セキュリティ機能を有するIPネットワーク通信方法及び通信システム
【課題】IPsec等の適用により増加するCPU負荷による処理遅延を軽減し、ネットワークのデータ伝送効率低下を軽減する。
【解決手段】セキュリティ機能を有するIPネットワーク通信システムであって、送信データを複数のパケットに分割する手段と、前記分割された複数のパケットの一部のパケットのみに暗号化を行い、残りのパケットは非暗号化とする手段と、前記暗号化されたパケットと非暗号化のパケットを送信する送信手段を、有する。
【解決手段】セキュリティ機能を有するIPネットワーク通信システムであって、送信データを複数のパケットに分割する手段と、前記分割された複数のパケットの一部のパケットのみに暗号化を行い、残りのパケットは非暗号化とする手段と、前記暗号化されたパケットと非暗号化のパケットを送信する送信手段を、有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ機能を有するIPネットワーク通信方法及び通信システムに関する。
【背景技術】
【0002】
移動通信システムにおいて、システムを構成する各ネットワーク機器(無線基地局装置、無線基地局制御装置、交換装置等)を接続する回線には、一般的にATM(Asynchronous Transfer Mode:非同期転送モード)回線及びIP(Internet Protocol:インターネット・プロトコル)回線が多く用いられている。
【0003】
現在検討が盛んに行なわれている、次世代移動通信システム(LTE:Long Tern Evolution, SAE:System Architecture Evolution, ECN:Evolved Core Network, WiMAX, 4G等)においては、そのネットワーク機器接続回線にIP網を定義することを検討されている通信システムが多くある。
【0004】
このため、移動通信システムにおいても、全IP(Internet Protocol Network)網に接続される、一サービスとして実現されようとしている。
【0005】
このように、現在のインターネット等のIP通信等も含めて、あらゆる通信がIPという共通の基盤を利用したサービスへと移行してきている。
【0006】
これらのIP上で通信するサービスには、さまざまなタイプがあり、たとえば、音声や動画のように遅延の少ない通信が要求されるものや、大量のデータを高速に伝送することが要求されるもの等がある。
【0007】
大量にデータを通信する場合は、IP回線にはパケット長が大きな(パケット長が長い)パケットを使用する方が伝送効率はよくなる。しかし、大きなパケットを伝送するには、長い時間IP回線を占有することになり、この占有時間のために遅延の少ない通信を要求するサービスの妨げとなる可能性がある。
【0008】
このために、遅延の少ない通信の品質を確保するためには、大きなパケットは分割(fragment)して送信することが一般的である。
【0009】
一方、通信の安全性についても関心が高まってきている。サービス提供者においては、自サービスの通信安全性などを考慮し、暗号化通信によるセキュリティ対策に関する課題対策を行うことが望ましい。
【0010】
なお、ネットワーク回線においては、その回線上のアプリケーションに関係なく、すべての通信を自動的に暗号化可能とする技術として、IPsec(IP security Protocol)を採用する方向で各種検討がされている。
【0011】
以下、図1にLTEシステムを例として、IPsec対象区間となりうる回線例を示す。図1において、無線基地局(eNB)1,2間、及び無線基地局1,2とゲートウエイ3との間が、IPsecトンネル4,5,6によりIPsec対象区間となり得る。
【0012】
さらに、図2にIPsec適用可能なレイヤ構造を示す。図2において、移動局装置MS、無線基地局eNB、ネットワーク制御装置NCU間のユーザプレーンデータプロトコルスタックが示される。かかるスタックレイヤにおいて、無線基地局eNBとネットワーク制御装置NCU間において、IPsecの適用(図2、A)が可能である。
【0013】
図3にIPsecのプロトコルを示す。図3において、通常パケットAを暗号化する際は、暗号化されていることを示す暗号化ヘッダBとトレーラーCが付加される。そして、通常パケットAとトレーラーCを含む範囲が暗号化され(図3、D)、暗号化ヘッダBを含む範囲が送信側と受信側との間で認証される。
【0014】
さらに、暗号化されたパケットを、暗号通信用トンネルを通して送信するために、新ヘッダEとトレーラーFが付加される。
【0015】
ここで、IPsec技術を適用するには、各種キー(key)交換をネットワーク装置間で定期的に実施することが望ましく、IPsec専用プロトコル終端部を整備するのが好ましい。
【0016】
かかる場合、IPsec専用プロトコル終端に関わる技術を適用するデータレイヤや対象データ伝送量などにも起因するが、伝送装置自体の処理能力を大きく損なうことが懸念される。
【0017】
一般的にはIPsecを適用するか否か(IPsec on/off)でプロトコル終端部の性能は3〜4割程度異なるといわれている。
【0018】
また、IPsec適用時には図3で説明したように、暗号通信用のヘッダ、トレーラー(図3:D、B)等を追加すると、データ容量が増加する。このためにデータ伝送効率を下げる要因になる。
【0019】
図4に、IPsec適用時のデータ伝送効率を示す。横軸にフレームサイズ、縦軸にスループットを示す。図4において、IはIPsec offの時、IIは、IPsec onの時の伝送効率を示している。
【0020】
図4に示すように、IPsec on/offによるデータ伝送効率の理論値変化は、何れの場合もパケット長が短い(フレーム長が短い)程下がり、最短パケット(64byte/packet) 時には、IPsec非適用の場合(I)に比べ4割程度下がる。
【0021】
一方、ネットワーク上に音声データ等、データ遅延を一定時間以下に抑えることが望ましいサービスが存在する場合、パケット長をある程度短く抑えることが望ましい。長いパケットは、伝送するために長い時間ネットワークを占有し (遅延制限のある)音声データ等を待たせてしまうため、予め短いパケットに分割(フラグメント:fragment)する。
【0022】
従来技術として、暗号処理を行うベきパケットに、パケットヘッダの特定のフィールドをハッシュキーとして得たハッシュ値毎に異なる識別子を付与して、順序保証、並列処理を行う技術がある(特許文献1)。
【特許文献1】特開2000−315997号公報
【発明の開示】
【発明が解決しようとする課題】
【0023】
しかし、フラグメントするということはパケット長を短くすることであり、図4について述べたように伝送効率を下げる要因となる。
【0024】
一方、高速なイーサネット(Ethernet)(登録商標)の普及とともに、大容量のデータやプライベートなデータをEthernet(登録商標)で伝送する機会が多くなり、データセキュリティ対策の効率化が求められる。
【0025】
したがって、一目的は、IPsec等の適用により増加するCPU負荷による処理遅延を軽減し、ネットワークのデータ伝送効率低下を軽減する暗号化を適用するIPネットワーク通信システムを提供することにある。
【課題を解決するための手段】
【0026】
昨今の大容量の通信データ は、ZIP等のバイナリの圧縮データやmpeg等の映像や音声の圧縮データが多い。これらの圧縮データは、その先頭部分にデータを復元するための情報を含んでいることがほとんどである。そして、かかる部分を暗号化し、復号できない状態では、これらの圧縮データを正確に復元できなくなる場合が多い。
【0027】
したがって、ネットワークに要求のある、IPsec等のセキュリティ技術を、パケット全体に適用するのではなく、その一部であって、セキュリティが必要な部分にのみ適用する。
【0028】
一構成例として、セキュリティ機能を有するIPネットワーク通信システムであって、送信データを複数のパケットに分割する手段と、前記分割された複数のパケットの一部のパケットのみに暗号化を行い、残りのパケットは非暗号化とする手段と、前記暗号化されたパケットと非暗号化のパケットを送信する送信手段を有する。
【0029】
これにより、IPsec等の適用により増加するCPU負荷による処理遅延を軽減し、ネットワークのデータ伝送効率低下を軽減する。
【発明を実施するための最良の形態】
【0030】
以下に図面に従い、実施例を説明する。
【0031】
図5は、IPsecが適用可能なIPネットワーク通信システムの実施例構成を示すブロック図である。同様構成であるので、双方向通信における片方向通信側分の構成のみを示している。
【0032】
IPネットワーク通信システムにおいて、送信側データ送信装置20と受信側データ受信装置40が、ネットワーク30を通して接続される。送信側データ送信装置20の入力側には入力インタフェース10が備えられる。
【0033】
ネットワーク30は、暗号化しないセッション用パケット(通常パケット)用の経路31を有し、後で説明するように、暗号化したデータの通信セッションの際に暗号通信用トンネル32と、暗号制御用トンネル33が形成される。
【0034】
図5において、送信側データ送信装置20の入力インタフェース10のバッファ11に、他伝送装置または、自伝送装置におけるデータ源からのパケットデータが入力される。
【0035】
送信パケット生成部12は、バッファ11から読み出されるパケットデータを所定のデータ長にフラグメント化する。
【0036】
セッション制御部13は、バッファ11に入力するパケットデータについて、送信パケット生成部12でフラグメント化されたフラグメント情報に基き、フラグメントパケット毎にセッション、QoS(Quality of Service)を判定して、セッション単位に暗号化通信でなければ、送信パケット生成部12及び第1のIPsec on/off部24に非暗号化通信を指示する。
【0037】
これにより、送信パケット生成部12は、バッファ11からのパケットデータをフラグメント化したまま出力してデータ送信装置20のセレクタ25に入力する。
【0038】
第1のIPsec on/off部24は、セッション制御部13からの非暗号化の指示を受けているので、セレクタ25をネットワーク30の通常パケット経路31を通るように設定する。
【0039】
図6は、図5のデータ伝送装置20から送信されるパケットデータを示す図である。図6において、図6Aは、送信パケット生成部12によりバッファ11からのパケットデータ(A)を複数のパケット(B)にフラグメント化した状態を示している。
【0040】
図6Bは、これまでのパケットデータの暗号化の方法に対応するパケットデータの例である。セッション制御部13による判定処理に基づき、送信パケット生成部12から出力される複数のフラグメント化された全てのパケットに暗号化処理のためのヘッダ(IA)とトレーラ(IB)が付加され、暗号通信用トンネル32を通すためのヘッダ(IIA)とトレーラ(IIB)が付加されている。
【0041】
ここで、暗号化処理のための、ネットワーク30における暗号通信用トンネル32及び暗号制御用トンネル33を生成するシーケンスについて図7を説明する。
【0042】
すなわち、図7において、IPsec通信に先立つフェーズ1及びフェーズ2の処理を有する。
【0043】
フェーズ1において、送信側伝送装置Aと受信側伝送装置Bとの間で暗号制御用トンネル33を形成するために、暗号制御用トンネル33で使用するアルゴリズム(暗号algorithm、認証algorithm等)を通常パケット用の経路31を通して決定する(処理工程P11)。
【0044】
ついで、同様に通常パケット用の経路31を通して、処理工程P11で決定されたアルゴリズムを使って暗号制御用トンネル33の暗証鍵を決定する(処理工程P12)。これにより、暗号制御用トンネル33が形成される。
【0045】
さらに、フェーズ1において、処理工程P11,12により決定された暗号制御用トンネル33を使用して、伝送装置A,B間で相互に通信相手の認証を行う(処理工程P13)。
【0046】
フェーズ2において、フェーズ1で生成された暗号制御用トンネル33を使って、伝送装置A,B間で、暗号通信用トンネル32で使用する暗号鍵とアルゴリズムを決定する(処理工程P21)。さらに、伝送装置Aは、伝送装置Bに対して決定された暗号通信用トンネル32で使用する暗号鍵とアルゴリズムを確認する(処理工程P22)。
【0047】
以降、生成された暗号通信用トンネル32を使用して暗号化通信(IPsec)を行う(処理工程P3)。
【0048】
図8A,図8Bは、第1の実施例における送信側装置A(図8A)と、受信側装置B(図8B)の処理フローを示す。
【0049】
先ず、セッション制御部13は、バッファ11のパケットデータに基づき、セッション単位に暗号化送信か否かを判定する(ステップS1)。暗号化送信でなければ(ステップS1、N)、バッファ11から出力され、フラグメント化されたパケットは、通常パケット送信経路31を通してデータ受信装置40に送られ、バッファ11のパケットデータが途切れるまで送信が継続する(図8A,ステップS8、S9)。このとき送信されるパケットは、図6Aの(B)に示したと同様である。
【0050】
ステップS1でセッション制御部13がパケットデータに基づき、セッション単位に暗号化通信か否かを判定して、暗号化通信であれば(ステップS1、Y)、図7により説明したように暗号化準備としてフェーズ1,2により暗号通信用トンネル32及び暗号制御用トンネル33を形成する(ステップS2)。受信側装置40においては、送信側装置とで確認した暗号鍵を保存する。
【0051】
図8Aにおいて、第1の実施例としてフラグメント化された複数のパケットについて、パケット単位に暗号化送信する対象か否かを判定する(ステップS3)。すなわち、複数のパケット内の一部のパケットのみ、例えば、先頭パケットのみをIPsec通信を適用し、一セッションにおける残りの分割パケットは、暗号化せずに送信する。
【0052】
例えば、先頭パケットのみを暗号化するようにすると、送信処理対象が先頭パケットのときに(ステップS3、Y)、IPsec コントローラ21内の第1のIPsec on/off部24に対し、セレクタ25で先頭パケットのみをIP暗号化部26に出力するように切替え制御させる。
【0053】
同時に、第2のIPsec on/off部23に指示を行い、暗号鍵生成部22により生成される暗号鍵を用いて、IPsec暗号化部26により先頭パケットのみを暗号化させる。このようにフラグメント化されたパケットの一部のみに対して暗号化する(ステップS5)。
【0054】
図6Cに示すように、第1の実施例においては、暗号化される先頭パケットには、暗号化ヘッダ(IA)とトレーラー(IB)が付加され、更にその外側に、暗号通信用トンネル32を通過させるためのヘッダIIAとトレーラー(IIB)が付加される。
【0055】
一方、第1の実施例において、先頭パケットに続くパケットには、暗号化しなくてもよいので、暗号化用ヘッダIAのみ付され、受信側装置との間で認証しなくてもよいので暗号通信用トンネル32を通過させるためのヘッダIIAのみが付加されている(ステップS4)。暗号化用トレーラー(IB)及び認証用トレーラー(IIB)は、付加されていない。
【0056】
そして、暗号化された一部のパケット(例えば、先頭パケット)と、他のフラグメント化されたパケットは、バッファ11にデータがなくなるまで暗号化通信用トンネルに送出される。(ステップS6、S7)。
【0057】
ここで、暗号化精度を高めるために、暗号鍵に有効時間が設定されている。暗号鍵の有効時間がタイムアウトする場合(ステップS5、Y)は、ステップS2に戻り再度暗号化準備処理を行って、以降の処理を継続する。
【0058】
図8Bは、図8Aの送信側装置の処理フローに対応する、受信側装置の処理フローである。図5を参照して説明する。
【0059】
データ受信装置40は、通常パケットの経路31、暗号通信用トンネル32及び暗号制御用トンネル33のそれぞれについて、パケットを受信する。
【0060】
IPsec復号化部42において、暗号通信用トンネル32から受信されるパケットについて、暗号化ヘッダの有無によって、暗号化パケットか否かを判定する(ステップS10)。
【0061】
さらに、データ受信装置40は、暗号化通信に先立って送信側装置とで決定した暗号鍵を、復号用暗号鍵生成部41に保持している。
【0062】
図5において、暗号通信用トンネル32から受信されるパケットのヘッダ情報と復号用暗号鍵生成部41に保持している暗号鍵に基づき、復号用暗号鍵生成部41は、復号用暗号鍵を生成する。そして、生成された復号用暗号鍵を用いて、IPsec復号化部42において、暗号化パケットを復号する(ステップS11)。
【0063】
このように、IPsec復号化部42において、暗号化されているパケットは復号化され、非暗号化のパケットはそのままで、図5において図示されないアセンブル回路に入力される。そして、受信、復号されたパケットはフラグメント化されているのでアセンブル回路で、再組み立てされて、元のパケットデータを受信装置側で得ることができる。
【0064】
かかる第1の実施例において、フラグメントされたデータの複数のパケットのうち先頭のパケットのみにIPsecを適用し、残りのパケットは、IPsec非適用で暗号通信用トンネルに送信する等、暗号化適用データ範囲を減らすことができる。
【0065】
このため、データ全体を通信網にさらさないのでセキュリティは確保しつつ、且つ暗号化off時にESP header(IA)等を省略できるのでネットワーク負荷と 暗号化に必要な処理を省略できる。
【0066】
したがって、 CPUの負荷を軽減し、遅延の少ない通信が可能となる。なお、この実施例では、データ受信装置側は、IPsecのESP header(IA)により暗号化の適用・非適用がパケット単位で判断可能なため特別な機能追加を行わなくてもよい。
【0067】
図9は、第2の実施例に対応する送信側伝送装置の処理フローである。
【0068】
この実施例では、先の第1の実施例におけると同様に、フラグメントされたパケットの一部、例えば、先頭パケットのみを暗号化を行う。そして、それ以降のフラグメントされたパケットは暗号化せずに通常パケットの経路31を通過するように、セッション制御部13により第1のIPsec on/off回路24に指示してセレクタ25を切換制御する。
【0069】
したがって、第2の実施例のパケットデータを示す図6Dにおいて、先頭パケットに対し、暗号化ヘッダ(IA)及びトレーラー(IB)が付加され、暗号通信用トンネル32を通過させるためのヘッダ(IIA)とトレイラー(IIB)が付加されている。
【0070】
それ以降のパケットは、フラグメント化された状態のままであり、通常パケット経路31により送信される。
【0071】
したがって、図9において、第1の実施例に対応する図8の処理フローと比較すると、ステップS4の処理が、ステップS4Aに置き換えられている点のみが異なる。
【0072】
すなわち、先頭パケットを除き、暗号化送信パケットでないと判定される(ステップS3、N)と、フラグメントされたパケットの状態のままで(図6D, III)、通常パケットの経路31により送信される。その他の処理は、第1の実施例と同様である。
【0073】
かかる第2の実施例では、上記のように、同じセッション内でIPsecがonのパケットは、暗号通信トンネル32を使って送信され、IPsecがoffのパケットは、トンネルを使わず通常パケットとして通常パケット経路31で送信する。このため、本実施例において、IPsec offの場合のパケットは、第1の暗号化offの場合のパケットから暗号通信用トンネル32に送信するためのheader等を省略でき、第1の実施例に比べ、更にネットワーク負荷とCPUの負荷を軽減することが可能である。
【0074】
なお、第1の実施例と同様に、本実施例のデータ受信装置側には、本実施例の実行のために特別な機能を追加しなくてもよい。
【0075】
図10は、更に第3の実施例に対応する送信側伝送装置の構成例ブロック図である。
【0076】
この実施例では、送信装置20の入力インタフェース部10にパケットをフラグメント化する送信パケット生成部12を有していない。
【0077】
セッション制御部13は、バッファから読みだされる送信パケットに対し、送信パケットの一部をIPsecの適用範囲に指定する。このIPsecの適用範囲は、セッション情報、QoS等の情報に基き、予め設定した条件に対応するように決められる。
【0078】
すなわち、セッション制御部13は、バッファ11からデータ送信装置20に入力されるパケットに同期して、IPsecコントローラ21の暗号鍵生成部22Aに暗号化適用範囲を通知する。
【0079】
IPsec暗号化部26は、暗号鍵生成部22A からの暗号化適用範囲に対応するタイミングでの暗号化指示に従い、暗号化を行って、一パケット中の暗号化された部分及び、該当のパケットの残りの部分と共に、ネットワーク30の暗号通信用トンネル32を通して、受信側伝送装置40に送信する。
【0080】
図11A−図11Cは、かかる第3の実施例に対応する暗号化パケットの例を示す図である。
【0081】
図11Aは、通常のIPsecを示す図であり、送信すべきパケットと、パケットに付加された暗号化用トレーラーIBの範囲をIPsecの適用範囲としている。これに対し、図11B, 図11C に示すように、第3の実施例では、送信対象である一つのパケット中の任意の範囲を暗号化対象としている。
【0082】
具体的には、図11Bの例では、パケットのヘッダ部の途中を暗号化開始位置とし、その後の所定のIPsec長の範囲を暗号化領域としている。さらに、図11Cの例では、所定の部分領域を暗号化される領域とし、それに続く非暗号化の部分を含めた長さ領域をIPsecの適用パターン長として、かかるパターンを繰り返すように設定する(図11C, III1, III2, III3)。なお、最後のパターン領域はパターン長が、途中までとなる場合があり、図11Cは、かかる場合を示している。
【0083】
図12A, 図12Bは、第3の実施例に対応する送信側伝送装置(図12A)と受信側伝送装置(図12B)の処理フローである。
【0084】
図8A, 図8Bに示した第1の実施例の処理フローとの比較において、パケット単位での暗号化送信の適用判断(図8A、ステップS3)を行わずに、セッション制御部13により、送信処理対象のパケットに対して予め設定したIPsec適用範囲について、暗号化処理を実行する(ステップS5A)。他の処理は、先の実施例の処理フローと同様である。
【0085】
図12Bにおける受信側伝送装置の処理フローにおいては、暗号化パケットと判断されるとき(ステップS10、Y)、IPsec復号化部42は、ヘッダ部の情報に基き、暗号化パケットにおける暗号化されている領域について、復号化を行う(ステップS11A)。他の処理は、先の実施例と同様である。
【0086】
この第3の実施例では、上記に図10、図11A−図11Cで説明した通り、IPsecで通信を行うデータ送信側伝送装置・データ受信側伝送装置において、a) 暗号鍵の交換時等に、IPsecの適用範囲、例えば、先頭何byte目から何byte間のデータにIPsecを掛けたり、暗号化パターン(パターンにより斑に暗号化する) 等の情報をデータ送受信双方で共有し、b) この情報に従ってデータの限定した領域のみIPsecを施し、c) この情報に従って限定した領域にIPsecがかけられたデータを復元することで実現される。
【0087】
さらに、図7で説明した暗号か準備のための処理フェーズ1,2の基本は変わらないが、IPsecのフェーズ2で扱うデータに暗号化パターンが追加される。
【0088】
また、本実施例として、図10の送信側伝送装置のインタフェース部10において、送信パケット生成部12を設けないで、フラグメントされていないパケットにおいてIPsec適用範囲を設定するように説明したが、当然にフラグメントされたそれぞれのパケット中に部分的にIPsec適用範囲を適用することも同様に可能である。本実施例によりCPUの負荷を従来方式に比べ軽減したIPsec通信が可能となる。
【0089】
ここで、上記に説明したように第1、第2の実施例においては、パケット単位での制御のため、セッションの途中で実施例方式を切り換えることが可能である。このため、更なる実施例として、上記各実施例のそれぞれの特性を考慮し、ネットワークの輻輳状況、CPUの使用率、セッションのQoS等によって、各実施例方式を切り換えて、ネットワークの状態を最適化することが可能である。
【0090】
図13は、第4の実施例としてかかる別の実施例に従う送信側伝送装置の処理フローである。図14は、上記の各実施例の特徴を比較するテーブルである。
【0091】
図14において、例えば、セキュリティの強度に関しては、これまでの通状のIPsecの方式が最もセキュリティは強く、次いで、第1の実施例、第2の実施例の順となる。また、ネット枠負荷及びCPU負荷に関しては、第2の実施例、第1の実施例、通常のIPsecの順位負荷が重くなる。なお、セキュリティ強度が低い場合は、暗号鍵の更新頻度を短くすることで改善できる。しかしこれは、ネットワーク負荷・CPU負荷とのトレードオフになる。
【0092】
図13の処理フローにおいて、パケット単位で暗号化送信か否か、即ちフラグメントパケットに対する暗号化か否かを判断する(ステップS3)。パケット単位での暗号化でないとき(ステップS3、N)は、かかる図14のテーブルに示した特徴に鑑みて、先頭パケット以降のフラグメントパケットに対して、ネットワークの適用条件等に適合する第1の実施例あるいは第2の実施例の何れを適用するかを判定し(ステップS3A)、判定に対応する処理を行う(ステップS4A,またはS4B)。
図13において、他のステップにおける処理は、先に説明した実施例におけると同様である。
【図面の簡単な説明】
【0093】
【図1】LTEシステムを例として、IPsec対象区間となりうる回線例を示す図である。
【図2】IPsec適用可能なレイヤ構造を示す図である。
【図3】IPsecのプロトコルを示す図である。
【図4】IPsec適用時のデータ伝送効率を示す図である。
【図5】IPsecが適用可能なIPネットワーク通信システムの実施例構成を示すブロック図である。
【図6】図5のデータ伝送装置20から送信されるパケットデータを示す図である。
【図7】暗号化処理のための、ネットワークにおける暗号通信用トンネル及び暗号制御用トンネルを生成するシーケンスについて説明する図である。
【図8A】第1の実施例における送信側装置Aの処理フローを示す図である。
【図8B】第1の実施例における受信側装置Bの処理フローを示す図である。
【図9】第2の実施例に対応する送信側伝送装置の処理フローを示す図である。
【図10】第3の実施例に対応する送信側伝送装置の構成例ブロック図である。
【図11A】これまでのパケットデータのIPsecを示す図である。
【図11B】第3の実施例におけるパケットのヘッダ部の途中を暗号化開始位置とし、その後の所定のIPsec長の範囲を暗号化領域とする例を示す図である。
【図11C】第3の実施例における所定の部分領域を暗号化される領域とし、それに続く非暗号化の部分を含めた長さ領域をIPsecの適用パターン長する例を示す図である。
【図12A】第3の実施例に対応する送信側伝送装置の処理フローである。
【図12B】第3の実施例に対応する受信側伝送装置の処理フローである。
【図13】第4の実施例に従う送信側伝送装置の処理フローである。
【図14】上記の第1、第2の実施例の特徴を比較するテーブルである。
【符号の説明】
【0094】
10 入力インタフェース部
11 バッファ
12 送信パケット生成部
13 セッション制御部
20 データ伝送装置
21 IPsecコントローラ
22 暗号鍵生成部
23 第2のIPsec on/off回路
24 第1のIPsec on/off回路
25 セレクタ
26 IPsec暗号化部
30 ネットワーク
31 通状パケット経路
32 暗号通信用トンネル
33 暗号制御用トンネル
40 データ受信装置
41 暗号鍵生成部
42 IPsec復号化部
【技術分野】
【0001】
本発明は、セキュリティ機能を有するIPネットワーク通信方法及び通信システムに関する。
【背景技術】
【0002】
移動通信システムにおいて、システムを構成する各ネットワーク機器(無線基地局装置、無線基地局制御装置、交換装置等)を接続する回線には、一般的にATM(Asynchronous Transfer Mode:非同期転送モード)回線及びIP(Internet Protocol:インターネット・プロトコル)回線が多く用いられている。
【0003】
現在検討が盛んに行なわれている、次世代移動通信システム(LTE:Long Tern Evolution, SAE:System Architecture Evolution, ECN:Evolved Core Network, WiMAX, 4G等)においては、そのネットワーク機器接続回線にIP網を定義することを検討されている通信システムが多くある。
【0004】
このため、移動通信システムにおいても、全IP(Internet Protocol Network)網に接続される、一サービスとして実現されようとしている。
【0005】
このように、現在のインターネット等のIP通信等も含めて、あらゆる通信がIPという共通の基盤を利用したサービスへと移行してきている。
【0006】
これらのIP上で通信するサービスには、さまざまなタイプがあり、たとえば、音声や動画のように遅延の少ない通信が要求されるものや、大量のデータを高速に伝送することが要求されるもの等がある。
【0007】
大量にデータを通信する場合は、IP回線にはパケット長が大きな(パケット長が長い)パケットを使用する方が伝送効率はよくなる。しかし、大きなパケットを伝送するには、長い時間IP回線を占有することになり、この占有時間のために遅延の少ない通信を要求するサービスの妨げとなる可能性がある。
【0008】
このために、遅延の少ない通信の品質を確保するためには、大きなパケットは分割(fragment)して送信することが一般的である。
【0009】
一方、通信の安全性についても関心が高まってきている。サービス提供者においては、自サービスの通信安全性などを考慮し、暗号化通信によるセキュリティ対策に関する課題対策を行うことが望ましい。
【0010】
なお、ネットワーク回線においては、その回線上のアプリケーションに関係なく、すべての通信を自動的に暗号化可能とする技術として、IPsec(IP security Protocol)を採用する方向で各種検討がされている。
【0011】
以下、図1にLTEシステムを例として、IPsec対象区間となりうる回線例を示す。図1において、無線基地局(eNB)1,2間、及び無線基地局1,2とゲートウエイ3との間が、IPsecトンネル4,5,6によりIPsec対象区間となり得る。
【0012】
さらに、図2にIPsec適用可能なレイヤ構造を示す。図2において、移動局装置MS、無線基地局eNB、ネットワーク制御装置NCU間のユーザプレーンデータプロトコルスタックが示される。かかるスタックレイヤにおいて、無線基地局eNBとネットワーク制御装置NCU間において、IPsecの適用(図2、A)が可能である。
【0013】
図3にIPsecのプロトコルを示す。図3において、通常パケットAを暗号化する際は、暗号化されていることを示す暗号化ヘッダBとトレーラーCが付加される。そして、通常パケットAとトレーラーCを含む範囲が暗号化され(図3、D)、暗号化ヘッダBを含む範囲が送信側と受信側との間で認証される。
【0014】
さらに、暗号化されたパケットを、暗号通信用トンネルを通して送信するために、新ヘッダEとトレーラーFが付加される。
【0015】
ここで、IPsec技術を適用するには、各種キー(key)交換をネットワーク装置間で定期的に実施することが望ましく、IPsec専用プロトコル終端部を整備するのが好ましい。
【0016】
かかる場合、IPsec専用プロトコル終端に関わる技術を適用するデータレイヤや対象データ伝送量などにも起因するが、伝送装置自体の処理能力を大きく損なうことが懸念される。
【0017】
一般的にはIPsecを適用するか否か(IPsec on/off)でプロトコル終端部の性能は3〜4割程度異なるといわれている。
【0018】
また、IPsec適用時には図3で説明したように、暗号通信用のヘッダ、トレーラー(図3:D、B)等を追加すると、データ容量が増加する。このためにデータ伝送効率を下げる要因になる。
【0019】
図4に、IPsec適用時のデータ伝送効率を示す。横軸にフレームサイズ、縦軸にスループットを示す。図4において、IはIPsec offの時、IIは、IPsec onの時の伝送効率を示している。
【0020】
図4に示すように、IPsec on/offによるデータ伝送効率の理論値変化は、何れの場合もパケット長が短い(フレーム長が短い)程下がり、最短パケット(64byte/packet) 時には、IPsec非適用の場合(I)に比べ4割程度下がる。
【0021】
一方、ネットワーク上に音声データ等、データ遅延を一定時間以下に抑えることが望ましいサービスが存在する場合、パケット長をある程度短く抑えることが望ましい。長いパケットは、伝送するために長い時間ネットワークを占有し (遅延制限のある)音声データ等を待たせてしまうため、予め短いパケットに分割(フラグメント:fragment)する。
【0022】
従来技術として、暗号処理を行うベきパケットに、パケットヘッダの特定のフィールドをハッシュキーとして得たハッシュ値毎に異なる識別子を付与して、順序保証、並列処理を行う技術がある(特許文献1)。
【特許文献1】特開2000−315997号公報
【発明の開示】
【発明が解決しようとする課題】
【0023】
しかし、フラグメントするということはパケット長を短くすることであり、図4について述べたように伝送効率を下げる要因となる。
【0024】
一方、高速なイーサネット(Ethernet)(登録商標)の普及とともに、大容量のデータやプライベートなデータをEthernet(登録商標)で伝送する機会が多くなり、データセキュリティ対策の効率化が求められる。
【0025】
したがって、一目的は、IPsec等の適用により増加するCPU負荷による処理遅延を軽減し、ネットワークのデータ伝送効率低下を軽減する暗号化を適用するIPネットワーク通信システムを提供することにある。
【課題を解決するための手段】
【0026】
昨今の大容量の通信データ は、ZIP等のバイナリの圧縮データやmpeg等の映像や音声の圧縮データが多い。これらの圧縮データは、その先頭部分にデータを復元するための情報を含んでいることがほとんどである。そして、かかる部分を暗号化し、復号できない状態では、これらの圧縮データを正確に復元できなくなる場合が多い。
【0027】
したがって、ネットワークに要求のある、IPsec等のセキュリティ技術を、パケット全体に適用するのではなく、その一部であって、セキュリティが必要な部分にのみ適用する。
【0028】
一構成例として、セキュリティ機能を有するIPネットワーク通信システムであって、送信データを複数のパケットに分割する手段と、前記分割された複数のパケットの一部のパケットのみに暗号化を行い、残りのパケットは非暗号化とする手段と、前記暗号化されたパケットと非暗号化のパケットを送信する送信手段を有する。
【0029】
これにより、IPsec等の適用により増加するCPU負荷による処理遅延を軽減し、ネットワークのデータ伝送効率低下を軽減する。
【発明を実施するための最良の形態】
【0030】
以下に図面に従い、実施例を説明する。
【0031】
図5は、IPsecが適用可能なIPネットワーク通信システムの実施例構成を示すブロック図である。同様構成であるので、双方向通信における片方向通信側分の構成のみを示している。
【0032】
IPネットワーク通信システムにおいて、送信側データ送信装置20と受信側データ受信装置40が、ネットワーク30を通して接続される。送信側データ送信装置20の入力側には入力インタフェース10が備えられる。
【0033】
ネットワーク30は、暗号化しないセッション用パケット(通常パケット)用の経路31を有し、後で説明するように、暗号化したデータの通信セッションの際に暗号通信用トンネル32と、暗号制御用トンネル33が形成される。
【0034】
図5において、送信側データ送信装置20の入力インタフェース10のバッファ11に、他伝送装置または、自伝送装置におけるデータ源からのパケットデータが入力される。
【0035】
送信パケット生成部12は、バッファ11から読み出されるパケットデータを所定のデータ長にフラグメント化する。
【0036】
セッション制御部13は、バッファ11に入力するパケットデータについて、送信パケット生成部12でフラグメント化されたフラグメント情報に基き、フラグメントパケット毎にセッション、QoS(Quality of Service)を判定して、セッション単位に暗号化通信でなければ、送信パケット生成部12及び第1のIPsec on/off部24に非暗号化通信を指示する。
【0037】
これにより、送信パケット生成部12は、バッファ11からのパケットデータをフラグメント化したまま出力してデータ送信装置20のセレクタ25に入力する。
【0038】
第1のIPsec on/off部24は、セッション制御部13からの非暗号化の指示を受けているので、セレクタ25をネットワーク30の通常パケット経路31を通るように設定する。
【0039】
図6は、図5のデータ伝送装置20から送信されるパケットデータを示す図である。図6において、図6Aは、送信パケット生成部12によりバッファ11からのパケットデータ(A)を複数のパケット(B)にフラグメント化した状態を示している。
【0040】
図6Bは、これまでのパケットデータの暗号化の方法に対応するパケットデータの例である。セッション制御部13による判定処理に基づき、送信パケット生成部12から出力される複数のフラグメント化された全てのパケットに暗号化処理のためのヘッダ(IA)とトレーラ(IB)が付加され、暗号通信用トンネル32を通すためのヘッダ(IIA)とトレーラ(IIB)が付加されている。
【0041】
ここで、暗号化処理のための、ネットワーク30における暗号通信用トンネル32及び暗号制御用トンネル33を生成するシーケンスについて図7を説明する。
【0042】
すなわち、図7において、IPsec通信に先立つフェーズ1及びフェーズ2の処理を有する。
【0043】
フェーズ1において、送信側伝送装置Aと受信側伝送装置Bとの間で暗号制御用トンネル33を形成するために、暗号制御用トンネル33で使用するアルゴリズム(暗号algorithm、認証algorithm等)を通常パケット用の経路31を通して決定する(処理工程P11)。
【0044】
ついで、同様に通常パケット用の経路31を通して、処理工程P11で決定されたアルゴリズムを使って暗号制御用トンネル33の暗証鍵を決定する(処理工程P12)。これにより、暗号制御用トンネル33が形成される。
【0045】
さらに、フェーズ1において、処理工程P11,12により決定された暗号制御用トンネル33を使用して、伝送装置A,B間で相互に通信相手の認証を行う(処理工程P13)。
【0046】
フェーズ2において、フェーズ1で生成された暗号制御用トンネル33を使って、伝送装置A,B間で、暗号通信用トンネル32で使用する暗号鍵とアルゴリズムを決定する(処理工程P21)。さらに、伝送装置Aは、伝送装置Bに対して決定された暗号通信用トンネル32で使用する暗号鍵とアルゴリズムを確認する(処理工程P22)。
【0047】
以降、生成された暗号通信用トンネル32を使用して暗号化通信(IPsec)を行う(処理工程P3)。
【0048】
図8A,図8Bは、第1の実施例における送信側装置A(図8A)と、受信側装置B(図8B)の処理フローを示す。
【0049】
先ず、セッション制御部13は、バッファ11のパケットデータに基づき、セッション単位に暗号化送信か否かを判定する(ステップS1)。暗号化送信でなければ(ステップS1、N)、バッファ11から出力され、フラグメント化されたパケットは、通常パケット送信経路31を通してデータ受信装置40に送られ、バッファ11のパケットデータが途切れるまで送信が継続する(図8A,ステップS8、S9)。このとき送信されるパケットは、図6Aの(B)に示したと同様である。
【0050】
ステップS1でセッション制御部13がパケットデータに基づき、セッション単位に暗号化通信か否かを判定して、暗号化通信であれば(ステップS1、Y)、図7により説明したように暗号化準備としてフェーズ1,2により暗号通信用トンネル32及び暗号制御用トンネル33を形成する(ステップS2)。受信側装置40においては、送信側装置とで確認した暗号鍵を保存する。
【0051】
図8Aにおいて、第1の実施例としてフラグメント化された複数のパケットについて、パケット単位に暗号化送信する対象か否かを判定する(ステップS3)。すなわち、複数のパケット内の一部のパケットのみ、例えば、先頭パケットのみをIPsec通信を適用し、一セッションにおける残りの分割パケットは、暗号化せずに送信する。
【0052】
例えば、先頭パケットのみを暗号化するようにすると、送信処理対象が先頭パケットのときに(ステップS3、Y)、IPsec コントローラ21内の第1のIPsec on/off部24に対し、セレクタ25で先頭パケットのみをIP暗号化部26に出力するように切替え制御させる。
【0053】
同時に、第2のIPsec on/off部23に指示を行い、暗号鍵生成部22により生成される暗号鍵を用いて、IPsec暗号化部26により先頭パケットのみを暗号化させる。このようにフラグメント化されたパケットの一部のみに対して暗号化する(ステップS5)。
【0054】
図6Cに示すように、第1の実施例においては、暗号化される先頭パケットには、暗号化ヘッダ(IA)とトレーラー(IB)が付加され、更にその外側に、暗号通信用トンネル32を通過させるためのヘッダIIAとトレーラー(IIB)が付加される。
【0055】
一方、第1の実施例において、先頭パケットに続くパケットには、暗号化しなくてもよいので、暗号化用ヘッダIAのみ付され、受信側装置との間で認証しなくてもよいので暗号通信用トンネル32を通過させるためのヘッダIIAのみが付加されている(ステップS4)。暗号化用トレーラー(IB)及び認証用トレーラー(IIB)は、付加されていない。
【0056】
そして、暗号化された一部のパケット(例えば、先頭パケット)と、他のフラグメント化されたパケットは、バッファ11にデータがなくなるまで暗号化通信用トンネルに送出される。(ステップS6、S7)。
【0057】
ここで、暗号化精度を高めるために、暗号鍵に有効時間が設定されている。暗号鍵の有効時間がタイムアウトする場合(ステップS5、Y)は、ステップS2に戻り再度暗号化準備処理を行って、以降の処理を継続する。
【0058】
図8Bは、図8Aの送信側装置の処理フローに対応する、受信側装置の処理フローである。図5を参照して説明する。
【0059】
データ受信装置40は、通常パケットの経路31、暗号通信用トンネル32及び暗号制御用トンネル33のそれぞれについて、パケットを受信する。
【0060】
IPsec復号化部42において、暗号通信用トンネル32から受信されるパケットについて、暗号化ヘッダの有無によって、暗号化パケットか否かを判定する(ステップS10)。
【0061】
さらに、データ受信装置40は、暗号化通信に先立って送信側装置とで決定した暗号鍵を、復号用暗号鍵生成部41に保持している。
【0062】
図5において、暗号通信用トンネル32から受信されるパケットのヘッダ情報と復号用暗号鍵生成部41に保持している暗号鍵に基づき、復号用暗号鍵生成部41は、復号用暗号鍵を生成する。そして、生成された復号用暗号鍵を用いて、IPsec復号化部42において、暗号化パケットを復号する(ステップS11)。
【0063】
このように、IPsec復号化部42において、暗号化されているパケットは復号化され、非暗号化のパケットはそのままで、図5において図示されないアセンブル回路に入力される。そして、受信、復号されたパケットはフラグメント化されているのでアセンブル回路で、再組み立てされて、元のパケットデータを受信装置側で得ることができる。
【0064】
かかる第1の実施例において、フラグメントされたデータの複数のパケットのうち先頭のパケットのみにIPsecを適用し、残りのパケットは、IPsec非適用で暗号通信用トンネルに送信する等、暗号化適用データ範囲を減らすことができる。
【0065】
このため、データ全体を通信網にさらさないのでセキュリティは確保しつつ、且つ暗号化off時にESP header(IA)等を省略できるのでネットワーク負荷と 暗号化に必要な処理を省略できる。
【0066】
したがって、 CPUの負荷を軽減し、遅延の少ない通信が可能となる。なお、この実施例では、データ受信装置側は、IPsecのESP header(IA)により暗号化の適用・非適用がパケット単位で判断可能なため特別な機能追加を行わなくてもよい。
【0067】
図9は、第2の実施例に対応する送信側伝送装置の処理フローである。
【0068】
この実施例では、先の第1の実施例におけると同様に、フラグメントされたパケットの一部、例えば、先頭パケットのみを暗号化を行う。そして、それ以降のフラグメントされたパケットは暗号化せずに通常パケットの経路31を通過するように、セッション制御部13により第1のIPsec on/off回路24に指示してセレクタ25を切換制御する。
【0069】
したがって、第2の実施例のパケットデータを示す図6Dにおいて、先頭パケットに対し、暗号化ヘッダ(IA)及びトレーラー(IB)が付加され、暗号通信用トンネル32を通過させるためのヘッダ(IIA)とトレイラー(IIB)が付加されている。
【0070】
それ以降のパケットは、フラグメント化された状態のままであり、通常パケット経路31により送信される。
【0071】
したがって、図9において、第1の実施例に対応する図8の処理フローと比較すると、ステップS4の処理が、ステップS4Aに置き換えられている点のみが異なる。
【0072】
すなわち、先頭パケットを除き、暗号化送信パケットでないと判定される(ステップS3、N)と、フラグメントされたパケットの状態のままで(図6D, III)、通常パケットの経路31により送信される。その他の処理は、第1の実施例と同様である。
【0073】
かかる第2の実施例では、上記のように、同じセッション内でIPsecがonのパケットは、暗号通信トンネル32を使って送信され、IPsecがoffのパケットは、トンネルを使わず通常パケットとして通常パケット経路31で送信する。このため、本実施例において、IPsec offの場合のパケットは、第1の暗号化offの場合のパケットから暗号通信用トンネル32に送信するためのheader等を省略でき、第1の実施例に比べ、更にネットワーク負荷とCPUの負荷を軽減することが可能である。
【0074】
なお、第1の実施例と同様に、本実施例のデータ受信装置側には、本実施例の実行のために特別な機能を追加しなくてもよい。
【0075】
図10は、更に第3の実施例に対応する送信側伝送装置の構成例ブロック図である。
【0076】
この実施例では、送信装置20の入力インタフェース部10にパケットをフラグメント化する送信パケット生成部12を有していない。
【0077】
セッション制御部13は、バッファから読みだされる送信パケットに対し、送信パケットの一部をIPsecの適用範囲に指定する。このIPsecの適用範囲は、セッション情報、QoS等の情報に基き、予め設定した条件に対応するように決められる。
【0078】
すなわち、セッション制御部13は、バッファ11からデータ送信装置20に入力されるパケットに同期して、IPsecコントローラ21の暗号鍵生成部22Aに暗号化適用範囲を通知する。
【0079】
IPsec暗号化部26は、暗号鍵生成部22A からの暗号化適用範囲に対応するタイミングでの暗号化指示に従い、暗号化を行って、一パケット中の暗号化された部分及び、該当のパケットの残りの部分と共に、ネットワーク30の暗号通信用トンネル32を通して、受信側伝送装置40に送信する。
【0080】
図11A−図11Cは、かかる第3の実施例に対応する暗号化パケットの例を示す図である。
【0081】
図11Aは、通常のIPsecを示す図であり、送信すべきパケットと、パケットに付加された暗号化用トレーラーIBの範囲をIPsecの適用範囲としている。これに対し、図11B, 図11C に示すように、第3の実施例では、送信対象である一つのパケット中の任意の範囲を暗号化対象としている。
【0082】
具体的には、図11Bの例では、パケットのヘッダ部の途中を暗号化開始位置とし、その後の所定のIPsec長の範囲を暗号化領域としている。さらに、図11Cの例では、所定の部分領域を暗号化される領域とし、それに続く非暗号化の部分を含めた長さ領域をIPsecの適用パターン長として、かかるパターンを繰り返すように設定する(図11C, III1, III2, III3)。なお、最後のパターン領域はパターン長が、途中までとなる場合があり、図11Cは、かかる場合を示している。
【0083】
図12A, 図12Bは、第3の実施例に対応する送信側伝送装置(図12A)と受信側伝送装置(図12B)の処理フローである。
【0084】
図8A, 図8Bに示した第1の実施例の処理フローとの比較において、パケット単位での暗号化送信の適用判断(図8A、ステップS3)を行わずに、セッション制御部13により、送信処理対象のパケットに対して予め設定したIPsec適用範囲について、暗号化処理を実行する(ステップS5A)。他の処理は、先の実施例の処理フローと同様である。
【0085】
図12Bにおける受信側伝送装置の処理フローにおいては、暗号化パケットと判断されるとき(ステップS10、Y)、IPsec復号化部42は、ヘッダ部の情報に基き、暗号化パケットにおける暗号化されている領域について、復号化を行う(ステップS11A)。他の処理は、先の実施例と同様である。
【0086】
この第3の実施例では、上記に図10、図11A−図11Cで説明した通り、IPsecで通信を行うデータ送信側伝送装置・データ受信側伝送装置において、a) 暗号鍵の交換時等に、IPsecの適用範囲、例えば、先頭何byte目から何byte間のデータにIPsecを掛けたり、暗号化パターン(パターンにより斑に暗号化する) 等の情報をデータ送受信双方で共有し、b) この情報に従ってデータの限定した領域のみIPsecを施し、c) この情報に従って限定した領域にIPsecがかけられたデータを復元することで実現される。
【0087】
さらに、図7で説明した暗号か準備のための処理フェーズ1,2の基本は変わらないが、IPsecのフェーズ2で扱うデータに暗号化パターンが追加される。
【0088】
また、本実施例として、図10の送信側伝送装置のインタフェース部10において、送信パケット生成部12を設けないで、フラグメントされていないパケットにおいてIPsec適用範囲を設定するように説明したが、当然にフラグメントされたそれぞれのパケット中に部分的にIPsec適用範囲を適用することも同様に可能である。本実施例によりCPUの負荷を従来方式に比べ軽減したIPsec通信が可能となる。
【0089】
ここで、上記に説明したように第1、第2の実施例においては、パケット単位での制御のため、セッションの途中で実施例方式を切り換えることが可能である。このため、更なる実施例として、上記各実施例のそれぞれの特性を考慮し、ネットワークの輻輳状況、CPUの使用率、セッションのQoS等によって、各実施例方式を切り換えて、ネットワークの状態を最適化することが可能である。
【0090】
図13は、第4の実施例としてかかる別の実施例に従う送信側伝送装置の処理フローである。図14は、上記の各実施例の特徴を比較するテーブルである。
【0091】
図14において、例えば、セキュリティの強度に関しては、これまでの通状のIPsecの方式が最もセキュリティは強く、次いで、第1の実施例、第2の実施例の順となる。また、ネット枠負荷及びCPU負荷に関しては、第2の実施例、第1の実施例、通常のIPsecの順位負荷が重くなる。なお、セキュリティ強度が低い場合は、暗号鍵の更新頻度を短くすることで改善できる。しかしこれは、ネットワーク負荷・CPU負荷とのトレードオフになる。
【0092】
図13の処理フローにおいて、パケット単位で暗号化送信か否か、即ちフラグメントパケットに対する暗号化か否かを判断する(ステップS3)。パケット単位での暗号化でないとき(ステップS3、N)は、かかる図14のテーブルに示した特徴に鑑みて、先頭パケット以降のフラグメントパケットに対して、ネットワークの適用条件等に適合する第1の実施例あるいは第2の実施例の何れを適用するかを判定し(ステップS3A)、判定に対応する処理を行う(ステップS4A,またはS4B)。
図13において、他のステップにおける処理は、先に説明した実施例におけると同様である。
【図面の簡単な説明】
【0093】
【図1】LTEシステムを例として、IPsec対象区間となりうる回線例を示す図である。
【図2】IPsec適用可能なレイヤ構造を示す図である。
【図3】IPsecのプロトコルを示す図である。
【図4】IPsec適用時のデータ伝送効率を示す図である。
【図5】IPsecが適用可能なIPネットワーク通信システムの実施例構成を示すブロック図である。
【図6】図5のデータ伝送装置20から送信されるパケットデータを示す図である。
【図7】暗号化処理のための、ネットワークにおける暗号通信用トンネル及び暗号制御用トンネルを生成するシーケンスについて説明する図である。
【図8A】第1の実施例における送信側装置Aの処理フローを示す図である。
【図8B】第1の実施例における受信側装置Bの処理フローを示す図である。
【図9】第2の実施例に対応する送信側伝送装置の処理フローを示す図である。
【図10】第3の実施例に対応する送信側伝送装置の構成例ブロック図である。
【図11A】これまでのパケットデータのIPsecを示す図である。
【図11B】第3の実施例におけるパケットのヘッダ部の途中を暗号化開始位置とし、その後の所定のIPsec長の範囲を暗号化領域とする例を示す図である。
【図11C】第3の実施例における所定の部分領域を暗号化される領域とし、それに続く非暗号化の部分を含めた長さ領域をIPsecの適用パターン長する例を示す図である。
【図12A】第3の実施例に対応する送信側伝送装置の処理フローである。
【図12B】第3の実施例に対応する受信側伝送装置の処理フローである。
【図13】第4の実施例に従う送信側伝送装置の処理フローである。
【図14】上記の第1、第2の実施例の特徴を比較するテーブルである。
【符号の説明】
【0094】
10 入力インタフェース部
11 バッファ
12 送信パケット生成部
13 セッション制御部
20 データ伝送装置
21 IPsecコントローラ
22 暗号鍵生成部
23 第2のIPsec on/off回路
24 第1のIPsec on/off回路
25 セレクタ
26 IPsec暗号化部
30 ネットワーク
31 通状パケット経路
32 暗号通信用トンネル
33 暗号制御用トンネル
40 データ受信装置
41 暗号鍵生成部
42 IPsec復号化部
【特許請求の範囲】
【請求項1】
セキュリティ機能を有するIPネットワーク通信方法であって、
暗号化処理部で、一の送信パケットの所定の領域範囲に対して暗号化を行い、前記パケットの残りの領域を非暗号化とする工程と、
前記暗号化処理部により暗号化されたパケットを暗号用トンネルで送信する工程を、
有することを特徴とするIPネットワーク通信方法。
【請求項2】
請求項1において、
更に分割部により、送信データを複数のパケットに分割する工程を有し、
前記一の送信パケットは、前記分割部により分割された複数のパケットの一つであることを特徴とするIPネットワーク通信方法。
【請求項3】
請求項1において、
前記暗号化される一部のパケットの所定の領域範囲は、前記分割された複数のパケットの先頭パケットであることを特徴とするIPネットワーク通信方法。
【請求項4】
請求項1において、
前記分割された複数のパケットの前記非暗号化のパケットは、前記暗号化されたパケットと同じ暗号用トンネルで送信されることを特徴とするIPネットワーク通信方法。
【請求項5】
請求項1において、
前記暗号された一部のパケットは、暗号用トンネルで送信され、前記非暗号化のパケットは、通常のパケット用経路で送信されることを特徴とするIPネットワーク通信方法。
【請求項6】
セキュリティ機能を有するIPネットワーク通信システムであって、
一の送信パケットの所定の領域範囲に対して暗号化を行い、前記パケットの残りの領域を非暗号化とする暗号化処理部と、
前記暗号化処理部により暗号化されたパケットを暗号用トンネルで送信する送信部を、
有することを特徴とするIPネットワーク通信システム。
【請求項7】
請求項6において、
更に送信データを複数のパケットに分割する分割部を有し、
前記一の送信パケットは、前記分割部により分割された複数のパケットの一つであることを特徴とするIPネットワーク通信システム。
【請求項1】
セキュリティ機能を有するIPネットワーク通信方法であって、
暗号化処理部で、一の送信パケットの所定の領域範囲に対して暗号化を行い、前記パケットの残りの領域を非暗号化とする工程と、
前記暗号化処理部により暗号化されたパケットを暗号用トンネルで送信する工程を、
有することを特徴とするIPネットワーク通信方法。
【請求項2】
請求項1において、
更に分割部により、送信データを複数のパケットに分割する工程を有し、
前記一の送信パケットは、前記分割部により分割された複数のパケットの一つであることを特徴とするIPネットワーク通信方法。
【請求項3】
請求項1において、
前記暗号化される一部のパケットの所定の領域範囲は、前記分割された複数のパケットの先頭パケットであることを特徴とするIPネットワーク通信方法。
【請求項4】
請求項1において、
前記分割された複数のパケットの前記非暗号化のパケットは、前記暗号化されたパケットと同じ暗号用トンネルで送信されることを特徴とするIPネットワーク通信方法。
【請求項5】
請求項1において、
前記暗号された一部のパケットは、暗号用トンネルで送信され、前記非暗号化のパケットは、通常のパケット用経路で送信されることを特徴とするIPネットワーク通信方法。
【請求項6】
セキュリティ機能を有するIPネットワーク通信システムであって、
一の送信パケットの所定の領域範囲に対して暗号化を行い、前記パケットの残りの領域を非暗号化とする暗号化処理部と、
前記暗号化処理部により暗号化されたパケットを暗号用トンネルで送信する送信部を、
有することを特徴とするIPネットワーク通信システム。
【請求項7】
請求項6において、
更に送信データを複数のパケットに分割する分割部を有し、
前記一の送信パケットは、前記分割部により分割された複数のパケットの一つであることを特徴とするIPネットワーク通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【図9】
【図10】
【図11A】
【図11B】
【図11C】
【図12A】
【図12B】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【図9】
【図10】
【図11A】
【図11B】
【図11C】
【図12A】
【図12B】
【図13】
【図14】
【公開番号】特開2010−34860(P2010−34860A)
【公開日】平成22年2月12日(2010.2.12)
【国際特許分類】
【出願番号】特願2008−194986(P2008−194986)
【出願日】平成20年7月29日(2008.7.29)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成22年2月12日(2010.2.12)
【国際特許分類】
【出願日】平成20年7月29日(2008.7.29)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]