JP2001333110A - ゲートウェイ装置、通信装置、制御装置、および通信制御方法 - Google Patents

ゲートウェイ装置、通信装置、制御装置、および通信制御方法

Info

Publication number
JP2001333110A
JP2001333110A JP2000151434A JP2000151434A JP2001333110A JP 2001333110 A JP2001333110 A JP 2001333110A JP 2000151434 A JP2000151434 A JP 2000151434A JP 2000151434 A JP2000151434 A JP 2000151434A JP 2001333110 A JP2001333110 A JP 2001333110A
Authority
JP
Japan
Prior art keywords
information
terminal device
communication
wired
wireless terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000151434A
Other languages
English (en)
Other versions
JP3730480B2 (ja
Inventor
Masahiro Takagi
雅裕 高木
Masahiro Ishiyama
政浩 石山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2000151434A priority Critical patent/JP3730480B2/ja
Priority to US09/862,440 priority patent/US7143282B2/en
Publication of JP2001333110A publication Critical patent/JP2001333110A/ja
Application granted granted Critical
Publication of JP3730480B2 publication Critical patent/JP3730480B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/165Combined use of TCP and UDP protocols; selection criteria therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/06Transport layer protocols, e.g. TCP [Transport Control Protocol] over wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 セキュリティを維持しつつ、無線端末装置と
有線端末装置間で通信を行う中継装置、通信装置、制御
装置および通信制御方法の提供。 【解決手段】 ネットワーク201はTCP/IP端末101
〜103を収容し、IPパケットを交換するルータ701
によってネットワーク202と相互接続される。ネット
ワーク202はTCP-GW401と402とによってネット
ワーク203、204を、TCP-GW403によって基地局
305と306を収容する。ネットワーク202はセキ
ュリティサーバ601を持つ。ネットワーク203と2
04は、それぞれ基地局301と302、基地局303
と304を収容する。基地局301には移動端末501
と502、基地局302には移動端末503、基地局3
04には移動端末504と505、基地局305には移
動端末506、そして基地局306には移動端末507
と508が存在する。移動端末501〜508はTCP/IP
端末である。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、トランスポート層
を利用する通信に介在する中継装置、通信装置、制御装
置および通信制御方法に関する。
【0002】
【従来の技術】近年無線によって音声信号のみならず、
データ通信も行う要求が高まっている。TCP(Transm
ission Control Protocol)は、有線データ通信におい
て信頼性のあるトランスポート層プロトコルとして広く
使われているが、このプロトコルをそのまま無線に適用
すると以下のような問題が発生する。
【0003】有線通信におけるTCPパケット損失はネ
ットワークの輻輳を意味するため、TCPはパケット損
失を検出するとデータの送出レートを下げて輻輳を回避
するように設計されている。パケット損失は、同一シー
ケンス番号を持つACKが指定された数(通常はオリジナ
ルに加えて3個)以上受信された場合、およびRTTとそ
の偏差から定められるタイマがタイムアウトした場合に
検出される。
【0004】このため無線区間のエラーおよびハンドオ
フによるTCPパケット損失、乃至はリンク層でのエラ
ー回復に時間がかかった場合も輻輳と解釈されるので、
必要以上に輻輳回避を行う結果、スループットが利用で
きる無線帯域以下に低下する場合が多くなる。また、無
線区間のエラーをエンド・エンドでTCPによって再送す
ると、有線部分の帯域が無駄であるし時間もかかる。ま
た、リンク層がエラー回復をしている場合は同じデータ
を重複して送ることになる。
【0005】このような問題を解決するために、有線側
端末と無線側端末の間に(多くの場合は無線と有線の境
界部分に)、TCPの性能を向上させるためのプロキシー
(PEP:Performance Enhancement Proxy)を挿入する方
法が提案されている。
【0006】Split Connectionによる方法は、TCPコネ
クションをProxy(以下ではTCP-GWと呼ぶ)に於いて、
有線側TCPコネクションと無線側TCPコネクションとに分
割する方法である。有線端末から無線端末にデータを送
信する場合を想定する。
【0007】TCP-GWは無線端末の代わりに有線端末にAC
Kを返すので、無線のエラーの影響(パケット損失乃至
大きな遅延変動)は、有線端末から隠蔽される。TCPデ
ータパケットが失われた場合には、TCP-GWが有線端末の
代わりにデータの再送を行う。無線側のTCPは無線用に
チューニングしたものであっても良い。例えば、無線側
TCPはselective ACKオプション(IETF RFC2018)を使っ
て、高いパケット損失率でも性能が大きく劣化しないよ
うにしたものであっても良い。また、輻輳制御のアルゴ
リズムを変更して、TCPパケット損失があっても、帯域
を絞り過ぎない用にしたものであってもよい。
【0008】Snoop proxyによる方法は、TCP-GWがTCPコ
ネクションを終端とみなしてしまうので、TCPのエンド
・エンドセマンティクス(TCPのACKが送信端末に戻って
来た場合には、そのACKのシーケンス番号までは受信端
末に到達している)を破るという問題に対応するもので
ある。Snoop proxyは、TCPデータパケットをバッファす
るが、その時点では送信端末にACKは返さない。本来の
受信端末からのACKが帰って来た時点でACKを送信端末に
中継し、バッファしていたTCPデータパケットを廃棄す
る。但し、ACKが重複ACKであり、本来の送信端末からの
再送をトリガするものである場合、重複ACKは廃棄し
て、Snoop proxyがTCPデータパケットの再送を行う。ま
た、Snoop proxyはタイムアウト再送も行う。このよう
にして、無線エラーの影響の大部分を、送信端末から隠
蔽する。
【0009】一方で、このような無線データ通信は、近
隣の誰もが無線信号を傍受可能であり、かつ移動環境で
使用する場合が多いため、セキュリティに対する要求も
高くなる。
【0010】インターネットにおけるセキュリティ確保
の一方法として、IPSecによるものがある(IETF RFC240
1, 2402, および2408など)。セキュリティは様々なレ
イヤで提供されるが、IPSecはIP層でセキュリティを確
保するための方式である。IPSecでは、(1)IPヘッダ
の経路上で変更されない部分と、(2)IPペイロードに
対してデータが経路上で改竄されていないことと、
(3)そのデータが本来の送信者によって生成されたこ
と、を保証する機能がある。このためには、AH(Authen
tication Header)を、IPヘッダとIPペイロードとの間
に挿入しなければならない。また、IPペイロードに対し
て、秘匿性、改竄のないこと、および送信者による生成
を保証する機能もある。このためには、ESP(Encapsula
ting SecurityPayload)を用いる。なお、AHとESPを組
み合わせて使うこともできる。
【0011】また、IPSecやMobileIPでは、IPSecやMobi
leIPの機能を持つゲートウェイ装置やエージェント装置
で、本来のパケットを別のパケットに包んで(カプセル
化)して、ゲートウェイ装置やエージェント装置、乃至
は本来のパケットの目的地である端末まで送信する技術
が利用される。本来のパケットがカプセル化された状態
で辿る経路をトンネルと表現する。
【0012】
【発明が解決しようとする課題】以上説明したように、
無線網に収容された無線端末装置と有線網に収容された
有線端末装置との間で通信を行う際に、TCP-GW乃至Snoo
p proxyのようなTCPの性能を向上させるための装置とIP
Secのようなセキュリティを提供する方法とは、共に無
線データ通信環境での要求が高いが、このような装置と
方法とを組み合わせて使用する場合には以下に説明する
ような問題があった。
【0013】つまり、TCPヘッダはIPSecによって保護さ
れているIPペイロードに含まれるが、TCPの性能を向上
させるProxyは、TCPヘッダに含まれる情報を知り、かつ
場合によって変更しなければならないことが問題であ
る。また、送信されるデータに改竄のないことを保証す
ると、TCP-GWが本来の受信端末に代わってACKを送信す
ることはできなくなる。これはTCP-GW自信がACK情報を
生成する必要が生じてくるためである。更に送信される
データに秘匿性を要求すると、TCP-GW乃至SnoopProxyは
TCPヘッダの情報が読み取れないので、有効な動作が不
可能になる。
【0014】また、IPSecやMobileIPなどで利用される
「トンネル」の途中にProxy装置がある場合、このproxy
装置は有効に機能しない。なぜなら、例えばTCP-GWがカ
プセル化されたパケットを処理するべきか否かのフィル
タにかけるために、カプセル化しているパケットのヘッ
ダを調べても、そのヘッダはペイロードがTCPパケット
であることを表示していないからである。
【0015】そこで、本発明は上記従来の問題点に鑑み
てなされたもので、TCP-GWやSnoopに代表されるProxy装
置と、IPSecに代表されるセキュリティプロトコルとを
組み合わせることによって、セキュリティを維持しつつ
無線端末装置と有線端末装置とのデータ通信を効率よく
行い、またIPSecやMobileIPなどで利用される「トンネ
ル」を通るカプセル化されたパケットに対しても有効に
機能するゲートウェイ装置、通信装置、制御装置、およ
び通信制御方法の提供を目的とする。
【0016】
【課題を解決するための手段】以上に述べた課題を解決
するため、本発明におけるゲートウェイ装置は、無線網
に収容された無線端末装置と有線網に収容された有線端
末装置との間でトランスポート層以上の情報の中継を行
うゲートウェイ装置において、前記無線端末装置と前記
有線端末装置との間で秘匿性を保証する通信のために、
前記無線端末装置と前記有線端末装置との間に設定され
る第1のセキュリティアソシエーションに関する情報を
保持する第1のセキュリティ情報保持手段と、前記無線
端末装置と前記有線端末装置との間で秘匿性を保証する
通信を中継する際に前記第1セキュリティアソシエーシ
ョンに関する情報を利用して前記無線端末装置もしくは
前記有線端末装置に受信される暗号化された情報を復号
化する情報復号化手段と、前記復号化された情報に基づ
いて前記トランスポート層以上の情報を利用して中継処
理を行う中継手段と、前記中継手段が送信する情報を前
記第1のセキュリティアソシエーションに関する情報を
利用して秘匿化する情報暗号化手段とから構成される。
【0017】また、本発明におけるゲートウェイ装置
は、無線網に収容された無線端末装置と有線網に収容さ
れた有線端末装置との間でトランスポート層以上の情報
の中継を行うゲートウェイ装置において、前記無線端末
装置と前記有線端末装置との間で情報の認証を保証した
通信を行うために、前記無線端末装置と前記有線端末装
置との間に設定される第1のセキュリティアソシエーシ
ョンに関する情報を保持する第1のセキュリティ情報保
持手段と、前記無線端末装置と前記有線端末装置との間
で前記認証を保証された情報を前記トランスポート層以
上の情報を利用して中継処理を行う中継手段と、前記中
継手段が中継する前記認証が保証された情報および前記
中継手段が必要に応じて新たに生成した情報に対して前
記第1のセキュリティアソシエーションに関する情報を
利用して、前記認証が保証された情報を保証する認証情
報を付加する認証情報手段とから構成される。
【0018】また、本発明の通信装置は、無線網に収容
された無線端末装置もしくは有線網に収容された有線端
末装置のいずれかに設けられ、前記無線端末装置と前記
有線端末装置のとの間で秘匿性を保証する通信のために
前記無線端末装置と前記有線端末装置との間に設定され
る第1のセキュリティアソシエーションに関する情報、
乃至前記無線端末装置と前記有線端末装置との間で前記
情報の認証を保証した通信を行うために前記無線端末装
置と前記有線端末装置との間に設定される第2のセキュ
リティアソシエーションに関する情報を、前記無線端末
装置と前記有線端末装置との間でトランスポート層以上
の情報を用いた中継を行うゲートウェイ装置に提供する
セキュリティ情報提供手段とから構成される。
【0019】また、本発明における制御装置は、無線網
に収容された無線端末装置と有線網に収容された有線端
末装置との間で秘匿性を保証する通信のために前記無線
端末装置と前記有線端末装置との間に設定される第1の
セキュリティアソシエーションに関する情報、乃至前記
無線端末装置と前記有線端末装置との間で前記情報の認
証を保証した通信を行うために前記無線端末装置と前記
有線端末装置との間に設定される第2のセキュリティア
ソシエーションに関する情報を生成するセキュリティ情
報生成手段と、前記生成された第1乃至第2のセキュリ
ティアソシエーションを前記無線端末装置乃至前記有線
端末装置に配布するセキュリティ情報配布手段とから構
成される。
【0020】また、本発明の制御装置は、無線網に収容
された無線端末装置と有線網に収容された有線端末装置
との間でトランスポート層以上の情報の中継の制御を行
う制御装置において、前記無線端末装置と前記有線端末
装置に設けられた検索鍵に対する、前記無線端末装置乃
至前記有線端末装置に設けられた検索鍵に対して、前記
無線端末装置と前記有線端末装置との間で秘匿性を保証
する通信のために前記無線端末装置と前記有線端末装置
との間に設定される第1のセキュリティアソシエーショ
ンに関する情報、乃至前記無線端末装置と前記有線端末
装置との間で前記情報の認証を保証した通信を行うため
に前記無線端末装置と前記有線端末装置との間に設定さ
れる第2のセキュリティアソシエーションに関する情報
を検索し抽出するセキュリティ情報検索手段とから構成
される。
【0021】また、本発明における通信装置は、無線網
に収容された無線端末装置と有線網に収容された有線端
末装置との間でトランスポート層以上の情報の中継を行
う通信装置において、前記情報の内容に基づいて前記無
線端末装置と前記有線端末装置との間で中継処理を行う
中継手段を動作させるか否かを選択し、前記中継手段を
動作させる場合には前記無線端末装置と前記有線端末装
置との間で秘匿性を保証する通信のために前記無線端末
装置と前記有線端末装置との間に設定される第1のセキ
ュリティアソシエーションに関する情報、乃至前記無線
端末装置と前記有線端末装置との間で前記情報の認証を
保証した通信を行うために前記無線端末装置と前記有線
端末装置との間に設定される第2のセキュリティアソシ
エーションに関する情報を用いて通信を行い、前記中継
手段を動作させない場合には前記無線端末装置と前記有
線端末装置との間で通信を行うための第3のセキュリテ
ィアソシエーションに関する情報を設定し通信を行わせ
る選択手段とから構成される。
【0022】また、本発明の通信制御方法は、無線網に
収容された無線端末装置と有線網に収容された有線端末
装置との間でゲートウェイ装置を介してトランスポート
層以上の情報の中継を行う通信制御方法において、第1
のゲートウェイ装置を介して前記無線端末装置と前記有
線端末装置との間で秘匿性を保証する通信のために前記
無線端末装置と前記有線端末装置との間に設定される第
1のセキュリティアソシエーションに関する情報、乃至
前記第1のゲートウェイ装置を介して前記無線端末装置
と前記有線端末装置との間で前記情報の認証を保証した
通信を行うために前記無線端末装置と前記有線端末装置
との間に設定される第2のセキュリティアソシエーショ
ンに関する情報を、第2のゲートウェイ装置に引き渡す
工程と、前記無線端末装置と前記有線端末装置との間の
前記秘匿性乃至前記認証を保証した通信が、前記第1の
ゲートウェイ装置から前記第2のゲートウェイ装置に変
化して経由された場合に、前記第1のゲートウェイ装置
で行っていた前記トランスポート層以上の情報を利用し
た中継処理を前記引き渡された第1及び第2のセキュリ
ティアソシエーションに関する情報を利用して前記第2
のゲートウェイ装置において動作される工程とを有す
る。
【0023】また、本発明における通信制御方法は、無
線網に収容された無線端末装置と有線網に収容された有
線端末装置との間でゲートウェイ装置を介してトランス
ポート層以上の情報の中継を行う通信制御方法におい
て、第1のゲートウェイ装置を介して前記無線端末装置
と前記有線端末装置との間で秘匿性を保証する通信のた
めに前記無線端末装置と前記有線端末装置との間に設定
される第1のセキュリティアソシエーションに関する情
報、乃至前記第1のゲートウェイ装置を介して前記無線
端末装置と前記有線端末装置との間で前記情報の認証を
保証した通信を行うために前記無線端末装置と前記有線
端末装置との間に設定される第2のセキュリティアソシ
エーションに関する情報を、第2のゲートウェイ装置に
引き渡す工程と、前記無線端末装置と前記有線端末装置
との間の前記秘匿性乃至前記認証を保証した通信が、前
記第1のゲートウェイ装置から前記第2のゲートウェイ
装置に変化して経由された場合に、前記第1のゲートウ
ェイ装置で行っていた前記トランスポート層以上の情報
を利用した中継処理を前記引き渡された第1及び第2の
セキュリティアソシエーションに関する情報及び前記ト
ランスポート層以上の状態を利用して前記第2のゲート
ウェイ装置において動作される工程とを有する。
【0024】また、本発明のおけるゲートウェイ装置
は、無線網に収容された無線端末装置と有線網に収容さ
れた有線端末装置との間でトランスポート層以上の情報
の中継を行うゲートウェイ装置において、第1のゲート
ウェイ装置を通過した前記情報をカプセル化する第2の
ゲートウェイ装置と、前記カプセル化された情報からカ
プセルを取り除き、前記カプセルが取り除かれた情報を
前記トランスポート層以上の情報を利用して中継を行う
必要があるか否かを判断し、必要な場合には中継を行う
第3のゲートウェイ装置と、前記第3のゲートウェイ装
置から送られた情報をカプセル化するカプセル化手段と
から構成される。
【0025】また、本発明のおけるゲートウェイ装置
は、ネットワークによって相互に通信可能な第1の通信
装置と第2の通信装置との間で、トランスポート層以上
の情報を利用した中継を行なうゲートウェイ装置におい
て、前記第1の通信装置と第2の通信装置との間で秘匿
性を保証する通信のために、前記第1の通信装置と第2
の通信装置との間に設定される第1のセキュリティアソ
シエーションに関する情報を保持する第1のセキュリテ
ィ情報保持手段と、前記第1の通信装置と第2の通信装
置との間で秘匿性を保証する通信を中継する際に前記第
1のセキュリティアソシエーションに関する情報を利用
して、前記第2の通信装置もしくは第2の通信装置に受
信される暗号化された情報を復号化する情報復号化手段
と、前記復号化された情報に基づいて前記トランスポー
ト層以上の情報を利用して中継処理を行う中継手段と、
前記中継手段が送信する情報を前記第1のセキュリティ
アソシエーションに関する情報を利用して秘匿化(暗号
化)する情報暗号化手段とから構成される。
【0026】また、本発明のおけるゲートウェイ装置
は、ネットワークによって相互に通信可能な第1の通信
装置と第2の通信装置との間で、トランスポート層以上
の情報を利用した中継を行なうゲートウェイ装置におい
て、前記第1の通信装置と第2の通信装置との間で秘匿
性を保証する通信のために、前記第1の通信装置と第2
の通信装置との間に設定される第1のセキュリティアソ
シエーションに関する情報を保持する第1のセキュリテ
ィ情報保持手段と、前記第1の通信装置と第2の通信装
置との間で秘匿性を保証する通信を中継する際に前記第
1のセキュリティアソシエーションに関する情報を利用
して、前記第2の通信装置もしくは第2の通信装置に受
信される暗号化された情報を復号化する情報復号化手段
と、前記復号化された情報に基づいて前記トランスポー
ト層以上の情報を利用して中継処理を行う中継手段と、
前記中継手段が送信する情報を前記第1のセキュリティ
アソシエーションに関する情報を利用して秘匿化する情
報暗号化手段とから構成される。
【0027】なお、無線通信端末および有線通信端末
は、それら装置と情報の送受信もしくは中継がなされる
サーバを含んだものであっても良い。また、通信装置は
無線通信端末、有線通信端末乃至ルータであっても良
い。
【0028】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して説明する。
【0029】図1は本発明のネットワーク構成図であ
り、ルータ701を挟んで、ネットワーク201側とネ
ットワーク202側とに分けられる。これらの間でネッ
トワーク運営の主体が異なっていても構わない。ネット
ワーク201は有線網に有用されたTCP/IP端末101〜
103(有線端末装置)を収容し、IPパケットを交換す
るルータ701によってネットワーク202と相互接続
されている。ここで、ネットワーク201と類似のネッ
トワークが複数ネットワーク202に接続されていても
良い。また、ネットワーク201がネットワーク202
以外のネットワークと相互接続されていても良い。ネッ
トワーク202側は移動をサポートしているものとす
る。但し、移動の有無は特許の本質とは無関係である。
移動はMobileIPのようなIP層による実現、セルラー網の
ようなリンク層による実現などがあるが、その方法も問
わない。移動を実現するために必要な要素は図示してい
ない。ネットワーク202はTCP-GW401と402とに
よってネットワーク203と204とを、TCP-GW403
によって基地局305と306とを、それぞれ収容す
る。
【0030】TCP-GWはSnoop ProxyのようなTCPを意識し
たリンク層再送機能を持つノードであっても良いし、更
に一般的なプロキシー装置であっても構わないが、以下
ではTCP-GWで代表する。更にネットワーク202はセキ
ュリティサーバ601を持つ。ネットワーク203と2
04は、それぞれ基地局301と302、基地局303
と304を収容する。基地局301のエリアには無線網
に収容された移動端末501と502、基地局302の
エリアには無線網に収容された移動端末503、基地局
304のエリアには無線網に収容された移動端末504
と505、基地局305のエリアには無線網に収容され
た移動端末506、そして基地局306のエリアには無
線網に収容された移動端末507と508が存在する状
態を示している。移動端末501〜508(無線端末装
置)はTCP/IP端末である。
【0031】このような状況下で、例えば端末101と
移動端末501の間でIPSecを利用してセキュリティを
保証したTCP/IP通信を行う場合を想定する。IPSecによ
る通信を行うためには、端末101と移動端末501と
の間にIPSec SA(Security Association、以下SAと記
す)が確立されている必要がある。
【0032】SAは一方向の関係を示すので、双方向の関
係には2つのSAが必要となる。1つのSAに適用されるセ
キュリティプロトコルは1つに制限される。但し、必要
なら2点の間で複数のSAを設定しても良い。SAを識別す
る情報は、(1)SPI(Security Parameter Index)、
(2)IP destination address、(3)Security proto
col identifierの3つである。SPIはローカルで一意な
ビット列である。SPIは、AHおよびESPヘッダに含まれ、
受信側が受信パケットを処理するために必要なSAを決定
するために使われる。IP destination addressはSAの終
点を示す。SAの終点はエンドユーザシステムであって
も、ファイアウォールのようなものであっても良い。Se
curity protocol identifierは、SAがAH乃至ESPを使う
か否かを示す。
【0033】セキュリティアソシエーションデータベー
ス(SAD)には、以下のような情報が含まれる。
【0034】・シーケンス番号カウンタ:AH乃至ESPヘ
ッダのシーケンス番号フィールドを生成するために使用
される。
【0035】・シーケンス番号カウンタオーバフロー:
オーバフローした場合は、それ以上のパケット送信は禁
止される。
【0036】・Anti-reply ウィンドウ:AHまたはESPパ
ケットが第3者による再送でないことを保証するため
に、そのシーケンス番号は、ここで指定されるスライデ
ィングウィンドウの範囲になければならない。
【0037】・AH情報:認証アルゴリズム、鍵、鍵の生
存時間、およびAHに関連するパラメータ。
【0038】・ESP情報:暗号化と認証アルゴリズム、
鍵、初期化の値、鍵の生存時間、およびESPに関連する
パラメータ。
【0039】・SAの生存時間:このSAが新たなSAで置き
換えられなければならない、時間インターバル、乃至は
バイト数。およびこのような置き換えを行わなければな
らないか否かの指定。
【0040】・IPSecプロトコルモード:トンネル、トラ
ンスポート乃至ワイルドカードモード。
【0041】・Path MTU:観測されたパスの最大transmi
ssion unit(IPフラグメントなしでそのパス経由で伝送
できる最大サイズ)。およびその情報の新しさ。
【0042】ユーザのポリシーによって、IPSecをいか
にIPトラフィックに適用するかを決めることができる。
つまりIPSecを適用するか否か、適用するとすればどのS
Aを利用するかを選択できる。このような情報はセキュ
リティポリシーデータベース(SPD)に含まれている。
【0043】SPDのエントリは、以下のselectorによっ
て定められる。
【0044】・Destination IP address:範囲を示すも
のであっても良い。
【0045】・Source IP address:範囲を示すものであ
っても良い。
【0046】・User ID:システムのユーザ識別子。
【0047】・Data sensitivity level:秘密乃至そう
でないかなど。
【0048】・トランスポート層プロトコル:UDP,TCPな
どを指定するプロトコル番号。
【0049】・IPSec プロトコル:AH、ESP乃至AH/ESP。
【0050】・Source and destination ports:TCP乃至
UDPのポート番号。
【0051】・IPv6 class, IPv6 flow label ・IPv4 Type of Service(TOS) このように識別されるSPDの各エントリには、1つ以上
のSAが対応している。
【0052】SAは手動で設定しても良いが、Internet K
ey Exchange(IKE)によって自動的に設定することも可
能である。IKEは2つのフェーズに分けられる。フェー
ズ1では、IKE SAを確立しその後の通信の安全を図る。
フェーズ2では、IKE SAの下で、AH乃至はESPのためのS
Aのパラメータを交換する。
【0053】さて、TCP-GWに代表されるプロキシーが機
能するためには、TCP-GWがSAの少なくとも一部の情報を
知っている必要がある。この情報とはより具体的には、
暗号化を解いて必要な処理後に再び暗号を掛けるために
必要な情報であり、また、プロキシーがパケットを生成
する場合にそのパケットを正しく認証された形式にする
ために必要な情報である。
【0054】このようなプロキシ−を機能させるための
方法として、以下の方式が考えられる。
【0055】(方式1)各種情報を手動で設定する。
【0056】(方式2)IKEのフェーズ2で交換されるS
A情報から得る。つまり、IKE SAの情報を知っていてIPS
ec SA情報を傍受したエンティティがプロキシーに情報
を与える。
【0057】(方式3)SAのいずれかの端点から提供を
受ける。
【0058】(方式4)プロキシー自ら、乃至セキュリ
ティサーバがSA情報を生成し、各端点と必要ならプロキ
シーに提供する。
【0059】以下では、方式3と方式4について詳しく
述べる。
【0060】最初に(方式3)について述べる。端末1
01と移動端末501の間で、IKESAが確立されている
とする。これから行おうとする通信に適用するべきIPSe
c SAは、確立されている場合と確立されていない場合と
がある。IPSec SA確立されていない場合は、端末101
のセキュリティ情報管理1124(図3参照、セキュリ
ティ情報提供手段(請求項3))と移動端末501のセ
キュリティ情報管理1524(図4参照、セキュリティ
情報提供手段(請求項3))の間で、IKEのフェーズ2
の手順でIPSec SAを確立すれば良い。セキュリティ情報
管理1124(選択手段(請求項7))、1524は、
自らの持つSADとSPDに、このIPSec SA確立で発生した関
連する情報を記憶する。なお、IPSec SAとして、プロキ
シーの介在を許容するものと、許容しないものを設けて
も良い。更に、プロキシーに暗号を解くことは許すが、
新たなパケットの生成乃至パケット内容の変更は許容し
ないクラスがあっても良い。これはSPDのselectorのdat
a sensitivity levelに、その識別を行う分類を設ける
のが自然であるが、例えばポート番号で識別しても良
い。
【0061】以下では、プロキシーの介在を許容するIP
Sec SAを主に扱う。プロキシーの介在を許容しないIPSe
c SAについては、従来のIPSecと同様に動作する。
【0062】さて、端末101と移動端末501は、セ
キュリティサーバ601(セキュリティ情報生成手段
(請求項5)、セキュリティ情報配布手段(請求項
5)、制御装置(請求項6))およびTCP-GW401〜4
03を信頼できる装置として扱う。例えば、それらがあ
る信頼できるネットワーク運営主体によって信頼できる
装置として運用されている場合が想定できる。このネッ
トワークのTCP-GWに代表されるプロキシー機能を利用す
るためには、セキュリティサーバ601にIPSec SA情報
を提供する必要があることは、端末101乃至移動端末
501の少なくともいずれか一方には認識されているこ
とを仮定している。なお、セキュリティサーバ601で
なく、TCP-GW401に直接IPSec SA情報を提供してもTC
P-GWとして有効に動作できるが、利用する個別のプロキ
シーを端末101乃至移動端末501が認識しなければ
ならない。TCP-GWやSnoopなどは、本来その存在が端末
から見えないので、これはあまり良い方法ではない。ま
た、端末101、移動端末501のいずれが提供しても
良いが、無線対応のプロキシーを利用すべきであること
をより容易に把握できる移動端末501が提供すると仮
定する。まず、これから送信するIPSec SA情報を保護す
るために、移動端末501とセキュリティサーバ601
の間に何らかのセキュリティアソシエーションが必要で
ある。セキュリティアソシエーションは、IPSecを使う
と仮定する。移動端末501とセキュリティサーバ60
1の間で、最初にIKE SAを確立し、次にAHとESPの両方
を用いるIPSecSAを確立する。このIPSec SAを用いて、
移動端末501のセキュリティ情報管理1524から、
セキュリティサーバ601のセキュリティ情報管理16
24(図5参照、セキュリティ情報生成手段(請求項
5)、セキュリティ情報配布手段(請求項5)、セキュ
リティ情報検索手段(請求項6))に向けて、端末10
1と移動端末501の間のプロキシー介在を許容するIP
Sec SA情報を送信する。セキュリティ情報管理1624
は、この情報をSPDとSADに記憶する。
【0063】図2はTCP-GWのブロック構成図であり、上
述したSnoop Proxyのようなものであっても良くその場
合の構成は異なる。また図3は端末101のブロック構
成図であり、図4は移動端末501のブロック構成図で
あり、図5はセキュリティサーバ601のブロック構成
図である。なお、図中の実線矢印はデータの流れ、破線
矢印は制御の流れを示す。
【0064】以下で、TCP-GW401は、端末101と移
動端末501の間のトラフィックを検出したことを契機
に、IPSec SA情報をセキュリティサーバ601から取得
する。ここでは、IKE SAによって、上記のプロキシー介
在を許容するIPSec SAを確立するためのトラフィックを
検出したとする。IKEはUDPのポート番号500を利用して
いるので、IP入力部1423でIPヘッダを見ていれば、
この通信の存在がわかる。端末101と移動端末501
の間の他の種類の通信であっても構わない。これらの存
在は、端末101と移動端末501の間で、今後も何ら
かの通信が行われる可能性が高いことを示している。従
って、TCP-GW401のセキュリティ情報管理1424
(第1のセキュリティ情報保持手段(請求項1,2))
が、セキュリティサーバ601のセキュリティ情報管理
1624に対して、端末101と移動端末501の間の
IPSec SAに関する情報を提供するように要求する。例え
ば端末101と移動端末501のIPアドレスの組を検
索鍵として予めセキュリティサーバ601に記憶してお
くことも一手法である。
【0065】セキュリティサーバ601のセキュリティ
情報管理1624は、TCP-GW401のセキュリティ情報
管理1424からの要求を受けた時点では、まだ端末1
01と移動端末501の間のIPSec SAを持っていないか
も知れない。なぜなら、この要求はIPSec SAを設定する
ためのトラフィックを検出して行われたものだからであ
る。セキュリティ情報管理1624は、そのような要求
があったことをタイムアウトするまで記憶しておいて、
要求にあうIPSec SA情報を得る度に、TCP-GW401のセ
キュリティ情報管理1424に、IPSec SA情報を提供す
る。
【0066】このようにして、TCP-GW401のセキュリ
ティ情報管理1424が、セキュリティサーバ601の
セキュリティ情報管理1624から、端末101と移動
端末501の間のIPSec SAに関する情報を得ると、これ
をセキュリティ情報管理1424のSPDとSADに記憶す
る。更に、IP入力部1423でフィルタを設定して、端
末101と移動端末501の間のプロキシー介在を許容
するIPSec SAによるパケットでかつTCPの通信であると
いう条件にマッチする時には、TCP層まで上げるように
する。なお、IPSec SA情報要求がタイムアウトする時点
で、更に端末101と移動端末501の間での通信がTC
P-GW401を通過すると見込まれる場合には、要求を更
新する。
【0067】次に、プロキシーを許容するIPSec SAを利
用して、端末101のPEP利用アプリケーション116
2(図3参照)と移動端末501のPEP利用アプリケー
ション1562(図4参照)が通信を行う。なお、アプ
リケーションでプロキシーを許容するか否かを分けてい
るのは便宜的なもので、実際にはTCPのコネクション毎
に使い分けが可能である。PEP利用アプリケーション1
162がPEP利用アプリケーション1562に対して、T
CPのコネクション設定を行うとする。PEP利用アプリケ
ーション1162は、例えばUNIX(登録商標)のso
cketインタフェースによって、OSに対してTCPコネクシ
ョン設定を要求できる。この際、例えばsocketのオプシ
ョンによって、このTCPコネクションをプロキシー介在
を許容するか否かを指定できる。既に述べたように、こ
こではプロキシー介在を許容する。これは、例えばSPD
エントリのData sensitivity level selectorの値とし
て設定される。他のselectorの値は、destination IP a
ddressとして移動端末501のIPアドレス、source IP
addressとして端末101のIPアドレス、UserIDとしてP
EP利用アプリケーション1162のユーザ識別子、Tran
sport layer protocolとしてTCP、IPSec protocolとし
て例えばAH/ESP(他にAHあるいはESPが可能)、source/
destinationportとして適当なポート番号などとなる。I
P出力部1122を監視しているセキュリティ情報管理
1124は、出力IPパケット毎にSDPエントリを検索
し、対応するIPSec SAを見付ける。Selectorが上記の値
を持つパケットに対しては、既に述べたプロキシー介在
を許容するIPSec SAが対応する。するとセキュリティ情
報管理1124は、IPSec SAに指定されたアルゴリズム
と鍵などによって、パケットを暗号化し認証のための情
報を付加するように、暗号機能1126と認証機能11
25を制御する。トランスポートモードとトンネルモー
ドのうち、ここでは前者を利用するので、図6(a)の
パケットを処理後のパケットは図6(b)に示すフォー
マットになる。ここで、一般に暗号化後にはTCPヘッダ
とデータの境界は保存されない。また、AH認証対象は、
IPヘッダの経路上での変化による結果を予測できない部
分(例えばTTLなど)は含まない。
【0068】このように処理されたパケットは、有線IF
出力部1142によってネットワーク201に送信さ
れ、更にルータ701、ネットワーク202を経由し
て、TCP-GW401に到着する。有線側IF入力部1446
を経てIP入力部1423に到着したパケットは、SPI
(Security Parameter Index)、IP destinationaddres
s、Security protocol identifierの3つによって識別さ
れるIPSec SAの指定に従って処理される。識別するパラ
メータの値は、セキュリティサーバ601から提供され
たものであり、セキュリティ情報管理1424によって
IP入力部に設定されている。セキュリティ情報管理14
24が認証機能1425(認証情報手段(請求項2))
と暗号機能1426(情報復号化手段(請求項1)、情
報暗号化手段(請求項1))を制御して、図6(b)に
示すIPSecパケットを、図6(a)に示す元のパケットの
形に戻す。
【0069】元のパケットの情報からTCP中継処理を行
うか否かをIP入力部1423が判断し、中継処理を行う
ものとしてTCP入力部1405に渡す。最も単純な判断
基準はTCPなら全てTCP接続を利用して中継するというも
のであるが、他の属性も使用してTCPだがTCP情報を利用
した中継をしないようにしても良い(IP中継となる)。
このパケットは、その内容に応じて、TCP中継部140
2(中継手段(請求項1,2))の有線→無線140
7、TCP入力部1405および無線TCP出力部1408で
処理される。例えば、SYNパケットなら、新たなTCPコネ
クションが設定されるものとして対応する状態を生成す
る。必要なら適当なオプションを追加するなどして、無
線TCP出力部1408に中継する。更に、TCP出力部14
04からSYN/ACKを返す(Snoopの場合は返さない)。別
の例として、データパケットなら、後で再送する可能性
があるので、バッファにコピーを蓄積してから、無線TC
P出力部1408に渡す。更に、TCP出力部1404から
そのデータパケットに対するACKを返す(Snoopの場合は
返さない)。なお、ここで扱っているパケットは、TCP-
GW401が生成したものを含め、全て端末101と移動
端末501の間で送受信されているかのように、IPヘッ
ダのアドレスフィールドが設定されている。つまり、TC
Pゲート401存在は隠されている。
【0070】無線TCP出力部1408およびTCP出力部1
404は、パケットをIP出力部1422に渡す。セキュ
リティ情報管理1424は、パケットの情報からSPDの
エントリを識別するselector情報を得て、SPDを検索し
て対応するIPSec SAを得る。このIPSec SAに関する情報
をSADから取得して、それに応じて暗号機能1426と
認証機能1425を制御して、再びパケットを図6
(b)に示すIPSecパケットの形にする。ここで同じパ
ケットであっても、TCP-GWに受信されたIPSecパケット
と、TCP-GWから送信されるIPSecパケットの内容は一般
に異なる。例えば、TCP-GW401は、ACKを中継するの
ではなく生成するので訂正のために付与されるIPSecのA
HないしESPのシーケンス番号は一般に異なる。これらの
パケットは、無線側IF出力部1443からネットワーク
203へ、有線側IF出力部1445からネットワーク2
02へ、それぞれ送信される。
【0071】なお、Snoopの場合は、Snoop proxyに受信
されたIPSecパケットと、Snoop proxyから送信されるIP
Secパケットの内容は多くの場合同じにできる。
【0072】Snoopは重複ACKを中継せずに捨てることが
あるが、これはIPネットワーク内で自然に失われるのと
同じであり、IPSec的に特に問題無い。Snoopが本来のTC
P送信ホストの代わりに再送を行うことがあるが、これ
はオリジナルのコピーを再送すれば良いが、IPSecのAnt
i-replyによって受信端末で捨てられる可能性がある。
これを防ぐためには、認証のためのシーケンス番号が、
Anti-replyウィンドウの範囲内に収まっている必要があ
る。これらの条件が満たされれば、Snoopの場合には、I
PSecパケットから元のTCP/IPヘッダ情報を取り出せれば
良いのであって、一度オリジナルの形に戻したパケット
を再びIPSecパケットに変更する必要は無い。従って、S
noop proxyに認証を掛けるために鍵情報を与えなけれ
ば、端末101と移動端末501の間で、情報の改竄が
なかったことと、本来の送信者から送信されたパケット
であることはIPSec的に保証できる。Snoop proxyに暗号
を解くためのSA情報を持てば機能できる。
【0073】ネットワーク203へ送信されたパケット
に注目すると、これは基地局301経由で移動端末50
1によって受信される。無線IF入力部1543を経てIP
入力部1523に到着したパケットは、SPI(Security
Parameter Index)、IP destination address、Securit
y protocol identifierの3つによって識別されるIPSec
SAの指定に従って処理される。セキュリティ情報管理
1524が認証機能1525と暗号機能1526を制御
して、図6(b)に示すIPSecパケットを、図6(a)に
示す元のパケットの形に戻す。そして、パケットに載っ
ていた情報は、PEP利用アプリケーション1562に渡
される。
【0074】次に(方式4)、つまりセキュリティサー
バ601がIPSec SA情報を生成し、端末101と移動端
末501、およびTCP-GW401に生成したIPSec SA情報
を渡す場合について述べる。
【0075】移動端末501のセキュリティ情報管理1
124が、セキュリティサーバ601のセキュリティ情
報管理1624に対し、端末101との間のプロキシー
の介在を許容するIPSec SA情報を生成するように依頼す
る。依頼にはIPSecなどでセキュリティの確保された通
信路を用いる。セキュリティ情報管理1624は、依頼
に応じたIPSec SA情報を生成すると、これをセキュリテ
ィの確保された通信路で、移動端末501、端末10
1、およびTCP-GW401に提供する。移動端末501に
は、依頼の応答として提供すれば良い。端末101に対
しては、セキュリティサーバ601から直接提供しても
良いし、移動端末501から提供しても良い。TCP-GWに
対しては、例えば移動端末501の位置情報から、TCP-
GW401がIPSec SAを利用する可能性の高いと判断でき
れば、セキュリティサーバ601が自発的に送信すれば
良い。さもなければTCP-GW401が、端末101と移動
端末501の間の通信を検出してから、セキュリティサ
ーバ601に要求することになる。全てのTCP-GW401
〜403に提供しても機能するが、効率は悪いし、セキ
ュリティが破られる可能性も高くなる。これらの通信
は、端末101、移動端末501、TCP-GW401、およ
びセキュリティサーバ601それぞれのセキュリティ情
報管理1124、1524、1424、および1624
の間で行われる。一旦、IPSec SAの情報がTCP-GW401
に提供されれば、後の動作は(方式3)の場合と同様で
あるので省略する。
【0076】これから、移動端末(例えば移動端末50
1)の移動に伴いTCP-GWを変更するプロキシーハンドオ
フ制御について述べる。このため、移動端末501で終
端される中継対象のTCPコネクション状態の情報と、移
動端末501に対応するIPSecSA情報を、前のTCP-GW
(例えばTCP-GW401)から後のTCP-GW(例えばTCP-GW
402)に引き継ぐ必要がある。TCP-GW402は、移動
端末501を起点・終点とする通信を検出した際に、前
のTCP-GWを何らかの方法で探して、ハンドオフ処理を行
うために必要な情報を要求する。このために予め隣接す
るTCP-GWをお互いに認識しておくことが有効である。
【0077】例えば、(NR方式A)物理的な距離が近いT
CP-GWを認識する、(NR方式B)ネットワーク的な距離
(ホップ数、遅延など)が近いTCP-GWを認識する、とい
った方式が考えられる。
【0078】移動端末の物理的な移動によりハンドオフ
が必要になるとすると、(NR方式A)が望ましい。しか
し、物理的な位置を知ることができない場合には、(NR
方式B)を利用する場合もある。
【0079】(NR方式A)を実現するために、例えばプ
ロキシ管理サーバ801を設ける。TCP-GW401は基地
局301と302、TCP-GW402は基地局303と30
4、TCP-GW403は基地局305と306の物理的な位
置を何らかの方法で知りえており、その情報をプロキシ
管理サーバ801に通知する。プロキシ管理サーバ80
1は、TCP-GW401と402の間のハンドオフ、TCP-GW
402と403の間のハンドオフが発生し得ると判断す
る。そして、TCP-GW401に対してはTCP-GW402がハ
ンドオフ対象となること、TCP-GW402に対してはTCP-
GW401と403がハンドオフ対象となること、TCP-GW
403に対してはTCP-GW402がハンドオフ対象となる
ことを通知する。これらの処理は、TCP-GW401〜40
3のTCPハンドオフ制御1410とプロキシ管理サーバ
801によって行われる。もちろん、TCP-GW401〜4
03に対して、これらの情報を手動で設定することも可
能である。
【0080】また、(NR方式B)を実現するためには、
例えば次のような手順が考えられる。
【0081】全てのTCP-GWが加入するマルチキャストグ
ループを定義しておき、各TCP-GWのTCPハンドオフ制御
1410がTTLを適当に制限したマルチキャストパケッ
トを問い合わせするために送信する。これを受信した各
TCPハンドオフ制御1410が送信元にユニキャストで
応答することで、ホップ数の少ないTCP-GWを探すことが
できる。
【0082】さて、上述したように、端末101と移動
端末501の間で、プロキシー介在を許容するIPSec SA
の下で、TCP-GW401を介して、TCPによる通信を行っ
ているとする。プロキシーハンドオフに伴う情報の引渡
しにはいくつかのバリエーションが考えられる。 ・ハンドオフする可能性のあるTCP-GWに、予め渡せる情
報は渡しておくか否か。予め渡すとすれば以下のような
候補がある。
【0083】−中継対象端末:新しいTCP-GWがこの端末
の通信を検出した時に、どのTCP-GWに問い合わせれば、
必要な情報が得られるかがわかる。
【0084】−IPSec SA情報:ハンドオフ遅延の減少が
見込める。 ・ユニキャストで問い合わせるか、マルチキャストで問
い合わせるか。
【0085】−ユニキャスト:前のTCP-GWである可能性
のある全てのTCP-GWに個別に問い合わせる。上記中継対
象端末情報またはIPSec SA情報を持っていれば、その情
報を提供したTCP-GWに問い合わせる。
【0086】−マルチキャスト: 前のTCP-GWである可能
性のある全てのTCP-GWを含むマルチキャストグループを
定義しておく。このマルチキャストグループ宛に問い合
わせを送信する。
【0087】なお、ハンドオフに伴う通信は、原則とし
てセキュリティが確保された通信路によって行う。
【0088】ここで、TCP-GW401のセキュリティ情報
管理1424から、TCP-GW402のセキュリティ情報管
理1424に対して、予めIPSec SA情報が与えられてい
るとする。TCP-GW401のセキュリティ情報管理142
4は、セキュリティサーバ601から新たなIPSec SA情
報を得ると、TCPハンドオフ制御1410に、そのIPSec
SA情報を提供すべき先のTCP-GWを問い合わせる。この
場合はTCP-GW402に提供するべきなので、TCP-GW40
1のセキュリティ情報管理1424は、TCP-GW402の
セキュリティ情報管理1424に対して、そのIPSec SA
情報を提供する。TCP-GW402のセキュリティ情報管理
1424は、IPSec SA情報をSPDとSADに記憶すると共
に、その提供元がTCP-GW401であることと、その提供
時間を記憶する。
【0089】移動端末501が基地局301のエリアか
ら、基地局302のエリアを経て、更に基地局303の
エリアへ移動したとする。するとTCP-GW402が端末1
01と移動端末501の間の通信を検出する。TCP-GW4
02のセキュリティ情報管理1424は、端末101と
移動端末501の間のIPSec SA情報を、最近提供したも
のがTCP-GW401であることを認識するので、TCPハン
ドオフ制御1410に対して、TCP中継のハンドオフに
必要な情報は、TCP-GW401から得られることを教え
る。また、TCP-GW402のセキュリティ情報管理142
4は、TCP-GW403のセキュリティ情報管理1424に
対して、対応するIPSec SA情報を通知する。以前から知
っていたIPSec SA情報をこの時点で通知するのは、TCP-
GW403へのハンドオフの可能性が生じたからである。
【0090】TCP-GW402のTCPハンドオフ制御141
0は、TCP-GW401のTCPハンドオフ制御1410から
得た、端末101と移動端末501間のTCPコネクショ
ンの情報から、TCP1401と無線TCP1403に対して
TCP中継に必要な情報を設定する。例えば、シーケンス
番号やウィンドウ制御関連の情報、設定されているTCP
オプション、バッファに一時記憶されているデータパケ
ットなどである。TCP中継の再開にあたっては、TCPシー
ケンス番号がなるべく乱れ無いように行う。つまり、バ
ッファに一時記憶されているデータパケットのTCPシー
ケンス番号が、端末101と移動端末501の間を流れ
ているTCPデータパケットのシーケンス番号よりも小さ
ければ、それらを先に中継する。その後のTCP中継処
理、およびIPSec関連の処理は既に述べた手順に準ず
る。
【0091】次に、端末102がIPSecの機能を持たな
いIP端末で、ルータ701がセキュリティサービスとし
て、ネットワーク102からネットワーク201へ出
る、IPSecで保護されていないパケットを、IPSecのトン
ネルモードで保護する場合について述べる。特に、カプ
セル化されたパケットをプロキシーで扱う方法について
説明する。Mobile IPなど他のカプセル化の場合にも適
用できる。
【0092】端末102と移動端末502の間の通信を
想定する。移動端末502は、図4に構成を示すような
IPSec機能を持つ端末である。端末102は、図7に示
すような構成でありIPSec機能を持たない端末である。
この間で通信を行う際に、図8に構成を示すルータ70
1と移動端末502の間でIPSecを利用した通信を行
う。このため、既に述べたものと同様な方式で、ルータ
701と移動端末502の間のIPSec SAが確立され、更
にセキュリティサーバ601を介して、プロキシー介在
を許容するIPSec SAの情報が必要なTCP-GW401に提供
される。この際には、IPSecのトンネルモードが用いら
れる。端末102と移動端末502の間のパケットに対
応するIPSecパケットは、図9(a)に示す形になる。
【0093】TCP-GW401での中継処理は既に述べた方
法に準ずる。但し、セキュリティ情報管理1424の制
御の下でIPSecを解いてカプセル化も外した後のパケッ
トについては、IP入力部1423がTCP中継を行うか否
かを判断し、必要な場合にTCP1401にパケットを渡
すことになる。また、パケットを送信する際はIPSecと
カプセル化の処理を行う(図9(b)参照)。既に述べ
た方式との処理の切り替えは、SADから得たIPSec SA情
報に含まれるIPSecプロトコルモードの値が、トランス
ポートモードであるか、トンネルモードであるかによっ
て行うことができる。また、新しいIPヘッダが、カプセ
ル化ヘッダであることを認識して行うこともできる。こ
れは、例えばMobile IP(IETF RFC2002)によるHome Ag
entとForeignAgentの間のカプセル化されたTCP/IPパケ
ットを扱うTCP-GWの場合など、一般にトンネルの中間に
あるプロキシーの場合にも適用できる。
【0094】なお、上記の実施の形態はその主旨を逸脱
しない範囲で種々変形して実施できることは言うまでも
ない。例えば、IPv6に適用することも可能である。
【0095】また、有線端末と無線端末の間だけではな
く、無線端末501と無線端末508の間の通信にも本
発明が適用できることは明らかである。
【0096】
【発明の効果】以上述べたような本発明によれば、IPSe
cなどでセキュリティを保証した通信に対しても、TCP-G
WやSnoopに代表されるプロキシーを適用して無線環境下
での性能の向上を図ることができる。
【図面の簡単な説明】
【図1】 本発明の中継装置、通信装置、制御装置を含
んだネットワーク構成図。
【図2】 本発明のTCP−GWのブロック構成図。
【図3】 本発明の端末のブロック構成図。
【図4】 本発明の移動端末のブロック構成図。
【図5】 本発明のセキュリティサーバのブロック構成
図。
【図6】 本発明のIPSec処理前後のパケットフォーマ
ットの構成図。
【図7】 本発明の別の端末のブロック構成図。
【図8】 本発明のルータのブロック構成図。
【図9】 本発明のIPSec処理前後のパケットフォーマ
ットの構成図。
【符号の説明】
101、102、103 端末 201、202、203、204 ネットワーク 301、302、303、304、305、306 基
地局 401、402、403 TCP−GW 501、502、503、504、505、506、5
07、508 移動端末 601 セキュリティサーバ 701 ルータ 801 プロキシ管理サーバ
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04Q 7/38 Fターム(参考) 5J104 AA01 BA02 PA01 PA07 5K030 GA15 HA08 HD03 JT02 JT09 KA17 KA19 5K033 AA08 CB08 DA05 DA19 DB10 DB18 5K067 AA35 BB21 DD57 EE02 EE10 EE16 HH05 HH11 HH22 HH24 HH36

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】無線網に収容された無線端末装置と有線網
    に収容された有線端末装置との間でトランスポート層以
    上の情報の中継を行うゲートウェイ装置において、 前記無線端末装置と前記有線端末装置との間で秘匿性を
    保証する通信のために、前記無線端末装置と前記有線端
    末装置との間に設定される第1のセキュリティアソシエ
    ーションに関する情報を保持する第1のセキュリティ情
    報保持手段と、 前記無線端末装置と前記有線端末装置との間で秘匿性を
    保証する通信を中継する際に前記第1セキュリティアソ
    シエーションに関する情報を利用して前記無線端末装置
    もしくは前記有線端末装置に受信される暗号化された情
    報を復号化する情報復号化手段と、 前記復号化された情報に基づいて前記トランスポート層
    以上の情報を利用して中継処理を行う中継手段と、 前記中継手段が送信する情報を前記第1のセキュリティ
    アソシエーションに関する情報を利用して秘匿化する情
    報暗号化手段とを具備したことを特徴とするゲートウェ
    イ装置。
  2. 【請求項2】無線網に収容された無線端末装置と有線網
    に収容された有線端末装置との間でトランスポート層以
    上の情報の中継を行うゲートウェイ装置において、 前記無線端末装置と前記有線端末装置との間で情報の認
    証を保証した通信を行うために、前記無線端末装置と前
    記有線端末装置との間に設定される第1のセキュリティ
    アソシエーションに関する情報を保持する第1のセキュ
    リティ情報保持手段と、 前記無線端末装置と前記有線端末装置との間で前記認証
    を保証された情報を前記トランスポート層以上の情報を
    利用して中継処理を行う中継手段と、 前記中継手段が中継する前記認証が保証された情報およ
    び前記中継手段が必要に応じて新たに生成した情報に対
    して前記第1のセキュリティアソシエーションに関する
    情報を利用して、前記認証が保証された情報を保証する
    認証情報を付加する認証情報手段とを具備したことを特
    徴とするゲートウェイ装置。
  3. 【請求項3】無線網に収容された無線端末装置もしくは
    有線網に収容された有線端末装置のいずれかに設けら
    れ、 前記無線端末装置と前記有線端末装置のとの間で秘匿性
    を保証する通信のために前記無線端末装置と前記有線端
    末装置との間に設定される第1のセキュリティアソシエ
    ーションに関する情報、乃至前記無線端末装置と前記有
    線端末装置との間で前記情報の認証を保証した通信を行
    うために前記無線端末装置と前記有線端末装置との間に
    設定される第2のセキュリティアソシエーションに関す
    る情報を、前記無線端末装置と前記有線端末装置との間
    でトランスポート層以上の情報を用いた中継を行うゲー
    トウェイ装置に提供するセキュリティ情報提供手段を具
    備したことを特徴とする通信装置。
  4. 【請求項4】前記第1乃至前記第2のセキュリティアソ
    シエーションに関する情報は、前記無線端末装置と前記
    有線端末装置との間でトランスポート層以上の情報の通
    信を行う際に前記情報のセキュリティを管理するセキュ
    リティサーバから前記ゲートウェイ装置に提供されるこ
    とを特徴とする請求項3に記載の通信装置。
  5. 【請求項5】無線網に収容された無線端末装置と有線網
    に収容された有線端末装置との間で秘匿性を保証する通
    信のために前記無線端末装置と前記有線端末装置との間
    に設定される第1のセキュリティアソシエーションに関
    する情報、乃至前記無線端末装置と前記有線端末装置と
    の間で前記情報の認証を保証した通信を行うために前記
    無線端末装置と前記有線端末装置との間に設定される第
    2のセキュリティアソシエーションに関する情報を生成
    するセキュリティ情報生成手段と、 前記生成された第1乃至第2のセキュリティアソシエー
    ションを前記無線端末装置乃至前記有線端末装置に配布
    するセキュリティ情報配布手段とを具備したことを特徴
    とする制御装置。
  6. 【請求項6】無線網に収容された無線端末装置と有線網
    に収容された有線端末装置との間でトランスポート層以
    上の情報の中継の制御を行う制御装置において、 前記無線端末装置と前記有線端末装置に設けられた検索
    鍵に対する、前記無線端末装置乃至前記有線端末装置に
    設けられた検索鍵に対して、前記無線端末装置と前記有
    線端末装置との間で秘匿性を保証する通信のために前記
    無線端末装置と前記有線端末装置との間に設定される第
    1のセキュリティアソシエーションに関する情報、乃至
    前記無線端末装置と前記有線端末装置との間で前記情報
    の認証を保証した通信を行うために前記無線端末装置と
    前記有線端末装置との間に設定される第2のセキュリテ
    ィアソシエーションに関する情報を検索し抽出するセキ
    ュリティ情報検索手段を具備したことを特徴とする制御
    装置。
  7. 【請求項7】無線網に収容された無線端末装置と有線網
    に収容された有線端末装置との間でトランスポート層以
    上の情報の中継を行う通信装置において、 前記情報の内容に基づいて前記無線端末装置と前記有線
    端末装置との間で中継処理を行う中継手段を動作させる
    か否かを選択し、 前記中継手段を動作させる場合には前記無線端末装置と
    前記有線端末装置との間で秘匿性を保証する通信のため
    に前記無線端末装置と前記有線端末装置との間に設定さ
    れる第1のセキュリティアソシエーションに関する情
    報、乃至前記無線端末装置と前記有線端末装置との間で
    前記情報の認証を保証した通信を行うために前記無線端
    末装置と前記有線端末装置との間に設定される第2のセ
    キュリティアソシエーションに関する情報を用いて通信
    を行い、 前記中継手段を動作させない場合には前記無線端末装置
    と前記有線端末装置との間で通信を行うための第3のセ
    キュリティアソシエーションに関する情報を設定し通信
    を行わせる選択手段を具備したことを特徴とする通信装
    置。
  8. 【請求項8】無線網に収容された無線端末装置と有線網
    に収容された有線端末装置との間でゲートウェイ装置を
    介してトランスポート層以上の情報の中継を行う通信制
    御方法において、 第1のゲートウェイ装置を介して前記無線端末装置と前
    記有線端末装置との間で秘匿性を保証する通信のために
    前記無線端末装置と前記有線端末装置との間に設定され
    る第1のセキュリティアソシエーションに関する情報、
    乃至前記第1のゲートウェイ装置を介して前記無線端末
    装置と前記有線端末装置との間で前記情報の認証を保証
    した通信を行うために前記無線端末装置と前記有線端末
    装置との間に設定される第2のセキュリティアソシエー
    ションに関する情報を、第2のゲートウェイ装置に引き
    渡す工程と、 前記無線端末装置と前記有線端末装置との間の前記秘匿
    性乃至前記認証を保証した通信が、前記第1のゲートウ
    ェイ装置から前記第2のゲートウェイ装置に変化して経
    由された場合に、前記第1のゲートウェイ装置で行って
    いた前記トランスポート層以上の情報を利用した中継処
    理を前記引き渡された第1及び第2のセキュリティアソ
    シエーションに関する情報を利用して前記第2のゲート
    ウェイ装置において動作される工程とを有することを特
    徴とする通信制御方法。
  9. 【請求項9】無線網に収容された無線端末装置と有線網
    に収容された有線端末装置との間でゲートウェイ装置を
    介してトランスポート層以上の情報の中継を行う通信制
    御方法において、 第1のゲートウェイ装置を介して前記無線端末装置と前
    記有線端末装置との間で秘匿性を保証する通信のために
    前記無線端末装置と前記有線端末装置との間に設定され
    る第1のセキュリティアソシエーションに関する情報、
    乃至前記第1のゲートウェイ装置を介して前記無線端末
    装置と前記有線端末装置との間で前記情報の認証を保証
    した通信を行うために前記無線端末装置と前記有線端末
    装置との間に設定される第2のセキュリティアソシエー
    ションに関する情報を、第2のゲートウェイ装置に引き
    渡す工程と、 前記無線端末装置と前記有線端末装置との間の前記秘匿
    性乃至前記認証を保証した通信が、前記第1のゲートウ
    ェイ装置から前記第2のゲートウェイ装置に変化して経
    由された場合に、前記第1のゲートウェイ装置で行って
    いた前記トランスポート層以上の情報を利用した中継処
    理を前記引き渡された第1及び第2のセキュリティアソ
    シエーションに関する情報及び前記トランスポート層以
    上の状態を利用して前記第2のゲートウェイ装置におい
    て動作される工程とを有することを特徴とする通信制御
    方法。
  10. 【請求項10】無線網に収容された無線端末装置と有線
    網に収容された有線端末装置との間でトランスポート層
    以上の情報の中継を行うゲートウェイ装置において、 第1のゲートウェイ装置を通過した前記情報をカプセル
    化する第2のゲートウェイ装置と、 前記カプセル化された情報からカプセルを取り除き、前
    記カプセルが取り除かれた情報を前記トランスポート層
    以上の情報を利用して中継を行う必要があるか否かを判
    断し、必要な場合には中継を行う第3のゲートウェイ装
    置と、 前記第3のゲートウェイ装置から送られた情報をカプセ
    ル化するカプセル化手段とを具備したことを特徴とする
    ゲートウェイ装置。
  11. 【請求項11】ネットワークによって相互に通信可能な
    第1の通信装置と第2の通信装置との間で、トランスポ
    ート層以上の情報を利用した中継を行なうゲートウェイ
    装置において、 前記第1の通信装置と第2の通信装置との間で秘匿性を
    保証する通信のために、前記第1の通信装置と第2の通
    信装置との間に設定される第1のセキュリティアソシエ
    ーションに関する情報を保持する第1のセキュリティ情
    報保持手段と、 前記第1の通信装置と第2の通信装置との間で秘匿性を
    保証する通信を中継する際に前記第1のセキュリティア
    ソシエーションに関する情報を利用して、前記第2の通
    信装置もしくは第2の通信装置に受信される暗号化され
    た情報を復号化する情報復号化手段と、 前記復号化された情報に基づいて前記トランスポート層
    以上の情報を利用して中継処理を行う中継手段と、 前記中継手段が送信する情報を前記第1のセキュリティ
    アソシエーションに関する情報を利用して秘匿化する情
    報暗号化手段とを具備したことを特徴とするゲートウェ
    イ装置。
  12. 【請求項12】ネットワークによって相互に通信可能な
    第1の通信装置と第2の通信装置との間で、トランスポ
    ート層以上の情報を利用した中継を行なうゲートウェイ
    装置において、 前記第1の通信装置と第2の通信装置との間で秘匿性を
    保証する通信のために、前記第1の通信装置と第2の通
    信装置との間に設定される第1のセキュリティアソシエ
    ーションに関する情報を保持する第1のセキュリティ情
    報保持手段と、 前記第1の通信装置と第2の通信装置との間で秘匿性を
    保証する通信を中継する際に前記第1のセキュリティア
    ソシエーションに関する情報を利用して、前記第2の通
    信装置もしくは第2の通信装置に受信される暗号化され
    た情報を復号化する情報復号化手段と、 前記復号化された情報に基づいて前記トランスポート層
    以上の情報を利用して中継処理を行う中継手段と、 前記中継手段が送信する情報を前記第1のセキュリティ
    アソシエーションに関する情報を利用して秘匿化する情
    報暗号化手段とを具備したことを特徴とするゲートウェ
    イ装置。
JP2000151434A 2000-05-23 2000-05-23 ゲートウェイ装置 Expired - Fee Related JP3730480B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000151434A JP3730480B2 (ja) 2000-05-23 2000-05-23 ゲートウェイ装置
US09/862,440 US7143282B2 (en) 2000-05-23 2001-05-23 Communication control scheme using proxy device and security protocol in combination

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000151434A JP3730480B2 (ja) 2000-05-23 2000-05-23 ゲートウェイ装置

Publications (2)

Publication Number Publication Date
JP2001333110A true JP2001333110A (ja) 2001-11-30
JP3730480B2 JP3730480B2 (ja) 2006-01-05

Family

ID=18656995

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000151434A Expired - Fee Related JP3730480B2 (ja) 2000-05-23 2000-05-23 ゲートウェイ装置

Country Status (2)

Country Link
US (1) US7143282B2 (ja)
JP (1) JP3730480B2 (ja)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030065156A (ko) * 2002-01-31 2003-08-06 주식회사 인프라밸리 망연결시스템
JP2004532543A (ja) * 2001-03-14 2004-10-21 ジェムプリュス ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス
KR100604597B1 (ko) 2004-02-20 2006-07-24 주식회사 팬택앤큐리텔 이동 통신 단말기
KR100609142B1 (ko) 2003-12-27 2006-08-08 한국전자통신연구원 유무선 장치간의 고속 실시간 데이터 전송을 위한매체접근 제어 장치
JP2008042715A (ja) * 2006-08-09 2008-02-21 Fujitsu Ltd フレームを暗号化して中継する中継装置
US7362728B2 (en) 2002-03-06 2008-04-22 Ntt Docomo, Inc. Handover control apparatus, relay router, gateway apparatus, access router base station, mobile communication system, and handover control method
JP2009505493A (ja) * 2005-08-10 2009-02-05 リバーベッド テクノロジー インコーポレイティッド セキュア接続プロトコルのための分割された終了方法
JP2009253663A (ja) * 2008-04-07 2009-10-29 Mitsubishi Electric Corp モバイルルータアドホックネットワーク通信システム
US7664954B2 (en) 2004-03-31 2010-02-16 Canon Kabushiki Kaisha Providing apparatus, providing method, communication device, communication method, and program
JP2010514248A (ja) * 2006-12-19 2010-04-30 ケイ ティー コーポレイション 点対点トンネリング通信のための侵入防止装置及び方法
JP2012527203A (ja) * 2009-06-12 2012-11-01 ゼットティーイー コーポレーション 切替過程におけるキーの生成方法及システム
US8307203B2 (en) 2008-07-14 2012-11-06 Riverbed Technology, Inc. Methods and systems for secure communications using a local certification authority
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
JP2014143760A (ja) * 2010-11-16 2014-08-07 Hitachi Ltd 通信装置、通信システム、およびデータ通信の中継方法
JP2015012570A (ja) * 2013-07-02 2015-01-19 富士通株式会社 中継装置
JP6145190B1 (ja) * 2016-03-02 2017-06-07 チエル株式会社 中継装置、中継方法及び中継プログラム

Families Citing this family (164)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6546425B1 (en) * 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7293107B1 (en) 1998-10-09 2007-11-06 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8078727B2 (en) 1998-10-09 2011-12-13 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8060656B2 (en) 1998-10-09 2011-11-15 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7778260B2 (en) 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7882247B2 (en) 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US7254237B1 (en) 2001-01-12 2007-08-07 Slt Logic, Llc System and method for establishing a secure connection
US7184401B2 (en) * 2001-02-05 2007-02-27 Interdigital Technology Corporation Link-aware transmission control protocol
US20020184487A1 (en) * 2001-03-23 2002-12-05 Badamo Michael J. System and method for distributing security processing functions for network applications
US7995603B2 (en) * 2001-05-22 2011-08-09 Nds Limited Secure digital content delivery system and method over a broadcast network
US6944760B2 (en) * 2001-05-24 2005-09-13 Openwave Systems Inc. Method and apparatus for protecting identities of mobile devices on a wireless network
US7856660B2 (en) * 2001-08-21 2010-12-21 Telecommunication Systems, Inc. System for efficiently handling cryptographic messages containing nonce values
FI116027B (fi) * 2001-09-28 2005-08-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi
EP1300991A1 (en) * 2001-10-02 2003-04-09 Lucent Technologies Inc. A method for filtering redundant data packets
US7260650B1 (en) * 2001-11-28 2007-08-21 Cisco Technology, Inc. Method and apparatus for tunneling information
WO2003058483A1 (en) * 2002-01-08 2003-07-17 Seven Networks, Inc. Connection architecture for a mobile network
JP2003204326A (ja) * 2002-01-09 2003-07-18 Nec Corp 通信システムと暗号処理機能付きlan制御装置、及び通信制御プログラム
WO2003061188A1 (en) * 2002-01-14 2003-07-24 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US20030219022A1 (en) * 2002-01-28 2003-11-27 Hughes Electronics Method and system for utilizing virtual private network (VPN) connections in a performance enhanced network
US20030172264A1 (en) * 2002-01-28 2003-09-11 Hughes Electronics Method and system for providing security in performance enhanced network
US8976798B2 (en) 2002-01-28 2015-03-10 Hughes Network Systems, Llc Method and system for communicating over a segmented virtual private network (VPN)
US7398552B2 (en) * 2002-01-28 2008-07-08 Hughes Network Systems, Llc Method and system for integrating performance enhancing functions in a virtual private network (VPN)
US7389533B2 (en) * 2002-01-28 2008-06-17 Hughes Network Systems, Llc Method and system for adaptively applying performance enhancing functions
US6658091B1 (en) 2002-02-01 2003-12-02 @Security Broadband Corp. LIfestyle multimedia security system
US20030158938A1 (en) * 2002-02-15 2003-08-21 Adatrao Ravi Madhav K. Methods of performing mobile IP registration in a wireless communication system
US6973496B2 (en) * 2002-03-05 2005-12-06 Archduke Holdings, Inc. Concealing a network connected device
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US7203957B2 (en) * 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US20040010594A1 (en) * 2002-07-11 2004-01-15 International Business Machines Corporation Virtualizing the security parameter index, marker key, frame key, and verification tag
DE60215481T2 (de) * 2002-07-19 2007-07-05 Tektronix International Sales Gmbh Einrichtung und Verfahren zur Kommunikationsüberwachung in einem Mobilfunknetz
US7386619B1 (en) * 2003-01-06 2008-06-10 Slt Logic, Llc System and method for allocating communications to processors in a multiprocessor system
JP3976262B2 (ja) * 2003-01-30 2007-09-12 インターナショナル・ビジネス・マシーンズ・コーポレーション サーバおよびプログラム
US7185015B2 (en) 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US7529754B2 (en) * 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US8473620B2 (en) * 2003-04-14 2013-06-25 Riverbed Technology, Inc. Interception of a cloud-based communication connection
US20050071510A1 (en) * 2003-09-29 2005-03-31 Nokia Corporation Transport layer communication
EP1706963A4 (en) * 2003-11-02 2011-06-15 Yossy Sela MOBILE PHONE GATEWAY DEVICE, COMMUNICATION SYSTEM AND GATEWAY OPERATING SYSTEM
KR100585230B1 (ko) * 2003-12-27 2006-05-30 한국전자통신연구원 유무선 통합 인터넷 프로토콜망에서 패킷 유실과 전송지연을 감소시키는 티씨피 프록시 설정 방법 및 시스템
JP4452983B2 (ja) * 2004-01-08 2010-04-21 ソニー株式会社 受信装置および方法、プログラム、並びに記録媒体
US11489812B2 (en) 2004-03-16 2022-11-01 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US11811845B2 (en) 2004-03-16 2023-11-07 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11582065B2 (en) 2007-06-12 2023-02-14 Icontrol Networks, Inc. Systems and methods for device communication
US10375253B2 (en) 2008-08-25 2019-08-06 Icontrol Networks, Inc. Security system with networked touchscreen and gateway
US11316958B2 (en) 2008-08-11 2022-04-26 Icontrol Networks, Inc. Virtual device systems and methods
US10313303B2 (en) 2007-06-12 2019-06-04 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US10237237B2 (en) 2007-06-12 2019-03-19 Icontrol Networks, Inc. Communication protocols in integrated systems
US10721087B2 (en) 2005-03-16 2020-07-21 Icontrol Networks, Inc. Method for networked touchscreen with integrated interfaces
US20090077623A1 (en) 2005-03-16 2009-03-19 Marc Baum Security Network Integrating Security System and Network Devices
US11343380B2 (en) 2004-03-16 2022-05-24 Icontrol Networks, Inc. Premises system automation
US10522026B2 (en) 2008-08-11 2019-12-31 Icontrol Networks, Inc. Automation system user interface with three-dimensional display
US20170118037A1 (en) 2008-08-11 2017-04-27 Icontrol Networks, Inc. Integrated cloud system for premises automation
US7711796B2 (en) 2006-06-12 2010-05-04 Icontrol Networks, Inc. Gateway registry methods and systems
US9729342B2 (en) 2010-12-20 2017-08-08 Icontrol Networks, Inc. Defining and implementing sensor triggered response rules
US10127802B2 (en) 2010-09-28 2018-11-13 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US9141276B2 (en) 2005-03-16 2015-09-22 Icontrol Networks, Inc. Integrated interface for mobile device
US10142392B2 (en) 2007-01-24 2018-11-27 Icontrol Networks, Inc. Methods and systems for improved system performance
US11277465B2 (en) 2004-03-16 2022-03-15 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
AU2005223267B2 (en) 2004-03-16 2010-12-09 Icontrol Networks, Inc. Premises management system
US8963713B2 (en) 2005-03-16 2015-02-24 Icontrol Networks, Inc. Integrated security network with security alarm signaling system
US11159484B2 (en) 2004-03-16 2021-10-26 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US10382452B1 (en) 2007-06-12 2019-08-13 Icontrol Networks, Inc. Communication protocols in integrated systems
US10156959B2 (en) 2005-03-16 2018-12-18 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US10444964B2 (en) 2007-06-12 2019-10-15 Icontrol Networks, Inc. Control system user interface
US11113950B2 (en) 2005-03-16 2021-09-07 Icontrol Networks, Inc. Gateway integrated with premises security system
US9531593B2 (en) 2007-06-12 2016-12-27 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US11201755B2 (en) 2004-03-16 2021-12-14 Icontrol Networks, Inc. Premises system management using status signal
US11916870B2 (en) 2004-03-16 2024-02-27 Icontrol Networks, Inc. Gateway registry methods and systems
US11368429B2 (en) 2004-03-16 2022-06-21 Icontrol Networks, Inc. Premises management configuration and control
US10348575B2 (en) 2013-06-27 2019-07-09 Icontrol Networks, Inc. Control system user interface
US11677577B2 (en) 2004-03-16 2023-06-13 Icontrol Networks, Inc. Premises system management using status signal
US8635350B2 (en) 2006-06-12 2014-01-21 Icontrol Networks, Inc. IP device discovery systems and methods
US11244545B2 (en) 2004-03-16 2022-02-08 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US10339791B2 (en) 2007-06-12 2019-07-02 Icontrol Networks, Inc. Security network integrated with premise security system
US10200504B2 (en) 2007-06-12 2019-02-05 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
EP1613003A1 (en) * 2004-06-30 2006-01-04 Alcatel Air interface protocols for a radio access network with ad-hoc extension
JP4710267B2 (ja) * 2004-07-12 2011-06-29 株式会社日立製作所 ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置
KR100651716B1 (ko) * 2004-10-11 2006-12-01 한국전자통신연구원 Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템
US8619662B2 (en) 2004-11-05 2013-12-31 Ruckus Wireless, Inc. Unicast to multicast conversion
US7505447B2 (en) 2004-11-05 2009-03-17 Ruckus Wireless, Inc. Systems and methods for improved data throughput in communications networks
US8638708B2 (en) 2004-11-05 2014-01-28 Ruckus Wireless, Inc. MAC based mapping in IP based communications
TWI391018B (zh) * 2004-11-05 2013-03-21 Ruckus Wireless Inc 藉由確認抑制之增強資訊量
CN101112041A (zh) * 2005-02-28 2008-01-23 日本电气株式会社 通信***、通信装置、通信方法以及程序
US11615697B2 (en) 2005-03-16 2023-03-28 Icontrol Networks, Inc. Premise management systems and methods
US10999254B2 (en) 2005-03-16 2021-05-04 Icontrol Networks, Inc. System for data routing in networks
US20110128378A1 (en) 2005-03-16 2011-06-02 Reza Raji Modular Electronic Display Platform
US20170180198A1 (en) 2008-08-11 2017-06-22 Marc Baum Forming a security network including integrated security system components
US9306809B2 (en) 2007-06-12 2016-04-05 Icontrol Networks, Inc. Security system with networked touchscreen
US11496568B2 (en) 2005-03-16 2022-11-08 Icontrol Networks, Inc. Security system with networked touchscreen
US20120324566A1 (en) 2005-03-16 2012-12-20 Marc Baum Takeover Processes In Security Network Integrated With Premise Security System
US11700142B2 (en) 2005-03-16 2023-07-11 Icontrol Networks, Inc. Security network integrating security system and network devices
GB0512744D0 (en) 2005-06-22 2005-07-27 Blackspider Technologies Method and system for filtering electronic messages
US8478986B2 (en) * 2005-08-10 2013-07-02 Riverbed Technology, Inc. Reducing latency of split-terminated secure communication protocol sessions
US8438628B2 (en) * 2005-08-10 2013-05-07 Riverbed Technology, Inc. Method and apparatus for split-terminating a secure network connection, with client authentication
US8453243B2 (en) 2005-12-28 2013-05-28 Websense, Inc. Real time lockdown
JP4634320B2 (ja) * 2006-02-28 2011-02-16 株式会社日立製作所 対異常通信防御を行うための装置とネットワークシステム
US7966659B1 (en) 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
US10079839B1 (en) 2007-06-12 2018-09-18 Icontrol Networks, Inc. Activation of gateway device
US20080059788A1 (en) * 2006-08-30 2008-03-06 Joseph John Tardo Secure electronic communications pathway
US7853691B2 (en) * 2006-11-29 2010-12-14 Broadcom Corporation Method and system for securing a network utilizing IPsec and MACsec protocols
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US20080137863A1 (en) * 2006-12-06 2008-06-12 Motorola, Inc. Method and system for using a key management facility to negotiate a security association via an internet key exchange on behalf of another device
US20110044338A1 (en) * 2006-12-20 2011-02-24 Thomas Anthony Stahl Throughput in a lan by managing tcp acks
GB2458094A (en) 2007-01-09 2009-09-09 Surfcontrol On Demand Ltd URL interception and categorization in firewalls
GB2445764A (en) 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US11706279B2 (en) 2007-01-24 2023-07-18 Icontrol Networks, Inc. Methods and systems for data communication
US7644187B2 (en) * 2007-02-02 2010-01-05 Harris Corporation Internet protocol based encryptor/decryptor two stage bypass device
EP2127311B1 (en) 2007-02-02 2013-10-09 Websense, Inc. System and method for adding context to prevent data leakage over a computer network
US7633385B2 (en) 2007-02-28 2009-12-15 Ucontrol, Inc. Method and system for communicating with and controlling an alarm system from a remote server
US8451986B2 (en) 2007-04-23 2013-05-28 Icontrol Networks, Inc. Method and system for automatically providing alternate network access for telecommunications
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US11646907B2 (en) 2007-06-12 2023-05-09 Icontrol Networks, Inc. Communication protocols in integrated systems
US11423756B2 (en) 2007-06-12 2022-08-23 Icontrol Networks, Inc. Communication protocols in integrated systems
US10423309B2 (en) 2007-06-12 2019-09-24 Icontrol Networks, Inc. Device integration framework
US11089122B2 (en) 2007-06-12 2021-08-10 Icontrol Networks, Inc. Controlling data routing among networks
US12003387B2 (en) 2012-06-27 2024-06-04 Comcast Cable Communications, Llc Control system user interface
US10666523B2 (en) 2007-06-12 2020-05-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US10523689B2 (en) 2007-06-12 2019-12-31 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US10389736B2 (en) 2007-06-12 2019-08-20 Icontrol Networks, Inc. Communication protocols in integrated systems
US11212192B2 (en) 2007-06-12 2021-12-28 Icontrol Networks, Inc. Communication protocols in integrated systems
US11601810B2 (en) 2007-06-12 2023-03-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US10498830B2 (en) 2007-06-12 2019-12-03 Icontrol Networks, Inc. Wi-Fi-to-serial encapsulation in systems
US11237714B2 (en) 2007-06-12 2022-02-01 Control Networks, Inc. Control system user interface
US11218878B2 (en) 2007-06-12 2022-01-04 Icontrol Networks, Inc. Communication protocols in integrated systems
US11316753B2 (en) 2007-06-12 2022-04-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US10616075B2 (en) 2007-06-12 2020-04-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US7894420B2 (en) * 2007-07-12 2011-02-22 Intel Corporation Fast path packet destination mechanism for network mobility via secure PKI channel
US8547899B2 (en) 2007-07-28 2013-10-01 Ruckus Wireless, Inc. Wireless network throughput enhancement through channel aware scheduling
US11831462B2 (en) 2007-08-24 2023-11-28 Icontrol Networks, Inc. Controlling data routing in premises management systems
US8549615B2 (en) 2007-11-29 2013-10-01 Telefonaktiebolaget L M Ericsson Method and apparatuses for end-to-edge media protection in an IMS system
US8199916B2 (en) * 2007-12-26 2012-06-12 International Business Machines Corporation Selectively loading security enforcement points with security association information
US8355343B2 (en) 2008-01-11 2013-01-15 Ruckus Wireless, Inc. Determining associations in a mesh network
US11916928B2 (en) 2008-01-24 2024-02-27 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US8407784B2 (en) 2008-03-19 2013-03-26 Websense, Inc. Method and system for protection against information stealing software
US9015842B2 (en) 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US9130986B2 (en) 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
US8370948B2 (en) 2008-03-19 2013-02-05 Websense, Inc. System and method for analysis of electronic information dissemination events
US20170185278A1 (en) 2008-08-11 2017-06-29 Icontrol Networks, Inc. Automation system user interface
US11258625B2 (en) 2008-08-11 2022-02-22 Icontrol Networks, Inc. Mobile premises automation platform
US10530839B2 (en) 2008-08-11 2020-01-07 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11729255B2 (en) 2008-08-11 2023-08-15 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11792036B2 (en) 2008-08-11 2023-10-17 Icontrol Networks, Inc. Mobile premises automation platform
US11758026B2 (en) 2008-08-11 2023-09-12 Icontrol Networks, Inc. Virtual device systems and methods
EP2316196B1 (en) * 2008-08-22 2019-02-27 Marvell World Trade Ltd. Method and apparatus for integrating precise time protocol and media access control security in network elements
US9444823B2 (en) * 2008-12-24 2016-09-13 Qualcomm Incorporated Method and apparatus for providing network communication association information to applications and services
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式
US8707043B2 (en) * 2009-03-03 2014-04-22 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
US8638211B2 (en) 2009-04-30 2014-01-28 Icontrol Networks, Inc. Configurable controller and interface for home SMA, phone and multimedia
CA2763513A1 (en) 2009-05-26 2010-12-02 Roy Barkan Systems and methods for efficient detection of fingerprinted data and information
CN107846265B (zh) 2009-06-19 2021-08-13 黑莓有限公司 用于类型2中继的上行链路传输
US9999087B2 (en) 2009-11-16 2018-06-12 Ruckus Wireless, Inc. Determining role assignment in a hybrid mesh network
US9979626B2 (en) 2009-11-16 2018-05-22 Ruckus Wireless, Inc. Establishing a mesh network with wired and wireless links
EP2569712B1 (en) 2010-05-10 2021-10-13 Icontrol Networks, Inc. Control system user interface
US8836467B1 (en) 2010-09-28 2014-09-16 Icontrol Networks, Inc. Method, system and apparatus for automated reporting of account and sensor zone information to a central station
US11750414B2 (en) 2010-12-16 2023-09-05 Icontrol Networks, Inc. Bidirectional security sensor communication for a premises security system
US9147337B2 (en) 2010-12-17 2015-09-29 Icontrol Networks, Inc. Method and system for logging security event data
GB2500720A (en) * 2012-03-30 2013-10-02 Nec Corp Providing security information to establish secure communications over a device-to-device (D2D) communication link
US11146637B2 (en) 2014-03-03 2021-10-12 Icontrol Networks, Inc. Media content management
US11405463B2 (en) 2014-03-03 2022-08-02 Icontrol Networks, Inc. Media content management
US9397939B2 (en) 2014-06-24 2016-07-19 International Business Machines Corporation Hybrid approach for performance enhancing proxies
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
US9967077B2 (en) * 2015-10-22 2018-05-08 Harris Corporation Communications device serving as transmission control protocol (TCP) proxy
CN107070599B (zh) * 2017-04-06 2019-11-15 中国人民解放军理工大学 一种长距离链路变速率选择重传方法
US20210392121A1 (en) * 2020-06-11 2021-12-16 Microsoft Technology Licensing, Llc Ike and ipsec state migration
CN115296939A (zh) * 2022-10-09 2022-11-04 中国电子科技集团公司第三十研究所 解决虚拟机迁移与IPsec机制冲突的方法、设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1188431A (ja) * 1997-09-05 1999-03-30 Toshiba Corp パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法
JPH11163946A (ja) * 1997-09-22 1999-06-18 Toshiba Corp ゲートウェイ装置、無線基地局装置、ルータ装置および無線端末装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
JP3492865B2 (ja) * 1996-10-16 2004-02-03 株式会社東芝 移動計算機装置及びパケット暗号化認証方法
JP3482091B2 (ja) * 1997-01-09 2003-12-22 株式会社東芝 通信装置
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US6507908B1 (en) * 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1188431A (ja) * 1997-09-05 1999-03-30 Toshiba Corp パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法
JPH11163946A (ja) * 1997-09-22 1999-06-18 Toshiba Corp ゲートウェイ装置、無線基地局装置、ルータ装置および無線端末装置

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004532543A (ja) * 2001-03-14 2004-10-21 ジェムプリュス ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス
US8250624B2 (en) 2001-03-14 2012-08-21 Gemalto Sa Portable device for securing packet traffic in a host platform
KR20030065156A (ko) * 2002-01-31 2003-08-06 주식회사 인프라밸리 망연결시스템
US8270367B2 (en) 2002-03-06 2012-09-18 Ntt Docomo, Inc. Handover control apparatus, relay router, gateway apparatus, access router, base station, mobile communication system, and handover control method
US7362728B2 (en) 2002-03-06 2008-04-22 Ntt Docomo, Inc. Handover control apparatus, relay router, gateway apparatus, access router base station, mobile communication system, and handover control method
KR100609142B1 (ko) 2003-12-27 2006-08-08 한국전자통신연구원 유무선 장치간의 고속 실시간 데이터 전송을 위한매체접근 제어 장치
KR100604597B1 (ko) 2004-02-20 2006-07-24 주식회사 팬택앤큐리텔 이동 통신 단말기
US7664954B2 (en) 2004-03-31 2010-02-16 Canon Kabushiki Kaisha Providing apparatus, providing method, communication device, communication method, and program
JP2009505493A (ja) * 2005-08-10 2009-02-05 リバーベッド テクノロジー インコーポレイティッド セキュア接続プロトコルのための分割された終了方法
US8613071B2 (en) 2005-08-10 2013-12-17 Riverbed Technology, Inc. Split termination for secure communication protocols
US9742806B1 (en) 2006-03-23 2017-08-22 F5 Networks, Inc. Accessing SSL connection data by a third-party
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
JP2008042715A (ja) * 2006-08-09 2008-02-21 Fujitsu Ltd フレームを暗号化して中継する中継装置
JP2010514248A (ja) * 2006-12-19 2010-04-30 ケイ ティー コーポレイション 点対点トンネリング通信のための侵入防止装置及び方法
JP2009253663A (ja) * 2008-04-07 2009-10-29 Mitsubishi Electric Corp モバイルルータアドホックネットワーク通信システム
US8307203B2 (en) 2008-07-14 2012-11-06 Riverbed Technology, Inc. Methods and systems for secure communications using a local certification authority
JP2012527203A (ja) * 2009-06-12 2012-11-01 ゼットティーイー コーポレーション 切替過程におけるキーの生成方法及システム
US9509663B2 (en) 2010-03-19 2016-11-29 F5 Networks, Inc. Secure distribution of session credentials from client-side to server-side traffic management devices
US9100370B2 (en) 2010-03-19 2015-08-04 F5 Networks, Inc. Strong SSL proxy authentication with forced SSL renegotiation against a target server
US9166955B2 (en) 2010-03-19 2015-10-20 F5 Networks, Inc. Proxy SSL handoff via mid-stream renegotiation
US9172682B2 (en) 2010-03-19 2015-10-27 F5 Networks, Inc. Local authentication in proxy SSL tunnels using a client-side proxy agent
US9178706B1 (en) 2010-03-19 2015-11-03 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US9210131B2 (en) 2010-03-19 2015-12-08 F5 Networks, Inc. Aggressive rehandshakes on unknown session identifiers for split SSL
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US9667601B2 (en) 2010-03-19 2017-05-30 F5 Networks, Inc. Proxy SSL handoff via mid-stream renegotiation
US9705852B2 (en) 2010-03-19 2017-07-11 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
JP2014143760A (ja) * 2010-11-16 2014-08-07 Hitachi Ltd 通信装置、通信システム、およびデータ通信の中継方法
JP2015012570A (ja) * 2013-07-02 2015-01-19 富士通株式会社 中継装置
JP6145190B1 (ja) * 2016-03-02 2017-06-07 チエル株式会社 中継装置、中継方法及び中継プログラム
JP2017158047A (ja) * 2016-03-02 2017-09-07 チエル株式会社 中継装置、中継方法及び中継プログラム

Also Published As

Publication number Publication date
JP3730480B2 (ja) 2006-01-05
US7143282B2 (en) 2006-11-28
US20010047474A1 (en) 2001-11-29

Similar Documents

Publication Publication Date Title
JP3730480B2 (ja) ゲートウェイ装置
Loughney et al. Context transfer protocol (CXTP)
US11159361B2 (en) Method and apparatus for providing notification of detected error conditions in a network
US7028183B2 (en) Enabling secure communication in a clustered or distributed architecture
EP1774750B1 (en) Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations
US20050268331A1 (en) Extension to the firewall configuration protocols and features
EP2850776B1 (en) Tls abbreviated session identifier protocol
US8446874B2 (en) Apparatus and method for filtering packet in a network system using mobile IP
US7177272B2 (en) System and method for optimizing link throughput in response to non-congestion-related packet loss
US20070214502A1 (en) Technique for processing data packets in a communication network
EP1240766B1 (en) A scheme for determining transport level information in the presence of ip security encryption
US20040158706A1 (en) System, method, and device for facilitating multi-path cryptographic communication
CN115883478B (zh) 一种多标识网络体系中安全高效的传输控制方法及***
Kim et al. TCP-GEN framework to achieve high performance for HAIPE-encrypted TCP traffic in a satellite communication environment
US20230370848A1 (en) Methods for configuring a user apparatus, negotiating with a network entity, and managing a connection, and associated devices
Hohendorf et al. Secure End-to-End Transport Over SCTP.
Assaf et al. Interworking between IP security and performance enhancing proxies for mobile networks
KR101447858B1 (ko) IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템
Obanaik et al. SPEP: A secure and efficient scheme for bulk data transfer over wireless networks
KR20030050550A (ko) 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법
Alshalan MobiVPN: Towards a Reliable and Efficient Mobile VPN
Protocol Network Working Group J. Loughney, Ed. Request for Comments: 4067 M. Nakhjiri Category: Experimental C. Perkins R. Koodli July 2005
Ganiga et al. A Detailed Study of Transport Layer SCT Protocol and its Security Solutions
OBANAIK Performance and security issues of TCP bulk data transfer in a last mile wireless scenario-investigations and solutions
Vacca Internetworking Wireless Security

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041005

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041206

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050118

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051006

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081014

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091014

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101014

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111014

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111014

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121014

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131014

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees