通信装置及び方法、並びに通信システム
【課題】複数の通信経路を同時に用いて通信を行う場合にも、複数の通信経路の夫々において適切な暗号化処理を行う。
【解決手段】通信装置(100)は、夫々が、複数の接続先終端手段(111b−1、111b−2)のうちの対応する接続先終端手段との間に個別の通信経路(200a、200b)を形成する複数の接続元終端手段(111a−1、111a−2)と、複数の接続元終端手段の夫々と対応する接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の通信経路に対して共通に用いられる単一の暗号化情報(122)を、接続先終端手段を備える接続先装置との間で確立する確立手段(101)とを備える。
【解決手段】通信装置(100)は、夫々が、複数の接続先終端手段(111b−1、111b−2)のうちの対応する接続先終端手段との間に個別の通信経路(200a、200b)を形成する複数の接続元終端手段(111a−1、111a−2)と、複数の接続元終端手段の夫々と対応する接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の通信経路に対して共通に用いられる単一の暗号化情報(122)を、接続先終端手段を備える接続先装置との間で確立する確立手段(101)とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば暗号化処理を伴う通信を行う通信装置及び方法、並びに通信システムの技術分野に関する。
【背景技術】
【0002】
インターネット等のネットワーク上での盗聴や改ざん等の不正行為から通信データを保護するために、送信する通信データに対して暗号化処理を施す対応策がとられている。暗号化処理の一例として、IPsec(アイピーセック:Security Architecture for Internet Protocol)と呼ばれる技術が知られている。IPsecでは、通信を行う通信装置間(ノード間)においてIKE(Internet Key Exchange protocol)を用いたSA(Security Association:例えば、IKE_SA及びCHILD_SA)の確立が行われる。以後は、当該SAを管理するデータベースであるSAD(SA Database)を参照することで、通信データの暗号化処理及び復号化処理が行われる。
【0003】
ところで、近年、ネットワークの大容量化及び高速化に伴って、負荷分散や経路冗長を目的として、1つの通信装置内に複数のIPアドレスを収容すると共に当該複数のIPアドレスを用いたマルチホーミングを採用する構成が提案されている。つまり、1つの通信装置が収容する複数のIPアドレスの夫々に通信経路を設定する(言い換えれば、通信を行うIPアドレスの組(フロー)を複数用意する)と共に、当該複数の通信経路を同時に用いることで、マルチホーミングを実現する構成が提案されている。例えば、eNodeBと呼ばれる無線基地局とS−GW(Serving Gateway)及びMME(Mobility Management Entity)等の上位局とを備えるLTE(Long Term Evolution)等の無線通信システムでは、上述したマルチホーミングを用いて無線基地局と上位局との間の通信又は無線基地局と隣接する無線基地局との間の通信を行うことが想定されている。
【0004】
このような1つの通信装置内に複数のIPアドレスを収容する場合には、IPsecは以下のようにSAを確立することを定めている。第1の確立方法として、RFC(Request for Comment)4306に定義されているように、複数のIPアドレスが形成する複数の通信経路の夫々毎に(つまり、複数のIPアドレスの夫々毎に)SAを確立する技術が知られている。つまり、複数のSAを確立する技術が知られている。第2の確立方法として、RFC4355に定義されているように、任意の1つの通信経路(つまり、任意の1つのIPアドレス)に対してSAを確立すると共に、他の通信経路での暗号化処理を行う場合に当該SAを切り替える技術が知られている。
【0005】
経路冗長という観点からは、1つのIPアドレスを有する通信装置を複数設置する構成も想定される。この構成では、例えば、マスタ状態の通信装置(或いは、常用系の通信装置)とバックアップ状態の通信装置(或いは、待機系の通信装置)とを適宜切り替えることで、経路冗長を実現している。マスタ状態の通信装置での暗号化処理を伴う通信中に、暗号化処理に使用されるSAをバックアップ状態の通信装置に予め転送しておくことで、マスタ状態の通信装置からバックアップ状態の通信装置への切り替えに際する情報交換を不要とする技術も提案されている。一方で、1つの通信装置が複数の通信経路を収容する場合に、1つの通信経路をアクティブ回線として指定すると共に当該アクティブ回線に1つの仮想的なアドレスを付与することで、経路冗長を実現する構成も提案されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2004−328563号公報
【特許文献2】特開2004−350025号公報
【特許文献3】特開2008−219679号公報
【非特許文献】
【0007】
【非特許文献1】RFC 4306,“Internet Key Exchange (IKEv2) Protocol”
【非特許文献2】RFC 4555,“MOBIKE Protocol”
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、1つの通信装置内に複数のIPアドレスを収容する際に提案されている上述のSAの確立方法では、以下のような技術的な問題点がある。複数のIPアドレスが形成する複数の通信経路の夫々毎にSAを確立する技術では、全ての通信経路(言い換えれば、全てのIPアドレス)に対してSAを確立するのが望ましい。このため、全ての通信経路に対応するSAを確立するまでに要する時間や処理負荷が非常に大きくなってしまう。SAを切り替える技術では、全ての通信経路に対応するSAを確立しなくてよいものの、SAの切替処理が頻繁に起きるがゆえに処理負荷が相対的に大きくなってしまう。更には、SAを切り替えた後には、切り替え前に使用していた通信経路を用いた通信を行うことができないため、実質的には、複数のIPアドレスに対応する複数の通信経路を同時に用いて通信を行うことができない。
【0009】
マスタ状態の通信装置とバックアップ状態の通信装置とを適宜切り替える技術や複数の通信経路のうちの1つのアクティブ回線に1つの仮想的なアドレスを付与する技術では、そもそも1つの通信装置が収容する複数のIPアドレスに対応する複数の通信経路を同時に用いて通信を行う状態を想定していない。
【0010】
本発明が解決しようとする課題には上記のようなものが一例として挙げられる。本発明は、例えば複数の通信経路を同時に用いて通信を行う場合にも、複数の通信経路の夫々において適切な暗号化処理を行うことを可能とならしめる通信装置及び方法、並びに通信システムを提供することを目的とする。
【課題を解決するための手段】
【0011】
上記課題は、複数の接続元終端手段と、確立手段とを備える通信装置によって解決され得る。複数の接続元終端手段の夫々は、接続先の通信装置(つまり、接続先装置)が備える複数の接続先終端手段のうちの対応する接続先終端手段との間に通信経路を形成する。例えば、複数の接続元終端手段のうちの第1の接続元終端手段は、接続先装置が備える複数の接続先終端手段のうちの第1の接続先終端手段との間に第1の通信経路を形成する。同様に、例えば、複数の接続元終端手段のうちの第2の接続元終端手段は、接続先装置が備える複数の接続先終端手段のうちの第2の接続先終端手段との間に第2の通信経路を形成する。確立手段は、複数の接続先終端手段を備える接続先の通信装置(接続先装置)と間で、単一の暗号化情報を確立する。暗号化情報は、複数の接続元終端手段の夫々と対応する接続先終端手段との間で行われる通信の暗号化処理に使用される情報である。暗号化情報は、複数の接続元終端手段に対応する複数の通信経路に対して共通に用いられる情報である。例えば、第1の接続元終端手段が第1の接続先終端手段との間に第1の通信経路を形成し第2の接続元終端手段が第2の接続先終端手段との間に第2の通信経路を形成する場合には、第1の通信経路における暗号化処理及び第2の通信経路における暗号化処理は共に、共通の(言い換えれば、同一の又は単一の)暗号化情報に基づいて行われる。言い換えれば、第1の通信経路を用いた通信及び第2の通信経路を用いた通信を同時に行う場合には、第1の通信経路における暗号化処理及び第2の通信経路における暗号化処理は共に、共通の(言い換えれば、同一の又は単一の)暗号化情報に基づいて行われる。
【0012】
上記課題は、上述した複数の接続元終端手段を備える通信装置における通信方法であって、上述した暗号化情報を確立する通信方法によって解決され得る。
【0013】
上記課題は、上述した複数の接続先終端手段を備える接続先通信装置と、上述した複数の接続元終端手段及び上述した確立手段を備える接続元通信装置とを備える通信システムによって解決され得る。
【発明の効果】
【0014】
以上説明した通信装置によれば、複数の接続元終端手段に対応する複数の通信経路に対して共通に用いられる単一の暗号化情報に基づいて暗号化処理を行うことができる。このため、複数の接続元終端手段に対応する複数の通信経路の夫々に対して個別に暗号化情報を確立する構成と比較して、暗号化情報の確立に要する時間及び処理負荷を少なくすることができる。共通に用いられる暗号化情報を確立しているため、通信経路の切り替えに伴う暗号化情報の切り替えを行わなくともよい。言い換えれば、共通の暗号化情報に基づいて複数の通信経路を用いた同時通信を行うことができるため、暗号化情報を切り替えることで通信経路を切り替えなくともよい。このため、暗号化情報の切り替えに要する処理時間分のオーバーヘッドをなくして、共通の暗号化情報に基づいて複数の通信経路を用いた同時通信を行うことができる。
【0015】
以上説明した通信方法及び通信システムによれば、上述した通信装置が享受する効果と同様の効果を享受することができる。
【図面の簡単な説明】
【0016】
【図1】本実施形態の通信システムの構成の一例を示すブロック図である。
【図2】本実施形態の通信システムが備える通信装置の構成の一例を示すブロック図である。
【図3】本実施形態の通信システムにおけるSAの確立処理例の流れを示すフローチャートである。
【図4】本実施形態の通信システムにおいて確立されるSAの内容の一例を示すデータ構造図である。
【図5】本実施形態の通信システムにおけるパケット(データ)の送信処理例の流れを示すフローチャートである。
【図6】本実施形態の通信システムにおけるパケット(データ)の受信処理例の流れを示すフローチャートである。
【図7】本実施形態の通信装置が適用された無線基地局の構成の一例を示すブロック図である。
【図8】無線基地局を備える無線通信システムにおける処理例を示すシーケンス図である。
【発明を実施するための最良の形態】
【0017】
以下、図面を参照しながら、本発明を実施するための最良の形態の一例として、通信システムの実施形態について説明を進める。
【0018】
(1)通信システムの構成
図1を参照して、本実施形態の通信システム1の構成の一例について説明する。図1は、本実施形態の通信システム1の構成の一例を示すブロック図である。
【0019】
図1に示すように、通信システム1は、有線又は無線のネットワーク網を介して接続されるイニシエータ側の通信装置100aとレスポンダ側の通信装置100bとを備えている。イニシエータ側の通信装置100aの構成とレスポンダ側の通信装置100bの構成とは同一であってもよいし、異なっていてもよい。以下の説明では、イニシエータ側の通信装置100aの構成とレスポンダ側の通信装置100bの構成とが同一である例について説明する。従って、イニシエータ側の通信装置100aとレスポンダ側の通信装置100bとを区別することなく説明する場合には、「通信装置100」と称して説明を進める。
【0020】
通信装置100aは、夫々に固有のIPアドレスが割り当てられた複数の伝送インタフェース部111aを備えている。「伝送インタフェース部111a」は、「接続元終端手段」の一実施例を構成している。図1は、通信装置100aが、「IP1」というIPアドレスが割り当てられた伝送インタフェース部111a−1と、「IP3」というIPアドレスが割り当てられた伝送インタフェース部111a−2とを備える例を示している。同様に、通信装置100bは、夫々に固有のIPアドレスが割り当てられた複数の伝送インタフェース部111bを備えている。「伝送インタフェース部111b」は、「接続先終端手段」の一実施例を構成している。図1は、通信装置100bが、「IP2」というIPアドレスが割り当てられた伝送インタフェース部111b−1と、「IP4」というIPアドレスが割り当てられた伝送インタフェース部111b−2とを備える例を示している。
【0021】
通信装置100aが備える伝送インタフェース部111a−1と通信装置100bが備える伝送インタフェース部111b−1とは(或いは、伝送インタフェース部111a−1に割り当てられたIPアドレス「IP1」と伝送インタフェース部111b−1に割り当てられたIPアドレス「IP3」とは)、論理的な通信回線ないしは通信経路であるフロー200aを形成している。同様に、通信装置100aが備える伝送インタフェース部111a−2と通信装置100bが備える伝送インタフェース部111b−2とは(或いは、伝送インタフェース部111a−2に割り当てられたIPアドレス「IP2」と伝送インタフェース部111b−2に割り当てられたIPアドレス「IP4」とは)、論理的な通信回線ないしは通信経路であるフロー200bを形成している。
【0022】
本実施形態では、複数のフロー200a及び200bは、複数の通信フロー200a及び200bによって共通に使用される単一のSA(Security Association)により規定される単一のIPsecトンネル300に収容されている。従って、伝送インタフェース部111a−1と伝送インタフェース部111b−1との間の通信及び伝送インタフェース部111a−2と伝送インタフェース部111b−2との間の通信の夫々に対して、同一のSAによって実現される暗号化処理が行われる。
【0023】
図1に示す「伝送インタフェース部111の数(言い換えれば、IPアドレスの数)」は一例であって、夫々に固有のIPアドレスが割り当てられた3つ以上の伝送インタフェース部111を1つの通信装置100が備えていてもよい。つまり、1つの通信装置100が3つ以上のIPアドレスを収容してもよい。
【0024】
1つの通信装置100が収容する複数のIPアドレスに対応する複数のフロー200の全てが1つのIPsecトンネル300に収容されていなくともよい。言い換えれば、複数のフロー200のうちの少なくとも2つ以上のフロー200が1つのIPsecトンネル300に収容されていれば、通信装置100aと通信装置100bとの間の論理的な通信回線の収容状態は任意である。例えば、1つの通信装置100が収容するM(Mは3以上の整数)個のIPアドレスのうちの第1番目のIPアドレスから第k(kは、1<k<Mを満たす整数)番目のIPアドレスに対応するk個のフロー200が第1のIPsecトンネル300に収容され、1つの通信装置100が収容するM個のIPアドレスのうちの第k+1番目のIPアドレスから第M番目のIPアドレスに対応するM−k個のフロー200が第2のIPsecトンネル300に収容されるように構成してもよい。この場合には、第1番目のIPアドレスから第k番目のIPアドレスに対応するk個のフロー200によって共通に使用される単一の第1SAと、第k+1番目のIPアドレスから第M番目のIPアドレスに対応するM−k個のフロー200によって共通に使用される単一の第2SAとが確立されることが好ましい。
【0025】
図1は、説明の簡略化のために2つの通信装置100を備える通信システム1について説明している。しかしながら、3つ以上の通信装置100を備えるように構成してもよいことは言うまでもない。3つ以上の通信装置100を備える場合であっても、任意の又は所望の2つの通信装置100間の状態は、図1に示す2つの通信装置100間の状態と同一となるように構成することが好ましい。3つ以上の通信装置100を備える通信システムに対して後述する処理を行うように構成すれば、2つの通信装置100を備える通信システム1と同様の効果を享受することができる。
【0026】
(2)通信装置の構成
図2を参照して、本実施形態の通信システム1が備える通信装置100の構成の一例について説明する。図2は、本実施形態の通信システム1が備える通信装置100の構成の一例を示すブロック図である。
【0027】
図2に示すように、通信装置100は、IKE(Internet Key Exchange protocol)処理部101と、IPsec処理部102と、データベース格納部103と、伝送インタフェース部111−1と、伝送インタフェース部111−2とを備えている。
【0028】
IKE処理部101は、「確立手段」の一実施例を構成しており、IKEによるネゴシエーションを行うことでSA(例えば、IKE_SA及びCHILD_SA)を確立する。本実施形態では、IKE処理部101は、複数の伝送インタフェース部111−1及び111−2に共通する(言い換えれば、複数のフロー200に共通する)単一のSAを確立する。
【0029】
IPsec処理部102は、IKE処理部101によって確立されたSAを用いて、送信するべきパケットの暗号化処理を行う。暗号化処理を行ったパケットは、伝送インタフェース部111−1又は111−2に転送される。これにより、パケットの送信処理が行われる。同様に、IPsec処理部102は、伝送インタフェース部111−1又は111−2から転送されてきたパケットの復号化処理を行う。これにより、パケットの受信処理が行われる。
【0030】
データベース格納部103は、IKE処理部101によって確立されたSAを管理するSAD(Security Association Database)121と、どのSAD121を使用するかを決定するSP(Security Policy)を管理するSPD(Security Policy Database)122とを格納している。データベース格納部103は、例えばRAM等の半導体メモリを備えている。
【0031】
伝送インタフェース部111−1は、IPsec処理部102から転送されてきたパケットを、送信先の通信装置100が備える伝送インタフェース部111−1に対して送信する。伝送インタフェース部111−1は、送信先の通信装置100が備える伝送インタフェース部111−1から送信されてきたパケットを、IPsec処理部102に対して転送する。
【0032】
伝送インタフェース部111−2は、IPsec処理部102から転送されてきたパケットを、送信先の通信装置100が備える伝送インタフェース部111−2に対して送信する。伝送インタフェース部111−2は、送信先の通信装置100が備える伝送インタフェース部111−2から送信されてきたパケットを、IPsec処理部102に対して転送する。
【0033】
(3)処理例
図3から図6を参照して、本実施形態の通信システム1の処理例について説明する。
【0034】
(3−1)SAの確立処理例
図3を参照して、本実施形態の通信システム1におけるSAの確立処理例について説明する。図3は、本実施形態の通信システム1におけるSAの確立処理例の流れを示すフローチャートである。
【0035】
図3に示すように、通信装置100a(つまり、イニシエータ側の通信装置100)が備えるIKE処理部101は、通信装置100aが複数のフロー200を終端しているか否か(言い換えれば、収容しているか否か)を判定する(ステップS101)。つまり、通信装置100aが備えるIKE処理部101は、通信装置100aが複数のIPアドレスを収容しているか否かを判定する。
【0036】
ステップS101における判定の結果、通信装置100aが複数のフロー200を終端していると判定された場合には(ステップS101:Yes)、通信装置100aが備えるIKE処理部101は、SA(例えば、IKE_SA)を確立するためのメッセージであるIKE_SA_INIT_requestメッセージ中に、(i)通信装置100aが終端しているフロー200の数及び(ii)各フロー200を特定するための情報を少なくとも設定する(ステップS101)。例えば、図1に示す例では、通信装置100aが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージ中に、通信装置100aが終端しているフロー200の数として、「2」を設定する。同様に、図1に示す例では、通信装置100aが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージ中に、フロー200aを特定するための情報(例えば、フロー200aを識別するためのフローID「#1」、フロー200aのイニシエータ側(通信装置100a側)の終端点のIPアドレス「IP1」、及びフロー200aのレスポンダ側(通信装置100b側)の終端点のIPアドレス「IP3」等)を設定する。同様に、図1に示す例では、通信装置100aが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージ中に、フロー200bを特定するための情報(例えば、フロー200bを識別するためのフローID「#2」、フロー200bのイニシエータ側(通信装置100a側)の終端点のIPアドレス「IP2」、及びフロー200bのレスポンダ側(通信装置100b側)の終端点のIPアドレス「IP4」等)を設定する。
【0037】
通信装置100aが備えるIKE処理部101は、伝送インタフェース部111a−1及び111a−2のいずれか一方を介して、IKE_SA_INIT_requestメッセージを通信装置100b(つまり、レスポンダ側の通信装置100)が備える伝送インタフェース部111b−1及び111b−2のいずれか一方へと送信する(ステップS103)。言い換えれば、通信装置100aが備えるIKE処理部101は、「IP1」及び「IP2」のいずれか一方のIPアドレスを送信元とし且つ「IP3」及び「IP4」のいずれか一方のIPアドレスを送信先として、IKE_SA_INIT_requestメッセージを通信装置100b(つまり、レスポンダ側の通信装置100)へと送信する(ステップS103)。IKE_SA_INIT_requestメッセージを送信するために使用されるIPアドレスは予め設定されていてもよい。或いは、IKE_SA_INIT_requestメッセージを送信するために使用されるIPアドレスは、当該メッセージの送信の都度適宜設定されてもよい。
【0038】
他方で、ステップS101における判定の結果、通信装置100aが複数のフロー200を終端していないと判定された場合には(ステップS101:No)、通信装置100aが備えるIKE処理部101は、ステップS102の処理を行うことなくステップS103の処理を行う。つまり、通信装置100aが備えるIKE処理部101は、通信装置100aが1つのフロー200を終端する場合の通常の手順で、IKE_SA_INIT_requestメッセージを送信する。通信装置100aが複数のIPアドレスを収容している場合には、通信装置100aが備えるIKE処理部101は、ステップS102の処理を行ってもよい。
【0039】
通信装置100bが備えるIKE処理部101は、通信装置100aから送信されるIKE_SA_INIT_requestメッセージを受信する(ステップS111)。
【0040】
通信装置100bが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージに基づいて、通信装置100aが複数のフロー200を終端しているか否かを判定する(ステップS112)。例えば、通信装置100bが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージに設定されている「フロー200の数」を参照することで、通信装置100aが複数のフロー200を終端しているか否かを判定する。
【0041】
ステップS112における判定の結果、通信装置100aが複数のフロー200を終端していないと判定された場合には(ステップS112:No)、通信装置100bが備えるIKE処理部101は、後述するステップS113からステップS115の処理を行うことなく、IKE_SA_INIT_responseメッセージを通信装置100aへと送信する(ステップS116)。つまり、通信装置100bが備えるIKE処理部101は、通信装置100aと通信装置100bとの間に1つのフロー200が形成される(つまり、通信装置100a及び通信装置100bの夫々が1つのIPアドレスを収容する)場合の通常の手順で、IKE_SA_INIT_responseメッセージを送信する。通信装置100aが備えるIKE処理部101が、通信装置100bから送信されるIKE_SA_INIT_responseメッセージを受信する(ステップS104)。これにより、通信装置100aと通信装置100bとの間で、SAの一例であるIKE_SA(例えば、通信装置100aと通信装置100bとの間の鍵交換を保護する又はCHILD_SAを確立する際に用いられるSA)が確立される。この場合には、IKE_SA_INIT_request/responseメッセージの送受信を行ったIPアドレス間においてのみ、SAが確立される。
【0042】
通信装置100aが備えるIKE処理部101は、ステップS104及びステップS116において確立されたSAに基づいて、SA(例えば、CHILD_SA)を確立するためのメッセージであるIKE_AUTH_requestメッセージを通信装置100bへと送信する(ステップS105)。通信装置100bが備えるIKE処理部101は、通信装置100aから送信されるIKE_AUTH_requestメッセージを受信する(ステップS117)。通信装置100bが備えるIKE処理部101は、IKE_AUTH_responseメッセージを通信装置100aへと送信する(ステップS118)。通信装置100aが備えるIKE処理部101は、通信装置100bから送信されるIKE_AUTH_responseメッセージを受信する(ステップS106)。これにより、通信装置100aと通信装置100bとの間で、SAの一例であるCHILD_SA(例えば、実際に送受信されるパケットを暗号化する際に用いられるSA)が確立される。この場合には、IKE_SA_INIT_request/responseメッセージの送受信を行ったIPアドレス間においてのみ、SAが確立される。
【0043】
他方で、ステップS112における判定の結果、通信装置100aが複数のフロー200を終端していると判定された場合には(ステップS112:Yes)、通信装置100bが備えるIKE処理部101は、通信装置100bが複数のフロー200を終端しているか否か(言い換えれば、収容しているか否か)を判定する(ステップS113)。つまり、通信装置100bが備えるIKE処理部101は、通信装置100bが複数のIPアドレスを収容しているか否かを判定する。
【0044】
ステップS113における判定の結果、通信装置100bが複数のフロー200を終端していないと判定された場合には(ステップS113:No)、通信装置100bが備えるIKE処理部101は、ステップS113からステップS115の処理を行うことなく、IKE_SA_INIT_responseメッセージを通信装置100aへと送信する(ステップS116)。つまり、通信装置100bが複数のフロー200を終端していないと判定された場合には、通信装置100bが備えるIKE処理部101は、通信装置100aが複数のフロー200を終端していないと判定された場合と同様の処理を行う。以降は、通信装置100aが複数のフロー200を終端していないと判定された場合と同様の処理が行われることで、通信装置100aと通信装置100bとの間で、SA(例えば、IKE_SA及びCHILD_SA)が確立される。この場合には、IKE_SA_INIT_request/responseメッセージの送受信を行ったIPアドレス間においてのみ、SAが確立される。
【0045】
他方で、ステップS113における判定の結果、通信装置100bが複数のフロー200を終端していると判定された場合には(ステップS113:Yes)、通信装置100bが備えるIKE処理部101は、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200を、通信装置200bが終端することができるか否かを判定する(ステップS114)。例えば、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200のレスポンダ側の終端点のIPアドレスが、通信装置100bが収容するIPアドレスと一致する場合には、IKE_SA_INIT_requestメッセージに設定されている各フロー200を通信装置200bが終端することができると判定されてもよい。他方で、例えば、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200のレスポンダ側の終端点のIPアドレスが、通信装置100bが収容するIPアドレスと一致しない場合には、IKE_SA_INIT_requestメッセージに設定されている各フロー200を通信装置200bが終端することができないと判定されてもよい。
【0046】
ステップS114における判定の結果、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200を通信装置200bが終端することができると判定された場合には(ステップS114:Yes)、通信装置100bが備えるIKE処理部101は、IKE_SA_INIT_responseメッセージ中に、終端可能と判定されたフロー200を特定するための情報を設定する(ステップS115)。通信装置100bが備えるIKE処理部101は、次のフロー200を対象としてステップS114の処理を行う。
【0047】
他方で、ステップS114における判定の結果、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200を通信装置200bが終端することができないと判定された場合には(ステップS114:No)、通信装置100bが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージ中に終端可能と判定されたフロー200を特定するための情報を設定することなく、次のフロー200を対象としてステップS114の処理を行う。
【0048】
以上説明したステップS114及びステップS115の処理が、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている複数のフロー200を対象として順に行われる。例えば、図1に示す例では、例えば、フロー200aを対象としてステップS114及びステップS115の処理が行われ、且つ、フロー200bを対象としてステップS114及びステップS115の処理が行われる。
【0049】
上述したように、通信装置100aと通信装置100bとの間でIKE_SA_INIT_responseメッセージ、IKE_AUTH_requestメッセージ及びIKE_AUTH_responseメッセージの送受信が行われることで、通信装置100aと通信装置100bとの間でSAが確立される(ステップS104からステップS106及びステップS116からステップS118)。この場合には、IKE_SA_INIT_request/responseメッセージの送受信を行ったIPアドレス間においてのみならず他のIPアドレス間においても、SAが確立される。つまり、複数のフロー200に共通のSAが確立される。
【0050】
以上説明した処理によって確立されるSAのうち通信装置100a及び100bの双方が複数のフロー200を終端することができる場合に確立されるSAについて、図4を参照してより詳細に説明する。図4は、本実施形態の通信システム1において確立されるSAの内容の一例を示すデータ構造図である。
【0051】
図4に示すように、SA(或いは、SAを管理するSAD121)は、例えば、複数のフロー200全体に共通する共通パラメータ131を含んでいる。SAは、各フロー200に固有の個別パラメータ132を、フロー200の数だけ含んでいる。
【0052】
共通パラメータ131は、例えば、SAにてパケットを暗号化するためのアルゴリズムを示す暗号化アルゴリズムと、暗号化アルゴリズムにて使用される暗号鍵と、SAにてパケットの認証処理を行うためのアルゴリズムを示す認証アルゴリズムと、認証アルゴリズムにて使用される認証鍵と、SAを特定するために使用されるSPI(Security Parameter Index)と、SAの使用可能時間及び使用量を示すライフデュレーションとを含んでいる。例えば、図4では、暗号化アルゴリズムが「3des−cbc」であり、暗号鍵が「zzzzzzzzzz」であり、認証アルゴリズムが「hmac−sha−1−96」であり、認証鍵が「cccccccccc」であり、SPIが「0xaaaaaaaa」であり、ライフデュレーションが「T(秒/バイト)」である共通パラメータ131の例が開示されている。共通パラメータ131は、複数のフロー200の全てに共通のものとして識別することができる態様で、IKE_SA_INIT_requestメッセージ、IKE_SA_INIT_responseメッセージ、IKE_AUTH_requestメッセージ及びIKE_AUTH_responseメッセージを用いて、通信装置100aと通信装置100bとの間で交換される又は送受信されることが好ましい。
【0053】
個別パラメータ132は、例えば、IKE_SA_INIT_request/responseメッセージで交換したソースIPアドレス(イニシエータ側のIPアドレス)と、IKE_SA_INIT_request/responseメッセージで交換したデスティネーションIPアドレス(レスポンダ側のIPアドレス)と、ESN(Enhanced Sequence Number)の適用の有無を示すESN適用有無情報と、CHILD_SAを使用して暗号化処理が施されたパケットに付与する送信シーケンス番号と、暗号化処理が施されたパケットを受信した際にシーケンス番号の検証に用いられるアンチリプレイウインドウ(Anti-Replay Window)とを含んでいる。図4では、フロー200(#1)及びフロー200(#2)の夫々に対して個別パラメータ132が設けられる例が開示されている。図4では、ソースIPアドレスが「IP1」であり、デスティネーションIPアドレスが「IP3」であり、ESN適用有無情報が「有」であり、送信シーケンス番号が「0」であり、アンチリプレイウインドウが「0/0xbbbbbbbb」となるフロー200(#1)に対応する個別パラメータ132の例が開示されている。図4では、ソースIPアドレスが「IP2」であり、デスティネーションIPアドレスが「IP4」であり、ESN適用有無情報が「有」であり、送信シーケンス番号が「0」であり、アンチリプレイウインドウが「0/0xcccccccc」となるフロー200(#2)に対応する個別パラメータ132の例が開示されている。個別パラメータ132は、フロー200単位で区別することが可能な態様で、IKE_SA_INIT_requestメッセージ、IKE_SA_INIT_responseメッセージ、IKE_AUTH_requestメッセージ及びIKE_AUTH_responseメッセージを用いて、通信装置100aと通信装置100bとの間で交換される又は送受信されることが好ましい。
【0054】
通信装置100a及び100bの双方が複数のフロー200を終端することができない場合に確立されるSAは、従来のSAと同一のデータ構造を有するSAとなる。このため、本実施形態では、説明の簡略化のため、通信装置100a及び100bの双方が複数のフロー200を終端することができない場合に確立されるSAの詳細な説明については省略する。
【0055】
(3−2)パケット(データ)の送信処理例
図5を参照して、本実施形態の通信システム1におけるパケット(データ)の送信処理例について説明する。図5は、本実施形態の通信システム1におけるパケット(データ)の送信処理例の流れを示すフローチャートである。図5では、イニシエータ側の通信装置100aがレスポンダ側の通信装置100bに対してパケットを送信する場合の処理例について説明する。つまり、イニシエータ側の通信装置100aによる送信処理について説明する。レスポンダ側の通信装置100bがイニシエータ側の通信装置100aに対してパケットを送信する場合にも、同様の処理が行われてもよい。
【0056】
図5に示すように、IPsec処理部102は、送信するべきパケットに対して適用することが可能なSAが存在するか否かを判定する(ステップS121)。例えば、IPsec処理部102は、パケットを送信する際に用いるフロー200に対する暗号化処理を規定しているSAがSAD121によって管理されているか否かを判定してもよい。
【0057】
ステップS121における判定の結果、送信するべきパケットに対して適用することが可能なSAが存在しないと判定された場合には(ステップS121:No)、IPsec処理部102は、送信するべきパケットを破棄する(ステップS128)。IPsec処理部102は、送信処理を終了する。或いは、IPsec処理部102は、次に送信するべきパケットに対して、ステップS121以降の処理を繰り返してもよい。
【0058】
他方で、ステップS121における判定の結果、送信するべきパケットに対して適用することが可能なSAが存在すると判定された場合には(ステップS121:Yes)、IPsec処理部102は、パケットの送信に使用するフロー200を選択する(ステップS122)。例えば、図1に示す例で言えば、IPsec処理部102は、フロー200a及び200bのうちパケットの送信に使用するフロー200を選択する。パケットの送信モードがトンネルモードである場合には、1つのフロー200が選択されてもよし、複数のフロー200が選択されてもよい。他方で、パケットの送信モードがトランスポートモードである場合には、1つのフロー200が選択されることが好ましいが、複数のフロー200が選択されてもよい。
【0059】
IPsec処理部102は、SAD121を参照することで、ステップS122において選択されたフロー200に対応する個別パラメータ132から、シーケンス番号を取得する(ステップS123)。IPsec処理部102は、SAD121が管理するSAに含まれる共通パラメータ131を参照することでパケットに対して暗号化処理を施すと共に、ステップS123において取得されたシーケンス番号を暗号化処理が施されたパケットに対して付与する(ステップS124)。
【0060】
IPsec処理部102は、パケットの送信モードがトンネルモードであるか否かを判定する(ステップS125)。
【0061】
ステップS125における判定の結果、パケットの送信モードがトンネルモードであると判定された場合には(ステップS125:Yes)、IPsec処理部102は、ステップS122において選択された複数のフロー200に対してランダムに、規則的に又は周期的にパケットを割り当てることで、暗号化処理が施されたパケットのカプセル化を行う。IPsec処理部102は、暗号化処理が施されたパケットをレスポンダ側の通信装置100bに対して送信する(ステップS127)。
【0062】
他方で、ステップS125における判定の結果、パケットの送信モードがトンネルモードでない(つまり、トランスポートモードである)と判定された場合には(ステップS125:Yes)、IPsec処理部102は、暗号化処理が施されたパケットをレスポンダ側の通信装置100bに対して送信する(ステップS127)。
【0063】
(3−3)パケット(データ)の受信処理例
図6を参照して、本実施形態の通信システム1におけるパケット(データ)の受信処理例について説明する。図6は、本実施形態の通信システム1におけるパケット(データ)の受信処理例の流れを示すフローチャートである。図6では、イニシエータ側の通信装置100aから送信されたパケットをレスポンダ側の通信装置100bが受信する場合の処理例について説明する。つまり、レスポンダ側の通信装置100bによる受信処理について説明する。レスポンダ側の通信装置100bから送信されたパケットをイニシエータ側の通信装置100aが受信する場合にも、同様の処理が行われてもよい。
【0064】
図6に示すように、IPsec処理部102は、暗号化されたパケットを受信する(ステップS130)。IPsec処理部102は、受信したパケットに対して適用することが可能なSAが存在するか否かを判定する(ステップS131)。例えば、IPsec処理部102は、受信したパケットのヘッダ部分に含まれているSPIがSAD121によって管理されているSAの共通パラメータ131に含まれるSPIと一致する場合に、受信したパケットに対して適用することが可能なSAが存在すると判定してもよい。
【0065】
ステップS131における判定の結果、受信したパケットに対して適用することが可能なSAが存在しないと判定された場合には(ステップS131:No)、IPsec処理部102は、受信したパケットを破棄する(ステップS139)。IPsec処理部102は、受信処理を終了する。或いは、IPsec処理部102は、次に受信したパケットに対して、ステップS131以降の処理を繰り返してもよい。
【0066】
他方で、ステップS131における判定の結果、受信したパケットに対して適用することが可能なSAが存在すると判定された場合には(ステップS131:Yes)、IPsec処理部102は、SAD121が管理するSA内に、パケットを受信したときに使用したフロー200に対応する個別パラメータ132が含まれているか否かを判定する(ステップS132)。IPsec処理部102は、例えば、受信したパケットのソースIPアドレス及びデスティネーションIPアドレスと同一のソースIPアドレス及びデスティネーションIPアドレスを含む個別パラメータ132が含まれている場合に、パケットを受信したときに使用したフロー200に対応する個別パラメータ132が含まれていると判定してもよい。
【0067】
ステップS132における判定の結果、パケットを受信したときに使用したフロー200に対応する個別パラメータ132が含まれていないと判定された場合には(ステップS132:No)、IPsec処理部102は、受信したパケットを破棄する(ステップS139)。IPsec処理部102は、受信処理を終了する。或いは、IPsec処理部102は、次に受信したパケットに対して、ステップS131以降の処理を繰り返してもよい。
【0068】
他方で、ステップS132における判定の結果、パケットを受信したときに使用したフロー200に対応する個別パラメータ132が含まれていると判定された場合には(ステップS132:No)、IPsec処理部102は、パケットを受信したときに使用したフロー200に対応する個別パラメータ132からアンチリプレイウインドウを取得する(ステップS133)。IPsec処理部102は、ステップS133において取得されたアンチリプレイウインドウのチェックを行いながらシーケンス番号の検証を行う(ステップS134)。
【0069】
IPsec処理部102は、ステップS134において行われたシーケンス番号の検証に問題がなかったか否かを判定する(ステップS135)。
【0070】
ステップS135における判定の結果、ステップS134において行われたシーケンス番号の検証に問題があったと判定された場合には(ステップS135:No)、IPsec処理部102は、受信したパケットを破棄する(ステップS139)。IPsec処理部102は、受信処理を終了する。或いは、IPsec処理部102は、次に受信したパケットに対して、ステップS131以降の処理を繰り返してもよい。
【0071】
他方で、ステップS135における判定の結果、ステップS134において行われたシーケンス番号の検証に問題がなかったと判定された場合には(ステップS135:Yes)、IPsec処理部102は、SAD121が管理するSAに含まれる共通パラメータ131を参照することで、暗号化処理が施されたパケットに対して復号化処理を施す(ステップS136)。
【0072】
IPsec処理部102は、ステップS136において行われた復号化処理が正しく行われたか否かを判定する(ステップS137)。
【0073】
ステップS137における判定の結果、ステップS136において行われた復号化処理が正しく行われなかったと判定された場合には(ステップS137:No)、IPsec処理部102は、受信したパケットを破棄する(ステップS139)。IPsec処理部102は、受信処理を終了する。或いは、IPsec処理部102は、次に受信したパケットに対して、ステップS131以降の処理を繰り返してもよい。
【0074】
他方で、ステップS137における判定の結果、ステップS136において行われた復号化処理が正しく行われたと判定された場合には(ステップS137:Yes)、IPsec処理部102は、復号化処理が施されたパケットを取得する(ステップS138)。
【0075】
本実施形態の通信システム1によれば、複数のフロー200に対して共通の1つのSAを確立することができる。つまり、本実施形態の通信システム1によれば、複数のフロー200の夫々の暗号通信を共通の1つのSAに収容することができる。このため、複数のフロー200の夫々毎に個別にSAを確立する構成と比較して、SAの確立に要する時間負荷及び処理負荷を少なくすることができる。例えば、1つのSAを確立するために使用されるメッセージ数が「4」であり、レスポンダ側の通信装置100bの数が「500」であり、且つ1つのレスポンダ側の通信装置100bが収容するIPアドレスの数が「2」である比較例について説明する。比較例では、イニシエータ側の通信装置100aが複数のフロー200の夫々毎に個別にSAを確立する場合には、通信装置100aは、4×2×500=4000メッセージの送受信を行う。一方で、本実施形態の通信システム1によれば、イニシエータ側の通信装置100aは、4×1×500=2000メッセージの送受信を行えば足りる。SAの確立に要する時間負荷及び処理負荷の低減は、1つの通信装置100bに収容されるIPアドレスの数が多いほど顕著になる。
【0076】
本実施形態の通信システム1によれば、複数のフロー200に対して共通の1つのSAを確立することができるため、実際の通信に用いるフロー200の切り替えに伴うSAの切り替えを行わなくともよい。言い換えれば、共通のSAに基づいて複数のフロー200を用いた同時通信を行うことができるため、SAを切り替えることでフロー200を切り替えなくともよい。このため、SAの切り替えに要する処理時間分のオーバーヘッドをなくしながら、共通のSAに基づく複数のフロー200を用いた同時通信を行うことができる。
【0077】
通常のSAの切り替え処理では、SA内において規定されるソースIPアドレス及びデスティネーションIPアドレスの書き換えが行われるのみである。このため、切り替え後のSAによっては、シーケンス番号やアンチリプレイウインドウついては切り替え前の状態を維持しかねない。従って、シーケンス番号やアンチリプレイウインドウのチェックが正しく行われない場合も生じ得る。しかしながら、本実施形態の通信システム1によれば、複数のフロー200の全てを対象として各フロー200に固有の個別パラメータ132をSA内に含めることができる。言い換えれば、共通のSA内に含まれる情報を共通パラメータ131と個別パラメータ132とに分けて管理することができる。このため、複数のフロー200を用いた通信が行われたとしても、フロー200毎に適切なパラメータを参照することができる。従って、複数のフロー200の夫々毎に、シーケンス番号やアンチリプレイウインドウのチェックを正しく行うことができる。
【0078】
複数のフロー200を1つの通信装置100が終端することができる場合には、通信装置100は、SAの確立に使用される情報をフロー200単位で取得及び交換している。このため、本実施形態の通信システム1によれば、複数のフロー200に共通の1つのSAを好適に確立することができる。
【0079】
パケットの送受信時には、通信装置100は、送受信に用いるフロー200に対応する個別パラメータ132を取得した上で、暗号化処理等を行う。このため、複数のフロー200に共通の1つのSAを確立したとしても、フロー200毎に適切な送受信を行うことができる。
【0080】
通信装置100は、トンネルモード時には、同一の宛先に対して送信される複数のパケットを複数のフロー200を用いて同時に送信することができる。このため、フロー200の割当に応じた負荷分散をより好適に実現することができる。
【0081】
(4)無線通信システムへの適用例
図7及び図8を参照して、上述した通信装置100を、携帯電話等の無線通信システムに用いられる無線基地局に対して適用した場合の例について説明する。図7は、本実施形態の通信装置100が適用された無線基地局500の構成の一例を示すブロック図であり、図8は、無線基地局500を備える無線通信システムにおける処理例を示すシーケンス図である。以下に説明する無線基地局は、LTE(Long Term Evolution)規格に準拠した無線基地局に相当する。LTE規格以外の各種規格に準拠する無線基地局に対して本実施形態の通信装置100を適用してもよい。
【0082】
図7に示すように、無線基地局(eNB:eNodeB)500は、無線制御装置(REC:Radio Equipment Control)510と、無線装置(RE:Radio Equipment)520と、アンテナ(或いは、その他の各種ALD(Antenna Line Device))530とを備えている。無線制御装置510は、上述した通信装置100と、ベースバンド処理部511と、局内インタフェース部512と、基地局制御部513とを備えている。無線装置520は、局内インタフェース部521と、無線送受信処理部522と、増幅器523とを備えている。
【0083】
無線基地局500から不図示の移動端末(UE:User Equipment)に向けてデータを送信する場合には、ベースバンド処理部511は、基地局制御部513の制御の下に、不図示の移動端末に送信するべきデータに対してベースバンド処理を行う。ベースバンド処理部511は、ベースバンド処理が行われたデータを、局内インタフェース部512を介して無線装置520へと転送する。無線送受信処理部522は、局内インタフェース部521を介して無線制御装置510から転送されるデータに対して無線信号処理(RF信号処理)を行う。無線送受信処理部522は、増幅器523における増幅処理を行った後、アンテナ530を介してデータを移動端末に対して送信する。これにより、データの送信(つまり、下り方向の無線通信)が行われる。
【0084】
無線基地局500が不図示の移動端末からデータを受信する場合には、無線送受信処理部522は、移動端末から送信されるデータを、アンテナ530を介して受信する。無線送受信処理部522は、受信したデータに対して無線信号処理を行う。無線送受信処理部522は、無線信号処理が行われたデータを、局内インタフェース部521を介して無線制御装置510へと転送する。ベースバンド処理部511は、基地局制御部513の制御の下に、局内インタフェース部512を介して無線装置520から転送されるデータに対してベースバンド処理を行う。これにより、データの受信(つまり、上り方向の無線通信)が行われる。
【0085】
無線基地局がMME(Mobility Management Entity)及びS−GW(Serving Gateway)等の上位局又は当該無線基地局500に隣接する若しくは近接する他の無線基地局500に対してデータの送受信を行う場合には、上述した通信装置100と概ね同様の処理が行われる。具体的には、初期コネクションを確立するシーケンスを一例として示す図8に示すように、無線基地局500は、上述した図3のステップS101からステップS106までの処理を行う。上位局は、上述した図3のステップS111からステップS118までの処理を行う。これにより、無線基地局500と上位局との間でSAが確立される。移動端末と無線基地局500との間のRRC(Radio Resource Connection)の確立のため、移動端末から無線基地局500に対して、RRC_Connection_requestメッセージが送信される。続いて、無線基地局500から移動端末に対して、RRC_Connection_Setupメッセージが送信される。続いて、移動端末から無線基地局500に対して、RRC_Connection_Setup_Completeメッセージが送信される。これにより、移動端末と無線基地局500との間のRRCが確立される。続いて、無線基地局500から上位局に対して、INITIAL_UE_MESSAGEが送信される。係る処理は、上述した図5のフローに基づいて行われる。続いて、上位局から無線基地局500に対して、INITIAL_Context_Setup_requestメッセージが送信される。係る処理は、上述した図6のフローに基づいて行われる。以降は、無線基地局500から上位局に対してデータを送信する都度、上述した図5のフローに基づく処理が行われ、上位局から無線基地局500に対してデータを送信する都度、上述した図6のフローに基づく処理が行われる。
【0086】
無線基地局500によれば、無線基地局500と上位局との間の通信又は無線基地局500と隣接する若しくは近接する他の無線基地局500との間の通信に対して、上述した通信装置100が行う処理が適用される。このため、無線基地局500は、上述した通信装置100が享受する効果と同様の効果を享受することができる。
【0087】
以上説明した実施形態に関して、更に以下の付記を開示する。
【0088】
(付記1)
夫々が、複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段と、前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記複数の接続先終端手段を備える接続先装置との間で確立する確立手段とを備えることを特徴とする通信装置。
【0089】
(付記2)
前記暗号化情報は、複数の前記通信経路の夫々毎に個別の情報、及び複数の前記通信経路に共通の情報を含むことを特徴とする付記1に記載の通信装置。
【0090】
(付記3)
前記個別の情報は、前記接続元終端手段を特定する情報、前記接続先終端手段を特定する情報、前記通信経路における通信の整合性を図るためのシーケンス番号及び前記シーケンス番号の検証に用いられる情報の少なくとも一つを含むことを特徴とする付記2に記載の通信装置。
【0091】
(付記4)
前記共通の情報は、暗号化処理に用いられるアルゴリズムを特定する情報、暗号化処理に用いられる暗号鍵を特定する情報、認証処理に用いられるアルゴリズムを特定する情報、認証処理に用いられる認証鍵を特定する情報、前記暗号化情報を識別するための識別情報、及び前記暗号化情報が使用される期間を特定する情報の少なくとも一つを含むことを特徴とする付記2又は3に記載の通信装置。
【0092】
(付記5)
前記確立手段は、複数の前記通信経路の夫々毎に前記暗号化処理で使用される情報を前記接続先装置との間で交換することで、当該交換した情報をまとめて含む前記暗号化情報を確立することを特徴とする付記1から4のいずれか一項に記載の通信装置。
【0093】
(付記6)
前記複数の通信経路のうちの一の通信を用いた通信を行う場合に、前記暗号化情報の中から前記一の通信経路に対応する情報部分を選択する選択手段と、前記選択された情報部分に基づく暗号化処理を行うことで、前記一の通信経路を用いた通信を行う通信手段とを更に備えることを特徴とする付記1から5のいずれか一項に記載の通信装置。
【0094】
(付記7)
夫々が、複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段を備える通信装置における通信方法であって、前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記複数の接続先終端手段を備える接続先装置との間で確立することを特徴とする通信方法。
【0095】
(付記8)
複数の接続先終端手段を備える接続先通信装置と、夫々が、前記複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段と、前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記接続先通信装置との間で確立する確立手段とを備える接続元通信装置とを備えることを特徴とする通信システム。
【符号の説明】
【0096】
100 通信装置
101 IKE処理部
102 IPsec処理部
103 データベース格納部
111 伝送インタフェース部
121 SAD
122 SPD
131 共通パラメータ
132 個別パラメータ
200 フロー
300 IPsecトンネル
【技術分野】
【0001】
本発明は、例えば暗号化処理を伴う通信を行う通信装置及び方法、並びに通信システムの技術分野に関する。
【背景技術】
【0002】
インターネット等のネットワーク上での盗聴や改ざん等の不正行為から通信データを保護するために、送信する通信データに対して暗号化処理を施す対応策がとられている。暗号化処理の一例として、IPsec(アイピーセック:Security Architecture for Internet Protocol)と呼ばれる技術が知られている。IPsecでは、通信を行う通信装置間(ノード間)においてIKE(Internet Key Exchange protocol)を用いたSA(Security Association:例えば、IKE_SA及びCHILD_SA)の確立が行われる。以後は、当該SAを管理するデータベースであるSAD(SA Database)を参照することで、通信データの暗号化処理及び復号化処理が行われる。
【0003】
ところで、近年、ネットワークの大容量化及び高速化に伴って、負荷分散や経路冗長を目的として、1つの通信装置内に複数のIPアドレスを収容すると共に当該複数のIPアドレスを用いたマルチホーミングを採用する構成が提案されている。つまり、1つの通信装置が収容する複数のIPアドレスの夫々に通信経路を設定する(言い換えれば、通信を行うIPアドレスの組(フロー)を複数用意する)と共に、当該複数の通信経路を同時に用いることで、マルチホーミングを実現する構成が提案されている。例えば、eNodeBと呼ばれる無線基地局とS−GW(Serving Gateway)及びMME(Mobility Management Entity)等の上位局とを備えるLTE(Long Term Evolution)等の無線通信システムでは、上述したマルチホーミングを用いて無線基地局と上位局との間の通信又は無線基地局と隣接する無線基地局との間の通信を行うことが想定されている。
【0004】
このような1つの通信装置内に複数のIPアドレスを収容する場合には、IPsecは以下のようにSAを確立することを定めている。第1の確立方法として、RFC(Request for Comment)4306に定義されているように、複数のIPアドレスが形成する複数の通信経路の夫々毎に(つまり、複数のIPアドレスの夫々毎に)SAを確立する技術が知られている。つまり、複数のSAを確立する技術が知られている。第2の確立方法として、RFC4355に定義されているように、任意の1つの通信経路(つまり、任意の1つのIPアドレス)に対してSAを確立すると共に、他の通信経路での暗号化処理を行う場合に当該SAを切り替える技術が知られている。
【0005】
経路冗長という観点からは、1つのIPアドレスを有する通信装置を複数設置する構成も想定される。この構成では、例えば、マスタ状態の通信装置(或いは、常用系の通信装置)とバックアップ状態の通信装置(或いは、待機系の通信装置)とを適宜切り替えることで、経路冗長を実現している。マスタ状態の通信装置での暗号化処理を伴う通信中に、暗号化処理に使用されるSAをバックアップ状態の通信装置に予め転送しておくことで、マスタ状態の通信装置からバックアップ状態の通信装置への切り替えに際する情報交換を不要とする技術も提案されている。一方で、1つの通信装置が複数の通信経路を収容する場合に、1つの通信経路をアクティブ回線として指定すると共に当該アクティブ回線に1つの仮想的なアドレスを付与することで、経路冗長を実現する構成も提案されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2004−328563号公報
【特許文献2】特開2004−350025号公報
【特許文献3】特開2008−219679号公報
【非特許文献】
【0007】
【非特許文献1】RFC 4306,“Internet Key Exchange (IKEv2) Protocol”
【非特許文献2】RFC 4555,“MOBIKE Protocol”
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、1つの通信装置内に複数のIPアドレスを収容する際に提案されている上述のSAの確立方法では、以下のような技術的な問題点がある。複数のIPアドレスが形成する複数の通信経路の夫々毎にSAを確立する技術では、全ての通信経路(言い換えれば、全てのIPアドレス)に対してSAを確立するのが望ましい。このため、全ての通信経路に対応するSAを確立するまでに要する時間や処理負荷が非常に大きくなってしまう。SAを切り替える技術では、全ての通信経路に対応するSAを確立しなくてよいものの、SAの切替処理が頻繁に起きるがゆえに処理負荷が相対的に大きくなってしまう。更には、SAを切り替えた後には、切り替え前に使用していた通信経路を用いた通信を行うことができないため、実質的には、複数のIPアドレスに対応する複数の通信経路を同時に用いて通信を行うことができない。
【0009】
マスタ状態の通信装置とバックアップ状態の通信装置とを適宜切り替える技術や複数の通信経路のうちの1つのアクティブ回線に1つの仮想的なアドレスを付与する技術では、そもそも1つの通信装置が収容する複数のIPアドレスに対応する複数の通信経路を同時に用いて通信を行う状態を想定していない。
【0010】
本発明が解決しようとする課題には上記のようなものが一例として挙げられる。本発明は、例えば複数の通信経路を同時に用いて通信を行う場合にも、複数の通信経路の夫々において適切な暗号化処理を行うことを可能とならしめる通信装置及び方法、並びに通信システムを提供することを目的とする。
【課題を解決するための手段】
【0011】
上記課題は、複数の接続元終端手段と、確立手段とを備える通信装置によって解決され得る。複数の接続元終端手段の夫々は、接続先の通信装置(つまり、接続先装置)が備える複数の接続先終端手段のうちの対応する接続先終端手段との間に通信経路を形成する。例えば、複数の接続元終端手段のうちの第1の接続元終端手段は、接続先装置が備える複数の接続先終端手段のうちの第1の接続先終端手段との間に第1の通信経路を形成する。同様に、例えば、複数の接続元終端手段のうちの第2の接続元終端手段は、接続先装置が備える複数の接続先終端手段のうちの第2の接続先終端手段との間に第2の通信経路を形成する。確立手段は、複数の接続先終端手段を備える接続先の通信装置(接続先装置)と間で、単一の暗号化情報を確立する。暗号化情報は、複数の接続元終端手段の夫々と対応する接続先終端手段との間で行われる通信の暗号化処理に使用される情報である。暗号化情報は、複数の接続元終端手段に対応する複数の通信経路に対して共通に用いられる情報である。例えば、第1の接続元終端手段が第1の接続先終端手段との間に第1の通信経路を形成し第2の接続元終端手段が第2の接続先終端手段との間に第2の通信経路を形成する場合には、第1の通信経路における暗号化処理及び第2の通信経路における暗号化処理は共に、共通の(言い換えれば、同一の又は単一の)暗号化情報に基づいて行われる。言い換えれば、第1の通信経路を用いた通信及び第2の通信経路を用いた通信を同時に行う場合には、第1の通信経路における暗号化処理及び第2の通信経路における暗号化処理は共に、共通の(言い換えれば、同一の又は単一の)暗号化情報に基づいて行われる。
【0012】
上記課題は、上述した複数の接続元終端手段を備える通信装置における通信方法であって、上述した暗号化情報を確立する通信方法によって解決され得る。
【0013】
上記課題は、上述した複数の接続先終端手段を備える接続先通信装置と、上述した複数の接続元終端手段及び上述した確立手段を備える接続元通信装置とを備える通信システムによって解決され得る。
【発明の効果】
【0014】
以上説明した通信装置によれば、複数の接続元終端手段に対応する複数の通信経路に対して共通に用いられる単一の暗号化情報に基づいて暗号化処理を行うことができる。このため、複数の接続元終端手段に対応する複数の通信経路の夫々に対して個別に暗号化情報を確立する構成と比較して、暗号化情報の確立に要する時間及び処理負荷を少なくすることができる。共通に用いられる暗号化情報を確立しているため、通信経路の切り替えに伴う暗号化情報の切り替えを行わなくともよい。言い換えれば、共通の暗号化情報に基づいて複数の通信経路を用いた同時通信を行うことができるため、暗号化情報を切り替えることで通信経路を切り替えなくともよい。このため、暗号化情報の切り替えに要する処理時間分のオーバーヘッドをなくして、共通の暗号化情報に基づいて複数の通信経路を用いた同時通信を行うことができる。
【0015】
以上説明した通信方法及び通信システムによれば、上述した通信装置が享受する効果と同様の効果を享受することができる。
【図面の簡単な説明】
【0016】
【図1】本実施形態の通信システムの構成の一例を示すブロック図である。
【図2】本実施形態の通信システムが備える通信装置の構成の一例を示すブロック図である。
【図3】本実施形態の通信システムにおけるSAの確立処理例の流れを示すフローチャートである。
【図4】本実施形態の通信システムにおいて確立されるSAの内容の一例を示すデータ構造図である。
【図5】本実施形態の通信システムにおけるパケット(データ)の送信処理例の流れを示すフローチャートである。
【図6】本実施形態の通信システムにおけるパケット(データ)の受信処理例の流れを示すフローチャートである。
【図7】本実施形態の通信装置が適用された無線基地局の構成の一例を示すブロック図である。
【図8】無線基地局を備える無線通信システムにおける処理例を示すシーケンス図である。
【発明を実施するための最良の形態】
【0017】
以下、図面を参照しながら、本発明を実施するための最良の形態の一例として、通信システムの実施形態について説明を進める。
【0018】
(1)通信システムの構成
図1を参照して、本実施形態の通信システム1の構成の一例について説明する。図1は、本実施形態の通信システム1の構成の一例を示すブロック図である。
【0019】
図1に示すように、通信システム1は、有線又は無線のネットワーク網を介して接続されるイニシエータ側の通信装置100aとレスポンダ側の通信装置100bとを備えている。イニシエータ側の通信装置100aの構成とレスポンダ側の通信装置100bの構成とは同一であってもよいし、異なっていてもよい。以下の説明では、イニシエータ側の通信装置100aの構成とレスポンダ側の通信装置100bの構成とが同一である例について説明する。従って、イニシエータ側の通信装置100aとレスポンダ側の通信装置100bとを区別することなく説明する場合には、「通信装置100」と称して説明を進める。
【0020】
通信装置100aは、夫々に固有のIPアドレスが割り当てられた複数の伝送インタフェース部111aを備えている。「伝送インタフェース部111a」は、「接続元終端手段」の一実施例を構成している。図1は、通信装置100aが、「IP1」というIPアドレスが割り当てられた伝送インタフェース部111a−1と、「IP3」というIPアドレスが割り当てられた伝送インタフェース部111a−2とを備える例を示している。同様に、通信装置100bは、夫々に固有のIPアドレスが割り当てられた複数の伝送インタフェース部111bを備えている。「伝送インタフェース部111b」は、「接続先終端手段」の一実施例を構成している。図1は、通信装置100bが、「IP2」というIPアドレスが割り当てられた伝送インタフェース部111b−1と、「IP4」というIPアドレスが割り当てられた伝送インタフェース部111b−2とを備える例を示している。
【0021】
通信装置100aが備える伝送インタフェース部111a−1と通信装置100bが備える伝送インタフェース部111b−1とは(或いは、伝送インタフェース部111a−1に割り当てられたIPアドレス「IP1」と伝送インタフェース部111b−1に割り当てられたIPアドレス「IP3」とは)、論理的な通信回線ないしは通信経路であるフロー200aを形成している。同様に、通信装置100aが備える伝送インタフェース部111a−2と通信装置100bが備える伝送インタフェース部111b−2とは(或いは、伝送インタフェース部111a−2に割り当てられたIPアドレス「IP2」と伝送インタフェース部111b−2に割り当てられたIPアドレス「IP4」とは)、論理的な通信回線ないしは通信経路であるフロー200bを形成している。
【0022】
本実施形態では、複数のフロー200a及び200bは、複数の通信フロー200a及び200bによって共通に使用される単一のSA(Security Association)により規定される単一のIPsecトンネル300に収容されている。従って、伝送インタフェース部111a−1と伝送インタフェース部111b−1との間の通信及び伝送インタフェース部111a−2と伝送インタフェース部111b−2との間の通信の夫々に対して、同一のSAによって実現される暗号化処理が行われる。
【0023】
図1に示す「伝送インタフェース部111の数(言い換えれば、IPアドレスの数)」は一例であって、夫々に固有のIPアドレスが割り当てられた3つ以上の伝送インタフェース部111を1つの通信装置100が備えていてもよい。つまり、1つの通信装置100が3つ以上のIPアドレスを収容してもよい。
【0024】
1つの通信装置100が収容する複数のIPアドレスに対応する複数のフロー200の全てが1つのIPsecトンネル300に収容されていなくともよい。言い換えれば、複数のフロー200のうちの少なくとも2つ以上のフロー200が1つのIPsecトンネル300に収容されていれば、通信装置100aと通信装置100bとの間の論理的な通信回線の収容状態は任意である。例えば、1つの通信装置100が収容するM(Mは3以上の整数)個のIPアドレスのうちの第1番目のIPアドレスから第k(kは、1<k<Mを満たす整数)番目のIPアドレスに対応するk個のフロー200が第1のIPsecトンネル300に収容され、1つの通信装置100が収容するM個のIPアドレスのうちの第k+1番目のIPアドレスから第M番目のIPアドレスに対応するM−k個のフロー200が第2のIPsecトンネル300に収容されるように構成してもよい。この場合には、第1番目のIPアドレスから第k番目のIPアドレスに対応するk個のフロー200によって共通に使用される単一の第1SAと、第k+1番目のIPアドレスから第M番目のIPアドレスに対応するM−k個のフロー200によって共通に使用される単一の第2SAとが確立されることが好ましい。
【0025】
図1は、説明の簡略化のために2つの通信装置100を備える通信システム1について説明している。しかしながら、3つ以上の通信装置100を備えるように構成してもよいことは言うまでもない。3つ以上の通信装置100を備える場合であっても、任意の又は所望の2つの通信装置100間の状態は、図1に示す2つの通信装置100間の状態と同一となるように構成することが好ましい。3つ以上の通信装置100を備える通信システムに対して後述する処理を行うように構成すれば、2つの通信装置100を備える通信システム1と同様の効果を享受することができる。
【0026】
(2)通信装置の構成
図2を参照して、本実施形態の通信システム1が備える通信装置100の構成の一例について説明する。図2は、本実施形態の通信システム1が備える通信装置100の構成の一例を示すブロック図である。
【0027】
図2に示すように、通信装置100は、IKE(Internet Key Exchange protocol)処理部101と、IPsec処理部102と、データベース格納部103と、伝送インタフェース部111−1と、伝送インタフェース部111−2とを備えている。
【0028】
IKE処理部101は、「確立手段」の一実施例を構成しており、IKEによるネゴシエーションを行うことでSA(例えば、IKE_SA及びCHILD_SA)を確立する。本実施形態では、IKE処理部101は、複数の伝送インタフェース部111−1及び111−2に共通する(言い換えれば、複数のフロー200に共通する)単一のSAを確立する。
【0029】
IPsec処理部102は、IKE処理部101によって確立されたSAを用いて、送信するべきパケットの暗号化処理を行う。暗号化処理を行ったパケットは、伝送インタフェース部111−1又は111−2に転送される。これにより、パケットの送信処理が行われる。同様に、IPsec処理部102は、伝送インタフェース部111−1又は111−2から転送されてきたパケットの復号化処理を行う。これにより、パケットの受信処理が行われる。
【0030】
データベース格納部103は、IKE処理部101によって確立されたSAを管理するSAD(Security Association Database)121と、どのSAD121を使用するかを決定するSP(Security Policy)を管理するSPD(Security Policy Database)122とを格納している。データベース格納部103は、例えばRAM等の半導体メモリを備えている。
【0031】
伝送インタフェース部111−1は、IPsec処理部102から転送されてきたパケットを、送信先の通信装置100が備える伝送インタフェース部111−1に対して送信する。伝送インタフェース部111−1は、送信先の通信装置100が備える伝送インタフェース部111−1から送信されてきたパケットを、IPsec処理部102に対して転送する。
【0032】
伝送インタフェース部111−2は、IPsec処理部102から転送されてきたパケットを、送信先の通信装置100が備える伝送インタフェース部111−2に対して送信する。伝送インタフェース部111−2は、送信先の通信装置100が備える伝送インタフェース部111−2から送信されてきたパケットを、IPsec処理部102に対して転送する。
【0033】
(3)処理例
図3から図6を参照して、本実施形態の通信システム1の処理例について説明する。
【0034】
(3−1)SAの確立処理例
図3を参照して、本実施形態の通信システム1におけるSAの確立処理例について説明する。図3は、本実施形態の通信システム1におけるSAの確立処理例の流れを示すフローチャートである。
【0035】
図3に示すように、通信装置100a(つまり、イニシエータ側の通信装置100)が備えるIKE処理部101は、通信装置100aが複数のフロー200を終端しているか否か(言い換えれば、収容しているか否か)を判定する(ステップS101)。つまり、通信装置100aが備えるIKE処理部101は、通信装置100aが複数のIPアドレスを収容しているか否かを判定する。
【0036】
ステップS101における判定の結果、通信装置100aが複数のフロー200を終端していると判定された場合には(ステップS101:Yes)、通信装置100aが備えるIKE処理部101は、SA(例えば、IKE_SA)を確立するためのメッセージであるIKE_SA_INIT_requestメッセージ中に、(i)通信装置100aが終端しているフロー200の数及び(ii)各フロー200を特定するための情報を少なくとも設定する(ステップS101)。例えば、図1に示す例では、通信装置100aが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージ中に、通信装置100aが終端しているフロー200の数として、「2」を設定する。同様に、図1に示す例では、通信装置100aが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージ中に、フロー200aを特定するための情報(例えば、フロー200aを識別するためのフローID「#1」、フロー200aのイニシエータ側(通信装置100a側)の終端点のIPアドレス「IP1」、及びフロー200aのレスポンダ側(通信装置100b側)の終端点のIPアドレス「IP3」等)を設定する。同様に、図1に示す例では、通信装置100aが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージ中に、フロー200bを特定するための情報(例えば、フロー200bを識別するためのフローID「#2」、フロー200bのイニシエータ側(通信装置100a側)の終端点のIPアドレス「IP2」、及びフロー200bのレスポンダ側(通信装置100b側)の終端点のIPアドレス「IP4」等)を設定する。
【0037】
通信装置100aが備えるIKE処理部101は、伝送インタフェース部111a−1及び111a−2のいずれか一方を介して、IKE_SA_INIT_requestメッセージを通信装置100b(つまり、レスポンダ側の通信装置100)が備える伝送インタフェース部111b−1及び111b−2のいずれか一方へと送信する(ステップS103)。言い換えれば、通信装置100aが備えるIKE処理部101は、「IP1」及び「IP2」のいずれか一方のIPアドレスを送信元とし且つ「IP3」及び「IP4」のいずれか一方のIPアドレスを送信先として、IKE_SA_INIT_requestメッセージを通信装置100b(つまり、レスポンダ側の通信装置100)へと送信する(ステップS103)。IKE_SA_INIT_requestメッセージを送信するために使用されるIPアドレスは予め設定されていてもよい。或いは、IKE_SA_INIT_requestメッセージを送信するために使用されるIPアドレスは、当該メッセージの送信の都度適宜設定されてもよい。
【0038】
他方で、ステップS101における判定の結果、通信装置100aが複数のフロー200を終端していないと判定された場合には(ステップS101:No)、通信装置100aが備えるIKE処理部101は、ステップS102の処理を行うことなくステップS103の処理を行う。つまり、通信装置100aが備えるIKE処理部101は、通信装置100aが1つのフロー200を終端する場合の通常の手順で、IKE_SA_INIT_requestメッセージを送信する。通信装置100aが複数のIPアドレスを収容している場合には、通信装置100aが備えるIKE処理部101は、ステップS102の処理を行ってもよい。
【0039】
通信装置100bが備えるIKE処理部101は、通信装置100aから送信されるIKE_SA_INIT_requestメッセージを受信する(ステップS111)。
【0040】
通信装置100bが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージに基づいて、通信装置100aが複数のフロー200を終端しているか否かを判定する(ステップS112)。例えば、通信装置100bが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージに設定されている「フロー200の数」を参照することで、通信装置100aが複数のフロー200を終端しているか否かを判定する。
【0041】
ステップS112における判定の結果、通信装置100aが複数のフロー200を終端していないと判定された場合には(ステップS112:No)、通信装置100bが備えるIKE処理部101は、後述するステップS113からステップS115の処理を行うことなく、IKE_SA_INIT_responseメッセージを通信装置100aへと送信する(ステップS116)。つまり、通信装置100bが備えるIKE処理部101は、通信装置100aと通信装置100bとの間に1つのフロー200が形成される(つまり、通信装置100a及び通信装置100bの夫々が1つのIPアドレスを収容する)場合の通常の手順で、IKE_SA_INIT_responseメッセージを送信する。通信装置100aが備えるIKE処理部101が、通信装置100bから送信されるIKE_SA_INIT_responseメッセージを受信する(ステップS104)。これにより、通信装置100aと通信装置100bとの間で、SAの一例であるIKE_SA(例えば、通信装置100aと通信装置100bとの間の鍵交換を保護する又はCHILD_SAを確立する際に用いられるSA)が確立される。この場合には、IKE_SA_INIT_request/responseメッセージの送受信を行ったIPアドレス間においてのみ、SAが確立される。
【0042】
通信装置100aが備えるIKE処理部101は、ステップS104及びステップS116において確立されたSAに基づいて、SA(例えば、CHILD_SA)を確立するためのメッセージであるIKE_AUTH_requestメッセージを通信装置100bへと送信する(ステップS105)。通信装置100bが備えるIKE処理部101は、通信装置100aから送信されるIKE_AUTH_requestメッセージを受信する(ステップS117)。通信装置100bが備えるIKE処理部101は、IKE_AUTH_responseメッセージを通信装置100aへと送信する(ステップS118)。通信装置100aが備えるIKE処理部101は、通信装置100bから送信されるIKE_AUTH_responseメッセージを受信する(ステップS106)。これにより、通信装置100aと通信装置100bとの間で、SAの一例であるCHILD_SA(例えば、実際に送受信されるパケットを暗号化する際に用いられるSA)が確立される。この場合には、IKE_SA_INIT_request/responseメッセージの送受信を行ったIPアドレス間においてのみ、SAが確立される。
【0043】
他方で、ステップS112における判定の結果、通信装置100aが複数のフロー200を終端していると判定された場合には(ステップS112:Yes)、通信装置100bが備えるIKE処理部101は、通信装置100bが複数のフロー200を終端しているか否か(言い換えれば、収容しているか否か)を判定する(ステップS113)。つまり、通信装置100bが備えるIKE処理部101は、通信装置100bが複数のIPアドレスを収容しているか否かを判定する。
【0044】
ステップS113における判定の結果、通信装置100bが複数のフロー200を終端していないと判定された場合には(ステップS113:No)、通信装置100bが備えるIKE処理部101は、ステップS113からステップS115の処理を行うことなく、IKE_SA_INIT_responseメッセージを通信装置100aへと送信する(ステップS116)。つまり、通信装置100bが複数のフロー200を終端していないと判定された場合には、通信装置100bが備えるIKE処理部101は、通信装置100aが複数のフロー200を終端していないと判定された場合と同様の処理を行う。以降は、通信装置100aが複数のフロー200を終端していないと判定された場合と同様の処理が行われることで、通信装置100aと通信装置100bとの間で、SA(例えば、IKE_SA及びCHILD_SA)が確立される。この場合には、IKE_SA_INIT_request/responseメッセージの送受信を行ったIPアドレス間においてのみ、SAが確立される。
【0045】
他方で、ステップS113における判定の結果、通信装置100bが複数のフロー200を終端していると判定された場合には(ステップS113:Yes)、通信装置100bが備えるIKE処理部101は、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200を、通信装置200bが終端することができるか否かを判定する(ステップS114)。例えば、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200のレスポンダ側の終端点のIPアドレスが、通信装置100bが収容するIPアドレスと一致する場合には、IKE_SA_INIT_requestメッセージに設定されている各フロー200を通信装置200bが終端することができると判定されてもよい。他方で、例えば、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200のレスポンダ側の終端点のIPアドレスが、通信装置100bが収容するIPアドレスと一致しない場合には、IKE_SA_INIT_requestメッセージに設定されている各フロー200を通信装置200bが終端することができないと判定されてもよい。
【0046】
ステップS114における判定の結果、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200を通信装置200bが終端することができると判定された場合には(ステップS114:Yes)、通信装置100bが備えるIKE処理部101は、IKE_SA_INIT_responseメッセージ中に、終端可能と判定されたフロー200を特定するための情報を設定する(ステップS115)。通信装置100bが備えるIKE処理部101は、次のフロー200を対象としてステップS114の処理を行う。
【0047】
他方で、ステップS114における判定の結果、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている各フロー200を通信装置200bが終端することができないと判定された場合には(ステップS114:No)、通信装置100bが備えるIKE処理部101は、IKE_SA_INIT_requestメッセージ中に終端可能と判定されたフロー200を特定するための情報を設定することなく、次のフロー200を対象としてステップS114の処理を行う。
【0048】
以上説明したステップS114及びステップS115の処理が、通信装置100aから送信されたIKE_SA_INIT_requestメッセージに設定されている複数のフロー200を対象として順に行われる。例えば、図1に示す例では、例えば、フロー200aを対象としてステップS114及びステップS115の処理が行われ、且つ、フロー200bを対象としてステップS114及びステップS115の処理が行われる。
【0049】
上述したように、通信装置100aと通信装置100bとの間でIKE_SA_INIT_responseメッセージ、IKE_AUTH_requestメッセージ及びIKE_AUTH_responseメッセージの送受信が行われることで、通信装置100aと通信装置100bとの間でSAが確立される(ステップS104からステップS106及びステップS116からステップS118)。この場合には、IKE_SA_INIT_request/responseメッセージの送受信を行ったIPアドレス間においてのみならず他のIPアドレス間においても、SAが確立される。つまり、複数のフロー200に共通のSAが確立される。
【0050】
以上説明した処理によって確立されるSAのうち通信装置100a及び100bの双方が複数のフロー200を終端することができる場合に確立されるSAについて、図4を参照してより詳細に説明する。図4は、本実施形態の通信システム1において確立されるSAの内容の一例を示すデータ構造図である。
【0051】
図4に示すように、SA(或いは、SAを管理するSAD121)は、例えば、複数のフロー200全体に共通する共通パラメータ131を含んでいる。SAは、各フロー200に固有の個別パラメータ132を、フロー200の数だけ含んでいる。
【0052】
共通パラメータ131は、例えば、SAにてパケットを暗号化するためのアルゴリズムを示す暗号化アルゴリズムと、暗号化アルゴリズムにて使用される暗号鍵と、SAにてパケットの認証処理を行うためのアルゴリズムを示す認証アルゴリズムと、認証アルゴリズムにて使用される認証鍵と、SAを特定するために使用されるSPI(Security Parameter Index)と、SAの使用可能時間及び使用量を示すライフデュレーションとを含んでいる。例えば、図4では、暗号化アルゴリズムが「3des−cbc」であり、暗号鍵が「zzzzzzzzzz」であり、認証アルゴリズムが「hmac−sha−1−96」であり、認証鍵が「cccccccccc」であり、SPIが「0xaaaaaaaa」であり、ライフデュレーションが「T(秒/バイト)」である共通パラメータ131の例が開示されている。共通パラメータ131は、複数のフロー200の全てに共通のものとして識別することができる態様で、IKE_SA_INIT_requestメッセージ、IKE_SA_INIT_responseメッセージ、IKE_AUTH_requestメッセージ及びIKE_AUTH_responseメッセージを用いて、通信装置100aと通信装置100bとの間で交換される又は送受信されることが好ましい。
【0053】
個別パラメータ132は、例えば、IKE_SA_INIT_request/responseメッセージで交換したソースIPアドレス(イニシエータ側のIPアドレス)と、IKE_SA_INIT_request/responseメッセージで交換したデスティネーションIPアドレス(レスポンダ側のIPアドレス)と、ESN(Enhanced Sequence Number)の適用の有無を示すESN適用有無情報と、CHILD_SAを使用して暗号化処理が施されたパケットに付与する送信シーケンス番号と、暗号化処理が施されたパケットを受信した際にシーケンス番号の検証に用いられるアンチリプレイウインドウ(Anti-Replay Window)とを含んでいる。図4では、フロー200(#1)及びフロー200(#2)の夫々に対して個別パラメータ132が設けられる例が開示されている。図4では、ソースIPアドレスが「IP1」であり、デスティネーションIPアドレスが「IP3」であり、ESN適用有無情報が「有」であり、送信シーケンス番号が「0」であり、アンチリプレイウインドウが「0/0xbbbbbbbb」となるフロー200(#1)に対応する個別パラメータ132の例が開示されている。図4では、ソースIPアドレスが「IP2」であり、デスティネーションIPアドレスが「IP4」であり、ESN適用有無情報が「有」であり、送信シーケンス番号が「0」であり、アンチリプレイウインドウが「0/0xcccccccc」となるフロー200(#2)に対応する個別パラメータ132の例が開示されている。個別パラメータ132は、フロー200単位で区別することが可能な態様で、IKE_SA_INIT_requestメッセージ、IKE_SA_INIT_responseメッセージ、IKE_AUTH_requestメッセージ及びIKE_AUTH_responseメッセージを用いて、通信装置100aと通信装置100bとの間で交換される又は送受信されることが好ましい。
【0054】
通信装置100a及び100bの双方が複数のフロー200を終端することができない場合に確立されるSAは、従来のSAと同一のデータ構造を有するSAとなる。このため、本実施形態では、説明の簡略化のため、通信装置100a及び100bの双方が複数のフロー200を終端することができない場合に確立されるSAの詳細な説明については省略する。
【0055】
(3−2)パケット(データ)の送信処理例
図5を参照して、本実施形態の通信システム1におけるパケット(データ)の送信処理例について説明する。図5は、本実施形態の通信システム1におけるパケット(データ)の送信処理例の流れを示すフローチャートである。図5では、イニシエータ側の通信装置100aがレスポンダ側の通信装置100bに対してパケットを送信する場合の処理例について説明する。つまり、イニシエータ側の通信装置100aによる送信処理について説明する。レスポンダ側の通信装置100bがイニシエータ側の通信装置100aに対してパケットを送信する場合にも、同様の処理が行われてもよい。
【0056】
図5に示すように、IPsec処理部102は、送信するべきパケットに対して適用することが可能なSAが存在するか否かを判定する(ステップS121)。例えば、IPsec処理部102は、パケットを送信する際に用いるフロー200に対する暗号化処理を規定しているSAがSAD121によって管理されているか否かを判定してもよい。
【0057】
ステップS121における判定の結果、送信するべきパケットに対して適用することが可能なSAが存在しないと判定された場合には(ステップS121:No)、IPsec処理部102は、送信するべきパケットを破棄する(ステップS128)。IPsec処理部102は、送信処理を終了する。或いは、IPsec処理部102は、次に送信するべきパケットに対して、ステップS121以降の処理を繰り返してもよい。
【0058】
他方で、ステップS121における判定の結果、送信するべきパケットに対して適用することが可能なSAが存在すると判定された場合には(ステップS121:Yes)、IPsec処理部102は、パケットの送信に使用するフロー200を選択する(ステップS122)。例えば、図1に示す例で言えば、IPsec処理部102は、フロー200a及び200bのうちパケットの送信に使用するフロー200を選択する。パケットの送信モードがトンネルモードである場合には、1つのフロー200が選択されてもよし、複数のフロー200が選択されてもよい。他方で、パケットの送信モードがトランスポートモードである場合には、1つのフロー200が選択されることが好ましいが、複数のフロー200が選択されてもよい。
【0059】
IPsec処理部102は、SAD121を参照することで、ステップS122において選択されたフロー200に対応する個別パラメータ132から、シーケンス番号を取得する(ステップS123)。IPsec処理部102は、SAD121が管理するSAに含まれる共通パラメータ131を参照することでパケットに対して暗号化処理を施すと共に、ステップS123において取得されたシーケンス番号を暗号化処理が施されたパケットに対して付与する(ステップS124)。
【0060】
IPsec処理部102は、パケットの送信モードがトンネルモードであるか否かを判定する(ステップS125)。
【0061】
ステップS125における判定の結果、パケットの送信モードがトンネルモードであると判定された場合には(ステップS125:Yes)、IPsec処理部102は、ステップS122において選択された複数のフロー200に対してランダムに、規則的に又は周期的にパケットを割り当てることで、暗号化処理が施されたパケットのカプセル化を行う。IPsec処理部102は、暗号化処理が施されたパケットをレスポンダ側の通信装置100bに対して送信する(ステップS127)。
【0062】
他方で、ステップS125における判定の結果、パケットの送信モードがトンネルモードでない(つまり、トランスポートモードである)と判定された場合には(ステップS125:Yes)、IPsec処理部102は、暗号化処理が施されたパケットをレスポンダ側の通信装置100bに対して送信する(ステップS127)。
【0063】
(3−3)パケット(データ)の受信処理例
図6を参照して、本実施形態の通信システム1におけるパケット(データ)の受信処理例について説明する。図6は、本実施形態の通信システム1におけるパケット(データ)の受信処理例の流れを示すフローチャートである。図6では、イニシエータ側の通信装置100aから送信されたパケットをレスポンダ側の通信装置100bが受信する場合の処理例について説明する。つまり、レスポンダ側の通信装置100bによる受信処理について説明する。レスポンダ側の通信装置100bから送信されたパケットをイニシエータ側の通信装置100aが受信する場合にも、同様の処理が行われてもよい。
【0064】
図6に示すように、IPsec処理部102は、暗号化されたパケットを受信する(ステップS130)。IPsec処理部102は、受信したパケットに対して適用することが可能なSAが存在するか否かを判定する(ステップS131)。例えば、IPsec処理部102は、受信したパケットのヘッダ部分に含まれているSPIがSAD121によって管理されているSAの共通パラメータ131に含まれるSPIと一致する場合に、受信したパケットに対して適用することが可能なSAが存在すると判定してもよい。
【0065】
ステップS131における判定の結果、受信したパケットに対して適用することが可能なSAが存在しないと判定された場合には(ステップS131:No)、IPsec処理部102は、受信したパケットを破棄する(ステップS139)。IPsec処理部102は、受信処理を終了する。或いは、IPsec処理部102は、次に受信したパケットに対して、ステップS131以降の処理を繰り返してもよい。
【0066】
他方で、ステップS131における判定の結果、受信したパケットに対して適用することが可能なSAが存在すると判定された場合には(ステップS131:Yes)、IPsec処理部102は、SAD121が管理するSA内に、パケットを受信したときに使用したフロー200に対応する個別パラメータ132が含まれているか否かを判定する(ステップS132)。IPsec処理部102は、例えば、受信したパケットのソースIPアドレス及びデスティネーションIPアドレスと同一のソースIPアドレス及びデスティネーションIPアドレスを含む個別パラメータ132が含まれている場合に、パケットを受信したときに使用したフロー200に対応する個別パラメータ132が含まれていると判定してもよい。
【0067】
ステップS132における判定の結果、パケットを受信したときに使用したフロー200に対応する個別パラメータ132が含まれていないと判定された場合には(ステップS132:No)、IPsec処理部102は、受信したパケットを破棄する(ステップS139)。IPsec処理部102は、受信処理を終了する。或いは、IPsec処理部102は、次に受信したパケットに対して、ステップS131以降の処理を繰り返してもよい。
【0068】
他方で、ステップS132における判定の結果、パケットを受信したときに使用したフロー200に対応する個別パラメータ132が含まれていると判定された場合には(ステップS132:No)、IPsec処理部102は、パケットを受信したときに使用したフロー200に対応する個別パラメータ132からアンチリプレイウインドウを取得する(ステップS133)。IPsec処理部102は、ステップS133において取得されたアンチリプレイウインドウのチェックを行いながらシーケンス番号の検証を行う(ステップS134)。
【0069】
IPsec処理部102は、ステップS134において行われたシーケンス番号の検証に問題がなかったか否かを判定する(ステップS135)。
【0070】
ステップS135における判定の結果、ステップS134において行われたシーケンス番号の検証に問題があったと判定された場合には(ステップS135:No)、IPsec処理部102は、受信したパケットを破棄する(ステップS139)。IPsec処理部102は、受信処理を終了する。或いは、IPsec処理部102は、次に受信したパケットに対して、ステップS131以降の処理を繰り返してもよい。
【0071】
他方で、ステップS135における判定の結果、ステップS134において行われたシーケンス番号の検証に問題がなかったと判定された場合には(ステップS135:Yes)、IPsec処理部102は、SAD121が管理するSAに含まれる共通パラメータ131を参照することで、暗号化処理が施されたパケットに対して復号化処理を施す(ステップS136)。
【0072】
IPsec処理部102は、ステップS136において行われた復号化処理が正しく行われたか否かを判定する(ステップS137)。
【0073】
ステップS137における判定の結果、ステップS136において行われた復号化処理が正しく行われなかったと判定された場合には(ステップS137:No)、IPsec処理部102は、受信したパケットを破棄する(ステップS139)。IPsec処理部102は、受信処理を終了する。或いは、IPsec処理部102は、次に受信したパケットに対して、ステップS131以降の処理を繰り返してもよい。
【0074】
他方で、ステップS137における判定の結果、ステップS136において行われた復号化処理が正しく行われたと判定された場合には(ステップS137:Yes)、IPsec処理部102は、復号化処理が施されたパケットを取得する(ステップS138)。
【0075】
本実施形態の通信システム1によれば、複数のフロー200に対して共通の1つのSAを確立することができる。つまり、本実施形態の通信システム1によれば、複数のフロー200の夫々の暗号通信を共通の1つのSAに収容することができる。このため、複数のフロー200の夫々毎に個別にSAを確立する構成と比較して、SAの確立に要する時間負荷及び処理負荷を少なくすることができる。例えば、1つのSAを確立するために使用されるメッセージ数が「4」であり、レスポンダ側の通信装置100bの数が「500」であり、且つ1つのレスポンダ側の通信装置100bが収容するIPアドレスの数が「2」である比較例について説明する。比較例では、イニシエータ側の通信装置100aが複数のフロー200の夫々毎に個別にSAを確立する場合には、通信装置100aは、4×2×500=4000メッセージの送受信を行う。一方で、本実施形態の通信システム1によれば、イニシエータ側の通信装置100aは、4×1×500=2000メッセージの送受信を行えば足りる。SAの確立に要する時間負荷及び処理負荷の低減は、1つの通信装置100bに収容されるIPアドレスの数が多いほど顕著になる。
【0076】
本実施形態の通信システム1によれば、複数のフロー200に対して共通の1つのSAを確立することができるため、実際の通信に用いるフロー200の切り替えに伴うSAの切り替えを行わなくともよい。言い換えれば、共通のSAに基づいて複数のフロー200を用いた同時通信を行うことができるため、SAを切り替えることでフロー200を切り替えなくともよい。このため、SAの切り替えに要する処理時間分のオーバーヘッドをなくしながら、共通のSAに基づく複数のフロー200を用いた同時通信を行うことができる。
【0077】
通常のSAの切り替え処理では、SA内において規定されるソースIPアドレス及びデスティネーションIPアドレスの書き換えが行われるのみである。このため、切り替え後のSAによっては、シーケンス番号やアンチリプレイウインドウついては切り替え前の状態を維持しかねない。従って、シーケンス番号やアンチリプレイウインドウのチェックが正しく行われない場合も生じ得る。しかしながら、本実施形態の通信システム1によれば、複数のフロー200の全てを対象として各フロー200に固有の個別パラメータ132をSA内に含めることができる。言い換えれば、共通のSA内に含まれる情報を共通パラメータ131と個別パラメータ132とに分けて管理することができる。このため、複数のフロー200を用いた通信が行われたとしても、フロー200毎に適切なパラメータを参照することができる。従って、複数のフロー200の夫々毎に、シーケンス番号やアンチリプレイウインドウのチェックを正しく行うことができる。
【0078】
複数のフロー200を1つの通信装置100が終端することができる場合には、通信装置100は、SAの確立に使用される情報をフロー200単位で取得及び交換している。このため、本実施形態の通信システム1によれば、複数のフロー200に共通の1つのSAを好適に確立することができる。
【0079】
パケットの送受信時には、通信装置100は、送受信に用いるフロー200に対応する個別パラメータ132を取得した上で、暗号化処理等を行う。このため、複数のフロー200に共通の1つのSAを確立したとしても、フロー200毎に適切な送受信を行うことができる。
【0080】
通信装置100は、トンネルモード時には、同一の宛先に対して送信される複数のパケットを複数のフロー200を用いて同時に送信することができる。このため、フロー200の割当に応じた負荷分散をより好適に実現することができる。
【0081】
(4)無線通信システムへの適用例
図7及び図8を参照して、上述した通信装置100を、携帯電話等の無線通信システムに用いられる無線基地局に対して適用した場合の例について説明する。図7は、本実施形態の通信装置100が適用された無線基地局500の構成の一例を示すブロック図であり、図8は、無線基地局500を備える無線通信システムにおける処理例を示すシーケンス図である。以下に説明する無線基地局は、LTE(Long Term Evolution)規格に準拠した無線基地局に相当する。LTE規格以外の各種規格に準拠する無線基地局に対して本実施形態の通信装置100を適用してもよい。
【0082】
図7に示すように、無線基地局(eNB:eNodeB)500は、無線制御装置(REC:Radio Equipment Control)510と、無線装置(RE:Radio Equipment)520と、アンテナ(或いは、その他の各種ALD(Antenna Line Device))530とを備えている。無線制御装置510は、上述した通信装置100と、ベースバンド処理部511と、局内インタフェース部512と、基地局制御部513とを備えている。無線装置520は、局内インタフェース部521と、無線送受信処理部522と、増幅器523とを備えている。
【0083】
無線基地局500から不図示の移動端末(UE:User Equipment)に向けてデータを送信する場合には、ベースバンド処理部511は、基地局制御部513の制御の下に、不図示の移動端末に送信するべきデータに対してベースバンド処理を行う。ベースバンド処理部511は、ベースバンド処理が行われたデータを、局内インタフェース部512を介して無線装置520へと転送する。無線送受信処理部522は、局内インタフェース部521を介して無線制御装置510から転送されるデータに対して無線信号処理(RF信号処理)を行う。無線送受信処理部522は、増幅器523における増幅処理を行った後、アンテナ530を介してデータを移動端末に対して送信する。これにより、データの送信(つまり、下り方向の無線通信)が行われる。
【0084】
無線基地局500が不図示の移動端末からデータを受信する場合には、無線送受信処理部522は、移動端末から送信されるデータを、アンテナ530を介して受信する。無線送受信処理部522は、受信したデータに対して無線信号処理を行う。無線送受信処理部522は、無線信号処理が行われたデータを、局内インタフェース部521を介して無線制御装置510へと転送する。ベースバンド処理部511は、基地局制御部513の制御の下に、局内インタフェース部512を介して無線装置520から転送されるデータに対してベースバンド処理を行う。これにより、データの受信(つまり、上り方向の無線通信)が行われる。
【0085】
無線基地局がMME(Mobility Management Entity)及びS−GW(Serving Gateway)等の上位局又は当該無線基地局500に隣接する若しくは近接する他の無線基地局500に対してデータの送受信を行う場合には、上述した通信装置100と概ね同様の処理が行われる。具体的には、初期コネクションを確立するシーケンスを一例として示す図8に示すように、無線基地局500は、上述した図3のステップS101からステップS106までの処理を行う。上位局は、上述した図3のステップS111からステップS118までの処理を行う。これにより、無線基地局500と上位局との間でSAが確立される。移動端末と無線基地局500との間のRRC(Radio Resource Connection)の確立のため、移動端末から無線基地局500に対して、RRC_Connection_requestメッセージが送信される。続いて、無線基地局500から移動端末に対して、RRC_Connection_Setupメッセージが送信される。続いて、移動端末から無線基地局500に対して、RRC_Connection_Setup_Completeメッセージが送信される。これにより、移動端末と無線基地局500との間のRRCが確立される。続いて、無線基地局500から上位局に対して、INITIAL_UE_MESSAGEが送信される。係る処理は、上述した図5のフローに基づいて行われる。続いて、上位局から無線基地局500に対して、INITIAL_Context_Setup_requestメッセージが送信される。係る処理は、上述した図6のフローに基づいて行われる。以降は、無線基地局500から上位局に対してデータを送信する都度、上述した図5のフローに基づく処理が行われ、上位局から無線基地局500に対してデータを送信する都度、上述した図6のフローに基づく処理が行われる。
【0086】
無線基地局500によれば、無線基地局500と上位局との間の通信又は無線基地局500と隣接する若しくは近接する他の無線基地局500との間の通信に対して、上述した通信装置100が行う処理が適用される。このため、無線基地局500は、上述した通信装置100が享受する効果と同様の効果を享受することができる。
【0087】
以上説明した実施形態に関して、更に以下の付記を開示する。
【0088】
(付記1)
夫々が、複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段と、前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記複数の接続先終端手段を備える接続先装置との間で確立する確立手段とを備えることを特徴とする通信装置。
【0089】
(付記2)
前記暗号化情報は、複数の前記通信経路の夫々毎に個別の情報、及び複数の前記通信経路に共通の情報を含むことを特徴とする付記1に記載の通信装置。
【0090】
(付記3)
前記個別の情報は、前記接続元終端手段を特定する情報、前記接続先終端手段を特定する情報、前記通信経路における通信の整合性を図るためのシーケンス番号及び前記シーケンス番号の検証に用いられる情報の少なくとも一つを含むことを特徴とする付記2に記載の通信装置。
【0091】
(付記4)
前記共通の情報は、暗号化処理に用いられるアルゴリズムを特定する情報、暗号化処理に用いられる暗号鍵を特定する情報、認証処理に用いられるアルゴリズムを特定する情報、認証処理に用いられる認証鍵を特定する情報、前記暗号化情報を識別するための識別情報、及び前記暗号化情報が使用される期間を特定する情報の少なくとも一つを含むことを特徴とする付記2又は3に記載の通信装置。
【0092】
(付記5)
前記確立手段は、複数の前記通信経路の夫々毎に前記暗号化処理で使用される情報を前記接続先装置との間で交換することで、当該交換した情報をまとめて含む前記暗号化情報を確立することを特徴とする付記1から4のいずれか一項に記載の通信装置。
【0093】
(付記6)
前記複数の通信経路のうちの一の通信を用いた通信を行う場合に、前記暗号化情報の中から前記一の通信経路に対応する情報部分を選択する選択手段と、前記選択された情報部分に基づく暗号化処理を行うことで、前記一の通信経路を用いた通信を行う通信手段とを更に備えることを特徴とする付記1から5のいずれか一項に記載の通信装置。
【0094】
(付記7)
夫々が、複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段を備える通信装置における通信方法であって、前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記複数の接続先終端手段を備える接続先装置との間で確立することを特徴とする通信方法。
【0095】
(付記8)
複数の接続先終端手段を備える接続先通信装置と、夫々が、前記複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段と、前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記接続先通信装置との間で確立する確立手段とを備える接続元通信装置とを備えることを特徴とする通信システム。
【符号の説明】
【0096】
100 通信装置
101 IKE処理部
102 IPsec処理部
103 データベース格納部
111 伝送インタフェース部
121 SAD
122 SPD
131 共通パラメータ
132 個別パラメータ
200 フロー
300 IPsecトンネル
【特許請求の範囲】
【請求項1】
夫々が、複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段と、
前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記複数の接続先終端手段を備える接続先装置との間で確立する確立手段と
を備えることを特徴とする通信装置。
【請求項2】
前記暗号化情報は、複数の前記通信経路の夫々毎に個別の情報、及び複数の前記通信経路に共通の情報を含むことを特徴とする請求項1に記載の通信装置。
【請求項3】
前記確立手段は、複数の前記通信経路の夫々毎に前記暗号化処理に使用される情報を前記接続先装置との間で交換することで、当該交換した情報をまとめて含む前記暗号化情報を確立することを特徴とする請求項1又は2に記載の通信装置。
【請求項4】
前記複数の通信経路のうちの一の通信を用いた通信を行う場合に、前記暗号化情報の中から前記一の通信経路に対応する情報部分を選択する選択手段と、
前記選択された情報部分に基づく暗号化処理を行うことで、前記一の通信経路を用いた通信を行う通信手段と
を更に備えることを特徴とする請求項1から3のいずれか一項に記載の通信装置。
【請求項5】
夫々が、複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段を備える通信装置における通信方法であって、
前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記複数の接続先終端手段を備える接続先装置との間で確立することを特徴とする通信方法。
【請求項6】
複数の接続先終端手段を備える接続先通信装置と、
夫々が、前記複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段と、前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記接続先通信装置との間で確立する確立手段とを備える接続元通信装置と
を備えることを特徴とする通信システム。
【請求項1】
夫々が、複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段と、
前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記複数の接続先終端手段を備える接続先装置との間で確立する確立手段と
を備えることを特徴とする通信装置。
【請求項2】
前記暗号化情報は、複数の前記通信経路の夫々毎に個別の情報、及び複数の前記通信経路に共通の情報を含むことを特徴とする請求項1に記載の通信装置。
【請求項3】
前記確立手段は、複数の前記通信経路の夫々毎に前記暗号化処理に使用される情報を前記接続先装置との間で交換することで、当該交換した情報をまとめて含む前記暗号化情報を確立することを特徴とする請求項1又は2に記載の通信装置。
【請求項4】
前記複数の通信経路のうちの一の通信を用いた通信を行う場合に、前記暗号化情報の中から前記一の通信経路に対応する情報部分を選択する選択手段と、
前記選択された情報部分に基づく暗号化処理を行うことで、前記一の通信経路を用いた通信を行う通信手段と
を更に備えることを特徴とする請求項1から3のいずれか一項に記載の通信装置。
【請求項5】
夫々が、複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段を備える通信装置における通信方法であって、
前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記複数の接続先終端手段を備える接続先装置との間で確立することを特徴とする通信方法。
【請求項6】
複数の接続先終端手段を備える接続先通信装置と、
夫々が、前記複数の接続先終端手段のうちの対応する接続先終端手段との間に個別の通信経路を形成する複数の接続元終端手段と、前記複数の接続元終端手段の夫々と対応する前記接続先終端手段との間で行われる通信の暗号化処理に使用され且つ複数の前記通信経路に対して共通に用いられる単一の暗号化情報を、前記接続先通信装置との間で確立する確立手段とを備える接続元通信装置と
を備えることを特徴とする通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−199340(P2011−199340A)
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願番号】特願2010−60530(P2010−60530)
【出願日】平成22年3月17日(2010.3.17)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願日】平成22年3月17日(2010.3.17)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]