JP2011077887A - Packet transfer system, packet transfer method, communication apparatus and packet transfer program - Google Patents

Packet transfer system, packet transfer method, communication apparatus and packet transfer program Download PDF

Info

Publication number
JP2011077887A
JP2011077887A JP2009228013A JP2009228013A JP2011077887A JP 2011077887 A JP2011077887 A JP 2011077887A JP 2009228013 A JP2009228013 A JP 2009228013A JP 2009228013 A JP2009228013 A JP 2009228013A JP 2011077887 A JP2011077887 A JP 2011077887A
Authority
JP
Japan
Prior art keywords
tunnel
communication device
key exchange
setting
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009228013A
Other languages
Japanese (ja)
Inventor
Yutaka Ibuki
豊 伊吹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Networks Co Ltd
Original Assignee
Oki Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Networks Co Ltd filed Critical Oki Networks Co Ltd
Priority to JP2009228013A priority Critical patent/JP2011077887A/en
Publication of JP2011077887A publication Critical patent/JP2011077887A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To transmit an encryption packet while reducing a header size of the packet rather than a conventional generic routing encapsulation (GRE)-over-IPsec communication system, and to perform packet transmission while reducing tunnel setup steps. <P>SOLUTION: In a packet transfer system, a transfer packet is encapsulated according to a predetermined key exchange protocol and transferred between a first communication apparatus and a second communication apparatus which is opposed to the first communication apparatus. The first communication apparatus has a mode notifying means for notifying the second communication apparatus of an encapsulation system that the first communication apparatus requests, in the case of negotiation with the second communication apparatus according to the key exchange protocol. The second communication apparatus has a mode recognizing means for recognizing the encapsulation system that the first communication apparatus requests. The first communication apparatus and the second communication apparatus have tunnel setting means for setting a tunnel according to the encapsulation system using the key exchange protocol. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、パケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムに関し、例えば、仮想プライベートネットワーク(VPN:Vertual Private Network)上でパケット転送を実現するパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムに適用し得るものである。   The present invention relates to a packet transfer system, a packet transfer method, a communication device, and a packet transfer program. For example, a packet transfer system, a packet transfer method, a communication device, and a packet transfer system that realize packet transfer on a virtual private network (VPN) It can be applied to a packet transfer program.

従来、仮想プライベートネットワークを用いて、VPNゲートウェイ装置間でパケット転送を実現する方法の1つとして、例えばGRE Over IPSec通信方式があり(特許文献1、非特許文献1参照)、この通信方式が広く利用されている。   Conventionally, as one method for realizing packet transfer between VPN gateway devices using a virtual private network, for example, there is a GRE Over IPSec communication method (see Patent Document 1 and Non-Patent Document 1), and this communication method is widely used. It's being used.

GRE(Generic Routing Encapsulation)とはトンネルプロトコルの1つであり、IETFのRFC1701、RFC2784で規定されている標準化技術である。   GRE (Generic Routing Encapsulation) is one of the tunnel protocols, and is a standardized technology defined by RFC 1701 and RFC 2784 of IETF.

GREトンネリングでは、トンネルの両端のVPNゲートウェイ装置が、任意のプロトコルをIP(Internet Protocol)トンネル内でカプセル化してパケット転送を行い、又受信したパケットのカプセル化の解除を行う。そのため、トンネルの両端のVPNゲートウェイ装置が、直結したパケット転送を行うように見える。   In GRE tunneling, VPN gateway devices at both ends of the tunnel encapsulate an arbitrary protocol in an IP (Internet Protocol) tunnel to perform packet transfer, and decapsulate the received packet. Therefore, the VPN gateway devices at both ends of the tunnel appear to perform packet transfer directly connected.

しかし、GREは、暗号化機能を備えていない。そのため、ルーティングセキュリティが保たれても、データそのものに対するセキュリティが保たれていない。そこで、データの安全性を保つために、図2に示すようにGRE Over IPsecを用いている。   However, GRE does not have an encryption function. Therefore, even if routing security is maintained, security for the data itself is not maintained. Therefore, in order to maintain data safety, GRE Over IPsec is used as shown in FIG.

ここで、IPsec(Security Architecture For Internet Protocol)は、暗号技術を用いてIPパケット単位のデータの改竄防止や秘匿性等を提供するプロトコルである。   Here, IPsec (Security Architecture For Internet Protocol) is a protocol that provides encryption prevention, confidentiality, and the like of data in units of IP packets using encryption technology.

IPsecでは、AH(Authentication Header)とESP(Encapsulating Security Payload)といつ2つのセキュリティプロトコルが定義されている。AHは、パケットの認証機能を提供し、ESPは、パケットの認証機能と暗号化機能を提供するものであり、セキュリティポリシーに応じていずれかの機能を選択することができる。   In IPsec, two security protocols are defined when AH (Authentication Header) and ESP (Encapsulating Security Payload). The AH provides a packet authentication function, and the ESP provides a packet authentication function and an encryption function. Either function can be selected according to the security policy.

また、IPsecの動作モードとしては、トランスポートモードとトンネルモードとがある。トランスポートモードは、元のIPパケットのペイロードのみをIPsecのパケットにカプセル化するモードであり、トンネルモードは、元のIPパケットの全てをIPsecのパケットにカプセル化するモードである。   In addition, the IPsec operation mode includes a transport mode and a tunnel mode. The transport mode is a mode in which only the payload of the original IP packet is encapsulated in an IPsec packet, and the tunnel mode is a mode in which all of the original IP packet is encapsulated in an IPsec packet.

GRE Over IPsec通信を行う際、VPNゲートウェイ装置間でGREトンネルを確立した後、そのGREトンネル上を流れるパケットをトランスポートモードのIPsecを利用して暗号化していた。   When performing GRE Over IPsec communication, after establishing a GRE tunnel between VPN gateway devices, packets flowing on the GRE tunnel are encrypted using transport mode IPsec.

特開2008−306725号公報JP 2008-306725 A

シスコシステムズ合同会社、テクニカルサポート、「GRE Over IPSecVPNを用いたLAN−to−LAN接続設定例」、2006年1月27日初版、インターネット検索、http://www.cisco.com/JP/support/public/loc/tac/100/1005663/gre_overipsec.shtmlCisco Systems LLC, Technical Support, “Example of LAN-to-LAN connection configuration using GRE Over IPSec VPN”, January 27, 2006, first edition, Internet search, http://www.cisco.com/JP/support/public /loc/tac/100/1005663/gre_overipsec.shtml

上述したGREトンネリングは、カプセル化されるプロトコルとして、IP、IPX、Apple Talk、CLNS、DECnet、VINES、Banyanなど様々なレイヤ3プロトコルを利用することができる。   The GRE tunneling described above can use various layer 3 protocols such as IP, IPX, Apple Talk, CLNS, DECnet, VINES, and Banyan as encapsulated protocols.

しかしながら、ネットワークプロトコルにIPのみを採用している環境において、従来のようなGRE over IPsec方式を行うと、GREトンネルの確立後に、暗号化処理を行うため、図3に示すように、転送されるパケットサイズはトンネルモードのIPsecパケットに比べて、GREヘッダサイズ(8Byte)分オーバヘッドが増加してしまうという問題がある。   However, in an environment where only IP is used as a network protocol, when the conventional GRE over IPsec method is performed, encryption processing is performed after the GRE tunnel is established, and therefore, as shown in FIG. The packet size has a problem that the overhead increases by the GRE header size (8 bytes) compared to the IPsec packet in the tunnel mode.

また、GER over IPsec通信を確立する際、オペレータ(VPNゲートウェイ装置)は、
(a)GREトンネル確立
(b)IKE等の鍵交換プロトコルの設定
と2段階の手順を踏まなければならなかった。
Also, when establishing GER over IPsec communication, the operator (VPN gateway device)
(A) GRE tunnel establishment (b) Key exchange protocol setting such as IKE and two steps were required.

そのため、従来のGRE over IPsec通信方式よりも、パケットのヘッダサイズを小さくして暗号パケットを伝送することができ、かつ、トンネル確立工程を少なくしてパケット伝送することができるパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムが求められている。   Therefore, a packet transfer system and packet transfer capable of transmitting an encrypted packet with a smaller header size than the conventional GRE over IPsec communication method and transmitting a packet with a reduced number of tunnel establishment steps There is a need for a method, a communication device, and a packet transfer program.

かかる課題を解決するために、第1の本発明のパケット転送システムは、第1の通信装置と、第1の通信装置に対向する第2の通信装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送するパケット転送システムにおいて、(1)第1の通信装置が、鍵交換プロトコルによる第2の通信装置との間のネゴシエーションの際、自装置が要求するカプセル方式を第2の通信装置に通知するモード通知手段を有し、(2)第2の通信装置が、第1の通信装置の要求するカプセル方式を認識するモード認識手段を有し、(3)第1の通信装置及び第2の通信装置は、鍵交換プロトコルを用いて、カプセル方式によるトンネルを設定するトンネル設定手段を有することを特徴とする。   In order to solve such a problem, a packet transfer system according to a first aspect of the present invention provides a predetermined key exchange protocol between a first communication device and a second communication device facing the first communication device. In a packet transfer system for encapsulating a transfer packet and transferring the packet, (1) the first communication device requests a capsule method requested by itself when negotiating with the second communication device by a key exchange protocol. (2) the second communication device has mode recognition means for recognizing the capsule method requested by the first communication device, and (3) the first communication device The communication apparatus and the second communication apparatus include a tunnel setting unit that sets a tunnel by a capsule method using a key exchange protocol.

第2の本発明のパケット転送方法は、第1の通信装置と、第1の通信装置に対向する第2の通信装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送するパケット転送方法において、(1)第1の通信装置が、鍵交換プロトコルによる第2の通信装置との間のネゴシエーションの際、自装置が要求するカプセル方式を第2の通信装置に通知するモード通知工程と、(2)第2の通信装置が、第1の通信装置の要求するカプセル方式を認識するモード認識工程と、(3)第1の通信装置及び第2の通信装置は、鍵交換プロトコルを用いて、カプセル方式によるトンネルを設定するトンネル設定工程とを有することを特徴とする。   The packet transfer method according to the second aspect of the present invention encapsulates a transfer packet according to a predetermined key exchange protocol between the first communication device and the second communication device facing the first communication device. (1) A mode in which the first communication device notifies the second communication device of the capsule method requested by itself when negotiating with the second communication device using the key exchange protocol. A notification step, (2) a mode recognition step in which the second communication device recognizes the capsule method requested by the first communication device, and (3) a key exchange between the first communication device and the second communication device. And a tunnel setting step for setting a capsule-based tunnel using a protocol.

第3の本発明の通信装置は、対向装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送する通信装置において、(1)鍵交換プロトコルにより対向装置との間でネゴシエーションを行うネゴシエーション手段と、(2)ネゴシエーション手段による対向装置との間のネゴシエーションの際、自装置が要求するカプセル方式を対向装置に通知するモード通知手段と、(3)対向装置の要求するカプセル方式を認識するモード認識手段と、(4)鍵交換プロトコルを用いて、カプセル方式によるトンネルを設定するトンネル設定手段とを備えることを特徴とする。   The communication device according to the third aspect of the present invention is a communication device that encapsulates a transfer packet in accordance with a predetermined key exchange protocol with the opposite device and transfers the packet. (1) Negotiation with the opposite device using the key exchange protocol (2) mode notification means for notifying the opposite device of the capsule method requested by the own device when negotiating between the opposite device by the negotiation means; and (3) the capsule method requested by the opposite device. And (4) tunnel setting means for setting a capsule-based tunnel using a key exchange protocol.

第4の本発明のパケット転送プログラムは、対向装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送する通信装置を、(1)鍵交換プロトコルにより対向装置との間でネゴシエーションを行うネゴシエーション手段、(2)ネゴシエーション手段による対向装置との間のネゴシエーションの際、自装置が要求するカプセル方式を対向装置に通知するモード通知手段、(3)対向装置の要求するカプセル方式を認識するモード認識手段、(4)鍵交換プロトコルを用いて、カプセル方式によるトンネルを設定するトンネル設定手段として機能させることを特徴とする。   According to a fourth aspect of the present invention, there is provided a packet transfer program comprising: (1) a communication device that encapsulates a transfer packet in accordance with a predetermined key exchange protocol and transfers the packet to / from an opposite device; Negotiation means for performing negotiation, (2) Mode notification means for notifying the opposite apparatus of the capsule method requested by the own apparatus when negotiating with the opposite apparatus by the negotiation means, and (3) Capsule method requested by the opposite apparatus. A mode recognizing means for recognizing, and (4) functioning as a tunnel setting means for setting a capsule tunnel using a key exchange protocol.

本発明によれば、従来方式(GRE over IPsec通信方式)よりも、パケットのヘッダサイズを小さくして暗号パケットを伝送することができ、かつ、トンネル確立工程を少なくしてパケット伝送することができる。   According to the present invention, an encrypted packet can be transmitted with a smaller header size than the conventional method (GRE over IPsec communication method), and a packet can be transmitted with fewer tunnel establishment steps. .

第1の実施形態の通信装置の内部構成を示す内部構成図である。It is an internal block diagram which shows the internal structure of the communication apparatus of 1st Embodiment. 従来のGRE over IPsec通信を説明する説明図である。It is explanatory drawing explaining the conventional GRE over IPsec communication. 従来のGRE over IPsecのパケットサイズを示す図である。It is a figure which shows the packet size of the conventional GRE over IPsec. 第1の実施形態のパケット転送システムの構成を示す構成図である。It is a block diagram which shows the structure of the packet transfer system of 1st Embodiment. 第1の実施形態のトンネル設定部の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the tunnel setting part of 1st Embodiment. 第1の実施形態のネゴシエーション部の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the negotiation part of 1st Embodiment. 第1の実施形態のセキュリティポリシーの構成例を示す構成図である。It is a block diagram which shows the structural example of the security policy of 1st Embodiment. 第1の実施形態のセキュリティアソシエーションの構成例を示す構成図である。It is a block diagram which shows the structural example of the security association of 1st Embodiment. 第1の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。It is a sequence diagram which shows the IPIP over IPsec tunnel establishment process of 1st Embodiment. 第1の実施形態の通信装置における処理を示すフローチャートである。It is a flowchart which shows the process in the communication apparatus of 1st Embodiment. IKEv1のメッセージの構成を説明する説明図である。It is explanatory drawing explaining the structure of the message of IKEv1. 第2の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。It is a sequence diagram which shows the IPIP over IPsec tunnel establishment process of 2nd Embodiment. 第3の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。It is a sequence diagram which shows the IPIP over IPsec tunnel establishment process of 3rd Embodiment. 第3の実施形態の通信装置における処理を示すフローチャートである。It is a flowchart which shows the process in the communication apparatus of 3rd Embodiment.

(A)第1の実施形態
以下では、本発明のパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムの第1の実施形態を、図面を参照しながら説明する。
(A) First Embodiment Hereinafter, a packet transfer system, a packet transfer method, a communication apparatus, and a packet transfer program according to a first embodiment of the present invention will be described with reference to the drawings.

第1の実施形態は、本発明を利用して、例えば、ネットワークプロトコルとしてIPを採用する環境において、IPパケットをインターネットプロトコル(IP)でカプセル化してトンネル内をパケット転送するパケット転送システムのIPIPトンネル確立処理を実現する実施形態を例示する。   The first embodiment uses the present invention to, for example, an IPIP tunnel of a packet transfer system that encapsulates an IP packet with an Internet protocol (IP) and transfers the packet in the tunnel in an environment where IP is used as a network protocol. 2 illustrates an embodiment for realizing the establishment process.

なお、本発明は、後述するようにIPIPトンネルを確立するものであり、例えば、IETFのRFC1853「IP in Tunneling」の規定等に適用することができる。RFC1853では、IPヘッダを他のIPヘッダで単純に包むことが提案されており、IPIPトンネルのパケットのカプセル化形式が示されている。   The present invention establishes an IPIP tunnel as will be described later, and can be applied to, for example, the provisions of RFC 1853 “IP in Tunneling” of IETF. In RFC1853, it is proposed to simply wrap an IP header with another IP header, and an IPIP tunnel packet encapsulation format is shown.

また、本発明は、IPヘッダを他のヘッダで包む観点で捉えるならば、RFC1853をモバイルIP(Mobie IP)向けに拡張したRFC2003「IP Encapsulation within IP」の規定等にも適用できる。   The present invention can also be applied to the provisions of RFC 2003 “IP Encapsulation within IP” in which RFC1853 is expanded for mobile IP (Mobile IP) if the IP header is understood from the viewpoint of wrapping it with other headers.

(A−1)第1の実施形態の構成
図4は、第1の実施形態のパケット転送システム5の構成を示す構成図である。図4に示すように、ネットワーク20及びサブネットAに接続する通信装置10−1と、ネットワーク20及びサブネットBに接続する通信装置10−2を備える。
(A-1) Configuration of the First Embodiment FIG. 4 is a configuration diagram showing the configuration of the packet transfer system 5 of the first embodiment. As shown in FIG. 4, the communication apparatus 10-1 connected to the network 20 and the subnet A, and the communication apparatus 10-2 connected to the network 20 and the subnet B are provided.

ネットワーク20は、例えばインターネットに代表されるように、通信プロトコルをインターネットプロトコル(IP)とする通信網を想定し、例えば拠点間のパケット転送を行うWAN(Wide Area Network)が該当する。   The network 20 is assumed to be a communication network whose communication protocol is the Internet protocol (IP) as represented by the Internet, for example, and corresponds to, for example, a WAN (Wide Area Network) that performs packet transfer between bases.

サブネットA及びサブネットBは、例えば通信プロトコルをインターネットプロトコル(IP)とする通信網を想定し、例えばローカルエリアネットワーク(LAN)等のサブネットワークが該当する。   The subnet A and the subnet B are assumed to be a communication network whose communication protocol is the Internet protocol (IP), for example, and correspond to a subnetwork such as a local area network (LAN).

通信装置10−1及び通信装置10−2は、対向する通信装置との間で、所定のトンネルプロトコルに従ってトンネルを確立してパケット転送を行う通信装置であり、例えば、VPNゲートウェイ装置やVPNルータ装置などのパケット転送装置を適用することができる。   The communication device 10-1 and the communication device 10-2 are communication devices that establish a tunnel according to a predetermined tunnel protocol with a facing communication device and perform packet transfer. For example, a VPN gateway device or a VPN router device A packet transfer apparatus such as can be applied.

また、通信装置10−1及び通信装置10−2は、暗号化処理に係る鍵交換プロトコルに従ったネゴシエーションの際に、自装置が利用するカプセル化方式(カプセル化モード)を対向装置に通知し、又自装置が対向装置から通知されたカプセル化方式に対応可能である場合にはその旨を応答し、鍵交換後に、上記カプセル化方式に従ったトンネルを確立するものである。   In addition, the communication device 10-1 and the communication device 10-2 notify the opposite device of the encapsulation method (encapsulation mode) used by the communication device 10-1 and the communication device 10-2 in the negotiation according to the key exchange protocol related to the encryption process. If the own device can cope with the encapsulation method notified from the opposite device, it responds to that effect, and establishes a tunnel according to the encapsulation method after key exchange.

ここで、第1の実施形態では、所定のトンネルプロトコルとしてIPsecを適用し、鍵交換プロトコルとしてIKEv1(Internet Key Exchange Protocol version 1)を適用するものとする。   Here, in the first embodiment, IPsec is applied as a predetermined tunnel protocol, and IKEv1 (Internet Key Exchange Protocol version 1) is applied as a key exchange protocol.

また、図4に示すように、ネットワークプロトコルとしてIPのみを利用する場合であり、通信装置10−1及び通信装置10−2が、IPIP over IPsecトンネルを確立する場合を中心に説明する。IPIP over IPsecトンネルを確立することで、自装置と対向装置との間で特定のパケットを暗号化することができる。   Also, as shown in FIG. 4, the description will focus on the case where only IP is used as the network protocol, and the communication device 10-1 and the communication device 10-2 establish an IPIP over IPsec tunnel. By establishing an IPIP over IPsec tunnel, a specific packet can be encrypted between the own device and the opposite device.

図1は、通信装置10−1及び通信装置10−2の内部構成を示す内部構成図である。なお、通信装置10−1と通信装置10−2との内部構成は同一であり、共通する構成要素を説明する場合には「通信装置10」と示して説明する。   FIG. 1 is an internal configuration diagram illustrating an internal configuration of the communication device 10-1 and the communication device 10-2. Note that the internal configurations of the communication device 10-1 and the communication device 10-2 are the same, and in the description of the common components, the communication device 10-1 and the communication device 10-2 will be described as “communication device 10”.

図1において、通信装置10は、ユーザインタフェース部100、プログラム部200、ネットワークスタック部300を少なくとも有して構成される。   In FIG. 1, the communication device 10 includes at least a user interface unit 100, a program unit 200, and a network stack unit 300.

ユーザインタフェース部100は、ユーザによる所定の設定情報の入力を受け付ける処理部又は装置である。ユーザインタフェース部100は、例えば、HTTP(HyperText Transfer Protocol)サーバ等を利用したGUI(Graphical User Interface)を適用することができ、IPIP over IPsecトンネルを確立するために必要な設定情報の入力を行う。   The user interface unit 100 is a processing unit or device that accepts input of predetermined setting information by a user. The user interface unit 100 can apply, for example, a GUI (Graphical User Interface) using an HTTP (HyperText Transfer Protocol) server or the like, and inputs setting information necessary for establishing an IPIP over IPsec tunnel.

ここで、IPIP over IPsecトンネルを確立するために必要な設定情報としては、主として、IPIPトンネル確立に係る設定情報と、鍵交換プロトコルの設定に係る設定情報とがある。   Here, the setting information necessary for establishing an IPIP over IPsec tunnel mainly includes setting information related to establishment of an IPIP tunnel and setting information related to setting of a key exchange protocol.

IPIPトンネル確立に係る設定情報(トンネル確立設定情報)としては、具体的に、(a)対向装置のアドレス(IPアドレス等)、(b)自装置のアドレス(IPアドレス等)、(c)IPIPトンネルのアドレス(例えば、自装置のサブネット側ネットワークアドレスに属すアドレス等)、(d)IPIPトンネルに流したいトラフィックのルーティング設定(例えば、対向装置のサブネットを指定する情報等)等がある。   Specifically, the setting information (tunnel establishment setting information) related to the IPIP tunnel establishment includes (a) the address (IP address, etc.) of the opposite device, (b) the address (IP address, etc.) of the own device, and (c) IPIP. There are tunnel addresses (for example, addresses belonging to the subnet side network address of the own device), (d) routing settings for traffic to be passed through the IPIP tunnel (for example, information specifying the subnet of the opposite device), and the like.

また、鍵交換プロトコルの設定に係る設定情報(鍵交換設定情報)としては、具体的に、(e)対向装置のアドレス(IPアドレス等)、(f)自装置のアドレス(IPアドレス等)、(g)事前鍵共有方式(PSK:Pre Shared Key)認証用パフフレーズ(パスワード)又はRSA認証用デジタル証明書等がある。   In addition, as the setting information (key exchange setting information) related to the setting of the key exchange protocol, specifically, (e) the address of the opposite device (IP address, etc.), (f) the address of the own device (IP address, etc.), (G) There is a pre-shared key (PSK) authentication puff phrase (password), a digital certificate for RSA authentication, or the like.

ユーザインタフェース部100は、上記のような設定情報の入力を受け付け、入力された設定情報をプログラム部200の鍵交換管理部210に与える。なお、鍵交換管理部210では、上記設定情報の入力について、「(a)と(e)」、「(b)と(f)」は同じ値が設定されるため、一方が設定されたら、他方に同じ値を自動挿入するようにする。これにより、オペレータの設定作業を軽減することができる。   The user interface unit 100 receives the input of the setting information as described above, and gives the input setting information to the key exchange management unit 210 of the program unit 200. The key exchange management unit 210 sets the same value for “(a) and (e)” and “(b) and (f)” when the setting information is input. The same value is automatically inserted into the other. Thereby, an operator's setting work can be reduced.

プログラム部200は、自装置(通信装置)10のOS(オペレーティングシステム)上で実行される各処理機能部を提供するものである。プログラム部200は、図1に示すように、鍵交換管理部210、SP(セキュリティポリシー)設定部220、SA(セキュリティアソシエーション)部230、トンネル設定部240、ネゴシエーション部250を少なくとも有する。   The program unit 200 provides each processing function unit executed on the OS (operating system) of the own device (communication device) 10. As shown in FIG. 1, the program unit 200 includes at least a key exchange management unit 210, an SP (security policy) setting unit 220, an SA (security association) unit 230, a tunnel setting unit 240, and a negotiation unit 250.

鍵交換管理部210は、ユーザインタフェース部100からの設定情報に応じて、対向装置との間でネゴシエーション管理を行い、対向装置との間で安全に鍵交換処理を制御するものである。   The key exchange management unit 210 performs negotiation management with the opposing device in accordance with the setting information from the user interface unit 100, and controls key exchange processing safely with the opposing device.

鍵交換管理部210は、ユーザインタフェース部100から受け取った鍵交換設定情報をSA設定部230に与え、SAD(セキュリティデータベース)320にセキュリティアソシエーションの設定情報の設定登録させるものである。   The key exchange management unit 210 gives the key exchange setting information received from the user interface unit 100 to the SA setting unit 230 and causes the SAD (security database) 320 to set and register the security association setting information.

また、鍵交換管理部210は、ユーザインタフェース部100から受け取ったトンネル確立設定情報をトンネル設定部240に与えるものである。これにより、トンネル設定部240は、トンネル確立設定情報を用いて対向装置との間でIPIPトンネルを確立することができる。   In addition, the key exchange management unit 210 gives the tunnel setting setting information received from the user interface unit 100 to the tunnel setting unit 240. Thereby, the tunnel setting unit 240 can establish an IPIP tunnel with the opposite device using the tunnel establishment setting information.

また、鍵交換管理部210は、ユーザインタフェース部100からの設定情報に基づいて、今回のパケットをIPIP over IPsec通信で対向装置へ伝送する場合、IPIP over IPsecトンネルを対向装置との間で確立すべき旨の指示を、ネゴシエーション部250及びトンネル設定部240に行うものである。   In addition, the key exchange management unit 210 establishes an IPIP over IPsec tunnel with the opposite device when transmitting the current packet to the opposite device by IPIP over IPsec communication based on the setting information from the user interface unit 100. An instruction to the effect is given to the negotiation unit 250 and the tunnel setting unit 240.

さらに、鍵交換管理部210は、対向装置がIPIP over IPsecトンネルの確立要求してきたことをネゴシエーション部250から受けると、トンネル設定部240に対して、カプセル化方式が一致するか否かを判断させ、IPIPトンネルを対向装置との間で確立すべき旨の指示を行うものである。   Furthermore, when the key exchange management unit 210 receives from the negotiation unit 250 that the opposite device has requested establishment of an IPIP over IPsec tunnel, the key exchange management unit 210 causes the tunnel setting unit 240 to determine whether or not the encapsulation methods match. Instructing that an IPIP tunnel should be established with the opposite device.

SP設定部220は、ユーザインタフェース部100からの設定情報を鍵交換管理部210を通じて、ネットワークスタック部300のSPD(セキュリティポリシーデータベース)310にセキュリティポリシーを設定するものである。   The SP setting unit 220 sets the security policy in the SPD (security policy database) 310 of the network stack unit 300 through the key exchange management unit 210 using the setting information from the user interface unit 100.

SA設定部230は、ユーザインタフェース部100からの設定情報(鍵交換設定情報)を鍵交換管理部210を通じて、ネットワークスタック部300のSAD(セキュリティアソシエーションデータベース)320にセキュリティアソシエーションを設定するものである。   The SA setting unit 230 sets the security association in the SAD (security association database) 320 of the network stack unit 300 through the key exchange management unit 210 with the setting information (key exchange setting information) from the user interface unit 100.

トンネル設定部240は、ユーザインタフェース部100からのトンネル確立設定情報に基づいて、自装置と対向装置との間で、カプセル化モードとしてIPIPトンネルモードを利用することを認識した後、IPIPトンネルの設定を行うものである。   Based on the tunnel establishment setting information from the user interface unit 100, the tunnel setting unit 240 recognizes that the IPIP tunnel mode is used as the encapsulation mode between the own device and the opposite device, and then sets the IPIP tunnel. Is to do.

図5は、トンネル設定部240の機能構成を示すブロック図である。図5に示すように、トンネル設定部240は、IPIPトンネル処理起動設定部241、IPIPトンネル生成部242、ルーティング設定部243、トンネル確立設定情報格納部244を少なくとも有する。   FIG. 5 is a block diagram illustrating a functional configuration of the tunnel setting unit 240. As illustrated in FIG. 5, the tunnel setting unit 240 includes at least an IPIP tunnel processing activation setting unit 241, an IPIP tunnel generation unit 242, a routing setting unit 243, and a tunnel establishment setting information storage unit 244.

IPIPトンネル処理起動設定部241は、自装置と対向装置との間で、IPIPトンネルモードを利用すると認識すると、自装置のOS上でIPIPトンネルの生成に関する処理が行えるように設定するものである。   When the IPIP tunnel process activation setting unit 241 recognizes that the IPIP tunnel mode is to be used between the own apparatus and the opposite apparatus, the IPIP tunnel process activation setting unit 241 performs settings related to the generation of the IPIP tunnel on the OS of the own apparatus.

例えば、自装置のOSがLinux(登録商標)の場合、IPIPトンネル処理起動設定部241は、IP/IPプロトコルデコーダ処理に関するモジュール(例えばipip.o等)やトンネル処理に関するモジュール(例えばnew_tunnel.o(tunnel.o)等)をローディングし、OS上でIPIPトンネルに関する処理が行えるようにする。   For example, when the OS of the own apparatus is Linux (registered trademark), the IPIP tunnel processing activation setting unit 241 includes a module (for example, ipip.o) related to the IP / IP protocol decoder processing or a module (for example, new_tunnel.o (for example) related to tunnel processing). tunnel.o), etc.) is loaded so that the IPIP tunnel processing can be performed on the OS.

また、IPIPトンネル処理起動設定部241は、上記のようにしてローティングしたIPIPトンネルの生成処理に関するモジュールが正常にローディングできたか否かを確認するものである。   The IPIP tunnel processing activation setting unit 241 confirms whether or not the module related to the generation processing of the IPIP tunnel rotated as described above has been normally loaded.

例えば、IPIPトンネル処理起動設定部241は、ロードされているモジュールの一覧にローディングしたモジュールが存在するか否かを確認することにより、正常のローディングできたか否かを判断する。   For example, the IPIP tunnel processing activation setting unit 241 determines whether or not normal loading has been performed by checking whether or not the loaded module exists in the list of loaded modules.

IPIPトンネル生成部242は、IPIPトンネルの設定準備が整うと、OS上でトンネルの通信に用いる擬似デバイス(例えばtun10等)の生成及び設定を行い、トンネル確立設定情報を用いて対向装置との間でIPIPトンネルを生成するものである。   When IPIP tunnel setting preparation is completed, the IPIP tunnel generation unit 242 generates and sets a pseudo device (for example, tun10) used for tunnel communication on the OS, and uses the tunnel establishment setting information to communicate with the opposite device. To generate an IPIP tunnel.

例えば、IPIPトンネル生成部242は、擬似デバイスを生成すると、対向装置のIPアドレスと紐付けを行うことで、IPIPトンネルを生成する。   For example, when the IPIP tunnel generation unit 242 generates a pseudo device, the IPIP tunnel generation unit 242 generates an IPIP tunnel by associating with the IP address of the opposite device.

ルーティング設定部242は、生成したIPIPトンネルで経由するネットワークに関するルーティングの設定を行うものである。   The routing setting unit 242 sets the routing related to the network through the generated IPIP tunnel.

例えば、ルーティング設定部243は、対向装置と通信するWANインタフェースである通信処理部のインタフェースAの通信経路を、生成したIPIPトンネルで経由するように設定する。   For example, the routing setting unit 243 sets the communication path of the interface A of the communication processing unit, which is a WAN interface that communicates with the opposite device, to pass through the generated IPIP tunnel.

トンネル確立設定情報格納部244は、トンネル確立設定情報を格納するものである。   The tunnel establishment setting information storage unit 244 stores tunnel establishment setting information.

ネゴシエーション部250は、鍵交換管理部210の制御の下、パケット処理部330を介して、対向装置との間で、所定の鍵交換プロトコルに従ったネゴシエーションを行うものである。   The negotiation unit 250 performs negotiation according to a predetermined key exchange protocol with the opposite device via the packet processing unit 330 under the control of the key exchange management unit 210.

また、ネゴシエーション部250は、鍵交換管理部210から自装置が対向装置との愛で、IPIP over IPsecトンネルを確立すべく旨の指示を受けると、鍵交換プロトコルによるネゴシエーション(以下では、鍵交換ネゴシエーションともいう)の際に、自装置が利用するカプセル化方式を対向装置に通知(以下では、カプセル化モードの通知ともいう)するものである。   When the negotiation unit 250 receives an instruction from the key exchange management unit 210 to establish an IPIP over IPsec tunnel in love with the opposite device, the negotiation unit 250 negotiates with the key exchange protocol (hereinafter, key exchange negotiation). In this case, the opposite device is notified of the encapsulation method used by itself (hereinafter also referred to as encapsulation mode notification).

なお、第1の実施形態では、鍵交換プロトコルとしてIKEv1を採用する場合を例示する。これは、鍵交換ネゴシエーションの手順に応じて、自装置が利用するカプセル化方式の通知手順が異なるため、第1の実施形態ではIKEv1の場合を例示し、第2の実施形態ではIKEv2の場合を例示する。   In the first embodiment, a case where IKEv1 is adopted as a key exchange protocol is illustrated. This is because the notification procedure of the encapsulation method used by the own device differs depending on the key exchange negotiation procedure. Therefore, the first embodiment illustrates the case of IKEv1, and the second embodiment illustrates the case of IKEv2. Illustrate.

ここで、カプセル化モードの通知タイミングは、鍵交換ネゴシエーション中の場合を例示するが、鍵交換ネゴシエーション中に限らず、鍵交換ネゴシエーション後に行うようにしても良い。つまり、鍵交換ネゴシエーション後にカプセル化モードの通知を行う場合、通常のトランスポートモードのIPsec暗号通信が可能なので、この暗号通信路を利用して対向装置にカプセル化モードを通知しあうことができるからである。   Here, the notification timing of the encapsulation mode is exemplified when the key exchange negotiation is in progress, but is not limited to during the key exchange negotiation, and may be performed after the key exchange negotiation. In other words, when the encapsulation mode is notified after the key exchange negotiation, since the IPsec encryption communication in the normal transport mode is possible, it is possible to notify the opposite device of the encapsulation mode using this encryption communication path. It is.

図6は、ネゴシエーション部250の機能構成を示すブロック図である。図6に示すように、ネゴシエーション部250は、動作モード通知部251を少なくとも有する。   FIG. 6 is a block diagram illustrating a functional configuration of the negotiation unit 250. As illustrated in FIG. 6, the negotiation unit 250 includes at least an operation mode notification unit 251.

動作モード通知部251は、自装置が利用するカプセル化モードを対向装置に通知するものである。また、受信したカプセル化モードの通知に対する応答を行うものである。動作モード通知部251は、鍵交換プロトコルのIKEv1を拡張して、ネゴシエーションの際に対向装置との間で、カプセル化モードの通知の授受を行う。   The operation mode notification unit 251 notifies the opposite device of the encapsulation mode used by the own device. It also responds to the received encapsulation mode notification. The operation mode notification unit 251 extends IKEv1 of the key exchange protocol, and exchanges an encapsulation mode notification with the opposite device during negotiation.

次に、ネットワークスタック部300は、一般に、通信処理を実行するOS上のネットワークスタックである。ネットワークスタック部300は、図1に示すように、SPD310、SAD320、パケット処理部330、インタフェース部A340−1、インタフェース部B340−2を少なくとも有する。   Next, the network stack unit 300 is generally a network stack on an OS that executes communication processing. As illustrated in FIG. 1, the network stack unit 300 includes at least an SPD 310, an SAD 320, a packet processing unit 330, an interface unit A 340-1, and an interface unit B 340-2.

SPD310は、セキュリティポリシーを保持するデータベースである。図7は、SPD310に保持されるセキュリティポリシーの構成を説明する説明図である。なお図7は、例えば、通信装置10−1におけるセキュリティポリシーを例示する。   The SPD 310 is a database that holds a security policy. FIG. 7 is an explanatory diagram for explaining the configuration of the security policy held in the SPD 310. FIG. 7 illustrates a security policy in the communication device 10-1, for example.

図7において、セキュリティポリシーは、セレクタとして「ローカルIPアドレス」及び「リモートIPアドレス」、「動作」、IPsec「モード」、「SAリンク」等を項目として構成される。   In FIG. 7, the security policy includes “local IP address”, “remote IP address”, “operation”, IPsec “mode”, “SA link”, and the like as items.

なお、必要に応じて、セレクタの欄に、ローカルポート番号、リモートポート番号、上位層プロトコル等を項目を有するようにしても良い。IPsecの欄に、セキュリティプロトコル、暗号化アルゴリズム、認証アルゴリズム等の項目を有するようにしても良い。   If necessary, the selector column may have items such as a local port number, a remote port number, and an upper layer protocol. You may make it have items, such as a security protocol, an encryption algorithm, an authentication algorithm, in the column of IPsec.

「ローカルIPアドレス」は、自装置10−1の接続するサブネットに属する端末のアドレスを格納するものである。図7の場合、通信装置10−2の接続するサブネットBに属するネットワークアドレスとして、「192.168.1.0」〜「198.162.1.255」が設定されている。   The “local IP address” stores the address of the terminal belonging to the subnet connected to the own device 10-1. In the case of FIG. 7, “192.168.1.0” to “198.162.1.255” are set as network addresses belonging to the subnet B to which the communication device 10-2 is connected.

「リモートIPアドレス」は、対向装置の接続するサブネットに属する端末のアドレスを格納するものである。図7の場合、対向装置の1つとして通信端末10−2の接続するサブネットAに属するネットワークアドレスとして、「192.168.2.0」〜「198.162.2.255」が設定されている。   “Remote IP address” stores the address of a terminal belonging to the subnet connected to the opposite apparatus. In the case of FIG. 7, “192.168.2.0” to “198.162.2.255” are set as network addresses belonging to the subnet A to which the communication terminal 10-2 is connected as one of the opposing devices.

「動作」は、動作モードを保持するものであり、例えば図7では、IPIP over IPsecとして動作する場合を例示する。   “Operation” holds the operation mode. For example, FIG. 7 illustrates a case of operating as IPIP over IPsec.

「モード」は、IPsecを行う場合に、トランスポートモードとするか又はトンネルモードとするかを格納するものである。図7では、IPIP over IPsec通信を行う際には、トランスポートを選択することが設定されている。   “Mode” stores whether to use the transport mode or the tunnel mode when performing IPsec. In FIG. 7, it is set to select a transport when performing IPIP over IPsec communication.

「SAリンク」は、SAD320におけるSAと対応付けるための識別子を格納するものである。図7では、鍵交換プロトコルとしてIKEv1を採用する「1」が設定されている。   The “SA link” stores an identifier associated with the SA in the SAD 320. In FIG. 7, “1” that adopts IKEv1 as the key exchange protocol is set.

SAD320は、セキュリティアソシエーションを保持するデータベースである。図8は、SAD320に保持されるセキュリティアソシエーションの構成を説明する説明図である。なお図8は、例えば、通信装置10−1におけるセキュリティアソシエーションを例示する。   The SAD 320 is a database that holds a security association. FIG. 8 is an explanatory diagram for explaining the configuration of the security association held in the SAD 320. FIG. 8 illustrates, for example, the security association in the communication device 10-1.

図8において、セキュリティアソシエーションは、「SPI」、「モード」、「セキュリティプロトコル」、「暗号パラメータ」、「認証パラメータ」等を項目として構成される。   In FIG. 8, the security association includes “SPI”, “mode”, “security protocol”, “encryption parameter”, “authentication parameter”, and the like.

「SPI」は、セキュリティアソシエーションを一意に識別する識別子を格納するものである。   “SPI” stores an identifier for uniquely identifying a security association.

「モード」は、IPsecを行う場合に、トランスポートモードとするか又はトンネルモードとするかを格納するものである。   “Mode” stores whether to use the transport mode or the tunnel mode when performing IPsec.

「セキュリティプロトコル」は、セキュリティプロトコルを格納するものであり、例えば、AH、ESPなどの種別が格納される。   The “security protocol” stores a security protocol, and stores, for example, types such as AH and ESP.

「暗号パラメータ」は、暗号アルゴリズムや鍵などを格納するものである。   The “encryption parameter” stores an encryption algorithm, a key, and the like.

「認証パラメータ」は、認証アルゴリズムや鍵などを格納するものである。   The “authentication parameter” stores an authentication algorithm, a key, and the like.

パケット処理部330は、パケットの送信処理、受信・解析処理、転送処理、暗号化・復号処理等を行う処理部又は装置である。パケット処理部330は、パケットの送受信時に、SPD310から当該パケットのセキュリティポリシーを検索し、セキュリティポリシーがある場合には、セキュリティポリシーに紐付けされたセキュリティアソシエーションをSAD320から検索し、セキュリティポリシーに紐付けされた鍵を用いて、暗号化・復号処理を行い、パケット転送を行う。   The packet processing unit 330 is a processing unit or device that performs packet transmission processing, reception / analysis processing, transfer processing, encryption / decryption processing, and the like. The packet processing unit 330 retrieves the security policy of the packet from the SPD 310 at the time of packet transmission / reception, and if there is a security policy, retrieves the security association associated with the security policy from the SAD 320 and associates it with the security policy. The encrypted key is used for encryption / decryption processing and packet transfer is performed.

インタフェース部A340−1は、ネットワーク20に接続する通信インタフェースであり、インタフェース部B340−2は、サブネットA又はBに接続する通信インタフェースである。   The interface unit A340-1 is a communication interface connected to the network 20, and the interface unit B340-2 is a communication interface connected to the subnet A or B.

(A−2)第1の実施形態の動作
次に、第1の実施形態のパケット転送処理の動作を図面を参照しながら説明する。
(A-2) Operation of the First Embodiment Next, the operation of the packet transfer process of the first embodiment will be described with reference to the drawings.

図9は、第1の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。また、図10は、通信装置10における鍵交換処理のフローチャートである。   FIG. 9 is a sequence diagram illustrating an IPIP over IPsec tunnel establishment process according to the first embodiment. FIG. 10 is a flowchart of key exchange processing in the communication apparatus 10.

なお、図9では、通信装置10−1が、通信10−2を対向装置として、鍵交換プロトコルにIKEv1を拡張して、IKEv1のMainモードを利用して、自動的にIPIP over IPsecトンネルを確立する場合を例示する。   In FIG. 9, the communication apparatus 10-1 automatically establishes an IPIP over IPsec tunnel using the main mode of IKEv1 by extending IKEv1 to the key exchange protocol with the communication 10-2 as the opposite apparatus. The case where it does is illustrated.

まず、通信装置10−1において、ユーザインタフェース部100は、ユーザによる設定情報の入力を読み込み(ステップS201)、鍵交換管理部210の制御の下、根後シーエーション部250が、対向装置である通信装置10−2との間で鍵交換ネゴシエーションを開始する(ステップS202)。   First, in the communication device 10-1, the user interface unit 100 reads the input of setting information by the user (step S201), and the root seating unit 250 is a counter device under the control of the key exchange management unit 210. Key exchange negotiation is started with the communication device 10-2 (step S202).

鍵交換管理部210は、入力した設定情報に基づいて自装置のカプセル化モードを確認し、カプセル化モードがIPIPトンネルモードである場合には(ステップS203)、IPIPトンネルモードを要求することを、対向装置10−2とのネゴシエーション中に通知する(ステップS204)。なお、IPIPトンネルモードでない場合には、入力した設定情報に基づく鍵交換処理が行われる。   The key exchange management unit 210 confirms the encapsulation mode of its own device based on the input setting information, and if the encapsulation mode is the IPIP tunnel mode (step S203), requesting the IPIP tunnel mode is performed. Notification is made during the negotiation with the opposing device 10-2 (step S204). If the mode is not the IPIP tunnel mode, a key exchange process based on the input setting information is performed.

このとき、通信装置10−1と通信装置10−2との間で鍵交換ネゴシエーションが失敗すると(ステップS203)、ネゴシエーションエラーとしてリソースの開放を行い(ステップS212)、処理は終了する。   At this time, if the key exchange negotiation fails between the communication device 10-1 and the communication device 10-2 (step S203), the resource is released as a negotiation error (step S212), and the process ends.

一方、鍵交換ネゴシエーションが成功すると、各通信装置10−1及び10−2では、入力された設定情報に基づいて、SP設定部220がSP設定を行い(ステップS206)、さらにSA設定部230がSA設定を行い(ステップS207)、鍵交換ネゴシエーションが完了する(ステップS208)。   On the other hand, if the key exchange negotiation is successful, in each of the communication devices 10-1 and 10-2, the SP setting unit 220 performs SP setting based on the input setting information (step S206), and the SA setting unit 230 further SA setting is performed (step S207), and the key exchange negotiation is completed (step S208).

ここで、図9を用いて、鍵交換ネゴシエーション中にIPIP over IPsecトンネルを確立する処理を説明する。   Here, a process for establishing an IPIP over IPsec tunnel during key exchange negotiation will be described with reference to FIG.

図9に示すように、鍵交換管理部210がIPIP over IPsecトンネルの確立要求する場合(ステップS101)、ネゴシエーション部250は、IKEv1のMainモードで、自装置が利用するカプセル化モードがIPIPトンネルモードであることを記載したMainモード第1メッセージを通信装置10−2に送信する(ステップS102)。   As shown in FIG. 9, when the key exchange management unit 210 requests establishment of an IPIP over IPsec tunnel (step S101), the negotiation unit 250 uses the main mode of IKEv1 and the encapsulation mode used by the own device is the IPIP tunnel mode. The main mode first message describing that is transmitted to the communication device 10-2 (step S102).

カプセル化モードの通知は、例えば、RFC2407の4.5章で定義されているカプセル化モード(Encapsulation Mode)を拡張して、カプセル化モードがIPIPトンネルモードであることを通知する。   For the notification of the encapsulation mode, for example, the encapsulation mode defined in Chapter 4.5 of RFC2407 is extended to notify that the encapsulation mode is the IPIP tunnel mode.

例えば、図11(A)は、IKEv1におけるメッセージの構成例を示す構成図であり、図11(B)は、メッセージに含まれるTransformペイロードの構成例を示す構成図である。ネゴシエーション部250は、Mainモード第1メッセージのTransformペイロードのSA Attributes(SA属性)に、カプセル化モードがIPIPトンネルモードであること示す情報(例えば、属性値等)を記載することで通信装置10−2に通知する方法を用いることができる。つまり、IKEv1プロトコルを拡張して、鍵交換ネゴシエーション中にカプセル化モードがIPIPトンネルモードであることを通知する。   For example, FIG. 11A is a configuration diagram illustrating a configuration example of a message in IKEv1, and FIG. 11B is a configuration diagram illustrating a configuration example of a Transform payload included in the message. The negotiation unit 250 describes information (for example, attribute value etc.) indicating that the encapsulation mode is the IPIP tunnel mode in the SA Attributes (SA attribute) of the Transform payload of the Main mode first message. 2 can be used. That is, the IKEv1 protocol is expanded to notify that the encapsulation mode is the IPIP tunnel mode during key exchange negotiation.

通信装置10−2では、通信装置10−1からのMainモード第1メッセージを受信し、ネゴシエーション部250が、通信装置10−1のカプセル化モードとしてIPIPトンネルモードを要求することを認識し(ステップS103)、対応可能である場合に、通信装置10−2のカプセル化モードをIPIPトンネルモードとするMainモード第2メッセージを通信装置10−1に応答する(ステップS104)。   The communication device 10-2 receives the Main mode first message from the communication device 10-1, and recognizes that the negotiation unit 250 requests the IPIP tunnel mode as the encapsulation mode of the communication device 10-1 (step S1). S103), if it is possible to respond, the main mode second message for setting the encapsulation mode of the communication device 10-2 to the IPIP tunnel mode is returned to the communication device 10-1 (step S104).

このときも、例えば、ネゴシエーション部250は、Mainモード第2メッセージのTransformペイロードのSA Attributesに、カプセル化モードがIPIPトンネルモードであること示す情報を記載して通信装置10−1に返信する。   Also at this time, for example, the negotiation unit 250 returns information indicating that the encapsulation mode is the IPIP tunnel mode in the SA Attributes of the Transform payload of the Main mode second message and returns it to the communication device 10-1.

その後、通信装置10−1と通信装置10−2との間で、通常のIKEv1の鍵交換ネゴシエーションを行う(ステップS105)。   Thereafter, normal IKEv1 key exchange negotiation is performed between the communication device 10-1 and the communication device 10-2 (step S105).

通信装置10−1と通信装置10−2との間で鍵交換ネゴシエーションが完了し、カプセル化モードがIPIPトンネルモードであることを確認する(ステップS209)。   It is confirmed that the key exchange negotiation is completed between the communication device 10-1 and the communication device 10-2, and the encapsulation mode is the IPIP tunnel mode (step S209).

トンネル設定部240は、IPIPトンネルモードに関する処理するモジュール(例えば、ipip.oやtunnel.o等)をローディングし、ローディングしたモジュールを確認した後、OS上で、トンネルの通信に用いる擬似デバイス(例えば、tun10等)を生成・設定してIPIPトンネルを生成する(図9のステップS106、図10のステップS210)。   The tunnel setting unit 240 loads a module (for example, ipip.o, tunnel.o, etc.) related to the IPIP tunnel mode, checks the loaded module, and then uses a pseudo device (for example, tunnel communication on the OS) , Tun10, etc.) to generate / set an IPIP tunnel (step S106 in FIG. 9, step S210 in FIG. 10).

また、トンネル設定部240は、生成したIPIPトンネルで経由するネットワークに関するネットワークのルーティングの設定をする(ステップS211)。   Further, the tunnel setting unit 240 sets the routing of the network related to the network that passes through the generated IPIP tunnel (step S211).

これにより、通信装置10−1と通信装置10−2との間で、双方向のIPIPトンネルが確立完了し、インタフェースA340−1においてIPIP over IPsecの通信が確立すると、IPIP over IPsecトンネルが確立完了する(ステップS107)。   As a result, the establishment of the bidirectional IPIP tunnel between the communication device 10-1 and the communication device 10-2 is completed, and when the IPIP over IPsec communication is established at the interface A340-1, the establishment of the IPIP over IPsec tunnel is completed. (Step S107).

(A−3)第1の実施形態の効果
上記のように、第1の実施形態によれば、従来の方式であるGRE over IPsecトンネルよりも少ないオーバヘッドで暗号パケットを伝送することができるIPIP over IPsecトンネルを確立することができる。
(A-3) Effects of the First Embodiment As described above, according to the first embodiment, the IPIP over which can transmit an encrypted packet with less overhead than the conventional GRE over IPsec tunnel. An IPsec tunnel can be established.

また、第1の実施形態によれば、GRE over IPsecトンネルの確立にオペレータによる2段階の操作が必要だったことに対し、IKEv1プロトコルを拡張することで1段階の手順でIPIP over IPsecトンネルを確立することができる。   In addition, according to the first embodiment, in order to establish a GRE over IPsec tunnel, a two-step operation by an operator is required. By extending the IKEv1 protocol, an IPIP over IPsec tunnel is established in a one-step procedure. can do.

(B)第2の実施形態
次に、本発明のパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムの第2の実施形態を、図面を参照しながら説明する。
(B) Second Embodiment Next, a second embodiment of the packet transfer system, packet transfer method, communication apparatus, and packet transfer program of the present invention will be described with reference to the drawings.

(B−1)第2の実施形態の構成及び動作
第2の実施形態の構成は、第1の実施形態で説明した構成と同じであるから、第2の実施形態においても図1を用いて説明する。
(B-1) Configuration and Operation of Second Embodiment Since the configuration of the second embodiment is the same as the configuration described in the first embodiment, FIG. 1 is also used in the second embodiment. explain.

第2の実施形態が、第1の実施形態と異なる点は、鍵交換プロトコルとしてIKEv2(Internet Key Exchange Protocol version 2)を採用する点であり、ネゴシエーション部250が、IETFのRFC4307に規定されているIKEv2を拡張して、カプセル化モードの通知を行う点である。   The second embodiment is different from the first embodiment in that IKEv2 (Internet Key Exchange Protocol version 2) is adopted as a key exchange protocol, and the negotiation unit 250 is defined in RFC4307 of IETF. The IKEv2 is extended to notify the encapsulation mode.

従って、以下では、IKEv2を利用した場合の自装置と対向装置との間のIPIP over IPsecトンネル確立処理の動作を中心に説明する。   Therefore, the following description will focus on the operation of the IPIP over IPsec tunnel establishment process between the own device and the opposite device when IKEv2 is used.

図12は、第2の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。なお、図12は、拡張認証プロトコル(EAP)による認証未使用時のシーケンス図である。   FIG. 12 is a sequence diagram illustrating an IPIP over IPsec tunnel establishment process according to the second embodiment. FIG. 12 is a sequence diagram when authentication is not used according to the extended authentication protocol (EAP).

通信装置10−1の鍵交換管理部210は、第1の実施形態と同様に、IPIP over IPsecトンネルの確立要求する場合(ステップS301)、後述するように、通信装置10−2との間の鍵交換ネゴシエーションの際に、カプセル化モードの通知を行う。   As in the first embodiment, the key exchange management unit 210 of the communication device 10-1 requests establishment of an IPIP over IPsec tunnel (step S301), as described later, with the communication device 10-2. In the key exchange negotiation, the encapsulation mode is notified.

通信装置10−1のネゴシエーション部250は、IKEv2のIKE_SA_INIT第1メッセージを通信装置10−2に送信する(ステップS302)。   The negotiation unit 250 of the communication device 10-1 transmits the IKEv2 IKE_SA_INIT first message to the communication device 10-2 (step S302).

通信装置10−2のネゴシエーション部250は、通信装置10−1から受信したIKE_SA_INIT第1メッセージに基づいて、通信装置10−1がIPIP over IPsecトンネルの確立を要求することを認識し(ステップS303)、IKE_SA_INIT第2メッセージを通信装置10−1に返信する(ステップS304)。   The negotiation unit 250 of the communication device 10-2 recognizes that the communication device 10-1 requests establishment of the IPIP over IPsec tunnel based on the IKE_SA_INIT first message received from the communication device 10-1 (step S303). IKE_SA_INIT second message is returned to the communication device 10-1 (step S304).

通信装置10−1のネゴシエーション部250は、NOTIFIY MESSEAGEでカプセル化モードがIPIPトンネルであることを記載したIKE_AUTH第1メッセージを通信装置10−2に送信する(ステップS305)。   The negotiation unit 250 of the communication device 10-1 transmits a IKE_AUTH first message describing that the encapsulation mode is an IPIP tunnel by NOTIFY MESSEAGE to the communication device 10-2 (step S305).

また、通信装置10−2のネゴシエーション部250は、NOTIFIY MESSAGEでカプセル化モードがIPIPトンネルであることを記載したIKE_AUTH第2メッセージを通信装置10−2に返信する(ステップS306)。   Further, the negotiation unit 250 of the communication device 10-2 returns a IKE_AUTH second message describing that the encapsulation mode is an IPIP tunnel in NOTIFY MESSAGE to the communication device 10-2 (step S306).

ここで、カプセル化モードの通知は、RFC4306の3.10.1章で定義されているNOTIFY MESSAGEを拡張して、IPIPトンネルモードであることを通知する方法を適用することができる。   Here, the notification of the encapsulation mode can be applied by extending NOTIFY MESSAGE defined in section 3.10.1 of RFC4306 and notifying that it is in the IPIP tunnel mode.

その後、通信装置10−1及び通信装置10−2では、トンネル設定部240が、第1の実施形態と同様にして、IPIPトンネルモードに関する処理するモジュール(例えば、ipip.oやtunnel.o等)をローディングし、ローディングしたモジュールを確認した後、OS上で、トンネルの通信に用いる擬似デバイス(例えば、tun10等)を生成・設定してIPIPトンネルを生成する(ステップS307)。   Thereafter, in the communication device 10-1 and the communication device 10-2, the tunnel setting unit 240 performs processing related to the IPIP tunnel mode (for example, ipip.o, tunnel.o, etc.) in the same manner as in the first embodiment. After confirming the loaded module, a pseudo device (for example, tun 10) used for tunnel communication is generated and set on the OS to generate an IPIP tunnel (step S307).

また、通信装置10−1及び通信装置10−2のそれぞれにおいて、トンネル設定部240が、生成したIPIPトンネルで経由するネットワークに関するネットワークのルーティングの設定をして、双方向のIPIPトンネルが確立完了し、インタフェースA340−1においてIPIP over IPsecの通信が確立すると、IPIP over IPsecトンネルが確立完了する(ステップS308)。   Further, in each of the communication device 10-1 and the communication device 10-2, the tunnel setting unit 240 sets the network routing related to the network through the generated IPIP tunnel, and the establishment of the bidirectional IPIP tunnel is completed. When the IPIP over IPsec communication is established at the interface A340-1, the establishment of the IPIP over IPsec tunnel is completed (step S308).

通信装置10−1では、SAのリキー処理を開始し(ステップS309)、ネゴシエーション部250が、NOTIFIY MESSEAGEでカプセル化モードがIPIPトンネルであることを記載したCREATE_CHILD_SA requestを通信装置10−2に送信する(ステップS310)。   In the communication apparatus 10-1, the SA rekey process is started (step S309), and the negotiation unit 250 transmits CREATE_CHILD_SA request describing that the encapsulation mode is an IPIP tunnel with NOTIFY MESSEAGE to the communication apparatus 10-2. (Step S310).

また、通信装置10−2のネゴシエーション部250は、NOTIFIY MESSAGEでカプセル化モードがIPIPトンネルであることを記載したCREATE_CHILD_SA responseを通信装置10−2に返信する(ステップS311)。   Further, the negotiation unit 250 of the communication device 10-2 returns a CREATE_CHILD_SA response describing that the encapsulation mode is an IPIP tunnel in NOTIFY MESSAGE to the communication device 10-2 (step S311).

ここで、図12では、EAP認証未使用時のシーケンスを示した。これは、EAP認証使用時は、IKE_AUTHのメッセージ送受信回数が異なり、NOTIFY MESSAGEを挿入する箇所が異なるためである。   Here, FIG. 12 shows a sequence when EAP authentication is not used. This is because when EAP authentication is used, the number of message transmission / reception of IKE_AUTH differs, and the place where NOTIFY MESSAGE is inserted is different.

EAP認証使用時の場合には、IKE_AUTHのメッセージ送受信回数が異なるが、この場合、IKE_AUTHの第1メッセージと最終メッセージにカプセル化モードが「IPIPトンネル」であることを通知するNOTIFY MESSAGEを挿入することで実現することができる。   When EAP authentication is used, the number of message transmission / reception of IKE_AUTH differs. In this case, NOTIFY MESSAGE notifying that the encapsulation mode is “IPIP tunnel” is inserted in the first message and the final message of IKE_AUTH. Can be realized.

(B−2)第2の実施形態の効果
上記のように、第2の実施形態によれば、鍵交換プロトコルとしてIKEv2を利用する場合でも、従来の方式であるGRE over IPsecトンネルよりも少ないオーバヘッドで暗号パケットを伝送することができるIPIP over Ipsecトンネルを確立することができる。
(B-2) Effects of Second Embodiment As described above, according to the second embodiment, even when IKEv2 is used as a key exchange protocol, the overhead is smaller than that of the conventional GRE over IPsec tunnel. An IPIP over Ipsec tunnel that can transmit encrypted packets can be established.

また、GRE over IPsecトンネルの確立にオペレ一夕による2段階の操作が必要だったことに対し、IKEv2プロトコルを拡張することで1段階の手順でIPIP over IPsecトンネルを確立することができる。   Further, in contrast to the fact that a two-step operation by an operation is necessary for establishing a GRE over IPsec tunnel, an IPIP over IPsec tunnel can be established by a one-step procedure by extending the IKEv2 protocol.

(C)第3の実施形態
次に、本発明のパケット転送システム、パケット転送方法、通信装置及びパケット転送プログラムの第2の実施形態を、図面を参照しながら説明する。
(C) Third Embodiment Next, a second embodiment of the packet transfer system, packet transfer method, communication apparatus, and packet transfer program of the present invention will be described with reference to the drawings.

(C−1)第3の実施形態の構成及び動作
第3の実施形態の構成も、第1の実施形態で説明した構成と同じであるから、第3の実施形態においても図1を用いて説明する。
(C-1) Configuration and operation of the third embodiment Since the configuration of the third embodiment is the same as the configuration described in the first embodiment, the third embodiment will also be described with reference to FIG. explain.

第3の実施形態が、第1の実施形態と異なる点は、カプセル化モードの通知を、鍵交換ネゴシエーション後に行う点である。   The third embodiment is different from the first embodiment in that the encapsulation mode is notified after the key exchange negotiation.

従って、ネゴシエーション部240による鍵交換ネゴシエーション後に、トンネル設定部250がIPIPトンネルを生成するという手順を中心に説明する。   Therefore, a description will be mainly given of a procedure in which the tunnel setting unit 250 generates an IPIP tunnel after the key exchange negotiation by the negotiation unit 240.

なお、第3の実施形態では、鍵交換ネゴシエーション後に、カプセル化モードの通知を行うので、鍵交換プロトコルは、IPsecトンネルを確立できるプロトコルであれば、IKEv1、IKEv2等広く適用することができる。   In the third embodiment, since the encapsulation mode is notified after the key exchange negotiation, the key exchange protocol can be widely applied to IKEv1, IKEv2, etc. as long as the protocol can establish an IPsec tunnel.

図13は、第3の実施形態のIPIP over IPsecトンネル確立処理を示すシーケンス図である。また、図14は、通信装置10における鍵交換処理のフローチャートである。   FIG. 13 is a sequence diagram illustrating an IPIP over IPsec tunnel establishment process according to the third embodiment. FIG. 14 is a flowchart of key exchange processing in the communication apparatus 10.

まず、第1の実施形態と同様に、通信装置10−1では、ユーザインタフェース部100が、ユーザによる設定情報の入力を読み込み(ステップS501)、鍵交換管理部210の制御の下、ネゴシエーション部250が、対向装置である通信装置10−2との間で鍵交換ネゴシエーションを開始する(ステップS502)。   First, as in the first embodiment, in the communication device 10-1, the user interface unit 100 reads the setting information input by the user (step S <b> 501), and under the control of the key exchange management unit 210, the negotiation unit 250. Starts a key exchange negotiation with the communication device 10-2 as the opposite device (step S502).

このとき、通信装置10−1と通信装置10−2との間で鍵交換ネゴシエーションが失敗すると(ステップS503)、ネゴシエーションエラーとしてリソースの開放を行い(ステップS504)、処理は終了する。   At this time, if the key exchange negotiation fails between the communication device 10-1 and the communication device 10-2 (step S503), the resource is released as a negotiation error (step S504), and the process ends.

一方、鍵交換ネゴシエーションが成功すると、各通信装置10−1及び10−2では、入力された設定情報に基づいて、SP設定部220がSP設定を行い(ステップS505)、さらにSA設定部230がSA設定を行い(ステップS506)、鍵交換ネゴシエーションが完了する(ステップS507)。   On the other hand, if the key exchange negotiation is successful, in each of the communication devices 10-1 and 10-2, the SP setting unit 220 performs SP setting based on the input setting information (step S505), and further, the SA setting unit 230 SA setting is performed (step S506), and the key exchange negotiation is completed (step S507).

ここで、図13に示すように、通信装置10−1の鍵交換管理部210がIPsecトンネルの確立要求する場合(ステップS401)、通信装置10−1のネゴシエーション部250は、IPsecトンネルを確立する所定の鍵交換ネゴシエーションメッセージを通信装置10−2に送信する(ステップS402)。   Here, as shown in FIG. 13, when the key exchange management unit 210 of the communication device 10-1 requests establishment of an IPsec tunnel (step S401), the negotiation unit 250 of the communication device 10-1 establishes an IPsec tunnel. A predetermined key exchange negotiation message is transmitted to the communication device 10-2 (step S402).

通信装置10−2のネゴシエーション部250は、IPsecトンネル確立要求を受信すると(ステップS403)、通信装置10−1に対して所定の鍵交換ネゴシエーションを返信する(ステップS404)。   Upon receiving the IPsec tunnel establishment request (step S403), the negotiation unit 250 of the communication device 10-2 returns a predetermined key exchange negotiation to the communication device 10-1 (step S404).

このように、通信装置10−1及び通信装置10−2間で、IPsecトンネルを確立する所定の鍵交換ネゴシエーションが完了し、通信装置10−1及び通信装置10−2では、トンネル設定部240が、IPsecトンネルを確立する(ステップS405)。   As described above, the predetermined key exchange negotiation for establishing the IPsec tunnel is completed between the communication device 10-1 and the communication device 10-2. In the communication device 10-1 and the communication device 10-2, the tunnel setting unit 240 Then, an IPsec tunnel is established (step S405).

通信装置10−1では、通信装置10−2との間で鍵交換ネゴシエーションが完了し、カプセル化モードがIPIPトンネルモードであることを確認する(ステップS508)。   The communication device 10-1 confirms that the key exchange negotiation has been completed with the communication device 10-2 and that the encapsulation mode is the IPIP tunnel mode (step S508).

そうすると、通信装置10−1の鍵交換管理部210は、対向する通信装置10−2に対して、カプセル化モードがIPIPトンネルモードであることを通知する(図13のS407及びS408、図14のステップS509)。   Then, the key exchange management unit 210 of the communication device 10-1 notifies the opposing communication device 10-2 that the encapsulation mode is the IPIP tunnel mode (S407 and S408 in FIG. 13 and FIG. 14). Step S509).

このとき、通信装置10−1は、IPsecトンネルが確立しているので、IPsecトンネルを通じてカプセル化モードの通知を行う。   At this time, since the IPsec tunnel is established, the communication device 10-1 notifies the encapsulation mode through the IPsec tunnel.

そして、通信装置10−1及び通信装置10−2のカプセル化モードがIPIPトンネルモードである場合(ステップS510)、トンネル設定部240は、第1の実施形態と同様に、IPIPトンネルモードに関する処理するモジュール(例えば、ipip.oやtunnel.o等)をローディングし、ローディングしたモジュールを確認した後、OS上で、トンネルの通信に用いる擬似デバイス(例えば、tun10等)を生成・設定してIPIPトンネルを生成する(図13のステップS409、図14のステップS511)。   When the encapsulation mode of the communication device 10-1 and the communication device 10-2 is the IPIP tunnel mode (step S510), the tunnel setting unit 240 performs processing related to the IPIP tunnel mode as in the first embodiment. After loading modules (eg, ipip.o, tunnel.o, etc.) and confirming the loaded modules, a pseudo device (eg, tun10 etc.) used for tunnel communication is created and set on the OS to create an IPIP tunnel Are generated (step S409 in FIG. 13 and step S511 in FIG. 14).

また、トンネル設定部240は、生成したIPIPトンネルで経由するネットワークに関するネットワークのルーティングの設定をする(ステップS512)。   In addition, the tunnel setting unit 240 sets network routing related to the network that passes through the generated IPIP tunnel (step S512).

なお、ステップS510で、通信装置10−1及び通信装置10−2のカプセル化モードがIPIPトンネルモードでない場合、IPsec切断後、リソースを開放して、処理を終了する(ステップS513)。   In step S510, when the encapsulation mode of the communication device 10-1 and the communication device 10-2 is not the IPIP tunnel mode, the resource is released after IPsec disconnection, and the process is terminated (step S513).

(C−2)第3の実施形態の効果
上記のように、第3の実施形態によれば、鍵交換ネゴシエーション後に、IPIPトンネルを確立することによっても、従来の方式であるGRE over IPsecトンネルよりも少ないオーバヘッドで暗号パケットを伝送することができるIPIP over IPsecトンネルを確立することができる。
(C-2) Effects of the Third Embodiment As described above, according to the third embodiment, after establishing the IPIP tunnel after the key exchange negotiation, the GRE over IPsec tunnel, which is the conventional method, is also used. It is possible to establish an IPIP over IPsec tunnel that can transmit an encrypted packet with less overhead.

また、GRE over IPsecトンネルの確立にオペレータによる2段階の操作が必要だったことに対し、任意の鍵交換プロトコルであっても、生成した暗号トンネルを通じてカプセル化モードを対向装置に通知することで1段階の手順でIPIP over IPsecトンネルを確立することができる。   Further, in contrast to the fact that the operator required two-stage operation to establish the GRE over IPsec tunnel, even if an arbitrary key exchange protocol is used, the encapsulation mode is notified to the opposite device through the generated encryption tunnel. An IPIP over IPsec tunnel can be established in a stepwise procedure.

(D)他の実施形態
第1の実施形態では、IKEv1の特定のペイロードにカプセル化モードを挿入して通知する方式であったが、対向装置に自装置のカプセル化モードを知らせることができれば、どのようなべイロードであっても良い。例えば、第1の実施形態では、IKEv1のMainモード第1メッセージを拡張する場合を例示したが、第1メッセージに限定されず、第3、第5メッセージであってもよい。
(D) Other Embodiments In the first embodiment, the encapsulation mode is inserted into the specific payload of IKEv1 and notified, but if the opposite device can be notified of the encapsulation mode of its own device, Any bay road may be used. For example, in the first embodiment, the case where the IKEv1 Main mode first message is extended is illustrated, but the first message is not limited, and the third and fifth messages may be used.

第2の実施形態では、IKEv2の特定のペイロードにカプセル化モードを挿入して通知する方式であったが、対向装置に自装置のカプセル化モードを知らせることができれば、どのようなべイロードであっても良い。   In the second embodiment, the encapsulation mode is inserted into the specific payload of IKEv2 and notified. However, as long as the opposite device can be notified of the encapsulation mode of its own device, any payload can be obtained. Also good.

第1及び第2の実施形態では、IKEv1やIKEv2の特定のペイロードにカプセル化モードを挿入して通知する方式であったが、対向装置に自装置のカプセル化モードを知らせることができれば、どのような鍵交換プロトコルであっても良い。   In the first and second embodiments, the encapsulation mode is inserted and notified in a specific payload of IKEv1 or IKEv2, but what if the encapsulation mode of the own device can be notified to the opposite device? A simple key exchange protocol may be used.

第1、第2、第3の実施形態では、カプセル化モードとしてIPIPトンネルを使用したが、「IPv6 over IPv4トンネル」「IPv4 over IPv6トンネル」「IPv6 over IPv6トンネル」等、どのようなトンネリングプロトコルでも良い。   In the first, second, and third embodiments, the IPIP tunnel is used as the encapsulation mode. However, any tunneling protocol such as “IPv6 over IPv4 tunnel”, “IPv4 over IPv6 tunnel”, or “IPv6 over IPv6 tunnel” may be used. good.

第1、第2、第3の実施形態では、カプセル化モードとしてIPIPトンネルを使用したが、「Ether over IP」レイヤ2トンネル等、レイヤ3トンネリングプロトコル以外でも良い。   In the first, second, and third embodiments, the IPIP tunnel is used as the encapsulation mode, but it may be other than the layer 3 tunneling protocol such as “Ether over IP” layer 2 tunnel.

第1の実施形態では、IPIPトンネル自身に設定するアドレスを自装置のユーザインタフェースによって設定したが、mode−config(draft−dukes−ike−mode−cfg−02.txt)を使って対向装置から自動的に取得したアドレスを設定しても良い。   In the first embodiment, the address to be set for the IPIP tunnel itself is set by the user interface of the own device, but automatically from the opposite device using mode-config (draft-dukes-ike-mode-cfg-02.txt). Alternatively, the acquired address may be set.

第2の実施形態では、IPIPトンネル自身に設定するアドレスを自装置のユーザインタフェースによって設定したが、Configuration Payload(RFC4306 3.15章)を使って対向装置から自動的に取得したアドレスを設定しても良い。   In the second embodiment, the address to be set for the IPIP tunnel itself is set by the user interface of the own device, but the address automatically obtained from the opposite device is set by using Configuration Payload (RFC4306 3.15). Also good.

第1、第2、第3の実施形態では、マルチキャストパケットのようなトンネルモードのIPsec上で送受信することができないトラフィックを扱う際、GRE over IPsecの代わりにIPIP over IPsecを利用することができる。これにより、GREヘッダ分のオーバヘッドを軽減することができる。   In the first, second, and third embodiments, IPIP over IPsec can be used instead of GRE over IPsec when handling traffic that cannot be transmitted and received over tunnel mode IPsec such as multicast packets. Thereby, the overhead for the GRE header can be reduced.

5…パケット転送システム、10−1及び10−2…通信装置、
100…ユーザインタフェース部、200…プログラム部、
210…鍵交換管理部、220…SP設定部、230…SA設定部、
240…トンネル設定部、250…ネゴシエーション部、
300…ネットワークスタック部、
310…SPD、320…SAD、330…パケット処理部、
340−1…インタフェース部(WAN側)、340−2…インタフェース部(LAN側)。
5 ... Packet transfer system, 10-1 and 10-2 ... Communication device,
100 ... User interface part, 200 ... Program part,
210 ... Key exchange management unit, 220 ... SP setting unit, 230 ... SA setting unit,
240 ... tunnel setting part, 250 ... negotiation part,
300 ... Network stack part,
310 ... SPD, 320 ... SAD, 330 ... packet processing unit,
340-1 ... interface unit (WAN side), 340-2 ... interface unit (LAN side).

Claims (8)

第1の通信装置と、上記第1の通信装置に対向する第2の通信装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送するパケット転送システムにおいて、
上記第1の通信装置が、上記鍵交換プロトコルによる上記第2の通信装置との間のネゴシエーションの際、自装置が要求するカプセル方式を上記第2の通信装置に通知するモード通知手段を有し、
上記第2の通信装置が、上記第1の通信装置の要求するカプセル方式を認識するモード認識手段を有し、
上記第1の通信装置及び上記第2の通信装置は、上記鍵交換プロトコルを用いて、上記カプセル方式によるトンネルを設定するトンネル設定手段を有する
ことを特徴とするパケット転送システム。
In a packet transfer system that encapsulates a transfer packet according to a predetermined key exchange protocol and transfers the packet between the first communication device and the second communication device facing the first communication device.
The first communication device has mode notification means for notifying the second communication device of a capsule method requested by the device when negotiating with the second communication device by the key exchange protocol. ,
The second communication device has mode recognition means for recognizing a capsule method requested by the first communication device;
The packet transfer system, wherein the first communication device and the second communication device include tunnel setting means for setting a tunnel by the capsule method using the key exchange protocol.
上記モード通知手段が、上記鍵交換プロトコルによるネゴシエーション中に、自装置が要求するカプセル方式を上記第2の通信装置に通知することを特徴とする請求項1に記載のパケット転送システム。   2. The packet transfer system according to claim 1, wherein the mode notification means notifies the second communication device of a capsule method requested by the device during negotiation using the key exchange protocol. 上記モード通知手段が、上記鍵交換プロトコルによるネゴシエーション後に、上記鍵交換プロトコルによる暗証通信確立後に、自装置が要求するカプセル方式を上記第2の通信装置に通知することを特徴とする請求項1に記載のパケット転送システム。   The mode notification means notifies the second communication device of a capsule method requested by the device after negotiation by the key exchange protocol and after establishment of password communication by the key exchange protocol. The packet transfer system described. 上記第1の通信装置及び上記第2の通信装置は、
上記鍵交換プロトコルによる鍵交換処理に必要な鍵交換設定情報を設定する鍵交換設定情報設定手段と、
上記カプセル方式によるトンネルを確立するために必要なトンネル確立設定情報を設定するトンネル確立設定手段と
を備え、
上記トンネル確立設定手段及び上記鍵交換設定情報設定手段が、上記トンネル確立設定情報と上記鍵交換設定情報との間で重複する設定項目を相互に補完することを特徴とする請求項1〜3のいずれかに記載のパケット転送システム。
The first communication device and the second communication device are:
Key exchange setting information setting means for setting key exchange setting information necessary for key exchange processing by the key exchange protocol;
Tunnel establishment setting means for setting tunnel establishment setting information necessary for establishing a tunnel by the capsule method, and
4. The tunnel establishment setting unit and the key exchange setting information setting unit complement each other of setting items that overlap between the tunnel establishment setting information and the key exchange setting information. The packet transfer system according to any one of the above.
上記鍵交換プロトコルがIPsecであり、上記トンネル設定手段が、IPsecのトランスポートモードで上記トンネルを確立することを特徴とする請求項1〜4のいずれかに記載のパケット転送システム。   5. The packet transfer system according to claim 1, wherein the key exchange protocol is IPsec, and the tunnel setting unit establishes the tunnel in an IPsec transport mode. 第1の通信装置と、上記第1の通信装置に対向する第2の通信装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送するパケット転送方法において、
上記第1の通信装置が、上記鍵交換プロトコルによる上記第2の通信装置との間のネゴシエーションの際、自装置が要求するカプセル方式を上記第2の通信装置に通知するモード通知工程と、
上記第2の通信装置が、上記第1の通信装置の要求するカプセル方式を認識するモード認識工程と、
上記第1の通信装置及び上記第2の通信装置は、上記鍵交換プロトコルを用いて、上記カプセル方式によるトンネルを設定するトンネル設定工程と
を有することを特徴とするパケット転送方法。
In a packet transfer method for encapsulating a transfer packet according to a predetermined key exchange protocol and transferring the packet between the first communication device and the second communication device facing the first communication device,
A mode notification step in which the first communication device notifies the second communication device of a capsule method requested by the device when negotiating with the second communication device by the key exchange protocol;
A mode recognition step in which the second communication device recognizes a capsule method requested by the first communication device;
The first communication apparatus and the second communication apparatus have a tunnel setting step of setting a tunnel by the capsule method using the key exchange protocol.
対向装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送する通信装置において、
上記鍵交換プロトコルにより上記対向装置との間でネゴシエーションを行うネゴシエーション手段と、
上記ネゴシエーション手段による上記対向装置との間のネゴシエーションの際、自装置が要求するカプセル方式を上記対向装置に通知するモード通知手段と、
上記対向装置の要求するカプセル方式を認識するモード認識手段と、
上記鍵交換プロトコルを用いて、上記カプセル方式によるトンネルを設定するトンネル設定手段と
を備えることを特徴とする通信装置。
In a communication device that encapsulates a transfer packet according to a predetermined key exchange protocol and transfers the packet between the opposite device,
Negotiation means for negotiating with the opposing device by the key exchange protocol;
Mode notification means for notifying the opposite device of the capsule method requested by the own device when negotiating with the opposite device by the negotiation means;
Mode recognition means for recognizing the capsule method requested by the opposite device;
A communication apparatus comprising: a tunnel setting means for setting a tunnel by the capsule method using the key exchange protocol.
対向装置との間で、所定の鍵交換プロトコルに従って転送パケットをカプセル化してパケット転送する通信装置を、
上記鍵交換プロトコルにより上記対向装置との間でネゴシエーションを行うネゴシエーション手段、
上記ネゴシエーション手段による上記対向装置との間のネゴシエーションの際、自装置が要求するカプセル方式を上記対向装置に通知するモード通知手段、
上記対向装置の要求するカプセル方式を認識するモード認識手段、
上記鍵交換プロトコルを用いて、上記カプセル方式によるトンネルを設定するトンネル設定手段
として機能させることを特徴とするパケット転送プログラム。
A communication device that encapsulates a transfer packet according to a predetermined key exchange protocol and transfers the packet between the opposite device,
Negotiation means for negotiating with the opposing device by the key exchange protocol;
Mode notification means for notifying the opposite apparatus of the capsule method requested by the own apparatus when negotiating with the opposite apparatus by the negotiation means;
A mode recognizing means for recognizing the capsule method required by the opposing device;
A packet transfer program that functions as tunnel setting means for setting a tunnel by the capsule method using the key exchange protocol.
JP2009228013A 2009-09-30 2009-09-30 Packet transfer system, packet transfer method, communication apparatus and packet transfer program Pending JP2011077887A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009228013A JP2011077887A (en) 2009-09-30 2009-09-30 Packet transfer system, packet transfer method, communication apparatus and packet transfer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009228013A JP2011077887A (en) 2009-09-30 2009-09-30 Packet transfer system, packet transfer method, communication apparatus and packet transfer program

Publications (1)

Publication Number Publication Date
JP2011077887A true JP2011077887A (en) 2011-04-14

Family

ID=44021369

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009228013A Pending JP2011077887A (en) 2009-09-30 2009-09-30 Packet transfer system, packet transfer method, communication apparatus and packet transfer program

Country Status (1)

Country Link
JP (1) JP2011077887A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013141146A (en) * 2012-01-05 2013-07-18 Murata Mach Ltd Relay server
CN104601496A (en) * 2014-12-23 2015-05-06 杭州华三通信技术有限公司 GRE (Generic Routing Encapsulation) head encapsulation table item generation method and device
WO2024113471A1 (en) * 2022-11-29 2024-06-06 杭州海兴电力科技股份有限公司 Gateway system and method for secure transmission of ipv6 data

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013141146A (en) * 2012-01-05 2013-07-18 Murata Mach Ltd Relay server
CN104601496A (en) * 2014-12-23 2015-05-06 杭州华三通信技术有限公司 GRE (Generic Routing Encapsulation) head encapsulation table item generation method and device
WO2024113471A1 (en) * 2022-11-29 2024-06-06 杭州海兴电力科技股份有限公司 Gateway system and method for secure transmission of ipv6 data

Similar Documents

Publication Publication Date Title
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
US9813380B2 (en) Method, apparatus, and network system for terminal to traverse private network to communicate with server in IMS core network
US9231918B2 (en) Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions
CN108769292B (en) Message data processing method and device
EP3213488A1 (en) End-to-end service layer authentication
US11388145B2 (en) Tunneling data traffic and signaling over secure etls over wireless local area networks
JP2013523050A (en) Proxy SSL handoff via intermediate stream renegotiation
WO2013170376A1 (en) Tls abbreviated session identifier protocol
JP2015525018A (en) System and method for reducing call establishment time
US11924248B2 (en) Secure communications using secure sessions
US11006346B2 (en) X2 service transmission method and network device
WO2016066027A1 (en) Media transmission method and device
JP2011077887A (en) Packet transfer system, packet transfer method, communication apparatus and packet transfer program
CN110351308B (en) Virtual private network communication method and virtual private network device
JP3651424B2 (en) Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus
CN112104601A (en) Data transmission method, device, terminal equipment and storage medium
JP2006352710A (en) Packet repeating apparatus and program
US12028747B2 (en) Methods and apparatus for reducing communications delay
WO2024092655A1 (en) Method and communication device for communication using ipsec
US20220400405A1 (en) Methods and apparatus for reducing communications delay
CN116866450A (en) Data transmission method, device, electronic equipment and storage medium
CN117675886A (en) Method and device for executing business operation and electronic equipment
CN117938801A (en) Resource access method, device, electronic equipment and medium

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20120813