JP2010114693A - Transmitter - Google Patents
Transmitter Download PDFInfo
- Publication number
- JP2010114693A JP2010114693A JP2008285879A JP2008285879A JP2010114693A JP 2010114693 A JP2010114693 A JP 2010114693A JP 2008285879 A JP2008285879 A JP 2008285879A JP 2008285879 A JP2008285879 A JP 2008285879A JP 2010114693 A JP2010114693 A JP 2010114693A
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- data
- unit
- partial data
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、通信技術、特に、通信セキュリティ技術に関する。 The present invention relates to communication technology, and more particularly to communication security technology.
近年、コンピュータの普及とネットワーク技術の進展に伴い、ネットワークを介した電子情報の交換が盛んになっている。これにより、従来においては紙ベースで行われていた事務処理の多くが、ネットワークベースの処理に置き換えられつつある。 In recent years, with the spread of computers and the advancement of network technology, the exchange of electronic information via the network has become popular. As a result, many of the business processes that have been conventionally performed on a paper basis are being replaced by network-based processes.
ネットワーク上を行き交う情報の中には秘匿性が高いものも多い。このため、開放型のインターネット上で、通信セキュリティを確保するためにさまざまな技術が提案されている。
たとえば、SSL(Secure Sockets Layer)では、公開鍵方式にて送信側と受信側で共通鍵を共有し、この共通鍵により送信データの暗号化や復号を行うことにより、通信セキュリティを確保している。その反面、暗号化・復号処理のオーバーヘッドは、通信スループットの低下要因となりかねない。 For example, in SSL (Secure Sockets Layer), a common key is shared between the transmission side and the reception side using a public key method, and communication security is ensured by encrypting and decrypting transmission data using this common key. . On the other hand, the overhead of encryption / decryption processing may cause a reduction in communication throughput.
本発明は、本発明者による上記課題認識に基づいて完成された発明であり、その主たる目的は、通信セキュリティを確保するための新しい方法を提案することにある。 The present invention has been completed based on the above-mentioned problem recognition by the present inventor, and its main object is to propose a new method for ensuring communication security.
本発明のある態様は、複数経路の通信ネットワークを介して受信側通信装置と接続される送信装置に関する。
この装置は、送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割し、複数の部分データを複数種類の通信ネットワークに送出する。また、複数種類の通信ネットワークのうち、一部の通信ネットワークに送出される部分データのみを暗号化する。
One embodiment of the present invention relates to a transmission apparatus connected to a reception-side communication apparatus via a multipath communication network.
This apparatus divides data to be transmitted from a transmission source application to a transmission destination application into a plurality of partial data, and transmits the plurality of partial data to a plurality of types of communication networks. Further, only partial data transmitted to some communication networks among a plurality of types of communication networks is encrypted.
本発明の別の態様もまた、複数種類の通信ネットワークと接続される送信装置に関する。
この装置は、送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割し、複数の部分データを複数種類の通信ネットワークに送出する。また、複数の部分データそれぞれを送出先の通信ネットワークごとに異なる暗号化方法にて暗号化する。
Another aspect of the present invention also relates to a transmission apparatus connected to a plurality of types of communication networks.
This apparatus divides data to be transmitted from a transmission source application to a transmission destination application into a plurality of partial data, and transmits the plurality of partial data to a plurality of types of communication networks. Further, each of the plurality of partial data is encrypted by a different encryption method for each destination communication network.
なお、以上に示した各構成要素の任意の組み合わせ、本発明を方法、システム、記録媒体、コンピュータプログラムにより表現したものもまた、本発明の態様として有効である。 It should be noted that any combination of the above-described components, and the present invention expressed by a method, system, recording medium, and computer program are also effective as an aspect of the present invention.
本発明によれば、通信セキュリティを効率的に高めることができる。 According to the present invention, communication security can be efficiently increased.
図1は、一般的なデータ送信方法を示す模式図である。
同図は、2つの通信装置がインターネット210を介してデータを送受するときの概要を示している。ここでは、送信側の通信装置をクライアント端末202とし、受信側の通信装置をサーバ204とする。
FIG. 1 is a schematic diagram showing a general data transmission method.
This figure shows an outline when two communication devices transmit and receive data via the Internet 210. Here, the transmission side communication device is the
クライアント端末202は、送信データを所定サイズ以内の「パケット」に分割する。各パケットには「ヘッダ」が付与される。ヘッダには、送信先となるサーバ204のIPアドレス(以下、「送信先アドレス」とよぶ)と、送信元であるクライアント端末202のIPアドレス(以下、「送信元アドレス」とよぶ)が設定される。送信先アドレスと送信元アドレスにより、クライアント端末202とサーバ204が特定される。また、サーバ204上において実行されるアプリケーションのうち、送信先となるアプリケーション(以下、「送信先アプリケーション」とよぶ)を一意に特定するポート番号(以下、「送信先ポート番号」とよぶ)と、クライアント端末202上において実行されるアプリケーションのうち、送信元となるアプリケーション(以下、「送信元アプリケーション」とよぶ)を一意に特定するポート番号(以下、「送信元ポート番号」とよぶ)もヘッダに設定される。
The
クライアント端末202は、サーバ204のIPアドレスである送信先アドレスと、送信先アプリケーションの送信先ポート番号、自装置のIPアドレスである送信元アドレスと、送信元アプリケーションの送信元ポート番号をヘッダに設定して、各パケットをインターネット210に送出する。
The
インターネット210には、複数のパケット中継装置206が含まれる。パケット中継装置206は、ルーターやゲートウェイなど、パケット中継機能を備える装置である。各パケット中継装置206は、パケットを受け取ると、そのヘッダの送信先アドレスに基づいて、別のパケット中継装置206にパケットを渡す。パケットは、複数のパケット中継装置206により中継されながら、最終的に目的のサーバ204に到達する。サーバ204は、パケットのヘッダを確認し、どのクライアント端末202のどの送信元アプリケーションからどの送信先アプリケーションに宛てて送信されたパケットであるかを判定する。各パケットにはシーケンス番号とよばれる続き番号が付与されており、サーバ204はシーケンス番号順にパケットをつなぎ合わせることにより、送信データ全体を復元する。
The Internet 210 includes a plurality of packet relay devices 206. The packet relay device 206 is a device having a packet relay function, such as a router or a gateway. When each packet relay device 206 receives the packet, it passes the packet to another packet relay device 206 based on the transmission destination address of the header. The packet finally reaches the
TCP(Transmission Control Protocol)の場合、クライアント端末202はサーバ204と通信経路(コネクション)を確立してから、データ送信を開始する。データの通り道であるコネクションが確立されると、各パケットはコネクション上の各パケット中継装置206を経由する。同図の場合、パケット中継装置206a、206b、206c、206d、206e、206f、206gを経由して、サーバ204に到達する経路がコネクションとして確立している。
In the case of TCP (Transmission Control Protocol), the
このような送信方法の場合、コネクションの一部、たとえば、同図における点Pにて送信中のデータを覗き見されると、送信データのすべてが窃取されてしまう。送信データが暗号化されていれば、窃取されても解読できないが、復号のための鍵まで盗まれてしまうと同じ問題が発生する。
本発明は、このような問題点に対処するために、2つの方法を提案する。それぞれ、第1実施例および第2実施例として説明する。なお、第1実施例と第2実施例を特に区別しないときやまとめていうときには、「本実施例」とよぶ。
In the case of such a transmission method, if a part of the connection, for example, data being transmitted at a point P in the figure is peeped, all of the transmission data is stolen. If the transmission data is encrypted, it cannot be decrypted even if it is stolen, but the same problem occurs if the key for decryption is stolen.
The present invention proposes two methods to deal with such problems. These will be described as a first embodiment and a second embodiment, respectively. When the first embodiment and the second embodiment are not particularly distinguished or collectively referred to as “this embodiment”.
[第1実施例]
図2は、第1実施例におけるデータ送信方法を示す模式図である。
第1実施例においては、送信装置としてのクライアント端末300は、伝送制御装置400を介してインターネット210と接続される。第1実施例におけるクライアント端末300は、IPアドレスを1つしか割り当てられていないものとして説明する。クライアント端末300と伝送制御装置400により、データ通信システム100が形成される。以下においては、主として、データ通信システム100のうちの送信機能、すなわち、データ送信システムとしての側面を中心として説明する。本実施例においては、クライアント端末300と伝送制御装置400は別々の装置であるとして説明するが、クライアント端末300が伝送制御装置400の機能を備えてもよい。伝送制御装置400は、パケット中継装置230aとパケット中継装置230bの2接点からインターネット210に接続している。
[First embodiment]
FIG. 2 is a schematic diagram showing a data transmission method in the first embodiment.
In the first embodiment, a
クライアント端末300は、まず、送信データを構成するパケット群を伝送制御装置400に送る。伝送制御装置400は、これらのパケット群を2群に分ける。第1群のパケットはパケット中継装置230aからインターネット210に送出され、第2群のパケットはパケット中継装置230bからインターネット210に送出される。パケット中継装置230aから受信装置としてのサーバ220までのコネクション(以下、「第1コネクション」とよぶ)と、パケット中継装置230bからサーバ220までのコネクション(以下、「第2コネクション」とよぶ)の2つのコネクションが確立されることになる。
First, the
このような送信方法の場合、コネクションの一部、たとえば、第1コネクションの途中で送信中のデータを覗き見されても、送信データの一部は第2コネクションを経由しているため、送信データのすべてが窃取されることはない。したがって、図1に示した一般的な送信方法に比べて通信セキュリティが向上する。3系統以上に分散させれば、更に通信セキュリティを向上させることができる。 In the case of such a transmission method, even if a part of the connection, for example, data being transmitted in the middle of the first connection is looked into, a part of the transmission data passes through the second connection. All of them will not be stolen. Therefore, communication security is improved as compared with the general transmission method shown in FIG. If distributed to three or more systems, communication security can be further improved.
