JP2015023361A - 通信方法、通信装置及び通信プログラム - Google Patents
通信方法、通信装置及び通信プログラム Download PDFInfo
- Publication number
- JP2015023361A JP2015023361A JP2013148823A JP2013148823A JP2015023361A JP 2015023361 A JP2015023361 A JP 2015023361A JP 2013148823 A JP2013148823 A JP 2013148823A JP 2013148823 A JP2013148823 A JP 2013148823A JP 2015023361 A JP2015023361 A JP 2015023361A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- path
- virtual
- opposite
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 180
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000005540 biological transmission Effects 0.000 claims abstract description 19
- 239000000969 carrier Substances 0.000 claims abstract description 9
- 230000005641 tunneling Effects 0.000 claims 1
- 238000012545 processing Methods 0.000 description 106
- 230000008569 process Effects 0.000 description 38
- 238000012544 monitoring process Methods 0.000 description 32
- 230000015654 memory Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 239000002775 capsule Substances 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004308 accommodation Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】通信方法は、対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する複数の中継伝送装置に対応する通信事業者の識別番号の異同状態を判定し、イントラネット間に設定される第1の仮想通信路を通して前記対向の通信装置と暗号化された通信データを送受信する第1の通信形態及び前記イントラネット間に設定される第2の仮想通信路を通して前記対向の通信装置と平文の通信データを送受信する第2の通信形態を前記通信事業者の識別番号の異同状態の判定に応じて動的に代替使用するように、前記第1の仮想通信路及び前記第2の仮想通信路を切替える。
【選択図】図2
Description
ラネット間を接続する形態である。このType2の接続形態においては、通信事業者のネットワーク配置のエッジルータとイントラネット配置のルータとが対向し、各イントラネット配置のルータには複数のクライアントコンピュータが接続される。
)のネットワーク配置のエッジルータ(R)とイントラネット配置のルータとが対向し、各イントラネット配置のルータには複数のクライアントコンピュータが接続される。また、各イントラネット配置のルータ(VPNルータ)間には、セキュリティ保証のためのIPsecトンネルが設定される。
利用するので、Type1,2の接続形態に対比してコストを大幅に抑制できる。しかし、通信データを伝送する通信事業者(ISP)が通信経路の往路及び復路で時々刻々変化するので、中継伝送媒体の管理責任を特定困難であり、通信データの外部漏洩を防止する対策が必要である。
[システム]
第1の実施の形態におけるシステムの構成を示す図2を参照すると、広域イントラネット間通信システムSYSは、国または地域を単位として広域に分散配置される複数の拠点対応のイントラネット(例えば、企業内ネットワーク)間を中継伝送媒体によって接続して通信を行わせる。
平文トンネル4Bを通して送受信されるカプセル化平文パケットは、平文のIPパケットにトンネル用IPヘッダだけを付加した形態を採る。
ためのレジストリである。APNIC(Asia Pacific Network Information Center)、
ARIN(American Registry for Internet Numbers)、及びRIPE NCC(Reseaux IP Europeans Network Coordination Center)などの5つの管理機関が存在する。
次に、広域イントラネット間通信システムSYSにおけるVPNルータ10A及びVPNルータ10Bの詳細について説明する。
続いて、広域イントラネット間通信システムSYSのVPNルータ10A及びVPNルータ10Bにおけるパケット処理について説明する。
10A対応のIPアドレス[198.51.100.1]及びVPNルータ10B対応のIPアドレス[192.0.2.1]が、パケット処理部20によりそれぞれ設定される。
続いて、広域イントラネット間通信システムSYSのVPNルータ10A及びVPNルータ10Bにおける通過ルータ走査処理について、図2、図5、図6及び図7を併せ参照して説明する。
に、通過ルータ走査部40に通過ルータ走査(厳密には、通過IPアドレス走査)を指示する。
レースルート(traceroute))を実行する。
$ traceroute−A oviss2.jp.fj.com
1 198.51.100.10 4.705ms
2 133.160.152.241 10.764ms
3 133.160.152.253 11.392ms
4 133.160.127.5 13.003ms
5 133.160.100.5 17.574ms
6 133.160.101.58 24.734ms
7 192.0.2.10 27.935ms
8 192.0.2.1 31.564ms
$ whois −h whois.apnic.net 192.0.2.1
ASN|IP|Name
65536|192.0.2.1|FJ LIMITED
VPNルータ10Aの通過ルータ走査部40は、サーバ9からの応答内容を通過ルータテーブル41に格納する。
して、通過IPアドレスが全て同一のAS番号に対応していることを判定する。ここで、肯定判定のときは、処理S4が実施され、否定判定のときは、処理S6が実施される。
ル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況[開設済]を確認した後、パケット処理部20にパケット中継の開始を要求する。パケット処理部20は、IPsecトンネル4Aを通して、対向VPNルータ10Bのパケット処理部20とのパケット通信を実施する。
ンネル4Aの閉鎖をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況を[開設済]から[開設なし(閉鎖)]に変更した後、パケット処理部20にパケット中継の中断を要求する。パケット処理部20は、IPsecトンネル4Aを通した対向VPNルータ10Bのパケット処理部20とのパケット通信を停止する。
理12において中継を中断したパケットについて、必要に応じて再送処理を行う。
上述した第1の実施の形態の広域イントラネット間通信システムSYSにおけるVPNルータ10Aは、イントラネット2,3間に設定されるIPsecトンネル4Aを通して対向のVPNルータ10Bと暗号化された通信データ(カプセル化暗号パケット)を送受信する第1の通信形態と、イントラネット2,3間に設定される平文トンネル4Bを通して対向のVPNルータ10Bと平文の通信データ(平文パケット)を送受信する第2の通信形態とを、対向のVPNルータ10Bまでの通過往路及び対向のVPNルータ10Bからの通過復路にそれぞれ存在する複数の中継伝送装置としてのルータに対応する通信事業者のAS番号の異同状態の判定に応じて動的に代替使用するように、IPsecトンネル4A及び平文トンネル4Bを切替える。
次に詳述する第2の実施の形態においては、上述した第1の実施の形態と同一事項は不
明確を生じない限り省略する。
図8を参照すると、第2の実施の形態の広域イントラネット間通信システムSYSにおいては、第1のイントラネット2に収容されているVPNルータ10A及び第2のイントラネット3に収容されているVPNルータ10Bは、インターネット1のエッジに自律システム(AS)として配備される通信事業者のエッジルータであるBGPルータ7及びBGPルータ8と連携して事業者間経路情報を取得する。
続いて、広域イントラネット間通信システムSYSのVPNルータ10A及びVPNルータ10Bにおける事業者間経路情報取得処理について、図8、図9及び図10を併せ参照して説明する。
り、インターネット1のエッジに自律システム(AS)として配備されている通信事業者のエッジルータであるBGPルータ7から宛先AS番号[65536]に向かう事業者間経路情報を取得し、通信事業者により選択された通信経路が異なる通信事業者を通過(経由)していないことを確認する。
ケット処理部20は、平文トンネル4Bを通した対向VPNルータ(例えば、VPNルータ10A)のパケット処理部20とのパケット通信を一時停止する。
上述した第2の実施の形態の広域イントラネット間通信システムSYSにおいても第1の実施の形態のシステムと同様の効果を有する。
上述した第1及び第2の実施の形態の広域イントラネット間通信システムSYSにおけるIPsecトンネル4A及び平文トンネル4Bの双方は、暗号化された通信データであるカプセル化暗号パケットを伝送する予備仮想通信路及び平文の通信データである平文パケットを伝送する現用仮想通信路として予め設定され、対向のVPNルータ10Bまでの通過往路及び対向のVPNルータ10Bからの通過復路にそれぞれ存在する複数のルータに対応する通信事業者のAS番号の異同状態に応じて切替使用される構成としてもよい(図11参照)。
1 インターネット
2 第1のイントラネット
3 第2のイントラネット
4A IPsecトンネル
4B 平文トンネル
5 クライアントコンピュータ
6 クライアントコンピュータ
7 BGPルータ
8 BGPルータ
9 サーバ
10A VPNルータ
10B VPNルータ
20 パケット処理部
30 トンネル切替部
40 通過ルータ走査部
50 事業者間経路情報監視部
Claims (6)
- 対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する複数の中継伝送装置に対応する通信事業者の識別番号の異同状態を判定し、
イントラネット間に設定される第1の仮想通信路を通して前記対向の通信装置と暗号化された通信データを送受信する第1の通信形態及び前記イントラネット間に設定される第2の仮想通信路を通して前記対向の通信装置と平文の通信データを送受信する第2の通信形態を前記通信事業者の識別番号の異同状態の判定に応じて動的に代替使用するように、前記第1の仮想通信路及び前記第2の仮想通信路を切替える、
ことをプロセッサが実行する通信方法。 - 前記対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する前記複数の中継伝送装置に対応する前記通信事業者の識別番号が同一状態であると判定したときに限り、前記第2の通信形態を使用するように、前記第1の仮想通信路から前記第2の仮想通信路に切替える、
請求項1記載の通信方法。 - 前記第1の仮想通信路及び前記第2の仮想通信路はトンネリング接続により設定され、
前記暗号化された通信データはカプセル化暗号パケットであり、
前記平文の通信データはカプセル化平文パケットである、
請求項1または2記載の通信方法。 - 前記第1の仮想通信路及び前記第2の仮想通信路の双方は、前記暗号化された通信データを伝送する予備仮想通信路及び前記平文の通信データを伝送する現用仮想通信路として予め設定され、前記通信事業者の識別番号の異同状態の判定に応じて切替使用される、
請求項1、2または3記載の通信方法。 - 対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する複数の中継伝送装置に対応する通信事業者の識別番号の異同状態を判定する判定部と、
イントラネット間に設定される第1の仮想通信路を通して前記対向の通信装置と暗号化された通信データを送受信する第1の通信形態及び前記イントラネット間に設定される第2の仮想通信路を通して前記対向の通信装置と平文の通信データを送受信する第2の通信形態を前記通信事業者の識別番号の異同状態の判定に応じて動的に代替使用するように、前記第1の仮想通信路及び前記第2の仮想通信路を切替える切替部と、
を備える通信装置。 - 対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する複数の中継伝送装置に対応する通信事業者の識別番号の異同状態を判定し、
イントラネット間に設定される第1の仮想通信路を通して前記対向の通信装置と暗号化された通信データを送受信する第1の通信形態及び前記イントラネット間に設定される第2の仮想通信路を通して前記対向の通信装置と平文の通信データを送受信する第2の通信形態を前記通信事業者の識別番号の異同状態の判定に応じて動的に代替使用するように、前記第1の仮想通信路及び前記第2の仮想通信路を切替える、
ことをプロセッサに実行させる通信プログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013148823A JP6107498B2 (ja) | 2013-07-17 | 2013-07-17 | 通信方法、通信装置及び通信プログラム |
US14/299,529 US9838220B2 (en) | 2013-07-17 | 2014-06-09 | Communication method, communication apparatus and non-transitory readable medium |
EP14172136.5A EP2827551B1 (en) | 2013-07-17 | 2014-06-12 | Communication method, communication apparatus and communication program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013148823A JP6107498B2 (ja) | 2013-07-17 | 2013-07-17 | 通信方法、通信装置及び通信プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015023361A true JP2015023361A (ja) | 2015-02-02 |
JP6107498B2 JP6107498B2 (ja) | 2017-04-05 |
Family
ID=50980147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013148823A Expired - Fee Related JP6107498B2 (ja) | 2013-07-17 | 2013-07-17 | 通信方法、通信装置及び通信プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US9838220B2 (ja) |
EP (1) | EP2827551B1 (ja) |
JP (1) | JP6107498B2 (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9590911B2 (en) | 2014-06-27 | 2017-03-07 | iPhotonix | Wireless area network (WAN) overloading |
US9979698B2 (en) | 2014-06-27 | 2018-05-22 | iPhotonix | Local internet with quality of service (QoS) egress queuing |
US9794172B2 (en) | 2014-06-27 | 2017-10-17 | iPhotonix | Edge network virtualization |
US9565277B2 (en) * | 2014-06-27 | 2017-02-07 | iPhotonix | Dual-homed external network access in a distributed internet protocol (IP) router |
US10044502B2 (en) | 2015-07-31 | 2018-08-07 | Nicira, Inc. | Distributed VPN service |
US10567347B2 (en) * | 2015-07-31 | 2020-02-18 | Nicira, Inc. | Distributed tunneling for VPN |
US11121963B2 (en) * | 2019-11-04 | 2021-09-14 | Arrcus Inc. | Best path computation offload in a network computing environment |
US11265296B1 (en) * | 2021-05-11 | 2022-03-01 | Roqos, Inc. | System and method to create and implement virtual private networks over internet for multiple internet access types |
CN114500177B (zh) * | 2022-04-13 | 2022-08-12 | 北京全路通信信号研究设计院集团有限公司 | 一种传输通信方式确定方法及其系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008252456A (ja) * | 2007-03-30 | 2008-10-16 | Toshiba Corp | 通信装置、及び通信方法 |
JP2010220038A (ja) * | 2009-03-18 | 2010-09-30 | Oki Networks Co Ltd | ゲートウェイ装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3005490B2 (ja) | 1997-03-27 | 2000-01-31 | 九州日本電気ソフトウェア株式会社 | Hub間データ暗号化によるデータセキュリティ確保装置と方法 |
GB2352370B (en) | 1999-07-21 | 2003-09-03 | Int Computers Ltd | Migration from in-clear to encrypted working over a communications link |
WO2006043463A1 (ja) | 2004-10-19 | 2006-04-27 | Nec Corporation | Vpnゲートウェイ装置およびホスティングシステム |
US8289845B1 (en) * | 2007-05-15 | 2012-10-16 | Avaya Inc. | Assured path optimization |
-
2013
- 2013-07-17 JP JP2013148823A patent/JP6107498B2/ja not_active Expired - Fee Related
-
2014
- 2014-06-09 US US14/299,529 patent/US9838220B2/en not_active Expired - Fee Related
- 2014-06-12 EP EP14172136.5A patent/EP2827551B1/en not_active Not-in-force
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008252456A (ja) * | 2007-03-30 | 2008-10-16 | Toshiba Corp | 通信装置、及び通信方法 |
JP2010220038A (ja) * | 2009-03-18 | 2010-09-30 | Oki Networks Co Ltd | ゲートウェイ装置 |
Also Published As
Publication number | Publication date |
---|---|
EP2827551A2 (en) | 2015-01-21 |
US9838220B2 (en) | 2017-12-05 |
EP2827551A3 (en) | 2015-03-04 |
EP2827551B1 (en) | 2016-02-17 |
JP6107498B2 (ja) | 2017-04-05 |
US20150023357A1 (en) | 2015-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6107498B2 (ja) | 通信方法、通信装置及び通信プログラム | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
US11658945B2 (en) | Lightweight secure autonomic control plane | |
US7447901B1 (en) | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network | |
US9258282B2 (en) | Simplified mechanism for multi-tenant encrypted virtual networks | |
WO2019024880A1 (zh) | 发送报文的方法和网络设备 | |
US20110113236A1 (en) | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism | |
CN103907330A (zh) | 在网络环境中用于重定向的防火墙发现的系统和方法 | |
US11831607B2 (en) | Secure private traffic exchange in a unified network service | |
US20220150700A1 (en) | Security association reuse for multiple connections | |
CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
WO2013120427A1 (zh) | 一种mpls vpn的实现方法、系统及客户边缘设备 | |
US20220279350A1 (en) | Establishing multiple security associations in a connection operation | |
WO2022001937A1 (zh) | 业务传输方法、装置、网络设备和存储介质 | |
Carthern et al. | Advanced Routing | |
Zhang et al. | Application research of MPLS VPN all-in-one campus card network based on IPSec | |
EP4195599A1 (en) | Communication method and apparatus, and device and system | |
CN118339803A (zh) | 用于促进ipsec通信的通信设备和其中的方法 | |
CN115277190A (zh) | 一种链路层透明加密系统在网络上实现邻居发现的方法 | |
Shanmugaraja et al. | An approach to secure Teredo tunneling technology | |
Varet et al. | Security capability discovery protocol over unsecured IP-based topologies | |
Niazi et al. | Group Encrypted Transport VPN (Get VPN) Design and Implementation Guide | |
Singh et al. | DIFFERENT SECURITY MECHANISMS FOR DIFFERENT TYPE OF SECURITY LAPSES IN WMN-A REVIEW | |
Marchetti et al. | Adaptive traffic filtering for efficient and secure IP-mobility | |
Doss et al. | A Layered Framework Strategy for Deploying High Assurance VPNs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160405 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170220 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6107498 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |