JP2006121738A - 中継装置 - Google Patents
中継装置 Download PDFInfo
- Publication number
- JP2006121738A JP2006121738A JP2005344289A JP2005344289A JP2006121738A JP 2006121738 A JP2006121738 A JP 2006121738A JP 2005344289 A JP2005344289 A JP 2005344289A JP 2005344289 A JP2005344289 A JP 2005344289A JP 2006121738 A JP2006121738 A JP 2006121738A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- additional information
- encrypted
- communication
- transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】セキュリティを保持しつつ、サービス品質を保証する。
【解決手段】本発明に係る通信装置は、送信すべきIPパケットを暗号化した暗号パケットを生成する暗号化部11と、IPパケットが暗号化されていることを示す第1の付加情報を暗号パケットに付加する第1の付加情報生成部12と、IPパケットが所定の通信品質を要求する場合に、所定の通信品質が要求されることを示す第2の付加情報を暗号パケットに付加する第2の付加情報生成部13と、第1及び第2の付加情報が付加された暗号パケットを送信する送信部14と、を有する。送信パケットを暗号化して送信する際、そのパケットのサービス品質を決定するのに利用可能な宛先オプションヘッダd4を暗号化パケットに付加して送信するため、この送信パケットを受信したエッジルータ2が暗号鍵を所持していなくても、送信パケットのサービス品質を正しく決定でき、通信品質を保証した通信が可能になる。
【選択図】図1
【解決手段】本発明に係る通信装置は、送信すべきIPパケットを暗号化した暗号パケットを生成する暗号化部11と、IPパケットが暗号化されていることを示す第1の付加情報を暗号パケットに付加する第1の付加情報生成部12と、IPパケットが所定の通信品質を要求する場合に、所定の通信品質が要求されることを示す第2の付加情報を暗号パケットに付加する第2の付加情報生成部13と、第1及び第2の付加情報が付加された暗号パケットを送信する送信部14と、を有する。送信パケットを暗号化して送信する際、そのパケットのサービス品質を決定するのに利用可能な宛先オプションヘッダd4を暗号化パケットに付加して送信するため、この送信パケットを受信したエッジルータ2が暗号鍵を所持していなくても、送信パケットのサービス品質を正しく決定でき、通信品質を保証した通信が可能になる。
【選択図】図1
Description
本発明は、IPパケットを暗号化して送信する中継装置に関する。
インターネットの普及とともに、その設計当初には想定されていなかった問題が顕在化するようになった。その一例として、セキュリティとサービス品質( QoS:Quality of Service)が挙げられる。
インターネットでセキュリティを確保するための仕組みの一つにIPセキュリティ(IPsec:IP security )がある。IPsecでは、通信の内容を暗号化して盗聴を防ぐために、ESP(encapsulated security payload)という新しいヘッダを定義している。ESPを用いた通信では、パケットのデータ部分を暗号化した上で、IPヘッダと暗号データの間に、データが暗号化されていることを示すESPヘッダを付加してネットワークへ送信する。受信側では、ESPヘッダを発見すると、そのヘッダの識別子に対応する復号用の鍵を用いて暗号データを復号し、ESPヘッダを取り除いて暗号前のパケットを再構成する。
一方、QoSのための仕組みとして、differentiated service(diffserv)がある。diffservを利用した通信では、サービス品質(たとえばネットワーク帯域)を保証する領域が存在し、その領域への入り口となるルータ(エッジルータ)が、転送するパケットの内容に応じて適切な品質を選択し、その品質に応じた転送処理(たとえばパケット廃棄率の変更など)を行う。
ここで、品質選択のためのパケットの内容として、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol)のポート番号が有用な情報となる。通常、ポート番号は特定のアプリケーションに対応しており、アプリケーションの中には特定のサービス品質を要求するものがある(特許文献1、2及び3参照)。
IETF RFC2460 Internet Protocol, Version 6 (IPv6) Specification December 1998 IETF RFC2475 An Architecture for Differentiated Services December 1998 IETF RFC2406 IP Encapsulating Security Payload (ESP) November 1998
IETF RFC2460 Internet Protocol, Version 6 (IPv6) Specification December 1998 IETF RFC2475 An Architecture for Differentiated Services December 1998 IETF RFC2406 IP Encapsulating Security Payload (ESP) November 1998
しかしながら、ESPによる暗号化を施している場合、TCPまたUDPのヘッダ以降のすべての部分が暗号化されており、通常エッジルータはこの暗号を解く鍵を持たないため、適切な品質を決定できない場合がある。このため、特定のサービス品質を要求するアプリケーションを実行できないおそれがある。
ESPの規格を変更して、たとえば、TCPのデータ部分のみを暗号化するといった拡張を施せばこの問題は解消できるが、このような拡張を行うと、相互接続性が限定されてしまう。
また、IPv6(Internet Protocol version 6)のフローラベルフィールドに、エッジルータに対する情報を付加する方法も考えられるが、フローラベルフィールドは20ビットしかないため、品質選択のためのポート番号の組を格納するには不十分である。また、フローラベルの利用方法自体、現在確立されておらず、途中のルータでフローラベルの内容が書き換えられる可能性があるなど、やはり相互接続性に問題がある。
本発明は、このような点に鑑みてなされたものであり、その目的は、セキュリティを保持しつつ、サービス品質を保証可能な中継装置を提供することにある。
本発明の一態様によれば、ある通信装置から送信されたIPパケットを受信して、他の通信装置に転送する中継装置において、受信された前記IPパケットのヘッダ部に、このIPパケットが所定の通信品質を要求することを示す付加情報が含まれているか否かを検出する通信品質情報検出手段と、前記付加情報が含まれている場合に、この付加情報に応じたIPパケットの転送処理を行う転送手段と、を備えることを特徴とする中継装置が提供される。
本発明によれば、セキュリティを保持しつつ、サービス品質を保証することができる。
以下、本発明に係る中継装置について、図面を参照しながら具体的に説明する。
図1は本発明に係る通信装置の一実施形態の内部構成を示すブロック図、図2は図1の通信装置を送信ホストとした通信ネットワークシステムの概略構成図である。
図2の通信ネットワークシステムは、図1の通信装置からなる送信ホスト1と、送信ホスト1から送信されたIPパケットを中継するエッジルータ2,3と、エッジルータ2,3間に設けられるサービス品質を保証可能なディフサーブ・ドメイン4(diffserv domain)と、IPパケットの最終的な宛先である受信ホスト5とを備えている。
送信ホスト1から送信されたIPパケットは、ディフサーブ・ドメイン4を通過して受信ホスト5で受信される。
送信ホスト1となる通信装置は、図1に示すように、送信すべきIP(Internet Protocol)パケットを暗号化した暗号パケットを生成する暗号化部11と、IPパケットが暗号化されていることを示す第1の付加情報を暗号パケットに付加する第1の付加情報生成部12と、IPパケットが所定の通信品質を要求する場合に、所定の通信品質が要求されることを示す第2の付加情報を暗号パケットに付加する第2の付加情報生成部13と、第1及び第2の付加情報が付加された暗号パケットを送信する送信部14と、を有する。
図1の通信装置は、IPセキュリティ(IPsec)で規定されているESPによる暗号化を行った状態で、IPパケットを送信する。図3は通信装置から送信されるIPパケットのデータ構造を示す図である。図示のように、パケット本体を暗号化した暗号化データd1と、パケット本体が暗号化されていることを示すESPヘッダd2と、IPパケットのプロトコルがIPv6であることを示すIPv6ヘッダd3と、ESPヘッダd2及びIPv6ヘッダd3の間に設けられる宛先オプションヘッダd4(destination options header)とを有する。
宛先オプションヘッダd4は、TCPのポート番号などの、送信パケットのサービス品質を決定するのに利用できる情報が含まれている。
これに対して、図4は従来のIPパケットのデータ構造を示している。図3に示す本実施形態のIPパケットは、従来のIPパケットのデータ構造に、新たに宛先オプションヘッダd4を追加している。
送信ホスト1からのIPパケットを受信したエッジルータ2は、宛先オプションヘッダd4の内容を解析し、そのIPパケットのサービス品質を決定する。
送信ホスト1は宛先オプションヘッダd4の内容を暗号化せずに送信するため、エッジルータ2,3は、暗号鍵を所持していなくても、宛先オプションヘッダの内容を把握できる。
この宛先オプションヘッダd4は、受信ホスト5では利用されない。また、宛先オプションヘッダd4の内容を理解できないエッジルータや他の中継装置が仮に存在したとしても、これら装置はこのヘッダを無視する。したがって、仮にエッジルータや中継装置が宛先オプションヘッダd4を含むIPパケットに対応していない場合でも、特に支障は起きない。
本実施形態のように、宛先オプションヘッダd4を利用してIPパケットを送信すると、本来は暗号化されるべき情報の一部、例えばTCPのポート番号が暗号化されずにネットワーク上を伝送することになるため、注意が必要である。ただし、パケット本体は暗号化されているため、実用的なセキュリティ要求の多くを満たせる。
本実施形態によれば、送信パケットの一部の情報を暗号化せずに送信する代償として、ディフサーブ・ドメイン4によるサービス品質を確実に保証した通信が可能になる。
このように、本実施形態では、送信パケットを暗号化して送信する際、そのパケットのサービス品質を決定するのに利用可能な宛先オプションヘッダd4を暗号化パケットに付加して送信するため、この送信パケットを受信したエッジルータ2が暗号鍵を所持していなくても、送信パケットのサービス品質を正しく決定でき、ディフサーブ・ドメイン4において通信品質を保証した通信が可能になる。
また、エッジルータ2が宛先オプションヘッダd4の内容を理解できない場合は、このヘッダの内容を無視するため、従来と同様のサービス品質を選択することができ、特に不具合は生じない。これにより、ネットワーク間での相互接続性がよくなる。
上述した実施形態では、送信パケットのプロトコルとしてIPv6を利用する例を説明したが、プロトコルの具体的な種類はIPv6に限定されない。
上述した実施形態で説明した通信装置は、ハードウェアで構成してもよいし、ソフトウェアで構成してもよい。ソフトウェアで構成する場合には、通信装置の少なくとも一部の機能を実現するプログラムをフロッピーディスクやCD−ROM等の記録媒体に収納し、コンピュータに読み込ませて実行させてもよい。記録媒体は、磁気ディスクや光ディスク等の携帯可能なものに限定されず、ハードディスク装置やメモリなどの固定型の記録媒体でもよい。
また、通信装置の少なくとも一部の機能を実現するプログラムを、インターネット等の通信回線(無線通信も含む)を介して頒布してもよい。さらに、同プログラムを暗号化したり、変調をかけたり、圧縮した状態で、インターネット等の有線回線や無線回線を介して、あるいは記録媒体に収納して頒布してもよい。
1 送信ホスト
2,3 エッジルータ
4 受信ホスト
11 暗号化部
12 第1の付加情報生成部
13 第2の付加情報生成部
14 送信部
2,3 エッジルータ
4 受信ホスト
11 暗号化部
12 第1の付加情報生成部
13 第2の付加情報生成部
14 送信部
Claims (4)
- ある通信装置から送信されたIPパケットを受信して、他の通信装置に転送する中継装置において、
受信された前記IPパケットのヘッダ部に、このIPパケットが所定の通信品質を要求することを示す付加情報が含まれているか否かを検出する通信品質情報検出手段と、
前記付加情報が含まれている場合に、この付加情報に応じたIPパケットの転送処理を行う転送手段と、を備えることを特徴とする中継装置。 - 前記転送手段は、通信品質を保証するディフサーブ・ドメインにIPパケットを転送することを特徴とする請求項1に記載の中継装置。
- 前記転送手段は、前記通信品質情報検出手段が前記付加情報を検出できなかった場合には、前記IPパケットのヘッダ部を無視して、予め定めた通信品質で前記IPパケットを前記他の通信装置に転送することを特徴とする請求項1または2に記載の中継装置。
- 前記付加情報は、TCP(Transmission Control Protocol)のポート番号であることを特徴とする請求項1乃至3のいずれかに記載の中継装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005344289A JP3840254B2 (ja) | 2005-11-29 | 2005-11-29 | 中継装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005344289A JP3840254B2 (ja) | 2005-11-29 | 2005-11-29 | 中継装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003063866A Division JP3759507B2 (ja) | 2003-03-10 | 2003-03-10 | 通信装置、中継装置、通信制御方法及び通信制御プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006121738A true JP2006121738A (ja) | 2006-05-11 |
JP3840254B2 JP3840254B2 (ja) | 2006-11-01 |
Family
ID=36539111
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005344289A Expired - Fee Related JP3840254B2 (ja) | 2005-11-29 | 2005-11-29 | 中継装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3840254B2 (ja) |
-
2005
- 2005-11-29 JP JP2005344289A patent/JP3840254B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP3840254B2 (ja) | 2006-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
US8775790B2 (en) | System and method for providing secure network communications | |
JP3730480B2 (ja) | ゲートウェイ装置 | |
EP1358752B1 (en) | Processing internet protocol security traffic | |
US7310424B2 (en) | Encryption key distribution and network registration system, apparatus and method | |
US7346770B2 (en) | Method and apparatus for traversing a translation device with a security protocol | |
US9294506B2 (en) | Method and apparatus for security encapsulating IP datagrams | |
US7386881B2 (en) | Method for mapping security associations to clients operating behind a network address translation device | |
JP5607655B2 (ja) | 非暗号化ネットワーク動作解決策 | |
JP2010505284A (ja) | 入れ子状のインターネットプロトコルセキュリティトンネルを処理するための方法およびネットワーク装置 | |
JP2004529531A (ja) | 信頼性のないプロトコルを利用して確実なストリーミングデータ送信機能を提供するための方法および装置 | |
CN103905180A (zh) | 经典应用接入量子通信网络的方法 | |
JP2013512643A (ja) | マルチ・バンド/マルチ・リンクの安全キー生成及び配信プロトコル | |
JP7395455B2 (ja) | 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム | |
KR101611944B1 (ko) | 데이터 암호화 기능 선택적 적용 방법 | |
JP2006019975A (ja) | 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム | |
Gao et al. | An RTP extension for reliable user-data transmission over VoIP traffic | |
JP3759507B2 (ja) | 通信装置、中継装置、通信制御方法及び通信制御プログラム | |
JP3840254B2 (ja) | 中継装置 | |
JP2003244194A (ja) | データ暗号装置及び暗号通信処理方法及びデータ中継装置 | |
AU2010245117A1 (en) | Method and apparatus for secure packet transmission | |
Hohendorf et al. | Secure end-to-end transport over sctp | |
CN112333204B (zh) | 基于tcp ip协议乱序特征码的5g网络传输保密装置 | |
EP4346255A1 (en) | Encrypted satellite communications | |
US20230379150A1 (en) | Methods and apparatuses for providing communication between a server and a client device via a proxy node |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060414 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060613 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060714 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060804 |
|
LAPS | Cancellation because of no payment of annual fees |