JP4892404B2 - 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム - Google Patents
暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム Download PDFInfo
- Publication number
- JP4892404B2 JP4892404B2 JP2007130238A JP2007130238A JP4892404B2 JP 4892404 B2 JP4892404 B2 JP 4892404B2 JP 2007130238 A JP2007130238 A JP 2007130238A JP 2007130238 A JP2007130238 A JP 2007130238A JP 4892404 B2 JP4892404 B2 JP 4892404B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- information
- relay device
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1は、本発明の第1の実施の形態の通信システムの構成例を示す図である。
次に、図2(a)を用いて、SIPサーバ3の構成を詳細に説明する。図2(a)は、各実施の形態におけるSIPサーバの構成を示す図である。なお、SIPサーバ3A,3B,3Cについては、第2の実施の形態以降で説明する。
次に、図2(b)を用いて、発側端末1Aおよび着側端末1Bの構成を説明する。図2(b)は、各実施の形態における発側端末および着側端末の構成を示す図である。この発側端末1Aおよび着側端末1Bは同じ構成であるので、以下、まとめて端末1として説明する。端末1は、入出力部11と、通信処理部12と、記憶部13とを含んで構成される。
次に、図3を用いて、中継装置4の構成を説明する。図3は、各実施の形態における中継装置の構成を示す図である。なお、中継装置4A,4B,4Cについては、第2の実施の形態以降で説明する。
次に、図7を用いて、図1の通信システムの動作手順を説明する(適宜、図2〜図6参照)。図7は、図1の通信システムの動作手順を示す図である。
次に、図8を用いて、本発明の第2の実施の形態を説明する(適宜、図1〜図7参照)。図8は、第2の実施の形態の通信システムの構成例を示す図である。第2の実施の形態の通信システムは、SIPサーバ3AがIP網内の複数の中継装置4(4A,4B,4C)から、発側端末1Aと着側端末1Bとの中継を行う中継装置4を選択することを特徴とする。なお、前記した第1の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
次に、図10を用いて、本発明の第3の実施の形態を説明する(適宜、図1〜図7参照)。図10は、第3の実施の形態の通信システムの構成例を示す図である。第3の実施の形態の通信システムは、SIPサーバ3Bが中継装置4を選択するとき、発側端末1AのIPアドレスをもとに選択することを特徴とする。前記した第1の実施の形態および第2の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
次に、図11を用いて、本発明の第4の実施の形態を説明する(適宜、図1〜図7参照)。図11は、第4の実施の形態の通信システムの構成例を示す図である。第4の実施の形態の通信システムは、IP網内に、中継装置4(4A,4B,4C)の負荷状況を監視する負荷監視サーバ5を含む。そして、SIPサーバ3Cは、この負荷監視サーバ5から、IP網内の各中継装置4の負荷状況を取得し、この取得した中継装置4の負荷状況をもとに発側端末1Aと着側端末1Bとの中継を行う中継装置4を選択することを特徴とする。前記した第1の実施の形態、第2の実施の形態および第3の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
1B 着側端末(第2の端末)
3(3A,3B,3C) SIPサーバ(セッション制御サーバ)
4(4A,4B,4C) 中継装置
5 負荷監視サーバ
11,31,41 入出力部
12,32,42 通信処理部
13,33,43 記憶部
120,320 セッション制御処理部
121,421 SA処理部
122,422 ポリシ管理部
123,423 暗号化部
124,424 復号部
131,431 セッション制御情報
132,432 SAD
133,433 SPD
321 中継装置制御部
322 負荷状況取得部
331(331A,311B) 中継装置アドレス情報
332 セッション制御情報
333 負荷状況情報
420 通信セッション情報処理部
425 IPアドレス変換部
426 セキュリティ処理部
Claims (10)
- 第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する暗号化パケット転送方法であって、
前記中継装置が、
前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信し、
IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶し、
前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを示した通信セッション情報を作成し、前記記憶部に記憶し、
前記第1の端末から、暗号化パケットを受信したとき、
前記受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索し、この検索したSAに関する情報を用いて、前記暗号化パケットを復号し、
前記復号したパケットに対しセキュリティチェックを実行し、
前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、
前記復号したパケットの宛先アドレスを、前記検索した第2の端末のアドレスに書き換え、
前記検索したSPI値をキーとして、前記記憶部から、前記第2の端末との間のSAに関する情報を検索し、
この検索したSAに関する情報を用いて、前記復号したパケットを暗号化し、
この暗号化したパケットを、前記第2の端末へ送信することを特徴とする暗号化パケット転送方法。 - 前記セッション制御サーバが、前記第1の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、
この受信したセッション制御情報における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第2の端末へ送信し、
この第2の端末から、前記受信したセッション制御情報の応答を受信したとき、
この受信したセッション制御情報の応答における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第1の端末へ送信し、
前記第1の端末および前記第2の端末はそれぞれ、前記IKEにより、前記セッション制御情報または前記セッション制御情報の応答に示されるアドレスの中継装置との間で、前記SAに関する情報を交換して、IPsecSAを確立することを特徴とする請求項1に記載の暗号化パケット転送方法。 - 前記通信システムは、前記中継装置を複数含んで構成され、
前記セッション制御サーバは、前記第1の端末のアドレスのドメインごとに、当該ドメインを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した中継装置アドレス情報を記憶部に記憶し、
前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、前記受信したセッション制御情報に含まれる前記第1の端末のアドレスのドメイン名をキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択し、
前記選択した中継装置宛に、前記中継装置制御情報を送信することを特徴とする請求項2に記載の暗号化パケット転送方法。 - 前記中継装置アドレス情報は、前記第1の端末のIP(Internet Protocol)アドレスごとに、当該IPアドレスを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した情報であり、
前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、このセッション制御情報の送信元である前記第1の端末のIPアドレスをキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択することを特徴とする請求項3に記載の暗号化パケット転送方法。 - 前記通信システムは、複数の前記中継装置およびこの複数の中継装置それぞれの処理負荷状況を監視する負荷監視サーバを含んで構成され、
前記セッション制御サーバが、前記第1の端末および前記第2の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、
前記負荷監視サーバから、前記複数の中継装置それぞれの処理負荷情報を受信し、
前記受信した処理負荷情報において最も処理負荷の小さい中継装置を、前記第1の端末から送信された暗号化パケットを転送する中継装置として選択することを特徴とする請求項2に記載の暗号化パケット転送方法。 - 前記セッション制御サーバが、前記第1の端末および前記第2の端末へ、当該第1の端末と第2の端末それぞれにおける暗号化パケットの送受信に用いる暗号鍵を配布し、
前記第1の端末および前記第2の端末は、前記配布された暗号鍵を用いて、前記セッション制御情報に示される中継装置との間でIPsecSAを確立することを特徴とする請求項2ないし請求項5のいずれか1項に記載の暗号化パケット転送方法。 - 前記中継装置が、外部の装置から前記セキュリティチェックを実行するか否かの指示入力を受け付け、
前記セキュリティチェックを実行する指示入力を受け付けたとき、前記セキュリティチェックを実行することを特徴とする請求項1ないし請求項6のいずれか1項に記載の暗号化パケット転送方法。 - 第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する中継装置であって、
前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信する入出力部と、
IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶するSA処理部と、
前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを対応付けた通信セッション情報を作成し、前記記憶部に記憶する通信セッション情報処理部と、
前記第1の端末から受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索するポリシ管理部と、
前記検索されたSAに関する情報を用いて前記暗号化パケットを復号する復号部と、
前記復号したパケットに対し、セキュリティチェックを実行するセキュリティチェック部と、
前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、前記復号したパケットの宛先アドレスを、前記検索した前記第2の端末のアドレスに書き換えるIPアドレス変換部と、
前記検索されたSPI値をキーとして、前記ポリシ管理部により前記記憶部から検索された前記第2の端末との間のSAに関する情報を用いて、前記セキュリティチェックを実行したパケットを暗号化し、前記暗号化したパケットを、前記第2の端末へ送信する暗号化部とを備えることを特徴とする中継装置。 - コンピュータを、請求項8に記載の中継装置として機能させることを特徴とするプログラム。
- 請求項8に記載の中継装置と、前記第1の端末と前記第2の端末とのセッション制御を行い、前記セッション制御情報を前記中継装置へ送信するセッション制御サーバと、前記セッション制御サーバとのセッション制御プロトコルおよび前記中継装置とのIKEを行うためのIKEプロトコルを備える前記第1の端末および前記第2の端末とを備えることを特徴とする通信システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007130238A JP4892404B2 (ja) | 2007-05-16 | 2007-05-16 | 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007130238A JP4892404B2 (ja) | 2007-05-16 | 2007-05-16 | 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008288757A JP2008288757A (ja) | 2008-11-27 |
JP4892404B2 true JP4892404B2 (ja) | 2012-03-07 |
Family
ID=40148097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007130238A Expired - Fee Related JP4892404B2 (ja) | 2007-05-16 | 2007-05-16 | 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4892404B2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5691396B2 (ja) * | 2009-12-25 | 2015-04-01 | 株式会社リコー | 伝送端末、伝送端末用プログラム、プログラム提供システム、及びメンテナンスシステム |
US8873746B2 (en) | 2010-01-28 | 2014-10-28 | Intel Corporation | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes |
JP2011193055A (ja) * | 2010-03-11 | 2011-09-29 | Fujitsu Ltd | 通信装置および通信方法 |
JP5598302B2 (ja) * | 2010-12-13 | 2014-10-01 | 富士通株式会社 | 通過制御装置、通過制御方法、及び通過制御プログラム |
US20140149572A1 (en) * | 2012-11-28 | 2014-05-29 | Microsoft Corporation | Monitoring and diagnostics in computer networks |
JP6553376B2 (ja) * | 2015-03-12 | 2019-07-31 | Necプラットフォームズ株式会社 | セキュリティシステム |
CN110445882A (zh) * | 2019-09-19 | 2019-11-12 | 腾讯科技(深圳)有限公司 | 通信连接方法、装置、计算机设备及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS63104540A (ja) * | 1986-10-21 | 1988-05-10 | Nec Corp | パケツト交換網の中継方式 |
JP4047303B2 (ja) * | 2004-06-04 | 2008-02-13 | キヤノン株式会社 | 提供装置、提供プログラム、及び、提供方法 |
JP4887682B2 (ja) * | 2005-08-05 | 2012-02-29 | 日本電気株式会社 | 通信システム、鍵管理・配信サーバ、端末装置及びそれらに用いるデータ通信方法並びにそのプログラム |
-
2007
- 2007-05-16 JP JP2007130238A patent/JP4892404B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008288757A (ja) | 2008-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4710267B2 (ja) | ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置 | |
US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
JP4892404B2 (ja) | 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム | |
US7660980B2 (en) | Establishing secure TCP/IP communications using embedded IDs | |
JP5175400B2 (ja) | アプリケーションおよびサービスにネットワーク通信アソシエーション情報を提供するための方法および装置 | |
US20070022475A1 (en) | Transmission of packet data over a network with a security protocol | |
Zamfir et al. | A security analysis on standard IoT protocols | |
US20050108531A1 (en) | Method of negotiating security parameters and authenticating users interconnected to a network | |
Petullo et al. | MinimaLT: minimal-latency networking through better security | |
US11671413B2 (en) | Caching content securely within an edge environment, with pre-positioning | |
JP4764368B2 (ja) | 通信を確立してメッセージを中継する装置、通信を確立する方法およびプログラム | |
JP5270692B2 (ja) | セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム | |
CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
CN106487802B (zh) | 基于DPD协议的IPSec SA的异常探测方法及装置 | |
US11659033B2 (en) | Caching content securely within an edge environment | |
JP2007142656A (ja) | 計算機システム及び計算機 | |
JP2016038881A (ja) | 通信システム、方法及びプログラム | |
JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
JP4933286B2 (ja) | 暗号化パケット通信システム | |
JP2006041726A (ja) | 共有鍵交換システム、共有鍵交換方法及び方法プログラム | |
Hohendorf et al. | Secure End-to-End Transport Over SCTP. | |
JP2010081108A (ja) | 通信中継装置、情報処理装置、プログラム、及び通信システム | |
US20230379150A1 (en) | Methods and apparatuses for providing communication between a server and a client device via a proxy node | |
JP2012160941A (ja) | 情報処理装置、情報処理方法及びプログラム | |
EP4199417A1 (en) | Remote access with man-in-the-middle attack-prevention |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090715 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110810 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111213 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111219 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141222 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |