JP2006270835A - インターネットキーエクスチェンジプロセス衝突発生防止の方法と装置 - Google Patents
インターネットキーエクスチェンジプロセス衝突発生防止の方法と装置 Download PDFInfo
- Publication number
- JP2006270835A JP2006270835A JP2005089201A JP2005089201A JP2006270835A JP 2006270835 A JP2006270835 A JP 2006270835A JP 2005089201 A JP2005089201 A JP 2005089201A JP 2005089201 A JP2005089201 A JP 2005089201A JP 2006270835 A JP2006270835 A JP 2006270835A
- Authority
- JP
- Japan
- Prior art keywords
- gateway
- ike
- package
- cookie
- key exchange
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 IKEプロセス衝突発生防止の方法と装置の提供。
【解決手段】 第一ゲートウエーが第一IKEパッケージを送り並びに第二ゲートウエーからの第二IKEパッケージを受け取るステップ、第一ゲートウエーをイニシエーターとするかレスポンダーとするかを決定し、イニシエーターとされる時、第一ゲートウエーが受け取った第二IKEパッケージを破棄して続けてイニシエーターの機能を実行し、第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーが先に送出した第一IKEパッケージを取消し、レスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答しIKE通信協定を実行する。本発明の別の態様は、この方法を使用した装置である。
【選択図】 図6
【解決手段】 第一ゲートウエーが第一IKEパッケージを送り並びに第二ゲートウエーからの第二IKEパッケージを受け取るステップ、第一ゲートウエーをイニシエーターとするかレスポンダーとするかを決定し、イニシエーターとされる時、第一ゲートウエーが受け取った第二IKEパッケージを破棄して続けてイニシエーターの機能を実行し、第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーが先に送出した第一IKEパッケージを取消し、レスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答しIKE通信協定を実行する。本発明の別の態様は、この方法を使用した装置である。
【選択図】 図6
Description
本発明はネットワーク通信の衝突を解決する方法と装置に係り、特に、インターネットキーエクスチェンジプロセス(IKE)衝突発生防止の方法と装置に関する。
ネットワークの発達により、各種の通信及び暗号化技術もまた不断に発展してきた。IPSecは現在業界で、ネットワーク通信アプリケーション中、最も広く使用されている暗号化及びトンネル(tunnel)技術であり、この技術は費用が安く、且つ相当に良好な安全性を具えているため、企業中で広く運用されている。
図1は周知のIPSecトポロジー(topology)動作の表示図である。図1に示されるように、IPSecトポロジーはイニシエーター(Initiator)としての第一ゲートウエー101及びレスポンダー(Responder)としての第二ゲートウエー102を利用してIKE(インターネットキーエクスチェンジ)通信協定を実行する。
このとき、第一ゲートウエー101はイニシエーターとして使用され、第二ゲートウエー102はレスポンダーとして使用され、且つ第一ゲートウエー101と第二ゲートウエー102はトンネル103を利用して接続される。IKE通信協定は一種のピンポン(PING−PONG)プロセスとされ、第一ゲートウエー101がリクエスト(request)とされるIKEパッケージを第二ゲートウエー102に伝送し、第二ゲートウエー102がこのIKEパッケージに基づきレスポンスを送出し、これをトンネルが構築されるまで実行する。
しかし、このような周知の装置は非常に大きな欠点がある。図2に示されるように、上述の第二ゲートウエー102は時にはイニシエーターとして使用されうる。このような情況では二つのイニシエーターが同時にリクエストIKEパッケージ104と105を相互に発送する情況が発生し得て、これにより衝突(conflict)が発生し、並びにエラー時間を発生しうる。
このような情況を処理する周知の方法によると、通常は、エラー時間が経過するのを待つか、或いは重複して請求のIKEパッケージを送出する。但し、以上の二種類の方法はIKE通信協定プロセスの遅延及びネットワークの混雑を形成し、さらには通信協定の失敗を形成し、且つ使用者は非常に長い時間をパッケージの伝送のために待たねばならない。
このため新規なネットワーク通信方法により上述の問題を解決する必要がある。
これにより、本発明の目的は、一種の新たなネットワーク通信方法を提供することにあり、この方法はゲートウエーが演じる役割を不断に変換することによりIKE通信協定プロセスを更に効率的とするものとする。
本発明はIKEプロセスの衝突の発生を防止する方法を提供し、それは、第一ゲートウエーが第一IKEパッケージを送り並びに第二ゲートウエーからの第二IKEパッケージを受け取るステップ、第一ゲートウエーをイニシエーターとするかレスポンダーとするかの決定ステップ、を具えている。
第一ゲートウエーがイニシエーターとされる時、第一ゲートウエーが受け取った第二IKEパッケージを破棄して続けてイニシエーターの機能を実行する。
第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーが先に送出した第一IKEパッケージを取消し、レスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答しIKE通信協定を実行し、そのうち、第一IKEパッケージと第二IKEパッケージはリクエスト用とし、本発明の第一ゲートウエーと第二ゲートウエーの間は、イニシエーターとレスポンダーの役割変換は相手に合わせて行なう必要があり、一方がイニシエーターとされるなら、もう一方は自動的にレスポンダーに変換され、これにより別のコミュニケーションを必要とせず自動的に完成する。
上述の決定ステップは、第一IKEパッケージ及び第二IKEパッケージのヘッドよりcookieを取得するステップ、及び、第一IKEパッケージと第二IKEパッケージのcookieを比較していずれをレスポンダーとするかを決定する比較ステップ、を具えている。IKEパッケージのヘッドは、イニシエーターcookie、レスポンダーcookie、ネクストペイロード、メジャーバージョン、マイナーバージョン、交換形式、フラグ、メッセージID及びレングスを包含する。
且つ、そのうちの比較ステップは、第二IKEパッケージのcookieに基づき第二摘要を計算するステップ、及び、第一IKEパッケージのcookieに基づき第一摘要を計算するステップ、及び、第一摘要の値が第二摘要の値より大きいかを判断し、第一摘要の値が第二摘要の値より大きければ、第一ゲートウエーをイニシエーターとなし、第一摘要の値が第二摘要の値より小さければ、第一ゲートウエーをレスポンダーとなすステップ、を具えている。第一摘要及び第二摘要は第一IKEパッケージのcookie及び第二IKEパッケージのcookieに対して乱数プロセスを実行することにより発生する。
本発明のもう一つの態様は、IKEパッケージプロセスの衝突発生を防止する装置とされ、それは、第一IKEパッケージを送出する第一ゲートウエー、第二IKEパッケージを第一ゲートウエーに向けて送出する第二ゲートウエー、及び、決定ステップを実行して第一ゲートウエーをイニシエーターとするかレスポンダーとするかを決定する制御ユニットを具えている。第一ゲートウエーがイニシエーターとされる時、第一ゲートウエーは受け取った第二IKEパッケージを破棄し、続いてイニシエーターの機能を実行する。第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーは先に送出した第一IKEパッケージを取消してレスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答してIKE通信協定を実行する。
請求項1の発明は、インターネットキーエクスチェンジプロセス衝突発生防止の方法において、
第一ゲートウエーが第一IKEパッケージを送り並びに第二ゲートウエーからの第二IKEパッケージを受け取るステップ、
第一ゲートウエーをイニシエーターとするかレスポンダーとするかの決定ステップ、
上記決定ステップで第一ゲートウエーがイニシエーターとされる時、第一ゲートウエーが受け取った第二IKEパッケージを破棄して続けてイニシエーターの機能を実行するステップ、
上記決定ステップで第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーが先に送出した第一IKEパッケージを取消し、レスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答しIKE通信協定を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項2の発明は、請求項1記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、第一IKEパッケージと第二IKEパッケージがイニシエーターリクエスト用とされたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項3の発明は、請求項1記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、決定ステップが、
第一IKEパッケージ及び第二IKEパッケージのヘッドよりcookieを取得するステップ、
第一IKEパッケージと第二IKEパッケージのcookieを比較していずれをレスポンダーとするかを決定する比較ステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項4の発明は、請求項3記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、パッケージのヘッドが、イニシエーターcookie、レスポンダーcookie、ネクストペイロード、メジャーバージョン、マイナーバージョン、交換形式、フラグ、メッセージID及びレングスを包含することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項5の発明は、請求項3記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、比較ステップが、
第二IKEパッケージのcookieに基づき第二摘要を計算するステップ、
第一IKEパッケージのcookieに基づき第一摘要を計算するステップ、
第一摘要の値が第二摘要の値より大きいかを判断し、第一摘要の値が第二摘要の値より大きければ、第一ゲートウエーがイニシエーターの機能を実行し、第一摘要の値が第二摘要の値より小さければ、第一ゲートウエーがレスポンダーの機能を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項6の発明は、請求項5記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、第一摘要及び第二摘要は第一IKEパッケージのcookie及び第二IKEパッケージのcookieに対して乱数プロセスを実行することにより発生することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項7の発明は、インターネットキーエクスチェンジプロセス衝突発生防止の装置において、
第一IKEパッケージを送出する第一ゲートウエー、
第二IKEパッケージを第一ゲートウエーに向けて送出する第二ゲートウエー、
決定ステップを実行して第一ゲートウエーをイニシエーターとするかレスポンダーとするかを決定する制御ユニット、
を具え、第一ゲートウエーがイニシエーターとされる時、第一ゲートウエーは受け取った第二IKEパッケージを破棄し、続いてイニシエーターの機能を実行し、第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーは先に送出した第一IKEパッケージを取消してレスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答してIKE通信協定を実行することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項8の発明は、請求項7記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、第一IKEパッケージと第二IKEパッケージがイニシエーターリクエスト用とされたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項9の発明は、請求項8記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、決定ステップが、
第一IKEパッケージ及び第二IKEパッケージのヘッドよりcookieを取得するステップ、
第一IKEパッケージと第二IKEパッケージのcookieを比較していずれをレスポンダーとするかを決定する比較ステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項10の発明は、請求項9記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、パッケージのヘッドが、イニシエーターcookie、レスポンダーcookie、ネクストペイロード、メジャーバージョン、マイナーバージョン、交換形式、フラグ、メッセージID及びレングスを包含することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項11の発明は、請求項9記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、比較ステップが、
第二IKEパッケージのcookieに基づき第二摘要を計算するステップ、
第一IKEパッケージのcookieに基づき第一摘要を計算するステップ、
第一摘要の値が第二摘要の値より大きいかを判断し、第一摘要の値が第二摘要の値より大きければ、第一ゲートウエーがイニシエーターの機能を実行し、第一摘要の値が第二摘要の値より小さければ、第一ゲートウエーがレスポンダーの機能を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項12の発明は、請求項11記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、第一摘要及び第二摘要は第一IKEパッケージのcookie及び第二IKEパッケージのcookieに対して乱数プロセスを実行することにより発生することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
第一ゲートウエーが第一IKEパッケージを送り並びに第二ゲートウエーからの第二IKEパッケージを受け取るステップ、
第一ゲートウエーをイニシエーターとするかレスポンダーとするかの決定ステップ、
上記決定ステップで第一ゲートウエーがイニシエーターとされる時、第一ゲートウエーが受け取った第二IKEパッケージを破棄して続けてイニシエーターの機能を実行するステップ、
上記決定ステップで第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーが先に送出した第一IKEパッケージを取消し、レスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答しIKE通信協定を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項2の発明は、請求項1記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、第一IKEパッケージと第二IKEパッケージがイニシエーターリクエスト用とされたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項3の発明は、請求項1記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、決定ステップが、
第一IKEパッケージ及び第二IKEパッケージのヘッドよりcookieを取得するステップ、
第一IKEパッケージと第二IKEパッケージのcookieを比較していずれをレスポンダーとするかを決定する比較ステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項4の発明は、請求項3記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、パッケージのヘッドが、イニシエーターcookie、レスポンダーcookie、ネクストペイロード、メジャーバージョン、マイナーバージョン、交換形式、フラグ、メッセージID及びレングスを包含することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項5の発明は、請求項3記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、比較ステップが、
第二IKEパッケージのcookieに基づき第二摘要を計算するステップ、
第一IKEパッケージのcookieに基づき第一摘要を計算するステップ、
第一摘要の値が第二摘要の値より大きいかを判断し、第一摘要の値が第二摘要の値より大きければ、第一ゲートウエーがイニシエーターの機能を実行し、第一摘要の値が第二摘要の値より小さければ、第一ゲートウエーがレスポンダーの機能を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項6の発明は、請求項5記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、第一摘要及び第二摘要は第一IKEパッケージのcookie及び第二IKEパッケージのcookieに対して乱数プロセスを実行することにより発生することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法としている。
請求項7の発明は、インターネットキーエクスチェンジプロセス衝突発生防止の装置において、
第一IKEパッケージを送出する第一ゲートウエー、
第二IKEパッケージを第一ゲートウエーに向けて送出する第二ゲートウエー、
決定ステップを実行して第一ゲートウエーをイニシエーターとするかレスポンダーとするかを決定する制御ユニット、
を具え、第一ゲートウエーがイニシエーターとされる時、第一ゲートウエーは受け取った第二IKEパッケージを破棄し、続いてイニシエーターの機能を実行し、第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーは先に送出した第一IKEパッケージを取消してレスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答してIKE通信協定を実行することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項8の発明は、請求項7記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、第一IKEパッケージと第二IKEパッケージがイニシエーターリクエスト用とされたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項9の発明は、請求項8記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、決定ステップが、
第一IKEパッケージ及び第二IKEパッケージのヘッドよりcookieを取得するステップ、
第一IKEパッケージと第二IKEパッケージのcookieを比較していずれをレスポンダーとするかを決定する比較ステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項10の発明は、請求項9記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、パッケージのヘッドが、イニシエーターcookie、レスポンダーcookie、ネクストペイロード、メジャーバージョン、マイナーバージョン、交換形式、フラグ、メッセージID及びレングスを包含することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項11の発明は、請求項9記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、比較ステップが、
第二IKEパッケージのcookieに基づき第二摘要を計算するステップ、
第一IKEパッケージのcookieに基づき第一摘要を計算するステップ、
第一摘要の値が第二摘要の値より大きいかを判断し、第一摘要の値が第二摘要の値より大きければ、第一ゲートウエーがイニシエーターの機能を実行し、第一摘要の値が第二摘要の値より小さければ、第一ゲートウエーがレスポンダーの機能を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
請求項12の発明は、請求項11記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、第一摘要及び第二摘要は第一IKEパッケージのcookie及び第二IKEパッケージのcookieに対して乱数プロセスを実行することにより発生することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置としている。
本発明はIKEプロセス衝突発生防止の方法を提供し、衝突が発生する時、衝突を発生する二つのゲートウエーの一方をレスポンダーに換え、使用者の待機時間を減らすだけでなく、ネットワークの運転を更に順調となすことができる。
図3は本発明のIKEプロセス衝突発生防止の方法を応用した装置の好ましい実施例を示す。図3に示されるように、イニシエーターとされるゲートウエー201及び同様にイニシエーターとされるゲートウエー202がトンネル203を通して相互にリクエストとされる第一IKEパッケージ204と第二IKEパッケージ205を相手に送り、即ちいわゆる衝突が発生する時、ゲートウエー201及びゲートウエー202はもとのIKEパッケージ205を破棄し、二つのゲートウエーが第一IKEパッケージ204をIKEの開始となし、且つゲートウエー202をレスポンダーとし、ゲートウエー201に応答するIKEパッケージ206をゲートウエー201に伝送し、IKEパッケージ206は即ちIKEパッケージ204に応答することにより来る。
しかし、上述の動作は決定ステップによりどのゲートウエーをレスポンダーとするかを決定しなければならない。この決定ステップはcookieを利用して判断を行ない、cookieは第一IKEパッケージ204と第二IKEパッケージ205のヘッドより取得される。
図4は第一と第二IKEパッケージ204と205のヘッドのそのうち一種類の形態を示す。図4に示されるように、このヘッドはイニシエーターcookie、レスポンダーcookie、ネクストペイロード(Next Payload)、メジャーバージョン(Major Vesion)、マイナーバージョン(Minor Version)、交換形式(Exchange Type)、フラグ(Flag)、メッセージID(Message ID)及びレングス(Length)を包含し、このような構造は周知の技術のパラメータに属し、この技術が熟知するところであるため、詳細な説明は省略する。
但し注意すべきことは、この部分に提示されるヘッド構造は多くのヘッド構造中の一種類にすぎず、並びに本発明の範囲を限定するものではないことである。以上からcookieは8バイトの乱数で且つIKEパッケージのヘッドの一部分であることが分かり、且つ各IKE接続はいずれも特別のcookieを具え、これによりIKE通信協定中cookieフィールドは固定されるが、内容は毎回のIKEトンネルの構築により改変されうる。
第一ゲートウエーが第二IKEパッケージ205を受け取る時、第二IKEパッケージ205のヘッドよりcookieを獲得し、このほか、第一ゲートウエーはまた自身が送る第一IKEパッケージ204よりcookieを獲得し、この二つのcookieを比較ステップの実行に使用してどのゲートウエーをレスポンダーとするかの決定を行なう。
図5はこの比較ステップの好ましい実施例を示す。図5に示されるように、本発明の実施例中、上述の第一と第二ゲートウエーが受け取ったcookieに対して乱数プロセス(hash)を実行し、8バイト長より4ビットを取り出して摘要(digest)を形成するが、その他の方式でcookieを簡単なパラメータとなすことができる。
続いてこの二つの摘要を比較し、比較の後、摘要値が比較的大きいゲートウエーをイニシエーターとして使用し、摘要値が比較的小さいゲートウエーをレスポンダーとして使用する。注意すべきことは、以上のステップ中、IKEの構築は多くのパラメータの演算を必要とし、外部モジュール或いは制御ユニット(例えばCPU)により制御可能であるほか、ゲートウエー自身による実行も可能であり、通常は底層ハードディスクアクセラレーターにより行なわれない。
図6には本発明のIKEプロセス衝突発生防止の方法の好ましい実施例のフローチャートが示される。このフローチャートにより更に詳細に本発明を了解することができる。図6に示されるように、ステップ501で、第一ゲートウエーが第二ゲートウエーからの第二IKEパッケージを受け取ると共に、自身もまた第一IKEパッケージを第二ゲートウエーに送り、もし第一ゲートウエーがIKEパッケージを送る前にすでに第二ゲートウエーのIKEパッケージを受け取っているなら、衝突は発生しないので直接レスポンダーとされる。鍵となるのは、第一ゲートウエーと第二ゲートウエーが同時にIKEパッケージを送り、第一と第二IKEパッケージは通常リクエスト用とされる。
続いて、ステップ502に進み、第一ゲートウエーをイニシエーターとするかレスポンダーとするかを決定する。イニシエーターとするなら、ステップ503に進み、第一ゲートウエーが受け取った第二IKEパッケージを破棄し続けてイニシエーターの機能を実行する。レスポンダーとするなら、ステップ504に進み、第一ゲートウエーが第一IKEパッケージを取消し、第二IKEパッケージに応答してIKE通信協定を実行する。
本発明の好ましい実施例によると、ステップ502の決定ステップは、ステップ506と比較ステップ507を包含する。ステップ506では第一と第二IKEパッケージのヘッドよりcookieを取得し、比較ステップ507では第一と第二IKEパッケージのcookieを比較していずれをレスポンダーとするかを決定する。
本発明の好ましい実施例によると、比較ステップ507はステップ508、ステップ509及びステップ510を包含する。ステップ508では第二IKEパッケージのcookieに基づき第二摘要を計算し、ステップ509では第一IKEパッケージのcookieに基づき第一摘要を計算し、ステップ510では第一摘要の値が第二摘要の値より大きいかを判断する。もし第一摘要の値が第二摘要の値より大きければ、第一ゲートウエーをイニシエーターとし、ステップ503に進む。大きくなければ、第一ゲートウエーをレスポンダーとし、ステップ504及びステップ505に進む。
注意すべきことは、上述の決定ステップと比較ステップは必ずしも上述の本発明の好ましい実施例に従わないことである。この技術に習熟する者であれば、各種の周知の技術を利用してこの二つのステップの効果を達成することができる。
前述したことから分かるように、本発明はIKEプロセス衝突発生防止の方法を提供し、衝突が発生する時、衝突を発生する二つのゲートウエーの一方をレスポンダーに換え、使用者の待機時間を減らすだけでなく、ネットワークの運転を更に順調となすことができる。
本発明は上述の一つの好ましい実施例により説明されたが、前述の説明及び添付の図面に基づきなしうる細部の修飾或いは改変は、いずれも本発明の請求範囲に属するものとする。
101、102 ゲートウエー
103 トンネル
104、105 パッケージ
201、202 ゲートウエー
203 トンネル
204〜206 パッケージ
103 トンネル
104、105 パッケージ
201、202 ゲートウエー
203 トンネル
204〜206 パッケージ
Claims (12)
- インターネットキーエクスチェンジプロセス衝突発生防止の方法において、
第一ゲートウエーが第一IKEパッケージを送り並びに第二ゲートウエーからの第二IKEパッケージを受け取るステップ、
第一ゲートウエーをイニシエーターとするかレスポンダーとするかの決定ステップ、
上記決定ステップで第一ゲートウエーがイニシエーターとされる時、第一ゲートウエーが受け取った第二IKEパッケージを破棄して続けてイニシエーターの機能を実行するステップ、
上記決定ステップで第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーが先に送出した第一IKEパッケージを取消し、レスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答しIKE通信協定を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法。 - 請求項1記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、第一IKEパッケージと第二IKEパッケージがイニシエーターリクエスト用とされたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法。
- 請求項1記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、決定ステップが、
第一IKEパッケージ及び第二IKEパッケージのヘッドよりcookieを取得するステップ、
第一IKEパッケージと第二IKEパッケージのcookieを比較していずれをレスポンダーとするかを決定する比較ステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法。 - 請求項3記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、パッケージのヘッドが、イニシエーターcookie、レスポンダーcookie、ネクストペイロード、メジャーバージョン、マイナーバージョン、交換形式、フラグ、メッセージID及びレングスを包含することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法。
- 請求項3記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、比較ステップが、
第二IKEパッケージのcookieに基づき第二摘要を計算するステップ、
第一IKEパッケージのcookieに基づき第一摘要を計算するステップ、
第一摘要の値が第二摘要の値より大きいかを判断し、第一摘要の値が第二摘要の値より大きければ、第一ゲートウエーがイニシエーターの機能を実行し、第一摘要の値が第二摘要の値より小さければ、第一ゲートウエーがレスポンダーの機能を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法。 - 請求項5記載のインターネットキーエクスチェンジプロセス衝突発生防止の方法において、第一摘要及び第二摘要は第一IKEパッケージのcookie及び第二IKEパッケージのcookieに対して乱数プロセスを実行することにより発生することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の方法。
- インターネットキーエクスチェンジプロセス衝突発生防止の装置において、
第一IKEパッケージを送出する第一ゲートウエー、
第二IKEパッケージを第一ゲートウエーに向けて送出する第二ゲートウエー、
決定ステップを実行して第一ゲートウエーをイニシエーターとするかレスポンダーとするかを決定する制御ユニット、
を具え、第一ゲートウエーがイニシエーターとされる時、第一ゲートウエーは受け取った第二IKEパッケージを破棄し、続いてイニシエーターの機能を実行し、第一ゲートウエーがレスポンダーとされる時、第一ゲートウエーは先に送出した第一IKEパッケージを取消してレスポンダーの機能を実行し、且つ第一ゲートウエーが第二IKEパッケージに応答してIKE通信協定を実行することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置。 - 請求項7記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、第一IKEパッケージと第二IKEパッケージがイニシエーターリクエスト用とされたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置。
- 請求項8記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、決定ステップが、
第一IKEパッケージ及び第二IKEパッケージのヘッドよりcookieを取得するステップ、
第一IKEパッケージと第二IKEパッケージのcookieを比較していずれをレスポンダーとするかを決定する比較ステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置。 - 請求項9記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、パッケージのヘッドが、イニシエーターcookie、レスポンダーcookie、ネクストペイロード、メジャーバージョン、マイナーバージョン、交換形式、フラグ、メッセージID及びレングスを包含することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置。
- 請求項9記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、比較ステップが、
第二IKEパッケージのcookieに基づき第二摘要を計算するステップ、
第一IKEパッケージのcookieに基づき第一摘要を計算するステップ、
第一摘要の値が第二摘要の値より大きいかを判断し、第一摘要の値が第二摘要の値より大きければ、第一ゲートウエーがイニシエーターの機能を実行し、第一摘要の値が第二摘要の値より小さければ、第一ゲートウエーがレスポンダーの機能を実行するステップ、
を具えたことを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置。 - 請求項11記載のインターネットキーエクスチェンジプロセス衝突発生防止の装置において、第一摘要及び第二摘要は第一IKEパッケージのcookie及び第二IKEパッケージのcookieに対して乱数プロセスを実行することにより発生することを特徴とする、インターネットキーエクスチェンジプロセス衝突発生防止の装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005089201A JP2006270835A (ja) | 2005-03-25 | 2005-03-25 | インターネットキーエクスチェンジプロセス衝突発生防止の方法と装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005089201A JP2006270835A (ja) | 2005-03-25 | 2005-03-25 | インターネットキーエクスチェンジプロセス衝突発生防止の方法と装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006270835A true JP2006270835A (ja) | 2006-10-05 |
Family
ID=37206272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005089201A Pending JP2006270835A (ja) | 2005-03-25 | 2005-03-25 | インターネットキーエクスチェンジプロセス衝突発生防止の方法と装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006270835A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009100238A (ja) * | 2007-10-17 | 2009-05-07 | Nec Corp | 通信装置、通信システム及びそれらに用いる鍵再交換方法並びにそのプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5596556A (en) * | 1979-01-19 | 1980-07-22 | Mitsubishi Electric Corp | Silver oxide battery |
| JPH06244898A (ja) * | 1993-02-17 | 1994-09-02 | Hitachi Ltd | コネクション設定衝突回避方式 |
| JPH0799529A (ja) * | 1993-05-27 | 1995-04-11 | Ricoh Co Ltd | 通信方式 |
-
2005
- 2005-03-25 JP JP2005089201A patent/JP2006270835A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5596556A (en) * | 1979-01-19 | 1980-07-22 | Mitsubishi Electric Corp | Silver oxide battery |
| JPH06244898A (ja) * | 1993-02-17 | 1994-09-02 | Hitachi Ltd | コネクション設定衝突回避方式 |
| JPH0799529A (ja) * | 1993-05-27 | 1995-04-11 | Ricoh Co Ltd | 通信方式 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009100238A (ja) * | 2007-10-17 | 2009-05-07 | Nec Corp | 通信装置、通信システム及びそれらに用いる鍵再交換方法並びにそのプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8996718B2 (en) | TCP-aware receive side coalescing | |
| JP4407556B2 (ja) | セッション中継装置、セッション中継方法およびプログラム | |
| US9516114B2 (en) | Data packet transmission method and related device and system | |
| WO2018112877A1 (zh) | 路径计算和访问请求分发方法、装置及系统 | |
| US10951742B1 (en) | Methods, systems, and computer program products for sharing information for detecting at least one time period for a connection | |
| JP2006033854A (ja) | ノード間の通信を可能にする方法、システム、およびプログラム | |
| TW201713093A (zh) | 應用於伺服器負載均衡中的連接建立方法及裝置 | |
| JP2007259446A (ja) | データ・パケットを伝送しながらセキュリティを改良するための方法及び装置 | |
| CN103227777B (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| TW201616386A (zh) | 雲端虛擬網路安全之防護方法與系統 | |
| US9210094B1 (en) | Utilization of TCP segmentation offload with jumbo and non-jumbo networks | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| WO2014079334A1 (zh) | 邻居关系处理方法和路由设备 | |
| CN102546587B (zh) | 防止网关系统会话资源被恶意耗尽的方法及装置 | |
| US11159652B2 (en) | Transmission control protocol (TCP) intermediate device implementing a TCP fast open (TFO) connection | |
| US11349934B2 (en) | Opportunistic transmission control protocol (TCP) connection establishment | |
| WO2011012004A1 (zh) | 一种实现网络流量清洗的方法及系统 | |
| WO2019119269A1 (zh) | 一种网络故障探测方法及控制中心设备 | |
| WO2017080363A1 (zh) | 一种数据传输的方法及wap设备 | |
| JP2006270835A (ja) | インターネットキーエクスチェンジプロセス衝突発生防止の方法と装置 | |
| CN102668504B (zh) | 具有改善转换的速度和质量的密钥分配功能的方法和设备 | |
| Gokhale et al. | On QoS-compliant telehaptic communication over shared networks | |
| KR101104599B1 (ko) | 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법 | |
| US20060215674A1 (en) | Apparatus for avoiding IKE process conflict and method for the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070105 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071220 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20071221 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090824 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091110 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100907 |