JP4356262B2 - Packet communication system - Google Patents

Packet communication system Download PDF

Info

Publication number
JP4356262B2
JP4356262B2 JP2001116998A JP2001116998A JP4356262B2 JP 4356262 B2 JP4356262 B2 JP 4356262B2 JP 2001116998 A JP2001116998 A JP 2001116998A JP 2001116998 A JP2001116998 A JP 2001116998A JP 4356262 B2 JP4356262 B2 JP 4356262B2
Authority
JP
Japan
Prior art keywords
router
packet
terminal device
address
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001116998A
Other languages
Japanese (ja)
Other versions
JP2002314582A (en
Inventor
好章 繁田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2001116998A priority Critical patent/JP4356262B2/en
Publication of JP2002314582A publication Critical patent/JP2002314582A/en
Application granted granted Critical
Publication of JP4356262B2 publication Critical patent/JP4356262B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、パケット通信システムに関し、特に、パケット通信網における発呼端末と着呼端末との間に呼接続を確立してパケット通信を行うパケット通信システムに関する。
【0002】
【従来の技術】
例えば、インターネットのようなパケット通信網は、不特定多数のユーザが間接的につながるオープンなネットワークであり、便利さの一方で、セキュリティ面は電話網などに比べ著しく低いレベルにある。インターネットの利用者は「盗聴」、「改竄」、「なりすまし」等の危険或いは脅威に曝されている。これらの危険或いは脅威から利用者を守る手段として、「通信データの暗号化」、「ユーザ認証」等の機密保全機能をWWWサービスやメールサービスなどのアプリケーションに付加する形態がある。 通信データの暗号化に含まれる1つの具体的な形態として、トンネリング技術がある。
【0003】
「トンネリング」とは、一般に、あるプロトコルパケットAを別のプロトコルパケットBでカプセル化してプロトコルBでの通信を行なうことを意味する。従って、実際にトンネルが構築されるわけではなく、通信を外部から隠蔽することによってトンネルのような働きをさせることができる。更に、「暗号化トンネリング」とは、トンネル内で交換されるパケットに更に暗号化を施すことにより、通信内容の秘匿性をより高める技術を意味する。
【0004】
かかる暗号化トンネリングの技術を用いれば、本来無接続を基本とするパケット通信ネットワークにおいて、端末−端末間にセキュリティの高い接続リンクをを実現する閉じた仮想的なネットワーク、即ちVPN(Virtual Private Network)を提供することが可能となる。この例としては、IPレイヤのトンネリング技術であるIPSec(IP Security)、NetscapeNavigator或いはInternetExplorerに実装されるTCPレイヤのトンネリング技術であるSSL(Secure Socket Layer)、及び電子メールに対するアプリケーションレイヤのトンネリング技術であるPGP(Pretty Good Privacy)などの各種のセキュリティプロトコルが挙げられる。
【0005】
一方、通信アプリケーションには、電子メール、ホームページ閲覧、チャット、インターネット電話など様々な種類のアプリケーションが存在するが、近年、これらを組み合わせたマルチメディア通信アプリケーションをユーザが利用するケースが増えている。例えば、マルチメディア通信アプリケーションであるNetMeetingを利用すれば、音声による会話(つまりインターネット電話)を行いながら、画像を送り合ったり、1つの共有ホワイトボードに同時に書きこみを行ったり、通話中にファイルを転送したりすることができる。
【0006】
ユーザがマルチメディア通信アプリケーションを利用することは、個別のアプリケーションが複数同時に利用されることである。そこで、このように、複数のアプリケーションを利用する場合に、VPNを利用するシステムを提供することが考えられる。ユーザがアプリケーション利用時に、VPNを使った通信を行う方法として、アプリケーションレベルのセキュリティプロトコルとして暗号化トンネリング技術がある。このような技術として、PGPやSETがある。PGPは、電子メールアプリケーション利用時の暗号化トンネリング技術(セキュリティプロトコル)である。SETは、エレクトリックコマースのトランザクション専用の暗号化トンネリング技術である。このように、アプリケーションレベルの暗号化トンネリング技術は、使用するアプリケーションに依存したものであり、マルチメディア通信アプリケーション利用時には、各アプリケーション毎に(異なる)暗号化トンネリング技術が必要になる。
【0007】
しかし、マルチメディア通信アプリケーションでは、ユーザは常に同じであり、アプリケーションごとに、セキュリティプロトコルを利用することは、処理時間のオーバヘッドが大きく無駄である。特に、NetMeetingのようなリアルタイム系のアプリケーションには、オーバヘッドがユーザの利便性を損ねる要因になる。
【0008】
一方、より低レイヤのトンネリング技術として、SSLやIPSecがある。
SSLは、TCPレイヤのトンネリング技術であり、すべてのTCPアプリケーションに利用できる。代表的なアプリケーションとして、WWWブラウザ(Netscape NavigatorやInternet Explorer)がある。しかし、インターネット電話のようなマルチメディア通信アプリケーションは、TCPと同じトランスポート層に位置するUDPのアプリケーションであるため利用できない。
【0009】
一方、IPSecは、IPレイヤのトンネリング技術であり、すべてのアプリケーションに利用できる。しかし、IPレイヤレベルでトンネリングを行うため、マルチメディア通信アプリケーションの一部であるかどうかに関わらず、同じユーザ間で利用されるすべてのアプリケーションのデータパケットがトンネリングされる。トンネリング自体、処理のオーバヘッドを含んでおり、無用な場合は、トンネリング処理が冗長又は無駄になる。
【0010】
【発明が解決しようとする課題】
そこで、本発明の目的は、多様なアプリケーションプログラムに対応する個々のチャネルの呼接続をセキュリティを確保しつつ最小限のオーバヘッドにて実現するパケット通信システムを提供することである。
【0011】
【課題を解決するための手段】
本発明によるパケット通信システムは、パケット通信網における発呼端末と着呼端末との間の経路にチャネル毎の呼接続を確立してパケット通信を行うパケット通信システムであり、該発呼端末における所定のアプリケーションの動作状況に応じて、該経路に暗号化トンネルリンクを確立又は切断する暗号化トンネルリンク確立切断手段と、該暗号化トンネルリンクの確立又は切断に応じて、該所定のアプリケーションに対応するチャネルの呼接続を対応して確立又は切断する呼接続確立切断手段とを含むことを特徴とする。
【0012】
ここで、チャネル毎の呼接続とは、基礎となる呼制御チャネルばかりでなく、多様なアプリケーションプログラムに依存した複数のチャネル、例えば、音声チャネル、テキストチャネル、或いは画像チャネルのリンクを形成することを指す。
【0013】
【発明の実施の形態】
添付の図面を参照して本発明の実施例について詳細に説明する。
図1は、本発明の実施例であり、ルータ装置200a及び200bにより確立される秘話通信リンク、即ちトンネルリンクの概念を示している。発呼端末、即ち端末装置100aと、着呼端末、即ち端末装置100bとの間にこの確立されたトンネルリンクにより遮蔽された通信路に更に呼制御チャネル、音声チャネル及びテキストチャネルが確立され、マルチメディア通信が行われる。呼制御チャネル、音声チャネル及びテキストチャネルの各々は、端末装置100a及び100b、ルータ装置200a及び200bにおいてチャネルを識別するポート番号が図示されるように付される。
【0014】
図2は、本実施例におけるパケット通信システムの構成を示している。該パケット通信システムは、インターネット300と、音声、画像、テキストの3種類のメディアをデータパケットとして送受信するマルチメディアアプリケーションが動作する端末装置100a及び100bと、これらを収容するルータ装置200a及び200bとを含む。本実施例は、説明の容易性から対向する2つの端末装置の例を示しているが、本発明によるパケット通信システムは、多数の端末装置及び多数のルータ装置の存在を想定している。
【0015】
端末装置100a及び100bは、マルチメディアアプリケーションの通信相手端末となる端末装置を特定して端末間に呼を確立しアプリケーション終了時に呼を解放する呼制御部110と、音声通話のコネクションを確立し音声データパケットを送受信し通話終了時にコネクションを切断する音声通話部120と、画像通信のコネクション及びテキスト通信のコネクションを確立しテキストデータパケットを送受信し、通信終了時にコネクションを切断するテキスト通信部130と、端末装置の収容ルータ情報を含むルーティングテーブル140からなる。端末装置100a及び100bには、更にこれら各部及びIPプロトコルの実行制御を司るOS・TCP/IP101を含む。端末装置100a及び100bは、ルータ装置200a及び200bを介してインターネット300に接続される。
【0016】
ルーティングテーブル140には、端末装置100a及び100bが接続されているルータ装置200a及び200bのIPアドレス(収容ルータ情報)が格納されている。本実施例では、端末装置100aの収容ルータはルータ装置200aであり、端末装置100bの収容ルータはルータ装置200bである。尚、本開示に記載のルーティングテーブルとは、一般のルータ装置におけるIPパケットのルーティングテーブルとは別異のものであり、本発明に特徴的なマルチメディアアプリケーション用のルーティングテーブルを意味する。
【0017】
ルータ装置200a及び200bは、IPパケット化された各種データパケットのルーティングをIPレイヤで実現するIPパケットルーティング部210と、IPSecセキュリティプロトコルを利用して暗号化トンネルを確立し、また確立された暗号化トンネルを切断するトンネル制御部220と、暗号化トンネリングルートを介したIPパケットの暗号化又は復号化を行う暗号・復号処理部230とからなる。トンネル制御部220は、端末装置100a及び100bの呼制御部110からの指示により、暗号化トンネルを確立・切断する。ルータ装置200a及び200bには、更にこれら各部及びIPプロトコルの実行制御を司るOS・TCP/IP201を含む。
【0018】
インターネット300は、IPプロトコルをベースとする世界的なつながりを持つネットワークの融合体であり、セキュリティのない、オープンなネットワークである。
本実施例のパケット通信システムはネットワークプロトコルとして、TCP/IPプロトコルを使用することから、端末、ルータ等のネットワークノードにはアドレスが付与される。即ち、端末装置100aにはプライベートアドレス192.168.0.2が付与され、ルータ装置200aの端末装置側にはプライベートアドレス192.168.0.1が付与され、更にルータ装置200aのインターネット側にはグローバルアドレス172.16.153.1が付与される。一方、端末装置100bにはプライベートアドレス192.168.1.2が付与され、ルータ装置200bの端末装置側にはプライベートアドレス192.168.1.1が付与され、更にルータ装置200bのインターネット側にはグローバルアドレス172.31.184.1が付与されている。端末装置100a及び100bのルーティングテーブル140中の収容ルータ情報には以上の値が設定される。
【0019】
尚、本実施例において示されるIPアドレスは規格上では全てプライベートアドレスに指定されるべき値が用いられているが、本来のグローバルアドレスは実在のサイトを指定して適切でないことからその使用は避けている。
又、TCP/IPレイヤとの間でインタフェースをなしてサービスを提供するアプリケーションプログラムは、かかるサービスを区別するためにポート番号により識別される。ここでは、呼制御部は1721、音声通信部1722、テキスト通信部1723、及びルータアプリケーションは500としている。
【0020】
図3は、本実施例におけるパケット通信システムの処理手順を示している。
本実施例は、発呼端末が呼制御チャネル、音声チャネル及びテキストチャネルの確立に先立って暗号化トンネルリンクの必要性を意識してその確立を行う。一方、発呼端末からの要求を契機として着呼端末も呼制御チャネル、音声チャネル及びテキストチャネルの確立に先立って暗号化トンネルリンクの確立を意識的に行う。そのため発呼端末及び着呼端末は、トンネルリンク確立に必要なルーティング情報を自身の端末内部に持つ形態である。
【0021】
先ず、呼制御チャネルの確立を行う。ユーザは、発呼端末、即ち端末装置100a上のマルチメディアアプリケーションを起動し、アプリケーションで着呼端末、即ち、端末装置100bのIPアドレス(192.168.1.2)を指定して、発呼を指示する(ステップ401)。端末装置100aの呼制御部110は、端末装置100bまでIPパケットを安全に伝送するための暗号化トンネルがまだないことを判断して,ルータ装置200aからルータ装置200bに至る暗号化トンネルの確立の手順を実行する。
【0022】
端末装置100aの呼制御部110は、ルーティングテーブル140の収容ルータ情報から、指示すべきルータ装置200aのIPアドレス(192.168.0.1)を求め、ルータ装置200aにトンネルの確立を指示する。このとき、ルーティングテーブル140から、自ルータアドレスとしてルータ装置200aのグローバルアドレス(172.16.153.1)とプライベートアドレス(192.168.0.1)、相手先ルータアドレスとして、ルータ装置200bのグローバルアドレス(172.31.184.1)とプライベートアドレス(192.168.1.1)を合わせて求め、これらのアドレスをトンネル確立指示のパラメータ情報として与える(ステップ402)。ルータ装置200aのトンネル制御部220は、パラメータ情報として得たIPアドレスを使って、ルータ装置200bとの間に、端末装置100aから端末装置100bへのIPパケットを安全に運ぶための暗号化トンネルを確立する(ステップ403)。確立の方法は、RFC1825乃至1828で規定されている通りである。トンネル制御部220は、トンネル確立の確認を応答として端末装置100aに返す(ステップ404)。
【0023】
応答を受け取った端末装置100aの呼制御部110は、ユーザに指定されたIPアドレス(192.168.0.2)と端末装置100aの呼制御部110が呼制御コマンドを受け付けるポート番号(1721)を指定して、相手端末装置100bに向かって、呼設定のコマンドを送信する(ステップ405)。呼設定のコマンドには、端末装置100aの呼制御部110が呼制御コマンドを受け付けるポート番号(1721)を受信ポート番号として指定する。
【0024】
このとき、ルータ装置200aは、このコマンドを運ぶIPパケットを先に確立した暗号化トンネルを経由して、ルータ装置200bに配信する。つまり、暗号・復号処理部230は、受け取ったIPパケットを暗号化し、新たなIPパケットにカプセル化する。そして新たな宛先をルータ装置200b(IPアドレス:172.31.184.1、ポート番号:500として送り元をルータ装置200a(IPアドレス:172.16.153.1、ポート番号:500)とする。そして、IPパケットルーティング部210が、ルータ装置200bにIPパケットを送信する(ステップ406)。ルータ装置200bの暗号・復号処理部230は、受け取ったIPパケットの内容を復号化し、端末装置100aの呼制御部110が送ったコマンドを取り出し、IPパケットルーティング部210が、端末装置100bへパケットを送信する(ステップ407)。
【0025】
端末装置100bの呼制御部110は、端末装置100aまでIPパケットを安全に伝送するための暗号化トンネルがまだないことを判断して、ルータ装置200bからルータ装置200aに至る暗号化トンネルの確立の手順を実行する。
端末装置100bの呼制御部110は、端末措置100bのルーティングテーブル140の収容ルータ情報から、指示すべきルータ装置200bのIPアドレス(192.168.1.1)を求め、ルータ装置200aにトンネルの確立を指示する。このとき、ルーティングテーブル140から、自ルータアドレスとしてルータ装置200bのグローバルアドレス(172.31.184.1)とプライベートアドレス(192.168.1.1)、相手先ルータアドレスとして、ルータ装置200aのグローバルアドレス(172.16.153.1)とプライベートアドレス(192.168.0.1)を合わせて求め、これらのアドレスをトンネル確立指示のバラメータ情報として与える(ステップ408)。ルータ装置200bのトンネル制御部220は、パラメータ情報として得たIPアドレスを使って、ルータ装置200aとの間に、端末装置100bから端末装置100aへのIPパケットを安全に運ぶための暗号化トンネルを確立する(ステップ409)。確立の方法は、RFC1825乃至1828で規定されている通りである。トンネル制御部220は、トンネル確立の確認を応答として端末装置100bに返す(ステップ410)。これによって、端末装置100aと端末装置100b間に双方向の暗号化トンネルが確立する(ステップ411)。以降、両者の間のIPパケットはすべて、この暗号化トンネルを通る。つまり、IPパケットは、ルータ装置間では暗号化されて運ばれる。
【0026】
暗号化トンネルが確立した後、端末装置100bの呼制御部110は、呼制御コマンドを受け付けるポート番号を特定し(1721)、受信ポート番号としてこの値を指定した接続応答を返す。応答は、端末装置100aを宛先(IPアドレス:192.168.0.2、ポート番号:1721)として、IPパケットを送信する(ステップ412)。IPパケットは、ルータ装置200bの暗号・復号処理部230によって暗号化・カプセル化される。新たな宛先はルータ装置200a(IPアドレス:172.16.153.1、ポート番号:500)、送り元はルータ装置200b(IPアドレス:172.31.184.1、ポート番号:500)となり、IPパケットルーティング部210は、ルータ装置200aにIPパケットを送信する(ステップ413)。暗号化トンネルを経由して、ルータ装置200aに伝わり、ルータ装置200aの暗号・復号処理部230によって復号化され、IPパケットルーティング部210によって、端末装置100aへとルーティングされる(ステップ414)。以上の動作を経て、インターネットを暗号化トンネルでトンネリングする呼制御のチャネル(IPアドレス:192.168.0.1、ポート番号:1721←→IPアドレス:192.168.1.1、ポート番号:1721)が確立する(ステップ415)。以降、アプリケーションのコネクションの接続・切断の指示コマンドや応答のやり取りは、すべてこのチャネルを使用する。
【0027】
次に、音声チャネル確立を行う。ユーザは、端末装置100a上のマルチメディアアプリケーションで、現在の通信相手である端末装置100b(192.168.1.2)との間で、音声による通話を行うことを指定する(ステップ421)。端末装置100aの音声通話部120は、相手端末装置100bを宛先(IPアドレス:192.168.1.2、ポート番号:1721)として、音声チャネル設定のコマンドを送信する(ステップ422)。音声チャネル設定のコマンドには、端末装置100aの音声通話部120が音声データパケットを受け付けるポート番号(1722)を受信ポート番号として指定する。
【0028】
ルータ装置200aは、呼制御チャネル確立の場合と同様にIPパケットを暗号化、カプセル化して、ルータ装置200bに送る(ステップ423)。ルータ装置200bは、受け取ったIPパケットの内容を取りだし、復号化した後、端末装置100bにルーティングする(ステップ424)。
端末装置100bの音声通話部120は、音声データパケットを受信するためのポート番号を特定し(1722)、受信ポート番号としてこの値を指定した音声チャネル接続の応答を返すため、相手端末装置100aを宛先(IPアドレス:192.168.0.2、ポート番号:1721)として、IPパケットを送信する(ステップ425)。IPパケットは、呼制御チャネル確立の場合と同様にルータ装置200bで暗号化、カプセル化され、ルータ装置200aに伝わる(ステップ426)。そして、ルータ装置200aによって復号化され、端末装置100aへとルーティングされる(ステップ427)。
【0029】
以上の動作を経て、インターネットを暗号化トンネルでトンネリングする音声チャネル(IPアドレス:192.168.0.1、ポート番号:1722←→IPアドレス:192.168.1.1、ポート番号:1722)が確立する(ステップ428)。以降、アプリケーションの音声データパケットは、すべてこのチャネルを使用する。
次に、テキストチャネル確立を行う。ユーザは、端末装置100a上のマルチメディアアプリケーションで、現在の通信相手である端末装置100b(192.168.1.2)との間で、テキストによる通話いわゆるチャットを行うことを指定する(ステップ431)。端末装置100aのテキスト通信部130は、相手端末装置100bを宛先(IPアドレス:192.168.1.2、ポート番号:1721)として、テキストチャネル設定のコマンドを送信する(ステップ432)。テキストチャネル設定のコマンドには、端末装置100aのテキスト通信部130がテキストデータパケットを受け付けるポート番号(1723)を受信ポート番号として指定する。
【0030】
ルータ装置200aの暗号・復号処理部230は、音声チャネル確立の場合と同様にIPパケットを暗号化、カプセル化して、ルータ装置200bに送る(ステップ433)。ルータ装置200bは、受け取ったIPパケットの内容を取りだし、復号化した後、端末装置100bにルーティングする(ステップ434)。
端末装置100bのテキスト通信部130は、テキストデータパケットを受信するためのポート番号を特定し(1723)、受信ポート番号としてこの値を指定したテキストチャネル接続の応答を返すため、相手端末装置100aを宛先(IPアドレス:192.168.0.2、ポート番号:1721)として、IPパケットを送信する(ステップ435)。IPパケットは、音声チャネル確立の場合と同様にルータ装置200bで暗号化、カプセル化され、ルータ装置200aに伝わる(ステップ436)。そして、ルータ装置200aによって復号化され、端末装置100aへとルーティングされる(ステップ437)。
【0031】
以上の動作を経て、インターネットを暗号化トンネルでトンネリングするテキストチャネル(IPアドレス:192.168.0.1、ポート番号:1723←→IPアドレス:192.168.1.1、ポート番号:1723)が確立する(ステップ438)。以降、アプリケーションのテキストデータパケットは、すべてこのチャネルを使用する。
図4は、本実施例における暗号化トンネルを切断、即ち開放する処理手順を示している。
【0032】
先ず、テキストチャネルを解放する。端末装置100aと端末装置100bの間で、ユーザがマルチメディアアプリケーションを利用している状況で、暗号化トンネル、呼制御チャネル、音声チャネル、テキストチャネルが確立されている状態にあるものとする。
ユーザは、端末装置100a上のマルチメディアアプリケーションで、相手端末装置100b(192.168.1.2)のマルチメディアアプリケーションとの通信を終了するために、切断を指示する(ステップ501)。このとき、端末装置100aのテキスト通信部130は、テキストチャネルが確立されている状態にあることを判断して、テキストチャネル解放の手順を実行する。
【0033】
端末装置100aのテキスト通信部130は、相手端末装置100bを宛先(IPアドレス:192.168.1.2、ポート番号:1721)として、テキストチャネル解放のコマンドを送信する(ステップ502)。テキストチャネル解放のコマンドには、端末装置100aのテキスト通信部130がテキストデータパケットを受け付けていたポート番号(1723)を受信ポート番号として指定する。
【0034】
ルータ装置200aは、IPパケットを暗号化、カプセル化して、ルータ装置200bに送る(ステップ503)。ルータ装置200bは、受け取ったIPパケットの内容を取りだし、復号化した後、端末装置100bにルーティングする(ステップ504)。
端末装置100bのテキスト通信部130は、端末装置100aのテキスト通信部130がテキストデータパケットを受け付けていたポート番号へのデータパケット送信を停止し、受信ポート番号として端末装置100bのテキスト通信部130がテキストデータパケットを受け付けていたポート番号(1723)を指定したテキストチャネル切断の応答を返すため、相手端末装置100aを宛先(IPアドレス:192.168.0.2、ポート番号:1721)として、IPパケットを送信する(ステップ505)。IPパケットは、ルータ装置200bで暗号化、カプセル化され、ルータ装置200aに伝わる(ステップ506)。そして、ルータ装置200aによって復号化され、端末装置100aへとルーティングされる(ステップ507)。端末装置100aのテキスト通信部130は、端末装置100bのテキスト通信部130がテキストデータパケットを受け付けていたポート番号へのデータパケット送信を停止する。以上の動作を経て、テキストチャネル(IPアドレス:192.168.0.1、ポート番号:1723←→IPアドレス:192.168.1.1、ポート番号:1723)が解放される(ステップ508)。
【0035】
次に、音声チャネルを解放する。端末装置100aの音声通話部120は、音声チャネルが確立されている状態にあることを判断して、音声チャネル解放の手順を実行する。
端末装置100aの音声通話部120は、相手端末装置100bを宛先(IPアドレス:192.168.1.2、ポート番号:1721)として、音声チャネル解放のコマンドを送信する(ステップ511)。音声チャネル解放のコマンドには、端末装置100aの音声通話部120が音声データパケットを受け付けていたポート番号(1722)を受信ポート番号として指定する。
【0036】
ルータ装置200aは、IPパケットを暗号化、カプセル化して、ルータ装置200bに送る(ステップ512)。ルータ装置200bは、受け取ったIPパケットの内容を取りだし、復号化した後、端末装置100bにルーティングする(ステップ513)。
端末装置100bの音声通話部120は、端末装置100aの音声通話部120が音声データパケットを受け付けていたポート番号へのデータパケット送信を停止し、受信ポート番号として端末装置100bの音声通話部120が音声データパケットを受け付けていたポート番号(1722)を指定した音声チャネル切断の応答を返すため、相手端末装置100aを宛先(IPアドレス:192.168.0.2、ポート番号:1721)として、IPパケットを送信する(ステップ514)。IPパケットは、ルータ装置200bで暗号化、カプセル化され、ルータ装置200aに伝わる(ステップ515)。そして、ルータ装置200aによって復号化され、端末装置100aへとルーティングされる(ステップ516)。端末装置100aの音声通話部120は、端末装置100bの音声通話部120が音声データパケットを受け付けていたポート番号へのデータパケット送信を停止する。以上の動作を経て、音声チャネル(IPアドレス:192.168.0.1、ポート番号:1722←→IPアドレス:192.168.1.1、ポート番号:1722)が解放される(ステップ517)。
【0037】
次に、呼制御チャネルを解放する。音声チャネル、テキストチャネルを解放した後、端末装置100aの呼制御部110は、相手端末装置100bを宛先(IPアドレス:192.168.1.2、ポート番号:1721)として、解放完了のコマンドを送信する(ステップ521)。解放完了のコマンドには、端末装置100aの呼制御部110が呼制御コマンドを受け付けていたポート番号(1721)を受信ポート番号として指定する。また、端末装置100bの呼制御部110が呼制御パケット(コマンドまたは応答)を受け付けていたポート番号(1721)への呼制御パケットの送信を停止する。
【0038】
ルータ装置200aは、IPパケットを暗号化、カプセル化して、ルータ装置200bに送る(ステップ522)。ルータ装置200bは、受け取ったIPパケットの内容を取りだし、復号化した後、端末装置100bにルーティングする(ステップ523)。
また、ステップ522終了後、ステップ523と並行して、暗号化トンネル切断の手順が実行される。即ち、ルータ装置200aのトンネル制御部220は、端末装置100aから端末装置100bへのIPパケットを安全に運ぶための暗号化トンネルを切断する(ステップ525)。切断の方法は、RFC1825乃至1828で規定されている通り。そして、トンネル制御部220は、ルータ装置200bに逆方向の暗号化トンネルを確立するように指示するコマンドを送る(ステップ526)。ルータ装置200bのトンネル制御部220は、このコマンドを受けると、端末装置100bから端末装置100aへのIPパケットを安全に運ぶための暗号化トンネルを切断する(ステップ527)。ルータ装置200bのトンネル制御部220は、切断を確認するための応答をルータ装置200aに返す(ステップ528)。これによって、端末装置100aと端末装置100b間にあった双方向の暗号化トンネルが切断される(ステップ529)。
【0039】
本実施例によれば、端末装置100a及び100b間のマルチメディアアプリケーション利用時に、中継するルータ装置間で自動的に暗号化トンネルを確立することで、セキュリティのないオープンなネットワークであるインターネット300を介しても、呼制御コマンドと応答のデータパケット、音声データパケット、テキストデータパケットを安全に運ぶことができる。
【0040】
また、所定のマルチメディアアプリケーション利用時にのみ暗号化トンネルが確立されることから、暗号化が不要なアプリケーションの利用や他のトンネリング技術(セキュリティプロトコル)を使ったアプリケーションの利用と両立することができる。つまり、ユーザは、使用するアプリケーション毎に、利用したいトンネリング技術(セキュリティプロトコル)を使用しないことを含めて選択することができ、利用の幅が広がる。
【0041】
図5は、本発明の第1変形例における処理手順を示しているシーケンス図である。本第1変形例は、先の実施例(図2参照)と同様の構成において異なる処理手順において暗号化トンネルの確立を行う。即ち、発呼端末が呼制御チャネル、音声チャネル及びテキストチャネルの確立に先立って暗号化トンネルリンクの確立を指示すると共に、着呼端末を収容するルータ装置をして逆方向の暗号化トンネルリンクの確立せしめる。このため、着呼端末側のルーティング情報の参照を行わない形態である。
【0042】
図5を参照すると、先ず、呼制御チャネルの確立を行う。ユーザは、端末装置100a上のマルチメディアアプリケーションを起動し、アプリケーションで相手端末装置100bのIPアドレス(192.168.1.2)を指定して、発呼を指示する(ステップ501)。端末装置100aの呼制御部110は、端末装置100bまでIPパケットを安全に伝送するための暗号化トンネルがまだないことを判断して、ルータ装置200aからルータ装置200bに至る暗号化トンネルの確立の手順を実行する。
【0043】
端末装置100aの呼制御部110は、ルーティングテーブル140の収容ルータ情報から、指示すべきルータ装置200aのIPアドレス(192.168.0.1)を求め、ルータ装置200aにトンネルの確立を指示する。このとき、ルーティングテーブル140から、自ルータアドレスとしてルータ装置200aのグローバルアドレス(172.16.153.1)とプライベートアドレス(192.168.0.1)、相手先ルータアドレスとして、ルータ装置200bのグローバルアドレス(172.31.184.1)とプライベートアドレス(192.168.1.1)を合わせて求め、これらのアドレスをトンネル確立指示のパラメータ情報として与える(ステップ502)。ルータ装置200aのトンネル制御部220は、パラメータ情報として得たIPアドレスを使って、ルータ装置200bとの間に、端末装置100aから端末装置100bへのIPパケットを安全に運ぶための暗号化トンネルを確立する(ステップ503)。確立方法は、RFC1825乃至1828で規定されている通り。
【0044】
続いて、ルータ装置200aのトンネル制御部220はルータ装置200bに暗号化トンネルの確立を指示する。このとき、自ルータアドレスとしてルータ装置200bのグローバルアドレス(172.31.184.1)とプライベートアドレス(192.168.1.1)、相手先ルータアドレスとして、ルータ装置200aのグローバルアドレス(172.16.153.1)とプライベートアドレス(192.168.0.1)をトンネル確立指示のパラメータ情報として与える(ステップ504)。ルータ装置200bのトンネル制御部220は、パラメータ情報として得たIPアドレスを使って、ルータ装置200aとの間に、端末装置100bから端末装置100aへのIPパケットを安全に運ぶための暗号化トンネルを確立する(ステップ505)。
【0045】
そして、ルータ装置200bのトンネル制御部220は、トンネル確立の確認を応答としてルータ装置200aに返す(ステップ506)。また、ルータ装置200aのトンネル制御部220は、トンネル確立の確認を応答として端末装置100aに返す(ステップ507)。これによって、端末装置100aと端末装置100b間に方向の暗号化トンネルが確立する(ステップ508)。以降、両者の間のIPパケットはすべて、この暗号化トンネルを通る。つまり、IPパケットは、ルータ装置間では暗号化されて運ばれる。
【0046】
応答を受け取った端末装置100aの呼制御部110は、ユーザに指定されたIPアドレス(192.168.0.1)と端末装置100aの呼制御部110が呼制御コマンドを受け付けるポート番号(1720)を指定して、相手端末装置100bに向かって、呼設定のコマンドを送信する(ステップ509)。呼設定のコマンドには、端末装置100aの呼制御部110が呼制御コマンドを受け付けるポート番号(1721)を受信ポート番号として指定する。
【0047】
ルータ装置200aは、IPパケットを暗号化、カプセル化して、ルータ装置200bに送る(ステップ510)。ルータ装置200bは、受け取ったIPパケットの内容を取りだし、復号化した後、端末装置100bにルーティングする(ステップ511)。
端末装置100bの呼制御部110は、呼制御コマンドを受け付けるポート番号を特定し(1721)、受信ポート番号としてこの値を指定した接続応答を返す。応答は、端末装置100aを宛先(IPアドレス:192.168.0.2、ポート番号:1721)として、IPパケットを送信する(ステップ512)。IPパケットは、ルータ装置200bによって暗号化、カプセル化され、ルータ装置200aに送られる(ステップ513)。暗号化トンネルを経由して、ルータ装置200aに伝わり、ルータ装置200bは、受け取ったIPパケットの内容を取りだし、復号化した後、端末装置100aにルーティングする(ステップ514)。以上の動作を経て、インターネットを暗号化トンネルでトンネリングする呼制御のチャネル(IPアドレス:192.168.0.1、ポート番号:1721←→IPアドレス:192.168.1.1、ポート番号:1721)が確立する(ステップ515)。
【0048】
第1変形例における暗号化トンネルの開放手順は先の実施例と同様である。
以上ように第1変形例によれば、先の実施例と比べて、端末装置100bのルーティングテーブルを参照することなく暗号化トンネルを確立することができる。また、双方向のトンネルが一元的に確立されるため、処理のオーバヘッドを削減することが期待できる。
【0049】
図6は、本発明の第2変形例におけるパケット通信システムの構成を示している。ここで、ルーティングテーブル240を除いた他の構成は前述の実施例と同様である。
ルーティングテーブル240は、収容ルータ情報として端末装置100a及び100bが接続されているルータ装置200a及び200bのIPアドレスが格納される。本実施例では、端末装置100aの収容ルータはルータ装置200aであり、端末装置100bの収容ルータはルータ装置200bである。
【0050】
図7は、本第2変形例における処理手順を示している。本変形例の処理手順の形態では、着呼端末は暗号化トンネルリンクの確立を意識しない。着呼端末が呼制御チャネル、音声チャネル及びテキストチャネルの確立を意図する呼設定の要求を発することにより、当該着呼端末を収容するルータ装置が自律的に暗号化トンネルリンクの確立を行う。このため、ルータ装置自身がルーティングテーブルを有する。呼制御チャネル確立以降の手順は前述の実施例と同様である。
【0051】
先ず、呼制御チャネルを確立する。ユーザは、端末装置100a上のマルチメディアアプリケーションを起動し、アプリケーションで相手端末装置100bのIPアドレス(192.168.1.2)を指定して、発呼を指示する(ステップ601)。端末装置100a上の呼制御部110は、相手端末装置100bを宛先(IPアドレス:192.168.1.2、ポート番号:1720)として、呼設定のコマンドを送信する(ステップ602)。呼設定のコマンドには、端末装置100aの呼制御部110が呼制御コマンドを受け付けるポート番号(1721)を受信ポート番号として指定する。
【0052】
ここで、ルータ装置200aのIPパケットルーティング部210は、このコマンドを運ぶIPパケットをルータ装置200bに配信するが、その前に、端末装置100bまでIPパケットを安全に伝送するための暗号化トンネルがまだないことを判断して、ルータ装置200bからルータ装置200bに至る暗号化トンネルの確立の手順を実行する。
【0053】
ルータ装置200aのトンネル制御部220は、ルーティングテーブル240から、自ルータアドレスとしてルータ装置200aのグローバルアドレス(172.16.153.1)とプライベートアドレス(192.168.0.1)、相手先ルータアドレスとして、ルータ装置200bのグローバルアドレス(172.31.184.1)とプライベートアドレス(192.168.1.1)を求める。トンネル制御部220は、これらのIPアドレスを使って、ルータ装置200bとの間に、端末装置100aから端末装置100bへのIPパケットを安全に運ぶための暗号化トンネルを確立する(ステップ603)。確立方法は、RFC1825乃至1828で規定されている通りである。
【0054】
暗号化トンネルが確立した後、ステップ602の呼設定コマンドのIPパケットは、先に確立した暗号化トンネルを経由して、ルータ装置200bに配信する。つまり、暗号・復号処理部230は、受け取ったIPパケットを暗号化し、新たなIPパケットにカプセル化する。そして新たな宛先をルータ装置200b(IPアドレス:172.31.184.1、ポート番号:500)、送り元をルータ装置200a(IPアドレス:172.16.153.1、ポート番号:500)とする。そして、IPパケットルーティング部210がルータ装置200bにIPパケットを送信する(ステップ604)。
【0055】
ここで、ルータ装置200bのIPパケットルーティング部210は、このコマンドを運ぶIPパケットをルータ装置200aに配信するが、その前に、端末装置100aまでIPパケットを安全に伝送するための暗号化トンネルがまだないことを判断して、ルータ装置200bからルータ装置200aに至る暗号化トンネルの確立の手順を実行する。
【0056】
ルータ装置200bのトンネル制御部220は、ルータ装置200bのルーティングテーブル240から、自ルータアドレスとしてルータ装置200bのグローバルアドレス(172.31.184.1)とプライベートアドレス(192.168.1.1)、相手先ルータアドレスとして、ルータ装置200aのグローバルアドレス(172.16.153.1)とプライベートアドレス(192.168.0.1)を求める。トンネル制御部220は、これらのIPアドレスを使って、ルータ装置200aとの間に、端末装置100bから端末装置100aへのIPパケットを安全に運ぶための暗号化トンネルを確立する(ステップ605)。
【0057】
これによって、端末装置100aと端末装置100b間に双方向の暗号化トンネルが確立する(ステップ606)。以降、両者の間のIPパケットはすべて、この暗号化トンネルを通る。つまり、IPパケットは、ルータ装置間では暗号化されて運ばれる。
暗号化トンネルが確立した後、ステップ604の呼設定コマンドのIPパケットは、ルータ装置200bの暗号・復号処理部230によって復号化され、IPパケットルーティング部210によって、最終的な宛先である端末装置100bへとルーティングされる(ステップ607)。
【0058】
端末装置100bの呼制御部110は、呼制御コマンドを受け付けるポート番号を特定し(1721)、受信ポート番号としてこの値を指定した接続応答を返す。応答は、端末装置100aを宛先(IPアドレス:192.168.0.2、ポート番号:1721)として、IPパケットを送信する(ステップ608)。IPパケットは、ルータ装置200bの暗号・復号処理部230によって暗号化・カプセル化される。新たな宛先はルータ装置200a(IPアドレス:172.16.153.1、ポート番号:500)、送り元はルータ装置200b(IPアドレス:172.31.184.1、ポート番号:500)となり、IPパケットルーティング部210は、ルータ装置200aにIPパケットを送信する(ステップ609)。暗号化トンネルを経由して、ルータ装置200aに伝わり、ルータ装置200aの暗号・復号処理部230によって復号化され、IPパケットルーティング部210によって、端末装置100aへとルーティングされる(ステップ610)。
【0059】
以上の動作を経て、インターネットを暗号化トンネルでトンネリングする呼制御のチャネル(IPアドレス:192.168.0.1、ポート番号:1721←→IPアドレス:192.168.1.1、ポート番号:1721)が確立する(ステップ611)。以降、アプリケーションのコネクションの接続・切断の指示コマンドや応答のやり取りは、すべてこのチャネルを使用する。
【0060】
暗号化トンネルの開放は先の実施例と同様である。
以上のように、本第2変形例によれば、ルータ装置が自律的かつ自動的に暗号化トンネルを確立することができる。よって、端末装置100a及び100bのマルチメディアアプリケーションに変更を加えることなく、データパケットを安全に運ぶことができる。
【0061】
尚、本実施例及び第1及び第2変形例は、ネットワークとしてインターネットを利用した場合について記述しているが、本発明は、ネットワークとして、インターネットの技術を特定企業内のネットワークに適用したイントラネットにおいても同様に適用可能である。本発明は、又、企業内の閉じたネットワークにおいて高セキュリティを要する情報を扱う場合にも適用可能である。
【0062】
【発明の効果】
本発明によるパケット通信システムにより、アプリケーションの起動或いは命令に即応して動的に確立又は開放される暗号化トンネルリンクが形成され、パケットのセキュリティを確保しつつ低減化されたオーバヘッドにてパケット通信が可能となる。更に、この暗号化トンネルリンクを介して、セキュリティを要するマルチメディア通信アプリケーションの多様な呼接続チャネルを形成することが可能となる。
【図面の簡単な説明】
【図1】本発明の実施例における概念的な構成を示している図である。
【図2】実施例のパケット通信システムの構成を示しているブロック図である。
【図3】実施例における暗号化トンネルリンク確立の動作手順を示しているシーケンス図である。
【図4】実施例における暗号化トンネルリンク削除の動作手順を示しているシーケンス図である。
【図5】本発明の第1変形例における暗号化トンネルリンク確立の動作手順を示しているシーケンス図である。
【図6】本発明の第2変形例におけるパケット通信システムの構成を示しているブロック図である。
【図7】第2変形例における暗号化トンネルリンク確立の動作手順を示しているシーケンス図である。
【符号の説明】
100 端末装置
101、201 OS・TCP/IP
110 呼制御部
120 音声通話部
130 テキスト通信部
140、240 ルーティングテーブル
200 ルータ装置
210 IPパケットルーティング部
220 トンネル制御部
230 暗号・復号処理部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a packet communication system, and more particularly to a packet communication system that performs packet communication by establishing a call connection between a calling terminal and a called terminal in a packet communication network.
[0002]
[Prior art]
For example, a packet communication network such as the Internet is an open network in which an unspecified number of users are indirectly connected. On the other hand, security is at a significantly lower level than a telephone network. Users of the Internet are exposed to dangers or threats such as “spotting”, “tampering”, and “spoofing”. As means for protecting the user from these dangers or threats, there is a form in which a security function such as “encryption of communication data” and “user authentication” is added to an application such as a WWW service or a mail service. One specific form included in the encryption of communication data is a tunneling technique.
[0003]
“Tunneling” generally means that a certain protocol packet A is encapsulated with another protocol packet B and communication is performed according to protocol B. Therefore, the tunnel is not actually constructed, and the tunnel can be made to function by concealing communication from the outside. Furthermore, “encrypted tunneling” means a technique for further enhancing the confidentiality of communication contents by further encrypting packets exchanged in a tunnel.
[0004]
By using such encryption tunneling technology, a closed virtual network that realizes a highly secure connection link between terminals in a packet communication network that is basically based on no connection, that is, a VPN (Virtual Private Network) Can be provided. Examples include IP layer tunneling technology IPSec (IP Security), TCP layer tunneling technology SSL (Secure Socket Layer) implemented in Netscape Navigator or Internet Explorer, and application layer tunneling technology for email. Various security protocols such as PGP (Pretty Good Privacy) are listed.
[0005]
On the other hand, there are various types of communication applications such as e-mail, homepage browsing, chat, and Internet telephone. Recently, there are increasing cases of users using multimedia communication applications combining these. For example, if you use NetMeeting, a multimedia communication application, you can communicate with each other by voice (that is, Internet phone), send images to one shared whiteboard, or write a file during a call. Can be transferred.
[0006]
The use of the multimedia communication application by the user means that a plurality of individual applications are used simultaneously. Thus, it is conceivable to provide a system that uses VPN when using multiple applications in this way. As a method for performing communication using VPN when a user uses an application, there is an encryption tunneling technique as an application level security protocol. Such technologies include PGP and SET. PGP is an encryption tunneling technology (security protocol) when using e-mail applications. SET is an encryption tunneling technology dedicated to electric commerce transactions. As described above, the encryption tunneling technology at the application level depends on the application to be used, and when using the multimedia communication application, (different) encryption tunneling technology is required for each application.
[0007]
However, in the multimedia communication application, the user is always the same, and using a security protocol for each application has a large processing time overhead and is useless. In particular, for real-time applications such as NetMeeting, overhead is a factor that impairs user convenience.
[0008]
On the other hand, there are SSL and IPSec as lower layer tunneling technologies.
SSL is a TCP layer tunneling technology that can be used for all TCP applications. Typical applications include WWW browsers (Netscape Navigator and Internet Explorer). However, multimedia communication applications such as Internet telephones cannot be used because they are UDP applications located in the same transport layer as TCP.
[0009]
IPSec, on the other hand, is an IP layer tunneling technology that can be used for all applications. However, since tunneling is performed at the IP layer level, data packets of all applications used between the same users are tunneled regardless of whether they are part of a multimedia communication application. The tunneling itself includes processing overhead, and if unnecessary, the tunneling processing becomes redundant or wasted.
[0010]
[Problems to be solved by the invention]
Accordingly, an object of the present invention is to provide a packet communication system that realizes call connection of individual channels corresponding to various application programs with minimum overhead while ensuring security.
[0011]
[Means for Solving the Problems]
A packet communication system according to the present invention is a packet communication system that performs packet communication by establishing a call connection for each channel in a path between a calling terminal and a called terminal in a packet communication network. An encryption tunnel link establishment / disconnection unit that establishes or disconnects an encrypted tunnel link in the path according to the operation state of the application, and corresponds to the predetermined application according to the establishment or disconnection of the encryption tunnel link Call connection establishment / disconnection means for establishing or disconnecting the call connection of the channel correspondingly.
[0012]
Here, the call connection for each channel refers to forming not only the basic call control channel but also a plurality of channels depending on various application programs, for example, a voice channel, a text channel, or an image channel link. Point to.
[0013]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described in detail with reference to the accompanying drawings.
FIG. 1 is an embodiment of the present invention, and shows the concept of a secret communication link established by router devices 200a and 200b, that is, a tunnel link. A call control channel, a voice channel, and a text channel are further established between the calling terminal, that is, the terminal device 100a and the called terminal, that is, the terminal device 100b, in a communication path shielded by the established tunnel link. Media communication is performed. Each of the call control channel, the voice channel, and the text channel is given a port number for identifying the channel in the terminal devices 100a and 100b and the router devices 200a and 200b as shown in the figure.
[0014]
FIG. 2 shows the configuration of the packet communication system in the present embodiment. The packet communication system includes the Internet 300, terminal devices 100a and 100b in which multimedia applications that transmit and receive three types of media of voice, image, and text as data packets operate, and router devices 200a and 200b that accommodate these devices. Including. Although this embodiment shows an example of two terminal devices facing each other for ease of explanation, the packet communication system according to the present invention assumes the existence of many terminal devices and many router devices.
[0015]
The terminal devices 100a and 100b identify a terminal device that is a communication partner terminal of the multimedia application, establish a call between the terminals, and establish a voice call connection and establish a call when the application ends and establish a voice call connection. A voice communication unit 120 that transmits and receives data packets and disconnects the connection when the call ends; a text communication unit 130 that establishes a connection for image communication and a text communication and transmits and receives text data packets; and disconnects the connection when the communication ends. It consists of a routing table 140 containing information about the accommodated routers of the terminal devices. The terminal devices 100a and 100b further include an OS / TCP / IP 101 that controls the execution of these units and the IP protocol. The terminal devices 100a and 100b are connected to the Internet 300 via the router devices 200a and 200b.
[0016]
The routing table 140 stores the IP addresses (accommodating router information) of the router devices 200a and 200b to which the terminal devices 100a and 100b are connected. In the present embodiment, the accommodating router of the terminal device 100a is the router device 200a, and the accommodating router of the terminal device 100b is the router device 200b. Note that the routing table described in the present disclosure is different from the routing table for IP packets in a general router device, and means a routing table for multimedia applications that is characteristic of the present invention.
[0017]
The router devices 200a and 200b establish an encrypted tunnel using the IP packet routing unit 210 that realizes routing of various data packets converted into IP packets at the IP layer, and the IPSec security protocol, and the established encryption It comprises a tunnel control unit 220 for cutting a tunnel and an encryption / decryption processing unit 230 for encrypting or decrypting an IP packet via an encrypted tunneling route. Tunnel control unit 220 establishes and disconnects the encrypted tunnel according to instructions from call control unit 110 of terminal devices 100a and 100b. The router devices 200a and 200b further include an OS / TCP / IP 201 that controls the execution of these units and the IP protocol.
[0018]
The Internet 300 is a fusion of globally connected networks based on the IP protocol, and is an open network without security.
Since the packet communication system of this embodiment uses the TCP / IP protocol as a network protocol, an address is given to a network node such as a terminal or a router. That is, the private address 192.168.0.2 is assigned to the terminal device 100a, the private address 192.168.0.1 is assigned to the terminal device side of the router device 200a, and the global address 172.16.153.1 is assigned to the Internet side of the router device 200a. Is done. On the other hand, the private address 192.168.1.2 is assigned to the terminal device 100b, the private address 192.168.1.1 is assigned to the terminal device side of the router device 200b, and the global address 172.31.18.4 is assigned to the Internet side of the router device 200b. Has been. The above values are set in the accommodated router information in the routing table 140 of the terminal devices 100a and 100b.
[0019]
The IP addresses shown in this example are all values that should be specified as private addresses in the standard, but the original global address is not appropriate because it specifies an actual site and should not be used. ing.
Further, an application program that provides a service by interfacing with the TCP / IP layer is identified by a port number in order to distinguish the service. Here, the call control unit is 1721, the voice communication unit 1722, the text communication unit 1723, and the router application are 500.
[0020]
FIG. 3 shows a processing procedure of the packet communication system in the present embodiment.
In the present embodiment, the calling terminal establishes the call control channel, the voice channel, and the text channel in consideration of the necessity of the encrypted tunnel link prior to the establishment. On the other hand, in response to a request from the calling terminal, the called terminal also consciously establishes an encrypted tunnel link prior to establishment of the call control channel, voice channel, and text channel. For this reason, the calling terminal and the called terminal are configured to have routing information necessary for establishing a tunnel link inside their own terminals.
[0021]
First, a call control channel is established. The user activates a multimedia application on the calling terminal, that is, the terminal device 100a, and designates the IP address (192.168.1.2) of the called terminal, that is, the terminal device 100b by the application, thereby instructing a call ( Step 401). The call control unit 110 of the terminal device 100a determines that there is not yet an encrypted tunnel for safely transmitting an IP packet to the terminal device 100b, and establishes an encrypted tunnel from the router device 200a to the router device 200b. Perform the procedure.
[0022]
The call control unit 110 of the terminal device 100a obtains the IP address (192.168.0.1) of the router device 200a to be instructed from the accommodated router information of the routing table 140, and instructs the router device 200a to establish a tunnel. At this time, from the routing table 140, the global address (172.16.153.1) and private address (192.168.0.1) of the router device 200a as the own router address, and the global address (172.31.184.1) of the router device 200b as the destination router address. A private address (192.168.1.1) is obtained together, and these addresses are given as parameter information of a tunnel establishment instruction (step 402). The tunnel control unit 220 of the router device 200a uses the IP address obtained as parameter information to create an encrypted tunnel for safely carrying an IP packet from the terminal device 100a to the terminal device 100b with the router device 200b. Establish (step 403). The establishment method is as defined in RFC1825 to 1828. The tunnel control unit 220 returns a confirmation of tunnel establishment as a response to the terminal device 100a (step 404).
[0023]
Upon receiving the response, the call control unit 110 of the terminal device 100a specifies the IP address (192.168.0.2) specified by the user and the port number (1721) at which the call control unit 110 of the terminal device 100a receives the call control command. Then, a call setting command is transmitted to the partner terminal device 100b (step 405). In the call setting command, the port number (1721) at which the call control unit 110 of the terminal device 100a receives the call control command is designated as the reception port number.
[0024]
At this time, the router device 200a distributes the IP packet carrying this command to the router device 200b via the previously established encrypted tunnel. That is, the encryption / decryption processing unit 230 encrypts the received IP packet and encapsulates it into a new IP packet. The new destination is the router device 200b (IP address: 172.31.184.1, port number: 500, and the source is the router device 200a (IP address: 172.16.153.1, port number: 500). Transmits the IP packet to the router device 200b (step 406) The encryption / decryption processing unit 230 of the router device 200b decrypts the content of the received IP packet and sends the command sent by the call control unit 110 of the terminal device 100a. The IP packet routing unit 210 transmits a packet to the terminal device 100b (step 407).
[0025]
The call control unit 110 of the terminal device 100b determines that there is no encrypted tunnel for safely transmitting IP packets to the terminal device 100a, and establishes an encrypted tunnel from the router device 200b to the router device 200a. Perform the procedure.
The call control unit 110 of the terminal device 100b obtains the IP address (192.168.1.1) of the router device 200b to be instructed from the accommodated router information in the routing table 140 of the terminal device 100b, and instructs the router device 200a to establish a tunnel. . At this time, from the routing table 140, the global address (172.31.184.1) and private address (192.168.1.1) of the router device 200b are used as the own router address, and the global address (172.16.153.1) of the router device 200a is used as the destination router address. The private addresses (192.168.0.1) are obtained together, and these addresses are given as parameter information of the tunnel establishment instruction (step 408). The tunnel control unit 220 of the router device 200b uses the IP address obtained as parameter information to establish an encrypted tunnel for safely carrying an IP packet from the terminal device 100b to the terminal device 100a with the router device 200a. Establish (step 409). The establishment method is as defined in RFC1825 to 1828. The tunnel control unit 220 returns confirmation of tunnel establishment to the terminal device 100b as a response (step 410). Thus, a bidirectional encrypted tunnel is established between the terminal device 100a and the terminal device 100b (step 411). Thereafter, all IP packets between the two pass through this encrypted tunnel. That is, IP packets are transported encrypted between router devices.
[0026]
After the encryption tunnel is established, the call control unit 110 of the terminal device 100b specifies a port number that accepts the call control command (1721), and returns a connection response that specifies this value as the reception port number. As a response, an IP packet is transmitted with the terminal device 100a as the destination (IP address: 192.168.0.2, port number: 1721) (step 412). The IP packet is encrypted and encapsulated by the encryption / decryption processing unit 230 of the router device 200b. The new destination is the router device 200a (IP address: 172.16.153.1, port number: 500), the source is the router device 200b (IP address: 172.31.18.41, port number: 500), and the IP packet routing unit 210 An IP packet is transmitted to the device 200a (step 413). The packet is transmitted to the router device 200a via the encrypted tunnel, decrypted by the encryption / decryption processing unit 230 of the router device 200a, and routed to the terminal device 100a by the IP packet routing unit 210 (step 414). Through the above operation, a call control channel (IP address: 192.168.0.1, port number: 1721 ← → IP address: 192.168.1.1, port number: 1721) for tunneling the Internet with an encrypted tunnel is established (step 415). ). Thereafter, this channel is used for all exchange of command / response instructions for connection / disconnection of application connections.
[0027]
Next, voice channel establishment is performed. The user designates a voice call with the terminal device 100b (192.168.1.2), which is the current communication partner, using a multimedia application on the terminal device 100a (step 421). The voice communication unit 120 of the terminal device 100a transmits a voice channel setting command with the counterpart terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step 422). In the voice channel setting command, the port number (1722) at which the voice communication unit 120 of the terminal device 100a receives voice data packets is designated as the reception port number.
[0028]
The router device 200a encrypts and encapsulates the IP packet as in the case of establishing the call control channel, and sends it to the router device 200b (step 423). The router device 200b extracts the content of the received IP packet, decrypts it, and routes it to the terminal device 100b (step 424).
The voice communication unit 120 of the terminal device 100b specifies the port number for receiving the voice data packet (1722), and returns a response of the voice channel connection in which this value is specified as the reception port number. An IP packet is transmitted as a destination (IP address: 192.168.0.2, port number: 1721) (step 425). The IP packet is encrypted and encapsulated by the router device 200b as in the case of establishing the call control channel, and transmitted to the router device 200a (step 426). Then, the data is decrypted by the router device 200a and routed to the terminal device 100a (step 427).
[0029]
Through the above operations, a voice channel (IP address: 192.168.0.1, port number: 1722 ← → IP address: 192.168.1.1, port number: 1722) for tunneling the Internet through an encrypted tunnel is established (step 428). Thereafter, all voice data packets of the application use this channel.
Next, the text channel is established. The user designates a text call, that is, a so-called chat with the terminal device 100b (192.168.1.2), which is the current communication partner, in the multimedia application on the terminal device 100a (step 431). The text communication unit 130 of the terminal device 100a transmits a text channel setting command with the counterpart terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step 432). In the text channel setting command, the port number (1723) at which the text communication unit 130 of the terminal device 100a receives the text data packet is designated as the reception port number.
[0030]
The encryption / decryption processing unit 230 of the router device 200a encrypts and encapsulates the IP packet as in the case of establishing the voice channel, and sends it to the router device 200b (step 433). The router device 200b extracts the contents of the received IP packet, decrypts them, and routes them to the terminal device 100b (step 434).
The text communication unit 130 of the terminal device 100b specifies a port number for receiving the text data packet (1723), and returns a response of the text channel connection in which this value is specified as the reception port number. An IP packet is transmitted as a destination (IP address: 192.168.0.2, port number: 1721) (step 435). The IP packet is encrypted and encapsulated by the router device 200b as in the case of establishing the voice channel, and transmitted to the router device 200a (step 436). Then, the data is decrypted by the router device 200a and routed to the terminal device 100a (step 437).
[0031]
Through the above operation, a text channel (IP address: 192.168.0.1, port number: 1723 ← → IP address: 192.168.1.1, port number: 1723) for tunneling the Internet through an encrypted tunnel is established (step 438). Thereafter, all text data packets of the application use this channel.
FIG. 4 shows a processing procedure for disconnecting, that is, opening the encrypted tunnel in this embodiment.
[0032]
First, release the text channel. It is assumed that an encrypted tunnel, a call control channel, a voice channel, and a text channel are established between a terminal device 100a and a terminal device 100b in a situation where a user uses a multimedia application.
The user instructs disconnection with the multimedia application on the terminal device 100a in order to end communication with the multimedia application of the partner terminal device 100b (192.168.1.2) (step 501). At this time, the text communication unit 130 of the terminal device 100a determines that the text channel is established, and executes the text channel release procedure.
[0033]
The text communication unit 130 of the terminal device 100a transmits a text channel release command with the counterpart terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step 502). In the text channel release command, the port number (1723) from which the text communication unit 130 of the terminal device 100a has accepted the text data packet is designated as the reception port number.
[0034]
The router device 200a encrypts and encapsulates the IP packet and sends it to the router device 200b (step 503). The router device 200b extracts the content of the received IP packet, decrypts it, and routes it to the terminal device 100b (step 504).
The text communication unit 130 of the terminal device 100b stops data packet transmission to the port number that the text communication unit 130 of the terminal device 100a has received the text data packet, and the text communication unit 130 of the terminal device 100b uses the text communication unit 130 of the terminal device 100b as a reception port number. To return a text channel disconnection response specifying the port number (1723) that accepted the text data packet, send the IP packet with the destination terminal device 100a as the destination (IP address: 192.168.0.2, port number: 1721). (Step 505). The IP packet is encrypted and encapsulated by the router device 200b and transmitted to the router device 200a (step 506). Then, the data is decrypted by the router device 200a and routed to the terminal device 100a (step 507). The text communication unit 130 of the terminal device 100a stops data packet transmission to the port number where the text communication unit 130 of the terminal device 100b has accepted the text data packet. Through the above operation, the text channel (IP address: 192.168.0.1, port number: 1723 ← → IP address: 192.168.1.1, port number: 1723) is released (step 508).
[0035]
Next, the voice channel is released. The voice communication unit 120 of the terminal device 100a determines that the voice channel is established, and executes a voice channel release procedure.
The voice communication unit 120 of the terminal device 100a transmits a voice channel release command with the counterpart terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step 511). In the voice channel release command, the port number (1722) from which the voice communication unit 120 of the terminal device 100a has accepted the voice data packet is designated as the reception port number.
[0036]
The router device 200a encrypts and encapsulates the IP packet and sends it to the router device 200b (step 512). The router device 200b extracts the content of the received IP packet, decrypts it, and routes it to the terminal device 100b (step 513).
The voice call unit 120 of the terminal device 100b stops the data packet transmission to the port number that the voice call unit 120 of the terminal device 100a has received the voice data packet, and the voice call unit 120 of the terminal device 100b uses the voice call unit 120 as the reception port number. To return a voice channel disconnection response specifying the port number (1722) that received the voice data packet, send the IP packet with the destination terminal device 100a as the destination (IP address: 192.168.0.2, port number: 1721). (Step 514). The IP packet is encrypted and encapsulated by the router device 200b and transmitted to the router device 200a (step 515). Then, the data is decrypted by the router device 200a and routed to the terminal device 100a (step 516). The voice call unit 120 of the terminal device 100a stops the data packet transmission to the port number that the voice call unit 120 of the terminal device 100b has received the voice data packet. Through the above operation, the voice channel (IP address: 192.168.0.1, port number: 1722 ← → IP address: 192.168.1.1, port number: 1722) is released (step 517).
[0037]
Next, the call control channel is released. After releasing the voice channel and the text channel, the call control unit 110 of the terminal device 100a transmits a release completion command with the counterpart terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step S1). 521). In the release completion command, the port number (1721) from which the call control unit 110 of the terminal device 100a has accepted the call control command is designated as the reception port number. Further, the call control unit 110 of the terminal device 100b stops transmitting the call control packet to the port number (1721) that has received the call control packet (command or response).
[0038]
The router device 200a encrypts and encapsulates the IP packet and sends it to the router device 200b (step 522). The router device 200b extracts the content of the received IP packet, decrypts it, and routes it to the terminal device 100b (step 523).
In addition, after step 522, the procedure for disconnecting the encrypted tunnel is executed in parallel with step 523. That is, the tunnel control unit 220 of the router device 200a disconnects the encrypted tunnel for safely carrying the IP packet from the terminal device 100a to the terminal device 100b (step 525). The cutting method is as specified in RFC1825 to 1828. Tunnel control unit 220 then sends a command to router device 200b to establish a reverse-direction encrypted tunnel (step 526). Upon receiving this command, the tunnel control unit 220 of the router device 200b disconnects the encrypted tunnel for safely carrying the IP packet from the terminal device 100b to the terminal device 100a (step 527). The tunnel control unit 220 of the router device 200b returns a response for confirming the disconnection to the router device 200a (step 528). As a result, the bidirectional encrypted tunnel between the terminal device 100a and the terminal device 100b is disconnected (step 529).
[0039]
According to the present embodiment, when a multimedia application between the terminal devices 100a and 100b is used, an encrypted tunnel is automatically established between the relay router devices via the Internet 300, which is an open network without security. However, the call control command and response data packet, voice data packet, and text data packet can be safely carried.
[0040]
In addition, since the encrypted tunnel is established only when a predetermined multimedia application is used, it is possible to achieve both the use of an application that does not require encryption and the use of an application that uses another tunneling technology (security protocol). That is, the user can select for each application to be used, including not using the tunneling technology (security protocol) that the user wants to use, and the range of use is widened.
[0041]
FIG. 5 is a sequence diagram showing a processing procedure in the first modified example of the present invention. In the first modification, an encrypted tunnel is established in a different processing procedure in the same configuration as the previous embodiment (see FIG. 2). That is, the calling terminal instructs the establishment of the encrypted tunnel link prior to the establishment of the call control channel, the voice channel, and the text channel, and the router device that accommodates the called terminal serves as the encrypted tunnel link in the reverse direction. Establish. For this reason, the routing information on the called terminal side is not referred to.
[0042]
Referring to FIG. 5, first, a call control channel is established. The user activates the multimedia application on the terminal device 100a, designates the IP address (192.168.1.2) of the partner terminal device 100b with the application, and issues a call (step 501). The call control unit 110 of the terminal device 100a determines that there is no encrypted tunnel for safely transmitting IP packets to the terminal device 100b, and establishes an encrypted tunnel from the router device 200a to the router device 200b. Perform the procedure.
[0043]
The call control unit 110 of the terminal device 100a obtains the IP address (192.168.0.1) of the router device 200a to be instructed from the accommodated router information of the routing table 140, and instructs the router device 200a to establish a tunnel. At this time, from the routing table 140, the global address (172.16.153.1) and private address (192.168.0.1) of the router device 200a as the own router address, and the global address (172.31.184.1) of the router device 200b as the destination router address. The private addresses (192.168.1.1) are obtained together, and these addresses are given as parameter information for the tunnel establishment instruction (step 502). The tunnel control unit 220 of the router device 200a uses the IP address obtained as parameter information to create an encrypted tunnel for safely carrying an IP packet from the terminal device 100a to the terminal device 100b with the router device 200b. Establish (step 503). The establishment method is as specified in RFC1825 to 1828.
[0044]
Subsequently, the tunnel control unit 220 of the router device 200a instructs the router device 200b to establish an encrypted tunnel. At this time, the global address (172.31.184.1) and private address (192.168.1.1) of the router device 200b are used as the own router address, and the global address (172.16.153.1) and private address (192.168. Of the router device 200a are used as the destination router address. 0.1) is given as parameter information of the tunnel establishment instruction (step 504). The tunnel control unit 220 of the router device 200b uses the IP address obtained as parameter information to establish an encrypted tunnel for safely carrying an IP packet from the terminal device 100b to the terminal device 100a with the router device 200a. Establish (step 505).
[0045]
Then, the tunnel control unit 220 of the router device 200b returns a confirmation of tunnel establishment to the router device 200a as a response (step 506). Also, the tunnel control unit 220 of the router device 200a returns a confirmation of tunnel establishment to the terminal device 100a as a response (step 507). As a result, between the terminal device 100a and the terminal device 100b Two A direction encryption tunnel is established (step 508). Thereafter, all IP packets between the two pass through this encrypted tunnel. That is, IP packets are transported encrypted between router devices.
[0046]
Upon receiving the response, the call control unit 110 of the terminal device 100a specifies the IP address (192.168.0.1) designated by the user and the port number (1720) at which the call control unit 110 of the terminal device 100a receives the call control command. Then, a call setting command is transmitted to the counterpart terminal device 100b (step 509). In the call setting command, the port number (1721) at which the call control unit 110 of the terminal device 100a receives the call control command is designated as the reception port number.
[0047]
The router device 200a encrypts and encapsulates the IP packet and sends it to the router device 200b (step 510). The router device 200b extracts the contents of the received IP packet, decrypts them, and routes them to the terminal device 100b (step 511).
The call control unit 110 of the terminal device 100b identifies the port number that accepts the call control command (1721), and returns a connection response that specifies this value as the reception port number. As a response, an IP packet is transmitted with the terminal device 100a as the destination (IP address: 192.168.0.2, port number: 1721) (step 512). The IP packet is encrypted and encapsulated by the router device 200b and sent to the router device 200a (step 513). The information is transmitted to the router device 200a via the encrypted tunnel, and the router device 200b extracts the contents of the received IP packet, decrypts them, and routes them to the terminal device 100a (step 514). Through the above operation, a call control channel (IP address: 192.168.0.1, port number: 1721 ← → IP address: 192.168.1.1, port number: 1721) for tunneling the Internet with an encrypted tunnel is established (step 515). ).
[0048]
The procedure for opening the encryption tunnel in the first modification is the same as that in the previous embodiment.
As described above, according to the first modification, it is possible to establish an encrypted tunnel without referring to the routing table of the terminal device 100b as compared with the previous embodiment. In addition, since a bidirectional tunnel is established in a unified manner, it can be expected to reduce processing overhead.
[0049]
FIG. 6 shows the configuration of a packet communication system in the second modification of the present invention. Here, the configuration other than the routing table 240 is the same as that of the above-described embodiment.
The routing table 240 stores the IP addresses of the router devices 200a and 200b to which the terminal devices 100a and 100b are connected as accommodation router information. In the present embodiment, the accommodating router of the terminal device 100a is the router device 200a, and the accommodating router of the terminal device 100b is the router device 200b.
[0050]
FIG. 7 shows a processing procedure in the second modification. In the processing procedure according to this modification, the called terminal is not aware of the establishment of the encrypted tunnel link. When the called terminal issues a request for call setting intended to establish a call control channel, a voice channel, and a text channel, the router apparatus accommodating the called terminal autonomously establishes an encrypted tunnel link. For this reason, the router device itself has a routing table. The procedure after the establishment of the call control channel is the same as that in the previous embodiment.
[0051]
First, a call control channel is established. The user activates the multimedia application on the terminal device 100a, designates the IP address (192.168.1.2) of the partner terminal device 100b with the application, and instructs the call (step 601). The call control unit 110 on the terminal device 100a transmits a call setting command with the counterpart terminal device 100b as a destination (IP address: 192.168.1.2, port number: 1720) (step 602). In the call setting command, the port number (1721) at which the call control unit 110 of the terminal device 100a receives the call control command is designated as the reception port number.
[0052]
Here, the IP packet routing unit 210 of the router device 200a distributes the IP packet carrying this command to the router device 200b, but before that, there is an encrypted tunnel for safely transmitting the IP packet to the terminal device 100b. It is determined that there is not yet, and a procedure for establishing an encrypted tunnel from the router device 200b to the router device 200b is executed.
[0053]
From the routing table 240, the tunnel control unit 220 of the router device 200a uses the global address (172.16.153.1) and private address (192.168.0.1) of the router device 200a as its own router address and the global address of the router device 200b as the destination router address. Find the address (172.31.184.1) and private address (192.168.1.1). Using these IP addresses, tunnel control unit 220 establishes an encrypted tunnel for safely carrying IP packets from terminal device 100a to terminal device 100b with router device 200b (step 603). The establishment method is as defined in RFC1825 to 1828.
[0054]
After the encrypted tunnel is established, the IP packet of the call setting command in step 602 is distributed to the router device 200b via the previously established encrypted tunnel. That is, the encryption / decryption processing unit 230 encrypts the received IP packet and encapsulates it into a new IP packet. The new destination is the router device 200b (IP address: 172.31.18.41, port number: 500), and the source is the router device 200a (IP address: 172.16.153.1, port number: 500). Then, the IP packet routing unit 210 transmits an IP packet to the router device 200b (step 604).
[0055]
Here, the IP packet routing unit 210 of the router device 200b distributes the IP packet carrying this command to the router device 200a, but before that, there is an encrypted tunnel for safely transmitting the IP packet to the terminal device 100a. It is determined that there is not yet, and a procedure for establishing an encrypted tunnel from the router device 200b to the router device 200a is executed.
[0056]
From the routing table 240 of the router device 200b, the tunnel control unit 220 of the router device 200b sends the global address (172.31.184.1) and private address (192.168.1.1) of the router device 200b as its own router address, and the router as the destination router address. The global address (172.16.153.1) and private address (192.168.0.1) of the device 200a are obtained. Using these IP addresses, tunnel control unit 220 establishes an encrypted tunnel for securely carrying IP packets from terminal device 100b to terminal device 100a with router device 200a (step 605).
[0057]
Thereby, a bidirectional encrypted tunnel is established between the terminal device 100a and the terminal device 100b (step 606). Thereafter, all IP packets between the two pass through this encrypted tunnel. That is, IP packets are transported encrypted between router devices.
After the encryption tunnel is established, the IP packet of the call setting command in step 604 is decrypted by the encryption / decryption processing unit 230 of the router device 200b, and the terminal device 100b which is the final destination by the IP packet routing unit 210. (Step 607).
[0058]
The call control unit 110 of the terminal device 100b identifies the port number that accepts the call control command (1721), and returns a connection response that specifies this value as the reception port number. As a response, an IP packet is transmitted with the terminal device 100a as the destination (IP address: 192.168.0.2, port number: 1721) (step 608). The IP packet is encrypted and encapsulated by the encryption / decryption processing unit 230 of the router device 200b. The new destination is the router device 200a (IP address: 172.16.153.1, port number: 500), the source is the router device 200b (IP address: 172.31.18.41, port number: 500), and the IP packet routing unit 210 An IP packet is transmitted to the device 200a (step 609). The packet is transmitted to the router device 200a via the encrypted tunnel, decrypted by the encryption / decryption processing unit 230 of the router device 200a, and routed to the terminal device 100a by the IP packet routing unit 210 (step 610).
[0059]
Through the above operation, a call control channel (IP address: 192.168.0.1, port number: 1721 ← → IP address: 192.168.1.1, port number: 1721) for tunneling the Internet with an encrypted tunnel is established (step 611). ). Thereafter, this channel is used for all exchange of command / response instructions for connection / disconnection of application connections.
[0060]
The opening of the encrypted tunnel is the same as in the previous embodiment.
As described above, according to the second modification, the router device can autonomously and automatically establish an encrypted tunnel. Therefore, the data packet can be safely carried without changing the multimedia application of the terminal devices 100a and 100b.
[0061]
In addition, although a present Example and the 1st and 2nd modification have described the case where the internet is utilized as a network, this invention is the intranet which applied the technique of the internet to the network in a specific company as a network. Is equally applicable. The present invention is also applicable to information that requires high security in a closed network in a company.
[0062]
【The invention's effect】
The packet communication system according to the present invention forms an encrypted tunnel link that is dynamically established or released in response to an application activation or command, and allows packet communication to be performed with reduced overhead while ensuring packet security. It becomes possible. Furthermore, various call connection channels for multimedia communication applications requiring security can be formed through the encrypted tunnel link.
[Brief description of the drawings]
FIG. 1 is a diagram showing a conceptual configuration in an embodiment of the present invention.
FIG. 2 is a block diagram illustrating a configuration of a packet communication system according to an embodiment.
FIG. 3 is a sequence diagram showing an operation procedure for establishing an encrypted tunnel link in the embodiment.
FIG. 4 is a sequence diagram showing an operation procedure for deleting an encrypted tunnel link in the embodiment.
FIG. 5 is a sequence diagram showing an operation procedure for establishing an encrypted tunnel link in the first modified example of the present invention.
FIG. 6 is a block diagram showing a configuration of a packet communication system in a second modification of the present invention.
FIG. 7 is a sequence diagram showing an operation procedure for establishing an encrypted tunnel link in a second modified example.
[Explanation of symbols]
100 terminal equipment
101, 201 OS / TCP / IP
110 Call control unit
120 Voice call part
130 Text communication department
140, 240 routing table
200 router device
210 IP packet routing section
220 Tunnel controller
230 Encryption / Decryption Processing Unit

Claims (5)

パケット通信網における発呼端末と着呼端末との間の経路にチャネル毎の呼接続を確立してパケット通信を行うパケット通信システムであって、
前記発呼端末における所定のアプリケーションの動作状況に応じて、前記経路に暗号化トンネルリンクを確立又は切断する暗号化トンネルリンク確立切断手段と、
前記暗号化トンネルリンクの確立又は切断に応じて、前記所定のアプリケーションに対応するチャネルの呼接続を対応して確立又は切断する呼接続確立切断手段と、
を含むことを特徴とするパケット通信システム。A packet communication system for establishing packet connection for each channel in a path between a calling terminal and a called terminal in a packet communication network and performing packet communication,
Encrypted tunnel link establishment and disconnection means for establishing or disconnecting an encrypted tunnel link in the route according to the operation status of a predetermined application in the calling terminal;
Call connection establishment / disconnection means for establishing or disconnecting a call connection of a channel corresponding to the predetermined application in response to establishment or disconnection of the encrypted tunnel link;
A packet communication system comprising: 前記所定のアプリケーションの動作状況を表す指標が、前記所定のアプリケーションの起動又は終了であることを特徴とする請求項1記載のパケット通信システム。The packet communication system according to claim 1, wherein the index representing the operation status of the predetermined application is activation or termination of the predetermined application. 前記所定のアプリケーションの動作状況を表す指標が、前記発呼端末が送受信するパケットに含まれる前記所定のアプリケーションの起動又は終了に対応する情報であることを特徴とする請求項1記載のパケット通信システム。2. The packet communication system according to claim 1, wherein the index indicating the operation status of the predetermined application is information corresponding to activation or termination of the predetermined application included in a packet transmitted and received by the calling terminal. . 前記暗号化トンネルリンク確立切断手段が、前記発呼端末と前記着呼端末との間の経路のうちの前記発呼端末を収容する第1ルータと前記着呼端末を収容する第2ルータとの間に前記暗号化トンネルリンクを確立することを特徴とする請求項1記載のパケット通信システム。The encrypted tunnel link establishment / cutting means includes a first router that accommodates the calling terminal and a second router that accommodates the called terminal in a path between the calling terminal and the called terminal. The packet communication system according to claim 1, wherein the encrypted tunnel link is established between them. 前記暗号化トンネルリンクは、前記第1ルータと前記第2ルータとの間で双方向に暗号化通信を可能とするトンネルリンクであることを特徴とする請求項1又は4記載のパケット通信システム。 The encrypted tunnel link claim 1 or 4 packet communication system, wherein it is a tunnel link to enable encrypted communication in both directions between the first router and the second router.
JP2001116998A 2001-04-16 2001-04-16 Packet communication system Expired - Fee Related JP4356262B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001116998A JP4356262B2 (en) 2001-04-16 2001-04-16 Packet communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001116998A JP4356262B2 (en) 2001-04-16 2001-04-16 Packet communication system

Publications (2)

Publication Number Publication Date
JP2002314582A JP2002314582A (en) 2002-10-25
JP4356262B2 true JP4356262B2 (en) 2009-11-04

Family

ID=18967639

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001116998A Expired - Fee Related JP4356262B2 (en) 2001-04-16 2001-04-16 Packet communication system

Country Status (1)

Country Link
JP (1) JP4356262B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003027878A1 (en) 2001-09-28 2003-04-03 Fiberlink Communications Corporation Client-side network access polices and management applications
CN101569145A (en) * 2006-12-20 2009-10-28 日本电气株式会社 Communication terminal, terminal, communication system, communication method, and program

Also Published As

Publication number Publication date
JP2002314582A (en) 2002-10-25

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
US8713305B2 (en) Packet transmission method, apparatus, and network system
US7231664B2 (en) System and method for transmitting and receiving secure data in a virtual private group
KR100261379B1 (en) Lightweight secure communication tunnelling over the internet
JP2002504286A (en) Virtual private network structure
US20060256817A1 (en) System and method for using performance enhancing proxies with IP-layer encryptors
KR20070026331A (en) System, apparatus and method for establishing a secured communications link to form a virtual private network at a network protocol layer other than that at which packets are filtered
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
CN100502345C (en) Method, branch node and center node for transmitting multicast in IPsec tunnel
CN100459568C (en) System and method for realizing VPN protocol at application layer
CN107819685A (en) The method and the network equipment of a kind of data processing
JP2001292174A (en) Method and communication device for constituting secured e-mail communication between mail domain of internet
US20050086533A1 (en) Method and apparatus for providing secure communication
JP4356262B2 (en) Packet communication system
CN114338116B (en) Encryption transmission method and device and SD-WAN network system
CN115442121A (en) Traffic transmission method, system, device and storage medium
CN109361684B (en) Dynamic encryption method and system for VXLAN tunnel
CN110351308B (en) Virtual private network communication method and virtual private network device
KR102694199B1 (en) L2-based virtual private network management device for network separation between apartment houses
CN115277190B (en) Method for realizing neighbor discovery on network by link layer transparent encryption system
KR20030050550A (en) Simple IP virtual private network service in PDSN system
Rao et al. Virtual Private Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070201

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090127

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090714

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090727

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120814

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120814

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120814

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130814

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees