JP2006033358A - Communication method, router, processing method of router, and program - Google Patents

Communication method, router, processing method of router, and program Download PDF

Info

Publication number
JP2006033358A
JP2006033358A JP2004208631A JP2004208631A JP2006033358A JP 2006033358 A JP2006033358 A JP 2006033358A JP 2004208631 A JP2004208631 A JP 2004208631A JP 2004208631 A JP2004208631 A JP 2004208631A JP 2006033358 A JP2006033358 A JP 2006033358A
Authority
JP
Japan
Prior art keywords
communication device
router
communication
client
sip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004208631A
Other languages
Japanese (ja)
Other versions
JP4035523B2 (en
Inventor
Katsuhisa Ogawa
勝久 小川
Naohiko Suzuki
直彦 鈴木
Masahiko Kosaka
正彦 向阪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2004208631A priority Critical patent/JP4035523B2/en
Publication of JP2006033358A publication Critical patent/JP2006033358A/en
Application granted granted Critical
Publication of JP4035523B2 publication Critical patent/JP4035523B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To solve problems that communication is carried out in an unencrypted state and packets cannot be transmitted because a high-order layer application does not notice the setting state of the IPsec in the case of temporarily setting the IPsec. <P>SOLUTION: SIP-Proxy servers A, B relay INVITE, Ringing, and OK. The SIP-Proxy servers A, B transmit an IPsec setting instruction to routers A, B (S9, S10). The routers A, B receiving the IPsec setting instruction carry out secure communication start processing (S16, S17). Upon the receipt of an ACK from a client A to a client B (S18), the router A transfers the ACK after end of the secure communication start processing. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、通信方法、ルータ、ルータの処理方法、及びプログラムに関わる。   The present invention relates to a communication method, a router, a router processing method, and a program.

SIP(Session Initiation Protocol)はインターネット電話などでVoIP等の双方向マルチメディア通信に用いられ、端末機器双方向のセッションの開始、変更、終了を行うためのプロトコルである(例えば、特許文献1参照)。一方、IPsecは端末機器間のエンド・ツー・エンドのIPレイヤでのセキュリティを実現するための十分な機能と安全性を備え、標準化された技術である(例えば、特許文献2参照)。
特開2004−147195号公報 特開2001−007849号公報 SIP (Session Initiation Protocol) is a protocol for starting, changing, and terminating a bidirectional session of a terminal device, which is used for bidirectional multimedia communication such as VoIP in an Internet telephone or the like (see, for example, Patent Document 1). . On the other hand, IPsec is a standardized technology having sufficient functions and safety for realizing security at an end-to-end IP layer between terminal devices (see, for example, Patent Document 2).
JP 2004-147195 A JP 2001-007849 A

従来、SIPのプロトコルを用いた通信では、セッション自体をコントロールするSIPのメッセージと、実際マルチメディアデータをやり取りするメディアセッションは、通信経路、利用ポートも含めて別セッションであり、SIP側から連携動作可能ではあるが、特にIPsecといった、下位層のセキュリティのメカニズムを採用した場合、上位のメディアセッションやSIPプロトコルからは、IPsecがはられているかどうかといった下位層の状態を認識できない。   Conventionally, in communication using the SIP protocol, the SIP message for controlling the session itself and the media session for actually exchanging multimedia data are separate sessions including the communication path and the used port, and are linked from the SIP side. Although it is possible, in particular, when a lower layer security mechanism such as IPsec is adopted, the lower layer state such as whether IPsec is established cannot be recognized from the upper media session or the SIP protocol.

また、IPsecは通常、企業における本支店間等の固定した拠点間で暗号化通信路を確保するためには向いているが、例えば、別セグメントに位置する端末機器同士がその場だけ一時的に設定してIPsecによるセキュア通信を行うといった用途には向いていない。   In addition, IPsec is usually suitable for securing an encrypted communication path between fixed bases such as between main branches of a company, but for example, terminal devices located in different segments are temporarily connected only on the spot. It is not suitable for applications such as setting and performing secure communication by IPsec.

不特定の通信相手端末機器間のマルチメディア通信をセキュアに行うにあたり、IPsecを一時的に設定する場合、上位層アプリはIPsecの設定状況を意識しないので、下記のような課題がある。
1.SPD(Security Policy Database)にIPsec通信を行いたい相手のエントリが存在しない状態で通信を開始すると、暗号化されてない状態で通信してしまう。
2.SPDに通信相手のエントリが存在し、SAが張れていない場合に、
・use設定の場合、やはり暗号化なしの状態で通信してしまう。
・require設定の場合、パケットが送出できない。
といった問題が生じる。 In order to securely set multimedia communication between unspecified communication partner terminal devices, when temporarily setting IPsec, the upper layer application is not conscious of the setting status of IPsec, and thus has the following problems.
1. If communication is started in a state where there is no entry of the other party who wants to perform IPsec communication in SPD (Security Policy Database), communication is performed in an unencrypted state.
2. If there is a communication partner entry in the SPD and the SA is not extended,
-In the case of use setting, communication is performed without encryption.
・ If request is set, packets cannot be sent.
Problems arise.

本発明では、第一の通信装置から第二の通信装置への呼び出しメッセージ、及び、第二の通信装置から第一の通信装置への応答メッセージの中継を行う中継装置が、第一の通信装置側に設けられた第一のルータおよび第二の通信装置側に設けられた第二のルータに対し、セキュリティ設定指示を送信し、セキュリティ設定指示を受けた第一のルータおよび第二のルータは、セキュア通信開始処理を行い、第一のルータは、第一の通信装置から第二の通信装置への了承メッセージを受信すると、了承メッセージをセキュア通信開始処理完了後に転送することを特徴とする。   In the present invention, the relay device that relays the call message from the first communication device to the second communication device and the response message from the second communication device to the first communication device is the first communication device. The first router provided on the side and the second router provided on the second communication device side transmit a security setting instruction, and the first router and the second router that received the security setting instruction When the secure communication start process is performed and the first router receives an acknowledgment message from the first communication apparatus to the second communication apparatus, the first router transfers the acknowledge message after the secure communication start process is completed.

また、本発明では、第一の通信装置側に設けられたルータが、第一の通信装置から第二の通信装置への呼び出しメッセージ、及び、第二の通信装置から第一の通信装置への応答メッセージの中継を行う中継装置からのセキュリティ設定指示に応じて、第二の通信装置側に設けられた第二のルータとの間で暗号化通信路の設定を行い、第一の通信装置から第二の通信装置への了承メッセージを受信すると、了承メッセージを暗号化通信路の設定完了後に、第二のルータに転送する。   Further, in the present invention, the router provided on the first communication device side calls the call message from the first communication device to the second communication device, and the second communication device to the first communication device. In response to the security setting instruction from the relay device that relays the response message, the encrypted communication path is set with the second router provided on the second communication device side, and the first communication device When an acknowledgment message to the second communication device is received, the acknowledgment message is transferred to the second router after the setting of the encrypted communication path is completed.

本発明によれば、利用者による煩雑かつ困難な操作なしに、通信開始時にセキュリティ設定を行って、セキュアな通信が行うことができる。   According to the present invention, it is possible to perform secure communication by performing security setting at the start of communication without complicated and difficult operations by the user.

以下、図面を参照して本発明の実施形態を詳細に説明する。本形態では、SIPのシグナルを用いたIPsec設定を行うルータおよびSIPサーバを説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In this embodiment, a router and an SIP server that perform IPsec setting using a SIP signal will be described.

図1は本発明の一実施形態であるネットワーク構成の例を示したものである。図1においてクライアントA101はセッションイニシエーションプロトコル(以下SIP)による発着呼機能を備えた端末である。本実施形態では、発呼側端末としての位置付ける。クライアントB102は101と同様にSIPの発着呼機能を備えた端末であるが、本実施形態では、101の発呼端末から呼び出される着呼端末と位置付ける。クライアントA、クライアントBは、それぞれIPsec機能を保持したルータA103、同じくIPsec機能を保持したルータB104に接続され、ルータAおよび、ルータBはインターネットに接続されている。   FIG. 1 shows an example of a network configuration according to an embodiment of the present invention. In FIG. 1, a client A 101 is a terminal having an incoming / outgoing call function based on a session initiation protocol (hereinafter SIP). In this embodiment, it is positioned as a calling terminal. The client B102 is a terminal having an SIP incoming / outgoing call function as in the case of 101, but in the present embodiment, it is positioned as an incoming call terminal called from the 101 calling terminal. Client A and client B are connected to a router A103 having an IPsec function and a router B104 having an IPsec function, respectively. Router A and router B are connected to the Internet.

クライアントA101は、インターネット上に存在するSIP−ProxyサーバA105を使用して、URIによる相手端末を検索する。クライアントAは、SIP−ProxyサーバAに自端末のアドレスおよびURIを登録可能である。同様にクライアントBは、インターネット上に存在するSIP−ProxyサーバB106に自URIおよびIPアドレスを登録する。なお、クライアントBは、インターネット上に存在するSIP−ProxyサーバB106を使用して、URIによる相手端末を検索することが可能である。   The client A 101 uses the SIP-Proxy server A 105 existing on the Internet to search for a partner terminal using a URI. The client A can register its own address and URI in the SIP-Proxy server A. Similarly, the client B registers its own URI and IP address with the SIP-Proxy server B 106 existing on the Internet. Note that the client B can search for a partner terminal by URI using the SIP-Proxy server B106 existing on the Internet.

SIP−ProxyサーバAはクライアントAから発呼された場合に、相手先のURIを管理しているSIP−Proxyサーバ(本実施例の場合はSIP−ProxyB)を、DNS107のSRVレコードを参照し発見する。   When the SIP-Proxy server A is called from the client A, it finds the SIP-Proxy server (SIP-ProxyB in this embodiment) that manages the URI of the other party by referring to the SRV record of the DNS 107 To do.

また、本実施形態では、SIPによりセッションが張られた場合は、以後の通信をルータAB間におけるIPsecを用いた暗号化通信路108を用いる構成となっている。   In this embodiment, when a session is established by SIP, the encrypted communication path 108 using IPsec between the routers AB is used for the subsequent communication.

本形態では、IPsecの機能をクライアント(端末)A、B側のネットワークの端に接続したルータA、B上に保持し、かつ、該ルータA、BがSIP−ProxyサーバA、BからのSPD決定メッセージを解釈する機能を保持し、さらに、IPsecの設定状況により、SIPのメッセージを保留する機能を保持し、かつ、各クライアントA、Bが発着呼する際のSIPで通信する相手先ごとに、SPD(SecurityPolicyDatabase)を、実際の通信開始前に動的に生成する機能をもち、かつ、IPsecの設定が完全でない状態では、SIPのメディアセッションを開始させない機能を有する。   In this embodiment, the IPsec function is held on the routers A and B connected to the ends of the networks on the client (terminal) A and B sides, and the routers A and B send SPDs from the SIP-Proxy servers A and B. Holds the function of interpreting the decision message, and further holds the function of holding the SIP message depending on the setting state of the IPsec, and for each partner communicating with the SIP when each of the clients A and B makes a call. SPD (Security Policy Database) has a function of dynamically generating before starting actual communication, and has a function of not starting a SIP media session when the IPsec setting is not complete.

SIP−ProxyサーバA、B(中継装置)は、クライアントA(第一の通信装置)からクライアントB(第二の通信装置)へのINVITE(呼び出しメッセージ)、及び、クライアントB(第二の通信装置)からクライアントA(第一の通信装置)へのRinging、OK(応答メッセージ)の中継を行う。SIP−ProxyサーバA、B(中継装置)は、クライアントA(第一の通信装置)側に設けられたルータA(第一のルータ)およびクライアントB(第二の通信装置)側に設けられたルータB(第二のルータ)に対し、IPsec(セキュリティ)設定指示を送信する。IPsec(セキュリティ)設定指示を受けたルータA、B(第一のルータ、第二のルータ)は、セキュア通信開始処理を行う。ルータA(第一のルータ)は、クライアントA(第一の通信装置)からクライアントB(第二の通信装置)へのACK(了承メッセージ)を受信すると、ACK(了承メッセージ)をセキュア通信開始処理完了後に転送する。   SIP-Proxy servers A and B (relay devices) are an INVITE (call message) from client A (first communication device) to client B (second communication device), and client B (second communication device). ) To the client A (first communication device), relaying the OK (response message). SIP-Proxy servers A and B (relay devices) are provided on the router A (first router) and client B (second communication device) side provided on the client A (first communication device) side. An IPsec (security) setting instruction is transmitted to the router B (second router). The routers A and B (first router and second router) that have received the IPsec (security) setting instruction perform secure communication start processing. When the router A (first router) receives an ACK (acknowledgment message) from the client A (first communication device) to the client B (second communication device), the secure communication start process is performed on the ACK (acknowledgment message). Transfer after completion.

図2は、クライアントA、B、ルータA、B、SIP−ProxyサーバA、Bのハードウェア構成の一例を示したものである。コンピュータ1200は、CPU1201と、ROM1202と、RAM1203と、ハードディスク(HD)1207及びフロッピー(登録商標)ディスク(FD)1208のディスクコントローラ(DC)1205と、ネットワークインタフェースカード(NIC)1206とが、システムバス1204を介して互いに通信可能に接続された構成としている。そして、システムバス1204が、インターネットとネットワークインタフェースカード1206を介して接続される。CPU1201は、ROM1202あるいはHD1207に記憶されたソフトウェア、あるいはFD1208より供給されるソフトウェアを実行することで、ステムバス1204に接続された各構成部を統括的に制御する。ルータA、Bは、対応するクライアントA、Bを接続するためのネットワークインタフェースカード(NIC)と、インターネットを接続するためのネットワークインタフェースカード(NIC)を、別々に有してもよい。   FIG. 2 shows an example of the hardware configuration of the clients A and B, the routers A and B, and the SIP-Proxy servers A and B. A computer 1200 includes a CPU 1201, a ROM 1202, a RAM 1203, a hard disk (HD) 1207, a disk controller (DC) 1205 of a floppy (registered trademark) disk (FD) 1208, and a network interface card (NIC) 1206. 1204 is configured to be communicable with each other via 1204. A system bus 1204 is connected to the Internet via a network interface card 1206. The CPU 1201 performs overall control of each component connected to the stem bus 1204 by executing software stored in the ROM 1202 or the HD 1207 or software supplied from the FD 1208. The routers A and B may separately have a network interface card (NIC) for connecting the corresponding clients A and B and a network interface card (NIC) for connecting the Internet.

すなわち、CPU1201は、処理プログラムを、ROM1202、あるいはHD1207、あるいはFD1208から読み出して実行することで、本実施形態での動作を実現するための制御を行う。RAM1203は、CPU1201の主メモリあるいはワークエリア等として機能する。DC1205は、ブートプログラム、種々のアプリケーション、編集ファイル、ユーザファイル、ネットワーク管理プログラム、および本実施形態における上記処理プログラム等を記憶するHD1207、およびFD1208とのアクセスを制御する。NIC1206は、インターネットを通じて相互通信をする。   That is, the CPU 1201 reads out the processing program from the ROM 1202, the HD 1207, or the FD 1208 and executes it, thereby performing control for realizing the operation in the present embodiment. A RAM 1203 functions as a main memory or work area of the CPU 1201. The DC 1205 controls access to the HD 1207 storing the boot program, various applications, editing files, user files, network management programs, the above-described processing programs in the present embodiment, and the FD 1208. The NIC 1206 communicates with each other through the Internet.

ルータAは、クライアントA(第一の通信装置)側に設けられたルータである。SIP−ProxyサーバA(中継装置)は、クライアントA(第一の通信装置)からクライアントB(第二の通信装置)へのINVITEコマンド(呼び出しメッセージ)、及び、クライアントB(第二の通信装置)からクライアントA(第一の通信装置)へのRinging、OK(応答メッセージ)の中継を行う。ルータAにおいて、CPU1201は、クライアントB(第二の通信装置)側に設けられたルータB(第二のルータ)との間で暗号化通信路108の設定を行う設定手段である。また、ルータAにおいて、CPU1201の制御の元に動作するNIC1206は、クライアントA(第一の通信装置)からクライアントB(第二の通信装置)へのACK(了承メッセージ)を受信すると、SIP ProxyサーバA(中継装置)に転送する転送手段である。   The router A is a router provided on the client A (first communication device) side. The SIP-Proxy server A (relay device) includes an INVITE command (call message) from the client A (first communication device) to the client B (second communication device), and the client B (second communication device). From the client to the client A (first communication device), relaying OK (response message). In the router A, the CPU 1201 is a setting unit that sets the encrypted communication path 108 with the router B (second router) provided on the client B (second communication device) side. In the router A, when the NIC 1206 operating under the control of the CPU 1201 receives an ACK (acknowledgment message) from the client A (first communication device) to the client B (second communication device), the SIP Proxy server A transfer means for transferring to A (relay device).

また、ルータAにおいて、CPU1201は、クライアントA(第一の通信装置)とクライアントB(第二の通信装置)間のセッションを確立するための制御信号の中継を行うSIP ProxyサーバA(中継装置)からのセキュリティ設定指示に応じて、クライアントB(第二の通信装置)側に設けられたルータB(第二のルータ)との間で暗号化通信路108の設定を行う設定手段である。また、ルータAにおいて、CPU1201の制御の元で動作するNIC1206は、クライアントA(第一の通信装置)がクライアントB(第二の通信装置)間のセッションを確立するために送信するACK(最後の制御信号)を受信すると、暗号化通信路108の設定完了後に、SIP ProxyサーバA(中継装置)に転送する転送手段である。   In the router A, the CPU 1201 is a SIP proxy server A (relay device) that relays a control signal for establishing a session between the client A (first communication device) and the client B (second communication device). Is a setting means for setting the encrypted communication path 108 with the router B (second router) provided on the client B (second communication device) side in response to a security setting instruction from the client B (second communication device). In the router A, the NIC 1206 operating under the control of the CPU 1201 transmits an ACK (last message) transmitted from the client A (first communication device) to establish a session between the client B (second communication device). When the control signal is received, after the setting of the encrypted communication path 108 is completed, it is a transfer means for transferring to the SIP Proxy server A (relay device).

図3は、本実施形態に関わる、SIPのプロトコルのやり取り、およびSIPのコマンドのやり取りに関して、SIP ProxyサーバA105および、SIP ProxyサーバB106、さらに、ルータA101およびルータB103さらに、双方のクライアントA,Bのコマンドのやり取りシーケンスを記したものである。これらのルータA101などは、ROM1202、あるいはHD1207、あるいはFD1208に記憶されたプログラムを、CPU1201が実行することにより、いかに説明するような動作を行う。   FIG. 3 shows the SIP proxy server A105, the SIP proxy server B106, the router A101 and the router B103, and the clients A and B of the SIP protocol and SIP commands related to this embodiment. The command exchange sequence is described. These routers A101 and the like perform operations as described below when the CPU 1201 executes programs stored in the ROM 1202, the HD 1207, or the FD 1208.

なお、SIP ProxyサーバA105および、SIP ProxyサーバB106は、SIPコマンドを認識してルータA101とルータB103に対してIPsecのセキュリティポリシーデータベース(SPD)を発行する役割も持ち、ルータA101およびルータB103は、それぞれのSIP ProxyサーバA、BからSPDの指示を受けて、IPsecの設定を動的に行うことができる。   Note that the SIP proxy server A 105 and the SIP proxy server B 106 have a role of recognizing the SIP command and issuing an IPsec security policy database (SPD) to the router A 101 and the router B 103. The router A 101 and the router B 103 Upon receiving an SPD instruction from each of the SIP Proxy servers A and B, IPsec setting can be dynamically performed.

S1で、クライアントAはSIP−ProxyサーバAに対して、SIPのREGISTERコマンドを発行する。この際、予め、クライアントAには認証用のIDとパスワードが設定されており、SIP ProxyサーバAは、REGISTERコマンドの登録要求に対して認証を要求し、認証された場合にのみ登録を行う。ここで使用される認証はダイジェスト認証が一般的である。したがって、REGISTERで登録を行う動作も複数ステップからなるが、ここでは省略している。クライアントAが認証されると、REGISTERコマンドに含まれるパラメータの中のURIとクライアントAのIPアドレスがSIP ProxyサーバA105に登録される。   In S1, the client A issues a SIP REGISTER command to the SIP-Proxy server A. At this time, an authentication ID and password are set in advance in the client A, and the SIP proxy server A requests authentication in response to the registration request of the REGISTER command, and performs registration only when authenticated. The authentication used here is generally digest authentication. Therefore, the registration operation by REGISTER is also composed of a plurality of steps, but is omitted here. When the client A is authenticated, the URI in the parameters included in the REGISTER command and the IP address of the client A are registered in the SIP proxy server A105.

同様にS2ではクライアントBからSIP ProxyサーバBに対してSIPのREGISTERコマンドが発行され、URIとクライアントBのIPアドレスがSIP ProxyサーバBに登録される。   Similarly, in S2, a SIP REGISTER command is issued from the client B to the SIP proxy server B, and the URI and the IP address of the client B are registered in the SIP proxy server B.

S3では、発呼側のクライアントAからクライアントBに属するURIに対してSIPのINVITEコマンドが発行される。SIP ProxyサーバAでは、指定されたURIがSIP ProxyサーバBに属するものであることを認識し、クライアントAから発行されたINVITEコマンドをS4にてSIP ProxyサーバBに対して転送する。なお、SIP−ProxyサーバAは、相手先のURIを管理しているSIP−Proxyサーバ(本実施例の場合はSIP−ProxyB)を、DNS 107のSRVレコードを参照し発見する。   In S3, the SIP INVITE command is issued from the calling client A to the URI belonging to the client B. The SIP proxy server A recognizes that the designated URI belongs to the SIP proxy server B, and transfers the INVITE command issued from the client A to the SIP proxy server B in S4. Note that the SIP-Proxy server A finds the SIP-Proxy server (SIP-ProxyB in this embodiment) that manages the URI of the other party with reference to the SRV record of the DNS 107.

S4のINVITEコマンドをSIP ProxyサーバBが受け取ると、INVITEコマンドのパラメータの中で指定された、URIをキーにしてREGISTERコマンドで登録されたクライアントBのIPアドレスを割り出す。割り出されたIPアドレスに対して、S5でINVITEコマンドを転送する。   When the SIP Proxy server B receives the INVITE command of S4, the IP address of the client B registered by the REGISTER command, which is designated in the INVITE command parameters, is used as a key. In step S5, an INVITE command is transferred to the determined IP address.

S6でクライアントBはINVITEを受信して呼び出し中であることを示すレスポンスRingingをSIP ProxyサーバBに返信する。SIP ProxyサーバBはS4およびS6の中に含まれるクライアントAとクライアントBのIPアドレスをS10で使用するために保持する。   In S6, the client B receives INVITE and returns a response Ringing indicating that it is calling to the SIP Proxy server B. The SIP Proxy server B holds the IP addresses of the clients A and B included in S4 and S6 for use in S10.

S7でSIP ProxyサーバBはRingingのレスポンスをSIP ProxyサーバAに戻す。ここで、SIP ProxyサーバAはS3のINVITEコマンドと、S7のRingingレスポンスのパラメータに含まれるクライアントAとクライアントBのIPアドレスをS9で使用するために保持する。   In S7, the SIP Proxy server B returns a Ringing response to the SIP Proxy server A. Here, the SIP Proxy server A holds the IP addresses of the client A and the client B included in the parameter of the INVITE command of S3 and the Ringing response of S7 for use in S9.

S8ではクライアントAは、SIP ProxyサーバAからクライアントAに対して送出されたクライアントBからのRingingのレスポンスを受け取る。   In S8, the client A receives the Ringing response from the client B sent to the client A from the SIP proxy server A.

S9においてSIP ProxyサーバAは、S1およびS7のコマンド、レスポンスのパラメータよりクライアントAのIPアドレスおよびクライアントBのIPアドレスおよび、クライアントAが使用するポート番号としてすべてのポート番号および、クライアントBが使用するポート番号としてもすべてのポート番号を使用する旨の情報をルータAに通知する。   In S9, the SIP Proxy server A uses the IP address of the client A, the IP address of the client B, and all the port numbers used by the client A and the client B from the command and response parameters of the S1 and S7. The router A is notified of information indicating that all port numbers are used as port numbers.

同様にS10においてSIP ProxyサーバBはS4および、S6のコマンド、レスポンスのパラメータよりルータBに対して、クライアントAのIPアドレスおよびクライアントBのIPアドレスおよび、クライアントAが使用するポート番号としてすべてのポート番号および、クライアントBが使用するポート番号としてもすべてのポート番号を使用する旨の情報をルータBに通知する。   Similarly, in S10, the SIP Proxy server B uses the command and response parameters of S4 and S6 to send the router B with all of the IP addresses of the client A, the IP address of the client B, and the port numbers used by the client A. The router B is notified of the number and information indicating that all port numbers are used as the port numbers used by the client B.

S11でルータAはS9にてSIP ProxyサーバAより指示された、ソースアドレスおよびポート番号、また、デスティネーションアドレスとポート番号(クライアントAのIPアドレス、ポート番号、クライアントBのIPアドレス、ポート番号)をIPsecで使用するSPDにセットする。   In S11, the router A is instructed by the SIP proxy server A in S9, and the source address and port number, and the destination address and port number (IP address of client A, port number, IP address of client B, port number) Is set in the SPD used in IPsec.

同様にS12でルータBは10にてSIP ProxyサーバBより指示された、ソースアドレスおよびポート番号、また、デスティネーションアドレスとポート番号をIPsecで使用するSPDにセットする。   Similarly, in S12, the router B sets the source address and port number, and the destination address and port number specified by the SIP proxy server B in 10 to the SPD used in IPsec.

クライアントBはオフフックまたは同様の動作を行うことにより、S13のOKレスポンスをSIP ProxyサーバBに返信し、同様にS14にてSIP ProxyサーバBはSIP ProxyサーバBにOKレスポンスを転送する。同様にS15にてSIP ProxyサーバAはクライアントAに対してOKレスポンスを転送する。なお、S13からS15のステップは、S6以降の任意のタイミング(一般的にはユーザが操作したタイミング)で実施される。本実施形態のタイミングは一例である。   The client B performs an off-hook or similar operation to return an OK response in S13 to the SIP Proxy server B, and similarly, the SIP Proxy server B transfers the OK response to the SIP Proxy server B in S14. Similarly, in S15, the SIP proxy server A transfers an OK response to the client A. Note that the steps from S13 to S15 are performed at arbitrary timings after S6 (generally, timings operated by the user). The timing of this embodiment is an example.

前記S11およびS12にて、ルータAおよびルータBはお互いのネットワークの配下に存在するクライアントAおよびクライアントBが通信をする際に、IPsecを設定する為のSPDがそろう。この後は、S16でIPsecの鍵交換プロトコルのIKE(鍵交換)のPhase1、また、S17にてIKE Phase2を行う。すなわち、SIP−ProxyサーバA(中継装置)は、クライアントA(第一の通信装置)とクライアントB(第二の通信装置)間のセッションを確立するための制御信号(クライアントA(第一の通信装置)からクライアントB(第二の通信装置)へのINVITEコマンド(呼び出しメッセージ)、及び、クライアントB(第二の通信装置)からクライアントA(第一の通信装置)へのRinging、OK(応答メッセージ))の中継を行う。クライアントA(第一の通信装置)側に設けられたルータAは、SIP−ProxyサーバA(中継装置)からのIPsec(セキュリティ)設定指示に応じて、クライアントB(第二の通信装置)側に設けられたルータB(第二のルータ)との間で暗号化通信路108の設定を行う。   In S11 and S12, when the client A and the client B existing under the mutual network communicate with each other, the router A and the router B have SPDs for setting the IPsec. Thereafter, IKE (key exchange) Phase 1 of the IPsec key exchange protocol is performed in S16, and IKE Phase 2 is performed in S17. That is, the SIP-Proxy server A (relay device) establishes a control signal (client A (first communication device) for establishing a session between the client A (first communication device) and the client B (second communication device). Device) to client B (second communication device) INVITE command (call message), and Ringing from client B (second communication device) to client A (first communication device), OK (response message) )). The router A provided on the client A (first communication apparatus) side sends a message to the client B (second communication apparatus) side in response to an IPsec (security) setting instruction from the SIP-Proxy server A (relay apparatus). The encrypted communication path 108 is set with the provided router B (second router).

この間、すなわち、S15にてOKレスポンスを受信してからIPsecでSA(Security Association)が確立するS17が終わるまでの間に任意のタイミングで、ルータAはクライアントAからS18のACKを受信する可能性があるが、ルータAがIPsec SA完了と認識するまでは、クライアントAからのACK信号を転送せず一時保持しておき、IKEのSAが完了した時点で、転送処理を行う。本実施形態では、S18の時点でACK信号をクライアントAから受信しているが、すぐには送出せず、IPsecのSAが完了した後、S19にてSIP ProxyサーバAに対してACKを転送する。すなわち、クライアントA(第一の通信装置)側に設けられたルータAは、クライアントA(第一の通信装置)からクライアントB(第二の通信装置)へのACK(了承メッセージ、クライアントA(第一の通信装置)がクライアントB(第二の通信装置)間のセッションを確立するために送信する最後の制御信号)を受信すると、ACKを暗号化通信路108の設定完了後に、中継装置に転送する。   During this time, that is, between the time when the OK response is received at S15 and S17 when SA (Security Association) is established by IPsec, the router A may receive the S18 ACK from the client A at any timing. However, until the router A recognizes that the IPsec SA is completed, the ACK signal from the client A is temporarily stored without being transferred, and the transfer process is performed when the IKE SA is completed. In this embodiment, the ACK signal is received from the client A at the time of S18. However, the ACK signal is not sent immediately, but after the IPsec SA is completed, the ACK is transferred to the SIP Proxy server A at S19. . That is, the router A provided on the client A (first communication device) side receives an ACK (acknowledgment message, client A (first communication device) from the client A (first communication device) to the client B (second communication device). When the first communication apparatus) receives the last control signal transmitted to establish a session between the client B (second communication apparatus), the ACK is transferred to the relay apparatus after the setting of the encrypted communication path 108 is completed. To do.

S20では、SIP ProxyサーバAからSIP ProxyサーバBに対して、ACKを転送し、さらにS21では、SIP ProxyサーバBからクライアントBに対してACK信号を転送する。   In S20, an ACK is transferred from the SIP Proxy server A to the SIP Proxy server B, and in S21, an ACK signal is transferred from the SIP Proxy server B to the client B.

この時点で、クライアントAとクライアントBのIPのやり取りにおいては、すでにIPsecのSAが出来ており、実際にSIPのメディアセッションS22はこのIPsecのSAで暗号化されて実行される。なお、ACKは、暗号化しない。   At this point, in the exchange of IP between the client A and the client B, an IPsec SA has already been performed, and the SIP media session S22 is actually executed after being encrypted with the IPsec SA. Note that ACK is not encrypted.

メディアセッションを終了するためにS23ではクライアントAからSIP ProxyサーバAに対してBYEコマンドを送出し、S24ではSIP ProxyサーバAからSIP ProxyサーバBに対してBYEコマンドが転送され、さらにS25でSIP ProxyサーバBからクライアントBにBYEコマンドが転送されて、メディアセッションは終了される。なお、BYEは、暗号化しない。   To end the media session, the BYE command is sent from the client A to the SIP proxy server A in S23, the BYE command is transferred from the SIP Proxy server A to the SIP Proxy server B in S24, and further the SIP Proxy is sent in S25. The BYE command is transferred from the server B to the client B, and the media session is terminated. BYE is not encrypted.

ルータAは、クライアントA(第一の通信装置)側に設けられたルータである。ルータAにおいて、CPU1201は、クライアントA(第一の通信装置)とクライアントB(第二の通信装置)間のセッションを確立するための制御信号(クライアントA(第一の通信装置)からクライアントB(第二の通信装置)へのINVITEコマンド(呼び出しメッセージ)、及び、クライアントB(第二の通信装置)からクライアントA(第一の通信装置)へのRinging、OK(応答メッセージ))の中継を行うSIP−ProxyサーバA(中継装置)からのIPsec(セキュリティ)設定指示に応じて、クライアントB(第二の通信装置)側に設けられたルータB(第二のルータ)との間で暗号化通信路108の設定を行う設定手段である。また、ルータAにおいて、CPU1201の元に動作するNIC1206は、クライアントA(第一の通信装置)からクライアントB(第二の通信装置)へのACK(了承メッセージ、クライアントA(第一の通信装置)がクライアントB(第二の通信装置)間のセッションを確立するために送信する最後の制御信号)を受信すると、ACKを暗号化通信路108の設定完了後に、SIP ProxyサーバA(中継装置)に転送する転送手段である。   The router A is a router provided on the client A (first communication device) side. In the router A, the CPU 1201 transmits a control signal (client A (first communication device) to client B (first communication device) to client B (second communication device) to establish a session between the client A (first communication device) and the client B (second communication device). Relay of INVITE command (call message) to the second communication device), Ringing from client B (second communication device) to client A (first communication device), OK (response message)) Encrypted communication with a router B (second router) provided on the client B (second communication device) side in response to an IPsec (security) setting instruction from the SIP-Proxy server A (relay device) Setting means for setting the path 108. In the router A, the NIC 1206 operating under the CPU 1201 receives an ACK (acknowledgment message, client A (first communication device)) from the client A (first communication device) to the client B (second communication device). Receives the ACK to the SIP Proxy server A (relay device) after completion of the setting of the encrypted communication path 108, upon reception of the last control signal transmitted to establish a session between the client B (second communication device). Transfer means for transferring.

上記実施形態では、IPsecのSAの完了後(暗号化通信路108の設定完了後)に、セッションを確立するための制御信号(ACK)をルータAがSIP ProxyサーバAに転送する形態を説明したが、クライアントAが、ACKに続いて、セッション確立後に送信すべき通信信号を、IPsecのSAの完了前(暗号化通信路108の設定完了前)に送信した場合、ルータAは、IPsecのSAの完了後(暗号化通信路108の設定完了後)に、暗号化通信路108を介してこの通信信号をSIP ProxyサーバAに転送する。   In the above embodiment, a mode has been described in which the router A transfers a control signal (ACK) for establishing a session to the SIP proxy server A after completion of IPsec SA (after completion of setting of the encrypted communication path 108). However, when the client A transmits a communication signal to be transmitted after the session is established following the ACK before the completion of the IPsec SA (before the setting of the encrypted communication path 108 is completed), the router A transmits the IPsec SA. After completion of the above (after completion of setting of the encrypted communication path 108), the communication signal is transferred to the SIP Proxy server A via the encrypted communication path 108.

S21でACKを受信した後に、クライアントBが送信する通信信号は、暗号化通信路108を介して送信される。   After receiving the ACK in S21, the communication signal transmitted by the client B is transmitted via the encrypted communication path 108.

したがって、上位アプリがメディアセッションを開始する形態では、上位アプリは、セキュリティ設定の状況を意識することなくメディアセッションを開始し、セキュア通信を行うことが可能である。   Therefore, in the form in which the upper application starts the media session, the upper application can start the media session and perform secure communication without being aware of the security setting status.

網側のサービスとして、ルータAとルータB間までを提供し、SIPのメディアセッションを課金の対象とする場合は、S19のACKレスポンスをSIP ProxyサーバAが受信したところから課金を開始するタイミングとし、また、S23のBYEコマンドを受信したところで課金を終了するタイミングとする。したがって、通信事業者は、IPsecとSIPを組み合わせた通信に必要なファンクションをインターネット側の有料サービスとして提供する際に、IPsecがエンドtoエンドで設定されていない状態であるにも関わらず、課金が開始されるといった問題が回避でき、課金のタイミングを適切化できる。   When the network side service is provided between router A and router B and the SIP media session is to be charged, the timing at which charging is started when the SIP proxy server A receives the ACK response of S19. In addition, the charging is terminated when the BYE command in S23 is received. Therefore, when providing a function required for communication combining IPsec and SIP as a pay service on the Internet side, a communication carrier is charged even though IPsec is not set end-to-end. The problem of being started can be avoided, and the timing of charging can be optimized.

実施形態にかかるネットワーク構成図である。It is a network block diagram concerning embodiment. 実施形態にかかるハードウェア構成を示した図である。It is a figure showing hardware constitutions concerning an embodiment. 実施形態にかかるコマンドシーケンス図である。It is a command sequence diagram concerning an embodiment.

符号の説明Explanation of symbols

103 ルータA
104 ルータB
105 SIP−ProxyサーバA
106 SIP−ProxyサーバB
103 Router A
104 Router B
105 SIP-Proxy server A
106 SIP-Proxy server B

Claims (7)

第一の通信装置から第二の通信装置への呼び出しメッセージ、及び、第二の通信装置から第一の通信装置への応答メッセージの中継を行う中継装置が、第一の通信装置側に設けられた第一のルータおよび第二の通信装置側に設けられた第二のルータに対し、セキュリティ設定指示を送信し、
セキュリティ設定指示を受けた第一のルータおよび第二のルータは、セキュア通信開始処理を行い、
第一のルータは、第一の通信装置から第二の通信装置への了承メッセージを受信すると、了承メッセージをセキュア通信開始処理完了後に転送することを特徴とする通信方法。 A relay device that relays a call message from the first communication device to the second communication device and a response message from the second communication device to the first communication device is provided on the first communication device side. Send the security setting instruction to the first router and the second router provided on the second communication device side,
The first router and the second router that have received the security setting instruction perform secure communication start processing,
When the first router receives an acknowledgment message from the first communication device to the second communication device, the first router transfers the acknowledgment message after completion of the secure communication start process. 第一の通信装置側に設けられたルータであって、
第一の通信装置から第二の通信装置への呼び出しメッセージ、及び、第二の通信装置から第一の通信装置への応答メッセージの中継を行う中継装置からのセキュリティ設定指示に応じて、第二の通信装置側に設けられた第二のルータとの間で暗号化通信路の設定を行う設定手段と、
第一の通信装置から第二の通信装置への了承メッセージを受信すると、了承メッセージを暗号化通信路の設定完了後に、中継装置に転送する転送手段を有することを特徴とするルータ。 A router provided on the first communication device side,
In response to a security setting instruction from a relay device that relays a call message from the first communication device to the second communication device and a response message from the second communication device to the first communication device. Setting means for setting an encrypted communication path with a second router provided on the communication device side of
A router comprising transfer means for transferring an acknowledgment message to a relay device upon completion of setting of an encrypted communication path when receiving an acknowledgment message from the first communication device to the second communication device. 第一の通信装置側に設けられたルータの処理方法であって、
第一の通信装置から第二の通信装置への呼び出しメッセージ、及び、第二の通信装置から第一の通信装置への応答メッセージの中継を行う中継装置からのセキュリティ設定指示に応じて、第二の通信装置側に設けられた第二のルータとの間で暗号化通信路の設定を行い、
第一の通信装置から第二の通信装置への了承メッセージを受信すると、了承メッセージを暗号化通信路の設定完了後に、中継装置に転送することを特徴とするルータの処理方法。 A processing method of a router provided on the first communication device side,
In response to a security setting instruction from a relay device that relays a call message from the first communication device to the second communication device and a response message from the second communication device to the first communication device. Set the encrypted communication path with the second router provided on the communication device side of
A router processing method, comprising: receiving an acknowledgment message from the first communication device to the second communication device, and transferring the acknowledgment message to the relay device after completing the setting of the encrypted communication path. 第一の通信装置側に設けられたルータのための処理プログラムであって、
第一の通信装置から第二の通信装置への呼び出しメッセージ、及び、第二の通信装置から第一の通信装置への応答メッセージの中継を行う中継装置からのセキュリティ設定指示に応じて、第二の通信装置側に設けられた第二のルータとの間で暗号化通信路の設定を行い、
第一の通信装置から第二の通信装置への了承メッセージを受信すると、了承メッセージを暗号化通信路の設定完了後に、中継装置に転送することを特徴とするルータのための処理プログラム。 A processing program for a router provided on the first communication device side,
In response to a security setting instruction from a relay device that relays a call message from the first communication device to the second communication device and a response message from the second communication device to the first communication device. Set the encrypted communication path with the second router provided on the communication device side of
A processing program for a router, wherein upon receipt of an acknowledgment message from the first communication device to the second communication device, the acknowledgment message is transferred to the relay device after completion of setting of the encrypted communication path. 第一の通信装置側に設けられたルータであって、
第一の通信装置と第二の通信装置間のセッションを確立するための制御信号の中継を行う中継装置からのセキュリティ設定指示に応じて、第二の通信装置側に設けられた第二のルータとの間で暗号化通信路の設定を行う設定手段と、
第一の通信装置が第二の通信装置間のセッションを確立するために送信する最後の制御信号を受信すると、暗号化通信路の設定完了後に、中継装置に転送する転送手段を有することを特徴とするルータ。 A router provided on the first communication device side,
A second router provided on the second communication device side in response to a security setting instruction from a relay device that relays a control signal for establishing a session between the first communication device and the second communication device Setting means for setting an encrypted communication path with
When the first communication device receives the last control signal transmitted to establish a session between the second communication devices, the first communication device has a transfer means for transferring to the relay device after completing the setting of the encrypted communication path. And router. 第一の通信装置側に設けられたルータの処理方法であって、
第一の通信装置と第二の通信装置間のセッションを確立するための制御信号の中継を行う中継装置からのセキュリティ設定指示に応じて、第二の通信装置側に設けられた第二のルータとの間で暗号化通信路の設定を行い、
第一の通信装置が第二の通信装置間のセッションを確立するために送信する最後の制御信号を受信すると、暗号化通信路の設定完了後に、中継装置に転送することを特徴とするルータの処理方法。 A processing method of a router provided on the first communication device side,
A second router provided on the second communication device side in response to a security setting instruction from a relay device that relays a control signal for establishing a session between the first communication device and the second communication device Set up an encrypted communication path with
When the last control signal transmitted from the first communication device to establish a session between the second communication devices is received, the router is transferred to the relay device after the setting of the encrypted communication path is completed. Processing method. 第一の通信装置側に設けられたルータのためのプログラムであって、
第一の通信装置と第二の通信装置間のセッションを確立するための制御信号の中継を行う中継装置からのセキュリティ設定指示に応じて、第二の通信装置側に設けられた第二のルータとの間で暗号化通信路の設定を行い、
第一の通信装置が第二の通信装置間のセッションを確立するために送信する最後の制御信号を受信すると、暗号化通信路の設定完了後に、中継装置に転送することを特徴とするルータのためのプログラム。
A program for a router provided on the first communication device side,
A second router provided on the second communication device side in response to a security setting instruction from a relay device that relays a control signal for establishing a session between the first communication device and the second communication device Set up an encrypted communication path with
When the last control signal transmitted from the first communication device to establish a session between the second communication devices is received, the router is transferred to the relay device after the setting of the encrypted communication path is completed. Program for.
JP2004208631A 2004-07-15 2004-07-15 COMMUNICATION METHOD, ROUTER, ROUTER PROCESSING METHOD, AND PROGRAM Expired - Fee Related JP4035523B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004208631A JP4035523B2 (en) 2004-07-15 2004-07-15 COMMUNICATION METHOD, ROUTER, ROUTER PROCESSING METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004208631A JP4035523B2 (en) 2004-07-15 2004-07-15 COMMUNICATION METHOD, ROUTER, ROUTER PROCESSING METHOD, AND PROGRAM

Publications (2)

Publication Number Publication Date
JP2006033358A true JP2006033358A (en) 2006-02-02
JP4035523B2 JP4035523B2 (en) 2008-01-23

Family

ID=35899181

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004208631A Expired - Fee Related JP4035523B2 (en) 2004-07-15 2004-07-15 COMMUNICATION METHOD, ROUTER, ROUTER PROCESSING METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP4035523B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008007432A1 (en) * 2006-07-13 2008-01-17 T T T Kabushikikaisha Relay device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008007432A1 (en) * 2006-07-13 2008-01-17 T T T Kabushikikaisha Relay device

Also Published As

Publication number Publication date
JP4035523B2 (en) 2008-01-23

Similar Documents

Publication Publication Date Title
JP5143125B2 (en) Authentication method, system and apparatus for inter-domain information communication
US8041822B2 (en) Service network system and server device
EP1717986B1 (en) Key distribution method
EP1901520B1 (en) Relay-server
JP2009021855A (en) Relay device, communicating method and communication program
JP6345816B2 (en) Network communication system and method
JP2005278077A (en) Router and sip server
WO2009082889A1 (en) A method for internet key exchange negotiation and device, system thereof
WO2006100970A1 (en) Method and system for providing internet key exchange (ike) during sip session
JP2008236130A (en) Apparatus establishing communication and relaying message, and method and program for establishing communication
JP4253569B2 (en) Connection control system, connection control device, and connection management device
JP2005122651A (en) Authentication method at service switching, and user terminal switching method using the same
JP4366270B2 (en) Network connection setting device and network connection setting method
JP2004248169A (en) Communications control system, communication control method and program, and communication terminal
JP4472566B2 (en) Communication system and call control method
JP4035523B2 (en) COMMUNICATION METHOD, ROUTER, ROUTER PROCESSING METHOD, AND PROGRAM
JP5367386B2 (en) IP telephone terminal apparatus, VPN server apparatus, IP telephone server apparatus, and IP telephone system using them
KR100660123B1 (en) Vpn server system and vpn terminal for a nat traversal
JP4571006B2 (en) Network control device, network system, and program
JP2006053799A (en) Terminal device, firewall device, and method and program for controlling firewall device
JP2009135577A (en) Information relay system, information relay apparatus and method thereof, and program
JP2008148019A (en) Pbx device and call control method therefor
JP2006352710A (en) Packet repeating apparatus and program
JP3929969B2 (en) COMMUNICATION SYSTEM, SERVER, TERMINAL DEVICE, COMMUNICATION METHOD, PROGRAM, AND STORAGE MEDIUM
CN111431858B (en) Centralized safe transmission and authentication method for routing message

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070830

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071016

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071029

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4035523

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131102

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees