JP2013077957A - Relay device, encryption communication system, encryption communication program, and encryption communication method - Google Patents
Relay device, encryption communication system, encryption communication program, and encryption communication method Download PDFInfo
- Publication number
- JP2013077957A JP2013077957A JP2011216317A JP2011216317A JP2013077957A JP 2013077957 A JP2013077957 A JP 2013077957A JP 2011216317 A JP2011216317 A JP 2011216317A JP 2011216317 A JP2011216317 A JP 2011216317A JP 2013077957 A JP2013077957 A JP 2013077957A
- Authority
- JP
- Japan
- Prior art keywords
- router
- communication device
- address
- vpn
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、中継装置の処理負荷に応じて、中継装置に接続された通信装置同士に暗号化通信を実行させる中継装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法に関するものである。 The present invention relates to a relay device, an encrypted communication system, an encrypted communication program, and an encrypted communication method that cause encrypted communication to be performed between communication devices connected to the relay device according to the processing load of the relay device. is there.
従来、インターネットまたは専用/公衆回線を介して、複数のノードの間において暗号化通信を行う技術が知られている。例えば、特許文献1に開示されている技術では、IPsec(Internet Protocol security)等のプロトコルに準拠して送信側のノードにおいてパケットが暗号化され、受信側のノードで復号される。特許文献1に開示された技術では、ハブ&スポーク型と呼ばれる形式で、VPN(Virtual Private Network)が構築され、暗号化通信が行われる。ハブ&スポーク型でVPNが構築された場合、送信側のノードがパケットを暗号化する。送信側のルータは、暗号化されたパケットを中継ノードへ送信する。中継ノードは暗号化されたパケットを復号し、送信すべき受信側のノードを選択し、再びパケットを暗号化する。次に、中継ノードは、再び暗号化されたパケットを選択された受信側のノードに送信する。
Conventionally, a technique for performing encrypted communication between a plurality of nodes via the Internet or a dedicated / public line is known. For example, in the technique disclosed in
特許文献1に開示された技術では、送信側のノードが、送信側のノードと中継ノードとの間のトラフィック量が閾値を越えたことを検出すると、送信側のノードと受信側のノードとの間に直接VPNを構築する。
In the technique disclosed in
上述した特許文献1に記載された暗号化通信において、送信側のノードが、送信側のノードと中継ノードとの間のトラフィック量を検出するので、以下の問題が生じる可能性がある。
In the encrypted communication described in
別の送信側のノードが中継ノードに接続され、暗号化通信している場合、送信側のノードは、別の送信側のノードと中継ノードとの間のトラフィック量を検出できない。これにより、別の送信側のノードと中継ノードとの間のトラフィック量が多い場合、送信側のノードと受信側のノードとの間で直接VPNが構築されず、中継ノードを介する暗号化通信が継続される。また、中継ノードと各送信側のノードとの間のトラフィック量が閾値を超えなければ、送信側のノードと受信側のノードとの間で直接VPNが構築されず、中継ノードを介する暗号化通信が継続される。 When another transmitting node is connected to the relay node and performs encrypted communication, the transmitting node cannot detect the amount of traffic between the other transmitting node and the relay node. As a result, when there is a large amount of traffic between another transmission-side node and a relay node, a VPN is not directly constructed between the transmission-side node and the reception-side node, and encrypted communication via the relay node is not possible. Will continue. Also, if the traffic volume between the relay node and each transmission side node does not exceed the threshold, a VPN is not directly constructed between the transmission side node and the reception side node, and encrypted communication via the relay node Is continued.
送信側のノードと中継ノードとの間におけるトラフィック量が多くなると、中継ノードにおいて、送信側のノードから送信されるパケットの暗号化処理、および復号処理の処理負荷が大きくなることが考えられる。この暗号化処理、及び復号処理の処理負荷が大きくなると、受信側のノードへ送信されるべき暗号化パケットが中継ノードから遅れて送信される場合、または受信側のノードへ送信されるべき暗号化パケットが中継ノードから送信されない場合が発生する恐れがある。 If the amount of traffic between the transmission-side node and the relay node increases, it is considered that the processing load of the encryption processing and decryption processing of the packet transmitted from the transmission-side node increases in the relay node. When the processing load of the encryption process and the decryption process increases, the encryption packet to be transmitted to the receiving node is delayed from the relay node, or the encryption packet to be transmitted to the receiving node There is a possibility that the packet may not be transmitted from the relay node.
本発明は、上述した問題点を解決するためになされたものであり、受信側の通信装置への暗号化パケットの通信遅延が低減される中継装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法を提供することを目的とする。 The present invention has been made to solve the above-described problems, and a relay device, an encrypted communication system, an encrypted communication program, and a communication device that reduce a communication delay of an encrypted packet to a communication device on the receiving side, and An object is to provide an encrypted communication method.
上記目的を達成するために、請求項1記載の本発明は、複数の通信装置と暗号化通信する中継装置であって、前記複数の通信装置のIPアドレスを記憶する記憶手段と、前記複数の通信装置のうちの第1通信装置との間でVPNを構築する第1構築手段と、前記第1構築手段により構築されたVPNを介して暗号化されたデータを受信する受信手段と、前記受信手段により受信された暗号化データを復号する復号手段と、前記復号手段により復号されたデータに指定された宛先のIPアドレスから前記受信手段により受信されたデータを送信する第2通信装置のIPアドレスを前記記憶手段から抽出する抽出手段と、前記第2通信装置との間でVPNを構築する第2構築手段と、データを復号する処理、およびデータを暗号化する処理の変換処理負荷を含む処理負荷を検出する検出手段と、前記検出手段により検出された処理負荷が閾値よりも大きいか否かを判断する判断手段と、前記判断手段により処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる認証パラメータを含むVPN構築情報と、を送信する送信手段と、を備えることを特徴とするものである。
In order to achieve the above object, the present invention according to
上記目的を達成するために、請求項2記載の本発明は、請求項1に記載の中継装置において、前記送信手段は、前記第1構築手段、および前記第2構築手段の少なくとも1つの構築手段により構築されるVPNを介して前記他方の通信装置のIPアドレスと、前記VPN構築情報とを送信することを特徴とするものである。 In order to achieve the above object, according to a second aspect of the present invention, in the relay apparatus according to the first aspect, the transmission means is at least one construction means of the first construction means and the second construction means. The IP address of the other communication device and the VPN construction information are transmitted via the VPN constructed by the above.
上記目的を達成するために、請求項3記載の本発明は、請求項1または2に記載の中継装置であって、前記第1構築手段によりVPNが構築される際、および前記第2構築手段によりVPNが構築される際の通信相手の認証に用いられるパラメータと異なる前記認証パラメータを生成する生成手段を備え、前記送信手段は、前記生成手段により生成された認証パラメータを前記他方の通信装置に送信することを特徴とするものである。
To achieve the above object, the present invention according to
上記目的を達成するために、請求項4記載の本発明は、請求項1〜3のいずれかに記載の中継装置であって、前記検出手段は、前記復号する処理、および暗号化する処理に含まれるデータのうち、リアルタイム性が求められるデータの変換処理負荷を前記処理負荷の一部として検出し、前記判断手段が、処理負荷が大きいと判断すると、前記送信手段は、前記複数の通信装置のうち、リアルタイム性が求められるデータを送信、および受信する前記第1通信装置と前記第2通信装置とを抽出し、少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記VPN構築情報と、を送信することを特徴とするものである。
In order to achieve the above object, the present invention according to
上記目的を達成するために、請求項5記載の本発明は、請求項1〜4のいずれかに記載の中継装置であって、前記送信手段は、前記判断手段が、処理負荷が大きいと判断した後に、前記検出手段により検出された処理負荷が閾値よりも小さくなったと判断した場合、前記第1通信装置、および前記第2通信装置に負荷軽減通知を送信することを特徴とするものである。
In order to achieve the above object, the present invention according to
上記目的を達成するために、請求項6記載の本発明は、複数の通信装置が中継装置を介して暗号化通信する暗号化通信システムであって、前記中継装置は、前記複数の通信装置のIPアドレスを記憶する記憶手段と、前記複数の通信装置のうちの第1通信装置との間でVPNを構築する第1構築手段と、前記第1構築手段により構築されたVPNを介して暗号化されたデータを受信する中継装置受信手段と、前記中継装置受信手段により受信されたデータを復号する復号手段と、前記復号手段により復号されたデータに指定された宛先のIPアドレスから前記中継装置受信手段により受信されたデータを送信する第2通信装置のIPアドレスを前記記憶手段から抽出する抽出手段と、前記第2通信装置との間でVPNを構築する第2構築手段と、データを復号する処理、およびデータを暗号化する処理の変換処理負荷を含む処理負荷を検出する検出手段と、前記検出手段により検出された処理負荷が閾値よりも大きいか否かを判断する判断手段と、前記判断手段により処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる認証パラメータを含むVPN構築情報と、を送信する中継装置送信手段と、を備え、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置は、前記他方の通信装置のIPアドレスと、前記VPN構築情報と、を受信する通信装置受信手段と、前記通信装置受信手段により受信された前記他方の通信装置のIPアドレスで指定される通信装置と、前記認証パラメータに基づきVPNを構築する通信装置構築手段と、前記通信装置構築手段により構築されたVPNを介して暗号化されたデータを前記他方の通信装置に送信する通信装置送信手段と、を備えることを特徴とするものである。
In order to achieve the above object, the present invention according to
上記目的を達成するために、請求項7記載の本発明は、複数の通信装置と暗号化通信する中継装置に使用される暗号化通信方法であって、前記複数の通信装置のうちの第1通信装置との間で構築されたVPNを介して暗号化されたデータを受信する受信ステップと、前記受信ステップにより受信されたデータを復号する復号ステップと、前記復号ステップにより復号されたデータに指定された宛先のIPアドレスから前記受信ステップにより受信されたデータを送信する第2通信装置のIPアドレスを、前記複数の通信装置のIPアドレスを記憶する記憶手段から抽出する抽出ステップと、データを復号する処理、およびデータを暗号化する処理の変換処理負荷を含む処理負荷を検出する検出ステップと、前記検出ステップにより検出された処理負荷が閾値よりも大きいか否かを判断する判断ステップと、前記判断ステップにより処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる認証パラメータを含むVPN構築情報と、を送信する送信ステップと、を備えることを特徴とする方法である。
In order to achieve the above object, the present invention according to
上記目的を達成するために、請求項8記載の本発明は、複数の通信装置と暗号化通信する中継装置を制御するコンピュータに、前記複数の通信装置のうちの第1通信装置との間でVPNを構築する第1構築ステップと、前記第1構築ステップにより構築されたVPNを介して暗号化されたデータを受信する受信ステップと、前記受信ステップにより受信されたデータを復号する復号ステップと、前記復号ステップにより復号されたデータに指定された宛先のIPアドレスから前記第1受信ステップにより受信されたデータを送信する第2通信装置のIPアドレスを、前記複数の通信装置のIPアドレスを記憶する記憶手段から抽出する抽出ステップと、データを復号する処理、およびデータを暗号化する処理の変換処理負荷を含む処理負荷を検出する検出ステップと、前記検出ステップにより検出された処理負荷が閾値よりも大きいか否かを判断する判断ステップと、前記判断ステップにより処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる認証パラメータを含むVPN構築情報と、を送信する送信ステップと、を実行させることを特徴とするプログラムである。 In order to achieve the above object, the present invention according to claim 8 is directed to a computer that controls a relay apparatus that performs encrypted communication with a plurality of communication apparatuses, between the first communication apparatus and the first communication apparatus. A first construction step for constructing a VPN; a reception step for receiving encrypted data via the VPN constructed by the first construction step; and a decryption step for decrypting the data received by the reception step; The IP address of the second communication device that transmits the data received by the first reception step from the IP address of the destination specified in the data decrypted by the decryption step, and the IP addresses of the plurality of communication devices are stored. A processing load including an extraction step of extracting from the storage means, a process of decrypting the data, and a conversion processing load of the process of encrypting the data A detection step to be issued; a determination step for determining whether or not the processing load detected by the detection step is greater than a threshold; and when the determination step determines that the processing load is large, At least one of the communication devices with the second communication device has an IP address of the other communication device and a communication partner when a VPN is constructed between the first communication device and the second communication device. This is a program characterized by executing a transmission step of transmitting VPN construction information including an authentication parameter used for authentication.
請求項1記載の中継装置によれば、判断手段により処理負荷が大きいと判断された場合、第1通信装置と第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、VPN構築情報とが送信される。これにより、他方の通信装置のIPアドレス、およびVPN構築情報を受信した一方の通信装置は、中継装置を介さずに、他方の通信装置とVPNを介した暗号化通信を行うことが可能である。すなわち、中継装置において、データを復号する処理、およびデータを暗号化する処理の変換処理負荷が軽減される。従って、第2通信装置へ送信されるべきデータが遅れて送信される場合、または第2通信装置へ送信されるべきデータが送信されない場合の発生頻度を低減することが出来る。
According to the relay device according to
請求項2記載の中継装置によれば、他方の通信装置のIPアドレスと、VPN構築情報とが、中継装置の少なくとも1つの構築手段により構築されるVPNを介して一方の通信装置に送信される。従って、他方の通信装置のIPアドレスと、VPN構築情報とが、上記構築手段により構築されるVPNを介さずに一方の通信装置に送信されるよりも、IPアドレスと、VPN構築情報とが、第1通信装置、第2通信装置、および中継装置以外の他の装置に漏洩することを抑えることが出来る。
According to the relay device according to
請求項3記載の中継装置によれば、第1構築手段、または第2構築手段によりVPNが構築される際の通信相手の認証に用いられるパラメータと異なる認証パラメータが生成される。すなわち、認証パラメータは、中継装置で新規に生成される。第1構築手段、または第2構築手段によりVPNが構築される際の通信相手の認証に用いられるパラメータと同じ認証パラメータがVPN構築情報に含まれると、第1通信装置、第2通信装置、および中継装置が同じ認証パラメータを保持することになる。認証パラメータが複数の通信装置に保持されると、通信装置と一意に認証することが出来なくなる可能性がある。これに対し、請求項3記載の中継装置は、第1構築手段、または第2構築手段によりVPNが構築される際の通信相手の認証に用いられるパラメータと異なる認証パラメータが生成される。この認証パラメータは、第1通信装置、および第2通信装置に送信され、第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる。よって、第1通信装置、第2通信装置、および中継装置が同じ認証パラメータで認証されることが無い。従って、各通信装置を一意に認証することが出来る。これと共に、認証パラメータが中継装置において生成されるので、認証パラメータの管理が容易になる。従って、第1通信装置と第2通信装置とがVPNを構築する際の通信相手の認証の精度を高く出来ると共に、認証パラメータの管理を容易にすることが出来る。
According to the relay device of the third aspect, the authentication parameter different from the parameter used for authentication of the communication partner when the VPN is constructed by the first construction unit or the second construction unit is generated. That is, the authentication parameter is newly generated by the relay device. When the VPN construction information includes the same authentication parameter as that used for authentication of the communication partner when the VPN is constructed by the first construction means or the second construction means, the first communication device, the second communication device, and The relay device holds the same authentication parameter. If the authentication parameter is held in a plurality of communication devices, it may not be possible to uniquely authenticate with the communication device. On the other hand, the relay device according to
請求項4記載の中継装置によれば、リアルタイム性が求められるデータを送信、および受信する第1通信装置と第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスとVPN構築情報とが送信される。リアルタイム性が求められるデータは、音声通信などに使用される。このリアルタイム性が求められるデータが含まれる第1通信装置と第2通信装置との間の暗号化通信が、中継装置を介さずに実行される。従って、第2通信装置へ送信されるべきリアルタイム性が求められるデータが遅れて送信される場合、または第2通信装置へ送信されるべきリアルタイム性が求められるデータが送信されない場合の発生頻度を低減させることが出来る。
According to the relay device according to
請求項5記載の中継装置によれば、負荷軽減通知を受信した第1通信装置、および第2通信装置は、再び、中継装置を介した暗号化通信を行うことが可能である。中継装置の処理負荷が閾値を超えていないので、負荷軽減通知を受信した第1通信装置、および第2通信装置が中継装置を介して暗号化通信を行っても、第2通信装置へ送信されるべきデータが遅れて送信される場合、または第2通信装置へ送信されるべきデータが送信されない場合の発生頻度を低減することが出来る。 According to the relay device of the fifth aspect, the first communication device and the second communication device that have received the load reduction notification can perform encrypted communication again via the relay device. Since the processing load of the relay device does not exceed the threshold value, even if the first communication device and the second communication device that have received the load reduction notification perform encrypted communication via the relay device, they are transmitted to the second communication device. It is possible to reduce the frequency of occurrence when data to be transmitted is delayed or when data to be transmitted to the second communication device is not transmitted.
請求項6記載の暗号化通信システムによれば、判断手段により処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、VPN構築情報とが送信される。いずれか一方の通信装置は、受信された他方の通信装置のIPアドレスで指定される通信装置と、認証パラメータに基づきVPNを構築し、暗号化されたデータを構築されたVPNを介して他方の通信装置に送信する。これにより、他方の通信装置のIPアドレス、およびVPN構築情報を受信した一方の通信装置は、中継装置を介さずに、他方の通信装置とVPNを介した暗号化通信を行うことが可能である。すなわち、中継装置において、データを復号する処理、およびデータを暗号化する処理の変換処理負荷が軽減される。従って、第2通信装置へ送信されるべきデータが遅れて送信される場合、または第2通信装置へ送信されるべきデータが送信されない場合の発生頻度を低減することが出来る。
According to the encrypted communication system of
請求項7記載の暗号化通信方法によれば、判断ステップにより処理負荷が大きいと判断された場合、第1通信装置、および第2通信装置に、他方の通信装置のIPアドレスと、VPN構築情報とが送信される。これにより、他方の通信装置のIPアドレス、およびVPN構築情報を受信した一方の通信装置は、中継装置を介さずに、他方の通信装置とVPNを介した暗号化通信を行うことが可能である。すなわち、中継装置において、データを復号する処理、およびデータを暗号化する処理の変換処理負荷が軽減される。従って、第2通信装置へ送信されるべきデータが遅れて送信される場合、または第2通信装置へ送信されるべきデータが送信されない場合の発生頻度を低減することが出来る。
According to the encrypted communication method of
請求項8記載の暗号化通信プログラムによれば、判断ステップにより処理負荷が大きいと判断された場合、第1通信装置と第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、VPN構築情報とが送信される。これにより、他方の通信装置のIPアドレス、およびVPN構築情報を受信した一方の通信装置は、中継装置を介さずに、他方の通信装置とVPNを介した暗号化通信を行うことが可能である。すなわち、中継装置において、データを復号する処理、およびデータを暗号化する処理の変換処理負荷が軽減される。従って、第2通信装置へ送信されるべきデータが遅れて送信される場合、または第2通信装置へ送信されるべきデータが送信されない場合の発生頻度を低減することが出来る。 According to the encrypted communication program of claim 8, when it is determined in the determination step that the processing load is large, at least one of the first communication device and the second communication device is connected to the other communication device. IP address and VPN construction information are transmitted. As a result, the one communication apparatus that has received the IP address of the other communication apparatus and the VPN construction information can perform encrypted communication with the other communication apparatus via the VPN without using the relay apparatus. . That is, the conversion processing load of the process of decrypting data and the process of encrypting data is reduced in the relay device. Therefore, it is possible to reduce the occurrence frequency when data to be transmitted to the second communication device is transmitted with a delay, or when data to be transmitted to the second communication device is not transmitted.
図1を参照して本発明の一実施形態に係る暗号化通信システム1について説明する。図1は、暗号化通信ステムの概要構成を示す図である。
An
暗号化通信システム1は、ルータ2〜6と、パーソナルコンピュータ(PC)7〜10とを備える。PC7〜10は、ルータ2〜5とLANを介して接続する。ルータ2〜5は、ルータ6とVPNを構築する。VPNは、インターネットに構成される仮想的な私設網である。すなわち、ルータ2〜6はVPNゲートウェイである。ルータ2、ルータ3が、それぞれ本発明の第1通信装置、および第2通信装置の一例である。ルータ6が本発明の中継装置の一例である。
The
ルータ2〜5は、それぞれPC7〜10から送信されたパケットを暗号化する。次に、ルータ2〜5は、暗号化されたパケットをルータ6に送信する。ルータ6は、暗号化されたパケットを受信すると、この暗号化されたパケットを復号する。次に、ルータ6は、復号されたパケットをルータ2〜5に送信する。ルータ2〜5は、暗号化されたパケットを復号する。ルータ2〜5は、復号したパケットを、PC7〜10に送信する。すなわち、PC7〜10から送信されたパケットはルータ6を介してPC7〜10に送信される。この暗号化通信の形態はハブ&スポーク型と呼ばれ、ルータ2〜5がスポーク、ルータ6がハブに相当する。
The
本実施形態では、例えば、インターネットに構築されるVPNを介して暗号化通信が行われる際に、IPsec(Security Architecture for Internet Protocol)が採用される。IPsecは、ネットワーク層でデータを暗号化するプロトコルである。 In this embodiment, for example, when encrypted communication is performed via a VPN constructed on the Internet, IPsec (Security Architecture for Internet Protocol) is employed. IPsec is a protocol for encrypting data in a network layer.
IPsecはAH(Authentication Header)、ESP(Encapsulated Security Payload)、IKE(Internet Key Exchange)などの複数のプロトコルから構成される。これらのプロトコルは公知であるので簡単に説明する。 IPsec is composed of a plurality of protocols such as AH (Authentication Header), ESP (Encapsulated Security Payload), and IKE (Internet Key Exchange). Since these protocols are known, they will be briefly described.
AHは認証機能を有するセキュリティプロトコルである。ESPは、ペイロード部に対して暗号化するセキュリティプロトコルである。IKEは鍵交換を行うプロトコルである。 AH is a security protocol having an authentication function. ESP is a security protocol that encrypts the payload portion. IKE is a protocol for exchanging keys.
[ルータのハードウェア構成]
図2を参照して、ルータ2のハードウェア構成を説明する。ルータ3〜6のハードウェア構成は、ルータ2のハードウェア構成と同等であるので、説明を省略する。ルータ2は、CPU21、フラッシュメモリ22、RAM23、WAN側のイーサネット(登録商標)インタフェース24、およびLAN側のイーサネット(登録商標)インタフェース25を備える。CPU21、フラッシュメモリ22、RAM23、WAN側のイーサネット(登録商標)インタフェース24、およびLAN側のイーサネット(登録商標)インタフェース25はバスを介して接続される。フラッシュメモリ22は、CPU21により処理される後述のVPN構築処理などの制御プログラムを記憶する。フラッシュメモリ22は後述するSAD(Security Association Database)として、SA(Security Association)を記憶する。フラッシュメモリ22は、SPD(Security Policy Database)として、SP(Security Policy)を記憶する。フラッシュメモリ22が本発明の記憶手段の一例である。
[Hardware configuration of router]
The hardware configuration of the
RAM22は、CPU21が制御プログラムを実行する際の一時的なデータを記憶する。CPU21が本発明のコンピュータの一例である。
The
WAN側のイーサネット(登録商標)インタフェース24は、LANケーブルが接続されるポートを含み、ルータ6との間でIP網に構築されたVPNを介して暗号化されたパケットの送受信を行う。LAN側のイーサネット(登録商標)インタフェース25は、LANケーブルが接続されるポートを含み、LANケーブルを介してPC7との間で暗号化されていないパケットの送受信を行う。
The WAN-side Ethernet (registered trademark)
図3を参照して、SPDを説明する。SPDはSPを記憶するデータベースである。SPは、暗号化通信が可能な2つのルータとの間で暗号化通信を行うか否かを示す情報である。SPは、送信元アドレス、宛先アドレス、上位層プロトコル、および動作などを記憶している。送信元アドレスは、パケットの送信元のPCのIPアドレスである。宛先アドレスは、パケットの宛先のPCのIPアドレスである。上位層プロトコルは、ペイロード部を含むパケットのプロトコルである。動作は、暗号化通信を行うか否かの情報である。 The SPD will be described with reference to FIG. The SPD is a database that stores SP. SP is information indicating whether or not to perform encrypted communication with two routers capable of encrypted communication. The SP stores a source address, a destination address, an upper layer protocol, an operation, and the like. The source address is the IP address of the PC that is the source of the packet. The destination address is the IP address of the destination PC of the packet. The upper layer protocol is a packet protocol including a payload portion. The operation is information on whether or not to perform encrypted communication.
図4を参照して、SADを説明する。SADはSAを記憶するデータベースである。SAは、暗号化通信を行う2つのルータとの間で確立されるコネクションである。SAは、送信元アドレス、宛先アドレス、始点アドレス、終点アドレス、セキュリティプロトコル、SPI(Security Parameter Index)、暗号鍵、および暗号化アルゴリズムなどを記憶する。始点アドレスは、暗号化されたパケットを送信するルータのIPアドレスである。終点アドレスは、暗号化されたパケットが受信されるルータのIPアドレスである。セキュリティプロトコルとしては、AH、またはESPが指定される。SPIはSAを識別する情報である。暗号鍵は、2つのルータの間で暗号化通信が実行される際に、パケットの暗号化に使用される鍵である。暗号化アルゴリズムは、3DES−CBC、DES−CBCなどのアルゴリズムである。 The SAD will be described with reference to FIG. SAD is a database that stores SA. SA is a connection established between two routers that perform encrypted communication. The SA stores a source address, a destination address, a start point address, an end point address, a security protocol, an SPI (Security Parameter Index), an encryption key, an encryption algorithm, and the like. The start point address is the IP address of the router that transmits the encrypted packet. The end point address is the IP address of the router that receives the encrypted packet. AH or ESP is designated as the security protocol. SPI is information for identifying the SA. The encryption key is a key used for packet encryption when encrypted communication is executed between two routers. The encryption algorithm is an algorithm such as 3DES-CBC or DES-CBC.
図5、および図6を参照して、PC7からPC8にパケットが送信される際のシーケンスを説明する。図5、および図6において、ルータ6のCPU21が実行する処理を、VPN制御部が実行する処理、切替制御部が実行する処理、および負荷監視部が実行する処理として説明する。図5、および図6に示す記憶部は、ルータ6のフラッシュメモリ22である。
A sequence when a packet is transmitted from the
[ルータ6の処理負荷が小さい場合の動作]
S1において、ルータ2のVPN制御部とルータ6のVPN制御部がVPNを構築する。次に、S2においてルータ6のVPN制御部とルータ3のVPN制御部がVPNを構築する。S1の処理が本発明の第1構築手段の一例である。S2が本発明の第2構築手段の一例である。
[Operation when the processing load of the
In S1, the VPN control unit of the
S1、およびS2におけるVPNの構築について、図7、および図8を参照して説明する。図7、および図8は、ルータ2とルータ6との間にVPNが構築されるS1の処理の一例を示す。VPNが構築されるには、暗号化通信が実行される2つのルータの間において、SAが生成されなければならない。SAはIKE(Internet Key Exchange)により、動的に生成される。このSAの生成過程において、ルータ2のVPN制御部、およびルータ6のVPN制御部はフェーズ1とフェーズ2と呼ばれる公知の処理を実行する。フェーズ1は、メインモードとアグレッシブモードとのどちらか一方のモードにより処理される。フェーズ1、およびフェーズ2の処理の実行が完了すると、ルータ2とルータ6との間にVPNが構築される。図7はメインモードでフェーズ1の処理が実行されるシーケンス図である。図8はアグレッシブモードでフェーズ1の処理が実行されるシーケンス図である。
The construction of the VPN in S1 and S2 will be described with reference to FIG. 7 and FIG. 7 and 8 show an example of the process of S1 in which a VPN is constructed between the
[メインモード]
図7に示すS101において、ルータ2は、ISAKMP SA生成要求をルータ6に送信する。このISAKMP SA生成要求は、ルータ2とルータ6との間でISAKMP SAの生成を提案するパケットである。ISAKMP SAは、IKEによりSAが自動的に生成される場合のIKEの制御用チャネルである。この提案パケットをルータ6に送信すると、S102に処理を移行する。
[Main mode]
In S101 illustrated in FIG. 7, the
提案パケットは、ISAKMP SAを確立するためのパラメータを含む。このパラメータは、暗号化アルゴリズム、ハッシュアルゴリズム、認証方式、およびDiffie−Hellman交換に使用されるパラメータなどである。 The proposal packet includes parameters for establishing an ISAKMP SA. This parameter includes an encryption algorithm, a hash algorithm, an authentication method, a parameter used for Diffie-Hellman exchange, and the like.
暗号化アルゴリズムは、ISAKMP SAが暗号化される際のアルゴリズムである。この暗号化アルゴリズムは、3DES−CBC、DES−CBCなどから後述するS102において1つ指定される。 The encryption algorithm is an algorithm used when ISAKMP SA is encrypted. One encryption algorithm is designated in S102, which will be described later, from 3DES-CBC, DES-CBC, and the like.
ハッシュアルゴリズムは、ISAKMP SAの確立過程において認証に使用されるアルゴリズムである。このハッシュアルゴリズムはSHA−1、MD5などから1つ指定される。 The hash algorithm is an algorithm used for authentication in the establishment process of ISAKMP SA. One hash algorithm is designated from SHA-1, MD5, and the like.
認証方式は、通信先のルータを認証する際の方式である。認証方式は、PSK(Pre−Shared Key)認証、公開鍵認証から1つ指定される。以降の記載では、PSK認証がパラメータとして指定されたとする。 The authentication method is a method for authenticating a communication destination router. One authentication method is designated from PSK (Pre-Shared Key) authentication and public key authentication. In the following description, it is assumed that PSK authentication is designated as a parameter.
Diffie−Hellman交換に使用されるパラメータは、Diffie−Hellman交換により共通鍵が生成される際に使用されるパラメータである。 The parameters used for the Diffie-Hellman exchange are parameters used when a common key is generated by the Diffie-Hellman exchange.
S102において、ルータ6は、受信されたISAKMP SAの生成要求に含まれるパラメータの認証を行う。パラメータの認証を行うと、ISAKMP SAの生成を受諾すると判断し、ISAKMP SAの生成の受諾を通知するパケットをルータ2に送信する。この通知パケットをルータ2に送信すると、S103、およびS104に処理を移行する。
In S102, the
S103、およびS104において、ルータ2、およびルータ6は乱数を発生する。乱数の発生を終了すると、S105、およびS106に処理を移行する。
In S103 and S104, the
S105、およびS106において、ルータ2、およびルータ6は、発生された乱数を他方のルータ2、6に送信する。この乱数の送受信は、Diffie−Hellman交換と呼ばれる。乱数の送信が終了すると、S107、およびS108に処理を移行する。
In S105 and S106, the
S107において、ルータ2はS103で発生した乱数と、S106で受信した乱数とから共通鍵を生成する。S108において、ルータ6はS104で発生した乱数と、S105で受信した乱数とから共通鍵を生成する。すなわち、ルータ2とルータ6とは、同じ共通鍵を生成する。共通鍵の生成が終了すると、S109に処理を移行する。
In S107, the
S109において、ルータ2は、ルータ2とルータ6との間で予め設定されるPSKからハッシュ値を生成する。このPSKは、ルータ2、およびルータ6のIPアドレスと対応付けてルータ2、ルータ6の記憶部に記憶される。ルータ2は、生成されたハッシュ値をルータ6に送信する。このハッシュ値は、S107において生成された共通鍵により暗号化されてルータ6に送信される。ハッシュ値の送信が終了すると、S110に処理を移行する。
In S109, the
S110において、ルータ6は、S108において生成された共通鍵を用いて、ハッシュ値を復号する。復号されたハッシュ値と、送信元のアドレスに付与されたルータ2のIPアドレスから、S101〜S109の処理において、通信しているルータがルータ2であることを認証する。通信しているルータがルータ2であると判断すると、S111に処理を移行する。すなわち、PSKはVPNを構築する際の、通信相手の認証に用いられる。
In S110, the
S111において、ルータ6は、ルータ2とルータ6との間で予め設定されるPSKからハッシュ値を生成する。このハッシュ値は、S108において生成された共通鍵により暗号化されてルータ6に送信される。ハッシュ値の送信が終了すると、S112に処理を移行する。
In S <b> 111, the
S112において、ルータ2は、S107において生成された共通鍵からハッシュ値を復号する。復号されたハッシュ値と送信元のアドレスに付与されたルータ6のIPアドレスとに基づき、S101〜S109の処理において、通信しているルータがルータ6であることを検証する。通信しているルータがルータ6であると判断すると、S113に処理を移行する。
In S112, the
S101〜S112の処理は、フェーズ1と呼ばれる。S101〜S112の処理により、ISAKMP SAが確立される。以降のS113〜S116において、ルータ2とルータ6との間で送受信されるパケットはISAKMP SAの確立過程において生成された共通鍵により暗号化される。
The processing of S101 to S112 is called
S113において、ルータ2は、IPsec SA生成要求をルータ6に送信する。このIPsec SA生成要求は、ルータ2とルータ6との間でIPsec SAの生成を提案するパケットである。ルータ2は、乱数、暗号化アルゴリズム、セキュリティプロトコルを提案パケットに付与する。S113において、提案パケットに付与される乱数は、ルータ2、およびルータ6に接続されたPCとの間で通信が実行される際に、パケットの暗号化に使用される暗号鍵を生成するための乱数である。暗号化アルゴリズムは、3DES−CBC、DES−CBCなどのアルゴリズムである。セキュリティプロトコルとしては、AH、またはESPが指定される。この提案パケットをルータ6に送信すると、S114に処理を移行する。
In S113, the
S114において、ルータ6は、ルータ2とルータ6との間でIPsec SAの生成を受諾すると、ルータ6は、受信した提案パケットに付与された乱数から暗号鍵を生成する。鍵の生成が終了すると、S115に処理を移行する。
In S114, when the
S115において、ルータ6は、IPsec SAの生成の受諾を通知するパケットをルータ2に送信する。ルータ6はこの通知パケットに乱数を付与する。この通知パケットをルータ2に送信すると、S116に処理を移行する。
In S <b> 115, the
S116において、ルータ2は通知パケットに付与された乱数から暗号鍵を生成する。暗号鍵の生成が終了すると、IPsec SAが確立されたこと通知する確立通知パケットをルータ6に送信する。
In S116, the
S113〜S116の処理は、フェーズ2と呼ばれる。VPNは、S101〜S112の処理であるフェーズ1と、S113〜S116の処理であるフェーズ2とが実行されることにより構築される。すなわち、2つのルータ間でVPNが構築されるためには、ルータ2とルータ6との間でPSKが設定されていなければならない。VPNが構築されると、ルータ2とルータ6との記憶部に記憶されたSADの始点アドレス、および終点アドレスと対応付けて、セキュリティプロトコル、暗号鍵、暗号化アルゴリズムが記憶される。この際、SAを識別するSPIがSAに付与される。ルータ2からルータ6へ送信される暗号化パケットのSAと、ルータ6からルータ2へ送信される暗号化パケットのSAとの2つのSAが作成される。
The processing of S113 to S116 is called
[アグレッシブモード]
図8を参照して、アグレッシブモードを説明する。S201において、ルータ2は乱数を生成する。乱数の生成が終了すると、S202に処理を移行する。
[Aggressive mode]
The aggressive mode will be described with reference to FIG. In S201, the
S202において、ルータ2は、ISAKMP SA生成要求を送信する。このISAKMP SA生成要求は、S201において生成された乱数を含む。ISAKMP SA生成要求を送信すると、S203に処理を移行する。
In S202, the
S203において、ルータ6は、乱数を生成する。乱数を生成すると、S204に処理を移行する。
In S203, the
S204において、ルータ6は、ISAKMP SAの生成要求に含まれるパラメータを認証する。このパラメートを認証すると判断すると、ISAKMP SAの生成の受諾を通知するパケットをルータ2に送信する。この通知パケットは、S203において生成された乱数と、ルータ2とルータ6との間で予め設定されるPSKから生成されるハッシュ値とを含む。通知パケットをルータ2に送信すると、S205に処理を移行する。
In S204, the
S205において、ルータ2は、受信された通知パケットに含まれるハッシュ値と、送信元のアドレスに付与されたルータ6のIPアドレスとに基づき、S201〜S204の処理において、通信しているルータがルータ6であることを認証する。通信しているルータがルータ6であると判断すると、S206に処理を移行する。
In S205, the
S206において、ルータ2は、受信された通知パケットに含まれる乱数から共通鍵を生成する。共通鍵の生成が終了すると、S207に処理を移行する。
In S206, the
S207において、ルータ2は、ルータ2とルータ6との間で予め設定されるPSKから生成されるハッシュ値を含む認証パケットをルータ6に送信する。認証パケットの送信が終了すると、S208に処理を移行する。このハッシュ値は、S206において生成された共通鍵により暗号化される。
In S <b> 207, the
S208において、ルータ6は認証パケットに含まれるハッシュ値と、送信元のアドレスに付与されたルータ2のIPアドレスとに基づき、S201〜S204の処理において、通信しているルータがルータ2であることを認証する。通信しているルータがルータ6であると判断すると、アグレッシブモードにおけるフェーズ1を終了し、フェーズ2の処理に移行する。
In S208, based on the hash value included in the authentication packet and the IP address of the
図5に戻り、説明を続ける。以下の記載において、パケットの内容を示す図9を参照して説明する。S3において、ルータ2のVPN制御部は、PC7から暗号化されていないパケットを受信する。このパケットは、図9(a)に示すように、PC8のIPアドレスが宛先のIPアドレスに指定され、PC7のIPアドレスが送信元のIPアドレスに指定されているパケットである。このパケットのペイロード部にRTP(Real−time Transport Protocol)に従うデータが含まれているとして説明する。ルータ2のVPN制御部が、PC7から送信されたパケットを受信すると、S4に処理を移行する。
Returning to FIG. 5, the description will be continued. In the following description, description will be given with reference to FIG. In S <b> 3, the VPN control unit of the
S4において、ルータ2のVPN制御部は、ルータ2の記憶部に記憶されたSPDを参照する。PC7から送信されたパケットの宛先IPアドレス、送信元のIPアドレス、およびペイロード部のプロトコルに一致するSPがあるか否かを判断する。SPがあると判断すると、そのSPの動作に示される通信方法で宛先のPC8にパケットを送信すると判断する。SPが無いと、宛先のPC8にパケットを送信しないと判断する。以降の記載では、SPの動作にIPSecが記憶されているとして、暗号化通信でパケットが送信される場合を説明する。暗号化通信でパケットを送信すると判断すると、SADを参照する。次に、パケットに付与された宛先IPアドレス、送信元のIPアドレス、およびペイロード部のプロトコルと一致し、始点アドレスが、ルータ2のIPアドレスであるSAから、暗号鍵、および暗号化アルゴリズムを抽出する。次に、PC7から送信されたパケットをこの暗号鍵、および暗号化アルゴリズムにより暗号化する。暗号化されたパケットに、宛先のルータのIPアドレス、送信元のルータのIPアドレス、およびSAに指定されたSPIを付与する。宛先のルータのアドレスには、終点アドレスであるルータ6のIPアドレスが付与される。送信元のルータのアドレスには、始点アドレスであるルータ2のIPアドレスが付与される。暗号化が終了すると、S5に処理を移行する。図9(b)に暗号化されたパケットを示す。終点アドレス、始点アドレス、およびSPIが、この暗号化されたパケットに付与される。以降の記載において、ルータ2とルータ6との間で使用される暗号鍵、暗号化方式をそれぞれ第1暗号鍵、第1暗号化アルゴリズムとする。宛先のルータのアドレスは、予めSAの終点アドレスとして記憶部に記憶されている。すなわち、宛先のルータのIPアドレスが記憶部に記憶されていないと、そのルータと暗号化通信を行うことは出来ない。
In S <b> 4, the VPN control unit of the
S5において、ルータ2のVPN制御部は、暗号化されたパケットをルータ6のVPN制御部に送信する。この暗号化されたパケットは、S1において構築されたVPNを介して、ルータ6のVPN制御部に送信される。ルータ6のVPN制御部は、ルータ2のVPN制御部から送信された暗号化パケットを受信する。ルータ6のVPN制御部が、暗号化パケットを受信すると、S6に処理を移行する。以降の記載において、暗号化されたパケットを暗号化パケットと記載する。S6に示す、ルータ6のVPN制御部の暗号化パケットを受信する処理が、本発明の受信手段の一例である。
In S <b> 5, the VPN control unit of the
S6において、ルータ2のVPN制御部から送信された暗号化パケットを受信したルータ6のVPN制御部は、暗号化パケットに付与されたSPIを参照し、第1暗号鍵、および第1暗号化アルゴリズムをルータ6の記憶部に記憶されたSADから抽出する。この第1暗号鍵、および第1暗号化アルゴリズムにより、暗号化パケットを復号する。復号が終了すると、S7に処理を移行する。復号されたパケットは、図9(a)に示すPC7から送信されたパケットと同じである。S6の処理が、本発明の復号手段の一例である。
In S6, the VPN control unit of the
S7において、ルータ6のVPN制御部は、復号されたパケットに含まれる送信元アドレス、宛先アドレス、プロトコル、およびパケットサイズをルータ6の記憶部に記憶する。この処理は、後述する。すなわち、PC7のIPアドレスが送信元アドレス、PC8のIPアドレスが宛先アドレス、ペイロード部に含まれるデータのプロトコルであるRTPがプロトコル、およびペイロード部に含まれるデータのサイズがパケットサイズである。復号されたパケットに含まれる各項目をを記憶部に記憶すると、S8に処理を移行する。
In S <b> 7, the VPN control unit of the
S8において、ルータ6のVPN制御部は、ルータ6の記憶部に記憶されたSPDを参照する。PC7から送信されたパケットの宛先IPアドレス、送信元のIPアドレス、およびペイロード部のプロトコルに一致するSPがあるか否かを判断する。SPがあると判断すると、そのSPの動作に示される通信方法で宛先のPC8にパケットを送信すると判断する。SPが無いと、宛先のPC8にパケットを送信しないと判断する。暗号化通信でパケットを送信すると判断すると、SADを参照する。次に、パケットに付与された宛先IPアドレス、送信元のIPアドレス、およびペイロード部のプロトコルと一致し、始点アドレスが、ルータ6のIPアドレスであるSAから、暗号鍵、および暗号化アルゴリズムを抽出する。この暗号鍵、および暗号化アルゴリズムにより、PC7から送信されたパケットを暗号化する。S6において復号されたパケットに付与された宛先のIPアドレス、送信元のIPアドレス、およびペイロード部のプロトコルと一致し、始点アドレスが、ルータ6のIPアドレスであるSAから、終点アドレスに記憶されたルータのIPアドレスを抽出する。暗号化されたパケットに、宛先のルータのIPアドレス、送信元のルータのIPアドレス、およびSAに指定されたSPIを付与する。宛先のルータのアドレスは、抽出された終点アドレスであるルータ3のIPアドレスであり、送信元のルータのアドレスは、始点アドレスであるルータ6のIPアドレスである。暗号化が終了すると、S9に処理を移行する。以降の記載において、ルータ6とルータ3との間で使用される暗号鍵、暗号化アルゴリズムをそれぞれ第2暗号鍵、第2暗号化アルゴリズムとする。S8の処理が、本発明の抽出手段の一例である。
In S <b> 8, the VPN control unit of the
S9において、ルータ6のVPN制御部は、暗号化パケットをルータ3のVPN制御部に送信する。暗号化パケットの送信が終了すると、S10に処理を移行する。
In S <b> 9, the VPN control unit of the
S10において、ルータ6のVPN制御部から送信された暗号化パケットを受信したルータ3のVPN制御部は、暗号化パケットに付与されたSPIを参照し、第2暗号鍵、および第2暗号化アルゴリズムをルータ3の記憶部に記憶されたSADから抽出する。この第2暗号鍵、および第2暗号化アルゴリズムにより、暗号化パケットを復号する。復号が終了すると、S11に処理を移行する。
In S10, the VPN control unit of the
S11において、ルータ3のVPN制御部は、復号されたパケットのヘッダーに含まれる宛先アドレスを参照して、PC8にパケットを送信する。
In S11, the VPN control unit of the
[ルータの処理負荷が大きい場合の動作]
負荷が大きくなった場合のシーケンスを、図6を参照して説明する。S21において、ルータ6の負荷監視部は、記憶部に記憶されているパケット量に基づき、現在の負荷を検出する。このS21の負荷検出処理は、定期的に実行される。負荷検出の具体的な処理は後述する。現在の負荷を検出するとS22に処理を移行する。S21の処理が、本発明の検出手段の一例である。
[Operation when the processing load on the router is heavy]
A sequence when the load increases will be described with reference to FIG. In S21, the load monitoring unit of the
S22において、負荷監視部は、負荷が、閾値よりも大きいか否かを判断する。この閾値は、予め設定されて、ルータ6の記憶部に記憶される。検出された負荷が閾値よりも大きいと判断した場合、S23に処理を移行する。検出された負荷が閾値よりも小さいと判断した場合は、ハブ&スポーク型で暗号化通信が行われる。S22の処理が、本発明の判断手段の一例である。
In S22, the load monitoring unit determines whether the load is greater than a threshold value. This threshold value is set in advance and stored in the storage unit of the
S23において、負荷監視部は、切替要求を切替制御部に送信する。切替要求は、ルータ6を介さずに暗号化通信する要求である。切替要求を切替制御部に送信すると、S24に処理を移行する。
In S23, the load monitoring unit transmits a switching request to the switching control unit. The switching request is a request for encrypted communication without using the
S24において、切替要求を受信した切替制御部は、ルータ6を介さずに暗号化通信させる切替対象をルータ6の記憶部から取得する。切替対象はルータ2〜5の何れかの2つのルータである。具体的に、送信元アドレス、宛先アドレス、始点アドレス、および終点アドレスを切替対象の情報として抽出する。具体的な切替対象の取得処理は、後述する。切替対象の抽出が終了すると、S25に処理を移行する。以下の記載において、切替対象をルータ2、およびルータ3として説明する。また、切替対象にルータ6は含まれない。
In S <b> 24, the switching control unit that has received the switching request acquires from the storage unit of the router 6 a switching target for encrypted communication without using the
S25において、切替制御部は、PSKを生成する。このPSKは、ルータ2とルータ3との間でVPNを構築する際に使用される。このPSKは、S1、およびS2におけるVPNの構築の際のPSKと異なる。PSKの生成が終了すると、S26に処理を移行する。PSKが本発明の認証パラメータの一例である。S25の処理が、本発明の生成手段の一例である。
In S25, the switching control unit generates PSK. This PSK is used when a VPN is constructed between the
S26において、切替制御部は、2つの接続情報パケットを生成する。接続情報パケットは、作成されたPSKと、PC7のアドレス、PC8のアドレス、ルータ2、およびルータ3のIPアドレスとをペイロード部に含む。接続情報パケットの生成が終了すると、S27に処理を移行する。接続情報パケットが本発明のVPN構築情報の一例である。
In S26, the switching control unit generates two connection information packets. The connection information packet includes the created PSK, the address of
S27において、切替制御部は、2つの接続情報パケットをルータ6のVPN制御部に送信し、S28に処理を移行する。
In S27, the switching control unit transmits two connection information packets to the VPN control unit of the
S28において、2つの接続情報パケットを受信したルータ6のVPN制御部は、記憶部に記憶されたSADを参照し、接続情報パケットを暗号化する。一方の接続情報パケットは、第1暗号鍵、および第1暗号化アルゴリズムで暗号化される。他方の接続情報パケットは、第2暗号鍵、および第2暗号化アルゴリズムで暗号化される。接続情報パケットの暗号化が終了すると、S29に処理を移行する。
In S28, the VPN control unit of the
S29において、ルータ6のVPN制御部は、第1暗号鍵、および第1暗号化アルゴリズムで暗号化された接続情報パケットに、ルータ2のIPアドレス、およびSPIを付与する。ルータ6のVPN制御部は、ルータ2のIPアドレス、およびSPIが付与された接続情報パケットをルータ2との間に構築されたVPNを介して、ルータ2のVPN制御部に送信する。ルータ6のVPN制御部は、第2暗号鍵、および第2暗号化方式で暗号化された接続情報パケットにルータ3のIPアドレス、およびSPIを付与する。ルータ6のVPN制御部は、ルータ3のIPアドレス、およびSPIが付与された接続情報パケットをルータ3との間に構築されたVPNを介して、ルータ3のVPN制御部に送信する。接続情報パケットの送信が終了すると、S30に処理を移行する。S29の処理が、本発明の送信手段の一例である。
In S29, the VPN control unit of the
S30において、暗号化された接続情報パケットを受信したルータ2、およびルータ3のVPN制御部は、暗号化された接続情報パケットに付与されたSPIを参照し、第1暗号鍵、および第1暗号化アルゴリズム、または第2暗号鍵、および第2暗号化アルゴリズムを、記憶部に記憶されたSAから抽出する。この第1暗号鍵、および第1暗号化アルゴリズム、または第2暗号鍵、および第2暗号化アルゴリズムにより、暗号化された接続情報パケットを復号する。接続情報パケットの復号が終了すると、S31に処理を移行する。
In S30, the VPN control unit of the
S31において、ルータ2のVPN制御部は、復号化された接続情報パケットに含まれるPC7のIPアドレス、PC8のIPアドレス、およびルータ3のIPアドレスに基づき、SAを抽出する。具体的に、ルータ2のVPN制御部は、宛先アドレスにPC7のIPアドレス、および送信元アドレスにPC8のIPアドレスが含まれるSAと、宛先アドレスにPC8のIPアドレス、および送信元アドレスにPC7のIPアドレスが含まれるSAとを抽出する。抽出されたSAに切替済みフラグを付与する。次に、ルータ2のVPN制御部は、新たにSAを作成する。新たに作成されるSAの宛先アドレス、送信元アドレス、およびプロトコルは、抽出されたSAの宛先アドレス、送信元アドレス、およびプロトコルと同じである。新たに作成されるSAは終点アドレス、および始点アドレスの一方にはルータ3のIPアドレスが記憶され、他方には、ルータ2のIPアドレスが記憶される。一方、ルータ3のVPN制御部は、復号化された接続情報パケットに含まれるPC7のIPアドレス、PC8のIPアドレス、およびルータ2のIPアドレスに基づき、SAを抽出する。具体的に、ルータ3のVPN制御部は、宛先アドレスにPC7のIPアドレス、および送信元アドレスにPC8のIPアドレスが含まれるSAと、宛先アドレスにPC8のIPアドレス、および送信元アドレスにPC7のIPアドレスが含まれるSAとを抽出する。抽出されたSAに切替済みフラグを付与する。次に、ルータ3のVPN制御部は、新たにSAを作成する。新たに作成されるSAの宛先アドレス、送信元アドレス、およびプロトコルは、抽出されたSAの宛先アドレス、送信元アドレス、およびプロトコルと同じである。新たに作成されるSAは終点アドレス、および始点アドレスの一方にはルータ2のIPアドレスが記憶され、他方には、ルータ3のIPアドレスが記憶される。新たなSAの作成、および切替済みフラグの付与が終了すると、S32に処理を移行する。
In S31, the VPN control unit of the
S32において、ルータ2のVPN制御部は、接続情報パケットに含まれるPSKを使用して、ルータ2とルータ3との間でVPNを構築する。PSKは接続情報パケットに含まれ、ルータ2、およびルータ3のIPアドレスと対応付けて記憶部に記憶される。このVPN構築処理は、S1の処理と同様である。VPNの構築が終了すると、ルータ2、およびルータ3のVPN制御部は、VPNの構築過程において作成された暗号鍵、暗号化アルゴリズム、およびSPIを、S31において新たに作成されたSAに付与する。暗号鍵、暗号化アルゴリズム、およびSPIの付与が終了すると、S33に処理を移行する。以降の記載において、S32の処理において生成された暗号鍵、および暗号化アルゴリズムを第3暗号鍵、および第3暗号化アルゴリズムとする。
In S <b> 32, the VPN control unit of the
S33において、ルータ2のVPN制御部は、ルータ6のVPN制御部に切替完了通知を送信する。この切替完了通知は、ルータ2とルータ3との間でVPNが構築されたことを示す通知である。切替完了通知を送信するとS34に処理を移行する。
In S <b> 33, the VPN control unit of the
S34において、ルータ6のVPN制御部は、切替対象を記憶部に記憶する。すなわち、接続情報パケットを送信したルータを示す情報を記憶部に記憶する。具体的には、宛先アドレス、および送信元アドレスにPC7、およびPC8のIPアドレスが記憶され、始点アドレス、または終点アドレスにルータ2、またはルータ3のIPアドレスが付与されているSAに切替済みフラグを立てる。切替済みフラグを立てると、S35に処理を移行する。
In S34, the VPN control unit of the
S35において、ルータ2のVPN制御部は、PC7から暗号化されていないパケットを受信する。このパケットは、図9(a)に示すように、PC8のIPアドレスが宛先アドレスに指定されているパケットである。PC7から送信されたパケットを受信すると、S36に処理を移行する。
In S <b> 35, the VPN control unit of the
S36において、ルータ2のVPN制御部は、宛先アドレスに指定されたIPアドレス、および記憶部に記憶されたSPDを参照することにより、宛先のPC8に暗号化通信でパケットを送信することを判断する。暗号化通信でパケットを送信することを判断すると、記憶部に記憶され、切替済みフラグが付与されていないSAを参照する。SAは、終点アドレスがルータ3のIPアドレスであるので、第3暗号鍵、および第3暗号化アルゴリズムをSAから抽出する。次に、PC7から送信されたパケットを、第3暗号鍵、および第3暗号化アルゴリズムにより暗号化する。暗号化されたパケットのヘッダーに宛先アドレス、始点アドレス、およびSPIを付与する。ルータ3のIPアドレスが宛先アドレスに指定され、ルータ2のIPアドレスが始点アドレスに指定される。暗号化が終了すると、S37に処理を移行する。
In S36, the VPN control unit of the
S37の処理において、ルータ2のVPN制御部は、暗号化パケットをルータ3のVPN制御部に送信する。暗号化パケットの送信が終了すると、S38に処理を移行する。
In the process of S37, the VPN control unit of the
S38において、ルータ3のVPN制御部は、ルータ2から送信された暗号化パケットを受信する。次に、暗号化パケットのヘッダーに付与されたSPIから第3暗号鍵、および第3暗号化アルゴリズムを抽出し、暗号化パケットを復号する。復号が終了するとS39に処理を移行する。
In S <b> 38, the VPN control unit of the
S39において、ルータ3のVPN制御部は、復号されたパケットに指定された宛先IPアドレスに従い、PC8にパケットを送信する。
In S39, the VPN control unit of the
[負荷検出処理]
図10を参照して、ルータ6の負荷監視部の処理である負荷検出処理を説明する。S301において、タイマをゼロにセットする。タイマをゼロにセットすると、S302に処理を移行する。
[Load detection processing]
With reference to FIG. 10, the load detection process which is a process of the load monitoring part of the
S302において、図5に示すS6において復号されたパケットを、S6で復号された順に抽出する。復号されたパケットの抽出が終了すると、S303に処理を移行する。図5に示すS5においてルータ6に受信されたパケットは、CPU21により、復号される。次に、復号されたパケットは、CPU21により、暗号化される。CPU21がルータ6に受信されたパケットを復号、暗号化する変換処理が、本発明のデータを復号する処理、およびデータを暗号化する変換処理である。この変換処理によりCPU21にかかる負担が、本発明の変換処理負荷の一例である。
In S302, the packets decoded in S6 shown in FIG. 5 are extracted in the order decoded in S6. When the extraction of the decrypted packet is completed, the process proceeds to S303. The packet received by the
S303において、抽出されたパケットのペイロード部に含まれるデータのプロトコルはリアルタイム性が求められるプロトコルであるか否かを判断する。リアルタイム性が求められるプロトコルは、RTP、UDP(User Datagram Protocol)、RTSP(Real Time Streaming Protocol)などが挙げられる。リアルタイム性があると判断すると、S304に処理を移行する。リアルタイム性がないと判断すると、S305に処理を移行する。 In S303, it is determined whether or not the protocol of data included in the payload portion of the extracted packet is a protocol that requires real-time characteristics. Examples of protocols that require real-time performance include RTP, UDP (User Datagram Protocol), and RTSP (Real Time Streaming Protocol). If it is determined that there is real-time property, the process proceeds to S304. If it is determined that there is no real-time property, the process proceeds to S305.
S304において、ルータ6の記憶部に記憶されたテーブル1を選択する。図11にテーブル1の内容を示す。図11に示すように、テーブル1は、宛先アドレス、送信元アドレス、プロトコル、bps計測用フィールド、およびbpsフィールドの項目を1レコードとして記憶している。テーブル1の選択が終了すると、S306に処理を移行する。
In S304, the table 1 stored in the storage unit of the
S305において、ルータ6の記憶部に記憶されたテーブル2を選択する。図12にテーブル2の内容を示す。図12に示すように、テーブル2は、宛先アドレス、送信元アドレス、プロトコル、bps計測用フィールド、およびbpsフィールドの項目を1レコードとして記録している。テーブル2の選択が終了すると、S306に処理を移行する。
In S305, the table 2 stored in the storage unit of the
S306において、宛先アドレス、送信元アドレス、およびプロトコルが合致するレコードがテーブル1、またはテーブル2にあるか否かを判断する。レコードがあると判断すると、S307に処理を移行する。レコードがないと判断すると、S308に処理を移行する。 In S306, it is determined whether there is a record in Table 1 or Table 2 that matches the destination address, the source address, and the protocol. If it is determined that there is a record, the process proceeds to S307. If it is determined that there is no record, the process proceeds to S308.
S307において、合致したレコードのbps計測用フィールドを更新する。具体的には、復号されたパケットのペイロード部のデータサイズをbps計測用フィールドの値に加算する。更新が終了すると、S309に処理を移行する。 In S307, the bps measurement field of the matched record is updated. Specifically, the data size of the payload portion of the decoded packet is added to the value of the bps measurement field. When the update is completed, the process proceeds to S309.
S308において、ペイロード部に含まれるデータのプロトコルに従い、新規のレコードをテーブル1、またはテーブル2に登録する。登録が終了すると、復号パケットのペイロード部のデータサイズをbps計測用フィールドの値に加算する。新規のレコードの登録が終了すると、S309に処理を移行する。 In S308, a new record is registered in Table 1 or Table 2 in accordance with the protocol of the data included in the payload portion. When registration is completed, the data size of the payload portion of the decoded packet is added to the value of the bps measurement field. When registration of a new record is completed, the process proceeds to S309.
S309において、タイマが1秒経過したか否かを判断する。1秒経過したと判断すると、S310に処理を移行する。1秒経過していないと判断すると、S302に処理を移行する。 In S309, it is determined whether or not the timer has elapsed for 1 second. If it is determined that one second has elapsed, the process proceeds to S310. If it is determined that one second has not elapsed, the process proceeds to S302.
S310において、テーブル1、およびテーブル2のbps計測用フィールドの値を全て対応するbpsフィールドに上書きする。次に、テーブルごとのbpsフィールドの和を計算する。次に、テーブル1のbpsフィールドの和とテーブル2のbpsフィールドの和とを足し合わせ、全てのbpsフィールドの和を算出する。全てのbpsフィールドの和を算出すると、S311に処理を移行する。全てのbpsフィールドの和が本発明の変換処理負荷の一例である。 In S310, all the values of the bps measurement fields in Table 1 and Table 2 are overwritten in the corresponding bps field. Next, the sum of the bps field for each table is calculated. Next, the sum of the bps fields of Table 1 and the sum of the bps fields of Table 2 are added to calculate the sum of all bps fields. When the sum of all bps fields is calculated, the process proceeds to S311. The sum of all bps fields is an example of the conversion processing load of the present invention.
S311において、テーブル1、およびテーブル2の全てのbps計測用フィールドの値をゼロにする。全てのbps計測用フィールドの値をゼロにすると、S301に処理を移行する。 In S311, the values of all bps measurement fields in Table 1 and Table 2 are set to zero. When all the bps measurement fields are set to zero, the process proceeds to S301.
[切替対象決定処理]
図13を参照して、ルータ6の負荷監視部、および切替制御部の切替対象決定処理を説明する。S401において、トラフィックが閾値を超えているか否かを判断する。具体的には、図10に示すS310において、算出された全てのbpsフィールドの和が予め定められた、閾値を超えているか否かを判断する。閾値を超えていると判断すると、S402に処理を移行する。超えていないと判断すると、S401に処理を移行する。S401の処理は、図6に示すS22の処理である。
[Switch target decision processing]
With reference to FIG. 13, the load monitoring unit of the
S402において、ルータ6の負荷監視部は切替要求を切替制御部に送信する。切替要求の送信が終了すると、S403に処理を移行する。S402の処理は、図6に示すS23の処理である。
In S402, the load monitoring unit of the
S403において、切替制御部は、bpsフィールドがゼロで無いレコードがテーブル1にあるか否かを判断する。bpsフィールドがゼロで無いレコードがテーブル1にあると判断するとS404に処理を移行する。bpsフィールドがゼロで無いレコードがテーブル1にない、または、レコードが1つもテーブル1にないと判断すると、S405に処理を移行する。 In S403, the switching control unit determines whether there is a record in the table 1 in which the bps field is not zero. If it is determined that there is a record in the table 1 whose bps field is not zero, the process proceeds to S404. If it is determined that there is no record in the table 1 in which the bps field is not zero, or there is no record in the table 1, the process proceeds to S405.
S404において、切替制御部は、テーブル1のbpsフィールドがゼロで無いレコードを抽出する。次に、抽出されたレコードの宛先アドレス、および送信元アドレスに対応するルータごとのbpsフィールドの和を算出する。宛先アドレス、および送信元アドレスに対応する2つのルータがSADから抽出される。算出された和が一番大きいルータのIPアドレスがSADから抽出される。この2つのIPアドレスに対応する2つのルータを切替対象とする。切替対象のルータのIPアドレス、およびこのルータのIPアドレスとSAにおいて関連付けられた宛先アドレス、および送信元アドレスが、上述した接続情報パケットに含まれる。切替対象の決定が終了すると、S401に処理を移行する。 In S404, the switching control unit extracts a record in which the bps field of Table 1 is not zero. Next, the sum of the bps field for each router corresponding to the destination address of the extracted record and the source address is calculated. Two routers corresponding to the destination address and the source address are extracted from the SAD. The IP address of the router having the largest calculated sum is extracted from the SAD. Two routers corresponding to these two IP addresses are to be switched. The IP address of the router to be switched, the destination address associated with the IP address of this router in the SA, and the transmission source address are included in the connection information packet described above. When the determination of the switching target is completed, the process proceeds to S401.
S405において、切替制御部は、テーブル2の宛先アドレス、および送信元アドレスに対応するルータごとのbpsフィールドの和を算出する。算出された和が一番大きい2つのルータのIPアドレスをSADから抽出する。この2つのルータのIPアドレスに対応する2つのルータを切替対象とする。切替対象のルータのIPアドレス、およびこのルータのIPアドレスとSAにおいて関連付けられた宛先アドレス、および送信元アドレスが、上述した接続情報パケットに含まれる。切替対象の決定が終了すると、S401に処理を移行する。S404、またはS405の処理が図6に示すS24の処理である。 In S405, the switching control unit calculates the sum of the bps field for each router corresponding to the destination address and the source address in Table 2. The IP addresses of the two routers having the largest calculated sum are extracted from the SAD. Two routers corresponding to the IP addresses of the two routers are set as switching targets. The IP address of the router to be switched, the destination address associated with the IP address of this router in the SA, and the transmission source address are included in the connection information packet described above. When the determination of the switching target is completed, the process proceeds to S401. The process of S404 or S405 is the process of S24 shown in FIG.
[ルータの処理負荷が低くなったことを検出した場合の動作]
図14を参照して、ルータ2とルータ3との間でVPNが構築された状態において、ルータ6が、処理負荷が低くなったことを検出した場合を説明する。S51において、ルータ6の負荷監視部は、記憶部に記憶されたテーブル1とテーブル2とのbpsフィールドの総和が予め定められた閾値以下になったことを検出する。図10に示すS310の処理において、bpsフィールドの総和が予め定められた閾値以下になったことを検出すると、S52に処理を移行する。
[Operation when it is detected that the processing load on the router is low]
With reference to FIG. 14, a case will be described in which the
S52において、ルータ6の負荷監視部は、ルータ6の切替制御部に切替要求を送信する。切替要求の送信が終了すると、S53に処理を移行する。
In S <b> 52, the load monitoring unit of the
S53において、ルータ6の切替制御部は、図6に示すS34において、ルータ6の記憶部に記憶されたSADを参照し、切替済みフラグが立てられたSAを抽出する。抽出されたSAの始点アドレス、および終点アドレスに対応するルータを切替済み端末として抽出する。切替済み端末の抽出が終了すると、S54に処理を移行する。以降の記載では、切替済み端末をルータ2、およびルータ3として説明する。
In S53, the switching control unit of the
S54において、ルータ6の切替制御部は、切断情報パケットを生成する。切断情報パケットは、ペイロード部にルータ2、およびルータ3のIPアドレスを含む。切断情報パケットの生成が終了すると、S55に処理を移行する。切断情報パケットが、本発明の負荷軽減通知の一例である。
In S54, the switching control unit of the
S55において、切断情報パケットをルータ6のVPN制御部に送信する。切断情報パケットの送信が終了すると、S56に処理を移行する。
In S55, the disconnection information packet is transmitted to the VPN control unit of the
S56において、ルータ6のVPN制御部は、ルータ2、およびルータ3に切断情報パケットを送信する。切断情報パケットの送信が終了すると、S57に処理を移行する。
In S <b> 56, the VPN control unit of the
S57において、ルータ2のVPN制御部は、切断処理を実行する。ルータ2のVPN制御部は、切断情報パケットに含まれるルータ2、およびルータ3のIPアドレスを参照し、SAの始点アドレスがルータ2のIPアドレス、および終点アドレスがルータ3のIPアドレスであるSAを抽出する。抽出されたSAをSADから削除する。次に、切替済みフラグが付与されたSA、かつ始点アドレスがルータ2のIPアドレス、および終点アドレスがルータ6のIPアドレスであるSAを抽出する。この抽出されたSAに付与された切替済みフラグを削除する。S57において、ルータ3のVPN制御部は、切断情報パケットに含まれるルータ2、およびルータ3のIPアドレスを参照し、SAの始点アドレスがルータ3のIPアドレス、および終点アドレスがルータ2のIPアドレスであるSAを抽出する。抽出されたSAをSADから削除する。次に、切替済みフラグが付与されたSA、かつ始点アドレスがルータ3のIPアドレス、および終点アドレスがルータ6のIPアドレスであるSAを抽出する。この抽出されたSAに付与された切替済みフラグを削除する。切断処理が完了すると、S58に処理を移行する。
In S57, the VPN control unit of the
S58において、ルータ2のVPN制御部、およびルータ3のVPN制御部は、切断完了通知をルータ6に送信する。切断完了通知は、S57におけるSAの削除および切替済みフラグの削除を示す。切断完了通知の送信が終了すると、S59に処理を移行する。
In S <b> 58, the VPN control unit of the
S59において、ルータ6の切替制御部は、切替対象を削除する。具体的には、ルータ6のVPN制御部は、記憶部に記憶されたSAのうち、始点アドレス、および終点アドレスがルータ2、およびルータ3のIPアドレスであるSAに付与された切替済みフラグを削除する。
In S59, the switching control unit of the
S60〜S65において、ルータ2のVPN制御部は、PC7から送信されたパケットを暗号化通信でルータ3に送信する。この処理は、図5に示すS3〜S9の処理と同様である。S66、およびS67において、ルータ3のVPN制御部は、ルータ6から送信された暗号化パケットを復号し、復号されたパケットをPC8に送信する。この処理は、図5に示すS10、およびS11の処理と同様である。
In S60 to S65, the VPN control unit of the
[実施形態の効果]
本実施形態のルータ6によれば、S22において処理負荷が大きいと判断された場合、S29においてルータ2とルータ3との少なくともいずれか一方のルータに、他方のルータのIPアドレスと、接続情報パケットが送信される。これにより、他方のルータのIPアドレス、および接続情報パケットを受信した一方のルータは、ルータ6を介さずに、他方のルータとVPNを介した暗号化通信を行うことが可能である。すなわち、ルータ6において、パケットを復号する処理、およびパケットを暗号化する処理の変換処理負荷が軽減される。従って、ルータ3へ送信されるべきデータが遅れて送信される場合、またはルータ3へ送信されるべきデータが送信されない場合の発生頻度を低減することが出来る。
[Effect of the embodiment]
According to the
本実施形態のルータ6によれば、他方のルータのIPアドレスと、接続情報パケットとが、S1、またはS2により構築されるVPNを介して一方のルータに送信される。従って、他方のルータのIPアドレスと、接続情報パケットとが、VPNを介さずに一方のルータに送信されるよりも、IPアドレスと、接続情報パケットとが、ルータ2、ルータ3、およびルータ6以外の他の装置に漏洩することを抑えることが出来る。
According to the
本実施形態のルータ6によれば、S1の処理、またはS2の処理によりVPNが構築される際の通信相手の認証に用いられるPSKと異なるPSKが、S25において生成される。すなわち、認証パラメータは、ルータ6で新規に生成される。PSKが、S1の処理、またはS2の処理によりVPNが構築される際の通信相手の認証に用いられるPSKと同じPSKが接続情報パケットに含まれると、ルータ2、ルータ3、およびルータ6が同じPSKを保持することになる。PSKが複数のルータに保持されると、VPNを構築するルータと一意に認証することが出来なくなる可能性がある。これに対し、本実施形態のルータ6によれば、S1の処理、またはS2の処理によりVPNが構築される際の通信相手の認証に用いられるPSKと異なるPSKが生成される。このPSKは、ルータ2、およびルータ3に送信され、ルータ2とルータ3との間でVPNが構築される際の通信相手の認証に用いられる。よって、ルータ2、ルータ3、およびルータ6が同じPSKで認証されることが無い。従って、各ルータを一意に認証することが出来る。これと共に、PSKがルータ6において生成されるので、PSKの管理が容易になる。従って、ルータ2とルータ3とがVPNを構築する際の通信相手の認証の精度を高く出来ると共に、PSKの管理を容易にすることが出来る。
According to the
本実施形態のルータ6によれば、リアルタイム性が求められるデータを送信、および受信するルータ2とルータ3とに、他方のルータのIPアドレスと接続情報パケットとが送信される。音声通信などに使用されるデータは、リアルタイム性が求められる。このリアルタイム性が求められるデータが多く含まれるルータ2とルータ3との間の暗号化通信が、ルータ6を介さずに実行される。従って、ルータ3へ送信されるべきリアルタイム性が求められるデータが遅れて送信される場合、またはルータ3へ送信されるべきリアルタイム性が求められるデータが送信されない場合の発生頻度を低減させることが出来る。
According to the
本実施形態のルータ6によれば、ルータ6は、処理負荷が、予め定められた閾値よりも小さいと判断すると、接続情報パケットを送信したルータ2、およびルータ3に切断情報パケットを送信する。切断情報パケットを受信したルータ2、およびルータ3は、再び、ルータ6を介した暗号化通信を行うことが可能である。これにより、ルータ6を介した暗号化通信を行った場合、ルータ3へ送信されるべきデータが遅れて送信される場合、またはルータ3へ送信されるべきデータが送信されない場合の発生頻度を低減することが出来る。
According to the
[変形例1]
本実施形態では、PCがルータ2〜5に接続され、パケットを送信したが、IP電話機スマートフォンなどの端末装置が、ルータ2〜5に接続され、パケットを送信してもよい。また、アナログ電話などの端末装置がルータ2〜5に接続され、ルータ2〜5がアナログ電話機からの信号をデジタルデータに変換してもよい。このデジタルデータがパケットを構成する。
[Modification 1]
In the present embodiment, the PC is connected to the
[変形例2]
本実施形態では、S25の処理においてPSKが生成されたが、新たにPSKを生成しなくても良い。S26において、ルータ6の切替制御部は、ルータ2、およびルータ3のIPアドレス、およびS2の処理において、ルータ3とルータ6との認証に使用されたPSKを含む接続情報パケットを生成しても良い。VPN制御部は、S28において、この接続情報パケットを暗号化し、ルータ2に送信する。ルータ2は、ルータ3のIPアドレスに基づいて、ISAKMP SA生成要求をルータ3に送信し、ルータ3とルータ6との間でVPNが構築された際のPSKに基づきVPNを構築する。これにより、ルータ6が接続情報パケットをルータ3に送信しなくても、ルータ2とルータ3との間でVPNが構築される。同様に、S26において、ルータ6の切替制御部は、ルータ2、およびルータ3のIPアドレス、およびS1の処理において、ルータ2とルータ6との認証に使用されたPSKを含む接続情報パケットを生成しても良い。ルータ6は、この接続情報パケットをルータ3にのみ送信してもよい。
[Modification 2]
In the present embodiment, PSK is generated in the processing of S25, but it is not necessary to newly generate PSK. In S26, the switching control unit of the
[変形例3]
本実施形態では、S26において、ルータ6のVPN制御部は、PC7、PC8、ルータ2、およびルータ3のIPアドレス、およびPSKを接続情報パケットに含んだが、これに限られない。S25の処理において、ルータ6のVPN制御部は、暗号化アルゴリズムをPSKと共に生成し、PC7、PC8、ルータ2、およびルータ3のIPアドレス、PSK、暗号化アルゴリズムを接続情報パケットに含んでも良い。これにより、S32のVPN構築の際のフェーズ2の処理において、暗号化アルゴリズムを決定する処理を省略することが出来る。同様に、接続情報パケットは、フェーズ1の処理をメインモードで実行するか、アグレッシブモードで行うかを指定するモード指定情報を含んでも良い。
[Modification 3]
In the present embodiment, in S26, the VPN control unit of the
[変形例4]
本実施形態では、接続情報パケットは、S25において作成されたPSKと、PC7、PC8、ルータ2、およびルータ3のIPアドレスとがペイロード部に含まれたが、これに限られない。図13に示すS404、またはS405において、テーブル1、またはテーブル2の宛先アドレス、送信元アドレス、およびプロトコルごとのbpsフィールドの和を算出する。次に、プロトコルごとの算出された和が一番大きい宛先アドレス、および送信元アドレスに対応するルータのIPアドレスをSADから抽出する。この2つのIPアドレスに対応する2つのルータを切替対象とする。この2つのルータは、ルータ2、およびルータ3であるとして、説明する。接続情報パケットは、S25において作成されたPSKと、PC7、PC8、ルータ2、およびルータ3のIPアドレスと、プロトコルとを含む。S31において、ルータ2のVPN制御部は、復号化された接続情報パケットに含まれるPC7のIPアドレス、PC8のIPアドレス、ルータ3のIPアドレス、およびプロトコルに基づき、SAを抽出する。具体的に、ルータ2のVPN制御部は、宛先アドレスにPC7のIPアドレス、送信元アドレスにPC8のIPアドレス、および接続情報パケットに含まれるプロトコルと一致する上位層プロトコルが含まれるSAと、宛先アドレスにPC8のIPアドレス、送信元アドレスにPC7のIPアドレス、および接続情報パケットに含まれるプロトコルと一致する上位層プロトコルが含まれるSAとを抽出する。抽出されたSAに切替済みフラグを付与する。次に、ルータ2のVPN制御部は、新たにSAを作成する。新たに作成されるSAの宛先アドレス、送信元アドレス、およびプロトコルは、抽出されたSAの宛先アドレス、送信元アドレス、およびプロトコルと同じである。新たに作成されるSAは終点アドレス、および始点アドレスの一方にはルータ3のIPアドレスが記憶され、他方には、ルータ2のIPアドレスが記憶される。一方、ルータ3のVPN制御部は、復号化された接続情報パケットに含まれるPC7のIPアドレス、PC8のIPアドレス、ルータ2のIPアドレス、およびプロトコルに基づき、SAを抽出する。具体的に、ルータ3のVPN制御部は、宛先アドレスにPC7のIPアドレス、送信元アドレスにPC8のIPアドレス、および接続情報パケットに含まれるプロトコルと一致する上位層プロトコルが含まれるSAと、宛先アドレスにPC8のIPアドレス、送信元アドレスにPC7のIPアドレス、および接続情報パケットに含まれるプロトコルと一致する上位層プロトコルが含まれるSAとを抽出する。抽出されたSAに切替済みフラグを付与する。次に、ルータ3のVPN制御部は、新たにSAを作成する。新たに作成されるSAの宛先アドレス、送信元アドレス、およびプロトコルは、抽出されたSAの宛先アドレス、送信元アドレス、およびプロトコルと同じである。新たに作成されるSAは終点アドレス、および始点アドレスの一方にはルータ2のIPアドレスが記憶され、他方には、ルータ3のIPアドレスが記憶される。これにより、ルータ6の処理負荷が大きい場合は、PC7〜10から送信されるパケットのペイロード部に含まれるプロトコルごとに、ルータ6を介さずに暗号化通信される。
[Modification 4]
In the present embodiment, the connection information packet includes the PSK created in S25 and the IP addresses of the
[変形例5]
本実施形態では、ルータ6の監視部が、他のルータから送信された暗号化パケットを復号し、この復号されたパケットの宛先アドレス、送信元アドレス、およびプロトコルに従い、ペイロード部のデータ量をテーブル1、またはテーブル2に記憶したが、これに限られない。ルータ6の監視部が、復号されたパケットの宛先アドレス、送信元アドレス、およびプロトコルを1つのテーブルに記憶してもよい。この場合、図13に示すS403の処理は実行されず、1つのテーブルに記憶されたbpsフィールドの一番大きい宛先アドレス、および送信元アドレスと関連付けられるPC、またはルータが切替対象となる。
[Modification 5]
In the present embodiment, the monitoring unit of the
[変形例6]
本実施形態では、PSKはルータのIPアドレスと関連付けられて、各ルータに記憶されたが、fqdn(Fully Qualified Domain Name)など、ルータを特定する情報であればよい。メインモードでフェーズ1の処理が行われる場合は、PSKから生成されたハッシュ値は暗号化される。従って、ルータを特定する情報は、IPアドレスでしかない。よって、このIPアドレスが動的IPアドレスである場合は、認証を行うことが出来ない。すなわち、ルータのIPアドレスが動的IPアドレスである場合は、IPアドレス以外のルータを特定する情報が用いられる。IPアドレス以外のルータを特定する情報として、fqdnなどの特定情報が用いられれば良い。よって、fqdnなどの特定情報が接続情報パケットに含められる。アグレッシブモードで認証が実行される場合は、IPアドレスが動的IPアドレスでもよい。アグレッシブモードで認証が実行され、ルータを特定する情報がIPアドレスであれば、fqdnなどの特定情報は接続情報パケットに含められなくてよい。
[Modification 6]
In this embodiment, the PSK is associated with the IP address of the router and stored in each router. However, any information that identifies the router such as fqdn (Fully Qualified Domain Name) may be used. When the
[変形例7]
本実施形態では、S310において算出された全てのbpsフィールドの和が、予め定められた閾値を超えているか否かを判断することにより、処理負荷が閾値よりも大きいか否かを判断したが、これに限られない。ルータ6のCPUは、他のルータから送信され、ルータ6に受信されたパケットを復号、および暗号化する変換処理の他に、ルータ6に接続されるPCから送信されたパケットを暗号化する変換処理負荷、ルータ6に接続されるPCへ送信するパケットを暗号化、および復号する変換処理負荷、ルータ6に接続されるPCが暗号化通信されないパケットを送受信するためのルーティング処理負荷などの処理負荷の総和が予め定められた閾値を超えているか否かを判断しても良い。処理負荷の総和が本発明の処理負荷の一例である。
[Modification 7]
In the present embodiment, it is determined whether the processing load is greater than the threshold by determining whether the sum of all bps fields calculated in S310 exceeds a predetermined threshold. It is not limited to this. The CPU of the
[変形例8]
本実施形態では、PSKが用いられたが、これに限られない。S25において、ルータ6の切替制御部は、PSKの代わりに、秘密鍵、および公開鍵を生成する。S26において、ルータ3に送信する接続情報パケットに秘密鍵を含め、ルータ2に送信する接続情報パケットに公開鍵を含める。S32において、ルータ2、およびルータ3のVPN制御部は、公開鍵、および秘密鍵を使用して、VPNを構築してもよい。この公開鍵、および秘密鍵が本発明の認証パラメータの一例である。
[Modification 8]
In the present embodiment, PSK is used, but the present invention is not limited to this. In S25, the switching control unit of the
1 暗号化通信システム
2〜6 ルータ
7〜10 PC
21 CPU
22 記憶手段
1 Encrypted communication system 2-6 Router 7-10 PC
21 CPU
22 Memory means
Claims (8)
前記複数の通信装置のIPアドレスを記憶する記憶手段と、
前記複数の通信装置のうちの第1通信装置との間でVPNを構築する第1構築手段と、
前記第1構築手段により構築されたVPNを介して暗号化されたデータを受信する受信手段と、
前記受信手段により受信された暗号化データを復号する復号手段と、
前記復号手段により復号されたデータに指定された宛先のIPアドレスから前記受信手段により受信されたデータを送信する第2通信装置のIPアドレスを前記記憶手段から抽出する抽出手段と、
前記第2通信装置との間でVPNを構築する第2構築手段と、
データを復号する処理、およびデータを暗号化する処理の変換処理負荷を含む処理負荷を検出する検出手段と、
前記検出手段により検出された処理負荷が閾値よりも大きいか否かを判断する判断手段と、
前記判断手段により処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる認証パラメータを含むVPN構築情報と、を送信する送信手段と、
を備えることを特徴とする中継装置。 A relay device that performs encrypted communication with a plurality of communication devices,
Storage means for storing IP addresses of the plurality of communication devices;
First construction means for constructing a VPN with a first communication device of the plurality of communication devices;
Receiving means for receiving encrypted data via the VPN constructed by the first construction means;
Decryption means for decrypting the encrypted data received by the reception means;
Extracting means for extracting from the storage means the IP address of the second communication device that transmits the data received by the receiving means from the IP address of the destination specified in the data decoded by the decoding means;
Second construction means for constructing a VPN with the second communication device;
Detection means for detecting a processing load including a conversion processing load of a process of decrypting data and a process of encrypting data;
Determination means for determining whether the processing load detected by the detection means is greater than a threshold;
When the determination unit determines that the processing load is large, at least one of the first communication device and the second communication device includes the IP address of the other communication device and the first communication device. Transmission means for transmitting VPN construction information including authentication parameters used for authentication of a communication partner when a VPN is constructed between the second communication apparatus and the second communication device;
A relay device comprising:
を特徴とする請求項1に記載の中継装置。 The transmission means transmits the IP address of the other communication device and the VPN construction information via a VPN constructed by at least one construction means of the first construction means and the second construction means. The relay device according to claim 1.
前記送信手段は、前記生成手段により生成された認証パラメータを前記他方の通信装置に送信する
ことを特徴とする請求項1または2に記載の中継装置。 Generating means for generating the authentication parameter different from the parameter used for authentication of the communication partner when the VPN is constructed by the first construction means and when the VPN is constructed by the second construction means;
The relay device according to claim 1, wherein the transmission unit transmits the authentication parameter generated by the generation unit to the other communication device.
前記判断手段が、処理負荷が大きいと判断すると、前記送信手段は、前記複数の通信装置のうち、リアルタイム性が求められるデータを送信、および受信する前記第1通信装置と前記第2通信装置とを抽出し、少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記VPN構築情報と、を送信すること
を特徴とする請求項1〜3のいずれかに記載の中継装置。 The detection means detects, as part of the processing load, a conversion processing load of data that requires real-time property among the data included in the decrypting process and the encrypting process,
When the determination unit determines that the processing load is large, the transmission unit transmits and receives data that requires real-time property among the plurality of communication devices, and the second communication device. The relay apparatus according to claim 1, wherein an IP address of the other communication apparatus and the VPN construction information are transmitted to at least one of the communication apparatuses.
を特徴とする請求項1〜4のいずれかに記載の中継装置。 When the determination unit determines that the processing load detected by the detection unit is smaller than a threshold after the determination unit determines that the processing load is large, the transmission unit and the second communication unit The relay apparatus according to claim 1, wherein a load reduction notification is transmitted to the apparatus.
前記中継装置は、
前記複数の通信装置のIPアドレスを記憶する記憶手段と、
前記複数の通信装置のうちの第1通信装置との間でVPNを構築する第1構築手段と、
前記第1構築手段により構築されたVPNを介して暗号化されたデータを受信する中継装置受信手段と、
前記中継装置受信手段により受信されたデータを復号する復号手段と
前記復号手段により復号されたデータに指定された宛先のIPアドレスから前記中継装置受信手段により受信されたデータを送信する第2通信装置のIPアドレスを前記記憶手段から抽出する抽出手段と、
前記第2通信装置との間でVPNを構築する第2構築手段と、
データを復号する処理、およびデータを暗号化する処理の変換処理負荷を含む処理負荷を検出する検出手段と、
前記検出手段により検出された処理負荷が閾値よりも大きいか否かを判断する判断手段と、
前記判断手段により処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる認証パラメータを含むVPN構築情報と、を送信する中継装置送信手段と、
を備え、
前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置は、
前記他方の通信装置のIPアドレスと、前記VPN構築情報と、を受信する通信装置受信手段と、
前記通信装置受信手段により受信された前記他方の通信装置のIPアドレスで指定される通信装置と、前記認証パラメータに基づきVPNを構築する通信装置構築手段と、
前記通信装置構築手段により構築されたVPNを介して暗号化されたデータを前記他方の通信装置に送信する通信装置送信手段と、
を備えることを特徴とする暗号化通信システム。 An encryption communication system in which a plurality of communication devices perform encrypted communication via a relay device,
The relay device is
Storage means for storing IP addresses of the plurality of communication devices;
First construction means for constructing a VPN with a first communication device of the plurality of communication devices;
A relay device receiving means for receiving the encrypted data via the VPN constructed by the first construction means;
Decoding means for decoding data received by the relay device receiving means; and a second communication device for transmitting data received by the relay device receiving means from an IP address of a destination designated in the data decoded by the decoding means Extracting means for extracting the IP address of the storage means from the storage means;
Second construction means for constructing a VPN with the second communication device;
Detection means for detecting a processing load including a conversion processing load of a process of decrypting data and a process of encrypting data;
Determination means for determining whether the processing load detected by the detection means is greater than a threshold;
When the determination unit determines that the processing load is large, at least one of the first communication device and the second communication device includes the IP address of the other communication device and the first communication device. And VPN construction information including an authentication parameter used for authentication of a communication partner when a VPN is constructed between the second communication device and the second communication device;
With
At least one of the first communication device and the second communication device is:
A communication device receiving means for receiving the IP address of the other communication device and the VPN construction information;
A communication device specified by the IP address of the other communication device received by the communication device reception means; a communication device construction means for constructing a VPN based on the authentication parameter;
Communication device transmission means for transmitting data encrypted via the VPN constructed by the communication device construction means to the other communication device;
An encryption communication system comprising:
前記複数の通信装置のうちの第1通信装置との間で構築されたVPNを介して暗号化されたデータを受信する受信ステップと、
前記受信ステップにより受信されたデータを復号する復号ステップと、
前記復号ステップにより復号されたデータに指定された宛先のIPアドレスから前記受信ステップにより受信されたデータを送信する第2通信装置のIPアドレスを、前記複数の通信装置のIPアドレスを記憶する記憶手段から抽出する抽出ステップと、
データを復号する処理、およびデータを暗号化する処理の変換処理負荷を含む処理負荷を検出する検出ステップと、
前記検出ステップにより検出された処理負荷が閾値よりも大きいか否かを判断する判断ステップと、
前記判断ステップにより処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる認証パラメータを含むVPN構築情報と、を送信する送信ステップと、
を備えることを特徴とする暗号化通信方法。 An encryption communication method used for a relay device that performs encrypted communication with a plurality of communication devices,
A receiving step of receiving encrypted data via a VPN established with a first communication device of the plurality of communication devices;
A decoding step of decoding the data received by the receiving step;
Storage means for storing the IP address of the second communication device that transmits the data received by the receiving step from the IP address of the destination specified in the data decoded by the decoding step, and the IP addresses of the plurality of communication devices An extraction step to extract from,
A detection step of detecting a processing load including a conversion processing load of a process of decrypting data and a process of encrypting data;
A determination step of determining whether the processing load detected by the detection step is greater than a threshold;
If it is determined in the determination step that the processing load is large, at least one of the first communication device and the second communication device is assigned an IP address of the other communication device, and the first communication device. Transmitting VPN construction information including authentication parameters used for authentication of a communication partner when a VPN is constructed between the second communication device and the second communication device; and
An encrypted communication method comprising:
前記複数の通信装置のうちの第1通信装置との間でVPNを構築する第1構築ステップと、
前記第1構築ステップにより構築されたVPNを介して暗号化されたデータを受信する受信ステップと、
前記受信ステップにより受信されたデータを復号する復号ステップと、
前記復号ステップにより復号されたデータに指定された宛先のIPアドレスから前記第1受信ステップにより受信されたデータを送信する第2通信装置のIPアドレスを、前記複数の通信装置のIPアドレスを記憶する記憶手段から抽出する抽出ステップと、
データを復号する処理、およびデータを暗号化する処理の変換処理負荷を含む処理負荷を検出する検出ステップと、
前記検出ステップにより検出された処理負荷が閾値よりも大きいか否かを判断する判断ステップと、
前記判断ステップにより処理負荷が大きいと判断された場合、前記第1通信装置と前記第2通信装置との少なくともいずれか一方の通信装置に、他方の通信装置のIPアドレスと、前記第1通信装置と前記第2通信装置との間でVPNが構築される際の通信相手の認証に用いられる認証パラメータを含むVPN構築情報と、を送信する送信ステップと、
を実行させることを特徴とする暗号化通信プログラム。 In a computer that controls a relay device that performs encrypted communication with a plurality of communication devices,
A first construction step of constructing a VPN with a first communication device of the plurality of communication devices;
A receiving step of receiving encrypted data via the VPN constructed by the first construction step;
A decoding step of decoding the data received by the receiving step;
The IP address of the second communication device that transmits the data received by the first reception step from the IP address of the destination specified in the data decrypted by the decryption step, and the IP addresses of the plurality of communication devices are stored. An extraction step of extracting from the storage means;
A detection step of detecting a processing load including a conversion processing load of a process of decrypting data and a process of encrypting data;
A determination step of determining whether the processing load detected by the detection step is greater than a threshold;
If it is determined in the determination step that the processing load is large, at least one of the first communication device and the second communication device is assigned an IP address of the other communication device, and the first communication device. Transmitting VPN construction information including authentication parameters used for authentication of a communication partner when a VPN is constructed between the second communication device and the second communication device; and
An encrypted communication program characterized in that
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011216317A JP2013077957A (en) | 2011-09-30 | 2011-09-30 | Relay device, encryption communication system, encryption communication program, and encryption communication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011216317A JP2013077957A (en) | 2011-09-30 | 2011-09-30 | Relay device, encryption communication system, encryption communication program, and encryption communication method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013077957A true JP2013077957A (en) | 2013-04-25 |
Family
ID=48481125
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011216317A Pending JP2013077957A (en) | 2011-09-30 | 2011-09-30 | Relay device, encryption communication system, encryption communication program, and encryption communication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2013077957A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014078830A (en) * | 2012-10-10 | 2014-05-01 | Softbank Mobile Corp | Analysis device, analysis method, and analysis program |
KR101491731B1 (en) | 2014-01-22 | 2015-02-09 | 에스케이 텔레콤주식회사 | Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof |
JP2015053674A (en) * | 2013-09-06 | 2015-03-19 | 富士通株式会社 | Method for safely accessing network from personal device, personal device, network server, and access point |
JP2015207878A (en) * | 2014-04-18 | 2015-11-19 | 富士電機株式会社 | Inter-control system communication system, and communication control method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005260594A (en) * | 2004-03-11 | 2005-09-22 | Oki Techno Creation:Kk | Network system and communication device |
US7366894B1 (en) * | 2002-06-25 | 2008-04-29 | Cisco Technology, Inc. | Method and apparatus for dynamically securing voice and other delay-sensitive network traffic |
JP2011055305A (en) * | 2009-09-02 | 2011-03-17 | Nippon Telegr & Teleph Corp <Ntt> | System, method and program for setting vpn setting |
JP2011176395A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | IPsec COMMUNICATION METHOD AND IPsec COMMUNICATION SYSTEM |
-
2011
- 2011-09-30 JP JP2011216317A patent/JP2013077957A/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7366894B1 (en) * | 2002-06-25 | 2008-04-29 | Cisco Technology, Inc. | Method and apparatus for dynamically securing voice and other delay-sensitive network traffic |
JP2005260594A (en) * | 2004-03-11 | 2005-09-22 | Oki Techno Creation:Kk | Network system and communication device |
JP2011055305A (en) * | 2009-09-02 | 2011-03-17 | Nippon Telegr & Teleph Corp <Ntt> | System, method and program for setting vpn setting |
JP2011176395A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | IPsec COMMUNICATION METHOD AND IPsec COMMUNICATION SYSTEM |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014078830A (en) * | 2012-10-10 | 2014-05-01 | Softbank Mobile Corp | Analysis device, analysis method, and analysis program |
JP2015053674A (en) * | 2013-09-06 | 2015-03-19 | 富士通株式会社 | Method for safely accessing network from personal device, personal device, network server, and access point |
KR101491731B1 (en) | 2014-01-22 | 2015-02-09 | 에스케이 텔레콤주식회사 | Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof |
JP2015207878A (en) * | 2014-04-18 | 2015-11-19 | 富士電機株式会社 | Inter-control system communication system, and communication control method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10601594B2 (en) | End-to-end service layer authentication | |
KR101421399B1 (en) | Terminal apparatus having link layer encryption and decryption capabilities and method for processing data thereof | |
US20170359344A1 (en) | Network-visitability detection control | |
US20170201382A1 (en) | Secure Endpoint Devices | |
JP5364796B2 (en) | Encryption information transmission terminal | |
US20070022475A1 (en) | Transmission of packet data over a network with a security protocol | |
AU2008335604B2 (en) | Method and system for secure exchange of data in a network | |
US10419411B2 (en) | Network-visitability detection | |
KR101485279B1 (en) | Switch equipment and data processing method for supporting link layer security transmission | |
US9444796B2 (en) | Group member recovery techniques | |
US20170126623A1 (en) | Protected Subnet Interconnect | |
CN110191052B (en) | Cross-protocol network transmission method and system | |
US10911581B2 (en) | Packet parsing method and device | |
US20220263811A1 (en) | Methods and Systems for Internet Key Exchange Re-Authentication Optimization | |
JP2013077957A (en) | Relay device, encryption communication system, encryption communication program, and encryption communication method | |
US20210067956A1 (en) | Methods and apparatus for end-to-end secure communications | |
CN110832806B (en) | ID-based data plane security for identity-oriented networks | |
Jerschow et al. | CLL: A cryptographic link layer for local area networks | |
KR20220148880A (en) | Inter-node privacy communication method and network node | |
JP2008199420A (en) | Gateway device and authentication processing method | |
WO2021032304A1 (en) | Gateway devices and methods for performing a site-to-site communication | |
Yogender et al. | Impact of Employing Different Security Levels on QoS Parameters in Virtual Private Networks. | |
CN111556084B (en) | Communication method, device, system, medium and electronic equipment among VPN (virtual private network) devices | |
Premalatha et al. | A certificate based authorization and protected application layer protocol for IoT | |
JP2013211633A (en) | Communication device, encryption communication system, encryption communication program, and encryption communication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140314 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150119 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150128 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150602 |