JPH10178421A - パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法 - Google Patents

パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法

Info

Publication number
JPH10178421A
JPH10178421A JP9236045A JP23604597A JPH10178421A JP H10178421 A JPH10178421 A JP H10178421A JP 9236045 A JP9236045 A JP 9236045A JP 23604597 A JP23604597 A JP 23604597A JP H10178421 A JPH10178421 A JP H10178421A
Authority
JP
Japan
Prior art keywords
packet
computer
encrypted
mobile computer
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9236045A
Other languages
English (en)
Inventor
Atsushi Inoue
淳 井上
Masahiro Ishiyama
政浩 石山
Atsushi Fukumoto
淳 福本
Yoshiyuki Tsuda
悦幸 津田
Atsushi Shinpo
淳 新保
Toshio Okamoto
利夫 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP9236045A priority Critical patent/JPH10178421A/ja
Priority to US08/954,631 priority patent/US6240514B1/en
Publication of JPH10178421A publication Critical patent/JPH10178421A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 暗号化されたパケットを中継するパケット処
理装置であって、パケット全体を復号/暗号化すること
を回避したものを提供すること。 【解決手段】 転送されて来たパケットを受信する手段
と、受信されたパケットに対して最後に暗号通信に関す
る処理を施した装置と自装置との間で共有される第1の
マスター鍵で暗号化され前記パケット内にコード化され
た、パケットのデータ部に対する所定の処理に用いるパ
ケット処理鍵を、該データ部に対する所定の処理は行わ
ずに復号する手段と、このパケットに次に暗号通信に関
する処理を施すべき装置と自装置との間で共有される第
2のマスター鍵で、復号されたパケット処理鍵を再暗号
化して、前記パケット内にコード化する手段と、このパ
ケット処理鍵のコード化がなされたパケットをその宛先
へ向けて送信する送信手段とを具備したことを特徴とす
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】移動計算機にパケットを転送
するパケット処理装置、相互に接続されたネットワーク
間を移動して暗号通信を行うことが可能な移動計算機装
置、パケット転送方法及びパケット処理方法に関する。
【0002】
【従来の技術】計算機システムの小型化、低価格化やネ
ットワーク環境の充実に伴って、計算機システムの利用
は急速にかつ種々の分野に広く拡大し、また集中型シス
テムから分散型システムへの移行が進んでいる。特に近
年では計算機システム自体の進歩、能力向上に加え、コ
ンピュータ・ネットワーク技術の発達・普及により、オ
フィス内のファイルやプリンタなどの資源共有のみなら
ず、オフィス外、1組織外とのコミュニケーション(電
子メール、電子ニュース、ファイルの転送など)が可能
になり、これらが広く利用されはじめた。特に近年で
は、世界最大のコンピュータネットワーク「インターネ
ット(Internet)」の利用が普及しており、イ
ンターネットと接続し、公開された情報、サービスを利
用したり、逆にインターネットを通してアクセスしてく
る外部ユーザに対し、情報、サービスを提供すること
で、新たなコンピュータビジネスが開拓されている。ま
た、インターネット利用に関して、新たな技術開発、展
開がなされている。
【0003】また、このようなネットワークの普及に伴
い、移動通信(mobile computing)に
対する技術開発も行われている。移動通信では、携帯型
の端末、計算機を持ったユーザがネットワーク上を移動
して通信する。ときには通信を行いながらネットワーク
上の位置を変えていく場合もあり、そのような通信にお
いて変化する移動計算機のネットワーク上のアドレスを
管理し、正しく通信内容を到達させるための方式が必要
である。
【0004】また、ネットワークが普及し、ネット間の
自由な接続が実現され、膨大なデータ、サービスのやり
とりがなされる場合、セキュリティ上の問題を考慮する
必要が生じてくる。例えば、組織内部の秘密情報の外部
ネットワークへの漏洩をいかに防ぐか、という問題や、
組織外からの不正な侵入から、組織内ネットワークに接
続された資源、情報をいかに守るか、という問題であ
る。インターネットは、当初学術研究を目的に構築され
たため、ネットワークの接続による自由なデータサービ
スのやりとりを重視しており、このようなセキュリティ
上の問題は考慮されていなかったが、近年多くの企業、
団体がインターネットに接続するようになり、セキュリ
ティ上の問題から自組織ネットワークを防衛する機構が
必要となってきた。
【0005】そこで、インターネット上でデータパケッ
トを交換する際に、外部にデータパケットを送出する前
にその内容を暗号化し認証コードをつけ、受信したサイ
トで認証コードを確認し復号化する、という方法があ
る。この方法によれば、たとえ組織外のユーザが外部ネ
ットワーク上のデータパケットを取り出しても、内容が
暗号化されているので、決してその内容が漏洩すること
がなく、安全な通信が確保できる。
【0006】このような暗号化通信をサポートするゲー
トウェイ計算機で守られた(ガードされた)ネットワー
ク同士であれば相互に暗号化通信が可能であり、また前
述の移動計算機が自分でパケットの暗号化、復号を行う
機能をサポートしていれば、任意のゲートウェイ間、ま
たはゲートウェイ〜移動計算機間で暗号化通信がサポー
トできる。例えば、図15では、元々ホームネットワー
ク1aに属していた移動計算機2が、他のネットワーク
1bに移動し、ネットワーク1c内の他の計算機(C
H)3と暗号化、復号機能をサポートするゲートウェイ
4a,4cを介して暗号通信を行う。
【0007】一般に移動通信を行う場合、移動計算機の
移動先データを管理するルータ(ホームエージェント)
を置き、移動計算機宛データの送信はそのホームエージ
ェントを経由することで、移動計算機に対するデータの
経路制御を行う。図15では、ホームエージェント(H
A)5がこの役割を行う。
【0008】パケットの転送経路は、通信相手3→ゲー
トウェイ4c→ゲートウェイ4a→ホームエージェント
5→ゲートウェイ4a→移動計算機2となる。もしネッ
トワーク1bのゲートウェイで復号を行う場合には、通
信相手3→ゲートウェイ4c→ゲートウェイ4a→ホー
ムエージェント5→ゲートウェイ4a→ネットワーク1
bのゲートウェイ→移動計算機2となる。
【0009】いずれの場合にも、ゲートウェイ4aにて
一旦パケットは復号され、ホームエージェント5との間
を往復した後、ゲートウェイ4aにて暗号化される。つ
まり、ゲートウェイ4aでは、パケット全体(パケット
のデータ部)を2回も暗号処理していることになる。
【0010】一般に、データパケットの暗号化、復号は
非常に計算量の大きい処理であり、上記のパケットシー
ケンスは非常に冗長である。特に、多数の移動計算機を
同時にサポートする場合、システム全体のスループット
を著しく低下させかねない。
【0011】また、暗号化されたパケットを中継するル
ータなどの装置でも、受信したパケットを復号し暗号化
して中継する場合、同様の問題点があった。一方、移動
計算機へのカプセル化によるパケット転送とパケット暗
号化によるセキュリティ対応を行うシステムにおいて、
システム構成要素間の位置関係等により、パケットに対
する移動処理および暗号化処理が任意の順序で行われる
場合、パケットを受信する移動計算機では、もとの内容
を正しく復元することができなかった。
【0012】また、移動計算機へのカプセル化によるパ
ケット転送とパケット暗号化によるセキュリティ対応を
行うシステムにおいて、システム構成要素間の位置関係
等により、パケットに対する移動処理および暗号化処理
が任意の順序で行われる場合、パケットを受信する移動
計算機側にあってパケットを移動計算機に転送するパケ
ット処理装置では、正しくパケットを転送する処理を行
うことができなかった。
【0013】
【発明が解決しようとする課題】移動通信においては、
移動中の計算機宛のパケットについては、移動計算機の
移動先データを管理するホストを経由して転送を行う。
その際、移動計算機が通信相手とパケットの暗号化、復
号を伴う通信を、各ネットワークのゲートウェイにより
行う場合、移動中の移動計算機宛のデータパケットは、
ホームネットワークの暗号化ゲートウェイで一旦復号さ
れてホームエージェントに到達し、移動計算機の現在位
置が検索されてホームエージェントから発信され、再度
ホームネットワークの暗号化ゲートウェイで暗号化され
てから移動計算機に向けて送り出される。したがって、
ホームネットワークの暗号化ゲートウェイでは、計算量
の大きい、復号、暗号化を2度行うことになり、冗長で
あり、またシステム全体のボトルネックの原因となる危
険があった。また、暗号化されたパケットを中継するル
ータなどの装置でも、受信したパケットを復号し暗号化
して中継する場合、同様の問題点があった。
【0014】一方、移動計算機へのカプセル化によるパ
ケット転送と、パケット暗号化によるセキュリティ対応
を行うシステムにおいて、システム構成要素間の位置関
係等により、パケットに対する移動処理および暗号化処
理が任意の順序で行われる場合、パケットを受信する移
動計算機側やパケットを転送するパケット処理装置側で
は、正しくパケット処理を行うことができなかった。
【0015】本発明は、上記事情を考慮してなされたも
ので、暗号化されたパケットを中継するパケット処理装
置において、パケット全体を復号、再暗号化することを
回避して、オーバーヘッドを削減することができるパケ
ット処理装置及びパケット転送方法を提供することを目
的とする。
【0016】また、本発明は、移動中の移動計算機を宛
先とするパケットについては移動計算機の位置情報を管
理するホームエージェントを介して暗号化通信が行わ
れ、また移動計算機宛の暗号化パケットをホームネット
ワークのパケット処理装置で処理する通信システムにお
いて、ホームネットワークのパケット処理装置が移動中
の移動計算機を宛先とするパケットについてパケット全
体を復号、再暗号化することを回避して、オーバーヘッ
ドを削減することができるパケット処理装置及びパケッ
ト転送方法を提供することを目的とする。
【0017】また、本発明は、移動計算機に対する移動
箇所アドレスのカプセル化処理と暗号化の処理が任意の
順序で実行されても正しく内容を復元できる移動計算機
装置及びパケット処理方法を提供することを目的とす
る。
【0018】また、本発明は、移動計算機に対する移動
箇所アドレスのカプセル化処理と暗号化の処理が任意の
順序で実行されても正しくパケットを移動計算機に転送
できるパケット処理装置及びパケット処理方法を提供す
ることを目的とする。
【0019】
【課題を解決するための手段】本発明(請求項1)は、
暗号化されたパケットを中継するパケット処理装置(例
えば、データパケット暗号化ゲートウェイ、セキュリテ
ィルータ)であって、転送されて来たパケットを受信す
る受信手段と、受信されたパケットに対して最後に暗号
通信に関する処理を施した装置と自装置との間で共有さ
れる第1のマスター鍵で暗号化され前記パケット内にコ
ード化された、パケットのデータ部に対する所定の処理
に用いるパケット処理鍵を、該データ部に対する所定の
処理は行わずに復号する復号手段と、このパケットに次
に暗号通信に関する処理を施すべき装置と自装置との間
で共有される第2のマスター鍵で、前記復号手段により
復号されたパケット処理鍵を再暗号化して、前記パケッ
ト内にコード化する再暗号化手段と、この再暗号化手段
によるパケット処理鍵のコード化がなされたパケットを
その宛先へ向けて送信する送信手段とを具備したことを
特徴とする。
【0020】本発明によれば、転送されてきた暗号化パ
ケットのデータ部に対する所定の処理は行わずに、パケ
ット処理鍵のみ復号・再暗号化して宛先計算機へ向けて
転送することにより、全てのパケットについてデータ部
に対する所定の処理を行う従来技術と比べ、パケット処
理のオーバーヘッドを低減することができる。
【0021】なお、次段のパケット処理装置がパケット
のデータ部に対する所定の処理を行えない場合には、自
装置にて該所定の処理を行ってから次段へ転送する。本
発明は、このようなケースをも包含するものである。
【0022】本発明(請求項2)は、自装置の管理する
ネットワーク外の第1の計算機から受信したパケット
を、自装置の管理するネットワーク内の所定の位置をホ
ームポジションとし現在該ネットワーク外に移動してい
る第2の計算機へ転送するパケット処理装置であって、
自装置の管理するネットワークをホームポジションとす
る移動計算機の現在位置の情報を管理し現在該ネットワ
ーク外に移動している該移動計算機宛に転送されてきた
パケットを該移動計算機の現在位置に転送する手段を有
する移動計算機管理装置(例えば、ホームエージェン
ト)と通信する手段と、前記第1の計算機からのパケッ
トを受信する受信手段と、受信されたパケットに対して
最後に暗号通信に関する処理を施した装置(第1の計算
機、この第1の計算機を管理するパケット処理装置、ま
たは経路途中の暗号通信に関する処理機能を持つルータ
装置)と自装置との間で共有される第1のマスター鍵で
暗号化され前記パケット内にコード化された、パケット
のデータ部に対する所定の処理に用いるパケット処理鍵
を、該データ部に対する所定の処理は行わずに復号する
復号手段と、このパケットに次に暗号通信に関する処理
を施すべき装置(第2の計算機、この第2の計算機を管
理するパケット処理装置、または経路途中の暗号通信に
関する処理機能を持つルータ装置)と自装置との間で共
有される第2のマスター鍵で、前記復号手段により復号
されたパケット処理鍵を再暗号化して、前記パケット内
にコード化する再暗号化手段と、前記移動計算機管理装
置の管理する情報の少なくとも一部を記憶する記憶手段
と、この記憶手段の内容を参照し、前記再暗号化手段に
よるパケット処理鍵のコード化がなされたパケットを前
記第2の計算機へ向けて送信する送信手段とを具備した
ことを特徴とする。
【0023】前記記憶手段には、予め前記移動計算機管
理装置の管理する情報の少なくとも一部をキャッシュす
るようにしても良いし、必要時に情報を得て格納するよ
うにしても良い。
【0024】本発明によれば、自装置の管理するネット
ワーク内の計算機宛のパケットであれば、復号手段で得
られたパケット処理鍵を用いて、パケットのデータ部に
対して所定の処理を行ってから、該ネットワーク内の計
算機へ転送するが、自装置の管理するネットワーク外の
計算機宛のパケットであれば、パケット処理鍵のみ復号
・再暗号化して宛先計算機へ向けて転送することによ
り、全てのパケットについてデータ部に対する所定の処
理を行う従来技術と比べ、パケット処理のオーバーヘッ
ドを低減することができる。なお、自装置の管理するネ
ットワーク外の計算機宛のパケットであっても、次段の
パケット処理装置がパケットのデータ部に対する所定の
処理を行えない場合には、自装置にて該所定の処理を行
ってから次段へ転送する。本発明は、このようなケース
をも包含するものである。
【0025】好ましくは、自装置の管理するネットワー
ク内の所定の位置をホームポジションとする移動計算機
である第2の計算機が該ネットワーク外に位置すること
を認識する第1の認識手段と、前記第2の計算機の通信
相手となる前記第1の計算機が自装置の管理するネット
ワーク外に位置することを認識する第2の認識手段とを
さらに具備し、これら第1及び第2の認識手段により前
記第2及び第1の計算機がいずれも自装置の管理するネ
ットワーク外に位置することが認識された場合に前記復
号手段、前記再暗号化手段及び前記送信手段を動作させ
るようにしても良い。
【0026】好ましくは、前記送信手段は、前記記憶手
段の内容を参照し、前記第2の計算機の現在位置のアド
レス宛のパケット内に、前記第2の計算機宛に転送され
てきたパケット全体を転送データとしてカプセル化する
ようにしても良い。
【0027】好ましくは、前記第1及び第2の認識手段
により前記第2の計算機及び第1の計算機のいずれか一
方のみが、自装置の管理するネットワーク内に位置する
ことを認識した場合、パケットがネットワーク外からネ
ットワーク内に入る際にはパケット全体を復号して宛先
計算機に向けて送信し、パケットがネットワーク内から
ネットワーク外に出る際にはパケット全体を暗号化して
宛先計算機に向けて送信するようにしても良い。
【0028】好ましくは、前記第1及び第2の認識手段
は、各ネットワークのパケット処理装置が処理対象とす
る計算機のリスト情報を参照して、第2の計算機及び第
1の計算機の双方が自装置の管理するネットワーク外に
位置することを認識するようにしても良い。
【0029】好ましくは、前記マスター鍵で暗号化され
パケット内にコード化された前記パケット処理鍵をもと
に、前記所定の処理においてパケットのデータ部の暗号
化または復号に使用するパケット暗号化鍵およびパケッ
トの認証コード生成に使用するパケット認証鍵を生成す
るようにしても良い。
【0030】本発明(請求項8)は、暗号化されたパケ
ットを中継するパケット処理装置のパケット転送方法で
あって、転送されて来たパケットを受信し、受信された
パケットに対して最後に暗号通信に関する処理を施した
装置と自装置との間で共有される第1のマスター鍵で暗
号化され前記パケット内にコード化された、パケットの
データ部に対する所定の処理に用いるパケット処理鍵
を、該データ部に対する所定の処理は行わずに復号し、
このパケットに次に暗号通信に関する処理を施すべき装
置と自装置との間で共有される第2のマスター鍵で、復
号された前記パケット処理鍵を再暗号化して、前記パケ
ット内にコード化し、このパケット処理鍵のコード化が
なされたパケットをその宛先へ向けて送信することを特
徴とする。
【0031】本発明(請求項9)は、相互に接続された
ネットワーク間を移動して通信を行うことが可能な移動
計算機装置であって、受信したパケットの最外側パケッ
ト形式を判別する手段と、この判別結果に基づいて、カ
プセル化を解く処理および暗号化パケットを復号する処
理を少なくとも含むパケット処理群から実行すべき処理
の実行順を決定する手段とを備えたことを特徴とする。
【0032】本発明(請求項10)は、相互に接続され
たネットワーク間を移動して通信を行うことが可能な移
動計算機装置であって、受信したパケットの最外側パケ
ット形式を判別する手段と、この手段により前記最外側
パケット形式が移動計算機宛カプセル化形式であると判
別された場合は、カプセル化を解く処理を行った後、得
られた暗号化パケットを復号する処理を行い、前記最外
側パケット形式が暗号化パケット形式であると判別され
た場合は、暗号化パケットを復号する処理を行った後、
得られた移動計算機宛カプセル化パケットのカプセル化
を解く処理を行う手段とを備えたことを特徴とする。
【0033】好ましくは、前記判別する手段はパケット
ヘッダ内に記述されているパケット形式を示す識別情報
に基づいて前記判別を行うようにしてもよい。本発明
(請求項12)は、自装置の管理するネットワーク外の
第1の計算機から受信したパケットを自組織内の第2の
計算機に転送するパケット処理装置(例えば、フォーリ
ンエージェント、フォーリンエージェント機能を持つデ
ータパケット暗号化ゲートウェイ)であって、受信した
パケットの最外側パケット形式を判別する手段と、この
判別結果に基づいて、カプセル化を解く処理および暗号
化パケットを復号する処理を少なくとも含むパケット処
理群から実行すべき処理の実行順を決定する手段とを備
えたことを特徴とする。
【0034】本発明(請求項13)は、自装置の管理す
るネットワーク外の第1の計算機から受信したパケット
を自組織内の第2の計算機に転送するパケット処理装置
(例えば、フォーリンエージェント、フォーリンエージ
ェント機能を持つデータパケット暗号化ゲートウェイ)
であって、受信したパケットの最外側パケットの形式を
判別する手段と、この手段により前記最外側パケット形
式が移動計算機宛カプセル化形式であると判別された場
合は、カプセル化を解く処理を行った後、得られた暗号
化パケットを復号する処理を行い、前記最外側パケット
形式が暗号化パケット形式であると判別された場合は、
暗号化パケットを復号する処理を行った後、得られた移
動計算機宛カプセル化パケットのカプセル化を解く処理
を行う手段とを備えたことを特徴とする。
【0035】本発明(請求項14)は、自装置の管理す
るネットワーク外の第1の計算機から受信したパケット
を自組織内の第2の計算機に転送するパケット処理装置
(例えば、フォーリンエージェント、フォーリンエージ
ェント機能を持つデータパケット暗号化ゲートウェイ)
であって、受信したパケットの最外側パケットの形式を
判別する手段と、この手段により前記最外側パケット形
式が移動計算機宛カプセル化形式であると判別された場
合は、カプセル化を解く処理を行って得た暗号化パケッ
トを転送し、前記最外側パケット形式が暗号化パケット
形式であると判別された場合は、カプセル化され暗号化
されたパケットをそのまま転送する手段とを備えたこと
を特徴とする。
【0036】好ましくは、前記判別する手段はパケット
ヘッダ内に記述されているパケット形式を示す識別情報
に基づいて前記判別を行うようにしてもよい。本発明
(請求項16)は、相互に接続されたネットワーク間を
移動して通信を行うことが可能な移動計算機を最終宛先
とするパケットに対するノード(例えば、移動計算機、
フォーリンエージェント、フォーリンエージェント機能
を持つデータパケット暗号化ゲートウェイ)におけるパ
ケット処理方法であって、受信したパケットの最外側パ
ケット形式を判別し、この判別結果に基づいて、カプセ
ル化を解く処理および暗号化パケットを復号する処理を
少なくとも含む処理群から実行すべき処理と実行順を決
定することを特徴とする。
【0037】なお、以上の装置に係る発明は方法に係る
発明としても成立する。また、上記の発明は、相当する
手順あるいは手段をコンピュータに実行させるためのプ
ログラムを記録した機械読取り可能な媒体としても成立
する。
【0038】
【発明の実施の形態】以下、図面を参照しながら発明の
実施の形態を説明する。 (第1の実施の形態)図1に、本発明の一実施形態に係
るネットワークの基本構成を示す。
【0039】本実施形態では、ホームネットワーク1
a、外部のネットワーク1b,1cがインターネット6
を介して相互に接続されている場合について説明する。
ネットワーク1a,1cには、それらが管理する計算機
間で暗号化通信を行うためのデータパケット暗号化ゲー
トウェイ4a,4cが設置されている。また、本実施形
態では、移動計算機2もデータパケット暗号化ゲートウ
ェイ4a,4cと同様のパケット暗号化機能を持つもの
とする。これらデータパケット暗号化ゲートウェイ4
a,4cや移動計算機2の間で暗号化通信が行われる。
【0040】ここでは、ネットワーク1a内の所定の位
置をホームポジションとする移動計算機2は、移動の結
果ネットワーク1bにあるものとする。また、移動計算
機2が暗号化通信をする通信相手ホスト3は、ネットワ
ーク1cにあるものとする。
【0041】移動計算機2の位置情報の管理、移動計算
機2宛のパケットのルーティングを司るのが、ホームネ
ットワーク1a内のホームエージェント(HA)5であ
る。移動計算機2がホームネットワーク1aを離れ移動
先に行くと、その位置情報(必要に応じてさらに位置情
報の有効期限など)を含む登録メッセージをホームエー
ジェント5に送る。
【0042】ホームエージェント5は、この情報をもと
に、移動計算機2宛のパケットがホームネットワーク1
aに到達したら、これを受け取って、パケット全体を、
移動情報に示される現在位置を送信先とするデータパケ
ットに整形(カプセル化)して、送信する。移動計算機
2は、このデータを受け取るとカプセル化を解いて所定
のデータを受信する。
【0043】なお、ホームネット1a内には、暗号通信
に関する処理を行わないルータを介してサブネットワー
クが階層的に接続される場合もあるが、この場合には各
サブネットワークごとにホームエージェントが設けられ
るものとする。そして、移動計算機がホームの位置か
ら、暗号通信に関する処理を行わないルータを介した他
のサブネットワークに移動した場合、この計算機はホー
ムネット外に移動したものには該当しないものとして扱
うことができる。
【0044】また、ホームネット1aには、データパケ
ット暗号化ゲートウェイを介してサブネットワークが階
層的に接続される場合もある。移動計算機がホームの位
置から、データパケット暗号化ゲートウェイを介した他
のサブネットワークに移動した場合、この計算機はホー
ムネット1a外に移動したものに該当するものとして扱
うことができる。
【0045】ところで、この移動通信の規約にしたがっ
て通信を行うと、前述したように従来は図8のように、
データパケット暗号化ゲートウェイ4cと4aの間で暗
号通信が行われ、データパケット暗号化ゲートウェイ4
aで暗号化されたデータ部分を復号されたパケットがホ
ームエージェント5に到達し、カプセル化されて再度ゲ
ートウェイ4aで暗号化される。そして、ゲートウェイ
4aと移動計算機2の間で再度暗号通信を行うことにな
る。すなわち、ゲートウェイ4aではパケットのデータ
部に対して処理コストの大きい2度の処理、すなわち暗
号化と復号を行っている。
【0046】これに対して本実施形態では、以下のよう
にして、データパケット暗号化ゲートウェイ4aでの復
号と再暗号化の処理コストを大幅に削減する。以下、本
実施形態について、暗号化通信を行うパケット形式とデ
ータパケット暗号化ゲートウェイ4aでの処理を中心に
説明する。
【0047】まず、図2に暗号化通信を行うパケット形
式の一例を示す。図2において、パケットは、通常のI
Pパケットヘッダの後に、鍵情報ヘッダ、認証ヘッダ、
暗号化ヘッダが続き、その後に暗号化されたデータ部が
続く。
【0048】IPヘッダには、暗号化を行った装置のア
ドレスと復号を行うべき装置のアドレスが含まれる。鍵
情報ヘッダには、鍵暗号化のアルゴリズム、パケット暗
号化のアルゴリズム、認証のアルゴリズムの指定情報に
加え、パケット処理鍵Kpを2つのデータパケット暗号
化ゲートウェイ間(あるいはデータパケット暗号化ゲー
トウェイと移動計算機との間)で共有されるマスター鍵
Kijで暗号化したものをエンコードしてある。パケッ
ト処理鍵Kpは送り手の側でランダムに生成される鍵
で、これをもとにパケット認証鍵A_Kpやパケット暗
号鍵E_Kpが計算される。なお、マスター鍵を時間情
報(カウンタn)の関数Kijnとしても良い。
【0049】なお、2つのデータパケット暗号化装置間
あるいはデータパケット暗号化装置と移動計算機の間で
共有されるマスター鍵は、例えば、秘密鍵の交換や、公
開鍵と秘密鍵による導出(例えば、Diffie−He
llman法)により生成することができる。
【0050】次に、ゲートウェイ4aにおいて、パケッ
ト処理鍵Kp部分のみの復号、再暗号化ができるのは、
移動計算機2とその通信相手3の双方がホームネット1
a外にいる場合である。例えば、図4のように通信相手
3がホームネット1a内にいる場合や、図5のように移
動計算機2がホームネット1a内にいる場合では、一方
の通信が暗号化にならず、ホームエージェント5を通過
しなくてはいけない(図4や図5ではゲートウェイ4a
においてパケットのデータ部に対する暗号化等が行われ
る)。
【0051】したがって、本実施形態のパケット処理鍵
Kpの復号、再暗号化、およびホームエージェント5に
代わっての経路制御を暗号化ゲートウェイ4aで行うた
めには、移動計算機2、その通信相手3の双方がホーム
ネットワーク外にあることを認識することが必要にな
る。
【0052】このため、本実施形態では、暗号化ゲート
ウェイ4aに、移動計算機2がホームネットワーク1a
外に位置するか否か、および通信相手となる計算機3が
ホームネットワーク1a外に位置するか否かをそれぞれ
認識する計算機位置認識部(図示せず)を設ける。例え
ば、通信システム内のいずれかの場所(分散していても
良い)に、各ゲートウェイがどの計算機に対するパケッ
トを処理対象とするかを示す情報のデータベース(具体
例としては各ゲートウェイのネットワークアドレスと、
その処理対象となる計算機群のネットワークアドレスの
対応情報)を管理するサーバ装置を設置し、あるいはゲ
ートウェイが存在する各ネットワーク内で、そのゲート
ウェイがどの計算機に対するパケットを処理対象とする
かを示す情報のデータベースを保持し、ゲートウェイが
該データベースを検索することにより実現できる。
【0053】次に、本実施形態では、ホームネットワー
ク1aのデータパケット暗号化ゲートウェイ4aでのパ
ケット処理鍵Kpの復号、およびデータパケット暗号化
ゲートウェイ4a〜移動計算機2間でのマスター鍵での
再暗号化に加え、本来ホームエージェント5で行われる
移動計算機2に対するデータのカプセル化処理も行うよ
うにしている。このため、ホームエージェント5に保持
されている移動情報データをデータパケット暗号化ゲー
トウェイ4aにコピーしキャッシュ情報として保持す
る。例えば、移動計算機の登録メッセージを処理する際
に、その登録内容をデータパケット暗号化ゲートウェイ
4a内の記憶手段に格納することで実現できる。
【0054】なお、ホームエージェント5に保持されて
いる移動情報データをデータパケット暗号化ゲートウェ
イ4aにキャッシュする代わりに、必要なときにデータ
パケット暗号化ゲートウェイ4aがホームエージェント
5から情報を取得しても良い。
【0055】次に、図3に各ノードでのパケット処理の
流れを概念的に示す。まず、移動計算機2の通信相手と
なる計算機3から、該移動計算機3がそのホームネット
ワーク1aにいるものとしてIPパケットが生成されて
送り出される。
【0056】通信相手ホスト3から移動計算機2に宛て
て出されたパケットは、ゲートウェイ4cにおいて、パ
ケットのデータ部が暗号化され、またゲートウェイ4a
〜4c間のマスター鍵でパケット処理鍵Kpが暗号化さ
れ、また認証データが付加されるなどして、送り出され
る。
【0057】ホームネットワーク1aのデータパケット
暗号化ゲートウェイ4aでは、移動計算機2のホームア
ドレス宛のデータを受け取ると、ゲートウェイ4a〜4
c間のマスター鍵で暗号化されているパケット処理鍵K
pを復号し、ゲートウェイ4a〜移動計算機2間のマス
ター鍵で再度暗号化する。さらに、キャッシュされた移
動情報を使い、移動計算機2の現在位置アドレスをヘッ
ダとしてデータグラムをカプセル化して送信する。
【0058】このようにして移動計算機2にパケットが
到達すると、移動計算機2では、カプセル化を解き、パ
ケット処理鍵Kpを復号してパケット認証鍵やパケット
暗号鍵を求め、さらに認証コードの確認、データ部の復
号を行って、転送データを取得することができる。
【0059】なお、前述したように、図4のように通信
相手3がホームネット1a内にいる場合は、データパケ
ット暗号化ゲートウェイ4aでは、パケットのデータ部
の暗号化、認証データの付加、パケット処理鍵の暗号化
が行われる。
【0060】また、図5のように移動計算機2がホーム
ネット1a内にいる場合は、データパケット暗号化ゲー
トウェイ4aでは、パケット処理鍵の復号、認証データ
の確認、パケットのデータ部の復号が行われる。また、
移動計算機2がホームの位置から、暗号通信に関する処
理を行わないルータを介した他のサブネットワークに移
動した場合、図5のようにパケット暗号化ゲートウェイ
4aからホームエージェント5を介して計算機2にIP
パケットが転送される。移動計算機2がホームの位置に
いる場合、パケット暗号化ゲートウェイ4aから直接、
計算機2にIPパケットが転送される。
【0061】さて、前述したように、従来は暗号化を伴
う移動通信においては、移動計算機宛のデータパケット
を、ホームエージェント経由でルーティングするために
ホームネットワークのゲートウェイで復号、暗号化を2
度行う必要があった。
【0062】これに対して本実施形態によれば、ホーム
ネットワークのゲートウェイ上にホームエージェントの
移動位置管理情報のキャッシュを保持するなどして、移
動計算機の経路制御をホームネットワークのゲートウェ
イ上で行い、またデータパケットのパケット処理鍵を暗
号化してパケット内にエンコードすることにより、パケ
ット処理鍵のみを復号、再暗号化するだけで、ホームエ
ージェント発のパケットを再構成することで、データパ
ケット全体の復号、暗号化処理を回避して、パケット処
理のオーバーヘッドを最小化することができる。
【0063】なお、本実施形態では、移動計算機2で最
後の復号を行ったが、その代わりに、移動先ネットワー
ク1bに存在する暗号化ゲートウェイで復号等を行う場
合にも、本発明は適用可能である。
【0064】次に、ある一纏まりのネットワークが階層
構造を持つ場合について説明する。図6に、階層構造を
持つネットワークの一例を示す。図6では、データパケ
ット暗号化ゲートウェイ4aに直接接続されたバス21
に、さらに暗号通信に関する処理機能を持つデータパケ
ット暗号化ゲートウェイ4eを介してバス22が接続さ
れ、また暗号通信に関する処理機能を持たないルータ1
4fを介してバス23が接続され、サブネットワークが
階層構造を形成している。
【0065】この場合、データパケット暗号化ゲートウ
ェイ4aは、サブネットワークA,Cを管理対象とし、
データパケット暗号化ゲートウェイ4eは、サブネット
ワークBを管理対象とする。
【0066】このような構成において、サブネットワー
クAをホームポジションとする計算機2が、サブネット
ワークB内に移動した場合、データパケット暗号化ゲー
トウェイ4aは、計算機2が自装置の管理するネットワ
ーク外に移動したものと認識する。したがって、データ
パケット暗号化ゲートウェイ4aは、この計算機2と外
部ネットワークを介したネットワーク1c(図1参照)
にいる計算機との間で通信されるパケットを転送する場
合、図1の場合と同様に、外部ネットワーク側から移動
計算機2のホームアドレス宛のデータを受け取ると、ゲ
ートウェイ4a〜4c間のマスター鍵で暗号化されてい
るパケット処理鍵Kpを復号し、ゲートウェイ4a〜ゲ
ートウェイ4e間のマスター鍵で再度暗号化する。さら
に、キャッシュされた移動情報を使い、移動計算機2の
現在位置アドレスをヘッダとしてデータグラムをカプセ
ル化して送信する。
【0067】一方、サブネットワークAをホームポジシ
ョンとする計算機2が、サブネットワークC内に移動し
た場合、データパケット暗号化ゲートウェイ4aは、計
算機2が自装置の管理するネットワーク内にいるものと
認識する。したがって、データパケット暗号化ゲートウ
ェイ4aは、この計算機2と外部ネットワークを介した
ネットワーク1c(図1参照)にいる計算機との間で通
信されるパケットを転送する場合、図5の場合と同様の
処理がなされる。
【0068】次に、本発明の他の実施形態について説明
する。図7は、本発明の他の実施形態に係る通信システ
ムの構成を示す図である。図7(a)に示すように、経
路間でデータパケットを暗号化するセキュリティルータ
71,72,73によりパケット転送経路が形成されて
いる。経路上を通るデータパケットの暗号方式は、各ル
ータのペア間のネゴシエーションで決定され、各ルータ
のパラメータテーブル80に格納されるものとする。
【0069】ルータ71により送信された暗号化パケッ
トを経路途中のルータ72が受信すると、ルータ72
は、パラメータテーブル80を調べ、ルータ71・ルー
タ72間のデータパケット暗号化方式と、ルータ72・
ルータ73間のデータパケット暗号化方式とが同じもの
であるか否かを調べる。
【0070】両暗号化方式が同じであれば、ルータ72
は、パケット処理鍵Kpのみをルータ71・ルータ72
間の鍵暗号化方式で復号し、ルータ72・ルータ73間
の鍵暗号化方式で再暗号化して、ルータ73に転送す
る。
【0071】これによって、データパケット全体の復号
/再暗号化処理を回避することができる。ただし、ルー
タ71・ルータ72間のデータパケット暗号化方式と、
ルータ72・ルータ73間のデータパケット暗号化方式
とが異なるものである場合(すなわち、ルータ71の暗
号化方式をルータ73で解読できない場合)は、図7
(b)に示すように、データ部の復号・暗号化など、デ
ータパケット全体を処理し直すことが必要である。
【0072】なお、ここでは、ルータ3台の場合を示し
たが、パケット発信元(ルータ71)の選択したパケッ
ト暗号化方式を転送経路のルータ群が処理できるなら
ば、本発明に係るパケット処理鍵Kpのみを復号/再暗
号化する処理方法が適用できる。
【0073】また、図1などを用いて説明した実施形態
において、例えば、データパケット暗号化ゲートウェイ
4cとデータパケット暗号化ゲートウェイ4aとの間
に、図7のセキュリティルータが介在し、データパケッ
ト暗号化ゲートウェイ4cとセキュリティルータとの
間、およびセキュリティルータとデータパケット暗号化
ゲートウェイ4aとの間で、それぞれ暗号通信を行うよ
うな場合にも、本発明に係るパケット処理鍵のみを復号
/再暗号化する処理方法が適用できる。
【0074】以上の図1〜図7を用いて説明した各実施
形態において、暗号通信をサポートするゲートウェイや
計算機の間に暗号通信をサポートしないルータが介在す
る場合にも本発明は適用可能である。例えば、図1にお
いて外部ネットワーク内に暗号通信をサポートしないル
ータが存在する場合、あるいは図7において暗号通信を
サポートするセキュリティルータ71とセキュリティル
ータ72の間に暗号通信をサポートしないルータが介在
する場合にも、本発明は適用可能である。
【0075】(第2の実施の形態)まず、本実施形態を
概略的に説明する。移動計算機へのカプセル化によるパ
ケット転送とパケット暗号化によるセキュリティとをサ
ポートする通信システムにおいては、システムの要請に
応じて様々なシステム実現方法が考えられる。このた
め、カプセル化の処理とパケット暗号化の処理が任意の
順序で実行されるようなシステムも存在し得る。言い換
えると、パケットを受信する装置側では、カプセル化の
処理とパケット暗号化の処理がどのような順序で実行さ
れるかを予め知ることはできないケースが想定される。
【0076】例えば、第1の実施の形態で説明したよう
に、図1のようにゲートウェイ(4a)にホームエージ
ェントの機能を一部付与し、あるいはゲートウェイ(4
a)とホームエージェント(5)を一体化して、ゲート
ウェイでの復号/再暗号化を避ける機能を使用する場
合、ゲートウェイ4aでは、パケット内にエンコードさ
れたパケット処理鍵をゲートウェイ4a〜4c間で共有
されるマスター鍵で復号し、これをゲートウェイ4a〜
移動計算機2間の別のマスター鍵で再暗号化した後に、
パケット全体を移動計算機の現在位置宛にカプセル化し
て転送する。
【0077】すると、図15のように上記機能を使用し
ない場合には、 ホームエージェントでカプセル化→ゲートウェイで暗号
化 という順序で処理を行っていたのに対し、上記機能を使
用する場合には、 マスター鍵のみ再暗号化→全体をカプセル化 という逆の処理順序になる。
【0078】ある受信側の移動計算機からみて上記ゲー
トウェイが上記機能の使用の有無を半固定的または動的
に切り替える場合、あるいはホームネットワーク側の構
成が変化して上記機能を持たないゲートウェイと上記機
能を持つゲートウェイとが交換される場合には、または
システム構成要素間の位置関係に依っては、送信側での
パケットに対する移動処理および暗号化処理は任意の順
序で行われるとともに、その順序は移動計算機側では予
め(あるいは直ぐには)知ることができないので、受信
する移動計算機側には送信側でどのような順序でパケッ
ト処理が行われていても正しく元のパケットを取り出す
ことのできる機能を持たせることが望ましい。
【0079】このために本実施形態では、移動計算機内
で、受信したパケットの最外側パケット形式を判別し、
その判別結果に応じて移動計算機宛カプセル化を解く処
理と暗号化パケットを復号する処理の実行順序を決定
し、この実行順でパケット処理を行って、送信された元
のパケットを復元する。
【0080】これによって、移動計算機に対し、移動箇
所アドレスのカプセル化処理と暗号化の処理を任意の順
序で実行しても、移動計算機側で正しく内容を復元する
ことができる。また、移動計算機システムの構成が容易
に行え、またパケットの暗号化処理の最適化も行えるな
ど、システム性能の向上にも寄与できる。
【0081】なお、移動計算機に対するパケットカプセ
ル化形式は、例えば、IETF RFC2003に提案
されるIP−in−IPカプセル化や、RFC2004
に提案されるMininmal encapsulat
ionを使用することができる。パケット暗号化形式
は、例えばRFC1825−1827に提案されるAu
thentication Header(AH)とE
ncapsulatedSecurity Paylo
ad(ESP)およびSKIP鍵管理方式(文献「SK
IP:Simple Key−Management
for Internet Protocol」,IN
ET´95等)の組合せ方式を使用することができる。
【0082】パケットの最外側パケット形式の判別の基
となる情報としては、例えばヘッダ内に記述される上記
方式等で定義されたプロトコル型(プロトコルタイプ)
を使用することができる。
【0083】以下、本実施形態について詳しく説明す
る。図15のような基本構成を持つネットワークを例に
とる。図15では、ホームネットワーク1a、外部のネ
ットワーク1b、外部のネットワーク1cがインターネ
ット6を介して相互に接続されてる。ネットワーク1
a,1cにはそれらが管理する計算機間で暗号化通信を
行うためのデータパケット暗号化ゲートウェイ4a,4
cが設置されている。移動計算機2もデータパケット暗
号化ゲートウェイと同様のパケット暗号化機能を持つと
する。これらのデータパケット暗号化ゲートウェイと移
動計算機2の間での暗号化通信を行う。
【0084】ここでは、ホームネットワーク1aの移動
計算機2が、移動の結果、ネットワーク1bにあり、移
動計算機2がネットワーク1cにある通信相手ホスト3
と暗号化通信する場合を考える。
【0085】移動計算機2の位置情報の管理、移動計算
機宛のパケットのルーティングを司るのがホームネット
ワーク内のホームエージェント(HA)5である。移動
計算機がホームネットワークを離れ移動先に行くと、そ
の位置情報を示す登録メッセージをホームエージェント
5に送る。ホームエージェント5は、この情報を元に、
移動計算機2宛のデータパケットがホームネットワーク
に到達したら、これを受け取って、パケット全体を、移
動情報に示される現在位置を送信先とするデータパケッ
トに成形(カプセル化)して、送信する。
【0086】例えば、RFC2003ではIPパケット
のペイロード部に元のホームアドレス宛パケットを埋め
込んだIP−in−IP形式のカプセル化が規定されて
いる。移動計算機はこのデータを受け取るとカプセル化
を解いて所定のデータを受信する。
【0087】この移動通信の規約に従って通信を行う
と、図15では、データパケット暗号化ゲートウェイ4
c〜4a間で暗号通信が行われ、ゲートウェイ4aで一
旦復号されたデータがホームエージェント5に到達し、
ホームエージェント5でカプセル化され、再度ゲートウ
ェイ4aで暗号かされる。そして、データパケット暗号
化ゲートウェイ4a〜移動計算機2間で再度暗号通信を
行うことになる。移動計算機2は自身で暗号化パケット
を復号し移動計算機宛のカプセル化パケットをデカプセ
ル化することになる。この機能はRFC2002にCo
−locatedCare−of addressとし
て規定されている。
【0088】図8に上記の方式で移動暗号化通信を行う
パケット形式の一例を示す。パケットは通常のIPパケ
ットヘッダの後に鍵情報ヘッダ、認証ヘッダ、暗号化ヘ
ッダが続き、その後に暗号化されたデータ部が続く。
【0089】上記のシステム構成では、ホームエージェ
ント5で移動計算機2宛のカプセル化処理が施された後
で、ゲートウェイ4aで暗号化される。従って、暗号化
されたデータ部は、移動計算機宛のIP−in−IPカ
プセル化されたIPパケットからなる(図8の移動カプ
セル化部)。すなわち、IP−in−IP形式の内部パ
ケットを暗号化したパケットがインターネット上を流
れ、移動計算機2はこれを受けて処理することになる。
【0090】なお、図8において、IPv4ヘッダの宛
先は移動計算機MNの現在位置アドレス、送信元はゲー
トウェイ4aのグローバルアドレス、外側IPヘッダの
宛先は移動計算機MNの現在位置アドレス、送信元はホ
ームエージェントHAのグローバスアドレス、内側IP
ヘッダの宛先は移動計算機MNのホームアドレス、送信
元は通信相手CHのホームアドレスとする。
【0091】さて、システム要求によっては、図15の
ホームエージェント5と暗号化ゲートウェイ4aを一体
化すること、あるいは暗号化ゲートウェイ4aにホーム
エージェント5の機能を一部搭載することが考えられ
る。後者は第1の実施の形態で既に説明したので前者に
ついて説明する。
【0092】ホームエージェント5と暗号化ゲートウェ
イ4aを一体化した場合、例えば暗号化ゲートウェイ4
aでの復号→ホームエージェントでの処理→再暗号化と
いう2度の暗号処理を省く最適化が可能である。パケッ
ト内の鍵情報ヘッダには、鍵暗号化、パケット暗号化、
認証のアルゴリズムの指定に加え、パケット処理鍵Kp
を2つのゲートウェイ間で共有されるマスター鍵kij
で暗号化したものをエンコードしてある。パケット処理
鍵Kpは送り手の側でランダムに生成される鍵で、これ
をもとにパケット認証鍵A_Kpやパケット暗号化鍵E
_Kpが計算される。ここで、パケット処理鍵Kpが同
じものであれば、暗号化通信のend−nodeが変更
されても、暗号化されたデータ部や認証コードを変更す
る必要はなく、end−nodeが変更された結果とし
てマスター鍵Kijだけが変更されるので、このパケッ
ト形式の鍵情報ヘッダ部の「パケット鍵Kpをマスター
鍵Kijで暗号化したもの」の部分のみを復号して再暗
号化すればよい。この方針に従って、ホームエージェン
ト5をゲートウェイ4aに一体化して処理する実施形態
を図9に示す(フォーリンエージェントは使用しないも
のと仮定する)。
【0093】図9では、ホームネットワークのデータパ
ケット暗号化ゲートウェイ4aでパケット処理鍵Kpの
復号、およびゲートウェイ4a〜移動計算機2間のマス
ター鍵での再暗号化に加え、本来ホームエージェントで
行われていた、移動計算機2に対するデータのカプセル
化処理も行うことが必要である。ホームネットワークの
データパケット暗号化ゲートウェイ4aは、移動計算機
2のホームアドレス宛のデータを受け取ると、ゲートウ
ェイ4a〜4c間のマスター鍵で暗号化されているパケ
ット処理鍵Kpを復号し、ゲートウェイ4a〜移動計算
機2間のマスター鍵で再度暗号化する。さらに、移動情
報を使い、移動計算機2の現在位置アドレスをヘッダと
してデータグラムをカプセル化して送信する。すなわ
ち、パケット形式は図10に示すように、外側が移動カ
プセル化形式で、内側が暗号化形式になる。
【0094】なお、図10において、IPv4ヘッダの
宛先は移動計算機MNの現在位置アドレス、送信元はゲ
ートウェイ4aのグローバルアドレス、外側IPヘッダ
の宛先は移動計算機MNの現在位置アドレス、送信元は
ホームエージェントを兼ねているゲートウェイ4aのグ
ローバスアドレス、内側IPヘッダの宛先は移動計算機
MNのホームアドレス、送信元は通信相手CHのホーム
アドレスとする。
【0095】これを受信した移動計算機2は、まず外側
の形式が移動カプセル化であることを判別しデカプセル
化処理を行い、次に内側の暗号化処理を行う。すなわ
ち、図15のシステムとは逆の順序でパケットを処理す
ることになる。
【0096】図11に、移動計算宛カプセル化とパケッ
ト暗号化のサポートされたパケット通信を行う移動計算
機が、受信パケットからデータを取り出すための手順の
一例を示す。
【0097】まず、受信したパケットの最外側パケット
形式を判別する(ステップS11,S12)。パケット
形式の判別には、移動IP(RFC2003)やIPセ
キュリティ(RFC1825など)で定義されている、
IPのプロトコル番号やnext protocolフ
ィールドを使用することができる。例えば、IP−in
−IP形式はプロトコル番号4で識別でき、暗号パケッ
トはIPヘッダのnext−headerフィールドが
特定の認証ヘッダ、暗号化ヘッダ識別コードであること
で識別できる。
【0098】最外側パケット形式が移動計算機宛カプセ
ル化形式であると判別された場合は、先にカプセル化を
解く処理を行い(ステップS13)、得られた暗号化パ
ケットを復号する処理を行う(ステップS14)。一
方、最外側パケット形式が暗号化パケット形式であると
判別された場合は、先に暗号化パケットを復号する処理
を行い(ステップS15)、得られた移動計算機宛カプ
セル化パケットのカプセル化を解く処理を行う(ステッ
プS16)。
【0099】上記では移動計算機について説明したが、
以下では同様の点をゲートウェイについて説明する。図
12のような基本構成を持つネットワークを例にとる。
図12の構成は、図15の構成において、移動計算機2
が移動したネットワーク内に、移動してきた計算機への
パケット配送を司るフォーリンエージェント7を配置し
たものである。フォーリンエージェント7はRFC20
02で規定されたものを用いるものとする。
【0100】ここでは、移動計算機2は暗号パケットの
復号を担当し、フォーリンエージェント7は移動計算機
宛カプセル化の処理を担当するとする。この場合、ホー
ムエージェントで処理されたIP−in−IPパケット
はゲートウェイ4aで処理されて(IPsec−in−
IP)、まずフォーリンエージェント7に到達する。フ
ォーリンエージェントは最初にデカプセル化を行い、次
にデカプセル処理されたパケットが移動計算機2に渡さ
れ復号処理が施される。
【0101】図12のフォーリンエージェント7を持つ
システム構成では、ゲートウェイ4aとフォーリンエー
ジェント7との間を流れるパケットは、図10のような
形式になる。このパケットは外側が移動IPでカプセル
化されたIP−in−IP形式で、内側IPパケットが
IPパケットヘッダの後に鍵情報ヘッダ、認証ヘッダ、
暗号化ヘッダが続く暗号化形式になっている。すなわ
ち、暗号化形式の内部パケットをIP−in−IPでカ
プセル化したパケットがインターネット上を流れ、フォ
ーリンエージェント7はこれを受けて処理することにな
る。
【0102】しかし図12においても、送信側でカプセ
ル化の処理とパケット暗号化の処理の順序が任意に行わ
れる場合には、前述した移動計算機の場合と同様に、パ
ケット転送を行うフォーリンエージェントには送信側で
どのような順序でパケット処理が行われていても転送処
理を行うことのできる機能を持たせることが望ましい。
【0103】また、システム要求によっては、図12の
フォーリンエージェント7と暗号化ゲートウェイ4bを
一体化することが考えられる。これを図13に示す。こ
の場合も上記と同様に、送信側でカプセル化の処理とパ
ケット暗号化の処理の順序が任意に行われるならば、パ
ケット転送を行うフォーリンエージェント機能を有する
データパケット暗号化ゲートウェイには送信側でどのよ
うな順序でパケット処理が行われていても転送処理を行
うことのできる機能を持たせることが望ましい。
【0104】図14に、移動計算宛カプセル化とパケッ
ト暗号化のサポートされたパケット転送を行うフォーリ
ンエージェントまたはフォーリンエージェント機能を有
するデータパケット暗号化ゲートウェイが、移動計算機
にパケットを転送するための手順の一例を示す。
【0105】まず、受信したパケットの最外側パケット
形式を判別する(ステップS21,S22)。パケット
形式の判別には、移動IP(RFC2003)やIPセ
キュリティ(RFC1825など)で定義されている、
IPのプロトコル番号やnext protocolフ
ィールドを使用することができる。例えば、IP−in
−IP形式はプロトコル番号4で識別でき、暗号パケッ
トはIPヘッダのnext−headerフィールドが
特定の認証ヘッダ、暗号化ヘッダ識別コードであること
で識別できる。
【0106】最外側パケット形式が移動計算機宛カプセ
ル化形式であると判別された場合は、まず、カプセル化
を解く処理を行う(ステップS23)。そして、得られ
た暗号化パケットの宛先を調べ(ステップS24)、宛
先が自装置の場合は復号処理を行い(ステップS2
5)、自装置内に取り込んで(ステップS26)、他の
必要な処理を行う。もし宛先が移動計算機2の場合は、
暗号パケットを転送する(ステップS27)。
【0107】一方、最外側パケット形式が暗号化パケッ
ト形式であると判別された場合は、外側の暗号パケット
の宛先を調べ(ステップS28)、宛先が自装置である
場合は、復号処理を行い(ステップS29)、さらに中
の移動カプセル化パケットの処理も行う(ステップS3
0)。外側の暗号パケットの宛先が移動計算機2の場合
は、そのままパケット全体を転送する(ステップS2
7)。
【0108】なお、この場合、移動計算機は、まず復号
を行い、得られたパケットがカプセル化されたものであ
れば、これをデカプセル化する。ところで、各ネットワ
ークのポリシー等によっては、図12のフォーリンエー
ジェント7〜移動計算機2間や図13のゲートウェイ4
b〜移動計算機2間を暗号化しない平文パケットを転送
してもよい場合がある。このような場合には、図12の
フォーリンエージェント7や図13のゲートウェイ4b
が移動計算機MNに代って暗号パケットの復号処理まで
行うことも考えられる。
【0109】この場合の手順は図11と同様である。な
お、以上の各機能は、ソフトウェアとしても実現可能で
ある。また、上記した各手順あるいは手段をコンピュー
タに実行させるためのプログラムを記録した機械読取り
可能な媒体として実施することもできる。
【0110】また、本発明は、RFC2002〜200
4およびRFC1825〜1829に示される移動IP
およびIPセキュリティプロトコルだけでなく、他の様
々な移動通信プロトコル、暗号化通信プロトコル、暗号
鍵交換プロトコルに対しても適用可能である。本発明
は、上述した実施の形態に限定されるものではなく、そ
の技術的範囲において種々変形して実施することができ
る。
【0111】
【発明の効果】本発明によれば、パケット処理装置にお
いて、転送されてきた暗号化パケットのデータ部に対す
る所定の処理は行わずに、パケット処理鍵のみ復号・再
暗号化して宛先計算機へ向けて転送することにより、全
てのパケットについてデータ部に対する所定の処理を行
う従来技術と比べ、パケット処理のオーバーヘッドを低
減することができる。
【0112】また、本発明によれば、パケット処理装置
において、自装置の管理するネットワーク外の計算機宛
のパケットであれば、パケット処理鍵のみ復号・再暗号
化して宛先計算機へ向けて転送することにより、全ての
パケットについてデータ部に対する所定の処理を行う従
来技術と比べ、パケット処理のオーバーヘッドを低減す
ることができる。
【0113】また、本発明によれば、移動計算機へのカ
プセル化によるパケット転送とパケット暗号化によるセ
キュリティ対応をシステム構成要素間の位置関係やパケ
ット処理の最適化などのシステム側の要求のため送信側
で任意の順序で行っても、受信する移動計算機側で受信
したパケットの最外側パケットの形式を判別しその判別
結果に応じて移動計算機宛カプセル化を解く処理と暗号
化パケットを復号する処理を必要な順序で施して、送信
された元のパケットを復元することができる。これによ
り、移動計算機システムの構成が容易に行え、またパケ
ットの暗号化処理の最適化も行えるなど、システム性能
の向上にも寄与できる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係るネットワーク構成を
示す図
【図2】本発明の一実施形態に係るデータパケット形式
の一例を示す図
【図3】本発明の一実施形態に係る各ノードでのデータ
パケット処理の流れを示す図
【図4】通信相手がホームネット内にある場合を示す図
【図5】移動計算機がホームネット内にある場合を示す
【図6】階層構造を持つネットワークの一例を示す図
【図7】本発明の他の実施形態に係るシステム構成を示
す図
【図8】データパケット形式の一例を示す図
【図9】本発明のさらに他の実施形態に係るネットワー
ク構成を示す図
【図10】データパケット形式の一例を示す図
【図11】移動計算機の手順の一例を示すフローチャー
【図12】本発明のさらに他の実施形態に係るネットワ
ーク構成を示す図
【図13】本発明のさらに他の実施形態に係るネットワ
ーク構成を示す図
【図14】フォーリンエージェントおよびフォーリンエ
ージェント機能を有するデータパケット暗号化ゲートウ
ェイの手順の一例を示すフローチャート
【図15】暗号通信を伴う移動通信をサポートする通信
システムの基本構成を説明するための図
【符号の説明】
1a,1b,1c…ネットワーク 2,22,32…移動計算機 3…通信相手 4a,4c,4b,4e…ゲートウェイ 5…ホームエージェント 6…インターネット 7…フォーリンエージェント 14f…ルータ 21,22,23…バス 71,72,73…セキュリティルータ 80…パラメータテーブル
フロントページの続き (72)発明者 津田 悦幸 神奈川県川崎市幸区小向東芝町1番地 株 式会社東芝研究開発センター内 (72)発明者 新保 淳 東京都府中市東芝町1番地 株式会社東芝 府中工場内 (72)発明者 岡本 利夫 神奈川県川崎市幸区小向東芝町1番地 株 式会社東芝研究開発センター内

Claims (16)

    【特許請求の範囲】
  1. 【請求項1】暗号化されたパケットを中継するパケット
    処理装置であって、 転送されて来たパケットを受信する受信手段と、 受信されたパケットに対して最後に暗号通信に関する処
    理を施した装置と自装置との間で共有される第1のマス
    ター鍵で暗号化され前記パケット内にコード化された、
    パケットのデータ部に対する所定の処理に用いるパケッ
    ト処理鍵を、該データ部に対する所定の処理は行わずに
    復号する復号手段と、 このパケットに次に暗号通信に関する処理を施すべき装
    置と自装置との間で共有される第2のマスター鍵で、前
    記復号手段により復号されたパケット処理鍵を再暗号化
    して、前記パケット内にコード化する再暗号化手段と、 この再暗号化手段によるパケット処理鍵のコード化がな
    されたパケットをその宛先へ向けて送信する送信手段と
    を具備したことを特徴とするパケット処理装置。
  2. 【請求項2】自装置の管理するネットワーク外の第1の
    計算機から受信したパケットを、自装置の管理するネッ
    トワーク内の所定の位置をホームポジションとし現在該
    ネットワーク外に移動している第2の計算機へ転送する
    パケット処理装置であって、 自装置の管理するネットワークをホームポジションとす
    る移動計算機の現在位置の情報を管理し現在該ネットワ
    ーク外に移動している該移動計算機宛に転送されてきた
    パケットを該移動計算機の現在位置に転送する手段を有
    する移動計算機管理装置と通信する手段と、 前記第1の計算機からのパケットを受信する受信手段
    と、 受信されたパケットに対して最後に暗号通信に関する処
    理を施した装置と自装置との間で共有される第1のマス
    ター鍵で暗号化され前記パケット内にコード化された、
    パケットのデータ部に対する所定の処理に用いるパケッ
    ト処理鍵を、該データ部に対する所定の処理は行わずに
    復号する復号手段と、 このパケットに次に暗号通信に関する処理を施すべき装
    置と自装置との間で共有される第2のマスター鍵で、前
    記復号手段により復号されたパケット処理鍵を再暗号化
    して、前記パケット内にコード化する再暗号化手段と、 前記移動計算機管理装置の管理する情報の少なくとも一
    部を記憶する記憶手段と、 この記憶手段の内容を参照し、前記再暗号化手段による
    パケット処理鍵のコード化がなされたパケットを前記第
    2の計算機へ向けて送信する送信手段とを具備したこと
    を特徴とするパケット処理装置。
  3. 【請求項3】自装置の管理するネットワーク内の所定の
    位置をホームポジションとする移動計算機である第2の
    計算機が該ネットワーク外に位置することを認識する第
    1の認識手段と、 前記第2の計算機の通信相手となる前記第1の計算機が
    自装置の管理するネットワーク外に位置することを認識
    する第2の認識手段とをさらに具備し、 これら第1及び第2の認識手段により前記第2及び第1
    の計算機がいずれも自装置の管理するネットワーク外に
    位置することが認識された場合に前記復号手段、前記再
    暗号化手段及び前記送信手段を動作させることを特徴と
    する請求項2に記載のパケット処理装置。
  4. 【請求項4】前記送信手段は、前記記憶手段の内容を参
    照し、前記第2の計算機の現在位置のアドレス宛のパケ
    ット内に、前記第2の計算機宛に転送されてきたパケッ
    ト全体を転送データとしてカプセル化することを特徴と
    する請求項2に記載のパケット処理装置。
  5. 【請求項5】前記第1及び第2の認識手段により前記第
    2の計算機及び第1の計算機のいずれか一方のみが、自
    装置の管理するネットワーク内に位置することを認識し
    た場合、パケットがネットワーク外からネットワーク内
    に入る際にはパケット全体を復号して宛先計算機に向け
    て送信し、パケットがネットワーク内からネットワーク
    外に出る際にはパケット全体を暗号化して宛先計算機に
    向けて送信することを特徴とする請求項2に記載のパケ
    ット処理装置。
  6. 【請求項6】前記第1及び第2の認識手段は、各ネット
    ワークのパケット処理装置が処理対象とする計算機のリ
    スト情報を参照して、第2の計算機及び第1の計算機の
    双方が自装置の管理するネットワーク外に位置すること
    を認識することを特徴とする請求項2に記載のパケット
    処理装置。
  7. 【請求項7】前記マスター鍵で暗号化されパケット内に
    コード化された前記パケット処理鍵をもとに、前記所定
    の処理においてパケットのデータ部の暗号化または復号
    に使用するパケット暗号化鍵およびパケットの認証コー
    ド生成に使用するパケット認証鍵を生成することを特徴
    とする請求項1ないし6のいずれか1項に記載のパケッ
    ト処理装置。
  8. 【請求項8】暗号化されたパケットを中継するパケット
    処理装置のパケット転送方法であって、 転送されて来たパケットを受信し、 受信されたパケットに対して最後に暗号通信に関する処
    理を施した装置と自装置との間で共有される第1のマス
    ター鍵で暗号化され前記パケット内にコード化された、
    パケットのデータ部に対する所定の処理に用いるパケッ
    ト処理鍵を、該データ部に対する所定の処理は行わずに
    復号し、 このパケットに次に暗号通信に関する処理を施すべき装
    置と自装置との間で共有される第2のマスター鍵で、復
    号された前記パケット処理鍵を再暗号化して、前記パケ
    ット内にコード化し、 このパケット処理鍵のコード化がなされたパケットをそ
    の宛先へ向けて送信することを特徴とするパケット転送
    方法。
  9. 【請求項9】相互に接続されたネットワーク間を移動し
    て通信を行うことが可能な移動計算機装置であって、 受信したパケットの最外側パケット形式を判別する手段
    と、 この判別結果に基づいて、カプセル化を解く処理および
    暗号化パケットを復号する処理を少なくとも含むパケッ
    ト処理群から実行すべき処理の実行順を決定する手段と
    を備えたことを特徴とする移動計算機装置。
  10. 【請求項10】相互に接続されたネットワーク間を移動
    して通信を行うことが可能な移動計算機装置であって、 受信したパケットの最外側パケット形式を判別する手段
    と、 この手段により前記最外側パケット形式が移動計算機宛
    カプセル化形式であると判別された場合は、カプセル化
    を解く処理を行った後、得られた暗号化パケットを復号
    する処理を行い、前記最外側パケット形式が暗号化パケ
    ット形式であると判別された場合は、暗号化パケットを
    復号する処理を行った後、得られた移動計算機宛カプセ
    ル化パケットのカプセル化を解く処理を行う手段とを備
    えたことを特徴とする移動計算機装置。
  11. 【請求項11】前記判別する手段はパケットヘッダ内に
    記述されているパケット形式を示す識別情報に基づいて
    前記判別を行うことを特徴とする請求項9または10に
    記載の移動計算機装置。
  12. 【請求項12】自装置の管理するネットワーク外の第1
    の計算機から受信したパケットを自組織内の第2の計算
    機に転送するパケット処理装置であって、 受信したパケットの最外側パケット形式を判別する手段
    と、 この判別結果に基づいて、カプセル化を解く処理および
    暗号化パケットを復号する処理を少なくとも含むパケッ
    ト処理群から実行すべき処理の実行順を決定する手段と
    を備えたことを特徴とするパケット処理装置。
  13. 【請求項13】自装置の管理するネットワーク外の第1
    の計算機から受信したパケットを自組織内の第2の計算
    機に転送するパケット処理装置であって、 受信したパケットの最外側パケットの形式を判別する手
    段と、 この手段により前記最外側パケット形式が移動計算機宛
    カプセル化形式であると判別された場合は、カプセル化
    を解く処理を行った後、得られた暗号化パケットを復号
    する処理を行い、前記最外側パケット形式が暗号化パケ
    ット形式であると判別された場合は、暗号化パケットを
    復号する処理を行った後、得られた移動計算機宛カプセ
    ル化パケットのカプセル化を解く処理を行う手段とを備
    えたことを特徴とするパケット処理装置。
  14. 【請求項14】自装置の管理するネットワーク外の第1
    の計算機から受信したパケットを自組織内の第2の計算
    機に転送するパケット処理装置であって、 受信したパケットの最外側パケットの形式を判別する手
    段と、 この手段により前記最外側パケット形式が移動計算機宛
    カプセル化形式であると判別された場合は、カプセル化
    を解く処理を行って得た暗号化パケットを転送し、前記
    最外側パケット形式が暗号化パケット形式であると判別
    された場合は、カプセル化され暗号化されたパケットを
    そのまま転送する手段とを備えたことを特徴とするパケ
    ット処理装置。
  15. 【請求項15】前記判別する手段はパケットヘッダ内に
    記述されているパケット形式を示す識別情報に基づいて
    前記判別を行うことを特徴とする請求項12ないし14
    のいずれか1項に記載のパケット処理装置。
  16. 【請求項16】相互に接続されたネットワーク間を移動
    して通信を行うことが可能な移動計算機を最終宛先とす
    るパケットに対するノードにおけるパケット処理方法で
    あって、 受信したパケットの最外側パケット形式を判別し、 この判別結果に基づいて、カプセル化を解く処理および
    暗号化パケットを復号する処理を少なくとも含む処理群
    から実行すべき処理と実行順を決定することを特徴とす
    るパケット処理方法。
JP9236045A 1996-10-18 1997-09-01 パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法 Pending JPH10178421A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP9236045A JPH10178421A (ja) 1996-10-18 1997-09-01 パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
US08/954,631 US6240514B1 (en) 1996-10-18 1997-10-20 Packet processing device and mobile computer with reduced packet processing overhead

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP8-276186 1996-10-18
JP27618696 1996-10-18
JP9236045A JPH10178421A (ja) 1996-10-18 1997-09-01 パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法

Publications (1)

Publication Number Publication Date
JPH10178421A true JPH10178421A (ja) 1998-06-30

Family

ID=26532470

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9236045A Pending JPH10178421A (ja) 1996-10-18 1997-09-01 パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法

Country Status (2)

Country Link
US (1) US6240514B1 (ja)
JP (1) JPH10178421A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000188616A (ja) * 1998-12-21 2000-07-04 Matsushita Electric Ind Co Ltd 通信システム及び通信方法
WO2000057595A1 (en) * 1999-03-22 2000-09-28 Kent Ridge Digital Labs Method and apparatus for encrypting and decrypting data
JP2000267940A (ja) * 1999-03-17 2000-09-29 Lg Electronics Inc デジタルファイルの暗号化装置及び暗号化方法とその記録媒体
KR20010076767A (ko) * 2000-01-28 2001-08-16 오길록 이동컴퓨팅 환경에서 디엔에스 기반 위치정보 등록 및경로설정방법
JP2002539724A (ja) * 1999-03-15 2002-11-19 トムソン ライセンシング ソシエテ アノニム デジタル・ホーム・ネットワーク用のグローバル・コピー保護システム
JP2003528551A (ja) * 2000-03-27 2003-09-24 ノアテル ネットワークス リミテッド ネットワーク内の複数の移動ノードを管理するための方法および装置
US7218643B1 (en) 1998-09-30 2007-05-15 Kabushiki Kaisha Toshiba Relay device and communication device realizing contents protection procedure over networks
US7231174B2 (en) 2000-02-29 2007-06-12 Kabushiki Kaisha Kenwood Data distribution system and method, and electric equipment to be used therefor
JP2008547257A (ja) * 2005-06-13 2008-12-25 シーメンス アクチエンゲゼルシヤフト アドホックネットワーク内でデータを安全に伝送するための方法および装置

Families Citing this family (108)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6418324B1 (en) * 1995-06-01 2002-07-09 Padcom, Incorporated Apparatus and method for transparent wireless communication between a remote device and host system
US20040264402A9 (en) * 1995-06-01 2004-12-30 Padcom. Inc. Port routing functionality
US6151628A (en) * 1997-07-03 2000-11-21 3Com Corporation Network access methods, including direct wireless to internet access
JPH11341566A (ja) * 1998-05-27 1999-12-10 Nec Corp 情報提供システム及びその課金方法並びにその制御プログラムを記録した記録媒体
US6272131B1 (en) * 1998-06-11 2001-08-07 Synchrodyne Networks, Inc. Integrated data packet network using a common time reference
US6442135B1 (en) * 1998-06-11 2002-08-27 Synchrodyne Networks, Inc. Monitoring, policing and billing for packet switching with a common time reference
EP0975123A1 (en) * 1998-07-15 2000-01-26 Telefonaktiebolaget L M Ericsson (Publ) Communication device and method for reliable and low-delay packet transmission
US8060656B2 (en) 1998-10-09 2011-11-15 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7136645B2 (en) * 1998-10-09 2006-11-14 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8078727B2 (en) 1998-10-09 2011-12-13 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US6546425B1 (en) * 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7293107B1 (en) * 1998-10-09 2007-11-06 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7778260B2 (en) * 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
FI106417B (fi) * 1998-12-08 2001-01-31 Nokia Mobile Phones Ltd Menetelmä tiedonsiirron optimoimiseksi
US6578085B1 (en) * 1999-01-27 2003-06-10 Nortel Networks Limited System and method for route optimization in a wireless internet protocol network
FR2792482A1 (fr) * 1999-04-13 2000-10-20 Thomson Multimedia Sa Reseau numerique local, notamment reseau numerique domestique, et procede de creation et de mise a jour d'un tel reseau
US6792615B1 (en) * 1999-05-19 2004-09-14 New Horizons Telecasting, Inc. Encapsulated, streaming media automation and distribution system
US7882247B2 (en) * 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US6731617B1 (en) * 1999-07-16 2004-05-04 Nortel Networks Limited Tunneling signaling method and apparatus
US7237261B1 (en) * 1999-09-07 2007-06-26 Swisscom Ag Method, system and gateway allowing secured end-to-end access to WAP services
US20020055971A1 (en) * 1999-11-01 2002-05-09 Interdigital Technology Corporation Method and system for a low-overhead mobility management protocol in the internet protocol layer
US7131006B1 (en) * 1999-11-15 2006-10-31 Verizon Laboratories Inc. Cryptographic techniques for a communications network
FR2812504B1 (fr) * 2000-07-31 2003-01-24 At Sky Systeme de cryptage/decryptage "a la volee" pour la diffusion de donnees
EP1334587A1 (en) * 2000-08-31 2003-08-13 Padcom Inc. Method and apparatus for routing data over multiple wireless networks
US7120254B2 (en) * 2000-10-30 2006-10-10 Geocodex Llc Cryptographic system and method for geolocking and securing digital information
US7143289B2 (en) * 2000-10-30 2006-11-28 Geocodex Llc System and method for delivering encrypted information in a communication network using location identity and key tables
US8472627B2 (en) * 2000-10-30 2013-06-25 Geocodex Llc System and method for delivering encrypted information in a communication network using location indentity and key tables
US20050198379A1 (en) 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US7562146B2 (en) * 2003-10-10 2009-07-14 Citrix Systems, Inc. Encapsulating protocol for session persistence and reliability
KR100408287B1 (ko) * 2001-06-15 2003-12-03 삼성전자주식회사 컨텐트 보호 시스템 및 방법
US7900042B2 (en) * 2001-06-26 2011-03-01 Ncipher Corporation Limited Encrypted packet inspection
TW566024B (en) 2001-07-30 2003-12-11 Nagravision Sa Method to create a virtual private network through a public network
US7644171B2 (en) * 2001-09-12 2010-01-05 Netmotion Wireless, Inc. Mobile networking system and method using IPv4 and IPv6
JP2005515700A (ja) * 2002-01-14 2005-05-26 ネットモーション ワイヤレス インコーポレイテッド モバイルコンピューティング環境および他の断続的なコンピューティング環境における安全な接続を提供するための方法およびデバイス
US7661129B2 (en) * 2002-02-26 2010-02-09 Citrix Systems, Inc. Secure traversal of network components
US7984157B2 (en) * 2002-02-26 2011-07-19 Citrix Systems, Inc. Persistent and reliable session securely traversing network components using an encapsulating protocol
US7386717B2 (en) * 2002-03-07 2008-06-10 Intel Corporation Method and system for accelerating the conversion process between encryption schemes
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service
US7185365B2 (en) 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
US20030212900A1 (en) * 2002-05-13 2003-11-13 Hsin-Yuo Liu Packet classifying network services
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US7346771B2 (en) * 2002-11-13 2008-03-18 Nokia Corporation Key distribution across networks
US6999437B2 (en) * 2002-12-17 2006-02-14 Nokia Corporation End-to-end location privacy in telecommunications networks
US7441043B1 (en) * 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
US20040170181A1 (en) * 2003-02-27 2004-09-02 Padcom, Inc. Prioritized alternate port routing
US7392378B1 (en) * 2003-03-19 2008-06-24 Verizon Corporate Services Group Inc. Method and apparatus for routing data traffic in a cryptographically-protected network
US7441267B1 (en) * 2003-03-19 2008-10-21 Bbn Technologies Corp. Method and apparatus for controlling the flow of data across a network interface
US7916739B2 (en) * 2003-06-24 2011-03-29 Ntt Docomo, Inc. Location privacy for internet protocol networks using cryptographically protected prefixes
US20040264700A1 (en) * 2003-06-26 2004-12-30 International Business Machines Corporation Wireless bridge device for secure, dedicated connection to a network
US20050005093A1 (en) * 2003-07-01 2005-01-06 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20080109889A1 (en) * 2003-07-01 2008-05-08 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20070162957A1 (en) * 2003-07-01 2007-07-12 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
HU226781B1 (en) 2004-03-01 2009-10-28 Miklos Jobbagy Device set for secure direct information transmission over internet
US7647492B2 (en) * 2004-09-15 2010-01-12 Check Point Software Technologies Inc. Architecture for routing and IPSec integration
CN1798019A (zh) * 2004-12-29 2006-07-05 国际商业机器公司 用于在私有网络中共享媒体内容的方法、系统和装置
US20060210071A1 (en) * 2005-03-16 2006-09-21 Chandran Gayathiri R Encryption of security-sensitive data
US8200972B2 (en) * 2005-03-16 2012-06-12 International Business Machines Corporation Encryption of security-sensitive data by re-using a connection
US8418226B2 (en) * 2005-03-18 2013-04-09 Absolute Software Corporation Persistent servicing agent
EP1744515B1 (en) * 2005-07-12 2011-07-13 Fujitsu Siemens Computers, Inc. Method, cluster system and computer-readable medium for distributing data packets
US20070195958A1 (en) * 2006-02-22 2007-08-23 Czuchry Andrew J Extensible closed-loop security system
WO2008001344A2 (en) * 2006-06-27 2008-01-03 Waterfall Solutions Ltd One way secure link
IL177756A (en) * 2006-08-29 2014-11-30 Lior Frenkel Encryption-based protection against attacks
IL180020A (en) * 2006-12-12 2013-03-24 Waterfall Security Solutions Ltd Encryption -and decryption-enabled interfaces
IL180748A (en) * 2007-01-16 2013-03-24 Waterfall Security Solutions Ltd Secure archive
US8223205B2 (en) 2007-10-24 2012-07-17 Waterfall Solutions Ltd. Secure implementation of network-based sensors
GB0801395D0 (en) * 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
GB0801408D0 (en) * 2008-01-25 2008-03-05 Qinetiq Ltd Multi-community network with quantum key distribution
WO2009093036A2 (en) * 2008-01-25 2009-07-30 Qinetiq Limited Quantum cryptography apparatus
GB0801492D0 (en) 2008-01-28 2008-03-05 Qinetiq Ltd Optical transmitters and receivers for quantum key distribution
GB0809045D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key distribution involving moveable key device
GB0809038D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key device
GB0809044D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Multiplexed QKD
GB0819665D0 (en) * 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
GB0822254D0 (en) * 2008-12-05 2009-01-14 Qinetiq Ltd Method of performing authentication between network nodes
GB0822253D0 (en) 2008-12-05 2009-01-14 Qinetiq Ltd Method of establishing a quantum key for use between network nodes
GB0822356D0 (en) * 2008-12-08 2009-01-14 Qinetiq Ltd Non-linear optical device
WO2010092764A1 (ja) * 2009-02-13 2010-08-19 パナソニック株式会社 ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末
GB0917060D0 (en) 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
CN101741548B (zh) * 2009-12-18 2012-02-01 西安西电捷通无线网络通信股份有限公司 交换设备间安全连接的建立方法及系统
CN102223631B (zh) * 2010-04-16 2014-06-04 华为技术有限公司 M2m中数据加密传输的方法、设备及系统
GB201020424D0 (en) 2010-12-02 2011-01-19 Qinetiq Ltd Quantum key distribution
US10698775B2 (en) 2016-05-31 2020-06-30 Mongodb, Inc. Method and apparatus for reading and writing committed data
US10740353B2 (en) 2010-12-23 2020-08-11 Mongodb, Inc. Systems and methods for managing distributed database deployments
US9805108B2 (en) 2010-12-23 2017-10-31 Mongodb, Inc. Large distributed database clustering systems and methods
US11615115B2 (en) 2010-12-23 2023-03-28 Mongodb, Inc. Systems and methods for managing distributed database deployments
US10346430B2 (en) 2010-12-23 2019-07-09 Mongodb, Inc. System and method for determining consensus within a distributed database
US10977277B2 (en) 2010-12-23 2021-04-13 Mongodb, Inc. Systems and methods for database zone sharding and API integration
US10713280B2 (en) 2010-12-23 2020-07-14 Mongodb, Inc. Systems and methods for managing distributed database deployments
US10997211B2 (en) 2010-12-23 2021-05-04 Mongodb, Inc. Systems and methods for database zone sharding and API integration
US11544288B2 (en) 2010-12-23 2023-01-03 Mongodb, Inc. Systems and methods for managing distributed database deployments
US9740762B2 (en) 2011-04-01 2017-08-22 Mongodb, Inc. System and method for optimizing data migration in a partitioned database
US8996463B2 (en) 2012-07-26 2015-03-31 Mongodb, Inc. Aggregation framework system architecture and method
US10262050B2 (en) 2015-09-25 2019-04-16 Mongodb, Inc. Distributed database systems and methods with pluggable storage engines
US9166959B2 (en) * 2012-03-31 2015-10-20 Intel Corporation Secure communication using physical proximity
US10872095B2 (en) 2012-07-26 2020-12-22 Mongodb, Inc. Aggregation framework system architecture and method
US11544284B2 (en) 2012-07-26 2023-01-03 Mongodb, Inc. Aggregation framework system architecture and method
US11403317B2 (en) 2012-07-26 2022-08-02 Mongodb, Inc. Aggregation framework system architecture and method
US9635037B2 (en) 2012-09-06 2017-04-25 Waterfall Security Solutions Ltd. Remote control of secure installations
US9419975B2 (en) 2013-04-22 2016-08-16 Waterfall Security Solutions Ltd. Bi-directional communication over a one-way link
US9195851B1 (en) * 2014-03-12 2015-11-24 Emc Corporation Offloading encryption to the client
US10021077B1 (en) * 2014-05-12 2018-07-10 Google Llc System and method for distributing and using signed send tokens
IL235175A (en) 2014-10-19 2017-08-31 Frenkel Lior Secure desktop remote control
US10713275B2 (en) 2015-07-02 2020-07-14 Mongodb, Inc. System and method for augmenting consensus election in a distributed database
US10846411B2 (en) 2015-09-25 2020-11-24 Mongodb, Inc. Distributed database systems and methods with encrypted storage engines
US10673623B2 (en) * 2015-09-25 2020-06-02 Mongodb, Inc. Systems and methods for hierarchical key management in encrypted distributed databases
IL250010B (en) 2016-02-14 2020-04-30 Waterfall Security Solutions Ltd Secure connection with protected facilities
US10776220B2 (en) 2016-06-27 2020-09-15 Mongodb, Inc. Systems and methods for monitoring distributed database deployments
US10866868B2 (en) 2017-06-20 2020-12-15 Mongodb, Inc. Systems and methods for optimization of database operations

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7218643B1 (en) 1998-09-30 2007-05-15 Kabushiki Kaisha Toshiba Relay device and communication device realizing contents protection procedure over networks
JP2000188616A (ja) * 1998-12-21 2000-07-04 Matsushita Electric Ind Co Ltd 通信システム及び通信方法
JP2002539724A (ja) * 1999-03-15 2002-11-19 トムソン ライセンシング ソシエテ アノニム デジタル・ホーム・ネットワーク用のグローバル・コピー保護システム
US8332657B1 (en) 1999-03-15 2012-12-11 Thomson Licensing Global copy protection system for digital home networks
JP4850341B2 (ja) * 1999-03-15 2012-01-11 トムソン ライセンシング デジタル・ホーム・ネットワーク用のグローバル・コピー保護システム
USRE42106E1 (en) 1999-03-17 2011-02-01 Lg Electronics Inc. Digital data file encryption apparatus and method and recording medium for recording digital data file encryption program thereon
JP2000267940A (ja) * 1999-03-17 2000-09-29 Lg Electronics Inc デジタルファイルの暗号化装置及び暗号化方法とその記録媒体
USRE42171E1 (en) 1999-03-17 2011-02-22 Lg Electronics Inc. Digital data file encryption apparatus and method and recording medium for recording digital data file encryption program thereon
USRE42107E1 (en) 1999-03-17 2011-02-01 Lg Electronics Inc. Digital data file encryption apparatus and method and recording medium for recording digital data file encryption program thereon
WO2000057595A1 (en) * 1999-03-22 2000-09-28 Kent Ridge Digital Labs Method and apparatus for encrypting and decrypting data
US7110539B1 (en) 1999-03-22 2006-09-19 Kent Ridge Digital Labs Method and apparatus for encrypting and decrypting data
KR20010076767A (ko) * 2000-01-28 2001-08-16 오길록 이동컴퓨팅 환경에서 디엔에스 기반 위치정보 등록 및경로설정방법
US7231174B2 (en) 2000-02-29 2007-06-12 Kabushiki Kaisha Kenwood Data distribution system and method, and electric equipment to be used therefor
JP2003528551A (ja) * 2000-03-27 2003-09-24 ノアテル ネットワークス リミテッド ネットワーク内の複数の移動ノードを管理するための方法および装置
JP2008547257A (ja) * 2005-06-13 2008-12-25 シーメンス アクチエンゲゼルシヤフト アドホックネットワーク内でデータを安全に伝送するための方法および装置

Also Published As

Publication number Publication date
US6240514B1 (en) 2001-05-29

Similar Documents

Publication Publication Date Title
JPH10178421A (ja) パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
JP3651721B2 (ja) 移動計算機装置、パケット処理装置及び通信制御方法
US9300634B2 (en) Mobile IP over VPN communication protocol
JP4707992B2 (ja) 暗号化通信システム
US7571463B1 (en) Method an apparatus for providing a scalable and secure network without point to point associations
US6728536B1 (en) Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks
EP1446907B1 (en) Enabling secure communication in a clustered or distributed architecture
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US6704866B1 (en) Compression and encryption protocol for controlling data flow in a network
US7861080B2 (en) Packet communication system
US20040037260A1 (en) Virtual private network system
JPH10126405A (ja) 移動計算機装置及びパケット暗号化認証方法
US20040268124A1 (en) Systems and methods for creating and maintaining a centralized key store
JP2003051818A (ja) モバイルipネットワークにおけるipセキュリティ実行方法
JPH09214556A (ja) パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法
CN101305541A (zh) 维持安全网络连接的技术
WO2007103338A2 (en) Technique for processing data packets in a communication network
JP7395455B2 (ja) 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム
KR100522600B1 (ko) 모바일 노드와의 접속을 제공하는 라우터 및 그 라우팅 방법
CN112600802B (zh) 一种SRv6加密报文、SRv6报文的加解密方法及装置
US20040103311A1 (en) Secure wireless mobile communications
JPH10224409A (ja) 通信システム
US20080059788A1 (en) Secure electronic communications pathway
WO2009094939A1 (en) Method for protecting mobile ip route optimization signaling, the system, node, and home agent thereof

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050329

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050530

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050920