パケット送受信装置およびパケット送受信方法
【課題】送信される情報を暗号化して送信する場合に、送信される情報が有するリアルタイム性を保持したままで送信する。
【解決手段】本願の開示する技術は、呼設定要求が行われたことを契機として、送信される情報とは別の情報であって、暗号化通信を行う経路を作成するための情報である模擬情報を作成し、作成された模擬情報を用いて暗号化通信を行う経路を確立し、暗号化通信を行う経路が確立された後に呼設定要求に対する応答を実行するので、呼設定要求に対する応答の後に取得される情報を暗号化して送信する場合には、送信される情報が有するリアルタイム性を保持したままで送信することが可能となる。
【解決手段】本願の開示する技術は、呼設定要求が行われたことを契機として、送信される情報とは別の情報であって、暗号化通信を行う経路を作成するための情報である模擬情報を作成し、作成された模擬情報を用いて暗号化通信を行う経路を確立し、暗号化通信を行う経路が確立された後に呼設定要求に対する応答を実行するので、呼設定要求に対する応答の後に取得される情報を暗号化して送信する場合には、送信される情報が有するリアルタイム性を保持したままで送信することが可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報通信に使用されるパケット送受信装置およびパケット送受信方法に係る。
【背景技術】
【0002】
近年、情報セキュリティの技術として、情報を送信する送信元通信装置と情報を受信する送信先通信装置との間で暗号化された情報を送受信する通信技術が実施されている。このような情報を暗号化して通信を行う技術の一例として、IPsec(Security Architecture for Internet Protocol)を用いた通信技術が知られている(例えば特許文献1参照)。
【0003】
以下、送信元通信装置が行う具体的な処理を説明する。送信元通信装置は、送信される情報であるユーザデータを取得する前に、装置内の処理経路を設定する呼設定を実行する。そして、送信元通信装置は、呼設定を確立した後に、図11に示すように、ユーザデータを取得し、取得されたユーザデータを暗号化して送信先通信装置へ送信する。
【0004】
ここで、送信元通信装置は、送信先通信装置とのSA(Security Association)を確立している場合には、送信先通信装置との間に確立されたSAを用いてユーザデータを暗号化する。SAとは、送信先通信装置との間でやりとりする情報を暗号化する暗号鍵に関する情報である。
【0005】
一方、送信元通信装置は、図12に示すように、送信先通信装置とのSAを確立していない場合には、取得したユーザデータを一時的に記憶し、送信先通信装置との間で鍵交換を行ってSAを確立する。その後、送信元通信装置は、送信先通信装置との間でSAを確立した場合には、一時的に記憶していたユーザデータをSAを用いて暗号化する。そして、送信元通信装置は、暗号化されたユーザデータを送信先通信装置へ送信する。
【0006】
ここで、送信元通信装置は、送信先通信装置を変更する場合には、新たな送信先の通信装置ともSAを確立する。そのため、送信元通信装置は、送信先の通信装置を変更する場合にも、送信する情報を一時的に記憶し、新たなSAを確立する。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2006−311164号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、呼設定後にSAを確立する技術では、送信先通信装置とSAを確立していない場合には、ユーザデータを取得したことを契機としてSAの確立を開始する。そのため、SAを確立していない場合には、ユーザデータを一時的に記憶し、SAを確立するまでユーザデータを暗号化して送信することができないので、ユーザデータの送信処理を停滞させてしまう。このため、送信元通信装置は、SAを確立していない場合には、ユーザデータをSA確立まで停滞させてしまう結果、リアルタイム性を保持することができないという問題があった。
【0009】
例えば、上記した呼設定後にSAを確立する技術では、TV会議システム、TV電話やライブ映像の配信等、リアルタイム性が求められる情報の暗号化通信を行う場合に、SAを確立するまで情報を一時的に記憶する必要がある。結果として、呼設定後にSAを確立する技術では、SAを確立していない場合には、情報の流れを停滞させてしまうので、リアルタイム性を保持することができないという問題があった。
【0010】
また、送信元通信装置は、送信先通信装置を変更する場合にも、新たにSAを確立させるので、ユーザデータをSA確立まで停滞させてしまう結果、リアルタイム性を保持することができないという問題があった。
【0011】
そこで、本願に開示する技術は、上述した問題を解決することを目的とするものであり、リアルタイム性を損なうことなく情報を暗号化して送信することを可能とするパケット送受信装置、パケット送受信方法を提供することを目的とする。
【課題を解決するための手段】
【0012】
本願の開示する技術は、一つの様態によれば、呼設定を確立させる前に、ユーザデータとは別の情報である疑似送信データを作成し、当該疑似送信データを用いてSAを確立させる。
【発明の効果】
【0013】
本願の開示する技術は、一つの様態によれば、呼設定確立前にSAを確立するので、リアルタイム性を損なうことなく暗号化通信をすることができる。
【図面の簡単な説明】
【0014】
【図1】図1は、実施例1に係るパケット送信装置を表すブロック図である。
【図2】図2は、実施例1に係るパケット送信装置が行うSP登録を説明するシーケンス図である。
【図3】図3は、実施例1に係るパケット送信装置の処理を表すシーケンス図(1)である。
【図4】図4は、実施例1に係るパケット送信装置の処理を表すシーケンス図(2)である。
【図5】図5は、実施例1に係るパケット送信装置の処理を表すシーケンス図(3)である。
【図6】図6は、実施例1に係るパケット送信装置のプロトコルスタックの一例を表す図(1)である。
【図7】図7は、実施例1に係るパケット送信装置のプロトコルスタックの一例を表す図(2)である。
【図8】図8は、LTE無線ネットワーク構成の一例を表す図である。
【図9】図9は、パケット送信装置の構成例を表す図である。
【図10】図10は、暗号化パケットを送信するコンピュータの図である。
【図11】図11は、従来技術を説明するための図(1)である。
【図12】図12は、従来技術を説明するための図(2)である。
【発明を実施するための形態】
【0015】
以下に添付図面を参照してこの発明に係るパケット送受信装置およびパケット送受信方法の実施例を詳細に説明する。
【実施例1】
【0016】
以下の実施例では、パケット送信装置および処理の流れを順に説明する。最初に、図1を用いて、実施例1に係るパケット送信装置の構成を説明する。ここで、図1は、実施例1に係るパケット送信装置を表すブロック図である。
【0017】
パケット送信装置10は、制御部1、パケット終端部11、物理インターフェース部15を有しており、対向装置2と接続されている。物理インターフェース部15は、SPデータベース部12、SAデータベース部13、情報記憶部14、IPパケット処理部16、IKE終端部17、SAデータベース部18を有している。
【0018】
SPデータベース部12は、送信される情報の種別に応じてどのような暗号化を行うかを定めた情報であるSP(Security Policy)を記憶している。SAデータベース部13およびSAデータベース部18は、暗号鍵に関する情報であるSA(Security Association)を記憶している。
【0019】
具体的には、SAデータベース部13およびSAデータベース部18は、パケットの送信先ごとに適用される暗号化の鍵をSAとして記憶している。ここで、SAデータベース部13およびSAデータベース部18は、SPデータベース部12に記憶されたSPに応じて、送信される情報に適用されるSAを記憶している。例えば、SAデータベース部13およびSAデータベース部18は、送信される情報に対して適用されるSPが、送信先のIPアドレスごとの暗号鍵を用いるように示している場合には、送信先のIPアドレスごとのSAを記憶する。
【0020】
また、SAデータベース部13およびSAデータベース部18は、送信される情報に対して適用されるSPが、送信先の受信ポートごとの暗号鍵を用いるように示している場合には、送信先の受信ポートごとに適用されるSAを記憶している。ここで、実施例1に係るSPデータベース部12は、SPの一例として、送信先の受信ポートごとに暗号化することを示すSPを記憶しているものとする。
【0021】
また、SPデータベース部12は、送信先とのSAを確立する場合に、双方向のSAを確立するか、もしくは、片方向のSAを確立するかを示す情報を記憶している。例えば、SPデータベース部12は、記憶されるSPの一例として、送信先の受信ポートごとに暗号化すること、および、双方向でSAを確立することを示すSPを記憶する。
【0022】
SPデータベース部12は、IPパケット処理部16が用いるSPを記憶する。SAデータベース部13は、IPパケット処理部16が用いるSAを記憶する。SAデータベース部18は、IKE終端部17が用いるSPを記憶する。各SAデータベース部は、同一のSAを記憶している。
【0023】
対向装置2は、情報の送信先である。対向装置2の一例としては、送信される情報がIPsecに規定されたトンネルモードを利用して送信される場合には、ユーザデータの送信先が存在するローカルネットワークに対応するセキュリティゲートウェイである。
【0024】
制御部1は、情報を送信する処理を制御している。また、制御部1は、ユーザデータが存在する場合には、呼設定要求をパケット終端部11に対して送信する。ここで、呼設定要求とは、送信先通信装置に対してユーザデータを送信するための装置内での処理経路および送信先通信装置を確立させる要求をいう。
【0025】
また、制御部1は、呼設定要求に対する応答をパケット終端部11から受け取った場合には、対向装置2に送信される情報に対して行われる送信処理を開始する許可をパケット終端部11に対して送信する。
【0026】
パケット終端部11は、制御部1から呼設定要求を受信した場合には、送信される情報の代わりの情報である模擬情報を作成し、IPパケット処理部16に送信する。具体的には、パケット終端部11は、制御部1から呼設定要求を受けた場合には、呼設定要求に含まれるIPアドレスを含んだ疑似送信データ(以降、ダミーパケットともいう)を作成し、IPパケット処理部16に送信する。また、パケット終端部11は、ダミーパケットを対向装置2の受信ポートごとに作成する。
【0027】
また、パケット終端部11は、SAが確立された場合には、呼設定要求に対する応答を制御部1に対して送信する。具体的には、パケット終端部11は、IKE終端部17がSAを確立した旨の情報をIPパケット処理部16から取得した場合には、呼設定要求に対する応答を制御部1に対して送信する。
【0028】
ここで、呼設定要求には、送信される情報が送信される送信先を表すIPアドレスが含まれている。パケット終端部11は、呼設定要求を受けた場合には、呼設定要求に含まれる送信先のIPアドレスを含んだダミーパケットを作成し、IPパケット処理部16に送信する。
【0029】
ダミーパケットは、SAの確立を開始するために作成されるユーザデータとは別の情報から構成されている。また、ダミーパケットは、送信されるユーザデータに対して一切の影響を及ぼさない情報である。また、ダミーパケットは、ユーザデータの送信先を表すIPアドレスを含んでいる。
【0030】
パケット終端部11は、制御部1に対して呼設定要求を受けた場合には、ダミーパケットを作成し、IPパケット処理部16に対して送信する。また、パケット終端部11は、SAが確立した旨の通知であるSA確立通知をIPパケット処理部16から受けた場合には、呼設定要求に対する応答を制御部1に対して送信する。
【0031】
ここで、SAを管理するプロトコルおよびダミーパケットに対する処理の関係について説明する。SAは、TCP/IP(Transmission Control Protocol/Internet Protocol)に定義されるレイヤ構造上、IPレイヤ(レイヤ3)だけではなく、上位のレイヤ4およびレイヤ5のプロトコルで管理される場合がある。
【0032】
例えば、パケット送信装置10は、ユーザデータの送信先として、送信先のIPアドレスと送信先の受信ポート番号とを指定してユーザデータを送信する場合がある。ポート番号を管理するプロトコルは、IPレイヤよりも上位のレイヤで実行される。そのため、SAを管理するプロトコルは、レイヤ4以上のレイヤで動作するプロトコルによって管理される場合がある。
【0033】
ここで、レイヤ4以上のレイヤで動作するプロトコルには、ECHO要求という仕組みが組み込まれているプロトコルが存在する。送信先通信装置は、受信された情報にECHO要求が含まれていた場合には、受信された情報と同一の情報を送信元通信装置に対して送信する処理を実行する。
【0034】
パケット送信装置10は、ECHO要求を含むダミーパケットを暗号化して対向装置2に送信した場合には、対向装置2から暗号化されたダミーパケットの返信が実行される。そのため、パケット送信装置10は、双方向のSAを確立させ、対向装置2との接続が有効であるかを確認することができる。
【0035】
図6および図7を用いて、ECHO系のダミーパケットの送信について具体的に説明する。ここで、図6は実施例1に係るパケット送信装置のプロトコルスタックの一例を表す図(1)である。ここで、図7は実施例1に係るパケット送信装置のプロトコルスタックの一例を表す図(2)である。
【0036】
図6および図7に例示したパケット送信装置10は、対向装置として、MME(Mobility Management Entity)と通信を行う。
【0037】
まず、図6を用いて、ダミーパケットに含まれるエコー要求が、GTP−U(General Packet Radio Service Tunneling Protocol User Data Tunneling)を利用する例について説明する。
【0038】
パケット送信装置10は、アプリケーション層で動作するプロトコルであるGTP−Uを利用してECHO系のダミーパケットを作成する場合には、図6に示されたレイヤ構造を有するダミーパケットを作成する。ここで、レイヤ3ヘッダには、送信先のIPアドレスが格納されている。
【0039】
レイヤ4ヘッダには、UDP(User Datagram Protocol)で規定された情報が格納されている。レイヤ5ヘッダには、GTP−Uで規定された情報が格納されており、ECHO要求を表す情報を含んでいる。
【0040】
パケット終端部11で作成されたダミーパケットは、IPパケット処理部16に送信される。ここで、実施例1に係るパケット送信装置10は、トンネルモードで情報を送信する。そのため、IPパケット処理部16は、受信されたダミーパケットのうち、レイヤ5からレイヤ3までを暗号化し、レイヤ4に格納する。そして、IPパケット処理部16は、対向装置に情報を送信するセキュリティゲートウェイのIPアドレスをレイヤ3に付与し、暗号化されたダミーパケットを送信する。
【0041】
セキュリティゲートウェイは、暗号化されたダミーパケットを取得した場合には、レイヤ3に格納されたIPアドレスを消去し、レイヤ4に格納された情報を復号化する。そして、復号化された対向装置のIPアドレスを認識し、認識された対向装置へ送信する。
【0042】
対向装置は、復号化されたダミーパケットを取得した場合には、ダミーパケットに含まれるECHO要求を認識し、同一の情報を送信するための処理を行う。具体的には、対向装置は、ダミーパケットを暗号化するためのSAを確立するための要求をパケット送信装置10に対して送信する。
【0043】
次に、図7を用いて、ダミーパケットに含まれるエコー要求が、ICMP(Internet Control Message Protocol)を利用する例について説明する。ここで、ICMPは、IP(Internet Protocol)の上位プロトコルである。そこで、図7では、ICMPに規定された情報をレイヤ4ヘッダに格納するように示している。
【0044】
パケット通信装置10は、トランスポート層で動作するプロトコルであるICMPを利用してECHO系のダミーパケットを作製する場合には、図7に示されたレイヤ構造を有するダミーパケットを作成する。ここで、レイヤ3ヘッダには、送信先のIPアドレスが格納されている。レイヤ4ヘッダには、ICMPで規定された情報が格納されており、ECHO要求を表す情報を含んでいる。
【0045】
パケット終端部11で作成されたダミーパケットは、IPパケット処理部16に送信される。IPパケット処理部16は、受信されたダミーパケットのうち、レイヤ4からレイヤ3までを暗号化し、レイヤ4に格納する。そして、IPパケット処理部16は、対向装置に情報を送信するセキュリティゲートウェイのIPアドレスをレイヤ3に付与し、暗号化されたダミーパケットを送信する。
【0046】
セキュリティゲートウェイは、暗号化されたダミーパケットを取得した場合には、レイヤ3に格納されたIPアドレスを消去し、レイヤ4に格納された情報を復号化する。そして、復号化された対向装置のIPアドレスを認識し、認識された対向装置へ送信する。
【0047】
対向装置は、復号化されたダミーパケットを取得した場合には、ダミーパケットに含まれるECHO要求を認識し、同一の情報を送信するための処理を行う。具体的には、対向装置は、ダミーパケットを暗号化するためのSAを確立するための要求をパケット送信装置10に対して送信する。
【0048】
パケット送信装置10は、SAを管理するプロトコルがレイヤ4以上で、SAを管理するプロトコルがECHOの仕組みを備えている場合には、ECHO系のダミーパケットを送信する。具体的には、パケット終端部11は、対向装置2のIPアドレスと、ユーザデータとは異なる情報と、ECHO要求とを含んだダミーパケットを作成し、送信する。
【0049】
IPパケット処理部16は、パケット終端部11から情報を取得した場合には、取得された情報を暗号化する暗号鍵を検索し、暗号鍵が登録されている場合には、取得された情報を暗号化して対向装置2へ送信する。具体的には、IPパケット処理部16は、ダミーパケットを受信した場合には、SPデータベース部12を検索し、ダミーパケットに対して適用されるSPを検索する。また、IPパケット処理部16は、検索されたSPを参照して、ダミーパケットに適用されるSAをSAデータベース部13から検索する。
【0050】
また、IPパケット処理部16は、SAをSAデータベース部13から検索した結果、受信されたダミーパケットに適用されるSAが確立されている場合には、SA確立通知をパケット終端部11に対して送信する。
【0051】
一方、IPパケット処理部16は、SAをSAデータベース部13から検索した結果、受信されたダミーパケットに適用されるSAが確立されていない場合には、IKE終端部17に対してSAを確立するように要求する。具体的には、IPパケット処理部16は、ダミーパケットに含まれる対向装置2のIPアドレスをIKE終端部17に送信し、ダミーパケットを情報記憶部14に一時記憶させる。
【0052】
また、IPパケット処理部16は、IKE終端部17によってSAが確立された場合には、SAをSAデータベース部13に記憶させ、SA確立通知をパケット終端部11に対して送信する。
【0053】
IPパケット処理部16は、SAが確立された場合には、パケット終端部11から受信したダミーパケットがECHO系のダミーパケットかどうかを判別する。IPパケット処理部16は、パケット終端部11から受信したダミーパケットがECHO系のダミーパケットではない場合には、ダミーパケットを破棄する。
【0054】
一方、IPパケット処理部16は、パケット終端部11から受信したダミーパケットがECHO系のダミーパケットである場合には、SAを用いてダミーパケットを暗号化し、暗号化されたダミーパケットを対向装置2に送信する。
【0055】
また、IPパケット処理部16は、ユーザデータをパケット終端部11から受信し、確立されたSAを用いてユーザデータを暗号化し、暗号化されたユーザデータを対向装置2に対して送信する。
【0056】
具体的には、IPパケット処理部16は、パケット終端部11からユーザデータを受信し、ユーザデータに対応するSPを参照してSAをSAデータベース部13から検索する。また、IPパケット処理部16は、検索されたSAを用いて、ユーザデータを暗号化し、暗号化されたユーザデータを対向装置2に対して送信する。
【0057】
IKE終端部17は、パケット終端部11に作成されたダミーパケットを用いて、対向装置2に対して送信される情報を暗号化する暗号鍵を作成する。具体的には、IKE終端部17は、IPパケット処理部16から通知されたIPアドレスを用いて対向装置2を特定し、特定された対向装置2とIKE(Internet Key Exchange)プロトコルを用いた鍵交換を実行し、暗号鍵を作成する。また、IKE終端部17は、作成された暗号鍵を、SAデータベース部18に記憶させ、IPパケット処理部16に送信する。
【0058】
ここで、IKE終端部17がIKEを用いて暗号鍵を作成する方法は、IKEプロトコルで許容される方法であればよく、例えばDiffie−Hellman交換等方法を用いる。IKE終端部17は、パケット送信装置10が送信される情報を暗号化する暗号鍵を作成した場合には、作成された暗号鍵をSAデータベース部18に記憶させる。また、IKE終端部17は、作成された暗号鍵をIPパケット処理部16に送信する。
【0059】
次に、図面を参照してパケット送信装置10が送信される情報を暗号化し、対向装置2に対して送信する処理の流れについて説明する。まず、図2を用いて、制御部1がSPをSPデータベース部12に記憶させる処理について説明する。図2は、実施例1に係るパケット送信装置が行うSP登録を説明するためのシーケンス図である。
【0060】
まず、制御部1は、SPの登録要求をIKE終端部17に対して要求する(ステップS101)。そして、IKE終端部17は、SPの登録要求を制御部1から受けた場合には、SPの登録要求をIPパケット処理部16に対して要求する(ステップS102)。そしてIPパケット処理部16は、IKE終端部17からSPの登録要求を受けた場合には、SPデータベース部12にSPを登録する(ステップS103)。
【0061】
続いて、IPパケット処理部16は、SPデータベース部12にSPを登録した場合には、SP登録応答をIKE終端部17に対して通知する(ステップS104)。そしてIKE終端部17は、SP登録応答をIPパケット処理部16から受けた場合には、SP登録応答を制御部1に対して通知する(ステップS105)。
【0062】
次に、図3を用いて、パケット送信装置10が行う送信処理の流れについて説明する。ここで、図3は、実施例1に係るパケット送信装置の処理を表すシーケンス図(1)である。図3に例示した場合には、パケット終端部11が作成するダミーパケットはECHO系のダミーパケットではない。
【0063】
制御部1は、送信されるユーザデータがある場合には(ステップS201)、パケット終端部11に対して呼設定要求を通知する(ステップS202)。そして、パケット終端部11は、ダミーパケットを作成し、作成されたダミーパケットをIPパケット処理部16へ送信する(ステップS203)。
【0064】
続いて、ダミーパケットを受信したIPパケット処理部16は、ダミーパケットに適用されるSPをSPデータベース部12より検索する。そして、IPパケット処理部16は、検索されたSPがダミーパケットを暗号化することを示していた場合には、検索されたSPが示すSAをSAデータベース部13より検索する(ステップS204)。
【0065】
ステップS204にて、検索されたSPが示すSAがSAデータベース部13に記憶されていなかった場合には、IPパケット処理部16は、ダミーパケットの送信先とのSAを確立するようにIKE終端部17に対して要求する(ステップS205)。
【0066】
次に、ステップS205でSAの確立要求を受けたIKE終端部17は、対向装置2に対してIKEを用いた鍵交換要求を実行する(ステップS206)。そして、IKE終端部17は、鍵交換の要求に対する応答を取得した場合には(ステップS207)、暗号鍵を作成し、作成された暗号鍵をSAデータベース部18に登録する(ステップS208)。
【0067】
次に、IKE終端部17は、作成された暗号鍵をIPパケット処理部16に送信する(ステップS209)。また、IPパケット処理部16は、IKE終端部17から受信した暗号鍵をSAデータベース部13に登録する(ステップS210)。
【0068】
IPパケット処理部16は、暗号鍵をSAデータベース部18に登録した場合には、SAが確立したことをパケット終端部11に通知する(ステップS211)。
【0069】
また、IPパケット処理部16は、SA確立通知をパケット処理部に送信した場合には、ダミーパケットがECHO系かどうかを判別する。図3に例示した場合には、IPパケット処理部16は、ダミーパケットがECHO系ではないので、ダミーパケットを破棄する(ステップS213)。
【0070】
一方、SA確立通知を受けたパケット終端部11は(ステップS211)、ステップS202の呼設定要求に対する応答である呼設定応答を制御部1に対して送信する(ステップS212)。
【0071】
制御部1は、呼設定応答を受けた場合には、ユーザデータの送信許可をパケット終端部11に対して送信する(ステップS214)。そして、ユーザデータの送信許可を受けたパケット終端部11は、ユーザデータを取得し、IPパケット処理部16に対して送信する(ステップS215)。
【0072】
ユーザデータを取得したIPパケット処理部16は、取得されたユーザデータに対応するSPを参照してSAを検索し、検索されたSAを用いてユーザデータを暗号化する(ステップS216)。その後、IPパケット処理部16は、暗号化されたユーザデータを対向装置2に対して送信し、送信処理を終了する(ステップS217)。
【0073】
次に、図4を用いて、実施例1に係るパケット送信装置10がECHO系のダミーパケットを用いて、SAを確立し、ユーザデータを送信する処理の流れについて説明する。ここで、図4は、実施例1に係るパケット送信装置の処理を表すシーケンス図(2)である。
【0074】
制御部1は、送信されるユーザデータがある場合には(ステップS301)、パケット終端部11に対して呼設定要求を通知する(ステップS302)。呼設定要求を受けたパケット終端部11は、ECHO系のダミーパケットを作成し、作成されたダミーパケットをIPパケット処理部16へ送信する(ステップS303)。
【0075】
次に、ダミーパケットを受信したIPパケット処理部16は、ダミーパケットに適用されるSPをSPデータベース部12より検索する(ステップS304)。そして、IPパケット処理部16は、検索されたSPがダミーパケットを暗号化することを示していた場合には、検索されたSPが示すSAをSAデータベース部13より検索する(ステップS304)。
【0076】
ステップS304にて、検索されたSPが示すSAがSAデータベース部13に記憶されていなかった場合には、IPパケット処理部16は、IKE終端部17に対してSAの確立を要求する(ステップS305)。
【0077】
ステップS305でSAの確立要求を受けたIKE終端部17は、対向装置2に対してIKEを用いた鍵交換要求を実行する(ステップS306)。そして、IKE終端部17は、鍵交換の要求に対する応答を取得した場合には(ステップS307)、暗号鍵を作成し、作成された暗号鍵をSAデータベース部18に登録する(ステップS308)。
【0078】
次に、IKE終端部17は、作成された暗号鍵をIPパケット処理部16に送信する(ステップS309)。IPパケット処理部16は、IKE終端部17から受信した暗号鍵をSAデータベース部13に登録する(ステップS310)。
【0079】
IPパケット処理部16は、暗号鍵をSAデータベース部13に登録した場合には(ステップS310)、SAが確立したことをパケット終端部11に通知する(ステップS311)。一方、SA確立通知を受けたパケット終端部11は(ステップS311)、ステップS302の呼設定要求に対する応答である呼設定応答を制御部1に対して送信する(ステップS312)。
【0080】
ここで、IPパケット処理部16は、図4に例示した場合には、ダミーパケットがECHO系のダミーパケットであるため、ダミーパケットを暗号化する(ステップS313)。具体的には、IPパケット処理部16は、ダミーパケットに適用されるSPを参照し、SAを検索する。また、IPパケット処理部16は、検索されたSAを用いてダミーパケットを暗号化する。
【0081】
次に、IPパケット処理部16は、暗号化されたダミーパケットを対向装置2に対して送信する(ステップS314)。ここで、パケット送信装置10は、ECHO系のダミーパケットを暗号化して送信した。送信先の対向装置2は、暗号化されたECHO系のダミーパケットを受信した場合には、返信するダミーパケットを暗号化して送信する。
【0082】
しかし、ステップS314の時点では、パケット送信装置10および対向装置2は、パケット送信装置10から送信される情報を暗号化し、暗号化された情報を対向装置2が復号化するための暗号鍵のみを生成している。そのため、対向装置2は、ECHO系ダミーパケットの返信を行う前に、パケット送信装置10に送信される情報を暗号化し、パケット送信装置10が暗号化された情報を復号するための暗号鍵を作成する(ステップS319)。
【0083】
一方、パケット送信装置10は、対向装置2に対して送信する情報を暗号化するための暗号鍵を有している。よって、パケット送信装置10は、対向装置2に対して、暗号化されたダミーパケットの送信後、暗号化されたユーザデータを送信する。
【0084】
具体的には、呼設定応答を受けた制御部1は、ユーザデータの送信許可をパケット終端部11に対して送信する(ステップS315)。また、ユーザデータの送信許可を受けたパケット終端部11は、ユーザデータを取得し、IPパケット処理部16に送信する(ステップS316)。
【0085】
ユーザデータを受信したIPパケット処理部16は、ユーザデータに対応するSPを参照し、SAを検索し、検索されたSAを用いて、ユーザデータを暗号化する(ステップS317)。その後、IPパケット処理部16は、暗号化されたユーザデータを対向装置2に対して送信する(ステップS318)。
【0086】
ここで、IKE終端部17は、ステップS314にて暗号化されたダミーパケットを取得した対向装置2から暗号鍵を作成するための要求を受信する(ステップS319)。次に、IKE終端部17は、対向装置2から送信される情報を暗号化するための暗号鍵の交換を要求された場合には、IKEプロトコルを利用して、暗号鍵の交換を実行する(ステップS320)。
【0087】
次に、IKE終端部17は、IPパケット処理部16が暗号化された情報を復号化するための復号鍵を作成した場合には、作成された復号鍵をSAデータベース部18に記憶させる(ステップS321)。また、IKE終端部17は、SAの情報をIPパケット処理部16に送信する(ステップS322)。IPパケット処理部16は、IKE終端部17から受信した復号鍵をSAデータベース部13に登録する(ステップS323)。
【0088】
IPパケット処理部16は、対向装置2から暗号化されたダミーパケットを受信した場合には(ステップS324)、暗号化されたダミーパケットに適用されるSPを参照し、SAを検索する。また、IPパケット処理部16は、検索されたSAを用いて、暗号化されたダミーパケットを復号化する(ステップS325)。
【0089】
IPパケット処理部16は、暗号化されたダミーパケットを復号化した場合には、復号化されたダミーパケットをパケット終端部11に送信する(ステップS326)。パケット終端部11は受信された情報がダミーパケットであることを識別した場合には、ダミーパケットを破棄する(ステップS327)。
【0090】
また、IPパケット処理部16は、対向装置2から暗号化されたユーザデータを受信した場合(ステップS328)にも、ステップS325と同様に、暗号化されたユーザデータを復号化する(ステップS329)。また、IPパケット処理部16は、復号化されたユーザデータをパケット終端部11に送信して、処理を終了する(ステップS330)。
【0091】
次に、図5を用いて、実施例1に係るパケット送信装置10がSAを確立している場合の送信処理について説明する。図5は、実施例1に係るパケット送信装置の処理を説明するシーケンス図(3)である。
【0092】
制御部1は、送信されるユーザデータがある場合には(ステップS401)、パケット終端部11に対して呼設定要求を通知する(ステップS402)。呼設定要求を受けたパケット終端部11は、ダミーパケットを作成し、作成されたダミーパケットをIPパケット処理部16へ送信する(ステップS403)。ここで、図5に例示した場合には、作成されたダミーパケットはECHO系のダミーパケットではない。
【0093】
次に、ダミーパケットを受信したIPパケット処理部16は、ダミーパケットに適用されるSPをSPデータベース部12より検索する。そして、IPパケット処理部16は、検索されたSPがダミーパケットを暗号化することを示していた場合には、検索されたSPが示すSAをSAデータベース部13より検索する(ステップS404)。
【0094】
ステップS404にて、検索されたSPが示すSAがSAデータベース部13に記憶されていた場合には、IPパケット処理部16は、SAを確立した旨の通知であるSA確立通知をパケット終端部11に対して送信する(ステップS405)。そして、パケット終端部11は、SA確立通知を受信した場合には、呼設定応答を制御部1に対して通知する(ステップS406)。また、IPパケット処理部16は、ダミーパケットを破棄する(ステップS407)。
【0095】
制御部1は、呼設定応答を受けた場合には、ユーザデータを送信する許可をパケット終端部11に対して送信する(ステップS408)。パケット終端部11は、ユーザデータを送信する許可を受信した場合には、ユーザデータをIPパケット処理部16に対して送信する(ステップS409)。
【0096】
IPパケット処理部16は、ユーザデータを受信した場合には、受信されたユーザデータに対応するSPを参照し、SAを検索する。また、IPパケット処理部16は、検索されたSAを用いて、ユーザデータを暗号化する(ステップS410)。その後、IPパケット処理部16は、暗号化されたユーザデータを対向装置2に対して送信し(ステップS411)処理を終了する。
【0097】
[実施例1の効果]
上述してきたように、実施例1に係るパケット送信装置10は、制御部1から呼設定要求を受けたことを契機としてダミーパケットを作成し、ダミーパケット用いて、SAを確立する。また、パケット送信装置10は、SAを確立した後に呼設定要求に対する応答を行い、送信されるユーザデータを取得し、ユーザデータを暗号化して送信する。
【0098】
このため、パケット送信装置10は、送信されるユーザデータを取得したことを契機としてSAを確立する従来技術に係る通信装置と比較して、送信されるユーザデータの遅延を防ぐことができる。その結果、パケット送信装置10は、送信されるユーザデータを暗号化して送信する場合には、ユーザデータが有するリアルタイム性を損なうことなく送信することができる。
【0099】
送信されるユーザデータの一例としてTV会議システムを考慮した場合には、パケット送信装置10は、ユーザデータとして動画および音声を取得した時点で、送信先とのSAを確立している。結果として、パケット送信装置10は、ユーザデータを遅延させることなく暗号化して送信することができる。
【0100】
また、パケット送信装置10は、ECHO系のダミーパケット作成し、作成されたダミーパケットを暗号化して対向装置2に送信するので、様々な形態のSAを確立することができる。
【0101】
例えば、パケット送信装置10は、送信される情報のみを暗号化すればよい場合、すなわち片方向の通信のみを暗号化すればよい場合には、ECHO系ではないダミーパケットを作成する。一方、パケット送信装置10は、暗号化された情報を用いて双方向の通信を行う場合には、ECHO系のダミーパケットを作成する。
【0102】
パケット送信装置10は、ECHO系のダミーパケットを暗号化して対向装置2に送信した場合には、対向装置2からSAの確立を要求される。そのため、パケット送信装置10は、既存の対向装置2に対して改変を行うことなく、双方向のSAを動的に確立することができる。また、パケット送信装置10は、ECHO系のダミーパケットが返信された場合には、双方向のSAが確立したことを認識することができる。
【実施例2】
【0103】
これまで実施例1について説明したが、実施例は、上述した実施例以外にも様々な異なる形態にて実施されてよいものである。そこで、以下では実施例2として他の実施例を説明する。
【0104】
(1)ダミーパケットについて
実施例1に係るパケット送信装置では、ECHO系のダミーパケットを作成する場合の例として、GTP−UおよびICMPに規定されるヘッダを利用する例について説明した。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、ECHO要求を含めることができるプロトコルであれば、発明の目的を果たすことができる。パケット送信装置は、ECHO系のダミーパケットを送信した場合には、通信プロトコルの種別によらず、双方向のSAを確立することができるからである。
【0105】
(2)パケット送信装置について
実施例1のパケット送信装置は、IPsecプロトコルが実施可能な場合には適用可能である。よって、実施例1のパケット送信装置は、有線ネットワークのみならず、無線ネットワークを構成する装置に組み込まれてもよい。
【0106】
ここで、図8を用いて、パケット送信装置10の実施形態の一例として、携帯情報端末を用いた無線ネットワークについて説明する。図8は、LTE(Long Term Evolution)無線ネットワーク構成の一例を表す図である。図8に示した場合には、ネットワーク内の通信をIPsecを用いた暗号化通信が実施されている。
【0107】
携帯情報端末は、多くの場合、リアルタイム性の高い情報を送受信する。しかし、携帯情報端末は、随時移動するので、ユーザデータを中継する基地局が変化した場合には、そのつどSAを新たに確立する必要がある。また、携帯情報端末は、携帯情報端末が利用するアプリケーションの種類によって接続するゲートウェイ等の送信先通信装置が変化するため、SAを新たに確立する必要がある。
【0108】
一方、携帯情報端末は、ネットワーク上の通信機器が多種に及び、また無線ネットワークを稼働させた状態でサーバやゲートウェイ等の通信機器が増設されるため、全ての通信経路について予めSAを確立することが困難である。
【0109】
また、従来の携帯情報端末は、各基地局が確立することができるSAの数に上限があるため、各基地局が確立しているSAの数の上限を超えた場合には、SAを確立することができない。結果、従来のユーザデータを契機としてSAを確立する携帯情報端末は、SAを確立することができない場合には、ユーザデータを停滞、もしくは破棄してしまう。
【0110】
しかし、実施例2に係るパケット送信装置は、暗号化通信を利用する場合には、呼設定要求を契機として動的にSAを確立することができる。また、実施例2に係るパケット送信装置は、SAを確立した後に呼設定を確立しているので、送信される情報を停滞させることなく通信を行うことができる。
【0111】
そのため、携帯情報端末は、バンドオーバーを気にすることなく暗号化通信を行うことができる。また、携帯情報端末は、ECHO系のダミーパケットを送信した場合には、双方向のSAが確立されているかを確認することができる。
【0112】
(3)暗号化通信について
実施例1に係るパケット送信装置は、暗号化の一例として、IPsecプロトコルに規定されたトンネルモードで送信される情報を暗号化していた。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、例えば、トランスポートモードを利用しても良い。
【0113】
実施例1に係るパケット送信装置は、送信される情報を暗号化する方法によらず、送信される情報のリアルタイム性を損なうことなく暗号化して送信することができるからである。
【0114】
また、実施例1に係るパケット送信装置は、送信先の受信ポートごとに適用されるSAを確立していた。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、例えば、送信先のIPアドレスごとに適用されるSAを確立してもよい。また、送信される情報の種別によって、送信先のIPアドレスごと、もしくは、送信先の受信ポートごとに適用されるSAを確立してもよい。
【0115】
(4)鍵交換について
実施例1に係るパケット送信装置は、安全な鍵交換を実現する一例としてDiffie−Hellman交換を挙げた。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、例えば、楕円曲線暗号でもよい。パケット送信装置は、IPsecを用いて暗号化通信を行う場合には、IKEプロトコルに規定された複数の鍵交換プロトコルのうちどれを使用しても、目的を達成することができるからである。
【0116】
(5)SAデータベース部について
実施例1に係るパケット送信装置は、IPパケット処理部が用いるSAデータベース部と、IKE終端部が用いるSAデータベース部とを有していた。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、例えば、図9に示すように同一のSAデータベース部をIPパケット処理部およびIKE終端部が用いてもよい。ここで、図9は、パケット送信装置の構成例を表す図である。
【0117】
(6)プログラム
ところで、実施例1に係るパケット送信装置では、ハードウェアを利用して各種の処理を実現する場合を説明したが、実施例2に係るパケット送信装置は、これに限定されるものではなく、あらかじめ用意されたプログラムをコンピュータで実行することによって実現するようにしてもよい。
【0118】
そこで、以下では、図10を用いて実施例1に示したパケット送信装置と同様の機能を有するプログラムを実行するコンピュータの一例を説明する。ここで、図10は、暗号化パケットを送信するコンピュータの図である。
【0119】
図10に例示されたコンピュータ200は、HDD150、RAM(Random Access Memory)120、ROM(Read Only Memory)130、CPU(Central Processing Unit)140、をバス170で接続されている。さらにバス170には、対向装置及と接続するための接続端子部分I/O(Input/Output)160が接続されている。
【0120】
ROM130には、制御プログラム131、IPパケット処理プログラム132、パケット終端プログラム133、IKE終端プログラム134があらかじめ保持されている。CPU140が各プログラム131〜134をROM130から読み出して実行することによって、図10に示すように、各プログラム131〜134は、制御プロセス141、IPパケット処理プロセス142、パケット終端プロセス143、IKE終端プロセス144として機能するようになる。
【0121】
なお、各プロセス141〜144は、図1に示した制御部1、IPパケット処理部16、パケット終端部11、IKE終端部17にそれぞれ対応する。
【0122】
なお、各プログラム131〜134はROM130に保持されている必要はなく、例えばHDD150に記録されており、CPU140によって展開され、各プロセス141〜144として機能するようにしてもよい。また、各プログラム131〜134は、RAM120に保持されてもよい。
【0123】
また、図1に示した情報記憶部14、SPデータベース部12、SAデータベース部13、SAデータベース部18は、RAM120またはHDD150によって機能を果たすことができる。
【0124】
なお、本実施例で説明したパケット送信部は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【0125】
以上の各実施例を含む実施形態に関し、さらに以下の付記を開示する。
【0126】
(付記1)送信先装置に送信されるデータである送信データを受け付けると、前記送信先装置との間で交換された暗号鍵が登録されているか否かを判定し、前記暗号鍵が登録されている場合には、当該暗号鍵を用いて前記送信データを暗号化して前記送信先装置に送信し、前記暗号鍵が登録されていない場合には、当該送信先装置との間で暗号鍵の交換を行って当該暗号鍵を登録する暗号化処理部と、
前記送信データの送信に先立って行われる呼設定要求を制御部から受け付けると、前記送信データと同等の擬似送信データを前記暗号化処理部に通知する代替データ通知部と、
前記擬似送信データを受け入れた前記暗号化処理部によって前記送信先装置との間で暗号鍵の交換が行われて当該暗号鍵が登録されると、前記呼設定要求に対する呼設定が完了した旨を前記制御部に通知する呼設定完了通知部と、
を備えることを特徴とするパケット送受信装置。
【0127】
(付記2)前記代替データ通知部は、前記呼設定要求を前記制御部から受け取ると、送信元に返信を実行する事を要求する情報を含む前記擬似送信データを前記暗号化処理部に通知することを特徴とする付記1に記載のパケット送受信装置。
【0128】
(付記3)前記代替データ通知部は、前記呼設定要求を前記制御部から受け取ると、前記送信データを受信する前記送信先装置毎に、前記擬似送信データを作成することを特徴とする付記1および付記2に記載のパケット送受信装置。
【0129】
(付記4)送信先装置に送信されるデータである送信データの送信に先立って行われる呼設定要求を制御部から受け付けると、前記送信データと同等の擬似送信データを暗号化処理ステップに通知する代替データ通知ステップと、
前記代替データ通知ステップによって通知された前記擬似送信データを受け付けると、前記送信先装置との間で交換された暗号鍵が登録されているか否かを判定し、前記暗号鍵が登録されている場合には、当該暗号鍵を用いて前記擬似送信データを暗号化して前記送信先装置に送信し、前記暗号鍵が登録されていない場合には、当該送信先装置との間で暗号鍵の交換を行って当該暗号鍵を登録する暗号化処理ステップと、
前記擬似送信データを受け入れた前記暗号化処理ステップによって前記送信先装置との間で暗号鍵の交換が行われて当該暗号鍵が登録されると、前記呼設定要求に対する呼設定が完了した旨を前記制御部に通知する呼設定完了通知ステップと、
を含むことを特徴とするパケット送受信方法。
【0130】
(付記5)前記代替データ通知ステップは、前記呼設定要求を前記制御部から受け取ると、送信元に返信を実行する事を要求する情報を含む前記擬似送信データを前記暗号化処理ステップに通知することを特徴とする付記4に記載のパケット送受信方法。
【0131】
(付記6)前記代替データ通知ステップは、前記呼設定要求を前記制御部から受け取ると、前記送信データを受信する前記送信先装置毎に、前記擬似送信データを作成することを特徴とする付記4および付記5に記載のパケット送受信方法。
【符号の説明】
【0132】
1 制御部
2 対向装置
10 パケット送信装置
11 パケット終端部
12 SPデータベース部
13 SAデータベース部
14 情報記憶部
15 物理インターフェース部
16 IPパケット処理部
17 IKE終端部
18 SAデータベース部
【技術分野】
【0001】
本発明は、情報通信に使用されるパケット送受信装置およびパケット送受信方法に係る。
【背景技術】
【0002】
近年、情報セキュリティの技術として、情報を送信する送信元通信装置と情報を受信する送信先通信装置との間で暗号化された情報を送受信する通信技術が実施されている。このような情報を暗号化して通信を行う技術の一例として、IPsec(Security Architecture for Internet Protocol)を用いた通信技術が知られている(例えば特許文献1参照)。
【0003】
以下、送信元通信装置が行う具体的な処理を説明する。送信元通信装置は、送信される情報であるユーザデータを取得する前に、装置内の処理経路を設定する呼設定を実行する。そして、送信元通信装置は、呼設定を確立した後に、図11に示すように、ユーザデータを取得し、取得されたユーザデータを暗号化して送信先通信装置へ送信する。
【0004】
ここで、送信元通信装置は、送信先通信装置とのSA(Security Association)を確立している場合には、送信先通信装置との間に確立されたSAを用いてユーザデータを暗号化する。SAとは、送信先通信装置との間でやりとりする情報を暗号化する暗号鍵に関する情報である。
【0005】
一方、送信元通信装置は、図12に示すように、送信先通信装置とのSAを確立していない場合には、取得したユーザデータを一時的に記憶し、送信先通信装置との間で鍵交換を行ってSAを確立する。その後、送信元通信装置は、送信先通信装置との間でSAを確立した場合には、一時的に記憶していたユーザデータをSAを用いて暗号化する。そして、送信元通信装置は、暗号化されたユーザデータを送信先通信装置へ送信する。
【0006】
ここで、送信元通信装置は、送信先通信装置を変更する場合には、新たな送信先の通信装置ともSAを確立する。そのため、送信元通信装置は、送信先の通信装置を変更する場合にも、送信する情報を一時的に記憶し、新たなSAを確立する。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2006−311164号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、呼設定後にSAを確立する技術では、送信先通信装置とSAを確立していない場合には、ユーザデータを取得したことを契機としてSAの確立を開始する。そのため、SAを確立していない場合には、ユーザデータを一時的に記憶し、SAを確立するまでユーザデータを暗号化して送信することができないので、ユーザデータの送信処理を停滞させてしまう。このため、送信元通信装置は、SAを確立していない場合には、ユーザデータをSA確立まで停滞させてしまう結果、リアルタイム性を保持することができないという問題があった。
【0009】
例えば、上記した呼設定後にSAを確立する技術では、TV会議システム、TV電話やライブ映像の配信等、リアルタイム性が求められる情報の暗号化通信を行う場合に、SAを確立するまで情報を一時的に記憶する必要がある。結果として、呼設定後にSAを確立する技術では、SAを確立していない場合には、情報の流れを停滞させてしまうので、リアルタイム性を保持することができないという問題があった。
【0010】
また、送信元通信装置は、送信先通信装置を変更する場合にも、新たにSAを確立させるので、ユーザデータをSA確立まで停滞させてしまう結果、リアルタイム性を保持することができないという問題があった。
【0011】
そこで、本願に開示する技術は、上述した問題を解決することを目的とするものであり、リアルタイム性を損なうことなく情報を暗号化して送信することを可能とするパケット送受信装置、パケット送受信方法を提供することを目的とする。
【課題を解決するための手段】
【0012】
本願の開示する技術は、一つの様態によれば、呼設定を確立させる前に、ユーザデータとは別の情報である疑似送信データを作成し、当該疑似送信データを用いてSAを確立させる。
【発明の効果】
【0013】
本願の開示する技術は、一つの様態によれば、呼設定確立前にSAを確立するので、リアルタイム性を損なうことなく暗号化通信をすることができる。
【図面の簡単な説明】
【0014】
【図1】図1は、実施例1に係るパケット送信装置を表すブロック図である。
【図2】図2は、実施例1に係るパケット送信装置が行うSP登録を説明するシーケンス図である。
【図3】図3は、実施例1に係るパケット送信装置の処理を表すシーケンス図(1)である。
【図4】図4は、実施例1に係るパケット送信装置の処理を表すシーケンス図(2)である。
【図5】図5は、実施例1に係るパケット送信装置の処理を表すシーケンス図(3)である。
【図6】図6は、実施例1に係るパケット送信装置のプロトコルスタックの一例を表す図(1)である。
【図7】図7は、実施例1に係るパケット送信装置のプロトコルスタックの一例を表す図(2)である。
【図8】図8は、LTE無線ネットワーク構成の一例を表す図である。
【図9】図9は、パケット送信装置の構成例を表す図である。
【図10】図10は、暗号化パケットを送信するコンピュータの図である。
【図11】図11は、従来技術を説明するための図(1)である。
【図12】図12は、従来技術を説明するための図(2)である。
【発明を実施するための形態】
【0015】
以下に添付図面を参照してこの発明に係るパケット送受信装置およびパケット送受信方法の実施例を詳細に説明する。
【実施例1】
【0016】
以下の実施例では、パケット送信装置および処理の流れを順に説明する。最初に、図1を用いて、実施例1に係るパケット送信装置の構成を説明する。ここで、図1は、実施例1に係るパケット送信装置を表すブロック図である。
【0017】
パケット送信装置10は、制御部1、パケット終端部11、物理インターフェース部15を有しており、対向装置2と接続されている。物理インターフェース部15は、SPデータベース部12、SAデータベース部13、情報記憶部14、IPパケット処理部16、IKE終端部17、SAデータベース部18を有している。
【0018】
SPデータベース部12は、送信される情報の種別に応じてどのような暗号化を行うかを定めた情報であるSP(Security Policy)を記憶している。SAデータベース部13およびSAデータベース部18は、暗号鍵に関する情報であるSA(Security Association)を記憶している。
【0019】
具体的には、SAデータベース部13およびSAデータベース部18は、パケットの送信先ごとに適用される暗号化の鍵をSAとして記憶している。ここで、SAデータベース部13およびSAデータベース部18は、SPデータベース部12に記憶されたSPに応じて、送信される情報に適用されるSAを記憶している。例えば、SAデータベース部13およびSAデータベース部18は、送信される情報に対して適用されるSPが、送信先のIPアドレスごとの暗号鍵を用いるように示している場合には、送信先のIPアドレスごとのSAを記憶する。
【0020】
また、SAデータベース部13およびSAデータベース部18は、送信される情報に対して適用されるSPが、送信先の受信ポートごとの暗号鍵を用いるように示している場合には、送信先の受信ポートごとに適用されるSAを記憶している。ここで、実施例1に係るSPデータベース部12は、SPの一例として、送信先の受信ポートごとに暗号化することを示すSPを記憶しているものとする。
【0021】
また、SPデータベース部12は、送信先とのSAを確立する場合に、双方向のSAを確立するか、もしくは、片方向のSAを確立するかを示す情報を記憶している。例えば、SPデータベース部12は、記憶されるSPの一例として、送信先の受信ポートごとに暗号化すること、および、双方向でSAを確立することを示すSPを記憶する。
【0022】
SPデータベース部12は、IPパケット処理部16が用いるSPを記憶する。SAデータベース部13は、IPパケット処理部16が用いるSAを記憶する。SAデータベース部18は、IKE終端部17が用いるSPを記憶する。各SAデータベース部は、同一のSAを記憶している。
【0023】
対向装置2は、情報の送信先である。対向装置2の一例としては、送信される情報がIPsecに規定されたトンネルモードを利用して送信される場合には、ユーザデータの送信先が存在するローカルネットワークに対応するセキュリティゲートウェイである。
【0024】
制御部1は、情報を送信する処理を制御している。また、制御部1は、ユーザデータが存在する場合には、呼設定要求をパケット終端部11に対して送信する。ここで、呼設定要求とは、送信先通信装置に対してユーザデータを送信するための装置内での処理経路および送信先通信装置を確立させる要求をいう。
【0025】
また、制御部1は、呼設定要求に対する応答をパケット終端部11から受け取った場合には、対向装置2に送信される情報に対して行われる送信処理を開始する許可をパケット終端部11に対して送信する。
【0026】
パケット終端部11は、制御部1から呼設定要求を受信した場合には、送信される情報の代わりの情報である模擬情報を作成し、IPパケット処理部16に送信する。具体的には、パケット終端部11は、制御部1から呼設定要求を受けた場合には、呼設定要求に含まれるIPアドレスを含んだ疑似送信データ(以降、ダミーパケットともいう)を作成し、IPパケット処理部16に送信する。また、パケット終端部11は、ダミーパケットを対向装置2の受信ポートごとに作成する。
【0027】
また、パケット終端部11は、SAが確立された場合には、呼設定要求に対する応答を制御部1に対して送信する。具体的には、パケット終端部11は、IKE終端部17がSAを確立した旨の情報をIPパケット処理部16から取得した場合には、呼設定要求に対する応答を制御部1に対して送信する。
【0028】
ここで、呼設定要求には、送信される情報が送信される送信先を表すIPアドレスが含まれている。パケット終端部11は、呼設定要求を受けた場合には、呼設定要求に含まれる送信先のIPアドレスを含んだダミーパケットを作成し、IPパケット処理部16に送信する。
【0029】
ダミーパケットは、SAの確立を開始するために作成されるユーザデータとは別の情報から構成されている。また、ダミーパケットは、送信されるユーザデータに対して一切の影響を及ぼさない情報である。また、ダミーパケットは、ユーザデータの送信先を表すIPアドレスを含んでいる。
【0030】
パケット終端部11は、制御部1に対して呼設定要求を受けた場合には、ダミーパケットを作成し、IPパケット処理部16に対して送信する。また、パケット終端部11は、SAが確立した旨の通知であるSA確立通知をIPパケット処理部16から受けた場合には、呼設定要求に対する応答を制御部1に対して送信する。
【0031】
ここで、SAを管理するプロトコルおよびダミーパケットに対する処理の関係について説明する。SAは、TCP/IP(Transmission Control Protocol/Internet Protocol)に定義されるレイヤ構造上、IPレイヤ(レイヤ3)だけではなく、上位のレイヤ4およびレイヤ5のプロトコルで管理される場合がある。
【0032】
例えば、パケット送信装置10は、ユーザデータの送信先として、送信先のIPアドレスと送信先の受信ポート番号とを指定してユーザデータを送信する場合がある。ポート番号を管理するプロトコルは、IPレイヤよりも上位のレイヤで実行される。そのため、SAを管理するプロトコルは、レイヤ4以上のレイヤで動作するプロトコルによって管理される場合がある。
【0033】
ここで、レイヤ4以上のレイヤで動作するプロトコルには、ECHO要求という仕組みが組み込まれているプロトコルが存在する。送信先通信装置は、受信された情報にECHO要求が含まれていた場合には、受信された情報と同一の情報を送信元通信装置に対して送信する処理を実行する。
【0034】
パケット送信装置10は、ECHO要求を含むダミーパケットを暗号化して対向装置2に送信した場合には、対向装置2から暗号化されたダミーパケットの返信が実行される。そのため、パケット送信装置10は、双方向のSAを確立させ、対向装置2との接続が有効であるかを確認することができる。
【0035】
図6および図7を用いて、ECHO系のダミーパケットの送信について具体的に説明する。ここで、図6は実施例1に係るパケット送信装置のプロトコルスタックの一例を表す図(1)である。ここで、図7は実施例1に係るパケット送信装置のプロトコルスタックの一例を表す図(2)である。
【0036】
図6および図7に例示したパケット送信装置10は、対向装置として、MME(Mobility Management Entity)と通信を行う。
【0037】
まず、図6を用いて、ダミーパケットに含まれるエコー要求が、GTP−U(General Packet Radio Service Tunneling Protocol User Data Tunneling)を利用する例について説明する。
【0038】
パケット送信装置10は、アプリケーション層で動作するプロトコルであるGTP−Uを利用してECHO系のダミーパケットを作成する場合には、図6に示されたレイヤ構造を有するダミーパケットを作成する。ここで、レイヤ3ヘッダには、送信先のIPアドレスが格納されている。
【0039】
レイヤ4ヘッダには、UDP(User Datagram Protocol)で規定された情報が格納されている。レイヤ5ヘッダには、GTP−Uで規定された情報が格納されており、ECHO要求を表す情報を含んでいる。
【0040】
パケット終端部11で作成されたダミーパケットは、IPパケット処理部16に送信される。ここで、実施例1に係るパケット送信装置10は、トンネルモードで情報を送信する。そのため、IPパケット処理部16は、受信されたダミーパケットのうち、レイヤ5からレイヤ3までを暗号化し、レイヤ4に格納する。そして、IPパケット処理部16は、対向装置に情報を送信するセキュリティゲートウェイのIPアドレスをレイヤ3に付与し、暗号化されたダミーパケットを送信する。
【0041】
セキュリティゲートウェイは、暗号化されたダミーパケットを取得した場合には、レイヤ3に格納されたIPアドレスを消去し、レイヤ4に格納された情報を復号化する。そして、復号化された対向装置のIPアドレスを認識し、認識された対向装置へ送信する。
【0042】
対向装置は、復号化されたダミーパケットを取得した場合には、ダミーパケットに含まれるECHO要求を認識し、同一の情報を送信するための処理を行う。具体的には、対向装置は、ダミーパケットを暗号化するためのSAを確立するための要求をパケット送信装置10に対して送信する。
【0043】
次に、図7を用いて、ダミーパケットに含まれるエコー要求が、ICMP(Internet Control Message Protocol)を利用する例について説明する。ここで、ICMPは、IP(Internet Protocol)の上位プロトコルである。そこで、図7では、ICMPに規定された情報をレイヤ4ヘッダに格納するように示している。
【0044】
パケット通信装置10は、トランスポート層で動作するプロトコルであるICMPを利用してECHO系のダミーパケットを作製する場合には、図7に示されたレイヤ構造を有するダミーパケットを作成する。ここで、レイヤ3ヘッダには、送信先のIPアドレスが格納されている。レイヤ4ヘッダには、ICMPで規定された情報が格納されており、ECHO要求を表す情報を含んでいる。
【0045】
パケット終端部11で作成されたダミーパケットは、IPパケット処理部16に送信される。IPパケット処理部16は、受信されたダミーパケットのうち、レイヤ4からレイヤ3までを暗号化し、レイヤ4に格納する。そして、IPパケット処理部16は、対向装置に情報を送信するセキュリティゲートウェイのIPアドレスをレイヤ3に付与し、暗号化されたダミーパケットを送信する。
【0046】
セキュリティゲートウェイは、暗号化されたダミーパケットを取得した場合には、レイヤ3に格納されたIPアドレスを消去し、レイヤ4に格納された情報を復号化する。そして、復号化された対向装置のIPアドレスを認識し、認識された対向装置へ送信する。
【0047】
対向装置は、復号化されたダミーパケットを取得した場合には、ダミーパケットに含まれるECHO要求を認識し、同一の情報を送信するための処理を行う。具体的には、対向装置は、ダミーパケットを暗号化するためのSAを確立するための要求をパケット送信装置10に対して送信する。
【0048】
パケット送信装置10は、SAを管理するプロトコルがレイヤ4以上で、SAを管理するプロトコルがECHOの仕組みを備えている場合には、ECHO系のダミーパケットを送信する。具体的には、パケット終端部11は、対向装置2のIPアドレスと、ユーザデータとは異なる情報と、ECHO要求とを含んだダミーパケットを作成し、送信する。
【0049】
IPパケット処理部16は、パケット終端部11から情報を取得した場合には、取得された情報を暗号化する暗号鍵を検索し、暗号鍵が登録されている場合には、取得された情報を暗号化して対向装置2へ送信する。具体的には、IPパケット処理部16は、ダミーパケットを受信した場合には、SPデータベース部12を検索し、ダミーパケットに対して適用されるSPを検索する。また、IPパケット処理部16は、検索されたSPを参照して、ダミーパケットに適用されるSAをSAデータベース部13から検索する。
【0050】
また、IPパケット処理部16は、SAをSAデータベース部13から検索した結果、受信されたダミーパケットに適用されるSAが確立されている場合には、SA確立通知をパケット終端部11に対して送信する。
【0051】
一方、IPパケット処理部16は、SAをSAデータベース部13から検索した結果、受信されたダミーパケットに適用されるSAが確立されていない場合には、IKE終端部17に対してSAを確立するように要求する。具体的には、IPパケット処理部16は、ダミーパケットに含まれる対向装置2のIPアドレスをIKE終端部17に送信し、ダミーパケットを情報記憶部14に一時記憶させる。
【0052】
また、IPパケット処理部16は、IKE終端部17によってSAが確立された場合には、SAをSAデータベース部13に記憶させ、SA確立通知をパケット終端部11に対して送信する。
【0053】
IPパケット処理部16は、SAが確立された場合には、パケット終端部11から受信したダミーパケットがECHO系のダミーパケットかどうかを判別する。IPパケット処理部16は、パケット終端部11から受信したダミーパケットがECHO系のダミーパケットではない場合には、ダミーパケットを破棄する。
【0054】
一方、IPパケット処理部16は、パケット終端部11から受信したダミーパケットがECHO系のダミーパケットである場合には、SAを用いてダミーパケットを暗号化し、暗号化されたダミーパケットを対向装置2に送信する。
【0055】
また、IPパケット処理部16は、ユーザデータをパケット終端部11から受信し、確立されたSAを用いてユーザデータを暗号化し、暗号化されたユーザデータを対向装置2に対して送信する。
【0056】
具体的には、IPパケット処理部16は、パケット終端部11からユーザデータを受信し、ユーザデータに対応するSPを参照してSAをSAデータベース部13から検索する。また、IPパケット処理部16は、検索されたSAを用いて、ユーザデータを暗号化し、暗号化されたユーザデータを対向装置2に対して送信する。
【0057】
IKE終端部17は、パケット終端部11に作成されたダミーパケットを用いて、対向装置2に対して送信される情報を暗号化する暗号鍵を作成する。具体的には、IKE終端部17は、IPパケット処理部16から通知されたIPアドレスを用いて対向装置2を特定し、特定された対向装置2とIKE(Internet Key Exchange)プロトコルを用いた鍵交換を実行し、暗号鍵を作成する。また、IKE終端部17は、作成された暗号鍵を、SAデータベース部18に記憶させ、IPパケット処理部16に送信する。
【0058】
ここで、IKE終端部17がIKEを用いて暗号鍵を作成する方法は、IKEプロトコルで許容される方法であればよく、例えばDiffie−Hellman交換等方法を用いる。IKE終端部17は、パケット送信装置10が送信される情報を暗号化する暗号鍵を作成した場合には、作成された暗号鍵をSAデータベース部18に記憶させる。また、IKE終端部17は、作成された暗号鍵をIPパケット処理部16に送信する。
【0059】
次に、図面を参照してパケット送信装置10が送信される情報を暗号化し、対向装置2に対して送信する処理の流れについて説明する。まず、図2を用いて、制御部1がSPをSPデータベース部12に記憶させる処理について説明する。図2は、実施例1に係るパケット送信装置が行うSP登録を説明するためのシーケンス図である。
【0060】
まず、制御部1は、SPの登録要求をIKE終端部17に対して要求する(ステップS101)。そして、IKE終端部17は、SPの登録要求を制御部1から受けた場合には、SPの登録要求をIPパケット処理部16に対して要求する(ステップS102)。そしてIPパケット処理部16は、IKE終端部17からSPの登録要求を受けた場合には、SPデータベース部12にSPを登録する(ステップS103)。
【0061】
続いて、IPパケット処理部16は、SPデータベース部12にSPを登録した場合には、SP登録応答をIKE終端部17に対して通知する(ステップS104)。そしてIKE終端部17は、SP登録応答をIPパケット処理部16から受けた場合には、SP登録応答を制御部1に対して通知する(ステップS105)。
【0062】
次に、図3を用いて、パケット送信装置10が行う送信処理の流れについて説明する。ここで、図3は、実施例1に係るパケット送信装置の処理を表すシーケンス図(1)である。図3に例示した場合には、パケット終端部11が作成するダミーパケットはECHO系のダミーパケットではない。
【0063】
制御部1は、送信されるユーザデータがある場合には(ステップS201)、パケット終端部11に対して呼設定要求を通知する(ステップS202)。そして、パケット終端部11は、ダミーパケットを作成し、作成されたダミーパケットをIPパケット処理部16へ送信する(ステップS203)。
【0064】
続いて、ダミーパケットを受信したIPパケット処理部16は、ダミーパケットに適用されるSPをSPデータベース部12より検索する。そして、IPパケット処理部16は、検索されたSPがダミーパケットを暗号化することを示していた場合には、検索されたSPが示すSAをSAデータベース部13より検索する(ステップS204)。
【0065】
ステップS204にて、検索されたSPが示すSAがSAデータベース部13に記憶されていなかった場合には、IPパケット処理部16は、ダミーパケットの送信先とのSAを確立するようにIKE終端部17に対して要求する(ステップS205)。
【0066】
次に、ステップS205でSAの確立要求を受けたIKE終端部17は、対向装置2に対してIKEを用いた鍵交換要求を実行する(ステップS206)。そして、IKE終端部17は、鍵交換の要求に対する応答を取得した場合には(ステップS207)、暗号鍵を作成し、作成された暗号鍵をSAデータベース部18に登録する(ステップS208)。
【0067】
次に、IKE終端部17は、作成された暗号鍵をIPパケット処理部16に送信する(ステップS209)。また、IPパケット処理部16は、IKE終端部17から受信した暗号鍵をSAデータベース部13に登録する(ステップS210)。
【0068】
IPパケット処理部16は、暗号鍵をSAデータベース部18に登録した場合には、SAが確立したことをパケット終端部11に通知する(ステップS211)。
【0069】
また、IPパケット処理部16は、SA確立通知をパケット処理部に送信した場合には、ダミーパケットがECHO系かどうかを判別する。図3に例示した場合には、IPパケット処理部16は、ダミーパケットがECHO系ではないので、ダミーパケットを破棄する(ステップS213)。
【0070】
一方、SA確立通知を受けたパケット終端部11は(ステップS211)、ステップS202の呼設定要求に対する応答である呼設定応答を制御部1に対して送信する(ステップS212)。
【0071】
制御部1は、呼設定応答を受けた場合には、ユーザデータの送信許可をパケット終端部11に対して送信する(ステップS214)。そして、ユーザデータの送信許可を受けたパケット終端部11は、ユーザデータを取得し、IPパケット処理部16に対して送信する(ステップS215)。
【0072】
ユーザデータを取得したIPパケット処理部16は、取得されたユーザデータに対応するSPを参照してSAを検索し、検索されたSAを用いてユーザデータを暗号化する(ステップS216)。その後、IPパケット処理部16は、暗号化されたユーザデータを対向装置2に対して送信し、送信処理を終了する(ステップS217)。
【0073】
次に、図4を用いて、実施例1に係るパケット送信装置10がECHO系のダミーパケットを用いて、SAを確立し、ユーザデータを送信する処理の流れについて説明する。ここで、図4は、実施例1に係るパケット送信装置の処理を表すシーケンス図(2)である。
【0074】
制御部1は、送信されるユーザデータがある場合には(ステップS301)、パケット終端部11に対して呼設定要求を通知する(ステップS302)。呼設定要求を受けたパケット終端部11は、ECHO系のダミーパケットを作成し、作成されたダミーパケットをIPパケット処理部16へ送信する(ステップS303)。
【0075】
次に、ダミーパケットを受信したIPパケット処理部16は、ダミーパケットに適用されるSPをSPデータベース部12より検索する(ステップS304)。そして、IPパケット処理部16は、検索されたSPがダミーパケットを暗号化することを示していた場合には、検索されたSPが示すSAをSAデータベース部13より検索する(ステップS304)。
【0076】
ステップS304にて、検索されたSPが示すSAがSAデータベース部13に記憶されていなかった場合には、IPパケット処理部16は、IKE終端部17に対してSAの確立を要求する(ステップS305)。
【0077】
ステップS305でSAの確立要求を受けたIKE終端部17は、対向装置2に対してIKEを用いた鍵交換要求を実行する(ステップS306)。そして、IKE終端部17は、鍵交換の要求に対する応答を取得した場合には(ステップS307)、暗号鍵を作成し、作成された暗号鍵をSAデータベース部18に登録する(ステップS308)。
【0078】
次に、IKE終端部17は、作成された暗号鍵をIPパケット処理部16に送信する(ステップS309)。IPパケット処理部16は、IKE終端部17から受信した暗号鍵をSAデータベース部13に登録する(ステップS310)。
【0079】
IPパケット処理部16は、暗号鍵をSAデータベース部13に登録した場合には(ステップS310)、SAが確立したことをパケット終端部11に通知する(ステップS311)。一方、SA確立通知を受けたパケット終端部11は(ステップS311)、ステップS302の呼設定要求に対する応答である呼設定応答を制御部1に対して送信する(ステップS312)。
【0080】
ここで、IPパケット処理部16は、図4に例示した場合には、ダミーパケットがECHO系のダミーパケットであるため、ダミーパケットを暗号化する(ステップS313)。具体的には、IPパケット処理部16は、ダミーパケットに適用されるSPを参照し、SAを検索する。また、IPパケット処理部16は、検索されたSAを用いてダミーパケットを暗号化する。
【0081】
次に、IPパケット処理部16は、暗号化されたダミーパケットを対向装置2に対して送信する(ステップS314)。ここで、パケット送信装置10は、ECHO系のダミーパケットを暗号化して送信した。送信先の対向装置2は、暗号化されたECHO系のダミーパケットを受信した場合には、返信するダミーパケットを暗号化して送信する。
【0082】
しかし、ステップS314の時点では、パケット送信装置10および対向装置2は、パケット送信装置10から送信される情報を暗号化し、暗号化された情報を対向装置2が復号化するための暗号鍵のみを生成している。そのため、対向装置2は、ECHO系ダミーパケットの返信を行う前に、パケット送信装置10に送信される情報を暗号化し、パケット送信装置10が暗号化された情報を復号するための暗号鍵を作成する(ステップS319)。
【0083】
一方、パケット送信装置10は、対向装置2に対して送信する情報を暗号化するための暗号鍵を有している。よって、パケット送信装置10は、対向装置2に対して、暗号化されたダミーパケットの送信後、暗号化されたユーザデータを送信する。
【0084】
具体的には、呼設定応答を受けた制御部1は、ユーザデータの送信許可をパケット終端部11に対して送信する(ステップS315)。また、ユーザデータの送信許可を受けたパケット終端部11は、ユーザデータを取得し、IPパケット処理部16に送信する(ステップS316)。
【0085】
ユーザデータを受信したIPパケット処理部16は、ユーザデータに対応するSPを参照し、SAを検索し、検索されたSAを用いて、ユーザデータを暗号化する(ステップS317)。その後、IPパケット処理部16は、暗号化されたユーザデータを対向装置2に対して送信する(ステップS318)。
【0086】
ここで、IKE終端部17は、ステップS314にて暗号化されたダミーパケットを取得した対向装置2から暗号鍵を作成するための要求を受信する(ステップS319)。次に、IKE終端部17は、対向装置2から送信される情報を暗号化するための暗号鍵の交換を要求された場合には、IKEプロトコルを利用して、暗号鍵の交換を実行する(ステップS320)。
【0087】
次に、IKE終端部17は、IPパケット処理部16が暗号化された情報を復号化するための復号鍵を作成した場合には、作成された復号鍵をSAデータベース部18に記憶させる(ステップS321)。また、IKE終端部17は、SAの情報をIPパケット処理部16に送信する(ステップS322)。IPパケット処理部16は、IKE終端部17から受信した復号鍵をSAデータベース部13に登録する(ステップS323)。
【0088】
IPパケット処理部16は、対向装置2から暗号化されたダミーパケットを受信した場合には(ステップS324)、暗号化されたダミーパケットに適用されるSPを参照し、SAを検索する。また、IPパケット処理部16は、検索されたSAを用いて、暗号化されたダミーパケットを復号化する(ステップS325)。
【0089】
IPパケット処理部16は、暗号化されたダミーパケットを復号化した場合には、復号化されたダミーパケットをパケット終端部11に送信する(ステップS326)。パケット終端部11は受信された情報がダミーパケットであることを識別した場合には、ダミーパケットを破棄する(ステップS327)。
【0090】
また、IPパケット処理部16は、対向装置2から暗号化されたユーザデータを受信した場合(ステップS328)にも、ステップS325と同様に、暗号化されたユーザデータを復号化する(ステップS329)。また、IPパケット処理部16は、復号化されたユーザデータをパケット終端部11に送信して、処理を終了する(ステップS330)。
【0091】
次に、図5を用いて、実施例1に係るパケット送信装置10がSAを確立している場合の送信処理について説明する。図5は、実施例1に係るパケット送信装置の処理を説明するシーケンス図(3)である。
【0092】
制御部1は、送信されるユーザデータがある場合には(ステップS401)、パケット終端部11に対して呼設定要求を通知する(ステップS402)。呼設定要求を受けたパケット終端部11は、ダミーパケットを作成し、作成されたダミーパケットをIPパケット処理部16へ送信する(ステップS403)。ここで、図5に例示した場合には、作成されたダミーパケットはECHO系のダミーパケットではない。
【0093】
次に、ダミーパケットを受信したIPパケット処理部16は、ダミーパケットに適用されるSPをSPデータベース部12より検索する。そして、IPパケット処理部16は、検索されたSPがダミーパケットを暗号化することを示していた場合には、検索されたSPが示すSAをSAデータベース部13より検索する(ステップS404)。
【0094】
ステップS404にて、検索されたSPが示すSAがSAデータベース部13に記憶されていた場合には、IPパケット処理部16は、SAを確立した旨の通知であるSA確立通知をパケット終端部11に対して送信する(ステップS405)。そして、パケット終端部11は、SA確立通知を受信した場合には、呼設定応答を制御部1に対して通知する(ステップS406)。また、IPパケット処理部16は、ダミーパケットを破棄する(ステップS407)。
【0095】
制御部1は、呼設定応答を受けた場合には、ユーザデータを送信する許可をパケット終端部11に対して送信する(ステップS408)。パケット終端部11は、ユーザデータを送信する許可を受信した場合には、ユーザデータをIPパケット処理部16に対して送信する(ステップS409)。
【0096】
IPパケット処理部16は、ユーザデータを受信した場合には、受信されたユーザデータに対応するSPを参照し、SAを検索する。また、IPパケット処理部16は、検索されたSAを用いて、ユーザデータを暗号化する(ステップS410)。その後、IPパケット処理部16は、暗号化されたユーザデータを対向装置2に対して送信し(ステップS411)処理を終了する。
【0097】
[実施例1の効果]
上述してきたように、実施例1に係るパケット送信装置10は、制御部1から呼設定要求を受けたことを契機としてダミーパケットを作成し、ダミーパケット用いて、SAを確立する。また、パケット送信装置10は、SAを確立した後に呼設定要求に対する応答を行い、送信されるユーザデータを取得し、ユーザデータを暗号化して送信する。
【0098】
このため、パケット送信装置10は、送信されるユーザデータを取得したことを契機としてSAを確立する従来技術に係る通信装置と比較して、送信されるユーザデータの遅延を防ぐことができる。その結果、パケット送信装置10は、送信されるユーザデータを暗号化して送信する場合には、ユーザデータが有するリアルタイム性を損なうことなく送信することができる。
【0099】
送信されるユーザデータの一例としてTV会議システムを考慮した場合には、パケット送信装置10は、ユーザデータとして動画および音声を取得した時点で、送信先とのSAを確立している。結果として、パケット送信装置10は、ユーザデータを遅延させることなく暗号化して送信することができる。
【0100】
また、パケット送信装置10は、ECHO系のダミーパケット作成し、作成されたダミーパケットを暗号化して対向装置2に送信するので、様々な形態のSAを確立することができる。
【0101】
例えば、パケット送信装置10は、送信される情報のみを暗号化すればよい場合、すなわち片方向の通信のみを暗号化すればよい場合には、ECHO系ではないダミーパケットを作成する。一方、パケット送信装置10は、暗号化された情報を用いて双方向の通信を行う場合には、ECHO系のダミーパケットを作成する。
【0102】
パケット送信装置10は、ECHO系のダミーパケットを暗号化して対向装置2に送信した場合には、対向装置2からSAの確立を要求される。そのため、パケット送信装置10は、既存の対向装置2に対して改変を行うことなく、双方向のSAを動的に確立することができる。また、パケット送信装置10は、ECHO系のダミーパケットが返信された場合には、双方向のSAが確立したことを認識することができる。
【実施例2】
【0103】
これまで実施例1について説明したが、実施例は、上述した実施例以外にも様々な異なる形態にて実施されてよいものである。そこで、以下では実施例2として他の実施例を説明する。
【0104】
(1)ダミーパケットについて
実施例1に係るパケット送信装置では、ECHO系のダミーパケットを作成する場合の例として、GTP−UおよびICMPに規定されるヘッダを利用する例について説明した。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、ECHO要求を含めることができるプロトコルであれば、発明の目的を果たすことができる。パケット送信装置は、ECHO系のダミーパケットを送信した場合には、通信プロトコルの種別によらず、双方向のSAを確立することができるからである。
【0105】
(2)パケット送信装置について
実施例1のパケット送信装置は、IPsecプロトコルが実施可能な場合には適用可能である。よって、実施例1のパケット送信装置は、有線ネットワークのみならず、無線ネットワークを構成する装置に組み込まれてもよい。
【0106】
ここで、図8を用いて、パケット送信装置10の実施形態の一例として、携帯情報端末を用いた無線ネットワークについて説明する。図8は、LTE(Long Term Evolution)無線ネットワーク構成の一例を表す図である。図8に示した場合には、ネットワーク内の通信をIPsecを用いた暗号化通信が実施されている。
【0107】
携帯情報端末は、多くの場合、リアルタイム性の高い情報を送受信する。しかし、携帯情報端末は、随時移動するので、ユーザデータを中継する基地局が変化した場合には、そのつどSAを新たに確立する必要がある。また、携帯情報端末は、携帯情報端末が利用するアプリケーションの種類によって接続するゲートウェイ等の送信先通信装置が変化するため、SAを新たに確立する必要がある。
【0108】
一方、携帯情報端末は、ネットワーク上の通信機器が多種に及び、また無線ネットワークを稼働させた状態でサーバやゲートウェイ等の通信機器が増設されるため、全ての通信経路について予めSAを確立することが困難である。
【0109】
また、従来の携帯情報端末は、各基地局が確立することができるSAの数に上限があるため、各基地局が確立しているSAの数の上限を超えた場合には、SAを確立することができない。結果、従来のユーザデータを契機としてSAを確立する携帯情報端末は、SAを確立することができない場合には、ユーザデータを停滞、もしくは破棄してしまう。
【0110】
しかし、実施例2に係るパケット送信装置は、暗号化通信を利用する場合には、呼設定要求を契機として動的にSAを確立することができる。また、実施例2に係るパケット送信装置は、SAを確立した後に呼設定を確立しているので、送信される情報を停滞させることなく通信を行うことができる。
【0111】
そのため、携帯情報端末は、バンドオーバーを気にすることなく暗号化通信を行うことができる。また、携帯情報端末は、ECHO系のダミーパケットを送信した場合には、双方向のSAが確立されているかを確認することができる。
【0112】
(3)暗号化通信について
実施例1に係るパケット送信装置は、暗号化の一例として、IPsecプロトコルに規定されたトンネルモードで送信される情報を暗号化していた。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、例えば、トランスポートモードを利用しても良い。
【0113】
実施例1に係るパケット送信装置は、送信される情報を暗号化する方法によらず、送信される情報のリアルタイム性を損なうことなく暗号化して送信することができるからである。
【0114】
また、実施例1に係るパケット送信装置は、送信先の受信ポートごとに適用されるSAを確立していた。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、例えば、送信先のIPアドレスごとに適用されるSAを確立してもよい。また、送信される情報の種別によって、送信先のIPアドレスごと、もしくは、送信先の受信ポートごとに適用されるSAを確立してもよい。
【0115】
(4)鍵交換について
実施例1に係るパケット送信装置は、安全な鍵交換を実現する一例としてDiffie−Hellman交換を挙げた。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、例えば、楕円曲線暗号でもよい。パケット送信装置は、IPsecを用いて暗号化通信を行う場合には、IKEプロトコルに規定された複数の鍵交換プロトコルのうちどれを使用しても、目的を達成することができるからである。
【0116】
(5)SAデータベース部について
実施例1に係るパケット送信装置は、IPパケット処理部が用いるSAデータベース部と、IKE終端部が用いるSAデータベース部とを有していた。しかし、実施例2に係るパケット送信装置は、これに限定されるものではなく、例えば、図9に示すように同一のSAデータベース部をIPパケット処理部およびIKE終端部が用いてもよい。ここで、図9は、パケット送信装置の構成例を表す図である。
【0117】
(6)プログラム
ところで、実施例1に係るパケット送信装置では、ハードウェアを利用して各種の処理を実現する場合を説明したが、実施例2に係るパケット送信装置は、これに限定されるものではなく、あらかじめ用意されたプログラムをコンピュータで実行することによって実現するようにしてもよい。
【0118】
そこで、以下では、図10を用いて実施例1に示したパケット送信装置と同様の機能を有するプログラムを実行するコンピュータの一例を説明する。ここで、図10は、暗号化パケットを送信するコンピュータの図である。
【0119】
図10に例示されたコンピュータ200は、HDD150、RAM(Random Access Memory)120、ROM(Read Only Memory)130、CPU(Central Processing Unit)140、をバス170で接続されている。さらにバス170には、対向装置及と接続するための接続端子部分I/O(Input/Output)160が接続されている。
【0120】
ROM130には、制御プログラム131、IPパケット処理プログラム132、パケット終端プログラム133、IKE終端プログラム134があらかじめ保持されている。CPU140が各プログラム131〜134をROM130から読み出して実行することによって、図10に示すように、各プログラム131〜134は、制御プロセス141、IPパケット処理プロセス142、パケット終端プロセス143、IKE終端プロセス144として機能するようになる。
【0121】
なお、各プロセス141〜144は、図1に示した制御部1、IPパケット処理部16、パケット終端部11、IKE終端部17にそれぞれ対応する。
【0122】
なお、各プログラム131〜134はROM130に保持されている必要はなく、例えばHDD150に記録されており、CPU140によって展開され、各プロセス141〜144として機能するようにしてもよい。また、各プログラム131〜134は、RAM120に保持されてもよい。
【0123】
また、図1に示した情報記憶部14、SPデータベース部12、SAデータベース部13、SAデータベース部18は、RAM120またはHDD150によって機能を果たすことができる。
【0124】
なお、本実施例で説明したパケット送信部は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【0125】
以上の各実施例を含む実施形態に関し、さらに以下の付記を開示する。
【0126】
(付記1)送信先装置に送信されるデータである送信データを受け付けると、前記送信先装置との間で交換された暗号鍵が登録されているか否かを判定し、前記暗号鍵が登録されている場合には、当該暗号鍵を用いて前記送信データを暗号化して前記送信先装置に送信し、前記暗号鍵が登録されていない場合には、当該送信先装置との間で暗号鍵の交換を行って当該暗号鍵を登録する暗号化処理部と、
前記送信データの送信に先立って行われる呼設定要求を制御部から受け付けると、前記送信データと同等の擬似送信データを前記暗号化処理部に通知する代替データ通知部と、
前記擬似送信データを受け入れた前記暗号化処理部によって前記送信先装置との間で暗号鍵の交換が行われて当該暗号鍵が登録されると、前記呼設定要求に対する呼設定が完了した旨を前記制御部に通知する呼設定完了通知部と、
を備えることを特徴とするパケット送受信装置。
【0127】
(付記2)前記代替データ通知部は、前記呼設定要求を前記制御部から受け取ると、送信元に返信を実行する事を要求する情報を含む前記擬似送信データを前記暗号化処理部に通知することを特徴とする付記1に記載のパケット送受信装置。
【0128】
(付記3)前記代替データ通知部は、前記呼設定要求を前記制御部から受け取ると、前記送信データを受信する前記送信先装置毎に、前記擬似送信データを作成することを特徴とする付記1および付記2に記載のパケット送受信装置。
【0129】
(付記4)送信先装置に送信されるデータである送信データの送信に先立って行われる呼設定要求を制御部から受け付けると、前記送信データと同等の擬似送信データを暗号化処理ステップに通知する代替データ通知ステップと、
前記代替データ通知ステップによって通知された前記擬似送信データを受け付けると、前記送信先装置との間で交換された暗号鍵が登録されているか否かを判定し、前記暗号鍵が登録されている場合には、当該暗号鍵を用いて前記擬似送信データを暗号化して前記送信先装置に送信し、前記暗号鍵が登録されていない場合には、当該送信先装置との間で暗号鍵の交換を行って当該暗号鍵を登録する暗号化処理ステップと、
前記擬似送信データを受け入れた前記暗号化処理ステップによって前記送信先装置との間で暗号鍵の交換が行われて当該暗号鍵が登録されると、前記呼設定要求に対する呼設定が完了した旨を前記制御部に通知する呼設定完了通知ステップと、
を含むことを特徴とするパケット送受信方法。
【0130】
(付記5)前記代替データ通知ステップは、前記呼設定要求を前記制御部から受け取ると、送信元に返信を実行する事を要求する情報を含む前記擬似送信データを前記暗号化処理ステップに通知することを特徴とする付記4に記載のパケット送受信方法。
【0131】
(付記6)前記代替データ通知ステップは、前記呼設定要求を前記制御部から受け取ると、前記送信データを受信する前記送信先装置毎に、前記擬似送信データを作成することを特徴とする付記4および付記5に記載のパケット送受信方法。
【符号の説明】
【0132】
1 制御部
2 対向装置
10 パケット送信装置
11 パケット終端部
12 SPデータベース部
13 SAデータベース部
14 情報記憶部
15 物理インターフェース部
16 IPパケット処理部
17 IKE終端部
18 SAデータベース部
【特許請求の範囲】
【請求項1】
送信先装置に送信されるデータである送信データを受け付けると、前記送信先装置との間で交換された暗号鍵が登録されているか否かを判定し、前記暗号鍵が登録されている場合には、当該暗号鍵を用いて前記送信データを暗号化して前記送信先装置に送信し、前記暗号鍵が登録されていない場合には、当該送信先装置との間で暗号鍵の交換を行って当該暗号鍵を登録する暗号化処理部と、
前記送信データの送信に先立って行われる呼設定要求を制御部から受け付けると、前記送信データと同等の擬似送信データを前記暗号化処理部に通知する代替データ通知部と、
前記擬似送信データを受け入れた前記暗号化処理部によって前記送信先装置との間で暗号鍵の交換が行われて当該暗号鍵が登録されると、前記呼設定要求に対する呼設定が完了した旨を前記制御部に通知する呼設定完了通知部と、
を備えることを特徴とするパケット送受信装置。
【請求項2】
前記代替データ通知部は、前記呼設定要求を前記制御部から受け取ると、送信元に返信を実行する事を要求する情報を含む前記擬似送信データを前記暗号化処理部に通知することを特徴とする請求項1に記載のパケット送受信装置。
【請求項3】
前記代替データ通知部は、前記呼設定要求を前記制御部から受け取ると、前記送信データを受信する前記送信先装置毎に、前記擬似送信データを作成することを特徴とする請求項1および請求項2に記載のパケット送受信装置。
【請求項4】
送信先装置に送信されるデータである送信データの送信に先立って行われる呼設定要求を制御部から受け付けると、前記送信データと同等の擬似送信データを暗号化処理ステップに通知する代替データ通知ステップと、
前記代替データ通知ステップによって通知された前記擬似送信データを受け付けると、前記送信先装置との間で交換された暗号鍵が登録されているか否かを判定し、前記暗号鍵が登録されている場合には、当該暗号鍵を用いて前記擬似送信データを暗号化して前記送信先装置に送信し、前記暗号鍵が登録されていない場合には、当該送信先装置との間で暗号鍵の交換を行って当該暗号鍵を登録する暗号化処理ステップと、
前記擬似送信データを受け入れた前記暗号化処理ステップによって前記送信先装置との間で暗号鍵の交換が行われて当該暗号鍵が登録されると、前記呼設定要求に対する呼設定が完了した旨を前記制御部に通知する呼設定完了通知ステップと、
を含むことを特徴とするパケット送受信方法。
【請求項5】
前記代替データ通知ステップは、前記呼設定要求を前記制御部から受け取ると、送信元に返信を実行する事を要求する情報を含む前記擬似送信データを前記暗号化処理ステップに通知することを特徴とする請求項4に記載のパケット送受信方法。
【請求項6】
前記代替データ通知ステップは、前記呼設定要求を前記制御部から受け取ると、前記送信データを受信する前記送信先装置毎に、前記擬似送信データを作成することを特徴とする請求項4および請求項5に記載のパケット送受信方法。
【請求項1】
送信先装置に送信されるデータである送信データを受け付けると、前記送信先装置との間で交換された暗号鍵が登録されているか否かを判定し、前記暗号鍵が登録されている場合には、当該暗号鍵を用いて前記送信データを暗号化して前記送信先装置に送信し、前記暗号鍵が登録されていない場合には、当該送信先装置との間で暗号鍵の交換を行って当該暗号鍵を登録する暗号化処理部と、
前記送信データの送信に先立って行われる呼設定要求を制御部から受け付けると、前記送信データと同等の擬似送信データを前記暗号化処理部に通知する代替データ通知部と、
前記擬似送信データを受け入れた前記暗号化処理部によって前記送信先装置との間で暗号鍵の交換が行われて当該暗号鍵が登録されると、前記呼設定要求に対する呼設定が完了した旨を前記制御部に通知する呼設定完了通知部と、
を備えることを特徴とするパケット送受信装置。
【請求項2】
前記代替データ通知部は、前記呼設定要求を前記制御部から受け取ると、送信元に返信を実行する事を要求する情報を含む前記擬似送信データを前記暗号化処理部に通知することを特徴とする請求項1に記載のパケット送受信装置。
【請求項3】
前記代替データ通知部は、前記呼設定要求を前記制御部から受け取ると、前記送信データを受信する前記送信先装置毎に、前記擬似送信データを作成することを特徴とする請求項1および請求項2に記載のパケット送受信装置。
【請求項4】
送信先装置に送信されるデータである送信データの送信に先立って行われる呼設定要求を制御部から受け付けると、前記送信データと同等の擬似送信データを暗号化処理ステップに通知する代替データ通知ステップと、
前記代替データ通知ステップによって通知された前記擬似送信データを受け付けると、前記送信先装置との間で交換された暗号鍵が登録されているか否かを判定し、前記暗号鍵が登録されている場合には、当該暗号鍵を用いて前記擬似送信データを暗号化して前記送信先装置に送信し、前記暗号鍵が登録されていない場合には、当該送信先装置との間で暗号鍵の交換を行って当該暗号鍵を登録する暗号化処理ステップと、
前記擬似送信データを受け入れた前記暗号化処理ステップによって前記送信先装置との間で暗号鍵の交換が行われて当該暗号鍵が登録されると、前記呼設定要求に対する呼設定が完了した旨を前記制御部に通知する呼設定完了通知ステップと、
を含むことを特徴とするパケット送受信方法。
【請求項5】
前記代替データ通知ステップは、前記呼設定要求を前記制御部から受け取ると、送信元に返信を実行する事を要求する情報を含む前記擬似送信データを前記暗号化処理ステップに通知することを特徴とする請求項4に記載のパケット送受信方法。
【請求項6】
前記代替データ通知ステップは、前記呼設定要求を前記制御部から受け取ると、前記送信データを受信する前記送信先装置毎に、前記擬似送信データを作成することを特徴とする請求項4および請求項5に記載のパケット送受信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−278556(P2010−278556A)
【公開日】平成22年12月9日(2010.12.9)
【国際特許分類】
【出願番号】特願2009−126789(P2009−126789)
【出願日】平成21年5月26日(2009.5.26)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成22年12月9日(2010.12.9)
【国際特許分類】
【出願日】平成21年5月26日(2009.5.26)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]