より具体的には、クライアント端末300は、送信データを複数(たとえば2つ)の経路に分散させて送信するため、送信元ポート番号および送信先ポート番号をそれぞれ複数(たとえば2つ)ずつ、設定する。ここで、サーバ220が複数の経路から受信したパケット群を統合するためには複数のポート番号同士の間隔を一定に保つことが好ましいので、1つの送信先アプリケーションに対して2つの送信先ポート番号を設定することによってクライアント端末300とサーバ220との間に送信データを分散させる複数の経路を介してサーバ220との接続が確立されるようにするとよい。たとえば、本来の送信先ポート番号(以下、「第1送信先ポート番号」とよぶ)が80番であるとき、2つ目の送信先ポート番号(以下、「第2送信先ポート番号」とよぶ)には、第1送信先ポート番号に所定のオフセット値、たとえば、2000を加算した2080番を設定する。クライアント端末300は、所定の基準にしたがって、送信データを構成する各パケットに対して第1送信先ポート番号か第2送信先ポート番号のいずれかを送信先ポート番号として設定する。たとえば、シーケンス番号が偶数のパケットに第1送信先ポート番号、奇数のパケット群に第2送信先ポート番号を設定してもよい。
More specifically, the
伝送制御装置400は、クライアント端末300からあらかじめ通知されたオフセット値よりも送信先ポート番号が小さいパケット(第1送信先ポート番号=80のパケット)をパケット中継装置230aから送出する。一方、オフセット値よりも送信先ポート番号が大きいパケット(第2送信先ポート番号=2080のパケット)はパケット中継装置230bから送出される。サーバ220には、送信先ポート番号2080の送信先アプリケーションと送信先ポート番号80の送信先アプリケーションが同一である旨があらかじめクライアント端末300から通知されている。サーバ220は、送信先ポート番号80のパケットと、送信先ポート番号2080をシーケンス番号にしたがってつなぎ合わせることにより、送信データ全体を復元する。
The
伝送制御装置400は、オフセット値に対する大小にしたがって、パケット中継装置230aとパケット中継装置230bのいずれかを「データ送出点」として選択するため、伝送制御装置400の処理をシンプルにできる。
Since the
図3は、データ通信システム100の機能ブロック図である。
伝送制御装置400やクライアント端末300のいずれかにより図3の各機能が実現されるのではなく、データ通信システム100全体として図3の各機能が実現される。各機能ブロックが伝送制御装置400とクライアント端末300のいずれによって実現されるかは発明の本質に関わるものではない。システム全体を構築する上で、各種機能の分担を伝送制御装置400とクライアント端末300の間でどのように切り分けるかは、通信環境や計算機能力など、クライアント端末300の動作環境なども考慮して設計されればよい。
同図においては、データ通信システム100の送信機能、すなわち、データ送信システムとしての側面を中心として説明する。データ通信システム100は、クライアント端末300と伝送制御装置400を含む。ここでは、クライアント端末300は送信するデータをTCPデータに分割して伝送制御装置400に送り、伝送制御装置400はTCPデータをIPデータに変換して通信ネットワークにパケットを送り出す。
FIG. 3 is a functional block diagram of the
Each function of FIG. 3 is not realized by either the
In the figure, the transmission function of the
クライアント端末300:
クライアント端末300は、送受信制御部500、データ送信部502、データ受信部504、入出力制御部506およびデータ保持部508を含む。送受信制御部500は、データの送受信を制御する。送受信制御部500は、ポート番号設定部304を含む。クライアント端末300は図示を省略したデータ分割部で送信するデータを分割する。そしてポート番号設定部304は、分割されたデータそれぞれに別々の送信先ポート番号を設定する。データ送信部502は、データにTCPヘッダを付与してパケットを作り、図示しない送信バッファに溜め、順次伝送制御装置400に送出する。データ受信部504は、伝送制御装置400からパケットを受信し、図示しない受信バッファに溜め、受信バッファからパケットを順次取り出し、TCPヘッダを外すことにより送信データの中身を取り出し、分割されたデータを、図示しないデータ集約部で統合して送信データを復元する。入出力制御部506は、送信データや受信データを保持するデータ保持部508とのアクセスを制御する。
なお、クライアント端末300が伝送制御装置400としての機能を内蔵する場合には、クライアント端末300と伝送制御装置400のイントラネット等のネットワークを介した送受信処理は不要である。この場合、送信バッファや受信バッファを介して、データ受信部504からデータ分割部306、あるいは、データ集約部516からデータ受信部504にパケットを直接渡すことになる。
Client terminal 300:
The
When the
伝送制御装置400:
伝送制御装置400は、伝送制御部510、経路確立部404、送受信部512および暗号化部408を含む。暗号化部408の機能は、クライアント端末300や伝送制御装置400とは別の外部装置にて提供されてもよい。伝送制御部510は、データの送受信を制御する。伝送制御部510は、送出点設定部406を含む。送出点設定部406は、部分データのデータ送出点として、パケット中継装置230aとパケット中継装置230bのいずれかを送信先ポート番号に基づいて選択する。経路確立部404は、パケット中継装置230aからサーバ220までの第1コネクション、パケット中継装置230bからサーバ220までの第2コネクションをそれぞれ確立する。より具体的には、経路確立部404は、サーバ220に対して第1送信先ポート番号について第1のコネクションを確立し、第1のコネクションを介して第2送信先ポート番号を通知した上で、第2のコネクションを確立する。
Transmission control device 400:
The
送受信部512は、データの送受信を実行する。送受信部512は、データ分割部306、データ送信部514、データ集約部516およびデータ受信部518を含む。データ分割部306は、クライアント端末300のデータ送信部502からTCPヘッダ付きのパケットを受信する。そして、これらのパケット群を2つのパケット群(以下、分割されたパケット群を「部分データ」とよぶ)に仕分けする。この仕分けは、ポート番号設定部304により設定された送信先ポート番号に基づく。データ送信部514は、各パケットにIPヘッダ等を付与する。データ送信部514は、2種類の部分データをパケット中継装置230aおよびパケット中継装置230bのそれぞれから、時間的に並行して、サーバ220に宛ててインターネット210に送出する。
The transmission /
データ受信部518は、サーバ220からパケットを受信し、ヘッダを外す。データ集約部516は、こうして得られたパケットをシーケンス番号にしたがって組み立てる。
The
暗号化部408は、2種類の部分データの双方または一方を暗号化する。暗号化部408は、たとえば、第1コネクションにおいてSSLにより共通鍵をサーバ220とやり取りし、第1コネクションから送出する部分データをこの共通鍵にて暗号化して送信する。一方、第2コネクションの部分データは暗号化せずに送信する。このような態様によれば、従来のSSLのように送信データ全体を暗号化するわけではないため、暗号化・復号にともなうオーバーヘッドを低減できる。
The
あるいは、暗号化部408は、第1コネクションと第2コネクションを別々の暗号化方式にて暗号化してもよい。たとえば、第1コネクションと第2コネクションでは別々の共通鍵を使用してもよい。このような態様によれば、通信セキュリティをいっそう堅牢化できる。
Alternatively, the
サーバ220:
サーバ220は、経路確立部520、送受信制御部522、送受信部524、復号部536、入出力制御部534およびデータ保持部538を含む。経路確立部520は、伝送制御装置400の経路確立部404と協働して、第1コネクションと第2コネクションを確立する。送受信制御部522は、データの送受信を制御する。送受信部524はデータの送受信を実行する。送受信部524は、IPデータ受信部526、TCPデータ受信部528、IPデータ送信部530およびTCPデータ送信部532を含む。IPデータ受信部526は、伝送制御装置400のデータ送信部514から部分データを受信し、部分データを構成するパケットからIPヘッダを外す。TCPデータ受信部528は、IPデータ受信部526からパケットを取得し、TCPヘッダを外す。TCPデータ送信部532は、サーバ220から送信されるデータにTCPヘッダを付与し、IPデータ送信部530は、更に、IPヘッダを付与して伝送制御装置400に送出する。
Server 220:
The
復号部536は、伝送制御装置400の暗号化部408により暗号化されたデータを復号する。入出力制御部534は、送信データや受信データを保持するデータ保持部538とのアクセスを制御する。復号部536の機能は、サーバ220とは別の外部装置にて提供されてもよい。
The
サーバ220がウェブサーバであるとして、具体例を説明する。HTTP(HyperText Transfer Protocol)に割り当てられるポート番号は80番であるため、データ通信システム100は第1送信先ポート番号=80、第2送信先ポート番号=2080として、サーバ220にアクセスする。送信元アプリケーションのポート番号は第1送信先ポート番号に対応したポート番号(第1送信元ポート番号)が50番であり、第2送信先ポート番号に対応したポート番号(第2送信元ポート番号)が2050番であるとする。アクセス時に、送信元アドレス、、第1送信先ポート番号=80、第1送信元ポート番号=50だけでなく、第2送信元ポート番号=2050、第2送信先ポート番号=2080もサーバ220に通知する。この通知により、サーバ220に第1送信先ポート番号=80の送信先アプリケーションと第2送信先ポート番号=2080の送信先アプリケーションが同一である旨を認識させる。サーバ220は、第2送信先ポート番号=2080を80番に読み替えてもよい。
A specific example will be described assuming that the
図4は、第1実施例におけるパケットの流れを示す模式図である。
クライアント端末300は、送信先ポート番号=80、第1送信元ポート番号=50のパケットと、送信先ポート番号=2080、第2送信元ポート番号=2050のパケットの2種類のパケットを伝送制御装置400に送出する。伝送制御装置400は、第1送信先ポート番号=80のパケット群を「第1部分データ」としてパケット中継装置230aへ、第2送信先ポート番号=2080のパケット群を「第2部分データ」としてパケット中継装置230bに送る。より具体的には、伝送制御装置400は、オフセット値=2000よりも送信先ポート番号が小さいパケットを第1部分データとしてパケット中継装置230aへ、オフセット値以上の送信先ポート番号となっているパケットを第2部分データとしてパケット中継装置230bに送る。サーバ220は、第1コネクションと第2コネクションからそれぞれ第1部分データと第2部分データを受信し、シーケンス番号にしたがってこれらをつなぎ合わせる。
FIG. 4 is a schematic diagram showing a packet flow in the first embodiment.
The
第1部分データと第2部分データは時間的に並行してインターネット210に送出されるため、全体としての通信スループットを向上させやすい。また、2系統に分けて送信することにより、通信セキュリティを高めることができる。通信セキュリティは、暗号化により更に高めることができる。サーバ220は、実質的に、第2送信先ポート番号を第1送信先ポート番号に読み替えるだけなので、第1実施例の仕組みを既存の通信システムに導入しやすいというメリットもある。
Since the first partial data and the second partial data are transmitted to the
[第2実施例]
図5は、第2実施例におけるデータ送信方法を示す模式図である。
第2実施例においても、送信装置320(クライアント端末)から受信装置240(サーバ)にデータを送信するとき、2系統以上に分散してデータを送信する。送信装置320は、無線LANなどのローカルな無線ネットワーク250と、有線LANなどのローカルな有線ネットワーク260を介してインターネット210と接続される。本実施例においては、伝送制御装置400を設置しないが、送信装置320の機能の一部を肩代わりするための制御装置を設けてもよい。
[Second Embodiment]
FIG. 5 is a schematic diagram showing a data transmission method in the second embodiment.
Also in the second embodiment, when data is transmitted from the transmission device 320 (client terminal) to the reception device 240 (server), the data is distributed in two or more systems. The
送信装置320は、無線ネットワーク250用のIPアドレスであるIPB1と有線ネットワーク260用のIPアドレスであるIPB2を有する。送信装置320は、送信データを構成するパケット群を2群に分ける。第1群のパケット(第1部分データ)は、パケット中継装置270aから無線ネットワーク250を経由してインターネット210に送出される。第2群のパケット(第2部分データ)は、パケット中継装置270bから有線ネットワーク260を経由してインターネット210に送出される。送信装置320は、間接的には、パケット中継装置270cとパケット中継装置270dの2地点からインターネット210に接続している。このため、パケット中継装置270a、270cから受信装置240に至るまでのコネクション(第1コネクション)と、パケット中継装置270b、270dから受信装置240に至るまでのコネクション(第2コネクション)の2つのコネクションが確立される。
The
このような送信方法の場合、コネクションの一部、たとえば、第1コネクションの途中で送信中のデータを覗き見されても、送信データの一部は第2コネクションを経由しているため、送信データのすべてが窃取されることはない。このため、図1に示した従来の送信方法に比べて通信セキュリティが向上する。3系統以上に分散させれば、更に通信セキュリティを向上させることができる。 In the case of such a transmission method, even if a part of the connection, for example, data being transmitted in the middle of the first connection is looked into, a part of the transmission data passes through the second connection. All of them will not be stolen. For this reason, communication security improves compared with the conventional transmission method shown in FIG. If distributed to three or more systems, communication security can be further improved.
送信装置320は、1つの送信元アプリケーションに対して2つの送信元アドレスを設定する。送信装置320は、送信データを構成するパケット群を所定の基準にしたがって2群に分ける。たとえば、シーケンス番号が偶数のパケットを第1群、奇数のパケット群を第2群としてもよい。
The
送信装置320は、送信元アドレス=IPB1のパケットはパケット中継装置270aから送出する。一方、送信元アドレス=IPB2のパケットはパケット中継装置270bから送出する。受信装置240には、送信元アドレス=IPB1の送信装置320と送信元アドレス=IPB2の送信装置320が同一である旨があらかじめ送信装置320から通知されている。受信装置240は、送信元アドレス=IPB1のパケットと、送信元アドレス=IPB2のパケットをシーケンス番号にしたがってつなぎ合わせることにより、送信データ全体を復元する。
The
図6は、第2実施例における送信装置320の機能ブロック図である。
送信装置320は、データ送信部322、経路確立部324、ネットワーク選択部326、データ分割部328および暗号化部330を含む。データ分割部328は、送信データを構成するパケット群を2つの部分データに分割する。ネットワーク選択部326は、部分データごとに別々の送信元アドレスを設定する。いいかえれば、ネットワーク選択部326は、部分データごとに送出先ネットワークとして無線ネットワーク250か有線ネットワーク260のいずれかを設定する。経路確立部324は、パケット中継装置270aから受信装置240までの第1コネクション、パケット中継装置270bから受信装置240までの第2コネクションをそれぞれ確立する。データ送信部322は、2種類の部分データをパケット中継装置270aおよびパケット中継装置270bのそれぞれから、時間的に並行して、受信装置240に宛てて無線ネットワーク250と有線ネットワーク260にそれぞれ送出する。
FIG. 6 is a functional block diagram of the
The
暗号化部330は、2種類の部分データの双方または一方を暗号化する。暗号化部330は、たとえば、第1コネクションにおいてSSLにより共通鍵を受信装置240とやり取りし、第1コネクションから送出する部分データをこの共通鍵にて暗号化して送信する。一方、第2コネクションの部分データは暗号化せずに送信する。このような態様によれば、第1実施例と同様、従来のSSLのように送信データ全体を暗号化するわけではないため、暗号化・復号にともなうオーバーヘッドを低減できる。
The
有線ネットワーク260よりも送信データが窃取されるリスクが高い無線ネットワーク250のみを暗号化の対象としてもよい。あるいは、無線ネットワーク250と有線ネットワーク260のうち、実効通信速度が高い方に送出される部分データを暗号化の対象としてもよい。暗号化・復号処理にともなうオーバーヘッドを考慮して、高速回線側を暗号化の対象とすれば、全体としての通信スループットを維持しやすくなる。
Only the
暗号化部330は、第1コネクションと第2コネクションを別々の暗号化方式にて暗号化してもよい。たとえば、第1コネクションと第2コネクションでは別々の共通鍵を使用してもよい。このような態様によれば、第1実施例と同様、通信セキュリティをいっそう堅牢化できる。
The
送信装置320は、送信元アドレス=IPB1にて第1コネクションを確立するとき、送信元アドレス=IPB1だけでなく、送信元アドレス=IPB2についても受信装置240に通知する。この通知により、受信装置240は、送信元アドレス=IPB1の送信装置320と送信元アドレス=IPB2の送信装置が同一である旨を認識する。受信装置240は、送信元アドレス=IPB2をIPB1に読み替えてもよい。
When establishing the first connection with the transmission source address = IPB1, the
図7は、第2実施例におけるパケットの流れを示す模式図である。
送信装置320は、送信先アドレス=IPA、送信元アドレス=IPB1のパケット(第1部分データ)と、送信先アドレス=IPA、送信元アドレス=IPB2のパケット(第2部分データ)の2種類のパケットをパケット中継装置270aとパケット中継装置270bそれぞれに送出する。受信装置240は、第1コネクションと第2コネクションからそれぞれ第1部分データと第2部分データを受信し、シーケンス番号にしたがってこれらをつなぎ合わせる。
FIG. 7 is a schematic diagram showing a packet flow in the second embodiment.
The
第1部分データと第2部分データは時間的に並行してインターネット210に送出されるため、全体としての通信スループットを向上させやすい。また、2系統に分けて送信することにより、通信セキュリティを高めることができる。通信セキュリティは、暗号化により更に高めることができる。
Since the first partial data and the second partial data are transmitted to the
以上、実施例に基づいて複数系統によるデータ送信方法について説明した。
第1実施例におけるデータ通信システム100によれば、複数の送信元ポート番号によりデータを複数系統に分散させることにより、通信セキュリティを高めることができる。IPアドレスはイントラネットにおいてはサブネットごとに数が限られ、インターネットにおいては全世界的に数が限られているため、1つの通信装置に複数のIPアドレスを設定する場合には、未使用のIPアドレスを適切に選ぶ必要がある。一方、ポート番号は通信機器ごとに自由に設定できる。このため、ポート番号を設定するための人的作業は不要である。本実施例においては、説明の明確化のために、送信先ポート番号を80番や2080番として説明したが、少なくとも第2送信先ポート番号は、49152番以降のDYNAMIC AND/OR PRIVATE PORTSから設定することが望ましい。
The data transmission method using a plurality of systems has been described above based on the embodiments.
According to the
第1送信先ポート番号に所定のオフセット値を加算することにより、第2送信先ポート番号を設定すれば、伝送制御装置400は、オフセット値に対する大小のみに基づいてデータ送出点を選択できる。このため、伝送制御装置400の処理を簡素化できる。また、複数の通信経路から各部分データを同時期に送出することにより、通信スループットを向上させやすくなる。
If the second destination port number is set by adding a predetermined offset value to the first destination port number, the
複数の通信経路の一部のみを暗号化の対象とすれば、暗号化にともなうオーバーヘッドを低減できる。複数の通信経路を別々の暗号化方式にて暗号化すれば、通信セキュリティをいっそう向上させることができる。パスワードなどの重大な個人情報の送信に際しては、少量の送信データであっても、本実施例のように複数系統に分けて送信することにより、インターネット210上の取引をより安全なものとすることができる。
If only a part of a plurality of communication paths is to be encrypted, overhead associated with encryption can be reduced. If a plurality of communication paths are encrypted with different encryption methods, communication security can be further improved. When transmitting important personal information such as passwords, transactions on the
第2実施例における送信装置320においても、通信経路を分散させることより、通信セキュリティ、通信スループットを高めることができる。第1実施例と同じく、複数の通信経路の一部のみを暗号化の対象とすることにより、暗号化にともなうオーバーヘッドを抑制できる。複数の通信経路を別々の暗号化方式にて暗号化すれば、通信セキュリティをいっそう向上させることができる。
Also in the
以上、本発明について実施例をもとに説明した。実施の形態は例示であり、それらの各構成要素や各処理プロセスの組み合わせにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。 The present invention has been described based on the embodiments. The embodiments are exemplifications, and it will be understood by those skilled in the art that various modifications can be made to combinations of the respective constituent elements and processing processes, and such modifications are within the scope of the present invention. .
本実施例においては、TCPによりコネクションを確立してから、データ送信を行うことを前提として説明したが、UDP(User Datagram Protocol)であっても本実施例と同様の効果を発揮させることができる。コネクションを確立しないUDPの場合、各パケットがどのような通信経路を辿るかは送信側でコントロールできないため、結果的に各パケットが同一経路を辿る可能性もある。本実施例によれば送信側が通信経路を意図的に分散させることができるため、通信セキュリティや通信スループットを高める上で効果的である。 In the present embodiment, the description has been made on the assumption that data transmission is performed after establishing a connection by TCP. However, even with UDP (User Datagram Protocol), the same effect as in the present embodiment can be exhibited. . In the case of UDP that does not establish a connection, since what kind of communication route each packet follows cannot be controlled on the transmission side, there is a possibility that each packet will follow the same route as a result. According to the present embodiment, the transmission side can intentionally distribute the communication path, which is effective in improving communication security and communication throughput.
送信データを部分データに分割するとき、シーケンス番号以外にも、時間や乱数に基づいてよって送信データを分割してもよい。たとえば、パケット生成時刻の下一桁が偶数のときには当該パケットを第1部分データに分類し、奇数であれば第2部分データに分類してもよい。あるいは、各パケットをランダムに第1部分データと第2部分データに分類してもよい。 When the transmission data is divided into partial data, the transmission data may be divided based on time and random numbers in addition to the sequence number. For example, the packet may be classified as first partial data when the last digit of the packet generation time is an even number, and may be classified as second partial data when the packet generation time is an odd number. Alternatively, each packet may be randomly classified into first partial data and second partial data.
また、クライアント端末300は全パケットをそのまま伝送制御装置400に送信し、伝送制御装置400は受信時刻や乱数等の任意の条件に基づいて、各パケットをパケット中継装置230aとパケット中継装置230bのどちらから送り出すかを自ら決定してもよい。
Further, the
第1部分データと第2部分データのデータ量の比率は1対1でなくてもよい。たとえば、実効通信速度が高速なコネクションの側により多くのパケットが送出されるように、第1実施例のデータ分割部306や第2実施例のデータ分割部328は第1部分データと第2部分データのデータ量の比率を調整してもよい。
The ratio of the data amount of the first partial data and the second partial data may not be 1: 1. For example, the
複数の送信先ポート番号や複数の送信元アドレスを使うときであっても、単一のコネクションにてデータを送信してもよい。このとき、所定の送信先ポート番号や所定の送信元アドレスのパケットのみを暗号化の対象とすれば、少なくとも、暗号化・復号にともなうオーバーヘッドを、送信データ全体を暗号化するよりも低減できる。 Even when a plurality of transmission destination port numbers or a plurality of transmission source addresses are used, data may be transmitted through a single connection. At this time, if only packets having a predetermined transmission destination port number and a predetermined transmission source address are to be encrypted, at least the overhead associated with encryption / decryption can be reduced as compared with encryption of the entire transmission data.
第1実施例と第2実施例は組合せ可能である。たとえば、第2実施例のように2以上のローカル・ネットワークに接続されるとき、送出先のローカル・ネットワークごとに複数の送信先ポート番号を設定してもよい。この場合においては、送信装置320とパケット中継装置270aの間に伝送制御装置400を設置する。伝送制御装置400は、無線ネットワーク250や有線ネットワーク260といった各ローカル・ネットワークに対して複数地点から接続する。送信装置320は、送信先IPアドレス=IPB1、送信先ポート番号=P1のパケットと、送信先IPアドレス=IPB1、送信先ポート番号=P2のパケットを伝送制御装置400に送り出す。この場合、伝送制御装置400は、送信先ポート番号に応じて送出先のネットワーク内における通信経路も分散させることができる。
The first embodiment and the second embodiment can be combined. For example, when connected to two or more local networks as in the second embodiment, a plurality of destination port numbers may be set for each destination local network. In this case, the
100 データ通信システム、 202 クライアント端末、 204 サーバ、 206 パケット中継装置、 210 インターネット、 220 サーバ、 230 パケット中継装置、 240 受信装置、 250 無線ネットワーク、 260 有線ネットワーク、 270 パケット中継装置、 300 送信装置、 302 部分データ送信部、 304 ポート番号設定部、 306 データ分割部、 320 送信装置、 322 データ送信部、 324 経路確立部、 326 ネットワーク選択部、 328 データ分割部、 330 暗号化部、 400 伝送制御装置、 402 データ送信部、 404 経路確立部、 406 送出点設定部、 408 暗号化部、 410 部分データ受信部。 100 data communication system, 202 client terminal, 204 server, 206 packet relay device, 210 Internet, 220 server, 230 packet relay device, 240 receiving device, 250 wireless network, 260 wired network, 270 packet relay device, 300 transmitting device, 302 Partial data transmission unit, 304 port number setting unit, 306 data division unit, 320 transmission device, 322 data transmission unit, 324 route establishment unit, 326 network selection unit, 328 data division unit, 330 encryption unit, 400 transmission control device, 402 data transmission unit, 404 route establishment unit, 406 sending point setting unit, 408 encryption unit, 410 partial data reception unit.
Claims (4)
送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割するデータ分割部と、
前記複数の部分データそれぞれについて前記複数種類の通信ネットワークのいずれかを送出先として選択するネットワーク選択部と、
前記送信先アプリケーションに宛てて、前記複数の部分データを前記複数種類の通信ネットワークに送出するデータ送信部と、
送信データの通信セキュリティを確保するために、部分データを暗号化する暗号化部と、を備え、
前記暗号化部は、前記複数種類の通信ネットワークのうち、一部の通信ネットワークに送出される部分データのみを暗号化の対象とすることを特徴とする送信装置。 Connected to the receiving communication device via a multi-path communication network,
A data dividing unit for dividing data to be transmitted from the transmission source application to the transmission destination application into a plurality of partial data;
A network selection unit that selects one of the plurality of types of communication networks as a transmission destination for each of the plurality of partial data;
A data transmission unit that sends the plurality of partial data to the plurality of types of communication networks, addressed to the destination application,
An encryption unit that encrypts the partial data in order to ensure communication security of the transmission data,
The transmission device, wherein the encryption unit targets only partial data transmitted to some communication networks among the plurality of types of communication networks.
送信元アプリケーションから送信先アプリケーションに送信すべきデータを複数の部分データに分割するデータ分割部と、
前記複数の部分データそれぞれについて前記複数種類の通信ネットワークのいずれかを送出先として選択するネットワーク選択部と、
前記送信先アプリケーションに宛てて、前記複数の部分データを前記複数種類の通信ネットワークに送出するデータ送信部と、
送信データの通信セキュリティを確保するために、部分データを暗号化する暗号化部と、を備え、
前記暗号化部は、前記複数の部分データそれぞれを送出先の通信ネットワークごとに異なる暗号化方法にて暗号化することを特徴とする送信装置。 Connected to multiple types of communication networks,
A data dividing unit for dividing data to be transmitted from the transmission source application to the transmission destination application into a plurality of partial data;
A network selection unit that selects one of the plurality of types of communication networks as a transmission destination for each of the plurality of partial data;
A data transmission unit that sends the plurality of partial data to the plurality of types of communication networks, addressed to the destination application,
An encryption unit that encrypts the partial data in order to ensure communication security of the transmission data,
The transmission device, wherein the encryption unit encrypts each of the plurality of partial data by using different encryption methods for each communication network as a transmission destination.
前記複数の部分データそれぞれについて複数種類の通信ネットワークのいずれかを送出先として選択する処理と、
前記送信先アプリケーションに宛てて、前記複数の部分データを前記複数種類の通信ネットワークに送出する処理と、
送信データの通信セキュリティを確保するために、部分データを暗号化する処理と、コンピュータに実行させ、
前記複数種類の通信ネットワークのうち、一部の通信ネットワークに送出される部分データのみを暗号化の対象とすることを特徴とするデータ送信プログラム。 A process of dividing data to be transmitted from the transmission source application to the transmission destination application into a plurality of partial data;
A process of selecting one of a plurality of types of communication networks as a destination for each of the plurality of partial data;
A process of sending the plurality of partial data to the plurality of types of communication networks, addressed to the destination application;
In order to ensure the communication security of the transmission data, let the computer execute the process of encrypting the partial data,
A data transmission program characterized in that only partial data transmitted to some of the plurality of types of communication networks is subject to encryption.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008285879A JP2010114693A (en) | 2008-11-06 | 2008-11-06 | Transmitter |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008285879A JP2010114693A (en) | 2008-11-06 | 2008-11-06 | Transmitter |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010114693A true JP2010114693A (en) | 2010-05-20 |
Family
ID=42302898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008285879A Pending JP2010114693A (en) | 2008-11-06 | 2008-11-06 | Transmitter |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010114693A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013027042A (en) * | 2011-07-19 | 2013-02-04 | Sk Telecom Kk | Transmitting device, receiving device, and operation method thereof |
JP2013141072A (en) * | 2011-12-28 | 2013-07-18 | Murata Mach Ltd | Relay server |
JP2019071593A (en) * | 2017-10-11 | 2019-05-09 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Communication device, communication system, communication method, and program |
JP2020068486A (en) * | 2018-10-25 | 2020-04-30 | Msドリーム株式会社 | Data communication system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003115869A (en) * | 2001-10-05 | 2003-04-18 | Oki Electric Ind Co Ltd | Communication device |
JP2003198525A (en) * | 2001-12-27 | 2003-07-11 | Victor Co Of Japan Ltd | Enciphering method for contents and reproducing method for enciphered contents |
JP2003338843A (en) * | 2002-05-21 | 2003-11-28 | Genetec Corp | Routing apparatus and routing method |
JP2005252846A (en) * | 2004-03-05 | 2005-09-15 | Nec Corp | Secret communications system |
JP2009010748A (en) * | 2007-06-28 | 2009-01-15 | Toshiba Corp | Data communication system, data communication method, data transmission terminal, and data transmission method |
-
2008
- 2008-11-06 JP JP2008285879A patent/JP2010114693A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003115869A (en) * | 2001-10-05 | 2003-04-18 | Oki Electric Ind Co Ltd | Communication device |
JP2003198525A (en) * | 2001-12-27 | 2003-07-11 | Victor Co Of Japan Ltd | Enciphering method for contents and reproducing method for enciphered contents |
JP2003338843A (en) * | 2002-05-21 | 2003-11-28 | Genetec Corp | Routing apparatus and routing method |
JP2005252846A (en) * | 2004-03-05 | 2005-09-15 | Nec Corp | Secret communications system |
JP2009010748A (en) * | 2007-06-28 | 2009-01-15 | Toshiba Corp | Data communication system, data communication method, data transmission terminal, and data transmission method |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013027042A (en) * | 2011-07-19 | 2013-02-04 | Sk Telecom Kk | Transmitting device, receiving device, and operation method thereof |
JP2013141072A (en) * | 2011-12-28 | 2013-07-18 | Murata Mach Ltd | Relay server |
JP2019071593A (en) * | 2017-10-11 | 2019-05-09 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Communication device, communication system, communication method, and program |
JP2020068486A (en) * | 2018-10-25 | 2020-04-30 | Msドリーム株式会社 | Data communication system |
JP7236720B2 (en) | 2018-10-25 | 2023-03-10 | Msドリーム株式会社 | data communication system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Le Blond et al. | Towards efficient traffic-analysis resistant anonymity networks | |
Hsiao et al. | LAP: Lightweight anonymity and privacy | |
US9742806B1 (en) | Accessing SSL connection data by a third-party | |
JP2018521534A (en) | Network device and method for processing a session using a packet signature | |
US20100077203A1 (en) | Relay device | |
CN102088441B (en) | Data encryption transmission method and system for message-oriented middleware | |
US7590245B1 (en) | Anonymous communicating over interconnected networks | |
AU2008203138A1 (en) | Method and device for anonymous encrypted mobile data and speech communication | |
CN101515896B (en) | Safe socket character layer protocol message forwarding method, device, system and exchange | |
EP3721579B1 (en) | Secure content routing using one-time pads | |
JP7194732B2 (en) | Apparatus and method for data transmission | |
EP3909196B1 (en) | One-time pads encryption hub | |
Liu et al. | Softwarized IoT network immunity against eavesdropping with programmable data planes | |
CN102088352B (en) | Data encryption transmission method and system for message-oriented middleware | |
JP2010114693A (en) | Transmitter | |
JP6905697B2 (en) | Email system | |
Tennekoon et al. | Prototype implementation of fast and secure traceability service over public networks | |
Brown | Cebolla: Pragmatic ip anonymity | |
Tennekoon et al. | Per-hop data encryption protocol for transmitting data securely over public networks | |
JP4036199B2 (en) | Secret communication method | |
JP2010114692A (en) | Data transmission system, transmission controller, and transmitter | |
Nunes et al. | Namespace tunnels in content-centric networks | |
CN110995730B (en) | Data transmission method and device, proxy server and proxy server cluster | |
JP2005210380A (en) | Method and system for peer-to-peer communication | |
JP4707325B2 (en) | Information processing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110310 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120509 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120612 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121218 |