JP2006060379A - ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 - Google Patents
ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 Download PDFInfo
- Publication number
- JP2006060379A JP2006060379A JP2004238344A JP2004238344A JP2006060379A JP 2006060379 A JP2006060379 A JP 2006060379A JP 2004238344 A JP2004238344 A JP 2004238344A JP 2004238344 A JP2004238344 A JP 2004238344A JP 2006060379 A JP2006060379 A JP 2006060379A
- Authority
- JP
- Japan
- Prior art keywords
- encrypted communication
- encrypted
- network relay
- relay device
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】IPsec等に基づく暗号トンネルを介して暗号化通信が可能なネットワーク中継装置、ネットワークシステム及び暗号化通信方法において、暗号トンネル構築の完了前におけるパケットロス発生を抑制すること。
【解決手段】、ユーザ装置10からISAKMPパケットD1を受信したタイミングT1で、ユーザ装置10から送信される暗号化データに対する暗号解除用のPhase−II SA(受信用SA)のみの設定を行い、ユーザ装置10に送信するデータを暗号化する暗号化用のPhase−II SA(送信用SA)の設定を、ユーザ装置10からの認証を表すISAKMPパケットD3を受信したタイミングT2で行う。
【選択図】図3
【解決手段】、ユーザ装置10からISAKMPパケットD1を受信したタイミングT1で、ユーザ装置10から送信される暗号化データに対する暗号解除用のPhase−II SA(受信用SA)のみの設定を行い、ユーザ装置10に送信するデータを暗号化する暗号化用のPhase−II SA(送信用SA)の設定を、ユーザ装置10からの認証を表すISAKMPパケットD3を受信したタイミングT2で行う。
【選択図】図3
Description
本発明は、IPsec等に基づく高度なセキュリティ機能を備えたネットワーク通信が行えるネットワーク中継装置、ネットワークシステム及び暗号化通信方法に関する。
最近、IPsec(IP Security Protocol)等に基づく高度なセキュリティ機能を備えたネットワーク通信が実現されている(例えば、特許文献1を参照)。このようなネットワーク通信を用ることにより、CPE(Customer Premises Equipment、以下、ユーザ装置という)とネットワーク中継装置(以下、ルータ(router)という場合がある)等の通信相手同士があたかも安全な専用回線で直結されたかのように通信可能なVPN(Virtual Private Network)が実現できる。
このようなIPsecを用いたネットワーク通信では、IPsecに基づく暗号化通信を行うため、ISAKMP(Internet Security Association & Key Management Protocol)等の鍵管理プロトコルに基づく認証・暗号化情報の交換(IKE;Internet Key Exchange)が行われる。このIKEには、二段階のネゴシエーション(negotiation)が含まれ、まず、第一段目のネゴシエーション(以下、Phase−Iという)が実行されることにより、続く第二段目のネゴシエーション(以下、Phase−IIという)が暗号化され、次いでこのPhase−IIが実行されることにより、ESP(Encapsulating Security Payload)による暗号化通信(暗号トンネル)の構築が完了する。
この際、当該暗号化通信を行うための認証・暗号化のアルゴリズムや秘密非対称鍵(KEY)等の情報を表すSA(Security Association)がIKEの各ネゴシエーションの際に作成されて両通信相手(ユーザ装置、ネットワーク中継装置)のメモリ内に保存される。
特開2004−104559号公報
しかし、上記従来の技術には次のような問題点がある。
例えば、図5に示すように、Phase−IIのネゴシエーション後、ルータ20では、図中符号T11に示すタイミング(すなわち、ユーザ装置10からの認証が受信されたタイミング)で暗号トンネルの構築が開始され、その後、図中符号T12に示すタイミングでこの暗号トンネルの構築が完了する。すなわち、この暗号トンネルに係る暗号化データ(ESPパケット)に対する暗号解除設定(すなわち、受信設定)及び暗号化設定(すなわち、送信設定)が、タイミングT11、T12間で行われる。
しかし、ユーザ装置10から送信されたESPパケットがルータ20に到達するタイミングT13が、タイミングT11、T12の間、すなわち、暗号トンネルの構築期間にあるため、当該ESPパケットが当該暗号トンネル構築完了前にルータ20に到達することとなる。このため、当該ESPパケットは、ルータ20に受信されず、パケットロスが発生する。特に、タイミングT12の前にルータ20に到達するESPパケットが複数の場合、当該ESPパケットは、全てルータ20には受信されず、そのため、多くのパケットロスが発生することとなる。
本発明の課題は、IPsec等に基づく暗号トンネルを介して暗号化通信が可能なネットワーク中継装置、ネットワークシステム及び暗号化通信方法において、暗号トンネル構築の完了前におけるパケットロス発生を抑制することである。
例えば、図5に示すように、Phase−IIのネゴシエーション後、ルータ20では、図中符号T11に示すタイミング(すなわち、ユーザ装置10からの認証が受信されたタイミング)で暗号トンネルの構築が開始され、その後、図中符号T12に示すタイミングでこの暗号トンネルの構築が完了する。すなわち、この暗号トンネルに係る暗号化データ(ESPパケット)に対する暗号解除設定(すなわち、受信設定)及び暗号化設定(すなわち、送信設定)が、タイミングT11、T12間で行われる。
しかし、ユーザ装置10から送信されたESPパケットがルータ20に到達するタイミングT13が、タイミングT11、T12の間、すなわち、暗号トンネルの構築期間にあるため、当該ESPパケットが当該暗号トンネル構築完了前にルータ20に到達することとなる。このため、当該ESPパケットは、ルータ20に受信されず、パケットロスが発生する。特に、タイミングT12の前にルータ20に到達するESPパケットが複数の場合、当該ESPパケットは、全てルータ20には受信されず、そのため、多くのパケットロスが発生することとなる。
本発明の課題は、IPsec等に基づく暗号トンネルを介して暗号化通信が可能なネットワーク中継装置、ネットワークシステム及び暗号化通信方法において、暗号トンネル構築の完了前におけるパケットロス発生を抑制することである。
上記課題を解決するため、請求項1に記載の発明は、
ユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して暗号化通信を行うネットワーク中継装置(例えば、ルータ20)であって、
前記ユーザ装置から暗号トンネルの構築要求(例えば、ISAKMPパケットD1)が送信されると、当該暗号トンネルに基づく暗号化通信の受信設定(例えば、受信用SAの設定)を行い、その後、前記ユーザ装置から認証通知(例えば、ISAKMPパケットD3)が送信されると、当該暗号化通信の送信設定(例えば、送信用SAの設定)を行うよう制御する制御手段(例えば、CP21)を備えたことを特徴とする。
ユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して暗号化通信を行うネットワーク中継装置(例えば、ルータ20)であって、
前記ユーザ装置から暗号トンネルの構築要求(例えば、ISAKMPパケットD1)が送信されると、当該暗号トンネルに基づく暗号化通信の受信設定(例えば、受信用SAの設定)を行い、その後、前記ユーザ装置から認証通知(例えば、ISAKMPパケットD3)が送信されると、当該暗号化通信の送信設定(例えば、送信用SAの設定)を行うよう制御する制御手段(例えば、CP21)を備えたことを特徴とする。
更に、請求項2に記載の発明のように、請求項1に記載の発明において、
前記制御手段は、前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データ(例えば、ESPパケットD4)が送信されると、前記受信設定に基づいて当該暗号化データを受信するのが好ましい。
前記制御手段は、前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データ(例えば、ESPパケットD4)が送信されると、前記受信設定に基づいて当該暗号化データを受信するのが好ましい。
また、上記課題を解決するため、請求項3に記載の発明は、
ネットワーク間で行われるデータ通信を中継する中継ネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行うネットワークシステム(例えば、ネットワークシステム100)であって、
前記ユーザ装置が、前記暗号トンネルの構築要求(例えば、ISAKMPパケットD1)を前記ネットワーク中継装置に対して行うと、該ネットワーク中継装置は、当該暗号トンネルに基づく暗号化通信の受信設定(例えば、受信用SAの設定)を行い、その後、前記ユーザ装置から認証通知(例えば、ISAKMPパケットD3)が送信されると、当該暗号化通信の送信設定(例えば、送信用SA)を行うことを特徴とする。
ネットワーク間で行われるデータ通信を中継する中継ネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行うネットワークシステム(例えば、ネットワークシステム100)であって、
前記ユーザ装置が、前記暗号トンネルの構築要求(例えば、ISAKMPパケットD1)を前記ネットワーク中継装置に対して行うと、該ネットワーク中継装置は、当該暗号トンネルに基づく暗号化通信の受信設定(例えば、受信用SAの設定)を行い、その後、前記ユーザ装置から認証通知(例えば、ISAKMPパケットD3)が送信されると、当該暗号化通信の送信設定(例えば、送信用SA)を行うことを特徴とする。
更に、請求項4に記載の発明のように、請求項3に記載の発明において、
前記制御手段は、前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データ(例えば、ESPパケットD4)が送信されると、前記受信設定に基づいて当該暗号化データを受信するのが好ましい。
前記制御手段は、前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データ(例えば、ESPパケットD4)が送信されると、前記受信設定に基づいて当該暗号化データを受信するのが好ましい。
また、上記課題を解決するため、請求項k5に記載の発明は、
ネットワーク間で行われるデータ通信を中継する中継ネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して相互に暗号化通信を行う暗号化通信方法であって、
前記ユーザ装置が、前記暗号トンネルの構築要求(例えば、ISAKMPパケットD1)を前記ネットワーク中継装置に対して行うと、該ネットワーク中継装置が、当該暗号トンネルに基づく暗号化通信の受信設定(例えば、受信用SAの設定)を行い、その後、前記ユーザ装置から認証通知(例えば、ISAKMPパケットD3)が送信されると、当該暗号化通信の送信設定(例えば、送信用SAの設定)を行うことを特徴とする。
ネットワーク間で行われるデータ通信を中継する中継ネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して相互に暗号化通信を行う暗号化通信方法であって、
前記ユーザ装置が、前記暗号トンネルの構築要求(例えば、ISAKMPパケットD1)を前記ネットワーク中継装置に対して行うと、該ネットワーク中継装置が、当該暗号トンネルに基づく暗号化通信の受信設定(例えば、受信用SAの設定)を行い、その後、前記ユーザ装置から認証通知(例えば、ISAKMPパケットD3)が送信されると、当該暗号化通信の送信設定(例えば、送信用SAの設定)を行うことを特徴とする。
更に、請求項6に記載の発明のように、請求項5に記載の発明において、
前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データ(例えば、ESPパケットD4)が送信されると、前記受信設定に基づいて当該暗号化データを受信するのが好ましい。
前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データ(例えば、ESPパケットD4)が送信されると、前記受信設定に基づいて当該暗号化データを受信するのが好ましい。
本発明によれば、暗号化通信の送信設定前、すなわち、暗号トンネル構築完了前に、ユーザ装置10から暗号化データ(パケット)がネットワーク中継装置に到達した場合であっても、暗号トンネル構築要求受信時に既に設定済みの受信設定に基づいて当該暗号化データの暗号解除が可能となるので、暗号トンネル構築完了前におけるデータロス(パケットロス)の発生が回避可能となる。
以下、図面を参照して本発明を適用したネットワークシステム100について説明する。
ネットワークシステム100は、図1に示すように、ユーザ装置(CPE)10と、ネットワーク中継装置としてのルータ20とが、ネットワークNを介し相互に通信(特に暗号化通信)可能に接続される。なお、ネットワークシステム100は、複数のユーザ装置10が接続された構成であってもよい。
ネットワークシステム100は、図1に示すように、ユーザ装置(CPE)10と、ネットワーク中継装置としてのルータ20とが、ネットワークNを介し相互に通信(特に暗号化通信)可能に接続される。なお、ネットワークシステム100は、複数のユーザ装置10が接続された構成であってもよい。
ユーザ装置10は、図2(a)に示すように、CP(Central Processor)11、NP(Network Processor)12を備え、CP11は、ISAKMP制御デーモン(daemon)11a、カーネル(kernel)11b、DB(Data Base)11c、SA(SA data base)1aを備える。このISAKMP制御デーモン11a、カーネル11bは、CP11が実行するプログラムの各機能を表すものであってもよいし、ハードウェアの機能を表すものであってもよい。
ISAKMP制御デーモン11aは、IPsecによる暗号化通信を確立するため、ルータ20との間で、ISAKMPの鍵管理プロトコルに基づく認証・暗号化情報の交換(Phase−I、IIのネゴシエーション)を行う。
ISAKMP制御デーモン11aは、Phase−I、IIの各段階で作成した各SA(それぞれPhase−I SA、Phase−II SAという)をSA1aに格納する。
ISAKMP制御デーモン11aは、Phase−IIの際、DB11cに格納された各種ピア(peer)情報(例えば、ルータ20のアドレス等)を用いて、図4に示すISAKMPパケットD1やISAKMPパケットD3を作成する。
ここで、ISAKMPパケットD1には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、HASHペイロード(HASH)、SAペイロード(SA)、NONCEペイロード(Ni)、key exchengeペイロード(KE)、IDペイロード(IDi、IDr)が含まれ、ISAKMPパケットD3には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、HASHペイロード(HASH)が含まれる。また、ISAKMPパケットD1、D2において、HASHペイロード(HASH)、SAペイロード(SA)、NONCEペイロード(Ni)、key exchengeペイロード(KE)、IDペイロード(IDi、IDr)は、Phase−I SAに基づいて暗号化される。
カーネル11bは、ネットワークNを介してパケットを送信する場合には、SA1aを参照して、当該送信パケットに係るPhase−I SA、Phase−II SAがSA1aに既に格納(作成)されているか否かを判定し、当該各SAが既にSA1aに格納されている場合には、各SAを用いて当該送信パケットの暗号化を行う。当該送信パケットに係る各SAがSA1aに格納されていない場合には、ISAKMP制御デーモン11aに対して各SAの作成要求を行う。
NP12は、ネットワークNを介してパケットの送受信を行うためのインターフェースを備える。
