ装置を使い分けることができるものである。
図6は、この発明の実施の形態4による通信方法を用いるネットワークシステムを示す構成図である。本実施の形態4では、通信端末装置およびゲートウェイ装置によるIP通信にはIPv6を用いる。図において、61,62,および72はIPsecを実装していない通信端末装置、63,64,および74はそれぞれ通信端末装置61,62,および72が接続されたローカルネットワーク、65および75はネットワーク63に接続され、外部のネットワーク67との境界に位置し、IPsecによる暗号化処理または復号処理を行うゲートウェイ装置、66および76はそれぞれネットワーク64および74に接続され、外部のネットワーク67との境界に位置し、IPsecによる暗号化処理または復号処理を行うゲートウェイ装置である。
次に動作について説明する。
暗号化通信のための通信端末装置およびゲートウェイ装置における処理は実施の形態3と同様である。
ローカルネットワーク63に接続された通信端末装置61は、別のローカルネットワーク74に接続された通信端末装置62にパケットを送信する際、通信端末装置62との通信路において暗号化される区間の端点となるゲートウェイ装置65、66のIPv6アドレスをそれぞれパケットのIPv6ヘッダおよびルーティングヘッダ内に格納して送信する。
なお、図3と同様の暗号化されていないパケット構造おいて、これらの暗号化される区間の端点となるゲートウェイ装置65、66のIPv6アドレスをそれぞれパケットのIPv6ヘッダおよびルーティングヘッダ内に格納することが、それぞれ通信端末装置の暗号化の要求および通信端末装置の暗号の復号の要求に該当する。
暗号化通信のための通信端末装置およびゲートウェイ装置における処理は実施の形態3と同様である。
ローカルネットワーク63に接続された通信端末装置61は、別のローカルネットワーク74に接続された通信端末装置62にパケットを送信する際、通信端末装置62との通信路において暗号化される区間の端点となるゲートウェイ装置65、66のIPv6アドレスをそれぞれパケットのIPv6ヘッダおよびルーティングヘッダ内に格納して送信する。
なお、図3と同様の暗号化されていないパケット構造おいて、これらの暗号化される区間の端点となるゲートウェイ装置65、66のIPv6アドレスをそれぞれパケットのIPv6ヘッダおよびルーティングヘッダ内に格納することが、それぞれ通信端末装置の暗号化の要求および通信端末装置の暗号の復号の要求に該当する。
同様に通信端末装置62は、通信端末装置61にパケットを送信する際、暗号化される通信路の区間の端点となるゲートウェイ装置66、65のIPv6アドレスをそれぞれパケットのIPv6ヘッダおよびルーティングヘッダ内に格納して送信する。
これにより通信端末装置61と通信端末装置62の間の通信は、ゲートウェイ装置65およびゲートウェイ装置66間において暗号化される。
また、ローカルネットワーク63に接続された通信端末装置61は、別のローカルネットワーク74に接続された通信端末装置72にパケットを送信する際、通信端末装置72との通信路において暗号化される区間の端点となるゲートウェイ装置75、76のIPv6アドレスをそれぞれIPv6ヘッダおよびパケットのルーティングヘッダ内に格納して送信する。
なお、図3と同様の暗号化されていないパケット構造おいて、これらの暗号化される区間の端点となるゲートウェイ装置75、76のIPv6アドレスをそれぞれパケットのIPv6ヘッダおよびルーティングヘッダ内に格納することが、それぞれ通信端末装置の暗号化の要求および通信端末装置の暗号の復号の要求に該当する。
なお、図3と同様の暗号化されていないパケット構造おいて、これらの暗号化される区間の端点となるゲートウェイ装置75、76のIPv6アドレスをそれぞれパケットのIPv6ヘッダおよびルーティングヘッダ内に格納することが、それぞれ通信端末装置の暗号化の要求および通信端末装置の暗号の復号の要求に該当する。
同様に通信端末装置72は、通信端末装置61にパケットを送信する際、暗号化される通信路の区間の端点となるゲートウェイ装置76、75のIPv6アドレスをそれぞれパケットのIPv6ヘッダおよびルーティングヘッダ内に格納して送信する。
これにより通信端末装置61と通信端末装置72の間の通信は、ゲートウェイ装置75およびゲートウェイ装置76間において暗号化される。
以上のように、この発明の実施の形態4による通信方法においては、通信端末装置において送信パケット内に暗号化される通信路の区間の情報を付加する際に、通信相手となる通信端末装置毎に異なるゲートウェイ装置を使い分けることが可能となる。これにより通信端末装置による優先制御やゲートウェイ装置の処理の負荷分散が可能となる。
なお、上記実施例では、ある2つの通信端末装置間における通信では、通信の方向に関わらず同一のゲートウェイ装置を経由するように指定しているが、通信の方向によって異なるゲートウェイ装置を経由するように指定してもよい。
また、上記実施例では、宛先通信端末装置毎にゲートウェイ装置を指定したが、通信端末装置で動作するアプリケーション毎やコネクション毎に異なるゲートウェイ装置を指定することで、アプリケーション毎やコネクション毎に異なるゲートウェイ装置を使い分けることが可能となる。これによりアプリケーションやコネクションによる優先制御やゲートウェイ装置の処理の負荷分散が可能となる。
11、12、21、22、61、62、72 通信端末装置
15、16、25、26、65、66、75、76 ゲートウェイ装置
32、43 ルーティングヘッダ
15、16、25、26、65、66、75、76 ゲートウェイ装置
32、43 ルーティングヘッダ
Claims (12)
- 通信端末装置から送信された通信データに含まれ、暗号化手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号化の要求に基づいて、前記通信端末装置から送信された通信データの暗号化を行う暗号化工程と、
を備えることを特徴とする通信方法。 - 通信端末装置から送信された通信データに含まれ、暗号の復号手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号の復号の要求に基づいて、前記通信端末装置から送信された通信データの暗号の復号を行う暗号の復号工程と、
を備えることを特徴とする通信方法。 - 通信端末装置から送信された通信データに含まれ、暗号化手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号化の要求に基づいて、前記通信端末装置から送信された通信データの暗号化を行う暗号化工程と、
前記通信端末装置から送信された通信データに含まれ、暗号の復号手段をもつ指定のゲートウェイ装置に対する前記通信端末装置の暗号の復号の要求に基づいて、前記暗号化工程で暗号化された通信データの暗号の復号を行う暗号の復号工程と、
を備えることを特徴とする請求項1に記載の通信方法。 - 通信端末装置から送信された通信データにおけるIPv6(Internet Protocol version 6)のルーティングヘッダに含まれる、前記通信端末装置の要求に基づくことを特徴とする請求項1〜請求項3に記載の通信方法。
- ゲートウェイ装置のアドレスデータに基づく前記ゲートウェイ装置に対する前記通信端末装置の要求に基づくことを特徴とする請求項1〜請求項4に記載の通信方法。
- 通信相手となる他の通信端末装置に応じた前記通信端末装置の要求に基づくことを特徴とする請求項1〜請求項5に記載の通信方法。
- 前記通信端末装置で動作するアプリケーションプログラムに応じた前記通信端末装置の要求に基づくことを特徴とする請求項1〜請求項5に記載の通信方法。
- コネクションに応じた前記通信端末装置の要求に基づくことを特徴とする請求項1〜請求項5に記載の通信方法。
- 暗号化手段をもつ指定のゲートウェイ装置に対して通信データの暗号化を要求する暗号化要求情報を、送信される前記通信データに格納する暗号化要求情報格納手段と、
を備えることを特徴とする通信端末装置。 - 暗号の復号手段をもつ指定のゲートウェイ装置に対して通信データの暗号の復号を要求する暗号の復号要求情報を、送信される前記通信データに格納する暗号の復号要求情報格納手段と、
を備えることを特徴とする通信端末装置。 - 通信端末装置から送信された通信データに含まれる、前記通信端末装置の暗号化の要求に基づいて、前記通信端末装置から送信された通信データの暗号化を行う暗号化手段と、
を備えることを特徴とするゲートウェイ装置。 - 通信端末装置から送信された通信データに含まれる、前記通信端末装置の暗号の復号の要求に基づいて、前記通信端末装置から送信された通信データの暗号の復号を行う暗号の復号手段と、
を備えることを特徴とするゲートウェイ装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004057796A JP2005252464A (ja) | 2004-03-02 | 2004-03-02 | 通信方法、通信端末装置およびゲートウェイ装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004057796A JP2005252464A (ja) | 2004-03-02 | 2004-03-02 | 通信方法、通信端末装置およびゲートウェイ装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005252464A true JP2005252464A (ja) | 2005-09-15 |
Family
ID=35032567
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004057796A Pending JP2005252464A (ja) | 2004-03-02 | 2004-03-02 | 通信方法、通信端末装置およびゲートウェイ装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005252464A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016019050A (ja) * | 2014-07-04 | 2016-02-01 | 特許機器株式会社 | 情報収集システム、情報収集方法及びプログラム |
-
2004
- 2004-03-02 JP JP2004057796A patent/JP2005252464A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016019050A (ja) * | 2014-07-04 | 2016-02-01 | 特許機器株式会社 | 情報収集システム、情報収集方法及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9300634B2 (en) | Mobile IP over VPN communication protocol | |
US8132000B2 (en) | Secure transport of multicast traffic | |
ES2362993T3 (es) | Un método y disposición para proporcionar seguridad a través de conversión de direcciones de red utilizando tunelado y compensaciones. | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
US7869446B2 (en) | Optimized dynamic multipoint virtual private network over IPv6 network | |
CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
US10044841B2 (en) | Methods and systems for creating protocol header for embedded layer two packets | |
WO2013068790A1 (en) | Protocol for layer two multiple network links tunnelling | |
JP2006101051A (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
CN109981820B (zh) | 一种报文转发方法及装置 | |
CN107306198B (zh) | 报文转发方法、设备和系统 | |
US7346926B2 (en) | Method for sending messages over secure mobile communication links | |
WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
CN112600802B (zh) | 一种SRv6加密报文、SRv6报文的加解密方法及装置 | |
KR20090061253A (ko) | 인터넷 프로토콜 보안 적용을 위한 유디피 기반의 터널링방법 및 상기 방법을 수행하는 시스템 | |
JP4933286B2 (ja) | 暗号化パケット通信システム | |
JP4043997B2 (ja) | 暗号装置及びプログラム | |
CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
JP2005252464A (ja) | 通信方法、通信端末装置およびゲートウェイ装置 | |
JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
WO2023159346A1 (en) | Communication devices and methods therein for facilitating ipsec communications | |
CN115766063A (zh) | 数据传输方法、装置、设备及介质 | |
JP2006033350A (ja) | 代理セキュアルータ装置及びプログラム | |
JP2009303046A (ja) | 中継装置および通信システムおよび通信プログラム | |
JP2005348321A (ja) | パケット通信装置および方法ならびにプログラム |