JP4892404B2 - 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム - Google Patents

暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム Download PDF

Info

Publication number
JP4892404B2
JP4892404B2 JP2007130238A JP2007130238A JP4892404B2 JP 4892404 B2 JP4892404 B2 JP 4892404B2 JP 2007130238 A JP2007130238 A JP 2007130238A JP 2007130238 A JP2007130238 A JP 2007130238A JP 4892404 B2 JP4892404 B2 JP 4892404B2
Authority
JP
Japan
Prior art keywords
terminal
information
relay device
address
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007130238A
Other languages
English (en)
Other versions
JP2008288757A (ja
Inventor
藤嗣彦 田村
恭之 市川
寿一 別所
康志 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007130238A priority Critical patent/JP4892404B2/ja
Publication of JP2008288757A publication Critical patent/JP2008288757A/ja
Application granted granted Critical
Publication of JP4892404B2 publication Critical patent/JP4892404B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、IP(Internet Protocol)網を利用したEnd-to-Endの暗号化通信技術に関する。特にIP網内の装置において、暗号化パケットをいったん復号化することにより、暗号化パケットの内容を確認し、ウィルスやワーム等の削除を可能とするセキュア通信技術に関する。
ブロードバンドサービスの普及と盗聴等のセキュリティ問題の深刻化に伴い、End-to-Endでのセキュア通信を実現するため、IPsec(IP Security)を用いたサービスが提供されている。ここで、IPsecにおける端末間通信の通信性能を向上させるために、セッション制御を利用した動的な鍵交換方式を用いたEnd-to-End暗号化通信方法がある(特許文献1参照)。また、セッション制御が終了した後に、鍵交換プロトコルであるIKE(Internet Key Exchange)を利用することにより、端末間での暗号鍵を動的に生成し、End-to-End暗号化通信を実現する技術がある(非特許文献1,2参照)。
このような暗号化通信を含むブロードバンドサービスが提供される一方で、ウィルスやワーム等の被害も増加している。そこで、ISP(Internet Services Provider)等のネットワーク事業者が、ネットワーク内でウィルスの検出等、セキュリティチェックを行うためには、このネットワーク内の中継装置において、パケットを取り出し、その中身を確認する必要がある。
特開2004−248169号公報 IETF、"The Internet Key Exchange (IKE)"、RFC2409、[online]、[平成19年4月17日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc2409.txt> IETF、"Internet Key Exchange (IKEv2) Protocol"、RFC4306、[online]、[平成19年4月17日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc4306.txt>
このようなEnd-to-End暗号化通信において、ネットワーク内の中継装置がセキュリティチェックを行うためには、端末から送信されたパケットを復号する必要がある。しかし、End-to-End暗号化通信の端末同士でIKEにより動的に暗号鍵を生成すると、中継装置はこの暗号鍵を知ることはできない。したがって、End-to-End暗号化通信において、中継装置は中継するパケットを復号できず、パケットのセキュリティチェックを行うことができないという問題があった。
そこで、本発明は、前記した問題を解決し、End-to-End暗号化通信において、ネットワーク内の中継装置がセキュリティチェックを行うことを目的とする。
前記した課題を解決するため、請求項1に記載の発明は、第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する暗号化パケット転送方法であって、前記中継装置が、前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信し、IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶し、前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを示した通信セッション情報を作成し、前記記憶部に記憶し、前記第1の端末から、暗号化パケットを受信したとき、前記受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索し、この検索したSAに関する情報を用いて、前記暗号化パケットを復号し、前記復号したパケットに対しセキュリティチェックを実行し、前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、前記復号したパケットの宛先アドレスを、前記検索した第2の端末のアドレスに書き換え、前記検索したSPI値をキーとして、前記記憶部から、前記第2の端末との間のSAに関する情報を検索し、この検索したSAに関する情報を用いて、前記復号したパケットを暗号化し、前記暗号化したパケットを、前記第2の端末へ送信することを特徴とする。
このような方法によれば、第1の端末と第2の端末との間のEnd-to-End暗号化通信を行うとき、第1の端末と中継装置、第2の端末と中継装置それぞれの間でIKEによりIPsecSAを確立し、セキュリティパスを確立する。そして、中継装置は、第1の端末との間で交換したSAに関する情報を用いて暗号化パケットを復号できるので、このパケットのセキュリティチェックをした上で、第2の端末へ転送することができる。
請求項2に記載の発明は、請求項1に記載の暗号化パケット転送方法において、前記セッション制御サーバが、前記第1の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、この受信したセッション制御情報における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第2の端末へ送信し、この第2の端末から、前記受信したセッション制御情報の応答を受信したとき、前記受信したセッション制御情報の応答における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第1の端末へ送信し、前記第1の端末および前記第2の端末はそれぞれ、前記IKEにより、前記セッション制御情報または前記セッション制御情報の応答に示されるアドレスの中継装置との間で、前記SAに関する情報を交換して、IPsecSAを確立することを特徴とする。
このような方法によれば、セッション制御サーバが、第1の端末および第2の端末に対し、中継装置のアドレスを通知するので、第1の端末および第2の端末がEnd-to-End暗号化通信をするとき、どの中継装置との間でIPsecSAを確立すればよいかを知ることができる。
請求項3に記載の発明は、請求項2に記載の暗号化パケット転送方法において、前記通信システムは、前記中継装置を複数含んで構成され、前記セッション制御サーバは、前記第1の端末のアドレスのドメインごとに、当該ドメインを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した中継装置アドレス情報を記憶部に記憶し、前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、前記受信したセッション制御情報に含まれる前記第1の端末のアドレスのドメイン名をキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択し、前記選択した中継装置宛に、前記中継装置制御情報を送信することを特徴とする。
このような方法によれば、セッション制御サーバが、複数の中継装置から暗号化パケットを中継する中継装置を選択するとき、第1の端末のアドレスのドメインをもとに中継装置を選択することができる。従って、セッション制御サーバは、例えば、第1の端末の属するネットワークに近い中継装置を選択することができる。なお、第1の端末のアドレスは、例えば、SIP−URI(Session Initiation Protocol- Uniform Resource Identifier)を用い、アドレスのドメイン名とは、例えばSIP−UR「xxx@aaa.co.jp」というアドレスでいうと、「aaa.co.jp」の部分をいう。
請求項4に記載の発明は、請求項3に記載の暗号化パケット転送方法において、前記中継装置アドレス情報は、前記第1の端末のIP(Internet Protocol)アドレスごとに、当該IPアドレスを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した情報であり、前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、このセッション制御情報の送信元である前記第1の端末のIPアドレスをキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択することを特徴とする。
このような方法によれば、セッション制御サーバが、複数の中継装置から暗号化パケットを中継する中継装置を選択するとき、第1の端末のIPアドレスをもとに中継装置を選択することができる。従って、セッション制御サーバは、例えば、第1の端末のIPアドレスにおけるネットワークアドレスを参照して、第1の端末の属するネットワークに近い中継装置を選択することができる。
請求項5に記載の発明は、請求項2に記載の暗号化パケット転送方法において、前記通信システムは、複数の前記中継装置およびこの複数の中継装置それぞれの処理負荷状況を監視する負荷監視サーバを含んで構成され、前記セッション制御サーバが、前記第1の端末および前記第2の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、前記負荷監視サーバから、前記複数の中継装置それぞれの処理負荷情報を受信し、前記受信した処理負荷情報において最も処理負荷の小さい中継装置を、前記第1の端末から送信された暗号化パケットを転送する中継装置として選択することを特徴とする。
このような方法によれば、セッション制御サーバが、暗号化パケットを中継する中継装置を選択するとき、最も処理負荷の小さい中継装置を選択するので、End-to-End暗号化通信における通信速度の低下を防ぐことができる。
請求項6に記載の発明は、請求項2ないし請求項5のいずれか1項に記載の暗号化パケット転送方法において、前記セッション制御サーバが、前記第1の端末および前記第2の端末へ、当該第1の端末と第2の端末それぞれにおける暗号化パケットの送受信に用いる暗号鍵を配布し、前記第1の端末および前記第2の端末は、前記配布された暗号鍵を用いて、前記セッション制御情報に示される中継装置との間でセキュリティパスを確立することを特徴とする。
このような方法によれば、セッション制御サーバが暗号鍵を配布し、この配布された暗号鍵を用いて、第1の端末、第2の端末、中継装置において、IKEによる鍵交換を行わなくてもIPsecSAを確立することができる。
請求項7に記載の発明は、請求項1ないし請求項6のいずれか1項に記載の暗号化パケット転送方法において、前記中継装置が、外部の装置から前記セキュリティチェックを実行するか否かの指示入力を受け付け、前記セキュリティチェックを実行する指示入力を受け付けたとき、前記セキュリティチェックを実行することを特徴とする。
このような方法によれば、第1の端末と第2の端末との間のEnd-to-End暗号化通信を行うとき、当該中継装置においてパケットのセキュリティチェックをするか否かをオペレータ等が設定することができる。
請求項8に記載の発明は、第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する中継装置であって、前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信する入出力部と、IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶するSA処理部と、前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを対応付けた通信セッション情報を作成し、前記記憶部に記憶する通信セッション情報処理部と、前記第1の端末から受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索するポリシ管理部と、前記検索されたSAに関する情報を用いて前記暗号化パケットを復号する復号部と、前記復号したパケットに対し、セキュリティチェックを実行するセキュリティ処理部と、前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、前記復号したパケットの宛先アドレスを、前記検索した前記第2の端末のアドレスに書き換えるIPアドレス変換部と、前記検索されたSPI値をキーとして、前記ポリシ管理部により前記記憶部から検索された前記第2の端末との間のSAに関する情報を用いて、前記セキュリティチェックを実行したパケットを暗号化し、前記暗号化したパケットを、前記第2の端末へ送信する暗号化部とを備えることを特徴とする。
このような中継装置によれば、第1の端末と第2の端末との間のEnd-to-End暗号化通信を行うとき、第1の端末と中継装置、第2の端末と中継装置それぞれの間でIKEによりIPsecSAを確立し、セキュリティパスを確立する。従って、中継装置は、第1の端末との間で交換したSAに関する情報を用いて暗号化パケットを復号できるので、このパケットのセキュリティチェックをした上で、第2の端末へ転送することができる。
請求項9に記載の発明は、コンピュータを、請求項8に記載の中継装置として機能させることを特徴とするプログラムである。
このようなプログラムによれば、コンピュータを請求項8に記載の中継装置として機能させることができる。
請求項10に記載の発明は、請求項8に記載の中継装置と、前記第1の端末と前記第2の端末とのセッション制御を行い、前記セッション制御情報を前記中継装置へ送信するセッション制御サーバと、前記セッション制御サーバとのセッション制御プロトコルおよび前記中継装置とのIKEを行うためのIKEプロトコルを備える前記第1の端末および前記第2の端末とを備えることを特徴とする通信システムとした。
このような通信システムによれば、第1の端末と第2の端末との間のEnd-to-End暗号化通信を行うとき、第1の端末と中継装置、第2の端末と中継装置それぞれの間でIKEによりIPsecSAを確立し、セキュリティパスを確立する。そして、中継装置は、第1の端末との間で交換したSAに関する情報を用いて暗号化パケットを復号できるので、このパケットのセキュリティチェックをした上で、第2の端末へ転送することができる。
本発明によれば、End-to-End暗号化通信において、ネットワークの中継装置がパケットのセキュリティチェックを行うことができる。従って、IPネットワークにおいて通信内容の機密性と安全性との両方を向上させることができる。
以下、本発明を実施するための最良の形態(以下、実施の形態という)を、第1の実施の形態から第4の実施の形態に分けて説明する。
≪第1の実施の形態≫
図1は、本発明の第1の実施の形態の通信システムの構成例を示す図である。
図1に示すように、第1の実施の形態の通信システムは、セッションの発側端末(第1の端末)1(1A)と、このセッションの着側端末(第2の端末)1(1B)と、この発側端末1Aと着側端末1Bとの間のセッション制御を行うSIP(Session Initiation Protocol)サーバ3と、発側端末1Aと着側端末1Bとの間で送受信されるパケットを転送する中継装置4とを含んで構成される。このSIPサーバ3および中継装置4は、例えば、IP網内に設置される装置である。
この発側端末1Aおよび着側端末1Bは、SIP等、IP網を介した各種データの送受信のためのセッション制御プロトコルを備えるコンピュータである。また、この発側端末1Aおよび着側端末1Bは、自動鍵交換プロトコルであるIKEを備え、このIKEにより他の端末(例えば、中継装置4)との間でセキュリティアソシエーション(SA)を行い、IPsec等のセキュリティパスを確立する。そして、発側端末1Aおよび着側端末1Bは、このセキュリティパスにより暗号化通信を行う。
SIPサーバ(セッション制御サーバ)3は、この発側端末1Aと着側端末1Bとの間のセッション制御を行うコンピュータである。このSIPサーバ3は、発側端末1Aから、着側端末1Bとのセッション制御の開始要求を受け付けると、セッション制御の開始要求を着側端末1Bに転送する。このときあわせて、両端末間のパケット転送を行う中継装置4のアドレスも通知する。そして、SIPサーバ3は、着側端末1Bからセッション制御OKの応答を受信すると、この発側端末1Aおよび着側端末1Bのアドレス(IPアドレス)を中継装置4へ通知する。また、SIPサーバ3は、発側端末1Aへ中継装置4のアドレスを通知する。この後、発側端末1Aおよび着側端末1Bはこの通知されたアドレスの中継装置4との間でIKEを実行し、セキュリティパスを確立する。そして、発側端末1Aおよび着側端末1Bは、この中継装置4との間で確立したセキュリティパスを用いてEnd-to-End暗号化通信を行う。つまり、中継装置4は発側端末1Aおよび着側端末1Bそれぞれとの間でセキュリティパスを確立することになるので、発側端末1Aから受信した暗号化パケットをいったん復号し、この復号したパケットに対しセキュリティチェック等を行った後、暗号化して着側端末1Bへ転送することができる。なお、前記した通信システムにおいて、発側端末1A、着側端末1Bはそれぞれ複数台であってもよい。
<SIPサーバ>
次に、図2(a)を用いて、SIPサーバ3の構成を詳細に説明する。図2(a)は、各実施の形態におけるSIPサーバの構成を示す図である。なお、SIPサーバ3A,3B,3Cについては、第2の実施の形態以降で説明する。
SIPサーバ3は、入出力部31と、通信処理部32と、記憶部33とを含んで構成される。
入出力部31は、セッション制御パケット、中継装置制御パケット、中継装置アドレス情報331(後記)の設定情報等、各種データの入出力を司るインタフェースである。
通信処理部32は、外部の装置との通信処理を実行する。この通信処理部32は、発側端末1Aや着側端末1Bとの間で制御パケットの送受信を行うセッション制御処理部320、中継装置4を制御する中継装置制御部321とを備える。なお、破線で示した負荷状況取得部322は、第4の実施の形態で説明する。
セッション制御処理部320は、発側端末1Aおよび着側端末1Bとの間のセッション制御を行う。具体的には、発側端末1Aからセッション制御開始要求であるINVITE要求パケットを受信すると、このINVITE要求パケットを着側端末1Bへ転送する。このとき、セッション制御処理部320は、記憶部33の中継装置アドレス情報331(後記)に記録される中継装置4のIPアドレスを通知する。これにより着側端末1BはEnd-to-End暗号化通信においてパケットを転送する中継装置4のアドレスを知ることができる。つまり、発側端末1AとのEnd-to-End暗号化通信において、どの中継装置4との間でIPsecSAを確立し、セキュリティパスを確立すればよいかを知ることができる。
なお、発側端末1AからのINVITE要求パケットには、セキュア通信要求の有無を示すフラグ(つまり、暗号化が必要か否かを示す情報)、発側端末1AのSIPアドレス(SIP−URI)、着側端末1BのSIP−URI、発側端末1AのIPアドレス、Call-ID等を含む。Call-ID(呼識別情報)は、着側端末1Bとの通信のシグナリングセッション識別情報であり、当該発側端末1Aが発行する。
また、セッション制御処理部320は、着側端末1Bから、このINVITE要求パケットの応答を受信すると、発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびこの発側端末1Aから受信したCall-IDとを対応付けたセッション制御情報332(後記)に記録しておく。
中継装置制御部321は、記憶部33のセッション制御情報332に示されるEnd-to-End暗号化通信の両端となる端末(発側端末1Aおよび着側端末1B)のIPアドレスと、Call-IDとを含む中継装置制御パケットを中継装置4へ送信する。つまり、中継装置制御部321は、中継装置4にこの発側端末1Aと着側端末1Bとの間でIPsecSAを確立し、セキュリティパスを確立するよう指示する。
記憶部33は、中継装置4のIPアドレスを示した中継装置アドレス情報331と、前記したセッション制御情報332とを備える。なお、セッション制御情報332は、ここでは図示を省略するが発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびこの発側端末1Aから受信したCall-IDを対応付けて記録した情報である。また、この中継装置アドレス情報331は、入出力部31経由でオペレータ等が書き換え可能である。このようにすることで、オペレータが所望する中継装置4を、発側端末1Aと着側端末1Bとの間で中継する中継装置4に設定可能である。なお、中継装置アドレス情報331A,331Bは、第2の実施の形態および第3の実施の形態で説明する。また、破線で示した負荷状況情報333は、第4の実施の形態で説明する。
入出力部31は、外部装置とのデータ入出力を行う入出力インタフェースから構成される。また、通信処理部32は、このSIPサーバ3が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。記憶部33は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体により構成される。また、通信処理部32の機能をプログラム実行処理により実現する場合、記憶部33には、この通信処理部32の機能を実現するためのプログラムが格納される。
<発側端末および着側端末>
次に、図2(b)を用いて、発側端末1Aおよび着側端末1Bの構成を説明する。図2(b)は、各実施の形態における発側端末および着側端末の構成を示す図である。この発側端末1Aおよび着側端末1Bは同じ構成であるので、以下、まとめて端末1として説明する。端末1は、入出力部11と、通信処理部12と、記憶部13とを含んで構成される。
入出力部11は、SIPサーバ3との間で送受信するセッション制御パケット、IPsecSAに関する情報、暗号化パケット等、各種データの入出力を司るインタフェースである。
通信処理部12は、外部の装置との通信処理を実行する。この通信処理部12は、SIP等のセッション制御プロトコル、IKE等の自動鍵交換プロトコルを備え、例えば、SIPサーバ3へセッション制御パケットの送受信をしたり、IKEにより中継装置4との間でIPsecSAを確立して、暗号化通信を行ったりする。
このような通信処理部12は、セッション制御処理部120と、SA処理部121、ポリシ管理部122と、暗号化部123と、復号部124とを含んで構成される。
セッション制御処理部120は、SIPサーバ3との間でセッション制御パケットの送受信を行う。具体的には、発側端末1Aとなる端末1は、着側端末1Bとの間で通信を行うとき、この着側端末1Bとの間の通信の識別情報であるCall-IDを発行する。そして、SIPサーバ3へ、セキュア通信要求の有無を示すフラグ、発側端末1AのSIP−URI、着側端末1BのSIP−URI、発側端末1AのIPアドレス、前記発行したCall-ID等を含むINVITE要求パケットを送信する。この後、SIPサーバ3から、この送信したINVITE要求パケットに対する応答を受信すると、この応答に含まれる中継装置4のアドレス、Call-ID等の情報を記憶部13のセッション制御情報131として記録する。なお、このセッション制御処理部120は、前記したSIP−URIの名前解決を行い、このSIP−URIに対応するIPアドレスを特定する機能を有するものとする。
SA処理部121は、SIPサーバ3から通知された中継装置4に対して、IKEによりIPsecSAの折衝を行い、このときの折衝結果を当該SAに関する情報としてSAD132(後記)に登録する。
ポリシ管理部122は、この通信パケットの属性を示すヘッダ情報を参照して、前記したSPD133からこの通信パケットのセキュリティポリシを検索し、この通信パケットに対するセキュリティポリシを決定する。また、ポリシ管理部122は、SAD132から、この通信データのSAに関する情報を検索する。そして、この検索結果(セキュリティポリシおよびSA)に基づいて、通信データの処理内容を決定する。この後、通信パケットに暗号化が必要ならば、その旨と暗号化に用いるSAに関する情報とを暗号化部123へ出力する。また、復号が必要ならばその旨と復号に用いるSAに関する情報とを復号部124へ出力する。
暗号化部123は、ポリシ管理部122により決定された処理内容(SAに関する情報)を用いて、パケットを暗号化する。
復号部124は、ポリシ管理部122により決定された処理内容(SAに関する情報)を用いて、パケットを復号する。
記憶部13は、セッション制御情報131と、SAD132と、SPD133とを備える。
セッション制御情報131は、通信相手である端末1のアドレスや、Call-ID、その端末1とのEnd-to-End暗号化通信を行うときに中継する中継装置4のIPアドレス等を示した情報である。
SAD132は、この端末1が確立したIPsecSAに関する情報(SAに関する情報)を記憶する。このSAに関する情報は、通信パケットの終点IPアドレス(宛先IPアドレス)、IPsecプロトコルの種類、各SAのパラメータを識別するための値であるSPI、暗号化アルゴリズム、暗号化鍵に関する情報のほか、様々な情報が記述される。このSAD132は、中継装置4のSAD432と同様なので、中継装置4の説明の項で詳細に述べる。
SPD133は、暗号化を行う/行わないといった通信パケットのセキュリティポリシを記憶する。また、このセキュリティポリシは、暗号化部123がパケットを暗号化するときのカプセル化モード、暗号化アルゴリズムや認証アルゴリズムに関する情報も含んでいる。このセキュリティポリシに関する情報の具体例は、図6を用いて後記する。このSPD133も、中継装置4のSPD433と同様なので、中継装置4の説明の項で詳細に述べる。
入出力部11は、外部装置とのデータ入出力を行う入出力インタフェースから構成される。また、通信処理部12は、この端末1が備えるCPUによるプログラム実行処理や、専用回路等により実現される。記憶部13は、RAM、ROM、HDD、フラッシュメモリ等の記憶媒体により構成される。また、通信処理部12の機能をプログラム実行処理により実現する場合、記憶部13には、この通信処理部12の機能を実現するためのプログラムが格納される。
<中継装置>
次に、図3を用いて、中継装置4の構成を説明する。図3は、各実施の形態における中継装置の構成を示す図である。なお、中継装置4A,4B,4Cについては、第2の実施の形態以降で説明する。
中継装置4は、入出力部41と、通信処理部42と、記憶部43とを含んで構成される。
入出力部41は、セッション制御パケットや、IKEにより交換される情報、暗号化パケットの入出力を司るインタフェースである。
通信処理部42は、SIPサーバ3、発側端末1A、着側端末1B等、外部の装置との通信処理を実行する。この通信処理部42は、SIPサーバ3から中継装置制御パケットを受信すると、発側端末1Aおよび着側端末1Bとの間でIPsecSAを確立し、暗号化通信を行う。
このような通信処理部42は、通信セッション情報処理部420と、SA処理部421と、ポリシ管理部422と、暗号化部423と、復号部424と、IPアドレス変換部425と、セキュリティ処理部426とを含んで構成される。
通信セッション情報処理部420は、SIPサーバ3から中継装置制御パケットを受信すると、この情報を通信セッション情報431として記憶部43に記憶する。そして、SA処理部421に対して、この通信セッション情報431に示される発側端末1Aおよび着側端末1Bとの間でセキュリティパス確立のためのSA折衝を行うように指示する。あるいは、SA処理部421に対して、発側端末1Aまたは着側端末1B側からのSA折衝に応じるように指示する。また、通信セッション情報処理部420は、SA処理部421が発側端末1Aおよび着側端末1BとのSA折衝を完了すると、このSA折衝結果に示されるSPIを、通信セッション情報431に記録する。この通信セッション情報431の詳細は図を用いて後記する。
SA処理部421は、通信セッション情報処理部420からの指示に基づき、発側端末1Aおよび着側端末1Bとの間でIKEを用いたSA折衝を行う。ここでのSA折衝は、中継装置制御パケットに示されるCall-IDを用いたIKEの実行処理により行われる。ここで、SA処理部421において発側端末1Aや着側端末1Bとの間でSA折衝が完了すると、このSA折衝結果をSAD432(後記)に登録する。
ポリシ管理部422は、通信パケットの属性を示すヘッダ情報を参照して、SPD433(後記)からこの通信パケットのセキュリティポリシを検索し、セキュリティポリシを決定する。また、ポリシ管理部422は、SAD432から、この通信データのSAに関する情報を検索する。そして、この検索結果(セキュリティポリシおよびSAに関する情報)に基づいて、通信データの処理内容を決定する。この後、通信パケットに暗号化が必要ならば、その旨と当該暗号化に用いるSAに関する情報とを暗号化部423へ出力する。また、復号が必要ならばその旨と当該復号に用いるSAに関する情報とを復号部424へ出力する。
暗号化部423は、ポリシ管理部122により決定された処理内容(SAに関する情報)を用いて、パケットを暗号化する。
復号部424は、ポリシ管理部122により決定された処理内容(SAに関する情報)を用いて、パケットを復号する。
IPアドレス変換部425は、発側端末1Aから送信された暗号化パケットの宛先アドレスを、End-to-End暗号化通信における他端となる端末1(着側端末1B)のアドレスに変換する。つまり、通信処理部42は、発側端末1Aから暗号化パケットを受信すると、このパケットのアドレスを中継装置4のアドレスから着側端末1Bのアドレスに付けかえる。具体的には、復号部424がこの暗号化パケットを復号すると、IPアドレス変換部425が、この発側端末1AのIPアドレスとこの暗号化パケットのSPIとの組み合わせをキーとして、通信セッション情報431から、このパケットが到達すべき着側端末1BのIPアドレスを検索する。次に、IPアドレス変換部425は、復号したパケットの宛先を中継装置4のアドレスから前記検索した着側端末1BのIPアドレスに変換する。そして、このIPアドレス変換後のパケットを暗号化部423で暗号化して、着側端末1Bへ送信する。
セキュリティ処理部426は、発側端末1Aから送信された暗号化パケットを復号部424でいったん復号した後、このパケットに対しセキュリティチェック(ウィルスやワーム等の検出や削除)を行う。なお、このセキュリティ処理部426は、中継装置4の外部に設けるようにしてもよい。すなわち、通信処理部42は、復号したパケットを外部のセキュリティチェック装置でセキュリティチェックを行い、このチェック後のパケットを暗号化した着側端末1Bへ送信するようにしてもよい。さらに、ネットワークの管理者等が、このセキュリティ処理部426によるセキュリティチェックの実行の要否の指示入力を、入出力部41経由で設定し、このセキュリティ処理部426においてこのセキュリティチェックを実行する指示入力を受け付けたとき、セキュリティチェックを行うようにしてもよい。
記憶部43は、前記した通信セッション情報431と、SAD432と、SPD433とを備える。
図4は、各実施の形態における通信セッション情報の例を示す図である。通信セッション情報431は、図4に示すように、通信セッション番号ごとに、このセッションのCall-IDと、このCall-IDに対応する発側端末1Aのアドレスおよび着側端末1Bのアドレスと、この発側端末1Aと中継装置4と間のSAに関するSPIと、中継装置4と着側端末1Bとの間のSAに関するSPIとを示した情報である。
例えば、図4における通信セッション番号「1」は、Call-ID「100」のセッションに関する情報であり、発側端末1AのIPアドレス「x」であり、着側端末1BのIPアドレスは「y」であり、発側端末1Aと中継装置4と間のSAに関するSPIは「1000」であり、中継装置4と着側端末1Bとの間のSAに関するSPIは「2000」であることを示す。
中継装置4がこのような通信セッション情報431を備えることで、中継装置4が発側端末1Aから暗号化パケットを受信したとき、この暗号化パケットのアドレスをどのアドレスに変換すればよいかを知ることができる。つまり、発側端末1Aと着側端末1Bとの間の暗号化通信において、中継装置4が発側端末1Aから受信するパケットの宛先アドレスは中継装置4のアドレスである。ここで、中継装置4が通信セッション情報431を参照することで、この発側端末1Aから受信した暗号化パケットのSPI(例えば「1000」)および発側端末1Aのアドレス(例えば「x」)との組み合わせから、当該パケットの転送先である着側端末1Bのアドレス(例えば「y」)を知ることができる。
SAD432は、SA処理部421によるSA折衝結果(SAに関する情報)を記憶する。このSAに関する情報は、発側端末1A(IPアドレス「x」)と中継装置4、中継装置4と着側端末1B(IPアドレス「y」)それぞれのSAに関する情報を含む。図5は、各実施の形態におけるSADの例を示す図である。SAに関する情報は、図5に例示するように、SAD432において通信パケットの終点IPアドレス(IPアドレス)、IPsecプロトコルの種類、各SAを識別するための値であるSPI、暗号化アルゴリズム、暗号化鍵に関する情報等が記録される。なお、図示を省略しているが、このSAD432は、中継装置4が出力する通信パケットに関するSAを記憶した出力用SADと、中継装置4が受信する通信パケットのSAを記憶した入力用SADとの2種類のSADで構成される。
SPD433は、パケットの暗号化を行う(IPsecを適用する)/行わない(IPsecを適用しない)といった通信パケットのセキュリティポリシを記憶する。図6は、各実施の形態におけるSPDの例を示す図である。このセキュリティポリシは、図6に示すように、各処理内容を適用する優先順位と、処理対象である通信データパケットの始点のIPアドレス(発側端末1A)と、終点のIPアドレス(着側端末1B)と、プロトコルと、宛先ポートと、これらの項目(セレクタ)に該当する通信パケットに適用する処理内容に関する情報とを含んで構成される。この処理内容に関する情報は、暗号化部423がIPsecを適用する場合のカプセル化モード、暗号化アルゴリズムや認証アルゴリズムに関する情報も含んでいる。図6に示すSPD433において、発側端末1Aと、着側端末1Bとの間で「apply IPsec(IPsecを適用する)」が選択されていることを示す。また、図示を省略しているが、このSPD433も、中継装置4が出力する通信パケットに関するセキュリティポリシを記憶した出力用SPDと、中継装置4が受信する通信パケットのSAを記憶した入力用SPDとの2種類のSPDで構成される。
入出力部41は、外部装置とのデータ入出力を行う入出力インタフェースから構成される。また、通信処理部42は、この端末1が備えるCPUによるプログラム実行処理や、専用回路等により実現される。記憶部43は、RAM、ROM、HDD、フラッシュメモリ等の記憶媒体により構成される。また、通信処理部42の機能をプログラム実行処理により実現する場合、記憶部43には、この通信処理部42の機能を実現するためのプログラムが格納される。
<動作手順>
次に、図7を用いて、図1の通信システムの動作手順を説明する(適宜、図2〜図6参照)。図7は、図1の通信システムの動作手順を示す図である。
まず、発側端末1Aのセッション制御処理部120(図2(b)参照)は、セッション制御の開始を示すINVITE要求パケット(セッション制御情報)に、セキュア通信要求を示すフラグ、発側端末1AのSIP−URI、着側端末1BのSIP−URI、発側端末1AのIPアドレス、Call-ID等を含めてSIPサーバ3へ、送信する(S81)。
次に、SIPサーバ3のセッション制御処理部320は、INVITE要求パケットを着側端末1Bへ転送する(S82)。このとき、セッション制御処理部320は、発側端末1Aから受信したINVITE要求パケットにセキュア通信要求を示すフラグが付されているのを確認すると、このパケット含まれる送信元アドレス(発側端末1AのIPアドレス)を、中継装置4のIPアドレスに書き換えて、転送する。このようにすることで、SIPサーバ3は着側端末1Bに発側端末1Aとの通信においてセキュリティパスを確立すべき中継装置4を通知することができる。なお、セキュア通信要求が無しの場合は、SIPサーバ3は発側端末1AのIPアドレスはそのままにしてINVITE要求パケットを着側端末1Bへ送信する。
着側端末1Bのセッション制御処理部120はSIPサーバ3からINVITE要求パケットを受信すると、このパケットに含まれるCall-IDと、中継装置4のIPアドレスをセッション制御情報131に記録する(S83)。
そして、着側端末1Bのセッション制御処理部120は、INVITE要求パケットの応答である200OKパケットに、セキュア通信要求を示すフラグ、着側端末1BのSIP−URI、発側端末1AのSIP−URI、着側端末1BのIPアドレス、Call-ID等の情報を含めてSIPサーバ3へ送信する(S84)。
SIPサーバ3のセッション制御処理部320は、着側端末1Bから送信されたパケットを確認し、セキュア通信要求を示すフラグがあった場合、中継装置制御部321により、発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびCall-IDを含む中継装置制御要求(中継装置制御パケット)を中継装置4へ送信する(S85)。これにより中継装置4は、End-to-End暗号化通信の発側端末1Aおよび着側端末1BのIPアドレスと、そのCall-IDを知ることができる。なお、S82において、SIPサーバ3のセッション制御処理部320は、着側端末1Bから送信されたパケットを確認し、セキュア通信要求を示すフラグがなかった場合、着側端末1BのIPアドレスはそのままにして、200OKパケットを発側端末1Aへ送信する。
中継装置4の通信セッション情報処理部420(図3参照)は、中継装置制御要求に含まれる発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびCall-IDを通信セッション情報433(図4参照)に登録する。つまり、End-to-End通信のセッション生成を行う(S86)。そして、通信セッション情報処理部420は、SIPサーバ3へ中継装置制御応答を送信する(S87)。つまり、発側端末1AのIPアドレス、着側端末1BのIPアドレスおよびCall-IDを含む中継装置制御要求を確かに受信したことを中継装置4へ通知する。
SIPサーバ3は、中継装置4から中継装置制御応答を受信すると、S84で受信した200OKパケットに含まれる送信元アドレス(着側端末1BのIPアドレス)を、中継装置4のIPアドレスに書き換えて発側端末1Aへ送信する(S88)。このようにすることで、SIPサーバ3は発側端末1Aに対し、着側端末1Bとの通信においてセキュリティパスを確立すべき中継装置4を通知することができる。
発側端末1Aのセッション制御処理部120は200OKパケットを受信すると、このパケットに含まれるCall-IDと、中継装置4のIPアドレスとをセッション制御情報131に記録する(S89)。
このようにして発側端末1A、中継装置4および着側端末1B、それぞれにおいて、発側端末1Aと中継装置4、中継装置4と着側端末1Bそれぞれの間で暗号化通信を行う準備が整う。
この後、SIPサーバ3が発側端末1AからSIPのACKパケットを受信すると(S90)、SIPサーバ3のセッション制御処理部320はこのACKパケットを着側端末1Bへ転送する(S91)。そして、着側端末1BのSA処理部121はACKパケットを受信すると中継装置4との間でCall-IDを含めたIKEによりSA折衝を行い、IPsecSAを確立する(S92)。また、発側端末1AのSA処理部121は、このACKパケットの送信を契機として、Call-IDを含めたIKEにより、中継装置4との間でSA折衝を行い、IPsecSAを確立する(S93)。つまり、発側端末1Aと中継装置4、中継装置4と着側端末1Bそれぞれの間でセキュリティパスを確立する。
なお、ここでの折衝結果は、SAに関する情報として、着側端末1BのSAD132、中継装置4のSAD432および発側端末1AのSAD132に記録される。また、中継装置4の通信セッション情報処理部40は、S92,S93で確立された発側端末1Aおよび着側端末1BにおけるIPsecSAのSPIを、通信セッション情報431に記録する。例えば、中継装置4がCall-ID「100」を含めたIKEにより、発側端末1A(IPアドレス「x」)とSAを確立したとき、通信セッション情報処理部420は、通信セッション情報431(図4参照)におけるCall-ID「100」、IPアドレス「x」が登録されているレコードに対して、この発側端末1AとのSAに関するSPIを登録する。また、中継装置4がCall-ID「100」を含めたIKEにより、着側端末1B(IPアドレス「y」)とSAを確立したとき、通信セッション情報処理部420は、通信セッション情報431におけるCall-ID「100」、IPアドレス「y」が登録されているレコードに対して、この着側端末1BとのSAに関するSPIを登録する。
そして、中継装置4は発側端末1Aから暗号化パケットを受信すると、ポリシ管理部422において、SPD433からこの発側端末1Aとの通信に関するセキュリティポリシを検索し、SAD432からこの発側端末1Aとの間に確立されたIPsecSAに関する情報を検索する。そして、ポリシ管理部422は、復号部424に対し、これらの検索した情報をもとにパケットの復号を指示する。そして、復号部424によりパケットが復号されると、セキュリティ処理部426は、この復号後のパケットに対し、セキュリティチェックを行う。この後、IPアドレス変換部425は、パケットの送信元IPアドレス(発側端末1A)と、パケットに付されたSPIとの組み合わせと、通信セッション情報431とを参照して、このパケットの転送先のアドレス(着側端末1Bのアドレス)と、この着側端末1BとのIPsecSAに関するSPI値を特定する。そして、IPアドレス変換部425は、復号パケットのアドレスを前記特定した着側端末1Bのアドレスに書き換える。また、ポリシ管理部422は、前記特定したSPI値をキーとして、SPD433からこの着側端末1Bとの通信に関するセキュリティポリシを検索し、SAD432からこの着側端末1Bとの間に確立されたIPsecSAに関する情報を検索する。そして、ポリシ管理部422は、これらの検索結果に基づき、当該パケットに対する処理内容を決定する。次に、ポリシ管理部422は、当該決定した処理内容において暗号化が必要であることを確認すると、暗号化部423に、これらの検索した情報をもとにこのアドレス書き換え後のパケットの暗号化をするよう指示する。そして、暗号化部423において暗号化が完了すると、この暗号化パケットを着側端末1Bへ送信する。つまり、発側端末1Aと着側端末1Bとの間でEnd-to-End暗号化通信を実行する(S94)。
このようにすることで、発側端末1Aと着側端末1BとのEnd-to-End暗号化通信において中継装置4がパケットのセキュリティチェックを行うことが可能となる。また、このように中継装置4がセキュリティチェックを行う場合において、発側端末1Aおよび着側端末1Bは、中継装置4を介したホップバイホップの暗号化通信であることを意識する必要がなくなる。
≪第2の実施の形態≫
次に、図8を用いて、本発明の第2の実施の形態を説明する(適宜、図1〜図7参照)。図8は、第2の実施の形態の通信システムの構成例を示す図である。第2の実施の形態の通信システムは、SIPサーバ3AがIP網内の複数の中継装置4(4A,4B,4C)から、発側端末1Aと着側端末1Bとの中継を行う中継装置4を選択することを特徴とする。なお、前記した第1の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
ここでは図8に示すように、通信システムのIP網内に中継装置4(4A,4B,4C)が設置される。そして、SIPサーバ3Aは、発側端末1AのSIP−URIのドメイン名(「@」以降の情報)ごとに、この発側端末1Aからのパケットを中継する中継装置4(4A,4B,4C)のアドレス(制御先)を示した中継装置アドレス情報331Aを備える。そして、SIPサーバ3Aは発側端末1AからINVITE要求パケットを受信すると、中継装置制御部321(図2(a)参照)により、この発側端末1AのSIP−URIのドメイン名と、中継装置アドレス情報331Aとを参照して、この発側端末1Aからの暗号化パケットを中継する中継装置4を選択する。例えば、発側端末1AのSIP−URIのドメイン名が「aaa.co.jp」であった場合、IPアドレスが「192.168.1.100」の中継装置4(例えば、中継装置4A)を選択する。
なお、この中継装置アドレス情報331Aも、入出力部31(図2(a)参照)経由でオペレータ等が書き換え可能なものとする。このようにすることで、オペレータは、発側端末1Aのアドレスのドメインごとに、この発側端末1Aからの暗号化パケットを中継する中継装置4に設定することができる。
この第2の実施の形態の通信システムの動作手順を、図9を用いて説明する。図9は、図8の通信システムの動作手順を示す図である。
まず、発側端末1Aは、前記した図7のS81と同様に、セッション制御の開始を示すINVITE要求パケットを送信する(S11)。そして、SIPサーバ3Aのセッション制御処理部320が、このINVITE要求パケットを受信し、このパケットにセキュア通信要求を示すフラグが付されていることを確認すると、このINVITE要求パケットに含まれる発側端末1AのSIP−URIから、中継装置4を決定(選択)する(S12)。つまり、セッション制御処理部320は、発側端末1AのSIP−URIをキーとして中継装置アドレス情報331Aから中継装置4のIPアドレスを検索し、この検索したIPアドレスの中継装置4を当該発側端末1Aと着側端末1Bとの間を中継する中継装置4として選択する。
そして、セッション制御処理部320は、このパケット含まれる発側端末1AのIPアドレスを、S12で選択した中継装置4のIPアドレスに書き換えて、着側端末1Bへ送信する(S13)。この後のS14,S15は、図7のS83,S84と同様である。そして、SIPサーバ3Aの中継装置制御部321は、中継装置制御要求(中継装置制御パケット)を、S12で選択した中継装置4へ送信する(S16)。この後のS25までの処理は、図7のS85〜S94と同様であるので説明を省略する。
このようにすることでSIPサーバ3Aは、複数の中継装置4から暗号化パケットを中継する中継装置4を選択するとき、発側端末1AのSIP−URIのドメインをもとに中継装置4を選択することができる。例えば、中継装置アドレス情報331Aにおいて発側端末1Aと同じドメインを持つネットワーク内の中継装置4を設定しておけば、このSIPサーバ3Aにおいて、発側端末1Aと同じドメインを持つネットワーク内の中継装置4が選択されることになる。従って、SIPサーバ3Aは、この発側端末1Aから比較的近い位置の中継装置4に暗号化パケットを中継させることもできる。
なお、本実施の形態において、SIPサーバ3Aは、発側端末1AのSIP−URIのドメインをもとに中継装置4を選択することとしたが、着側端末1BのSIP−URIのドメインをもとに中継装置4を選択するようにしてもよい。このようにすることで、例えば、中継装置アドレス情報331Aにおいて着側端末1Bと同じドメインを持つネットワーク内の中継装置4を設定しておけば、このSIPサーバ3Aにおいて、着側端末1Bと同じドメインを持つネットワーク内の中継装置4が選択されることになる。従って、SIPサーバ3Aは、この着側端末1Bから比較的近い位置の中継装置4に暗号化パケットを中継させることもできる。なお、SIP−URIのドメイン部分のみならず、SIP−URI全体(アカウント名を含むアドレス全体)に基づいて中継装置4を選択するようにしてもよい。
≪第3の実施の形態≫
次に、図10を用いて、本発明の第3の実施の形態を説明する(適宜、図1〜図7参照)。図10は、第3の実施の形態の通信システムの構成例を示す図である。第3の実施の形態の通信システムは、SIPサーバ3Bが中継装置4を選択するとき、発側端末1AのIPアドレスをもとに選択することを特徴とする。前記した第1の実施の形態および第2の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
図10に示すように、SIPサーバ3Bは、端末アドレス(発側端末1Aのネットワークアドレス)ごとに、この発側端末1Aからのパケットを中継する中継装置4(4A,4B,4C)のアドレス(制御先)を示した中継装置アドレス情報331Bを備える。そして、SIPサーバ3Bは発側端末1AからSIPのINVITE要求パケットを受信すると、この中継装置アドレス情報331Bと、発側端末1AのIPアドレスとを参照して、この発側端末1Aからの暗号化パケットを中継する中継装置4を選択する。例えば、発側端末1AのIPアドレスが「192.168.1.0」であった場合、ネットワークアドレスは「192.168.1.0/24」なので、IPアドレスが「192.168.1.100」の中継装置4(例えば、中継装置4A)を選択する。
なお、この中継装置アドレス情報331Bも、入出力部31(図2(a)参照)経由でオペレータ等が書き換え可能なものとする。このようにすることで、オペレータは、発側端末1AのIPアドレスごとに、この発側端末1Aからの暗号化パケットを中継する中継装置4に設定することができる。
SIPサーバ3Bが中継装置4を選択した後の、発側端末1A、着側端末1Bおよび中継装置4の動作手順は、前記した第2の実施の形態と同様なので説明を省略する。
このようにすることでもSIPサーバ3Bは、発側端末1Aのネットワークに近い中継装置4を選択することができる。例えば、発側端末1Aと同じネットワーク内の中継装置4を選択することができる。
なお、このSIPサーバ3Bも、第2の実施の形態と同様、着側端末1BのIPアドレスをもとに中継装置4を決定するようにしてもよい。このようにすることでSIPサーバ3Bは、着側端末1Bのネットワークに近い中継装置4を選択することができる。
≪第4の実施の形態≫
次に、図11を用いて、本発明の第4の実施の形態を説明する(適宜、図1〜図7参照)。図11は、第4の実施の形態の通信システムの構成例を示す図である。第4の実施の形態の通信システムは、IP網内に、中継装置4(4A,4B,4C)の負荷状況を監視する負荷監視サーバ5を含む。そして、SIPサーバ3Cは、この負荷監視サーバ5から、IP網内の各中継装置4の負荷状況を取得し、この取得した中継装置4の負荷状況をもとに発側端末1Aと着側端末1Bとの中継を行う中継装置4を選択することを特徴とする。前記した第1の実施の形態、第2の実施の形態および第3の実施の形態と同様の構成要素は同じ符号を付して、説明を省略する。
図11に示すように、第4の実施の形態の通信システムにおいて負荷監視サーバ5は、中継装置負荷監視パケットを送信し、IP網内の中継装置4(4A,4B,4C)の現在の負荷状況を監視する。そして、SIPサーバ3Cは、この負荷監視サーバ5から、IP網内の中継装置4(4A,4B,4C)の負荷状況取得パケットを送信し、このパケットの応答として中継装置4(4A,4B,4C)の負荷状況を取得する。
このようなSIPサーバ3Cの通信処理部32は、図2(a)に示すように、中継装置負荷監視パケットを送信し、IP網内の中継装置4(4A,4B,4C)の現在の負荷状況を取得する負荷状況取得部322を含む。また、SIPサーバ3Cの記憶部33は、この取得した中継装置4ごとの負荷状況である負荷状況情報333を備える。
図12は、図11の通信システムの動作手順を示す図である。
負荷監視サーバ5は、図12に示すように、常時、中継装置4(4A,4B,4C)の負荷状況を取得する(S51)。
そして、SIPサーバ3Cは、発側端末1AからINVITE要求パケットを受信すると(S52)、負荷状況取得部322(図2(a))により、負荷監視サーバ5に対し、負荷状況の取得要求を送信し(S53)、中継装置4(4A,4B,4C)の負荷状況の取得応答を受信する(S54)。そして、負荷状況取得部322は、この受信した負荷状況を記憶部33の負荷状況情報333として記録する。そして、中継装置制御部321はこの記憶部33に記録された負荷状況情報333をもとに、例えば、最も処理負荷の小さい中継装置4を選択する。つまり、中継装置制御部321は各中継装置4の負荷状況を考慮して最適な中継装置4を決定する(S55)。この後のS68までの処理は、図9のS13〜S25と同様であるので説明を省略する。
このようにすることで、SIPサーバ3Cは最も処理負荷の小さい中継装置4を選択するので、IP網の各中継装置4の処理負荷を分散できる。また、発側端末1Aと着側端末1Bとの間のEnd-to-End暗号化通信において、最も処理負荷の小さい中継装置4を選択できるので、暗号化通信に伴う通信速度の低下を防ぐことができる。
なお、前記した各実施の形態において、発側端末1Aおよび着側端末1Bと、中継装置4との間でIKEを実行して、IPsecSAを確立することとしたが、これに限定されない。例えば、SIPサーバ3(3A,3B,3C)が暗号鍵を生成し、この生成した暗号鍵を、セッション制御パケットを用いて発側端末1A、着側端末1Bに対して配布するようにしてもよい。すなわち、発側端末1Aおよび着側端末1BはSIPサーバ3からセッション制御パケットにより配布された暗号鍵を用いて、中継装置4との間でIPsecSAを確立するようにしてもよい。このようにすることで、発側端末1Aおよび着側端末1Bは、中継装置4との間でIKEによる鍵交換を行わずに、中継装置4とのIPsecSAを確立できる。
さらに、この暗号鍵の生成は、発側端末1Aおよび着側端末1B側で行うようにしてもよい。この場合、発側端末1Aで生成した暗号鍵は、SIPサーバ3へINVITE要求パケットを送信するとき、あわせて送信する。また、着側端末1Bは、SIPサーバ3からINVITE要求パケットを受信したときに暗号鍵を生成し、この生成した暗号鍵をINVITE要求パケットの応答(200OKパケット)に含めて、SIPサーバ3へ送信する。そして、SIPサーバ3は、発側端末1Aおよび着側端末1Bから送信された暗号鍵を中継装置制御パケットに含めて中継装置4へ送信する。そして、発側端末1Aおよび着側端末1BはSIPサーバ3経由で中継装置4へ通知した暗号鍵を用いて、中継装置4との間でIPsecSAを確立する。このようにすることでも、発側端末1Aおよび着側端末1Bは、中継装置4との間でIKEによる鍵交換を行わずに、中継装置4とのIPsecSAを確立できる。
本実施の形態に係るSIPサーバ3、中継装置4、発側端末1Aおよび着側端末1Bは、前記したような処理を実行させるプログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、インターネット等のネットワークを通して提供することも可能である。
なお、前記した各実施の形態において、発側端末1AからSIPサーバ3へ着側端末1Bへのセッション制御要求を送信する場合を例に説明したが、着側端末1Bから発側端末1Aへセッション制御要求を送信する場合も同様である。
また、発側端末1Aと中継装置4、中継装置4と着側端末1Bとの間でIPsecSAを確立するとき、中継装置4側がイニシエータ(IPsecSAの折衝始動側装置)となってもよいし、発側端末1Aまたは着側端末1B側がイニシエータとなってもよい。さらに、発側端末1A、着側端末1B、中継装置4およびSIPサーバ3にはキーボードやマウス等の入力装置、液晶ディスプレイ等の表示装置が接続されていてもよい。その他についても、本発明の趣旨を逸脱しない範囲で変更可能である。
本発明の第1の実施の形態の通信システムの構成例を示す図である。 (a)は、各実施の形態におけるSIPサーバの構成を示す図であり、(b)は、各実施の形態の発側端末および着側端末の構成を示す図である。 各実施の形態における中継装置の構成を示す図である。 各実施の形態における通信セッション情報の例を示す図である。 各実施の形態におけるSADの例を示す図である。 各実施の形態におけるSPDの例を示す図である。 図1の通信システムの動作手順を示す図である。 第2の実施の形態の通信システムの構成例を示す図である。 図8の通信システムの動作手順を示す図である。 第3の実施の形態の通信システムの構成例を示す図である。 第4の実施の形態の通信システムの構成例を示す図である。 図11の通信システムの動作手順を示す図である。
符号の説明
1A 発側端末(第1の端末)
1B 着側端末(第2の端末)
3(3A,3B,3C) SIPサーバ(セッション制御サーバ)
4(4A,4B,4C) 中継装置
5 負荷監視サーバ
11,31,41 入出力部
12,32,42 通信処理部
13,33,43 記憶部
120,320 セッション制御処理部
121,421 SA処理部
122,422 ポリシ管理部
123,423 暗号化部
124,424 復号部
131,431 セッション制御情報
132,432 SAD
133,433 SPD
321 中継装置制御部
322 負荷状況取得部
331(331A,311B) 中継装置アドレス情報
332 セッション制御情報
333 負荷状況情報
420 通信セッション情報処理部
425 IPアドレス変換部
426 セキュリティ処理部

Claims (10)

  1. 第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する暗号化パケット転送方法であって、
    前記中継装置が、
    前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信し、
    IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶し、
    前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを示した通信セッション情報を作成し、前記記憶部に記憶し、
    前記第1の端末から、暗号化パケットを受信したとき、
    前記受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索し、この検索したSAに関する情報を用いて、前記暗号化パケットを復号し、
    前記復号したパケットに対しセキュリティチェックを実行し、
    前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、
    前記復号したパケットの宛先アドレスを、前記検索した第2の端末のアドレスに書き換え、
    前記検索したSPI値をキーとして、前記記憶部から、前記第2の端末との間のSAに関する情報を検索し、
    この検索したSAに関する情報を用いて、前記復号したパケットを暗号化し、
    この暗号化したパケットを、前記第2の端末へ送信することを特徴とする暗号化パケット転送方法。
  2. 前記セッション制御サーバが、前記第1の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、
    この受信したセッション制御情報における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第2の端末へ送信し、
    この第2の端末から、前記受信したセッション制御情報の応答を受信したとき、
    この受信したセッション制御情報の応答における送信元アドレスを、前記暗号化パケットを転送する中継装置のアドレスに変換して、前記第1の端末へ送信し、
    前記第1の端末および前記第2の端末はそれぞれ、前記IKEにより、前記セッション制御情報または前記セッション制御情報の応答に示されるアドレスの中継装置との間で、前記SAに関する情報を交換して、IPsecSAを確立することを特徴とする請求項1に記載の暗号化パケット転送方法。
  3. 前記通信システムは、前記中継装置を複数含んで構成され、
    前記セッション制御サーバは、前記第1の端末のアドレスのドメインごとに、当該ドメインを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した中継装置アドレス情報を記憶部に記憶し、
    前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、前記受信したセッション制御情報に含まれる前記第1の端末のアドレスのドメイン名をキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択し、
    前記選択した中継装置宛に、前記中継装置制御情報を送信することを特徴とする請求項2に記載の暗号化パケット転送方法。
  4. 前記中継装置アドレス情報は、前記第1の端末のIP(Internet Protocol)アドレスごとに、当該IPアドレスを持つ前記第1の端末から送信された暗号化パケットを転送する中継装置のアドレスを示した情報であり、
    前記セッション制御サーバが、前記第1の端末からセッション制御情報を受信したとき、このセッション制御情報の送信元である前記第1の端末のIPアドレスをキーとして、前記中継装置アドレス情報に示される中継装置から、前記第1の端末から送信された暗号化パケットを転送する中継装置を選択することを特徴とする請求項3に記載の暗号化パケット転送方法。
  5. 前記通信システムは、複数の前記中継装置およびこの複数の中継装置それぞれの処理負荷状況を監視する負荷監視サーバを含んで構成され、
    前記セッション制御サーバが、前記第1の端末および前記第2の端末から、前記暗号化パケットの通信要求を含むセッション制御情報を受信したとき、
    前記負荷監視サーバから、前記複数の中継装置それぞれの処理負荷情報を受信し、
    前記受信した処理負荷情報において最も処理負荷の小さい中継装置を、前記第1の端末から送信された暗号化パケットを転送する中継装置として選択することを特徴とする請求項2に記載の暗号化パケット転送方法。
  6. 前記セッション制御サーバが、前記第1の端末および前記第2の端末へ、当該第1の端末と第2の端末それぞれにおける暗号化パケットの送受信に用いる暗号鍵を配布し、
    前記第1の端末および前記第2の端末は、前記配布された暗号鍵を用いて、前記セッション制御情報に示される中継装置との間でIPsecSAを確立することを特徴とする請求項2ないし請求項5のいずれか1項に記載の暗号化パケット転送方法。
  7. 前記中継装置が、外部の装置から前記セキュリティチェックを実行するか否かの指示入力を受け付け、
    前記セキュリティチェックを実行する指示入力を受け付けたとき、前記セキュリティチェックを実行することを特徴とする請求項1ないし請求項6のいずれか1項に記載の暗号化パケット転送方法。
  8. 第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する中継装置であって、
    前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信する入出力部と、
    IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶するSA処理部と、
    前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを対応付けた通信セッション情報を作成し、前記記憶部に記憶する通信セッション情報処理部と、
    前記第1の端末から受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索するポリシ管理部と、
    前記検索されたSAに関する情報を用いて前記暗号化パケットを復号する復号部と、
    前記復号したパケットに対し、セキュリティチェックを実行するセキュリティチェック部と、
    前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、前記復号したパケットの宛先アドレスを、前記検索した前記第2の端末のアドレスに書き換えるIPアドレス変換部と、
    前記検索されたSPI値をキーとして、前記ポリシ管理部により前記記憶部から検索された前記第2の端末との間のSAに関する情報を用いて、前記セキュリティチェックを実行したパケットを暗号化し、前記暗号化したパケットを、前記第2の端末へ送信する暗号化部とを備えることを特徴とする中継装置。
  9. コンピュータを、請求項8に記載の中継装置として機能させることを特徴とするプログラム。
  10. 請求項8に記載の中継装置と、前記第1の端末と前記第2の端末とのセッション制御を行い、前記セッション制御情報を前記中継装置へ送信するセッション制御サーバと、前記セッション制御サーバとのセッション制御プロトコルおよび前記中継装置とのIKEを行うためのIKEプロトコルを備える前記第1の端末および前記第2の端末とを備えることを特徴とする通信システム。
JP2007130238A 2007-05-16 2007-05-16 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム Expired - Fee Related JP4892404B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007130238A JP4892404B2 (ja) 2007-05-16 2007-05-16 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007130238A JP4892404B2 (ja) 2007-05-16 2007-05-16 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム

Publications (2)

Publication Number Publication Date
JP2008288757A JP2008288757A (ja) 2008-11-27
JP4892404B2 true JP4892404B2 (ja) 2012-03-07

Family

ID=40148097

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007130238A Expired - Fee Related JP4892404B2 (ja) 2007-05-16 2007-05-16 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム

Country Status (1)

Country Link
JP (1) JP4892404B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5691396B2 (ja) * 2009-12-25 2015-04-01 株式会社リコー 伝送端末、伝送端末用プログラム、プログラム提供システム、及びメンテナンスシステム
US8873746B2 (en) 2010-01-28 2014-10-28 Intel Corporation Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes
JP2011193055A (ja) * 2010-03-11 2011-09-29 Fujitsu Ltd 通信装置および通信方法
JP5598302B2 (ja) * 2010-12-13 2014-10-01 富士通株式会社 通過制御装置、通過制御方法、及び通過制御プログラム
US20140149572A1 (en) * 2012-11-28 2014-05-29 Microsoft Corporation Monitoring and diagnostics in computer networks
JP6553376B2 (ja) * 2015-03-12 2019-07-31 Necプラットフォームズ株式会社 セキュリティシステム
CN110445882A (zh) * 2019-09-19 2019-11-12 腾讯科技(深圳)有限公司 通信连接方法、装置、计算机设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63104540A (ja) * 1986-10-21 1988-05-10 Nec Corp パケツト交換網の中継方式
JP4047303B2 (ja) * 2004-06-04 2008-02-13 キヤノン株式会社 提供装置、提供プログラム、及び、提供方法
JP4887682B2 (ja) * 2005-08-05 2012-02-29 日本電気株式会社 通信システム、鍵管理・配信サーバ、端末装置及びそれらに用いるデータ通信方法並びにそのプログラム

Also Published As

Publication number Publication date
JP2008288757A (ja) 2008-11-27

Similar Documents

Publication Publication Date Title
JP4710267B2 (ja) ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置
US11792169B2 (en) Cloud storage using encryption gateway with certificate authority identification
JP4892404B2 (ja) 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム
US7660980B2 (en) Establishing secure TCP/IP communications using embedded IDs
JP5175400B2 (ja) アプリケーションおよびサービスにネットワーク通信アソシエーション情報を提供するための方法および装置
US20070022475A1 (en) Transmission of packet data over a network with a security protocol
Zamfir et al. A security analysis on standard IoT protocols
US20050108531A1 (en) Method of negotiating security parameters and authenticating users interconnected to a network
Petullo et al. MinimaLT: minimal-latency networking through better security
US11671413B2 (en) Caching content securely within an edge environment, with pre-positioning
JP4764368B2 (ja) 通信を確立してメッセージを中継する装置、通信を確立する方法およびプログラム
JP5270692B2 (ja) セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム
CN105516062B (zh) 一种实现L2TP over IPsec接入的方法
CN106487802B (zh) 基于DPD协议的IPSec SA的异常探测方法及装置
US11659033B2 (en) Caching content securely within an edge environment
JP2007142656A (ja) 計算機システム及び計算機
JP2016038881A (ja) 通信システム、方法及びプログラム
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
JP4933286B2 (ja) 暗号化パケット通信システム
JP2006041726A (ja) 共有鍵交換システム、共有鍵交換方法及び方法プログラム
Hohendorf et al. Secure End-to-End Transport Over SCTP.
JP2010081108A (ja) 通信中継装置、情報処理装置、プログラム、及び通信システム
US20230379150A1 (en) Methods and apparatuses for providing communication between a server and a client device via a proxy node
JP2012160941A (ja) 情報処理装置、情報処理方法及びプログラム
EP4199417A1 (en) Remote access with man-in-the-middle attack-prevention

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090715

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110810

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111213

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111219

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141222

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees