JP2010114693A - Transmitter - Google Patents

Transmitter Download PDF

Info

Publication number
JP2010114693A
JP2010114693A JP2008285879A JP2008285879A JP2010114693A JP 2010114693 A JP2010114693 A JP 2010114693A JP 2008285879 A JP2008285879 A JP 2008285879A JP 2008285879 A JP2008285879 A JP 2008285879A JP 2010114693 A JP2010114693 A JP 2010114693A
Authority
JP
Japan
Prior art keywords
transmission
data
unit
partial data
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008285879A
Other languages
Japanese (ja)
Inventor
Hiromi Uwada
弘美 宇和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2008285879A priority Critical patent/JP2010114693A/en
Publication of JP2010114693A publication Critical patent/JP2010114693A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a transmitter which can enhance communication security. <P>SOLUTION: The transmitter 320 is connected with a wireless network 250 and a wired network 260 through a packet repeater 270a and a packet repeater 270b. The wireless network 250 and the wired network 260 are connected with the Internet 210. The transmitter 320 divides transmission data into two or more pieces of partial data. The respective partial data are transmitted to one of the wireless network 250 and the wired network 260. Only the partial data sent out to one of them, the wireless network 250 for instance, are encrypted. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、通信技術、特に、通信セキュリティ技術に関する。   The present invention relates to communication technology, and more particularly to communication security technology.

近年、コンピュータの普及とネットワーク技術の進展に伴い、ネットワークを介した電子情報の交換が盛んになっている。これにより、従来においては紙ベースで行われていた事務処理の多くが、ネットワークベースの処理に置き換えられつつある。   In recent years, with the spread of computers and the advancement of network technology, the exchange of electronic information via the network has become popular. As a result, many of the business processes that have been conventionally performed on a paper basis are being replaced by network-based processes.

ネットワーク上を行き交う情報の中には秘匿性が高いものも多い。このため、開放型のインターネット上で、通信セキュリティを確保するためにさまざまな技術が提案されている。
特開2001−60956号公報 Many of the information that travels on the network is highly confidential. For this reason, various techniques have been proposed for ensuring communication security on the open Internet.
JP 2001-60956 A

たとえば、SSL(Secure Sockets Layer)では、公開鍵方式にて送信側と受信側で共通鍵を共有し、この共通鍵により送信データの暗号化や復号を行うことにより、通信セキュリティを確保している。その反面、暗号化・復号処理のオーバーヘッドは、通信スループットの低下要因となりかねない。   For example, in SSL (Secure Sockets Layer), a common key is shared between the transmission side and the reception side using a public key method, and communication security is ensured by encrypting and decrypting transmission data using this common key. . On the other hand, the overhead of encryption / decryption processing may cause a reduction in communication throughput.

本発明は、本発明者による上記課題認識に基づいて完成された発明であり、その主たる目的は、通信セキュリティを確保するための新しい方法を提案することにある。   The present invention has been completed based on the above-mentioned problem recognition by the present inventor, and its main object is to propose a new method for ensuring communication security.

本発明のある態様は、複数経路の通信ネットワークを介して受信側通信装置と接続される送信装置に関する。
この装置は、送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割し、複数の部分データを複数種類の通信ネットワークに送出する。また、複数種類の通信ネットワークのうち、一部の通信ネットワークに送出される部分データのみを暗号化する。 One embodiment of the present invention relates to a transmission apparatus connected to a reception-side communication apparatus via a multipath communication network.
This apparatus divides data to be transmitted from a transmission source application to a transmission destination application into a plurality of partial data, and transmits the plurality of partial data to a plurality of types of communication networks. Further, only partial data transmitted to some communication networks among a plurality of types of communication networks is encrypted.

本発明の別の態様もまた、複数種類の通信ネットワークと接続される送信装置に関する。
この装置は、送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割し、複数の部分データを複数種類の通信ネットワークに送出する。また、複数の部分データそれぞれを送出先の通信ネットワークごとに異なる暗号化方法にて暗号化する。 Another aspect of the present invention also relates to a transmission apparatus connected to a plurality of types of communication networks.
This apparatus divides data to be transmitted from a transmission source application to a transmission destination application into a plurality of partial data, and transmits the plurality of partial data to a plurality of types of communication networks. Further, each of the plurality of partial data is encrypted by a different encryption method for each destination communication network.

なお、以上に示した各構成要素の任意の組み合わせ、本発明を方法、システム、記録媒体、コンピュータプログラムにより表現したものもまた、本発明の態様として有効である。   It should be noted that any combination of the above-described components, and the present invention expressed by a method, system, recording medium, and computer program are also effective as an aspect of the present invention.

本発明によれば、通信セキュリティを効率的に高めることができる。   According to the present invention, communication security can be efficiently increased.

図1は、一般的なデータ送信方法を示す模式図である。
同図は、2つの通信装置がインターネット210を介してデータを送受するときの概要を示している。ここでは、送信側の通信装置をクライアント端末202とし、受信側の通信装置をサーバ204とする。 FIG. 1 is a schematic diagram showing a general data transmission method.
This figure shows an outline when two communication devices transmit and receive data via the Internet 210. Here, the transmission side communication device is the client terminal 202, and the reception side communication device is the server 204.

クライアント端末202は、送信データを所定サイズ以内の「パケット」に分割する。各パケットには「ヘッダ」が付与される。ヘッダには、送信先となるサーバ204のIPアドレス(以下、「送信先アドレス」とよぶ)と、送信元であるクライアント端末202のIPアドレス(以下、「送信元アドレス」とよぶ)が設定される。送信先アドレスと送信元アドレスにより、クライアント端末202とサーバ204が特定される。また、サーバ204上において実行されるアプリケーションのうち、送信先となるアプリケーション(以下、「送信先アプリケーション」とよぶ)を一意に特定するポート番号(以下、「送信先ポート番号」とよぶ)と、クライアント端末202上において実行されるアプリケーションのうち、送信元となるアプリケーション(以下、「送信元アプリケーション」とよぶ)を一意に特定するポート番号(以下、「送信元ポート番号」とよぶ)もヘッダに設定される。   The client terminal 202 divides the transmission data into “packets” within a predetermined size. Each packet is given a “header”. In the header, the IP address of the server 204 as the transmission destination (hereinafter referred to as “transmission destination address”) and the IP address of the client terminal 202 as the transmission source (hereinafter referred to as “transmission source address”) are set. The The client terminal 202 and the server 204 are specified by the transmission destination address and the transmission source address. Of the applications executed on the server 204, a port number (hereinafter referred to as “destination port number”) that uniquely identifies an application that is a transmission destination (hereinafter referred to as “destination application”); Of the applications executed on the client terminal 202, a port number (hereinafter referred to as “transmission source port number”) that uniquely identifies a transmission source application (hereinafter referred to as “transmission source application”) is also included in the header. Is set.

クライアント端末202は、サーバ204のIPアドレスである送信先アドレスと、送信先アプリケーションの送信先ポート番号、自装置のIPアドレスである送信元アドレスと、送信元アプリケーションの送信元ポート番号をヘッダに設定して、各パケットをインターネット210に送出する。   The client terminal 202 sets, in the header, the transmission destination address that is the IP address of the server 204, the transmission destination port number of the transmission destination application, the transmission source address that is the IP address of its own device, and the transmission source port number of the transmission source application. Then, each packet is sent to the Internet 210.

インターネット210には、複数のパケット中継装置206が含まれる。パケット中継装置206は、ルーターやゲートウェイなど、パケット中継機能を備える装置である。各パケット中継装置206は、パケットを受け取ると、そのヘッダの送信先アドレスに基づいて、別のパケット中継装置206にパケットを渡す。パケットは、複数のパケット中継装置206により中継されながら、最終的に目的のサーバ204に到達する。サーバ204は、パケットのヘッダを確認し、どのクライアント端末202のどの送信元アプリケーションからどの送信先アプリケーションに宛てて送信されたパケットであるかを判定する。各パケットにはシーケンス番号とよばれる続き番号が付与されており、サーバ204はシーケンス番号順にパケットをつなぎ合わせることにより、送信データ全体を復元する。   The Internet 210 includes a plurality of packet relay devices 206. The packet relay device 206 is a device having a packet relay function, such as a router or a gateway. When each packet relay device 206 receives the packet, it passes the packet to another packet relay device 206 based on the transmission destination address of the header. The packet finally reaches the target server 204 while being relayed by the plurality of packet relay devices 206. The server 204 confirms the header of the packet and determines which packet is transmitted from which source application of which client terminal 202 to which destination application. Each packet is given a sequence number called a sequence number, and the server 204 restores the entire transmission data by connecting the packets in the order of the sequence numbers.

TCP(Transmission Control Protocol)の場合、クライアント端末202はサーバ204と通信経路(コネクション)を確立してから、データ送信を開始する。データの通り道であるコネクションが確立されると、各パケットはコネクション上の各パケット中継装置206を経由する。同図の場合、パケット中継装置206a、206b、206c、206d、206e、206f、206gを経由して、サーバ204に到達する経路がコネクションとして確立している。   In the case of TCP (Transmission Control Protocol), the client terminal 202 establishes a communication path (connection) with the server 204 and then starts data transmission. When a connection that is a data path is established, each packet passes through each packet relay device 206 on the connection. In the case of the figure, a route reaching the server 204 is established as a connection via the packet relay devices 206a, 206b, 206c, 206d, 206e, 206f, and 206g.

このような送信方法の場合、コネクションの一部、たとえば、同図における点Pにて送信中のデータを覗き見されると、送信データのすべてが窃取されてしまう。送信データが暗号化されていれば、窃取されても解読できないが、復号のための鍵まで盗まれてしまうと同じ問題が発生する。
本発明は、このような問題点に対処するために、2つの方法を提案する。それぞれ、第1実施例および第2実施例として説明する。なお、第1実施例と第2実施例を特に区別しないときやまとめていうときには、「本実施例」とよぶ。 In the case of such a transmission method, if a part of the connection, for example, data being transmitted at a point P in the figure is peeped, all of the transmission data is stolen. If the transmission data is encrypted, it cannot be decrypted even if it is stolen, but the same problem occurs if the key for decryption is stolen.
The present invention proposes two methods to deal with such problems. These will be described as a first embodiment and a second embodiment, respectively. When the first embodiment and the second embodiment are not particularly distinguished or collectively referred to as “this embodiment”.

[第1実施例]
図2は、第1実施例におけるデータ送信方法を示す模式図である。
第1実施例においては、送信装置としてのクライアント端末300は、伝送制御装置400を介してインターネット210と接続される。第1実施例におけるクライアント端末300は、IPアドレスを1つしか割り当てられていないものとして説明する。クライアント端末300と伝送制御装置400により、データ通信システム100が形成される。以下においては、主として、データ通信システム100のうちの送信機能、すなわち、データ送信システムとしての側面を中心として説明する。本実施例においては、クライアント端末300と伝送制御装置400は別々の装置であるとして説明するが、クライアント端末300が伝送制御装置400の機能を備えてもよい。伝送制御装置400は、パケット中継装置230aとパケット中継装置230bの2接点からインターネット210に接続している。 [First embodiment]
FIG. 2 is a schematic diagram showing a data transmission method in the first embodiment.
In the first embodiment, a client terminal 300 as a transmission device is connected to the Internet 210 via a transmission control device 400. The client terminal 300 in the first embodiment will be described assuming that only one IP address is assigned. The data communication system 100 is formed by the client terminal 300 and the transmission control device 400. In the following, mainly the transmission function of the data communication system 100, that is, the aspect as the data transmission system will be mainly described. In the present embodiment, the client terminal 300 and the transmission control apparatus 400 are described as separate apparatuses, but the client terminal 300 may have the function of the transmission control apparatus 400. The transmission control device 400 is connected to the Internet 210 through two contact points of the packet relay device 230a and the packet relay device 230b.

クライアント端末300は、まず、送信データを構成するパケット群を伝送制御装置400に送る。伝送制御装置400は、これらのパケット群を2群に分ける。第1群のパケットはパケット中継装置230aからインターネット210に送出され、第2群のパケットはパケット中継装置230bからインターネット210に送出される。パケット中継装置230aから受信装置としてのサーバ220までのコネクション(以下、「第1コネクション」とよぶ)と、パケット中継装置230bからサーバ220までのコネクション(以下、「第2コネクション」とよぶ)の2つのコネクションが確立されることになる。   First, the client terminal 300 sends a packet group constituting transmission data to the transmission control apparatus 400. The transmission control apparatus 400 divides these packet groups into two groups. The first group of packets is transmitted from the packet relay apparatus 230a to the Internet 210, and the second group of packets is transmitted from the packet relay apparatus 230b to the Internet 210. A connection from the packet relay apparatus 230a to the server 220 as a receiving apparatus (hereinafter referred to as “first connection”) and a connection from the packet relay apparatus 230b to the server 220 (hereinafter referred to as “second connection”). One connection will be established.

このような送信方法の場合、コネクションの一部、たとえば、第1コネクションの途中で送信中のデータを覗き見されても、送信データの一部は第2コネクションを経由しているため、送信データのすべてが窃取されることはない。したがって、図1に示した一般的な送信方法に比べて通信セキュリティが向上する。3系統以上に分散させれば、更に通信セキュリティを向上させることができる。   In the case of such a transmission method, even if a part of the connection, for example, data being transmitted in the middle of the first connection is looked into, a part of the transmission data passes through the second connection. All of them will not be stolen. Therefore, communication security is improved as compared with the general transmission method shown in FIG. If distributed to three or more systems, communication security can be further improved.

より具体的には、クライアント端末300は、送信データを複数(たとえば2つ)の経路に分散させて送信するため、送信元ポート番号および送信先ポート番号をそれぞれ複数(たとえば2つ)ずつ、設定する。ここで、サーバ220が複数の経路から受信したパケット群を統合するためには複数のポート番号同士の間隔を一定に保つことが好ましいので、1つの送信先アプリケーションに対して2つの送信先ポート番号を設定することによってクライアント端末300とサーバ220との間に送信データを分散させる複数の経路を介してサーバ220との接続が確立されるようにするとよい。たとえば、本来の送信先ポート番号(以下、「第1送信先ポート番号」とよぶ)が80番であるとき、2つ目の送信先ポート番号(以下、「第2送信先ポート番号」とよぶ)には、第1送信先ポート番号に所定のオフセット値、たとえば、2000を加算した2080番を設定する。クライアント端末300は、所定の基準にしたがって、送信データを構成する各パケットに対して第1送信先ポート番号か第2送信先ポート番号のいずれかを送信先ポート番号として設定する。たとえば、シーケンス番号が偶数のパケットに第1送信先ポート番号、奇数のパケット群に第2送信先ポート番号を設定してもよい。   More specifically, the client terminal 300 sets a plurality of (for example, two) transmission source port numbers and a plurality of transmission destination port numbers in order to transmit transmission data distributed over a plurality of (for example, two) paths. To do. Here, in order for the server 220 to integrate a group of packets received from a plurality of routes, it is preferable to maintain a constant interval between a plurality of port numbers, so two destination port numbers for one destination application. It is preferable that the connection with the server 220 is established through a plurality of paths for distributing transmission data between the client terminal 300 and the server 220 by setting. For example, when the original destination port number (hereinafter referred to as “first destination port number”) is 80, the second destination port number (hereinafter referred to as “second destination port number”). ) Is set to a predetermined offset value, for example, 2080 obtained by adding 2000 to the first destination port number. The client terminal 300 sets either the first transmission destination port number or the second transmission destination port number as the transmission destination port number for each packet constituting the transmission data according to a predetermined standard. For example, a first destination port number may be set for packets with an even sequence number, and a second destination port number may be set for odd-numbered packets.

伝送制御装置400は、クライアント端末300からあらかじめ通知されたオフセット値よりも送信先ポート番号が小さいパケット(第1送信先ポート番号=80のパケット)をパケット中継装置230aから送出する。一方、オフセット値よりも送信先ポート番号が大きいパケット(第2送信先ポート番号=2080のパケット)はパケット中継装置230bから送出される。サーバ220には、送信先ポート番号2080の送信先アプリケーションと送信先ポート番号80の送信先アプリケーションが同一である旨があらかじめクライアント端末300から通知されている。サーバ220は、送信先ポート番号80のパケットと、送信先ポート番号2080をシーケンス番号にしたがってつなぎ合わせることにより、送信データ全体を復元する。   The transmission control device 400 transmits from the packet relay device 230a a packet having a transmission destination port number smaller than the offset value notified in advance from the client terminal 300 (a packet with the first transmission destination port number = 80). On the other hand, a packet with a transmission destination port number larger than the offset value (a packet with the second transmission destination port number = 2080) is sent out from the packet relay device 230b. The server 220 is notified in advance from the client terminal 300 that the destination application having the destination port number 2080 and the destination application having the destination port number 80 are the same. The server 220 restores the entire transmission data by connecting the packet of the transmission destination port number 80 and the transmission destination port number 2080 according to the sequence number.

伝送制御装置400は、オフセット値に対する大小にしたがって、パケット中継装置230aとパケット中継装置230bのいずれかを「データ送出点」として選択するため、伝送制御装置400の処理をシンプルにできる。   Since the transmission control device 400 selects either the packet relay device 230a or the packet relay device 230b as a “data transmission point” according to the magnitude of the offset value, the processing of the transmission control device 400 can be simplified.

図3は、データ通信システム100の機能ブロック図である。
伝送制御装置400やクライアント端末300のいずれかにより図3の各機能が実現されるのではなく、データ通信システム100全体として図3の各機能が実現される。各機能ブロックが伝送制御装置400とクライアント端末300のいずれによって実現されるかは発明の本質に関わるものではない。システム全体を構築する上で、各種機能の分担を伝送制御装置400とクライアント端末300の間でどのように切り分けるかは、通信環境や計算機能力など、クライアント端末300の動作環境なども考慮して設計されればよい。
同図においては、データ通信システム100の送信機能、すなわち、データ送信システムとしての側面を中心として説明する。データ通信システム100は、クライアント端末300と伝送制御装置400を含む。ここでは、クライアント端末300は送信するデータをTCPデータに分割して伝送制御装置400に送り、伝送制御装置400はTCPデータをIPデータに変換して通信ネットワークにパケットを送り出す。 FIG. 3 is a functional block diagram of the data communication system 100.
Each function of FIG. 3 is not realized by either the transmission control device 400 or the client terminal 300, but each function of FIG. Whether each functional block is realized by the transmission control device 400 or the client terminal 300 is not related to the essence of the invention. In constructing the entire system, how to share the various functions between the transmission control device 400 and the client terminal 300 is designed in consideration of the operating environment of the client terminal 300 such as the communication environment and the calculation function. It only has to be done.
In the figure, the transmission function of the data communication system 100, that is, the aspect as the data transmission system will be mainly described. The data communication system 100 includes a client terminal 300 and a transmission control device 400. Here, the client terminal 300 divides the data to be transmitted into TCP data and sends it to the transmission control device 400. The transmission control device 400 converts the TCP data into IP data and sends the packet to the communication network.

クライアント端末300:
クライアント端末300は、送受信制御部500、データ送信部502、データ受信部504、入出力制御部506およびデータ保持部508を含む。送受信制御部500は、データの送受信を制御する。送受信制御部500は、ポート番号設定部304を含む。クライアント端末300は図示を省略したデータ分割部で送信するデータを分割する。そしてポート番号設定部304は、分割されたデータそれぞれに別々の送信先ポート番号を設定する。データ送信部502は、データにTCPヘッダを付与してパケットを作り、図示しない送信バッファに溜め、順次伝送制御装置400に送出する。データ受信部504は、伝送制御装置400からパケットを受信し、図示しない受信バッファに溜め、受信バッファからパケットを順次取り出し、TCPヘッダを外すことにより送信データの中身を取り出し、分割されたデータを、図示しないデータ集約部で統合して送信データを復元する。入出力制御部506は、送信データや受信データを保持するデータ保持部508とのアクセスを制御する。
なお、クライアント端末300が伝送制御装置400としての機能を内蔵する場合には、クライアント端末300と伝送制御装置400のイントラネット等のネットワークを介した送受信処理は不要である。この場合、送信バッファや受信バッファを介して、データ受信部504からデータ分割部306、あるいは、データ集約部516からデータ受信部504にパケットを直接渡すことになる。 Client terminal 300:
The client terminal 300 includes a transmission / reception control unit 500, a data transmission unit 502, a data reception unit 504, an input / output control unit 506, and a data holding unit 508. The transmission / reception control unit 500 controls transmission / reception of data. The transmission / reception control unit 500 includes a port number setting unit 304. The client terminal 300 divides data to be transmitted by a data dividing unit (not shown). The port number setting unit 304 sets a different transmission destination port number for each of the divided data. The data transmission unit 502 creates a packet by attaching a TCP header to the data, stores it in a transmission buffer (not shown), and sequentially sends it to the transmission control device 400. The data receiving unit 504 receives the packets from the transmission control device 400, accumulates them in a reception buffer (not shown), sequentially extracts the packets from the reception buffer, extracts the contents of the transmission data by removing the TCP header, and divides the divided data into The transmission data is restored by being integrated by a data aggregating unit (not shown). The input / output control unit 506 controls access to the data holding unit 508 that holds transmission data and reception data.
When the client terminal 300 has a function as the transmission control apparatus 400, transmission / reception processing between the client terminal 300 and the transmission control apparatus 400 via a network such as an intranet is unnecessary. In this case, the packet is directly passed from the data receiving unit 504 to the data dividing unit 306 or from the data aggregating unit 516 to the data receiving unit 504 via the transmission buffer or the reception buffer.

伝送制御装置400:
伝送制御装置400は、伝送制御部510、経路確立部404、送受信部512および暗号化部408を含む。暗号化部408の機能は、クライアント端末300や伝送制御装置400とは別の外部装置にて提供されてもよい。伝送制御部510は、データの送受信を制御する。伝送制御部510は、送出点設定部406を含む。送出点設定部406は、部分データのデータ送出点として、パケット中継装置230aとパケット中継装置230bのいずれかを送信先ポート番号に基づいて選択する。経路確立部404は、パケット中継装置230aからサーバ220までの第1コネクション、パケット中継装置230bからサーバ220までの第2コネクションをそれぞれ確立する。より具体的には、経路確立部404は、サーバ220に対して第1送信先ポート番号について第1のコネクションを確立し、第1のコネクションを介して第2送信先ポート番号を通知した上で、第2のコネクションを確立する。 Transmission control device 400:
The transmission control apparatus 400 includes a transmission control unit 510, a path establishment unit 404, a transmission / reception unit 512, and an encryption unit 408. The function of the encryption unit 408 may be provided by an external device different from the client terminal 300 or the transmission control device 400. The transmission control unit 510 controls data transmission / reception. Transmission control unit 510 includes transmission point setting unit 406. The transmission point setting unit 406 selects either the packet relay device 230a or the packet relay device 230b as the data transmission point of the partial data based on the transmission destination port number. The path establishing unit 404 establishes a first connection from the packet relay device 230a to the server 220 and a second connection from the packet relay device 230b to the server 220, respectively. More specifically, the path establishment unit 404 establishes the first connection for the first transmission destination port number to the server 220 and notifies the second transmission destination port number via the first connection. , Establish a second connection.

送受信部512は、データの送受信を実行する。送受信部512は、データ分割部306、データ送信部514、データ集約部516およびデータ受信部518を含む。データ分割部306は、クライアント端末300のデータ送信部502からTCPヘッダ付きのパケットを受信する。そして、これらのパケット群を2つのパケット群(以下、分割されたパケット群を「部分データ」とよぶ)に仕分けする。この仕分けは、ポート番号設定部304により設定された送信先ポート番号に基づく。データ送信部514は、各パケットにIPヘッダ等を付与する。データ送信部514は、2種類の部分データをパケット中継装置230aおよびパケット中継装置230bのそれぞれから、時間的に並行して、サーバ220に宛ててインターネット210に送出する。   The transmission / reception unit 512 transmits / receives data. The transmission / reception unit 512 includes a data division unit 306, a data transmission unit 514, a data aggregation unit 516, and a data reception unit 518. The data division unit 306 receives a packet with a TCP header from the data transmission unit 502 of the client terminal 300. Then, these packet groups are classified into two packet groups (hereinafter, the divided packet groups are referred to as “partial data”). This sorting is based on the destination port number set by the port number setting unit 304. The data transmission unit 514 gives an IP header or the like to each packet. The data transmission unit 514 sends the two types of partial data from the packet relay device 230a and the packet relay device 230b to the server 210 to the server 220 in parallel in time.

データ受信部518は、サーバ220からパケットを受信し、ヘッダを外す。データ集約部516は、こうして得られたパケットをシーケンス番号にしたがって組み立てる。   The data receiving unit 518 receives the packet from the server 220 and removes the header. The data aggregating unit 516 assembles the packets thus obtained according to the sequence number.

暗号化部408は、2種類の部分データの双方または一方を暗号化する。暗号化部408は、たとえば、第1コネクションにおいてSSLにより共通鍵をサーバ220とやり取りし、第1コネクションから送出する部分データをこの共通鍵にて暗号化して送信する。一方、第2コネクションの部分データは暗号化せずに送信する。このような態様によれば、従来のSSLのように送信データ全体を暗号化するわけではないため、暗号化・復号にともなうオーバーヘッドを低減できる。   The encryption unit 408 encrypts both or one of the two types of partial data. For example, the encryption unit 408 exchanges a common key with the server 220 via SSL in the first connection, and encrypts and transmits the partial data transmitted from the first connection with the common key. On the other hand, the partial data of the second connection is transmitted without being encrypted. According to such an aspect, the entire transmission data is not encrypted as in the conventional SSL, so that overhead due to encryption / decryption can be reduced.

あるいは、暗号化部408は、第1コネクションと第2コネクションを別々の暗号化方式にて暗号化してもよい。たとえば、第1コネクションと第2コネクションでは別々の共通鍵を使用してもよい。このような態様によれば、通信セキュリティをいっそう堅牢化できる。   Alternatively, the encryption unit 408 may encrypt the first connection and the second connection using different encryption methods. For example, different common keys may be used for the first connection and the second connection. According to such an aspect, communication security can be further strengthened.

サーバ220:
サーバ220は、経路確立部520、送受信制御部522、送受信部524、復号部536、入出力制御部534およびデータ保持部538を含む。経路確立部520は、伝送制御装置400の経路確立部404と協働して、第1コネクションと第2コネクションを確立する。送受信制御部522は、データの送受信を制御する。送受信部524はデータの送受信を実行する。送受信部524は、IPデータ受信部526、TCPデータ受信部528、IPデータ送信部530およびTCPデータ送信部532を含む。IPデータ受信部526は、伝送制御装置400のデータ送信部514から部分データを受信し、部分データを構成するパケットからIPヘッダを外す。TCPデータ受信部528は、IPデータ受信部526からパケットを取得し、TCPヘッダを外す。TCPデータ送信部532は、サーバ220から送信されるデータにTCPヘッダを付与し、IPデータ送信部530は、更に、IPヘッダを付与して伝送制御装置400に送出する。 Server 220:
The server 220 includes a path establishing unit 520, a transmission / reception control unit 522, a transmission / reception unit 524, a decoding unit 536, an input / output control unit 534, and a data holding unit 538. The path establishing unit 520 establishes the first connection and the second connection in cooperation with the path establishing unit 404 of the transmission control apparatus 400. The transmission / reception control unit 522 controls transmission / reception of data. The transmission / reception unit 524 performs transmission / reception of data. The transmission / reception unit 524 includes an IP data reception unit 526, a TCP data reception unit 528, an IP data transmission unit 530, and a TCP data transmission unit 532. The IP data receiving unit 526 receives the partial data from the data transmitting unit 514 of the transmission control device 400 and removes the IP header from the packet constituting the partial data. The TCP data receiving unit 528 acquires a packet from the IP data receiving unit 526 and removes the TCP header. The TCP data transmission unit 532 adds a TCP header to the data transmitted from the server 220, and the IP data transmission unit 530 further adds an IP header and sends it to the transmission control device 400.

復号部536は、伝送制御装置400の暗号化部408により暗号化されたデータを復号する。入出力制御部534は、送信データや受信データを保持するデータ保持部538とのアクセスを制御する。復号部536の機能は、サーバ220とは別の外部装置にて提供されてもよい。   The decryption unit 536 decrypts the data encrypted by the encryption unit 408 of the transmission control device 400. The input / output control unit 534 controls access to the data holding unit 538 that holds transmission data and reception data. The function of the decoding unit 536 may be provided by an external device different from the server 220.

サーバ220がウェブサーバであるとして、具体例を説明する。HTTP(HyperText Transfer Protocol)に割り当てられるポート番号は80番であるため、データ通信システム100は第1送信先ポート番号=80、第2送信先ポート番号=2080として、サーバ220にアクセスする。送信元アプリケーションのポート番号は第1送信先ポート番号に対応したポート番号(第1送信元ポート番号)が50番であり、第2送信先ポート番号に対応したポート番号(第2送信元ポート番号)が2050番であるとする。アクセス時に、送信元アドレス、、第1送信先ポート番号=80、第1送信元ポート番号=50だけでなく、第2送信元ポート番号=2050、第2送信先ポート番号=2080もサーバ220に通知する。この通知により、サーバ220に第1送信先ポート番号=80の送信先アプリケーションと第2送信先ポート番号=2080の送信先アプリケーションが同一である旨を認識させる。サーバ220は、第2送信先ポート番号=2080を80番に読み替えてもよい。   A specific example will be described assuming that the server 220 is a web server. Since the port number assigned to HTTP (HyperText Transfer Protocol) is 80, the data communication system 100 accesses the server 220 with the first destination port number = 80 and the second destination port number = 2080. As for the port number of the transmission source application, the port number corresponding to the first transmission destination port number (first transmission source port number) is 50, and the port number corresponding to the second transmission destination port number (second transmission source port number). ) Is number 2050. At the time of access, not only the transmission source address, the first transmission destination port number = 80 and the first transmission source port number = 50, but also the second transmission source port number = 2050 and the second transmission destination port number = 2080 are sent to the server 220. Notice. This notification causes the server 220 to recognize that the transmission destination application having the first transmission destination port number = 80 and the transmission destination application having the second transmission destination port number = 2080 are the same. The server 220 may replace the second transmission destination port number = 2080 with 80.

図4は、第1実施例におけるパケットの流れを示す模式図である。
クライアント端末300は、送信先ポート番号=80、第1送信元ポート番号=50のパケットと、送信先ポート番号=2080、第2送信元ポート番号=2050のパケットの2種類のパケットを伝送制御装置400に送出する。伝送制御装置400は、第1送信先ポート番号=80のパケット群を「第1部分データ」としてパケット中継装置230aへ、第2送信先ポート番号=2080のパケット群を「第2部分データ」としてパケット中継装置230bに送る。より具体的には、伝送制御装置400は、オフセット値=2000よりも送信先ポート番号が小さいパケットを第1部分データとしてパケット中継装置230aへ、オフセット値以上の送信先ポート番号となっているパケットを第2部分データとしてパケット中継装置230bに送る。サーバ220は、第1コネクションと第2コネクションからそれぞれ第1部分データと第2部分データを受信し、シーケンス番号にしたがってこれらをつなぎ合わせる。 FIG. 4 is a schematic diagram showing a packet flow in the first embodiment.
The client terminal 300 transmits two types of packets, a packet with a transmission destination port number = 80 and a first transmission source port number = 50, and a packet with a transmission destination port number = 2080 and a packet with a second transmission source port number = 2050. 400. The transmission control device 400 sets the packet group with the first destination port number = 80 as “first partial data” to the packet relay device 230a, and sets the packet group with the second destination port number = 2080 as “second partial data”. The packet is sent to the packet relay device 230b. More specifically, the transmission control device 400 sets a packet having a destination port number smaller than the offset value = 2000 to the packet relay device 230a as a first partial data, and has a destination port number equal to or larger than the offset value. Is sent to the packet relay device 230b as the second partial data. The server 220 receives the first partial data and the second partial data from the first connection and the second connection, respectively, and connects them according to the sequence number.

第1部分データと第2部分データは時間的に並行してインターネット210に送出されるため、全体としての通信スループットを向上させやすい。また、2系統に分けて送信することにより、通信セキュリティを高めることができる。通信セキュリティは、暗号化により更に高めることができる。サーバ220は、実質的に、第2送信先ポート番号を第1送信先ポート番号に読み替えるだけなので、第1実施例の仕組みを既存の通信システムに導入しやすいというメリットもある。   Since the first partial data and the second partial data are transmitted to the Internet 210 in parallel in time, it is easy to improve the overall communication throughput. Moreover, communication security can be improved by dividing into two systems and transmitting. Communication security can be further enhanced by encryption. Since the server 220 substantially only replaces the second destination port number with the first destination port number, there is an advantage that the mechanism of the first embodiment can be easily introduced into the existing communication system.

[第2実施例]
図5は、第2実施例におけるデータ送信方法を示す模式図である。
第2実施例においても、送信装置320(クライアント端末)から受信装置240(サーバ)にデータを送信するとき、2系統以上に分散してデータを送信する。送信装置320は、無線LANなどのローカルな無線ネットワーク250と、有線LANなどのローカルな有線ネットワーク260を介してインターネット210と接続される。本実施例においては、伝送制御装置400を設置しないが、送信装置320の機能の一部を肩代わりするための制御装置を設けてもよい。 [Second Embodiment]
FIG. 5 is a schematic diagram showing a data transmission method in the second embodiment.
Also in the second embodiment, when data is transmitted from the transmission device 320 (client terminal) to the reception device 240 (server), the data is distributed in two or more systems. The transmission device 320 is connected to the Internet 210 via a local wireless network 250 such as a wireless LAN and a local wired network 260 such as a wired LAN. In this embodiment, the transmission control device 400 is not installed, but a control device for taking over some of the functions of the transmission device 320 may be provided.

送信装置320は、無線ネットワーク250用のIPアドレスであるIPB1と有線ネットワーク260用のIPアドレスであるIPB2を有する。送信装置320は、送信データを構成するパケット群を2群に分ける。第1群のパケット(第1部分データ)は、パケット中継装置270aから無線ネットワーク250を経由してインターネット210に送出される。第2群のパケット(第2部分データ)は、パケット中継装置270bから有線ネットワーク260を経由してインターネット210に送出される。送信装置320は、間接的には、パケット中継装置270cとパケット中継装置270dの2地点からインターネット210に接続している。このため、パケット中継装置270a、270cから受信装置240に至るまでのコネクション(第1コネクション)と、パケット中継装置270b、270dから受信装置240に至るまでのコネクション(第2コネクション)の2つのコネクションが確立される。   The transmission device 320 includes IPB 1 that is an IP address for the wireless network 250 and IPB 2 that is an IP address for the wired network 260. The transmission device 320 divides the packet group constituting the transmission data into two groups. The first group of packets (first partial data) is sent from the packet relay device 270a to the Internet 210 via the wireless network 250. The second group of packets (second partial data) is sent from the packet relay device 270b to the Internet 210 via the wired network 260. The transmission device 320 is indirectly connected to the Internet 210 from two points of the packet relay device 270c and the packet relay device 270d. Therefore, there are two connections, a connection from the packet relay apparatuses 270a and 270c to the receiving apparatus 240 (first connection) and a connection from the packet relay apparatuses 270b and 270d to the receiving apparatus 240 (second connection). Established.

このような送信方法の場合、コネクションの一部、たとえば、第1コネクションの途中で送信中のデータを覗き見されても、送信データの一部は第2コネクションを経由しているため、送信データのすべてが窃取されることはない。このため、図1に示した従来の送信方法に比べて通信セキュリティが向上する。3系統以上に分散させれば、更に通信セキュリティを向上させることができる。   In the case of such a transmission method, even if a part of the connection, for example, data being transmitted in the middle of the first connection is looked into, a part of the transmission data passes through the second connection. All of them will not be stolen. For this reason, communication security improves compared with the conventional transmission method shown in FIG. If distributed to three or more systems, communication security can be further improved.

送信装置320は、1つの送信元アプリケーションに対して2つの送信元アドレスを設定する。送信装置320は、送信データを構成するパケット群を所定の基準にしたがって2群に分ける。たとえば、シーケンス番号が偶数のパケットを第1群、奇数のパケット群を第2群としてもよい。   The transmission device 320 sets two transmission source addresses for one transmission source application. Transmitting apparatus 320 divides packet groups constituting transmission data into two groups according to a predetermined standard. For example, packets with an even sequence number may be the first group, and odd packets may be the second group.

送信装置320は、送信元アドレス=IPB1のパケットはパケット中継装置270aから送出する。一方、送信元アドレス=IPB2のパケットはパケット中継装置270bから送出する。受信装置240には、送信元アドレス=IPB1の送信装置320と送信元アドレス=IPB2の送信装置320が同一である旨があらかじめ送信装置320から通知されている。受信装置240は、送信元アドレス=IPB1のパケットと、送信元アドレス=IPB2のパケットをシーケンス番号にしたがってつなぎ合わせることにより、送信データ全体を復元する。   The transmission device 320 transmits the packet with the transmission source address = IPB1 from the packet relay device 270a. On the other hand, the packet with the source address = IPB2 is sent out from the packet relay device 270b. The receiving device 240 is notified in advance from the transmitting device 320 that the transmitting device 320 with the source address = IPB1 and the transmitting device 320 with the source address = IPB2 are the same. The receiving apparatus 240 restores the entire transmission data by connecting the packet with the transmission source address = IPB1 and the packet with the transmission source address = IPB2 according to the sequence number.

図6は、第2実施例における送信装置320の機能ブロック図である。
送信装置320は、データ送信部322、経路確立部324、ネットワーク選択部326、データ分割部328および暗号化部330を含む。データ分割部328は、送信データを構成するパケット群を2つの部分データに分割する。ネットワーク選択部326は、部分データごとに別々の送信元アドレスを設定する。いいかえれば、ネットワーク選択部326は、部分データごとに送出先ネットワークとして無線ネットワーク250か有線ネットワーク260のいずれかを設定する。経路確立部324は、パケット中継装置270aから受信装置240までの第1コネクション、パケット中継装置270bから受信装置240までの第2コネクションをそれぞれ確立する。データ送信部322は、2種類の部分データをパケット中継装置270aおよびパケット中継装置270bのそれぞれから、時間的に並行して、受信装置240に宛てて無線ネットワーク250と有線ネットワーク260にそれぞれ送出する。 FIG. 6 is a functional block diagram of the transmission device 320 in the second embodiment.
The transmission device 320 includes a data transmission unit 322, a path establishment unit 324, a network selection unit 326, a data division unit 328, and an encryption unit 330. The data dividing unit 328 divides a packet group constituting transmission data into two partial data. The network selection unit 326 sets a different transmission source address for each partial data. In other words, the network selection unit 326 sets either the wireless network 250 or the wired network 260 as the transmission destination network for each partial data. The path establishing unit 324 establishes a first connection from the packet relay device 270a to the receiving device 240 and a second connection from the packet relay device 270b to the receiving device 240, respectively. The data transmission unit 322 sends two types of partial data from the packet relay device 270a and the packet relay device 270b to the reception device 240 in parallel in time, respectively, to the wireless network 250 and the wired network 260.

暗号化部330は、2種類の部分データの双方または一方を暗号化する。暗号化部330は、たとえば、第1コネクションにおいてSSLにより共通鍵を受信装置240とやり取りし、第1コネクションから送出する部分データをこの共通鍵にて暗号化して送信する。一方、第2コネクションの部分データは暗号化せずに送信する。このような態様によれば、第1実施例と同様、従来のSSLのように送信データ全体を暗号化するわけではないため、暗号化・復号にともなうオーバーヘッドを低減できる。   The encryption unit 330 encrypts both or one of the two types of partial data. For example, the encryption unit 330 exchanges a common key with the receiving device 240 via SSL in the first connection, and encrypts and transmits the partial data transmitted from the first connection with the common key. On the other hand, the partial data of the second connection is transmitted without being encrypted. According to such an aspect, as in the first embodiment, since the entire transmission data is not encrypted as in the conventional SSL, overhead due to encryption / decryption can be reduced.

有線ネットワーク260よりも送信データが窃取されるリスクが高い無線ネットワーク250のみを暗号化の対象としてもよい。あるいは、無線ネットワーク250と有線ネットワーク260のうち、実効通信速度が高い方に送出される部分データを暗号化の対象としてもよい。暗号化・復号処理にともなうオーバーヘッドを考慮して、高速回線側を暗号化の対象とすれば、全体としての通信スループットを維持しやすくなる。   Only the wireless network 250 having a higher risk of transmission data being stolen than the wired network 260 may be the target of encryption. Alternatively, partial data transmitted to the higher effective communication speed of the wireless network 250 and the wired network 260 may be the target of encryption. Considering the overhead associated with encryption / decryption processing, if the high-speed line side is the target of encryption, the overall communication throughput can be easily maintained.

暗号化部330は、第1コネクションと第2コネクションを別々の暗号化方式にて暗号化してもよい。たとえば、第1コネクションと第2コネクションでは別々の共通鍵を使用してもよい。このような態様によれば、第1実施例と同様、通信セキュリティをいっそう堅牢化できる。   The encryption unit 330 may encrypt the first connection and the second connection using different encryption methods. For example, different common keys may be used for the first connection and the second connection. According to such an aspect, the communication security can be further strengthened as in the first embodiment.

送信装置320は、送信元アドレス=IPB1にて第1コネクションを確立するとき、送信元アドレス=IPB1だけでなく、送信元アドレス=IPB2についても受信装置240に通知する。この通知により、受信装置240は、送信元アドレス=IPB1の送信装置320と送信元アドレス=IPB2の送信装置が同一である旨を認識する。受信装置240は、送信元アドレス=IPB2をIPB1に読み替えてもよい。   When establishing the first connection with the transmission source address = IPB1, the transmission device 320 notifies the reception device 240 not only of the transmission source address = IPB1, but also the transmission source address = IPB2. By this notification, the receiving device 240 recognizes that the transmitting device 320 with the source address = IPB1 and the transmitting device with the source address = IPB2 are the same. The receiving device 240 may replace the transmission source address = IPB2 with IPB1.

図7は、第2実施例におけるパケットの流れを示す模式図である。
送信装置320は、送信先アドレス=IPA、送信元アドレス=IPB1のパケット(第1部分データ)と、送信先アドレス=IPA、送信元アドレス=IPB2のパケット(第2部分データ)の2種類のパケットをパケット中継装置270aとパケット中継装置270bそれぞれに送出する。受信装置240は、第1コネクションと第2コネクションからそれぞれ第1部分データと第2部分データを受信し、シーケンス番号にしたがってこれらをつなぎ合わせる。 FIG. 7 is a schematic diagram showing a packet flow in the second embodiment.
The transmission device 320 has two types of packets, that is, a packet (first partial data) having a transmission destination address = IPA and a transmission source address = IPB1, and a packet (second partial data) having a transmission destination address = IPA and a transmission source address = IPB2. Is transmitted to each of the packet relay device 270a and the packet relay device 270b. The receiving device 240 receives the first partial data and the second partial data from the first connection and the second connection, respectively, and connects them according to the sequence number.

第1部分データと第2部分データは時間的に並行してインターネット210に送出されるため、全体としての通信スループットを向上させやすい。また、2系統に分けて送信することにより、通信セキュリティを高めることができる。通信セキュリティは、暗号化により更に高めることができる。   Since the first partial data and the second partial data are transmitted to the Internet 210 in parallel in time, it is easy to improve the overall communication throughput. Moreover, communication security can be improved by dividing into two systems and transmitting. Communication security can be further enhanced by encryption.

以上、実施例に基づいて複数系統によるデータ送信方法について説明した。
第1実施例におけるデータ通信システム100によれば、複数の送信元ポート番号によりデータを複数系統に分散させることにより、通信セキュリティを高めることができる。IPアドレスはイントラネットにおいてはサブネットごとに数が限られ、インターネットにおいては全世界的に数が限られているため、1つの通信装置に複数のIPアドレスを設定する場合には、未使用のIPアドレスを適切に選ぶ必要がある。一方、ポート番号は通信機器ごとに自由に設定できる。このため、ポート番号を設定するための人的作業は不要である。本実施例においては、説明の明確化のために、送信先ポート番号を80番や2080番として説明したが、少なくとも第2送信先ポート番号は、49152番以降のDYNAMIC AND/OR PRIVATE PORTSから設定することが望ましい。 The data transmission method using a plurality of systems has been described above based on the embodiments.
According to the data communication system 100 in the first embodiment, communication security can be improved by distributing data to a plurality of systems using a plurality of transmission source port numbers. Since the number of IP addresses is limited for each subnet in the intranet and the number is limited worldwide in the Internet, when setting a plurality of IP addresses for one communication device, an unused IP address It is necessary to choose appropriately. On the other hand, the port number can be freely set for each communication device. For this reason, the human work for setting the port number is unnecessary. In this embodiment, for the sake of clarity, the destination port number has been described as 80 or 2080, but at least the second destination port number is set from DYNAMIC AND / OR PRIVATE PORTS after 49152. It is desirable to do.

第1送信先ポート番号に所定のオフセット値を加算することにより、第2送信先ポート番号を設定すれば、伝送制御装置400は、オフセット値に対する大小のみに基づいてデータ送出点を選択できる。このため、伝送制御装置400の処理を簡素化できる。また、複数の通信経路から各部分データを同時期に送出することにより、通信スループットを向上させやすくなる。   If the second destination port number is set by adding a predetermined offset value to the first destination port number, the transmission control device 400 can select the data transmission point based only on the magnitude of the offset value. For this reason, the process of the transmission control apparatus 400 can be simplified. Moreover, it becomes easy to improve communication throughput by sending each partial data from a plurality of communication paths at the same time.

複数の通信経路の一部のみを暗号化の対象とすれば、暗号化にともなうオーバーヘッドを低減できる。複数の通信経路を別々の暗号化方式にて暗号化すれば、通信セキュリティをいっそう向上させることができる。パスワードなどの重大な個人情報の送信に際しては、少量の送信データであっても、本実施例のように複数系統に分けて送信することにより、インターネット210上の取引をより安全なものとすることができる。   If only a part of a plurality of communication paths is to be encrypted, overhead associated with encryption can be reduced. If a plurality of communication paths are encrypted with different encryption methods, communication security can be further improved. When transmitting important personal information such as passwords, transactions on the Internet 210 should be made more secure by transmitting even a small amount of transmission data in multiple systems as in this embodiment. Can do.

第2実施例における送信装置320においても、通信経路を分散させることより、通信セキュリティ、通信スループットを高めることができる。第1実施例と同じく、複数の通信経路の一部のみを暗号化の対象とすることにより、暗号化にともなうオーバーヘッドを抑制できる。複数の通信経路を別々の暗号化方式にて暗号化すれば、通信セキュリティをいっそう向上させることができる。   Also in the transmission apparatus 320 in the second embodiment, communication security and communication throughput can be improved by distributing communication paths. Similar to the first embodiment, by making only a part of a plurality of communication paths to be encrypted, overhead associated with encryption can be suppressed. If a plurality of communication paths are encrypted with different encryption methods, communication security can be further improved.

以上、本発明について実施例をもとに説明した。実施の形態は例示であり、それらの各構成要素や各処理プロセスの組み合わせにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。   The present invention has been described based on the embodiments. The embodiments are exemplifications, and it will be understood by those skilled in the art that various modifications can be made to combinations of the respective constituent elements and processing processes, and such modifications are within the scope of the present invention. .

本実施例においては、TCPによりコネクションを確立してから、データ送信を行うことを前提として説明したが、UDP(User Datagram Protocol)であっても本実施例と同様の効果を発揮させることができる。コネクションを確立しないUDPの場合、各パケットがどのような通信経路を辿るかは送信側でコントロールできないため、結果的に各パケットが同一経路を辿る可能性もある。本実施例によれば送信側が通信経路を意図的に分散させることができるため、通信セキュリティや通信スループットを高める上で効果的である。   In the present embodiment, the description has been made on the assumption that data transmission is performed after establishing a connection by TCP. However, even with UDP (User Datagram Protocol), the same effect as in the present embodiment can be exhibited. . In the case of UDP that does not establish a connection, since what kind of communication route each packet follows cannot be controlled on the transmission side, there is a possibility that each packet will follow the same route as a result. According to the present embodiment, the transmission side can intentionally distribute the communication path, which is effective in improving communication security and communication throughput.

送信データを部分データに分割するとき、シーケンス番号以外にも、時間や乱数に基づいてよって送信データを分割してもよい。たとえば、パケット生成時刻の下一桁が偶数のときには当該パケットを第1部分データに分類し、奇数であれば第2部分データに分類してもよい。あるいは、各パケットをランダムに第1部分データと第2部分データに分類してもよい。   When the transmission data is divided into partial data, the transmission data may be divided based on time and random numbers in addition to the sequence number. For example, the packet may be classified as first partial data when the last digit of the packet generation time is an even number, and may be classified as second partial data when the packet generation time is an odd number. Alternatively, each packet may be randomly classified into first partial data and second partial data.

また、クライアント端末300は全パケットをそのまま伝送制御装置400に送信し、伝送制御装置400は受信時刻や乱数等の任意の条件に基づいて、各パケットをパケット中継装置230aとパケット中継装置230bのどちらから送り出すかを自ら決定してもよい。   Further, the client terminal 300 transmits all packets as they are to the transmission control device 400, and the transmission control device 400 transmits each packet to either the packet relay device 230a or the packet relay device 230b based on an arbitrary condition such as a reception time or a random number. You may decide by yourself whether to send it out.

第1部分データと第2部分データのデータ量の比率は1対1でなくてもよい。たとえば、実効通信速度が高速なコネクションの側により多くのパケットが送出されるように、第1実施例のデータ分割部306や第2実施例のデータ分割部328は第1部分データと第2部分データのデータ量の比率を調整してもよい。   The ratio of the data amount of the first partial data and the second partial data may not be 1: 1. For example, the data dividing unit 306 of the first embodiment and the data dividing unit 328 of the second embodiment are configured so that the first partial data and the second portion are transmitted so that more packets are transmitted to the connection side having a high effective communication speed. You may adjust the ratio of the data amount of data.

複数の送信先ポート番号や複数の送信元アドレスを使うときであっても、単一のコネクションにてデータを送信してもよい。このとき、所定の送信先ポート番号や所定の送信元アドレスのパケットのみを暗号化の対象とすれば、少なくとも、暗号化・復号にともなうオーバーヘッドを、送信データ全体を暗号化するよりも低減できる。   Even when a plurality of transmission destination port numbers or a plurality of transmission source addresses are used, data may be transmitted through a single connection. At this time, if only packets having a predetermined transmission destination port number and a predetermined transmission source address are to be encrypted, at least the overhead associated with encryption / decryption can be reduced as compared with encryption of the entire transmission data.

第1実施例と第2実施例は組合せ可能である。たとえば、第2実施例のように2以上のローカル・ネットワークに接続されるとき、送出先のローカル・ネットワークごとに複数の送信先ポート番号を設定してもよい。この場合においては、送信装置320とパケット中継装置270aの間に伝送制御装置400を設置する。伝送制御装置400は、無線ネットワーク250や有線ネットワーク260といった各ローカル・ネットワークに対して複数地点から接続する。送信装置320は、送信先IPアドレス=IPB1、送信先ポート番号=P1のパケットと、送信先IPアドレス=IPB1、送信先ポート番号=P2のパケットを伝送制御装置400に送り出す。この場合、伝送制御装置400は、送信先ポート番号に応じて送出先のネットワーク内における通信経路も分散させることができる。   The first embodiment and the second embodiment can be combined. For example, when connected to two or more local networks as in the second embodiment, a plurality of destination port numbers may be set for each destination local network. In this case, the transmission control device 400 is installed between the transmission device 320 and the packet relay device 270a. The transmission control apparatus 400 connects to each local network such as the wireless network 250 and the wired network 260 from a plurality of points. The transmission device 320 sends a packet with a transmission destination IP address = IPB1 and a transmission destination port number = P1 and a packet with a transmission destination IP address = IPB1 and a transmission destination port number = P2 to the transmission control device 400. In this case, the transmission control apparatus 400 can also distribute communication paths in the destination network according to the destination port number.

一般的なデータ送信方法を示す模式図である。It is a schematic diagram which shows the general data transmission method. 第1実施例におけるデータ送信方法を示す模式図である。It is a schematic diagram which shows the data transmission method in 1st Example. データ送信システムの機能ブロック図である。It is a functional block diagram of a data transmission system. 第1実施例におけるパケットの流れを示す模式図である。It is a schematic diagram which shows the flow of the packet in 1st Example. 第2実施例におけるデータ送信方法を示す模式図である。It is a schematic diagram which shows the data transmission method in 2nd Example. 第2実施例における送信装置の機能ブロック図である。It is a functional block diagram of the transmitter in 2nd Example. 第2実施例におけるパケットの流れを示す模式図である。It is a schematic diagram which shows the flow of the packet in 2nd Example.

符号の説明Explanation of symbols

100 データ通信システム、 202 クライアント端末、 204 サーバ、 206 パケット中継装置、 210 インターネット、 220 サーバ、 230 パケット中継装置、 240 受信装置、 250 無線ネットワーク、 260 有線ネットワーク、 270 パケット中継装置、 300 送信装置、 302 部分データ送信部、 304 ポート番号設定部、 306 データ分割部、 320 送信装置、 322 データ送信部、 324 経路確立部、 326 ネットワーク選択部、 328 データ分割部、 330 暗号化部、 400 伝送制御装置、 402 データ送信部、 404 経路確立部、 406 送出点設定部、 408 暗号化部、 410 部分データ受信部。   100 data communication system, 202 client terminal, 204 server, 206 packet relay device, 210 Internet, 220 server, 230 packet relay device, 240 receiving device, 250 wireless network, 260 wired network, 270 packet relay device, 300 transmitting device, 302 Partial data transmission unit, 304 port number setting unit, 306 data division unit, 320 transmission device, 322 data transmission unit, 324 route establishment unit, 326 network selection unit, 328 data division unit, 330 encryption unit, 400 transmission control device, 402 data transmission unit, 404 route establishment unit, 406 sending point setting unit, 408 encryption unit, 410 partial data reception unit.

Claims (4)

複数経路の通信ネットワークを介して受信側通信装置と接続され、
送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割するデータ分割部と、
前記複数の部分データそれぞれについて前記複数種類の通信ネットワークのいずれかを送出先として選択するネットワーク選択部と、
前記送信先アプリケーションに宛てて、前記複数の部分データを前記複数種類の通信ネットワークに送出するデータ送信部と、
送信データの通信セキュリティを確保するために、部分データを暗号化する暗号化部と、を備え、
前記暗号化部は、前記複数種類の通信ネットワークのうち、一部の通信ネットワークに送出される部分データのみを暗号化の対象とすることを特徴とする送信装置。 Connected to the receiving communication device via a multi-path communication network,
A data dividing unit for dividing data to be transmitted from the transmission source application to the transmission destination application into a plurality of partial data;
A network selection unit that selects one of the plurality of types of communication networks as a transmission destination for each of the plurality of partial data;
A data transmission unit that sends the plurality of partial data to the plurality of types of communication networks, addressed to the destination application,
An encryption unit that encrypts the partial data in order to ensure communication security of the transmission data,
The transmission device, wherein the encryption unit targets only partial data transmitted to some communication networks among the plurality of types of communication networks. 前記暗号化部は、前記複数種類の通信ネットワークのうち、通信速度が最も大きい通信ネットワークに送出される部分データのみを暗号化の対象とすることを特徴とする請求項1に記載の送信装置。   2. The transmission apparatus according to claim 1, wherein the encryption unit targets only partial data transmitted to a communication network having the highest communication speed among the plurality of types of communication networks. 複数種類の通信ネットワークと接続され、
送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割するデータ分割部と、
前記複数の部分データそれぞれについて前記複数種類の通信ネットワークのいずれかを送出先として選択するネットワーク選択部と、
前記送信先アプリケーションに宛てて、前記複数の部分データを前記複数種類の通信ネットワークに送出するデータ送信部と、
送信データの通信セキュリティを確保するために、部分データを暗号化する暗号化部と、を備え、
前記暗号化部は、前記複数の部分データそれぞれを送出先の通信ネットワークごとに異なる暗号化方法にて暗号化することを特徴とする送信装置。 Connected to multiple types of communication networks,
A data dividing unit for dividing data to be transmitted from the transmission source application to the transmission destination application into a plurality of partial data;
A network selection unit that selects one of the plurality of types of communication networks as a transmission destination for each of the plurality of partial data;
A data transmission unit that sends the plurality of partial data to the plurality of types of communication networks, addressed to the destination application,
An encryption unit that encrypts the partial data in order to ensure communication security of the transmission data,
The transmission device, wherein the encryption unit encrypts each of the plurality of partial data by using different encryption methods for each communication network as a transmission destination. 送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割する処理と、
前記複数の部分データそれぞれについて複数種類の通信ネットワークのいずれかを送出先として選択する処理と、
前記送信先アプリケーションに宛てて、前記複数の部分データを前記複数種類の通信ネットワークに送出する処理と、
送信データの通信セキュリティを確保するために、部分データを暗号化する処理と、コンピュータに実行させ、
前記複数種類の通信ネットワークのうち、一部の通信ネットワークに送出される部分データのみを暗号化の対象とすることを特徴とするデータ送信プログラム。 A process of dividing data to be transmitted from the transmission source application to the transmission destination application into a plurality of partial data;
A process of selecting one of a plurality of types of communication networks as a destination for each of the plurality of partial data;
A process of sending the plurality of partial data to the plurality of types of communication networks, addressed to the destination application;
In order to ensure the communication security of the transmission data, let the computer execute the process of encrypting the partial data,
A data transmission program characterized in that only partial data transmitted to some of the plurality of types of communication networks is subject to encryption.
JP2008285879A 2008-11-06 2008-11-06 Transmitter Pending JP2010114693A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008285879A JP2010114693A (en) 2008-11-06 2008-11-06 Transmitter

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008285879A JP2010114693A (en) 2008-11-06 2008-11-06 Transmitter

Publications (1)

Publication Number Publication Date
JP2010114693A true JP2010114693A (en) 2010-05-20

Family

ID=42302898

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008285879A Pending JP2010114693A (en) 2008-11-06 2008-11-06 Transmitter

Country Status (1)

Country Link
JP (1) JP2010114693A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013027042A (en) * 2011-07-19 2013-02-04 Sk Telecom Kk Transmitting device, receiving device, and operation method thereof
JP2013141072A (en) * 2011-12-28 2013-07-18 Murata Mach Ltd Relay server
JP2019071593A (en) * 2017-10-11 2019-05-09 エヌ・ティ・ティ・コミュニケーションズ株式会社 Communication device, communication system, communication method, and program
JP2020068486A (en) * 2018-10-25 2020-04-30 Msドリーム株式会社 Data communication system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003115869A (en) * 2001-10-05 2003-04-18 Oki Electric Ind Co Ltd Communication device
JP2003198525A (en) * 2001-12-27 2003-07-11 Victor Co Of Japan Ltd Enciphering method for contents and reproducing method for enciphered contents
JP2003338843A (en) * 2002-05-21 2003-11-28 Genetec Corp Routing apparatus and routing method
JP2005252846A (en) * 2004-03-05 2005-09-15 Nec Corp Secret communications system
JP2009010748A (en) * 2007-06-28 2009-01-15 Toshiba Corp Data communication system, data communication method, data transmission terminal, and data transmission method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003115869A (en) * 2001-10-05 2003-04-18 Oki Electric Ind Co Ltd Communication device
JP2003198525A (en) * 2001-12-27 2003-07-11 Victor Co Of Japan Ltd Enciphering method for contents and reproducing method for enciphered contents
JP2003338843A (en) * 2002-05-21 2003-11-28 Genetec Corp Routing apparatus and routing method
JP2005252846A (en) * 2004-03-05 2005-09-15 Nec Corp Secret communications system
JP2009010748A (en) * 2007-06-28 2009-01-15 Toshiba Corp Data communication system, data communication method, data transmission terminal, and data transmission method

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013027042A (en) * 2011-07-19 2013-02-04 Sk Telecom Kk Transmitting device, receiving device, and operation method thereof
JP2013141072A (en) * 2011-12-28 2013-07-18 Murata Mach Ltd Relay server
JP2019071593A (en) * 2017-10-11 2019-05-09 エヌ・ティ・ティ・コミュニケーションズ株式会社 Communication device, communication system, communication method, and program
JP2020068486A (en) * 2018-10-25 2020-04-30 Msドリーム株式会社 Data communication system
JP7236720B2 (en) 2018-10-25 2023-03-10 Msドリーム株式会社 data communication system

Similar Documents

Publication Publication Date Title
Le Blond et al. Towards efficient traffic-analysis resistant anonymity networks
Hsiao et al. LAP: Lightweight anonymity and privacy
US9742806B1 (en) Accessing SSL connection data by a third-party
JP2018521534A (en) Network device and method for processing a session using a packet signature
US20100077203A1 (en) Relay device
CN102088441B (en) Data encryption transmission method and system for message-oriented middleware
US7590245B1 (en) Anonymous communicating over interconnected networks
AU2008203138A1 (en) Method and device for anonymous encrypted mobile data and speech communication
CN101515896B (en) Safe socket character layer protocol message forwarding method, device, system and exchange
EP3721579B1 (en) Secure content routing using one-time pads
JP7194732B2 (en) Apparatus and method for data transmission
EP3909196B1 (en) One-time pads encryption hub
Liu et al. Softwarized IoT network immunity against eavesdropping with programmable data planes
CN102088352B (en) Data encryption transmission method and system for message-oriented middleware
JP2010114693A (en) Transmitter
JP6905697B2 (en) Email system
Tennekoon et al. Prototype implementation of fast and secure traceability service over public networks
Brown Cebolla: Pragmatic ip anonymity
Tennekoon et al. Per-hop data encryption protocol for transmitting data securely over public networks
JP4036199B2 (en) Secret communication method
JP2010114692A (en) Data transmission system, transmission controller, and transmitter
Nunes et al. Namespace tunnels in content-centric networks
CN110995730B (en) Data transmission method and device, proxy server and proxy server cluster
JP2005210380A (en) Method and system for peer-to-peer communication
JP4707325B2 (en) Information processing device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110310

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120509

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120612

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121218