JP6036442B2 - 暗号通信装置、暗号通信方法、および暗号通信プログラム - Google Patents

暗号通信装置、暗号通信方法、および暗号通信プログラム Download PDF

Info

Publication number
JP6036442B2
JP6036442B2 JP2013058782A JP2013058782A JP6036442B2 JP 6036442 B2 JP6036442 B2 JP 6036442B2 JP 2013058782 A JP2013058782 A JP 2013058782A JP 2013058782 A JP2013058782 A JP 2013058782A JP 6036442 B2 JP6036442 B2 JP 6036442B2
Authority
JP
Japan
Prior art keywords
data
packet
unit
security association
matching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013058782A
Other languages
English (en)
Other versions
JP2014183562A (ja
Inventor
勇 福田
勇 福田
鉄太 坂部
鉄太 坂部
利宏 小林
利宏 小林
信之 福田
信之 福田
和宏 安野
和宏 安野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013058782A priority Critical patent/JP6036442B2/ja
Priority to US14/203,858 priority patent/US9397831B2/en
Publication of JP2014183562A publication Critical patent/JP2014183562A/ja
Application granted granted Critical
Publication of JP6036442B2 publication Critical patent/JP6036442B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、暗号通信装置、暗号通信方法、および暗号通信プログラムに関する。
近年、Internet Protocol(IP)は、固定通信および移動体通信を問わず、多くの通信基盤で用いられつつある。また、移動体通信の分野では、インターネットに接続してデータを送受信する様々なアプリケーションプログラムを実装可能な多機能携帯電話が普及しつつある。こうした多機能携帯電話は、スマートフォンとも称される。
上述した多機能携帯電話には、例えば、Voice over IP(VoIP)を利用した通話アプリケーションソフトウェアや、IPテレビ電話アプリケーションソフトウェアが実装され得る。こうしたアプリケーションソフトウェアによる通信には、伝送遅延を抑えるために、64バイトや128バイト等のショートパケットが用いられる。ショートパケットは、1つのパケットで伝送可能なデータ量が少ないため、データを伝送するためのパケット数が多くなる。また、こうしたアプリケーションソフトウェアでは、ユーザデータ信号が通信されない間においても、制御信号が定期的に通信される。この結果、多機能携帯電話によるこうしたアプリケーションソフトウェアの利用が増加するにつれて、通信システム内のトラフィックは増加している。
通信システム内において、ユーザデータ信号および制御信号等のIPパケットは、セキュリティ対策のために暗号化されて伝送され得る。暗号化プロトコルには、例えば、Security Architecture for Internet Protocol(IPsec)が挙げられる。IPsecによるデータの暗号化は、IP層で行われ、IPsecよりも上層のアプリケーションソフトウェアに従った通信は、IPsecによる暗号化が意識されずに実行される。セキュリティゲートウェイ等のIPパケットの暗号通信処理を行う装置の処理負担は、上述したような通信システム内のトラフィックの増加に伴い増加している。
なお、IPパケットの暗号通信処理を行う装置の処理負担を軽減し得る技術としては、次のような技術が知られている。すなわち、セキュリティ機能を有するIPネットワークシステムにおいて、送信側装置は、パケットデータを複数のパケットにフラグメント化し、フラグメント化された複数のパケットそれぞれについて、暗号化送信する対象のパケットか否かを判定する。そして、送信側装置は、フラグメント化された複数のパケットの内、暗号化送信する対象のパケットのみにIPsec通信を適用し、残りのパケットを暗号化せずに送信する。
特開2010−34860号公報
上述した周知技術では、送信側装置は、複数のパケットにフラグメント化された一部のパケットデータを暗号化して送信し、フラグメント化された残りのパケットデータを暗号化せずに送信するにすぎない。すなわち、上述した周知技術では、全てのパケットデータが通信システム内に伝送されるため、前述したような通信システム内のトラフィックの増加は、抑制されない。
発明が解決しようとする課題は、通信システム内で伝送されるパケット内のデータのセキュリティが確保されながら通信システム内のトラフィックが削減される暗号通信を実現することである。
一実施形態に従えば、暗号通信装置は、パターン生成部、鍵情報交換部、および鍵情報部を含む。パターン生成部は、処理対象パケット内のデータとサンプルパケット内のデータとのデータパターンが一致するデータ部分をマッチングデータとして含むセキュリティアソシエーションを生成するか否かを判定する。鍵情報交換部は、パターン生成部によりセキュリティアソシエーションを生成すると判定された場合に、マッチングデータおよび鍵データを含む鍵情報交換パケットを対向装置へ送信する。また、鍵情報交換部は、セキュリティアソシエーションのセキュリティアソシエーション識別子を含む鍵情報交換パケットを対向装置から受信する。そして、鍵情報交換部は、セキュリティアソシエーションを対向装置との間で確立する。鍵情報部には、鍵情報交換部により確立されたセキュリティアソシエーションのマッチングデータ、鍵データ、およびセキュリティアソシエーション識別子が格納される。
一実施形態に従えば、通信システム内で伝送されるパケット内のデータのセキュリティが確保されながら通信システム内のトラフィックが削減される暗号通信を実現できる。
第1の実施形態に従った通信システムの例示的構成図である。 無線通信端末装置の例示的ハードウェア構成図である。 無線基地局装置の例示的ハードウェア構成図である。 ゲートウェイの例示的ハードウェア構成図である。 第1の実施形態に従った暗号通信装置の例示的機能構成図である。 鍵情報部に格納されるデータベースの説明図である。 SAの例示的構成図である。 例示的なマッチングデータの説明図である。 例示的なマッチングデータの説明図である。 図8Bの例示的マッチングデータが用いられた暗号通信の説明図である。 図8Bの例示的マッチングデータが用いられた暗号通信の説明図である。 第1の実施形態に従った暗号処理の例示的フロー図である。 専用トンネル生成処理の例示的フロー図である。 1つのパケットを基に作成される例示的なマッチングデータの説明図である。 1つのパケットを基に作成される例示的なマッチングデータの説明図である。 第1の実施形態に従った復号処理の例示的フロー図である。 第1の実施形態に従った通信システムの例示的な暗号通信処理シーケンス図である。 第1の実施形態に従った通信システムの例示的な暗号通信処理シーケンス図である。 第1の実施形態に従った通信システムの例示的な暗号通信処理シーケンス図である。 第1の実施形態に従った通信システムの例示的な暗号通信処理シーケンス図である。 第2の実施形態に従った暗号通信装置の例示的機能構成図である。 第2の実施形態に従った暗号処理の例示的フロー図である。 第2の実施形態に従った復号処理の例示的フロー図である。 第3の実施形態に従った暗号通信装置の例示的機能構成図である。
以下、発明を実施するための形態を図面を参照しながら詳細に説明する。
<第1の実施形態>
図1は、第1の実施形態に従った通信システムの例示的構成図である。図1に示すように、通信システム1は、無線通信端末装置2−1および2−2、無線基地局装置3−1および3−2、ゲートウェイ(GW)4、ならびにコアネットワーク5を含む。また、図1に示した一例では、無線基地局装置3−1および3−2、ならびにゲートウェイ4は、第1の実施形態に従った暗号通信装置6を含む。
図1には、無線基地局装置3−1と無線回線を介して接続された無線通信端末装置2−1、および無線基地局装置3−2と無線回線を介して接続された無線通信端末装置2−2が示されている。しかしながら、無線基地局装置3−1および3−2とそれぞれ接続される無線通信端末装置の数は任意であってよい。図1には、ゲートウェイ4と有線回線を介して接続された2つの無線基地局装置3−1および3−2が示されている。しかしながら、ゲートウェイ4と接続される無線基地局装置の数は、任意であってよい。図1には、コアネットワーク5と有線回線を介して接続される1つのゲートウェイ4が示されている。しかしながら、コアネットワーク5と接続されるゲートウェイの数は、任意であってよい。以下の説明において無線通信端末装置2−1および2−2を特に区別しない場合には、無線通信端末装置2と記載する。また、無線基地局装置3−1および3−2を特に区別しない場合には、無線基地局装置3と記載する。
無線通信端末装置2は、無線基地局装置3との間で無線回線を介してデータを送信および受信する装置である。無線通信端末装置2は、例えば、Third Generation Partnership Project(3GPP)の技術標準仕様書で定義されるUser Equipment(UE)である。無線通信端末装置2は、例えば、スマートフォンと称される多機能携帯電話や、タブレット端末と称される無線通信機能を有する携帯端末装置を含む。
図2は、無線通信端末装置の例示的ハードウェア構成図である。図2に示すように、無線通信端末装置2は、Central Processing Unit(CPU)201、メモリ202、セキュリティ装置203、Digital Signal Processor(DSP)204、増幅器205、アンテナ206、Gigabit Ethernet Layer 2 Switch(GbE L2SW)207、メモリ・周辺装置間入出力(IO)コントローラ208、および記録媒体読み書き装置209を含む。
CPU201は、無線通信端末装置2全体の動作を制御する。メモリ202は、主記憶装置および補助記憶装置を含む。主記憶装置は、例えば、Random Access Memory(RAM)およびRead Only Memory(ROM)であり、補助記憶装置は、例えば、Hard Disk Drive(HDD)である。セキュリティ装置203は、外部装置へ送信されるデータを暗号化し、外部装置から受信したデータを復号する装置である。DSP204は、CPU201および/またはセキュリティ装置203により処理された有線信号を無線信号に変換し、アンテナ206および増幅器205を介して無線基地局装置3から受信した無線信号を有線信号に変換する無線信号処理モジュールである。増幅器205は、DSP204により変換された無線信号を増幅してアンテナ206へ出力し、アンテナ206を介して受信した無線信号を増幅してDSP204へ出力する装置である。無線通信端末装置2は、アンテナ206を介して無線基地局装置3へ無線信号を送信し、無線基地局装置3から送信された無線信号をアンテナ206を介して受信する。
GbE L2SW207は、CPU201およびセキュリティ装置203等の装置とDSP204との間で送受信されるパケットの宛先を判別し、判別された宛先装置へパケットを転送する装置である。メモリ・周辺装置間入出力コントローラ208は、CPU201、セキュリティ装置203、およびGbE L2SW207等の周辺装置とメモリ202との間のデータの入出力を制御する装置である。記録媒体読み書き装置209は、記録媒体に記録されたプログラムおよびデータを読み取り、読み取られたプログラムおよびデータをメモリ202へ書き込む装置である。記録媒体は、例えば、磁気ディスク、光ディスク、光磁気ディスク、およびフラッシュメモリ等の半導体メモリである。
無線基地局装置3は、例えば、3GGPの技術標準仕様書で定義されるEvolved Node B(eNodeB)である。無線基地局装置3は、無線基地局装置3の通信エリア内に位置する無線通信端末装置2から送信されたデータを無線回線を介して受信し、受信されたデータをゲートウェイ4を介してコアネットワーク5側へ送信する。また、無線基地局装置3は、コアネットワーク5側から送信されたデータをゲートウェイ4を介して受信し、受信されたデータを無線回線を介して無線通信端末装置2へ送信する。
図3は、無線基地局装置の例示的ハードウェア構成図である。図3に示すように、無線基地局装置3は、CPU301、メモリ302、セキュリティ装置303、DSP304、増幅器305、アンテナ306、GbE L2SW307、メモリ・周辺装置間入出力コントローラ308、通信インタフェース309、および記録媒体読み書き装置310を含む。
CPU301は、無線基地局装置3全体の動作を制御する。メモリ302は、RAMおよびROM等の主記憶装置とHDD等の補助記憶装置とを含む。セキュリティ装置303は、外部装置へ送信されるデータを暗号化し、外部装置から受信したデータを復号する装置である。DSP304は、CPU301および/またはセキュリティ装置303により処理された有線信号を無線信号に変換し、アンテナ306および増幅器305を介して無線通信端末装置2から受信した無線信号を有線信号に変換する無線信号処理モジュールである。増幅器305は、DSP304により変換された無線信号を増幅してアンテナ306へ出力し、アンテナ306を介して受信された無線信号を増幅してDSP304へ出力する装置である。無線基地局装置3は、アンテナ306を介して無線通信端末装置2へ無線信号を送信し、無線通信端末装置2から送信された無線信号をアンテナ306を介して受信する。
GbE L2SW307は、CPU301およびセキュリティ装置303等の装置とDSP304および通信インタフェース309等の装置との間で送受信されるパケットの宛先を判別し、判別された宛先装置へパケットを転送する装置である。通信インタフェース309は、ゲートウェイ4やコアネットワーク5内の装置といった外部装置との間で送受信される有線信号のインタフェースであり、例えば、Ethernet PHY装置である。メモリ・周辺装置間入出力コントローラ308は、CPU301、セキュリティ装置303、およびGbE L2SW307等の装置とメモリ302との間のデータの入出力を制御する装置である。記録媒体読み書き装置310は、記録媒体に記録されたプログラムおよびデータを読み取り、読み取られたプログラムおよびデータをメモリ302へ書き込む装置である。
ゲートウェイ4は、無線基地局装置3とコアネットワーク5内の装置との間で送受信される有線信号(パケット)を中継する装置である。
図4は、ゲートウェイの例示的ハードウェア構成図である。図4に示すように、ゲートウェイ4は、CPU401、メモリ402、セキュリティ装置403、GbE L2SW404、メモリ・周辺装置間入出力コントローラ405、通信インタフェース406、および記録媒体読み書き装置407を含む。
CPU401は、ゲートウェイ4全体の動作を制御する。メモリ402は、RAMおよびROM等の主記憶装置とHDD等の補助記憶装置とを含む。セキュリティ装置403は、外部装置へ送信されるデータを暗号化し、外部装置から受信したデータを復号する装置である。GbE L2SW404は、CPU401およびセキュリティ装置403等の装置と通信インタフェース406との間で送受信されるパケットの宛先を判別し、判別された宛先装置へパケットを転送する装置である。通信インタフェース406は、無線基地局装置3やコアネットワーク5内の装置といった外部装置との間で送受信される有線信号のインタフェースであり、例えば、Ethernet PHY装置である。メモリ・周辺装置間入出力コントローラ405は、CPU401、セキュリティ装置403、およびGbE L2SW404等の装置とメモリ402との間のデータの入出力を制御する装置である。記録媒体読み書き装置407は、記録媒体に記録されたプログラムおよびデータを読み取り、読み取られたプログラムおよびデータをメモリ402へ書き込む装置である。
コアネットワーク5は、例えば、3GGPの技術標準仕様書で定義されるEvolved Packet Core(EPC)である。コアネットワーク5は、例えば、Mobility Management Entity(MME)、Serving Gateway(S−GW)、およびPacket data network Gateway(P−GW)を含む。MMEは、制御信号のパケットをControl plane(C−plane)で伝送する装置である。S−GWは、ユーザデータ信号のパケットをUser plane(U−Plane)で伝送する装置である。P−GWは、インターネット等の外部ネットワークへ接続する装置である。コアネットワーク5と接続された外部ネットワークには、コンテンツサーバといった、無線通信端末装置2との間でデータを送受信し得るサーバ装置が接続され得る。外部ネットワークは、例えば、インターネットである。
図1に示した一例では、無線基地局装置3およびゲートウェイ4は、第1の実施形態に従った暗号通信装置6を含む。暗号通信装置6を含む無線基地局装置3は、ゲートウェイ4との間で送受信されるパケットを第1の実施形態の暗号通信方法に従って暗号化および復号し得る。また、暗号通信装置6を含むゲートウェイ4は、無線基地局装置3との間で送受信されるパケットを第1の実施形態の暗号通信方法に従って暗号化および復号し得る。そこで、図1に示すように、無線基地局装置3とゲートウェイ4との間には、暗号化されたパケットが伝送される経路であるトンネル7が確立されて、無線基地局装置3とゲートウェイ4との間で暗号通信が実行され得る。なお、図1には、無線基地局装置3−1とゲートウェイ4との間のトンネル7が図示されているが、無線基地局装置3−2とゲートウェイ4との間にもトンネル7が確立され得る。
トンネル7は、一般トンネル7Aと、その一般トンネル7Aと同じセキュリティポリシー(Security Policy、SP)に関連付けられた1つ以上の専用トンネル7Bとを含む。SPとは、暗号通信を実行する、暗号通信を実行しない、およびパケットを破棄するといったパケットに対する通信処理の方針を指す。SPは、パケットの送信元アドレス、宛先アドレス、およびプロトコル等を選択基準にして決定される。通信処理の選択基準は、セレクタと称される。
本明細書において、一般トンネル7Aとは、対向する暗号通信装置6へ送信される送信対象パケット内のデータが暗号化された暗号化パケットが伝送されるトンネルを指す。また、専用トンネル7Bとは、送信対象パケット内のデータの内、後述するようなマッチングデータと一致するデータ部分が削除された残部データが暗号化された暗号化パケットが伝送されるトンネルを指す。専用トンネル7Bを介して伝送される暗号化パケットのペイロードは、送信対象パケット内の残部データで構成される。このため、当該送信対象パケットが一般トンネル7Aを介して伝送されるケースと比較して、当該送信対象パケットが専用トンネル7Bを介して伝送されるケースのトラフィックは小さい。一般トンネル7Aおよび専用トンネル7Bを介して伝送される暗号化パケットは、例えば、Encapsulating Security Payload(ESP)パケットである。
図1には、1つの一般トンネル7Aが示されている。しかしながら、暗号通信装置6を含む複数の装置間で生成される一般トンネル7Aの数は、複数の暗号通信装置6間で送受信されるパケットの宛先アドレス等に応じて複数であり得る。
図5は、第1の実施形態に従った暗号通信装置の例示的機能構成図である。図5に示すように、暗号通信装置6は、信号インタフェース601、鍵情報交換部602、パケット終端部603、パターンマッチ部604、パケットバッファ605、鍵情報部606、データ削除部607、暗号化部608、セキュリティアソシエーション(Security Association、SA)識別子付与部609、パターン生成部610、SA識別子検索部611、復号部612、およびデータ復元部613を含む。
暗号通信装置6は、例えば、IPsecに従い通信可能な装置である。しかしながら、暗号通信装置6は、アプリケーションソフトウェアよりも下層のIP層(レイヤ3)で暗号通信が実行され得る任意のセキュリティプロトコルに従い通信可能な装置であってよい。
信号インタフェース601は、対向する装置との間でIPパケットを送受信する。鍵情報交換部602は、対向装置との間で信号インタフェース601を介して暗号鍵交換パケットを送受信し、セキュリティアソシエーション(SA)を確立する。また、鍵情報交換部602は、鍵データを含むSAの生成、更新、および削除を行う。SAは、当該トンネル7を介した暗号通信に関する取り決めであり、暗号化アルゴリズムや暗号鍵等の暗号通信時に使用される定義されたセキュリティパラーメータを含む。暗号鍵交換パケットは、例えば、Internet Key Exchange(IKE)パケットである。
鍵情報交換部602は、一般トンネル7Aに関するSAを対向装置との間で確立する際に、対向装置が専用トンネル7Bを介した暗号通信を実行できる暗号通信装置6であるか否かを対向装置に確認する。対向装置が専用トンネル7Bを介した暗号通信を実行できる暗号通信装置6であると確認された場合、鍵情報交換部602は、専用トンネル7Bに関するSAを対向装置との間で確立する。すなわち、鍵情報交換部602は、鍵情報交換パケットを用いて、専用トンネル7Bを介した暗号通信に必要なデータを対向する暗号通信装置6との間で送受信する。また、鍵情報交換部602は、専用トンネル7Bを介した暗号通信に必要なデータを鍵情報部606内に登録する。専用トンネル7Bを介した暗号通信に必要なデータは、鍵データ、専用トンネル7Bを介した通信の際に送信対象パケット内から削除されるデータを示すマッチングデータ、および専用トンネル7Bに関するSAを識別するためのSA識別子を含む。SA識別子は、例えばセキュリティパラメータインデックス(Security Parameter Index、SPI)である。
パケット終端部603は、各種プロトコルの送受信パケットの終端を行う。例えば、暗号通信装置6がゲートウェイ4に含まれる場合、パケット終端部603は、通信インタフェース406に対応する信号インタフェース(不図示)を介して、外部装置である無線基地局装置3と有線回線で接続される。また、暗号通信装置6が無線基地局装置3に含まれる場合、パケット終端部603は、DSP304および増幅器305に対応する無線信号処理部(不図示)を介して、外部装置である無線通信端末装置2と無線回線で接続され得る。パケット終端部603は、こうした外部装置との間で送受される平文パケットの終端を行う。
パケット終端部603が外部装置から受信したパケットは、対向する暗号通信装置6への送信対象となるパケットであり得る。また、パケット終端部603が外部装置へ送信するパケットは、対向する暗号通信装置6から受信した暗号化パケットが復号および復元されたパケットであり得る。
パターンマッチ部604は、対向する暗号通信装置6への送信対象パケットをパケット終端部603から受信し、受信したパケットをパケットバッファ605に格納する。図5には、1つのパケットバッファ605が示されている。しかしながら、暗号通信装置6内には複数のパケットバッファがあってよく、パケット長、通信プロトコル、および通信区間(送信元アドレス、宛先アドレス)等によって複数のパケットバッファに分けられてパケットが格納されるように構成し得る。
パターンマッチ部604は、対向する暗号通信装置6への送信対象パケット内の少なくとも一部データとデータパターンが一致するマッチングデータを含むSAを鍵情報部606から検索する。「データパターン」或は「パターン」が一致するとは、例えば、「パケット内の当該データの位置(オフセット値)、当該データのサイズ、および当該データの内容」が一致することを指す。
データパターンが一致するマッチングデータを含むSAが検索された場合、データ削除部607は、マッチングデータと一致するデータ部分を送信対象パケットから削除する。暗号化部608は、検索されたSAの鍵データに従って、マッチングデータと一致するデータ部分が削除された送信対象パケット内の残部データを暗号化する。SA識別子付与部609は、暗号化部608により暗号化された残部データをペイロードとする暗号化パケットに検索されたSAのSA識別子を付与して、暗号化パケットを生成する。SA識別子付与部609は、生成された暗号化パケットを信号インタフェース601を介して対向する暗号通信装置6へ送信する。
パターン生成部610は、パターンマッチ部604によりパケットバッファ605に新たに格納された処理対象パケットと、パケットバッファ605に既に格納されているその他のパケットとを比較する。本明細書において、パケットバッファ605に既に格納されているその他のパケットをサンプルパケットと称する。
パターン生成部610は、サンプルパケット内の少なくとも一部データとデータパターンが一致するデータ部分を処理対象パケット内から抽出し、抽出されたデータ部分を表すマッチンデータを作成する。また、マッチングデータが作成される場合、パターン生成部610は、マッチングデータと一致する部分が削除された処理対象パケット内の残部データを暗号通信するための専用トンネル7Bの作成が必要と判断し、専用トンネル7Bに関するSAの作成を鍵情報交換部602に指示する。指示を受けた鍵情報交換部602は、専用トンネル7Bに関するSAを対向する暗号通信装置6との間で確立し、パターン生成部610により作成されたマッチングデータを含む専用トンネル7Bに関するSAデータを鍵情報部606に登録する。
SA識別子検索部611は、対向する暗号通信装置6から送信された暗号化パケットを信号インタフェース601を介して受信する。SA識別子検索部611は、受信された暗号化パケットからSA識別子を検索し、受信された暗号化パケットのSAを特定する。復号部612は、SA識別子検索部611により特定されたSAの鍵データを鍵情報部606から取得し、取得された鍵データに従って暗号化パケットを復号する。
SA識別子検索部611により特定されたSAが専用トンネル7Bに関するSAである場合、データ復元部613は、特定されたSAのマッチングデータを鍵情報部606内から取得する。データ復元部613は、取得されたマッチングデータが示すデータ部分を復号されたパケット内のデータに挿入し、対向する暗号通信装置6によりデータが削除される前のパケットに復元する。パケット終端部603は、データ復元部613により復元されたパケットを受信する。受信されたパケットは、例えば、パケット終端部603と接続された信号インタフェース(不図示)または無線信号処理部(不図示)を介して、パケットの宛先装置へ送信される。或は、受信されたパケットは、例えば、暗号通信装置6内で処理される。
図6は、鍵情報部に格納されるデータベースの説明図である。図6に示すように、鍵情報部606には、セキュリティポリシー(Security Policy、SP)データベースSPDと、SPデータベースSPD内のSPと関連付けられたSAが格納される。SPと関連付けられたSAは、鍵情報部606のSAデータベースSAD内に格納される。SAデータベースSADは、SAを管理するためのデータベースである。
SPデータベースSPDは、SPに関するデータを管理するためのデータベースである。SPデータベースSPDに格納されるSPデータは、当該パケットのセキュア化を行うポリシー、当該パケットのセキュア化を行わないポリシー、および当該パケットを破棄するポリシーに関するデータである。図6には、1つのSPデータベースSPDが示されているが、鍵情報部606に含まれるSPデータベースは複数であり得る。
図6に示すように、マッチングデータを含むSAは、SPと関連付けられて鍵情報部606に格納される。したがって、暗号処理の際には、送信対象パケットに対応するSPの特定に伴ってSAの検索範囲が絞り込まれるため、送信対象パケット内のデータと比較されるマッチングデータは、迅速に検索され得る。
また、図6に示すように、鍵情報交換部602によるリキー処理時には、鍵情報部606に格納されたSAに対して新たなSA(図6に示すSA´)が作成される。鍵情報交換部602は、既に存在するSAのマッチングデータをコピーし、コピーされたマッチングデータを新たなSAのマッチングデータとして記録する。したがって、既に存在するSAのマッチングデータとリキー時に新たに作成されたSAのマッチングデータとは同一である。新たなSAが作成された後、従前のSAは、一定時間経過後および/または一定数のIPパケットの処理後に鍵情報交換部602により削除される。このように、既に存在するマッチングデータは、リキー時に引き継がれるため、同様のマッチングデータを作成するための処理負担は発生しない。また、既に存在するマッチングデータを含むSAによってリキー後も暗号通信が実行され得るため、通信システム内のトラフィックがリキー後に増加するといった不都合は生じない。
図7は、SAの例示的構成図である。図7に示すように、SAには、鍵データ、マッチングデータ、およびSA識別子が含まれる。図7には、鍵データ、マッチングデータ、およびSA識別子を含む1つのSAが示されているが、鍵情報部606内のSAデータベースSADに含まれるSAは複数存在し得る。SAは、送信元アドレス、宛先アドレス、マッチングデータにより示されるデータのデータサイズ、通信プロトコル、およびポート番号等によって分類されてSAデータベースSADに格納されるように構成し得る。こうした構成によって、送信対象パケット内のデータとデータパターンが一致するマッチングデータを含むSAの検索が容易になり、パターンマッチ部604によるマッチング処理の処理速度を向上させることができる。
鍵データは、暗号鍵、鍵長、および暗号化アルゴリズムに関するデータを含む。専用トンネル7Bに関するSAの鍵データは、同じSPに関連付けられた一般トンネル7Aに関するSAの鍵データと同じであり得る。SA識別子は、SAを識別するための識別子であり、例えばSPIである。マッチングデータは、当該SAの専用トンネル7Bを介して送信対象パケットが送信される際に、送信対象パケット内から削除されるデータ部分に関するデータである。また、マッチングデータは、当該SAの専用トンネル7Bを介して送信された暗号化パケットを復号した後に、復号されたパケットに挿入されるデータ部分に関するデータである。
図8Aおよび図8Bは、例示的なマッチングデータの説明図である。図8Aおよび図8Bに示すように、処理対象パケットPt内のデータと、パケットバッファ605に格納されたn個(nは1以上の整数)のサンプルパケットPs−1〜Ps−n内のデータとのデータパターンがパターン生成部610により比較される。後述する専用トンネル生成処理が暗号処理と並行して行われる場合、処理対象パケットPtは、対向する暗号通信装置6への送信対象パケットである。また、後述する専用トンネル生成処理が復号処理と並行して行われる場合、処理対象パケットは、対向する暗号通信装置6から受信した暗号化パケットが復号および復元されたパケットである。
例えば、図8Aおよび図8Bに示すように、処理対象パケットPt内の網掛け表示部分のデータと、サンプルパケットPs−1およびPs−n内の網掛け表示部分のデータとのデータパターンが一致したと仮定する。図8Aおよび図8Bに示した一例では、一致した部分のデータに対するマッチングデータがパターン生成部610により作成される。作成されたマッチングデータは、例えば、処理対象パケットの先頭バイトから、マッチングデータとして連続して記録されるデータ部分の先頭バイトまでのオフセット値、当該データ部分のデータサイズ、および当該データ部分のデータ内容を含む。図8Bに示すように、マッチングデータとして連続して記録されるデータ部分は、処理対象パケット内に複数存在してもよい。マッチングデータに含まれるオフセット値、データサイズ、およびデータ内容は、データ部分毎に相互に関連付けられて記録される。
図9Aおよび図9Bは、図8Bの例示的マッチングデータが用いられた暗号通信の説明図である。送信側の暗号通信装置6のパターンマッチ部604は、送信対象パケット内のデータと鍵情報部606に格納されているSAのマッチングデータとを比較する。図9に示した一例では、送信対象パケット内のデータ(図9Aの(a))の内、一部データが図8Bに示したマッチングデータとデータパターンが一致したと判定される。この一例では、送信側の暗号通信装置6のデータ削除部607は、送信対象パケット内のデータ((図9Aの(a)))の内、マッチングデータと一致するデータ部分を削除する。
図9Aの(b)に示すデータは、送信対象パケット内のデータ(図9Aの(a))の内、マッチングデータと一致する部分が削除された残部データを表す。暗号化部608は、残部データ(図9Aの(b))のみを暗号化パケットのペイロードとして暗号化し、SA識別子付与部609は、暗号化されたペイロードにSA識別子を付与して暗号化パケットを生成する。そして、生成された暗号化パケットは、信号インタフェース601を介して受信側の暗号通信装置6へ送信される。
このように、第1の実施形態に従った暗号通信方法では、マッチングデータを含むSAに従って暗号通信される場合には、残部データのみが暗号化されるため、暗号処理を実行する装置の処理負担を削減できる。また、マッチングデータを含むSAに従った暗号化パケットのペイロードは、上述したような残部データのみである。このため、マッチングデータを含むSAに従った暗号化パケットが通信に用いられることで、送信対象パケット内の元のデータ(図9Aの(a))がペイロードとしてそのまま生成された暗号化パケットが通信されるケースと比較して、通信システム内のトラフィックを削減できる。
残部データ(図9Aの(b))をペイロードとする暗号化パケットは、受信側の暗号通信装置6の信号インタフェース601を介して受信される。受信された暗号化パケットは、SA識別子検索部611によりSAが特定された後、復号部612により復号される。そして、データ復元部613は、復号されたパケットにSA識別子検索部611により特定されたSAのマッチングデータを挿入し、復号されたパケットを送信対象パケット内の元のデータ(図9Aの(a))に復元する。図9Bの(c)は、復元後のパケット内のデータを表す。
このように、第1の実施形態に従った暗号通信方法では、受信側の装置おいて送信対象パケット内の元のデータを復元できるため、送信側の装置において送信対象パケット内の一部データが伝送されなくても、送信対象パケット内のデータのセキュリティが確保された通信を実現できる。
暗号通信装置6により実行される暗号通信の処理フローの一例を説明する。暗号通信装置6により実行される暗号通信処理は、暗号処理、復号処理、および専用トンネル生成処理に大別できる。また、第1の実施形態に従った暗号通信処理では、専用トンネル生成処理は、暗号処理と並行して行われる。
図10は、第1の実施形態に従った暗号処理の例示的フロー図である。
ステップS101において、パケット終端部603は、平文の送信対象パケットを受信する。前述したように、パケット終端部603により受信される送信対象パケットは、例えば、パケット終端部603と接続された信号インタフェース(不図示)または無線信号処理部(不図示)を介して外部装置から受信した平文パケットであり得る。また、パケット終端部603により受信される送信対象パケットは、例えば、暗号通信装置6内で生成された平文パケットであり得る。パケット終端部603は、受信された送信対象パケットをパターンマッチ部604へ送信する。
パターンマッチ部604は、送信対象パケットをパケット終端部603から受信する。パターンマッチ部604は、鍵情報部606のSPデータベースSPD内に記録されたSPを検索して、送信対象パケットに対応するSPを特定する(ステップS102)。SPを特定するための選択基準であるセレクタ値としては、例えば、パケットの送信元IPアドレス、宛て先IPアドレス、プロトコル、およびポート番号等が挙げられる。パターンマッチ部604は、SPデータベースSPD内に記録されたSPの中から、送信対象パケットとセレクタ値が一致するSPを特定する。
パターンマッチ部604は、特定されたSPに関連付けられたSAの中から、送信対象パケット内の少なくとも一部データとデータパターンが一致するマッチングデータを含むSA、すなわち、専用トンネル7Bに関するSAを検索する(ステップS103)。
検索の結果、専用トンネル7Bに関するSAがない場合(ステップS104で“NO”)、パターンマッチ部604は、特定されたSPに関連付けられた一般トンネル7Aに関するSAをSAデータベースSADから検索する(ステップS105)。そして、パターンマッチ部604は、特定されたSPが示すSAの選択方針に従って、特定されたSPまたは送信対象パケットとセレクタ値が一致する、一般トンネル7Aに関するSAを特定する。
一方、検索の結果、専用トンネル7Bに関するSAがある場合(ステップS104で“YES”)、データ削除部607は、検索により特定されたSAのマッチングデータが示すデータ部分を送信対象パケットから削除する(ステップS106)。なお、検索の結果、複数のSAがある場合、パターンマッチ部604は、マッチングデータのデータサイズが最も大きいSAを選択し、データ削除部607は、選択されたSAのマッチングデータが示すデータ部分を送信対象パケットから削除する。
暗号化部608は、特定または選択されたSAの鍵データに従って、送信対象パケット内のデータを暗号化する(ステップS107)。すなわち、一般トンネル7Aに関するSAが特定された場合には、暗号化部608は、特定されたSAの暗号通信モードがトンネルモードかトランスポートモードかによって決定される送信対象パケット内の全データを暗号化する。トンネルモードでは、送信対象パケットのIPヘッダおよびレイヤ4以上のデータが暗号化される。トランスポートモードでは、送信対象パケットのIPヘッダを除いたレイヤ4以上のデータが暗号化される。一方、専用トンネル7Bに関するSAが特定または選択された場合には、暗号化部608は、特定されたSAの暗号通信モードがトンネルモードかトランスポートモードかによって決定される送信対象パケット内の全データの内、マッチングデータと同じデータ部分が削除された残部データのみを暗号化する。
SA識別子付与部609は、暗号化部608により暗号化されたデータをペイロードとする暗号化パケットにSA識別子を付与し、SA識別子が付与された暗号化パケットを信号インタフェース601を介して送信する(ステップS107)。こうして、送信対象パケットに対する一連の暗号処理は終了される(ステップS108)。
一方、ステップS102でのSP検索処理の後、ステップS103〜ステップS108での暗号処理と並行して専用トンネル生成処理が実行される(ステップS109)。第1に従った暗号通信処理では、専用トンネル生成処理が暗号処理と並行して実行されるため、専用トンネル生成処理が単独で実行される場合と比較して、暗号処理の遅延が抑制され得る。ステップS109での専用トンネル生成処理の一例を図11を参照しながら説明する。
図11は、専用トンネル生成処理の例示的フロー図である。
専用トンネル生成処理が開始されると(ステップS201)、パターンマッチ部604は、処理対象パケットをパケットバッファ605へ格納する(ステップS202)。専用トンネル生成処理が第1の実施形態のように暗号処理と並行して行われる場合、処理対象パケットは、対向する暗号通信装置6への送信対象パケットである。パケットバッファ605に格納されたパケット数が予め定められた閾値を超える場合、時間的に先に格納されたパケットから順にパケットバッファ605から削除され、処理対象パケットがパケットバッファ605に新たに格納される。
なお、パターンマッチ部604によるステップS202での格納処理は、所定のパケット数間隔で行われるように構成してもよい。また、パケットバッファ605に格納される所定の上限パケット数を超えると、ステップS202での格納処理が行われないように構成してもよい。ステップS202での格納処理が行われない場合には、図11に示したような専用トンネル生成処理は実行されないように構成される。こうした構成によれば、専用トンネル生成処理を実行することによる暗号通信装置6の処理負担を削減することが可能である。
ステップS202での格納処理が実行されると、パターン生成部610は、処理対象パケット内のデータとデータパターンが最も一致するデータを含むサンプルパケットをパケットバッファ605から抽出する(ステップS203)。送信対象パケット内のデータの内、一致対象とされるデータは、処理対象パケットに対応する一般トンネル7Aに関するSAがトンネルモードかトランスポートモードかに従って決定され得る。
パターン生成部610は、抽出されたサンプルパケットとデータパターンが一致するデータ部分のバイト数が、マッチングデータ閾値を越えるか否かを判定する(ステップS204)。マッチングデータ閾値は、SAを新たに作成して専用トンネル7Bを介した暗号通信を行うことが効率的と判定できるマッチングデータの最低バイト数(最低データサイズ)であり、固定値として予め設定される。
一致するデータバイト数がマッチングデータ閾値以下であると判定される場合(ステップS204で“NO”)、専用トンネル生成処理は終了される(ステップS211)。一方、一致するデータバイト数がマッチングデータ閾値を超えると判定される場合(ステップS204で“YES”)、専用トンネル生成処理は、ステップS205へ進められる。
ステップS205において、パターン生成部610は、処理対象パケットに対応するSPに関連付けられたSAの中から、送信対象パケット内の少なくとも一部データとデータパターンが一致するマッチングデータを含むSAを検索する。なお、専用トンネル生成処理が第1の実施形態のように暗号処理と並行して行われる場合、パターン生成部610によるこうしたSA検索処理に代えて、ステップS103での検索結果をパターン生成部610が取得するように構成してもよい。
ステップS205においてSAが検索ないし取得されなかった場合(ステップS206で“NO”)、専用トンネル生成処理は、ステップS208へ進められる。一方、ステップS205においてSAが検索ないし取得された場合(ステップS206で“YES”)、専用トンネル生成処理は、ステップS207へ進められる。
ステップS207において、パターン生成部610は、ステップS203で抽出されたサンプルパケットとデータパターンが一致する処理対象パケット内のデータ部分のデータサイズ、すなわちバイト数が、検索された各SAのマッチングデータが示すバイト数を超えるか否かを判定する。
一致するデータ部分のバイト数が検索された各SAのマッチングデータのバイト数以下であると判定される場合(ステップS207で“NO”)、既に登録されたSAを用いた暗号通信を実行すれば足りるため、専用トンネル生成処理は終了される(ステップS211)。一方、一致するデータ部分のバイト数が検索された各SAのマッチングデータのバイト数をそれぞれ超えると判定される場合(ステップS207で“YES”)、専用トンネル生成処理は、ステップS208へ進められる。
ステップS208において、パターン生成部610は、ステップS203で抽出されたサンプルパケットに対するデータパターンと一致するデータ部分を含むサンプルパケットの数が、パターン生成閾値を超えるか否かを判定する。パターン生成閾値は、SAを新たに作成して専用トンネル7Bを用いた暗号通信を行うことが効率的と判定できる、パケットバッファ605内に格納されたサンプルパケットの最低数であり、固定値として予め設定される。
サンプルパケット数がパターン生成閾値以下であると判定される場合(ステップS208で“NO”)、ステップS203で抽出されたサンプルパケットとデータパターンが一致する処理対象パケット内のデータ部分は、偶発的に一致した部分と判定されて、専用トンネル生成処理は、終了される(ステップS211)。
一方、サンプルパケット数がパターン生成閾値を超えると判定される場合(ステップS208で“YES”)、パターン生成部610は、ステップS203で抽出されたサンプルパケットとデータパターンが一致する処理対象パケット内のデータ部分を新たなマッチングデータとするSAの作成を必要と判断する。そして、パターン生成部610は、SAの作成を鍵情報交換部602に指示する。
鍵情報交換部602は、処理対象パケットに対応するSPに関連付けられた一般トンネル7Aに関するSAの鍵データをコピーする。そして、鍵情報交換部602は、新たなマッチングデータデータとコピーされた鍵データとを含むSAを作成する。鍵情報交換部602は、作成されたSAを処理対象パケットに対応するSPと関連付けて鍵情報部606に格納する(ステップS209)。
鍵情報交換部602は、作成されたSAを対向する暗号通信装置6との間で確立する(ステップS210)。具体的には、鍵情報交換部602は、IKEパケットといった鍵情報交換パケットを対向する暗号通信装置6へ送信する。送信される鍵情報交換パケットには、一般トンネル7Aに関するSAのSA識別子と新たに作成されたSAのマッチングデータとが含まれる。鍵情報交換部602は、対向する暗号通信装置6から送信された鍵情報交換パケットを受信する。受信される鍵情報パケットには、対向する暗号通信装置6により作成された、新たなSAのSA識別子が含まれる。鍵情報交換部602は、受信されたSA識別子を鍵情報部606内に格納する。このように、一般トンネル7Aに関するSAの確立と同様に、専用トンネル7Bに関するSAを鍵情報交換パケットを用いて確立できるので、専用トンネル7Bに関するSAの確立に生じるオーバヘッドを少なくできる。
ステップS210での処理が終了されると、一連の専用トンネル生成処理は、終了される(ステップS211)。
図10のステップS109での専用トンネル生成処理が終了されると、暗号処理と並行して実行された専用トンネル生成処理も終了される(ステップS110)。
なお、上述の一例のように並行実行される専用トンネル生成処理は、マッチングデータを含む所定数のSAが鍵情報部606内に既に作成されている場合には実行されないように構成してもよい。こうした構成によって、専用トンネル生成処理を実行することによる暗号通信装置6の処理負担を削減することが可能である。
また、上述した専用トンネル生成処理により生成されたマッチングデータを含むSAが所定の期間暗号処理に使用されない場合、使用されないSAは、パターン生成部610により削除されるように構成してもよい。また、専用トンネル生成処理により生成されたマッチングデータを含むSAが所定数のパケットに対する暗号処理に使用されない場合、使用されないSAは、パターン生成部610により削除されるように構成してもよい。こうした構成によって、マッチングデータを含むSAが作成された後においても不要なSAを削除でき、パターンマッチ部604によるマッチングデータの照合処理等の暗号処理の処理速度を向上できる。
さらに、上述した専用トンネル生成処理は、例えば、以下のように構成してもよい。
例えば、無線通信端末装置2といったユーザ装置とコンテンツサーバといったコアネットワーク5側のサーバ装置との間で呼接続が開始されてユーザデータ信号が送受信される前には、ユーザ装置とコアネットワーク5内の装置との間で制御信号が送受信される。ユーザデータ信号は、ユーザデータを含むIPパケットであり、例えば、U−plane信号である。制御信号は、制御データを含むIPパケットであり、例えば、C−plane信号である。
制御信号には、制御信号に続いて送受されるユーザデータ信号に含まれるデータとデータパターンが同じデータが含まれ得る。また、最初に送受信されるユーザデータ信号には、続いて送受信されるユーザデータ信号に含まれるデータとデータパターンが同じデータが含まれ得る。そこで、図11に示したような専用トンネル生成処理が実行される前に、制御信号または最初に送受されるユーザデータ信号を基にマッチングデータを含むSAが作成される専用トンネル生成処理が実行されるように構成してもよい。或は、図11に示したような専用トンネル生成処理が実行されることに代えて、制御信号または最初に送受信されるユーザデータ信号を基にマッチングデータを含むSAが作成される専用トンネル生成処理が実行されるように構成してもよい。
図11を参照しながら前述した専用トンネル生成処理では、複数のパケットが比較されることによってマッチングデータが作成される。一方、制御信号または最初に送受信されるユーザデータ信号を基にマッチングデータが作成される場合、1つのパケットを基にマッチングデータが作成される。
図12Aおよび図12Bは、1つのパケットを基に作成される例示的なマッチングデータの説明図である。図12Aに示すパケット1は、最初に送受信されるユーザデータ信号である。図12Aおよび図12Bに示すパケット2〜パケットnは、パケット1に後続して送受信されるユーザデータ信号である。
パケット1〜パケットnには、IPヘッダ、User Datagram Protocol(UDP)ヘッダ、およびGeneral Packet Radio Service Tunnelling Protocol(GTPU) User plane(GTPU)ヘッダといったヘッダ部の一部データが網掛けされている。また、Version、IHL、およびTOSといったペイロードの一部データは、ヘッダ部の網掛された一部データと同様に網掛けされている。パケット1〜パケットnのこれらの網掛されたデータ部分(図12Aおよび図12Bの網掛け部分1)は、制御信号のヘッダ部のデータとデータパターンが一致し得る部分である。そこで、図12Bに示すように、パケット1〜nに先立ち送受される制御信号のデータを基に、網掛け部分1に対するマッチングデータ1が予め作成されるよう構成してよい。1つのパケットを基に如何なるデータ部分に対してマッチングデータが作成されるかといった作成対象に関するデータは、予め設定され得る。
また、パケット1〜パケットnには、網掛け部分1とは異なる網掛けによって、ペイロードの一部データが網掛けされている。パケット1〜パケットnのこれらの網掛されたデータ部分(図12Aおよび図12Bの網掛け部分2)は、複数のパケット内のデータが比較されることによってデータパターンが一致するデータ部分として抽出され得る部分である。そこで、図12Bに示すように、図11を参照しながら前述した専用トンネル生成処理によって網掛け部分2に対するマッチングデータ2が作成され得る。
図11を参照しながら前述した専用トンネル生成処理に加えて、または図11を参照しながら前述した専用トンネル生成処理に代えて上述した専用トンネル生成処理が実行されることによって、制御信号または最初のユーザデータ信号が送受信される時点でマッチングデータを含むSAを作成できる。また、最初のユーザデータ信号が送受信される時点から、作成されたSAの専用トンネル7Bを介した暗号通信が実行できる。したがって、最初のユーザデータ信号が送受信される時点から、通信システム内のトラフィックを削減しながら暗号通信を実行できる。
図13は、第1の実施形態に従った復号処理の例示的フロー図である。
SA識別子検索部611は、対向する暗号通信装置6から送信された暗号化パケットを信号インタフェース601を介して受信する(ステップS301)。SA識別子検索部611は、受信された暗号化パケットのSA識別子を取得し、鍵情報部606内に格納されたSA識別子と取得されたSA識別子を照らし合わせて暗号化パケットに対するSAを特定する(ステップS302)。そして、SA識別子検索部611は、特定されたSAが専用トンネル7Bに関するSAであるか否かを判定する(ステップS303)。
特定されたSAが専用トンネル7Bに関するSAではないと判定された場合(ステップS303で“NO”)、復号部612は、受信された暗号化パケットを特定されたSAの鍵データに従って復号する(ステップS304)。
一方、特定されたSAが専用トンネル7Bに関するSAであると判定された場合(ステップS303で“YES”)、復号部612は、受信された暗号化パケットを特定されたSAの鍵データに従って復号する(ステップS305)。そして、データ復元部613は、特定されたSAのマッチングデータが示すデータ部分を復号されたパケットに挿入し、復号されたパケットを復元する(ステップS306)。
パケット終端部603は、ステップS304で復号されたパケットまたはステップS305で復元されたパケットを受信する。そして、パケット終端部603は、受信されたパケットをパケットのIPヘッダが示す宛先装置へ向けて送信する(ステップS307)。ステップS307での処理が終了されると、一連の復号処理は終了される(ステップS308)。
このように、第1の実施形態に従った送信側の暗号通信装置は、送信対象パケット内のデータの内、マッチングデータとデータパターンが一致するデータ部分を除く残部データを暗号化し得る。したがって、第1の実施形態の暗号通信装置に従えば、送信側の装置の暗号処理の負担を削減できる。また、マッチングデータを含むSAに従って暗号化された暗号化パケットのペイロードは、残部データで構成されるため、通信システム内のトラフィックを削減できる。
第1の実施形態に従った受信側の暗号通信装置は、送信対象パケットの元のデータを復元し得る。したがって、第1の実施形態の暗号通信装置に従えば、送信対象パケット内の一部データが暗号化パケットにより伝送されなくても、送信対象パケット内のデータのセキュリティが確保された通信を実現できる。
第1の実施形態に従った暗号通信装置6を含む通信システム1による暗号通信処理シーケンスの一例を説明する。前述したように、図1に示す一例では、暗号通信装置6は、無線基地局装置3およびゲートウェイ4にそれぞれ含まれる。
暗号通信装置6が無線基地局装置3に含まれる場合、信号インタフェース601は、通信インタフェース309に対応する。鍵情報交換部602、パケット終端部603、パターンマッチ部604、データ削除部607、SA識別子付与部609、パターン生成部610、SA識別子検索部611、およびデータ復元部613は、CPU301に対応する。パケットバッファ605および鍵情報部606は、メモリ302に対応する。暗号化部608および復号部612は、セキュリティ装置303に対応する。
暗号通信装置6がゲートウェイ4に含まれる場合、信号インタフェース601は、通信インタフェース406に対応する。鍵情報交換部602、パケット終端部603、パターンマッチ部604、データ削除部607、SA識別子付与部609、パターン生成部610、SA識別子検索部611、およびデータ復元部613は、CPU401に対応する。パケットバッファ605および鍵情報部606は、メモリ402に対応する。暗号化部608および復号部612は、セキュリティ装置403に対応する。
図14A〜図14Dは、第1の実施形態に従った通信システムの例示的な暗号通信処理シーケンス図である。
無線基地局装置3の鍵情報交換部602は、鍵情報交換パケットをゲートウェイ4の鍵情報交換部602との間で送受信し(処理p101、処理p102)、一般トンネル7Aを介した暗号通信に関するSAをゲートウェイ4との間で確立する。無線基地局装置3およびゲートウェイ4のそれぞれの鍵情報交換部602は、確立されたSAを鍵情報部606に格納する。
無線基地局装置3のパケット終端部603は、ユーザデータ信号を無線通信端末装置2から受信する(処理p103)。図14Aに示す一例では、処理p103で受信されたユーザデータ信号は、データ“abcD1”を含む。
処理p104において、パターンマッチ部604は、受信されたユーザデータ信号をパケットバッファ605に格納する。また、パターンマッチ部604は、受信されたユーザデータ信号のSPに関連付けられたSAを鍵情報部606内から検索し、受信されたユーザデータ信号内のデータとデータパターンが一致するマッチングデータを含むSAがあるか否かを判定する。
図14Aに示す一例では、マッチングデータを含むSAが鍵情報部606に存在しない。そこで、暗号化部608は、一般トンネル7Aに関するSAの鍵データに従って、受信されたユーザデータ信号内のデータ“abcD1”を暗号化する。SA識別子付与部609は、データ“abcD1”を含みSA識別子が付与された暗号化パケットを生成し、生成された暗号化パケットを信号インタフェース601を介してゲートウェイ4へ送信する。
また、パターンマッチ部604、暗号化部608、およびSA識別子付与部609による処理p104での暗号処理と並行して、パターン生成部610は、専用トンネル生成処理を開始する。パターン生成部610は、パターンマッチ部604によりパケットバッファ605に新たに格納されたユーザデータ信号と、パケットバッファ605に既に格納されているサンプルパケットとを比較する。そして、パターン生成部610は、比較された複数パケットのデータパターンの一致部分の割合が、当該一致部分をマッチングデータとする専用トンネル7Bを用いた暗号通信が効率的であると判断される所定の閾値を超えるか否かを判定する。
図14Aに示す一例では、パケットバッファ605に格納されたサンプルパケットは存在しない。そこで、所定の閾値以下と判断されて、受信されたユーザデータ信号のデータ“abcD1”に対するマッチングデータは作成されない。
ゲートウェイ4のSA識別子検索部611は、無線基地局装置3から送信されたデータ“abcD1”を含む暗号化パケットを信号インタフェース601を介して受信する(処理p105)。SA識別子検索部611は、受信された暗号化パケットのSA識別子を参照して、受信された暗号化パケットのSAを特定する。図14Aに示す一例では、特定されるSAは、一般トンネル7Aに関するSAである。受信された暗号化パケットは、特定されたSAの鍵データに従って復号部612により復号され、パケット終端部603によりコアネットワーク5へ送信される(処理p106)。
無線基地局装置3のパケット終端部603は、ユーザデータ信号を無線通信端末装置2から受信する(処理p107)。図14Bに示す一例では、処理p107で受信されたユーザデータ信号は、データ“abcE2”を含む。
処理p108において、パターンマッチ部604は、受信されたユーザデータ信号をパケットバッファ605に格納する。また、パターンマッチ部604は受信されたユーザデータ信号のSPに関連付けられたSAを鍵情報部606内から検索し、受信されたユーザデータ信号内のデータとデータパターンが一致するマッチングデータを含むSAがあるか否かを判定する。
図14Bに示す一例では、マッチングデータを含むSAが鍵情報部606には存在しない。そこで、暗号化部608は、一般トンネル7Aに関するSAの鍵データに従って、受信されたユーザデータ信号内のデータ“abcE2”を暗号化する。SA識別子付与部609は、データ“abcE2”を含みSA識別子が付与された暗号化パケットを生成し、生成された暗号化パケットを信号インタフェース601を介してゲートウェイ4へ送信する。
ゲートウェイ4のSA識別子検索部611は、無線基地局装置3から送信されたデータ“abcE2”を含む暗号化パケットを信号インタフェース601を介して受信する(処理p109)。SA識別子検索部611は、受信された暗号化パケットのSA識別子を参照して、受信された暗号化パケットのSAを特定する。図14Bに示す一例では、特定されるSAは、一般トンネル7Aに関するSAである。受信された暗号化パケットは、特定されたSAの鍵データに従って復号部612により復号され、パケット終端部603によりコアネットワーク5へ送信される(処理p110)。
また、パターンマッチ部604、暗号化部608、およびSA識別子付与部609による処理p108での暗号処理と並行して、無線基地局装置3のパターン生成部610は、専用トンネル生成処理を開始する。パターン生成部610は、パターンマッチ部604によりパケットバッファ605に新たに格納されたユーザデータ信号と、パケットバッファ605に既に格納されているサンプルパケットとを比較する。そして、パターン生成部610は、比較された複数パケットのデータパターンの一致部分の割合が、当該一致部分をマッチングデータとする専用トンネル7Bを用いた暗号通信が効率的であると判断される所定の閾値を超えるか否かを判定する。
図14Bに示す一例では、ユーザデータ信号のデータ“abcE2”とサンプルパケットのデータ“abcD1”とが比較される。そして、“abc”のデータ部分が一致し、且つ鍵情報部606に格納された全サンプルパケットについて“abc”のデータ部分が一致するため、“abc”をマッチングデータとするSAによる暗号通信の実行が効率的であると判定される。そこで、パターン生成部610は、“abc”をマッチングデータとするSAの作成を鍵情報交換部602へ指示する。
指示を受けた鍵情報交換部602は、鍵情報交換パケットをゲートウェイ4の鍵情報交換部602との間で送受信し(処理p111、処理p112)、“abc”をマッチングデータとするSAをゲートウェイ4との間で確立する。
具体的には、無線基地局装置3の鍵情報交換部602は、一般トンネル7Aに関するSAのSA識別子とマッチングデータ“abc”とを含む鍵情報交換パケットを生成し、生成された鍵情報交換パケットをゲートウェイ4へ送信する。ゲートウェイ4の鍵情報交換部602は、無線基地局装置3から送信された鍵情報交換パケットを受信し、受信された鍵情報交換パケットからSA識別子とマッチングデータ“abc”とを取得する。ゲートウェイ4の鍵情報交換部602は、マッチングデータ“abc”を含むSAに対するSA識別子を作成し、作成されたSA識別子を含む鍵情報交換パケットを生成する。そして、ゲートウェイ4の鍵情報交換部602は、生成された鍵情報交換パケットを無線基地局装置3へ送信する。無線基地局装置3およびゲートウェイ4のそれぞれの鍵情報交換部602は、確立されたSAのデータを鍵情報部606に格納する。こうした処理によって、“abc”をマッチングデータとするSAが無線基地局装置3とゲートウェイ4との間で確立される。
無線基地局装置3のパケット終端部603は、ユーザデータ信号を無線通信端末装置2から受信する(処理p113)。図14Bに示す一例では、処理p113で受信されたユーザデータ信号は、データ“abcF3”を含む。
処理p114において、パターンマッチ部604は、受信されたユーザデータ信号をパケットバッファ605に格納する。また、パターンマッチ部604は、受信されたユーザデータ信号のSPに関連付けられたSAを鍵情報部606内から検索し、受信されたユーザデータ信号内のデータとデータパターンが一致するマッチングデータを含むSAがあるか否かを判定する。
図14Bに示す一例では、データパターンが一致するマッチングデータ“abc”を含むSAが鍵情報部606に存在する。そこで、マッチングデータ“abc”を含むSAがパターンマッチ部604により特定される。データ削除部607は、特定されたSAのマッチングデータ“abc”に従って、受信されたユーザデータ信号内のデータ“abcF3”の内、マッチングデータ“abc”と一致する部分を削除する。削除後の残部データは、“F3”である。暗号化部608は、特定されたSAの鍵データに従って、受信されたユーザデータ信号内の残部データ“F3”を暗号化する。SA識別子付与部609は、残部データ“F3”を含み特定されたSAのSA識別子が付与された暗号化パケットを生成し、生成された暗号化パケットを信号インタフェース601を介してゲートウェイ4へ送信する。
また、パターンマッチ部604、データ削除部607、暗号化部608、およびSA識別子付与部609による処理p114での暗号処理と並行して、パターン生成部610は、専用トンネル生成処理を開始する。パターン生成部610は、パターンマッチ部604によりパケットバッファ605に新たに格納されたユーザデータ信号と、パケットバッファ605に既に格納されているサンプルパケットとを比較する。そして、パターン生成部610は、比較された複数パケットのデータパターンの一致部分の割合が、当該一致部分をマッチングデータとする専用トンネル7Bを用いた暗号通信が効率的であると判断される所定の閾値を超えるか否かを判定する。
図14Bに示す一例では、ユーザデータ信号のデータ“abcF3”と各サンプルパケットのデータ“abcD1”およびデータ“abcE2”とが比較される。比較された各データの一致部分“abc”に対しては、マッチングデータが既に作成されている。そこで、所定の閾値以下であると判定されて、一致部分“abc”に対する新たなマッチングデータは作成されない。
ゲートウェイ4のSA識別子検索部611は、無線基地局装置3から送信された残部データ“F3”を含む暗号化パケットを信号インタフェース601を介して受信する(処理p115)。SA識別子検索部611は、受信された暗号化パケットのSA識別子を参照して、受信された暗号化パケットのSAを特定する。
図14Aに示す一例では、特定されるSAは、“abc”をマッチングデータとする専用トンネル7Bに関するSAである。そこで、復号部612は、受信された暗号化パケットを特定されたSAの鍵データに従って復号する。また、データ復元部613は、特定されたSAのマッチングデータに従って、マッチングデータ“abc”に対応するデータパターンを復号部612により復号された残部データに挿入し、データ“abcF3”を含むパケットに復元する。パケット終端部603は、データ“abcF3”を含む復元されたパケットをコアネットワーク5へ送信する(処理p117)。
無線基地局装置3のパケット終端部603は、ユーザデータ信号を無線通信端末装置2から受信する(処理p118)。図14Cに示す一例では、処理p118で受信されたユーザデータ信号は、データ“abcF4”を含む。
処理p119において、パターンマッチ部604は、受信されたユーザデータ信号をパケットバッファ605に格納する。また、パターンマッチ部604は、受信されたユーザデータ信号のSPに関連付けられたSAを鍵情報部606内から検索し、受信されたユーザデータ信号内のデータとデータパターンが一致するマッチングデータを含むSAがあるか否かを判定する。
図14Cに示す一例では、マッチングデータ“abc”を含むSAが鍵情報部606に存在する。そこで、マッチングデータ“abc”を含むSAがパターンマッチ部604により特定される。データ削除部607は、特定されたSAのマッチングデータ“abc”に従って、受信されたユーザデータ信号内のデータ“abcF4”の内、マッチングデータ“abc”と一致する部分を削除する。削除後の残部データは、“F4”である。暗号化部608は、特定されたSAの鍵データに従って残部データ“F4”を暗号化する。SA識別子付与部609は、残部データ“F4”を含み特定されたSAのSA識別子が付与された暗号化パケットを生成し、生成された暗号化パケットを信号インタフェース601を介してゲートウェイ4へ送信する。
ゲートウェイ4のSA識別子検索部611は、無線基地局装置3から送信された残部データ“F4”を含む暗号化パケットを信号インタフェース601を介して受信する(処理p120)。SA識別子検索部611は、受信された暗号化パケットのSA識別子を参照して、受信された暗号化パケットのSAを特定する。
図14Cに示す一例では、特定されるSAは、“abc”をマッチングデータとする専用トンネル7Bに関するSAである。そこで、復号部612は、受信された暗号化パケットを特定されたSAの鍵データに従って復号する。また、データ復元部613は、特定されたSAのマッチングデータに従って、マッチングデータ“abc”に対応するデータパターンを復号部612により復号された残部データに挿入し、データ“abcF4”を含むパケットに復元する。パケット終端部603は、データ“abcF4”を含む復元されたパケットをコアネットワーク5へ送信する(処理p121)。
また、パターンマッチ部604、データ削除部607、暗号化部608、およびSA識別子付与部609による処理p119での暗号処理と並行して、無線基地局装置3のパターン生成部610は、専用トンネル生成処理を開始する。パターン生成部610は、パターンマッチ部604によりパケットバッファ605に新たに格納されたユーザデータ信号と、パケットバッファ605に既に格納されているサンプルパケットとを比較する。そして、パターン生成部610は、比較された複数パケットのデータパターンの一致部分の割合が、当該一致部分をマッチングデータとする専用トンネル7Bを用いた暗号通信が効率的であると判断される所定の閾値を超えるか否かを判定する。
図14Cに示す一例では、ユーザデータ信号のデータ“abcF4”と各サンプルパケットのデータ“abcD1”、データ“abcE2”、およびデータ“abcF3”とが比較される。そして、“abcF”のデータ部分が一致し、“abcF”のデータ部分が一致するサンプルパケットの割合が全サンプルパケットの3分の1であり、且つ既に存在するマッチングデータ“abc”よりもデータサイズが大きいため、“abcF”をマッチングデータとするSAによる暗号通信の実行が効率的であると判定される。そこで、パターン生成部610は、“abcF”をマッチングデータとするSAの作成を鍵情報交換部602へ指示する。
指示を受けた鍵情報交換部602は、鍵情報交換パケットをゲートウェイ4の鍵情報交換部602との間で送受信し(処理p122、処理p123)、“abcF”をマッチングデータとするSAをゲートウェイ4との間で確立する。
無線基地局装置3のパケット終端部603は、ユーザデータ信号を無線通信端末装置2から受信する(処理p124)。図14Cに示す一例では、処理p124で受信されたユーザデータ信号は、データ“abcF5”を含む。
処理p125において、パターンマッチ部604は、受信されたユーザデータ信号をパケットバッファ605に格納する。また、パターンマッチ部604は、受信されたユーザデータ信号のSPに関連付けられたSAを鍵情報部606内から検索し、受信されたユーザデータ信号内のデータとデータパターンが一致するマッチングデータを含むSAがあるか否かを判定する。
図14Cに示す一例では、マッチングデータ“abc”を含むSA(マッチングパターンA)と、マッチングデータ“abcF”を含むSA(マッチングパターンB)が鍵情報部606内に存在する。このように複数のSAが存在する場合、パターンマッチ部604は、トラフィックがより少ない効果的な暗号通信を実行するために、より大きなデータサイズのマッチングデータを含むSAを選択する。本例では、マッチングデータ“abcF”を含むSA(マッチングパターンB)が選択される。
データ削除部607は、選択されたSAのマッチングデータ“abcF”に従って、受信されたユーザデータ信号内のデータ“abcF5”の内、マッチングデータ“abcF”と一致する部分を削除する。削除後の残部データは、“5”である。暗号化部608は、選択されたSAの鍵データに従って残部データ“5”を暗号化する。SA識別子付与部609は、残部データ“5”を含み選択されたSAのSA識別子が付与された暗号化パケットを生成し、生成された暗号化パケットを信号インタフェース601を介してゲートウェイ4へ送信する。
ゲートウェイ4のSA識別子検索部611は、無線基地局装置3から送信された残部データ“5”を含む暗号化パケットを信号インタフェース601を介して受信する(処理p126)。SA識別子検索部611は、受信された暗号化パケットのSA識別子を参照して、受信された暗号化パケットのSAを特定する。
図14Cに示す一例では、特定されるSAは、“abcF”をマッチングデータとするSAである。そこで、復号部612は、受信された暗号化パケットを特定されたSAの鍵データに従って復号する。また、データ復元部613は、特定されたSAのマッチングデータに従って、マッチングデータ“abcF”に対応するデータパターンを復号部612により復号された残部データに挿入し、データ“abcF5”を含むパケットに復元する。パケット終端部603は、データ“abcF5”を含む復元されたパケットをコアネットワーク5へ送信する(処理p128)。
以後、同様の処理シーケンスに従って、無線通信端末装置2から送信されたユーザデータ信号に対して第1の実施形態に従った暗号通信処理が実行される。
例えば、図14Dに示す処理p129において、無線基地局装置3のパケット終端部603がデータ“abcG6”を含むユーザデータ信号を無線通信端末装置2から受信した場合、マッチングパターンAに基づく暗号通信処理が実行される(処理p130〜処理p133)。マッチングパターンAに基づく暗号通信処理は、処理p114〜処理p117について前述した処理と同様であり得る。また、データ“abc”に対するマッチングデータは、既にマッチングパターンAとして存在するので、ステップS119では、新たなマッチングデータを含むSAは作成されない。
また、処理p134において、無線基地局装置3のパケット終端部603がデータ“abhI”を含むユーザデータ信号を無線通信端末装置2から受信した場合、一般トンネル7Aに関するSAに基づく暗号通信処理が実行される(処理p135〜処理p137)。一般トンネルに関するSAに基づく暗号通信処理は、処理p108〜処理p110について前述した処理と同様であり得る。また、各サンプルパケットとデータパターンが一致するユーザデータ信号内のデータ部分“ab”は、既に存在するマッチングデータよりもデータサイズが小さいため、ステップs135では、新たなマッチングデータを含むSAは作成されない。
このように、第1の実施形態に従った暗号通信装置6を含む無線基地局装置3は、送信対象パケットのデータの内、マッチングデータを除く残部データを暗号化し得る。したがって、無線基地局装置3の暗号処理の負担を削減できる。また、マッチングデータを含むSAに従い暗号化された暗号化パケットのペイロードは、送信対象パケット内の残部データで構成されるため、通信システム1内のトラフィックを削減できる。
また、第1の実施形態に従った暗号通信装置6を含むゲートウェイ4は、無線基地局装置3から送信された暗号化パケットを基に送信対象パケット内の元のデータを復元し得る。したがって、送信対象パケット内の一部データが暗号化パケットにより伝送されなくても、送信対象パケットの暗号通信を実現できる。
なお、図1は、第1の実施形態に従った暗号通信装置6を含む通信システム1の一例にすぎない。すなわち、図1に示した一例では、第1の実施形態に従った暗号通信装置6は、無線基地局装置3およびサーバ4にそれぞれ含まれ、無線基地局装置3とサーバ4との間で第1の実施形態に従った暗号通信が実行される。
しかしながら、第1の実施形態に従った暗号通信装置6が複数の無線基地局装置3に含まれ、複数の無線基地局装置3間で第1の実施形態に従った暗号通信が実行されるように構成してもよい。また、第1の実施形態に従った暗号通信装置6が複数のゲートウェイ4に含まれ、複数のゲートウェイ4間で第1の実施形態に従った暗号通信が実行されるように構成してもよい。
さらに、第1の実施形態に従った暗号通信装置6が無線通信端末装置2に含まれるように構成し、第1の実施形態に従った暗号通信装置6が含まれる他の装置との間で第1の実施形態に従った暗号通信が実行されるように構成してもよい。暗号通信装置6が無線通信端末装置2に含まれる場合、信号インタフェース601に対応する通信インタフェースをDSP204とGbE L2SW207との間に追加し得る。鍵情報交換部602、パケット終端部603、パターンマッチ部604、データ削除部607、SA識別子付与部609、パターン生成部610、SA識別子検索部611、およびデータ復元部613は、CPU201に対応する。パケットバッファ605および鍵情報部606は、メモリ202に対応する。暗号化部608および復号部612は、セキュリティ装置203に対応する。
そして、S−GW、MME、P−GWといったコアネットワーク5内に存在する装置が第1の実施形態に従った暗号通信装置6を含むように構成してもよい。また、コアネットワーク5を介してインターネット等の外部ネットワークと接続されたサーバ装置が第1の実施形態に従った暗号通信装置6を含むように構成してもよい。
上述したような通信システムにおいても、図1に示した一例と同様の効果を得ることができる。
<第2の実施形態>
図10に示す一例のように、第1の実施形態に従った暗号通信処理では、専用トンネル生成処理は、暗号処理と並行して行われる。しかしながら、専用トンネル生成処理は、暗号処理に代えて復号処理と並行して行われるように構成してもよい。
図15は、第2の実施形態に従った暗号通信装置の例示的機能構成図である。図15に示した第2の実施形態に従った暗号通信装置8において、図5に示した暗号通信装置6と同じ構成要素には同じ参照符号がふられている。暗号通信装置8は、以下に説明するような暗号通信処理を実行するように構成される点を除いて、図5に示した第1の実施形態に従った暗号通信装置6と同様であり得る。
図16は、第2の実施形態に従った暗号処理の例示的フロー図である。図10に示したように、第1の実施形態に従った暗号通信処理では、ステップS103〜ステップS108での暗号処理と並行して、ステップS109において専用トンネル生成処理が実行される。一方、図16に示したように、第2の実施形態に従った暗号通信処理では、専用トンネル生成処理は、暗号処理と並行して実行されない。なお、専用トンネル生成処理が並行して実行されない点を除いて、第2の実施形態に従った暗号処理は、第1の実施形態に従った暗号処理と同様であり得る。
図17は、第2の実施形態に従った復号処理の例示的フロー図である。図13に示したように、第1の実施形態に従った暗号通信処理では、専用トンネル生成処理は、復号処理と並行して実行されない。一方、図17に示したように、第2の実施形態に従った暗号通信処理では、復号されたパケットが宛先装置へ送信される処理(ステップS307)と並行して、専用トンネル生成処理が実行される(ステップS309)。第2の実施形態に従った暗号通信処理では、専用トンネル生成処理が復号処理と並行して実行されるため、専用トンネル生成処理が単独で実行される場合と比較して復号処理の遅延を抑制できる。
図17のステップS309で実行される専用トンネル生成処理は、以下のような処理を除いて、図11に示したような一例を含めて第1の実施形態に従った専用トンネル生成処理と同様であり得る。
図11に示した専用トンネル生成処理の一例では、ステップS202での処理対象パケットの格納処理は、パターンマッチ部604に代えて、復号部612またはデータ復元部613により実行される。すなわち、対向する暗号通信装置8から送信された暗号化パケットが一般トンネル7Aを介して伝送されたパケットである場合、復号部612により復号されたパケットが処理対象パケットとしてパケットバッファ605に格納される。また、対向する暗号通信装置8から送信された暗号化パケットが専用トンネル7Bを介して伝送されたパケットである場合、データ復元部613により復元されたパケットが処理対象パケットとしてパケットバッファ605に格納される。
また、ステップS205では、パターン生成部610によるSA検索処理に代えて、ステップS302でのSA識別子検索部611によるSA検索結果をパターン生成部610が取得するように構成し得る。
第2の実施形態に従った暗号通信装置、通信システムおよび暗号通信方法は、第1の実施形態のそれらと同様の効果を有し得る。また、第2の実施形態に従った暗号通信装置、通信システムおよび暗号通信方法によれば、送信側の暗号通信装置の処理負担や電力消費を抑制できる。
<第3の実施形態>
図10に示す一例のように、第1の実施形態に従った暗号通信処理では、専用トンネル生成処理は、暗号処理と並行して行われる。また、図17に示す一例のように、第2の実施形態に従った暗号通信処理では、専用トンネル生成処理は、復号処理と並行して行われる。しかしながら、専用トンネル生成処理は、暗号処理および復号処理と並行して行われるように構成してもよい。
図18は、第3の実施形態に従った暗号通信装置の例示的機能構成図である。図18に示した第3の実施形態に従った暗号通信装置9において、図5に示した暗号通信装置6および図15に暗号通信装置8と同じ構成要素には同じ参照符号がふられている。第3の実施形態に従った暗号通信装置9は、前述したような第1の実施形態に従った暗号通信処理および第2の実施形態に従った暗号通信処理を実行し得る。
第3の実施形態に従った暗号通信装置、通信システムおよび暗号通信方法は、第1の実施形態および第2の実施形態のそれらと同様の効果を有し得る。
また、送信側の装置および受信側の装置の少なくとも一方の装置が暗号通信装置9を含む通信システムでは、送信側の暗号通信装置6、8または9と受信側の暗号通信装置6、8、または9との何れにおいて専用トンネル生成処理を行うかを通常トンネル7Aに関するSAの確立時に暗号通信装置間で鍵情報交換パケットを用いて決定するように構成してもよい。
上述の構成によれば、例えば、送信側の装置が第3の実施形態に従った暗号通信装置9を含み、受信側の装置が第1の実施形態に従った暗号通信装置6を含む場合に、送信側の装置において専用トンネル生成処理を実行することを送受信装置間で決定し得る。したがって、上述の構成によって、対向する暗号通信装置との互換性を確保することができる。
また、上述の構成によれば、送信側の暗号通信装置および受信側の暗号通信装置が同じマッチングデータを生成するといった、専用トンネル生成処理の重複を避けることができる。
<第4の実施形態>
第1〜第3の実施形態に従った暗号通信装置6、8、および9により実行される暗号通信処理は、第1〜第3の実施形態に従った暗号通信処理をコンピュータに実行させるプログラム、すなわち、第4の実施形態に従った暗号通信プログラムによっても実現できる。
第4の実施形態に従った暗号通信プログラムは、磁気ディスク、光ディスク、および光磁気ディスク、およびフラッシュメモリ等半導体メモリといった記録媒体に記録される。記録媒体に記録された暗号通信プログラムは、例えば、記録媒体読み書き装置209、310、および407によってそれぞれ読み取られ、メモリ202〜402にそれぞれ格納され得る。また、記録媒体に記録された暗号通信プログラムは、アンテナ206および306や通信インタフェース309および406を介して装置2〜4内にそれぞれ取り込まれ、メモリ202〜402にそれぞれ格納され得る。CPU201〜401は、メモリ202〜402に格納された暗号通信プログラムに従って暗号通信処理をそれぞれ実行し得る。
第4の実施形態に従った暗号通信プログラムによれば、第1〜第3の実施形態に従った暗号通信方法、暗号通信装置、および通信システムと同様の効果が得ることができる。
以上の第1〜第4の実施形態を含む発明の実施形態に関し、更に以下の付記を開示する。
(付記1)
処理対象パケット内のデータとサンプルパケット内のデータとのデータパターンが一致するデータ部分をマッチングデータとして含むセキュリティアソシエーションを生成するか否かを判定するパターン生成部と、
前記パターン生成部により前記セキュリティアソシエーションを生成すると判定された場合に、前記マッチングデータおよび鍵データを含む鍵情報交換パケットを対向装置へ送信し、前記セキュリティアソシエーションのセキュリティアソシエーション識別子を含む鍵情報交換パケットを前記対向装置から受信することにより、前記セキュリティアソシエーションを前記対向装置との間で確立する鍵情報交換部と、
前記鍵情報交換部により確立された前記セキュリティアソシエーションの前記マッチングデータ、前記鍵データ、および前記セキュリティアソシエーション識別子を格納する鍵情報部と、
を含む、暗号通信装置。
(付記2)
前記対向装置への送信対象パケット内の少なくとも一部データとデータパターンが一致するマッチングデータを含むセキュリティアソシエーションを前記鍵情報部内から検索するパターンマッチ部と、
前記パターンマッチ部により検索された前記セキュリティアソシエーションに含まれるマッチングデータが示すデータ部分を前記送信対象パケット内から削除するデータ削除部と、
前記データ削除部により削除された前記送信対象パケット内の残部データを暗号化する暗号化部と、
前記パターンマッチ部により検索された前記セキュリティアソシエーションのセキュリティアソシエーション識別子を前記格納部から取得し、取得された前記セキュリティアソシエーション識別子を前記暗号化部により暗号化された前記残部データに付与して暗号化パケットを生成し、生成された前記暗号化パケットを前記対向装置へ送信するセキュリティアソシエーション識別子付与部と
を含む付記1に記載の暗号通信装置。
(付記3)
前記対向装置から送信された暗号化パケットを受信し、受信された前記暗号化パケット内からセキュリティアソシエーション識別子を検索して受信された前記暗号化パケットのセキュリティアソシエーションを特定するセキュリティアソシエーション識別子検索部と、
前記セキュリティアソシエーション識別子検索部により特定された前記セキュリティアソシエーションに従って、受信された前記暗号化パケット内のデータを復号する復号部と、
前記セキュリティアソシエーション識別子検索部により特定された前記セキュリティアソシエーションに含まれるマッチングデータを前記鍵情報部から取得し、取得された前記マッチングデータが示すデータ部分を前記復号部により復号された前記データに挿入するデータ復元部と
を含む付記2に記載の暗号通信装置。
(付記4)
前記マッチングデータを含む前記セキュリティアソシエーションを生成する専用トンネル生成処理を前記送信対象パケットに対する暗号処理と並行して実行する、
付記3に記載の暗号通信装置。
(付記5)
前記マッチングデータを含む前記セキュリティアソシエーション生成する専用トンネル生成処理を前記暗号化パケットに対する復号処理と並行して実行する、
付記3に記載の暗号通信装置。
(付記6)
前記マッチングデータを含む前記セキュリティアソシエーションを生成する専用トンネル生成処理を前記送信対象パケットに対する暗号処理および前記暗号化パケットに対する復号処理と並行して実行する、
付記3に記載の暗号通信装置。
(付記7)
前記鍵情報交換部は、リキー処理時に、前記セキュリティアソシエーションに含まれるマッチングデータをコピーして新たなセキュリティアソシエーションを生成する、
付記1〜6の何れか一項に記載の暗号通信装置。
(付記8)
前記マッチングデータを含む前記セキュリティアソシエーションは、前記処理対象パケットに対するセキュリティポリシーと関連付けられて前記鍵情報部に格納される、
付記1〜7の何れか一項に記載の暗号通信装置。
(付記9)
前記マッチングデータを含む前記セキュリティアソシエーションは、前記マッチングデータが示すデータのデータサイズ、前記処理対象パケットのアドレス、およびポート番号により分類されて前記鍵情報部に格納される、
付記1〜8の何れか一項に記載の暗号通信装置。
(付記10)
前記鍵情報交換部は、前記処理対象パケットに対する前記マッチングデータを含まないセキュリティアソシエーションを確立するための鍵情報交換パケットを用いて、前記マッチングデータを含む前記セキュリティアソシエーションを生成する専用トンネル生成処理を前記暗号通信装置および前記対向装置の何れの装置で実行するかを前記対向装置との間で決定する、
付記1〜9の何れか一項に記載の暗号通信装置。
(付記11)
前記パターン生成部は、前記対向装置との間で通信される制御データを含むパケットに従って前記マッチングデータを含む前記セキュリティアソシエーションの生成を決定する、
付記1〜10の何れか一項に記載の暗号通信装置。
(付記12)
前記パターン生成部は、前記鍵情報部に格納されているセキュリティアソシエーションであって前記処理対象パケットと同じセキュリティポリシーに関連付けられた前記セキュリティアソシエーションに含まれるマッチングデータが示すデータよりも前記データ部分のデータサイズが大きい場合に、前記データ部分をマッチングデータとして含むセキュリティアソシエーションの生成を決定する、
付記1〜11の何れか一項に記載の暗号通信装置。
(付記13)
前記パターン生成部は、前記処理対象パケット内のデータと複数のサンプルパケット内のデータとデータパターンがそれぞれ一致する複数のデータ部分の中で、データサイズの最も大きいデータ部分をマッチングデータとして含むセキュリティアソシエーションの生成を決定する、
付記1〜12の何れか一項に記載の暗号通信装置。
(付記14)
前記パターンマッチ部は、前記鍵情報部内から複数のセキュリティアソシエーションが検索された場合に、前記複数のセキュリティアソシエーションの中でデータサイズが最も大きいデータパターンを含むセキュリティアソシエーションを選択する、
付記2〜13の何れか一項に記載の暗号通信装置。
(付記15)
第1の暗号通信装置および第2の暗号通信装置により実行される暗号通信方法であって、
前記第1の暗号通信装置は、
処理対象パケット内のデータとサンプルパケット内のデータとのデータパターンが一致するデータ部分をマッチングデータとして含むセキュリティアソシエーションを生成するか否かを判定し、
前記セキュリティアソシエーションを生成すると判定された場合に、前記マッチングデータおよび鍵データを含む鍵情報交換パケットを前記第2の暗号通信装置へ送信し、
前記第2の暗号通信装置は、
前記第1の暗号通信装置から送信された鍵情報交換パケットを受信し、
受信された前記鍵情報交換パケットに含まれる前記マッチングデータおよび前記鍵データを含む前記セキュリティアソシエーションのセキュリティアソシエーション識別子を作成し、
作成された前記セキュリティアソシエーション識別子を含む鍵情報交換パケットを前記対向装置へ送信し、
前記第1の暗号通信装置は、
前記第2の暗号通信装置から送信された前記鍵情報交換パケットを受信し、
前記マッチングデータ、前記鍵データ、および受信された鍵情報交換パケットに含まれる前記セキュリティアソシエーション識別子を鍵情報部に格納する
暗号通信方法。
(付記16)
前記第1の暗号通信装置は、
前記第2の暗号通信装置への送信対象パケット内の少なくとも一部データとデータパターンが一致するマッチングデータを含むセキュリティアソシエーションを前記鍵情報部内から検索し、
検索された前記セキュリティアソシエーションに含まれるマッチングデータが示すデータ部分を前記送信対象パケット内から削除し、
削除された前記送信対象パケット内の残部データを暗号化し、
検索された前記セキュリティアソシエーションのセキュリティアソシエーション識別子を前記格納部から取得し、
取得された前記セキュリティアソシエーション識別子を、暗号化された前記残部データに付与して暗号化パケットを生成し、
生成された前記暗号化パケットを前記第2の暗号通信装置へ送信する、
付記15に記載の暗号通信方法。
(付記17)
前記第1の暗号通信装置は、
前記第2の暗号通信装置から送信された暗号化パケットを受信し、
受信された暗号化パケット内からセキュリティアソシエーション識別子を検索して受信された前記暗号化パケットのセキュリティアソシエーションを特定し、
特定された前記セキュリティアソシエーションに従って、受信された前記暗号化パケット内のデータを復号し、
特定された前記セキュリティアソシエーションに含まれるマッチングデータを前記鍵情報部から取得し、
取得された前記マッチングデータが示すデータ部分を、復号された前記データに挿入する
付記16に記載の暗号通信方法。
(付記18)
前記第1の暗号通信装置は、前記マッチングデータを含む前記セキュリティアソシエーションを生成する専用トンネル生成処理を前記送信対象パケットに対する暗号処理と並行して実行する、
付記17に記載の暗号通信方法。
(付記19)
前記第1の暗号通信装置は、前記マッチングデータを含む前記セキュリティアソシエーション生成する専用トンネル生成処理を前記暗号化パケットに対する復号処理と並行して実行する、
付記17に記載の暗号通信方法。
(付記20)
処理対象パケット内のデータとサンプルパケット内のデータとのデータパターンが一致するデータ部分をマッチングデータとして含むセキュリティアソシエーションを生成するか否かを判定し、
前記セキュリティアソシエーションを生成すると判定された場合に、前記マッチングデータおよび鍵データを含む鍵情報交換パケットを対向装置へ送信し、前記セキュリティアソシエーションのセキュリティアソシエーション識別子を含む鍵情報交換パケットを前記対向装置から受信することにより、前記セキュリティアソシエーションを前記対向装置との間で確立し、
確立された前記セキュリティアソシエーションの前記マッチングデータ、前記鍵データ、および前記セキュリティアソシエーション識別子を鍵情報部に格納する、
暗号通信処理をコンピュータに実行させる暗号通信プログラム。
1 通信システム
2 無線通信端末装置
3 無線基地局装置
4 ゲートウェイ
5 コアネットワーク
6、8、9 暗号通信装置
7 トンネル
7A 一般トンネル
7B 専用トンネル
201、301、401 CPU
202、302、402 メモリ
203、203、403 セキュリティ装置
204、304 DSP
205、305 増幅器
206、306 アンテナ
207、307、404 GbE L2SW
208、308、405 メモリ・周辺装置間入出力コントローラ
309、406 通信インタフェース
209、310、407 記録媒体読み書き装置
601 信号インタフェース
602 鍵情報交換部
603 パケット終端部
604 パターンマッチ部
605 パケットバッファ
606 鍵情報部
607 データ削除部
608 暗号化部
609 SA識別子付与部
610 パターン生成部
611 SA識別子検索部
612 復号部
613 データ復元部

Claims (16)

  1. 処理対象パケット内のデータとサンプルパケット内のデータとのデータパターンが一致するデータ部分をマッチングデータとして含むセキュリティアソシエーションを生成するか否かを判定するパターン生成部と、
    前記パターン生成部により前記セキュリティアソシエーションを生成すると判定された場合に、前記マッチングデータおよび鍵データを含む鍵情報交換パケットを対向装置へ送信し、前記セキュリティアソシエーションのセキュリティアソシエーション識別子を含む鍵情報交換パケットを前記対向装置から受信することにより、前記セキュリティアソシエーションを前記対向装置との間で確立する鍵情報交換部と、
    前記鍵情報交換部により確立された前記セキュリティアソシエーションの前記マッチングデータ、前記鍵データ、および前記セキュリティアソシエーション識別子を格納する鍵情報部と、
    を含む、暗号通信装置。
  2. 前記対向装置への送信対象パケット内の少なくとも一部データとデータパターンが一致するマッチングデータを含むセキュリティアソシエーションを前記鍵情報部内から検索するパターンマッチ部と、
    前記パターンマッチ部により検索された前記セキュリティアソシエーションに含まれるマッチングデータが示すデータ部分を前記送信対象パケット内から削除するデータ削除部と、
    前記データ削除部により削除された前記送信対象パケット内の残部データを暗号化する暗号化部と、
    前記パターンマッチ部により検索された前記セキュリティアソシエーションのセキュリティアソシエーション識別子を前記格納部から取得し、取得された前記セキュリティアソシエーション識別子を前記暗号化部により暗号化された前記残部データに付与して暗号化パケットを生成し、生成された前記暗号化パケットを前記対向装置へ送信するセキュリティアソシエーション識別子付与部と
    を含む請求項1に記載の暗号通信装置。
  3. 前記対向装置から送信された暗号化パケットを受信し、受信された前記暗号化パケット内からセキュリティアソシエーション識別子を検索して受信された前記暗号化パケットのセキュリティアソシエーションを特定するセキュリティアソシエーション識別子検索部と、
    前記セキュリティアソシエーション識別子検索部により特定された前記セキュリティアソシエーションに従って、受信された前記暗号化パケット内のデータを復号する復号部と、
    前記セキュリティアソシエーション識別子検索部により特定された前記セキュリティアソシエーションに含まれるマッチングデータを前記鍵情報部から取得し、取得された前記マッチングデータが示すデータ部分を前記復号部により復号された前記データに挿入するデータ復元部と
    を含む請求項2に記載の暗号通信装置。
  4. 前記マッチングデータを含む前記セキュリティアソシエーションを生成する専用トンネル生成処理を前記送信対象パケットに対する暗号処理と並行して実行する、
    請求項3に記載の暗号通信装置。
  5. 前記マッチングデータを含む前記セキュリティアソシエーション生成する専用トンネル生成処理を前記暗号化パケットに対する復号処理と並行して実行する、
    請求項3に記載の暗号通信装置。
  6. 前記マッチングデータを含む前記セキュリティアソシエーションを生成する専用トンネル生成処理を前記送信対象パケットに対する暗号処理および前記暗号化パケットに対する復号処理と並行して実行する、
    請求項3に記載の暗号通信装置。
  7. 前記鍵情報交換部は、リキー処理時に、前記セキュリティアソシエーションに含まれるマッチングデータをコピーして新たなセキュリティアソシエーションを生成する、
    請求項1〜6の何れか一項に記載の暗号通信装置。
  8. 前記マッチングデータを含む前記セキュリティアソシエーションは、前記処理対象パケットに対するセキュリティポリシーと関連付けられて前記鍵情報部に格納される、
    請求項1〜7の何れか一項に記載の暗号通信装置。
  9. 前記マッチングデータを含む前記セキュリティアソシエーションは、前記マッチングデータが示すデータのデータサイズ、前記処理対象パケットのアドレス、およびポート番号により分類されて前記鍵情報部に格納される、
    請求項1〜8の何れか一項に記載の暗号通信装置。
  10. 前記鍵情報交換部は、前記処理対象パケットに対する前記マッチングデータを含まないセキュリティアソシエーションを確立するための鍵情報交換パケットを用いて、前記マッチングデータを含む前記セキュリティアソシエーションを生成する専用トンネル生成処理を前記暗号通信装置および前記対向装置の何れの装置で実行するかを前記対向装置との間で決定する、
    請求項1〜9の何れか一項に記載の暗号通信装置。
  11. 前記パターン生成部は、前記対向装置との間で通信される制御データを含むパケットに従って前記マッチングデータを含む前記セキュリティアソシエーションの生成を決定する、
    請求項1〜10の何れか一項に記載の暗号通信装置。
  12. 前記パターン生成部は、前記鍵情報部に格納されているセキュリティアソシエーションであって前記処理対象パケットと同じセキュリティポリシーに関連付けられた前記セキュリティアソシエーションに含まれるマッチングデータが示すデータよりも前記データ部分のデータサイズが大きい場合に、前記データ部分をマッチングデータとして含むセキュリティアソシエーションの生成を決定する、
    請求項1〜11の何れか一項に記載の暗号通信装置。
  13. 前記パターン生成部は、前記処理対象パケット内のデータと複数のサンプルパケット内のデータとデータパターンがそれぞれ一致する複数のデータ部分の中で、データサイズの最も大きいデータ部分をマッチングデータとして含むセキュリティアソシエーションの生成を決定する、
    請求項1〜12の何れか一項に記載の暗号通信装置。
  14. 前記パターンマッチ部は、前記鍵情報部内から複数のセキュリティアソシエーションが検索された場合に、前記複数のセキュリティアソシエーションの中でデータサイズが最も大きいデータパターンを含むセキュリティアソシエーションを選択する、
    請求項2〜13の何れか一項に記載の暗号通信装置。
  15. 第1の暗号通信装置および第2の暗号通信装置により実行される暗号通信方法であって、
    前記第1の暗号通信装置は、
    処理対象パケット内のデータとサンプルパケット内のデータとのデータパターンが一致するデータ部分をマッチングデータとして含むセキュリティアソシエーションを生成するか否かを判定し、
    前記セキュリティアソシエーションを生成すると判定された場合に、前記マッチングデータおよび鍵データを含む鍵情報交換パケットを前記第2の暗号通信装置へ送信し、
    前記第2の暗号通信装置は、
    前記第1の暗号通信装置から送信された鍵情報交換パケットを受信し、
    受信された前記鍵情報交換パケットに含まれる前記マッチングデータおよび前記鍵データを含む前記セキュリティアソシエーションのセキュリティアソシエーション識別子を作成し、
    作成された前記セキュリティアソシエーション識別子を含む鍵情報交換パケットを前記対向装置へ送信し、
    前記第1の暗号通信装置は、
    前記第2の暗号通信装置から送信された前記鍵情報交換パケットを受信し、
    前記マッチングデータ、前記鍵データ、および受信された鍵情報交換パケットに含まれる前記セキュリティアソシエーション識別子を鍵情報部に格納する
    暗号通信方法。
  16. 処理対象パケット内のデータとサンプルパケット内のデータとのデータパターンが一致するデータ部分をマッチングデータとして含むセキュリティアソシエーションを生成するか否かを判定し、
    前記セキュリティアソシエーションを生成すると判定された場合に、前記マッチングデータおよび鍵データを含む鍵情報交換パケットを対向装置へ送信し、前記セキュリティアソシエーションのセキュリティアソシエーション識別子を含む鍵情報交換パケットを前記対向装置から受信することにより、前記セキュリティアソシエーションを前記対向装置との間で確立し、
    確立された前記セキュリティアソシエーションの前記マッチングデータ、前記鍵データ、および前記セキュリティアソシエーション識別子を鍵情報部に格納する、
    暗号通信処理をコンピュータに実行させる暗号通信プログラム。
JP2013058782A 2013-03-21 2013-03-21 暗号通信装置、暗号通信方法、および暗号通信プログラム Expired - Fee Related JP6036442B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013058782A JP6036442B2 (ja) 2013-03-21 2013-03-21 暗号通信装置、暗号通信方法、および暗号通信プログラム
US14/203,858 US9397831B2 (en) 2013-03-21 2014-03-11 Encrypted communication device and method for performing encrypted communication while reducing traffic in communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013058782A JP6036442B2 (ja) 2013-03-21 2013-03-21 暗号通信装置、暗号通信方法、および暗号通信プログラム

Publications (2)

Publication Number Publication Date
JP2014183562A JP2014183562A (ja) 2014-09-29
JP6036442B2 true JP6036442B2 (ja) 2016-11-30

Family

ID=51570042

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013058782A Expired - Fee Related JP6036442B2 (ja) 2013-03-21 2013-03-21 暗号通信装置、暗号通信方法、および暗号通信プログラム

Country Status (2)

Country Link
US (1) US9397831B2 (ja)
JP (1) JP6036442B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3241313B1 (en) * 2014-12-29 2019-02-20 Telecom Italia S.p.A. Performance monitoring of a mobile communication system
US10514974B2 (en) 2015-02-17 2019-12-24 Nec Corporation Log analysis system, log analysis method and program recording medium
US11210142B2 (en) * 2018-12-28 2021-12-28 Intel Corporation Technologies for multi-tenant automatic local breakout switching and data plane dynamic load balancing

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7215667B1 (en) * 2001-11-30 2007-05-08 Corrent Corporation System and method for communicating IPSec tunnel packets with compressed inner headers
US7962741B1 (en) * 2002-09-12 2011-06-14 Juniper Networks, Inc. Systems and methods for processing packets for encryption and decryption
US20060002426A1 (en) * 2004-07-01 2006-01-05 Telefonaktiebolaget L M Ericsson (Publ) Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA)
US8514894B2 (en) * 2005-08-02 2013-08-20 Elliptic Technologies Inc. Method for inserting/removal padding from packets
JP4592611B2 (ja) * 2006-02-03 2010-12-01 富士通株式会社 パケット通信システム
US20080101366A1 (en) * 2006-10-31 2008-05-01 Motorola, Inc. Methods for optimized tunnel headers in a mobile network
EP2007078A1 (en) * 2007-06-19 2008-12-24 Panasonic Corporation Header size reduction of data packets
JP2010034860A (ja) 2008-07-29 2010-02-12 Fujitsu Ltd セキュリティ機能を有するipネットワーク通信方法及び通信システム
US20110016313A1 (en) * 2009-07-15 2011-01-20 Qualcomm Incorporated HEADER COMPRESSION FOR TUNNELED IPsec PACKET
JP6188093B2 (ja) * 2012-12-26 2017-08-30 リアルテック シンガポール プライベート リミテッド 通信トラフィック処理アーキテクチャおよび方法

Also Published As

Publication number Publication date
US9397831B2 (en) 2016-07-19
JP2014183562A (ja) 2014-09-29
US20140289527A1 (en) 2014-09-25

Similar Documents

Publication Publication Date Title
RU2728893C1 (ru) Способ реализации безопасности, устройство и система
JP7246430B2 (ja) ネットワークセキュリティアーキテクチャ
JP6692886B2 (ja) 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ
US9031000B2 (en) Communication terminal, control device, and base station
JP5347067B2 (ja) 暗号化エラー検出および回復のためのシステム、方法、および装置
US11799838B2 (en) Cross-interface correlation of traffic
JP2012531778A5 (ja)
WO2019129201A1 (en) Session management for communications between a device and a dtls server
JP6036442B2 (ja) 暗号通信装置、暗号通信方法、および暗号通信プログラム
CN108966217B (zh) 一种保密通信方法、移动终端及保密网关
US8897441B2 (en) Packet transmitting and receiving apparatus and packet transmitting and receiving method
JP3979390B2 (ja) モバイルルータ装置およびホームエージェント装置
EP3595343B1 (en) Storing ciphered context information in a terminal device
JP2019047364A (ja) パケット通信装置、パケット通信システム及びプログラム
US20140010369A1 (en) Methods and devices for handling encrypted communication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160823

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161017

R150 Certificate of patent or registration of utility model

Ref document number: 6036442

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees