JP2008288757A - Method for transferring encrypted packet, repeater, its program, and communication system - Google Patents
Method for transferring encrypted packet, repeater, its program, and communication system Download PDFInfo
- Publication number
- JP2008288757A JP2008288757A JP2007130238A JP2007130238A JP2008288757A JP 2008288757 A JP2008288757 A JP 2008288757A JP 2007130238 A JP2007130238 A JP 2007130238A JP 2007130238 A JP2007130238 A JP 2007130238A JP 2008288757 A JP2008288757 A JP 2008288757A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- information
- relay device
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、IP(Internet Protocol)網を利用したEnd-to-Endの暗号化通信技術に関する。特にIP網内の装置において、暗号化パケットをいったん復号化することにより、暗号化パケットの内容を確認し、ウィルスやワーム等の削除を可能とするセキュア通信技術に関する。 The present invention relates to an end-to-end encrypted communication technique using an IP (Internet Protocol) network. In particular, the present invention relates to a secure communication technique that enables an apparatus in an IP network to confirm the contents of an encrypted packet by once decrypting the encrypted packet and to delete a virus, a worm, or the like.
ブロードバンドサービスの普及と盗聴等のセキュリティ問題の深刻化に伴い、End-to-Endでのセキュア通信を実現するため、IPsec(IP Security)を用いたサービスが提供されている。ここで、IPsecにおける端末間通信の通信性能を向上させるために、セッション制御を利用した動的な鍵交換方式を用いたEnd-to-End暗号化通信方法がある(特許文献1参照)。また、セッション制御が終了した後に、鍵交換プロトコルであるIKE(Internet Key Exchange)を利用することにより、端末間での暗号鍵を動的に生成し、End-to-End暗号化通信を実現する技術がある(非特許文献1,2参照)。
With the spread of broadband services and serious security problems such as eavesdropping, services using IPsec (IP Security) are being provided in order to realize end-to-end secure communication. Here, in order to improve the communication performance of communication between terminals in IPsec, there is an end-to-end encrypted communication method using a dynamic key exchange method using session control (see Patent Document 1). In addition, after session control is completed, IKE (Internet Key Exchange), which is a key exchange protocol, is used to dynamically generate encryption keys between terminals and realize end-to-end encrypted communication. There is technology (see Non-Patent
このような暗号化通信を含むブロードバンドサービスが提供される一方で、ウィルスやワーム等の被害も増加している。そこで、ISP(Internet Services Provider)等のネットワーク事業者が、ネットワーク内でウィルスの検出等、セキュリティチェックを行うためには、このネットワーク内の中継装置において、パケットを取り出し、その中身を確認する必要がある。
このようなEnd-to-End暗号化通信において、ネットワーク内の中継装置がセキュリティチェックを行うためには、端末から送信されたパケットを復号する必要がある。しかし、End-to-End暗号化通信の端末同士でIKEにより動的に暗号鍵を生成すると、中継装置はこの暗号鍵を知ることはできない。したがって、End-to-End暗号化通信において、中継装置は中継するパケットを復号できず、パケットのセキュリティチェックを行うことができないという問題があった。 In such end-to-end encrypted communication, in order for a relay device in the network to perform a security check, it is necessary to decrypt a packet transmitted from a terminal. However, if an encryption key is dynamically generated by IKE between terminals in end-to-end encrypted communication, the relay device cannot know the encryption key. Therefore, in the end-to-end encrypted communication, there is a problem that the relay device cannot decrypt the relayed packet and cannot perform a packet security check.
そこで、本発明は、前記した問題を解決し、End-to-End暗号化通信において、ネットワーク内の中継装置がセキュリティチェックを行うことを目的とする。 In view of the above, an object of the present invention is to solve the above-described problems and allow a relay device in a network to perform a security check in end-to-end encrypted communication.
前記した課題を解決するため、請求項1に記載の発明は、第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する暗号化パケット転送方法であって、前記中継装置が、前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信し、IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶し、前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを示した通信セッション情報を作成し、前記記憶部に記憶し、前記第1の端末から、暗号化パケットを受信したとき、前記受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索し、この検索したSAに関する情報を用いて、前記暗号化パケットを復号し、前記復号したパケットに対しセキュリティチェックを実行し、前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、前記復号したパケットの宛先アドレスを、前記検索した第2の端末のアドレスに書き換え、前記検索したSPI値をキーとして、前記記憶部から、前記第2の端末との間のSAに関する情報を検索し、この検索したSAに関する情報を用いて、前記復号したパケットを暗号化し、前記暗号化したパケットを、前記第2の端末へ送信することを特徴とする。
In order to solve the above-described problem, the invention described in
このような方法によれば、第1の端末と第2の端末との間のEnd-to-End暗号化通信を行うとき、第1の端末と中継装置、第2の端末と中継装置それぞれの間でIKEによりIPsecSAを確立し、セキュリティパスを確立する。そして、中継装置は、第1の端末との間で交換したSAに関する情報を用いて暗号化パケットを復号できるので、このパケットのセキュリティチェックをした上で、第2の端末へ転送することができる。 According to such a method, when performing end-to-end encrypted communication between the first terminal and the second terminal, the first terminal and the relay device, the second terminal and the relay device, respectively. IPS establishes IPsec SA between them and establishes a security path. The relay device can decrypt the encrypted packet by using the information related to the SA exchanged with the first terminal, so that the packet can be transferred to the second terminal after performing a security check on the packet. .
請求項2に記載の発明は、請求項1に記載の暗号化パケット転送方法において、前記セッション制御サーバが、前記第1の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、この受信したセッション制御情報における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第2の端末へ送信し、この第2の端末から、前記受信したセッション制御情報の応答を受信したとき、前記受信したセッション制御情報の応答における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第1の端末へ送信し、前記第1の端末および前記第2の端末はそれぞれ、前記IKEにより、前記セッション制御情報または前記セッション制御情報の応答に示されるアドレスの中継装置との間で、前記SAに関する情報を交換して、IPsecSAを確立することを特徴とする。
The invention according to
このような方法によれば、セッション制御サーバが、第1の端末および第2の端末に対し、中継装置のアドレスを通知するので、第1の端末および第2の端末がEnd-to-End暗号化通信をするとき、どの中継装置との間でIPsecSAを確立すればよいかを知ることができる。 According to such a method, the session control server notifies the address of the relay device to the first terminal and the second terminal, so that the first terminal and the second terminal are end-to-end encryption. When performing encrypted communication, it is possible to know which relay device should establish IPsec SA.
請求項3に記載の発明は、請求項2に記載の暗号化パケット転送方法において、前記通信システムは、前記中継装置を複数含んで構成され、前記セッション制御サーバは、前記第1の端末のアドレスのドメインごとに、当該ドメインを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した中継装置アドレス情報を記憶部に記憶し、前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、前記受信したセッション制御情報に含まれる前記第1の端末のアドレスのドメイン名をキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択し、前記選択した中継装置宛に、前記中継装置制御情報を送信することを特徴とする。 According to a third aspect of the present invention, in the encrypted packet transfer method according to the second aspect, the communication system includes a plurality of the relay devices, and the session control server includes an address of the first terminal. For each domain, the relay device address information indicating the address of the relay device to which the encrypted packet transmitted from the first terminal having the domain is transferred is stored in a storage unit, and the session control server When session control information is received from one terminal, the first domain name of the address of the first terminal included in the received session control information is used as a key from the relay apparatus indicated in the relay apparatus address information. Select a relay device that forwards the encrypted packet transmitted from the terminal, and send the relay device control information to the selected relay device. Characterized by trust.
このような方法によれば、セッション制御サーバが、複数の中継装置から暗号化パケットを中継する中継装置を選択するとき、第1の端末のアドレスのドメインをもとに中継装置を選択することができる。従って、セッション制御サーバは、例えば、第1の端末の属するネットワークに近い中継装置を選択することができる。なお、第1の端末のアドレスは、例えば、SIP−URI(Session Initiation Protocol- Uniform Resource Identifier)を用い、アドレスのドメイン名とは、例えばSIP−UR「xxx@aaa.co.jp」というアドレスでいうと、「aaa.co.jp」の部分をいう。 According to such a method, when the session control server selects a relay device that relays an encrypted packet from a plurality of relay devices, the session control server can select the relay device based on the domain of the address of the first terminal. it can. Therefore, for example, the session control server can select a relay device close to the network to which the first terminal belongs. The address of the first terminal uses, for example, SIP-URI (Session Initiation Protocol-Uniform Resource Identifier), and the domain name of the address is, for example, an address of SIP-UR “xxx@aaa.co.jp”. In other words, it refers to the part “aaa.co.jp”.
請求項4に記載の発明は、請求項3に記載の暗号化パケット転送方法において、前記中継装置アドレス情報は、前記第1の端末のIP(Internet Protocol)アドレスごとに、当該IPアドレスを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した情報であり、前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、このセッション制御情報の送信元である前記第1の端末のIPアドレスをキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択することを特徴とする。
The invention according to
このような方法によれば、セッション制御サーバが、複数の中継装置から暗号化パケットを中継する中継装置を選択するとき、第1の端末のIPアドレスをもとに中継装置を選択することができる。従って、セッション制御サーバは、例えば、第1の端末のIPアドレスにおけるネットワークアドレスを参照して、第1の端末の属するネットワークに近い中継装置を選択することができる。 According to such a method, when the session control server selects a relay device that relays encrypted packets from a plurality of relay devices, the relay device can be selected based on the IP address of the first terminal. . Therefore, for example, the session control server can select a relay device close to the network to which the first terminal belongs by referring to the network address in the IP address of the first terminal.
請求項5に記載の発明は、請求項2に記載の暗号化パケット転送方法において、前記通信システムは、複数の前記中継装置およびこの複数の中継装置それぞれの処理負荷状況を監視する負荷監視サーバを含んで構成され、前記セッション制御サーバが、前記第1の端末および前記第2の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、前記負荷監視サーバから、前記複数の中継装置それぞれの処理負荷情報を受信し、前記受信した処理負荷情報において最も処理負荷の小さい中継装置を、前記第1の端末から送信された暗号化パケットを転送する中継装置として選択することを特徴とする。 According to a fifth aspect of the present invention, in the encrypted packet transfer method according to the second aspect, the communication system includes a plurality of the relay devices and a load monitoring server that monitors a processing load status of each of the plurality of relay devices. When the session control server receives session control information including a communication request for the encrypted packet from the first terminal and the second terminal, the load monitoring server The processing load information of each relay device is received, and the relay device having the smallest processing load in the received processing load information is selected as the relay device for transferring the encrypted packet transmitted from the first terminal. And
このような方法によれば、セッション制御サーバが、暗号化パケットを中継する中継装置を選択するとき、最も処理負荷の小さい中継装置を選択するので、End-to-End暗号化通信における通信速度の低下を防ぐことができる。 According to such a method, when the session control server selects the relay device that relays the encrypted packet, the relay device with the smallest processing load is selected, so the communication speed of the end-to-end encrypted communication is reduced. Decline can be prevented.
請求項6に記載の発明は、請求項2ないし請求項5のいずれか1項に記載の暗号化パケット転送方法において、前記セッション制御サーバが、前記第1の端末および前記第2の端末へ、当該第1の端末と第2の端末それぞれにおける暗号化パケットの送受信に用いる暗号鍵を配布し、前記第1の端末および前記第2の端末は、前記配布された暗号鍵を用いて、前記セッション制御情報に示される中継装置との間でセキュリティパスを確立することを特徴とする。 According to a sixth aspect of the present invention, in the encrypted packet transfer method according to any one of the second to fifth aspects, the session control server sends the first terminal and the second terminal, An encryption key used for transmission / reception of an encrypted packet in each of the first terminal and the second terminal is distributed, and the first terminal and the second terminal use the distributed encryption key to transmit the session A security path is established with the relay device indicated in the control information.
このような方法によれば、セッション制御サーバが暗号鍵を配布し、この配布された暗号鍵を用いて、第1の端末、第2の端末、中継装置において、IKEによる鍵交換を行わなくてもIPsecSAを確立することができる。 According to such a method, the session control server distributes the encryption key, and the first terminal, the second terminal, and the relay device do not perform key exchange by IKE using the distributed encryption key. Can also establish an IPsec SA.
請求項7に記載の発明は、請求項1ないし請求項6のいずれか1項に記載の暗号化パケット転送方法において、前記中継装置が、外部の装置から前記セキュリティチェックを実行するか否かの指示入力を受け付け、前記セキュリティチェックを実行する指示入力を受け付けたとき、前記セキュリティチェックを実行することを特徴とする。
The invention according to claim 7 is the encrypted packet transfer method according to any one of
このような方法によれば、第1の端末と第2の端末との間のEnd-to-End暗号化通信を行うとき、当該中継装置においてパケットのセキュリティチェックをするか否かをオペレータ等が設定することができる。 According to such a method, when performing end-to-end encrypted communication between the first terminal and the second terminal, an operator or the like determines whether or not to perform a packet security check in the relay device. Can be set.
請求項8に記載の発明は、第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する中継装置であって、前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信する入出力部と、IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶するSA処理部と、前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを対応付けた通信セッション情報を作成し、前記記憶部に記憶する通信セッション情報処理部と、前記第1の端末から受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索するポリシ管理部と、前記検索されたSAに関する情報を用いて前記暗号化パケットを復号する復号部と、前記復号したパケットに対し、セキュリティチェックを実行するセキュリティ処理部と、前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、前記復号したパケットの宛先アドレスを、前記検索した前記第2の端末のアドレスに書き換えるIPアドレス変換部と、前記検索されたSPI値をキーとして、前記ポリシ管理部により前記記憶部から検索された前記第2の端末との間のSAに関する情報を用いて、前記セキュリティチェックを実行したパケットを暗号化し、前記暗号化したパケットを、前記第2の端末へ送信する暗号化部とを備えることを特徴とする。 The invention according to claim 8 is a session control server that performs session control between the first terminal and a second terminal that communicates with the first terminal, the first terminal, and the second terminal. In a communication system including a relay device that forwards encrypted packets transmitted / received between the relay device and the relay device, the relay device decrypts the encrypted packet received from the first terminal and forwards the encrypted packet to the second terminal. Call identification, which is a relay device, from the session control server, the addresses of the first terminal and the second terminal, and signaling session identification information between the first terminal and the second terminal An SA (Security) including the call identification information between the first terminal and the second terminal by an IKE (Internet Key Exchange) and an input / output unit that receives relay device control information including the information. A ssociation) to exchange information, establish an IPsec SA, store the SA information in the storage unit, the received relay device control information, and the SA information stored in the storage unit. And for each of the call identification information, addresses of the first terminal and the second terminal corresponding to the call identification information, and SAs between the first terminal and the second terminal, respectively. Create communication session information in association with an SPI value (Security Parameters Index), and store the communication session information processing unit stored in the storage unit, and the SPI value included in the encrypted packet received from the first terminal as keys A policy management unit that searches the storage unit for information related to the SA with the first terminal, and the encryption parameter using the searched information about the SA. A decryption unit that decrypts a packet, a security processing unit that performs a security check on the decrypted packet, and a combination of the address of the first terminal and the SPI value included in the packet that has performed the security check. As a key, the communication session information is searched for the address of the second terminal that is the transmission destination of the encrypted packet from the first terminal and the SPI value related to the SA between the second terminal, An IP address conversion unit that rewrites the destination address of the decrypted packet with the address of the searched second terminal, and the policy management unit searches the storage unit by using the searched SPI value as a key. The packet on which the security check has been executed is encrypted using information about the SA between the two terminals. And an encryption unit that transmits the encrypted packet to the second terminal.
このような中継装置によれば、第1の端末と第2の端末との間のEnd-to-End暗号化通信を行うとき、第1の端末と中継装置、第2の端末と中継装置それぞれの間でIKEによりIPsecSAを確立し、セキュリティパスを確立する。従って、中継装置は、第1の端末との間で交換したSAに関する情報を用いて暗号化パケットを復号できるので、このパケットのセキュリティチェックをした上で、第2の端末へ転送することができる。 According to such a relay device, when performing end-to-end encrypted communication between the first terminal and the second terminal, the first terminal and the relay device, and the second terminal and the relay device, respectively. Establishes an IPsec SA by IKE and establishes a security path. Therefore, since the relay apparatus can decrypt the encrypted packet using the information regarding the SA exchanged with the first terminal, the relay apparatus can transfer the packet to the second terminal after performing a security check on the packet. .
請求項9に記載の発明は、コンピュータを、請求項8に記載の中継装置として機能させることを特徴とするプログラムである。 The invention according to claim 9 is a program that causes a computer to function as the relay apparatus according to claim 8.
このようなプログラムによれば、コンピュータを請求項8に記載の中継装置として機能させることができる。 According to such a program, the computer can be caused to function as the relay device according to the eighth aspect.
請求項10に記載の発明は、請求項8に記載の中継装置と、前記第1の端末と前記第2の端末とのセッション制御を行い、前記セッション制御情報を前記中継装置へ送信するセッション制御サーバと、前記セッション制御サーバとのセッション制御プロトコルおよび前記中継装置とのIKEを行うためのIKEプロトコルを備える前記第1の端末および前記第2の端末とを備えることを特徴とする通信システムとした。 Invention of Claim 10 performs session control with the relay apparatus of Claim 8, and the said 1st terminal and said 2nd terminal, and session control which transmits the said session control information to the said relay apparatus A communication system comprising: a server, a session control protocol between the session control server and the IKE protocol for performing an IKE with the relay device. .
このような通信システムによれば、第1の端末と第2の端末との間のEnd-to-End暗号化通信を行うとき、第1の端末と中継装置、第2の端末と中継装置それぞれの間でIKEによりIPsecSAを確立し、セキュリティパスを確立する。そして、中継装置は、第1の端末との間で交換したSAに関する情報を用いて暗号化パケットを復号できるので、このパケットのセキュリティチェックをした上で、第2の端末へ転送することができる。 According to such a communication system, when performing end-to-end encrypted communication between the first terminal and the second terminal, the first terminal and the relay device, and the second terminal and the relay device, respectively. Establishes an IPsec SA by IKE and establishes a security path. The relay device can decrypt the encrypted packet by using the information related to the SA exchanged with the first terminal, so that the packet can be transferred to the second terminal after performing a security check on the packet. .
本発明によれば、End-to-End暗号化通信において、ネットワークの中継装置がパケットのセキュリティチェックを行うことができる。従って、IPネットワークにおいて通信内容の機密性と安全性との両方を向上させることができる。 According to the present invention, a network relay device can perform a packet security check in end-to-end encrypted communication. Accordingly, it is possible to improve both confidentiality and security of communication contents in the IP network.
以下、本発明を実施するための最良の形態(以下、実施の形態という)を、第1の実施の形態から第4の実施の形態に分けて説明する。 Hereinafter, the best mode for carrying out the present invention (hereinafter referred to as an embodiment) will be described by dividing it from the first embodiment to the fourth embodiment.
≪第1の実施の形態≫
図1は、本発明の第1の実施の形態の通信システムの構成例を示す図である。
<< First Embodiment >>
FIG. 1 is a diagram illustrating a configuration example of a communication system according to a first embodiment of this invention.
図1に示すように、第1の実施の形態の通信システムは、セッションの発側端末(第1の端末)1(1A)と、このセッションの着側端末(第2の端末)1(1B)と、この発側端末1Aと着側端末1Bとの間のセッション制御を行うSIP(Session Initiation Protocol)サーバ3と、発側端末1Aと着側端末1Bとの間で送受信されるパケットを転送する中継装置4とを含んで構成される。このSIPサーバ3および中継装置4は、例えば、IP網内に設置される装置である。
As shown in FIG. 1, the communication system according to the first embodiment includes a session originating terminal (first terminal) 1 (1A) and a destination terminal (second terminal) 1 (1B) of this session. ), And a SIP (Session Initiation Protocol)
この発側端末1Aおよび着側端末1Bは、SIP等、IP網を介した各種データの送受信のためのセッション制御プロトコルを備えるコンピュータである。また、この発側端末1Aおよび着側端末1Bは、自動鍵交換プロトコルであるIKEを備え、このIKEにより他の端末(例えば、中継装置4)との間でセキュリティアソシエーション(SA)を行い、IPsec等のセキュリティパスを確立する。そして、発側端末1Aおよび着側端末1Bは、このセキュリティパスにより暗号化通信を行う。
The originating
SIPサーバ(セッション制御サーバ)3は、この発側端末1Aと着側端末1Bとの間のセッション制御を行うコンピュータである。このSIPサーバ3は、発側端末1Aから、着側端末1Bとのセッション制御の開始要求を受け付けると、セッション制御の開始要求を着側端末1Bに転送する。このときあわせて、両端末間のパケット転送を行う中継装置4のアドレスも通知する。そして、SIPサーバ3は、着側端末1Bからセッション制御OKの応答を受信すると、この発側端末1Aおよび着側端末1Bのアドレス(IPアドレス)を中継装置4へ通知する。また、SIPサーバ3は、発側端末1Aへ中継装置4のアドレスを通知する。この後、発側端末1Aおよび着側端末1Bはこの通知されたアドレスの中継装置4との間でIKEを実行し、セキュリティパスを確立する。そして、発側端末1Aおよび着側端末1Bは、この中継装置4との間で確立したセキュリティパスを用いてEnd-to-End暗号化通信を行う。つまり、中継装置4は発側端末1Aおよび着側端末1Bそれぞれとの間でセキュリティパスを確立することになるので、発側端末1Aから受信した暗号化パケットをいったん復号し、この復号したパケットに対しセキュリティチェック等を行った後、暗号化して着側端末1Bへ転送することができる。なお、前記した通信システムにおいて、発側端末1A、着側端末1Bはそれぞれ複数台であってもよい。
The SIP server (session control server) 3 is a computer that performs session control between the calling
<SIPサーバ>
次に、図2(a)を用いて、SIPサーバ3の構成を詳細に説明する。図2(a)は、各実施の形態におけるSIPサーバの構成を示す図である。なお、SIPサーバ3A,3B,3Cについては、第2の実施の形態以降で説明する。
<SIP server>
Next, the configuration of the
SIPサーバ3は、入出力部31と、通信処理部32と、記憶部33とを含んで構成される。
The
入出力部31は、セッション制御パケット、中継装置制御パケット、中継装置アドレス情報331(後記)の設定情報等、各種データの入出力を司るインタフェースである。
The input /
通信処理部32は、外部の装置との通信処理を実行する。この通信処理部32は、発側端末1Aや着側端末1Bとの間で制御パケットの送受信を行うセッション制御処理部320、中継装置4を制御する中継装置制御部321とを備える。なお、破線で示した負荷状況取得部322は、第4の実施の形態で説明する。
The
セッション制御処理部320は、発側端末1Aおよび着側端末1Bとの間のセッション制御を行う。具体的には、発側端末1Aからセッション制御開始要求であるINVITE要求パケットを受信すると、このINVITE要求パケットを着側端末1Bへ転送する。このとき、セッション制御処理部320は、記憶部33の中継装置アドレス情報331(後記)に記録される中継装置4のIPアドレスを通知する。これにより着側端末1BはEnd-to-End暗号化通信においてパケットを転送する中継装置4のアドレスを知ることができる。つまり、発側端末1AとのEnd-to-End暗号化通信において、どの中継装置4との間でIPsecSAを確立し、セキュリティパスを確立すればよいかを知ることができる。
The session
なお、発側端末1AからのINVITE要求パケットには、セキュア通信要求の有無を示すフラグ(つまり、暗号化が必要か否かを示す情報)、発側端末1AのSIPアドレス(SIP−URI)、着側端末1BのSIP−URI、発側端末1AのIPアドレス、Call-ID等を含む。Call-ID(呼識別情報)は、着側端末1Bとの通信のシグナリングセッション識別情報であり、当該発側端末1Aが発行する。
The INVITE request packet from the calling
また、セッション制御処理部320は、着側端末1Bから、このINVITE要求パケットの応答を受信すると、発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびこの発側端末1Aから受信したCall-IDとを対応付けたセッション制御情報332(後記)に記録しておく。
In addition, when the session
中継装置制御部321は、記憶部33のセッション制御情報332に示されるEnd-to-End暗号化通信の両端となる端末(発側端末1Aおよび着側端末1B)のIPアドレスと、Call-IDとを含む中継装置制御パケットを中継装置4へ送信する。つまり、中継装置制御部321は、中継装置4にこの発側端末1Aと着側端末1Bとの間でIPsecSAを確立し、セキュリティパスを確立するよう指示する。
The relay
記憶部33は、中継装置4のIPアドレスを示した中継装置アドレス情報331と、前記したセッション制御情報332とを備える。なお、セッション制御情報332は、ここでは図示を省略するが発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびこの発側端末1Aから受信したCall-IDを対応付けて記録した情報である。また、この中継装置アドレス情報331は、入出力部31経由でオペレータ等が書き換え可能である。このようにすることで、オペレータが所望する中継装置4を、発側端末1Aと着側端末1Bとの間で中継する中継装置4に設定可能である。なお、中継装置アドレス情報331A,331Bは、第2の実施の形態および第3の実施の形態で説明する。また、破線で示した負荷状況情報333は、第4の実施の形態で説明する。
The storage unit 33 includes relay
入出力部31は、外部装置とのデータ入出力を行う入出力インタフェースから構成される。また、通信処理部32は、このSIPサーバ3が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。記憶部33は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体により構成される。また、通信処理部32の機能をプログラム実行処理により実現する場合、記憶部33には、この通信処理部32の機能を実現するためのプログラムが格納される。
The input /
<発側端末および着側端末>
次に、図2(b)を用いて、発側端末1Aおよび着側端末1Bの構成を説明する。図2(b)は、各実施の形態における発側端末および着側端末の構成を示す図である。この発側端末1Aおよび着側端末1Bは同じ構成であるので、以下、まとめて端末1として説明する。端末1は、入出力部11と、通信処理部12と、記憶部13とを含んで構成される。
<Calling terminal and called terminal>
Next, the configuration of the originating
入出力部11は、SIPサーバ3との間で送受信するセッション制御パケット、IPsecSAに関する情報、暗号化パケット等、各種データの入出力を司るインタフェースである。
The input / output unit 11 is an interface that controls input / output of various data such as a session control packet transmitted / received to / from the
通信処理部12は、外部の装置との通信処理を実行する。この通信処理部12は、SIP等のセッション制御プロトコル、IKE等の自動鍵交換プロトコルを備え、例えば、SIPサーバ3へセッション制御パケットの送受信をしたり、IKEにより中継装置4との間でIPsecSAを確立して、暗号化通信を行ったりする。
The
このような通信処理部12は、セッション制御処理部120と、SA処理部121、ポリシ管理部122と、暗号化部123と、復号部124とを含んで構成される。
The
セッション制御処理部120は、SIPサーバ3との間でセッション制御パケットの送受信を行う。具体的には、発側端末1Aとなる端末1は、着側端末1Bとの間で通信を行うとき、この着側端末1Bとの間の通信の識別情報であるCall-IDを発行する。そして、SIPサーバ3へ、セキュア通信要求の有無を示すフラグ、発側端末1AのSIP−URI、着側端末1BのSIP−URI、発側端末1AのIPアドレス、前記発行したCall-ID等を含むINVITE要求パケットを送信する。この後、SIPサーバ3から、この送信したINVITE要求パケットに対する応答を受信すると、この応答に含まれる中継装置4のアドレス、Call-ID等の情報を記憶部13のセッション制御情報131として記録する。なお、このセッション制御処理部120は、前記したSIP−URIの名前解決を行い、このSIP−URIに対応するIPアドレスを特定する機能を有するものとする。
The session
SA処理部121は、SIPサーバ3から通知された中継装置4に対して、IKEによりIPsecSAの折衝を行い、このときの折衝結果を当該SAに関する情報としてSAD132(後記)に登録する。
The
ポリシ管理部122は、この通信パケットの属性を示すヘッダ情報を参照して、前記したSPD133からこの通信パケットのセキュリティポリシを検索し、この通信パケットに対するセキュリティポリシを決定する。また、ポリシ管理部122は、SAD132から、この通信データのSAに関する情報を検索する。そして、この検索結果(セキュリティポリシおよびSA)に基づいて、通信データの処理内容を決定する。この後、通信パケットに暗号化が必要ならば、その旨と暗号化に用いるSAに関する情報とを暗号化部123へ出力する。また、復号が必要ならばその旨と復号に用いるSAに関する情報とを復号部124へ出力する。
The
暗号化部123は、ポリシ管理部122により決定された処理内容(SAに関する情報)を用いて、パケットを暗号化する。
The
復号部124は、ポリシ管理部122により決定された処理内容(SAに関する情報)を用いて、パケットを復号する。
The
記憶部13は、セッション制御情報131と、SAD132と、SPD133とを備える。
The storage unit 13 includes
セッション制御情報131は、通信相手である端末1のアドレスや、Call-ID、その端末1とのEnd-to-End暗号化通信を行うときに中継する中継装置4のIPアドレス等を示した情報である。
The
SAD132は、この端末1が確立したIPsecSAに関する情報(SAに関する情報)を記憶する。このSAに関する情報は、通信パケットの終点IPアドレス(宛先IPアドレス)、IPsecプロトコルの種類、各SAのパラメータを識別するための値であるSPI、暗号化アルゴリズム、暗号化鍵に関する情報のほか、様々な情報が記述される。このSAD132は、中継装置4のSAD432と同様なので、中継装置4の説明の項で詳細に述べる。