ルータ20は、図2(b)に示すように、CP21、NP22を備え、CP21は、ISAKMP制御デーモン21a、カーネル21b、DB21c、SA2aを備える。CP21は、ISAKMP制御デーモン21a、カーネル21bを用いて、図3に示す暗号トンネル構築時におけるESPパケット受信処理を行う。
このISAKMP制御デーモン21a、カーネル21bは、CP21が実行するプログラムの各機能を表すものであってもよいし、ハードウェアの機能を表すものであってもよい。
ISAKMP制御デーモン21aは、IPsecによる暗号化通信を確立するため、ユーザ装置10との間で、ISAKMPの鍵管理プロトコルに基づく認証・暗号化情報の交換(Phase−I、IIのネゴシエーション)を行う。
ISAKMP制御デーモン21aは、Phase−I、IIの各段階で作成した各SA(それぞれPhase−I SA、Phase−II SAという)をSA2aに格納する。
ISAKMP制御デーモン21aは、Phase−IIの際、DB21cに格納された各種ピア(peer)情報(例えば、ユーザ装置10のアドレス等)を用いて、図4に示すISAKMPパケットD2を作成する。
ここで、ISAKMPパケットD2は、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、HASHペイロード(HASH)、SAペイロード(SA)、NONCEペイロード(Nr)、key exchengeペイロード(KE)、IDペイロード(IDi、IDr)が含まれる。また、HASHペイロード(HASH)、SAペイロード(SA)、NONCEペイロード(Nr)、key exchengeペイロード(KE)、IDペイロード(IDi、IDr)は、Phase−I SAに基づいて暗号化される。
カーネル21bは、ネットワークNを介してパケットが受信されると、SA2aを参照して、当該受信パケットに係るPhase−I SA、Phase−II SAがSA2aに既に格納(作成)されているか否かを判定し、当該各SAが既にSA2aに格納されている場合には、各SAを用いて当該受信パケットの復号化を行う。当該受信パケットに係る各SAがSA2aに格納されていない場合には、ISAKMP制御デーモン21aに対して各SAの作成要求を行う。その際、ISAKMP制御デーモン21aは、当該パケットの送信元との間でPhase−I、IIを行って各SAを作成する。
NP22は、ネットワークNを介してパケットの送受信を行うためのインターフェースを備える。
次に、図3、図4を参照して、CP21による暗号トンネル構築時におけるESPパケット受信処理について説明する。
まず、Phase−Iネゴシエーション終了後、ISAKMPパケットD1がユーザ装置10からタイミングT1(図4を参照)で受信されると、ISAKMP制御デーモン21aは、秘密対称鍵(KEYペイロードの内容)を作成し、ユーザ装置10から送信される暗号化データに対する暗号解除用のPhase−II SA(以下、受信用SAという)のみの設定を行う(ステップS1)。
その後、カーネル21bは、ユーザ装置10からこのユーザ装置10の認証を表すISAKMPパケットD3を受信したか否かを判定し(ステップS2)、ISAKMPパケットD3をタイミングT2(図4を参照)で受信した場合には(ステップS2;Yes)、ISAKMP制御デーモン21aは、ユーザ装置10への送信データを暗号化する暗号化用のPhase−II SA(以下、送信用SAという)の設定を開始する(ステップS3)。
ステップS3の後、カーネル21bは、ISAKMP制御デーモン21aから、送信用SAの設定完了通知を受信したか否かを判定し(ステップS4)、送信用SAの設定完了通知を受信した場合、すなわち暗号トンネル構築が完了された場合には(ステップS4;Yes)、ユーザ装置10から送信される暗号化データの暗号解除や、ユーザ装置10へ送信するデータの暗号化をPhase−II SAに基づいて行う(ステップS5)。
ステップS4の段階で、カーネル21bは、送信用SAの設定完了通知を受信しない場合、すなわち暗号トンネル構築完了前の場合(ステップS4;No)、ユーザ装置10からESPパケットD4が送信されたか否かを判定し(ステップS6)、ESPパケットD4が送信されていない場合には(ステップS6;No)ステップS4に移行し、ESPパケットD4が送信(例えば、タイミングT4でカーネル21bに到達)された場合には(ステップS6;Yes)、当該ESPパケットD4の暗号解除を受信用SAに基づいて行い(ステップS7)、ステップS4に移行する。すなわち、暗号トンネル完了時を示すタイミングT3の前のタイミングT4でユーザ装置10からのESPパケットD4がカーネル21bに到達しても、受信用SAにより暗号解除され、カーネル21bにより受信可能となる。
ステップS2に戻って説明する。
ステップS2の段階で、カーネル21bは、ユーザ装置10からISAKMPパケットD3を受信していない場合には(ステップS2;No)ISAKMPパケットD3受信までの受信タイマがタイムアップしたか否かを判定する(ステップS8)。
ステップS2の段階で、カーネル21bは、ユーザ装置10からISAKMPパケットD3を受信していない場合には(ステップS2;No)ISAKMPパケットD3受信までの受信タイマがタイムアップしたか否かを判定する(ステップS8)。
ステップS8の段階で、カーネル21bは、上記受信タイマがタイムアップした場合には(ステップS8;Yes)、当該暗号トンネル構築のためのネゴシエーションを終了し(ステップS9)、上記受信タイマがタイムアップしていない場合には(ステップS8;No)、ユーザ装置10からESPパケットD4が送信されたか否かを判定し(ステップS10)、ESPパケットD4が送信されていない場合には(ステップS10;No)ステップS2に移行し、ESPパケットD4が送信された場合には(ステップS10;Yes)、当該ESPパケットD4の暗号解除を受信用SAに基づいて行い(ステップS11)、ステップS2に移行する。
以上説明したように、ルータ20は、ユーザ装置10からISAKMPパケットD1を受信したタイミングT1で、ユーザ装置10から送信される暗号化データに対する暗号解除用のPhase−II SA(受信用SA)のみの設定を行い、ユーザ装置10に送信するデータを暗号化する暗号化用のPhase−II SA(送信用SA)の設定を、ユーザ装置10からの認証を表すISAKMPパケットD3を受信したタイミングT2で行うので、この送信用SAの設定完了前、すなわち、暗号トンネル構築完了前に、ユーザ装置10からESPパケットD4がルータ20に到達した場合であっても、タイミングT1で既に設定済みの受信用SAに基づいて当該ESPパケットD4の暗号解除が可能となるので、暗号トンネル構築完了前におけるパケットロスの発生が回避可能となる。
なお、本実施の形態における記述は上記したものに限定されない。本実施の形態におけるネットワークシステム100、ユーザ装置10、ルータ20の細部構成及び詳細な動作等に関しては、本発明の趣旨を逸脱しない範囲で適宜変更可能である。
10 ユーザ装置
100 ネットワークシステム
11 CP
11a ISAKMP制御デーモン
11b カーネル
11c DB
12 NP
1a SA
20 ルータ
21 CP
21a ISAKMP制御デーモン
21b カーネル
21c DB
22 NP
2a SA
D1、D2、D3 ISAKMPパケット
D4 ESPパケット
N ネットワーク
100 ネットワークシステム
11 CP
11a ISAKMP制御デーモン
11b カーネル
11c DB
12 NP
1a SA
20 ルータ
21 CP
21a ISAKMP制御デーモン
21b カーネル
21c DB
22 NP
2a SA
D1、D2、D3 ISAKMPパケット
D4 ESPパケット
N ネットワーク
Claims (6)
- ユーザ装置との間で暗号トンネルを構築して暗号化通信を行うネットワーク中継装置であって、
前記ユーザ装置から暗号トンネルの構築要求が送信されると、当該暗号トンネルに基づく暗号化通信の受信設定を行い、その後、前記ユーザ装置から認証通知が送信されると、当該暗号化通信の送信設定を行うよう制御する制御手段を備えたことを特徴とするネットワーク中継装置。 - 前記制御手段は、前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データが送信されると、前記受信設定に基づいて当該暗号化データを受信することを特徴とする請求項2に記載のネットワーク中継装置。
- ネットワーク間で行われるデータ通信を中継する中継ネットワーク中継装置と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行うネットワークシステムであって、
前記ユーザ装置が、前記暗号トンネルの構築要求を前記ネットワーク中継装置に対して行うと、該ネットワーク中継装置は、当該暗号トンネルに基づく暗号化通信の受信設定を行い、その後、前記ユーザ装置から認証通知が送信されると、当該暗号化通信の送信設定を行うことを特徴とするネットワーク中継装置。 - 前記制御手段は、前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データが送信されると、前記受信設定に基づいて当該暗号化データを受信することを特徴とする請求項3に記載のネットワーク中継装置。
- ネットワーク間で行われるデータ通信を中継する中継ネットワーク中継装置と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置との間で暗号トンネルを構築して相互に暗号化通信を行う暗号化通信方法であって、
前記ユーザ装置が、前記暗号トンネルの構築要求を前記ネットワーク中継装置に対して行うと、該ネットワーク中継装置が、当該暗号トンネルに基づく暗号化通信の受信設定を行い、その後、前記ユーザ装置から認証通知が送信されると、当該暗号化通信の送信設定を行うことを特徴とする暗号化通信方法。 - 前記暗号化通信の受信設定の後、該暗号化通信の送信設定の完了前に前記ユーザ装置から当該暗号トンネルを介して暗号化データが送信されると、前記受信設定に基づいて当該暗号化データを受信することを特徴とする請求項5に記載の暗号化通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004238344A JP4413708B2 (ja) | 2004-08-18 | 2004-08-18 | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004238344A JP4413708B2 (ja) | 2004-08-18 | 2004-08-18 | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006060379A true JP2006060379A (ja) | 2006-03-02 |
| JP4413708B2 JP4413708B2 (ja) | 2010-02-10 |
Family
ID=36107518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004238344A Expired - Fee Related JP4413708B2 (ja) | 2004-08-18 | 2004-08-18 | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4413708B2 (ja) |
-
2004
- 2004-08-18 JP JP2004238344A patent/JP4413708B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP4413708B2 (ja) | 2010-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
| CN110870277B (zh) | 将中间盒引入到客户端与服务器之间的安全通信中 | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| US20070271606A1 (en) | Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN | |
| WO2017181894A1 (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
| US8392968B2 (en) | Stateless cryptographic protocol-based hardware acceleration | |
| EP2213036B1 (en) | System and method for providing secure network communications | |
| US20170163693A1 (en) | Protocol Fallback | |
| CN106169952B (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| JP2015525018A (ja) | コール確立時間を短縮させるシステムおよび方法 | |
| Housley | Guidelines for cryptographic algorithm agility and selecting mandatory-to-implement algorithms | |
| CN109040059B (zh) | 受保护的tcp通信方法、通信装置及存储介质 | |
| WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
| JP2012100206A (ja) | 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム | |
| US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
| JP2006019975A (ja) | 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム | |
| WO2015165250A1 (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
| JP2005244379A (ja) | Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法 | |
| Bou Diab et al. | Critical vpn security analysis and new approach for securing voip communications over vpn networks | |
| JP2002344443A (ja) | 通信システムおよびセキュリティアソシエーション切断/継続方法 | |
| JP2007043566A (ja) | 無線lanの暗号制御装置および暗号化システム | |
| JP4413708B2 (ja) | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 | |
| JP4316450B2 (ja) | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 | |
| CN112787803B (zh) | 一种安全通信的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20061215 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070402 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20081022 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090407 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090721 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090916 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091110 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091118 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131127 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |