情報中継システム、情報中継装置、方法及びプログラム
【課題】暗号化対応端末と暗号化非対応端末との間で暗号化通信を実現するために、通信接続処理の段階で通信路形成できるようにする。
【解決手段】本発明の情報中継システムは、1又は複数の暗号化対応端末と、1又は複数の暗号化非対応端末とを有するネットワークで、ネットワーク上の端末間の通信接続を制御する通信接続制御手段と、通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末との間の暗号化通信用通信路及び暗号化非対応端末との間の非暗号化通信用通信路を形成する通信路形成手段と、暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継手段とを備えることを特徴とする。
【解決手段】本発明の情報中継システムは、1又は複数の暗号化対応端末と、1又は複数の暗号化非対応端末とを有するネットワークで、ネットワーク上の端末間の通信接続を制御する通信接続制御手段と、通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末との間の暗号化通信用通信路及び暗号化非対応端末との間の非暗号化通信用通信路を形成する通信路形成手段と、暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継手段とを備えることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報中継システム、情報中継装置、方法及びプログラムに関し、例えば、VoIP(Voice Over IP)システムにおける音声暗号化通信を実現する技術に適用し得るものである。
【背景技術】
【0002】
近年、ネットワーク技術の発展に伴い、セキュリティに対する意識が高まり、ネットワークにおける暗号化技術が注目されている。特に、最近では、VoIPシステムの普及により、盗聴防止などを目的とする音声通話の暗号化技術が注目されている。
【0003】
一般に、VoIPシステムにおいて、音声暗号化通信を行なうには、通話を行なう双方の端末が、暗号化通信機能を備えている必要がある。
【0004】
そして、いずれか一方の端末が暗号化通信機能を備えていない場合には、音声暗号化を行なうことができず、暗号化されない通話がなされることとなる。このような課題を解決するために、特許文献1に記載の技術がある。
【0005】
【特許文献1】特開2006−32997号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
一般に、VoIPシステムでは、音声暗号化機能を搭載した最新の端末だけで構成されることは少なく、暗号化機能を搭載する端末とそうでない端末が混在する場合が多い。
【0007】
この暗号化機能を搭載しない端末が使用される理由としては、(1)機種が古い、(2)経済性等の理由から暗号化機能のない端末を採用している、(3)暗号化機能を搭載した機種が入手できない、などの理由が挙げられる。
【0008】
上記のように、暗号化機能を搭載する端末とそうでない端末とが混在するVoIPシステムにおいて暗号化通信を行なう場合に、自身の端末が暗号化機能を搭載しているものであっても、通話する相手の端末が暗号化機能を搭載していなければ、暗号化通信技術を充分に発揮させることができず、セキュリティを確保することができない。
【0009】
また、暗号化通信技術を導入する際には、通話端末間の通信路の形成が必要となるが、具体的な通信路を形成する技術が確立されていない。
【0010】
なお、上記の課題は、音声通信システムだけでなく、画像(静止画像、動画像を含む)やテキストデータ等の通信システムにおいても同様である。
【0011】
そのため、上記課題に鑑み、暗号化機能を備える暗号化対応端末と暗号化機能を備えない暗号化非対応端末との間で通信をする場合であっても、通信接続段階で両端末間の通信路を形成し、当該暗号化対応端末の暗号化技術を十分に発揮させることができる情報中継システム、情報中継装置、方法及びプログラムが求められている。
【課題を解決するための手段】
【0012】
かかる課題を解決するために、第1の本発明の情報中継システムは、暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末とを有するネットワークで、暗号化対応端末と暗号化非対応端末との間で情報を中継する情報中継システムにおいて、(1)ネットワーク上の端末間の通信接続を制御するものであって、通信接続要求する要求元端末と通信接続要求された要求先端末が暗号化対応端末であるか否かを判定する通信接続制御手段と、(2)通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続制御手段による通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段と、(3)暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継手段とを備えることを特徴とする。
【0013】
第2の本発明の情報中継装置は、暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、暗号化対応端末と暗号化非対応端末との間で情報を中継する情報中継装置において、(1)通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続制御手段による通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段と、(2)暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継手段とを備えることを特徴とする。
【0014】
第3の本発明の情報中継方法は、暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、暗号化対応端末と暗号化非対応端末との間で情報を中継する情報中継方法において、コンピュータが通信路形成手段及び中継手段を備え、(1)通信路形成手段が、通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続制御手段による通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成工程と、(2)中継手段が、暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継工程とを有することを特徴とする。
【0015】
第4の本発明の情報中継プログラムは、暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、暗号化対応端末と暗号化非対応端末との間で情報を中継する情報中継プログラムにおいて、コンピュータを、(1)通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続制御手段による通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段、(2)暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継手段として機能させるものである。
【発明の効果】
【0016】
本発明によれば、暗号化機能を備える暗号化対応端末と暗号化機能を備えない暗号化非対応端末との間で通信をする場合であっても、通信接続段階で両端末間の通信路を形成し、当該暗号化対応端末の暗号化技術を十分に発揮させることができる。
【発明を実施するための最良の形態】
【0017】
(A)第1の実施形態
以下では、本発明の情報中継システム、情報中継装置、方法及びプログラムの第1の実施形態について、図面を参照しながら詳細に説明する。
【0018】
第1の実施形態では、例えばSIP(Session Initiation Protocol)を採用したVoIPシステム(ネットワーク)において、本発明を適用した場合の実施形態を例示して説明する。
【0019】
(A−1)第1の実施形態の構成
図2は、第1の実施形態のVoIPシステム1の全体構成を示す全体構成図である。
【0020】
図2において、第1の実施形態のVoIPシステム1は、ネットワーク50に接続する、暗号中継装置10、IP−PBX20、暗号化対応端末30(30−1及び30−2)、暗号化非対応端末40(40−1及び40−2)、を少なくとも有して構成される。
【0021】
なお、VoIPシステム1を構成する各端末30及び40の数は、図2に示す場合に限定されるものではない。
【0022】
ネットワーク50は、有線回線網、無線回線網、又はこれら回線が結合した通信網を広く適用することができる。また、ネットワーク50は、専用網、公衆網、又はこれら通信網が複数接続された通信網を広く適用することができる。さらに、第1の実施形態では、IP(インターネットプロトコル)を通信プロトコルとする場合を例示するが、通信プロトコルは限定されず広く適用することができる。
【0023】
暗号中継装置10は、IP−PBX20により暗号化対応端末30と暗号化非対応端末40との間の呼接続処理の際に、IP−PBX20と連携して、呼接続処理の段階で、暗号化対応端末30と暗号化通信を行なうための暗号化通信用通信路と、暗号化非対応端末40と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成機能を備えるものである。
【0024】
また、暗号中継装置10は、暗号化通信用通信路と非暗号化通信用通信路とを形成した後、暗号化対応端末30と暗号化非対応端末40との間で授受される音声パケットを中継するものである。これにより、暗号中継装置10は、暗号化対応端末30との間では暗号化通信を行ない、暗号化非対応端末40との間では暗号化をしない通信を行なうことができる。
【0025】
なお、暗号中継装置10のハードウェア構成は図示しないが、例えば、通信部、制御部、記憶部(例えば、RAM、ROM、EEPROM等)などを備えており、CPUが、ROMに格納される処理プログラムを処理に必要なデータを用いて実行することにより、暗号中継装置10の機能が実現される。
【0026】
図3は、暗号中継装置10の内部構成を示す内部構成図である。図3において、暗号中継装置10は、IP−PBX I/F部11、通話開始終了管理部22、ポート管理部13、鍵交換処理部14、RTP処理部15、暗号化・復号処理部16、RTP処理部17、を少なくとも有して構成される。
【0027】
IP−PBX I/F部11は、IP−PBX20との通信インターフェースである。
【0028】
通話開始終了管理部12は、IP−PBX I/F部11を介して、IP−PBX20から受け取った情報に基づいて、各通話の開始又は終了を管理するものである。具体的には、通話開始終了管理部12は、IP−PBX20から暗号化中継要求を受けると当該通話の開始と判断し、IP−PBX20から暗号化中継終了指示を受け取ると当該通話の終了と判断する。
【0029】
ポート管理部13は、呼接続に係る暗号化対応端末及び暗号化非対応端末の通信ポートをIP−PBX20から取得し、自装置10の暗号化通信用通信ポート及び非暗号化通信用通信ポートを割り当てるものである。また、ポート管理部13は、暗号化対応端末の通信ポートと暗号化通信用通信ポートとを対応付け、又暗号化非対応端末の通信ポートと非暗号化通信用通信ポートとを対応付け、これらを管理するものである。さらに、ポート管理部13は、暗号化対応端末の通信ポートと暗号化通信用通信ポートとの対応管理情報をRTP処理部15に与えると共に、暗号化非対応端末の通信ポートと非暗号化通信用通信ポートとの対応管理情報をRTP処理部17に与えるものである。これにより、各通信ポート間でのRTP通信を実現させることができる。
【0030】
鍵交換処理部14は、通話に係る暗号化端末30との間で暗号化処理に必要な暗号鍵の交換処理を行なうものである。また、鍵交換処理部14は、暗号化端末30との間で交換した暗号鍵を、暗号化・復号処理部16に与えるものである。
【0031】
暗号化・復号処理部16は、鍵交換処理部14から受け取った暗号鍵を用いて、暗号化対応端末30との間でやり取りする音声パケットの暗号化・復号処理を行なうものである。
【0032】
RTP処理部15及び17は、RTP(Realtime Transport Protocol)に従って、パケット通信処理を行なうものである。
【0033】
IP−PBX20は、端末間の呼制御を行なうものである。IP−PBX20の呼制御方式はSIPを用いた呼制御方式を採用するが、特に限定されるものではなく広く適用することができる。
【0034】
IP−PBX20のハードウェア構成は図示しないが、例えば、通信部、制御部、記憶部(例えば、RAM、ROM、EEPROM等)などを備える。そして、制御部が、ROMに格納される処理プログラムを処理に必要なデータを用いて実行することにより、IP−PBX20の機能は実現される。
【0035】
また、IP−PBX20は、図2に示すように、端末属性判定部21を備えるものである。
【0036】
端末属性判定部21は、通話に係る端末からのSIPパケットを受信すると、そのSIPパケットを解析して、当該端末が暗号化対応端末であるか否かを判定するものである。また、端末属性判定部21は、端末が暗号化対応端末である場合に、暗号化中継要求及び当該端末の通信ポート(例えばRTPポート)を暗号中継装置10に与えるものである。
【0037】
暗号化対応端末30及び暗号化非対応端末40は、VoIP対応の音声通信端末であり、例えば、電話機(携帯電話機を含む概念)、ソフトウェアにより音声通信機能を実現するパーソナルコンピュータなどが該当する。
【0038】
また、暗号化対応端末30は、音声暗号化通信機能を備えるものであり、IP−PBX20に対して呼接続要求をする場合に、暗号情報を含む呼接続要求をIP−PBX20に送信するものである。なお、この呼接続要求は、SIPパケットであるから、通話に係る通信ポート(RTPポート)が含まれている。また、暗号化非対応端末40は、音声暗号化通信機能を備えていないものである。
【0039】
(A−2)第1の実施形態の動作
続いて、第1の実施形態の音声暗号化通信に係る通信路の形成手順について図面を参照して説明する。第1の実施形態の音声暗号化通信に係る通信路の形成を呼接続段階で行なうものである。
【0040】
図1は、第1の実施形態の音声暗号化通信に係る通信路の形成手順を示すシーケンスである。図1では、暗号化対応端末30が暗号化非対応端末40に対して呼接続を行なう場合を例示して説明する。
【0041】
まず、発信元である暗号化対応端末30は、暗号化非対応端末40を宛先とする呼接続要求をIP−PBX20に対して送信する(ステップS1)。
【0042】
暗号化対応端末30からの呼接続要求がIP−PBX20に与えられると、IP−PBX20では、端末属性判定部21によって、通話に係る端末が暗号化対応であるか否かを判断する。そして、一方が暗号化対応端末であって、他方が暗号化非対応端末であると判定した場合、端末属性判定部21は、発信元のRTPポート番号及び暗号化中継要求を暗号中継装置10に送信する(ステップS2)。
【0043】
ここで、端末属性判定部21による判定方法としては、種々の方法を適用することができる。例えば、発信元からの呼接続要求に暗号情報が含まれているか否かを判断する。そして、暗号情報が含まれている場合、当該端末は暗号化対応端末30であると判定する。例えば、図1では、発信元が暗号化対応端末30であるから、端末属性判定部21は、暗号情報を検出することで、暗号化対応端末30であることを判定する。
【0044】
このとき、端末属性判定部21は、暗号化対応端末30からのSIPパケットに含まれている当該端末のRTPポートPbを取得する。そして、端末属性判定部21は、この暗号化対応端末30のRTPポートPb及び暗号化中継要求を、暗号中継装置10に送信する。
【0045】
暗号中継装置10からの暗号化中継要求が暗号中継装置10に与えられると、暗号化中継要求は、通話開始終了管理部12及びポート管理部13に与えられる。そして、ポート管理部13では、発信元の暗号化対応端末30のRTPポートPbを管理すると共に、自装置10のRTPポートが払い出され、このRTPポート番号Pdb及びPdcが暗号化応答としてIP−PBX20に送信される(ステップS3)。
【0046】
なお、RTPポート番号Pdbは暗号化対応端末30と通信するためのRTPポート番号であり、RTPポート番号Pdcは暗号化非対応端末40と通信するためのRTPポート番号である。
【0047】
IP−PBX20は、宛先である暗号化非対応端末40に対して着信要求を行なう。(ステップS4)。このとき、IP−PBX20は、暗号中継装置10から受信したRTPポートPdcを着信要求に付加して、暗号化非対応端末40に送信する。
【0048】
着信要求を受けると、暗号化非対応端末40は、IP−PBX20に対して着信応答を行なう(ステップS5)。このとき、暗号化非対応端末40は、自端末40のRTPポート番号Pcを着信応答に付加して、IP−PBX20に送信する。
【0049】
その後、IP−PBX20は、暗号化非対応端末40のRTPポート番号Pc及び暗号化中継要求を暗号中継装置10に送信する(ステップS6)。
【0050】
IP−PBXからの暗号化中継要求は、通話開始終了管理部12及びポート管理部13に与えられる。通話開始終了管理部12では、発信側と着信側とを対応付けて管理する。また、ポート管理部13では、着信先の暗号化非対応端末40のRTPポートPcを管理する。
【0051】
このとき、ポート管理部13は、暗号化対応端末30のポート番号PbをRTP処理部15に受け渡し、また暗号化非対応端末40のポート番号PcをRTP処理部17に受け渡す。
【0052】
そして、暗号中継装置10は、暗号化応答をIP−PBX20に送信し(ステップS7)、IP−PBX20は、暗号化対応端末30に対して、暗号化非対応端末40の着信応答を送信する(ステップS8)。
【0053】
暗号化非対応端末40の着信応答を受信すると、暗号化対応端末30と暗号中継装置10との間で、暗号化処理に係る暗号化鍵の交換処理を行なう(ステップS9)。このとき、暗号化対応端末30はRTPポートPbを使用し、暗号中継装置10はRTPポートPdbを使用する。なお、暗号化鍵の交換方法は、種々の方法を広く適用することができる。
【0054】
暗号中継装置10において、暗号化鍵の交換処理が終了すると、通話開始終了管理部12は暗号化対応端末30と暗号化非対応端末40との間の通話が開始することを管理する。
【0055】
暗号化対応端末30と暗号化非対応端末40との間で通話が開始すると、音声パケットは、暗号中継装置10を介してやり取りされる(ステップS10〜ステップS13)。
【0056】
図4は、暗号化対応端末30と暗号化非対応端末40との間の音声通信路を説明する説明図である。
【0057】
図4に示すように、暗号化対応端末30と暗号中継装置10との間は暗号通信区間であり、暗号化処理がなされた音声パケットが授受される。一方、暗号化非対応端末40と暗号中継装置10との間は非暗号通信区間であり、暗号化処理がなされずに音声パケットが授受される。
【0058】
このとき、暗号化対応端末30と暗号中継装置10との間の通信では、暗号化対応端末30はRTPポートPbを使用し、暗号中継装置10はRTPポートPdbを使用する。また、暗号化非対応端末40と暗号中継装置10との間の通信では、暗号化非対応端末40はRTPポートPcを使用し、暗号中継装置10はRTPポートPdcを使用する。
【0059】
以上のようにして、暗号化対応端末30と暗号化非対応端末40との間の通話が行なわれる。
【0060】
その後、両端末30及び40間の通話が終了すると、いずれかの端末(図1では暗号化対応端末30)から切断要求がIP−PBX20に送信され(ステップS14)、IP−PBX20は、通信相手端末(図1では暗号化非対応端末40)に対して切断要求を送信する(ステップS15)。
【0061】
これを受けて、暗号化非対応端末40から送信された切断応答は、IP−PBX20を介して、暗号化対応端末30の送信される(ステップS16及びS17)。これにより、両端末30及び40間の通話は切断される。
【0062】
その後、IP−PBX20は、暗号化中継終了を暗号中継装置10に指示する(ステップS18)。これを受けて、暗号中継装置10では、通話開始終了管理部12が当該通話に係る暗号中継を終了し、IP−PBX20に対して暗号化中継終了を応答する(ステップS19)。
【0063】
(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、呼接続段階で、IP−PBXと暗号中継装置との間で連携することで、暗号化対応端末と暗号化非対応端末との間の音声通信路を形成することができるので、両端末間の暗号化通信を実現することができる。
【0064】
また、第1の実施形態によれば、RTPポートベースで暗号化・復号処理を行なうことができる。
【0065】
(B)他の実施形態
以上の第1の実施形態においても種々の変形実施形態を例示して説明したが、その他の変形実施形態について説明する。
【0066】
(B−1)第1の実施形態では、VoIPシステム等の音声通信システムに本発明を適用した場合を例示したが、音声通信に限らず、例えば、静止画、動画などを通信する映像通信システやテキストデータを通信する通信システムなどにおいても、本発明を適用することができる。
【0067】
(B−2)第1の実施形態の変形実施形態として、図5に示すような通信システムにも本発明を適用することができる。
【0068】
図5は、変形実施形態の通信システム9の全体構成を示す全体構成図である。図5に示す通信システム9は、図2に示す暗号化非対応端末の代わりに、暗号化非対応多チャンネル回線収容装置50を備えるものである。
【0069】
この暗号化非対応多チャンネル回線収容装置50は、図示しない公衆回線と接続可能なものであり、複数のチャネルを収容する収容装置である。このように、複数のチャネルについて暗号化・復号処理が必要な回線収容装置50と通信する場合に本発明を適用することで、第1の実施形態の効果を有効に奏することができる。
【0070】
この場合、暗号化非対応多チャンネル回線収容装置50が多チャンネルを収容するものであるが、暗号化非対応多チャンネル回線収容装置50が1個のRTPポートを使用することで、暗号化非対応多チャンネル回線収容装置50と暗号中継装置10との間の通信路を単純に形成することができる。
【0071】
(B−3)第1の実施形態において、端末属性判定部21による暗号化対応か否かを判定する方法として、SIPメッセージ(呼接続要求)に暗号情報が含まれているか否かにより判定する場合を例示したが、これ以外の方法を適用することができる。
【0072】
例えば、各端末が暗号化対応であるか否かを端末識別情報(例えばIPアドレスなど)と対応付けたテーブルを予め設定しておき、SIPメッセージの発信元のIPアドレス及び/又は宛先IPアドレスに基づいて、当該呼の両端末が暗号化対応であるか否かを判定するようにしてもよい。なお、この場合、学習機能を備え、上記テーブルの内容を更新可能なようにしてもよい。
【0073】
(B−4)図1では、暗号化対応端末が呼接続要求する場合を例示して説明したが、暗号化非対応端末が呼接続要求する場合にも同様に適用することができる。この場合、図1に示す手順とは異なる手順を適用することができる。
【0074】
例えば、この場合、IP−PBXは、発信元(暗号化非対応端末)からの呼接続要求を宛先(暗号化対応端末)に送信し、その後、宛先(暗号化対応端末)からSIP応答を受信したときに、一方が暗号化非対応であり他方が暗号化対応であると判定することができる。
【0075】
そこで、IP−PBXは、この判定をした後に、両端末のRTPポート番号Pb及びPcと共に、暗号化中継要求を暗号中継装置にするようにする。
【0076】
そして、暗号中継装置は、自装置のRTPポートPdb及びPdcを暗号化応答と共にIP−PBXに応答し、その後、暗号化対応端末及び暗号化非対応端末にRTPポートPdb及びPdcを送信する。なお、その後の処理は、ステップS9〜S19の処理と同様の処理を適用できる。
【0077】
(B−5)第1の実施形態では、2端末間の音声通信を例示して説明したが、例えば、3者通話のように、3台以上の端末間の音声通信にも本発明を適用することができる。
【0078】
(B−6)第1の実施形態では、暗号中継装置の各種機能構成が物理的に同一の装置内に搭載される場合を例示して説明したが、第1の実施形態で説明した処理を実現できるのであれば、暗号中継装置の各種機能構成がそれぞれ別の装置により分散的に行なわれるようにしてもよい。
【0079】
(B−7)第1の実施形態では、暗号中継装置の各種機能はソフトウェア処理により実現されるものとして説明したが、可能であれば、ハードウェアにより実現されるものとしてもよい。
【図面の簡単な説明】
【0080】
【図1】第1の実施形態の音声通信路を形成するシーケンスである。
【図2】第1の実施形態の音声通信システムの全体構成を示す全体構成図である。
【図3】第1の実施形態の音号中継装置の内部構成を示す内部構成図である。
【図4】第1の実施形態の音声パケットの通信路の様子を説明する説明図である。
【図5】変形実施形態の音声通信システムの全体構成を示す全体構成図である。
【符号の説明】
【0081】
1、9…音声通信システム、10…音声中継装置、20…IP−PBX、30(30−1〜30−3)…暗号化対応端末、40(40−1、40−2)…暗号化非対応端末、11…IP−PBX I/F部、12…通話開始終了管理部、13…ポート管理部、14…鍵交換処理部、15及び17…RTP処理部、16…暗号化・復号処理部。
【技術分野】
【0001】
本発明は、情報中継システム、情報中継装置、方法及びプログラムに関し、例えば、VoIP(Voice Over IP)システムにおける音声暗号化通信を実現する技術に適用し得るものである。
【背景技術】
【0002】
近年、ネットワーク技術の発展に伴い、セキュリティに対する意識が高まり、ネットワークにおける暗号化技術が注目されている。特に、最近では、VoIPシステムの普及により、盗聴防止などを目的とする音声通話の暗号化技術が注目されている。
【0003】
一般に、VoIPシステムにおいて、音声暗号化通信を行なうには、通話を行なう双方の端末が、暗号化通信機能を備えている必要がある。
【0004】
そして、いずれか一方の端末が暗号化通信機能を備えていない場合には、音声暗号化を行なうことができず、暗号化されない通話がなされることとなる。このような課題を解決するために、特許文献1に記載の技術がある。
【0005】
【特許文献1】特開2006−32997号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
一般に、VoIPシステムでは、音声暗号化機能を搭載した最新の端末だけで構成されることは少なく、暗号化機能を搭載する端末とそうでない端末が混在する場合が多い。
【0007】
この暗号化機能を搭載しない端末が使用される理由としては、(1)機種が古い、(2)経済性等の理由から暗号化機能のない端末を採用している、(3)暗号化機能を搭載した機種が入手できない、などの理由が挙げられる。
【0008】
上記のように、暗号化機能を搭載する端末とそうでない端末とが混在するVoIPシステムにおいて暗号化通信を行なう場合に、自身の端末が暗号化機能を搭載しているものであっても、通話する相手の端末が暗号化機能を搭載していなければ、暗号化通信技術を充分に発揮させることができず、セキュリティを確保することができない。
【0009】
また、暗号化通信技術を導入する際には、通話端末間の通信路の形成が必要となるが、具体的な通信路を形成する技術が確立されていない。
【0010】
なお、上記の課題は、音声通信システムだけでなく、画像(静止画像、動画像を含む)やテキストデータ等の通信システムにおいても同様である。
【0011】
そのため、上記課題に鑑み、暗号化機能を備える暗号化対応端末と暗号化機能を備えない暗号化非対応端末との間で通信をする場合であっても、通信接続段階で両端末間の通信路を形成し、当該暗号化対応端末の暗号化技術を十分に発揮させることができる情報中継システム、情報中継装置、方法及びプログラムが求められている。
【課題を解決するための手段】
【0012】
かかる課題を解決するために、第1の本発明の情報中継システムは、暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末とを有するネットワークで、暗号化対応端末と暗号化非対応端末との間で情報を中継する情報中継システムにおいて、(1)ネットワーク上の端末間の通信接続を制御するものであって、通信接続要求する要求元端末と通信接続要求された要求先端末が暗号化対応端末であるか否かを判定する通信接続制御手段と、(2)通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続制御手段による通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段と、(3)暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継手段とを備えることを特徴とする。
【0013】
第2の本発明の情報中継装置は、暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、暗号化対応端末と暗号化非対応端末との間で情報を中継する情報中継装置において、(1)通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続制御手段による通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段と、(2)暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継手段とを備えることを特徴とする。
【0014】
第3の本発明の情報中継方法は、暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、暗号化対応端末と暗号化非対応端末との間で情報を中継する情報中継方法において、コンピュータが通信路形成手段及び中継手段を備え、(1)通信路形成手段が、通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続制御手段による通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成工程と、(2)中継手段が、暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継工程とを有することを特徴とする。
【0015】
第4の本発明の情報中継プログラムは、暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、暗号化対応端末と暗号化非対応端末との間で情報を中継する情報中継プログラムにおいて、コンピュータを、(1)通信接続制御手段により暗号化対応端末と暗号化非対応端末との間の通信であると判定された場合、通信接続制御手段による通信接続処理の際に、通信接続制御手段を介して、暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段、(2)暗号化通信用通信路及び非暗号化通信用通信路の形成後、暗号化対応端末との間で暗号化通信を行なうと共に、暗号化非対応端末との間で非暗号化通信を行なう中継手段として機能させるものである。
【発明の効果】
【0016】
本発明によれば、暗号化機能を備える暗号化対応端末と暗号化機能を備えない暗号化非対応端末との間で通信をする場合であっても、通信接続段階で両端末間の通信路を形成し、当該暗号化対応端末の暗号化技術を十分に発揮させることができる。
【発明を実施するための最良の形態】
【0017】
(A)第1の実施形態
以下では、本発明の情報中継システム、情報中継装置、方法及びプログラムの第1の実施形態について、図面を参照しながら詳細に説明する。
【0018】
第1の実施形態では、例えばSIP(Session Initiation Protocol)を採用したVoIPシステム(ネットワーク)において、本発明を適用した場合の実施形態を例示して説明する。
【0019】
(A−1)第1の実施形態の構成
図2は、第1の実施形態のVoIPシステム1の全体構成を示す全体構成図である。
【0020】
図2において、第1の実施形態のVoIPシステム1は、ネットワーク50に接続する、暗号中継装置10、IP−PBX20、暗号化対応端末30(30−1及び30−2)、暗号化非対応端末40(40−1及び40−2)、を少なくとも有して構成される。
【0021】
なお、VoIPシステム1を構成する各端末30及び40の数は、図2に示す場合に限定されるものではない。
【0022】
ネットワーク50は、有線回線網、無線回線網、又はこれら回線が結合した通信網を広く適用することができる。また、ネットワーク50は、専用網、公衆網、又はこれら通信網が複数接続された通信網を広く適用することができる。さらに、第1の実施形態では、IP(インターネットプロトコル)を通信プロトコルとする場合を例示するが、通信プロトコルは限定されず広く適用することができる。
【0023】
暗号中継装置10は、IP−PBX20により暗号化対応端末30と暗号化非対応端末40との間の呼接続処理の際に、IP−PBX20と連携して、呼接続処理の段階で、暗号化対応端末30と暗号化通信を行なうための暗号化通信用通信路と、暗号化非対応端末40と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成機能を備えるものである。
【0024】
また、暗号中継装置10は、暗号化通信用通信路と非暗号化通信用通信路とを形成した後、暗号化対応端末30と暗号化非対応端末40との間で授受される音声パケットを中継するものである。これにより、暗号中継装置10は、暗号化対応端末30との間では暗号化通信を行ない、暗号化非対応端末40との間では暗号化をしない通信を行なうことができる。
【0025】
なお、暗号中継装置10のハードウェア構成は図示しないが、例えば、通信部、制御部、記憶部(例えば、RAM、ROM、EEPROM等)などを備えており、CPUが、ROMに格納される処理プログラムを処理に必要なデータを用いて実行することにより、暗号中継装置10の機能が実現される。
【0026】
図3は、暗号中継装置10の内部構成を示す内部構成図である。図3において、暗号中継装置10は、IP−PBX I/F部11、通話開始終了管理部22、ポート管理部13、鍵交換処理部14、RTP処理部15、暗号化・復号処理部16、RTP処理部17、を少なくとも有して構成される。
【0027】
IP−PBX I/F部11は、IP−PBX20との通信インターフェースである。
【0028】
通話開始終了管理部12は、IP−PBX I/F部11を介して、IP−PBX20から受け取った情報に基づいて、各通話の開始又は終了を管理するものである。具体的には、通話開始終了管理部12は、IP−PBX20から暗号化中継要求を受けると当該通話の開始と判断し、IP−PBX20から暗号化中継終了指示を受け取ると当該通話の終了と判断する。
【0029】
ポート管理部13は、呼接続に係る暗号化対応端末及び暗号化非対応端末の通信ポートをIP−PBX20から取得し、自装置10の暗号化通信用通信ポート及び非暗号化通信用通信ポートを割り当てるものである。また、ポート管理部13は、暗号化対応端末の通信ポートと暗号化通信用通信ポートとを対応付け、又暗号化非対応端末の通信ポートと非暗号化通信用通信ポートとを対応付け、これらを管理するものである。さらに、ポート管理部13は、暗号化対応端末の通信ポートと暗号化通信用通信ポートとの対応管理情報をRTP処理部15に与えると共に、暗号化非対応端末の通信ポートと非暗号化通信用通信ポートとの対応管理情報をRTP処理部17に与えるものである。これにより、各通信ポート間でのRTP通信を実現させることができる。
【0030】
鍵交換処理部14は、通話に係る暗号化端末30との間で暗号化処理に必要な暗号鍵の交換処理を行なうものである。また、鍵交換処理部14は、暗号化端末30との間で交換した暗号鍵を、暗号化・復号処理部16に与えるものである。
【0031】
暗号化・復号処理部16は、鍵交換処理部14から受け取った暗号鍵を用いて、暗号化対応端末30との間でやり取りする音声パケットの暗号化・復号処理を行なうものである。
【0032】
RTP処理部15及び17は、RTP(Realtime Transport Protocol)に従って、パケット通信処理を行なうものである。
【0033】
IP−PBX20は、端末間の呼制御を行なうものである。IP−PBX20の呼制御方式はSIPを用いた呼制御方式を採用するが、特に限定されるものではなく広く適用することができる。
【0034】
IP−PBX20のハードウェア構成は図示しないが、例えば、通信部、制御部、記憶部(例えば、RAM、ROM、EEPROM等)などを備える。そして、制御部が、ROMに格納される処理プログラムを処理に必要なデータを用いて実行することにより、IP−PBX20の機能は実現される。
【0035】
また、IP−PBX20は、図2に示すように、端末属性判定部21を備えるものである。
【0036】
端末属性判定部21は、通話に係る端末からのSIPパケットを受信すると、そのSIPパケットを解析して、当該端末が暗号化対応端末であるか否かを判定するものである。また、端末属性判定部21は、端末が暗号化対応端末である場合に、暗号化中継要求及び当該端末の通信ポート(例えばRTPポート)を暗号中継装置10に与えるものである。
【0037】
暗号化対応端末30及び暗号化非対応端末40は、VoIP対応の音声通信端末であり、例えば、電話機(携帯電話機を含む概念)、ソフトウェアにより音声通信機能を実現するパーソナルコンピュータなどが該当する。
【0038】
また、暗号化対応端末30は、音声暗号化通信機能を備えるものであり、IP−PBX20に対して呼接続要求をする場合に、暗号情報を含む呼接続要求をIP−PBX20に送信するものである。なお、この呼接続要求は、SIPパケットであるから、通話に係る通信ポート(RTPポート)が含まれている。また、暗号化非対応端末40は、音声暗号化通信機能を備えていないものである。
【0039】
(A−2)第1の実施形態の動作
続いて、第1の実施形態の音声暗号化通信に係る通信路の形成手順について図面を参照して説明する。第1の実施形態の音声暗号化通信に係る通信路の形成を呼接続段階で行なうものである。
【0040】
図1は、第1の実施形態の音声暗号化通信に係る通信路の形成手順を示すシーケンスである。図1では、暗号化対応端末30が暗号化非対応端末40に対して呼接続を行なう場合を例示して説明する。
【0041】
まず、発信元である暗号化対応端末30は、暗号化非対応端末40を宛先とする呼接続要求をIP−PBX20に対して送信する(ステップS1)。
【0042】
暗号化対応端末30からの呼接続要求がIP−PBX20に与えられると、IP−PBX20では、端末属性判定部21によって、通話に係る端末が暗号化対応であるか否かを判断する。そして、一方が暗号化対応端末であって、他方が暗号化非対応端末であると判定した場合、端末属性判定部21は、発信元のRTPポート番号及び暗号化中継要求を暗号中継装置10に送信する(ステップS2)。
【0043】
ここで、端末属性判定部21による判定方法としては、種々の方法を適用することができる。例えば、発信元からの呼接続要求に暗号情報が含まれているか否かを判断する。そして、暗号情報が含まれている場合、当該端末は暗号化対応端末30であると判定する。例えば、図1では、発信元が暗号化対応端末30であるから、端末属性判定部21は、暗号情報を検出することで、暗号化対応端末30であることを判定する。
【0044】
このとき、端末属性判定部21は、暗号化対応端末30からのSIPパケットに含まれている当該端末のRTPポートPbを取得する。そして、端末属性判定部21は、この暗号化対応端末30のRTPポートPb及び暗号化中継要求を、暗号中継装置10に送信する。
【0045】
暗号中継装置10からの暗号化中継要求が暗号中継装置10に与えられると、暗号化中継要求は、通話開始終了管理部12及びポート管理部13に与えられる。そして、ポート管理部13では、発信元の暗号化対応端末30のRTPポートPbを管理すると共に、自装置10のRTPポートが払い出され、このRTPポート番号Pdb及びPdcが暗号化応答としてIP−PBX20に送信される(ステップS3)。
【0046】
なお、RTPポート番号Pdbは暗号化対応端末30と通信するためのRTPポート番号であり、RTPポート番号Pdcは暗号化非対応端末40と通信するためのRTPポート番号である。
【0047】
IP−PBX20は、宛先である暗号化非対応端末40に対して着信要求を行なう。(ステップS4)。このとき、IP−PBX20は、暗号中継装置10から受信したRTPポートPdcを着信要求に付加して、暗号化非対応端末40に送信する。
【0048】
着信要求を受けると、暗号化非対応端末40は、IP−PBX20に対して着信応答を行なう(ステップS5)。このとき、暗号化非対応端末40は、自端末40のRTPポート番号Pcを着信応答に付加して、IP−PBX20に送信する。
【0049】
その後、IP−PBX20は、暗号化非対応端末40のRTPポート番号Pc及び暗号化中継要求を暗号中継装置10に送信する(ステップS6)。
【0050】
IP−PBXからの暗号化中継要求は、通話開始終了管理部12及びポート管理部13に与えられる。通話開始終了管理部12では、発信側と着信側とを対応付けて管理する。また、ポート管理部13では、着信先の暗号化非対応端末40のRTPポートPcを管理する。
【0051】
このとき、ポート管理部13は、暗号化対応端末30のポート番号PbをRTP処理部15に受け渡し、また暗号化非対応端末40のポート番号PcをRTP処理部17に受け渡す。
【0052】
そして、暗号中継装置10は、暗号化応答をIP−PBX20に送信し(ステップS7)、IP−PBX20は、暗号化対応端末30に対して、暗号化非対応端末40の着信応答を送信する(ステップS8)。
【0053】
暗号化非対応端末40の着信応答を受信すると、暗号化対応端末30と暗号中継装置10との間で、暗号化処理に係る暗号化鍵の交換処理を行なう(ステップS9)。このとき、暗号化対応端末30はRTPポートPbを使用し、暗号中継装置10はRTPポートPdbを使用する。なお、暗号化鍵の交換方法は、種々の方法を広く適用することができる。
【0054】
暗号中継装置10において、暗号化鍵の交換処理が終了すると、通話開始終了管理部12は暗号化対応端末30と暗号化非対応端末40との間の通話が開始することを管理する。
【0055】
暗号化対応端末30と暗号化非対応端末40との間で通話が開始すると、音声パケットは、暗号中継装置10を介してやり取りされる(ステップS10〜ステップS13)。
【0056】
図4は、暗号化対応端末30と暗号化非対応端末40との間の音声通信路を説明する説明図である。
【0057】
図4に示すように、暗号化対応端末30と暗号中継装置10との間は暗号通信区間であり、暗号化処理がなされた音声パケットが授受される。一方、暗号化非対応端末40と暗号中継装置10との間は非暗号通信区間であり、暗号化処理がなされずに音声パケットが授受される。
【0058】
このとき、暗号化対応端末30と暗号中継装置10との間の通信では、暗号化対応端末30はRTPポートPbを使用し、暗号中継装置10はRTPポートPdbを使用する。また、暗号化非対応端末40と暗号中継装置10との間の通信では、暗号化非対応端末40はRTPポートPcを使用し、暗号中継装置10はRTPポートPdcを使用する。
【0059】
以上のようにして、暗号化対応端末30と暗号化非対応端末40との間の通話が行なわれる。
【0060】
その後、両端末30及び40間の通話が終了すると、いずれかの端末(図1では暗号化対応端末30)から切断要求がIP−PBX20に送信され(ステップS14)、IP−PBX20は、通信相手端末(図1では暗号化非対応端末40)に対して切断要求を送信する(ステップS15)。
【0061】
これを受けて、暗号化非対応端末40から送信された切断応答は、IP−PBX20を介して、暗号化対応端末30の送信される(ステップS16及びS17)。これにより、両端末30及び40間の通話は切断される。
【0062】
その後、IP−PBX20は、暗号化中継終了を暗号中継装置10に指示する(ステップS18)。これを受けて、暗号中継装置10では、通話開始終了管理部12が当該通話に係る暗号中継を終了し、IP−PBX20に対して暗号化中継終了を応答する(ステップS19)。
【0063】
(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、呼接続段階で、IP−PBXと暗号中継装置との間で連携することで、暗号化対応端末と暗号化非対応端末との間の音声通信路を形成することができるので、両端末間の暗号化通信を実現することができる。
【0064】
また、第1の実施形態によれば、RTPポートベースで暗号化・復号処理を行なうことができる。
【0065】
(B)他の実施形態
以上の第1の実施形態においても種々の変形実施形態を例示して説明したが、その他の変形実施形態について説明する。
【0066】
(B−1)第1の実施形態では、VoIPシステム等の音声通信システムに本発明を適用した場合を例示したが、音声通信に限らず、例えば、静止画、動画などを通信する映像通信システやテキストデータを通信する通信システムなどにおいても、本発明を適用することができる。
【0067】
(B−2)第1の実施形態の変形実施形態として、図5に示すような通信システムにも本発明を適用することができる。
【0068】
図5は、変形実施形態の通信システム9の全体構成を示す全体構成図である。図5に示す通信システム9は、図2に示す暗号化非対応端末の代わりに、暗号化非対応多チャンネル回線収容装置50を備えるものである。
【0069】
この暗号化非対応多チャンネル回線収容装置50は、図示しない公衆回線と接続可能なものであり、複数のチャネルを収容する収容装置である。このように、複数のチャネルについて暗号化・復号処理が必要な回線収容装置50と通信する場合に本発明を適用することで、第1の実施形態の効果を有効に奏することができる。
【0070】
この場合、暗号化非対応多チャンネル回線収容装置50が多チャンネルを収容するものであるが、暗号化非対応多チャンネル回線収容装置50が1個のRTPポートを使用することで、暗号化非対応多チャンネル回線収容装置50と暗号中継装置10との間の通信路を単純に形成することができる。
【0071】
(B−3)第1の実施形態において、端末属性判定部21による暗号化対応か否かを判定する方法として、SIPメッセージ(呼接続要求)に暗号情報が含まれているか否かにより判定する場合を例示したが、これ以外の方法を適用することができる。
【0072】
例えば、各端末が暗号化対応であるか否かを端末識別情報(例えばIPアドレスなど)と対応付けたテーブルを予め設定しておき、SIPメッセージの発信元のIPアドレス及び/又は宛先IPアドレスに基づいて、当該呼の両端末が暗号化対応であるか否かを判定するようにしてもよい。なお、この場合、学習機能を備え、上記テーブルの内容を更新可能なようにしてもよい。
【0073】
(B−4)図1では、暗号化対応端末が呼接続要求する場合を例示して説明したが、暗号化非対応端末が呼接続要求する場合にも同様に適用することができる。この場合、図1に示す手順とは異なる手順を適用することができる。
【0074】
例えば、この場合、IP−PBXは、発信元(暗号化非対応端末)からの呼接続要求を宛先(暗号化対応端末)に送信し、その後、宛先(暗号化対応端末)からSIP応答を受信したときに、一方が暗号化非対応であり他方が暗号化対応であると判定することができる。
【0075】
そこで、IP−PBXは、この判定をした後に、両端末のRTPポート番号Pb及びPcと共に、暗号化中継要求を暗号中継装置にするようにする。
【0076】
そして、暗号中継装置は、自装置のRTPポートPdb及びPdcを暗号化応答と共にIP−PBXに応答し、その後、暗号化対応端末及び暗号化非対応端末にRTPポートPdb及びPdcを送信する。なお、その後の処理は、ステップS9〜S19の処理と同様の処理を適用できる。
【0077】
(B−5)第1の実施形態では、2端末間の音声通信を例示して説明したが、例えば、3者通話のように、3台以上の端末間の音声通信にも本発明を適用することができる。
【0078】
(B−6)第1の実施形態では、暗号中継装置の各種機能構成が物理的に同一の装置内に搭載される場合を例示して説明したが、第1の実施形態で説明した処理を実現できるのであれば、暗号中継装置の各種機能構成がそれぞれ別の装置により分散的に行なわれるようにしてもよい。
【0079】
(B−7)第1の実施形態では、暗号中継装置の各種機能はソフトウェア処理により実現されるものとして説明したが、可能であれば、ハードウェアにより実現されるものとしてもよい。
【図面の簡単な説明】
【0080】
【図1】第1の実施形態の音声通信路を形成するシーケンスである。
【図2】第1の実施形態の音声通信システムの全体構成を示す全体構成図である。
【図3】第1の実施形態の音号中継装置の内部構成を示す内部構成図である。
【図4】第1の実施形態の音声パケットの通信路の様子を説明する説明図である。
【図5】変形実施形態の音声通信システムの全体構成を示す全体構成図である。
【符号の説明】
【0081】
1、9…音声通信システム、10…音声中継装置、20…IP−PBX、30(30−1〜30−3)…暗号化対応端末、40(40−1、40−2)…暗号化非対応端末、11…IP−PBX I/F部、12…通話開始終了管理部、13…ポート管理部、14…鍵交換処理部、15及び17…RTP処理部、16…暗号化・復号処理部。
【特許請求の範囲】
【請求項1】
暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末とを有するネットワークで、上記暗号化対応端末と上記暗号化非対応端末との間で情報を中継する情報中継システムにおいて、
上記ネットワーク上の端末間の通信接続を制御するものであって、通信接続要求する要求元端末と通信接続要求された要求先端末が暗号化対応端末であるか否かを判定する通信接続制御手段と、
上記通信接続制御手段により上記暗号化対応端末と上記暗号化非対応端末との間の通信であると判定された場合、上記通信接続制御手段による通信接続処理の際に、上記通信接続制御手段を介して、上記暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び上記暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段と、
上記暗号化通信用通信路及び上記非暗号化通信用通信路の形成後、上記暗号化対応端末との間で暗号化通信を行なうと共に、上記暗号化非対応端末との間で非暗号化通信を行なう中継手段と
を備えることを特徴とする情報中継システム。
【請求項2】
上記通信路形成手段が、
上記通信接続手段による通信接続処理で取得した、上記暗号化対応端末の通信ポート及び上記暗号化非対応端末の通信ポートを取得する端末通信ポート管理部と、
暗号化通信用通信ポート及び非暗号化通信用通信ポートを割り当て、これら上記暗号化通信用通信ポート及び上記非暗号化通信用通信ポートを、上記通信接続手段を介して、上記暗号化対応端末及び上記暗号化非対応端末に与える通信ポート割当部と、
上記暗号化対応端末の通信ポートと上記暗号化通信用通信ポートとの対応付けを行なうと共に、上記暗号化非対応端末の通信ポートと上記非暗号化通信用通信ポートとの対応付けを行なうポート管理部と
を有することを特徴とする請求項1に記載の情報中継システム。
【請求項3】
上記中継手段が、
上記暗号化対応端末との間で所定の暗号化鍵の交換処理を行なう暗号化鍵交換部と、
上記暗号化鍵を用いて上記暗号化端末との間の暗号化処理及び復号処理を行なう暗号処理部と
を有することを特徴とする請求項1又は請求項2に記載の情報中継システム。
【請求項4】
上記通信接続制御手段が、通信接続に係る制御信号を解析し、暗号情報の有無に基づいて上記暗号化対応端末であるか否かを判定する端末判定部を有することを特徴とする請求項1〜3のいずれかに記載の情報中継システム。
【請求項5】
暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、上記暗号化対応端末と上記暗号化非対応端末との間で情報を中継する情報中継装置において、
上記通信接続制御手段により上記暗号化対応端末と上記暗号化非対応端末との間の通信であると判定された場合、上記通信接続制御手段による通信接続処理の際に、上記通信接続制御手段を介して、上記暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び上記暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段と、
上記暗号化通信用通信路及び上記非暗号化通信用通信路の形成後、上記暗号化対応端末との間で暗号化通信を行なうと共に、上記暗号化非対応端末との間で非暗号化通信を行なう中継手段と
を備えることを特徴とする情報中継装置。
【請求項6】
暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、上記暗号化対応端末と上記暗号化非対応端末との間で情報を中継する情報中継方法において、
コンピュータが通信路形成手段及び中継手段を備え、
上記通信路形成手段が、上記通信接続制御手段により上記暗号化対応端末と上記暗号化非対応端末との間の通信であると判定された場合、上記通信接続制御手段による通信接続処理の際に、上記通信接続制御手段を介して、上記暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び上記暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成工程と、
上記中継手段が、上記暗号化通信用通信路及び上記非暗号化通信用通信路の形成後、上記暗号化対応端末との間で暗号化通信を行なうと共に、上記暗号化非対応端末との間で非暗号化通信を行なう中継工程と
を有することを特徴とする情報中継方法。
【請求項7】
暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、上記暗号化対応端末と上記暗号化非対応端末との間で情報を中継する情報中継プログラムにおいて、
コンピュータを、
上記通信接続制御手段により上記暗号化対応端末と上記暗号化非対応端末との間の通信であると判定された場合、上記通信接続制御手段による通信接続処理の際に、上記通信接続制御手段を介して、上記暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び上記暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段、
上記暗号化通信用通信路及び上記非暗号化通信用通信路の形成後、上記暗号化対応端末との間で暗号化通信を行なうと共に、上記暗号化非対応端末との間で非暗号化通信を行なう中継手段
として機能させる情報中継プログラム。
【請求項1】
暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末とを有するネットワークで、上記暗号化対応端末と上記暗号化非対応端末との間で情報を中継する情報中継システムにおいて、
上記ネットワーク上の端末間の通信接続を制御するものであって、通信接続要求する要求元端末と通信接続要求された要求先端末が暗号化対応端末であるか否かを判定する通信接続制御手段と、
上記通信接続制御手段により上記暗号化対応端末と上記暗号化非対応端末との間の通信であると判定された場合、上記通信接続制御手段による通信接続処理の際に、上記通信接続制御手段を介して、上記暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び上記暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段と、
上記暗号化通信用通信路及び上記非暗号化通信用通信路の形成後、上記暗号化対応端末との間で暗号化通信を行なうと共に、上記暗号化非対応端末との間で非暗号化通信を行なう中継手段と
を備えることを特徴とする情報中継システム。
【請求項2】
上記通信路形成手段が、
上記通信接続手段による通信接続処理で取得した、上記暗号化対応端末の通信ポート及び上記暗号化非対応端末の通信ポートを取得する端末通信ポート管理部と、
暗号化通信用通信ポート及び非暗号化通信用通信ポートを割り当て、これら上記暗号化通信用通信ポート及び上記非暗号化通信用通信ポートを、上記通信接続手段を介して、上記暗号化対応端末及び上記暗号化非対応端末に与える通信ポート割当部と、
上記暗号化対応端末の通信ポートと上記暗号化通信用通信ポートとの対応付けを行なうと共に、上記暗号化非対応端末の通信ポートと上記非暗号化通信用通信ポートとの対応付けを行なうポート管理部と
を有することを特徴とする請求項1に記載の情報中継システム。
【請求項3】
上記中継手段が、
上記暗号化対応端末との間で所定の暗号化鍵の交換処理を行なう暗号化鍵交換部と、
上記暗号化鍵を用いて上記暗号化端末との間の暗号化処理及び復号処理を行なう暗号処理部と
を有することを特徴とする請求項1又は請求項2に記載の情報中継システム。
【請求項4】
上記通信接続制御手段が、通信接続に係る制御信号を解析し、暗号情報の有無に基づいて上記暗号化対応端末であるか否かを判定する端末判定部を有することを特徴とする請求項1〜3のいずれかに記載の情報中継システム。
【請求項5】
暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、上記暗号化対応端末と上記暗号化非対応端末との間で情報を中継する情報中継装置において、
上記通信接続制御手段により上記暗号化対応端末と上記暗号化非対応端末との間の通信であると判定された場合、上記通信接続制御手段による通信接続処理の際に、上記通信接続制御手段を介して、上記暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び上記暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段と、
上記暗号化通信用通信路及び上記非暗号化通信用通信路の形成後、上記暗号化対応端末との間で暗号化通信を行なうと共に、上記暗号化非対応端末との間で非暗号化通信を行なう中継手段と
を備えることを特徴とする情報中継装置。
【請求項6】
暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、上記暗号化対応端末と上記暗号化非対応端末との間で情報を中継する情報中継方法において、
コンピュータが通信路形成手段及び中継手段を備え、
上記通信路形成手段が、上記通信接続制御手段により上記暗号化対応端末と上記暗号化非対応端末との間の通信であると判定された場合、上記通信接続制御手段による通信接続処理の際に、上記通信接続制御手段を介して、上記暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び上記暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成工程と、
上記中継手段が、上記暗号化通信用通信路及び上記非暗号化通信用通信路の形成後、上記暗号化対応端末との間で暗号化通信を行なうと共に、上記暗号化非対応端末との間で非暗号化通信を行なう中継工程と
を有することを特徴とする情報中継方法。
【請求項7】
暗号化機能を備える1又は複数の暗号化対応端末と、暗号化機能を備えない1又は複数の暗号化非対応端末と、通信接続手段とを有するネットワークで、上記暗号化対応端末と上記暗号化非対応端末との間で情報を中継する情報中継プログラムにおいて、
コンピュータを、
上記通信接続制御手段により上記暗号化対応端末と上記暗号化非対応端末との間の通信であると判定された場合、上記通信接続制御手段による通信接続処理の際に、上記通信接続制御手段を介して、上記暗号化対応端末と暗号化通信を行なうための暗号化通信用通信路及び上記暗号化非対応端末と非暗号化通信を行なうための非暗号化通信用通信路を形成する通信路形成手段、
上記暗号化通信用通信路及び上記非暗号化通信用通信路の形成後、上記暗号化対応端末との間で暗号化通信を行なうと共に、上記暗号化非対応端末との間で非暗号化通信を行なう中継手段
として機能させる情報中継プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−135577(P2009−135577A)
【公開日】平成21年6月18日(2009.6.18)
【国際特許分類】
【出願番号】特願2007−307641(P2007−307641)
【出願日】平成19年11月28日(2007.11.28)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
【公開日】平成21年6月18日(2009.6.18)
【国際特許分類】
【出願日】平成19年11月28日(2007.11.28)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
[ Back to top ]