The
SPD133は、暗号化を行う/行わないといった通信パケットのセキュリティポリシを記憶する。また、このセキュリティポリシは、暗号化部123がパケットを暗号化するときのカプセル化モード、暗号化アルゴリズムや認証アルゴリズムに関する情報も含んでいる。このセキュリティポリシに関する情報の具体例は、図6を用いて後記する。このSPD133も、中継装置4のSPD433と同様なので、中継装置4の説明の項で詳細に述べる。
The
入出力部11は、外部装置とのデータ入出力を行う入出力インタフェースから構成される。また、通信処理部12は、この端末1が備えるCPUによるプログラム実行処理や、専用回路等により実現される。記憶部13は、RAM、ROM、HDD、フラッシュメモリ等の記憶媒体により構成される。また、通信処理部12の機能をプログラム実行処理により実現する場合、記憶部13には、この通信処理部12の機能を実現するためのプログラムが格納される。
The input / output unit 11 includes an input / output interface that performs data input / output with an external device. The
<中継装置>
次に、図3を用いて、中継装置4の構成を説明する。図3は、各実施の形態における中継装置の構成を示す図である。なお、中継装置4A,4B,4Cについては、第2の実施の形態以降で説明する。
<Relay device>
Next, the configuration of the
中継装置4は、入出力部41と、通信処理部42と、記憶部43とを含んで構成される。
The
入出力部41は、セッション制御パケットや、IKEにより交換される情報、暗号化パケットの入出力を司るインタフェースである。
The input /
通信処理部42は、SIPサーバ3、発側端末1A、着側端末1B等、外部の装置との通信処理を実行する。この通信処理部42は、SIPサーバ3から中継装置制御パケットを受信すると、発側端末1Aおよび着側端末1Bとの間でIPsecSAを確立し、暗号化通信を行う。
The
このような通信処理部42は、通信セッション情報処理部420と、SA処理部421と、ポリシ管理部422と、暗号化部423と、復号部424と、IPアドレス変換部425と、セキュリティ処理部426とを含んで構成される。
Such a
通信セッション情報処理部420は、SIPサーバ3から中継装置制御パケットを受信すると、この情報を通信セッション情報431として記憶部43に記憶する。そして、SA処理部421に対して、この通信セッション情報431に示される発側端末1Aおよび着側端末1Bとの間でセキュリティパス確立のためのSA折衝を行うように指示する。あるいは、SA処理部421に対して、発側端末1Aまたは着側端末1B側からのSA折衝に応じるように指示する。また、通信セッション情報処理部420は、SA処理部421が発側端末1Aおよび着側端末1BとのSA折衝を完了すると、このSA折衝結果に示されるSPIを、通信セッション情報431に記録する。この通信セッション情報431の詳細は図を用いて後記する。
When receiving the relay device control packet from the
SA処理部421は、通信セッション情報処理部420からの指示に基づき、発側端末1Aおよび着側端末1Bとの間でIKEを用いたSA折衝を行う。ここでのSA折衝は、中継装置制御パケットに示されるCall-IDを用いたIKEの実行処理により行われる。ここで、SA処理部421において発側端末1Aや着側端末1Bとの間でSA折衝が完了すると、このSA折衝結果をSAD432(後記)に登録する。
Based on an instruction from the communication session
ポリシ管理部422は、通信パケットの属性を示すヘッダ情報を参照して、SPD433(後記)からこの通信パケットのセキュリティポリシを検索し、セキュリティポリシを決定する。また、ポリシ管理部422は、SAD432から、この通信データのSAに関する情報を検索する。そして、この検索結果(セキュリティポリシおよびSAに関する情報)に基づいて、通信データの処理内容を決定する。この後、通信パケットに暗号化が必要ならば、その旨と当該暗号化に用いるSAに関する情報とを暗号化部423へ出力する。また、復号が必要ならばその旨と当該復号に用いるSAに関する情報とを復号部424へ出力する。
The
暗号化部423は、ポリシ管理部122により決定された処理内容(SAに関する情報)を用いて、パケットを暗号化する。
The
復号部424は、ポリシ管理部122により決定された処理内容(SAに関する情報)を用いて、パケットを復号する。
The
IPアドレス変換部425は、発側端末1Aから送信された暗号化パケットの宛先アドレスを、End-to-End暗号化通信における他端となる端末1(着側端末1B)のアドレスに変換する。つまり、通信処理部42は、発側端末1Aから暗号化パケットを受信すると、このパケットのアドレスを中継装置4のアドレスから着側端末1Bのアドレスに付けかえる。具体的には、復号部424がこの暗号化パケットを復号すると、IPアドレス変換部425が、この発側端末1AのIPアドレスとこの暗号化パケットのSPIとの組み合わせをキーとして、通信セッション情報431から、このパケットが到達すべき着側端末1BのIPアドレスを検索する。次に、IPアドレス変換部425は、復号したパケットの宛先を中継装置4のアドレスから前記検索した着側端末1BのIPアドレスに変換する。そして、このIPアドレス変換後のパケットを暗号化部423で暗号化して、着側端末1Bへ送信する。
The IP
セキュリティ処理部426は、発側端末1Aから送信された暗号化パケットを復号部424でいったん復号した後、このパケットに対しセキュリティチェック(ウィルスやワーム等の検出や削除)を行う。なお、このセキュリティ処理部426は、中継装置4の外部に設けるようにしてもよい。すなわち、通信処理部42は、復号したパケットを外部のセキュリティチェック装置でセキュリティチェックを行い、このチェック後のパケットを暗号化した着側端末1Bへ送信するようにしてもよい。さらに、ネットワークの管理者等が、このセキュリティ処理部426によるセキュリティチェックの実行の要否の指示入力を、入出力部41経由で設定し、このセキュリティ処理部426においてこのセキュリティチェックを実行する指示入力を受け付けたとき、セキュリティチェックを行うようにしてもよい。
The
記憶部43は、前記した通信セッション情報431と、SAD432と、SPD433とを備える。
The storage unit 43 includes the
図4は、各実施の形態における通信セッション情報の例を示す図である。通信セッション情報431は、図4に示すように、通信セッション番号ごとに、このセッションのCall-IDと、このCall-IDに対応する発側端末1Aのアドレスおよび着側端末1Bのアドレスと、この発側端末1Aと中継装置4と間のSAに関するSPIと、中継装置4と着側端末1Bとの間のSAに関するSPIとを示した情報である。
FIG. 4 is a diagram illustrating an example of communication session information in each embodiment. As shown in FIG. 4, the
例えば、図4における通信セッション番号「1」は、Call-ID「100」のセッションに関する情報であり、発側端末1AのIPアドレス「x」であり、着側端末1BのIPアドレスは「y」であり、発側端末1Aと中継装置4と間のSAに関するSPIは「1000」であり、中継装置4と着側端末1Bとの間のSAに関するSPIは「2000」であることを示す。
For example, the communication session number “1” in FIG. 4 is information related to the session with Call-ID “100”, the IP address “x” of the calling
中継装置4がこのような通信セッション情報431を備えることで、中継装置4が発側端末1Aから暗号化パケットを受信したとき、この暗号化パケットのアドレスをどのアドレスに変換すればよいかを知ることができる。つまり、発側端末1Aと着側端末1Bとの間の暗号化通信において、中継装置4が発側端末1Aから受信するパケットの宛先アドレスは中継装置4のアドレスである。ここで、中継装置4が通信セッション情報431を参照することで、この発側端末1Aから受信した暗号化パケットのSPI(例えば「1000」)および発側端末1Aのアドレス(例えば「x」)との組み合わせから、当該パケットの転送先である着側端末1Bのアドレス(例えば「y」)を知ることができる。
Since the
SAD432は、SA処理部421によるSA折衝結果(SAに関する情報)を記憶する。このSAに関する情報は、発側端末1A(IPアドレス「x」)と中継装置4、中継装置4と着側端末1B(IPアドレス「y」)それぞれのSAに関する情報を含む。図5は、各実施の形態におけるSADの例を示す図である。SAに関する情報は、図5に例示するように、SAD432において通信パケットの終点IPアドレス(IPアドレス)、IPsecプロトコルの種類、各SAを識別するための値であるSPI、暗号化アルゴリズム、暗号化鍵に関する情報等が記録される。なお、図示を省略しているが、このSAD432は、中継装置4が出力する通信パケットに関するSAを記憶した出力用SADと、中継装置4が受信する通信パケットのSAを記憶した入力用SADとの2種類のSADで構成される。
The
SPD433は、パケットの暗号化を行う(IPsecを適用する)/行わない(IPsecを適用しない)といった通信パケットのセキュリティポリシを記憶する。図6は、各実施の形態におけるSPDの例を示す図である。このセキュリティポリシは、図6に示すように、各処理内容を適用する優先順位と、処理対象である通信データパケットの始点のIPアドレス(発側端末1A)と、終点のIPアドレス(着側端末1B)と、プロトコルと、宛先ポートと、これらの項目(セレクタ)に該当する通信パケットに適用する処理内容に関する情報とを含んで構成される。この処理内容に関する情報は、暗号化部423がIPsecを適用する場合のカプセル化モード、暗号化アルゴリズムや認証アルゴリズムに関する情報も含んでいる。図6に示すSPD433において、発側端末1Aと、着側端末1Bとの間で「apply IPsec(IPsecを適用する)」が選択されていることを示す。また、図示を省略しているが、このSPD433も、中継装置4が出力する通信パケットに関するセキュリティポリシを記憶した出力用SPDと、中継装置4が受信する通信パケットのSAを記憶した入力用SPDとの2種類のSPDで構成される。
The
入出力部41は、外部装置とのデータ入出力を行う入出力インタフェースから構成される。また、通信処理部42は、この端末1が備えるCPUによるプログラム実行処理や、専用回路等により実現される。記憶部43は、RAM、ROM、HDD、フラッシュメモリ等の記憶媒体により構成される。また、通信処理部42の機能をプログラム実行処理により実現する場合、記憶部43には、この通信処理部42の機能を実現するためのプログラムが格納される。
The input /
<動作手順>
次に、図7を用いて、図1の通信システムの動作手順を説明する(適宜、図2〜図6参照)。図7は、図1の通信システムの動作手順を示す図である。
<Operation procedure>
Next, the operation procedure of the communication system of FIG. 1 will be described with reference to FIG. 7 (see FIGS. 2 to 6 as appropriate). FIG. 7 is a diagram showing an operation procedure of the communication system of FIG.
まず、発側端末1Aのセッション制御処理部120(図2(b)参照)は、セッション制御の開始を示すINVITE要求パケット(セッション制御情報)に、セキュア通信要求を示すフラグ、発側端末1AのSIP−URI、着側端末1BのSIP−URI、発側端末1AのIPアドレス、Call-ID等を含めてSIPサーバ3へ、送信する(S81)。
First, the session control processing unit 120 (see FIG. 2B) of the calling
次に、SIPサーバ3のセッション制御処理部320は、INVITE要求パケットを着側端末1Bへ転送する(S82)。このとき、セッション制御処理部320は、発側端末1Aから受信したINVITE要求パケットにセキュア通信要求を示すフラグが付されているのを確認すると、このパケット含まれる送信元アドレス(発側端末1AのIPアドレス)を、中継装置4のIPアドレスに書き換えて、転送する。このようにすることで、SIPサーバ3は着側端末1Bに発側端末1Aとの通信においてセキュリティパスを確立すべき中継装置4を通知することができる。なお、セキュア通信要求が無しの場合は、SIPサーバ3は発側端末1AのIPアドレスはそのままにしてINVITE要求パケットを着側端末1Bへ送信する。
Next, the session
着側端末1Bのセッション制御処理部120はSIPサーバ3からINVITE要求パケットを受信すると、このパケットに含まれるCall-IDと、中継装置4のIPアドレスをセッション制御情報131に記録する(S83)。
When receiving the INVITE request packet from the
そして、着側端末1Bのセッション制御処理部120は、INVITE要求パケットの応答である200OKパケットに、セキュア通信要求を示すフラグ、着側端末1BのSIP−URI、発側端末1AのSIP−URI、着側端末1BのIPアドレス、Call-ID等の情報を含めてSIPサーバ3へ送信する(S84)。
Then, the session
SIPサーバ3のセッション制御処理部320は、着側端末1Bから送信されたパケットを確認し、セキュア通信要求を示すフラグがあった場合、中継装置制御部321により、発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびCall-IDを含む中継装置制御要求(中継装置制御パケット)を中継装置4へ送信する(S85)。これにより中継装置4は、End-to-End暗号化通信の発側端末1Aおよび着側端末1BのIPアドレスと、そのCall-IDを知ることができる。なお、S82において、SIPサーバ3のセッション制御処理部320は、着側端末1Bから送信されたパケットを確認し、セキュア通信要求を示すフラグがなかった場合、着側端末1BのIPアドレスはそのままにして、200OKパケットを発側端末1Aへ送信する。
The session
中継装置4の通信セッション情報処理部420(図3参照)は、中継装置制御要求に含まれる発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびCall-IDを通信セッション情報433(図4参照)に登録する。つまり、End-to-End通信のセッション生成を行う(S86)。そして、通信セッション情報処理部420は、SIPサーバ3へ中継装置制御応答を送信する(S87)。つまり、発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびCall-IDを含む中継装置制御要求を確かに受信したことを中継装置4へ通知する。
The communication session information processing unit 420 (see FIG. 3) of the
SIPサーバ3は、中継装置4から中継装置制御応答を受信すると、S84で受信した200OKパケットに含まれる送信元アドレス(着側端末1BのIPアドレス)を、中継装置4のIPアドレスに書き換えて発側端末1Aへ送信する(S88)。このようにすることで、SIPサーバ3は発側端末1Aに対し、着側端末1Bとの通信においてセキュリティパスを確立すべき中継装置4を通知することができる。
When the
発側端末1Aのセッション制御処理部120は200OKパケットを受信すると、このパケットに含まれるCall-IDと、中継装置4のIPアドレスとをセッション制御情報131に記録する(S89)。
When receiving the 200 OK packet, the session
このようにして発側端末1A、中継装置4および着側端末1B、それぞれにおいて、発側端末1Aと中継装置4、中継装置4と着側端末1Bそれぞれの間で暗号化通信を行う準備が整う。
In this way, preparation is made for performing encrypted communication between the calling
この後、SIPサーバ3が発側端末1AからSIPのACKパケットを受信すると(S90)、SIPサーバ3のセッション制御処理部320はこのACKパケットを着側端末1Bへ転送する(S91)。そして、着側端末1BのSA処理部121はACKパケットを受信すると中継装置4との間でCall-IDを含めたIKEによりSA折衝を行い、IPsecSAを確立する(S92)。また、発側端末1AのSA処理部121は、このACKパケットの送信を契機として、Call-IDを含めたIKEにより、中継装置4との間でSA折衝を行い、IPsecSAを確立する(S93)。つまり、発側端末1Aと中継装置4、中継装置4と着側端末1Bそれぞれの間でセキュリティパスを確立する。
Thereafter, when the
なお、ここでの折衝結果は、SAに関する情報として、着側端末1BのSAD132、中継装置4のSAD432および発側端末1AのSAD132に記録される。また、中継装置4の通信セッション情報処理部40は、S92,S93で確立された発側端末1Aおよび着側端末1BにおけるIPsecSAのSPIを、通信セッション情報431に記録する。例えば、中継装置4がCall-ID「100」を含めたIKEにより、発側端末1A(IPアドレス「x」)とSAを確立したとき、通信セッション情報処理部420は、通信セッション情報431(図4参照)におけるCall-ID「100」、IPアドレス「x」が登録されているレコードに対して、この発側端末1AとのSAに関するSPIを登録する。また、中継装置4がCall-ID「100」を含めたIKEにより、着側端末1B(IPアドレス「y」)とSAを確立したとき、通信セッション情報処理部420は、通信セッション情報431におけるCall-ID「100」、IPアドレス「y」が登録されているレコードに対して、この着側端末1BとのSAに関するSPIを登録する。
The negotiation result here is recorded as SA information in the
そして、中継装置4は発側端末1Aから暗号化パケットを受信すると、ポリシ管理部422において、SPD433からこの発側端末1Aとの通信に関するセキュリティポリシを検索し、SAD432からこの発側端末1Aとの間に確立されたIPsecSAに関する情報を検索する。そして、ポリシ管理部422は、復号部424に対し、これらの検索した情報をもとにパケットの復号を指示する。そして、復号部424によりパケットが復号されると、セキュリティ処理部426は、この復号後のパケットに対し、セキュリティチェックを行う。この後、IPアドレス変換部425は、パケットの送信元IPアドレス(発側端末1A)と、パケットに付されたSPIとの組み合わせと、通信セッション情報431とを参照して、このパケットの転送先のアドレス(着側端末1Bのアドレス)と、この着側端末1BとのIPsecSAに関するSPI値を特定する。そして、IPアドレス変換部425は、復号パケットのアドレスを前記特定した着側端末1Bのアドレスに書き換える。また、ポリシ管理部422は、前記特定したSPI値をキーとして、SPD433からこの着側端末1Bとの通信に関するセキュリティポリシを検索し、SAD432からこの着側端末1Bとの間に確立されたIPsecSAに関する情報を検索する。そして、ポリシ管理部422は、これらの検索結果に基づき、当該パケットに対する処理内容を決定する。次に、ポリシ管理部422は、当該決定した処理内容において暗号化が必要であることを確認すると、暗号化部423に、これらの検索した情報をもとにこのアドレス書き換え後のパケットの暗号化をするよう指示する。そして、暗号化部423において暗号化が完了すると、この暗号化パケットを着側端末1Bへ送信する。つまり、発側端末1Aと着側端末1Bとの間でEnd-to-End暗号化通信を実行する(S94)。
When the
このようにすることで、発側端末1Aと着側端末1BとのEnd-to-End暗号化通信において中継装置4がパケットのセキュリティチェックを行うことが可能となる。また、このように中継装置4がセキュリティチェックを行う場合において、発側端末1Aおよび着側端末1Bは、中継装置4を介したホップバイホップの暗号化通信であることを意識する必要がなくなる。
In this way, the
≪第2の実施の形態≫
次に、図8を用いて、本発明の第2の実施の形態を説明する(適宜、図1〜図7参照)。図8は、第2の実施の形態の通信システムの構成例を示す図である。第2の実施の形態の通信システムは、SIPサーバ3AがIP網内の複数の中継装置4(4A,4B,4C)から、発側端末1Aと着側端末1Bとの中継を行う中継装置4を選択することを特徴とする。なお、前記した第1の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
<< Second Embodiment >>
Next, a second embodiment of the present invention will be described with reference to FIG. 8 (see FIGS. 1 to 7 as appropriate). FIG. 8 is a diagram illustrating a configuration example of a communication system according to the second embodiment. In the communication system of the second embodiment, the
ここでは図8に示すように、通信システムのIP網内に中継装置4(4A,4B,4C)が設置される。そして、SIPサーバ3Aは、発側端末1AのSIP−URIのドメイン名(「@」以降の情報)ごとに、この発側端末1Aからのパケットを中継する中継装置4(4A,4B,4C)のアドレス(制御先)を示した中継装置アドレス情報331Aを備える。そして、SIPサーバ3Aは発側端末1AからINVITE要求パケットを受信すると、中継装置制御部321(図2(a)参照)により、この発側端末1AのSIP−URIのドメイン名と、中継装置アドレス情報331Aとを参照して、この発側端末1Aからの暗号化パケットを中継する中継装置4を選択する。例えば、発側端末1AのSIP−URIのドメイン名が「aaa.co.jp」であった場合、IPアドレスが「192.168.1.100」の中継装置4(例えば、中継装置4A)を選択する。
Here, as shown in FIG. 8, the relay device 4 (4A, 4B, 4C) is installed in the IP network of the communication system. The
なお、この中継装置アドレス情報331Aも、入出力部31(図2(a)参照)経由でオペレータ等が書き換え可能なものとする。このようにすることで、オペレータは、発側端末1Aのアドレスのドメインごとに、この発側端末1Aからの暗号化パケットを中継する中継装置4に設定することができる。
The relay
この第2の実施の形態の通信システムの動作手順を、図9を用いて説明する。図9は、図8の通信システムの動作手順を示す図である。 The operation procedure of the communication system according to the second embodiment will be described with reference to FIG. FIG. 9 is a diagram showing an operation procedure of the communication system of FIG.
まず、発側端末1Aは、前記した図7のS81と同様に、セッション制御の開始を示すINVITE要求パケットを送信する(S11)。そして、SIPサーバ3Aのセッション制御処理部320が、このINVITE要求パケットを受信し、このパケットにセキュア通信要求を示すフラグが付されていることを確認すると、このINVITE要求パケットに含まれる発側端末1AのSIP−URIから、中継装置4を決定(選択)する(S12)。つまり、セッション制御処理部320は、発側端末1AのSIP−URIをキーとして中継装置アドレス情報331Aから中継装置4のIPアドレスを検索し、この検索したIPアドレスの中継装置4を当該発側端末1Aと着側端末1Bとの間を中継する中継装置4として選択する。
First, the originating terminal 1A transmits an INVITE request packet indicating the start of session control, similarly to S81 of FIG. 7 described above (S11). When the session
そして、セッション制御処理部320は、このパケット含まれる発側端末1AのIPアドレスを、S12で選択した中継装置4のIPアドレスに書き換えて、着側端末1Bへ送信する(S13)。この後のS14,S15は、図7のS83,S84と同様である。そして、SIPサーバ3Aの中継装置制御部321は、中継装置制御要求(中継装置制御パケット)を、S12で選択した中継装置4へ送信する(S16)。この後のS25までの処理は、図7のS85〜S94と同様であるので説明を省略する。
Then, the session
このようにすることでSIPサーバ3Aは、複数の中継装置4から暗号化パケットを中継する中継装置4を選択するとき、発側端末1AのSIP−URIのドメインをもとに中継装置4を選択することができる。例えば、中継装置アドレス情報331Aにおいて発側端末1Aと同じドメインを持つネットワーク内の中継装置4を設定しておけば、このSIPサーバ3Aにおいて、発側端末1Aと同じドメインを持つネットワーク内の中継装置4が選択されることになる。従って、SIPサーバ3Aは、この発側端末1Aから比較的近い位置の中継装置4に暗号化パケットを中継させることもできる。
In this way, when the
なお、本実施の形態において、SIPサーバ3Aは、発側端末1AのSIP−URIのドメインをもとに中継装置4を選択することとしたが、着側端末1BのSIP−URIのドメインをもとに中継装置4を選択するようにしてもよい。このようにすることで、例えば、中継装置アドレス情報331Aにおいて着側端末1Bと同じドメインを持つネットワーク内の中継装置4を設定しておけば、このSIPサーバ3Aにおいて、着側端末1Bと同じドメインを持つネットワーク内の中継装置4が選択されることになる。従って、SIPサーバ3Aは、この着側端末1Bから比較的近い位置の中継装置4に暗号化パケットを中継させることもできる。なお、SIP−URIのドメイン部分のみならず、SIP−URI全体(アカウント名を含むアドレス全体)に基づいて中継装置4を選択するようにしてもよい。
In the present embodiment, the
≪第3の実施の形態≫
次に、図10を用いて、本発明の第3の実施の形態を説明する(適宜、図1〜図7参照)。図10は、第3の実施の形態の通信システムの構成例を示す図である。第3の実施の形態の通信システムは、SIPサーバ3Bが中継装置4を選択するとき、発側端末1AのIPアドレスをもとに選択することを特徴とする。前記した第1の実施の形態および第2の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
<< Third Embodiment >>
Next, a third embodiment of the present invention will be described with reference to FIG. 10 (see FIGS. 1 to 7 as appropriate). FIG. 10 is a diagram illustrating a configuration example of a communication system according to the third embodiment. The communication system according to the third embodiment is characterized in that when the
図10に示すように、SIPサーバ3Bは、端末アドレス(発側端末1Aのネットワークアドレス)ごとに、この発側端末1Aからのパケットを中継する中継装置4(4A,4B,4C)のアドレス(制御先)を示した中継装置アドレス情報331Bを備える。そして、SIPサーバ3Bは発側端末1AからSIPのINVITE要求パケットを受信すると、この中継装置アドレス情報331Bと、発側端末1AのIPアドレスとを参照して、この発側端末1Aからの暗号化パケットを中継する中継装置4を選択する。例えば、発側端末1AのIPアドレスが「192.168.1.0」であった場合、ネットワークアドレスは「192.168.1.0/24」なので、IPアドレスが「192.168.1.100」の中継装置4(例えば、中継装置4A)を選択する。
As shown in FIG. 10, for each terminal address (network address of the originating terminal 1A), the
なお、この中継装置アドレス情報331Bも、入出力部31(図2(a)参照)経由でオペレータ等が書き換え可能なものとする。このようにすることで、オペレータは、発側端末1AのIPアドレスごとに、この発側端末1Aからの暗号化パケットを中継する中継装置4に設定することができる。
The relay
SIPサーバ3Bが中継装置4を選択した後の、発側端末1A、着側端末1Bおよび中継装置4の動作手順は、前記した第2の実施の形態と同様なので説明を省略する。
Since the operation procedures of the calling
このようにすることでもSIPサーバ3Bは、発側端末1Aのネットワークに近い中継装置4を選択することができる。例えば、発側端末1Aと同じネットワーク内の中継装置4を選択することができる。
Even in this way, the
なお、このSIPサーバ3Bも、第2の実施の形態と同様、着側端末1BのIPアドレスをもとに中継装置4を決定するようにしてもよい。このようにすることでSIPサーバ3Bは、着側端末1Bのネットワークに近い中継装置4を選択することができる。
Note that the
≪第4の実施の形態≫
次に、図11を用いて、本発明の第4の実施の形態を説明する(適宜、図1〜図7参照)。図11は、第4の実施の形態の通信システムの構成例を示す図である。第4の実施の形態の通信システムは、IP網内に、中継装置4(4A,4B,4C)の負荷状況を監視する負荷監視サーバ5を含む。そして、SIPサーバ3Cは、この負荷監視サーバ5から、IP網内の各中継装置4の負荷状況を取得し、この取得した中継装置4の負荷状況をもとに発側端末1Aと着側端末1Bとの中継を行う中継装置4を選択することを特徴とする。前記した第1の実施の形態、第2の実施の形態および第3の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
<< Fourth Embodiment >>
Next, a fourth embodiment of the present invention will be described with reference to FIG. 11 (see FIGS. 1 to 7 as appropriate). FIG. 11 is a diagram illustrating a configuration example of a communication system according to the fourth embodiment. The communication system of the fourth embodiment includes a load monitoring server 5 that monitors the load status of the relay device 4 (4A, 4B, 4C) in the IP network. Then, the
図11に示すように、第4の実施の形態の通信システムにおいて負荷監視サーバ5は、中継装置負荷監視パケットを送信し、IP網内の中継装置4(4A,4B,4C)の現在の負荷状況を監視する。そして、SIPサーバ3Cは、この負荷監視サーバ5から、IP網内の中継装置4(4A,4B,4C)の負荷状況取得パケットを送信し、このパケットの応答として中継装置4(4A,4B,4C)の負荷状況を取得する。
As shown in FIG. 11, in the communication system according to the fourth embodiment, the load monitoring server 5 transmits a relay device load monitoring packet, and the current load of the relay device 4 (4A, 4B, 4C) in the IP network. Monitor the situation. Then, the
このようなSIPサーバ3Cの通信処理部32は、図2(a)に示すように、中継装置負荷監視パケットを送信し、IP網内の中継装置4(4A,4B,4C)の現在の負荷状況を取得する負荷状況取得部322を含む。また、SIPサーバ3Cの記憶部33は、この取得した中継装置4ごとの負荷状況である負荷状況情報333を備える。
As shown in FIG. 2A, the
図12は、図11の通信システムの動作手順を示す図である。 FIG. 12 is a diagram showing an operation procedure of the communication system of FIG.
負荷監視サーバ5は、図12に示すように、常時、中継装置4(4A,4B,4C)の負荷状況を取得する(S51)。 As shown in FIG. 12, the load monitoring server 5 always acquires the load status of the relay device 4 (4A, 4B, 4C) (S51).
そして、SIPサーバ3Cは、発側端末1AからINVITE要求パケットを受信すると(S52)、負荷状況取得部322(図2(a))により、負荷監視サーバ5に対し、負荷状況の取得要求を送信し(S53)、中継装置4(4A,4B,4C)の負荷状況の取得応答を受信する(S54)。そして、負荷状況取得部322は、この受信した負荷状況を記憶部33の負荷状況情報333として記録する。そして、中継装置制御部321はこの記憶部33に記録された負荷状況情報333をもとに、例えば、最も処理負荷の小さい中継装置4を選択する。つまり、中継装置制御部321は各中継装置4の負荷状況を考慮して最適な中継装置4を決定する(S55)。この後のS68までの処理は、図9のS13〜S25と同様であるので説明を省略する。
When the
このようにすることで、SIPサーバ3Cは最も処理負荷の小さい中継装置4を選択するので、IP網の各中継装置4の処理負荷を分散できる。また、発側端末1Aと着側端末1Bとの間のEnd-to-End暗号化通信において、最も処理負荷の小さい中継装置4を選択できるので、暗号化通信に伴う通信速度の低下を防ぐことができる。
By doing in this way, since the
なお、前記した各実施の形態において、発側端末1Aおよび着側端末1Bと、中継装置4との間でIKEを実行して、IPsecSAを確立することとしたが、これに限定されない。例えば、SIPサーバ3(3A,3B,3C)が暗号鍵を生成し、この生成した暗号鍵を、セッション制御パケットを用いて発側端末1A、着側端末1Bに対して配布するようにしてもよい。すなわち、発側端末1Aおよび着側端末1BはSIPサーバ3からセッション制御パケットにより配布された暗号鍵を用いて、中継装置4との間でIPsecSAを確立するようにしてもよい。このようにすることで、発側端末1Aおよび着側端末1Bは、中継装置4との間でIKEによる鍵交換を行わずに、中継装置4とのIPsecSAを確立できる。
In each of the above-described embodiments, the IKE is executed between the calling
さらに、この暗号鍵の生成は、発側端末1Aおよび着側端末1B側で行うようにしてもよい。この場合、発側端末1Aで生成した暗号鍵は、SIPサーバ3へINVITE要求パケットを送信するとき、あわせて送信する。また、着側端末1Bは、SIPサーバ3からINVITE要求パケットを受信したときに暗号鍵を生成し、この生成した暗号鍵をINVITE要求パケットの応答(200OKパケット)に含めて、SIPサーバ3へ送信する。そして、SIPサーバ3は、発側端末1Aおよび着側端末1Bから送信された暗号鍵を中継装置制御パケットに含めて中継装置4へ送信する。そして、発側端末1Aおよび着側端末1BはSIPサーバ3経由で中継装置4へ通知した暗号鍵を用いて、中継装置4との間でIPsecSAを確立する。このようにすることでも、発側端末1Aおよび着側端末1Bは、中継装置4との間でIKEによる鍵交換を行わずに、中継装置4とのIPsecSAを確立できる。
Further, the generation of the encryption key may be performed on the originating
本実施の形態に係るSIPサーバ3、中継装置4、発側端末1Aおよび着側端末1Bは、前記したような処理を実行させるプログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、インターネット等のネットワークを通して提供することも可能である。
The
なお、前記した各実施の形態において、発側端末1AからSIPサーバ3へ着側端末1Bへのセッション制御要求を送信する場合を例に説明したが、着側端末1Bから発側端末1Aへセッション制御要求を送信する場合も同様である。
In each of the above-described embodiments, the case where a session control request is transmitted from the calling terminal 1A to the
また、発側端末1Aと中継装置4、中継装置4と着側端末1Bとの間でIPsecSAを確立するとき、中継装置4側がイニシエータ(IPsecSAの折衝始動側装置)となってもよいし、発側端末1Aまたは着側端末1B側がイニシエータとなってもよい。さらに、発側端末1A、着側端末1B、中継装置4およびSIPサーバ3にはキーボードやマウス等の入力装置、液晶ディスプレイ等の表示装置が接続されていてもよい。その他についても、本発明の趣旨を逸脱しない範囲で変更可能である。
Further, when establishing an IPsec SA between the originating
1A 発側端末(第1の端末)
1B 着側端末(第2の端末)
3(3A,3B,3C) SIPサーバ(セッション制御サーバ)
4(4A,4B,4C) 中継装置
5 負荷監視サーバ
11,31,41 入出力部
12,32,42 通信処理部
13,33,43 記憶部
120,320 セッション制御処理部
121,421 SA処理部
122,422 ポリシ管理部
123,423 暗号化部
124,424 復号部
131,431 セッション制御情報
132,432 SAD
133,433 SPD
321 中継装置制御部
322 負荷状況取得部
331(331A,311B) 中継装置アドレス情報
332 セッション制御情報
333 負荷状況情報
420 通信セッション情報処理部
425 IPアドレス変換部
426 セキュリティ処理部
1A Originating terminal (first terminal)
1B called terminal (second terminal)
3 (3A, 3B, 3C) SIP server (session control server)
4 (4A, 4B, 4C) Relay device 5
133,433 SPD
321 Relay
Claims (10)
前記中継装置が、
前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信し、
IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶し、
前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを示した通信セッション情報を作成し、前記記憶部に記憶し、
前記第1の端末から、暗号化パケットを受信したとき、
前記受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索し、この検索したSAに関する情報を用いて、前記暗号化パケットを復号し、
前記復号したパケットに対しセキュリティチェックを実行し、
前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、
前記復号したパケットの宛先アドレスを、前記検索した第2の端末のアドレスに書き換え、
前記検索したSPI値をキーとして、前記記憶部から、前記第2の端末との間のSAに関する情報を検索し、
この検索したSAに関する情報を用いて、前記復号したパケットを暗号化し、
この暗号化したパケットを、前記第2の端末へ送信することを特徴とする暗号化パケット転送方法。 A session control server that performs session control between the first terminal and a second terminal that communicates with the first terminal, and encryption that is transmitted and received between the first terminal and the second terminal In a communication system including a relay device that transfers a packet, the encrypted packet transfer method in which the relay device decrypts the encrypted packet received from the first terminal and transfers the packet to the second terminal,
The relay device is
A relay device including, from the session control server, addresses of the first terminal and the second terminal, and call identification information that is signaling session identification information between the first terminal and the second terminal Receive control information,
Information regarding SA (Security Association) including the call identification information is exchanged between the first terminal and the second terminal by IKE (Internet Key Exchange) to establish IPsec SA, and the SA Information on the storage unit,
Using the received relay device control information and information on SA stored in the storage unit, for each call identification information, the first terminal and the second terminal corresponding to the call identification information Creating communication session information indicating an address and an SPI value (Security Parameters Index) regarding the SA between each of the first terminal and the second terminal, and storing the communication session information in the storage unit;
When receiving an encrypted packet from the first terminal,
Using the SPI value included in the received encrypted packet as a key, the storage unit is searched for information regarding the SA with the first terminal, and the encrypted packet is stored using the information regarding the searched SA. Decrypt,
Performing a security check on the decrypted packet;
Using the combination of the address of the first terminal and the SPI value included in the packet for which the security check has been performed as a key, the destination of the encrypted packet from the first terminal is determined from the communication session information. Retrieve the SPI value for the SA between the address of the second terminal and the second terminal;
Rewriting the destination address of the decrypted packet to the address of the retrieved second terminal;
Using the searched SPI value as a key, the storage unit is searched for information related to the SA with the second terminal,
Using the retrieved SA information, the decrypted packet is encrypted,
An encrypted packet transfer method, wherein the encrypted packet is transmitted to the second terminal.
この受信したセッション制御情報における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第2の端末へ送信し、
この第2の端末から、前記受信したセッション制御情報の応答を受信したとき、
この受信したセッション制御情報の応答における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第1の端末へ送信し、
前記第1の端末および前記第2の端末はそれぞれ、前記IKEにより、前記セッション制御情報または前記セッション制御情報の応答に示されるアドレスの中継装置との間で、前記SAに関する情報を交換して、IPsecSAを確立することを特徴とする請求項1に記載の暗号化パケット転送方法。 When the session control server receives session control information including a communication request for the encrypted packet from the first terminal,
The source address in the received session control information is converted into the address of the relay device that transfers the encrypted packet, and transmitted to the second terminal,
When the response of the received session control information is received from the second terminal,
The source address in the response of the received session control information is converted into the address of the relay device that transfers the encrypted packet, and transmitted to the first terminal,
Each of the first terminal and the second terminal exchanges information about the SA with the relay device at the address indicated in the response to the session control information or the session control information by the IKE, The encrypted packet transfer method according to claim 1, wherein IPsec SA is established.
前記セッション制御サーバは、前記第1の端末のアドレスのドメインごとに、当該ドメインを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した中継装置アドレス情報を記憶部に記憶し、
前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、前記受信したセッション制御情報に含まれる前記第1の端末のアドレスのドメイン名をキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択し、
前記選択した中継装置宛に、前記中継装置制御情報を送信することを特徴とする請求項2に記載の暗号化パケット転送方法。 The communication system includes a plurality of the relay devices,
The session control server stores, for each domain of the address of the first terminal, relay apparatus address information indicating an address of a relay apparatus that transfers the encrypted packet transmitted from the first terminal having the domain. Remember in the department,
When the session control server receives session control information from the first terminal, it is indicated in the relay device address information using the domain name of the address of the first terminal included in the received session control information as a key. Selecting the relay device that transfers the encrypted packet transmitted from the first terminal,
3. The encrypted packet transfer method according to claim 2, wherein the relay device control information is transmitted to the selected relay device.
前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、このセッション制御情報の送信元である前記第1の端末のIPアドレスをキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択することを特徴とする請求項3に記載の暗号化パケット転送方法。 The relay apparatus address information is information indicating an address of a relay apparatus that transfers an encrypted packet transmitted from the first terminal having the IP address for each IP (Internet Protocol) address of the first terminal. And
When the session control server receives the session control information from the first terminal, the relay indicated by the relay device address information using the IP address of the first terminal that is the transmission source of the session control information as a key 4. The encrypted packet transfer method according to claim 3, wherein a relay device that transfers an encrypted packet transmitted from the first terminal is selected from an apparatus.
前記セッション制御サーバが、前記第1の端末および前記第2の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、
前記負荷監視サーバから、前記複数の中継装置それぞれの処理負荷情報を受信し、
前記受信した処理負荷情報において最も処理負荷の小さい中継装置を、前記第1の端末から送信された暗号化パケットを転送する中継装置として選択することを特徴とする請求項2に記載の暗号化パケット転送方法。 The communication system includes a plurality of relay devices and a load monitoring server that monitors a processing load status of each of the plurality of relay devices.
When the session control server receives session control information including a communication request for the encrypted packet from the first terminal and the second terminal,
Receiving the processing load information of each of the plurality of relay devices from the load monitoring server;
3. The encrypted packet according to claim 2, wherein the relay device having the smallest processing load in the received processing load information is selected as a relay device for transferring the encrypted packet transmitted from the first terminal. Transfer method.
前記第1の端末および前記第2の端末は、前記配布された暗号鍵を用いて、前記セッション制御情報に示される中継装置との間でIPsecSAを確立することを特徴とする請求項2ないし請求項5のいずれか1項に記載の暗号化パケット転送方法。 The session control server distributes encryption keys used for transmission / reception of encrypted packets in the first terminal and the second terminal to the first terminal and the second terminal,
The first terminal and the second terminal establish an IPsec SA with the relay apparatus indicated by the session control information using the distributed encryption key. 6. The encrypted packet transfer method according to any one of items 5.
前記セキュリティチェックを実行する指示入力を受け付けたとき、前記セキュリティチェックを実行することを特徴とする請求項1ないし請求項6のいずれか1項に記載の暗号化パケット転送方法。 The relay device accepts an instruction input as to whether to execute the security check from an external device,
The encrypted packet transfer method according to claim 1, wherein the security check is executed when an instruction input for executing the security check is received.
前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信する入出力部と、
IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶するSA処理部と、
前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを対応付けた通信セッション情報を作成し、前記記憶部に記憶する通信セッション情報処理部と、
前記第1の端末から受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索するポリシ管理部と、
前記検索されたSAに関する情報を用いて前記暗号化パケットを復号する復号部と、
前記復号したパケットに対し、セキュリティチェックを実行するセキュリティチェック部と、
前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、前記復号したパケットの宛先アドレスを、前記検索した前記第2の端末のアドレスに書き換えるIPアドレス変換部と、
前記検索されたSPI値をキーとして、前記ポリシ管理部により前記記憶部から検索された前記第2の端末との間のSAに関する情報を用いて、前記セキュリティチェックを実行したパケットを暗号化し、前記暗号化したパケットを、前記第2の端末へ送信する暗号化部とを備えることを特徴とする中継装置。 A session control server that performs session control between the first terminal and a second terminal that communicates with the first terminal, and encryption that is transmitted and received between the first terminal and the second terminal In a communication system including a relay device for transferring a packet, the relay device decrypts the encrypted packet received from the first terminal by the relay device and transfers the packet to the second terminal,
A relay device including, from the session control server, addresses of the first terminal and the second terminal, and call identification information that is signaling session identification information between the first terminal and the second terminal An input / output unit for receiving control information;
Information regarding SA (Security Association) including the call identification information is exchanged between the first terminal and the second terminal by IKE (Internet Key Exchange) to establish IPsec SA, and the SA An SA processing unit for storing information on the storage unit;
Using the received relay device control information and information on SA stored in the storage unit, for each call identification information, the first terminal and the second terminal corresponding to the call identification information Communication session information processing that creates communication session information in which an address is associated with an SPI value (Security Parameters Index) related to SA between each of the first terminal and the second terminal, and stores the communication session information in the storage unit And
A policy management unit that searches the storage unit for information related to the SA with the first terminal using an SPI value included in the encrypted packet received from the first terminal as a key;
A decryption unit that decrypts the encrypted packet using the information about the retrieved SA;
A security check unit that performs a security check on the decrypted packet;
Using the combination of the address of the first terminal and the SPI value included in the packet on which the security check has been executed as a key, the communication session information is used as the destination of the encrypted packet from the first terminal. An IP address conversion unit that searches for an SPI value related to the SA between the terminal of the second terminal and the second terminal, and rewrites the destination address of the decoded packet with the address of the second terminal searched for;
Using the retrieved SPI value as a key, the policy management unit encrypts the packet that has been subjected to the security check using information about the SA with the second terminal retrieved from the storage unit, and A relay apparatus comprising: an encryption unit that transmits an encrypted packet to the second terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007130238A JP4892404B2 (en) | 2007-05-16 | 2007-05-16 | Encrypted packet transfer method, relay device, program thereof, and communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007130238A JP4892404B2 (en) | 2007-05-16 | 2007-05-16 | Encrypted packet transfer method, relay device, program thereof, and communication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008288757A true JP2008288757A (en) | 2008-11-27 |
JP4892404B2 JP4892404B2 (en) | 2012-03-07 |
Family
ID=40148097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007130238A Expired - Fee Related JP4892404B2 (en) | 2007-05-16 | 2007-05-16 | Encrypted packet transfer method, relay device, program thereof, and communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4892404B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011193055A (en) * | 2010-03-11 | 2011-09-29 | Fujitsu Ltd | Communication device and communication method |
JP2012129624A (en) * | 2010-12-13 | 2012-07-05 | Fujitsu Ltd | Passage control apparatus, passage control method and passage control program |
JP2013518522A (en) * | 2010-01-28 | 2013-05-20 | インテル・コーポレーション | Method for establishing at least partly a secure communication channel between nodes allowing to at least partly test encrypted communications performed between at least some nodes |
JP2015144436A (en) * | 2009-12-25 | 2015-08-06 | 株式会社リコー | Transmission system and transmission method |
JP2015535669A (en) * | 2012-11-28 | 2015-12-14 | マイクロソフト テクノロジー ライセンシング,エルエルシー | Monitoring encrypted sessions |
JP2016170239A (en) * | 2015-03-12 | 2016-09-23 | Necプラットフォームズ株式会社 | Relay device, communication terminal equipment, security system, and control method |
JP2022503686A (en) * | 2019-09-19 | 2022-01-12 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | Communication connection methods, devices, computer equipment, and computer programs |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS63104540A (en) * | 1986-10-21 | 1988-05-10 | Nec Corp | Repeating system for packet switching network |
JP2005346556A (en) * | 2004-06-04 | 2005-12-15 | Canon Inc | Providing device, and communication device, method and program |
JP2007043598A (en) * | 2005-08-05 | 2007-02-15 | Nec Corp | Communication system, key management/distribution server, terminal device, data communication method for use in them, and program thereof |
-
2007
- 2007-05-16 JP JP2007130238A patent/JP4892404B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS63104540A (en) * | 1986-10-21 | 1988-05-10 | Nec Corp | Repeating system for packet switching network |
JP2005346556A (en) * | 2004-06-04 | 2005-12-15 | Canon Inc | Providing device, and communication device, method and program |
JP2007043598A (en) * | 2005-08-05 | 2007-02-15 | Nec Corp | Communication system, key management/distribution server, terminal device, data communication method for use in them, and program thereof |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015144436A (en) * | 2009-12-25 | 2015-08-06 | 株式会社リコー | Transmission system and transmission method |
JP2013518522A (en) * | 2010-01-28 | 2013-05-20 | インテル・コーポレーション | Method for establishing at least partly a secure communication channel between nodes allowing to at least partly test encrypted communications performed between at least some nodes |
US8873746B2 (en) | 2010-01-28 | 2014-10-28 | Intel Corporation | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes |
JP2011193055A (en) * | 2010-03-11 | 2011-09-29 | Fujitsu Ltd | Communication device and communication method |
JP2012129624A (en) * | 2010-12-13 | 2012-07-05 | Fujitsu Ltd | Passage control apparatus, passage control method and passage control program |
JP2015535669A (en) * | 2012-11-28 | 2015-12-14 | マイクロソフト テクノロジー ライセンシング,エルエルシー | Monitoring encrypted sessions |
JP2016170239A (en) * | 2015-03-12 | 2016-09-23 | Necプラットフォームズ株式会社 | Relay device, communication terminal equipment, security system, and control method |
JP2022503686A (en) * | 2019-09-19 | 2022-01-12 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | Communication connection methods, devices, computer equipment, and computer programs |
JP7301125B2 (en) | 2019-09-19 | 2023-06-30 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | COMMUNICATION CONNECTION METHOD, APPARATUS, COMPUTER DEVICE, AND COMPUTER PROGRAM |
Also Published As
Publication number | Publication date |
---|---|
JP4892404B2 (en) | 2012-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4710267B2 (en) | Network system, data relay device, session monitor system, and packet monitor relay device | |
US8725885B1 (en) | Securely establishing ice relay connections | |
EP3201783B1 (en) | Https request enrichment | |
JP4892404B2 (en) | Encrypted packet transfer method, relay device, program thereof, and communication system | |
JP5175400B2 (en) | Method and apparatus for providing network communication association information to applications and services | |
US20070022475A1 (en) | Transmission of packet data over a network with a security protocol | |
Zamfir et al. | A security analysis on standard IoT protocols | |
US20070300290A1 (en) | Establishing Secure TCP/IP Communications Using Embedded IDs | |
EP3646553A1 (en) | Introducing middleboxes into secure communications between a client and a server | |
Petullo et al. | MinimaLT: minimal-latency networking through better security | |
US20050108531A1 (en) | Method of negotiating security parameters and authenticating users interconnected to a network | |
US11671413B2 (en) | Caching content securely within an edge environment, with pre-positioning | |
JP5270692B2 (en) | Method, apparatus, and computer program for selective loading of security association information to a security enforcement point | |
CN105516062B (en) | Method for realizing L2 TP over IPsec access | |
JP2008236130A (en) | Apparatus establishing communication and relaying message, and method and program for establishing communication | |
US20210152637A1 (en) | Caching content securely within an edge environment | |
JP6194292B2 (en) | Communication system, method and program | |
JP2007142656A (en) | Computer system and computer | |
JP2011054182A (en) | System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message | |
JP2006041726A (en) | Shared key replacing system, shared key replacing method and method program | |
Hohendorf et al. | Secure End-to-End Transport Over SCTP. | |
Burgstaller et al. | Anonymous communication in the browser via onion-routing | |
JP2010081108A (en) | Communication relay device, information processor, program and communication system | |
JP6762735B2 (en) | Terminal-to-terminal communication system, terminal-to-terminal communication method, and computer program | |
US20230379150A1 (en) | Methods and apparatuses for providing communication between a server and a client device via a proxy node |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090715 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110810 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111213 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111219 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141222 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |