JP5258305B2 - セキュリティ通信装置、及び方法 - Google Patents

セキュリティ通信装置、及び方法 Download PDF

Info

Publication number
JP5258305B2
JP5258305B2 JP2008001395A JP2008001395A JP5258305B2 JP 5258305 B2 JP5258305 B2 JP 5258305B2 JP 2008001395 A JP2008001395 A JP 2008001395A JP 2008001395 A JP2008001395 A JP 2008001395A JP 5258305 B2 JP5258305 B2 JP 5258305B2
Authority
JP
Japan
Prior art keywords
communication
communication device
security
logical network
network control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008001395A
Other languages
English (en)
Other versions
JP2009164960A (ja
Inventor
健介 安間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2008001395A priority Critical patent/JP5258305B2/ja
Priority to US12/350,150 priority patent/US8856915B2/en
Publication of JP2009164960A publication Critical patent/JP2009164960A/ja
Application granted granted Critical
Publication of JP5258305B2 publication Critical patent/JP5258305B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークを介して行われるセキュリティの確保された通信において、通信データを中継するセキュリティ通信装置および方法に関する。
従来、ネットワークを介した通信では、ネットワーク側のシステムが、ユーザ側から求められる通信の品質や特性に応じて、ネットワークの資源割り当てや経路割り当て等を行っていた。(例えば、特許文献1、特許文献2)。特許文献1では、ネットワーク資源管理システムとグローバル資源管理システムが連携し、ユーザアプリケーションが要求する、帯域や資源を確保する時間などに応じて、サービスプロバイダ内のネットワーク資源やその他資源の管理、割り当てを行っている。
また、特許文献2では、ユーザから求められる通信のQoS(Quality of Service)に応じて、VPN(Virtual Private Network)の経路を決定している。
特開2006−279221号公報 特開2002−314587号公報
しかしながら、セキュリティ通信装置によるネットワークの接続に基づいて、通信装置がデータの送受信を行う場合、通信装置とセキュリティ通信装置が行う処理によっては、効率的な通信の妨げとなる恐れがある。例えば、セキュリティ通信装置が、通信装置で利用しているアプリケーションが必要としていない処理を行ってしまうことや、また、セキュリティ通信装置が行う処理によって、アプリケーションが求めているスループット等の品質が得られなくなる恐れがある。
より具体的な例として、セキュリティ通信装置を介してVPN通信を行う際に、通信装置が、アプリケーションレベルで通信データの暗号化を行うと、セキュリティ通信装置が行うVPNの暗号化と合わせて、通信データが2重に暗号化されてしまう恐れがある。
また、別の例として、リアルタイムストリーミングアプリケーションの利用時において、セキュリティ通信装置がバッファリングやパケット圧縮を行うと、遅延の問題が生じてしまう恐れがある。
一方、ユーザによって、ネットワークの接続に用いるパラメータを、各々の装置に設定するためには、設定を行うユーザに、ネットワークに関する高度な知識と技術が要求される。また、パラメータの設定処理も煩雑である。
本発明は上記の問題に鑑みてなされたものであり、その目的は、セキュリティ通信装置によるネットワーク接続に基づいて行われる通信を、効率良く行えるようにすることである。
上記の課題を解決するため、本発明のセキュリティ通信装置は、第1のネットワークと第2のネットワークの間で通信を実現するセキュリティ通信装置であって、前記第1のネットワークに接続する接続手段と、通信実行時に、前記第1のネットワークに接続された通信装置がセキュリティの確保された通信を行うための処理を行うか否かを示す第1の設定を判断し、かつ、前記通信装置がセキュリティの確保された通信を必要とするか否かを示す第2の設定を判断する判断手段と、前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行うことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定し、前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行わないことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行うことを決定し、前記通信装置がセキュリティの確保された通信を必要としないことを前記第2の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定する決定手段と、前記決定手段の決定に応じてセキュリティの確保された通信を行うための処理を行う処理手段とを有する。
また、本発明のセキュリティ通信方法は、第1のネットワークに接続されたセキュリティ通信装置が、前記第1のネットワークと第2のネットワークの間で通信を実現するセキュリティ通信方法であって、通信実行時に、前記第1のネットワークに接続された通信装置がセキュリティの確保された通信を行うための処理を行うか否かを示す第1の設定を判断し、かつ、前記通信装置がセキュリティの確保された通信を必要とするか否かを示す第2の設定を判断する判断工程と、前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行うことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定し、前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行わないことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行うことを決定し、前記通信装置がセキュリティの確保された通信を必要としないことを前記第2の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定する決定工程と、前記決定工程における決定に応じてセキュリティの確保された通信を行うための処理を行う処理工程とを有する。
本発明によれば、セキュリティ通信装置によるネットワーク接続に基づいて行われる通信を、効率良く行うことができる。
<実施形態1>
以下、本発明の実施形態について、図面を参照して説明する。
図1は、本発明の一実施形態に係るネットワークシステムの構成図である。
100は、インターネットである。本実施形態におけるインターネット100は、インターネットに限るものではなく、WAN(Wide Area Network)、LAN(Local Area Network)、アドホックネットワークなどでもよく、それらの複合でもよい。
101a、及び101bは、LANである。LAN101a、101bは、LANに限るものではなく、WAN、LAN、アドホックネットワークなどでもよく、それらの複合でもよい。本実施形態では、LAN101a(第1のネットワーク)、101b(第2のネットワーク)は、同一の機能を有するネットワークである。
102aは、LAN101a(第1のネットワーク)に接続され、アプリケーションを利用して通信を行うネットワーク接続機器である。また、102bは、LAN101b(第2のネットワーク)に接続され、アプリケーションを利用して通信を行うネットワーク接続機器である。本実施形態では、ネットワーク接続機器102a、102bは同一の機能を有する通信装置である。
103aは、LAN101a(第1のネットワーク)に接続され、ネットワーク接続機器102が利用するアプリケーションの特性に応じたVPN接続を実現する論理ネットワーク制御装置である。即ち、論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)とLAN101b(第2のネットワーク)の間でセキュリティの確保された通信を実現するセキュリティ通信装置である。また、103bは、LAN101b(第2のネットワーク)に接続され、ネットワーク接続機器102が利用するアプリケーションの特性に応じたVPN接続を実現する論理ネットワーク制御装置である。即ち、論理ネットワーク制御装置103bは、LAN101b(第2のネットワーク)とLAN101a(第1のネットワーク)の間でセキュリティの確保された通信を実現するセキュリティ通信装置である。
本実施形態では、論理ネットワーク制御装置103a、103bは同一の機能を有するセキュリティ通信装置である。
104a、及び104bは、インターネット100と、それぞれLAN101a、101bに接続し、パケットの経路制御などを行うルーター装置である。本実施形態では、ルーター装置104a、104bは同一の機能を有するネットワーク機器である。
図2は、論理ネットワーク制御装置103aの構成図を表している。論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)とLAN101b(第2のネットワーク)の間でセキュリティの確保された通信を実現するセキュリティ通信装置である。また、論理ネットワーク制御装置103bは、論理ネットワーク制御装置103aと同一の機能を有するセキュリティ通信装置である。
論理ネットワーク制御装置103aは、PC(パーソナルコンピュータ)などのコンピュータシステム以外に、ワークステーション、ノートブックPC、パームトップPC、コンピュータを内蔵したテレビ等の各種家電製品、通信機能を有するゲーム機、携帯電話、等を含む他のネットワーク制御装置と通信するための通信機能を有する端末、または、これらの組合せによっても実施可能である。
201は、コンピュータシステムの制御をつかさどる中央演算装置(以下CPUと記す)である。
202は、ランダムアクセスメモリ(以下RAMと記す)であり、CPU201の主メモリとして、及び実行プログラムの領域や該プログラムの実行エリアならびにデータエリアとして機能する。
203は、CPU201の動作処理手順を記録しているリードオンリーメモリー(以下ROMと記す)である。ROM203には、コンピュータシステムの機器制御を行うシステムプログラムである基本ソフト(OS)を記録したプログラムROMとシステムを稼動するために必要な情報などが記録されたデータROMがある。ROM203の代わりに後述のHDD209を用いる場合もある。
204は、ネットワークインターフェース(以下NETIFと記す)であり、ネットワークを介してコンピュータシステム間のデータ転送を行うための制御や接続状況の診断を行う。即ち、論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)への接続をNETIF204を介して行う。また、論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)に接続された通信装置の通信データの中継を含むLAN101b(第2のネットワーク)とのデータの送受信を、NETIF204を介して行う。
205は、ビデオRAM(以下VRAMと記す)であり、コンピュータシステムの稼動状態を示す後述するCRT206の画面に表示される画像を展開し、その表示の制御を行う。
206は、表示装置であって、例えば、ディスプレイである。以下CRTと記す。
207は、後述する外部入力装置208からの入力信号を制御するコントローラである。
208は、コンピュータシステムの利用者がコンピュータシステムに対して行う操作を受け付けるための外部入力装置であり、例えば、キーボードなどである。
209は、記憶装置を示し、例えば、ハードディスクなどである。アプリケーションプログラムや、画像情報などのデータ保存用に用いられる。本実施形態におけるアプリケーションプログラムとは、本実施形態を構成する論理ネットワークの制御を実行するソフトウェアプログラムなどである。
210は、外部入出力装置であって、例えばフロッピー(登録商標)ディスクドライブ、CD−ROMドライブなどのリムーバブル記録メディアを入出力するものであり、上述したアプリケーションプログラムの媒体からの読み出しなどに用いられる。以下、FDDと記す。
なお、HDD209に格納するアプリケーションプログラムやデータをFDD210に格納して使用することも可能である。
200は、上述した各ユニット間を接続するための入出力バス(アドレスバス、データバス、及び制御バス)である。
図3は、本実施形態の論理ネットワーク制御装置103aのモジュール構成図である。論理ネットワーク制御装置103aは、以下に説明する各モジュールの機能をプログラムとしてHDD209に格納し、CPU201によって適宜読み出し、実行することで各機能を実現する。
論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)とLAN101b(第2のネットワーク)の間でセキュリティの確保された通信を実現するセキュリティ通信装置である。また、論理ネットワーク制御装置103bは、論理ネットワーク制御装置103aと同一の機能を有するセキュリティ通信装置である。
300は、LAN101a(第1のネットワーク)に接続されたネットワーク接続機器102aとの間で種々のメッセージのやり取りを行う論理ネットワーク制御部である。また、論理ネットワーク制御部300は、ネットワーク接続機器102aの設定に基づいて決定されたパラメータに応じたVPN接続を実現する。即ち、論理ネットワーク制御部300は、通信装置(ネットワーク接続機器102a)による処理に応じて、ネットワーク接続機器102aから受信した通信データを、セキュリティを確保するための通信データへ変換する。そして、変換した通信データを論理ネットワーク制御装置103bに送信する。また、論理ネットワーク制御部300は、論理ネットワーク制御装置103bから受信した、セキュリティを確保するための処理が行われた通信データを変換し、変換された通信データをネットワーク接続機器102aに送信する。
301は、論理ネットワーク制御装置103bとの間でネゴシエーションを行うことにより、論理ネットワーク制御部300がVPN接続を行う際に利用するパラメータを決定するネゴシエーション部である。また、ネゴシエーション部301は、ネットワーク接続機器102aが通信に利用するアプリケーションの特性に基づいて、論理ネットワーク制御装置103bに提案するパラメータを決定する。即ち、ネゴシエーション部301は、通信実行時に、LAN101a(第1のネットワーク)に接続された通信装置(ネットワーク接続機器102a)における、通信のための設定(アプリケーションの特性)を判断する。そして、ネゴシエーション部301は、判断された設定に応じて、ネットワーク接続機器102aから受信する通信データの変換に関する変換パラメータの候補を決定し、決定された候補を論理ネットワーク制御装置103bに送信する。ネゴシエーション部301によるパラメータの決定方法については、後述する。
302は、ネットワーク接続機器102aから受信するアプリケーション情報を保持し、当該アプリケーション情報に含まれるアプリケーション特性に応じたVPN接続が可能であるかの判断を行うアプリケーション特性判断部である。
次に、ネットワーク接続機器102aで利用するアプリケーションに関するアプリケーション情報を、論理ネットワーク制御装置103aに登録する手順について、図4を用いて説明する。
図4は、論理ネットワーク制御装置103aにおけるアプリケーション情報の登録処理の流れを示すフローチャートである。論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)とLAN101b(第2のネットワーク)の間でセキュリティの確保された通信を実現するセキュリティ通信装置である。尚、LAN101b(第2のネットワーク)に接続される論理ネットワーク制御装置103bも、以下の説明と同様の手順で、ネットワーク接続機器102bで利用するアプリケーションに関するアプリケーション情報を登録する。
S401において、論理ネットワーク制御装置103aの論理ネットワーク制御部300は、ネットワーク接続機器102aから送信されたアプリケーション情報を受信し、S402に進む。ネットワーク接続機器102aから送信されるアプリケーション情報は、識別情報と、アプリケーション特性を含む。
ネットワーク接続機器102aから送信されるアプリケーション情報の一例を図7に示す。図7において、識別情報701は、アプリケーション名、バージョン、ネットワーク接続機器102aのIPアドレス、当該アプリケーションで利用するポート番号である。そして、アプリケーション特性702は、データタイプ、暗号化の必要性、上位層での暗号化、遅延、優先度などである。尚、アプリケーション名に示したViewerApplicationは、送受信される画像データに基づいて、画像を表示させるためのアプリケーションソフトの名称を示している。ただし、これに限らず、種々のアプリケーションを利用することができる。また、ネットワーク接続機器102aのIPアドレスは、アプリケーション情報の送信元から、論理ネットワーク制御装置103aが判断するようにしても良い。
S402において、論理ネットワーク制御部300は、受信したアプリケーション情報をアプリケーション特性判断部302に登録し、アプリケーション情報の登録処理を終了する。即ち、論理ネットワーク制御装置103a(セキュリティ通信装置)のアプリケーション特性判断部302は、ネットワーク接続機器102a(通信装置)の設定(アプリケーション特性702)と、当該処理の識別情報(識別情報701)とを対応付けて記憶する。
図8に、アプリケーション特性判断部302に登録される、複数のアプリケーションのアプリケーション特性702を示す。
まず、番号801は、アプリケーションを識別するための情報である。番号801は、S401で受信された識別情報701に対応しており、例えばアプリケーション名からアプリケーション特性702の検索、及び読み出しができるようになっている。この場合、アプリケーション特性判断部302は、アプリケーション名から、1つの番号801が特定できるように、アプリケーション特性を記憶する。
尚、本実施形態では、アプリケーション名からアプリケーション特性の検索を行っているが、バージョンの情報との組み合わせで検索しても良い。
また、ネットワーク接続機器102によってアプリケーションの設定が異なる場合などを考慮して、さらにIPアドレスの識別情報を組み合わせてアプリケーション特性702を検索しても良い。この場合、アプリケーション特性判断部302は、アプリケーション名、バージョン、IPアドレスの情報から、1つの番号801が特定できるように、アプリケーション特性を記憶する。
図8は、番号801で示される、アプリケーション1〜アプリケーション6までの6つのアプリケーションのアプリケーション特性702が、アプリケーション特性判断部302に記憶されていることを示している。
データタイプ802は、アプリケーションが利用するデータの種別を示している。ここで、streamingは、リアルタイム性を要求するデータ種別を示す。また、dataは、スループットを重視するデータ種別を示す。
暗号化803は、通信データの暗号化が必要であるか否かを示している。暗号化803の項目がyesの場合は、通信データの暗号化が必要であることを示す。一方、noの場合は、通信データの暗号化が必要とされていないことを示している。
上位層暗号化804は、アプリケーションレベルで通信データの暗号化が行われるか否かを表している。上位層暗号化804がyesの場合は、アプリケーションレベルでの暗号化が行われることを示す。一方、noの場合は、アプリケーションレベルでの暗号化が行われないことを示す。
遅延805は、アプリケーションが許容できる遅延量を表している。遅延805がlowの場合は、アプリケーションが低遅延での通信を要求していることを示す。一方、遅延805がhighの場合は、遅延が大きくても問題がないアプリケーションであることを示している。
優先度806は、アプリケーションの処理の優先度を表している。本実施形態では、優先度806が5の場合、アプリケーションが、最も優先的な処理を要求していることを示している。一方、優先度806が1の場合は、アプリケーションが、優先的な処理を要求していないことを示している。
本実施形態における図7のアプリケーションは、図8のアプリケーション2に相当する。
次に、論理ネットワーク制御装置103aと論理ネットワーク制御装置103bとの間でVPN接続を開始する手順について説明する。まず、VPN接続開始処理の全体の流れを、図10を用いて説明する。論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)とLAN101b(第2のネットワーク)の間でセキュリティの確保された通信を実現するセキュリティ通信装置である。また、論理ネットワーク制御装置103bは、論理ネットワーク制御装置103aと同一の機能を有するセキュリティ通信装置である。論理ネットワーク制御装置103aからLAN101bの論理ネットワーク制御装置103bへ送られるメッセージ及び通信データは、ルーター装置104a、インターネット、ルーター装置104bを介して、論理ネットワーク制御装置103bに送られる。
論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)に接続されるネットワーク接続機器102aから、VPNの接続開始要求を受信する(F101)。接続開始要求を受信した論理ネットワーク制御装置103aは、接続開始要求に含まれるアプリケーションの識別情報(アプリケーション名)を用いて、対応するアプリケーション特性を検索し、発見されたアプリケーション特性を読み出す(F102)。アプリケーション特性を読み出した論理ネットワーク制御装置103aは、アプリケーションの識別情報(アプリケーション名)及び、読み出されたアプリケーション特性を含む論理ネットワーク接続要求を、論理ネットワーク制御装置103bに送信する(F103)。先に述べたように、アプリケーション特性は、データタイプ、暗号化の必要性、上位層での暗号化、遅延、優先度などである。この上位層で行われる暗号化などの処理は、ネットワーク接続機器102aによる処理である。
そして、LAN101b(第2のネットワーク)に接続される論理ネットワーク制御装置103bは、LAN101a(第1のネットワーク)に接続される論理ネットワーク制御装置103aから送信される論理ネットワーク接続要求を受信する。論理ネットワーク制御装置103bは、論理ネットワーク接続要求に含まれるアプリケーション名から、論理ネットワーク制御装置103bに登録されているアプリケーション特性を検索し、発見されたアプリケーション特性を読み出す(F104)。このアプリケーション特性は、ネットワーク接続機器102bによる処理を表わす。そして、論理ネットワーク制御装置103bは、F104で読み出されたアプリケーション特性と、F103で受信した論理ネットワーク接続要求に含まれるアプリケーション特性を比較し、VPN接続による通信が可能であるか判断する(F105)。F105においてVPN接続による通信が可能であると判断される場合の例として、比較したアプリケーション特性が同じであった場合のほか、例えば、ネゴシエーションによって、共通のパラメータでVPN接続ができる可能性が高いと判断した場合などがある。この判断については、後述する。F105において、VPN接続による通信が可能であると判断された場合、当該判断結果及びF104で読み出されたアプリケーション特性を、論理ネットワーク制御装置103aに送信する(F106)。
論理ネットワーク制御装置103aは、F106の判断結果と共に送信されたアプリケーション特性と、F102で読み出されたアプリケーション特性を比較し、VPN接続による通信が可能であるか判断する(F107)。この判断についても、後述する。このとき、論理ネットワーク制御装置103aは、F106の判断結果のみに基づいてVPN接続による通信が可能であると判断しても良い。すなわち、論理ネットワーク制御装置103aは、論理ネットワーク制御装置103bが通信可能であると判断した場合は、通信可能であると判断してもよい。
F107において、VPN接続による通信が可能であると判断された場合、F102で読み出されたアプリケーション特性に基づいて、VPN接続に用いるための提案パラメータを決定する(F108)。すなわち、ネットワーク接続機器(通信装置)102aにより行われる処理に応じて、提案パラメータ(変換パラメータの候補)を決定する。尚、このとき、論理ネットワーク制御装置103bも、同様に、F105において、通信可能であると判断された場合、F104で読み出されたアプリケーション特性に基づいて提案パラメータを決定する(F109)。F108、及びF109における提案パラメータの決定は、F102、F104でアプリケーション特性が読み出されたあとに行えば良い。また、あらかじめアプリケーション特性に対応する提案パラメータを記憶させておくことも可能である。アプリケーション特性に基づく提案パラメータの決定方法については後述する。
論理ネットワーク制御装置103aと論理ネットワーク制御装置103bは、F108、及びF109で決定された提案パラメータを用いて、VPN接続に用いるパラメータのネゴシエーションを行う(F110)。このネゴシエーションでは、例えば、VPNレベルでの通信データの暗号化やバッファリングを行うか否かなどが決定される。また、バッファリングを行う場合は、バッファリングのサイズなどを決めるようにしても良い。
2つの提案パラメータが異なる場合は、論理ネットワーク制御装置103bの提案パラメータによるVPN接続を試みてもよい。論理ネットワーク制御装置103bの提案パラメータを論理ネットワーク制御装置103aに対して送信し、それを論理ネットワーク制御装置103aが受け入れればネゴシエーションが成功したことになる。尚、本実施形態では、比較した提案パラメータが異なっていた場合、論理ネットワーク制御装置103bの提案パラメータによるVPN接続を試みることとしたが、論理ネットワーク制御装置103aの提案パラメータでVPN接続を行うようにしても良い。また、ネットワーク接続機器102a、102bが提供するサービスの種別などに基づいて、どちらの提案パラメータを採用するか決めるようにしても良い。さらに、パラメータの項目ごとに、どちらのネットワーク接続機器102の提案パラメータを採用するか決めるようにしても良い。
ネゴシエーションが成功した場合、ネゴシエーションで決定されたパラメータを用いたVPN接続が開始される(F111)。尚、ネゴシエーションの詳細については後述する。
次に、上述のVPN接続開始処理における論理ネットワーク制御装置103aの処理の流れを、図5のフローチャートを用いて詳細に説明する。論理ネットワーク制御装置103aは、LAN101a(第1のネットワーク)とLAN101b(第2のネットワーク)と間でセキュリティの確保された通信を実現するセキュリティ通信装置である。また、論理ネットワーク制御装置103bは、論理ネットワーク制御装置103aと同一の機能を有するセキュリティ通信装置である。
S501において、論理ネットワーク制御装置103aの論理ネットワーク制御部300は、ネットワーク接続機器102aからVPNの接続開始要求を受け付ける。そして、論理ネットワーク制御部300は、受け付けた接続開始要求に含まれるアプリケーション名をアプリケーション特性判断部302に渡し、S502に進む。接続開始要求には、VPNの接続先情報、認証情報、暗号鍵、アプリケーション名などが含まれている。ここで接続先情報は、論理ネットワーク制御装置103bに到達可能なアドレスである。また、この接続開始要求に、必要に応じてアプリケーションのバージョンの情報等、他の識別情報が含まれていても良い。
S502において、アプリケーション特性判断部302は、S501にて渡されたアプリケーション名に対応するアプリケーション特性を検索する。検索対象のアプリケーション特性が、すでにアプリケーション特性判断部302に登録されていた場合、アプリケーション特性判断部302は、当該アプリケーション特性を読み出し、S504に進む。アプリケーション特性判断部302が、アプリケーション名に対応するアプリケーション特性を保持していなかった場合、S503に進む。先に述べたように、アプリケーション特性は、データタイプ、暗号化の必要性、上位層での暗号化、遅延、優先度などである。この上位層で行われる暗号化などの処理は、ネットワーク接続機器102aによる処理である。
S503において、アプリケーション特性判断部302は、デフォルトアプリケーション特性を含む論理ネットワーク接続要求を論理ネットワーク制御装置103bに送信し、S505に進む。デフォルトアプリケーション特性とは、最も利用頻度の高いアプリケーションを想定して作成された既定値である。ただし、デフォルトアプリケーション特性は、アプリケーションの利用頻度以外の情報に基づいて作成しても良い。本実施形態のデフォルトアプリケーション特性は、リアルタイム通信アプリケーションのアプリケーション特性に基づいて作成されているものとする。
S504において、アプリケーション特性判断部302は、S501で受信したアプリケーション名、及びS502で読み出されたアプリケーション特性を含む論理ネットワーク接続要求を論理ネットワーク制御装置103bに送信し、S505に進む。
論理ネットワーク制御装置103bのアプリケーション特性判断部302は、論理ネットワーク制御装置103aから送信されたアプリケーション名を用いて、アプリケーション特性判断部302に登録されているアプリケーション特性を検索する。そして、該当するアプリケーション特性が登録されていた場合、アプリケーション特性判断部302は、S504で送信されてきたアプリケーション特性との比較を行う。また、該当するアプリケーション特性が登録されていない場合、アプリケーション特性判断部302は、デフォルトアプリケーション特性とS504で送信されてきたアプリケーション特性との比較を行う。その比較の結果、2つのアプリケーション特性に応じたVPN接続が可能であるか否かを判断し、その判断結果を論理ネットワーク制御装置103aに送信する。ここで、2つのアプリケーション特性に応じたVPN接続が可能であると判断された場合、論理ネットワーク制御装置103bに登録されていたアプリケーション特性の情報を、判断結果とともに論理ネットワーク制御装置103aに送信する。この判断については、後述する。
S505では、論理ネットワーク制御装置103aのアプリケーション特性判断部302が、論理ネットワーク制御装置103bから送信された判断結果、及びアプリケーション特性を受信する。即ち、論理ネットワーク制御装置103aのアプリケーション特性判断部302は、LAN101b(第2のネットワーク)に接続されたネットワーク接続機器102b(通信装置)により行われる通信データに対する処理の内容(アプリケーション特性)を受信する。
そして、受信された情報に基づいて、論理ネットワーク制御装置103bとの間でVPN接続が可能であるか否かの判断を行う。アプリケーション特性判断部302が、アプリケーション特性に応じたVPN接続が可能であると判断した場合、S506に進む。アプリケーション特性判断部302が、アプリケーション特性に応じたVPN接続が不可能であると判断した場合、S510に進む。VPN接続が不可能であると判断される場合の例として、論理ネットワーク制御装置103bからアプリケーション特性を取得できなかった場合や、トランスポートプロトコルが通信不可能である場合がある。また、他にも、何らかの理由により論理ネットワーク制御装置103bがダウン、または、LAN101bから切断されている場合もある。S503、S504、S505のような処理を行うことにより、論理ネットワーク制御装置103aは、ネットワークの接続先の通信装置(ネットワーク接続機器102b)のアプリケーションにとっても、適したパラメータで通信が行えることを確認できる。ただし、これらの処理は行わなくても構わない。
S506(判断手順)において、ネゴシエーション部301は、S502にて読み出されたアプリケーション特性の情報に基づいて、VPN接続に用いるための提案パラメータを決定し、S507に進む。即ち、ネゴシエーション部301は、通信実行時に、通信データに対してネットワーク接続機器102a(通信装置)における、通信のための設定(アプリケーションの特性)を判断する。そして、ネゴシエーション部301は、その設定に基づいて、論理ネットワーク制御装置103bに提案するパラメータを決定する。即ち、ネゴシエーション部301は、ネットワーク接続機器102a(通信装置)の設定(アプリケーション特性)に応じて、論理ネットワーク制御装置103aによる通信データの変換に関するパラメータの候補(提案パラメータ)を決定する。尚、ネゴシエーション部301は、S402で登録されている識別情報701を用いて、ネットワーク接続機器102a(通信装置)の設定(アプリケーション特性)を判断している。ここで、識別情報701とは、前述のように、アプリケーション名、バージョン、ネットワーク接続機器102aのIPアドレス、当該アプリケーションで利用するポート番号などである。また、先に述べたように、アプリケーション特性702は、データタイプ、暗号化の必要性、上位層での暗号化、遅延、優先度などであり、これらは、ネットワーク接続機器102aの設定を表わす。論理ネットワーク制御装置103aと103bは、ネットワーク接続機器102aと102bとの間の通信に必要な処理のうち、ネットワーク接続機器102aと102bが行う処理では足りない処理を実行する。提案パラメータは、このネットワーク接続機器102aと102bが行う処理では足りない処理に相当する。
S507において、ネゴシエーション部301は、論理ネットワーク制御装置102bとVPN接続に用いるパラメータのネゴシエーションを行う。ネゴシエーションを行うことで、論理ネットワーク制御装置103aは、ネットワーク接続機器102aとネットワーク接続機器102bのアプリケーションの特性を考慮したVPN接続のパラメータで通信を行うことができる。ネットワーク接続機器102bは、ネットワークの接続先の通信装置である。ただし、S506で決定された提案パラメータを用いてVPN接続を開始するよう、論理ネットワーク制御装置103bに指示しても良い。また、S506における提案パラメータの決定とネゴシエーションの詳細は後述する。このようにして、論理ネットワーク制御装置103aが、ネットワーク接続機器102aによる処理に応じて、ネットワーク接続機器102aからネットワーク接続機器102bへ送信されるデータに対して、どのようにセキュリティを確保するための変換を行うかが決定される。
S507のネゴシエーションが成功した場合、S508に進む。ネゴシエーションが何らかの理由により失敗した場合、S510に進む。
S508において、論理ネットワーク制御装置103aの論理ネットワーク制御部300は、論理ネットワーク制御装置103bとの間で、S507のネゴシエーションによって決定したパラメータによるVPN接続を開始し、S509に進む。即ち、論理ネットワーク制御部300は、ネットワーク接続機器102aによる処理の行われた通信データを受信する(受信手順)。そして、ネゴシエーション部301により判断された設定に応じて、受信した通信データを、セキュリティを確保するための変換をする(変換手順)。さらに、論理ネットワーク制御部300は、変換された通信データをLAN101b(第2のネットワーク)に接続された論理ネットワーク制御装置103bへ送信する(送信手順)。一方、論理ネットワーク制御部300は、LAN101b(第2のネットワーク)の論理ネットワーク制御装置103bから送信される、セキュリティを確保するための処理の行われた通信データを受信する。そして、受信された通信データを、ネゴシエーション部301により判断された設定に応じて変換する。さらに、変換された通信データをLAN101aに接続されるネットワーク接続機器102aに送信する。
S509において、論理ネットワーク制御部300は、ネットワーク接続機器102aのアプリケーションに、VPN接続の完了を通知し、VPN接続の開始処理を終了する。
S510において、論理ネットワーク制御部300は、ネットワーク接続機器102aのアプリケーションに、VPN接続に失敗したことを示すメッセージ、及びアプリケーション特性の変更を促すメッセージを通知し、S511に進む。
S511において、論理ネットワーク制御部300は、ネットワーク接続機器102aのアプリケーションからアプリケーション特性の変更要求が入力されたか否かの判断を行う。論理ネットワーク制御部300がネットワーク接続機器102aのアプリケーションからアプリケーション特性の変更要求が入力されたと判断した場合、論理ネットワーク制御部300は新たなアプリケーション特性を受信する。論理ネットワーク制御部300は新たなアプリケーション特性をアプリケーション特性判断部302に渡し、S504に進む。
S511において、論理ネットワーク制御部300がネットワーク接続機器102aのアプリケーションからアプリケーション特性の変更要求が入力されなかったと判断した場合、VPN接続の開始処理を終了する。即ち、論理ネットワーク制御部300は、論理ネットワーク制御装置103bからデータ(提案パラメータ)の受信する。そして、受信したデータが、LAN101a(第1のネットワーク)とLAN101b(第2のネットワーク)間の通信ができないことを示すデータであった場合、ネットワーク接続機器102a(通信装置)による処理(アプリケーション特性)の変更を受け付ける。S511において、論理ネットワーク制御部300がアプリケーション特性の変更要求が入力されなかったと判断する場合として、ネットワーク接続機器102aが、アプリケーション特性を変更しないというメッセージを送信する場合がある。また、論理ネットワーク制御装置103aの論理ネットワーク制御部300が、ある一定時間待つことによって、アプリケーション特性の変更を要求していないと判断することもできる。このように、論理ネットワーク制御部300は、能動的、あるいは、受動的にアプリケーション特性の変更に関する判断を行うことができる。また、ネットワーク接続機器102bで、アプリケーション特性を変更するようにしてもよい。
このように、VPNの接続に失敗したときに、アプリケーション特性の変更を受け付けることで、通信装置(ネットワーク接続機器)による通信データの処理に応じたネットワーク接続のパラメータを効率良く決定することができる。ただし、この処理を行わなくても構わない。
以上のように、まず、論理ネットワーク制御装置103a(セキュリティ通信装置)は、あらかじめネットワーク接続機器102a(通信装置)から登録されたアプリケーション情報を用いて、通信実行時に、通信装置における通信のための設定を判断する。そして、判断された設定に応じて通信データを変換している。このようにすることで、セキュリティ通信装置によるネットワークの接続に基づいて、通信装置がデータの送受信を行う際に、セキュリティ通信装置は、通信装置が通信データに対して行う処理を考慮してネットワークを接続できる。
次に、S506におけるVPN接続に用いる提案パラメータの決定及び、S507で行われる、論理ネットワーク制御装置103aと論理ネットワーク制御装置103b間のネゴシエーションの手順について、例を挙げて説明する。まず、S506において、論理ネットワーク制御装置103aのネゴシエーション部301は、S502にて読み出されたアプリケーション特性の情報に基づいて、提案パラメータの決定を行う。提案パラメータは、セキュリティ通信装置により行われる通信データの変換に関するパラメータの候補である。図9は、アプリケーション毎の提案パラメータ(アプリケーション特性から決定される提案パラメータ)の一例である。
図9の番号901に示されるアプリケーション1〜6は、図8の番号801のアプリケーション1〜6にそれぞれ対応している。
トランスポートプロトコル902は、VPN接続に使用されるトランスポートプロトコルを示すパラメータで、本実施形態では、優先的にUDPが利用される。しかし、接続環境、および、ネットワーク環境に応じて、TCP等の他のトランスポートプロトコルでの接続を行うことも可能である。
パケット暗号化903は、VPN接続そのものに暗号化の処理を行うか否かを示すパラメータである。パケット暗号化903が必要ありの場合、論理ネットワーク制御装置103によりパケットが暗号化されたVPN接続が行われ、必要なしの場合、論理ネットワーク制御装置103によりパケットが暗号化されないVPN接続が行われる。
パケット圧縮904は、VPN接続を行う際にパケットの圧縮を行うか否かを示すパラメータである。パケット圧縮904が可能の場合、論理ネットワーク制御装置103間でパケット圧縮が行われ、不可の場合、論理ネットワーク制御装置103間でのパケット圧縮は行われない。
バッファリング905は、VPN接続を行う際にパケットをバッファリングするか否かを示すパラメータである。可能の場合、論理ネットワーク制御装置103は、パケットのバッファリングを行い、不可の場合、論理ネットワーク制御装置103は、パケットのバッファリングを行わない。尚、バッファリング905が可能の場合、バッファリングのサイズをパラメータに含めても良い。
優先制御906は、VPN接続を行う際のパケットの優先度を示したパラメータである。優先制御906が高の場合、論理ネットワーク制御装置103は、そのアプリケーションのデータを最も優先的に処理を行う。中の場合、論理ネットワーク制御装置103は、一般的な優先度で処理を行う。低の場合、論理ネットワーク制御装置103は、他のアプリケーションのデータを優先して処理を行う。
例えば、図7に示したアプリケーションの場合、アプリケーション特性は、図8のアプリケーション2に相当する。すなわち、暗号化の必要はあり、上位層での暗号化はしない、遅延は低遅延、優先度は中である。そして、ネゴシエーション部301は、S506にて、当該アプリケーション特性から、図9のアプリケーション2に示されるようにVPN接続に用いる提案パラメータを決定する。即ち、トランスポートプロトコル902はUDP、パケット暗号化903は必要あり、パケット圧縮904は不可、バッファリング905は不可、優先制御906は中となる。なお、この場合、暗号化は必要あるが、上位層(ネットワーク接続機器102a)では暗号化しないので、論理ネットワーク制御装置103aで暗号化を行う。
さらに、S506における提案パラメータの決定について、図8のアプリケーション3を例に挙げて説明する。アプリケーション3では、暗号化803がyes(する)、上位層暗号化804がyes(する)となっている。これは、先に述べたように、通信データの暗号化が必要であること、及び上位層であるアプリケーションレベルで通信データの暗号化が行われることを示している。ここで、利用するアプリケーション3が通信データの暗号化を必要としていた場合であっても、アプリケーションレベルで通信データの暗号化が行われる場合、VPNでさらに暗号化をする必要は、必ずしも、ない。そこで、ネゴシエーション部301は、図9のアプリケーション3に示されるように、暗号化されたVPN接続を行うか否かを示すパケット暗号化903の項目を、必要なしとして提案パラメータを決定している。即ち、ネゴシエーション部301は、通信実行時に、ネットワーク接続機器102a(通信装置)における通信のための設定(アプリケーションの特性)を判断する。この場合、ネットワーク接続機器102aが暗号化を行うことを判断する。そして、ネゴシエーション部301は、その設定に基づいて、論理ネットワーク制御装置103bに提案するパラメータを決定する。
また、S506において、利用するアプリケーションが許容する遅延量を判断し、判断された遅延量とVPNによるカプセル化や暗号化にかかる遅延量に基づいてバッファリング量やパケット圧縮の有無等の提案パラメータを決定することができる。このようにすることで、通信装置の設定を考慮したネットワークの接続を実現できる。
上記パラメータはあくまでも一例であり、他のパラメータを適用することも可能である。なお、論理ネットワーク制御装置103bも、論理ネットワーク制御装置103aと同様に、提案パラメータを決定する。
次に、論理ネットワーク制御装置103aと論理ネットワーク制御装置103bとの間で行われる、ネゴシエーション(S507)の手順について説明する。
論理ネットワーク制御装置103aのネゴシエーション部301は、S506で決定された提案パラメータ(セキュリティ通信装置によって行う通信データの変換に関するパラメータの候補)を論理ネットワーク制御装置103bに対して送信する。即ち、論理ネットワーク制御装置103aのネゴシエーション部301は、S506で決定された提案パラメータをLAN101b(第2のネットワーク)に接続された論理ネットワーク制御装置103b(第2のセキュリティ通信装置)に送信する。論理ネットワーク制御装置103aから提案パラメータを受けた論理ネットワーク制御装置103bのネゴシエーション部301は、自身が決定した提案パラメータとの比較を行う。ここで、パラメータが一致していた場合は、ネゴシエーションが成功したと判断し、一致したパラメータを用いてVPN接続が行われる。一方、提案パラメータが異なっていると判断された場合は、論理ネットワーク制御装置103aと論理ネットワーク制御装置103bの間でメッセージ交換を行い、VPN接続に用いるパラメータを決める。
本実施形態では、2つの提案パラメータが異なっていると判断した場合、例えば、論理ネットワーク接続要求(S503、504)の受信側である、論理ネットワーク制御装置103bの提案パラメータを用いたVPN接続を試みる。即ち、交換されるメッセージには、論理ネットワーク制御装置103bが、自身の提案パラメータを、論理ネットワーク制御装置103aに通知するためのメッセージが含まれる。そして、論理ネットワーク制御装置103aのネゴシエーション部301は、論理ネットワーク制御装置103bが決定した提案パラメータを受信する。さらに、論理ネットワーク制御装置103aの論理ネットワーク制御部300は、受信されたデータ(提案パラメータ)に応じて、通信データを変換する。ただし、論理ネットワーク制御装置103aの提案パラメータでVPN接続を行うようにすることもできる。また、ネットワーク接続機器102a、102bが提供するサービスの種別などに基づいて、どちらの提案パラメータを採用するか決めるようにしても良い。さらに、パラメータの項目ごとに、どちらのネットワーク接続機器102の提案パラメータを採用するか決めるようにしても良い。
論理ネットワーク制御装置103aは、論理ネットワーク制御装置103bが提案したパラメータを受け入れる場合は、S508に進み、VPN接続を開始する。一方、論理ネットワーク制御装置103aは、論理ネットワーク制御装置103bが提案したパラメータを受け入れない場合は、S510に進み、ネットワーク接続機器102aに、VPN接続に失敗したことを示すメッセージ、及びアプリケーション特性の変更を促すメッセージを通知する。
論理ネットワーク制御装置103aが、提案パラメータを受け入れる場合の例を説明する。例えば、論理ネットワーク接続要求(S503、504)の送信側である論理ネットワーク制御装置103a側の、暗号化に関するアプリケーション特性が、暗号化803がno(しない)、上位層暗号化804がno(しない)であったとする。一方、論理ネットワーク接続要求の受信側である論理ネットワーク制御装置103b側の暗号化に関するアプリケーション特性は、暗号化803がyes(する)で、上位層暗号化804がno(しない)であったとする。この場合、論理ネットワーク制御装置103a(及びb)は、S505において、アプリケーション特性に応じた接続は可能と判断する。そして、S506において、論理ネットワーク制御装置103aは、通信データの暗号化が必要ないと判断し、VPNレベルでの通信データの暗号化を行わない(パケット暗号化903が必要なし)ように、提案パラメータを決定する。それに対し、論理ネットワーク制御装置103bで決定した提案パラメータは、VPNレベルの暗号化を行うことを示す(パケット暗号化903が必要あり)パラメータを提案する。この場合、論理ネットワーク制御装置103aは、VPNレベルでの暗号化を行うように、自身のパラメータを変更する。
また、例えば、論理ネットワーク制御装置103a側の暗号化に関するアプリケーション特性が、暗号化803がyes(する)で、上位層暗号化804がyes(する)であったとする。そして、論理ネットワーク制御装置103b側のアプリケーション特性が、暗号化803がyes(する)で、上位層暗号化804がyes(する)であったとする。さらに、このとき、論理ネットワーク制御装置103aの提案パラメータが、パケット暗号化903が必要なしで、論理ネットワーク制御装置103bの提案パラメータが、パケット暗号化903が必要ありであったとする。この場合、論理ネットワーク制御装置103aは、接続先のアプリケーションで、通信データの2重の暗号化が要求されていると判断し、提案されたパラメータを受け入れるようにすることができる。
一方、論理ネットワーク制御装置103aが、論理ネットワーク制御装置103bから送信された提案パラメータを受け入れない場合の例を挙げる。例えば、論理ネットワーク制御装置103a側のアプリケーション特性は、暗号化803がyes(する)、上位層暗号化804がno(しない)となっていたとする。一方、論理ネットワーク制御装置103b側のアプリケーション特性は、暗号化803がno(しない)、上位層暗号化804がno(しない)であったとする。即ち、暗号化の必要性に関するアプリケーション特性は異なるが、上位層暗号化に関するアプリケーション特性は同じである場合である。このような場合、S505において、論理ネットワーク制御装置103aは、アプリケーション特性に基づくVPN接続が可能であると判断する。また、論理ネットワーク制御装置103bも同様に、アプリケーション特性に基づくVPN接続が可能であると判断する。
そして、論理ネットワーク制御装置103aは、S506において、パケット暗号化903(VPNレベルでの暗号化)を必要ありとして提案パラメータを決定する。しかしながら、論理ネットワーク制御装置103bから提案されたパラメータがVPNレベルの暗号化を行わないことを示していたとする。
この場合、論理ネットワーク制御装置103bからの提案パラメータを受け入れてしまうと、通信データの暗号化が必要な論理ネットワーク103aのアプリケーションにおける通信で、上位層、及びVPNレベルのどちらでも暗号化がされずに通信が行われてしまう。そこで、このような場合は、論理ネットワーク制御装置103aは、提案されたパラメータを受け入れないようにする。また、このような場合、論理ネットワーク制御装置103aがS506で決定した提案パラメータを、論理ネットワーク制御装置103bに提案するようにしても良い。
このように、ネゴシエーションを行うことで、ネットワークの接続先の通信装置(ネットワーク接続機器102b)のアプリケーションの特性を考慮したVPN接続のパラメータで通信を行うことができる。ただし、S506で決定された提案パラメータを用いてVPN接続を開始するよう、論理ネットワーク制御装置103bに指示しても良い。
論理ネットワーク制御装置103aの論理ネットワーク制御部300は、論理ネットワーク制御装置103bとの間で行うVPN接続を、上記のようにして決定されたパラメータに基づいて行う。即ち、論理ネットワーク制御部300は、ネゴシエーション部301により判断された設定(ネットワーク接続機器102aが用いるアプリケーションの特性)に応じて、通信データの変換を行う。そして、変換された通信データを論理ネットワーク制御装置103bに送信する。
次に、論理ネットワーク接続要求を受けた論理ネットワーク制御装置103bの処理について、図6を用いて説明する。図6は、図10における論理ネットワーク制御装置103bが、論理ネットワーク接続要求の受信から始まるVPNの接続開始処理の流れを示すフローチャートである。なお、論理ネットワーク制御装置103aも、論理ネットワーク制御装置103bから論理ネットワーク接続要求を受信した場合は、この図6と共通の処理を行う。
S601において、論理ネットワーク制御装置103bの論理ネットワーク制御部300は、論理ネットワーク制御装置103aから、論理ネットワーク接続要求を受信する。論理ネットワーク制御部300は、受信した論理ネットワーク接続要求に含まれるアプリケーション名、及びアプリケーション特性をアプリケーション特性判断部302に渡し、S602に進む。
S602において、アプリケーション特性判断部302は、S601にて渡されたアプリケーション名に対応するアプリケーション特性の検索を行う。アプリケーション特性判断部302が、アプリケーション特性の検索に成功した場合、S604に進む。アプリケーション特性判断部302が、取得したアプリケーション名に該当するアプリケーション特性の検索に失敗した場合、S603に進む。
S603において、アプリケーション特性判断部302は、デフォルトアプリケーション特性を読み出し、S605に進む。S604において、アプリケーション特性判断部302は、S602の検索によって得られたアプリケーション特性を読み出し、S605に進む。
S605において、アプリケーション特性判断部302は、S601で受信したアプリケーション特性と、S603或いはS604において読み出したアプリケーション特性の比較を行う。そして、論理ネットワーク制御装置103bのアプリケーション特性判断部302は、上記2つのアプリケーション特性に応じたVPN接続が可能であるかどうかの判断を行う。S605でアプリケーション特性に応じたVPN接続が可能であると判断される場合の例として、例えば、図8に示したアプリケーション特性のうち、優先度806のみが異なるようなアプリケーション特性の組み合わせが挙げられる。この場合、例えば、後述するネゴシエーションにおいて、優先度806が高い、即ち、アプリケーションがより優先的な処理を要求しているほうに合わせてVPN接続のパラメータを決定する。また、他の例として、例えば、論理ネットワーク制御装置103a側の暗号化803がyes(する)、上位層暗号化804がno(しない)の場合を考える。このとき、論理ネットワーク制御装置103b側の暗号化803がno(しない)、上位層暗号化804がno(しない)の場合、VPN接続が可能と判断される。この場合、後述のネゴシエーションによって、VPNレベルでの暗号化を行う(パケット暗号化903を必要あり)ようにすることにより、VPN接続を行える可能性がある。
一方、S605でアプリケーション特性に応じたVPN接続が不可能であると判断される場合の例として、例えば、上位層暗号化804のアプリケーション特性が異なる場合が挙げられる。この場合、VPN接続におけるパラメータをどのようにしても、VPN接続に基づくネットワーク接続機器102間の通信はできないと判断する。よって、このような場合、アプリケーション特性判断部302は、S605において、アプリケーション特性に応じたVPN接続ができないと判断する。また、本実施形態のアプリケーション特性判断部302は、アプリケーションが扱うデータタイプ802が異なる場合も、アプリケーション特性に応じたVPN接続ができないと判断する。
アプリケーション特性判断部302がアプリケーション特性に応じたVPN接続が可能であると判断した場合、当該判断を示す判断結果とS603又はS604で読み出したアプリケーション特性を、論理ネットワーク制御装置103aに送信し(S6055)、S606に進む。アプリケーション特性判断部302がアプリケーション特性に応じたVPN接続が不可能であると判断した場合、当該判断を示す判断結果を論理ネットワーク制御装置103aに送信し、S610に進む。S606において、論理ネットワーク制御装置103bのネゴシエーション部301は、S603或いはS604で読み出されたアプリケーション特性に基づいて、提案パラメータを決定し、S607に進む。アプリケーション特性に基づいた提案パラメータの決定手順については、前述の通りである。
S607において、論理ネットワーク制御装置103bのネゴシエーション部301は、論理ネットワーク制御装置103aとの間で、VPN接続に用いるパラメータのネゴシエーションを行う。
ここで、論理ネットワーク制御装置103aから論理ネットワーク接続要求を受信した論理ネットワーク制御装置103bにおけるネゴシエーションの手順を説明する。まず、論理ネットワーク制御装置103aから、提案パラメータを受信する。そして、論理ネットワーク制御装置103bのネゴシエーション部302は、論理ネットワーク制御装置103aから受信した提案パラメータとS606で決定した提案パラメータとの比較を行う。ここで、提案パラメータが一致していた場合は、ネゴシエーションが成功したと判断され、一致したパラメータを用いてVPN接続が行われる。一方、提案パラメータが異なっていると判断された場合は、論理ネットワーク制御装置103bと論理ネットワーク制御装置103aとの間でメッセージ交換を行い、VPN接続に用いるパラメータを決める。本実施形態では、2つの提案パラメータが異なる場合、まず、論理ネットワーク接続要求(F103)の受信側である、論理ネットワーク制御装置103bの提案パラメータによるVPN接続を試みる。即ち、交換されるメッセージには、論理ネットワーク制御装置103bが、自身の提案パラメータを、論理ネットワーク制御装置103aに通知するためのメッセージが含まれる。ただし、論理ネットワーク制御装置103aの提案パラメータでVPN接続を行うようにすることもできる。また、ネットワーク接続機器102a、102bが提供するサービスの種別などに基づいて、どちらの提案パラメータを採用するか決めるようにしても良い。さらに、パラメータの項目ごとに、どちらのネットワーク接続機器102の提案パラメータを採用するか決めるようにしても良い。
このように、ネゴシエーションを行うことで、ネットワークの接続先の通信装置(ネットワーク接続機器102b)のアプリケーションの特性を考慮したVPN接続のパラメータで通信を行うことができる。ただし、S506で決定された提案パラメータを用いてVPN接続を開始するよう、論理ネットワーク制御装置103bに指示しても良い。
ネゴシエーションが成功した場合、S608に進む。ネゴシエーションが何らかの理由により失敗した場合、S610に進む。
S608において、論理ネットワーク制御装置103bの論理ネットワーク制御部300は、S607で決定したパラメータを用いて論理ネットワーク制御装置103aとの間でVPN接続を開始し、S609に進む。
S609において、論理ネットワーク制御部300は、ネットワーク接続機器102bのアプリケーションにVPN接続の完了を通知し、処理を終了する。
S610において、論理ネットワーク制御部300は、論理ネットワーク制御装置103aから、S511の処理によって変更されたアプリケーション特性が送信されてきたか否かを判断する。論理ネットワーク制御部300が論理ネットワーク制御装置103aから送信された、新たなアプリケーション特性を受信した場合、S605に進む。
S610において、論理ネットワーク制御部300が論理ネットワーク制御装置103aから、変更されたアプリケーション特性が送信されなかったと判断した場合、処理を終了する。
S610において、論理ネットワーク制御部300が変更されたアプリケーション特性が送信されなかったと判断する場合として、論理ネットワーク制御装置103aから、アプリケーション特性を変更しないというメッセージを受信する場合がある。また、論理ネットワーク制御部300が、ある一定時間待つことによって、アプリケーション特性の変更がないと判断することもできる。このように、論理ネットワーク制御部300は、能動的、あるいは受動的に判断を行うことができる。また、ネットワーク接続機器102bにおいて、アプリケーション特性を変更するようにしてもよい。
このように、VPNの接続に失敗したときに、アプリケーション特性の変更を受け付けることで、通信装置(ネットワーク接続機器)による通信データの処理に応じたネットワーク接続のパラメータを効率良く決定することができる。ただし、この処理を行わなくても構わない。
尚、本実施形態のVPNは、レイヤ2VPN、レイヤ3VPN、など、1つのVPNに限るものではなく、様々な種類のVPNに適用することもできる。また、本実施形態では、一対の論理ネットワーク制御装置の例を示したが、これに限らず、複数の論理ネットワーク制御装置が接続されていてもよい。その場合、論理ネットワーク制御装置間のネゴシエーションは、複数機器間で論理ネットワーク用のパラメータを含むメッセージの交換が行われ、論理ネットワークのパラメータが決定される。
以上、本発明の一実施形態を示した。
<実施形態2>
本発明の目的は、次の形態によっても達成される。即ち、前述した実施形態の機能を実現するソフトウエアのプログラムコードを記録した記録媒体を、システムあるいは装置に供給する。そして、そのシステムあるいは装置のコンピュータ(またはCPUまたはMPU)が記録媒体に格納されたプログラムコードを読み出し実行する形態である。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することとなり、そのプログラムコードを記憶した記憶媒体は本発明を構成することになる。
プログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、磁気テープ、不揮発性のメモリカード、ROM、DVDなどを用いることができる。
また、本発明は、コンピュータが読み出したプログラムコードを実行することにより、前述した実施例の機能が実現される形態には限られない。すなわち、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOperating System(OS)などが実際の処理の一部または全部を行い、その処理によって前述した実施例の機能が実現される場合も含まれる。
さらに、本発明には、以下の形態も含まれる。すなわち、記憶媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書きこまれる。その後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される形態である。
本実施形態におけるネットワークシステムの構成図である。 本実施形態に係る論理ネットワーク制御装置103aのハードウェア構成図である。 本実施形態に係る論理ネットワーク制御装置103aのモジュール構成図である。 本実施形態に係るアプリケーション情報の登録処理の流れを示すフローチャートである。 本実施形態に係るVPNの接続開始処理の流れを示すフローチャートである。 本実施形態において論理ネットワーク制御装置が論理ネットワーク接続要求の受信時に行う処理の流れを示すフローチャートである。 本実施形態において、ネットワーク接続装置102aから送信されたアプリケーション情報の例である。 本実施形態における、アプリケーション特性判断部に登録されるアプリケーション特性の例である。 本実施形態における、アプリケーション特性から決定されるパラメータの例である。 VPN接続開始処理の全体の流れを示す図である。
符号の説明
102a、102b ネットワーク接続機器
103a、103b 論理ネットワーク制御装置
300 論理ネットワーク制御部
301 ネゴシエーション部
302 アプリケーション特性判断部

Claims (9)

  1. 第1のネットワークと第2のネットワークの間で通信を実現するセキュリティ通信装置であって、
    前記第1のネットワークに接続する接続手段と、
    通信実行時に、前記第1のネットワークに接続された通信装置がセキュリティの確保された通信を行うための処理を行うか否かを示す第1の設定を判断し、かつ、前記通信装置がセキュリティの確保された通信を必要とするか否かを示す第2の設定を判断する判断手段と、
    前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行うことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定し、
    前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行わないことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行うことを決定し、
    前記通信装置がセキュリティの確保された通信を必要としないことを前記第2の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定する決定手段と、
    前記決定手段の決定に応じてセキュリティの確保された通信を行うための処理を行う処理手段と
    を有することを特徴とするセキュリティ通信装置。
  2. 前記第2のネットワークに接続されたセキュリティ通信装置がセキュリティの確保された通信を行うか否かについて決定した処理の内容を受信する受信手段を有し、
    前記決定手段は、前記受信手段が受信した処理の内容に応じて、前記第1のネットワークに接続されたセキュリティ通信装置はセキュリティの確保された通信を行うための処理を行うか否かについて決定する
    ことを特徴とする請求項1記載のセキュリティ通信装置。
  3. 前記受信手段が、前記第1のネットワークと第2のネットワークの間で通信ができないことを示すデータを前記第2のネットワークに接続されたセキュリティ通信装置から受信した場合、前記通信装置の設定の変更を受け付ける受付手段
    を有することを特徴とする請求項2記載のセキュリティ通信装置。
  4. 前記第1のネットワークに接続された通信装置の設定と、当該設定の識別情報とを対応付けてあらかじめ記憶する記憶手段を有し、
    前記判断手段は、前記記憶手段によって記憶されている設定の識別情報に基づいて、前記第1のネットワークに接続された通信装置の前記第1の設定を判断する
    ことを特徴とする請求項1に記載のセキュリティ通信装置。
  5. 前記判断手段は、通信実行時に、前記第1のネットワークに接続された通信装置が通信に利用するアプリケーションがセキュリティの確保された通信を行うための処理を行うか否かを示す第1の設定を判断し、かつ、前記第1のネットワークに接続された通信装置が通信に利用するアプリケーションがセキュリティの確保された通信を必要とするか否かを示す第2の設定を判断し、
    前記決定手段は、前記通信装置が通信に利用するアプリケーションがセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって、前記通信装置が通信に利用するアプリケーションがセキュリティの確保された通信を行うための処理を行うことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定し、
    前記通信装置が通信に利用するアプリケーションがセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置が通信に利用するアプリケーションがセキュリティの確保された通信を行うための処理を行わないことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行うことを決定する
    とを特徴とする請求項1に記載のセキュリティ通信装置。
  6. 第1のネットワークに接続されたセキュリティ通信装置が、前記第1のネットワークと第2のネットワークの間で通信を実現するセキュリティ通信方法であって、
    通信実行時に、前記第1のネットワークに接続された通信装置がセキュリティの確保された通信を行うための処理を行うか否かを示す第1の設定を判断し、かつ、前記通信装置がセキュリティの確保された通信を必要とするか否かを示す第2の設定を判断する判断工程と、
    前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行うことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定し、
    前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行わないことを前記第1の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行うことを決定し、
    前記通信装置がセキュリティの確保された通信を必要としないことを前記第2の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定する決定工程と、
    前記決定工程における決定に応じてセキュリティの確保された通信を行うための処理を行う処理工程と
    を有することを特徴とするセキュリティ通信方法。
  7. 前記第2のネットワークに接続されたセキュリティ通信装置がセキュリティの確保された通信を行うか否かについて決定した処理の内容を受信する受信工程を有し、
    前記受信工程において受信した処理の内容に応じて、前記第1のネットワークに接続されたセキュリティ通信装置がセキュリティの確保された通信を行うための処理を行うか否かを前記決定工程において決定することを特徴とする請求項6記載のセキュリティ通信方法。
  8. 第1のネットワークに接続されたコンピュータに、
    通信実行時に、前記第1のネットワークに接続された通信装置がセキュリティの確保された通信を行うための処理を行うか否かを示す第1の設定を判断し、かつ、前記通信装置がセキュリティの確保された通信を必要とするか否かを示す第2の設定を判断する判断手順と、
    前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行うことを前記第1の設定が示す場合には前記コンピュータがセキュリティの確保された通信を行うための処理を行わないことを決定し、
    前記通信装置がセキュリティの確保された通信を必要とすることを前記第2の設定が示す場合であって前記通信装置がセキュリティの確保された通信を行うための処理を行わないことを前記第1の設定が示す場合には前記コンピュータがセキュリティの確保された通信を行うための処理を行うことを決定し、
    前記通信装置がセキュリティの確保された通信を必要としないことを前記第2の設定が示す場合には前記セキュリティ通信装置がセキュリティの確保された通信を行うための処理を行わないことを決定する決定手順と、
    前記決定手順における決定に応じてセキュリティの確保された通信を行うための処理を行う処理手順と
    を実行させるためのプログラム。
  9. 前記コンピュータに、
    前記第2のネットワークに接続されたセキュリティ通信装置がセキュリティの確保された通信を行うか否かについて決定した処理の内容を受信する受信手順を実行させ、
    前記受信手順において受信した処理の内容に応じて、前記第1のネットワークに接続されたコンピュータがセキュリティの確保された通信を行うための処理を行うか否かを前記決定手順において決定する処理を前記コンピュータに実行させるための請求項8に記載のプログラム。
JP2008001395A 2008-01-08 2008-01-08 セキュリティ通信装置、及び方法 Expired - Fee Related JP5258305B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008001395A JP5258305B2 (ja) 2008-01-08 2008-01-08 セキュリティ通信装置、及び方法
US12/350,150 US8856915B2 (en) 2008-01-08 2009-01-07 Security communication apparatus and security communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008001395A JP5258305B2 (ja) 2008-01-08 2008-01-08 セキュリティ通信装置、及び方法

Publications (2)

Publication Number Publication Date
JP2009164960A JP2009164960A (ja) 2009-07-23
JP5258305B2 true JP5258305B2 (ja) 2013-08-07

Family

ID=40845530

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008001395A Expired - Fee Related JP5258305B2 (ja) 2008-01-08 2008-01-08 セキュリティ通信装置、及び方法

Country Status (2)

Country Link
US (1) US8856915B2 (ja)
JP (1) JP5258305B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5254909B2 (ja) * 2009-09-02 2013-08-07 日本電信電話株式会社 設定情報配信システム、設定情報配信方法、配信サーバ、及び配信サーバプログラム
JP2012048576A (ja) * 2010-08-27 2012-03-08 Toshiba Corp データ送信処理装置及びデータ送信プログラム
JP6529694B2 (ja) 2017-02-03 2019-06-12 三菱電機株式会社 転送装置および通信ネットワーク

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5689678A (en) * 1993-03-11 1997-11-18 Emc Corporation Distributed storage array system having a plurality of modular control units
JP2001086156A (ja) * 1999-09-10 2001-03-30 Fujitsu Ltd 拡張pppフレームを用いた通信システム
US6734886B1 (en) * 1999-12-21 2004-05-11 Personalpath Systems, Inc. Method of customizing a browsing experience on a world-wide-web site
JP2002101127A (ja) * 2000-09-25 2002-04-05 Fujitsu Ltd Ppp接続制御方式
US7085376B2 (en) * 2001-02-14 2006-08-01 Copytele, Inc. Method and system for securely exchanging encryption key determination information
JP2002314587A (ja) 2001-04-17 2002-10-25 Hitachi Ltd ルート設定方法、ルート設定サービス方法、ネットワーク経路管理システム及びネットワーク支援システム
JP2003244194A (ja) * 2002-02-18 2003-08-29 Mitsubishi Electric Corp データ暗号装置及び暗号通信処理方法及びデータ中継装置
JP2004015141A (ja) * 2002-06-04 2004-01-15 Fuji Xerox Co Ltd データ伝送システムおよびその方法
JP2004088505A (ja) * 2002-08-27 2004-03-18 Matsushita Electric Ind Co Ltd 並列ストリーム暗復号装置及びその方法並びに並列ストリーム暗復号プログラム
GB0322683D0 (en) * 2003-09-27 2003-10-29 Koninkl Philips Electronics Nv Data encryption method and apparatus
US7428754B2 (en) * 2004-08-17 2008-09-23 The Mitre Corporation System for secure computing using defense-in-depth architecture
JP2006121533A (ja) * 2004-10-22 2006-05-11 Matsushita Electric Ind Co Ltd 中継装置、通信端末、通信システム
JP4938245B2 (ja) 2005-03-28 2012-05-23 Kddi株式会社 資源管理システム
WO2007105362A1 (ja) * 2006-03-07 2007-09-20 Nec Corporation 動画像配信システムおよび変換装置
US7877506B2 (en) * 2006-05-26 2011-01-25 International Business Machines Corporation System, method and program for encryption during routing
US8462952B2 (en) * 2009-08-25 2013-06-11 Verizon Patent And Licensing Inc. Synchronizing management signaling in a network

Also Published As

Publication number Publication date
US8856915B2 (en) 2014-10-07
US20090177879A1 (en) 2009-07-09
JP2009164960A (ja) 2009-07-23

Similar Documents

Publication Publication Date Title
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
JP5175400B2 (ja) アプリケーションおよびサービスにネットワーク通信アソシエーション情報を提供するための方法および装置
US8351333B2 (en) Systems and methods for communicating a lossy protocol via a lossless protocol using false acknowledgements
US10187356B2 (en) Connectivity between cloud-hosted systems and on-premises enterprise resources
US20110219123A1 (en) Network firewall and nat traversal for tcp and related protocols
US11297115B2 (en) Relaying media content via a relay server system without decryption
JP4977229B2 (ja) 通信を中継するための装置、方法、およびプログラム
WO2016045636A1 (zh) 业务处理方法及装置
US20090327730A1 (en) Apparatus and method for encrypted communication processing
US8966244B2 (en) Embedded apparatus, remote-processing method, and computer program product
JP2006018399A (ja) 情報処理装置、情報処理方法およびプログラム
JP5258305B2 (ja) セキュリティ通信装置、及び方法
US8646066B2 (en) Security protocol control apparatus and security protocol control method
JP5455495B2 (ja) 通信装置、通信方法及びプログラム
JP5131118B2 (ja) 通信システム、管理装置、中継装置、及びプログラム
JP4553923B2 (ja) 通信接続プログラム、通信装置及び通信接続方法
JP5094474B2 (ja) 通信装置
JP4211738B2 (ja) インターネットファクシミリ装置
JP4930856B2 (ja) 通信システム、ゲートウェイ装置、クライアント装置、コンピュータ名変換方法およびプログラム
JP2006042207A (ja) 通信機器
JP2008099211A (ja) ネットワーク接続装置及びネットワーク接続方法

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100201

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20100630

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121016

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130326

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130423

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160502

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 5258305

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees