JP2008227923A - Communications system - Google Patents

Communications system Download PDF

Info

Publication number
JP2008227923A
JP2008227923A JP2007063349A JP2007063349A JP2008227923A JP 2008227923 A JP2008227923 A JP 2008227923A JP 2007063349 A JP2007063349 A JP 2007063349A JP 2007063349 A JP2007063349 A JP 2007063349A JP 2008227923 A JP2008227923 A JP 2008227923A
Authority
JP
Japan
Prior art keywords
router
communication
transmission destination
vpn
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007063349A
Other languages
Japanese (ja)
Inventor
Yukio Tada
幸生 多田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yamaha Corp
Original Assignee
Yamaha Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yamaha Corp filed Critical Yamaha Corp
Priority to JP2007063349A priority Critical patent/JP2008227923A/en
Publication of JP2008227923A publication Critical patent/JP2008227923A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communications system that can establish safe encryption communication, while reducing the cost in a communication system connecting multiple points. <P>SOLUTION: A voice conference device inquires for an IPsec-VPN in a router. No encryption is applied on a point with the IPsec-VPN and a voice packet is transmitted directly. Encryption is applied to a point with no IPsec-VPN, and the voice packet is transmitted in an SSL-VPN via a relay server 3. The load of the relay server 3 is reduced between the points with the IPsec-VPN to transmit and receive the voice packet directly, without through the relay server 3. When the IPsec-VPN is established at all points, no relay server is required. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

この発明は、暗号化されたデータを送受信する通信システムに関する。   The present invention relates to a communication system for transmitting / receiving encrypted data.

従来、遠隔地において音声会議を行う音声会議装置(通信会議装置)が普及している。音声会議装置を各地点に設置し、各地点のルータ、ネットワークを介して接続することで音声通信システムが構築される。   Conventionally, a voice conference device (communication conference device) that performs a voice conference in a remote place has been widespread. A voice communication system is constructed by installing a voice conference device at each point and connecting them via a router and a network at each point.

しかし、音声通信システムでは、各地点の音声がインターネットを経由してパケット化して送受信されるため、盗聴の危険性が有った。そこで、SSL−VPNサーバを経由して暗号化通信を行うことが一般的である(例えば特許文献1参照)。
特開2002−41461号公報 However, the voice communication system has a risk of eavesdropping because the voice of each point is packetized and transmitted via the Internet. Therefore, it is common to perform encrypted communication via an SSL-VPN server (see, for example, Patent Document 1).
JP 2002-41461 A

しかし、SSL−VPN通信を行う場合、中継サーバが必要となり、コストがかかるという問題が有った。また、多数の地点を接続する場合、中継サーバに負荷がかかるという問題も有り、高機能で高コストな中継サーバが必要となっていた。しかし、中継サーバを用いなければ安全な暗号化通信を行うことができず、通信の安全性確保とコスト削減はトレードオフの関係にあった。   However, when SSL-VPN communication is performed, there is a problem that a relay server is required and costs are increased. Further, when connecting a large number of points, there is a problem that a load is applied to the relay server, and a high-function and high-cost relay server is required. However, secure encrypted communication cannot be performed unless a relay server is used, and there has been a trade-off between ensuring communication safety and reducing costs.

そこで、この発明は、多地点を接続する通信システムにおいて、コストを削減しながら、安全な暗号化通信を実現することができる通信システムを提供することを目的とする。   Accordingly, an object of the present invention is to provide a communication system that can realize secure encrypted communication while reducing costs in a communication system that connects multiple points.

この発明の通信システムは、インターネットを介して接続される複数のルータ装置、および中継サーバ装置と、前記複数のルータ装置に接続される複数の通信端末装置と、からなる通信システムであって、前記ルータ装置は、入力されたデータを暗号化、または復号化し、データの送信元を識別する識別情報を付加、または抽出することで、所定の通信先と暗号化通信を行うルータ暗号処理部と、入力されたデータを、前記ルータ暗号処理部を介して他の装置に送信するルータ制御部と、を備え、前記通信端末装置は、入力されたデータを暗号化、または復号化する端末暗号処理部と、送信先を指定して前記端末暗号処理部を介してデータを送信する端末制御部と、を備え、前記通信端末装置の端末制御部は、接続されるルータに、送信先と暗号化通信が行われているか否かを問い合わせる問い合わせ情報を送信し、前記ルータ装置のルータ制御部は、受信した問い合わせ情報の示す送信先が、暗号化通信を行っている送信先であれば、当該送信先と暗号化通信が行われている旨を示す通知情報を前記通信端末装置に送信し、前記通信端末装置の端末制御部は、前記通知情報を受信し、送信先と暗号化通信が行われていれば、当該送信先に送信するデータについて、暗号化せずに前記ルータ装置を介して他の通信端末装置に送信し、送信先と暗号通信が行われていなければ、当該送信先に送信するデータについて、前記端末暗号処理部で暗号化して、前記ルータおよび中継サーバを介して他の通信端末装置に送信することを特徴とする。   A communication system according to the present invention is a communication system including a plurality of router devices connected via the Internet, a relay server device, and a plurality of communication terminal devices connected to the plurality of router devices, The router device encrypts or decrypts input data, and adds or extracts identification information for identifying a data transmission source, thereby performing a router encryption processing unit that performs encrypted communication with a predetermined communication destination, A router control unit that transmits the input data to another device via the router encryption processing unit, and the communication terminal device encrypts or decrypts the input data. And a terminal control unit that designates a transmission destination and transmits data via the terminal encryption processing unit, and the terminal control unit of the communication terminal apparatus transmits a transmission destination to the connected router. Inquiry information for inquiring whether or not encoded communication is being performed, the router control unit of the router device, if the transmission destination indicated by the received inquiry information is a transmission destination performing encrypted communication, Notification information indicating that encrypted communication with the transmission destination is being performed is transmitted to the communication terminal device, and the terminal control unit of the communication terminal device receives the notification information, and the transmission communication with the transmission destination is performed. If it is performed, the data to be transmitted to the transmission destination is transmitted to the other communication terminal device via the router device without encryption, and if the communication with the transmission destination is not performed, the transmission destination The data to be transmitted to the terminal is encrypted by the terminal encryption processing unit and transmitted to another communication terminal device via the router and the relay server.

この構成では、端末装置(音声会議装置)は、自装置に接続されているルータに問い合わせ情報を送信する。問い合わせ情報は、音声会議装置が接続する地点のIPアドレス等が含まれており、ルータ装置は、このIPアドレスが示す地点と暗号化通信(例えばIPsec−VPN)が構築されているか否かを判断する。IPsec−VPNが構築されていれば、その旨を示す情報を音声会議装置に通知する。音声会議装置は、IPsec−VPNが構築されている地点に送信するデータについて、暗号化せずに、ルータ装置を介して直接他の音声会議装置に送信する。一方で、IPsec−VPNが構築されていない地点に送信するデータについては、装置の暗号処理部で暗号化してから、ルータ装置および中継サーバを介して他の音声会議装置に送信する。このデータは、例えばSSLプロトコルに準じた暗号パケットで送信され、SSL−VPNで送信される。   In this configuration, the terminal device (voice conference device) transmits inquiry information to the router connected to the own device. The inquiry information includes the IP address of the point to which the voice conference device is connected, and the router device determines whether or not encrypted communication (for example, IPsec-VPN) is established with the point indicated by this IP address. To do. If the IPsec-VPN is established, information indicating that is notified to the audio conference apparatus. The voice conference apparatus transmits the data to be transmitted to the point where the IPsec-VPN is established directly to the other voice conference apparatus via the router apparatus without encryption. On the other hand, the data to be transmitted to a point where the IPsec-VPN is not established is encrypted by the encryption processing unit of the device and then transmitted to another voice conference device via the router device and the relay server. This data is transmitted in an encrypted packet conforming to the SSL protocol, for example, and transmitted by SSL-VPN.

また、この発明は、さらに、前記通信端末装置は、ユーザ操作を受け付ける操作部を備え、前記端末制御部は、前記操作部で、ユーザから所定の送信先について送信データを暗号化しない旨を示す操作を受け付けた場合、当該送信先に暗号化せずに前記ルータ装置を介してデータを送信することを特徴とする。   In addition, according to the present invention, the communication terminal device further includes an operation unit that receives a user operation, and the terminal control unit indicates that the operation unit does not encrypt transmission data for a predetermined transmission destination from the user. When the operation is accepted, the data is transmitted to the transmission destination via the router device without being encrypted.

この構成では、ユーザから暗号化せずにデータを送受信する旨の操作を受け付けた場合、暗号化せず、かつ中継サーバを介さずにデータを送受信する。例えば社内のLANで他の部屋(部署)に音声パケットを送受信する場合、社外から盗聴される可能性が低いため、暗号化せずに送受信する。暗号化せずに送受信することで、通信速度の向上が期待できる。   In this configuration, when an operation for transmitting / receiving data without encryption is received from the user, the data is transmitted / received without being encrypted and not via the relay server. For example, when a voice packet is transmitted / received to / from another room (department) via an in-house LAN, since there is a low possibility of eavesdropping from outside the company, the packet is transmitted without encryption. By transmitting and receiving without encryption, an improvement in communication speed can be expected.

この発明によれば、暗号化通信が構築されている地点間では、中継サーバを介さずに直接音声パケットを送受信するため、中継サーバの負荷を低減する。よって、中継サーバを必要としない構成、あるいは廉価な中継サーバを備えた構成でありながら多地点の通信端末装置を安全に接続することができる。   According to the present invention, since voice packets are directly transmitted and received between points where encrypted communication is established, the load on the relay server is reduced. Therefore, it is possible to safely connect multi-point communication terminal apparatuses with a configuration that does not require a relay server or a configuration that includes an inexpensive relay server.

以下、図面を参照してこの発明の実施形態である通信システムについて説明する。図1は通信システムの構成を示すブロック図である。図2は、音声会議装置の構成を示すブロック図である。図3は、ルータの構成を示すブロック図である。   Hereinafter, a communication system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a communication system. FIG. 2 is a block diagram showing the configuration of the audio conference apparatus. FIG. 3 is a block diagram showing the configuration of the router.

図1において、地点Aに音声会議装置1A、およびルータ2Aが設置され、地点Bに音声会議装置1B、およびルータ2Bが設置され、地点Cに音声会議装置1C、およびルータ4Cが設置されている。また、地点Dには中継サーバ3が設置されている。   In FIG. 1, a voice conference device 1A and a router 2A are installed at a point A, a voice conference device 1B and a router 2B are installed at a point B, and a voice conference device 1C and a router 4C are installed at a point C. . A relay server 3 is installed at the point D.

ルータ2A、ルータ2B、ルータ4C、および中継サーバ3は、インターネット10を介して接続されている。なお、中継サーバ3は、地点A〜Cのいずれかに設置されていてもよい。音声会議装置1A、音声会議装置1B、および音声会議装置1Cは、いずれも同じ構成、機能を有しており、図2では代表して音声会議装置1Aの構成を示す。また、ルータ2A、ルータ2Bは、同じ構成、機能を有しており、図3では代表してルータ2Aの構成を示す。   The router 2A, router 2B, router 4C, and relay server 3 are connected via the Internet 10. Note that the relay server 3 may be installed at any of the points A to C. The audio conference device 1A, the audio conference device 1B, and the audio conference device 1C all have the same configuration and function, and FIG. 2 shows the configuration of the audio conference device 1A as a representative. Further, the router 2A and the router 2B have the same configuration and function, and FIG. 3 shows the configuration of the router 2A as a representative.

図2において、音声会議装置1Aは、マイク11、アンプ(AMP)12、A/Dコンバータ13、音声処理部14、暗号処理部15、通信インタフェース(I/F)16、D/Aコンバータ17、アンプ(AMP)18、スピーカ19、および制御部20を備えている。   In FIG. 2, the audio conference apparatus 1A includes a microphone 11, an amplifier (AMP) 12, an A / D converter 13, an audio processing unit 14, an encryption processing unit 15, a communication interface (I / F) 16, a D / A converter 17, An amplifier (AMP) 18, a speaker 19, and a control unit 20 are provided.

マイク11は、音声会議装置1Aの周囲の音声を収音し、音声信号を出力する。マイク11から出力された音声信号は、フロントエンドのアンプ12で増幅され、A/Dコンバータ13でデジタル化される。デジタル化された音声信号は、音声処理部14で所定のプロトコルでパケット化される。符号化方式やパケット長は制御部20により設定される。パケット化された音声信号(以下、音声パケットと言う。)は、暗号処理部15を介して通信I/F16に出力され、外部(同図においてはルータ2A)に出力される。   The microphone 11 collects sound around the audio conference apparatus 1A and outputs an audio signal. The audio signal output from the microphone 11 is amplified by the front-end amplifier 12 and digitized by the A / D converter 13. The digitized audio signal is packetized by the audio processing unit 14 using a predetermined protocol. The control unit 20 sets the encoding method and the packet length. The packetized voice signal (hereinafter referred to as voice packet) is output to the communication I / F 16 via the encryption processing unit 15 and output to the outside (the router 2A in the figure).

また、外部(ルータ2A)から通信I/F16に入力された音声パケットは、暗号処理部15を介して音声処理部14に入力される。音声処理部14は、入力された音声パケットを復号し、デジタル音声信号としてD/Aコンバータ17に出力する。デジタル音声信号はD/Aコンバータ17でアナログ化され、アンプ18で増幅されてスピーカ19から放音される。   A voice packet input from the outside (router 2A) to the communication I / F 16 is input to the voice processing unit 14 via the encryption processing unit 15. The audio processing unit 14 decodes the input audio packet and outputs it to the D / A converter 17 as a digital audio signal. The digital audio signal is analogized by the D / A converter 17, amplified by the amplifier 18, and emitted from the speaker 19.

暗号処理部15は、音声処理部14から入力された音声パケットをSSLプロトコルに準じた暗号パケットに変換し、通信I/F16に出力する。音声処理部14から入力された音声パケットを暗号化するか否かは制御部20により設定される。また、通信I/F16から入力したSSLプロトコルに準じた暗号パケットを復号し、音声処理部14に出力する。
なお、音声処理部14、暗号処理部15の構成、機能は、制御部20のソフトウェア処理により実現してもよい。 The cryptographic processing unit 15 converts the voice packet input from the voice processing unit 14 into a cryptographic packet conforming to the SSL protocol, and outputs the encrypted packet to the communication I / F 16. Whether to encrypt the voice packet input from the voice processing unit 14 is set by the control unit 20. Further, the encrypted packet conforming to the SSL protocol input from the communication I / F 16 is decrypted and output to the voice processing unit 14.
The configurations and functions of the voice processing unit 14 and the cryptographic processing unit 15 may be realized by software processing of the control unit 20.

このように、音声会議装置1Aは、自装置で収音した音声を他の音声会議装置に音声パケットとして送信し、他の音声会議装置から受信した音声パケットを復号して自装置で放音することにより、音声会議を実現する。   In this way, the audio conference apparatus 1A transmits the audio collected by the own apparatus as an audio packet to the other audio conference apparatus, decodes the audio packet received from the other audio conference apparatus, and emits the sound by the own apparatus. By doing so, an audio conference is realized.

図3において、ルータ2Aは、LANインタフェース(I/F)21、WANI/F22、ルータ制御部23、およびルータ暗号処理部24を備えている。   In FIG. 3, the router 2 </ b> A includes a LAN interface (I / F) 21, a WAN I / F 22, a router control unit 23, and a router encryption processing unit 24.

LANI/F21は、音声会議装置1Aと接続され、データ送受信を行うLAN側の通信インタフェースである。また、WANI/F22は、インターネット10と接続され、インターネット10とルータ2Aとの間でデータ送受信を行うWAN側の通信インタフェースである。   The LAN I / F 21 is a communication interface on the LAN side that is connected to the audio conference apparatus 1A and performs data transmission / reception. The WAN I / F 22 is a WAN-side communication interface that is connected to the Internet 10 and performs data transmission / reception between the Internet 10 and the router 2A.

ルータ制御部23は、LANI/F21から入力されたデータ(音声パケット等)を、ルータ暗号処理部24を介してWANI/F22に出力し、WANI/F22からルータ暗号処理部24を介して入力されたデータを、LANI/F21に出力する。   The router control unit 23 outputs data (such as voice packets) input from the LAN I / F 21 to the WAN I / F 22 via the router encryption processing unit 24, and is input from the WAN I / F 22 via the router encryption processing unit 24. The data is output to the LAN I / F 21.

ルータ暗号処理部24は、ルータ制御部23から入力されたデータを暗号化し、送信元、送信先のアドレスを示したヘッダ情報等を付加してWANI/F22に送信する。また、WANI/F22から入力された暗号化データを復号する。暗号方式、復号方式は、例えばIPsecプロトコルにて用いられる方式を利用する。
ルータ2Aは、IPsecプロトコルを用いることで、特定の装置(ルータ2B)と暗号化通信(IPsec−VPN)を実現する。 The router encryption processing unit 24 encrypts the data input from the router control unit 23, adds header information indicating the addresses of the transmission source and the transmission destination, and transmits the data to the WAN I / F 22. Also, the encrypted data input from the WAN I / F 22 is decrypted. As the encryption method and the decryption method, for example, a method used in the IPsec protocol is used.
The router 2A implements encrypted communication (IPsec-VPN) with a specific device (router 2B) by using the IPsec protocol.

中継サーバ3は、SSLサーバであり、各地点の音声会議装置を接続し、暗号化通信を行う。各音声会議装置の暗号処理部15は、通信I/F16を介して認証済のSSLサーバ(中継サーバ3)と暗号パケットを送受信し、SSL通信を行う。このように、中継サーバ3は、各音声会議装置とSSL通信を行うことで、複数の音声会議装置間で暗号化通信(SSL−VPN)を実現する。   The relay server 3 is an SSL server, and connects to the audio conference device at each point and performs encrypted communication. The encryption processing unit 15 of each voice conference device transmits and receives encrypted packets to and from an authenticated SSL server (relay server 3) via the communication I / F 16, and performs SSL communication. Thus, the relay server 3 implement | achieves encryption communication (SSL-VPN) between several audio conference apparatuses by performing SSL communication with each audio conference apparatus.

図4は、通信システムの動作の一例を示す図である。なお、図1と共通する構成については同一の符号を付し、その説明を省略する。なお、各ルータ2A,2B,2Cは、実際にはインターネット10を介して互いに接続されているが、同図においては説明を容易にするためにインターネット10の図示を省略している。同図に示す例では、ルータ2Aとルータ2BにおいてIPsec−VPNが構築されている。   FIG. 4 is a diagram illustrating an example of the operation of the communication system. In addition, about the structure which is common in FIG. 1, the same code | symbol is attached | subjected and the description is abbreviate | omitted. The routers 2A, 2B, and 2C are actually connected to each other via the Internet 10, but the illustration of the Internet 10 is omitted in FIG. In the example shown in the figure, an IPsec-VPN is constructed in the router 2A and the router 2B.

各音声会議装置の制御部20は、音声パケットの送受信を開始するとき、ルータにIPsec−VPNが構築されているか否かを問い合わせる。例えば、音声会議装置1Aが音声会議装置1Bおよび音声会議装置1Cと音声パケットの送受信を開始するとき、音声会議装置1Aの制御部20は、ルータ2Aにこれらの装置とIPsec−VPNで音声パケットを送受信できるか否かを問い合わせる。問い合わせは、制御部20が通信I/F16を介してルータ2Aに問い合わせ情報(通信先のIPアドレスを示す情報)を送信することで行う。ルータ2Aのルータ制御部23は、LANI/F21を介してこの問い合わせ情報を受信し、IPsec−VPNが構築されている地点(ルータ)を判断する。受信した問い合わせ情報に含まれているIPアドレスが、IPsec−VPNが構築されている地点に該当するか否かを判断する。同図に示す例では、ルータ2Aとルータ2BにおいてIPsec−VPNが構築されているため、ルータ2Aのルータ制御部23は、地点Bの音声会議装置1BとIPsec−VPNで音声パケットの送受信ができる旨を示す情報を音声会議装置1Aに返信する。   When starting the transmission / reception of the voice packet, the control unit 20 of each voice conference apparatus inquires of the router whether or not the IPsec-VPN is established. For example, when the audio conference apparatus 1A starts transmission / reception of audio packets with the audio conference apparatus 1B and the audio conference apparatus 1C, the control unit 20 of the audio conference apparatus 1A sends the audio packets to the router 2A using these apparatuses and IPsec-VPN. Queries whether transmission / reception is possible. The inquiry is made by the controller 20 sending inquiry information (information indicating the IP address of the communication destination) to the router 2A via the communication I / F 16. The router control unit 23 of the router 2A receives this inquiry information via the LAN I / F 21 and determines a point (router) where the IPsec-VPN is constructed. It is determined whether or not the IP address included in the received inquiry information corresponds to a point where IPsec-VPN is established. In the example shown in the figure, since the IPsec-VPN is constructed in the router 2A and the router 2B, the router control unit 23 of the router 2A can transmit and receive voice packets between the voice conference device 1B at the point B and the IPsec-VPN. Information indicating this is returned to the audio conference apparatus 1A.

その結果、音声会議装置1Aの制御部20は、音声会議装置1Bと送受信する音声パケットについて、暗号処理部15で暗号パケットに変換しないよう設定する。この音声パケットは音声会議装置1Aと音声会議装置1Bとの間で直接送受信される。音声会議装置1Aおよび音声会議装置1Bにおいて暗号パケットに変換しなくとも、ルータ2Aとルータ2Bとの間でIPsec−VPNで音声パケットが送受信されるため、通話内容が盗聴される可能性は極めて低い。   As a result, the control unit 20 of the audio conference apparatus 1A sets the audio packet to be transmitted / received to / from the audio conference apparatus 1B so that the encryption processing unit 15 does not convert it into an encrypted packet. This voice packet is directly transmitted and received between the voice conference apparatus 1A and the voice conference apparatus 1B. Even if the voice conference device 1A and the voice conference device 1B do not convert the encrypted packet into an encrypted packet, the voice packet is transmitted and received between the router 2A and the router 2B by IPsec-VPN. .

一方、音声会議装置1Aは、音声会議装置1Cと送受信する音声パケットについて、暗号処理部15でSSLプロトコルに準じた暗号パケットに変換するように設定する。この暗号パケットは、中継サーバ3を介して送受信される。中継サーバ3を介して、SSL−VPNで音声パケットが送受信されるため、通話内容が盗聴される可能性は極めて低い。   On the other hand, the audio conference apparatus 1A sets the audio packet transmitted / received to / from the audio conference apparatus 1C to be converted into an encryption packet conforming to the SSL protocol by the encryption processing unit 15. This encrypted packet is transmitted / received via the relay server 3. Since voice packets are transmitted and received by SSL-VPN via the relay server 3, the possibility of wiretapping of the call content is extremely low.

音声会議装置1B、音声会議装置1Cにおいても同様の動作がなされ、図4に示すように、音声会議装置1Aと音声会議装置1Bとの間ではIPsec−VPNで音声パケットが送受信され、音声会議装置1Aと音声会議装置1Cとの間、および音声会議装置1Bと音声会議装置1Cとの間ではSSL−VPNで音声パケットが送受信される。このように、IPsec−VPNが構築されている地点間では、中継サーバ3を介さずに直接音声パケットを送受信するため、中継サーバ3の負荷を低減する。また、全ての地点でIPsec−VPNが構築されていれば中継サーバ3を設置する必要がない。したがって、本実施形態の通信システムは、中継サーバを必要としない構成、あるいは廉価な中継サーバを備えた構成でありながら多地点の音声会議装置を安全に接続することができる。   The same operation is performed in the audio conference apparatus 1B and the audio conference apparatus 1C. As shown in FIG. 4, audio packets are transmitted and received by the IPsec-VPN between the audio conference apparatus 1A and the audio conference apparatus 1B. Voice packets are transmitted and received by SSL-VPN between 1A and the audio conference apparatus 1C, and between the audio conference apparatus 1B and the audio conference apparatus 1C. As described above, since voice packets are directly transmitted and received between the points where the IPsec-VPN is established, the load on the relay server 3 is reduced. Moreover, if IPsec-VPN is constructed at all points, there is no need to install the relay server 3. Therefore, the communication system according to the present embodiment can safely connect multi-point audio conferencing apparatuses with a configuration that does not require a relay server or a configuration that includes an inexpensive relay server.

なお、地点Cに設置されているルータ4Cは、ルータ2Aおよびルータ2Bと異なる構成、機能を有するルータ(VPN機能を有しないルータ)として説明したが、同じ構成、機能を有していてもよい。同じ構成、機能を有していた場合であっても、VPNを構築できない地点間では中継サーバ3を介してSSL−VPNで音声パケットが送受信される。   Although the router 4C installed at the point C has been described as a router having a configuration and function different from those of the router 2A and the router 2B (router having no VPN function), it may have the same configuration and function. . Even in the case of having the same configuration and function, voice packets are transmitted and received by SSL-VPN via the relay server 3 between points where a VPN cannot be constructed.

なお、音声会議装置にユーザの操作を受け付ける操作部を設け、ユーザが手動でIPsec−VPNを用いて音声パケットを送受信するか、SSL−VPNで音声パケットを送受信するか、または全く暗号化せずに音声パケットを送受信するか、を指定できるようにしてもよい。例えば社内のLANで他の部屋(部署)に音声パケットを送受信する場合、社外から盗聴される可能性が低いため、暗号化せずに送受信する。暗号化せずに送受信することで、通信速度の向上が期待できる。   Note that an operation unit that accepts user operations is provided in the audio conference device, and the user manually transmits / receives voice packets using IPsec-VPN, transmits / receives voice packets using SSL-VPN, or is not encrypted at all. It may be possible to designate whether to transmit / receive voice packets. For example, when a voice packet is transmitted / received to / from another room (department) via an in-house LAN, since there is a low possibility of eavesdropping from outside the company, the packet is transmitted without encryption. By transmitting and receiving without encryption, an improvement in communication speed can be expected.

以下、音声会議装置およびルータの動作について詳細に説明する。図5は、音声会議装置が音声通信を開始する場合の、音声会議装置およびルータの動作を示すフローチャートである。   Hereinafter, operations of the audio conference apparatus and the router will be described in detail. FIG. 5 is a flowchart showing the operations of the voice conference device and the router when the voice conference device starts voice communication.

まず、音声会議装置の制御部20は、ルータに問い合わせ情報を送信する(s11)。この問い合わせ情報は、接続する音声会議装置のIPアドレス等が含まれている。ルータ制御部23は、問い合わせ情報を受信し(s21)、問い合わせ情報に含まれているIPアドレスが示す地点とIPsec−VPNが構築されているかを判断する(s22)。IPsec−VPNが構築されている該当IPアドレスが存在すれば、これを音声会議装置に通知する(s23)。なお、受信した問い合わせ情報に含まれているIPアドレスの示す地点について、全てIPsec−VPNが構築されていなければ、「該当無し」を示す情報を通知してもよい。   First, the control unit 20 of the audio conference apparatus transmits inquiry information to the router (s11). This inquiry information includes the IP address of the audio conference device to be connected. The router control unit 23 receives the inquiry information (s21), and determines whether the point indicated by the IP address included in the inquiry information and the IPsec-VPN are constructed (s22). If there is a corresponding IP address for which IPsec-VPN is constructed, this is notified to the audio conference apparatus (s23). Note that information indicating “not applicable” may be notified if no IPsec-VPN is established for all points indicated by the IP address included in the received inquiry information.

音声会議装置の制御部20は、該当するIPアドレスを示す情報を受信し(s12)、暗号処理部15で暗号化するか否かの設定を行う(s13)。制御部20は、ルータからの通知の内容に基づいて、IPsec−VPNが構築されているIPアドレスに対しては暗号処理部15で暗号化せず、IPsec−VPNで直接音声パケットを送受信する。制御部20は、ルータからの通知の内容に基づいて、IPsec−VPNが構築されていないIPアドレスに対しては暗号処理部15で暗号化し、中継サーバ3を介してSSL−VPNで音声パケットを送受信する。制御部20は、各地点に送信する音声パケットをルータに送信する(s14)。   The control unit 20 of the audio conference apparatus receives information indicating the corresponding IP address (s12), and sets whether or not the encryption processing unit 15 performs encryption (s13). Based on the content of the notification from the router, the control unit 20 does not encrypt the IP address for which the IPsec-VPN is constructed by the encryption processing unit 15 and directly transmits / receives a voice packet using the IPsec-VPN. Based on the content of the notification from the router, the control unit 20 encrypts the IP address for which the IPsec-VPN is not established by the encryption processing unit 15 and transmits the voice packet by SSL-VPN via the relay server 3. Send and receive. The control unit 20 transmits a voice packet to be transmitted to each point to the router (s14).

ルータ制御部23は、音声会議装置から音声パケットを受信し(s24)、各地点の音声会議装置に送信する(s25)。このとき、IPsec−VPNが構築されている地点の音声会議装置に対してはIPsec−VPNで直接送信し、IPsec−VPNが構築されていない地点の音声会議装置に対しては中継サーバ3を介して送信する。ルータ制御部23は、中継サーバ3を介して送信する場合、ルータ暗号処理部24で音声パケット(SSLプロトコルに準じた暗号パケット)を暗号化しないように設定する。   The router control unit 23 receives the voice packet from the voice conference device (s24), and transmits it to the voice conference device at each point (s25). At this time, the voice conference apparatus at the point where the IPsec-VPN is constructed is directly transmitted by IPsec-VPN, and the voice conference apparatus at the point where the IPsec-VPN is not constructed is transmitted via the relay server 3. To send. When transmitting via the relay server 3, the router control unit 23 sets the router encryption processing unit 24 not to encrypt the voice packet (encrypted packet conforming to the SSL protocol).

以上のようにして、本実施形態の通信システムは、コストを削減しながら、安全な暗号化通信を実現することができる。   As described above, the communication system of the present embodiment can realize secure encrypted communication while reducing costs.

通信システムの構成を示すブロック図である。It is a block diagram which shows the structure of a communication system. 音声会議装置の構成を示すブロック図である。It is a block diagram which shows the structure of an audio conference apparatus. ルータの構成を示すブロック図である。It is a block diagram which shows the structure of a router. 通信システムの動作の一例を示す図である。It is a figure which shows an example of operation | movement of a communication system. 音声会議装置が音声通信を開始する場合の、音声会議装置およびルータの動作を示すフローチャートである。It is a flowchart which shows operation | movement of an audio conference apparatus and a router when an audio conference apparatus starts audio | voice communication.

符号の説明Explanation of symbols

1A,1B,1C−音声会議装置
2A,2B−ルータ
3−中継サーバ
4C−ルータ
10−インターネット 1A, 1B, 1C-voice conference device 2A, 2B-router 3-relay server 4C-router 10-Internet

Claims (2)

インターネットを介して接続される複数のルータ装置、および中継サーバ装置と、
前記複数のルータ装置に接続される複数の通信端末装置と、
からなる通信システムであって、
前記ルータ装置は、入力されたデータを暗号化、または復号化し、データの送信元を識別する識別情報を付加、または抽出することで、所定の通信先と暗号化通信を行うルータ暗号処理部と、
入力されたデータを、前記ルータ暗号処理部を介して他の装置に送信するルータ制御部と、を備え、
前記通信端末装置は、入力されたデータを暗号化、または復号化する端末暗号処理部と、
送信先を指定して前記端末暗号処理部を介してデータを送信する端末制御部と、を備え、
前記通信端末装置の端末制御部は、接続されるルータに、送信先と暗号化通信が行われているか否かを問い合わせる問い合わせ情報を送信し、
前記ルータ装置のルータ制御部は、受信した問い合わせ情報の示す送信先が、暗号化通信を行っている送信先であれば、当該送信先と暗号化通信が行われている旨を示す通知情報を前記通信端末装置に送信し、
前記通信端末装置の端末制御部は、前記通知情報を受信し、送信先と暗号化通信が行われていれば、当該送信先に送信するデータについて、暗号化せずに前記ルータ装置を介して他の通信端末装置に送信し、
送信先と暗号通信が行われていなければ、当該送信先に送信するデータについて、前記端末暗号処理部で暗号化して、前記ルータおよび中継サーバを介して他の通信端末装置に送信することを特徴とする通信システム。 A plurality of router devices and relay server devices connected via the Internet;
A plurality of communication terminal devices connected to the plurality of router devices;
A communication system comprising:
The router device encrypts or decrypts input data, and adds or extracts identification information for identifying a data transmission source, thereby performing a router encryption processing unit that performs encrypted communication with a predetermined communication destination. ,
A router controller that transmits the input data to another device via the router encryption processor, and
The communication terminal device encrypts or decrypts input data, a terminal encryption processing unit,
A terminal control unit that designates a transmission destination and transmits data via the terminal encryption processing unit,
The terminal control unit of the communication terminal device transmits inquiry information asking whether or not encrypted communication with the transmission destination is performed to the connected router,
If the transmission destination indicated by the received inquiry information is a transmission destination performing encrypted communication, the router control unit of the router device transmits notification information indicating that the communication with the transmission destination is performed. Transmitted to the communication terminal device,
If the terminal control unit of the communication terminal apparatus receives the notification information and performs encrypted communication with the transmission destination, the terminal controller does not encrypt the data to be transmitted to the transmission destination via the router apparatus. Send to other communication terminal devices,
If encrypted communication with the transmission destination is not performed, the data transmitted to the transmission destination is encrypted by the terminal encryption processing unit and transmitted to another communication terminal device via the router and the relay server. A communication system. 前記通信端末装置は、ユーザ操作を受け付ける操作部を備え、
前記端末制御部は、前記操作部で、ユーザから所定の送信先について送信データを暗号化しない旨を示す操作を受け付けた場合、当該送信先に暗号化せずに前記ルータ装置を介してデータを送信する請求項1に記載の通信システム。 The communication terminal device includes an operation unit that receives a user operation,
When the operation unit receives an operation indicating that the transmission data is not encrypted for a predetermined transmission destination from the user, the terminal control unit transmits the data via the router device without encryption to the transmission destination. The communication system according to claim 1 for transmitting.
JP2007063349A 2007-03-13 2007-03-13 Communications system Pending JP2008227923A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007063349A JP2008227923A (en) 2007-03-13 2007-03-13 Communications system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007063349A JP2008227923A (en) 2007-03-13 2007-03-13 Communications system

Publications (1)

Publication Number Publication Date
JP2008227923A true JP2008227923A (en) 2008-09-25

Family

ID=39845998

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007063349A Pending JP2008227923A (en) 2007-03-13 2007-03-13 Communications system

Country Status (1)

Country Link
JP (1) JP2008227923A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010087326A1 (en) 2009-01-28 2010-08-05 株式会社明電舎 Tcp communication scheme
WO2013069461A1 (en) * 2011-11-10 2013-05-16 Ricoh Company, Limited Transmission management apparatus, program, transmission management system, and transmission management method

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010087326A1 (en) 2009-01-28 2010-08-05 株式会社明電舎 Tcp communication scheme
US8578149B2 (en) 2009-01-28 2013-11-05 Meidensha Corporation TCP communication scheme
US9769289B2 (en) 2009-01-28 2017-09-19 Meidensha Corporation TCP communication scheme
WO2013069461A1 (en) * 2011-11-10 2013-05-16 Ricoh Company, Limited Transmission management apparatus, program, transmission management system, and transmission management method
JP2013106071A (en) * 2011-11-10 2013-05-30 Ricoh Co Ltd Transmission management device, program, transmission management system, and transmission management method
US8850184B2 (en) 2011-11-10 2014-09-30 Ricoh Company, Limited Transmission management apparatus, program, transmission management system, and transmission management method
US9769426B2 (en) 2011-11-10 2017-09-19 Ricoh Company, Ltd. Transmission management apparatus, program, transmission management system, and transmission management method

Similar Documents

Publication Publication Date Title
JP3497088B2 (en) Communication system and communication method
EP1326414B1 (en) Secure voice and data transmission via IP telephones
JP2004529531A (en) Method and apparatus for providing reliable streaming data transmission utilizing an unreliable protocol
US20110200045A1 (en) System and Method for Data Communication Between a User Terminal and a Gateway via a Network Node
US10375051B2 (en) Stateless server-based encryption associated with a distribution list
KR20130096320A (en) Switch equipment and data processing method for supporting link layer security transmission
JP2011124770A (en) Vpn device, vpn networking method, program, and storage medium
TWI549553B (en) Communication methods and communication systems
JP2008227923A (en) Communications system
JP3714850B2 (en) Gateway device, connection server device, Internet terminal, network system
US20080199009A1 (en) Signal Watermarking in the Presence of Encryption
JP2009177239A (en) Network relay apparatus
JP2006237996A (en) Remote maintenance/maintenance system, sip mounting apparatus, and maintenance/maintenance equipment and method
US10367848B2 (en) Transmitting relay device identification information in response to broadcast request if device making request is authorized
CN107864123A (en) A kind of network talkback machine safe transmission method and system
JP6674141B2 (en) Communication device
JP2006033443A (en) System, method and program for internet connection
JP4757723B2 (en) Wireless terminal authentication method and wireless communication system
JP2005223838A (en) Communications system and relay device
KR102263755B1 (en) System and method forwarding for end point traffic
US20040091113A1 (en) Interface apparatus for monitoring encrypted network
CN111556084B (en) Communication method, device, system, medium and electronic equipment among VPN (virtual private network) devices
CN113438178B (en) Message forwarding method and device, computer equipment and storage medium
KR20190019623A (en) Network switch and method for setting encryption section in data link layer using the same
JP2009081710A (en) Communication apparatus and communication method used for communication apparatus